Intuneでの Android Enterprise のデバイス コンプライアンス設定

  • [アーティクル]

この記事では、Intuneの Android Enterprise デバイスで構成できるさまざまなコンプライアンス設定の一覧と説明を行います。 モバイル デバイス管理 (MDM) ソリューションの一環として、これらの設定を使用して、ルート化されたデバイスを非準拠としてマークし、許可された脅威レベルを設定し、Google Play Protect を有効にします。

この機能は、以下に適用されます。

  • Android エンタープライズ

Intune管理者は、これらのコンプライアンス設定を使用して、組織のリソースを保護します。 コンプライアンス ポリシーとその機能の詳細については、「 デバイス コンプライアンスの概要」を参照してください。

重要

ユーザーではなく、デバイスのグループで専用デバイスのコンプライアンス ポリシーをターゲットにすることが重要です。 コンプライアンス ポリシーはデバイスに対して評価され、Intuneのコンプライアンス状態が適切に反映されます。 専用デバイス上のユーザーが条件付きアクセス ポリシーによって保護されたリソースにサインインできるようにするには、共有デバイス モードで Android Enterprise 専用デバイスMicrosoft Entra使用することを検討してください。 フル マネージド デバイス、または個人および企業所有の仕事用プロファイルを使用するシナリオでは、ユーザーまたはデバイスのグループでコンプライアンス ポリシーをターゲットにすることができます。

Microsoft Entra共有デバイス モードなしで登録された専用デバイス上のユーザーは、デバイスがIntuneで準拠している場合でも、条件付きアクセス ポリシーによって保護されたリソースにサインインできません。 共有デバイス モードの詳細については、Microsoft Entraドキュメントの「共有デバイス モードの概要」を参照してください。

開始する前に

デバイス コンプライアンス ポリシーを作成 して、使用可能な設定にアクセスします。 [プラットフォーム] に、[Android エンタープライズ] を選択します。

フル マネージド、専用、および企業所有の仕事用プロファイル

このセクションでは、フル マネージド デバイス、専用デバイス、および仕事用プロファイルを持つ企業所有デバイスで使用できるコンプライアンス プロファイル設定について説明します。 カテゴリの設定には、次のものがあります。

  • Microsoft Defender for Endpoint
  • デバイスの正常性
  • デバイス プロパティ
  • システム セキュリティ

Microsoft Defender for Endpoint

  • デバイスは、次のマシン リスク スコア以下であることが必要

    Microsoft Defender for Endpointによって評価されたデバイスに対して許可される最大マシン リスク スコアを選択します。 このスコアを超えるデバイスは、非準拠としてマークされます。

    • 未構成 (既定値)
    • Clear
    • [ Medium]
    • High

注:

Microsoft Defender for Endpointは、すべての Android Enterprise 登録の種類でサポートされていない場合があります。 サポートされるシナリオの詳細については、こちらをご覧ください

デバイスの正常性

  • デバイスは、デバイス脅威レベル以下であることが必要
    モバイル脅威防御サービスによって評価される最大許容デバイス脅威レベルを選択します。 この脅威レベルを超えるデバイスは、非準拠としてマークされます。 この設定を使用するには、許可される脅威レベルを選択します。

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
    • セキュリティ保護済み - このオプションは最も安全であり、デバイスに脅威を持つことができないことを意味します。 デバイスが任意のレベルの脅威で検出された場合は、非準拠として評価されます。
    • : 低レベルの脅威のみが存在する場合、デバイスは準拠として評価されます。 低レベルより高い脅威が存在する場合、デバイスは非準拠状態になります。
    • - デバイスに存在する脅威が低レベルまたは中レベルの場合、デバイスは準拠として評価されます。 デバイスに高レベルの脅威が検出された場合は、非準拠と判断されます。
    • High - このオプションは、すべての脅威レベルを許可するため、最も安全性が低いオプションです。 レポート目的でのみこのソリューションを使用している場合に役立つ場合があります。

注:

