Android Enterprise

Android Enterpriseは、GoogleがAndroidデバイス用のエンタープライズ管理ソリューションとして提供するツールとサービスのセットです。Android Enterpriseでは:

  • Endpoint Managementを使用して、企業所有のAndroidデバイスとユーザー所有の(BYOD)Androidデバイスを管理します。
  • デバイス全体を管理することも、デバイス上の個別のプロファイルを管理することもできます。この個別のプロファイルでは、ビジネス用のアカウント、アプリ、データが個人のアカウント、アプリ、データと分離されています。
  • 在庫管理など、1度のみの使用専用のデバイスを管理することもできます。GoogleのAndroid Enterprise機能の概要については、「Android Enterpriseの管理」を参照してください。

Android Enterpriseに関連する用語と定義の一覧については、「Google Android Enterprise開発者ガイド」の「Android Enterpriseの用語」を参照してください。Googleはこれらの用語を頻繁に更新します。

Endpoint ManagementでサポートされているAndroidオペレーティングシステムの一覧については、「サポートされるデバイスオペレーティングシステム」を参照してください。

Endpoint Managementを管理対象Google Playと統合してAndroid Enterpriseを使用する場合、エンタープライズを作成します。Googleはエンタープライズを、組織とエンタープライズモバイル管理(EMM)ソリューションとの間のバインディングと定義しています。組織がソリューションを通して管理するすべてのユーザーとデバイスは、そのエンタープライズに属します。

Android Enterpriseのエンタープライズには、EMMソリューション、デバイスポリシーコントローラー(DPC)アプリ、およびGoogleエンタープライズアプリプラットフォームの3つのコンポーネントがあります。Endpoint ManagementをAndroid Enterpriseと統合すると、完成されたソリューションには次のコンポーネントが含まれます:

  • Citrix Endpoint Management: Citrix EMM。Endpoint Managementは、安全なデジタルワークスペースのための統合されたエンドポイント管理です。Endpoint Managementは、IT管理者が組織のデバイスとアプリを管理する手段を提供します。
  • Citrix Secure Hub: Citrix DPCアプリ。Secure Hubは、Endpoint Managementのランチパッドです。Secure Hubはデバイスにポリシーを適用します。
  • 管理対象Google Play: Endpoint Managementと統合するGoogleエンタープライズアプリプラットフォーム。Google Play EMM APIがアプリポリシーを設定し、アプリを配布します。

次の図に、管理者がこれらのコンポーネントとやり取りする方法と、コンポーネントが互いにやり取りする方法を示します:

Android Enterpriseワークフロー

Endpoint Managementで管理対象Google Playを使用する

注:

管理対象Google PlayまたはG Suiteを使用して、CitrixをEMMプロバイダーとしてGoogle Playに登録できます。この記事では、管理対象Google PlayでAndroid Enterpriseを使用する方法について説明します。組織がG Suiteを使用してアプリへのアクセスを提供している場合、Android Enterpriseで使用できます。「G Suiteユーザー向けの従来のAndroid Enterprise」を参照してください。

管理対象Google Playを使用する場合、デバイスおよびエンドユーザーに管理対象Google Playアカウントをプロビジョニングします。管理対象Google Playアカウントは、管理対象Google Playへのアクセスを提供し、管理者が利用可能にしたアプリをユーザーがインストールし、使用できるようにします。組織がサードパーティのIDサービスを使用する場合、ビジネス向けGoogle Playアカウントと既存のIDアカウントを関連付けることができます。

この種類のエンタープライズはドメインに関連付けられていないため、1つの組織用に1つまたは複数のエンタープライズを作成できます。たとえば、組織の各部門または各地域は異なるエンタープライズとして登録できます。さまざまなエンタープライズを使用すると、デバイスおよびアプリを個別セットとして管理できます。

Endpoint Managementの管理者のために、管理対象Google Playでは、使い慣れたGoogle Playのユーザーエクスペリエンスとアプリストアの機能が、エンタープライズ向けに設計された管理機能セットと組み合わされています。ビジネス向けGoogle Playを使用して、アプリを追加、購入、および承認し、デバイスのAndroid Enterpriseワークスペースに展開します。Google Playを使用してパブリックアプリ、プライベートアプリ、およびサードパーティアプリを展開できます。

管理対象デバイスのユーザーの場合、管理対象Google Playがエンタープライズアプリストアです。ユーザーは、アプリの閲覧、アプリの詳細の表示、アプリのインストールを実行できます。Google Playのパブリックバージョンとは異なり、ユーザーは管理者が利用可能にしたアプリのみをビジネス向けGoogle Playからインストールできます。

デバイス展開シナリオと操作モード

デバイス展開シナリオは、展開するデバイスの所有者とデバイスの管理方法を示します。操作モードは、DPCがデバイスのポリシーを管理および実施する方法を指します。操作モードは、デバイス展開シナリオをサポートします。

仕事用プロファイル:BYODデバイスの展開、プロファイル所有者モード

BYOD展開シナリオでは、従業員が個人所有のデバイスを持ち込み、それらのデバイスを使用して会社の情報やアプリケーションにアクセスできます。

プロファイル所有者操作モードは、BYOD展開をサポートします。企業はDPCを介して、デバイス上のプライマリユーザーアカウントに仕事用プロファイルを追加することにより、個人用デバイスを仕事で使用できるようにします。この仕事用プロファイルでは、ビジネス用のアカウント、アプリ、データが個人のアカウント、アプリ、データと分離されています。仕事用プロファイルはプライマリユーザーに個別のプロファイルとして関連付けられます。DPCはプロファイル所有者としてデバイス上の仕事用プロファイルのみを管理し、仕事用プロファイル以外の制御は制限されています。仕事用プロファイルの詳細については、Google Android Enterpriseのヘルプトピック(仕事用プロファイルとは)を参照してください。

デバイスがEndpoint Managementに登録されると、プロファイル所有者モードが有効になります。DPCはデバイス全体ではなく仕事用プロファイルのみを管理するため、プロファイル所有者モードで登録されたデバイスは、新規または工場出荷時リセットである必要はありません。

プロファイル所有者モードのデバイスは、仕事用プロファイルデバイスとも呼ばれます。プロファイル所有者モードは、仕事用プロファイルモードまたは管理対象プロファイルモードとも呼ばれます。

注:

Endpoint Managementでは、プロファイル所有者モードのZebraデバイスはサポートされません。Endpoint Managementでは、Zebraデバイスは完全に管理されたデバイスとして、およびデバイス従来モード(デバイス管理者モードともいう)でサポートされます。

完全に管理された: 企業所有デバイスの展開、デバイス所有者モード

企業所有の展開シナリオでは、エンタープライズが使用するデバイスを所有し、完全に制御します。通常、デバイス全体を厳密に監視および管理する必要がある場合に、組織は企業所有デバイスを展開します。

デバイス所有者操作モードは、企業所有の展開をサポートします。デバイス所有者モードでは、DPCはデバイス全体を管理します。DPCはデバイス所有者として、デバイス全体のアクションを実行できます。デバイス全体の接続の構成、グローバル設定の構成、工場出荷時設定へのリセットなどです。

デバイス所有者モードのデバイスは、完全に管理されたデバイスです。

デバイス所有者モードは、デバイスの初期セットアップ中に有効になります。デバイス所有者モードでEndpoint Managementに登録できるのは、新しいデバイスまたは工場出荷時の状態にリセットされたデバイスのみです。

専用デバイス: 企業所有デバイスの展開、デバイス所有者モード

専用デバイスは、完全に管理されたデバイスです。デバイス所有者モードで実行されている企業所有デバイスです。専用デバイスは、デジタルサイネージ、チケットの印刷、在庫管理などの専用の制限されたアプリセットを提供します。専用デバイスをプロビジョニングする場合、必要なアプリのみを提供し、ユーザーが他のアプリを追加できないようにします。

ユーザーは専用デバイスを共有できます。ユーザーが専用デバイス上のアプリにサインオンすると、作業の状態はデバイスではなくアプリと連携します。

専用デバイスは、以前は企業所有の単一使用(COSU)デバイスまたはキオスクモードデバイスと呼ばれていました。

仕事用プロファイルで完全に管理されたデバイス:会社所有デバイスの展開、デバイス所有者モード、プロファイル所有者モード

仕事用プロファイルで完全に管理されたデバイスは、仕事用プロファイルを持つ完全に管理されたデバイスです。仕事用プロファイルで完全に管理されたデバイスは、仕事用と個人用の両方を目的とした会社所有のデバイスです。会社はデバイス全体と仕事用プロファイルを管理します。デバイスと仕事用プロファイルに個別のポリシー設定を適用できます。

