ヘルプで見つからない情報は、サポートにお問い合わせください。お問い合わせ

10.ポリシー(iOS、Androidのみ)

 

ポリシーは、MDMでセキュリティを強化する重要な機能のひとつです。主にパスコード設定、デバイスの機能制限、アプリ制限、コンテンツ制限があります。

 

新しいポリシーの作成

右上にある「ポリシー登録」をクリックします。

ポリシーはOS別に作成するので、まずはOSを選択します。

ポリシー名を入力します。

ポリシーは、iOS、Androidで別々に構成された「基本ポリシー」があります。

最初にデバイスが追加されると「基本ポリシー」が適用されます。

 

各ポリシーの説明 > パスコード (iOS)

単純なパスコードを許可

簡単なパスコードを許可するか否かを指定します。簡単なパスコードとは、同じ文字の繰り返し、あるいは単純上昇/下降形(123、CBAなど)の文字列が含まれるもののことです。

英数字の値が必要

英字を含まないといけないのか、または数字だけでよいのかを指定します。

パスコードの文字数

パスコードの長さの最小値を指定します。

複合文字の最小数

パスコードに含まれるべき「複雑」な文字の最小数を指定します。「複雑」な文字とは、「&%$#」のような英数字以外の文字のことです。

パスコードの有効期限

パスコードを変更せずに利用できる最大日数を指定します。この日数が経過すると、パスコードを変更しない限りデバイスのロックを解除できません。

自動ロックまでの最長時間

ここで指定した時間(分単位)にデバイスがアイドル状態になると、(ユーザーがロック解除しない限り)自動的にロックがかかります。この上限時間に達するとデバイスはロックされます。

パスコードの履歴

パスコードを変更する際、変更履歴をいくつまでさかのぼって重複を確認するかを表します。最小値は1で、最大値は50です。

デバイスロックの最長猶予期間

パスコードを再入力せずにデバイスのロックを解除できる時間を指定します。「すぐ」を選択するとロックされる毎度パスコードを要求されます。

入力を失敗できる回数

ロック画面で誤ったパスコードを入力しても、この回数までならば再試行が可能です。この回数を超えてしまうとデバイスは工場初期化されます。

 

各ポリシーの説明 > パスコード (Android)

パスコードのタイプ

スクリーンをロックするパスコードのタイプを指定します。ご使用の携帯端末のOSバージョンにより、パスコードの設定が可能な条件に差異があります。

パスコードの文字数

パスコードの長さの最小値を指定します。

自動ロックまでの最長時間

ここで指定した時間、デバイスがアイドル状態になると、(ユーザーがロック解除しない限り)自動的にロックがかかります。この上限時間に達するとデバイスはロックされます。

入力を失敗できる回数

ロック画面で誤ったパスコードを入力しても、この回数までならば再試行が可能です。この回数を超えてしまうとデバイスは工場初期化されます。

  

各ポリシーの説明 > 機能制限 (iOS)

カメラの使用を許可

このオプションをオフにすると、カメラが無効になり、ホーム画面のカメラアイコンが削除されます。ユーザーは写真やビデオを撮ることができなくなり、FaceTimeも使用できなくなります。

FaceTimeを許可

このオプションをオフにすると、ユーザーは FaceTime ビデオ通話の送受信ができなくなります。

フォトストリームを許可(許可しないとデータ損失の可能性あり)

iCloudのフォトストリームオプションを制御します。

画面の取り込みを許可

このオプションをオフにすると、ユーザーはディスプレイのスクリーンショットを保存できなくなります。

アプリケーションのインストールを許可

このオプションをオフにすると、App Storeが無効になり、ホーム画面のアイコンが削除されます。ユーザーはAppStoreやiTunesを使用したアプリケーションのインストールやアップデートを行うことができなくなります。

