ユーザーマニュアル
Cerberus Enterprise MDMのドキュメント
- はじめに
- セットアップ
- デバイスのプロビジョニング概要
- デバイスのプロビジョニング - Android
- デバイスのプロビジョニング - Apple
- ポリシーの概要
- ポリシー - Android
- 概要
- アプリ管理
- キオスクモード
- セキュリティ
- マルチメディア
- モバイル通信
- ネットワーク
- システム
- 位置情報とジオフェンス
- ユーザー管理
- 個人利用
- プロファイル間ポリシー
- ステータスレポート
- その他
- ポリシー適用ルール
- ポリシー - Apple
- デバイスの状態
- ダッシュボード ロケーションマップ
- プライベートアプリ
- 証明書管理
- イベントルール
- デバイス
- ユーザー
- アカウント
- マルチテナンシー
- インサイト
はじめに
Cerberus Enterpriseは、AndroidおよびAppleデバイスのセキュリティ確保と管理を支援するために設計された、包括的なEMMソリューションです。BYODおよび会社所有デバイスの効率的な管理に必要なすべての機能が、クリーンで使いやすいダッシュボードに備わっており、数分で使い始めることができます。
Cerberus Enterpriseを効果的に使用するには、システムの仕組みに関するいくつかの主要な概念を理解する必要があります。
システムはAndroidとAppleの両方のデバイス管理をサポートしています。
Androidでは、Cerberus EnterpriseはGoogleの公式なAndroid Management APIを使用して、Android Device Policy(ADP)アプリを通じてデバイスを管理します。ほとんどの設定はADPによって直接適用されます。一部のオプション機能では、ADP単体での制限を超えた操作を可能にするCerberus Enterpriseコンパニオンアプリが必要になる場合があります。
Appleデバイスでは、Cerberus EnterpriseはApple MDM(モバイルデバイス管理)を通じてデバイスを管理します。Appleの管理にはAPNs証明書が必要であり、オプションとしてApple Business Managerと統合して自動登録やアプリのライセンス管理を行うことも可能です。
各デバイスは、、または(Apple手動登録)を使用して、システムに登録することができます。登録方法は、デバイスに適用すべきルールを含むポリシーに関連付けられます。
IT管理者は、登録後にデバイスに関連付けられているポリシーを変更できます。ただし、1つのデバイスには一度に1つのポリシーのみを関連付けることができます。
登録(プロビジョニング)プロセス中に、必要な管理コンポーネントが自動的にインストールおよび設定されます。Androidの場合、通常はAndroid Device Policyアプリ(および設定によってはCerberus Enterpriseコンパニオンアプリ)が含まれます。Appleデバイスの場合、登録が完了するとMDMを通じて管理が適用されます。その結果、対応するポリシーがデバイスに自動的に適用され、関連するすべてのルールがプラットフォームの管理システムによって強制されます。
1つのポリシーを多数のデバイスに適用できます。この場合、ポリシーを変更すると、関連付けられているすべてのデバイスに変更が反映されます。
セットアップ
Android管理の設定
Cerberus EnterpriseでAndroidデバイスを管理するには、まず組織をGoogle Android Enterpriseに接続する必要があります。
セットアッププロセスは通常数分で完了し、業務用メールアドレス(例:name@enterprise.com)が必要です。
セットアップ中の流れ
- Google Android Enterpriseにリダイレクトされます。
- 業務用のメールアドレスでサインインします。
- Googleがお客様の組織用にAndroid管理アカウントを作成します。
- セットアップを完了するために、Cerberus Enterpriseにリダイレクトされます。
重要事項
個人のGmailアカウントではなく、必ず業務用メールアドレスを使用してください。このメールアドレスは、Android管理用のGoogle管理者アカウントを作成するために使用されます。
次のステップ
セットアップ完了後、登録トークンを作成し、デバイスに適したプロビジョニング方法を選択してください。
Apple管理の設定 (APNs)
Appleデバイスを管理するには、Cerberus EnterpriseにApple Push Notification service (APNs) 証明書が必要です。
組織に関連付けられたApple IDを使用してください。APNs証明書の有効期限は1年間であり、デバイスの管理を継続するためには毎年更新する必要があります。
ステップ 1: CSRファイルをダウンロードする
ダッシュボードでApple管理のセットアップを開始し、Cerberus Enterpriseによって生成されたベンダー署名付き証明書署名要求(CSR)ファイルをダウンロードします。
ステップ 2: Apple ポータルでプッシュ証明書を作成する
- Apple IDを使用して、Apple Push Certificates Portalにサインインします。
- 「証明書の作成」をクリックします。
- ステップ 1 でダウンロードした CSR ファイルをアップロードします。
- 作成されたプッシュ証明書をダウンロードします。
ポータルリンク: https://identity.apple.com/
ステップ 3: プッシュ証明書をアップロードする
Appleからダウンロードしたプッシュ証明書をCerberus Enterpriseにアップロードして、セットアップを完了します。
APNs証明書の期限が切れると、証明書が更新されるまでAppleデバイスの管理ができなくなります。
次のステップ
APNsの設定が完了したら、Appleデバイスの登録を進めることができます。詳細はAppleプロビジョニングの概要を参照してください。
デバイスのプロビジョニング概要
Cerberus Enterpriseは、AndroidとAppleの両方のプラットフォームにおけるデバイス管理をサポートしています。登録が必要なデバイスに応じて、各プラットフォームを個別に設定できます。
1. ダッシュボードでのプラットフォーム設定の完了
デバイスを登録する前に、Cerberus Enterpriseのダッシュボードでプラットフォームの設定を完了させてください。アカウントがまだ設定されていない場合は、ダッシュボードの指示に従って必要な手順を進めてください。
Android設定(Google Android Enterprise)
Androidの完全なセットアップ手順については、Android Managementのセットアップをお読みください。
- ダッシュボードのサインアップフローに進み、Android Managementのセットアップを選択します。
- Googleにリダイレクトされ、仕事用アカウントでサインインし、Android Enterpriseの権限を承認します。
- 承認後、Cerberus Enterpriseにリダイレクトされ、セットアップが完了します。
Apple設定(APNsプッシュ証明書)
Appleの完全なセットアップ手順については、Apple Managementのセットアップ (APNs)をお読みください。
- ダッシュボードのサインアップフローに進み、Apple Managementのセットアップを選択します。
- Cerberus EnterpriseからCSRファイルをダウンロードします。
- Apple Push Certificates PortalでAPNs証明書を作成し、生成された証明書をダウンロードします。
- ダウンロードした証明書をCerberus Enterpriseにアップロードして、Appleデバイスの管理を有効にします。
2. デバイスの登録
プラットフォームのセットアップ完了後、デバイスの所有モデルおよびOSに合わせた登録方法を選択してください。
Androidの登録
Androidの場合、登録は登録トークンによって行われます。デバイスが個人所有か会社所有かに応じて、適切な方法を選択してください。
- 個人所有 (BYOD / ワークプロファイル): こちらのガイドに従ってください.
- 会社所有(業務および個人利用 / 仕事用プロファイル): こちらのガイドに従ってください》。
- 会社所有(業務専用 / フルマネージドまたは専用デバイス): こちらのガイドに従ってください》。
- Zero-touch: こちらのガイドに従ってください》。
Appleの登録
Appleの場合、まず上記で説明したAPNsのセットアップを完了させ、次にAppleのプロビジョニングガイドに従ってください: Appleプロビジョニングの概要.
デバイスのプロビジョニング - Android
サポートされているデバイス
一般的に、Google Play開発者サービスが搭載されたAndroid 6以降を実行しているデバイスであれば、Cerberus Enterpriseと互換性があります。
より良いユーザーエクスペリエンスのために、Android Enterprise Recommendedの要件を満たすデバイスの使用を推奨します。
一部の機能は特定のAndroidバージョンに限定されている場合や、OSのバージョンによって動作が異なる場合があります。特定の機能に関する詳細については、ドキュメントのポリシーセクションを参照してください。
Cerberus Enterpriseは、会社所有デバイスと個人所有デバイスの両方をサポートしており、管理モードとして「デバイスオーナー」と「プロファイルオーナー」の2種類に対応しています。
個人所有デバイスは、仕事用プロファイルを通じて管理できます。これにより、従業員の業務データやアプリを個人のデータやアプリから分離して保持できるため、BYODソリューションが可能になり、セキュリティとプライバシーの両方が向上します。このオプションは、従業員が既に所有しているデバイスを組織の業務用に登録したい場合に適しています。
会社所有デバイスも仕事用プロファイルを通じて管理できますが、デバイスをより厳格に制御できるフルマネージドオプションを選択することも可能です。仕事用プロファイルを持つ会社所有デバイスは、従業員に業務用のデバイスを提供しつつ個人利用も許可する場合に適しています。フルマネージドデバイスは、業務のみに使用しなければならないデバイスや、キオスクなどの専用デバイス(COSU、企業所有の単一用途デバイス)に適しています。
デバイスのプロビジョニングに関する詳細については、デバイスのプロビジョニング概要ページを参照してください。
登録トークン
Cerberus Enterpriseでは、Androidデバイスの登録(プロビジョニング)プロセスを開始するために登録トークンを使用します。選択したトークンによって、登録されたデバイスに適用される初期ポリシーが定義され、許可されるプロビジョニングモードが決定されます。
Androidの登録トークンタブは、Android管理の設定が完了した後にのみ利用可能になります。
登録トークンの場所
ダッシュボードで登録トークンを開きます。アカウントの設定によっては、複数のタブ(Androidトークン、Googleサインイン登録、Apple手動登録、およびApple自動デバイス登録)が表示される場合があります。
Androidエンタープライズが管理対象Googleドメイン(Google Workspace)によってバックアップされている場合、ダッシュボードにはGoogleによる認証を用いた登録タブが表示されることもあります。有効化および使用方法の詳細については、Googleによる認証を用いた登録を参照してください。
登録トークンリスト (Android)
Androidトークンタブには、すべてのトークンのテーブルが表示されます。行をクリックすると、トークンの詳細ページが開きます。
列
- ID: 内部トークン識別子。
- ステータス: 利用可能、使用済み(使い切りトークンが既に使用されている場合)、または期限切れ。
- 有効期限: 有効期限の日時、またはなし。
- ポリシー: トークンに割り当てられたポリシー(UIのツールチップにはポリシーIDも表示されます)。
- 個人利用: 許可 / 禁止 / 専用デバイス。
- 許可された用途: 複数回、または1回のみ。
- ユーザー: そのトークンを使用して登録されたデバイスに事前割り当てされた、オプションのユーザー。
操作
- 各行には削除アクション (登録トークンの削除) があります。ライセンスの有効期限が切れている場合、削除は無効になります。
- このテーブルは複数行の選択に対応しています。選択モードを有効にして複数のトークンを選択し、選択したトークンを削除で削除できます。
- 更新アクションを使用してリストを再読み込みしてください。テーブルはページ分割されています(1ページあたり10/25/50項目)。
新しい登録トークンの作成
Androidトークンのタブで、新しい登録トークンをクリックして、トークン作成ページを開きます。ライセンスの有効期限が切れている場合、作成ボタンは無効になります。
トークンオプション
1. ポリシー
必須項目。 このトークンを使用して登録されたすべてのデバイスに、このポリシーが自動的に適用されます。作成済みのAndroidポリシーから1つを選択してください。まだポリシーを作成していない場合は、先に作成してください。
2. ユーザー
オプション。設定した場合、新しく登録されたデバイスはこのユーザーに自動的に紐付けられます。
3. 個人利用
この登録トークンを使用してプロビジョニングされたデバイスで、個人利用を許可するかどうかを制御します。
- 許可: 個人所有デバイス(仕事用プロファイル)や、業務と個人利用の両方を目的とした会社所有デバイスに適しています。
- 禁止: 業務専用の会社所有デバイス(フルマネージド)に適しています。
- 専用デバイス: キオスク/専用デバイスに適しています(デバイスが特定のユーザーに紐付けられません)。
4. 許可された用途
トークンを複数回使用できるか (複数回)、または1回のみ使用できるか (1回のみ) を選択します。
5. 有効期限
有効期限の単位 (分、時間、日、またはなし) を選択します。「なし」に設定されていない場合は、有効期限の値を入力してください。許可される範囲は選択した単位によって異なり、最大10,000日まで設定可能です。
プロビジョニングオプション(QRコードのみ)
これらの追加オプションはQRコードに埋め込まれており、QRコードのスキャンによって登録されるフルマネージドデバイスのプロビジョニング時に適用されます。これらは、仕事用プロファイルや、登録URLまたはトークンを使用して登録されたデバイスには適用されません。
Wi-Fi設定
これを使用すると、プロビジョニング中にデバイスが自動的にWi-Fiに接続できるようになり、管理アプリのダウンロードと初期化が可能になります。設定可能なフィールドには、SSID、非公開SSID、セキュリティ、および(必要な場合)パスフレーズが含まれます。
HTTPプロキシ (プロキシ) を設定することもできます。また、モードに応じて ホスト/ポート、PAC URI、および プロキシバイパスホスト を設定できます。
その他のオプション
追加オプションには、ロケール、タイムゾーン、および暗号化をスキップが含まれます。
登録トークンの詳細
トークンを開くと、詳細ページにトークンの設定と使用状況の情報が表示されます。
- ステータス、有効期限、使用状況、個人利用、および許可された用途。
- トークン: 生の登録トークン値(コピー可能)。
- 登録URL: Google Android Enterpriseの登録URL(コピーおよびメール送信が可能)。
- QRコード: ページの右側に表示され、フルマネージドデバイスの登録に使用されます。
ステップバイステップのプロビジョニング手順については、以下のAndroid登録ガイドに従ってください: 個人所有デバイス>, 業務および個人利用を兼ねた会社所有デバイス>, 業務専用の会社所有デバイス>, および Zero-touch"/>.
個人所有デバイス
登録トークンリンク
| Androidバージョン |
| 6.0+ |
「設定」から仕事用プロファイルを追加
| Androidバージョン |
| 6.0+ |
- 設定 -> Googleサービスと設定 -> すべてのサービス -> 仕事用プロファイルをセットアップ.
- 設定 -> Google -> セットアップと復元 -> 仕事用プロファイルをセットアップ.
これらの手順により、デバイスにAndroid Device Policyをダウンロードするセットアップウィザードが開始されます。次に、仕事用プロファイルのセットアップを完了するために、QRコードのスキャンまたは登録トークンの手動入力が求められます。
Android Device Policyのダウンロード
| Androidバージョン |
| 6.0+ |
業務および個人利用のための会社所有デバイス
- ほとんどのアプリ、データ、およびその他の管理ポリシーは、ワークプロファイルにのみ適用されます。
- 従業員の個人用プロファイルはプライバシーが保たれます。ただし、企業側で特定のデバイス全体に適用されるポリシーや個人利用に関するポリシーを強制することができます。
- 企業は、ブロック範囲を使用して、デバイス全体またはワークプロファイルのみにコンプライアンスアクションを強制できます。
- デバイスの登録解除およびデバイスコマンドは、デバイス全体に適用されます。
QRコード方式
| Androidバージョン |
| 8.0+ |
業務専用の会社所有デバイス
QRコード方式
| Androidバージョン |
| 7.0+ |
DPC識別子方式
| Androidバージョン |
| 5.1+ |
Zero-touch
IT管理者は、Zero-touch enrollment for IT adminsに記載されているZero-touch登録方法を使用して、会社所有デバイスをプロビジョニングできます。デバイスの電源が初めて入れられた際、そのデバイスは自動的にIT管理者が定義した設定に強制適用されます。
IT管理者は、認定リセラーから購入したデバイスを事前設定し、Cerberus Enterpriseダッシュボードを使用して管理できます。Zero-touchアカウントをリンクするには、ダッシュボードのZero-touchセクションに移動し、指示に従ってください。
| Androidバージョン | ワークプロファイル | フルマネージドデバイス | 専用デバイス |
| 8.0+ (Pixel 7.1+) | ✓ | ✓ | ✓ |
Googleを使用した認証による登録
Googleを使用した認証による登録(登録用Google認証とも呼ばれます)では、Androidデバイスの登録時にユーザーが自身のGoogle Workspaceアカウントで認証を行うことができます。
この機能は、管理対象のGoogleドメイン(Google Workspace)によってサポートされているAndroidエンタープライズでのみ利用可能です。
場所の確認方法
ダッシュボードで、登録トークンを開き、Googleを使用した認証による登録タブを選択します。このタブは、Android Managementが設定されており、かつお客様のエンタープライズでGoogle Workspaceとの統合が利用可能な場合にのみ表示されます。
Google認証の有効化(または無効化)
Google認証は Google管理コンソール で有効にします。設定を変更した後は、Cerberus Enterpriseに戻り、ステータスを更新 を使用して現在の設定を再読み込みしてください。
- 管理者アカウントを使用して、Google管理コンソール にログインします。
- デバイスを開きます。
- モバイルとエンドポイント → 設定 → サードパーティの統合
- Cerberus EnterpriseのAndroid EMM統合を見つけて開きます。
- EMMプロバイダーの管理をクリックします。
- Googleを使用した認証による登録のスイッチを切り替えて、登録用のGoogle認証を有効または無効にします。
- 保存をクリックします。
- Cerberus Enterpriseのダッシュボードに戻り、Googleを使用した認証による登録タブのステータスを更新をクリックします。
Google認証による登録トークン
Google認証が有効になると、ダッシュボードにこの登録モード専用の登録トークンが表示されます。ページには、QRコード、登録トークンの値、および登録URL(コピーおよびメール送信が可能)が表示されます。
主要なオプション
- 個人利用を許可: トークンを使用して、業務と個人利用の両方が可能なデバイス(仕事用プロファイル)を登録できるか、または業務専用のデバイス(フルマネージド/専用デバイス)のみを登録できるかを制御します。
- フォールバック用デフォルトポリシー: 登録するユーザーに特定のGoogle認証用デフォルトポリシーが割り当てられていない場合に適用されるポリシー。
ポリシーの相互作用
ポリシー設定の 仕事用アカウントのセットアップ時の認証 (workAccountSetupConfig.authenticationType) は、仕事用アカウントのセットアップ中にユーザーがどのように認証するかを制御しますが、Google管理コンソールの設定 Googleを使用した認証による登録 および登録トークンの種類によっては、依然として認証が必要になる場合があります。
既に登録済みのデバイスについては、そのデバイスが管理対象のGoogle Playアカウントによって管理されている場合(つまり、Googleを使用した認証による登録を使用せずに登録された場合)にのみ、このポリシーが適用されます。
ライセンスの有効期限が切れている場合、一部のアクション(例:トークンオプションの変更など)は無効になることがあります。
デバイスの登録
登録プロセス中に、ユーザーは自身のGoogle Workspaceアカウントでの認証を求められます。登録が正常に完了すると、デバイスは認証されたユーザーに関連付けられます。
仕事用プロファイル(個人所有デバイス)
- 登録URLをユーザーに共有します。ユーザーがAndroidデバイスでそのURLを開くと、仕事用プロファイルのセットアップとGoogle認証のプロセスが案内されます。
- あるいは、ユーザーはAndroidの設定から開始して仕事用プロファイルのセットアップフローを選択し、指示に従ってQRコードをスキャンするか登録トークンを入力することもできます。
会社所有デバイス
- QRコード方式: 新品または工場出荷時状態にリセットされたデバイスで、QRコードのプロンプトが表示されるまで画面の同じ場所を繰り返しタップし、その後ダッシュボードに表示されているQRコードをスキャンします。
- DPC識別子方式(QRコードのスキャンが利用できない場合): セットアップウィザードに従い、Wi-Fiに接続します。サインインを求められた際に afw#setup を入力し、QRコードのスキャンまたは登録トークンの入力に進みます。指示に従い、Google Workspaceアカウントで認証を行ってください。
一般的なAndroidプロビジョニング手順(仕事用プロファイルとフルマネージドの違いなど)については、本マニュアル内の標準的なAndroid登録ページを参照してください。
デバイスのプロビジョニング - Apple
Appleプロビジョニングの概要
Cerberus Enterpriseは、Appleデバイスの登録と管理をサポートしています。AppleプロビジョニングにはAPNs証明書が必要であり、さまざまな登録方法を使用して実行できます。
前提条件:Apple管理(APNs)の設定
Appleデバイスを登録する前に、Apple管理の設定 (APNs)を完了させてください。
登録方法の選択
手動登録(登録プロファイル)
この方法では、登録用URLとデバイスにインストールする構成プロファイルファイル(mobileconfig)が提供されます。詳細はApple 手動登録を参照してください。