これらのデバイスは、デバイス所有者モードとプロファイル所有者モードで同時に動作します。これらのデバイスで実行されるDPCの2つのコピー:1つはデバイス所有者モードでデバイスを管理し、もう1つはプロファイル所有者モードで仕事用プロファイルを管理します。

仕事用プロファイルで完全に管理されたデバイスは、COPE(個人使用可能なコーポレート所有)デバイスとも呼ばれていました。

従来のデバイスの展開、従来モード

従来展開シナリオは、5.0より前のAndroidバージョンが実行されているデバイス向けのシナリオです。5.0より前のAndroidバージョンでは、デバイス所有者モードとプロファイル所有者モードはサポートされていません。Androidバージョン5.1では、デバイス所有者モードはサポートされていますが、プロファイル所有者モードはサポートされていません。

従来操作モードはデバイス管理者モードとも呼ばれ、レガシーデバイスの展開をサポートします。従来モードでは、DPCはデバイスの制御が制限されます。DPCは、デバイスのワイプ、パスコードの要求、またはポリシーの実施を行うことができます。従来のデバイスでアプリ管理を提供するには、Google Playを使用して、ユーザーがGoogleアカウントを追加できるようにします。DPCが管理対象Google Playアカウントを従来のデバイスに追加するように設定することもできます。

従来モードは、デバイス所有者モードまたはプロファイル所有者モードを実装できる展開には推奨されません。Googleでは、大規模なフリートで低レベルのソリューションではなく、可能な限り最高レベルのデバイス管理を使用することをお勧めします。従来モードからデバイス所有者モードまたはプロファイル所有者モードへの移行の詳細については、「Device AdministrationからAndroid Enterpriseへの移行」を参照してください。

注:

シトリックスは、管理対象Google PlayではなくEndpoint ManagementやG Suiteを使用してAndroid Enterpriseデバイスを管理するお客様に対しても、従来という用語を使用します。

認証方法

登録プロファイルで、AndroidデバイスをMAM、MDM、またはMDM+MAMのいずれで登録するか、およびユーザーがMDMをオプトアウトするオプションを決定します。Endpoint Managementは、MDM+MAMで登録したAndroidデバイスに対して、次の認証方法をサポートします。詳しくは、証明書と認証に関する記事を参照してください。

  • ドメイン
  • ドメイン+セキュリティトークン
  • クライアント証明書
  • クライアント証明書およびドメイン
  • IDプロバイダー:
    • Azure Active Directory
    • Citrix IDプロバイダー

使用頻度が少ない別の認証方法には、クライアント証明書とセキュリティトークンの組み合わせがあります。詳しくは、「https://support.citrix.com/article/CTX215200」を参照してください。

要件

Android Enterpriseの使用を開始するには、以下が必要となります:

  • アカウントと資格情報:

    • 管理対象Google PlayでAndroid Enterpriseをセットアップする場合、企業Googleアカウント
    • 最新のMDXファイルをダウンロードする場合、Citrixカスタマーアカウント
    • プライベートアプリを展開する場合(オプション)、Google開発者アカウント
  • Samsung Knox Mobile Enrollmentの場合(オプション)、Knoxプレミアムライセンス

Endpoint ManagementをGoogle Playに接続する

組織のAndroid Enterpriseをセットアップするには、管理対象Google PlayからCitrixをEMMプロバイダーとして登録します。これにより、管理対象Google PlayとEndpoint Managementが接続され、Endpoint ManagementでAndroid Enterpriseのエンタープライズが作成されます。

Google Playにサインインするための企業Googleアカウントが必要です。

  1. Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [設定] ページで、[Android Enterprise] をクリックします。

Android Enterpriseが強調表示された設定ページ

  1. [Android Enterprise] ページのEndpoint Management設定で、[接続] をクリックします。Google Playが開きます。

Android EnterpriseからGoogle Playへの接続

  1. 企業Googleアカウントの資格情報でGoogle Playにサインインします。組織名を入力し、CitrixがEMMプロバイダであることを確認します。

  2. Android EnterpriseにエンタープライズIDが追加されます。Android Enterpriseを有効にするには、[Android Enterpriseの有効化][はい] に切り替えます。

    [Android Enterpriseの有効化]オプション

Endpoint ManagementコンソールにエンタープライズIDが表示されます。

Android Enterprise ID

使用する環境がGoogleに接続され、デバイスを管理する準備ができます。これで、ユーザーにアプリを提供できるようになりました。

Endpoint Managementを使用して、ユーザーにCitrix業務用モバイルアプリ、MDXアプリ、パブリックアプリストアアプリ、WebおよびSaaSアプリ、エンタープライズアプリ、Webリンクを提供できます。これらの種類のアプリとこれらのアプリのユーザーへの提供の詳細については、「アプリの追加」を参照してください。

次のセクションでは、業務用モバイルアプリを提供する方法を示します。

Android EnterpriseユーザーにCitrix業務用モバイルアプリを提供する

Android EnterpriseユーザーにCitrix業務用モバイルアプリを提供するには、以下の手順を実行する必要があります。

  1. アプリをMDXアプリとして公開します。「アプリをMDXアプリとして構成する」を参照してください。

  2. ユーザーがデバイス上の仕事用プロファイルにアクセスするために使用するセキュリティ確認のルールを構成します。「セキュリティ確認ポリシーを構成する」を参照してください。

公開するアプリは、Android Enterpriseエンタープライズに登録されているデバイスで利用できます。

注:

Android EnterpriseパブリックアプリストアのアプリをAndroidユーザーに展開すると、そのユーザーは自動的にAndroid Enterpriseに登録されます。

アプリをMDXアプリとして構成する

Citrix業務用アプリをAndroid Enterprise用のMDXアプリとして構成するには、次の手順を実行します:

  1. Endpoint Managementコンソールで、[構成]>[アプリ] の順にクリックします。[アプリ] ページが開きます。

    アプリ構成画面

  2. [追加] をクリックします。[アプリの追加] ダイアログボックスが開きます。

    アプリ構成画面

  3. [MDX] をクリックします。[アプリ情報] ページが開きます。

  4. ページの左側で、プラットフォームとして [Android Enterprise] を選択します。

  5. [アプリケーション情報] ページで、以下の情報を入力します:

    • 名前: アプリの説明的な名前を入力します。この名前は、[アプリ] の表の [アプリ名] の下に表示されます。
    • 説明: 任意で、アプリの説明を入力します。
    • アプリカテゴリ: 任意で、一覧から、アプリを追加するカテゴリを選択します。アプリカテゴリについて詳しくは、「アプリカテゴリの作成」を参照してください。
  6. [次へ] をクリックします。[Android Enterprise MDXアプリ] ページが開きます。

  7. [アップロード] をクリックしてアプリの.mdxファイルの場所に移動し、ファイル選択して [開く] をクリックします。

  8. 追加されたアプリケーションが、管理対象Google Playストアからの承認を必要としているかどうかがUIによって通知されます。Citrix Endpoint Managementコンソールを終了せずにアプリケーションを承認するには、[はい]をクリックします。

    MDXアプリの追加

  9. 管理対象Google Playストアのページが開いたら、[承認] をクリックします。

    MDXアプリの承認

  10. [承認] を再度クリックします。

  11. [アプリが新しい権限を要求したときには承認を維持する] を選択します。[保存] をクリックします。

    Google Play承認設定

  12. アプリを承認して保存すると、詳細な設定がページに表示されます。次の設定を構成します。

    • ファイル名: アプリに関連付けられているファイル名を入力します。
    • アプリの説明: アプリの説明を入力します。
    • 製品トラック: ユーザーデバイスにプッシュする製品トラックを指定します。テスト用に設計されたトラックがある場合は、そのトラックを選択してユーザーに割り当てることができます。デフォルトはProductionです。
    • アプリのバージョン: 任意で、アプリのバージョン番号を入力します。
    • パッケージID: Google PlayストアでのアプリのURL。
    • 最小OSバージョン: 任意で、アプリを使用するためにデバイスで実行できるオペレーティングシステムの最も古いバージョンを入力します。
    • 最大OSバージョン: 任意で、アプリを使用するためにデバイスで実行されている必要があるオペレーティングシステムの最も新しいバージョンを入力します。
    • 除外するデバイス: 任意で、アプリを実行できないデバイスの製造元またはモデルを入力します。
  13. MDXポリシーを構成します。MDXアプリのアプリポリシーについて詳しくは、「MDXポリシーの概要」を参照してください。

  14. 展開規則を構成します。詳しくは、「リソースの展開」を参照してください。

  15. [ストア構成] を展開します。

    アプリ構成画面

    任意で、アプリに関するFAQや、アプリストアに表示されるスクリーンショットを追加できます。また、ユーザーにアプリの評価やアプリについてのコメントを許可するかどうかも設定できます。

