目次
はじめに
企業所有の Android 端末を Microsoft Intune で “フルマネージド” モードに登録し,OS からアプリ配布まで一括制御できる環境を構築します。
本記事では Intune 管理センター側の設定から 端末側の登録操作までをステップバイステップで解説します。
前提条件
| 項目 | 内容 |
|---|---|
| Intune テナント | Intune スタンドアロン |
| Android OS | 8.0 以降,Google Mobile Services 搭載 |
| 登録方式 | Android Enterprise “Corporate-Owned, Fully Managed” |
| ネットワーク | インターネット接続 (GMS への到達) |
上記は Microsoft Learn の最新ドキュメントに基づく必須条件です。
Microsoft Learn :Android Enterprise フル マネージド デバイスの登録を設定する
マネージド Google Play 連携
画面遷移と操作
STEP
「デバイス」→「Android」の順に開く
STEP
「登録」→「マネージドGoogle Play」を開く
STEP
「Googleを起動して今すぐ接続します」を開く
私の環境ではなぜか1に同意できませんでした。
STEP
所有しているGoogleアカウントでログインする
STEP
内容を確認し,同意して有効にする
STEP
マネージドGoogle Playの状態を確認する
2. 登録プロファイルを作成
STEP
1-2 のAndroid|登録画面まで戻り,「会社が所有する完全に管理されたユーザーデバイス」を開く
STEP
「ポリシーの作成」を開く
STEP
プロファイルの作成で情報を入力する
名前は任意で。
トークンの種類は「企業所有、フルマネージド」を選択
STEP
必要に応じて,グループを設定する
私は,事前に作成しておいた動作検証用グループを設定した。
後で分かるが,今回のような少数での検証の場合,設定しなくてもよかった。
STEP
設定の確認をする(名前,説明,トークンの種類,グループ)
STEP
画面を戻り,作成したポリシーを選択する
トップからは,「デバイス」,「Android」,「登録」,「会社が所有する完全に管理されたユーザーデバイス」の順に開くことでたどり着く。
STEP
トークンを表示させる
3. 動的グループを作成(任意)
公式上には記載がありますが,今回は設定していません。
動的Microsoft Entra グループを作成して、特定の属性または変数に基づいてデバイスを自動的にグループ化します。 この場合、
Android Enterprise フル マネージド デバイスの登録を設定するenrollmentProfileNameプロパティを使用して、同じプロファイルで登録されているデバイスをグループ化します
4. アプリ配付ポリシーの作成
設定可能なポリシーは以下の通り。
本記事では長くなるため,後日別記事を記載する。
| ポリシー種別 | 代表的な設定例 |
|---|---|
| デバイス制限 | カメラ無効化 / 外部ストレージ禁止 |
| 構成プロファイル | Wi-Fi/EAP, VPN, 証明書配布 |
| アプリ配布 | Managed Google Play から業務アプリを必須インストール |
| コンプライアンス | OS バージョン ≥ 8.0/暗号化必須 |
5. 端末側でフルマネージド登録
本記事では長くなるため,後日別記事を記載する。
結果
Intune でデバイスが 「準拠」かつ「企業所有 – フルマネージド」 と表示
強制ポリシーにより
Play ストアは Managed Google Play に置換
不要アプリのアンインストール不可
工場出荷時リセットがブロック
考察・まとめ
- BYOD の仕事用プロファイルよりも制御範囲が広く,紛失時の情報漏えいリスクを最小化
- ゼロタッチ (Google)/Knox Mobile Enrollment (Samsung) と組み合わせると大量展開が容易
- 留意点:フルマネージドは “業務専用” 想定のため,個人利用を想定する場合は COPE (企業所有 – 仕事用プロファイル) が推奨
次のステップ
- iOS/iPadOS デバイスの ADE (Apple Device Enrollment) との比較
- Intune Suite によるリモートヘルプ機能の活用
コメント