次の方法で共有

Intuneを使用して Android で AI を管理する - IT 管理者向けガイド

Microsoft Intuneでは、Intuneに登録されている Android デバイスでの生成的 AI の使用を管理および制限できます。 AI アプリ、Web サイト、画面駆動型エクスペリエンス、オンデバイス AI サービス、OEM 固有の AI 機能をブロック (または許可) できます。

この記事では、Android デバイスで AI エクスペリエンスを利用できるさまざまな方法と、Intuneを使用してこれらのエクスペリエンスをブロックする方法について説明します。

このガイドの手順を使用すると、Android デバイスでの AI エクスペリエンスを管理および制限できます。

適用対象:

  • Android Enterprise

前提条件

デバイス プラットフォームの要件

IT 管理者とセキュリティ エンジニアは、次の Android 登録の種類で生成 AI を許可またはブロックできます。

  • Android Enterprise 企業所有のフル マネージド デバイス (COBO)
  • 会社所有 Android Enterprise 専用デバイス (COSU)
  • 仕事用プロファイルを持つ Android Enterprise 企業所有デバイス (COPE)
  • 仕事用プロファイルがある個人所有の Android Enterprise デバイス (BYOD)

さまざまな Android 登録オプションの詳細については、 Android 登録ガイドを参照してください。

デバイス構成の要件

  • 共同管理デバイスを含む、Intuneに登録されているデバイス
  • Intune管理センターでリンクされているマネージド Google Play アカウント (Android > 登録>管理対象 Google Play >デバイス)

ロールの要件

ポリシーを構成するには、次のロールを持つアカウントを使用します。

開始する前に

  • AI ポリシーを作成するときに、[ すべてのユーザー ] グループと [ すべてのデバイス ] グループに割り当てることができます。 この割り当ては最も簡単な方法ですが、特定のユーザーとデバイスにポリシーをターゲットにすることができます。

    詳細については、次を参照してください。

  • 仕事用プロファイル (COPE) を持つ企業所有デバイスと、仕事用プロファイル (BYOD) を持つ個人所有のデバイスの場合、ほとんどのコントロールは仕事用プロファイルでのみ使用できます。 個人用プロファイルでは使用できません。

  • このガイドの手順では、AI エクスペリエンスをブロックする方法について説明します。 特定の AI エクスペリエンスを許可する場合は、同じ手順を使用できますが、ブロックではなく許可するように構成できます。

  • ポリシーを作成して割り当てると、デバイスは次回Intuneでチェックしたときにポリシーを受け取ります。 詳細については、「ポリシーの更新間隔をIntuneする」を参照してください。

Android での AI の表示方法

Android デバイスでは、AI はいくつかの方法で利用できます。

  • AI アプリ - ChatGPT、Microsoft Copilot、Perplexity などのスタンドアロン アプリをデバイスにダウンロードして使用できます。
  • AI Web サイト - ユーザーは、Microsoft Edge や Chrome などのブラウザー アプリを通じて AI Web サイトにアクセスできます。
  • 画面駆動型およびアシスタント エクスペリエンス - 画面上のコンテンツ (Circle to Search など) を読み取ったり、アシスタントヘルプを提供したりする OS 統合機能は、通常、インストールされ、既定で使用できます。
  • デバイス上の AI サービス - Android は、AICore を使用して、デバイス上の Gemini Nano 基本モデルをローカルで実行できます。 メッセージ、レコーダー、GBoard などのアプリでは、Gemini Nano を使用してメッセージに応答し、概要を生成し、スマート応答を提案します。
  • OEM 固有の AI サービス - OEM は、Samsung の Galaxy AI などの独自の AI 機能を実装する場合があります。

AI アプリをブロックする

目標 - エンド ユーザーが Google Play ストアから AI アプリをインストールできない

ChatGPT、Copilot、Perplexity、Claude などの AI アプリは、Google Play ストアからインストールできます。 Intuneを使用して、これらのアプリがデバイスにインストールされないようにすることができます。

サポートされている登録の種類:

  • 企業所有のフル マネージド デバイス (COBO)
  • 企業所有の専用デバイス (COSU)
  • 仕事用プロファイルを持つ企業所有デバイス (COPE)

手順 1 - アプリ戦略を決定する

organizationのアプリ戦略を決定する - ブロックまたは許可:

  • ブロック戦略 - 管理者が割り当てない限り、Google Play ストアのアプリはダウンロードできません。 割り当てられているアプリのみがデバイスで使用できます。

    この戦略は、企業所有デバイスの既定値です。

  • 許可戦略 - 管理者によって特にブロックされていない限り、すべてのアプリをダウンロードできます。

    デバイス制限構成プロファイルで次の設定が [許可] に設定されている場合、organizationは許可戦略を使用している可能性があります。 この設定を使用すると、管理者以外の指定されたアプリをダウンロードできます。