    • 次の設定を構成します。
      • アプリのFAQ: アプリに関するFAQの質問および回答を追加します。
      • アプリのスクリーンショット: アプリをアプリストアで分類しやすくするためのスクリーンショットを追加します。アップロードするグラフィックはPNGである必要があります。GIFイメージやJPEGイメージはアップロードできません。
      • アプリ評価を許可: ユーザーにアプリの評価を許可するかどうかを選択します。デフォルトは [オン] です。 アプリコメントを許可: 選択したアプリについてユーザーがコメントできるようにするかどうかを選択します。デフォルトは [オン] です。
  16. [次へ] をクリックします。[承認] ページが開きます。

    アプリ構成画面

    ユーザーアカウントの作成時に承認が必要な場合は、ワークフローを使用します。承認ワークフローを設定しない場合は、手順15に進みます。

    ワークフローを割り当てるか作成するには、次の設定を構成します:

    • 使用するワークフロー: 一覧から既存のワークフローを選択するか、[新しいワークフローの作成] をクリックします。デフォルトは [なし] です。
    • [新しいワークフローの作成] を選択した場合は、次の設定を構成します。詳しくは、「ワークフローの作成および管理」を参照してください。
    • 名前: ワークフローの固有の名前を入力します。
    • 説明: 任意で、ワークフローの説明を入力します。
    • メール承認テンプレート: 一覧から、割り当てる電子メール承認テンプレートを選択します。このフィールドの右にある目のアイコンをクリックすると、ダイアログボックスが開き、テンプレートをプレビューできます。
    • マネージャー承認のレベル: 一覧から、このワークフローで必要なマネージャー承認のレベル数を選択します。デフォルトは [1つのレベル] です。選択できるオプションは以下のとおりです:
      • 不必要
      • 1つのレベル
      • 2つのレベル
      • 3つのレベル
    • Active Directoryドメインの選択: 一覧から、ワークフローで使用する適切なActive Directoryドメインを選択します。
    • 追加の必須承認者を検索: 検索フィールドに、追加で必要なユーザーの名前を入力して、[検索] をクリックします。名前はActive Directoryで取得されます。
    • ユーザーの名前がフィールドに表示されたら、名前の横にあるチェックボックスをオンにします。ユーザーの名前とメールアドレスが [選択した追加の必須承認者] の一覧に表示されます。
      • [選択した追加の必須承認者] の一覧からユーザーを削除するには、次のいずれかを行います:
        • [検索] をクリックして、選択したドメイン内のすべてのユーザーの一覧を表示します。
        • 名前の全体または一部を検索ボックスに入力して [検索] をクリックし、検索結果を絞り込みます。
        • [選択した追加の必須承認者] の一覧に含まれるユーザーは、結果一覧に表示される名前の横にチェックマークがあります。一覧をスクロールし、削除するそれぞれの名前の横のチェックボックスをオフにします。
  17. [次へ] をクリックします。[デリバリーグループ割り当て] ページが開きます。

    アプリ構成画面

  18. [デリバリーグループを選択] の横にデリバリーグループを入力して検索するか、一覧で1つまたは複数のグループを選択します。選択したグループが [アプリ割り当てを受信するためのデリバリーグループ] 一覧に表示されます。

  19. [展開スケジュール] を展開して以下の設定を構成します:

    • [展開] の横の [オン] をクリックすると展開がスケジュールされ、[オフ] をクリックすると展開が行われません。デフォルトのオプションは [オン] です。
    • [展開スケジュール]の横の [すぐに] または [あとで] をクリックします。デフォルトのオプションは [すぐに] です。
    • [あとで] をクリックした場合は、カレンダーアイコンをクリックして展開日時を選択します。
    • [展開状態] の横の [接続するたび] をクリックするか、[以前の展開が失敗した場合のみ] をクリックします。デフォルトのオプションは、[接続するたび] です。
    • [常時接続に対する展開] の横で、[オフ] が選択されていることを確認します。デフォルトのオプションは [オフ] です。常時接続は、 Android Enterprise上でEndpoint Managementの使用をバージョン10.18.19以降のバージョンで始めたユーザーは、使用できません。またEndpoint Managementの使用をバージョン10.18.19より前のバージョンで始めたユーザーには、お勧めしません。

      このオプションは、[設定]>[サーバープロパティ] において、バックグラウンドで展開するキーのスケジュールを構成した場合に適用されます。

      構成した展開スケジュールはすべてのプラットフォームについて同一です。すべてのプラットフォームに変更が適用されます。ただし、[常時接続に対する展開] は適用されません。

  20. [保存] をクリックします。

業務用モバイルアプリごとにこの手順を繰り返します。

セキュリティ確認ポリシーを構成する

Endpoint Managementパスコードデバイスポリシーでは、セキュリティ確認の規則を構成します。セキュリティ確認は、ユーザーが自分のデバイスまたはAndroid Enterpriseの仕事用プロファイルにアクセスしたときに表示されます。セキュリティ確認はパスコードか生体認証です。パスコードポリシーの詳細については、 「パスコードデバイスポリシー」を参照してください。

  • Android Enterpriseの展開にBYODデバイスが含まれる場合、仕事用プロファイルのパスコードポリシーを構成します。
  • 展開に企業所有の完全管理デバイスが含まれる場合、デバイス自体のパスコードポリシーを構成します。
  • 展開に両方のタイプのデバイスが含まれる場合、両方のタイプのパスコードポリシーを構成します。

パスコードポリシーを構成するには:

  1. Endpoint Managementコンソールで、[構成]>[デバイスポリシー] に移動します。

  2. [追加] をクリックします。

  3. [フィルターを表示] をクリックして、[ポリシープラットフォーム] ペインを開きます。[ポリシープラットフォーム] ペインで、[Android Enterprise] を選択します。

  4. 右ペインで [パスコード] をクリックします。

パスワードセキュリティオプション

  1. [ポリシー名] を入力します。[次へ] をクリックします。

    パスワードセキュリティ名

  2. パスコードポリシー設定を構成します。
    • デバイス自体のセキュリティ確認に使用できる設定を確認するには、[デバイスのパスコードを要求][オン] に設定します。
    • 仕事用プロファイルのセキュリティ確認に使用できる設定を確認するには、[仕事用プロファイルのセキュリティ確認][オン] に設定します。
  3. [次へ] をクリックします。

  4. このポリシーを1つ以上のデリバリーグループに割り当てます。

  5. [保存] をクリックします。

登録プロファイルの作成

Endpoint Management展開でAndroid Enterpriseが有効になっている場合、登録プロファイルによってAndroidデバイスの登録方法が制御されます。登録プロファイルによって、AndroidデバイスがAndroid Enterpriseデバイスまたは従来の(デバイス管理者)デバイスのどちらで登録されるかが決まります。

登録プロファイルを作成してAndroid Enterpriseデバイスを登録する場合は、登録プロファイルを構成して、新しいデバイスおよび工場出荷時リセットデバイスを以下のデバイスとして登録できます:

  • 完全に管理されているデバイス
  • 専用デバイス(COSUデバイス)
  • 仕事用プロファイルで完全に管理されたデバイス(COPEデバイス)

これらのAndroid Enterpriseの登録プロファイルをそれぞれ構成して、BYODのAndroidデバイスを仕事用プロファイルデバイスとして登録することもできます。

Endpoint Management展開でAndroid Enterpriseが有効になっている場合、新しく登録または再登録したすべてのAndroidデバイスがAndroid Enterpriseデバイスとして登録されます。デフォルトでは、Global登録プロファイルは、新規および工場出荷時にリセットされたAndroidデバイスを完全に管理されたデバイスとして登録し、BYOD Androidデバイスを仕事用プロファイルデバイスとして登録します。

登録プロファイルを作成したら、デリバリーグループを登録プロファイルに割り当てます。異なる登録プロファイルを持つ複数のデリバリーグループにユーザーが属している場合、デリバリーグループの名前によって、使用される登録プロファイルが決まります。Endpoint Managementは、デリバリーグループのアルファベット順一覧の最後に表示されるデリバリーグループを選択します。詳しくは、「登録プロファイル」を参照してください。

