制限デバイスポリシー
制限デバイスポリシーでは、ユーザーデバイスの特定の機能(カメラなど)を許可または制限します。また、セキュリティ制限、メディアコンテンツの制限、ユーザーがインストールできる(できない)アプリの種類の制限を設定できます。ほとんどの制限設定は、デフォルトでは [オン](許可) に設定されています。例外は、iOSセキュリティの強制機能とすべてのWindowsタブレット機能です。デフォルトで [オフ](制限) に設定されています。
Windows 10 RS2 Phone:Internet Explorerを無効にするカスタムXMLポリシーまたは制限ポリシーをスマートフォンに展開しても、Internet Explorerが有効なままです。この問題を解決するには、スマートフォンを再起動します。これはサードパーティ製品の問題です。
ヒント:
オプションで [オン] を選択した場合、ユーザーが該当する操作を実行、または該当する機能を使用できるようになります。例:
カメラ。[オン] の場合、ユーザーはデバイスでカメラを使用できます。[オフ] の場合、ユーザーはデバイスでカメラを使用できません。
スクリーンショット。[オン] の場合、ユーザーデバイスでスクリーンショットを撮ることができます。[オフ] の場合、ユーザーデバイスでスクリーンショットを撮ることができません。
このポリシーを追加または構成するには、[構成]>[デバイスポリシー] の順に選択します。詳しくは、「デバイスポリシー」を参照してください。
iOSの設定
一部のiOS制限ポリシー設定は、こちらおよびXenMobileコンソールの[制限ポリシー]ページで説明されているように、特定のiOSバージョンにのみ適用されます。
iOS制限ポリシー設定は、デバイスがユーザー登録モード、監視対象外(完全MDM)モード、または監視モードで登録されている場合に適用されます。次の表に、iOS 13以降の各制限ポリシー設定で使用できる登録モードを示します。
表で述べたように、以前は監視対象外モードと監視モードで使用できた設定の一部は、iOS 13以降では監視モードでのみ使用できます。次のルールが適用されます:
- iOS 13以上の監視対象デバイスがXenMobileに登録される場合、設定がデバイスに適用されます。
- iOS 13以上の監視対象外デバイスがXenMobileに登録される場合、設定はデバイスに適用されません。
- 既にXenMobileに登録されているiOS 12以下のデバイスがiOS 13にアップグレードされる場合、変更はありません。設定は、アップグレード前と同じようにデバイスに適用されます。
iOSデバイスを監視モードに設定する方法については、「Apple Configuratorを使用してiOSデバイスをSupervisedモードにするには」を参照してください。
設定 | ユーザー登録 | 監視対象外 | 監視 |
---|---|---|---|
ハードウェアの制御を許可 | |||
カメラ | いいえ | はい | はい |
FaceTime | いいえ | いいえ(iOS 13の新機能) | はい |
スクリーンショット | はい | いいえ | はい |
クラスルームアプリが生徒の画面をリモートで監視することを許可する | いいえ | いいえ | はい |
プロンプトを表示せずにクラスルームアプリがAirPlayと画面表示を実行できるようにする | いいえ | いいえ | はい |
フォトストリーム | いいえ | はい | はい |
フォトストリームを共有 | いいえ | はい | はい |
音声ダイヤル | いいえ | はい | はい |
Siri | はい | はい | はい |
デバイスのロック中に許可 | はい | はい | はい |
Siriの不適切な単語フィルター | いいえ | いいえ | はい |
アプリのインストール | いいえ | いいえ(iOS 13の新機能) | はい |
代替アプリマーケットプレイス | いいえ | いいえ | はい |
ローミング中にグローバルバックグラウンドフェッチを許可する | いいえ | はい | はい |
アプリを許可 | |||
iTunesストア | いいえ | いいえ(iOS 13の新機能) | はい |
アプリ内課金 | いいえ | はい | はい |
購入時にiTunesパスワードを要求 | いいえ | はい | はい |
Safari | いいえ | いいえ(iOS 13の新機能) | はい |
オートフィル | いいえ | いいえ(iOS 13の新機能) | はい |
不正なWebサイトに対する警告を表示 | はい | はい | はい |
JavaScriptを有効化 | いいえ | はい | はい |
ポップアップをブロック | いいえ | はい | はい |
Cookieを受け入れる | いいえ | はい | はい |
ネットワーク - iCloudの操作を許可 | |||
iCloudドキュメントおよびデータ | いいえ | いいえ(iOS 13の新機能) | はい |
iCloudバックアップ | いいえ | はい | はい |
iCloudフォトキーチェーン | いいえ | はい | はい |
iCloudのフォトライブラリ | いいえ | はい | はい |
セキュリティ - 強制 | |||
バックアップを暗号化 | はい | はい | はい |
追跡型広告を制限 | いいえ | はい | はい |
最初のAirPlayペアリングでパスコードを要求 | はい | はい | はい |
手首検出を使用するためのペアリングされたApple Watch | はい | はい | はい |
AirDropを使用して管理対象のドキュメントを共有します | はい | はい | はい |
セキュリティ - 許可 | |||
信頼されていないSSL証明書の受け入れ | いいえ | はい | はい |
証明書信頼設定の自動更新 | いいえ | はい | はい |
管理対象アプリから非管理対象アプリへのドキュメントの移動 | はい | はい | はい |
非管理対象アプリによる管理対象アカウント連絡先の読み取り | いいえ | いいえ | はい |
管理対象アプリによる非管理対象アカウント連絡先への書き込み | いいえ | いいえ | はい |
非管理対象アプリから管理対象アプリへのドキュメントの移動 | はい | はい | はい |
診断データをAppleに送信 | はい | はい | はい |
Touch IDによるデバイスのロック解除 | いいえ | はい | はい |
自動ロック解除 | いいえ | はい | はい |
ロック時にPassbook通知を表示 | いいえ | はい | はい |
Handoff | いいえ | はい | はい |
管理対象アプリのiCloud同期 | はい | はい | はい |
エンタープライズブックのバックアップ | はい | はい | はい |
エンタープライズブックのメモとハイライトの同期 | はい | はい | はい |
Spotlightでインターネット検索結果を表示 | いいえ | はい | はい |
エンタープライズアプリケーションを信頼する | いいえ | はい | はい |
Appleのパーソナライズされた広告を許可する | いいえ | はい | はい |
監視対象のみの設定 - 許可 | |||
すべてのコンテンツと設定を消去 | いいえ | いいえ | はい |
制限の構成 | いいえ | いいえ | はい |
ポッドキャスト | いいえ | いいえ | はい |
構成プロファイルのインストール | いいえ | いいえ | はい |
フィンガープリントの変更 | いいえ | いいえ | はい |
デバイスからアプリをインストールします | いいえ | いいえ | はい |
キーボードショートカット | いいえ | いいえ | はい |
ペアリングされたApple Watch | いいえ | いいえ | はい |
パスコードの変更 | いいえ | いいえ | はい |
デバイス名の変更 | いいえ | いいえ | はい |
壁紙の変更 | いいえ | いいえ | はい |
自動的にアプリをダウンロードします | いいえ | いいえ | はい |
AirDrop | いいえ | いいえ | はい |
iMessage | いいえ | いいえ | はい |
Siriにユーザー生成コンテンツを表示 | いいえ | いいえ | はい |
iBooks | いいえ | いいえ | はい |
アプリの削除 | いいえ | はい | はい |
ゲームセンター | いいえ | いいえ(iOS 13の新機能) | はい |
友達を追加 | いいえ | いいえ | はい |
マルチプレーヤーゲーム | いいえ | いいえ(iOS 13の新機能) | はい |
アカウント設定の変更 | いいえ | いいえ | はい |
アプリの携帯ネットワークデータ設定の変更 | いいえ | いいえ | はい |
アプリの携帯ネットワークデータ設定の変更 | いいえ | いいえ | はい |
[友達を探す]設定の変更 | いいえ | いいえ | はい |
Configurator以外のホストとのペアリング | いいえ | いいえ | はい |
予測キーボード | いいえ | いいえ | はい |
キーボード自動修正 | いいえ | いいえ | はい |
キーボードスペルチェック | いいえ | いいえ | はい |
定義参照 | いいえ | いいえ | はい |
単一のアプリバンドルID | |||
ニュース | いいえ | いいえ | はい |
Apple Musicサービス | いいえ | いいえ | はい |
iTunesラジオ | いいえ | いいえ | はい |
通知の変更 | いいえ | いいえ | はい |
アプリ使用の制限 | いいえ | いいえ | はい |
診断データの送信の変更 | いいえ | いいえ | はい |
Bluetoothの変更 | いいえ | いいえ | はい |
ディクテーションを許可 | いいえ | いいえ | はい |
Wi-FiポリシーでインストールされたWi-Fiネットワークのみに参加する | いいえ | いいえ | はい |
プロンプトを表示せずにクラスルームアプリがAirPlayと画面表示を実行できるようにする | いいえ | いいえ | はい |
プロンプトを表示せずにクラスルームアプリがアプリとデバイスをロックできるようにする | いいえ | いいえ | はい |
プロンプトを表示せずにクラスルームアプリのクラスに自動的に参加する | いいえ | いいえ | はい |
AirPrintを許可 | いいえ | いいえ | はい |
AirPrint資格情報のキーチェーンへの保存を許可する | いいえ | いいえ | はい |
iBeaconを使用したAirPrintプリンターの検出を許可する | いいえ | いいえ | はい |
信頼された証明書がある出力先に対してのみAirPrintを許可する | いいえ | いいえ | はい |
VPN構成の追加 | いいえ | いいえ | はい |
携帯の通信プラン設定の変更 | いいえ | いいえ | はい |
システムアプリの削除 | いいえ | いいえ | はい |
近くの新しいデバイスをセットアップ | いいえ | いいえ | はい |
USB制限モードを許可 | いいえ | いいえ | はい |
ソフトウェア更新の強制延期 | いいえ | いいえ | はい |
ソフトウェア更新の強制延期 | いいえ | いいえ | はい |
クラスを離れるときの許可の要求を強制する | いいえ | いいえ | はい |
パスワードの自動入力 | いいえ | いいえ | はい |
パスワード近接要求 | いいえ | いいえ | はい |
パスワード共有 | いいえ | いいえ | はい |
自動的な日付と時刻を強制 | いいえ | いいえ | はい |
ペアリングされていないデバイスからのブートによる復元を許可する | いいえ | いいえ | はい |
緊急セキュリティ対応をインストールする | いいえ | いいえ | はい |
緊急セキュリティ対応を削除する | いいえ | いいえ | はい |
メールのプライバシー保護を許可する | いいえ | いいえ | はい |
NFC | いいえ | いいえ | はい |
App Clipを許可する | いいえ | いいえ | はい |
セキュリティ - ロック画面に表示 | |||
コントロール センター | はい | はい | はい |
通知 | はい | はい | はい |
今日ビュー | はい | はい | はい |
メディアコンテンツ - 許可 | |||
不適切な音楽、Podcast、iTunes Uコンテンツ | いいえ | いいえ(iOS 13の新機能) | はい |
iBooksの不適切な性的コンテンツ | いいえ | はい | はい |
レーティング地域 | いいえ | はい | はい |
ムービー | いいえ | はい | はい |
テレビ番組 | いいえ | はい | はい |
アプリ | いいえ | はい | はい |
-
ハードウェアの制御を許可
-
カメラ: ユーザーがデバイスでカメラを使用できるようにします。
- FaceTime: ユーザーがデバイスでFaceTimeを使用できるようにします。監視対象のiOSデバイス向けです。
-
スクリーンショット: ユーザーがデバイスでスクリーンショットを撮れるようにします。
- クラスルームアプリが生徒の画面をリモートで監視することを許可する: この制限が選択されていない場合、講師はクラスルームアプリを使用してリモートで生徒の画面を監視することはできません。デフォルト設定が選択されている場合、講師はクラスルームアプリを使用して生徒の画面を監視できます。[プロンプトを表示せずにクラスルーム アプリがAirPlayと画面表示を実行できるようにする] の設定では、講師に権限を与えるためのプロンプトを生徒に表示するかどうかを決めます。監視対象のiOSデバイス向けです。
