制限デバイスポリシー

注: アップグレードに新しい制限デバイスポリシーの設定が含まれる場合は、このポリシーを編集して保存する必要があります。アップグレード後の制限デバイスポリシーは、保存するまでEndpoint Managementで展開されません。

制限デバイスポリシーでは、ユーザーデバイスの特定の機能(カメラなど)を許可または制限します。セキュリティ制限とメディアコンテンツ制限を設定できます。ユーザーがインストールできるアプリとインストールできないアプリの種類を制限することもできます。ほとんどの制限設定は、デフォルトでは [オン](許可) に設定されています。例外は、iOSセキュリティの強制機能とすべてのWindowsタブレット機能です。デフォルトで [オフ](制限) に設定されています。

オプションで [オン] を選択した場合、ユーザーが該当する操作を実行、または該当する機能を使用できるようになります。次に例を示します:

  • カメラ[オン] の場合、ユーザーはデバイスでカメラを使用できます。[オフ] の場合、ユーザーはデバイスでカメラを使用できません。
  • スクリーンショット[オン] の場合、ユーザーデバイスでスクリーンショットを撮ることができます。[オフ] の場合、ユーザーデバイスでスクリーンショットを撮ることができません。

Windows 10 RS2 Phone:Internet Explorerを無効にするカスタムXMLポリシーまたは制限ポリシーをスマートフォンに展開しても、Internet Explorerが有効なままです。この問題を解決するには、スマートフォンを再起動します。これはサードパーティ製品の問題です。

制限デバイスポリシーとキオスクデバイスポリシーの両方が構成されている場合は、制限デバイスポリシーが優先されます。

このポリシーを追加または構成するには、[構成]>[デバイスポリシー] の順に選択します。詳しくは、「デバイスポリシー」を参照してください。

iOSの設定

デバイスポリシー構成画面

一部のiOS制限ポリシー設定は、こちらおよびEndpoint Managementコンソールの[制限ポリシー]ページで説明されているように、特定のiOSバージョンにのみ適用されます。

iOS制限ポリシー設定は、デバイスがユーザー登録モード、監視対象外(完全MDM)モード、または監視モードで登録されている場合に適用することができます。次の表に、iOS 13以降の各制限ポリシー設定で使用できる登録モードを示します。

表で述べたように、以前は監視対象外モードと監視モードで使用できた設定の一部は、iOS 13以降では監視モードでのみ使用できます。次のルールが適用されます:

  • iOS 13以上の監視対象デバイスがEndpoint Managementに登録される場合、設定はデバイスに適用されます。
  • iOS 13以上の監視対象外デバイスがEndpoint Managementに登録される場合、設定はデバイスに適用されません。
  • 既にEndpoint Managementに登録されているiOS 12以下のデバイスがiOS 13にアップグレードされる場合、変更はありません。設定は、アップグレード前と同じようにデバイスに適用されます。

iOSデバイスのSupervisedモードへの設定については、「Apple Configuratorを使用してiOSデバイスをSupervisedモードにするには」を参照してください。

設定 ユーザー登録 監視対象外 監視
ハードウェアの制御を許可      
カメラ いいえ はい はい
FaceTime いいえ いいえ(iOS 13の新機能) はい
スクリーンショット はい いいえ はい
クラスルームアプリが生徒の画面をリモートで監視することを許可する いいえ いいえ はい
プロンプトを表示せずにクラスルームアプリがAirPlayと画面表示を実行できるようにする いいえ いいえ はい
フォトストリーム いいえ はい はい
フォトストリームを共有 いいえ はい はい
音声ダイヤル いいえ はい はい
Siri はい はい はい
デバイスのロック中に許可 はい はい はい
Siriの不適切な単語フィルター いいえ いいえ はい
アプリのインストール いいえ いいえ(iOS 13の新機能) はい
ローミング中にグローバルバックグラウンドフェッチを許可する いいえ はい はい
アプリを許可      
iTunesストア いいえ いいえ(iOS 13の新機能) はい
アプリ内課金 いいえ はい はい
購入時にiTunesパスワードを要求 いいえ はい はい
Safari いいえ いいえ(iOS 13の新機能) はい
オートフィル いいえ いいえ(iOS 13の新機能) はい
不正なWebサイトに対する警告を表示 はい はい はい
Javascriptを有効化 いいえ はい はい
ポップアップをブロック いいえ はい はい
Cookieを受け入れる いいえ はい はい
ネットワーク - iCloudの操作を許可      
iCloudドキュメントおよびデータ いいえ いいえ(iOS 13の新機能) はい
iCloudバックアップ いいえ はい はい
iCloudフォトキーチェーン いいえ はい はい
iCloudのフォトライブラリ いいえ はい はい
セキュリティ - 強制      
バックアップを暗号化 はい はい はい
追跡型広告を制限 いいえ はい はい
最初のAirPlayペアリングでパスコードを要求 はい はい はい
手首検出を使用するためのペアリングされたApple Watch はい はい はい
AirDropを使用して管理対象のドキュメントを共有します はい はい はい
セキュリティ - 許可      
信頼されていないSSL証明書の受け入れ いいえ はい はい
証明書信頼設定の自動更新 いいえ はい はい
管理対象アプリから非管理対象アプリへのドキュメントの移動 はい はい はい
非管理対象アプリによる管理対象アカウント連絡先の読み取り いいえ いいえ はい
管理対象アプリによる非管理対象アカウント連絡先への書き込み いいえ いいえ はい
非管理対象アプリから管理対象アプリへのドキュメントの移動 はい はい はい
診断データをAppleに送信 はい はい はい
Touch IDによるデバイスのロック解除 いいえ はい はい
ロック時にPassbook通知を表示 いいえ はい はい
Handoff いいえ はい はい
管理対象アプリのiCloud同期 はい はい はい
エンタープライズブックのバックアップ はい はい はい
エンタープライズブックのメモとハイライトの同期 はい はい はい
Spotlightでインターネット検索結果を表示 いいえ はい はい
エンタープライズアプリケーションを信頼する いいえ はい はい
監視対象のみの設定 - 許可      
すべてのコンテンツと設定を消去 いいえ いいえ はい
制限の構成 いいえ いいえ はい
ポッドキャスト いいえ いいえ はい
構成プロファイルのインストール いいえ いいえ はい
フィンガープリントの変更 いいえ いいえ はい
デバイスからアプリをインストールします いいえ いいえ はい
キーボード ショートカット いいえ いいえ はい
ペアリングされたApple Watch いいえ いいえ はい
パスコードの変更 いいえ いいえ はい
デバイス名の変更 いいえ いいえ はい
壁紙の変更 いいえ いいえ はい
自動的にアプリをダウンロードします いいえ いいえ はい
AirDrop いいえ いいえ はい
iMessage いいえ いいえ はい
Siriにユーザー生成コンテンツを表示 いいえ いいえ はい
iBooks いいえ いいえ はい
アプリの削除 いいえ はい はい
ゲームセンター いいえ いいえ(iOS 13の新機能) はい
友達を追加 いいえ いいえ はい
マルチプレーヤーゲーム いいえ いいえ(iOS 13の新機能) はい
アカウント設定の変更 いいえ いいえ はい
アプリの携帯ネットワークデータ設定の変更 いいえ いいえ はい
アプリの携帯ネットワークデータ設定の変更 いいえ いいえ はい
[友達を探す]設定の変更 いいえ いいえ はい
Configurator以外のホストとのペアリング いいえ いいえ はい
予測キーボード いいえ いいえ はい
キーボード自動修正 いいえ いいえ はい
キーボードスペルチェック いいえ いいえ はい
定義参照 いいえ いいえ はい
単一のアプリバンドルID      
ニュース いいえ いいえ はい
Apple Musicサービス いいえ いいえ はい
iTunesラジオ いいえ いいえ はい
通知の変更 いいえ いいえ はい
アプリ使用の制限 いいえ いいえ はい
診断データの送信の変更 いいえ いいえ はい
Bluetoothの変更 いいえ いいえ はい
ディクテーションを許可 いいえ いいえ はい
WiFiポリシーでインストールされたWiFiネットワークのみに参加する いいえ いいえ はい
プロンプトを表示せずにクラスルームアプリがAirPlayと画面表示を実行できるようにする いいえ いいえ はい
プロンプトを表示せずにクラスルームアプリがアプリとデバイスをロックできるようにする いいえ いいえ はい
プロンプトを表示せずにクラスルームアプリのクラスに自動的に参加する いいえ いいえ はい
AirPrintを許可 いいえ いいえ はい
AirPrint資格情報のキーチェーンへの保存を許可する いいえ いいえ はい
iBeaconを使用したAirPrintプリンターの検出を許可する いいえ いいえ はい
信頼された証明書がある出力先に対してのみAirPrintを許可する いいえ いいえ はい
VPN構成の追加 いいえ いいえ はい
携帯の通信プラン設定の変更 いいえ いいえ はい
システムアプリの削除 いいえ いいえ はい
近くの新しいデバイスをセットアップ いいえ いいえ はい
USB制限モードを許可 いいえ いいえ はい
ソフトウェア更新の延期を強制する いいえ いいえ はい
ソフトウェア更新の強制延期 いいえ いいえ はい
クラスを離れる時の許可の要求を強制する いいえ いいえ はい
自動的な日付と時刻を強制 いいえ いいえ はい
パスワードの自動入力 いいえ いいえ はい
パスワード近接要求 いいえ いいえ はい
パスワード共有 いいえ いいえ はい
セキュリティ - ロック画面に表示      
コントロールセンター はい はい はい
通知 はい はい はい
今日ビュー はい はい はい
メディアコンテンツ - 許可      
不適切な音楽、Podcast、iTunes Uコンテンツ いいえ いいえ(iOS 13の新機能) はい
iBooksの不適切な性的コンテンツ いいえ はい はい
レーティング地域 いいえ はい はい
ムービー いいえ はい はい
テレビ番組 いいえ はい はい
アプリ いいえ はい はい
  • ハードウェアの制御を許可
    • カメラ: ユーザーがデバイスでカメラを使用できるようにします。
      • FaceTime: ユーザーがデバイスでFaceTimeを使用できるようにします。監視対象のiOSデバイス向けです。
    • スクリーンショット: ユーザーがデバイスでスクリーンショットを撮れるようにします。
      • クラスルームアプリが生徒の画面をリモートで監視することを許可する: この制限が選択されていない場合、講師はクラスルームアプリを使用してリモートで生徒の画面を監視することはできません。デフォルト設定が選択されている場合、講師はクラスルームアプリを使用して生徒の画面を監視できます。[プロンプトを表示せずにクラスルーム アプリがAirPlayと画面表示を実行できるようにする] の設定では、講師に権限を与えるためのプロンプトを生徒に表示するかどうかを決めます。監視対象のiOSデバイス向けです。
      • プロンプトを表示せずにクラスルームアプリがAirPlayと画面表示を実行できるようにする: この制限が選択されている場合、講師は生徒のデバイスでAirPlayと画面表示を実行でき、権限を求めるプロンプトは表示されません。デフォルト設定では、選択解除されています。監視対象のiOSデバイス向けです。
    • フォトストリーム: MyPhotoStreamを使い、iCloudを介してすべてのiOSデバイスでユーザーが写真を共有できるようにします。
    • フォトストリームを共有: iCloud Photo Sharingを使い、仕事仲間、友人、および家族とユーザーが写真を共有できるようにします。
    • 音声ダイヤル: ユーザーデバイスで音声ダイヤルを可能にします。
    • Siri: ユーザーがSiriを使用できるようにします。
      • デバイスのロック中に許可: デバイスがロックされている間にユーザーがSiriを使用できるようにします。
      • Siriの不適切な単語フィルター: Siriの不適切な単語フィルターを有効にします。デフォルトではこの機能は制限されており、不適切な言葉はフィルタリングされません。

