Samsung KNOX、SEAMS、SAFE

Endpoint ManagementはSamsung for Enterprise(SAFE)ポリシーとSamsung KNOXポリシーの両方を互換性のあるSamsungデバイスでサポートし、拡張しています。Samsung KNOXには、SE for Android Management Service(SEAMS)が含まれます。SEAMSは、SamsungセキュリティポリシーエンジンをAPIレベルで制御します。

AndroidデバイスがEndpoint Managementサービスに接続する方法とタイミングを制御するには、Firebase Cloud Messaging(FCM)を使用します。詳しくは、「Firebase Cloud Messaging」を参照してください。

Endpoint Managementは、AndroidデバイスをMDM+MAMモードまたはMDMモードに登録します。ユーザーは、任意でMAMのみモードで登録することもできます。Endpoint Managementは、MDM+MAMモードのAndroidデバイスに対して、次の種類の認証をサポートします。詳しくは、「証明書および認証」を参照してください。

  • ドメイン
  • ドメイン+セキュリティトークン
  • クライアント証明書
  • クライアント証明書およびドメイン
  • IDプロバイダー:
    • Azure Active Directory
    • Citrix IDプロバイダー

使用頻度が少ない別の認証方法には、クライアント証明書とセキュリティトークンの組み合わせがあります。詳しくは、https://support.citrix.com/article/CTX215200を参照してください。

Androidデバイスの管理を開始するための一般的なワークフローは次のとおりです:

  1. オンボーディングプロセスの完了。「オンボードとリソースのセットアップ」と「デバイス登録およびリソース配信の準備」を参照してください。

  2. 登録方法の選択と構成。「サポートされている登録方法」を参照してください。

  3. Samsungライセンスキーを展開します

  4. Samsung KNOX構成証明を有効にします

  5. Samsungデバイスポリシーを構成します

  6. デバイスとアプリのセキュリティ操作の設定。「セキュリティ操作」を参照してください。

サポートされているオペレーティングシステムについては、「サポートされるデバイスオペレーティングシステム」を参照してください。

サポートされている登録方法

次の表は、AndroidデバイスでサポートされているEndpoint Managementでの登録方法を示しています:

方法 サポート
一括登録 はい(KNOX)
手動登録 はい
登録招待 はい

Samsung KNOX Mobile Enrollmentを使用すると、複数のSamsung KNOXデバイスをEndpoint Management(または、その他のモバイルデバイスマネージャー)に登録する場合に、各デバイスを手動で構成する必要がありません。詳しくは、「Samsung KNOXの一括登録」を参照してください。

デバイスの登録について詳しくは、「Androidデバイスの登録」を参照してください。

Samsungライセンスキーの展開

Samsungには、Enterprise License Management(ELM)キーおよびKNOX License Management(KLM)キーがあります。Samsungライセンスは、Samsungから購入します。

  • KNOX:KNOXプラットフォームではSamsung KNOX Workspaceライセンスの購入が必要です。KNOX APIを有効にし、KNOXポリシーと制限をデバイスに展開するには、まずEndpoint ManagementデバイスポリシーであるSamsung MDMライセンスキーを設定します。KNOXをアクティブ化するには、KNOX専用の制限デバイスポリシーを、ELMおよびKLMSキーとともに少なくとも1つプッシュする必要があります。

    HTC固有のポリシーについては、Endpoint ManagementはHTC APIバージョン0.5.0をサポートします。Sony固有のポリシーについては、Endpoint ManagementはSony Enterprise SDK 2.0をサポートします。

  • SAFE:SAFEポリシーと制限を展開する前に、組み込みのSamsung ELMキーをデバイスに展開します。このキーを展開するには、Endpoint Managementデバイスポリシーである、Samsung MDMライセンスキーを設定します。

Samsung Enterprise Firmware-Over-The-Air(E-FOTA)サービス

Endpoint Managementは、Samsung Enterprise Firmware-Over-The-Air(E-FOTA)サービスもサポートしています。Samsung E-FOTAを使用すると、デバイスが更新されるタイミングや使用するファームウェアのバージョンを決定し、展開する前に更新プログラムをテストできます。詳しくは、「Samsung E-FOTAの設定の構成」を参照してください。

Samsung KNOX構成証明の有効化

Endpoint Managementを構成して、Samsung KNOX認証サーバーREST APIに対するクエリを実行できます。

Samsung KNOXは、オペレーティングシステムとアプリケーションを複数レベルで保護する、ハードウェアセキュリティ機能を利用します。このセキュリティの1つのレベルは、認証を通じてプラットフォームに存在します。認証サーバーは、モバイルデバイスのコアシステムソフトウェア(ブートローダーやカーネルなど)の検証を提供します。検証は、信頼できる起動時に収集されるデータに基づいて、実行時に行われます。

  1. Endpoint Management Webコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [Samsung KNOX] をクリックします。

    Samsung KNOXのページの画像

  3. [Samsung KNOX構成証明を有効にする][はい] に設定してSamsung KNOX構成証明を有効にします。デフォルトは [いいえ] です。

  4. [WebサービスURL] 一覧で、次のいずれかの操作を行います:

    • 適切な認証サーバーを選択します。

    • [新規追加] を選択して、WebサービスURLを入力します。

  5. [接続のテスト] をクリックして、接続を検証します。成功、または失敗のメッセージが表示されます。

  6. [保存] をクリックします。

Samsungデバイスポリシーの構成

Samsung KNOXのデバイスポリシー:

     
アプリ制限 アプリのアンインストール Webブラウザー
Samsungコンテナへのアプリのコピー Exchange Knox Platform for Enterpriseキー
パスコード 制限 Samsung MDMライセンスキー
VPN    

Samsung SAFEのデバイスポリシー:

     
アプリのアンインストール制限 Webブラウザー Exchange
ファイアウォール キオスク Knox Platform for Enterprise
OS更新 制限 Samsung MDMライセンスキー
ストレージの暗号化 VPN  

Samsung SEAMSのデバイスポリシー:

     
Samsungコンテナへのアプリのコピー    

セキュリティ操作

Androidは、以下のセキュリティ操作をサポートしています。各セキュリティ操作の説明については、「セキュリティ操作」を参照してください。

     
アプリのロック アプリのワイプ 証明書の書き換え
フルワイプ 検索 ロック
パスワードのロックとリセット 通知 取り消し
選択的なワイプ    

注:

Android 6.0以降を実行するデバイスの場合、検索セキュリティ操作には、登録時にユーザーによって検索の権限が付与される必要があります。ユーザーは、検索の権限を付与しない選択をできます。登録時にユーザーによって権限が付与されないと、Endpoint Managementは検索コマンドの送信時に再度検索の権限を要求します。