Okta Mobility ManagementとAndroid for Work

  • [OMM]メニューは、Okta Mobility Management(OMM)を実装しているOrgのみが利用可能です。
  • このページに文書化されている手順は、自organization用にOMMを既に購入されているお客様のみご利用いただけます。OMMの新規ご購入はサポートされていません。詳細については、Oktaサポートにお問い合わせください。

Android for WorkまたはAndroid Enterpriseは、Googleの企業向けモバイル端末管理ソリューションです。Android for Workを使用してユーザーをOkta Mobility Management(OMM)に登録すると、デバイス上に暗号化およびコンテナ化されたワーク・プロファイルが作成され、マネージドGoogle Playストアがインストールされます。これにより、BoxやOutlookのような別のマネージド・バージョンのワーク・アプリを割り当てることができると同時に、エンドユーザーのデバイスから個人データにふれることなく会社データを消去することができます。

サポートされているAndroidバージョン

  • Android 5.1.1 (L)以降
  • Android for Workを有効にする場合は、特定の古いAndroidデバイスでの予期しない動作を防ぐために、OMMユーザーにGoogle Chromeをデプロイすることを強くお勧めします。管理対象アプリのデプロイについては、「管理対象モバイル・アプリへのアクセスの有効化」を参照してください。

  • Android Oデバイスでワーク・プロファイルを構成すると、Google Chromeが自動的にインストールされます。これにより、Android Oのバグが原因で、Webビューを使用するOkta Mobileやその他のアプリがクラッシュするのを防ぎます。詳細については、バグに関するGoogleドキュメンテーションを参照してください。

Android for Workをセットアップする

手順は、「OktaでAndroid for Workをセットアップする」を参照してください。

ワーク・プロファイルのパスコード・ポリシーを構成する

OMMでは、サポートされているどのAndroidデバイス用のパスコード・ポリシーでも構成できます。これらのポリシーにより、ユーザーは自分のデバイスをロック解除するためにあなたが指定した条件を満たすパスコードを入力しなければならなくなります。ポリシーはあなたが作成したグループに基づいて適用され、異なるユーザーに対して異なるレベルのアクセスとセキュリティを設定できます。

さらなる柔軟性をもたせるため、Android 7.0+デバイスを持つユーザー向けに別のワーク・プロファイル・ポリシーを設定することもできます。このポリシーを使用して、ワーク・プロファイルで管理されているアプリにアクセスする前にパスコードを入力するようユーザーに求めることができます。このようにして、個人アプリやデータにアクセスするよりセキュアなポリシーを設定できるようになります。したがって会社データを安全かつセキュアに保ちながら、ユーザーは複雑なパスワードを入力することなく個人的なリソースに容易にアクセスできるようになります。

注:Okta Mobile 3.0以上が必要です。

ワーク・プロファイルのパスコード・ポリシーを設定するには、デバイス・ポリシーを作成または編集してからそのポリシーのAndroidルールを構成する必要があります。

デバイスポリシーを作成する

  1. Admin Consoleで、[OMM][OMM Policies(OMMポリシー)]に移動します。
  2. [Add Device Policy(デバイスポリシーを追加)]をクリックしてから以下を指定します。
    • 一意な[ポリシー名]
    • [Description(説明)](任意選択)
    • このポリシーが適用されるユーザーの[groups(グループ)]
    • 終了済み[User Agreement(ユーザー同意書)](任意選択)

      このボックスを選択した場合、短いカスタム・ユーザー同意書をテキスト・フィールドに入力してください。この同意書はエンドユーザー・デバイス上に表示され、エンドユーザーはOMM登録に進む前に同意する必要があります。OMM登録プロセスの一環として、エンドユーザーはOMMに登録することにより、自分のデバイスの制御権をある程度管理者に与えることになるという警告メッセージが表示されます。このユーザー同意書は、エンドユーザーに同意を促すカスタム利用規約を提供する機会となります。

  3. [Save and Add Platform Rule(プラットフォーム・ルールを保存して追加する)]をクリックし、[Android]を選択して先に進みます。

既存のデバイス・ポリシーを編集する

正しいグループに割り当てられている既存のポリシーがある場合、それを編集してワークプロファイルのパスコードポリシーを含めることができます。

  1. Admin Consoleで、[OMM][OMM Policies(OMMポリシー)]に移動します。
  2. 編集するポリシーを選択します。
  3. そのポリシーにAndroidルールがすでにある場合、鉛筆アイコンをクリックしてルールを編集します。Androidルールがない場合は、[Add Platform Rule(プラットフォーム・ルールを追加する)]をクリックし、[Android]を選択して先に進みます。

