展開ガイド: Microsoft Intune で Android デバイスを管理する
Intune では、Android デバイスのモバイル デバイス管理 (MDM) がサポートされており、仕事用のメール、データ、アプリへのセキュリティで保護されたアクセス権がユーザーに付与されます。 このガイドでは、Intune での登録を設定し、アプリとポリシーをユーザーとデバイスに展開するときに役立つ、Android 固有のリソースを提供します。
前提条件
始める前に、前提となる以下の手順を完了して、Intune で Android デバイスの管理を有効にします。 Intune の設定とオンボードの方法、また Intune に移行する方法の詳細については、Intune の設定に関する展開ガイドを参照してください。
ロールとアクセス許可Microsoft Intune詳細については、「Microsoft Intuneを使用した RBAC」を参照してください。 Microsoft Entraグローバル管理者ロールとIntune管理者ロールは、Microsoft Intune内で完全な権限を持ちます。 グローバル管理者には、Microsoft Intuneの多くのデバイス管理タスクに必要な以上のアクセス許可があります。 タスクを完了するために必要な最小限の特権ロールを使用することをお勧めします。 たとえば、デバイス登録タスクを完了できる最小限の特権ロールは、組み込みのIntune ロールである Policy と Profile Manager です。
展開を計画する
組織での Microsoft Intune の計画、設計、実装については、「Microsoft Intune 計画ガイド」を参照してください。 このガイドでは、次のことに役立つ情報が提供されています。
- 目標、ユース ケースのシナリオ、要件を決定する。
- ロールアウトとコミュニケーションの計画を作成する。
- サポート、テスト、検証の計画を作成する。
重要
Android デバイス管理者の管理は非推奨となり、Google Mobile Services (GMS) にアクセスできるデバイスでは使用できなくなります。 現在デバイス管理者管理を使用している場合は、別の Android 管理オプションに切り替えることをお勧めします。 サポートとヘルプのドキュメントは、Android 15 以前を実行している GMS を使用しない一部のデバイスで引き続き利用できます。 詳細については、「 GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。
コンプライアンス ルールの作成
組織の保護されたリソースにアクセスするためにユーザーとデバイスが満たす必要があるルールと条件を定義するには、コンプライアンス ポリシーを使用します。 また、条件付きアクセス ポリシーを作成し、デバイスのコンプライアンス結果と併用して、準拠していないデバイスからのリソースへのアクセスをブロックすることもできます。 コンプライアンス ポリシーに関する詳しい説明と最初の手順については、「コンプライアンス ポリシーを使用して、Intune で管理するデバイスのルールを設定する」を参照してください。
次のタスクは、Android Enterprise と Android デバイス管理者の両方のプラットフォームに適用されます。
| タスク | 詳細 |
|---|---|
| コンプライアンス ポリシーの作成 | コンプライアンス ポリシーを作成してユーザーとデバイスのグループに割り当てる方法のステップ形式のガイダンス。 |
| コンプライアンス違反に対するアクションを追加する | デバイスがコンプライアンス ポリシーの条件を満たさなくなったときの処理を選択します。 デバイス コンプライアンス ポリシーを構成するとき、または後でポリシーを編集することによって、非準拠のアクションを追加できます。 |
| デバイスベースまたはアプリベースの条件付きアクセス ポリシーを作成する | 保護するアプリまたはサービスを指定し、アクセスの条件を定義します。 |
| 先進認証を使用していないアプリへのアクセスをブロックする | アプリベースの条件付きアクセス ポリシーを作成して、OAuth2 以外の認証方法を使用するアプリをブロックします。 たとえば、基本認証やフォームベース認証を使用するアプリをブロックできます。 アクセスをブロックする前に、Microsoft Entra IDにサインインし、認証方法アクティビティ レポートを確認して、ユーザーが基本的な認証を使用して、忘れた、または認識したことがない重要なもの (会議室の予定表キオスクなど) にアクセスしているかどうかを確認します。 |
エンドポイント セキュリティを構成する
Intune のエンドポイント セキュリティ機能を使用して、デバイスのセキュリティを構成したり、リスクにさらされたデバイスに対するセキュリティ タスクを管理したりします。
次のタスクは、Android Enterprise と Android デバイス管理者の両方のプラットフォームに適用されます。
