Intuneの Android デバイス管理者のデバイス コンプライアンス設定

  • [アーティクル]

この記事では、Intuneの Android デバイス管理者デバイスで構成できるコンプライアンス設定の一覧を示します。 モバイル デバイス管理 (MDM) ソリューションの一環として、これらの設定を使用して、ルート化されたデバイスを準拠していないとマークし、許可された脅威レベルを設定し、Google Play Protect を有効にします。

コンプライアンス ポリシーの構成に関するサポートについては、「コンプライアンス ポリシーを使用して、Intuneで管理するデバイスのルールを設定する」を参照してください。

この機能は、以下に適用されます。

  • Android デバイス管理者

Intune管理者は、これらのコンプライアンス設定を使用して、組織のリソースを保護します。 コンプライアンス ポリシーとその機能の詳細については、「 デバイス コンプライアンスの概要」を参照してください。

重要

Microsoft Intuneは、2024 年 12 月 31 日に Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを終了します。 その日以降、デバイスの登録、テクニカル サポート、バグ修正、セキュリティ修正は利用できなくなります。 現在デバイス管理者管理を使用している場合は、サポートが終了する前に、Intune で別の Android 管理オプションに切り替えることを推奨します。 詳細については、「 GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。

開始する前に

コンプライアンス ポリシーを作成します。 [ プラットフォーム] で、[ Android デバイス管理者] を選択します。

Microsoft Defender for Endpoint

  • デバイスは、次のマシン リスク スコア以下であることが必要

    Microsoft Defender for Endpointによって評価されたデバイスに対して許可される最大マシン リスク スコアを選択します。 このスコアを超えるデバイスは、非準拠としてマークされます。

    • 未構成 (既定値)
    • Clear
    • [ Medium]
    • High

デバイスの正常性

  • デバイス管理者が管理するデバイス
    デバイス管理者 の機能は、Android Enterprise に置き換えられます。

    • 未構成 (既定値)
    • ブロック - デバイス管理者をブロックすると、ユーザーは Android Enterprise の個人所有および企業所有の仕事用プロファイル管理に移行して、アクセスを回復できます。

  • ルート化されたデバイス
    ルート化されたデバイスが企業アクセスできないようにします。 (このコンプライアンス チェックは、Android 4.0 以降でサポートされています)。

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
    • [ブロック ] - ルート化されたデバイスを準拠していないとしてマークします。

  • デバイスは、デバイス脅威レベル以下であることが必要
    この設定を使用して、接続されている Mobile Threat Defense サービスからリスク評価をコンプライアンスの条件として取得します。

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
    • セキュリティ保護 - このオプションは、デバイスに脅威を持つことができないため、最も安全です。 デバイスが任意のレベルの脅威で検出された場合、デバイスは非準拠として評価されます。
    • 低 - 低レベルの脅威のみが存在する場合、デバイスは準拠として評価されます。 低レベルより高い脅威が存在する場合、デバイスは非準拠状態になります。
    • - デバイス上の既存の脅威が低レベルまたは中レベルの場合、デバイスは準拠として評価されます。 デバイスに高レベルの脅威が検出された場合、デバイスは非準拠であると判断されます。
    • - このオプションは最も安全性が低く、すべての脅威レベルを許可します。 このソリューションをレポート目的でのみ使用している場合に便利です。

Google Play Protect

重要

Google Mobile Services が利用できない国/地域で動作しているデバイスは、Google Play のコンプライアンス ポリシー設定の評価に失敗します。 詳細については、「 Google Mobile Services が利用できない Android デバイスの管理」を参照してください

  • Google Play 開発者サービスが構成されている
    Google Play サービスは、セキュリティ更新プログラムを許可し、認定された Google デバイス上の多くのセキュリティ機能の基本レベルの依存関係です。

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
    • 必須 - Google Play サービス アプリのインストールと有効化が必要です。

