次の方法で共有

Intune を使用して個人所有デバイスの機能を許可または制限する Android Enterprise デバイス設定の一覧

  • [アーティクル]

この記事では、Android Enterprise デバイスで制御できるさまざまな設定について説明します。 モバイル デバイス管理 (MDM) ソリューションの一部として、これらの設定を使用して、機能の許可または無効化、セキュリティの制御などを行います。

この機能は、以下に適用されます。

  • 仕事用プロファイルがある個人所有の Android Enterprise デバイス (BYOD)

ヒント

開始する前に

Android デバイス制限構成プロファイルを作成します

仕事用プロファイル設定

これらの設定は、仕事用プロファイル (BYOD) を持つ Android Enterprise 個人所有のデバイスに適用されます。

全般設定

  • 仕事用プロファイルと個人用プロファイルの間でコピーして貼り付ける: [ブロック] を 選択すると、仕事用アプリと個人用アプリの間でコピーアンドペーストが禁止されます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では、ユーザーが個人用プロファイル内のアプリとコピーアンドペーストを使用してデータを共有できる場合があります。

  • 仕事用プロファイルと個人用プロファイル間のデータ共有: 仕事用プロファイル内のアプリが個人用プロファイル内のアプリと共有できるかどうかを選択します。 たとえば、Chrome ブラウザー アプリの Share... オプションなど、アプリケーション内の共有アクションを制御できます。 この設定は、クリップボードのコピー/貼り付け動作には適用されません。 次のようなオプションがあります。

    • デバイスの既定値: 仕事用プロファイルから個人用プロファイルへの共有はブロックされます。 個人プロファイルから仕事用プロファイルへの共有が許可されます。
    • 仕事用プロファイル内のアプリは、個人用プロファイルからの共有要求を処理できます。個人用プロファイルから仕事用プロファイルへの共有を許可する組み込みの Android 機能を有効にします。 有効にすると、個人用プロファイル内のアプリからの共有要求は、仕事用プロファイル内のアプリと共有できます。
    • 共有に制限なし: 作業プロファイルの境界を越えて双方向で共有できるようにします。 この設定を選択すると、仕事用プロファイルのアプリは、個人用プロファイル内の未承認のアプリとデータを共有できます。 この設定により、仕事用プロファイルの管理対象アプリは、デバイスのアンマネージド側のアプリと共有できます。 そのため、この設定は慎重に使用してください。

  • デバイスがロックされている間の仕事用プロファイル通知: [ブロック] では 、トースト、着信呼び出し、発信呼び出し、システム アラート、システム エラーなどのウィンドウ通知がロックされたデバイスに表示されなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS に通知が表示される場合があります。

  • 既定のアプリのアクセス許可: 仕事用プロファイル内のすべてのアプリの既定のアクセス許可ポリシーを設定します。 Android 6 以降では、アプリの起動時にアプリに必要な特定のアクセス許可をユーザーに付与するように求められます。 このポリシー設定を使用すると、ユーザーに仕事用プロファイル内のすべてのアプリに対するアクセス許可の付与を求めるメッセージが表示されるかどうかを決定できます。 たとえば、位置情報へのアクセスを必要とする仕事用プロファイルにアプリを割り当てます。 通常、アプリはユーザーに対して、アプリへの位置情報のアクセスを承認または拒否するように求めます。 このポリシーを使用して、プロンプトなしでアクセス許可を自動的に付与したり、プロンプトなしでアクセス許可を自動的に拒否したり、ユーザーが決定できるようにします。 次のようなオプションがあります:

    • デバイスの既定値
    • Prompt
    • 自動付与
    • 自動拒否

    アプリ構成ポリシーを使用して、個々のアプリ (Apps>App 構成ポリシー) のアクセス許可を付与することもできます。

  • アカウントの追加と削除: この設定では、Google アカウントを含む、仕事用プロファイルにアカウントが追加されるのを許可または禁止します。 次のようなオプションがあります。

    • Google アカウント (既定値) を除くすべてのアカウントの種類を許可する: Intune はこの設定を変更または更新しません。 既定では、OS では、仕事用プロファイルへのアカウントの追加が許可される場合があります。

