Citrix Endpoint Management

Android for Workspace

Android for Workspaceは、Googleが提供するAndroid Management API(AMAPI)を使用してAndroidデバイスを管理します。Android for Workspaceを使用すると、ユーザーはSecure Hubを通じてデバイスを登録する必要がなくなります。ユーザーはCitrix Workspaceアプリを使用して登録し、Workspaceからすべてのアプリとコンテンツにアクセスします。

Android for Workspaceは、Citrix Workspace対応のクラウド環境でのみ使用できます。Android for Workspaceの初期リリースでは、作業用プロファイルの登録方法のみがサポートされています。この登録方法では、デバイスには、企業データを個人データから分離するための仕事用プロファイルと個人用プロファイルがあります。仕事用プロファイルと個人用プロファイルは、OSレベルで分離されています。仕事用プロファイルの詳細については、Googleのヘルプトピック仕事用プロファイルとはを参照してください。

このプラットフォームは、Android Enterpriseプラットフォームとは異なります。Android Enterpriseの既存の構成は、Android for Workspaceと互換性がありません。既にAndroid Enterpriseを構成している場合は、次の項目について新しいバージョンを作成する必要があります:

  • Googleアカウント
  • デリバリーグループ
  • 登録プロファイル
  • デバイスポリシーとアプリポリシー

また、Endpoint Managementに登録されているAndroid Enterpriseユーザーは、Citrix Workspaceアプリを使用して再登録する必要があります。

AMAPI機能なしでAndroid Enterpriseを使用する場合は、「Android Enterprise」を参照してください。

要件

Android for Workspaceの使用を開始する前に、次のものが必要です:

  • Citrix Gatewayサービス

  • アカウントと資格情報:

    • 管理対象Google PlayでAndroid for Workspaceをセットアップする場合、企業Googleアカウント
    • 最新のMDXファイルをダウンロードする場合、Citrixカスタマーアカウント
  • Android for Workspaceを使用するには、デバイスに次のものが必要です:

    • Android 7以降
    • Citrix Workspaceアプリのバージョン

Android for Workspaceの使用を開始

スタートパス

ワンタイムセットアップ

次の手順に従って、Android for Workspaceプラットフォームの初期セットアップを実行します。

  1. Googleアカウントを作成します。既にAndroid Enterpriseを設定している場合は、別のメールアドレスでGoogleアカウントを使用する必要があります。

    Endpoint Managementで管理対象Google Playを使用する」および「要件」を参照してください。

  2. GoogleアカウントをEndpoint Managementにバインドします。

    Endpoint ManagementをGoogle Playに接続する」を参照してください。

  3. 登録プロファイルを作成および構成します。

    登録プロファイルの作成」を参照してください。

  4. MDX対応アプリを提供する準備をします。

    MAM SDKを使用してアプリを開発します。

    MAM SDKの概要」を参照してください。

デバイスの構成

  1. デリバリーグループを作成します。Android Enterpriseの既存のデリバリーグループは、Android for Workspaceデバイスにリソースを配信しません。

    誰がどのリソースをいつ取得するかを制御します。「リソースの展開」を参照してください。

  2. アプリの追加Google PlayアプリはEndpoint Managementコンソールから直接承認できます。

  3. 登録プロファイルを作成します。

    デバイスとアプリの管理登録オプションを指定します。「登録プロファイルの作成」を参照してください。

  4. デバイスとアプリのポリシーを構成します。

    エンタープライズセキュリティとユーザープライバシーおよびユーザーエクスペリエンスのバランスを取ります。「Android for Workspaceのデバイスポリシーとアプリポリシーの構成」を参照してください。

  5. Appleアプリを配布します。

    以下の情報も参照してください:

    Android for Workspace用に公開されたアプリには、展開規則はありません。Endpoint Managementは、30分ごとに新しいアプリとポリシーをAndroid for Workspaceデバイスにプッシュします。

  6. コンプライアンスを監視および確認するためのセキュリティアクションを構成します。

    セキュリティ操作」を参照してください。

Endpoint Managementで管理対象Google Playを使用する

Endpoint Managementを管理対象Google Playと統合してAndroid for Workspaceを使用する場合、エンタープライズを作成します。Googleはエンタープライズを、組織とエンタープライズモバイル管理(EMM)ソリューションとの間のバインディングと定義しています。組織がソリューションを通して管理するすべてのユーザーとデバイスは、そのエンタープライズに属します。

