Android Enterprise

Android Enterpriseは、GoogleがAndroidデバイス用のエンタープライズ管理ソリューションとして提供するツールとサービスのセットです。Android Enterpriseでは、Endpoint Managementを使用して、企業所有のAndroidデバイスとユーザー所有の(BYOD)Androidデバイスを管理します。デバイス全体を管理することも、デバイス上の個別のプロファイルを管理することもできます。この個別のプロファイルでは、ビジネス用のアカウント、アプリ、データが個人のアカウント、アプリ、データと分離されています。在庫管理など、1度のみの使用専用のデバイスを管理することもできます。

Endpoint ManagementでサポートされているAndroidオペレーティングシステムについては、「サポートされるデバイスオペレーティングシステム」を参照してください。

Android Enterpriseに関連する用語と定義の一覧については、「Google Android Enterprise開発者ガイド」のAndroid Enterpriseの用語を参照してください。Googleはこれらの用語を頻繁に更新します。

Endpoint Managementを管理対象Google Playと統合してAndroid Enterpriseを使用する場合、エンタープライズを作成します。Googleはエンタープライズを、組織とエンタープライズモバイル管理(EMM)ソリューションとの間のバインディングと定義しています。組織がソリューションを通して管理するすべてのユーザーとデバイスは、そのエンタープライズに属します。

Android Enterpriseのエンタープライズには、EMMソリューション、デバイスポリシーコントローラー(DPC)アプリ、およびGoogleエンタープライズアプリプラットフォームの3つのコンポーネントがあります。Endpoint ManagementをAndroid Enterpriseと統合すると、完成されたソリューションには次のコンポーネントが含まれます:

  • Citrix Endpoint Management: Citrix EMM。Endpoint Managementは、安全なデジタルワークスペースのための統合されたエンドポイント管理です。Endpoint Managementは、IT管理者が組織のデバイスとアプリを管理する手段を提供します。
  • Citrix Secure Hub: Citrix DPCアプリ。Secure Hubは、Endpoint Managementのランチパッドです。Secure Hubはデバイスにポリシーを適用します。
  • 管理対象Google Play: Endpoint Managementと統合するGoogleエンタープライズアプリプラットフォーム。Google Play EMM APIがアプリポリシーを設定し、アプリを配布します。

次の図に、管理者がこれらのコンポーネントとやり取りする方法と、コンポーネントが互いにやり取りする方法を示します:

Android Enterpriseワークフロー

Endpoint Managementで管理対象Google Playを使用する

注:

管理対象Google PlayまたはG Suiteを使用して、CitrixをEMMプロバイダーとしてGoogle Playに登録できます。この記事では、管理対象Google PlayでAndroid Enterpriseを使用する方法について説明します。組織がG Suiteを使用してアプリへのアクセスを提供している場合、Android Enterpriseで使用できます。G Suiteユーザー向けの従来のAndroid Enterpriseを参照してください。

管理対象Google Playを使用する場合、デバイスおよびエンドユーザーに管理対象Google Playアカウントをプロビジョニングします。管理対象Google Playアカウントは、管理対象Google Playへのアクセスを提供し、管理者が利用可能にしたアプリをユーザーがインストールし、使用できるようにします。組織がサードパーティのIDサービスを使用する場合、ビジネス向けGoogle Playアカウントと既存のIDアカウントを関連付けることができます。

この種類のエンタープライズはドメインに関連付けられていないため、1つの組織用に1つまたは複数のエンタープライズを作成できます。たとえば、組織の各部門または各地域は異なるエンタープライズとして登録し、デバイスおよびアプリの個別セットとして管理できます。

Endpoint Managementの管理者のために、管理対象Google Playでは、使い慣れたGoogle Playのユーザーエクスペリエンスとアプリストアの機能が、エンタープライズ向けに設計された管理機能セットと組み合わされています。ビジネス向けGoogle Playを使用して、アプリを追加、購入、および承認し、デバイスのAndroid Enterpriseワークスペースに展開します。Google Playを使用してパブリックアプリ、プライベートアプリ、およびサードパーティアプリを展開できます。

管理対象デバイスのユーザーの場合、管理対象Google Playがエンタープライズアプリストアです。ユーザーは、アプリの閲覧、アプリの詳細の表示、アプリのインストールを実行できます。Google Playのパブリックバージョンとは異なり、ユーザーは管理者が利用可能にしたアプリのみをビジネス向けGoogle Playからインストールできます。

デバイス展開シナリオと操作モード

デバイス展開シナリオは、展開するデバイスの所有者とデバイスの管理方法を示します。操作モードは、DPCがデバイスのポリシーを管理および実施する方法を指します。操作モードは、デバイス展開シナリオをサポートします。

仕事用プロファイル:BYODデバイスの展開、プロファイル所有者モード

BYOD展開シナリオでは、従業員が個人所有のデバイスを持ち込み、それらのデバイスを使用して会社の情報やアプリケーションにアクセスできます。

プロファイル所有者操作モードは、BYOD展開をサポートします。企業はDPCを介して、デバイス上のプライマリユーザーアカウントに仕事用プロファイルを追加することにより、個人用デバイスを仕事で使用できるようにします。この仕事用プロファイルでは、ビジネス用のアカウント、アプリ、データが個人のアカウント、アプリ、データと分離されています。仕事用プロファイルはプライマリユーザーに個別のプロファイルとして関連付けられます。DPCはプロファイル所有者としてデバイス上の仕事用プロファイルのみを管理し、仕事用プロファイル以外の制御は制限されています。仕事用プロファイルの詳細については、Google Android Enterpriseのヘルプトピック(仕事用プロファイルとは)を参照してください。

デバイスがEndpoint Managementに登録されると、プロファイル所有者モードが有効になります。DPCはデバイス全体ではなく仕事用プロファイルのみを管理するため、プロファイル所有者モードで登録されたデバイスは、新規または工場出荷時リセットである必要はありません。

プロファイル所有者モードのデバイスは、仕事用プロファイルデバイスとも呼ばれます。プロファイル所有者モードは、仕事用プロファイルモードまたは管理対象プロファイルモードとも呼ばれます。

注:

Endpoint Managementでは、プロファイル所有者モードのZebraデバイスはサポートされません。Endpoint Managementでは、Zebraデバイスは完全に管理されたデバイスとして、およびデバイス従来モード(デバイス管理者モードともいう)でサポートされます。

完全に管理された: 企業所有デバイスの展開、デバイス所有者モード

企業所有の展開シナリオでは、エンタープライズが使用するデバイスを所有し、完全に制御します。通常、デバイス全体を厳密に監視および管理する必要がある場合に、組織は企業所有デバイスを展開します。

デバイス所有者操作モードは、企業所有の展開をサポートします。デバイス所有者モードでは、DPCはデバイス全体を管理します。DPCはデバイス所有者として、デバイス全体のアクションを実行できます。デバイス全体の接続の構成、グローバル設定の構成、工場出荷時設定へのリセットなどです。

