# ポリシー - Android

# 概要

Androidポリシーはシステムのコアエンティティです。これらは、管理対象デバイスに適用および強制されるルールを定義します。

ダッシュボードの**ポリシー**セクションから、ポリシーの閲覧や新規作成が可能です。Androidポリシーを開くには、テーブル内のポリシー行をクリックしてください。**ポリシーエディタ**ページが開きます。

ポリシーを[登録トークン](https://enterprise.cerberusapp.com/docs/books/94f6d/page/f8991 "Enrollment tokens")に関連付けることができ、これによりプロビジョニングプロセス中にデバイスへ自動的に適用されます。また、プロビジョニング後にデバイスに割り当てられたポリシーを変更することも可能です。

<p class="callout info">各デバイスに関連付けられるポリシーは、一度に1つのみです。</p>

<p class="callout info">多くのポリシーオプションは、特定のデバイスタイプ（フルマネージド、専用、仕事用プロファイル）やAndroidのバージョンにのみ適用されます。サポートされていない設定は、デバイスによって無視されるか、非準拠として報告される場合があります。</p>

## ポリシーエディタのレイアウト

ポリシーエディタは、展開可能なセクションのセットで構成されています。ページ上部では、常に以下の項目を編集できます。

- **名前** (必須)
- **ID** (読み取り専用)
- **説明** (任意)

以下のセクションは、ポリシーエディタのパネル（例：アプリ管理、セキュリティ、ネットワーク、システム、個人利用、クロスプロファイルポリシーなど）に対応しています。各パネルの詳細については、本マニュアルの各章をご参照ください。

## 保存、削除、および関連付けられたデバイス

変更を適用するには、**ポリシーを保存**を使用します。保留中の編集がない場合、またはライセンスの期限が切れている場合、このボタンは無効になります。

既存のポリシー（IDがあるもの）を開いた場合、ページには**ポリシーを削除**アクションと、下部に**関連付けられたデバイス**リストが表示され、現在そのポリシーを使用しているデバイスの数を確認できます。

# アプリ管理

このセクションでは、アプリの利用可能性、インストール、アップデート、および権限管理に関するポリシーを設定できます。

<p class="callout info">デバイスのプロビジョニング時に、管理対象Google Playアカウントが自動的に作成されます。</p>

#### 1. Playストアモード

このモードでは、Playストアでユーザーが利用できるアプリ、およびポリシーからアプリが削除された際のデバイス上での動作を制御します。

**ホワイトリスト（デフォルト）**: ポリシーに含まれるアプリのみが利用可能になり、ポリシーに含まれていないアプリはデバイスから自動的にアンインストールされます。Playストアには利用可能なアプリのみが表示されます。

**ブラックリスト**: すべてのアプリが利用可能です。デバイスにインストールされるべきではないアプリは、アプリケーションポリシーで明示的に**ブロック**としてマークする必要があります。Playストアには、ブロックされたアプリを除くすべてのアプリが表示されます。

#### 2. 信頼できないアプリのポリシー

デバイスに適用される、信頼できないアプリ（不明なソースからのアプリ）に関するポリシーです。このオプションは、ユーザーがPlayストア以外からアプリをインストールできるかどうかを決定するAndroidのシステム設定を制御します。

**禁止（デフォルト）**: デバイス全体で信頼できないアプリのインストールを禁止します。

**個人用プロファイルのみ**: 仕事用プロファイルが設定されているデバイスにおいて、信頼できないアプリのインストールをデバイスの個人用プロファイルでのみ許可します。

**許可**: デバイス全体で信頼できないアプリのインストールを許可します。

#### 3. Google Play プロテクト

Google Play プロテクトによるアプリの検証を強制するかどうかを設定します。

**強制（デフォルト）**: アプリの検証を強制的に有効にします。

**ユーザーによる選択**: ユーザーがアプリの検証を有効にするかどうかを選択できるようにします。

#### 4. デフォルトの権限ポリシー

アプリへの実行時権限リクエストの許可に関するポリシーです。

**プロンプト（デフォルト）**: ユーザーに権限の許可を求めるプロンプトを表示します。

**許可**: 権限を自動的に許可します。

**拒否**: 権限を自動的に拒否します。

#### 5. アプリの機能

フル管理デバイスまたは仕事用プロファイル上のアプリが、アプリの機能（App functions）を公開することを許可するかどうかを制御します。Android 16以上が必要です。

**許可（デフォルト）**: フル管理デバイスまたは仕事用プロファイル上のアプリが、アプリの機能を公開できます。

**禁止**: フル管理デバイスまたは仕事用プロファイル上のアプリは、アプリの機能を公開できません。

#### 6. アプリのインストール無効化

ユーザーによるアプリのインストールを無効にするかどうかを設定します。

#### 7. アプリのアンインストール無効化

ユーザーによるアプリのアンインストールを無効にするかどうかを設定します。

#### 8. 権限ポリシー

すべてのアプリに対する、明示的な権限またはグループの許可・拒否設定です。これらの値は**デフォルトの権限ポリシー**の設定を上書きします。

**権限ポリシーの追加**を使用してエントリを作成し、削除アクションでそれらを削除します。

各エントリには以下が含まれます：

**Androidの権限/グループ**: Androidの権限またはグループ（必須）。例：**android.permission.READ\_CALENDAR** または **android.permission\_group.CALENDAR**。

**ポリシー**: 許可 / 拒否 / プロンプト（**デフォルトの権限ポリシー**と同じポリシーオプションを使用します）。

#### 9. アプリケーション

ポリシーに含める必要があるアプリケーションのリストです。リストの内容の動作は、**Play Storeモード**で設定された値に依存します。

**Play Storeモード**が**ホワイトリスト**に設定されている場合、ポリシーに含まれるアプリのみが利用可能になり、ポリシーに含まれていないアプリはデバイスから自動的にアンインストールされます。

**Play Storeモード**が**ブラックリスト**に設定されている場合、すべてのアプリが利用可能です。デバイスにインストールされるべきではないアプリは、アプリケーションポリシーで明示的に**ブロック**としてマークする必要があります。

新しいアプリを追加するには、**アプリケーションを追加**ボタン（または**アプリケーションを追加**アイコン）をクリックし、Playストアからアプリを選択して、アプリカード内の**選択**ボタンをクリックします。

<p class="callout info">デフォルトでは、お住まいの国でPlayストアに公開されているすべてのアプリが選択可能です。独自のプライベートアプリやウェブアプリを選択するには、まずそれらをシステムにアップロードする必要があります。詳細については、[**プライベートアプリ**](https://enterprise.cerberusapp.com/docs/books/94f6d/page/c9f0f "Private apps") ページをお読みください。 </p>

各アプリは、カード内に視覚的にまとめられた独自の個別の設定を行うことができます。

##### 9.1. インストールタイプ

アプリに対して実行するインストールの種類。

**利用可能**: アプリをインストールできます。

**プリインストール済み**: アプリが自動的にインストールされます。ユーザーによる削除が可能です。

**強制インストール済み**: アプリが自動的にインストールされ、ユーザーによる削除はできません。

**ブロック済み**: アプリがブロックされ、インストールできません。以前のポリシーでアプリがインストールされていた場合は、アンインストールされます。

**セットアップに必須**: アプリが自動的にインストールされ、ユーザーによる削除はできません。また、インストールが完了するまでセットアップの完了を妨げます。

**キオスク**: アプリがキオスクモードで自動的にインストールされます。このアプリは優先ホームインテントとして設定され、ロックタスクモードのホワイトリストに登録されます。アプリがインストールされるまでデバイスのセットアップは完了しません。インストール後、ユーザーはこのアプリを削除することはできません。この**インストールタイプ**は、1つのポリシーにつき1つのアプリにのみ設定できます。これがポリシーに含まれている場合、ステータスバーは自動的に無効になります。詳細については、専用の[**キオスクモード**](https://enterprise.cerberusapp.com/docs/books/94f6d/page/69adc "Kiosk mode") ページをお読みください。

##### 9.2. インストール制約

アプリのインストールに関する一連の制限事項を定義します。複数の制約が選択されている場合、アプリをインストールするにはそれらすべての条件を満たす必要があります。

<p class="callout info">このオプションは、**インストールタイプ**が**プリインストール済み**または**強制インストール済み**の場合にのみ表示されます。 </p>

**従量制ではないネットワーク**: デバイスが従量制ではないネットワーク（Wi-Fiなど）に接続されている場合にのみ、アプリをインストールします。

**充電中**: デバイスが充電されている場合にのみ、アプリをインストールします。

**アイドル時**: デバイスがアイドル状態のときにのみ、アプリをインストールします。

##### 9.3. 自動更新モード

アプリの自動更新モードを制御します。

**デフォルト**: ユーザーへの影響を最小限に抑えるため、低優先度でアプリが自動更新されます。アプリは、以下の制約がすべて満たされたときに更新されます：(1) デバイスがアクティブに使用されていない、(2) デバイスが従量制ではないネットワークに接続されている、(3) デバイスが充電中である。開発者によって更新が公開されてから24時間以内にデバイスに通知が行われ、その後、上記の制約が満たされた際にアプリが更新されます。

**延期**: アプリのバージョンが古くなってから最大90日間、自動更新は行われません。アプリが古くなってから90日が経過すると、利用可能な最新バージョンが低優先度で自動的にインストールされます（**デフォルト** の自動更新モードを参照）。アプリが更新された後は、再びバージョンが古くなってから90日が経過するまで、自動更新は行われません。なお、ユーザーはいつでもPlayストアから手動でアプリを更新できます。

**高優先度**: アプリが可能な限り速やかに更新されます。制約は適用されません。新しいアップデートが利用可能になると、直ちにデバイスに通知されます。

##### 9.4. 最小バージョンコード

デバイスで実行されるアプリの最小バージョンです。設定されている場合、デバイスはそのバージョンコード以上までアプリを更新しようと試みます。アプリが最新でない場合、デバイスには**非準拠の詳細**が表示され、**非準拠の理由**には**APP\_NOT\_UPDATED**が設定されます。アプリは、あらかじめこの値以上のバージョンコードでGoogle Playに公開されている必要があります。1つのポリシーにつき、最大20個のアプリまで最小バージョンコードを指定できます。

