端末の機能制限

MobiControl v14 Manual

情報漏洩などセキュリティ対策を目的に、端末の機能を制限します。

(図1)の「構成プロファイルメニュー」の画面を表示します。

表示方法は、
Android Enterpriseの構成プロファイルの作成 」を参照ください。

(図1)
Android Enterpriseの構成プロファイル・メニュー

「Device Owner Mode」と「Profile Owner Mode」によって、制限できる端末機能は、異なります。

(図1)で、「端末機能制限」を選択すると、(図2)が現れます。
Device Owner Modeで有効
Profile Owner Modeで有効

(図2)

Bluetooth
右端をプルダウンすると、次の3択が現われる。

  1. ユーザによる構成を許可する
    端末ユーザにより「有効化」「無効化」の選択が可能
  2. 無効化
    利用不可になり、端末ユーザによる変更は不可

  3. 有効化
    利用可能になり、端末ユーザによる変更は不可
カメラ機能を停止
カメラアプリの機能は停止します。バーコードスキャン専用アプリの機能は停止しません。

スクリーンキャプチャを禁止

スクリーンショットを撮るのを禁止します。機種によりますが、これを禁止すると、リモートコントロールで、コンソールで真っ黒、又は真っ白の画面しか映らなくなります。
工場出荷状態へ戻すリセット機能を禁止
メニュー画面からの工場出荷状態に戻すことは禁止。但しハードウェアキーで戻すことは禁止できない。
安全ブートを無効にする
セーフモードでの端末起動ができないようにする。
セーフモードでは工場出荷時のプリインストールアプリのアイコンのみを表示する。
Android6.0以降で可能。
スマートロックを無効にする
スマートロックができないようにする。スマートロックとは一定の条件に端末があれば、スワイプだけで
ロック解除ができるモードです。Android6.0以降で可能
SMSを無効
無線LAN
右端をプルダウンすると、次の3択が現われる。

  1. ユーザによる構成を許可する
    端末ユーザにより、WiFiの「利用可」「利用不可」の設定変更ができる
  2. 無効化
    WiFi利用不可になり、端末ユーザによる変更は不可

  3. 有効化
    WiFi利用可能になり、端末ユーザによる変更は不可
充電中に起動状態を維持
「起動状態を維持」とは、端末がスリープ状態にならないこと
右端をプルダウンすると、次の3択が現われる。

  1. ユーザによる構成を許可する
    端末ユーザにより「起動状態を維持させる」「起動状態を維持させない」の選択が可能
  2. 無効化
    必ず「起動状態を維持させない」になり、端末ユーザによる変更は不可

  3. 有効化
    必ず「起動状態を維持させる」になり、端末ユーザによる変更は不可
場所の精度
コンソールで、端末の位置情報を収集機能
端末の位置を、コンソールに地図表示する」を参照ください。
右端をプルダウンすると、次の5択が現われる。

  1. ユーザによる構成を許可する
    機種によるが、端末ユーザが、下記の2、3、4、5のどれかを選択可能

  2. 無効化
    位置情報取得を不可能にする

  3. 高精度
    GPS、携帯基地局及びWiFi/APから位置情報取得する

  4. GPS限定
  5. 省電力
    携帯基地局とWiFi/APから位置情報取得する
  • 2、3、4、5の場合、端末ユーザが選択肢を変えることはできません

  • 機種依存があります。3、4、5のどれかを選択すると、
    位置情報の取得ができない場合があります。

  • Android9 以上では、端末側操作で
    「Google位置情報の精度」をONにしておく必要がある機種があります。
ステータスバーを無効
ステータスバーをスワイプしても、拡大表示しない。ステータスの詳細情報は表示されない。
キーガードカメラを無効にする
画面をアンロックしなくてもカメラ撮影ができる機能を停止する。
(キーガードカメラの起動可否およびその方法は端末メーカーに依る)
セーフモードの無効化
端末をセーフモードで起動できなくする。セーフモードでは工場出荷時のプリインストールアプリのアイコンのみを表示する。
データローミング
主契約をしていない携帯電話会社の網を利用することをローミングといいます。
「データローミング」とは、データ伝送にローミングを利用することをいいます。
右端をプルダウンすると、次の3択が現われる。

