ユーザーマニュアル

• はじめに
• セットアップ
• Android 管理の設定
• Appleデバイス管理設定（APNs）
• デバイスのセットアップ概要
• デバイスのプロビジョニング - Android
• 対応デバイス
• 登録トークン
• 個人のデバイス
• 業務および個人利用用の、会社所有のデバイス。
• 業務利用専用の会社所有デバイス。
• ゼロタッチ
• Googleによる登録を利用した認証
• デバイスのプロビジョニング - Apple
• Appleのプロビジョニング概要
• Appleの自動登録 (登録プロファイル)
• Appleの自動デバイス登録（ADE）
• ポリシーの概要
• ポリシー - Android
• 概要
• アプリ管理
• キオスクモード
• セキュリティ
• マルチメディア
• モバイル回線
• ネットワーク設定
• システム
• 位置情報とジオフェンス
• ユーザー管理
• 個人利用
• プロファイル間ポリシー
• ステータスレポート
• その他
• ポリシー適用ルール
• ポリシー - Apple
• Appleのポリシー
• Appleのポリシー：パスコード
• Appleのポリシー：制限事項
• Appleのポリシー：アプリとプロファイル
• デバイスの状態
• デバイスの概要
• コマンド
• 位置情報マップ
• ダッシュボードの場所マップ
• プライベートアプリ
• 証明書管理
• デバイス
• デバイス
• ユーザー
• ユーザー
• ユーザーエディター
• アカウント
• 設定
• マルチテナンシー
• マルチテナンシーの概要
• 管理対象エンタープライズ
• エンタープライズ切り替え
• サブアカウント
• 洞察力

はじめに

Cerberus Enterpriseは、AndroidおよびAppleデバイスのセキュリティと管理を支援する、包括的なEMMソリューションです。クリーンで使いやすいインターフェースで、BYOD（Bring Your Own Device）および会社所有のデバイスの効果的な管理を可能にし、数分で使い始めることができます。

Cerberus Enterpriseを効果的に利用するには、システムがどのように動作するかについてのいくつかの重要な概念を理解する必要があります。

本システムは、AndroidとAppleの両方のデバイス管理に対応しています。

Androidデバイスでは、Cerberus Enterpriseが、Googleの公式Android Management APIを使用して、Androidデバイスポリシーアプリ（ADP）を通じてデバイスを管理します。ほとんどの設定は、ADPによって直接適用されます。一部のオプション機能には、ADPだけでは実現できない機能を追加する、Cerberus Enterpriseのコンパニオンアプリが必要になる場合があります。

Appleデバイスでは、Cerberus EnterpriseがApple MDM（モバイルデバイス管理）を通じてデバイスを管理します。Appleの管理には、APNs証明書が必要であり、オプションでApple Business Managerと連携することで、デバイスの自動登録やアプリのライセンス管理が可能です。

各デバイスは、登録トークンを使用するか、登録トークン、または登録プロファイル（Appleのデバイスによる登録）を使用して、システムに登録できます。登録方法は、デバイスに適用されるべきルールを含むポリシーに関連付けられています。

IT管理者は、デバイス登録後、デバイスに関連付けられているポリシーを変更できます。ただし、各デバイスは一度に1つのポリシーのみに関連付けられます。

登録（プロビジョニング）プロセス中、必要な管理コンポーネントが自動的にインストールおよび設定されます。Android の場合、通常は Android デバイス ポリシー アプリ（および、構成に応じて Cerberus Enterprise のコンパニオン アプリ）が含まれます。Apple デバイスでは、デバイスが登録されると、MDM を介して管理が適用されます。その結果、対応するポリシーが自動的にデバイスに適用され、関連するすべてのルールがプラットフォーム管理システムによって適用されます。

ポリシーは、多数のデバイスに適用できます。この場合、ポリシーを変更すると、関連するすべてのデバイスに変更が適用されます。

 

セットアップ

Android 管理の設定

Cerberus EnterpriseでAndroidデバイスを管理するには、まずお客様の組織をGoogle Android Enterpriseに接続する必要があります。

セットアップの手順は通常、数分で完了し、勤務用のメールアドレス（例：name@enterprise.com）が必要です。

セットアップ中に何が行われるか

• Google Android Enterprise へのリダイレクトを行います。
• 職場メールアドレスでサインインします。
• Googleが、お客様の組織のためにAndroid Managementアカウントを作成します。
• セットアップを完了するために、Cerberus Enterpriseへ戻ります。

重要な情報です。

必ず、個人のGmailアドレスではなく、職場用のメールアドレスを使用してください。このメールアドレスは、Android Management用のGoogle Adminアカウントを作成するために使用されます。

次のステップ

設定完了後、登録トークンを作成し、デバイスに最適なプロビジョニング方法を選択してください。

Appleデバイス管理設定（APNs）

Appleデバイスを管理するには、Cerberus EnterpriseでAppleのプッシュ通知サービス（APNs）の証明書が必要です。

組織に関連付けられているApple IDを使用してください。APNs証明書は1年間有効であり、デバイスの管理を継続するには、毎年更新する必要があります。

ステップ1：CSRファイルをダウンロードします。

ダッシュボードで、Apple Management の設定を開始し、Cerberus Enterprise によって生成された、ベンダー署名付きの証明書要求ファイル (CSR) をダウンロードしてください。

ステップ2：Appleポータルで、プッシュ証明書を作成します。

• Apple ID を使用して、Apple プッシュ証明書ポータルにサインインします。
• 「証明書を作成」と表示された箇所をクリックしてください。。
• ステップ1からCSRファイルを取り込みます。
• 作成したプッシュ証明書をダウンロードします。

ポータルへのリンク: https://identity.apple.com/

ステップ3：プッシュ証明書をアップロードします。

Appleからダウンロードしたプッシュ証明書を、セットアップ完了のためにCerberus Enterpriseに再度アップロードしてください。

APNs証明書が期限切れになると、Appleデバイスの管理機能は、証明書を更新するまで動作しなくなります。

次のステップ

APNsの設定が完了したら、Appleデバイスの登録に進むことができます。Appleのプロビジョニングに関する概要については、Appleプロビジョニングの概要をご覧ください。

デバイスのセットアップ概要

Cerberus Enterpriseは、AndroidおよびAppleの両方のプラットフォームに対応したデバイス管理をサポートしています。必要なデバイスに応じて、各プラットフォームを個別に構成できます。

1. ダッシュボードでプラットフォームの設定を完了します。

デバイスを登録する前に、Cerberus Enterpriseのダッシュボードでプラットフォームの設定を完了してください。アカウントがまだ設定されていない場合は、ダッシュボードが必要な手順を案内します。

Androidの設定 (Google Android Enterprise)

Androidの設定手順については、Android Management setup をご参照ください。

• ダッシュボードの登録フローに移動し、Android Managementの設定を選択してください。
• ログインには、Googleの画面にリダイレクトされ、職場アカウントでサインインし、Android Enterpriseの利用を許可する必要があります。
• 認証が完了すると、設定を完了するためにCerberus Enterpriseに戻ります。

Appleの設定（APNsプッシュ証明書）

詳細なAppleの設定手順については、Apple Management setup (APNs) を参照してください。

• ダッシュボードの登録フローに移動し、Apple Managementの設定を選択してください。
• Cerberus EnterpriseからCSRファイルをダウンロードしてください。
• Apple Push Certificates PortalでAPNs証明書を作成し、生成された証明書をダウンロードしてください。
• ダウンロードした証明書をCerberus Enterpriseにアップロードして、Appleデバイスの管理を有効にしてください。

2. デバイスを登録します。

プラットフォームの設定が完了したら、デバイスの所有形態とOSに合った登録方法を選択してください。

Androidデバイスの登録

Androidデバイスの場合、登録は登録トークンによって行われます。 デバイスが個人所有か、会社所有かによって、適切な方法を選択してください。

• 個人のデバイス（BYODまたはワークプロファイル）：このガイドを参照してください。
• 会社所有デバイス（業務利用と個人利用 / 業務プロファイル）：このガイドを参照してください。
• 会社所有のデバイス（業務利用限定 / フルマネージドまたは専用）：このガイドを参照してください。
• ゼロタッチ設定: このガイドを参照してください。

Appleデバイスの登録

Appleデバイスの場合、上記の手順でAPNsの設定を行い、その後、Appleのプロビジョニングガイドに従ってください：Appleのプロビジョニング概要.

デバイスのプロビジョニング - Android

対応デバイス

一般的に、Google Play Servicesを搭載し、Android 6以降のバージョンが動作するデバイスは、Cerberus Enterpriseと互換性があります。

より良いユーザーエクスペリエンスのために、Android Enterprise推奨デバイスの利用をお勧めします。

一部の機能は、特定のAndroidバージョンでのみ利用可能、またはOSのバージョンによって動作が異なる場合があります。特定の機能の詳細については、ドキュメントの「ポリシー」セクションを参照してください。

Cerberus Enterpriseは、会社所有のデバイスと個人所有のデバイスの両方に対応しており、デバイスオーナー方式とプロファイルオーナー方式の2つの管理モードを提供します。

個人所有のデバイスは、業務用のプロファイルを通じて管理できます。これにより、従業員の業務データとアプリを個人のデータとアプリから分離し、セキュリティとプライバシーの両方を向上させるBYOD（Bring Your Own Device）を実現できます。このオプションは、従業員が既に所有しているデバイスで、組織に登録して業務利用させたい場合に適しています。

会社所有のデバイスも、仕事用プロファイルを通じて管理できますが、より厳格なデバイスの制御を可能にする完全管理オプションを選択することもできます。仕事用プロファイルが設定された会社所有のデバイスは、従業員に業務用のデバイスを提供しつつ、個人的な利用も許可したい場合に適しています。一方、完全管理のデバイスは、業務専用で使用する必要があるデバイス、または、例えばキオスクのような専用デバイス（COSU：corporate-owned single-use）に適しています。

デバイスのプロビジョニングに関する詳細については、デバイスプロビジョニングの概要 のページを参照してください。

登録トークン

Cerberus Enterpriseでは、Androidデバイスの登録（プロビジョニング）プロセスを開始するために、登録トークンを使用します。選択したトークンは、登録されたデバイスに適用される初期ポリシーを定義し、許可されるプロビジョニングモードに影響を与えます。

「Android enrollment tokens」タブは、Android Management setup の設定完了後のみ利用可能です。

登録トークンは、どこで確認できますか。

ダッシュボードで、登録トークンを開きます。アカウントの設定によっては、複数のタブが表示される場合があります (Android トークン、Google へのサインインによる登録、Apple の手動登録、および Apple の自動デバイス登録)。

Android Enterprise が管理対象の Google ドメイン (Google Workspace) でサポートされている場合、ダッシュボードに Google への認証による登録 タブが表示されることがあります。この機能の有効化と使用方法の詳細については、Google への認証による登録 を参照してください。

Android デバイスの登録トークン一覧

Android のトークンタブでは、すべてのトークンのリストが表形式で表示されます。行をクリックすると、そのトークンの詳細ページが開きます。

列

• ID: 内部トークン識別子。
• ステータス: 利用可能、使用済み (一度使用されたトークン)、または 有効期限切れ。
• 有効期限：有効期限の日付または時刻、または 無期限。
• ポリシー：トークンに適用されるポリシー（UIのツールチップにもポリシーIDが表示されます）。
• 個人利用：許可 / 許可不可 / 専用デバイス。
• 利用用途：複数回利用可能、または1回のみ利用可能。
• ユーザー：トークンで登録されたデバイスに、あらかじめ割り当てることができるオプションのユーザー。

操作

• 各行には、削除アクションがあります（登録トークンを削除）。ライセンスが期限切れの場合、削除は無効になります。
• このテーブルでは、複数行の選択が可能です。選択モードを有効にし、複数のトークンを選択して、選択したトークンを削除 ボタンで削除できます。
• リストを更新するには、更新アクションを使用してください。テーブルはページネーションされており、1ページあたり10、25、または50件のアイテムが表示されます。

新しい登録トークンを作成します。

Androidのトークンタブで、新しい登録トークンを作成するボタンをクリックすると、トークン作成画面が開きます。ライセンスが期限切れの場合は、作成ボタンが無効になります。

トークンに関するオプション

1. ポリシー

必須です。 このトークンを使用して登録されたすべてのデバイスに、このポリシーは自動的に適用されます。利用可能な Androidポリシー から選択してください。まだポリシーがない場合は、まず作成してください。

2. ユーザー

任意。設定した場合、新たに登録されたデバイスは自動的にこのユーザーに関連付けられます。

3. 個人的な利用

この登録トークンでプロビジョニングされたデバイスでの個人利用を許可するかどうかを設定します。

• 許可対象：個人のデバイス（職場プロファイル）および、業務とプライベートの両方の利用が可能な会社所有のデバイスに適しています。
• 許可対象外：業務専用の会社所有デバイス（フルマネージド）のみを対象とします。
• 専用デバイス：キオスクや専用デバイスに適しています（デバイスは特定のユーザーに関連付けられていません）。

4. 許可されている用途

トークンを複数回 (複数回) 使用できるか、または1回のみ (1回のみ) を選択してください。

5. 満了日

期限の単位を選択してください (分、時間、日、または 無期限)。無期限以外を選択した場合は、有効期限の値を入力してください。許可される範囲は選択した単位によって異なり、最大で10,000日まで設定できます。

プロビジョニングオプション (QRコードのみ)

これらの追加オプションはQRコードに組み込まれており、QRコードをスキャンして登録された、完全に管理されるデバイスのプロビジョニング時に適用されます。 ワークプロファイルや、登録URLまたはトークンを使用して登録されたデバイスには適用されません。

Wi-Fi 設定

この機能を使用すると、デバイスがプロビジョニング中にWi-Fiに自動的に接続できるようになり、管理アプリのダウンロードと初期化が可能です。利用可能なフィールドには、SSID、非表示のSSID、セキュリティ、および（必要な場合）パスフレーズが含まれます。

HTTPプロキシ（プロキシ）を設定することもでき、モードに応じて、ホスト、ポート、PAC URI、およびプロキシのバイパスホストを設定できます。

その他のオプション

その他のオプションとして、地域、タイムゾーン、および暗号化スキップがあります。

登録トークンの詳細

トークンを開くと、詳細ページにトークンの設定情報と使用状況が表示されます。

• ステータス、有効期限、使用状況、個人利用、および許可された利用。
• トークン：生の登録トークン値です（コピー可能）。
• 登録URL：Google Android Enterpriseの登録用URLです（コピー可能で、メールで送信できます）。
• QRコード：画面右側に表示され、完全に管理されたデバイスの登録に使用されます。

詳細な設定手順については、Android の登録ガイドを参照してください。 個人所有デバイス、業務および個人利用の会社所有デバイス、業務利用専用の会社所有デバイス、およびゼロタッチ。

個人のデバイス

登録トークンへのリンク

Androidのバージョン

6.0+

ワークプロファイルを、「設定」から追加します。

Androidのバージョン

6.0+

Android デバイス ポリシーをダウンロードします。

Androidのバージョン

6.0+

業務および個人利用用の、会社所有のデバイス。

• ほとんどのアプリケーション、データ、その他の管理ポリシーは、職場用プロファイルにのみ適用されます。
• 従業員個人のプロファイルはプライベートなままです。ただし、企業はデバイス全体に適用されるポリシーや、個人の利用に関するポリシーを適用することができます。
• 企業は、ブロック スコープを使用して、デバイス全体、またはそのワーク プロファイルに対して、コンプライアンス関連の措置を適用できます。
• デバイスの登録解除とデバイスコマンドは、デバイス全体に適用されます。

QRコードによる方法

Androidのバージョン

8.0+

業務利用専用の会社所有デバイス。

QRコードによる方法

Androidのバージョン

7.0+

DPC識別方法

Androidのバージョン

5.1+

ゼロタッチ

IT管理者は、ゼロタッチ登録という方法を使用して、会社所有のデバイスをプロビジョニングできます。詳細は、ゼロタッチ登録（IT管理者向け）をご参照ください。デバイスを初めて起動すると、デバイスはIT管理者が設定した設定で自動的に構成されます。

IT管理者は、認定販売業者から購入したデバイスを事前に構成し、Cerberus Enterpriseのダッシュボードを使用して管理することができます。認定販売業者から購入したデバイスを事前に構成し、Cerberus Enterpriseのダッシュボードで管理できます。ゼロタッチアカウントを連携するには、ダッシュボードのゼロタッチセクションにアクセスし、手順に従ってください。

Androidのバージョン	作業用プロファイル	完全に管理されたデバイス	専用デバイス
8.0+ (Pixel 7.1+)	✓	✓	✓

Googleによる登録を利用した認証

Googleアカウントを利用した認証（Google認証による登録としても知られています）を使用すると、ユーザーはAndroidデバイスの登録時に、Google Workspaceアカウントで認証できます。

この機能は、管理されたGoogleドメイン（Google Workspace）を利用しているAndroidエンタープライズ向けに提供されます。

どこで確認できますか

ダッシュボードで、「エンロールメント トークン」を開き、「Googleエンロールメントによる認証」タブを選択します。このタブは、Android Management が構成され、Google Workspace の統合が貴社向けに利用可能な場合にのみ表示されます。

Google認証を有効にする（または無効にする）。

Google認証は、Google管理コンソールから有効になります。設定を変更した後は、Cerberus Enterpriseに戻り、状態を更新を実行して、現在の構成を再読み込みしてください。

1. 管理者アカウントで、Google 管理コンソールにログインしてください。
2. 「デバイス」を開きます。
3. 「モバイルデバイスとエンドポイント」→「設定」→「サードパーティ連携」に進みます。
4. Cerberus Enterprise の Android EMM 連携 を検索し、開きます。
5. をクリックして、EMM プロバイダーの管理を開きます。
6. Google認証の使用の切り替え機能により、デバイス登録時のGoogle認証を有効または無効にすることができます。
7. 「保存」をクリックしてください。
8. Cerberus Enterprise のダッシュボードに戻り、ステータスを更新 をクリックします。Google への認証 タブにあるボタンです。

Google認証の登録トークン

Google認証を有効にすると、ダッシュボードに、この登録モードで使用される専用の登録トークンが表示されます。このページには、QRコード、登録トークンの値、および登録URL（コピーしてメールで送信できます）が表示されます。

主要なオプション

• 個人利用の許可：トークンがデバイスを職場と個人利用の両方（職場プロファイル）または職場利用のみ（完全に管理された/専用）で使用できるようにするかどうかを制御します。
• 代替のデフォルトポリシー：登録ユーザーに特定のGoogle認証のデフォルトポリシーが割り当てられていない場合に適用されるポリシーです。

ポリシーとの連携

ポリシー設定 ワークアカウント設定時の認証 (workAccountSetupConfig.authenticationType) は、ワークアカウントの設定時にユーザーがどのように認証を行うかを制御しますが、Google管理コンソールの設定 Googleによる認証 や、登録トークンの種類によっては、依然として認証が必要となる場合があります。

すでに登録済みのデバイスの場合、このポリシーは、デバイスが管理されたGoogle Playアカウントによって管理されている場合にのみ適用されます（つまり、Googleによる認証なしで登録された場合）。

ライセンスが期限切れの場合、一部の操作（たとえば、トークンオプションの変更）が無効になることがあります。

デバイスを登録する

登録時に、ユーザーはGoogle Workspaceアカウントで認証するように促されます。登録が成功すると、デバイスは認証されたユーザーに関連付けられます。

職場用プロファイル（個人所有デバイス）。

• 登録URLをユーザーと共有してください。ユーザーがAndroidデバイスでこのURLを開くと、職場用プロファイルのセットアップとGoogle認証の手順が表示されます。
• または、ユーザーはAndroidの設定から、職場用プロファイルのセットアップフローを開始し、指示に従ってQRコードをスキャンするか、登録トークンを入力することができます。

会社所有のデバイス

• QRコード方式：新しいデバイスまたは工場出荷時の設定に戻したデバイスでは、同じ場所を何度かタップすると、QRコードのプロンプトが表示されます。その後、ダッシュボードに表示されるQRコードをスキャンしてください。
• DPC識別方法（QRコードスキャンが利用できない場合）：セットアップウィザードに従い、Wi-Fiに接続し、サインインを求められたら、afw#setup を入力し、QRコードをスキャンするか、登録トークンを入力して続行します。プロンプトが表示されたら、Google Workspaceアカウントで認証してください。

Androidデバイスの一般的なセットアップ手順（ワークプロファイルとフルマネージドデバイスの比較など）については、このマニュアルの標準的なAndroid登録ページを参照してください。

デバイスのプロビジョニング - Apple

Appleのプロビジョニング概要

Cerberus Enterpriseでは、Appleデバイスの登録と管理が可能です。Appleのプロビジョニングには、APNs証明書が必要であり、様々な登録方法で実行できます。

前提条件：Apple Management（APNs）の設定が必要です。

Appleデバイスを登録する前に、Apple Managementの設定 (APNs)を完了してください。

登録方法を選択してください。

手動登録（登録プロファイル）。

この方法では、登録URLと構成プロファイルファイル（mobileconfig）を提供します。これらのファイルをデバイスにインストールします。 Appleの手動登録 を参照してください。

自動デバイス登録 (ADE)

この機能は、Apple Business Managerと連携し、会社所有のデバイスの自動登録を可能にします。 Apple Automated Device Enrollment (ADE) をご確認ください。

デバイスの管理対象範囲や購入プロセスに応じて、手動登録とADE（Apple Automated Device Enrollment）を組み合わせて利用することができます。

Appleの自動登録 (登録プロファイル)

Cerberus Enterpriseでは、Appleデバイスに対して、登録URLと登録プロファイルファイルを使用した手動登録が可能です。

Apple Management (APNs) が構成されている場合、手動登録が可能です。まだ APNs の設定が完了していない場合は、Apple Management setup (APNs) を参照してください。

登録URLとプロフィールを取得する

• ダッシュボードの 登録 セクションを開き、Apple の手動登録（登録プロファイル） タブを選択します。
• 「登録URL」をコピーするか、メール送信機能を使用してください。
• 「登録プロファイル」（mobileconfigファイル）をダウンロードしてください。

iPhoneまたはiPadの登録方法

iOS/iPadOS 15.0 以降のバージョンが必要です。

1. エンドースメントプロファイルファイル（enroll.mobileconfig）をデバイスに送信するか、デバイスのSafariでEnrollment URLを開いてください。
2. デバイス上で、設定 → プロファイル ダウンロード中 → インストール の順に選択し、指示に従ってください。
3. 登録後、設定 → 一般 → VPNとデバイス管理（または プロファイルとデバイス管理）。

Cerberus Enterpriseの管理画面から入手した登録プロファイルのみをインストールしてください。

Appleの自動デバイス登録（ADE）

自動デバイス登録（ADE）は、Apple Business Manager（ABM）と連携し、デバイスを初めて起動したとき（または工場出荷状態にリセットした後）に、会社の所有するデバイスを自動的に登録します。

ADEを使用するには、Apple Management (APNs) の設定が必要です。必要な場合は、Apple Managementの設定 (APNs) を参照してください。

デバイスの自動登録方法

1. デバイスをApple Business Managerアカウントに追加します。
2. ABMアカウントに新しいデバイスを追加した後、Cerberus Enterpriseのデバイスセクションで、「ABMからの同期」アクションを使用して同期してください。
3. ダッシュボードの 登録 → Apple自動デバイス登録(ADE) → 新しいADEプロファイル の順に選択して、ADEプロファイルを新規作成します。
4. デバイスの詳細画面から、ADEプロファイルフィールドを使用して、デバイスにADEプロファイルを割り当てます。

ADEプロファイル設定（概要）

ADEプロファイルは、デバイスの登録方法とセットアップアシスタントの動作を制御します。Cerberus Enterpriseでは、ADEプロファイルには、名前、オプションの初期ポリシー、およびいくつかの登録オプションが含まれます。

プロファイル名

プロファイルの名前を入力してください (例: デフォルトのADEプロファイル).