##### 9.5. 委任されたスコープ

Android Device Policyからアプリに委任されたスコープです。他のアプリに対して、選択した特別なAndroid権限を付与できます。

**証明書のインストール**: 証明書のインストールおよび管理へのアクセスを許可します。

**管理対象構成**: 管理対象構成の管理へのアクセスを許可します。

**アンインストール禁止**: アンインストールを禁止する権限を付与します。

**権限**: 権限ポリシーおよび権限の付与状態へのアクセスを許可します。

**パッケージアクセス**: パッケージアクセスの状態へのアクセスを許可します。

**システムアプリ**: システムアプリを有効にするためのアクセス権を付与します。

##### 9.6. 優先ネットワーク

このアプリで使用する優先ネットワークサービスです。設定されている場合、利用可能なときは指定されたエンタープライズ・ネットワークスライスを使用して接続が行われます。これは、**セルラー**パネルの**5Gネットワークスライシング設定**セクションで構成されているネットワークスライスと一致している必要があります。

<span style="color: #222222; font-size: 1.4em; font-weight: 400;">9.7. デフォルトの権限ポリシー</span>

アプリがリクエストするすべての権限に対するデフォルトのポリシーです。指定した場合、すべてのアプリに適用されるポリシーレベルの**デフォルトの権限ポリシー**を上書きします。ただし、すべてのアプリに適用される**権限ポリシー**を上書きすることはありません。

**プロンプト（デフォルト）**: ユーザーに権限の許可を求めるプロンプトを表示します。

**許可**: 権限を自動的に許可します。

**拒否**: 権限を自動的に拒否します。

##### 9.8. 仕事用と個人用のアプリの接続

ユーザーの同意を条件として、デバイスの仕事用プロファイルと個人用プロファイル間でアプリが相互に通信できるかどうかを制御します（Android 11以降）。

**禁止（デフォルト）**: プロファイル間でのアプリの通信を禁止します。

**許可**: ユーザーの同意を得た後、プロファイル間でのアプリの通信を許可します。

##### 9.9. Always On VPN ロックダウンの例外設定

VPNが接続されておらず、**ロックダウンが有効**な場合に、アプリのネットワーク利用を許可するかどうかを指定します。Android 10以降を実行しているデバイスでのみサポートされています。

**強制（デフォルト）**: アプリは Always On VPN ロックダウンの設定に従います。

**例外**: アプリは Always On VPN ロックダウンの設定の対象外となります。

##### 9.10. 仕事用プロファイルのウィジェット

仕事用プロファイルにインストールされたアプリが、ホーム画面にウィジェットを追加することを許可するかどうかを指定します。

**許可**: アプリケーションがホーム画面にウィジェットを追加できます。

**禁止**: アプリケーションはホーム画面にウィジェットを追加できません。

##### 9.11. ユーザー操作設定

特定のアプリに対してユーザーによる操作を許可するかどうかを指定します。ユーザーによる操作には、アプリの強制停止やアプリデータの消去（Android 11以降）などのアクションが含まれます。アプリに対して**extensionConfig**が有効になっている場合、この設定に関わらずユーザーによる操作は禁止されます。キオスクアプリの場合、**Allowed**を使用することで、ユーザーによる操作を許可できます。

**未指定**: ユーザーによる操作を許可するかどうかを判断するために、アプリのデフォルトの動作を使用します。

**Allowed**: アプリに対してユーザーによる操作が許可されます。

**Disallowed**: アプリに対してユーザーによる操作が禁止されます。

##### 9.12. 無効化済み

アプリが無効化されているかどうかを指定します。無効化されている間も、アプリのデータは保持されます。

##### 9.13. 認証プロバイダーを許可

Android 14以降において、アプリが認証プロバイダーとして動作することを許可するかどうかを指定します。

##### 9.14. 管理設定

アプリの管理設定を構成するには、**Enable managed configuration**ボタンをクリックしてください。すでにアプリに管理設定が適用されている場合は、**Managed configuration**ボタンで設定を変更するか、**Remove configuration**ボタンで削除できます。

<p class="callout info">**Managed configuration**オプションは、この機能に対応しているアプリでのみ利用可能です。 </p>

##### 9.15. 権限ポリシー

アプリに対する明示的な権限の許可または拒否を指定します。これらの値は、すべてのアプリに適用される**Default permission policy**および**Permission policies**よりも優先されます。

**Add permission policy**を使用して、アプリカードに1つ以上の権限ルールを追加できます。削除アクションによってそれらを削除することも可能です。

##### 9.16. トラックID

デバイスがアクセス可能なアプリのクローズドテスト用トラックIDのリストです。複数のトラックIDが選択されている場合、デバイスはアクセス可能なすべてのトラックの中で最新のバージョンを受け取ります。トラックIDが選択されていない場合、デバイスはアプリのプロダクション（本番用）トラックにのみアクセスできます。

<p class="callout info">**Track IDs**オプションは、組織に対して利用可能なトラックIDが少なくとも1つあるアプリでのみ利用可能です。特定のアプリのクローズドテスト用トラックに組織を追加する方法の詳細については、[こちら](https://developers.google.com/android/management/apps#distribute_apps_for_closed_testing)をお読みください。 </p>

#### 10. デフォルトのアプリケーション設定

サポートされているタイプごとにデフォルトのアプリを設定します。少なくとも1つのタイプに対してデフォルトアプリが設定されると、そのプロファイル内でのユーザーによるデフォルトアプリの変更が禁止されます。

<p class="callout info">**Default application type**ごとに、許可されるデフォルトのアプリケーション設定は1つのみです。デフォルトのアプリケーションリストに重複を含めることはできません。 </p>

##### 10.1. デフォルトのアプリケーションタイプ

構成するアプリのカテゴリを選択します（例：ブラウザ、ダイヤラー、SMS、ウォレット、アシスタントなど）。利用可能性はAndroidのバージョンおよび管理モードによって異なります。

##### 10.2. デフォルトのアプリケーション範囲

デフォルトアプリを適用する範囲を選択します（フル管理、仕事用プロファイル、または個人用プロファイル）。選択したタイプでサポートされている範囲のみを選択できます。

<p class="callout info">選択した範囲のいずれもデバイスの管理モードに適用できない場合、デバイスは非準拠の詳細を報告します。</p>

##### 10.3. デフォルトのアプリケーション

選択したタイプに対してデフォルトとして設定できるアプリのリストです。最初にインストールされ、要件を満たしているアプリがデフォルトとして設定されます。

<p class="callout warning">範囲に**Fully managed**または**Work profile**が含まれる場合、各アプリは**Applications**リストに存在し、かつ**Install type**が**Blocked**に設定されていない必要があります。 </p>

#### 11. プライベートキーの選択

**Choose private key rules**に一致するルールがない場合に、ユーザーがプライベートキーのエイリアスを選択するためのUIをデバイスに表示することを許可します。

<p class="callout warning">Android P未満のデバイスでは、この設定を行うとエンタープライズキーが脆弱になる可能性があります。</p>

#### 12. プライベートキー選択ルール

アプリのプライベートキーへのアクセスを制御します。このルールは、Android Device Policyが指定されたアプリに対してどのプライベートキー（存在する場合）を許可するかを決定します。アクセスは、アプリが特定のURLに対してプライベートキーのエイリアスを要求するためにKeyChain.choosePrivateKeyAlias（またはそのオーバーロード）を呼び出したとき、あるいはURLに依存しないルール（つまり、urlPatternが設定されていない、または空文字列や「.\*」に設定されている場合）において、Android 11以降でKeyChain.choosePrivateKeyAliasを事前に呼び出すことなく直接KeyChain.getPrivateKeyを呼び出せるように、アクセスが許可されます。アプリがKeyChain.choosePrivateKeyAliasを呼び出した際、複数のchoosePrivateKeyRulesが一致する場合は、最後に一致したルールによって返されるキーのエイリアスが定義されます。

**Add private key rule**を使用してエントリを作成し、削除アクションによってそれらを削除できます。

##### 12.1. プライベートキーのエイリアス

使用されるプライベートキーのエイリアスです。

##### 12.2. URLパターン

リクエストのURLと照合するURLパターンです。設定されていないか空の場合は、すべてのURLに一致します。これはjava.util.regex.Patternの正規表現構文を使用します。

##### 12.3. パッケージ名

このルールが適用されるパッケージ名です。各アプリの署名証明書のハッシュが、Playから提供されたハッシュと照合されます。パッケージ名が指定されていない場合、KeyChain.choosePrivateKeyAlias（またはそのオーバーロード）を呼び出したすべてのアプリにエイリアスが提供されます（ただし、Android 11以降であっても、KeyChain.choosePrivateKeyAliasを呼び出さずにアクセスできるわけではありません）。ここに指定されたパッケージと同じAndroid UIDを持つアプリは、KeyChain.choosePrivateKeyAliasを呼び出した際にアクセス権が付与されます。

**Add package name**を使用してエントリを追加し、削除アクションによってそれらを削除できます。

<p class="callout info">アプリを削除するには、アプリカードの下部にある**ゴミ箱**アイコンをクリックしてください。 </p>

<div id="bkmrk-"><div></div></div>

# キオスクモード

キオスクモードを使用すると、デバイスの機能を単一のアプリまたは複数のアプリに制限できます。シングルアプリ・キオスクモードとマルチアプリ・キオスクモードのどちらを選択するかは、ビジネス目標によって決まります。

**single-app kiosk mode**では、デバイスが単一のアプリケーション用に構成され、エンドユーザーはデバイス上の他のアプリにアクセスできなくなります。また、アプリを終了することもできないため、その特定のアプリ専用のデバイスとなります。このモードを有効にするには、[**App management**](https://enterprise.cerberusapp.com/docs/books/94f6d/page/3b8a6 "App management")セクションで、**Install type**を**Kiosk**に設定してアプリを指定してください。

**multi-app kiosk mode**では、デバイスで複数のアプリケーションへのアクセスが許可されます。エンドユーザーはカスタムランチャーを介して複数のアプリ間を移動できます。このモードを有効にするには、**Kiosk custom launcher**オプションをオンにします。

キオスクモードが有効な場合、システム設定やステータスバーなどの特定のシステム機能にエンドユーザーがアクセスできるかどうかを構成することもできます。

##### キオスク用カスタムランチャー

キオスク用カスタムランチャーを有効にするかどうかを指定します。これを有効にすると、ホーム画面が[**App management**](https://enterprise.cerberusapp.com/docs/books/94f6d/page/3b8a6 "App management")設定でインストールされたアプリにデバイスを制限するランチャーに置き換わります。アプリは単一のページにアルファベット順で表示されます。