        Siriとセキュリティについて詳しくは、「Siriとディクテーションのポリシー」を参照してください。

    • アプリのインストール: ユーザーがアプリをインストールできるようにします。監視対象のiOSデバイス向けです。
    • ローミング中にグローバルバックグラウンドフェッチを許可する: デバイスのローミング中にiCloudとのメールアカウントの自動同期を許可するかを設定します。[オフ] の場合、iOSスマートフォンのローミング中はグローバルバックグラウンドフェッチが無効になります。デフォルトは [オン] です。
  • アプリを許可
    • iTunes Store: ユーザーがiTunes Storeへアクセスできるようにします。監視対象のiOSデバイス向けです。
    • アプリ内課金: ユーザーがアプリ内課金で購入できるようにします。
      • 購入時にiTunesパスワードを要求: アプリ内購入時にパスワードを求めます。デフォルトではこの機能は制限されており、アプリ内での購入ではパスワードは必要ありません。
    • Safari: ユーザーがSafariにアクセスできるようにします。監視対象のiOSデバイス向けです。
      • オートフィル: ユーザーがSafariでユーザー名とパスワードの自動入力をセットアップできるようにします。
      • 不正なWebサイトに対する警告を表示: この設定が有効で、ユーザーがフィッシング詐欺の疑いのあるWebサイトにアクセスした場合、Safariはユーザーに警告します。デフォルトではこの機能は制限されており、警告が発せられません。
      • Javascriptを有効化: JavaScriptをSafariで実行できます。
      • ポップアップをブロック: Webサイトの閲覧中にポップアップをブロックします。デフォルトではこの機能は制限されており、ポップアップはブロックされません。
    • Cookieを受け入れる: 許可するcookieを設定します。一覧で、cookieを許可または制限するオプションを選択します。デフォルトのオプションは [常時] で、SafariですべてのWebサイトのcookieの保存を許可します。ほかには、[現在のWebサイトのみ][許可しない]、および [訪問したサイトからのみ] というオプションがあります。
  • ネットワーク - iCloudの操作を許可

    • iCloudドキュメントおよびデータ: ユーザーがドキュメントとデータをiCloudへ同期できるようにします。監視対象のiOSデバイス向けです。
    • iCloudバックアップ: ユーザーがiCloudへデバイスをバックアップできるようにします。
    • iCloudキーチェーン: ユーザーが、iCloudキーチェーンにパスワード、Wi-Fiネットワーク、クレジットカードなどの情報を保存できるようにします。
    • iCloudのフォトライブラリ: ユーザーがiCloudの写真ライブラリにアクセスできるようにします。
  • セキュリティ - 強制

    デフォルトでは次の機能が制限され、有効になっているセキュリティ機能はありません。

    • バックアップを暗号化: 暗号化のためiCloudに強制的にバックアップします。
    • 追跡型広告を制限: ターゲティング広告の追跡をブロックします。
    • 最初のAirPlayペアリングでパスコードを要求: AirPlay対応デバイスでAirPlayを使用する前に、ワンタイムオンスクリーンコードで検証するように求めます。
    • 手首検出を使用するためのペアリングされたApple Watch: 手首検出を使用するためにApple Watchのペアリングを求めます。
    • AirDropを使用して管理対象のドキュメントを共有します: AirDropアクセスは、管理対象オプションです。このオプションを [オン] に設定すると、監視対象デバイスがAirDropを使用して近くのiOSデバイスとデータおよびメディアを共有できるようになります。
  • セキュリティ - 許可

    • 信頼されていないSSL証明書の受け入れ: Webサイトの信頼されていないSSL証明書をユーザーが承認できるようにします。
    • 証明書信頼設定の自動更新: 信頼された機関からの証明書を自動的に更新できます。
    • 管理対象アプリから非管理対象アプリへのドキュメントの移動: ユーザーが、管理されている(企業)アプリから管理されていない(個人)アプリへのデータを移動できるようにします。
    • 非管理対象アプリから管理対象アプリへのドキュメントの移動: ユーザーが管理されていない(個人)アプリから管理されている(企業)アプリへデータを移動できるようにします。
    • 診断データをAppleに送信: ユーザーのデバイスに関する匿名診断データのAppleへの送信を許可します。
    • Touch IDによるデバイスのロック解除: ユーザーがフィンガープリントを使ってデバイスのロックを解除できるようにします。
    • ロック時にPassbook通知を表示: ロック画面でのPassbook通知の表示を許可します。
    • Handoff: ユーザーが、あるiOSデバイスから近くにある別のiOSデバイスへアクティビティを転送できるようにします。
    • 管理対象アプリのiCloud同期: ユーザーが、管理されているアプリをiCloudと同期できるようにします。
    • エンタープライズブックのバックアップ: エンタープライズブックのiCloudへのバックアップを許可します。
    • エンタープライズブックのメモとハイライトの同期: ユーザーがエンタープライズブックに追加したメモやハイライトをiCloudと同期できるようにします。
    • エンタープライズアプリを信頼する: エンタープライズアプリケーションを信頼できるようにします。
    • Spotlightでインターネット検索結果を表示: Spotlightで、デバイス同様にインターネットから検索結果を表示できるようにします。
    • 非管理対象アプリによる管理対象アカウント連絡先の読み取り: オプション。[管理対象アプリから非管理対象アプリへのドキュメントの移動] が無効になっている場合にのみ利用できます。このポリシーを有効にすると、非管理対象アプリが管理対象アカウントの連絡先からデータを読み取ることができるようになります。デフォルトは [オフ] です。iOS 12以降で利用できます。
    • 管理対象アプリによる非管理対象アカウント連絡先への書き込み: オプション。有効にすると、管理対象アプリによる非管理対象アカウントの連絡先への書き込みを許可します。[管理対象アプリから非管理対象アプリへのドキュメントの移動] を有効にすると、この制限は有効になりません。デフォルトは [オフ] です。iOS 12以降で利用できます。
  • 監視対象のみの設定 - 許可

    これらの設定は、監視対象のデバイスにのみ適用されます。iOSデバイスをSupervisedモードに設定する手順について詳しくは、「Apple Configuratorを使用してiOSデバイスをSupervisedモードにするには」を参照してください。

    • すべてのコンテンツと設定を消去: ユーザーがデバイスからすべてのコンテンツと設定を消去できるようにします。
    • 制限の構成: ユーザーがデバイスで保護者による制限を構成できるようにします。
    • ポッドキャスト: ユーザーがポッドキャストをダウンロードおよび同期できるようにします。
    • 構成プロファイルのインストール: 管理者が展開した構成プロファイル以外の構成プロファイルを、ユーザーがインストールできるようにします。
    • フィンガープリントの変更: ユーザーがTouch IDフィンガープリントを変更または削除できるようにします。
    • デバイスからアプリをインストールします: ユーザーがアプリをインストールできるようにします。
    • キーボードショートカット: ユーザーが使用頻度の高い単語やフレーズのカスタムキーボードショートカットを作成できるようにします。
    • ペアリングされたApple Watch: ユーザーがApple Watchと監視対象デバイスをペアリングできるようにします。
    • パスコードの変更: ユーザーが監視対象デバイスでパスコードを変更できるようにします。
    • デバイス名の変更: ユーザーがデバイスの名前を変更できるようにします。
    • 壁紙の変更: ユーザーがデバイスの壁紙を変更できるようにします。
    • 自動的にアプリをダウンロードします: アプリのダウンロードを許可します。
    • AirDrop: ユーザーが写真、ビデオ、Webサイト、場所、およびそれ以外のものを近くのiOSデバイスで共有できるようにします。
    • iMessage: ユーザーがWi-Fiを使ってiMessageを送信できるようにします。
    • Siriにユーザー生成コンテンツを表示: Webのユーザー生成コンテンツをSiriでクエリできるようにします。ユーザー生成コンテンツは、従来のジャーナリストではなく、一般のユーザーが作成したものです。たとえば、TwitterやFacebookに見られるコンテンツは、ユーザー生成コンテンツです。
    • iBooks: ユーザーがiBooksアプリを使用できるようにします。
    • アプリの削除: ユーザーがデバイスからアプリを削除できるようにします。
    • Game Center: ユーザーがデバイスのGame Centerを介してオンラインゲームをプレイできるようにします。
      • 友達を追加: ユーザーが友人に通知を送信してゲームをプレイできるようにします。
      • マルチプレーヤーゲーム: ユーザーがデバイス上でマルチプレーヤーゲームを起動できるようにします。
    • アカウント設定の変更: ユーザーがデバイスのアカウント設定を変更できるようにします。
    • アプリの携帯データネットワーク設定の変更: 携帯データネットワークをアプリがどのように使用するのか、ユーザーが変更できるようにします。
    • [友達を探す]設定の変更: 友達を探す設定をユーザーが変更できるようにします。
    • Configurator以外のホストとのペアリング: ユーザーデバイスがペアリングできるデバイスを管理者が制御できるようにします。この設定を無効にすると、Apple Configuratorを実行している監視中のホスト以外とは、ペアリングできなくなります。監視中のホストの証明書が構成されていない場合は、すべてのペアリングが無効です。
    • 予測キーボード: ユーザーデバイスで、キーボードからの入力時に候補となる単語を予測変換できるようにします。ユーザーに候補の単語を表示しない、管理のための標準化されたテストといった状況では、このオプションを無効にします。
    • キーボード自動修正: ユーザーデバイスでキーボードの自動修正を使用できるようにします。ユーザーに自動修正を適用しない、管理のための標準化されたテストといった状況では、このオプションを無効にします。
    • キーボードスペルチェック: ユーザーデバイスで入力中にスペルチェックを使用できるようにします。ユーザーにスペルチェッカーへアクセスさせない、管理のための標準化されたテストといった状況では、このオプションを無効にします。
    • 定義参照: ユーザーデバイスで入力中に定義の検索を使用できるようにします。ユーザーに入力時での定義の検索をできるようにしない、管理のための標準化されたテストといった状況では、このオプションを無効にします。
    • 単一のアプリバンドルID: デバイス上のコントロールを維持し、ほかのアプリや機能との相互作用を防ぐことができるアプリの一覧を作成します。 アプリを追加するには、[追加] をクリックし、アプリ名を入力して [保存] をクリックします。追加するアプリごとにこの手順を繰り返します。
    • News: ユーザーがNewsアプリを使用できるようにします。
    • Apple Musicサービス: ユーザーがApple Musicサービスを使用できるようにします。Apple Musicサービスを許可しない場合、Musicアプリはクラシックモードで動作します。
    • iTunes Radio: ユーザーがiTunes Radioを使用できるようにします。
    • 通知の変更: ユーザーが通知設定を変更できるようにします。
    • アプリ使用の制限: 指定したバンドルIDに基づいて、ユーザーにすべてのアプリの使用を許可するか、またはアプリの使用を個別に許可または禁止できます。監視対象のデバイスにのみ適用されます。

