Citrix Endpoint Management

制限デバイスポリシー

注:

アップグレードに新しい制限デバイスポリシーの設定を含める場合は、このポリシーを編集して保存する必要があります。アップグレード後の制限デバイスポリシーは、保存するまでEndpoint Managementで展開されません。

制限デバイスポリシーでは、ユーザーデバイスの特定の機能(カメラなど)を許可または制限します。セキュリティ制限とメディアコンテンツ制限を設定できます。ユーザーがインストールできるアプリとインストールできないアプリの種類を制限することもできます。ほとんどの制限設定は、デフォルトでは [オン](許可) に設定されています。例外は、iOSセキュリティの強制機能とすべてのWindowsタブレット機能です。デフォルトで [オフ](制限) に設定されています。

オプションで [オン] を選択した場合、ユーザーが該当する操作を実行、または該当する機能を使用できるようになります。次に例を示します:

  • カメラ: [オン] の場合、ユーザーはデバイスでカメラを使用できます。[オフ] の場合、ユーザーはデバイスでカメラを使用できません。
  • スクリーンショット: [オン] の場合、ユーザーデバイスでスクリーンショットを撮ることができます。[オフ] の場合、ユーザーデバイスでスクリーンショットを撮ることができません。

Windows 10 RS2 Phone:Internet Explorerを無効にするカスタムXMLポリシーまたは制限ポリシーをスマートフォンに展開しても、Internet Explorerが有効なままです。この問題を解決するには、スマートフォンを再起動します。これはサードパーティ製品の問題です。

制限デバイスポリシーとキオスクデバイスポリシーの両方が構成されている場合は、制限デバイスポリシーが優先されます。

このポリシーを追加または構成するには、[構成]>[デバイスポリシー] の順に選択します。詳しくは、「デバイスポリシー」を参照してください。

iOSの設定

デバイスポリシー構成画面

一部のiOS制限ポリシー設定は、こちらおよびEndpoint Managementコンソールの[制限ポリシー]ページで説明されているように、特定のiOSバージョンにのみ適用されます。

これらの設定は、デバイスがユーザー登録モード、監視対象外(完全MDM)モード、または監視モードで登録されている場合に適用されます。次の表に、iOS 13以降の各設定で使用できる登録モードを示します。

  • 自動デバイス登録: 監視対象デバイス。これらは、一括登録で登録されたデバイスです。
  • デバイス登録: 監視対象ではないデバイス。これらのデバイスは個別に登録され、デバイス全体が完全MDMです。
  • ユーザー登録: 特定のユーザーのみが管理されるデバイス。ユーザー登録について詳しくは、Apple社のドキュメントを参照してください。

iOS制限ポリシー設定は、デバイスがユーザー登録モード、監視対象外(完全MDM)モード、または監視モードで登録されている場合に適用される可能性があります。次の表に、iOS 13以降の各制限ポリシー設定で使用できる登録モードを示します。

Appleデバイスの登録の種類

表で述べたように、以前は監視対象外モードと監視モードで使用できた設定の一部は、iOS 13以降では監視モードでのみ使用できます。次のルールが適用されます: 以前は監視対象外モードと監視モードで使用できた設定の一部は、iOS 13以降では監視モードでのみ使用できます。次のルールが適用されます:

  • iOS 13以上の監視対象デバイスがEndpoint Managementに登録される場合、設定はデバイスに適用されます。
  • iOS 13以上の監視対象外デバイスがEndpoint Managementに登録される場合、設定はデバイスに適用されません。
  • 既にEndpoint Managementに登録されているiOS 12以下のデバイスがiOS 13にアップグレードされる場合、変更はありません。設定は、アップグレード前と同じようにデバイスに適用されます。

iOSデバイスを監視モードに設定する方法については、「Apple Configurator 2を使用したデバイスの展開」を参照してください。

設定 ユーザー登録 監視対象外 監視対象
ハードウェアの制御を許可      
カメラ なし あり あり
FaceTime なし なし あり
スクリーンショット あり なし あり
クラスルームアプリが生徒の画面をリモートで監視することを許可する なし なし あり
プロンプトを表示せずにクラスルームアプリがAirPlayと画面表示を実行できるようにする なし なし あり
フォトストリーム なし あり あり
フォトストリームを共有 なし あり あり
共有iPadの一時セッションを許可 なし なし あり
音声ダイヤル なし あり あり
Siri あり あり あり
デバイスのロック中に許可 あり あり あり
Siriの不適切な単語フィルター なし なし あり
アプリのインストール なし なし あり
ローミング中にグローバルバックグラウンドフェッチを許可する なし あり あり
アプリを許可      
Apple App Store なし なし あり
アプリ内課金 なし あり あり
購入時にApple App Storeパスワードを要求 なし あり あり
Safari なし なし あり
オートフィル なし なし あり
不正なWebサイトに対する警告を表示 あり あり あり
Javascriptを有効化 なし あり あり
ポップアップをブロック なし あり あり
Cookieを受け入れる なし あり あり
ネットワーク - iCloudの操作を許可      
iCloudドキュメントおよびデータ なし なし あり
iCloudバックアップ なし あり あり
iCloudフォトキーチェーン なし あり あり
iCloudのフォトライブラリ なし あり あり
セキュリティ - 強制      
バックアップを暗号化 あり あり あり
追跡型広告を制限 なし あり あり
最初のAirPlayペアリングでパスコードを要求 あり あり あり
手首検出を使用するためのペアリングされたApple Watch あり あり あり
AirDropを使用して管理対象のドキュメントを共有します あり あり あり
セキュリティ - 許可      
信頼されていないSSL証明書の受け入れ なし あり あり
証明書信頼設定の自動更新 なし あり あり
管理対象アプリから非管理対象アプリへのドキュメントの移動 あり あり あり
非管理対象アプリによる管理対象アカウント連絡先の読み取り なし なし あり
管理対象アプリによる非管理対象アカウント連絡先への書き込み なし なし あり
非管理対象アプリから管理対象アプリへのドキュメントの移動 あり あり あり
診断データをAppleに送信 あり あり あり
Touch IDによるデバイスのロック解除 なし あり あり
ロック時にPassbook通知を表示 なし あり あり
Handoff なし あり あり
管理対象アプリのiCloud同期 あり あり あり
エンタープライズブックのバックアップ あり あり あり
エンタープライズブックのメモとハイライトの同期 あり あり あり
Spotlightでインターネット検索結果を表示 なし あり あり
エンタープライズアプリケーションを信頼する なし あり あり
監視対象のみの設定 - 許可      
eSIMの変更を許可 なし なし あり
すべてのコンテンツと設定を消去 なし なし あり
スクリーンタイム なし なし あり
ポッドキャスト なし なし あり
構成プロファイルのインストール なし なし あり
フィンガープリントの変更 なし なし あり
デバイスからアプリをインストールします なし なし あり
キーボードショートカット なし なし あり
ペアリングされたApple Watch なし なし あり
パスコードの変更 なし なし あり
デバイス名の変更 なし なし あり
壁紙の変更 なし なし あり
自動的にアプリをダウンロードします なし なし あり
AirDrop なし なし あり
iMessage なし なし あり
Siriにユーザー生成コンテンツを表示 なし なし あり
iBooks なし なし あり
アプリの削除 なし あり あり
ゲームセンター なし なし あり
友達を追加 なし なし あり
マルチプレーヤーゲーム なし なし あり
アカウント設定の変更 なし なし あり
アプリの携帯ネットワークデータ設定の変更 なし なし あり
アプリの携帯ネットワークデータ設定の変更 なし なし あり
ネットワークドライブ接続を許可 なし なし あり
USB デバイス接続を許可 なし なし あり
[iPhoneを探す]を許可 なし なし あり
[友達を探す]設定を許可 なし なし あり
[友達を探す]設定の変更 なし なし あり
Configurator以外のホストとのペアリング なし なし あり
予測キーボード なし なし あり
キーボード自動修正 なし なし あり
キーボードスペルチェック なし なし あり
QuickPathキーボードを許可 なし なし あり
定義参照 なし なし あり
単一のアプリバンドルID      
ニュース なし なし あり
Apple Musicサービス なし なし あり
Apple Music なし なし あり
通知の変更 なし なし あり
アプリ使用の制限 なし なし あり
診断データの送信の変更 なし なし あり
Bluetoothの変更 なし なし あり
ディクテーションを許可 なし なし あり
Wi-Fiのオンとオフを変更 なし なし あり
ネットワークポリシーでインストールされたWi-Fiネットワークのみに参加する なし なし あり
プロンプトを表示せずにクラスルームアプリがAirPlayと画面表示を実行できるようにする なし なし あり
プロンプトを表示せずにクラスルームアプリがアプリとデバイスをロックできるようにする なし なし あり
プロンプトを表示せずにクラスルームアプリのクラスに自動的に参加する なし なし あり
AirPrintを許可 なし なし あり
AirPrint資格情報のキーチェーンへの保存を許可する なし なし あり
iBeaconを使用したAirPrintプリンターの検出を許可する なし なし あり
信頼された証明書がある出力先に対してのみAirPrintを許可する なし なし あり
VPN構成の追加 なし なし あり
携帯の通信プラン設定の変更 なし なし あり
システムアプリの削除 なし なし あり
近くの新しいデバイスをセットアップ なし なし あり
USB制限モードを許可 なし なし あり
ソフトウェア更新の強制延期 なし なし あり
ソフトウェア更新の強制延期 なし なし あり
クラスを離れるときの許可の要求を強制する なし なし あり
自動入力の前に認証を強制 なし なし あり
自動的な日付と時刻を強制 なし なし あり
パスワードの自動入力 なし なし あり
パスワード近接要求 なし なし あり
パスワード共有 なし なし あり
パーソナルホットスポットの変更を許可 なし なし あり
セキュリティ - ロック画面に表示      
コントロールセンター あり あり あり
通知 あり あり あり
今日ビュー あり あり あり
メディアコンテンツ - 許可      
不適切な音楽、Podcast、iTunes Uコンテンツ なし なし あり
iBooksの不適切な性的コンテンツ なし あり あり
レーティング地域 なし あり あり
ムービー なし あり あり
テレビ番組 なし あり あり
アプリ なし あり あり
  • ハードウェアの制御を許可
    • カメラ: ユーザーがデバイスでカメラを使用できるようにします。
      • FaceTime: ユーザーがデバイスでFaceTimeを使用できるようにします。監視対象のiOSデバイス向けです。
    • スクリーンショット: ユーザーがデバイスでスクリーンショットを撮れるようにします。
      • クラスルームアプリが生徒の画面をリモートで監視することを許可する: この制限が選択されていない場合、講師はクラスルームアプリを使用してリモートで生徒の画面を監視することはできません。デフォルト設定が選択されている場合、講師はクラスルームアプリを使用して生徒の画面を監視できます。[プロンプトを表示せずにクラスルーム アプリがAirPlayと画面表示を実行できるようにする] の設定では、講師に権限を与えるためのプロンプトを生徒に表示するかどうかを決めます。監視対象のiOSデバイス向けです。
      • プロンプトを表示せずにクラスルームアプリがAirPlayと画面表示を実行できるようにする: この制限が選択されている場合、講師は生徒のデバイスでAirPlayと画面表示を実行でき、権限を求めるプロンプトは表示されません。デフォルト設定では、選択解除されています。監視対象のiOSデバイス向けです。
    • フォトストリーム: MyPhotoStreamを使い、iCloudを介してすべてのiOSデバイスでユーザーが写真を共有できるようにします。
    • フォトストリームを共有: iCloud Photo Sharingを使い、仕事仲間、友人、および家族とユーザーが写真を共有できるようにします。
    • 共有iPadの一時セッションを許可: 共有iPadの一時セッションにアクセスできないようにします。
    • 音声ダイヤル: ユーザーデバイスで音声ダイヤルを可能にします。
    • Siri: ユーザーがSiriを使用できるようにします。
      • デバイスのロック中に許可: デバイスがロックされている間にユーザーがSiriを使用できるようにします。
      • Siriの不適切な単語フィルター: Siriの不適切な単語フィルターを有効にします。デフォルトではこの機能は制限されており、不適切な言葉はフィルタリングされません。

        Siriとセキュリティについて詳しくは、「Siriとディクテーションのポリシー」を参照してください。

    • アプリのインストール: ユーザーがアプリをインストールできるようにします。監視対象のiOSデバイス向けです。
    • ローミング中にグローバルバックグラウンドフェッチを許可する: デバイスのローミング中にiCloudとのメールアカウントの自動同期を許可するかを設定します。[オフ] の場合、iOSスマートフォンのローミング中はグローバルバックグラウンドフェッチが無効になります。デフォルトは、[オン] です。
  • アプリを許可
    • Apple App Store: ユーザーがApple App Storeにアクセスできるようにします。監視対象のiOSデバイス向けです。
    • アプリ内課金: ユーザーがアプリ内課金で購入できるようにします。
      • 購入時にApple App Storeのパスワードを要求: アプリ内購入時にパスワードを求めます。デフォルトではこの機能は制限されており、アプリ内での購入ではパスワードは必要ありません。
    • Safari: ユーザーがSafariにアクセスできるようにします。監視対象のiOSデバイス向けです。
      • オートフィル: ユーザーがSafariでユーザー名とパスワードの自動入力をセットアップできるようにします。
      • 不正なWebサイトに対する警告を表示: この設定が有効で、ユーザーがフィッシング詐欺の疑いのあるWebサイトにアクセスした場合、Safariはユーザーに警告します。デフォルトではこの機能は制限されており、警告が発せられません。
      • Javascriptを有効化: JavaScriptをSafariで実行できます。
      • ポップアップをブロック: Webサイトの閲覧中にポップアップをブロックします。デフォルトではこの機能は制限されており、ポップアップはブロックされません。
    • Cookieを受け入れる: 許可するcookieを設定します。一覧で、cookieを許可または制限するオプションを選択します。デフォルトのオプションは [常時] で、SafariですべてのWebサイトのcookieの保存を許可します。ほかには、[現在のWebサイトのみ][許可しない]、および [訪問したサイトからのみ] というオプションがあります。
  • ネットワーク - iCloudの操作を許可

    • iCloudドキュメントおよびデータ: ユーザーがドキュメントとデータをiCloudへ同期できるようにします。監視対象のiOSデバイス向けです。
    • iCloudバックアップ: ユーザーがiCloudへデバイスをバックアップできるようにします。
    • iCloudキーチェーン: ユーザーが、iCloudキーチェーンにパスワード、Wi-Fiネットワーク、クレジットカードなどの情報を保存できるようにします。
    • iCloudのフォトライブラリ: ユーザーがiCloudの写真ライブラリにアクセスできるようにします。
  • セキュリティ - 強制

    デフォルトでは次の機能が制限され、有効になっているセキュリティ機能はありません。

    • バックアップを暗号化: 暗号化のためiCloudに強制的にバックアップします。
    • 追跡型広告を制限: ターゲティング広告の追跡をブロックします。
    • 最初のAirPlayペアリングでパスコードを要求: AirPlay対応デバイスでAirPlayを使用する前に、ワンタイムオンスクリーンコードで検証するように求めます。
    • 手首検出を使用するためのペアリングされたApple Watch: 手首検出を使用するためにApple Watchのペアリングを求めます。
    • AirDropを使用して管理対象のドキュメントを共有します: このオプションを [オン] に設定すると、AirDropは管理対象外のドロップ先として表示されます。
  • セキュリティ - 許可