    • デバイス>Android Enterprise>構成>作成>新しいポリシー>テンプレート>デバイスの制限>アプリケーション>Google Play ストア内のすべてのアプリへのアクセスを許可する

手順 2 - アプリ戦略を実装する

この手順では、AI アプリをブロックまたは許可するアプリ戦略を実装します。

ブロック戦略 (既定値)

ブロック戦略では、明示的に許可されていない限り、Google Play ストアのアプリはダウンロードできません。 次の手順を使用して、ブロックするアプリがデバイスにまだデプロイされていないことを確認します。

  1. Intune管理センターで、[アプリ] > [Android > Android アプリ] に移動します。
  2. アプリ名 >Properties を選択します
  3. [割り当て][必須] に設定されていないこと、登録済みデバイスで [使用可能] に設定されていないこと、または [登録ありまたは登録なし] に設定されていないことを確認します。

これらのオプションがすべて設定されていない場合、アプリはIntune ポリシーによってデプロイされていません。 これらのオプションのいずれかが設定されている場合は、アプリがデプロイされます。 このシナリオでは、割り当てを [アンインストール ] に変更して、デバイスから削除できます。

戦略を許可する

許可戦略を使用すると、Google Play ストア内のすべてのアプリをダウンロードできます。

  1. [Google Play ストア内のすべてのアプリへのアクセスを許可する] 設定が許可に設定されているかどうかを確認します。

    Copilot を使用する場合は、この設定をチェックするように Copilot に依頼できます。 新しいデバイス制限プロファイルを作成して、この設定を構成することもできます。

    1. Intune管理センターで、[デバイス>構成>作成>新しいポリシー] に移動します。

    2. 次のプロパティを構成し、[ 作成] を選択します。

      • [プラットフォーム]: [Android エンタープライズ] を選択します。
      • プロファイルの種類: [ テンプレート>Fully Managed、Dedicated、および Corporate-Owned Work Profile>Device の制限を選択します。

    3. [アプリケーション] カテゴリ 展開し 、[Google Play ストア内のすべてのアプリへのアクセスを許可 する] 設定を [許可] に設定します。

    4. [ 次へ ] を選択し、プロファイルの作成を続行します。 詳細な手順については、「 デバイス プロファイルの作成」を参照してください。

  2. ブロックするアプリを追加します。

    Intuneに追加されると、アプリをブロックできます。 その後、マネージド アプリと見なされます。

    1. Intune管理センターで、[Android >アプリ] > [マネージド Google Play アプリ>作成] に移動します。
    2. >Sync をブロックする AI アプリを選択します
    3. [ アプリ > Android > Android アプリ] で、アプリが一覧に表示されていることを確認します。 同期には数分かかる場合があります。

  3. [アンインストール] に割り当てることで、特定のアプリをブロックします。

    アプリが既にデバイスにインストールされている場合は、[ アンインストール ] にアプリを割り当てると、デバイスから削除されます。

    1. Intune管理センターで、[アプリ] > [Android > Android アプリ] に移動します。
    2. > Properties をアンインストールする AI アプリを選択します。
    3. [割り当て>編集] を選択します
    4. [ アンインストール] で、グループ、ユーザー、またはデバイスを追加します。

AI Web サイトをブロックする

目標 - Web ブラウザー アプリで AI Web サイトをブロックする

アプリ構成ポリシー Intune使用して、Microsoft Edge や Chrome などの Web ブラウザー アプリの AI Web サイトへのアクセスをブロックできます。 入力した Web サイトのみがブロックされます。 そのため、この方法を使用して、特定の AI Web サイトのみを許可することもできます。 複数のブラウザーを使用する場合は、Web ブラウザー アプリごとに個別のポリシーを作成する必要があります。

サポートされている登録の種類:

  • 企業所有のフル マネージド デバイス (COBO)
  • 企業所有の専用デバイス (COSU)
  • 仕事用プロファイルを持つ企業所有デバイス (COPE)
  • 仕事用プロファイルを持つ個人所有のデバイス (BYOD)

