次の方法で共有

Android Enterprise フル マネージド デバイスの登録を設定する

Microsoft Intune で Android Enterprise フル マネージド デバイス ソリューションを設定して、企業所有のデバイスを登録および管理します。 フル マネージド デバイスは 1 人のユーザーに関連付けられています。個人使用ではなく、仕事用です。 Intune 管理者は、デバイス全体を管理し、Android Enterprise 仕事用プロファイルでは使用できない次のようなポリシー制御を適用できます。

  • マネージド Google Play からのアプリのインストールのみを許可します。
  • ユーザーがマネージド アプリをアンインストールできないようにブロックします。
  • ユーザーがデバイスを工場出荷時の状態にリセットできないようにします。

ユーザーとデバイス ユーザーは、デバイスのセットアップ中に登録トークンを入力またはスキャンすることで、登録を開始できます。 この記事では、登録の前提条件と、登録プロファイルとトークンを作成する方法について説明します。 この記事の最後に、デバイスを登録できます。

手順 1: 前提条件

これらの前提条件を満たして、登録を成功させます。

  • モバイル デバイス管理 (MDM) 機関が Microsoft Intune に設定されている Intune スタンドアロン テナントが必要です。

  • デバイスは次の条件を満たしている必要があります。

    • Android OS バージョン 10.0 以降を実行します。
    • Google Mobile Services 接続を持つ Android ビルドを実行します。
    • Google Mobile Services を利用可能にして、それに接続できるようにします。

    3 つの要件がすべて満たされている場合、デバイスの製造元/OEM に制限はありません。

  • Android Enterprise がリージョンでサポートされていることを確認します。 Android Enterprise の要件については、「 Android Enterprise の概要」を参照してください。

  • Android Enterprise がデバイスでサポートされていることを確認します。 詳細については、以下を参照してください:

  • Android Enterprise アカウントに Intune テナント アカウントを接続します

  • Android セットアップ プロセスでは、[Chrome] タブを使用して、登録中にデバイス ユーザーを認証します。 次の構成でMicrosoft Entra条件付きアクセス ポリシーがある場合は、ポリシーから Microsoft Intune クラウド アプリを除外する必要があります。

    • アクセスを許可またはブロックするには、デバイスを準拠設定としてマークする必要があります

    • このポリシーは、 すべてのクラウド アプリAndroid、ブラウザーに適用 されます

手順 2: 新しい登録プロファイルを作成する

Intune では、フル マネージド デバイスの既定の登録プロファイルと登録トークンが自動的に生成されます。 既定の登録プロファイルの名前は 、既定のフル マネージド プロファイルです

新しい登録プロファイルを作成するには:

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイス>登録] に移動します。

  3. [ Android ] タブを選択します。

  4. [Android Enterprise>登録プロファイル] で、[企業所有のフル マネージド ユーザー デバイス] を選択します。

  5. [ポリシーの作成] を選択します。

  6. プロファイルの基本を入力します。

    • 名前: プロファイルに名前を付けます。 動的デバイス グループを設定するときに必要になるため、後で名前を書き留めます。

    • 説明: プロファイルの説明を入力します この設定は省略可能ですが、推奨されます。

    • トークンの種類: 企業のフル マネージド デバイスの登録に使用するトークンの種類を選択します。 詳細については、この記事の 「トークンの種類 」を参照してください。 次のようなオプションがあります:

      • 企業所有のフル マネージド (既定値)

      • ステージングを使用した企業所有のフル マネージド

      ヒント

      登録時間のグループ化は、ステージング トークンではサポートされていません。 登録時間のグループ化で使用するプロファイルを構成する場合は、企業所有のフル マネージド (既定) トークンを使用します。

    • トークンの有効期限日: ステージング トークンでのみ使用できます。 トークンの有効期限を切る日付を、最大 65 年後に入力します。 受け入れ可能な日付形式: MM/DD/YYYY または YYYY-MM-DD トークンは、作成されたタイム ゾーンで、選択した日付の午後 12:59:59 に期限切れになります。

    • 名前付けテンプレート: 既定の動作では、登録の種類、デバイス ID、登録時刻など、デバイスのプロパティを使用してデバイスの名前が付けられます。 例: AndroidForWork_01/01/2025_12:00 PM

      カスタムの名前付けテンプレートを作成するには:

      1. [ デバイス名テンプレートの適用] で、[ はい] を選択します。

      2. デバイスに適用する名前付けテンプレートを入力します。 名前には文字、数字、ハイフンを含めることができます。

      次の文字列を使用して、名前付けテンプレートを作成できます。 Intune は、文字列をデバイス固有の値に置き換えます。

      • {{SERIAL}} デバイスのシリアル番号。

      • {{SERIALLAST4DIGITS}} デバイスのシリアル番号の最後の 4 桁。

      • デバイスの種類の {{DEVICETYPE}}。 例: AndroidForWork

      • {{ENROLLMENTDATETIME}} 登録の日付と時刻。

      • {{UPNPREFIX}} ユーザーの名。 例: デバイスがユーザーに関連付けられたときの Eric。

      • {{USERNAME}} デバイスがユーザーに関連付けられたときのユーザー名。 例: EricSolomon

      • {{RAND:x}} は数値のランダムな文字列で、 x は 1 から 9 の間にあり、追加する桁数を示します。 Intune は、名前の末尾にランダムな数字を追加します。

