最終更新:2026年4月17日
この記事のポイント
- Google WorkspaceのMDM(モバイルデバイス管理)は追加費用なしで利用でき、Google Device Policy(iOS向け)とAndroid Device Policyアプリがデバイス側のエージェントとして機能します。
- 基本的なモバイル管理は全プランで、詳細なモバイル管理(パスワード強制・リモートワイプ・アプリ管理など)はBusiness Plus以上で利用できます。
- BYODには仕事用プロファイル(Work Profile)の導入が実用的で、会社データと個人データを分離したまま安全に運用できます。
- 本記事では設定5ステップ、緊急時のワイプ手順、プラン別比較表、業種別ポリシー例、FAQまでを管理者目線で解説します。
スマートフォンやタブレットがビジネスの標準端末になる一方で、私物端末の業務利用(BYOD)や社外からのアクセスが増え、情報漏洩リスクは年々高まっています。
筆者は企業のGoogle Workspace導入・運用支援を10年以上担当してきましたが、近年特に相談が増えているのが「スマホのセキュリティをどう担保するか」という課題です。
実は、Google Workspaceには標準でMDM機能が組み込まれており、「Google Device Policy」や「Android Device Policy」アプリを通じて会社のポリシーをモバイル端末に適用できます。この記事では、その全体像と具体的な設定手順、そして運用で失敗しないための考え方までをまとめました。
Google Workspaceのモバイルデバイス管理(MDM)とは?
MDM(Mobile Device Management)とは:企業や組織が従業員の利用するスマートフォンやタブレットを、一元的に管理・監視・保護するための仕組みのことです。セキュリティポリシーの適用、リモートワイプ、アプリの配布管理などが可能になります。
Google Workspaceでは、このMDM機能が管理コンソールに統合されており、追加費用なしで利用を開始できます。提供レベルは大きく2段階に分かれます。
基本的なモバイル管理
Business Starter、Business Standard、Business Plus、Enterpriseの全プランで利用できる基本機能です。ユーザーがGoogleアカウントでデバイスにログインすると、管理者は以下を制御できます。
- デバイスリストの確認:組織のGoogle Workspaceにアクセスしているデバイスの一覧を表示。
- アカウントのリモートログアウト:退職時や紛失時に、特定デバイスからGoogleアカウントを強制ログアウト。
- 最小限のパスワードポリシー:画面ロックの強制など基礎的な要件の適用。
BYOD環境でまず導入する「軽量な入口」として機能します。
詳細なモバイル管理
Business PlusおよびEnterpriseプランで利用可能な高度な制御機能です。デバイス自体に対して強力な制御権を持ち、組織のセキュリティポリシーを徹底できます。
- 高度なパスワードポリシー:長さ・複雑さ・有効期限の強制。
- デバイスのリモートワイプ:端末全体の初期化、またはGoogleアカウントデータのみ削除(アカウントワイプ)。
- アプリ管理:未承認アプリのブロック、業務アプリの強制配布。
- デバイス機能の制限:カメラ利用禁止、画面キャプチャの無効化、Wi-Fi設定強制など。
- OSバージョンの強制:古いOSでの同期をブロック。
Google Device PolicyとAndroid Device Policyとは?役割と違いを解説
Google Device Policyとは:管理者が設定したセキュリティポリシーをモバイルデバイスに適用するためのGoogleのエージェントアプリです。iOS向けに提供され、App Storeからインストールして使用します。
Android Device Policyとは:Android端末向けの同等アプリで、Android 6.0以上の端末にPlayストアから配布され、仕事用プロファイルの作成や詳細なポリシー適用を担うエージェントです。
Google Device Policyでできること一覧
- 画面ロックパスワード(PINコード)の強制と複雑度の要求
- デバイスの暗号化状態の確認と必須化
- 管理者コンソールからのリモートロック・リモートワイプの実行
- 紛失・盗難時のアカウントワイプ(Google Workspaceデータのみ削除)
- OSバージョン・ルート化(Jailbreak)状態の検査
- 管理下Wi-Fiや証明書・VPN設定のプッシュ配信(詳細管理時)
- アプリのホワイトリスト/ブラックリスト運用(Android Device Policy+詳細管理)