| タスク | 詳細 |
|---|---|
| エンドポイント セキュリティ機能を使用してデバイスを管理する | Intune のエンドポイント セキュリティの設定を使用して、デバイスのセキュリティを効果的に管理し、デバイスの問題を修復します。 |
| 登録デバイスに対してモバイル脅威防御 (MTD) コネクタを有効にする | Intune で MTD 接続を有効にして、MTD パートナー アプリが Intune や MTD デバイス コンプライアンス ポリシーと連携できるようにします。 Microsoft Defender for Endpoint を使用していない場合は、別のモバイル脅威防御ソリューションを使用できるように、コネクタを有効にすることを検討してください。 また、Intune に登録されていないデバイスの MTD コネクタを有効にすることもできます。 |
| MTD アプリ保護ポリシーを作成する | リスクを評価し、職場または学校アプリへのデバイスのアクセスを制限する、Intune アプリ保護ポリシーを作成します。 |
| MTD デバイス コンプライアンス ポリシーを作成する | リスクを評価し、脅威レベルに基づいてデバイスの業務用アクセスを制限する Intune アプリ保護ポリシーを作成します。 |
| MTD アプリを追加し、割り当てる | MTD アプリを Intune に追加して展開します。 これらのアプリは、デバイスのコンプライアンス ポリシーやアプリ保護ポリシーと連携して、デバイスの脅威を特定し、修復することができます。 また、Intune に登録されていないデバイスに MTD アプリを割り当てることもできます。 |
デバイス設定を構成する
Microsoft Intune を使用して、デバイスの設定や機能を有効または無効にします。 これらの設定を構成して適用するには、デバイス プロファイルを作成してから、そのプロファイルを組織内のグループに割り当てます。 デバイスは、登録されるとプロファイルを受け取ります。
| タスク | 詳細 | プラットフォーム |
|---|---|---|
| Microsoft Intune でのデバイス プロファイルの作成 | 組織のために作成できるさまざまな種類のデバイス プロファイルについて理解します。 | Android Enterprise、Android デバイス管理者 |
| Wi-Fi プロファイルを構成する | このプロファイルにより、ユーザーは組織の Wi-Fi ネットワークを検索して接続できます。 この領域の設定の詳細については、Android Enterprise Wi-Fi 設定または Android デバイス管理者 Wi-Fi 設定の Wi-Fi 設定リファレンスを参照してください。 | Android Enterprise、Android デバイス管理者 |
| VPN プロファイルを構成する | 組織のネットワークに接続するユーザーのために、Microsoft Tunnel などのセキュリティで保護された VPN オプションを設定します。 この領域の設定の詳細については、Android Enterprise VPN 設定または Android デバイス管理者 VPN 設定の VPN 設定リファレンスを参照してください。 | Android Enterprise、Android デバイス管理者 |
| メール プロファイルを構成する | ユーザーがメール サーバーに接続して職場または学校のメールにアクセスできるよう、メール設定を構成します。 この領域の設定の詳細については、Android Enterprise メール設定または Android デバイス管理者メール設定を参照してください。 | Android Enterprise、Android デバイス管理者 |
| デバイスの機能を制限する | 職場または学校で使用できるデバイス機能を制限することによって、未認可のアクセスや注意散漫からユーザーを保護します。 この領域の設定の詳細については、Android Enterprise デバイス設定または Android デバイス管理者デバイス設定を参照してください。 | Android Enterprise、Android デバイス管理者 |
| Android デバイス管理者のカスタム設定を構成する | アプリごとの VPN プロファイルや、Microsoft Defender for Endpoint による Web 保護など、Intune に組み込まれていないカスタム設定を追加または作成します。 | Android デバイス管理者 |
| Samsung Knox アプリを構成する | カスタム プロファイルを作成して、Samsung KNOX Standard デバイス用のアプリを許可またはブロックします。 | Android デバイス管理者 |
| Android Enterprise 用のカスタム プロファイルを作成する | Intune に組み込まれていない、個人所有デバイス用のカスタム設定を追加または作成します。 | Android エンタープライズ |