完全に管理されたデバイスの登録プロファイルの追加

グローバル登録プロファイルは、デフォルトで完全に管理されたデバイスを登録しますが、完全に管理されたデバイスを登録するための登録プロファイルをさらに作成できます。

  1. Endpoint Managementコンソールで、[構成]>[登録プロファイル] の順に移動します。

  2. 登録プロファイルを追加するには、[追加] をクリックします。[登録情報]ページで、登録プロファイルの名前を入力します。

  3. このプロファイルのメンバーが登録できるデバイスの数を設定します。

  4. [プラットフォーム][Android] を選択するか、[次へ] をクリックします。[登録構成] ページが開きます。

  5. [管理][Android Enterprise] に設定します。

  6. [デバイス所有者モード][会社所有のデバイス] に設定します。

    登録プロファイル構成画面

  7. [BYOD/仕事用プロファイル] を使用すると、BYODデバイスを仕事用プロファイルデバイスとして登録するように登録プロファイルを構成できます。新しいデバイスおよび工場出荷時リセットデバイスは、完全に管理されたデバイスとして登録されます。[BYOD/仕事用プロファイル][オン] に設定すると、BYODデバイスを仕事用プロファイルデバイスとして登録できます。[BYOD/仕事用プロファイル][オフ] に設定して、登録を完全に管理されたデバイスに制限します。デフォルトは [オン] です。

  8. Citrix MAMにデバイスを登録するかどうかを選択します。

  9. [BYOD/仕事用プロファイル][オン] に設定している場合は、ユーザーの同意を構成します。BYOD/仕事用プロファイルデバイスのユーザーがデバイスの登録時にデバイス管理を拒否することを許可するには、[ユーザーにデバイス管理の許否を許可][オン] に設定します。

    [BYOD/仕事用プロファイル][オン] に設定されている場合、[ユーザーにデバイス管理の許否を許可] のデフォルト値は [オン] です。[BYOD/仕事用プロファイル][オフ] に設定されている場合、[ユーザーにデバイス管理の許否を許可] は無効になっています。

  10. [割り当て] を選択します(オプション)。[デリバリーグループ割り当て] ページが開きます。

  11. 完全に管理されたデバイスを登録した管理者を含む、1つまたは複数のデリバリーグループを選択します。次に、[保存] をクリックします。

    [登録プロファイル]ページに、追加したプロファイルが表示されます。

    登録プロファイル構成画面

専用デバイス登録プロファイルの追加

Endpoint Management展開に専用デバイスを含める場合、1人のEndpoint Management管理者、または数人の管理者グループが専用デバイスを多数登録することがあります。こうした管理者が必要なすべてのデバイスを登録できるようにするには、ユーザーごとに無制限のデバイスを許可した状態で登録プロファイルを作成します。

  1. Endpoint Managementコンソールで、[構成]>[登録プロファイル] の順に移動します。

  2. 登録プロファイルを追加するには、[追加] をクリックします。[登録情報]ページで、登録プロファイルの名前を入力します。このプロファイルのメンバーが登録できるデバイスの数が無制限に設定されていることを確認します。

  3. [プラットフォーム][Android] を選択するか、[次へ] をクリックします。[登録構成] ページが開きます。

  4. [管理][Android Enterprise] に設定します。

  5. [デバイス所有者モード][専用デバイス] に設定します。

    [登録プロファイル]ページ

  6. [BYOD/仕事用プロファイル] を使用すると、BYODデバイスを仕事用プロファイルデバイスとして登録するように登録プロファイルを構成できます。新しいデバイスおよび工場出荷時リセットデバイスは、専用デバイスとして登録されます。[BYOD/仕事用プロファイル][オン] に設定すると、BYODデバイスを仕事用プロファイルデバイスとして登録できます。[BYOD/仕事用プロファイル][オフ] に設定して、登録を会社所有のデバイスに制限します。デフォルトは [オン] です。

  7. Citrix MAMにデバイスを登録するかどうかを選択します。

  8. [BYOD/仕事用プロファイル][オン] に設定している場合は、ユーザーの同意を構成します。BYOD/仕事用プロファイルデバイスのユーザーがデバイスの登録時にデバイス管理を拒否することを許可するには、[ユーザーにデバイス管理の許否を許可][オン] に設定します。

    [BYOD/仕事用プロファイル][オン] に設定されている場合、[ユーザーにデバイス管理の許否を許可] のデフォルト値は [オン] です。[BYOD/仕事用プロファイル][オフ] に設定されている場合、[ユーザーにデバイス管理の許否を許可] は無効になっています。

  9. [割り当て] を選択します(オプション)。[デリバリーグループ割り当て] ページが開きます。

  10. 専用デバイスを登録した管理者を含む、1つまたは複数のデリバリーグループを選択します。次に、[保存] をクリックします。

    [登録プロファイル]ページに、追加したプロファイルが表示されます。

    登録プロファイル構成画面

仕事用プロファイルで完全に管理されたデバイスの登録プロファイルの追加

  1. Endpoint Managementコンソールで、[構成]>[登録プロファイル] の順に移動します。

  2. 登録プロファイルを追加するには、[追加] をクリックします。[登録情報]ページで、登録プロファイルの名前を入力します。

  3. このプロファイルのメンバーが登録できるデバイスの数を設定します。

  4. [プラットフォーム][Android] を選択するか、[次へ] をクリックします。[登録構成] ページが開きます。

  5. [管理][Android Enterprise] に設定します。[デバイスの所有者モード][仕事用プロファイルで完全に管理] に設定します。

    登録プロファイル構成画面

  6. [BYOD/仕事用プロファイル] を使用すると、BYODデバイスを仕事用プロファイルデバイスとして登録するように登録プロファイルを構成できます。新しいデバイスおよび工場出荷時リセットデバイスは、仕事用プロファイルで完全に管理されたデバイスとして登録されます。[BYOD/仕事用プロファイル][オン] に設定すると、BYODデバイスを仕事用プロファイルデバイスとして登録できます。[BYOD/仕事用プロファイル][オフ] に設定して、登録を専用デバイスに制限します。デフォルトは [オフ] です。

  7. Citrix MAMにデバイスを登録するかどうかを選択します。

  8. [BYOD/仕事用プロファイル][オン] に設定している場合は、ユーザーの同意を構成します。BYOD/仕事用プロファイルデバイスのユーザーがデバイスの登録時にデバイス管理を拒否することを許可するには、[ユーザーにデバイス管理の許否を許可][オン] に設定します。

    [BYOD/仕事用プロファイル][オン] に設定されている場合、[ユーザーにデバイス管理の許否を許可] のデフォルト値は [オン] です。[BYOD/仕事用プロファイル][オフ] に設定されている場合、[ユーザーにデバイス管理の許否を許可] は無効になっています。

  9. [割り当て] を選択します(オプション)。[デリバリーグループ割り当て] ページが開きます。

  10. 仕事用プロファイルで完全に管理されたデバイスを登録した管理者を含む、1つまたは複数のデリバリーグループを選択します。次に、[保存] をクリックします。

    [登録プロファイル]ページに、追加したプロファイルが表示されます。

    [登録プロファイル]ページ

従来デバイスの登録プロファイルの追加

Googleは、デバイス管理のデバイス管理者モードを廃止しました。デバイス所有者モードまたはプロファイル所有者モードで、すべてのAndroidデバイスを管理することが推奨されています。(Google Android Enterprise開発者ガイドのデバイス管理者の非推奨を参照してください。)

この変更を利用するには、以下の設定が必要です:

  • シトリックスは、Android EnterpriseをAndroidデバイスのデフォルトの登録オプションにしました。
  • Endpoint Management展開でAndroid Enterpriseが有効になっている場合、新しく登録または再登録したすべてのAndroidデバイスがAndroid Enterpriseデバイスとして登録されます。

組織では、従来のAndroidデバイスを、Android Enterpriseを使用して管理する準備ができていない可能性があります。その場合は、デバイス管理者モードで引き続き管理できます。既にデバイス管理者モードで登録されているデバイスの場合、Endpoint Managementはデバイス管理者モードでそれらを管理し続けます。

新しいAndroidデバイスの登録でデバイス管理者モードを使用できるように、従来のデバイスの登録プロファイルを作成します。

従来デバイスの登録プロファイルを作成するには、次の手順を実行します:

  1. Endpoint Managementコンソールで、[構成]>[登録プロファイル] の順に移動します。

  2. 登録プロファイルを追加するには、[追加] をクリックします。[登録情報]ページで、登録プロファイルの名前を入力します。

  3. このプロファイルのメンバーが登録できるデバイスの数を設定します。

  4. [プラットフォーム][Android] を選択するか、[次へ] をクリックします。[登録構成] ページが開きます。

  5. [管理][従来のデバイス管理 (非推奨)] に設定します。[次へ] をクリックします。

    登録プロファイル構成画面

  6. Citrix MAMにデバイスを登録するかどうかを選択します。

  7. ユーザーがデバイスの登録時にデバイス管理を拒否することを許可するには、[ユーザーにデバイス管理の許否を許可][オン] に設定します。デフォルトは [オン] です。

