本ページの利用シーン(Android)
・管理プロファイルの作成例を確認したい場合
本ページでは設定箇所の一部を抜粋してご紹介しています。管理プロファイル作成の全体の流れについては、管理プロファイルを作成するをご参照ください。
目次
- デバイスのロック解除に使用するパスワードを制御したい
- パスワード入力を間違えた回数が設定値を超えた場合、デバイスの利用を制限したい
- データ通信が利用できない状況でも、指定した電話番号からの着信でデバイスの利用を制限したい
- デバイスの位置情報を定期的に取得したい
- Bluetooth の利用を制限したい
- Wi-Fi・USB・Bluetooth 経由でのテザリングの利用を制限したい
- Wi-Fi の接続設定を指定したい
- SIM カードの変更を制限したい
- アカウントの追加と削除を制御したい
- 仕事領域でのコピー&ペーストを制御したい
- ユーザー操作、アプリのアンインストールコマンドによるアプリの削除を制限したい
- 全ての制限を行わない(何も制限しない)
デバイスのロック解除に使用するパスワードを制御したい
本ページでは設定箇所の一部を抜粋してご紹介しています。管理プロファイル作成の全体の流れについては、管理プロファイルを作成するをご参照ください。
デバイスのロック解除に使用するパスワードを制御できます。
管理プロファイル編集画面の「セキュリティーとプライバシー」から、「パスワード制御ポリシー」の[設定する]をクリックします。
各項目を設定します。項目の詳細は以下の表をご確認ください。
Work Profile on company-owned モード・Work Profile on personally-owned モード・COMP モードで設定する場合
設定項目は以下のように表示されます。
仕事領域内にパスワード制御ポリシーを設定できます。
| 設定項目 | 詳細 |
| パスワードの複雑さ(推奨) | パスワードの複雑さを設定します。 |
| パスワードの強度 | デバイスのロック解除に使用するパスワードの強度を設定します。 |
| パスワードの長さ | 4文字以上の長さ※1を設定できます。 |
| 統一ロックの制御 | 仕事領域でのアプリロックをデバイスの画面ロックと同一にする統一ロック設定を利用できなくします。 |
| パスワード有効期限 | パスワードに有効期限を持たせ、定期的な変更を促します。 有効期限は1~365日で設定できます。有効期限を設定しない場合は空欄にしてください。 |
| 再利用禁止回数 | 過去に利用したパスワードを再利用できなくします。 |
| 自動ロック | 一定時間デバイスを操作しなかった場合にデバイスをロックします。 |
| 低強度認証によるロック解除の有効時間 | デバイスロック解除後から、強度の低い認証方法※2を利用できる時間を設定します。 ※ Work Profile on company-owned モードおよび Work Profile on personally-owned モードのみ設定できます。 |
※1 Android 11以降のデバイスでは、パスワードの強度を「強度はユーザーの設定に任せる」または「生体認証を許可する」を選択している場合、パスワードの長さの設定が反映されず4桁以上となります。
※2 強度の低い認証方法とは「指紋認証」「顔認証」「Smart Lock」などを指します。
| 設定項目 | 詳細 |
| パスワードの複雑さ(推奨) | パスワードの複雑さを設定します。 |
| パスワードの強度 | デバイスのロック解除に使用するパスワードの強度を設定します。 |
| パスワードの長さ | 4文字以上の長さ※1を設定できます。 |
| パスワード有効期限 | パスワードに有効期限を持たせ、定期的な変更を促します。 有効期限は1~365日で設定可能です。有効期限を設定しない場合は空欄にしてください。 |
| 再利用禁止回数 | 過去に利用したパスワードを再利用できなくします。 |
| 自動ロック | 一定時間デバイスを操作しなかった場合にデバイスをロックします。 |
| 低強度認証によるロック解除の有効時間 | デバイスロック解除後から、強度の低い認証方法※2を利用できる時間を設定します。 設定時の表示画面を確認する場合は以下の「「低強度認証によるロック解除の有効時間」を設定した場合のデバイス表示画面」をご確認ください。 |
| 制御方法 | デバイスの制限方法※3を選択できます。 |
| 監視設定 | パスワード制限ポリシーを違反した場合にサーバに通知する設定をおこなうことができます。 |
