Intune でデバイスを管理するにあたり、スクリーンロック設定は人気の設定と思います。
特にモバイルデバイスなど、ハイブリッドワーク環境での利用が想定されるデバイスだと、一定時間無操作だった場合になにかしらロックする仕組みを入れたいものです。
Android 管理界隈では、Intune サービスリリース 2403 でコンプライアンスポリシーで構成可能な項目に追加があり1、従来の構成プロファイルに加えてコンプライアンスポリシーでもスクリーンロックを構成できるようになりました!
選択肢が増えて嬉しい半面、どういうときに何を選べばいいの? という新たな疑問もあります...
これを機に、あらためてそれぞれの動作特徴を検証をもとにまとめていきたいと思います!
まず特徴をまとめた後で、細かい挙動を掲載します。
本記事で扱う範囲は下表の通りです:
| # | カテゴリ | 本記事の範囲 | 備考 |
|---|---|---|---|
| 1 | デバイス管理方式 | BYOD | 企業(お客様組織)が管理していない、ユーザーの私物端末が対象です。 |
| 2 | デバイス プラットフォーム | Android 12 以降 | BYOD のため機種 (SHARP, OPPO, Samsung, etc) は限定しません。ただし、Intune サービス側でサポートするバージョン要件があるため、正常動作を担保するための前提バージョンは 12 以降としています2。 |
| 3 | デバイス登録方式 | Android Enterprise personally owned devices with work profile (個人所有の仕事用プロファイル) | BYOD Android 用に用意されている登録方式3を採用しています。 |
| 4 | 制御 | スクリーンロック | Intune のどの機能で実装するとどういった挙動になるのか?比較します。 |
なお本記事内に掲載している参考写真は、SHARP AQUOS フォン (Android 13.0) から取得しました。
別機種、別バージョンの Android では画面表示に差異がある場合があります。
実装方式
ひとくちにスクリーンロックといっても、どこをロックするかにより以下の実装方法の選択肢があります。
| # | どこをロックする? | Intune 機能 | 概要 |
|---|---|---|---|
| 1 | デバイス | 構成プロファイル、コンプライアンスポリシー | デバイスが一定時間無操作だった場合、デバイスをロック (スリープ) する (パスワードの入力を求める) |
| 2 | 仕事用プロファイル | 構成プロファイル、コンプライアンスポリシー | 仕事用プロファイルが一定時間無操作だった場合、プロファイルをロックする (パスワードの入力を求める) |
「仕事用プロファイル (work profile)」とは:
Android を個人所有の仕事用プロファイル方式で Intune 登録すると、Android 上に仕事用の領域が作成されます。(個人用領域と仕事用領域がプロファイルで区別されます。) 仕事用領域のプロファイルが「仕事用プロファイル」です。
スクリーンロックはデバイスの挙動に関わる制御で、一般にデバイスの制御は構成プロファイルの専売特許と思いがち (偏見) ですが、意外にコンプライアンスポリシーでも実装することができます。
これまでは仕事用プロファイルのロックを構成するには構成プロファイルの利用が必須でしたが、それすら直近のサービスリリース1でコンプライアンスポリシーでも実装可能になりました。
なお、デバイスと仕事用プロファイルの両方をロックする構成を入れることも可能です。
#1 と #2 の設定を同一プロファイル上に入れるか、それぞれプロファイルを用意して同じグループに割り当てれば実現できます。
ただし、端末が BYOD であることを考えると仕事用プロファイルのみロックすれば十分とも考えられます。
デバイスロック or 仕事用プロファイルロック
あくまで私が考えるメリット/デメリットになってしまいますが、以下の特徴があると思います。
| どこをロックする? | メリット | デメリット |
|---|---|---|
| デバイス | iOS/iPadOS でも同様の制御が可能なため、プラットフォームを横断して挙動を統一できる。 | ユーザーが端末を私用で利用している際も Intune が設定した分数を超えて放置するとロックが強制される。 |
| 仕事用プロファイル | ① ユーザーが端末を業務利用している時 (仕事用プロファイルを利用している時) に限定してロックを強制できる。 (私用端末の私用利用を妨げない。) ② ユーザーが仕事用プロファイルのパスワードを忘れた場合、Intune 管理センター上でリセットできる。 | 特にないが、iOS/iPadOS には無い Android だけの概念となる。 |
個人的には、BYOD の Android でスクリーンロックを実装する場合、仕事用プロファイルにロックをかけるのがスマートだと思っています。
みなさんはどう思いますか?
