Androidプラットフォームルールを追加する
- [OMM]メニューは、Okta Mobility Management(OMM)を実装しているOrgのみが利用可能です。
- このページに文書化されている手順は、自organization用にOMMを既に購入されているお客様のみご利用いただけます。OMMの新規ご購入はサポートされていません。詳細については、Oktaサポートにお問い合わせください。
-
Admin Consoleで、に移動します。
-
必要なデバイス・ポリシーをクリックします。
-
[Add Platform Rule(プラットフォーム・ルールを追加)]をクリックします。
-
[Android]を選択します。
- ユーザーがOkta Mobileを通じてAndroidデバイスを登録することを許可するかどうかを指定します。
- [Allow devices(デバイスを許可)]:ユーザーがOMMからmacOSデバイスを登録できるようにするには、このオプションを選択します。このオプションを選択すると、サポートされるデバイスのタイプを指定できます。
- 新しいOMMポリシールールを構成する場合、Android 10+デバイスのユーザーが登録して適合ステータスを維持できるよう、必ずAndroid for Work登録タイプを選択してください。
- 既存のOMMポリシールールをチェックして、現在ネイティブAndroidやSamsung SAFEオプションで構成されているものをすべて更新するほか、Android for Workオプションが含まれており、Android for Workデバイスのユーザーが登録して適合ステータスを維持できるようにしてください。
- Android 10以降のユーザーにAndroid for Workの登録オプションへの再登録を強制するために、Okta OMMデバイスのダッシュボード([OMM]>[Okta Mobility Management])に移動し、ネイティブAndroidまたはSamsung SAFEの登録オプションで登録されている可能性があるAndroid 10以降のデバイスのユーザーの登録を解除します。
Android for Work。このオプションが使用できない場合は、[Set Up AfW(AfWのセットアップ)]をクリックします。
Samsung SAFE
ネイティブAndroid
2020年11月1日にGoogleはネイティブAndroidおよびSamsung SAFE登録タイプのサポートを終了しました。OktaはAndroid 10以降を実行するデバイスのOMMポリシールールでネイティブAndroidとSamsung SAFE登録タイプをサポートしなくなります。ネイティブAndroidとSamsung SAFE登録オプションは、Android 9以前のデバイスでは引き続きサポートされます。以下を行ってください。
「通知ログ」を参照してください。
登録オプションは、優先順位の高い順に並んでいます。複数選択した場合、Oktaは一番上のオプションからデバイスの登録を試みます。選択されたオプションをデバイスがサポートしていない場合、Oktaは選択された次の(下位の)オプションを使用してデバイスの登録を試みます。
- [Deny devices(デバイスを拒否)]:ユーザーがOMMからmacOSデバイスを登録できないようにするには、このオプションを選択し、[保存]をクリックします。手順が完了しました。
- [次へ]をクリックします。
- 一般的なAndroidデバイス・パスコード要件を設定します。
- [Prompt for device passcode(デバイス・パスコードのプロンプト)]:ユーザーにデバイスのパスコードの入力を要求するかどうかを選択します。要求する場合は、以下のように指定します。
- [PIN minimum length(PINの最小の長さ)]:PINの最小の長さを指定します(4~30)。
- [Characters(文字)]:英字や特殊文字を1文字以上含める必要があるかどうかを指定します。
- [Expiration(有効期限)]:パスコードを有効期限なしにするか(デフォルト)、有効期限が切れるまでの日数([Max age(最大日数)])、およびユーザーが以前のパスコードを再利用する前に作成する必要がある個別のパスコードの数([History limit(再使用制限)])を指定します。
- [Failed attempts before wipe(消去が実行されるまでに試行できる回数)]:デバイスが消去されるまでに許可される、誤ったパスコードの最大入力回数を指定します。以下に留意してください。
