【Microsoft Intune】デバイス管理 | 私有Android1

Microsoft社が提供するクラウドベースのデバイス管理サービス「Microsoft Intune」における、私有Androidデバイスの管理方法の例を紹介します。
これにより、セキュリティルールに準拠しない私有Androidに組織のアプリを使用させないといった制約や、アプリの導入・アプリ内の挙動(組織アプリ外へのデータ持ち出し禁止等)を制御することができます。

操作環境：

OS：Windows 11
Webブラウザー：Edge

使用プラン：Microsoft 365 Business Premium(試用版)
管理デバイス環境：Android OS 14

私有Android デバイス管理の要件整理
Intune管理C デバイスグループ作成
Intune管理C マネージド Google Play設定
Intune管理C コンプライアンスポリシー作成
Intune管理C 条件付きアクセスポリシー作成

私有Android デバイス管理の要件整理

この例では、以下のような要件でデバイス管理の設定を行います。
この要件が一般的な組織のベストプラクティスという訳ではありません。

デバイス登録：
私有AndroidにCompany Portalを導入してMS365にサインインし、システム管理者がデバイスグループに登録することで業務利用可能とする
コンプライアンスポリシー：
ルート化デバイス禁止、デバイス暗号化必須、ロックパスワード必須、OS Version13以上
条件付きアクセスポリシー：
項番2の準拠済デバイスに対し、組織のアプリ(MS365,Google)にアクセスを許可(非準拠デバイスは組織アプリにアクセスさせない)
アプリ展開：
Google関連(Chrome, ドライブ), Microsoft関連(Edge, 365(Office), OneDrive, Outlook, Teams)
*MS365(Office)アプリのみ導入必須とし、他は任意とする

*認証アプリMicrosoft Authenticatorは組織貸与WindowsPCのMS365サインイン時に導入済の前提のため、アプリ展開の対象にしない
アプリ保護ポリシー：組織データの送信禁止(OneDrive&SharePoint除く), 組織アプリ以外へのコピペ禁止、データ暗号化必須、組織データアクセス時PIN不要

*今回は私有デバイスが対象のため、WindowsPCのデバイス管理の記事と異なり、デバイス構成ポリシーは設定しません

Intune管理C デバイスグループ作成

WebブラウザーよりMicrosoft Intune管理センターにアクセスし、左メニューの[グループ]を選択し、サブメニューの[すべてのグループ]を選択し、[新しいグループ]を選択します。

以下の通り設定します。

グループの種類：セキュリティ
グループ名：(私有Androidデバイスであることがわかるような名前)
メンバーシップの種類：割り当て済み
所有者：システム管理者
メンバー：(未選択)

一覧画面に戻り、少し時間を置くと、作成したグループが表示されます。

Intune管理C マネージド Google Play設定

IntuneでAndroidデバイスの管理を行う場合、Googleアカウントを使用してAndroid Enterpriseに紐づけを行う必要があります。
そのGoogleアカウントは組織のアカウントを使用することが推奨されていますが、Googleのテナントを持っていない組織も当然あると思います。この例ではGoogleのテナントを持っていない組織を想定し、紐づけ専用(*)の個人Googleアカウントを新規作成して使用します(個人Googleアカウントの作成手順の紹介は割愛します)。

*紐づけ以外の管理目的で既に使用している個人Googleアカウントは避けた方が良いようです。図表3-8の設定画面にて、紐づけ専用のアカウントとなり他のGoogle系サービスの管理で使用できないと注記されていました

Microsoft Intune管理センターにアクセスし、左メニューの[デバイス]を選択し、サブメニューの[プラットフォーム別>Android]を選択します。

サブメニューの[デバイスのオンボーディング>登録]を選択し、[マネージドGooglePlay]を選択します。

エラーが発生しました。
公式記事を確認したところ、操作ブラウザーにおいてGoogleとMicrosoftのサイトを同じセキュリティゾーンに設定するようにとのことでした。
私の環境の問題で通常は発生しない事象かもしれませんが、参考まで対処方法を紹介します。