デバイス所有者モードのデバイスは、完全に管理されたデバイスです。

デバイス所有者モードは、デバイスの初期セットアップ中に有効になります。デバイス所有者モードでEndpoint Managementに登録できるのは、新しいデバイスまたは工場出荷時の状態にリセットされたデバイスのみです。

専用デバイス: 企業所有デバイスの展開、デバイス所有者モード

専用デバイスは、完全に管理されたデバイスです。デバイス所有者モードで実行されている企業所有デバイスです。専用デバイスは、デジタルサイネージ、チケットの印刷、在庫管理などの専用の制限されたアプリセットを提供します。専用デバイスをプロビジョニングする場合、必要なアプリのみを提供し、ユーザーが他のアプリを追加できないようにします。

専用デバイスは、企業所有の単一使用(COSU)デバイスとも呼ばれます。

従来のデバイスの展開、従来モード

従来展開シナリオは、5.0より前のAndroidバージョンが実行されているデバイス向けのシナリオです。5.0より前のAndroidバージョンでは、デバイス所有者モードとプロファイル所有者モードはサポートされていません。Androidバージョン5.1では、デバイス所有者モードはサポートされていますが、プロファイル所有者モードはサポートされていません。

従来操作モードはデバイス管理者モードとも呼ばれ、レガシーデバイスの展開をサポートします。従来モードでは、DPCはデバイスの制御が制限されます。DPCは、デバイスのワイプ、パスコードの要求、またはポリシーの実施を行うことができます。従来のデバイスでアプリ管理を提供するには、Google Playを使用して、ユーザーがGoogleアカウントを追加できるようにします。DPCが管理対象Google Playアカウントを従来のデバイスに追加するように設定することもできます。

従来モードは、デバイス所有者モードまたはプロファイル所有者モードを実装できる展開には推奨されません。Googleでは、大規模なフリートで低レベルのソリューションではなく、可能な限り最高レベルのデバイス管理を使用することをお勧めします。従来モードからデバイス所有者モードまたはプロファイル所有者モードへの移行の詳細については、「Device AdministrationからAndroid Enterpriseへの移行」を参照してください。

注:

シトリックスは、管理対象Google PlayではなくEndpoint ManagementやG Suiteを使用してAndroid Enterpriseデバイスを管理するお客様に対しても、従来という用語を使用します。

認証方法

Endpoint Managementは、AndroidデバイスをMDM+MAMモードまたはMDMモードに登録します。ユーザーは、任意でMAMのみモードで登録することもできます。Endpoint Managementは、MDM+MAMモードのAndroidデバイスに対して、次の認証方法をサポートします。詳しくは、「証明書と認証」を参照してください。

  • ドメイン
  • ドメイン+セキュリティトークン
  • クライアント証明書
  • クライアント証明書およびドメイン
  • IDプロバイダー:
    • Azure Active Directory
    • Citrix IDプロバイダー

使用頻度が少ない別の認証方法には、クライアント証明書とセキュリティトークンの組み合わせがあります。詳しくは、「https://support.citrix.com/article/CTX215200」を参照してください。

要件

Android Enterpriseの使用を開始するには、以下が必要となります:

  • アカウントと資格情報:

    • 管理対象Google PlayでAndroid Enterpriseをセットアップする場合、企業Googleアカウント
    • 最新のMDXファイルをダウンロードする場合、Citrixカスタマーアカウント
    • プライベートアプリを展開する場合(オプション)、Google開発者アカウント
  • Samsung Knox Mobile Enrollmentの場合(オプション)、Knoxプレミアムライセンス

Endpoint ManagementをGoogle Playに接続する

組織のAndroid Enterpriseをセットアップするには、管理対象Google PlayからCitrixをEMMプロバイダーとして登録します。これにより、管理対象Google PlayとEndpoint Managementが接続され、Endpoint ManagementでAndroid Enterpriseのエンタープライズが作成されます。

Google Playにサインインするための企業Googleアカウントが必要です。

  1. Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [設定] ページで、[Android Enterprise] をクリックします。 Android Enterpriseが強調表示された設定ページ

  3. [Android Enterprise] ページのEndpoint Management設定で、[接続] をクリックします。Google Playが開きます。 Android EnterpriseからGoogle Playへの接続

  4. 企業Googleアカウントの資格情報でGoogle Playにサインインします。組織名を入力し、CitrixがEMMプロバイダであることを確認します。

  5. Android EnterpriseにエンタープライズIDが追加されます。Android Enterpriseを有効にするには、[Android Enterpriseの有効化][はい] に切り替えます。

    [Android Enterpriseの有効化]オプション

Endpoint ManagementコンソールにエンタープライズIDが表示されます。

Android Enterprise ID

使用する環境がGoogleに接続され、デバイスを管理する準備ができます。これで、ユーザーにアプリを提供できるようになりました。

Endpoint Managementを使用して、ユーザーにCitrix業務用モバイルアプリ、MDXアプリ、パブリックアプリストアアプリ、WebおよびSaaSアプリ、エンタープライズアプリ、Webリンクを提供できます。これらの種類のアプリとこれらのアプリのユーザーへの提供の詳細については、「アプリの追加」を参照してください。

次のセクションでは、業務用モバイルアプリを提供する方法を示します。

Android EnterpriseユーザーにCitrix業務用モバイルアプリを提供する

Android EnterpriseユーザーにCitrix業務用モバイルアプリを提供するには、以下の手順を実行する必要があります。

  1. 管理対象Google Playストアで、ユーザーに必要なアプリを承認します。管理対象Google Playでアプリを承認するを参照してください。

  2. Endpoint Managementコンソールで、アプリをパブリックアプリストアアプリとして公開します。「アプリをパブリックアプリストアアプリとして構成する」を参照してください。

  3. Endpoint Managementコンソールで、同じアプリをMDXアプリとして再度公開し、アプリがMDXポリシーを受信できるようにします。アプリをMDXアプリとして構成するを参照してください。

  4. Endpoint Managementコンソールで、ユーザーがデバイス上の仕事用プロファイルにアクセスするために使用するセキュリティ確認のルールを構成します。セキュリティ確認ポリシーを構成するを参照してください。

公開するアプリは、Android Enterpriseエンタープライズに登録されているデバイスで利用できます。

管理対象Google Playでアプリを承認する

アプリをEndpoint Managementに追加するには、まず管理対象Google Playストアでアプリを承認します。管理対象Google Playストアでアプリを承認していない場合、アプリを追加すると、次のエラーが表示されます:

Android Enterpriseエラー

管理対象Google Playストアにアクセスして、エンタープライズで既に承認されていて利用可能なアプリを確認します。

  1. Googleアカウントの資格情報を使用してhttps://play.google.com/workにログインします。
  2. [マイ管理対象アプリ] をクリックして、ユーザーに対して承認されているすべてのアプリを表示します。 Google Play承認ステータス

管理対象Google Playストアでアプリを承認するには:

  1. 管理対象Google Playにログインした状態で、承認するアプリを選択します。対象アプリのページに [承認] ボタンが表示されます。 Google Play承認
  2. [承認] をクリックします。 Google Play承認設定
  3. [承認] を再度クリックします。
  4. [アプリが新しい権限を要求したときには承認を維持する] を選択します。[保存] をクリックします。 Google Play承認設定