ポリシー

このポリシーは、最初に登録されたデバイスに適用されました。新しいADEプロファイルを作成する際に、ポリシーを割り当てることができます。

登録オプション

• MDM リムーバブル：デバイスから MDM 設定を削除できるかどうかを制御します。
• ペアリングの許可：ペアリングを許可するかどうかを制御します（iOS 13 以降、Apple により非推奨となりました）。
• 自動設定の開始：セットアップアシスタントの画面を自動的に進めます。
• デバイスの設定完了を待機：サーバーがデバイスを「設定済み」とマークするまで、セットアップアシスタントの進行を一時停止します。
• 必須：セットアップ中に、プロファイル適用をスキップできないようにします。
• 複数ユーザー (共有iPad)：この機能を使用すると、デバイスを共有iPadとして設定できます。
• 管理対象：デバイスを管理対象として設定します。

デバイスにADEプロファイルが割り当てられると、自動的に登録できるようになります。

ポリシーの概要

ダッシュボードの ポリシー セクション（ダッシュボード → ポリシー）では、アカウント内のすべてのポリシーが一覧表示され、作成、コピー、編集、削除が可能です。

ポリシーの一覧

ポリシーは表形式で表示されます。行をクリックすると、対応するポリシーエディターが開きます。

列

• ID：内部ポリシー識別子。
• MDM：ポリシーを管理するためのプラットフォーム（AndroidまたはApple）。
• 名前：ポリシーの名前。
• 説明：ポリシーの説明。
• デバイス：このポリシーに現在割り当てられているデバイスの数。

フィルターと検索

• Android管理とApple管理の両方が構成されている場合、リストを「すべて」、「Android」、「または「Apple」でフィルタリングできます。
• 検索機能を有効にして、ポリシー名または説明で検索できます。

更新とページネーション

• リストを再読み込みするには、更新アクションを使用してください。
• テーブルはページ分割されており、1ページあたり10件、25件、または50件のアイテムが表示されます。

新しいポリシーを作成します

ポリシー画面の最下部にある「新しいポリシーを作成」から、新しいポリシーを作成できます。アカウントで設定されているプラットフォームによって、以下のいずれかまたは両方の操作が表示される場合があります。

• 新しいAndroidポリシーを作成
• 新しいAppleポリシーを作成

ライセンスが期限切れの場合、ポリシーの作成（およびその他の書き込み操作）はできません。

ポリシーのコピーと削除。

各ポリシーの行には、操作メニューがあり、その中に「ポリシーのコピー」と「ポリシーの削除」が含まれています。

ポリシーの削除に関する警告。

ポリシーを削除すると、ポリシーの使用状況によって、ダッシュボードにさらに警告が表示される場合があります。

• ポリシーが登録済みのデバイスに適用されている場合、ポリシーを削除すると、関連するデバイスの登録が解除され、アプリとデータが削除されます。
• ポリシーが登録トークンに適用されている場合、それらのトークンは登録処理を完了できなくなる可能性があります。
• Google認証による登録（グローバルまたは一部のユーザー向け）のデフォルト設定としてポリシーが設定されている場合、そのポリシーを削除すると、登録処理が失敗する可能性があります。

複数のポリシーを削除する。

ポリシーリストでは、複数行の選択がサポートされており、まとめて削除できます。複数選択モードでは、複数のポリシーを選択し、一度のアクションで削除できます。

一括削除は、選択されたすべてのポリシーが同じプラットフォーム（すべてAndroidまたはすべてApple）に属している場合にのみ有効になります。

次へ: ポリシー設定の編集

ポリシーのリストは、ここからアクセスできます。ポリシー設定を構成するには、適切なエディターのドキュメントを参照してください: ポリシー → Android および ポリシー → Apple.

登録トークンで参照されるポリシーは、デバイス登録時に自動的に適用されます。

ポリシー - Android

概要

Android ポリシーは、システムの中核となる要素であり、管理対象デバイスに適用され、強制されるルールを定義します。

ポリシーのリストを表示し、新しいポリシーを作成するには、ダッシュボードのポリシーセクションを開きます。Androidポリシーを開くには、テーブル内のポリシーの行をクリックします。すると、ポリシーエディターページが開きます。

ポリシーは、登録トークンと関連付けることができ、これにより、プロビジョニングプロセス中にデバイスに自動的に適用されます。プロビジョニング後も、デバイスに適用されるポリシーを変更することも可能です。

各デバイスは、一度に1つのポリシーにのみ関連付けることができます。

多くのポリシー設定は、特定のデバイスタイプ（完全に管理されたデバイス、専用デバイス、仕事用プロファイル）やAndroidのバージョンにのみ適用されます。サポートされていない設定は、デバイスによって無視されるか、または準拠していないと報告される場合があります。

ポリシーエディターのレイアウト

ポリシーエディターは、展開可能なセクションで構成されています。ページ上部では、常に編集できます。

• 名前 (必須)
• ID (読み取り専用)
• 説明（オプション）

以下のセクションは、ポリシーエディターのパネルに対応しています（例：アプリ管理、セキュリティ、ネットワーク、システム、個人利用、プロファイル間ポリシーなど）。このマニュアルの各章を参照して、各パネルの詳細を理解してください。

保存、削除、および関連するデバイス。

変更を適用するには、ポリシーの保存 ボタンを使用します。このボタンは、未保存の変更がない場合、またはライセンスが期限切れの場合には無効になります。

既存のポリシーを開いた場合（ID が存在する場合）、ページ下部に ポリシーの削除 アクションと 関連デバイス のリストが表示され、現在そのポリシーを使用しているデバイスの数を確認できます。

アプリ管理

このセクションでは、アプリの利用可否、インストール、アップデート、および権限管理に関するポリシーを設定できます。

管理対象のGoogle Playアカウントは、デバイスのプロビジョニング時に自動的に作成されます。

 

1. Play ストアモード

このモードでは、ユーザーがPlayストアで利用できるアプリの種類と、ポリシーからアプリが削除された場合にデバイスの動作を制御します。

許可リスト（デフォルト）：ポリシーに登録されているアプリのみが利用可能で、ポリシーに登録されていないアプリは自動的にデバイスからアンインストールされます。Playストアには、利用可能なアプリのみが表示されます。

ブラックリスト：すべてのアプリが利用可能で、デバイスにインストールしたくないアプリは、アプリケーションポリシーで明示的にブロックする必要があります。Playストアには、ブロックされていないアプリのみが表示されます。

 

2. 信頼できないアプリのポリシー

デバイスに適用される、信頼できないアプリ（不明なソースからのアプリ）に関するポリシーです。このオプションは、ユーザーがPlayストア以外の場所からアプリをインストールできるかどうかを決定するAndroidシステムの設定を制御します（サイドローディング）。

許可しない（デフォルト）：デバイス全体で、信頼できないアプリのインストールを禁止します。

個人用プロファイルのみ：仕事用プロファイルが設定されているデバイスの場合、信頼できないアプリのインストールを、デバイスの個人用プロファイルでのみ許可します。

許可：デバイス全体で、信頼できないアプリのインストールを許可します。

 

3. Google Play プロテクト

Google Play プロテクトのアプリ検証の適用設定。

適用 (デフォルト)：アプリの検証を強制的に有効にします。

ユーザーの選択：ユーザーがアプリの検証機能を有効にするかどうかを選択できるようにします。

 

4. デフォルトのアクセス許可ポリシー

アプリの実行時アクセス許可要求に対する許可ポリシー。

許可のプロンプト (デフォルト): ユーザーに許可を要求するプロンプトを表示します。

許可: 許可を自動的に付与します。

拒否: 許可を自動的に拒否します。

 

5. アプリの機能

完全に管理されたデバイスまたは職場プロファイル内のアプリが、アプリの機能を開示することを許可するかどうかを制御します。Android 16 以降が必要です。

許可 (デフォルト)：完全に管理されたデバイスまたは職場プロファイル内のアプリが、アプリの機能を公開できます。

許可されていない：完全に管理されたデバイスまたは職場プロファイル内のアプリは、アプリの機能を公開できません。

 

6. インストールが禁止されているアプリ

ユーザーによるアプリのインストールを禁止するかどうか。

 

7. アプリのアンインストールを禁止するか。

ユーザーによるアプリケーションのアンインストールを禁止するか。

 

8. 権限ポリシー

すべてのアプリに対して、明示的な権限の許可、グループへの許可、または拒否を設定できます。これらの設定は、デフォルトの権限ポリシー設定を上書きします。

「権限ポリシーの追加」を使用してエントリを作成し、削除アクションで削除できます。

各エントリには、以下のものが含まれます:

Androidの権限/グループ: 必要なAndroidの権限またはグループ。例：android.permission.READ_CALENDAR または android.permission_group.CALENDAR。

ポリシー：許可/拒否/確認（デフォルトの権限ポリシーと同じポリシーオプションを使用します）。

 

9. アプリケーション

ポリシーに含める必要があるアプリケーションの一覧です。この一覧の内容の動作は、Play ストア モードに設定された値によって異なります。

もしPlay ストア モードが許可リストに設定されている場合、ポリシーに含まれるアプリのみが利用可能になり、ポリシーに含まれていないアプリは自動的にデバイスからアンインストールされます。

もしPlayストアモードがブラックリストに設定されている場合、すべてのアプリが利用可能になり、デバイスにインストールすべきでないアプリは、アプリケーションポリシーで明示的にブロックとして指定する必要があります。

新しいアプリを追加するには、「アプリの追加」ボタン（または「アプリの追加」アイコン）をクリックし、Playストアからアプリを選択し、アプリカード内の「選択」ボタンをクリックします。

お客様の国で公開されているPlayストアのすべてのアプリは、デフォルトで選択可能です。独自のプライベートアプリやウェブアプリを選択するには、まずシステムにアップロードする必要があります。詳細については、プライベートアプリのページをご覧ください。

各アプリケーションは、個別の設定で構成でき、それらはカード形式で視覚的に表示されます。

9.1. インストール方法

アプリのインストール方法。

利用可能: このアプリはインストール可能です。

プリインストール: このアプリは自動的にインストールされており、ユーザーによって削除できます。

強制インストール: このアプリは自動的にインストールされ、ユーザーが削除することはできません。

ブロック済み：このアプリはブロックされており、インストールできません。以前のポリシーでインストールされていた場合、アンインストールされます。

設定に必要な権限：このアプリは自動的にインストールされ、ユーザーによる削除はできません。また、インストールが完了するまで設定の完了はできません。

キオスクモード：このアプリは自動的にインストールされ、キオスクモードで動作します。ホーム画面として優先され、ロックタスクモードへの登録も自動で行われます。アプリのインストールが完了するまで、デバイスの設定は完了しません。インストール後は、ユーザーがアプリを削除することはできません。このインストールタイプは、ポリシーごとに1つのアプリにのみ設定できます。この設定がポリシーに含まれている場合、ステータスバーは自動的に無効になります。詳細については、専用のキオスクモードページをご参照ください。

9.2. インストール制限

アプリのインストールに関する制限を定義します。複数の制限を選択した場合、アプリをインストールするには、すべての制限を満たす必要があります。

このオプションは、インストール方式がプリインストールまたは強制インストールの場合にのみ表示されます。

無制限のネットワーク：このアプリは、デバイスが無制限のネットワーク（例：Wi-Fi）に接続されている場合にのみインストールされます。

充電中：アプリは、デバイスが充電中の場合にのみインストールされます。

待機中：デバイスが待機状態のときのみ、アプリをインストールします。

9.3. 自動更新モード

アプリの自動更新モードを制御します。

デフォルト：アプリは、ユーザーへの影響を最小限に抑えるために、自動的に低優先度で更新されます。アプリの更新は、以下の条件がすべて満たされた場合に実行されます。(1) デバイスがアクティブに使用されていない、(2) デバイスがデータ通信量が課金されないネットワークに接続されている、(3) デバイスが充電中。開発者によって新しい更新が公開されてから24時間以内に、デバイスに更新があることを通知し、その後、上記の条件が満たされたときにアプリが更新されます。

延期：アプリは、最新版から90日間は自動更新されません。最新版から90日経過後、最新の利用可能なバージョンが低優先度で自動的にインストールされます（デフォルトの自動更新モードを参照）。アプリの更新後、再度最新版から90日間は自動更新されません。ユーザーはいつでも、Playストアから手動でアプリを更新できます。

重要度が高い：アプリは可能な限り速やかにアップデートされます。制約は一切ありません。デバイスが利用可能になった時点で、新しいアップデートに関する通知がすぐに送信されます。

9.4. 最小バージョンコード

デバイスで実行されるアプリの最小バージョン。設定した場合、デバイスはアプリをこのバージョンコード以上のバージョンに更新しようとします。アプリが最新でない場合、デバイスには非準拠の詳細が表示され、非準拠理由がAPP_NOT_UPDATEDに設定されます。アプリは、この値以上のバージョンコードでGoogle Playに公開されている必要があります。ポリシーごとに、最大20個のアプリで最小バージョンコードを指定できます。

9.5. 委任されたスコープ

Androidデバイスポリシーからアプリに委任されたスコープです。他のアプリに、Androidの特別な権限の一部を許可することができます。

証明書のインストール: 証明書のインストールおよび管理へのアクセスを許可します。

管理設定: 管理設定の管理へのアクセスを許可します。

アンインストールをブロック：アンインストールのブロック機能へのアクセスを許可します。

権限：権限ポリシーと、権限の付与状態へのアクセスを許可します。

パッケージアクセス：パッケージアクセス状態へのアクセスを許可します。

システムアプリ：システムアプリを有効にするためのアクセス権を許可します。

9.6. 優先ネットワーク

このアプリで使用する優先ネットワークサービスを設定します。設定した場合、アプリは利用可能な場合に、指定された企業ネットワークスライスを使用して接続を行います。これは、5Gネットワークスライシング設定セクションのセルラーパネルで構成されたネットワークスライスと一致する必要があります。

9.7. デフォルトのアクセス許可ポリシー

アプリが要求するすべての権限に対するデフォルトポリシーです。指定した場合、このポリシーは、すべてのアプリに適用されるポリシーレベルのデフォルト権限ポリシーを上書きします。ただし、すべてのアプリに適用される権限ポリシーは上書きしません。

許可のプロンプト (デフォルト): ユーザーに許可を要求するプロンプトを表示します。

許可: 許可を自動的に付与します。

拒否: 許可を自動的に拒否します。

9.8. 仕事用アプリと個人用アプリの連携

アプリが、デバイスの仕事用プロファイルと個人用プロファイル間で通信できるかどうかを制御します。ただし、ユーザーの同意が必要です（Android 11 以降）。

許可しない（デフォルト）：アプリが、デバイスの仕事用プロファイルと個人用プロファイル間で通信できないようにします。

許可する：ユーザーの同意を得た後、アプリがデバイスの仕事用プロファイルと個人用プロファイル間で通信できるようにします。

9.9. 常時接続VPNのロックダウン解除。

VPNが接続されていない状態や、ロックダウン機能が有効な状態において、アプリがネットワーク接続を使用できるかどうかを指定します。Android 10以降のデバイスでのみサポートされます。

適用 (デフォルト)：このアプリは、常時接続VPNロックダウン設定を尊重します。

例外：このアプリは、常時接続VPNロックダウン設定の対象外です。

9.10. 仕事用プロファイルのウィジェット

職場プロファイルにインストールされたアプリが、ホーム画面にウィジェットを追加することを許可するかどうかを指定します。

許可：このアプリケーションは、ホーム画面にウィジェットを追加できます。

許可されていません：このアプリケーションは、ホーム画面にウィジェットを追加できません。

9.11. ユーザー制御設定

特定のアプリに対して、ユーザーによる制御を許可するかどうかを指定します。ユーザー制御には、アプリの強制停止やデータ消去などの操作が含まれます（Android 11 以降）。extensionConfig がアプリに対して有効になっている場合、この設定に関わらず、ユーザー制御は許可されません。キオスクアプリの場合、Allowed を使用して、ユーザー制御を許可できます。

未指定: アプリのデフォルト設定に従い、ユーザー制御の許可または禁止を決定します。

許可：このアプリに対して、ユーザーによる制御が許可されています。

許可：このアプリに対して、ユーザーによる制御は許可されていません。

9.12. 無効

アプリが無効になっているかどうか。無効になっている場合でも、アプリのデータは保持されます。

9.13. 認証プロバイダーへのアクセスを許可します。

Android 14 以降で、このアプリが認証プロバイダーとして機能することを許可するかどうか。

9.14. 管理された構成

アプリの管理設定を設定するには、管理設定の有効化ボタンをクリックしてください。アプリに既に管理設定が設定されている場合は、管理設定ボタンで設定を編集するか、設定の削除ボタンで削除できます。

管理設定機能は、この機能に対応しているアプリでのみ利用可能です。

9.15. 権限ポリシー

アプリに対する、明示的な許可または拒否の設定を行います。これらの設定は、デフォルトの権限ポリシーおよび、すべてのアプリに適用される権限ポリシーを上書きします。

「権限ポリシーの追加」を使用して、アプリカードに対して1つ以上の権限ルールを追加し、削除アクションでそれらを取り消すことができます。

9.16. 追跡ID

デバイスがアクセスできるアプリのクローズドテスト用トラックIDの一覧です。複数のトラックIDが選択されている場合、デバイスは利用可能なトラックの中で最新バージョンを受け取ります。トラックIDが選択されていない場合、デバイスはアプリのプロダクション版にのみアクセスできます。

トラックIDオプションは、貴社が少なくとも1つのトラックIDを持つアプリでのみ利用可能です。特定のアプリのクローズドテストトラックへの組織の追加方法の詳細については、こちらをご参照ください。

 

10. デフォルトのアプリケーション設定

サポートされているアプリの種類に対して、デフォルトのアプリを設定します。少なくとも1つの種類のデフォルトアプリを設定すると、ユーザーは、そのプロファイル内のデフォルトアプリを変更できなくなります。

各デフォルトアプリケーションの種類に対して、デフォルトアプリケーションの設定は1つのみ許可されます。デフォルトアプリケーションのリストには、重複したエントリを含めることはできません。

