※本記事にはアフィリエイト広告(PR)が含まれます。
最終更新:
本記事でわかること(管理者・従業員の両方向け)
Google WorkspaceのMDM(モバイルデバイス管理)は追加費用なしで利用でき、Google Device Policy(iOS向けエージェントアプリ)とAndroid Device Policy(Android向けエージェントアプリ)がデバイス側で会社のポリシーを適用します。本記事は、設定する管理者と、私物端末(BYOD)への導入を求められた従業員の双方の疑問に答えます。
- Google Device Policyでできること:画面ロック強制・暗号化必須化・リモートワイプ・OS/ルート化チェックなどの具体一覧
- 個人端末で会社が「見える情報・見えない情報」の境界(位置情報・通話・写真は見えない)
- iOS/Androidのインストール手順とiOSバージョン別の操作パスの違い
- Android Enterpriseの4つの登録モード(完全管理/COPE/仕事用プロファイル/専用デバイス)の使い分け
- 「Device security policy が最新でない」など実エラーの対処法と、登録解除・アンインストール手順
- プラン別にできることの違いと実費用:基本管理は全プラン、詳細管理はBusiness Plus以上
スマートフォンやタブレットが業務の標準端末になる一方で、私物端末の業務利用(BYOD)や社外アクセスが増え、情報漏洩リスクは年々高まっています。筆者は企業のGoogle Workspace導入・運用支援を10年以上担当してきましたが、近年特に増えているのが「スマホのセキュリティをどう担保するか」という相談です。
結論として、Google Workspaceには標準でMDM機能が組み込まれており、Google Device PolicyとAndroid Device Policyを通じて会社のポリシーをモバイル端末に適用できます。全体像・設定手順・トラブル対処・登録解除・プライバシーの境界まで、管理者と従業員の両視点で順に解説します。
Google WorkspaceのMDM(モバイルデバイス管理)とは?
Google Workspace MDMとは、管理者がスマートフォンやタブレットを管理コンソールから一元的に管理・保護できる標準機能です。追加費用なしで利用でき、画面ロック強制・リモートワイプ・アプリ配布などをポリシーとして適用します。提供レベルは「基本的なモバイル管理」と「詳細なモバイル管理」の2段階で、詳細管理はBusiness Plus以上で無償利用できます(出典:Google Workspace 管理者ヘルプ「モバイル管理機能の比較」)。
基本的なモバイル管理
基本的なモバイル管理は、Business Starter・Business Standard・Business Plus・Enterpriseのすべてのプランで利用できる軽量な入口です。ユーザーがGoogleアカウントでデバイスにログインすると、管理者は次を制御できます。
- デバイスリストの確認:組織のGoogle Workspaceにアクセスしているデバイスの一覧を表示。
- アカウントのリモートログアウト:退職・紛失時に、特定デバイスからGoogleアカウントを強制ログアウト。
- 最小限のパスワードポリシー:画面ロックの強制など基礎的な要件の適用。
エージェントアプリのインストールを必須とせず導入できるため、BYOD環境で最初に有効化する基盤として機能します。
詳細なモバイル管理
詳細なモバイル管理は、Business PlusおよびEnterprise(Standard/Plus)で利用できる高度な制御機能です。Google公式ヘルプによれば、この機能はBusiness PlusまたはEnterpriseの組織であればユーザー単位で追加費用なく使えます。デバイス自体に強い制御権を持ち、組織のセキュリティポリシーを徹底できます。
- 高度なパスワードポリシー:長さ・複雑さ・有効期限の強制。
- デバイスのリモートワイプ:端末全体の初期化、またはGoogleアカウントデータのみ削除(アカウントワイプ)。
- アプリ管理:未承認アプリのブロック、業務アプリの強制配布。
- デバイス機能の制限:カメラ利用禁止、画面キャプチャの無効化、Wi-Fi設定強制など。
- OSバージョンの強制:古いOSでの同期をブロック。
Google Device PolicyとAndroid Device Policyとは?役割と違い
Google Device Policyとは、管理者が設定したセキュリティポリシーをモバイルデバイスに適用するためのGoogleのエージェントアプリです。iOS向けに提供され、App Storeからインストールします。一方Android Device Policyとは、Android 6.0以上の端末にPlayストアから配布される同等のエージェントで、仕事用プロファイルの作成や詳細なポリシー適用を担います。どちらもデバイス側でポリシーを実行する「窓口」であり、設定そのものは管理コンソール側で行います。