管理者側とデバイス側で起きることを分けて理解する
- 管理者コンソール側の操作:「デバイス」→「モバイルとエンドポイント」から、ポリシー作成・対象組織部門の選択・承認待ちデバイスの可否判定・リモートワイプ指示を行う。
- デバイス側で起こること:ユーザーは初回ログイン時にGoogle/Android Device Policyのインストールを求められ、画面ロックや暗号化などのプロンプトが表示される。ポリシーに準拠するまでメール・Driveなどの同期がブロックされる。
インストール要件と初期セットアップ
- Android:Android 6.0以上。Playストアで「Android Device Policy」を取得し、会社アカウントでログイン→QRコードスキャンまたはEnterprise登録トークン入力→仕事用プロファイル作成。
- iOS:App Storeで「Google Device Policy」を取得し、会社アカウントでログイン→MDM構成プロファイルのインストールを許可。
- いずれも、インストール後に管理者コンソールの承認が必要な構成(手動承認)も選択できます。
【実践】Google Workspace MDMの基本設定5ステップ
ここからは、管理コンソールで実際にMDMを有効化する手順を5ステップで整理します。作業開始前に、管理者権限を持つアカウントでGoogle管理コンソールにログインしておきましょう。
ステップ1:モバイル管理を有効にする
- 管理コンソールから「デバイス」→「モバイルとエンドポイント」→「設定」→「全般設定」に移動。
- 「データアクセス」の項目を開き、「モバイル管理」をクリック。
- 「基本」または「詳細」を選択して保存。「基本」→「詳細」の切り替えは後からでも可能です。
ステップ2:パスワード要件を設定する
- 「モバイルとエンドポイント」→「設定」→「パスワード」に移動。
- 「パスワード要件をユーザーに適用する」のチェックをオン。
- 「詳細」管理選択時は、パスワードの最低文字数、必要文字種、自動ロック時間、有効期限などを細かく設定可能。
- 保存をクリック。
ステップ3:アカウントのワイプを許可する
- 「全般設定」→「データアクセス」内の「アカウントのワイプ」項目を確認。
- 「ユーザーに自分のアカウントのワイプを許可する」にチェックが入っていることを確認。
これにより、ユーザー自身が紛失時に別PCから自分のアカウントデータをリモート削除できます。
ステップ4:AndroidとiOS向けの詳細設定
「詳細」管理選択時は、OSごとに独立したポリシーが設定できます。iOSとAndroidで利用できる機能には差があるため、以下の比較で把握しておきましょう。
| 比較項目 | Android | iOS |
|---|---|---|
| エージェントアプリ | Android Device Policy(必須) | Google Device Policy |
| 仕事用プロファイル(Work Profile) | 対応(個人領域と分離可能) | 非対応(代わりに管理対象アプリで分離) |
| 管理スコープ | デバイス全体 or 仕事領域のみ | MDM構成プロファイル範囲内 |
| QRコードによる一括登録 | 対応 | 対応(Apple Business Manager併用時) |
| USBデバッグ・提供元不明アプリ制御 | 可 | 仕様上該当設定なし |
| 管理対象アプリのみバックアップ許可 | 仕事用プロファイルで可 | 可(App構成設定) |
| 管理コンソール操作パス | 「設定」→「Android」 | 「設定」→「iOS」 |
自社のポリシーに合わせて、OSごとに必要な項目を設定していきましょう。
ステップ5:デバイスの承認と管理
- 「全般設定」→「デバイスの承認」に移動。
- 「デバイスの承認を要求する」にチェック。未承認デバイスは管理者が許可するまで同期不可。
- 承認待ちデバイスは「デバイス」→「モバイルとエンドポイント」→「デバイス」一覧に表示され、個別に承認またはブロック可能。
デバイス紛失・退職時の緊急対応手順
アカウントワイプとは:デバイス全体を初期化せず、Google Workspaceアカウントのデータのみを遠隔削除する機能です。BYOD端末や、従業員の個人データも入っているデバイスに対して使います。
デバイスワイプ(全体ワイプ)とは:端末を工場出荷状態に戻す操作で、会社支給の業務専用端末を回収できないときの最終手段です。
ワイプ種別の使い分け基準
- 会社所有デバイス:全体ワイプを推奨。業務用データ・設定・キャッシュすべてを消去。
- BYOD(私物端末):アカウントワイプを基本。個人の写真・メッセージには触れずに業務データのみ削除。