自動デバイス登録 (ADE)
この方法では、Apple Business Managerと連携して会社所有のデバイスの登録を自動化します。詳細はApple 自動デバイス登録 (ADE)を参照してください。
デバイスのラインナップや購入プロセスに応じて、手動登録とADEを併用することができます。
Apple 手動登録 (登録プロファイル)
Cerberus Enterpriseは、登録用URLと登録プロファイルファイルを使用したAppleデバイスの手動登録をサポートしています。
手動登録は、Apple管理(APNs)が設定されている場合に利用可能です。まだAPNsのセットアップが完了していない場合は、Apple管理の設定 (APNs)を参照してください。
登録用URLとプロファイルの取得
- ダッシュボードの登録セクションを開き、Apple 手動登録 (登録プロファイル)タブを選択します。
- 登録用URLをコピーするか、メール送信アクションを使用します。
- 登録プロファイル(mobileconfigファイル)をダウンロードします。
iPhoneまたはiPadを登録する方法
iOS/iPadOS 15.0以降
- エンドポイントデバイスに登録プロファイルファイル (enroll.mobileconfig) を送信するか、デバイスのSafariで登録URLを開いてください。
- デバイスで、設定 → ダウンロード済みプロファイル → インストールの順に開き、指示に従ってください。
- 登録完了後、設定 → 一般 → VPNとデバイス管理(またはプロファイルとデバイス管理)からステータスを確認できます。
Cerberus Enterpriseのダッシュボードから取得した登録プロファイルのみをインストールしてください。
Apple 自動デバイス登録 (ADE)
自動デバイス登録(ADE)はApple Business Manager(ABM)と連携し、会社所有のデバイスが初めて電源を入れられた際(または工場出荷時リセット後)に、自動的にデバイスの登録を行います。
ADEには、まずApple管理(APNs)の設定が必要です。必要に応じて、Apple管理の設定 (APNs)を参照してください。
デバイスを自動的に登録する方法
- Apple Business Managerアカウントにデバイスを追加します。
- ABMアカウントに新しいデバイスを追加した後、デバイスセクションからABMから同期アクションを使用して、Cerberus Enterpriseに同期します。
- ダッシュボードの登録 → Apple 自動デバイス登録 (ADE) → 新しいADEプロファイル から、ADEプロファイルを作成します。
- デバイス詳細ページから、ADEプロファイルフィールドを使用して、デバイスにADEプロファイルを割り当てます。
ADEプロファイル設定(概要)
ADEプロファイルは、デバイスの登録方法とセットアップアシスタントの動作を制御します。Cerberus Enterpriseでは、ADEプロファイルには名前、オプションの初期ポリシー、およびいくつかの登録オプションが含まれます。
プロファイル名
プロファイル用の人間が読みやすい名前(例:デフォルトのADEプロファイル)。
ポリシー
登録されたデバイスに最初に適用されるポリシーです。新しいADEプロファイルを作成する際に、ポリシーを割り当てることができます。
登録オプション
- MDMの削除可否: デバイスからMDMペイロードを削除できるかどうかを制御します。
- ペアリングを許可: ペアリングを許可するかどうかを制御します(iOS 13でAppleにより非推奨となりました)。
- セットアップの自動進行: セットアップアシスタントの画面を自動的に進めます。
- デバイスの構成完了を待機: サーバーがデバイスを「構成済み」としてマークするまで、セットアップアシスタントをブロックします。
- 必須: セットアップ中にプロファイルの適用をスキップできないようにします。
- マルチユーザー (Shared iPad): デバイスをShared iPad用に設定します。
- 管理対象: デバイスの管理(Supervision)を要求します。
デバイスにADEプロファイルが割り当てられると、自動登録の準備が整います。
ポリシーの概要
ダッシュボードのポリシーセクション(ダッシュボード → ポリシー)には、アカウント内のすべてのポリシーがリスト表示され、作成、コピー、編集、削除を行うことができます。
ポリシー一覧
ポリシーはテーブル形式で表示されます。行をクリックすると、対応するポリシーエディターが開きます。
列
- ID: 内部ポリシー識別子。
- MDM: ポリシーのプラットフォーム(AndroidまたはApple)。
- 名前: ポリシー名。
- 説明: ポリシーの説明。
- デバイス: 現在そのポリシーに割り当てられている登録済みデバイスの数。
フィルタと検索
- Android ManagementとApple Managementの両方が設定されている場合、リストをすべて、Android、またはAppleでフィルタリングできます。
- 検索を有効にして、ポリシー名または説明で検索できます。
更新とページネーション
- 更新アクションを使用して、リストを再読み込みします。
- 表はページ分けされています(1ページあたり10/25/50項目)。
新しいポリシーを作成する
ポリシーページの下部では、新しいポリシーを作成できます。アカウントに設定されているプラットフォームに応じて、以下の操作のいずれか、または両方が表示されます。
- 新しいAndroidポリシーを作成
- 新しいAppleポリシーを作成
ライセンスの期限が切れている場合、ポリシーの作成(およびその他の書き込み操作)は無効になります。
ポリシーのコピーと削除
各ポリシーの行には、ポリシーをコピーおよびポリシーを削除を含むアクションメニューがあります。
ポリシーの削除に関する警告
ポリシーを削除する際、そのポリシーの使用状況に応じて、ダッシュボードに追加の警告が表示される場合があります。
- ポリシーが登録済みデバイスに割り当てられている場合、そのポリシーを削除すると、関連するデバイスの登録が解除され、アプリとデータが消去されます。
- ポリシーが登録トークンに割り当てられている場合、それらのトークンで登録を完了できなくなる可能性があります。
- ポリシーがGoogle認証による登録のデフォルトとして設定されている場合(グローバル、または一部のユーザーに対して)、そのポリシーを削除すると登録に失敗する原因となる可能性があります。
複数のポリシーを削除する
ポリシー一覧では、一括削除のための複数行選択が可能です。マルチセレクトモードでは、複数のポリシーを選択して一度の操作で削除できます。
一括削除は、選択されたすべてのポリシーが同じプラットフォーム(すべてAndroid、またはすべてApple)に属している場合にのみ有効になります。
次へ:ポリシー設定の編集
ポリシー一覧はエントリーポイントです。ポリシー設定を構成するには、適切なエディターのドキュメントを使用してください:ポリシー → Android および ポリシー → Apple》。
登録トークンによって参照されているポリシーは、デバイスの登録時に自動的に適用されます。
ポリシー - Android
概要
Androidポリシーはシステムのコアエンティティです。これらは、管理対象デバイスに適用および強制されるルールを定義します。
ダッシュボードのポリシーセクションから、ポリシーの閲覧や新規作成が可能です。Androidポリシーを開くには、テーブル内のポリシー行をクリックしてください。ポリシーエディタページが開きます。
ポリシーを登録トークンに関連付けることができ、これによりプロビジョニングプロセス中にデバイスへ自動的に適用されます。また、プロビジョニング後にデバイスに割り当てられたポリシーを変更することも可能です。
各デバイスに関連付けられるポリシーは、一度に1つのみです。
多くのポリシーオプションは、特定のデバイスタイプ(フルマネージド、専用、仕事用プロファイル)やAndroidのバージョンにのみ適用されます。サポートされていない設定は、デバイスによって無視されるか、非準拠として報告される場合があります。
ポリシーエディタのレイアウト
ポリシーエディタは、展開可能なセクションのセットで構成されています。ページ上部では、常に以下の項目を編集できます。
- 名前 (必須)
- ID (読み取り専用)
- 説明 (任意)
以下のセクションは、ポリシーエディタのパネル(例:アプリ管理、セキュリティ、ネットワーク、システム、個人利用、クロスプロファイルポリシーなど)に対応しています。各パネルの詳細については、本マニュアルの各章をご参照ください。
保存、削除、および関連付けられたデバイス
変更を適用するには、ポリシーを保存を使用します。保留中の編集がない場合、またはライセンスの期限が切れている場合、このボタンは無効になります。
既存のポリシー(IDがあるもの)を開いた場合、ページにはポリシーを削除アクションと、下部に関連付けられたデバイスリストが表示され、現在そのポリシーを使用しているデバイスの数を確認できます。
アプリ管理
このセクションでは、アプリの利用可能性、インストール、アップデート、および権限管理に関するポリシーを設定できます。
デバイスのプロビジョニング時に、管理対象Google Playアカウントが自動的に作成されます。
1. Playストアモード
このモードでは、Playストアでユーザーが利用できるアプリ、およびポリシーからアプリが削除された際のデバイス上での動作を制御します。
ホワイトリスト(デフォルト): ポリシーに含まれるアプリのみが利用可能になり、ポリシーに含まれていないアプリはデバイスから自動的にアンインストールされます。Playストアには利用可能なアプリのみが表示されます。
ブラックリスト: すべてのアプリが利用可能です。デバイスにインストールされるべきではないアプリは、アプリケーションポリシーで明示的にブロックとしてマークする必要があります。Playストアには、ブロックされたアプリを除くすべてのアプリが表示されます。
2. 信頼できないアプリのポリシー
デバイスに適用される、信頼できないアプリ(不明なソースからのアプリ)に関するポリシーです。このオプションは、ユーザーがPlayストア以外からアプリをインストールできるかどうかを決定するAndroidのシステム設定を制御します。
禁止(デフォルト): デバイス全体で信頼できないアプリのインストールを禁止します。
個人用プロファイルのみ: 仕事用プロファイルが設定されているデバイスにおいて、信頼できないアプリのインストールをデバイスの個人用プロファイルでのみ許可します。
許可: デバイス全体で信頼できないアプリのインストールを許可します。
3. Google Play プロテクト
Google Play プロテクトによるアプリの検証を強制するかどうかを設定します。
強制(デフォルト): アプリの検証を強制的に有効にします。
ユーザーによる選択: ユーザーがアプリの検証を有効にするかどうかを選択できるようにします。
4. デフォルトの権限ポリシー
アプリへの実行時権限リクエストの許可に関するポリシーです。
プロンプト(デフォルト): ユーザーに権限の許可を求めるプロンプトを表示します。
許可: 権限を自動的に許可します。
拒否: 権限を自動的に拒否します。
5. アプリの機能
フル管理デバイスまたは仕事用プロファイル上のアプリが、アプリの機能(App functions)を公開することを許可するかどうかを制御します。Android 16以上が必要です。
許可(デフォルト): フル管理デバイスまたは仕事用プロファイル上のアプリが、アプリの機能を公開できます。
禁止: フル管理デバイスまたは仕事用プロファイル上のアプリは、アプリの機能を公開できません。
6. アプリのインストール無効化
ユーザーによるアプリのインストールを無効にするかどうかを設定します。
7. アプリのアンインストール無効化
ユーザーによるアプリのアンインストールを無効にするかどうかを設定します。
8. 権限ポリシー
すべてのアプリに対する、明示的な権限またはグループの許可・拒否設定です。これらの値はデフォルトの権限ポリシーの設定を上書きします。
権限ポリシーの追加を使用してエントリを作成し、削除アクションでそれらを削除します。
各エントリには以下が含まれます:
Androidの権限/グループ: Androidの権限またはグループ(必須)。例:android.permission.READ_CALENDAR または android.permission_group.CALENDAR。
ポリシー: 許可 / 拒否 / プロンプト(デフォルトの権限ポリシーと同じポリシーオプションを使用します)。
9. アプリケーション
ポリシーに含める必要があるアプリケーションのリストです。リストの内容の動作は、Play Storeモードで設定された値に依存します。
Play Storeモードがホワイトリストに設定されている場合、ポリシーに含まれるアプリのみが利用可能になり、ポリシーに含まれていないアプリはデバイスから自動的にアンインストールされます。
Play Storeモードがブラックリストに設定されている場合、すべてのアプリが利用可能です。デバイスにインストールされるべきではないアプリは、アプリケーションポリシーで明示的にブロックとしてマークする必要があります。
新しいアプリを追加するには、アプリケーションを追加ボタン(またはアプリケーションを追加アイコン)をクリックし、Playストアからアプリを選択して、アプリカード内の選択ボタンをクリックします。
デフォルトでは、お住まいの国でPlayストアに公開されているすべてのアプリが選択可能です。独自のプライベートアプリやウェブアプリを選択するには、まずそれらをシステムにアップロードする必要があります。詳細については、プライベートアプリ ページをお読みください。
各アプリは、カード内に視覚的にまとめられた独自の個別の設定を行うことができます。
9.1. インストールタイプ
アプリに対して実行するインストールの種類。
利用可能: アプリをインストールできます。
プリインストール済み: アプリが自動的にインストールされます。ユーザーによる削除が可能です。
強制インストール済み: アプリが自動的にインストールされ、ユーザーによる削除はできません。
ブロック済み: アプリがブロックされ、インストールできません。以前のポリシーでアプリがインストールされていた場合は、アンインストールされます。
セットアップに必須: アプリが自動的にインストールされ、ユーザーによる削除はできません。また、インストールが完了するまでセットアップの完了を妨げます。
キオスク: アプリがキオスクモードで自動的にインストールされます。このアプリは優先ホームインテントとして設定され、ロックタスクモードのホワイトリストに登録されます。アプリがインストールされるまでデバイスのセットアップは完了しません。インストール後、ユーザーはこのアプリを削除することはできません。このインストールタイプは、1つのポリシーにつき1つのアプリにのみ設定できます。これがポリシーに含まれている場合、ステータスバーは自動的に無効になります。詳細については、専用のキオスクモード ページをお読みください。
9.2. インストール制約
アプリのインストールに関する一連の制限事項を定義します。複数の制約が選択されている場合、アプリをインストールするにはそれらすべての条件を満たす必要があります。
このオプションは、インストールタイプがプリインストール済みまたは強制インストール済みの場合にのみ表示されます。
従量制ではないネットワーク: デバイスが従量制ではないネットワーク(Wi-Fiなど)に接続されている場合にのみ、アプリをインストールします。
充電中: デバイスが充電されている場合にのみ、アプリをインストールします。
アイドル時: デバイスがアイドル状態のときにのみ、アプリをインストールします。
9.3. 自動更新モード
アプリの自動更新モードを制御します。
デフォルト: ユーザーへの影響を最小限に抑えるため、低優先度でアプリが自動更新されます。アプリは、以下の制約がすべて満たされたときに更新されます:(1) デバイスがアクティブに使用されていない、(2) デバイスが従量制ではないネットワークに接続されている、(3) デバイスが充電中である。開発者によって更新が公開されてから24時間以内にデバイスに通知が行われ、その後、上記の制約が満たされた際にアプリが更新されます。
延期: アプリのバージョンが古くなってから最大90日間、自動更新は行われません。アプリが古くなってから90日が経過すると、利用可能な最新バージョンが低優先度で自動的にインストールされます(デフォルト の自動更新モードを参照)。アプリが更新された後は、再びバージョンが古くなってから90日が経過するまで、自動更新は行われません。なお、ユーザーはいつでもPlayストアから手動でアプリを更新できます。
高優先度: アプリが可能な限り速やかに更新されます。制約は適用されません。新しいアップデートが利用可能になると、直ちにデバイスに通知されます。
9.4. 最小バージョンコード
デバイスで実行されるアプリの最小バージョンです。設定されている場合、デバイスはそのバージョンコード以上までアプリを更新しようと試みます。アプリが最新でない場合、デバイスには非準拠の詳細が表示され、非準拠の理由にはAPP_NOT_UPDATEDが設定されます。アプリは、あらかじめこの値以上のバージョンコードでGoogle Playに公開されている必要があります。1つのポリシーにつき、最大20個のアプリまで最小バージョンコードを指定できます。
9.5. 委任されたスコープ
Android Device Policyからアプリに委任されたスコープです。他のアプリに対して、選択した特別なAndroid権限を付与できます。
証明書のインストール: 証明書のインストールおよび管理へのアクセスを許可します。
管理対象構成: 管理対象構成の管理へのアクセスを許可します。
アンインストール禁止: アンインストールを禁止する権限を付与します。
権限: 権限ポリシーおよび権限の付与状態へのアクセスを許可します。
パッケージアクセス: パッケージアクセスの状態へのアクセスを許可します。
システムアプリ: システムアプリを有効にするためのアクセス権を付与します。
9.6. 優先ネットワーク
このアプリで使用する優先ネットワークサービスです。設定されている場合、利用可能なときは指定されたエンタープライズ・ネットワークスライスを使用して接続が行われます。これは、セルラーパネルの5Gネットワークスライシング設定セクションで構成されているネットワークスライスと一致している必要があります。
9.7. デフォルトの権限ポリシー
アプリがリクエストするすべての権限に対するデフォルトのポリシーです。指定した場合、すべてのアプリに適用されるポリシーレベルのデフォルトの権限ポリシーを上書きします。ただし、すべてのアプリに適用される権限ポリシーを上書きすることはありません。
プロンプト(デフォルト): ユーザーに権限の許可を求めるプロンプトを表示します。
許可: 権限を自動的に許可します。
拒否: 権限を自動的に拒否します。
9.8. 仕事用と個人用のアプリの接続
ユーザーの同意を条件として、デバイスの仕事用プロファイルと個人用プロファイル間でアプリが相互に通信できるかどうかを制御します(Android 11以降)。
禁止(デフォルト): プロファイル間でのアプリの通信を禁止します。
許可: ユーザーの同意を得た後、プロファイル間でのアプリの通信を許可します。
9.9. Always On VPN ロックダウンの例外設定
VPNが接続されておらず、ロックダウンが有効な場合に、アプリのネットワーク利用を許可するかどうかを指定します。Android 10以降を実行しているデバイスでのみサポートされています。
強制(デフォルト): アプリは Always On VPN ロックダウンの設定に従います。
例外: アプリは Always On VPN ロックダウンの設定の対象外となります。
9.10. 仕事用プロファイルのウィジェット
仕事用プロファイルにインストールされたアプリが、ホーム画面にウィジェットを追加することを許可するかどうかを指定します。
許可: アプリケーションがホーム画面にウィジェットを追加できます。
禁止: アプリケーションはホーム画面にウィジェットを追加できません。
9.11. ユーザー操作設定
特定のアプリに対してユーザーによる操作を許可するかどうかを指定します。ユーザーによる操作には、アプリの強制停止やアプリデータの消去(Android 11以降)などのアクションが含まれます。アプリに対してextensionConfigが有効になっている場合、この設定に関わらずユーザーによる操作は禁止されます。キオスクアプリの場合、Allowedを使用することで、ユーザーによる操作を許可できます。
未指定: ユーザーによる操作を許可するかどうかを判断するために、アプリのデフォルトの動作を使用します。
Allowed: アプリに対してユーザーによる操作が許可されます。
Disallowed: アプリに対してユーザーによる操作が禁止されます。
9.12. 無効化済み
アプリが無効化されているかどうかを指定します。無効化されている間も、アプリのデータは保持されます。
9.13. 認証プロバイダーを許可
Android 14以降において、アプリが認証プロバイダーとして動作することを許可するかどうかを指定します。
9.14. 管理設定
アプリの管理設定を構成するには、Enable managed configurationボタンをクリックしてください。すでにアプリに管理設定が適用されている場合は、Managed configurationボタンで設定を変更するか、Remove configurationボタンで削除できます。
Managed configurationオプションは、この機能に対応しているアプリでのみ利用可能です。
9.15. 権限ポリシー
アプリに対する明示的な権限の許可または拒否を指定します。これらの値は、すべてのアプリに適用されるDefault permission policyおよびPermission policiesよりも優先されます。
Add permission policyを使用して、アプリカードに1つ以上の権限ルールを追加できます。削除アクションによってそれらを削除することも可能です。
9.16. トラックID
デバイスがアクセス可能なアプリのクローズドテスト用トラックIDのリストです。複数のトラックIDが選択されている場合、デバイスはアクセス可能なすべてのトラックの中で最新のバージョンを受け取ります。トラックIDが選択されていない場合、デバイスはアプリのプロダクション(本番用)トラックにのみアクセスできます。
Track IDsオプションは、組織に対して利用可能なトラックIDが少なくとも1つあるアプリでのみ利用可能です。特定のアプリのクローズドテスト用トラックに組織を追加する方法の詳細については、こちらをお読みください。
10. デフォルトのアプリケーション設定
サポートされているタイプごとにデフォルトのアプリを設定します。少なくとも1つのタイプに対してデフォルトアプリが設定されると、そのプロファイル内でのユーザーによるデフォルトアプリの変更が禁止されます。
Default application typeごとに、許可されるデフォルトのアプリケーション設定は1つのみです。デフォルトのアプリケーションリストに重複を含めることはできません。
10.1. デフォルトのアプリケーションタイプ
構成するアプリのカテゴリを選択します(例:ブラウザ、ダイヤラー、SMS、ウォレット、アシスタントなど)。利用可能性はAndroidのバージョンおよび管理モードによって異なります。
10.2. デフォルトのアプリケーション範囲
デフォルトアプリを適用する範囲を選択します(フル管理、仕事用プロファイル、または個人用プロファイル)。選択したタイプでサポートされている範囲のみを選択できます。
選択した範囲のいずれもデバイスの管理モードに適用できない場合、デバイスは非準拠の詳細を報告します。
10.3. デフォルトのアプリケーション
