Android 12 のエンタープライズ向けの新機能

このページでは、Android 12(API レベル 31)で導入されたエンタープライズ向けの新しい API、機能、動作変更の概要について説明します。

仕事用プロファイル

Android 12 では、仕事用プロファイルの以下の新機能を利用できます。

仕事用プロファイルのセキュリティとプライバシーの強化

Android 12 では、仕事用プロファイルが設定されている個人用デバイスで以下の機能を利用できます。

  • パスワードの複雑さ機能では、事前定義された複雑さバケット(高、中、低、なし)の形式で、デバイス全体のパスワード要件が設定されます。必要であれば、厳格なパスワード要件を仕事用プロファイルのセキュリティ チャレンジに適用できます。
  • 仕事用プロファイルのセキュリティ チャレンジのオンボーディングが簡素化されました。セットアップでは、デバイス パスコードが管理者要件を満たしているかどうかが考慮されるようになりました。また、ユーザーはデバイスのパスコードの強度を上げるか、仕事用プロファイルのセキュリティ チャレンジを使用するかを簡単に選択できるようになりました。
  • 登録固有の ID は、特定の組織内の仕事用プロファイル登録を識別する一意の ID を提供し、出荷時の設定にリセットしても、安定した状態を維持します。Android 12 の仕事用プロファイルが設定された個人用デバイスでは、デバイスのその他のハードウェア ID(IMEI、MEID、シリアル番号)へのアクセス権が削除されます。
  • 会社所有デバイスでは、仕事用プロファイルの有無にかかわらず、上記のリスト項目に記載された機能を導入できますが、Android 12 での導入は必須ではありません。
  • 仕事用プロファイルのネットワーク ロギングを設定してログを取得できます。仕事用プロファイルのネットワーク ロギングを、別の仕事用アプリに委任できます。ネットワーク ロギングを使用して個人用プロファイルのトラフィックを監視することはできません。
  • ユーザーは、仕事用プロファイルのアプリのプライバシーをさらに細かく管理できます。IT 管理者が拒否しない限り、以下の権限を仕事用プロファイルのアプリに付与できます。また、仕事用プロファイルのアプリごとに以下の権限を許可または拒否することが可能です。
    • 位置情報
    • カメラ
    • マイク
    • ボディセンサー
    • 身体活動

会社所有デバイス

会社所有デバイスでは以下の新機能を利用できます。「会社所有デバイス」とは、完全管理対象デバイス会社所有の仕事用プロファイル デバイスの両方を指します。

その他

以下のセクションでは、仕事用プロファイルまたは会社所有デバイスに固有のエンタープライズ API の変更点について説明します。

管理対象外デバイスの証明書管理

管理対象外デバイスで、Android のオンデバイス鍵生成を利用して証明書を管理できるようになりました。

  • ユーザーは、認証情報(CA 証明書を除く)を管理する権限を証明書管理アプリに付与できます。
  • 証明書管理アプリは、Android のオンデバイス鍵生成を使用できます。
  • 証明書管理アプリは、認証に認証情報を使用できるアプリと URI のリストを宣言できます。

新しい API は次の機能を提供します。

完全管理対象デバイスのプライバシーと透明性の強化

IT 管理者はプロビジョニング時に、権限付与を管理するか、センサー関連の権限付与の管理を無効にするかを選択できます。管理者が権限を管理することを選択した場合、設定ウィザードでユーザーに明示的なメッセージが表示されます。管理者が無効にすることを選択した場合、ユーザーはアプリを初めて使用する際に、アプリ内の権限を許可または拒否することを求められます。管理者はいつでも権限を拒否できます。

ネットワークの構成

Device Policy Controller(DPC)は、既存の API getConfiguredNetworks(位置情報の利用許可が必要)ではなく、新しい API getCallerConfiguredNetworks を使用することで、位置情報の利用許可を必要とせずにデバイスの構成済みネットワークのリストを取得できます。返されるネットワークのリストは、仕事用ネットワークに限定されます。

完全管理対象デバイスでは、DPC を使用して、管理者が提供するネットワークのみがデバイスに設定されていることを確認できます。この場合も位置情報の利用許可は必要ありません。

管理者は、認証のために Wi-Fi サブシステムに KeyChain 鍵を付与し、その鍵を使って企業の Wi-Fi ネットワークを設定することで、セキュア ハードウェアで生成された鍵を Wi-Fi 認証に使用できます。

接続されているアプリの自動付与

ユーザー エクスペリエンスを向上させるために、プリロードされた少数のアプリでは、個人データと仕事用データを共有する構成が自動的に付与されています。

Android 11 以降の場合:

  • デバイスの OEM、プリロードされたアシストアプリ、またはプリロードされたデフォルトの IME によって異なる
  • Google アプリ(プリロードされている場合)
  • Gboard アプリ(プリロード済みの場合)とすぐに使えるデフォルトの IME アプリ。

Android 12 以降の場合:

  • Android Auto アプリ(プリロードされている場合)。

アプリの全リストはデバイスの OEM によって異なります。

サポートの終了

Android 12 では次の API のサポートが終了したのでご注意ください。

  • setPasswordQuality()getPasswordQuality() は、会社所有ではなく個人用の仕事用プロファイル デバイスに対して、デバイス全体のパスコードを設定する機能をサポートしなくなりました。DPC は代わりに setRequiredPasswordComplexity() を使用する必要があります。
  • setOrganizationColor()getOrganizationColor() は、Android 12 で完全にサポートが終了しました。
  • Android 12 では android.app.action.PROVISION_MANAGED_DEVICE をご利用いただけなくなりました。DPC は、ACTION_GET_PROVISIONING_MODE および ACTION_ADMIN_POLICY_COMPLIANCE インテント アクションのインテント フィルタを持つアクティビティを実装する必要があります。ACTION_PROVISION_MANAGED_DEVICE を使用してプロビジョニングを開始すると、プロビジョニングに失敗します。Android 11 以前を引き続きサポートするには、EMM で PROVISION_MANAGED_DEVICE 定数のサポートを継続する必要があります。
  • Android 12 以降をターゲットとするすべての仕事用プロファイル デバイスにセンサー関連の権限を付与する場合の、setPermissionPolicy()setPermissionGrantState() のサポートが終了しました。これにより、次の点が変更されます。
    • Android 11 から Android 12 にアップグレードするデバイスでは、すでに付与されている権限はそのまま残りますが、新しい権限を付与することはできません。
    • 権限を拒否する機能は残ります。
    • 管理者が付与する権限に依存するアプリを開発および配信する場合は、推奨される方法に従って権限をリクエストする必要があります。
    • 推奨される方法に従って権限をリクエストすることで、アプリは引き続き想定どおりに機能します。ユーザーは権限を付与するよう求められます。ユーザーがどのような選択をした場合でも、アプリが適切に処理できるようにしておく必要があります。
    • 管理者が付与する権限に依存していながら、ガイドラインを遵守することなく、権限で保護されたリソースに明示的にアクセスするアプリは、クラッシュする可能性があります。

詳細

アプリに影響する可能性がある他の変更については、Android 12 の動作変更(Android 12 をターゲットとするアプリおよびすべてのアプリ)に関するページをご覧ください。