このページでは、Android 17(API レベル 37)で導入されたエンタープライズ向け API、機能、動作変更の概要について説明します。Android 17 で導入された Android Enterprise 向けの主な新機能や変更点は以下のとおりです。
Android でのエージェント型自動化
AI エージェントがアプリのワークフローを自動化する一方で、仕事用プロファイル内での自動化を防止するためのフレームワークが確立されました。完全管理対象デバイスと
COPE デバイスの個人用プロファイルでは、管理者は既存の setNearbyAppStreamingPolicyを使用して AI による自動化
を完全に無効にできます。
localhost の制限
Android 17 では、企業データを保護するために、クロス プロファイル ループバック トラフィック(127.0.0.1 など)が制限されます。詳しくは、クロス プロファイル ループバック トラフィックの
ブロックに関する動作変更ガイドをご覧ください。
ローカル ネットワーク保護
Android 17 では、アプリがローカル デバイスを検出して通信するための ACCESS_LOCAL_NETWORK 実行時の権限が導入されています。IT 管理者は、
この権限を setPermissionGrantState() を使用して事前に付与することで、ワークフローの
中断を防ぐことができます。詳しくは、ローカル ネットワーク権限
ガイドをご覧ください。
デフォルトで証明書の透明性を有効にする
MitM 攻撃を防ぐため、ネットワーク接続で証明書の透明性(CT)の検証がデフォルトで有効になります。カスタム ネットワーク セキュリティ構成を使用してドメインを明示的に オプトアウトしない限り、 プライベート証明書または内部証明書に依存する接続は失敗する可能性があります。
Android 連絡先選択ツール
システム連絡先選択ツールが強化され、アプリがプロファイルの境界を越えて忠実度の高い連絡先レコードを受信できるようになり、安全な 1 対 1 のユーザー選択モデルに移行します。クロス プロファイルの連絡先の可視性は、引き続き
DevicePolicyManager.setCrossProfileContactsSearchDisabled ポリシーに則って管理されます。
Android HID API
ロー ヒューマン インターフェース デバイス(HID)データストリームへのアプリケーションの直接アクセスは、危険レベルの ACCESS_HID 権限の背後にゲートで保護されるようになりました。管理者は、
`DevicePolicyManager.setUsbDataSignalingEnabled`
DevicePolicyManager.setUsbDataSignalingEnabled を使用して USB データ
シグナリングを無効にすることで、企業管理対象デバイスでのこのアクセスを暗黙的にブロックできます。
USB4 と Thunderbolt のサポート
高速 USB4 と Thunderbolt PCIe トンネリングを有効にします。これにより、物理データレイヤの制限が積極的に尊重されます。USB データアクセスが
DevicePolicyManager.setUsbDataSignalingEnabledを使用して制限されている場合、高速トンネルは
ブロックされ、デバイスの攻撃対象領域が保護されます。
LLM のデバイスの状態
承認されたアシスタント アプリケーションは、App Functions フレームワークを使用してデバイスレベルのデータをオンデバイス
エージェントに提供し、コンテキスト認識型
の応答を可能にします。これにより、仕事用プロファイルからデータが返されることはありません。管理者は、
DevicePolicyManager.setAppFunctionsPolicy を
DevicePolicyManager.APP_FUNCTIONS_DISABLED フラグとともに使用することで、このパイプラインを
グローバルに無効にできます。