デバイスのプロビジョニング - Android 対応デバイス 一般的に、Google Play Servicesを搭載し、Android 6以降のバージョンが動作するデバイスは、Cerberus Enterpriseと互換性があります。 より良いユーザーエクスペリエンスのために、 Android Enterprise推奨 デバイスの利用をお勧めします。 一部の機能は、特定のAndroidバージョンでのみ利用可能、またはOSのバージョンによって動作が異なる場合があります。特定の機能の詳細については、ドキュメントの 「ポリシー」 セクションを参照してください。 Cerberus Enterpriseは、会社所有のデバイスと個人所有のデバイスの両方に対応しており、デバイスオーナー方式とプロファイルオーナー方式の2つの管理モードを提供します。 個人所有 のデバイスは、 業務用のプロファイル を通じて管理できます。これにより、従業員の業務データとアプリを個人のデータとアプリから分離し、セキュリティとプライバシーの両方を向上させるBYOD(Bring Your Own Device)を実現できます。このオプションは、従業員が既に所有しているデバイスで、組織に登録して業務利用させたい場合に適しています。 会社所有 のデバイスも、仕事用プロファイルを通じて管理できますが、より厳格なデバイスの制御を可能にする 完全管理 オプションを選択することもできます。仕事用プロファイルが設定された会社所有のデバイスは、従業員に業務用のデバイスを提供しつつ、個人的な利用も許可したい場合に適しています。一方、完全管理のデバイスは、業務専用で使用する必要があるデバイス、または、例えばキオスクのような 専用デバイス (COSU:corporate-owned single-use)に適しています。 デバイスのプロビジョニングに関する詳細については、 デバイスプロビジョニングの概要 のページを参照してください。 登録トークン Cerberus Enterpriseでは、Androidデバイスの登録(プロビジョニング)プロセスを開始するために、登録トークンを使用します。選択したトークンは、登録されたデバイスに適用される初期ポリシーを定義し、許可されるプロビジョニングモードに影響を与えます。 「Android enrollment tokens」タブは、 Android Management setup の設定完了後のみ利用可能です。 登録トークンは、どこで確認できますか。 ダッシュボードで、 登録トークン を開きます。アカウントの設定によっては、複数のタブが表示される場合があります (Android トークン、Google へのサインインによる登録、Apple の手動登録、および Apple の自動デバイス登録)。 Android Enterprise が管理対象の Google ドメイン (Google Workspace) でサポートされている場合、ダッシュボードに Google への認証による登録 タブが表示されることがあります。この機能の有効化と使用方法の詳細については、 Google への認証による登録 を参照してください。 Android デバイスの登録トークン一覧 Android のトークンタブでは、すべてのトークンのリストが表形式で表示されます。行をクリックすると、そのトークンの詳細ページが開きます。 列 ID : 内部トークン識別子。 ステータス : 利用可能 、 使用済み (一度使用されたトークン) 、または 有効期限切れ 。 有効期限 :有効期限の日付または時刻、または 無期限 。 ポリシー :トークンに適用されるポリシー(UIのツールチップにもポリシーIDが表示されます)。 個人利用 :許可 / 許可不可 / 専用デバイス。 利用用途 :複数回利用可能、または1回のみ利用可能。 ユーザー :トークンで登録されたデバイスに、あらかじめ割り当てることができるオプションのユーザー。 操作 各行には、削除アクションがあります( 登録トークンを削除 )。ライセンスが期限切れの場合、削除は無効になります。 このテーブルでは、複数行の選択が可能です。選択モードを有効にし、複数のトークンを選択して、 選択したトークンを削除 ボタンで削除できます。 リストを更新するには、更新アクションを使用してください。テーブルはページネーションされており、1ページあたり10、25、または50件のアイテムが表示されます。 新しい登録トークンを作成します。 Androidのトークンタブで、 新しい登録トークン を作成するボタンをクリックすると、トークン作成画面が開きます。