構成プロファイル or コンプライアンスポリシー
構成プロファイル と コンプライアンスポリシー を比較すると、今回の場合に限らずそれぞれの特徴が見えてきました。
| Intune 機能 | メリット | デメリット |
|---|---|---|
| 構成プロファイル | ① 端末の制御 = 構成プロファイルで分かりやすい。 (複数プラットフォーム管理している環境では分かりやすさが大事!) ② 仕事用プロファイルロックを利用する場合、統一ロックのブロックが可能。 ③ 特に仕事用プロファイルに対する制御に関して、以前から対応しているので Intune 担当チームにノウハウがある場合が多い。 | ① 複雑性設定を満たさなかったり新規でパスワード設定が必要な場合、デバイス上に通知が表示されるが、ユーザーは通知を無視して設定を回避することが可能。(しつこく通知が来るがそれも無視するとして。) ② 設定値の異なる複数のプロファイルを同一グループに割り当てると競合する。 |
| コンプライアンスポリシー | ① パスワード複雑性設定を満たさない場合、デバイス上に通知が表示されるのに加え、デバイスのコンプライアンス状態が非準拠となる。条件付きアクセスポリシーを構成している場合、組織のリソースへのアクセスがブロックされる。また、端末登録時点で非準拠の場合、解決しない限り Intune へのデバイス登録を完了できない。設定しない場合業務への実害がある。 ② 設定値の異なる複数のコンプライアンスポリシーを同一グループに割り当てた場合、最もセキュアな値が適用される。(競合の自動解決) ③ 構成プロファイルと併用可能。同じ項目が構成されている場合はコンプライアンスポリシーが優先される。 | 特にないが、特に仕事用プロファイルに対する制御に関しては最近追加された新しい機能であるため、Intune 担当チームにノウハウがない場合がある。 |
どうでしょうか。コンプライアンスポリシー贔屓が出てしまいました。
総合して、コンプライアンスポリシーで仕事用プロファイルをロックするのがベストかなと思いました。
(2403 以前はできなかった組み合わせです。機能追加されてよかったです!)
「2. 仕事用プロファイルをロックする」セクションで後述しますが、「統一ロック」挙動の好みによってはコンプライアンスポリシーと構成プロファイルを組み合わせていいとこどりしながら利用することも手です。
「統一ロック (One Lock, Unified Lock)」とは:
デバイスのロックと仕事用プロファイルのロックを解除するのに 1つの (統一した) パスワードを使うための設定です。許可/ブロック4により統一したパスワードを使うか、別々のパスワードを使うか制御できます。
あまり共感できなかったという方は、この後に各挙動を掲載していますので、ぜひみなさまの状況や環境に合ったメリット/デメリット探しをしていただくといいかと思います!
検証時の動作
当方環境で SHARP AQUOS フォン (Android 13) で検証し、動作を確認しました。
以下の構成で、順に記載します:
-
デバイスをロックする
-
構成プロファイルの場合
- 端末動作
- テナント構成
-
コンプライアンスポリシーの場合
- 端末動作
- テナント構成
-
構成プロファイルの場合
-
仕事用プロファイルをロックする
-
構成プロファイルの場合
- 端末動作
- テナント構成
-
コンプライアンスポリシーの場合
- 端末動作
- テナント構成
-
構成プロファイルの場合
1. デバイスをロックする
Intune 側で構成したスクリーンロック (スリープ) 時間設定が、端末側で選択可能な MAX 値として表示されます。
- ユーザーはこれよりも小さい値を選択することが可能。
- ユーザーがこれよりも大きい値を選択していた場合は、プロファイル適用以降 (デバイス登録以降) 新たな MAX 値が設定値として採用される。
スクリーンロックの制御は Intune 各ポリシーの「パスワード」カテゴリ下で構成するので、ロックまでの無操作時間に加えてロック後に要求するパスワードの複雑性も構成できます。
以下の条件をどちらも満たす場合は、パスワードの変更を求められます!