すべての Mobile Threat Defense (MTD) プロバイダーは、アプリ構成を使用して Android Enterprise フル マネージド、Dedicated、Corporate-Owned Work Profile のデプロイでサポートされています。 Intuneで Android Enterprise フル マネージド、Dedicated、Corporate-Owned Work Profile プラットフォームをサポートするために必要な正確な構成については、MTD プロバイダーにお問い合わせください。

Google Play Protect

重要

Google Play Protect は、Google Mobile Services が利用可能な場所で動作します。 Google Mobile Services が利用できない地域または国で動作しているデバイスは、Google Play のコンプライアンス ポリシー設定の評価に失敗します。 詳細については、「 Google Mobile Services が利用できない Android デバイスの管理」を参照してください

  • Play Integrity Verdict
    準拠を維持するためにデバイスが渡す必要がある整合性チェックの種類を選択します。 Intuneは、Play の整合性判定を評価してコンプライアンスを判断します。 次のようなオプションがあります。

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
    • 基本的な整合性を確認する: Play の基本的な整合性チェックをデバイスに渡す必要があります。
    • デバイスの整合性 & 基本的な整合性を確認する: デバイスが Play の基本的な整合性チェックとデバイスの整合性チェックを渡す必要があります。

  • ハードウェアに基づくセキュリティ機能を使用して、強力な整合性を確認する
    必要に応じて、デバイスに強力な整合性チェックを渡す必要があります。 この設定は、基本的な整合性チェックまたはデバイスの整合性チェックが必要な場合にのみ使用できます。 次のようなオプションがあります。

    • [未構成 ] (既定値) – この設定は、コンプライアンスまたは非準拠については評価されません。 Intuneは、既定で基本的な整合性チェックからの評決を評価します。
    • 厳密な整合性を確認する – デバイスが Play の強力な整合性チェックを渡す必要があります。 すべてのデバイスでこの種類のチェックがサポートされているわけではありません。 Intuneは、非準拠などのデバイスをマークします。

    Google Play の整合性サービスの詳細については、次の Android 開発者向けドキュメントを参照してください。

デバイス プロパティ

オペレーティング システムのバージョン

  • 最小 OS バージョン
    デバイスが最小 OS バージョン要件を満たしていない場合は、非準拠として報告されます。 デバイス ユーザーには、OS をアップグレードする方法に関する情報を含むリンクが表示されます。 デバイスをアップグレードし、organization リソースにアクセスできます。

    既定では、バージョンは構成されていません

  • 最大 OS バージョン
    デバイスがルールのバージョンより後の OS バージョンを使用している場合、organizationリソースへのアクセスはブロックされます。 ユーザーは IT 管理者に連絡するように求められます。 OS バージョンを許可するようにルールが変更されるまで、このデバイスはリソースorganizationアクセスできません。

    既定では、バージョンは構成されていません

  • 最低限のセキュリティ パッチ レベル
    デバイスで使用できる最も古いセキュリティ パッチ レベルを選択します。 少なくともこのパッチ レベルではないデバイスは非準拠です。 日付は YYYY-MM-DD 形式で入力する必要があります。

    既定では、日付は構成されません

システム セキュリティ

  • モバイル デバイスのロックを解除するパスワードを要求する

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
    • 必須 - ユーザーは、デバイスにアクセスする前にパスワードを入力する必要があります。

  • パスワードの入力が必要
    パスワードに数字のみを含めるか、数字とその他の文字を組み合わせて使用するかを選択します。 次のようなオプションがあります。

    • デバイスの既定値 - パスワードのコンプライアンスを評価するには、必ず [デバイスの既定値] 以外のパスワード強度を選択してください。 OS では既定ではデバイス パスワードが必要ない場合があるため、すべてのデバイスで制御と一貫性を高めるために、別のパスワードの種類を選択することをお勧めします。
    • パスワードは必須、制限なし
    • 弱い生体認証 - このパスワードの種類の詳細については、「 強力な生体認証と弱い生体認証 」を参照してください (Android 開発者ブログが開きます)。
    • 数値 (既定値) - パスワードには、 123456789などの数値のみを指定する必要があります。
    • 数値複素数 - 11111234などの繰り返しまたは連続する数字は使用できません。
    • アルファベット - アルファベット の文字が必要です。 数値と記号は必要ありません。
    • 英数字 - 大文字、小文字、および数字が含まれます。
    • 英数字と記号 - 大文字、小文字、数字、句読点、記号が含まれます。

