企業所有のユーザーに関連する Android (AOSP) デバイスの Intune 登録を設定する
Android Open Source Project (AOSP) プラットフォーム上に構築された企業所有のユーザー関連デバイスの Intune での登録を設定します。 Intune は以下の企業所有の Android デバイス向けに、Android (AOSP) デバイス管理ソリューションを提供しています:
- Google Mobile Services と統合されていません。
- 1 人のユーザーが使用することを想定しています。
- 仕事専用として使用されます。
この記事では、Android (AOSP) デバイス管理を設定し、職場で使用するために AOSP デバイスを登録する方法について説明します。
前提条件
注:
10 月 1 日以降、AOSP デバイスは、Microsoft Intune サービスと同期するために、バージョン 24.7.0 以降のMicrosoft Intune アプリを持っている必要があります。
AOSP デバイスを登録および管理するには、次が必要です:
- アクティブな Microsoft Intune テナント。
- サポートされているデバイス。
また、次も必要です:
テナント内で Microsoft Intune を、権威 MDM (モバイル デバイス管理) として設定します。 Intune を最初にモバイル デバイス管理用にセットアップする時に、1 度だけ実施する必要があります。
すべての特殊なデバイス ユーザーに有効なライセンスを割り当てます。 詳細については、「Microsoft Intune ライセンス」および「Microsoft Intuneを使用した特殊なデバイスの管理」を参照してください。
登録プロファイルの作成
デバイスの登録を有効にする登録プロファイルを作成します。
Microsoft Intune 管理センターにサインインします。
[デバイスの登録]> に移動します。
[ Android ] タブを選択します。
[ Android Open Source Project (AOSP)] で、[ 企業所有のユーザー関連デバイス] を選択します。
[ プロファイルの作成] を選択します。
プロファイルの基本を入力します。
名前: プロファイルに名前を付けます。 動的デバイス グループを設定するときに必要になるため、後で名前をメモしておきます。
説明: プロファイルの説明を入力します この設定は省略可能ですが、推奨されます。
トークンの有効期限: トークンの有効期限が切れる日付を選択します。これは、最大 65 年後の可能性があります。
[SSID]: デバイスが接続するネットワークを識別します。
注:
デバイスにネットワークに自動的に接続できるボタンまたはオプションがない場合は、Wi-Fi 詳細が必要です。
[非表示のネットワーク]: これが非表示のネットワークかどうかを選択します。 既定では、この設定は無効になっています。つまり、ネットワークは SSID をブロードキャストできます。
[Wi-Fi の種類]: このネットワークに必要な認証の種類を選択します。
[WEP 事前共有キー] または [WPA 事前共有キー] を選択した場合は、次も入力します:
- [事前共有キー]: ネットワークでの認証に使用される事前共有キー。
Microsoft Teamsデバイス (プレビュー) の場合: このプロファイルが Android デバイスMicrosoft Teams適用される場合は、[ 有効] を 選択します。 この設定は、 Microsoft Teams Android デバイスでのみ使用する必要があります。
[次へ] を選択し、必要に応じてスコープ タグを選択します。
[次へ] を選択します。 プロファイルの詳細を確認し、[作成] を選択してプロファイルを保存します。
登録トークンにアクセスする
プロファイルを作成すると、Intune は登録に必要なトークンを生成します。 トークンは QR コードとして表示されます。 デバイスのセットアップ中に、プロンプトが表示されたら、QR コードをスキャンして Intune にデバイスを登録します。
トークンを QR コードとして表示するには、登録プロファイルの一覧から登録プロファイルを選択します。 次に、[トークン] を選択 します。
登録プロファイルの JSON ファイルをエクスポートすることもできます。 JSON ファイルを作成するには、[エクスポート] を選択 します。
重要
- QR コードには、プロファイルに入力された資格情報がプレーンテキストで含まれるので、デバイスがネットワークで正常に認証されます。 これは、ユーザーがデバイスからネットワークに参加できないので、必要です。
- デバイスをプロビジョニングし、登録プロセスを完了するためのアクセス許可が制限されたステージング ネットワークを使用することを検討してください。 たとえば、アクセス許可が制限され、企業アクセス権のないインターネットに接続されたネットワークを使用して、初期セットアップを行うことができます。
- RealWear デバイスでは、最初のセットアップをスキップする必要があります。 Intune QR コードは、デバイスを設定する必要がある唯一のものです。
トークンの置き換え
有効期限が近いトークンを置き換えるために、新しいトークンを生成できます。 トークンの置き換えは、既に登録されているデバイスには影響しません。
- 管理センターで、[デバイス>の登録] に移動します。
- [ Android ] タブを選択します。
- [ Android オープン ソース プロジェクト (AOSP)] セクションで、[ 企業所有のユーザー関連デバイス] を選択します。
- あなたの仕事用プロファイルを選択します。
- [トークン]>[トークンの置き換え] を選択します。
- トークンの新しい有効期限 (最大 65 年後) を入力します。
- [OK] を選択します。
トークンの取り消し
トークンを取り消すと、すぐに期限切れにして、使用できなくします。 たとえば、次の場合にトークンを取り消すのが適切です:
- 認められていない団体に、誤ってトークン/QR コードを共有しました。
- 登録手続きがすべて完了し、トークンは必要なくなりました。
トークンを取り消ししても、既に登録されているデバイスには影響しません。
- 管理センターで、[デバイス>の登録] に移動します。
- [ Android ] タブを選択します。