      以前のリリースでは、この設定の名前は [未構成] でした。

    • [すべてのアカウントの種類を許可する]: Google アカウントを含むすべてのアカウントを許可します。 これらの Google アカウントは、 マネージド Google Play ストアからのアプリのインストールがブロックされます。

      次の構成も可能です。

      • Google ドメイン許可リスト: ユーザーが仕事用プロファイルに特定の Google アカウント ドメインのみを追加するように制限します。 許可されるドメインの一覧は、次の形式でインポートできます。

        contoso.com
microsoft.com

        または、 contoso.com 形式を使用してドメインを個別に追加します。 空白のままにすると、既定では、OS によって仕事用プロファイルにすべての Google ドメインの追加が許可される場合があります。

      この設定には、次のものが必要です。

      • Google Play アプリのバージョン 80970100 以上

    • [すべてのアカウントの種類をブロックする]: ユーザーが作業プロファイルでアカウントを手動で追加または削除できないようにします。 たとえば、Gmail アプリを仕事用プロファイルに展開すると、ユーザーがこの仕事用プロファイルでアカウントを追加または削除できないようにすることができます。

    注:

    仕事用プロファイル (BYOD) を持つ個人所有のデバイスと仕事用プロファイル (COPE) を持つ会社所有のデバイスでは、Google アカウントを 設定 アプリ >Accounts>Work に追加することはできません。

  • Bluetooth経由の連絡先共有: 有効にすると 、Bluetoothを使用してペアリングされた車など、別のデバイスからの仕事用プロファイル連絡先を使用して、個人所有のデバイスとの共有とアクセスを許可します。 この設定を有効にすると、特定のBluetooth デバイスが最初の接続時に仕事用連絡先をキャッシュできる場合があります。 初期ペアリング/同期後にこのポリシーを無効にしても、Bluetooth デバイスから職場の連絡先が削除されない場合があります。

    [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は仕事用連絡先を共有しない可能性があります。

    この設定は、以下の場合に適用されます。

    • 仕事用プロファイルを持つ Android 8.0 以降の個人所有デバイス

  • スクリーン キャプチャ: [ブロック] を選択 すると、仕事用プロファイル内のデバイス上のスクリーンショットやスクリーン キャプチャが防止されます。 また、セキュリティで保護されたビデオ出力がないディスプレイ デバイスにコンテンツが表示されるのを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS でスクリーンショットの取得が許可される場合があります。

  • 個人用プロファイルに仕事用連絡先の発信者 ID を表示する: [ブロック] では 、個人用プロファイルに仕事用連絡先の発信者番号が表示されません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS に仕事用連絡先の発信者の詳細が表示される場合があります。

    この設定は、以下の場合に適用されます。

    • 仕事用プロファイルを持つ Android 8.0 以降の個人所有デバイス

  • 個人用プロファイルから仕事用連絡先を検索する: [ブロック] を 選択すると、ユーザーは個人用プロファイル内のアプリで仕事用連絡先を検索できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では個人用プロファイルで仕事用連絡先を検索できる場合があります。

  • カメラ: [ブロック] は 、個人所有の仕事用プロファイル内のデバイス上のカメラへのアクセスを禁止します。 この設定は、個人用側のカメラには影響しません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS によってカメラへのアクセスが許可される場合があります。

  • [仕事用プロファイル アプリからのウィジェットを許可する]: [有効] にすると 、ユーザーはアプリによって公開されたウィジェットをホーム画面に配置できます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はこの機能を妨げる場合があります。

    たとえば、Outlook はユーザーの仕事用プロファイルにインストールされます。 [有効] に設定すると、ユーザーはデバイスのホーム画面に議題ウィジェットを配置できます。

仕事用プロファイルのパスワード

これらのパスワード設定は、仕事用プロファイルを持つ個人所有デバイスの仕事用プロファイル パスワードに適用されます。

すべての Android デバイス

  • [仕事用プロファイルのパスワード要求する]: [必須] は 、仕事用プロファイル内のアプリにのみ適用されるパスコード ポリシーを強制します。 既定では、ユーザーは 2 つの個別に定義された PIN を使用できます。 または、ユーザーは PIN を 2 つの PIN のより強力な PIN に結合できます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では、ユーザーがパスワードを入力せずに仕事用アプリを使用できる場合があります。