Android for Workspaceのエンタープライズには、EMMソリューションとGoogleエンタープライズアプリプラットフォームの2つのコンポーネントがあります。Endpoint ManagementをAndroid for Workspaceと統合すると、完成されたソリューションには次のコンポーネントが含まれます:

  • Citrix Endpoint Management: Citrix EMM。Endpoint Managementは、安全なデジタルワークスペースのための統合されたエンドポイント管理です。Endpoint Managementは、IT管理者が組織のデバイスとアプリを管理する手段を提供します。
  • 管理対象Google Play: Endpoint Managementと統合するGoogleエンタープライズアプリプラットフォーム。Google Play EMM APIがアプリポリシーを設定し、アプリを配布します。

管理対象Google Playを使用する場合、デバイスおよびエンドユーザーに管理対象Google Playアカウントをプロビジョニングします。管理対象Google Playアカウントは、管理対象Google Playへのアクセスを提供し、管理者が利用可能にしたアプリをユーザーがインストールし、使用できるようにします。組織がサードパーティのIDサービスを使用する場合、ビジネス向けGoogle Playアカウントと既存のIDアカウントを関連付けることができます。

この種類のエンタープライズはドメインに関連付けられていないため、1つの組織用に1つまたは複数のエンタープライズを作成できます。たとえば、組織の各部門または各地域は異なるエンタープライズとして登録できます。さまざまなエンタープライズを使用すると、デバイスおよびアプリを個別セットとして管理できます。

Endpoint Managementの管理者のために、管理対象Google Playでは、使い慣れたGoogle Playのユーザーエクスペリエンスとアプリストアの機能が、エンタープライズ向けに設計された管理機能セットと組み合わされています。管理対象Google Playを使用して、アプリを追加、購入、および承認し、デバイスのAndroid for Workspaceのワークスペースに展開します。Google Playを使用してパブリックアプリ、プライベートアプリ、およびサードパーティアプリを展開できます。

管理対象デバイスのユーザーの場合、管理対象Google Playがエンタープライズアプリストアです。ユーザーは、アプリの閲覧、アプリの詳細の表示、アプリのインストールを実行できます。Google Playのパブリックバージョンとは異なり、ユーザーは管理者が利用可能にしたアプリのみをビジネス向けGoogle Playからインストールできます。

Endpoint ManagementをGoogle Playに接続する

組織のAndroid for Workspaceをセットアップするには、管理対象Google PlayからCitrixをEMMプロバイダーとして登録します。これにより、管理対象Google PlayとEndpoint Managementが接続され、Endpoint ManagementでAndroid for Workspaceのエンタープライズが作成されます。

Google Playにサインインするための企業Googleアカウントが必要です。

  1. Endpoint Managementコンソールで、[設定]>[Android for Workspace] の順に移動します。

  2. [接続] をクリックします。Google Playが開きます。

    Android for WorkspaceがGoogle Playに接続する

  3. 企業Googleアカウントの資格情報でGoogle Playにサインインします。組織名を入力し、CitrixがEMMプロバイダであることを確認します。

  4. Android for WorkspaceにエンタープライズIDが追加されました。Endpoint ManagementコンソールにエンタープライズIDが表示されます。

    Android for WorkspaceのエンタープライズID

使用する環境がGoogleに接続され、デバイスを管理する準備ができます。これで、ユーザーにアプリを提供できるようになりました。

Endpoint Managementを使用して、ユーザーにCitrix業務用モバイルアプリ、MDXアプリ、パブリックアプリストアアプリ、WebおよびSaaSアプリ、エンタープライズアプリ、Webリンクを提供できます。これらの種類のアプリとこれらのアプリのユーザーへの提供について詳しくは、「アプリの追加」を参照してください。

