デバイスのプロビジョニング - Android

• 対応デバイス
• 登録トークン
• 個人のデバイス
• 業務および個人利用用の、会社所有のデバイス。
• 業務利用専用の会社所有デバイス。
• ゼロタッチ
• Googleによる登録を利用した認証

対応デバイス

一般的に、Google Play Servicesを搭載し、Android 6以降のバージョンが動作するデバイスは、Cerberus Enterpriseと互換性があります。

より良いユーザーエクスペリエンスのために、Android Enterprise推奨デバイスの利用をお勧めします。

一部の機能は、特定のAndroidバージョンでのみ利用可能、またはOSのバージョンによって動作が異なる場合があります。特定の機能の詳細については、ドキュメントの「ポリシー」セクションを参照してください。

Cerberus Enterpriseは、会社所有のデバイスと個人所有のデバイスの両方に対応しており、デバイスオーナー方式とプロファイルオーナー方式の2つの管理モードを提供します。

個人所有のデバイスは、業務用のプロファイルを通じて管理できます。これにより、従業員の業務データとアプリを個人のデータとアプリから分離し、セキュリティとプライバシーの両方を向上させるBYOD（Bring Your Own Device）を実現できます。このオプションは、従業員が既に所有しているデバイスで、組織に登録して業務利用させたい場合に適しています。

会社所有のデバイスも、仕事用プロファイルを通じて管理できますが、より厳格なデバイスの制御を可能にする完全管理オプションを選択することもできます。仕事用プロファイルが設定された会社所有のデバイスは、従業員に業務用のデバイスを提供しつつ、個人的な利用も許可したい場合に適しています。一方、完全管理のデバイスは、業務専用で使用する必要があるデバイス、または、例えばキオスクのような専用デバイス（COSU：corporate-owned single-use）に適しています。

デバイスのプロビジョニングに関する詳細については、デバイスプロビジョニングの概要 のページを参照してください。

登録トークン

Cerberus Enterpriseでは、Androidデバイスの登録（プロビジョニング）プロセスを開始するために、登録トークンを使用します。選択したトークンは、登録されたデバイスに適用される初期ポリシーを定義し、許可されるプロビジョニングモードに影響を与えます。

「Android enrollment tokens」タブは、Android Management setup の設定完了後のみ利用可能です。

登録トークンは、どこで確認できますか。

ダッシュボードで、登録トークンを開きます。アカウントの設定によっては、複数のタブが表示される場合があります (Android トークン、Google へのサインインによる登録、Apple の手動登録、および Apple の自動デバイス登録)。

Android Enterprise が管理対象の Google ドメイン (Google Workspace) でサポートされている場合、ダッシュボードに Google への認証による登録 タブが表示されることがあります。この機能の有効化と使用方法の詳細については、Google への認証による登録 を参照してください。

Android デバイスの登録トークン一覧

Android のトークンタブでは、すべてのトークンのリストが表形式で表示されます。行をクリックすると、そのトークンの詳細ページが開きます。

列

• ID: 内部トークン識別子。
• ステータス: 利用可能、使用済み (一度使用されたトークン)、または 有効期限切れ。
• 有効期限：有効期限の日付または時刻、または 無期限。
• ポリシー：トークンに適用されるポリシー（UIのツールチップにもポリシーIDが表示されます）。
• 個人利用：許可 / 許可不可 / 専用デバイス。
• 利用用途：複数回利用可能、または1回のみ利用可能。
• ユーザー：トークンで登録されたデバイスに、あらかじめ割り当てることができるオプションのユーザー。

操作

• 各行には、削除アクションがあります（登録トークンを削除）。ライセンスが期限切れの場合、削除は無効になります。
• このテーブルでは、複数行の選択が可能です。選択モードを有効にし、複数のトークンを選択して、選択したトークンを削除 ボタンで削除できます。
• リストを更新するには、更新アクションを使用してください。テーブルはページネーションされており、1ページあたり10、25、または50件のアイテムが表示されます。

新しい登録トークンを作成します。

Androidのトークンタブで、新しい登録トークンを作成するボタンをクリックすると、トークン作成画面が開きます。ライセンスが期限切れの場合は、作成ボタンが無効になります。