##### 電源ボタンのアクション

キオスクモード中のデバイスにおいて、ユーザーが電源ボタンを長押しした際の動作を設定します。

**Available (default)**: キオスクモード中のデバイスでユーザーが電源ボタンを長押ししたときに、電源メニュー（例：電源オフ、再起動）が表示されます。

**Blocked**: キオスクモード中のデバイスでユーザーが電源ボタンを長押ししても、電源メニュー（例：電源オフ、再起動）は表示されません。注意: これによりユーザーがデバイスの電源を切ることができなくなる場合があります。

##### システムエラー警告

キオスクモードにおいて、アプリのクラッシュや応答なし（ANR）によるシステムエラーダイアログをブロックするかどうかを指定します。ブロックされた場合、ユーザーがUI上で「アプリを閉じる」オプションを選択したときのように、システムはアプリを強制停止します。

**Blocked (default)**: クラッシュやアプリの応答なし（ANR）などのすべてのシステムエラーダイアログがブロックされます。ブロックされた場合、ユーザーがUIからアプリを閉じたときのように、システムはアプリを強制停止します。

**Enabled**: クラッシュやアプリの応答なし（ANR）などのすべてのシステムエラーダイアログが表示されます。

##### システムナビゲーション

キオスクモードにおいて、どのナビゲーション機能（ホームボタンや概要ボタンなど）を有効にするかを指定します。

**Disabled (default)**: ホームボタンおよび概要ボタンにアクセスできません。

**Home only**: ホームボタンのみが有効になります。

**Enabled**: ホームボタンおよび概要ボタンが有効になります。

##### ステータスバー

キオスクモードにおいて、システム情報および通知を無効にするかどうかを指定します。

**Disabled (default)**: キオスクモードにおいて、システム情報および通知が無効になります。

**System only**: ステータスバーにはシステム情報のみが表示されます。

**Enabled**: キオスクモードにおいて、ステータスバーにシステム情報と通知が表示されます。注意: このポリシーを適用するには、kioskCustomization.systemNavigationを使用してデバイスのホームボタンを有効にする必要があります。

##### デバイス設定

キオスクモードにおいて、設定アプリの使用を許可するかどうかを指定します。

**Allowed (default)**: キオスクモードにおいて、設定アプリへのアクセスが許可されます。

**Blocked**: キオスクモードにおいて、設定アプリへのアクセスは許可されません。

# セキュリティ

このセクションでは、セキュリティ関連のポリシーを構成できます。

#### セキュリティリスクのアクション

ステータスレポートでデバイスがセキュリティリスクを報告した際の動作を選択します。

サポートされているSecurityRiskの種類：

**不明なOS**: Play Integrity APIが、デバイスが不明なOSを実行していることを検出しました（basicIntegrityチェックは成功しましたが、ctsProfileMatchが失敗しています）。

**侵害されたOS**: Play Integrity APIが、デバイスが侵害されたOSを実行していることを検出しました（basicIntegrityチェックが失敗しています）。

**ハードウェアによる評価の失敗**: デバイスの整合性フィールドに MEETS\_STRONG\_INTEGRITY ラベルが表示されない場合、Play Integrity API はデバイスのシステム整合性の保証が不十分であることを検出します。

利用可能なアクション：

**企業データのワイプ（デフォルト）**: 登録解除および業務データのワイプを行います（フルマネージドの場合はデバイス全体、プロファイル所有の場合はワークプロファイルのみ）。

**アクションなし**: デバイスの登録を維持し、自動的な操作は行いません。

**企業データのワイプ**を選択すると、ワイプオプションを構成することもできます。

**工場出荷時リセット保護を保持**: デバイスをワイプする際に、工場出荷時リセット保護 (FRP) データを保持します。

**外部ストレージのワイプ**: ワイプを実行する際に、デバイスの外部ストレージ（SDカードなど）も追加でワイプします。

**eSIMのワイプ**: 会社所有のデバイスの場合、デバイスをワイプする際にすべてのeSIMが削除されます。個人所有のデバイスの場合、管理対象のeSIM（ADD\_ESIMコマンドを介して追加されたeSIM）のみが削除され、個人所有のeSIMは削除されません。

#### 1. ロックまでの最大時間

デバイスがロックされるまでの、ユーザーのアクティビティの最大時間（秒単位）です。0に設定すると制限なしとなります。

#### 2. 充電中に画面をオンのままにする

デバイスがオンの状態を維持する、バッテリー接続中のモードです。この設定を使用する場合、デバイスがオンの状態でロックされないよう、**ロックまでの最大時間**をクリア（0に設定）することを推奨します。

**AC充電器**: 電源がAC充電器である場合。

**USBポート**: 電源がUSBポートである場合。

**ワイヤレス充電器**: 電源がワイヤレスである場合。

#### 3. キーガードの無効化

trueの場合、プライマリおよび/またはセカンダリディスプレイのロック画面を無効にします。このポリシーは、専用デバイス管理モードでのみサポートされています。

#### 4. パスワード要件

パスワード要件ポリシー。

**パスワード要件の設定**を使用して、1つ以上のパスワード要件ブロックを追加します。**すべてクリア**を使用すると、設定済みのすべてのパスワード要件を削除できます。

パスワード要件には、**自動**スコープ（単一の要件）または、個別の**デバイス**/**仕事用プロファイル**スコープを使用できます。複雑さに基づく要件は、同じスコープ内の品質に基づく要件と組み合わせる必要があります。

##### 4.1. スコープ

パスワード要件が適用されるスコープ。

**自動**: スコープは指定されません。仕事用プロファイルデバイスの場合は仕事用プロファイルに、フルマネージドまたは専用デバイスの場合はデバイス全体にパスワード要件が適用されます。

**デバイス**: パスワード要件はデバイスにのみ適用されます。

**仕事用プロファイル**: パスワード要件は仕事用プロファイルにのみ適用されます。

##### 4.2. パスワード履歴の長さ

パスワード履歴の長さ。この値を設定すると、ユーザーは履歴内のいずれかのパスワードと同じ新しいパスワードを入力できなくなります。0を設定した場合は、制限なしとなります。

##### 4.3. 消去までの最大パスワード失敗回数

デバイスが消去されるまでに、誤ったデバイスロック解除パスワードを入力できる回数です。0を設定した場合は、制限なしとなります。

##### 4.4. パスワード有効期限（日数）

この設定により、指定された日数が経過した後、ユーザーは定期的にパスワードを更新する必要があります。

##### 4.5. パスワードによるロック解除の要件

強力な認証方法（パスワード、PIN、パターン）を使用してデバイスまたは仕事用プロファイルがロック解除された後、他の認証方法（指紋、信頼できるエージェント、顔認証など）を使用してロック解除が可能となる時間です。指定された時間が経過すると、デバイスまたは仕事用プロファイルのロック解除には強力な認証方法のみが使用可能になります。

**デバイスのデフォルト**: タイムアウト期間がデバイスのデフォルト値に設定されます。

**毎日**: タイムアウト期間が24時間に設定されます。

##### 4.6. パスワードの品質

必要なパスワードの品質。

**複雑さ：高**: 高いパスワード複雑性の基準を次のように定義します。Android 12以上の場合：繰り返し（4444）や連続した数字（1234、4321、2468）を含まないPIN、長さ8文字以上。英字のみの場合、長さ6文字以上。英数字混在の場合、長さ6文字以上。

**複雑さ：中**: 中程度のパスワード複雑性の基準を次のように定義します。繰り返し（4444）や連続した数字（1234、4321、2468）を含まないPIN、長さ4文字以上。英字のみの場合、長さ4文字以上。英数字混在の場合、長さ4文字以上。

**複雑さ：低**: 低いパスワード複雑性の基準を次のように定義します。パターン、または繰り返し（4444）や連続した数字（1234、4321、2468）を含むPIN。

**なし**: パスワード要件はありません。

**弱い**: デバイスは、最低でも低セキュリティの生体認証技術で保護されている必要があります。これには、個人の識別が3桁のPINとほぼ同等（誤検知率が1,000件に1件未満）の技術が含まれます。

**任意**: パスワードは必要ですが、パスワードの内容に関する制限はありません。

**数字**: パスワードには数字を含める必要があります。

**数字（複雑）**: パスワードには数字を含める必要があります。ただし、繰り返し（4444）や連続した数字（1234、4321、2468）は使用できません。

**英字**: パスワードには英字（または記号）を含める必要があります。

**英数字**: パスワードには数字と英字（または記号）の両方を含める必要があります。

**複雑**: パスワードは、passwordMinimumLength、passwordMinimumLetters、passwordMinimumSymbols などの最小要件を満たす必要があります。例えば、passwordMinimumSymbols が 2 の場合、パスワードには少なくとも2つの記号を含める必要があります。

##### 4.7. 最小の長さ

許可される最小のパスワードの長さ。0を設定した場合は、制限なしとなります。

##### 4.8. 最小の文字数

パスワードに必要な最小の文字数。

##### 4.9. 最小の小文字数

パスワードに必要な最小の小文字数。

##### 4.10. 最小の大文字数

パスワードに必要な最小の大文字数。

##### 4.11. 最小の非文字数

パスワードに必要な最小の非文字数（数字または記号）。

##### 4.12. 最小の数字数

パスワードに必要な最小の数字数。

##### 4.13. 最小の記号数

パスワードに必要な最小の記号数。

##### 4.14. 統合ロック

Android 9以上かつ仕事用プロファイルが設定されているデバイスにおいて、デバイスと仕事用プロファイルで統合ロックを許可するかどうかを制御します。他のデバイスには影響しません。

**統合ロックを許可**: デバイスと仕事用プロファイルで共通のロックを使用できます。

**個別の仕事用ロックを必須にする**: 仕事用プロファイルに個別のロックが必要になります。

#### 5. 工場出荷時設定へのリセットの無効化

設定からの工場出荷時設定へのリセットが、無効化されているかどうか。フルマネージドデバイスにのみ適用されます。

#### 6. 工場出荷時設定へのリセット保護

工場出荷時設定へのリセット保護のためのデバイス管理者のメールアドレスです。デバイスが不正な工場出荷時設定へのリセットを受けた場合、これらの管理者のいずれかがGoogleアカウントのメールアドレスとパスワードを使用してログインし、デバイスのロックを解除する必要があります。管理者が指定されていない場合、デバイスには工場出荷時設定へのリセット保護は適用されません。フルマネージドデバイスにのみ適用されます。