ライセンスが期限切れの場合は、作成ボタンが無効になります。 トークンに関するオプション 1. ポリシー 必須です。 このトークンを使用して登録されたすべてのデバイスに、このポリシーは自動的に適用されます。利用可能な Androidポリシー から選択してください。まだポリシーがない場合は、まず作成してください。 2. ユーザー 任意。設定した場合、新たに登録されたデバイスは自動的にこのユーザーに関連付けられます。 3. 個人的な利用 この登録トークンでプロビジョニングされたデバイスでの個人利用を許可するかどうかを設定します。 許可対象 :個人のデバイス(職場プロファイル)および、業務とプライベートの両方の利用が可能な会社所有のデバイスに適しています。 許可対象外 :業務専用の会社所有デバイス(フルマネージド)のみを対象とします。 専用デバイス :キオスクや専用デバイスに適しています(デバイスは特定のユーザーに関連付けられていません)。 4. 許可されている用途 トークンを複数回 ( 複数回 ) 使用できるか、または1回のみ ( 1回のみ ) を選択してください。 5. 満了日 期限の単位を選択してください ( 分 、 時間 、 日 、または 無期限 )。無期限以外を選択した場合は、有効期限の値を入力してください。許可される範囲は選択した単位によって異なり、最大で10,000日まで設定できます。 プロビジョニングオプション (QRコードのみ) これらの追加オプションはQRコードに組み込まれており、QRコードをスキャンして登録された、完全に管理されるデバイスのプロビジョニング時に適用されます。 ワークプロファイルや、登録URLまたはトークンを使用して登録されたデバイスには適用されません。 Wi-Fi 設定 この機能を使用すると、デバイスがプロビジョニング中にWi-Fiに自動的に接続できるようになり、管理アプリのダウンロードと初期化が可能です。利用可能なフィールドには、 SSID 、 非表示のSSID 、 セキュリティ 、および(必要な場合) パスフレーズ が含まれます。 HTTPプロキシ( プロキシ )を設定することもでき、モードに応じて、 ホスト 、 ポート 、 PAC URI 、および プロキシのバイパスホスト を設定できます。 その他のオプション その他のオプションとして、 地域 、 タイムゾーン 、および 暗号化スキップ があります。 登録トークンの詳細 トークンを開くと、詳細ページにトークンの設定情報と使用状況が表示されます。 ステータス 、 有効期限 、 使用状況 、 個人利用 、および 許可された利用 。 トークン :生の登録トークン値です(コピー可能)。 登録URL :Google Android Enterpriseの登録用URLです(コピー可能で、メールで送信できます)。 QRコード :画面右側に表示され、完全に管理されたデバイスの登録に使用されます。 詳細な設定手順については、Android の登録ガイドを参照してください。 個人所有デバイス 、 業務および個人利用の会社所有デバイス 、 業務利用専用の会社所有デバイス 、および ゼロタッチ 。 個人のデバイス 従業員が所有するデバイスは、 勤務用プロファイル を使用して設定できます。勤務用プロファイルは、業務用のアプリやデータを、個人のアプリやデータとは別に、独立した領域で管理するためのものです。ほとんどのアプリ、データ、およびその他の管理ポリシーは、勤務用プロファイルにのみ適用され、従業員の個人のアプリやデータはプライベートな状態に保たれます。 個人のデバイスで勤務用プロファイルを設定するには、以下のいずれかのプロビジョニング方法を使用します( 登録トークン が 個人利用 に設定されていることを確認してください: 許可 )。 登録トークンへのリンク Androidのバージョン 6.0+ エンドユーザーには、この登録URLを提供できます。エンドユーザーがデバイスからこのリンクを開くと、ワークプロファイルのセットアップ手順が表示されます。 ワークプロファイルを、 「設定」 から追加します。 Androidのバージョン 6.0+ ユーザーがデバイスにワークプロファイルを設定するには、次の方法があります。 1. 設定 に移動し  >  Google  >  設定と復元 。 2. 「職場環境の設定」を タップ してください。 これらの手順により、セットアップウィザードが起動し、 Android デバイス ポリシー がデバイスにダウンロードされます。次に、ユーザーは QR コードをスキャンするか、手動で登録トークンを入力して、職場プロファイルのセットアップを完了する必要があります。 Android デバイス ポリシーをダウンロードします。 