- プロンプトを表示せずにクラスルームアプリがAirPlayと画面表示を実行できるようにする: この制限が選択されている場合、講師は生徒のデバイスでAirPlayと画面表示を実行でき、権限を求めるプロンプトは表示されません。デフォルト設定では、選択解除されています。監視対象のiOSデバイス向けです。
- フォトストリーム: MyPhotoStreamを使い、iCloudを介してすべてのiOSデバイスでユーザーが写真を共有できるようにします。
- フォトストリームを共有: iCloud Photo Sharingを使い、仕事仲間、友人、および家族とユーザーが写真を共有できるようにします。
- 音声ダイヤル: ユーザーデバイスで音声ダイヤルを可能にします。
-
Siri: ユーザーがSiriを使用できるようにします。
- デバイスのロック中に許可: デバイスがロックされている間にユーザーがSiriを使用できるようにします。
-
Siriの不適切な単語フィルター: Siriの不適切な単語フィルターを有効にします。デフォルトではこの機能は制限されており、不適切な言葉はフィルタリングされません。
Siriとセキュリティについて詳しくは、「Siriとディクテーションのポリシー」を参照してください。
- アプリのインストール: ユーザーがアプリをインストールできるようにします。監視対象のiOSデバイス向けです。
- 代替アプリマーケットプレイス: Webからの代替マーケットプレイスアプリのインストールを防止し、インストールされている代替マーケットプレイスアプリからのアプリのインストールを防止します。この機能は、iOS 17.4以降のバージョンで使用できます。デフォルトは [オン] です。監視対象のiOSデバイス向けです。
- ローミング中にグローバルバックグラウンドフェッチを許可する: デバイスのローミング中にiCloudとのメールアカウントの自動同期を許可するかを設定します。[オフ] の場合、iOSスマートフォンのローミング中はグローバルバックグラウンドフェッチが無効になります。デフォルトは、[オン] です。
-
カメラ: ユーザーがデバイスでカメラを使用できるようにします。
-
アプリを許可
- iTunes Store: ユーザーがiTunes Storeへアクセスできるようにします。監視対象のiOSデバイス向けです。
-
アプリ内課金: ユーザーがアプリ内課金で購入できるようにします。
- 購入時にiTunesパスワードを要求: アプリ内購入時にパスワードを求めます。デフォルトではこの機能は制限されており、アプリ内での購入ではパスワードは必要ありません。
-
Safari: ユーザーがSafariにアクセスできるようにします。監視対象のiOSデバイス向けです。
- オートフィル: ユーザーがSafariでユーザー名とパスワードの自動入力をセットアップできるようにします。
- 不正なWebサイトに対する警告を表示: この設定が有効で、ユーザーがフィッシング詐欺の疑いのあるWebサイトにアクセスした場合、Safariはユーザーに警告します。デフォルトではこの機能は制限されており、警告が発せられません。
- JavaScriptを有効化: JavaScriptをSafariで実行できます。
- ポップアップをブロック: Webサイトの閲覧中にポップアップをブロックします。デフォルトではこの機能は制限されており、ポップアップはブロックされません。
- Cookieを受け入れる: 許可するcookieを設定します。一覧で、cookieを許可または制限するオプションを選択します。デフォルトのオプションは [常時] で、SafariですべてのWebサイトのcookieの保存を許可します。ほかには、[現在のWebサイトのみ]、[許可しない]、および [訪問したサイトからのみ] というオプションがあります。
-
ネットワーク - iCloudの操作を許可
- iCloudドキュメントおよびデータ: ユーザーがドキュメントとデータをiCloudへ同期できるようにします。監視対象のiOSデバイス向けです。
- iCloudバックアップ: ユーザーがiCloudへデバイスをバックアップできるようにします。
- iCloudキーチェーン: ユーザーが、iCloudキーチェーンにパスワード、Wi-Fiネットワーク、クレジットカードなどの情報を保存できるようにします。
- iCloudのフォトライブラリ: ユーザーがiCloudの写真ライブラリにアクセスできるようにします。
-
セキュリティ - 強制
デフォルトでは次の機能が制限され、有効になっているセキュリティ機能はありません。
- バックアップを暗号化: 暗号化のためiCloudに強制的にバックアップします。
- 追跡型広告を制限: ターゲティング広告の追跡をブロックします。
- 最初のAirPlayペアリングでパスコードを要求: AirPlay対応デバイスでAirPlayを使用する前に、ワンタイムオンスクリーンコードで検証するように求めます。
- 手首検出を使用するためのペアリングされたApple Watch: 手首検出を使用するためにApple Watchのペアリングを求めます。
- AirDropを使用して管理対象のドキュメントを共有します: このオプションを [オン] に設定すると、AirDropは管理対象外のドロップ先として表示されます。
-
セキュリティ - 許可
- 信頼されていないSSL証明書の受け入れ: Webサイトの信頼されていないSSL証明書をユーザーが承認できるようにします。
- 証明書信頼設定の自動更新: 信頼された機関からの証明書を自動的に更新できます。
- 管理対象アプリから非管理対象アプリへのドキュメントの移動: ユーザーが、管理されている(企業)アプリから管理されていない(個人)アプリへのデータを移動できるようにします。
- 非管理対象アプリから管理対象アプリへのドキュメントの移動: ユーザーが管理されていない(個人)アプリから管理されている(企業)アプリへデータを移動できるようにします。
- 診断データをAppleに送信: ユーザーのデバイスに関する匿名診断データのAppleへの送信を許可します。
- Touch IDによるデバイスのロック解除: ユーザーがフィンガープリントを使ってデバイスのロックを解除できるようにします。
- 自動ロック解除: [オフ] の場合、ユーザーはApple Watchを使用してペアリングされたiPhoneのロックを解除することはできません。デフォルトは [オン] です。iOS 14.5以降で利用可能です。
- ロック時にPassbook通知を表示: ロック画面でのPassbook通知の表示を許可します。
- Handoff: ユーザーが、あるiOSデバイスから近くにある別のiOSデバイスへアクティビティを転送できるようにします。
- 管理対象アプリのiCloud同期: ユーザーが、管理されているアプリをiCloudと同期できるようにします。
- エンタープライズブックのバックアップ: エンタープライズブックのiCloudへのバックアップを許可します。
- エンタープライズブックのメモとハイライトの同期: ユーザーがエンタープライズブックに追加したメモやハイライトをiCloudと同期できるようにします。
- エンタープライズアプリを信頼する: エンタープライズアプリケーションを信頼できるようにします。エンタープライズアプリは、組織向けのカスタムメイドアプリです。これらは社内で作成することも、開発した外部ベンダーから購入することもできます。詳しくは、iOSでカスタムのエンタープライズAppをインストールするを参照してください。
- Spotlightでインターネット検索結果を表示: Spotlightで、デバイスのほかにインターネットから検索結果を表示できるようにします。
- 非管理対象アプリによる管理対象アカウント連絡先の読み取り: オプション。[管理対象アプリから非管理対象アプリへのドキュメントの移動] が無効になっている場合にのみ利用できます。このポリシーを有効にすると、非管理対象アプリが管理対象アカウントの連絡先からデータを読み取ることができるようになります。デフォルトはオフです。iOS 12 から利用可能です。
- 管理対象アプリによる非管理対象アカウント連絡先への書き込み: オプション。有効にすると、管理対象アプリによる非管理対象アカウントの連絡先への書き込みを許可します。[管理対象アプリから非管理対象アプリへのドキュメントの移動] を有効にすると、この制限は有効になりません。デフォルトはオフです。iOS 12 から利用可能です。
- Appleのパーソナライズされた広告を許可する: [オフ] の場合、Apple広告プラットフォームはパーソナライズされた広告を配信するためにユーザーのデータを使用しません。デフォルトは [オン] です。iOS 14.0以降で利用可能です。
-
監視対象のみの設定 - 許可
これらの設定は、監視対象のデバイスにのみ適用されます。iOSデバイスをSupervisedモードに設定する手順については、「Apple Configuratorを使用してiOSデバイスをSupervisedモードにするには」を参照してください。
- すべてのコンテンツと設定を消去: ユーザーがデバイスからすべてのコンテンツと設定を消去できるようにします。
- 制限の構成: ユーザーがデバイスで保護者による制限を構成できるようにします。
- ポッドキャスト: ユーザーがポッドキャストをダウンロードおよび同期できるようにします。
- 構成プロファイルのインストール: 管理者が展開した構成プロファイル以外の構成プロファイルを、ユーザーがインストールできるようにします。
- フィンガープリントの変更: ユーザーがTouch IDフィンガープリントを変更または削除できるようにします。
- デバイスからアプリをインストールします: ユーザーがアプリをインストールできるようにします。この設定を無効にすると、エンドユーザーは新しいアプリをインストールできなくなります。App Storeが無効になり、アイコンがホーム画面から削除されます。
- キーボードショートカット: ユーザーが使用頻度の高い単語やフレーズのカスタムキーボードショートカットを作成できるようにします。
- ペアリングされたApple Watch: ユーザーがApple Watchと監視対象デバイスをペアリングできるようにします。
- パスコードの変更: ユーザーが監視対象デバイスでパスコードを変更できるようにします。
- デバイス名の変更: ユーザーがデバイスの名前を変更できるようにします。
- 壁紙の変更: ユーザーがデバイスの壁紙を変更できるようにします。
- 自動的にアプリをダウンロードします: アプリのダウンロードを許可します。
- AirDrop: ユーザーが写真、ビデオ、Webサイト、場所、およびそれ以外のものを近くのiOSデバイスで共有できるようにします。
- iMessage: ユーザーがWi-Fiを使ってiMessageを送信できるようにします。
- Siriにユーザー生成コンテンツを表示: Webのユーザー生成コンテンツをSiriでクエリできるようにします。ユーザー生成コンテンツは、従来のジャーナリストではなく、一般のユーザーが作成したものです。たとえば、TwitterやFacebookに見られるコンテンツは、ユーザー生成コンテンツです。
- iBooks: ユーザーがiBooksアプリを使用できるようにします。
- アプリの削除: ユーザーがデバイスからアプリを削除できるようにします。
-
Game Center: ユーザーがデバイスのGame Centerを介してオンラインゲームをプレイできるようにします。
- 友達を追加: ユーザーが友人に通知を送信してゲームをプレイできるようにします。
- マルチプレーヤーゲーム: ユーザーがデバイス上でマルチプレーヤーゲームを起動できるようにします。
- アカウント設定の変更: ユーザーがデバイスのアカウント設定を変更できるようにします。
- アプリの携帯データネットワーク設定の変更: 携帯データネットワークをアプリがどのように使用するのか、ユーザーが変更できるようにします。
- [友達を探す]設定の変更: 友達を探す設定をユーザーが変更できるようにします。
- Configurator以外のホストとのペアリング: ユーザーデバイスがペアリングできるデバイスを管理者が制御できるようにします。この設定を無効にすると、Apple Configuratorを実行している監視中のホスト以外とは、ペアリングできなくなります。監視中のホストの証明書が構成されていない場合は、すべてのペアリングが無効です。
- 予測キーボード: ユーザーデバイスで、キーボードからの入力時に候補となる単語を予測変換できるようにします。ユーザーに候補の単語を表示しない、管理のための標準化されたテストといった状況では、このオプションを無効にします。
- キーボード自動修正: ユーザーデバイスでキーボードの自動修正を使用できるようにします。ユーザーに自動修正を適用しない、管理のための標準化されたテストといった状況では、このオプションを無効にします。
- キーボードスペルチェック: ユーザーデバイスで入力中にスペルチェックを使用できるようにします。ユーザーにスペルチェッカーへアクセスさせない、管理のための標準化されたテストといった状況では、このオプションを無効にします。
- 定義参照: ユーザーデバイスで入力中に定義の検索を使用できるようにします。ユーザーに入力時での定義の検索をできるようにしない、管理のための標準化されたテストといった状況では、このオプションを無効にします。
- 単一のアプリバンドルID: デバイス上のコントロールを維持し、ほかのアプリや機能との相互作用を防ぐことができるアプリの一覧を作成します。 アプリを追加するには、[追加] をクリックし、アプリ名を入力して [保存] をクリックします。追加するアプリごとにこの手順を繰り返します。
