Android デバイス管理

ランタイム許可ポリシー

ランタイム許可ポリシーを使用すると、IT 管理者はリモートで許可を設定して、アプリケーションがデータにアクセスしたり、デバイスを制御したりできないようにすることができます。

ランタイム許可ポリシーは、アプリケーションがユーザーの個人情報を含むデータやリソースを必要とするかどうか、ユーザーの保存データや他のアプリケーションの動作に影響を与える可能性があるかどうかを制御します。例えば、ユーザーの連絡先、外部ストレージ、または場所を読み取る機能は、ランタイム許可です。デバイス・ユーザーは、アプリケーションに対してこれらの許可を付与する必要があります。managed Google Play アプリケーションの場合、IT 管理者は WebUI からこれらの許可を構成して適用できます。

IT 管理者は、App Store アプリ・ポリシーまたはカスタム・ポリシーを使用してランタイム許可を構成し、Android デバイスの仕事用プロファイル内のアプリのデフォルトの許可を設定できます。デフォルトの許可を変更することで、IT 管理者は、仕事用アプリによる要求に対するデフォルトの応答を設定できます。

Note: ランタイム許可ポリシーは、Android 10.0 以降のデバイスで使用できます。それ以前のバージョンの Android では、許可は常にインストール時に付与されます。

機能

IT 管理者は、仕事用アプリによるランタイム許可要求に対するデフォルトの応答をサイレントに設定できます。許可を構成するオプションは、以下のとおりです。
- プロンプト - ユーザーに許可を付与するよう求める
- 認可 - 自動的に許可を付与する
- 否認 - 自動的に許可を拒否する
  例: Microsoft Teams アプリ・ポリシーは defaultPermissinPolicy を「Prompt」として構成できるため、ビデオ会議の際に Teams アプリが常にデバイス・ユーザーにカメラの使用許可を要求します。
ランタイム許可の付与: デフォルトのランタイム許可ポリシーを設定した後、IT 管理者は、管理対象の仕事用アプリの特定の許可に対する応答をサイレントに設定できます。

Android では、一部の許可を危険と定義し、一部を通常と定義しています。危険な許可は、ユーザーの個人情報に影響を与えたり、データや他のアプリケーションの操作に影響を与えたりする可能性があります。例えば、Android は、ユーザーの連絡先を読み取る機能を危険な許可として分類します。危険な許可の他の例として、accessing camera、calendar, location、phone、storage があります。

グローバル・ランタイム許可の構成

アプリケーション・ポリシーに含まれるすべての管理対象アプリに対してグローバルな許可を迅速に構成するには、『App Store アプリ・ポリシー』を参照してください。

アプリ・カタログにアプリをリストし、アプリ・ポリシーに含めます。
App Store アプリ・ポリシーを作成します。
作成したアプリ・ポリシーをポリシー・グループに追加します。
MDM サーバーにポリシー・グループをデプロイするか、選択したデバイスに直接デプロイします。

アプリごとのランタイム許可の構成

ランタイム許可をすべての管理対象アプリケーションに対してグローバルに定義するのではなく、個々のアプリケーションに対して構成する場合は、カスタム・ポリシーを使用して行うことができます。IT 管理者は、これらの設定に基づいて、ランタイム許可を付与、プロンプト、または拒否できるかどうかを定義できます。

アプリごとのランタイム許可を構成するには、次の手順を実行します。

カスタム・アプリケーション・ポリシーを定義して、アプリ・レベルでランタイム許可を設定します。
許可の付与は、以下の構成によって管理されます。
```
{
  "permission": string,
  "policy": enum (PermissionPolicy)
}
```
リストされている許可について詳しくは、Android の公式ドキュメント (https://developer.android.com/reference/android/Manifest.permission) を参照してください。個々の許可に対して「プロンプト」、「認可」、「否認」を構成します。
カスタム・ポリシーの JSON ファイルをアップロードします。
アップロードしたカスタム・アプリ・ポリシーをポリシー・グループに追加します。
MDM サーバーにポリシー・グループをデプロイするか、選択したデバイスに直接デプロイします。