App内での購入を許可

このオプションをオフにすると、ユーザーはアプリケーション内課金を利用できなくなります。

購入したすべての項目の iTunes パスワードを要求します

iTunes Storeパスワードの入力を強制します。

マルチプレイヤーゲームを許可

このオプションをオフにすると、ユーザーはゲームセンターでマルチプレイヤーゲームをプレイできなくなります。

Game Center の友人追加を許可

このオプションをオフにすると、ユーザーはゲームセンターで友人を追加できなくなります。

iCloud バックアップを許可

iCloudのバックアップオプションを制御します。

「設定 > Icloutd > ストレージとバックアップ」項目が

設定出来なくなります。

iCloud 書類の同期を許可

iCloudの書類の同期オプションを制御します。

「設定 > Icloutd > 書類とデータ」項目が消えます。

ローミング中の自動同期を許可

このオプションをオフにすると、ローミング中のデバイスは、ユーザーがアカウントにアクセスしたときにのみ同期します。

音声ダイヤルを許可

このオプションをオフにすると、ユーザーは音声コマンドを使用して電話をダイヤルできなくなります。iOS7ではSiriの機能に移行したのでiOS6.x以下のみでご利用できます。

強制的に暗号化バックアップ

このオプションをオフにすると、ユーザーはiTuneで作成されたデバイスのバックアップを暗号化された形式でコンピュータに保存するかどうかを選択できます。いずれかのプロファイルが暗号化されていて、このオプションをオフにしないと、iTunes によって強制的にバックアップの暗号化が行われます。iPhone 構成ユーティリティによってデバイスにインストールされたプロファイルは常に暗号化されています。

信頼できないTLS証明書の受け入れを許可

ユーザーが信頼できないTLS証明書を受け入れることを許可します。

Siriを許可

このオプションをオフにすると、Siriが無効になります。

スクリーンロック中にSiriを許可

このオプションをオフにすると、スクリーンロック中にSiriを利用できなくなります。

iCloudキーチェーンを許可

このオプションをオフにすると、iCloud キーチェーンは使用されなくなり、

「設定 > Icloutd > キーチェーン」項目が消えます。

Touch IDによるデバイスのロック解除を許可

このオプションをオフにすると、ユーザーはデバイスのロックを解除するためにパスコードを入力する必要があります。

「設定 > Touch IDとパスワード > iPhoneロックを解除」項目が

設定出来なくなります。

ロック中のPassbook通知を許可

このオプションをオンにすると、デバイスがロックされているときにPassbook 通知が表示されます。

「設定 > パスコード > Passbook」項目が設定出来なくなります。

ロック画面にコントロールセンターを表示

このオプションをオフにすると、ユーザーは上にスワイプしてコントロールセンターを表示できなくなります。

「設定 > コントロールセンター > ロック画面でのアクセス」項目が設定出来なくなります。

ロック画面に通知センターを表示

このオプションをオフにすると、画面がロックされている場合にユーザーは通知を受信できなくなります。

「設定 > 通知センター > 通知の表示」項目が設定出来なくなります。

ロック画面に今日表示を表示

このオプションをオフにすると、ユーザーは下にスワイプして今日表示を使用する通知センターをロック画面で表示できなくなります。

「設定 > 通知センター > 今日の表示」項目が設定出来なくなります。

証明書信頼設定の自動アップデートを許可

このオプションをオンにすると、iOS デバイスは既知の信頼できる証明書の信頼設定変更を自動的に受け入れるようになります。

 

各ポリシーの説明 > 機能制限 (Android)

カメラの使用を許可

カメラ機能をアプリが使用できなくします。

SDカードの使用を許可

SDカードが解除され、利用できなくします。

Bluetoothの使用を許可

Bluetoothをオンにできないように制限されます。

デバイス「設定」へのアクセスを許可

「デバイス「設定」へのアクセスを許可」のチェックを外すと、ユーザーはアンドロイド端末の「設定」メニューに入れなくなります。つまりどのような設定も変更できなくなります。