- News: ユーザーがNewsアプリを使用できるようにします。
- Apple Musicサービス: ユーザーがApple Musicサービスを使用できるようにします。Apple Musicサービスを許可しない場合、Musicアプリはクラシックモードで動作します。
- iTunes Radio: ユーザーがiTunes Radioを使用できるようにします。
- 通知の変更: ユーザーが通知設定を変更できるようにします。
-
アプリ使用の制限: 指定したバンドルIDに基づいて、ユーザーにすべてのアプリの使用を許可するか、またはアプリの使用を個別に許可または禁止できます。監視対象のデバイスにのみ適用されます。[一部のアプリのみ許可] を選択する場合、バンドルID
com.apple.webapp
と共にアプリを追加してWebクリップを許可します。注:
iOS 11以降、アプリの制限で利用できるポリシーが変更されました。適切なiOSアプリケーションバンドルを制限することで、設定アプリと電話アプリへのアクセスを削除することができなくなりました。
いくつかのアプリをブロックするように制限デバイスポリシーを構成して展開した後で、これらのアプリの一部またはすべてを許可する必要が生じた場合、制限デバイスポリシーを変更して展開しても制限は変更されません。これは、iOSでは変更内容がiOSプロファイルに適用されないためです。変更内容を適用するには、プロファイルの削除ポリシーを使用して該当するiOSプロファイルを削除してから、更新した制限デバイスポリシーを展開します。
この設定を [一部のアプリのみ許可] に変更する場合:このポリシーを展開する前に、Apple Deployment Programを使用して登録したデバイスのユーザーに、セットアップアシスタントからAppleアカウントにサインインするよう指示してください。それ以外の場合、ユーザーがAppleアカウントにサインインして許可されたアプリにアクセスするには、各自のデバイスで2要素認証を無効にする必要があります。
- 診断データの送信の変更: ユーザーが [設定]>[診断と使用状況] ペインで診断データの送信とアプリ分析に関する設定を変更できるようにします。
- Bluetoothの変更: ユーザーがBluetoothの設定を変更できるようにします。
- ディクテーションを許可: 監視のみ。この制限が [オフ] に設定されている場合、ディクテーションを使用した入力(音声テキスト変換を含む)は許可されません。デフォルトでは、[オン] になっています。
- Wi-FiポリシーでインストールされたWi-Fiネットワークのみに参加する: オプション。監視のみ。この制限が [オン] に設定されている場合、構成プロファイルを使用して設定されたデバイスのみがWi-Fiネットワークに接続できます。デフォルトでは [オフ] になっています。
- プロンプトを表示せずにクラスルームアプリがAirPlayと画面表示を実行できるようにする: この制限が選択されている場合、講師は生徒のデバイスでAirPlayと画面表示を実行でき、権限を求めるプロンプトは表示されません。デフォルト設定では、選択解除されています。監視対象のiOSデバイス向けです。
- プロンプトを表示せずにクラスルームアプリがアプリとデバイスをロックできるようにする: この制限が [オン] に設定されている場合、クラスルームアプリはユーザープロンプトを表示せず自動的に、アプリに対してユーザーデバイスをロックし、ユーザーデバイスをロックします。デフォルトでは [オフ] になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
- プロンプトを表示せずにクラスルームアプリのクラスに自動的に参加する: この制限が [オン] に設定されている場合、クラスルームアプリはユーザーにプロンプトを表示せずに自動的にクラスに参加します。デフォルトでは [オフ] になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
-
AirPrintを許可: この制限が [オフ] に設定されている場合、ユーザーはAirPrintで印刷できません。デフォルトでは、[オン] になっています。この制限が [オン] の場合、さらに次の制限が表示されます。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
- AirPrint資格情報のキーチェーンへの保存を許可する: この制限が選択されていない場合、AirPrintのユーザー名とパスワードはキーチェーンに保存されません。デフォルト設定では選択されています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
- iBeaconsを使用したAirPrintプリンターの検出を許可する: この制限が選択されていない場合、AirPrintプリンターのiBeacon検出は無効になります。これにより、偽のAirPrint Bluetoothビーコンのネットワークトラフィックがフィッシングされるのを防止します。デフォルト設定では選択されています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
- 信頼された証明書がある出力先に対してのみAirPrintを許可する: この制限が選択されている場合、ユーザーは、信頼された機関からの証明書がある出力先にのみAirPrintを使用して印刷できます。デフォルト設定では、選択解除されています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
- VPN構成の追加: この制限が [オフ] に設定されている場合、ユーザーはVPN構成を作成できません。デフォルトでは、[オン] になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
- 携帯の通信プラン設定の変更: この制限が [オフ] に設定されている場合、ユーザーは携帯の通信プラン設定を変更できません。デフォルトでは、[オン] になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
- システムアプリの削除: この制限が [オフ] に設定されている場合、ユーザーはデバイスからシステムアプリを削除できません。デフォルトでは、[オン] になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
- 近くの新しいデバイスをセットアップ: この制限が[オフ]に設定されている場合、ユーザーは近くの新しいデバイスを設定できません。デフォルトでは、[オン] になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。
- USB制限モードを許可: [オフ] の場合、デバイスはロックされた状態でも常にUSBアクセサリーに接続できます。デフォルトは [オン] です。iOS 11.3以降の監視対象デバイスでのみ利用できます。
- ソフトウェア更新の延期を強制する: [オン] の場合、ソフトウェアの更新がユーザーに表示される時期が延期されます。この制限が設定されている場合、ソフトウェアの更新がリリースされてから指定された日数が経過するまで、ソフトウェアの更新は表示されません。デフォルトはオフです。iOS 11.3以降の監視対象デバイスでのみ利用できます。
- ソフトウェア更新の強制延期期間(日): デバイス上でソフトウェアの更新を遅らせる日数を指定できます。最大延期日数は90日です。デフォルトは30日です。iOS 11.3以降の監視対象デバイスでのみ利用できます。
- クラスルームを離れるときの許可の要求を強制する: [オン] の場合、クラスルームの管理対象外コースに登録した学生は、コースを離れるときに教師の許可を求める必要があります。デフォルトはオフです。iOS 11.3以降の監視対象デバイスでのみ利用できます。
- パスワードの自動入力: オプション。無効にすると、ユーザーはパスワードの自動入力または自動強力パスワード機能を使用できません。デフォルトは [オン] です。iOS 12 から利用可能です。
- パスワード近接要求: オプション。無効にすると、ユーザーのデバイスは近くのデバイスにパスワードを要求しません。デフォルトは [オン] です。iOS 12 から利用可能です。
- パスワード共有: オプション。無効にすると、ユーザーはAirDropパスワード機能を使用してパスワードを共有できません。デフォルトは [オン] です。iOS 12 から利用可能です。
- 日時の自動設定を強制する: 監視対象デバイスの日時を自動で設定できます。[オン] の場合、デバイスユーザーは [全般]>[日付と時刻] で [自動的に設定] をオフにできません。デバイスのタイムゾーンは、デバイスが現在位置を特定できる場合にのみ更新されます。つまり、デバイスが移動体通信ネットワークまたはWi-Fiに接続しており、位置情報サービスが有効になっている場合のみです。デフォルトはオフです。iOS 12以降の監視対象デバイスでのみ利用できます。
- ペアリングされていないデバイスからのブートによる復元を許可する: [オン] の場合、デバイスはペアリングされていないデバイスからのブートによって復元できます。デフォルトは [オフ] です。iOS 14.5以降で利用可能です。
- 緊急セキュリティ対応をインストールする: [オフ] の場合、緊急セキュリティ対応のインストールが禁止されます。デフォルトは[オン]です。
- 緊急セキュリティ対応を削除する: [オフ] の場合、緊急セキュリティ対応の削除が禁止されます。デフォルトは[オン]です。
- メールのプライバシー保護を許可する: [オフ] の場合、デバイスでのメールのプライバシー保護が無効になります。デフォルトは[オン]です。iOS 15.2以降で利用可能です。
- NFC: [オフ] の場合、NFCが無効になります。デフォルトは[オン]です。iOS 14.2以降で利用可能です。
- App Clipを許可する:[オフ] の場合、ユーザーはApp Clipを追加できなくなり、デバイス上の既存のApp Clipが削除されます。デフォルトは[オン]です。iOS 14.0以降で利用可能です。
-
セキュリティ - ロック画面に表示
- コントロールセンター: ロック画面のコントロールセンターへアクセスできるようにします。コントロールセンターでは、機内モード、Wi-Fi、Bluetooth、おやすみモード、画面の向きをロックといった設定をユーザーが簡単に変更できます。
- 通知: ロック画面上へ通知できるようにします。
- 今日ビュー: 天気や当日の予定といった情報を表示する今日の表示をロック画面上で有効にします。
-
メディアコンテンツ - 許可
- 不適切な音楽、Podcast、iTunes Uコンテンツ: ユーザーのデバイスで成人向けのコンテンツを許可します。
- iBooksの不適切な性的コンテンツ: iBooksから成人向けのコンテンツをダウンロードできるようにします。
- レーティング地域: ペアレンタルコントロールのレートを取得する地域を設定します。一覧では、国をクリックするとレート地域が設定されます。デフォルトは [米国] です。
- ムービー: ユーザーのデバイスでムービーを操作できるかどうかを設定します。ムービーの操作が許可される場合は、オプションでムービーのレートレベルを設定します。一覧で、デバイスでムービーを許可または制限するオプションをクリックします。デフォルトは[すべてのムービーを許可]です。
- テレビ番組: ユーザーのデバイスでテレビ番組を操作できるかどうかを設定します。テレビ番組の操作が許可される場合は、オプションでテレビ番組のレートレベルを設定します。一覧で、デバイスでテレビ番組を許可または制限するオプションをクリックします。デフォルトは[すべてのテレビ番組を許可]です。
- アプリ: ユーザーのデバイスでアプリを操作できるかどうかを設定します。アプリの操作が許可される場合は、オプションでムービーのレートレベルを設定します。一覧で、デバイスでアプリを許可または制限するオプションをクリックします。デフォルトは[すべてのアプリを許可]です。
-
ポリシー設定
-
ポリシーの削除: ポリシーの削除をスケジュール設定する方法を選択します。利用可能なオプションは、[日付を選択] と [削除までの期間(時間)を指定] です。
- 日付を選択: カレンダーをクリックして削除を実行する特定の日付を選択します。
- 削除までの期間(時間)を指定: ポリシーが削除されるまでの時間単位の数値を入力します。iOS 6.0以降でのみ使用できます。
- プロファイル対策: このポリシーを [ユーザー] または [システム] 全体に適用するかを選択します。デフォルトは [ユーザー] です。このオプションはiOS 9.3以降でのみ使用できます。
-
ポリシーの削除: ポリシーの削除をスケジュール設定する方法を選択します。利用可能なオプションは、[日付を選択] と [削除までの期間(時間)を指定] です。
macOS設定
-
環境設定
-
システム環境設定のアイテムの制限: システム環境設定へのユーザーのアクセスを許可または制限します。デフォルトは [オフ] で、ユーザーにはシステム環境設定へのフルアクセス権が付与されます。有効にした場合は、次の設定を構成します。
-
システム環境設定ペイン: 選択した設定を有効にするのか、無効にするのかを選択します。デフォルトではすべての設定が有効になるように、すなわち [オン] に設定されています。
- ユーザーおよびグループ
- 一般
- アクセシビリティ
- App Store
