端末の機能制限

MobiControl v14 Manual

情報漏洩などセキュリティ対策を目的に、端末の機能を制限します。

職場内と職場外で、端末の機能項目毎に、 これを制限するか否かを設定できます。
例えば職場内ではカメラ撮影を不可能にし、職場外ではそれを可能にするなどの設定です。
これは、MobiControlのジオフェンス機能、アラート機能、それに基づく端末グループ移動の機能を適用します。

(図1)の「構成プロファイルメニュー」の画面を表示します。

表示方法は、
Android Enterpriseの構成プロファイルの作成 」を参照ください。

(図1)
Android Enterpriseの構成プロファイル・メニュー

「Device Owner Mode」と「Profile Owner Mode」によって、
制限できる
端末機能は、異なります。

(図1)で、「端末機能制限」を選択すると、(図2)が現れます。
Device Owner Modeで有効
Profile Owner Modeで有効

(図2)

Bluetoothを停止
カメラ機能を停止
スクリーンキャプチャを禁止
工場出荷状態へ戻すリセット機能を禁止
メニュー画面からの工場出荷状態に戻すことは禁止。但しハードウェアキーで戻すことは禁止できない。
安全ブートを無効にする
セーフモードでの端末起動ができないようにする。
セーフモードでは工場出荷時のプリインストールアプリのアイコンのみを表示する。
Android6.0以降で可能。
スマートロックを無効にする
スマートロックができないようにする。スマートロックとは一定の条件に端末があれば、スワイプだけで
ロック解除ができるモードです。Android6.0以降で可能
SMSの使用禁止
無線LANの設定可否
充電中に起動状態を維持
場所の精度
右端をプルダウンすると、次の5択が現われる。

  1. ユーザによる構成を許可する
  2. 無効にする(地理的位置情報の取得をしない)
  3. 高精度(GPS並びに携帯基地局とWiFi/APから位置情報取得)
  4. GPS限定
  5. 省電力(携帯基地局とWiFi/APから位置情報取得)

2、3、4、5の場合、端末ユーザが選択肢を変えることはできない。

ステータスバーを無効
ステータスバーをスワイプしても、拡大表示しない。ステータスの詳細情報は表示されない。
キーガードカメラを無効にする
画面をアンロックしなくてもカメラ撮影ができる機能を停止する。
(キーガードカメラの起動可否およびその方法は端末メーカーに依る)
セーフモードの無効化
端末をセーフモードで起動できなくする。セーフモードでは工場出荷時のプリインストールアプリのアイコンのみを表示する。
データローミング
ローミング中のデータ送受の可否
業務と個人の間でコピー/貼り付けを無効にする
業務領域(業務アプリとそのデータ)と私用領域の間でのデータのコピーまたは貼り付けを禁止する。
通知を隠す
ロック解除画面で表示されるPIN、パターンの軌跡、パスワード文字列などの慎重に扱うべき情報を、そのまま表示せず、代替形式で表示する

Android6.0以降で可能。
管理対象アプリのアンインストールを無効にする
端末ユーザが、アプリカタログまたはパッケージ配布されたアプリをアンインストールできないようにする。
サードパーティの入力方法を無効にする
キーボードデバイスなど、端末に入力するデバイスを接続しても、それを無効にする。
既に、接続済みのデバイスは利用可能。
Workの連絡先の発信者ID情報を無効にする
業務領域内の連絡先に記述されている発信者ID情報を
端末ユーザに見せないようにする。
不明なソースからインストールを無効
不明なソースからのアプリをインストールさせない。
マルチユーザー制御の無効化
複数のユーザ資格情報(パスワードなど)で端末をアンロックできないようにする。
Disable Mounting Physical External Media
SDカード挿入またはUSB接続した記憶装置を接続してもマウントできないようにする
Workから個人プロファイルからの共有を許可
業務アプリのデータを私用アプリで開くことを許可
NFC発信を無効
仕事用プロファイル以外のアプリからデータをNFC経由で出力しないようにする。
Bluetoothコンタクトの共有を無効
Bluetoothを使って連絡先情報の共有を無効にする。Android6.0以降で可能。
デバッグモードでUSB接続禁止
パソコンからUSB経由で端末を操作できないようにする。
USBファイル転送およびUSBストレージを無効にする
USB経由でPCなど外部デバイスとデータ伝送をさせない。USBインターフェイスを持つストレージと接続してもファイル送受は不能。
証明書管理を無効
「設定」から端末証明書を抜き変えることができないようにする。
テザリング管理を無効
テザリングの設定を無効にする。
アプリ管理を無効
端末ユーザがアプリをアンインストールしたり、改変できないようにする。
アプリが生成したデータやキャッシュ並びにアプリのデフォルト設定値の削除もできないようにする。
Bluetooth管理を無効
Bluetoothの設定ができないようにする。
WiFi管理を無効
SSIDなどのWiFiに関する設定値を変更できないようにする。
VPN管理を無効
VPNに関する設定値を変更できないようにする。
ネットワーク設定のリセットを無効
「設定」のネットワークに関する設定値をリセットできないようにする。
Android6.0以降で可能。
管理されたプロファイルの場所の共有を無効
管理されたプロファイルの中のアプリ(アプリカタログで配布したアプリ)が端末の地理的情報を取得できないようにする。
MobiControlエージェントも端末の地理的情報を取得できなくなる。
携帯電話の発信を無効
LINEやSkype等のVoIPは可能だが、モバイル端末の通常電話の発信をできないようにする。
セキュリティ強度の面で、
最低許容レベルとした無線LAN暗号方式レベル以上しか使わせない