      注:

      iOS 11以降、アプリの制限で利用できるポリシーが変更されました。適切なiOSアプリケーションバンドルを制限することで、設定アプリと電話アプリへのアクセスを削除することができなくなりました。

      いくつかのアプリをブロックするように制限デバイスポリシーを構成して展開した後で、これらのアプリの一部またはすべてを許可する必要が生じた場合、制限デバイスポリシーを変更して展開しても制限は変更されません。これは、iOSでは変更内容がiOSプロファイルに適用されないためです。変更内容を適用するには、プロファイルの削除ポリシーを使用して該当するiOSプロファイルを削除してから、更新した制限デバイスポリシーを展開します。

      この設定を [一部のアプリのみ許可] に変更する場合:このポリシーを展開する前に、Apple Deployment Programを使用して登録したデバイスのユーザーに、セットアップアシスタントからAppleアカウントにサインインするよう指示してください。それ以外の場合、ユーザーがAppleアカウントにサインインして許可されたアプリにアクセスするには、各自のデバイスで2要素認証を無効にする必要があります。

    • 診断データの送信の変更: ユーザーが [設定]>[診断と使用状況] ペインで診断データの送信とアプリ分析に関する設定を変更できるようにします。
    • Bluetoothの変更: ユーザーがBluetoothの設定を変更できるようにします。
    • ディクテーションを許可: 監視のみ。この制限が [オフ] に設定されている場合、ディクテーションを使用した入力は許可されません。デフォルトでは [オン] になっています。
    • Wi-FiポリシーでインストールされたWi-Fiネットワークのみに参加する: オプション。監視のみ。この制限が [オン] に設定されている場合、構成プロファイルを使用して設定されたデバイスのみがWi-Fiネットワークに接続できます。デフォルトでは [オフ] になっています。
    • プロンプトを表示せずにクラスルームアプリがAirPlayと画面表示を実行できるようにする: この制限が選択されている場合、講師は生徒のデバイスでAirPlayと画面表示を実行でき、権限を求めるプロンプトは表示されません。デフォルト設定では、選択解除されています。監視対象のiOSデバイス向けです。
    • プロンプトを表示せずにクラスルームアプリがアプリとデバイスをロックできるようにする: この制限が [オン] に設定されている場合、クラスルームアプリはユーザープロンプトを表示せず自動的に、アプリに対してユーザーデバイスをロックし、ユーザーデバイスをロックします。デフォルトでは [オフ] になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
    • プロンプトを表示せずにクラスルームアプリのクラスに自動的に参加する: この制限が [オン] に設定されている場合、クラスルームアプリはユーザーにプロンプトを表示せずに自動的にクラスに参加します。デフォルトでは [オフ] になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
    • AirPrintを許可: この制限が [オフ] に設定されている場合、ユーザーはAirPrintで印刷できません。デフォルトでは [オン] になっています。この制限が [オン] の場合、さらに次の制限が表示されます。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
      • AirPrint資格情報のキーチェーンへの保存を許可する: この制限が選択されていない場合、AirPrintのユーザー名とパスワードはキーチェーンに保存されません。デフォルト設定では選択されています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
      • iBeaconsを使用したAirPrintプリンターの検出を許可する: この制限が選択されていない場合、AirPrintプリンターのiBeacon検出は無効になります。これにより、偽のAirPrint Bluetoothビーコンのネットワークトラフィックがフィッシングされるのを防止します。デフォルト設定では選択されています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
      • 信頼された証明書がある出力先に対してのみAirPrintを許可する: この制限が選択されている場合、ユーザーは、信頼された機関からの証明書がある出力先にのみAirPrintを使用して印刷できます。デフォルト設定では、選択解除されています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
    • VPN構成の追加: この制限が [オフ] に設定されている場合、ユーザーはVPN構成を作成できません。デフォルトでは [オン] になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
    • 携帯の通信プラン設定の変更: この制限が [オフ] に設定されている場合、ユーザーは携帯の通信プラン設定を変更できません。デフォルトでは [オン] になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
    • システムアプリの削除: この制限が [オフ] に設定されている場合、ユーザーはデバイスからシステムアプリを削除できません。デフォルトでは [オン] になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
    • 近くの新しいデバイスをセットアップ: この制限が [オフ] に設定されている場合、ユーザーは近くの新しいデバイスを設定できません。デフォルトでは[オン]になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
    • USB制限モードを許可:[オフ] の場合、デバイスはロックされた状態でも常にUSBアクセサリーに接続できます。デフォルトは [オン] です。iOS 11.3以降の監視対象デバイスでのみ利用できます。
    • ソフトウェア更新の延期を強制する: [オン] の場合、ソフトウェアの更新がユーザーに表示される時期が延期されます。この制限が設定されている場合、ソフトウェアの更新がリリースされてから指定された日数が経過するまで、ソフトウェアの更新は表示されません。デフォルトは [オフ] です。iOS 11.3以降の監視対象デバイスでのみ利用できます。
    • ソフトウェア更新の強制延期期間(日): デバイス上でソフトウェアの更新を遅らせる日数を指定できます。最大延期日数は90日です。デフォルトは30日です。iOS 11.3以降の監視対象デバイスでのみ利用できます。
    • クラスルームを離れるときの許可の要求を強制する: [オン] の場合、クラスルームの管理対象外コースに登録した学生は、コースを離れるときに教師の許可を求める必要があります。デフォルトは [オフ] です。iOS 11.3以降の監視対象デバイスでのみ利用できます。
    • 日時の自動設定を強制する: 監視対象デバイスの日時を自動で設定できます。[オン] の場合、デバイスユーザーは [全般]>[日付と時刻][自動的に設定] をオフにできません。デバイスのタイムゾーンは、デバイスが現在位置を特定できる場合にのみ更新されます。つまり、デバイスが移動体通信ネットワークまたはWi-Fiに接続しており、位置情報サービスが有効になっている場合のみです。デフォルトは [オフ] です。iOS 12以降の監視対象デバイスでのみ利用できます。
    • パスワードの自動入力: オプション。無効にすると、ユーザーはパスワードの自動入力または自動強力パスワード機能を使用できません。デフォルトは [オン] です。iOS 12以降で利用できます。
    • パスワード近接要求: オプション。無効にすると、ユーザーのデバイスは近くのデバイスにパスワードを要求しません。デフォルトは [オン] です。iOS 12以降で利用できます。
    • パスワード共有: オプション。無効にすると、ユーザーはAirDropパスワード機能を使用してパスワードを共有できません。デフォルトは [オン] です。iOS 12以降で利用できます。
  • セキュリティ - ロック画面に表示
    • コントロールセンター: ロック画面のコントロールセンターへアクセスできるようにします。コントロールセンターでは、機内モード、Wi-Fi、Bluetooth、おやすみモード、画面の向きをロックといった設定をユーザーが簡単に変更できます。
    • 通知: ロック画面上へ通知できるようにします。
    • 今日ビュー: 天気や当日の予定といった情報を表示する今日の表示をロック画面上で有効にします。
  • メディアコンテンツ - 許可
    • 不適切な音楽、Podcast、iTunes Uコンテンツ: ユーザーのデバイスで成人向けのコンテンツを許可します。
    • iBooksの不適切な性的コンテンツ: iBooksから成人向けのコンテンツをダウンロードできるようにします。
    • レーティング地域: ペアレンタルコントロールのレートを取得する地域を設定します。一覧では、国をクリックするとレート地域が設定されます。デフォルトは [米国] です。
    • ムービー: ユーザーのデバイスでムービーを操作できるかどうかを設定します。ムービーの操作が許可される場合は、オプションでムービーのレートレベルを設定します。一覧で、デバイスでムービーを許可または制限するオプションをクリックします。デフォルトは[すべてのムービーを許可]です。
    • テレビ番組: ユーザーのデバイスでテレビ番組を操作できるかどうかを設定します。テレビ番組の操作が許可される場合は、オプションでテレビ番組のレートレベルを設定します。一覧で、デバイスでテレビ番組を許可または制限するオプションをクリックします。デフォルトは[すべてのテレビ番組を許可]です。
    • アプリ: ユーザーのデバイスでアプリを操作できるかどうかを設定します。アプリの操作が許可される場合は、オプションでムービーのレートレベルを設定します。一覧で、デバイスでアプリを許可または制限するオプションをクリックします。デフォルトは[すべてのアプリを許可]です。

