Microsoft Intune アプリと DISA Purebred を使用して Android デバイスを設定する
デバイスを Microsoft Intune アプリに登録して、職場のメール、ファイル、アプリに安全でモバイル アクセスできるようにします。 デバイスが登録されると 管理されます。つまり、組織は、Microsoft Intune などのモバイル デバイス管理 (MDM) プロバイダーを使用してデバイスにポリシーとアプリを割り当てることができます。
登録中に、派生資格情報もデバイスにインストールします。 組織では、リソースにアクセスするとき、または電子メールの署名と暗号化を行うときに、認証方法として派生資格情報を使用することが必要になる場合があります。
スマート カードを使用して次の場合は、派生資格情報を設定する必要があります。
- 学校または職場のアプリ、Wi-Fi、仮想プライベート ネットワーク (VPN) にサインインする
- S/MIME 証明書を使用して学校または職場のメールに署名および暗号化する
この記事では、次の操作を行います。
- Intune アプリを使用してモバイル Android デバイスを登録する
- 組織の派生資格情報プロバイダー DISA Purebred からの派生資格情報をインストールしてスマート カードを設定する
派生資格情報とは
派生資格情報は、スマート カードの資格情報から派生し、デバイスにインストールされる証明書です。 これにより、未承認のユーザーが機密情報にアクセスできないようにしながら、作業リソースへのリモート アクセスが許可されます。
派生資格情報は、次の場合に使用されます。
- 学校または職場のアプリ、Wi-Fi、VPN にサインインする学生と従業員を認証する
- S/MIME 証明書を使用して学校または職場のメールに署名して暗号化する
派生資格情報は、Special Publication (SP) 800-157 に含まれている Derived Personal Identity Verification (PIV) 資格情報に対する米国標準技術研究所 (NIST) ガイドラインの実装です。
前提条件
登録を完了するには、次が必要です。
- 学校または職場が提供するスマート カード
- スマート カードを使用してサインインできるコンピューターまたはキオスクへのアクセス
- Android 8.0 以降を実行している新しいデバイスまたは出荷時の設定にリセットされたデバイス
- デバイスにインストールされている Microsoft Intune アプリ
- デバイスにインストールされている Purebred アプリ (デバイスのセットアップ直後にアプリが自動的にインストールされます)。そうでない場合は、IT サポート担当者にお問い合わせください)。
セットアップ中に Purebred エージェントまたは担当者に問い合わせる必要もあります。
デバイスの登録
新しいデバイス、または出荷時の設定に戻したデバイスの電源を入れます。
[ようこそ] 画面で、言語を選択します。 QR コードまたは NFC を使用して登録するように指示された場合は、メソッドに一致する以下の手順に従います。
NFC: プログラマ デバイスに対して NFC でサポートされているデバイスをタップして、組織のネットワークに接続します。 画面の指示に従います。 Chrome の利用規約の画面に到達したら、手順 5 に進みます。
QR コード: QR コード登録の手順を完了します。
別の方法を使用するように指示された場合は、手順 3 に進みます。
Wi-Fi に接続し、[ 次へ] をタップします。 登録方法に一致する手順に従います。
トークン: Google のサインイン画面に移動したら、「トークン登録」の手順を完了 します。
Google ゼロ タッチ: Wi-Fi に接続すると、デバイスが組織によって認識されます。 手順 4 に進み、セットアップが完了するまで画面のプロンプトに従います。
![Google ゼロ タッチを使用している場合に表示される Google 用語画面の画像の例で、[同意する] & [続行] ボタンが強調表示されています。](media/google-zero-touch-intune-app-01.png)
Google の利用規約を確認します。 次に、[ 同意する] & [続行] をタップします。
![[同意する] & [続行] ボタンが強調表示されている Google 用語画面の画像の例。](media/fully-managed-intune-app-04.png)
Chrome の利用規約を確認します。 次に、[ 同意する] & [続行] をタップします。
![[同意する] & [続行] ボタンが強調表示されている Chrome サービス条件画面の画像の例。](media/fully-managed-intune-app-06.png)
サインイン画面で、[ サインイン オプション ] をタップし、[ 別のデバイスからサインインする] をタップします。
画面のコードを書き留めておきます。
スマート カード対応デバイスに切り替え、画面に表示される Web アドレスに移動します。
前に書き留めておいたコードを入力します。
![ポータル サイト Web サイトの [コードの入力] プロンプトのスクリーンショット。](media/enter-code-intercede.png)
スマート カードを挿入してサインインします。
サインイン画面で、職場または学校アカウントを選択します。 次に、モバイル デバイスに戻ります。
組織の要件によっては、画面ロックや暗号化などの設定の更新を求められる場合があります。 これらのプロンプトが表示されたら、[ SET ] をタップし、画面の指示に従います。
![[仕事用電話のセットアップ] 画面の画像の例。[設定] ボタンが強調表示されています。](media/fully-managed-intune-app-10.png)
デバイスに仕事用アプリをインストールするには、[ インストール] をタップします。 インストールが完了したら、[ 次へ] をタップします。
![[仕事用電話のセットアップ] 画面の画像の例。[インストール] ボタンが強調表示されています。](media/fully-managed-intune-app-11.png)
[ スタート] をタップして Microsoft Intune アプリを開きます。
