セキュリティー

「セキュリティー」設定では、Android デバイスのデバイス、アプリ、データ、バックアップおよびリストアの設定を提供します。

デバイスのセキュリティー設定

以下の表では、デバイス上で構成できるセキュリティー設定について説明します。

ポリシー設定 説明 サポートされるデバイス
キーガード機能の構成 デバイス画面がロックされている場合、キーガード機能はデフォルトで有効になっています。 キーガード機能が無効になっている場合、以下の機能が無効になります。 Android 6.0 以上 (DO)、Android 9.0 以上 (PO)、Android 11 以上 (WPCO)
リモート入力を許可: デバイスは、外部リソースがロック画面に入力することを許可します。 false に設定されている場合、ロック画面における通知でのテキスト入力が無効になります。 Android 5.0 以上 (DO) および Android 9.0 以上 (PO)
指紋を許可: ユーザーは、生体認証 (指紋) でデバイスのロックを解除できます。 false に設定されている場合、デバイス上の指紋センサーが無効になります。 Android 5.0 以上 (DO) および Android 9.0 以上 (PO)
未編集の通知を許可: デバイスは、ロック画面で通知を覆い隠しません。 Android 5.0 以上 (DO) および Android 9.0 以上 (PO)
信頼エージェントを許可: 信頼エージェントは、デバイスが安全な環境にあるかどうかについてシステムに通知するサービスです。 例: Google Smart Lock または Profiles Trust Provider

この設定が無効になっている場合、デバイスは、セキュア・キーガード画面で信頼エージェント状態を無視します。

 Android 5.0 以上 (DO) および Android 9.0 以上 (PO)
セキュア・カメラを許可: ユーザーは、デバイスでロック画面からカメラを使用できます。 false に設定されている場合、ロック画面でカメラが無効になります。 Android 5.0 以上 (DO) および Android 11 以上 (WPCO)
セキュア通知を許可: デバイスのロック画面に通知が表示されます。 この設定が無効になっている場合、ロック画面ですべての通知が無効になります。 Android 5.0 以上 (DO) および Android 11 以上 (WPCO)
虹彩認識の許可: デバイスで、ロック画面における虹彩認証が許可されます。 Android 9.0 以上 (PO および DO)
顔認識の許可: デバイスで、ロック画面における顔認証が許可されます。 Android 9.0 以上 (PO および DO)
セーフ・モード・ブートの許可 ユーザーは、デバイスをセーフ・モードで使用できます。 Android Enterprise 6.0 以上の DO
出荷時の設定へのリセットを許可 デバイスをデフォルトの工場出荷時の設定にリセットできます。 Android Enterprise 5.0 以上の DO
資格情報の構成を許可 ユーザーは、デバイスで保管されている資格情報を構成できます。 Android Enterprise 5.0 以上の DO
ユーザー・プロファイルの作成を許可 ユーザーは、デバイスでユーザー・プロファイルを作成できます。 この設定は、Android Enterprise のセットアップ・プロセス中にプロビジョンされたユーザー・プロファイルには影響を与えません。 Android Enterprise 5.0 以上の DO
ユーザー・プロファイルの削除を許可 ユーザーは、デバイスからユーザー・プロファイルを削除できます。 Android Enterprise 5.0 以上の DO
アカウントの変更を許可 ユーザーは、デバイスで Google や Google Play アカウントなどのアカウントを変更できます。 Android Enterprise 5.0 以上の DO
エンタープライズ・セキュリティー・ロギングの有効化 デバイスは拡張ロギングを使用して、プリブート・セキュリティー・ログを追跡します。

注: この設定を有効にすると、デバイス上のパフォーマンスおよびバッテリー寿命に影響が出る可能性があります。 この設定を使用して必要なデータをデバイスからキャプチャーした後には、デバイスのバッテリー寿命を保持するためにこの設定を無効にしてください。

 Android Enterprise 7.0 以上の DO
壁紙のロックダウンを許可 管理者は、デバイス・ユーザーがデバイスの壁紙を変更できないように、壁紙の設定をロックできます。 Android Enterprise 7.0 以上の DO
カスタマー・ユーザー・アイコンのロックダウンを許可 管理者は、デバイス・ユーザーがデバイスのアイコンを変更できないように、カスタム・アイコンをロックできます。 Android Enterprise 7.0 以上の DO
設定を無効にする場合のカスタム・メッセージ ユーザーが無効になっている設定を変更しようとすると、メッセージがユーザーに表示されます。