- [ Android オープン ソース プロジェクト (AOSP)] セクションで、[ 企業所有のユーザー関連デバイス] を選択します。
- あなたの仕事用プロファイルを選択します。
- [トークン]>[トークンの取り消し]>[はい]を選択します。
デバイス グループを作成する
Intune で割り当てられたデバイス グループまたは動的デバイス グループを作成できます。 グループについて詳しくは、「ユーザーとデバイスを整理するためにグループを追加する」をご覧ください。
動的デバイス グループは、一連の規則とパラメーターに基づいて、デバイスを自動的に追加および削除するように構成されます。 たとえば、登録プロファイル名でデバイスをグループ化できます。
次の手順を実行して、Android (AOSP) 企業所有のユーザー関連登録プロファイルに登録されているデバイスの動的なMicrosoft Entra デバイス グループを作成します。
Microsoft Intune管理センターにサインインし、[グループ>すべてのグループ] [新しいグループ>] を選択します。
[グループ] ブレードで、次のように必須フィールドに入力します。
- [グループの種類]: セキュリティ
- [グループ名]: わかりやすい名前を入力します (Factory 1 デバイスなど)
- [メンバーシップの種類]: 動的デバイス
[動的クエリの追加] を選択します。
[動的メンバーシップ ルール] ブレードで、次のようにフィールドに入力します。
- [動的メンバーシップ ルールの追加]: 簡易ルール
- [追加するデバイスの場所]: enrollmentProfileName
- 中央のボックスで [等しい] を選択します。
- 最後のフィールドには、先ほど作成した登録プロファイル名を入力します。
動的メンバーシップルールの詳細については、「Microsoft Entra IDのグループの動的メンバーシップルール」を参照してください。
[クエリの追加]>[作成] を選択します。
QR コードを使用してデバイスを登録する
Android (AOSP) 登録プロファイルを設定して割り当てると、QR コードを使用してデバイスを登録できます。
新しいデバイス、または出荷時の設定に戻したデバイスの電源を入れます。
デバイスからメッセージが表示されたら、トークンの QR コードをスキャンします。
ヒント
Intuneでトークンにアクセスするには、[デバイス>の登録] に移動します。 次に、[*Android] タブ [企業所有のユーザー関連デバイス] を>選択します。 登録プロファイルを選択し、[ トークン] を選択します。
画面の指示に従って、デバイスの登録を完了します。 この間、次のアプリが自動的にインストールされ、登録に使用されます。
- Microsoft Intune アプリ
- Intune ポータル サイト アプリ
- Microsoft Authenticator アプリ
JSON を使用してデバイスを登録するには、デバイスの製造元が提供する手順を参照してください。
登録した後
アプリを更新する
Microsoft Intune アプリは自動的に更新されます。 アプリ更新プログラムが利用可能になると、Intune アプリは閉じて更新プログラムをインストールします。 更新プログラムをインストールするには、アプリを閉じたままにする必要があります。 アプリは、Microsoft Authenticator およびポータル サイト アプリの更新プログラムもインストールします。
デバイスをリモートで管理する
Android (AOSP) デバイスでは、次のリモート アクションを使用できます:
- ワイプ
- Delete
一度に 1 つのデバイスでアクションを実行できます。 Intune でリモート アクションを検索する場所の詳細については、「ワイプ、廃止、または手動での登録解除を使用してデバイスを削除する」 を参照してください。
注:
Android (AOSP) デバイスをワイプした後、出荷時の既定の設定に完全に復旧されるまで、デバイスは保留中の状態のままです。 その後、Intune はデバイス リストからそれを削除します。 デバイスを削除すると、デバイスは保留中の状態なく、直ぐにデバイス リストから削除され、デバイスが次回にチェック インするときに工場出荷時の状態にリセットされます。
トラブルシューティング
アプリのバージョンを表示する
Intuneアプリまたは Microsoft Authenticator アプリのどのバージョンがデバイス上にインストールされているかを確認します。
- [デバイス]に移動 し、デバイス名を選択します。
- [検出されたアプリ]を選択します。
- アプリを見つけて、[アプリケーション バージョン]列でバージョン番号を確認します。
トラブルシューティングとサポート
管理センターで [ トラブルシューティングとサポート ] を選択して、次の手順を実行します。
- ユーザーが登録した Android (AOSP) デバイスの一覧を表示する
- 他のユーザー デバイスのトラブルシューティングと同じ方法で、Android (AOSP) デバイスのトラブルシューティングを有効にします。
アプリ ログを Microsoft に共有する
登録または作業リソースへのアクセスに関する問題が発生した場合は、Intune アプリまたはポータル サイト アプリで Microsoft と診断ログを共有できます。 ログを登録すると、Microsoft サポート担当者と共有するインシデント ID を受け取ります。
既知の制限
Intune で AOSP デバイスを使用する場合の、既知の制限事項を次に示します:
- デバイス コンプライアンスとデバイス制限プロファイルを使用して、特定のパスワードの種類を強制することはできません。 パスワードの種類は次のとおりです:
- パスワード必須、制限なし
- アルファベット
- 英数字
- 英数字と記号
- 弱い生体認証
- デバイス コンプライアンス レポートは、Android (AOSP) では使用できません。
- Android (AOSP) 管理は、21Vianet が運営するIntuneではサポートされていません。
次の手順
デバイスの設定を制限するために、Android (AOSP) デバイス構成ポリシーを作成します。
登録前にユーザーが使用条件に同意することを要求するポリシーを作成します。
AOSP の使用を開始する方法の詳細については、「Android ソース要件」 (Android ソース ドキュメントが開く) を参照してください。