    その他の設定は、パスワードの種類によって異なります。 該当する場合は、次の設定が表示されます。

    • パスワードの最小文字数
      パスワードに必要な最小長を 4 文字から 16 文字まで入力します。

    • 必要な文字数
      パスワードに必要な文字数を 0 から 16 文字まで入力します。

    • 必要な小文字の数
      パスワードに必要な小文字の文字数を 0 ~ 16 文字で入力します。

    • 必要な大文字の数
      パスワードに必要な大文字の文字数を 0 から 16 文字まで入力します。

    • 必要な文字以外の文字数
      パスワードに必要な文字以外の文字数 (アルファベット以外の文字) を 0 ~ 16 文字で入力します。

    • 必要な数字の数
      パスワードに必要な文字数 (123など) を 0 から 16 文字まで入力します。

    • 必要なシンボル文字の数
      パスワードに必要なシンボル文字数 (&#%など) を 0 から 16 文字まで入力します。

    • パスワードが要求されるまでの非アクティブの最長時間 (分)
      ユーザーがパスワードを再入力する前のアイドル時間を入力します。 オプションには、既定の [未構成]1 分 から 8 時間が含まれます。

    • パスワードの有効期限が切れるまでの日数
      デバイス パスワードを変更する必要があるまでの日数を 1 から 365 の範囲で入力します。 たとえば、60 日後にパスワードの変更を要求するには、「 60」と入力します。 パスワードの有効期限が切れると、ユーザーは新しいパスワードの作成を求められます。

      既定では、値は構成されていません

    • ユーザーがあるパスワードを再使用できるようになるまでに必要なパスワード数
      再利用できない最近のパスワードの数を 1 から 24 の間で入力します。 この設定を使用して、ユーザーが以前に使用したパスワードを作成できないように制限します。

      既定では、バージョンは構成されていません

暗号化

  • デバイス上のデータ ストレージの暗号化を要求する

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
    • [必須] - デバイス上のデータ ストレージを暗号化します。

    Android Enterprise デバイスでは暗号化が適用されるため、この設定を構成する必要はありません。

デバイスのセキュリティ

  • Intune アプリのランタイム整合性
    • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
    • [必須] - デバイス上のデータ ストレージを暗号化します。

個人所有の仕事用プロファイル

このセクションでは、仕事用プロファイルに登録する個人用デバイスで使用できるコンプライアンス プロファイル設定について説明します。 カテゴリの設定には、次のものがあります。

  • Microsoft Defender for Endpoint
  • デバイスの正常性
  • デバイス プロパティ
  • システム セキュリティ

Microsoft Defender for Endpoint - 個人所有の仕事用プロファイル

  • デバイスは、次のマシン リスク スコア以下であることが必要
    Microsoft Defender for Endpointによって評価されたデバイスに対して許可される最大マシン リスク スコアを選択します。 このスコアを超えるデバイスは、非準拠としてマークされます。
    • 未構成 (既定値)
    • Clear
    • [ Medium]
    • High

デバイスの正常性 - 個人所有の仕事用プロファイル

  • ルート化されたデバイス

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
    • [ブロック ] - ルート化されたデバイスを準拠していないとしてマークします。

  • デバイスは、デバイス脅威レベル以下であることが必要
    モバイル脅威防御サービスによって評価される最大許容デバイス脅威レベルを選択します。 この脅威レベルを超えるデバイスは、非準拠としてマークされます。 この設定を使用するには、許可される脅威レベルを選択します。

