Intuneの Android Enterprise デバイス上のモバイル アプリケーション管理と個人所有の仕事用プロファイル
多くの組織では、管理者はさまざまなデバイス上のリソースとデータの保護に挑戦しています。 課題の 1 つは、個人の Android Enterprise デバイス (BYOD) とも呼ばれるユーザーのリソースを保護することです。 Microsoft Intuneでは、Bring-your-own-device (BYOD) の 2 つの Android デプロイ シナリオがサポートされています。
MAM と Android Enterprise 個人所有の仕事用プロファイルの展開シナリオには、BYOD 環境で重要な次の重要な機能が含まれます。
organizationマネージド データの保護と分離: どちらのソリューションも、organizationマネージド データに対してデータ損失防止 (DLP) コントロールを適用することで、organization データを保護します。 これらの保護は、エンド ユーザーが誤って個人のアプリやアカウントに共有するなど、保護されたデータの偶発的な漏洩を防ぎます。 また、データにアクセスするデバイスが正常であり、侵害されていないことを確認する役割も果たします。
エンド ユーザーのプライバシー: MAM は、管理対象アプリケーションと Android Enterprise 個人所有の仕事用プロファイルでエンド ユーザーとorganizationコンテンツを分離し、デバイス上のエンド ユーザー コンテンツとモバイル デバイス管理 (MDM) 管理者によって管理されるデータを分離します。 どちらのシナリオでも、IT 管理者は、organizationマネージド アプリや ID に対して PIN のみの認証などのポリシーを適用します。 IT 管理者は、エンド ユーザーが所有または制御するデータを読み取り、アクセス、または消去できません。
BYOD 展開に対して MAM または Android Enterprise 個人所有の仕事用プロファイルを選択するかどうかは、要件とビジネス ニーズによって異なります。 この記事の目的は、決定に役立つガイダンスを提供することです。 管理対象の Android デバイスに関連する詳細については、「Intuneを使用して Android 個人所有または企業所有の仕事用プロファイル デバイスを管理する」を参照してください。
アプリ保護ポリシー Intuneについて
Intuneアプリ保護ポリシー (APP) は、ユーザーを対象とするデータ保護ポリシーです。 ポリシーは、アプリケーション レベルでデータ損失保護を適用します。 Intune APP では、アプリ開発者が作成したアプリでアプリ機能を有効にする必要があります。
個々の Android アプリは、いくつかの方法で APP に対して有効になっています。
Microsoft ファースト パーティ アプリにネイティブに統合: Android 用 Microsoft 365 (Office) アプリとその他の Microsoft アプリの選択には、Intune APP 組み込みアプリが付属しています。 これらの Office アプリ (Word、OneDrive、Outlook など) では、ポリシーを適用するためにこれ以上カスタマイズする必要はありません。 これらのアプリは、エンド ユーザーが Google Play ストアから直接インストールできます。
Intune SDK を使用して開発者がアプリ ビルドに統合する: アプリ開発者は、Intune SDK をソース コードに統合し、アプリを再コンパイルして、Intune APP ポリシー機能をサポートできます。
Intune アプリ ラッピング ツールを使用してラップ: 一部のお客様は Android アプリをコンパイルします (。APK ファイル) ソース コードへのアクセスなし。 ソース コードがないと、開発者は Intune SDK と統合できません。 SDK がないと、アプリで APP ポリシーを有効にすることはできません。 開発者は、APP ポリシーをサポートするためにアプリを変更または再コードする必要があります。
Intuneには、既存の Android アプリ (APK) 用のApp Wrapping Tool ツールが含まれており、APP ポリシーを認識するアプリが作成されます。
このツールの詳細については、「 アプリ保護ポリシーの基幹業務アプリを準備する」を参照してください。
APP で有効になっているアプリの一覧については、「 モバイル アプリケーション保護ポリシーの豊富なセットを持つマネージド アプリ」を参照してください。
展開シナリオ
このセクションでは、MAM と Android Enterprise 個人所有の仕事用プロファイルの展開シナリオの重要な特性について説明します。
MAM
MAM 展開では、デバイスではなくアプリに対するポリシーが定義されます。 BYOD の場合、MAM は登録されていないデバイスでよく使用されます。 アプリを保護し、組織のデータにアクセスするために、管理者は APP で管理可能なアプリを使用し、これらのアプリにデータ保護ポリシーを適用します。
この機能は、以下に適用されます。
- Android 4.4 以降
ヒント
詳細については、「 アプリ保護ポリシーとは」を参照してください。
Android Enterprise 個人所有の仕事用プロファイル
Android Enterprise 個人所有の仕事用プロファイルは、Android Enterprise の主要な展開シナリオです。 Android Enterprise 個人所有の仕事用プロファイルは、Android OS レベルで作成された別のパーティションであり、Intuneで管理できます。
Android Enterprise 個人所有の仕事用プロファイルには、次の機能が含まれています。
従来の MDM 機能: マネージド Google Play を使用したアプリ ライフサイクル管理などの主要な MDM 機能は、任意の Android Enterprise シナリオで使用できます。 マネージド Google Play は、ユーザーの介入なしにアプリをインストールおよび更新するための堅牢なエクスペリエンスを提供します。 IT 部門は、アプリ構成設定を組織のアプリにプッシュすることもできます。 また、エンド ユーザーが不明なソースからのインストールを許可する必要はありません。 証明書の展開、WiFi/VPN の構成、デバイスパスコードの設定など、その他の一般的な MDM アクティビティは、Android Enterprise 個人所有の仕事用プロファイルで利用できます。
