G Suiteユーザー向けの従来のAndroid Enterprise

G Suiteユーザーが従来のAndroid Enterpriseを構成するには、従来のAndroid Enterpriseの設定を使用する必要があります。

従来のAndroid Enterpriseの要件:

  • パブリックにアクセスできるドメイン
  • Google管理者アカウント
  • 管理されたプロファイルサポートがあり、Android 5.0以降のLollipopを実行しているデバイス
  • Google PlayがインストールされているGoogleアカウント
  • デバイスで設定されたワークプロファイル

従来のAndroid Enterpriseの構成を始めるには、Endpoint Management設定の [Android Enterprise] ページで [従来のAndroid Enterprise] をクリックします。

[従来のAndroid Enterprise]オプションの画像

Android Enterpriseアカウントの作成

Android Enterpriseアカウントをセットアップするには、Googleでドメイン名を検証する必要があります。

ドメイン名が既にGoogleで検証済みの場合は、以下の手順を省略し、「Android Enterpriseサービスアカウントの設定とAndroid Enterprise証明書のダウンロード」に進んでください。

  1. https://www.google.com/a/signup/?enterprise_product=ANDROID_WORKにアクセスします。

    管理者情報と会社情報を入力する次のページが開きます。

    アカウントセットアップページの画像

  2. 管理者のユーザー情報を入力します。

    管理者のユーザー情報の画像

  3. 管理者のアカウント情報だけでなく、会社情報も入力してください。

    企業情報画面の画像

    プロセスの最初の手順が完了します。以下のページが開きます。

    検証ページの画像

ドメイン所有権の検証

以下のいずれかの方法で、Googleがドメインを検証できるようにします。

  • ドメインホストのWebサイトにTXTまたはCNAMEレコードを追加します。
  • HTMLファイルをドメインのWebサーバーにアップロードします。
  • ホームページに<meta>タグを追加します。Googleでは最初の方法を推奨しています。ドメインの所有権を検証する手順についてはこの記事では扱いませんが、必要な情報はhttps://support.google.com/a/answer/6248925/に記載されています。
  1. [Start] をクリックして、ドメインの検証を開始します。

    [Verify domain ownership]ページが開きます。画面の指示に従ってドメインを検証します。

  2. [Verify] をクリック します。

    [Verify]ボタンの画像

    [Verify]確認の画像

  3. Googleによってドメイン所有権が検証されます。

    ドメイン所有権確認の画像

  4. 検証が成功すると、次のページが開きます。[続行] をクリックします。

    成功の確認ページの画像

  5. シトリックスに提供しAndroid Enterprise設定を構成するときに使用するEMMバインドトークンが、Googleによって作成されます。トークンをコピーして保存します。後でセットアップ中に必要になります。

    バインドトークンの画像

  6. [Finish] をクリックしてAndroid Enterpriseの設定を完了します。ドメインの検証に成功したことを示すページが表示されます。

Android Enterpriseサービスアカウントを作成したら、Google Adminコンソールにサインインしてモビリティ管理設定を管理できます。

Android Enterpriseサービスアカウントの設定とAndroid Enterprise証明書のダウンロード

Endpoint ManagementからGoogle PlayサービスおよびDirectoryサービスにアクセスできるようにするには、Googleのデベロッパー用プロジェクトポータルを使用してサービスアカウントを作成する必要があります。このサービスアカウントは、Endpoint ManagementとGoogleのAndroid用各種サービスのサーバー間通信で使用します。使用されている認証プロトコルについて詳しくは、https://developers.google.com/identity/protocols/OAuth2ServiceAccountを参照してください。

  1. Webブラウザーでhttps://console.cloud.google.com/projectを開いて、Google管理者の資格情報でサインインします。

  2. [Projects] の一覧で、[Create Project]をクリックします。

    [Create Project]オプションの画像

  3. [Project name] ボックスに、プロジェクトの名前を入力します。

    [Project name]オプションの画像

  4. [Dashboard]ページで、[Use Google APIs] をクリックします。

    [Use Google APIs]オプションの画像

  5. [Library] をクリックして、[Search]EMMと入力して、検索結果をクリックします。

    EMM検索オプションの画像

  6. [Overview] ページで、[Enable] をクリックします。

    [Enable]オプションの画像

  7. [Google Play EMM API] の横にある [Go to Credentials] をクリックします。

    [Go to Credentials]オプションの画像

  8. [Add credentials to our project] の一覧の手順1で、[service account] をクリックします。

    [service account]オプションの画像

  9. [Service Accounts]ページで、[Create Service Account] をクリックします。

    [Create Service Account]オプションの画像

  10. [Create service account] で、アカウントに名前を付けて、[Furnish a new private key] をオンにします。[P12] を選択して、[Enable Google Apps Domain-wide Delegation]をオンにし、[Create]をクリックします。