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
    • セキュリティ保護済み - このオプションは最も安全であり、デバイスに脅威を持つことができないことを意味します。 デバイスが任意のレベルの脅威で検出された場合は、非準拠として評価されます。
    • 低 - 低レベルの脅威のみが存在する場合、デバイスは準拠として評価されます。 低レベルより高い脅威が存在する場合、デバイスは非準拠状態になります。
    • - デバイスに存在する脅威が低レベルまたは中レベルの場合、デバイスは準拠として評価されます。 デバイスに高レベルの脅威が検出された場合は、非準拠と判断されます。
    • High - このオプションは、すべての脅威レベルを許可するため、最も安全性が低いオプションです。 レポート目的でのみこのソリューションを使用している場合に役立つ場合があります。

Google Play Protect - 個人所有の仕事用プロファイル

重要

Google Play Protect は、Google Mobile Services が利用可能な場所で動作します。 Google Mobile Services が利用できない地域または国で動作しているデバイスは、Google Play のコンプライアンス ポリシー設定の評価に失敗します。 詳細については、「 Google Mobile Services が利用できない Android デバイスの管理」を参照してください

  • Google Play 開発者サービスが構成されている

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
    • 必須 - Google Play サービス アプリのインストールと有効化が必要です。 Google Play サービス アプリは、セキュリティ更新プログラムを有効にし、認定された Google デバイス上の多くのセキュリティ機能の基本レベルの依存関係です。

  • 最新のセキュリティ プロバイダー

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
    • 必須 - 最新のセキュリティ プロバイダーが既知の脆弱性からデバイスを保護できるようにする必要があります。

  • Play Integrity Verdict
    準拠を維持するためにデバイスが渡す必要がある整合性チェックの種類を選択します。 Intuneは、Play の整合性判定を評価してコンプライアンスを判断します。 次のようなオプションがあります。

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
    • 基本的な整合性を確認する: Play の基本的な整合性チェックをデバイスに渡す必要があります。
    • デバイスの整合性 & 基本的な整合性を確認する: デバイスが Play の基本的な整合性チェックとデバイスの整合性チェックを渡す必要があります。

  • ハードウェアに基づくセキュリティ機能を使用して、強力な整合性を確認する
    必要に応じて、デバイスに強力な整合性チェックを渡す必要があります。 この設定は、基本的な整合性チェックまたはデバイスの整合性チェックが必要な場合にのみ使用できます。 次のようなオプションがあります。

    • [未構成 ] (既定値) – この設定は、コンプライアンスまたは非準拠については評価されません。 Intuneでは、既定で基本的な整合性チェックが評価されます。
    • 厳密な整合性を確認する – デバイスが Play の強力な整合性チェックを渡す必要があります。 すべてのデバイスでこの種類のチェックがサポートされているわけではありません。 Intuneは、非準拠などのデバイスをマークします。

    Google Play の整合性サービスの詳細については、次の Android 開発者向けドキュメントを参照してください。

ヒント

Intuneには、インストールされているアプリの脅威をスキャンするために Play Protect が必要なポリシーもあります。 この設定は、Android Enterprise デバイス構成ポリシーの [ デバイス制限>System セキュリティ] で構成できます。 詳細については、「 Android Enterprise デバイスの制限設定」を参照してください。

デバイスのプロパティ - 個人所有の仕事用プロファイル

オペレーティング システムのバージョン - 個人所有の仕事用プロファイル

  • 最小 OS バージョン
    デバイスが最小 OS バージョン要件を満たしていない場合は、非準拠として報告されます。 デバイス ユーザーには、OS をアップグレードする方法に関する情報を含むリンクが表示されます。 デバイスをアップグレードし、organization リソースにアクセスできます。

    既定では、バージョンは構成されていません

  • 最大 OS バージョン
    デバイスがルールのバージョンより後の OS バージョンを使用している場合、organizationリソースへのアクセスはブロックされます。 ユーザーは IT 管理者に連絡するように求められます。 OS バージョンを許可するようにルールが変更されるまで、このデバイスはリソースorganizationアクセスできません。

    既定では、バージョンは構成されていません

システム セキュリティ - 個人所有の仕事用プロファイル

暗号化 - 個人所有の仕事用プロファイル

  • デバイス上のデータ ストレージの暗号化を要求する

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
    • [必須] - デバイス上のデータ ストレージを暗号化します。