アプリをパブリックアプリストアアプリとして構成する

Citrix FilesをAndroid Enterpriseパブリックアプリストアのアプリとして構成するには:

  1. Endpoint Managementコンソールで、[構成]>[アプリ] の順にクリックします。[アプリ] ページが開きます。 アプリ構成画面

  2. [追加] をクリックします。[アプリの追加] ダイアログボックスが開きます。

    アプリ構成画面

  3. [パブリックアプリストア] をクリックします。[アプリ情報] ページが開きます。

  4. [アプリケーション情報] ページで、以下の情報を入力します:

    • 名前: アプリの説明的な名前を入力します。この名前は、[アプリ] の表の [アプリ名] の下に表示されます。
    • 説明: 任意で、アプリの説明を入力します。
    • アプリカテゴリ: 任意で、一覧から、アプリを追加するカテゴリを選択します。アプリカテゴリについて詳しくは、「アプリカテゴリの作成」を参照してください。
  5. [次へ] をクリックします。アプリのプラットフォームページが開きます。

  6. [プラットフォーム][Android Enterprise] を選択します。他のプラットフォームをクリアします。

  7. [Android Enterprise] の下で、アプリのバンドルIDを入力して [検索] をクリックします。アプリIDは、Google PlayストアのアプリのURL内に示されます。 Android EnterpriseアプリバンドルID

  8. アプリがGoogle Playストアで承認されていないことがコンソールに表示されている場合、[はい] をクリックしてすぐに承認します。 Android Enterpriseアプリが承認されていません

  9. アプリを選択して追加します。[次へ] をクリックします。 Android Enterprise[アプリの追加]ボックス

  10. このアプリを1つ以上のデリバリーグループに割り当てます。 Android Enterpriseデリバリーグループ

  11. [保存] をクリックします。

Citrix Secure MailとCitrix Secure Webでこれらの手順を繰り返します。

アプリをMDXアプリとして構成する

業務用モバイルアプリでは、ネイティブのAndroidマニフェストは使用されません。アプリをユーザーに展開する前に、これらのアプリをMDXアプリとして追加し、MDXポリシーを構成する必要があります。

MDXアプリを追加する前に、最新のAndroid MDXファイルをダウンロードします:

  1. 以下のCitrix Endpoint Managementダウンロードページにアクセスして、Citrixの顧客資格情報でログインします:https://www.citrix.com/downloads/citrix-endpoint-management/product-software/xenmobile-enterprise-edition-worx-apps-and-mdx-toolkit.html

    MDXファイルダウンロード

  2. ダウンロードしたファイルを解凍し、その内容を抽出します。

MDXアプリを追加して構成するには:

  1. Endpoint Managementコンソールで、[構成]>[アプリ] の順にクリックします。[アプリ] ページが開きます。

    アプリ構成画面

  2. [追加] をクリックします。[アプリの追加] ダイアログボックスが開きます。

    アプリ構成画面

  3. [MDX] をクリックします。[アプリ情報] ページが開きます。

  4. アプリケーションに名前を付けて [次へ] をクリックします。 MDXアプリ情報

  5. [次へ] をクリックしてAndroidプラットフォームの構成を取得します。

  6. [アップロード]をクリックします。 MDXアップロード

  7. MDXファイルの場所に移動し、インストールするMDXファイルを選択します。 MDXファイル選択

  8. 一部のアプリのネットワークアクセスはデフォルトでブロックされます。ネットワークアクセスを有効にします。メニューをクリックして [トンネル - Web SSO] を選択します。 ネットワークアクセスオプション

  9. [次へ] をクリックして、デフォルト以外のページを通過し、[デリバリーグループの割り当て]ページに到達するまで続けます。

  10. パブリックアプリストアアプリとして公開したときに割り当てたのと同じデリバリーグループにアプリを割り当てます。

  11. [保存] をクリックします。

この手順を繰り返して、業務用モバイルアプリごとにMDXアプリを構成します。

セキュリティ確認ポリシーを構成する

Endpoint Managementパスコードデバイスポリシーでは、セキュリティ確認の規則を構成します。セキュリティ確認は、ユーザーが自分のデバイスまたはAndroid Enterpriseの仕事用プロファイルにアクセスしたときに表示されます。セキュリティ確認はパスコードか生体認証です。パスコードポリシーの詳細については、 「パスコードデバイスポリシー」を参照してください。

  • Android Enterpriseの展開にBYODデバイスが含まれる場合、仕事用プロファイルのパスコードポリシーを構成します。
  • 展開に企業所有の完全管理デバイスが含まれる場合、デバイス自体のパスコードポリシーを構成します。
  • 展開に両方のタイプのデバイスが含まれる場合、両方のタイプのパスコードポリシーを構成します。

パスコードポリシーを構成するには:

  1. Endpoint Managementコンソールで、[構成]>[デバイスポリシー] に移動します。

  2. [追加] をクリックします。

  3. [フィルターを表示] をクリックして、[ポリシープラットフォーム] ペインを開きます。[ポリシープラットフォーム] ペインで、[Android Enterprise] を選択します。

  4. 右ペインで [パスコード] をクリックします。 パスワードセキュリティオプション

  5. [ポリシー名] を入力します。[次へ] をクリックします。 パスワードセキュリティ名

  6. パスコードポリシー設定を構成します。
    • デバイス自体のセキュリティ確認に使用できる設定を確認するには、[デバイスのパスコードを要求][オン] に設定します。
    • 仕事用プロファイルのセキュリティ確認に使用できる設定を確認するには、[仕事用プロファイルのセキュリティ確認][オン] に設定します。
  7. [次へ] をクリックします。

  8. このポリシーを1つ以上のデリバリーグループに割り当てます。

  9. [保存] をクリックします。

登録プロファイルの作成

Endpoint Management展開でAndroid Enterpriseが有効になっている場合、登録プロファイルによってAndroidデバイスの登録方法が制御されます。登録プロファイルによって、AndroidデバイスがデフォルトのAndroid Enterpriseモード(完全管理対象プロファイルまたは仕事用プロファイル)または従来のモード(デバイス管理者)のどちらで登録されるかが決まります。

デフォルトでは、Global登録プロファイルは、新規および工場出荷時にリセットされたAndroid Enterpriseデバイスを完全に管理されたデバイスとして登録し、BYOD Android Enterpriseデバイスを仕事用プロファイルデバイスとして登録します。

従来デバイスの登録プロファイルを作成する

Googleでは、デバイス管理でデバイス管理者モードを廃止し、デバイス所有者モードまたはプロファイル所有者モードですべてのAndroidデバイスを管理することを推奨しています(Google Android Enterprise開発者ガイドのデバイス管理者の非推奨を参照)。この変更をサポートするために、Android EnterpriseはAndroidデバイスのデフォルトの登録オプションになりました。

