このページでは、エンタープライズ向けの新しい API、機能、 Android 12(API レベル 31)で導入された動作変更。
仕事用プロファイル
Android 12 では、仕事用プロファイルの以下の新機能を利用できます。
仕事用プロファイルのセキュリティとプライバシーの強化
Android 12 では、仕事用プロファイルが設定されている個人用デバイスで以下の機能を利用できます。
- パスワードの複雑さ機能では、事前定義された複雑さバケット(高、中、低、なし)の形式で、デバイス全体のパスワード要件が設定されます。必要であれば、厳格なパスワード要件を仕事用プロファイルのセキュリティ チャレンジに適用できます。
- 仕事用プロファイルのセキュリティ チャレンジのオンボーディングが簡素化されました。セットアップでは、デバイス パスコードが管理者要件を満たしているかどうかが考慮されるようになりました。また、ユーザーはデバイスのパスコードの強度を上げるか、仕事用プロファイルのセキュリティ チャレンジを使用するかを簡単に選択できるようになりました。
- 登録固有の ID は、特定の組織内の仕事用プロファイル登録を識別する一意の ID を提供し、出荷時の設定にリセットしても、安定した状態を維持します。Android 12 の仕事用プロファイルが設定された個人用デバイスでは、デバイスのその他のハードウェア ID(IMEI、MEID、シリアル番号)へのアクセス権が削除されます。
- 会社所有デバイスでは、仕事用プロファイルの有無にかかわらず、上記のリスト項目に記載された機能を導入できますが、Android 12 での導入は必須ではありません。
- 仕事用プロファイルのネットワーク ロギングを設定してログを取得できます。仕事用プロファイルのネットワーク ロギングを、別の仕事用アプリに委任できます。ネットワーク ロギングを使用して個人用プロファイルのトラフィックを監視することはできません。
- ユーザーは、仕事用プロファイルのアプリのプライバシーをさらに細かく管理できます。IT 管理者が拒否しない限り、以下の権限を仕事用プロファイルのアプリに付与できます。また、仕事用プロファイルのアプリごとに以下の権限を許可または拒否することが可能です。
- 位置情報
- カメラ
- マイク
- ボディセンサー
- 身体活動
会社所有デバイス
会社所有デバイスでは以下の新機能を利用できます。「会社所有デバイス」とは、完全管理対象デバイスと会社所有の仕事用プロファイル デバイスの両方を指します。
IT 管理者は、会社所有デバイスの USB を無効にすることができます(充電機能を除く)。この機能では、デバイスでこの機能がサポートされているかどうかの確認と、現在有効になっているかどうかの確認を行えます。
仕事用プロファイルが設定されている会社所有デバイスでは、個人用プロファイルで使用されている入力方法を制限して、システムでの入力方法のみを許可できます。
Android 12 では、委任スコープを作成できます。セキュリティ ログイベントを有効にして収集するには、
setDelegatedScopes()
を呼び出してDELEGATION_SECURITY_LOGGING
を渡します。セキュリティ ロギングにより、組織はデバイスから使用状況データを収集して、悪意のある動作や危険な動作がないか解析し、プログラムによって評価できます。委任先アプリでは、セキュリティ ロギングの有効化、ロギングが有効であることの確認、セキュリティ ログの取得を行うことができます。
その他
以下のセクションでは、仕事用プロファイルまたは会社所有デバイスに固有のエンタープライズ API の変更点について説明します。
管理対象外デバイスの証明書管理
管理対象外デバイスで、Android のオンデバイス鍵生成を利用して証明書を管理できるようになりました。
- ユーザーは、認証情報(CA 証明書を除く)を管理する権限を証明書管理アプリに付与できます。
- 証明書管理アプリは、Android のオンデバイス鍵生成を使用できます。
- 証明書管理アプリは、認証に認証情報を使用できるアプリと URI のリストを宣言できます。
新しい API は次の機能を提供します。
- 既存のデバイス全体のパスワードが明示的なデバイス パスワード要件に沿っているかどうかをチェックする。
- 証明書と秘密鍵が特定のエイリアスでインストールされているかどうかをチェックする。
完全管理対象デバイスのプライバシーと透明性の強化