※1 Android 11以降のデバイスでは、パスワードの強度を「強度はユーザーの設定に任せる」または「生体認証を許可する」を選択している場合、パスワードの長さの設定が反映されず4桁以上となります。
※2 強度の低い認証方法とは「指紋認証」「顔認証」「Smart Lock」などを指します。
※3 制御方法をデバイスに反映するには、「パスワードの複雑さ(推奨)」または「パスワードの強度」を設定する必要があります。
「低強度認証によるロック解除の有効時間」を設定した場合のデバイス表示画面
1. 低強度認証のタイムアウト時間を設定後、デバイスがロックされます。
2. 設定した時間が経過すると、デバイスのロック解除にパスワードが求められるようになります。
パスワード入力を間違えた回数が設定値を超えた場合、デバイスの利用を制限したい
本ページでは設定箇所の一部を抜粋してご紹介しています。管理プロファイル作成の全体の流れについては、管理プロファイルを作成するをご参照ください。
デバイスのロック解除時に、パスワード入力を間違えた回数が設定値を超えた場合、デバイスの利用を制限できます。
管理プロファイル編集画面の「セキュリティーとプライバシー」から、「パスワード入力失敗制御ポリシー」の[設定する]をクリックします。
各項目を設定します。項目の詳細は以下の表をご確認ください。
| 設定項目 | 詳細 |
| 失敗上限回数 | 設定は必須です。パスワードの入力失敗が可能な回数(半角数字)を指定します。 |
| 制御方法 | デバイスを初期化する (ローカルワイプ※1)またはデバイスをロックする(ローカルロック※2)にチェックを入れます。 |
| デバイスロック時の表示メッセージ | MDM Agent がローカルロック画面で表示するメッセージを入力します。 |
| デバイスロック時の連絡先電話番号 | MDM Agent がローカルロック画面で表示する電話番号(半角数字)を入力します。 |
| 監視設定 | 制御が発動したらサーバに通知する(デバイスロック時は ON 固定)にチェックを入れます。 |
※1 デバイスがローカルワイプされると、MDM 管理下から外れるため、明確な検知はおこなうことができません。一定期間サーバーと通信がおこなわれていないデバイスは、ワイプされている可能性があるため、デバイス所有者へ確認をおこなってください。
また、CLOMO PANEL の設定で、デバイスがサーバーと通信をおこなってから一定時間を経過した場合、アラートを表示させることができます。必要に応じて設定をおこなってください。初期状態では24時間で注意アラート、72時間で警告アラートが表示されるよう設定されています。
※2 ローカルロックの解除は、CLOMO PANEL の Devices 画面から対象のデバイスを選択し、「ローカルロックを解除」コマンドを実行してください。
データ通信が利用できない状況でも、指定した電話番号からの着信でデバイスの利用を制限したい
本ページでは設定箇所の一部を抜粋してご紹介しています。管理プロファイル作成の全体の流れについては、管理プロファイルを作成するをご参照ください。
緊急デバイス制御ポリシーを設定することで、データ通信が使えない状況でも、指定した電話番号からの着信でデバイスの利用を制限できます。
管理プロファイル編集画面の「セキュリティーとプライバシー」から、「緊急デバイス制御ポリシー」を[設定する]をクリックします。
各項目を設定します。項目の詳細は以下の表をご確認ください。
※ 指定した電話番号から着信すると、「緊急デバイス制御ポリシー」の設定内容に応じてデバイスのデータ削除、ロック、初期化が実行されるため、普段利用しない電話番号を登録することをお勧めいたします。
| 設定項目 | 詳細 |
| 指定電話番号 | 設定は必須です。デバイスの利用を制限する電話番号を指定します。 |
| 制御方法 | 制御方法の詳細は、表下の項目をご確認ください。 |
| 削除対象データ | 通話履歴、SMS 送信履歴、Wi-Fi 設定、SD メモリ、連絡先、予定表の中で、設定したいものにチェックを入れます。 |
| デバイスロック時の表示メッセージ | MDM Agent がローカルロック画面で表示するメッセージを入力します。 |
| デバイスロック時の連絡先番号 | MDM Agent がローカルロック画面で表示する電話番号(半角数字)を入力します。 |
| 監視設定 | 制御が発動したらサーバーに通知する(デバイスロック時は ON 固定)にチェックを入れます。 |
制御方法:データを削除してデバイスを初期化する
指定した電話番号から着信すると、デバイスが初期化されます。
削除対象データ:SDメモリ(SONY Xperia のみ対象) が選択可能です。
処理後、Reports 画面に下記のログが表示されます。