  • 最新のセキュリティ プロバイダー

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
    • 必須 - 最新のセキュリティ プロバイダーが既知の脆弱性からデバイスを保護できるようにする必要があります。

  • アプリの脅威のスキャン

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
    • 必須 - Android のアプリの検証 機能が有効になっている必要があります。

    注:

    従来の Android プラットフォームでは、この機能はコンプライアンス設定です。 Intuneは、この設定がデバイス レベルで有効になっているかどうかにのみチェックできます。

  • 整合性の判定を再生する
    満たす必要がある Google の プレイインテグリティ のレベルを入力します。 次のようなオプションがあります。

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
    • 基本的な整合性を確認する
    • デバイスの整合性 & 基本的な整合性を確認する

注:

アプリ保護ポリシーを使用して Google Play の保護設定を構成するには、「Android でのアプリ保護ポリシー設定のIntune」を参照してください。

デバイスのプロパティ

オペレーティング システムのバージョン

  • 最小 OS バージョン
    デバイスが OS の最小バージョン要件を満たしていない場合、デバイスは非準拠として報告されます。 アップグレード方法に関する情報を含むリンクが表示されます。 エンド ユーザーは、デバイスのアップグレードを選択し、会社のリソースにアクセスできます。

    既定では、バージョンは構成されていません

  • 最大 OS バージョン
    デバイスがルールで指定されたバージョンより後の OS バージョンを使用している場合、会社のリソースへのアクセスはブロックされます。 ユーザーは IT 管理者に連絡するように求められます。OS バージョンを許可するようにルールが変更されるまで、このデバイスは会社のリソースにアクセスできません。

    既定では、バージョンは構成されていません

システム セキュリティ

暗号化

  • デバイス上のデータ ストレージの暗号化を要求する
    Android 11 以前、または Samsung KNOX Android 14 以前でサポートされています

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
    • [必須] - デバイス上のデータ ストレージを暗号化します。 [ モバイル デバイスのロックを解除するためにパスワードを要求する ] 設定を選択すると、デバイスが暗号化されます。

デバイスのセキュリティ

  • 提供元不明のアプリをブロックする
    Android 4.0 から Android 7.x でサポートされています。 Android 8.0 以降ではサポートされていません

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
    • ブロック - セキュリティ > 不明なソース が有効なソースを持つデバイスをブロックします (Android 4.0 から Android 7.x でサポートされています)。Android 8.0 以降ではサポートされていません。)。

    アプリをサイドロードするには、不明なソースを許可する必要があります。 Android アプリをサイドローディングしていない場合は、この機能を [ブロック] に設定して、このコンプライアンス ポリシーを有効にします。

    重要

    サイドローディング アプリケーションでは、[ 不明なソースからアプリをブロック する] 設定が有効になっている必要があります。 デバイスに Android アプリをサイドローディングしていない場合にのみ、このコンプライアンス ポリシーを適用します。

  • ポータル サイト アプリのランタイムの整合性

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。

    • [必須] - [必須] を選択して、ポータル サイト アプリが次のすべての要件を満たしていることを確認します。

      • 既定のランタイム環境がインストールされている
      • 正しく署名されている
      • デバッグ モードではない

  • デバイスでの USB デバッグをブロックする
    (Android 4.2 以降でサポート)

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
    • [ブロック ] - デバイスが USB デバッグ機能を使用できないようにします。

  • 最低限のセキュリティ パッチ レベル
    (Android 8.0 以降でサポート)

    デバイスで使用できる最も古いセキュリティ パッチ レベルを選択します。 少なくともこのパッチ レベルではないデバイスは非準拠です。 日付は、 YYYY-MM-DD 形式で入力する必要があります。

    既定では、日付は構成されません

  • 制限されたアプリ
    制限する アプリの [アプリ名 ] と [ アプリ バンドル ID] を 入力し、[ 追加] を選択します。 少なくとも 1 つの制限付きアプリがインストールされているデバイスは、非準拠としてマークされます。

