次に、デバイスにいろいろな制限やポリシーを設定するためのプロファイルを作成します。こちらも OS ごとに作成するプロファイルが異なりますのでご注意ください。

目次

制限設定プロファイル

新規構成プロファイルの作成で、「制限設定プロファイル」を選択した場合、使用できる iOS デバイス機能を指定した構成プロファイルを作成できます。

1. 「Settings」画面左メニューより「Mobile Device Management」→「iOS/macOS」→「構成プロファイル」の「新規構成プロファイルを作成」を選択します。

2. 表示された設定項目に、各情報(iOS/macOS デバイス機能)を入力します。

3. 各項目の入力が終わったら「追加」を選択し、設定を完了します。

Shared iPad に設定されているデバイスは、設定メニュー内の機能制限が非表示のため、デバイス側で機能制限を設定することはできません。制限設定プロファイルを適用することで制限を設定することができます。

※制限設定プロファイルの作成例

例として、機能制限設定の「ソフトウェア・アップデート遅延」の変更と、APP 設定の「App の使用を制限(監視対象のみ)」の設定をおこないます。

手順1:ソフトウェア・アップデート遅延を設定する

OS OS version 設定
iOS 11.3以上 監視対象モード
macOS 10.13.4以上

1. 機能制限設定項目「ソフトウェア・アップデート遅延」にチェックを付けます。

2. 任意の数字「1〜90」を入力します。

3. 「追加」を選択し、入力した内容で構成プロファイルを登録します。

iOS は「設定」→「一般」→「デバイス管理」→「機能制限」から、macOS は「システム環境設定」→「プロファイル」から設定の確認ができます。

手順2:インターネット共有設定の変更を許可(監視対象のみ)する

「インターネット共有設定の変更を許可(監視対象のみ)」の設定をおこなうことで、テザリング(インターネット共有)を制限できます。

OS OS version 設定
iOS 12.2 以上 監視対象モード

1. 機能制限設定項目「インターネット共有設定の変更を許可(監視対象のみ)」にチェックをつけます。

2. 「追加」ボタンを選択します。

手順3:App の使用を制限(監視対象のみ)を設定する

1. APP 設定項目の「App の使用を制限(監視対象のみ)」を、「一部の App を許可しない」または「一部の App のみを許可する」に設定します。

2. 表示されるアプリ追加方法を選択します。

アプリを追加する App ID を入力します。
アプリ利用ポリシーのアプリを追加する アプリ利用ポリシーに設定されているアプリを取得し、リストに追加します。
※基本設定のアプリ利用ポリシーが更新された際に、自動で反映するものではありません。再度手動で追加してください。
システムアプリを追加する 「+システムアプリを追加する」を選択すると、デバイスにプリインストールされているシステムアプリケーションを一括でリストに追加します。
ファイルからアプリを追加する App ID を入力した CSV ファイルでのインポートがおこなえます。
※CSV でインポートする場合の CSV フォーマットはアプリ利用ポリシーと共通です。
CSV ファイル作成例
 "com.google.Maps","Google マップ - 乗換案内&グルメ"
 "com.getdropbox.Dropbox","Dropbox"
 "tv.abema.AbemaTV","AbemaTV"

3. 「追加」を選択し、入力した内容で構成プロファイルを登録します。

ワーク・スマートのアプリケーションのホワイトリスト / ブラックリスト設定と重複した場合の挙動については、以下の表のとおりです。

ホワイトリストが重複する場合

ホワイトリストが複数存在する場合は、すべてのプロファイルで許可されたアプリのみが表示されます。

インストールアプリ ワーク・スマート
ホワイトリスト
カスタム
ホワイトリスト
デバイス表示
電話アプリまたは設定アプリ 表示する(※1)
CLOMO MDM Agent for iOS 表示しない
任意のアプリ A 表示しない
任意のアプリ B 表示する

ホワイトリストとブラックリストで重複する場合

ホワイトリストとブラックリストを同じアプリに対して設定すると、ブラックリストが優先されます。

インストールアプリ ワーク・スマート
ホワイトリスト
カスタム
ブラックリスト
デバイス表示
電話アプリまたは設定アプリ 表示する(※1)
CLOMO MDM Agent for iOS 表示する
任意のアプリ A 表示しない
任意のアプリ B × 表示しない