タスクバーの検索欄に[インターネット]と入力し、[インターネットオプション]が表示されたら、[開く]を選択します。
[セキュリティ]タブを選択し、[信頼済サイト]を選択します。

[このWebサイトをゾーンに追加する]欄に、公式ドキュメントに記載のサイトをそれぞれ入力・追加し、[閉じる]を選択します。
元の画面で[OK]を選択して、[インターネットのプロパティ]を閉じます。

図表3-5 マネージド Google Play 設定(エラー発生時の対応の続き)

Webブラウザーを再起動し、図表3-2の画面(Microsoft Intune管理センターの[デバイス>プラットフォーム別>Android>デバイスのオンボーディング>登録])に再度アクセスし、[マネージドGoogle Play]を再度選択します。

今回はエラーが発生しませんでした。[同意する。]にチェックをつけ、[Googleを起動して今すぐ接続します。]を選択します。
予め新規作成しておいた紐づけ専用の個人Googleアカウントのメールアドレスを入力し、[次へ]を選択します。

*この工程の冒頭で説明した通り、別の管理目的で使用中の既存の個人Googleアカウントは指定しないでください

図表3-7 マネージド Google Play 設定(開始,Googleサインイン)

個人Googleアカウントを指定すると、このようなメッセージが表示されますが、右下の[登録]を選択します。

図表3-8 マネージド Google Play 設定(個人アカウント使用時の警告)

[スタートガイド]を選択します。
Microsoftテナントのドメイン名を入力し、[次へ]を選択します。

データ保護責任者とEU担当者(システム管理者の情報で問題ありません)の名前、メールアドレス、電話番号を適宜入力し、[managed Google Play・・・]にチェックをつけ、[確認]を選択します。
[登録を完了]を選択します。

処理に数分かかることがありますが、元の画面の状態がこのように変われば問題ありません。

Intune管理C コンプライアンスポリシー作成

Microsoft Intune管理センターの左メニューの[デバイス]を選択し、サブメニューの[プラットフォーム別>Android]を選択します。
サブメニューの[デバイスの管理>コンプライアンス]を選択し、デフォルトのAndroid用ポリシーは不要なので削除し、[ポリシーの作成]を選択します。

図表4-1 Intune管理センターで既存のAndroidコンプライアンスポリシー削除,作成へ

[ポリシーの作成]画面で以下の通り指定し、[作成]を選択します。

プラットフォーム：Android Enterprise
プロファイルの種類：Personally-owned work profile

ポリシーの名前を適宜入力し、[次へ]を選択します。

冒頭の要件に従い、[コンプライアンス設定]画面で必要な項目を設定します。

デバイスの正常性>ルート化されたデバイス：ブロック
デバイスの正常性>デバイスは、デバイス脅威レベル以下であることが必要：中
デバイスの正常性>Google Playサービスが構成されています：必要
デバイスの正常性>最新のセキュリティプロバイダー：必要
デバイスのプロパティ>最小OSバージョン：13
システムセキュリティ>デバイス上のデータストレージの暗号化が必要です。：必要
システムセキュリティ>モバイルデバイスのロックを解除するときにパスワードを要求する：必要

[コンプライアンス非対応に対するアクション]画面は、この例ではデフォルト設定(非準拠のマークをつける:即時)のままとします。
[割り当て]画面で[グループを追加]を選択し、工程2で作成したデバイスグループを選択し、[次へ]を選択します。

[確認および作成]画面で設定内容を確認し、問題なければ[作成]を選択します。

Microsoft Intune管理センターの左メニューの[デバイス]を選択し、サブメニューの[デバイスの管理>コンプライアンス]を選択します。
[コンプライアンス設定]を選択し、[コンプライアンスポリシーが割り当てられていないデバイスをマークする]で[準拠していません]を選択し、[保存]を選択します。

これにより、コンプライアンスポリシーのチェックを受けていないデバイスを非準拠扱いにすることができます(不明なデバイスを接続させない対策)。
なお、コンプライアンスポリシーのチェック状況の確認方法は、以前の記事のWindowsPCのデバイス管理で紹介した手順と同じですので、よろしければ参考にしてください。