選択したタイプに対してデフォルトとして設定できるアプリのリストです。最初にインストールされ、要件を満たしているアプリがデフォルトとして設定されます。
範囲にFully managedまたはWork profileが含まれる場合、各アプリはApplicationsリストに存在し、かつInstall typeがBlockedに設定されていない必要があります。
11. プライベートキーの選択
Choose private key rulesに一致するルールがない場合に、ユーザーがプライベートキーのエイリアスを選択するためのUIをデバイスに表示することを許可します。
Android P未満のデバイスでは、この設定を行うとエンタープライズキーが脆弱になる可能性があります。
12. プライベートキー選択ルール
アプリのプライベートキーへのアクセスを制御します。このルールは、Android Device Policyが指定されたアプリに対してどのプライベートキー(存在する場合)を許可するかを決定します。アクセスは、アプリが特定のURLに対してプライベートキーのエイリアスを要求するためにKeyChain.choosePrivateKeyAlias(またはそのオーバーロード)を呼び出したとき、あるいはURLに依存しないルール(つまり、urlPatternが設定されていない、または空文字列や「.*」に設定されている場合)において、Android 11以降でKeyChain.choosePrivateKeyAliasを事前に呼び出すことなく直接KeyChain.getPrivateKeyを呼び出せるように、アクセスが許可されます。アプリがKeyChain.choosePrivateKeyAliasを呼び出した際、複数のchoosePrivateKeyRulesが一致する場合は、最後に一致したルールによって返されるキーのエイリアスが定義されます。
Add private key ruleを使用してエントリを作成し、削除アクションによってそれらを削除できます。
12.1. プライベートキーのエイリアス
使用されるプライベートキーのエイリアスです。
12.2. URLパターン
リクエストのURLと照合するURLパターンです。設定されていないか空の場合は、すべてのURLに一致します。これはjava.util.regex.Patternの正規表現構文を使用します。
12.3. パッケージ名
このルールが適用されるパッケージ名です。各アプリの署名証明書のハッシュが、Playから提供されたハッシュと照合されます。パッケージ名が指定されていない場合、KeyChain.choosePrivateKeyAlias(またはそのオーバーロード)を呼び出したすべてのアプリにエイリアスが提供されます(ただし、Android 11以降であっても、KeyChain.choosePrivateKeyAliasを呼び出さずにアクセスできるわけではありません)。ここに指定されたパッケージと同じAndroid UIDを持つアプリは、KeyChain.choosePrivateKeyAliasを呼び出した際にアクセス権が付与されます。
Add package nameを使用してエントリを追加し、削除アクションによってそれらを削除できます。
アプリを削除するには、アプリカードの下部にあるゴミ箱アイコンをクリックしてください。
キオスクモード
キオスクモードを使用すると、デバイスの機能を単一のアプリまたは複数のアプリに制限できます。シングルアプリ・キオスクモードとマルチアプリ・キオスクモードのどちらを選択するかは、ビジネス目標によって決まります。
single-app kiosk modeでは、デバイスが単一のアプリケーション用に構成され、エンドユーザーはデバイス上の他のアプリにアクセスできなくなります。また、アプリを終了することもできないため、その特定のアプリ専用のデバイスとなります。このモードを有効にするには、App managementセクションで、Install typeをKioskに設定してアプリを指定してください。
multi-app kiosk modeでは、デバイスで複数のアプリケーションへのアクセスが許可されます。エンドユーザーはカスタムランチャーを介して複数のアプリ間を移動できます。このモードを有効にするには、Kiosk custom launcherオプションをオンにします。
キオスクモードが有効な場合、システム設定やステータスバーなどの特定のシステム機能にエンドユーザーがアクセスできるかどうかを構成することもできます。
キオスク用カスタムランチャー
キオスク用カスタムランチャーを有効にするかどうかを指定します。これを有効にすると、ホーム画面がApp management設定でインストールされたアプリにデバイスを制限するランチャーに置き換わります。アプリは単一のページにアルファベット順で表示されます。
電源ボタンのアクション
キオスクモード中のデバイスにおいて、ユーザーが電源ボタンを長押しした際の動作を設定します。
Available (default): キオスクモード中のデバイスでユーザーが電源ボタンを長押ししたときに、電源メニュー(例:電源オフ、再起動)が表示されます。
Blocked: キオスクモード中のデバイスでユーザーが電源ボタンを長押ししても、電源メニュー(例:電源オフ、再起動)は表示されません。注意: これによりユーザーがデバイスの電源を切ることができなくなる場合があります。
システムエラー警告
キオスクモードにおいて、アプリのクラッシュや応答なし(ANR)によるシステムエラーダイアログをブロックするかどうかを指定します。ブロックされた場合、ユーザーがUI上で「アプリを閉じる」オプションを選択したときのように、システムはアプリを強制停止します。
Blocked (default): クラッシュやアプリの応答なし(ANR)などのすべてのシステムエラーダイアログがブロックされます。ブロックされた場合、ユーザーがUIからアプリを閉じたときのように、システムはアプリを強制停止します。
Enabled: クラッシュやアプリの応答なし(ANR)などのすべてのシステムエラーダイアログが表示されます。
システムナビゲーション
Disabled (default): ホームボタンおよび概要ボタンにアクセスできません。
Home only: ホームボタンのみが有効になります。
Enabled: ホームボタンおよび概要ボタンが有効になります。
ステータスバー
キオスクモードにおいて、システム情報および通知を無効にするかどうかを指定します。
Disabled (default): キオスクモードにおいて、システム情報および通知が無効になります。
System only: ステータスバーにはシステム情報のみが表示されます。
Enabled: キオスクモードにおいて、ステータスバーにシステム情報と通知が表示されます。注意: このポリシーを適用するには、kioskCustomization.systemNavigationを使用してデバイスのホームボタンを有効にする必要があります。
デバイス設定
キオスクモードにおいて、設定アプリの使用を許可するかどうかを指定します。
Allowed (default): キオスクモードにおいて、設定アプリへのアクセスが許可されます。
Blocked: キオスクモードにおいて、設定アプリへのアクセスは許可されません。
セキュリティ
このセクションでは、セキュリティ関連のポリシーを構成できます。
セキュリティリスクのアクション
ステータスレポートでデバイスがセキュリティリスクを報告した際の動作を選択します。
サポートされているSecurityRiskの種類:
不明なOS: Play Integrity APIが、デバイスが不明なOSを実行していることを検出しました(basicIntegrityチェックは成功しましたが、ctsProfileMatchが失敗しています)。
侵害されたOS: Play Integrity APIが、デバイスが侵害されたOSを実行していることを検出しました(basicIntegrityチェックが失敗しています)。
ハードウェアによる評価の失敗: デバイスの整合性フィールドに MEETS_STRONG_INTEGRITY ラベルが表示されない場合、Play Integrity API はデバイスのシステム整合性の保証が不十分であることを検出します。
利用可能なアクション:
企業データのワイプ(デフォルト): 登録解除および業務データのワイプを行います(フルマネージドの場合はデバイス全体、プロファイル所有の場合はワークプロファイルのみ)。
アクションなし: デバイスの登録を維持し、自動的な操作は行いません。
企業データのワイプを選択すると、ワイプオプションを構成することもできます。
工場出荷時リセット保護を保持: デバイスをワイプする際に、工場出荷時リセット保護 (FRP) データを保持します。
外部ストレージのワイプ: ワイプを実行する際に、デバイスの外部ストレージ(SDカードなど)も追加でワイプします。
eSIMのワイプ: 会社所有のデバイスの場合、デバイスをワイプする際にすべてのeSIMが削除されます。個人所有のデバイスの場合、管理対象のeSIM(ADD_ESIMコマンドを介して追加されたeSIM)のみが削除され、個人所有のeSIMは削除されません。
1. ロックまでの最大時間
デバイスがロックされるまでの、ユーザーのアクティビティの最大時間(秒単位)です。0に設定すると制限なしとなります。
2. 充電中に画面をオンのままにする
デバイスがオンの状態を維持する、バッテリー接続中のモードです。この設定を使用する場合、デバイスがオンの状態でロックされないよう、ロックまでの最大時間をクリア(0に設定)することを推奨します。
AC充電器: 電源がAC充電器である場合。
USBポート: 電源がUSBポートである場合。
ワイヤレス充電器: 電源がワイヤレスである場合。
3. キーガードの無効化
trueの場合、プライマリおよび/またはセカンダリディスプレイのロック画面を無効にします。このポリシーは、専用デバイス管理モードでのみサポートされています。
4. パスワード要件
パスワード要件ポリシー。
パスワード要件の設定を使用して、1つ以上のパスワード要件ブロックを追加します。すべてクリアを使用すると、設定済みのすべてのパスワード要件を削除できます。
パスワード要件には、自動スコープ(単一の要件)または、個別のデバイス/仕事用プロファイルスコープを使用できます。複雑さに基づく要件は、同じスコープ内の品質に基づく要件と組み合わせる必要があります。
4.1. スコープ
パスワード要件が適用されるスコープ。
自動: スコープは指定されません。仕事用プロファイルデバイスの場合は仕事用プロファイルに、フルマネージドまたは専用デバイスの場合はデバイス全体にパスワード要件が適用されます。
デバイス: パスワード要件はデバイスにのみ適用されます。
仕事用プロファイル: パスワード要件は仕事用プロファイルにのみ適用されます。
4.2. パスワード履歴の長さ
パスワード履歴の長さ。この値を設定すると、ユーザーは履歴内のいずれかのパスワードと同じ新しいパスワードを入力できなくなります。0を設定した場合は、制限なしとなります。
4.3. 消去までの最大パスワード失敗回数
デバイスが消去されるまでに、誤ったデバイスロック解除パスワードを入力できる回数です。0を設定した場合は、制限なしとなります。
4.4. パスワード有効期限(日数)
この設定により、指定された日数が経過した後、ユーザーは定期的にパスワードを更新する必要があります。
4.5. パスワードによるロック解除の要件
強力な認証方法(パスワード、PIN、パターン)を使用してデバイスまたは仕事用プロファイルがロック解除された後、他の認証方法(指紋、信頼できるエージェント、顔認証など)を使用してロック解除が可能となる時間です。指定された時間が経過すると、デバイスまたは仕事用プロファイルのロック解除には強力な認証方法のみが使用可能になります。
デバイスのデフォルト: タイムアウト期間がデバイスのデフォルト値に設定されます。
毎日: タイムアウト期間が24時間に設定されます。
4.6. パスワードの品質
必要なパスワードの品質。
複雑さ:高: 高いパスワード複雑性の基準を次のように定義します。Android 12以上の場合:繰り返し(4444)や連続した数字(1234、4321、2468)を含まないPIN、長さ8文字以上。英字のみの場合、長さ6文字以上。英数字混在の場合、長さ6文字以上。
複雑さ:中: 中程度のパスワード複雑性の基準を次のように定義します。繰り返し(4444)や連続した数字(1234、4321、2468)を含まないPIN、長さ4文字以上。英字のみの場合、長さ4文字以上。英数字混在の場合、長さ4文字以上。
複雑さ:低: 低いパスワード複雑性の基準を次のように定義します。パターン、または繰り返し(4444)や連続した数字(1234、4321、2468)を含むPIN。
なし: パスワード要件はありません。
弱い: デバイスは、最低でも低セキュリティの生体認証技術で保護されている必要があります。これには、個人の識別が3桁のPINとほぼ同等(誤検知率が1,000件に1件未満)の技術が含まれます。
任意: パスワードは必要ですが、パスワードの内容に関する制限はありません。
数字: パスワードには数字を含める必要があります。
数字(複雑): パスワードには数字を含める必要があります。ただし、繰り返し(4444)や連続した数字(1234、4321、2468)は使用できません。
英字: パスワードには英字(または記号)を含める必要があります。
英数字: パスワードには数字と英字(または記号)の両方を含める必要があります。
複雑: パスワードは、passwordMinimumLength、passwordMinimumLetters、passwordMinimumSymbols などの最小要件を満たす必要があります。例えば、passwordMinimumSymbols が 2 の場合、パスワードには少なくとも2つの記号を含める必要があります。
4.7. 最小の長さ
許可される最小のパスワードの長さ。0を設定した場合は、制限なしとなります。
4.8. 最小の文字数
パスワードに必要な最小の文字数。
4.9. 最小の小文字数
パスワードに必要な最小の小文字数。
4.10. 最小の大文字数
パスワードに必要な最小の大文字数。
4.11. 最小の非文字数
パスワードに必要な最小の非文字数(数字または記号)。
4.12. 最小の数字数
パスワードに必要な最小の数字数。
4.13. 最小の記号数
パスワードに必要な最小の記号数。
4.14. 統合ロック
Android 9以上かつ仕事用プロファイルが設定されているデバイスにおいて、デバイスと仕事用プロファイルで統合ロックを許可するかどうかを制御します。他のデバイスには影響しません。
統合ロックを許可: デバイスと仕事用プロファイルで共通のロックを使用できます。
個別の仕事用ロックを必須にする: 仕事用プロファイルに個別のロックが必要になります。
5. 工場出荷時設定へのリセットの無効化
設定からの工場出荷時設定へのリセットが、無効化されているかどうか。フルマネージドデバイスにのみ適用されます。
6. 工場出荷時設定へのリセット保護
工場出荷時設定へのリセット保護のためのデバイス管理者のメールアドレスです。デバイスが不正な工場出荷時設定へのリセットを受けた場合、これらの管理者のいずれかがGoogleアカウントのメールアドレスとパスワードを使用してログインし、デバイスのロックを解除する必要があります。管理者が指定されていない場合、デバイスには工場出荷時設定へのリセット保護は適用されません。フルマネージドデバイスにのみ適用されます。
管理者メールアドレス: 管理者の設定を開始するには、工場出荷時設定へのリセット保護を有効にするを使用します。次に、管理者メールアドレスの追加を使用してアドレスを追加し、削除アクションでそれらを削除します。
7. キーガード機能
無効化できるキーガード(ロック画面)機能。
7.1. すべて無効にする
現在および将来のすべてのキーガードのカスタマイズを無効にします。
7.2. カメラを無効にする
セキュアなキーガード画面(PINなど)でのカメラ使用を無効にします。
7.3. 通知を無効にする
セキュアなキーガード画面でのすべての通知表示を無効にします。
7.4. 未編集の通知を無効にする
セキュアなキーガード画面での未編集の通知表示を無効にします。
7.5. 信頼できるエージェントの状態を無視する
セキュアなキーガード画面での信頼できるエージェントの状態を無視します。
7.6. 指紋認証を無効にする
セキュアなキーガード画面での指紋センサーの使用を無効にします。
7.7. 通知へのテキスト入力を無効にする
セキュアなキーガード画面での通知へのテキスト入力を無効にします。
7.8. 顔認証を無効にする
セキュアなキーガード画面での顔認証を無効にします。
7.9. 虹彩認証を無効にする
セキュアなキーガード画面での虹彩認証を無効にします。
7.10. すべての生体認証を無効にする
セキュアなキーガード画面でのすべての生体認証を無効にします。
7.11. すべてのショートカットを無効にする
Android 14以上において、セキュアなキーガード画面上のすべてのショートカットを無効にします。
マルチメディア
このセクションでは、カメラ/マイクの動作、USBデータアクセス、印刷、およびディスプレイ関連の制限を構成できます。
1. カメラへのアクセス
カメラの使用、およびユーザーがカメラアクセスの切り替え設定にアクセスできるかどうかを制御します(Android 12以降)。一般的に、カメラの無効化はフル管理デバイスではデバイス全体に適用され、仕事用プロファイルデバイスでは仕事用プロファイル内のみに適用されます。
ユーザーによる選択(デフォルト): デバイスのデフォルトの動作です。カメラが使用可能で、(Android 12以降では)ユーザーがカメラアクセスの切り替えを行えます。
Disabled: すべてのカメラが無効になります(フル管理デバイスではデバイス全体、仕事用プロファイルデバイスでは仕事用プロファイル内のアプリのみ)。管理対象範囲内では、カメラアクセスの切り替え設定は機能しません。
Enforced: カメラが使用可能です。Android 12以降を実行しているフル管理デバイスでは、ユーザーはカメラアクセスの切り替えを行えません。その他のデバイスやバージョンでは、「ユーザーによる選択」と同様の動作になります。
2. マイクへのアクセス
フル管理デバイスにおいて、マイクの使用、およびユーザーがマイクアクセスの切り替え設定にアクセスできるかどうかを制御します(Android 12以降)。この設定は、フル管理されていないデバイスには影響しません。
ユーザーによる選択(デフォルト): デフォルトの動作です。マイクが使用可能で、(Android 12以降では)ユーザーがマイクアクセスの切り替えを行えます。
Disabled: マイクが無効になります(デバイス全体)。マイクアクセスの切り替え設定は機能しません。
Enforced: マイクが使用可能です。Android 12以降では、ユーザーはマイクアクセスの切り替えを行えません。Android 11以前のバージョンでは、「ユーザーによる選択」と同様の動作になります。
3. USBデータアクセス
USB経由で転送できるファイルやデータの種類を制御します。これは会社所有のデバイスでのみサポートされています。
Disallow file transfer (default): ファイル転送は禁止されますが、その他のUSBデータ接続(マウス/キーボードなど)は許可されます。
Disallow data transfer: すべての種類のUSBデータ転送が禁止されます(USB HAL 1.3以降を搭載したAndroid 12以降)。サポートされていない場合は、デバイスは「ファイル転送の禁止」にフォールバックします。
Allow data transfer: すべての種類のUSBデータ転送が許可されます。
4. 印刷
印刷を許可するかどうかを制御します(Android 9以降)。
Allowed (default): 印刷が許可されます。
Disallowed: 印刷が禁止されます(Android 9以降)。
5. 画面の明るさ設定
画面の明るさモード、および(オプションで)明るさの値を制御します。
画面の明るさモード:
ユーザーによる選択(デフォルト): ユーザーが画面の明るさを設定できます。
Automatic: 明るさが自動調整され、ユーザーは変更できません。明るさの値を設定することも可能ですが、これは自動調整の一部として使用されます(フル管理Android 9以降、および会社所有のAndroid 15以降の仕事用プロファイル)。
Fixed: 明るさが設定された値に固定され、ユーザーは変更できません。明るさの値の設定が必要です(フル管理Android 9以降、および会社所有のAndroid 15以降の仕事用プロファイル)。
画面の明るさ:
1から255の範囲の値(1 = 最も暗い、255 = 最も明るい)。値が0の場合は、明るさが設定されていないことを意味します。
6. 画面タイムアウト設定
ユーザーが画面タイムアウトを設定できるかどうか、および強制設定されている場合のタイムアウト値を制御します。
Screen timeout modeフィールドでは、ユーザー制御か強制設定かの動作を選択します。
ユーザーによる選択(デフォルト): ユーザーが画面タイムアウトを設定できます。
Enforced: 画面タイムアウトが設定された値に固定され、ユーザーは変更できません(フル管理Android 9以降、および会社所有のAndroid 15以降の仕事用プロファイル)。
画面タイムアウト:
秒単位のタイムアウト時間です。値は0より大きい必要があります。Maximum time to lockよりも大きい場合、システムによって値が制限され、非準拠として報告されることがあります。
7. スクリーンキャプチャの無効化
スクリーンキャプチャが禁止されているかどうかを指定します。
8. 音量調整の無効化
マスター音量の調整が禁止されているかどうかを指定します。
9. 物理メディアのマウントの無効化
物理的な外部メディアのマウントが禁止されているかどうかを指定します。
モバイル通信
このセクションでは、モバイル通信に関するポリシーを構成できます。
1. 機内モード
ユーザーが機内モードを切り替えられるかどうかを制御します。
ユーザーによる選択(デフォルト): ユーザーが機内モードのオン/オフを切り替えることができます。
Disabled: 機内モードが無効になります。ユーザーは機内モードをオンにすることはできません。Android 9以降でサポートされています。
2. モバイル通信 2G
ユーザーがモバイル通信の2G設定を切り替えられるかどうかを制御します。
ユーザーによる選択(デフォルト): ユーザーがモバイル通信の2G設定をオン/オフにすることができます。
Disabled: モバイル通信の2Gが使用不可になります。ユーザーは設定からモバイル通信の2Gをオンにすることはできません。Android 14以降でサポートされています。
3. APNの上書き
APNの上書きを有効にするかどうかを制御します。有効にすると、構成された上書き用APNのみが使用され、デバイス上の他のすべてのAPNは無視されます。
無効(デフォルト): 構成されたすべてのAPN設定がデバイスに保存されますが、これらは無効であり、影響を与えません。デバイス上の他のすべてのAPNは引き続き使用されます。
Enabled: 上書き用APNのみが使用され、他のすべてのAPNは無視されます。この設定は、Android 10以降のフル管理デバイスでのみ構成できます。
4. APN設定
1つ以上のAPNエントリを構成します。Add APNを使用してエントリを作成し、Remove APNで削除します。
各APNには必須項目があります。
APN Types: このAPNの通信タイプを1つ以上選択します(利用可能性は管理モードおよびAndroidのバージョンによって異なります)。
APN Name: 通信事業者が提供するAPN識別子です。
Display Name: UIに表示される分かりやすい名前です。
オプションのAPN項目:
Auth Type、Username、Password: 通信事業者の認証を構成します(必要な場合)。
ProtocolおよびRoaming Protocol: IPプロトコルの構成。