- 仕事用プロファイル導入済みAndroid:プロファイルごと削除(個人領域は無傷)。
管理コンソールからのリモートワイプ実行手順
- 「デバイス」→「モバイルとエンドポイント」→「デバイス」で対象デバイスを検索。
- 対象行の「︙」メニューから「アカウントをワイプ」または「デバイスをワイプ」を選択。
- 確認ダイアログでワイプ理由を記録し、実行。
- 実行結果は「監査ログ」→「デバイス」から確認可能。
ワイプ実行前の確認チェックリスト
- 本人への連絡が取れるかどうか(端末紛失の場合)。
- 業務上必要なバックアップ・証拠保全が済んでいるか(退職者対応の場合はGoogle Vaultで保持設定済みか)。
- 実行日時・担当者・理由を台帳に記録する運用になっているか。
- 退職者対応はアカウントの無効化(サスペンド)→データ保持設定→ワイプの順で実施。
仕事用プロファイル(Work Profile)とは?BYODで使う実践手順
仕事用プロファイルとは:個人所有のAndroidデバイス上に仕事データ専用の隔離領域を作成し、会社データと個人データを分離する機能です。仕事用アプリはプロファイル側に閉じ込められ、個人アプリとは独立して動作します。
有効化の手順
- 管理コンソールで「デバイス」→「モバイルとエンドポイント」→「Android設定」→「仕事用プロファイル」を有効にする。
- 対象組織部門に対して「仕事用プロファイルを要求する」ポリシーを適用。
- 従業員は自端末でAndroid Device Policyをインストール→会社アカウントでログイン→プロンプトに従って仕事用プロファイルを作成。
- 登録完了後、Gmail・Drive・Chatなどの業務アプリはプロファイル側に自動配置(アイコンにブリーフケースマークが付く)。
管理者が「見えるもの」「見えないもの」
| 項目 | 管理者から見えるか |
|---|---|
| 仕事用プロファイル内のアプリ一覧 | 見える |
| 仕事用プロファイル内のアプリ使用状況 | 見える |
| デバイスのOSバージョン・モデル・シリアル | 見える |
| 個人領域にインストールしたアプリ | 見えない |
| 個人の写真・SMS・通話履歴 | 見えない |
| 個人のWebブラウジング履歴 | 見えない |
| 位置情報(常時) | 見えない(ポリシー許可時のみ限定的に参照) |
詳細なモバイル管理で設定できるパラメータと推奨値
詳細管理を有効にしたら、次は「どの数値・選択肢を設定するか」で迷いがちです。筆者が実務で企業に推奨している初期値を、主要パラメータごとにまとめました。
| パラメータ | 設定範囲 | 推奨値 |
|---|---|---|
| パスワード最低文字数 | 6〜16文字 | 8文字以上(機密情報部門は12文字以上) |
| 必要な文字種 | 英字のみ/英数字/英数字+記号 | 英数字+記号 |
| 失敗試行回数超過でのワイプ | 6〜10回 | 10回(通常業務)/6回(機密部門) |
| 自動画面ロック | 1〜60分 | 5分 |
| パスワード有効期限 | 日数指定(0=無期限) | 90日(金融・医療は30日) |
| 未同期時のアカウントワイプ猶予 | 任意日数 | 30日 |
| 画面キャプチャ | 許可/禁止 | 機密部門は禁止 |
| デバイス暗号化 | 必須/任意 | 必須 |
失敗しない!効果的なセキュリティポリシー策定の3つのポイント
MDM機能は導入して終わりではなく、「運用ルール=ポリシー」とセットで初めて効果を発揮します。ここでは現場で陥りがちな失敗と解決策を3つに絞って解説します。
ポイント1:一律ではなく利用シーンに応じたポリシーを策定する
全従業員に同じ厳しいポリシーを適用すると、外回りの営業担当者などから「使いにくい」と反発を招きます。解決策は、「組織部門」ごとにポリシーを分けることです。
- 全社共通の基本ポリシー:画面ロック必須、リモートワイプ許可、OSアップデート推奨。
- 機密情報アクセス部門ポリシー:経理・法務・役員には詳細管理を適用し、複雑パスワード・アプリ制限・2段階認証必須。
- BYODポリシー:仕事用プロファイルを必須化し、会社の管理範囲を業務データのみに限定。
ポイント2:業種別のリスクプロファイルに沿って設計する
業種によって守るべきデータの性質が違います。以下は実際に筆者が支援した業種ごとの設計例です。
- 医療:患者情報保護のため、デバイス暗号化必須・全体ワイプ運用・画面キャプチャ禁止・院内Wi-Fi限定アクセス。
- 金融:パスワード複雑度最高(12文字以上+記号)・有効期限30日・ルート化端末自動ブロック・コンテキストアウェアアクセスでIP制限。
- 一般企業(BYOD):仕事用プロファイル必須で個人プライバシーを確保、アカウントワイプのみ許可、アプリの強制インストールは業務アプリ3〜5本に絞る。