  1. ユーザによる構成を許可する
    端末ユーザにより、データローミングを「可能」「不可能」を選択できる
  2. 無効化
    データローミングを禁止。端末ユーザによる変更は不可。

  3. 有効化
    データローミングを許可。端末ユーザによる変更は不可。
業務と個人の間でコピー/貼り付けを無効にする
業務領域(業務アプリとそのデータ)と私用領域の間でのデータのコピーまたは貼り付けを禁止する。
Profile Owner Modeには、「業務領域」と「私用領域」があります。業務アプリは、コンソール側操作で配布したアプリを指します。
通知を隠す
ロック解除画面で表示されるPIN、パターンの軌跡、パスワード文字列などの慎重に扱うべき情報を、そのまま表示せず、代替形式で表示する

Android6.0以降で可能。
管理対象アプリのアンインストールを無効にする
端末ユーザが、アプリカタログまたはパッケージ配布されたアプリをアンインストールできないようにする。
サードパーティの入力方法を無効にする
キーボードデバイスなど、端末に入力するデバイスを接続しても、それを無効にする。
既に、接続済みのデバイスは利用可能。
Workの連絡先の発信者ID情報を無効にする
業務領域内の連絡先に記述されている発信者ID情報を
端末ユーザに見せないようにする。
不明なソースからインストールを無効
不明なソースからのアプリをインストールさせない。
マルチユーザー制御の無効化
複数のユーザ資格情報(パスワードなど)で端末をロック解除できないようにする。
外付けメディアのマウントを無効
SDカード挿入またはUSB接続した記憶装置を接続してもマウントできないようにする。
充電のためのUSBケーブル差し込みは可能。
Workから個人プロファイルからの共有を許可
業務アプリのデータを私用アプリで開くことを許可
NFC発信を無効
業務アプリ(コンソール側操作で配布したアプリ)以外のアプリから、データをNFC経由で出力できないようにする。
Bluetoothコンタクトの共有を無効
Bluetoothを使って連絡先情報の共有を無効にする。Android6.0以降で可能。
デバッグモードでUSB接続禁止
パソコンからUSB経由で端末を操作できないようにする。
右端をプルダウンすると、次の3択が現われる。

  1. ユーザによる構成を許可する
    端末ユーザにより、USB経由操作を「可能」または「不可能」を選択できる
  2. 無効化
    USB経由での操作を禁止。端末ユーザによる変更は不可。

  3. 有効化
    USB経由での操作を許可。端末ユーザによる変更は不可。
USBファイル転送およびUSBストレージを無効にする
USB経由でPCなど外部デバイスとデータ伝送をさせない。USBインターフェイスを持つストレージと接続してもファイル送受は不能。
証明書管理を無効
「設定」から端末証明書を抜き変えることができないようにする。
テザリング管理を無効
テザリングの設定を無効にする。
アプリ管理を無効
端末ユーザがアプリをアンインストールしたり、改変できないようにする。
アプリが生成したデータやキャッシュ並びにアプリのデフォルト設定値の削除もできないようにする。
Bluetooth管理を無効
Bluetoothの設定ができないようにする。
WiFi管理を無効
SSIDなどのWiFiに関する設定値を変更できないようにする。
VPN管理を無効
VPNに関する設定値を変更できないようにする。
ネットワーク設定のリセットを無効
「設定」のネットワークに関する設定値(WiFiとBluetoothの設定値)をリセットできないようにする。
Android6.0以降で可能。
管理されたプロファイルの場所の共有を無効
管理されたプロファイルの中のアプリ(アプリカタログで配布したアプリ)が端末の地理的情報を取得できないようにする。
MobiControlエージェントも端末の地理的情報を取得できなくなる。
携帯電話の発信を無効
LINEやSkype等のVoIPは可能だが、モバイル端末の通常電話の発信をできないようにする。
セキュリティ強度の面で、
最低許容レベルとした無線LAN暗号方式レベル以上しか使わせない

右端をプルダウンすると、右図の選択肢が現れる。下に位置するほどセキュリティ強度が強くなる。
ここで選択した方式より強度の弱い方式では、端末ユーザは、WiFiを設定できない。「Open」の場合は、全ての方式での設定を許容する。

