IT資産管理

法人のAndroidデバイス管理必携?Android Enterprise総まとめ!

Written by 武藤 諒

LANSCOPE エンドポイントマネージャー クラウド版プロダクトマネージャーとして、製品ロードマップの策定や販売計画の立案、マーケティング活動に従事。またMOTEX製品のプロダクトマーケティングにも従事。

法人のAndroidデバイス管理必携?Android Enterprise総まとめ!

Android Enterprise(AE)とはGoogle社が提供するプログラムで、MDM/EMMツールと連携して利用します。AEを利用することで、利用しない場合=MDMツール単体でデバイスを管理するよりも、より高度なデバイス管理を実現できます。

本記事ではAEを利用するために必要な事前準備、利用することで得られるメリットをご紹介します。

導入方法や機能をわかりやすく解説
【完全版】Android Enterprise を徹底解剖!

資料をダウンロードする

IT資産管理ツールのクラウド移行 実態調査

情報システム担当者 1,000人に聞いた!
“IT資産管理ツールのクラウド移行”実態調査

8割以上のユーザーが「クラウドIT資産管理ツール」の導入を検討していると回答しています。

資料をダウンロードする


またiOS・iPadOSの管理を検討のお客様は、下記記事を参照してください。

関連ページ

iOS・iPadOSの管理を検討のお客様はこちらをチェック

※本記事で紹介する手順や仕様についてはMDMツールによって異なる場合がありますので予めご了承ください。

AEを利用するための事前準備

AEを利用するための事前準備は「どのようにしてデバイスをMDMの管理下に置くか」によって異なります。共通するのは、デバイスのアクティベーション(初期設定)の完了後に、MDMツールの管理下に置かれるということです。

パターン①
QRコードリーダーを立ち上げて、MDMツールで用意されているQRコードを読み取り、
アクティベーションする
パターン②
ゼロタッチ登録を利用することを前提にデバイスを購入して、アクティベーションする

それでは具体的にどのような手順を踏むのかをご紹介していきます。

パターン① QRコードを読み取る

「QRコードリーダーを立ち上げる」タイミングがポイントです。QRコードの立ち上げは、デバイスの電源を入れて表示される「こんにちは」の画面の右下あたりを6回以上連続でタップします。するとQRコードリーダーが立ち上がります。このQRコードリーダーを使い、MDMツールで用意されている専用のQRコードを読み取ります。その後、アクティベーションを完了させることで、MDMの管理下に置かれます。

また上記QRコードを読み取る方法のほか、デバイスのセットアップ時に表示されるメールアドレス欄にMDMツールが用意する専用コードを入力し、アクティベーションを完了させる手法もあります。

尚、すでに従業員に配布して利用中のデバイスにおいてもAEを利用できますが、再度アクティベーションを行う必要があるため、デバイスを初期化する必要があり注意が必要です。

パターン② ゼロタッチ登録を利用する

ゼロタッチ登録とは、デバイスのアクティベーションを完了させることでMDMの管理下に置くことができる方法です。パターン①のQRコードを読み取る方法とは違い、アクティベーションの過程で、MDMの管理下に置くための操作が不要です。

利用に必要な大枠の手順は以下となります。

1.ゼロタッチ登録を利用することを前提にデバイスを購入する
2.ゼロタッチポータルとMDMツールを連携する
3.ゼロタッチポータルに購入したデバイス(=ゼロタッチ登録を利用するデバイス)に設定を割り当てる

特にゼロタッチ登録を利用することを前提にデバイスを購入する点は注意が必要です。デバイスを提供する通信事業社や代理店は、Google社の認定を受けている必要があり、この認定を受けていない場合ゼロタッチ登録として利用できるデバイスを販売できません。必ずデバイス購入元に確認を行ってください。

ゼロタッチポータルはデバイス購入の手続きの際に申請したアカウントでログインします。ログイン後、利用するMDMツールと連携し、ゼロタッチ登録を利用するデバイスに設定情報を割り当てる作業を行います。

この事前準備を終えた上で、デバイスの電源を入れてアクティベーション作業を進めます。完了後、デバイスがMDMの管理下に置かれます。

導入方法や機能をわかりやすく解説
【完全版】Android Enterprise を徹底解剖!

資料をダウンロードする

AEを利用するメリット?デバイスの利用制御編?

AEを利用することで得られるメリットとして、「◯◯を利用させない/禁止する」といったデバイスの利用を制御できることが挙げられます。

<制御できる代表例>
・パスワードポリシーの設定(桁数やパスワードの有効期限などルールの設定)
・デバイスの初期化を禁止する
・カメラ/スクリーンショットの取得を禁止する
・OSのアップデートを禁止する
・提供元不明アプリのインストールを禁止する

このような制御機能を利用することで、セキュリティリスクのある操作や組織として行ってほしくない操作を禁止しつつ、デバイスが持つ本来の機能を従業員に利用してもらうことが可能です。

AEを利用するメリット?アプリ管理編?