    [Create service account]オプションの画像

    証明書(P12ファイル)がコンピューターにダウンロードされます。証明書を安全な場所に保存してください。

  11. [Service account created] 確認画面で、[Close] をクリックします。

    確認ページの画像

  12. [Permissions] ページで [Service accounts] をクリックし、サービスアカウントの [Options] の下で、[View Client ID] をクリックします。

    [View Client ID]オプションの画像

  13. Google管理コンソールでアカウントの承認に必要になる詳細情報が表示されます。[Client ID][Service account ID]を、後でこの情報を引き出せる場所にコピーします。この情報は、ドメイン名と共に、ホワイトリスト作成の目的でCitrixサポートに送信するときに必要になります。

    アカウント認証の詳細の画像

  14. [Library] ページでAdmin SDKを検索して、検索結果をクリックします。

    Admin SDK検索の画像

  15. [Overview] ページで、[Enable] をクリックします。

    [Enable]ボタンの画像

  16. ユーザーのドメインのGoogle管理コンソールを開き、[Security] をクリックします。

    [セキュリティ]オプションの画像

  17. [Settings] ページで [Show more] をクリックして、[Advanced settings] を選択します。

    [Advanced settings]の画像

    [Advanced settings]の画像

  18. [Manage API client access] をクリックします。

    [Manage API client access]オプションの画像

  19. [Client Name] ボックスに前の手順で保存したクライアントIDを入力し、[One or More API Scopes] ボックスに「https://www.googleapis.com/auth/admin.directory.user」と入力して、[Authorize] をクリックします。

    クライアント名オプションの画像

EMMへのバインド

Endpoint Managementを使用してAndroidデバイスを管理するには、シトリックステクニカルサポートにドメイン名、サービスアカウント、およびバインドトークンを提供する必要があります。シトリックスでは、いただいたトークンをEMM(Enterprise Mobility Management:エンタープライズモビリティ管理)プロバイダーとしてEndpoint Managementにバインドします。シトリックステクニカルサポートへのお問い合わせは、シトリックステクニカルサポートを参照してください。

  1. バインドを確認するには、Google Adminポータルにサインインして [Security] をクリックします。

  2. [Manage EMM provider for Android] をクリックします。

    Google Android EnterpriseアカウントがEMMプロバイダーであるシトリックスにバインドされていることが表示されます。

    トークンのバインドを確認した後で、Endpoint Managementコンソールを使用してAndroidデバイスの管理を開始できます。手順14で生成したP12証明書をインポートします。Android Enterpriseサーバー設定をセットアップし、SAMLベースのシングルサインオン(Single Sign-On:SSO)を有効化し、少なくともAndroid Enterpriseデバイスポリシーを1つ定義する必要があります。

    [Manage EMM provider for Android]オプションの画像

P12証明書のインポート

以下の手順に従ってAndroid EnterpriseのP12証明書をインポートします:

  1. Endpoint Managementコンソールにサインインします。

  2. コンソールの右上にある歯車アイコンをクリックして [設定] ページを開き、[証明書] をクリックします。[証明書] ページが開きます。

    [証明書]ページの画像

  3. [インポート] をクリックします。[インポート] ダイアログボックスが開きます。

    [インポート]ダイアログボックスの画像

    次の設定を構成します。

    • インポート: ボックスの一覧から、[キーストア] を選択します。
    • キーストアの種類: ボックスの一覧から、[PKCS#12] を選択します。
    • 使用目的: ボックスの一覧から、[サーバー] を選択します。
    • キーストアファイル: [ブラウザー] をクリックして、P12証明書を選択します。
    • パスワード: キーストアのパスワードを入力します。
    • 説明: 任意で、証明書の説明を入力します。
  4. [インポート] をクリックします。

