Google エンドポイント管理(GEM)を使用すると、Google Workspace のセキュリティ、サービス、アカウントを管理するのと同じ Google 管理コンソールで、組織のデバイスを簡単に管理できます。Android デバイスで利用できる管理オプションは、次の条件によって異なります。
- デバイスの設定方法
- デバイスのユーザーにモバイルの基本管理と詳細管理のどちらが適用されているか
- 管理者がデバイスを会社所有のインベントリに追加したか
- デバイスユーザーに割り当てられている Google Workspace ライセンス
ここでは、デバイス管理に関する多くの用語を紹介します。迷った場合は、このページの末尾にある単語リストをご覧ください。
Google エンドポイント管理と Android Enterprise
Android Enterprise は、企業向けモバイル管理(EMM)プロバイダが Android デバイスを管理できるようにするための API、デベロッパー ツール、管理機能のセットです。詳しくは、Android Enterprise についてのページをご覧ください。
GEM は、Android Enterprise で利用できる多くの機能を提供する EMM プロバイダです。ただし、この 2 つは別個のものです。Android Enterprise では、GEM で利用できる機能よりも多くの機能を EMM が実装できる場合があります。GEM の新機能については、Google エンドポイント管理の新機能をご覧ください。
Android の管理権限
EMM プロバイダで Android デバイスを管理するために使用できるオプションと、デバイスに関する取得できる情報は、デバイスの設定方法によって異なります。設定によって管理権限が定義されます。組織はデバイスに対して次のいずれかの権限を持つことができます。
デバイス所有者 - デバイスが仕事専用として設定され、デバイスを完全に制御できます。このモードでは、デバイス上のデータとアプリを最も詳細に管理できます。セキュリティ要件の高い組織に最適です。
「デバイスの所有者」に関する注意事項: デバイス所有者の権限があるデバイスは、組織が購入し、ユーザーに提供するものであることがあります(例: ゼロタッチ登録で仕事専用として設定されているデバイス)。または、ユーザーが仕事専用として設定している個人のデバイスである可能性があります。GEM では、「会社所有デバイス」は管理者の権限によって定義されません。会社所有デバイスとは、会社所有のインベントリに管理者がシリアル番号を追加するデバイスのことです。通常、組織で購入したデバイスであり、デバイスの所有者の権限があるデバイスを指します。
プロファイルの所有者 - デバイスには、ユーザーの個人用スペースとは別に管理対象の仕事用プロファイルがあります(仕事用プロファイルについては次のセクションで詳しく説明します)。仕事用プロファイルのアプリやデータは管理できますが、個人用スペースのアプリやデータは管理できません。組織で個人所有デバイスの業務使用(BYOD)環境が必要な場合は、このモードを使用します。
デバイス管理 - (サポート終了、Android 10 以降での機能は使用できず、GEM モバイルの詳細管理ではサポートされません)ユーザーのデバイスの個人用スペースに管理対象アカウントが設定されているデバイス
GEM の一部のツールと設定は、デバイスに対する権限によって異なります。たとえば、デバイスのプロファイルの所有者の権限がある場合、デバイスから仕事用アカウントをワイプすることはできますが、デバイス全体をワイプすることはできません。
デバイスに対して付与されている管理権限を確認するには、管理コンソールでデバイスの詳細ページを開きます。詳しくは、モバイル デバイスの詳細情報を確認するをご覧ください。
Android の仕事用プロファイル
Android の仕事用プロファイルにより、ユーザーは仕事でも使用する個人のデバイス上の個人データとアプリのプライバシーを確保できます。仕事用プロファイルを使用すると、管理対象のアカウントとアプリは、デバイスの管理でアクセスできない別個のスペースに置かれます。組織の管理権限は「プロファイルの所有者」です。
GEM でモバイルの詳細管理を有効にすると、管理対象アカウントを個人の(BYOD)Android デバイスに追加する際に、仕事用プロファイルを設定するよう求めるメッセージがユーザーに表示されます。ユーザーが仕事用プロファイルを設定する方法について詳しくは、Android デバイスで Google Workspace を設定すると仕事用プロファイルとはをご覧ください。
1 台のデバイスで設定できる仕事用プロファイルは 1 つのみです。
- ユーザーに仕事用プロファイルを必須にしたくない場合は、ユーザーの組織部門にモバイルの基本管理を設定します。モバイルの詳細管理をすでに有効にしている場合は、モバイルの基本管理に切り替えることができます。基本のモバイル管理では、管理機能の数が少なくなります。違いについて詳しくは、次のセクションをご覧ください。
- デバイスで複数の管理対象アカウントが必要なユーザー(「通常」の仕事用アカウントと管理者アカウントの両方を持っているユーザーなど)は、基本モバイル管理が設定されている組織部門に配置します。
注: この設定では現在 Android Enterprise のオプションですが、GEM は「デバイス所有者」の権限が設定されたデバイスには対応していません。
Android デバイスのモバイルの基本管理とモバイルの詳細管理
Google エンドポイント管理には、基本管理、詳細管理、管理対象外の 3 つのレベルのモバイル管理があります。ユーザーのモバイル管理レベルは、組織部門ごとに設定できます。[カスタム] オプションを使用すると、組織部門のユーザーが使用する特定の種類のデバイスにのみ設定を適用することもできます。たとえば、Android デバイスはモバイルの詳細管理の対象、iPhone と iPad(iOS)は基本モバイル管理の対象、Google Sync を使用する iOS デバイスは基本モバイル管理の対象にすることができます。