    • 信頼されていないSSL証明書の受け入れ: Webサイトの信頼されていないSSL証明書をユーザーが承認できるようにします。
    • 証明書信頼設定の自動更新: 信頼された機関からの証明書を自動的に更新できます。
    • 管理対象アプリから非管理対象アプリへのドキュメントの移動: ユーザーが、管理されている(企業)アプリから管理されていない(個人)アプリへのデータを移動できるようにします。
    • 非管理対象アプリから管理対象アプリへのドキュメントの移動: ユーザーが管理されていない(個人)アプリから管理されている(企業)アプリへデータを移動できるようにします。
    • 診断データをAppleに送信: ユーザーのデバイスに関する匿名診断データのAppleへの送信を許可します。
    • Touch IDによるデバイスのロック解除: ユーザーがフィンガープリントを使ってデバイスのロックを解除できるようにします。
    • ロック時にPassbook通知を表示: ロック画面でのPassbook通知の表示を許可します。
    • Handoff: ユーザーが、あるiOSデバイスから近くにある別のiOSデバイスへアクティビティを転送できるようにします。
    • 管理対象アプリのiCloud同期: ユーザーが、管理されているアプリをiCloudと同期できるようにします。
    • エンタープライズブックのバックアップ: エンタープライズブックのiCloudへのバックアップを許可します。
    • エンタープライズブックのメモとハイライトの同期: ユーザーがエンタープライズブックに追加したメモやハイライトをiCloudと同期できるようにします。
    • エンタープライズアプリを信頼する: エンタープライズアプリケーションを信頼できるようにします。エンタープライズアプリは、組織向けのカスタムメイドアプリです。これらは社内で作成することも、開発した外部ベンダーから購入することもできます。詳しくは、iOSでカスタムのエンタープライズAppをインストールするを参照してください。
    • Spotlightでインターネット検索結果を表示: Spotlightで、デバイスのほかにインターネットから検索結果を表示できるようにします。
    • 非管理対象アプリによる管理対象アカウント連絡先の読み取り: オプション。[管理対象アプリから非管理対象アプリへのドキュメントの移動] が無効になっている場合にのみ利用できます。このポリシーを有効にすると、非管理対象アプリが管理対象アカウントの連絡先からデータを読み取ることができるようになります。デフォルトは [オフ] です。iOS 12以降で利用できます。
    • 管理対象アプリによる非管理対象アカウント連絡先への書き込み: オプション。有効にすると、管理対象アプリによる非管理対象アカウントの連絡先への書き込みを許可します。[管理対象アプリから非管理対象アプリへのドキュメントの移動] を有効にすると、この制限は有効になりません。デフォルトは [オフ] です。iOS 12以降で利用できます。
  • 監視対象のみの設定 - 許可

    これらの設定は、監視対象のデバイスにのみ適用されます。iOSデバイスを監視モードに設定する方法について詳しくは、「Apple Configurator 2を使用したデバイスの展開」を参照してください。

    • eSIMの変更を許可: ユーザーがデバイスでeSIM設定を変更できるようにします。
    • すべてのコンテンツと設定を消去: ユーザーがデバイスからすべてのコンテンツと設定を消去できるようにします。
    • スクリーンタイム: ユーザーがスクリーンタイムを有効にできるようにします。
    • ポッドキャスト: ユーザーがポッドキャストをダウンロードおよび同期できるようにします。
    • 構成プロファイルのインストール: 管理者が展開した構成プロファイル以外の構成プロファイルを、ユーザーがインストールできるようにします。
    • フィンガープリントの変更: ユーザーがTouch IDフィンガープリントを変更または削除できるようにします。
    • デバイスからアプリをインストールします: ユーザーがアプリをインストールできるようにします。この設定を無効にすると、エンドユーザーは新しいアプリをインストールできなくなります。App Storeが無効になり、アイコンがホーム画面から削除されます。
    • キーボードショートカット: ユーザーが使用頻度の高い単語やフレーズのカスタムキーボードショートカットを作成できるようにします。
    • ペアリングされたApple Watch: ユーザーがApple Watchと監視対象デバイスをペアリングできるようにします。
    • パスコードの変更: ユーザーが監視対象デバイスでパスコードを変更できるようにします。
    • デバイス名の変更: ユーザーがデバイスの名前を変更できるようにします。
    • 壁紙の変更: ユーザーがデバイスの壁紙を変更できるようにします。
    • 自動的にアプリをダウンロードします: アプリのダウンロードを許可します。
    • AirDrop: ユーザーが写真、ビデオ、Webサイト、場所、およびそれ以外のものを近くのiOSデバイスで共有できるようにします。
    • iMessage: ユーザーがWi-Fiを使ってiMessageを送信できるようにします。
    • Siriにユーザー生成コンテンツを表示: Webのユーザー生成コンテンツをSiriでクエリできるようにします。ユーザー生成コンテンツは、従来のジャーナリストではなく、一般のユーザーが作成したものです。たとえば、TwitterやFacebookに見られるコンテンツは、ユーザー生成コンテンツです。
    • iBooks: ユーザーがiBooksアプリを使用できるようにします。
    • アプリの削除: ユーザーがデバイスからアプリを削除できるようにします。
    • Game Center: ユーザーがデバイスのGame Centerを介してオンラインゲームをプレイできるようにします。
      • 友達を追加: ユーザーが友人に通知を送信してゲームをプレイできるようにします。
      • マルチプレーヤーゲーム: ユーザーがデバイス上でマルチプレーヤーゲームを起動できるようにします。
    • アカウント設定の変更: ユーザーがデバイスのアカウント設定を変更できるようにします。
    • アプリの携帯データネットワーク設定の変更: 携帯データネットワークをアプリがどのように使用するのか、ユーザーが変更できるようにします。
    • ネットワークドライブ接続を許可: Filesアプリで、ネットワークドライブに接続できないようにします。
    • USBデバイス接続を許可: Filesアプリで、接続されているUSBデバイスに接続できないようにします。
    • [iPhoneを探す]を許可:[アプリを探す]にある [iPhoneを探す] オプションを無効にします。
    • [友達を探す]設定を許可:[アプリを探す]にある [友達を探す] オプションを無効にします。
    • [友達を探す]設定の変更: 友達を探す設定をユーザーが変更できるようにします。
    • Configurator以外のホストとのペアリング: ユーザーデバイスがペアリングできるデバイスを管理者が制御できるようにします。この設定を無効にすると、Apple Configuratorを実行している監視中のホスト以外とは、ペアリングできなくなります。監視中のホストの証明書が構成されていない場合は、すべてのペアリングが無効です。
    • 予測キーボード: ユーザーデバイスで、キーボードからの入力時に候補となる単語を予測変換できるようにします。ユーザーに候補の単語を表示しない、管理のための標準化されたテストといった状況では、このオプションを無効にします。
    • キーボード自動修正: ユーザーデバイスでキーボードの自動修正を使用できるようにします。ユーザーに自動修正を適用しない、管理のための標準化されたテストといった状況では、このオプションを無効にします。
    • キーボードスペルチェック: ユーザーデバイスで入力中にスペルチェックを使用できるようにします。ユーザーにスペルチェッカーへアクセスさせない、管理のための標準化されたテストといった状況では、このオプションを無効にします。
    • 定義参照: ユーザーデバイスで入力中に定義の検索を使用できるようにします。ユーザーに入力時での定義の検索をできるようにしない、管理のための標準化されたテストといった状況では、このオプションを無効にします。
    • 単一のアプリバンドルID: デバイス上のコントロールを維持し、ほかのアプリや機能との相互作用を防ぐことができるアプリの一覧を作成します。 アプリを追加するには、[追加] をクリックし、アプリ名を入力して [保存] をクリックします。追加するアプリごとにこの手順を繰り返します。
    • News: ユーザーがNewsアプリを使用できるようにします。
    • Apple Musicサービス: ユーザーがApple Musicサービスを使用できるようにします。Apple Musicサービスを許可しない場合、Musicアプリはクラシックモードで動作します。
    • Apple Music: ユーザーがApple Musicを使用できるようにします。
    • 通知の変更: ユーザーが通知設定を変更できるようにします。
    • アプリ使用の制限: 指定したバンドルIDに基づいて、ユーザーにすべてのアプリの使用を許可するか、またはアプリの使用を個別に許可または禁止できます。監視対象のデバイスにのみ適用されます。[一部のアプリのみ許可] を選択する場合、バンドルID com.apple.webappとともにアプリを追加してWebクリップを許可します。

      注:

      iOS 11以降、アプリの制限で利用できるポリシーが変更されました。適切なiOSアプリケーションバンドルを制限することで、設定アプリと電話アプリへのアクセスを削除することができなくなりました。

      いくつかのアプリをブロックするように制限デバイスポリシーを構成して展開した後で、これらのアプリの一部またはすべてを許可する必要が生じた場合、制限デバイスポリシーを変更して展開しても制限は変更されません。これは、iOSでは変更内容がiOSプロファイルに適用されないためです。変更内容を適用するには、プロファイルの削除ポリシーを使用して該当するiOSプロファイルを削除してから、更新した制限デバイスポリシーを展開します。

      この設定を [一部のアプリのみ許可] に変更する場合:このポリシーを展開する前に、Apple Deployment Programを使用して登録したデバイスのユーザーに、セットアップアシスタントからAppleアカウントにサインインするよう指示してください。それ以外の場合、ユーザーがAppleアカウントにサインインして許可されたアプリにアクセスするには、各自のデバイスで2要素認証を無効にする必要があります。

    • 診断データの送信の変更: ユーザーが [設定]>[診断と使用状況] ペインで診断データの送信とアプリ分析に関する設定を変更できるようにします。
    • Bluetoothの変更: ユーザーがBluetoothの設定を変更できるようにします。
    • ディクテーションを許可: 監視のみ。この制限が [オフ] に設定されている場合、ディクテーションを使用した入力(音声テキスト変換を含む)は許可されません。デフォルトでは、[オン] になっています。
    • Wi-Fiのオンとオフを変更: 設定またはコントロールセンターでWi-Fiがオンまたはオフにならないようにします。また、機内モードに入っても影響はありません。この制限によって、使用するWi-Fiネットワークの選択が妨げられることはありません。
    • ネットワークポリシーでインストールされたWi-Fiネットワークのみに参加する: オプション。監視のみ。この制限が [オン] に設定されている場合、構成プロファイルを使用して設定されたデバイスのみがWi-Fiネットワークに接続できます。デフォルトでは [オフ] になっています。
    • プロンプトを表示せずにクラスルームアプリがAirPlayと画面表示を実行できるようにする: この制限が選択されている場合、講師は生徒のデバイスでAirPlayと画面表示を実行でき、権限を求めるプロンプトは表示されません。デフォルト設定では、選択解除されています。監視対象のiOSデバイス向けです。
    • プロンプトを表示せずにクラスルームアプリがアプリとデバイスをロックできるようにする: この制限が [オン] に設定されている場合、クラスルームアプリはユーザープロンプトを表示せず自動的に、アプリに対してユーザーデバイスをロックし、ユーザーデバイスをロックします。デフォルトでは [オフ] になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
    • プロンプトを表示せずにクラスルームアプリのクラスに自動的に参加する: この制限が [オン] に設定されている場合、クラスルームアプリはユーザーにプロンプトを表示せずに自動的にクラスに参加します。デフォルトでは [オフ] になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
    • AirPrintを許可: この制限が [オフ] に設定されている場合、ユーザーはAirPrintで印刷できません。デフォルトでは、[オン] になっています。この制限が [オン] の場合、さらに次の制限が表示されます。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
      • AirPrint資格情報のキーチェーンへの保存を許可する: この制限が選択されていない場合、AirPrintのユーザー名とパスワードはキーチェーンに保存されません。デフォルト設定では選択されています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
      • iBeaconsを使用したAirPrintプリンターの検出を許可する: この制限が選択されていない場合、AirPrintプリンターのiBeacon検出は無効になります。この設定により、偽のAirPrint Bluetoothビーコンのネットワークトラフィックがフィッシングされるのを防止します。デフォルト設定では選択されています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
      • 信頼された証明書がある出力先に対してのみAirPrintを許可する: この制限が選択されている場合、ユーザーは、信頼された機関からの証明書がある出力先にのみAirPrintを使用して印刷できます。デフォルト設定では、選択解除されています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
    • VPN構成の追加: この制限が [オフ] に設定されている場合、ユーザーはVPN構成を作成できません。デフォルトでは、[オン] になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
    • 携帯の通信プラン設定の変更: この制限が [オフ] に設定されている場合、ユーザーは携帯の通信プラン設定を変更できません。デフォルトでは、[オン] になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
    • システムアプリの削除: この制限が [オフ] に設定されている場合、ユーザーはデバイスからシステムアプリを削除できません。デフォルトでは、[オン] になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
    • 近くの新しいデバイスをセットアップ: この制限が[オフ]に設定されている場合、ユーザーは近くの新しいデバイスを設定できません。デフォルトでは、[オン] になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
    • USB制限モードを許可: [オフ] の場合、デバイスはロックされた状態でも常にUSBアクセサリーに接続できます。デフォルトは [オン] です。iOS 11.3以降の監視対象デバイスでのみ利用できます。
    • ソフトウェア更新の延期を強制する: [オン] の場合、ソフトウェアの更新がユーザーに表示される時期が延期されます。この制限が設定されている場合、ソフトウェアの更新がリリースされてから指定された日数が経過するまで、ソフトウェアの更新は表示されません。デフォルトは [オフ] です。iOS 11.3以降の監視対象デバイスでのみ利用できます。OSの更新ポリシーには、デバイスが更新を受信する頻度を制御するためのさらに多くの設定が含まれています。詳しくは、「OSの更新デバイスポリシー」を参照してください。
    • ソフトウェア更新の強制延期期間(日): デバイス上でソフトウェアの更新を遅らせる日数を指定できます。最大延期日数は90日です。デフォルトは30日です。iOS 11.3以降の監視対象デバイスでのみ利用できます。
    • クラスルームを離れるときの許可の要求を強制する: [オン] の場合、クラスルームの管理対象外コースに登録した学生は、コースを離れるときに教師の許可を求める必要があります。デフォルトは [オフ] です。iOS 11.3以降の監視対象デバイスでのみ利用できます。
    • 自動入力の前に認証を強制: ユーザーが自動入力機能を使用する前に、ユーザーに認証を強制します。
    • 日時の自動設定を強制する: 監視対象デバイスの日時を自動で設定できます。[オン] の場合、デバイスユーザーは [一般]>[日付と時刻][自動設定] をオフにできません。デバイスのタイムゾーンは、デバイスが現在位置を特定できる場合にのみ更新されます。つまり、デバイスが移動体通信ネットワークまたはWi-Fiに接続しており、位置情報サービスが有効になっている場合のみです。デフォルトは [オフ] です。iOS 12以降の監視対象デバイスでのみ利用できます。
    • パスワードの自動入力: オプション。無効にすると、ユーザーはパスワードの自動入力または自動強力パスワード機能を使用できません。デフォルトは [オン] です。iOS 12以降で利用できます。
    • パスワード近接要求: オプション。無効にすると、ユーザーのデバイスは近くのデバイスにパスワードを要求しません。デフォルトは [オン] です。iOS 12以降で利用できます。
    • パスワード共有: オプション。無効にすると、ユーザーはAirDropパスワード機能を使用してパスワードを共有できません。デフォルトは [オン] です。iOS 12以降で利用できます。
    • パーソナルホットスポットの変更を許可: ユーザーがパーソナルホットスポットの設定を変更できないようにします。
  • セキュリティ - ロック画面に表示
    • コントロールセンター: ロック画面のコントロールセンターへアクセスできるようにします。コントロールセンターでは、機内モード、Wi-Fi、Bluetooth、おやすみモード、画面の向きをロックといった設定をユーザーが簡単に変更できます。
    • 通知: ロック画面上へ通知できるようにします。
    • 今日ビュー: 天気や当日の予定といった情報を表示する今日の表示をロック画面上で有効にします。
  • メディアコンテンツ - 許可
    • 不適切な音楽、Podcast、iTunes Uコンテンツ: ユーザーのデバイスで成人向けのコンテンツを許可します。
    • iBooksの不適切な性的コンテンツ: iBooksから成人向けのコンテンツをダウンロードできるようにします。
    • レーティング地域: ペアレンタルコントロールのレートを取得する地域を設定します。一覧では、国をクリックするとレート地域が設定されます。デフォルトは [米国] です。
    • ムービー: ユーザーのデバイスでムービーを操作できるかどうかを設定します。ムービーの操作が許可される場合は、オプションでムービーのレートレベルを設定します。一覧で、デバイスでムービーを許可または制限するオプションをクリックします。デフォルトは[すべてのムービーを許可]です。
    • テレビ番組: ユーザーのデバイスでテレビ番組を操作できるかどうかを設定します。テレビ番組の操作が許可される場合は、オプションでテレビ番組のレートレベルを設定します。一覧で、デバイスでテレビ番組を許可または制限するオプションをクリックします。デフォルトは[すべてのテレビ番組を許可]です。
    • アプリ: ユーザーのデバイスでアプリを操作できるかどうかを設定します。アプリの操作が許可される場合は、オプションでムービーのレートレベルを設定します。一覧で、デバイスでアプリを許可または制限するオプションをクリックします。デフォルトは[すべてのアプリを許可]です。
  • ポリシー設定
    • ポリシーの削除: ポリシーの削除をスケジュール設定する方法を選択します。利用可能なオプションは、[日付を選択][削除までの期間(時間)を指定] です。
      • 日付を選択: カレンダーをクリックして削除を実行する特定の日付を選択します。
      • 削除までの期間(時間)を指定: ポリシーが削除されるまでの時間単位の数値を入力します。iOS 6.0以降でのみ使用できます。
    • プロファイル対策: このポリシーを [ユーザー] または [システム] 全体に適用するかを選択します。デフォルトは [ユーザー] です。このオプションはiOS 9.3以降でのみ使用できます。