設定には十分気をつけてください。また、「パスコード設定」や「SDカードの使用禁止」などユーザーによる設定変更が必要なときはチェックを外さないでください。

メール同期の使用を許可

アンドロイド端末は、最初の設定で、Googleアカウントとパスワードを入力します。携帯上にある「Gmail」「カレンダー」、「連絡先」がそれぞれPC版の「Gmail」や「カレンダー」、「連絡先」と同期し、常にPCからアクセスした内容と同じになります。

「メール同期の使用を許可」のチェックを外すと「設定」→「アカウントと同期」がoffになり、自動的に同期しなくなります。(※アンドロイドのバージョンにより項目が違います。)

注意:「設定」項目へのアクセスを許可しないまま、例えば、パスコードを設定していないアンドロイド端末に「パスコード」のポリシー設定を適用すると、パスコードを設定するようアラートが繰り返し表示されます。しかし、「設定」項目へのアクセスができない為、パスコードを設定することは出来なくなります。

 

各ポリシーの説明 > コンテンツ制限 (iOS)

YouTubeの使用を許可

このオプションをオフにすると、YouTubeアプリケーションが無効になり、ホーム画面のアイコンが削除されます。

iTunes Music Storeの使用を許可

このオプションをオフにすると、iTunes Store が無効になり、ホーム画面のアイコンが削除されます。ユーザーはコンテンツのプレビュー、購入、ダウンロードを行うことができなくなります。

Safariの使用を許可

このオプションをオフにすると、Safari Webブラウザアプリケーションが無効になり、ホーム画面のアイコンが削除されます。さらに、ユーザーはWebクリップを開くことができなくなります。

Safariで自動入力を有効にする

このオプションをオフにすると、ユーザーがWebフォームに入力した内容をSafariが記憶しなくなります。

Safariで詐欺サイト警告機能をオン

このオプションをオフにすると、ユーザーが詐欺または不正であると識別されたWebサイトにアクセスしても、Safariが警告を発しません。

SafariでJavaScriptを有効にする

このオプションをオフにすると、SafariはWebサイトのJavaScriptをすべて無視します。

Safariでポップアップを開かない

このオプションをオフにすると、Safariのポップアップブロック機能が無効になります。

Cookieの受け入れ

SafariのCookieポリシーを設定します。すべてのCookieを受け入れるか、Cookieを受け入れないか、直接アクセスしていないサイトからのCookieを拒絶するかを選択することができます。

 

各ポリシーの説明 > コンテンツ制限 (Android)

YouTubeの使用を許可

このオプションをオフにすると、YouTubeアプリケーションが起動できなくなります。

ブラウザの使用を許可

このオプションをオフにすると、ブラウザアプリケーションが起動できなくなります。

Google Playの使用を許可

このオプションをオフにすると、Google Playアプリケーションが起動できなくなります。

 

各ポリシーの説明 > 監視対象デバイス(iOSのみ)

Apple Configuratorを利用してデバイスを監視モード(Supervised Mode)に設定した場合のみ利用できる機能です。

【注意】この項目を変更すると「監視モード」でないiOSデバイスには本ポリシーが適用されなくなります。

<デバイスを監視モードに設定する>

Apple Configurator(アップルコンフィギュレータ)は、iOSデバイスを企業などで大量に導入する際に、iOSデバイスの設定(キッティング作業)を行うためにアップル社から提供される無料のツールです。

  1. Apple Configuratorを起動すると、下記のような画面が表示されます。
  2. 「準備(Prepare)」、「監視(Supervise)」、「割り当て(Assign)」の3つの大項目がありますので「準備」を選択します。
  3. 「準備」の下に「設定(Settings)」がありますので「監視モード」を「On」にします。
  4. iOSを「最新(with custom version)」に選択した上で、「準備(prepare)」ボタンを押します。
  5. 進捗状況が表示されます。このステップが終了するとデバイスが監視モードに入ります。

