Microsoft Intuneの管理対象 Android Enterprise デバイスのソフトウェア更新プログラム計画ガイド
パッチ、メジャー & マイナー更新プログラム、および新しいオペレーティング システム バージョンは頻繁にリリースされます。 組織は、最新のセキュリティ更新プログラムを取得するためにデバイスを更新しておく必要があります。
Android Google Mobile Services (GMS) を搭載したデバイスには、すべての Google アプリと Google サービスが含まれます。 これらのアプリとサービスは、OEM 独自のファームウェア機能とアプリの上にあります。 これらのデバイスは異なる種類の更新プログラムを受け取り、Google、OEM、およびサービス通信事業者/通信会社の動作に応じてランダムに更新されます。
Intuneには、ソフトウェア更新プログラムを管理できる組み込みのポリシーがあります。
この記事には、登録済みおよび管理対象の Android Enterprise デバイスの管理者チェックリストが含まれています。 この情報は、organization所有デバイスのソフトウェア更新プログラムを管理するのに役立ちます。
この記事は、次の項目に適用されます:
- Intuneに登録されている Android Enterprise デバイス
ヒント
デバイスが個人所有の場合は、 個人用デバイスのソフトウェア更新プログラム計画ガイドに移動します。
開始する前に
更新プログラムを受信するデバイスの遅延を回避するには、デバイスが次の状態であることを確認します。
- 電源オン
- 接続済み
- インターネットに接続されている
- アイドル状態でアクティブに使用されていない
企業デバイスの管理チェックリスト
企業またはorganization所有のデバイスは、organizationによって登録および管理する必要があります。 Android Enterprise の場合は、次の種類のデバイスでソフトウェア更新プログラムを管理できます。
- 専用デバイス
- フル マネージド デバイス
- 仕事用プロファイルを持つフル マネージド デバイス
このセクションでは、管理対象の Android デバイスにソフトウェア更新プログラムをインストールするための Microsoft が推奨するポリシーの一覧を示します。
✅ ポリシーを使用して更新プログラムを管理する
デバイスを更新するポリシーを作成します。 エンド ユーザーにこの責任を負ってはいけません。
ユーザーが (管理者が更新プログラムを管理する代わりに) 独自の更新プログラムをインストールすると、ユーザーの生産性とビジネス タスクが中断される可能性があります。 以下に例を示します。
ユーザーは必要に応じて更新プログラムを開始でき、更新プログラムのインストール中に作業できない場合があります。
ユーザーは、organizationが承認されていない更新プログラムを適用できます。 この決定により、アプリケーションの互換性、オペレーティング システムの変更、またはデバイスの使用を中断するユーザー エクスペリエンスの変更に関する問題が発生する可能性があります。
ユーザーは、セキュリティまたはアプリの互換性に影響を与える必要な更新プログラムの適用を回避できます。 この状況により、デバイスが危険にさらされたり、デバイスが機能しなくなる可能性があります。
✅ システム更新設定を構成する
Intune デバイス構成プロファイル (Devices>Manage devices>Configuration>Create>Device restrictions>General) の [システム更新プログラム] 設定を使用して OS 更新プログラムを管理します。
登録済みの Android Enterprise デバイスの場合は、この設定を構成し、更新プログラムをインストールするタイミングを選択できます。 たとえば、次のようなことが可能です。
デバイスが Wi-Fi に接続されていて、充電中でアイドル状態の場合に更新プログラムを自動的にインストールする、デバイスの既定の動作を使用します。
ユーザー操作なしで更新プログラムを自動的にインストールします。 保留中の更新プログラムはすぐにインストールされます。
更新プログラムを 30 日間延期してから、更新プログラムのインストールをユーザーに求めます。 デバイスの製造元または通信事業者が、重要なセキュリティ更新プログラムが延期されるのを防ぐことを期待してください。
特定の期間に更新プログラムを自動的にインストールするメンテナンス期間を作成します。
この設定と構成できる値の詳細については、「Android Enterprise デバイス設定の一覧」を参照して、Intuneを使用して企業所有デバイスの機能を許可または制限します。
✅ 重要な時間帯に固定期間を使用する
Intune デバイス構成プロファイル (デバイス>管理デバイス>Configuration>Create>Device restrictions>General) の [システム更新プログラムの固定期間] 設定を構成します。
休日やその他のイベントなどの重要な期間に、固定期間を設定すると、デバイスがシステム更新プログラム、セキュリティ パッチ、保留中の更新プログラムに関する通知を受信できなくなります。 ユーザーは手動で更新プログラムをチェックできません。
この設定の詳細については、「Android Enterprise デバイス設定の一覧」を参照して、Intuneを使用して企業所有デバイスの機能を許可または制限します。
✅ ファームウェアの更新に OEMConfig を使用する
一部の堅牢な Android デバイスでは、OEMConfig を使用して、その OEM に固有のファームウェア更新プログラムやその他の設定を構成できます。 OEM が OEMConfig アプリを提供する場合は、Intuneでアプリを展開し、構成プロファイルを使用してその設定を構成できます。
作業を開始するには、Intuneで OEMConfig を使用して Android Enterprise デバイスを使用して管理するに関するページを参照してください。 この記事では、Intuneサポートされている OEMConfig アプリの一覧も示します。
構成スキーマで使用できるファームウェアやその他の設定については、製造元にお問い合わせください。
古いデバイスをアップグレードする
2022 年 1 月 7 日の時点で、サポートされている最小バージョンは次のとおりです。
- モバイル デバイス管理用の Android 8.0 (MDM)
- モバイル アプリケーション管理用の Android 9.0 (MAM)
Intuneに現在登録されている古いバージョンを実行している Android デバイスは、Android ポータル サイト アプリまたはIntune アプリの更新プログラムを受け取りません。 これらのアプリは Google Play ストアでは利用できません。 これらのアプリがこの変更の前にダウンロードされた場合、デバイスは登録からブロックされません。 これらのデバイスに適用されたポリシーは引き続き展開されますが、デバイスはサポートされている状態ではありません。
現在、organizationで古い Android バージョンを実行しているデバイスがある場合は、アップグレードまたは置き換えます。 この記事の情報を使用して、更新戦略を定義するのに役立ちます。 新しい OS バージョンを使用すると、ユーザーとorganizationの生産性とセキュリティが向上します。
バージョン情報の詳細については、「Intuneでサポートされているオペレーティング システムとブラウザー」を参照してください。