- 誤ったパスコード入力によってデバイスが消去されないようにするには、[Unlimited attempts(試行制限なし)]を選択します。
- Android for Workでは、[Work(ワーク)]プロファイルのみ消去されます。
- ユーザーが誤ったパスコードを入力した回数が4回未満ならデバイスは消去されません。
- デバイスが消去されるまでに、最大で10回の試行失敗を許可できます。
- [Device lock timeout(デバイスロックタイムアウト)]:表示がオフになってから、デバイスをロック解除するためにユーザーのパスコード入力が必要になるまでの時間を指定します。この設定は、Okta Mobile 2.8以降を実行するAndroidデバイスでのみサポートされています。
- Androidデータの分離の設定を行います。
- [Work profile to personal(ワーク・プロファイルから個人用プロファイルへ)]:個人用プロファイルのアプリがワーク・プロファイルのファイルを開くことを許可するときに選択します。
- ブラウザー(Chromeなど)
- PDFリーダー(Adobe Acrobat Readerなど)
- 画像ビューアー(Googleフォトなど)
- 音楽プレーヤー(Google Play Musicなど)
- 任意。Android 7.0以降のワーク・パスコードの要件を構成します。
注:このセクションは、前述の[Allow Devices(デバイスを許可)]で[Android for Work]を選択した場合のみ表示されます。
- [Prompt for work passcode(作業用パスコードのプロンプト)]:Android 7.0以上のユーザーがデバイス上で管理されたアプリケーションを開くときにパスコードの入力を要求する場合は、このオプションを選択し、以下に示すパスコードの要件を指定します。重要:このオプションを選択すると、一般的なAndroidデバイスのパスコードの要件は、Android 7.0以上のデバイスに適用されなくなります。Android 7.0以上のユーザーに、ワーク・プロファイルだけでなく、デバイス全体をロックさせたい場合は、このオプションと後述の[Prompt for device passcode on 7.0+(7.0以上でデバイスのパスコードのプロンプト)]オプションを選択します。
- [PIN minimum length(PINの最小の長さ)]:PPINの最小の長さを指定します(4~30)。
- [Characters(文字)]:英字や特殊文字を1文字以上含める必要があるかどうかを指定します。
- [Expiration(有効期限)]:パスコードを有効期限なしにするか(デフォルト)、有効期限が切れるまでの日数([Max age(最大日数)])、およびユーザーが以前のパスコードを再利用する前に作成する必要がある個別のパスコードの数([History limit(再使用制限)])を指定します。
- [Failed attempts before wipe(消去が実行されるまでに試行できる回数)]:デバイスが消去されるまでに許可される、誤ったパスコードの最大入力回数を指定します。以下に留意してください。
- 誤ったパスコード入力によってデバイスが消去されないようにするには、[Unlimited attempts(試行制限なし)]を選択します。
- Android for Workでは、[Work(ワーク)]プロファイルのみ消去されます。
- ユーザーが誤ったパスコードを入力した回数が4回未満ならデバイスは消去されません。
- デバイスが消去されるまでに、最大で10回の試行失敗を許可できます。
- [Device lock timeout(デバイス・ロック・タイムアウト)]:表示がオフになってから、デバイスをロック解除するためにユーザーのパスコード入力が必要になるまでの時間を指定します。
注:この設定は、Okta Mobile 2.8以降を実行しているAndroidデバイスでのみサポートされます。
- [Prompt for device passcode on 7.0+(7.0以上でデバイスのパスコードのプロンプト)]:Android 7.0以上のユーザーがデバイスのロックを解除するときにパスコードの入力を要求したい場合は、このオプションを選択します。このオプションを選択した場合、上記の「作業用パスコードのプロンプト」に明示されているパスコードの要件も指定する必要があります。
- [保存]をクリックします。
上記のデータ分離オプションをどのように設定するかにかかわらず、Oktaでは、少なくとも次のタイプのアプリをユーザーにデプロイすることを推奨しています。
「マネージド・アプリの設定」を参照してください。