この変更により、Endpoint Management展開でAndroid Enterpriseが有効になっている場合、新しく登録または再登録したすべてのAndroidデバイスがAndroid Enterpriseデバイスとして登録されます。

組織では、従来のAndroidデバイスの管理を、デバイス所有者モードまたはプロファイル所有者モードで開始する準備ができていない可能性があります。その場合は、デバイス管理者モードで引き続き管理できます。従来デバイスの登録プロファイルを作成し、登録されているすべての従来デバイスを再登録します。

従来デバイスの登録プロファイルを作成するには、次の手順を実行します:

  1. Endpoint Managementコンソールで、[構成]>[登録プロファイル] の順に移動します。

  2. 登録プロファイルを追加するには、[追加] をクリックします。[登録情報]ページで、登録プロファイルの名前を入力します。

  3. [次へ] をクリックするか、[プラットフォーム][Android] を選択します。[登録構成] ページが開きます。

  4. [管理][従来のデバイス管理 (非推奨)] に設定します。[次へ] をクリックします。

    登録プロファイル構成画面

  5. [割り当て] を選択します(オプション)。[デリバリーグループ割り当て] ページが開きます。

  6. 専用デバイスを登録した管理者を含む、1つまたは複数のデリバリーグループを選択します。次に、[保存] をクリックします。

引き続きデバイス管理者モードで従来デバイスを管理するには、このプロファイルを使用して従来デバイスを登録または再登録します。仕事用プロファイルデバイスと同様のデバイス管理者デバイスを登録するには、ユーザーにSecure Hubをダウンロードさせ、登録サーバーのURLを指定します。

Android Enterpriseでの仕事用プロファイルデバイスのプロビジョニング

Android Enterprise仕事用プロファイルデバイスは、プロファイル所有者モードで登録されます。これらのデバイスは、新品または工場出荷時の設定にリセットする必要がありません。BYODデバイスは、仕事用プロファイルデバイスとして登録されます。登録手順は、Endpoint ManagementでAndroidを登録する場合と同様です。ユーザーはGoogle PlayからSecure Hubをダウンロードし、デバイスを登録します。

デバイスがAndroid Enterpriseで仕事用プロファイルデバイスとして登録されている場合、デフォルトではUSBデバッグおよび不明なソース設定は無効になっています。

Android Enterpriseのデバイスを仕事用プロファイルデバイスとして登録する場合は、必ずGoogle Playにアクセスしてください。そこから、ユーザーの個人プロファイルでのSecure Hubの表示を有効にします。

Android Enterpriseの完全に管理されたデバイスのプロビジョニング

前のセクションで設定した展開に、完全に管理されたデバイスを登録できます。完全に管理されたデバイスは企業所有デバイスで、デバイス所有者モードで登録されます。デバイス所有者モードで登録できるのは、新しいデバイスまたは工場出荷時の状態にリセットされたデバイスのみです。

デバイス所有者モードでデバイスを登録するには、次の登録方法のいずれかを使用します:

  • DPC IDトークン: この登録方法では、ユーザーがデバイスの設定時に「afw#xenmobile」という文字を入力します。afw#xenmobileはCitrix DPC IDトークンです。このトークンにより、デバイスがEndpoint Managementの管理対象であると識別され、Google PlayストアからSecure Hubがダウンロードされます。Citrix DPC識別子トークンを使用したデバイスの登録を参照してください。
  • 近距離無線通信(NFC)バンプ: NFCバンプの登録方法では、近距離無線通信を使用して2つのデバイス間でデータを転送します。新しいデバイスまたは工場出荷時設定にリセットされたデバイスでは、Bluetooth、Wi-Fi、およびそのほかの通信モードは無効になっています。この状態のデバイスが使用する通信プロトコルはNFCのみです。NFCバンプを使用してデバイスを登録するを参照してください。
  • QRコード: QRコード登録は、NFCをサポートしていないタブレットなどの分散型端末を登録するのに使用できます。QRコードによる登録方法では、セットアップウィザードからQRコードをスキャンすることによって、デバイスプロファイルモードを設定および構成します。QRコードを使用してデバイスを登録するを参照してください。
  • ゼロタッチ: ゼロタッチ登録では、最初に電源をオンにしたときに自動で登録されるようにデバイスを構成できます。ゼロタッチ登録は、Android 8.0以降が動作する一部のAndroidデバイスでサポートされています。ゼロタッチ登録を参照してください。
  • Googleアカウント: ユーザーは、Googleアカウントの資格情報を入力して、プロビジョニングプロセスを開始します。このオプションは、G Suiteを使用しているエンタープライズ向けです。

Citrix DPC識別子トークンを使用したデバイスの登録

初期セットアップで新しいデバイスまたは工場出荷時の状態にリセットされたデバイスの電源を入れた後、Googleアカウントの入力を求められたら「afw#xenmobile」と入力します。この操作により、Secure Hubがダウンロードされインストールされます。インストール後、Secure Hubの設定プロンプトに従って登録を完了します。

この登録方法ではSecure Hubの最新バージョンがGoogle Playストアからダウンロードされるため、ほとんどのお客様に推奨されます。他の登録方法とは異なり、Endpoint Managementサーバーでダウンロード用にSecure Hubを提供することはありません。

システム要件

  • Android OSを実行するすべてのAndroidデバイスでサポートされます。

デバイスを登録するには

  1. 新しいデバイスまたは工場出荷時の設定にリセットされたデバイスの電源を入れます。

  2. デバイスの初期セットアップが読み込まれ、Googleアカウントの入力が求められます。デバイスのホーム画面が読み込まれたら、通知バーのセットアップ完了通知を確認します。

    デバイスセットアップログインプロンプト

  3. メールまたは電話フィールドに「afw#xenmobile」と入力します。

    デバイスセットアップテキスト

  4. Secure Hubのインストールを求めるAndroid Enterprise画面で [インストール] をタップします。

    Android Enterpriseインストール

  5. Secure Hubインストーラー画面で [インストール] をタップします。

    Secure Hubインストール

  6. すべてのアプリの許可リクエストに対して [許可する] をタップします。

  7. [同意して続行] をタップしてSecure Hubをインストールし、デバイスを管理できるようにします。

    Secure Hub権限

  8. これで、Secure Hubがインストールされ、デフォルトの登録画面に表示されます。この例では、自動検出は設定されていません。自動検出が設定されている場合、ユーザーはユーザー名/メールアドレスを入力可能で、それに対応するサーバーが検出されます。自動検出が設定されていない場合、環境の登録URLを入力して [次へ] をタップします。