Network Types: このAPNが使用できるモバイル通信技術を制限します(例:LTE/5G NR)。
Proxy AddressおよびProxy Port: データ通信用のHTTPプロキシ(該当する場合)。
MMS Proxy Address、MMS Proxy Port、MMSC (MMS Center URI): MMS関連の設定。
Numeric Operator ID (MCC+MNC)およびCarrier ID: 通信事業者の識別フィールド。
Always On Setting: このAPNによってアクティブ化されたPDUセッションを常時接続(always-on)にするかどうかを指定します。Android 15以降でサポートされています。
MVNO Type: MVNO(仮想移動体通信事業者)の識別子タイプ。
MTU IPv4およびMTU IPv6: IPv4/IPv6ルートの最大伝送単位(MTU)です。Android 13以降でサポートされています。
5. セル放送設定の無効化
セル放送の設定が無効化されているかどうかを指定します。
6. モバイルネットワーク設定の無効化
モバイルネットワークの設定が無効化されているかどうかを指定します。
7. ローミングデータの無効化
ローミングデータサービスが無効化されているかどうかを指定します。
8. 発信の無効化
発信が禁止されているかどうかを指定します。
9. SMSの無効化
SMSメッセージの送受信が無効化されているかどうかを指定します。
10. 5Gネットワークスライシング設定
エンタープライズ5Gネットワークスライシングを有効にするために、優先ネットワークサービス設定を構成します。最大5つのエンタープライズスライスを設定でき、トラフィックルーティングを最適化するために特定のネットワークにアプリケーションを割り当てることができます。
10.1. デフォルトの優先ネットワーク
アプリケーションリストに含まれていない、またはアプリのPreferential Networkが設定されていないアプリケーション用の、デフォルトの優先ネットワークIDです。指定されたネットワークIDの構成が存在する必要があります(No Preferential Networkに設定されている場合を除く)。
注意: com.google.android.apps.work.clouddpcやcom.google.android.gmsのような重要なアプリは、このデフォルト設定から除外されます。
10.2. ネットワークサービス構成
Add Network Configurationを使用して、スライス構成を作成します。最大5つまで構成を追加できます。各構成には以下が含まれます。
Preferential Network ID (Auto-assigned): ネットワークIDが自動的に割り当てられ、変更することはできません。
Fallback to Default Connection: デバイス全体のデフォルトネットワークへのフォールバックを許可するかどうかを指定します。禁止されている場合、5Gスライスが利用できないときにアプリはインターネットにアクセスできません。
Non-Matching Networks: この構成の対象となるアプリが、優先サービス以外のネットワークを使用できるかどうかを指定します。Disallowedに設定されている場合、Fallback to Default ConnectionもDisallowedである必要があります。Android 14以降が必要です。
ネットワーク
このセクションでは、ネットワークに関するポリシーを構成できます。
Wi-Fi構成は、WiFi configurationsを介してシステムによってプロビジョニングおよび管理されます。Configure Wi‑Fiに設定された値によっては、ユーザーによるネットワークの追加や変更の操作が制限されるか、あるいは一切できなくなる場合があります。
デバイスの無線状態
1. Wi-Fi状態
Wi-Fiの現在の状態、およびユーザーがその状態を変更できるかどうかを制御します。
ユーザーによる選択(デフォルト): ユーザーがWi-Fiの有効/無効を切り替えることができます。
Enabled: Wi-Fiがオンになり、ユーザーはオフにすることはできません(Android 13以降)。
Disabled: Wi-Fiがオフになり、ユーザーはオンにすることはできません(Android 13以降)。
2. 最小Wi-Fiセキュリティレベル
デバイスが接続可能なWi-Fiネットワークの最小要件セキュリティレベルです。フル管理デバイス、および会社所有のAndroid 15以降の仕事用プロファイルにおいて、Android 13以降でサポートされています。
Open network (default): デバイスはあらゆる種類のWi-Fiネットワークに接続できます。
Personal network: オープンなWi-Fiネットワークを禁止します。少なくとも個人用セキュリティ(例:WPA2-PSK)が必要になります。
Enterprise network: エンタープライズEAPネットワークを要求します。このセキュリティレベルに満たないWi-Fiネットワークへの接続は禁止されます。
192‑bit enterprise network: 192ビットのエンタープライズネットワークを要求します。最も厳格なオプションです。
3. Ultra wideband (UWB) 状態
Ultra wideband(UWB)設定の状態、およびユーザーがそのオン/オフを切り替えられるかどうかを制御します。
ユーザーによる選択(デフォルト): ユーザーがUWBのオン/オフを切り替えることができます。
Disabled: UWBが無効になります。ユーザーは設定からUWBのオン/オフを切り替えることはできません(Android 14以降)。
デバイスの接続管理
4. Bluetooth共有
Bluetooth共有を許可するかどうかを制御します。
Allowed: Bluetooth共有が許可されます(フル管理デバイス、Android 8以降ではデフォルト)。
Disallowed: Bluetooth共有が禁止されます(仕事用プロファイル、Android 8以降ではデフォルト)。
5. Wi-Fiの設定
Wi-Fi設定の権限を制御します。選択したオプションに応じて、ユーザーはWi-Fiネットワークの設定において、フルコントロール、制限付きの操作、または一切の操作ができない状態になります。
Allow configuring Wi‑Fi (default): ユーザーがWi-Fiの設定を行うことができます。
Disallow add Wi‑Fi config: 新しいWi-Fi構成の追加は禁止されます。ユーザーは、すでに構成済みのネットワーク間での切り替えが可能です(Android 13以降。フル管理デバイス、および会社所有のAndroid 15以降の仕事用プロファイル)。
Disallow configuring Wi‑Fi: Wi-Fiネットワークの構成を禁止します。フル管理デバイスの場合、ユーザーが設定したネットワークは削除され、WiFi configurationsを介して構成されたネットワークのみが保持されます。会社所有の仕事用プロファイルの場合、既存のネットワークには影響しませんが、ユーザーはWi-Fiネットワークの追加/削除/変更ができなくなります。
Wi-Fi設定が無効化されており、デバイスが起動時に接続できない場合、システムはネットワーク・エスケープハッチを表示して、ユーザーが一時的に接続しポリシーを更新できるようにすることがあります。
6. Wi-Fi Direct設定
Wi-Fi Directの設定および使用を制御します。Android 13以降を実行している会社所有のデバイスでサポートされています。
Allow (default): ユーザーがWi-Fi Directを使用できます。
Disallow: ユーザーはWi-Fi Directを使用できません。
7. テザリング設定
テザリング設定を制御します。設定された値に基づき、ユーザーによるさまざまな形式のテザリングの使用を部分的または完全に禁止します。
すべてのテザリングを許可(デフォルト): すべての形式のテザリングの設定および使用を許可します。
Wi-Fiテザリングを禁止: ユーザーによるWi-Fiテザリングの使用を禁止します(会社所有のAndroid 13以降)。
すべてのテザリングを禁止: すべての形式のテザリングを禁止します(フルマネージド + 会社所有のワークプロファイル)。
8. Wi-Fi SSIDポリシー
デバイスが接続できるWi-Fi SSIDを制限します(これは、デバイス上でどのネットワークを設定できるかには影響しません)。Android 13以降を実行している会社所有のデバイスでサポートされています。
SSID拒否リスト(デフォルト): デバイスは、SSIDがリストに記載されているWi-Fiネットワークには接続できませんが、その他のネットワークには接続できます。
SSID許可リスト: デバイスは、リストに記載されているSSIDにのみ接続できます。SSIDリストは空であってはなりません。
エントリを追加するには SSIDを追加 を使用してください。選択されたポリシーの種類に応じて、リストは許可されたSSIDまたは拒否されたSSIDとして解釈されます。
ポリシーエディターのUIでは、許可リストの場合はSSIDリストが 許可されたWi-Fi SSID、拒否リストの場合は 拒否されたWi-Fi SSID と表示されます。
9. Wi-Fiローミング設定
SSIDごとにWi-Fiローミングモードを設定します。Wi-Fiローミング設定を追加を使用してエントリを作成します。
各エントリには以下が含まれます:
SSID: ローミング設定を適用するSSID(必須)。
Wi-Fiローミングモード: デフォルト / 無効 / アグレッシブ。無効およびアグレッシブを使用するにはAndroid 15以降が必要であり、フルマネージドデバイスおよび会社所有のデバイスのワークプロファイルでのみサポートされます。
ネットワーク制限
10. Bluetooth無効化
Bluetoothを無効にするかどうか。ユーザーによって回避される可能性がある「Bluetooth構成の無効化」よりも、この設定を使用することを推奨します。
11. Bluetooth連絡先共有の無効化
Bluetoothの連絡先共有を無効にするかどうか。
12. Bluetooth構成の無効化
Bluetoothの設定変更を無効にするかどうか。
13. ネットワークリセットの無効化
ネットワーク設定のリセットを無効にするかどうか。
14. アウトゴーイングビームの無効化
NFCを使用してアプリからデータをビーム送信することを無効にするかどうか。
VPN
15. Always On VPNアプリ
指定されたマネージドアプリからのデータが常に構成済みのVPNを経由するように、Always On VPNのパッケージ名を指定します。
注意: この機能を使用するには、Always OnとアプリごとのVPN機能の両方をサポートするVPNクライアントをデプロイする必要があります。
16. VPNロックダウン
VPNが接続されていないときに、ネットワーク通信を禁止します。
17. VPN構成の無効化
VPNの設定変更を無効にするかどうか。
プロキシおよびネットワークサービス
18. 推奨ネットワークサービス
ワークプロファイルで推奨ネットワークサービスを有効にするかどうかを制御します。例えば、組織が通信事業者と、業務データは企業専用のネットワークサービス(例:5Gネットワークのエキスパートスライスなど)を介して送信するという契約を結んでいる場合があります。これはフルマネージドデバイスには影響しません。
無効: ワークプロファイルで推奨ネットワークサービスが無効になります。
有効: ワークプロファイルで推奨ネットワークサービスが有効になります。
エンタープライズネットワークスライシングを使用する場合は、Cellularポリシーパネル内の5Gネットワークスライシング設定も構成し、推奨ネットワーク設定を使用してアプリをスライスに割り当ててください。
19. 推奨グローバルプロキシ
ネットワークに依存しないグローバルHTTPプロキシです。通常、プロキシはWi-Fi設定においてネットワークごとに構成されるべきものです。グローバルプロキシは、一般的な内部フィルタリングのような特殊な構成において有用な場合があります。なお、グローバルプロキシはあくまで推奨事項であり、一部のアプリでは無視される場合があります。
無効
ダイレクトプロキシ
プロキシ自動設定 (PAC)
19.1. ホスト
ダイレクトプロキシのホスト。
19.2. ポート
ダイレクトプロキシのポート。
19.3. PAC URI
プロキシを構成するために使用されるPACスクリプトのURI。
19.4. 除外ホスト
ダイレクトプロキシにおいて、プロキシをバイパスするホストです。ホスト名には *.example.com のようなワイルドカードを含めることができます。
Add excluded host を使用してエントリを追加します(ダイレクトプロキシでのみ利用可能です)。
Wi-Fi設定
システムがデバイスに適用するWi-Fiネットワーク構成を定義します。Wi-Fi設定を追加を使用してエントリを作成し、削除アクションでそれを削除します。
20. Wi-Fi設定フィールド
各構成には以下が含まれます:
構成名: 必須。
SSID: 必須。
自動接続: 範囲内に入ったときにネットワークに自動的に接続するかどうか。
高速ローミング (Fast Transition): クライアントがネットワークとの間で高速ローミング (IEEE 802.11r-2008) を試行するかどうか。
MACランダム化モード: ハードウェアまたは自動(Android 13以降)。
20.1. セキュリティ
Wi-Fiセキュリティオプション:
WPA-PSK: WPA/WPA2/WPA3-Personal (事前共有鍵)。
WPA-EAP: WPA/WPA2/WPA3-Enterprise (拡張認証プロトコル)。
WPA3 192ビットモード: WPA-EAPネットワークで、WPA3 192ビットモードのみを許可します。
20.2. パスフレーズ(事前共有鍵)
セキュリティが WEP-PSK または WPA-PSK のときに表示されます。パスフレーズは必須です。
20.3. EAPメソッド(エンタープライズ)
セキュリティが WPA-EAP または WPA3 192ビットモード のときに表示されます。いずれか1つのEAPアウターメソッドを選択してください:
EAP-TLS
EAP-TTLS
PEAP
EAP-SIM
EAP-AKA
20.4. フェーズ2認証
トンネリングアウターメソッド(EAP-TTLS および PEAP)の場合に表示されます。
MSCHAPv2
PAP
20.5. ユーザーによるEAP認証情報
有効にすると、システムはデバイス上でユーザーごとにEAP認証情報を自動的に適用します。ユーザーの認証情報は ユーザー セクションで構成できます。
20.6. クライアント証明書
EAP‑TLSでは、Wi‑Fi認証に使用するクライアント証明書を割り当てることができます。詳細については、証明書管理ページをご参照ください。
すでに証明書が割り当てられている場合は、証明書を開くで表示するか、証明書を変更で別の証明書を選択できます。
または、Androidのキーチェーンに保存され、Wi-Fi認証が許可されているクライアント証明書を参照する クライアント証明書キーペアエイリアス を指定することもできます。
Client certificate と Client certificate key pair alias の両方が設定されている場合、キーペアエイリアスは無視されます。
20.7. ID (Identity)
ユーザーのIDです。トンネリングアウタープロトコル(PEAP、EAP-TTLS)の場合、これはトンネル内での認証に使用され、匿名IDがトンネル外のEAP IDとして使用されます。非トンネリングアウタープロトコルの場合は、これがEAP IDとして使用されます。
20.8. 匿名ID
トンネリングプロトコルのみにおいて、これはアウタープロトコルに提示されるユーザーのIDを示します。
20.9. パスワード
ユーザーのパスワード。指定しない場合は、デフォルトでユーザーへのプロンプト表示となります。
20.10. サーバーCA証明書
ホストの証明書チェーンを検証するために使用されるCA証明書のリストです。少なくとも1つのCA証明書が一致する必要があります。詳細については、証明書管理ページをご覧ください。
Add Server CA certificate を使用してエントリを追加し、削除アクションでそれらを削除します。
20.11. ドメインサフィックスの一致
サーバーのドメイン名に対する制約リストです。これらのエントリは、認証サーバー証明書の代替サブジェクト名(SAN)のDNS名に対するサフィックス一致要件として使用されます。
システム
このセクションでは、システム関連のポリシーを設定できます。
1. 最小APIレベル
許可される最小のAndroid APIレベル。
2. 暗号化ポリシー
暗号化が有効かどうか。
デフォルト: この値は無視されます。つまり、暗号化の要件はありません。
パスワードなしで有効化: 暗号化は必要ですが、起動時のパスワードは不要です。
パスワードを使用して有効化: 暗号化が必要で、起動時にパスワードが必要です。
3. 日付と時刻の自動設定
会社所有のデバイスにおいて、日付、時刻、およびタイムゾーンの自動設定が有効かどうか。
ユーザーによる選択(デフォルト): 日付、時刻、およびタイムゾーンの自動設定はユーザーの選択に委ねられます。
強制: デバイスの日付、時刻、およびタイムゾーンの自動設定を強制します。
4. 開発者向けオプション
開発者向けオプションやセーフモードなどの、開発者向け設定へのアクセスを制御します。
無効(デフォルト): すべての開発者向け設定を無効にし、ユーザーによるアクセスを禁止します。
許可: すべての開発者向け設定を許可します。ユーザーはこれらの設定にアクセスし、必要に応じて構成できます。
5. コモンクライテリアモード
コモンクライテリアモード(情報技術セキュリティ評価基準:CCで定義されたセキュリティ規格)を制御します。コモンクライテリアモードを有効にすると、デバイス上の特定のセキュリティコンポーネントが強化されます(例:Bluetooth長期キーのAES-GCM暗号化、一部のネットワーク証明書に対する追加検証、および暗号化ポリシーの整合性チェック)。コモンクライテリアモードは、Android 11以上を実行している会社所有のデバイスでのみサポートされています。警告:コモンクライテリアモードは、通常、極めて機密性の高い組織にのみ求められる厳格なセキュリティモデルを強制します。標準的なデバイスの使用に影響が出る可能性があるため、必要な場合にのみ有効にしてください。
無効(デフォルト): コモンクライテリアモードを無効にします。
有効: コモンクライテリアモードを有効にします。
6. メモリ・タギング拡張 (MTE)
デバイス上のメモリ・タギング拡張 (MTE) を制御します。
ユーザーによる選択(デフォルト): ユーザーは、デバイスが対応している場合、デバイス上のMTEを有効にするか無効にするかを選択できます。
強制: MTEが有効になり、ユーザーは設定を変更できません(Android 14以上。フルマネージドデバイスおよび会社所有デバイスのワークプロファイルでサポート)。
無効: MTEが無効になり、ユーザーは設定を変更できません(Android 14以上。フルマネージドデバイスでのみサポート)。
7. コンテンツ保護
コンテンツ保護(欺瞞的なアプリの検出スキャン)を有効にするかどうかを制御します。これはAndroid 15以上でサポートされています。
無効(デフォルト): コンテンツ保護が無効になり、ユーザーはこの設定を変更できません。
強制: コンテンツ保護が有効になり、ユーザーはこの設定を変更できません(Android 15以上)。
ユーザーによる選択: コンテンツ保護はポリシーによって制御されません。ユーザーが選択できます(Android 15以上)。
8. アシストコンテンツ
アシストアプリ(例:かこって検索)などの権限を持つアプリに、AssistContentの送信を許可するかどうかを制御します。AssistContentには、スクリーンショットやパッケージ名などのアプリに関する情報が含まれます。これはAndroid 15以上でサポートされています。
許可(デフォルト): アシストコンテンツの権限を持つアプリへの送信を許可します(Android 15以上)。
禁止: アシストコンテンツの権限を持つアプリへの送信をブロックします(Android 15以上)。
9. 作成ウィンドウの無効化
アプリのウィンドウ以外の作成ウィンドウを無効にするかどうかを制御します。このオプションを有効にすると、以下のシステムUIの表示が防止されます:トーストおよびスナックバー、電話のアクティビティ(着信など)および優先度の高い電話のアクティビティ(通話中など)、システムアラート、システムエラー、およびシステムオーバーレイ。
10. ネットワーク・エスケープハッチ
ネットワーク・エスケープハッチを有効にするかどうかを制御します。起動時にネットワーク接続ができない場合、エスケープハッチはデバイスのポリシーを更新するために一時的にネットワークに接続するようユーザーに促します。ポリシーが適用されると、その一時的なネットワーク情報は削除され、デバイスの起動が続行されます。これにより、最終的なポリシーに適切なネットワークが含まれておらず、デバイスがロックタスクモードのアプリアクティビティで起動した場合や、ユーザーがデバイスの設定にアクセスできない場合に、ネットワーク接続ができなくなる事態を防ぎます。
11. デフォルトのアクティビティ
特定のインテントフィルターに一致するインテントを処理するための、デフォルトのアクティビティのリストです。例えば、この機能を使用すると、IT管理者がウェブリンクを自動的に開くブラウザアプリや、ホームボタンをタップした際に使用されるランチャアプリを選択できます。
デフォルトのアクティビティを追加 を使用してエントリを作成します。各エントリ内で、アクションを追加 と カテゴリを追加 を使用して、インテントフィルターを構築します。
11.1. 受信アクティビティ
デフォルトのインテントハンドラーとなるアクティビティです。これは Android のコンポーネント名(例: `com.android.enterprise.app/.MainActivity`)である必要があります。または、アプリのパッケージ名を指定することもでき、その場合は Android Device Policy がインテントを処理するために適切なアクティビティをアプリ内から選択します。
11.2. アクション
フィルター内で一致させるインテントアクションです。フィルターにアクションが含まれている場合、インテントのアクションがそれらの値のいずれかである必要があります。アクションが含まれていない場合は、インテントのアクションは無視されます。
11.3. カテゴリ
フィルター内で一致させるインテントカテゴリです。インテントには必要なカテゴリが含まれており、それらすべてがフィルターに含まれている場合にのみ一致します。言い換えれば、インテント内でそのカテゴリが指定されていない限り、フィルターにカテゴリを追加しても一致結果には影響しません。
12. 許可された入力メソッド
許可された入力メソッドを指定します。
すべて許可: 制限は適用されません。すべての入力メソッドが許可されます。
システムのみ: システムに組み込まれた入力メソッドのみが許可されます。
システムおよび提供されたもののみ: 提供された入力メソッドとシステムに組み込まれた入力メソッドのみが許可されます。
12.1. 許可された入力メソッド
許可される入力メソッドのパッケージ名です。許可された入力メソッド が システムおよび提供されたもののみ に設定されている場合にのみ適用されます。
入力メソッドを追加 を使用してエントリを追加し、削除アクションでそれらを削除します。
13. 許可されたアクセシビリティサービス
