Citrix Endpoint Management

制限デバイスポリシー

注:

アップグレードに新しい制限デバイスポリシーの設定を含める場合は、このポリシーを編集して保存する必要があります。アップグレード後の制限デバイスポリシーは、保存するまでCitrix Endpoint Managementで展開されません。

制限デバイスポリシーでは、ユーザーデバイスの特定の機能(カメラなど)を許可または制限します。セキュリティ制限とメディアコンテンツ制限を設定できます。ユーザーがインストールできるアプリとインストールできないアプリの種類を制限することもできます。ほとんどの制限設定は、デフォルトでは [オン](許可) に設定されています。例外は、iOSセキュリティの強制機能とすべてのWindowsタブレット機能です。デフォルトで [オフ](制限) に設定されています。

オプションで [オン] を選択した場合、ユーザーが該当する操作を実行、または該当する機能を使用できるようになります。例:

  • カメラ: [オン] の場合、ユーザーはデバイスでカメラを使用できます。[オフ] の場合、ユーザーはデバイスでカメラを使用できません。
  • スクリーンショット: [オン] の場合、ユーザーデバイスでスクリーンショットを撮ることができます。[オフ] の場合、ユーザーデバイスでスクリーンショットを撮ることができません。

制限デバイスポリシーとキオスクデバイスポリシーの両方が構成されている場合は、制限デバイスポリシーが優先されます。

このポリシーを追加または構成するには、[構成]>[デバイスポリシー] の順に選択します。詳しくは、「デバイスポリシー」を参照してください。

iOSの設定

デバイスポリシー構成画面

一部のiOS制限ポリシー設定は、こちらおよびCitrix Endpoint Managementコンソールの[制限ポリシー]ページで説明されているように、特定のiOSバージョンにのみ適用されます。

これらの設定は、デバイスがユーザー登録モード、監視対象外(完全MDM)モード、または監視モードで登録されている場合に適用されます。次の表に、iOS 13以降の各設定で使用できる登録モードを示します。

  • 自動デバイス登録: 監視対象デバイス。これらは、一括登録で登録されたデバイスです。
  • デバイス登録: 監視対象ではないデバイス。これらのデバイスは個別に登録され、デバイス全体が完全MDMです。
  • ユーザー登録: 特定のユーザーのみが管理されるデバイス。ユーザー登録について詳しくは、Apple社のドキュメントを参照してください。

iOS制限ポリシー設定は、デバイスがユーザー登録モード、監視対象外(完全MDM)モード、または監視モードで登録されている場合に適用される可能性があります。次の表に、iOS 13以降の各制限ポリシー設定で使用できる登録モードを示します。

Appleデバイスの登録の種類

表で述べたように、以前は監視対象外モードと監視モードで使用できた設定の一部は、iOS 13以降では監視モードでのみ使用できます。次のルールが適用されます:

  • iOS 13以上の監視対象デバイスがCitrix Endpoint Managementに登録される場合、設定はデバイスに適用されます。
  • iOS 13以上の監視対象外デバイスがCitrix Endpoint Managementに登録される場合、設定はデバイスに適用されません。
  • 既にCitrix Endpoint Managementに登録されているiOS 12以下のデバイスがiOS 13にアップグレードされる場合、変更はありません。設定は、アップグレード前と同じようにデバイスに適用されます。

iOSデバイスを監視モードに設定する方法については、「Apple Configurator 2を使用したデバイスの展開」を参照してください。

設定 ユーザー登録 監視対象外 監視対象
ハードウェアの制御を許可      
カメラ いいえ はい はい
FaceTime いいえ いいえ はい
画面の取り込み はい いいえ はい
クラスルームアプリが生徒の画面をリモートで監視することを許可する いいえ いいえ はい
プロンプトを表示せずにクラスルームアプリがAirPlayと画面表示を実行できるようにする いいえ いいえ はい
フォトストリーム いいえ はい はい
フォトストリームを共有 いいえ はい はい
共有iPadの一時セッションを許可 いいえ いいえ はい
音声ダイヤル いいえ はい はい
Siri はい はい はい
デバイスのロック中に許可 はい はい はい
Siriの不適切な単語フィルター いいえ いいえ はい
アプリのインストール いいえ いいえ はい
代替アプリマーケットプレイス いいえ いいえ はい
ローミング中にグローバルバックグラウンドフェッチを許可する いいえ はい はい
アプリを許可      
iTunesストア いいえ いいえ はい
アプリ内課金 いいえ はい はい
購入時にiTunesストアパスワードを要求 いいえ はい はい
Safari いいえ いいえ はい
オートフィル いいえ いいえ はい
不正なWebサイトに対する警告を表示 はい はい はい
JavaScriptを有効化 いいえ はい はい
ポップアップをブロック いいえ はい はい
Cookieを受け入れる いいえ はい はい
ネットワーク - iCloudの操作を許可      
iCloudドキュメントおよびデータ いいえ いいえ はい
iCloudバックアップ いいえ はい はい
iCloudフォトキーチェーン いいえ はい はい
iCloudのフォトライブラリ いいえ はい はい
セキュリティ - 強制      
バックアップを暗号化 はい はい はい
追跡型広告を制限 いいえ はい はい
最初のAirPlayペアリングでパスコードを要求 はい はい はい
手首検出を使用するためのペアリングされたApple Watch はい はい はい
AirDropを使用して管理対象のドキュメントを共有します はい はい はい
セキュリティ - 許可      
信頼されていないSSL証明書の受け入れ いいえ はい はい
証明書信頼設定の自動更新 いいえ はい はい
管理されたペーストボードが必要 はい はい はい
管理対象アプリから非管理対象アプリへのドキュメントの移動 はい はい はい
非管理対象アプリによる管理対象アカウント連絡先の読み取り いいえ いいえ はい
管理対象アプリによる非管理対象アカウント連絡先への書き込み いいえ いいえ はい
非管理対象アプリから管理対象アプリへのドキュメントの移動 はい はい はい
診断データをAppleに送信 はい はい はい
Touch IDによるデバイスのロック解除 いいえ はい はい
自動ロック解除 いいえ はい はい
ロック時のWallet通知を表示 いいえ はい はい
Handoff いいえ はい はい
管理対象アプリのiCloud同期 はい はい はい
エンタープライズブックのバックアップ はい はい はい
エンタープライズブックのメモとハイライトの同期 はい はい はい
Spotlightでインターネット検索結果を表示 いいえ はい はい
エンタープライズアプリケーションを信頼する いいえ はい はい
Appleのパーソナライズされた広告を許可する いいえ はい はい
監視対象のみの設定 - 許可      
eSIMの変更を許可 いいえ いいえ はい
すべてのコンテンツと設定を消去 いいえ いいえ はい
スクリーンタイム いいえ いいえ はい
ポッドキャスト いいえ いいえ はい
構成プロファイルのインストール いいえ いいえ はい
Touch IDとFace IDの変更 いいえ いいえ はい
デバイスからアプリをインストールします いいえ いいえ はい
キーボードショートカット いいえ いいえ はい
ペアリングされたApple Watch いいえ いいえ はい
パスコードの変更 いいえ いいえ はい
デバイス名の変更 いいえ いいえ はい
壁紙の変更 いいえ いいえ はい
自動的にアプリをダウンロードします いいえ いいえ はい
AirDrop いいえ いいえ はい
iMessage いいえ いいえ はい
Siriにユーザー生成コンテンツを表示 いいえ いいえ はい
iBooks いいえ いいえ はい
アプリの削除 いいえ はい はい
ゲームセンター いいえ いいえ はい
友達を追加 いいえ いいえ はい
マルチプレーヤーゲーム いいえ いいえ はい
アカウント設定の変更 いいえ いいえ はい
アプリの携帯ネットワークデータ設定の変更 いいえ いいえ はい
アプリの携帯ネットワークデータ設定の変更 いいえ いいえ はい
ネットワークドライブ接続を許可 いいえ いいえ はい
USB デバイス接続を許可 いいえ いいえ はい
[[デバイス]を探す]を許可 いいえ いいえ はい
[友達を探す]設定を許可 いいえ いいえ はい
[友達を探す]設定の変更 いいえ いいえ はい
Configurator以外のホストとのペアリング いいえ いいえ はい
予測キーボード いいえ いいえ はい
キーボード自動修正 いいえ いいえ はい
キーボードスペルチェック いいえ いいえ はい
QuickPathキーボードを許可 いいえ いいえ はい
定義参照 いいえ いいえ はい
単一のアプリバンドルID      
ニュース いいえ いいえ はい
Apple Musicサービス いいえ いいえ はい
Apple Music いいえ いいえ はい
通知の変更 いいえ いいえ はい
アプリ使用の制限 いいえ いいえ はい
診断データの送信の変更 いいえ いいえ はい
Bluetoothの変更 いいえ いいえ はい
ディクテーションを許可 いいえ いいえ はい
Wi-Fiのオンとオフを変更 いいえ いいえ はい
ネットワークポリシーでインストールされたWi-Fiネットワークのみに参加する いいえ いいえ はい
プロンプトを表示せずにクラスルームアプリがAirPlayと画面表示を実行できるようにする いいえ いいえ はい
プロンプトを表示せずにクラスルームアプリがアプリとデバイスをロックできるようにする いいえ いいえ はい
プロンプトを表示せずにクラスルームアプリのクラスに自動的に参加する いいえ いいえ はい
AirPrintを許可 いいえ いいえ はい
AirPrint資格情報のキーチェーンへの保存を許可する いいえ いいえ はい
iBeaconを使用したAirPrintプリンターの検出を許可する いいえ いいえ はい
信頼された証明書がある出力先に対してのみAirPrintを許可する いいえ いいえ はい
VPN構成の追加 いいえ いいえ はい
携帯の通信プラン設定の変更 いいえ いいえ はい
システムアプリの削除 いいえ いいえ はい
近くの新しいデバイスをセットアップ いいえ いいえ はい
USB制限モードを許可 いいえ いいえ はい
ソフトウェア更新の強制延期 いいえ いいえ はい
ソフトウェア更新の強制延期 いいえ いいえ はい
クラスを離れるときの許可の要求を強制する いいえ いいえ はい
自動入力の前に認証を強制 いいえ いいえ はい
自動的な日付と時刻を強制 いいえ いいえ はい
パスワードの自動入力 いいえ いいえ はい
パスワード近接要求 いいえ いいえ はい
パスワード共有 いいえ いいえ はい
パーソナルホットスポットの変更を許可 いいえ いいえ はい
ペアリングされていないデバイスからのブートによる復元を許可する いいえ いいえ はい
緊急セキュリティ対応をインストールする いいえ いいえ はい
緊急セキュリティ対応を削除する いいえ いいえ はい
メールのプライバシー保護を許可する いいえ いいえ はい
NFC いいえ いいえ はい
App Clipを許可する いいえ いいえ はい
セキュリティ - ロック画面に表示      
コントロール センター はい はい はい
通知 はい はい はい
今日ビュー はい はい はい
メディアコンテンツ - 許可      
不適切な音楽、Podcast、iTunes Uコンテンツ いいえ いいえ はい
iBooksの不適切な性的コンテンツ いいえ はい はい
レーティング地域 いいえ はい はい
ムービー いいえ はい はい
テレビ番組 いいえ はい はい
アプリ いいえ はい はい
  • ハードウェアの制御を許可
    • カメラ: ユーザーがデバイスでカメラを使用できるようにします。
      • FaceTime: ユーザーがデバイスでFaceTimeを使用できるようにします。監視対象のiOSデバイス向けです。
    • スクリーンショット: ユーザーがデバイスでスクリーンショットを撮れるようにします。
      • クラスルームアプリが生徒の画面をリモートで監視することを許可する: この制限が選択されていない場合、講師はクラスルームアプリを使用してリモートで生徒の画面を監視することはできません。デフォルト設定が選択されている場合、講師はクラスルームアプリを使用して生徒の画面を監視できます。[プロンプトを表示せずにクラスルーム アプリがAirPlayと画面表示を実行できるようにする] の設定では、講師に権限を与えるためのプロンプトを生徒に表示するかどうかを決めます。監視対象のiOSデバイス向けです。
      • プロンプトを表示せずにクラスルームアプリがAirPlayと画面表示を実行できるようにする: この制限が選択されている場合、講師は生徒のデバイスでAirPlayと画面表示を実行でき、権限を求めるプロンプトは表示されません。デフォルト設定では、選択解除されています。監視対象のiOSデバイス向けです。
    • フォトストリーム: MyPhotoStreamを使い、iCloudを介してすべてのiOSデバイスでユーザーが写真を共有できるようにします。
    • フォトストリームを共有: iCloud Photo Sharingを使い、仕事仲間、友人、および家族とユーザーが写真を共有できるようにします。
    • 共有iPadの一時セッションを許可: 共有iPadの一時セッションにアクセスできないようにします。
    • 音声ダイヤル: ユーザーデバイスで音声ダイヤルを可能にします。
    • Siri: ユーザーがSiriを使用できるようにします。
      • デバイスのロック中に許可: デバイスがロックされている間にユーザーがSiriを使用できるようにします。
      • Siriの不適切な単語フィルター: Siriの不適切な単語フィルターを有効にします。デフォルトではこの機能は制限されており、不適切な言葉はフィルタリングされません。