Google Device Policyでできること一覧
- 画面ロックパスワード(PINコード)の強制と複雑度の要求
- デバイスの暗号化状態の確認と必須化
- 管理者コンソールからのリモートロック・リモートワイプの実行
- 紛失・盗難時のアカウントワイプ(Google Workspaceデータのみ削除)
- OSバージョン・ルート化(Jailbreak)状態の検査
- 管理下Wi-Fiや証明書・VPN設定のプッシュ配信(詳細管理時)
- アプリのホワイトリスト/ブラックリスト運用(Android Device Policy+詳細管理)
管理者側とデバイス側で起きることを分けて理解する
- 管理者コンソール側の操作:「デバイス」→「モバイルとエンドポイント」から、ポリシー作成・対象組織部門の選択・承認待ちデバイスの可否判定・リモートワイプ指示を行う。
- デバイス側で起こること:ユーザーは初回ログイン時にGoogle/Android Device Policyのインストールを求められ、画面ロックや暗号化などのプロンプトが表示される。ポリシーに準拠するまでメール・Driveなどの同期がブロックされる。
インストール要件と初期セットアップ(iOSはバージョンで操作が異なる)
AndroidとiOSではインストールの起点が異なり、特にiOSは構成プロファイルの入口がOSバージョンで変わります。「インストールできない」を防ぐため、番号付き手順で整理します。
Android(Android 6.0以上):
- Playストアで「Android Device Policy」を取得。
- 会社アカウントでログイン。
- QRコードスキャンまたはEnterprise登録トークンを入力。
- プロンプトに従って仕事用プロファイルを作成。
iOS(iOS 12.2以降):
- App Storeで「Google Device Policy」を取得し、会社アカウントでログイン。
- 構成プロファイルのダウンロードを許可。
- 「設定」→「一般」→「VPNとデバイス管理」を開き、ダウンロードしたプロファイルをインストール。
iOS 12.1.3以前:入口の名称が異なり、「設定」→「一般」→「プロファイルとデバイス管理」からインストールします。さらに古いバージョンでは「設定」→「一般」→「デバイス管理」と表示される場合があります(出典:Google Workspace 管理者ヘルプ)。
Google Device Policy/Android Device Policyが要求する権限と用途
Android Device Policyが要求する権限は、いずれも業務データ保護のための用途に限定されており、会社が個人の行動を追跡するためのものではありません。Google公式ドキュメントに基づき、権限・用途・会社が実際に取得できるデータを対応づけると次の通りです。
| 要求される権限 | 用途 | 会社が取得できるデータ |
|---|---|---|
| 位置情報 | 管理対象Wi-Fi/ネットワークの判定(Android OSがWi-Fi情報の読み取りに位置権限を要求するため) | Wi-Fi接続可否などの判定情報のみ。GPSによる現在地の常時追跡はしない |
| 電話 | デバイス識別子(IMEI・シリアル)の報告と登録 | 端末識別子のみ。通話内容・通話履歴は取得しない |
| カメラ | QRコード登録時のスキャン | QRの読み取りのみ。個人の写真・動画にはアクセスしない |
| 管理・ストレージ系 | 管理対象アプリの配布、暗号化状態の確認 | 暗号化状態・OSバージョン・ルート化有無・管理対象アプリ一覧 |
つまり「会社にGPSで居場所を常時追跡される」「通話を聞かれる」という不安は誤解です。位置情報権限はWi-Fi判定のための端末内処理が主目的で、Google公式ドキュメント上もリアルタイムの現在地や通話内容は取得対象に含まれません。
管理者が「見える情報」と「見えない情報」
Google Device Policy/Android Device Policy導入後に管理者が把握できるのは端末の状態と管理対象アプリに限られ、個人の通信内容や私的データは一切見えません。境界を対比すると以下の通りです(出典:Google公式「組織が確認できる情報・できない情報」)。
| 管理者が見える情報 | 管理者が見えない情報 |
|---|---|
| デバイスのモデル・OSバージョン | 個人インストールアプリ名・使用状況 |
| シリアル番号・IMEI(端末識別子) | 通話履歴・SMS・メッセージ内容 |
| 暗号化状態・ルート化(Jailbreak)有無 | 個人領域の写真・動画・ファイル |
| 管理対象アプリの一覧・最終同期日時 | 個人アカウントのブラウジング履歴 |
| 仕事用プロファイル内のアプリ | リアルタイムの現在地(GPS追跡) |