右端をプルダウンすると、右図の選択肢が現れる。下に位置するほどセキュリティ強度が強くなる。
ここで選択した方式より強度の弱い方式では、端末ユーザは、WiFiを設定できない。「Open」の場合は、全ての方式での設定を許容する。

アプリを始めて使用する時にヒントをスキップ
アプリに依っては、最初の起動時に、アプリの紹介や使用方法の説明画面が表示されることがあります。
チェックを入れると、これらの説明が表示されなくなる。

すべてのキーガード機能を無効化
キーガード状態(ロック状態)でも起動できる機能(注1)を起動させない。併せてスマートロック(注2)も禁止します。
指紋認証を無効
ロック解除に指紋認証を許可しない
すべての通知を無効
ロック解除画面では、PIN、パターンの軌跡、パスワード文字列などを表示しない
Disable Account Creation
新しいアカウントの作成を禁止。「Googleの新規アカウントのみを作成できないようにする」または「全ての新規アカウントを作成できないようにする」
のどちらを選択。
現在割り当てられているアカウントは有効。
ドーズモードを無効にする
チェックを入れると、端末がスリープ状態でもMobiControlサーバとの接続を維持する。
但し、接続時間帯の設定で、「常時接続」で設定しておいた場合のみ。
(ドーズモードは、端末メーカーにより表現が異なる。「スタミナモード」「電池最適化」などとも呼ばれる。)
常にサーバとの接続を維持」を参照ください。
常にVPNをオン
端末のデータトラフィックは、全てVPN経由とする。右側に、VPN名を入力する。
VPN名は、「構成プロファイル」--> 「VPN」で設定したVPN設定に名付けた名前。
端末を起動すると、自動的に、このVPN接続が確保される。
すべてのシステムUIを無効にする
Android OSは、Toasts、Phone Activities、
Priority Phone Activities、System Alerts、System Errors および
System Overlays などのすべてのポップアップ(システム UI)を表示しなくなります。
アプリ検証の強制を無効にする
Google Playプロテクトに、アプリがマルウェアか否かの検証をさせない。

デバイス チェックインで SafetyNet チェックを実行
Androidに実装されているSafetyNetに依り、端末がRoot化されたか否かをチェックできます。
ここにチェックを入れると、1日に一回、更には、MobiControlサーバへのチェックインの毎に、このチェックを行います。
  • 注1キーガードでも有効な機能
    次のような機能は、画面ロック中でも利用可能になっている端末があります。

    • 上辺からスワイプしての「通知」
    • 音声アシスト
    • カメラ

    端末メーカーによっては、他の機能もロック中でも使えるようになっています。

  • 注2スマートロックは、一定の条件ならロック解除のための所定の操作を
    しなくてもロック解除ができることを指します。例えば、下記の条件でロック解除の操作が不要になります。

    • 端末の所在地が自宅または職場
    • 特定のデバイスとの接続状態:特定のデバイスとは、「自分のクルマのハンズフリーシステム」や「自分のBluetoothイヤホン」など
    • 自分の顔を近づける
    • 音声認識(「OK Google」と話しかける)

 

構成プロファイルの作成が終わると、「OK」ボタンを押します。

構成プロファイルの作成が終わると、これを対象とする端末グループやAD(Active Directory)の
グループに割り当てます。そして、それを当該グループの端末に配布し、インストールします。
詳しくは、「Android Enterpriseの構成プロファイルの作成」のページの「E. 構成項目の編集または削除」以下を参照ください。