        Siriとセキュリティについて詳しくは、「Siriとディクテーションのポリシー」を参照してください。

    • アプリのインストール: ユーザーがアプリをインストールできるようにします。監視対象のiOSデバイス向けです。
    • 代替アプリマーケットプレイス: Webからの代替マーケットプレイスアプリのインストールを防止し、インストールされている代替マーケットプレイスアプリからのアプリのインストールを防止します。この機能は、iOS 17.4以降のバージョンで使用できます。デフォルトは [オン] です。監視対象のiOSデバイス向けです。
    • ローミング中にグローバルバックグラウンドフェッチを許可する: デバイスのローミング中にiCloudとのメールアカウントの自動同期を許可するかを設定します。[オフ] の場合、iOSスマートフォンのローミング中はグローバルバックグラウンドフェッチが無効になります。デフォルトは、[オン] です。
  • アプリを許可
    • iTunes Store: ユーザーがiTunes Storeへアクセスできるようにします。監視対象のiOSデバイス向けです。
    • アプリ内課金: ユーザーがアプリ内課金で購入できるようにします。
      • 購入時にiTunesストアパスワードを要求: アプリ内購入時にパスワードを求めます。デフォルトではこの機能は制限されており、アプリ内での購入ではパスワードは必要ありません。
    • Safari: ユーザーがSafariにアクセスできるようにします。監視対象のiOSデバイス向けです。
      • オートフィル: ユーザーがSafariでユーザー名とパスワードの自動入力をセットアップできるようにします。
      • 不正なWebサイトに対する警告を表示: この設定が有効で、ユーザーがフィッシング詐欺の疑いのあるWebサイトにアクセスした場合、Safariはユーザーに警告します。デフォルトではこの機能は制限されており、警告が発せられません。
      • JavaScriptを有効化: JavaScriptをSafariで実行できます。
      • ポップアップをブロック: Webサイトの閲覧中にポップアップをブロックします。デフォルトではこの機能は制限されており、ポップアップはブロックされません。
    • Cookieを受け入れる: 許可するcookieを設定します。一覧で、cookieを許可または制限するオプションを選択します。デフォルトのオプションは [常時] で、SafariですべてのWebサイトのcookieの保存を許可します。ほかには、[現在のWebサイトのみ][許可しない]、および [訪問したサイトからのみ] というオプションがあります。
  • ネットワーク - iCloudの操作を許可

    • iCloudドキュメントおよびデータ: ユーザーがドキュメントとデータをiCloudへ同期できるようにします。監視対象のiOSデバイス向けです。
    • iCloudバックアップ: ユーザーがiCloudへデバイスをバックアップできるようにします。
    • iCloudキーチェーン: ユーザーが、iCloudキーチェーンにパスワード、Wi-Fiネットワーク、クレジットカードなどの情報を保存できるようにします。
    • iCloudのフォトライブラリ: ユーザーがiCloudの写真ライブラリにアクセスできるようにします。
  • セキュリティ - 強制

    デフォルトでは次の機能が制限され、有効になっているセキュリティ機能はありません。

    • バックアップを暗号化: 暗号化のためiCloudに強制的にバックアップします。
    • 追跡型広告を制限: ターゲティング広告の追跡をブロックします。
    • 最初のAirPlayペアリングでパスコードを要求: AirPlay対応デバイスでAirPlayを使用する前に、ワンタイムオンスクリーンコードで検証するように求めます。
    • 手首検出を使用するためのペアリングされたApple Watch: 手首検出を使用するためにApple Watchのペアリングを求めます。
    • AirDropを使用して管理対象のドキュメントを共有します: このオプションを [オン] に設定すると、AirDropは管理対象外のドロップ先として表示されます。
  • セキュリティ - 許可

    • 信頼されていないSSL証明書の受け入れ: Webサイトの信頼されていないSSL証明書をユーザーが承認できるようにします。
    • 証明書信頼設定の自動更新: 信頼された機関からの証明書を自動的に更新できます。
    • 管理されたペーストボードが必要: [管理対象アプリから非管理対象アプリへのドキュメントの移動] および [非管理対象アプリから管理対象アプリへのドキュメントの移動] に適用する場合と同じ制限をコピーと貼り付け機能に許可します。 たとえば、次のように構成します。
      • 管理されたペーストボードが必要: オン
      • 管理対象アプリから非管理対象アプリへのドキュメントの移動: オフ
      • 非管理対象アプリから管理対象アプリへのドキュメントの移動: オン ポリシーをiOSデバイスに展開した後、ユーザーは管理対象アプリから非管理対象アプリにデータをコピーして貼り付けることはできませんが、非管理対象アプリから管理対象アプリにデータをコピーして貼り付けることはできます。
    • 管理対象アプリから非管理対象アプリへのドキュメントの移動: ユーザーが、管理されている(企業)アプリから管理されていない(個人)アプリへのデータを移動できるようにします。
    • 非管理対象アプリから管理対象アプリへのドキュメントの移動: ユーザーが管理されていない(個人)アプリから管理されている(企業)アプリへデータを移動できるようにします。
    • 診断データをAppleに送信: ユーザーのデバイスに関する匿名診断データのAppleへの送信を許可します。
    • Touch IDまたはFace IDによるデバイスのロック解除: ユーザーがTouch IDまたはFace IDを使ってデバイスのロックを解除できるようにします。
    • 自動ロック解除: [オフ] の場合、ユーザーはApple Watchを使用してペアリングされたiPhoneのロックを解除することはできません。デフォルトは [オン] です。iOS 14.5以降で利用可能です。
    • ロック時にWallet通知を表示: ロック画面でのWallet通知の表示を許可します。
    • Handoff: ユーザーが、あるiOSデバイスから近くにある別のiOSデバイスへアクティビティを転送できるようにします。
    • 管理対象アプリのiCloud同期: ユーザーが、管理されているアプリをiCloudと同期できるようにします。
    • エンタープライズブックのバックアップ: エンタープライズブックのiCloudへのバックアップを許可します。
    • エンタープライズブックのメモとハイライトの同期: ユーザーがエンタープライズブックに追加したメモやハイライトをiCloudと同期できるようにします。
    • エンタープライズアプリを信頼する: エンタープライズアプリケーションを信頼できるようにします。エンタープライズアプリは、組織向けのカスタムメイドアプリです。これらは社内で作成することも、開発した外部ベンダーから購入することもできます。詳しくは、iOSでカスタムのエンタープライズAppをインストールするを参照してください。
    • Spotlightでインターネット検索結果を表示: Spotlightで、デバイスのほかにインターネットから検索結果を表示できるようにします。
    • 非管理対象アプリによる管理対象アカウント連絡先の読み取り: オプション。[管理対象アプリから非管理対象アプリへのドキュメントの移動] が無効になっている場合にのみ利用できます。このポリシーを有効にすると、非管理対象アプリが管理対象アカウントの連絡先からデータを読み取ることができるようになります。デフォルトはオフです。iOS 12 から利用可能です。
    • 管理対象アプリによる非管理対象アカウント連絡先への書き込み: オプション。有効にすると、管理対象アプリによる非管理対象アカウントの連絡先への書き込みを許可します。[管理対象アプリから非管理対象アプリへのドキュメントの移動] を有効にすると、この制限は有効になりません。デフォルトはオフです。iOS 12 から利用可能です。
    • Appleのパーソナライズされた広告を許可する: [オフ] の場合、Apple広告プラットフォームはパーソナライズされた広告を配信するためにユーザーのデータを使用しません。デフォルトは [オン] です。iOS 14.0以降で利用可能です。
  • 監視対象のみの設定 - 許可

    これらの設定は、監視対象のデバイスにのみ適用されます。iOSデバイスを監視モードに設定する方法について詳しくは、「Apple Configurator 2を使用したデバイスの展開」を参照してください。

    • eSIMの変更を許可: ユーザーがデバイスでeSIM設定を変更できるようにします。
    • すべてのコンテンツと設定を消去: ユーザーがデバイスからすべてのコンテンツと設定を消去できるようにします。
    • スクリーンタイム: ユーザーがスクリーンタイムを有効にできるようにします。
    • ポッドキャスト: ユーザーがポッドキャストをダウンロードおよび同期できるようにします。
    • 構成プロファイルのインストール: 管理者が展開した構成プロファイル以外の構成プロファイルを、ユーザーがインストールできるようにします。
    • Touch IDとFace IDの変更: ユーザーがTouch IDまたはFace IDを変更または削除できるようにします。
    • デバイスからアプリをインストールします: ユーザーがアプリをインストールできるようにします。この設定を無効にすると、エンドユーザーは新しいアプリをインストールできなくなります。App Storeが無効になり、アイコンがホーム画面から削除されます。
    • キーボードショートカット: ユーザーが使用頻度の高い単語やフレーズのカスタムキーボードショートカットを作成できるようにします。
    • ペアリングされたApple Watch: ユーザーがApple Watchと監視対象デバイスをペアリングできるようにします。
    • パスコードの変更: ユーザーが監視対象デバイスでパスコードを変更できるようにします。
    • デバイス名の変更: ユーザーがデバイスの名前を変更できるようにします。
    • 壁紙の変更: ユーザーがデバイスの壁紙を変更できるようにします。
    • 自動的にアプリをダウンロードします: アプリのダウンロードを許可します。
    • AirDrop: ユーザーが写真、ビデオ、Webサイト、場所、およびそれ以外のものを近くのiOSデバイスで共有できるようにします。
    • iMessage: ユーザーがWi-Fiを使ってiMessageを送信できるようにします。
    • Siriにユーザー生成コンテンツを表示: Webのユーザー生成コンテンツをSiriでクエリできるようにします。ユーザー生成コンテンツは、従来のジャーナリストではなく、一般のユーザーが作成したものです。たとえば、TwitterやFacebookに見られるコンテンツは、ユーザー生成コンテンツです。
    • iBooks: ユーザーがiBooksアプリを使用できるようにします。
    • アプリの削除: ユーザーがデバイスからアプリを削除できるようにします。
    • Game Center: ユーザーがデバイスのGame Centerを介してオンラインゲームをプレイできるようにします。
      • 友達を追加: ユーザーが友人に通知を送信してゲームをプレイできるようにします。
      • マルチプレーヤーゲーム: ユーザーがデバイス上でマルチプレーヤーゲームを起動できるようにします。
    • アカウント設定の変更: ユーザーがデバイスのアカウント設定を変更できるようにします。
    • アプリの携帯データネットワーク設定の変更: 携帯データネットワークをアプリがどのように使用するのか、ユーザーが変更できるようにします。
    • ネットワークドライブ接続を許可: Filesアプリで、ネットワークドライブに接続できないようにします。
    • USBデバイス接続を許可: Filesアプリで、接続されているUSBデバイスに接続できないようにします。
    • [[デバイス]を探す]を許可: [アプリを探す]にある [デバイスを探す] オプションを無効にします。
    • [友達を探す]設定を許可:[アプリを探す]にある [友達を探す] オプションを無効にします。
    • [友達を探す]設定の変更: 友達を探す設定をユーザーが変更できるようにします。
    • Configurator以外のホストとのペアリング: ユーザーデバイスがペアリングできるデバイスを管理者が制御できるようにします。この設定を無効にすると、Apple Configuratorを実行している監視中のホスト以外とは、ペアリングできなくなります。監視中のホストの証明書が構成されていない場合は、すべてのペアリングが無効です。
    • 予測キーボード: ユーザーデバイスで、キーボードからの入力時に候補となる単語を予測変換できるようにします。ユーザーに候補の単語を表示しない、管理のための標準化されたテストといった状況では、このオプションを無効にします。
    • キーボード自動修正: ユーザーデバイスでキーボードの自動修正を使用できるようにします。ユーザーに自動修正を適用しない、管理のための標準化されたテストといった状況では、このオプションを無効にします。
    • キーボードスペルチェック: ユーザーデバイスで入力中にスペルチェックを使用できるようにします。ユーザーにスペルチェッカーへアクセスさせない、管理のための標準化されたテストといった状況では、このオプションを無効にします。
    • 定義参照: ユーザーデバイスで入力中に定義の検索を使用できるようにします。ユーザーに入力時での定義の検索をできるようにしない、管理のための標準化されたテストといった状況では、このオプションを無効にします。
    • 単一のアプリバンドルID: デバイス上のコントロールを維持し、ほかのアプリや機能との相互作用を防ぐことができるアプリの一覧を作成します。 アプリを追加するには、[追加] をクリックし、アプリ名を入力して [保存] をクリックします。追加するアプリごとにこの手順を繰り返します。
    • News: ユーザーがNewsアプリを使用できるようにします。
    • Apple Musicサービス: ユーザーがApple Musicサービスを使用できるようにします。Apple Musicサービスを許可しない場合、Musicアプリはクラシックモードで動作します。
    • Apple Music: ユーザーがApple Musicを使用できるようにします。
    • 通知の変更: ユーザーが通知設定を変更できるようにします。
    • アプリ使用の制限: 指定したバンドルIDに基づいて、ユーザーにすべてのアプリの使用を許可するか、またはアプリの使用を個別に許可または禁止できます。監視対象のデバイスにのみ適用されます。[一部のアプリのみ許可] を選択する場合、バンドルID com.apple.webappと共にアプリを追加してWebクリップを許可します。

