Android 5.0 以降を搭載したデバイスはデバイス管理モードをサポートしており、企業の IT 管理者は登録された管理対象デバイスにデバイス ポリシーを設定できます。デバイス管理アプリが利用できるデバイス ポリシーは、登録に使用される管理モードのタイプによって異なる場合があります。いくつかのデバイス管理 API(API 要素の完全な内容については DevicePolicyManager
を参照してください)は、企業での使用以外の用途があるかもしれませんが、ほとんどは、Android Enterprise ソリューションで展開される企業環境での使用を目的として設計されています。
Android Enterprise の仕組み
Android Enterprise は、デバイス管理ポリシーを実施するためにデバイス ポリシー コントローラ(DPC)アプリを使用します。企業向けモバイル管理(EMM)ソリューション プロバイダは、デバイス管理ソリューションを提供します。このソリューションには通常、デバイス上のデバイス ポリシー アプリ(DPC アプリ)とクラウドベースの EMM コンソールが含まれます。企業のお客様は、EMM コンソールを使用してデバイスを登録し、登録したデバイスに管理ポリシーを適用できます。
DPC アプリは、個人所有のデバイスではプロファイル所有者モードで、企業所有のデバイスではデバイス所有者モードで実行できます。
Android Enterprise のデバイス管理モード
Android Enterprise は、以下のデバイス管理モードを使用します。
完全管理対象デバイス(デバイス所有者モードとも呼ばれる): セットアップ時に DPC アプリがデバイス所有者として設定され、デバイス全体を管理します。このタイプのデバイス管理は、業務で使用する組織所有(会社所有)のデバイスにのみ使用できます。
仕事用プロファイル(管理プロファイル モードとも呼ばれる): DPC アプリはプロファイル所有者として設定され、個人用プロファイルを持つこともできるデバイス上で仕事用プロファイルのみを管理します。このタイプのデバイス管理は、個人所有のデバイスまたは組織所有のデバイスで使用できます。
完全管理デバイスのプロビジョニング(デバイス所有者のプロビジョニング)
Android には、従業員向けの工場用や産業環境用から、顧客向けのサイネージ用やキオスク用まで、あらゆる用途に合わせてデバイスを設定できる幅広い管理機能が搭載されています。デバイス所有者のプロビジョニング(完全管理対象デバイス)により、組織は仕事用プロファイルでは対象にできないデバイスレベルのポリシーを含め、Android のさまざまな管理ポリシーを適用できます。
完全管理対象デバイスとは:
- 仕事用アプリとデータのみを含む。
- 組織から見える。
- 組織によって管理されている。
デバイス所有者のプロビジョニングは、初期セットアップ時(または初期状態にリセットするデバイス)にのみ実行でき、企業が所有するデバイスにのみプロビジョニングする必要があります。これは通常、一意のデバイス識別子(IMEI やシリアル番号など)を確認するか、デバイスの登録が許可された専用の企業アカウントを使用することで実行できます。デバイス所有者のプロビジョニングが正常に完了すると、DPC アプリがデバイス所有者アプリとして設定されます。
完全管理対象デバイスは、キオスクでのチェックインやデジタル サイネージなど、デバイスが通常固定のアプリにロックされている専用デバイスのユースケースに適しています。Android は、QR コードベースの登録、NFC ベースの登録、企業アカウント、クラウドベースの登録など、さまざまなデバイス所有者登録方法をサポートしています。EMM ソリューションの開発者は、Android のバージョンによるキー プロビジョニングの違いを参照してください。
仕事用プロファイルのプロビジョニング(プロファイル所有者のプロビジョニング)
プロファイル所有者のプロビジョニングを利用すると、ユーザーは、仕事用プロファイル(管理対象プロファイル)と個人用プロファイルの両方をデバイスに登録できます。このタイプのデバイス管理は、組織所有のデバイスまたは個人所有のデバイスで使用できます。プロファイル所有者のプロビジョニングは、組織がサポートするデバイスのタイプと登録方法に応じて、初期セットアップ中に実行する(組織が所有するデバイスに使用)ことも、プライマリ プロファイルを持つデバイスの初期セットアップ後に開始する(個人で利用するデバイスの登録)こともできます。仕事用プロファイルでプロビジョニングされたデバイスでは、DPC は仕事用プロファイル(仕事用アプリとデータ)のみを管理し、個人用プロファイルは管理しません。デバイス ポリシーが適用されるのは仕事用プロファイルのみですが、デバイス全体に適用されるロック画面の強制適用などの例外があります。
プロファイル所有者のプロビジョニング中に、フレームワークは DPC アプリを管理プロファイルにコピーし、仕事用プロファイル ユーザーの ADMIN_POLICY_COMPLIANCE
インテント ハンドラを呼び出します。仕事用プロファイルのプロビジョニングが完了すると、ランチャーに仕事用バッジ アプリアイコンが表示されます。プロファイル所有者のプロビジョニングが正常に完了すると、DPC アプリがプロファイル所有者アプリとして設定されます。Android は、QR コードベースの登録、NFC ベースの登録、アカウント、クラウドベースの登録など、さまざまな仕事用プロファイル登録方法をサポートしています。EMM ソリューションの開発者は、Android のバージョンによるキー プロビジョニングの違いを参照してください。