位置情報については、Wi-Fi設定の判定に使う位置権限は端末内で処理され、管理者が地図上で現在地を追えるわけではありません。仕事用プロファイルを使うBYODでは、見えない情報の範囲がさらに広がります。
Android Enterpriseの4つの登録モードと使い分け
「android mdm google」で会社支給端末の管理を検討する場合、Android Enterpriseには4つの登録モードがあり、所有形態(会社支給か私物か)で選ぶべきモードが変わります。BYODだけを前提にすると会社支給端末で過不足が生じるため、最初にモードを決めることが重要です(出典:Google Android Enterprise ドキュメント)。
| 登録モード | 所有形態 | 管理範囲 | ワイプ方式 | 適用シーン |
|---|---|---|---|---|
| 仕事用プロファイル(BYOD) | 個人所有 | 仕事領域のみ | プロファイル削除 | 私物端末の業務利用 |
| 完全管理対象デバイス(COBO) | 会社所有 | デバイス全体 | 全体ワイプ(初期化) | 業務専用の会社支給端末 |
| COPE(会社所有・個人利用可) | 会社所有 | デバイス全体+個人用の仕事用プロファイル | 全体ワイプ/プロファイル削除 | 会社支給で私用も許可する端末 |
| 専用デバイス(COSU/キオスク) | 会社所有 | 単一用途にロック | 全体ワイプ | 店舗端末・在庫管理・サイネージ等 |
Zero Touch Enrollment(ゼロタッチ登録)とは、対応端末を箱から出して電源を入れるだけで自動的にMDMに登録される仕組みです。利用にはAndroid 8.0以降の対応端末を認定リセラーから購入し、Android Zero-Touchポータルで構成を割り当てる必要があります(出典:Google Android Enterprise)。会社支給端末を数十台以上一括導入する際に、初期設定の工数を大きく削減できます。
【実践】Google Workspace MDMの基本設定5ステップ
管理コンソールでMDMを有効化する手順を5ステップで整理します。作業前に、管理者権限を持つアカウントでGoogle管理コンソールにログインしておきましょう。各ステップにナビゲーションパスをテキストで記載しているため、スクリーンショットがなくても初見の管理者が操作を追えます。
ステップ1:モバイル管理を有効にする
- 管理コンソール > デバイス > モバイルとエンドポイント > 設定 > 全般設定に移動。
- 「データアクセス」を開き、「モバイル管理」をクリック。
- 「基本」または「詳細」を選択して保存。「基本」→「詳細」の切り替えは後からでも可能。
ステップ2:パスワード要件を設定する
- デバイス > モバイルとエンドポイント > 設定 > パスワードに移動。
- 「パスワード要件をユーザーに適用する」をオン。
- 「詳細」管理選択時は、最低文字数・必要文字種・自動ロック時間・有効期限を細かく設定可能。
- 保存をクリック。
ステップ3:アカウントのワイプを許可する
- 全般設定 > データアクセス内の「アカウントのワイプ」項目を確認。
- 「ユーザーに自分のアカウントのワイプを許可する」にチェックが入っていることを確認。
これにより、ユーザー自身が紛失時に別のPCから自分のアカウントデータをリモート削除できます。
ステップ4:AndroidとiOS向けの詳細設定
「詳細」管理選択時は、OSごとに独立したポリシーを設定できます。iOSとAndroidで使える機能には差があるため、次の比較で把握しておきましょう。
| 比較項目 | Android | iOS |
|---|---|---|
| エージェントアプリ | Android Device Policy(必須) | Google Device Policy |
| 仕事用プロファイル(Work Profile) | 対応(個人領域と分離可能) | 非対応(代わりに管理対象アプリで分離) |
| 管理スコープ | デバイス全体 or 仕事領域のみ | MDM構成プロファイル範囲内 |
| QRコードによる一括登録 | 対応 | 対応(Apple Business Manager併用時) |
| USBデバッグ・提供元不明アプリ制御 | 可 | 仕様上該当設定なし |
| 管理対象アプリのみバックアップ許可 | 仕事用プロファイルで可 | 可(App構成設定) |
| 管理コンソール操作パス | 設定 > Android | 設定 > iOS |
ステップ5:デバイスの承認と管理
- 全般設定 > デバイスの承認に移動。
- 「デバイスの承認を要求する」にチェック。未承認デバイスは管理者が許可するまで同期不可。
- 承認待ちデバイスはデバイス > モバイルとエンドポイント > デバイス一覧に表示され、個別に承認またはブロック可能。
仕事用プロファイル(Work Profile)とは?BYODで使う実践手順