      注:

      iOS 11以降、アプリの制限で利用できるポリシーが変更されました。適切なiOSアプリケーションバンドルを制限することで、設定アプリと電話アプリへのアクセスを削除することができなくなりました。

      いくつかのアプリをブロックするように制限デバイスポリシーを構成して展開した後で、これらのアプリの一部またはすべてを許可する必要が生じた場合、制限デバイスポリシーを変更して展開しても制限は変更されません。これは、iOSでは変更内容がiOSプロファイルに適用されないためです。変更内容を適用するには、プロファイルの削除ポリシーを使用して該当するiOSプロファイルを削除してから、更新した制限デバイスポリシーを展開します。

      この設定を [一部のアプリのみ許可] に変更する場合:このポリシーを展開する前に、Apple Deployment Programを使用して登録したデバイスのユーザーに、セットアップアシスタントからAppleアカウントにサインインするよう指示してください。それ以外の場合、ユーザーがAppleアカウントにサインインして許可されたアプリにアクセスするには、各自のデバイスで2要素認証を無効にする必要があります。

    • 診断データの送信の変更: ユーザーが [設定]>[診断と使用状況] ペインで診断データの送信とアプリ分析に関する設定を変更できるようにします。
    • Bluetoothの変更: ユーザーがBluetoothの設定を変更できるようにします。
    • ディクテーションを許可: 監視のみ。この制限が [オフ] に設定されている場合、ディクテーションを使用した入力(音声テキスト変換を含む)は許可されません。デフォルトでは、[オン] になっています。
    • Wi-Fiのオンとオフを変更: 設定またはコントロールセンターでWi-Fiがオンまたはオフにならないようにします。また、機内モードに入っても影響はありません。この制限によって、使用するWi-Fiネットワークの選択が妨げられることはありません。
    • ネットワークポリシーでインストールされたWi-Fiネットワークのみに参加する: オプション。監視のみ。この制限が [オン] に設定されている場合、構成プロファイルを使用して設定されたデバイスのみがWi-Fiネットワークに接続できます。デフォルトでは [オフ] になっています。
    • プロンプトを表示せずにクラスルームアプリがAirPlayと画面表示を実行できるようにする: この制限が選択されている場合、講師は生徒のデバイスでAirPlayと画面表示を実行でき、権限を求めるプロンプトは表示されません。デフォルト設定では、選択解除されています。監視対象のiOSデバイス向けです。
    • プロンプトを表示せずにクラスルームアプリがアプリとデバイスをロックできるようにする: この制限が [オン] に設定されている場合、クラスルームアプリはユーザープロンプトを表示せず自動的に、アプリに対してユーザーデバイスをロックし、ユーザーデバイスをロックします。デフォルトでは [オフ] になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
    • プロンプトを表示せずにクラスルームアプリのクラスに自動的に参加する: この制限が [オン] に設定されている場合、クラスルームアプリはユーザーにプロンプトを表示せずに自動的にクラスに参加します。デフォルトでは [オフ] になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
    • AirPrintを許可: この制限が [オフ] に設定されている場合、ユーザーはAirPrintで印刷できません。デフォルトでは、[オン] になっています。この制限が [オン] の場合、さらに次の制限が表示されます。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
      • AirPrint資格情報のキーチェーンへの保存を許可する: この制限が選択されていない場合、AirPrintのユーザー名とパスワードはキーチェーンに保存されません。デフォルト設定では選択されています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
      • iBeaconsを使用したAirPrintプリンターの検出を許可する: この制限が選択されていない場合、AirPrintプリンターのiBeacon検出は無効になります。この設定により、偽のAirPrint Bluetoothビーコンのネットワークトラフィックがフィッシングされるのを防止します。デフォルト設定では選択されています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
      • 信頼された証明書がある出力先に対してのみAirPrintを許可する: この制限が選択されている場合、ユーザーは、信頼された機関からの証明書がある出力先にのみAirPrintを使用して印刷できます。デフォルト設定では、選択解除されています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
    • VPN構成の追加: この制限が [オフ] に設定されている場合、ユーザーはVPN構成を作成できません。デフォルトでは、[オン] になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
    • 携帯の通信プラン設定の変更: この制限が [オフ] に設定されている場合、ユーザーは携帯の通信プラン設定を変更できません。デフォルトでは、[オン] になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
    • システムアプリの削除: この制限が [オフ] に設定されている場合、ユーザーはデバイスからシステムアプリを削除できません。デフォルトでは、[オン] になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
    • 近くの新しいデバイスをセットアップ: この制限が[オフ]に設定されている場合、ユーザーは近くの新しいデバイスを設定できません。デフォルトでは、[オン] になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
    • USB制限モードを許可: [オフ] の場合、デバイスはロックされた状態でも常にUSBアクセサリーに接続できます。デフォルトは [オン] です。iOS 11.3以降の監視対象デバイスでのみ利用できます。
    • ソフトウェア更新の延期を強制する: [オン] の場合、ソフトウェアの更新がユーザーに表示される時期が延期されます。この制限が設定されている場合、ソフトウェアの更新がリリースされてから指定された日数が経過するまで、ソフトウェアの更新は表示されません。デフォルトはオフです。iOS 11.3以降の監視対象デバイスでのみ利用できます。OSの更新ポリシーには、デバイスが更新を受信する頻度を制御するためのさらに多くの設定が含まれています。詳しくは、「OSの更新デバイスポリシー」を参照してください。
    • ソフトウェア更新の強制延期期間(日): デバイス上でソフトウェアの更新を遅らせる日数を指定できます。最大延期日数は90日です。デフォルトは30日です。iOS 11.3以降の監視対象デバイスでのみ利用できます。
    • クラスルームを離れるときの許可の要求を強制する: [オン] の場合、クラスルームの管理対象外コースに登録した学生は、コースを離れるときに教師の許可を求める必要があります。デフォルトはオフです。iOS 11.3以降の監視対象デバイスでのみ利用できます。
    • 自動入力の前に認証を強制: ユーザーが自動入力機能を使用する前に、ユーザーに認証を強制します。
    • 日時の自動設定を強制する: 監視対象デバイスの日時を自動で設定できます。[オン] の場合、デバイスユーザーは [一般]>[日付と時刻][自動設定] をオフにできません。デバイスのタイムゾーンは、デバイスが現在位置を特定できる場合にのみ更新されます。つまり、デバイスが移動体通信ネットワークまたはWi-Fiに接続しており、位置情報サービスが有効になっている場合のみです。デフォルトはオフです。iOS 12以降の監視対象デバイスでのみ利用できます。
    • パスワードの自動入力: オプション。無効にすると、ユーザーはパスワードの自動入力または自動強力パスワード機能を使用できません。デフォルトは [オン] です。iOS 12 から利用可能です。
    • パスワード近接要求: オプション。無効にすると、ユーザーのデバイスは近くのデバイスにパスワードを要求しません。デフォルトは [オン] です。iOS 12 から利用可能です。
    • パスワード共有: オプション。無効にすると、ユーザーはAirDropパスワード機能を使用してパスワードを共有できません。デフォルトは [オン] です。iOS 12 から利用可能です。
    • パーソナルホットスポットの変更を許可: ユーザーがパーソナルホットスポットの設定を変更できないようにします。
    • ペアリングされていないデバイスからのブートによる復元を許可する: [オン] の場合、デバイスはペアリングされていないデバイスからのブートによって復元できます。デフォルトは [オフ] です。iOS 14.5以降で利用可能です。
    • 緊急セキュリティ対応をインストールする: [オフ] の場合、緊急セキュリティ対応のインストールが禁止されます。デフォルトは [オン] です。
    • 緊急セキュリティ対応を削除する: [オフ] の場合、緊急セキュリティ対応の削除が禁止されます。デフォルトは [オン] です。
    • メールのプライバシー保護を許可する: [オフ] の場合、デバイスでのメールのプライバシー保護が無効になります。デフォルトは [オン] です。iOS 15.2以降で利用可能です。
    • NFC: [オフ] の場合、NFCが無効になります。デフォルトは [オン] です。iOS 14.2以降で利用可能です。
    • App Clipを許可する[オフ] の場合、ユーザーはApp Clipを追加できなくなり、デバイス上の既存のApp Clipが削除されます。デフォルトは [オン] です。iOS 14.0以降で利用可能です。
  • セキュリティ - ロック画面に表示
    • コントロールセンター: ロック画面のコントロールセンターへアクセスできるようにします。コントロールセンターでは、機内モード、Wi-Fi、Bluetooth、おやすみモード、画面の向きをロックといった設定をユーザーが簡単に変更できます。
    • 通知: ロック画面上へ通知できるようにします。
    • 今日ビュー: 天気や当日の予定といった情報を表示する今日の表示をロック画面上で有効にします。
  • メディアコンテンツ - 許可
    • 不適切な音楽、Podcast、iTunes Uコンテンツ: ユーザーのデバイスで成人向けのコンテンツを許可します。
    • iBooksの不適切な性的コンテンツ: iBooksから成人向けのコンテンツをダウンロードできるようにします。
    • レーティング地域: ペアレンタルコントロールのレートを取得する地域を設定します。一覧では、国をクリックするとレート地域が設定されます。デフォルトは [米国] です。
    • ムービー: ユーザーのデバイスでムービーを操作できるかどうかを設定します。ムービーの操作が許可される場合は、オプションでムービーのレートレベルを設定します。一覧で、デバイスでムービーを許可または制限するオプションをクリックします。デフォルトは[すべてのムービーを許可]です。
    • テレビ番組: ユーザーのデバイスでテレビ番組を操作できるかどうかを設定します。テレビ番組の操作が許可される場合は、オプションでテレビ番組のレートレベルを設定します。一覧で、デバイスでテレビ番組を許可または制限するオプションをクリックします。デフォルトは[すべてのテレビ番組を許可]です。
    • アプリ: ユーザーのデバイスでアプリを操作できるかどうかを設定します。アプリの操作が許可される場合は、オプションでムービーのレートレベルを設定します。一覧で、デバイスでアプリを許可または制限するオプションをクリックします。デフォルトは[すべてのアプリを許可]です。
  • ポリシー設定
    • ポリシーの削除: ポリシーの削除をスケジュール設定する方法を選択します。利用可能なオプションは、[日付を選択][削除までの期間(時間)を指定] です。
      • 日付を選択: カレンダーをクリックして削除を実行する特定の日付を選択します。
      • 削除までの期間(時間)を指定: ポリシーが削除されるまでの時間単位の数値を入力します。iOS 6.0以降でのみ使用できます。
    • プロファイル対策: このポリシーを [ユーザー] または [システム] 全体に適用するかを選択します。デフォルトは [ユーザー] です。このオプションはiOS 9.3以降でのみ使用できます。

