Android Enterprise

Android Enterpriseは、Android 5.0以降を実行しているAndroidデバイスで使用できるセキュリティ保護されたワークスペースです。このワークスペースはビジネス用のアカウント、アプリ、データを個人のアカウント、アプリ、データから隔離します。Endpoint Managementでは、デバイスに個別の作業プロファイルを作成できるため、BYOD(Bring Your Own Device)と会社が所有するAndroidデバイスの両方を管理できます。ハードウェアの暗号化および展開するポリシーを組み合わせることで、デバイスで業務の領域と個人領域を安全に隔離できます。ユーザーの個人用の領域に影響を与えずに、会社用のすべてのポリシー、アプリ、およびデータをリモートで管理できます。サポートされているAndroidデバイスについて詳しくは、Google Android Enterpriseのサイトを参照してください。

Google Playを使用して、アプリを追加、購入、および承認し、デバイスのAndroid Enterpriseワークスペースに展開します。Google Playを使用してプライベートなAndroidアプリ、パブリックアプリ、およびサードパーティアプリを展開できます。Android Enterprise用にEndpoint Managementへパブリックアプリストアの有料アプリを追加する場合、一括購入ライセンスの状態を確認できます。状態に含まれる情報は、使用できる合計ライセンス数、使用中のライセンス数、ライセンスを使用している各ユーザーのメールアドレスです。Endpoint Managementへのアプリの追加方法について詳しくは、「パブリックアプリストアのアプリの追加」を参照してください。

注:

Android Enterpriseは、Android for Workの新名称です。シトリックス製品の一部では、現在もAndroid for Workと呼んでいる場合があります。

Android Enterpriseのセットアップ

Endpoint Managementには、組織でAndroid Enterpriseを簡単にセットアップできる方法が備わっています。Citrixをエンタープライズモビリティ管理(EMM)プロバイダとしてGoogle Playに登録します。これにより、Endpoint ManagementでAndroid Enterpriseのエンタープライズが作成されます。

注:

G Suiteを使用する場合は、関連するポリシー情報をまとめた表が掲載されている「G Suiteユーザー向けの従来Android Enterprise」を参照してください。

Google PlayにサインインするためのGoogle IDの企業資格情報が必要になります。

  1. Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [設定] ページで、[Android Enterprise] をクリックします。 Android Enterpriseが強調表示された設定ページの画像

  3. Endpoint Management設定の [Android Enterprise] ページで、[接続] をクリックします。Google Playが表示されます。  Android EnterpriseからGoogle Playへの接続の画像

  4. 企業のGoogle IDでGoogle Playにログインします。組織名を入力し、CitrixがEMMプロバイダであることを確認します。

  5. Android EnterpriseにエンタープライズIDが追加されます。Android Enterpriseを有効にするには、[Android Enterpriseの有効化][はい] に切り替えます。

    [Android Enterpriseの有効化]オプションの画像

Android Enterprise向けにCitrix業務用モバイルアプリを公開する

Android Enterprise向けにCitrix業務用モバイルアプリを公開するには、以下の手順を実行します。

  1. 管理しているGoogle Play Storeアカウントで、ユーザーに必要なアプリを公開します。Google Playアカウントの管理は、https://play.google.com/workで行うことができます。
  2. Endpoint Managementコンソールで以下の手順を実行し、同じアプリを公開します:
    1. パブリックストアアプリを選択し、Android Enterpriseを選択します。パブリックストアアプリの公開について詳しくは、「パブリックアプリストアのアプリの追加」を参照してください。
    2. アプリをMDXアプリとして公開し、MDXポリシーを受信するようにします。MDXアプリの公開について詳しくは、「MDXアプリの追加」を参照してください。

Android Enterpriseエンタープライズの登録を解除する

Endpoint ManagementサーバーコンソールとEndpoint Managementツールを使用して、Android Enterpriseエンタープライズの登録を解除できます。