手順 1 - Web ブラウザーをマネージド アプリとして追加する

ブラウザーの設定を構成するには、まず、ブラウザー アプリをIntuneに追加して、管理対象アプリになるようにする必要があります。

手順については、次を参照してください。

手順 2 - アプリ構成ポリシーを作成する

次の手順を使用して、入力した AI Web サイトへのアクセスをブロックするように Web ブラウザー アプリを構成するアプリ構成ポリシーを作成します。

  1. Intune管理センターで、[アプリ>構成] > [管理対象デバイスの作成] >移動します

  2. [ 基本] で、次のプロパティを構成します。

    • [名前]: ポリシーの名前 ( Edge で AI Web サイトをブロックする) を入力します。

    • [プラットフォーム]: [Android エンタープライズ] を選択します。

    • プロファイルの種類: 登録の種類を選択します。

      • フル マネージド、専用、Corporate-Owned 作業プロファイルのみ
      • 個人所有の仕事用プロファイル デバイス

    • 対象アプリ: Microsoft Edge や Chrome など、追加したブラウザー アプリを選択します。

  3. [次へ] を選択します。

  4. [設定>構成設定の形式] で、[JSON データの入力] を選択します。 ブロックする URL の一覧を入力します。 たとえば、次のように入力します。

    {
  "key": "URLBlocklist",
  "valueStringArray": [ "https://chatgpt.com", "https://claude.ai", "https://copilot.microsoft.com", "https://perplexity.ai", "https://gemini.google.com" ]
}

  5. [ 次へ] を選択し、ポリシーの作成を続行します。 詳細な手順については、「マネージド Android Enterprise デバイスのApp Configuration ポリシーを追加する」を参照してください。

Screen-Driven AI エクスペリエンスをブロックする

目標 - 画面上のコンテンツを読み取ることができる機能をブロックする

AI 機能は、画面上のコンテンツを読み取ることができ、画面に表示されるスクリーンショットやコンテンツから & 推奨事項に関する分析情報を提供できます。 これらの機能の一部は、Circle to Search などの OS に組み込まれており、一部はアシスタント アプリによって提供されます。

これらの機能をブロックするには、Intuneを使用してスクリーンショット機能を制限し、特権アプリとのコンテンツ共有をブロックできます。

サポートされている登録の種類:

  • 企業所有のフル マネージド デバイス (COBO)
  • 企業所有の専用デバイス (COSU)

手順 1 - 基本カバレッジを実装する

この手順では、[ 特権アプリとのコンテンツ共有をブロックする] 設定 を構成する設定カタログ ポリシーを作成します。

この設定は、スクリーンショットやアプリの詳細などのコンテンツが、アシスタント アプリなどの特権アプリに送信されるのを支援します。 この設定は、Android AI 機能 (Circle to Search など) で使用できます。 この設定は、一般的なスクリーンショット機能には影響しません。

  1. Intune管理センターで、[デバイス>構成] > [新しいポリシーの作成] >移動します

  2. 次のプロパティを入力します。

    • [プラットフォーム]: [Android エンタープライズ] を選択します。
    • プロファイルの種類: [設定カタログ] を選択します

  3. [作成] を選択します。

  4. [ 基本] で、プロファイルの [名前] を 入力し、[ 次へ] を選択します。

  5. [ 設定の追加] を選択します

  6. [全般] カテゴリ >[特権アプリを使用したコンテンツ共有をブロックする] 設定を選択します。 その値を True に設定 します

  7. [ 次へ ] を選択し、プロファイルの作成を続行します。 詳細な手順については、「Intune設定カタログを使用して設定を構成する」を参照してください。

手順 2 - 包括的なカバレッジを実装する (省略可能)

より包括的な保護のために、スクリーン キャプチャをブロックすることで、スクリーンショットの機能やその他の機能を制限することもできます。

この設定により、AI 機能が画面上のコンテンツにアクセスできなくなりますが、デバイス全体のスクリーンショットも無効になります。

  1. Intune管理センターで、[デバイス>構成] > [新しいポリシーの作成] >移動します

  2. 次のプロパティを入力します。

    • [プラットフォーム]: [Android エンタープライズ] を選択します。
    • プロファイルの種類: [設定カタログ] を選択します

  3. [作成] を選択します。

  4. [ 基本] で、プロファイルの [名前] を 入力し、[ 次へ] を選択します。

  5. [ 設定の追加] を選択します

  6. [全般] カテゴリ >[画面キャプチャのブロック] 設定を選択します。 その値を True に設定 します

    この設定により、AI 機能が画面上のコンテンツにアクセスできないようにブロックされます。 エンド ユーザーは、デバイスでスクリーンショットを撮ることはできません。

  7. [ 次へ ] を選択し、プロファイルの作成を続行します。 詳細な手順については、「Intune設定カタログを使用して設定を構成する」を参照してください。

デバイス上の AI システム アプリを無効にする

目標 - Google のローカル AI 処理をブロックする

Gemini Nano は、Google のデバイス上の基盤モデルであり、デバイス上の AI 操作を処理します。 これにより、メッセージ、レコーダー、GBoard、およびその他のサービスで AI の概要とメッセージ応答機能が有効になります。 Intuneを使用して、AICore システム アプリを無効にすることができます。