    この設定は、以下の場合に適用されます。

    • 仕事用プロファイルを持つ Android 8.0 以降の個人所有デバイス

  • [作業プロファイルがロックされるまでの非アクティブ時間の最大分数]: 画面が自動的にロックされるまでデバイスがアイドル状態である必要がある時間の長さを入力します。 ユーザーは、アクセスを回復するために資格情報を入力する必要があります。 たとえば、「 5 」と入力して、アイドル状態から 5 分後にデバイスをロックします。 値を空欄または [未構成] に設定すると、Intune ではこの設定が変更または更新されなくなります。

    デバイスでは、ユーザーはプロファイルで構成された時刻より大きい時間値を設定できません。 ユーザーは、より低い時間値を設定できます。 たとえば、プロファイルが 15 分に設定されている場合、ユーザーは値を 5 分に設定できます。 ユーザーは値を 30 分に設定できません。

  • [デバイスをワイプする前のサインイン エラーの数]: デバイスの作業プロファイルがワイプされる前に許可されている間違ったパスワードの数を 4 から 11 まで入力します。 値が空白の場合、Intune はこの設定で既定値を使用します。

  • パスワードの有効期限 (日数): ユーザー パスワードを変更する必要がある日数 ( 1-365 から) を入力します。

  • 以前のパスワードの再利用を禁止する: この設定を使用して、ユーザーが以前に使用したパスワードを作成できないようにします。 以前に使用した使用できないパスワードの数を 1 ~ 24 の範囲で入力します。 たとえば、5 と入力すると、ユーザーは新しいパスワードを現在のパスワードまたは以前の 4 つのパスワードのいずれにも設定できなくなります。 値が空白の場合、Intune はこの設定を変更または更新しません。

  • 顔ロック解除: [ブロック] を 選択すると、ユーザーがデバイスの顔認識を使用して個人所有の仕事用プロファイルのロックを解除できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では、ユーザーが顔認識を使用してデバイスのロックを解除できる場合があります。

  • 指紋ロック解除: [ブロック] を 選択すると、ユーザーがデバイスの指紋スキャナーを使用して個人所有の仕事用プロファイルのロックを解除できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS がユーザーに対して生体認証を使用したデバイスのロックの解除を許可する可能性があります。

  • Iris unlock: [ブロック] を 選択すると、ユーザーがデバイスの虹彩スキャナーを使用して個人所有の仕事用プロファイルのロックを解除できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では、ユーザーが虹彩スキャナーを使用してデバイスのロックを解除できる場合があります。

  • スマート ロックとその他のトラスト エージェント: [ブロック] を 選択すると、Smart Lock またはその他のトラスト エージェントが互換性のあるデバイスのロック画面設定を調整できなくなります。 デバイスが信頼できる場所にある場合、この機能 (信頼エージェントとも呼ばれます) を使用すると、デバイス ロック画面のパスワードを無効またはバイパスできます。 たとえば、デバイスが特定のBluetooth デバイスに接続されている場合や、デバイスが NFC タグに近い場合は、仕事用プロファイル のパスワードをバイパスします。 ユーザーがスマート ロックを構成できないようにするには、この設定を使用します。

    [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

  • デバイスと仕事用プロファイルの 1 つのロック: [ブロック] では 、ユーザーがデバイスと仕事用プロファイルのロック画面に同じパスワードを使用できなくなります。 エンド ユーザーは、デバイスのロックを解除するためにデバイス パスワードを入力し、仕事用プロファイルにアクセスするために仕事用プロファイル のパスワードを入力する必要があります。

    [未構成] (既定値) に設定すると、Intune はこの設定を変更または更新しません。 既定では、OS では、ユーザーが 1 つのパスワードを使用して仕事用プロファイルにアクセスできる場合があります。