macOS設定

デバイスポリシー構成画面

  • 基本設定
    • システム環境設定のアイテムの制限: システム環境設定へのユーザーのアクセスを許可または制限します。デフォルトは [オフ] で、ユーザーにはシステム環境設定へのフルアクセス権が付与されます。有効にした場合は、次の設定を構成します。
      • システム環境設定ペイン: 選択した設定を有効にするのか、無効にするのかを選択します。デフォルトではすべての設定が有効になるように、すなわち [オン] に設定されています。
        • ユーザーおよびグループ
        • 一般
        • アクセシビリティ
        • App Store
        • ソフトウェアの更新
        • Bluetooth
        • CDとDVD
        • 日時
        • デスクトップとスクリーンセーバー
        • ディスプレイ
        • ドック
        • エネルギーセーバー
        • 拡張機能
        • ファイバーチャネル
        • iCloud
        • インク
        • インター ネットアカウント
        • キーボード
        • 言語とテキスト
        • Mission Control
        • マウス
        • ネットワーク
        • 通知
        • ペアレンタルコントロール
        • プリンターとスキャナー
        • プロファイル
        • セキュリティとプライバシー
        • 共有
        • サウンド
        • ディクテーションと音声入力
        • Spotlight
        • 起動ディスク
        • Time Machine
        • トラックパッド
        • Xsan
  • アプリ
    • Game Centerの使用を許可: ユーザーがGame Centerを介してオンラインゲームをプレイできるようにします。デフォルトは [オン] です。
    • Game Center の友達の追加を許可: ユーザーが友人に通知を送信してゲームをプレイできるようにします。デフォルトは [オン] です。
    • マルチプレーヤーゲームを許可: ユーザーがマルチプレーヤーゲームを開始できるようにします。デフォルトは [オン] です。
    • Game Centerのアカウント変更を許可: ユーザーが各自のGame Centerアカウント設定を変更できるようにします。デフォルトは [オン] です。
    • App Storeの採用を許可: OS Xに既に存在するアプリのApp Storeへの登録を許可または制限します。デフォルトは [オン] です。
    • Safari の自動入力を許可: Safariに保存されているパスワード、アドレス、およびその他の基本情報が自動的にWebサイトのフィールドに入力されるようにします。デフォルトは [オン] です。
    • アプリのインストールまたはアップデートで管理者パスワードを必須にする: アプリをインストールまたは更新するときに管理者のパスワードを必須にします。デフォルトは [オフ] で、管理者のパスワードが不要であることを意味します。
    • App Store をソフトウェアの更新のみに制限: App Storeを更新のみに制限します。つまり、[アップデート]以外のApp Storeのタブはすべて無効になります。デフォルトは [オフ] で、App Storeへのフルアクセスが許可されます。
    • 開くのを許可するアプリ制限ポリシー: ユーザーが使用できるアプリを制限または許可します。デフォルトは[オフ]で、すべてのアプリの使用が許可されます。有効にした場合は、次の設定を構成します:
      • 許可するアプリ:[追加] をクリックして、起動を許可するアプリの名前およびバンドルIDを入力し、[保存] をクリックします。起動を許可するアプリごとに、この手順を繰り返します。
      • 許可しないフォルダー:[追加] をクリックして、ユーザーアクセスを制限するフォルダーまでのファイルパス(例:/Applications/Utilities)を入力し、[保存] をクリックします。ユーザーにアクセスできないようにするすべてのフォルダーについて、この手順を繰り返します。
      • 許可するフォルダー:[追加] をクリックして、ユーザーアクセスを許可するフォルダーまでのファイルパスを入力し、[保存] をクリックします。ユーザーにアクセスできるようにするすべてのフォルダーについて、この手順を繰り返します。
  • ウィジェット
    • 以下のダッシュボードウィジェットのみ実行を許可: ユーザーが実行できるダッシュボードウィジェット(世界時計、計算機など)を許可または制限します。デフォルトは [オフ] で、ユーザーはすべてのウィジェットを実行できます。有効にした場合は、次の設定を構成します:
      • 許可するウィジェット:[追加] をクリックして、実行を許可するウィジェットの名前およびIDを入力し、[保存] をクリックします。ダッシュボードでの実行を許可するウィジェットごとに、この手順を繰り返します。
  • メディア
    • AirDropを許可: ユーザーが写真、ビデオ、Webサイト、場所、およびそれ以外のものを近くのiOSデバイスで共有できるようにします。
  • 共有
    • 新しい共有サービスを自動で有効にする: 共有サービスを自動的に有効にするかどうかを選択します。
    • メール: 共有メールボックスを許可するかどうかを選択します。
    • Facebook: 共有Facebookアカウントを許可するかどうかを選択します。
    • ビデオサービス - Flickr、Vimeo、Tudou、Youku: 共有ビデオサービスを許可するかどうかを選択します。
    • Apertureに追加: Apertureへの追加を行う共有機能を許可するかどうかを選択します。
    • Sina Weibo: 共有Sina Weibo投稿アカウントを許可するかどうかを選択します。
    • Twitter: 共有Twitterアカウントを許可するかどうかを選択します。
    • メッセージ: メッセージへの共有アクセスを許可するかどうかを選択します。
    • iPhotoに追加: iPhotoへの追加を行う共有機能を許可するかどうかを選択します。
    • リーディングリストに追加: リーディングリストへの追加を行う共有機能を許可するかどうかを選択します。
    • AirDrop: 共有AirDropアカウントを許可するかどうかを選択します。
  • 機能
    • デスクトップ画像をロック: ユーザーがデスクトップの画像を変更できるかどうかを選択します。デフォルトは [オフ] で、ユーザーがデスクトップの画像を変更できることを意味します。
    • カメラの使用を許可: ユーザーがMacでカメラを使用できるかどうかを選択します。デフォルトは [オフ] で、ユーザーがカメラを使用できないことを意味します。
    • Apple Musicを許可する: ユーザーがApple Musicサービスを使用できるようにします(macOS 10.12以降)。Apple Musicサービスを許可しない場合、Musicアプリはクラシックモードで動作します。監視対象のデバイスにのみ適用されます。デフォルトは [オン] です。
    • Spotlightの検索候補を許可: ユーザーが[Spotlightの検索候補]を使用してMacを検索したり、[Spotlightの検索候補]にインターネット、iTunes、App Storeの項目を表示したりできるかどうかを選択します。デフォルトは [オフ] で、ユーザーは[Spotlightの検索候補]を使用できません。
    • 検索を許可: ユーザーがコンテキストメニューまたはSpotlight検索メニューで単語の定義を検索できるかどうかを選択します。デフォルトは[オフ]で、ユーザーはMacで検索機能を使用できません。
    • ローカルアカウントでのiCloudパスワードの使用を許可: ユーザーが各自のApple IDおよびiCloudパスワードを使用してMacにサインオンできるかどうかを選択します。これを有効にすることは、ユーザーがMacのすべてのログイン画面で同じIDおよびパスワードを使用することを意味します。デフォルトは [オン] で、ユーザーは各自のApple IDおよびiCloudパスワードを使用してMacにアクセスすることができます。
    • iCloudドキュメントおよびデータを許可: ユーザーがMacからiCloudに保存されているドキュメントおよびデータにアクセスするのを許可するかどうかを選択します。デフォルトは [オフ] で、ユーザーはMacからiCloudに保存されているドキュメントおよびデータを使用できないようになっています。
      • iCloudで”デスクトップ”と”書類”を許可する:(macOS 10.12.4以降)デフォルトは[オン]です。
    • iCloudキーチェーンの同期を許可する: iCloudキーチェーンの同期を許可します(macOS 10.12以降)。デフォルトは [オン] です。
    • iCloudで”メール”を許可する: ユーザーがiCloudメールを使用できるようにします(macOS 10.12以降)。デフォルトは [オン] です。
    • iCloudで”連絡先”を許可する: ユーザーがiCloudの連絡先を使用できるようにします(macOS 10.12以降)。デフォルトは [オン] です。
    • iCloudで”カレンダー”を許可する: ユーザーがiCloudのカレンダーを使用できるようにします(macOS 10.12以降)。デフォルトは [オン] です。
    • iCloud で”リマインダー”を許可する: ユーザーがiCloudのリマインダーを使用できるようにします(macOS 10.12以降)。デフォルトは [オン] です。
    • iCloudブックマークを許可する: ユーザーがiCloudのブックマークと同期できるようにします(macOS 10.12以降)。デフォルトは [オン] です。
    • iCloudで”メモ”を許可する: ユーザーがiCloudのメモを使用できるようにします(macOS 10.12以降)。デフォルトは [オン] です。
    • iCloudで”写真”を許可する: この設定を [オフ] に変更すると、iCloudのフォトライブラリから完全にダウンロードされていない写真はすべてデバイスのローカルストレージから削除されます(macOS 10.12以降)。デフォルトは [オン] です。
    • 自動ロックの解除を許可する: このオプションとApple Watchについて詳しくは、https://www.imore.com/auto-unlockを参照してください(macOS 10.12以降)。デフォルトは [オン] です。
    • Macのロック解除にTouch IDを許可する:(macOS 10.12.4以降)デフォルトは [オン] です。
    • ソフトウェア更新の延期を強制する:[オン] の場合、ソフトウェアの更新がユーザーに表示されるまでの時間が延期されます。ソフトウェアの更新がリリースされてから指定の日数が経過するまで、ユーザーにソフトウェアの更新は表示されません。デフォルトは [オフ] です。macOS 10.13.4以降を実行する管理対象デバイスでのみ利用できます。
    • ソフトウェア更新の強制延期期間(日): デバイス上でソフトウェアの更新を延期する日数を指定します。日数の上限は90日です。デフォルトは30です。macOS 10.13.4以降を実行する管理対象デバイスでのみ利用できます。
    • パスワードの自動入力: オプション。無効にすると、ユーザーはパスワードの自動入力または自動強力パスワード機能を使用できません。デフォルトは [オン]です(macOS 10.14以降)。
    • パスワード近接要求: オプション。無効にすると、ユーザーのデバイスは近くのデバイスにパスワードを要求しません。デフォルトは [オン]です(macOS 10.14以降)。
    • パスワード共有: オプション。無効にすると、ユーザーはAirDropパスワード機能を使用してパスワードを共有できません。デフォルトは [オン]です(macOS 10.14以降)。

tvOSの設定

  • セキュリティとメディア設定 - 許可
    • 最初のAirPlayペアリングでパスコードを要求: AirPlay対応デバイスでAirPlayを使用する前に、ワンタイムオンスクリーンコードで検証するように求めます。
    • iBooksの不適切な性的コンテンツ: iBooksから成人向けのコンテンツをダウンロードできるようにします。
    • 不適切な音楽、Podcast、iTunes Uコンテンツ: ユーザーのデバイスで成人向けのコンテンツを許可します。
    • アプリ内課金: ユーザーがアプリ内課金で購入できるようにします。
      • 購入時にiTunesパスワードを要求: アプリ内購入時にパスワードを求めます。デフォルトではこの機能は制限されており、アプリ内での購入ではパスワードは必要ありません。
  • 監視対象のみの設定 - 許可
    • デバイス名の変更: ユーザーがデバイスの名前を変更できるようにします。
    • Apple TV Remote Appとのペアリングを許可する: ユーザーがApple TV リモートアプリとデバイスをペアリングできるようにします。
    • Siriの不適切な単語フィルター: Siriの不適切な単語フィルターを有効にします。デフォルトではこの機能は制限されており、不適切な言葉はフィルタリングされません。

      Siriとセキュリティについて詳しくは、「Siriとディクテーションのポリシー」を参照してください。

    • AirPlayを有効にする: ユーザーがコンテンツをストリーミングしたり、iOSデバイスの画面をこのデバイスでミラーリングできるようにします。
    • アプリ使用の制限: 指定したバンドルIDに基づいて、ユーザーにすべてのアプリの使用を許可するか、またはアプリの使用を個別に許可または禁止できます。監視対象のデバイスにのみ適用されます。

      いくつかのアプリをブロックするように制限デバイスポリシーを構成して展開した後で、これらのアプリの一部またはすべてを許可する必要が生じた場合、制限デバイスポリシーを変更して展開しても制限は変更されません。これは、iOSでは変更内容がiOSプロファイルに適用されないためです。

      この設定を [一部のアプリのみ許可] に変更する場合:このポリシーを展開する前に、Apple Deployment Programを使用して登録したデバイスのユーザーに、セットアップアシスタントからAppleアカウントにサインインするよう指示してください。それ以外の場合、ユーザーがAppleアカウントにサインインして許可されたアプリにアクセスするには、各自のデバイスで2要素認証を無効にする必要があります。

Androidの設定

  • カメラ: ユーザーがデバイスでカメラを使用できるようにします。[オフ] の場合、カメラは無効になります。デフォルトは、[オン] です。

Android Enterpriseの設定

デバイスポリシー構成画面

デバイスがAndroid Enterpriseの仕事用プロファイルモードで登録されている場合、デフォルトではUSBデバッグおよび不明なソース設定は無効になっています。

Android 8.0以降およびSamsung Knox 3.0以降を実行しているデバイスの場合は、[Android Enterprise] ページでSamsung KnoxとSamsung SAFEの設定を行います。それよりも前のバージョンのAndroidまたはSamsung KNOXを実行しているデバイスの場合は、[Samsung Knox][Samsung SAFE] ページで設定します。