このタスクを実行すると、Endpoint ManagementサーバーにEndpoint Managementツールのポップアップウィンドウが表示されます。始める前に、Endpoint Managementサーバーに、使用するWebブラウザーでポップアップウィンドウを開く権限があることを確認してください。Google Chromeなどの一部のWebブラウザーでは、ポップアップブロックを無効にし、Endpoint Managementサイトのアドレスをポップアップブロックのホワイトリストに追加する必要があります。

警告:

エンタープライズの登録を解除すると、エンタープライズ経由で登録されていたデバイスのAndroid Enterpriseアプリはデフォルトの状態にリセットされます。これらのデバイスはGoogleの管理対象外になります。それらのデバイスをAndroid Enterpriseエンタープライズで再登録しても、以前の機能を復元することはできません。追加で構成を行う必要があります。

Android Enterpriseエンタープライズの登録を解除した後:

  • エンタープライズ経由で登録されていたデバイスとユーザーのAndroid Enterpriseアプリは、デフォルト状態にリセットされます。以前に適用されていた[Android Enterpriseアプリの権限]ポリシーと[Android Enterpriseアプリの制限]ポリシーは無効になります。
  • Endpoint Managementは、エンタープライズ経由で登録されたデバイスを管理します。Googleからは、これらのデバイスは管理されてないと見なされるため、新しいAndroid Enterpriseアプリを追加することはできません。[Android Enterpriseアプリの権限]ポリシーと[Android Enterpriseアプリの制限]ポリシーは適用できません。[スケジュール設定]、[パスワード]、[制限]などのその他のポリシーは、これらのデバイスに適用できます。
  • Android Enterpriseにデバイスを登録しようとすると、Android EnterpriseデバイスではなくAndroidデバイスとして登録されます。

Android Enterpriseエンタープライズの登録を解除するには:

  1. Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [設定] ページで、[Android Enterprise] をクリックします。

  3. [登録解除] をクリックします。

    [登録解除]オプションの画像

Android Enterpriseデバイスの登録

デバイス登録処理でユーザーがユーザー名またはユーザーIDを入力する必要がある場合、使用可能な形式は、Endpoint Managementがユーザープリンシパル名(UPN)またはSAMアカウント名でユーザーを検索するように構成されているかどうかによって異なります。

Endpoint ManagementがUPNでユーザーを検索するように構成されている場合、ユーザーは以下の形式でUPNを入力する必要があります:

  • ユーザー名@ドメイン

Endpoint ManagementがSAMによってユーザーを検索するように構成されている場合、ユーザーは以下のどちらかの形式でSAMを入力する必要があります:

  • ユーザー名@ドメイン
  • ドメイン\ユーザー名

Endpoint Managementが使用するユーザー名の種類を確認するには:

  1. Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。
  2. [LDAP] をクリックして、LDAP接続の設定を表示します。
  3. ページの下部にある [ユーザー検索基準] フィールドを表示します。

    • [userPrincipalName] に設定すると、Endpoint ManagementはUPNで検索するように設定されます。
    • [sAMAccountName] に設定すると、Endpoint ManagementはSAMで検索するように設定されます。

Android Enterpriseでの仕事用管理対象デバイスモードのプロビジョニング

Android Enterpriseの仕事用管理対象デバイスモードは、会社所有のデバイスでのみ利用できます。Endpoint Managementでは、仕事用管理対象デバイスモードで以下の登録方法をサポートしています:

  • afw#xenmobile: この登録方法では、ユーザーがデバイスの設定時に「afw#xenmobile」という文字を入力します。このトークンにより、デバイスがEndpoint Managementの管理対象であると識別され、Secure Hubがダウンロードされます。
  • QRコード: QRコードプロビジョニングは、NFCをサポートしていない、タブレットなどの分散型端末を簡単にプロビジョニングする方法です。QRコード登録方法は、出荷時の設定にリセットされたフリートデバイスで使用できます。QRコード登録メソッドは、セットアップウィザードからQRコードをスキャンすることによって、仕事用管理対象デバイスモードを設定および構成します。
  • NFC(近距離無線通信)バンプ: NFCバンプ登録方法は、出荷時の設定にリセットされたフリートデバイスで使用できます。NFCバンプは、近距離無線通信を使用して2つのデバイス間でデータを転送します。工場出荷時設定にリセットされたデバイスでは、Bluetooth、Wi-Fi、およびそのほかの通信モードは無効になっています。この状態のデバイスが使用する通信プロトコルはNFCのみです。