macOS設定

デバイスポリシー構成画面

設定 監視対象外 監視対象
アプリ    
Game Centerの使用を許可 なし あり
Game Centerの友達の追加を許可 なし あり
マルチプレーヤーゲームを許可 なし あり
Game Centerのアカウント変更を許可 あり あり
App Storeの採用を許可 あり あり
Safariの自動入力を許可 なし あり
アプリのインストールまたはアップデートで管理者パスワードを必須にする あり あり
App Storeをソフトウェアの更新のみに制限 あり あり
開くのを許可するアプリの制限 あり あり
メディア    
AirDropを許可 なし あり
機能    
デスクトップ画像をロック なし あり
カメラの使用を許可 なし あり
Apple Musicを許可する なし あり
Spotlightの検索候補を許可 あり あり
検索を許可 あり あり
ローカルアカウントでのiCloudパスワードの使用を許可 あり あり
iCloudドキュメントおよびデータを許可 あり あり
iCloudで”デスクトップ”と”書類”を許可する なし あり
iCloudキーチェーンの同期を許可する なし あり
iCloudで “メール” を許可する あり あり
iCloudで “連絡先” を許可する あり あり
iCloudで “カレンダー” を許可する あり あり
iCloudで “リマインダー” を許可する あり あり
iCloudブックマークを許可する あり あり
iCloudで “メモ” を許可する あり あり
iCloudで”写真”を許可する あり あり
自動ロックの解除を許可する あり あり
Macのロック解除にTouch IDを許可する あり あり
ソフトウェア更新の強制延期 なし あり
パスワードの自動入力 なし あり
パスワード近接要求 なし あり
パスワード共有 あり あり
  • 基本設定
    • システム環境設定のアイテムの制限: システム環境設定へのユーザーのアクセスを許可または制限します。デフォルトは [オフ] で、ユーザーにはシステム環境設定へのフルアクセス権が付与されます。有効にした場合は、次の設定を構成します。
      • システム環境設定ペイン: 選択した設定を有効にするのか、無効にするのかを選択します。デフォルトではすべての設定が有効になるように、すなわち [オン] に設定されています。
        • ユーザーおよびグループ
        • 一般
        • アクセシビリティ
        • App Store
        • ソフトウェアの更新
        • Bluetooth
        • CDとDVD
        • 日時
        • デスクトップとスクリーンセーバー
        • ディスプレイ
        • ドック
        • エネルギーセーバー
        • 拡張機能
        • ファイバーチャネル
        • iCloud
        • インク
        • インター ネットアカウント
        • キーボード
        • 言語とテキスト
        • Mission Control
        • マウス
        • ネットワーク
        • 通知
        • ペアレンタルコントロール
        • プリンターとスキャナー
        • プロファイル
        • セキュリティとプライバシー
        • 共有
        • サウンド
        • ディクテーションと音声入力
        • Spotlight
        • 起動ディスク
        • Time Machine
        • トラックパッド
        • Xsan
  • アプリ
    • Game Centerの使用を許可: ユーザーがGame Centerを介してオンラインゲームをプレイできるようにします。デフォルトは [オン] です。
    • Game Center の友達の追加を許可: ユーザーが友人に通知を送信してゲームをプレイできるようにします。デフォルトは [オン] です。
    • マルチプレーヤーゲームを許可: ユーザーがマルチプレーヤーゲームを開始できるようにします。デフォルトは [オン] です。
    • Game Centerのアカウント変更を許可: ユーザーが各自のGame Centerアカウント設定を変更できるようにします。デフォルトは [オン] です。
    • App Storeの採用を許可: OS Xに既に存在するアプリのApp Storeへの登録を許可または制限します。デフォルトは [オン] です。
    • Safari の自動入力を許可: Safariに保存されているパスワード、アドレス、およびその他の基本情報が自動的にWebサイトのフィールドに入力されるようにします。デフォルトは [オン] です。
    • アプリのインストールまたはアップデートで管理者パスワードを必須にする: アプリをインストールまたは更新するときに管理者のパスワードを必須にします。デフォルトは [オフ] で、管理者のパスワードが不要であることを意味します。
    • App Store をソフトウェアの更新のみに制限: App Storeを更新のみに制限します。つまり、[アップデート]以外のApp Storeのタブはすべて無効になります。デフォルトは [オフ] で、App Storeへのフルアクセスが許可されます。
    • 開くのを許可するアプリ制限ポリシー: ユーザーが使用できるアプリを制限または許可します。デフォルトは[オフ]で、すべてのアプリの使用が許可されます。有効にした場合は、次の設定を構成します:
      • 許可するアプリ: [追加] をクリックして、起動を許可するアプリの名前およびバンドルIDを入力し、[保存] をクリックします。Citrix業務用モバイルアプリの場合は、アプリを追加するときに [パッケージID]フィールドのIDを使用します。各アプリで起動を許可するたびに、この手順を繰り返します。
      • 許可しないフォルダー: [追加] をクリックして、ユーザーアクセスを制限するフォルダーまでのファイルパス(例:/Applications/Utilities)を入力し、[保存] をクリックします。ユーザーにアクセスできないようにするすべてのフォルダーについて、この手順を繰り返します。
      • 許可するフォルダー: [追加] をクリックして、ユーザーアクセスを許可するフォルダーまでのファイルパスを入力し、[保存] をクリックします。ユーザーにアクセスできるようにするすべてのフォルダーについて、この手順を繰り返します。
  • ウィジェット
    • 以下のダッシュボードウィジェットのみ実行を許可: [オン] の場合、ユーザーはこの設定で構成されたダッシュボードウィジェットのみを実行できます。デフォルトは [オフ] で、ユーザーはすべてのウィジェットを実行できます。有効にした場合は、次の設定を構成します:
      • 許可するウィジェット: [追加] をクリックして、実行を許可するウィジェットの名前およびIDを入力し、[保存] をクリックします。ダッシュボードでの実行を許可するウィジェットごとに、この手順を繰り返します。
  • メディア
    • AirDropを許可: ユーザーが写真、ビデオ、Webサイト、場所、およびそれ以外のものを近くのiOSデバイスで共有できるようにします。
  • 共有
    • 新しい共有サービスを自動で有効にする: 共有サービスを自動的に有効にするかどうかを選択します。
    • メール: 共有メールボックスを許可するかどうかを選択します。
    • Facebook: 共有Facebookアカウントを許可するかどうかを選択します。
    • ビデオサービス - Flickr、Vimeo、Tudou、Youku: 共有ビデオサービスを許可するかどうかを選択します。
    • Apertureに追加: Apertureへの追加を行う共有機能を許可するかどうかを選択します。
    • Sina Weibo: 共有Sina Weiboアカウントを許可するかどうかを選択します。
    • Twitter: 共有Twitterアカウントを許可するかどうかを選択します。
    • メッセージ: メッセージへの共有アクセスを許可するかどうかを選択します。
    • iPhotoに追加: iPhotoへの追加を行う共有機能を許可するかどうかを選択します。
    • リーディングリストに追加: リーディングリストへの追加を行う共有機能を許可するかどうかを選択します。
    • AirDrop: 共有AirDropアカウントを許可するかどうかを選択します。
  • 機能
    • デスクトップ画像をロック: ユーザーがデスクトップの画像を変更できるかどうかを選択します。デフォルトは [オフ] で、ユーザーがデスクトップの画像を変更できることを意味します。
    • カメラの使用を許可: ユーザーがMacでカメラを使用できるかどうかを選択します。デフォルトは [オフ] で、ユーザーがカメラを使用できないことを意味します。
    • Apple Musicを許可する: ユーザーがApple Musicサービスを使用できるようにします(macOS 10.12以降)。Apple Musicサービスを許可しない場合、Musicアプリはクラシックモードで動作します。監視対象のデバイスにのみ適用されます。デフォルトは、[オン] です。
    • Spotlightの検索候補を許可: ユーザーが[Spotlightの検索候補]を使用してMacを検索したり、[Spotlightの検索候補]にインターネットやApp Storeの項目を表示したりできるかどうかを選択します。デフォルトは [オフ] で、ユーザーは[Spotlightの検索候補]を使用できません。
    • 検索を許可: ユーザーがコンテキストメニューまたはSpotlight検索メニューで単語の定義を検索できるかどうかを選択します。デフォルトは[オフ]で、この場合、ユーザーはMacで検索機能を使用できません。
    • ローカルアカウントでのiCloudパスワードの使用を許可: ユーザーが各自のApple IDおよびiCloudパスワードを使用してMacにサインオンできるかどうかを選択します。これを有効にすることは、ユーザーがMacのすべてのログイン画面で同じIDおよびパスワードを使用することを意味します。デフォルトは [オン] で、ユーザーは各自のApple IDおよびiCloudパスワードを使用してMacにアクセスすることができます。
    • iCloudドキュメントおよびデータを許可: ユーザーがMacからiCloudに保存されているドキュメントおよびデータにアクセスするのを許可するかどうかを選択します。デフォルトは [オン] で、ユーザーはMacからiCloudに保存されているドキュメントおよびデータを使用できないようになっています。
      • iCloudで”デスクトップ”と”書類”を許可する:(macOS 10.12.4以降)デフォルトは[オン]です。
    • iCloudキーチェーンの同期を許可する: iCloudキーチェーンの同期を許可します(macOS 10.12以降)。デフォルトは [オン] です。
    • iCloudで”メール”を許可する: ユーザーがiCloudメールを使用できるようにします(macOS 10.12以降)。デフォルトは [オン] です。
    • iCloudで”連絡先”を許可する: ユーザーがiCloudの連絡先を使用できるようにします(macOS 10.12以降)。デフォルトは [オン] です。
    • iCloudで”カレンダー”を許可する: ユーザーがiCloudのカレンダーを使用できるようにします(macOS 10.12以降)。デフォルトは [オン] です。
    • iCloud で”リマインダー”を許可する: ユーザーがiCloudのリマインダーを使用できるようにします(macOS 10.12以降)。デフォルトは [オン] です。
    • iCloudブックマークを許可する: ユーザーがiCloudのブックマークと同期できるようにします(macOS 10.12以降)。デフォルトは [オン] です。
    • iCloudで”メモ”を許可する: ユーザーがiCloudのメモを使用できるようにします(macOS 10.12以降)。デフォルトは [オン] です。
    • iCloudで”写真”を許可する: この設定を [オフ] に変更すると、iCloudのフォトライブラリから完全にダウンロードされていない写真はすべてデバイスのローカルストレージから削除されます(macOS 10.12以降)。デフォルトは [オン] です。
    • 自動ロックの解除を許可する: このオプションとApple Watchについては、https://www.imore.com/auto-unlockを参照してください(macOS 10.12以降)。デフォルトは [オン] です。
    • Macのロック解除にTouch IDを許可する:(macOS 10.12.4以降)デフォルトは [オン] です。
    • ソフトウェア更新の延期を強制する: [オン] の場合、ソフトウェアの更新がユーザーに表示されるまでの時間が延期されます。ソフトウェアの更新がリリースされてから指定の日数が経過するまで、ユーザーにソフトウェアの更新は表示されません。デフォルトは [オフ] です。macOS 10.13.4以降を実行する監視対象デバイスでのみ利用できます。OSの更新ポリシーには、デバイスが更新を受信する頻度を制御するためのさらに多くの設定が含まれています。詳しくは、「OSの更新デバイスポリシー」を参照してください。
    • ソフトウェア更新の強制延期期間(日): デバイス上でソフトウェアの更新を延期する日数を指定します。日数の上限は90日です。デフォルトは30です。macOS 10.13.4以降を実行する監視対象デバイスでのみ利用できます。
    • パスワードの自動入力: オプション。無効にすると、ユーザーはパスワードの自動入力または自動強力パスワード機能を使用できません。デフォルトは [オン]です(macOS 10.14以降)。
    • パスワード近接要求: オプション。無効にすると、ユーザーのデバイスは近くのデバイスにパスワードを要求しません。デフォルトは [オン]です(macOS 10.14以降)。
    • パスワード共有: オプション。無効にすると、ユーザーはAirDropパスワード機能を使用してパスワードを共有できません。デフォルトは [オン]です(macOS 10.14以降)。

tvOSの設定

  • セキュリティとメディア設定 - 許可
    • 最初のAirPlayペアリングでパスコードを要求: AirPlay対応デバイスでAirPlayを使用する前に、ワンタイムオンスクリーンコードで検証するように求めます。
    • iBooksの不適切な性的コンテンツ: iBooksから成人向けのコンテンツをダウンロードできるようにします。
    • 不適切な音楽、Podcast、iTunes Uコンテンツ: ユーザーのデバイスで成人向けのコンテンツを許可します。
    • アプリ内課金: ユーザーがアプリ内課金で購入できるようにします。
      • 購入時にApple App Storeのパスワードを要求: アプリ内購入時にパスワードを求めます。デフォルトではこの機能は制限されており、アプリ内での購入ではパスワードは必要ありません。
  • 監視対象のみの設定 - 許可
    • デバイス名の変更: ユーザーがデバイスの名前を変更できるようにします。
    • Apple TV Remote Appとのペアリングを許可する: ユーザーがApple TV リモートアプリとデバイスをペアリングできるようにします。
    • Siriの不適切な単語フィルター: Siriの不適切な単語フィルターを有効にします。デフォルトではこの機能は制限されており、不適切な言葉はフィルタリングされません。

      Siriとセキュリティについて詳しくは、「Siriとディクテーションのポリシー」を参照してください。

    • AirPlayを有効にする: ユーザーがコンテンツをストリーミングしたり、iOSデバイスの画面をこのデバイスでミラーリングできるようにします。
    • アプリ使用の制限: 指定したバンドルIDに基づいて、ユーザーにすべてのアプリの使用を許可するか、またはアプリの使用を個別に許可または禁止できます。監視対象のデバイスにのみ適用されます。