10.1. デフォルトアプリケーションの種類

設定するアプリのカテゴリを選択してください（例：ブラウザ、電話、SMS、ウォレット、アシスタント）。利用可能性は、Androidのバージョンと管理モードによって異なります。

10.2. デフォルトのアプリケーションの適用範囲。

デフォルトアプリを適用する場所を選択してください（完全に管理、仕事用プロファイル、または個人用プロファイル）。選択したタイプでサポートされている適用範囲のみを選択できます。

選択された適用範囲が、デバイスの管理モードに適用されない場合、デバイスは準拠していない詳細情報を報告します。

10.3. デフォルトのアプリケーション

選択した種類のデフォルトとして設定できるアプリの一覧です。最初にインストールされ、条件を満たすアプリがデフォルトとして設定されます。

スコープに完全に管理対象または職場用プロファイルが含まれる場合、各アプリはアプリケーションリストに存在し、インストールタイプがブロックに設定されていない必要があります。

 

11. 秘密鍵の選択

ユーザーがプライベートキーのエイリアスを選択できるように、デバイス上でUIを表示します。これは、プライベートキーのルールに一致するものがない場合に適用されます。

Android P 以前のデバイスの場合、この設定を行うと、エンタープライズキーが脆弱になる可能性があります。

 

12. プライベートキーのルールを選択してください。

アプリがプライベートキーへのアクセスを制御します。このルールにより、Android デバイス ポリシーが、指定されたアプリにどのプライベートキー（もしあれば）を許可するかを決定します。アプリが、特定のURLに対してプライベートキーのエイリアスを要求するために KeyChain.choosePrivateKeyAlias（またはその派生メソッド）を呼び出す場合、またはAndroid 11以降において、urlPatternが設定されていない、または空文字列または"*"に設定されている場合に、アクセスが許可されます。これにより、アプリは最初にKeyChain.choosePrivateKeyAliasを呼び出すことなく、直接 KeyChain.getPrivateKeyを呼び出すことができます。アプリがKeyChain.choosePrivateKeyAliasを呼び出し、複数のchoosePrivateKeyRulesが一致する場合、最後に一致したルールによって、どのキーエイリアスを返すかが決定されます。

「秘密鍵ルールを追加」を使用して、エントリを作成し、削除アクションで削除できます。

12.1. 秘密鍵のエイリアス

使用する秘密鍵のエイリアス。

12.2. URLのパターン。

リクエストのURLと照合するURLのパターン。設定されていない場合や空の場合は、すべてのURLと一致します。java.util.regex.Patternの正規表現構文を使用します。

12.3. パッケージ名

このルールが適用されるパッケージ名。各アプリの署名証明書のハッシュ値は、Playによって提供されたハッシュ値と比較して検証されます。パッケージ名が指定されていない場合、KeyChain.choosePrivateKeyAlias またはその派生メソッドを呼び出すすべてのアプリに対して、エイリアスが提供されます（ただし、KeyChain.choosePrivateKeyAlias を呼び出さない場合は適用されません。Android 11 以降も同様です）。ここで指定されたパッケージと同じ Android UID を持つアプリは、KeyChain.choosePrivateKeyAlias を呼び出す際にアクセスできるようになります。

パッケージ名を追加するには、追加パッケージ名 を使用し、削除アクションでエントリを削除できます。

 

アプリを削除するには、アプリのカードの最下部にあるゴミ箱アイコンをクリックしてください。

 

 

キオスクモード

キオスクモードでは、デバイスの機能を単一のアプリまたは複数のアプリに制限できます。シングルアプリキオスクモードとマルチアプリキオスクモードのどちらを選択するかは、ビジネス目標によって異なります。

シングルアプリキオスクモードでは、デバイスは特定のアプリケーションでのみ動作し、ユーザーがデバイス上の他のアプリケーションにアクセスすることを許可しません。また、アプリケーションからログアウトすることもできず、特定のアプリケーション専用のデバイスとして機能します。このモードを有効にするには、アプリケーション管理セクションで、インストールタイプをキオスクに設定してください。

「マルチアプリキオスクモード」では、デバイスが複数のアプリケーションにアクセスできるようになります。エンドユーザーは、カスタマイズされたランチャーを使用して、複数のアプリ間を移動できます。このモードを有効にするには、`キオスクカスタムランチャー」オプションを有効にしてください。

キオスクモードを有効にすると、エンドユーザーがシステム設定やステータスバーなど、特定のシステム機能にアクセスできるかどうかを設定することもできます。

 

キオスク用カスタムランチャー

キオスク用カスタムランチャーが有効になっているかどうかを示します。これにより、ホーム画面が、アプリ管理設定によってインストールされたアプリのみを表示するランチャーに置き換えられます。アプリは、1ページにアルファベット順に表示されます。

 

電源ボタンの動作

ユーザーが電源ボタンを長押ししたときに、キオスクモードのデバイスの動作を設定します。

利用可能 (デフォルト): キオスクモードのデバイスで、ユーザーが電源ボタンを長押ししたときに、電源メニュー (例: 電源を切る、再起動) が表示されます。

ブロックされています: キオスクモードのデバイスでは、ユーザーが電源ボタンを長押ししても、電源メニュー（例：電源を切る、再起動）が表示されません。注意：これにより、ユーザーがデバイスの電源を切ることができなくなる可能性があります。

 

システムエラーに関する警告

キオスクモードで、クラッシュまたは応答しないアプリのエラーダイアログをブロックするかどうかを指定します。ブロックした場合、システムはユーザーがUIで「アプリを閉じる」オプションを選択した場合と同様に、アプリを強制終了します。

ブロック (デフォルト)：システムのエラーダイアログ（クラッシュやアプリの応答なし（ANR）など）はすべてブロックされます。ブロックされている場合、システムはユーザーがUIからアプリを閉じるのと同じように、アプリを強制終了します。

有効: アプリのクラッシュや応答なし（ANR）など、すべてのシステムエラーダイアログが表示されます。

システムナビゲーション

キオスクモードで有効にするナビゲーション機能（例：ホームボタン、概要ボタン）を指定します。

無効 (デフォルト)：ホームボタンと概要ボタンが利用できません。

ホームのみ：ホームボタンのみが有効になっています。

有効：ホームボタンと概要ボタンが有効になっています。

 

ステータスバー

キオスクモードでシステム情報と通知を無効にするかどうかを指定します。

無効 (デフォルト)：キオスクモードでは、システム情報と通知が無効になります。

システム情報のみ：ステータスバーには、システム情報のみが表示されます。

有効：キオスクモードでは、ステータスバーにシステム情報と通知が表示されます。注意：このポリシーが有効になるには、デバイスのホームボタンを`kioskCustomization.systemNavigation`を使用して有効にする必要があります。

 

デバイス設定

キオスクモードで「設定」アプリの使用を許可するかどうかを指定します。

許可 (デフォルト)：キオスクモードで「設定」アプリへのアクセスを許可します。

無効：キオスクモードでは、「設定」アプリへのアクセスが許可されていません。

セキュリティ

このセクションでは、セキュリティに関するポリシーを設定できます。

 

セキュリティリスクに関する操作

ステータスレポートでデバイスがセキュリティリスクを報告した場合、どのような対応を行うかを選択してください。

 

サポートされているセキュリティリスクの種類:

不明なOS: Play Integrity API が、デバイスが不明なOSで動作していることを検出しました（basicIntegrityチェックは成功しますが、ctsProfileMatchは失敗します）。

セキュリティが侵害されたOS：Play Integrity APIは、デバイスがセキュリティが侵害されたOSで動作していることを検出しました（basicIntegrityチェックは失敗しています）。

ハードウェアによる検証に失敗しました。Play Integrity APIは、デバイスがシステム整合性の強い保証を持っていないことを検出し、デバイスの整合性フィールドで「MEETS_STRONG_INTEGRITY」ラベルが表示されない場合です。

 

利用可能な操作：

企業データのリセット (デフォルト): 登録解除を行い、業務データを消去します (完全管理の場合はデバイス全体、プロファイル管理の場合は業務プロファイルのみ)。

何もしない：デバイスの登録を維持し、自動的に何も操作を行いません。

 

「企業データ消去」を選択すると、消去オプションを設定することもできます。

工場出荷状態へのリセット保護: デバイスをワイプする際に、Factory Reset Protection (FRP) のデータを保持します。

外部ストレージの消去: デバイスの消去時に、デバイスの外部ストレージ（SDカードなど）も同時に消去します。

eSIMの削除: 会社所有のデバイスの場合、デバイスを初期化する際に、デバイスに登録されているすべてのeSIMを削除します。個人所有のデバイスの場合、管理対象のeSIM（ADD_ESIMコマンドで追加されたeSIM）のみが削除され、個人が登録したeSIMは削除されません。

 

1. ロックまでの最大時間

ユーザー操作からのロックまでの最大時間（秒）。0 を指定すると、制限なし。

 

2. 充電中は常時接続。

この設定では、デバイスが充電中に常にオンのままになります。この設定を使用する際は、画面ロックまでの最大時間 をクリアすることをお勧めします。これにより、デバイスがオンのままになっている間も自動的に画面がロックされるのを防ぐことができます。

ACアダプター: 電源はACアダプターです。

USBポート: 電源はUSBポートです。

ワイヤレス充電器: 電源はワイヤレスです。

 

3. キーガードが無効になっています。

true の場合、プライマリおよび/またはセカンダリディスプレイのロック画面が無効になります。このポリシーは、専用デバイス管理モードでのみサポートされます。

 

4. パスワードの要件

パスワード要件ポリシー。

パスワード要件を設定するには、構成されたパスワード要件を使用します。 すべての設定を削除するには、すべてクリアを使用します。

パスワード要件は、自動範囲（単一の要件）または、個別のデバイス/ワークプロファイル範囲を使用できます。複雑さに基づく要件は、同じ範囲に対して、品質に基づく要件と組み合わせて使用する必要があります。

4.1. 範囲

パスワード要件が適用される範囲。

自動：適用範囲は未定です。パスワード要件は、デバイスのワークプロファイルに対して適用され、完全に管理されたデバイスまたは専用デバイスでは、デバイス全体に適用されます。

デバイス：パスワードの要件は、デバイスのワークプロファイルに対してのみ適用されます。

職場用プロファイル：パスワードの要件は、職場用プロファイルにのみ適用されます。

4.2. パスワードの保存履歴の長さ

パスワードの保存履歴の長さ。この値を設定すると、ユーザーは保存履歴にあるパスワードと同一の新しいパスワードを設定できなくなります。値を0にすると、制限はなくなります。

4.3. ワイプを実行する前に許容される最大失敗パスワード回数。

デバイスをワイプする前に許容される、誤ったデバイスのロック解除パスワードの入力回数。0 を指定すると、制限はなくなります。

4.4. パスワードの有効期限切れまでの日数。

この設定により、ユーザーは指定された日数ごとにパスワードを定期的に更新する必要があります。

4.5. パスワードでのロックを必須にする。

強力な認証方法（パスワード、PIN、パターンなど）を使用してデバイスまたはワークプロファイルをロック解除した後、一定期間は、指紋認証や信頼エージェントなど、他の認証方法でもロック解除が可能になります。指定された期間が経過すると、デバイスまたはワークプロファイルのロック解除には、強力な認証方法のみが使用できます。

デバイスのデフォルト：タイムアウト期間は、デバイスのデフォルト設定に設定されています。

毎日：タイムアウト期間は24時間に設定されています。

4.6. パスワードの強度

必要なパスワードの強度。

複雑さのレベルが高い：Android 12 以降では、繰り返しのない (4444) または順序のある (1234, 4321, 2468) シーケンスを含む PIN、または長さが 8 文字以上の英字、または長さが 6 文字以上の英数字のパスワードを、高強度パスワードとして定義します。

中程度の強度：中程度のパスワード強度として、以下のものを定義します。繰り返しのない（4444）または順序のある（1234、4321、2468）数列を含むPIN、または英字のみで構成され、長さが4文字以上、または英数字で構成され、長さが4文字以上のパスワード。

パスワードの強度（低）：低強度のパスワードとして、以下のものを定義します。パターン、または、繰り返しのない（4444）または順序のある（1234、4321、2468）数列を含むPIN。

なし：パスワードに関する要件はありません。

脆弱：デバイスは、最低でも、セキュリティレベルの低い生体認証技術で保護する必要があります。これには、個人を特定できる技術が含まれ、おおよそ3桁のPINコードと同程度の精度が必要です（誤検出は1,000回に1回未満）。

任意の：パスワードは必須ですが、パスワードの内容に関する制限はありません。

数字：パスワードには、数字を含める必要があります。

数値の組み合わせ：パスワードには、繰り返しのない（例：4444）および順序がついていない（例：1234、4321、2468）数字の組み合わせを含める必要があります。

英字：パスワードには、英字（または記号）の文字を含める必要があります。

英数字：パスワードには、数字とアルファベット（または記号）の両方の文字を含める必要があります。

複雑：パスワードは、passwordMinimumLength、passwordMinimumLetters、passwordMinimumSymbolsなどで指定された最小要件を満たす必要があります。例えば、passwordMinimumSymbolsが2の場合、パスワードには少なくとも2つの記号を含める必要があります。

4.7. 最小文字数

許可される最小パスワードの桁数。0を指定すると、桁数制限はなくなります。

4.8. 最小文字数。

パスワードに必要な最小文字数。

4.9. パスワードに必要な最小文字数（小文字）。

パスワードに必要な小文字の最小文字数。

4.10. パスワードに必要な大文字の最小文字数。

パスワードに必要な大文字の最小文字数。

4.11. パスワードに必要な英数字以外の文字数の最小値。

パスワードに必要な英数字以外の文字（数字または記号）の最小数。

4.12. 最小限必要な数字の桁数。

パスワードに必要な最小の数字の桁数。

4.13. 最小限必要な記号数。

パスワードに必要な最小限の文字数。

4.14. 統合ロック

Android 9 以降の、ワークプロファイルが設定されたデバイスにおいて、デバイスとワークプロファイルに対して、統合ロックを許可するかどうかを設定します。その他のデバイスには影響しません。

統合ロックの許可：デバイスとワークプロファイルに対して、共通のロックを使用できます。

個別のロックを必須とする：ワークプロファイルに対して、個別のロックを設定する必要があります。

 

5. 工場出荷状態へのリセットが無効になっています。

設定からの工場出荷状態へのリセットが無効になっています。これは、完全に管理対象のデバイスでのみ適用されます。

 

6. 工場出荷状態へのリセット保護。

工場出荷状態へのリセット保護のための、デバイス管理者のメールアドレスです。デバイスが許可されていない工場出荷状態のリセットを受けた場合、デバイスのロックを解除するには、これらの管理者の一人が、Googleアカウントのメールアドレスとパスワードでログインする必要があります。管理者が指定されていない場合、工場出荷状態へのリセット保護は機能しません。完全に管理対象のデバイスでのみ有効です。

管理者メールアドレス：工場出荷時設定保護を有効にする を使用して、管理者設定を開始します。その後、管理者メールアドレスの追加 を使用してアドレスを追加し、削除アクションを使用して削除します。

 

7. キーガード機能について

無効にできるキーガード（ロック画面）の機能。

7.1. すべて無効にする。

現在のおよび将来の、すべてのキーガードのカスタマイズを無効にします。

7.2. カメラを無効にする。

セキュアなロック画面（例：PIN）でのカメラ利用を無効にする。

7.3. 通知を無効にする。

セキュアなロック画面で、すべての通知を表示しないように設定します。

7.4. 通知の内容を隠さずに表示しないように設定します。

セキュリティキーガード画面での、内容を隠さない通知を無効にします。

7.5. 信頼エージェントの状態を無視します。

セキュアなキーガード画面での信頼エージェントの状態を無視します。

7.6. 指紋認証を無効にする。

セキュアなキーガード画面での指紋認証を無効にする。

7.7. 通知へのテキスト入力機能を無効にする。

セキュアなキーガード画面での通知へのテキスト入力機能を無効にする。

7.8. 顔認証機能を無効にする。

セキュアなロック画面での顔認証機能を無効にします。

7.9. 虹彩認証機能を無効にします。

セキュアなロック画面での虹彩認証機能を無効にします。

7.10. すべての生体認証を無効にします。

セキュアなロック画面でのすべての生体認証を無効にします。

7.11. すべてのショートカットを無効にします。

Android 14 以降の、セキュアなキーガード画面上のすべてのショートカットを無効にします。

マルチメディア

このセクションでは、カメラ/マイクの動作、USBデータアクセス、印刷、およびディスプレイに関する制限を設定できます。

 

1. カメラへのアクセス。

カメラの使用を制御し、ユーザーがカメラへのアクセスを許可/拒否する設定を切り替えられるようにします（Android 12 以降）。一般的に、カメラを無効にすると、完全に管理対象のデバイスではデバイス全体に適用され、ワークプロファイルデバイスではワークプロファイル内でのみ適用されます。

ユーザーの選択（デフォルト）： デバイスのデフォルト動作。カメラは有効であり、(Android 12 以降) ユーザーはカメラへのアクセスをオン/オフできます。

無効：すべてのカメラが無効になっています（完全に管理されている場合：デバイス全体; ワークプロファイルの場合：ワークプロファイルアプリのみ）。管理対象の範囲では、カメラアクセス設定のトグルは効果がありません。

適用中：カメラが利用可能です。Android 12 以降の完全に管理対象のデバイスでは、ユーザーはカメラへのアクセスをオン/オフにできません。その他のデバイスまたはバージョンでは、ユーザーの選択と同じ動作になります。

 

2. マイクへのアクセス権

完全に管理されたデバイスでは、マイクの使用を制御し、ユーザーがマイクのアクセス設定を切り替えることができるかどうかを決定します（Android 12 以降）。 この設定は、完全に管理されていないデバイスには影響しません。

ユーザーの選択（デフォルト）：デフォルト設定。マイクは利用可能で、(Android 12 以降) ユーザーはマイクへのアクセス設定を切り替えることができます。

無効：マイクが無効になっています（デバイス全体）。マイクへのアクセス設定の切り替えは機能しません。

適用中：マイクが利用可能です。Android 12 以降では、ユーザーがマイクへのアクセスを切り替えることはできません。Android 11 以前のバージョンでは、ユーザーの選択と同じ動作になります。

 

3. USBデータアクセス

USB経由で転送できるファイルやデータの種類を制御します。社有デバイスでのみサポートされています。

ファイル転送を許可しない（デフォルト）：ファイル転送は許可されませんが、他のUSBデータ接続（例：マウス/キーボード）は許可されます。

データ転送を許可しない：すべての種類のUSBデータ転送を禁止します（Android 12以降、USB HAL 1.3以降の場合）。サポートされていない場合、デバイスは「ファイル転送を許可しない」設定に戻ります。

データ転送を許可：すべての種類のUSBデータ転送を許可します。

 

4. 印刷

印刷の許可設定 (Android 9 以降)。

許可 (デフォルト)：印刷を許可します。

許可されていない：印刷は許可されていません（Android 9 以降）。

 

5. 画面の明るさ設定

画面の明るさ設定モードと、オプションで明るさの値を調整します。

画面の明るさ設定：

ユーザー設定（デフォルト）: ユーザーが画面の明るさを設定できるようにします。

自動：画面の明るさは自動で調整され、ユーザーは変更できません。明るさの値を設定することも可能ですが、これは自動調整の一部として使用されます (完全管理対象のAndroid 9 以降、企業所有のAndroid 15 以降のワークプロファイル)。

修正：画面の明るさは設定された値に固定され、ユーザーは変更できません。明るさの値は必須です (完全管理対象のAndroid 9以降、企業所有のAndroid 15以降のワークプロファイル)。

画面の明るさ：設定された値に固定され、ユーザーは変更できません。明るさの値は必須です (完全管理対象のAndroid 9以降、企業所有のAndroid 15以降のワークプロファイル)。

1から255までの値 (1: 最小、255: 最大)。値が0の場合、明るさの設定値が指定されていません。

 

6. 画面の自動消灯設定

ユーザーが画面の自動消灯設定を変更できるかどうかを制御します。強制設定された場合、自動消灯までの時間を指定できます。

「画面自動消灯モード」の設定項目では、ユーザーが設定できる状態と、強制的に設定される状態を選択できます。

ユーザー設定（デフォルト）：ユーザーが画面の自動消灯時間を設定できます。

強制：画面の自動消灯時間は設定された値に固定され、ユーザーは変更できません（完全に管理されたAndroid 9以降、企業所有のAndroid 15以降のワークプロファイル）。

画面の自動消灯：設定された時間で固定され、ユーザーは変更できません（完全に管理されたAndroid 9以降、企業所有のAndroid 15以降のワークプロファイル）。

タイムアウトまでの秒数。値は0より大きくする必要があります。値がロックまでの最大時間を超えると、システムが値を制限し、準拠していないと報告する場合があります。

 

7. 画面キャプチャを無効にしました。

画面キャプチャが無効になっているかどうか。

 