afw#xenmobile

この登録方法は、新規デバイスまたは工場出荷時設定にリセットされたデバイスの電源を入れ、初期セットアップを行った後に使用します。ユーザーは、Googleアカウントの入力を求められたら「afw#xenmobile」と入力します。この操作により、Secure Hubがダウンロードされインストールされます。インストール後、Secure Hubの設定プロンプトに従って登録を完了します。

この登録方法ではSecure Hubの最新バージョンがGoogle Playストアからダウンロードされるため、ほとんどのお客様に推奨されます。他の登録方法とは異なり、Endpoint Managementサーバーでダウンロード用にSecure Hubを提供することはありません。

前提条件:

  • Android 5.0以降を実行するすべてのAndroidデバイスでサポートされます。

QRコード

QRコードを使用してデバイスモードでデバイスを登録するには、JSONを作成してからQRコードに変換して、QRコードを生成します。このQRコードをデバイスカメラでスキャンし、デバイスを登録します。

前提条件:

  • Android 7.0以降を実行するすべてのAndroidデバイスでサポートされます。

JSONからQRコードを作成する

次のフィールドがあるJSONを作成します。

これらのフィールドは必須です。

キー:android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

値:com.zenprise / com.zenprise.configuration.AdminFunction

キー: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

値:qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

キー:android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

値: https://path/to/securehub.apk

注:

Secure HubがCitrix Endpoint Managementサーバーにエンタープライズアプリとしてアップロードされている場合は、https://<fqdn>:4443/*instanceName*/worxhome.apkからダウンロードできます。上記の値として使用されるSecure Hub APKへのパスは、プロビジョニング中にデバイスが接続されるWi-Fi接続を介してアクセスできる必要があります。

これらのフィールドはオプションです。

  • android.app.extra.PROVISIONING_LOCALE: 言語コードおよび国コードを入力します。

    言語コードは、ISO 639-1で定義されている小文字で2文字のISO言語コード(「en」など)です。国コードは、ISO 3166-1で定義されている大文字で2文字のISO国コード(「US」など)です。たとえば、アメリカ合衆国で話されている英語の場合は「en_US」と入力します。

  • android.app.extra.PROVISIONING_TIME_ZONE: これはデバイスが実行されているタイムゾーンです。

    フォームの地域/場所のOlson名を入力します。たとえば、米国太平洋標準時の場合は「America/Los_Angeles」です。入力しない場合、タイムゾーンは自動的に入力されます。

  • android.app.extra.PROVISIONING_LOCAL_TIME: エポックからのミリ秒単位の時間。

    Unixエポック(またはUnix時間またはPOSIX時間またはUnixタイムスタンプ)は、1970年1月1日(UTC/ GMT午前0時)から経過した秒数で、うるう秒数は含まれません(ISO 8601: 1970-01-01T00:00:00Z)。

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: プロファイル作成時に暗号化をスキップするには、trueに設定します。プロファイルの作成時に暗号化を強制するには、falseに設定します。

以下の図に、典型的なJSONの例を示します。

典型的なJSONの画像

https://jsonlint.comなどのJSON検証ツールを使用して作成されたJSONを検証します。http://goqr.me などのオンラインQRコードジェネレータを使用して、JSON文字列をQRコードに変換します。

このQRコードは工場出荷時の設定にリセットされたデバイスによってスキャンされ、これによってデバイスを仕事用管理対象デバイスモードで登録できます。

デバイスを登録するには

デバイスを仕事用管理対象デバイスモードで登録するには、デバイスを工場出荷時の設定にリセットする必要があります。

  1. ようこそ画面で画面を6回タップすると、QRコードの登録フローが開始されます。
  2. プロンプトが表示されたら、Wi-Fiに接続します。(JSONでエンコードされた)QRコードにあるSecure Hubのダウンロード場所には、このWi-Fiネットワーク経由でアクセスできます。