許可されたアクセシビリティサービスを指定します。
すべて許可: すべてのアクセシビリティサービスを使用できます。
システムのみ: システムに組み込まれたアクセシビリティサービスのみを使用できます。
システムおよび提供されたもののみ: 提供されたアクセシビリティサービスとシステムに組み込まれたアクセシビリティサービスのみを使用できます。
13.1. 許可されたアクセシビリティサービス
許可されたアクセシビリティサービスです。許可されたアクセシビリティサービス が システムおよび提供されたもののみ に設定されている場合にのみ適用されます。
アクセシビリティサービスを追加 を使用してエントリを追加し、削除アクションでそれらを削除します。
14. システムアップデートポリシー
システムアップデートを管理するための設定です。
デフォルト: デバイスのデフォルトのアップデート動作に従います。通常、ユーザーがシステムアップデートを承認する必要があります。
自動: アップデートが利用可能になり次第、自動的にインストールします。
ウィンドウ表示: 毎日設定されたメンテナンス時間内に自動的にインストールします。また、Playアプリもこの時間内に更新されるよう構成されます。これはキオスクデバイスにおいて強く推奨される設定です。なぜなら、フォアグラウンドに永続的にピン留めされているアプリをPlay経由で更新できる唯一の方法だからです。
延期: 自動インストールを最大30日間延期します。
14.1. メンテナンス時間(ウィンドウ表示のみ)
システムアップデートポリシー が ウィンドウ表示 に設定されている場合、開始時刻 と 終了時刻 フィールドを使用して、毎日のメンテナンス時間を定義できます。
14.2. システムアップデート凍結期間
デバイス上で実行されているOSバージョンを固定するために、OTA(Over-the-Air)システムアップデートを延期する、毎年繰り返される期間です。デバイスの凍結が際限なく続くのを防ぐため、各凍結期間は少なくとも60日間空ける必要があります。また、各凍結期間は90日を超えてはなりません。
システムアップデート凍結期間を追加 を使用してエントリを作成します。
15. 認証プロバイダーのデフォルト設定
Android 14以上において、どのアプリが認証プロバイダーとして動作することを許可するかを制御します。
禁止(デフォルト): credentialProviderPolicy が未指定のアプリは、認証プロバイダーとして動作することは許可されません。
システム以外は禁止: credentialProviderPolicy が未指定のアプリは、OEMのデフォルト認証プロバイダーを除き、認証プロバイダーとして動作することは許可されません。
位置情報とジオフェンス
このパネルには、デバイスの位置情報の報告、位置情報の強制、およびジオフェンスの定義を制御するAndroidポリシー設定がまとめられています。Cerberus Enterpriseにデバイスの位置情報を収集させたり、デバイスが設定されたエリアに出入りしたことを検知させたい場合に使用します。
位置情報の報告
位置情報の報告
デバイスの地理的位置情報の報告を有効にします。この設定を通じて収集された位置データは、ダッシュボードの位置情報マップ、デバイスの概要における位置履歴、およびジオフェンス処理に使用されます。
フルマネージドではないデバイスでは、位置データは Cerberus Enterprise アプリに必要な位置情報の権限が付与されていること、およびデバイスの位置情報サービスが有効になっていることに依存する場合があります。
位置モード
会社所有のデバイスにおける位置設定を制御します。
- ユーザーによる選択: 位置情報サービスはポリシーによって制限されません。
- Enforced: デバイスの位置情報サービスが有効になります。
- Disabled: デバイスの位置情報サービスが無効になります。
位置情報の共有の無効化
仕事用アプリの位置情報共有を無効にします。プロファイル所有者(PO)デバイスの場合、これは仕事用プロファイルに影響します。フル管理デバイスの場合、デバイス全体の位置情報が使用不可になり、デバイスの位置モード設定を上書きします。
アクティブなジオフェンスによる自動動作
アクティブなジオフェンスを機能させるには、位置情報の報告が必要です。少なくとも1つのジオフェンスがアクティブな場合、Cerberus Enterpriseは関連する位置設定を自動的に一貫した状態に保ちます。
- アクティブなジオフェンスが存在する間、Report locationが強制的にオンになります。
- Location modeがEnforcedに強制設定されます。
- Share location disabledが強制的にオフになります。
1つ以上のジオフェンスがアクティブな状態でReport locationを無効化しようとすると、Cerberus Enterpriseは確認ダイアログを表示します。続行した場合、ポリシー内のすべてのアクティブなジオフェンスが解除されます。
ジオフェンスリスト
ポリシーには最大 10個のジオフェンスを含めることができます。ジオフェンス名はポリシー内で一意である必要があります。
Add geofenceを使用して、新しいエントリを作成します。各ジオフェンスには以下の主要なフィールドが含まれます。
- Name: 必須項目であり、一意である必要があります。
- LatitudeおよびLongitude: エリアの中心座標です。
- Radius (m): 必須項目です。100から10000メートルの範囲で設定してください。
- Description: 管理者向けの任意メモです。
- Report enterおよびReport exit: どの遷移イベントを生成するかを選択します。
- Active: ジオフェンスを削除せずに、有効または無効にします。
各ジオフェンスにおいて、Report enterまたはReport exitの少なくとも一方が有効である必要があります。
マップ編集ツール
各ジオフェンスカードには、そのエリアのマッププレビューが含まれています。マップから、または数値入力フィールドから形状を編集できます。
- エリア編集がロック解除されている場合、マップをクリックしてジオフェンスの中心を移動できます。
- Current locationボタンを使用すると、ブラウザの現在位置にマップの中心を合わせることができます。
- Recenter mapボタンを使用すると、そのジオフェンスの推奨ビューポートを復元します。
- ロックボタンを使用して、ジオフェンスの形状が誤って変更されるのを防ぎます。
ジオフェンスデータの表示場所
ジオフェンスの遷移は、Androidの"/>Device overviewページ内、位置情報パネルのGeofenceタブで確認できます。そのタブでは、専用のマップ上に遷移が表示され、フィルタリングツールや遷移リストもあわせて表示されます。
ユーザー管理
ユーザー追加の無効化
新しいユーザーやプロファイルの追加を無効にするかどうかを制御します。managementMode が DEVICE_OWNER のデバイスでは、このフィールドは無視され、ユーザーがユーザーを追加または削除することは一切許可されません。
アカウントの変更の無効化
アカウントの追加または削除を無効にするかどうかを制御します。
ユーザー認証情報の構成の無効化
ユーザー認証情報の構成を無効にするかどうかを制御します。
ユーザー削除の無効化
他のユーザーの削除を無効にするかどうかを制御します。
ユーザーアイコンの設定の無効化
ユーザーアイコンの変更を無効にするかどうかを制御します。
壁紙設定の無効化
壁紙の変更を無効にするかどうかを制御します。
ワークアカウント設定時の認証
ワークアカウント設定中のユーザー認証方法を制御します。このオプションは、管理対象の Google ドメイン(Google Workspace)によってサポートされている Android エンタープライズでのみ利用可能です。
デバイスのセットアップ/登録中、このポリシーはワークアカウントへのサインインが必要かどうかを左右しますが、Google 管理コンソールの設定 Google を使用して認証 および登録トークンの種類によって、引き続き認証が求められる場合があります。
登録済みのデバイスの場合、このポリシーはデバイスが管理対象の Google Play アカウントによって管理されている場合(つまり、Google を使用して認証による登録 を行わずに登録された場合)にのみ適用されます。
詳細およびトラブルシューティングについては、Google を使用して認証による登録 を参照してください。
ブロックされたアカウントの種類
ユーザーが管理できないアカウントの種類です。このオプションを有効にすると、デバイスのユーザーが承認されていないアカウントを追加することを防止できます。
ブロックされたアカウントの種類を追加 を使用して、1つ以上のアカウントの種類を追加します。
各エントリには、アカウントの種類 フィールド(必須)があります。com.google などの文字列を入力してください。エントリを削除するには、削除アクションを使用します。
個人利用
業務および個人利用を目的とした会社所有デバイスのプロビジョニングを行う際、ワークプロファイル外での個人の利用におけるユーザーのデバイス操作を制限するためのルールを指定できます。
このセクションは、ワークプロファイルが設定された会社所有のデバイスにのみ適用されます。フルマネージドデバイスや個人所有のデバイスには影響しません。
1. カメラの無効化
カメラを無効にするかどうか。
2. スクリーンキャプチャの無効化
スクリーンキャプチャを無効にするかどうか。
3. 業務オフの最大日数
ワークプロファイルをオフの状態にできる期間を制御します。
4. Bluetooth共有
会社所有のワークプロファイル付きデバイスにおいて、個人プロファイルでのBluetooth共有を許可するかどうかを制御します。
5. プライベートスペース
デバイスでのプライベートスペースの使用を許可するかどうかを制御します。
6. Play ストアモード
このモードは、個人プロファイルのPlayストアにおいて、ユーザーに対してどのアプリを許可またはブロックするかを制御します。
ブロックリスト(デフォルト): すべてのアプリが利用可能です。デバイスにインストールすべきでないアプリは、アプリケーション セクションで明示的に ブロック済み とマークする必要があります。
許可リスト: アプリケーション セクションで インストールタイプ が 利用可能 に指定されているアプリのみ、個人プロファイルへのインストールが許可されます。
7. アプリケーション
個人プロファイルで許可またはブロックする必要があるアプリケーションのリストです。リストの内容の動作は、Play Storeモード で設定された値に依存します。
Play ストアから新しいアプリを追加するには、+ アイコンをクリックしてください。
7.1. インストールタイプ
個人プロファイルのアプリケーションが持つことができるインストール動作のタイプです。
ブロック済み: アプリがブロックされ、個人プロファイルにインストールできません。
利用可能: アプリを個人プロファイルにインストールできます。
8. ブロックされたアカウントタイプ
ユーザーが管理できないアカウントタイプです。このオプションにより、デバイスのユーザーが個人のプロファイルに未承認のアカウントを追加することを防ぎます。
プロファイル間ポリシー
個人用プロファイルと仕事用プロファイルの両方を持つデバイスにのみ適用されます。
プロファイル間のコピー/貼り付け
一方のプロファイル(個人用または仕事用)からコピーしたテキストを、もう一方のプロファイルに貼り付けられるかどうかを指定します。
Disallowed (default): 仕事用プロファイルからコピーしたテキストを個人用プロファイルに貼り付けることを禁止します。個人用プロファイルからコピーしたテキストは、仕事用プロファイルに貼り付けることができます。
Allowed: どちらかのプロファイルでコピーしたテキストを、もう一方のプロファイルに貼り付けることができます。
プロファイル間のデータ共有
一方のプロファイル(個人用または仕事用)のデータを、もう一方のプロファイルのアプリと共有できるかどうかを指定します。具体的には、インテントを介した単純なデータ共有を制御します。連絡先の検索、コピー/貼り付け、
または連携された仕事用・個人用アプリなど、その他のプロファイル間通信チャネルの管理は別途構成されます。
Disallowed: 個人用プロファイルから仕事用プロファイルへの、および仕事用プロファイルから個人用プロファイルへのデータの共有を禁止します。
Work to Personal disallowed (default): 仕事用プロファイルから個人用プロファイルのアプリへのデータ共有を禁止します。個人用のデータは仕事用のアプリと共有できます。
Allowed: どちらかのプロファイルのデータを、もう一方のプロファイルと共有できます。
仕事用プロファイルのウィジェットのデフォルト設定
仕事用プロファイルのウィジェットのデフォルト動作です。特定のアプリにウィジェットポリシーが定義されていない場合、ここで設定されたデフォルトに従います。
プロファイル間のアプリ機能
個人用プロファイルのアプリが、仕事用プロファイルのアプリの機能を呼び出せるかどうかを制御します。これにはAndroid 16以降が必要です。
この設定は、ポリシーレベルのApp functionsオプション(アプリ管理セクション内)に依存します。App functionsがDisallowedに設定されている場合、APIはAllowedに設定されたプロファイル間のアプリ機能を拒否します。
個人用プロファイル内の仕事用連絡先
仕事用プロファイルに保存されている連絡先を、個人用プロファイルの連絡先検索や着信時に表示できるかどうかを指定します。
Allowed (default): 仕事用プロファイルの連絡先を個人用プロファイルに表示することを許可します。
Disallowed: 個人用アプリが仕事用プロファイルの連絡先にアクセスしたり、仕事用の連絡先を検索したりすることを禁止します。
Disallowed except system: OEMのデフォルトの電話、メッセージ、連絡先アプリを除き、ほとんどの個人用アプリが仕事用プロファイルの連絡先にアクセスすることを禁止します(Android 14以降)。
「個人用プロファイル内の仕事用連絡先」が構成されている場合、オプションとしてExempted package nameエントリのリストを定義できます。選択されたモードに応じて、これらの除外設定は個人用アプリに対する許可リストまたはブロックリストとして機能します。
ステータスレポート
このセクションでは、デバイスから取得するデータを設定できます。ステータスデータは、デバイスのステータスダッシュボードページで確認できます。
アプリケーションレポート
アプリレポートが有効かどうか。 (インストールされているアプリに関する情報が報告されます。)
このオプションはシステム(コンパニオンアプリの統合のため)によって必須となっており、常に有効です。無効にすることはできません。
削除済みアプリを含める
削除済みアプリをアプリケーションレポートに含めるかどうか。
デバイス設定
デバイス設定のレポートが有効かどうか。(デバイス上のセキュリティ関連のデバイス設定に関する情報。)
ソフトウェア情報
ソフトウェア情報のレポートが有効かどうか。(デバイスのソフトウェアに関する情報。)
メモリ情報
メモリレポートが有効かどうか。(メモリおよびストレージの測定に関連するイベント。)
ネットワーク情報
ネットワーク情報のレポートが有効かどうか。(デバイスのネットワーク情報。)
ディスプレイ情報
ディスプレイ情報のレポートが有効かどうか。仕事用プロファイルを持つ個人所有のデバイスでは、レポートデータは利用できません。(デバイスのディスプレイ情報。)
電源管理イベント
電源管理イベントのレポートが有効かどうか。仕事用プロファイルを持つ個人所有のデバイスでは、レポートデータは利用できません。
ハードウェアのステータス
ハードウェアステータスのレポートが有効かどうか。仕事用プロファイルを持つ個人所有のデバイスでは、レポートデータは利用できません。
システムプロパティ
システムプロパティのレポートが有効かどうか。
コモンクライテリアモード
コモンクライテリアモードのレポートが有効かどうか。
その他
1. イースターエッグゲームの無効化
設定内のイースターエッグゲームが無効化されているかどうかを指定します。
2. 初回使用時のヒントをスキップ
初回使用時のヒントをスキップするためのフラグです。エンタープライズ管理者は、アプリが初回起動時にユーザー向けチュートリアルやその他の導入ヒントをスキップすることを推奨するシステム設定を有効にできます。
3. 短いサポートメッセージ
管理者が機能を無効化した際に、設定画面の該当箇所にユーザーへ表示されるメッセージです。メッセージが200文字を超える場合は、切り詰められることがあります。
4. 長いサポートメッセージ
デバイス管理者設定画面に表示されるユーザー向けのメッセージです。
5. オーナー用ロック画面情報
ロック画面に表示されるデバイスオーナーの情報です。
6. セットアップアクション
セットアッププロセス中に実行するアクションです。登録(エンロールメント)中に、デバイスのセットアップに必要な1つまたは複数のアプリをユーザーに開くよう要求できます。
Add setup actionを使用してエントリを作成し、削除アクションによってそれらを削除できます。
6.1. 起動アプリ
起動するアプリのパッケージ名
6.2. タイトル
なぜそのアプリを起動する必要があるのかをユーザーに説明するための、ユーザー向けメッセージを提供します。
6.3. 説明
なぜそのアプリを起動する必要があるのかをユーザーに説明するための、ユーザー向けメッセージを提供します。
7. エンタープライズ表示名の可視性
デバイスにエンタープライズ表示名が表示されるかどうかを制御します(例:会社所有のデバイスにおけるロック画面メッセージなど)。
Visible (default): エンタープライズ表示名がデバイスに表示されます(Android 7以降の仕事用プロファイル、およびAndroid 8以降のフル管理デバイスでサポートされています)。
ポリシー適用ルール
デバイスまたはワークプロファイルが、以下に記載されているポリシー設定のいずれかに準拠しなかった場合、Android Device Policyはデフォルトで、デバイスまたはワークプロファイルの使用を即座にブロックします。
- パスワード要件
- 暗号化ポリシー
- キーガードの無効化
- 許可された入力方法
- 許可されたアクセシビリティサービス
デバイスまたはワークプロファイルが10日間経過しても準拠しない状態が続く場合、Android Device Policyはデバイスを工場出荷時設定にリセットするか、ワークプロファイルを削除します。
このセクションでは、デフォルトのコンプライアンス適用ルールを上書きしたり、新しいルールを追加したりできます。
ルール
特定のポリシーをデバイスに適用できない場合の動作を定義するルールのリストです。
新しいルールを作成するには ルールを追加 を使用してください。各ルールカードは、削除アクションを使用して削除できます。
設定名
適用するトップレベルのポリシーです。例えば、アプリケーション や パスワード要件 などがあります。
必須。 値はサポートされているトップレベルのポリシー名と一致する必要があります。一致しない場合、フィールドは無効としてマークされます。
ブロックまでの日数
デバイスまたはワークプロファイルがブロックされるまでの、ポリシー非準拠の許容日数です。即座にアクセスをブロックするには、0に設定してください。ブロックまでの日数は、ワイプまでの日数より少なく設定する必要があります。これは会社所有のデバイスにのみ適用されます。
許可された範囲: 0–300。
ブロック範囲
ブロックアクションの範囲を指定します。会社所有のデバイスにのみ適用されます。
デフォルト(新規ルール): ワークプロファイル。
ワークプロファイル: ブロックアクションはワークプロファイル内のアプリにのみ適用されます。個人プロファイル内のアプリには影響しません。
デバイス全体: ブロックアクションは、個人プロファイル内のアプリを含むデバイス全体に適用されます。
ワイプまでの日数
デバイスまたはワークプロファイルがワイプされるまでの、ポリシー非準拠の許容日数です。
ワイプまでの日数は、ブロックまでの日数より大きく設定する必要があります。これは会社所有のデバイスにのみ適用されます。
必須。 デフォルト(新規ルール): 1。
許可された範囲: 1–300。
工場出荷時リセット保護を保持
デバイス上で工場出荷時リセット保護データが保持されるかどうか。この設定はワークプロファイルには適用されません。
デフォルト(新規ルール): 有効。
ポリシー - Apple
Appleポリシー
Appleポリシーは、Cerberus EnterpriseがMDMを介してAppleデバイスに適用する管理設定を定義します。これらの設定は、ダッシュボードのAppleポリシーエディタから構成されます。
始める前に
Apple デバイスの管理には、Apple Management (APNs) の設定が必要です。必要に応じて、Apple Management setup (APNs)> ページをお読みください。
Apple Policy Editorを開く
ダッシュボードでポリシーを開き、新しいAppleポリシーを作成をクリックします。既存のAppleポリシーを編集するには、ポリシーテーブル内の該当する行をクリックしてください。
エディターのレイアウト
Apple Policy Editorは、展開可能なセクションのセットで構成されています。ページ上部では、常に以下の項目を編集できます:
- 名前 (必須)
- ID (読み取り専用)
- 説明 (任意)
ポリシーセクション
以下のセクションは、現在Apple Policy Editorで利用可能なパネルに対応しています。
- アプリ管理: アプリ関連の制限および管理対象アプリを設定します。
- パスコード設定: パスコードの要件および関連するルールを設定します。
- セキュリティ: 自動ロック解除や生体認証によるロック解除などの機能を制御します。
- iCloud: 特定のiCloudサービス(バックアップ、キーチェーン同期、プライベートリレーなど)の許可または禁止を設定します。
- マルチメディア: カメラおよび関連機能の許可/禁止を設定します。
- セルラー: セルラー関連の設定(アプリのセルラーデータ設定、eSIM、プラン変更など)を制御します。
- ネットワーク: AirDrop、AirPrint、AirPlay、およびその他の接続設定を制御します。
- アカウント: アカウントの変更を制限し、(オプションで)Googleアカウントおよびメールアカウントを設定します。
Apple Policy Editorの多くのオプションには、要件やサポートされているOSバージョンを記載したツールチップが表示されます。
保存、削除、および関連デバイス
変更を適用するには、ポリシーを保存を使用します。保留中の編集がない場合、またはライセンスの期限が切れている場合、ボタンは無効になります。
既存のポリシーを編集する場合、ページにはポリシーの削除アクションも表示されます。また、エディターの下部には関連デバイスリストが表示される場合があり、現在そのポリシーを使用しているデバイスの数を確認できます。
次のページ
- パスコード:パスコードの要件および関連するセキュリティオプションを設定します。
- 制限:許可される機能およびOSレベルの制限を定義します。
- アプリとプロファイル:インストール済みアプリおよび構成プロファイルの設定。
Appleポリシー:パスコード
パスコード設定 セクションでは、デバイスのパスコード要件および関連するセキュリティルール(最小文字数や複雑さなど)を制御します。
オプション
Apple Policy Editorでは、トグルと数値入力フィールドを組み合わせてパスコードのオプションを設定します。多くのフィールドには、サポートされているOSバージョンや管理(Supervision)要件を示すツールチップが含まれています。