ホワイトリストとすべての App を許可で重複する場合

ホワイトリストとすべての App を許可されたアプリが表示されます。

インストールアプリ ワーク・スマート
ホワイトリスト
すべての App を許可 デバイス表示
電話アプリまたは設定アプリ 表示する(※1)
CLOMO MDM Agent for iOS 表示する
任意のアプリ A 表示しない
任意のアプリ B 表示する

※1:電話と設定アプリは常に表示されます。

管理プロファイル

管理プロファイルは、Android デバイスの機能を制限するプロファイルです。

※ 管理設定プロファイルは「デバイス設定プロファイル」と「DeviceOwner 設定プロファイル」を統合したものです。
※ MDM Agent for Android ver.2.5.0以上のみ設定できます。

管理プロファイルは、デバイスの種類別に制御することができます。

※1:Google Play 非対応デバイスとは、Google Play がプリインストールされておらず、Push 機能が利用できないデバイスのことです。

管理プロファイルは、CLOMO PANEL の Settings 画面にて作成します。

デバイスの管理方式によって、使用可能な項目が異なります。
使用できない項目はグレーアウト表示になり、選択できません。

1. 「Settings」画面左メニューの「Mobile Device Management」から「Android」を選択します。

2. 「管理プロファイル」の「新規管理プロファイルを作成」を選択します。

3. プロファイルの設定をおこない、「追加」を選択します。

※「セキュリティーとプライバシー」以下の設定項目は、表示されている状態が標準です。

制御分類

制御項目 詳細
セキュリティーとプライバシー 他人に知られたら困るものを制御します。
デバイス制御 デバイスのセンサー、外部端子、機能を制限します。
通信制御 ネットワーク、通信、通話に関する機能を制限します。
アプリ制御 アプリケーション全般に関する機能を制御します。
※個別のアプリに対する制御は、アプリ制限プロファイルでおこないます。
ユーザー制御 デバイスのユーザー、アカウントに関する機能を制限します。
エージェント制御 CLOMO MDM Agent for Android に関する機能を制限します。
仕事領域制御 COMP モードの仕事領域に関する機能を制御します。

重要なアラートのメール送信設定項目

以下の項目は即時メールの対象外です。検知は一日に一回おこなわれます。

分類名 設定項目
デバイス制御 SDメモリー制御ポリシー
Bluetooth 制御ポリシー
テザリング制御ポリシー
USB 接続制御ポリシー
通信制御 Wi-Fi 制御ポリシー
電話発信制御ポリシー

プロファイル種別

制限項目 選択項目 設定と制限について
デバイス管理方式 DeviceOwner モード デバイスプロビジョニング時に CLOMO MDM Agent for Android を DeviceOwner としてインストールします。
※レガシーモードよりも多くの項目を制御できます。
COMP モード DeviceOwner モード上で、アプリケーション領域を仕事領域と個人領域に分割して管理します。
Dedicated モード DeviceOwner モード上で、指定したアプリだけ利用可能な専用端末にして管理します。
レガシーモード
(旧 通常モード)
CLOMO MDM Agent for Android を一般アプリとしてインストールしてデバイスを管理します。
デバイス種別 一般デバイス SONY Xperia シリーズ以外のデバイスをご利用の場合
SONY Xperia SONY Xperia シリーズのデバイスをご利用の場合
※一般的なその他のデバイスよりも多くの項目が制御できます。
Google Play 非対応デバイス Google Play がプリインストールされておらず、Push 機能が利用できないデバイスをご利用の場合
※デバイス管理方式がレガシーモードの場合に選択できます。

COMP モード時のプロファイル設定について

プロファイル 仕事領域 個人領域
アプリ制限プロファイル × 個人領域のみ制限します。
VirusScan 設定プロファイル × 個人領域のみ MMS アプリがインストールされ機能します。
アプリ権限設定プロファイル 仕事領域のみ適用します。 ×
アプリ管理設定プロファイル 仕事領域のみ適用します。 ×