    Secure Hub資格情報

  9. Endpoint Managementのデフォルト設定では、MAMを使用するか、MDM+MAMを使用するかを選択できます。このようにプロンプトが表示されたら、[はい、登録します] をタップしてMDM+MAMを選択します。

    Secure Hub登録デバイス

  10. ユーザー名とパスワードを入力し、[次へ] をタップします。

    Secure Hubログイン

  11. デバイスのパスコードを設定するように求められます。[設定] をタップしてパスコードを入力します。

    Secure Hubパスコード

  12. 仕事用プロファイルのロック解除方法を設定するよう求められます。この例では [パスワード][PIN] をタップしてPINを入力します。

    パスコードオプション

  13. デバイスにSecure Hubの [マイアプリ] ランディング画面が表示されます。[ストアからアプリを追加] をタップします。

    Secure Hubアプリ画面

  14. Secure Webを追加するには、[Secure Web] をタップします。

    Secure Hubストア

  15. [追加] をタップします。

    Secure Webストア

  16. Secure Hubで、Secure WebをインストールするためにGoogle Playストアに移動します。[インストール] をタップします。

    Secure Appsインストール

  17. Secure Webがインストールされたら、[開く] をタップします。アドレスバーに内部サイトのURLを入力し、ページが読み込まれることを確認します。

    Secure Webテスト

  18. デバイスで [設定] > [アカウント] に移動します。管理対象アカウントが変更できないことを確認します。画面の共有またはリモートデバッグのための開発者オプションもブロックされます。

    アカウント変更

NFCバンプを使用してデバイスを登録する

NFCバンプを使用して完全に管理されたデバイスとしてデバイスを登録するには、工場出荷時の設定にリセットされたデバイスと、Endpoint Managementプロビジョニングツールを実行するデバイスの2台のデバイスが必要です。

システム要件および前提条件

  • サポートされるAndroidデバイス
  • 完全に管理されたデバイスとしてAndroid Enterprise向けにプロビジョニングされた、新規または工場出荷時設定にリセットされたデバイス。この前提条件を完了する手順については、後述します。
  • 構成済みのProvisioning Toolを実行している、NFC機能が備わった別のデバイス。Provisioning Toolは、Secure Hubまたはシトリックスのダウンロードページから入手できます。

各デバイスでは、管理対象Secure HubというAndroid Enterpriseプロファイルを1つのみ保有できます。各デバイスで許可されるプロファイルは1つのみです。2つ目のDPCアプリを追加しようとすると、インストール済みのSecure Hubが削除されます。

NFCバンプを介して転送されるデータ

工場出荷時の設定にリセットされたデバイスをプロビジョニングするには、以下のデータをNFCバンプ経由で送信してAndroid Enterpriseを初期化する必要があります:

  • デバイス所有者として機能するDPCアプリ(この場合はSecure Hub)のパッケージ名。
  • デバイスがDPCアプリをダウンロードできるイントラネット/インターネット上の場所。
  • ダウンロードが正常に完了したかどうかを確認するDPCアプリのSHA1ハッシュ。
  • 工場出荷時の設定にリセットされたデバイスがDPCアプリに接続してダウンロードできるようにするWi-Fi接続の詳細。注:現時点では、Androidはこの手順での802.1x Wi-Fiをサポートしていません。
  • デバイスのタイムゾーン(オプション)。
  • デバイスの地理的な場所(オプション)。

2つのデバイスがバンプされると、Provisioning Toolのデータが工場出荷時の設定にリセットされたデバイスに送信されます。このデータはその後、管理者設定でのSecure Hubのダウンロードに使用されます。タイムゾーンと場所の値を入力しない場合、新しいデバイスではAndroidによって自動的にこれらの値が構成されます。

Endpoint Managementプロビジョニングツールの構成

NFCバンプを行う前に、Provisioning Toolを構成する必要があります。この構成はその後、工場出荷時の設定にリセットされたデバイスに、NFCバンプ中に転送されます。

Provisioning Tool構成

必須項目にデータを直接入力することも、テキストファイルから入力することもできます。次の手順では、テキストファイルを構成する方法と各フィールドに説明を含める方法について説明します。入力後のデータはアプリでは保存されないため、テキストファイルを作成して、今後の使用に備えて情報を保存しておくことをお勧めします。

テキストファイルを使用してProvisioning Toolを構成するには

ファイルの名前をnfcprovisioning.txtにして、/sdcard/フォルダーにあるデバイスのSDカードに格納します。アプリによってこのテキストファイルが読み込まれ、値が入力されます

テキストファイルには、次のデータを含める必要があります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

この行は、EMMプロバイダーアプリのイントラネット/インターネットの場所です。工場出荷時設定のデバイスがNFCバンプの後にWi-Fiに接続した場合、デバイスはダウンロードのためにこの場所にアクセスする必要があります。URLは通常のURLで、特別な形式にする必要はありません。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

この行は、EMMプロバイダーアプリのチェックサムです。このチェックサムはダウンロードが成功したかを検証するために使用されます。チェックサムを取得する手順については、後述します。

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

この行は、Provisioning Toolを実行しているデバイスが接続されているWi-FiのSSIDです。

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

サポートされる値はWEPおよびWPA2です。Wi-Fiが保護されていない場合、このフィールドは空白にする必要があります。

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Wi-Fiが保護されていない場合、このフィールドは空白にする必要があります。

android.app.extra.PROVISIONING_LOCALE=<locale>

言語コードと国コードを入力します。言語コードは、ISO 639-1で定義されている小文字で2文字のISO言語コード(「en」など)です。国コードは、ISO 3166-1で定義されている大文字で2文字のISO国コード(「US」など)です。たとえば、アメリカ合衆国で話されている英語の場合は「en_US」と入力します。コードを入力しない場合、国と言語は自動的に入力されます。

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

デバイスが実行されるタイムゾーンです。フォームの地域/場所のOlson名を入力します。たとえば、米国太平洋標準時の場合は「America/Los_Angeles」です。名前を入力しない場合、タイムゾーンは自動的に入力されます。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

このデータはSecure Hubとしてアプリにハードコードされるため、必須ではありません。ここでは、情報の完全性を守るためだけに記載しています。

WPA2を使用して保護されたWi-Fiの場合、完了したnfcprovisioning.txtファイルは以下の例のようになります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

保護されていないWi-Fiの場合、完了したnfcprovisioning.txtファイルは以下の例のようになります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Secure Hubチェックサムを取得するには

アプリのチェックサムを取得するには、そのアプリをエンタープライズアプリとして追加します。

  1. Endpoint Managementコンソールで、[構成]>[アプリ] に移動し、[追加] をクリックします。

    [アプリの追加] ウィンドウが開きます。

  2. [エンタープライズ] をクリックします。

    [アプリ情報] ページが開きます。

    [アプリ情報]ページ

  3. 次の構成を選択して [次へ] をクリックします。

    [Android Enterpriseエンタープライズアプリ] ページが開きます。

    Android Enterpriseエンタープライズアプリ

  4. .apkへのパスを入力し、[次へ] をクリックしてファイルをアップロードします。

    アップロードが完了すると、アップロードされたパッケージの詳細が表示されます。

    ファイルのアップロードページ

  5. [次へ] をクリックします。[JSONのダウンロード] をクリックしてJSONファイルをダウンロードします。このファイルは、この後Google Playへのアップロードに使用します。Secure Hubの場合、Google Playにアップロードする必要はありませんが、SHA1を読み込む元になるJSONファイルが必要です。

    JSONファイルのダウンロードページ

    以下の図に、典型的なJSONファイルの例を示します:

    典型的なJSONファイル

  6. file_sha1_base64の値をコピーして、この値をProvisioning Toolの [ハッシュ] フィールドで使用します。

    :ハッシュはURLセーフのものにする必要があります。

    • +記号はすべて-に変換します。
    • /記号はすべて_に変換します。
    • 末尾の\u003d=に置き換えます。

    ハッシュをデバイスのSDカードのnfcprovisioning.txtファイルに格納すると、安全のための変換が行われます。ただし、ハッシュを手動で入力すると、URLの安全性は入力者の責任になります。

使用するライブラリ

Provisioning Toolでは、以下のライブラリがソースコードに使用されています。

  • v7 appcompat library、Design support library、およびv7 Palette library by Google(Apache license 2.0)

    詳しくは、「Support Libraryの機能」を参照してください。

  • Butter Knife by Jake Wharton(Apache license 2.0)

QRコードを使用してデバイスを登録する

QRコードを使用して完全に管理されたデバイスを登録するには、JSONを作成してQRコードに変換し、QRコードを生成します。このQRコードをデバイスカメラでスキャンし、デバイスを登録します。

システム要件

  • Android 7.0以降を実行するすべてのAndroidデバイスでサポートされます。

JSONからQRコードを作成する

次のフィールドがあるJSONを作成します。

これらのフィールドは必須です。

キー:android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

値:com.zenprise / com.zenprise.configuration.AdminFunction

キー: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

値:qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

キー:android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

値:https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

これらのフィールドはオプションです。

  • android.app.extra.PROVISIONING_LOCALE: 言語コードおよび国コードを入力します。

    言語コードは、ISO 639-1で定義されている小文字で2文字のISO言語コード(「en」など)です。国コードは、ISO 3166-1で定義されている大文字で2文字のISO国コード(「US」など)です。たとえば、アメリカ合衆国で話されている英語の場合は「en_US」と入力します。

  • android.app.extra.PROVISIONING_TIME_ZONE: これはデバイスが実行されているタイムゾーンです。

    フォームの地域/場所のOlson名を入力します。たとえば、米国太平洋標準時の場合は「America/Los_Angeles」です。入力しない場合、タイムゾーンは自動的に入力されます。

  • android.app.extra.PROVISIONING_LOCAL_TIME: エポックからのミリ秒単位の時間。

    Unixエポック(またはUnix時間またはPOSIX時間またはUnixタイムスタンプ)は、1970年1月1日(UTC/ GMT午前0時)から経過した秒数で、うるう秒数は含まれません(ISO 8601: 1970-01-01T00:00:00Z)。

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: プロファイル作成時に暗号化をスキップするには、trueに設定します。プロファイルの作成時に暗号化を強制するには、falseに設定します。

以下の図に、典型的なJSONの例を示します。

典型的なJSON

https://jsonlint.comなどのJSON検証ツールを使用して作成されたJSONを検証します。https://goqr.meなどのオンラインQRコードジェネレータを使用して、JSON文字列をQRコードに変換します。

このQRコードは工場出荷時の設定にリセットされたデバイスによってスキャンされ、これによってデバイスを完全に管理されたデバイスとして登録できます。

デバイスを登録するには

新しいデバイスまたは工場出荷時の設定にリセットされたデバイスの電源を入れた後、以下を行います:

  1. ようこそ画面で画面を6回タップすると、QRコードの登録フローが開始されます。
  2. プロンプトが表示されたら、Wi-Fiに接続します。(JSONでエンコードされた)QRコードにあるSecure Hubのダウンロード場所には、このWi-Fiネットワーク経由でアクセスできます。

    端末がWi-Fiに接続されると、GoogleからQRコードリーダーをダウンロードしてカメラを起動します。

  3. カメラをQRコードに合わせて、コードをスキャンします。

    Androidは、QRコードのダウンロード場所からSecure Hubをダウンロードし、署名証明書の署名を検証し、Secure Hubをインストールし、デバイス所有者として設定します。

詳しくは、Android EMMデベロッパー向けGoogleガイド(https://developers.google.com/android/work/prov-devices#qr_code_method)を参照してください。

ゼロタッチ登録

ゼロタッチ登録を使用すると、初めてデバイスの電源をオンにしたときに完全に管理されているデバイスとしてプロビジョニングするようにセットアップできます。

デバイスのリセラーは、Androidのゼロタッチポータルにアカウントを作成します。このポータルは、デバイスに構成を適用できるオンラインツールです。Androidのゼロタッチポータルを使用して、1つまたは複数のゼロタッチ登録構成を作成し、アカウントに割り当てられたデバイスにこの構成を適用します。ユーザーがこれらのデバイスの電源をオンにすると、デバイスは自動的にEndpoint Managementに登録されます。デバイスに割り当てられた構成によって、自動登録プロセスが定義されます。

システム要件

  • ゼロタッチ登録は、Android 8.0以降でサポートされます。

リセラーからのデバイスとアカウントの情報

  • ゼロタッチ登録の対象となるデバイスは、エンタープライズリセラーまたはGoogleパートナーから購入します。Android Enterpriseのセロタッチパートナー一覧については、AndroidのWebサイトを参照してください。

  • リセラーによって作成されたAndroid Enterpriseのゼロタッチポータルアカウント。

  • リセラーから提供されたAndroid Enterpriseのゼロタッチポータルアカウントのログイン情報。

ゼロタッチ構成の作成

ゼロタッチ構成を作成する場合は、カスタムJSONを含めて構成の詳細を指定します。

このJSONを使用して、指定したEndpoint Managementサーバーに登録するようにデバイスを構成します。この例では、サーバーのURLを「URL」に置き換えます。

      {
          "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
        {
              "serverURL":"URL",
         }
      }

オプションでより多くのパラメーターを持つJSONを使用して、構成をさらにカスタマイズできます。この例では、Endpoint Managementサーバーと、この構成を使用するデバイスがそのサーバーにログオンするために使用するユーザー名とパスワードを指定します。

     {
        "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
          {
              "serverURL":"URL",
              "xm_username":"username",
              "xm_password":"password"
          }
            }
  1. Androidのゼロタッチポータル(https://partner.android.com/zerotouch)に移動します。ゼロタッチデバイスのリセラーのアカウント情報を使用してログインします。

  2. [Configuration] をクリックします。 ゼロタッチポータル

  3. 構成テーブルの上部にある [+] をクリックします。 ゼロタッチポータル

  4. 開いた構成ウィンドウに構成情報を入力します。 ゼロタッチポータル
    • Configuration name: この構成の名前を入力します。
    • EMM DPC: [Citrix Secure Hub] を選択します。
    • DPC extras: カスタムJSONテキストをフィールドに貼り付けます。
    • Company name: デバイスのプロビジョニング中、Android Enterpriseのゼロタッチデバイスに表示させる名前を入力します。
    • Support email address: サポートが必要なときにユーザーが連絡するメールアドレスを入力します。このアドレスは、デバイスのプロビジョニング前にAndroid Enterpriseのゼロタッチデバイスに表示されます。
    • Support phone number: ユーザーがサポートが必要なときに連絡する電話番号を入力します。この電話番号は、デバイスのプロビジョニング前にAndroid Enterpriseのゼロタッチデバイスに表示されます。
    • Custom Message: オプション。ユーザーが管理者にサポートを求めるように促す、またはデバイスで発生している状況をユーザーに説明するための、1、2行程度の文章を追加します。このカスタムメッセージは、デバイスのプロビジョニング前にAndroid Enterpriseのゼロタッチデバイスに表示されます。
  5. [追加] をクリックします。