さらにAEを利用することで、Androidアプリをインストールするためのストア「Google Playストア」を組織用にカスタマイズできます。

<Playストアのカスタマイズ方法>
・利用するアプリのみPlayストアに表示する(=ホワイトリスト形式)
・禁止するアプリはPlayストアに表示しない(=ブラックリスト形式)

利用するアプリのみPlayストアに表示する場合の運用シーン

組織において利用を認めるアプリが明確に決まっており、且つ利用者がPlay ストア上で自由にアプリをインストールしてほしくない場合に利用します。デバイスを従業員に配った後、利用を認めるアプリが増えた場合には後から追加も可能です。

この管理方法の場合、デバイス上のPlay ストア上には許可したアプリのみが表示されます。

またPlayストアに表示させたアプリであれば、利用者は自由にインストールできます。また利用者にインストールを委ねるだけでなく、MDMツールから強制的にデバイスへインストールまで実行することも可能です。

禁止するアプリはPlayストアに表示しない場合の運用シーン

禁止したいアプリが明確な場合、あるいはデバイスの利便性維持という観点から「特に不許可にすべきアプリは無い」「アプリのインストールは自由に行っても良い」という組織ポリシーの場合は、「禁止するアプリのみPlayストアに表示しない運用」がおすすめです。この場合、Playストアにはすべてのアプリが表示されます。禁止アプリを設定している場合、対象のアプリはPlayストアに表示されません。

Playストア利用時のGoogleアカウント

通常、Playストアを利用するためには、Googleアカウントを用意して、デバイスに設定する必要があります。しかし、AEを利用する場合はPlayストアを利用するためのアカウントが、デバイスのアクティベーション時に自動で付与されます。

つまりデバイス毎にGoogleアカウントを用意する必要がなく、管理者のアカウント管理の工数を削減できます。但し、Playストア以外のGoogleのサービス(Gmailなど)は自動で付与されるアカウントでは利用できません。Play ストア以外のGoogleのサービスを利用する場合は、別途Googleアカウントを用意して、デバイスに設定が必要です。

スマホ・タブレットを「専用端末化」する「キオスクモード」とは

AEにはデバイスの用途を大きく制限する「キオスク(KIOSK)モード」という管理方式もあります。Androidスマホ・タブレットで従来利用できる機能に対して大きく機能を制御することにより、特定のシーンで利用するデバイス(=専用端末)として管理・運用が可能です。

<キオスクモードによるデバイスの利用制御>
・特定のアプリ(ないしはWebサイト)をホーム画面に固定し、デバイス起動時には全画面で表示される
・特定のアプリのみをホーム画面に表示させる
・設定アプリ/Playストアなどをデバイス上から非表示にする
・電源ボタンのメニュー/ホームボタン/システムからのダイアログ表示を禁止する

具体的な利用シーンの例は以下のようなものです。

・飲食店に置かれる注文用タブレットとして、Androidデバイスのホーム画面には注文用アプリを常時ホーム画面に起動させておく。
・POSレジアプリをインストールして、デバイスをPOS端末として利用する。
・介護職員に業務で利用するアプリのみを許可(表示)し、それ以外のデバイス利用を制御する。

キオスクモードは、従業員に業務用スマホ・タブレットとして貸与する場合にはあまり利用されません。上記の通り、特定の利用シーンにおいて且つ特定のことだけが利用できれば良いというシーンにおいてキオスクモードの利用もご検討ください。

よくあるご質問-Android Enterpriseは利用した方が良いのでしょうか?

結論としては「迷っているのであれば利用した方が良い」となります。その理由は単純に管理の幅が広がるからというだけでなく、MDMツールとして「あって当たり前」だった機能がAndroid OSのバージョンアップやGoogle社の規約変更に伴い、Android Enterpriseの利用がMustになっている現状があるからです。

<AEを利用した場合と利用しない(MDMツール単体で管理する)場合の比較>

パスワードポリシーの設定や管理用エージェントのアンインストール防止はMDMツールにとってはこれまで当たり前のように存在していた機能。それが現在ではAEを利用しないと使えない状況です。今後も利用できない機能が増えてくる可能性があります。こういった背景からもAndroidデバイスの管理はAEの利用をおすすめします。

Androidデバイス管理でLANSCOPE クラウド版が選ばれる理由

ここまでAndroid Enterpriseの概要についてまとめてきました。さいごにMOTEXが提供するMDMツール・LANSCOPEクラウド版がAndroidデバイス管理において選ばれる理由について、Android特有の理由についてまとめていきます。

尚、Androidデバイスに限らず、LANSCOPE クラウド版が多くのお客様で採用される理由については、EMM・MDM・MAM・MCMの違いを説明しつつご紹介した記事もご参照ください。

関連ページ

今さら聞けないEMM・MDM・MAM・MCMとは?
管理ツール選定のポイントとLANSCOPE クラウド版(LanScope An)が選ばれる理由を徹底解剖!

Android管理に選ばれる理由-操作ログの活用

デバイス本来の利便性維持のため、「アプリのインストールは自由に行っても良い」という組織ポリシーの場合、Playストアにはすべてのアプリが表示されます。「自由に」とはいえ、過度な業務外利用は控えて欲しい。そういった思いが管理者様にはあるのではないでしょうか。LANSCOPE クラウド版ではアプリのインストール情報だけでなく、「いつ、どのデバイスで、どのくらいの時間」アプリを利用したのか、利用ログを取得、レポートで見える化できます。

AEのポリシーを利用してデバイスの用途を限定する前に、利用者には自由にデバイスを使ってもらい、その上で過度な業務外利用が見られた場合には、注意喚起を促したり、改めてポリシーの見直しなどの対策を取るといった事例もあります。

それでは最後までご覧頂きましてありがとうございました。LANSCOPE クラウド版におけるAndroid Enterpriseの管理についてまとめたホワイトペーパーもご用意しております。ぜひ資料ダウンロードのお申し込み、お待ちしております。

導入方法や機能をわかりやすく解説
【完全版】Android Enterprise を徹底解剖!

資料をダウンロードする

IT資産管理ツールのクラウド移行 実態調査

情報システム担当者 1,000人に聞いた!
“IT資産管理ツールのクラウド移行”実態調査

8割以上のユーザーが「クラウドIT資産管理ツール」の導入を検討していると回答しています。

資料をダウンロードする