Android 12 以降

  • パスワードの複雑さ: この設定を使用して、パスワードの複雑さの要件を設定します。 次のようなオプションがあります。

    • なし: Intune では、この設定は変更または更新されません。 既定では、OS にはパスワードが必要ない場合があります。
    • : 繰り返し (4444) または順序付き (1234、4321、2468) シーケンスを持つパターンまたは PIN が許可されます。
    • : 繰り返し (4444) または順序付き (1234、4321、2468) シーケンスを含む PIN はブロックされます。 長さ、アルファベットの長さ、または英数字の長さは、少なくとも 4 文字にする必要があります。
    • : 繰り返し (4444) または順序付き (1234、4321、2468) シーケンスを持つ PIN はブロックされます。 長さは 8 文字以上にする必要があります。 アルファベットまたは英数字の長さは、少なくとも 6 文字にする必要があります。

    仕事用プロファイルを持つ個人所有のデバイスでは、この [パスワードの複雑さ ] 設定の影響を受ける 2 つのパスワードがあります。

    • デバイスのロックを解除するデバイス パスワード
    • ユーザーが仕事用プロファイルにアクセスできるようにする仕事用プロファイル パスワード

    デバイス パスワードの複雑さが低すぎる場合、デバイス パスワードは自動的に変更され、 い複雑さが必要になります。 エンド ユーザーは、複雑さの要件を満たすためにデバイス パスワードを更新する必要があります。 その後、作業プロファイルにサインインし、ポリシーの [パスワードの複雑 さ] 設定で構成されている作業プロファイルの複雑さを更新するように求められます。

    重要

    [パスワードの複雑さ] 設定を使用する前に、[必須のパスワードの種類] と [最小パスワードの長さ] 設定が使用されていました。 これらの設定は引き続き使用できますが、仕事用プロファイルを持つ Google for Android 12 以降の個人所有デバイスでは非推奨になっています。 これらの設定の詳細については、 Android 11 以前 (この記事の) を参照してください。

    知っておくべきことを次に示します。

    • [必須のパスワードの種類] と [最小パスワードの長さ] 設定がポリシーの既定値から変更された場合は、次のようになります。

      • 新しく登録された Android Enterprise 12 以降のデバイスでは、[パスワードの 複雑さ ] 設定と [複雑度が 高い ] が自動的に使用されます。 そのため、パスワードの複雑さが くない場合は、Android Enterprise 12 以降のデバイス用の新しいポリシーを作成し、[パスワードの 複雑さ ] 設定を構成します。

      • 既存の Android Enterprise 12 以降のデバイスでは、 必要なパスワードの種類最小パスワード長 の設定と、既に構成されている既存の値が引き続き使用されます。

        既に構成されている [必須のパスワードの種類 ] と [最小パスワードの長さ ] 設定で既存のポリシーを変更した場合、Android Enterprise 12 以降のデバイスでは、[ パスワードの複雑さ ] 設定が [ 複雑] で自動的に使用されます。

        Android Enterprise 12 以降のデバイスの場合は、[ パスワードの複雑さ ] 設定を構成することをお勧めします。

    • [必須のパスワードの種類] と [最小パスワードの長さ] 設定がポリシーの既定値から変更されていない場合、新しく登録された Android Enterprise 12 以降のデバイスにパスワード ポリシーは自動的に適用されません。

Android 11 以前

重要

  • Google では、Android 12 以降の個人所有デバイスに必要 なパスワードの種類最小パスワード長 の設定を仕事用プロファイルに非推奨とし、新しいパスワードの複雑さの要件に置き換えています。 この変更の詳細については、「 Android 13 の 0 日目のサポート」を参照してください。
  • Android Enterprise 12 以降のデバイスでは、[パスワードの 複雑さ ] 設定を使用します。

