デバイスのプロビジョニング - Android サポートされているデバイス 一般的に、Google Play開発者サービスが搭載されたAndroid 6以降を実行しているデバイスであれば、Cerberus Enterpriseと互換性があります。 より良いユーザーエクスペリエンスのために、Android Enterprise Recommendedの要件を満たすデバイスの使用を推奨します。 一部の機能は特定のAndroidバージョンに限定されている場合や、OSのバージョンによって動作が異なる場合があります。特定の機能に関する詳細については、ドキュメントのポリシーセクションを参照してください。 Cerberus Enterpriseは、会社所有デバイスと個人所有デバイスの両方をサポートしており、管理モードとして「デバイスオーナー」と「プロファイルオーナー」の2種類に対応しています。 個人所有デバイスは、仕事用プロファイルを通じて管理できます。これにより、従業員の業務データやアプリを個人のデータやアプリから分離して保持できるため、BYODソリューションが可能になり、セキュリティとプライバシーの両方が向上します。このオプションは、従業員が既に所有しているデバイスを組織の業務用に登録したい場合に適しています。 会社所有デバイスも仕事用プロファイルを通じて管理できますが、デバイスをより厳格に制御できるフルマネージドオプションを選択することも可能です。仕事用プロファイルを持つ会社所有デバイスは、従業員に業務用のデバイスを提供しつつ個人利用も許可する場合に適しています。フルマネージドデバイスは、業務のみに使用しなければならないデバイスや、キオスクなどの専用デバイス(COSU、企業所有の単一用途デバイス)に適しています。 デバイスのプロビジョニングに関する詳細については、デバイスのプロビジョニング概要ページを参照してください。 登録トークン Cerberus Enterpriseでは、Androidデバイスの登録(プロビジョニング)プロセスを開始するために登録トークンを使用します。選択したトークンによって、登録されたデバイスに適用される初期ポリシーが定義され、許可されるプロビジョニングモードが決定されます。 Androidの登録トークンタブは、Android管理の設定が完了した後にのみ利用可能になります。 登録トークンの場所 ダッシュボードで登録トークンを開きます。アカウントの設定によっては、複数のタブ(Androidトークン、Googleサインイン登録、Apple手動登録、およびApple自動デバイス登録)が表示される場合があります。 Androidエンタープライズが管理対象Googleドメイン(Google Workspace)によってバックアップされている場合、ダッシュボードにはGoogleによる認証を用いた登録タブが表示されることもあります。有効化および使用方法の詳細については、Googleによる認証を用いた登録を参照してください。 登録トークンリスト (Android) Androidトークンタブには、すべてのトークンのテーブルが表示されます。行をクリックすると、トークンの詳細ページが開きます。 列 ID: 内部トークン識別子。 ステータス: 利用可能、使用済み(使い切りトークンが既に使用されている場合)、または期限切れ。 有効期限: 有効期限の日時、またはなし。 ポリシー: トークンに割り当てられたポリシー(UIのツールチップにはポリシーIDも表示されます)。 個人利用: 許可 / 禁止 / 専用デバイス。 許可された用途: 複数回、または1回のみ。 ユーザー: そのトークンを使用して登録されたデバイスに事前割り当てされた、オプションのユーザー。 操作 各行には削除アクション (登録トークンの削除) があります。ライセンスの有効期限が切れている場合、削除は無効になります。 このテーブルは複数行の選択に対応しています。選択モードを有効にして複数のトークンを選択し、選択したトークンを削除で削除できます。 更新アクションを使用してリストを再読み込みしてください。テーブルはページ分割されています(1ページあたり10/25/50項目)。 新しい登録トークンの作成 Androidトークンのタブで、新しい登録トークンをクリックして、トークン作成ページを開きます。ライセンスの有効期限が切れている場合、作成ボタンは無効になります。 トークンオプション 1. ポリシー 必須項目。 このトークンを使用して登録されたすべてのデバイスに、このポリシーが自動的に適用されます。作成済みのAndroidポリシーから1つを選択してください。