仕事用プロファイルとは、個人所有のAndroidデバイス上に仕事データ専用の隔離領域を作成し、会社データと個人データを分離する機能です。仕事用アプリはプロファイル側に閉じ込められ、個人アプリとは独立して動作します。まず自分のケースがどのシナリオに当たるかを確認しましょう。
| シナリオ | 管理範囲 | ワイプ方式 | 従業員のプライバシー |
|---|---|---|---|
| 会社所有(完全管理/COBO) | デバイス全体 | 全体ワイプ | 業務専用前提で個人利用は限定的 |
| 個人端末+仕事用プロファイル(BYOD) | 仕事領域のみ | プロファイル削除/アカウントワイプ | 個人領域は完全に保護 |
| 個人端末+基本管理のみ | アカウント単位 | アカウントワイプ | 端末への介入なし |
会社所有デバイスと個人端末(BYOD)では、MDMの制御範囲が根本的に異なります。会社所有の完全管理デバイスでは、管理者はアプリ・ネットワーク・初期化までデバイス全体を制御でき、ワイプは端末全体の初期化が基本です。一方、個人端末に仕事用プロファイルを導入した場合、管理者の制御は仕事領域に限定され、個人の写真・連絡先・アプリには一切介入できず、ワイプも仕事用プロファイルの削除(個人領域は無傷)にとどまります。原則は「会社支給=全体管理」「私物=業務データのみ管理」です。
有効化の手順
- 管理コンソールでデバイス > モバイルとエンドポイント > Android設定 > 仕事用プロファイルを有効にする。
- 対象組織部門に「仕事用プロファイルを要求する」ポリシーを適用。
- 従業員は自端末でAndroid Device Policyをインストール→会社アカウントでログイン→プロンプトに従って仕事用プロファイルを作成。
- 登録完了後、Gmail・Drive・Chatなどの業務アプリはプロファイル側に自動配置(アイコンにブリーフケースマークが付く)。
デバイス紛失・退職時の緊急対応手順
アカウントワイプとは、デバイス全体を初期化せず、Google Workspaceアカウントのデータのみを遠隔削除する機能です。BYOD端末や、従業員の個人データも入っているデバイスに使います。一方デバイスワイプ(全体ワイプ)とは、端末を工場出荷状態に戻す操作で、会社支給の業務専用端末を回収できないときの最終手段です。
ワイプ種別の使い分け基準
- 会社所有デバイス:全体ワイプを推奨。業務用データ・設定・キャッシュをすべて消去。
- BYOD(私物端末):アカウントワイプを基本。個人の写真・メッセージには触れず業務データのみ削除。
- 仕事用プロファイル導入済みAndroid:プロファイルごと削除(個人領域は無傷)。
緊急対応の実体験:BYOD紛失時にアカウントワイプで個人データを守った例
筆者が支援した従業員80名のIT系企業では、BYOD端末の紛失時に全体ワイプではなくアカウントワイプのみを実行する運用を設計していました。実際に営業担当者が私物スマホを紛失した際、管理コンソールから業務データだけを15分以内に遠隔削除でき、本人の家族写真や個人アプリには一切触れずに対応を完了できました。ワイプ方式を事前に運用ルールへ落とし込んでおくと、緊急時に「全体か業務のみか」で迷わずに済みます。
管理コンソールからのリモートワイプ実行手順
- デバイス > モバイルとエンドポイント > デバイスで対象デバイスを検索。
- 対象行の「︙」メニューから「アカウントをワイプ」または「デバイスをワイプ」を選択。
- 確認ダイアログでワイプ理由を記録し、実行。
- 実行結果は「監査ログ」→「デバイス」から確認可能。
ワイプ実行前の確認チェックリスト
- 本人への連絡が取れるか(端末紛失の場合)。
- 業務上必要なバックアップ・証拠保全が済んでいるか(退職者対応はGoogle Vaultで保持設定済みか)。
- 実行日時・担当者・理由を台帳に記録する運用になっているか。
- 退職者対応はアカウントの無効化(サスペンド)→データ保持設定→ワイプの順で実施。
なお退職者対応では、Googleドライブの共有権限の棚卸しも同時に必要です。スプレッドシートの退職者リストから一括で権限を変更する方法は、退職者のGoogleドライブ権限をGASで一括変更する手順で具体的に解説しています。情報持ち出し対策をモバイルとドライブの両面で固められます。
Google Device Policy/MDMの登録解除・アンインストール手順
退職・端末変更・BYOD契約終了時の登録解除は、iOSとAndroidで操作が異なります。「google device policy 個人 端末 削除」「google device policy アンインストール」で調べている方向けに、端末側と管理者側の両方の手順を整理します。
個人端末からGoogle Device Policyを削除・アンインストールする手順(iOS/Android)
iOS(構成プロファイルの削除):
- 「設定」→「一般」→「VPNとデバイス管理」を開く(iOS 12.1.3以前は「プロファイルとデバイス管理」)。