8. 音量調整機能を無効にする。

マスター音量の調整機能を無効にするかどうか。

 

9. 物理メディアのマウント機能を無効にする。

物理外部ストレージのマウント機能が無効になっているかどうか。

モバイル回線

このセクションでは、モバイル通信に関する設定を行うことができます。

 

1. 機内モード

ユーザーが機内モードのオン/オフを切り替えられるかどうかを制御します。

ユーザー設定（デフォルト）：ユーザーが機内モードのオン/オフを切り替えることができるかどうかを設定します。

無効：機内モードが無効になっています。ユーザーは機内モードのオン/オフを切り替えることができません。Android 9 以降でサポートされています。

 

2. セルラー通信：2G

ユーザーが2Gのセルラー設定をオン/オフにできるかどうかを制御します。

ユーザー設定（デフォルト）：ユーザーがセルラーの2G機能をオン/オフにできるかどうかを設定します。

無効：携帯電話の2G通信が無効になっています。ユーザーは設定画面から2G通信をオンにすることはできません。Android 14以降でサポートされています。

 

3. APN設定の強制適用

APN設定の強制適用を有効にするかどうかを制御します。有効にすると、設定された強制適用APNのみが使用され、デバイス上の他のすべてのAPNは無視されます。

無効 (デフォルト)：設定されたすべてのAPN設定はデバイスに保存されますが、無効になっており、効果はありません。デバイス上の他のすべてのAPNは引き続き有効です。

有効：上書きされたAPN設定のみが使用され、他のすべてのAPN設定は無視されます。この設定は、Android 10以降の完全管理デバイスでのみ構成できます。

 

4. APN設定

1つ以上のAPNエントリを設定します。APNの追加でエントリを作成し、APNの削除で削除します。

各APNには、必須項目があります。

APNの種類：このAPNで使用するトラフィックの種類を選択してください（利用可能性は、管理モードとAndroidのバージョンによって異なります）。

APN名: 携帯通信事業者から提供されるAPNの識別子です。

表示名: ユーザーインターフェースに表示される分かりやすい名前です。

 

オプションのAPNフィールド：

認証タイプ、ユーザー名、パスワード：キャリア認証を設定します（必要な場合）。

プロトコルおよびローミングプロトコル：IPプロトコル設定。

ネットワークの種類：APNで使用できる携帯通信技術を制限します（例：LTE/5G NR）。

プロキシのアドレスとプロキシのポート番号：データ通信用のHTTPプロキシ（該当する場合）。

MMSプロキシのアドレス、MMSプロキシのポート番号、MMSC (MMSセンターURI)：MMS関連の設定。

数値オペレーターID (MCC+MNC) および キャリアID：キャリアの識別情報。

常時接続設定：このAPNによって確立されたPDUセッションを常に有効にするかどうかを設定します。Android 15以降でサポートされています。

MVNOタイプ：モバイル仮想ネットワーク事業者識別子の種類。

MTU IPv4 および MTU IPv6：IPv4/IPv6 ルートの最大伝送単位。Android 13 以降でサポートされています。

 

5. セル放送の設定が無効になっています。

セル放送の設定が有効になっているかどうか。

 

6. モバイルネットワーク設定が無効になっています。

モバイルネットワークの設定が無効になっています。

 

7. ローミングデータが無効になっています。

ローミングデータサービスが無効になっているかどうか。

 

8. 発信通話が無効になっています。

発信通話が無効になっているかどうか。

 

9. SMSが無効になっています。

SMSメッセージの送受信が無効になっています。

 

10. 5Gネットワークスライシングの設定

企業向け5Gネットワークスライシングを有効にするために、優先ネットワークサービスの設定を構成します。最大5つの企業向けスライスを設定し、アプリケーションを特定のネットワークに割り当てることで、最適なトラフィックルーティングを実現できます。

10.1. デフォルトの優先ネットワーク。

アプリケーションリストにないアプリケーション、またはアプリケーションの優先ネットワークが設定されていない場合に使用する、デフォルトの優先ネットワークIDです。指定されたネットワークIDの設定が必要です（優先ネットワークなしに設定されている場合を除く）。

注意：com.google.android.apps.work.clouddpcやcom.google.android.gmsなどの重要なアプリケーションは、このデフォルト設定から除外されます。

 

10.2. ネットワークサービスの設定

ネットワーク設定を追加するには、ネットワーク設定の追加を使用します。最大5つの設定を追加できます。各設定には、以下のものがあります。

優先ネットワークID (自動割り当て)：ネットワークIDは自動的に割り当てられ、変更できません。

デフォルト接続への代替： デバイス全体のデフォルトネットワークへの代替を許可するかどうか。許可されていない場合、5Gネットワークが利用できないと、アプリはインターネットにアクセスできません。

一致しないネットワーク：この設定が適用されるアプリが、優先サービス以外のネットワークを使用できるかどうか。ここで無効に設定されている場合、デフォルト接続への代替も無効である必要があります。Android 14以降が必要です。

ネットワーク設定

このセクションでは、ネットワーク関連のポリシーを設定できます。

Wi-Fiの設定は、システムによってプロビジョニングおよび管理されます。Wi-Fiの設定。 Wi-Fi設定で設定された値に応じて、ユーザーはネットワークの追加/変更に対して制限された権限しか持たない、または全く権限を持たない場合があります。

 

デバイスの無線状態

1. Wi-Fi の状態

Wi-Fi の現在の状態と、ユーザーがその状態を変更できるかどうかを制御します。

ユーザーの選択（デフォルト）：ユーザーはWi-Fiを有効/無効にする権限を持っています。

有効：Wi-Fiがオンになっており、ユーザーはオフにできません（Android 13 以降）。

無効：Wi-Fi がオフになっており、ユーザーはオンにできません（Android 13 以降）。

 

2. 最小 Wi-Fi セキュリティレベル

デバイスが接続できるWi-Fiネットワークの、必要最低限のセキュリティレベルです。Android 13以降の、フルマネージドデバイスおよび、会社所有デバイスのワークプロファイルで使用可能です。

公開ネットワーク（デフォルト）：デバイスは、あらゆる種類のWi-Fiネットワークに接続できます。

個人ネットワーク：公開Wi-Fiネットワークを許可せず、最低でも個人用のセキュリティ設定（例えばWPA2-PSK）が必要です。

エンタープライズネットワーク：エンタープライズのEAPネットワークを必須とし、このセキュリティレベル以下のWi-Fiネットワークを許可しません。

192ビットのエンタープライズネットワーク：192ビットのエンタープライズネットワークを必須とし、最も高いセキュリティレベルです。

 

3. 超広帯域 (UWB) 状態

超広帯域の設定状態を制御し、ユーザーがオン/オフを切り替えられるかどうかを決定します。

ユーザーの選択（デフォルト）：ユーザーは、UWBのオン/オフを切り替えることができます。

無効：UWBが無効になっており、設定からオン/オフを切り替えることはできません（Android 14以降）。

 

デバイスの接続管理

4. Bluetooth共有

Bluetooth共有を許可するかどうかを設定します。

許可：Bluetooth共有が許可されています（完全に管理されたデバイスではデフォルトで有効。Android 8以降）。

許可されていない：Bluetooth共有は許可されていません（ワークプロファイルではデフォルトで無効。Android 8以降）。

 

5. Wi-Fiの設定

Wi-Fiの設定権限を制御します。選択したオプションに応じて、ユーザーはWi-Fiネットワークの設定について、完全に、制限付きで、または全く制御できなくなります。

Wi-Fiの設定を許可する（デフォルト）：ユーザーがWi-Fiを設定できるようにします。

Wi-Fi設定の追加を許可しない：新しいWi-Fi設定の追加を禁止します。ユーザーは、すでに設定済みのネットワーク間を切り替えることができます（Android 13 以降、フルマネージドおよび企業所有のワークプロファイルの場合）。

Wi-Fi設定の追加を許可しない：Wi-Fiネットワークの設定を禁止します。完全に管理されたデバイスの場合、ユーザーが設定したネットワークは削除され、Wi-Fi設定によって設定されたネットワークのみが保持されます。企業が所有するワークプロファイルの場合、既存のネットワークには影響しませんが、ユーザーはWi-Fiネットワークの追加、削除、変更を行うことができません。

Wi-Fi設定が無効になっている場合や、デバイスが起動時にネットワークに接続できない場合、システムはユーザーが一時的に接続し、ポリシーを更新できるように、ネットワークへのアクセスポイントを表示する場合があります。

 

6. Wi‑Fiダイレクト設定

Wi‑Fiダイレクト設定の構成と使用方法を制御します。Android 13以降のバージョンを実行している、会社所有のデバイスでのみサポートされています。

許可（デフォルト）：ユーザーがWi‑Fiダイレクト機能を使用できます。

使用不可（デフォルト）：ユーザーがWi‑Fiダイレクト機能を使用できません。

 

7. テザリング設定

テザリングの設定を制御します。設定値に応じて、ユーザーが利用できるテザリングの種類を制限することができます。

すべてのテザリングを許可 (デフォルト)：すべてのテザリング機能の設定と利用を許可します。

Wi-Fiテザリングの無効化：ユーザーがWi-Fiテザリングを使用できないようにします（企業所有のAndroid 13以降のデバイス）。

すべてのテザリングを禁止：すべてのテザリング機能を無効にします（完全管理および企業所有のワークプロファイル）。

 

8. Wi-Fi SSID ポリシー

デバイスが接続できるWi-Fi SSIDの制限（これにより、デバイス上で設定できるネットワーク自体には影響しません）。Android 13以降を搭載した、会社所有のデバイスでのみサポートされています。

SSID 許可リスト (デフォルト)：デバイスは、リストに記載されている SSID のWi-Fiネットワークには接続できませんが、他のネットワークには接続できます。

SSID許可リスト: デバイスは、リストに記載されているSSIDを持つWi-Fiネットワークにのみ接続できます。SSIDリストは空であってはなりません。

「SSIDの追加」を使用して、項目を追加します。選択されたポリシーの種類によっては、このリストが許可または拒否するSSIDとして解釈されます。

ポリシーエディターのUIでは、SSIDリストは許可リストの場合に「許可対象のWi-Fi SSID」、拒否リストの場合に「拒否対象のWi-Fi SSID」と表示されます。

 

9. Wi-Fiローミング設定

SSIDごとにWi-Fiローミングモードを設定します。Wi-Fiローミング設定の追加を使用して、エントリを作成します。

各エントリには、以下のものが含まれます:

SSID：ローミング設定を適用するSSID（必須）。

Wi-Fiローミングモード：デフォルト / 無効 / アグレッシブ。無効とアグレッシブは、Android 15以降が必要で、完全管理デバイスおよび、企業所有デバイスのワークプロファイルでのみサポートされます。

 

ネットワーク制限：

Bluetoothが無効になっています。

Bluetoothが無効になっています。

 

Bluetoothによる連絡先共有が無効になっています。

Bluetoothによる連絡先共有が無効になっています。

 

Bluetoothの設定が無効になっています。

Bluetoothの設定がオフになっています。

 

ネットワークのリセットが無効になっています。

ネットワーク設定のリセットが無効になっています。

 

14. 送信ビームが無効になっています。

NFCを使用してアプリからデータを送信する機能が無効になっています。

 

VPN

15. 常に接続 VPNアプリ

特定の管理対象アプリから送信されるデータを、常に設定されたVPN経由で送信するために、Always On VPNのパッケージ名を指定します。

注: この機能を使用するには、Always On機能とアプリごとのVPN機能を両方サポートするVPNクライアントを導入する必要があります。

 

16. VPNによるロックダウン。

VPN接続されていない場合に、ネットワーク接続を禁止します。

 

17. VPN設定が無効になっています。

VPNの設定が無効になっています。

 

プロキシとネットワークサービス

18. 優先ネットワークサービス

職場プロファイルで優先ネットワークサービスを有効にするかどうかを制御します。たとえば、企業は通信事業者と、企業利用専用の通信事業者ネットワークサービス（たとえば、5Gネットワークのエンタープライズ版）を介して業務データを送信する契約を結んでいる場合があります。これは、完全に管理されたデバイスには影響しません。

無効: 職場プロファイルでは、優先ネットワークサービスが無効になっています。

有効: 優先ネットワークサービスは、職場プロファイルで有効になっています。

企業ネットワークのスライシングをご利用の場合、5Gネットワークスライシング設定を、モバイル通信ポリシーパネルで構成し、アプリをそれぞれの優先ネットワーク設定を使用してスライスに割り当ててください。

 

19. 推奨されるグローバルプロキシ

ネットワークに依存しないグローバルHTTPプロキシです。通常、プロキシはWi-Fi設定でネットワークごとに構成する必要があります。グローバルプロキシは、一般的な内部フィルタリングなどの特殊な構成で役立つ場合があります。グローバルプロキシは推奨設定であり、一部のアプリでは無視されることがあります。

無効

直接プロキシ

自動プロキシ設定（PAC）

19.1. ホスト

ダイレクトプロキシのホスト。

19.2. ポート。

ダイレクトプロキシのポート。

19.3. PAC URI。

プロキシの設定に使用されるPACスクリプトのURI。

19.4. 除外ホスト。

ダイレクトプロキシの場合、プロキシを迂回する対象ホストを指定します。ホスト名には、ワイルドカード（例：*.example.com）を含めることができます。

「除外ホストの追加」を使用して、除外リストに追加するホストを指定します（ダイレクトプロキシでのみ利用可能です）。

 

Wi-Fi 設定

システムがデバイスに適用するWi-Fiネットワークの設定を定義します。Wi-Fi設定の追加を使用してエントリを作成し、削除アクションで削除します。

20. Wi-Fi構成フィールド

各設定には、以下の項目が含まれます：

設定名：必須。

SSID：必須です。

自動接続：デバイスが範囲内になった際に、自動的にネットワークに接続するかどうかを設定します。

高速トランジション：クライアントがネットワークに対して、高速トランジション（IEEE 802.11r-2008）を使用するかどうかを設定します。

非公開SSID：SSIDのブロードキャストを行うかどうかを設定します。

MACアドレスのランダム化モード：ハードウェアまたは自動（Android 13以降）。

 

20.1. セキュリティ

Wi-Fiセキュリティオプション：

WEP-PSK：WEP（事前共有キー）を使用します。

WPA‑PSK：WPA/WPA2/WPA3-Personal（事前共有キー）を使用します。

WPA‑EAP：WPA/WPA2/WPA3-Enterprise（拡張認証プロトコル）を使用します。

WPA3 192ビットモード：WPA3 192ビットモードのみを許可するWPA‑EAPネットワーク。

20.2. パスフレーズ（事前共有キー）

セキュリティがWEP-PSKまたはWPA-PSKの場合に表示されます。パスフレーズが必要です。

20.3. EAP方式（エンタープライズ）

セキュリティがWPA‑EAPまたはWPA3 192ビットモードの場合に表示されます。以下のEAP外側方式から選択してください：

EAP-TLS

EAP-TTLS

PEAP

EAP‑SIM

EAP‑AKA

20.4. フェーズ2認証

外部メソッドのトンネリングに使用されます（EAP‑TTLSおよびPEAP）。

MSCHAPv2

PAP

20.5. ユーザーからのEAP認証情報。

有効にすると、システムは各ユーザーに対して、デバイスに自動的にEAP認証情報を適用します。ユーザー認証情報は、ユーザーセクションで設定できます。

20.6. クライアント証明書

「EAP‑TLS」の場合、Wi-Fi認証に使用するクライアント証明書を割り当てることができます。詳細については、証明書管理のページを参照してください。。

証明書が既に割り当てられている場合、証明書の表示を使用して確認するか、証明書の変更を使用して別のものを選択できます。

または、クライアント証明書のキーペアエイリアスを指定することも可能です。これは、Androidのキーチェーンに保存されているクライアント証明書を参照し、Wi-Fi認証を許可するために使用されます。

両方のクライアント証明書とクライアント証明書キーペアのエイリアスが設定されている場合、キーペアエイリアスは無視されます。

20.7. 認証

ユーザーのID。トンネリング方式（PEAP、EAP-TTLS）の場合、この設定はトンネル内で認証するために使用され、匿名IDは、トンネル外のEAP認証で使用されます。トンネリングを使用しない場合、この設定はEAP認証のIDとして使用されます。

20.8. 匿名ID

トンネリングプロトコルでのみ有効で、外側のプロトコルに提示されるユーザーの識別情報を表します。

20.9. パスワード

ユーザーのパスワード。指定されていない場合は、ユーザーにパスワード入力を促します。

20.10 サーバのCA証明書。

ホストの証明書チェーンを検証するために使用するCA証明書のリストです。少なくとも1つのCA証明書が一致する必要があります。詳細については、証明書管理のページを参照してください。

「サーバーCA証明書を追加」を使用して、エントリを追加し、削除アクションで削除できます。

20.11. ドメインサフィックスが一致します。

サーバーのドメイン名に関する制約の一覧です。これらの設定は、認証サーバー証明書の代替件名に含まれるDNS名に対して、サフィックス一致の要件として使用されます。

 

システム

このセクションでは、システム関連のポリシーを設定できます。

 

1. 最小APIレベル

Androidの最小サポートAPIレベル。

 

2. 暗号化ポリシー

暗号化が有効かどうか。

デフォルト：この値は無視されます。つまり、暗号化は不要です。

パスワードなしで有効：暗号化は必須ですが、起動にはパスワードが不要です。

パスワードありで有効：暗号化は必須で、起動にはパスワードが必要です。

 

3. 自動日付と時刻

会社所有デバイスで、自動日付、時刻、およびタイムゾーンの設定が有効になっているかどうか。

ユーザーの選択 (デフォルト): 自動日付、時刻、およびタイムゾーンの設定は、ユーザーの選択に委ねられます。

適用: デバイスで、自動の日付、時刻、およびタイムゾーンの設定を強制します。

 

4. 開発者向け設定

開発者向け設定へのアクセス制御：開発者オプションとセーフブートの設定。

無効（デフォルト）：すべての開発者向け設定を無効にし、ユーザーがそれらにアクセスできないようにします。

許可：すべての開発者向け設定を有効にします。ユーザーはこれらの設定にアクセスし、必要に応じて設定を変更できます。

 

5. 共通基準モード。

共通基準モード：共通基準（情報技術セキュリティ評価の共通基準）で定義されたセキュリティ基準を制御します。共通基準モードを有効にすると、デバイスの特定のセキュリティ機能が強化されます（例：Bluetoothの長期鍵のAES-GCM暗号化、一部のネットワーク証明書の追加検証、暗号ポリシーの整合性チェック）。共通基準モードは、Android 11以降を実行している、会社が所有するデバイスでのみサポートされています。警告：共通基準モードは、通常、高度なセキュリティが求められる組織でのみ必要な、厳格なセキュリティモデルを適用します。通常のデバイスの使用に影響が出る可能性があります。必要な場合にのみ有効にしてください。

無効 (デフォルト): Common Criteria モードを無効にします。

有効: Common Criteria モードを有効にします。

 

6. メモリ タギング拡張 (MTE)

デバイスでメモリ タギング拡張 (MTE) を制御します。

ユーザーの選択（デフォルト）：ユーザーは、デバイスが対応している場合、デバイスでMTEを有効または無効にすることができます。

強制：MTEが有効になっており、ユーザーはこれを変更できません（Android 14 以降。会社所有のデバイスの完全管理デバイスおよびワークプロファイルでサポートされます）。

無効：MTEが無効になっており、ユーザーはこれを変更できません（Android 14 以降。完全管理デバイスでのみサポートされます）。

 

7. コンテンツ保護

コンテンツ保護機能（不正アプリの検出機能）の有効/無効を切り替えます。Android 15 以降でサポートされています。

無効 (デフォルト)：コンテンツ保護が無効になっており、ユーザーはこれを変更できません。

適用済み：コンテンツ保護が有効になっており、ユーザーはこれを変更できません（Android 15 以降）。

ユーザーの選択：コンテンツ保護はポリシーによって制御されず、ユーザーが選択できます（Android 15 以降）。

 

8. コンテンツのサポート

アシスタントアプリ（例：Circle to Search）などの特権アプリに、AssistContentを送信することを許可するかどうかを設定します。AssistContentには、スクリーンショットやアプリの情報（パッケージ名など）が含まれます。Android 15以降でサポートされています。

許可 (デフォルト)：特権アプリに対して、アシストコンテンツの送信を許可します (Android 15 以降)。

許可されていない：アシストコンテンツが、特権アプリに送信されるのをブロックします (Android 15 以降)。

 

9. ウィンドウの作成を無効にする。

アプリのウィンドウ以外でのウィンドウ作成を無効にするかどうか。このオプションを有効にすると、以下のシステムUIが表示されなくなります：トースト通知とスナックバー、電話関連の操作（着信など）、優先度の高い電話関連の操作（通話中など）、システムアラート、システムエラー、およびシステムオーバーレイ。

 