      いくつかのアプリをブロックするように制限デバイスポリシーを構成して展開した後で、これらのアプリの一部またはすべてを許可する必要が生じた場合、制限デバイスポリシーを変更して展開しても制限は変更されません。これは、iOSでは変更内容がiOSプロファイルに適用されないためです。

      この設定を [一部のアプリのみ許可] に変更する場合:このポリシーを展開する前に、Apple Deployment Programを使用して登録したデバイスのユーザーに、セットアップアシスタントからAppleアカウントにサインインするよう指示してください。それ以外の場合、ユーザーがAppleアカウントにサインインして許可されたアプリにアクセスするには、各自のデバイスで2要素認証を無効にする必要があります。

  • ポリシー設定
    • ポリシーの削除: ポリシーの削除をスケジュール設定する方法を選択します。利用可能なオプションは、[日付を選択][削除までの期間(時間)を指定] です。
      • 日付を選択: カレンダーをクリックして削除を実行する特定の日付を選択します。
      • 削除までの期間(時間)を指定: ポリシーが削除されるまでの時間単位の数値を入力します。
    • ユーザーにポリシーの削除を許可: ユーザーがデバイスからポリシーを削除できるタイミングを選択できます。メニューで [常に][パスコードが必要です] または [許可しない] を選択します。[パスコードが必要です] を選択する場合、[削除のパスコード] フィールドに入力しますiOSでは使用できません。

Androidの設定

  • カメラ: ユーザーがデバイスでカメラを使用できるようにします。[オフ] の場合、カメラは無効になります。デフォルトは、[オン] です。

Android Enterpriseの設定

デバイスポリシー構成画面

新規のまたは工場出荷時の設定にリセットされたAndroidデバイスが仕事用プロファイルモードで登録されると、Android 8.0~10.xを実行しているデバイスは、仕事用プロファイルを持つ管理対象デバイスとして登録されます。Android 11以降、デバイスは会社所有のデバイスの仕事用プロファイルとして登録されます。制限ポリシーは、デバイスの仕事用プロファイルまたは管理対象デバイスのいずれかに適用できます。

会社所有のデバイスの仕事用プロファイルモードに登録されているデバイスでは、次の制限は機能しません:

  • バックアップ サービスを許可
  • システムアプリを有効にする
  • Keyguardがデバイスをロックしないようにする
  • ステータスバーの使用を許可
  • デバイス画面を有効なまま維持する
  • ユーザーにアプリケーション設定の制御を許可
  • ユーザーにユーザー資格情報の構成を許可
  • VPN構成を許可
  • USB大容量ストレージを許可
  • 工場出荷時リセットを許可
  • アプリのアンインストールを許可
  • Google Play非対応アプリを許可
  • プロファイル間でコピーと貼り付けを許可
  • アプリの検証を有効化
  • アカウント管理を許可
  • 印刷を許可
  • NFCを許可
  • ユーザーの追加を許可

デバイスがAndroid Enterpriseの仕事用プロファイルモードで登録されている場合、デフォルトではUSBデバッグおよび不明なソース設定は無効になっています。

Android 8.0~10.xおよびSamsung Knox 3.0以降を実行しているデバイスの場合は、[Android Enterprise] ページでSamsung KnoxとSamsung SAFEの設定を行います。それよりも前のバージョンのAndroidまたはSamsung KNOXを実行しているデバイスの場合は、[Samsung Knox][Samsung SAFE] ページで設定します。

Samsungの制限は、会社所有のデバイスの仕事用プロファイルに登録されているデバイスには適用されません。これらのデバイスにSamsungの制限を適用するには、Knox Service Plugin(KSP)を使用します。詳しくは、Samsungのドキュメントを参照してください。

最新のSamsung Knox管理機能には、Samsung Knox 3.4以降を使用することを推奨します。

詳しくは、こちらのビデオをご覧ください:

Citrix Endpoint ManagementとAndroid Enterpriseを使用して工場出荷時の保護を管理する方法

  • 仕事用プロファイルで完全に管理されているデバイスに適用 /会社所有のデバイスの仕事用プロファイルに適用: 仕事用プロファイルで完全に管理されたデバイスの制限ポリシー設定を構成できます。これらのデバイスは、COPE(個人使用可能なコーポレート所有)デバイスとも呼ばれます。この設定が [オン] の場合、次のいずれかの設定を選択します:
    • 仕事用プロファイル: 構成した制限設定は、デバイスの仕事用プロファイルにのみ適用されます。
    • 管理対象デバイス: 構成した制限設定は、デバイスにのみ適用されます。

    この設定が [オフ] の場合、構成する資格情報設定はデバイスに適用されます(明示的に仕事用プロファイルに適用される設定を除く)。デフォルトは [オフ] です。

[仕事用プロファイルで完全に管理されているデバイスに適用 /会社所有のデバイスの仕事用プロファイルに適用] がオフの場合、次の設定を構成します:

  • セキュリティ

    • アカウント管理を許可: 仕事用プロファイルおよび管理対象デバイスでアカウントを追加できるようにします。デフォルトは [オフ] です。
    • プロファイル間でコピーと貼り付けを許可: [オン] の場合、ユーザーはAndroid Enterpriseプロファイルのアプリと個人的領域のアプリの間でコピーして貼り付けることができます。デフォルトは [オフ] です。
    • スクリーンショットを許可: ユーザーがデバイス画面のスクリーンショットを取得できるかどうかを指定します。デフォルトは [オフ] です。
    • カメラの使用を許可: ユーザーがデバイスのカメラで写真やビデオを撮ることができます。デフォルトは [オフ] です。
    • VPN構成を許可: ユーザーがVPN構成を作成できるようにします。Android 6以降を実行する仕事用プロファイルデバイスおよび完全に管理されているデバイス向けです。デフォルトは [オン] です。
    • バックアップサービスを許可: ユーザーがデバイス上にアプリケーションやシステムデータをバックアップできるようにします。デフォルトは [オン] です。
    • NFCを許可: 近距離無線通信(NFC:Near Field Communication)を使用して、ユーザーが手元のデバイスから他のデバイスにWebページ、写真、ビデオなどのコンテンツを送信できるようにします。MDM 4.0以降。デフォルトは [オン] です。
    • 位置情報プロバイダーの構成を許可: ユーザーがデバイスでGPSをオンにできるようにします。Android API 28以降で使用します。デフォルトは [オン] です。
    • 位置情報の共有を許可: 管理対象プロファイルの場合、デバイス所有者は設定を上書きできます。デフォルトは [オフ] です。

      ヒント:

      Endpoint Managementで位置情報デバイスポリシーを作成して、地理的な境界を適用することができます。「位置情報デバイスポリシー」を参照してください。

    • ユーザーにユーザー資格情報の構成を許可: ユーザーが管理対象のキーストアで認証情報を設定できるかどうかを指定します。デフォルトは [オン] です。
    • 印刷を許可: [オン] にすると、ユーザーデバイスからアクセス可能なプリンターへの印刷が許可されます。デフォルトは [オフ] です。利用可能:Android 9以降。
    • USBデバッグを許可: デフォルトは [オフ] です。
  • アプリ

    • システムアプリを有効化: ユーザーが事前インストールされたデバイスアプリを実行できるようにします。デフォルトは [オフ] です。特定のアプリを有効にするには、[システムアプリ一覧]の表で [追加] をクリックします。
      • システムアプリ一覧: デバイスで有効にするシステムアプリの一覧。[システムアプリを有効化][オン] に設定して、アプリのパッケージ名を追加します。システムアプリのパッケージ名を検索するには、Android Debug Bridge(adb)を使用してAndroidパッケージマネージャー(pm)コマンドを呼び出します。たとえば adb shell "pm list packages -f name"で、ここで「名前」はパッケージ名の一部です。詳しくは、https://developer.android.com/studio/command-line/adbを参照してください。Android Enterpriseデバイスでは、Android Enterpriseアプリの権限ポリシーを使用してアプリの権限を制限できます。
    • アプリケーションを無効化: 指定したアプリの一覧がデバイス上で実行されるのを禁止します。デフォルトは [オフ] です。インストールされているアプリを無効にするには、設定を [オン] に変更し、[アプリケーション一覧] 表で [追加] をクリックします。
      • アプリ一覧: 禁止するアプリの一覧。[アプリケーションを無効にする][オン] に設定してアプリを追加し、アプリのパッケージ名を入力します。アプリ一覧を変更して展開すると、以前のアプリ一覧が上書きされます。例:com.example1とcom.example2を無効にしてから、アプリ一覧の内容をcom.example1とcom.example3に変更すると、com.example.2が有効になります。
    • アプリの検証を有効化: OSがアプリをスキャンして悪意のある動作を検出できるようにします。デフォルトは [オン] です。
    • Google Appsを有効化: ユーザーがGoogle Mobile Servicesからデバイスにアプリをダウンロードできるようにします。デフォルトは [オン] です。
    • Google Play非対応アプリを許可: Google Play以外のストアからアプリをインストールできるようにします。デフォルトは [オフ] です。
    • ユーザーにアプリケーション設定の制御を許可: ユーザーがアプリのアンインストール、アプリの無効化、キャッシュやデータの消去、アプリの強制停止、デフォルト値のクリアをできるようにします。ユーザーは、設定アプリからこれらのアクションを実行します。デフォルトは [オフ] です。
    • アプリのアンインストールを許可: ユーザーが管理対象のGoogle Playストア内からアプリをアンインストールできるようにします。デフォルトは [オフ] です。
  • BYOD/仕事用プロファイル

    • ホーム画面で仕事用プロファイルアプリウィジェットを許可する: この設定が [オン] の場合、ユーザーが仕事用プロファイルアプリウィジェットをデバイスのホーム画面に配置できます。この設定が [オフ] の場合、ユーザーは仕事用プロフィールアプリウィジェットを端末のホーム画面に配置できません。デフォルトは [オフ] です。
      • ウィジェットが許可されたアプリ: ホーム画面で許可するアプリの一覧。[ホーム画面で仕事用プロファイルアプリのウィジェットを許可][オン] に設定して対象のアプリを追加します。[追加]をクリックし、一覧からホーム画面で許可するアプリを選択します。[保存] をクリックします。この手順を繰り返して、ほかのアプリウィジェットも許可します。
    • デバイスの連絡先で仕事用プロファイルの連絡先を許可: 着信時に、管理対象のAndroid Enterpriseプロファイルの連絡先を親プロファイルに表示します(Android 7.0以降)。デフォルトは [オフ] です。
  • 完全管理対象デバイスのみ

    • ユーザーの追加を許可: ユーザーがデバイスに新しいユーザーを追加できるようにします。デフォルトは [オン] です。
    • データローミングを許可: ユーザーがローミング中に携帯データネットワークを使用できるようにします。デフォルトは[オフ]で、ユーザーのデバイスでローミングが無効になっています。デフォルトは [オフ] です。
    • SMSを許可: ユーザーがSMSメッセージを送受信できるようにします。デフォルトは [オフ] です。
    • ステータスバーの使用を許可: [オン] に設定すると、管理対象デバイスおよび専用デバイス(COSUデバイス)上でステータスバーが有効になります。この設定により、通知、クイック設定、その他の画面オーバーレイで全画面モードから移動することができなくなります。ユーザーはシステム設定に移動して通知を表示できます。Android 6.0以降の場合、デフォルトは [オフ] です。
    • Bluetoothを許可: ユーザーがBluetoothを使用できるようにします。デフォルトは [オン] です。
      • Bluetooth共有を許可: オフになっている場合、ユーザーはデバイスで送信によるBluetooth共有を確立できません。デフォルトではオンになっています。
    • 日付と時刻の構成を許可: ユーザーがデバイスの日付と時刻を変更できるようにします。デフォルトは [オン] です。
    • 工場出荷時リセットを許可: ユーザーがデバイスを出荷時の設定に戻すことができるようにします。デフォルトは [オン] です。
    • デバイス画面を有効なまま維持する: この設定を [オン] に設定すると、デバイスを接続してもデバイス画面はオンのままです。デフォルトは [オフ] です。
    • USB大容量ストレージを許可: USB接続上で、ユーザーのデバイスとコンピューター間で大容量のデータファイルを転送できるようにします。デフォルトは [オン] です。
    • マイクを許可: ユーザーがデバイスでマイクを使用できるようにします。デフォルトは [オン] です。
    • テザリングを許可: ユーザーがポータブルホットスポットとテザリングデータを構成できるようにします。デフォルトは [オフ] です。
    • Keyguardがデバイスをロックしないようにする: [オン]の場合、この設定により管理対象デバイスおよび専用デバイス(COSUデバイス)のロック画面でKeyguardが無効になります。デフォルトは [オフ] です。
    • Wi-Fiの変更を許可: [オン] 場合、ユーザーはWi-Fiをオンまたはオフにして、Wi-Fiネットワークに接続できます。デフォルトは [オン] です。
    • ファイル転送を許可: USB上でファイル転送できるようにします。デフォルトは [オフ] です。
  • Samsung

    • TIMAキーストアを有効化: TIMA KeyStoreは、対称キーのTrustZoneベースのセキュアなキーストレージを提供します。RSAキーペアと証明書は、ストレージのデフォルトのキーストアプロバイダーを経由します。デフォルトは [オフ] です。
    • 共有一覧を許可: ユーザーがShare Viaの一覧にあるアプリ間でコンテンツを共有できるようにします。デフォルトは [オン] です。
    • 監査ログを有効化: デバイスのフォレンジック解析用イベント監査ログの作成を有効にします。デフォルトは [オフ] です。
  • Samsung:完全管理対象デバイスのみ