  • USB操作を許可
    • デバッグ。USB経由のデバッグを可能にします。デフォルトは [オフ] です。
    • ファイル転送。USB経由のファイル転送を可能にします。デフォルトは [オフ] です。
  • ネットワーク
    • VPN構成を許可。ユーザーがVPN構成を作成できるようにします。Android 6以降を実行する仕事用プロファイルデバイスおよび完全に管理されているデバイス向けです。デフォルトは [オン] です。
    • Android Beam。近距離無線通信(Near Field Communication:NFC)を使用して、ユーザーが手元のデバイスから他のデバイスにWebページ、写真、ビデオなどのコンテンツを送信できるようにします。MDM 4.0以降で使用します。デフォルトは [オフ] です。
    • 位置情報プロバイダーの構成を許可。ユーザーがデバイスでGPSをオンにできるようにします。Android API 28以降で使用します。デフォルトは [オン] です。
    • 位置情報の共有を許可。位置情報の共有を可能にします。管理対象プロファイルの場合、デバイス所有者は設定を上書きできます。デフォルトは [オフ] です。
  • セキュリティ
    • アカウント管理を許可。仕事用プロファイルおよび管理対象デバイスでアカウントを追加できるようにします。デフォルトは [オフ] です。
    • プロファイル間でコピーと貼り付けを許可。Android Enterpriseプロファイルのアプリとパーソナルエリアのアプリ間で、クリップボードを使用してコピーと貼り付けができるかどうかを指定します。デフォルトは [オフ] です。
    • Google Play非対応アプリを許可。Google Play以外のストアからアプリをインストールできるようにします。デフォルトは [オフ] です。
    • スクリーンショットを許可。ユーザーがデバイス画面のスクリーンショットを取得できるかどうかを指定します。デフォルトは [オフ] です。
    • カメラの使用を許可。ユーザーがデバイスのカメラで写真やビデオを撮ることができます。デフォルトは [オフ] です。
    • ステータスバーの使用を許可。[オン] に設定すると、管理対象デバイスおよび専用デバイス(COSUデバイス)上でステータスバーが有効になります。これにより、通知、クイック設定、その他の画面オーバーレイで全画面モードから移動することができなくなります。ユーザーはシステム設定に移動して通知を表示できます。Android 6.0以降の場合、デフォルトは [オフ] です。
    • ユーザーにアプリケーション設定の制御を許可。ユーザーがアプリのアンインストール、アプリの無効化、キャッシュやデータの消去、アプリの強制停止、デフォルト値のクリアをできるようにします。デフォルトは [オフ] です。
    • ホーム画面で仕事用プロファイルアプリのウィジェットを許可。この設定が [オン] の場合、ユーザーは仕事用プロフィールアプリウィジェットを端末のホーム画面に配置できます。この設定が [オフ] の場合、ユーザーは仕事用プロフィールアプリウィジェットを端末のホーム画面に配置できません。デフォルトは [オフ] です。
      • ウィジェットを許可するアプリ。ホーム画面で許可するアプリの一覧。[ホーム画面で仕事用プロファイルアプリのウィジェットを許可][オン] に設定して対象のアプリを追加します。[追加]をクリックし、一覧からホーム画面で許可するアプリを選択します。[保存] をクリックします。この手順を繰り返して、ほかのアプリウィジェットも許可します。
    • デバイスの連絡先で仕事用プロファイルの連絡先を許可。着信時に、管理対象のAndroid Enterpriseプロファイルの連絡先を親プロファイルに表示します(Android 7.0以降)。デフォルトは [オフ] です。
    • システムアプリを有効にします。事前インストールされたデバイスアプリの実行をユーザーに許可します。デフォルトは [オフ] です。特定のアプリを有効にするには、システムアプリ一覧の表で[追加] をクリックします。
      • システムアプリ一覧。デバイスで有効にするシステムアプリの一覧。[システムアプリを有効にする][オン] に設定して、アプリのパッケージ名を追加します。システムアプリのパッケージ名を検索するには、Android Debug Bridge(adb)を使用してAndroidパッケージマネージャー(pm)コマンドを呼び出します。例えば adb shell "pm list packages -f name"で、ここで「名前」はパッケージ名の一部です。詳しくは、「https://developer.android.com/studio/command-line/adb」を参照してください。Android Enterpriseデバイスの場合、Android Enterpriseのアプリ権限ポリシーを使用してアプリの権限を制限できます。
    • アプリケーションを無効化。指定したアプリのリストがデバイス上で実行されるのをブロックします。デフォルトは [オフ] です。インストールされているアプリを無効にするには、設定を [オン] に変更し、[アプリケーション一覧] 表で [追加] をクリックしてから、アプリのパッケージ名を入力します。
      • アプリケーション一覧。ブロックするアプリのリストです。[アプリケーションを無効にする][オン] に設定してアプリを追加し、アプリのパッケージ名を入力します。アプリ一覧を変更して展開すると、以前のアプリ一覧が上書きされます。例:com.example1とcom.example2を無効にしてから、アプリ一覧の内容をcom.example1とcom.example3に変更すると、com.example.2が有効になります。
    • アプリの検証を有効化。OSがアプリをスキャンして悪意のある動作を検出できるようにします。デフォルトは [オン] です。
    • Google Appsを有効化。ユーザーがGoogleモバイルサービスからデバイスにアプリをダウンロードできるようにします。デフォルトは [オン] です。
    • ユーザーにユーザー資格情報の構成を許可: ユーザーが管理対象のキーストアで認証情報を設定できるかどうかを指定します。デフォルトは [オン] です。
    • Keyguardがデバイスをロックしないようにする。[オン]の場合、この設定が管理対象デバイスおよび専用デバイス(COSUデバイス)のロック画面でKeyguardを無効にします。デフォルトは [オフ] です。
  • 完全に管理されているデバイス
    • 複数ユーザーを許可。複数のユーザーがデバイスを使用できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
    • ローミングを許可。ユーザーがローミング中に携帯データネットワークを使用できるようにします。デフォルトは[オフ]で、ユーザーのデバイスでローミングが無効になっています。デフォルトは [オフ] です。この設定がオンの場合、次の設定はSamsung SAFEデバイスで使用できます:
      • データ。ユーザーがデータ用に携帯データネットワークを使用できるようにします。
      • プッシュ。ユーザーがプッシュ用に携帯データネットワークを使用できるようにします。
      • 同期。ユーザーが同期用に携帯データネットワークを使用できるようにします。
      • 音声通話。ユーザーが音声通話用に携帯データネットワークを使用できるようにします。
    • SMSを許可。ユーザーがSMSメッセージを送受信できるようにします。デフォルトは [オフ] です。
    • バックアップ。ユーザーがデバイス上にアプリケーションやシステムデータをバックアップできるようにします。デフォルトは [オン] です。
    • Bluetooth。ユーザーがBluetoothを使用できるようにします。デフォルトは [オン] です。
    • 日付/時刻の変更。ユーザーがデバイスの日付と時刻を変更できるようにします。デフォルトは [オン] です。
    • 工場出荷時リセット。ユーザーがデバイスを出荷時の設定に戻すことができるようにします。デフォルトは [オン] です。
    • デバイス画面を有効なまま維持する。この設定を [オン] に設定すると、デバイスを接続してもデバイス画面はオンのままです。デフォルトは [オフ] です。
    • 大容量ストレージ。USB接続上で、ユーザーのデバイスとコンピューター間で大容量のデータファイルを転送できるようにします。デフォルトは [オン] です。
    • マイク。ユーザーがデバイスでマイクを使用できるようにします。デフォルトは [オン] です。
    • テザリング。ユーザーがポータブルホットスポットおよびテザリングデータを構成できるようにします。デフォルトは [オフ] です。この設定をオンにすると、Samsungデバイスで以下の設定を使用できます:
      • USB。ユーザーが、USB接続を使ってモバイルデータ接続をほかのデバイスと共有できるようにします。
      • Bluetooth。ユーザーが、Bluetooth接続を使ってモバイルデータ接続をほかのデバイスと共有できるようにします。
      • Wi-Fi。ユーザーが、Wi-Fi接続を使ってモバイルデータ接続をほかのデバイスと共有できるようにします。
    • Wi-Fi。ユーザーがWi-Fiネットワークに接続できるようにします。デフォルトは [オン] です。この設定をオンにすると、以下の設定を使用できます:
      • 直接。ユーザーがWi-Fi接続を介して、ほかのデバイスに直接接続できるようにします。Samsungデバイスの場合のみ使用します(MDM 4.0以降)。
      • 状態の変更。アプリでWi-Fi接続の状態を変更できるようにします。
  • Samsung SAFE:ハードウェアの制御を許可
    • ODE信頼済み起動検証を有効化。ODE信頼済み起動検証を使って、ブートローダーからシステムイメージへの信頼のチェーンを確立します。デフォルトは [オン] です。
    • 緊急電話のみ許可。ユーザーがデバイスで緊急電話のみモードを有効にできるようにします。デフォルトは [オフ] です。
    • ファームウェアリカバリを許可。ユーザーがデバイスでファームウェアを復元できるようにします。デフォルトは [オン] です。
    • 高速暗号化を許可。使用済みのメモリ領域のみ暗号化を許可します。これは、設定、アプリケーションデータ、ダウンロードしたファイルおよびアプリケーション、メディア、およびその他のファイルを含め、すべてのデータを暗号化するフルディスク暗号化とは対照的な方法です。デフォルトは [オン] です。
    • 情報セキュリティ国際評価基準(Common Criteria)モード。デバイスを情報セキュリティ国際評価基準モードにします。Common Criteria構成は、厳重なセキュリティプロセスを遂行します。デフォルトは [オン] です。
    • DOD起動バナー。ユーザーのデバイスが再起動された時にDoD承認システム使用通知メッセージまたはバナーを表示します。デフォルトは [オフ] です。
    • 設定の変更。ユーザーが完全に管理されているデバイスの設定を変更できるようにします。デフォルトは [オン] です。
    • 無線アップグレード: ユーザーのデバイスでソフトウェアの更新プログラムをワイヤレスで受信できるようにします(MDM 3.0以降)。デフォルトは [オン] です。
    • バックグラウンド データ。アプリがバックグラウンドでデータを同期できるようにします。完全に管理されているデバイス向けの設定です。デフォルトは [オン] です。
    • クリップボード。ユーザーがデバイスでデータをクリップボードにコピーできるようにします。
      • クリップボード共有。ユーザーが自分のデバイスとコンピューター間でクリップボードのコンテンツを共有できるようにします(MDM 4.0以降)。
    • ホームキー。ユーザーがデバイスでHomeキーを使用できるようにします。デフォルトは [オン] です。
    • 疑似ロケーション。ユーザーがGPSの場所を偽装できるようにします。完全に管理されているデバイス用の設定です。デフォルトは [オン] です。
    • NFC。ユーザーが完全に管理されたデバイス(MDM 3.0以降)でNFCを使用できるようにします。デフォルトは [オン] です。
    • 電源オフ。ユーザーが完全に管理されているデバイスの電源を切れるようにします(MDM 3.0以降)。デフォルトは [オン] です。
    • SDカード。ユーザーが、可能な場合にはデバイスでSDカードを使用できるようにします。デフォルトは [オン] です。
    • ホストストレージ。USBデバイスがユーザーのデバイスに接続された時、ユーザーのデバイスがUSBホストとして機能するようにできます。これにより、ユーザーのデバイスがUSBデバイスに電源を供給します。デフォルトは [オン] です。
    • 音声ダイヤラー。ユーザーがデバイスで音声ダイヤラーを使用できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
    • SBeam。ユーザーがNFCやWi-Fi Directを使ってほかのユーザーとコンテンツを共有できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
    • SVoice。ユーザーがデバイスでインテリジェントパーソナルアシスタントおよびナレッジナビゲーターを使用できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
  • Samsung SAFE:アプリを許可
    • 顔認識: ユーザーが顔認識アプリを使用できるようにします。デフォルトは [オン] です。
    • ブラウザー。ユーザーがWebブラウザーを使用できるようにします。デフォルトは [オン] です。
    • Youtube。ユーザーがYouTubeへアクセスできるようにします。デフォルトは [オン] です。
    • Google Play/Marketplace。ユーザーがGoogle PlayやGoogle Apps Marketplaceにアクセスできるようにします。デフォルトは [オン] です。
    • システムアプリを強制停止。ユーザーが事前にインストール済みのシステムアプリを無効にできるようにします(MDM 4.0以降)。デフォルトは [オン] です。
  • Samsung SAFE:ネットワーク
    • 受信MMS。ユーザーがMMSメッセージを受信できるようにします。デフォルトは [オン] です。
    • 送信MMS。ユーザーがMMSメッセージを送信できるようにします。デフォルトは [オン] です。
    • 受信SMS。ユーザーがSMSメッセージを受信できるようにします。デフォルトは [オン] です。
    • 送信SMS。ユーザーがSMSメッセージを送信できるようにします。デフォルトは [オン] です。
    • 携帯データネットワーク。ユーザーがモバイルネットワークを構成できるようにします。デフォルトは [オン] です。
    • 日単位で制限(MB)。ユーザーが1日に使用できるモバイルデータのMB数を入力します。デフォルトは0で、この機能が無効になっています(MDM 4.0以降)。
    • 週単位で制限(MB)。ユーザーが1週間に使用できるモバイルデータのMB数を入力します。デフォルトは0で、この機能が無効になっています(MDM 4.0以降)。
    • 月単位で制限(MB)。ユーザーが1か月に使用できるモバイルデータのMB数を入力します。デフォルトは0で、この機能が無効になっています(MDM 4.0以降)。
    • セキュリティで保護された接続のみ。ユーザーがセキュリティで保護された接続のみを使用できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
    • オーディオの録音。ユーザーがデバイスでオーディオを録音できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
    • ビデオの録画。ユーザーがデバイスでビデオを録画できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
  • Samsung Knox
    • 失効チェックを有効にする。失効している証明書のチェックを有効にします。デフォルトは [オン] です。
    • コンテナにアプリを移動。ユーザーが、Knoxコンテナとデバイス上の個人的領域間でアプリを移動できるようにします。デフォルトは [オン] です。
    • 多要素認証を強制。ユーザーはデバイスを開くため、指紋に加えてパスワードやPINなどもう1つ別の認証方式を使用する必要があります。デフォルトは [オン] です。
    • TIMAキーストアを有効化。TIMA KeyStoreは、対称キーのTrustZoneベースのセキュアなキーストレージを提供します。RSAキーペアと証明書は、ストレージのデフォルトのキーストアプロバイダーを経由します。デフォルトは [オン] です。
    • コンテナ認証を強制。別個の異なる認証を使用して、デバイスのロック解除に使用されたものからKnoxコンテナを開きます。デフォルトは [オン] です。
    • 共有一覧。ユーザーがShare Viaの一覧のアプリ間でコンテンツを共有できるようにします。デフォルトは [オン] です。
    • 監査ログを有効化。デバイスのフォレンジクス解析用イベント監査ログの作成を有効にします。デフォルトは [オン] です。
    • セキュリティで保護されたキーパッドを使用。Knoxコンテナ内部のセキュアなキーボードを強制的にユーザーに使用させます。デフォルトは [オン] です。
    • 認証スマートカードブラウザー。スマートカードリーダーが装備されているデバイスでブラウザー認証を有効にします。
    • Samsung DeXを有効化。サポート対象のKnox対応デバイスを有効にして、Samsung DeXモードで実行します。Samsung Knox 3.1(最小バージョン)が必要です。デフォルトは [オン] です。Samsung DeXのデバイス要件とSamsung DeXの設定については、「Samsung DeXの機能」を参照してください。
      • DeXモードでのみイーサネットを許可。Samsung DeXモードでのイーサネットの使用を有効にします。携帯データネットワーク、Wi-Fi、テザリング(Wi-Fi、Bluetooth、USB)は、DeXモードで制限されています。デフォルトは [オン] です。この設定をオンにすると、以下の設定を使用できます:
      • Dexロゴ画像のアップロード。この設定を選択して、.png画像をSamsung DeXのアイコンとして使用するよう指定します。
      • DeX画面のタイムアウト(秒)。DeX画面がオフになるまでのアイドル時間を秒単位で指定します。タイムアウトを無効にするには、0に設定します。デフォルトは1,200秒(20分)です。
      • Samsung DeXでアプリのショートカットを追加。ショートカットをDeXで追加するアプリのパッケージ名を指定します。アプリのパッケージ名を検索するには、Google Playに移動してアプリを選択します。URLは、パッケージ名を含みます:https://play.google.com/store/apps/details?id=<package.name>
      • Samsung DeXでアプリのショートカットを削除。DeXからショートカットを削除するアプリのパッケージ名を指定します。アプリのパッケージ名を検索するには、Google Playに移動します。
      • DeXで無効にするアプリパッケージ。Samsung DeXモードからブロックするアプリパッケージの一覧をコンマ区切りで指定します。例:"com.android.chrome", "com.google.android.gm"

