基本的な手順は以下。
利用するのは家に転がっていたXperia 1初代である。こちらは初期化しておく。
前提としてIntune管理者である必要がある。
Android Enterpriseの準備
マネージドGoogle Playを選択。
Android EnterpriseとIntuneで紐づけ=バインドされる。
Setup済みになっていることを確認。
Authenticatorを必須で割り当て
Microsoft Authenticatorを必須にしておく。
AssignedがYesになっている。
登録形態について
色々あるが、Perplexityに聞いてみたところ今回は3のCOBOでいいようだ。
IntuneでAndroidデバイスを登録する際には、所有形態(個人所有か企業所有か)と管理範囲(個人利用を許容するかどうか)によって登録方法が異なります。それぞれの登録方法の仕組みと用途の違いを以下に整理します。
1. Personally owned devices with work profile(個人所有デバイスのワークプロファイル)
- 対象: BYOD(個人所有・業務利用併用)
- 構成: デバイス内に「仕事用」と「個人用」の領域を分離。仕事データはワークプロファイル内に隔離
- 管理範囲: Intuneはワーク領域(仕事用アプリ・データ)のみを管理。個人の写真やアプリにはアクセス不能
- 主な用途: 個人スマホを使ってメールやTeamsなど業務アプリを利用する社員向け
- 特徴: 登録の際にCompany Portalアプリをユーザー自身がインストールし、サインインして構成
2. Corporate-owned dedicated devices(企業所有・専用デバイス)
- 別名: COSU(Corporate Owned Single Use)やKioskモード
対象: 単一用途デバイス(例:受付端末、倉庫スキャナ、展示用デバイスなど)- 構成: 単一アプリまたは限定された複数アプリのみ実行可能
- 管理範囲: 管理者がデバイス全体を完全に制御(ユーザーは割り当たらない)
- 主な用途: 個人ユーザーがサインインしない業務用デバイスの一括配備
- 特徴: Google Zero TouchやKMEを使った大量展開が容易
3. Corporate-owned, fully managed user devices(企業所有・完全管理デバイス)別名: COBO(Corporate Owned Business Only)
- 対象: 企業貸与スマートフォン・タブレットで、個人利用を許容しない業務専用機
- 構成: デバイス全体がIntuneで管理され、個人プロファイルは存在しない
- 管理範囲: 全機能をMDM制御(アプリ配布、機能制限、初期化防止など)
- 主な用途: 業務限定端末、社員が業務専用として使用
- 特徴: ユーザーごとに1台割り当て、Google Playも制限可能
4. Corporate-owned devices with work profile(企業所有・ワークプロファイル付き)別名: COPE(Corporate Owned Personally Enabled)
- 対象: 企業所有端末だが、社員が私的利用もできる構成
- 構成: 「仕事用」と「個人用」のプロファイルを分離しつつ、管理者は追加のデバイス制御権を保持
- 管理範囲: 管理者はワークプロファイルを完全管理し、またデバイス全体の一部設定(PIN・Bluetoothなど)も制御可
- 主な用途: 社員に支給するが個人利用も可能なデバイス(例:営業や管理職など)
- 特徴: Android 8以降対応、Android 11以降でプライバシーモデルが改善され、より BYOD に近い使い勝手
管理範囲と利用シナリオの対比
| 登録方法 | 所有形態 | 個人領域 | 管理範囲 | 想定利用シーン | 主な特徴 |
|---|---|---|---|---|---|
| Personally owned devices with work profile | 個人所有 | あり | 仕事領域のみ (個人データ非管理) | BYOD利用 (社員の私物スマホに業務用アプリ導入) | ワークプロファイルを作成し、業務データを隔離。会社側は個人アプリ・写真にアクセス不可 [web:4][web:5] |
| Corporate-owned dedicated devices | 企業所有 | なし | デバイス全体 | キオスク端末、倉庫管理、受付端末など | 単一または限定アプリのみ使用可能。ユーザー割当なし。大量展開に最適 (Zero Touch対応) [web:14][web:10] |
| Corporate-owned, fully managed user devices | 企業所有 | なし | デバイス全体 | 社員配布の業務専用端末 (COBO) | 個人領域を持たず、完全制御。アプリ配布、機能制限、初期化制御などフルMDM [web:6][web:7][web:10] |
| Corporate-owned devices with work profile | 企業所有 | あり | デバイス全体+仕事領域 | 社給端末を私用兼用 (COPE) | ワークプロファイル+全体管理のハイブリッド。企業は一部設定を制御しつつ個人利用も許容 [web:7][web:8][web:14][web:16] |
まとめると、IntuneでのAndroid管理は、「誰の所有か」と「どこまで利用を許すか」によって4タイプに整理されます。BYODは「Personally owned with work profile」、完全業務用は「Fully managed」または「Dedicated」、業務+私用両立は「Corporate-owned with work profile(COPE)」が適しています。
COBO用プロファイル作成
今回は会社所有
※「トークンの種類」にはフルマネージド(セットアップ中にIntune登録のための認証が発生)とステージング(ホーム画面までセットアップ後、任意のタイミングで認証を行ってIntune登録させる)方法の2種類がある。
ここのグループは必須ではないが、指定しておくと、グループに即登録されそれによるセキュリティポリシーなどを即時反映できる。今回はテスト用なのでオフにする。
- グループを指定しない場合
デバイスが登録されても、自動的にはどのグループにも属しません。そのため、アプリ配布やポリシーをグループ単位で適用するには後で手動で追加する必要があります。- グループを指定する場合
登録された新しいAndroid端末が自動的にそのEntra IDセキュリティグループに追加されます。この自動追加により、アプリ配布・構成プロファイル・コンプライアンスポリシーを対象グループに即時適用できます。
登録プロファイルができた。
Android端末を登録
プロファイルのTokenにQRコードが表示される。通常はこのQRコードと初期化済みの端末を一緒に配布する。
初期化したAndroid端末のようこそ画面で6回タップするとカメラが起動するのでこのQRコードを読み取る。
そうするとネットに接続するように促されるのでWiFiのパスワードを入力。デバイスのOSなどの更新が走る。
ネットに繋がり次第自動的に企業所有のデバイスとしてセットアップされる。
、、、はずなのだが、自分の場合はここでMicrosoft Authenticatorをセットアップするように要求されてしまった。MicrosoftのHPからダウンロードするように要求されたが、リンクをクリックしても何も起こらず、詰んだ状態になってしまった。
で、色々試してみたのだが正直何が効いたのかよくわからない。時間を置いて試してみたら今度はAuthenticatorを求められずにうまくいった。設定の反映に時間がかかるということか。。。
一旦今日はここまで。