10. ネットワークのエスケープ機能

ネットワークのエスケープ機能が有効かどうか。デバイスの起動時にネットワーク接続ができない場合、エスケープ機能は、デバイスポリシーを更新するために、一時的にネットワークに接続するようにユーザーに促します。ポリシーを適用した後、一時的なネットワーク接続は忘れられ、デバイスは通常どおり起動を続けます。これにより、最新のポリシーに適切なネットワークが存在しない場合に、デバイスがロックタスクモードのアプリで起動したり、ユーザーがデバイスの設定にアクセスできない場合に、ネットワークに接続できなくなるのを防ぎます。

 

11. デフォルトのアクティビティ

特定のインテントフィルタに一致するインテントを処理するための、デフォルトのアクティビティの一覧です。例えば、この機能を使用すると、IT管理者は、Webリンクを自動的に開くブラウザアプリ、またはホームボタンをタップしたときに使用するランチャーアプリを決定できます。

「デフォルトアクティビティの追加」を使用して、項目を作成します。項目内では、「アクションの追加」と「カテゴリの追加」の機能を使用して、インテントフィルタを構築します。

11.1. 受信アクティビティ

デフォルトのインテントハンドラとして機能するアクティビティです。Androidコンポーネント名（例：com.android.enterprise.app/.MainActivity）を指定するか、アプリのパッケージ名（例：com.example.myapp）を指定すると、Androidデバイスポリシーがそのアプリから適切なアクティビティを選択してインテントを処理します。

11.2. アクション

フィルタで一致させるインテントのアクション。フィルタにアクションが含まれている場合、インテントのアクションはそれらの値のいずれかである必要があります。アクションが含まれていない場合、インテントのアクションは無視されます。

11.3. カテゴリ

フィルターで一致させる意図カテゴリです。意図には、必要なカテゴリが含まれており、それらのすべてがフィルターに含まれている必要があります。つまり、フィルターにカテゴリを追加しても、そのカテゴリが意図で指定されていない限り、一致には影響しません。

 

12. 許可された入力方法。

許可される入力方法を指定します。

許可されたすべての入力方法：制限は一切ありません。すべての入力方法が許可されています。

システム標準：システムに標準で組み込まれている入力方法のみが許可されます。

提供されているものとシステム標準：許可されるのは、提供されている入力方法と、システムに標準で組み込まれている入力方法のみです。

12.1. 許可される入力方法

許可される入力方法のパッケージ名。これは、許可する入力方法がシステム提供のもののみに設定されている場合にのみ適用されます。

「入力方法の追加」を使用して項目を追加し、削除アクションで削除できます。

 

13. 許可されているアクセシビリティ機能。

許可されたアクセシビリティサービスを指定します。

許可されるすべてのサービス：どのアクセシビリティサービスでも利用できます。

システム内蔵の：システムに組み込まれているアクセシビリティ機能のみが利用可能です。

提供されているものとシステム標準のもの：利用できるのは、提供されているアクセシビリティ機能と、システムに組み込まれているアクセシビリティ機能のみです。

13.1. 許可されているアクセシビリティ機能

許可されているアクセシビリティ機能。これは、許可されたアクセシビリティ機能がシステムおよび提供されたものに設定されている場合にのみ適用されます。

アクセシビリティ機能を追加して、項目を追加したり、削除アクションで削除したりすることができます。

 

14. システムアップデートに関するポリシー

システムアップデートの管理設定。

デフォルト：デバイスのデフォルトのアップデート設定に従います。通常、ユーザーがシステムアップデートを受け入れる必要があります。

自動：アップデートが利用可能になり次第、自動的にインストールされます。

ウィンドウモード：指定されたメンテナンス時間帯に自動的にインストールされます。これにより、Play ストアのアプリも、この時間帯にアップデートされるように設定されます。キオスクデバイスでは、フォアグラウンドに固定されたアプリをPlayストアでアップデートする唯一の方法であるため、この設定を強く推奨します。

インストールを延期：自動インストールを最大30日間まで延期できます。

 

14.1. メンテナンスウィンドウ（ウィンドウ版のみ）

「システム更新ポリシー」が「ウィンドウモード」に設定されている場合、開始および終了のフィールドを使用して、毎日のメンテナンス期間を設定できます。

 

14.2. システムアップデートの停止期間

毎年繰り返される期間で、この期間中はデバイスにインストールされているOSのバージョンを固定するために、OTA（無線）システムアップデートの一時停止を行います。 デバイスを永久にアップデート停止状態にしないために、各一時停止期間は少なくとも60日以上の間隔が必要です。 また、各一時停止期間は90日を超えてはなりません。

システムアップデートの一時停止期間を追加するには、追加機能を使用してください。

 

15. 認証プロバイダのデフォルト設定。

Android 14 以降で、どのアプリが認証プロバイダとして機能できるかを制御します。

許可しない（デフォルト）：credentialProviderPolicy が指定されていないアプリは、認証プロバイダとして機能できません。

許可されない（システム提供の認証プロバイダを除く）：credentialProviderPolicy が指定されていないアプリは、認証プロバイダとして機能できません。ただし、デバイスメーカーが提供するデフォルトの認証プロバイダは例外です。

位置情報とジオフェンス

このパネルでは、デバイスの位置情報レポート、位置情報の適用、ジオフェンス定義を制御するAndroidポリシー設定をグループ化しています。Cerberus Enterpriseでデバイスの位置情報を収集したり、デバイスが設定されたエリアに入ったり出たりするのを検出したい場合に利用してください。

位置情報レポート

位置情報を報告する

デバイスの測位情報レポートを有効にします。この設定を通じて収集された位置データは、ダッシュボードの場所マップ、デバイスの概要の場所履歴、およびジオフェンス処理に使用されます。

完全に管理されていないデバイスでは、位置データは引き続きCerberus Enterpriseアプリが必要な位置情報へのアクセス許可を持っていることと、デバイスの位置情報サービスが有効になっていることに依存する場合があります。

位置情報モード

会社所有デバイスの場所の設定を制御します。

• ユーザーの選択：ポリシーによる位置情報サービスへの制限はありません。
• 適用：デバイスの位置情報サービスは有効になっています。
• 無効：デバイスの位置情報サービスはオフになっています。

位置情報の共有が無効になっています。

職場アプリの位置情報共有を無効にします。プロファイル所有者デバイスでは、ワークプロファイルに影響します。完全に管理されたデバイスでは、デバイス全体の場所が無効になり、デバイスの位置情報モードが上書きされます。

アクティブなジオフェンスにおける自動動作

アクティブなジオフェンスは動作するために位置情報レポートが必要です。少なくとも1つのジオフェンスが有効になっている場合、Cerberus Enterpriseは関連する位置情報設定を自動的に一貫性を保ちます。

• 位置情報レポートは、アクティブなジオフェンスが存在する間、強制的に有効になります。
• 位置情報モードは強制されます。
• 位置情報の共有が無効化されます。

位置情報の報告 を無効化しようとすると、1つ以上のジオフェンスが有効な場合、Cerberus Enterprise は確認ダイアログを表示します。続行すると、ポリシー内のすべての有効なジオフェンスが無効になります。

ジオフェンス一覧

ポリシーには最大10個のジオフェンスを含めることができます。ジオフェンスの名前はポリシー内で一意である必要があります。

ジオフェンスを追加して、新しいエントリを作成します。各ジオフェンスには、次の主要なフィールドが含まれます。

• 名前: 必須で一意です。
• Latitude および Longitude: エリアの中心です。
• 半径 (m): 必須、100～10000メートルです。
• 説明: 管理者向けオプションのメモです。
• レポート投入とレポート終了: どの遷移イベントを生成するかを選択してください。
• アクティブ：ジオフェンスを削除せずに、有効または無効にします。

各ジオフェンスに対して、レポート入またはレポート退出の少なくとも1つは有効である必要があります。

地図編集ツール

各ジオフェンスカードには、エリアの地図プレビューが表示されます。地図上または数値フィールドからジオメトリを編集できます。

• 地図をクリックすると、エリア編集がアンロックされた際にジオフェンスの中央を移動できます。
• 現在地の場所ボタンを使って、マップを現在ブラウザの位置に中心合わせします。
• ジオフェンスの推奨表示範囲を復元するために、マップの中心に戻すボタンを使用してください。
• ジオフェンスの形状を誤って変更しないように、ロックボタンを使用してください。

ジオフェンスデータが表示される場所

ジオフェンスの遷移は、Android デバイス概要 ページ内、ロケーションパネルのジオフェンスタブで確認できます。そのタブでは、専用の地図上で遷移を表示し、フィルタリングツールと遷移リストも表示されます。

ユーザー管理

ユーザーを追加（無効）

新しいユーザーやプロファイルの追加を無効にするかどうかを設定します。 managementMode が DEVICE_OWNER の場合、この設定は無視され、ユーザーはユーザーの追加や削除を一切許可されません。

 

アカウントの無効化設定を変更します。

アカウントの追加または削除を無効にするかどうか。

 

ユーザー認証設定が無効になっています。

ユーザー認証の設定が無効になっています。

 

ユーザーを無効にする。

他のユーザーの削除機能を無効にするかどうか。

 

ユーザーアイコンの表示を無効にする設定。

ユーザーアイコンの変更を無効にするかどうか。

 

壁紙設定を無効にする。

壁紙の変更を無効にするかどうか。

 

職場アカウントの設定における認証手続き

職場アカウントの設定時の認証方法を制御します。このオプションは、管理されたGoogleドメイン（Google Workspace）を使用しているAndroidエンタープライズ環境でのみ利用可能です。

デバイスの設定/登録時、このポリシーは職場アカウントへのサインインが必須となるかどうかを決定しますが、Google管理コンソールの設定である Googleによる認証を使用 および登録トークンの種類によっては、認証が必要となる場合があります。

すでに登録済みのデバイスの場合、このポリシーは、デバイスが管理対象のGoogle Playアカウントによって管理されている場合にのみ適用されます（つまり、Google認証による登録を使用せずに登録された場合）。

詳細情報やトラブルシューティングについては、Google認証による登録をご参照ください。

 

ブロックされたアカウントの種類

ユーザーが管理できないアカウントの種類です。このオプションを有効にすると、デバイスのユーザーが承認されていないアカウントを追加できなくなります。

「ブロックされたアカウントの種類を追加」を使用して、1つまたは複数のアカウントの種類を追加します。

各項目には、必須の アカウントの種類 フィールドがあります。例えば、com.google のような文字列を入力してください。削除アクションを使用して、項目を削除します。

個人利用

デバイスを業務および個人利用のために設定する際に、ユーザーが業務プロファイル外でデバイスをどのように操作できるかを制限するルールを指定できます。個人利用について

このセクションは、会社が所有するデバイスで、仕事用プロファイルが設定されている場合にのみ適用されます。完全に管理されたデバイスや、個人所有のデバイスには影響しません。

1. カメラが無効になっています。

カメラが無効になっているかどうか。

 

2. スクリーンキャプチャが無効になっています。

画面キャプチャが無効になっているかどうか。

 

3. 勤務休日の最大日数

ワークプロファイルがオフのままになる最大時間を設定します。

 

4. Bluetooth共有

会社が所有するデバイスで、ビジネスプロファイルにおいてBluetooth共有が許可されているかどうかを制御します。

 

5. プライベート領域

デバイスでプライベート領域の使用を許可するかどうかを制御します。

 

6. Play ストアモード

このモードでは、個人プロファイルのPlayストアで、どのアプリをユーザーに許可するか、またはブロックするかを制御します。

ブロックリスト（デフォルト）：すべてのアプリが利用可能であり、デバイスにインストールすべきでないアプリは、ブロックリストにあるアプリを明示的に指定する必要があります。アプリケーションセクションで設定してください。

許可リスト: アプリケーションセクションで明示的に指定されたアプリのみが、インストールタイプが利用可能に設定されている場合に、個人用プロファイルにインストールできます。

 

7. アプリケーション

個人のプロファイルで許可またはブロックする必要があるアプリケーションの一覧です。この一覧の内容の動作は、Play ストア モードに設定された値によって異なります。

Play ストアから新しいアプリを追加するには、+ アイコンをクリックしてください。

7.1. インストール方法

個人プロファイルアプリケーションが持つことができるインストール動作の種類。

ブロックされています：このアプリはブロックされており、個人プロファイルにはインストールできません。

利用可能：このアプリは、個人プロファイルでインストール可能です。

 

8. ブロックされたアカウントの種類

ユーザーが管理できないアカウントの種類です。このオプションにより、デバイスのユーザーが、承認されていないアカウントを個人プロファイルに追加することを防ぎます。

プロファイル間ポリシー

個人用プロファイルと職場用プロファイルの両方を持つデバイスにのみ適用されます。

プロファイル間のコピー＆ペースト。

あるプロファイル（個人用または仕事用）からコピーしたテキストを、別のプロファイルに貼り付けることができるかどうか。

許可しない（デフォルト）：ユーザーが、職場用プロファイルからコピーしたテキストを、個人用プロファイルに貼り付けるのを禁止します。個人用プロファイルからコピーしたテキストは、職場用プロファイルに貼り付けることができます。

許可：どちらのプロファイルでコピーされたテキストも、もう一方のプロファイルに貼り付けることができます。

 

プロファイル間のデータ共有

あるプロファイル(個人用または職場用)のデータが、別のプロファイルのアプリと共有できるかどうかを設定します。具体的には、インテントを介した簡単なデータ共有を制御します。連絡先検索やコピー/ペースト、
または連携する職場用および個人用アプリ間の通信など、他のプロファイル間の通信機能は、個別に設定します。

許可不可：個人用プロファイルから業務プロファイル、または業務プロファイルから個人用プロファイルへのデータ共有を禁止します。

業務プロファイルから個人用プロファイルへのデータ共有は許可されていません（デフォルト）。 個人用プロファイル内のアプリで、業務プロファイルからデータを共有することはできません。個人用プロファイル内のアプリは、業務データにアクセスできます。

許可済み：どちらのプロファイルから取得したデータも、もう一方のプロファイルと共有できます。

 

仕事用プロファイルのウィジェットは、デフォルトで有効になっています。

仕事用プロファイルのウィジェットのデフォルト設定です。特定のアプリがウィジェットのポリシーを定義していない場合、こちらで設定されたデフォルトが適用されます。

 

プロファイル間の連携機能。

個人用のプロファイルアプリが、職場用のプロファイルアプリからアプリの機能を利用できるかどうかを制御します。Android 16 以降が必要です。

この設定は、ポリシーレベルのアプリの機能オプション（アプリ管理セクション内）に依存します。アプリの機能が許可しないに設定されている場合、APIは、プロファイル間でのアプリの機能に対する許可という設定を拒否します。

 

個人プロファイル内の職場連絡先

職場プロファイルに保存された連絡先を、個人プロファイルの連絡先検索や着信時に表示するかどうか。

許可 (デフォルト)：職場プロファイルの連絡先を、個人プロファイルに表示することができます。

許可しない (デフォルト)：個人用のアプリが、職場プロファイルの連絡先にアクセスしたり、職場連絡先を検索したりすることを防ぎます。

許可されていません（システムアプリを除く）：ほとんどの個人用アプリが、職場プロファイルの連絡先にアクセスしたり、職場連絡先を検索したりすることを防ぎます。ただし、OEMが提供する標準の電話、メッセージ、連絡先アプリは例外です（Android 14 以降）。

個人プロファイルで職場連絡先を設定した場合、オプションで、例外対象のパッケージ名リストを定義できます。選択したモードに応じて、これらの例外は、個人用アプリに対する許可リストまたはブロックリストとして機能します。

ステータスレポート

このセクションでは、デバイスから取得するデータを設定できます。ステータスデータは、デバイスのステータスのダッシュボードページで確認できます。

 

アプリケーションのレポート。

アプリのレポートの有効化設定。(インストールされているアプリに関するレポート情報。)

このオプションはシステム要件であり（コンパニオンアプリ連携用）、常に有効になっています。無効にすることはできません。

 

削除されたアプリも表示する。

アプリケーションレポートに、削除されたアプリを含めるかどうか。

 

デバイス設定

デバイス設定のレポート機能を有効にするかどうか。（デバイスのセキュリティ関連設定に関する情報です。）

 

ソフトウェア情報

ソフトウェア情報のレポート機能の有効/無効設定。 (デバイスのソフトウェアに関する情報。)

 

メモリ情報

メモリレポートの有効化設定 (メモリとストレージの測定に関するイベント)。

 

ネットワーク情報

ネットワーク情報のレポート機能の有効/無効設定。(デバイスのネットワーク情報。)

 

表示情報

レポート表示が有効かどうか。ワークプロファイルが設定された個人のデバイスでは、レポートデータは利用できません。（デバイスの表示情報。）

 

省電力関連のイベント。

省電力関連イベントのレポート機能の有効/無効設定。パーソナルデバイスで、職場プロファイルが設定されている場合、データは利用できません。

 

ハードウェアの状態

ハードウェアの状態のレポート機能が有効になっているかどうか。パーソナルデバイスにワークプロファイルが設定されている場合、レポートデータは利用できません。

 

システムプロパティ

システムプロパティのレポート機能が有効になっているかどうか。

 

共通基準モード。

共通基準モードのレポート機能の有効/無効設定。

その他

1. イースターエッグゲームが無効になっています。

設定内のイースターエッグゲームが無効になっているかどうか。

 

2. 初回利用時のヒントをスキップする

初回利用時に表示されるヒントをスキップする設定です。エンタープライズ管理者は、アプリが初回起動時にユーザー向けチュートリアルやその他の紹介ヒントをスキップするように設定できます。

 

3. 短いサポートメッセージです。

管理者によって機能が無効にされている場合、設定画面に表示されるメッセージです。メッセージが200文字を超える場合は、一部が省略されることがあります。

 

4. 詳細なサポートメッセージ

デバイス管理者の設定画面に表示されるメッセージです。

 

5. 所有者によるロック画面の情報です。

ロック画面に表示されるデバイス所有者情報です。

 

6. 設定アクション

セットアップ時に実行するアクション。登録時に、デバイスのセットアップに必要なアプリを1つ以上ユーザーに開いてもらうように設定できます。

セットアップアクションを追加するには、追加設定アクションを使用し、削除アクションでエントリを削除します。

6.1. アプリを起動します。

起動するアプリのパッケージ名。

6.2. タイトル

アプリを起動する必要がある理由をユーザーに説明するためのメッセージを表示します。

6.3. 説明

アプリを起動する必要がある理由をユーザーに説明するためのメッセージを表示します。

 

7. エンタープライズ表示名の可視性

デバイス上で、エンタープライズ表示名 (例えば、会社所有デバイスのロック画面メッセージとして) が表示されるかどうかを制御します。

表示 (デフォルト): デバイス上で、エンタープライズ表示名が表示されます (Android 7以降のワークプロファイル、およびAndroid 8以降の完全管理デバイスでサポートされます)。

非表示: デバイス上で、エンタープライズ表示名を非表示にします。

ポリシー適用ルール

以下のポリシー設定のいずれかに対してデバイスまたはワークプロファイルが準拠しない場合、Android デバイス ポリシーは、デフォルトでそのデバイスまたはワークプロファイルの利用をブロックします。

• パスワードの要件
• 暗号化ポリシー
• キーガードが無効になっています。
• 許可された入力方法。
• 許可されているアクセシビリティ機能。

デバイスまたはワークプロファイルが10日間コンプライアンスを満たさない場合、Android Device Policyによってデバイスが工場出荷時の状態に戻されるか、ワークプロファイルが削除されます。

このセクションでは、デフォルトのコンプライアンス適用ルールを上書きしたり、新しいルールを追加したりできます。

ルール

特定のポリシーをデバイスに適用できない場合に適用される動作を定義するルールのリスト。

「ルールを追加」ボタンを使用すると、新しいルールを作成できます。各ルールカードは、削除アクションを使用して取り除くことができます。

設定名

適用する最上位ポリシーです。例えば、アプリケーションやパスワード要件など。

必須です。入力値は、サポートされている上位ポリシー名と一致する必要があります。一致しない場合は、そのフィールドが無効としてマークされます。

指定した日数経過後にブロックします。

ポリシーに準拠していない状態が何日続くと、デバイスまたは仕事用プロファイルをブロックするかを設定します。アクセスをすぐにブロックするには、0に設定してください。ブロックまでの日数は、ワイプまでの日数よりも小さくなければなりません。これは、企業が所有するデバイスにのみ適用されます。

許可される範囲：0～300.