- 着信受付時:「指定された電話番号 からの着信を受けました」
- デバイスロック時:「指定された電話番号からの着信によりローカルロックを行いました」
- 「削除対象データ」削除時:「指定された電話番号からの着信による、〇〇 情報の削除に成功しました」
制御方法:データを削除してデバイスをロックする (ローカルロック相当)
指定した電話番号から着信すると、デバイスの画面上に「CLOMO MDM によりロックされています。」と表示され、緊急電話以外は操作不可となります。
ロック中は、以下の画面が表示されます。
削除対象データ:以下が選択可能です。
通話履歴、SMS 送信履歴、WiFi 設定、SDメモリ、デバイスストレージ、連絡先、予定表
※ SMS 送信履歴は OS 4.3まで、SDメモリは SONY Xperia のみ対象となります。
処理後、Reports 画面に下記のログが表示されます。
- 着信受付時:「指定された電話番号 からの着信を受けました」
- デバイスロック時:「指定された電話番号からの着信によりローカルロックを行いました」
- 「削除対象データ」削除時:「指定された電話番号からの着信による、〇〇 情報の削除に成功しました」
ローカルロックの解除方法
CLOMO PANEL から「ローカルロックを解除」のコマンドを実行するとロック解除されます。
電話の着信による解除はできないため、モバイルデータ通信への接続が必要です。
※「ローカルロックを解除」のコマンドは、ローカルロック中のデバイスのみ表示されます。
制御方法:データを削除のみ実行してデバイスの利用は制限しない
指定した電話番号から着信すると、選択したデータが削除されますが、デバイスは継続して利用できます。
削除対象データ:以下が選択可能です。
通話履歴、SMS 送信履歴、WiFi 設定、SD メモリ、デバイスストレージ、連絡先、予定表
※ SMS 送信履歴は OS 4.3まで、SD メモリは SONY Xperia のみ対象となります。
処理後、Reports 画面に下記のログが表示されます。
- 着信受付時:「指定された電話番号 からの着信を受けました」
- デバイスロック時:「指定された電話番号からの着信によりローカルロックを行いました」
- 「削除対象データ」削除時:「指定された電話番号からの着信による、〇〇 情報の削除に成功しました」
デバイスの位置情報を定期的に取得したい
本ページでは設定箇所の一部を抜粋してご紹介しています。管理プロファイル作成の全体の流れについては、管理プロファイルを作成するをご参照ください。
デバイスの位置情報を定期的に取得したい場合、位置情報を取得するタイミングを設定できます。
管理プロファイル編集画面の「セキュリティーとプライバシー」から、「位置情報の通知設定」の[設定する]をクリックします。
各項目を設定します。項目の詳細は以下の表をご確認ください。
| 項目名 | 説明 |
| 取得対象時刻 | 位置情報を取得する開始時刻と終了時刻を入力します。 |
| 取得間隔 | 位置情報を取得する間隔を選択します。 |
| 取得曜日 | 位置情報を取得する曜日を選択します。 |
| 取得精度 | 位置情報を取得する精度を選択します。 高: 正確な位置情報を取得できますが、バッテリー使用量は多くなります。 GPS や Wi-Fi などさまざまなセンサーが使用され、正確な位置情報を取得することができます。 中: 「高」と比較してバッテリー使用が最適化され、GPS はほとんど使用されず、Wi-Fi およびセルラー情報をもとに位置情報が取得されます。 低: 低精度の位置情報が取得されますが、バッテリーの使用量は最小限に抑えられます。ただし、位置情報は基地局に依存するため、おおまかなものとなります。 なし: 「CLOMO MDM Agent」では位置情報を取得しませんが、他のアプリケーションなどが位置情報を取得した際に、その情報をもとに位置情報が更新されます。 |
Bluetooth の利用を制限したい
本ページでは設定箇所の一部を抜粋してご紹介しています。管理プロファイル作成の全体の流れについては、管理プロファイルを作成するをご参照ください。
Bluetooth の利用を制限できます。
管理プロファイル編集画面の「デバイス制御」から、「Bluetooth 制御ポリシー」の[設定する]をクリックします。
各項目を設定します。項目の詳細は以下の表をご確認ください。
| 設定項目 | 詳細 |