macOS設定

デバイスポリシー構成画面

設定 監視対象外 監視対象
アプリ    
Game Centerの使用を許可 いいえ はい
Game Centerの友達の追加を許可 いいえ はい
マルチプレーヤーゲームを許可 いいえ はい
Game Centerのアカウント変更を許可 はい はい
App Storeの採用を許可 はい はい
Safariの自動入力を許可 いいえ はい
アプリのインストールまたはアップデートで管理者パスワードを必須にする はい はい
App Storeをソフトウェアの更新のみに制限 はい はい
開くのを許可するアプリの制限 はい はい
メディア    
AirDropを許可 いいえ はい
機能    
デスクトップ画像をロック いいえ はい
カメラの使用を許可 いいえ はい
Apple Musicを許可する いいえ はい
Spotlightの検索候補を許可 はい はい
検索を許可 はい はい
ローカルアカウントでのiCloudパスワードの使用を許可 はい はい
iCloudドキュメントおよびデータを許可 はい はい
iCloudで”デスクトップ”と”書類”を許可する いいえ はい
iCloudキーチェーンの同期を許可する いいえ はい
iCloudで “メール” を許可する はい はい
iCloudで “連絡先” を許可する はい はい
iCloudで “カレンダー” を許可する はい はい
iCloudで “リマインダー” を許可する はい はい
iCloudブックマークを許可する はい はい
iCloudで “メモ” を許可する はい はい
iCloudで”写真”を許可する はい はい
自動ロックの解除を許可する はい はい
Macのロック解除にTouch IDを許可する はい はい
ソフトウェア更新の強制延期 いいえ はい
パスワードの自動入力 いいえ はい
パスワード近接要求 いいえ はい
パスワード共有 はい はい
  • 基本設定
    • システム環境設定のアイテムの制限: システム環境設定へのユーザーのアクセスを許可または制限します。デフォルトは [オフ] で、ユーザーにはシステム環境設定へのフルアクセス権が付与されます。有効にした場合は、次の設定を構成します。
      • システム環境設定ペイン: 選択した設定を有効にするのか、無効にするのかを選択します。デフォルトではすべての設定が有効になるように、すなわち [オン] に設定されています。
        • ユーザーおよびグループ
        • 一般
        • アクセシビリティ
        • App Store
        • ソフトウェアの更新
        • Bluetooth
        • CDとDVD
        • 日時
        • デスクトップとスクリーンセーバー
        • ディスプレイ
        • ドック
        • エネルギーセーバー
        • 拡張機能
        • ファイバーチャネル
        • iCloud
        • インク
        • インター ネットアカウント
        • キーボード
        • 言語とテキスト
        • Mission Control
        • マウス
        • ネットワーク
        • 通知
        • ペアレンタルコントロール
        • プリンターとスキャナー
        • プロファイル
        • セキュリティとプライバシー
        • 共有
        • サウンド
        • ディクテーションと音声入力
        • Spotlight
        • 起動ディスク
        • Time Machine
        • トラックパッド
        • Xsan
  • アプリ
    • Game Centerの使用を許可: ユーザーがGame Centerを介してオンラインゲームをプレイできるようにします。デフォルトは [オン] です。
    • Game Center の友達の追加を許可: ユーザーが友人に通知を送信してゲームをプレイできるようにします。デフォルトは [オン] です。
    • マルチプレーヤーゲームを許可: ユーザーがマルチプレーヤーゲームを開始できるようにします。デフォルトは [オン] です。
    • Game Centerのアカウント変更を許可: ユーザーが各自のGame Centerアカウント設定を変更できるようにします。デフォルトは [オン] です。
    • App Storeの採用を許可: OS Xに既に存在するアプリのApp Storeへの登録を許可または制限します。デフォルトは [オン] です。
    • Safari の自動入力を許可: Safariに保存されているパスワード、アドレス、およびその他の基本情報が自動的にWebサイトのフィールドに入力されるようにします。デフォルトは [オン] です。
    • アプリのインストールまたはアップデートで管理者パスワードを必須にする: アプリをインストールまたは更新するときに管理者のパスワードを必須にします。デフォルトは [オフ] で、管理者のパスワードが不要であることを意味します。
    • App Store をソフトウェアの更新のみに制限: App Storeを更新のみに制限します。つまり、[アップデート]以外のApp Storeのタブはすべて無効になります。デフォルトは [オフ] で、App Storeへのフルアクセスが許可されます。
    • 開くのを許可するアプリ制限ポリシー: ユーザーが使用できるアプリを制限または許可します。デフォルトは[オフ]で、すべてのアプリの使用が許可されます。有効にした場合は、次の設定を構成します:
      • 許可するアプリ: [追加] をクリックして、起動を許可するアプリの名前およびバンドルIDを入力し、[保存] をクリックします。Citrix業務用モバイルアプリの場合は、アプリを追加するときに [パッケージID]フィールドのIDを使用します。各アプリで起動を許可するたびに、この手順を繰り返します。
      • 許可しないフォルダー: [追加] をクリックして、ユーザーアクセスを制限するフォルダーまでのファイルパス(例:/Applications/Utilities)を入力し、[保存] をクリックします。ユーザーにアクセスできないようにするすべてのフォルダーについて、この手順を繰り返します。
      • 許可するフォルダー: [追加] をクリックして、ユーザーアクセスを許可するフォルダーまでのファイルパスを入力し、[保存] をクリックします。ユーザーにアクセスできるようにするすべてのフォルダーについて、この手順を繰り返します。
  • ウィジェット
    • 以下のダッシュボードウィジェットのみ実行を許可: [オン] の場合、ユーザーはこの設定で構成されたダッシュボードウィジェットのみを実行できます。デフォルトは [オフ] で、ユーザーはすべてのウィジェットを実行できます。有効にした場合は、次の設定を構成します:
      • 許可するウィジェット: [追加] をクリックして、実行を許可するウィジェットの名前およびIDを入力し、[保存] をクリックします。ダッシュボードでの実行を許可するウィジェットごとに、この手順を繰り返します。
  • メディア
    • AirDropを許可: ユーザーが写真、ビデオ、Webサイト、場所、およびそれ以外のものを近くのiOSデバイスで共有できるようにします。
  • 共有
    • 新しい共有サービスを自動で有効にする: 共有サービスを自動的に有効にするかどうかを選択します。
    • メール: 共有メールボックスを許可するかどうかを選択します。
    • Facebook: 共有Facebookアカウントを許可するかどうかを選択します。
    • ビデオサービス - Flickr、Vimeo、Tudou、Youku: 共有ビデオサービスを許可するかどうかを選択します。
    • Apertureに追加: Apertureへの追加を行う共有機能を許可するかどうかを選択します。
    • Sina Weibo: 共有Sina Weiboアカウントを許可するかどうかを選択します。
    • Twitter: 共有Twitterアカウントを許可するかどうかを選択します。
    • メッセージ: メッセージへの共有アクセスを許可するかどうかを選択します。
    • iPhotoに追加: iPhotoへの追加を行う共有機能を許可するかどうかを選択します。
    • リーディングリストに追加: リーディングリストへの追加を行う共有機能を許可するかどうかを選択します。
    • AirDrop: 共有AirDropアカウントを許可するかどうかを選択します。
  • 機能
    • デスクトップ画像をロック: ユーザーがデスクトップの画像を変更できるかどうかを選択します。デフォルトは [オフ] で、ユーザーがデスクトップの画像を変更できることを意味します。
    • カメラの使用を許可: ユーザーがMacでカメラを使用できるかどうかを選択します。デフォルトは [オフ] で、ユーザーがカメラを使用できないことを意味します。
    • Apple Musicを許可する: ユーザーがApple Musicサービスを使用できるようにします(macOS 10.12以降)。Apple Musicサービスを許可しない場合、Musicアプリはクラシックモードで動作します。監視対象のデバイスにのみ適用されます。デフォルトは、[オン] です。
    • Spotlightの検索候補を許可: ユーザーが[Spotlightの検索候補]を使用してMacを検索したり、[Spotlightの検索候補]にインターネットやApp Storeの項目を表示したりできるかどうかを選択します。デフォルトは [オフ] で、ユーザーは[Spotlightの検索候補]を使用できません。
    • 検索を許可: ユーザーがコンテキストメニューまたはSpotlight検索メニューで単語の定義を検索できるかどうかを選択します。デフォルトは[オフ]で、この場合、ユーザーはMacで検索機能を使用できません。
    • ローカルアカウントでのiCloudパスワードの使用を許可: ユーザーが各自のApple IDおよびiCloudパスワードを使用してMacにサインオンできるかどうかを選択します。これを有効にすることは、ユーザーがMacのすべてのログイン画面で同じIDおよびパスワードを使用することを意味します。デフォルトは [オン] で、ユーザーは各自のApple IDおよびiCloudパスワードを使用してMacにアクセスすることができます。
    • iCloudドキュメントおよびデータを許可: ユーザーがMacからiCloudに保存されているドキュメントおよびデータにアクセスするのを許可するかどうかを選択します。デフォルトは [オン] で、ユーザーはMacからiCloudに保存されているドキュメントおよびデータを使用できないようになっています。
      • iCloudで”デスクトップ”と”書類”を許可する:(macOS 10.12.4以降)デフォルトは[オン]です。
    • iCloudキーチェーンの同期を許可する: iCloudキーチェーンの同期を許可します(macOS 10.12以降)。デフォルトは [オン] です。
    • iCloudで”メール”を許可する: ユーザーがiCloudメールを使用できるようにします(macOS 10.12以降)。デフォルトは [オン] です。
    • iCloudで”連絡先”を許可する: ユーザーがiCloudの連絡先を使用できるようにします(macOS 10.12以降)。デフォルトは [オン] です。
    • iCloudで”カレンダー”を許可する: ユーザーがiCloudのカレンダーを使用できるようにします(macOS 10.12以降)。デフォルトは [オン] です。
    • iCloud で”リマインダー”を許可する: ユーザーがiCloudのリマインダーを使用できるようにします(macOS 10.12以降)。デフォルトは [オン] です。
    • iCloudブックマークを許可する: ユーザーがiCloudのブックマークと同期できるようにします(macOS 10.12以降)。デフォルトは [オン] です。
    • iCloudで”メモ”を許可する: ユーザーがiCloudのメモを使用できるようにします(macOS 10.12以降)。デフォルトは [オン] です。
    • iCloudで”写真”を許可する: この設定を [オフ] に変更すると、iCloudのフォトライブラリから完全にダウンロードされていない写真はすべてデバイスのローカルストレージから削除されます(macOS 10.12以降)。デフォルトは [オン] です。
    • 自動ロックの解除を許可する: このオプションとApple Watchについては、https://www.imore.com/auto-unlockを参照してください(macOS 10.12以降)。デフォルトは [オン] です。
    • Macのロック解除にTouch IDを許可する:(macOS 10.12.4以降)デフォルトは [オン] です。
    • ソフトウェア更新の延期を強制する: [オン] の場合、ソフトウェアの更新がユーザーに表示されるまでの時間が延期されます。ソフトウェアの更新がリリースされてから指定の日数が経過するまで、ユーザーにソフトウェアの更新は表示されません。デフォルトはオフです。macOS 10.13.4以降を実行する監視対象デバイスでのみ利用できます。OSの更新ポリシーには、デバイスが更新を受信する頻度を制御するためのさらに多くの設定が含まれています。詳しくは、「OSの更新デバイスポリシー」を参照してください。
    • ソフトウェア更新の強制延期期間(日): デバイス上でソフトウェアの更新を延期する日数を指定します。日数の上限は90日です。デフォルトは30です。macOS 10.13.4以降を実行する監視対象デバイスでのみ利用できます。
    • パスワードの自動入力: オプション。無効にすると、ユーザーはパスワードの自動入力または自動強力パスワード機能を使用できません。デフォルトは [オン]です(macOS 10.14以降)。
    • パスワード近接要求: オプション。無効にすると、ユーザーのデバイスは近くのデバイスにパスワードを要求しません。デフォルトは [オン]です(macOS 10.14以降)。
    • パスワード共有: オプション。無効にすると、ユーザーはAirDropパスワード機能を使用してパスワードを共有できません。デフォルトは [オン]です(macOS 10.14以降)。