まだポリシーを作成していない場合は、先に作成してください。 2. ユーザー オプション。設定した場合、新しく登録されたデバイスはこのユーザーに自動的に紐付けられます。 3. 個人利用 この登録トークンを使用してプロビジョニングされたデバイスで、個人利用を許可するかどうかを制御します。 許可: 個人所有デバイス(仕事用プロファイル)や、業務と個人利用の両方を目的とした会社所有デバイスに適しています。 禁止: 業務専用の会社所有デバイス(フルマネージド)に適しています。 専用デバイス: キオスク/専用デバイスに適しています(デバイスが特定のユーザーに紐付けられません)。 4. 許可された用途 トークンを複数回使用できるか (複数回)、または1回のみ使用できるか (1回のみ) を選択します。 5. 有効期限 有効期限の単位 (分、時間、日、またはなし) を選択します。「なし」に設定されていない場合は、有効期限の値を入力してください。許可される範囲は選択した単位によって異なり、最大10,000日まで設定可能です。 プロビジョニングオプション(QRコードのみ) これらの追加オプションはQRコードに埋め込まれており、QRコードのスキャンによって登録されるフルマネージドデバイスのプロビジョニング時に適用されます。これらは、仕事用プロファイルや、登録URLまたはトークンを使用して登録されたデバイスには適用されません。 Wi-Fi設定 これを使用すると、プロビジョニング中にデバイスが自動的にWi-Fiに接続できるようになり、管理アプリのダウンロードと初期化が可能になります。設定可能なフィールドには、SSID、非公開SSID、セキュリティ、および(必要な場合)パスフレーズが含まれます。 HTTPプロキシ (プロキシ) を設定することもできます。また、モードに応じて ホスト/ポート、PAC URI、および プロキシバイパスホスト を設定できます。 その他のオプション 追加オプションには、ロケール、タイムゾーン、および暗号化をスキップが含まれます。 登録トークンの詳細 トークンを開くと、詳細ページにトークンの設定と使用状況の情報が表示されます。 ステータス、有効期限、使用状況、個人利用、および許可された用途。 トークン: 生の登録トークン値(コピー可能)。 登録URL: Google Android Enterpriseの登録URL(コピーおよびメール送信が可能)。 QRコード: ページの右側に表示され、フルマネージドデバイスの登録に使用されます。 ステップバイステップのプロビジョニング手順については、以下のAndroid登録ガイドに従ってください: 個人所有デバイス>, 業務および個人利用を兼ねた会社所有デバイス>, 業務専用の会社所有デバイス>, および Zero-touch. 個人所有デバイス 従業員が所有するデバイスは、仕事用プロファイルを使用してセットアップできます。仕事用プロファイルは、個人のアプリやデータとは別に、業務用のアプリとデータを格納するための独立したスペースを提供します。ほとんどのアプリ、データ、およびその他の管理ポリシーは仕事用プロファイルにのみ適用され、従業員の個人のアプリやデータはプライベートなまま保持されます。 個人所有デバイスに仕事用プロファイルをセットアップするには、以下のプロビジョニング方法のいずれかを使用します(登録トークンの個人利用が許可に設定されていることを確認してください): 登録トークンリンク Androidバージョン 6.0+エンドユーザーに登録URLを提供できます。エンドユーザーが自身のデバイスからリンクを開くと、仕事用プロファイルのセットアップ手順が案内されます。 「設定」から仕事用プロファイルを追加 Androidバージョン 6.0+デバイスに仕事用プロファイルをセットアップするには、ユーザーはデバイスの設定アプリを開き、検索バーを使用して仕事用プロファイルをセットアップオプションを見つけてタップします。 検索で見つからない場合は、このオプションの場所が異なる可能性があります。いくつかの可能性を以下に示します。 設定 -> Googleサービスと設定 -> すべてのサービス -> 仕事用プロファイルをセットアップ. 設定 -> Google -> セットアップと復元 -> 仕事用プロファイルをセットアップ. これらの手順により、デバイスにAndroid Device Policyをダウンロードするセットアップウィザードが開始されます。次に、仕事用プロファイルのセットアップを完了するために、QRコードのスキャンまたは登録トークンの手動入力が求められます。 