Android Enterpriseサーバー設定のセットアップ

  1. Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [プラットフォーム][Android Enterprise] を選択します。[Android Enterprise] ページが開きます。

    [Android Enterprise]ページの画像

    これらの設定を構成し、[保存] をクリックします。

    • ドメイン名: Android Enterpriseのドメイン名を入力します(例:domain.com)。
    • ドメイン管理アカウント: ドメイン管理者のユーザー名を入力します(例:Google Developer Portalで使用しているメールアカウント)。
    • サービスアカウントID: サービスアカウントIDを入力します(例:Google Service Account(serviceaccountemail@xxxxxxxxx.iam.gserviceaccount.com)に関連付けられたメールアドレス)。
    • クライアントID: Googleサービスアカウントの数値形式のクライアントIDを入力します。
    • Android Enterpriseの有効化: Android Enterpriseを有効にするのか、無効にするのかを選択します。

SAMLベースのシングルサインオンの有効化

  1. Endpoint Managementコンソールにサインインします。

  2. コンソールの右上にある歯車アイコンをクリックします。[設定] ページが開きます。

  3. [証明書] をクリックします。[証明書] ページが開きます。

    [証明書]ページの画像

  4. 証明書の一覧から、SAML証明書を選択します。

  5. [エクスポート] をクリックして証明書をコンピューターに保存します。

  6. Android Enterpriseの管理者資格情報でGoogle Adminポータルにサインインします。ポータルへのアクセスについて詳しくは、Google Admin portalを参照してください。

  7. [Security] をクリックします。

    [Security]オプションの画像

  8. [Security] の下の [Set up single sign-on(SSO)] をクリックして以下の設定を構成します。

    SSO設定のイメージ

    • Sign-in page URL: お使いのシステムおよびGoogle AppsにサインインするページのURLを入力します。例:https://<Xenmobile-FQDN>/aw/saml/signin
    • Sign-out page URL: ユーザーがサインアウト時にリダイレクトされるURLを入力します。例:https://<Xenmobile-FQDN>/aw/saml/signout
    • Change password URL: ユーザーがシステム内でパスワードを変更するときにアクセスするURLを入力します。例:https://<Xenmobile-FQDN>/aw/saml/changepassword。このフィールドが定義されると、SSOが使用できない場合でもこのメッセージが表示されます。
    • Verification certificate: [CHOOSE FILE] をクリックして、Endpoint ManagementからエクスポートしたSAML証明書を選択します。
  9. [SAVE CHANGES] をクリックします。

Android Enterpriseデバイスポリシーのセットアップ

パスコードポリシーをセットアップして、ユーザーが初めて登録するときにデバイスでのパスコード設定を必須にします。

パスコードポリシーページの画像

デバイスポリシーの基本的なセットアップ手順は以下のとおりです。

  1. Endpoint Managementコンソールにサインオンします。

  2. [構成]>[デバイスポリシー] をクリックします。

  3. [追加] をクリックして、[新しいポリシーの追加] ダイアログボックスから追加するポリシーを選択します。この例では [パスコード] をクリックします。

  4. [ポリシー情報] ページに入力します。

  5. [Android Enterprise] をクリックしてポリシーの設定を構成します。

  6. ポリシーをデリバリーグループに割り当てます。

Android Enterpriseアカウント設定の構成

デバイスのAndroidアプリとポリシーを管理するには、Endpoint ManagementでAndroid Enterpriseのドメインおよびアカウント情報を設定する必要があります。まず、GoogleでAndroid Enterpriseの設定タスクを完了してドメイン管理者を設定し、サービスアカウントIDとバインドトークンを取得する必要があります。

  1. Endpoint Management Webコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [プラットフォーム][Android Enterprise] を選択します。[Android Enterprise] 構成ページが開きます。

[Android Enterprise]構成ページの画像

  1. [Android Enterprise] ページで以下の設定を構成します:

    • ドメイン名: ドメイン名を入力します。
    • ドメイン管理アカウント: ドメイン管理者のユーザー名を入力します。
    • サービスアカウントID: GoogleのサービスアカウントIDを入力します。
    • クライアントID: GoogleサービスアカウントのクライアントIDを入力します。
    • Android Enterpriseの有効化: Android Enterpriseを有効にするかどうかを選択します。
  2. [保存] をクリックします。