  • 必要なパスワードの種類: 必要なパスワードの複雑さのレベルと、生体認証デバイスを使用できるかどうかを入力します。 次のようなオプションがあります。

    • デバイスの既定値 (既定値): Intune はこの設定を変更または更新しません。 既定では、OS がパスワードを要求しない可能性があります。
    • 低セキュリティ生体認証: 強力な生体認証と弱い生体認証 (Android の Web サイトが開きます)
    • 必須
    • 少なくとも数値: 123456789などの数値が含まれます。
    • 数値複素数: 11111234など、繰り返しまたは連続する数値は使用できません。
    • 少なくともアルファベット: アルファベットの文字を含みます。 数値と記号は必要ありません。
    • 少なくとも英数字: 大文字、小文字、および数字が含まれます。
    • 少なくとも英数字と記号: 大文字、小文字、数字、句読点、記号が含まれます。

  • 最小パスワード長: パスワードに必要な最小長を 4 文字から 16 文字まで入力します。

Password

これらのパスワード設定は、仕事用プロファイルを持つ個人所有デバイスのデバイス パスワードに適用されます。

すべての Android デバイス

  • 画面がロックされるまでの非アクティブの最大分数: 画面が自動でロックされる前にデバイスがアイドル状態になる時間の長さを入力します。 ユーザーは、アクセスを回復するために資格情報を入力する必要があります。 たとえば、「 5 」と入力して、アイドル状態から 5 分後にデバイスをロックします。 値を空欄または [未構成] に設定すると、Intune ではこの設定が変更または更新されなくなります。

    デバイスでは、ユーザーはプロファイルで構成された時刻より大きい時間値を設定できません。 ユーザーは、より低い時間値を設定できます。 たとえば、プロファイルが 15 分に設定されている場合、ユーザーは値を 5 分に設定できます。 ユーザーは値を 30 分に設定できません。

  • デバイスをワイプする前のサインインエラーの数: デバイス内の個人所有の仕事用プロファイルがワイプされる前に許可される間違ったパスワードの数を 4 から 11 まで入力します。 0 (ゼロ) は、デバイスワイプ機能を無効にする可能性があります。 値が空白の場合、Intune はこの設定を変更または更新しません。

  • パスワードの有効期限 (日数): デバイスのパスワードを 1 から 365 まで変更する必要がある日数を入力します。 たとえば、90 と入力して、90 日後にパスワードを期限切れにします。 パスワードの有効期限が切れると、ユーザーは新しいパスワードの作成を求められます。 値が空白の場合、Intune はこの設定を変更または更新しません。

  • 以前のパスワードの再利用を禁止する: この設定を使用して、ユーザーが以前に使用したパスワードを作成できないようにします。 以前に使用した使用できないパスワードの数を 1 ~ 24 の範囲で入力します。 たとえば、5 と入力すると、ユーザーは新しいパスワードを現在のパスワードまたは以前の 4 つのパスワードのいずれにも設定できなくなります。 値が空白の場合、Intune はこの設定を変更または更新しません。

  • 指紋ロック解除: [ブロック] を 選択すると、ユーザーがデバイスの指紋スキャナーを使用してデバイスのロックを解除できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS がユーザーに対して生体認証を使用したデバイスのロックの解除を許可する可能性があります。

  • 顔ロック解除: [ブロック] にすると 、ユーザーがデバイスの顔認識を使用してデバイスのロックを解除できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では、ユーザーが顔認識を使用してデバイスのロックを解除できる場合があります。

  • 虹彩ロック解除: [ブロック] にすると 、ユーザーがデバイスの虹彩スキャナーを使用してデバイスのロックを解除できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では、ユーザーが虹彩スキャナーを使用してデバイスのロックを解除できる場合があります。

  • スマート ロックとその他のトラスト エージェント: [ブロック] を 選択すると、Smart Lock またはその他のトラスト エージェントが互換性のあるデバイスのロック画面設定を調整できなくなります。 デバイスが信頼できる場所にある場合、この機能 (信頼エージェントとも呼ばれます) を使用すると、デバイス ロック画面のパスワードを無効またはバイパスできます。 たとえば、デバイスが特定のBluetooth デバイスに接続されている場合や、デバイスが NFC タグに近い場合は、個人所有の仕事用プロファイル パスワードをバイパスします。 ユーザーがスマート ロックを構成できないようにするには、この設定を使用します。