  8. [割り当て] を選択します(オプション)。[デリバリーグループ割り当て] ページが開きます。

  9. 専用デバイスを登録した管理者を含む、1つまたは複数のデリバリーグループを選択します。次に、[保存] をクリックします。

[登録プロファイル]ページに、追加したプロファイルが表示されます。

[登録プロファイル]ページ

引き続きデバイス管理者モードで従来デバイスを管理するには、このプロファイルを使用して従来デバイスを登録または再登録します。仕事用プロファイルデバイスと同様のデバイス管理者デバイスを登録するには、ユーザーにSecure Hubをダウンロードさせ、登録サーバーのURLを指定します。

Android Enterpriseでの仕事用プロファイルデバイスのプロビジョニング

Android Enterprise仕事用プロファイルデバイスは、プロファイル所有者モードで登録されます。これらのデバイスは、新品または工場出荷時の設定にリセットする必要がありません。BYODデバイスは、仕事用プロファイルデバイスとして登録されます。登録手順は、Endpoint ManagementでAndroidを登録する場合と同様です。ユーザーはGoogle PlayからSecure Hubをダウンロードし、デバイスを登録します。

デバイスをAndroid Enterpriseで仕事用プロファイルデバイスとして登録している場合、デフォルトでは [USBデバッグおよび不明なソース] の設定は無効になっています。

Android Enterpriseのデバイスを仕事用プロファイルデバイスとして登録する場合は、必ずGoogle Playにアクセスしてください。そこから、ユーザーの個人プロファイルでのSecure Hubの表示を有効にします。

Android Enterpriseの完全に管理されたデバイスのプロビジョニング

前のセクションで設定した展開に、完全に管理されたデバイスを登録できます。完全に管理されたデバイスは企業所有デバイスで、デバイス所有者モードで登録されます。デバイス所有者モードで登録できるのは、新しいデバイスまたは工場出荷時の状態にリセットされたデバイスのみです。

デバイス所有者モードでデバイスを登録するには、次の登録方法のいずれかを使用します:

  • DPC IDトークン: この登録方法では、ユーザーがデバイスの設定時に「afw#xenmobile」という文字を入力します。afw#xenmobileはCitrix DPC IDトークンです。このトークンにより、デバイスがEndpoint Managementの管理対象であると識別され、Google PlayストアからSecure Hubがダウンロードされます。「Citrix DPC識別子トークンを使用したデバイスの登録」を参照してください。
  • 近距離無線通信(NFC)バンプ: NFCバンプの登録方法では、近距離無線通信を使用して2つのデバイス間でデータを転送します。新しいデバイスまたは工場出荷時設定にリセットされたデバイスでは、Bluetooth、Wi-Fi、およびそのほかの通信モードは無効になっています。この状態のデバイスが使用する通信プロトコルはNFCのみです。「NFCバンプを使用してデバイスを登録する」を参照してください。
  • QRコード: QRコード登録は、NFCをサポートしていないタブレットなどの分散型端末を登録するのに使用できます。QRコードによる登録方法では、セットアップウィザードからQRコードをスキャンすることによって、デバイスプロファイルモードを設定および構成します。「QRコードを使用してデバイスを登録する」を参照してください。
  • ゼロタッチ: ゼロタッチ登録では、最初に電源をオンにしたときに自動で登録されるようにデバイスを構成できます。ゼロタッチ登録は、Android 8.0以降が動作する一部のAndroidデバイスでサポートされています。「ゼロタッチ登録」を参照してください。
  • Googleアカウント: ユーザーは、Googleアカウントの資格情報を入力して、プロビジョニングプロセスを開始します。このオプションは、G Suiteを使用しているエンタープライズ向けです。

Citrix DPC識別子トークンを使用したデバイスの登録

初期セットアップで新しいデバイスまたは工場出荷時の状態にリセットされたデバイスの電源を入れた後、Googleアカウントの入力を求められたら「afw#xenmobile」と入力します。この操作により、Secure Hubがダウンロードされインストールされます。インストール後、Secure Hubの設定プロンプトに従って登録を完了します。

この登録方法ではSecure Hubの最新バージョンがGoogle Playストアからダウンロードされるため、ほとんどのお客様に推奨されます。他の登録方法とは異なり、Endpoint Managementサーバーでダウンロード用にSecure Hubを提供することはありません。

システム要件

  • Android OSを実行するすべてのAndroidデバイスでサポートされます。

デバイスを登録するには

  1. 新しいデバイスまたは工場出荷時の設定にリセットされたデバイスの電源を入れます。

  2. デバイスの初期セットアップが読み込まれ、Googleアカウントの入力が求められます。デバイスのホーム画面が読み込まれたら、通知バーのセットアップ完了通知を確認します。

    デバイスセットアップログインプロンプト

  3. メールまたは電話フィールドに「afw#xenmobile」と入力します。

    デバイスセットアップテキスト

  4. Secure Hubのインストールを求めるAndroid Enterprise画面で [インストール] をタップします。

    Android Enterpriseインストール

  5. Secure Hubインストーラー画面で [インストール] をタップします。

    Secure Hubインストール

  6. すべてのアプリの許可リクエストに対して [許可する] をタップします。

  7. [同意して続行] をタップしてSecure Hubをインストールし、デバイスを管理できるようにします。

    Secure Hub権限

  8. これで、Secure Hubがインストールされ、デフォルトの登録画面に表示されます。この例では、自動検出は設定されていません。自動検出が設定されている場合、ユーザーはユーザー名/メールアドレスを入力可能で、それに対応するサーバーが検出されます。自動検出が設定されていない場合、環境の登録URLを入力して [次へ] をタップします。

    Secure Hub資格情報

  9. Endpoint Managementのデフォルト設定では、MAMを使用するか、MDM+MAMを使用するかを選択できます。このようにプロンプトが表示されたら、[はい、登録します] をタップしてMDM+MAMを選択します。

    Secure Hub登録デバイス

  10. ユーザー名とパスワードを入力し、[次へ] をタップします。

    Secure Hubログイン

  11. デバイスのパスコードを設定するように求められます。[設定] をタップしてパスコードを入力します。

    Secure Hubパスコード

  12. 仕事用プロファイルのロック解除方法を設定するよう求められます。この例では [パスワード][PIN] をタップしてPINを入力します。

    パスコードオプション

  13. デバイスにSecure Hubの [マイアプリ] ランディング画面が表示されます。[ストアからアプリを追加] をタップします。

    Secure Hubアプリ画面

  14. Secure Webを追加するには、[Secure Web] をタップします。

    Secure Hubストア

  15. [追加] をタップします。

    Secure Webストア

  16. Secure Hubで、Secure WebをインストールするためにGoogle Playストアに移動します。[インストール] をタップします。

    Secure Appsインストール

  17. Secure Webがインストールされたら、[開く] をタップします。アドレスバーに内部サイトのURLを入力し、ページが読み込まれることを確認します。

    Secure Webテスト

  18. デバイスで [設定] > [アカウント] に移動します。管理対象アカウントが変更できないことを確認します。画面の共有またはリモートデバッグのための開発者オプションもブロックされます。

    アカウント変更

NFCバンプを使用してデバイスを登録する

NFCバンプを使用して完全に管理されたデバイスとしてデバイスを登録するには、工場出荷時の設定にリセットされたデバイスと、Endpoint Managementプロビジョニングツールを実行するデバイスの2台のデバイスが必要です。

システム要件および前提条件

  • サポートされるAndroidデバイス
  • 完全に管理されたデバイスとしてAndroid Enterprise向けにプロビジョニングされた、新規または工場出荷時設定にリセットされたデバイス。この前提条件を完了する手順については、後述します。
  • 構成済みのProvisioning Toolを実行している、NFC機能が備わった別のデバイス。Provisioning Toolは、Secure Hubまたはシトリックスのダウンロードページから入手できます。

各デバイスでは、管理対象Secure HubというAndroid Enterpriseプロファイルを1つのみ保有できます。各デバイスで許可されるプロファイルは1つのみです。2つ目のDPCアプリを追加しようとすると、インストール済みのSecure Hubが削除されます。

NFCバンプを介して転送されるデータ

工場出荷時の設定にリセットされたデバイスをプロビジョニングするには、以下のデータをNFCバンプ経由で送信してAndroid Enterpriseを初期化する必要があります:

  • デバイス所有者として機能するDPCアプリ(この場合はSecure Hub)のパッケージ名。
  • デバイスがDPCアプリをダウンロードできるイントラネット/インターネット上の場所。
  • ダウンロードが正常に完了したかどうかを確認するDPCアプリのSHA1ハッシュ。
  • 工場出荷時の設定にリセットされたデバイスがDPCアプリに接続してダウンロードできるようにするWi-Fi接続の詳細。注:現時点では、Androidはこの手順での802.1x Wi-Fiをサポートしていません。
  • デバイスのタイムゾーン(オプション)。
  • デバイスの地理的な場所(オプション)。