- ソフトウェアの更新
- Bluetooth
- CDとDVD
- 日時
- デスクトップとスクリーンセーバー
- ディスプレイ
- ドック
- エネルギーセーバー
- 拡張機能
- ファイバーチャネル
- iCloud
- インク
- インター ネットアカウント
- キーボード
- 言語とテキスト
- Mission Control
- マウス
- ネットワーク
- 通知
- ペアレンタルコントロール
- プリンターとスキャナー
- プロファイル
- セキュリティとプライバシー
- 共有
- サウンド
- ディクテーションと音声入力
- Spotlight
- 起動ディスク
- Time Machine
- トラックパッド
- Xsan
-
システム環境設定ペイン: 選択した設定を有効にするのか、無効にするのかを選択します。デフォルトではすべての設定が有効になるように、すなわち [オン] に設定されています。
-
システム環境設定のアイテムの制限: システム環境設定へのユーザーのアクセスを許可または制限します。デフォルトは [オフ] で、ユーザーにはシステム環境設定へのフルアクセス権が付与されます。有効にした場合は、次の設定を構成します。
-
アプリ
- Game Centerの使用を許可: ユーザーがGame Centerを介してオンラインゲームをプレイできるようにします。デフォルトは[オン]です。
- Game Center の友達の追加を許可: ユーザーが友人に通知を送信してゲームをプレイできるようにします。デフォルトは[オン]です。
- マルチプレーヤーゲームを許可: ユーザーがマルチプレーヤーゲームを開始できるようにします。デフォルトは[オン]です。
- Game Centerのアカウント変更を許可: ユーザーが各自のGame Centerアカウント設定を変更できるようにします。デフォルトは[オン]です。
- App Storeの採用を許可: OS Xに既に存在するアプリのApp Storeへの登録を許可または制限します。デフォルトは [オン] です。
- Safari の自動入力を許可: Safariに保存されているパスワード、アドレス、およびその他の基本情報が自動的にWebサイトのフィールドに入力されるようにします。デフォルトは[オン]です。
- アプリのインストールまたはアップデートで管理者パスワードを必須にする: アプリをインストールまたは更新するときに管理者のパスワードを必須にします。デフォルトは [オフ] で、管理者のパスワードが不要であることを意味します。
- App Store をソフトウェアの更新のみに制限: App Storeを更新のみに制限します。つまり、[アップデート]以外のApp Storeのタブはすべて無効になります。デフォルトは [オフ] で、App Storeへのフルアクセスが許可されます。
-
開くのを許可するアプリ制限ポリシー: ユーザーが使用できるアプリを制限または許可します。デフォルトは[オフ]で、すべてのアプリの使用が許可されます。有効にした場合は、次の設定を構成します:
- 許可するアプリ: [追加] をクリックして、起動を許可するアプリの名前およびバンドルIDを入力し、[保存] をクリックします。起動を許可するアプリごとに、この手順を繰り返します。
- 許可しないフォルダー: [追加] をクリックして、ユーザーアクセスを制限するフォルダーまでのファイルパス(例:/Applications/Utilities)を入力し、[保存] をクリックします。ユーザーにアクセスできるようにするすべてのフォルダーについて、この手順を繰り返します。
- 許可するフォルダー: [追加] をクリックして、ユーザーアクセスを許可するフォルダーまでのファイルパスを入力し、[保存] をクリックします。ユーザーにアクセスできるようにするすべてのフォルダーについて、この手順を繰り返します。
-
ウィジェット
-
以下のダッシュボードウィジェットのみ実行を許可: ユーザーが実行できるダッシュボードウィジェット(世界時計、計算機など)を許可または制限します。デフォルトは [オフ] で、ユーザーはすべてのウィジェットを実行できます。有効にした場合は、次の設定を構成します:
- 許可するウィジェット: [追加] をクリックして、実行を許可するウィジェットの名前およびIDを入力し、[保存] をクリックします。ダッシュボードでの実行を許可するウィジェットごとに、この手順を繰り返します。
-
以下のダッシュボードウィジェットのみ実行を許可: ユーザーが実行できるダッシュボードウィジェット(世界時計、計算機など)を許可または制限します。デフォルトは [オフ] で、ユーザーはすべてのウィジェットを実行できます。有効にした場合は、次の設定を構成します:
-
メディア
- AirDropを許可: ユーザーが写真、ビデオ、Webサイト、場所、およびそれ以外のものを近くのiOSデバイスで共有できるようにします。
-
共有
- 新しい共有サービスを自動で有効にする: 共有サービスを自動的に有効にするかどうかを選択します。
- メール: 共有メールボックスを許可するかどうかを選択します。
- Facebook: 共有Facebookアカウントを許可するかどうかを選択します。
- ビデオサービス - Flickr、Vimeo、Tudou、Youku: 共有ビデオサービスを許可するかどうかを選択します。
- Apertureに追加: Apertureへの追加を行う共有機能を許可するかどうかを選択します。
- Sina Weibo: 共有Sina Weibo投稿アカウントを許可するかどうかを選択します。
- Twitter: 共有Twitterアカウントを許可するかどうかを選択します。
- メッセージ: メッセージへの共有アクセスを許可するかどうかを選択します。
- iPhotoに追加: iPhotoへの追加を行う共有機能を許可するかどうかを選択します。
- リーディングリストに追加: リーディングリストへの追加を行う共有機能を許可するかどうかを選択します。
- AirDrop: 共有AirDropアカウントを許可するかどうかを選択します。
-
機能
- デスクトップ画像をロック: ユーザーがデスクトップの画像を変更できるかどうかを選択します。デフォルトは [オフ] で、ユーザーがデスクトップの画像を変更できることを意味します。
- カメラの使用を許可: ユーザーがMacでカメラを使用できるかどうかを選択します。デフォルトは [オフ] で、ユーザーがカメラを使用できないことを意味します。
- Apple Musicを許可する: ユーザーがApple Musicサービスを使用できるようにします(macOS 10.12以降)。Apple Musicサービスを許可しない場合、Musicアプリはクラシックモードで動作します。監視対象のデバイスにのみ適用されます。デフォルトは、[オン] です。
- Spotlightの検索候補を許可: ユーザーが[Spotlightの検索候補]を使用してMacを検索したり、[Spotlightの検索候補]にインターネット、iTunes、App Storeの項目を表示したりできるかどうかを選択します。デフォルトは [オフ] で、ユーザーは[Spotlightの検索候補]を使用できません。
- 検索を許可: ユーザーがコンテキストメニューまたはSpotlight検索メニューで単語の定義を検索できるかどうかを選択します。デフォルトは[オフ]で、ユーザーはMacで検索機能を使用できません。
- ローカルアカウントでのiCloudパスワードの使用を許可: ユーザーが各自のApple IDおよびiCloudパスワードを使用してMacにサインオンできるかどうかを選択します。これを有効にすることは、ユーザーがMacのすべてのログイン画面で同じIDおよびパスワードを使用することを意味します。デフォルトは [オン] で、ユーザーは各自のApple IDおよびiCloudパスワードを使用してMacにアクセスすることができます。
-
iCloudドキュメントおよびデータを許可: ユーザーがMacからiCloudに保存されているドキュメントおよびデータにアクセスするのを許可するかどうかを選択します。デフォルトは [オフ] で、ユーザーはMacからiCloudに保存されているドキュメントおよびデータを使用できないようになっています。
- iCloudで”デスクトップ”と”書類”を許可する:(macOS 10.12.4以降)デフォルトは[オン]です。
- iCloudキーチェーンの同期を許可する: iCloudキーチェーンの同期を許可します(macOS 10.12以降)。デフォルトは[オン]です。
- iCloudで”メール”を許可する: ユーザーがiCloudメールを使用できるようにします(macOS 10.12以降)。デフォルトは[オン]です。
- iCloudで”連絡先”を許可する: ユーザーがiCloudの連絡先を使用できるようにします(macOS 10.12以降)。デフォルトは[オン]です。
- iCloudで”カレンダー”を許可する: ユーザーがiCloudのカレンダーを使用できるようにします(macOS 10.12以降)。デフォルトは[オン]です。
- iCloud で”リマインダー”を許可する: ユーザーがiCloudのリマインダーを使用できるようにします(macOS 10.12以降)。デフォルトは[オン]です。
- iCloudブックマークを許可する: ユーザーがiCloudのブックマークと同期できるようにします(macOS 10.12以降)。デフォルトは[オン]です。
- iCloudで”メモ”を許可する: ユーザーがiCloudのメモを使用できるようにします(macOS 10.12以降)。デフォルトは[オン]です。
- iCloudで”写真”を許可する: この設定を [オフ] に変更すると、iCloudのフォトライブラリから完全にダウンロードされていない写真はすべてデバイスのローカルストレージから削除されます(macOS 10.12以降)。デフォルトは[オン]です。
- 自動ロックの解除を許可する: このオプションとApple Watchについては、https://www.imore.com/auto-unlockを参照してください(macOS 10.12以降)。デフォルトは[オン]です。
- Macのロック解除にTouch IDを許可する:(macOS 10.12.4以降)デフォルトは[オン]です。
- ソフトウェア更新の延期を強制する: [オン] の場合、ソフトウェアの更新がユーザーに表示されるまでの時間が延期されます。ソフトウェアの更新がリリースされてから指定の日数が経過するまで、ユーザーにソフトウェアの更新は表示されません。デフォルトはオフです。macOS 10.13.4以降を実行する監視対象デバイスでのみ利用できます。
- ソフトウェア更新の強制延期期間(日): デバイス上でソフトウェアの更新を延期する日数を指定します。日数の上限は90日です。デフォルトは30です。macOS 10.13.4以降を実行する監視対象デバイスでのみ利用できます。
- パスワードの自動入力: オプション。無効にすると、ユーザーはパスワードの自動入力または自動強力パスワード機能を使用できません。デフォルトは [オン] です。macOS 10.14 以降で利用可能。
- パスワード近接要求: オプション。無効にすると、ユーザーのデバイスは近くのデバイスにパスワードを要求しません。デフォルトは [オン] です。macOS 10.14 以降で利用可能。
- パスワード共有: オプション。無効にすると、ユーザーはAirDropパスワード機能を使用してパスワードを共有できません。デフォルトは [オン] です。macOS 10.14 以降で利用可能。
Androidの設定
- カメラ: ユーザーがデバイスでカメラを使用できるようにします。[オフ] の場合、カメラは無効になります。デフォルトは、[オン] です。
Android Enterpriseの設定
新規のまたは工場出荷時の設定にリセットされたAndroidデバイスが仕事用プロファイルモードで登録されると、Android 9.0~10.xを実行しているデバイスは、仕事用プロファイルを持つ管理対象デバイスとして登録されます。Android 11以降、デバイスは会社所有のデバイスの仕事用プロファイルとして登録されます。制限ポリシーは、デバイスの仕事用プロファイルまたは管理対象デバイスのいずれかに適用できます。
会社所有のデバイスの仕事用プロファイルモードに登録されているデバイスでは、次の制限は仕事用プロファイルでのみ利用できます:
- バックアップ サービスを許可
- システムアプリを有効にする
- Keyguardがデバイスをロックしないようにする
- ステータスバーの使用を許可
- デバイス画面を有効なまま維持する
- ユーザーにアプリケーション設定の制御を許可
- ユーザーにユーザー資格情報の構成を許可
- VPN構成を許可
- USB大容量ストレージを許可
- 工場出荷時リセットを許可
- アプリのアンインストールを許可
- Google Play非対応アプリを許可
- プロファイル間でコピーと貼り付けを許可
- アプリの検証を有効化
- アカウント管理を許可
- 印刷を許可
- NFCを許可
- ユーザーの追加を許可
デバイスがAndroid Enterpriseの仕事用プロファイルモードで登録されている場合、デフォルトではUSBデバッグおよび不明なソース設定は無効になっています。
Android 9.0~10.xおよびSamsung Knox 3.0以降を実行しているデバイスの場合は、[Android Enterprise] ページでSamsung KnoxとSamsung SAFEの設定を行います。それよりも前のバージョンのAndroidまたはSamsung KNOXを実行しているデバイスの場合は、[Samsung Knox] と [Samsung SAFE] ページで設定します。