Samsung SAFEの設定

デバイスポリシー構成画面

一部のオプションについては、特定のSamsung Mobile Device Management APIの元でのみ使用できます。該当するオプションには、関連するバージョン情報が記されています。

  • ハードウェアの制御を許可
    • ODE信頼済み起動検証を有効化: ODE信頼済みブート検証を使って、ブートローダーからシステムイメージへの信頼のチェーンを確立します。
    • 開発モードを許可: ユーザーがデバイスで開発者設定を有効にできるようにします。
    • 緊急電話のみ許可: ユーザーがデバイスで緊急電話のみモードを有効にできるようにします。
    • ファームウェアリカバリを許可: ユーザーがデバイスでファームウェアを復元できるようにします。
    • 高速暗号化を許可: 使用済みのメモリ領域のみ暗号化を許可します。これは、設定、アプリケーションデータ、ダウンロードしたファイルおよびアプリケーション、メディア、およびその他のファイルを含め、すべてのデータを暗号化するフルディスク暗号化とは対照的な方法です。
    • Common Criteria Mode:デバイスをCommon Criteriaモードにします。Common Criteria構成は、厳重なセキュリティプロセスを遂行します。
    • 工場出荷時リセット: ユーザーがデバイスを出荷時の設定に戻すことができるようにします。
    • 日付/時刻の変更: ユーザーがデバイスの日付と時刻を変更できるようにします。
    • DOD再起動バナー: ユーザーのデバイスが再起動された時にDoD承認システム使用通知メッセージまたはバナーを表示します。
    • 設定の変更: デバイスでユーザーが設定を変更できるようにします。
    • バックアップ: ユーザーがデバイス上にアプリケーションやシステムデータをバックアップできるようにします。
    • 無線アップグレード: ユーザーのデバイスでソフトウェアの更新プログラムをワイヤレスで受信できるようにします(MDM 3.0以降)。
    • バックグラウンドデータ: アプリがバックグラウンドでデータを同期できるようにします。
    • カメラ: ユーザーがデバイスでカメラを使用できるようにします。
    • クリップボード: ユーザーがデバイスでデータをクリップボードにコピーできるようにします。
      • クリップボード共有: ユーザーが自分のデバイスとコンピューター間でクリップボードのコンテンツを共有できるようにします(MDM 4.0以降)。
    • ホームキー: ユーザーがデバイスでHomeキーを使用できるようにします。
    • マイク: ユーザーがデバイスでマイクを使用できるようにします。
    • 疑似ロケーション: ユーザーがGPSの場所を偽装できるようにします。
    • NFC: ユーザーがデバイスでNFCを使用できるようにします(MDM 3.0以降)。
    • 電源オフ: ユーザーがデバイスの電源を切れるようにします(MDM 3.0以降)。
    • スクリーンショット: ユーザーがデバイスでスクリーンショットを撮れるようにします。
    • SDカード: ユーザーが、可能な場合にはデバイスでSDカードを使用できるようにします。
    • 音声ダイヤラー: ユーザーがデバイスで音声ダイヤラを使用できるようにします(MDM 4.0以降)。
    • SBeam: ユーザーがNFCやWi-Fi Directを使ってほかのユーザーとコンテンツを共有できるようにします(MDM 4.0以降)。
    • SVoice: ユーザーがデバイスでインテリジェントパーソナルアシスタントおよびナレッジナビゲーターを使用できるようにします(MDM 4.0以降)。
    • 複数ユーザーを許可: 複数のユーザーがデバイスを使用できるようにします(MDM 4.0以降)。デフォルトは、[オフ] です。
  • アプリを許可
    • ブラウザー: ユーザーがWebブラウザーを使用できるようにします。
    • YouTube: ユーザーがYouTubeへアクセスできるようにします。
    • Google Play/Marketplace: ユーザーがGoogle PlayやGoogle Apps Marketplaceにアクセスできるようにします。
    • Google Play非対応アプリを許可: ユーザーがGoogle PlayやGoogle Apps Marketplace以外のサイトからアプリをダウンロードできるようにします。[オン] の場合、ユーザーはデバイスのセキュリティ設定を使用して、不明な情報源からのアプリを信頼できます。
    • システムアプリを停止: ユーザーが事前にインストール済みのシステムアプリを無効にできるようにします(MDM 4.0以降)。
    • アプリケーションを無効化:[オン] の場合、指定した一覧のアプリがSamsung SAFEデバイスで実行されないようにブロックされます。インストールされているアプリを無効にするには、設定を [オン] に変更し、[アプリケーション一覧] 表で [追加] をクリックしてから、アプリのパッケージ名を入力します。
  • アプリケーションリスト: ブロックしたいアプリのリスト。[アプリケーションを無効にする][オン] に設定してアプリを追加し、アプリのパッケージ名を入力します。アプリ一覧を変更して展開すると、以前のアプリ一覧が上書きされます。例:com.example1とcom.example2を無効にしてから、アプリ一覧の内容をcom.example1とcom.example3に変更すると、com.example.2が有効になります。
  • ネットワーク
    • 受信MMS: ユーザーがMMSメッセージを受信できるようにします。
    • 受信SMS: ユーザーがSMSメッセージを受信できるようにします。
    • 送信MMS: ユーザーがMMSメッセージを送信できるようにします。
    • 送信SMS: ユーザーがSMSメッセージを送信できるようにします。
    • ユーザーによるプロファイルの追加 - VPN:
    • Bluetooth: ユーザーがBluetoothを使用できるようにします。
      • テザリング: ユーザーが、Bluetooth接続を使ってモバイルデータ接続をほかのデバイスと共有できるようにします。
    • Wi-Fi: ユーザーがWi-Fiネットワークに接続できるようにします。
      • テザリング: ユーザーが、Wi-Fi接続を使ってモバイルデータ接続をほかのデバイスと共有できるようにします。
      • 直接: ユーザーがWi-Fi接続を介して、ほかのデバイスに直接接続できるようにします(MDM 4.0以降)。
      • 状態の変更: アプリでWi-Fi接続の状態を変更できるようにします。
      • ユーザーによるポリシーの変更: ユーザーがWi-Fiポリシーを変更できるようにします。オフの場合、ユーザーはWi-Fiのユーザー名とパスワードのみを変更できます。オンにした場合、ユーザーはすべてのWi-Fiポリシーを変更することができます。
    • テザリング: ユーザーが、モバイルデータ接続をほかのデバイスと共有できるようにします。
    • 携帯データネットワーク: ユーザーがデータ用の携帯ネットワーク接続を使用できるようにします。
    • ローミングを許可: ユーザーがローミング中に携帯ネットワークデータを使用できるようにします。デフォルトは[オフ]で、ユーザーのデバイスでローミングが無効になっています。
    • セキュリティで保護された接続のみ: ユーザーがセキュリティで保護された接続のみを使用できるようにします(MDM 4.0以降)。
    • Androidビーム: NFCを使用して、ユーザーが手元のデバイスから他のデバイスにWebページ、写真、ビデオなどのコンテンツを送信できるようにします(MDM 4.0以降)。
    • オーディオの録音: ユーザーがデバイスでオーディオを録音できるようにします(MDM 4.0以降)。
    • ビデオの録画: ユーザーがデバイスでビデオを録画できるようにします(MDM 4.0以降)。
    • 位置情報サービス: ユーザーがデバイスでGPSをオンにできるようにします。
    • 日単位で制限(MB): ユーザーが一日に使用できるモバイルデータのMB数を入力します。デフォルトは0で、この機能が無効になっています(MDM 4.0以降)。
    • 週単位で制限 (MB): ユーザーが一週間に使用できるモバイルデータのMB数を入力します。デフォルトは0で、この機能が無効になっています(MDM 4.0以降)。
    • 月単位で制限 (MB): ユーザーが1か月に使用できるモバイルデータのMB数を入力します。デフォルトは0で、この機能が無効になっています(MDM 4.0以降)。
  • USB操作を許可: ユーザーのデバイスとコンピューター間でUSB接続を可能にします。
    • デバッグ: USB上でのデバッグを可能にします。
    • ホストストレージ: USBデバイスがユーザーのデバイスに接続された時、ユーザーのデバイスがUSBホストとして機能するようにできます。これにより、ユーザーのデバイスがUSBデバイスに電源を供給します。
    • 大容量ストレージ: USB接続上で、ユーザーのデバイスとコンピューター間で大容量のデータファイルを転送できるようにします。
    • Kiesメディアプレーヤー: ユーザーがSamsung Kiesツールを使って、デバイスとコンピューター間でファイルを同期できるようにします。
    • テザリング: ユーザーが、USB接続を介してモバイルデータ接続をほかのデバイスと共有できるようにします。