Androidの設定

  • カメラ: ユーザーがデバイスでカメラを使用できるようにします。[オフ] の場合、カメラは無効になります。デフォルトは、[オン] です。

Android Enterpriseの設定

デバイスポリシー構成画面

新規のまたは工場出荷時の設定にリセットされたAndroidデバイスが仕事用プロファイルモードで登録されると、Android 9.0~10.xを実行しているデバイスは、仕事用プロファイルを持つ管理対象デバイスとして登録されます。Android 11以降、デバイスは会社所有のデバイスの仕事用プロファイルとして登録されます。制限ポリシーは、デバイスの仕事用プロファイルまたは管理対象デバイスのいずれかに適用できます。

会社所有のデバイスの仕事用プロファイルモードに登録されているデバイスでは、次の制限は機能しません:

  • バックアップ サービスを許可
  • システムアプリを有効にする
  • Keyguardがデバイスをロックしないようにする
  • ステータスバーの使用を許可
  • デバイス画面を有効なまま維持する
  • ユーザーにアプリケーション設定の制御を許可
  • ユーザーにユーザー資格情報の構成を許可
  • VPN構成を許可
  • USB大容量ストレージを許可
  • 工場出荷時リセットを許可
  • アプリのアンインストールを許可
  • Google Play非対応アプリを許可
  • プロファイル間でコピーと貼り付けを許可
  • アプリの検証を有効化
  • アカウント管理を許可
  • 印刷を許可
  • NFCを許可
  • ユーザーの追加を許可

デバイスがAndroid Enterpriseの仕事用プロファイルモードで登録されている場合、デフォルトではUSBデバッグおよび不明なソース設定は無効になっています。

詳しくは、このビデオをご覧ください:

Citrix Endpoint ManagementとAndroid Enterpriseを使用して工場出荷時の保護を管理する方法

  • 仕事用プロファイルで完全に管理されているデバイスに適用 /会社所有のデバイスの仕事用プロファイルに適用: 仕事用プロファイルで完全に管理されたデバイスの制限ポリシー設定を構成できます。これらのデバイスは、COPE(個人使用可能なコーポレート所有)デバイスとも呼ばれます。この設定が [オン] の場合、次のいずれかの設定を選択します:
    • 仕事用プロファイル: 構成した制限設定は、デバイスの仕事用プロファイルにのみ適用されます。
    • 管理対象デバイス: 構成した制限設定は、デバイスにのみ適用されます。

    この設定が [オフ] の場合、構成する資格情報設定はデバイスに適用されます(明示的に仕事用プロファイルに適用される設定を除く)。デフォルトはオフです。

[仕事用プロファイルで完全に管理されているデバイスに適用 /会社所有のデバイスの仕事用プロファイルに適用] がオフの場合、次の設定を構成します:

  • セキュリティ

    • アカウント管理を許可: 仕事用プロファイルおよび管理対象デバイスでアカウントを追加できるようにします。デフォルトはオフです。
    • 仕事用プロファイルからのコピーと貼り付けを許可: [オン] の場合、ユーザーは仕事用プロファイルのアプリから個人用プロファイルのアプリにデータをコピーして貼り付けることができます。デフォルトはオフです。
    • 個人用プロファイルからのデータ共有を許可: [オン] の場合、ユーザーは個人用プロファイルのアプリから仕事用プロファイルのアプリに共有データをコピーして貼り付けることができます。デフォルトはオフです。
    • スクリーンショットを許可: ユーザーがデバイス画面のスクリーンショットを取得できるかどうかを指定します。デフォルトはオフです。
    • カメラの使用を許可: ユーザーがデバイスのカメラで写真やビデオを撮ることができます。デフォルトはオフです。
    • VPN構成を許可: ユーザーがVPN構成を作成できるようにします。Android 6以降を実行する仕事用プロファイルデバイスおよび完全に管理されているデバイス向けです。デフォルトは [オン] です。
    • バックアップサービスを許可: ユーザーがデバイス上にアプリケーションやシステムデータをバックアップできるようにします。デフォルトは [オン] です。
    • NFCを許可: 近距離無線通信(NFC:Near Field Communication)を使用して、ユーザーが手元のデバイスから他のデバイスにWebページ、写真、ビデオなどのコンテンツを送信できるようにします。MDM 4.0以降。デフォルトは [オン] です。
    • 位置情報プロバイダーの構成を許可: ユーザーがデバイスでGPSをオンにできるようにします。Android API 28以降で使用します。デフォルトは [オン] です。
    • 位置情報の共有を許可: 管理対象プロファイルの場合、デバイス所有者は設定を上書きできます。デフォルトはオフです。

      ヒント:

      Citrix Endpoint Managementで位置情報デバイスポリシーを作成して、地理的な境界を適用することができます。「位置情報デバイスポリシー」を参照してください。

    • ユーザーにユーザー資格情報の構成を許可: ユーザーが管理対象のキーストアで認証情報を設定できるかどうかを指定します。デフォルトは [オン] です。
    • 印刷を許可: [オン] にすると、ユーザーデバイスからアクセス可能なプリンターへの印刷が許可されます。デフォルトは [オフ] です。利用可能:Android 9以降。
    • USBデバッグを許可: デフォルトは [オフ] です。
  • アプリ

    • システムアプリを有効化: ユーザーが事前インストールされたデバイスアプリを実行できるようにします。デフォルトはオフです。特定のアプリを有効にするには、[システムアプリ一覧]の表で [追加] をクリックします。
      • システムアプリ一覧: デバイスで有効にするシステムアプリの一覧。[システムアプリを有効化][オン] に設定して、アプリのパッケージ名を追加します。システムアプリのパッケージ名を検索するには、Android Debug Bridge(adb)を使用してAndroidパッケージマネージャー(pm)コマンドを呼び出します。たとえば adb shell "pm list packages -f name"で、ここで「名前」はパッケージ名の一部です。詳しくは、https://developer.android.com/studio/command-line/adbを参照してください。Android Enterpriseデバイスでは、Android Enterpriseアプリの権限ポリシーを使用してアプリの権限を制限できます。
    • アプリケーションを無効化: 指定したアプリの一覧がデバイス上で実行されるのを禁止します。デフォルトはオフです。インストールされているアプリを無効にするには、設定を [オン] に変更し、[アプリケーション一覧] 表で [追加] をクリックします。
      • アプリ一覧: 禁止するアプリの一覧。[アプリケーションを無効にする][オン] に設定してアプリを追加し、アプリのパッケージ名を入力します。アプリ一覧を変更して展開すると、以前のアプリ一覧が上書きされます。例:com.example1とcom.example2を無効にしてから、アプリ一覧の内容をcom.example1とcom.example3に変更すると、com.example.2が有効になります。
    • アプリの検証を有効化: OSがアプリをスキャンして悪意のある動作を検出できるようにします。デフォルトは [オン] です。
    • Google Appsを有効化: ユーザーがGoogle Mobile Servicesからデバイスにアプリをダウンロードできるようにします。デフォルトは [オン] です。
    • Google Play非対応アプリを許可: Google Play以外のストアからアプリをインストールできるようにします。デフォルトはオフです。
    • すべてのプロファイルでGoogle Play以外のアプリを許可: [オン] の場合、ユーザーはGoogle Play以外のストアのアプリをデバイスのすべてのプロファイルにインストールできます。デフォルトはオフです。
    • ユーザーにアプリケーション設定の制御を許可: ユーザーがアプリのアンインストール、アプリの無効化、キャッシュやデータの消去、アプリの強制停止、デフォルト値のクリアをできるようにします。ユーザーは、設定アプリからこれらのアクションを実行します。デフォルトは [オフ] です。
    • アプリのアンインストールを許可: ユーザーが管理対象のGoogle Playストア内からアプリをアンインストールできるようにします。デフォルトはオフです。
  • BYOD/仕事用プロファイル

    • 接続されたアプリを有効にする: 有効にすると、ユーザーは仕事と個人の両方のデータを利用して、仕事と個人のプロファイル間で通信できるアプリを選択できます。有効にした後、[追加]をクリックし、目的のアプリを選択して、[保存]をクリックします。この機能を有効にするには、作業プロファイルが必要です。デフォルトはオフです。
    • ホーム画面で仕事用プロファイルアプリウィジェットを許可する: この設定が [オン] の場合、ユーザーが仕事用プロファイルアプリウィジェットをデバイスのホーム画面に配置できます。この設定が [オフ] の場合、ユーザーは仕事用プロフィールアプリウィジェットを端末のホーム画面に配置できません。デフォルトはオフです。
      • ウィジェットが許可されたアプリ: ホーム画面で許可するアプリの一覧。[ホーム画面で仕事用プロファイルアプリのウィジェットを許可][オン] に設定して対象のアプリを追加します。[追加]をクリックし、一覧からホーム画面で許可するアプリを選択します。[保存] をクリックします。この手順を繰り返して、ほかのアプリウィジェットも許可します。
    • デバイスの連絡先で仕事用プロファイルの連絡先を許可: 着信時に、管理対象のAndroid Enterpriseプロファイルの連絡先を親プロファイルに表示します(Android 7.0以降)。デフォルトはオフです。
  • 完全管理対象デバイスのみ

