導入ガイド:Citrix Endpoint Management を使用したAndroidデバイス管理者からAndroid Enterpriseへの移行

はじめに

Android Enterpriseは、GoogleがAndroidデバイス用のエンタープライズ管理ソリューションとして提供するツールとサービスのセットです。Android Enterprise では、Citrix Endpoint Management(CEM)を使用して、企業所有のAndroidデバイスを管理し、独自の(BYOD)Androidデバイスを持ち込むことができます。 デバイス全体を管理することも、デバイス上の個別のプロファイルを管理することもできます。この個別のプロファイルでは、ビジネス用のアカウント、アプリ、データが個人のアカウント、アプリ、データと分離されています。在庫管理など、特定目的専用のデバイスを管理することもできます。

Google の Android Enterprise 機能の概要については、 Android Enterprise 管理を参照してください

Android Enterprise する以前は、企業はデバイス管理者(DA)を使用してAndroidデバイスを管理および保護していました。組織のニーズの変化に伴い、デバイスはこれまで以上に多くの企業データと機密データにアクセスしています。同時に、エンドユーザーは個人データの保護を必要とし、そのプライバシーを懸念しています。これでGoogleはAndroid Enterprise、セキュリティとユーザーのプライバシーに焦点を当てた最新の管理プラットフォームのために有利なデバイス管理者(DA)モードの廃止を発表しました。Google では、デバイス管理者 (DA) の廃止により、デバイス管理者モードを使用しているお客様が Android Enterprise に移行することを推奨しています。

このガイドは、管理された Google Play アカウントを使用して、従来のデバイス管理者の Android 展開から Android Enterprise に移行する方法について、段階的に説明することを目的としています。

詳細については、 Android Enterprise 移行ブルーブックを参照してください

Android Enterprise を使用するための前提条件

Android Enterprise を使用するために CEM を管理された Google Play と統合すると、エンタープライズが作成されます。Google では、エンタープライズを Android エンタープライズ組織とエンタープライズモバイル管理 (EMM) ソリューションとの間の拘束力として定義しています。このプロセスの一環として、CitrixをEMMプロバイダとして登録する必要があります。組織が EMM ソリューションを通じて管理するすべてのユーザーとデバイスは、作成されたエンタープライズに属します。

G-Suite アカウントを使用していない場合は、エンタープライズ登録を完了するには、個人/企業共有の Google アカウントが必要です。その後、このアカウントはこの企業を担当し、メインマネージドの Google Play アカウントになります。詳細については、 次のリンクを参照してください

G-Suiteおよび個人/企業共有アカウントは無料です。管理対象 Google Play アカウントと管理対象 Google アカウントの主な違いは、管理された Google アカウントが G-Suite サブスクリプションに基づいており、ドメインの所有権を証明する必要があることです。 次のリンクを参照してください

このエンタープライズを作成するためにすぐに利用できる Google アカウントがない場合は、 次の手順と前提条件に従ってアカウントを作成します

Citrix Endpoint Management(CEM)管理者の場合、管理対象のGoogle Play は、企業向けに設計されたGoogle Play のユーザーエクスペリエンスとアプリストア機能を組み合わせたものです。

管理された Google Play は、管理者が管理および制御するエンドユーザー向けのストアを提供します。

Android Enterprise ズのアクティベーション

組織のAndroid Enterpriseをセットアップするには、管理対象Google PlayからCitrixをEMMプロバイダーとして登録します。このセットアップを完了すると、管理対象のGoogle Play とCitrix Endpoint Management に接続するエンタープライズが作成されます。

Google Play インフラストラクチャは、管理されたプライベートエンタープライズアプリ配信ストアを含むサービスを提供するために使用されます。Google Play は、デバイスプロフィールが住んでいる場所でもあります。良いニュースは、セットアップがかなり簡単であるということです。