    Android Enterprise デバイスでは暗号化が適用されるため、この設定を構成する必要はありません。

デバイス セキュリティ - 個人所有の仕事用プロファイル

  • 提供元不明のアプリをブロックする

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
    • ブロック - Security>Unknown Sources が有効なソースを持つデバイスをブロックします (Android 4.0 から Android 7.x でサポートされています)。Android 8.0 以降ではサポートされていません)。

    アプリをサイドロードするには、不明なソースを許可する必要があります。 Android アプリをサイドローディングしていない場合は、この機能を [ブロック] に設定して、このコンプライアンス ポリシーを有効にします。

    重要

    サイドローディング アプリケーションでは、[ 不明なソースからアプリをブロック する] 設定が有効になっている必要があります。 デバイスに Android アプリをサイドローディングしていない場合にのみ、このコンプライアンス ポリシーを適用します。

    Android Enterprise デバイスでは常に不明なソースからのインストールが制限されるため、この設定を構成する必要はありません。

  • ポータル サイト アプリのランタイム整合性

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
    • [必須] - [必須] を選択して、ポータル サイト アプリが次のすべての要件を満たしていることを確認します。
      • 既定のランタイム環境がインストールされている
      • 正しく署名されている
      • デバッグ モードではない
      • 既知のソースからインストールされている

  • デバイスでの USB デバッグをブロックする

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
    • [ブロック ] - デバイスが USB デバッグ機能を使用できないようにします。

    Android Enterprise デバイスでは USB デバッグが既に無効になっているため、この設定を構成する必要はありません。

  • 最低限のセキュリティ パッチ レベル
    デバイスで使用できる最も古いセキュリティ パッチ レベルを選択します。 少なくともこのパッチ レベルではないデバイスは非準拠です。 日付は YYYY-MM-DD 形式で入力する必要があります。

    既定では、日付は構成されません

  • モバイル デバイスのロックを解除するパスワードを要求する

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
    • 必須 - ユーザーは、デバイスにアクセスする前にパスワードを入力する必要があります。

    この設定は、デバイス レベルで適用されます。 作業プロファイル レベルでのみパスワードが必要な場合は、構成ポリシーを使用します。 詳細については、「 Android Enterprise デバイスの構成設定」を参照してください。

重要

個人所有の仕事用プロファイルが有効になっている場合、デバイスと仕事用プロファイルのパスコードが既定で組み合わされ、両方の場所で同じパスコードが使用されます。 Intuneでは、2 つの複雑さのレベルが高くなります。 デバイス ユーザーは、仕事用プロファイルの設定に移動し、[ 1 つのロックを使用する] の選択を解除した場合、2 つの個別のパスコードを使用できます。 デバイス ユーザーが登録時に 2 つの個別のパスコードを使用するようにするには、デバイス ユーザーが 1 つのロックを使用できないようにデバイス構成プロファイルを作成します。

  1. 管理センターで、デバイス構成プロファイルを作成します。
  2. [プロファイルの種類] で、[ デバイスの制限] を選択します。
  3. [ 仕事用プロファイルの設定 ] を展開し、[ 仕事用プロファイル のパスワード>すべての Android デバイス] に移動します。
  4. [デバイスと仕事用プロファイルの 1 つのロック] という制限を見つけます。 [ブロック] を選択します。
すべての Android デバイス - デバイスのセキュリティ

  • パスワードの有効期限が切れるまでの日数
    デバイスのパスワードを変更する必要があるまでの日数を 1 から 365 日まで入力します。 たとえば、60 日後にパスワードの変更を要求するには、「 60」と入力します。 パスワードの有効期限が切れると、ユーザーは新しいパスワードの作成を求められます。

  • 再使用を禁止するパスワード世代数
    この設定を使用して、ユーザーが古いパスワードを再利用できないように制限します。 パスワードを再利用できないようにするパスワードの数を 1 から 24 まで入力します。 たとえば、「 5 」と入力して、ユーザーが過去 5 つのパスワードを再利用できないようにします。 値が空白の場合、Intune はこの設定を変更または更新しません。