Samsungの制限は、会社所有のデバイスの仕事用プロファイルに登録されているデバイスには適用されません。これらのデバイスにSamsungの制限を適用するには、Knox Service Plugin(KSP)を使用します。詳しくは、Samsungのドキュメントを参照してください。
最新のSamsung Knox管理機能には、Samsung Knox 3.4以降を使用することを推奨します。
-
仕事用プロファイルで完全に管理されているデバイスに適用 /会社所有のデバイスの仕事用プロファイルに適用: 仕事用プロファイルで完全に管理されたデバイスの制限ポリシー設定を構成できます。この設定が [オン] の場合、次のいずれかの設定を選択します:
- 仕事用プロファイル: 構成した制限設定は、デバイスの仕事用プロファイルにのみ適用されます。
- デバイス管理: 構成した制限設定は、デバイスにのみ適用されます。
この設定が [オフ] の場合、構成する資格情報設定はデバイスに適用されます(明示的に仕事用プロファイルに適用される設定を除く)。デフォルトはオフです。
[仕事用プロファイルで完全に管理されているデバイスに適用 /会社所有のデバイスの仕事用プロファイルに適用] がオフの場合、次の設定を構成します:
-
セキュリティ
- アカウント管理を許可: 仕事用プロファイルおよび管理対象デバイスでアカウントを追加できるようにします。デフォルトはオフです。
- プロファイル間でコピーと貼り付けを許可: [オン] の場合、ユーザーはAndroid Enterpriseプロファイルのアプリと個人的領域のアプリの間でコピーして貼り付けることができます。デフォルトはオフです。
- スクリーンショットを許可: ユーザーがデバイス画面のスクリーンショットを取得できるかどうかを指定します。デフォルトはオフです。
- カメラの使用を許可: ユーザーがデバイスのカメラで写真やビデオを撮ることができます。デフォルトはオフです。
- VPN構成を許可: ユーザーがVPN構成を作成できるようにします。Android 6以降を実行する仕事用プロファイルデバイスおよび完全に管理されているデバイス向けです。デフォルトは [オン] です。
- バックアップサービスを許可: ユーザーがデバイス上にアプリケーションやシステムデータをバックアップできるようにします。デフォルトは [オン] です。
- NFCを許可: 近距離無線通信(NFC:Near Field Communication)を使用して、ユーザーが手元のデバイスから他のデバイスにWebページ、写真、ビデオなどのコンテンツを送信できるようにします。MDM 4.0以降。デフォルトは [オン] です。
- 位置情報プロバイダーの構成を許可: ユーザーがデバイスでGPSをオンにできるようにします。Android API 28以降で使用します。デフォルトは [オン] です。
-
位置情報の共有を許可: 管理対象プロファイルの場合、デバイス所有者は設定を上書きできます。デフォルトはオフです。
ヒント:
XenMobileで位置情報デバイスポリシーを作成して、地理的な境界を適用することができます。「位置情報デバイスポリシー」を参照してください。
- ユーザーにユーザー資格情報の構成を許可: ユーザーが管理対象のキーストアで認証情報を設定できるかどうかを指定します。デフォルトは [オン] です。
- 印刷を許可: [オン] にすると、ユーザーデバイスからアクセス可能なプリンターへの印刷が許可されます。デフォルトは [オフ] です。利用可能:Android 9以降。
- USBデバッグを許可: デフォルトは [オフ] です。
-
アプリ
-
システムアプリを有効化: ユーザーが事前インストールされたデバイスアプリを実行できるようにします。デフォルトはオフです。特定のアプリを有効にするには、[システムアプリ一覧]の表で [追加] をクリックします。
-
システムアプリ一覧: デバイスで有効にするシステムアプリの一覧。[システムアプリを有効化] を [オン] に設定して、アプリのパッケージ名を追加します。システムアプリのパッケージ名を検索するには、Android Debug Bridge(
adb
)を使用してAndroidパッケージマネージャー(pm
)コマンドを呼び出します。たとえばadb shell "pm list packages -f name"
で、ここで「名前」はパッケージ名の一部です。詳しくは、https://developer.android.com/studio/command-line/adbを参照してください。Android Enterpriseデバイスでは、Android Enterpriseアプリの権限ポリシーを使用してアプリの権限を制限できます。
-
システムアプリ一覧: デバイスで有効にするシステムアプリの一覧。[システムアプリを有効化] を [オン] に設定して、アプリのパッケージ名を追加します。システムアプリのパッケージ名を検索するには、Android Debug Bridge(
-
アプリケーションを無効化: 指定したアプリの一覧がデバイス上で実行されるのを禁止します。デフォルトはオフです。インストールされているアプリを無効にするには、設定を [オン] に変更し、[アプリケーション一覧] 表で [追加] をクリックします。
- アプリ一覧: 禁止するアプリの一覧。[アプリケーションを無効にする] を [オン] に設定してアプリを追加し、アプリのパッケージ名を入力します。アプリ一覧を変更して展開すると、以前のアプリ一覧が上書きされます。たとえば、com.example1とcom.example2を無効にしてから、後で一覧をcom.example1とcom.example3に変更すると、XenMobileによりcom.example.2が有効化されます。
- アプリの検証を有効化: OSがアプリをスキャンして悪意のある動作を検出できるようにします。デフォルトは [オン] です。
- Google Appsを有効化: ユーザーがGoogle Mobile Servicesからデバイスにアプリをダウンロードできるようにします。デフォルトは [オン] です。
- Google Play非対応アプリを許可: Google Play以外のストアからアプリをインストールできるようにします。デフォルトはオフです。
- ユーザーにアプリケーション設定の制御を許可: ユーザーがアプリのアンインストール、アプリの無効化、キャッシュやデータの消去、アプリの強制停止、デフォルト値のクリアをできるようにします。ユーザーは、設定アプリからこれらのアクションを実行します。デフォルトは [オフ] です。
-
アプリのアンインストールを許可: ユーザーが管理対象のGoogle Playストア内からアプリをアンインストールできるようにします。デフォルトはオフです。この設定を表示するには、サーバープロパティ
afw.restriction.policy.v2
を有効にします。サーバープロパティについて詳しくは、「サーバープロパティ」を参照してください。
-
システムアプリを有効化: ユーザーが事前インストールされたデバイスアプリを実行できるようにします。デフォルトはオフです。特定のアプリを有効にするには、[システムアプリ一覧]の表で [追加] をクリックします。
-
BYOD/仕事用プロファイル
-
ホーム画面で仕事用プロファイルアプリウィジェットを許可する: この設定が [オン] の場合、ユーザーが仕事用プロファイルアプリウィジェットをデバイスのホーム画面に配置できます。この設定が [オフ] の場合、ユーザーは仕事用プロフィールアプリウィジェットを端末のホーム画面に配置できません。デフォルトはオフです。
- ウィジェットが許可されたアプリ: ホーム画面で許可するアプリの一覧。[ホーム画面で仕事用プロファイルアプリのウィジェットを許可] を [オン] に設定して対象のアプリを追加します。[追加]をクリックし、一覧からホーム画面で許可するアプリを選択します。[Save] をクリックします。この手順を繰り返して、ほかのアプリウィジェットも許可します。
- デバイスの連絡先で仕事用プロファイルの連絡先を許可: 着信時に、管理対象のAndroid Enterpriseプロファイルの連絡先を親プロファイルに表示します(Android 7.0以降)。デフォルトはオフです。
-
ホーム画面で仕事用プロファイルアプリウィジェットを許可する: この設定が [オン] の場合、ユーザーが仕事用プロファイルアプリウィジェットをデバイスのホーム画面に配置できます。この設定が [オフ] の場合、ユーザーは仕事用プロフィールアプリウィジェットを端末のホーム画面に配置できません。デフォルトはオフです。
-
完全管理対象デバイスのみ
- ユーザーの追加を許可: ユーザーがデバイスに新しいユーザーを追加できるようにします。デフォルトは [オン] です。
- データローミングを許可: ユーザーがローミング中に携帯データネットワークを使用できるようにします。デフォルトは[オフ]で、ユーザーのデバイスでローミングが無効になっています。デフォルトはオフです。
- SMSを許可: ユーザーがSMSメッセージを送受信できるようにします。デフォルトはオフです。
- ステータスバーの使用を許可: [オン] に設定すると、管理対象デバイスおよび専用デバイス(COSUデバイス)上でステータスバーが有効になります。この設定により、通知、クイック設定、その他の画面オーバーレイで全画面モードから移動することができなくなります。ユーザーはシステム設定に移動して通知を表示できます。Android 6.0以降の場合、デフォルトはオフです。
-
Bluetoothを許可: ユーザーがBluetoothを使用できるようにします。デフォルトは [オン] です。
-
Bluetooth共有を許可: オフになっている場合、ユーザーはデバイスで送信によるBluetooth共有を確立できません。デフォルトではオンになっています。この設定を表示するには、サーバープロパティ
afw.restriction.policy.v2
を有効にします。サーバープロパティについて詳しくは、「サーバープロパティ」を参照してください。
-
Bluetooth共有を許可: オフになっている場合、ユーザーはデバイスで送信によるBluetooth共有を確立できません。デフォルトではオンになっています。この設定を表示するには、サーバープロパティ
- 日付と時刻の構成を許可: ユーザーがデバイスの日付と時刻を変更できるようにします。デフォルトは [オン] です。
- 工場出荷時リセットを許可: ユーザーがデバイスを出荷時の設定に戻すことができるようにします。デフォルトは [オン] です。
- デバイス画面を有効なまま維持する: この設定を [オン] に設定すると、デバイスを接続してもデバイス画面はオンのままです。デフォルトはオフです。
- USB大容量ストレージを許可: USB接続上で、ユーザーのデバイスとコンピューター間で大容量のデータファイルを転送できるようにします。デフォルトは [オン] です。
- マイクを許可: ユーザーがデバイスでマイクを使用できるようにします。デフォルトは [オン] です。
- テザリングを許可: ユーザーがポータブルホットスポットとテザリングデータを構成できるようにします。デフォルトはオフです。
- Keyguardがデバイスをロックしないようにする: [オン]の場合、この設定により管理対象デバイスおよび専用デバイス(COSUデバイス)のロック画面でKeyguardが無効になります。デフォルトはオフです。
- Wi-Fiの変更を許可: [オン] 場合、ユーザーはWi-Fiをオンまたはオフにして、Wi-Fiネットワークに接続できます。デフォルトは [オン] です。
- ファイル転送を許可: USB上でファイル転送できるようにします。デフォルトはオフです。
-
Samsung
- TIMAキーストアを有効化: TIMA KeyStoreは、対称キーのTrustZoneベースのセキュアなキーストレージを提供します。RSAキーペアと証明書は、ストレージのデフォルトのキーストアプロバイダーを経由します。デフォルトはオフです。
- 共有一覧を許可: ユーザーがShare Viaの一覧にあるアプリ間でコンテンツを共有できるようにします。デフォルトは [オン] です。
- 監査ログを有効化: デバイスのフォレンジック解析用イベント監査ログの作成を有効にします。デフォルトはオフです。
-
Samsung:完全管理対象デバイスのみ
- ODE信頼済み起動検証を有効化: ODE信頼済みブート検証を使って、ブートローダーからシステムイメージへの信頼のチェーンを確立します。デフォルトは [オン] です。
- 緊急電話のみを許可: ユーザーがデバイスで緊急電話のみモードを有効にできるようにします。デフォルトはオフです。
- ファームウェアリカバリを許可: ユーザーがデバイスでファームウェアを復元できるようにします。デフォルトは [オン] です。
- 高速暗号化を許可: 使用済みのメモリ領域のみ暗号化を許可します。この暗号化は、すべてのデータを暗号化するフルディスク暗号化とは対照的な方法です。このデータには設定、アプリケーションデータ、ダウンロードしたファイルおよびアプリケーション、メディア、およびその他のファイルが含まれます。デフォルトは [オン] です。
- 情報セキュリティ国際評価基準(Common Criteria)モードを有効化: デバイスを情報セキュリティ国際評価基準モードにします。Common Criteria構成は、厳重なセキュリティプロセスを遂行します。デフォルトは [オン] です。
- 再起動バナーを有効化: ユーザーのデバイスが再起動されたときに、DoD承認システム使用通知メッセージまたはバナーを表示します。デフォルトはオフです。
- 設定の変更を許可: ユーザーが完全管理対象デバイスの設定を変更できるようにします。デフォルトは [オン] です。