メッセージの最初のフィールドにはローカライズされた言語が表示され、2 番目のフィールドにはカスタム・メッセージが表示されます。

 Android Enterprise 7.0 以上の PO および DO
カスタム・ロック画面メッセージ デバイスのロック画面に表示されるカスタム・メッセージ。

メッセージの最初のフィールドにはローカライズされた言語が表示され、2 番目のフィールドにはカスタム・メッセージが表示されます。

ユーザーは、カスタムメッセージに %IMEI% または %DEVICE_ID% を入力して、IMEI またはデバイス ID を表示できます。 デバイスがロック状態にある場合、IMEIまたはデバイスIDの実際の値が表示され、ユーザーはデバイスを識別することができます。

 Android Enterprise 7.0 以上の DO
デバイス認証の有効化 デバイスの正常性は 24 時間ごとに検査されます。 認証に失敗したデバイスは、コンプライアンス非準拠として報告されます。 Android Enterprise 5.0 以上の DO (MaaS360 App 5.85 以上が必要です)
ネットワークの日付と時刻を適用 ユーザーはデバイスで日時を手動で設定できません。 Android Enterprise 5.0 以上の DO
出荷時の設定へのリセット保護を有効にする

この設定をオンにすると、出荷時の設定へのリセット保護が有効になり、Android デバイス・ユーザーはそのデバイス用に以前にセットアップされた Google アカウントを使用してサインインするよう求められます。 これは、デバイスが紛失または盗難に遭った場合、許可されていない人物が出荷時の設定にリセットしても、そのデバイスをアンロックして使用することができないことを意味します。

オーバーライドが許可されたアカウント - 出荷時の設定へのリセット後に Google アカウントの検証をオーバーライドする権限がある Google ユーザー ID のコンマ区切りリスト。

ファクトリーリセット保護の詳細については、 MaaS360 でのファクトリーリセット保護のバイパス」を参照してください。

 Android Enterprise 8.0 以上の DO
設定の変更を許可 ユーザーは、デバイス上の設定を更新できます。 Samsung Knox の DO
節電モードを有効にする ユーザーは、節電モードのオン/オフを切り替えることができます。 Samsung Knox の DO
Samsung デバイスの認証を有効にする デバイスの正常性は 24 時間ごとに検査されます。 デバイスが正常性検査に失敗すると、デバイスはコンプライアンス非準拠として報告されます。 Samsung Knox の DO
root 化されたデバイスの制限 ユーザーは、root 化 (ジェイルブレイクされたデバイス、つまりセキュリティーの危険があるデバイスを指す Android 用語) されたデバイス上のセキュアなコンテンツにアクセスできません。 Android Enterprise 5.0 以上の DO
カスタムのロング・サポート・メッセージ 以下のパスでデバイスに表示されるカスタムロングメッセージ: 設定 > デバイス管理者 > MaaS360. 注: この設定には、Android アプリケーション 6.80 以降の MaaS360 が必要です。 Android 7.0 以上 (PO および DO)

アプリのセキュリティー設定

以下の表では、デバイス上で構成できるアプリケーション設定について説明します。

ポリシー設定 説明 サポートされるデバイス
アプリのインストールを許可 デバイスは、アプリをデバイスにインストールすることを許可します。 Android 5.0 以上の PO および DO
Google Play 以外のアプリケーションのインストールの許可 デバイスは、Google Play アプリ以外のアプリをデバイスにインストールすることを許可します。

Google Play アプリ以外のアプリをデバイスにインストールするには、この設定がデバイス上でも有効であることを確認してください。

 Android 5.0 以上の PO および DO
インストールする前にアプリ検証を強制 デバイスは、アプリがデバイスにインストールされる前に、アプリ検証を強制します。

管理者がポリシーでこの設定を有効にするか、ユーザーがデバイス上でこの設定を有効にできます。

 Android 5.0 以上の PO および DO
アプリのアンインストールの許可 ユーザーは、デバイスからアプリをアンインストールできます。 Android 5.0 以上の PO および DO
アプリの制御を許可 ユーザーは、デバイス上のアプリ設定または起動画面からアプリを変更できます。 Android 5.0 以上の PO および DO
不明なソースからのデバイス全体に及ぶインストールを許可 デバイスで、Google Play 以外のソースからのアプリのインストールが許可されます。

