Android SafetyNet

Android SafetyNet機能を使用して、Secure HubがインストールされているAndroidデバイスの互換性とセキュリティを評価するように設定できます。Android SafetyNetは、MAM展開では使用できません。

この機能を有効にすると、SafetyNet Attestation APIはデバイスのソフトウェアとハードウェアの情報を調査し、そのデバイスのプロファイルを作成します。次に、Android互換性テストをパスしたデバイスモデル一覧で、同じプロファイルがあるかを確認します。この情報は、Secure Hubが不明なソースによって変更されているかどうかを判断するためにも使用できます。

Android SafetyNet機能が有効な場合、Secure HubはSafetyNet Attestation API要求をGoogle Playサービスに送信し、結果はEndpoint Managementに報告されます。Endpoint Managementは、この構成証明の結果でデバイス情報を更新します。この結果をデバイス上での操作をトリガーするために使用して、自動化された操作を設定できます。

SafetyNet Attestation APIの機能について詳しくは、Google Androidの開発者向けガイドでSafetyNet Attestation APIを参照してください。

必要なSafetyNet Attestation API要求の数を見積もる

以下の場合に、SafetyNet Attestation API要求が送信されます:

  • デバイスがEndpoint Managementに登録された。

  • Secure Hubのオンライン認証が発生した。サーバーセッションの有効期限が切れると、またはユーザーがサーバーからサインオフして再度サインオンすると、オンライン認証が発生します。Secure Hubは、ユーザーがサーバーで認証するために資格情報を提供するように求めます。

  • デバイスが再起動された。

  • 24時間~1,000時間の値で構成した定期的な時間間隔。

Endpoint Management展開が1日あたり10,000を超える要求を送信する場合、この割り当てリクエストフォームに入力します

SafetyNet APIキーを取得する

Endpoint ManagementでAndroid SafetyNetを有効にするには、SafetyNet APIキーが必要です。

  1. Google管理者アカウントの資格情報を使用してGoogle APIコンソールにログインします。

  2. ライブラリページに移動します。

  3. 「Android Device Verification API」を検索します。 Google APIページの画像

  4. Android Device Verification APIをクリックします。 Google APIページの画像

  5. APIがまだ有効になっていない場合は、[有効にする] をクリックします 。 Google APIページの画像

  6. [管理] をクリックします。

  7. [認証情報を作成] をクリックしてAPIキーを生成します。 Google APIページの画像

  8. Android Device Verification を選択して What credentials do I need をクリックします。完了したら [Done] をクリックします。 Google APIページの画像

  9. [認証情報] ページで、キーの横のコピーアイコンをクリックして、キーをコピーします。 Google APIページの画像

  10. Android SafetyNetを有効にすると、キーを保存してEndpoint Managementコンソールに貼り付けることができます。

Android SafetyNetを有効にする

  1. Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [設定] ページで、[Android SafetyNet] をクリックします。 Android SafetyNetが強調表示された設定ページの画像

  3. 次の設定を構成します。

    • APIキー。Google APIコンソールから取得したSafetyNet APIキーを貼り付けます。

    • 構成証明スケジュール(時間)。SafetyNet Attestation APIがAndroidデバイスを評価する間隔を時間単位で指定します。最小値は24時間です。最大値は1000時間です。デフォルト値は24時間です。 Android SafetyNet構成の画像

  4. [保存] をクリックします。

Android SafetyNetの結果を表示する

デバイスのSafetyNet Attestation API評価の結果を表示するには:

  1. Endpoint Managementコンソールで、[管理]>[デバイス] の順にクリックします。

  2. Androidデバイスを選択してSafetyNet Attestation APIの結果を表示します。[詳細表示] をクリックします。

  3. [デバイスの詳細] ページで [プロパティ] を選択します。

  4. 結果は、[セキュリティ] セクションに表示されます。 Android SafetyNetが強調表示された[デバイスの詳細]ページの画像

SafetyNet Attestation APIは、各デバイスの次の状態を返します。

  • SafetyNet CTS profile match: この値がTrueの場合、デバイスにはAndroid Compatibility Test Suite(CTS)をパスしたプロファイルのいずれかに一致するプロファイルがあります。この値がFalseの場合、デバイスにはAndroid CTSをパスしたプロファイルと一致するプロファイルはありません。

  • SafetyNet basic integrity: この値がTrueの場合、SafetyNet Attestation APIは、デバイス上のSecure Hubが不明なソースによって変更されたという証拠を見つけることができませんでした。この値がFalseの場合、デバイス上のSecure Hubが不明なソースによって変更されています。

  • SafetyNet last known status: デバイスで最後に認識されているSafetyNetの状態を以下のように表示します:

    • Success: SafetyNet Attestation APIは、デバイス上のSecure Hubが不明なソースによって変更されたという証拠を見つけることができませんでした。

    • LOCK_BOOTLOADER: ユーザーはデバイスのブートローダーをロックする必要があります。デバイス上のSecure Hubが不明なソースによって変更されています。

    • RESTORE_TO_FACTORY_ROM: ユーザーはデバイスをクリーンな工場出荷時ROMに復元する必要があります。デバイス上のSecure Hubが不明なソースによって変更されています。