こんにちは!竹内です!
近年、リモートワークの増加などにより、会社で使用するデバイスの管理に対するお悩みの声を聞くこともあります。
例えばBYODはセキュリティを一貫させるのが難しくてコストもかかるし、BYODはセキュリティリスクが高くてサポートが大変。COPEはプライバシーとデータ管理がややこしい等々…
しかし、COBOなら企業がデバイスを提供して従業員が自由に使えるため、セキュリティとコストのバランスが取れて、従業員の満足度もアップします。
そこで今回は IntuneでAndroidを完全管理する方法について、メリットと手順をご紹介します!
BYOD (Bring Your Own Device) | COPE (Corporate Owned, Personally Enabled) | COBO (Corporate Owned, Business Only) | |
端末 | 従業員の私物 | 会社が支給 | 会社が支給 |
私的利用 | ⌾ | ⌾ | × |
Google Play ストア(従業員によるアプリのダウンロード) | ⌾ | ⌾ | × |
端末管理(設定や使用状況の確認など) | △ | ○ | ⌾ |
セキュリティ対策 | △ | ○ | ⌾ |
使用環境の例 | リモートワークやフレキシブルな業務環境 ex. IT企業、スタートアップ、教育機関 | 業務と私用のバランスが求められる環境 ex.製造業、販売業、コンサルティング業 | 高セキュリティが求められる業務環境 ex.金融業界、政府機関、医療機関 |

- 1.完全管理(COBO)のメリットとは?
- 2.設定手順
- 2-1.登録プロファイルを作成
- 2-2.Entraグループを作成
- 2-3.QRでトークンを表示
- 2-4.デバイスを登録する
- 2-5.設定した結果
3.まとめ
1. 完全管理(COBO)のメリットとは?
COBO(Corporate Owned, Business Only)のメリットは端末の個人利用を完全に禁止できることです!
COBOでは企業が業務用のデバイスを従業員に一律で支給し、そのデバイスを業務以外で利用しないように管理することです。BYOD方式のように、個人スマホを業務利用すると、そのスマホの使い方は従業員次第になってしまいます。デバイスが個人所有である以上、私的利用の制限は簡単ではありません。
とはいえ、近年リモートワークが広まりセキュリティ管理のされていないスマホを利用したことによる情報漏洩などのリスクが増えてきています。BYOD方式では、このリスクを防ぐのは困難です。
そこで、COBO方式でデバイスの個人利用を完全に禁止すれば、高水準の情報セキュリティ対策を実現することができるのです。
2.設定手順
2-1: 登録プロファイルを作成
1.Microsoft Intune 管理センターを開き、「デバイス」をクリックします。

2.「登録」をクリックします。

3.「Android」をクリックします。

4.「会社が所有する完全に管理されたユーザーデバイス」をクリックします。

5.「ポリシーの作成」をクリックします。

6.下記のように設定します。
—————————————-
名前:任意の名前を入力します。※ここでは「検証用_Androidを完全管理」と入力します。
説明:無記入※任意で説明を追加できます。
トークンの種類:企業所有、フルマネージド(規定)
—————————————-

7.「次へ」をクリックします。

8.「作成」をクリックします。

9.プロファイルが作成されました。

2-2: Entraグループを作成
1.Microsoft Entra 管理センターを開き、「グループ」のプルダウンを開きます。

2.「すべてのグループ」をクリックします。

3.下記のように設定します。
—————————————-
グループの種類:セキュリティ
グループ名:グループ名を記入※ここでは「検証用_Android完全管理グループ」と入力します。
グループの説明:無記入※任意で説明を追加できます。
グループにMicroSoft Entraロールを割り当てることができる:いいえ
メンバーの種類:動的デバイス
—————————————-

