Google エンドポイント管理(GEM)を使用すると、Google Workspace のセキュリティ、サービス、アカウントを管理するのと同じ Google 管理コンソールで、組織のデバイスを簡単に管理できます。Android デバイスで使用できる管理オプションは、次の要素によって異なります。
- デバイスの設定方法
- デバイスのユーザーにモバイルの基本管理と詳細管理のどちらが適用されているか
- 管理者がデバイスを会社所有のインベントリに追加したか
- デバイスのユーザーに割り当てられている Google Workspace ライセンス
ここでは、デバイス管理に関する多くの用語を紹介します。混乱した場合は、 このページの末尾にある単語リストをご覧ください。
Google エンドポイント管理と Android Enterprise
Android Enterprise は、企業向けモバイル管理(EMM)プロバイダが Android デバイスを管理できるようにするための API、デベロッパー ツール、管理機能のセットです。詳しくは、Android Enterpriseについてのページをご覧ください。
GEM は、Android Enterprise で利用できる多くの機能を提供する EMM プロバイダです。ただし、この 2 つは別物です。Android Enterprise には、GEM で利用できる機能よりも多くの機能が EMM によって実装されている場合があります。GEM の新機能については、Google エンドポイント 管理の新機能をご覧ください。
Android の管理権限
EMM プロバイダで Android デバイスを管理するためのオプションと、デバイスに関する情報は、デバイスの設定方法によって異なります。 設定によって、 管理権限が定義されます。組織は、デバイスに対して次のいずれかの権限を持つことができます。
デバイスの所有者 - デバイスは仕事専用として設定され、デバイスを完全に制御できます 。このモードでは、デバイス上のデータとアプリを最も細かく制御できるため、高いセキュリティ要件を持つ組織に最適です。
「デバイスの所有者」に関する注意事項: デバイス所有者の権限があるデバイスは、組織が購入し、ユーザーに提供するものであることがあります(例: ゼロタッチ登録で仕事専用として設定されているデバイス)。または、ユーザーが仕事専用として設定している個人のデバイスである可能性があります。GEM では、「会社所有デバイス」は管理者の権限によって定義されません。会社所有デバイスとは、会社所有のインベントリに管理者がシリアル番号を追加するデバイスのことです。通常、組織で購入したデバイスであり、デバイスの所有者の権限があるデバイスを指します。
プロファイルの所有者 - デバイスには、 ユーザーの個人用スペースとは別に管理対象の仕事用プロファイルがあります(仕事用プロファイルについて詳しくは、次のセクションをご覧ください)。仕事用プロファイル内のアプリとデータは制御できますが、個人用スペースは制御できません。組織が個人所有デバイスの業務使用(BYOD)環境を必要とする場合は、このモードを使用します。
デバイス 管理 - (サポート終了、 Android 10 以降での機能は使用できず、GEM モバイルの詳細管理ではサポートされません)ユーザーのデバイスの個人用 スペースに管理対象アカウントが設定されているデバイス
一部の GEM ツールと設定は、デバイスに対する権限によって異なります。たとえば、デバイスに対する プロファイルの所有者権限がある場合、デバイスから仕事用アカウントをワイプできますが、デバイス全体をワイプすることはできません。
デバイスに対する管理権限を確認するには、管理コンソールでデバイスの詳細ページを開きます。詳しくは、モバイル デバイス の詳細を確認するをご確認ください。
Android の仕事用プロファイル
Android の仕事用プロファイルにより、ユーザーは仕事でも使用する個人のデバイス上の個人データとアプリのプライバシーを確保できます。仕事用プロファイルを使用すると、管理対象のアカウントとアプリは、デバイスの管理でアクセスできない別個のスペースに置かれます。組織の管理権限は「 プロファイルの所有者」です。
GEM でモバイルの詳細管理を有効にすると、管理対象アカウントを個人の(BYOD)Android デバイスに追加するときに、仕事用プロファイルを設定するよう求められます。ユーザーが仕事用プロファイルを設定する方法について詳しくは、Android デバイスで Google Workspace を設定するおよび仕事用プロファイルとはをご覧ください。
デバイスに設定できる仕事用プロファイルは 1 つのみです。
- ユーザーに仕事用プロファイルを必須にしたくない場合は、組織部門にモバイルの基本管理を設定します。モバイルの詳細管理をすでに有効にしている場合は、モバイルの基本管理 に切り替えることができます。モバイルの基本管理では、管理機能が少なくなります。違いについて詳しくは、次のセクションをご覧ください。
- ユーザーがデバイスで複数の管理対象アカウント(「通常の」仕事用アカウントと管理者アカウントなど)を必要とする場合は、モバイルの基本管理が設定されている組織部門にユーザーを追加します。
注: この設定では現在 Android Enterprise のオプションですが、GEM は「 デバイス所有者」の権限が設定されたデバイスには対応していません。
Android デバイスのモバイルの基本管理とモバイルの詳細管理
Google エンドポイント管理には、モバイル管理のレベルが 3 つあります(基本、詳細、管理対象外)。ユーザーのモバイル管理レベルは、組織部門ごとに設定できます。[カスタム] オプションを使用すると、組織部門のユーザーが使用する特定の種類のデバイスにのみ設定を適用することもできます。 たとえば、Android デバイスにはモバイルの詳細管理を適用し、iPhone と iPad(iOS)にはモバイルの基本管理を適用できます。