※COMP モード時に作成される仕事領域を削除し、新しく作成しても、削除前の制限設定は解除されません。再度制限されます。

デバイス制御

制限項目 選択項目 設定と制限について

SD メモリー制御ポリシー

設定する SD メモリーの利用を制限します。
警告画面を強制表示してデバイスの利用を制限します。
SD メモリーの利用を制限しません。
設定しない SD メモリー制御ポリシーを設定しません。
Bluetooth 制御ポリシー 設定する Bluetooth の利用を制限します。
設定 ON を検知して強制的に設定 OFF に変更します。
ユーザーの設定に任せます。
設定しない Bluetooth 制御ポリシーを設定しません。
テザリング制御ポリシー 設定する 設定 OFF 固定にします。
設定 ON を検知して強制的に設定 OFF に変更します。
ユーザーの設定に任せます。
設定しない テザリング制御ポリシーを設定しません。
カメラ制御 制限する デバイスでのカメラ機能の利用を制限します。
制限しない デバイスでのカメラ機能の利用を制限しません。
USB 接続制御ポリシー(※1) 制限する USB を接続しても認識させない:USB の利用を制限します。
USB 接続を制限しません。
制限しない USB 接続制御ポリシーを設定しません。
緊急省電力モード制御 制限する 緊急省電力モードの利用を制限します。
制限しない 緊急省電力モードの利用を制限しません。
スクリーンキャプチャー制御 制限する スクリーンキャプチャーの利用を制限します。
制限しない スクリーンキャプチャーの利用を制限しません。
Android ビームのデータ送信制御 制限する Android ビームのデータ送信を制限します。「設定」アプリの Android ビームの設定が変更され、「Google Chrome」アプリなどの共有機能で選択肢に「Android ビーム」が表示されなくなります。
制限しない Android ビームのデータ送信を制限しません。
データの初期化制御 制限する データの初期化の利用を制限します。
制限しない データの初期化の利用を制限しません。
デバッグモード制御 制限する デバッグモードの利用を制限します。
制限しない デバッグモードの利用を制限しません。
セーフブート制御 制限する セーフブートによるデバイスの再起動の利用を制限します。
※Android 6.0以上のみ
制限しない セーフブートによるデバイスの再起動の利用を制限しません。
システムアップデート制御(※2) 設定する アップデートを制限する:セキュリティーアップデートを含めたすべてのシステムアップデートを継続して制限します。
通知を受けてから一定期間アップデートさせない:新しいシステムアップデートの通知を受けてから、最大30日間(※3)セキュリティーアップデートを除いたシステムアップデートを制限します。
自動でアップデートする:システムアップデートの通知を受けた場合、自動でアップデートを実行します。
設定しない システムアップデートの制限をおこないません。
root 化検知設定 設定する デバイスが root 化されたかどうか、監視します。
設定しない デバイスが root 化されたかどうか、監視しません。

※1:Android 2系、もしくは Android Enterprise 適用デバイスで利用できます。

(※2)システムアップデート制御で制御できるデバイス

制御項目 アップデートを制限する 通知を受けてから一定期間アップデートさせない 自動でアップデートする
端末条件 DeviceOwner モード
COMP モード
Dedicated モード
レガシーモードかつ Xperia デバイス
なし なし
対象 OS なし Android 6以上 Android 6以上
適用条件 docomo のシステムアップデートアプリ(com.nttdocomo.android.osv)がインストールされているデバイス 新しいシステムアップデートの通知を受けてから最大30日間 新しいシステムアップデートの通知を受けた場合
仕様 セキュリティーアップデートを含むすべてのシステムアップデートを制限する セキュリティーアップデートを除くシステムアップデートを制限する 自動でアップデートを実行する