**管理者メールアドレス**: 管理者の設定を開始するには、**工場出荷時設定へのリセット保護を有効にする**を使用します。次に、**管理者メールアドレスの追加**を使用してアドレスを追加し、削除アクションでそれらを削除します。

#### 7. キーガード機能

無効化できるキーガード（ロック画面）機能。

##### 7.1. すべて無効にする

現在および将来のすべてのキーガードのカスタマイズを無効にします。

##### 7.2. カメラを無効にする

セキュアなキーガード画面（PINなど）でのカメラ使用を無効にします。

##### 7.3. 通知を無効にする

セキュアなキーガード画面でのすべての通知表示を無効にします。

##### 7.4. 未編集の通知を無効にする

セキュアなキーガード画面での未編集の通知表示を無効にします。

##### 7.5. 信頼できるエージェントの状態を無視する

セキュアなキーガード画面での信頼できるエージェントの状態を無視します。

##### 7.6. 指紋認証を無効にする

セキュアなキーガード画面での指紋センサーの使用を無効にします。

##### 7.7. 通知へのテキスト入力を無効にする

セキュアなキーガード画面での通知へのテキスト入力を無効にします。

##### 7.8. 顔認証を無効にする

セキュアなキーガード画面での顔認証を無効にします。

##### 7.9. 虹彩認証を無効にする

セキュアなキーガード画面での虹彩認証を無効にします。

##### 7.10. すべての生体認証を無効にする

セキュアなキーガード画面でのすべての生体認証を無効にします。

##### 7.11. すべてのショートカットを無効にする

Android 14以上において、セキュアなキーガード画面上のすべてのショートカットを無効にします。

# マルチメディア

このセクションでは、カメラ/マイクの動作、USBデータアクセス、印刷、およびディスプレイ関連の制限を構成できます。

#### 1. カメラへのアクセス

カメラの使用、およびユーザーがカメラアクセスの切り替え設定にアクセスできるかどうかを制御します（Android 12以降）。一般的に、カメラの無効化はフル管理デバイスではデバイス全体に適用され、仕事用プロファイルデバイスでは仕事用プロファイル内のみに適用されます。

**ユーザーによる選択（デフォルト）**: デバイスのデフォルトの動作です。カメラが使用可能で、（Android 12以降では）ユーザーがカメラアクセスの切り替えを行えます。

**Disabled**: すべてのカメラが無効になります（フル管理デバイスではデバイス全体、仕事用プロファイルデバイスでは仕事用プロファイル内のアプリのみ）。管理対象範囲内では、カメラアクセスの切り替え設定は機能しません。

**Enforced**: カメラが使用可能です。Android 12以降を実行しているフル管理デバイスでは、ユーザーはカメラアクセスの切り替えを行えません。その他のデバイスやバージョンでは、「ユーザーによる選択」と同様の動作になります。

#### 2. マイクへのアクセス

フル管理デバイスにおいて、マイクの使用、およびユーザーがマイクアクセスの切り替え設定にアクセスできるかどうかを制御します（Android 12以降）。この設定は、フル管理されていないデバイスには影響しません。

**ユーザーによる選択（デフォルト）**: デフォルトの動作です。マイクが使用可能で、（Android 12以降では）ユーザーがマイクアクセスの切り替えを行えます。

**Disabled**: マイクが無効になります（デバイス全体）。マイクアクセスの切り替え設定は機能しません。

**Enforced**: マイクが使用可能です。Android 12以降では、ユーザーはマイクアクセスの切り替えを行えません。Android 11以前のバージョンでは、「ユーザーによる選択」と同様の動作になります。

#### 3. USBデータアクセス

USB経由で転送できるファイルやデータの種類を制御します。これは会社所有のデバイスでのみサポートされています。

**Disallow file transfer (default)**: ファイル転送は禁止されますが、その他のUSBデータ接続（マウス/キーボードなど）は許可されます。

**Disallow data transfer**: すべての種類のUSBデータ転送が禁止されます（USB HAL 1.3以降を搭載したAndroid 12以降）。サポートされていない場合は、デバイスは「ファイル転送の禁止」にフォールバックします。

**Allow data transfer**: すべての種類のUSBデータ転送が許可されます。

#### 4. 印刷

印刷を許可するかどうかを制御します（Android 9以降）。

**Allowed (default)**: 印刷が許可されます。

**Disallowed**: 印刷が禁止されます（Android 9以降）。

#### 5. 画面の明るさ設定

画面の明るさモード、および（オプションで）明るさの値を制御します。

画面の明るさモード：

**ユーザーによる選択（デフォルト）**: ユーザーが画面の明るさを設定できます。

**Automatic**: 明るさが自動調整され、ユーザーは変更できません。明るさの値を設定することも可能ですが、これは自動調整の一部として使用されます（フル管理Android 9以降、および会社所有のAndroid 15以降の仕事用プロファイル）。

**Fixed**: 明るさが設定された値に固定され、ユーザーは変更できません。明るさの値の設定が必要です（フル管理Android 9以降、および会社所有のAndroid 15以降の仕事用プロファイル）。

画面の明るさ：

1から255の範囲の値（1 = 最も暗い、255 = 最も明るい）。値が0の場合は、明るさが設定されていないことを意味します。

#### 6. 画面タイムアウト設定

ユーザーが画面タイムアウトを設定できるかどうか、および強制設定されている場合のタイムアウト値を制御します。

**Screen timeout mode**フィールドでは、ユーザー制御か強制設定かの動作を選択します。

**ユーザーによる選択（デフォルト）**: ユーザーが画面タイムアウトを設定できます。

**Enforced**: 画面タイムアウトが設定された値に固定され、ユーザーは変更できません（フル管理Android 9以降、および会社所有のAndroid 15以降の仕事用プロファイル）。

画面タイムアウト：

秒単位のタイムアウト時間です。値は0より大きい必要があります。**Maximum time to lock**よりも大きい場合、システムによって値が制限され、非準拠として報告されることがあります。

#### 7. スクリーンキャプチャの無効化

スクリーンキャプチャが禁止されているかどうかを指定します。

#### 8. 音量調整の無効化

マスター音量の調整が禁止されているかどうかを指定します。

#### 9. 物理メディアのマウントの無効化

物理的な外部メディアのマウントが禁止されているかどうかを指定します。

# モバイル通信

このセクションでは、モバイル通信に関するポリシーを構成できます。

#### 1. 機内モード

ユーザーが機内モードを切り替えられるかどうかを制御します。

**ユーザーによる選択（デフォルト）**: ユーザーが機内モードのオン/オフを切り替えることができます。

**Disabled**: 機内モードが無効になります。ユーザーは機内モードをオンにすることはできません。Android 9以降でサポートされています。

#### 2. モバイル通信 2G

ユーザーがモバイル通信の2G設定を切り替えられるかどうかを制御します。

**ユーザーによる選択（デフォルト）**: ユーザーがモバイル通信の2G設定をオン/オフにすることができます。

**Disabled**: モバイル通信の2Gが使用不可になります。ユーザーは設定からモバイル通信の2Gをオンにすることはできません。Android 14以降でサポートされています。

#### 3. APNの上書き

APNの上書きを有効にするかどうかを制御します。有効にすると、構成された上書き用APNのみが使用され、デバイス上の他のすべてのAPNは無視されます。

**無効（デフォルト）**: 構成されたすべてのAPN設定がデバイスに保存されますが、これらは無効であり、影響を与えません。デバイス上の他のすべてのAPNは引き続き使用されます。

**Enabled**: 上書き用APNのみが使用され、他のすべてのAPNは無視されます。この設定は、Android 10以降のフル管理デバイスでのみ構成できます。

#### 4. APN設定

1つ以上のAPNエントリを構成します。**Add APN**を使用してエントリを作成し、**Remove APN**で削除します。

各APNには必須項目があります。

**APN Types**: このAPNの通信タイプを1つ以上選択します（利用可能性は管理モードおよびAndroidのバージョンによって異なります）。

**APN Name**: 通信事業者が提供するAPN識別子です。

**Display Name**: UIに表示される分かりやすい名前です。

オプションのAPN項目：

**Auth Type**、**Username**、**Password**: 通信事業者の認証を構成します（必要な場合）。

**Protocol**および**Roaming Protocol**: IPプロトコルの構成。

**Network Types**: このAPNが使用できるモバイル通信技術を制限します（例：LTE/5G NR）。

**Proxy Address**および**Proxy Port**: データ通信用のHTTPプロキシ（該当する場合）。

**MMS Proxy Address**、**MMS Proxy Port**、**MMSC (MMS Center URI)**: MMS関連の設定。

**Numeric Operator ID (MCC+MNC)**および**Carrier ID**: 通信事業者の識別フィールド。

**Always On Setting**: このAPNによってアクティブ化されたPDUセッションを常時接続（always-on）にするかどうかを指定します。Android 15以降でサポートされています。

**MVNO Type**: MVNO（仮想移動体通信事業者）の識別子タイプ。

**MTU IPv4**および**MTU IPv6**: IPv4/IPv6ルートの最大伝送単位（MTU）です。Android 13以降でサポートされています。

#### 5. セル放送設定の無効化

セル放送の設定が無効化されているかどうかを指定します。

#### 6. モバイルネットワーク設定の無効化

モバイルネットワークの設定が無効化されているかどうかを指定します。

#### 7. ローミングデータの無効化

ローミングデータサービスが無効化されているかどうかを指定します。

#### 8. 発信の無効化

発信が禁止されているかどうかを指定します。

#### 9. SMSの無効化

SMSメッセージの送受信が無効化されているかどうかを指定します。

#### 10. 5Gネットワークスライシング設定

エンタープライズ5Gネットワークスライシングを有効にするために、優先ネットワークサービス設定を構成します。最大5つのエンタープライズスライスを設定でき、トラフィックルーティングを最適化するために特定のネットワークにアプリケーションを割り当てることができます。

##### 10.1. デフォルトの優先ネットワーク

アプリケーションリストに含まれていない、またはアプリの**Preferential Network**が設定されていないアプリケーション用の、デフォルトの優先ネットワークIDです。指定されたネットワークIDの構成が存在する必要があります（**No Preferential Network**に設定されている場合を除く）。