登録プロファイルの作成

Endpoint Management環境でAndroid for Workspaceが有効になっている場合、登録プロファイルによってAndroidデバイスの登録方法が制御されます。登録プロファイルを構成して、新しいデバイスと工場出荷時のリセットデバイスをAndroid for Workspaceの仕事用プロファイルデバイスとして登録します。これらの登録プロファイルをそれぞれ構成して、BYODのAndroidデバイスを仕事用プロファイルデバイスとして登録することもできます。

Citrix Workspaceは、MDM+MAMソリューションのみです。ユーザーがWorkspaceアプリを介してEndpoint Managementに登録する場合、デバイス管理とアプリ管理に同意する必要があります。

Android for Workspaceデバイスの認証方法は、デフォルトでCitrix Workspaceアプリ用にセットアップされた認証方法になります。Endpoint Managementコンソールで認証方法を設定しても、これらのデバイスには影響しません。「認証方法の変更」を参照してください。

登録プロファイルを作成したら、デリバリーグループを登録プロファイルに割り当てます。異なる登録プロファイルを持つ複数のデリバリーグループにユーザーが属している場合、デリバリーグループの名前によって、使用される登録プロファイルが決まります。Endpoint Managementは、デリバリーグループのアルファベット順一覧の最後に表示されるデリバリーグループを選択します。詳しくは、「登録プロファイル」を参照してください。

仕事用プロファイルデバイスの登録プロファイルの追加

  1. Endpoint Managementコンソールで、[構成]>[登録プロファイル] の順に移動します。

  2. 登録プロファイルを追加するには、[追加] をクリックします。[登録情報]ページで、登録プロファイルの名前を入力します。

  3. このプロファイルのメンバーが登録できるデバイスの数を設定します。

  4. [プラットフォーム][Android] を選択するか、[次へ] をクリックします。[登録構成] ページが開きます。

  5. [Workspaceアプリからの登録] を有効にします。Endpoint Managementにより、[BYOD仕事用プロファイル][Citrix MAM] が自動的に有効になります。

    登録プロファイル構成画面

  6. [割り当て(オプション)] を選択します。[デリバリーグループ割り当て] ページが開きます。

  7. 仕事用プロファイルで完全に管理されたデバイスを登録した管理者を含む、1つまたは複数のデリバリーグループを選択します。次に、[保存] をクリックします。

    [登録プロファイル]ページに、追加したプロファイルが表示されます。

    [登録プロファイル]ページ

Android for Workspace BYOD仕事用プロファイルデバイスのプロビジョニング

Android for Workspace BYOD仕事用プロファイルデバイスは、プロファイル所有者モードで登録されます。これらのデバイスは、新品または工場出荷時の設定にリセットする必要がありません。ユーザーはGoogle PlayからCitrix Workspaceをダウンロードし、デバイスを登録します。

デバイスをAndroid for Workspaceで仕事用プロファイルデバイスとして登録している場合、Endpoint Managementはデバイスの [USBデバッグ][不明なソース] の設定をデフォルトで無効にします。

Android for Workspaceのデバイスを仕事用プロファイルデバイスとして登録する場合は、必ずGoogle Playにアクセスしてください。そこから、Citrix Workspaceをユーザーの個人プロファイルに表示できるようにします。

Android for Workspaceのデバイスポリシーとアプリポリシーの構成

デバイスレベルとアプリレベルの両方で制御されるポリシーの概要については、「Android EnterpriseでサポートされているデバイスポリシーとMDXポリシー」を参照してください。

ポリシーについて以下のことを把握してください:

  • デバイスの制限: 数十のデバイス制限により、次のような機能を制御できます:

    • デバイスカメラの使用
    • 仕事用プロファイルと個人用プロファイル間のコピーおよび貼り付けの使用
  • Per-app VPN: 管理対象構成デバイスポリシーを使用して、Android for WorkspaceのVPNプロファイルを構成します。

デバイスポリシー

以下は、Android for Workspaceで利用可能なデバイスポリシーのリストです。

セキュリティ操作

Android for Workspaceは、以下のセキュリティ操作をサポートしています。各セキュリティ操作の説明については、「セキュリティ操作」を参照してください。

  • 完全なワイプ
  • 検索
  • ロック
  • 通知(通知音)
  • 選択的なワイプ

位置情報デバイスポリシーでデバイスの位置情報モードが [高精度] モードまたは [バッテリー節約] モードに設定されていない限り、検索セキュリティ操作は失敗します。「位置情報デバイスポリシー」を参照してください。