| 制御方法 | 利用させない: Bluetooth を利用できないようにします。 設定 ON を検知して強制的に設定 OFF に変更する: Bluetooth の設定が ON になったとき、自動で OFF に切り替えて利用できないようにします。 利用を許可するが、設定変更を制限する※: Bluetooth の利用はできますが、設定の変更ができなくなります。 ユーザーの設定に任せる: 設定の変更は制限されませんが、監視設定と組み合わせることで Bluetooth の利用を検知した場合にサーバーへ通知できます。 |
| 例外設定 | 制御方法を「利用させない」にしていても、SONY Xperia の場合、ヘッドセットの利用を例外として認めることができます。 |
| 共有設定 | 制御方法が「利用を許可するが、設定変更を制限する」「ユーザーの設定に任せる」である Android 8.0 以降のデバイスの場合、Bluetooth による共有を制限できます。 |
| 監視設定 | Bluetooth の利用を検知した場合にサーバーへ通知できます。 |
※ CLOMO MDM Agent for Android のバージョンが 2.14.1 未満の場合、制御方法で「利用を許可するが、設定変更を制限する」を選択していると、管理プロファイルのインストールに失敗します。また、Android Enterprise をご利用のデバイスで選択できます。
Wi-Fi・USB・Bluetooth 経由でのテザリングの利用を制限したい
本ページでは設定箇所の一部を抜粋してご紹介しています。管理プロファイル作成の全体の流れについては、管理プロファイルを作成するをご参照ください。
Wi-Fi・USB・Bluetooth 経由でのテザリングの利用を制限します。
管理プロファイル編集画面の「デバイス制御」から、「デザリング制御ポリシー」の[設定する]をクリックします。
各項目を設定します。項目の詳細は以下の表をご確認ください。
| 設定項目 | 詳細 |
| 制御方法 | 利用させない: Wi-Fi、USB、Bluetooth経由でのテザリングを利用できなくします。 設定ONを検知して強制的に設定OFFに変更する: Wi-Fi、USB、Bluetooth 設定が ON になっている場合、それを検知して強制的に設定を OFF にします。 ユーザーの設定に任せる: ユーザーの設定に任せるため制御をすることはありません。 「監視設定」と組み合わせることで、テザリング利用を検知したときにサーバーに通知することができます。 |
| 監視設定 | 「テザリング利用を検知したらサーバーに通知する」にチェックを入れると、「ユーザーの設定に任せる」の制御方法と併用することで、テザリング利用を検知したときにサーバーに通知することができます。 |
Wi-Fi の接続設定を指定したい
本ページでは設定箇所の一部を抜粋してご紹介しています。管理プロファイル作成の全体の流れについては、管理プロファイルを作成するをご参照ください。
Wi-Fi の接続設定を指定できます。
設定には「サービス構成設定(Wi-Fi)」・「サービス接続設定プロファイル」・「管理プロファイル」の3つを作成する必要があります。
作成後は、該当のデバイスに「サービス接続設定プロファイルをインストール」コマンドと、「管理プロファイルをインストール」コマンドを実行してください。
サービス構成設定(Wi-Fi)の作成
サービス構成設定の作成方法は、Wi-Fi サービス構成設定の作成をご参照ください。
サービス接続設定プロファイル
サービス接続設定プロファイルの作成方法は、サービス接続設定プロファイルの作成をご参照ください。
管理プロファイル
管理プロファイル編集画面の「通信制御」から、「Wi-Fi 制御ポリシー」の[設定する]をクリックします。
制御方法を選択します。
SIM カードの変更を制限したい
本ページでは設定箇所の一部を抜粋してご紹介しています。管理プロファイル作成の全体の流れについては、管理プロファイルを作成するをご参照ください。
SIM カードの変更を制限できます。
管理プロファイル編集画面の「通信制御」から、「SIMカード変更制御ポリシー」の[設定する]をクリックします。
各項目を設定します。項目の詳細は以下の表をご確認ください。
| 設定項目 | 詳細 |
| 制御方法 | 以下の制御方法からいずれかを選択します。 ・警告画面を強制表示してデバイスの利用を制限する ・個人領域と仕事領域をロックする※ ・デバイスの利用を制限しない |
| 監視設定 | 制御方法の「デバイスの利用を制限しない」の設定と組み合わせることで、SIM カード変更を検知したときにサーバーに通知することができます。 重要なアラートとして扱うためには監視設定を ON にしてください。 |
※ Work Profile on company-ownedモードの場合に選択可能です。
アカウントの追加と削除を制限したい