ブロック スコープ

ブロックアクションの適用範囲を指定します。これは、企業が所有するデバイスでのみ有効です。

デフォルト（新しいルール）：作業用プロファイル。

作業用プロファイル：ブロック機能は、作業用プロファイル内のアプリにのみ適用されます。個人用プロファイル内のアプリには影響しません。

デバイス全体：ブロック機能は、個人用プロファイル内のアプリを含む、デバイス全体に適用されます。

日数経過後にデータを消去

デバイスまたはワークプロファイルがワイプされるまでの、ポリシー違反状態からの経過日数。
ワイプまでの日数は、ロックまでの日数よりも大きくする必要があります。これは、企業が所有するデバイスにのみ適用されます。

必須。デフォルト（新しいルール）：1。

許可範囲: 1～300。

工場出荷時の保護機能を維持します。

デバイスの工場出荷時の保護データが保持されているかどうか。この設定は、職場用プロファイルには適用されません。

デフォルト（新しいルール）：有効。

ポリシー - Apple

Appleのポリシー

Appleのポリシーでは、Cerberus EnterpriseがMDMを通じてAppleデバイスに適用する管理設定が定義されています。これらの設定は、Appleポリシーエディターのダッシュボードから構成されます。

始める前に

Appleデバイスの管理には、Apple Management (APNs) の設定が必要です。必要に応じて、Apple Managementの設定 (APNs) のページを参照してください。

Apple ポリシー エディター を開きます。

ダッシュボードで、ポリシーを開き、「新しいAppleポリシーの作成」をクリックします。既存のAppleポリシーを編集するには、ポリシーテーブルの該当する行をクリックしてください。

編集レイアウト

Appleポリシーエディターは、展開可能なセクションのセットで構成されています。 ページの上部では、常に以下の項目を編集できます。

• 名前 (必須)
• ID (読み取り専用)
• 説明（オプション）

ポリシーに関するセクション

以下のセクションは、Apple Policy Editorで現在利用可能なパネルに対応しています。

• アプリ管理：アプリ関連の制限を設定し、管理対象のアプリを構成します。
• パスコード設定：パスコードの要件と関連ルールを設定します。
• セキュリティ：自動ロック解除や生体認証ロック解除などの機能を制御します。
• iCloud：特定のiCloudサービス（バックアップ、キーチェーン同期、プライベートリレーなど）の使用を許可または禁止します。
• メディア：カメラや関連機能の使用を許可または禁止します。
• モバイル通信：モバイル通信に関連する設定を制御します（アプリのモバイルデータ通信設定、eSIM、プラン変更など）。
• ネットワーク：AirDrop、AirPrint、AirPlayなどの接続設定やその他のネットワーク関連設定を制御します。
• アカウント：アカウントの変更を制限し、必要に応じてGoogleやメールアカウントの設定を行います。

Appleポリシーエディターの多くのオプションには、要件とサポートされているOSのバージョンを説明するツールヒントが含まれています。

保存、削除、および関連するデバイス。

ポリシーを保存して、変更を適用します。 編集内容がない場合、またはライセンスが期限切れの場合は、ボタンが無効になります。

既存のポリシーを編集する場合、画面には ポリシーの削除 という操作も表示されます。 エディタの最下部には、関連デバイス のリストを表示し、現在そのポリシーを使用しているデバイスの数を把握できるようにします。

次のページ

• パスコード：パスコードの設定要件および関連するセキュリティオプションを設定します。
• 制限事項：許可される機能やOSレベルの制限を定義します。
• アプリとプロファイル：インストールされているアプリと構成プロファイルを設定します。

Appleのポリシー：パスコード

パスコード設定 セクションでは、デバイスのパスコードに関する要件や関連するセキュリティルール（例えば、最小文字数や複雑さ）を設定します。

オプション

Apple Policy Editor では、パスコードの設定オプションを、トグルスイッチと数値入力フィールドを組み合わせて構成します。多くのフィールドには、サポートされている OS のバージョンや、管理要件を示すツールチップが表示されています。

パスコード設定の切り替えスイッチ

• 次回の認証時に変更を適用：ユーザーが次回認証を行う際に、パスワードの変更を強制します。
• 英数字パスコードの要件：少なくとも1つの英字と1つの数字を含むように必須とします。
• 複雑なパスコードの要件：繰り返しや連続したパターンを含まない「複雑な」パスコードを使用し、英数字以外の文字を少なくとも1つ含める必要があります。
• パスコード必須：追加の長さや品質要件なしに、パスコードを要求します。注意：他のパスコード設定を行うと、暗黙的にパスコードが要求されます。

数値フィールド

• FailedAttemptsResetInMinutes：ログイン失敗回数がリセットされるまでの分数（MaximumFailedAttemptsが必要）。
• MaximumFailedAttempts：デバイスが消去またはロックされる前に許容されるログイン失敗回数（範囲：2～11）。
• MaximumGracePeriodInMinutes：デバイスがパスコード入力なしで利用できる最大時間（分単位）（0を指定すると、機能が無効になります）。
• 最大非アクティブ時間（分）：デバイスがロックされるまでのアイドル時間（範囲：0～15）。
• MaximumPasscodeAgeInDays：パスコードの有効期限（日単位）。パスコードの有効期限がこれを超えると、再設定が強制されます（範囲：0～730）。
• MinimumComplexCharacters：パスコードに必要な「複雑な」文字の最小数（範囲：0～4）。
• 最小パスコード長：パスコードの最小文字数（範囲：0～16）。
• パスコード再利用制限：古いパスコードの再利用を防ぐためのパスコード履歴の長さ（範囲：1～50）。

Appleのポリシー：制限事項

「制限事項」セクションでは、管理対象のAppleデバイスで許可されるOSの機能を制御します。Appleポリシーエディターでは、これらのオプションは、複数のトグルスイッチが配置されたグループ化されたパネルとして表示されます。

多くの制限事項は、特定のOSバージョンでのみサポートされており、管理対象のデバイスが必要となる場合があります。要件については、ダッシュボードのツールチップを参照してください。

セキュリティ

• 自動ロック解除を許可
• 指紋認証によるロック解除を許可
• 指紋認証による変更を許可

iCloud

• iCloudアドレス帳へのアクセスを許可
• iCloudバックアップを許可
• iCloudブックマークの利用を許可
• iCloudカレンダーへのアクセスを許可
• iCloudのデスクトップとドキュメントへのアクセスを許可
• iCloudのドキュメント同期を許可
• iCloud Freeformの使用を許可
• iCloudキーチェーンの同期を許可
• iCloudメールの利用を許可
• iCloud Notesの使用を許可
• iCloud写真ライブラリへのアクセスを許可
• iCloudプライベートリレーへのアクセスを許可
• iCloudのリマインダーへのアクセスを許可

マルチメディア

• カメラの使用を許可
• ファイル共有の変更を許可
• USBストレージへのファイルアクセスを許可

モバイル回線

• アプリがモバイルデータ通信を使用できるように許可
• モバイルデータ通信の変更を許可
• eSIMの変更を許可
• eSIMの転送（送信）を許可

ネットワーク設定

• AirDropの使用を許可
• AirPlayの受信リクエストを許可
• AirPrintの使用を許可
• AirPrintの認証情報を保存することを許可
• AirPrint iBeacon の検出を許可する
• Bluetooth設定の変更を許可
• Bluetooth共有設定の変更を許可
• ファイル共有ネットワークドライブへのアクセスを許可
• インターネット共有の変更を許可

アカウント (制限)

アカウントパネルには、制限機能と、必要に応じてアカウント設定機能があります。制限のオン/オフ設定により、ユーザーがシステムアカウントを変更できるかどうかを制御できます。

• アカウントの変更を許可

Appleのポリシー：アプリとプロファイル

このセクションでは、Appleデバイス向けの管理対象アプリケーションとアカウント設定を構成する方法について説明します。

アプリ管理

「アプリ管理」の画面には、一般的なアプリ関連の設定と、管理対象のアプリケーションの一覧が表示されます。

一般的なアプリ制限

• アプリクリップの利用
• アプリのインストールを許可
• アプリのアンインストールを許可
• アプリの自動ダウンロードを許可
• アプリの非表示を許可
• アプリのロックを許可
• アプリ内課金の利用を許可

管理対象アプリ

アプリケーションの追加を使用して、ポリシーにアプリを追加します。管理対象の各アプリはカードとして表示されます。カードを展開して、設定を編集したり、削除アクションを使用してアプリを削除したりできます。

• App Store ID：管理対象アプリのApp Storeにおける識別子。
• バンドルID：アプリのバンドル識別子。
• インストール動作：アプリがインストールされたまま必要なのか、またはユーザーが自由にインストール/アンインストールできるかを制御します。
• ライセンス割り当て：ライセンスの割り当てタイプ。
• VPPライセンス：App Store経由でのインストールに使用されるVPPライセンスの種類。

アカウント

アカウント パネルでは、管理対象デバイスに適用されるアカウントを設定できます。また、アカウントの変更に関する制限を切り替えることができます。

制限事項

• アカウントの変更を許可する：無効にすると、ユーザーはAppleアカウントやインターネットアカウントなどのアカウントを変更できなくなります。

アカウントを追加する

Googleアカウントを追加、または、メールアカウントを追加して、ポリシーにアカウント情報を追加します。 各アカウントは、設定フィールドとともにカードとして表示されます。

ユーザーからのアカウント情報

GoogleおよびMailのアカウントカードには、ユーザーからのアカウント情報の切り替え機能があります。有効にすると、システムはユーザーごとにアカウント情報を適用します。無効にすると、ポリシーにアカウント情報を入力します。

Googleアカウントの項目

• 表示名：アカウントのユーザーに表示される名前。
• Googleのメールアドレス：ユーザーのメールアドレス。
• 氏名：ユーザーの氏名。

メールアカウントの項目

メールアカウントには、ID関連の項目に加え、受信/送信サーバーの設定が必要です。ホスト名を入力してください。

• 表示名：メールアカウントに対してユーザーに表示される名前です。
• メールアドレス：ユーザーのメールアドレスです。
• 氏名：ユーザーの氏名。

受信サーバー

• サーバーの種類: メールプロトコル (例: IMAPまたはPOP)。
• 認証方法: サーバーの認証に使用する認証方法。
• IMAPパスプレフィックス：サーバーの種類がIMAPの場合にのみ表示されます。
• ホスト名：必須項目です。
• ポート：サーバーポート（1～65535）。

送信先サーバー

• 認証方法
• ホスト名：必須項目です。
• ポート：サーバーポート（1～65535）。

S/MIME オプション

メールアカウントでは、S/MIMEによる暗号化と署名に関する設定も可能です。

暗号化

• S/MIME暗号化
• ユーザーが上書き可能なID
• メッセージごとのスイッチが有効
• ユーザーが設定を上書き可能

署名

• S/MIMEによる署名
• ユーザーが上書き可能なID
• ユーザーが設定を上書き可能

アカウントと制限に関するオプションには、ダッシュボードに表示されるツールチップがあり、必要な要件とサポートされているOSのバージョンが記載されています。

デバイスの状態

デバイスの概要

ダッシュボードから、デバイスの行をクリックしてデバイスを開きます。 → デバイス を選択します。 ページタイトルには、デバイスのモデル名（利用可能な場合）と、内部IDが表示されます。

過去のデータと現在の登録状況

デバイスが複数の登録状態にある場合、Cerberus Enterprise は読み取り専用の過去の記録を表示できます。その場合、ページには過去のデータという表示と、現在の登録データに戻るためのボタンが表示されます。

主要フィールド

この上部セクションでは、デバイスの識別情報、割り当て状況、および管理状態がまとめられています。一部のフィールドはプラットフォーム固有であり、AndroidまたはAppleデバイスでのみ表示されます。

• ID および モデル：読み取り専用の識別子。
• ユーザー：現在割り当てられているユーザー (もし割り当てられている場合) を表示します。ユーザーメニューから、ユーザーを開く、または ユーザーを変更、あるいは、ユーザーが設定されていない場合にユーザーを割り当てることができます。
• 管理モードおよび所有権：UI上では、ツールチップで表示されます。
• 状態：現在のデバイスの状態（アイコンとツールチップの詳細を表示します）。
• ADEプロファイル（Appleデバイスのみ）：割り当てられている自動デバイス登録プロファイル（該当する場合）を表示し、開いたり変更したりできます。
• ポリシー：割り当てられているポリシーを表示し、開いたり変更したりできます。また、ポリシーが設定されていない場合は、新しいものを割り当てることも可能です。
• ポリシーの準拠状況：（ポリシーが割り当てられている場合）デバイスがポリシーに準拠しているかどうかを示します。
• ポリシーのバージョン：（ポリシーが適用されている場合）デバイスに最新のポリシーバージョンが適用されているかどうかを示します。
• 登録日および最終ステータスレポート：登録日時と、最後に報告されたステータスのタイムスタンプ。
• 登録解除日時：デバイスが登録解除された日時が表示されます。

一部のデータとパネルは、デバイスのポリシーで対応するカテゴリが有効になっている場合にのみ利用可能です。詳細については、ステータスレポート および 位置情報とジオフェンス ページを参照してください。

パネル

デバイスエディターは、展開可能なセクションで構成されています。プラットフォームと状態に応じて、以下のパネルのいずれか、または複数が表示される場合があります。

• 位置情報マップ: タブパネルで、位置情報履歴を現在のデバイスで表示し、Android デバイスでは、ジオフェンスデータが利用可能な場合にジオフェンス遷移を表示するジオフェンスタブがあります。
• コマンド：デバイスにコマンドを送信し、コマンド履歴を表示します（プラットフォームによって異なります）。
• セキュリティの状態 (Androidのみ): セキュリティの状態、Play Integrityの判定結果、およびセキュリティリスク。
• アプリケーションの状況 (Androidのみ): インストールされているアプリと、フィードバック/エラー報告。
• 管理対象アプリケーション (Appleデバイスのみ): 管理対象アプリの状態と、インストールに関する詳細情報。
• 準拠状況の詳細：デバイスが準拠していない場合に表示され、準拠していないポリシー設定の一覧を示します。
• ステータスレポート：デバイスから報告される追加データで、カテゴリと値のツリー構造で表示されます。
• 登録履歴：このデバイスで以前に実行された登録の履歴をリスト形式で表示します。

ロケーションパネルのタブ

The 位置情報マップパネルは現在、タブを使用しており、位置情報履歴とジオフェンスの遷移が分離されます。

• 位置情報: 履歴フィルタ、日付範囲検索、位置情報マーカー、精度円、および現在のデバイスのライブトラッキングコントロールを表示します。
• ジオフェンス (Androidのみ): ジオフェンスの遷移履歴を専用の地図上に表示します。期間フィルター、オプションでアーカイブされたジオフェンスの切り替え、および遷移リストをサイドに表示します。

これらのタブの完全な動作については、位置情報マップ を参照してください。

操作

ページ下部では、プラットフォーム、デバイスの状態、およびライセンス状況に応じて、データを更新したり、さまざまな操作を実行したりできます。

• データを更新：デバイスの情報を再読み込みします。
• デバイスの無効化 / デバイスの有効化 (Androidのみ): 対応する状態でのみ利用可能です。
• デバイスの登録解除: デバイスからの管理を解除します。具体的な動作は、プラットフォームと所有権によって異なります（例えば、Androidでは、職場プロファイルを削除したり、工場出荷時の状態に戻したりする場合があります）。
• デバイスの削除：デバイスがすでに登録解除されている場合に利用可能で、そのレコードを削除できます。

コマンド

デバイスエディターには、管理対象デバイスに対してリモートコマンドを送信するための コマンド パネルが用意されています。利用可能なコマンドは、プラットフォーム（AndroidまたはApple）およびデバイスの状態によって異なります。

デバイスが現在オンラインでない場合、コマンドは送信され、デバイスがインターネットに接続された時点で実行されます。Androidのコマンドについては、期間 パラメータを設定することで、未配信のコマンドが有効な期間を決定できます。

Android (AMAPI) コマンド

Androidデバイスの場合、コマンドパネルには、期間フィールド（値 + 単位）と、コマンド選択肢があります。一部のコマンドには、追加のパラメータが必要で、これらのパラメータはコマンドを選択すると動的に表示されます。

共通パラメータ

• 有効期間: コマンドが即時に実行できない場合に、そのコマンドが有効な期間を示します。
• コマンド: デバイスに送信するアクションを選択します。

追加フィールドを持つコマンド。

• パスワードのリセット：新しいパスワードと新しいパスワードの確認が必要です。オプションのトグルには、現在ロック、入力必須、および起動時に認証情報を要求しないが含まれます。
• アプリのデータを消去: ターゲットのパッケージ名>が必要です。
• 紛失モードを開始するには、紛失メッセージが必要です。オプションで、住所、会社名、電話番号、メールアドレスなどの連絡先情報を設定できます。
• デバイス情報を要求：要求するデバイス情報を選択する必要があります。
• eSIMを追加：アクティベーションコードとアクティベーション状態が必要です。
• eSIMの削除には、eSIMのICCIDが必要です。
• 初期化：初期化理由のメッセージ（ユーザーに個人デバイスで表示されます）と、オプションの初期化フラグをサポートします。

コマンド履歴

送信コントロールの下には、ダッシュボードにコマンド履歴のテーブルが表示されます。このテーブルは並べ替え可能で、ページングに対応しています。いくつかの行を展開すると、追加のパラメータや実行の詳細を表示できます。

Androidの履歴項目

• 作成日
• コマンド
• 有効期限
• ステータス
• エラー
• 実行日

Apple (MDM) コマンド

Appleデバイスの場合、コマンドパネルには、コマンドを選択するためのセレクターが用意されています。一部のコマンドには、追加の入力が必要です。Androidと同様に、コマンド履歴のテーブルが以下に表示されます。

追加フィールドを持つコマンド。

• InstallApplication：アプリケーションのバンドルIDが必要です。
• SendNotification：通知メッセージが必要です（最大200文字）。

Appleの履歴カラム

• 作成日
• コマンド
• ステータス
• ステータス表示時間

更新

コマンドパネルの「更新」アクションを使用して、コマンド履歴を再読み込みします。

位置情報マップ

このページでは、デバイスの概要で利用可能な、デバイス固有のロケーションツールについて説明します。 パネルには、位置情報履歴用の位置情報タブと、Android デバイスではジオフェンス遷移用のジオフェンスタブが含まれています。

前提条件

デバイスの位置情報データは、デバイスのポリシーで位置情報レポートが有効になっている場合にのみ表示されます。有効にするには、ポリシーを開き、位置情報とジオフェンス → 位置情報のレポート をオンにします。詳細については、位置情報とジオフェンス を参照してください。

完全に管理されていないデバイスでは、位置データは引き続きCerberus Enterpriseアプリが必要な位置情報へのアクセス許可を持っていることと、デバイスの位置情報サービスが有効になっていることに依存する場合があります。

ダッシュボードから利用可能なグローバルマルチデバイスマップについては、ダッシュボードの場所マップ を参照してください。

データ読み込み中、またはデータがない状態

• 位置情報データの読み込み中、パネルは地図上に読み込み表示を重ねて表示します。
• デバイスが位置情報データを持っていない場合、パネルは 位置情報データが利用できません というメッセージと、割り当てられたポリシーで位置情報レポートを有効にするよう促す通知を表示します。
• 日付フィルターが有効になっている場合、一致するサンプルがない場合、パネルは選択した日付範囲でデータがありませんと表示されます。

ロケーションタブ

デバイスの履歴を確認するには、場所タブを開きます。利用可能なフィルタには、最終確認された場所、最近の履歴範囲、カスタム日付範囲、ライブトラッキングが含まれます。

• 最終確認位置: 最後に確認された位置を表示します。
• 今日、過去7日間、および過去30日間：選択した期間の記録された場所を表示します。
• 検索: カスタムの日付範囲を選択できます。
• ライブ: 現在のデバイスのライブ追跡を開始または停止します。

マーカーの詳細

場所のマーカーをクリックすると、情報ウィンドウが開きます：

• 位置情報の記録のタイムスタンプ。
• 報告される精度（メートル単位）。
• 報告された速度、デバイスが提供する場合。
• 報告された方位、デバイスが提供する場合。

精度円

情報ウィンドウが開いている間、マーカーの周囲に精度を示す円が表示されます。この円の半径は、報告された精度（メートル単位）に対応しています。情報ウィンドウを閉じると、円は非表示になります。

生体追跡

デバイス履歴ビューで、Liveフィルターを選択すると、その特定のデバイスに対するリアルタイム追跡リクエストが開始されます。Cerberus Enterpriseは、リクエストを開始する前に確認を求めます。

• ライブトラッキングは、15分まで実行されます。
• デバイスは、ライブトラッキングが有効な間、通知を表示します。
• ライブトラッキング中は、パネルが最新の場所を継続的に更新し、ライブインジケーターが表示され続けます。
• ライブフィルターを再度選択すると、タイムアウト前にライブトラッキングを停止できます。

ジオフェンス タブ

Android デバイスでは、2 番目のタブに、割り当てられたポリシーで定義されたジオフェンスから生成されたジオフェンス遷移が表示されます。デバイスにジオフェンスデータが存在する場合にこのタブが利用可能です。

• 地図には、現在のジオフェンス領域と、記録された遷移ポイントが表示されます。
• 右側の遷移リストでは、入力と出力イベントを確認できます。
• 利用可能なフィルタは今日、過去7日間、過去30日間、およびカスタムの日付範囲検索です。
• アーカイブされたも同様に、現在のポリシーに存在しなくなった古いジオフェンス定義に関連するトランジションが表示されます。