    • ODE信頼済み起動検証を有効化: ODE信頼済みブート検証を使って、ブートローダーからシステムイメージへの信頼のチェーンを確立します。デフォルトは [オン] です。
    • 緊急電話のみを許可: ユーザーがデバイスで緊急電話のみモードを有効にできるようにします。デフォルトは [オフ] です。
    • ファームウェアリカバリを許可: ユーザーがデバイスでファームウェアを復元できるようにします。デフォルトは [オン] です。
    • 高速暗号化を許可: 使用済みのメモリ領域のみ暗号化を許可します。この暗号化は、すべてのデータを暗号化するフルディスク暗号化とは対照的な方法です。このデータには設定、アプリケーションデータ、ダウンロードしたファイルおよびアプリケーション、メディア、およびその他のファイルが含まれます。デフォルトは [オン] です。
    • 情報セキュリティ国際評価基準(Common Criteria)モードを有効化: デバイスを情報セキュリティ国際評価基準モードにします。Common Criteria構成は、厳重なセキュリティプロセスを遂行します。デフォルトは [オン] です。
    • 再起動バナーを有効化: ユーザーのデバイスが再起動されたときに、DoD承認システム使用通知メッセージまたはバナーを表示します。デフォルトは [オフ] です。
    • 設定の変更を許可: ユーザーが完全管理対象デバイスの設定を変更できるようにします。デフォルトは [オン] です。
    • バックグラウンドデータの使用を有効化: アプリがバックグラウンドでデータを同期できるようにします。完全管理対象デバイス向けの設定です。デフォルトは [オン] です。
    • クリップボードを許可: ユーザーがデバイスでデータをクリップボードにコピーできるようにします。
      • クリップボード共有を許可: ユーザーが自分のデバイスとコンピューター間でクリップボードのコンテンツを共有できるようにします(MDM 4.0以降)。
    • ホームキーを許可: ユーザーが完全管理対象デバイスでHomeキーを使用できるようにします。デフォルトは [オン] です。
    • 疑似ロケーションを許可: ユーザーがGPSの場所を偽装できるようにします。完全に管理されているデバイス用の設定です。デフォルトは [オフ] です。
    • NFC: ユーザーが完全に管理されたデバイスでNFCを使用できるようにします(MDM 3.0以降)。デフォルトは [オン] です。
    • 電源オフを許可: ユーザーが完全管理対象デバイスの電源を切れるようにします(MDM 3.0以降)。デフォルトは [オン] です。
    • Wi-Fiダイレクトを許可: ユーザーがWi-Fi接続を介して、ほかのデバイスに直接接続できるようにします。デフォルトは [オン] です。[オン] の場合、[Wi-Fiの変更を許可] 設定を有効にする必要があります。
    • SDカードを許可: ユーザーが、可能な場合にはデバイスでSDカードを使用できるようにします。デフォルトは [オン] です。
    • USBホストストレージを許可: USBデバイスがユーザーのデバイスに接続されたとき、ユーザーのデバイスがUSBホストとして機能するようにできます。これにより、ユーザーのデバイスがUSBデバイスに電源を供給します。デフォルトは [オン] です。
    • 音声ダイヤラーを許可: ユーザーがデバイスで音声ダイヤラーを使用できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
    • S Beamを許可: ユーザーがNFCやWi-Fi Directを使ってほかのユーザーとコンテンツを共有できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
    • S Voiceを許可: ユーザーがデバイスでインテリジェントパーソナルアシスタントおよびナレッジナビゲーターを使用できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
    • USBテザリングを許可: ユーザーが、USB接続を使ってモバイルデータ接続をほかのデバイスと共有できるようにします。デフォルトは [オフ] です。[オン] の場合、[テザリングを許可] 設定も [オン] にする必要があります。
    • Bluetoothテザリングを許可: ユーザーが、Bluetooth接続を使ってモバイルデータ接続をほかのデバイスと共有できるようにします。デフォルトは [オフ] です。[オン] の場合、[テザリングを許可] 設定も [オン] にする必要があります。
      • Bluetooth共有を許可: オフになっている場合、ユーザーはデバイスで送信によるBluetooth共有を確立できません。デフォルトではオンになっています。
    • Wi-Fiテザリングを許可: ユーザーが、Wi-Fi接続を使ってモバイルデータ接続をほかのデバイスと共有できるようにします。デフォルトは [オフ] です。[オン] の場合、[テザリングを許可] 設定も [オン] にする必要があります。
    • 受信MMSを許可: ユーザーがMMS(Microsoftメディアストリーミング)メッセージを受信できるようにします。デフォルトは [オフ] です。[オン] の場合、[SMSを許可] 設定をオンにする必要があります。
    • 送信MMSを許可: ユーザーがMMS(Microsoftメディアストリーミング)メッセージを送信できるようにします。デフォルトは [オフ] です。[オン] の場合、[SMSを許可] 設定をオンにする必要があります。
    • 受信SMSを許可: ユーザーがSMSメッセージを受信できるようにします。デフォルトは [オフ] です。[オン] の場合、[SMSを許可] 設定をオンにする必要があります。
    • 送信SMSを許可: ユーザーがSMSメッセージを送信できるようにします。デフォルトは [オフ] です。[オン] の場合、[SMSを許可] 設定をオンにする必要があります。
    • モバイルネットワークを構成: ユーザーが携帯データネットワーク接続を使用できるようにします。デフォルトは [オフ] です。
    • 日単位で制限(MB): ユーザーが一日に使用できるモバイルデータのMB数を入力します。デフォルトは0で、この機能が無効になっています(MDM 4.0以降)。
    • 週単位で制限 (MB): ユーザーが一週間に使用できるモバイルデータのMB数を入力します。デフォルトは0で、この機能が無効になっています(MDM 4.0以降)。
    • 月単位で制限 (MB): ユーザーが1か月に使用できるモバイルデータのMB数を入力します。デフォルトは0で、この機能が無効になっています(MDM 4.0以降)。
    • セキュリティで保護されたVPN接続のみを許可: ユーザーがセキュリティで保護された接続のみを使用できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
    • オーディオ録音を許可: ユーザーがデバイスでオーディオを録音できるようにします(MDM 4.0以降)。デフォルトは [オン] です。[オン] の場合、[マイクを許可] 設定をオンにする必要があります。
    • ビデオ録画を許可: ユーザーがデバイスでビデオを録画できるようにします(MDM 4.0以降)。デフォルトは [オフ] です。[オン] の場合、[カメラの使用を許可] 設定をオンにする必要があります。
    • ローミング時のプッシュメッセージを許可: ユーザーが携帯データネットワークを使用してプッシュできるようにします。デフォルトは [オフ] です。[オン] の場合、[データローミングを許可] 設定を有効にする必要があります。
    • ローミング時に自動同期を許可: ユーザーが携帯データネットワークを使用して同期できるようにします。デフォルトは [オフ] です。[オン] の場合、[データローミングを許可] 設定を有効にする必要があります。
    • ローミング時に音声通話を許可: ユーザーが音声通話に携帯データネットワークを使用できるようにします。デフォルトは [オフ] です。[オン] の場合、[データローミングを許可] 設定を有効にする必要があります。
  • Samsung:Knoxコンテナ/完全管理対象デバイス

    • 失効チェックを有効化: 失効した証明書のチェックを有効にします。デフォルトは [オフ] です。
  • Samsung:Knoxコンテナのみ

    • コンテナにアプリを移動: ユーザーが、Knoxコンテナとデバイス上の個人的領域間でアプリを移動できるようにします。デフォルトは [オン] です。
    • 多要素認証を強制: ユーザーがデバイスを開く際に、指紋のほかにパスワードやPINなどの別の認証方式を使用する必要があるようにします。デフォルトは [オン] です。
    • コンテナ認証を強制: デバイスのロック解除に使用された方法とは異なる認証方法を使用して、Knoxコンテナを開きます。デフォルトは [オン] です。
    • セキュリティで保護されたキーパッドを有効化: Knoxコンテナ内部のセキュリティで保護されたキーボードを強制的にユーザーに使用させます。デフォルトは [オン] です。
  • Samsung:DeX

    • Samsung DeXを有効化: サポート対象のKnox対応デバイスを有効にして、Samsung DeXモードで実行します。Samsung Knox 3.1(最小バージョン)が必要です。デフォルトは [オン] です。Samsung DeXのデバイス要件とSamsung DeXの設定については、Samsungの開発者向けドキュメントを参照してください。
      • Dexモードでのみイーサネットを許可: Samsung DeXモードでイーサネットの使用を有効にします。携帯データネットワーク、Wi-Fi、テザリング(Wi-Fi、Bluetooth、USB)は、DeXモードで制限されています。デフォルトは選択されていない状態です。
      • Dexロゴ画像のアップロード: この設定を選択して、.png画像をSamsung DeXのアイコンとして使用するよう指定します。
      • DeX画面のタイムアウト(秒): DeX画面がオフになるまでのアイドル時間を秒単位で指定します。タイムアウトを無効にするには、0に設定します。デフォルトは1,200秒(20分)です。
      • Samsung DeXでアプリのショートカットを追加: アプリのパッケージ名を指定して、アプリのショートカットをDeXに追加できるようにします。アプリのパッケージ名を検索するには、Google Playに移動してアプリを選択します。URLは、パッケージ名を含みます:https://play.google.com/store/apps/details?id=<package.name><!--NeedCopy-->
      • Samsung DeXでアプリのショートカットを削除: アプリのパッケージ名を指定して、DeXからショートカットを削除できるようにします。アプリのパッケージ名を検索するには、Google Playに移動します。
      • Samsung DeXで無効にするアプリパッケージ: Samsung DeXモードからの使用を禁止するアプリパッケージの一覧をコンマ区切りで指定します。例:"com.android.chrome", "com.google.android.gm"<!--NeedCopy-->

[仕事用プロファイルで完全に管理されているデバイスに適用 /会社所有のデバイスの仕事用プロファイルに適用] がオンになっていて、[完全に管理されているデバイスが仕事用プロファイルを持つ場合、ポリシーを次のプロファイルに適用][仕事用プロファイル] に設定されている場合、次の設定を構成します:

  • セキュリティ

    • アカウント管理を許可: 仕事用プロファイルおよび管理対象デバイスでアカウントを追加できるようにします。デフォルトは [オフ] です。
    • プロファイル間でコピーと貼り付けを許可: [オン] の場合、ユーザーはAndroid Enterpriseプロファイルのアプリと個人的領域のアプリの間でコピーして貼り付けることができます。デフォルトは [オフ] です。
    • スクリーンショットを許可: ユーザーがデバイス画面のスクリーンショットを取得できるかどうかを指定します。デフォルトは [オフ] です。
    • カメラの使用を許可: ユーザーがデバイスのカメラで写真やビデオを撮ることができます。デフォルトは [オフ] です。
    • 位置情報プロバイダーの構成を許可: ユーザーがデバイスでGPSをオンにできるようにします。Android API 28以降で使用します。デフォルトは [オン] です。
    • 位置情報の共有を許可: 管理対象プロファイルの場合、デバイス所有者は設定を上書きできます。デフォルトは [オフ] です。

      ヒント:

      Endpoint Managementで位置情報デバイスポリシーを作成して、地理的な境界を適用することができます。「位置情報デバイスポリシー」を参照してください。

    • ユーザーにユーザー資格情報の構成を許可: ユーザーが管理対象のキーストアで認証情報を設定できるかどうかを指定します。デフォルトは [オン] です。
    • 印刷を許可: [オン] にすると、ユーザーデバイスからアクセス可能なプリンターへの印刷が許可されます。デフォルトは [オフ] です。利用可能:Android 9以降。
  • アプリ

    • システムアプリを有効化: ユーザーが事前インストールされたデバイスアプリを実行できるようにします。デフォルトは [オフ] です。特定のアプリを有効にするには、[システムアプリ一覧]の表で [追加] をクリックします。
      • システムアプリ一覧: デバイスで有効にするシステムアプリの一覧。[システムアプリを有効化][オン] に設定して、アプリのパッケージ名を追加します。システムアプリのパッケージ名を検索するには、Android Debug Bridge(adb)を使用してAndroidパッケージマネージャー(pm)コマンドを呼び出します。たとえば adb shell "pm list packages -f name"で、ここで「名前」はパッケージ名の一部です。詳しくは、https://developer.android.com/studio/command-line/adbを参照してください。Android Enterpriseデバイスでは、Android Enterpriseアプリの権限ポリシーを使用してアプリの権限を制限できます。
    • アプリケーションを無効化: 指定したアプリの一覧がデバイス上で実行されるのを禁止します。デフォルトは [オフ] です。インストールされているアプリを無効にするには、設定を [オン] に変更し、[アプリケーション一覧] 表で [追加] をクリックします。
      • アプリ一覧: 禁止するアプリの一覧。[アプリケーションを無効にする][オン] に設定してアプリを追加し、アプリのパッケージ名を入力します。アプリ一覧を変更して展開すると、以前のアプリ一覧が上書きされます。例:com.example1とcom.example2を無効にしてから、アプリ一覧の内容をcom.example1とcom.example3に変更すると、com.example.2が有効になります。
    • アプリの検証を有効化: OSがアプリをスキャンして悪意のある動作を検出できるようにします。デフォルトは [オン] です。
    • Google Appsを有効化: ユーザーがGoogle Mobile Servicesからデバイスにアプリをダウンロードできるようにします。デフォルトは [オン] です。
    • Google Play非対応アプリを許可: Google Play以外のストアからアプリをインストールできるようにします。デフォルトは [オフ] です。
    • ユーザーにアプリケーション設定の制御を許可: ユーザーがアプリのアンインストール、アプリの無効化、キャッシュやデータの消去、アプリの強制停止、デフォルト値のクリアをできるようにします。ユーザーは、設定アプリからこれらのアクションを実行します。デフォルトは [オフ] です。
    • アプリのアンインストールを許可: ユーザーが管理対象のGoogle Playストア内からアプリをアンインストールできるようにします。デフォルトは [オフ] です。
  • BYOD/仕事用プロファイル

    • ホーム画面で仕事用プロファイルアプリウィジェットを許可する: この設定が [オン] の場合、ユーザーが仕事用プロファイルアプリウィジェットをデバイスのホーム画面に配置できます。この設定が [オフ] の場合、ユーザーは仕事用プロフィールアプリウィジェットを端末のホーム画面に配置できません。デフォルトは [オフ] です。
      • ウィジェットが許可されたアプリ: ホーム画面で許可するアプリの一覧。[ホーム画面で仕事用プロファイルアプリのウィジェットを許可][オン] に設定して対象のアプリを追加します。[追加]をクリックし、一覧からホーム画面で許可するアプリを選択します。[保存] をクリックします。この手順を繰り返して、ほかのアプリウィジェットも許可します。
    • デバイスの連絡先で仕事用プロファイルの連絡先を許可: 着信時に、管理対象のAndroid Enterpriseプロファイルの連絡先を親プロファイルに表示します(Android 7.0以降)。デフォルトは [オフ] です。
  • Samsung

    • TIMAキーストアを有効化: TIMA KeyStoreは、対称キーのTrustZoneベースのセキュアなキーストレージを提供します。RSAキーペアと証明書は、ストレージのデフォルトのキーストアプロバイダーを経由します。デフォルトは [オフ] です。
    • 共有一覧を許可: ユーザーがShare Viaの一覧にあるアプリ間でコンテンツを共有できるようにします。デフォルトは [オン] です。
    • 監査ログを有効化: デバイスのフォレンジック解析用イベント監査ログの作成を有効にします。デフォルトは [オフ] です。
  • Samsung:Knoxコンテナ/完全管理対象デバイス

    • 失効チェックを有効化: 失効した証明書のチェックを有効にします。デフォルトは [オフ] です。
  • Samsung:Knoxコンテナのみ

    • コンテナにアプリを移動: ユーザーが、Knoxコンテナとデバイス上の個人的領域間でアプリを移動できるようにします。デフォルトは [オン] です。
    • 多要素認証を強制: ユーザーがデバイスを開く際に、指紋のほかにパスワードやPINなどの別の認証方式を使用する必要があるようにします。デフォルトは [オン] です。
    • コンテナ認証を強制: デバイスのロック解除に使用された方法とは異なる認証方法を使用して、Knoxコンテナを開きます。デフォルトは [オン] です。
    • セキュリティで保護されたキーパッドを有効化: Knoxコンテナ内部のセキュリティで保護されたキーボードを強制的にユーザーに使用させます。デフォルトは [オン] です。

[仕事用プロファイルで完全に管理されているデバイスに適用/会社所有のデバイスの仕事用プロファイルに適用] がオンになっていて、[完全に管理されているデバイスが仕事用プロファイルを持つ場合、ポリシーを次のプロファイルに適用][管理対象デバイス] に設定されている場合、次の設定を構成します:

  • セキュリティ

    • アカウント管理を許可: 仕事用プロファイルおよび管理対象デバイスでアカウントを追加できるようにします。デフォルトは [オフ] です。
    • プロファイル間でコピーと貼り付けを許可: [オン] の場合、ユーザーはAndroid Enterpriseプロファイルのアプリと個人的領域のアプリの間でコピーして貼り付けることができます。デフォルトは [オフ] です。
    • スクリーンショットを許可: ユーザーがデバイス画面のスクリーンショットを取得できるかどうかを指定します。デフォルトは [オフ] です。
    • カメラの使用を許可: ユーザーがデバイスのカメラで写真やビデオを撮ることができます。デフォルトは [オフ] です。
    • VPN構成を許可: ユーザーがVPN構成を作成できるようにします。Android 6以降を実行する仕事用プロファイルデバイスおよび完全に管理されているデバイス向けです。デフォルトは [オン] です。
    • バックアップサービスを許可: ユーザーがデバイス上にアプリケーションやシステムデータをバックアップできるようにします。デフォルトは [オン] です。
    • NFCを許可: 近距離無線通信(NFC:Near Field Communication)を使用して、ユーザーが手元のデバイスから他のデバイスにWebページ、写真、ビデオなどのコンテンツを送信できるようにします。MDM 4.0以降。デフォルトは [オン] です。
    • 位置情報プロバイダーの構成を許可: ユーザーがデバイスでGPSをオンにできるようにします。Android API 28以降で使用します。デフォルトは [オン] です。
    • 位置情報の共有を許可: 管理対象プロファイルの場合、デバイス所有者は設定を上書きできます。デフォルトは [オフ] です。