Samsung Knoxの設定

デバイスポリシー構成画面

デバイスポリシー構成画面

これらのオプションは、Samsung Knox Premium(最小バージョンはKnox 2.0)でのみ使用できます。

  • カメラの使用を許可: ユーザーがデバイスでカメラを使用できるようにします。
  • 失効チェックを許可: 失効した証明書のチェックを有効にします。
  • コンテナにアプリを移動: ユーザーに、Knoxコンテナとデバイス上の個人的領域間でアプリを移動できるようにします。
  • 多要素認証を強制: ユーザーはデバイスを開くため、指紋に加えてパスワードやPINなどもう1つ別の認証方式を使用する必要があります。
  • TIMAキーストアを有効化: TIMA KeyStoreは、対称キーのTrustZoneベースのセキュアなキーストレージを提供します。RSAキーペアと証明書は、ストレージのデフォルトのキーストアプロバイダーを経由します。
  • コンテナ認証を強制: 別個の異なる認証を使用して、デバイスのロック解除に使用されたものからKnoxコンテナを開きます。
  • 共有一覧: ユーザーがShare Viaの一覧のアプリ間でコンテンツを共有できるようにします。
  • 監査ログを有効化: デバイスのフォレンジクス解析用イベント監査ログの作成を有効にします。
  • セキュリティで保護されたキーパッドを使用: Knoxコンテナ内部のセキュアなキーボードを強制的にユーザーに使用させます。
  • Google Appsを有効化: ユーザーがGoogle Mobile ServicesからKnoxコンテナにアプリをダウンロードできるようにします。
  • 認証スマートカードブラウザー: スマートカードリーダーが装備されているデバイスでブラウザー認証を有効にします。
  • Samsung DeXを有効化: サポート対象のKnox対応デバイスを有効にして、Samsung DeXモードで実行します。Samsung Knox 3.1(最小バージョン)が必要です。デフォルトは [オン] です。Samsung DeXのデバイス要件とSamsung DeXの設定については、「Samsung DeXの機能」を参照してください。
  • Dexモードでのみイーサネットを許可: Samsung DeXモードでイーサネットの使用を有効にします。携帯データネットワーク、Wi-Fi、テザリング(Wi-Fi、Bluetooth、USB)は、DeXモードで制限されています。
  • Dexロゴ画像のアップロード: この設定を選択して、.png画像をSamsung DeXのアイコンとして使用するよう指定します。
  • DeX画面のタイムアウト: DeX画面がオフになるまでのアイドル時間を秒単位で指定します。タイムアウトを無効にするには、0に設定します。デフォルトは1,200秒(20分)です。
  • Samsung DeXでアプリのショートカットを追加: ショートカットをDeXで追加するアプリのパッケージ名を指定します。アプリのパッケージ名を検索するには、Google Playに移動してアプリを選択します。URLは、パッケージ名を含みます:https://play.google.com/store/apps/details?id=<package.name>
  • Samsung DeXでアプリのショートカットを削除: DeXからショートカットを削除するアプリのパッケージ名を指定します。アプリのパッケージ名を検索するには、Google Playに移動します。
  • Samsung DeXで無効にするアプリパッケージ: Samsung DeXモードからブロックするアプリパッケージの一覧をコンマ区切りで指定します。例:"com.android.chrome", "com.google.android.gm"

Windows PhoneおよびWindowsデスクトップ/タブレットの設定

デバイスポリシー構成画面

  • Wi-Fi設定
    • Wi-Fiを許可: デバイスをWi-Fiネットワークに接続できるようにします。Windows Phoneのみ。
    • インターネット共有を許可: Wi-Fiホットスポットに切り替えてデバイスがインターネット接続をほかのデバイスと共有できるようにします。
    • Wi-Fiセンサーホットスポットへの自動接続を許可: デバイスがWi-Fiセンサーホットスポットに自動で接続できるようにします。このオプションを実行するには、位置情報サービスを有効にする必要があります。Wi-Fi Senseについて詳しくは、Windows PhoneのWi-Fi Sense FAQを参照してください。
    • 手動構成を許可: ユーザーがWi-Fi接続を手動で構成できるようにします。Windows Phoneのみ。
  • 接続
    • NFCを許可: デバイスがNFCタグまたはほかのNFC対応送信デバイスと通信できるようにします。Windows Phoneのみ。
    • Bluetoothを許可: デバイスがBluetoothを介して接続できるようにします。Windows Phoneのみ。
    • 携帯ネットワーク経由のVPNを許可: デバイスがVPN上で携帯ネットワークと接続できるようにします。
    • ローミング時の携帯ネットワーク経由のVPNを許可: デバイスが携帯ネットワーク上をローミングしたら、デバイスがVPN上で接続できるようにします。
    • USB接続を許可: デスクトップがUSB接続を介してデバイスのストレージにアクセスできるようにします。Windows Phoneのみ。
    • 携帯ネットワークデータのローミングを許可: ローミングの間にユーザーが携帯データネットワークを使えるようにします。
  • アカウント
    • Microsoftアカウントの接続を許可: デバイスが、非メール関連の接続認証とサービスにMicrosoftアカウントを使用できるようにします。
    • Microsoft以外のメールを許可: ユーザーがMicrosoft以外のメールアカウントを追加できるようにします。
  • 検索: Windows Phoneのみ。
    • 場所を使用する検索を許可: 検索で、デバイスの位置情報サービスを使用できるようにします。
    • アダルトコンテンツをフィルター: アダルトコンテンツを許可します。デフォルトは [オフ] で、アダルトコンテンツはフィルターされません。
    • Bing Visionでイメージの格納を許可: Bing Vision検索を実行するときに、Bing Visionがキャプチャされたイメージを格納できるようにします。
  • システム
    • ストレージカードを許可: デバイスでストレージカードの使用を許可します。
    • テレメトリ: 一覧で、デバイスによる利用統計情報の送信を許可または制限するオプションをクリックします。デフォルトは [許可] です。そのほかのオプションには、[許可しない] および [許可(セカンダリデータ要求を除く)] があります。
    • 位置情報サービスを許可: 位置情報サービスを有効にします。
    • 内部ビルドのプレビューを許可: ユーザーがMicrosoft内部ビルドをプレビューできるようにします。
  • カメラ: Windowsデスクトップ/タブレットのみ
    • カメラの使用を許可: ユーザーがデバイスのカメラを使用できるようにします。
  • Bluetooth: Windowsデスクトップ/タブレットのみ
    • 検出可能モードを許可: Bluetoothデバイスがローカルデバイスを検出できるようにします。
    • ローカルデバイス名: ローカルデバイスの名前。
  • セキュリティ: Windows Phoneのみ
    • ルート証明書の手動インストールを許可: ユーザーがルート証明書を手動でインストールできるようにします。
    • デバイスの暗号化を必須とする: デバイス暗号化を求めます。デバイスで暗号化が有効になった後に、無効にすることはできません。デフォルトは [オフ] です。
    • コピーと貼り付けを許可: ユーザーがデバイスでデータをコピーおよび貼り付けできるようにします。
    • スクリーンキャプチャを許可: ユーザーがデバイスで画面キャプチャを作成できるようにします。
    • 音声の録音を許可: ユーザーがデバイスで音声録音を使用できるようにします。
    • Officeファイルの[名前を付けて保存]を許可: ユーザーがOfficeファイルを[名前を付けて保存]を使用して保存できるようにします。
    • アクションセンターの通知を許可: デバイスのロック画面で、アクションセンターの通知を有効にします。
    • Cortanaを許可: ユーザーがCortanaのインテリジェントパーソナルアシスタントおよびナレッジナビゲーターにアクセスできるようにします。
    • デバイス設定の同期を許可: ユーザーがローミング時にWindows Phone 8.1デバイス間で設定を同期できるようにします。
  • 操作性: Windowsデスクトップ/タブレットのみ
    • Cortanaを許可: ユーザーがCortanaのインテリジェントパーソナルアシスタントおよびナレッジナビゲーターにアクセスできるようにします。
    • デバイスの検出を許可: デバイスのネットワーク検出を有効にします。
    • 手動のMDM登録解除を許可: ユーザーがEndpoint Management MDMから手動でデバイスの登録を解除できるようにします。
    • デバイス設定の同期を許可: ユーザーがローミング時にWindows 10デバイス間で設定を同期できるようにします。
  • ロック例外: Windowsデスクトップ/タブレットのみ
    • トーストを許可: ロック画面でトースト通知を許可します。Windowsデスクトップ/タブレットのみ
  • アプリ
    • ストアへのアクセスを許可: ユーザーがMicrosoftストアにアクセスできるようにします。Windows Phoneのみ。
    • 開発者によるデバイスのロック解除を許可: ユーザーがMicrosoftにデバイスを登録し、Windows Phoneアプリストアにはないアプリケーションを開発またはインストールできるようにします。Windows Phoneのみ。
    • Webブラウザーアクセスを許可: デバイス上でInternet Explorerを使用できるようにします。Windows Phoneのみ。
    • Appstoreの自動更新を許可: アプリストアによるアプリの自動更新を許可します。Windowsデスクトップ/タブレットのみ。
  • プライバシー: Windowsデスクトップ/タブレットのみ
    • 入力の個人設定を許可: 入力の個人設定を許可します。ペンやタッチキーボードなどでユーザーが入力した内容をベースに、予測変換の精度を向上します。
  • 設定: Windowsデスクトップ/タブレットのみ。
    • 自動再生を許可: ユーザーが自動再生設定を変更できるようにします。
    • データセンターを許可: ユーザーがデータセンサー設定を変更できるようにします。
    • 日付/時刻を許可: ユーザーが日付/時刻設定を変更できるようにします。
    • 言語を許可: ユーザーが言語設定を変更できるようにします。
    • 電源スリープを許可: ユーザーが電源設定およびスリープ設定を変更できるようにします。
    • リージョンを許可: ユーザーがリージョン設定を変更できるようにします。
    • サインインオプションを許可: ユーザーがサインイン設定を変更できるようにします。
    • ワークプレースを許可: ユーザーがワークプレース設定を変更できるようにします。
    • アカウントを許可: ユーザーがアカウント設定を変更できるようにします。