Android Device Policyのダウンロード Androidバージョン 6.0+デバイスに仕事用プロファイルをセットアップするには、ユーザーはGoogle PlayストアからAndroid Device Policyをダウンロードできます。アプリのインストール後、仕事用プロファイルのセットアップを完了するために、QRコードのスキャンまたは登録トークンの手動入力が求められます。 業務および個人利用のための会社所有デバイス ワークプロファイルを備えた会社所有デバイスをセットアップすると、業務と個人利用の両方でデバイスを使用できるようになります。ワークプロファイルを持つ会社所有デバイスでは、以下のようになります: ほとんどのアプリ、データ、およびその他の管理ポリシーは、ワークプロファイルにのみ適用されます。 従業員の個人用プロファイルはプライバシーが保たれます。ただし、企業側で特定のデバイス全体に適用されるポリシーや個人利用に関するポリシーを強制することができます。 企業は、ブロック範囲を使用して、デバイス全体またはワークプロファイルのみにコンプライアンスアクションを強制できます。 デバイスの登録解除およびデバイスコマンドは、デバイス全体に適用されます。ワークプロファイルを持つ会社所有デバイスをセットアップするには、以下のプロビジョニング方法のいずれかを使用します(登録トークンの個人利用が許可済みに設定されていることを確認してください): QRコード方式 Androidバージョン 8.0+新しいデバイス、または工場出荷時リセット後のデバイスで、ユーザー(通常はIT管理者)が画面の同じ場所を6回タップします。これにより、デバイスにQRコードのスキャンを促すプロンプトが表示されます。 業務専用の会社所有デバイス フルデバイス管理は、業務目的のみに使用される会社所有デバイスに適しています。企業はデバイス上のすべてのアプリを管理でき、Android Management APIのポリシーとコマンドの全範囲を強制できます。 特定の目的やユースケースに合わせて、デバイスを単一のアプリまたは少数のアプリに制限(ポリシー経由)することも可能です。このように完全に管理されたデバイスのサブセットは、専用デバイスと呼ばれます。 会社所有デバイスでフル管理をセットアップするには、以下のプロビジョニング方法のいずれかを使用します(登録トークンの個人利用が禁止済みに設定されていることを確認してください): QRコード方式 Androidバージョン 7.0+新しいデバイス、または工場出荷時リセット後のデバイスで、ユーザー(通常はIT管理者)が画面の同じ場所を6回タップします。これにより、デバイスにQRコードのスキャンを促すプロンプトが表示されます。 DPC識別子方式 Androidバージョン 5.1+QRコード経由でAndroid Device Policyを追加できない場合は、ユーザーまたはIT管理者が以下の手順に従って、フル管理デバイスまたは専用デバイスのプロビジョニングを行うことができます。 1. 新しいデバイス、または工場出荷時リセット後のデバイスで、セットアップウィザードに従います。2. Wi-Fiのログイン情報を入力して、デバイスをインターネットに接続します。3. サインインを求められたら、afw#setupを入力します。これにより、Android Device Policyがダウンロードされます。 4. QRコードをスキャンするか、登録トークンを手動で入力してデバイスのプロビジョニングを行います。 Zero-touch IT管理者は、Zero-touch enrollment for IT adminsに記載されているZero-touch登録方法を使用して、会社所有デバイスをプロビジョニングできます。デバイスの電源が初めて入れられた際、そのデバイスは自動的にIT管理者が定義した設定に強制適用されます。 IT管理者は、認定リセラーから購入したデバイスを事前設定し、Cerberus Enterpriseダッシュボードを使用して管理できます。Zero-touchアカウントをリンクするには、ダッシュボードのZero-touchセクションに移動し、指示に従ってください。 Androidバージョン ワークプロファイル フルマネージドデバイス 専用デバイス 8.0+ (Pixel 7.1+) ✓ ✓ ✓ Googleを使用した認証による登録 Googleを使用した認証による登録(登録用Google認証とも呼ばれます)では、Androidデバイスの登録時にユーザーが自身のGoogle Workspaceアカウントで認証を行うことができます。 