Citrix Endpoint Management

Samsung Knoxの一括登録

複数のSamsung KnoxデバイスをEndpoint Management(またはその他のモバイルデバイスマネージャー)に登録する場合、Knox Mobile Enrollmentを使用すると、各デバイスを手動で構成する必要がありません。初回使用時または工場出荷時リセット後に、登録が必要になります。管理者は、ユーザー名とパスワードを直接デバイスに渡すこともできるため、ユーザーは登録時に情報を入力する必要はありません。

注:

Knox Mobile Enrollmentの設定は、Endpoint Management Knoxコンテナとは関係ありません。Knox Mobile Enrollmentについて詳しくは、「Knox Mobile Enrollment Admin Guide」を参照してください。

Knox Mobile Enrollmentの前提条件

  • Endpoint Managementが構成済み(ライセンスと証明書を含む)で、実行されている必要があります。
  • Secure Hub APKファイル。Knox Mobile Enrollmentを設定するときにアップロードします。
  • Knox Mobile Enrollment(KME)の要件の一覧については、Knox Mobile Enrollmentの概要を参照してください。
  • Samsung Knox Platform for Enterprise(PKE)。デバイスのポリシーを適用するために必要です。Endpoint Managementデバイスポリシーである、Knox Platform for Enterpriseのライセンスキーを提供します。

Secure Hub APKファイルをダウンロードするには

Google PlayストアにアクセスしてCitrix Secure Hub for Androidファイルをダウンロードします。

ファイアウォールの例外規則の構成

Knox Mobile Enrollmentにアクセスするには、以下のファイアウォールの例外規則を構成します。これらのファイアウォールの例外規則には、すべてのデバイスで必要なものや、デバイスの地理的地域特有のものもあります。

デバイスの地域 URL ポート 接続先
すべて https://gslb.secb2b.com 443 Knox Mobile Enrollmentを開始するためのグローバルロードバランサー
すべて https://gslb.secb2b.com 80 限定されたいくつかのレガシーデバイス上でKnox Mobile Enrollmentを開始するためのグローバルロードバランサー
すべて umc-cdn.secb2b.com 443 Samsungエーエージェントアップデートサーバー
すべて bulkenrollment.s3.amazonaws.com 80 Knox Mobile Enrollmentユーザーのライセンス契約書
すべて eula.secb2b.com 443 Knox Mobile Enrollmentユーザーのライセンス契約書
すべて us-be-api-mssl.samsungknox.com 443 IMEI検証のためのSamsungサーバー
米国 https://us-segd-api.secb2b.com 443 米国地域のSamsung Enterprise Gateway
ヨーロッパ https://eu-segd-api.secb2b.com 443 ヨーロッパ地域のSamsung Enterprise Gateway
中国 https://china-segd-api.secb2b.com 443 中国地域のSamsung Enterprise Gateway

注:

ファイアウォールの例外の一覧については、「Knox Mobile Enrollment Admin Guide」を参照してください。

Knox Mobile Enrollmentへのアクセス

Samsungのドキュメント「Get started with KME」に従って、Knox Mobile Enrollmentにアクセスしてください。

Knox Mobile Enrollmentの設定方法

Knox Mobile Enrollmentにアクセスしたあと、Knoxポータルにログインします。

これらの一般的な手順の後、登録プロセスに移ります。

  1. MDMコンソールの情報および設定でMDMプロファイルを作成します。

    MDMプロファイルで、MDMへの接続方法を指定します。

  2. MDMプロファイルにデバイスを追加します。

    デバイス情報を記載したCSVファイルをアップロードするか、Google PlayからKnox展開アプリをインストールして使用します。

  3. デバイスの所有者情報が確認されると、Samsungから通知が届きます。

  4. ユーザーのMDMの資格情報が記載されています。Wi-Fiでインターネットに接続し、デバイスの登録を承認するよう求められます。

MDMプロファイルを作成するには

Samsungのドキュメント「Profile Configuration」に記載されている手順に従います。

次のフィールドまたは手順が見つかったら、説明に従って設定します:

  • Pick your MDM: メニューから [Citrix] を選択します。デバイス所有者プロファイルのみ。
  • MDM Agent APK: デバイス所有者プロファイルのみ。以下のSecure Hub APKダウンロードURLを入力します:https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

    APKファイルは、登録中デバイスがアクセスできるすべてのサーバーで見つけることができます。登録時に、デバイスで以下を実行します:

    • APKダウンロードURLからSecure Hubをダウンロードします。
    • Secure Hubをインストールします。
    • その後、次に説明するカスタムJSONデータでSecure Hubを開きます。