この設定を無効にすると、以下のようになります。

この設定を無効にすると、以下のようになります。
  • Google Play 以外のソースを使用したアプリのインストールは、個人プロファイルと Work プロファイルの両方でデバイス上でブロックされます。
  • この設定は、 「Google Play アプリケーションのインストールを許可」 および 「アプリ検証の強制」よりも優先されます。 これは、このポリシーが無効になっている場合、 MaaS360 は非Google Play アプリケーションのインストールを許可せず、プロファイル・レベルでもアプリの検証を強制することを意味します。
注意: このポリシーは、今後のアプリのインストールにのみ影響します。 既に不明なソースからインストール済みのアプリはデバイス上に残ります。 デバイスユーザーは、以下のAndroid Debug Bridge(ADB)を使用して、個人プロファイルにアプリをインストールすることができます。 https://www.ibm.com/links?url=https%3A%2F%2Fdeveloper.android.com%2Fstudio%2Fcommand-line%2Fadb.
 Android 9.0 以上の PO
アプリのデフォルトのランタイム許可 デバイスがアプリからの許可要求を処理するために使用する方法:
  • 許可のプロンプトをユーザーに出す
  • 常に許可
  • 常に拒否する
 Android 6.0 以上の PO および DO
ランタイム・アプリ許可の構成 管理者は、特定のアプリのランタイム許可要求の処理方法を構成します。 最初のフィールドにはアプリ ID が表示され、その後に特定のランタイム許可と状態 (デフォルト、許可、または拒否) が続きます。 Android 6.0 以上の PO および DO
システム・アプリの停止を許可 ユーザーは、デバイス上でアプリを強制的に終了できます。

ポリシーでこの設定を無効にすると、ユーザーは強制的にアプリを終了できなくなります。

 Samsung Knox の DO
ウィジェットを許可 デバイスは、デバイス上のアプリに対してウィジェットを使用できます。 Samsung Knox の DO
通知を許可 デバイスは、デバイス上のアプリから通知を受信できます。 Samsung Knox の DO

開発者オプション

以下の表では、開発者がデバイスで構成できる設定について説明します。
ポリシー設定 説明 サポートされるデバイス
USB ファイル転送を許可 ユーザーは、USB デバイスを使用してデバイス間でファイルを転送できます。 Android 5.0 以上 DO
USB デバッグの許可 ユーザーは、USB テザリング・プログラムを使用してデバイスをデバッグできます。 Android 5.0 以上の PO および DO
物理メディアのマウントを許可 ユーザーは、デバイスを PC にテザリングできます。 Android 5.0 以上 DO
ウィンドウの作成を許可 ユーザーは、デバイスで任意のアプリ・ウィンドウを作成できます。 Android 5.0 以上 DO

データのセキュリティー設定

以下の表では、デバイス上で構成できるデータ設定について説明します。

ポリシー設定 説明 サポートされるデバイス
画面キャプチャーの許可 デバイスは、デバイスからの画面キャプチャーを許可します。 Android 5.0 以上の PO および DO
インテント・フィルターの優先アプリを使用可能にする 管理者が特定のアプリ用に定義するアプリのインテント・フィルター。 (インテント・フィルター は、コンポーネントが受信するインテントのタイプを指定するアプリ・マニフェスト・ファイル内の式です。) インテント・フィルター用の以下の情報を指定します。
  • App ID
  • インテント・フィルター・アクティビティー
  • インテント・アクション
  • インテント・カテゴリー
  • MIME タイプ
 Android 5.0 以上の PO および DO
入力方式制限レベルを許可する (Allow input method restriction lever) ユーザーがデバイスでデータを入力するために使用するインターフェース。 例えば、キーボードです。 使用可能なオプションは次のとおりです。
  • 制限なし: すべての入力方式がデバイスで許可されます。
  • システムのみ: ユーザーはデバイスでシステム・キーボードのみを使用できます。
  • サード・パーティー・アプリを許可: ユーザーはデバイスでサード・パーティーの入力方式を使用できます。
 Android 5.0 以上の PO および DO
アクセシビリティー・サービス制限レベルを許可する 身体障がいを持つユーザーを支援するデバイス上のインターフェースの機能拡張。 使用可能なオプションは次のとおりです。
  • 制限なし: どのアプリでもデバイスでアクセシビリティー・サービスを設定します。
  • システム・アプリのみ (System apps only): デバイスはアプリからシステム・アクセシビリティー・サービスのみを使用します。
  • サード・パーティー・アプリ (3rd party apps): デバイスはサード・パーティー・アクセシビリティー・サービスを使用できます。
 Android 5.0 以上の PO および DO
クリップボードを許可 ユーザーは、デバイス上のアプリからコンテンツをコピーし、クリップボードに貼り付けることができます。 Samsung Knox の DO
アプリ間でのクリップボードの共有の許可 ユーザーは、デバイス上のアプリからコンテンツをコピーしてクリップボードに貼り付け、そのコンテンツをデバイス上の他のアプリと共有できます。