本ページでは設定箇所の一部を抜粋してご紹介しています。管理プロファイル作成の全体の流れについては、管理プロファイルを作成するをご参照ください。
Google アカウント、Google Play アカウントの追加・削除を制限できます。
管理プロファイル編集画面の「ユーザー制御」から、「アカウント制限対象」を選択します。
※ Work Profile on company-owned モード・Work Profile on personally-owned モード・COMP モードでは、設定をすることで仕事領域内でのアカウントの追加と削除を制限することができます。
※ Work Profile on company-owned モードでは、「全てのアカウントを制限」を選択できません。
仕事領域内でのコピー&ペーストを制限したい
本ページでは設定箇所の一部を抜粋してご紹介しています。管理プロファイル作成の全体の流れについては、管理プロファイルを作成するをご参照ください。
個人領域と仕事領域間でのコピー&ペーストを制限できます。
管理プロファイル編集画面の「仕事領域制御」から、「コピー&ペースト制御」の[設定する]をクリックします。
制御対象を選択します。
ユーザー操作やアプリのアンインストールコマンドによるアプリの削除を制限したい
本ページでは設定箇所の一部を抜粋してご紹介しています。管理プロファイル作成の全体の流れについては、管理プロファイルを作成するをご参照ください。
ユーザー操作、アプリのアンインストールコマンドによるアプリの削除を制限します。
管理プロファイル編集画面の「アプリ制御」から、「アプリのアンインストール制御」の[設定する]をクリックします。
制御方法を選択します。
| 項目名 | 説明 |
| すべてのアプリを制限する | ユーザー操作、アプリのアンインストールコマンドによる、すべてのアプリ削除を制限します。 |
| アプリを指定して制限する | ユーザー操作、アプリのアンインストールコマンドによる、指定したアプリのみを制限します。 パッケージ名を入力して追加をしてください。 |
全ての制限を行わない(何も制限しない)
本ページでは設定箇所の一部を抜粋してご紹介しています。管理プロファイル作成の全体の流れについては、管理プロファイルを作成するをご参照ください。
デバイスに対して特に制限を設けない場合は、管理プロファイル 内でデフォルト設定が「制限する」となっている項目を、手動で 「制限しない」 に変更する必要があります。
デフォルトで「制限する」と設定されている項目は、以下のとおりです。
デバイス制御
| 項目名 | 説明 | 設定 |
| デバイス初期化制御 | デバイスの初期化を制限する場合に設定します。 ユーザーがデバイスを初期化してしまうのを防ぎます。設定アプリなどからの初期化に有効です。「設定しない」にすると、デバイスの初期化制御は無効となります。 | 「設定する」>「設定しない」に変更 |
| デバッグモード制御 | Android デバイスをパソコンから操作できないようにしたい場合に設定します。 「設定しない」にすると、デバック制御は無効となります。 | 「設定する」>「設定しない」に変更 |
| セーフブート制御 | 出荷時に近い状態で起動するセーフブートできないようにしたい場合に設定します。 「設定しない」にすると、セーフブート制御は無効となります。 | 「設定する」>「設定しない」に変更 |
アプリ制御
| 項目名 | 説明 | 設定 |
| 提供元不明アプリのインストール制御 | 提供元不明アプリのインストールを制限したい場合に設定します。 「設定しない」にすると、提供元不明アプリのインストール制御は無効となります。 | 「設定する」>「設定しない」に変更 |
ユーザー制御
| 項目名 | 説明 | 設定 |
| アカウント追加/削除制御 | アカウントの追加と削除を制限したい場合に設定します。 「設定しない」にすると、アカウント追加/削除制御は無効となります。 | 「設定する」>「設定しない」に変更 |
エージェント制御
| 項目名 | 説明 | 設定 |
| 制限設定内容の表示設定 | プロファイルによって制限されている機能の内容を表示する場合に設定します。 「設定しない」にすると、制限設定内容の表示設定は無効となります。 | 表示する > 表示しないに変更 |
| コマンドログの表示設定 | 管理者がデバイスに実行したコマンドのログを表示させる場合に設定します。 「設定しない」にすると、コマンドログの表示設定は無効となります。 | 表示する > 表示しないに変更 |
このページに対するフィードバック
お寄せいただいたご意見に返信はできかねますので、予めご了承ください。