Microsoft Intune で Android デバイスの機能を制御する
前回、[Microsoft Intune で iOS/iPadOSデバイスの機能を制御する] で、Intune の構成プロファイルを利用した標準機能への制御設定を解説しましたが、Android デバイスも同様にユーザー操作による情報漏洩リスクを低減できる構成プロファイルを利用した機能制御方法を解説します。
Android デバイスの機能を制御する
Intune には管理デバイスの機能を設定が行える構成プロファイル機能があります。この機能を利用すると、デバイスのさまざまな機能に利用制限をかけユーザーが利用できないようにしたり、ロック解除時にパスコード入力を必須にするなどが可能です。
構成プロファイルは、インターネットに接続されていれば設定可能であるため、デバイスの場所や時間に関係なく設定、展開可能です。
Android デバイスで構成プロファイルを利用するときの特徴として、構成プロファイルは“仕事用プロファイル” に適用されます。
Android の仕事用プロファイルとは
Android を Intune にデバイス登録したときに自動的に作成されるプロファイルのことで、組織に関連するデバイス設定やアプリの配布、データを分離して管理 (MAM: モバイルアプリケーション管理) することができます。
※ 個人利用しているアプリやデータは個人プロファイルとして継続利用できます。
仕事用プロファイルと個人プロファイルと分離されることで、個人のアプリやデバイスに影響を与えず、配布したアプリやアプリのデータにのみ制限設定することができます。例えば、仕事用プロファイルの Outlook アプリでは会社のメールを利用し、個人プロファイルの Outlook アプリでは、個人のメールを利用します。同じアプリでも分離して管理されているため、組織のアプリのみに起動時にパスワードを入力させるなどのセキュリティ対策設定を行ったり、誤って組織データが個人アカウントから情報漏洩してしまうなどのトラブル発生を無くすことができます。
Android の構成プロファイル設定には、仕事用プロファイル用の設定とデバイス全体の設定が用意されています。
- 仕事用プロファイル内データを個人プロファイルのアプリにコピー/張り付けを禁止
- 仕事用プロファイルのアプリでカメラやスクリーンショットの利用禁止
- Play ストア以外のアプリのインストールを禁止
Android デバイス用の構成プロファイルを作成する
- Microsoft Endpoint Manager admin center (https://endpoint.microsoft.com/) を開き、[デバイス] – [Android] をクリックします。
- [構成プロファイル] – [プロファイルの作成] をクリックします。
- プラットフォームで [Android Enterprise] を選択します。
- [Android デバイス管理者] と [Android Enterprise] は、Android デバイスの管理方法のことです。
Google は 古い管理方法である [Android デバイス管理者] の管理サポートを縮小し、Android Enterprise の利用を奨励しているため、どちらかを選択するシーンでは Android Enterprise を選択することをおすすめします
- [Android デバイス管理者] と [Android Enterprise] は、Android デバイスの管理方法のことです。
- プロファイルの種類から 「個人所有の仕事用プロファイル」 の [デバイスの制限] をクリックし、[作成] をクリックします。
Android デバイスの種類は 4 種類にわけられています。
- 仕事用プロファイルを備えた個人所有のデバイス
個人の Android デバイスを管理する。(主に BYOD) - 会社が所有する完全に管理されたユーザーデバイス
仕事にしか利用しない組織所有デバイスを管理する。 - 会社が所有する専用端末
単一用途、キオスク端末として管理する。 - 仕事用プロファイルを備えた会社所有のデバイス (プレビュー)
仕事用プロファイルと個人プロファイルを備えている組織所有デバイスを管理する。
デバイス登録は、ユーザーではなく管理者が行う。
- 仕事用プロファイルを備えた個人所有のデバイス
- 名前を入力し、[次へ] をクリックします。
- Android デバイスに展開する設定を行います。設定後、[次へ] をクリックします。
※ Android のバージョンによっては設定できない項目があります。- 仕事用プロファイルの設定
仕事用プロファイルの設定を行います。ここで仕事用プロファイル内データを個人プロファイルのアプリにコピー/張り付けの禁止やカメラの利用禁止などができます。
- パスワード
デバイスのロック解除パスワードの設定を行います。
- システム セキュリティ
有害なアプリのインストールを防止する機能を有効にします。
- 接続
VPN の自動接続設定を有効にします。
- 仕事用プロファイルの設定
- 設定を割り当てるグループを指定し、[次へ] をクリックします。
- [作成] をクリックします。
構成プロファイルの展開確認
作成した構成プロファイルは、設定した対象先に自動的に展開されます。
※ 展開されるまでに数時間かかる場合があります。
構成プロファイルの展開状態を確認するには、作成した構成プロファイルのクリックし、[デバイスの状態] をクリックすると、展開状態が確認できます。
まとめ
Android デバイスも iOS/iPadOS と同様に構成プロファイルを使用し、デバイスの機能制限を行うことができます。さらに、Android は仕事用プロファイル機能があることで個人アプリ・データと組織のアプリ・データを分離した MAM 機能が利用できます。この機能を生かして、Intune からの設定内容を仕事用のアプリのみに反映させれたり、組織データを個人アプリにコピーすることを禁止することで、アプリからの情報漏洩を防止できます。Android の MAM の設定方法は、別の記事で解説できたらと思います。
Microsoft 365 管理者向けコース
- CI520-O 今からはじめる Azure AD 基礎
Microsoft 365、Microsoft Azure では、ユーザーの管理や認証を行うしくみとして Azure AD が採用されています。本コースでは Azure AD の基礎を理解し、組織のセキュリティ向上につながる設定や運用を行っていただくことをめざします。Azure AD を「何となく使っているけれど一度基本からしっかり理解を深めたい」という方や、これから Microsoft 365 の管理者になる AD をそもそも知らない方などにおすすめのコースです。 - CI531-H シナリオベースで理解する Microsoft 365 セキュリティ機能
Microsoft 365 で利用できるセキュリティ機能と、それぞれが何のために利用するものかシナリオベースで解説します。 “どんな” 機能が利用できて、”何に” 対するセキュリティ対策になり、利用するためにはどのような設定が必要かを整理します。 - CI525-H Office 365 とクラウドサービスの認証ベストプラクティス (Azure AD 編)
Microsoft 365 をはじめとするクラウドサービスへのユーザー認証の設計と実装について学習します。Azure AD では、SAML、OpenID Connect、OAuth2.0 など、様々なID 連携プロトコルを利用して 365 だけでなく、SaaS や PaaS などのクラウドサービスにシングルサインオンするために必要な実装やシングルサインオン環境を実現するために必要な知識を習得します。 - CI532-H EMS で実現するクラウド IT インフラ管理
企業でのデバイス管理や展開をおこなう方を対象に、EMS を利用した “モダンマネージメント” を実践していただこうと考えています。豊富な実習を通してクラウドベースでの IT インフラ管理へ移行する方法を習得し、管理の考え方もクラウドベースにシフトしていきましょう。 - CI535-H Microsoft 365 を利用したインシデント対応
Microsoft 365 E5 を利用している企業を対象に、サイバー攻撃の検知や対応を具体的に行う方法について解説し、インシデント対応プロセスをどのように進めていくべきかについてベストプラクティスを探っていきます。 - CI510-H 管理者のための Microsoft Teams – 活用シナリオ理解と管理手法
IT 管理者向けに Microsoft Teams 活用のためのシナリオや、必要となる管理知識を解説します。Teams の導入/展開にあたり、理解しておかないといけない運用管理の手法や注意事項をご理解いただけます。
オンライン コースも提供中!