    • ユーザーの追加を許可: ユーザーがデバイスに新しいユーザーを追加できるようにします。デフォルトは [オン] です。
    • データローミングを許可: ユーザーがローミング中に携帯データネットワークを使用できるようにします。デフォルトは[オフ]で、ユーザーのデバイスでローミングが無効になっています。デフォルトはオフです。
    • SMSを許可: ユーザーがSMSメッセージを送受信できるようにします。デフォルトはオフです。
    • ステータスバーの使用を許可: [オン] に設定すると、管理対象デバイスおよび専用デバイス(COSUデバイス)上でステータスバーが有効になります。この設定により、通知、クイック設定、その他の画面オーバーレイで全画面モードから移動することができなくなります。ユーザーはシステム設定に移動して通知を表示できます。Android 6.0以降の場合、デフォルトはオフです。
    • Bluetoothを許可: ユーザーがBluetoothを使用できるようにします。デフォルトは [オン] です。
      • Bluetooth共有を許可: オフになっている場合、ユーザーはデバイスで送信によるBluetooth共有を確立できません。デフォルトではオンになっています。
    • 日付と時刻の構成を許可: ユーザーがデバイスの日付と時刻を変更できるようにします。デフォルトは [オン] です。
    • 工場出荷時リセットを許可: ユーザーがデバイスを出荷時の設定に戻すことができるようにします。デフォルトは [オン] です。
    • デバイス画面を有効なまま維持する: この設定を [オン] に設定すると、デバイスを接続してもデバイス画面はオンのままです。デフォルトはオフです。
    • USB大容量ストレージを許可: USB接続上で、ユーザーのデバイスとコンピューター間で大容量のデータファイルを転送できるようにします。デフォルトは [オン] です。
    • マイクを許可: ユーザーがデバイスでマイクを使用できるようにします。デフォルトは [オン] です。
    • テザリングを許可: ユーザーがポータブルホットスポットとテザリングデータを構成できるようにします。デフォルトはオフです。
    • Keyguardがデバイスをロックしないようにする: [オン]の場合、この設定により管理対象デバイスおよび専用デバイス(COSUデバイス)のロック画面でKeyguardが無効になります。デフォルトはオフです。
    • Wi-Fiの変更を許可: [オン] 場合、ユーザーはWi-Fiをオンまたはオフにして、Wi-Fiネットワークに接続できます。デフォルトは [オン] です。
    • ファイル転送を許可: USB上でファイル転送できるようにします。デフォルトはオフです。
  • Samsung

    • TIMAキーストアを有効化: TIMA KeyStoreは、対称キーのTrustZoneベースのセキュアなキーストレージを提供します。RSAキーペアと証明書は、ストレージのデフォルトのキーストアプロバイダーを経由します。デフォルトはオフです。
    • 共有一覧を許可: ユーザーがShare Viaの一覧にあるアプリ間でコンテンツを共有できるようにします。デフォルトは [オン] です。
    • 監査ログを有効化: デバイスのフォレンジック解析用イベント監査ログの作成を有効にします。デフォルトはオフです。
  • Samsung:完全管理対象デバイスのみ

    • ODE信頼済み起動検証を有効化: ODE信頼済みブート検証を使って、ブートローダーからシステムイメージへの信頼のチェーンを確立します。デフォルトは [オン] です。
    • 緊急電話のみを許可: ユーザーがデバイスで緊急電話のみモードを有効にできるようにします。デフォルトはオフです。
    • ファームウェアリカバリを許可: ユーザーがデバイスでファームウェアを復元できるようにします。デフォルトは [オン] です。
    • 高速暗号化を許可: 使用済みのメモリ領域のみ暗号化を許可します。この暗号化は、すべてのデータを暗号化するフルディスク暗号化とは対照的な方法です。このデータには設定、アプリケーションデータ、ダウンロードしたファイルおよびアプリケーション、メディア、およびその他のファイルが含まれます。デフォルトは [オン] です。
    • 情報セキュリティ国際評価基準(Common Criteria)モードを有効化: デバイスを情報セキュリティ国際評価基準モードにします。Common Criteria構成は、厳重なセキュリティプロセスを遂行します。デフォルトは [オン] です。
    • 再起動バナーを有効化: ユーザーのデバイスが再起動されたときに、DoD承認システム使用通知メッセージまたはバナーを表示します。デフォルトはオフです。
    • 設定の変更を許可: ユーザーが完全管理対象デバイスの設定を変更できるようにします。デフォルトは [オン] です。
    • バックグラウンドデータの使用を有効化: アプリがバックグラウンドでデータを同期できるようにします。完全管理対象デバイス向けの設定です。デフォルトは [オン] です。
    • クリップボードを許可: ユーザーがデバイスでデータをクリップボードにコピーできるようにします。
      • クリップボード共有を許可: ユーザーが自分のデバイスとコンピューター間でクリップボードのコンテンツを共有できるようにします(MDM 4.0以降)。
    • ホームキーを許可: ユーザーが完全管理対象デバイスでHomeキーを使用できるようにします。デフォルトは [オン] です。
    • 疑似ロケーションを許可: ユーザーがGPSの場所を偽装できるようにします。完全に管理されているデバイス用の設定です。デフォルトはオフです。
    • NFC: ユーザーが完全に管理されたデバイスでNFCを使用できるようにします(MDM 3.0以降)。デフォルトは [オン] です。
    • 電源オフを許可: ユーザーが完全管理対象デバイスの電源を切れるようにします(MDM 3.0以降)。デフォルトは [オン] です。
    • Wi-Fiダイレクトを許可: ユーザーがWi-Fi接続を介して、ほかのデバイスに直接接続できるようにします。デフォルトは [オン] です。[オン] の場合、[Wi-Fiの変更を許可] 設定を有効にする必要があります。
    • SDカードを許可: ユーザーが、可能な場合にはデバイスでSDカードを使用できるようにします。デフォルトは [オン] です。
    • USBホストストレージを許可: USBデバイスがユーザーのデバイスに接続されたとき、ユーザーのデバイスがUSBホストとして機能するようにできます。これにより、ユーザーのデバイスがUSBデバイスに電源を供給します。デフォルトは [オン] です。
    • 音声ダイヤラーを許可: ユーザーがデバイスで音声ダイヤラーを使用できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
    • S Beamを許可: ユーザーがNFCやWi-Fi Directを使ってほかのユーザーとコンテンツを共有できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
    • S Voiceを許可: ユーザーがデバイスでインテリジェントパーソナルアシスタントおよびナレッジナビゲーターを使用できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
    • USBテザリングを許可: ユーザーが、USB接続を使ってモバイルデータ接続をほかのデバイスと共有できるようにします。デフォルトは [オフ] です。[オン] の場合、[テザリングを許可] 設定も [オン] にする必要があります。
    • Bluetoothテザリングを許可: ユーザーが、Bluetooth接続を使ってモバイルデータ接続をほかのデバイスと共有できるようにします。デフォルトは [オフ] です。[オン] の場合、[テザリングを許可] 設定も [オン] にする必要があります。
      • Bluetooth共有を許可: オフになっている場合、ユーザーはデバイスで送信によるBluetooth共有を確立できません。デフォルトではオンになっています。
    • Wi-Fiテザリングを許可: ユーザーが、Wi-Fi接続を使ってモバイルデータ接続をほかのデバイスと共有できるようにします。デフォルトは [オフ] です。[オン] の場合、[テザリングを許可] 設定も [オン] にする必要があります。
    • 受信MMSを許可: ユーザーがMMS(Microsoftメディアストリーミング)メッセージを受信できるようにします。デフォルトはオフです。[オン] の場合、[SMSを許可] 設定をオンにする必要があります。
    • 送信MMSを許可: ユーザーがMMS(Microsoftメディアストリーミング)メッセージを送信できるようにします。デフォルトはオフです。[オン] の場合、[SMSを許可] 設定をオンにする必要があります。
    • 受信SMSを許可: ユーザーがSMSメッセージを受信できるようにします。デフォルトはオフです。[オン] の場合、[SMSを許可] 設定をオンにする必要があります。
    • 送信SMSを許可: ユーザーがSMSメッセージを送信できるようにします。デフォルトはオフです。[オン] の場合、[SMSを許可] 設定をオンにする必要があります。
    • モバイルネットワークを構成: ユーザーが携帯データネットワーク接続を使用できるようにします。デフォルトはオフです。
    • 日単位で制限(MB): ユーザーが一日に使用できるモバイルデータのMB数を入力します。デフォルトは0で、この機能が無効になっています(MDM 4.0以降)。
    • 週単位で制限 (MB): ユーザーが一週間に使用できるモバイルデータのMB数を入力します。デフォルトは0で、この機能が無効になっています(MDM 4.0以降)。
    • 月単位で制限 (MB): ユーザーが1か月に使用できるモバイルデータのMB数を入力します。デフォルトは0で、この機能が無効になっています(MDM 4.0以降)。
    • セキュリティで保護されたVPN接続のみを許可: ユーザーがセキュリティで保護された接続のみを使用できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
    • オーディオ録音を許可: ユーザーがデバイスでオーディオを録音できるようにします(MDM 4.0以降)。デフォルトは [オン] です。[オン] の場合、[マイクを許可] 設定をオンにする必要があります。
    • ビデオ録画を許可: ユーザーがデバイスでビデオを録画できるようにします(MDM 4.0以降)。デフォルトはオフです。[オン] の場合、[カメラの使用を許可] 設定をオンにする必要があります。
    • ローミング時のプッシュメッセージを許可: ユーザーが携帯データネットワークを使用してプッシュできるようにします。デフォルトはオフです。[オン] の場合、[データローミングを許可] 設定を有効にする必要があります。
    • ローミング時に自動同期を許可: ユーザーが携帯データネットワークを使用して同期できるようにします。デフォルトはオフです。[オン] の場合、[データローミングを許可] 設定を有効にする必要があります。
    • ローミング時に音声通話を許可: ユーザーが音声通話に携帯データネットワークを使用できるようにします。デフォルトはオフです。[オン] の場合、[データローミングを許可] 設定を有効にする必要があります。
  • Samsung:完全管理対象デバイス

    • 失効チェックを有効化: 失効した証明書のチェックを有効にします。デフォルトはオフです。

[仕事用プロファイルで完全に管理されているデバイスに適用 /会社所有のデバイスの仕事用プロファイルに適用] がオンになっていて、[完全に管理されているデバイスが仕事用プロファイルを持つ場合、ポリシーを次のプロファイルに適用][仕事用プロファイル] に設定されている場合、次の設定を構成します:

  • セキュリティ

    • アカウント管理を許可: 仕事用プロファイルおよび管理対象デバイスでアカウントを追加できるようにします。デフォルトはオフです。
    • プロファイル間でコピーと貼り付けを許可: [オン] の場合、ユーザーはAndroid Enterpriseプロファイルのアプリと個人的領域のアプリの間でコピーして貼り付けることができます。デフォルトはオフです。
    • スクリーンショットを許可: ユーザーがデバイス画面のスクリーンショットを取得できるかどうかを指定します。デフォルトはオフです。
    • カメラの使用を許可: ユーザーがデバイスのカメラで写真やビデオを撮ることができます。デフォルトはオフです。
    • 位置情報プロバイダーの構成を許可: ユーザーがデバイスでGPSをオンにできるようにします。Android API 28以降で使用します。デフォルトは [オン] です。
    • 位置情報の共有を許可: 管理対象プロファイルの場合、デバイス所有者は設定を上書きできます。デフォルトはオフです。

      ヒント:

      Citrix Endpoint Managementで位置情報デバイスポリシーを作成して、地理的な境界を適用することができます。「位置情報デバイスポリシー」を参照してください。

    • ユーザーにユーザー資格情報の構成を許可: ユーザーが管理対象のキーストアで認証情報を設定できるかどうかを指定します。デフォルトは [オン] です。
    • 印刷を許可: [オン] にすると、ユーザーデバイスからアクセス可能なプリンターへの印刷が許可されます。デフォルトは [オフ] です。利用可能:Android 9以降。
  • アプリ

