Samsung KNOXバルク登録

複数のSamsung KNOXデバイスをEndpoint Management(またはその他のモバイルデバイスマネージャー)に登録する場合、KNOX Mobile Enrollmentを使用すると、各デバイスを手動で構成する必要がありません。初回使用時または工場出荷時リセット後に、登録が必要になります。管理者は、ユーザー名とパスワードを直接デバイスに渡すこともできるため、ユーザーは登録時に情報を入力する必要はありません。

注:

KNOX Mobile Enrollmentの設定は、Endpoint Management KNOXコンテナとは関係ありません。Knox Mobile Enrollmentについて詳しくは、KME Requirementsを参照してください。

KNOX Mobile Enrollmentの前提条件

  • KNOX 2.4以降を実行しているSamsungデバイス

    注:

    Samsung KNOX Mobile Enrollmentツールのサポート付きでパッケージ化されているのは、TIMA対応のSamsung 2.4デバイスのみです。

  • デバイスルートキー(DRK)のないデバイスは、KNOX 2.4.1バイナリでMobile Enrollmentに対応します。現在サポートされているデバイスの一覧については、「KNOX Mobile Enrollment」を参照してください。デバイスの登録には、Samsungがデバイスをホワイトリストに追加する必要があります。
  • KNOXポータルでデバイスを追加するには、デバイスのIMEIかシリアル番号を入力します。バルク登録には、以下が必要です。
    • Samsungのリストにある認定販売代理店からデバイスを購入する、または
    • Samsungと直接IMEIを共有することができる販売代理店からデバイスを購入する。お住まいの地域の認定販売代理店リストはKNOXカスタマーサポートで入手できます。

デバイスの検証要件について詳細は、KNOXサポートにお問い合わせください。

  • KNOXパートナーアカウント
  • Endpoint Managementが構成済み(ライセンスと証明書を含む)で、実行されている必要があります。
  • Secure Hub APKファイル。KNOX Mobile Enrollmentを設定する際にアップロードする。

Secure Hub APKファイルをダウンロードするには

  1. Citrixダウンロードサイトにログインして、Citrix Endpoint Managementのダウンロードに移動します。

  2. 業務用モバイル アプリとMDX Toolkitで、使用中のエディションを選択します。

  3. Citrix Secure Hub for Androidファイルをダウンロードします。

ファイアウォールの例外規則の構成

Knox Mobile Enrollmentにアクセスするには、以下のファイアウォールの例外規則を構成します。これらのファイアウォールの例外規則には、すべてのデバイスで必要なものや、デバイスの地理的地域特有のものもあります。

デバイスの地域 URL ポート 接続先
すべて https://gslb.secb2b.com 443 KNOX Mobile Enrollmentを開始するためのグローバルロードバランサー
すべて https://gslb.secb2b.com 80 限定されたいくつかのレガシーデバイス上でKNOX Mobile Enrollmentを開始するためのグローバルロードバランサー
すべて umc-cdn.secb2b.com 443 Samsungエーエージェントアップデートサーバー
すべて bulkenrollment.s3.amazonaws.com 80 Knox Mobile Enrollmentユーザーのライセンス契約書
すべて eula.secb2b.com 443 Knox Mobile Enrollmentユーザーのライセンス契約書
すべて us-be-api-mssl.samsungknox.com 443 IMEI検証のためのSamsungサーバー
米国 https://us-segd-api.secb2b.com 443 米国地域のSamsung Enterprise Gateway
ヨーロッパ https://eu-segd-api.secb2b.com 443 ヨーロッパ地域のSamsung Enterprise Gateway
中国 https://china-segd-api.secb2b.com 443 中国地域のSamsung Enterprise Gateway