  • パスワードが要求されるまでの非アクティブの最長時間 (分)
    許可される最大アイドル時間 (1 分から 8 時間) を入力します。 この時間が経過すると、ユーザーは自分のデバイスに戻るためにパスワードを再入力する必要があります。 [未構成] (既定値) を選択した場合、この設定はコンプライアンスまたは非準拠に対して評価されません。

Android 12 以降 - デバイスのセキュリティ

  • パスワードの複雑さ
    Android 12 以降を実行しているデバイスのパスワードの複雑さの要件を選択します。 次のようなオプションがあります。

    • [なし] - この設定は、コンプライアンスまたは非準拠については評価されません。
    • - 繰り返し (4444) または順序付け (1234、4321、2468) シーケンスを持つパターンまたは PIN が許可されます。
    • - 長さ、アルファベットの長さ、または英数字の長さは、少なくとも 4 文字にする必要があります。 繰り返し (4444) または順序付け (1234、4321、2468) シーケンスを持つ PIN はブロックされます。
    • High - 長さは 8 文字以上にする必要があります。 アルファベットまたは英数字の長さは、少なくとも 6 文字にする必要があります。 繰り返し (4444) または順序付け (1234、4321、2468) シーケンスを持つ PIN はブロックされます。

    この設定は、デバイス上の 2 つのパスワードに影響します。

    • デバイスのロックを解除するデバイス パスワード。
    • ユーザーが仕事用プロファイルにアクセスできるようにする仕事用プロファイル のパスワード。

    デバイス パスワードの複雑さが低すぎる場合、デバイス パスワードは自動的に変更され、高度な複雑さが必要になります。 エンド ユーザーは、複雑さの要件を満たすためにデバイス パスワードを更新する必要があります。 その後、仕事用プロファイルにサインインすると、仕事用プロファイルのパスワードを、仕事用プロファイル のセキュリティ>Password の複雑さの下で構成した複雑さのレベルに合わせて更新するように求められます。

    重要

    パスワードの複雑さの設定を使用する前に、[ 必須のパスワードの種類 ] と [ 最小パスワードの長さ ] 設定が使用されていました。 これらの設定は引き続き使用できますが、Google は仕事用プロファイルを持つ個人用デバイス用に非推奨にしています。

    知っておくべきことを次に示します。

    • [必須のパスワードの種類] 設定がポリシーの [デバイスの既定値] から変更された場合は、次の手順を実行します。

      • 新しく登録された Android Enterprise 12 以降のデバイスでは、[パスワードの 複雑さ ] 設定と [複雑度が 高い ] が自動的に使用されます。 そのため、パスワードの複雑さが くない場合は、Android Enterprise 12 以降のデバイス用の新しいポリシーを作成し、[パスワードの 複雑さ ] 設定を構成します。

      • 既存の Android Enterprise 12 以降のデバイスでは、[ 必須のパスワードの種類 ] 設定と、構成されている既存の値が引き続き使用されます。

        既に構成されている [必須のパスワードの種類 ] 設定で既存のポリシーを変更した場合、Android Enterprise 12 以降のデバイスでは、[ パスワードの複雑さ ] 設定が [複雑度が 高い ] が自動的に使用されます。

        Android Enterprise 12 以降のデバイスの場合は、[ パスワードの複雑さ ] 設定を構成することをお勧めします。

    • [必須のパスワードの種類] 設定がポリシーの [デバイスの既定値] から変更されていない場合、新しく登録された Android Enterprise 12 以降のデバイスにパスワード ポリシーは自動的に適用されません。

Android 11 以前 - デバイスのセキュリティ

重要

Google では、Android 12 以降の [必須のパスワードの種類 ] と [最小パスワード長] 設定が非推奨になりました。 これらの設定の代わりに、 Android 12 以降のパスワードの複雑さの設定を使用します。 パスワードの複雑さの設定を構成せずに非推奨の設定を引き続き使用する場合、Android 12 以降を実行している新しいデバイスでは、既定でパスワードの複雑さが くなります。 この変更と、新規および既存のデバイスでのパスワードへの影響の詳細については、この記事の 「Android 12 以降のデバイス セキュリティ 」を参照してください。