  6. さらに構成を作成するには、手順2~4を繰り返します。

  7. デバイスに構成を適用するには、以下の手順を実行します:

    1. Androidのゼロタッチポータルで[Devices] をクリックします。

    2. デバイスの一覧でデバイスを探し、割り当てる構成を選択します。 ゼロタッチポータル

    3. [更新] をクリックします。

CSVファイルを使用して、多数のデバイスに構成を適用できます。

多数のデバイスに構成を適用する方法については、Android Enterpriseのヘルプトピック(ゼロタッチ登録:IT管理者向け)を参照してください。このAndroid Enterpriseのヘルプトピックには、構成を管理してデバイスに適用する方法の詳細が記載されています。

Endpoint Managementコンソールで完全に管理されたデバイスを表示する

  1. Endpoint Managementコンソールで、[管理]>[デバイス] の順に移動します。

  2. このページの表の右側にあるメニューをクリックして、[Android Enterprise対応デバイスですか?] 列を追加します。 Android Enterpriseデバイスリスト

  3. 利用可能なセキュリティアクションを表示するには、完全に管理されたデバイスを選択して [セキュリティ] をクリックします。デバイスが完全に管理されている場合、完全なワイプ操作は使用できますが、選択的なワイプ操作は使用できません。これは、デバイスが管理対象Google Playストアのアプリのみを許可するためです。ユーザーがパブリックストアからアプリケーションをインストールするオプションはありません。組織はデバイス上のすべてのコンテンツを管理しています。

    セキュリティ操作

Android Enterprise専用デバイスのプロビジョニング

Android Enterprise専用デバイスは、単一のユースケース専用の完全に管理されたデバイスです。これらのデバイスは、このユースケースに必要なタスクを実行する1つのアプリまたはアプリの小セットのみに制限されます。また、ユーザーがこれらのデバイスで他のアプリを有効にしたり、他の操作を実行したりすることを禁止することもできます。

専用デバイスは、「Android Enterpriseの完全に管理されたデバイスのプロビジョニング」の説明のとおり、他の完全に管理されたデバイスで使用されている登録方法のいずれかを使用して登録されます。専用デバイスをプロビジョニングするには、登録前に追加のセットアップが必要です。

専用デバイスは、企業所有の単一使用(COSU)デバイスとも呼ばれます。

注:

他の完全に管理されたデバイスとは異なり、専用デバイスはActive Directoryアカウントを持つユーザーのみが登録できます。ローカルユーザーは専用デバイスを登録できません。

専用デバイスをプロビジョニングするには:

  • Endpoint Management管理者が専用デバイスをEndpoint Management展開に登録できるように、役割ベースのアクセス制御(RBAC)の役割を追加します。専用デバイスを登録するユーザーにこの役割を割り当てます。
  • Endpoint Management管理者が専用デバイスをEndpoint Management展開に登録できるように、この管理者の登録プロファイルを追加します。
  • 専用デバイスがアクセスするアプリをホワイトリストに登録します。
  • 必要に応じて、ホワイトリストのアプリがロックタスクモードを許可するように設定します。アプリがロックタスクモードになると、ユーザーがアプリを開いた時にデバイス画面にアプリが固定されます。[ホーム]ボタンは表示されず、[戻る]ボタンは無効になります。ユーザーは、サインアウトなど、アプリでプログラムされた操作を使用してアプリを終了します。
  • 各デバイスを完全に管理されたデバイスとして登録します。

システム要件

  • 専用デバイスの登録は、Android 6.0以降でサポートされます。

専用デバイス用のRBAC役割を追加する

専用デバイスを登録するためのRBACの役割により、Endpoint Managementはデバイスに管理対象Google Playアカウントをサイレントプロビジョニングし、アクティブにすることができます。管理されたGoogle Playのユーザーアカウントとは異なり、これらのデバイスアカウントは、ユーザーに関連付けられていないデバイスを識別します。

このRBAC役割をEndpoint Management管理者に割り当てて、専用デバイスを登録できるようにします。

専用デバイスを登録するためのRBAC役割を追加するには:

  1. Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [役割ベースのアクセス制御] をクリックします。[役割ベースのアクセス制御]ページが開き、4つのデフォルトのユーザー役割と、以前に追加した役割が表示されます。

  3. [追加] をクリックします。[役割の追加] ページが開きます。

  4. 次の情報を入力します。

    • RBAC名:「COSU」と入力するか、役割を説明する名前を入力します。役割の名前は変更できません。
    • RBACテンプレート:[ADMIN]テンプレートを選択します。
    • 承認済みアクセス: [管理コンソールへのアクセス] および [COSUデバイスの登録機能] を選択します。
    • コンソールの機能: [デバイス] を選択します。
    • 適用権限: COSUの役割を適用するグループを選択します。[特定のユーザーグループ] をクリックするとグループの一覧が開き、1つまたは複数のグループを選択できます。
  5. [次へ] をクリックします。[割り当て] ページが開きます。

  6. Active Directoryグループに役割を割り当てるために、次の情報を入力します。

    • ドメインを選択: 一覧から、ドメインを選択します。
    • ユーザーグループを含める: 使用可能なすべてのグループ一覧を表示するには、[検索] をクリックします。または、グループ名の一部または全部を入力して、その名前のグループのみに表示を限定できます。
    • 表示された一覧で、役割を割り当てるユーザーグループを選択します。ユーザーグループを選択すると、[選択したユーザーグループ] の一覧にグループが表示されます。 役割の追加
  7. [保存] をクリックします。

専用(COSU)登録プロファイルの追加

Endpoint Management展開に専用デバイスを含める場合、1人のEndpoint Management管理者、または数人の管理者グループが専用デバイスを多数登録することがあります。

こうした管理者が必要なすべてのデバイスを登録できるようにするには、ユーザーごとに無制限のデバイスを許可した状態で登録プロファイルを作成します。このプロファイルを、専用デバイスを登録する管理者を含むデリバリーグループに割り当てます。これによって、デフォルトのグローバルプロファイルにユーザーあたりのデバイス数が制限されている場合でも、管理者はデバイスを無制限に登録できます。これらの管理者は、専用(COSU)登録プロファイルに含める必要があります。

  1. Endpoint Managementコンソールで、[構成]>[登録プロファイル] の順に移動します。デフォルトのGlobalプロファイルが表示されます。

  2. 登録プロファイルを追加するには、[追加] をクリックします。[登録情報] ページで、登録プロファイルの名前を入力します。このプロファイルのメンバーが登録できるデバイスの数が無制限に設定されていることを確認します。

