Android for Workと一緒に使用したOkta Mobility Management

Info

Okta Mobility Managementについて

  • OMMメニューは、Okta Mobility Management(OMM)を実装する組織でのみ使用できます。
  • このページに記載されている手順は、組織ですでにOMMを購入しているお客様のみが利用できます。OMMの新規販売はサポートされていません。詳細については、Oktaサポートにお問い合わせください。

Android for Work(企業内のAndroid)は、企業のモビリティー管理に対するGoogleのソリューションです。Android for Workを介してユーザーをOkta Mobility Management(OMM)に登録すると、暗号化およびコンテナー化されたワーク・プロファイルがデバイス上に作成され、managed Google Playストアがインストールされます。これらを使用すると、BoxやOutlookなどの仕事用アプリの個別の管理対象バージョンを割り当てたり、エンド・ユーザーの個人データを損なわずに、エンド・ユーザーのデバイスから会社のデータを選択的にワイプしたりできます。


サポートされるAndroidのバージョン

  • Android 5.1.1(L)以降

  • Android for Workを有効にする場合は、特定の古いAndroidデバイスでの予期しない動作を防ぐために、OMMユーザーにGoogle Chromeをデプロイすることを強くお勧めします。管理対象アプリのデプロイについては、「管理対象モバイル・アプリへのアクセスの有効化」を参照してください。

  • Android Oデバイスでワーク・プロファイルを構成すると、Google Chromeが自動的にインストールされます。これにより、Android Oのバグが原因で、Webビューを使用するOkta Mobileやその他のアプリがクラッシュするのを防ぎます。詳細については、バグに関するGoogleドキュメンテーションを参照してください。


Android for Workを設定する

手順については、「OktaでAndroid for Workを設定する」を参照してください。


ワーク・プロファイルのパスコード・ポリシーを構成する

OMMでは、サポートされている任意のAndroidデバイスのパスコード・ポリシーを構成できます。これらのポリシーを使用すると、デバイスのロックを解除するために、仕様を満たすパスコードを入力するようにユーザーに要求できます。これらは作成したグループに基づいて適用されるため、ユーザーごとに異なるアクセス・レベルとセキュリティーを設定できます。

柔軟性をさらに高めるために、Android 7.0以降のデバイスを使用するユーザーに対して、個別のワーク・プロファイルのパスコード・ポリシーを設定することもできます。このポリシーを使用すると、ワーク・プロファイルの管理対象アプリにユーザーがアクセスする前にパスコードの入力を求めることができ、個人のアプリやデータにアクセスするときよりも安全なポリシーを、仕事用のリソースへのアクセスに対して設定できます。これにより、会社のデータの安全性を保ちながら、ユーザーは複雑なパスワードを入力することなく簡単に個人用のリソースにアクセスできます。

:Okta Mobile 3.0以降が必要です。

ワーク・プロファイルのパスコード・ポリシーを設定するには、デバイス・ポリシーを作成または編集してから、そのポリシーのAndroidルールを構成する必要があります。

デバイス・ポリシーを作成する

  1. [デバイス] > [モバイル・ポリシー]に移動します。
  2. [OMM] > [OMMポリシー]に移動します。
  3. [デバイス・ポリシーを追加]をクリックし、以下を指定します。
    • 一意の[ポリシー名]
    • オプションの[説明]
    • このポリシーが適用されるユーザーの[グループ]
    • オプションの閉じた[ユーザー同意書]

      このボックスを選択する場合は、テキスト・フィールドに簡単なカスタムのユーザー同意書を入力します。この同意書がエンド・ユーザーのデバイスに表示され、エンド・ユーザーはOMMの登録に進む前に同意書に同意する必要があります。OMM登録プロセスの一環として、OMMに登録すると管理者がデバイスをある程度制御できるようになるという警告がエンド・ユーザーに表示されます。このユーザー同意書は、エンド・ユーザーの同意が必要な追加のカスタム利用規約を提供するための機会です。
  4. [保存してプラットフォーム・ルールを追加]をクリックし、[Android]を選択して続行します。

既存のデバイス・ポリシーを編集する

正しいグループに割り当てられている既存のポリシーがある場合は、それを編集してワーク・プロファイルのパスコード・ポリシーを含めることができます。

  1. [デバイス] > [モバイル・ポリシー]に移動します。
  2. [OMM] > [OMMポリシー]に移動します。
  3. 編集するポリシーを選択します。
  4. ポリシーにすでにAndroidルールがある場合は、鉛筆アイコンをクリックしてルールを編集します。それ以外の場合は、[プラットフォーム・ルールを追加]をクリックし、[Android]を選択して続行します。