2つのデバイスがバンプされると、Provisioning Toolのデータが工場出荷時の設定にリセットされたデバイスに送信されます。このデータはその後、管理者設定でのSecure Hubのダウンロードに使用されます。タイムゾーンと場所の値を入力しない場合、新しいデバイスではAndroidによって自動的にこれらの値が構成されます。

Endpoint Managementプロビジョニングツールの構成

NFCバンプを行う前に、Provisioning Toolを構成する必要があります。この構成はその後、工場出荷時の設定にリセットされたデバイスに、NFCバンプ中に転送されます。

Provisioning Tool構成

必須項目にデータを直接入力することも、テキストファイルから入力することもできます。次の手順では、テキストファイルを構成する方法と各フィールドに説明を含める方法について説明します。入力後のデータはアプリでは保存されないため、テキストファイルを作成して、今後の使用に備えて情報を保存しておくことをお勧めします。

テキストファイルを使用してProvisioning Toolを構成するには

ファイルの名前をnfcprovisioning.txtにして、/sdcard/フォルダーにあるデバイスのSDカードに格納します。アプリによってこのテキストファイルが読み込まれ、値が入力されます

テキストファイルには、次のデータを含める必要があります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

この行は、EMMプロバイダーアプリのイントラネット/インターネットの場所です。工場出荷時設定のデバイスがNFCバンプの後にWi-Fiに接続した場合、デバイスはダウンロードのためにこの場所にアクセスする必要があります。URLは通常のURLで、特別な形式にする必要はありません。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

この行は、EMMプロバイダーアプリのチェックサムです。このチェックサムはダウンロードが成功したかを検証するために使用されます。チェックサムを取得する手順については、後述します。

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

この行は、Provisioning Toolを実行しているデバイスが接続されているWi-FiのSSIDです。

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

サポートされる値はWEPおよびWPA2です。Wi-Fiが保護されていない場合、このフィールドは空白にする必要があります。

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Wi-Fiが保護されていない場合、このフィールドは空白にする必要があります。

android.app.extra.PROVISIONING_LOCALE=<locale>

言語コードと国コードを入力します。言語コードは、ISO 639-1で定義されている小文字で2文字のISO言語コード(「en」など)です。国コードは、ISO 3166-1で定義されている大文字で2文字のISO国コード(「US」など)です。たとえば、アメリカ合衆国で話されている英語の場合は「en_US」と入力します。コードを入力しない場合、国と言語は自動的に入力されます。

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

デバイスが実行されるタイムゾーンです。エリア/場所のデータベース名を入力します。たとえば、米国太平洋標準時の場合は「アメリカ/ロサンジェルス」と入力します。名前を入力しない場合、タイムゾーンは自動的に入力されます。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

このデータはSecure Hubとしてアプリにハードコードされるため、必須ではありません。ここでは、情報の完全性を守るためだけに記載しています。

WPA2を使用して保護されたWi-Fiの場合、完了したnfcprovisioning.txtファイルは以下の例のようになります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

保護されていないWi-Fiの場合、完了したnfcprovisioning.txtファイルは以下の例のようになります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Secure Hubチェックサムを取得するには

アプリのチェックサムを取得するには、そのアプリをエンタープライズアプリとして追加します。

  1. Endpoint Managementコンソールで、[構成]>[アプリ] に移動し、[追加] をクリックします。

    [アプリの追加] ウィンドウが開きます。

  2. [エンタープライズ] をクリックします。

    [アプリ情報] ページが開きます。

    [アプリ情報]ページ

  3. 次の構成を選択して [次へ] をクリックします。

    [Android Enterpriseエンタープライズアプリ] ページが開きます。

    Android Enterpriseエンタープライズアプリ

  4. .apkへのパスを入力し、[次へ] をクリックしてファイルをアップロードします。

    アップロードが完了すると、アップロードされたパッケージの詳細が表示されます。

    ファイルのアップロードページ

  5. [次へ] をクリックします。[JSONのダウンロード] をクリックしてJSONファイルをダウンロードします。このファイルは、この後Google Playへのアップロードに使用します。Secure Hubの場合、Google Playにアップロードする必要はありませんが、SHA1を読み込む元になるJSONファイルが必要です。

    JSONファイルのダウンロードページ

    以下の図に、典型的なJSONファイルの例を示します:

    典型的なJSONファイル

  6. file_sha1_base64の値をコピーして、この値をProvisioning Toolの [ハッシュ] フィールドで使用します。

    :ハッシュはURLセーフのものにする必要があります。

    • +記号はすべて-に変換します。
    • /記号はすべて_に変換します。
    • 末尾の\u003d=に置き換えます。

    ハッシュをデバイスのSDカードのnfcprovisioning.txtファイルに格納すると、安全のための変換が行われます。ただし、ハッシュを手動で入力すると、URLの安全性は入力者の責任になります。

使用するライブラリ

Provisioning Toolでは、以下のライブラリがソースコードに使用されています。

  • v7 appcompat library、Design support library、およびv7 Palette support library by Google(Apache license 2.0)

    詳しくは、「Support Libraryの機能」を参照してください。

  • Butter Knife by Jake Wharton(Apache license 2.0)

QRコードを使用してデバイスを登録する

QRコードを使用して完全に管理されたデバイスを登録するには、JSONを作成してQRコードに変換し、QRコードを生成します。このQRコードをデバイスカメラでスキャンし、デバイスを登録します。

システム要件

  • Android 7.0以降を実行するすべてのAndroidデバイスでサポートされます。

JSONからQRコードを作成する

次のフィールドがあるJSONを作成します。

これらのフィールドは必須です。

キー:android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

値:com.zenprise / com.zenprise.configuration.AdminFunction

キー: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

値:qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

キー:android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

値:https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

これらのフィールドはオプションです。

  • android.app.extra.PROVISIONING_LOCALE: 言語コードおよび国コードを入力します。

    言語コードは、ISO 639-1で定義されている小文字で2文字のISO言語コード(「en」など)です。国コードは、ISO 3166-1で定義されている大文字で2文字のISO国コード(「US」など)です。たとえば、アメリカ合衆国で話されている英語の場合は「en_US」と入力します。

  • android.app.extra.PROVISIONING_TIME_ZONE: これはデバイスが実行されているタイムゾーンです。

    エリア/場所のデータベース名を入力します。たとえば、米国太平洋標準時の場合は「アメリカ/ロサンジェルス」と入力します。名前を入力しない場合、タイムゾーンは自動的に入力されます。

  • android.app.extra.PROVISIONING_LOCAL_TIME: エポックからのミリ秒単位の時間。

    Unixエポック(またはUnix時間またはPOSIX時間またはUnixタイムスタンプ)は、1970年1月1日(UTC/ GMT午前0時)から経過した秒数で、うるう秒数は含まれません(ISO 8601: 1970-01-01T00:00:00Z)。

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: プロファイル作成時に暗号化をスキップするには、trueに設定します。プロファイルの作成時に暗号化を強制するには、falseに設定します。

以下の図に、典型的なJSONの例を示します。

典型的なJSON

https://jsonlint.comなどのJSON検証ツールを使用して作成されたJSONを検証します。https://goqr.meなどのオンラインQRコードジェネレーターを使用して、JSON文字列をQRコードに変換します。

このQRコードは工場出荷時の設定にリセットされたデバイスによってスキャンされ、これによってデバイスを完全に管理されたデバイスとして登録できます。

デバイスを登録するには

新しいデバイスまたは工場出荷時の設定にリセットされたデバイスの電源を入れた後、以下を行います:

  1. ようこそ画面で画面を6回タップすると、QRコードの登録フローが開始されます。
  2. プロンプトが表示されたら、Wi-Fiに接続します。(JSONでエンコードされた)QRコードにあるSecure Hubのダウンロード場所には、このWi-Fiネットワーク経由でアクセスできます。

    端末がWi-Fiに接続されると、GoogleからQRコードリーダーをダウンロードしてカメラを起動します。

  3. カメラをQRコードに合わせて、コードをスキャンします。

    Androidは、QRコードのダウンロード場所からSecure Hubをダウンロードし、署名証明書の署名を検証し、Secure Hubをインストールし、デバイス所有者として設定します。

詳しくは、Android EMM開発者向けGoogleガイド(https://developers.google.com/android/work/prov-devices#qr_code_method)を参照してください。

ゼロタッチ登録

ゼロタッチ登録を使用すると、初めてデバイスの電源をオンにしたときに完全に管理されているデバイスとしてプロビジョニングするようにセットアップできます。

デバイスのリセラーは、Androidのゼロタッチポータルにアカウントを作成します。このポータルは、デバイスに構成を適用できるオンラインツールです。Androidのゼロタッチポータルを使用して、1つまたは複数のゼロタッチ登録構成を作成し、アカウントに割り当てられたデバイスにこの構成を適用します。ユーザーがこれらのデバイスの電源をオンにすると、デバイスは自動的にEndpoint Managementに登録されます。デバイスに割り当てられた構成によって、自動登録プロセスが定義されます。