注意: **com.google.android.apps.work.clouddpc**や**com.google.android.gms**のような重要なアプリは、このデフォルト設定から除外されます。

##### 10.2. ネットワークサービス構成

**Add Network Configuration**を使用して、スライス構成を作成します。最大5つまで構成を追加できます。各構成には以下が含まれます。

**Preferential Network ID (Auto-assigned)**: ネットワークIDが自動的に割り当てられ、変更することはできません。

**Fallback to Default Connection**: デバイス全体のデフォルトネットワークへのフォールバックを許可するかどうかを指定します。禁止されている場合、5Gスライスが利用できないときにアプリはインターネットにアクセスできません。

**Non-Matching Networks**: この構成の対象となるアプリが、優先サービス以外のネットワークを使用できるかどうかを指定します。**Disallowed**に設定されている場合、**Fallback to Default Connection**も**Disallowed**である必要があります。Android 14以降が必要です。

# ネットワーク

このセクションでは、ネットワークに関するポリシーを構成できます。

<p class="callout info">Wi-Fi構成は、**WiFi configurations**を介してシステムによってプロビジョニングおよび管理されます。**Configure Wi‑Fi**に設定された値によっては、ユーザーによるネットワークの追加や変更の操作が制限されるか、あるいは一切できなくなる場合があります。 </p>

## デバイスの無線状態

#### 1. Wi-Fi状態

Wi-Fiの現在の状態、およびユーザーがその状態を変更できるかどうかを制御します。

**ユーザーによる選択（デフォルト）**: ユーザーがWi-Fiの有効/無効を切り替えることができます。

**Enabled**: Wi-Fiがオンになり、ユーザーはオフにすることはできません（Android 13以降）。

**Disabled**: Wi-Fiがオフになり、ユーザーはオンにすることはできません（Android 13以降）。

#### 2. 最小Wi-Fiセキュリティレベル

デバイスが接続可能なWi-Fiネットワークの最小要件セキュリティレベルです。フル管理デバイス、および会社所有のAndroid 15以降の仕事用プロファイルにおいて、Android 13以降でサポートされています。

**Open network (default)**: デバイスはあらゆる種類のWi-Fiネットワークに接続できます。

**Personal network**: オープンなWi-Fiネットワークを禁止します。少なくとも個人用セキュリティ（例：WPA2-PSK）が必要になります。

**Enterprise network**: エンタープライズEAPネットワークを要求します。このセキュリティレベルに満たないWi-Fiネットワークへの接続は禁止されます。

**192‑bit enterprise network**: 192ビットのエンタープライズネットワークを要求します。最も厳格なオプションです。

#### 3. Ultra wideband (UWB) 状態

Ultra wideband（UWB）設定の状態、およびユーザーがそのオン/オフを切り替えられるかどうかを制御します。

**ユーザーによる選択（デフォルト）**: ユーザーがUWBのオン/オフを切り替えることができます。

**Disabled**: UWBが無効になります。ユーザーは設定からUWBのオン/オフを切り替えることはできません（Android 14以降）。

## デバイスの接続管理

#### 4. Bluetooth共有

Bluetooth共有を許可するかどうかを制御します。

**Allowed**: Bluetooth共有が許可されます（フル管理デバイス、Android 8以降ではデフォルト）。

**Disallowed**: Bluetooth共有が禁止されます（仕事用プロファイル、Android 8以降ではデフォルト）。

#### 5. Wi-Fiの設定

Wi-Fi設定の権限を制御します。選択したオプションに応じて、ユーザーはWi-Fiネットワークの設定において、フルコントロール、制限付きの操作、または一切の操作ができない状態になります。

**Allow configuring Wi‑Fi (default)**: ユーザーがWi-Fiの設定を行うことができます。

**Disallow add Wi‑Fi config**: 新しいWi-Fi構成の追加は禁止されます。ユーザーは、すでに構成済みのネットワーク間での切り替えが可能です（Android 13以降。フル管理デバイス、および会社所有のAndroid 15以降の仕事用プロファイル）。

**Disallow configuring Wi‑Fi**: Wi-Fiネットワークの構成を禁止します。フル管理デバイスの場合、ユーザーが設定したネットワークは削除され、**WiFi configurations**を介して構成されたネットワークのみが保持されます。会社所有の仕事用プロファイルの場合、既存のネットワークには影響しませんが、ユーザーはWi-Fiネットワークの追加/削除/変更ができなくなります。

<p class="callout info">Wi-Fi設定が無効化されており、デバイスが起動時に接続できない場合、システムは**ネットワーク・エスケープハッチ**を表示して、ユーザーが一時的に接続しポリシーを更新できるようにすることがあります。 </p>

#### 6. Wi-Fi Direct設定

Wi-Fi Directの設定および使用を制御します。Android 13以降を実行している会社所有のデバイスでサポートされています。

**Allow (default)**: ユーザーがWi-Fi Directを使用できます。

**Disallow**: ユーザーはWi-Fi Directを使用できません。

#### 7. テザリング設定

テザリング設定を制御します。設定された値に基づき、ユーザーによるさまざまな形式のテザリングの使用を部分的または完全に禁止します。

**すべてのテザリングを許可（デフォルト）**: すべての形式のテザリングの設定および使用を許可します。

**Wi-Fiテザリングを禁止**: ユーザーによるWi-Fiテザリングの使用を禁止します（会社所有のAndroid 13以降）。

**すべてのテザリングを禁止**: すべての形式のテザリングを禁止します（フルマネージド + 会社所有のワークプロファイル）。

#### 8. Wi-Fi SSIDポリシー

デバイスが接続できるWi-Fi SSIDを制限します（これは、デバイス上でどのネットワークを設定できるかには影響しません）。Android 13以降を実行している会社所有のデバイスでサポートされています。

**SSID拒否リスト（デフォルト）**: デバイスは、SSIDがリストに記載されているWi-Fiネットワークには接続できませんが、その他のネットワークには接続できます。

**SSID許可リスト**: デバイスは、リストに記載されているSSIDにのみ接続できます。SSIDリストは空であってはなりません。

エントリを追加するには **SSIDを追加** を使用してください。選択されたポリシーの種類に応じて、リストは許可されたSSIDまたは拒否されたSSIDとして解釈されます。

ポリシーエディターのUIでは、許可リストの場合はSSIDリストが **許可されたWi-Fi SSID**、拒否リストの場合は **拒否されたWi-Fi SSID** と表示されます。

#### 9. Wi-Fiローミング設定

SSIDごとにWi-Fiローミングモードを設定します。**Wi-Fiローミング設定を追加**を使用してエントリを作成します。

各エントリには以下が含まれます：

**SSID**: ローミング設定を適用するSSID（必須）。

**Wi-Fiローミングモード**: デフォルト / 無効 / アグレッシブ。無効およびアグレッシブを使用するにはAndroid 15以降が必要であり、フルマネージドデバイスおよび会社所有のデバイスのワークプロファイルでのみサポートされます。

## ネットワーク制限

#### 10. Bluetooth無効化

Bluetoothを無効にするかどうか。ユーザーによって回避される可能性がある「Bluetooth構成の無効化」よりも、この設定を使用することを推奨します。

#### 11. Bluetooth連絡先共有の無効化

Bluetoothの連絡先共有を無効にするかどうか。

#### 12. Bluetooth構成の無効化

Bluetoothの設定変更を無効にするかどうか。

#### 13. ネットワークリセットの無効化

ネットワーク設定のリセットを無効にするかどうか。

#### 14. アウトゴーイングビームの無効化

NFCを使用してアプリからデータをビーム送信することを無効にするかどうか。

## VPN

#### 15. Always On VPNアプリ

指定されたマネージドアプリからのデータが常に構成済みのVPNを経由するように、Always On VPNのパッケージ名を指定します。

<p class="callout info">注意: この機能を使用するには、Always OnとアプリごとのVPN機能の両方をサポートするVPNクライアントをデプロイする必要があります。</p>

#### 16. VPNロックダウン

VPNが接続されていないときに、ネットワーク通信を禁止します。

#### 17. VPN構成の無効化

VPNの設定変更を無効にするかどうか。

## プロキシおよびネットワークサービス

#### 18. 推奨ネットワークサービス

ワークプロファイルで推奨ネットワークサービスを有効にするかどうかを制御します。例えば、組織が通信事業者と、業務データは企業専用のネットワークサービス（例：5Gネットワークのエキスパートスライスなど）を介して送信するという契約を結んでいる場合があります。これはフルマネージドデバイスには影響しません。

**無効**: ワークプロファイルで推奨ネットワークサービスが無効になります。

**有効**: ワークプロファイルで推奨ネットワークサービスが有効になります。

<p class="callout info">エンタープライズネットワークスライシングを使用する場合は、**Cellular**ポリシーパネル内の**5Gネットワークスライシング設定**も構成し、**推奨ネットワーク**設定を使用してアプリをスライスに割り当ててください。 </p>

#### 19. 推奨グローバルプロキシ

ネットワークに依存しないグローバルHTTPプロキシです。通常、プロキシはWi-Fi設定においてネットワークごとに構成されるべきものです。グローバルプロキシは、一般的な内部フィルタリングのような特殊な構成において有用な場合があります。なお、グローバルプロキシはあくまで推奨事項であり、一部のアプリでは無視される場合があります。

**無効**

**ダイレクトプロキシ**

**プロキシ自動設定 (PAC)**

##### 19.1. ホスト

ダイレクトプロキシのホスト。

##### 19.2. ポート

ダイレクトプロキシのポート。

##### 19.3. PAC URI

プロキシを構成するために使用されるPACスクリプトのURI。

##### 19.4. 除外ホスト

ダイレクトプロキシにおいて、プロキシをバイパスするホストです。ホスト名には **\*.example.com** のようなワイルドカードを含めることができます。

**Add excluded host** を使用してエントリを追加します（ダイレクトプロキシでのみ利用可能です）。

## Wi-Fi設定

システムがデバイスに適用するWi-Fiネットワーク構成を定義します。**Wi-Fi設定を追加**を使用してエントリを作成し、削除アクションでそれを削除します。

#### 20. Wi-Fi設定フィールド

各構成には以下が含まれます：

**構成名**: 必須。

**SSID**: 必須。

**自動接続**: 範囲内に入ったときにネットワークに自動的に接続するかどうか。

**高速ローミング (Fast Transition)**: クライアントがネットワークとの間で高速ローミング (IEEE 802.11r-2008) を試行するかどうか。

**非表示SSID**: SSIDをブロードキャストするかどうか。

**MACランダム化モード**: ハードウェアまたは自動（Android 13以降）。

##### 20.1. セキュリティ

Wi-Fiセキュリティオプション：

**WEP-PSK**: WEP (事前共有鍵)。

**WPA-PSK**: WPA/WPA2/WPA3-Personal (事前共有鍵)。

**WPA-EAP**: WPA/WPA2/WPA3-Enterprise (拡張認証プロトコル)。

**WPA3 192ビットモード**: WPA-EAPネットワークで、WPA3 192ビットモードのみを許可します。

##### 20.2. パスフレーズ（事前共有鍵）

セキュリティが **WEP-PSK** または **WPA-PSK** のときに表示されます。パスフレーズは必須です。

##### 20.3. EAPメソッド（エンタープライズ）

セキュリティが **WPA-EAP** または **WPA3 192ビットモード** のときに表示されます。いずれか1つのEAPアウターメソッドを選択してください：