    [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

Android 12 以降

  • パスワードの複雑さ: この設定を使用して、パスワードの複雑さの要件を設定します。 次のようなオプションがあります。

    • なし: Intune では、この設定は変更または更新されません。 既定では、OS にはパスワードが必要ない場合があります。
    • : 繰り返し (4444) または順序付き (1234、4321、2468) シーケンスを持つパターンまたは PIN が許可されます。
    • : 繰り返し (4444) または順序付き (1234、4321、2468) シーケンスを含む PIN はブロックされます。 長さ、アルファベットの長さ、または英数字の長さは、少なくとも 4 文字にする必要があります。
    • : 繰り返し (4444) または順序付き (1234、4321、2468) シーケンスを持つ PIN はブロックされます。 長さは 8 文字以上にする必要があります。 アルファベットまたは英数字の長さは、少なくとも 6 文字にする必要があります。

    仕事用プロファイルを持つ個人所有のデバイスでは、この [パスワードの複雑さ ] 設定の影響を受ける 2 つのパスワードがあります。

    • デバイスのロックを解除するデバイス パスワード
    • ユーザーが仕事用プロファイルにアクセスできるようにする仕事用プロファイル パスワード

    デバイス パスワードの複雑さが低すぎる場合、デバイス パスワードは自動的に変更され、 い複雑さが必要になります。 エンド ユーザーは、複雑さの要件を満たすためにデバイス パスワードを更新する必要があります。 その後、作業プロファイルにサインインし、ポリシーの [パスワードの複雑 さ] 設定で構成されている作業プロファイルの複雑さを更新するように求められます。

    重要

    [パスワードの複雑さ] 設定を使用する前に、[必須のパスワードの種類] と [最小パスワードの長さ] 設定が使用されていました。 これらの設定は引き続き使用できますが、仕事用プロファイルを持つ Google for Android 12 以降の個人所有デバイスでは非推奨になっています。 これらの設定の詳細については、 Android 11 以前 (この記事の) を参照してください。

    知っておくべきことを次に示します。

    • [必須のパスワードの種類] と [最小パスワードの長さ] 設定がポリシーの既定値から変更された場合は、次のようになります。

      • 新しく登録された Android Enterprise 12 以降のデバイスでは、[パスワードの 複雑さ ] 設定と [複雑度が 高い ] が自動的に使用されます。 そのため、パスワードの複雑さが くない場合は、Android Enterprise 12 以降のデバイス用の新しいポリシーを作成し、[パスワードの 複雑さ ] 設定を構成します。

      • 既存の Android Enterprise 12 以降のデバイスでは、 必要なパスワードの種類最小パスワード長 の設定と、既に構成されている既存の値が引き続き使用されます。

        既に構成されている [必須のパスワードの種類 ] と [最小パスワードの長さ ] 設定で既存のポリシーを変更した場合、Android Enterprise 12 以降のデバイスでは、[ パスワードの複雑さ ] 設定が [ 複雑] で自動的に使用されます。

        Android Enterprise 12 以降のデバイスの場合は、[ パスワードの複雑さ ] 設定を構成することをお勧めします。

    • [必須のパスワードの種類] と [最小パスワードの長さ] 設定がポリシーの既定値から変更されていない場合、新しく登録された Android Enterprise 12 以降のデバイスにパスワード ポリシーは自動的に適用されません。

Android 11 以前

重要

  • Google では、Android 12 以降の個人所有デバイスに必要 なパスワードの種類最小パスワード長 の設定を仕事用プロファイルに非推奨とし、新しいパスワードの複雑さの要件に置き換えています。 この変更の詳細については、「 Android 13 の 0 日目のサポート」を参照してください。
  • Android Enterprise 12 以降のデバイスでは、[パスワードの 複雑さ ] 設定を使用します。