ポイント3:ポリシーは「作って終わり」にせず定期的に見直す
少なくとも年1回はポリシーを見直します。具体的な見直しポイントは以下の通りです。
- 監査ログからポリシー違反試行・未承認アクセスの頻度を確認。
- 新種のマルウェアやフィッシング事例を踏まえて設定を調整。
- 新業務アプリの追加・海外拠点拡張など、働き方変化への追随。
- 現場従業員からのフィードバックを収集し、セキュリティと利便性のバランスを再調整。
Google Workspaceの運用全体の信頼性については、Google WorkspaceのSLAと稼働率99.9%の実力もあわせて押さえておくと、障害時の備えまで一体で設計できます。
従業員のプライバシーへの配慮——MDMで会社は何を見ているか
BYOD導入の最大の障壁は、従業員の「会社に個人データまで覗かれるのでは?」という不安です。ここを言語化して共有するだけで、導入のスムーズさが大きく変わります。
Google Device Policyがアクセスする情報
- Wi-Fi設定適用に必要な位置情報権限(実際の位置追跡ではなくWi-Fi判定用途)
- デバイス登録に必要な端末識別子(IMEI・シリアル)
- QRコード登録時のカメラアクセス
- デバイスの暗号化状態・OSバージョン・ルート化有無
管理者がアクセスできない情報
- 個人領域の写真・動画
- SMS・通話履歴
- 個人アカウントで閲覧したWebサイト履歴
- 個人インストールアプリの使用状況(仕事用プロファイル利用時)
従業員向け説明文テンプレート(コピペ可)
社内告知にそのまま使える説明文です。
当社では業務スマートフォンに「Google Device Policy」または「Android Device Policy」アプリをインストールいただきます。これは会社のセキュリティポリシー(画面ロック、暗号化、紛失時のデータ保護など)を適用するためのものです。
アプリは業務データの保護のみを目的としており、皆さんの個人の写真・メッセージ・通話履歴・閲覧履歴にはアクセスしません。BYOD端末では「仕事用プロファイル」により業務データと個人データを完全に分離します。詳細はGoogleのプライバシーポリシーもご参照ください。
プラン別MDM機能比較とアップグレードの判断軸
「自社プランで何ができるか」を一覧で把握するため、主要MDM関連機能をプラン別にまとめました(2026年4月時点の公式情報に基づく)。
| 機能 | Business Starter | Business Standard | Business Plus | Enterprise |
|---|---|---|---|---|
| 基本的なモバイル管理 | ○ | ○ | ○ | ○ |
| 詳細なモバイル管理(パスワード強制・デバイスワイプ) | × | × | ○ | ○ |
| Android仕事用プロファイル強制 | × | × | ○ | ○ |
| アプリ管理(プッシュ配信・制限) | × | × | ○ | ○ |
| エンドポイント検証(Chromeブラウザ・PC) | × | × | ○ | ○ |
| コンテキストアウェアアクセス | × | × | △(基本) | ○(高度) |
| Google Vault(電子情報開示) | × | × | ○ | ○ |
| 会社所有デバイスの高度な管理 | × | × | △ | ○ |
| 月額目安(ユーザーあたり・年間契約) | 800円 | 1,600円 | 2,500円 | 要問合せ |
情報漏洩対策やコンプライアンス強化を本気で考える企業には、Business Plus以上を推奨します。特に以下の要件がある場合は詳細管理が必須になります。
- BYODを業務で本格的に運用し、仕事用プロファイルで分離したい。
- 退職者・紛失時にリモートで確実にデバイスワイプを実行したい。
- 監査・訴訟対応のためにGoogle Vaultでデータを保全したい。
- 社内ネットワーク・管理下デバイスからのみアクセスを許可する条件付きアクセスを実装したい。
コスト面がネックで上位プラン移行をためらう企業も多いですが、その場合は初年度15%割引が適用されるGoogle Workspace 15%割引プロモーションコードの活用を検討してください。特にBusiness Standardからのアップグレード時は、割引の効き幅が投資判断に直結します。
支払い方法や経理処理も合わせて見直したい場合はGoogle Workspaceの支払い方法と経理処理フロー、自社導入と外注の判断軸についてはGoogle Workspace導入支援の判断基準が参考になります。
よくある質問(FAQ)
Q1. Google Device PolicyはiPhoneでも使えますか?