  • パスワードの入力が必要
    パスワードに数字のみを含めるか、数字とその他の文字を組み合わせて使用するかを選択します。 次のようなオプションがあります。

    • デバイスの既定値: パスワードのコンプライアンスを評価するには、 デバイスの既定値以外のパスワード強度を必ず選択してください。 OS では既定ではデバイス パスワードが必要ない場合があるため、すべてのデバイスで制御と一貫性を高めるために、別のパスワードの種類を選択することをお勧めします。
    • 低セキュリティ生体認証: このパスワードの種類の詳細については、「 強力な生体認証と弱い生体認証 」を参照してください (Android 開発者ブログが開きます)。
    • 少なくとも数値 (既定値): 123456789などの数値が必要です。
    • 数値複素数: 11111234など、繰り返しまたは連続する数字は使用できません。 また、以下の内容も入力します。
    • 少なくともアルファベット: アルファベットの文字が必要です。 数値と記号は必要ありません。 また、以下の内容も入力します。
    • 英数字以上: 大文字、小文字、および数字が必要です。
    • 少なくとも英数字と記号: 大文字、小文字、数字、句読点、記号が必要です。

  • パスワードの最小文字数
    この設定は、特定のパスワードの種類に対して表示されます。 必要な最小文字数を 4 文字から 16 文字まで入力します。

仕事用プロファイルのセキュリティ - 個人所有の仕事用プロファイル

パスワード要件を構成しない場合、仕事用プロファイル パスワードの使用は省略可能であり、構成するユーザーに任されます。

  • 仕事用プロファイルのロックを解除するためにパスワードを要求する
    デバイス ユーザーにパスワードで保護された仕事用プロファイルを要求する。 次のようなオプションがあります。
    • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
    • 必須 - ユーザーは、仕事用プロファイルにアクセスするためにパスワードを入力する必要があります。
すべての Android デバイス - 仕事用プロファイルのセキュリティ

  • パスワードの有効期限が切れるまでの日数
    仕事用プロファイルのパスワードを変更する必要があるまでの日数を 1 から 365 日まで入力します。 たとえば、60 日後にパスワードの変更を要求するには、「 60」と入力します。 パスワードの有効期限が切れると、ユーザーは新しいパスワードの作成を求められます。

  • 再使用を禁止するパスワード世代数
    この設定を使用して、ユーザーが古いパスワードを再利用できないように制限します。 パスワードを再利用できないようにするパスワードの数を 1 から 24 まで入力します。 たとえば、ユーザーが過去 5 つのパスワードを再利用できないように、「5」と入力します。 値が空白の場合、Intune はこの設定を変更または更新しません。

  • パスワードが要求されるまでの非アクティブの最長時間 (分)
    許可される最大アイドル時間 (1 分から 8 時間) を入力します。 この時間が経過すると、ユーザーは自分の仕事用プロファイルに戻るためにパスワードを再入力する必要があります。 [未構成] (既定値) を選択した場合、この設定はコンプライアンスまたは非準拠に対して評価されません。

Android 12 以降 - 仕事用プロファイルのセキュリティ

  • パスワードの複雑さ
    Android 12 以降を実行しているデバイスの仕事用プロファイルのパスワードの複雑さの要件を選択します。 次のようなオプションがあります。

    • [なし] - この設定は、コンプライアンスまたは非準拠については評価されません。
    • Low - 繰り返し (4444) または順序付き (1234、4321、2468) シーケンスを持つパターンまたは PIN が許可されます。
    • - 長さ、アルファベットの長さ、または英数字の長さは、少なくとも 4 文字にする必要があります。 繰り返し (4444) または順序付け (1234、4321、2468) シーケンスを持つ PIN はブロックされます。
    • High - 長さは 8 文字以上にする必要があります。 アルファベットまたは英数字の長さは、少なくとも 6 文字にする必要があります。 繰り返し (4444) または順序付け (1234、4321、2468) シーケンスを持つ PIN はブロックされます。

