Samsung Knoxの一括登録

複数のSamsung KnoxデバイスをEndpoint Management(またはその他のモバイルデバイスマネージャー)に登録する場合、Knox Mobile Enrollmentを使用すると、各デバイスを手動で構成する必要がありません。初回使用時または工場出荷時リセット後に、登録が必要になります。管理者は、ユーザー名とパスワードを直接デバイスに渡すこともできるため、ユーザーは登録時に情報を入力する必要はありません。

注:

Knox Mobile Enrollmentの設定は、Endpoint Management Knoxコンテナとは関係ありません。Knox Mobile Enrollmentについて詳しくは、Knox Mobile Enrollmentの管理ガイドを参照してください。

Knox Mobile Enrollmentの前提条件

  • Endpoint Managementが構成済み(ライセンスと証明書を含む)で、実行されている必要があります。
  • Secure Hub APKファイル。Knox Mobile Enrollmentを設定するときにアップロードします。
  • KME要件の一覧については、Knox Mobile Enrollmentの概要を参照してください。

Secure Hub APKファイルをダウンロードするには

  1. シトリックスダウンロードサイトにログインして、Citrix Endpoint Managementのダウンロードに移動します。

  2. 業務用モバイルアプリとMDX Toolkitで、使用中のエディションを選択します。

  3. Citrix Secure Hub for Androidファイルをダウンロードします。

ファイアウォールの例外規則の構成

Knox Mobile Enrollmentにアクセスするには、以下のファイアウォールの例外規則を構成します。これらのファイアウォールの例外規則には、すべてのデバイスで必要なものや、デバイスの地理的地域特有のものもあります。

デバイスの地域 URL ポート 接続先
すべて https://gslb.secb2b.com 443 Knox Mobile Enrollmentを開始するためのグローバルロードバランサー
すべて https://gslb.secb2b.com 80 限定されたいくつかのレガシーデバイス上でKnox Mobile Enrollmentを開始するためのグローバルロードバランサー
すべて umc-cdn.secb2b.com 443 Samsungエーエージェントアップデートサーバー
すべて bulkenrollment.s3.amazonaws.com 80 Knox Mobile Enrollmentユーザーのライセンス契約書
すべて eula.secb2b.com 443 Knox Mobile Enrollmentユーザーのライセンス契約書
すべて us-be-api-mssl.samsungknox.com 443 IMEI検証のためのSamsungサーバー
米国 https://us-segd-api.secb2b.com 443 米国地域のSamsung Enterprise Gateway
ヨーロッパ https://eu-segd-api.secb2b.com 443 ヨーロッパ地域のSamsung Enterprise Gateway
中国 https://china-segd-api.secb2b.com 443 中国地域のSamsung Enterprise Gateway

注:

ファイアウォールの例外の一覧については、Knox Mobile Enrollmentの管理ガイドを参照してください。

Knox Mobile Enrollmentへのアクセス

Samsungのドキュメント「KMEの開始」に従って、Knox Mobile Enrollmentにアクセスしてください。

Knox Mobile Enrollmentの設定方法

Knox Mobile Enrollmentにアクセスしたあと、Knoxポータルにログインします。

これらの一般的な手順の後、登録プロセスに移ります。

  1. MDMコンソールの情報および設定でMDMプロファイルを作成します。

    MDMプロファイルで、MDMへの接続方法を指定します。

  2. MDMプロファイルにデバイスを追加します。

    デバイス情報を記載したCSVファイルをアップロードするか、Google PlayからKnox展開アプリをインストールして使用します。

  3. デバイスの所有者情報が確認されると、Samsungから通知が届きます。

  4. ユーザーのMDMの資格情報が記載されています。Wi-Fiでインターネットに接続し、デバイスの登録を承認するよう求められます。

MDMプロファイルを作成するには

Samsungのドキュメント「プロファイル構成」に記載されている手順に従います。

次のフィールドまたは手順が見つかったら、説明に従って設定します:

  • Pick your MDM: メニューから [Citrix] を選択します。デバイス所有者プロファイルのみ。
  • MDM Agent APK: デバイス所有者プロファイルのみ。Secure Hub APKダウンロードURLを入力します。次に例を示します:

    https://example.com/zdm/securehub.apk

    https://pmdm.mycorp-inc.net/zdm/securehub.apk

    APKファイルは、登録中デバイスがアクセスできるすべてのサーバーで見つけることができます。登録中、デバイスはこのURLからSecure Hubをダウンロードし、次に説明するカスタムJSONデータ付きのSecure Hubを起動します。

    .apkファイル名での大文字と小文字は、入力したURLと一致している必要があります。たとえば、ファイル名がすべて小文字なら、URLもすべて小文字でなければなりません。

  • MDM Server URI: MDMサーバーのURIを指定しないでください。Endpoint ManagementではSamsung MDMプロトコルは使用されません。
  • [Custom JSON Data] には、Endpoint Managementサーバーのアドレス、ユーザー名、パスワードを次の形式で指定します: {"serverURL": "URL", "xm_username":"Username", "xm_password":"Password"}

    例:

    {"serverURL":"https://example.com/zdm", "xm_username":"userN", "xm_password":"password1234"} {"serverURL":"https://pmdm.mycorp-inc.net/zdm", "xm_username":"james.cork", "xm_password":"aDin20_1fa"}

    Android Enterpriseのゼロタッチ登録用のカスタムJSONを入力することもできます。

         {
             "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
             {
                 "serverURL":"URL","xm_username":"username","xm_password":"password"
             }
         }
    

デバイスが一括登録を開始すると、プロファイルデータを使用します。最初に該当のURLからSecure Hubをダウンロードして、インストールしてから、カスタムJSONデータのパラメーターで起動します。Secure Hubには既にEndpoint Managementのアドレスがあるため、入力の必要はありません。JSONファイルも資格情報を提供するので、登録は自動的に行われます。

そのほかの構成

構成の詳細については、次のSamsungのドキュメントページを参照してください:

バージョン2.4より前のKnox APIでデバイスを登録するには

バージョン2.4より前のKnox APIを使用しているデバイスでは、バルク登録機能はパッケージに含まれていません。そのため、ユーザーはSamsungサイトで新しいMobile Enrollmentクライアントをダウンロードして、登録を開始する必要があります。

ダウンロードした登録クライアントでは、Knox 2.4/2.4.1デバイスと同様に、Knoxバルク登録ポータルで構成されたMDMプロファイルとAPKを使用します。

通常は、次の手順を実行します:

  1. デバイスをオンにして、Wi-Fiに接続します。Mobile Enrollmentが開始されない、またはWi-Fiが使用できない場合、次の手順を実行してください。

    1. Samsung Knox Mobile Enrollmentに移動します。

    2. [Next] ボタンをタップして、デバイスとモバイルデータを登録します。

  2. [Enroll with Knox] が表示されたら、[Continue] をタップします。

  3. ライセンス契約書(表示された場合)を読みます。[次へ] をタップします。

  4. [User ID][Password] を求められた場合、IT管理者によって割り当てられた情報を入力します。

この時点で、ユーザーの認証情報が検証され、デバイスが組織の社内IT環境に登録されます。

Samsungデバイスの生体認証の有効化および無効化

Endpoint Managementでは、Samsungデバイスでユーザーが操作することなく生体認証(指紋認証および虹彩認証)を有効または無効にできます。Endpoint Managementで生体認証を無効にすると、ユーザーおよびサードパーティ製アプリはこの機能を使用できなくなります。

  1. Endpoint Managementコンソールで、[構成]>[デバイスポリシー] の順にクリックします。[デバイスポリシー] ページが開きます。

  2. [追加] をクリックします。[新しいポリシーの追加] ページが開きます。

  3. [パスコード] をクリックします。[パスコードポリシー情報] ページが開きます。

  4. [ポリシー情報] ペインで、以下の情報を入力します:

    • ポリシー名: ポリシーの説明的な名前を入力します。
    • 説明: 任意で、ポリシーの説明を入力します。
  5. [次へ] をクリックします。[プラットフォーム] ページが開きます。

  6. [プラットフォーム] で、[Android] または [Samsung Knox] を選択します。

  7. [生体認証の構成][オン] に設定します。

  8. [Android] を選択している場合、[Samsung SAFE][指紋を許可][虹彩を許可] のいずれかまたは両方を選択します。

    [生体認証の構成]オプション