      ヒント:

      Endpoint Managementで位置情報デバイスポリシーを作成して、地理的な境界を適用することができます。「位置情報デバイスポリシー」を参照してください。

    • ユーザーにユーザー資格情報の構成を許可: ユーザーが管理対象のキーストアで認証情報を設定できるかどうかを指定します。デフォルトは [オン] です。
    • 印刷を許可: [オン] にすると、ユーザーデバイスからアクセス可能なプリンターへの印刷が許可されます。デフォルトは [オフ] です。利用可能:Android 9以降。
    • USBデバッグを許可: デフォルトは [オフ] です。
  • アプリ

    • システムアプリを有効化: ユーザーが事前インストールされたデバイスアプリを実行できるようにします。デフォルトは [オフ] です。特定のアプリを有効にするには、[システムアプリ一覧]の表で [追加] をクリックします。
      • システムアプリ一覧: デバイスで有効にするシステムアプリの一覧。[システムアプリを有効化][オン] に設定して、アプリのパッケージ名を追加します。システムアプリのパッケージ名を検索するには、Android Debug Bridge(adb)を使用してAndroidパッケージマネージャー(pm)コマンドを呼び出します。たとえば adb shell "pm list packages -f name"で、ここで「名前」はパッケージ名の一部です。詳しくは、https://developer.android.com/studio/command-line/adbを参照してください。Android Enterpriseデバイスでは、Android Enterpriseアプリの権限ポリシーを使用してアプリの権限を制限できます。
    • アプリケーションを無効化: 指定したアプリの一覧がデバイス上で実行されるのを禁止します。デフォルトは [オフ] です。インストールされているアプリを無効にするには、設定を [オン] に変更し、[アプリケーション一覧] 表で [追加] をクリックします。
      • アプリ一覧: 禁止するアプリの一覧。[アプリケーションを無効にする][オン] に設定してアプリを追加し、アプリのパッケージ名を入力します。アプリ一覧を変更して展開すると、以前のアプリ一覧が上書きされます。例:com.example1とcom.example2を無効にしてから、アプリ一覧の内容をcom.example1とcom.example3に変更すると、com.example.2が有効になります。
    • アプリの検証を有効化: OSがアプリをスキャンして悪意のある動作を検出できるようにします。デフォルトは [オン] です。
    • Google Appsを有効化: ユーザーがGoogle Mobile Servicesからデバイスにアプリをダウンロードできるようにします。デフォルトは [オン] です。
    • Google Play非対応アプリを許可: Google Play以外のストアからアプリをインストールできるようにします。デフォルトは [オフ] です。
    • ユーザーにアプリケーション設定の制御を許可: ユーザーがアプリのアンインストール、アプリの無効化、キャッシュやデータの消去、アプリの強制停止、デフォルト値のクリアをできるようにします。ユーザーは、設定アプリからこれらのアクションを実行します。デフォルトは [オフ] です。
    • アプリのアンインストールを許可: ユーザーが管理対象のGoogle Playストア内からアプリをアンインストールできるようにします。デフォルトは [オフ] です。
  • 完全管理対象デバイスのみ

    • ユーザーの追加を許可: ユーザーがデバイスに新しいユーザーを追加できるようにします。デフォルトは [オン] です。
    • データローミングを許可: ユーザーがローミング中に携帯データネットワークを使用できるようにします。デフォルトは[オフ]で、ユーザーのデバイスでローミングが無効になっています。デフォルトは [オフ] です。
    • SMSを許可: ユーザーがSMSメッセージを送受信できるようにします。デフォルトは [オフ] です。
    • ステータスバーの使用を許可: [オン] に設定すると、管理対象デバイスおよび専用デバイス(COSUデバイス)上でステータスバーが有効になります。この設定により、通知、クイック設定、その他の画面オーバーレイで全画面モードから移動することができなくなります。ユーザーはシステム設定に移動して通知を表示できます。Android 6.0以降の場合、デフォルトは [オフ] です。
    • Bluetoothを許可: ユーザーがBluetoothを使用できるようにします。デフォルトは [オン] です。
      • Bluetooth共有を許可: オフになっている場合、ユーザーはデバイスで送信によるBluetooth共有を確立できません。デフォルトではオンになっています。
    • 日付と時刻の構成を許可: ユーザーがデバイスの日付と時刻を変更できるようにします。デフォルトは [オン] です。
    • 工場出荷時リセットを許可: ユーザーがデバイスを出荷時の設定に戻すことができるようにします。デフォルトは [オン] です。
    • デバイス画面を有効なまま維持する: この設定を [オン] に設定すると、デバイスを接続してもデバイス画面はオンのままです。デフォルトは [オフ] です。
    • USB大容量ストレージを許可: USB接続上で、ユーザーのデバイスとコンピューター間で大容量のデータファイルを転送できるようにします。デフォルトは [オン] です。
    • マイクを許可: ユーザーがデバイスでマイクを使用できるようにします。デフォルトは [オン] です。
    • テザリングを許可: ユーザーがポータブルホットスポットとテザリングデータを構成できるようにします。デフォルトは [オフ] です。この設定をオンにすると、Samsungデバイスで以下の設定を使用できます:
    • Keyguardがデバイスをロックしないようにする: [オン]の場合、この設定により管理対象デバイスおよび専用デバイス(COSUデバイス)のロック画面でKeyguardが無効になります。デフォルトは [オフ] です。
    • Wi-Fiの変更を許可: [オン] 場合、ユーザーはWi-Fiをオンまたはオフにして、Wi-Fiネットワークに接続できます。デフォルトは [オン] です。
    • ファイル転送を許可: USB上でファイル転送できるようにします。デフォルトは [オフ] です。
  • Samsung

    • TIMAキーストアを有効化: TIMA KeyStoreは、対称キーのTrustZoneベースのセキュアなキーストレージを提供します。RSAキーペアと証明書は、ストレージのデフォルトのキーストアプロバイダーを経由します。デフォルトは [オフ] です。
    • 共有一覧を許可: ユーザーがShare Viaの一覧にあるアプリ間でコンテンツを共有できるようにします。デフォルトは [オン] です。
    • 監査ログを有効化: デバイスのフォレンジック解析用イベント監査ログの作成を有効にします。デフォルトは [オフ] です。
  • Samsung:完全管理対象デバイスのみ

    • ODE信頼済み起動検証を有効化: ODE信頼済みブート検証を使って、ブートローダーからシステムイメージへの信頼のチェーンを確立します。デフォルトは [オン] です。
    • 緊急電話のみを許可: ユーザーがデバイスで緊急電話のみモードを有効にできるようにします。デフォルトは [オフ] です。
    • ファームウェアリカバリを許可: ユーザーがデバイスでファームウェアを復元できるようにします。デフォルトは [オン] です。
    • 高速暗号化を許可: 使用済みのメモリ領域のみ暗号化を許可します。この暗号化は、すべてのデータを暗号化するフルディスク暗号化とは対照的な方法です。このデータには設定、アプリケーションデータ、ダウンロードしたファイルおよびアプリケーション、メディア、およびその他のファイルが含まれます。デフォルトは [オン] です。
    • 情報セキュリティ国際評価基準(Common Criteria)モードを有効化: デバイスを情報セキュリティ国際評価基準モードにします。Common Criteria構成は、厳重なセキュリティプロセスを遂行します。デフォルトは [オン] です。
    • 再起動バナーを有効化: ユーザーのデバイスが再起動されたときに、DoD承認システム使用通知メッセージまたはバナーを表示します。デフォルトは [オフ] です。
    • 設定の変更を許可: ユーザーが完全管理対象デバイスの設定を変更できるようにします。デフォルトは [オン] です。
    • バックグラウンドデータの使用を有効化: アプリがバックグラウンドでデータを同期できるようにします。完全管理対象デバイス向けの設定です。デフォルトは [オン] です。
    • クリップボードを許可: ユーザーがデバイスでデータをクリップボードにコピーできるようにします。デフォルトは [オン] です。
      • クリップボード共有を許可: ユーザーが自分のデバイスとコンピューター間でクリップボードのコンテンツを共有できるようにします(MDM 4.0以降)。
    • ホームキーを許可: ユーザーが完全管理対象デバイスでHomeキーを使用できるようにします。デフォルトは [オン] です。
    • 疑似ロケーションを許可: ユーザーがGPSの場所を偽装できるようにします。完全に管理されているデバイス用の設定です。デフォルトは [オフ] です。
    • NFC: ユーザーが完全に管理されたデバイスでNFCを使用できるようにします(MDM 3.0以降)。デフォルトは [オン] です。
    • 電源オフを許可: ユーザーが完全管理対象デバイスの電源を切れるようにします(MDM 3.0以降)。デフォルトは [オン] です。
    • Wi-Fiダイレクトを許可: ユーザーがWi-Fi接続を介して、ほかのデバイスに直接接続できるようにします。デフォルトは [オン] です。[オン] の場合、[Wi-Fiの変更を許可] 設定を有効にする必要があります。
    • SDカードを許可: ユーザーが、可能な場合にはデバイスでSDカードを使用できるようにします。デフォルトは [オン] です。
    • USBホストストレージを許可: USBデバイスがユーザーのデバイスに接続されたとき、ユーザーのデバイスがUSBホストとして機能するようにできます。これにより、ユーザーのデバイスがUSBデバイスに電源を供給します。デフォルトは [オン] です。
    • 音声ダイヤラーを許可: ユーザーがデバイスで音声ダイヤラーを使用できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
    • S Beamを許可: ユーザーがNFCやWi-Fi Directを使ってほかのユーザーとコンテンツを共有できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
    • S Voiceを許可: ユーザーがデバイスでインテリジェントパーソナルアシスタントおよびナレッジナビゲーターを使用できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
    • USBテザリングを許可: ユーザーが、USB接続を使ってモバイルデータ接続をほかのデバイスと共有できるようにします。デフォルトは [オフ] です。[オン] の場合、[テザリングを許可] 設定も [オン] にする必要があります。
    • Bluetoothテザリングを許可: ユーザーが、Bluetooth接続を使ってモバイルデータ接続をほかのデバイスと共有できるようにします。デフォルトは [オフ] です。[オン] の場合、[テザリングを許可] 設定も [オン] にする必要があります。
    • Wi-Fiテザリングを許可: ユーザーが、Wi-Fi接続を使ってモバイルデータ接続をほかのデバイスと共有できるようにします。デフォルトは [オフ] です。[オン] の場合、[テザリングを許可] 設定も [オン] にする必要があります。
    • 受信MMSを許可: ユーザーがMMS(Microsoftメディアストリーミング)メッセージを受信できるようにします。デフォルトは [オフ] です。[オン] の場合、[SMSを許可] 設定をオンにする必要があります。
    • 送信MMSを許可: ユーザーがMMS(Microsoftメディアストリーミング)メッセージを送信できるようにします。デフォルトは [オフ] です。[オン] の場合、[SMSを許可] 設定をオンにする必要があります。
    • 受信SMSを許可: ユーザーがSMSメッセージを受信できるようにします。デフォルトは [オフ] です。[オン] の場合、[SMSを許可] 設定をオンにする必要があります。
    • 送信SMSを許可: ユーザーがSMSメッセージを送信できるようにします。デフォルトは [オフ] です。[オン] の場合、[SMSを許可] 設定をオンにする必要があります。
    • モバイルネットワークを構成: ユーザーが携帯データネットワーク接続を使用できるようにします。デフォルトは [オフ] です。
    • 日単位で制限(MB): ユーザーが一日に使用できるモバイルデータのMB数を入力します。デフォルトは0で、この機能が無効になっています(MDM 4.0以降)。
    • 週単位で制限 (MB): ユーザーが一週間に使用できるモバイルデータのMB数を入力します。デフォルトは0で、この機能が無効になっています(MDM 4.0以降)。
    • 月単位で制限 (MB): ユーザーが1か月に使用できるモバイルデータのMB数を入力します。デフォルトは0で、この機能が無効になっています(MDM 4.0以降)。
    • セキュリティで保護されたVPN接続のみを許可: ユーザーがセキュリティで保護された接続のみを使用できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
    • オーディオ録音を許可: ユーザーがデバイスでオーディオを録音できるようにします(MDM 4.0以降)。デフォルトは [オン] です。[オン] の場合、[マイクを許可] 設定をオンにする必要があります。
    • ビデオ録画を許可: ユーザーがデバイスでビデオを録画できるようにします(MDM 4.0以降)。デフォルトは [オフ] です。[オン] の場合、[カメラの使用を許可] 設定をオンにする必要があります。
    • ローミング時のプッシュメッセージを許可: ユーザーが携帯データネットワークを使用してプッシュできるようにします。デフォルトは [オフ] です。[オン] の場合、[データローミングを許可] 設定を有効にする必要があります。
    • ローミング時に自動同期を許可: ユーザーが携帯データネットワークを使用して同期できるようにします。デフォルトは [オフ] です。[オン] の場合、[データローミングを許可] 設定を有効にする必要があります。
    • ローミング時に音声通話を許可: ユーザーが音声通話に携帯データネットワークを使用できるようにします。デフォルトは [オフ] です。[オン] の場合、[データローミングを許可] 設定を有効にする必要があります。
  • Samsung:Knoxコンテナ/完全管理対象デバイス

    • 失効チェックを有効化: 失効した証明書のチェックを有効にします。デフォルトは [オフ] です。
  • Samsung:Knoxコンテナのみ

    • コンテナにアプリを移動: ユーザーが、Knoxコンテナとデバイス上の個人的領域間でアプリを移動できるようにします。デフォルトは [オン] です。
    • 多要素認証を強制: ユーザーがデバイスを開く際に、指紋のほかにパスワードやPINなどの別の認証方式を使用する必要があるようにします。デフォルトは [オン] です。
    • コンテナ認証を強制: デバイスのロック解除に使用された方法とは異なる認証方法を使用して、Knoxコンテナを開きます。デフォルトは [オン] です。
    • セキュリティで保護されたキーパッドを有効化: Knoxコンテナ内部のセキュリティで保護されたキーボードを強制的にユーザーに使用させます。デフォルトは [オン] です。

Android for Workspace(プレビュー)の設定

  • セキュリティ

    • アカウント管理を許可: 仕事用プロファイルおよび管理対象デバイスでアカウントを追加できるようにします。デフォルトは [オフ] です。
    • スクリーンショットを許可: ユーザーがデバイス画面のスクリーンショットを取得できるかどうかを指定します。デフォルトは [オフ] です。
    • カメラの使用を許可: ユーザーがデバイスのカメラで写真やビデオを撮ることができます。デフォルトは [オフ] です。
    • VPN構成を許可: ユーザーがVPN構成を作成できるようにします。Android 6以降を実行する仕事用プロファイルデバイスおよび完全に管理されているデバイス向けです。デフォルトは [オン] です。
    • 位置情報の共有を許可: 位置情報を共有できるようにします。管理対象プロファイルの場合、デバイス所有者は設定を上書きできます。デフォルトは [オフ] です。
    • ユーザーにユーザー資格情報の構成を許可: ユーザーが管理対象のキーストアで認証情報を設定できるかどうかを指定します。デフォルトは [オン] です。
    • USBデバッグを許可: デフォルトは [オフ] です。
  • アプリ