    この設定は、デバイス上の 2 つのパスワードに影響します。

    • デバイスのロックを解除するデバイス パスワード。
    • ユーザーが仕事用プロファイルにアクセスできるようにする仕事用プロファイル のパスワード。

    デバイス パスワードの複雑さが低すぎる場合、デバイス パスワードは自動的に変更され、高度な複雑さが必要になります。 エンド ユーザーは、複雑さの要件を満たすためにデバイス パスワードを更新する必要があります。 その後、仕事用プロファイルにサインインすると、ここで構成した複雑さに合わせて仕事用プロファイルのパスワードを更新するように求められます。

    重要

    パスワードの複雑さの設定を使用する前に、[ 必須のパスワードの種類 ] と [ 最小パスワードの長さ ] 設定が使用されていました。 これらの設定は引き続き使用できますが、その後、Google は仕事用プロファイルを持つ個人用デバイス用に非推奨にしています。

    知っておくべきことを次に示します。

    • [必須のパスワードの種類] 設定がポリシーの [デバイスの既定値] から変更された場合は、次の手順を実行します。

      • 新しく登録された Android Enterprise 12 以降のデバイスでは、[パスワードの 複雑さ ] 設定と [複雑度が 高い ] が自動的に使用されます。 そのため、パスワードの複雑さが くない場合は、Android Enterprise 12 以降のデバイス用の新しいポリシーを作成し、[パスワードの 複雑さ ] 設定を構成します。

      • 既存の Android Enterprise 12 以降のデバイスでは、[ 必須のパスワードの種類 ] 設定と、構成されている既存の値が引き続き使用されます。

        既に構成されている [必須のパスワードの種類 ] 設定で既存のポリシーを変更した場合、Android Enterprise 12 以降のデバイスでは、[ パスワードの複雑さ ] 設定が [複雑度が 高い ] が自動的に使用されます。

        Android Enterprise 12 以降のデバイスの場合は、[ パスワードの複雑さ ] 設定を構成することをお勧めします。

    • [必須のパスワードの種類] 設定がポリシーの [デバイスの既定値] から変更されていない場合、新しく登録された Android Enterprise 12 以降のデバイスにパスワード ポリシーは自動的に適用されません。

Android 11 以前 - 仕事用プロファイルのセキュリティ

これらのパスワード設定は、Android 11 以前を実行しているデバイスに適用されます。

重要

Google では、Android 12 以降の [必須のパスワードの種類 ] と [最小パスワード長] 設定が非推奨になりました。 これらの設定の代わりに、 Android 12 以降のパスワードの複雑さの設定を使用します。 パスワードの複雑さの設定を構成せずに非推奨の設定を引き続き使用する場合、Android 12 以降を実行している新しいデバイスでは、既定でパスワードの複雑さが くなります。 この変更と、新規および既存のデバイスでの仕事用プロファイル パスワードへの影響の詳細については、この記事の 「Android 12 以降の仕事用プロファイルのセキュリティ 」を参照してください。

  • パスワードの入力が必要
    ユーザーに特定の種類のパスワードの使用を要求します。 次のようなオプションがあります。
    • デバイスの既定値 - パスワードのコンプライアンスを評価するには、必ず [デバイスの既定値] 以外のパスワード強度を選択してください。 OS では、既定では仕事用プロファイル のパスワードが必要ない場合があるため、すべてのデバイスで制御と一貫性を高めるために、別のパスワードの種類を選択することをお勧めします。
    • 低セキュリティ生体認証: このパスワードの種類の詳細については、「 強力な生体認証と弱い生体認証 」を参照してください (Android 開発者ブログが開きます)。
    • 少なくとも数値 (既定値): 123456789などの数値が必要です。
    • 数値複素数: 11111234など、繰り返しまたは連続する数字は使用できません。
    • 少なくともアルファベット: アルファベットの文字が必要です。 数値と記号は必要ありません。
    • 英数字以上: 大文字、小文字、および数字が必要です。
    • 少なくとも英数字と記号: 大文字、小文字、数字、句読点、記号が必要です。
  • パスワードの最小文字数
    この設定は、特定のパスワードの種類に対して表示されます。 必要な最小文字数を 4 文字から 16 文字まで入力します。

次の手順