【注意】上記設定で監視モード(Supervised Mode)を行うとデバイスは自動的に初期化されますので注意してください。

Airdropを許可

このオプションをオフにすると、ユーザーはアプリでAirDropを使用できなくなります。

Messageを許可

このオプションをオフにすると、iMessageを使用したメッセージの送受信ができなくなります。お使いのデバイスがテキストメッセージに対応している場合、テキストメッセージの送受信はできます。お使いのデバイスがテキストメッセージに対応していない場合は、ホーム画面から「メッセージ」アイコンが削除されます。

iBook Storeを許可

このオプションをオフにすると、iBooks Storeが無効になり、ユーザーが「iBooks」アプリからiBooks Storeにアクセスできなくなります。

Appの削除を許可

このオプションをオンにすると、ユーザーはアプリを削除できるようになります。App Storeや「iTunes」など、iOSに付属しているアプリをユーザーが削除することはできません。

Game Centerの使用を許可

このオプションをオフにすると、「Game Center」が無効になり、ホーム画面からアイコンが削除されます。

“友達を探す”設定の変更を許可

このオプションをオフにすると、ユーザーは「友達を探す」アプリの設定を変更できなくなります。

Apple Configurator以外のホストとペアリングを許可

このオプションをオンにすると、デバイスを任意のMacと同期することができます。

<Webサイト制限>

成人コンテンツを制限

Appleがアダルトコンテンツと判定したWebサイトへのアクセスを遮断します。必要なコンテンツが遮断される場合は、「接続を許可するURL」に追加してください。アダルトコンテンツ以外で遮断したいサイトは、「接続を制限するURL」に追加してください。

指定したWebサイトのみ許可

アクセスを許可したいWebサイトを追加します。「URL」列にWebサイトのURLを入力します。「名前」列にブックマークの名前を入力します。フォルダ内にブックマークを作成する場合は、「ブックマーク」列にフォルダの場所を入力します。例えば、「よく使う項目」フォルダにブックマークを作成するには、「/Favorites/」と入力します。

デバイスが表示できるWebサイトを選択します。アダルトコンテンツを自動的に除外してから、特定のサイトへのアクセスを許可または拒否できます。

「成人コンテンツを制限」を選択すると2つのURL制限を追加することができます。

  1. 接続を許可するURL

このリストにURLを追加すると、そのWebサイトが自動フィルタによってアダルトコンテンツと見なされた場合でもアクセスが許可されます。このリストを空のままにすると、「ブラックリストにあるURL」にリストされているものを除き、すべての非アダルトWebサイトへのアクセスが許可されます。

  1. 接続を制限するURL

特定のWebサイトへのアクセスを拒否するには、サイトのURLをこのリストに追加します。ユーザーはこれらのサイトにはアクセスできません。(自動フィルタによって非アダルトと見なされた場合でも)

URLを入力するときは、“http:// ”または“https:// ”を必ず入力してください。

サイト名を入力して下の「+」(プラスマーク)をクリックしてから保存します。

 

 

各ポリシーの説明 > カレンダー(iOSのみ)

この項目を使用して、CalDAV 準拠カレンダーサーバーに接続するためのアカウントを設定します。

iPad、iPhone、および iPod touch のカレンダーデータは、会社の CalDAV サーバーに同期され、カレンダーへの変更は、デバイスとサーバーとの間で定期的にアップデートされます。

アカウントの説明

端末の「設定 > メール/連絡先/カレンダー」に表示されます。

アカウントのホスト名

CalDAVのホストまたはIPアドレス

ポート

CalDAVのポート番号を入力

ユーザー名/パスワード

アカウントパスワードなどの情報を指定しない場合は、ユーザーはプロファイルをインストールするときにそれらの情報を手動で入力する必要があります。

適用されると端末の「設定 > メール/連絡先/カレンダー」に項目が追加されます。また別のポリシーを配布しなおすと、追加された項目は削除されます。

 

各ポリシーの説明 > 連絡先(iOSのみ)