Endpoint ManagementのG Suiteパートナーアクセスのセットアップ

Chromeの一部のエンドポイント管理機能では、Endpoint ManagementとG Suiteドメイン間の通信にGoogleパートナーAPIを使用します。たとえば、Endpoint Managementでは、シークレットモードやゲストモードなどのChrome機能を管理するデバイスポリシーにこうしたAPIが必要です。

パートナーAPIを有効にするには、Endpoint ManagementコンソールでG Suiteドメインをセットアップしてから、G Suiteアカウントを構成します。

Endpoint ManagementでG Suiteドメインをセットアップする

Endpoint ManagementとG SuiteドメインのAPIを通信できるようにするには、[設定]>[Google Chromeの構成]で設定を構成します。

Google Chrome設定画面の画像

  • G Suiteドメイン: Endpoint Managementに必要なAPIをホストするG Suiteドメイン。
  • G Suite管理者アカウント: G Suiteドメインの管理者アカウント。
  • G SuiteクライアントID: シトリックスのクライアントID。G Suiteドメインのパートナアクセスを構成する場合は、この値を使用します。
  • G SuiteエンタープライズID: アカウントのエンタープライズID。お客様のGoogleエンタープライズアカウントから入力されます。

G Suiteドメイン内のデバイスとユーザーのパートナーアクセスを有効にする

  1. Google管理コンソールにログインします。 https://admin.google.com

  2. [端末管理] をクリックします。

    Google管理者コンソールの画像

  3. [Chrome管理] をクリックします。

    Google管理者コンソールの画像

  4. [ユーザー設定] をクリックします。

    Google管理者コンソールの画像

  5. [Chrome管理-パートナーアクセス] を見つけます。

    Google管理者コンソールの画像

  6. [Chrome管理-パートナーアクセスを有効にします] チェックボックスをオンにします。

  7. パートナーアクセスについて了承し、有効にする必要があることに同意します。[保存] をクリックします。

  8. [Chrome管理]ページで [端末設定] をクリックします。

    Google管理者コンソールの画像

  9. [Chrome管理-パートナーアクセス] を見つけます。

    Google管理者コンソールの画像

  10. [Chrome管理-パートナーアクセスを有効にします] チェックボックスをオンにします。

  11. パートナーアクセスについて了承し、有効にする必要があることに同意します。[保存] をクリックします。

  12. [セキュリティ] ページに移動し、[詳細設定] をクリックします。

    Google管理者コンソールの画像

  13. [APIクライアントアクセスを管理する] をクリックします。

  14. Endpoint Managementコンソールで、[設定]>[Google Chromeの構成] に移動し、[G SuiteクライアントID]の値をコピーします。次に、[APIクライアントアクセスを管理する] ページに戻り、コピーした値を [クライアント名] フィールドに貼り付けます。

  15. [1つ以上のAPIの範囲] に次のURLを追加します:https://www.googleapis.com/auth/chromedevicemanagementapi

    Google管理者コンソールの画像

  16. [承認] をクリックします。

    「設定が保存されました」というメッセージが表示されます。

デバイスポリシー構成画面の画像

Android Enterpriseデバイスの登録

デバイス登録処理でユーザーがユーザー名またはユーザーIDを入力する必要がある場合、使用可能な形式は、Endpoint Managementがユーザープリンシパル名(UPN)またはSAMアカウント名でユーザーを検索するように構成されているかどうかによって異なります。

Endpoint ManagementサーバーがUPNでユーザーを検索するように構成されている場合、ユーザーは以下の形式でUPNを入力する必要があります:

  • ユーザー名@ドメイン

Endpoint ManagementサーバーがSAMでユーザーを検索するように構成されている場合、ユーザーは以下のどちらかの形式でSAMを入力する必要があります:

  • ユーザー名@ドメイン
  • ドメイン\ユーザー名

Endpoint Managementサーバーがどちらのユーザー名の種類を使用するように構成されているか確認するには:

  1. Endpoint Managementサーバーコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。
  2. [LDAP] をクリックして、LDAP接続の設定を表示します。
  3. ページの下部にある [ユーザー検索基準] フィールドを表示します。