    • システムアプリを有効化: ユーザーが事前インストールされたデバイスアプリを実行できるようにします。デフォルトはオフです。特定のアプリを有効にするには、[システムアプリ一覧]の表で [追加] をクリックします。
      • システムアプリ一覧: デバイスで有効にするシステムアプリの一覧。[システムアプリを有効化][オン] に設定して、アプリのパッケージ名を追加します。システムアプリのパッケージ名を検索するには、Android Debug Bridge(adb)を使用してAndroidパッケージマネージャー(pm)コマンドを呼び出します。たとえば adb shell "pm list packages -f name"で、ここで「名前」はパッケージ名の一部です。詳しくは、https://developer.android.com/studio/command-line/adbを参照してください。Android Enterpriseデバイスでは、Android Enterpriseアプリの権限ポリシーを使用してアプリの権限を制限できます。
    • アプリケーションを無効化: 指定したアプリの一覧がデバイス上で実行されるのを禁止します。デフォルトはオフです。インストールされているアプリを無効にするには、設定を [オン] に変更し、[アプリケーション一覧] 表で [追加] をクリックします。
      • アプリ一覧: 禁止するアプリの一覧。[アプリケーションを無効にする][オン] に設定してアプリを追加し、アプリのパッケージ名を入力します。アプリ一覧を変更して展開すると、以前のアプリ一覧が上書きされます。例:com.example1とcom.example2を無効にしてから、アプリ一覧の内容をcom.example1とcom.example3に変更すると、com.example.2が有効になります。
    • アプリの検証を有効化: OSがアプリをスキャンして悪意のある動作を検出できるようにします。デフォルトは [オン] です。
    • Google Appsを有効化: ユーザーがGoogle Mobile Servicesからデバイスにアプリをダウンロードできるようにします。デフォルトは [オン] です。
    • Google Play非対応アプリを許可: Google Play以外のストアからアプリをインストールできるようにします。デフォルトはオフです。
    • ユーザーにアプリケーション設定の制御を許可: ユーザーがアプリのアンインストール、アプリの無効化、キャッシュやデータの消去、アプリの強制停止、デフォルト値のクリアをできるようにします。ユーザーは、設定アプリからこれらのアクションを実行します。デフォルトは [オフ] です。
    • アプリのアンインストールを許可: ユーザーが管理対象のGoogle Playストア内からアプリをアンインストールできるようにします。デフォルトはオフです。
  • BYOD/仕事用プロファイル

    • ホーム画面で仕事用プロファイルアプリウィジェットを許可する: この設定が [オン] の場合、ユーザーが仕事用プロファイルアプリウィジェットをデバイスのホーム画面に配置できます。この設定が [オフ] の場合、ユーザーは仕事用プロフィールアプリウィジェットを端末のホーム画面に配置できません。デフォルトはオフです。
      • ウィジェットが許可されたアプリ: ホーム画面で許可するアプリの一覧。[ホーム画面で仕事用プロファイルアプリのウィジェットを許可][オン] に設定して対象のアプリを追加します。[追加]をクリックし、一覧からホーム画面で許可するアプリを選択します。[保存] をクリックします。この手順を繰り返して、ほかのアプリウィジェットも許可します。
    • デバイスの連絡先で仕事用プロファイルの連絡先を許可: 着信時に、管理対象のAndroid Enterpriseプロファイルの連絡先を親プロファイルに表示します(Android 7.0以降)。デフォルトはオフです。
  • Samsung

    • TIMAキーストアを有効化: TIMA KeyStoreは、対称キーのTrustZoneベースのセキュアなキーストレージを提供します。RSAキーペアと証明書は、ストレージのデフォルトのキーストアプロバイダーを経由します。デフォルトはオフです。
    • 共有一覧を許可: ユーザーがShare Viaの一覧にあるアプリ間でコンテンツを共有できるようにします。デフォルトは [オン] です。
    • 監査ログを有効化: デバイスのフォレンジック解析用イベント監査ログの作成を有効にします。デフォルトはオフです。
  • Samsung:完全管理対象デバイス

    • 失効チェックを有効化: 失効した証明書のチェックを有効にします。デフォルトはオフです。

[仕事用プロファイルで完全に管理されているデバイスに適用/会社所有のデバイスの仕事用プロファイルに適用] がオンになっていて、[完全に管理されているデバイスが仕事用プロファイルを持つ場合、ポリシーを次のプロファイルに適用][管理対象デバイス] に設定されている場合、次の設定を構成します:

  • セキュリティ

    • アカウント管理を許可: 仕事用プロファイルおよび管理対象デバイスでアカウントを追加できるようにします。デフォルトはオフです。
    • プロファイル間でコピーと貼り付けを許可: [オン] の場合、ユーザーはAndroid Enterpriseプロファイルのアプリと個人的領域のアプリの間でコピーして貼り付けることができます。デフォルトはオフです。
    • スクリーンショットを許可: ユーザーがデバイス画面のスクリーンショットを取得できるかどうかを指定します。デフォルトはオフです。
    • カメラの使用を許可: ユーザーがデバイスのカメラで写真やビデオを撮ることができます。デフォルトはオフです。
    • VPN構成を許可: ユーザーがVPN構成を作成できるようにします。Android 6以降を実行する仕事用プロファイルデバイスおよび完全に管理されているデバイス向けです。デフォルトは [オン] です。
    • バックアップサービスを許可: ユーザーがデバイス上にアプリケーションやシステムデータをバックアップできるようにします。デフォルトは [オン] です。
    • NFCを許可: 近距離無線通信(NFC:Near Field Communication)を使用して、ユーザーが手元のデバイスから他のデバイスにWebページ、写真、ビデオなどのコンテンツを送信できるようにします。MDM 4.0以降。デフォルトは [オン] です。
    • 位置情報プロバイダーの構成を許可: ユーザーがデバイスでGPSをオンにできるようにします。Android API 28以降で使用します。デフォルトは [オン] です。
    • 位置情報の共有を許可: 管理対象プロファイルの場合、デバイス所有者は設定を上書きできます。デフォルトはオフです。

      ヒント:

      Citrix Endpoint Managementで位置情報デバイスポリシーを作成して、地理的な境界を適用することができます。「位置情報デバイスポリシー」を参照してください。

    • ユーザーにユーザー資格情報の構成を許可: ユーザーが管理対象のキーストアで認証情報を設定できるかどうかを指定します。デフォルトは [オン] です。
    • 印刷を許可: [オン] にすると、ユーザーデバイスからアクセス可能なプリンターへの印刷が許可されます。デフォルトは [オフ] です。利用可能:Android 9以降。
    • USBデバッグを許可: デフォルトは [オフ] です。
  • アプリ

    • システムアプリを有効化: ユーザーが事前インストールされたデバイスアプリを実行できるようにします。デフォルトはオフです。特定のアプリを有効にするには、[システムアプリ一覧]の表で [追加] をクリックします。
      • システムアプリ一覧: デバイスで有効にするシステムアプリの一覧。[システムアプリを有効化][オン] に設定して、アプリのパッケージ名を追加します。システムアプリのパッケージ名を検索するには、Android Debug Bridge(adb)を使用してAndroidパッケージマネージャー(pm)コマンドを呼び出します。たとえば adb shell "pm list packages -f name"で、ここで「名前」はパッケージ名の一部です。詳しくは、https://developer.android.com/studio/command-line/adbを参照してください。Android Enterpriseデバイスでは、Android Enterpriseアプリの権限ポリシーを使用してアプリの権限を制限できます。
    • アプリケーションを無効化: 指定したアプリの一覧がデバイス上で実行されるのを禁止します。デフォルトはオフです。インストールされているアプリを無効にするには、設定を [オン] に変更し、[アプリケーション一覧] 表で [追加] をクリックします。
      • アプリ一覧: 禁止するアプリの一覧。[アプリケーションを無効にする][オン] に設定してアプリを追加し、アプリのパッケージ名を入力します。アプリ一覧を変更して展開すると、以前のアプリ一覧が上書きされます。例:com.example1とcom.example2を無効にしてから、アプリ一覧の内容をcom.example1とcom.example3に変更すると、com.example.2が有効になります。
    • アプリの検証を有効化: OSがアプリをスキャンして悪意のある動作を検出できるようにします。デフォルトは [オン] です。
    • Google Appsを有効化: ユーザーがGoogle Mobile Servicesからデバイスにアプリをダウンロードできるようにします。デフォルトは [オン] です。
    • Google Play非対応アプリを許可: Google Play以外のストアからアプリをインストールできるようにします。デフォルトはオフです。
    • ユーザーにアプリケーション設定の制御を許可: ユーザーがアプリのアンインストール、アプリの無効化、キャッシュやデータの消去、アプリの強制停止、デフォルト値のクリアをできるようにします。ユーザーは、設定アプリからこれらのアクションを実行します。デフォルトは [オフ] です。
    • アプリのアンインストールを許可: ユーザーが管理対象のGoogle Playストア内からアプリをアンインストールできるようにします。デフォルトはオフです。
  • 完全管理対象デバイスのみ

    • ユーザーの追加を許可: ユーザーがデバイスに新しいユーザーを追加できるようにします。デフォルトは [オン] です。
    • データローミングを許可: ユーザーがローミング中に携帯データネットワークを使用できるようにします。デフォルトは[オフ]で、ユーザーのデバイスでローミングが無効になっています。デフォルトはオフです。
    • SMSを許可: ユーザーがSMSメッセージを送受信できるようにします。デフォルトはオフです。
    • ステータスバーの使用を許可: [オン] に設定すると、管理対象デバイスおよび専用デバイス(COSUデバイス)上でステータスバーが有効になります。この設定により、通知、クイック設定、その他の画面オーバーレイで全画面モードから移動することができなくなります。ユーザーはシステム設定に移動して通知を表示できます。Android 6.0以降の場合、デフォルトはオフです。
    • Bluetoothを許可: ユーザーがBluetoothを使用できるようにします。デフォルトは [オン] です。
      • Bluetooth共有を許可: オフになっている場合、ユーザーはデバイスで送信によるBluetooth共有を確立できません。デフォルトではオンになっています。
    • 日付と時刻の構成を許可: ユーザーがデバイスの日付と時刻を変更できるようにします。デフォルトは [オン] です。
    • 工場出荷時リセットを許可: ユーザーがデバイスを出荷時の設定に戻すことができるようにします。デフォルトは [オン] です。
    • 工場出荷時のリセット保護を許可: [オン] に設定されている場合、デバイスがリカバリモードでリセットされると、ユーザーはリセット前のデバイスのアカウント資格情報を入力する必要があります。リセット前にデバイスロックを設定した場合は、デバイスロックを設定することもできます。[オフ] に設定されている場合、リセット後に認証は必要ありません。デフォルトは [オン] です。
    • デバイス画面を有効なまま維持する: この設定を [オン] に設定すると、デバイスを接続してもデバイス画面はオンのままです。デフォルトはオフです。
    • USB大容量ストレージを許可: USB接続上で、ユーザーのデバイスとコンピューター間で大容量のデータファイルを転送できるようにします。デフォルトは [オン] です。
    • マイクを許可: ユーザーがデバイスでマイクを使用できるようにします。デフォルトは [オン] です。
    • テザリングを許可: ユーザーがポータブルホットスポットとテザリングデータを構成できるようにします。デフォルトはオフです。この設定をオンにすると、Samsungデバイスで以下の設定を使用できます:
    • Keyguardがデバイスをロックしないようにする: [オン]の場合、この設定により管理対象デバイスおよび専用デバイス(COSUデバイス)のロック画面でKeyguardが無効になります。デフォルトはオフです。
    • Wi-Fiの変更を許可: [オン] 場合、ユーザーはWi-Fiをオンまたはオフにして、Wi-Fiネットワークに接続できます。デフォルトは [オン] です。
    • ファイル転送を許可: USB上でファイル転送できるようにします。デフォルトはオフです。
  • Samsung

    • TIMAキーストアを有効化: TIMA KeyStoreは、対称キーのTrustZoneベースのセキュアなキーストレージを提供します。RSAキーペアと証明書は、ストレージのデフォルトのキーストアプロバイダーを経由します。デフォルトはオフです。
    • 共有一覧を許可: ユーザーがShare Viaの一覧にあるアプリ間でコンテンツを共有できるようにします。デフォルトは [オン] です。
    • 監査ログを有効化: デバイスのフォレンジック解析用イベント監査ログの作成を有効にします。デフォルトはオフです。
  • Samsung:完全管理対象デバイスのみ