この項目で、CardDAV 準拠連絡先サーバーに接続するためのアカウントの設定を行えます。CardDAV連絡先リストから連絡先情報を取得します。

アカウントの説明

端末の「設定 > メール/連絡先/カレンダー」に表示されます。

アカウントのホスト名

CardDAVのホストまたはIPアドレス

ポート

CardDAVのポート番号を入力

ユーザー名/パスワード

アカウント情報を指定しない場合は、ユーザーはプロファイルをインストール

するときに手動で入力する必要があります。

 

各ポリシーの説明 > VPN

接続のタイプ

接続タイプを指定します。L2TP/PPTP/IPSec (Cisco)から選択します。以降の入力項目は接続タイプごとに異なります。

サーバー

VPN ホストを指定します。

アカウント

ユーザーアカウントを入力します。

 

各ポリシーの説明 > Web Clip(iOSのみ)

ユーザのホーム画面にWeb Clipを表示し、ブックマークとして使えるようにする働きがあります。

ラベル

ホーム画面に表示されるWeb Clipの名前

URL

Web Clipをクリックしたときに開くURL。URLは「HTTP」または「HTTPS」で始まるものでなければ動作しません。

リムーバブル

チェックしないとユーザはWeb Clipを削除できませんが、プロファイルを削除すれば同時に削除されます。

Icon

ホーム画面に表示されるPNGアイコン。大きさは59×60ピクセルとします。指定がなければ白い矩形の表示になります。

作成済みアイコン

このアイコンは視覚エフェクトなしで表示されます。

フルスクリーン

Webクリップをフルスクリーンアプリケーションで表示します。

 

各ポリシーの説明 > メール(iOSのみ)

ユーザのPOPメールアカウントまたはIMAPメールアカウントを構成できます。業界標準であるIMAP4およびPOP3メールソリューションに対応しています。これを指定すると、デバイス上に電子メールアカウントが作成されます。

【重要】メールアカウント、パスワードは各ユーザーのユーザー情報に入力したものです。

アカウントの説明

アカウントの表示名(例:会社のメールアカウント)

アカウントの種類

メールアカウントにアクセスするためのプロトコル

メッセージの移動を許可

この電子メールアカウントから別のアカウントにメッセージを移動することはできません。また、メッセージの送信元アカウント以外から、転送や返信をすることも禁じます。

最近使ったアドレスの同期を許可

チェックすると、このアカウントは「最近使用したアドレス」の同期処理の対象外になります。

“メール”でのみ使用

チェックすると、このアカウントから他社製アプリケーションでメールを送信することはできません。

 

各ポリシーの説明 > Exchange(iOSのみ)

Exchangeの設定を行います。Microsoft Exchangeサーバのユーザ設定を入力します。ユーザ名、ホスト名、およびメールアドレスを指定することによって、特定のユーザのプロファイルを作成することができます。

Exchange ActiveSyncホスト

Exchangeサーバのホスト名(またはIPアドレス)を指定します。

ユーザー・

メールアドレス・パスワード

メールアドレスとパスワードは各ユーザーのユーザー情報に入力したものが適用されます。

メッセージの移動を許可

このアカウントから別のアカウントにメッセージを移動できます

最近使ったアドレスの同期を許可

チェックすると、このアカウントは「最近使用したアドレス」の同期処理の対象外になります。

“メール”でのみ使用

このアカウントからのメールは“メール”アプリケーションからのみ使用できます

SSLを使用

すべての通信をSSLで送信

過去のメールを同期(日数)

どのくらい過去のメールを同期するかを指定します

 

各ポリシーの説明 > WiFi(iOSのみ)

WiFiの設定を行います。

SSID(サービスセット識別子)

利用するWi-FiネットワークのSSID

非公開ネットワーク

チェックをしていなければネットワークはすべてオープンされたSSIDと仮定します。非公開ネットワーク(SSIDをステルスに設定)を指定する場合にはチェックする必要があります。