    • [userPrincipalName] に設定すると、Endpoint ManagementサーバーはUPNで検索するように設定されます。
    • [sAMAccountName] に設定すると、Endpoint ManagementサーバーはSAMで検索するように設定されます。

Android Enterpriseエンタープライズの登録解除

Endpoint ManagementサーバーコンソールとEndpoint Managementツールを使用して、Android Enterpriseエンタープライズの登録を解除できます。

このタスクを実行すると、Endpoint ManagementサーバーにEndpoint Managementツールのポップアップウィンドウが表示されます。始める前に、Endpoint Managementサーバーに、使用するWebブラウザーでポップアップウィンドウを開く権限があることを確認してください。Google Chromeなどの一部のWebブラウザーでは、ポップアップブロックを無効にし、Endpoint Managementサイトのアドレスをポップアップブロックのホワイトリストに追加する必要があります。

警告:

エンタープライズの登録を解除すると、エンタープライズ経由で登録されていたデバイスのAndroid Enterpriseアプリはデフォルトの状態にリセットされます。デバイスはGoogleによって管理されなくなります。それらのデバイスをAndroid Enterpriseエンタープライズで再登録しても、以前の機能を復元することはできません。追加で構成を行う必要があります。

Android Enterpriseエンタープライズの登録を解除した後:

  • エンタープライズ経由で登録されていたデバイスとユーザーのAndroid Enterpriseアプリは、デフォルト状態にリセットされます。以前に適用されていた[Android Enterpriseアプリの権限]ポリシーと[Android Enterpriseアプリの制限]ポリシーは無効になります。
  • エンタープライズ経由で登録されていたデバイスはEndpoint Managementによって管理されますが、Googleの観点からは管理されません。新しいAndroid Enterpriseアプリを追加することはできません。[Android Enterpriseアプリの権限]ポリシーと[Android Enterpriseアプリの制限]ポリシーは適用できません。ただし、これらのデバイスには引き続き、スケジュール設定、パスワード、制限などのポリシーは適用できます。
  • Android Enterpriseにデバイスを登録しようとすると、Android EnterpriseデバイスではなくAndroidデバイスとして登録されます。

Android Enterpriseエンタープライズの登録を解除するには:

  1. Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [設定] ページで、[Android Enterprise] をクリックします。

  3. [エンタープライズの削除] をクリックします。

    [エンタープライズの削除]オプションの画像

  4. パスワードを指定します。登録解除を完了するには、次のステップでこのパスワードが必要になります。[登録解除] をクリックします。

    [登録解除]オプションの画像

  5. [Endpoint Management Management Tools]ページが開いたら、前の手順で作成したパスワードを入力します。

    パスワードフィールドの画像

  6. [登録解除] をクリックします。

    [登録解除]オプションの画像

Android Enterpriseでの仕事用管理対象デバイスモードのプロビジョニング

Android Enterpriseの仕事用管理対象デバイスモードは、会社所有のデバイスでのみ利用できます。Endpoint Managementでは、仕事用管理対象デバイスモードで以下の登録方法をサポートしています:

  • afw#xenmobile: この登録方法では、ユーザーがデバイスの設定時に「afw#xenmobile」という文字を入力します。このトークンにより、デバイスがEndpoint Managementの管理対象であると識別され、Secure Hubがダウンロードされます。
  • QRコード: QRコードプロビジョニングは、NFCをサポートしていない、タブレットなどの分散型端末を簡単にプロビジョニングする方法です。QRコード登録方法は、出荷時の設定にリセットされたフリートデバイスで使用できます。QRコード登録メソッドは、セットアップウィザードからQRコードをスキャンすることによって、仕事用管理対象デバイスモードを設定および構成します。
  • NFC(近距離無線通信)バンプ: NFCバンプ登録方法は、出荷時の設定にリセットされたフリートデバイスで使用できます。NFCバンプは、近距離無線通信を使用して2つのデバイス間でデータを転送します。工場出荷時設定にリセットされたデバイスでは、Bluetooth、Wi-Fi、およびそのほかの通信モードは無効になっています。この状態のデバイスが使用する通信プロトコルはNFCのみです。

afw#xenmobile

この登録方法は、新規デバイスまたは工場出荷時設定にリセットされたデバイスの電源を入れ、初期セットアップを行った後に使用します。ユーザーは、Googleアカウントの入力を求められたら「afw#xenmobile」と入力します。この操作により、Secure Hubがダウンロードされインストールされます。インストール後、Secure Hubの設定プロンプトに従って登録を完了します。

