Androidプラットフォームルールを追加する
- [OMM]メニューは、Okta Mobility Management(OMM)を実装しているOrgのみが利用可能です。
- このページに文書化されている手順は、自organization用にOMMを既に購入されているお客様のみご利用いただけます。OMMの新規ご購入はサポートされていません。詳細については、Oktaサポートにお問い合わせください。
-
Admin Consoleで、に移動します。
-
必要なデバイスポリシーをクリックします。
-
[Add Platform Rule(プラットフォームルールを追加)]をクリックします。
-
[Android]を選択します。
- ユーザーがOkta Mobileを通じてAndroidデバイスを登録することを許可するかどうかを指定します。
- [Allow devices(デバイスを許可)]:ユーザーがOMMからmacOSデバイスを登録できるようにするには、このオプションを選択します。このオプションを選択すると、サポートされるデバイスのタイプを指定できます。
- 新しいOMMポリシールールを構成する場合、Android 10+デバイスのユーザーが登録して適合ステータスを維持できるよう、必ずAndroid for Work登録タイプを選択してください。
- 既存のOMMポリシールールをチェックして、現在ネイティブAndroidやSamsung SAFEオプションで構成されているものをすべて更新するほか、Android for Workオプションが含まれており、Android for Workデバイスのユーザーが登録して適合ステータスを維持できるようにしてください。
- Android 10以降のユーザーにAndroid for Workの登録オプションへの再登録を強制するために、Okta OMMデバイスのダッシュボード()に移動し、ネイティブAndroidまたはSamsung SAFEの登録オプションで登録されている可能性があるAndroid 10以降のデバイスのユーザーの登録を解除します。
Android for Work。このオプションが使用できない場合は、[Set Up AfW(AfWのセットアップ)]をクリックします。
Samsung SAFE
ネイティブAndroid
2020年11月1日にGoogleはネイティブAndroidおよびSamsung SAFE登録タイプのサポートを終了しました。OktaはAndroid 10以降を実行するデバイスのOMMポリシールールでネイティブAndroidとSamsung SAFE登録タイプをサポートしなくなります。ネイティブAndroidとSamsung SAFE登録オプションは、Android 9以前のデバイスでは引き続きサポートされます。以下を行ってください。
「通知ログ」を参照してください。
登録オプションは、優先順位の高い順に並んでいます。複数選択した場合、Oktaは一番上のオプションからデバイスの登録を試みます。選択されたオプションをデバイスがサポートしていない場合、Oktaは選択された次の(下位の)オプションを使用してデバイスの登録を試みます。
- [Deny devices(デバイスを拒否)]:ユーザーがOMMからmacOSデバイスを登録できないようにするには、このオプションを選択し、[Save(保存)]をクリックします。手順が完了しました。
- [Next(次へ)]をクリックします。
- 一般的なAndroidデバイスパスコード要件を設定します。
- [Prompt for device passcode(デバイスパスコードのプロンプト)]:ユーザーにデバイスのパスコードの入力を要求するかどうかを選択します。要求する場合は、以下のように指定します。
- [PIN minimum length(PINの最小の長さ)]:PINの最小の長さを指定します(4~30)。
- [Characters(文字)]:英字や特殊文字を1文字以上含める必要があるかどうかを指定します。
- [Expiration(有効期限)]:パスコードを有効期限なしにするか(デフォルト)、有効期限が切れるまでの日数([Max age(最大日数)])、およびユーザーが以前のパスコードを再利用する前に作成する必要がある個別のパスコードの数([History limit(再使用制限)])を指定します。
- [Failed attempts before wipe(消去が実行されるまでに試行できる回数)]:デバイスが消去されるまでに許可される、誤ったパスコードの最大入力回数を指定します。以下に留意してください。
- 誤ったパスコード入力によってデバイスが消去されないようにするには、[Unlimited attempts(試行制限なし)]を選択します。
- Android for Workでは、[Work(ワーク)]プロファイルのみ消去されます。
- ユーザーが誤ったパスコードを入力した回数が4回未満ならデバイスは消去されません。
- デバイスが消去されるまでに、最大で10回の試行失敗を許可できます。
- [Device lock timeout(デバイスロックタイムアウト)]:表示がオフになってから、デバイスをロック解除するためにユーザーのパスコード入力が必要になるまでの時間を指定します。この設定は、Okta Mobile 2.8以降を実行するAndroidデバイスでのみサポートされています。
- Androidデータの分離の設定を行います。
- [Work profile to personal(ワークプロファイルから個人用プロファイルへ)]:個人用プロファイルのアプリがワークプロファイルのファイルを開くことを許可するときに選択します。
- ブラウザー(Chromeなど)
- PDFリーダー(Adobe Acrobat Readerなど)
- 画像ビューアー(Googleフォトなど)
- 音楽プレーヤー(Google Play Musicなど)
- 任意。Android 7.0以降のワークパスコードの要件を構成します。
注:このセクションは、前述の[Allow Devices(デバイスを許可)]で[Android for Work]を選択した場合のみ表示されます。
- [Prompt for work passcode(作業用パスコードのプロンプト)]:Android 7.0以上のユーザーがデバイス上で管理されたアプリケーションを開くときにパスコードの入力を要求する場合は、このオプションを選択し、以下に示すパスコードの要件を指定します。重要:このオプションを選択すると、一般的なAndroidデバイスのパスコードの要件は、Android 7.0以上のデバイスに適用されなくなります。Android 7.0以上のユーザーに、ワークプロファイルだけでなく、デバイス全体をロックさせたい場合は、このオプションと後述の[Prompt for device passcode on 7.0+(7.0以上でデバイスのパスコードのプロンプト)]オプションを選択します。
- [PIN minimum length(PINの最小の長さ)]:PPINの最小の長さを指定します(4~30)。
- [Characters(文字)]:英字や特殊文字を1文字以上含める必要があるかどうかを指定します。
- [Expiration(有効期限)]:パスコードを有効期限なしにするか(デフォルト)、有効期限が切れるまでの日数([Max age(最大日数)])、およびユーザーが以前のパスコードを再利用する前に作成する必要がある個別のパスコードの数([History limit(再使用制限)])を指定します。
- [Failed attempts before wipe(消去が実行されるまでに試行できる回数)]:デバイスが消去されるまでに許可される、誤ったパスコードの最大入力回数を指定します。以下に留意してください。
- 誤ったパスコード入力によってデバイスが消去されないようにするには、[Unlimited attempts(試行制限なし)]を選択します。
- Android for Workでは、[Work(ワーク)]プロファイルのみ消去されます。
- ユーザーが誤ったパスコードを入力した回数が4回未満ならデバイスは消去されません。
- デバイスが消去されるまでに、最大で10回の試行失敗を許可できます。
- [Device lock timeout(デバイスロックタイムアウト)]:表示がオフになってから、デバイスをロック解除するためにユーザーのパスコード入力が必要になるまでの時間を指定します。
注:この設定は、Okta Mobile 2.8以降を実行しているAndroidデバイスでのみサポートされます。
- [Prompt for device passcode on 7.0+(7.0以上でデバイスのパスコードのプロンプト)]:Android 7.0以上のユーザーがデバイスのロックを解除するときにパスコードの入力を要求したい場合は、このオプションを選択します。このオプションを選択した場合、上記の「作業用パスコードのプロンプト」に明示されているパスコードの要件も指定する必要があります。
- [Save(保存)]をクリックします。
上記のデータ分離オプションをどのように設定するかにかかわらず、Oktaでは、少なくとも次のタイプのアプリをユーザーにデプロイすることを推奨しています。
「マネージドアプリの設定」を参照してください。