Android Enterpriseのアクティベーションを行うには、 CEM 設定に移動し、[ Android Enterprise ] を選択し、指示に従います。

da-to-ae-migration-Image-01

注: Endpoint Management のバージョンに応じて、Android Enterprise アカウントの作成に使用するメニューの種類が異なります。すべてのバージョンで、コンソールに Android Enterprise ID が追加されます。

da-to-ae-migration-Image-01

[Android Enterprise を有効にする ] を選択します。

注: Android レガシーモードで登録プロファイルをすでに使用している場合は、次のメッセージが表示されます。

da-to-ae-migration-Image-01

Android Enterprise 用の構成登録プロファイル

Citrix Endpoint Management とXenMobile バージョン10.12以降では、いくつかの登録プロファイルがあります。Endpoint Management展開でAndroid Enterpriseが有効になっている場合、登録プロファイルによってAndroidデバイスの登録方法が制御されます。 登録プロファイルによって、AndroidデバイスがAndroid Enterpriseデバイスまたは従来の(デバイス管理者)デバイスのどちらで登録されるかが決まります。

これらのプロファイルを使用すると、管理者は Android Enterprise への簡単な移行を開始できます。すべての Android Enterprise 管理プロファイルを完全にサポートできます。

  • 完全に管理されたデバイス
  • 専用デバイス(COSUデバイス)
  • 仕事用プロファイルを持つ完全に管理されたデバイス (Cope デバイス)

注: クラウド展開では、仕事用プロファイルとその他のモードを区別するためのオプションが増えています。RBACは専用デバイスのセットアップにも必要ありません

オンプレミス展開にはこのオプションはありません。専用デバイスのセットアップには RBAC を使用する必要があります。オンプレミス展開では、専用デバイスの登録プロファイル内のオプションも提供されません。詳細については、 以下を参照してください

登録プロファイルの詳細については、 リンクを参照してください

注: Android 11では、このすべてが変更されようとしています。詳細については、 Android Enterpriseの完全管理型仕事用プロファイルの今後の変更点をご覧ください

da-to-ae-migration-Image-01

登録プロファイルを作成するときは、デリバリーグループを割り当てる必要があります。異なる登録プロファイルを持つ複数のデリバリーグループにユーザーが属している場合、デリバリーグループの名前によって、使用される登録プロファイルが決まります。

デリバリーグループの競合で、アルファベット順のデリバリーグループのリストの最後に表示されるデリバリーグループを選択します。詳細については、「 登録プロファイル」を参照してください。

重要: 複数のデリバリーグループに属するユーザーがいる場合は、現時点では新しい登録プロファイルをどのデリバリーグループにも割り当てないでください。

Android Enterprise で使用するデリバリーグループの作成

開始する最良の方法は、既存のデリバリーグループをコピーして、Android Enterprise 登録プロファイルに関連付けることです。

  • 手順 1: 新しいデリバリーグループに名前を付ける
    • 必ずアルファベット順に名前を付けます。例 zTestUserGroup
  • 手順 2: 新しいデリバリーグループを新しい登録プロファイルに割り当てる
    • 設定が完了するまで、デリバリーグループにADグループを割り当てないでください

移行アプリ

Android Enterpriseユーザー向けの生産性モバイルアプリ

CEMではさまざまな種類のアプリケーションがサポートされていますが、この移行シナリオでは、Secure Mailを移行する方法について説明します。

  • 手順 1: 既存の iOS および Android レガシーアプリ用のアプリカテゴリを作成する

    da-to-ae-migration-Image-01

  • ステップ2:Android(レガシーDA)用に構成されたCitrix Secure Mailをこの新しいカテゴリに移動して、Android(レガシーDA)アプリケーションを明確に分離します。: このアクションは、環境内のすべての Android (レガシー DA) アプリケーションに対して実行する必要があります。

  • ステップ3:Secure Mail Android(レガシーDA)を次の展開ルールで編集して、Secure Hub 内にアプリが2回表示されないようにする(1:Android(レガシーDA)2:Android Enterprise)

da-to-ae-migration-Image-01

既知のデバイスプロパティ名で制限する Android Enterprise 対応デバイス ID が true と等しくない

注: この値は、Android Enterprise デバイスをすでに登録している場合にのみ使用できます。

  • 手順 4: Secure Mail for Android Enterprise 用の2番目のカテゴリを作成します。 注: このアクションは、環境内のすべてのAndroid Enterprise アプリケーションに対して実行する必要があります。

