Android 11 のエンタープライズ向けの新機能

このページでは、Android 11 で導入されたエンタープライズ向けの新しい API、機能、動作変更の概要について説明します。

仕事用プロファイル

Android 11 では仕事用プロファイルの以下のような新機能が利用できます。

会社所有デバイスの仕事用プロファイルの機能強化

Android 11 では、会社所有デバイスでの仕事用プロファイルのサポートが改善されました。Android 10 で追加されたプロビジョニング ツールを使って、設定ウィザードから仕事用プロファイルが追加された場合、そのデバイスは会社所有と認識され、広範囲にわたるアセット管理ポリシーやデバイス セキュリティ ポリシーが Device Policy Controller(DPC)で利用できるようになります。この機能により、会社所有デバイス上での仕事用と個人利用の両方の管理が容易になり、仕事用プロファイルのプライバシー保護も維持されます。

その他の方法で仕事用プロファイルがデバイスに追加された場合、Android 11 ではそのデバイスは個人所有と認識されます。個人所有デバイスでの仕事用プロファイルが利用できる機能と動作は変わりません。

Android 11 にアップグレードするデバイス

完全管理対象デバイス上の仕事用プロファイルは Android 11 での仕事用プロファイルの機能強化版にアップグレードされます。 お客様にとっては、これにより、個人所有デバイスと会社所有デバイスの両方にわたって、仕事用プロファイルが一元化され、プライバシー保護のメリットと一貫性が向上することになります。その際、完全管理対象デバイス上で従来の仕事用プロファイルを再登録する必要はありません。または必要に応じて、アップグレード前に仕事用プロファイルを削除して、完全管理対象デバイスの状態がアップグレードの影響を受けないようにすることもできます。

お客様は自分のデバイスで Android 11 にアップグレードする準備ができているかどうかを、担当の EMM に問い合わせることができます。EMM の詳細な移行ガイダンスについては、Android Enterprise EMM プロバイダ コミュニティで確認できます(ログインが必要です)。

ユーザー エクスペリエンスの向上

Android 9 のデフォルト ランチャーで導入された別個の仕事用タブと個人用タブが、デバイスの機能にも拡張されました。Android 11 ではデバイス メーカーが、以下について、仕事用タブと個人用タブを設けることができます。

  • 設定アプリ内、特に位置情報、ストレージ、アカウント、アプリ情報について。
  • ユーザーが共有アイコン をタップしたとき。
  • 選択されたアイテムを別のアプリで開くオプション([アプリで開く] メニュー)をユーザーに提示するとき。
  • ドキュメントを選択するとき。
図 1. (左)[設定] > [アプリ情報] の [個人用] タブと [仕事用] タブ。(右)仕事用プロファイルが一時停止されているときの仕事用アプリのアイコン。

また、Android 11 では、仕事用プロファイルが一時停止されていることをユーザーにわかりやすく表示するように UI が改善されました。さらに、ユーザーが仕事用プロファイルを有効にしたとき、デバイスのパスコードと同じ仕事用パスコードは、入力が不要になりました。

仕事用プロファイルのパスコードのリセットボタン

Android 11 デバイスでデバイスのパスワードと仕事用プロファイルのパスワードが異なる場合、仕事用プロファイルが一時停止されると、仕事用プロファイルのロック画面で、[パスワードを忘れた場合] ボタンが表示されるようになりました。DPC がダイレクト ブートに対応している場合、このボタンを有効にするトークンを設定して有効化することができます。

ユーザーがボタンを押すと、IT 管理者への連絡方法を説明するテキストが表示されます。ボタンを押すと、ダイレクト ブート モード(ロックモード)で仕事用プロファイルが起動し、DPC で仕事用プロファイルのパスコードを安全にリセットする手順を完了できます。

会社所有デバイス

会社所有デバイスでは以下の新機能を利用できます。「会社所有デバイス」とは、完全管理対象デバイスと会社所有の仕事用プロファイル デバイスの両方を指します。

コモン クライテリア モード

このモードはコモン クライテリアモバイル デバイス基盤のプロテクション プロファイル(MDFPP)に固有の要件に対応しています。会社所有デバイスの管理者は、デバイス上でコモン クライテリア モードを有効にできるようになりました(有効かどうかを確認することもできます)。有効にすると、Bluetooth の長期鍵の AES-GCM 暗号化や Wi-Fi 設定の保存など、デバイス上の特定のセキュリティ コンポーネントのセキュリティが強化されます。

個々の鍵構成証明のサポート

Android 11 では、会社所有デバイスの管理者が個々の証明書を使用してデバイス証明書をリクエストできます

一意のデバイス ID 証明書に、あるデバイスが対応しているかどうかを確認する新しいメソッドも利用できます。

その他

  • 管理者が以下の操作を行うと、ユーザーに通知が届くようになりました。

    • 会社所有デバイスで位置情報サービスを有効にする。管理者がすべての権限を自動的に許可するグローバル ポリシーを設定した場合、位置情報への権限をアプリがリクエストして、このポリシーにより権限が付与されると、ユーザーに通知が届きます。
    • 個人所有デバイスの位置情報を使用する権限をアプリに付与する

  • 事前に付与された証明書での仕事用アプリへのアクセス: Android 11 をターゲットとする DPC は、個々のアプリに特定の KeyChain 鍵へのアクセス権を付与することも可能になりました。その場合、これらのアプリは getCertificateChain()getPrivateKey() を呼び出せるようになり、先に choosePrivateKeyAlias() を呼び出す必要はありません。

    たとえば、バックグラウンド サービスとして実行される VPN アプリは、この機能を使って、必要な証明書へのアクセス権を取得できます。ユーザー操作は不要です。アクセス権を取り消すための新しいメソッドも利用できます。

  • パスワードの最低条件の設定に関するすべてのメソッドでは、それを適用する前に、適切なパスワード品質の設定が必要です。

  • VPN 常時接続の強化: 管理者が設定した常時接続の VPN を、ユーザーが無効にできなくなりました。

  • ADMIN_POLICY_COMPLIANCE の更新:

    • Android 11 デバイスをプロビジョニングすると、DEVICE_PROVISIONEDtrue に設定する前に、システムが ADMIN_POLICY_COMPLIANCE を送信するようになりました。
    • デバイスのプロビジョニングのために Google アカウントを追加するときに、必要に応じて ADMIN_POLICY_COMPLIANCE を使用することもできます。2021 年の Android のリリースでは、このプロビジョニング方法が必須になります。

  • 以下のような機能の新しい API もあります。

    • デバイス上で自動時刻が有効かどうかを確認設定します。有効にすると、時刻がネットワークから自動的に取得されます。setAutoTimeRequired()getAutoTimeRequired() の代わりとなります(詳細は、サポートの終了をご覧ください)。
    • デバイス上で自動タイムゾーンが有効かどうかを確認設定します。有効にすると、タイムゾーンがネットワークから自動的に取得されます。
    • 会社所有デバイス上で出荷時設定へのリセット保護(FRP)ポリシーを確認設定します。
    • 会社所有デバイス上で管理者が行ったネットワーク設定をユーザーが変更できるかどうかを確認設定します。
    • 完全管理対象デバイス上で保護パッケージを確認設定します。ユーザーがアプリデータの消去や、保護パッケージの強制停止をすることはできません。
    • デバイス上でメインの位置情報設定を設定します。

サポートの終了

Android 11 では、次の API のサポートが終了したのでご注意ください。

詳細

アプリに影響を与える可能性がある他の変更点については、Android 11 の動作変更に関するページ(Android 11 をターゲットとするアプリ向け、すべてのアプリ向け)をご覧ください。