アプリを始めて使用する時にヒントをスキップ
アプリに依っては、最初の起動時に、アプリの紹介や使用方法の説明画面が表示されることがあります。
チェックを入れると、これらの説明が表示されなくなる。

すべてのキーガード機能を無効化
キーガード状態(ロック状態)でも起動できる機能(注1)を起動させない。併せてスマートロック(注2)も禁止します。
指紋認証を無効
ロック解除に指紋認証を許可しない
すべての通知を無効
ロック中の画面では、各種の「通知」を表示しない。
アカウントの作成を無効にする
アカウントとは、メールアカウントや、Googleアカウントなどを指します。
右端をプルダウンすると、次の3択が現われる。

  1. None
    端末ユーザにより、任意のアカウントを作成できる
  2. Google Account
    Googleアカウントの新規作成だけを禁止する

  3. All Accounts
    Googleアカウントを含め、一切のアカウントの新規作成を禁止する。

MobiControlに登録されたときに、Android Enterprise端末には、
managed Google Playへアクセスするためのアカウントが付与されます。
(閉域網端末のために、付与しないオプションもあります)

ドーズモードを無効にする
チェックを入れると、端末がスリープ状態でもMobiControlサーバとの接続を維持する。
但し、接続時間帯の設定で、「常時接続」で設定しておいた場合のみ。
(ドーズモードは、端末メーカーにより表現が異なる。「スタミナモード」「電池最適化」などとも呼ばれる。)
常にサーバとの接続を維持」を参照ください。
常にVPNをオン
端末のデータトラフィックは、全てVPN経由とする。右端をクリックし、空欄に、VPN名を入力してください。
VPN名は、「構成プロファイル」--> 「VPN」で設定したVPN設定に名付けた名前。
端末を起動すると、自動的に、このVPN接続が確保されます。
すべてのシステムUIを無効にする
Android OSは、Toasts、Phone Activities、
Priority Phone Activities、System Alerts、System Errors および
System Overlays などのすべてのポップアップ(システム UI)を表示しなくなります。
アプリ検証の強制を無効にする
Google Playプロテクト注3 に、アプリがマルウェアか否かの検証をさせない。

デバイス チェックインで SafetyNet チェックを実行
Androidに実装されているSafetyNetに依り、端末がRoot化されたか否かをチェックできます。
ここにチェックを入れると、1日に一回、更には、MobiControlサーバへのチェックインの毎に、このチェックを行います。
  • 注1 キーガードでも有効な機能
    次のような機能は、画面ロック中でも利用可能になっている端末があります。

    • 上辺からスワイプしての「通知」
    • 音声アシスト
    • カメラ

    端末メーカーによっては、他の機能もロック中でも使えるようになっています。

  • 注2 スマートロックは、一定の条件ならロック解除のための所定の操作を
    しなくてもロック解除ができることを指します。例えば、下記の条件でロック解除の操作が不要になります。

    • 端末の所在地が自宅または職場
    • 特定のデバイスとの接続状態:特定のデバイスとは、「自分のクルマのハンズフリーシステム」や「自分のBluetoothイヤホン」など
    • 自分の顔を近づける
    • 音声認識(「OK Google」と話しかける)
  • 注3 Google Playプロテクトは、Androidに標準で搭載されているマルウェア検出ソフト。正常なアプリやファイルも、異常と検出することが、稀にあります。
  • 職場内と職場外で、端末の機能項目毎に、 端末機能を制限するか否かを設定できます。
    例えば職場内ではカメラ撮影を不可能にし、職場外ではそれを可能にするなどの設定です。
    これは、MobiControlのジオフェンス機能、アラート機能、それに基づく端末グループ移動の機能を適用します。

構成プロファイルの作成が終わると、「OK」ボタンを押します。

構成プロファイルの作成が終わると、これを対象とする端末グループやAD(Active Directory)の
グループに割り当てます。そして、それを当該グループの端末に配布し、インストールします。
詳しくは、「Android Enterpriseの構成プロファイルの作成」のページの「E. 構成項目の編集または削除」以下を参照ください。