![[スタート] ボタンが強調表示されている [仕事用の電話の設定] 画面の例。](media/fully-managed-intune-app-17.png)
モバイル デバイスで Intune アプリに戻り、登録が完了するまで画面の指示に従います。
![[アクセスの設定]、[デバイス画面の登録] の画像の例。[完了] ボタンが強調表示されています。](media/fully-managed-intune-app-19.png)
この記事の 「スマート カードのセットアップ 」セクションに進み、デバイスの設定を完了します。
QR コード登録
このセクションでは、会社が提供する QR コードをスキャンします。 完了すると、デバイス登録手順にリダイレクトされます。
[ようこそ] 画面で、画面を 5 回タップして QR コードの設定を開始します。
画面の指示に従って Wi-Fi に接続します。
デバイスに QR コード スキャナーがない場合は、スキャナーがインストールされると、セットアップ画面に進行状況が表示されます。 インストールが完了するまで待ちます。
メッセージが表示されたら、組織から提供された登録プロファイルの QR コードをスキャンします。
[ デバイスの登録] に戻り、手順 4. に戻り、セットアップを続行します。
トークン登録
このセクションでは、会社が提供するトークンを入力します。 完了すると、デバイス登録手順にリダイレクトされます。
Google のサインイン画面で、[ メールまたは電話 ] ボックスに「 afw#setup」と入力します。 [ 次へ] をタップします。
Android デバイス ポリシー アプリの [インストール] を選択します。 インストールを続行します。 デバイスによっては、追加の条件を確認して同意する必要がある場合があります。
[ このデバイスの登録 ] 画面で、[ 次へ] を選択します。
[ コードの入力] を選択します。
[ スキャンまたはコードの入力 ] 画面で、組織から提供されたコードを入力します。 [次へ] をクリックします。
![[次へ] ボタンを強調表示した [スキャンまたはコード入力] 画面の画像の例。](media/token-intune-app-04.png)
[ デバイスの登録] に戻り、手順 4. に戻り、セットアップを続行します。
スマート カードを設定する
注:
Purebred アプリは、これらの手順を完了するために必要であり、登録後にデバイスに自動的にインストールされます。 しばらく待ってからアプリがまだない場合は、IT サポート担当者にお問い合わせください。
登録が完了すると、Intune アプリからスマート カードの設定が通知されます。 通知をタップします。 通知が届かない場合は、メールを確認してください。
[ スマート カードのセットアップ ] 画面で、次の手順を実行します。
組織のセットアップ手順へのリンクをタップし、確認します。 組織が追加の手順を提供していない場合は、この記事に送信されます。
[ BEGIN] をタップします。
![Intune アプリの [スマート カードの設定] 画面のスクリーンショット。](media/smart-card-open-disa-purebred-android.png)
[ 証明書の取得 ] 画面で、[ LAUNCH PUREBRED ] をタップして Purebred アプリを開きます。 (アプリはデバイスに自動的にインストールされているはずです。お持ちでない場合は、サポート担当者にお問い合わせください)。
Purebred アプリを正常に実行するには、追加のアクセス許可が必要な場合があります。 プロンプトが表示されたら 、[許可] または [すべての時間を許可する] をタップします。 これらのアクセス許可が必要な理由の詳細については、サポート担当者または Purebred エージェントにお問い合わせください。
Purebred アプリを使用したら、組織の Purebred エージェントと連携して、職場または学校のリソースにアクセスするために必要な証明書をダウンロードしてインストールします。
重要
このプロセス中に、メッセージが表示されたら [OK] または [インストール] をタップします。 インストールを求めるメッセージが表示される証明機関 (CA) または証明書の名前は変更しないでください。
インストールが完了すると、証明書の準備が完了したことを示す通知が表示されます。 通知をタップして Intune アプリに戻ります。
![[証明書へのアクセスを許可する] 画面のスクリーンショット](media/certificates-ready-prompt-disa-purbred-android.png)
[ 証明書へのアクセスを許可する] 画面から、DISA Purebred から取得した派生資格情報にアクセスするためのアクセス許可を Intune アプリに付与します。 この手順により、保護された職場または学校のリソースにアクセスするたびに、組織が ID を確認できるようになります。
[ 次へ] をタップします。
![[証明書の準備完了] プロンプトのスクリーンショット](media/certificates-access-disa-purbred-android.png)
[証明書の選択] を求められたら、選択内容を変更しないでください。 正しい証明書が既に選択されているため、[ 選択] または [OK] をタップします。
![[証明書の選択] プロンプトのスクリーンショット](media/choose-certificates-prompt-disa-purbred-android.png)
派生資格情報は複数の証明書で構成されているため、[ 証明書の選択 ] プロンプトが複数回表示される場合があります。 プロンプトが表示されないまで、前の手順を繰り返します。
すべての証明書が処理されたら、Intune アプリがデバイスの設定を完了するまで待ちます。 [ すべて設定 されました] 画面が表示されたら、セットアップが完了していることがわかります。
![[すべて設定] 画面のスクリーンショット](media/all-set-android.png)
次の手順
登録が完了すると、メール、Wi-Fi、組織が利用できるアプリなどの仕事用リソースにアクセスできるようになります。 Intune アプリでアプリを取得、検索、インストール、アンインストールする方法の詳細については、次を参照してください。
さらにヘルプが必要ですか? 会社のサポート担当者にお問い合わせください。 連絡先情報については、ポータル サイト Web サイトをご確認ください。