**EAP-TLS**

**EAP-TTLS**

**PEAP**

**EAP-SIM**

**EAP-AKA**

##### 20.4. フェーズ2認証

トンネリングアウターメソッド（**EAP-TTLS** および **PEAP**）の場合に表示されます。

**MSCHAPv2**

**PAP**

##### 20.5. ユーザーによるEAP認証情報

有効にすると、システムはデバイス上でユーザーごとにEAP認証情報を自動的に適用します。ユーザーの認証情報は **ユーザー** セクションで構成できます。

##### 20.6. クライアント証明書

**EAP‑TLS**では、Wi‑Fi認証に使用するクライアント証明書を割り当てることができます。詳細については、[**証明書管理**](https://enterprise.cerberusapp.com/docs/books/94f6d/page/d2dde "Certificate management")ページをご参照ください。

すでに証明書が割り当てられている場合は、**証明書を開く**で表示するか、**証明書を変更**で別の証明書を選択できます。

または、Androidのキーチェーンに保存され、Wi-Fi認証が許可されているクライアント証明書を参照する **クライアント証明書キーペアエイリアス** を指定することもできます。

<p class="callout info">**Client certificate** と **Client certificate key pair alias** の両方が設定されている場合、キーペアエイリアスは無視されます。 </p>

##### 20.7. ID (Identity)

ユーザーのIDです。トンネリングアウタープロトコル（PEAP、EAP-TTLS）の場合、これはトンネル内での認証に使用され、**匿名ID**がトンネル外のEAP IDとして使用されます。非トンネリングアウタープロトコルの場合は、これがEAP IDとして使用されます。

##### 20.8. 匿名ID

トンネリングプロトコルのみにおいて、これはアウタープロトコルに提示されるユーザーのIDを示します。

##### 20.9. パスワード

ユーザーのパスワード。指定しない場合は、デフォルトでユーザーへのプロンプト表示となります。

##### 20.10. サーバーCA証明書

ホストの証明書チェーンを検証するために使用されるCA証明書のリストです。少なくとも1つのCA証明書が一致する必要があります。詳細については、[**証明書管理**](https://enterprise.cerberusapp.com/docs/books/94f6d/page/d2dde "Certificate management")ページをご覧ください。

**Add Server CA certificate** を使用してエントリを追加し、削除アクションでそれらを削除します。

##### 20.11. ドメインサフィックスの一致

サーバーのドメイン名に対する制約リストです。これらのエントリは、認証サーバー証明書の代替サブジェクト名（SAN）のDNS名に対するサフィックス一致要件として使用されます。

# システム

このセクションでは、システム関連のポリシーを設定できます。

#### 1. 最小APIレベル

許可される最小のAndroid APIレベル。

#### 2. 暗号化ポリシー

暗号化が有効かどうか。

**デフォルト**: この値は無視されます。つまり、暗号化の要件はありません。

**パスワードなしで有効化**: 暗号化は必要ですが、起動時のパスワードは不要です。

**パスワードを使用して有効化**: 暗号化が必要で、起動時にパスワードが必要です。

#### 3. 日付と時刻の自動設定

会社所有のデバイスにおいて、日付、時刻、およびタイムゾーンの自動設定が有効かどうか。

**ユーザーによる選択（デフォルト）**: 日付、時刻、およびタイムゾーンの自動設定はユーザーの選択に委ねられます。

**強制**: デバイスの日付、時刻、およびタイムゾーンの自動設定を強制します。

#### 4. 開発者向けオプション

開発者向けオプションやセーフモードなどの、開発者向け設定へのアクセスを制御します。

**無効（デフォルト）**: すべての開発者向け設定を無効にし、ユーザーによるアクセスを禁止します。

**許可**: すべての開発者向け設定を許可します。ユーザーはこれらの設定にアクセスし、必要に応じて構成できます。

#### 5. コモンクライテリアモード

コモンクライテリアモード（情報技術セキュリティ評価基準：CCで定義されたセキュリティ規格）を制御します。コモンクライテリアモードを有効にすると、デバイス上の特定のセキュリティコンポーネントが強化されます（例：Bluetooth長期キーのAES-GCM暗号化、一部のネットワーク証明書に対する追加検証、および暗号化ポリシーの整合性チェック）。コモンクライテリアモードは、Android 11以上を実行している会社所有のデバイスでのみサポートされています。警告：コモンクライテリアモードは、通常、極めて機密性の高い組織にのみ求められる厳格なセキュリティモデルを強制します。標準的なデバイスの使用に影響が出る可能性があるため、必要な場合にのみ有効にしてください。

**無効（デフォルト）**: コモンクライテリアモードを無効にします。

**有効**: コモンクライテリアモードを有効にします。

#### 6. メモリ・タギング拡張 (MTE)

デバイス上のメモリ・タギング拡張 (MTE) を制御します。

**ユーザーによる選択（デフォルト）**: ユーザーは、デバイスが対応している場合、デバイス上のMTEを有効にするか無効にするかを選択できます。

**強制**: MTEが有効になり、ユーザーは設定を変更できません（Android 14以上。フルマネージドデバイスおよび会社所有デバイスのワークプロファイルでサポート）。

**無効**: MTEが無効になり、ユーザーは設定を変更できません（Android 14以上。フルマネージドデバイスでのみサポート）。

#### 7. コンテンツ保護

コンテンツ保護（欺瞞的なアプリの検出スキャン）を有効にするかどうかを制御します。これはAndroid 15以上でサポートされています。

**無効（デフォルト）**: コンテンツ保護が無効になり、ユーザーはこの設定を変更できません。

**強制**: コンテンツ保護が有効になり、ユーザーはこの設定を変更できません（Android 15以上）。

**ユーザーによる選択**: コンテンツ保護はポリシーによって制御されません。ユーザーが選択できます（Android 15以上）。

#### 8. アシストコンテンツ

アシストアプリ（例：かこって検索）などの権限を持つアプリに、AssistContentの送信を許可するかどうかを制御します。AssistContentには、スクリーンショットやパッケージ名などのアプリに関する情報が含まれます。これはAndroid 15以上でサポートされています。

**許可（デフォルト）**: アシストコンテンツの権限を持つアプリへの送信を許可します（Android 15以上）。

**禁止**: アシストコンテンツの権限を持つアプリへの送信をブロックします（Android 15以上）。

#### 9. 作成ウィンドウの無効化

アプリのウィンドウ以外の作成ウィンドウを無効にするかどうかを制御します。このオプションを有効にすると、以下のシステムUIの表示が防止されます：トーストおよびスナックバー、電話のアクティビティ（着信など）および優先度の高い電話のアクティビティ（通話中など）、システムアラート、システムエラー、およびシステムオーバーレイ。

#### 10. ネットワーク・エスケープハッチ

ネットワーク・エスケープハッチを有効にするかどうかを制御します。起動時にネットワーク接続ができない場合、エスケープハッチはデバイスのポリシーを更新するために一時的にネットワークに接続するようユーザーに促します。ポリシーが適用されると、その一時的なネットワーク情報は削除され、デバイスの起動が続行されます。これにより、最終的なポリシーに適切なネットワークが含まれておらず、デバイスがロックタスクモードのアプリアクティビティで起動した場合や、ユーザーがデバイスの設定にアクセスできない場合に、ネットワーク接続ができなくなる事態を防ぎます。

#### 11. デフォルトのアクティビティ

特定のインテントフィルターに一致するインテントを処理するための、デフォルトのアクティビティのリストです。例えば、この機能を使用すると、IT管理者がウェブリンクを自動的に開くブラウザアプリや、ホームボタンをタップした際に使用されるランチャアプリを選択できます。

**デフォルトのアクティビティを追加** を使用してエントリを作成します。各エントリ内で、**アクションを追加** と **カテゴリを追加** を使用して、インテントフィルターを構築します。

##### 11.1. 受信アクティビティ

デフォルトのインテントハンドラーとなるアクティビティです。これは Android のコンポーネント名（例: `com.android.enterprise.app/.MainActivity`）である必要があります。または、アプリのパッケージ名を指定することもでき、その場合は Android Device Policy がインテントを処理するために適切なアクティビティをアプリ内から選択します。

##### 11.2. アクション

フィルター内で一致させるインテントアクションです。フィルターにアクションが含まれている場合、インテントのアクションがそれらの値のいずれかである必要があります。アクションが含まれていない場合は、インテントのアクションは無視されます。

##### 11.3. カテゴリ

フィルター内で一致させるインテントカテゴリです。インテントには必要なカテゴリが含まれており、それらすべてがフィルターに含まれている場合にのみ一致します。言い換えれば、インテント内でそのカテゴリが指定されていない限り、フィルターにカテゴリを追加しても一致結果には影響しません。

#### 12. 許可された入力メソッド

許可された入力メソッドを指定します。

**すべて許可**: 制限は適用されません。すべての入力メソッドが許可されます。

**システムのみ**: システムに組み込まれた入力メソッドのみが許可されます。

**システムおよび提供されたもののみ**: 提供された入力メソッドとシステムに組み込まれた入力メソッドのみが許可されます。

##### 12.1. 許可された入力メソッド

許可される入力メソッドのパッケージ名です。**許可された入力メソッド** が **システムおよび提供されたもののみ** に設定されている場合にのみ適用されます。

**入力メソッドを追加** を使用してエントリを追加し、削除アクションでそれらを削除します。

#### 13. 許可されたアクセシビリティサービス

許可されたアクセシビリティサービスを指定します。

**すべて許可**: すべてのアクセシビリティサービスを使用できます。

**システムのみ**: システムに組み込まれたアクセシビリティサービスのみを使用できます。

**システムおよび提供されたもののみ**: 提供されたアクセシビリティサービスとシステムに組み込まれたアクセシビリティサービスのみを使用できます。

##### 13.1. 許可されたアクセシビリティサービス

許可されたアクセシビリティサービスです。**許可されたアクセシビリティサービス** が **システムおよび提供されたもののみ** に設定されている場合にのみ適用されます。