ポリシーでこの設定を無効にすると、アプリ間でコンテンツを共有できなくなります。 各アプリは別個のクリップボードを使用します。

 Samsung Knox の DO
共有リストを許可 デバイスは、アプリがデバイス上の他のアプリとデータを共有することを許可します。

ポリシーでこの設定を無効にすると、「リストを使用して共有 (Share through list)」設定がデバイス上で使用不可になります。

 Samsung Knox の DO

Work プロファイル設定

以下の表では、デバイスで構成できる Work プロファイル設定について説明します。
ポリシー設定 説明 サポートされるデバイス
アプリ間でのクリップボードの共有の許可 ユーザーは、デバイス上のアプリからコンテンツをコピーしてクリップボードに貼り付け、そのコンテンツをデバイス上の他のアプリと共有できます。

ポリシーでこの設定を無効にすると、アプリ間でコンテンツを共有できなくなります。 各アプリは別個のクリップボードを使用します。

 Android 5.0 以上の PO
個人プロファイルからの Work プロファイル・インテント・フィルターを使用可能にする ユーザーは、個人プロファイルからのインテントを Work プロファイルに使用できます (作業以外のデータから作業データへの共有)。 管理者は、使用を許可されるインテント・アクションを定義する必要があります。 Android 5.0 以上の PO
Work プロファイルからの個人プロファイル・インテント・フィルターを使用可能にする ユーザーは、Work プロファイルからのインテントを個人プロファイルに使用できます (作業データから作業以外のデータへの共有)。 管理者は、使用を許可されるインテント・アクションを定義する必要があります。 Android 5.0 以上の PO
許可された Work プロファイル・ウィジェット デバイスのホーム画面でウィジェットを使用できる Work プロファイル・アプリのコンマ区切りのアプリ ID。 Android 5.0 以上の PO
Bluetooth の連絡先共有を許可 Work プロファイルで Bluetooth を使用して連絡先を共有できます。 Android 6.0 以上の PO
クロス・プロファイル発信者 ID を許可 デバイス上のダイヤラーは、着信と発信の通話で発信者 ID として使用する Work プロファイル連絡先にアクセスできます。 Android 6.0 以上の PO
親のアプリへの Web リンクを許可 ユーザーは、Web リンクから Work プロファイルでアプリを起動できます。 Android 5.0 以上の PO
管理者によって Work プロファイルが削除されている場合のカスタム・メッセージ デバイスに対してワイプ・アクションが発行された場合に表示される通知メッセージ。 複数のロケールを使用するデバイスがある場合は、対応するロケールのカスタム・メッセージを作成する必要があります。 注意: 通知がデバイスに配信されるためには、管理者によって作成されるロケール固有のテキストがデバイスのロケールと一致している必要があります。 Android 9.0 以上の PO
個人用カレンダーで作業イベントを許可 デバイス上の個人用カレンダーで、選択した Work アプリのイベントを表示できます。 Android 10 以上の PO
クロス・プロファイル・アプリを許可 アプリは、プロファイル横断で通信できるようになりました。 以前のリリースでは、個人プロファイルの Google Chrome アプリは、Work プロファイルの Google Chrome アプリと通信できませんでした。
前提条件:
  • アプリでクロス・プロファイル通信をサポートする必要があります。
  • 許可されたアプリの同じインスタンスが、個人プロファイルと Work プロファイルの両方に存在している必要があります。
 Android 11 以上の PO
Work プロファイルをオフのままにできる最大日数の設定    

詳細設定

ポリシー設定 説明 サポートされるデバイス
グローバル設定の構成 デバイスおよびデバイス・ユーザーに影響を与えるグローバル設定のリスト。 これらの設定は、ユーザーがシステム・ユーザー・インターフェースから変更できる設定に対応しています。 Android 5.0 以上 DO
グローバル・プロキシーの構成 デバイスが企業ネットワークにアクセスするために使用するプロキシーのタイプ (手動または自動)。 プロキシー用の以下の情報を指定します。
  • プロキシー・サーバー・アドレス
  • ポート
  • 除外リスト (該当する場合)
 Android 5.0 以上 DO