Android for Workエンタープライズの登録解除

Android for Workspaceエンタープライズを使用しない場合は、エンタープライズの登録を解除できます。

警告:

エンタープライズの登録を解除すると、エンタープライズ経由で登録されていたデバイスのアプリはデフォルトの状態にリセットされます。これらのデバイスはGoogleの管理対象外になります。新しいAndroid for Workspaceエンタープライズに登録する場合は、管理対象Google Playから新しい組織のアプリを承認する必要があります。その後、Endpoint Managementコンソールでアプリを更新できます。

Android for Workspaceエンタープライズの登録を解除すると:

  • エンタープライズ経由で登録されていたデバイスとユーザーのアプリはデフォルト状態にリセットされます。以前に適用されていた[管理対象の構成]ポリシーは無効になります。
  • Endpoint Managementは、エンタープライズ経由で登録されたデバイスを管理します。Googleからは、これらのデバイスは管理されてないと見なされるため、新しいアプリを追加することはできません。[管理対象の構成]ポリシーは適用できません。[スケジュール設定]、[パスワード]、[制限]などのその他のポリシーは、これらのデバイスに適用できます。
  • Android for Workspaceにデバイスを登録しようとすると、Android for WorkspaceデバイスではなくAndroidデバイスとして登録されます。

Endpoint ManagementサーバーコンソールとEndpoint Managementツールを使用して、Android for Workspaceエンタープライズの登録を解除できます。

このタスクを実行すると、Endpoint Managementの[ツール]ポップアップウィンドウが表示されます。始める前に、Webブラウザーに、ポップアップウィンドウを開く権限があることを確認してください。Google Chromeなどの一部のWebブラウザーでは、ポップアップブロックを無効にし、Endpoint Managementサイトのアドレスをポップアップの許可リストに追加する必要があります。

Android for Workspaceエンタープライズを登録解除するには:

  1. Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [設定] ページで、[Android for Workspace] をクリックします。

  3. [登録解除] をクリックします。

    登録解除オプション

ユーザーエクスペリエンス

Android for Workspaceプラットフォームのユーザーは、Citrix Workspaceアプリを使用してデバイスを登録します。登録したら、Workspaceアプリを使用してアプリと企業データにアクセスします。

Citrix Workspaceアプリの設定について詳しくは、「Android向けCitrix Workspaceアプリ」を参照してください。

ユーザーデバイスでのアプリの登録と設定について詳しくは、ユーザーヘルプドキュメントの「Android向けCitrix Workspaceアプリについて」を参照してください。

既知の制限事項

  • Googleは、Android for Workspaceとの連携で、以下の機能をサポートしていません。以下の機能に影響を与えるポリシーはこれらのデバイスには適用されず、ユーザーがその機能にアクセスすることを業務用モバイルアプリは許可しません。
    • カレンダーウィジェット
    • 個人プロファイルとのカレンダー同期
    • プロファイル間の連絡先共有
  • エンドユーザーは、証明機関(CA)証明書を手動でインポートする必要があります。Endpoint Managementは、CA証明書をデバイスにプッシュしません。
  • Secure Mail内のURLがSecure Webで自動的に開かれることはありません。ユーザーは、[アプリで開く] を選択してSecure Webを選択する必要があります。
  • Citrix Gatewayコネクタで構成されているすべてのDNSサーバーは、すべての完全修飾ドメイン名(FQDN)を解決できる必要があります。DNSサーバーがすべてのFQDNを解決できない場合、Secure WebでURLの読み込みに失敗することがあります。
  • Secure Webを起動したときに、空白の画面が表示されることがあります。これが発生した場合は、Citrix Workspaceアプリを開き、認証して、Secure Webを再起動します。
  • Secure WebでイントラネットWebサイトの読み込みに失敗することがあります。これが発生した場合は、そのURLのCitrix CloudアプリライブラリでWeb SaaSアプリを構成します。
  • MAM SDKを使用して準備されたアプリは、管理対象として表示されないことがあります。これが発生した場合は、Citrix Worksapceアプリを起動し、そこからアプリを開きます。