  3. [Android] ページで、次の操作を行います:

    • [管理][Android Enterprise] に設定します。
    • [デバイス所有者モード][会社所有のデバイス] に設定します。

    役割の追加

  4. [デリバリーグループ割り当て] ページで専用デバイスを登録した管理者を含む、1つまたは複数のデリバリーグループを選択します。次に、[保存] をクリックします。

    [登録プロファイル]ページに、追加したプロファイルが表示されます。

    登録プロファイル構成画面

アプリをホワイトに登録しロックタスクモードを設定

キオスクデバイスポリシーを使用すると、アプリがホワイトリストに登録され、ロックタスクモードを設定できます。デフォルトでは、Secure HubとGoogle Playサービスはホワイトリストに登録されています。

キオスクポリシーを追加するには:

  1. Endpoint Managementコンソールで、[構成]>[デバイスポリシー] の順にクリックします。[デバイスポリシー] ページが開きます。

  2. [追加] をクリックします。[新しいポリシーの追加] ダイアログボックスが開きます。

  3. [詳細] を展開した後、[セキュリティ]の下の [キオスク] をクリックします。[キオスクポリシー]ページが開きます。

  4. [プラットフォーム]で [Android Enterprise] を選択します。他のプラットフォームをクリアします。

  5. [ポリシー情報]ペインで、[ポリシー名] および任意で [説明] を入力します。

  6. [次へ] をクリックし、[追加] をクリックします。

  7. アプリをホワイトリストに登録し、ロックタスクモードを許可または拒否するには:

    ホワイトリストに登録するアプリを一覧から選択します。

    ユーザーがアプリを起動した時にアプリをデバイス画面に固定するには、[許可] を選択します。アプリをデバイス画面に固定しない場合は、[禁止] を選択します。デフォルトは [許可] です。

    デバイスポリシー構成画面

  8. [保存] をクリックします。

  9. さらにアプリをホワイトリストに登録し、ロックタスクモードを許可または禁止する場合は、[追加] をクリックします。

  10. 展開規則を構成し、デリバリーグループを選択します。詳しくは、「デバイスポリシー」を参照してください。

デバイスを登録するには

  1. 新しいデバイスまたは工場出荷時の設定にリセットされたデバイスの電源を入れます。

  2. デバイスを完全に管理されたデバイスとして登録し、専用のデバイスRBAC役割を持つユーザーに割り当てます。

デバイスが登録されると、ユーザーが実行できるアプリのリストが表示され、この画面にロックされます。

アプリリスト

この例は、Gmailがデバイス上にある間は実行できないことを示しています。

Android Enterpriseデバイスポリシーの構成

デバイスポリシーを使用して、Endpoint ManagementとAndroid Enterpriseを実行するデバイスとの通信に関する構成を行います。次の表は、Android Enterpriseデバイスで使用可能なデバイスポリシーの一覧です。

     
Android Enterpriseのアプリ権限 Android Enterprise管理対象の構成 アプリインベントリ
アプリアンインストール OS更新の制御 資格情報
カスタムXML Endpoint Managementオプション Exchange
ファイル Keyguard管理 キオスク
Knox Platform for Enterprise 場所 パスコード
制限 Samsung MDMライセンスキー スケジュール設定
Wi-Fi    

Android EnterpriseでサポートされているデバイスポリシーとMDXポリシー」も参照してください。

セキュリティ操作

Android Enterpriseは、以下のセキュリティ操作をサポートしています。各セキュリティ操作の説明については、「セキュリティ操作」を参照してください。

セキュリティ操作 Android Enterprise(BYOD) Android Enterprise(会社所有)
証明書の書き換え はい はい
完全なワイプ いいえ はい
検索 はい はい
ロック はい はい
パスワードのロックとリセット いいえ はい
通知(通知音) はい はい
取り消し はい はい
選択的なワイプ はい いいえ

注:

位置情報デバイスポリシーでデバイスの位置情報モードが [高精度] モードまたは [バッテリー節約] モードに設定されていない限り、検索セキュリティアクションは失敗します。

ロックおよびパスワードのリセットコマンドは、Android 8.0より前のバージョンのAndroidを実行する、仕事用プロファイルデバイスではサポートされていません。Android 8.0以降を実行する仕事用プロファイルデバイスの場合:送信されたパスコードによって仕事用プロファイルはロックされますが、デバイスはロックされません。パスコードが送信されない場合、または送信されたパスコードがパスコードの要件を満たさず、仕事用プロファイルに設定済みのパスコードがない場合:デバイスはロックされます。パスコードが送信されない場合、または送信されたパスコードがパスコードの要件を満たしていないが、仕事用プロファイルにパスコードが設定済みの場合:仕事用プロファイルはロックされますが、デバイスはロックされません。

Android Enterpriseエンタープライズの登録を解除する

Android Enterpriseエンタープライズを使用しない場合は、エンタープライズの登録を解除できます。

警告:

エンタープライズの登録を解除すると、エンタープライズ経由で登録されていたデバイスのAndroid Enterpriseアプリはデフォルトの状態にリセットされます。これらのデバイスはGoogleの管理対象外になります。それらのデバイスをAndroid Enterpriseエンタープライズで再登録しても、追加の構成が行われるまで以前の機能を復元することができない場合があります。

Android Enterpriseエンタープライズの登録を解除した後:

  • エンタープライズ経由で登録されていたデバイスとユーザーのAndroid Enterpriseアプリは、デフォルト状態にリセットされます。以前に適用されていた[Android Enterpriseアプリの権限]ポリシーと[Android Enterprise管理対象の構成]ポリシーは無効になります。
  • Endpoint Managementは、エンタープライズ経由で登録されたデバイスを管理します。Googleからは、これらのデバイスは管理されてないと見なされるため、新しいAndroid Enterpriseアプリを追加することはできません。[Android Enterpriseアプリの権限]ポリシーと[Android Enterprise管理対象の構成]ポリシーは適用できません。[スケジュール設定]、[パスワード]、[制限]などのその他のポリシーは、これらのデバイスに適用できます。
  • Android Enterpriseにデバイスを登録しようとすると、Android EnterpriseデバイスではなくAndroidデバイスとして登録されます。

Endpoint ManagementサーバーコンソールとEndpoint Managementツールを使用して、Android Enterpriseエンタープライズの登録を解除できます。

このタスクを実行すると、Endpoint ManagementサーバーにEndpoint Managementツールのポップアップウィンドウが表示されます。始める前に、Endpoint Managementサーバーに、Webブラウザーでポップアップウィンドウを開く権限があることを確認してください。Google Chromeなどの一部のWebブラウザーでは、ポップアップブロックを無効にし、Endpoint Managementサイトのアドレスをポップアップブロックのホワイトリストに追加する必要があります。

Android Enterpriseエンタープライズの登録を解除するには:

  1. Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [設定]ページで、[Android Enterprise] をクリックします。

  3. [登録解除] をクリックします。

    登録解除オプション