**アクセシビリティサービスを追加** を使用してエントリを追加し、削除アクションでそれらを削除します。

#### 14. システムアップデートポリシー

システムアップデートを管理するための設定です。

**デフォルト**: デバイスのデフォルトのアップデート動作に従います。通常、ユーザーがシステムアップデートを承認する必要があります。

**自動**: アップデートが利用可能になり次第、自動的にインストールします。

**ウィンドウ表示**: 毎日設定されたメンテナンス時間内に自動的にインストールします。また、Playアプリもこの時間内に更新されるよう構成されます。これはキオスクデバイスにおいて強く推奨される設定です。なぜなら、フォアグラウンドに永続的にピン留めされているアプリをPlay経由で更新できる唯一の方法だからです。

**延期**: 自動インストールを最大30日間延期します。

##### 14.1. メンテナンス時間（ウィンドウ表示のみ）

**システムアップデートポリシー** が **ウィンドウ表示** に設定されている場合、**開始時刻** と **終了時刻** フィールドを使用して、毎日のメンテナンス時間を定義できます。

##### 14.2. システムアップデート凍結期間

デバイス上で実行されているOSバージョンを固定するために、OTA（Over-the-Air）システムアップデートを延期する、毎年繰り返される期間です。デバイスの凍結が際限なく続くのを防ぐため、各凍結期間は少なくとも60日間空ける必要があります。また、各凍結期間は90日を超えてはなりません。

**システムアップデート凍結期間を追加** を使用してエントリを作成します。

#### 15. 認証プロバイダーのデフォルト設定

Android 14以上において、どのアプリが認証プロバイダーとして動作することを許可するかを制御します。

**禁止（デフォルト）**: credentialProviderPolicy が未指定のアプリは、認証プロバイダーとして動作することは許可されません。

**システム以外は禁止**: credentialProviderPolicy が未指定のアプリは、OEMのデフォルト認証プロバイダーを除き、認証プロバイダーとして動作することは許可されません。

# 位置情報とジオフェンス

 このパネルには、デバイスの位置情報の報告、位置情報の強制、およびジオフェンスの定義を制御するAndroidポリシー設定がまとめられています。Cerberus Enterpriseにデバイスの位置情報を収集させたり、デバイスが設定されたエリアに出入りしたことを検知させたい場合に使用します。

## 位置情報の報告

### 位置情報の報告

デバイスの地理的位置情報の報告を有効にします。この設定を通じて収集された位置データは、[**ダッシュボードの位置情報マップ**](https://enterprise.cerberusapp.com/docs/books/94f6d/page/9b70e "Dashboard location map")、デバイスの概要における位置履歴、およびジオフェンス処理に使用されます。

<p class="callout info"> フルマネージドではないデバイスでは、位置データは Cerberus Enterprise アプリに必要な位置情報の権限が付与されていること、およびデバイスの位置情報サービスが有効になっていることに依存する場合があります。 </p>

### 位置モード

 会社所有のデバイスにおける位置設定を制御します。

- **ユーザーによる選択**: 位置情報サービスはポリシーによって制限されません。
- **Enforced**: デバイスの位置情報サービスが有効になります。
- **Disabled**: デバイスの位置情報サービスが無効になります。

### 位置情報の共有の無効化

 仕事用アプリの位置情報共有を無効にします。プロファイル所有者（PO）デバイスの場合、これは仕事用プロファイルに影響します。フル管理デバイスの場合、デバイス全体の位置情報が使用不可になり、デバイスの位置モード設定を上書きします。

## アクティブなジオフェンスによる自動動作

 アクティブなジオフェンスを機能させるには、位置情報の報告が必要です。少なくとも1つのジオフェンスがアクティブな場合、Cerberus Enterpriseは関連する位置設定を自動的に一貫した状態に保ちます。

- アクティブなジオフェンスが存在する間、**Report location**が強制的にオンになります。
- **Location mode**が**Enforced**に強制設定されます。
- **Share location disabled**が強制的にオフになります。

 1つ以上のジオフェンスがアクティブな状態で**Report location**を無効化しようとすると、Cerberus Enterpriseは確認ダイアログを表示します。続行した場合、ポリシー内のすべてのアクティブなジオフェンスが解除されます。

## ジオフェンスリスト

 ポリシーには最大 **10個のジオフェンス**を含めることができます。ジオフェンス名はポリシー内で一意である必要があります。

**Add geofence**を使用して、新しいエントリを作成します。各ジオフェンスには以下の主要なフィールドが含まれます。

- **Name**: 必須項目であり、一意である必要があります。
- **Latitude**および**Longitude**: エリアの中心座標です。
- **Radius (m)**: 必須項目です。**100**から**10000**メートルの範囲で設定してください。
- **Description**: 管理者向けの任意メモです。
- **Report enter**および**Report exit**: どの遷移イベントを生成するかを選択します。
- **Active**: ジオフェンスを削除せずに、有効または無効にします。

<p class="callout info"> 各ジオフェンスにおいて、**Report enter**または**Report exit**の少なくとも一方が有効である必要があります。 </p>

## マップ編集ツール

 各ジオフェンスカードには、そのエリアのマッププレビューが含まれています。マップから、または数値入力フィールドから形状を編集できます。

- エリア編集がロック解除されている場合、マップをクリックしてジオフェンスの中心を移動できます。
- **Current location**ボタンを使用すると、ブラウザの現在位置にマップの中心を合わせることができます。
- **Recenter map**ボタンを使用すると、そのジオフェンスの推奨ビューポートを復元します。
- ロックボタンを使用して、ジオフェンスの形状が誤って変更されるのを防ぎます。

## ジオフェンスデータの表示場所

 ジオフェンスの遷移は、Androidの[**Device overview**](https://enterprise.cerberusapp.com/docs/books/94f6d/page/5ef05 "Device overview")ページ内、位置情報パネルの**Geofence**タブで確認できます。そのタブでは、専用のマップ上に遷移が表示され、フィルタリングツールや遷移リストもあわせて表示されます。

# ユーザー管理

##### ユーザー追加の無効化

新しいユーザーやプロファイルの追加を無効にするかどうかを制御します。managementMode が **DEVICE\_OWNER** のデバイスでは、このフィールドは無視され、ユーザーがユーザーを追加または削除することは一切許可されません。

##### アカウントの変更の無効化

アカウントの追加または削除を無効にするかどうかを制御します。

##### ユーザー認証情報の構成の無効化

ユーザー認証情報の構成を無効にするかどうかを制御します。

##### ユーザー削除の無効化

他のユーザーの削除を無効にするかどうかを制御します。

##### ユーザーアイコンの設定の無効化

ユーザーアイコンの変更を無効にするかどうかを制御します。

##### 壁紙設定の無効化

壁紙の変更を無効にするかどうかを制御します。

##### ワークアカウント設定時の認証

ワークアカウント設定中のユーザー認証方法を制御します。このオプションは、管理対象の Google ドメイン（Google Workspace）によってサポートされている Android エンタープライズでのみ利用可能です。

デバイスのセットアップ/登録中、このポリシーはワークアカウントへのサインインが必要かどうかを左右しますが、Google 管理コンソールの設定 **Google を使用して認証** および登録トークンの種類によって、引き続き認証が求められる場合があります。

登録済みのデバイスの場合、このポリシーはデバイスが管理対象の Google Play アカウントによって管理されている場合（つまり、**Google を使用して認証による登録** を行わずに登録された場合）にのみ適用されます。

詳細およびトラブルシューティングについては、[**Google を使用して認証による登録**](https://enterprise.cerberusapp.com/docs/books/94f6d/page/google-xn7 "Authenticate Using Google enrollment") を参照してください。

##### ブロックされたアカウントの種類

ユーザーが管理できないアカウントの種類です。このオプションを有効にすると、デバイスのユーザーが承認されていないアカウントを追加することを防止できます。

**ブロックされたアカウントの種類を追加** を使用して、1つ以上のアカウントの種類を追加します。

各エントリには、**アカウントの種類** フィールド（必須）があります。**com.google** などの文字列を入力してください。エントリを削除するには、削除アクションを使用します。

# 個人利用

業務および個人利用を目的とした会社所有デバイスの[プロビジョニングを行う際](https://enterprise.cerberusapp.com/docs/books/94f6d/page/3dd48-HIB "Company-owned devices for work and personal use")、ワークプロファイル外での個人の利用におけるユーザーのデバイス操作を制限するためのルールを指定できます。

<p class="callout info">このセクションは、ワークプロファイルが設定された会社所有のデバイスにのみ適用されます。フルマネージドデバイスや個人所有のデバイスには影響しません。</p>

<div id="bkmrk-"><div><svg class="svg-icon" data-icon="link" role="presentation" viewbox="0 0 24 24" xmlns="http://www.w3.org/2000/svg"></svg></div></div>#### 1. カメラの無効化

カメラを無効にするかどうか。

#### 2. スクリーンキャプチャの無効化

スクリーンキャプチャを無効にするかどうか。

#### 3. 業務オフの最大日数

ワークプロファイルをオフの状態にできる期間を制御します。

#### 4. Bluetooth共有

会社所有のワークプロファイル付きデバイスにおいて、個人プロファイルでのBluetooth共有を許可するかどうかを制御します。

#### 5. プライベートスペース

デバイスでのプライベートスペースの使用を許可するかどうかを制御します。

#### 6. Play ストアモード

このモードは、個人プロファイルのPlayストアにおいて、ユーザーに対してどのアプリを許可またはブロックするかを制御します。

**ブロックリスト（デフォルト）**: すべてのアプリが利用可能です。デバイスにインストールすべきでないアプリは、**アプリケーション** セクションで明示的に **ブロック済み** とマークする必要があります。

**許可リスト**: **アプリケーション** セクションで **インストールタイプ** が **利用可能** に指定されているアプリのみ、個人プロファイルへのインストールが許可されます。

#### 7. アプリケーション

個人プロファイルで許可またはブロックする必要があるアプリケーションのリストです。リストの内容の動作は、**Play Storeモード** で設定された値に依存します。