- 「Google Device Policy」または会社のMDM構成プロファイルを選択。
- 「プロファイルを削除」をタップし、パスコードを入力して確定。
Android(仕事用プロファイルの削除):
- 「設定」→「アカウント」(または「セキュリティ」→「仕事用」)を開く。
- 「仕事用プロファイル」を選択。
- 「仕事用プロファイルを削除」をタップ。プロファイル内の業務アプリ・データが一括削除される。
ユーザー自身による削除が許可されているかは管理者ポリシーに依存します。許可されていない場合は、管理者側での解除が必要です。
管理者側での登録解除手順
- デバイス > モバイルとエンドポイント > デバイスで対象デバイスを選択。
- 「デバイスを削除」またはアカウントワイプを実行。
- 端末側のMDMプロファイルが自動的に削除される(反映は即時〜数分)。
登録解除後に「削除されるもの/されないもの」
| 削除されるもの | 削除されないもの |
|---|---|
| 管理対象アプリ(業務用Gmail・Drive など) | 個人の写真・動画 |
| 会社メール・企業カレンダーのデータ | 個人アプリ・個人アカウント |
| 仕事用プロファイルそのもの(Android) | 個人の連絡先・SMS・通話履歴 |
| 適用されていた会社ポリシー(画面ロック強制など) | 個人領域の各種設定 |
トラブルシューティング:よくあるエラーと解決手順
App Storeのレビューや実際の運用で報告される代表的なエラーを、メッセージ文言ごとに整理します。所有形態(会社所有/個人端末+仕事用プロファイルあり/なし)で対処が変わる点も併記します。
「Device security policy が最新でない」
- 原因:管理者がポリシーを変更した後、端末側でまだ同期が走っていない。
- 従業員側の対処:Google Device Policy/Android Device Policyアプリを開き、手動同期(「今すぐ同期」/プルダウンで更新)を実行。端末の再起動でも改善することがある。
- 管理者側の確認:管理コンソール > デバイス > 該当デバイスで「最終同期日時」を確認し、長時間同期されていなければアカウントの再ログインを案内。
「仕事用アカウントへのアクセス権を再取得するには管理者にお問い合わせください」
- 原因:パスワード試行失敗回数の超過、またはポリシー違反(暗号化未設定・ルート化検知など)でアクセスがブロックされている。
- 従業員側でできること:画面ロックの設定や暗号化など、求められたポリシーへの準拠。ただしブロック解除そのものはユーザー側ではできない。
- 管理者側の解除手順:管理コンソールで該当デバイスのブロック理由を確認し、要件を満たした後に承認またはブロックを解除。会社所有端末は再登録、BYODは仕事用プロファイルの再作成で復旧する場合がある。
「アプリは最新なのに更新を求められる」
- 原因:Android Device Policy側のキャッシュ不整合、または同期待ち。
- 対処:「設定」→「アプリ」→Android Device Policyのキャッシュをクリア→アプリを開いて再同期。改善しない場合は端末を再起動し、Playストアでアプリのバージョンを再確認。
- 所有形態別の注意:会社所有(完全管理)はリセット操作が制限される場合があるため、管理者に同期状況の確認を依頼する。
詳細なモバイル管理で設定できるパラメータと推奨値
詳細管理を有効にしたら、次は「どの数値・選択肢を設定するか」で迷いがちです。筆者が実務で企業に推奨している初期値を、根拠・リスクレベルとあわせて主要パラメータごとにまとめました。
| パラメータ | 設定範囲 | 推奨値 | 根拠・リスク |
|---|---|---|---|
| パスワード最低文字数 | 6〜16文字 | 8文字以上(機密部門は12文字以上) | 短いと総当たりに弱い。機密部門は長さで耐性を確保 |
| 必要な文字種 | 英字のみ/英数字/英数字+記号 | 英数字+記号 | 推測されにくい組み合わせで不正ログインを抑止 |
| 失敗試行回数超過でのワイプ | 6〜10回 | 10回(通常業務)/6回(機密部門) | 総当たり対策。低すぎると誤入力で誤ワイプの恐れ |
| 自動画面ロック | 1〜60分 | 5分 | 置き忘れ時の覗き見防止。長いほどリスク増 |
| パスワード有効期限 | 日数指定(0=無期限) | 90日(金融・医療は30日) | 漏洩時の有効期間を短縮。短すぎると使い回しを誘発 |
| パスワード履歴(再利用禁止数) | 任意の個数 | 5個以内は再利用禁止 | 過去パスワードの使い回しを防止 |
| 未同期時のアカウントワイプ猶予 | 任意日数 | 30日 | 長期未同期=紛失放置の可能性。データを自動削除 |
| 画面キャプチャ | 許可/禁止 | 機密部門は禁止 | スクショ経由の情報の二次流出を防止 |