- ポリシーでパスワード複雑性を構成している
- デバイス側で設定されているパスワードがその複雑性を満たさない
なお、パスワードが更新されない間もスクリーンロック時間は適用されます。
以下のいずれかの場合は、パスワードの変更は求められません。(ユーザー操作不要)
- ポリシーでパスワード複雑性を構成していない
- ポリシーでパスワード複雑性を構成しているが、既存デバイス パスワードがすでにその複雑性を満たしている
パスワード複雑性を構成しない場合はパスワードの再設定不要でユーザー作業フリーなメリットがある反面、ユーザーが端末を個人利用している場合もスクリーンロックが強制されてしまう点はデメリットと言えそうです。
なお、iOS/iPadOS も同様の動作仕様5となるため、デバイスのスリープ設定であればプラットフォームを横断して挙動を統一することができます。
・構成プロファイルの場合
― 端末動作 ―
① スクリーンロック (スリープ) 設定画面
- 構成プロファイルで指定した分数が、端末側に適用されます。
- ↑「他の設定は管理者により無効にされています」下の「詳細」を押下すると、
下の「IT 管理者によりブロックされました」ポップアップ画面が表示されます ↓
- さらに「IT 管理者によりブロックされました」ポップアップ内の「詳細」をクリックすると、下の「デバイス管理」画面が表示されます ↓
【参考】デバイスロック (スリープ) を Intune から構成していない場合の画面 (比較用)
Intune ポリシーが適用されていない場合、MAX値が構成されません。
SHARP AQUOS フォンでは、最大で 30分まで選択することができました。
② 既存パスワードが複雑性を満たさない場合:パスワードの変更を求められる
次の条件をどちらも満たす場合、このセクションに記載の挙動になります:
(ユーザーがパスワードの更新を求められる)
- 構成プロファイルでパスワード複雑性を構成している
- 既存のデバイスパスワードがプロファイルで構成された複雑性を満たさない
- デバイスに以下の通知が来ます。
デバイスの設定の更新
ご使用のデバイスのパスコードを更新する必要があります
- 通知をタップすると、デバイスのパスワード更新画面に推移するので、画面に従って設定します。
(パスワード更新時に複雑性のガイドが表示されます。例:8桁以上)
デバイスのパスワードを更新しないと、通知が出続けます。
この間、Intune 管理センター上では該当デバイスのプロファイル適用結果が「エラー」として表示されます。
ユーザーがパスワードを更新しない限り、複雑性の設定は実質効力を発揮しません。
ただし、パスワードが更新されない間もスクリーンロック時間は適用されます。
③ 一定時間無操作時:パスワードの入力を求められる
- 冒頭の「画面消灯 (スリープ)」画面上で構成された時間以上無操作で端末を放置すると、スクリーンがロックされます。
― テナント構成 ―
以下が当検証環境で利用しているパラメータ例です。
構成プロファイルとしての必須項目、およびスクリーンロック関連項目に絞って記載します。(記載のない項目は未構成のままにしています。)
プロファイルの種類は、「デバイスの制限」です。
| # | 大項目 | 中項目 | 小項目 | 既定値 | 設定値 (例) | 備考 |
|---|---|---|---|---|---|---|
| 1 | 基本 | 名前 | ― | (空欄) | Enable Device Lock | 直観的に分かりやすい名前 (主観) を採用。 |
| 2 | 基本 | 設定 | ― | (空欄) | {参考情報URL} | 個人でメンテしている環境のため、自分の備忘目的参考リンクを記入。 |
| 3 | 基本 | プラットフォーム | ― | Android Enterprise | Android Enterprise | Android Enterprise 個人所有の仕事用プロファイル向けの設定。 |
| 4 | 基本 | プロファイルの種類 | ― | デバイスの制限 | デバイスの制限 | 個人所有の仕事用プロファイル向けの「デバイスの制限」を選択。 |
| 5 | 構成設定 | 仕事用プロファイルの設定 | 仕事用プロファイルと用プロファイルの間でのコピー/貼り付け | ブロック | ブロック | 既定で構成されている項目。(挙動はこちら) |
| 6 | 構成設定 | パスワード | 画面がロックされるまでの非アクティブな最長時間 (分) | 構成されていません | 10分 | 任意の時間が経過したら画面をロックするよう、ドロップダウンメニューから選択。 |
| 7 | 構成設定 | パスワード | Android 12 以降:パスワードの複雑さ | なし | 高 | 必要に応じて設定する。「なし」の場合:Intune は パスワード複雑性を制御しない。OS 側の仕様に依存する。複雑性を選択する場合:選択肢は 公開情報 参照。 |
| 8 | スコープタグ | ― | ― | 既定 | 既定 | ― |
| 9 | 割り当て | 組み込まれたグループ | - | (未選択) | {BYOD 利用ユーザーがメンバーのグループ} | グループに割り当てる。 |
・コンプライアンスポリシーの場合
― 端末動作 ―
① スクリーンロック (スリープ) 設定画面
コンプライアンスポリシーで指定した分数が、端末側に適用されます。
画面表示は構成プロファイルと同じのため、掲載割愛します。
② 既存パスワードが複雑性を満たさない場合:パスワードの変更を求められる
構成プロファイルと同様に、次の条件をどちらも満たす場合、このセクションに記載の挙動になります:
(ユーザーがパスワードの更新を求められる)
- ポリシーでパスワード複雑性を構成している
- 既存のデバイスパスワードがポリシーで構成された複雑性を満たさない
- デバイスに以下の通知が来ます。
デバイス設定の更新
ご使用のデバイスのパスコードを更新する必要があります。
- Company Portal 上では、以下の表示となります。
(この時点で端末は非準拠のため、条件付きアクセスポリシーが構成されている場合は組織のリソースにアクセスできない。)このデバイスの設定を更新する必要があります。
- そのまま Company Portal 画面上で「このデバイスの設定を更新する必要があります。」を押下すると、下の通り何を実施すべきか詳細が表示されます。
より複雑なパスワードを設定する
- 最初のデバイス通知自体を押下 または Company Portal 画面上 ↑ の「解決」を押下すると、デバイスのパスワード更新画面に推移します。
- パスワード更新後 Company Portal で「デバイス設定の確認」をすると、以下の通り準拠状態になります。
デバイス設定は、ポリシー要件を満たしています。
デバイスを登録する段階で非準拠と判定されたらどんな挙動になるのか? については、すでに公開情報があるため本記事では記載を割愛しました。
検証時も公開情報と同じ動きになりました。
③ 一定時間無操作時:パスワードの入力を求められる
ポリシーで構成された時間以上無操作で端末を放置すると、スクリーンがロックされます。
(ポリシーで構成可能なのはデバイス上で設定可能な MAX 値のため、ユーザーがこれより小さい値を選択することも可能。)
画面表示は構成プロファイルと同じのため、掲載割愛します。
(普通にロック画面になります。)
― テナント構成 ―
以下が当検証環境で利用しているパラメータ例です。
コンプライアンスポリシーとしての必須項目、およびスクリーンロック関連項目に絞って記載します。
(記載のない項目は未構成のままにしています。)
プロファイルの種類は、「Personally-owned work profile」です。
| # | 大項目 | 中項目 | 小項目 | 既定値 | 設定値 (例) | 備考 |
|---|---|---|---|---|---|---|
| 1 | 基本 | 名前 | ― | (空欄) | Require Device Lock | 直観的に分かりやすい名前 (主観) を採用。 |
| 2 | 基本 | 設定 | ― | (空欄) | {参考情報URL} | 個人でメンテしている環境のため、自分の備忘目的参考リンクを記入。 |
| 3 | 基本 | プラットフォーム | ― | Android Enterprise | Android Enterprise | Android Enterprise 個人所有の仕事用プロファイル向けの設定。 |
| 4 | 基本 | プロファイルの種類 | ― | Personally-owned work profile | Personally-owned work profile | 登録方式に合ったプロファイルの種類を選択。 |
| 5 | コンプライアンス設定 | システム セキュリティ - デバイスのセキュリティ | モバイル デバイスのロックを解除するときにパスワードを要求する | 構成されていません | 必要 | デバイスのパスワードを必須にする。 |
| 6 | コンプライアンス設定 | システム セキュリティ - デバイスのセキュリティ | パスワードが要求されるまでの非アクティブの最長時間 (分) | 構成されていません | 10分 | 任意の時間が経過したら画面をロックするよう、ドロップダウンメニューから選択。 |
| 6 | コンプライアンス設定 | システム セキュリティ - デバイスのセキュリティ | Android 12 以降:パスワードの複雑さ | なし | 高 | 必要に応じて設定する。「なし」の場合:Intune は パスワード複雑性を制御しない。OS 側の仕様に依存する。複雑性を選択する場合:選択肢は 公開情報 参照。 |
| 7 | コンプライアンス非対応に対するアクション | アクション | - | デバイスに非準拠のマークを付ける | デバイスに非準拠のマークを付ける | 変更できない項目。 |
| 8 | コンプライアンス非対応に対するアクション | スケジュール (コンプライアンス違反となってからの日 | - | 0 (即時) | 0 (即時) | コンプライアンスに違反した場合、即時に非準拠のマークを付ける。 |
| 7 | スコープタグ | ― | ― | 既定 | 既定 | ― |
| 8 | 割り当て | 組み込まれたグループ | - | (未選択) | {BYOD 利用ユーザーがメンバーのグループ} | グループに割り当てる。 |
2. 仕事用プロファイルをロックする
デバイス全体ではなく、仕事用プロファイルに限定してをロックを制御することができます。
この場合、ユーザーが仕事用プロファイルを開いたまま (仕事用プロファイルにインストールされたアプリなどを開いたまま) ポリシーで設定した時間以上放置すると、仕事用プロファイルのパスワード入力を求める画面が表示されます。
なお、Intune の構成プロファイルでは、統一ロックをブロックする (別々のパスワードを使うよう強制する) ことができます。
「統一ロック (One Lock, Unified Lock)」とは:
デバイスのロックと仕事用プロファイルのロックを解除するのに 1つの (統一した) パスワードを使うための設定です。許可/ブロック4により統一したパスワードを使うか、別々のパスワードを使うか制御できます。
ただし、現状構成プロファイルでは「ブロック」or「構成しない」しか選択できず4、「構成しない」場合はOS 側の挙動任せとなります6。
(参考:Android Enterprise device settings list to allow or restrict features on personally owned devices using Intune - Work Profile Password)
コンプライアンスポリシーには統一ロックに関する設定項目は無く、公開情報には「統一ロックを既定で利用する6 が、これをブロックしたい場合は構成プロファイルを組み合わせて利用するように」旨の記載があります。
(参考:Device compliance settings for Android Enterprise in Intune - Personally owned work profile)
以上を鑑みると、以下の観点も選択の上でインプットになります:
-
統一ロックをブロックしたい場合:
(デバイスのロックと仕事用プロファイルのロックはそれぞれ別のパスワードにしたい)
← 構成プロファイル単体 または コンプライアンスポリシーと構成プロファイルを組み合わせて使う
各ポリシー利用時の挙動はこの後記載します。
個人的には、コンプライアンスポリシーには準拠判定ができることによる強制力があるため、基本コンプライアンスポリシーに寄せておき、統一ロックの要件次第で構成プロファイルも併用を検討するのがいいのではと思いました。
・構成プロファイルの場合
― 端末動作 ―
①-1 仕事用プロファイル使用開始時:パスワードの入力を求められる
次の条件をどちらも満たす場合にこのセクションに記載の挙動になります:
- 統一ロックが有効
- 構成プロファイルでパスワード複雑性が構成されていない または 構成されているが既存のデバイスパスワードが複雑性を満たしている
- デバイスに以下の通知が来ます。
仕事用プロファイルをセキュリティで保護する
会社のサポートがリモートで仕事用プロファイルのパスワードをリセットできるようにするには、資格情報を使用します。続行するには、ここをタップしてください。
- 通知をタップすると、パスワードの入力を求められます。
(仕事用プロファイルのパスワード (端末パスワードと共通) を入力します。)
正しく入力すると、以降通知は来ません。
この文言の通知は、スクリーンロック用の構成プロファイルではなく、Intune 標準機能のデバイスアクション (リモートアクション) 機能によりプロンプトされています。
仕事用プロファイルをセキュリティで保護する
会社のサポートがリモートで仕事用プロファイルのパスワードをリセットできるようにするには、資格情報を使用します。続行するには、ここをタップしてください。
①-2 仕事用プロファイル使用開始時:パスワードの設定を求められる
次のいずれかにあてはまる場合はこのセクションに記載の挙動になります:
- 統一ロックが無効
- 構成プロファイルでパスワード複雑性が構成されている
- デバイスに以下の通知が来ます。
仕事用プロファイルをセキュリティで保護する
仕事用プロファイルのパスコードを更新する必要があります。
- 通知をタップすると、仕事用プロファイル パスワード設定画面に推移します。
- パスワード設定後、以下の通知が来ます。
仕事用プロファイルをセキュリティで保護する
会社のサポートがリモートで仕事用プロファイルのパスワードをリセットできるようにするには、資格情報を使用します。続行するには、ここをタップしてください。
- 通知をタップすると、先ほど設定した仕事用プロファイルのパスワード入力を求められます。
正しく入力すると、以降通知は来ません。
この文言の通知は、スクリーンロック用の構成プロファイルではなく、Intune 標準機能のデバイスアクション (リモートアクション) 機能によりプロンプトされています。
仕事用プロファイルをセキュリティで保護する
会社のサポートがリモートで仕事用プロファイルのパスワードをリセットできるようにするには、資格情報を使用します。続行するには、ここをタップしてください。
② 一定時間無操作時:パスワードの入力を求められる
仕事用プロファイルを開いたまま (仕事用プロファイルにインストールされたアプリなどを開いたまま) 構成プロファイルで設定した時間以上放置すると、仕事用プロファイルのパスワード入力を求める画面が表示されます。
― テナント構成 ―
以下が当検証環境で利用しているパラメータ例です。
構成プロファイルとしての必須項目、およびスクリーンロック関連項目に絞って記載します。
(記載のない項目は未構成のままにしています。)
プロファイルの種類は、「デバイスの制限」です。
| # | 大項目 | 中項目 | 小項目 | 既定値 | 設定値 (例) | 備考 |
|---|---|---|---|---|---|---|
| 1 | 基本 | 名前 | ― | (空欄) | Enable Workprofile PW&Lock | 直観的に分かりやすい名前 (主観) を採用。 |
| 2 | 基本 | 設定 | ― | (空欄) | {参考情報URL} | 個人でメンテしている環境のため、自分の備忘目的参考リンクを記入。 |
| 3 | 基本 | プラットフォーム | ― | Android Enterprise | Android Enterprise | Android Enterprise 個人所有の仕事用プロファイル向けの設定。 |