(※3)システムアップデート制御期間

例1:8月1日にアップデート通知が来て、8月1日に制御設定を適用した場合

例2:8月1日にアップデート通知が来て、8月15日に制御設定を適用した場合

通信制御

制限項目 選択項目 設定と制限について
Wi-Fi 制御ポリシー 設定する 設定 OFF 固定にします。
設定 ON を検知して強制的に設定 OFF に変更します。
接続を許可する Wi-Fi ネットワークを指定します。
接続を拒否する Wi-Fi ネットワークを指定します。
設定しない Wi-Fi 制御ポリシーを設定しません。
電話発信制御ポリシー 設定する 発信を許可する電話番号を指定する:発信を許可する電話番号を追加します。
発信を拒否する電話番号を指定する:発信を拒否する電話番号を追加します。
設定しない 電話発信制御ポリシーを設定しません。
SIM カード変更制御ポリシー(※1) 設定する 警告画面を強制表示してデバイスの利用を制限する:SIM カードを変更すると警告画面を強制表示し、デバイスの利用を制限します。
デバイスの利用を制限しません。
設定しない SIM カード変更制御ポリシーを設定しません。
データローミング制御 制限する データローミングの利用を制限します。
制限しない データローミングの利用を制限しません。
モバイルネットワークの設定変更制御 制限する モバイルネットワークの設定変更を制限します。
制限しない モバイルネットワークの設定変更を制限しません。
ネットワーク設定のリセット制御 制限する ネットワーク設定のリセットを制限します。
制限しない ネットワーク設定のリセットを制限しません。
SMS 送受信制御ポリシー 制限する SMS 送受信を制御します。
制限しない SMS 送受信を制御しません。

※1:Android 5以下ののデバイス、ガラホは利用できません。

アプリ制御

制限項目 選択項目 設定と制限について
アプリ利用ポリシー違反検知設定(※1) 設定する 指定したアプリ利用ポリシーに違反したアプリがインストールされたことを検知します。
設定しない アプリ利用ポリシー違反を検知しません。
アプリのアンインストール制御 制限する アプリのアンインストールを制限します。
制限しない アプリのアンインストールを制限しません。
提供元不明アプリのインストール制御 設定する 設定 OFF 固定にする:提供元不明アプリのインストール許可を OFF に固定します。
ユーザーの設定に任せる:監視設定と組み合わせると、提供元不明アプリのインストール許可を検知したときサーバーに通知することができます。
※ MDM Agent for Android ver.2.7.0未満をご利用のデバイスには設定したプロファイルをインストールできません。
提供元不明アプリのインストール許可を検知したらサーバーに通知する:重要なアラートとして扱うためには監視設定を ON にしてください。※Android 7.1.2未満のみ
設定しない 提供元不明アプリのインストールを制限しません。
設定アプリ制御 制限する 設定アプリの表示が「ロック画面とセキュリティー」「通話設定」「位置情報」「Google」項目のみに制限されます。
※使用する Xperia デバイスによって表示される項目が異なる場合があります。
制限しない 設定アプリを制限しません。
Google Play プロテクト制御 制限する Google Play プロテクトの設定を強制的に有効にし、無効に変更できないように制限します。COMP モードの場合、仕事領域にも適用されます。
※Google Play プロテクト設定内容は、個人・仕事領域で設定が連動しています。操作は個人領域の Play ストアの設定項目からしかおこなえません。
制限しない Google Play プロテクトの設定を制限しません。

※1:アプリ利用ポリシーは、事前のポリシー設定が必要です。「デバイス状態の重要なアラートのメール送信設定(Android)」をご参照ください。

ユーザー制御

制限項目 選択項目 設定と制限について
ユーザー追加制御 制限する ユーザーの追加を制限します。
制限しない ユーザーの追加を制限しません。
ユーザー削除制御 制限する ユーザーの削除を制限します。
制限しない ユーザーの削除を制限しません。
アカウント追加 / 削除制御 制限する Google アカウントのみ制限:アカウント追加 / 削除の制御を Google アカウントのみに適用します。
すべてのアカウントを制限:アカウント追加 / 削除の制限をすべてのアカウントに適用します。
制限しない アカウントの追加 / 削除制御を設定しません。

エージェント制御

制限項目 選択項目 設定と制限について
端末管理権限の解除制御ポリシー 設定する 端末管理権限を解除できない:デバイス上で端末管理権限を解除することができません。
※DeviceOwner モードご利用の場合は解除できないのみ選択できます。
警告画面を強制表示してデバイスを制限する:
パスワード入力で端末管理権限を解除できる:設定されたパスワードを入力することで解除することができます。
※英字を必ず含む英数字4文字以上
端末管理権限の解除を制御しない:デバイス上で端末管理権限を解除することができます。パスワードの入力も不要です。
設定しない デバイス上で端末管理権限を解除することができません。
コマンド取得間隔の設定 設定する Google Play 非対応デバイスに対してコマンドの取得間隔を設定できます。
設定しない コマンドの取得間隔を設定しません。
制御設定内容の表示 表示する プロファイルによって制御されている内容が分かるように MDM Agent for Android 上に表示します。
表示しない プロファイルによって制御されている内容が分かるように MDM Agent for Android 上に表示しません。
コマンドログの表示設定 表示する 管理者が実行したコマンドのログを MDM Agent for Android 上に表示します。
表示しない 管理者が実行したコマンドのログを MDM Agent for Android 上に表示しません。