重要: モバイル管理の設定は、デバイスに追加されるアカウントである ユーザーと、必要に応じてデバイスの種類によって構成します。ユーザー アカウントとは別に、特定のデバイスセットのモバイル管理レベルを設定することはできません。
モバイルの基本管理
デフォルトではモバイルの基本管理が有効になります。基本的なパスコード要件の設定、アプリの管理(Android のみ)、仕事用アカウントが設定されたデバイスの詳細情報の取得が可能です。ユーザーがデバイスに管理アプリをインストールしたり、仕事用プロファイルを設定したりする必要はありません。また、一部のサードパーティ EMM プロバイダと共存できます。GEM を EMM プロバイダとして使用する場合、モバイルの基本管理ではセキュリティ オプションが限られます。詳しくは、モバイル管理機能 の比較をご覧ください。
モバイルの詳細管理
高度なエンドポイント機能とエンタープライズ エンドポイント機能のすべての機能を使用するには、モバイルの詳細管理が必要です。セキュリティ ポリシーを適用するには、ユーザーがデバイスに管理クライアントを設定し、個人のデバイスの場合は仕事用プロファイルをインストールする必要があります。
注: モバイルの詳細管理は、他の EMM と共存できません。GEM のみと共存できます。
モバイル管理なし(管理対象外)
Android デバイスでモバイル管理が無効になっている場合でも、ユーザーはデバイスに仕事用アカウントを追加して仕事用データにアクセスできます。 ただし、管理オプションはありません。デバイスが紛失または盗難にあった場合でも、デバイスから仕事用アカウントをワイプすることはできません。パスワードを必須にすることもできません。また、管理コンソールのデバイスリストにデバイスが表示されません。
デバイスの所有者
一部の GEM 機能は、管理コンソールで会社所有として設定したデバイスにのみ適用されます。会社所有として設定するには、デバイスを会社所有の インベントリに追加します。たとえば、GEM やコンテキストアウェア アクセスなどの関連するセキュリティ機能でデバイスを会社所有として認識させるには、デバイスを会社所有のインベントリに追加する必要があります。
この会社の所有権は、「 デバイス所有者」の管理者権限や、組織がデバイスを購入した(物理的に所有している)こととは異なります。
ゼロタッチ登録
ゼロタッチ登録(ZTE)は、組織がユーザー向けのフルマネージド デバイスを自動的に設定できる Android Enterprise の機能です。Google エンドポイント管理とは異なりますが、Google エンドポイント管理を使用して、この方法で設定されたデバイスを管理できます。
ZTE を使用すると、組織はサポートされている販売店からデバイスを購入し、ユーザーがデバイスにアカウントを追加したときに自動的に適用される構成を設定できます。
GEM で ZTE デバイスを管理するには、これらのデバイスのユーザーが、モバイルの詳細管理が有効になっている組織部門に所属している必要があります(少なくとも Android デバイスの場合)。 組織には「 デバイス所有者」の管理権限がありますが、デバイスを会社所有のインベントリに追加しない限り、GEM はデバイスを会社所有として扱いません。詳しくは、ゼロタッチ 登録を使用して Android デバイスを導入するをご覧ください。
ZTE の概要について詳しくは、ゼロタッチ登録: IT 管理者向けをご覧ください。
単語リスト
Google エンドポイント管理の用語
- モバイルの詳細管理 - モバイル管理の設定。管理者はネットワークや アプリへのアクセス、セキュリティ設定など、ユーザーのデバイスをより細かく管理できます。
- モバイルの基本管理 - モバイル管理の設定。管理者によるモバイル管理は 最小限になります。
- 会社所有 - 管理コンソールの会社所有のインベントリに追加するデバイス。
- Google エンドポイント管理(GEM) - Google Workspace と Cloud Identity に含まれる企業向けモバイル管理 プロバイダ。 Google 管理コンソールで利用できます。
Android の用語
- Android Enterprise - 企業向けモバイル 管理(EMM)デベロッパーが EMM を使用して Android デバイス管理をサポートするために使用する機能とツール。
- 個人所有デバイス(BYOD) - ユーザーが 仕事用アカウントを追加する個人用デバイス。
- デバイスの所有者 - 企業向けモバイル 管理プロバイダがデバイスを完全に制御できる管理権限。ユーザーは個人用アカウントを追加できません。
- 企業向けモバイル管理(EMM)プロバイダ - 組織がセキュリティ ポリシーを設定し、データアクセスを制御し、デバイス上のアプリを管理できるプロダクト。
- フルマネージド デバイス - 組織がデバイス 所有者の権限を持つ Android デバイス。
- 管理権限 - デバイスに対する企業向けモバイル管理プロバイダの制御範囲。デバイス全体(デバイス所有者)または仕事用プロファイル(プロファイルの所有者)。
- プロファイルの所有者 - 企業向け モバイル管理プロバイダがデバイスの仕事用プロファイルのみを制御できる管理権限。
- 仕事用プロファイル - ユーザーの個人用 Android デバイス上の、 仕事用アプリとデータ用の別のスペース。組織はデバイスに対する「 プロファイルの所有者」権限を持っています。ユーザーの個人用アプリとデータは分離されており、組織はアクセスできません。
- ゼロタッチ登録 - 組織がユーザー向けのフルマネージド デバイスを自動的に設定できる Android Enterprise の機能。