Amazonの設定

デバイスポリシー構成画面

  • ハードウェアの制御を許可
    • 工場出荷時リセット: ユーザーがデバイスを出荷時の設定に戻すことができるようにします。
    • プロファイル: ユーザーがデバイスでハードウェアプロファイルを変更できるようにします。
  • アプリを許可
    • Amazonアプリストア非対応アプリを許可: ユーザーがAmazonアプリストアに対応していないアプリをデバイスにインストールできるようにします。
    • ソーシャルネットワーク: ユーザーがデバイスからソーシャルネットワークにアクセスできるようにします。
  • ネットワーク
    • Bluetooth: ユーザーがBluetoothを使用できるようにします。
    • Wi-Fiスイッチ: アプリでWi-Fi接続の状態を変更できるようにします。
    • Wi-Fi設定: ユーザーがWi-Fi設定を変更できるようにします。
    • 携帯データネットワーク: ユーザーがデータ用の携帯ネットワーク接続を使用できるようにします。
    • ローミングデータ: ローミングの間にユーザーが携帯データネットワークを使えるようにします。
    • 位置情報サービス: ユーザーがGPSを使用できるようにします。
  • USB操作:
    • デバッグ: デバッグのためユーザーのデバイスがUSBを介してコンピューターに接続できるようにします。

Chrome OSの設定

ユーザーポリシー

デバイスポリシーのユーザーポリシー構成画面

  • フォームの自動入力を無効化: Chromeブラウザーの自動入力機能を許可するかどうかを選択します。このポリシーを [オン] に設定すると、自動入力機能が無効になります。デフォルトは [オン] です。
  • パスワードの保存を無効化: Chromeブラウザーでパスワードの保存機能を許可するかどうかを選択します。このポリシーを [オン] に設定すると、パスワードの保存機能が無効になります。デフォルトは [オン] です。
  • ページの翻訳を無効化: Chromeブラウザーで別の言語で表示されたWebページの翻訳を許可するかどうかを選択します。このポリシーを [オン] に設定すると、Webページの翻訳が無効になります。デフォルトは [オン] です。
  • 画像をブロックする: ChromeブラウザーでWebページの画像の表示を許可するかどうかを選択します。このポリシーを[オン]に設定すると、ChromeブラウザーでWebページの画像が表示されなくなります。デフォルトは [オフ] です。
  • シークレットモードを無効にする: [オン] にすると、Chrome OSデバイスユーザーはChromeでシークレットウィンドウを開けなくなります。G Suite Chromeの構成が必要です。デフォルトは [オン] です。
  • 閲覧履歴の保存を無効にする: [オン] の場合、ユーザーはChrome OSデバイスで閲覧の履歴の保存、この設定の上書き、タブの同期を行えません。G Suite Chromeの構成が必要です。デフォルトは [オフ] です。
  • 閲覧およびダウンロードの履歴の削除を無効にする: [オン] の場合、ユーザーはChrome OSデバイスで閲覧履歴とダウンロード履歴を削除できません。ただし、Chromeの履歴の削除を禁止した場合でも、ユーザーは履歴データベースファイルを直接編集したり削除したりできます。このWebブラウザー自体により、任意の時点で履歴項目の一部またはすべてが期限切れになるか、アーカイブされる場合があります。G Suite Chromeの構成が必要です。デフォルトは [オフ] です。
  • 印刷を無効にする: [オン] の場合、ユーザーはGoogle Chromeから印刷を行えません。レンチメニュー、拡張機能、Javascriptアプリなどの場所での印刷が無効になります。コンテキストメニューの[印刷]コマンドを使用するFlashアプリなど、Google Chromeを迂回して印刷するプラグインでの印刷は可能です。G Suite Chromeの構成が必要です。デフォルトは [オフ] です。
  • セーフブラウジングの警告ページからの移動を無効にします: [オフ] の場合、ユーザーはChrome OSデバイスで警告ページから移動して、悪意のある可能性があるサイトへアクセスできます。G Suite Chromeの構成が必要です。デフォルトは [オン] です。
  • セーフブラウジングモード: [オフ] の場合、Googleセーフブラウジングモードを有効にできなくなります。ユーザーは、Chromeの[危険なサイトからユーザーとデバイスを保護する]設定を変更したり、上書きしたりすることはできません。G Suite Chromeの構成が必要です。デフォルトは [オン] です。
  • ブックマークバーを有効にする: [オン ] の場合、Chromeでブックマークバーが表示されます。G Suite Chromeの構成が必要です。デフォルトは [オン] です。
  • ブックマークバーの編集を無効にする: [オン] の場合、ユーザーはブックマークの追加、更新、削除を行えません。G Suite Chromeの構成が必要です。デフォルトは [オン] です。
  • タスクマネージャーのプロセスの終了を無効にする: [オン] の場合、タスクマネージャー[プロセスの終了] ボタンが無効になります。G Suite Chromeの構成が必要です。デフォルトは [オン] です。
  • ホームボタンを表示: [オン] にすると、Chromeはブラウザーのホームボタンを表示します。G Suite Chromeの構成が必要です。デフォルトは [オン] です。
  • 外部ストレージへのアクセシビリティ: ユーザーがファイルブラウザーで外部ストレージデバイスにアクセスする方法を制御します。G Suite Chromeの構成が必要です。以下のオプションがあります:
    • 無効: 外部ストレージにアクセスできません。
    • 読み取り専用: ユーザーは外部ストレージにのみ読み取りアクセスできます。
    • 書き込み専用: ユーザーは外部ストレージにのみ書き込みアクセスできます。

    デフォルトは [無効] です。

  • ウェブサイト:ChromeブラウザでのWebサイトへのアクセスの制御に、ホワイトリストまたはブラックリストのどちらを使用するかを選択します。[ホワイトリスト] を選択すると、許可するURLの一覧を指定することになります。[ブラックリスト] を選択すると、Google管理コンソールのChromeポリシーで指定されたブラックリストURLの例外となるURL一覧を指定することになります。特定のフィルターはURLがブロックされているか許可されているかを判断します。ホワイトリストはブラックリストよりも優先されます。デフォルトは [ブラックリスト] です。選択後、[追加] をクリックしてWebサイト一覧を追加します。
  • 拡張機能のソース: 拡張機能、アプリ、テーマのインストールをユーザーに許可するURL一覧を指定します。

デバイスポリシー

デバイスポリシー構成画面

  • ゲストユーザーモードを無効にする: [オン] の場合、ゲストユーザーはChrome OSデバイスにサインオンできなくなります。G Suite Chromeの構成が必要です。デフォルトは [オフ] です。
  • シングルサインオンIDPのリダイレクト: [オン] の場合、SAMLベースのシングルサインオンが有効になります。G Suite Chromeの構成が必要です。デフォルトは [オン] です。
  • デバイスの状態のレポートを有効にする: [オン] の場合、デバイスはファームウェア、Chromeおよびプラットフォームのバージョン、起動モードなどの現在のデバイスの状態を報告します。G Suite Chromeの構成が必要です。デフォルトは [オン] です。
  • 最近のユーザーのレポートを有効にする: [オン] の場合、デバイスは最近デバイスにログオンしたユーザー一覧を報告します。デバイスがローカルユーザーデータをすべて消去するように構成されている場合、レポートはユーザーに送信されません。G Suite Chromeの構成が必要です。デフォルトは [オン] です。
  • シングルサインオンCookieの動作: [オン] の場合、ユーザーがSAML資格情報でサインオンするたびに、SAML IdPで設定されたCookieがユーザープロファイルに転送されます。[オフ] の場合、最初のサインオン時にのみCookieが転送されます。G Suite Chromeの構成が必要です。デフォルトは [オン] です。
  • App Runtime for Chrome(ARC)を有効にする: [オン] の場合、登録済みのChrome OSデバイスユーザーがAndroidアプリを実行できるようになります。[アプリ制限]デバイスポリシーでARCアプリを指定します。G Suite Chromeの構成が必要です。現在のユーザーセッションでエフェメラルモードまたは複数のサインオンが有効な場合、ARCは利用できません。[オフ] の場合、企業のChrome OSデバイスユーザーはAndroidアプリを実行できません。デフォルトは [オン] です。
  • 強制再登録: [オン] の場合、デバイスのワイプ後、以前のG Suiteドメインへの再登録をデバイスに強制します。G Suite Chromeの構成が必要です。デフォルトは [オン] です。
  • デバイス無効メッセージ: 何らかの理由でデバイスが無効になっている場合、このテキストボックスに入力されたメッセージが表示されます。
  • Sign-in autocomplete domain name: ドメイン名(students.school.eduなど)に設定する場合、ユーザーのサインイン時にChromeがドメイン名でオートコンプリートオプションを表示します。空白のままにした場合、Chromeはドメイン名のオートコンプリートオプションを表示しません。G Suite Chromeの構成が必要です。
  • デバイスのタイムゾーン設定:
    • システムのタイムゾーン: Chrome端末のタイムゾーンを選択します。
    • タイムゾーンの検出: タイムゾーンの検出に使用する設定を指定します。G Suite Chromeの構成が必要です。
      • ユーザーが決定: Chrome OSデバイスで標準の日付と時刻の設定を使用してポリシーを構成できます。
      • 無効: タイムゾーン情報へのアクセスを拒否します。
      • IPのみ: デバイスのIPアドレスに基づいてタイムゾーンを設定します。
      • Wi-Fiアクセスポイント: ユーザーのWi-Fi接続に基づいてタイムゾーンを設定します。
      • 位置情報を使用: ユーザーの現在地を検出してタイムゾーンを設定します。
  • サインインが許可されたユーザー: メールのサフィックス(*@example.comなど)に基づいて、Chrome OSデバイスにサインインできるユーザーを制限します。