Samsung

Samsungは、Citrix Endpoint Managementと互換性のあるいくつかのソリューションを提供しています。

  • Endpoint Managementは、Samsung for Enterprise(SAFE)ポリシーとKnoxポリシーの両方を、互換性のあるSamsungデバイスでサポートし、拡張しています。
  • Knoxには、SE for Android Management Service(SEAMS)が含まれます。SEAMSは、SamsungセキュリティポリシーエンジンをAPIレベルで制御します。
  • Enterprise機能向けのKnox Platformの一部をサポートする、アプリのKnox Serviceプラグイン(KSP)

AndroidデバイスがEndpoint Managementサービスに接続する方法とタイミングを制御するには、Firebase Cloud Messaging(FCM)を使用します。詳しくは、「Firebase Cloud Messaging」を参照してください。

Endpoint Managementは、AndroidデバイスをMDM+MAMモードまたはMDMモードに登録します。ユーザーは、任意でMAMのみモードで登録することもできます。Endpoint Managementは、MDM+MAMモードのAndroidデバイスに対して、次の種類の認証をサポートします。詳しくは、「証明書と認証」を参照してください。

  • ドメイン
  • ドメイン+セキュリティトークン
  • クライアント証明書
  • クライアント証明書およびドメイン
  • IDプロバイダー:
    • Azure Active Directory
    • Citrix IDプロバイダー

使用頻度が少ない別の認証方法には、クライアント証明書とセキュリティトークンの組み合わせがあります。詳しくは、「https://support.citrix.com/article/CTX215200」を参照してください。

Androidデバイスの管理を開始するための一般的なワークフローは次のとおりです:

  1. オンボーディングプロセスの完了。オンボードとリソースのセットアップおよびデバイス登録とリソース配信の準備を参照してください。

  2. 登録方法の選択と構成。「サポートされている登録方法」を参照してください。

  3. Samsungライセンスキーの展開をします。

  4. Knox構成証明の有効化をします。

  5. Samsungデバイスポリシーの構成をします。

  6. デバイスとアプリのセキュリティ操作の設定。「セキュリティ操作」を参照してください。

サポートされるオペレーティングシステムについては、「サポートされるデバイスオペレーティングシステム」を参照してください。

サポートされている登録方法

次の表は、AndroidデバイスでサポートされているEndpoint Managementでの登録方法を示しています:

方法 サポートされているか
一括登録 はい(Knox)
手動登録 はい
登録招待 はい

Knox Mobile Enrollmentを使用すると、複数のKnoxデバイスをEndpoint Management(または、その他のモバイルデバイスマネージャー)に登録する場合に、各デバイスを手動で構成する必要がありません。詳しくは、「Knoxの一括登録」を参照してください。

デバイスの登録について詳しくは、「Androidデバイスの登録」を参照してください。

Samsungライセンスキーの展開

Samsungには、Enterprise License Management(ELM)キーおよびKnox License Management(KLM)キーがあります。Samsungライセンスは、Samsungから購入します。

  • Knox:KnoxプラットフォームではKnox Workspaceライセンスの購入が必要です。Knox APIを有効にし、Knoxポリシーと制限をデバイスに展開するには、まずEndpoint ManagementデバイスポリシーであるSamsung MDMライセンスキーを設定します。Knoxをアクティブ化するには、Knox専用の制限デバイスポリシーを、ELMおよびKLMSキーとともに少なくとも1つプッシュする必要があります。

    HTC固有のポリシーについては、Endpoint ManagementはHTC APIバージョン0.5.0をサポートします。Sony固有のポリシーについては、Endpoint ManagementはSony Enterprise SDK 2.0をサポートします。

  • SAFE:SAFEポリシーと制限を展開する前に、組み込みのSamsung ELMキーをデバイスに展開します。このキーを展開するには、Endpoint Managementデバイスポリシーである、Samsung MDMライセンスキーを設定します。

Samsung Enterprise Firmware-Over-The-Air(E-FOTA)サービス

Endpoint Managementは、Samsung Enterprise Firmware-Over-The-Air(E-FOTA)サービスもサポートしています。Samsung E-FOTAを使用すると、デバイスが更新されるタイミングや使用するファームウェアのバージョンを決定し、展開する前に更新プログラムをテストできます。詳しくは、「Samsung E-FOTAの設定の構成」を参照してください。