ワークプロファイルパスコードを使ってAndroidルールを構成する

  1. Admin Consoleで、[OMM][OMM Policies(OMMポリシー)]に移動します。
  2. [Allow devices(デバイスを許可)]を選択します。
  3. [Android for Work]を選択します。このオプションが無効になっている場合は、[Set up AfW(Android for Workをセットアップ)]をクリックします。
  4. [Next(次へ)]をクリックし、必要に応じて次のセクションで設定を構成します。
  5. 一般的なAndroidデバイス・パスコード要件

    バージョン7.0以前のAndroidデバイスの場合、バージョン7.0以前のAndroidを実行しているユーザーに、デバイスのロック解除に必要なパスコードの入力を要求するには[Require a device passcode(デバイス・パスコードを要求)]を選択します。その後、パスコードの要件を指定します。バージョン7.0以降のAndroidデバイスの場合、このセクションを参照してください。

    • [PIN minimum length(PINの最小の長さ)]:PINの最小の長さを指定します(4~30)。
    • [Characters(文字)]:英字や特殊文字を1文字以上含める必要があるかどうかを指定します。
    • [Expiration(有効期限)]:パスコードを有効期限なしにするか(デフォルト)、有効期限が切れるまでの日数([Max age(最大日数)])、およびユーザーが以前のパスコードを再利用する前に作成する必要がある別のパスコードの数([History limit(再使用制限)])を指定します。
    • [Failed attempts before wipe(消去が実行されるまでに試行できる回数)]:デバイスが消去されるまでに許可される、誤ったパスコードの最大入力回数を指定します。以下に留意してください。
      • 誤ったパスコード入力によってデバイスが消去されないようにするには、[Unlimited attempts(試行制限なし)]を選択します。
      • Android for Workでは、[Work(ワーク)]プロファイルのみ消去されます。

      • ユーザーが誤ったパスコードを入力した回数が4回未満ならデバイスは消去されません。
      • デバイスが消去されるまでに、最大で10回の試行失敗を許可できます。
    • [Device lock timeout(デバイスロックタイムアウト)]:表示がオフになってから、デバイスをロック解除するためにユーザーのパスコード入力が必要になるまでの時間を指定します。

    Androidデータの分離

    アンマネージド・アプリがワーク・プロファイルからファイルを開くことを許可するには、[Android Data Separation(Androidデータの分離)]の下の[Work profile can transfer data to personal profile(ワーク・プロファイルはデータを個人プロファイルに転送可能)]を選択します。

    任意選択:Android 7.0+ワークパスコード要件

    ワーク・パスコードのプロンプト

    ワーク・プロファイルにアクセスするためのパスコードを入力するようAndroid 7.0+ユーザーに要求する場合、[Android 7.0+ Work Passcode Requirements(Android 7.0+ワーク・パスコード要件)]の下で[Require Work passcode(ワーク・パスコードを要求)]を選択して、パスコード要件を指定します。

    • [PIN minimum length(PINの最小の長さ)]:PINの最小の長さを指定します(4~30)。
    • [Characters(文字)]:英字や特殊文字を1文字以上含める必要があるかどうかを指定します。
    • [Expiration(有効期限)]:パスコードを有効期限なしにするか(デフォルト)、有効期限が切れるまでの日数([Max age(最大日数)])、およびユーザーが以前のパスコードを再利用する前に作成する必要がある別のパスコードの数([History limit(再使用制限)])を指定します。
    • [Failed attempts before wipe(消去が実行されるまでに試行できる回数)]:デバイスが消去されるまでに許可される、誤ったパスコードの最大入力回数を指定します。以下に留意してください。
      • 誤ったパスコード入力によってデバイスが消去されないようにするには、[Unlimited attempts(試行制限なし)]を選択します。
      • Android for Workでは、[Work(ワーク)]プロファイルのみ消去されます。

      • ユーザーが誤ったパスコードを入力した回数が4回未満ならデバイスは消去されません。
      • デバイスが消去されるまでに、最大で10回の試行失敗を許可できます。
    • [Device lock timeout(デバイスロックタイムアウト)]:表示がオフになってから、デバイスをロック解除するためにユーザーのパスコード入力が必要になるまでの時間を指定します。

    7.0以降でデバイスのパスコードを求める

    重要:Android 7.0+デバイスのユーザー用にワーク・パスコードを構成した場合、上記の[General Requirements(一般要件)]で構成した一般的なデバイス・パスコード・ポリシーは適用されなくなります。これらのユーザーが自分のワーク・プロファイルだけでなくデバイスもロックするように要求するには、ここで[Require a device passcode(デバイス・パスコードを要求)]を選択して、パスコード要件を指定します。

    [PIN minimum length(PINの最小文字数)]:最小限必要な文字数(4~30)

    [Characters(文字)]:英字や特殊文字を少なくとも1文字含む必要があるかを指定できます。

    [Expiration(有効期限)]:無期限(デフォルト)か、何日後に期限が切れるか([Max age(最大日数)])を指定し、ユーザーが古いパスワードを再使用する前に作成する必要がある異なるパスワードの数([History limit(再使用制限)])を指定して、ユーザーが指定期間中に古いパスワードを再使用できなくします。