    • Google Play非対応アプリを許可: Google Play以外のストアからアプリをインストールできるようにします。デフォルトは [オフ] です。
    • アプリケーションを無効化: 指定したアプリの一覧がデバイス上で実行されるのを禁止します。デフォルトは [オフ] です。インストールされているアプリを無効にするには、設定を [オン] に変更し、[アプリケーション一覧] 表で [追加] をクリックします。
      • アプリ一覧: 禁止するアプリの一覧。[アプリケーションを無効にする][オン] に設定してアプリを追加し、アプリのパッケージ名を入力します。アプリ一覧を変更して展開すると、以前のアプリ一覧が上書きされます。例:com.example1とcom.example2を無効にしてから、アプリ一覧の内容をcom.example1とcom.example3に変更すると、com.example.2が有効になります。
    • アプリの検証を有効化: OSがアプリをスキャンして悪意のある動作を検出できるようにします。デフォルトは [オン] です。
  • BYOD/仕事用プロファイル

    • デバイスの連絡先で仕事用プロファイルの連絡先を許可: 着信時に、管理対象のAndroid Enterpriseプロファイルの連絡先を親プロファイルに表示します(Android 7.0以降)。デフォルトは [オフ] です。

Samsung SAFEの設定

デバイスポリシー構成画面

Samsung SAFEでAndroid Enterpriseを使用する場合は、Android Enterpriseプラットフォームページで制限を構成します。一部のオプションについては、特定のSamsung Mobile Device Management APIの元でのみ使用できます。該当するオプションには、関連するバージョン情報が記されています。

  • ハードウェアの制御を許可
    • ODE信頼済み起動検証を有効化: ODE信頼済みブート検証を使って、ブートローダーからシステムイメージへの信頼のチェーンを確立します。
    • 開発モードを許可: ユーザーがデバイスで開発者設定を有効にできるようにします。
    • 緊急電話のみを許可: ユーザーがデバイスで緊急電話のみモードを有効にできるようにします。
    • ファームウェアリカバリを許可: ユーザーがデバイスでファームウェアを復元できるようにします。
    • 高速暗号化を許可: 使用済みのメモリ領域のみ暗号化を許可します。この設定は、すべてのデータを暗号化するフルディスク暗号化とは対照的な方法です。このデータには設定、アプリケーションデータ、ダウンロードしたファイルおよびアプリケーション、メディア、およびその他のファイルが含まれます。
    • 情報セキュリティ国際評価基準(Common Criteria)モードを有効化: デバイスを情報セキュリティ国際評価基準モードにします。Common Criteria構成は、厳重なセキュリティプロセスを遂行します。
    • 工場出荷時リセットを許可: ユーザーがデバイスを出荷時の設定に戻すことができるようにします。
    • 日付と時刻の構成を許可: ユーザーがデバイスの日付と時刻を変更できるようにします。
    • 再起動バナーを有効化: ユーザーのデバイスが再起動されたときに、DoD承認システム使用通知メッセージまたはバナーを表示します。
    • 設定の変更を許可: ユーザーがデバイスの設定を変更できるようにします。
    • バックアップサービスを許可: ユーザーがデバイス上にアプリケーションやシステムデータをバックアップできるようにします。
    • 無線アップグレード: ユーザーのデバイスでソフトウェアの更新プログラムをワイヤレスで受信できるようにします(MDM 3.0以降)。
    • バックグラウンドデータの使用を許可: アプリがバックグラウンドでデータを同期できるようにします。
    • カメラ: ユーザーがデバイスでカメラを使用できるようにします。
    • クリップボードを許可: ユーザーがデバイスでデータをクリップボードにコピーできるようにします。
      • クリップボード共有を許可: ユーザーが自分のデバイスとコンピューター間でクリップボードのコンテンツを共有できるようにします(MDM 4.0以降)。
    • ホームキーを許可: ユーザーがデバイスでHomeキーを使用できるようにします。
    • マイクを許可: ユーザーがデバイスでマイクを使用できるようにします。
    • 疑似ロケーションを許可: ユーザーがGPSの場所を偽装できるようにします。
    • NFC: ユーザーがデバイスでNFCを使用できるようにします(MDM 3.0以降)。
    • 電源オフを許可: ユーザーがデバイスの電源を切れるようにします(MDM 3.0以降)。
    • スクリーンショット: ユーザーがデバイスでスクリーンショットを撮れるようにします。
    • SDカードを許可: ユーザーが、可能な場合にはデバイスでSDカードを使用できるようにします。
    • 音声ダイヤラーを許可: ユーザーがデバイスで音声ダイヤラーを使用できるようにします(MDM 4.0以降)。
    • S Beamを許可: ユーザーがNFCやWi-Fi Directを使ってほかのユーザーとコンテンツを共有できるようにします(MDM 4.0以降)。
    • S Voiceを許可: ユーザーがデバイスでインテリジェントパーソナルアシスタントおよびナレッジナビゲーターを使用できるようにします(MDM 4.0以降)。
    • ユーザーの追加を許可: ユーザーがデバイスに新しいユーザーを追加できるようにします。デフォルトは [オン] です。
  • アプリを許可
    • 顔認識: ユーザーが顔認識アプリを使用できるようにします。デフォルトは [オン] です。
    • ブラウザー: ユーザーがWebブラウザーを使用できるようにします。
    • YouTube: ユーザーがYouTubeへアクセスできるようにします。
    • Google Play/Marketplace: ユーザーがGoogle PlayやGoogle Apps Marketplaceにアクセスできるようにします。
    • Google Play非対応アプリを許可: ユーザーがGoogle PlayやGoogle Apps Marketplace以外のサイトからアプリをダウンロードできるようにします。[オン] の場合、ユーザーはデバイスのセキュリティ設定を使用して、不明な情報源からのアプリを信頼できます。
    • システムアプリを強制停止: ユーザーが事前にインストール済みのシステムアプリを無効にできるようにします(MDM 4.0以降)。
    • アプリケーションを無効化: [オン] の場合、指定した一覧のアプリがSamsung SAFEデバイスで実行されないようにブロックされます。インストールされているアプリを無効にするには、設定を [オン] に変更し、[アプリケーション一覧] 表で [追加] をクリックします。
      • アプリ一覧: 禁止するアプリの一覧。[アプリケーションを無効にする][オン] に設定してアプリを追加し、アプリのパッケージ名を入力します。アプリ一覧を変更して展開すると、以前のアプリ一覧が上書きされます。例:com.example1とcom.example2を無効にしてから、アプリ一覧の内容をcom.example1とcom.example3に変更すると、com.example.2が有効になります。
  • ネットワーク
    • 受信MMSを許可: ユーザーがMMS(Microsoftメディアストリーミング)メッセージを受信できるようにします。
    • 受信SMSを許可: ユーザーがSMSメッセージを受信できるようにします。
    • 送信MMSを許可: ユーザーがMMS(Microsoftメディアストリーミング)メッセージを送信できるようにします。
    • 送信SMSを許可: ユーザーがSMSメッセージを送信できるようにします。
    • VPN構成を許可: ユーザーがVPN構成を作成できるようにします。Android 6以降を実行する仕事用プロファイルデバイスおよび完全に管理されているデバイス向けです。デフォルトは [オン] です。
    • Bluetoothを許可: ユーザーがBluetoothを使用できるようにします。
      • Bluetoothテザリング: ユーザーが、Bluetooth接続を使ってモバイルデータ接続をほかのデバイスと共有できるようにします。
    • Wi-Fi: ユーザーがWi-Fiネットワークに接続できるようにします。
      • Wi-Fiテザリング: ユーザーが、Wi-Fi接続を使ってモバイルデータ接続をほかのデバイスと共有できるようにします。
      • 直接: ユーザーがWi-Fi接続を介して、ほかのデバイスに直接接続できるようにします(MDM 4.0以降)。
      • 状態の変更: アプリでWi-Fi接続の状態を変更できるようにします。
    • テザリングを許可: ユーザーが、モバイルデータ接続をほかのデバイスと共有できるようにします。
    • モバイルネットワークの構成を許可: ユーザーが携帯データネットワーク接続を使用できるようにします。
    • ローミングを許可: ユーザーがローミング中に携帯ネットワークデータを使用できるようにします。デフォルトは[オフ]で、ユーザーのデバイスでローミングが無効になっています。
    • セキュリティで保護されたVPN接続のみを許可: ユーザーがセキュリティで保護された接続のみを使用できるようにします(MDM 4.0以降)。
    • NFCを許可: 近距離無線通信(NFC:Near Field Communication)を使用して、ユーザーが手元のデバイスから他のデバイスにWebページ、写真、ビデオなどのコンテンツを送信できるようにします(MDM 4.0以降)。
    • オーディオ録音を許可: ユーザーがデバイスでオーディオを録音できるようにします(MDM 4.0以降)。
    • ビデオ録画を許可: ユーザーがデバイスでビデオを録画できるようにします(MDM 4.0以降)。
    • 位置情報サービス: ユーザーがデバイスでGPSをオンにできるようにします。
    • 日単位で制限(MB): ユーザーが一日に使用できるモバイルデータのMB数を入力します。デフォルトは0で、この機能が無効になっています(MDM 4.0以降)。
    • 週単位で制限 (MB): ユーザーが一週間に使用できるモバイルデータのMB数を入力します。デフォルトは0で、この機能が無効になっています(MDM 4.0以降)。
    • 月単位で制限 (MB): ユーザーが1か月に使用できるモバイルデータのMB数を入力します。デフォルトは0で、この機能が無効になっています(MDM 4.0以降)。
  • USB操作を許可: ユーザーのデバイスとコンピューター間でUSB接続を可能にします。
    • USBデバッグを許可: USB上でのデバッグを可能にします。
    • USBホストストレージを許可: USBデバイスがユーザーのデバイスに接続されたとき、ユーザーのデバイスがUSBホストとして機能するようにできます。これにより、ユーザーのデバイスがUSBデバイスに電源を供給します。
    • USB大容量ストレージを許可: USB接続上で、ユーザーのデバイスとコンピューター間で大容量のデータファイルを転送できるようにします。
    • ファイル転送を許可: USB上でファイル転送できるようにします。デフォルトは [オフ] です。
    • USB: USB上でのデバッグを可能にします。
  • ポリシー設定
    • ポリシーの削除: ポリシーの削除をスケジュール設定する方法を選択します。利用可能なオプションは、[日付を選択][削除までの期間(時間)を指定] です。
      • 日付を選択: カレンダーをクリックして削除を実行する特定の日付を選択します。
      • 削除までの期間(時間)を指定: ポリシーが削除されるまでの時間単位の数値を入力します。
    • ユーザーにポリシーの削除を許可: ユーザーがデバイスからポリシーを削除できるタイミングを選択できます。メニューで [常に][パスコードが必要です] または [許可しない] を選択します。[パスコードが必要です] を選択する場合、[削除のパスコード] フィールドに入力します
    • プロファイル対策: このポリシーを [ユーザー] または [システム] 全体に適用するかを選択します。デフォルトは [ユーザー] です。このオプションはmacOS 10.7以降でのみ使用できます。

Samsung Knoxの設定

デバイスポリシー構成画面

デバイスポリシー構成画面

Samsung KnoxでAndroid Enterpriseを使用する場合は、Android Enterpriseプラットフォームページで制限を構成します。これらのオプションは、Samsung Knox Premium(最小バージョンはKnox 2.0)でのみ使用できます。

  • カメラの使用を許可: ユーザーがデバイスでカメラを使用できるようにします。
  • 失効チェックを有効化: 失効した証明書のチェックを有効にします。
  • コンテナにアプリを移動: ユーザーに、Knoxコンテナとデバイス上の個人的領域間でアプリを移動できるようにします。
  • 多要素認証を強制: ユーザーがデバイスを開く際に、指紋のほかにパスワードやPINなどの別の認証方式を使用する必要があるようにします。
  • TIMAキーストアを有効化: TIMA KeyStoreは、対称キーのTrustZoneベースのセキュアなキーストレージを提供します。RSAキーペアと証明書は、ストレージのデフォルトのキーストアプロバイダーを経由します。
  • コンテナ認証を強制: デバイスのロック解除に使用された方法とは異なる認証方法を使用して、Knoxコンテナを開きます。
  • 共有一覧を許可: ユーザーがShare Viaの一覧にあるアプリ間でコンテンツを共有できるようにします。
  • 監査ログを有効化: デバイスのフォレンジック解析用イベント監査ログの作成を有効にします。
  • セキュリティで保護されたキーパッドを有効化: Knoxコンテナ内部のセキュリティで保護されたキーボードを強制的にユーザーに使用させます。
  • Google Appsを有効化: ユーザーがGoogle Mobile ServicesからKnoxコンテナにアプリをダウンロードできるようにします。
  • 認証スマートカードブラウザー: スマートカードリーダーが装備されているデバイスでブラウザー認証を有効にします。
  • Samsung DeXを有効化: サポート対象のKnox対応デバイスを有効にして、Samsung DeXモードで実行します。Samsung Knox 3.1(最小バージョン)が必要です。デフォルトは [オン] です。Samsung DeXのデバイス要件とSamsung DeXの設定については、「Samsung DeXの機能」を参照してください。
    • Dexモードでのみイーサネットを許可: Samsung DeXモードでイーサネットの使用を有効にします。携帯データネットワーク、Wi-Fi、テザリング(Wi-Fi、Bluetooth、USB)は、DeXモードで制限されています。
    • Dexロゴ画像のアップロード: この設定を選択して、.png画像をSamsung DeXのアイコンとして使用するよう指定します。
  • DeX画面のタイムアウト(秒): DeX画面がオフになるまでのアイドル時間を秒単位で指定します。タイムアウトを無効にするには、0に設定します。デフォルトは1,200秒(20分)です。
  • Samsung DeXでアプリのショートカットを追加: アプリのパッケージ名を指定して、アプリのショートカットをDeXに追加できるようにします。アプリのパッケージ名を検索するには、Google Playに移動してアプリを選択します。URLは、パッケージ名を含みます:https://play.google.com/store/apps/details?id=<package.name>
  • Samsung DeXでアプリのショートカットを削除: アプリのパッケージ名を指定して、DeXからショートカットを削除できるようにします。アプリのパッケージ名を検索するには、Google Playに移動します。
  • Samsung DeXで無効にするアプリパッケージ: Samsung DeXモードからの使用を禁止するアプリパッケージの一覧をコンマ区切りで指定します。例:"com.android.chrome", "com.google.android.gm"