  • 必要なパスワードの種類: 必要なパスワードの複雑さのレベルと、生体認証デバイスを使用できるかどうかを入力します。 次のようなオプションがあります。

    • デバイスの既定値 (既定値): Intune はこの設定を変更または更新しません。 既定では、OS がパスワードを要求しない可能性があります。
    • 低セキュリティ生体認証: 強力な生体認証と弱い生体認証 (Android の Web サイトが開きます)
    • 必須
    • 少なくとも数値: 123456789などの数値が含まれます。
    • 数値複素数: 11111234など、繰り返しまたは連続する数値は使用できません。
    • 少なくともアルファベット: アルファベットの文字を含みます。 数値と記号は必要ありません。
    • 少なくとも英数字: 大文字、小文字、および数字が含まれます。
    • 少なくとも英数字と記号: 大文字、小文字、数字、句読点、記号が含まれます。

  • 最小パスワード長: パスワードに必要な最小長を 4 文字から 16 文字まで入力します。

システム セキュリティ

  • アプリの脅威スキャン: [必須] では、仕事用プロファイルと個人用プロファイルに対して [アプリの確認 ] 設定が有効になっていることを強制します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

    この設定は、以下の場合に適用されます。

    • 仕事用プロファイルを持つ Android 8 (Oreo) および新しい個人所有デバイス

  • 個人用プロファイル内の不明なソースからのアプリのインストールを禁止する: 設計上、仕事用プロファイルを持つ Android Enterprise 個人所有のデバイスは、Play ストア以外のソースからアプリをインストールできません。 この設定により、管理者は不明なソースからのアプリのインストールをより詳細に制御できます。 [ブロック] を選択すると、個人用プロファイルの Google Play ストア以外のソースからアプリをインストールできなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では、個人用プロファイル内の不明なソースからのアプリのインストールが許可される場合があります。 本質的に、仕事用プロファイルを持つ個人所有のデバイスは、デュアル プロファイルを目的としています。

    • MDM を使用して管理されている仕事用プロファイルを持つ個人所有のデバイス。
    • MDM 管理から分離された個人用プロファイル。

接続

  • Always-on VPN: 有効にすると 、VPN クライアントが VPN に自動的に接続して再接続するように設定されます。 常時接続 VPN 接続は接続されたままです。 または、ユーザーがデバイスをロックしたとき、デバイスが再起動したとき、またはワイヤレス ネットワークが変更されたときにすぐに接続します。

    [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はすべての VPN クライアントに対して always-on VPN を無効にする可能性があります。

    重要

    1 つのデバイスに展開する Always On VPN ポリシーは必ず 1 つだけです。 1 つのデバイスへの複数の Always VPN ポリシーの展開はサポートされていません。

  • VPN クライアント: Always On をサポートする VPN クライアントを選択します。 次のようなオプションがあります。

    • Cisco AnyConnect
    • F5 Access
    • Palo Alto Networks GlobalProtect
    • Pulse Secure
    • Custom
      • パッケージ ID: Google Play ストアのアプリのパッケージ ID を入力します。 たとえば、Play ストア内のアプリの URL が https://play.google.com/store/details?id=com.contosovpn.android.prodされている場合、パッケージ ID は com.contosovpn.android.prod

    重要

    • 選択した VPN クライアントがデバイスにインストールされている必要があります。 また、仕事用プロファイルを持つ個人所有デバイスのアプリごとの VPN もサポートする必要があります。 それ以外の場合、エラーが発生します。
    • マネージド Google Play ストアで VPN クライアント アプリを承認し、アプリを Intune に同期し、アプリをデバイスにデプロイする必要があります。 これを行った後、アプリは、仕事用プロファイルを持つユーザーの個人所有のデバイスにインストールされます。
    • Android 3.0.4 用 F5 Access でアプリごとの VPN を使用する場合、既知の問題が発生する可能性があります。 詳細については、「 F5 Access for Android 3.0.4 の F5 のリリース ノート」を参照してください。

  • ロックダウン モード: 有効にすると 、すべてのネットワーク トラフィックが VPN トンネルを使用するように強制されます。 VPN への接続が確立されていない場合、デバイスにはネットワーク アクセス権がありません。

    [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では、トラフィックが VPN トンネルまたはモバイル ネットワークを経由して流れる可能性があります。

次の手順

プロファイルを割り当てその状態を監視します。

Microsoft Intune で Android エンタープライズ デバイスを構成してトラブルシューティングします。