この機能は、管理対象のGoogleドメイン(Google Workspace)によってサポートされているAndroidエンタープライズでのみ利用可能です。 場所の確認方法 ダッシュボードで、登録トークンを開き、Googleを使用した認証による登録タブを選択します。このタブは、Android Managementが設定されており、かつお客様のエンタープライズでGoogle Workspaceとの統合が利用可能な場合にのみ表示されます。 Google認証の有効化(または無効化) Google認証は Google管理コンソール で有効にします。設定を変更した後は、Cerberus Enterpriseに戻り、ステータスを更新 を使用して現在の設定を再読み込みしてください。 管理者アカウントを使用して、Google管理コンソール にログインします。 デバイスを開きます。 モバイルとエンドポイント → 設定 → サードパーティの統合 Cerberus EnterpriseのAndroid EMM統合を見つけて開きます。 EMMプロバイダーの管理をクリックします。 Googleを使用した認証による登録のスイッチを切り替えて、登録用のGoogle認証を有効または無効にします。 保存をクリックします。 Cerberus Enterpriseのダッシュボードに戻り、Googleを使用した認証による登録タブのステータスを更新をクリックします。 Google認証による登録トークン Google認証が有効になると、ダッシュボードにこの登録モード専用の登録トークンが表示されます。ページには、QRコード、登録トークンの値、および登録URL(コピーおよびメール送信が可能)が表示されます。 主要なオプション 個人利用を許可: トークンを使用して、業務と個人利用の両方が可能なデバイス(仕事用プロファイル)を登録できるか、または業務専用のデバイス(フルマネージド/専用デバイス)のみを登録できるかを制御します。 フォールバック用デフォルトポリシー: 登録するユーザーに特定のGoogle認証用デフォルトポリシーが割り当てられていない場合に適用されるポリシー。 ポリシーの相互作用 ポリシー設定の 仕事用アカウントのセットアップ時の認証 (workAccountSetupConfig.authenticationType) は、仕事用アカウントのセットアップ中にユーザーがどのように認証するかを制御しますが、Google管理コンソールの設定 Googleを使用した認証による登録 および登録トークンの種類によっては、依然として認証が必要になる場合があります。 既に登録済みのデバイスについては、そのデバイスが管理対象のGoogle Playアカウントによって管理されている場合(つまり、Googleを使用した認証による登録を使用せずに登録された場合)にのみ、このポリシーが適用されます。 ライセンスの有効期限が切れている場合、一部のアクション(例:トークンオプションの変更など)は無効になることがあります。 デバイスの登録 登録プロセス中に、ユーザーは自身のGoogle Workspaceアカウントでの認証を求められます。登録が正常に完了すると、デバイスは認証されたユーザーに関連付けられます。 仕事用プロファイル(個人所有デバイス) 登録URLをユーザーに共有します。ユーザーがAndroidデバイスでそのURLを開くと、仕事用プロファイルのセットアップとGoogle認証のプロセスが案内されます。 あるいは、ユーザーはAndroidの設定から開始して仕事用プロファイルのセットアップフローを選択し、指示に従ってQRコードをスキャンするか登録トークンを入力することもできます。 会社所有デバイス QRコード方式: 新品または工場出荷時状態にリセットされたデバイスで、QRコードのプロンプトが表示されるまで画面の同じ場所を繰り返しタップし、その後ダッシュボードに表示されているQRコードをスキャンします。 DPC識別子方式(QRコードのスキャンが利用できない場合): セットアップウィザードに従い、Wi-Fiに接続します。サインインを求められた際に afw#setup を入力し、QRコードのスキャンまたは登録トークンの入力に進みます。指示に従い、Google Workspaceアカウントで認証を行ってください。 一般的なAndroidプロビジョニング手順(仕事用プロファイルとフルマネージドの違いなど)については、本マニュアル内の標準的なAndroid登録ページを参照してください。