| デバイス暗号化 | 必須/任意 | 必須 | 盗難・紛失時のデータ保護の前提条件 |
失敗しない!効果的なセキュリティポリシー策定の3つのポイント
MDM機能は導入して終わりではなく、「運用ルール=ポリシー」とセットで初めて効果を発揮します。現場で陥りがちな失敗と解決策を3つに絞って解説します。
ポイント1:一律ではなく利用シーンに応じたポリシーを策定する
全従業員に同じ厳しいポリシーを適用すると、外回りの営業担当などから「使いにくい」と反発を招きます。解決策は「組織部門」ごとにポリシーを分けることです。
- 全社共通の基本ポリシー:画面ロック必須、リモートワイプ許可、OSアップデート推奨。
- 機密情報アクセス部門ポリシー:経理・法務・役員には詳細管理を適用し、複雑パスワード・アプリ制限・2段階認証を必須化。
- BYODポリシー:仕事用プロファイルを必須化し、会社の管理範囲を業務データのみに限定。
ポイント2:業種別のリスクプロファイルに沿って設計する
業種によって守るべきデータの性質が違います。以下は実際に筆者が支援した業種ごとの設計例です。
- 医療:患者情報保護のため、デバイス暗号化必須・全体ワイプ運用・画面キャプチャ禁止・院内Wi-Fi限定アクセス。
- 金融:パスワード複雑度を高く(12文字以上+記号)・有効期限30日・ルート化端末を自動ブロック・コンテキストアウェアアクセスでIP制限。
- 一般企業(BYOD):仕事用プロファイル必須で個人プライバシーを確保、アカウントワイプのみ許可、アプリの強制インストールは業務アプリ3〜5本に絞る。
ポイント3:ポリシーは「作って終わり」にせず定期的に見直す
少なくとも年1回はポリシーを見直します。具体的な見直しポイントは次の通りです。
- 監査ログからポリシー違反試行・未承認アクセスの頻度を確認。
- 新種のマルウェアやフィッシング事例を踏まえて設定を調整。
- 新業務アプリの追加・海外拠点拡張など、働き方の変化への追随。
- 現場従業員のフィードバックを収集し、セキュリティと利便性のバランスを再調整。
退職者による情報持ち出しは内部不正の主要パターンであり、IPA(情報処理推進機構)「組織における内部不正防止ガイドライン」でもデバイスとアクセス権の管理が重視されています。Google Workspace全体の信頼性については、Google WorkspaceのSLAと稼働率99.9%の実力もあわせて押さえると、障害時の備えまで一体で設計できます。
従業員のプライバシーへの配慮——MDMで会社は何を見ているか
BYOD導入の最大の障壁は、従業員の「会社に個人データまで覗かれるのでは?」という不安です。ここを言語化して共有するだけで、導入のスムーズさが大きく変わります。
Google Device Policyがアクセスする情報(公式ドキュメント準拠)
- 管理対象Wi-Fiの判定に必要な位置情報権限(実際の現在地追跡ではなくWi-Fi判定用途)
- デバイス登録に必要な端末識別子(IMEI・シリアル)
- QRコード登録時のカメラアクセス
- デバイスの暗号化状態・OSバージョン・ルート化有無
管理者がアクセスできない情報
- 個人領域の写真・動画
- SMS・メッセージの内容・通話履歴・通話内容
- 個人アカウントで閲覧したWebサイト履歴
- 個人インストールアプリのデータと使用状況(仕事用プロファイル利用時)
従業員向け説明文テンプレート(コピペ可)
社内告知にそのまま使える説明文です。
当社では業務スマートフォンに「Google Device Policy」または「Android Device Policy」アプリをインストールいただきます。これは会社のセキュリティポリシー(画面ロック、暗号化、紛失時のデータ保護など)を適用するためのものです。アプリが利用する位置情報は管理対象Wi-Fiの判定が目的で、GPSによる居場所の追跡は行いません。電話やカメラの権限も、端末識別の報告とQRコード登録のためだけに使われます。
このアプリは業務データの保護のみを目的としており、皆さんの個人の写真・メッセージ・通話内容・閲覧履歴にはアクセスしません。BYOD端末では「仕事用プロファイル」により業務データと個人データを完全に分離します。詳細はGoogleのプライバシーポリシーもご参照ください。
プラン別MDM機能比較とアップグレードの判断軸
「自社プランで何ができるか」を把握するため、主要なMDM関連機能をプラン別にまとめました(2026年6月時点の公式情報に基づく)。
| 機能 | Business Starter | Business Standard | Business Plus | Enterprise |
|---|---|---|---|---|
| 基本的なモバイル管理 | ○ | ○ | ○ | ○ |
| 詳細なモバイル管理(パスワード強制・デバイスワイプ) | × | × | ○ | ○ |
| Android仕事用プロファイル強制 | × | × | ○ | ○ |
| アプリ管理(プッシュ配信・制限) | × | × | ○ | ○ |