| 4 | 基本 | プロファイルの種類 | ― | デバイスの制限 | デバイスの制限 | 個人所有の仕事用プロファイル向けの「デバイスの制限」を選択。 |
| 5 | 構成設定 | 仕事用プロファイルの設定 | 仕事用プロファイルと用プロファイルの間でのコピー/貼り付け | ブロック | ブロック | 既定で構成されている項目。(挙動はこちら) |
| 6 | 構成設定 | 仕事用プロファイルの設定 | 作業プロファイルのパスワードが必要です | 構成されていません | 必要 | 仕事用プロファイルのパスワードを有効にする。 |
| 7 | 構成設定 | 仕事用プロファイルの設定 | 非アクティブにできる時間の最大値 (分)。この時間を超えると、作業プロファイルがロックされます。 | 構成されていません | 10分 | 任意の時間が経過したらプロファイルをロックするよう、ドロップダウンメニューから選択。 |
| 8 | 構成設定 | 仕事用プロファイルの設定 | デバイスと仕事用プロファイルに対する 1 つのロック | 構成されていません | ブロック | 必要に応じて設定する。「構成されていません」の場合:Intune は 統一ロックを制御しない。OS 側の設定に依存する。 「ブロック」の場合:Intune は統一ロックを有効にする。 |
| 9 | 構成設定 | 仕事用プロファイルの設定 | Android 12 以降:作業プロファイルのパスワードの複雑さ | なし | 高 | 必要に応じて設定する。「なし」の場合:Intune は パスワード複雑性を制御しない。OS 側の仕様に依存する。複雑性を選択する場合:選択肢は 公開情報 参照。 |
| 10 | スコープタグ | ― | ― | 既定 | 既定 | ― |
| 11 | 割り当て | 組み込まれたグループ | - | (未選択) | {BYOD 利用ユーザーがメンバーのグループ} | グループに割り当てる。 |
※写真では以下の項目に値が入っているように見えますが、薄墨色の数字が例示されているだけで実際は空値です:
- サインインで失敗できる回数。この回数を超えると作業プロファイルが消去されます
- パスワードの有効期限 (日数)
- 前のパスワードを再利用できないようにする
・コンプライアンスポリシーの場合
― 端末動作 ―
①-1 仕事用プロファイル使用開始時:パスワードの入力を求められる
以下のいずれかにあてはまる場合にこのセクションに記載の挙動になります:
- コンプライアンスポリシーでパスワード複雑性が構成されていない
- パスワード複雑性は構成されているが、既存のデバイスパスワードが複雑性を満たしている
- デバイスに以下の通知が来ます。
仕事用プロファイルをセキュリティで保護する
会社のサポートがリモートで仕事用プロファイルのパスワードをリセットできるようにするには、資格情報を使用します。続行するには、ここをタップしてください。
- 通知をタップすると、パスワードの入力を求められます。
(仕事用プロファイルのパスワード (端末パスワードと共通) を入力します。)
正しく入力すると、以降通知は来ません。
この文言の通知は、スクリーンロック用のコンプライアンスポリシーではなく、Intune 標準機能のデバイスアクション (リモートアクション) 機能によりプロンプトされています。
仕事用プロファイルをセキュリティで保護する
会社のサポートがリモートで仕事用プロファイルのパスワードをリセットできるようにするには、資格情報を使用します。続行するには、ここをタップしてください。
①-2 仕事用プロファイル使用開始時:パスワードの設定を求められる
以下の場合にこのセクションに記載の挙動になります:
- コンプライアンスポリシーでパスワード複雑性が構成されている
かつ - 既存のデバイスパスワードが複雑性を満たしていない
これ以外では、構成プロファイルを併用しており構成プロファイルにて統一ロックをブロックしている場合も、本セクションに記載のように仕事用プロファイルのパスワード設定を求められます。
- デバイスに以下の通知が来ます。
仕事用プロファイルをセキュリティで保護する
仕事用プロファイルのパスコードを更新する必要があります。
- Company Portal 上では、以下の表示となります。
(この時点で端末は非準拠のため、条件付きアクセスポリシーが構成されている場合は組織のリソースにアクセスできない。)このデバイスの設定を更新する必要があります。
- そのまま Company Portal 画面上で「このデバイスの設定を更新する必要があります。」を押下すると、下の通り何を実施すべきか詳細が表示されます。
より複雑な仕事用プロファイルのパスワードを設定する
-
最初のデバイス通知自体を押下 または Company Portal 画面上 ↑ の「解決」を押下すると、仕事用プロファイル パスワード設定画面に推移します。
-
パスワード設定後、Company Portal で「デバイス設定の確認」をすると、以下の通り準拠状態になります。
デバイス設定は、ポリシー要件を満たしています。
- パスワード設定後、以下の通知が来ます。
仕事用プロファイルをセキュリティで保護する
会社のサポートがリモートで仕事用プロファイルのパスワードをリセットできるようにするには、資格情報を使用します。続行するには、ここをタップしてください。
- 通知をタップすると、先ほど設定した仕事用プロファイルのパスワード入力を求められます。
正しく入力すると、以降通知は来ません。