システム要件

  • ゼロタッチ登録は、Android 8.0以降でサポートされます。

リセラーからのデバイスとアカウントの情報

  • ゼロタッチ登録の対象となるデバイスは、エンタープライズリセラーまたはGoogleパートナーから購入します。Android Enterpriseのセロタッチパートナー一覧については、AndroidのWebサイトを参照してください。

  • リセラーによって作成されたAndroid Enterpriseのゼロタッチポータルアカウント。

  • リセラーから提供されたAndroid Enterpriseのゼロタッチポータルアカウントのログイン情報。

ゼロタッチ構成の作成

ゼロタッチ構成を作成する場合は、カスタムJSONを含めて構成の詳細を指定します。

このJSONを使用して、指定したEndpoint Managementサーバーに登録するようにデバイスを構成します。この例では、サーバーのURLを「URL」に置き換えます。

      {
          "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
        {
              "serverURL":"URL",
         }
      }

オプションでより多くのパラメーターを持つJSONを使用して、構成をさらにカスタマイズできます。この例では、Endpoint Managementサーバーと、この構成を使用するデバイスがそのサーバーにログオンするために使用するユーザー名とパスワードを指定します。

     {
        "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
          {
              "serverURL":"URL",
              "xm_username":"username",
              "xm_password":"password"
          }
            }
  1. Androidのゼロタッチポータル(https://partner.android.com/zerotouch)に移動します。ゼロタッチデバイスのリセラーのアカウント情報を使用してログインします。

  2. [Configuration] をクリックします。 ゼロタッチポータル

  3. 構成テーブルの上部にある [+] をクリックします。 ゼロタッチポータル

  4. 開いた構成ウィンドウに構成情報を入力します。 ゼロタッチポータル
    • Configuration name: この構成の名前を入力します。
    • EMM DPC: [Citrix Secure Hub] を選択します。
    • DPC extras: カスタムJSONテキストをフィールドに貼り付けます。
    • Company name: デバイスのプロビジョニング中、Android Enterpriseのゼロタッチデバイスに表示させる名前を入力します。
    • Support email address: サポートが必要なときにユーザーが連絡するメールアドレスを入力します。このアドレスは、デバイスのプロビジョニング前にAndroid Enterpriseのゼロタッチデバイスに表示されます。
    • Support phone number: ユーザーがサポートが必要なときに連絡する電話番号を入力します。この電話番号は、デバイスのプロビジョニング前にAndroid Enterpriseのゼロタッチデバイスに表示されます。
    • Custom Message: オプション。ユーザーが管理者にサポートを求めるように促す、またはデバイスで発生している状況をユーザーに説明するための、1、2行程度の文章を追加します。このカスタムメッセージは、デバイスのプロビジョニング前にAndroid Enterpriseのゼロタッチデバイスに表示されます。
  5. [追加] をクリックします。

  6. さらに構成を作成するには、手順2~4を繰り返します。

  7. デバイスに構成を適用するには、以下の手順を実行します:

    1. Androidのゼロタッチポータルで[Devices] をクリックします。

    2. デバイスの一覧でデバイスを探し、割り当てる構成を選択します。 ゼロタッチポータル

    3. [更新] をクリックします。

CSVファイルを使用して、多数のデバイスに構成を適用できます。

多数のデバイスに構成を適用する方法については、Android Enterpriseのヘルプトピック(ゼロタッチ登録:IT管理者向け)を参照してください。このAndroid Enterpriseのヘルプトピックには、構成を管理してデバイスに適用する方法の詳細が記載されています。

Android Enterprise専用デバイスのプロビジョニング

Android Enterprise専用デバイスは、単一のユースケース専用の完全に管理されたデバイスです。専用デバイスは、企業所有の単一使用(COSU)デバイスとも呼ばれます。これらのデバイスは、このユースケースに必要なタスクを実行する1つのアプリまたはアプリの小セットのみに制限されます。また、ユーザーがこれらのデバイスで他のアプリを有効にしたり、他の操作を実行したりすることを禁止することもできます。

専用デバイスは、「Android Enterpriseの完全に管理されたデバイスのプロビジョニング」の説明のとおり、他の完全に管理されたデバイスで使用されている登録方法のいずれかを使用して登録します。専用デバイスをプロビジョニングするには、登録前に追加のセットアップが必要です。

専用デバイスをプロビジョニングするには:

  • Endpoint Management管理者が専用デバイスをEndpoint Management展開に登録できるように、この管理者の登録プロファイルを追加します。「登録プロファイルの作成」を参照してください。
  • 専用デバイスがアクセスするアプリをホワイトリストに登録します。
  • 必要に応じて、ホワイトリストのアプリがロックタスクモードを許可するように設定します。アプリがロックタスクモードになると、ユーザーがアプリを開いた時にデバイス画面にアプリが固定されます。[ホーム]ボタンは表示されず、[戻る]ボタンは無効になります。ユーザーは、サインアウトなど、アプリでプログラムされた操作を使用してアプリを終了します。
  • 追加した登録プロファイルに各デバイスを登録します。

システム要件

  • 専用デバイスの登録は、Android 6.0以降でサポートされます。

アプリをホワイトに登録しロックタスクモードを設定

キオスクデバイスポリシーを使用すると、アプリがホワイトリストに登録され、ロックタスクモードを設定できます。デフォルトでは、Secure HubとGoogle Playサービスはホワイトリストに登録されています。

キオスクポリシーを追加するには:

  1. Endpoint Managementコンソールで、[構成]>[デバイスポリシー] の順にクリックします。[デバイスポリシー] ページが開きます。

  2. [追加] をクリックします。[新しいポリシーの追加] ダイアログボックスが開きます。

  3. [詳細] を展開した後、[セキュリティ]の下の [キオスク] をクリックします。[キオスクポリシー]ページが開きます。

  4. [プラットフォーム]で [Android Enterprise] を選択します。他のプラットフォームをクリアします。

  5. [ポリシー情報]ペインで、[ポリシー名] および任意で [説明] を入力します。

  6. [次へ] をクリックし、[追加] をクリックします。

  7. アプリをホワイトリストに登録し、ロックタスクモードを許可または拒否するには:

    ホワイトリストに登録するアプリを一覧から選択します。

    ユーザーがアプリを起動した時にアプリをデバイス画面に固定するには、[許可] を選択します。アプリをデバイス画面に固定しない場合は、[禁止] を選択します。デフォルトは [許可] です。

    デバイスポリシー構成画面

  8. [保存] をクリックします。

  9. さらにアプリをホワイトリストに登録し、ロックタスクモードを許可または禁止する場合は、[追加] をクリックします。

  10. 展開規則を構成し、デリバリーグループを選択します。詳しくは、「デバイスポリシー」を参照してください。

デバイスを登録するには

  1. [次へ] をクリックするか、[プラットフォーム][Android] を選択します。[登録構成] ページが開きます。

  2. [管理][Android Enterprise] に設定します。

  3. [デバイス所有者モード][専用デバイス] に設定します。

    登録プロファイル構成画面

  4. [割り当て] を選択します(オプション)。[デリバリーグループ割り当て] ページが開きます。

  5. 専用デバイスを登録した管理者を含む、1つまたは複数のデリバリーグループを選択します。次に、[保存] をクリックします。

登録プロファイルで [BYOD/仕事用プロファイル] が有効になっていると、新しいデバイスまたは工場出荷時リセットのデバイスではない場合は、仕事用プロファイルデバイスとして登録されます。「Android Enterpriseでの仕事用プロファイルデバイスのプロビジョニング」を参照してください。

仕事用プロファイルで完全に管理されたAndroid Enterpriseのデバイス(COPEデバイス)のプロビジョニング

仕事用プロファイルで完全に管理されたデバイス(以前のCOPEデバイス)は、仕事用と個人用の両方で使用される会社所有のデバイスです。組織はデバイス全体を管理します。1つのポリシーのセットをデバイスに適用し、別のポリシーのセットを仕事用プロファイルに適用できます。

Endpoint Managementコンソールでは、仕事用プロファイルで完全に管理されたデバイスは次の用語で表示されます:

  • デバイス所有権は「Corporate」です。

  • デバイスのAndroid Enterpriseインストールの種類は「Corporate Owner Personally Enabled」です。

システム要件

  • 仕事用プロファイルで完全に管理されたデバイスの登録は、Android 8.0以降でサポートされます。

仕事用プロファイルで完全に管理されたデバイスの登録プロファイルの追加

  1. Endpoint Managementコンソールで、[構成]>[登録プロファイル] の順に移動します。

  2. 登録プロファイルを追加するには、[追加] をクリックします。[登録情報]ページで、登録プロファイルの名前を入力します。このプロファイルのメンバーが登録できるデバイスの数が無制限に設定されていることを確認します。