    [Failed attempts before wipe(消去前の再試行失敗数)]:デバイスが消去される前にエンドユーザーが誤ったパスコードを入力できる回数を指定します。以下に留意してください。

    • 誤ったパスコード入力によってデバイスが消去されないようにするには、[Unlimited attempts(試行制限なし)]を選択します。
    • Android for Workでは、[Work(ワーク)]プロファイルのみ消去されます。

    • ユーザーが誤ったパスコードを入力した回数が4回未満ならデバイスは消去されません。
    • 消去までに10回まで試行できます。

    [Work lock timeout(ワークロックのタイムアウト)]:ドロップダウン・メニューを使用して、デバイスの表示が消去されてからどれだけ時間が経過した後にデバイスをロック解除するかを指定します。注:この設定は、Okta Mobile 2.8以降を実行するAndroidデバイスでのみサポートされています。

既知の問題

  • ユーザーがAndroid 11または12でOkta Mobile 4.21.0を使用していて、デバイスにパスコードが設定されていない場合、デバイスのパスコードなしでアクセスを許可するようにOMMポリシーを変更しても、Play for Workにアクセスできないことがある。ユーザーに次のメッセージが表示されます:「Play for Work is not available. Play for Work is still being enabled, please try again later.(Play for Workを利用できません。Play for Workは現在も有効な状態ですので、しばらくしてからもう一度お試しください。)」Play for Workにアクセスするには、ワーク・プロファイルを再度設定する必要があります。
  • ユーザーがAndroid 11または12でOkta Mobile 4.21.0を使用してAndroid for Workに登録した場合、ワーク・プロファイル用に構成されたアプリが自動的にインストールされない。ただし、ユーザーはPlay for Workアプリ・ストアからアプリをダウンロードできます。
  • ワーク・パスコードとデバイス・パスコードの両方を要求するようにOMMポリシーを構成しても、Android 11または12でOkta Mobile 4.21.0を使用してワーク・プロファイルに登録すると、ワーク・プロファイルのパスワードのみを設定するように求められる。セットアップ・ウィザードでは、ユーザーがデバイスのパスワードを設定するよう要求されることはありません。ワーク・プロファイルのパスワードを設定すると、ユーザーはワーク・アプリにアクセスできるようになります。
  • バージョン7.1または7.1.1を実行しているAndroidデバイスに適用。7.1.2で修正:管理者がグループのワーク・プロファイルのパスコード・ポリシーを強化した後、エンドユーザーは更新されたポリシーに準拠するためにパスコードを更新するよう求められます。エンドユーザーがそれに応えて更新すると、ワーク・プロファイル・パスコードではなくデバイス・パスコードが更新されます。エンドユーザーの[Security(セキュリティ)]設定でデバイスとワーク・プロファイルに異なるパスコードを使用することが許可されている場合、デバイス設定を変更するまで、ワーク・プロファイル・パスコードの更新を促すメッセージが繰り返し表示されます。
  • 2020年11月1日にGoogleはネイティブAndroid・Samsung SAFE登録タイプのサポートを終了しました。OktaはAndroid 10以降を実行するデバイスのOMMポリシールールでネイティブAndroidとSamsung SAFE登録タイプをサポートしなくなります。ネイティブAndroidとSamsung SAFE登録オプションは、Android 9以前のデバイスでは引き続きサポートされます。以下を行ってください。
    • 新しいOMMポリシールールを構成する場合、Android 10+デバイスのユーザーが登録して適合ステータスを維持できるよう、必ずAndroid for Work登録タイプを選択してください。
    • 既存のOMMポリシールールをチェックして、現在ネイティブAndroidやSamsung SAFEオプションで構成されているものをすべて更新するほか、Android for Workオプションが含まれており、Android for Workデバイスのユーザーが登録して適合ステータスを維持できるようにしてください。
    • Android 10+を強制的にAndroid for Work登録オプションに再登録させるには、Okta OMMデバイス・ダッシュボード([OMM] > [Okta Mobility Management])に移動して、ネイティブAndroidまたなSamsung SAFE登録オプションで登録されているAndroid 10+デバイス・ユーザーをすべて登録解除します。

    「通知ログ」を参照してください。

  • Oktaユーザー名とGoogleアカウント名が一致しなければ、「Secure your device(デバイスをセキュア)」メッセージは表示されません。

    前提

    • Android for Work Gsuite Okta Mobility Management(OMM)で構成されたOrg
    • 同じOMMポリシーに割り当てられているがまだOMMに登録されていないユーザー
    • ユーザーのOktaユーザー名(メール・アドレス)がGoogleアカウント・ユーザー名に一致しない
    • ユーザーがOkta Mobile for Androidにサインインする
  • 問題

    Okta Mobility Managementでデバイスをセキュアにするようユーザーに求めるメッセージが表示されない。

関連項目