| エンドポイント検証(Chromeブラウザ・PC) | × | × | ○ | ○ |
| コンテキストアウェアアクセス | × | × | △(基本) | ○(高度) |
| Google Vault(電子情報開示) | × | × | ○ | ○ |
| 会社所有デバイスの高度な管理 | × | × | △ | ○ |
| 月額目安(ユーザーあたり・年間契約・税抜) | 800円 | 1,600円 | 2,500円 | 要問合せ |
詳細なモバイル管理が必要なら、現実的な選択肢はBusiness Plus以上です。Google Workspace公式料金ページ(2026年6月時点・年間契約・税抜)によれば、Business Standardは月額1,600円、Business Plusは月額2,500円で、その差額は1ユーザーあたり月900円です。50名規模なら年間で約54万円(900円×50名×12か月)の追加コストとなります。いずれのプランもGeminiが標準搭載されています(価格は改定されるため、申込前に必ず公式料金ページで最新額を確認してください)。特に以下の要件がある場合は詳細管理が必須になります。
- BYODを本格運用し、仕事用プロファイルで業務データと個人データを分離したい。
- 退職者・紛失時にリモートで確実にデバイスワイプを実行したい。
- 監査・訴訟対応のためにGoogle Vaultでデータを保全したい。
- 社内ネットワーク・管理下デバイスからのみ許可する条件付きアクセスを実装したい。
コスト面で上位プラン移行をためらう場合は、初年度15%割引が適用されるGoogle Workspace 割引クーポン・プロモーションコードを申込前に確認しておくと、Business Plusへの移行コストを抑えられます。特にBusiness Standardからのアップグレード時は、割引の効き幅が投資判断に直結します。
支払い方法や経理処理も見直したい場合はGoogle Workspaceの支払い方法と経理処理フロー、自社導入と外注の判断軸はGoogle Workspace導入支援の判断基準が参考になります。
Google Workspace MDMとサードパーティMDMの比較(Intune・Jamf Pro)
「google mdm」で検索するソリューション選定段階の担当者にとって、判断軸はGoogle標準で足りるか、Microsoft IntuneやJamf Proを追加すべきかです。3製品を主要5軸で比較しました(価格は各社公式の2026年6月時点・概算)。
| 比較軸 | Google Workspace MDM | Microsoft Intune | Jamf Pro |
|---|---|---|---|
| 追加コスト | 不要(Business Plus以上に標準) | 約$8/ユーザー/月(Plan 1単体) | 約$3.67/iOS・約$7.89/Mac(1デバイス/月・年払い) |
| iOS管理の深度(ADE/ABM) | ○(Apple Business Manager併用) | ○ | ◎(Apple特化で最も深い) |
| 条件付きアクセスのきめ細かさ | △〜○(コンテキストアウェアアクセス) | ◎(Entra ID連携で詳細制御) | △(単体では限定的) |
| Windows/Mac対応 | △(エンドポイント検証が中心) | ◎(Windows管理に強い) | ○(Mac/iOS特化・Windows非対応) |
| Google Workspaceとの統合度 | ◎(標準統合) | △ | △ |
Google MDMが最適なケース:主端末がAndroid/iOSで、Google Workspaceを情報基盤にしており、追加コストをかけずにBYODと基本〜詳細管理をまかないたい組織。Intuneを追加すべきケース:Windows端末が50台以上あり、Entra IDで条件付きアクセスを細かく制御したい、またはMicrosoft 365を併用している組織。Jamf Proを追加すべきケース:Mac/iPhone/iPadが中心で、Apple Automated Device Enrollment(ADE)を前提とした深いApple管理が必須の組織です(出典:Microsoft公式・Jamf公式)。
よくある質問
設定する管理者と、私物端末への導入を求められた従業員の双方の疑問をまとめました。前半が管理者向け、後半が従業員のプライバシーに関する質問です。
- Q. Google Device PolicyはiPhoneでも使えますか?
- A. はい。App StoreからGoogle Device Policyアプリを入れ、会社アカウントでログインすれば利用できます。ただしAndroidの仕事用プロファイルはiOSにはなく、代わりに「管理対象アプリ」の枠組みで業務データと個人データを分離します。
- Q. BYOD(私物端末)でもMDMポリシーを強制できますか?