    端末がWi-Fiに接続されると、GoogleからQRコードリーダーをダウンロードしてカメラを起動します。

  3. カメラをQRコードに合わせて、コードをスキャンします。

    Androidは、QRコードのダウンロード場所からSecure Hubをダウンロードし、署名証明書の署名を検証し、Secure Hubをインストールし、デバイス所有者として設定します。

詳しくは、Android EMMデベロッパー向けGoogleガイド(https://developers.google.com/android/work/prov-devices#qr_code_method)を参照してください。

NFCバンプ

NFCバンプを使用してデバイスモードでデバイスを登録するには、工場出荷時の設定にリセットされたデバイスと、Endpoint Managementプロビジョニングツールを実行するデバイスの2台のデバイスが必要です。

前提条件:

  • Android 5.0、Android 5.1、Android 6.0以降を実行するすべてのAndroidデバイスでサポートされます。
  • Android Enterpriseを有効にしたEndpoint Managementサーバーバージョン10.4。
  • 仕事用管理対象デバイスモードでAndroid Enterprise向けにプロビジョニングされた、工場出荷時設定にリセットされたデバイス。この前提条件を完了する手順については、後述します。
  • 構成済みのProvisioning Toolを実行している、NFC機能が備わった別のデバイス。Provisioning Toolは、Secure Hub 10.4またはCitrixダウンロードページから入手できます。

各デバイスには、エンタープライズモビリティ管理(EMM)アプリで管理されたAndroid Enterpriseプロファイルを1つのみ設定できます。Endpoint Managementでは、Secure HubがEMMアプリとなります。各デバイスには、1つのプロファイルしか許可されません。2つ目のEMMアプリを追加すると、1つ目のEMMアプリが削除されます。

仕事用管理対象デバイスモードは、新しいデバイスまたは工場出荷時の設定にリセットされたデバイスで開始できます。デバイス全体は、Endpoint Managementで管理します。

NFCバンプを介して転送されるデータ

工場出荷時の設定にリセットされたデバイスをプロビジョニングするには、以下のデータをNFCバンプ経由で送信してAndroid Enterpriseを初期化する必要があります:

  • デバイス所有者として機能するEMMプロバイダーアプリ(この場合は、Secure Hub)のパッケージ名。
  • デバイスがEMMプロバイダーアプリをダウンロードできるイントラネット/インターネット上の場所。
  • ダウンロードが正常に完了したかどうかを確認するEMMプロバイダーアプリのSHA1ハッシュ。
  • 工場出荷時の設定にリセットされたデバイスがEMMプロバイダーアプリに接続してダウンロードできるようにするWi-Fi 接続の詳細。注:現時点では、Androidはこの手順での802.1x Wi-Fiをサポートしていません。
  • デバイスのタイムゾーン(オプション)。
  • デバイスの地理的な場所(オプション)。

2つのデバイスがバンプされると、Provisioning Toolのデータが工場出荷時の設定にリセットされたデバイスに送信されます。このデータはその後、管理者設定でのSecure Hubのダウンロードに使用されます。タイムゾーンと場所の値を入力しない場合、新しいデバイスではAndroidによって自動的にこれらの値が構成されます。

Endpoint Managementプロビジョニングツールの構成

NFCバンプを行う前に、Provisioning Toolを構成する必要があります。この構成はその後、工場出荷時の設定にリセットされたデバイスに、NFCバンプ中に転送されます。

Provisioning Tool構成の画像

必須項目にデータを直接入力することも、テキストファイルから入力することもできます。次の手順では、テキストファイルを構成する方法と各フィールドに説明を含める方法について説明します。入力後のデータはアプリでは保存されないため、テキストファイルを作成して、今後の使用に備えて情報を保存しておくことをお勧めします。