4.「動的クエリ」をクリックします。

5.プロパティを「enrollmentProfileName」に設定します。

6.演算子を「Eqials」に設定します。

7.値を、先ほど作成した登録プロファイル名にします。
※2-1.手順6 参照

8.「保存」をクリックします。
9.「作成」をクリックします。
10.グループが作成されました。
2-3: QRでトークンを表示
1.先ほど作成した登録プロファイルを開きます。
※2-1 参照
2.「トークン」をクリックします。

3.QRコードを表示させます。
※2-4.手順3 でこれを読み取ります。
2-4: デバイスを登録する
1.言語を日本語に変更します。

2.「ようこそ」の辺りを5回程タップします。
※連続でタップしていると「あと○回でQRコードのセットアップを開始できます」という表示が出ます。

3. PCの「トークン」画面にあるQRコードをスキャンします。
※2-3 手順4 参照

4.WiFiを選択します。

5.パスワードを入力し接続します。
※今回はキャリア契約していないデモ機で行ったため、WiFiに接続しています。
キャリア契約しているデバイスの場合、この手順は不要です。

6.セットアップをしているので、そのまま待ちます。

7.「次へ」をクリックします。
※フルマネージド(完全管理)デバイスとして設定できたことが確認できます!

8.「同意して続行」をクリックします。

9.「次へ」をクリックします。
※ここでもフルマネージドデバイスであることが確認できます!

10.「続行」をクリックします。

11.Microsoft のアカウントを入力し、[次へ]をクリックします。

12.パスワードを入力し、[サインイン]をクリックします。

13.セットアップしているので、そのまま待ちます。

14.引き続きセットアップしているので、そのまま待ちます。

15.インストールをクリックします。

16.インストールが完了するまで待機します。

17.「完了」をクリックします。

18.「設定」をクリックします。

19.サインインをクリックします。

20.続行をクリックします。

21.「登録」をクリックします。

22.また同じポップアップが出てきました。
「続行」をクリックします。

23.「次へ」をクリックします。

24.「もっと見る」をクリックします。

25.「同意する」をクリックします。

26.「OK」をクリックします。

27.設定が完了しました。

設定した結果
■COBO端末としての登録確認
1.Intuneからデバイスがフルマネージドデバイスとして登録されていることが確認できます。

2.デバイス側でもフルマネージドデバイスであることが確認できます。

■アプリを配布してみる
※今回はTeamsが入っていなかったので入れてみました。

4.設定どおりデバイスにTeamsが入りました!
■COBO管理されている端末はどんな感じ?
1.設定>セキュリティとプライバシー>仕事用ポリシーの情報>デバイスに影響を与えるポリシー という順序で進めていくと「4個の仕事用アプリをアンインストールできません」という表示がされています。COBO管理端末ではアプリのインストールだけでなくアンインストールも不可能ということがわかります。

ちなみに「仕事用アプリ」をクリックすると、管理側でインストールしたアプリが表示されます。先ほどインストールしたTeamsも入っていますね。

2.設定>セキュリティとプライバシー>セキュリティの詳細設定>管理対象のデバイス情報 という順序で進めていくと「変更と設定はyjk365によって管理されています」という表示が出ます。
基本的にユーザー側では何もできないことがわかります。

「管理対象のデバイス情報」をクリックすると以下の項目が確認できます。
————————————–
組織が表示できる情報の種類
組織の管理者による変更
このデバイスへのアクセス
————————————–

■アプリをインストールしようとすると…
1.「Playストア」を開きます。

2.通常のPlayストアがそもそも開かれません。

3.試しにFacebookを検索してみます。

4.何も表示されませんでした。
ユーザー側ではなにもアプリを入れることができないため安心です。

まとめ
COBOを導入すると、セキュリティの強化をはじめ多くのメリットがあります。高いセキュリティ要件を満たす必要がある企業や従業員数が多い企業には、COBOが有効かと思います。また一元管理が可能になることでBYODに比べ情シスの負担が減るのもメリットの一つですね。COBOを含め自社にあった管理方針を見つけていきましょう!
その他お困りごとも動画で解説!