ワーク・プロファイルのパスコードを使用してAndroidルールを構成する

  1. [デバイス] > [モバイル・ポリシー]に移動します。
  2. [OMM] > [OMMポリシー]に移動します。
  3. [デバイスを許可]を選択します。
  4. [Android for Work]を選択します。このオプションが無効になっている場合は、[AfWを設定]をクリックします。
  5. [次へ]をクリックし、必要に応じて、次のセクションで設定を構成します。
  6. 一般的なAndroidデバイスのパスコードの要件

    7.0より前のAndroidデバイスの場合7.0より前のバージョンのAndroidを実行しているユーザーに、デバイスのロックを解除するためのパスコードの入力を求める場合は、[デバイスのパスコードを求める]を選択します。次に、パスコードの要件を指定します。7.0以降のAndroidデバイスについては、このセクションを参照してください。

    • [PINの最小の長さ]:PINの最小の長さ(4~30)を指定します。
    • [文字]:パスコードに、少なくとも1つの文字または1つの記号、あるいはその両方を含める必要があるかどうかを指定します。
    • [有効期限切れ]:パスコードが期限切れにならないよう指定するか(デフォルト)、期限切れになるまでの有効日数([最長期間])および以前のパスコードを再利用する前にユーザーが作成する必要のある異なるパスコードの数([履歴の制限])を指定します。
    • [ワイプが実行されるまでに試行できる回数]:デバイスがワイプされるまでに、ユーザーが間違ったパスコードを入力できる最大回数を指定します。次の点に注意してください。
      • パスコードの試行の失敗によってデバイスをワイプしない場合は、[試行制限なし]を選択します。
      • Android for Workでは、ワーク・プロファイルだけがワイプの対象となります。

      • ユーザーが間違ったパスコードを3回まで入力しても、デバイスはワイプされません
      • デバイスがワイプされるまでに、最大で10回の試行失敗を許可できます。
    • [デバイス・ロック・タイムアウト]:表示がオフになってから、 デバイスのロックを解除するためにユーザーのパスコード入力が必要になるまでの時間を指定します。

      注:Okta Mobile 2.8以降を実行しているAndroidデバイスでのみサポートされます。


    Androidのデータの分離

    管理対象外のアプリがワーク・プロファイルからファイルを開くことを許可する場合は、[Androidのデータの分離]の下にある[ワーク・プロファイルでデータを個人用プロファイルに転送できます]を選択します。


    オプション:Android 7.0以降のワーク・パスコードの要件

    ワーク・パスコードを求める

    Android 7.0以降のユーザーがワーク・プロファイル内のアプリにアクセスするためにパスコードの入力を求める場合は、[Android 7.0以降のワーク・パスコードの要件]の下にある[ワーク・パスコードを求める]を選択します。

    • [PINの最小の長さ]:PINの最小の長さ(4~30)を指定します。
    • [文字]:パスコードに、少なくとも1つの文字または1つの記号、あるいはその両方を含める必要があるかどうかを指定します。
    • [有効期限切れ]:パスコードが期限切れにならないよう指定するか(デフォルト)、期限切れになるまでの有効日数([最長期間])および以前のパスコードを再利用する前にユーザーが作成する必要のある異なるパスコードの数([履歴の制限])を指定します。
    • [ワイプが実行されるまでに試行できる回数]:デバイスがワイプされるまでに、ユーザーが間違ったパスコードを入力できる最大回数を指定します。次の点に注意してください。
      • パスコードの試行の失敗によってデバイスをワイプしない場合は、[試行制限なし]を選択します。
      • Android for Workでは、ワーク・プロファイルだけがワイプの対象となります。

      • ユーザーが間違ったパスコードを3回まで入力しても、デバイスはワイプされません
      • デバイスがワイプされるまでに、最大で10回の試行失敗を許可できます。
    • [デバイス・ロック・タイムアウト]:表示がオフになってから、 デバイスのロックを解除するためにユーザーのパスコード入力が必要になるまでの時間を指定します。

