Microsoft Intune で Android デバイスの機能を制御する
前回、[Microsoft Intune で iOS/iPadOSデバイスの機能を制御する] で、Intune の構成プロファイルを利用した標準機能への制御設定を解説しましたが、Android デバイスも同様にユーザー操作による情報漏洩リスクを低減できる構成プロファイルを利用した機能制御方法を解説します。
Android デバイスの機能を制御する
Intune には管理デバイスの機能を設定が行える構成プロファイル機能があります。この機能を利用すると、デバイスのさまざまな機能に利用制限をかけユーザーが利用できないようにしたり、ロック解除時にパスコード入力を必須にするなどが可能です。
構成プロファイルは、インターネットに接続されていれば設定可能であるため、デバイスの場所や時間に関係なく設定、展開可能です。
Android デバイスで構成プロファイルを利用するときの特徴として、構成プロファイルは“仕事用プロファイル” に適用されます。
Android の仕事用プロファイルとは
Android を Intune にデバイス登録したときに自動的に作成されるプロファイルのことで、組織に関連するデバイス設定やアプリの配布、データを分離して管理 (MAM: モバイルアプリケーション管理) することができます。
※ 個人利用しているアプリやデータは個人プロファイルとして継続利用できます。
仕事用プロファイルと個人プロファイルと分離されることで、個人のアプリやデバイスに影響を与えず、配布したアプリやアプリのデータにのみ制限設定することができます。例えば、仕事用プロファイルの Outlook アプリでは会社のメールを利用し、個人プロファイルの Outlook アプリでは、個人のメールを利用します。同じアプリでも分離して管理されているため、組織のアプリのみに起動時にパスワードを入力させるなどのセキュリティ対策設定を行ったり、誤って組織データが個人アカウントから情報漏洩してしまうなどのトラブル発生を無くすことができます。
Android の構成プロファイル設定には、仕事用プロファイル用の設定とデバイス全体の設定が用意されています。
- 仕事用プロファイル内データを個人プロファイルのアプリにコピー/張り付けを禁止
- 仕事用プロファイルのアプリでカメラやスクリーンショットの利用禁止
- Play ストア以外のアプリのインストールを禁止
Android デバイス用の構成プロファイルを作成する
- Microsoft Endpoint Manager admin center (https://endpoint.microsoft.com/) を開き、[デバイス] – [Android] をクリックします。
- [構成プロファイル] – [プロファイルの作成] をクリックします。
- プラットフォームで [Android Enterprise] を選択します。
- [Android デバイス管理者] と [Android Enterprise] は、Android デバイスの管理方法のことです。
Google は 古い管理方法である [Android デバイス管理者] の管理サポートを縮小し、Android Enterprise の利用を奨励しているため、どちらかを選択するシーンでは Android Enterprise を選択することをおすすめします
- [Android デバイス管理者] と [Android Enterprise] は、Android デバイスの管理方法のことです。
- プロファイルの種類から 「個人所有の仕事用プロファイル」 の [デバイスの制限] をクリックし、[作成] をクリックします。
Android デバイスの種類は 4 種類にわけられています。
- 仕事用プロファイルを備えた個人所有のデバイス
個人の Android デバイスを管理する。(主に BYOD) - 会社が所有する完全に管理されたユーザーデバイス
仕事にしか利用しない組織所有デバイスを管理する。 - 会社が所有する専用端末
単一用途、キオスク端末として管理する。 - 仕事用プロファイルを備えた会社所有のデバイス (プレビュー)
仕事用プロファイルと個人プロファイルを備えている組織所有デバイスを管理する。
デバイス登録は、ユーザーではなく管理者が行う。
- 仕事用プロファイルを備えた個人所有のデバイス
- 名前を入力し、[次へ] をクリックします。
- Android デバイスに展開する設定を行います。設定後、[次へ] をクリックします。
※ Android のバージョンによっては設定できない項目があります。- 仕事用プロファイルの設定
仕事用プロファイルの設定を行います。ここで仕事用プロファイル内データを個人プロファイルのアプリにコピー/張り付けの禁止やカメラの利用禁止などができます。
- パスワード
デバイスのロック解除パスワードの設定を行います。
- システム セキュリティ
有害なアプリのインストールを防止する機能を有効にします。
- 接続
VPN の自動接続設定を有効にします。
- 仕事用プロファイルの設定
- 設定を割り当てるグループを指定し、[次へ] をクリックします。
- [作成] をクリックします。
構成プロファイルの展開確認
作成した構成プロファイルは、設定した対象先に自動的に展開されます。
※ 展開されるまでに数時間かかる場合があります。
構成プロファイルの展開状態を確認するには、作成した構成プロファイルのクリックし、[デバイスの状態] をクリックすると、展開状態が確認できます。
まとめ
Android デバイスも iOS/iPadOS と同様に構成プロファイルを使用し、デバイスの機能制限を行うことができます。さらに、Android は仕事用プロファイル機能があることで個人アプリ・データと組織のアプリ・データを分離した MAM 機能が利用できます。この機能を生かして、Intune からの設定内容を仕事用のアプリのみに反映させれたり、組織データを個人アプリにコピーすることを禁止することで、アプリからの情報漏洩を防止できます。Android の MAM の設定方法は、別の記事で解説できたらと思います。
Microsoft 365 運用 関連コース
-
CI505-H Microsoft 365 運用管理
Microsoft 365 の運用管理に必要な知識と設定すべき項目を理解いただけます。アカウントやデバイス管理に不可欠な Entra ID の基礎知識をはじめ、Exchange Online、Microsoft Teams、SharePoint Online、OneDrive for Business など各サービスにおいて実施すべき設定と推奨設定、理解しておきたい仕組みなど、運用管理に必要な内容を基本から実務レベルまで解説。
-
CI509-H Microsoft 365 デバイス運用管理
Microsoft Defender、Microsoft Purview、Microsoft Entra ID を活用したセキュリティおよびコンプライアンス対策に加え、注目を集める Microsoft 365 Copilot の運用管理など、Microsoft 365 全体の情報保護に関する機能・利用シーン・運用のポイントを具体的に解説。
-
CI506-H Microsoft 365 運用管理 – 情報保護編
Microsoft Defender、Microsoft Purview、Microsoft Entra ID を活用したセキュリティおよびコンプライアンス対策に加え、注目を集める Microsoft 365 Copilot の運用管理など、Microsoft 365 全体の情報保護に関する機能・利用シーン・運用のポイントを具体的に解説。
-
CI508-H Microsoft 365 PowerShell による管理効率化
Microsoft 365 に対する運用管理で PowerShell を利用するための基本や Exchange Online、SharePoint Online、Microsoft Teams を設定するための便利なコマンドライン、設定を自動化するためのスクリプトの作成方法など、PowerShell による Microsoft 365 管理の基本から必須スキルまでを、運用管理に活用できるサンプルを用いて解説。