- バックグラウンドデータの使用を有効化: アプリがバックグラウンドでデータを同期できるようにします。完全管理対象デバイス向けの設定です。デフォルトは [オン] です。
-
クリップボードを許可: ユーザーがデバイスでデータをクリップボードにコピーできるようにします。
- クリップボード共有を許可: ユーザーが自分のデバイスとコンピューター間でクリップボードのコンテンツを共有できるようにします(MDM 4.0以降)。
- ホームキーを許可: ユーザーが完全管理対象デバイスでHomeキーを使用できるようにします。デフォルトは [オン] です。
- 疑似ロケーションを許可: ユーザーがGPSの場所を偽装できるようにします。完全に管理されているデバイス用の設定です。デフォルトはオフです。
- NFC: ユーザーが完全に管理されたデバイスでNFCを使用できるようにします(MDM 3.0以降)。デフォルトは [オン] です。
- 電源オフを許可: ユーザーが完全管理対象デバイスの電源を切れるようにします(MDM 3.0以降)。デフォルトは [オン] です。
- Wi-Fiダイレクトを許可: ユーザーがWi-Fi接続を介して、ほかのデバイスに直接接続できるようにします。デフォルトは [オン] です。[オン] の場合、[Wi-Fiの変更を許可] 設定を有効にする必要があります。
- SDカードを許可: ユーザーが、可能な場合にはデバイスでSDカードを使用できるようにします。デフォルトは [オン] です。
- USBホストストレージを許可: USBデバイスがユーザーのデバイスに接続されたとき、ユーザーのデバイスがUSBホストとして機能するようにできます。これにより、ユーザーのデバイスがUSBデバイスに電源を供給します。デフォルトは [オン] です。
- 音声ダイヤラーを許可: ユーザーがデバイスで音声ダイヤラーを使用できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
- S Beamを許可: ユーザーがNFCやWi-Fi Directを使ってほかのユーザーとコンテンツを共有できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
- S Voiceを許可: ユーザーがデバイスでインテリジェントパーソナルアシスタントおよびナレッジナビゲーターを使用できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
- USBテザリングを許可: ユーザーが、USB接続を使ってモバイルデータ接続をほかのデバイスと共有できるようにします。デフォルトは [オフ] です。[オン] の場合、[テザリングを許可] 設定も [オン] にする必要があります。
-
Bluetoothテザリングを許可: ユーザーが、Bluetooth接続を使ってモバイルデータ接続をほかのデバイスと共有できるようにします。デフォルトは [オフ] です。[オン] の場合、[テザリングを許可] 設定も [オン] にする必要があります。
-
Bluetooth共有を許可: オフになっている場合、ユーザーはデバイスで送信によるBluetooth共有を確立できません。デフォルトではオンになっています。この設定を表示するには、サーバープロパティ
afw.restriction.policy.v2
を有効にします。サーバープロパティについて詳しくは、「サーバープロパティ」を参照してください。
-
Bluetooth共有を許可: オフになっている場合、ユーザーはデバイスで送信によるBluetooth共有を確立できません。デフォルトではオンになっています。この設定を表示するには、サーバープロパティ
- Wi-Fiテザリングを許可: ユーザーが、Wi-Fi接続を使ってモバイルデータ接続をほかのデバイスと共有できるようにします。デフォルトは [オフ] です。[オン] の場合、[テザリングを許可] 設定も [オン] にする必要があります。
- 受信MMSを許可: ユーザーがMMS(Microsoftメディアストリーミング)メッセージを受信できるようにします。デフォルトはオフです。[オン] の場合、[SMSを許可] 設定をオンにする必要があります。
- 送信MMSを許可: ユーザーがMMS(Microsoftメディアストリーミング)メッセージを送信できるようにします。デフォルトはオフです。[オン] の場合、[SMSを許可] 設定をオンにする必要があります。
- 受信SMSを許可: ユーザーがSMSメッセージを受信できるようにします。デフォルトはオフです。[オン] の場合、[SMSを許可] 設定をオンにする必要があります。
- 送信SMSを許可: ユーザーがSMSメッセージを送信できるようにします。デフォルトはオフです。[オン] の場合、[SMSを許可] 設定をオンにする必要があります。
- モバイルネットワークを構成: ユーザーが携帯データネットワーク接続を使用できるようにします。デフォルトはオフです。
- 日単位で制限(MB): ユーザーが一日に使用できるモバイルデータのMB数を入力します。デフォルトは0で、この機能が無効になっています(MDM 4.0以降)。
- 週単位で制限 (MB): ユーザーが一週間に使用できるモバイルデータのMB数を入力します。デフォルトは0で、この機能が無効になっています(MDM 4.0以降)。
- 月単位で制限 (MB): ユーザーが1か月に使用できるモバイルデータのMB数を入力します。デフォルトは0で、この機能が無効になっています(MDM 4.0以降)。
- セキュリティで保護されたVPN接続のみを許可: ユーザーがセキュリティで保護された接続のみを使用できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
- オーディオ録音を許可: ユーザーがデバイスでオーディオを録音できるようにします(MDM 4.0以降)。デフォルトは [オン] です。[オン] の場合、[マイクを許可] 設定をオンにする必要があります。
- ビデオ録画を許可: ユーザーがデバイスでビデオを録画できるようにします(MDM 4.0以降)。デフォルトはオフです。[オン] の場合、[カメラの使用を許可] 設定をオンにする必要があります。
- ローミング時のプッシュメッセージを許可: ユーザーが携帯データネットワークを使用してプッシュできるようにします。デフォルトはオフです。[オン] の場合、[データローミングを許可] 設定を有効にする必要があります。
- ローミング時に自動同期を許可: ユーザーが携帯データネットワークを使用して同期できるようにします。デフォルトはオフです。[オン] の場合、[データローミングを許可] 設定を有効にする必要があります。
- ローミング時に音声通話を許可: ユーザーが音声通話に携帯データネットワークを使用できるようにします。デフォルトはオフです。[オン] の場合、[データローミングを許可] 設定を有効にする必要があります。
-
Samsung:Knoxコンテナ/完全管理対象デバイス
- 失効チェックを有効化: 失効した証明書のチェックを有効にします。デフォルトはオフです。
-
Samsung:Knoxコンテナのみ
- コンテナにアプリを移動: ユーザーが、Knoxコンテナとデバイス上の個人的領域間でアプリを移動できるようにします。デフォルトは [オン] です。
- 多要素認証を強制: ユーザーがデバイスを開く際に、指紋のほかにパスワードやPINなどの別の認証方式を使用する必要があるようにします。デフォルトは [オン] です。
- コンテナ認証を強制: デバイスのロック解除に使用された方法とは異なる認証方法を使用して、Knoxコンテナを開きます。デフォルトは [オン] です。
- セキュリティで保護されたキーパッドを有効化: Knoxコンテナ内部のセキュリティで保護されたキーボードを強制的にユーザーに使用させます。デフォルトは [オン] です。
-
Samsung:DeX
-
Samsung DeXを有効化: サポート対象のKnox対応デバイスを有効にして、Samsung DeXモードで実行します。Samsung Knox 3.1(最小バージョン)が必要です。デフォルトは [オン] です。Samsung DeXのデバイス要件とSamsung DeXの設定については、Samsungの開発者向けドキュメントを参照してください。
- Dexモードでのみイーサネットを許可: Samsung DeXモードでイーサネットの使用を有効にします。携帯データネットワーク、Wi-Fi、テザリング(Wi-Fi、Bluetooth、USB)は、DeXモードで制限されています。デフォルトは選択されていない状態です。
- Dexロゴ画像のアップロード: この設定を選択して、.png画像をSamsung DeXのアイコンとして使用するよう指定します。
- DeX画面のタイムアウト(秒): DeX画面がオフになるまでのアイドル時間を秒単位で指定します。タイムアウトを無効にするには、0に設定します。デフォルトは1,200秒(20分)です。
-
Samsung DeXでアプリのショートカットを追加: アプリのパッケージ名を指定して、アプリのショートカットをDeXに追加できるようにします。アプリのパッケージ名を検索するには、Google Playに移動してアプリを選択します。URLは、パッケージ名を含みます:
https://play.google.com/store/apps/details?id=<package.name><!--NeedCopy-->
。 - Samsung DeXでアプリのショートカットを削除: アプリのパッケージ名を指定して、DeXからショートカットを削除できるようにします。アプリのパッケージ名を検索するには、Google Playに移動します。
-
Samsung DeXで無効にするアプリパッケージ: Samsung DeXモードからの使用を禁止するアプリパッケージの一覧をコンマ区切りで指定します。例:
"com.android.chrome", "com.google.android.gm"<!--NeedCopy-->
。
-
Samsung DeXを有効化: サポート対象のKnox対応デバイスを有効にして、Samsung DeXモードで実行します。Samsung Knox 3.1(最小バージョン)が必要です。デフォルトは [オン] です。Samsung DeXのデバイス要件とSamsung DeXの設定については、Samsungの開発者向けドキュメントを参照してください。
[仕事用プロファイルで完全に管理されているデバイスに適用] がオンで、[完全に管理されているデバイスが仕事用プロファイルを持つ場合、ポリシーを次のプロファイルに適用] が [仕事用プロファイル] に設定されている場合、次の設定を構成します:
-
セキュリティ
- アカウント管理を許可: 仕事用プロファイルおよび管理対象デバイスでアカウントを追加できるようにします。デフォルトはオフです。
- プロファイル間でコピーと貼り付けを許可: [オン] の場合、ユーザーはAndroid Enterpriseプロファイルのアプリと個人的領域のアプリの間でコピーして貼り付けることができます。デフォルトはオフです。
- スクリーンショットを許可: ユーザーがデバイス画面のスクリーンショットを取得できるかどうかを指定します。デフォルトはオフです。
- カメラの使用を許可: ユーザーがデバイスのカメラで写真やビデオを撮ることができます。デフォルトはオフです。
- 位置情報プロバイダーの構成を許可: ユーザーがデバイスでGPSをオンにできるようにします。Android API 28以降で使用します。デフォルトは [オン] です。
-
位置情報の共有を許可: 管理対象プロファイルの場合、デバイス所有者は設定を上書きできます。デフォルトはオフです。
ヒント:
XenMobileで位置情報デバイスポリシーを作成して、地理的な境界を適用することができます。「位置情報デバイスポリシー」を参照してください。
- ユーザーにユーザー資格情報の構成を許可: ユーザーが管理対象のキーストアで認証情報を設定できるかどうかを指定します。デフォルトは [オン] です。
- 印刷を許可: [オン] にすると、ユーザーデバイスからアクセス可能なプリンターへの印刷が許可されます。デフォルトは [オフ] です。利用可能:Android 9以降。
-
アプリ
-
システムアプリを有効化: ユーザーが事前インストールされたデバイスアプリを実行できるようにします。デフォルトはオフです。特定のアプリを有効にするには、[システムアプリ一覧]の表で [追加] をクリックします。
-
システムアプリ一覧: デバイスで有効にするシステムアプリの一覧。[システムアプリを有効化] を [オン] に設定して、アプリのパッケージ名を追加します。システムアプリのパッケージ名を検索するには、Android Debug Bridge(
adb
)を使用してAndroidパッケージマネージャー(pm
)コマンドを呼び出します。たとえばadb shell "pm list packages -f name"
で、ここで「名前」はパッケージ名の一部です。詳しくは、https://developer.android.com/studio/command-line/adbを参照してください。Android Enterpriseデバイスでは、Android Enterpriseアプリの権限ポリシーを使用してアプリの権限を制限できます。
-
システムアプリ一覧: デバイスで有効にするシステムアプリの一覧。[システムアプリを有効化] を [オン] に設定して、アプリのパッケージ名を追加します。システムアプリのパッケージ名を検索するには、Android Debug Bridge(
-