Android Enterprise 個人所有の仕事用プロファイルの境界上の DLP: Android Enterprise 個人所有の仕事用プロファイルでは、DLP ポリシーはアプリ レベルではなく、仕事用プロファイル レベルで適用されます。 たとえば、コピー/貼り付け保護は、アプリに適用されたアプリ設定によって適用されるか、仕事用プロファイルによって適用されます。 アプリが仕事用プロファイルに展開されると、管理者はアプリ レベルでこのポリシーをオフにすることで、仕事用プロファイルへのコピー/貼り付け保護を一時停止できます。
仕事用プロファイル エクスペリエンスを最適化するためのヒント
Android Enterprise 個人所有の仕事用プロファイルを使用する場合は、APP とマルチ ID の使用方法を検討する必要があります。
Android Enterprise 個人所有の仕事用プロファイル内で APP を使用する場合
Intune APP と Android Enterprise 個人所有の仕事用プロファイルは、一緒に使用したり、個別に使用したりできる補完的なテクノロジです。 アーキテクチャ上、どちらのソリューションも、個々のアプリ レイヤーの APP とプロファイル レイヤーでの作業プロファイルという異なるレイヤーでポリシーを適用します。 アプリ ポリシーを使用して管理されているアプリを仕事用プロファイル内のアプリに展開することは、有効でサポートされているシナリオです。 APP、仕事用プロファイル、または組み合わせを使用するには、DLP の要件によって異なります。
Android Enterprise 個人所有の仕事用プロファイルと APP は、1 つのプロファイルがorganizationのデータ保護要件を満たしていない場合に追加のカバレッジを提供することで、お互いの設定を補完します。 たとえば、仕事用プロファイルでは、アプリが信頼されていないクラウド ストレージの場所に保存されないように制限するコントロールはネイティブに提供されません。 APP には、この機能が含まれています。 作業プロファイルによってのみ提供される DLP で十分であると判断し、APP を使用しないことを選択できます。 または、2 つの組み合わせから保護を要求することもできます。
Android Enterprise 個人所有の仕事用プロファイルの APP ポリシーを抑制する
複数のデバイスを持つ個々のユーザー (MAM マネージド アプリケーションを使用した登録解除されたデバイス、Android Enterprise 個人所有の仕事用プロファイルを使用した管理対象デバイス) をサポートすることが必要な場合があります。
たとえば、エンド ユーザーが作業アプリを開くときに PIN を入力する必要があります。 デバイスに応じて、PIN 機能は APP または仕事用プロファイルによって処理されます。 MAM マネージド アプリケーションの場合、PIN から起動の動作を含むアクセス制御が APP によって適用されます。 登録済みデバイスの場合、デバイス PIN と APP PIN の両方を必要としないように、APP PIN を無効にすることができます。 ( Android のアプリ PIN 設定。 仕事用プロファイル デバイスの場合は、OS によって適用されるデバイスまたは仕事用プロファイル PIN を使用できます。 このシナリオを実現するには、アプリが仕事用プロファイルにデプロイ されたときに 適用されないようにアプリ設定を構成します。 この方法で構成しない場合、エンド ユーザーはデバイスによって PIN の入力を求められ、もう一度 APP レイヤーに表示されます。
Android Enterprise 個人所有の仕事用プロファイルでマルチ ID の動作を制御する
Outlook や OneDrive などの Office アプリケーションには、"マルチ ID" 動作があります。 アプリケーションの 1 つのインスタンス内で、エンド ユーザーは複数の個別のアカウントまたはクラウド ストレージの場所への接続を追加できます。 アプリケーション内では、これらの場所から取得されたデータを分離またはマージできます。 また、ユーザーは、個人 ID () と organization ID (user@outlook.comuser@contoso.com) をコンテキストで切り替えることができます。
Android Enterprise 個人所有の仕事用プロファイルを使用する場合は、このマルチ ID 動作を無効にすることもできます。 無効にすると、仕事用プロファイル内のアプリのバッジ付きインスタンスは、organization ID でのみ構成できます。 Office Android アプリをサポートするには、[許可されたアカウント] アプリ構成設定を使用します。
詳細については、「 Outlook for iOS/iPadOS および Android アプリの構成設定の展開」を参照してください。
Intune APP を使用するタイミング
Intune APP の使用が最適な推奨事項であるエンタープライズ モビリティ シナリオがいくつかあります。
MDM なし、登録なし、Google サービスは利用できません
Android Enterprise 個人所有の仕事用プロファイル管理など、さまざまな理由でデバイス管理を望まないお客様もいます。
- 法的および責任の理由
- ユーザー エクスペリエンスの一貫性を確保する
- Android デバイス環境は非常に異種です
- Google サービスへの接続はありません。これは、仕事用プロファイルの管理に必要です。
たとえば、中国にいるユーザーやユーザーがいるユーザーは、Google サービスがブロックされているため、Android デバイス管理を使用できません。 この場合は、INTUNE APP for DLP を使用します。
概要
Intuneを使用すると、MAM と Android Enterprise の個人所有の仕事用プロファイルの両方を Android BYOD プログラムで利用できます。 ビジネス要件と使用要件に応じて、MAM プロファイルまたは仕事用プロファイルを使用できます。 要約すると、証明書の展開、アプリのプッシュなど、管理対象デバイスで MDM アクティビティが必要な場合は、Android Enterprise 個人所有の仕事用プロファイルを使用します。 アプリケーション内の組織データを保護する場合は、MAM を使用します。