トークンに関するオプション

1. ポリシー

必須です。 このトークンを使用して登録されたすべてのデバイスに、このポリシーは自動的に適用されます。利用可能な Androidポリシー から選択してください。まだポリシーがない場合は、まず作成してください。

2. ユーザー

任意。設定した場合、新たに登録されたデバイスは自動的にこのユーザーに関連付けられます。

3. 個人的な利用

この登録トークンでプロビジョニングされたデバイスでの個人利用を許可するかどうかを設定します。

• 許可対象：個人のデバイス（職場プロファイル）および、業務とプライベートの両方の利用が可能な会社所有のデバイスに適しています。
• 許可対象外：業務専用の会社所有デバイス（フルマネージド）のみを対象とします。
• 専用デバイス：キオスクや専用デバイスに適しています（デバイスは特定のユーザーに関連付けられていません）。

4. 許可されている用途

トークンを複数回 (複数回) 使用できるか、または1回のみ (1回のみ) を選択してください。

5. 満了日

期限の単位を選択してください (分、時間、日、または 無期限)。無期限以外を選択した場合は、有効期限の値を入力してください。許可される範囲は選択した単位によって異なり、最大で10,000日まで設定できます。

プロビジョニングオプション (QRコードのみ)

これらの追加オプションはQRコードに組み込まれており、QRコードをスキャンして登録された、完全に管理されるデバイスのプロビジョニング時に適用されます。 ワークプロファイルや、登録URLまたはトークンを使用して登録されたデバイスには適用されません。

Wi-Fi 設定

この機能を使用すると、デバイスがプロビジョニング中にWi-Fiに自動的に接続できるようになり、管理アプリのダウンロードと初期化が可能です。利用可能なフィールドには、SSID、非表示のSSID、セキュリティ、および（必要な場合）パスフレーズが含まれます。

HTTPプロキシ（プロキシ）を設定することもでき、モードに応じて、ホスト、ポート、PAC URI、およびプロキシのバイパスホストを設定できます。

その他のオプション

その他のオプションとして、地域、タイムゾーン、および暗号化スキップがあります。

登録トークンの詳細

トークンを開くと、詳細ページにトークンの設定情報と使用状況が表示されます。

• ステータス、有効期限、使用状況、個人利用、および許可された利用。
• トークン：生の登録トークン値です（コピー可能）。
• 登録URL：Google Android Enterpriseの登録用URLです（コピー可能で、メールで送信できます）。
• QRコード：画面右側に表示され、完全に管理されたデバイスの登録に使用されます。

詳細な設定手順については、Android の登録ガイドを参照してください。 個人所有デバイス、業務および個人利用の会社所有デバイス、業務利用専用の会社所有デバイス、およびゼロタッチ。

個人のデバイス

登録トークンへのリンク

ワークプロファイルを、「設定」から追加します。

Android デバイス ポリシーをダウンロードします。

業務および個人利用用の、会社所有のデバイス。

• ほとんどのアプリケーション、データ、その他の管理ポリシーは、職場用プロファイルにのみ適用されます。
• 従業員個人のプロファイルはプライベートなままです。ただし、企業はデバイス全体に適用されるポリシーや、個人の利用に関するポリシーを適用することができます。
• 企業は、ブロック スコープを使用して、デバイス全体、またはそのワーク プロファイルに対して、コンプライアンス関連の措置を適用できます。
• デバイスの登録解除とデバイスコマンドは、デバイス全体に適用されます。

QRコードによる方法

業務利用専用の会社所有デバイス。

QRコードによる方法

DPC識別方法

ゼロタッチ

IT管理者は、ゼロタッチ登録という方法を使用して、会社所有のデバイスをプロビジョニングできます。詳細は、ゼロタッチ登録（IT管理者向け）をご参照ください。デバイスを初めて起動すると、デバイスはIT管理者が設定した設定で自動的に構成されます。

IT管理者は、認定販売業者から購入したデバイスを事前に構成し、Cerberus Enterpriseのダッシュボードを使用して管理することができます。認定販売業者から購入したデバイスを事前に構成し、Cerberus Enterpriseのダッシュボードで管理できます。ゼロタッチアカウントを連携するには、ダッシュボードのゼロタッチセクションにアクセスし、手順に従ってください。