IT 管理者はプロビジョニング時に、権限付与を管理するか、センサー関連の権限付与の管理を無効にするかを選択できます。管理者が権限を管理することを選択した場合、設定ウィザードでユーザーに明示的なメッセージが表示されます。管理者が無効にすることを選択した場合、ユーザーはアプリを初めて使用する際に、アプリ内の権限を許可または拒否することを求められます。管理者はいつでも権限を拒否できます。
ネットワーク設定
Device Policy Controller(DPC)は、 位置情報の利用許可を必要とせずに、 新しい API getCallerConfiguredNetworks 既存の API を使わずに getConfiguredNetworks (位置情報の利用許可が必要です)。返されるネットワークのリストは ネットワークに接続できます
完全管理対象デバイスでは、DPC を使用して、管理者が提供するネットワークのみがデバイスに設定されていることを確認できます。この場合も位置情報の利用許可は必要ありません。
管理者は、認証のために Wi-Fi サブシステムに KeyChain 鍵を付与し、その鍵を使って企業の Wi-Fi ネットワークを設定することで、セキュア ハードウェアで生成された鍵を Wi-Fi 認証に使用できます。
接続されているアプリの自動付与
ユーザー エクスペリエンスを向上させるため、プリロードされているアプリには、 自動的に付与され、 個人用データと仕事用データを共有するための設定が必要です。
Android 11 以降の場合:
- デバイスの OEM、プリロードされたアシストアプリ、またはプリロードされたデフォルトの IME によって異なる
- Google アプリ(プリロードされている場合)。
- Gboard アプリ(プリロードされている場合)と、デフォルトの IME アプリ。
Android 12 以降の場合:
- Android Auto アプリ(プリロードされている場合)。
利用できるアプリは、デバイスの OEM によって異なります。
サポートの終了
Android 12 では次の API のサポートが終了したのでご注意ください。
setPasswordQuality()
とgetPasswordQuality()
は、会社所有ではなく個人用の仕事用プロファイル デバイスに対して、デバイス全体のパスコードを設定する機能をサポートしなくなりました。DPC は代わりにsetRequiredPasswordComplexity()
を使用する必要があります。setOrganizationColor()
とgetOrganizationColor()
は、Android 12 で完全にサポートが終了しました。- Android 12 では
android.app.action.PROVISION_MANAGED_DEVICE
をご利用いただけなくなりました。DPC は、ACTION_GET_PROVISIONING_MODE
およびACTION_ADMIN_POLICY_COMPLIANCE
インテント アクションのインテント フィルタを持つアクティビティを実装する必要があります。ACTION_PROVISION_MANAGED_DEVICE
を使用してプロビジョニングを開始すると、プロビジョニングに失敗します。Android 11 以前を引き続きサポートするには、EMM でPROVISION_MANAGED_DEVICE
定数のサポートを継続する必要があります。 - Android 12 以降をターゲットとするすべての仕事用プロファイル デバイスにセンサー関連の権限を付与する場合の、
setPermissionPolicy()
とsetPermissionGrantState()
のサポートが終了しました。これにより、次の点が変更されます。- Android 11 から Android 12 にアップグレードするデバイスでは、すでに付与されている権限はそのまま残りますが、新しい権限を付与することはできません。
- 権限を拒否する機能は残ります。
- 管理者が付与する権限に依存するアプリを開発および配信する場合は、推奨される方法に従って権限をリクエストする必要があります。
- 推奨される方法に従って権限をリクエストすることで、アプリは引き続き想定どおりに機能します。ユーザーは権限を付与するよう求められます。ユーザーがどのような選択をした場合でも、アプリが適切に処理できるようにしておく必要があります。
- 管理者が付与する権限に依存していながら、ガイドラインを遵守することなく、権限で保護されたリソースに明示的にアクセスするアプリは、クラッシュする可能性があります。
詳細
アプリに影響する可能性がある他の変更については、Android 12 の動作変更(Android 12 をターゲットとするアプリおよびすべてのアプリ)に関するページをご覧ください。