製品紹介バナー

Android Enterpriseとは? - 企業向けAndroid端末管理の新たな選択肢

企業でのスマートフォン活用を進めるにあたって端末の選定は大きな検討課題となります。

Android OSでは、Androidデバイスをビジネスで有効活用するための共通化された管理機能として、Android Enterprise (旧称:Android for Work)と呼ばれる新しい管理の仕組みが提供されています。

この仕組みを活用することで、異なる機種でも統一したセキュリティポリシーの適用ができ、かつMDM/EMMから従来以上に強固な管理を行えるため、安心してビジネスシーンでAndroid端末を活用することができます。

今回は、このAndroid Enterpriseについて解説します。

この記事の目次

  1. Android Enterpriseとは?
  2. 機能紹介 – 企業での活用方法
    1. Full device management(旧名称 Work-managed device)
    2. Work Profile Management
  3. 結論

Android Enterpriseとは?

Android EnterpriseはGoogleが提供しているAndroidモバイルOSの設定・制御を可能とする法人向けプログラムです。2016年12月までは、「Android for Work」と呼ばれていました。Android Enterpriseには端末管理を可能とする様々な機能が追加されており、対応したMDM、EMMソリューションを使うことで、画一的で高度な管理が可能となります。

法人向けの端末管理ソリューション(いわゆるMDMやEMM)は、各端末を制御するために端末に搭載されたOSのAPI(アプリケーションプログラミングインタフェース)を利用しています。例えばパスワードポリシーの設定やWi-Fi機能の禁止などといった設定を行う場合、管理者が画面上で指示した操作をエージェントと呼ばれるアプリケーションや、それに準じた仕組みが仲介して端末上で実行しています。

従来のAndroidに対するMDMの機能は、提供される端末、適用されるMDM/EMM製品により実現方法が異なっていました。そのため、機能を使える端末が限られてしまうことがありました。例えば、各MDM/EMMベンダーが提供していたAndroidでのアプリケーション禁止は、アプリケーションの起動状態を取得して、個別に該当するアプリケーションやプロセスを除外するなど、Androidが持つAPIを組み合わせることによって機能を実現していました。しかし、その仕組みは特定の端末では使えないこともあり、MDM/EMMを導入してから、ユーザーが利用したい機能が使えないことがわかるケースもありました。なお、当社製品「Optimal Biz」ではその様な齟齬を防ぐため、国内キャリアから発売される機種を検証し、結果を一覧表にし、公開しています。

現在のAndroid OSでは、新しくなったAndroid Enterpriseを利用することによって、機器依存によるクリティカルな機能差分がなくなることが期待されます。また、OSが直接制限機能を提供することになるため、先の例でいうと禁止したアプリの動作が停止するだけでなく、画面上から表示されなくなるなど、従来では実現困難であったOSレベルでの機能制限やアプリ管理機能などを提供することが可能となりました。

Android 5.0(Lollipop)ではデバイス製造元が任意でAndroid EnterpriseをOSのイメージに追加できたため、一部の機器のみ対応という状況でしたが、Android 6.0(Marshmallow)から標準の機能となっており、使用できる機器が増加しています。今でも多少の任意機能が存在していますが、基本となる機能はAndroid 6.0から搭載されており、今後の端末管理では、Android Enterpriseの利用がセキュリティ要件の達成に不可欠となります。

機能紹介 – 企業での活用方法

Android Enterpriseでは、利用用途によって複数の導入方法とコンフィグレーションがあります。本稿では、基本となる各項目の概要をご紹介します。ユーザーとしては、大きく二つの仕組みから利用する機能を選択します。一つ目がFull device managementというもので、企業が端末を所有して、従業員に業務用端末として配布するケースに最適なコンフィグレーションです。それ以外のケースとして、BYOD(Bring Your Own Deviceの略称であり、企業の従業員が私物端末を業務に利用・活用すること)として端末を運用する場合は、Work Profile Managementという最適なコンフィグレーションがあります。それ以外にも用途が限定された特殊なケースのための設定もありますが、一般的な法人利用においては、上記の2つから選ぶことになります。

Full device management(旧名称 Work-managed device)