Play ストアから新しいアプリを追加するには、**+** アイコンをクリックしてください。

##### 7.1. インストールタイプ

個人プロファイルのアプリケーションが持つことができるインストール動作のタイプです。

**ブロック済み**: アプリがブロックされ、個人プロファイルにインストールできません。

**利用可能**: アプリを個人プロファイルにインストールできます。

#### 8. ブロックされたアカウントタイプ

ユーザーが管理できないアカウントタイプです。このオプションにより、デバイスのユーザーが個人のプロファイルに未承認のアカウントを追加することを防ぎます。

<div id="bkmrk--0"><div><svg class="svg-icon" data-icon="link" role="presentation" viewbox="0 0 24 24" xmlns="http://www.w3.org/2000/svg"></svg></div></div>

# プロファイル間ポリシー

個人用プロファイルと仕事用プロファイルの両方を持つデバイスにのみ適用されます。

##### プロファイル間のコピー/貼り付け

一方のプロファイル（個人用または仕事用）からコピーしたテキストを、もう一方のプロファイルに貼り付けられるかどうかを指定します。

**Disallowed (default)**: 仕事用プロファイルからコピーしたテキストを個人用プロファイルに貼り付けることを禁止します。個人用プロファイルからコピーしたテキストは、仕事用プロファイルに貼り付けることができます。

**Allowed**: どちらかのプロファイルでコピーしたテキストを、もう一方のプロファイルに貼り付けることができます。

##### プロファイル間のデータ共有

一方のプロファイル（個人用または仕事用）のデータを、もう一方のプロファイルのアプリと共有できるかどうかを指定します。具体的には、インテントを介した単純なデータ共有を制御します。連絡先の検索、コピー/貼り付け、  
または連携された仕事用・個人用アプリなど、その他のプロファイル間通信チャネルの管理は別途構成されます。

**Disallowed**: 個人用プロファイルから仕事用プロファイルへの、および仕事用プロファイルから個人用プロファイルへのデータの共有を禁止します。

**Work to Personal disallowed (default)**: 仕事用プロファイルから個人用プロファイルのアプリへのデータ共有を禁止します。個人用のデータは仕事用のアプリと共有できます。

**Allowed**: どちらかのプロファイルのデータを、もう一方のプロファイルと共有できます。

##### 仕事用プロファイルのウィジェットのデフォルト設定

仕事用プロファイルのウィジェットのデフォルト動作です。特定のアプリにウィジェットポリシーが定義されていない場合、ここで設定されたデフォルトに従います。

##### プロファイル間のアプリ機能

個人用プロファイルのアプリが、仕事用プロファイルのアプリの機能を呼び出せるかどうかを制御します。これにはAndroid 16以降が必要です。

<p class="callout info">この設定は、ポリシーレベルの**App functions**オプション（アプリ管理セクション内）に依存します。App functionsが**Disallowed**に設定されている場合、APIは**Allowed**に設定されたプロファイル間のアプリ機能を拒否します。 </p>

##### 個人用プロファイル内の仕事用連絡先

仕事用プロファイルに保存されている連絡先を、個人用プロファイルの連絡先検索や着信時に表示できるかどうかを指定します。

**Allowed (default)**: 仕事用プロファイルの連絡先を個人用プロファイルに表示することを許可します。

**Disallowed**: 個人用アプリが仕事用プロファイルの連絡先にアクセスしたり、仕事用の連絡先を検索したりすることを禁止します。

**Disallowed except system**: OEMのデフォルトの電話、メッセージ、連絡先アプリを除き、ほとんどの個人用アプリが仕事用プロファイルの連絡先にアクセスすることを禁止します（Android 14以降）。

「個人用プロファイル内の仕事用連絡先」が構成されている場合、オプションとして**Exempted package name**エントリのリストを定義できます。選択されたモードに応じて、これらの除外設定は個人用アプリに対する許可リストまたはブロックリストとして機能します。

# ステータスレポート

このセクションでは、デバイスから取得するデータを設定できます。ステータスデータは、[**デバイスのステータス**](https://enterprise.cerberusapp.com/docs/books/94f6d/chapter/013d4 "Device status")ダッシュボードページで確認できます。

##### アプリケーションレポート

アプリレポートが有効かどうか。 (インストールされているアプリに関する情報が報告されます。)

<p class="callout info">このオプションはシステム（コンパニオンアプリの統合のため）によって必須となっており、常に有効です。無効にすることはできません。</p>

##### 削除済みアプリを含める

削除済みアプリをアプリケーションレポートに含めるかどうか。

##### デバイス設定

デバイス設定のレポートが有効かどうか。（デバイス上のセキュリティ関連のデバイス設定に関する情報。）

##### ソフトウェア情報

ソフトウェア情報のレポートが有効かどうか。（デバイスのソフトウェアに関する情報。）

##### メモリ情報

メモリレポートが有効かどうか。（メモリおよびストレージの測定に関連するイベント。）

##### ネットワーク情報

ネットワーク情報のレポートが有効かどうか。（デバイスのネットワーク情報。）

##### ディスプレイ情報

ディスプレイ情報のレポートが有効かどうか。仕事用プロファイルを持つ個人所有のデバイスでは、レポートデータは利用できません。（デバイスのディスプレイ情報。）

##### 電源管理イベント

電源管理イベントのレポートが有効かどうか。仕事用プロファイルを持つ個人所有のデバイスでは、レポートデータは利用できません。

##### ハードウェアのステータス

ハードウェアステータスのレポートが有効かどうか。仕事用プロファイルを持つ個人所有のデバイスでは、レポートデータは利用できません。

##### システムプロパティ

システムプロパティのレポートが有効かどうか。

##### コモンクライテリアモード

コモンクライテリアモードのレポートが有効かどうか。

# その他

#### 1. イースターエッグゲームの無効化

設定内のイースターエッグゲームが無効化されているかどうかを指定します。

#### 2. 初回使用時のヒントをスキップ

初回使用時のヒントをスキップするためのフラグです。エンタープライズ管理者は、アプリが初回起動時にユーザー向けチュートリアルやその他の導入ヒントをスキップすることを推奨するシステム設定を有効にできます。

#### 3. 短いサポートメッセージ

管理者が機能を無効化した際に、設定画面の該当箇所にユーザーへ表示されるメッセージです。メッセージが200文字を超える場合は、切り詰められることがあります。

#### 4. 長いサポートメッセージ

デバイス管理者設定画面に表示されるユーザー向けのメッセージです。

#### 5. オーナー用ロック画面情報

ロック画面に表示されるデバイスオーナーの情報です。

#### 6. セットアップアクション

セットアッププロセス中に実行するアクションです。登録（エンロールメント）中に、デバイスのセットアップに必要な1つまたは複数のアプリをユーザーに開くよう要求できます。

**Add setup action**を使用してエントリを作成し、削除アクションによってそれらを削除できます。

##### 6.1. 起動アプリ

起動するアプリのパッケージ名

##### 6.2. タイトル

なぜそのアプリを起動する必要があるのかをユーザーに説明するための、ユーザー向けメッセージを提供します。

##### 6.3. 説明

なぜそのアプリを起動する必要があるのかをユーザーに説明するための、ユーザー向けメッセージを提供します。

#### 7. エンタープライズ表示名の可視性

デバイスにエンタープライズ表示名が表示されるかどうかを制御します（例：会社所有のデバイスにおけるロック画面メッセージなど）。

**Visible (default)**: エンタープライズ表示名がデバイスに表示されます（Android 7以降の仕事用プロファイル、およびAndroid 8以降のフル管理デバイスでサポートされています）。

**Hidden**: エンタープライズ表示名がデバイスに表示されません。

# ポリシー適用ルール

デバイスまたはワークプロファイルが、以下に記載されているポリシー設定のいずれかに準拠しなかった場合、Android Device Policyはデフォルトで、デバイスまたはワークプロファイルの使用を即座にブロックします。

- **パスワード要件**
- **暗号化ポリシー**
- **キーガードの無効化**
- **許可された入力方法**
- **許可されたアクセシビリティサービス**

デバイスまたはワークプロファイルが10日間経過しても準拠しない状態が続く場合、Android Device Policyはデバイスを工場出荷時設定にリセットするか、ワークプロファイルを削除します。

このセクションでは、デフォルトのコンプライアンス適用ルールを上書きしたり、新しいルールを追加したりできます。

#### ルール

特定のポリシーをデバイスに適用できない場合の動作を定義するルールのリストです。

新しいルールを作成するには **ルールを追加** を使用してください。各ルールカードは、削除アクションを使用して削除できます。

##### 設定名

適用するトップレベルのポリシーです。例えば、**アプリケーション** や **パスワード要件** などがあります。

**必須。** 値はサポートされているトップレベルのポリシー名と一致する必要があります。一致しない場合、フィールドは無効としてマークされます。

##### ブロックまでの日数

デバイスまたはワークプロファイルがブロックされるまでの、ポリシー非準拠の許容日数です。即座にアクセスをブロックするには、0に設定してください。**ブロックまでの日数**は、**ワイプまでの日数**より少なく設定する必要があります。これは会社所有のデバイスにのみ適用されます。

許可された範囲: 0–300。

##### ブロック範囲

ブロックアクションの範囲を指定します。会社所有のデバイスにのみ適用されます。

デフォルト（新規ルール）: **ワークプロファイル**。

**ワークプロファイル**: ブロックアクションはワークプロファイル内のアプリにのみ適用されます。個人プロファイル内のアプリには影響しません。

**デバイス全体**: ブロックアクションは、個人プロファイル内のアプリを含むデバイス全体に適用されます。

##### ワイプまでの日数

デバイスまたはワークプロファイルがワイプされるまでの、ポリシー非準拠の許容日数です。  
**ワイプまでの日数**は、**ブロックまでの日数**より大きく設定する必要があります。これは会社所有のデバイスにのみ適用されます。

**必須。** デフォルト（新規ルール）: **1**。

許可された範囲: 1–300。

##### 工場出荷時リセット保護を保持

デバイス上で工場出荷時リセット保護データが保持されるかどうか。この設定はワークプロファイルには適用されません。

デフォルト（新規ルール）: 有効。