パスコードの切り替え設定
- ChangeAtNextAuth: ユーザーが次回認証する際に、パスワードのリセットを強制します。
- RequireAlphanumericPasscode: 少なくとも1つの英字と1つの数字を必須にします。
- RequireComplexPasscode: 「複雑な」パスコード(繰り返しのパターンや連続した数字・文字を禁止し、少なくとも1つの非英数字文字を含む)を必須にします。
- RequirePasscode: 追加の長さや複雑さの要件なしに、パスコードを必須にします。注:他のパスコード設定項目を有効にすると、暗黙的にパスコードが必須となります。
数値入力フィールド
- FailedAttemptsResetInMinutes: 失敗回数カウンターがリセットされるまでの時間(分)(MaximumFailedAttemptsの設定が必要です)。
- MaximumFailedAttempts: デバイスが消去またはロックされるまでに許可される失敗回数(範囲:2–11)。
- MaximumGracePeriodInMinutes: パスコードを入力せずにデバイスのロックを解除できる時間(分)(0 = なし)。
- MaximumInactivityInMinutes: デバイスがロックされるまでのアイドル時間(範囲:0–15)。
- MaximumPasscodeAgeInDays: パスコードの変更を強制するまでの最大日数(範囲:0–730)。
- MinimumComplexCharacters: 「複雑な」文字の最小数(範囲:0–4)。
- MinimumLength: パスコードの最小文字数(範囲:0–16)。
- PasscodeReuseLimit: 過去のパスコードの再利用を防止するための履歴保持数(範囲:1–50)。
Appleポリシー:制限事項
制限事項セクションでは、管理対象のAppleデバイスで許可されるOS機能が制御されます。Apple Policy Editorでは、これらのオプションは複数の切り替えスイッチを備えたグループ化されたパネルとして表示されます。
多くの制限事項は特定のOSバージョンでのみサポートされており、管理(Supervision)が必要な場合があります。正確な要件については、ダッシュボードのツールチップを確認してください。
セキュリティ
- 自動ロック解除を許可
- 指紋によるロック解除を許可
- 指紋設定の変更を許可
iCloud
- iCloudアドレス帳の同期を許可
- iCloudバックアップを許可
- iCloudブックマークの同期を許可
- iCloudカレンダーの同期を許可
- iCloudのデスクトップと書類を許可
- iCloud書類の同期を許可
- iCloud Freeformを許可
- iCloudキーチェーンの同期を許可
- iCloud Mailを許可
- iCloudメモの同期を許可
- iCloud写真ライブラリの同期を許可
- iCloudプライベートリレーを許可
- iCloudリマインダーの同期を許可
マルチメディア
- カメラの使用を許可
- ファイル共有設定の変更を許可
- ファイルアプリによるUSBドライブへのアクセスを許可
セルラー
- アプリのモバイルデータ通信設定の変更を許可
- モバイル通信プランの変更を許可
- eSIM設定の変更を許可
- eSIMの転送を許可
ネットワーク
- AirDropを許可
- AirPlayの受信リクエストを許可
- AirPrintを許可
- AirPrintの認証情報保存を許可
- AirPrintのiBeacon検出を許可
- Bluetooth設定の変更を許可
- Bluetooth共有設定の変更を許可
- ファイルアプリによるネットワークドライブへのアクセスを許可
- インターネット共有設定の変更を許可
アカウント(制限事項)
アカウントパネルには、制限事項と(オプションで)アカウント設定が含まれています。制限の切り替えスイッチは、ユーザーがシステムアカウントを変更できるかどうかを制御します。
- アカウントの変更を許可
Appleポリシー:アプリとプロファイル
このセクションでは、Appleデバイス用の管理対象アプリケーションおよびアカウントペイロードの設定方法について説明します。
アプリ管理
アプリ管理 パネルには、アプリ全般に関する制限事項と管理対象アプリのリストの両方が含まれています。
アプリ全般の制限事項
- App Clipsを許可
- アプリのインストールを許可
- アプリの削除を許可
- アプリの自動ダウンロードを許可
- アプリの非表示を許可
- アプリのロックを許可
- アプリ内課金を許可
管理対象アプリ
ポリシーにアプリを追加するには、アプリケーションの追加 を使用します。各管理対象アプリはカードとして表示されます。カードを展開して設定を編集したり、削除アクションを使用してアプリを削除したりできます。
- App Store ID: 管理対象アプリのApp Store識別子。
- Bundle ID: アプリのバンドル識別子。
- インストール動作: アプリをインストールしたままにする必要があるか、またはユーザーがアプリをインストール/削除できるかを制御します。
- 割り当て: ライセンスの割り当てタイプ。
- VPPライセンス: App Store経由のインストールに使用されるVPPライセンスの種類。
アカウント
アカウント パネルでは、管理対象デバイスに適用されるアカウントを設定できます。また、アカウントの変更に関する制限の切り替えスイッチも含まれています。
制限事項
- アカウントの変更を許可: 無効にすると、ユーザーはAppleアカウントやインターネットアカウントなどのアカウントを変更できなくなります。
アカウントの追加
ポリシーにアカウントペイロードを追加するには、Googleアカウントの追加 または メールアカウントの追加 を使用します。各アカウントは、設定フィールドを含むカードとして表示されます。
ユーザーからのアカウント認証情報
Googleアカウントおよびメールアカウントのカードには、どちらも ユーザーからのアカウント認証情報 の切り替えスイッチがあります。有効にすると、システムはユーザーごとにアカウント認証情報を適用します。無効にすると、ポリシー内にアカウントのアイデンティティを入力します。
Googleアカウントのフィールド
- 表示名: ユーザーに表示されるアカウント名。
- Googleメールアドレス: ユーザーのメールアドレス。
- フルネーム: ユーザーの氏名。
メールアカウントのフィールド
メールアカウントには、アイデンティティ・フィールドに加えて、送受信サーバーの設定が含まれます。ホスト名は必須です。
- 表示名: ユーザーに表示されるメールアカウント名。
- メールアドレス: ユーザーのメールアドレス。
- フルネーム: ユーザーの氏名。
受信サーバー
- サーバータイプ: メールプロトコル(例:IMAPまたはPOP)。
- 認証方法: サーバーの認証方法。
- IMAPパスプレフィックス: サーバータイプがIMAPの場合にのみ表示されます。
- ホスト名: 必須項目。
- ポート: サーバーポート (1–65535)。
送信サーバー
- 認証方法
- ホスト名: 必須項目。
- ポート: サーバーポート (1–65535)。
S/MIMEオプション
メールアカウントでは、S/MIMEによる暗号化および署名の動作を構成することもできます。
暗号化
- S/MIME暗号化
- ユーザーによるアイデンティティの上書きを許可
- メッセージごとの切り替えを有効化
- ユーザーによる上書きを許可
署名
- S/MIME署名
- ユーザーによるアイデンティティの上書きを許可
- ユーザーによる上書きを許可
アカウントおよび制限のオプションには、前提条件やサポートされているOSバージョンを説明するツールチップがダッシュボード内に含まれています。
デバイスの状態
デバイスの概要
ダッシュボード → デバイス から、デバイスの行をクリックしてデバイスを開きます。ページタイトルには、デバイスのモデル(利用可能な場合)と内部IDが表示されます。
履歴データと現在の登録状況の比較
デバイスに複数の登録がある場合、Cerberus Enterpriseは読み取り専用の履歴レコードを表示できます。その場合、ページには履歴データバナーと、現在の登録データに戻るためのボタンが表示されます。
上部フィールド
上部セクションには、デバイスの識別情報、割り当て、および管理状態の概要が表示されます。一部のフィールドはプラットフォーム固有のものであり、AndroidまたはAppleデバイスにのみ表示されます。
- IDおよびモデル: 読み取り専用の識別子。
- ユーザー: 現在割り当てられているユーザー(設定されている場合)を表示します。ユーザーメニューから、ユーザーを開くまたはユーザーの変更が可能です。また、ユーザーが設定されていない場合は、ユーザーを割り当てることができます。
- 管理モードおよび所有権: UI上のツールチップとともに表示されます。
- ステータス: 現在のデバイスの状態(アイコンとツールチップの詳細を含む)。
- ADEプロファイル (Appleのみ): 割り当てられている自動デバイス登録(ADE)プロファイル(設定されている場合)を表示し、そのプロファイルを開くまたは変更することができます。
- ポリシー: 割り当てられているポリシーを表示し、そのポリシーを開くまたは変更することができます。また、ポリシーが設定されていない場合は、新しいポリシーを割り当てることができます。
- ポリシーのコンプライアンスステータス (ポリシーが割り当てられている場合): デバイスがコンプライアンスを満たしているかどうかを示します。
- ポリシーのバージョン (ポリシーが割り当てられている場合): デバイスに最新のポリシーバージョンが適用されているかどうかを示します。
- 登録日および最終ステータス報告日: 登録日と最後に報告されたステータスのタイムスタンプ。
- 登録解除日: デバイスの登録が解除された場合に表示されます。
一部のデータやパネルは、デバイスのポリシーで対応するカテゴリが有効になっている場合にのみ利用可能です。詳細については、ステータス報告および位置情報とジオフェンスのページを参照してください。
パネル
デバイスエディタは、展開可能なセクションで構成されています。プラットフォームや状態に応じて、以下のパネルが1つまたは複数表示される場合があります。
- 位置情報マップ: 現在のデバイスの位置履歴を表示する位置情報タブと、Androidデバイスでジオフェンスデータが利用可能な場合に表示される、ジオフェンスの遷移を確認するためのジオフェンスタブからなるタブ付きパネルです。
- コマンド: デバイスにコマンドを送信し、コマンド履歴を表示します(プラットフォームにより異なります)。
- セキュリティ状態 (Androidのみ): セキュリティ状態、Play Integrityの判定結果、およびセキュリティリスクが表示されます。
- アプリレポート (Androidのみ): インストール済みアプリとフィードバック/エラーレポートが表示されます。
- 管理対象アプリケーション (Appleのみ): 管理対象アプリの状態とインストール詳細が表示されます。
- コンプライアンス違反の詳細: デバイスがコンプライアンスを満たしていない場合に表示されます。コンプライアンス違反となっているポリシー設定がリスト形式で表示されます。
- ステータス報告: デバイスから報告された追加データが、カテゴリと値のツリー形式で表示されます。
- 登録履歴: この物理デバイスにおける過去の登録履歴がリスト形式で表示されます。
位置情報パネルのタブ
位置情報マップパネルはタブ形式になり、位置履歴とジオフェンスの遷移が分離して表示されるようになりました。
- 位置情報: 履歴フィルター、日付範囲検索、位置情報マーカー、精度範囲の円、および現在のデバイスのライブ追跡コントロールが表示されます。
- ジオフェンス (Androidのみ): 専用のマップ上にジオフェンスの遷移履歴を表示します。期間フィルター、オプションのアーカイブ済みジオフェンス切り替え、および遷移のサイドリストが含まれます。
これらのタブの完全な動作については、位置情報マップを参照してください。
アクション
ページの下部では、データの更新ができるほか、プラットフォーム、デバイスの状態、およびライセンス状況に応じたアクションを実行できます。
- データの更新: デバイスのレコードを再読み込みします。
- デバイスの無効化 / デバイスの有効化 (Androidのみ): サポートされている状態の場合に利用可能です。
- デバイスの登録解除: デバイスから管理を解除します。正確な動作はプラットフォームと所有権によって異なります(例:Androidでは、ワークプロファイルの消去または工場出荷時リセットが行われる場合があります)。
- デバイスの削除: デバイスの登録がすでに解除されており、レコードを削除できる場合に利用可能です。
コマンド
デバイスエディタには、管理対象デバイスにリモートコマンドを送信するためのコマンドパネルが用意されています。利用可能なコマンドは、プラットフォーム(AndroidまたはApple)およびデバイスの状態によって異なります。
デバイスが現在オンラインでない場合、コマンドはデバイスがインターネットに接続され次第、配信および実行されます。Androidのコマンドでは、未配信のコマンドが有効である期間を指定するために期間パラメータを設定できます。
Android (AMAPI) コマンド
Androidデバイスの場合、コマンドパネルには期間フィールド(値 + 単位)とコマンドセレクターが含まれています。一部のコマンドでは追加のパラメータが必要ですが、これらはコマンドを選択すると動的に表示されます。
共通パラメータ
- 期間: コマンドを即時に実行できない場合に、そのコマンドが有効である期間。
- コマンド: デバイスに送信するアクションを選択します。
追加フィールドを持つコマンド
- パスワードのリセット: 新しいパスワードと新しいパスワードの確認が必要です。オプションの切り替え項目には、今すぐロック、入力の強制、および起動時に資格情報を求めないがあります。
- アプリデータの消去: 対象となるパッケージ名が必要です。
- 紛失モードの開始: 紛失メッセージが必要です。また、オプションの連絡先フィールド(住所、組織名、電話番号、メールアドレス)をサポートしています。
- デバイス情報の要求: どのデバイス情報を要求するかを選択する必要があります。
- eSIMの追加: アクティベーションコードとアクティベーション状態が必要です。
- eSIMの削除: eSIMのICCIDが必要です。
- ワイプ: ワイプ理由のメッセージ(個人用デバイスのユーザーに表示されます)およびオプションのワイプフラグをサポートしています。
コマンド履歴
送信コントロールの下に、ダッシュボードにはコマンド履歴テーブルが表示されます。このテーブルは並べ替えが可能で、ページネーションをサポートしています。一部の行は展開して、追加のパラメータや実行の詳細を表示できます。
Android履歴の列
- 作成日
- コマンド
- 有効期間
- ステータス
- エラー
- 実行日
Apple (MDM) コマンド
Appleデバイスの場合、コマンドパネルにはコマンドセレクターが用意されています。一部のコマンドでは追加の入力が必要です。Androidと同様に、以下にコマンド履歴テーブルが表示されます。
追加フィールドを持つコマンド
- InstallApplication: アプリケーションのBundle IDが必要です。
- SendNotification: 通知メッセージ(最大200文字)が必要です。
Apple履歴の列
- 作成日
- コマンド
- ステータス
- ステータス時刻
更新
コマンドパネルの更新アクションを使用して、コマンド履歴を再読み込みします。
位置情報マップ
このページでは、デバイスの概要 で利用可能な、デバイス固有の位置情報ツールについて説明します。このパネルには、位置履歴用の位置情報タブと、Androidデバイスの場合はジオフェンスの遷移を確認するためのジオフェンスタブが含まれています。
前提条件
デバイスの位置情報は、デバイスのポリシーで位置情報の報告が有効になっている場合にのみ表示されます。有効にするには、ポリシーを開き、位置情報とジオフェンス → 位置情報の報告をオンにします。詳細については、位置情報とジオフェンスを参照してください。
フルマネージドではないデバイスでは、位置データは Cerberus Enterprise アプリに必要な位置情報の権限が付与されていること、およびデバイスの位置情報サービスが有効になっていることに依存する場合があります。
ダッシュボードから利用可能なグローバルな複数デバイスマップについては、ダッシュボードの位置情報マップを参照してください。
読み込み中およびデータなしの状態
- 位置情報を読み込んでいる間、パネルのマップ上にローディングオーバーレイが表示されます。
- デバイスで利用可能な位置情報がない場合、パネルには利用可能な位置情報がありませんというメッセージが表示されるとともに、割り当てられたポリシーで位置情報の報告を有効にするよう促す案内が表示されます。
- 日付フィルターが有効で、一致するサンプルがない場合、パネルには選択された日付範囲内にデータはありませんと表示されます。
位置情報タブ
単一デバイスの履歴を確認するには、位置情報タブを開きます。利用可能なフィルターには、最後に確認された位置情報、直近の履歴範囲、カスタム日付範囲、およびライブ追跡が含まれます。
- 最新: 最後に確認された位置情報を表示します。
- 今日、過去7日間、および過去30日間:選択した期間の記録された位置情報を表示します。
- 検索: カスタムの日付範囲を選択できます。
- ライブ追跡: 現在のデバイスのライブ追跡を開始または停止します。
マーカーの詳細
位置情報マーカーをクリックすると、以下の内容を含む情報ウィンドウが開きます。
- 位置情報の記録のタイムスタンプ。
- 報告された精度(メートル単位)。
- デバイスから提供されている場合、報告された速度を表示します。
- デバイスから提供されている場合、報告された方位角または方位を表示します。
精度範囲の円
情報ウィンドウが開いている間、マーカーの周囲に精度範囲の円が表示されます。この円の半径は、報告された精度(メートル単位)に対応しています。情報ウィンドウを閉じると、円は非表示になります。
ライブ追跡
デバイスの履歴ビューでライブ追跡フィルターを選択すると、その特定のデバイスに対してリアルタイムの追跡リクエストが開始されます。Cerberus Enterpriseは、リクエストを開始する前に確認を求めます。
- ライブ追跡の実行時間は最大15分間です。
- ライブ追跡が有効な間、デバイスに通知が表示されます。
- ライブ追跡が有効な間、パネルは最新の位置情報を継続的に更新し続け、ライブインジケーターが表示されたままになります。
- ライブフィルターを再度選択することで、タイムアウトが終了する前にライブ追跡を停止できます。
ジオフェンスタブ
Androidデバイスでは、2番目のタブに割り当てられたポリシーで定義されたジオフェンスから生成されたジオフェンスの遷移が表示されます。このタブは、デバイスにジオフェンスデータが存在する場合に利用可能です。
- マップには、現在のジオフェンス範囲と記録された遷移ポイントが一緒に表示されます。
- 右側の遷移リストでは、進入および退出イベントを確認できます。
- 利用可能なフィルターは、今日、過去7日間、過去30日間、およびカスタムの日付範囲検索です。
- アーカイブを含めるを有効にすると、現在のポリシーには存在しない古いジオフェンス定義に関連する遷移も表示されます。
ジオフェンス遷移の詳細
遷移を選択すると、マップ上にその詳細が表示され、対応するリストのエントリがハイライトされます。利用可能な場合、Cerberus Enterpriseはその遷移のデバイス座標と報告された精度も表示します。
ダッシュボード ロケーションマップ
ダッシュボード ロケーションマップは、位置データを報告しているデバイスの最新の既知の位置をグローバルに表示します。ダッシュボード から開き、同じ Google マップ上で複数のデバイスを確認できます。
前提条件
デバイスがこのマップに表示されるのは、割り当てられたポリシーで位置情報の報告が有効になっている場合のみです。有効にするには、ポリシーを開き、位置情報とジオフェンス → 位置情報の報告をオンにします。詳細については、位置情報とジオフェンスを参照してください。
フルマネージドではないデバイスでは、位置データは Cerberus Enterprise アプリに必要な位置情報の権限が付与されていること、およびデバイスの位置情報サービスが有効になっていることに依存する場合があります。
デバイスエディターで利用可能なデバイスごとの履歴およびジオフェンスの遷移については、ロケーションマップ を参照してください。
読み込み中およびデータなしの状態
- 位置データを読み込んでいる間、マップにはローディングオーバーレイが表示されます。
- 現在、利用可能な位置データを持つデバイスがない場合、ページには 利用可能な位置データがありません というメッセージが表示されます。
マーカーとクラスター
利用可能な位置データを持つ各デバイスは、マーカーとして表示されます。多くのデバイスが密集している場合、マップの視認性を維持するために、マーカーは自動的にクラスター化されます。
現在ライブトラッキング中のデバイスは、マップ上で見つけやすいようにアニメーション付きのマーカーで強調表示されます。
マップ コントロール
マップにデバイスの位置情報が表示されている場合、Cerberus Enterprise はマップの右上にアクションボタンを表示します。
- 現在地: ブラウザの位置情報を使用して、マップを現在位置に移動し、報告された精度範囲に合わせて表示します。
- マップを再中心化: 現在表示されているデバイスのマーカーに合わせて、マップを再度調整します。
- 追跡中 ライブトラッキング・ピル: 1台以上のデバイスがライブトラッキングされている場合に表示され、現在アクティブなデバイスの数を示します。
- すべてのライブトラッキングを停止: ライブトラッキング・ピル内のアイコンボタンをクリックして確認を行うと、現在追跡中のすべてのデバイスのライブトラッキングが停止されます。
マーカーの詳細
マーカーをクリックすると、以下の情報を含むウィンドウが開きます。
- デバイスのモデルと内部IDです。
- 最新の報告された位置情報のタイムスタンプ。
- 報告された精度(メートル単位)です。
- 利用可能な場合、報告された速度を表示します。
- 利用可能な場合、報告された方位角または方位を表示します。
情報ウィンドウ内のデバイス識別子は、対応するデバイスの概要ページを開くリンクになっています。
情報ウィンドウのアクション
各情報ウィンドウには、選択されたデバイスのアクションボタンも含まれています。
- デバイスリンク: 情報ウィンドウの上部にあるデバイス名とIDは、対応するデバイスの概要ページを開きます。
- ズームイン: マップを選択したデバイスに中央合わせし、報告された精度範囲の円をデバイスの周囲に適合させます。
- ライブ追跡: そのデバイスのライブ追跡を開始します。すでにライブ追跡が有効な場合は、確認後に同じボタンで停止できます。
- ライブ追跡中: このステータス行が表示されている場合、選択したデバイスがすでにリアルタイムで追跡されていることを示します。
精度範囲の円
マーカーが選択されると、マップ上の位置の周囲に精度範囲の円が表示されます。この円の半径は、報告された精度と一致します。
ライブ追跡の動作
情報ウィンドウからライブ追跡を開始すると、そのデバイスにリアルタイムの追跡リクエストが送信されます。セッションがアクティブな間、Cerberus Enterpriseはマップを自動的に更新します。
- 各ライブ追跡セッションの実行時間は最大15分間です。
- ライブ追跡が有効な間、デバイスに通知が表示されます。
- ライブ追跡は、選択したデバイスの情報ウィンドウ、またはマップ上にあるグローバルなすべてのライブ追跡を停止ボタンのいずれかから停止できます。