    .apkファイル名での大文字と小文字は、入力したURLと一致している必要があります。たとえば、ファイル名がすべて小文字なら、URLもすべて小文字でなければなりません。

  • MDM Server URI: MDMサーバーのURIを指定しないでください。Endpoint ManagementではSamsung MDMプロトコルは使用されません。
  • [Custom JSON Data]: Secure Hubは、Endpoint Managementサーバーのアドレス、ユーザー名、パスワードを次の形式で指定する必要があります:Secure Hubがユーザーに要求しないように、このデータをJSON形式で提供できます。Secure Hubでは、フィールドがJSONから省略されている場合にのみ、サーバーアドレス、ユーザー名、またはパスワードの入力が求められます。

    カスタムJSONデータの形式は次のとおりです:

    {"serverURL": "URL"}

    この一般的な一括登録の例では、Secure Hubは登録中にユーザーにサーバーアドレスや資格情報を求めません:

    {"serverURL":"https://example.com/zdm"} {"serverURL":"https://pmdm.mycorp-inc.net/zdm"}

    この一般的なキオスクベースのデバイスの例では、Secure Hubはユーザーに資格情報の入力を求めます:

    {"serverURL":"https://example.com/zdm"}

    企業所有デバイスのモードで仕事用プロファイルにデバイスを登録するには、カスタムJSONに{"desiredProvisioningMode":"managedProfile"}を追加します。以下の例を参照してください:

    {"serverURL":"https://example.com/zdm", "desiredProvisioningMode": "managedProfile"}

    JSONを開始するには、次のコードブロックをコピーできます:

         {
             {
                 "serverURL":"URL"
             }
         }
     <!--NeedCopy-->
    

デバイスが登録を開始すると、該当のURLからSecure Hubをダウンロードして、インストールしてから起動します。

Androidのゼロタッチ登録機能を使用してデバイスを登録することもできます。詳しくは、「ゼロタッチ登録」を参照してください。

そのほかの構成

構成について詳しくは、次のSamsungのドキュメントページを参照してください:

バージョン2.4より前のKnox APIでデバイスを登録するには

バージョン2.4より前のKnox APIを使用しているデバイスでは、デバイスの初期セットアップ中には一括登録機能は開始されません。その代わりに、ユーザーが登録を開始する必要があります。そのため、ユーザーはSamsungサイトに移動して、新しいMobile Enrollmentクライアントをダウンロードし、登録を開始する必要があります。

ダウンロードした登録クライアントでは、Knox 2.4/2.4.1デバイスと同様に、Knoxバルク登録ポータルで構成されたMDMプロファイルとAPKを使用します。

通常は、次の手順を実行します:

  1. デバイスをオンにして、Wi-Fiに接続します。Mobile Enrollmentが開始されない、またはWi-Fiが使用できない場合、次の手順を実行してください。

    1. Samsung Knox Mobile Enrollment」にアクセスします。

    2. [Next] ボタンをタップして、デバイスとモバイルデータを登録します。

  2. [Enroll with Knox] が表示されたら、[Continue] をタップします。

  3. ライセンス契約書(表示された場合)を読みます。[次へ] をタップします。

  4. [User ID][Password] を求められた場合、IT管理者によって割り当てられた情報を入力します。

この時点で、ユーザーの認証情報が検証され、デバイスが組織の社内IT環境に登録されます。

Samsungデバイスの生体認証の有効化および無効化

Endpoint Managementは、生体認証として知られている拇印および虹彩のスキャン認証をサポートしています。Samsungデバイスでは、ユーザーが操作することなく生体認証を有効または無効にできます。Endpoint Managementで生体認証を無効にすると、ユーザーおよびサードパーティ製アプリはこの機能を使用できなくなります。

  1. Endpoint Managementコンソールで、[構成] > [デバイスポリシー] の順にクリックします。[デバイスポリシー] ページが開きます。

  2. [追加] をクリックします。[新しいポリシーの追加] ページが開きます。

  3. [パスコード] をクリックします。[パスコードポリシー情報] ページが開きます。

  4. [ポリシー情報] ペインで、以下の情報を入力します:

    • ポリシー名: ポリシーの説明的な名前を入力します。
    • 説明: 任意で、ポリシーの説明を入力します。
  5. [次へ] をクリックします。[プラットフォーム] ページが開きます。

  6. [プラットフォーム] で、[Android] または [Samsung Knox] を選択します。

  7. [生体認証の構成][オン] に設定します。

  8. [Android] を選択している場合、[Samsung SAFE][指紋を許可][虹彩を許可] のいずれかまたは両方を選択します。

    [生体認証の構成]オプション

Samsung Knoxの一括登録