重要: モバイル管理の設定は、デバイスに追加されたアカウントであるユーザーと、必要に応じてデバイスの種類ごとに構成します。特定のデバイスセットに対して、ユーザー アカウントとは別にモバイル管理のレベルを設定することはできません。
モバイルの基本管理
モバイルの基本管理はデフォルトで有効になっています。基本的なパスコードの要件を設定したり、アプリを管理したり(Android のみ)、仕事用アカウントが設定されているデバイスの詳細を取得したりできます。ユーザーがデバイスに管理アプリをインストールしたり、仕事用プロファイルを設定したりする必要がなく、一部のサードパーティの EMM プロバイダと共存できます。GEM を EMM プロバイダとして使用する場合、基本モバイル管理ではセキュリティ オプションが制限されます。詳しくは、モバイル管理機能の比較をご覧ください。
モバイルの詳細管理
高度なエンドポイント機能とエンタープライズ エンドポイント機能のすべての機能を使用するには、高度なモバイル管理が必要です。セキュリティ ポリシーを適用するには、ユーザーがデバイスに管理クライアントを設定し、個人用デバイスの場合は仕事用プロファイルをインストールする必要があります。
注: モバイルの詳細管理は、他の EMM と共存できません。GEM のみと共存できます。
モバイル管理なし(管理対象外)
Android デバイスのモバイル管理がオフの場合でも、ユーザーがデバイスに仕事用アカウントを追加して仕事用データにアクセスすることを許可できます。ただし、管理オプションはありません。デバイスが紛失または盗難にあった場合、デバイスから仕事用アカウントをワイプすることはできません。また、パスワードを要求することもできません。管理コンソールのデバイス リストにデバイスが表示されません。
デバイスの所有者
GEM の一部の機能は、管理コンソールで会社所有として設定したデバイスにのみ適用されます。会社所有として設定するには、会社所有のインベントリにデバイスを追加します。たとえば、GEM と関連するセキュリティ機能(コンテキストアウェア アクセスなど)でデバイスを会社所有として認識させるには、そのデバイスを会社所有のインベントリに追加する必要があります。
この会社の所有権は、「デバイス所有者」の管理者権限や、組織がデバイスを購入した(物理的に所有している)こととは異なります。
ゼロタッチ登録
ゼロタッチ登録(ZTE)は、組織がユーザー向けのフルマネージド デバイスを自動的に設定できる Android Enterprise の機能です。これは Google エンドポイント管理とは別のものですが、Google エンドポイント管理を使用して、この方法で設定されたデバイスを管理できます。
ZTE の場合、組織はサポートされている販売パートナーからデバイスを購入し、ユーザーがデバイスにアカウントを追加したときに自動的に適用される構成を設定します。
GEM で ZTE デバイスを管理するには、これらのデバイスのユーザーが、モバイルの詳細管理が有効になっている組織部門に所属している必要があります(少なくとも Android デバイスの場合)。組織にはデバイスの所有者の管理権限が付与されますが、デバイスを会社所有のインベントリに追加しない限り、GEM では会社所有として扱われません。詳しくは、ゼロタッチ登録を使用して Android デバイスを導入するをご覧ください。
ZTE の概要について詳しくは、ゼロタッチ登録: IT 管理者向けをご覧ください。
単語リスト
Google エンドポイント管理の用語
- モバイルの詳細管理 - モバイル管理の設定。管理者はネットワークやアプリへのアクセス、セキュリティ設定など、ユーザーのデバイスをより細かく管理できます。
- モバイルの基本管理 - モバイル管理の設定。管理者によるモバイル管理は最小限になります。
- 会社所有 - 管理コンソールの会社所有インベントリに追加したデバイス。
- Google エンドポイント管理(GEM)- Google Workspace と Cloud Identity に含まれる企業向けモバイル管理プロバイダ。Google 管理コンソールで利用できます。
Android の用語
- Android Enterprise - 企業向けモバイル管理(EMM)デベロッパーが EMM を使用して Android デバイス管理をサポートするために使用する機能とツール。
- 個人所有デバイス(BYOD) - ユーザーが仕事用アカウントを追加する個人用デバイス。
- デバイス所有者 - 企業向けモバイル管理プロバイダがデバイスを完全に制御できる管理権限。個人用アカウントを追加できない
- 企業向けモバイル管理(EMM)プロバイダ - 組織でセキュリティ ポリシーの設定、データアクセスの制御、デバイス上のアプリの管理を行えるサービス。
- 完全管理対象デバイス - 組織がデバイス所有者の権限を持つ Android デバイス。
- 管理権限 - デバイスに対する企業向けモバイル管理プロバイダの制御範囲。デバイス全体(デバイス所有者)または仕事用プロファイル(プロファイル所有者)。
- プロファイル所有者 - 企業向けモバイル管理プロバイダがデバイスの仕事用プロファイルのみを管理できる管理権限。
- 仕事用プロファイル - ユーザーの個人用 Android デバイス上に仕事用のアプリとデータを格納するための独立した領域。組織にデバイスの「プロファイルの所有者」権限が付与されています。ユーザーの個人用のアプリとデータは分離されており、組織はアクセスできません。
- ゼロタッチ登録 - 組織がユーザー向けのフルマネージド デバイスを自動的に設定できる Android Enterprise の機能。
Android Enterprise 用語集もご覧ください。