Googleによる登録を利用した認証

Googleアカウントを利用した認証（Google認証による登録としても知られています）を使用すると、ユーザーはAndroidデバイスの登録時に、Google Workspaceアカウントで認証できます。

この機能は、管理されたGoogleドメイン（Google Workspace）を利用しているAndroidエンタープライズ向けに提供されます。

どこで確認できますか

ダッシュボードで、「エンロールメント トークン」を開き、「Googleエンロールメントによる認証」タブを選択します。このタブは、Android Management が構成され、Google Workspace の統合が貴社向けに利用可能な場合にのみ表示されます。

Google認証を有効にする（または無効にする）。

Google認証は、Google管理コンソールから有効になります。設定を変更した後は、Cerberus Enterpriseに戻り、状態を更新を実行して、現在の構成を再読み込みしてください。

1. 管理者アカウントで、Google 管理コンソールにログインしてください。
2. 「デバイス」を開きます。
3. 「モバイルデバイスとエンドポイント」→「設定」→「サードパーティ連携」に進みます。
4. Cerberus Enterprise の Android EMM 連携 を検索し、開きます。
5. をクリックして、EMM プロバイダーの管理を開きます。
6. Google認証の使用の切り替え機能により、デバイス登録時のGoogle認証を有効または無効にすることができます。
7. 「保存」をクリックしてください。
8. Cerberus Enterprise のダッシュボードに戻り、ステータスを更新 をクリックします。Google への認証 タブにあるボタンです。

Google認証の登録トークン

Google認証を有効にすると、ダッシュボードに、この登録モードで使用される専用の登録トークンが表示されます。このページには、QRコード、登録トークンの値、および登録URL（コピーしてメールで送信できます）が表示されます。

主要なオプション

• 個人利用の許可：トークンがデバイスを職場と個人利用の両方（職場プロファイル）または職場利用のみ（完全に管理された/専用）で使用できるようにするかどうかを制御します。
• 代替のデフォルトポリシー：登録ユーザーに特定のGoogle認証のデフォルトポリシーが割り当てられていない場合に適用されるポリシーです。

ポリシーとの連携

ポリシー設定 ワークアカウント設定時の認証 (workAccountSetupConfig.authenticationType) は、ワークアカウントの設定時にユーザーがどのように認証を行うかを制御しますが、Google管理コンソールの設定 Googleによる認証 や、登録トークンの種類によっては、依然として認証が必要となる場合があります。

すでに登録済みのデバイスの場合、このポリシーは、デバイスが管理されたGoogle Playアカウントによって管理されている場合にのみ適用されます（つまり、Googleによる認証なしで登録された場合）。

ライセンスが期限切れの場合、一部の操作（たとえば、トークンオプションの変更）が無効になることがあります。

デバイスを登録する

登録時に、ユーザーはGoogle Workspaceアカウントで認証するように促されます。登録が成功すると、デバイスは認証されたユーザーに関連付けられます。

職場用プロファイル（個人所有デバイス）。

• 登録URLをユーザーと共有してください。ユーザーがAndroidデバイスでこのURLを開くと、職場用プロファイルのセットアップとGoogle認証の手順が表示されます。
• または、ユーザーはAndroidの設定から、職場用プロファイルのセットアップフローを開始し、指示に従ってQRコードをスキャンするか、登録トークンを入力することができます。

会社所有のデバイス

• QRコード方式：新しいデバイスまたは工場出荷時の設定に戻したデバイスでは、同じ場所を何度かタップすると、QRコードのプロンプトが表示されます。その後、ダッシュボードに表示されるQRコードをスキャンしてください。
• DPC識別方法（QRコードスキャンが利用できない場合）：セットアップウィザードに従い、Wi-Fiに接続し、サインインを求められたら、afw#setup を入力し、QRコードをスキャンするか、登録トークンを入力して続行します。プロンプトが表示されたら、Google Workspaceアカウントで認証してください。

Androidデバイスの一般的なセットアップ手順（ワークプロファイルとフルマネージドデバイスの比較など）については、このマニュアルの標準的なAndroid登録ページを参照してください。