この文言の通知は、スクリーンロック用のコンプライアンスポリシーではなく、Intune 標準機能のデバイスアクション (リモートアクション) 機能によりプロンプトされています。
仕事用プロファイルをセキュリティで保護する
会社のサポートがリモートで仕事用プロファイルのパスワードをリセットできるようにするには、資格情報を使用します。続行するには、ここをタップしてください。
このようにパスワード複雑性を満たさず仕事用プロファイルのパスワード設定を求められる場合、仕事用プロファイルのパスワード設定後は「統一ロック」が無効の状態になります。
(以降、デバイスのロック解除と仕事用プロファイルのロック解除は別々のパスワードになる。)
デバイスを登録する段階で非準拠と判定されたらどんな挙動になるのか? については、すでに公開情報があるため本記事では記載を割愛しました。
検証時も公開情報と同じ動きになりました。
② 一定時間無操作時:パスワードの入力を求められる
構成プロファイルと同じ挙動です。
仕事用プロファイルを開いたまま (仕事用プロファイルにインストールされたアプリなどを開いたまま) 構成プロファイルで設定した時間以上放置すると、仕事用プロファイルのパスワード入力を求める画面が表示されます。
― テナント構成 ―
以下が当検証環境で利用しているパラメータ例です。
コンプライアンスポリシーとしての必須項目、およびスクリーンロック関連項目に絞って記載します。
(記載のない項目は未構成のままにしています。)
プロファイルの種類は、「Personally-owned work profile」です。
| # | 大項目 | 中項目 | 小項目 | 既定値 | 設定値 (例) | 備考 |
|---|---|---|---|---|---|---|
| 1 | 基本 | 名前 | ― | (空欄) | Require Workprofile PW&Lock | 直観的に分かりやすい名前 (主観) を採用。 |
| 2 | 基本 | 設定 | ― | (空欄) | {参考情報URL} | 個人でメンテしている環境のため、自分の備忘目的参考リンクを記入。 |
| 3 | 基本 | プラットフォーム | ― | Android Enterprise | Android Enterprise | Android Enterprise 個人所有の仕事用プロファイル向けの設定。 |
| 4 | 基本 | プロファイルの種類 | ― | Personally-owned work profile | Personally-owned work profile | 登録方式に合ったプロファイルの種類を選択。 |
| 5 | コンプライアンス設定 | システム セキュリティ - 職場プロファイルのセキュリティ | 職場プロファイルのロックを解除するためにパスワードを要求する | 構成されていません | 必要 | 仕事用プロファイルのパスワードを有効にする。 |
| 6 | コンプライアンス設定 | システム セキュリティ - 職場プロファイルのセキュリティ | パスワードが要求されるまでの非アクティブの最長時間 (分) | 構成されていません | 5分 | 任意の時間が経過したら画面をロックするよう、ドロップダウンメニューから選択。 |
| 6 | コンプライアンス設定 | システム セキュリティ - 職場プロファイルのセキュリティ | Android 12 以降:パスワードの複雑さ | なし | 高 | 必要に応じて設定する。「なし」の場合:Intune は パスワード複雑性を制御しない。OS 側の仕様に依存する。複雑性を選択する場合:選択肢は 公開情報 参照。 |
| 7 | コンプライアンス非対応に対するアクション | アクション | - | デバイスに非準拠のマークを付ける | デバイスに非準拠のマークを付ける | 変更できない項目。 |
| 8 | コンプライアンス非対応に対するアクション | スケジュール (コンプライアンス違反となってからの日 | - | 0 (即時) | 0 (即時) | コンプライアンスに違反した場合、即時に非準拠のマークを付ける。 |
| 7 | スコープタグ | ― | ― | 既定 | 既定 | ― |
| 8 | 割り当て | 組み込まれたグループ | - | (未選択) | {BYOD 利用ユーザーがメンバーのグループ} | グループに割り当てる。 |
さいごに
みなさまの状況や環境にぴったりくるスクリーンロックの方法はあったでしょうか。
ちなみに私が以前プロジェクトで Android BYOD のスクリーンロックを設計した際は、まだコンプライアンスポリシーに項目が追加される前のタイミングだったため、構成プロファイルで仕事用プロファイルのロックを実装しました。
今後は同様の機会があれば、コンプライアンスポリシーも合わせて検討したうえでお客様環境に最適のものを選択したいです。
選択肢が増える、かつ挙動にそれぞれ特徴があるため、状況に合わせて選択することができるという、いい更新だったなと思いました。
もちろん、既存の環境にコンプライアンスポリシーを追加構築することもできます。
既存デバイスに適用された場合、複雑性が構成されている場合は上のセクションで記載の通りの挙動になります。
パスワード複雑性が構成されていない場合 or 構成されているが既存パスワードが満たしている場合は、ユーザー側では意識することなくデバイスを使い続けることができます。
← この場合、Intune 管理センター上の状態表示は「修復済み」となります。(2024年 6月現在)
長くなりましたが以上です。
Now, go ahead and rock your screenlock config!