Androidのバージョン 6.0+ デバイスに職場用プロファイルを設定するには、ユーザーは Google Play ストアから Android デバイス ポリシーをダウンロードできます。アプリのインストール後、ユーザーは QR コードをスキャンするか、登録トークンを手動で入力して、職場用プロファイルのセットアップを完了する必要があります。 業務および個人利用用の、会社所有のデバイス。 会社が所有するデバイスで、 業務用プロファイル を設定すると、そのデバイスを業務と個人利用の両方で利用できるようになります。会社が所有するデバイスで、業務用プロファイルが設定されている場合: ほとんどのアプリケーション、データ、その他の管理ポリシーは、職場用プロファイルにのみ適用されます。 従業員個人のプロファイルはプライベートなままです。ただし、企業はデバイス全体に適用されるポリシーや、個人の利用に関するポリシーを適用することができます。 企業は、 ブロック スコープ を使用して、デバイス全体、またはそのワーク プロファイルに対して、コンプライアンス関連の措置を適用できます。 デバイスの登録解除とデバイスコマンドは、デバイス全体に適用されます。 会社所有のデバイスで、業務用のプロファイルを設定するには、以下のいずれかのプロビジョニング方法を使用します( 登録トークン が 個人利用 を 許可 に設定されていることを確認してください): QRコードによる方法 Androidのバージョン 8.0+ 新しいデバイスまたは工場出荷時の状態にリセットされたデバイスでは、ユーザー(通常はIT管理者)が画面の同じ場所を6回タップします。 これにより、デバイスがユーザーにQRコードのスキャンを促します。 業務利用専用の会社所有デバイス。 フルデバイス管理 は、業務目的でのみ使用される、会社所有のデバイスに適しています。企業はデバイス上のすべてのアプリを管理でき、Android Management APIのすべてのポリシーとコマンドを適用できます。 デバイスを特定のアプリまたはアプリのセットに制限することも可能です(ポリシーを通じて)。このような、フルマネージドデバイスのサブセットを、 専用デバイス と呼びます。 企業が所有するデバイスでフルマネージメントを設定するには、以下のいずれかのプロビジョニング方法を使用します( 登録トークン が、 個人利用 に対して 許可不可 に設定されていることを確認してください)。 QRコードによる方法 Androidのバージョン 7.0+ 新しいデバイスまたは工場出荷時の状態にリセットされたデバイスでは、ユーザー(通常はIT管理者)が画面の同じ場所を6回タップします。 これにより、デバイスがユーザーにQRコードのスキャンを促します。 DPC識別方法 Androidのバージョン 5.1+ QRコード経由でAndroidデバイスポリシーを追加できない場合、ユーザーまたはIT管理者は、以下の手順で完全に管理されたデバイスまたは専用デバイスをプロビジョニングできます。 1. 新しいデバイスまたは工場出荷時の状態にリセットされたデバイスで、セットアップウィザードに従ってください。 2. Wi-Fiのログイン情報を入力して、デバイスをインターネットに接続します。 3. サインインを求められた場合は、 afw#setup と入力してください。これにより、Android デバイス ポリシーがダウンロードされます。 4. QRコードをスキャンするか、または手動で登録トークンを入力して、デバイスをセットアップします。 ゼロタッチ IT管理者は、ゼロタッチ登録という方法を使用して、会社所有のデバイスをプロビジョニングできます。詳細は、 ゼロタッチ登録(IT管理者向け) をご参照ください。デバイスを初めて起動すると、デバイスはIT管理者が設定した設定で自動的に構成されます。 IT管理者は、認定販売業者から購入したデバイスを事前に構成し、Cerberus Enterpriseのダッシュボードを使用して管理することができます。 認定販売業者 から購入したデバイスを事前に構成し、Cerberus Enterpriseのダッシュボードで管理できます。ゼロタッチアカウントを連携するには、ダッシュボードの ゼロタッチ セクションにアクセスし、手順に従ってください。 Androidのバージョン 作業用プロファイル 完全に管理されたデバイス 専用デバイス 8.0+ (Pixel 7.1+) ✓ ✓ ✓ Googleによる登録を利用した認証 Googleアカウントを利用した認証( Google認証による登録 としても知られています)を使用すると、ユーザーはAndroidデバイスの登録時に、Google Workspaceアカウントで認証できます。 