この登録方法ではSecure Hubの最新バージョンがGoogle Playストアからダウンロードされるため、ほとんどのお客様に推奨されます。他の登録方法とは異なり、Endpoint Managementサーバーでダウンロード用にSecure Hubを提供することはありません。

前提条件:

  • Android 5.0以降を実行するすべてのAndroidデバイスでサポートされます。

QRコード

QRコードを使用してデバイスモードでデバイスを登録するには、JSONを作成してからQRコードに変換して、QRコードを生成します。このQRコードをデバイスカメラでスキャンし、デバイスを登録します。

前提条件:

  • Android 7.0以降を実行するすべてのAndroidデバイスでサポートされます。

JSONからQRコードを作成する

次のフィールドがあるJSONを作成します。

これらのフィールドは必須です。

キー:android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

値:com.zenprise / com.zenprise.configuration.AdminFunction

キー: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

値:qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

キー:android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

値: https://path/to/securehub.apk

注:

Secure HubがCitrix Endpoint Managementサーバーにエンタープライズアプリとしてアップロードされている場合は、https://<fqdn>:4443/*instanceName*/worxhome.apkからダウンロードできます。上記の値として使用されるSecure Hub APKへのパスは、プロビジョニング中にデバイスが接続されるWi-Fi接続を介してアクセスできる必要があります。

これらのフィールドはオプションです。

  • android.app.extra.PROVISIONING_LOCALE: 言語コードおよび国コードを入力します。

    言語コードは、ISO 639-1で定義されている小文字で2文字のISO言語コード(「en」など)です。国コードは、ISO 3166-1で定義されている大文字で2文字のISO国コード(「US」など)です。たとえば、アメリカ合衆国で話されている英語の場合は「en_US」と入力します。

  • android.app.extra.PROVISIONING_TIME_ZONE: これはデバイスが実行されているタイムゾーンです。

    フォームの地域/場所のOlson名を入力します。たとえば、米国太平洋標準時の場合は「America/Los_Angeles」です。入力しない場合、タイムゾーンは自動的に入力されます。

  • android.app.extra.PROVISIONING_LOCAL_TIME: エポックからのミリ秒単位の時間。

    Unixエポック(またはUnix時間またはPOSIX時間またはUnixタイムスタンプ)は、1970年1月1日(UTC/ GMT午前0時)から経過した秒数で、うるう秒数は含まれません(ISO 8601: 1970-01-01T00:00:00Z)。

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: プロファイル作成時に暗号化をスキップするには、trueに設定します。プロファイルの作成時に暗号化を強制するには、falseに設定します。

以下の図に、典型的なJSONの例を示します。

典型的なJSONの画像

https://jsonlint.comなどのJSON検証ツールを使用して作成されたJSONを検証します。http://goqr.me などのオンラインQRコードジェネレータを使用して、JSON文字列をQRコードに変換します。

このQRコードは工場出荷時の設定にリセットされたデバイスによってスキャンされ、これによってデバイスを仕事用管理対象デバイスモードで登録できます。

デバイスを登録するには

デバイスを仕事用管理対象デバイスモードで登録するには、デバイスを工場出荷時の設定にリセットする必要があります。

  1. ようこそ画面で画面を6回タップすると、QRコードの登録フローが開始されます。
  2. プロンプトが表示されたら、Wi-Fiに接続します。(JSONでエンコードされた)QRコードにあるSecure Hubのダウンロード場所には、このWi-Fiネットワーク経由でアクセスできます。

    端末がWi-Fiに接続されると、GoogleからQRコードリーダーをダウンロードしてカメラを起動します。

  3. カメラをQRコードに合わせて、コードをスキャンします。

    Androidは、QRコードのダウンロード場所からSecure Hubをダウンロードし、署名証明書の署名を検証し、Secure Hubをインストールし、デバイス所有者として設定します。