テキストファイルを使用してProvisioning Toolを構成するには

ファイルの名前をnfcprovisioning.txtにして、/sdcard/フォルダーにあるデバイスのSDカードに格納します。アプリによってこのテキストファイルが読み込まれ、値が入力されます

テキストファイルには、次のデータを含める必要があります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

この行は、EMMプロバイダーアプリのイントラネット/インターネットの場所です。工場出荷時設定のデバイスがNFCバンプの後にWi-Fiに接続した場合、デバイスはダウンロードのためにこの場所にアクセスする必要があります。URLは通常のURLで、特別な形式にする必要はありません。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

この行は、EMMプロバイダーアプリのチェックサムです。このチェックサムはダウンロードが成功したかを検証するために使用されます。チェックサムを取得する手順については、後述します。

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

この行は、Provisioning Toolを実行しているデバイスが接続されているWi-FiのSSIDです。

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

サポートされる値はWEPおよびWPA2です。Wi-Fiが保護されていない場合、このフィールドは空白にする必要があります。

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Wi-Fiが保護されていない場合、このフィールドは空白にする必要があります。

android.app.extra.PROVISIONING_LOCALE=<locale>

言語コードと国コードを入力します。言語コードは、ISO 639-1で定義されている小文字で2文字のISO言語コード(「en」など)です。国コードは、ISO 3166-1で定義されている大文字で2文字のISO国コード(「US」など)です。たとえば、アメリカ合衆国で話されている英語の場合は「en_US」と入力します。コードを入力しない場合、国と言語は自動的に入力されます。

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

デバイスが実行されるタイムゾーンです。フォームの地域/場所のOlson名を入力します。たとえば、米国太平洋標準時の場合は「America/Los_Angeles」です。名前を入力しない場合、タイムゾーンは自動的に入力されます。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

このデータはSecure Hubとしてアプリにハードコードされるため、必須ではありません。ここでは、情報の完全性を守るためだけに記載しています。

WPA2を使用して保護されたWi-Fiの場合、完了したnfcprovisioning.txtファイルは以下の例のようになります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

保護されていないWi-Fiの場合、完了したnfcprovisioning.txtファイルは以下の例のようになります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Secure Hubチェックサムを取得するには

アプリのチェックサムを取得するには、そのアプリをエンタープライズアプリとして追加します。

  1. Endpoint Managementコンソールで、[構成]>[アプリ] に移動し、[追加] をクリックします。

    [アプリの追加] ウィンドウが開きます。

  2. [エンタープライズ] をクリックします。

    [アプリ情報] ページが開きます。

    [アプリ情報]ページの画像

  3. 次の構成を選択して [次へ] をクリックします。

    [Android Enterpriseエンタープライズアプリ] ページが開きます。

    [Android For Workエンタープライズアプリ]の画面

  4. .apkへのパスを入力し、[次へ] をクリックしてファイルをアップロードします。

    アップロードが完了すると、アップロードされたパッケージの詳細が表示されます。

    ファイルのアップロードページの画像

  5. [次へ] をクリックします。[JSONのダウンロード] をクリックしてJSONファイルをダウンロードします。このファイルは、この後Google Playへのアップロードに使用します。Secure Hubの場合、Google Playにアップロードする必要はありませんが、SHA1を読み込む元になるJSONファイルが必要です。

    JSONファイルのダウンロードページの画像

    以下の図に、典型的なJSONファイルの例を示します:

    典型的なJSONファイルの画像

  6. file_sha1_base64の値をコピーして、この値をProvisioning Toolの [ハッシュ] フィールドで使用します。

    :ハッシュはURLセーフのものにする必要があります。

    • +記号はすべて-に変換します。
    • /記号はすべて_に変換します。
    • 末尾の\u003d=に置き換えます。

    ハッシュをデバイスのSDカードのnfcprovisioning.txtファイルに格納すると、安全のための変換が行われます。ただし、ハッシュを手動で入力すると、URLの安全性は入力者の責任になります。

使用するライブラリ

Provisioning Toolでは、以下のライブラリがソースコードに使用されています。

  • v7 appcompat library、Design support library、およびv7 Palette library by Google(Apache license 2.0)

