簡単に言うと
- 企業で社員にAndroid使わせる時に、そのAndroidの管理に使うGoogleが提供してる仕組み。無償ね。
- 仕組み自体はGoogleが提供してるけど、実際に使う場合はサードパーティ製のMDM (Mobile Device Management)サービスが必須ね。これは有償。
- MDMとしての有名どころはWorkspaceONE UEM(旧AirWatch)、mobileiron、intune、国産だとCLOMOあたり。iOSやAndroidが実質バージョン固定できなくて、どんどん勝手にVersionUPが走るから、開発力が弱いMDMベンダーは追随できなくて正直しんどい。
- これらのMDMにAndroid端末を登録する時に、Android Enterpriseモードで登録する。Android Enterpriseじゃないモードで登録することもできるけど、GoogleがAndroid9.0以降はAndroid Enterpriseに一本化するよ(それ以外のモード使わせなくするよ)とアナウンスしたので実質Android Enterprise必須な。
- 実はAndroid Enterpriseの中にも2つの登録モードみたいなのがあるよ。Work Profile と Fully Managed の2つね。
Work Profile
- 主にBYOD (Bring Your Own Device:私物デバイスを(業務に)持ってこいや!の略) で使われるよ。
- 私物のAndroidを会社のMDMにWork Profileモードで登録して使わせるよ。
- MDMからアプリをリモートで配ったりリモートで消したりできるよ。例えば、会社の情報が入っているメールアプリやファイルサーバにアクセスできるようなアプリをMDMから配って、紛失時や盗難時にはそのMDMから配られたアプリだけをリモートで消す、みたいな運用ができるね。
- とはいえ私物なんで、荒野行動入れて遊ぼうがDropBoxやGoogle Drive入れようが、どう使おうとMDMは検知すらしないよ
- Dropboxに会社のデータ移されたらアカンやんけ! → 大丈夫、会社データが見られるアプリと私物アプリの間はデータの受け渡しやコピペ、スクリーンショット含めて制御できるから
- ほなBYODやなくて、社給端末をWork Profileで使わせたらエエやんけ! → 別に良いんだけど、Work Profileだと紛失時のリモートロックとかデバイスワイプとか、企業が結構欲しがる機能が使えないんだよね。ワイプできるのはあくまでMDMから配ったアプリとデータだけ。まぁ個人的にはそれで十分じゃね?とも思うんだけど、リモートロックもできないってのはやっぱりちょっと痛いよね。
Fully Managed
- 企業の社給Androidを管理するときは、こっちを使うことが多いね。
- Work Profileより端末をガチガチにできるよ。その分ユーザの自由度は低いけどね。
- 完全な社給なんで、ユーザー勝手にアプリをインストールすることすらできないよ。ストレスだね。
- もちろんその分セキュリティレベルは高いよ。モートロックやリモートワイプもできるし。
- でも、IT部門って結構おじさんじゃん? 若いスマホネイティブ世代の子が、これのアプリ使えば移動時間中にスマホでこれできるのにとか、このアプリ使えばここの生産性上がるのにとか思っても、いちいちITに申請して説明しないとそのアプリ使えないっての結構いやだよね。会社としての魅力ダウンだよね。いや割とマジで。
- セキュリティガチガチにした結果、スマホであることのメリットが死んでガラケーと同じような機能しか残らないってのは結構あるある。
まとめ
ここまで書いといて何だけど、最新のAndroid 8.0だとWork ProfileとFully Managedのいいとこ取りをする第三のモードが使えるようになってるらしいよ。Fully Managed Device with a Work Profileってやつ。セキュリティと自由度を両立させようと思ったら、今後はこれがよさげかもね。
https://developers.google.com/android/work/overview#company-owned-devices-for-knowledge-workers
Android8.0以上で、かつMDM側も対応してないと駄目だから、普及はもうちょっとだけ先かもね。