プライベートアプリ
ダッシュボードのこのセクションから、独自のプライベート Android アプリをアップロードしたり、デバイスに配布するためのウェブアプリを作成したりできます。
提供する必要がある詳細は、アプリのタイトルと APK のみです。プライベートアプリは組織に対して自動的に承認され、通常 10 分以内に配布可能な状態になります。1 日あたり合計 15 個のプライベートアプリをアップロードできます。なお、ウェブアプリもこの合計数に含まれることに注意してください。
初めてプライベートアプリを公開する際は、アプリや Google Play デベロッパー アカウントに関する通知を受け取るためのメールアドレスを入力する必要があります。また、管理対象 Play は組織に代わって Play デベロッパー アカウントを自動的に作成します。このアカウントの登録料を支払う必要はありません。
iframe から公開されたプライベートアプリ:
- 他のアプリと同じチェック対象にはなりません。そのため、公開アプリに変換することはできません。
- 譲渡できません。アプリの所有権を別の Play デベロッパー アカウントに譲渡することはできません。
詳細については、管理対象 Google Play ヘルプ をご覧ください。
証明書管理
ダッシュボードには、証明書のインポート、表示、削除を行うための 証明書 セクションが含まれています。証明書の行をクリックすると、証明書エディターが開きます。
証明書リスト
証明書は、並べ替え可能でページ分けされたテーブルに表示されます。リストには、クライアント証明書と認証局 (CA) の両方が含まれます。
フィルター
ページ上部のチップリストを使用して、フィルターを有効にできます。一部のフィルターは排他的(同時に選択不可)です。
- すべて: すべての証明書を表示します。
- クライアント: クライアント証明書のみを表示します。
- 認証局 (CA): CA 証明書のみを表示します。
- 検索: 証明書名またはインポートされたファイル名で検索するためのテキストフィールド(ラベルは 名前またはファイル名)が表示されます。
- ユーザーなし: どのユーザーとも関連付けられていないクライアント証明書を表示します。
テーブルの列
- 名前
- タイプ
- 有効期限
- ユーザー (クライアント証明書の場合に表示されます)
- インポート済みファイル名
- インポート日
アクション
- 証明書を開く: 行をクリックすると、証明書エディターが開きます。
- 証明書の削除: 証明書がユーザーやポリシーに関連付けられておらず、デバイスで使用されていない場合のみ実行可能です。また、ライセンスの期限が切れている場合、このアクションは無効になることがあります。
- 複数行の選択: 複数行の選択を有効にすることで、複数の証明書を一括で削除できます。削除可能な証明書のみを選択できます。
- 更新: 証明書リストを再読み込みします。
証明書のインポート
証明書をインポートするには、証明書のインポート をクリックし、1つ以上のファイルを選択します。サポートされている形式は、インポートボタンのツールチップに表示されます。
クライアント
サポートされている形式: Base64エンコードされたPKCS#12 (.p12 / .pfx)
クライアント証明書は、企業ネットワーク上のユーザーまたはデバイスを識別するためのものです。クライアント証明書は、特定のユーザーに関連付けることができます。
各クライアント証明書は、オプションで特定のユーザーに割り当てることができます。これにより、同じWi-Fi EAP設定を多数のデバイスに展開することが可能になります。これは、ポリシーのネットワーク設定セクションにて、ユーザーのEAP資格情報オプションを使用することで設定できます。
または、ユーザー ページからユーザーに証明書を割り当てることもできます。
認証局 (CA)
サポートされている形式: Base64エンコードされたX.509 (.crt / .pem / .cer / .der)
CA 証明書は認証局を識別し、その CA から発行されたすべての証明書を信頼すべきであることをデバイスに示します。ダッシュボードは、インポートされた X.509 証明書が CA であることを検証します。
証明書エディター
証明書を開くと、エディターに主要なフィールドと読み取り専用の 証明書情報 パネルが表示されます。
主要なフィールド
- 名前 (必須)
- ID (読み取り専用)
- タイプ (読み取り専用)
- 有効期限 (読み取り専用)
- インポート日 (読み取り専用)
- インポート済みファイル名 (読み取り専用)
ユーザーの関連付け(クライアント証明書)
クライアント 証明書の場合、エディターには ユーザー フィールドが表示されます。ユーザーが割り当てられている場合、メニューから ユーザーを開く、ユーザーの変更、または ユーザーの関連解除 が行えます。ユーザーが割り当てられていない場合は、ユーザーアクションボタンを使用して割り当てることができます。
証明書の削除
証明書が現在ユーザーに関連付けられている場合、またはポリシーで使用されている場合、削除アクションは無効になります。また、ライセンスの期限が切れている場合も無効になることがあります。
イベントルール
イベントルールを使用すると、サポートされているデバイスイベントに対するリアクションを自動化できます。ダッシュボード → イベントルールを開き、登録、登録解除、非準拠、およびAndroidジオフェンスイベントを監視するルールを作成して、1つ以上の操作を自動的に実行させることができます。
イベントルールでできること
各ルールは、対象、イベント、および1つまたは2つのアクションを組み合わせたものです。サポートされている対象は、すべてのデバイス、特定のデバイス、およびポリシーです。
- イベント: デバイスの登録、デバイスの登録解除、デバイスの非準拠化、ジオフェンスへの進入、ジオフェンスからの退出。
- デバイス操作: デバイスの無効化、デバイスの有効化、デバイスのロック。
- メールアクション: 管理者、および(有効な場合は)委任されたマネージャーに通知メールを送信します。
ルールには、メールアクションのみ、デバイス操作のみ、または1つのデバイス操作と1つのメールアクションを含めることができます。両方のアクションが設定されている場合、Cerberus Enterpriseはデバイス操作を最初に実行し、次にメールアクションを実行します。
プラットフォームおよび互換性ルール
利用可能なイベントとアクションは、選択した対象およびその対象に適用されるプラットフォームによって異なります。
- Androidは、登録、登録解除、非準拠、およびジオフェンスのイベントをサポートしています。
- Appleは、登録、登録解除、および非準拠のイベントをサポートしています。
- デバイスの無効化およびデバイスの有効化は、Android専用のアクションです。
- デバイスのロックおよびメール送信は、選択されたイベントがサポートしている場合、AndroidとAppleの両方で利用可能です。
- デバイスの登録解除は、メールアクションのみをサポートしています。
ルール一覧
イベントルール一覧は、この機能のメイン管理ページです。ここには、ルール名、対象、イベント、アクション、プラットフォーム、有効状態、および更新時間が含まれる検索可能なテーブルが表示されます。
- フィルターチップを使用して、すべてのルール、有効なルール、無効なルール、およびテキスト検索の切り替えを行えます。
- 更新ボタンを使用して、現在のテーブルビューを再読み込みします。
- 各行の有効化スイッチを使用して、ルールを一時的に有効または無効にできます。
- 複数行選択モードを使用して、複数のルールを一括で削除できます。
- イベントルールの作成を使用して、新しいルールのエディターを開きます。
ルールエディター
エディターは、全般、スコープ、トリガー、およびアクションのセクションに分かれています。ページの下部には、スクロール中も主要なボタンが表示されるように固定アクションバーがあります。
全般
- 名前: 必須、最大150文字。
- 説明: 任意、最大2000文字。
- ルールの有効化: ルールを有効または無効の状態として保存します。
スコープ
スコープは、そのルールが一致する対象デバイスを定義します。また、エディターには解決されたプラットフォームと、(利用可能な場合は)適用されるポリシーコンテキストが表示されます。
- すべてのデバイス: ルールがエンタープライズ内のすべてのサポート対象デバイスに一致します。
- 特定のデバイス: ピッカーダイアログから管理対象デバイスを1台選択します。
- ポリシー: ピッカーダイアログからポリシーテンプレートを1つ選択します。
トリガー
トリガーセクションでは、選択されたスコープとプラットフォームに基づいて、利用可能なイベントが自動的にフィルタリングされます。
ジオフェンスのトリガー
ジオフェンスの進入および退出ルールはAndroidのみでサポートされており、有効なAndroidポリシーコンテキストが必要です。位置情報レポートとジオフェンスの定義については、位置情報とジオフェンス>を参照してください。
- 対象がすべてのデバイスの場合、ルールは常に任意のジオフェンスに適用されます。
- 対象がデバイスまたはポリシーの場合、任意のジオフェンスまたは特定のジオフェンスのいずれかを選択できます。
- 特定のジオフェンスリストは、選択されたデバイスまたはポリシーの有効なポリシーコンテキストから読み込まれます。
アクション
アクションセクションでは、オプションとしてデバイス操作またはメール通知のいずれかを選択できます。サポートされていない組み合わせは、UIによって自動的に非表示になります。
- 選択したイベントとスコープで利用可能なデバイス操作がない場合でも、メールのみのルールを保存できます。
- 選択したイベントとプラットフォームでメールが利用できない場合、メールの切り替えスイッチは表示されません。
- アクションが含まれていないルールは無効であり、保存できません。
メールの受信者
メールアクションには、常にADMINロールを持つエンタープライズユーザーが含まれます。エンタープライズがマルチテナンシーを通じて管理されている場合は、受信者をMTマネージャーに拡張できます。
- メインマネージャーのみ: エンタープライズ管理者とメインのMTマネージャー連絡先が含まれます。
- メインマネージャーおよびサブアカウントマネージャー: 割り当てられたサブアカウントマネージャーも追加されます。
- プレビューリストには、ルールが実行される際に実際に使用されるメールアドレスが表示されます。
- エンタープライズへのアクセス権が付与されている委任されたマネージャーのみが、最終的な受信者リストに含まれます。
実行動作
イベントルールは、Cerberus Enterpriseがバックエンド統合からサポートされているイベントを受信した直後に実行されます。無効化されたルールは自動的にスキップされます。
実行の成功および失敗は、人間が読めるメッセージとともにシステムログに記録されます。
デバイス
デバイス
ダッシュボードのデバイスセクション(ダッシュボード → デバイス)には、アカウントに登録されているすべてのデバイスがリスト表示されます。このページから、リストのフィルタリング、デバイスレコードの表示、および無効化や登録解除などのデバイス操作を行うことができます。
フィルター
ページ上部のチップリストを使用して、1つ以上のフィルターを有効にできます。選択されたチップは、現在適用されているフィルターを表します。
利用可能なフィルター
- すべて: すべてのデバイスを表示します。
- Android: Androidデバイスのみを表示します。
- Apple: Appleデバイスのみを表示します。
- 会社所有: 会社所有デバイスのみを表示します。
- 個人所有: 個人所有デバイスのみを表示します。
- プロファイル所有者: Androidワークプロファイルデバイスのみを表示します。
- デバイス所有者: Androidフルマネージドデバイスのみを表示します。
- アクティブ: アクティブ状態のデバイスを表示します。
- 準拠済み: ポリシーに準拠しているデバイスを表示します。
- 非準拠: ポリシーに準拠していないデバイスを表示します。
- セキュア: セキュアな状態のデバイスを表示します。
- セキュアではない: セキュアではない状態のデバイスを表示します。
- ポリシー未更新: ポリシーの変更が保留中のデバイスを表示します。
- ステータス未更新: 過去72時間以内にステータスが報告されていないデバイスを表示します。
- アプリのエラー: アプリからエラーフィードバックが送信されたデバイスを表示します。
- 検索: テキスト検索フィールドを有効にします。
検索
検索フィルターを有効にすると、ID、モデル、またはユーザーというラベルのテキストフィールドが表示されます。入力を停止すると、リストは自動的に更新されます。
デバイス一覧表
デバイスは、並べ替え可能でページ分けされた表形式で表示されます。行をクリックすると、デバイスエディターが開きます。
列
- ID: デバイスの内部識別子。
- MDM: プラットフォーム(AndroidまたはApple)。
- モデル: デバイスのモデル。
- 所有権: 会社所有または個人所有(ツールチップに詳細が表示されます)。
- 管理モード: 管理モード(ツールチップに詳細が表示されます)。
- ポリシー: 現在割り当てられているポリシー。
- ユーザー: 関連付けられているユーザー(利用可能な情報に応じて、名前、メールアドレス、またはIDが表示されます)。
- 最終ステータス報告: 最新のステータス報告タイムスタンプ(利用可能な場合)。
- 状態: デバイスの状態(ツールチップに詳細が表示されます)。
- 準拠状況: 準拠ステータスのインジケーター。
- セキュリティ: セキュリティ状態(ツールチップに詳細が表示されます)。
- アプリのエラー: アプリのエラーインジケーター。
更新とページ分け
- 更新アクションを使用して、リストを再読み込みします。
- 表はページ分けされています(1ページあたり10/25/50項目)。
デバイス操作
各デバイスの行には、プラットフォームやデバイスの状態に応じて操作が表示されます。ライセンスの期限が切れている場合や終了している場合、一部の操作は無効になります。
デバイスごとの操作
- デバイスの無効化 / デバイスの有効化: サポートされている状態のAndroidデバイスで利用可能です。
- デバイスの登録解除: 管理を解除します。Androidの場合、これはワークプロファイルの消去または工場出荷時設定へのリセット(所有権による)となります。Appleの場合、ポリシー設定が削除されます。
- デバイスの削除: すでに登録解除されたデバイスで利用可能です(システムからレコードを削除します)。
複数行の選択
表の下にあるアクションバーから、複数行の選択を有効にできます。有効にすると、複数の行を選択して、選択されたデバイスに応じて一括操作(無効化、有効化、登録解除、または削除)を実行できます。
Apple Business Manager同期
Apple Managementが設定されており、自動デバイス登録トークンが存在する場合、ページにApple Business ManagerからデバイスをインポートするためのABMから同期アクションが表示されることがあります。
デバイスの登録
デバイスの登録を使用して、登録トークンセクションを開き、新しいデバイスの登録を開始します。
ユーザー
ユーザー
ダッシュボードの ユーザー セクション(ダッシュボード → ユーザー)には、アカウントに設定されているすべてのユーザーがリスト表示されます。このページから、ユーザーの検索、ユーザーエディターの表示、新規ユーザーの作成、および現在デバイスに関連付けられていないユーザーの削除を行うことができます。
検索
ページの上部には、ラベル 検索 とプレースホルダー 名前、ユーザー名、またはメールアドレス が付いた検索フィールドがあります。入力が止まると、リストは自動的に更新されます。
ユーザー一覧テーブル
ユーザーは、並べ替え可能でページ分けされたテーブルに表示されます。行をクリックすると、ユーザーエディターが開きます。
列
- ID: 内部ユーザー識別子。
- 名: ユーザーの名。
- 姓: ユーザーの姓。
- ユーザー名: ユーザー名(多くの場合、ディレクトリのユーザー名)。
- メールアドレス: ユーザーのメールアドレス。
- デバイス: 現在ユーザーに関連付けられているデバイスの数。
- Wi-Fi 証明書: ユーザーに Wi-Fi 証明書が割り当てられているかを示すインジケーター。
更新とページネーション
- 更新アクションを実行すると、リストが再読み込みされます。
- 表はページ分けされています(1ページあたり10/25/50項目)。
ユーザーのアクション
新規ユーザーの作成
新規ユーザーの作成 を使用して、ユーザー作成ダイアログを開きます。ライセンスの期限が切れている場合、このアクションは無効になります。
Google Workspace からの同期
アカウントで Google Workspace ディレクトリ同期が利用可能な場合、ページに Google Workspace からの同期 が表示されます。同期を開始すると、リクエストの実行中にプログレスインジケーターが表示されます。
ユーザーの削除
ユーザーを削除できるのは、そのユーザーがどのデバイスにも関連付けられていない場合のみです(デバイス 列が 0 である必要があります)。ライセンスの期限が切れている、または終了している場合、削除アクションは無効になります。
複数行の選択と一括削除
テーブルの下にあるアクションバーから、複数行の選択を有効にできます。このモードでは、複数のユーザーを選択して一括で削除することができます。
- 対象条件: デバイス = 0 のユーザーのみが削除対象として選択できます。
- すべて選択: すべて チェックボックスをクリックすると、現在のページの対象となるすべての行が選択されます。
- 一括削除: 行が選択されていない場合、またはライセンスの期限切れ・終了時には、選択したユーザーを削除 は無効になります。
Wi-Fi 証明書と EAP
Wi-Fi 証明書 列には、現在ユーザーに証明書が割り当てられているかどうかが表示されます。ユーザー証明書は通常、Wi-Fi EAP(例:EAP-TLS)の設定に使用されます。証明書の割り当ておよび管理については、証明書の管理 を参照してください。
ユーザーエディター
ユーザーエディターは、ダッシュボード → ユーザー からユーザー行をクリックすることで利用できます。これを使用して、ユーザーの詳細の編集、ユーザーごとの Wi-Fi EAP 認証情報の構成、およびユーザーに関連付けられたデバイスの表示が可能です。
ユーザーの詳細
上部のセクションには、ユーザーの主要なフィールドが含まれています。一部のフィールドは必須であり、入力が不足している場合や無効な場合は、エディターに検証エラーが表示されます。
- ID: 読み取り専用の識別子です。
- 名: 必須。
- 姓: 必須。
- ユーザー名: 必須
- メールアドレス: 必須。有効なメールアドレスを入力してください。
- 電話番号: 任意
- Google アカウント: 任意。入力する場合は、有効なメールアドレスである必要があります。
Google 認証デフォルトポリシー
Google 認証が有効な Google Workspace 環境では、エディターに Google 認証デフォルトポリシー が表示される場合があります。これは、このユーザーが Google 認証を使用して登録したデバイスに適用されるポリシーです。
- ポリシーの変更: ポリシー選択ダイアログが開きます。
- ポリシーを開く: 選択されたポリシーをポリシーエディターで開きます(ポリシーが設定されている場合)。
- 新しいデフォルトポリシーを選択した後、変更を適用するにはユーザーを保存する必要があります。エディターには、保存を促す通知が表示されます。
Wi-Fi EAP 認証情報
Wi-Fi EAP 認証情報 セクションは、ユーザーごとに認証情報を設定するために使用されます。割り当てられたポリシーに Wi-Fi EAP 設定が含まれている場合、これらの認証情報はユーザーのデバイスに自動的にインストールされます。Wi-Fi EAP 設定は、Android ポリシーの ネットワーク設定 の一部です。
クライアント証明書
ユーザーにクライアント証明書を任意で割り当てることができます。証明書が割り当てられている場合は、クライアント証明書 フィールドに表示され、メニューから操作が可能です。証明書が割り当てられていない場合は、フィールドに 証明書未割り当て と表示され、割り当てを行うことができます。
- 証明書の割り当て: 証明書選択ダイアログが開きます。
- 証明書を開く: 証明書エディターが開きます。
- 証明書の変更: 別のクライアント証明書を選択します。
- 証明書の解除: ユーザーから証明書を削除します。システムは、このユーザーに関連付けられているすべてのデバイスからも証明書を削除します。
証明書のインポートおよび管理については、証明書の管理 を参照してください。
ID、匿名 ID、およびパスワード
- ID: ユーザーの ID です。トンネリング外プロトコル(PEAP、EAP-TTLS)の場合、これはトンネル内で使用されます。
- 匿名 ID: トンネリング外プロトコルにおいて、トンネル外に提示される ID として使用されます。指定しない場合は、空の文字列がデフォルトとなります。
- パスワード: パスワードを必要とする EAP メソッド用のユーザーパスワードです。指定しない場合、デバイスがユーザーにプロンプトを表示することがあります。「表示/非表示」のアクションでパスワードの可視性を切り替えられます。
関連付けられたデバイス
関連付けられたデバイス セクションには、現在ユーザーにリンクされているデバイスのリストが表示されます。ユーザーに関連付けられているデバイスが 1 つ以上ある場合、そのユーザーを削除することはできません。
保存と削除
- ユーザーを保存: フォームが有効で、未保存の変更があり、かつライセンスがアクティブな場合にのみ有効になります。保存中はプログレスインジケーターが表示されます。
- ユーザーを削除: ユーザーがデバイスに関連付けられている場合、またはライセンスの期限切れ・終了時には無効になります。削除が許可されている場合は、確認ダイアログが表示されます。ユーザーに登録トークンが割り当てられている場合、そのトークンを使用して登録されたデバイスがユーザーに割り当てられなくなる旨の警告ダイアログが表示されます。
未保存の変更に関する警告
未保存の変更がある状態でページを離れようとすると、ダッシュボードで変更を破棄するかどうかの確認が表示されます。
アカウント
設定
設定 ページ (ダッシュボード → 設定) では、アカウントとライセンス情報の概要を確認できるほか、請求管理、プラットフォーム設定(Android Management および Apple Management)、およびオプションのディレクトリ/トークン連携を管理するための操作が行えます。
ライセンスバナー(期限切れ間近 / 期限切れ)
ライセンスの期限が切れそう、期限切れ、または終了になった場合、ページの上部に目立つバナーが表示されます。サブスクリプションの状態に応じて、請求を管理のアクション(Stripe カスタマーポータル)またはライセンスを購入のアクションが表示されます。
ライセンスの期限が切れると、アカウントの機能はデバイスの登録解除のみに制限されます。猶予期間が経過すると、アカウントが解約される場合があり、デバイスは自動的に登録解除される可能性があります。
アカウント情報
アカウント情報 カードには、読み取り専用のフィールドが表示されます。
- ユーザー名
- 企業名
- 企業ID
パスワードの変更
Google または Apple でサインインしていない場合、このカードには パスワードの変更 アクションも表示されます。これをクリックすると、パスワード変更フローを進めるためのダイアログが開きます。
ライセンス情報
ライセンス情報 カードには、現在のライセンスの状態とデバイスの制限数が表示されます。また、営業担当への問い合わせ、請求管理、またはライセンス購入のためのアクションも用意されています。