-
Android コンプライアンスポリシーの直近の更新:Intune サービスリリース 2403 (2024年 3月 25日週の更新) で、Android Enterprise personally owned work profile (個人所有の仕事用プロファイル) 向けコンプライアンスポリシーに、仕事用プロファイルのスクリーンロックを制御する設定項目が追加されました。これにより、コンプライアンスポリシーでもスクリーンロックの実装が可能になりました。(参考:What's new in Microsoft Intune - New compliance settings for Android work profile, personal devices (2024年 6月 13日閲覧 ※What’s new in Microsoft Intune 上の情報はしばらくするとアーカイブされ同リンクからアクセスできなくなります。)) ↩ ↩2
-
Android バージョン要件:Intune としては 2024年 6月現在 Android 8 (Supported operating systems and browsers in Intune - Android) をサポートしており、2024年 10月に Android 10 にサポート対象を引き上げることが予定されています (Intune moving to support Android 10 and later for user-based management methods in October 2024)。ただし、Android 上で業務利用する想定の Office 系アプリ自体にもサポート要件があり、Teams や Outlook では「直近のリリースから起算して過去 4バージョンまで」がサポート対象になっています(Hardware requirements for Teams on mobile devices、アプリでサポートされている Android のバージョンは何ですか?)。2024年 6月現在最新の Android バージョンが 15なので、Android 12 以降だと安心です(すべての Android リリース)。最後に、特に本記事で扱うスクリーンロック設定ではパスワードの複雑性の設定が可能ですが、Android 11 以前と Android 12 以降で利用できる設定項目に差異があります (Android 11 以前の制御は Android 12 以降の端末向けには利用できない)。当然 Intune 側でフィルターを作成するなどして適用対象を細かく制御することも可能ですが、Android 11 だとアプリの動作も保証できないので線を引いた方が都合がいいと思います。 ↩
-
BYOD Android 用に用意されている登録方式:2024年6月現在、①Android device administrator と ②Android Enterprise personally owned devices with a work profile (別称:Android Enterprise personally owned work profile、個人所有の仕事用プロファイル) の 2つがあります。ただし、①は2024年 8月末でリタイアする予定ですMicrosoft Intune ending support for Android device administrator on devices with GMS in August 2024。このため、実質②の一択となります。 ↩
-
統一ロックの構成可能な値:Intune 上では構成プロファイルにて「ブロック」or 「構成しない」を選択可能です。もともと Android Management API で用意されている構成可能な値は、「ブロック (REQUIRE_SEPARATE_WORK_LOCK)」/「構成しない(UNIFIED_LOCK_SETTINGS_UNSPECIFIED)」/「許可 (ALLOW_UNIFIED_WORK_AND_PERSONAL_LOCK)」であり、「統一ロックを強制する」という制御は存在しません。統一ロック許可が既定値 (未構成時もこちらが採用されるとの記載あり。2024年 6月現在) なので、統一ロックをブロックしたいかそうじゃないかによって制御を加えるものになります。セキュリティ観点でパスワードを分けたい場合に利用可能です。(参考:Android Management API リファレンス - UnifiedLockSettings) ↩ ↩2 ↩3
-
iOS/iPadOS のデバイススクリーンロック:iOS and iPadOS device settings to allow or restrict features using Intune ↩
-
統一ロックを既定で利用する:コンプライアンスポリシーの公開情報には、「端末上で仕事用プロファイルが有効な場合は既定で統一ロックを利用する挙動となる」旨の記載があります。このため、構成プロファイルのみ利用時かつ統一ロック未構成時も、既定で統一ロックを利用する挙動となる可能性が高いです。Android Management API リファレンスには、未構成時の既定値は「統一ロックの許可(利用する)」である旨記載されています(参考:Android Management API リファレンス - UnifiedLockSettings 2024年 6月20日閲覧)。 なおコンプライアンスポリシーは統一ロックを強制するものではないため、ユーザーは Android の設定画面から自由に統一ロックを解除 (デバイスのスクリーンロックと仕事用プロファイルのロックを解除するパスワードを別々にする) ことができます (参考:Device compliance settings for Android Enterprise in Intune)。ユーザーが統一ロックを無効にする場合は、その際に仕事用プロファイルのパスワードを新たに設定するよう求められます。(デバイスのパスワード変更は求められない。) ↩ ↩2