| Zebra Mobility Extensions (MX) プロファイルを構成する | Zebra の Mobility Extensions (MX) プロファイルを使用して、Intune で Zebra 固有の設定をカスタマイズまたは追加します。 | Android デバイス管理者 |
| OEMConfig 構成プロファイルを作成する | OEMConfig を使用して、Android Enterprise デバイスの OEM 固有の設定を追加、作成、カスタマイズします。 | Android エンタープライズ |
| ブランド化と登録のエクスペリエンスをカスタマイズする | 組織のブランド化を使用して Intune ポータル サイトと Microsoft Intune アプリをカスタマイズし、デバイスを登録するユーザーのために使い慣れたエクスペリエンスを作成します。 | Android Enterprise、Android デバイス管理者 |
セキュリティで保護された認証方法を設定する
Intune で認証方法を設定して、認可されたユーザーのみが内部リソースにアクセスできるようにします。 Intune では、多要素認証、SCEP および PKCS 証明書、派生資格情報がサポートされています。 証明書は、S/MIME を使用したメールの署名と暗号化にも使用できます。
| タスク | 詳細 | プラットフォーム |
|---|---|---|
| 多要素認証 (MFA) を要求する | 登録時に 2 つの形式の資格情報を提供することをユーザーに要求します。 | Android エンタープライズ |
| 信頼済み証明書プロファイルを作成する | SCEP、PKCS、または PKCS のインポートされた証明書プロファイルを作成する前に、信頼された証明書プロファイルを作成して展開します。 信頼された証明書プロファイルにより、SCEP、PKCS、PKCS でインポートされた証明書を使用して、デバイスに信頼されたルート証明書が展開されます。 | Android Enterprise、Android デバイス管理者 |
| Intune で SCEP 証明書を使用する | Intuneで SCEP 証明書を使用し、必要なインフラストラクチャを構成するために必要な内容について説明します。 その後、SCEP 証明書プロファイルを作成するか、SCEP を使用してサード パーティの証明機関を設定することができます。 | Android エンタープライズ |
| Intune で PKCS 証明書を使用する | (オンプレミスの証明書コネクタなどの) 必要なインフラストラクチャを構成し、PKCS 証明書をエクスポートし、Intune デバイス構成プロファイルに証明書を追加します。 | Android Enterprise、Android デバイス管理者 |
| インポートした PKCS 証明書を Intune で使用する | インポートした PKCS 証明書を設定します。これにより、S/MIME を設定および使用してメールを暗号化することが可能になります。 | Android Enterprise、Android デバイス管理者 |
| 派生資格情報の発行者を設定する | ユーザー スマート カードから派生した証明書を使用して Android デバイスをプロビジョニングします。 | Android エンタープライズ |
アプリを展開する
アプリおよびアプリ ポリシーを設定する際は、自分の組織の要件を考慮してください。たとえば、サポートする予定のプラットフォーム、従業員に課せられている課題、それらの課題を完了するのに必要なアプリの種類、それらのアプリを必要とするグループなどです。 Intune を使用してデバイス全体 (アプリを含む) を管理することも、Intune を使用してアプリのみを管理することもできます。
| タスク | 詳細 | プラットフォーム |
|---|---|---|
| Google Play ストア アプリを追加する | Google Play ストアから Android アプリを追加します。 | Android デバイス管理者 |
| managed Google Play アプリを追加する | managed Google Play ストアから、ストア アプリ、基幹業務 (LOB) アプリ、Web アプリを追加します。 | Android エンタープライズ |
| Android Enterprise システム アプリを追加する | Intune を使用して、Android Enterprise システム アプリを有効または無効にします。 | Android エンタープライズ |
| Web アプリを追加する | Web アプリを Intune に追加し、グループに割り当てます。 | Android デバイス管理者 |
| 組み込みアプリを追加する | 組み込みアプリを Intune に追加し、グループに割り当てます。 | Android デバイス管理者 |
