見出し画像

IntuneでBYODを管理する(Android編)

くろひつじ

Google Workspaceは記事を上げてましたが、Intuneの登録についてはまとめてないなと思ったので。
あれ、Ivantiでの記事ってあげてたっけ?まぁ要望があれば書きます。

準備

テナント管理

テナント管理を自社用にカスタマイズすることで没入感が得られますし、利用者側が「個人スマホを会社のシステムに登録する」という意識がはっきりします。

ホーム>テナント管理>エンドユーザーエクスペリエンス配下の各機能は最初に設定しておくと体験良くなるので、必須ではないですがお勧めです。

地味に便利なのが使用条件ですね。
BYODは個人資産なので、少なからず会社の管理となることに懸念を感じる従業員もいらっしゃるかと思います。
ポータルサイトからの登録であればどういった情報が取得されるのか明示されるので安心感はあると思いますが、カッチリした企業だと本人が承諾した証跡が必要と経営層から言われている方もいらっしゃるのでは。

使用条件を使うとセットアップの流れの中に伝えたいことをカスタマイズ出来る画面を挟め、次の画面に進む=承諾したとみなす工夫がされているので、わざわざ別のフォームなりで集めなくていいのは便利ですね。

登録制限

登録に必要なOSのバージョンや個人スマホを許可するかどうかなどが設定できます。
製造元単位でブロックできるらしいので中華系はちょっと、、、という方はそこで設定しておくといいかも。

デバイスの上限も設定できます。
デフォルトでは5台。機種変更や複数台持ちなどの状況にどう対応するか加味して設定しておくと良いでしょう。
OSごとに設定できるので以下のような設定が並行して可能です。
・Windowsは支給しているもの+交換時を考慮して2台
・macOSは支給していないので0台
・AndroidはBYODを機種変更時も考慮して2台
・iOSは支給の1台+交換時+BYODなど考えて5台

デバイスチェック

登録された端末がRoot化されていないかどうかやストレージが暗号化されているかどうかを適宜チェックできます。

構成プロファイルでは仕事用プロファイルと個人領域間のデータのコピペなどを許可するかどうかを設定できるので、必ずチェックしましょう。
わざわざBYODを導入するのであれば、コピペはブロックしたいですよねー。

コンテンツ個人用へ共有できないようになりますし、
テキストは貼り付けの項目が表示されません

パスワードについては色々意見はあると思いますが、個人的には特に設定しなくていいかと思ってる派です。

設定されているのにデバイス登録時に設定してねって言われるのなんか嫌だなというのもあるんですが、心情的に会社のスマホはパスワードなしな人はいても今どき個人のスマホをパスワードなしな人は少ないのでは?というところから、あえてパスワードのチェックはしていません。
個人情報やクレジットカード情報など、下手な会社スマホよりよほど大事な情報が詰まってますからねぇ。

気になる人は仕事用プロファイルのみパスワードを設定することも出来るので、柔軟に検討してみてください。

ちなみにデフォルトだとパスワードの設定を促されるので、画像を参考に設定することをおすすめします。Android11以前の端末なんてないよと思っても、影響あったりします。

ついすべてのAndroidデバイスの部分やAndroid12以降の部分だけ見がち

アプリケーションの登録

Androidの場合はプロファイルが完全に分かれるので、各自で自由にGoogle Playストアから必要なアプリをインストールしてもらう方針でも問題ないですが、仕事用プロファイルに個人アカウントをサインインされると分けた意味が半減しますね。

AppConfigを使いたい場合などもあるので、いくつかはアプリケーションを登録して個人アカウントでのサインインを制限してもいいかなと思います。

アプリケーション構成ポリシーでサインイン可能なアカウントを制限出来るので、UserPrincipalNameを使って会社メールアドレスでのみサインイン出来るようにしておくとよいでしょう。

登録の流れ

Google Play StoreからIntuneポータルサイトをインストールし、会社のメールアドレスでサインインします。

Authenticatorアプリによる認証を強制していればそれも実施されます。

セットアップの流れが表示されるので続行。

プライバシーに関する情報が表示されるので続行。
使用条件機能を使っている場合は承諾後表示されます。

その後はデフォルトの仕事用プロファイルの作成画面が続いて登録完了です。

解除の流れ

登録したら解除もね、ということで。


解除自体はデバイス→対象のデバイスを検索して選択→リタイヤ、でおしまいです。
ワイプ(端末全体の初期化)ではなくリタイヤ(仕事用プロファイルの削除)ですね。

リモートロックはWork Profileでも使えてそうな雰囲気でした。
一方パスコードのリセットはうっかり押しても使えないので、個人スマホのパスコードをリセットすることは出来ないので安心してください。

カスタム通知の送信は地味に強力なので使い時が難しいですね。
数日連絡が取れなかったり、紛失時に取得者に向けての連絡?でもそれは別機能がありますからねぇ。あんまり使う機会はないかもです。

感想

うーんさすがMS、従業員目線で言うと一番わかり易いかもしれないですね。
プライバシーに関する部分は他のMDMではなかったですね。Google WorkspaceやIvanti Naurons for MDMの時はわざわざWikiにガイドライン書いたりしてたので良いなぁと思いました。
利用条件を使うと更に登録前に知らせたい内容を知らせつつ、同意も取れますからね。

1点だけ分かりづらかったのは配布アプリの登録ですかね。
諸々手動で登録するのが嫌でマネージドGoogle Playアプリを使いましたが、アプリの設定ボタン押したら同期ボタン押して完了って。なんでここだけこんなにわかりにくい?

どうせその後Scope設定しないと誰にも配布されないんだから、勝手にマネージドGoogle Play側で承認したアプリ全部同期してほしいなぁ。
そのうえで表示・非表示やScopeの設定で調整できると使いやすいと思います。

iOSは結局アカウント駆動型ユーザー登録がベストだと思うので割愛します。
このあたり参考にしていただければー。


この記事が気に入ったらサポートをしてみませんか?