ジオフェンス移行の詳細

遷移を選択すると、地図上にその詳細が表示され、対応するリスト項目が強調表示されます。利用可能な場合、Cerberus Enterpriseは、その遷移のデバイス座標と報告された精度も表示します。

ダッシュボードの場所マップ

ダッシュボードの場所マップは、位置情報データを送信しているデバイスの最新の位置情報をグローバルビューで表示します。ダッシュボードから開き、同じGoogleマップ上で複数のデバイスを確認してください。

前提条件

デバイスは、割り当てられたポリシーで位置情報レポートが有効になっている場合にのみ、このマップに表示されます。有効にするには、ポリシーを開き、位置情報とジオフェンス → 位置情報をレポート をオンにします。詳細については、位置情報とジオフェンス を参照してください。

完全に管理されていないデバイスでは、位置データは引き続きCerberus Enterpriseアプリが必要な位置情報へのアクセス許可を持っていることと、デバイスの位置情報サービスが有効になっていることに依存する場合があります。

デバイスエディターで利用可能なデバイスごとの履歴やジオフェンス遷移については、位置情報マップ を参照してください。

データ読み込み中、またはデータがない状態

• 位置情報データの読み込み中、地図には読み込み中オーバーレイが表示されます。
• 現在位置情報データが利用可能なデバイスがない場合、位置情報データが利用できませんというメッセージが表示されます。

マーカーとクラスタ

位置情報データが利用可能なデバイスは、それぞれマーカーとして表示されます。多くのデバイスが近接している場合、地図が見やすいように、自動的にマーカーがクラスタ化されます。

現在ライブトラッキング中のデバイスは、アニメーション付きのマーカーで強調表示され、地図上で見つけやすくなっています。

マップコントロール

地図にデバイスの位置情報が含まれる場合、Cerberus Enterpriseは地図の右上隅にアクションボタンを表示します。

• 現在地: ブラウザの位置情報を利用し、地図を現在地へ移動させ、報告された精度範囲に合わせます。
• 地図を再センタリング: 現在表示されているデバイスマーカーを中心に再度地図を調整します。
• リアルタイムトラッキング中ピル: 1つ以上のデバイスがリアルタイムトラッキングされている場合に表示され、現在アクティブなデバイスの数を示します。
• ライブトラッキングを停止：ライブトラッキングピル内のアイコンボタンは、確認後に現在トラッキング中のすべてのデバイスのライブトラッキングを停止します。

マーカーの詳細

マーカーをクリックすると、情報ウィンドウが開きます：

• デバイスのモデルと内部Id。
• 最新の報告された位置情報のタイムスタンプ
• 報告された精度はメートル単位です。
• 報告された速度、利用可能な場合。
• 報告された見出しまたは方位、利用可能な場合。

情報ウィンドウ内のデバイス識別子は、対応するデバイスの概要ページを開くリンクです。

インフォウィンドウのアクション

各情報ウィンドウには、選択したデバイスのアクションボタンも含まれています。

• デバイスのリンク：情報ウィンドウの最上部に表示されるデバイス名とIDは、対応するデバイスの概要ページを開きます。
• 拡大：選択したデバイスを中心とし、報告された精度円をより近くに表示します。
• ライブ：そのデバイスのライブトラッキングを開始します。 ライブトラッキングが既に有効な場合は、確認後に同じボタンで停止します。
• ライブトラッキング中：このステータスバーが表示されている場合、選択したデバイスがリアルタイムで追跡されていることを示します。

精度円

マーカーを選択すると、地図上に位置の精度を示す円が表示されます。その円の半径は、報告された精度と一致します。

ライブトラッキングの動作

情報ウィンドウからライブトラッキングを開始すると、そのデバイスにリアルタイムの追跡リクエストが送信されます。Cerberus Enterpriseは、セッションがアクティブな間、自動的にマップを更新します。

• 各ライブトラッキングセッションは、最大15分まで実行されます。
• デバイスは、ライブトラッキングが有効な間、通知を表示します。
• ライブトラッキングは、選択したデバイス情報ウィンドウまたは、地図上のライブトラッキング全体を停止ボタンから停止できます。

プライベートアプリ

このダッシュボードのセクションから、独自のAndroidプライベートアプリをアップロードしたり、デバイスで配布するためのWebアプリを作成したりできます。

必要な情報は、アプリのタイトルとAPKファイルのみです。プライベートアプリは、自動的に貴社の組織で承認され、通常は10分以内に配布可能になります。1日にアップロードできるプライベートアプリの総数は15個です。Webアプリもこの合計に含まれます。

プライベートアプリを初めて公開する際には、アプリやGoogle Play開発者アカウントに関するPlay Consoleからの通知を受け取るためのメールアドレスをご登録ください。また、管理対象のPlayは、お客様の組織名義で自動的にPlay開発者アカウントを作成します。このアカウントの登録料は無料です。

iframeから公開されるプライベートアプリ：

• 他のアプリとは異なり、チェックの対象外です。そのため、公開アプリに変換することはできません。
• 譲渡できません。アプリの所有権を別のGoogle Play開発者アカウントに移行することはできません。

詳細については、Managed Google Play のヘルプ

証明書管理

ダッシュボードには、証明書をインポート、表示、および削除するための 証明書 セクションがあります。証明書の行をクリックすると、証明書エディターが開きます。

証明書リスト

証明書は、並べ替えやページ分割が可能な表で表示されます。リストには、クライアント証明書と認証局（CA）の両方が含まれます。

フィルター

ページ上部にあるチップリストを使用して、フィルタを有効にすることができます。一部のフィルタは、互いに排他的です。

• すべて：すべての証明書を表示します。
• クライアント：クライアント証明書のみを表示します。
• 認証局（CA）：CA証明書のみを表示します。
• 検索：テキストフィールド（ラベル：証明書の名前またはインポートしたファイル名）を表示し、証明書の名前またはインポートしたファイル名で検索できます。
• ユーザーなし：どのユーザーにも関連付けられていないクライアント証明書を表示します。

テーブルの列

• 名前
• 種類
• 有効期限
• ユーザー (クライアント証明書で使用)
• インポートされたファイル名
• インポート日

操作

• 証明書の開く：証明書エディタを開くには、行をクリックしてください。
• 証明書の削除：これは、証明書がユーザーまたはポリシーに関連付けられていない場合、およびデバイスで使用されていない場合にのみ利用可能です。また、ライセンスが期限切れの場合、この機能は無効になることがあります。
• 複数行選択：複数行選択を有効にすると、一度に複数の証明書を削除できます。ただし、削除可能な証明書のみが選択可能です。
• 更新：証明書の一覧を再読み込みします。

証明書をインポートします。

証明書をインポートするには、証明書をインポート をクリックし、1つまたは複数のファイルを選択します。 サポートされているファイル形式は、インポートボタンのツールヒントに表示されます。

クライアント

サポートされている形式: Base64 エンコードされた PKCS#12 (.p12 / .pfx)。

クライアント証明書は、企業ネットワーク上のユーザーまたはデバイスを識別します。クライアント証明書は、特定のユーザーに関連付けることができます。

各クライアント証明書は、オプションで特定のユーザーに割り当てることができます。これにより、多くのデバイスに同じWi-Fi EAP構成を適用できます。ポリシーのネットワーク設定セクションで、ユーザーのEAP認証情報オプションを使用して設定できます。

または、ユーザーページから、ユーザーに証明書を割り当てることができます。

証明機関 (CA)

対応形式: Base64エンコードされたX.509形式 (.crt / .pem / .cer / .der)。

CA証明書は、認証局を識別し、デバイスに対して、そのCAが発行したすべての証明書は信頼できると指示します。ダッシュボードでは、インポートされたX.509証明書がCA証明書であるかどうかを検証します。

証明書エディター

証明書を開くと、エディターで主要なフィールドと、読み取り専用の証明書情報パネルが表示されます。

主要フィールド

• 名前 (必須)
• ID (読み取り専用)
• 種類 (読み取り専用)
• 有効期限 (読み取り専用)
• インポート日 (読み取り専用)
• インポートされたファイル名 (読み取り専用)

ユーザー連携 (クライアント証明書)

クライアント証明書の場合、エディターにはユーザーフィールドが表示されます。ユーザーが割り当てられている場合は、メニューからユーザーを開く、ユーザーを変更、またはユーザーを関連付け解除できます。ユーザーが割り当てられていない場合は、ユーザーアクションボタンを使用して割り当てることができます。

証明書を削除します。

証明書の削除は、現在ユーザーに関連付けられている場合、またはポリシーで使用されている場合に無効になります。また、ライセンスの有効期限が切れている場合にも無効になることがあります。

デバイス

デバイス

ダッシュボードの デバイス セクション（ダッシュボード → デバイス）には、アカウントに登録されているすべてのデバイスが一覧表示されます。このページから、デバイスのリストをフィルタリングしたり、デバイスの詳細を開いたり、デバイスの無効化や登録解除などの操作を実行したりできます。

フィルター

ページの上部には、チップのリストを使って、1つまたは複数のフィルターを有効にすることができます。選択されたチップは、現在有効になっているフィルターを表します。

利用可能なフィルター

• すべて：すべてのデバイスを表示します。
• Android：Androidデバイスのみを表示します。
• Apple：Appleデバイスのみを表示します。
• 会社所有：会社が所有するデバイスのみを表示します。
• 個人所有：個人所有のデバイスのみを表示します。
• プロファイル所有者：Androidの職場プロファイルデバイスのみを表示します。
• デバイス所有者：Androidの完全に管理されたデバイスのみを表示します。
• 有効：アクティブな状態のデバイスのみを表示します。
• 準拠：ポリシーに準拠しているデバイスのみを表示します。
• 準拠：ポリシーに準拠していないデバイスを表示します。
• セキュリティ：セキュリティレベルが高いデバイスを表示します。
• セキュリティが低い：セキュリティレベルが低いデバイスを表示します。
• ポリシーが更新されていません：ポリシーの更新が保留中のデバイスを表示します。
• ステータスが更新されていません：過去72時間にステータスを報告していないデバイスを表示します。
• アプリケーションのエラー：エラーフィードバックを送信したデバイスを表示します。
• 検索：テキスト検索フィールドを有効にします。

検索

検索フィルターを有効にすると、ラベルが ID、モデル、またはユーザー と表示されたテキストフィールドが表示されます。リストは、入力が止まると自動的に更新されます。

デバイステーブル

デバイスは、並べ替えやページ分割が可能な表で表示されます。行をクリックすると、デバイスエディタが開きます。

列

• ID: デバイスの内部識別子。
• MDM：プラットフォーム（AndroidまたはApple）。
• モデル：デバイスのモデル。
• 所有権：会社所有または個人所有（詳細なツールチップあり）。
• 管理モード：管理モード（詳細なツールチップ付き）。
• ポリシー：現在適用されているポリシー。
• ユーザー：関連するユーザー（利用可能な場合、名前、メールアドレス、またはID）。
• 最終レポート：最新のレポートのタイムスタンプ（利用可能な場合）。
• 状態：デバイスの状態（詳細なツールチップ付き）。
• コンプライアンス：コンプライアンス状態を示すインジケーター。
• セキュリティ：セキュリティ状況（ツールチップで詳細を表示）。
• アプリのエラー：アプリのエラーを示すインジケーター。

更新とページネーション

• リストを再読み込みするには、更新アクションを使用してください。
• テーブルはページ分割されており、1ページあたり10件、25件、または50件のアイテムが表示されます。

デバイス操作

各デバイスの行には、プラットフォームとデバイスの状態に応じて、実行できる操作が表示されます。ライセンスの有効期限が切れている場合や、ライセンスが停止されている場合は、一部の操作が無効になることがあります。

デバイスごとの操作項目

• デバイスの無効化 / デバイスの有効化: サポートされている状態のAndroidデバイスでのみ利用可能です。
• デバイスの登録解除：管理を解除します。Androidでは、この操作により職場プロファイルが消去されるか、工場出荷時の状態に戻される可能性があります（所有権によって異なります）。Appleでは、ポリシー設定が削除されます。
• デバイスの削除：既に登録解除されたデバイスに対して有効です（システムからの記録を削除します）。

複数行の選択

テーブルの下にあるアクションバーから、複数行の選択を有効にできます。有効にすると、複数の行を選択し、選択したデバイスに応じて、無効化、有効化、デバイス登録解除、または削除などの一括操作を実行できます。

Apple Business Managerとの同期

Apple Managementが設定されており、自動デバイス登録トークンが存在する場合、ページにApple Business Managerからデバイスをインポートするための「ABMからの同期アクションが表示されることがあります。

デバイスを登録する

デバイスの登録 を使用して、登録トークンセクションを開き、新しいデバイスの登録を開始します。

ユーザー

ユーザー

ダッシュボードの ユーザー セクション（ダッシュボード → ユーザー）には、アカウントに登録されているすべてのユーザーが一覧表示されます。このページから、ユーザーを検索したり、ユーザーエディターを開いたり、新しいユーザーを作成したり、現在デバイスに関連付けられていないユーザーを削除したりできます。

検索

ページ上部には、ラベルが 検索 で、プレースホルダーが 名前、ユーザー名、またはメールアドレス の検索フィールドがあります。 リストは、入力が止まると自動的に更新されます。

ユーザーテーブル

ユーザーは、並べ替えやページ分けが可能なテーブルで表示されます。行をクリックすると、ユーザーエディターが開きます。

列

• ID: 内部ユーザー識別子。
• 氏名: ユーザーの氏名。
• 名字: ユーザーの名字。
• ユーザー名: ユーザー名 (多くの場合、ディレクトリのユーザー名です).
• メールアドレス: ユーザーのメールアドレスです。
• デバイス: 現在、ユーザーに関連付けられているデバイスの数。
• Wi-Fi証明書：ユーザーにWi-Fi証明書が割り当てられているかどうかを示すインジケーター。

更新とページネーション

• 更新操作により、リストが再読み込みされます。
• テーブルはページ分割されており、1ページあたり10件、25件、または50件のアイテムが表示されます。

ユーザーのアクション。

新しいユーザーを作成

新しいユーザーを作成するには、新しいユーザーの作成 をタップしてください。ライセンスの有効期限が切れている場合は、この機能は利用できません。

Google Workspace からの同期

Google Workspace のディレクトリ同期がアカウントで利用可能な場合、ページに Sync from Google Workspace と表示されます。 同期を開始すると、リクエストの処理中に進捗状況を示すインジケーターが表示されます。

ユーザーを削除する

ユーザーを削除できるのは、そのユーザーがどのデバイスにも関連付けられていない場合のみです（デバイス列の値が0である必要があります）。 ライセンスの有効期限が切れている場合や、ライセンスが終了している場合は、削除機能が無効になります。

複数行の選択と一括削除

テーブルの下にあるアクションバーから、複数行の選択を有効にできます。このモードでは、複数のユーザーを選択し、まとめて削除することができます。

• 対象者：削除対象として選択できるのは、デバイスの数が0のユーザーのみです。
• すべて選択：「すべて」のチェックボックスは、現在のページにあるすべての選択可能な行を選択します。
• 一括削除：選択されたユーザーの削除は、選択された行がない場合、またはライセンスが期限切れまたは失効した場合に無効になります。

Wi-Fi証明書とEAP

「Wi-Fi証明書」列は、ユーザーに現在証明書が割り当てられているかどうかを示します。ユーザー証明書は、通常、Wi-Fi EAP（例えばEAP-TLS）の設定で使用されます。証明書の割り当てと管理については、証明書管理 を参照してください。

ユーザーエディター

ユーザーエディターは、ダッシュボード → ユーザー のユーザー一覧から、該当するユーザーの行をクリックすることで利用できます。これにより、ユーザーの詳細情報を編集したり、ユーザーごとのWi-Fi EAP認証情報を設定したり、関連するデバイスを表示したりできます。

ユーザー詳細情報

上部のセクションには、ユーザーの主要な情報が表示されます。一部のフィールドは必須であり、入力されていない場合や無効な値が入力された場合は、エラーメッセージが表示されます。

• ID：読み取り専用の識別子。
• 氏名：必須項目です。
• 姓：必須項目です。
• ユーザー名：必須項目です。
• メールアドレス：必須項目であり、有効なメールアドレスである必要があります。
• 電話番号：任意項目です。
• Googleアカウント：任意項目です。指定する場合は、有効なメールアドレスである必要があります。

Google認証 デフォルトポリシー

Google認証が有効になっているGoogle Workspace環境では、エディタで「Google認証 デフォルトポリシー」が表示されることがあります。 これは、このユーザーによってGoogle認証を使用して登録されたデバイスに適用されるポリシーです。

• ポリシーの変更：ポリシー選択ダイアログを開きます。
• ポリシーを開く：選択されたポリシーをポリシーエディタで開きます（ポリシーが設定されている場合）。
• 新しいデフォルトポリシーを選択した後、変更を適用するには、ユーザーを保存する必要があります。エディタには、保存を促す通知が表示されます。

Wi-Fi EAP 認証情報

「Wi-Fi EAP認証情報」セクションは、ユーザーに割り当てられたポリシーにWi-Fi EAPの設定が含まれている場合に、その設定をユーザーのデバイスに自動的にインストールするために使用されます。 Wi-Fi EAPの設定は、Androidポリシーのネットワーク設定の一部です。

クライアント証明書

ユーザーにクライアント証明書をオプションで割り当てることができます。証明書が割り当てられている場合、クライアント証明書というフィールドに表示され、メニューから操作を実行できます。証明書が割り当てられていない場合は、そのフィールドに証明書は割り当てられていませんと表示され、証明書を割り当てることができます。

• 証明書の割り当て：証明書の選択ダイアログを開きます。
• 証明書を開く：証明書エディタを開きます。
• 証明書の変更：別のクライアント証明書を選択します。
• 証明書の解除：ユーザーから証明書を削除します。システムは、このユーザーに関連付けられているすべてのデバイスからも証明書を削除します。

証明書のインポートと管理については、証明書管理 をご参照ください。

ID、匿名ID、およびパスワード

• ID：ユーザーの識別情報。トンネリングを行う際の外部プロトコル（PEAP、EAP-TTLS）で使用されます。
• 匿名ID：トンネリングで使用される外部プロトコル（PEAP、EAP-TTLSなど）における識別情報です。指定しない場合は、空文字がデフォルト値になります。
• パスワード：EAP方式でパスワードが必要な場合に、ユーザーのパスワードを入力します。指定しない場合、デバイスがユーザーにパスワードの入力を促すことがあります。表示/非表示の操作で、パスワードの表示/非表示を切り替えることができます。

関連付けられたデバイス

「関連付けられたデバイス」セクションでは、現在ユーザーとリンクされているデバイスの一覧が表示されます。ユーザーが1つ以上の関連付けられたデバイスを持っている場合、そのユーザーを削除することはできません。

保存して削除

• ユーザーの保存：フォームが有効で、未保存の変更があり、ライセンスが有効である場合にのみ有効になります。保存中は、進捗状況を示すインジケーターが表示されます。
• ユーザーの削除：デバイスに関連付けられているユーザー、またはライセンスが期限切れまたは失効している場合は無効になります。削除が許可されている場合、確認ダイアログが表示されます。ユーザーがデバイス登録トークンに割り当てられている場合、それらのトークンで登録されたデバイスは、もはやユーザーに割り当てられなくなる可能性がある旨の警告が表示されます。

未保存の変更点がある警告

未保存の変更がある場合、ページを離れると、ダッシュボードで変更を破棄するかどうかを確認するメッセージが表示されます。

アカウント

設定

「設定」ページ（ダッシュボード → 設定）では、アカウントおよびライセンス情報がまとめられており、請求、プラットフォーム設定（Android Management および Apple Management）、およびオプションのディレクトリ/トークン連携の管理操作が可能です。

ライセンスバナー（有効期限：満了間近 / 満了済）

ライセンスが 有効期限切れ間近、期限切れ、または 失効した場合、画面上部に目立つバナーが表示されます。 サブスクリプションの状態に応じて、お支払い管理（Stripeの顧客ポータル）へのリンク、または ライセンス購入へのリンクが表示されます。

ライセンスが期限切れになると、アカウントはデバイスの登録解除のみに制限されます。猶予期間後、アカウントが削除され、デバイスが自動的に登録解除される場合があります。

アカウント情報

「アカウント情報」カードには、読み取り専用のフィールドが表示されます。

• ユーザー名
• 企業名
• 組織ID

パスワードを変更する

GoogleまたはAppleでサインインしていない場合、カードにはパスワードの変更というアクションが表示されます。これにより、パスワード変更の手順を続けるためのダイアログが開きます。

ライセンス情報

「ライセンス情報」カードには、現在のライセンスの状態と、デバイスの利用制限が表示されます。また、営業担当者への連絡、請求の管理、またはライセンスの購入に関する操作も提供しています。

• ライセンスの状態：有効または期限切れ（アイコンとツールチップを表示）。
• トライアル期間：アカウントが現在トライアル期間中の場合に表示されます。
• ライセンス対象のデバイス：ライセンスによって許可されるデバイスの最大数。さらにデバイスが必要な場合は、より多くのデバイスが必要ですか？というリンクをクリックすると、サポートに連絡するためのメッセージが開きます。
• 次の自動更新予定日：これは、自動更新されるアクティブなサブスクリプションに表示されます。それ以外の場合は、カードに有効期限が表示されます。