| 基幹業務アプリを追加する | Android の基幹業務 (LOB) アプリを Intune に追加し、グループに割り当てます。 | Android デバイス管理者 |
| グループにアプリを割り当てる | ユーザーとデバイスにアプリを割り当てます。 | Android Enterprise、Android デバイス管理者 |
| アプリの割り当てを含める/除外する | 選択したグループを割り当てに含めたり、割り当てから除外したりして、アプリへのアクセスと可用性を制御します。 | Android Enterprise、Android デバイス管理者 |
| Android のアプリ保護ポリシーを作成する | Outlook や Word などのマネージド アプリ内に含まれる組織のデータを保持します。 各設定の詳細については、Android アプリ保護ポリシーの設定に関する記事を参照してください。 | Android Enterprise、Android デバイス管理者 |
| アプリ保護ポリシーを検証する | 組織全体に展開する前に、アプリ保護ポリシーが正しく設定され、動作していることを検証します。 | Android Enterprise、Android デバイス管理者 |
| アプリ構成ポリシーを作成する | 登録されたデバイス上の Android アプリにカスタムの構成設定を適用します。 これらのポリシーは、デバイス登録なしでマネージド アプリに適用することもできます。 | Android Enterprise、Android デバイス管理者 |
| Microsoft Edge を構成する | Android 用の Microsoft Edge で Intune アプリ保護および構成ポリシーを使用して、企業の Web サイトが確実に保護機能付きでアクセスされるようにすることができます。 | Android Enterprise、Android デバイス管理者 |
| Google Chrome を構成する | Intune アプリ構成ポリシーを使用して、Intune に登録されている Android デバイス上の Google Chrome を構成します。 | Android エンタープライズ |
| Microsoft マネージド ホーム スクリーン アプリを構成する | Intune 経由で登録され、マルチアプリ キオスク モードで実行されている企業所有の Android エンタープライズ専用デバイスで、Managed Home Screen を設定します。 | Android エンタープライズ |
| Microsoft Launcher アプリを構成する | Microsoft Launcher を構成して、組織のフル マネージド デバイスのホーム画面エクスペリエンスをカスタマイズします。 | Android エンタープライズ |
| Microsoft Office アプリを構成する | Office アプリで Intune アプリ保護および構成ポリシーを使用して、企業のファイルが確実に保護機能付きでアクセスされるようにすることができます。 | Android エンタープライズ |
| Microsoft Teams を構成する | Teams で Intune アプリ保護および構成ポリシーを使用して、共同作業のチーム エクスペリエンスが確実に保護機能付きでアクセスされるようにすることができます。 | Android エンタープライズ |
| Microsoft Outlook を構成する | Outlook で Intune アプリ保護および構成ポリシーを使用して、企業のメールやカレンダーが確実に保護機能付きでアクセスされるようにすることができます。 | Android エンタープライズ |
デバイスを登録する
デバイスを登録すると、作成したポリシーを受信できるため、Microsoft Entraユーザー グループとデバイス グループを準備できます。
Intune では、Android デバイスの次の登録方法がサポートされています。
- Bring Your Own Device (BYOD): 仕事用プロファイルを備えた個人所有の Android Enterprise デバイス
- 会社所有 Android Enterprise 専用デバイス
- 会社所有 Android Enterprise フル マネージド
- Android Enterprise の会社所有の仕事用プロファイル
- Android デバイス管理者
それぞれの登録方法や、組織に適した方法の選び方については、Microsoft Intune での Android デバイスの登録に関するガイドを参照してください。
| タスク | 詳細 | プラットフォーム |
|---|---|---|
| managed Google Play アカウントに Intune アカウントを接続する | Intune での Android Enterprise 管理を有効にするには、managed Google Play アカウントに Intune テナント アカウントを接続します。 | Android エンタープライズ |