はい、使えます。iOS版のGoogle Device PolicyアプリをApp Storeからインストールし、会社アカウントでログインすることで利用可能です。ただし、Androidの仕事用プロファイル機能はiOSでは利用できず、代わりに「管理対象アプリ」の枠組みで業務データと個人データを分離します。
Q2. BYOD(私物端末)でもMDMポリシーを強制できますか?
できます。詳細なモバイル管理(Business Plus以上)を有効にし、Androidでは仕事用プロファイル、iOSではMDM構成プロファイルを適用すれば、業務領域にのみポリシーが効く形で強制可能です。個人領域のデータや設定には影響を与えません。
Q3. Google Workspaceの無料プランでもMDMは使えますか?
無料のGoogle Workspace(Essentials StarterやGoogle Workspace Individualなど)では、基本的なモバイル管理のみ利用可能です。パスワード要件の強制、リモートワイプ、アプリ管理などの詳細機能はBusiness Plus以上の有償プランが必要です。
Q4. デバイスをワイプするとき、従業員に通知されますか?
管理者がリモートワイプを実行すると、端末は自動的に初期化(またはアカウントデータ削除)されますが、事前通知機能はありません。本人連絡や実行ログの記録は運用ルールでカバーする必要があり、台帳管理とセットで運用しましょう。
Q5. Androidの会社所有デバイスとBYODで管理方法は変わりますか?
はい、大きく変わります。会社所有はデバイス全体を管理対象にでき、制限も広範に設定可能です。BYODは仕事用プロファイル経由で仕事領域のみ管理するのが標準で、個人領域には一切介入しません。ワイプ方針も、会社所有=全体ワイプ、BYOD=アカウントワイプが基本です。
Q6. デバイスが管理コンソールに表示されないときは?
①ユーザーが対象組織部門に所属しているか、②モバイル管理が有効化されているか、③デバイス側でGoogle/Android Device Policyが起動しアカウントログインが完了しているか——の3点を順に確認します。iOSの場合はMDM構成プロファイルが「設定」アプリにインストールされているかも要チェックです。
まとめ
今回は、Google Workspaceのモバイルデバイス管理(MDM)機能を、Google Device Policy・Android Device Policyアプリの役割から、基本設定5ステップ、仕事用プロファイルによるBYOD運用、緊急時のリモートワイプ手順、プラン別比較、FAQまで一気通貫で解説しました。
- MDMの重要性:リモートワークとBYODが当たり前になった今、モバイルセキュリティは情報漏洩対策の要。
- Google WorkspaceのMDM:追加費用なしで「基本」管理が利用でき、Business Plus以上で「詳細」管理に拡張できる。
- Google Device Policy:iOS/Androidそれぞれのエージェントアプリが、ポリシー適用・ワイプ・状態検査を担う。
- 効果的なポリシー:組織部門と業種リスクに応じて粒度を変え、従業員説明と定期見直しをセットで運用することが成功の鍵。
MDMはもはや大企業だけのものではなく、Google Workspaceを使うすべての組織が今すぐ取り組むべきセキュリティ対策です。まずは自社の現状を把握し、本記事を参考に第一歩を踏み出してみてください。
これからBusiness Plusなどの上位プランへのアップグレードを検討する場合は、申し込み前に必ずGoogle Workspace 割引クーポン・プロモーションコード情報をチェックし、コストを抑えて賢く安全なビジネス環境を整えましょう。