Windows PhoneおよびWindowsデスクトップ/タブレットの設定

デバイスポリシー構成画面

  • Wi-Fi設定
    • Wi-Fiを許可: デバイスをWi-Fiネットワークに接続できるようにします。Windows Phoneのみ。
    • インターネット共有を許可: Wi-Fiホットスポットに切り替えてデバイスがインターネット接続をほかのデバイスと共有できるようにします。
    • Wi-Fiセンサーホットスポットへの自動接続を許可: デバイスがWi-Fiセンサーホットスポットに自動で接続できるようにします。このオプションを実行するには、位置情報サービスを有効にする必要があります。Wi-Fiセンサーについて詳しくは、Microsoft社のドキュメントを参照してください。
    • 手動構成を許可: ユーザーがWi-Fi接続を手動で構成できるようにします。Windows Phoneのみ。
  • 接続
    • NFCを許可: デバイスがNFCタグまたはほかのNFC対応送信デバイスと通信できるようにします。Windows Phoneのみ。
    • Bluetoothを許可: デバイスがBluetoothを介して接続できるようにします。
    • 携帯ネットワーク経由のVPNを許可: デバイスがVPN上で携帯ネットワークと接続できるようにします。
    • ローミング時の携帯ネットワーク経由のVPNを許可: デバイスが携帯ネットワーク上をローミングしたら、デバイスがVPN上で接続できるようにします。
    • USB接続を許可: デスクトップがUSB接続を介してデバイスのストレージにアクセスできるようにします。Windows Phoneのみ。
    • 携帯ネットワークデータのローミングを許可: ローミングの間にユーザーが携帯データネットワークを使えるようにします。
  • Accounts
    • Microsoftアカウントの接続を許可: デバイスが、非メール関連の接続認証とサービスにMicrosoftアカウントを使用できるようにします。
    • Microsoft以外のメールを許可: ユーザーがMicrosoft以外のメールアカウントを追加できるようにします。
  • 検索: Windows Phoneのみ。
    • 場所を使用する検索を許可: 検索で、デバイスの位置情報サービスを使用できるようにします。
    • アダルトコンテンツをフィルター: アダルトコンテンツを許可します。デフォルトは [オフ] で、アダルトコンテンツはフィルターされません。
    • Bing Visionでイメージの格納を許可: Bing Vision検索を実行するときに、Bing Visionがキャプチャされたイメージを格納できるようにします。
  • システム
    • ストレージカードを許可: デバイスでストレージカードの使用を許可します。
    • テレメトリ: 一覧で、デバイスによる利用統計情報の送信を許可または制限するオプションをクリックします。デフォルトは [許可] です。そのほかのオプションには、[許可しない] および [許可(セカンダリデータ要求を除く)] があります。
    • 位置情報サービスを許可: 位置情報サービスを有効にします。
    • 内部ビルドのプレビューを許可: ユーザーがMicrosoft内部ビルドをプレビューできるようにします。
  • カメラ: Windowsデスクトップ/タブレットのみ
    • カメラの使用を許可: ユーザーがデバイスのカメラを使用できるようにします。
  • Bluetooth: Windowsデスクトップ/タブレットのみ
    • 検出可能モードを許可: Bluetoothデバイスがローカルデバイスを検出できるようにします。
    • ローカルデバイス名: ローカルデバイスの名前。
  • セキュリティ: Windows Phoneのみ
    • ルート証明書の手動インストールを許可: ユーザーがルート証明書を手動でインストールできるようにします。
    • デバイスの暗号化を必須とする: デバイス暗号化を求めます。デバイスで暗号化が有効になった後に、無効にすることはできません。デフォルトは [オフ] です。
    • コピーと貼り付けを許可: ユーザーがデバイスでデータをコピーおよび貼り付けできるようにします。
    • スクリーンキャプチャを許可: ユーザーがデバイスで画面キャプチャを作成できるようにします。
    • 音声の録音を許可: ユーザーがデバイスで音声録音を使用できるようにします。
    • Officeファイルの[名前を付けて保存]を許可: ユーザーがOfficeファイルを[名前を付けて保存]を使用して保存できるようにします。
    • アクションセンターの通知を許可: デバイスのロック画面で、アクションセンターの通知を有効にします。
    • Cortanaを許可: ユーザーがCortanaのインテリジェントパーソナルアシスタントおよびナレッジナビゲーターにアクセスできるようにします。
    • デバイス設定の同期を許可: ユーザーがローミング時にWindows Phone 8.1デバイス間で設定を同期できるようにします。
  • 操作性: Windowsデスクトップ/タブレットのみ
    • Cortanaを許可: ユーザーがCortanaのインテリジェントパーソナルアシスタントおよびナレッジナビゲーターにアクセスできるようにします。
    • デバイスの検出を許可: デバイスのネットワーク検出を有効にします。
    • 手動のMDM登録解除を許可: ユーザーがEndpoint Management MDMから手動でデバイスの登録を解除できるようにします。
    • デバイス設定の同期を許可: ユーザーがローミング時にWindows 10およびWindows 11デバイス間で設定を同期できるようにします。
  • ロック例外: Windowsデスクトップ/タブレットのみ
    • トーストを許可: ロック画面でトースト通知を許可します。Windowsデスクトップ/タブレットのみ
  • アプリ
    • ストアへのアクセスを許可: ユーザーがMicrosoftストアにアクセスできるようにします。Windows Phoneのみ。
    • 開発者によるデバイスのロック解除を許可: ユーザーがMicrosoftにデバイスを登録し、Windows Phoneアプリストアにはないアプリケーションを開発またはインストールできるようにします。Windows Phoneのみ。
    • Webブラウザーアクセスを許可: デバイス上でInternet Explorerを使用できるようにします。Windows Phoneのみ。
    • Appstoreの自動更新を許可: アプリストアによるアプリの自動更新を許可します。Windowsデスクトップ/タブレットのみ。
  • プライバシー: Windowsデスクトップ/タブレットのみ
    • 入力の個人設定を許可: 入力の個人設定サービスの実行を許可します。ペンやタッチキーボードなどでユーザーが入力した内容をベースに、予測変換の精度を向上します。
  • 設定: Windowsデスクトップ/タブレットのみ。
    • 自動再生を許可: ユーザーが自動再生設定を変更できるようにします。
    • データセンターを許可: ユーザーがデータセンサー設定を変更できるようにします。
    • 日付/時刻を許可: ユーザーが日付/時刻設定を変更できるようにします。
    • 言語を許可: ユーザーが言語設定を変更できるようにします。
    • 電源スリープを許可: ユーザーが電源設定およびスリープ設定を変更できるようにします。
    • リージョンを許可: ユーザーがリージョン設定を変更できるようにします。
    • サインインオプションを許可: ユーザーがサインイン設定を変更できるようにします。
    • ワークプレースを許可: ユーザーがワークプレース設定を変更できるようにします。
    • アカウントを許可: ユーザーがアカウント設定を変更できるようにします。

Amazonの設定

デバイスポリシー構成画面

  • ハードウェアの制御を許可
    • 工場出荷時リセット: ユーザーがデバイスを出荷時の設定に戻すことができるようにします。
    • プロファイル: ユーザーがデバイスでハードウェアプロファイルを変更できるようにします。
  • アプリを許可
    • Amazonアプリストア非対応アプリを許可: ユーザーがAmazonアプリストアに対応していないアプリをデバイスにインストールできるようにします。
    • ソーシャルネットワーク: ユーザーがデバイスからソーシャルネットワークにアクセスできるようにします。
  • ネットワーク
    • Bluetooth: ユーザーがBluetoothを使用できるようにします。
    • Wi-Fiスイッチ: アプリでWi-Fi接続の状態を変更できるようにします。
    • Wi-Fi設定: ユーザーがWi-Fi設定を変更できるようにします。
    • モバイルネットワークを構成: ユーザーが携帯データネットワーク接続を使用できるようにします。
    • ローミングデータ: ローミングの間にユーザーが携帯データネットワークを使えるようにします。
    • 位置情報サービス: ユーザーがGPSを使用できるようにします。
  • USB操作:
    • デバッグ: デバッグのためユーザーのデバイスがUSBを介してコンピューターに接続できるようにします。

Chrome OSの設定

ユーザーポリシー

デバイスポリシーのユーザーポリシー構成画面

  • フォームの自動入力を無効化: Chromeブラウザーの自動入力機能を許可するかどうかを選択します。このポリシーを [オン] に設定すると、自動入力機能が無効になります。デフォルトは [オン] です。
  • パスワードの保存を無効化: Chromeブラウザーでパスワードの保存機能を許可するかどうかを選択します。このポリシーを [オン] に設定すると、パスワードの保存機能が無効になります。デフォルトは [オン] です。
  • ページの翻訳を無効化: Chromeブラウザーで別の言語で表示されたWebページの翻訳を許可するかどうかを選択します。このポリシーを [オン] に設定すると、Webページの翻訳が無効になります。デフォルトは [オン] です。
  • 画像をブロックする: ChromeブラウザーでWebページの画像の表示を許可するかどうかを選択します。このポリシーを[オン]に設定すると、ChromeブラウザーでWebページの画像が表示されなくなります。デフォルトは [オフ] です。
  • シークレットモードを無効にする: [オン] にすると、Chrome OSデバイスユーザーはChromeでシークレットウィンドウを開けなくなります。Google Workspace Chromeの構成が必要です。デフォルトは [オン] です。
  • 閲覧履歴の保存を無効にする: [オン] の場合、ユーザーはChrome OSデバイスで閲覧の履歴の保存、この設定の上書き、タブの同期を行えません。Google Workspace Chromeの構成が必要です。デフォルトは [オフ] です。
  • 閲覧およびダウンロードの履歴の削除を無効にする: [オン] の場合、ユーザーはChrome OSデバイスで閲覧履歴とダウンロード履歴を削除できません。ただし、Chromeの履歴の削除を禁止した場合でも、ユーザーは履歴データベースファイルを直接編集したり削除したりできます。このWebブラウザー自体により、任意の時点で履歴項目の一部またはすべてが期限切れになるか、アーカイブされる場合があります。Google Workspace Chromeの構成が必要です。デフォルトは [オフ] です。
  • 印刷を無効にする: [オン] の場合、ユーザーはGoogle Chromeから印刷を行えません。レンチメニュー、拡張機能、Javascriptアプリなどの場所での印刷が無効になります。コンテキストメニューの [印刷] コマンドを使用するFlashアプリなど、Google Chromeを迂回して印刷するプラグインでの印刷は可能です。Google Workspace Chromeの構成が必要です。デフォルトは [オフ] です。
  • セーフブラウジングの警告ページからの移動を無効にします: [オフ] の場合、ユーザーはChrome OSデバイスで警告ページから移動して、悪意のある可能性があるサイトへアクセスできます。Google Workspace Chromeの構成が必要です。デフォルトは [オン] です。
  • セーフブラウジングモード: [オフ] の場合、Googleセーフブラウジングモードを有効にできなくなります。ユーザーは、Chromeの[危険なサイトからユーザーとデバイスを保護する]設定を変更したり、上書きしたりすることはできません。Google Workspace Chromeの構成が必要です。デフォルトは [オン] です。
  • ブックマークバーを有効にする: [オン ] の場合、Chromeでブックマークバーが表示されます。Google Workspace Chromeの構成が必要です。デフォルトは [オン] です。
  • ブックマークバーの編集を無効にする: [オン] の場合、ユーザーはブックマークの追加、更新、削除を行えません。Google Workspace Chromeの構成が必要です。デフォルトは [オン] です。
  • タスクマネージャーのプロセスの終了を無効にする: [オン] の場合、タスクマネージャー[プロセスの終了] ボタンが無効になります。Google Workspace Chromeの構成が必要です。デフォルトは [オン] です。
  • ホームボタンを表示: [オン] にすると、Chromeはブラウザーのホームボタンを表示します。Google Workspace Chromeの構成が必要です。デフォルトは [オン] です。
  • 外部ストレージへのアクセシビリティ: ユーザーがファイルブラウザーで外部ストレージデバイスにアクセスする方法を制御します。Google Workspace Chromeの構成が必要です。以下のオプションがあります:
    • 無効: 外部ストレージにアクセスできません。
    • 読み取り専用: ユーザーは外部ストレージにのみ読み取りアクセスできます。
    • 書き込み専用: ユーザーは外部ストレージにのみ書き込みアクセスできます。

    デフォルトは [無効] です。

  • ウェブサイト:ChromeブラウザーでのWebサイトへのアクセスの制御に、許可リストまたは禁止リストのどちらを使用するかを選択します。[許可リスト] を選択した場合は、許可するURLのリストを指定します。[禁止リスト] を選択した場合は、Google管理コンソールのChromeポリシーの禁止リストに、除外するURLのリストを指定します。特定のフィルターはURLがブロックされているか許可されているかを判断します。許可リストは、禁止リストよりも優先されます。デフォルトは [禁止リスト] です。選択後、[追加] をクリックしてWebサイト一覧を追加します。
  • 拡張機能のソース: 拡張機能、アプリ、テーマのインストールをユーザーに許可するURL一覧を指定します。

デバイスポリシー

デバイスポリシー構成画面

  • ゲストユーザーモードを無効にする: [オン] の場合、ゲストユーザーはChrome OSデバイスにサインオンできなくなります。Google Workspace Chromeの構成が必要です。デフォルトは [オフ] です。
  • シングルサインオンIDPのリダイレクト: [オン] の場合、SAMLベースのシングルサインオンが有効になります。Google Workspace Chromeの構成が必要です。デフォルトは [オン] です。
  • デバイスの状態のレポートを有効にする: [オン] の場合、デバイスはファームウェア、Chromeおよびプラットフォームのバージョン、起動モードなどの現在のデバイスの状態を報告します。Google Workspace Chromeの構成が必要です。デフォルトは [オン] です。
  • 最近のユーザーのレポートを有効にする: [オン] の場合、デバイスは最近デバイスにログオンしたユーザー一覧を報告します。デバイスがローカルユーザーデータをすべて消去するように構成されている場合、レポートはユーザーに送信されません。Google Workspace Chromeの構成が必要です。デフォルトは [オン] です。
  • シングルサインオンCookieの動作: [オン] の場合、ユーザーがSAML資格情報でサインオンするたびに、SAML IdPで設定されたCookieがユーザープロファイルに転送されます。[オフ] の場合、最初のサインオン時にのみCookieが転送されます。Google Workspace Chromeの構成が必要です。デフォルトは [オン] です。
  • App Runtime for Chrome(ARC)を有効にする: [オン] の場合、登録済みのChrome OSデバイスユーザーがAndroidアプリを実行できるようになります。[アプリ制限]デバイスポリシーでARCアプリを指定します。Google Workspace Chromeの構成が必要です。現在のユーザーセッションでエフェメラルモードまたは複数のサインオンが有効な場合、ARCは利用できません。[オフ] の場合、企業のChrome OSデバイスユーザーはAndroidアプリを実行できません。デフォルトは [オン] です。
  • 強制再登録: [オン] の場合、デバイスのワイプ後、以前のGoogle Workspaceドメインへの再登録をデバイスに強制します。Google Workspace Chromeの構成が必要です。デフォルトは [オン] です。
  • デバイス無効メッセージ: 何らかの理由でデバイスが無効になっている場合、このテキストボックスに入力されたメッセージが表示されます。
  • Sign-in autocomplete domain name: ドメイン名(students.school.edu<!--NeedCopy--> など)に設定する場合、ユーザーのサインイン時にChromeがドメイン名でオートコンプリートオプションを表示します。空白のままにした場合、Chromeはドメイン名のオートコンプリートオプションを表示しません。Google Workspace Chromeの構成が必要です。
  • デバイスのタイムゾーン設定:
    • システムのタイムゾーン: Chrome端末のタイムゾーンを選択します。
    • タイムゾーンの検出: タイムゾーンの検出に使用する設定を指定します。Google Workspace Chromeの構成が必要です。
      • ユーザーが決定: Chrome OSデバイスで標準の日付と時刻の設定を使用してポリシーを構成できます。
      • 無効: タイムゾーン情報へのアクセスを拒否します。
      • IPのみ: デバイスのIPアドレスに基づいてタイムゾーンを設定します。
      • Wi-Fiアクセスポイント: ユーザーのWi-Fi接続に基づいてタイムゾーンを設定します。
      • 位置情報を使用: ユーザーの現在地を検出してタイムゾーンを設定します。
  • サインインが許可されたユーザー: メールのサフィックス(*@example.com<!--NeedCopy--> など)に基づいて、Chrome OSデバイスにサインインできるユーザーを制限します。