    Intuneに追加されたアプリのバンドル ID を取得するには、Intune管理センターを使用します

  • パスワードが必要になるまでの非アクティブ時間の最大分 (Samsung KNOX Android 12 以前)
    この設定では、モバイル デバイスの画面がロックされた後のユーザー入力のない時間の長さを指定します。 オプションの範囲は 1 分 から 8 時間です。 推奨値は 15 分です

    • 未構成(既定値)

  • モバイル デバイスのロックを解除するパスワードを要求する

    この設定では、モバイル デバイスの情報にアクセスを許可する前に、ユーザーにパスワードの入力を要求するかどうかを指定します。 推奨値: 必須 (このコンプライアンス チェックは、OS バージョンの Android 4.0 以上または KNOX 4.0 以上のデバイスでサポートされています)。

    • [未構成](既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。

    • 必須 - ユーザーは、デバイスにアクセスする前にパスワードを入力する必要があります。 を必須に設定した場合は、次の構成も行います。

      • パスワードの複雑さ
      • パスワードの入力が必要

Android 10 以降

次の設定は Android 10 以降ではサポートされていますが、Knox ではサポートされていません。

  • パスワードの複雑さ
    この設定は Android 10 以降ではサポートされていますが、Samsung Knox ではサポートされていません。 Android 9 以前または Samsung Knox を実行しているデバイスでは、パスワードの長さと種類の設定がこの設定を上書きして複雑になります.

    必要なパスワードの複雑さを指定します。

    • None(default) - パスワードは必要ありません。
    • - パスワードは、次のいずれかの条件を満たします。
      • パターン
      • 数値 PIN には、繰り返し (4444) または順序付け (1234、4321、2468) シーケンスがあります。
    • Medium - パスワードは、次のいずれかの条件を満たします。
      • 数値 PIN には、繰り返し (4444) または順序付け (1234、4321、2468) シーケンスがないため、最小長は 4 です。
      • アルファベットで、最小長は 4 です。
      • 英数字。最小長は 4 です。
    • High - パスワードは、次のいずれかの条件を満たします。
      • 数値 PIN には繰り返し (4444) または順序付け (1234、4321、2468) シーケンスがないため、最小長は 8 です。
      • アルファベットで、最小長は 6 です。
      • 英数字。最小長は 6 です。

Android 9 以前、または Samsung Knox Android 15 以前

Android 9.0 以前および Android OS バージョン 15 以前では、次の設定がサポートされています。

  • パスワードの入力が必要
    パスワードに数字のみを含めるか、数字とその他の文字を組み合わせて使用するかを選択します。

    • デバイスの既定値 - パスワードのコンプライアンスを評価するには、必ず [デバイスの既定値] 以外のパスワード強度を選択してください。
    • 低セキュリティ生体認証
    • 少なくとも数値
    • 数値複素数 - 11111234などの繰り返しまたは連続する数字は使用できません。
    • 少なくともアルファベット
    • 少なくとも英数字
    • 少なくとも英数字と記号

    この設定の構成に基づいて、次のオプションの 1 つ以上を使用できます。

    • パスワードの最小文字数
      ユーザーのパスワードに必要な最小桁数または文字数を入力します。

    • パスワードが要求されるまでの非アクティブの最長時間 (分)
      ユーザーがパスワードを再入力する前のアイドル時間を入力します。 [未構成] (既定値) を選択した場合、この設定はコンプライアンスまたは非準拠に対して評価されません。

    • パスワードの有効期限が切れるまでの日数
      パスワードの有効期限が切れるまでの日数を選択し、ユーザーが新しいパスワードを作成する必要があります。

    • 再使用を禁止するパスワード世代数
      再利用できない最近のパスワードの数を入力します。 この設定を使用して、ユーザーが以前に使用したパスワードを作成できないように制限します。

次の手順