サポートされている登録の種類:

  • 企業所有のフル マネージド デバイス (COBO)
  • 企業所有の専用デバイス (COSU)
  • 仕事用プロファイルを持つ企業所有デバイス (COPE)
  • 仕事用プロファイルを持つ個人所有のデバイス (BYOD)

AICore システム アプリを無効にするには、次の手順に従います。

  1. Intune管理センターで、[アプリ] > [Android >作成] を選択します。

  2. [ アプリの種類の選択] で、[ その他の > Android Enterprise システム アプリ] を選択し、[選択] を 選択します

  3. [ アプリ情報] で、次のプロパティを構成し、[ 次へ] を選択します。

    • [名前]: 「 AICore」と入力します。
    • パブリッシャー: 「 Google Android」と入力します。
    • パッケージ名: 「 com.google.android.aicore」と入力します。

  4. [スコープのタグ] で、[次へ] を選択します。

  5. [ 割り当て] > [アンインストール] で、アプリのグループ割り当てを選択します。 [ アンインストール] を選択すると、アプリは無効になります。

    [次へ] を選択します。

  6. [ 確認と作成] で、アプリに対して入力した値と設定を確認します。 完了したら、[ 作成] を選択します。

OEM-Specific AI 機能を無効にする

目標 - OEM が提供する AI 機能をオフにする

OEM は、Knox サービス プラグインを通じて Samsung Galaxy AI エクスペリエンスのように、デバイスに独自の AI 機能と機能を含めることができます。 これらの機能は通常、OEM の OEMConfig アプリを通じて管理されます。 Intuneを使用して、これらの AI 機能を管理するように OEMConfig アプリを構成できます。

OEMConfig アプリを構成するには、アプリで使用できる AI 設定を知っている必要があります。 OEMConfig アプリで使用可能な AI コントロールの一覧を取得するには、OEM にお問い合わせください。

サポートされている OEMConfig アプリの一覧については、「Intune - サポートされている OEMConfig アプリの OEMConfig」を参照してください。

サポートされている登録の種類:

  • 企業所有のフル マネージド デバイス (COBO)
  • 企業所有の専用デバイス (COSU)
  • 仕事用プロファイルを持つ企業所有デバイス (COPE)
  • 仕事用プロファイルを持つ個人所有のデバイス (BYOD)

次の手順を使用して、OEMConfig アプリとその AI 機能を追加、展開、および構成します。

手順 1 - OEMConfig アプリを追加する

  1. Intune管理センターで、[Android >アプリ] > [Create > Managed Google Play アプリ] > [選択] に移動します
  2. 構成する OEMConfig アプリを選択します。
  3. [Select>Sync] を選択します

アプリが一覧に表示されていることを確認します (アプリ > Android > Android アプリ)。 同期には数分かかることがあります。

手順 2 - OEMConfig アプリをデプロイする

  1. Intune管理センターで、[アプリ] > [Android > Android アプリ] に移動します。

  2. 追加した OEMConfig アプリを選択します。

  3. [ プロパティ>Assignments>Edit] を選択します

  4. グループまたはユーザーを次の 割り当てに追加します。

    • 必須
    • 登録されたデバイスで利用可能
    • 登録の有無にかかわらず使用できます

  5. 変更内容をレビューして保存します。

手順 3 - OEMConfig アプリを構成する

  1. Intune管理センターで、[デバイス] > [デバイスの管理] > [構成] > [新しいポリシーの作成] >移動します

  2. 次のプロパティを入力します。

    • [プラットフォーム]: [Android エンタープライズ] を選択します。
    • プロファイルの種類: [テンプレート] > OEMConfig を選択します。

  3. [作成] を選択します。

  4. [ 基本] で、次のプロパティを構成し、[ 次へ] を選択します。

    • [名前]: プロファイルの名前を入力します。
    • OEMConfig アプリ: 追加して割り当てた OEMConfig アプリを選択します。

  5. [ 構成設定] で、[ 構成デザイナー ] または [JSON エディター ] を選択して、OEMConfig アプリで使用できる設定を構成します。 [構成デザイナー] を選択すると、[検索] ボックスを使用して AI 関連の設定を見つけることができます。

    使用可能な設定は、選択した OEMConfig アプリによって異なります。 OEMConfig アプリで使用可能な AI コントロールの一覧を取得するには、OEM にお問い合わせください。

  6. [ 次へ ] を選択し、プロファイルの作成を続行します。 詳細な手順については、「 OEMConfig を使用して Android Enterprise デバイスを使用して管理する」を参照してください。

    OEMConfig アプリを割り当てたのと同じグループまたはユーザーにプロファイルを割り当てることを確認します。

関連コンテンツ

  • Last updated on