自動接続

チェックすれば、ネットワークには自動的に接続するようになります。チェックしていない場合は、接続するにはネットワーク名をタップしなければなりません。

プロキシ設定

このネットワークで使用されるプロキシ設定を構成します。

セキュリティの種類

WEP、WPAとWPA2、任意、なしのいずれかを指定します。ネットワークアクセスポイントの能力と、この設定が合致していなければなりません。暗号化の種類が不明である、あるいはどの種類の暗号化でも適用したい場合は、「任意」を指定してください。

 

各ポリシーの説明 > Blackアプリ(旧:禁止アプリ)

Blackアプリを設定しておき、Blackアプリをユーザーが利用(インストール)した場合の対応を決めることができます。

 

Blackアプリ>Blackアプリ一覧 > Blackアプリの追加 より禁止するアプリ名を入力すると、Storeで公開中のアプリが表示されます。該当するアプリを追加、チェックボックスにチェックを入れて「保存」します。

 

使用禁止アプリを設定してもインストールや起動そのもの自体を止めることはできません。使用禁止アプリがインストールされた場合、管理者は次のように3つのアクションを設定することができます。

管理者とユーザーにメールで通知

禁止アプリをインストールした場合、メールにて通知します。

MDM+アプリへの接続制限及びメール通知

禁止アプリをインストールした場合、メールにて通知します。また、ユーザーのデバイスのMDM+アプリを利用できなくします。

デバイスの工場初期化

デバイスの工場初期化を選択すると、禁止アプリをインストールした瞬間に該当端末は初期化されてしまいます。各利用ユーザーに禁止リストを徹底させ、お客様の責任において行ってください。

禁止アプリがデバイスに適用されるまでのタイミング
Android:2分前後で適用されます。 ※ ネットワークの状況により多少の誤差が発生します。
iOS:1時間(アプリ一覧の更新タイミング)

【例】違反メールが送信されない場合

ポリシーの適用 > ブラックアプリのインストール > ブラックアプリの削除 > インストールされたアプリ情報の更新 

【例】違反メールが送信される場合

ポリシーの適用 > ブラックアプリのインストール > インストールされたアプリ情報の更新 > ブラックアプリの削除

 

各ポリシーの説明 > Whiteアプリ

「アプリ」メニューに登録してあるアプリのリストからチェックを入れて追加します。

 

次に指定したアプリ以外のアプリをユーザーがインストールしたときの管理者アクションを選択したら、保存で閉じ、このポリシーを端末に配布します。

 

【例】違反メールが送信されない場合

ポリシーの適用 > ホワイトアプリ以外のアプリのインストール > ホワイトアプリ以外のアプリの削除 > インストールされたアプリ情報の更新

【例】違反メールが送信される場合

ポリシーの適用 > ホワイトアプリ以外のアプリのインストール > インストールされたアプリ情報の更新 > ホワイトアプリ以外のアプリの削除

エージェントアプリへの接続を制限したときの端末側の挙動

  

【注意】Black/Whiteアプリ両方に同じアプリを設定した場合は、両方の処理内容が実施されます。

 

使用者がWhite/Blackアプリ(旧:禁止アプリ)に違反した場合

管理者が指定したWhiteアプリ以外のアプリを、あるいはBlackアプリを端末にインストールしたとき、ダッシュボードにその情報がリストアップされます。(ダッシュボードページの情報は15分間隔で更新)

 

各ポリシーの説明 > おすすめアプリ

こちらに登録したアプリはMDM+アプリのアプリリストに表示されます。
(Apple Storeへのリンクが表示されます)

 

ポリシーの配布

はじめに登録したデバイスは「基本ポリシー」が適用されます。ポリシーはデバイスやチーム単位で配布することができます。

※ ポリシーは設定した後に再度各デバイスに配布する必要があります。

ポリシーがデバイスに適用されるまでの時間
Android:2分(ただし、グーグル本社のサーバー事情によって多少の誤差が発生)
iOS:2分(ただし、アップル本社のサーバー事情によって多少の誤差が発生)

Powered by Zendesk