      名前付けテンプレートに対して行った編集は、新しい登録にのみ適用されます。

  7. [ 次へ ] を選択して、[ デバイス グループ] に進みます。

  8. 必要に応じて、登録時にデバイスをグループ化する場所を選択します。 [ グループ名で検索] を選択します。 次に、静的なMicrosoft Entraデバイス グループを見つけて選択します。 グループ化に使用するデバイス グループを作成する方法については、「 登録時間のグループ化を設定する」を参照してください。

    ヒント

    ユーザー グループではなく、デバイス グループを選択してください。

  9. [ 次へ ] を選択して、[ スコープ タグ] に進みます。

  10. 1 つ以上のスコープ タグを適用して、Intune の特定の管理者ユーザーにプロファイルの可視性と管理を制限します。 スコープ タグは省略可能です。 スコープ タグを使用する方法の詳細については、「 分散型 IT にロールベースのアクセス制御 (RBAC) とスコープ タグを使用する」を参照してください。

  11. [ 次へ ] を選択して、[ 確認と作成] に進みます。

  12. プロファイルの概要を確認し、[ 作成 ] を選択して完了します。

プロファイルを確認、変更、または削除するには、

  1. プロファイルを選択します。

  2. [ 概要 ] を選択してプロファイルの要点を確認し、プロファイルを削除します。

  3. [プロパティ>編集] を選択して、プロファイルの基本タグまたはスコープ タグを変更します。

  4. トークンを取得、取り消し、またはエクスポートするには、[トークン] を選択します。

手順 3: 動的Microsoft Entra グループを作成する

必要に応じて、動的Microsoft Entra グループを作成して、特定の属性または変数に基づいてデバイスを自動的にグループ化します。 この場合、 enrollmentProfileName プロパティを使用して、同じプロファイルで登録されているデバイスをグループ化します。

次の構成をグループに追加します。

  • [グループの種類]: セキュリティ

  • [メンバーシップの種類]: 動的デバイス

  • 次の規則を使用して動的クエリを追加します。

    • プロパティ: enrollmentProfileName
    • 演算子: 等しい
    • : 手順 2: 新しい登録プロファイルを作成するで作成した登録プロファイルの名前を入力します。

既定の登録プロファイルで動的グループを使用することはできません。 ルールを使用して動的グループを作成する方法の詳細については、「 グループ メンバーシップ ルールを作成する」を参照してください。

手順 4: デバイスを登録する

注:

Microsoft Authenticator アプリは、登録中にフル マネージド デバイスに自動的にインストールされます。 このアプリはこの登録方法に必要であり、アンインストールすることはできません。

登録プロファイル、トークン、および動的グループを設定したら、次のいずれかのプロビジョニング方法を使用して、デバイスをフル マネージドとして登録できます。

  • 近距離無線通信 (NFC)
  • トークン文字列または QR コード
  • ゼロタッチ登録
  • Samsung Knox モバイル登録

各プロビジョニング方法でデバイスを登録する方法など、次の手順については、「 Android Enterprise 企業所有デバイスの登録」を参照してください。

トークンの種類

管理センターで登録プロファイルを作成するときは、トークンの種類を選択する必要があります。 トークンには 2 種類あります。 種類ごとに異なる登録フローが有効になります。

企業所有のフル マネージドの既定のトークンは、デバイスを標準の Android Enterprise 企業フル マネージド デバイスとして Microsoft Intune に登録します。 このトークンでは、デバイスを配布する前にプロビジョニング前の手順を完了する必要があります。 エンド ユーザーは、職場または学校アカウントでサインインするときに、デバイスの残りの手順を完了します。

企業 所有のフル マネージドのデバイス ステージング トークンは、ステージング モードでデバイスを Microsoft Intune に登録し、ユーザーまたはサード パーティベンダーがすべての事前プロビジョニング手順を完了できるようにします。 エンド ユーザーは、職場または学校アカウントで Microsoft Intune アプリにサインインすることで、プロビジョニングの最後の手順を完了します。 サインイン時にデバイスを使用する準備ができました。 Intune では、Android 10 以降を実行している Android Enterprise デバイスのデバイス ステージングがサポートされています。

詳細については、「 デバイス のステージングの概要」を参照してください。

トークンの置換、削除、またはエクスポート

管理センターでトークンを選択して、次の管理オプションにアクセスします。

  • トークンの置換: 有効期限が近い新しいトークンを生成します。

  • トークンの取り消し: トークンの有効期限がすぐに切れます。 取り消した後、トークンは使用できなくなります。 このオプションは、次の場合に役立ちます。

    • 不正なパーティとトークンを誤って共有する。

    • すべての登録を完了し、トークンは不要になります。

  • トークンのエクスポート: トークンの JSON コンテンツをエクスポートします。 このオプションを使用すると、Google Zero Touch または Knox Mobile Enrollment の構成に必要な JSON コンテンツを取得できます。

これらのアクションを適用しても、既に登録されているデバイスには影響しません。

  • Last updated on