Knox構成証明の有効化

Endpoint Managementを構成して、Knox認証サーバーREST APIに対するクエリを実行できます。

Knoxは、オペレーティングシステムとアプリケーションを複数レベルで保護する、ハードウェアセキュリティ機能を利用します。このセキュリティの1つのレベルは、認証を通じてプラットフォームに存在します。認証サーバーは、モバイルデバイスのコアシステムソフトウェア(ブートローダーやカーネルなど)の検証を提供します。検証は、信頼できる起動時に収集されるデータに基づいて、実行時に行われます。

  1. Endpoint Management Webコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [Samsung Knox] をクリックします。

    Knoxのページの画像

  3. [Samsung Knox構成証明を有効にする][はい] に設定してKnox構成証明を有効にします。デフォルトは [いいえ] です。

  4. [WebサービスURL] 一覧で、次のいずれかの操作を行います:

    • 適切な認証サーバーを選択します。

    • [新規追加] を選択して、WebサービスURLを入力します。

  5. [接続のテスト] をクリックして、接続を検証します。成功、または失敗のメッセージが表示されます。

  6. [Save] をクリックします。

Samsungデバイスポリシーの構成

Knoxのデバイスポリシー:

     
アプリ制限 アプリのアンインストール Webブラウザー
Samsungコンテナへのアプリのコピー 交換 Knox Platform for Enterpriseキー
パスコード 制限 Samsung MDMライセンスキー
VPN    

Samsung SAFEのデバイスポリシー:

     
アプリのアンインストール制限 Webブラウザー 交換
ファイアウォール キオスク Knox Platform for Enterprise
OS更新 制限 Samsung MDMライセンスキー
ストレージ暗号化 VPN  

Samsung SEAMSのデバイスポリシー:

     
Samsungコンテナへのアプリのコピー    

セキュリティ操作

Androidは、以下のセキュリティ操作をサポートしています。各セキュリティ操作の説明については、「セキュリティ操作」を参照してください。

     
アプリのロック アプリのワイプ 証明書の書き換え
フルワイプ 検索 ロック
パスワードのロックとリセット 通知 取り消し
選択的なワイプ    

注:

Android 6.0以降を実行するデバイスの場合、検索セキュリティ操作には、登録時にユーザーによって検索の権限が付与される必要があります。ユーザーは、検索の権限を付与しないことを選択できます。登録時にユーザーによって権限が付与されないと、Endpoint Managementは検索コマンドの送信時に再度検索の権限を要求します。

Knoxサービスのプラグインアプリの追加

Android EnterpriseでKnoxを使用する予定の場合は、Endpoint ManagementにKnoxサービスのプラグインを追加してください。KSPアプリはAndroidOEMConfigを使用して、セキュリティポリシー、柔軟なVPN設定、生体認証制御などの機能をサポートします。AndroidOEMConfigにより、OEMとエンドポイントモビリティ管理(EMM)が有効になり、Android Enterpriseではサポートされていないユースケースに対応するカスタムOEM APIがサポートされます。KSPについて詳しくは、「Samsungのドキュメント」を参照してください。

  1. Googleアカウントにログインして、https://play.google.com/work/apps/details?id=com.samsung.android.knox.kpuに移動します。アプリを承認します。
  2. Endpoint Managementコンソールにログインして、パブリックアプリストアのアプリとして、Knoxサービスプラグインを追加します。パブリックアプリストアのアプリの追加について詳しくは、「 パブリックアプリストアのアプリの追加」を参照してください。 KSPアプリの画像
  3. Endpoint Managementコンソールで、[構成]>[デバイスポリシー] に移動します。[追加] をクリックします。
  4. [Android Enterprise管理対象の構成] をクリックします。表示されたダイアログボックスで、メニューから [Knoxサービスプラグイン] を選択します。Android Enterpriseの管理対象構成ポリシーについて詳しくは、「Android Enterprise管理対象の構成ポリシー」を参照してください。
  5. ポリシーの名前を入力して、プラットフォームのページに進みます。 Android Enterprise管理対象構成のKnoxサービスプラグインポリシーの画像
  6. プラットフォームのページで、Knoxプロファイルの [プロファイル名] と、Samsungの [KPEプレミアムライセンスキー] を入力します。これらのフィールドの下に表示されるポリシーは、ご使用のKnoxの展開によって変わります。Knoxポリシーについて詳しくは、https://docs.samsungknox.com/knox-platform-for-enterprise/admin-guide/about-knox-workspace.htmを参照してください。 ポリシーピッカーの画像
  7. [次へ] をクリックして、ポリシーの展開規則を構成します。
  8. [保存] をクリックします。