仕事領域制御

制限項目 選択項目 設定と制限について
スクリーンキャプチャー制御 制限する 仕事領域内でのスクリーンキャプチャーを制限します。
制限しない 仕事領域内でのスクリーンキャプチャーを制限しません。
Android ビームのデータ送信制御(※1) 制御する 仕事領域内での Android ビームのデータ送信を制限します。「Google Chrome」アプリなどの共有機能で選択肢に「Android ビーム」が表示されなくなります。
制御しない 仕事領域内での Android ビームのデータ送信を制限しません。
提供元不明アプリのインストール制御 設定する 仕事領域内での提供元不明アプリのインストールを制限します。
設定しない 仕事領域内での提供元不明アプリのインストールを制限しません。
コピー&ペースト制御 設定する 個人領域と仕事領域間でのコピー&ペーストを制限します。
仕事領域から個人領域へのペーストを制限します。
個人領域から仕事領域へのペーストを制限します。
設定しない 個人領域と仕事領域間でのコピー&ペーストを制限しません。
アプリのアンインストール制御 制限する 仕事領域でのアプリのアンインストールを制限します。
制限しない 仕事領域でのアプリのアンインストールを制限しません。

COMP モードの場合、「デバイス制御」項目で「スクリーンキャプチャー制御」や「提供元不明アプリのインストール制御」を設定しても個人領域への制御となる為、仕事領域への制限をおこないたい場合は、必ず仕事領域制御項目で制限設定をおこなってください。

Win 10/ Phone プロファイル

iOS の構成プロファイルに相当する、Windows の Windows Phone 設定プロファイルを CLOMO PANEL の Settings 画面より作成します。

手順1:Windows Phone 設定プロファイルを作成する

1. 「Settings」画面左メニューの「Mobile Device Management」→「Windows」から「プロファイル」の「新規プロファイルを作成」を選択します。

2. 「Windows Phone 設定プロファイル」を選択します。

3. プロファイルの設定をおこない「追加」を選択します。

全制限項目の選択を「構成する」にするとデバイス上での設定操作ができなくなり、「構成しない」にするとデバイス上での設定操作ができます。

・設定の際、全項目「構成しない」を選択すると登録(保存)ができません。
・「Windows Phone 設定プロファイル」のインストールが重複した場合、後に追加されたプロファイルで上書きされます。
・「Windows Phone 設定プロファイル」は、Windows 10モバイルしか適用できません。
・「Windows Phone 設定プロファイル」をインストールしているデバイスを MDM 管理下から外すと、プロファイルは削除されます。