    • ODE信頼済み起動検証を有効化: ODE信頼済みブート検証を使って、ブートローダーからシステムイメージへの信頼のチェーンを確立します。デフォルトは [オン] です。
    • 緊急電話のみを許可: ユーザーがデバイスで緊急電話のみモードを有効にできるようにします。デフォルトはオフです。
    • ファームウェアリカバリを許可: ユーザーがデバイスでファームウェアを復元できるようにします。デフォルトは [オン] です。
    • 高速暗号化を許可: 使用済みのメモリ領域のみ暗号化を許可します。この暗号化は、すべてのデータを暗号化するフルディスク暗号化とは対照的な方法です。このデータには設定、アプリケーションデータ、ダウンロードしたファイルおよびアプリケーション、メディア、およびその他のファイルが含まれます。デフォルトは [オン] です。
    • 情報セキュリティ国際評価基準(Common Criteria)モードを有効化: デバイスを情報セキュリティ国際評価基準モードにします。Common Criteria構成は、厳重なセキュリティプロセスを遂行します。デフォルトは [オン] です。
    • 再起動バナーを有効化: ユーザーのデバイスが再起動されたときに、DoD承認システム使用通知メッセージまたはバナーを表示します。デフォルトはオフです。
    • 設定の変更を許可: ユーザーが完全管理対象デバイスの設定を変更できるようにします。デフォルトは [オン] です。
    • バックグラウンドデータの使用を有効化: アプリがバックグラウンドでデータを同期できるようにします。完全管理対象デバイス向けの設定です。デフォルトは [オン] です。
    • クリップボードを許可: ユーザーがデバイスでデータをクリップボードにコピーできるようにします。デフォルトは [オン] です。
      • クリップボード共有を許可: ユーザーが自分のデバイスとコンピューター間でクリップボードのコンテンツを共有できるようにします(MDM 4.0以降)。
    • ホームキーを許可: ユーザーが完全管理対象デバイスでHomeキーを使用できるようにします。デフォルトは [オン] です。
    • 疑似ロケーションを許可: ユーザーがGPSの場所を偽装できるようにします。完全に管理されているデバイス用の設定です。デフォルトはオフです。
    • NFC: ユーザーが完全に管理されたデバイスでNFCを使用できるようにします(MDM 3.0以降)。デフォルトは [オン] です。
    • 電源オフを許可: ユーザーが完全管理対象デバイスの電源を切れるようにします(MDM 3.0以降)。デフォルトは [オン] です。
    • Wi-Fiダイレクトを許可: ユーザーがWi-Fi接続を介して、ほかのデバイスに直接接続できるようにします。デフォルトは [オン] です。[オン] の場合、[Wi-Fiの変更を許可] 設定を有効にする必要があります。
    • SDカードを許可: ユーザーが、可能な場合にはデバイスでSDカードを使用できるようにします。デフォルトは [オン] です。
    • USBホストストレージを許可: USBデバイスがユーザーのデバイスに接続されたとき、ユーザーのデバイスがUSBホストとして機能するようにできます。これにより、ユーザーのデバイスがUSBデバイスに電源を供給します。デフォルトは [オン] です。
    • 音声ダイヤラーを許可: ユーザーがデバイスで音声ダイヤラーを使用できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
    • S Beamを許可: ユーザーがNFCやWi-Fi Directを使ってほかのユーザーとコンテンツを共有できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
    • S Voiceを許可: ユーザーがデバイスでインテリジェントパーソナルアシスタントおよびナレッジナビゲーターを使用できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
    • USBテザリングを許可: ユーザーが、USB接続を使ってモバイルデータ接続をほかのデバイスと共有できるようにします。デフォルトは [オフ] です。[オン] の場合、[テザリングを許可] 設定も [オン] にする必要があります。
    • Bluetoothテザリングを許可: ユーザーが、Bluetooth接続を使ってモバイルデータ接続をほかのデバイスと共有できるようにします。デフォルトは [オフ] です。[オン] の場合、[テザリングを許可] 設定も [オン] にする必要があります。
    • Wi-Fiテザリングを許可: ユーザーが、Wi-Fi接続を使ってモバイルデータ接続をほかのデバイスと共有できるようにします。デフォルトは [オフ] です。[オン] の場合、[テザリングを許可] 設定も [オン] にする必要があります。
    • 受信MMSを許可: ユーザーがMMS(Microsoftメディアストリーミング)メッセージを受信できるようにします。デフォルトはオフです。[オン] の場合、[SMSを許可] 設定をオンにする必要があります。
    • 送信MMSを許可: ユーザーがMMS(Microsoftメディアストリーミング)メッセージを送信できるようにします。デフォルトはオフです。[オン] の場合、[SMSを許可] 設定をオンにする必要があります。
    • 受信SMSを許可: ユーザーがSMSメッセージを受信できるようにします。デフォルトはオフです。[オン] の場合、[SMSを許可] 設定をオンにする必要があります。
    • 送信SMSを許可: ユーザーがSMSメッセージを送信できるようにします。デフォルトはオフです。[オン] の場合、[SMSを許可] 設定をオンにする必要があります。
    • モバイルネットワークを構成: ユーザーが携帯データネットワーク接続を使用できるようにします。デフォルトはオフです。
    • 日単位で制限(MB): ユーザーが一日に使用できるモバイルデータのMB数を入力します。デフォルトは0で、この機能が無効になっています(MDM 4.0以降)。
    • 週単位で制限 (MB): ユーザーが一週間に使用できるモバイルデータのMB数を入力します。デフォルトは0で、この機能が無効になっています(MDM 4.0以降)。
    • 月単位で制限 (MB): ユーザーが1か月に使用できるモバイルデータのMB数を入力します。デフォルトは0で、この機能が無効になっています(MDM 4.0以降)。
    • セキュリティで保護されたVPN接続のみを許可: ユーザーがセキュリティで保護された接続のみを使用できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
    • オーディオ録音を許可: ユーザーがデバイスでオーディオを録音できるようにします(MDM 4.0以降)。デフォルトは [オン] です。[オン] の場合、[マイクを許可] 設定をオンにする必要があります。
    • ビデオ録画を許可: ユーザーがデバイスでビデオを録画できるようにします(MDM 4.0以降)。デフォルトはオフです。[オン] の場合、[カメラの使用を許可] 設定をオンにする必要があります。
    • ローミング時のプッシュメッセージを許可: ユーザーが携帯データネットワークを使用してプッシュできるようにします。デフォルトはオフです。[オン] の場合、[データローミングを許可] 設定を有効にする必要があります。
    • ローミング時に自動同期を許可: ユーザーが携帯データネットワークを使用して同期できるようにします。デフォルトはオフです。[オン] の場合、[データローミングを許可] 設定を有効にする必要があります。
    • ローミング時に音声通話を許可: ユーザーが音声通話に携帯データネットワークを使用できるようにします。デフォルトはオフです。[オン] の場合、[データローミングを許可] 設定を有効にする必要があります。
  • Samsung:完全管理対象デバイス

    • 失効チェックを有効化: 失効した証明書のチェックを有効にします。デフォルトはオフです。

Windowsデスクトップ/タブレットの設定

デバイスポリシー構成画面

  • Wi-Fi設定
    • インターネット共有を許可: Wi-Fiホットスポットに切り替えてデバイスがインターネット接続をほかのデバイスと共有できるようにします。
  • 接続
    • Bluetoothを許可: デバイスがBluetoothを介して接続できるようにします。
    • 携帯ネットワーク経由のVPNを許可: デバイスがVPN上で携帯ネットワークと接続できるようにします。
    • ローミング時の携帯ネットワーク経由のVPNを許可: デバイスが携帯ネットワーク上をローミングしたら、デバイスがVPN上で接続できるようにします。
    • 携帯ネットワークデータのローミングを許可: ローミングの間にユーザーが携帯データネットワークを使えるようにします。
  • アカウント
    • Microsoftアカウントの接続を許可: デバイスが、非メール関連の接続認証とサービスにMicrosoftアカウントを使用できるようにします。
    • Microsoft以外のメールを許可: ユーザーがMicrosoft以外のメールアカウントを追加できるようにします。
  • システム
    • ストレージカードを許可: デバイスでストレージカードの使用を許可します。
    • テレメトリ: ドロップダウンリストで、デバイスによる利用統計情報の送信を許可または制限するオプションをクリックします。デフォルトは [許可] です。そのほかのオプションには、[許可しない] および [許可(セカンダリデータ要求を除く)] があります。
    • 位置情報サービスへのアプリアクセスを許可する: 位置情報サービスへのアプリアクセスを許可します。
    • 内部ビルドのプレビューを許可: ユーザーがMicrosoft内部ビルドをプレビューできるようにします。
  • カメラ: Windowsデスクトップ/タブレットのみ
    • カメラの使用を許可: ユーザーがデバイスのカメラを使用できるようにします。
  • Bluetooth: Windowsデスクトップ/タブレットのみ
    • 検出可能モードを許可: Bluetoothデバイスがローカルデバイスを検出できるようにします。
    • ローカルデバイス名: ローカルデバイスの名前。
  • 操作性: Windowsデスクトップ/タブレットのみ
    • Cortanaを許可: ユーザーがCortanaのインテリジェントパーソナルアシスタントおよびナレッジナビゲーターにアクセスできるようにします。
    • デバイスの検出を許可: デバイスのネットワーク検出を有効にします。
    • 手動のMDM登録解除を許可: ユーザーがCitrix Endpoint Management MDMから手動でデバイスの登録を解除できるようにします。
    • デバイス設定の同期を許可: ユーザーがローミング時にWindows 10およびWindows 11デバイス間で設定を同期できるようにします。
  • ロック例外: Windowsデスクトップ/タブレットのみ
    • ロック画面でトースト通知を許可: ロック画面でトースト通知を許可します。Windowsデスクトップ/タブレットのみ
  • アプリ
    • Appstoreの自動更新を許可: アプリストアによるアプリの自動更新を許可します。Windowsデスクトップ/タブレットのみ。
  • プライバシー: Windowsデスクトップ/タブレットのみ
    • 入力の個人設定を許可: 入力の個人設定サービスの実行を許可します。ペンやタッチキーボードなどでユーザーが入力した内容をベースに、予測変換の精度を向上します。
  • 設定: Windowsデスクトップ/タブレットのみ。
    • 自動再生を許可: ユーザーが自動再生設定を変更できるようにします。
    • データセンターを許可: ユーザーがデータセンサー設定を変更できるようにします。
    • 日付/時刻を許可: ユーザーが日付/時刻設定を変更できるようにします。
    • 言語を許可: ユーザーが言語設定を変更できるようにします。
    • 電源スリープを許可: ユーザーが電源設定およびスリープ設定を変更できるようにします。
    • リージョンを許可: ユーザーがリージョン設定を変更できるようにします。
    • サインインオプションを許可: ユーザーがサインイン設定を変更できるようにします。
    • ワークプレースを許可: ユーザーがワークプレース設定を変更できるようにします。
    • アカウントを許可: ユーザーがアカウント設定を変更できるようにします。

Amazonの設定

デバイスポリシー構成画面

  • ハードウェアの制御を許可
    • 工場出荷時リセット: ユーザーがデバイスを出荷時の設定に戻すことができるようにします。
    • プロファイル: ユーザーがデバイスでハードウェアプロファイルを変更できるようにします。
  • アプリを許可
    • Amazonアプリストア非対応アプリを許可: ユーザーがAmazonアプリストアに対応していないアプリをデバイスにインストールできるようにします。
    • ソーシャルネットワーク: ユーザーがデバイスからソーシャルネットワークにアクセスできるようにします。
  • ネットワーク
    • Bluetooth: ユーザーがBluetoothを使用できるようにします。
    • Wi-Fiスイッチ: アプリでWi-Fi接続の状態を変更できるようにします。
    • Wi-Fi設定: ユーザーがWi-Fi設定を変更できるようにします。
    • モバイルネットワークを構成: ユーザーが携帯データネットワーク接続を使用できるようにします。
    • ローミングデータ: ローミングの間にユーザーが携帯データネットワークを使えるようにします。
    • 位置情報サービス: ユーザーがGPSを使用できるようにします。
  • USB操作:
    • デバッグ: デバッグのためユーザーのデバイスがUSBを介してコンピューターに接続できるようにします。
制限デバイスポリシー