    詳しくは、「Support Libraryの機能」を参照してください。

  • Butter Knife by Jake Wharton(Apache license 2.0)

Android Enterpriseでの仕事用プロファイルモードのプロビジョニング

Android Enterpriseの仕事用プロファイルモードは、デバイス上の会社領域と個人領域を安全に分離することができます。たとえば、BYODデバイスで仕事用プロファイルモードを使用できます。仕事用プロファイルモードの登録手順は、Endpoint ManagementでAndroidを登録する場合と同様です。ユーザーはGoogle PlayからSecure Hubをダウンロードし、デバイスを登録します。

デバイスがAndroid Enterpriseの仕事用プロファイルモードで登録されている場合、デフォルトではUSBデバッグおよび不明なソース設定は無効になっています。

ヒント:

Android Enterpriseのデバイスを仕事用プロファイルモードで登録する場合は、必ずGoogle Playにアクセスしてください。そこから、ユーザーの個人プロファイルでのSecure Hubの表示を有効にします。

COSU Android Enterpriseデバイスのサポート

Endpoint Managementは、特定業務専用コーポレート所有(COSU)Android Enterpriseデバイスの管理をサポートしています。COSUデバイスは、デジタルサイネージ、チケット印刷、在庫管理などの特定の目的に使用されます。管理者は、これらのデバイスを1つまたは少数のアプリの使用に限定します。また、ユーザーがこれらのデバイスで他のアプリを有効にしたり、他の操作を実行したりすることを禁止することもできます。

COSUデバイスをプロビジョニングするには:

  • Endpoint Management管理者がCOSUデバイスをEndpoint Management展開に登録できるように、役割ベースのアクセス制御(RBAC)の役割を追加します。COSUデバイスを登録するユーザーにこの役割を割り当てます。
  • Endpoint Management管理者がCOSUデバイスをEndpoint Management展開に登録できるように、この管理者の登録プロファイルを追加します。
  • COSUデバイスがアクセスするアプリをホワイトリストに登録します。
  • 必要に応じて、ホワイトリストのアプリがロックタスクモードを許可するように設定します。アプリがロックタスクモードになると、ユーザーがアプリを開いた時にデバイス画面にアプリが固定されます。[ホーム]ボタンは表示されず、[戻る]ボタンは無効になります。ユーザーは、サインアウトなど、アプリでプログラムされた操作を使用してアプリを終了します。
  • 工場出荷時リセット後にデバイスの電源を初めてオンにするときは、xfw#mobile、NFCバンプ、またはQRコードメソッドを使用して、各デバイスをプロビジョニングします。「afw#xenmobile」、「NFCバンプ」、または「QRコード」を参照してください。

システム要件

  • Android COSUデバイスの登録は、Android 6.0以降でサポートされます。
  • デバイスは、新品または工場出荷時の設定にリセットされた状態でなければなりません。

COSUの役割を追加

COSUデバイスを登録するためのRBACの役割により、Endpoint Managementはデバイスに管理対象Google Playアカウントをサイレントプロビジョニングし、アクティブにすることができます。管理されたGoogle Playのユーザーアカウントとは異なり、これらのデバイスアカウントは、ユーザーに関連付けられていないデバイスを識別します。

このRBAC役割をEndpoint Management管理者に割り当てて、COSUデバイスを登録できるようにします。

COSUデバイスを登録するためのRBAC役割を追加するには:

  1. Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [役割ベースのアクセス制御] をクリックします。[Role-Based Access Control]ページが開き、4つのデフォルトのユーザー役割と、以前に追加した役割が表示されます。

  3. [追加] をクリックします。[役割の追加] ページが開きます。

  4. 次の情報を入力します。

    • RBAC名:「COSU」と入力するか、役割を説明する名前を入力します。役割の名前は変更できません。
    • RBACテンプレート:[ADMIN]テンプレートを選択します。
    • 承認済みアクセス: [管理コンソールへのアクセス] および [COSUデバイスの登録機能] を選択します。
    • コンソールの機能: [デバイス] を選択します。
    • 適用権限: COSUの役割を適用するグループを選択します。[特定のユーザーグループ] をクリックするとグループの一覧が開き、1つまたは複数のグループを選択できます。
  5. [次へ] をクリックします。[割り当て]ページが開きます。