| 個人所有デバイスの仕事用プロファイル登録を設定する | 個人所有デバイス用に仕事用プロファイルの管理を設定します。 この登録方法を使用すると、個人情報が影響を受けないように、仕事関連データ用の独立した領域がデバイス上に作成されます。 | Android エンタープライズ |
| 企業所有デバイス用に仕事用プロファイルの登録を設定する | 仕事用と個人用に使用する企業所有デバイス用に、仕事用プロファイルの管理を設定します。 この登録方法を使用すると、個人情報が影響を受けないように、仕事関連データ用の独立した領域がデバイス上に作成されます。 | Android エンタープライズ |
| 専用デバイス用に登録を設定する | 企業が所有する単独使用のキオスク スタイル デバイス用に登録を設定します。 | Android エンタープライズ |
| フル マネージド デバイス用に登録を設定する | 1 人のユーザーに関連付けられていて仕事だけに使用される会社所有デバイス用に登録を設定します。 | Android エンタープライズ |
| 専用、フル マネージド、または会社所有の仕事用プロファイル デバイスを登録する | Android Enterprise 登録用に Intune を設定した後、サポートされている 5 つの登録方法のいずれかを使用してデバイスを登録します。 | Android エンタープライズ |
| デバイス管理者の登録を設定する | Android デバイス管理者の登録を設定します。 このデバイス管理方法は Android Enterprise で置き換えられているため、この方法で新しいデバイスを登録することはお勧めしません。 | Android デバイス管理者 |
| Samsung Knox Mobile Enrollment を使用して Android デバイスを自動登録する | Samsung Knox Mobile Enrollment (KME) 用に Intune を設定します。これにより、会社が所有する多数の Android デバイスを自動的に登録することができます。 | Android Enterprise、Android デバイス管理者 |
| デバイスを企業所有として識別する | 企業所有のステータスをデバイスに割り当てて、より多くの管理および識別機能を Intune で有効にします。 企業所有のステータスは、Apple Business Manager 経由で登録したデバイスには割り当てることができません。 | Android Enterprise、Android デバイス管理者 |
| デバイス所有権を変更する | デバイスが登録された後に、Intune でその所有権ラベルを企業所有または個人所有に変更できます。 この調整によって、デバイスを管理できる方法が変わります。 | Android Enterprise、Android デバイス管理者 |
| 登録に関する問題のトラブルシューティング | 登録中に発生する問題のトラブルシューティングを行い、解決方法を見つけます。 | Android Enterprise、Android デバイス管理者 |
リモート操作を実行する
デバイスの設定後、Intune のリモート操作を使用して、遠隔地からデバイスを管理およびトラブルシューティングできます。 何を使用できるかは、デバイスのプラットフォームによって異なります。 ある操作が、ポータルにない場合や、無効になっている場合、その操作はそのデバイスでサポートされていません。
| タスク | 詳細 |
|---|---|
| Intune でリモート アクションを実行する | Intune で個々のデバイスにドリルダウンし、リモートから管理とトラブルシューティングを行う方法を理解します。 この記事では、Intune で使用できるすべてのリモート操作と、それらの手順へのリンクを一覧にして示しています。 |
| Microsoft Defender for Endpoint で検出された脆弱性を修復する | Intune を Microsoft Defender for Endpoint と統合して、Defender の脅威と脆弱性の管理を利用します。また、Defender の脆弱性管理機能によって特定されたエンドポイントの脆弱性を Intune を使って修復します。 |
| Intune が管理するアプリから企業データを削除する | デバイスから仕事関連のデータを選択的に削除します。 |
次の手順
Intune の主なタスクの実行方法を理解するには、以下の登録チュートリアルを参照してください。 チュートリアルは、Intune または特定のシナリオの初心者のための 100 ~ 200 レベルのコンテンツです。
このガイドの iOS/iPadOS バージョンについては、「展開ガイド: Microsoft Intune で iOS/iPadOS デバイスを管理する」を参照してください。