企業所有のデバイスに適した端末管理を行う仕組みを提供します。企業での運用に即しており、既存のMDMでは制限の難しかった項目も制御可能な方式です。設定する際に必ず端末初期化を行う必要があるため、運用を開始してからFull device managementへ移行することは困難です。ただし、この仕組みを適用することでの効果は絶大で、Google Playからのアプリのサイレントインストール、端末初期化の禁止、USBデバッグなど開発者向けオプションの禁止、スクリーンショット撮影の禁止といった設定を簡単かつ、より高度な運用が可能となります。

なお、このFull device management向けの管理機能を使うには、GoogleからバリデーションをうけたEMMサービスを利用する必要があります。

  • デバイスセキュリティーポリシーの設定

    開発者向けオプションの制限、提供元不明アプリのインストール制限、スクリーンショットの撮影禁止、通知領域からの設定変更抑止など行えます。管理者が後から設定を変えることもできます。

  • 遠隔からのロック/ワイプ

    従来通りではありますが、デバイスを紛失または盗難した場合など、管理者が遠隔から作業データをリモートでロックまたはワイプが行えます。前項のセキュリティポリシーと合わせて利用することで、端末初期化を端末利用者から実行不可能な状態にしておき、管理者からのワイプ指示だけ受け取るといった運用も可能です。

  • 提供元不明アプリのインストールを無効にする

    提供元不明アプリのインストール無効化が行えます。従来は、端末の運用開始後、社内で開発・配信したアプリの不具合が発覚し、デバッグアプリのインストールが必要になった場合、端末利用者自身がこの設定を一時的に有効へ変更する必要がありました。Full device managementを利用している場合は、MDM/EMMの管理サイト上から設定を変更して、端末に反映させるだけで有効/無効の切り替えができます。

  • Google Playを企業専用に構築

    企業専用のGoogle Playを構築することができます。この専用のGoogle Play上に表示させるアプリケーションは、企業の管理者が自由に指定することが出来ます。専用のカタログアプリなどをインストールする必要もなく、通常のGoogle Playアプリを起動するだけで利用が可能です。表示アプリケーションの設定は、組織やユーザーごとに規定することも可能です。

  • Google Playアプリへの設定

    Google Play上で公開されているアプリで実行する権限の選択を規定することができます。アプリのバージョンアップ以降、突然アプリから連絡帳へのアクセスを要求されるようになったが、社内規定で禁止されているような場合に、アクセス要求が一旦保留され、アプリ毎に承認、拒否などの設定が可能です。 また、Google Playに公開されているアプリ毎に各アプリベンダーが定めた固有の設定値を送ることができます。例えばGmailの場合、ユーザーのメールアカウント設定をGmailアプリに自動で設定でき、利用者一人ひとりが手動でアカウントを登録する必要がなくなります。

  • Google Play上のアプリのサイレントインストール/アンインストール

    Google Play上のアプリのサイレントインストール、サイレントアンインストールが行えます。今までは、原則端末へインストールを促す通知を出すことしかできませんでしたが、本機能を利用することで、利用者の操作なくアプリケーションのインストールを促すことができるため、アプリケーション配布の運用コストを削減できます。

より詳細的な説明はGoogleのディベロッパー向けドキュメント(英語)をご参照ください。
Fully managed device  |  Android Enterprise  |  Google Developers

Work Profile Management

Android 5.0で導入されたBYODに適した端末管理を行うことができます。組織の業務に関係するデータとアプリのみを企業で管理する仕組みです。端末のその他データとアプリについては、ユーザーに管理を任せることになりますが、業務データの隔離や削除、業務アプリ利用時のセキュリティ設定などを遠隔から行えます。さらに、BYOD以外にも既存で運用されている端末の管理など、何らかの理由でFull device managementとして運用出来ないケースにおいての活用が見込まれる機能です。

結論

Android Enterpriseを活用することで得られるメリットは、以下の通りです。

  • 機種に依存しない、統一したセキュリティポリシーでAndroid端末を管理することができます。
  • Full device managementを利用することで、企業所有のデバイスに適した強固な端末管理を実現することができます。
  • BYODにも最適なWork Profile Managementも用意されています。
  • 企業専用のGoogle Playを簡単に作成でき、そのストアに公開されたアプリのサイレントインストール・アンインストールが可能です。

これからAndroidデバイスの管理をしたい場合はAndroid Enterpriseの利用をおすすめします。MDM/EMMソリューション「Optimal Biz」はAndroid EnterpriseのFull device managementに対応したGoogleによってバリデーションされたEMMソリューションです。ぜひご活用ください。

このブログの免責事項について