KNOX Mobile Enrollmentへのアクセス

以下の手順に従って、KNOX Mobile Enrollmentにアクセスします。

KNOX Webポータルアカウントをお持ちの場合

  1. KNOX Webポータルにログオンして、Samsung KNOX Dashboardに移動します。

  2. KNOX Mobile Enrollmentページで、[Get Started] をクリックします。

  3. 詳細を入力して [Apply] をクリックします。

Samsungが申請を承認すると、KNOX Mobile Enrollmentツールの使用開始方法が記載された、ウェルカムメールが届きます。承認プロセスをよりスムーズに進めるために、お買い上げの販売代理店およびSamsungの営業担当者の連絡先の詳細、その他の申請に関連する情報をご提供ください。

KNOX Webポータルアカウントをお持ちでない場合

  1. KNOX Mobile Enrollmentページで、[Get Started] をクリックします。

  2. 必須項目を入力します。

  3. KNOXポータルから、登録の確認メールが届きます。[Complete Registration] をクリックして続行します。

  4. KNOX Webポータルのパスワードを入力して、確定します。

  5. KNOXバルク登録プログラムにある、ユーザーのSamsung KNOX Dashboardで、[Launch KNOX Mobile Enrollment] をクリックします。

  6. 承認プロセスをよりスムーズに進めるために、お買い上げの販売代理店、Samsungの営業担当者の詳細な連絡先、その他の申請に関連する情報をご提供ください。

KNOX Mobile Enrollmentの設定方法

KNOX Mobile Enrollmentにアクセスしたあと、KNOXポータルに移動し、[Launch Mobile Enrollment] をクリックします。

Launch Mobile Enrollment画面のイメージ

Samsungがバルク登録を使用するアカウントを認証できない場合、次の画面が表示されます。

[戻る]ボタンのイメージ

登録プロセスについては、次の節で詳しく説明される一般的な手順に従ってください。

  1. MDMコンソールの情報および設定でMDMプロファイルを作成します。

    MDMプロファイルで、MDMへの接続方法を指定します。

  2. MDMプロファイルにデバイスを追加します。

    デバイス情報を記載したCSVファイルをアップロードするか、デバイスをGoogle PlayのMobile Enrollmentアプリでスキャンします。

  3. デバイスの所有者情報が確認されると、Samsungから通知が届きます。

  4. ユーザーのMDMの資格情報が記載されています。Wi-Fiでインターネットに接続し、デバイスの登録を承認するよう求められます。

MDMプロファイルを作成するには

使用するEndpoint Managementサーバーを定義したMDMプロファイルを作成する必要があります。サーバーごとに1つのプロファイルを作成します。

  1. KNOX Mobile Enrollment Webサイトにログオンします。

  2. [MDM Profiles] タブをクリックし、[Add][Server URI not required for my MDM] の順にクリックします。

    [MDMプロファイル]タブのイメージ

    MDMサーバー接続オプションのイメージ

    注:

    MDMサーバーのURIを指定しないでください。Endpoint ManagementではSamsung MDMプロトコルは使用されません。

  3. [Create an MDM Profile] 画面で、次の情報を入力します。

    • プロファイルの名前。
    • [MDM Agent APK] には、Secure Hub APKのダウンロードURLを指定します。次に例を示します。

      https://example.com/zdm/worxhome.apk

      https://pmdm.mycorp-inc.net/zdm/worxhome.apk

      APKファイルは、登録中デバイスがアクセスできるすべてのサーバーで見つけることができます。登録中、デバイスはこのURLからSecure Hubをダウンロードし、次に説明するカスタムJSONデータ付きのSecure Hubを起動します。

      注:

      .apkファイル名での大文字と小文字は、入力したURLと一致している必要があります。たとえば、ファイル名がすべて小文字なら、URLもすべて小文字でなければなりません。

    • カスタムJSONデータには、Endpoint Managementサーバーのアドレス、ユーザー名、パスワードを次の形式で指定します: {"serverURL": "URL", "xm_username":"Username", "xm_password":"Password"}

      例:

      {"serverURL":"https://example.com/zdm", "xm_username":"userN", "xm_password":"password1234"} {"serverURL":"https://pmdm.mycorp-inc.net/zdm", "xm_username":"james.cork", "xm_password":"aDin20_1fa"}