  • 手順 5: Android Enterprise セキュリティで保護された構成
  • 例:Securemail_AE
    • アプリを [Android Enterprise] カテゴリに割り当てます。
    • Android Enterprise でのみ使用するようにアプリを設定します。
    • CEM コンソールで Google Play のワークストアでアプリを承認します。
    • アプリをデリバリーグループに割り当てて、Android Enterprise 登録プロファイル内で使用します。
  • ステップ6:AndroidAndroid Enterprise セクションで、以前のバージョンのSecure Mail Android(レガシーDA)と一致するようにアプリのポリシーとアクションを編集します。

エンタープライズアプリケーションの公開(MDXおよびMDX以外)

非公開で開発されたラップアプリケーションまたはエンタープライズアプリケーションを使用していない場合は、このセクションを省略できます。 ここをクリックして次のセクションに進んでください

Android Enterprise エンタープライズで使用するには、すべてのエンタープライズアプリを Google Play にアップロードする必要があります。 IT管理者のアプリ管理ワークフローを簡素化するために、 管理対象Google Play iframeをCitrix Endpoint Management(CEM)に統合しました。これにより、IT 管理者は CEM コンソール内からパブリックまたはプライベートアプリケーションを承認および公開できます。管理者は、アプリを承認または公開するために、コンソールからマネージドプレイポータルまたはデベロッパーポータルに移動する必要がなくなりました。 このiFrameを使用すると、Googleデベロッパーアカウントを作成せずにGoogle Playにアップロードすることができます($25節約)。IT 管理者によってエンタープライズアプリがアップロードされると、エンタープライズ展開内でのみ使用できます。

プライベートエンタープライズアプリを Android Enterprise アプリとして追加 (MDX 以外)

Endpoint Management コンソールで、[構成]>[アプリ]の順にクリックし、[エンタープライズアプリ]を選択し、apkをアップロードします。アップロードボタンをクリックすると、管理されている Google Play ストアが開きます。

da-to-ae-migration-Image-01

プライベートの Android Enterprise アプリを MDX ラップエンタープライズアプリとして追加

コマンドラインツールキットを使用して、プライベートAEアプリをMDX Toolkitでラップします。 あなたの出力は次のとおりです。

a. ラップされた.apk(元のapkより大きいサイズ)

b. .mdx ファイル

  • .apkをGoogle Play にアップロードする(上記の非MDXアプリに似ています)
  • MDXアプリを公開し 、MDXファイルをアップロードします

詳細とラッピング例については

正しいデバイスタイプ Android(レガシー DA)および Android Enterprise(AE)の既存のポリシーの編集

Android EnterpriseとAndroid(レガシー DA)で有効なデバイスを区別するために、展開ルールを使用して、アプリとともに正しいポリシーが正しいデバイスに配信されるようにします。Android(レガシー DA)の場合:既知のデバイスプロパティ名で制限する Android Enterprise 対応デバイス?真に等しくない

この展開規則は、Android デバイスが Android Enterprise に対して有効になっていないかどうかをチェックし 、アプリケーションとともにポリシーを提供します。

da-to-ae-migration-Image-01

この展開規則は、Android デバイスが Android Enterprise で有効になっているかどうかをチェックし、アプリケーションとともにポリシーを提供します。

da-to-ae-migration-Image-01

テストとレビュー

テストするには、Android Enterprise 用に最近作成したデリバリーグループにActive Directory グループを割り当てます。既存のデリバリーグループで以前に使用したのと同じ広告グループを使用します。

ユーザーのデバイスを再登録して、Android Enterprise 登録プロセスを開始します。Android Enterprise ズの新しいルックアンドフィールに注意してください

デバイスの登録を解除して再登録する

ユーザーはSecure Hub内から登録解除できます。 詳細な指示に従ってください

このガイドでは、仕事用プロファイルの所有者モードを使用しているため、デバイスを新規または工場出荷時の状態にリセットする必要はありません。

da-to-ae-migration-Image-01

これで、端末が Android Enterprise が有効になりました。

CEM コンソールから、[管理]、[デバイス] の順に選択し、Android Enterprise が有効になっているデバイスの概要を確認します。

da-to-ae-migration-Image-01

再登録に成功すると、1 つの Android(レガシー DA)と他の Android Enterprise の 2 つのデバイスが表示されます。 以前にリストされたAndroid(レガシー DA)デバイスを削除して、最新のデバイスリストを確認することができます。

導入ガイド:Citrix Endpoint Management を使用したAndroidデバイス管理者からAndroid Enterpriseへの移行