詳しくは、Android EMMデベロッパー向けGoogleガイド(https://developers.google.com/android/work/prov-devices#qr_code_method)を参照してください。

NFCバンプ

NFCバンプを使用してデバイスモードでデバイスを登録するには、工場出荷時の設定にリセットされたデバイスと、Endpoint Managementプロビジョニングツールを実行するデバイスの2台のデバイスが必要です。

前提条件:

  • Android 5.0、Android 5.1、Android 6.0以降を実行するすべてのAndroidデバイスでサポートされます。
  • Android Enterpriseを有効にしたEndpoint Managementサーバーバージョン10.4。
  • 仕事用管理対象デバイスモードでAndroid Enterprise向けにプロビジョニングされた、工場出荷時設定にリセットされたデバイス。この前提条件を完了する手順については、後述します。
  • 構成済みのProvisioning Toolを実行している、NFC機能が備わった別のデバイス。Provisioning Toolは、Secure Hub 10.4またはCitrixダウンロードページから入手できます。

各デバイスには、エンタープライズモビリティ管理(EMM)アプリで管理されたAndroid Enterpriseプロファイルを1つのみ設定できます。Endpoint Managementでは、Secure HubがEMMアプリとなります。各デバイスには、1つのプロファイルしか許可されません。2つ目のEMMアプリを追加すると、1つ目のEMMアプリが削除されます。

仕事用管理対象デバイスモードは、新しいデバイスまたは工場出荷時の設定にリセットされたデバイスで開始できます。デバイス全体は、Endpoint Managementで管理します。

NFCバンプを介して転送されるデータ

工場出荷時の設定にリセットされたデバイスをプロビジョニングするには、以下のデータをNFCバンプ経由で送信してAndroid Enterpriseを初期化する必要があります:

  • デバイス所有者として機能するEMMプロバイダーアプリ(この場合は、Secure Hub)のパッケージ名。
  • デバイスがEMMプロバイダーアプリをダウンロードできるイントラネット/インターネット上の場所。
  • ダウンロードが正常に完了したかどうかを確認するEMMプロバイダーアプリのSHA1ハッシュ。
  • 工場出荷時の設定にリセットされたデバイスがEMMプロバイダーアプリに接続してダウンロードできるようにするWi-Fi 接続の詳細。注:現時点では、Androidはこの手順での802.1x Wi-Fiをサポートしていません。
  • デバイスのタイムゾーン(オプション)。
  • デバイスの地理的な場所(オプション)。

2つのデバイスがバンプされると、Provisioning Toolのデータが工場出荷時の設定にリセットされたデバイスに送信されます。このデータはその後、管理者設定でのSecure Hubのダウンロードに使用されます。タイムゾーンと場所の値を入力しない場合、新しいデバイスではAndroidによって自動的にこれらの値が構成されます。

Endpoint Managementプロビジョニングツールの構成

NFCバンプを行う前に、Provisioning Toolを構成する必要があります。この構成はその後、工場出荷時の設定にリセットされたデバイスに、NFCバンプ中に転送されます。

Provisioning Tool構成の画像

必須項目にデータを直接入力することも、テキストファイルから入力することもできます。次の手順では、テキストファイルを構成する方法と各フィールドに説明を含める方法について説明します。入力後のデータはアプリでは保存されないため、テキストファイルを作成して、今後の使用に備えて情報を保存しておくことをお勧めします。

テキストファイルを使用してProvisioning Toolを構成するには

ファイルの名前をnfcprovisioning.txtにして、/sdcard/フォルダーにあるデバイスのSDカードに格納します。アプリによってこのテキストファイルが読み込まれ、値が入力されます

テキストファイルには、次のデータを含める必要があります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

この行は、EMMプロバイダーアプリのイントラネット/インターネットの場所です。工場出荷時設定のデバイスがNFCバンプの後にWi-Fiに接続した場合、デバイスはダウンロードのためにこの場所にアクセスする必要があります。URLは通常のURLで、特別な形式にする必要はありません。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

この行は、EMMプロバイダーアプリのチェックサムです。このチェックサムはダウンロードが成功したかを検証するために使用されます。チェックサムを取得する手順については、後述します。