      Androidゼロタッチ登録用のカスタムJSONを入力することもできます。

           {
               "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
               {
                   "serverURL":"URL","xm_username":"username","xm_password":"password"
               }
           }
      

      注:

      Secure Hub APKファイルはAppsセクションの特定のサーバー(例:https://pmdm.mycorp-inc.net:4443)にアップロードする必要があります。エンタープライズアプリのアップロードの場合と同様です。

      [MDMプロファイル]ページのイメージ

デバイスが一括登録を開始すると、プロファイルデータを使用します。最初に該当のURLからSecure Hubをダウンロードして、インストールしてから、カスタムJSONデータのパラメーターで起動します。Secure Hubには既にEndpoint Managementのアドレスがあるため、入力の必要はありません。JSONファイルも資格情報を提供するので、登録は自動的に行われます。

CSVファイルを使用して、デバイスを追加するには

デバイスを追加するには、デバイスIDをアップロードして、作成済みのMDMプロファイルの1つに関連付けます。CSVファイルをアップロードします。ファイルを構築するさまざまな方法は、KNOXのWebサイトで文書化されています。最も簡単な方法は、次のように1行に1つのIMEIを入力することです。

注:

次のセクションで説明するように、デバイスをスキャンして追加する方法もあります。

  1. [Devices]>[All Devices] を選択して、[Upload devices] をクリックします。

    [Upload Devices]オプションのイメージ

  2. [CSV File Format][Download file template] をクリックします。

  3. テンプレートの必要な行に情報を入力します。

    • Device info: IMEI、MEID、またはシリアル番号
    • Username: (オプション)企業のMDM設定で割り当てられたユーザー名がある場合
    • Password: (オプション)企業のMDM設定で割り当てられたパスワードがある場合
    • Other info: (オプション)このデバイスに関するその他の情報
  4. スプレッドシートのすべてのセルを選択します。

  5. 強調表示されているセルを右クリックして [Format cells] を選択します。

  6. [Category][Number] タブで、[Text][OK] の順にクリックします。

  7. スプレッドシートを.csvファイル形式で保存します。

.csvファイルを使用してデバイスを登録するには

  1. [Devices] タブをクリックします。

  2. [Upload Devices] をクリックします。

    [Upload Devices]画面のイメージ

  3. [Add Devices] ダイアログボックスで、[Browse] をクリックし、作成した.csvファイルを選択して [Upload] をクリックします。

  4. 購入情報を入力します。KNOX Mobile Enrollmentツールが購入情報を検証し、各デバイスが適切な組織に登録されたかを確認します。

  5. [Assign to Profile] で、追加したMDMプロファイルを選択します。

  6. [Submit] をクリックします。

[All Devices] リストに、登録しようとしたすべてのデバイスの登録ステータスとプロファイルが表示されます。

組織でデバイスを登録するためには、WiFi接続が必要です。また、ユーザーがSecure Hubのダウンロードおよびインストールに同意する必要があります。

Scanを使用してデバイスを追加するには

  1. KNOX Mobile EnrollmentアプリをGoogle Playからダウンロードしてインストールします。

  2. Samsungポータルの認証情報を入力し、[SIGN IN] をタップします。

  3. [Scan Devices] をタップします。

  4. [Scan new devices] をタップします。

  5. デバイスのバーコードをスキャンの赤い線に合わせます。

  6. スキャンが成功すると、デバイスのIMEIが表示されます。[Save] をタップします。

  7. スキャンしたデバイスが、スキャンのキューに表示されます。[Upload] をタップします。

スキャンしたデバイスを登録するには

  1. KNOX Webポータルのアカウントにログオンして、[Launch Mobile Enrollment] をクリックします。

  2. [Scanned] をタップすると、追加されたすべてのデバイスが表示されます。

  3. 登録するデバイスを選択して、[Submit selected] をタップします。スキャンしたすべてのデバイスの情報を送信するには、[Submit all] をタップします。