- ライセンスの状態: 有効 または 期限切れ として表示されます(アイコンバッジとツールチップ付き)。
- フリートライアル: アカウントが現在トライアルモードの場合に表示されます。
- ライセンス済みデバイス数: ライセンスによって許可されている最大デバイス数です。デバイスが足りませんか? のリンクをクリックすると、サポートへの問い合わせメッセージが開きます。
- 次回の更新予定日: 自動更新される有効なサブスクリプションの場合に表示されます。それ以外の場合は、カードに有効期限が表示されます。
Android Management
Android Management カードには、お客様の企業の Android Management のステータスが表示されます。Android Management がまだ設定されていない場合、このカードにはセットアップフローを開始する Android Management のセットアップ アクションが表示されます。
設定済みステータス
Android Management が設定されている場合、カードには以下の内容が表示されることがあります。
- 管理ID
- Google Workspace との同期済み (ディレクトリ同期が有効な場合にバッジが表示されます)
- Managed Google Play アカウント設定 (該当する場合、Google Play 管理者設定へのリンク)
- Google Admin Console (該当する場合、リンク)
- Google Workspace との同期 (ディレクトリ同期が設定されていない場合に表示されます。クリックすると、ページ下部の説明パネルが開きます)
Apple Device Management
Apple Device Management カードには、お客様の企業の Apple デバイス管理 (MDM) のステータスが表示されます。Apple 管理がまだ設定されていない場合、このカードにはセットアップフローを開始する Apple Management のセットアップ アクションが表示されます。
設定済みステータス
Apple 管理が設定されている場合、カードには以下の内容が表示されることがあります。
- Apple ID
- Apple Push 証明書の有効期限: 有効期限とアイコンバッジが表示されます。証明書の期限が切れそうな場合、または期限が切れている場合、バッジをクリックすると更新手順が表示されます。
- ABM トークンの有効期限: Apple Business Manager トークンの有効期限が表示されます(対応が必要な場合は、クリック可能なバッジが表示されます)。
- VPP トークン: Apple Volume Purchase Program トークンの組織名と有効期限が表示されます(対応が必要な場合は、クリック可能なバッジが表示されます)。
- Apple Business Manager ポータル: ABM トークンが存在する場合に表示されるリンクです。
- Apple Business Manager との同期 および Apple Volume Purchase Program との同期: トークンが不足している場合に表示されます。
Apple 管理には APNs 証明書のセットアップが必要です。必要に応じて、Apple Management のセットアップ (APNs) を参照してください。
環境設定とプライバシー
環境設定とプライバシー カードには、マーケティング設定の切り替えスイッチと、利用規約およびプライバシーポリシーへのリンクが含まれています。変更を適用するには 設定を保存 を使用してください(保存中は進行状況インジケーターが表示されます)。
フィードバックを送信
アカウントでサブスクリプションが有効な場合、ページに フィードバックを送信 カードが表示され、以下のリンクが含まれることがあります: 機能のリクエストを行う および外部のレビュープラットフォーム。
インラインのセットアップおよび更新手順
ページの下部には、現在の状態(例えば証明書やトークンが不足している場合、または期限が切れそうな場合など)に応じて、展開可能な手順パネルが表示されることがあります。
Apple Push 証明書 (APNs) の更新
APNs 証明書の期限が切れそうな場合、または期限が切れている場合、CSR のダウンロード、Apple ポータルでの証明書の更新、および Cerberus Enterprise への新しい証明書のアップロード手順が記載されたパネルが表示されます。
Apple Business Manager (ABM) との同期
ABM トークンが不足している、期限切れ、または期限が切れそうな場合、ページには Apple Business Manager からトークンをダウンロードして Cerberus Enterprise にアップロードする手順が記載されたパネルが表示されます。
Apple Volume Purchase Program (VPP) との同期
VPP トークンが不足している、期限切れ、または期限が切れそうな場合、ページには Apple Business Manager からコンテンツ トークンをダウンロードして Cerberus Enterprise にアップロードする手順が記載されたパネルが表示されます。
Google Workspace との同期
Google Workspace のディレクトリ同期が設定されていない場合、ページには連携方法を説明するパネルと承認ボタンが表示されます。また、必要な Google OAuth スコープもリストされています: https://www.googleapis.com/auth/admin.directory.user.readonly。
初回の Android セットアップについては、Android Management のセットアップ を参照してください。
マルチテナンシー
マルチテナントの概要
マルチテナント セクションは、単一のログインから複数の顧客エンタープライズを管理するMSPおよびエンタープライズ・マネージャー・アカウントで利用可能です。本章では、エンタープライズのスコープモデル、エンタープライズの切り替え、管理対象エンタープライズの管理、およびサブアカウントについて説明します。
マルチテナントアカウントのリクエストについては、enterprise@cerberusapp.com>までお問い合わせください。
主要なコンセプト
- メインのマルチテナント・アカウント: グローバルなマルチテナント・ワークスペースにアクセスできる、プライマリの管理アカウントです。
- サブアカウント: メインアカウントによって作成される、選択可能なエンタープライズ割り当てを持つ委任マネージャー・アカウントです。
- 選択されたエンタープライズ・コンテキスト: 日常業務のためにダッシュボードで現在開いている、アクティブなエンタープライズです。
- 委任: エンタープライズの所有者によって付与される権限で、マネージャー・アカウントがそのエンタープライズにアクセスして管理することを可能にします。
ナビゲーションモデル
エンタープライズ・コンテキストが選択されていない場合、サイドナビゲーションには Enterprises や、メインアカウントの場合は Sub-accounts といったマルチテナント領域が表示されます。エンタープライズにアクセスすると、ダッシュボードは標準的なシングルエンタープライズ・ナビゲーション(ホーム、ユーザー、デバイス、登録、ポリシーなど)に切り替わります。
所有権と委任
各管理対象エンタープライズには所有者がいます。所有者は常にそのエンタープライズにアクセスできます。所有者ではないマネージャー・アカウントは、委任が許可されている場合にのみエンタープライズにアクセスできます。
エンタープライズにアクセスする前に、アクセスの範囲を明確にするため、所有権と委任の状態がエンタープライズカードに直接表示されます。
ライセンスおよび請求アクション
マルチテナント・ビューでは、ライセンスステータス、デバイス制限数、およびエンタープライズの請求アクションが表示されます。エンタープライズのサブスクリプションの状態や権限に応じて、カードには 請求管理 または ライセンスを購入 が表示される場合があります。
マルチテナント・アカウントによって作成されたエンタープライズの場合、ライセンス管理はマルチテナント・ユーザーによって行われます。メインアカウントは常にライセンス管理が可能ですが、サブアカウントがライセンス管理を行えるのは、メインアカウントがそのサブアカウントに対して ライセンス管理権限 を有効にしている場合のみです。
本章のページ内容
- 管理対象エンタープライズ: 検索、フィルタ、カードの詳細、およびエンタープライズの作成。
- エンタープライズの切り替え: 上部スイッチャーの動作とスコープの遷移。
- サブアカウント: 委任されたオペレーター、割り当て、および認証情報の管理。
管理対象エンタープライズ
Enterprises ページ (Dashboard → Enterprises) は、管理対象のエンタープライズ・アクセスを制御するためのコントロールセンターです。マルチテナント・アカウントから確認できるすべてのエンタープライズがリスト表示され、フィルタリング、所有権や委任の確認、エンタープライズ・コンテキストへの切り替え、および新しい管理対象エンタープライズの作成(メインアカウントのみ)を行うことができます。
検索とフィルター
- エンタープライズを検索: エンタープライズ名またはエンタープライズIDでフィルタリングします。
- 委任: すべて、委任済み、または未委任。
- ライセンスステータス: すべて、有効、期限切れ間近、期限切れ、または終了済み。
エンタープライズカード
各エンタープライズカードには、主要な管理メタデータが表示されます。
- アイコンバッジとコンテキストツールチップ付きのライセンスステータス。
- ライセンス対象デバイス (エンタープライズのデバイス制限数)。
- サブスクリプションの状態により、次回の予定更新日または有効期限が表示されます。
- 委任 ステータス (所有者、委任済み、または未委任)。
- 所有者 の表示名とユーザー名。
最近選択されたエンタープライズ
最近アクセスしたエンタープライズは、繰り返しのコンテキスト切り替えを迅速化するために、最近選択された セクションにピン留めされます。
エンタープライズのアクション
- エンタープライズにアクセス: 委任または所有権によってアクセスが許可されている場合、選択したエンタープライズのコンテキストを開きます。
- 請求管理: 利用可能かつ許可されている場合、エンタープライズの請求管理画面を開きます。
- ライセンスを購入: 請求が有効でない場合、エンタープライズの購入フローを開きます。
ライセンスを管理できるユーザー
マルチテナント・アカウントによって作成されたエンタープライズの場合、ライセンス管理はマルチテナント・ユーザーによって制御されます。メインアカウントは、それらのエンタープライズの請求およびライセンス操作を常に管理できます。
サブアカウントは、メインアカウントがページでライセンスの管理が可能権限を付与している場合にのみ、請求およびライセンス操作を管理できます。
エンタープライズの切り替え
トップツールバーにあるエンタープライズ・スイッチャーを使用すると、マルチテナンシーユーザーはログアウトすることなく、委任されたエンタープライズ間を移動できます。これは、少なくとも1つのエンタープライズ・コンテキストが選択可能な場合に利用可能です。
スイッチャーの動作
- トリガーには、現在のエンタープライズ名(名前が利用できない場合はエンタープライズID)が表示されます。
- メニューには、委任された/アクセス可能なエンタープライズがリスト表示され、現在選択されているエンタープライズに印が表示されます。
- 切り替え中は、スコープの同時変更を防ぐために、スイッチャーのアクションが一時的に無効になります。
エンタープライズを終了する
スイッチャーメニューには、現在のエンタープライズ・コンテキストをクリアしてグローバルなマルチテナンシー・ワークスペースに戻るエンタープライズを終了するが含まれています。
コンテキストのリセットルール
エンタープライズの切り替え、またはエンタープライズの終了を行うと、ダッシュボードのスコープがリセットされます。エンタープライズ固有のページとデータは、新しく選択されたコンテキストに合わせて更新され、メニューの表示状態はエンタープライズが現在選択されているかどうかに応じて適応します。
迅速な運用コンテキストの変更にはスイッチャーを使用しますが、ポリシーの更新やデバイスコマンドなどの機密性の高いアクションを実行する前に、選択されているエンタープライズ名を確認してください。
サブアカウント
サブアカウント ページ (Dashboard → Sub-accounts) は、メインのマルチテナント・アカウントで利用可能です。このページでは、委任されたマネージャーユーザーの作成、管理対象エンタープライズの割り当て、請求権限の制御、およびサブアカウントの認証情報の管理を行うことができます。
サブアカウント一覧
各サブアカウントカードには、アイデンティティおよび管理コントロールが表示されます。
- 名前 および ユーザー名/メールアドレス。
- 管理対象エンタープライズ の複数選択割り当て。
- ライセンス管理権限 の切り替え。
- パスワードのリセット および 削除 アクション。
管理対象エンタープライズの割り当て
エンタープライズの割り当ては、管理対象エンタープライズ の複数選択フィールドを通じて編集されます。変更後にセレクターを閉じると、ダッシュボードが更新内容を保存する前に確認を求めます。
ライセンス管理権限
ライセンス管理権限 の切り替えは、サブアカウントがエンタープライズの請求およびライセンス管理操作にアクセスできるかどうかを制御します。
マルチテナント・アカウントによって作成されたエンタープライズの場合、メインアカウントは常にライセンス管理権限を持っています。サブアカウントがライセンス管理権限を受け取るのは、メインアカウントによってこの切り替えが有効にされた場合のみです。
パスワードのリセット
パスワードのリセットを実行すると、新しい一時的なパスワードが生成され、確認後にサブアカウントへメールで送信されます。
サブアカウントの削除
サブアカウントの削除には確認が必要であり、そのアカウントの委任されたアクセス権が完全に削除されます。
サブアカウントの作成
新しい委任マネージャーを追加するには、下部の操作パネルにある サブアカウントの作成 を使用します。
- メールアドレス: 必須項目であり、メール形式として検証されます。
- 名前: 必須の表示名。
- ライセンス管理権限: 任意で設定可能な初期の請求権限。
- 作成前に、入力されたアドレスに一時的なパスワードがメールで送信される旨の確認ダイアログが表示されます。
インサイト
MDMがどのようにビジネスに役立つかを詳しく解説した記事をいくつかご紹介します。
キオスクモードとは?ビジネス向けAndroidおよびAppleデバイスのロックダウンガイド
キオスクモードは、標準的なスマートフォンやタブレットを、用途に特化したビジネスツールへと変貌させます。Cerberus Enterpriseは、小売業のPOS、ゲスト向けチェックイン、車両管理ナビゲーションなどのユースケースにおいて、デバイスを単一のアプリまたは承認済みの少数のアプリセットのみに制限することを組織が容易に行えるよう支援します。これにより、これらの特化型デバイスのセキュリティ確保、サポート、および大規模な管理がより簡単になります。
最適なMDMソリューションの選び方:小規模ビジネスのための7つのチェックリスト
購入プロセスの後半でMDMを選択する場合、比較が実用的であればよりスムーズに進みます。このチェックリストは、小規模ビジネスにおいて実際の導入時に最も重要となる7つの基準(セキュリティ、AndroidおよびAppleのサポート、少人数のチームでの使いやすさ、拡張性、プライバシーの境界、総所有コスト、および日常的なサポート体制)に基づいて、ベンダーを評価するのに役立ちます。
安全で集中できるデジタル教室の構築:K-12学校向けMDMガイド
学校管理デバイスは、学習に集中できる環境において最大限のパフォーマンスを発揮します。Cerberus Enterpriseは、管理アプリ、キオスク形式の制限、標準化された共有・貸出用デバイス設定、および紛失や逸脱、授業の妨げを軽減するリモート復旧アクションを通じて、K-12組織が学生用デバイスの集中力を維持できるよう支援します。
現場技術者への機器提供:MDMが現場の効率性とセキュリティを向上させる方法
現場技術者は、現地での作業中にスケジュール、サービスメモ、技術リファレンス、顧客履歴、および業務の更新のためにモバイルデバイスに依存しています。Cerberus Enterpriseは、管理アプリ、標準化されたデバイスモデル、リモートサポートコマンド、および位置情報を活用した可視化を通じて、それらのデバイスを常に使用可能な状態に保ちます。これにより、現場のセキュリティを強化しながら、配車調整の効率を高めることができます。
地図の先へ:よりスマートな車両管理とドライバーの安全のためにMDMを活用する
車両管理業務は、ナビゲーション、配車、メッセージング、ログ記録、および現場での実行のためにモバイルデバイスに依存しています。Cerberus Enterpriseは、管理アプリ、キオスクおよび専用デバイス制御、セキュアな通信ポリシー、リモートトラブルシューティング、および位置情報を活用した監視を通じて、それらのデバイスを承認されたワークフローに集中させることができます。これにより、ダウンタイムの削減とより安全な運転業務のサポートが可能になります。
ジオフェンス、ライブトラッキング、および位置情報マップがどのようにエンタープライズ業務を改善するか
Cerberus Enterpriseの位置情報活用機能は、組織が単なるデバイスの可視化から、より実用的な運用管理へと移行するのを支援します。定期的な位置情報レポート、ライブトラッキング、ジオフェンスの境界通過、およびインタラクティブなマップは、物流、フィールドサービス、ヘルスケア、小売、建設、および業務がどこで行われているかやデバイスが重要エリアにいつ出入りしたかをより詳細に把握する必要がある分散型チームをサポートできます。
マルチテナンシーがどのようにMSPのMDMサービス拡張と新しい収益源の創出を支援するか
マルチテナンシーにより、MSP、リセラー、および複数企業からなる組織は、各環境を分離したまま、単一のCerberus Enterpriseアカウントから複数のエンタープライズを管理できます。このモデルは、運用の摩擦を軽減し、サービスの拡張性を向上させ、サブアカウントや明示的な顧客制御管理を通じた委任アクセスをサポートします。また、ソフトウェアライセンスとオンボーディング、サポート、コンプライアンス、およびマネージド・モビリティ・サービスを組み合わせたいプロバイダーにとって、より強力なビジネスチャンスを生み出します。
MDMソリューションによるエンタープライズの運用性の向上
モバイルデバイス管理(MDM)は、会社所有デバイスの制御を中央集権化し、登録、設定、およびメンテナンスを簡素化します。自動プロビジョニングと一括操作により、手作業によるIT業務が削減され、すべてのデバイスに対して一貫したポリシーを適用できます。暗号化、コンプライアンス監視、リモートワイプなどのセキュリティ機能は、企業データを保護します。全体として、MDMはサポートコストと運用の複雑さを軽減しながら、生産性を向上させます。
Android Enterprise管理における高度なセキュリティ
Android Enterpriseは、ワークプロファイルを使用して、同一デバイス内の個人用コンテンツから企業用アプリとデータを分離します。このコンテナ化により、IT管理者が個別に管理できる、分離された暗号化環境が作成されます。セキュリティポリシーによって、個人のアプリに影響を与えることなく、企業データの共有を制御できます。このアーキテクチャは、個人のアプリケーションが侵害された場合でも、ビジネスデータを保護します。
Apple iPhoneのMDMと自動登録
AppleのMDMフレームワークは、エンタープライズ環境におけるiPhoneの一元管理を可能にします。Apple Business Managerと組み合わせることで、デバイスは初回起動時に自動的に登録および設定が行われます。管理者は、企業用アプリのサイレント展開や設定、セキュリティ設定の強制、およびコンプライアンスの監視を行うことができます。この自動化により、一貫したデバイス設定が保証され、セットアップミスを削減できます。
モバイルデバイス管理(MDM)の理解
モバイルデバイス管理(MDM)は、企業システムにアクセスするモバイルデバイスを監視、保護、および制御するための集約されたプラットフォームを提供します。主な機能には、セキュリティポリシーの強制、アプリケーション管理、および紛失したデバイスのリモートロックやワイプが含まれます。MDMは、デバイスのコンプライアンスを維持しながら企業データを保護するのに役立ちます。これにより、あらゆる規模の組織が、拡大するモバイルワーカーを安全に管理できるようになります。
エンタープライズにおけるデバイス展開モデル
組織は、BYOD、CYOD、COPE、COBO、COSUなど、複数のデバイス所有モデルを採用できます。各モデルは、コスト、ユーザーの柔軟性、およびセキュリティ制御のバランスが異なります。BYODはユーザーの利便性を優先し、一方でCOBOやCOSUは企業の制御とセキュリティを最大化します。適切なモデルの選択は、規制要件、従業員のニーズ、およびIT管理能力によって決まります。
MDM vs. EMM vs. UEM
MDMは、ポリシーの強制、設定制御、およびリモート管理を通じて、モバイルデバイスの管理とセキュリティ確保に焦点を当てています。EMMはこの範囲を拡張してアプリケーションやコンテンツの管理まで含み、UEMはノートPCやデスクトップを含むすべてのエンドポイントの管理を目指します。多くのSMB(中小企業)にとって、完全なEMMやUEMスイートは不要な複雑さを加えることがあります。実際には、堅牢なMDM機能があれば、ほとんどのモバイル管理要件を満たすことができます。
個人所有のスマートフォンにおけるMDMと従業員のプライバシー
現代のMDMシステムは、コンテナ化技術を使用して、従業員が所有するデバイス内の業務データと個人データを分離します。雇用主は、企業用アプリやデバイスのコンプライアンス情報を含む「業務環境」のみを管理・監視できます。写真、メッセージ、閲覧履歴などの個人データは、会社からアクセスできないまま保持されます。この技術的な分離により、従業員のプライバシーを保護しながら、安全なBYODプログラムを実現できます。
MDMのROI(投資利益率)とビジネス価値
MDMは、単なるセキュリティ費用としてではなく、戦略的な投資として評価されるべきです。デバイスの紛失削減、ITサポートコストの低減、および運用効率の向上を通じて、財務的なリターンをもたらします。また、管理の自動化は従業員の生産性を高め、ダウンタイムを削減します。さらに、セキュリティが強化されることで、データ漏洩のリスクとそれによる財務的影響を軽減できます。
HIPAA準拠のデバイス管理
医療機関は、HIPAAのセキュリティ要件に従って電子患者データを保護しなければなりません。MDMは、暗号化、認証制御、安全なデータ転送、および詳細な監査ログの適用を支援します。また、医療システムにアクセスするデバイスに対して、リモートワイプや一元化されたポリシー適用を可能にします。これらの制御により、医療現場でのモバイルワークフローを実現しながら、コンプライアンスリスクを軽減できます。
小売業務とセキュリティのためのMDM
小売組織は、POSシステム、在庫管理、および店舗内業務のためにモバイルデバイスに依存しています。MDMは、これらのデバイスのセキュリティを確保し、常に最新の状態に保ち、PCI-DSSなどの標準規格への準拠を保証します。一元管理により、ダウンタイムが削減され、複数拠点にわたるデバイスの展開が簡素化されます。その結果、運用効率が向上し、決済に関連するセキュリティインシデントのリスクが軽減されます。