- A. できます。詳細なモバイル管理(Business Plus以上)を有効にし、Androidは仕事用プロファイル、iOSはMDM構成プロファイルを適用すれば、業務領域にのみポリシーを強制できます。個人領域のデータや設定には影響しません。
- Q. 無料プランやBusiness StandardでもMDMは使えますか?
- A. 基本的なモバイル管理(画面ロックの最小要件・リモートログアウトなど)はBusiness Starter・Standardでも使えます。パスワード強制・リモートワイプ・アプリ管理などの詳細管理はBusiness Plus以上が必要です(出典:Google Workspace 管理者ヘルプ)。
- Q. デバイスをワイプするとき従業員に通知されますか?
- A. リモートワイプを実行すると端末は自動的に初期化(またはアカウントデータ削除)されますが、事前通知の機能はありません。本人連絡と実行ログの記録は運用ルールでカバーし、台帳管理とセットで運用します。
- Q. 会社所有のAndroidとBYODで管理方法は変わりますか?
- A. 大きく変わります。会社所有(完全管理)はデバイス全体を管理でき全体ワイプが基本、BYODは仕事用プロファイル経由で仕事領域のみ管理し、アカウントワイプ(またはプロファイル削除)が基本です。
- Q. デバイスが管理コンソールに表示されないときは?
- A. ①ユーザーが対象組織部門に所属しているか、②モバイル管理が有効か、③端末でGoogle/Android Device Policyが起動しログイン済みか、を順に確認します。iOSはMDM構成プロファイルが「設定」アプリに入っているかも確認します。
- Q. Google Device Policyは私の位置情報(GPS)を会社に送りますか?
- A. いいえ。位置情報権限は管理対象Wi-Fiの判定にAndroid OSが必要とするためで、GPSによる現在地の常時追跡はできません。会社が見るのはWi-Fi接続可否などの判定情報のみです(出典:Google公式ドキュメント)。
- Q. 管理者は私のメッセージや通話内容を読めますか?
- A. 読めません。SMS・メッセージの内容、通話履歴、通話内容はMDMの取得対象外です。会社が把握できるのは端末のモデル・OS・暗号化状態・管理対象アプリなど、業務データ保護に必要な情報に限られます。
- Q. 個人の写真やアプリを会社は見られますか?(google device policy 個人 端末)
- A. 見られません。仕事用プロファイルを使うBYODでは、個人領域の写真・動画・個人アプリは会社から完全に分離され、管理者からは見えません。会社が見えるのは仕事用プロファイル内のアプリのみです。
- Q. 会社のアプリ(管理対象アプリ)をアンインストールしたらどうなりますか?
- A. 管理対象アプリ(業務用Gmail・Driveなど)を削除すると会社データへのアクセスを失い、業務には再インストールとポリシー準拠が必要になります。個人アプリや個人データには影響しません。
- Q. 退職後、個人のデータは消えますか?MDMは自分で削除できますか?
- A. 退職時のワイプはアカウントワイプ(業務データのみ削除)が基本で、個人の写真・連絡先は残ります。Androidの仕事用プロファイルは「設定→アカウント」から自分で削除でき、iOSは「設定→一般→VPNとデバイス管理」から構成プロファイルを削除します(管理者が許可している場合)。
まとめ
Google WorkspaceのMDM機能を、Google Device Policy・Android Device Policyの役割から、基本設定5ステップ、仕事用プロファイルによるBYOD運用、緊急時のリモートワイプ、登録解除、トラブル対処、プラン別比較、サードパーティMDMとの比較まで、管理者と従業員の両視点で解説しました。
- MDMの重要性:リモートワークとBYODが当たり前になった今、モバイルセキュリティは情報漏洩対策の要。
- Google WorkspaceのMDM:追加費用なしで「基本」管理が使え、Business Plus以上で「詳細」管理に拡張できる。
- Google Device Policy:iOS/Androidのエージェントアプリが、ポリシー適用・ワイプ・状態検査を担う。個人の位置情報・通話・写真は取得しない。
- 効果的なポリシー:組織部門と業種リスクに応じて粒度を変え、従業員への説明と定期見直しをセットで運用するのが成功の鍵。
MDMはもはや大企業だけのものではなく、Google Workspaceを使うすべての組織が今すぐ取り組むべきセキュリティ対策です。上位プランへのアップグレードを検討する際は、申し込み前にGoogle Workspace 15%割引のプロモーションコード情報をチェックし、コストを抑えて安全なビジネス環境を整えましょう。