  4. [Submit scanned devices] ポップアップで、[Purchase details] を入力して、デバイスの所有者を確認します。

  5. [Assign MDM profile] メニューで、デバイスの登録に使用するプロファイルを選択して [Submit] をクリックします。

デバイス情報が確認されると、確認メールが届きます。

セキュリティ上の理由で、デバイスはすぐにはこのバルク登録アカウントには割り当てられません。Samsungはまず、デバイスが設定したバルク登録アカウントに実際に所属しているのかを確認する必要があります。

このため、次の画面で、販売代理店名と該当する請求書が求められます。

販売代理店識別プロンプトのイメージ

重要:

法務上の理由で、Samsungは、南北アメリカとEUに2つのサーバーを保有します。米国のデバイスは米国地域のKNOXアカウントに登録する必要があります。EUのデバイス(およびサポートされていない中国を除くその他の地域)は、EU地域のKNOXアカウントに登録する必要があります。

誤った地域を登録してもアカウントでは承認されますが、バルク登録はデバイスの暗号化エラーで失敗します。デバイスの国コードまたは生産国が米国以外の国であるかどうかを確認する場合は、Phone Info SamsungアプリをGoogle Playからダウンロードしてください。

ユーザーの登録操作

構成の完了後、ユーザーが最初にデバイスの使用を開始し、Wi-Fiを使用してインターネットに接続すると、次の手順が画面に表示されます。登録プロセスは、自動的に開始します。ユーザーはSecure Hubをダウンロードしてから、インストールし、Secure Hubの画面で有効な認証情報を入力します。これで、登録が完了します。

注:

登録に電話回線を使用しないためユーザー側にネットワーク接続のためのコストは必要ありません。

[Downloading]画面のイメージ

[Enrolling]画面のイメージ

バージョン2.4より前のKNOX APIでデバイスを登録するには

KNOX APIのバージョン2.4より前のバージョンのデバイスでは、バルク登録機能はパッケージに含まれないため、ユーザーはSamsungサイトで新しいMobile Enrollmentクライアントをダウンロードして、登録を開始する必要があります。

ダウンロードした登録クライアントでは、KNOX 2.4/2.4.1デバイスと同様に、KNOXバルク登録ポータルで構成されたMDMプロファイルとAPKを使用します。

通常は、次の手順を実行します。

  1. デバイスをオンにして、Wi-Fiに接続します。Mobile Enrollmentが開始されない、またはWi-Fiが使用できない場合、次の手順を実行してください。

    • https://me.samsungknox.com にアクセスします。

    • [Enroll] ボタンをタップして、デバイスとモバイルデータを登録します。

  2. [Enroll with KNOX] が表示されたら、[Continue] をタップします。

  3. ライセンス契約書(表示された場合)を読みます。[Next] をタップします。

  4. [User ID][Password] を求められた場合、IT管理者によって割り当てられた情報を入力します。

この時点で、ユーザーの認証情報が検証され、デバイスが組織の社内IT環境に登録されます。

Samsungデバイスの生体認証の有効化および無効化

Endpoint Managementでは、Samsungデバイスでユーザーが操作することなく生体認証(指紋認証および虹彩認証)を有効または無効にできます。 Endpoint Managementで生体認証を無効にすると、ユーザーおよびサードパーティ製アプリはこの機能を使用できなくなります。

  1. Endpoint Managementコンソールで、[構成] > [デバイスポリシー] の順にクリックします。[デバイスポリシー] ページが開きます。

  2. [追加] をクリックします。[新しいポリシーの追加] ページが開きます。

  3. [パスコード] をクリックします。[パスコードポリシー情報] ページが開きます。

  4. [ポリシー情報] ペインで、以下の情報を入力します:

    • ポリシー名: ポリシーの説明的な名前を入力します。
    • 説明: 任意で、ポリシーの説明を入力します。
  5. [次へ] をクリックします。[プラットフォーム] ページが開きます。

  6. [プラットフォーム] で、[Android] または [Samsung KNOX] を選択します。

  7. [生体認証の構成][オン] に設定します。

  8. [Android] を選択している場合、[Samsung SAFE][指紋を許可][虹彩を許可] のいずれかまたは両方を選択します。

    [生体認証の構成]オプションのイメージ