Zenn
😺

AndroidデバイスのZero Touchポータルを使用したフルマネージド管理の始め方

2022/12/10に公開
Android
MDM
tech

Zero Touchポータルの導入からフルマネージドでIntune加入させた流れについて書きます。

本記事は情シスSlackの初心者優先Advent Calendar10日目の記事になります。
https://adventar.org/calendars/7757

はじめに

現在AndroidデバイスをMDMを使用した管理を行う場合、管理方法として主に4パターンあります。

  1. BYOD 私物デバイスで後からMDMを入れて管理する場合
  2. COSU 受付や展示会向けに使用など専用端末向け
  3. フルマネージド(Fully Managed Device) 認めたアプリ以外使用させたくない、などガチガチに管理したい場合
  4. COPE 会社所有デバイスで個人利用もある程度自由に使用させる場合

これらを総称してAndroid Enterpriseと呼ばれています。

Intuneの登録画面に当てはめるとこんな感じ

日本語表記だとワカリニクイ

Zero Touchポータルとは

Androidデバイスを正規のリセラーから購入時にZero Touchポータルの加入を申し込むことで、
自組織のMDMと紐づけ強制的に組織管理下に置くことができます。
Appleデバイスにおける「ADE(Automated Device Enrollment)(旧:DEP)に相当するものです。

Appleの場合はApple Configuratorを利用することで後からADEに加えることが出来ますが、
Zero Touchポータルに後から追加することは現状出来ません。

今回の環境

MS365 Business Premium(Azure AD P1 + Intune)
Google Workspace無し
スマホ Galaxy A22

お断り

2022年11月時点で確認した動作になります。
AndroidデバイスやMDMによって動作が異なる可能性があります。

事前準備

Googleアカウント

Androidを管理するうえで必須です。
Google Workspaceが無い場合は無料のGmailで構わないので作成する必要があります。
Gmail.comではなく会社ドメインで作成しましょう。

MDM

Android Enterpriseに対応したMDMであればZeroTouchポータルが利用できると思いますが
別途確認してください。

今回はMS365 Business Premiumに含まれているIntuneを利用した設定です。
IDaaSは同じく含まれているAzure AD P1を利用

Zero Touchポータル開設手続き

正規リセラーから申し込む必要があります。費用はかかりません。
今回ドコモ販売代理店から申込みフォーマットをもらい申込みし、開設まで2週間近くかかりました。

開設直後、Intune - Android登録 - ゼロタッチ登録から飛ぶと同じ自組織名でアカウントIDが複数表示されていました。
推測ですが過去に別のリセラーから買った時に生成された可能性があります。
その場合、申し込んだリセラーにアカウントIDの確認をしたほうが良いです。
今後そのアカウントIDに購入したデバイスが紐づいてきます。

アカウントID選択後設定から初期プロファイルを作成しデフォルト設定にします。

後から紐づけが出来ないためリセラー担当にAndroid購入時はZeroTouchポータルの加入を都度伝え、購入時の申込書にも記載があるか確認しましょう。

Zero Touchポータルの設定から初期設定時に利用者向けに連絡先・メッセージなどを表示されるためのプロファイル設定が出来ます。

Intune/Azure AD

構成プロファイルを自動で割り当てるため動的グループを作成します。
動的メンバーシップルール (device.deviceOSType -eq "AndroidEnterprise") で作成
※この構文の場合、COPEデバイスも対象になるため影響ある場合は分けてください。

必要なプロファイルを設定し作成した動的グループへ割り当てます。

アプリの配布

フルマネージドの場合、業務に必要なアプリを「マネージドGoogle Play」から必要なものを取得し配布する必要があります。

また、プリインストールアプリも無くなるため必要に応じて配布が必要です。
今回Galaxy A22でカメラを利用させるには「カメラ」と保存先の「ギャラリー」の追加が必要でした。

Google Playストアに無いプリインストールアプリについては、パッケージ名を指定したAndroid Enterpriseシステムアプリとして
登録が必要になります。

パッケージ名の探し方などはこちらが詳しいです。
https://www.inthecloud247.com/how-to-add-android-enterprise-system-apps-with-microsoft-intune/

スマホ初期設定

フルマネージドの加入であれば初期起動画面でカメラ起動~QRコード読み込みとなりますが、
Zero Touchポータルに加入しているデバイスは初期設定のWi-Fi接続時に、自動でMDM加入画面へ遷移します。


遷移中に戻る操作などするとコード入力画面になるので注意

※IT管理者のタップするとZero Touchポータルで設定した連絡先・メッセージが表示されます。

この後進めていくとマイクロソフトのサインイン画面が表示されユーザー情報で加入することになります。

終わりに

Androidデバイスを管理するうえでZero Touchポータルは必須ではありません。ただし、
Zero Touchポータルは費用かからない、設定工数を減らせる、初期化しても管理下においたままにできる、などメリットが多いので早めに開設しておくと良いと思います。

Discussion