法人のAndroidデバイス管理必携?Android Enterpriseまとめ
半年程前に「法人のiOSデバイス管理必携?Apple Business Managerのまとめ」という記事を公開。非常に多くの方々に閲覧いただいています。ありがとうございます。
今回は「Apple Business Manager」の「Android版」とも言える「Android Enterprise」についてまとめていきます。
Android Enterprise(AE)の概要
Android Enterprise(AE)はAppleのApple Business Manager(ABM)に遅れること約2年後に日本国内に定着し始めた、Google社が提供するモバイルデバイス管理のプログラムです。かつては「Android for Work」と称されましたが今では「Android Enterprise」と名称が変更になっています。
AEはAppleのABMと同様、AE単体で利用するものではなく、MDMツールと連携して利用します。AEを利用することで、従来のデバイス管理より高レベルな管理を実現します。主に以下のようなことができます。
Android Enterpriseの機能を紐解いていくと、ABMと多くの共通点があります。むしろ、iOS/iPadOSを法人が管理するにあたりできていたことが、AEの利用でAndroidデバイスでもできるようになったと見ることもできます。
ところで、AEの中でも、いくつかの種類が存在します。
MDMツールによってはすべてのモードに対応していない場合があるので注意が必要です。しかし、Full Device Managementが用いられることがほとんどであること、AEに対応=Full Device Managementに対応していると言っても過言ではありません。そのためこの記事ではFull Device Managementモードを前提に記載していきます。
AEを利用するに際して必要なこと
一般的にAndroidデバイスをMDMで管理する場合、MDM用のエージェントアプリをインストールして管理を行います。AEを利用する場合は少し手順が変わってきます。
AEを利用しない場合は、端末のアクティベーション後にMDMエージェントアプリをインストールしますが、AEを利用する場合は、アクティベーションの途中でその作業を行います。
「『ようこそ』画面でデバイスの画面を複数回連続タップする」。ここでお気づきの方もいるかもしれませんが、この作業が必要になるので、必ずデバイスのアクティベーションが必要、つまりすでに利用しているデバイスで、AEを利用する場合は初期化が必要になりますので注意が必要です。
また上記手順とは別の手法でデバイスをMDMの管理下に置く手法があります。それが「Zero Touch Enrollment」です。これはGoogleが用意する「ゼロタッチポータル」というサイトでMDMの管理下に置きたいデバイスを登録しておき、その情報をMDMに連携させて、アクティベーション過程でMDMの管理下に置くという手法です。
この流れ、iOSのDevice Enrollment Program(DEP)とほぼ同じ流れです。DEPを利用する場合、事前に端末購入元に申請する必要がありますが、AEのZero Touch Enrollmentを利用する場合も同様です。尚、この申請はZero Touch Enrollmentを利用する場合であり、利用せずにAEを利用する場合は不要です。
Zero Touch Enrollmentを利用しても、利用しなくても、AEの利用で受けられる恩恵はほとんど同じです。
大きい点としては2つ。一つは大量にデバイスをキッティングする場合、複数回連続タップを繰り返さなくても良いこと(疲労を感じないこと・・)です。
もう一つは、仮にデバイスを初期化した場合、Zero Touchを利用していれば、初期化後にもう一度アクティベーションすることでMDMの管理下に入ることです。つまり、MDMの管理下から逃れるため(そんな従業員いるのか・・という話はさておき)に初期化されてしまったとしても、アクティベーション後にまたMDM配下に入るので管理下から離脱することが無いのです。
ただ、Zero Touchを利用していない場合でも、AEの機能で初期化禁止の機能を利用していれば、利用者による初期化を防げますので、このリスクはほとんどなくなります(但し初期化禁止は[設定]アプリから行う初期化のみ可能ですので、ハードウェアリセットの禁止は不可です)
AEでデバイスの利用制限を行う
AEを利用しない、従来のMDMツール側の仕様で用意していた利用制限を行う機能も存在していました。しかし、AndroidデバイスのOSバージョンや機種によっては制限が効かなかったり、想定していた動作が行われないなどの事象が見られました。
AEを利用することで、基本的には(実際には機種やOSバージョンによって動作が異なる場合はあるようですが)OSバージョンや機種に依存することなく、SDカードやカメラの利用禁止、提供元不明アプリの利用禁止など様々な制御を行うことができます。
どのような制限が行えるのか、これはMDMツールによって異なるので、確認が必要です。
Android EnterpriseはGoogle社が提供するプログラムなのに、なぜMDMツールによって異なるのか?この答えは、Googleが提供するAEの機能にMDMが追随できているか、できていないかの差があるためです。Googleはこういう機能を用意しているけれども、MDMツールでそれが利用できるかどうかはMDMのメーカーによって違うという点はポイントになります。
ちなみに「Android Enterpriseで動作するよ」という「お墨付き」をGoogleから得ているデバイスの一覧を以下サイトから確認できます。
このサイトにあれば、Googleのお墨付きを得ているのでAEが利用できることがほぼ確定ですが、Androidデバイスは製造メーカーが異なるので、やはり問題なく動作するかどうかはMDMメーカーにも問い合わせた方が無難だと思います。
Googleアカウントは「不要」、アプリのインストール管理
AEの特長の代表格として、Playストアを企業専用にカスタマイズして、管理者が許可したアプリのみ表示・インストールを認めるという機能があります。これを「Managed Google Play」と呼びます。
許可したアプリだけがPlayストアに表示されるので、業務とは関係が無いアプリをインストールすることを防ぎます。また表示するだけではなく、デバイスにインストールさせることも可能です。
またManaged Google Playを介したアプリのインストールに、Googleアカウントは不要です。
※厳密に言えば、Googleアカウントはアクティベーション後に文字列がランダムなアカウントがPlayストアにセットされているため、裏側の仕様としてこのアカウントを利用して、アプリをインストールしていることとなります。
iOS・Android問わず、従業員に貸与するスマホにApple ID・Googleアカウントの設定をどう行うのか、そしてデバイスに紐づくIDを管理するのは管理者にとって負担でした。iOSならApple Business Manager(旧VPP)、AndroidならAEを利用することで、アプリのインストールという観点に限り、Apple ID・Googleアカウントを気にしなくてもよくなりました。
もちろん、GmailなどGoogleのサービスを利用する場合は、Googleアカウントの設定が別途必要ですのでご注意ください。
Android Enterpriseの利用がデファクトになる
これまではAndroid Enterpriseを利用しなくても、MDMツールでデバイスを管理できました。しかし最近ではAEの利用が絶対条件となる、またはAEを利用しないとデバイス管理の要件を満たせないので事実上AE利用がmustになっているケースが増えています。
AEの利用=MDMの利用条件となっている点、なぜAE利用を条件にしているのか、これは従来、AEを利用しなくても使えていた機能が、AEでないと使えなくなったことが影響しています。
なぜ利用できなくなったのか?それはGoogleが公開していたMDM用のAPIを廃止したことが理由です。
利用できなくなる機能は、Android OSのバージョンアップで今後も増えていくことが想定されます。
「iOS13が登場する前は、App Storeの禁止はデバイスが監視対象になっていなくても、実施できました。しかしiOS13以降は監視対象が必須。やはり監視対象に置くための手段であるDEPは一度は検討した方が良いのでは…?」と「法人のiOSデバイス管理必携?Apple Business Managerのまとめ」で触れましたが、Androidデバイスの管理においても、AEの利用を検討した方が良いのでは…?と思います。