アプリケーションを無効化: 指定したアプリの一覧がデバイス上で実行されるのを禁止します。デフォルトはオフです。インストールされているアプリを無効にするには、設定を [オン] に変更し、[アプリケーション一覧] 表で [追加] をクリックします。
- アプリ一覧: 禁止するアプリの一覧。[アプリケーションを無効にする] を [オン] に設定してアプリを追加し、アプリのパッケージ名を入力します。アプリ一覧を変更して展開すると、以前のアプリ一覧が上書きされます。たとえば、com.example1とcom.example2を無効にしてから、後で一覧をcom.example1とcom.example3に変更すると、XenMobileによりcom.example.2が有効化されます。
- アプリの検証を有効化: OSがアプリをスキャンして悪意のある動作を検出できるようにします。デフォルトは [オン] です。
- Google Appsを有効化: ユーザーがGoogle Mobile Servicesからデバイスにアプリをダウンロードできるようにします。デフォルトは [オン] です。
- Google Play非対応アプリを許可: Google Play以外のストアからアプリをインストールできるようにします。デフォルトはオフです。
- ユーザーにアプリケーション設定の制御を許可: ユーザーがアプリのアンインストール、アプリの無効化、キャッシュやデータの消去、アプリの強制停止、デフォルト値のクリアをできるようにします。ユーザーは、設定アプリからこれらのアクションを実行します。デフォルトは [オフ] です。
-
アプリのアンインストールを許可: ユーザーが管理対象のGoogle Playストア内からアプリをアンインストールできるようにします。デフォルトはオフです。この設定を表示するには、サーバープロパティ
afw.restriction.policy.v2
を有効にします。サーバープロパティについて詳しくは、「サーバープロパティ」を参照してください。
-
システムアプリを有効化: ユーザーが事前インストールされたデバイスアプリを実行できるようにします。デフォルトはオフです。特定のアプリを有効にするには、[システムアプリ一覧]の表で [追加] をクリックします。
-
BYOD/仕事用プロファイル
-
ホーム画面で仕事用プロファイルアプリウィジェットを許可する: この設定が [オン] の場合、ユーザーが仕事用プロファイルアプリウィジェットをデバイスのホーム画面に配置できます。この設定が [オフ] の場合、ユーザーは仕事用プロフィールアプリウィジェットを端末のホーム画面に配置できません。デフォルトはオフです。
- ウィジェットが許可されたアプリ: ホーム画面で許可するアプリの一覧。[ホーム画面で仕事用プロファイルアプリのウィジェットを許可] を [オン] に設定して対象のアプリを追加します。[追加]をクリックし、一覧からホーム画面で許可するアプリを選択します。[Save] をクリックします。この手順を繰り返して、ほかのアプリウィジェットも許可します。
- デバイスの連絡先で仕事用プロファイルの連絡先を許可: 着信時に、管理対象のAndroid Enterpriseプロファイルの連絡先を親プロファイルに表示します(Android 7.0以降)。デフォルトはオフです。
-
ホーム画面で仕事用プロファイルアプリウィジェットを許可する: この設定が [オン] の場合、ユーザーが仕事用プロファイルアプリウィジェットをデバイスのホーム画面に配置できます。この設定が [オフ] の場合、ユーザーは仕事用プロフィールアプリウィジェットを端末のホーム画面に配置できません。デフォルトはオフです。
-
Samsung
- TIMAキーストアを有効化: TIMA KeyStoreは、対称キーのTrustZoneベースのセキュアなキーストレージを提供します。RSAキーペアと証明書は、ストレージのデフォルトのキーストアプロバイダーを経由します。デフォルトはオフです。
- 共有一覧を許可: ユーザーがShare Viaの一覧にあるアプリ間でコンテンツを共有できるようにします。デフォルトは [オン] です。
- 監査ログを有効化: デバイスのフォレンジック解析用イベント監査ログの作成を有効にします。デフォルトはオフです。
-
Samsung:Knoxコンテナ/完全管理対象デバイス
- 失効チェックを有効化: 失効した証明書のチェックを有効にします。デフォルトはオフです。
-
Samsung:Knoxコンテナのみ
- コンテナにアプリを移動: ユーザーが、Knoxコンテナとデバイス上の個人的領域間でアプリを移動できるようにします。デフォルトは [オン] です。
- 多要素認証を強制: ユーザーがデバイスを開く際に、指紋のほかにパスワードやPINなどの別の認証方式を使用する必要があるようにします。デフォルトは [オン] です。
- コンテナ認証を強制: デバイスのロック解除に使用された方法とは異なる認証方法を使用して、Knoxコンテナを開きます。デフォルトは [オン] です。
- セキュリティで保護されたキーパッドを有効化: Knoxコンテナ内部のセキュリティで保護されたキーボードを強制的にユーザーに使用させます。デフォルトは [オン] です。
[仕事用プロファイルで完全に管理されているデバイスに適用] がオンで、[完全に管理されているデバイスが仕事用プロファイルを持つ場合、ポリシーを次のプロファイルに適用] が [管理対象デバイス] に設定されている場合、次の設定を構成します:
-
セキュリティ
- アカウント管理を許可: 仕事用プロファイルおよび管理対象デバイスでアカウントを追加できるようにします。デフォルトはオフです。
- プロファイル間でコピーと貼り付けを許可: [オン] の場合、ユーザーはAndroid Enterpriseプロファイルのアプリと個人的領域のアプリの間でコピーして貼り付けることができます。デフォルトはオフです。
- スクリーンショットを許可: ユーザーがデバイス画面のスクリーンショットを取得できるかどうかを指定します。デフォルトはオフです。
- カメラの使用を許可: ユーザーがデバイスのカメラで写真やビデオを撮ることができます。デフォルトはオフです。
- VPN構成を許可: ユーザーがVPN構成を作成できるようにします。Android 6以降を実行する仕事用プロファイルデバイスおよび完全に管理されているデバイス向けです。デフォルトは [オン] です。
- バックアップサービスを許可: ユーザーがデバイス上にアプリケーションやシステムデータをバックアップできるようにします。デフォルトは [オン] です。
- NFCを許可: 近距離無線通信(NFC:Near Field Communication)を使用して、ユーザーが手元のデバイスから他のデバイスにWebページ、写真、ビデオなどのコンテンツを送信できるようにします。MDM 4.0以降。デフォルトは [オン] です。
- 位置情報プロバイダーの構成を許可: ユーザーがデバイスでGPSをオンにできるようにします。Android API 28以降で使用します。デフォルトは [オン] です。
-
位置情報の共有を許可: 管理対象プロファイルの場合、デバイス所有者は設定を上書きできます。デフォルトはオフです。
ヒント:
XenMobileで位置情報デバイスポリシーを作成して、地理的な境界を適用することができます。「位置情報デバイスポリシー」を参照してください。
- ユーザーにユーザー資格情報の構成を許可: ユーザーが管理対象のキーストアで認証情報を設定できるかどうかを指定します。デフォルトは [オン] です。
- 印刷を許可: [オン] にすると、ユーザーデバイスからアクセス可能なプリンターへの印刷が許可されます。デフォルトは [オフ] です。利用可能:Android 9以降。
- USBデバッグを許可: デフォルトは [オフ] です。
-
アプリ
-
システムアプリを有効化: ユーザーが事前インストールされたデバイスアプリを実行できるようにします。デフォルトはオフです。特定のアプリを有効にするには、[システムアプリ一覧]の表で [追加] をクリックします。
-
システムアプリ一覧: デバイスで有効にするシステムアプリの一覧。[システムアプリを有効化] を [オン] に設定して、アプリのパッケージ名を追加します。システムアプリのパッケージ名を検索するには、Android Debug Bridge(
adb
)を使用してAndroidパッケージマネージャー(pm
)コマンドを呼び出します。たとえばadb shell "pm list packages -f name"
で、ここで「名前」はパッケージ名の一部です。詳しくは、https://developer.android.com/studio/command-line/adbを参照してください。Android Enterpriseデバイスでは、Android Enterpriseアプリの権限ポリシーを使用してアプリの権限を制限できます。
-
システムアプリ一覧: デバイスで有効にするシステムアプリの一覧。[システムアプリを有効化] を [オン] に設定して、アプリのパッケージ名を追加します。システムアプリのパッケージ名を検索するには、Android Debug Bridge(
-
アプリケーションを無効化: 指定したアプリの一覧がデバイス上で実行されるのを禁止します。デフォルトはオフです。インストールされているアプリを無効にするには、設定を [オン] に変更し、[アプリケーション一覧] 表で [追加] をクリックします。
- アプリ一覧: 禁止するアプリの一覧。[アプリケーションを無効にする] を [オン] に設定してアプリを追加し、アプリのパッケージ名を入力します。アプリ一覧を変更して展開すると、以前のアプリ一覧が上書きされます。たとえば、com.example1とcom.example2を無効にしてから、後で一覧をcom.example1とcom.example3に変更すると、XenMobileによりcom.example.2が有効化されます。
- アプリの検証を有効化: OSがアプリをスキャンして悪意のある動作を検出できるようにします。デフォルトは [オン] です。
- Google Appsを有効化: ユーザーがGoogle Mobile Servicesからデバイスにアプリをダウンロードできるようにします。デフォルトは [オン] です。
- Google Play非対応アプリを許可: Google Play以外のストアからアプリをインストールできるようにします。デフォルトはオフです。
- ユーザーにアプリケーション設定の制御を許可: ユーザーがアプリのアンインストール、アプリの無効化、キャッシュやデータの消去、アプリの強制停止、デフォルト値のクリアをできるようにします。ユーザーは、設定アプリからこれらのアクションを実行します。デフォルトは [オフ] です。
-
アプリのアンインストールを許可: ユーザーが管理対象のGoogle Playストア内からアプリをアンインストールできるようにします。デフォルトはオフです。この設定を表示するには、サーバープロパティ
afw.restriction.policy.v2
を有効にします。サーバープロパティについて詳しくは、「サーバープロパティ」を参照してください。
-
システムアプリを有効化: ユーザーが事前インストールされたデバイスアプリを実行できるようにします。デフォルトはオフです。特定のアプリを有効にするには、[システムアプリ一覧]の表で [追加] をクリックします。
-
完全管理対象デバイスのみ
- ユーザーの追加を許可: ユーザーがデバイスに新しいユーザーを追加できるようにします。デフォルトは [オン] です。
- データローミングを許可: ユーザーがローミング中に携帯データネットワークを使用できるようにします。デフォルトは[オフ]で、ユーザーのデバイスでローミングが無効になっています。デフォルトはオフです。
- SMSを許可: ユーザーがSMSメッセージを送受信できるようにします。デフォルトはオフです。
- ステータスバーの使用を許可: [オン] に設定すると、管理対象デバイスおよび専用デバイス(COSUデバイス)上でステータスバーが有効になります。この設定により、通知、クイック設定、その他の画面オーバーレイで全画面モードから移動することができなくなります。ユーザーはシステム設定に移動して通知を表示できます。Android 6.0以降の場合、デフォルトはオフです。
-
Bluetoothを許可: ユーザーがBluetoothを使用できるようにします。デフォルトは [オン] です。
-
Bluetooth共有を許可: オフになっている場合、ユーザーはデバイスで送信によるBluetooth共有を確立できません。デフォルトではオンになっています。この設定を表示するには、サーバープロパティ
afw.restriction.policy.v2
を有効にします。サーバープロパティについて詳しくは、「サーバープロパティ」を参照してください。
-
Bluetooth共有を許可: オフになっている場合、ユーザーはデバイスで送信によるBluetooth共有を確立できません。デフォルトではオンになっています。この設定を表示するには、サーバープロパティ
- 日付と時刻の構成を許可: ユーザーがデバイスの日付と時刻を変更できるようにします。デフォルトは [オン] です。
- 工場出荷時リセットを許可: ユーザーがデバイスを出荷時の設定に戻すことができるようにします。デフォルトは [オン] です。
- デバイス画面を有効なまま維持する: この設定を [オン] に設定すると、デバイスを接続してもデバイス画面はオンのままです。デフォルトはオフです。
- USB大容量ストレージを許可: USB接続上で、ユーザーのデバイスとコンピューター間で大容量のデータファイルを転送できるようにします。デフォルトは [オン] です。
- マイクを許可: ユーザーがデバイスでマイクを使用できるようにします。デフォルトは [オン] です。