この機能は、管理されたGoogleドメイン(Google Workspace)を利用しているAndroidエンタープライズ向けに提供されます。 どこで確認できますか ダッシュボードで、「 エンロールメント トークン 」を開き、「 Googleエンロールメントによる認証 」タブを選択します。このタブは、Android Management が構成され、Google Workspace の統合が貴社向けに利用可能な場合にのみ表示されます。 Google認証を有効にする(または無効にする)。 Google認証は、 Google管理コンソール から有効になります。設定を変更した後は、Cerberus Enterpriseに戻り、 状態を更新 を実行して、現在の構成を再読み込みしてください。 管理者アカウントで、 Google 管理コンソール にログインしてください。 「 デバイス 」を開きます。 「 モバイルデバイスとエンドポイント 」→「 設定 」→「 サードパーティ連携 」に進みます。 Cerberus Enterprise の Android EMM 連携 を検索し、開きます。 をクリックして、 EMM プロバイダーの管理 を開きます。 Google認証の使用 の切り替え機能により、デバイス登録時のGoogle認証を有効または無効にすることができます。 「 保存 」をクリックしてください。 Cerberus Enterprise のダッシュボードに戻り、 ステータスを更新 をクリックします。 Google への認証 タブにあるボタンです。 Google認証の登録トークン Google認証を有効にすると、ダッシュボードに、この登録モードで使用される専用の登録トークンが表示されます。このページには、 QRコード 、 登録トークン の値、および 登録URL (コピーしてメールで送信できます)が表示されます。 主要なオプション 個人利用の許可 :トークンがデバイスを職場と個人利用の両方(職場プロファイル)または職場利用のみ(完全に管理された/専用)で使用できるようにするかどうかを制御します。 代替のデフォルトポリシー :登録ユーザーに特定のGoogle認証のデフォルトポリシーが割り当てられていない場合に適用されるポリシーです。 ポリシーとの連携 ポリシー設定 ワークアカウント設定時の認証 (workAccountSetupConfig.authenticationType) は、ワークアカウントの設定時にユーザーがどのように認証を行うかを制御しますが、Google管理コンソールの設定 Googleによる認証 や、登録トークンの種類によっては、依然として認証が必要となる場合があります。 すでに登録済みのデバイスの場合、このポリシーは、デバイスが管理されたGoogle Playアカウントによって管理されている場合にのみ適用されます(つまり、 Googleによる認証 なしで登録された場合)。 ライセンスが期限切れの場合、一部の操作(たとえば、トークンオプションの変更)が無効になることがあります。 デバイスを登録する 登録時に、ユーザーはGoogle Workspaceアカウントで認証するように促されます。登録が成功すると、デバイスは認証されたユーザーに関連付けられます。 職場用プロファイル(個人所有デバイス)。 登録URL をユーザーと共有してください。ユーザーがAndroidデバイスでこのURLを開くと、職場用プロファイルのセットアップとGoogle認証の手順が表示されます。 または、ユーザーはAndroidの設定から、職場用プロファイルのセットアップフローを開始し、指示に従ってQRコードをスキャンするか、登録トークンを入力することができます。 会社所有のデバイス QRコード方式 :新しいデバイスまたは工場出荷時の設定に戻したデバイスでは、同じ場所を何度かタップすると、QRコードのプロンプトが表示されます。その後、ダッシュボードに表示されるQRコードをスキャンしてください。 DPC識別方法 (QRコードスキャンが利用できない場合):セットアップウィザードに従い、Wi-Fiに接続し、サインインを求められたら、 afw#setup を入力し、QRコードをスキャンするか、登録トークンを入力して続行します。プロンプトが表示されたら、Google Workspaceアカウントで認証してください。 Androidデバイスの一般的なセットアップ手順(ワークプロファイルとフルマネージドデバイスの比較など)については、このマニュアルの標準的なAndroid登録ページを参照してください。