制限項目 選択項目 設定と制限について
ユーザー操作による MDM 離脱 構成する 許可する:ユーザーがデバイスを MDM 管理下から外す操作を許可します。
許可しない:ユーザーがデバイスを MDM 管理下から外す操作を許可しません。
構成しない デバイスのユーザー操作による MDM 離脱の設定をおこないません。
Bluetooth 利用制限 構成する 許可する:デバイスでの Bluetooth 機能の利用制限をおこないます。
許可しない:デバイスでの Bluetooth 機能の利用制限をおこないません。
構成しない デバイスでの Bluetooth 機能の設定をおこないません。
カメラ利用制限 構成する 許可する:デバイスでのカメラ機能の利用制限をおこないます。
許可しない:デバイスでのカメラ機能の利用制限をおこないません。
構成しない デバイスでのカメラ機能の制限をおこないません。
リムーバブルメディア利用制限 構成する 許可する:デバイスでのリムーバブルメディアの利用制限をおこないます。
許可しない:デバイスでのリムーバブルメディアの利用制限をおこないません。
構成しない デバイスでのリムーバブルメディアの利用制限をおこないません。
USB 接続利用制限 構成する 許可する:デバイスでの USB 接続利用制限をおこないます。
許可しない:デバイスでの USB 接続利用制限をおこないません。
構成しない デバイスでの USB 接続利用制限をおこないません。
Wi-Fi 接続制限 構成する 許可する:デバイスでの Wi-Fi 接続制限をおこないます。
※Wi-Fi への接続ができなくなります。
許可しない:デバイスでの Wi-Fi 接続制限をおこないません。
構成しない デバイスでの Wi-Fi 接続制限をおこないません。
Wi-Fi 手動設定制限 構成する 許可する:デバイスでの Wi-Fi 手動設定制限をおこないます。
許可しない:デバイスでの Wi-Fi 手動設定制限をおこないません。
構成しない デバイスでの Wi-Fi 手動設定制限をおこないません。
インターネット共有 構成する 許可する:デバイスでのモバイルホットスポット設定をオンにします。
許可しない:デバイスでのモバイルホットスポット設定をオフにします。
構成しない デバイスでモバイルホットスポット設定をおこないません。
アクションセンターの通知 構成する 許可する:デバイスでのアクションセンターの通知設定をオンにします。
許可しない:デバイスでのアクションセンターの通知設定をオフにします。
構成しない デバイスでアクションセンターの通知設定をおこないません。
アプリケーションストアの利用 構成する 許可する:デバイスでのアプリケーションストアの利用ができます。
許可しない:デバイスでのアプリケーションストアの利用ができません。
構成しない デバイスでアプリケーションストアの利用設定をおこないません。

手順2:Windows 10デスクトップ設定プロファイルを作成する

iOS の構成プロファイルに相当する、Windows の Windows 10デスクトップ設定プロファイルを CLOMO PANEL の Settings 画面より作成します。

1. 「Settings」画面左メニューの「Mobile Device Management」→「Windows」から「プロファイル」の「新規プロファイルを作成」を選択します。

2. 「Windows 10デスクトップ設定プロファイル」を選択します。

3. プロファイルの設定をおこない、 「追加」を選択します。

全制限項目の選択を「構成する」にするとデバイス上での設定操作ができなくなり、「構成しない」にするとデバイス上での設定操作ができます。

・設定の際、全項目「構成しない」を選択すると登録(保存)ができません。
・「Windows Phone 設定プロファイル」のインストールが重複した場合、後に追加されたプロファイルで上書きされます。
・「Windows Phone 設定プロファイル」は、Windows 10モバイルしか適用できません。
・「Windows Phone 設定プロファイル」をインストールしているデバイスを MDM 管理下から外すと、プロファイルは削除されます。

制限項目 選択項目 設定と制限について
ユーザー操作による MDM 離脱 構成する 許可する:ユーザーがデバイスを MDM 管理下から外す操作を許可します。
許可しない:ユーザーがデバイスを MDM 管理下から外す操作を許可しません。
構成しない デバイスのユーザー操作による MDM 離脱の設定をおこないません。
Bluetooth 利用制限 構成する 許可する:デバイスでの Bluetooth 機能の利用制限をおこないます。
許可しない:デバイスでの Bluetooth 機能の利用制限をおこないません。
構成しない デバイスでの Bluetooth 機能の設定をおこないません。
カメラ利用制限 構成する 許可する:デバイスでのカメラ機能の利用制限をおこないます。
許可しない:デバイスでのカメラ機能の利用制限をおこないません。
構成しない デバイスでのカメラ機能の制限をおこないません。
リムーバブルメディア利用制限 構成する 許可する:デバイスでのリムーバブルメディアの利用制限をおこないます。
許可しない:デバイスでのリムーバブルメディアの利用制限をおこないません。
構成しない デバイスでのリムーバブルメディアの利用制限をおこないません。
インターネット共有(※1) 構成する 許可する:デバイスでのモバイルホットスポット設定をオンにします。
許可しない:デバイスでのモバイルホットスポット設定をオフにします。
構成しない デバイスでモバイルホットスポット設定をおこないません。

※1:ご利用のデバイスに、ネットワークに接続可能な SIM が設定されている場合のみ設定できます。