G-gen の三浦です。当記事では、Google Workspace の エンドポイント管理を使用して、iPhone や Android 端末などのモバイル端末を管理する方法を紹介します。
概要
エンドポイント管理とは
エンドポイント管理は、Google Workspace が提供するデバイス管理機能です。従業員が使用するモバイル端末やパソコンを一元的に管理し、組織のセキュリティポリシーを適用できます。
一般的に、このようなデバイス管理の仕組みは MDM(Mobile Device Management)と呼ばれます。MDM は、セキュリティポリシーの適用、アプリの配布、デバイスの監視、紛失・盗難時のデータ消去などの機能を提供するツール全般を指します。
- 参考 : エンドポイント管理
エンドポイント管理を使用するメリット
Google Workspace のエンドポイント管理を使用すると、以下のようなメリットがあります。
| メリット | 詳細 |
|---|---|
| Google Workspace とのシームレスな統合 | アカウントと端末の管理を一元化できます。コンテキストアウェア アクセスで Gmail や Google ドライブへの柔軟なアクセス制御も可能です。 |
| 追加費用や専用アプリ不要 | Business Plus や Enterprise プランなどに標準搭載されており、追加費用や専用アプリは不要です。 |
| Android ゼロタッチ登録と BYOD | ゼロタッチ登録で多数の端末を簡単にセットアップできます。また個人所有デバイス(BYOD)においても業務データと個人データを分離できるようになり、セキュリティとプライバシーを両立できます。 |
ゼロタッチ登録及びコンテキストアウェア アクセスの詳細な設定手順については、以下のドキュメントと記事を参照してください。
- 参考 : Android のゼロタッチ登録の設定
前提条件
基本管理と詳細管理
Google Workspace のエンドポイント管理には、基本管理と詳細管理があります。Google Workspace のエディションによって、どちらの機能が利用できるかが決まります。
| 機能の名称 | 詳細 |
|---|---|
| 基本管理 | デバイス登録、紛失時の Google アカウントリモート削除、 デバイスのセキュリティステータス(例:OS バージョン) の確認などの基本的な管理機能を提供します。 |
| 詳細管理 | 組織で許可されていないアプリを禁止する機能やデータ操作制限 など、より高度な制御が可能。個人所有デバイス(BYOD) やゼロタッチ登録により、柔軟にデバイスを管理できます。 |
- 参考 : モバイル管理機能の比較
iOS デバイスの詳細管理
iOS デバイスで詳細管理を行うには、Apple プッシュ証明書が必要です。この証明書は Apple Push Certificates Portal で取得できます。詳細は以下のドキュメントを確認してください。
- 参考 : 会社所有の iOS デバイスの管理を設定する
- 参考 : Apple プッシュ証明書を設定する
検証手順
以下の手順でエンドポイント管理を設定し、動作を確認します。
デバイスの登録(iOS/Android)
管理コンソールにデバイスを登録します。iOS のポリシー設定
Google ドライブやドキュメントの業務データをローカル(例:Files アプリ)に保存できないよう制限します。Android のポリシー設定
業務用アプリ(例:Google Gemini)をリモート配布するための設定をします。iOS 動作確認(ローカル保存不可)
業務データが Files アプリに保存できないことを確認します。Android 動作確認(業務用アプリの配布)
業務用アプリがインストールされ、アンインストールできないことを確認します。Android 動作確認(アカウントワイプ)
管理コンソールから端末上の会社で使用している Google アカウントを削除します。
エンドポイント設定
デバイスの登録(iOS/Android)
デバイスの Google Chrome で Google(https://google.co.jp)にアクセスします。
会社で使用する Google アカウントでログインすることで、管理コンソールにデバイスが登録されます。
デバイスの登録確認(iOS/Android)
Google Workspace の管理コンソール(https://admin.google.com)にログインします。
- 参考 : 管理コンソールにログインする
[デバイス] > [モバイルとエンドポイント] > [デバイス] へ移動し、フィルタからメールアドレスでデバイスを抽出し、登録されていることを確認します。
iOS のポリシー設定
[モバイルとエンドポイント] > [設定] > [iOS] > [データ共有] を選択します。
設定を適用する組織部門を選択し、[データ操作] の [編集] を選択します。
以下を選択し、[保存] または [オーバーライド] を選択します。
- Google Workspace のデータが外部と共有される可能性のある操作を iOS で行うことをユーザーに許可しない
Android のポリシー設定
[モバイルとエンドポイント] > [設定] > [一般] > [全般] を選択します。
設定を適用する組織部門を選択し、[モバイル管理] の [編集] を選択します。
[カスタム] から Android を詳細に変更し、[保存] または [オーバーライド] を選択します。
[アプリ] > [ウェブアプリとモバイルアプリ] へ移動し、[アプリを追加] から [限定公開の Android アプリを追加] を選択します。
検索バーに Gemini と入力し、リストから Google Gemini を選択し、[選択] を選択します。
アプリを適用する対象(全ユーザーまたは特定の組織部門や Google グループ)を選択し、[続行] を選択します。
以下を選択し、[完了] を選択します。
- 自動インストール
- ユーザーがアプリをアンインストールできないようにする
動作確認
iOS の動作確認(ローカル保存不可)
Google ドキュメントアプリを起動し、会社で使っている Google アカウントを選択します。
Google ドキュメントファイルを開き、右上の […] を選択します。
[共有とエクスポート] > [コピーを送信] > [PDF] > [OK] を選択します。
["ファイル"に保存] を選択すると、ファイルを共有できませんと表示され、ローカルに保存ができないことを確認します。
Android の動作確認(業務用アプリの配布)
設定アプリから会社で使っている Google アカウントを選択し、仕事用プロファイルのセットアップを開始します。
- 参考 : 仕事用プロファイルの作成
以下メッセージが表示された場合、[モバイルとエンドポイント] > [デバイスの承認] から端末を選択し、[デバイスを承認] を選択します。
このデバイスは有効になっていません 管理者によるデバイスの承認が必要です。
セットアップが完了すると、設定したアプリが表示されます。業務用アプリはアプリのアイコンに鞄のアイコンが表示されます。
業務アプリは、先の設定の通り、アンインストールしようとすると失敗します。
Android の動作確認(アカウントワイプ)
[デバイス] > [モバイルとエンドポイント] > [デバイス] から端末を選択します。
[その他] > [アカウントをワイプ] を選択します。
[アカウントをワイプ] を選択し、ワイプを実行します。
インストールした業務アプリが削除されていることを確認します。
- 参考 : デバイスから企業データをワイプする