  3. [次へ] をクリックするか、[プラットフォーム][Android] を選択します。[登録構成] ページが開きます。

  4. [管理][Android Enterprise] に設定します。

  5. [デバイスの所有者モード][仕事用プロファイルで完全に管理] に設定します。

    登録プロファイル構成画面

  6. [割り当て] を選択します(オプション)。[デリバリーグループ割り当て] ページが開きます。

  7. 専用デバイスを登録した管理者を含む、1つまたは複数のデリバリーグループを選択します。次に、[保存] をクリックします。

    [登録プロファイル]ページに、追加したプロファイルが表示されます。

    登録プロファイル構成画面

異なる登録プロファイルを持つ複数のデリバリーグループにユーザーが属している場合、デリバリーグループの名前によって、使用される登録プロファイルが決まります。Endpoint Managementは、デリバリーグループのアルファベット順一覧の最後に表示されるデリバリーグループを選択します。

デバイスを登録するには

新しいデバイスおよび工場出荷時リセットデバイスは、仕事用プロファイルで完全に管理されたデバイスとして登録します。これらのデバイスは、「Android Enterpriseの完全に管理されたデバイスのプロビジョニング」の説明のとおり、他の完全に管理されたデバイスで使用されている登録方法のいずれかを使用して登録します。

新しいデバイスまたは工場出荷時の状態にリセットされたデバイスではない場合、「Android Enterpriseでの仕事用プロファイルデバイスのプロビジョニング」の説明に従って仕事用プロファイルデバイスとして登録されます。

Endpoint ManagementコンソールでのAndroid Enterpriseデバイスの表示

Android Enterpriseの完全に管理されたデバイス、専用デバイス、および仕事用プロファイルで完全に管理されたデバイスを表示するには:

  1. Endpoint Managementコンソールで、[管理]>[デバイス] の順に移動します。

  2. このページの表の右側にあるメニューをクリックして、[Android Enterprise対応デバイスですか?] 列を追加します。 Android Enterpriseデバイスリスト

  3. 利用可能なセキュリティアクションを表示するには、完全に管理されたデバイスを選択して [セキュリティ] をクリックします。デバイスが完全に管理されている場合、完全なワイプ操作は使用できますが、選択的なワイプ操作は使用できません。これは、デバイスが管理対象Google Playストアのアプリのみを許可するためです。ユーザーがパブリックストアからアプリケーションをインストールするオプションはありません。組織はデバイス上のすべてのコンテンツを管理しています。

    セキュリティ操作

Android Enterpriseデバイスポリシーの構成

デバイスポリシーを使用して、Endpoint ManagementとAndroid Enterpriseを実行するデバイスとの通信に関する構成を行います。次の表は、Android Enterpriseデバイスで使用可能なデバイスポリシーの一覧です。

重要:

Android Enterpriseに登録してMDXアプリを使用するデバイスの場合:MDXおよびAndroid Enterpriseを介して一部の設定を制御できます。MDXに対して最も制限の少ないポリシー設定を使用し、Android Enterpriseを介してポリシーを制御します。

     
Android Enterpriseのアプリ権限 Android Enterprise管理対象の構成 アプリインベントリ
アプリアンインストール OS更新の制御 資格情報
カスタムXML Endpoint Managementオプション Exchange
ファイル Keyguard管理 キオスク
Knox Platform for Enterprise 場所 パスコード
制限 Samsung MDMライセンスキー スケジュール設定
Wi-Fi    

仕事用プロファイルで完全に管理されたデバイス(COPEデバイス)のデバイスポリシー

仕事用プロファイルで完全に管理されたデバイスの場合、デバイスポリシーによっては、デバイス全体と仕事用プロファイルに個別の設定を適用できます。他のデバイスポリシーを使用して、デバイス全体にのみ設定を適用することも、仕事用プロファイルで完全に管理されたデバイスの仕事用プロファイルにのみ設定を適用することもできます。

ポリシー 適用製品
Android Enterpriseのアプリ権限 仕事用プロファイル
Android Enterprise管理対象の構成 仕事用プロファイル
アプリインベントリ 仕事用プロファイル
アプリアンインストール 仕事用プロファイル
OS更新の制御 -
資格情報 仕事用プロファイル
カスタムXML -
Endpoint Managementオプション 仕事用プロファイル
Exchange -
ファイル 仕事用プロファイル
Keyguard管理 デバイスと仕事用プロファイル
キオスク -
Knox Platform for Enterprise 仕事用プロファイル
場所 デバイス(位置情報モードのみ)
パスコード デバイスと仕事用プロファイル
制限 デバイスと仕事用プロファイル(デバイス向けと仕事用プロファイル向けに個別のポリシーを作成する)
Samsung MDMライセンスキー -
スケジュール設定 仕事用プロファイル
Wi-Fi デバイス

Android EnterpriseでサポートされているデバイスポリシーとMDXポリシー」も参照してください。

セキュリティ操作

Android Enterpriseは、以下のセキュリティ操作をサポートしています。各セキュリティ操作の説明については、「セキュリティ操作」を参照してください。

セキュリティ操作 仕事用プロファイル 完全管理対象
証明書の書き換え はい はい
完全なワイプ はい(選択的なワイプ後) はい
検索 はい はい
ロック はい はい
パスワードのロックとリセット いいえ はい
通知(通知音) はい はい
取り消し はい はい
選択的なワイプ はい はい

セキュリティ操作の注意事項

  • 位置情報デバイスポリシーでデバイスの位置情報モードが [高精度] モードまたは [バッテリー節約] モードに設定されていない限り、検索セキュリティ操作は失敗します。「位置情報デバイスポリシー」を参照してください。

  • Android 8.0より前のバージョンのAndroidを実行する仕事用プロファイルデバイスの場合:

    • ロックおよびパスワードのリセット操作はサポートされていません。
  • Android 8.0以降の仕事用プロファイルデバイスの場合:

    • 送信されたパスコードによって仕事用プロファイルはロックされます。デバイス自体はロックされません。
    • 仕事用プロファイルにパスコードが設定されていない場合:
      • パスコードが送信されない場合、または送信されたパスコードがパスコードの要件を満たしていない場合:デバイスはロックされません。
    • 仕事用プロファイルにパスコードが設定されている場合:
      • パスコードが送信されない場合、または送信されたパスコードがパスコードの要件を満たしていない場合:仕事用プロファイルはロックされますが、デバイス自体はロックされません。

Android Enterpriseエンタープライズの登録を解除する

Android Enterpriseエンタープライズを使用しない場合は、エンタープライズの登録を解除できます。

警告:

エンタープライズの登録を解除すると、エンタープライズ経由で登録されていたデバイスのAndroid Enterpriseアプリはデフォルトの状態にリセットされます。これらのデバイスはGoogleの管理対象外になります。それらのデバイスをAndroid Enterpriseエンタープライズで再登録しても、追加の構成が行われるまで以前の機能を復元することができない場合があります。

Android Enterpriseエンタープライズの登録を解除した後:

  • エンタープライズ経由で登録されていたデバイスとユーザーのAndroid Enterpriseアプリは、デフォルト状態にリセットされます。以前に適用されていた[Android Enterprise管理対象の構成]ポリシーは無効になります。
  • Endpoint Managementは、エンタープライズ経由で登録されたデバイスを管理します。Googleからは、これらのデバイスは管理されてないと見なされるため、新しいAndroid Enterpriseアプリを追加することはできません。[Android Enterprise管理対象の構成]ポリシーは適用できません。[スケジュール設定]、[パスワード]、[制限]などのその他のポリシーは、これらのデバイスに適用できます。
  • Android Enterpriseにデバイスを登録しようとすると、Android EnterpriseデバイスではなくAndroidデバイスとして登録されます。

Endpoint ManagementサーバーコンソールとEndpoint Managementツールを使用して、Android Enterpriseエンタープライズの登録を解除できます。

このタスクを実行すると、Endpoint Managementの[ツール]ポップアップウィンドウが表示されます。始める前に、Webブラウザーに、ポップアップウィンドウを開く権限があることを確認してください。Google Chromeなどの一部のWebブラウザーでは、ポップアップブロックを無効にし、Endpoint Managementサイトのアドレスをポップアップブロックのホワイトリストに追加する必要があります。

Android Enterpriseエンタープライズの登録を解除するには:

  1. Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [設定]ページで、[Android Enterprise] をクリックします。

  3. [登録解除] をクリックします。

    登録解除オプション