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

この行は、Provisioning Toolを実行しているデバイスが接続されているWi-FiのSSIDです。

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

サポートされる値はWEPおよびWPA2です。Wi-Fiが保護されていない場合、このフィールドは空白にする必要があります。

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Wi-Fiが保護されていない場合、このフィールドは空白にする必要があります。

android.app.extra.PROVISIONING_LOCALE=<locale>

言語コードと国コードを入力します。言語コードは、ISO 639-1で定義されている小文字で2文字のISO言語コード(「en」など)です。国コードは、ISO 3166-1で定義されている大文字で2文字のISO国コード(「US」など)です。たとえば、アメリカ合衆国で話されている英語の場合は「en_US」と入力します。コードを入力しない場合、国と言語は自動的に入力されます。

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

デバイスが実行されるタイムゾーンです。フォームの地域/場所のOlson名を入力します。たとえば、米国太平洋標準時の場合は「America/Los_Angeles」です。名前を入力しない場合、タイムゾーンは自動的に入力されます。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

このデータはSecure Hubとしてアプリにハードコードされるため、必須ではありません。ここでは、情報の完全性を守るためだけに記載しています。

WPA2を使用して保護されたWi-Fiの場合、完了したnfcprovisioning.txtファイルは以下の例のようになります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

保護されていないWi-Fiの場合、完了したnfcprovisioning.txtファイルは以下の例のようになります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Secure Hubチェックサムを取得するには

アプリのチェックサムを取得するには、そのアプリをエンタープライズアプリとして追加します。

  1. Endpoint Managementコンソールで、[構成]>[アプリ] に移動し、[追加] をクリックします。

    [アプリの追加] ウィンドウが開きます。

  2. [エンタープライズ] をクリックします。

    [アプリ情報] ページが開きます。

    [アプリ情報]ページの画像.png

  3. 次の構成を選択して [次へ] をクリックします。

    [Android Enterpriseエンタープライズアプリ] ページが開きます。

    [Android For Work Enterprise App]の画像.png

  4. .apkへのパスを入力し、[次へ] をクリックしてファイルをアップロードします。

    アップロードが完了すると、アップロードされたパッケージの詳細が表示されます。

    ファイルのアップロードページの画像.png

  5. [次へ] をクリックしてJSONファイルをダウンロードするページを表示します。このファイルは、この後Google Playへのアップロードに使用します。Secure Hubの場合、Google Playにアップロードする必要はありませんが、SHA1を読み込む元になるJSONファイルが必要です。

    JSONファイルのダウンロードページの画像.png

    以下の図に、典型的なJSONファイルの例を示します。

    典型的なJSONファイルの画像

  6. file_sha1_base64の値をコピーして、この値をProvisioning Toolの [ハッシュ] フィールドで使用します。

    :ハッシュはURLセーフのものにする必要があります。

    • +記号はすべて-に変換します。
    • /記号はすべて_に変換します。
    • 末尾の\u003d=に置き換えます。

    ハッシュをデバイスのSDカードのnfcprovisioning.txtファイルに格納すると、安全のための変換が行われます。ただし、ハッシュを手動で入力すると、URLの安全性は入力者の責任になります。

使用するライブラリ

Provisioning Toolでは、以下のライブラリがソースコードに使用されています。

  • v7 appcompat library、Design support library、およびv7 Palette library by Google(Apache license 2.0)

    詳しくは、「Support Libraryの機能」を参照してください。

  • Butter Knife by Jake Wharton(Apache license 2.0)

Android Enterpriseでの仕事用プロファイルモードのプロビジョニング

Android Enterpriseの仕事用プロファイルモードは、デバイス上の会社領域と個人領域を安全に分離することができます。たとえば、BYODデバイスで仕事用プロファイルモードを使用できます。仕事用プロファイルモードの登録手順は、Endpoint ManagementでAndroidを登録する場合と同様です。ユーザーはGoogle PlayからSecure Hubをダウンロードし、デバイスを登録します。

デバイスがAndroid Enterpriseの仕事用プロファイルモードで登録されている場合、デフォルトではUSBデバッグおよび不明なソース設定は無効になっています。

ヒント:

Android Enterpriseのデバイスを仕事用プロファイルモードで登録する場合は、必ずGoogle Playにアクセスしてください。そこから、ユーザーの個人プロファイルでのSecure Hubの表示を有効にします。