  6. ユーザーグループに役割を割り当てるための次の情報を入力します。

    • ドメインを選択: 一覧から、ドメインを選択します。
    • ユーザーグループを含める: 使用可能なすべてのグループ一覧を表示するには、[検索] をクリックします。または、グループ名の一部または全部を入力して、その名前のグループのみに表示を限定できます。
    • 表示された一覧で、役割を割り当てるユーザーグループを選択します。ユーザーグループを選択すると、[選択したユーザーグループ] の一覧にグループが表示されます。

    注:

    役割を割り当てられるのはActive Directoryユーザーのユーザーグループのみであり、Endpoint Managementで作成したローカルユーザーのユーザーグループには割り当てられません。

  7. [保存] をクリックします。

COSU登録プロファイルの追加

Endpoint Management展開にCOSUデバイスを含める場合、1人のEndpoint Management管理者、または数人の管理者グループがCOSUデバイスを多数登録することがあります。こうした管理者が必要なすべてのデバイスを登録できるようにするには、ユーザーごとに無制限のデバイスを許可した状態で登録プロファイルを作成します。このプロファイルを、COSUデバイスを登録した管理者を含むデリバリーグループに割り当てます。これによって、デフォルトのグローバルプロファイルにユーザーあたりのデバイス数が制限されている場合でも、管理者はデバイスを無制限に登録できます。これらの管理者は、COSU登録プロファイルに含める必要があります。

  1. [構成]>[登録プロファイル] の順に移動します。デフォルトのGlobalプロファイルが表示されます。

  2. 登録プロファイルを追加するには、[追加] をクリックします。[登録情報]ページで、登録プロファイルの名前を入力します。このプロファイルのメンバーが登録できるデバイスの数が無制限に設定されていることを確認します。

    登録プロファイル構成画面の画像

  3. [次へ] をクリックします。[デリバリーグループ割り当て]画面が開きます。

  4. COSUデバイスを登録した管理者を含む、1つまたは複数のデリバリーグループを選択します。次に、[保存] をクリックします。

    [登録プロファイル]ページに、追加したプロファイルが表示されます。

    登録プロファイル構成画面の画像

アプリをホワイトに登録しロックタスクモードを設定

キオスクデバイスポリシーを使用すると、アプリがホワイトリストに登録され、ロックタスクモードを設定できます。デフォルトでは、Secure HubとGoogle Playサービスはホワイトリストに登録されています。

キオスクポリシーを追加するには:

  1. Endpoint Managementコンソールで、[構成]>[デバイスポリシー] の順にクリックします。[デバイスポリシー] ページが開きます。

  2. [追加] をクリックします。[新しいポリシーの追加] ダイアログボックスが開きます。

  3. [詳細] を展開した後、[セキュリティ]の下の [キオスク] をクリックします。[キオスクポリシー]ページが開きます。

  4. [プラットフォーム]で [Android Enterprise] を選択します。

  5. [ポリシー情報]ペインで、[ポリシー名] および任意で [説明] を入力します。

  6. [次へ] をクリックし、[追加] をクリックします。

  7. アプリをホワイトリストに登録し、ロックタスクモードを許可または拒否するには:

    ホワイトリストに登録するアプリを一覧から選択します。

    ユーザーがアプリを起動した時にアプリをデバイス画面に固定するには、[許可] を選択します。アプリをデバイス画面に固定しない場合は、[禁止] を選択します。デフォルトは [許可] です。

    デバイスポリシー構成画面の画像

  8. [保存] をクリックします。

  9. さらにアプリをホワイトリストに登録し、ロックタスクモードを許可または禁止する場合は、[追加] をクリックします。

  10. 展開規則を構成し、デリバリーグループを選択します。詳しくは、「デバイスポリシー」を参照してください。