      注:Okta Mobile 2.8以降を実行しているAndroidデバイスでのみサポートされます。

    7.0以降でデバイスのパスコードを求める

    重要:Android 7.0以降のデバイスを使用するユーザーに対してワーク・パスコードを構成した場合、一般的な要件上記で構成した一般的なデバイス・パスコード・ポリシーは適用されなくなります。 これらのユーザーにデバイスのロックとワーク・プロファイルを求める場合は、ここで[デバイスのパスコードを求める]を選択し、パスコードの要件を指定します。

    [PINの最小の長さ]:必要な最小文字数(4~30)。

    [文字]:パスコードに、少なくとも1つの文字または1つの記号、あるいはその両方を含める必要があるかどうかを指定できます。

    [有効期限切れ]:パスコードは無期限(デフォルト)にするか、有効期限が切れるまでの日数([最長期間])と、ユーザーが以前のパスワードを再利用できるようになるまでに作成する必要がある異なるパスワードの数([履歴の制限]。ユーザーが以前のパスワードを指定された期間再利用できないようにします)を指定することができます。

    [ワイプが実行されるまでに試行できる回数]:デバイスがワイプされるまでに、エンド・ユーザーが間違ったパスコードを入力できる最大回数を指定します。次の点に注意してください。

    • パスコードの試行の失敗によってデバイスをワイプしない場合は、[試行制限なし]を選択します。
    • Android for Workでは、ワーク・プロファイルだけがワイプの対象となります。

    • ユーザーが間違ったパスコードを3回まで入力しても、デバイスはワイプされません
    • ワイプが行われるまでに最大で10回の試行を許可できます。

    [ワーク・ロック・タイムアウト]:ドロップダウン・メニューを使用して、デバイスの表示がオフになってから、デバイスのロックを解除するためにパスコードが必要になるまでの時間を指定します。注: この設定は、Okta Mobile 2.8以降を実行しているAndroidデバイスでのみサポートされます。


既知の問題

  • 参照:

  • バージョン7.1または7.1.1を実行しているAndroidデバイスに適用。7.1.2で修正:管理者がグループのワーク・プロファイルのパスコード・ポリシーを強化した後、エンド・ユーザーは更新されたポリシーに準拠するためにパスコードを更新するよう求められます。しかし、エンド・ユーザーが求めに応じると、ワーク・プロファイルのパスコードではなくデバイスのパスコードが更新されます。エンド・ユーザーの[セキュリティー]設定でデバイスとワーク・プロファイルの異なるパスコードが許可されている場合、デバイス設定でワーク・プロファイルのパスコードを変更するまで、更新を求められ続けます。
  • 2020年11月1日に、GoogleはネイティブAndroidおよびSamsung SAFEの登録タイプのサポートを終了しました。Oktaでは、Android 10以降を実行しているデバイスのOMMポリシー・ルールで、ネイティブAndroidおよびSamsung SAFEの登録タイプがサポートされなくなります。 Android 9以前のデバイスでは、ネイティブAndroidおよびSamsung SAFEの登録オプションが引き続き機能します。以下を行います。
    • 新しいOMMポリシー・ルールを構成する場合は、Android 10以降のデバイスのユーザーが登録して引き続き準拠できるように、Android for Workの登録タイプを選択してください。
    • 既存のOMMポリシー・ルールを確認し、ネイティブAndroidやSamsung SAFEのオプションで現在構成されているものを更新して、Android 10以降のデバイスのユーザーが登録して引き続き準拠できるように、Android for Workのオプションも含めるようにしてください。
    • Android 10以降のユーザーにAndroid for Workの登録オプションへの再登録を強制するために、Okta OMMデバイスのダッシュボード([OMM] > [Okta Mobility Management])に移動し、ネイティブAndroidまたはSamsung SAFEの登録オプションで登録されている可能性があるAndroid 10以降のデバイスのユーザーの登録を解除します。

    詳細については、「お知らせのログ」を参照してください。

  • Oktaユーザー名とGoogleアカウント名が一致しない場合、デバイスを保護するためのメッセージが表示されない

    前提

    • Android for Work Gsuite Okta Mobility Management(OMM)で構成された組織
    • 同じOMMポリシーに割り当てられていて、まだOMMに登録されていないユーザー
    • ユーザーのOktaユーザー名(メール・アドレス)がGoogleアカウントのユーザー名と一致しない
    • ユーザーがOkta Mobile for Androidにサインインする
  • 問題

    Okta Mobility Managementでデバイスを保護するように求めるメッセージがユーザーに表示されません。


関連項目