- テザリングを許可: ユーザーがポータブルホットスポットとテザリングデータを構成できるようにします。デフォルトはオフです。この設定をオンにすると、Samsungデバイスで以下の設定を使用できます:
- Keyguardがデバイスをロックしないようにする: [オン]の場合、この設定により管理対象デバイスおよび専用デバイス(COSUデバイス)のロック画面でKeyguardが無効になります。デフォルトはオフです。
- Wi-Fiの変更を許可: [オン] 場合、ユーザーはWi-Fiをオンまたはオフにして、Wi-Fiネットワークに接続できます。デフォルトは [オン] です。
- ファイル転送を許可: USB上でファイル転送できるようにします。デフォルトはオフです。
-
Samsung
- TIMAキーストアを有効化: TIMA KeyStoreは、対称キーのTrustZoneベースのセキュアなキーストレージを提供します。RSAキーペアと証明書は、ストレージのデフォルトのキーストアプロバイダーを経由します。デフォルトはオフです。
- 共有一覧を許可: ユーザーがShare Viaの一覧にあるアプリ間でコンテンツを共有できるようにします。デフォルトは [オン] です。
- 監査ログを有効化: デバイスのフォレンジック解析用イベント監査ログの作成を有効にします。デフォルトはオフです。
-
Samsung:完全管理対象デバイスのみ
- ODE信頼済み起動検証を有効化: ODE信頼済みブート検証を使って、ブートローダーからシステムイメージへの信頼のチェーンを確立します。デフォルトは [オン] です。
- 緊急電話のみを許可: ユーザーがデバイスで緊急電話のみモードを有効にできるようにします。デフォルトはオフです。
- ファームウェアリカバリを許可: ユーザーがデバイスでファームウェアを復元できるようにします。デフォルトは [オン] です。
- 高速暗号化を許可: 使用済みのメモリ領域のみ暗号化を許可します。この暗号化は、すべてのデータを暗号化するフルディスク暗号化とは対照的な方法です。このデータには設定、アプリケーションデータ、ダウンロードしたファイルおよびアプリケーション、メディア、およびその他のファイルが含まれます。デフォルトは [オン] です。
- 情報セキュリティ国際評価基準(Common Criteria)モードを有効化: デバイスを情報セキュリティ国際評価基準モードにします。Common Criteria構成は、厳重なセキュリティプロセスを遂行します。デフォルトは [オン] です。
- 再起動バナーを有効化: ユーザーのデバイスが再起動されたときに、DoD承認システム使用通知メッセージまたはバナーを表示します。デフォルトはオフです。
- 設定の変更を許可: ユーザーが完全管理対象デバイスの設定を変更できるようにします。デフォルトは [オン] です。
- バックグラウンドデータの使用を有効化: アプリがバックグラウンドでデータを同期できるようにします。完全管理対象デバイス向けの設定です。デフォルトは [オン] です。
-
クリップボードを許可: ユーザーがデバイスでデータをクリップボードにコピーできるようにします。デフォルトは [オン] です。
- クリップボード共有を許可: ユーザーが自分のデバイスとコンピューター間でクリップボードのコンテンツを共有できるようにします(MDM 4.0以降)。
- ホームキーを許可: ユーザーが完全管理対象デバイスでHomeキーを使用できるようにします。デフォルトは [オン] です。
- 疑似ロケーションを許可: ユーザーがGPSの場所を偽装できるようにします。完全に管理されているデバイス用の設定です。デフォルトはオフです。
- NFC: ユーザーが完全に管理されたデバイスでNFCを使用できるようにします(MDM 3.0以降)。デフォルトは [オン] です。
- 電源オフを許可: ユーザーが完全管理対象デバイスの電源を切れるようにします(MDM 3.0以降)。デフォルトは [オン] です。
- Wi-Fiダイレクトを許可: ユーザーがWi-Fi接続を介して、ほかのデバイスに直接接続できるようにします。デフォルトは [オン] です。[オン] の場合、[Wi-Fiの変更を許可] 設定を有効にする必要があります。
- SDカードを許可: ユーザーが、可能な場合にはデバイスでSDカードを使用できるようにします。デフォルトは [オン] です。
- USBホストストレージを許可: USBデバイスがユーザーのデバイスに接続されたとき、ユーザーのデバイスがUSBホストとして機能するようにできます。これにより、ユーザーのデバイスがUSBデバイスに電源を供給します。デフォルトは [オン] です。
- 音声ダイヤラーを許可: ユーザーがデバイスで音声ダイヤラーを使用できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
- S Beamを許可: ユーザーがNFCやWi-Fi Directを使ってほかのユーザーとコンテンツを共有できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
- S Voiceを許可: ユーザーがデバイスでインテリジェントパーソナルアシスタントおよびナレッジナビゲーターを使用できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
- USBテザリングを許可: ユーザーが、USB接続を使ってモバイルデータ接続をほかのデバイスと共有できるようにします。デフォルトは [オフ] です。[オン] の場合、[テザリングを許可] 設定も [オン] にする必要があります。
- Bluetoothテザリングを許可: ユーザーが、Bluetooth接続を使ってモバイルデータ接続をほかのデバイスと共有できるようにします。デフォルトは [オフ] です。[オン] の場合、[テザリングを許可] 設定も [オン] にする必要があります。
- Wi-Fiテザリングを許可: ユーザーが、Wi-Fi接続を使ってモバイルデータ接続をほかのデバイスと共有できるようにします。デフォルトは [オフ] です。[オン] の場合、[テザリングを許可] 設定も [オン] にする必要があります。
- 受信MMSを許可: ユーザーがMMS(Microsoftメディアストリーミング)メッセージを受信できるようにします。デフォルトはオフです。[オン] の場合、[SMSを許可] 設定をオンにする必要があります。
- 送信MMSを許可: ユーザーがMMS(Microsoftメディアストリーミング)メッセージを送信できるようにします。デフォルトはオフです。[オン] の場合、[SMSを許可] 設定をオンにする必要があります。
- 受信SMSを許可: ユーザーがSMSメッセージを受信できるようにします。デフォルトはオフです。[オン] の場合、[SMSを許可] 設定をオンにする必要があります。
- 送信SMSを許可: ユーザーがSMSメッセージを送信できるようにします。デフォルトはオフです。[オン] の場合、[SMSを許可] 設定をオンにする必要があります。
- モバイルネットワークを構成: ユーザーが携帯データネットワーク接続を使用できるようにします。デフォルトはオフです。
- 日単位で制限(MB): ユーザーが一日に使用できるモバイルデータのMB数を入力します。デフォルトは0で、この機能が無効になっています(MDM 4.0以降)。
- 週単位で制限 (MB): ユーザーが一週間に使用できるモバイルデータのMB数を入力します。デフォルトは0で、この機能が無効になっています(MDM 4.0以降)。
- 月単位で制限 (MB): ユーザーが1か月に使用できるモバイルデータのMB数を入力します。デフォルトは0で、この機能が無効になっています(MDM 4.0以降)。
- セキュリティで保護されたVPN接続のみを許可: ユーザーがセキュリティで保護された接続のみを使用できるようにします(MDM 4.0以降)。デフォルトは [オン] です。
- オーディオ録音を許可: ユーザーがデバイスでオーディオを録音できるようにします(MDM 4.0以降)。デフォルトは [オン] です。[オン] の場合、[マイクを許可] 設定をオンにする必要があります。
- ビデオ録画を許可: ユーザーがデバイスでビデオを録画できるようにします(MDM 4.0以降)。デフォルトはオフです。[オン] の場合、[カメラの使用を許可] 設定をオンにする必要があります。
- ローミング時のプッシュメッセージを許可: ユーザーが携帯データネットワークを使用してプッシュできるようにします。デフォルトはオフです。[オン] の場合、[データローミングを許可] 設定を有効にする必要があります。
- ローミング時に自動同期を許可: ユーザーが携帯データネットワークを使用して同期できるようにします。デフォルトはオフです。[オン] の場合、[データローミングを許可] 設定を有効にする必要があります。
- ローミング時に音声通話を許可: ユーザーが音声通話に携帯データネットワークを使用できるようにします。デフォルトはオフです。[オン] の場合、[データローミングを許可] 設定を有効にする必要があります。
-
Samsung:Knoxコンテナ/完全管理対象デバイス
- 失効チェックを有効化: 失効した証明書のチェックを有効にします。デフォルトはオフです。
-
Samsung:Knoxコンテナのみ
- コンテナにアプリを移動: ユーザーが、Knoxコンテナとデバイス上の個人的領域間でアプリを移動できるようにします。デフォルトは [オン] です。
- 多要素認証を強制: ユーザーがデバイスを開く際に、指紋のほかにパスワードやPINなどの別の認証方式を使用する必要があるようにします。デフォルトは [オン] です。
- コンテナ認証を強制: デバイスのロック解除に使用された方法とは異なる認証方法を使用して、Knoxコンテナを開きます。デフォルトは [オン] です。
- セキュリティで保護されたキーパッドを有効化: Knoxコンテナ内部のセキュリティで保護されたキーボードを強制的にユーザーに使用させます。デフォルトは [オン] です。
Windowsデスクトップ/タブレットの設定
-
Wi-Fi設定
- インターネット共有を許可: Wi-Fiホットスポットに切り替えてデバイスがインターネット接続をほかのデバイスと共有できるようにします。
-
接続
- 携帯ネットワーク経由のVPNを許可: デバイスがVPN上で携帯ネットワークと接続できるようにします。
- ローミング時の携帯ネットワーク経由のVPNを許可: デバイスが携帯ネットワーク上をローミングしたら、デバイスがVPN上で接続できるようにします。
- 携帯ネットワークデータのローミングを許可: ローミングの間にユーザーが携帯データネットワークを使えるようにします。
-
アカウント
- Microsoftアカウントの接続を許可: デバイスが、非メール関連の接続認証とサービスにMicrosoftアカウントを使用できるようにします。
- Microsoft以外のメールを許可: ユーザーがMicrosoft以外のメールアカウントを追加できるようにします。
-
システム
- ストレージカードを許可: デバイスでストレージカードの使用を許可します。
- テレメトリ: ドロップダウンリストで、デバイスによる利用統計情報の送信を許可または制限するオプションをクリックします。デフォルトは [許可] です。そのほかのオプションには、[許可しない] および [許可(セカンダリデータ要求を除く)] があります。
- 位置情報サービスを許可: 位置情報サービスを有効にします。
- 内部ビルドのプレビューを許可: ユーザーがMicrosoft内部ビルドをプレビューできるようにします。
-
カメラ:
- カメラの使用を許可: ユーザーがデバイスのカメラを使用できるようにします。
-
Bluetooth:
- 検出可能モードを許可: Bluetoothデバイスがローカルデバイスを検出できるようにします。
- ローカルデバイス名: ローカルデバイスの名前。
-
エクスペリエンス:
- Cortanaを許可: ユーザーがCortanaのインテリジェントパーソナルアシスタントおよびナレッジナビゲーターにアクセスできるようにします。
- デバイスの検出を許可: デバイスのネットワーク検出を有効にします。
- 手動のMDM登録解除を許可: ユーザーがXenMobile MDMから手動でデバイスの登録を解除できるようにします。
- デバイス設定の同期を許可: ユーザーがローミング時にWindows 10およびWindows 11デバイス間で設定を同期できるようにします。
-
ロック例外:
- トーストを許可: ロック画面でトースト通知を許可します。
-
アプリ
- Appstoreの自動更新を許可: アプリストアによるアプリの自動更新を許可します。
-
プライバシー:
- 入力の個人設定を許可: 入力の個人設定を許可します。ペンやタッチキーボードなどでユーザーが入力した内容をベースに、予測変換の精度を向上します。
-
設定:
- 自動再生を許可: ユーザーが自動再生設定を変更できるようにします。
- データセンターを許可: ユーザーがデータセンサー設定を変更できるようにします。
- 日付/時刻を許可: ユーザーが日付/時刻設定を変更できるようにします。
- 言語を許可: ユーザーが言語設定を変更できるようにします。
- 電源スリープを許可: ユーザーが電源設定およびスリープ設定を変更できるようにします。
- リージョンを許可: ユーザーがリージョン設定を変更できるようにします。
- サインインオプションを許可: ユーザーがサインイン設定を変更できるようにします。
- ワークプレースを許可: ユーザーがワークプレース設定を変更できるようにします。
- アカウントを許可: ユーザーがアカウント設定を変更できるようにします。