Android 管理

Android 管理カードは、お客様の企業におけるAndroid Managementの状態を表示します。Android Managementがまだ設定されていない場合は、カードにAndroid Managementの設定というアクションが表示され、設定フローが開きます。

設定済み状態

Android管理を設定すると、このカードに以下の情報が表示されます。

• 管理ID
• Google Workspaceとの同期 (ディレクトリ同期が有効な場合、バッジが表示されます)
• 管理対象のGoogle Playアカウントの設定（該当する場合、Google Play管理設定へのリンクが表示されます）。
• Google 管理コンソール（該当する場合、リンクが表示されます）。
• Google Workspaceとの同期（ディレクトリの同期が設定されていない場合に表示されます。画面下部の操作手順を表示します。）

Apple デバイス管理

Apple デバイス管理カードは、貴社の Apple デバイスの管理 (MDM) 状況を表示します。Apple の管理がまだ設定されていない場合は、カードに Apple 管理の設定というアクションが表示され、設定ウィザードが開きます。

設定済み状態

Apple デバイスの管理設定が有効になっている場合、このカードには以下の情報が表示されます。

• Apple ID
• Apple Push Certificateの有効期限: 有効期限の日付とアイコンが表示されます。有効期限が近づいている場合や期限切れの場合は、バッジをクリックすると、更新手順が開きます。
• ABMトークンの有効期限：Apple Business Managerのトークン有効期限が表示されます（必要な場合は、クリック可能なバッジが表示されます）。
• VPPトークン：組織名とApple Volume Purchase Programのトークンの有効期限を表示します（必要な場合は、クリック可能なバッジが表示されます）。
• Apple Business Manager ポータル：ABMトークンが存在する場合に表示されるリンク。
• Apple Business Managerとの同期およびApple Volume Purchase Programとの同期：トークンが見つからない場合に表示されます。

Appleの管理機能を使用するには、APNs証明書のセットアップが必要です。必要な場合は、Apple Management setup (APNs) を参照してください。

設定とプライバシー

「設定とプライバシー」の項目には、マーケティング設定のオン/オフ切り替え機能と、利用規約およびプライバシーポリシーへのリンクがあります。 設定を保存 をクリックすると、変更が適用されます（保存中は進捗状況が表示されます）。

フィードバックを送信する

アカウントでサブスクリプションが有効になっている場合、ページに以下のリンクを含むフィードバックカードが表示されることがあります：ご意見・ご要望はこちら。このカードには、機能改善のご要望 や、外部のレビューサイトへのリンクが含まれています。

インラインでの設定および更新手順

ページ下部には、現在の状況に応じて展開可能なヘルプパネルを表示できます（たとえば、証明書/トークンが不足している場合や期限が切れている場合など）。

Apple Push Notification (APNs) 証明書の更新

APNs証明書が有効期限切れまたは期限切れになった場合、CSRファイルをダウンロードし、Appleのポータルで証明書を更新し、新しい証明書をCerberus Enterpriseにアップロードする手順が記載されたパネルが表示されます。

Apple Business Manager (ABM) との同期

ABMトークンが見つからない、期限切れ、または期限が近づいている場合、ページにApple Business Managerからトークンをダウンロードし、Cerberus Enterpriseにアップロードするための手順が記載されたパネルが表示されます。

Appleのボリューム購入プログラム（VPP）と同期します。

VPPトークンが見つからない場合、または有効期限が切れている、または期限が切れると、Apple Business Managerからコンテンツトークンをダウンロードし、Cerberus Enterpriseにアップロードするための手順が記載されたパネルが表示されます。

Google Workspaceとの同期

Google Workspaceのディレクトリ同期が設定されていない場合、統合に関する説明と認証ボタンを表示するパネルが表示されます。 また、必要なGoogle OAuthのスコープは次のとおりです: https://www.googleapis.com/auth/admin.directory.user.readonly。

Androidの初期設定については、Android Management setup を参照してください。

マルチテナンシー

マルチテナンシーの概要

マルチテナンシーセクションは、単一のログインで複数の顧客エンタープライズを管理するMSPおよびエンタープライズマネージャのアカウント向けに提供されます。この章では、エンタープライズスコープモデル、エンタープライズの切り替え、管理対象エンタープライズの管理、およびサブアカウントについて説明します。

マルチテナンシーアカウントをご希望の場合は、enterprise@cerberusapp.com までお問い合わせください。

コアとなる概念

• メインのマルチテナンシーアカウント：グローバルなマルチテナンシーワークスペースにアクセスできる、プライマリマネージャーアカウントです。
• サブアカウント：メインアカウントによって作成された委任されたマネージャーアカウントで、選択可能なエンタープライズの割り当てが可能です。
• 選択されたエンタープライズコンテキスト：日々の運用にダッシュボードで現在表示されているアクティブなエンタープライズ。
• 委任：企業オーナーが許可する権限で、マネージャーアカウントがその企業に入り、管理できるようになります。

ナビゲーションモデル

エンタープライズコンテキストが選択されていない場合、サイドナビゲーションには、エンタープライズや、メインアカウントの場合、サブアカウントといったマルチテナント領域が表示されます。エンタープライズに入力すると、ダッシュボードは標準のシングルエンタープライズナビゲーション（ホーム、ユーザー、デバイス、登録、ポリシーなど）に切り替わります。

権限と委任

各管理対象企業には所有者がいます。所有者はいつでもその企業にアクセスできます。所有者でないマネージャーアカウントは、委任が付与された場合にのみ企業にアクセスできます。

所有者と委任の状態は、企業カードに直接表示され、企業に入る前にアクセス範囲を明確にします。

ライセンスと請求に関する操作

マルチテナントビューでは、ライセンス状況、デバイス制限、および企業向け課金アクションが表示されます。企業サブスクリプションの状態と権限に応じて、カードに課金管理またはライセンス購入が表示されることがあります。

マルチテナントアカウントで作成されたエンタープライズでは、ライセンス管理はマルチテナントユーザーによって行われます。メインアカウントは常にライセンスを管理できますが、サブアカウントはメインアカウントがライセンスの管理をサブアカウントに対して有効にした場合にのみ管理できます。

この章のページ

• 管理対象企業: 検索、フィルター、カード詳細、および企業作成。
• Enterprise switching: 上位スイッチングの動作とスコープの移行。
• サブアカウント: 委任されたオペレーター、割り当て、および資格情報の管理。

管理対象エンタープライズ

エンタープライズ ページ（ダッシュボード → エンタープライズ）は、管理対象エンタープライズへのアクセス制御センターです。マルチテナントアカウントで表示されるすべてのエンタープライズがリストされ、フィルタリング、所有権/委任の確認、エンタープライズコンテキストへの入力、および新しい管理対象エンタープライズ（メインアカウントのみ）の作成が可能です。

検索と絞り込み

• 企業を検索：企業名または企業IDで絞り込みます。
• 委任：すべて、委任済み、または委任されていない。
• ライセンスの状態: すべて、有効、満期限、期限切れ、または終了。

エンタープライズカード

各エンタープライズカードには、主要な管理メタデータが表示されます。

• ライセンス状況をアイコンバッジとコンテキストツールチップで表示します。
• ライセンス認証済みデバイス（エンタープライズデバイス制限）。
• 次のスケジュール更新または有効期限、サブスクリプションの状態によって異なります。
• 委任状態（オーナー、許可済み、または許可されていない）。
• オーナーの表示名とユーザー名。

最近選択された企業

最近アクセスした企業は、最近選択された企業セクションにピン留めされ、繰り返しのコンテキスト切り替えを高速化します。

エンタープライズ操作

• 企業へ移行: 委任/所有権でアクセスが許可されている場合、選択した企業コンテキストを開きます。
• 請求書管理: 利用可能な場合とアクセス許可がある場合に、企業請求書管理を開きます。
• ライセンス購入: 課金が有効になっていない場合に、企業向け購入フローを開きます。

誰がライセンスを管理できますか

マルチテナントアカウントで作成されたエンタープライズの場合、ライセンス管理はマルチテナントユーザーによって制御されます。メインアカウントは、常にこれらのエンタープライズの課金とライセンス操作を管理できます。

サブアカウントは、メインアカウントが ライセンス管理 権限を サブアカウント ページで許可した場合にのみ、課金とライセンス操作を管理できます。

管理対象エンタープライズを作成

メインのマルチテナントアカウントは、下部の操作領域から管理対象エンタープライズを作成できます。

• エンタープライズ名は必須です。
• 企業ごとの管理者ユーザーの作成は、所有権モードを制御します。
• 有効にすると、管理者ユーザー名（メール形式）と管理者名は必須となります。
• 作成前に確認ダイアログが表示され、操作内容の概要と、必要に応じて、新しい管理者ユーザーにメールで一時的な認証情報が送信される旨の警告が表示されます。

所有モード

• エンタープライズ管理者による管理権限付与：新しい管理者ユーザーがエンタープライズを所有し、マルチテナントアカウントへの管理権限の委任が可能です。
• エンタープライズごとの管理者無効：エンタープライズはマルチテナントアカウントによって直接所有されます。

エンタープライズの割り当て

アカウントが設定されたエンタープライズの割り当てに達した場合、作成はブロックされ、現在のエンタープライズ数と最大エンタープライズ数のサポート連絡先メッセージが表示されます。

エンタープライズの割り当てに達すると、制限が増加するまで追加の管理対象エンタープライズを作成できなくなります。

エンタープライズ切り替え

トップツールバーにあるエンタープライズ切り替え機能により、マルチテナントユーザーはログアウトすることなく、委任されたエンタープライズ間を移動できます。少なくとも1つのエンタープライズコンテキストを選択できる場合に利用可能です。

スイッチ動作

• トリガーには、現在の企業名（または企業ID。名がない場合）が表示されます。
• メニューには、委任された/アクセス可能な企業が表示され、現在選択されている企業は選択済みとしてマークされます。
• 切り替え中は、スイッチのアクションが一時的に無効になります。これにより、同時範囲変更を防ぎます。

企業環境から離脱

スイッチャーメニューには 企業環境から離脱 が含まれており、現在の企業コンテキストをクリアし、グローバルなマルチテナントワークスペースに戻ります。

コンテキストリセットルール

企業への切り替えまたは企業からの離脱により、ダッシュボードの範囲がリセットされます。選択されたコンテキストに応じて、企業固有のページとデータが更新され、メニューの表示/非表示が切り替わります。

素早く運用コンテキストを変更するにはスイッチャーを使用してください。ただし、ポリシーの更新やデバイス操作などの機密性の高いアクションを実行する前に、選択したエンタープライズ名を確認してください。

サブアカウント

サブアカウント ページ (ダッシュボード → サブアカウント) は、メインのマルチテナントアカウントでのみ利用可能です。委任マネージャーユーザーの作成、管理対象エンタープライズの割り当て、課金権限の制御、およびサブアカウントの認証情報の維持が可能です。

サブアカウント一覧

各サブアカウントカードには、IDと管理コントロールが表示されます。

• 名前とユーザー名/メールアドレス。
• 管理された組織の複数選択アサイン。
• ライセンス管理の許可切り替え設定が可能です。
• パスワードのリセットと削除操作。

管理されたエンタープライズの割り当て

エンタープライズの割り当ては、管理されたエンタープライズのマルチセレクトフィールドを通じて編集されます。変更後セレクターを閉じると、更新を保存する前に確認を求められます。

ライセンス管理の権限

ライセンス管理を 制御するトグルは、サブアカウントがエンタープライズの課金/ライセンス管理操作にアクセスできるかどうかを制御します。

マルチテナントアカウントによって作成されたエンタープライズ環境では、メインアカウントは常にライセンス管理権限を持ちます。サブアカウントは、メインアカウントがこのトグルを有効にするとのみライセンス管理権限を受け取ります。

パスワードをリセット

パスワードをリセットすると、新しい仮パスワードが生成され、確認後にサブアカウントのメールアドレスに送信されます。

サブアカウントを削除

サブアカウントの削除には確認が必要です。削除すると、そのアカウントへの委任されたアクセス権は完全に失われます。

サブアカウントを作成

下部の操作パネルにある サブアカウントの作成 を使用して、新しい委任マネージャーを追加します。

• メール：必須項目で、メール形式として検証されます。
• 名前：必須項目として表示されます。
• ライセンスの管理が可能：オプションの初期課金権限。
• 作成前に、確認ダイアログが表示され、提供されたアドレスに仮パスワードのメールが送信される旨を通知します。

洞察力

MDMがビジネスにどのように役立つかについて掘り下げる記事をご紹介します。

キオスクモードとは？ ビジネス向けAndroid & Appleデバイスのロックダウンガイド

キオスクモードは、通常のスマートフォンやタブレットを、特定のビジネスツールへと変えます。Cerberus Enterpriseは、組織がデバイスを1つのアプリ、または少数の承認済みアプリにロックダウンし、小売POS、ゲスト向けのチェックイン、フリートナビゲーションなどのユースケースをサポートします。同時に、これらの特殊なデバイスのセキュリティ、サポート、および大規模な管理を容易にします。

中小企業向け：最適なMDMソリューションの選び方 – 7つのチェックリスト

MDM導入を検討段階の終盤に始めるのは、現実的な比較に留めることで簡単です。このチェックリストは、セキュリティ、AndroidおよびAppleのサポート、小規模チームでの使いやすさ、拡張性、プライバシー境界、総所有コスト、そして日々のサポート体制という、実際の導入で最も重要な7つの基準でベンダーを評価するのに役立ちます。

K-12の学校向けMDM活用ガイド：安全で集中できるデジタル教室の実現

学習に集中できる学校所有デバイスこそが最適です。Cerberus Enterpriseは、K-12組織が、管理されたアプリ、キオスクスタイルの制限、標準化された共有または貸出デバイスの設定、そしてデバイスの紛失、逸脱、教室の混乱を軽減するリモートリカバリー機能を通じて、生徒のデバイスを集中させるのを支援します。

現場の技術者を装備する：MDMによる現場での効率とセキュリティの向上

現場で働く技術者は、スケジュール、サービスノート、技術ドキュメント、顧客情報、および作業の進捗状況のためにモバイルデバイスに依存しています。Cerberus Enterpriseは、管理されたアプリ、標準化されたデバイスモデル、リモートサポートコマンド、および場所を認識した可視性を通じて、これらのデバイスの状態を維持するのに役立ちます。これにより、派遣の連携を改善し、現場でのセキュリティを強化することができます。

地図を越えて：MDMを活用した、よりスマートなフリート管理とドライバーの安全確保

フリート業務は、ナビゲーション、派遣、メッセージング、ロギング、および現場での実行のためにモバイルデバイスに依存しています。Cerberus Enterpriseは、管理されたアプリ、キオスクおよび専用デバイスのコントロール、セキュアな通信ポリシー、リモートトラブルシューティング、および場所を認識した監視を通じて、これらのデバイスを承認されたワークフローに集中させるのに役立ちます。これにより、ダウンタイムを削減し、より安全な運転業務をサポートできます。

ジオフェンス、ライブトラッキング、ロケーションマップが企業業務をどのように改善するか

Cerberus Enterpriseのロケーション機能は、組織がデバイスの可視化から、より実用的な運用制御へと移行するのに役立ちます。定期的な位置情報レポート、ライブトラッキング、ジオフェンス遷移、インタラクティブマップは、ロジスティクス、フィールドサービス、ヘルスケア、リテール、建設などの分散チームをサポートし、作業が行われている場所や、デバイスが重要なエリアに出入りするタイミングに関する洞察を提供します。

マルチテナンシーがMSPのMDMサービスの拡張と新たな収益源の創出を支援する方法

マルチテナンシーにより、MSP、リセラー、および複数の会社を抱える組織は、単一のCerberus Enterpriseアカウントで複数の企業を管理しながら、各環境を分離することができます。このモデルは、運用上の摩擦を軽減し、サービスの拡張性を向上させ、サブアカウントおよび顧客による明示的な管理を通じて委任されたアクセスをサポートします。また、ソフトウェアライセンスをオンボーディング、サポート、コンプライアンス、およびマネージドモバイルサービスと組み合わせたいプロバイダーにとって、より強力なビジネスチャンスを生み出します。

MDMソリューションで企業業務の効率化を実現します。

モバイルデバイス管理（MDM）により、社内デバイスの一元管理を実現し、登録、設定、メンテナンスを簡素化します。プロビジョニングの自動化と一括操作により、手作業のIT作業を削減し、すべてのデバイスでポリシーの一貫性を確保します。暗号化、コンプライアンス監視、リモートワイプなどのセキュリティ機能が、企業データを保護します。全体として、MDMは生産性を向上させながら、サポートコストと運用上の複雑さを軽減します。

Android Enterprise 管理における高度なセキュリティ

Android Enterprise では、仕事用プロファイルを使用して、同じデバイス上の個人用コンテンツとは異なる、企業アプリとデータを分離します。このコンテナ化により、IT 管理者が個別に管理する、別の暗号化環境が作成されます。セキュリティポリシーは、個人用アプリに影響を与えることなく、企業データの共有を制御できます。このアーキテクチャにより、個人用アプリケーションが侵害された場合でも、ビジネスデータは保護されます。

Apple iPhone MDM と自動セットアップ

AppleのMDMフレームワークにより、企業環境でiPhoneを一元管理できます。Apple Business Managerと組み合わせることで、初めてアクティベートされた際にデバイスが自動的に登録および構成されます。管理者は、企業アプリをサイレントに展開および構成したり、セキュリティ設定を適用したり、コンプライアンスを監視したりできます。この自動化により、デバイス構成の一貫性が確保され、セットアップエラーが削減されます。

モバイルデバイス管理の理解

モバイルデバイス管理は、企業システムにアクセスするモバイルデバイスを監視、保護、制御するための集中プラットフォームを提供します。主な機能には、セキュリティポリシーの適用、アプリケーションの管理、紛失したデバイスのロックまたはワイプなどがあります。MDMは、企業のデータを保護しながら、デバイスのコンプライアンスを維持するのに役立ちます。あらゆる規模の組織が、安全に拡大するモバイルワークフォースを管理できるようにします。

エンタープライズデバイス展開モデル

企業は、BYOD、CYOD、COPE、COBO、COSUなど、複数のデバイス所有モデルを採用できます。各モデルは、コスト、ユーザーの柔軟性、セキュリティ制御のバランスが異なります。BYODはユーザーの利便性を優先しますが、COBOとCOSUは企業の管理とセキュリティを最大化します。適切なモデルの選択は、規制要件、従業員のニーズ、IT管理能力によって異なります。

MDM、EMM、UEM とは何の違いか

MDM は、ポリシーの適用、構成制御、リモート管理によってモバイルデバイスの管理と保護に重点を置いています。EMM は、アプリケーションとコンテンツの管理も含む範囲を拡張し、UEM は、ラップトップやデスクトップを含むすべてのエンドポイントの管理を試みます。多くの中小企業にとって、フル EMM または UEM スイートは不要な複雑さを増します。実際には、堅牢な MDM 機能でほとんどのモバイル管理要件を満たすことができます。

個人所有のデバイスと従業員のプライバシーに対するMDM

最新のMDMシステムでは、コンテナ化技術を使用して、従業員所有のデバイス上で仕事と個人データを分離します。企業は、企業アプリやデバイスのコンプライアンス情報を含む仕事環境のみを管理および監視できます。写真、メッセージ、閲覧履歴などの個人データは、企業からアクセスできません。この技術的な分離により、従業員のプライバシーを保護しながら、セキュアなBYODプログラムを実現できます。

MDM投資対効果とビジネス価値

MDMは、単なるセキュリティ費用ではなく、戦略的な投資として評価されるべきです。デバイスの紛失による損失の削減、ITサポートコストの低減、業務効率の改善を通じて、財務的なリターンを生み出します。自動化された管理は、従業員の生産性向上とダウンタイムの削減にもつながります。さらに、強固なセキュリティは、データ侵害のリスクと財務的影響を軽減します。

HIPAA 準拠のデバイス管理

医療機関は、HIPAAのセキュリティ要件に従って、電子カルテデータを保護する必要があります。MDMは、暗号化、認証制御、セキュアなデータ転送、詳細な監査ログの適用を支援します。また、医療システムにアクセスするデバイスの遠隔ワイプと集中ポリシーの適用も可能です。これらの制御は、コンプライアンスリスクを低減しながら、医療環境におけるモバイルワークフローを可能にします。

小売業務とセキュリティ向けのMDM

小売業のお客様は、POSシステム、在庫管理、店舗業務のためにモバイルデバイスに依存しています。MDMは、これらのデバイスが安全で、最新の状態に保たれ、PCI-DSSのような基準に準拠していることを保証します。集中管理により、ダウンタイムを削減し、複数の場所へのデバイス展開を簡素化します。その結果、業務効率が向上し、支払い関連のセキュリティインシデントのリスクが軽減されます。