Product Documentation

XenMobileでのAndroid for Workによるデバイスの管理

Oct 25, 2016

Android for Workは、Android 5.0以降を実行するAndroidデバイスで使用できる安全なワークスペースであり、ビジネス用のアカウント、アプリ、データを個人用のアカウント、アプリ、データから分離します。 XenMobileでは、ユーザーにデバイスに個別のワークプロファイルを作成させることで、BYOD(Bring Your Own Device)と会社が所有するAndroidデバイスの両方を管理できます。このワークプロファイルと、ハードウェア暗号化、管理者が展開するポリシーを組み合わせることで、会社用の領域と個人用の領域がデバイス上で安全に分割されます。 会社用のすべてのポリシー、アプリ、およびデータをリモートで管理でき、ユーザーの個人用の領域に影響を与えずにデバイスからポリシー、アプリ、およびデータをワイプできます。 サポートされているAndroidデバイスについて詳しくは、Googleのデバイスのページを参照してください。

XenMobileでは、Android 4.0~4.4を実行するデバイスを管理することもできます。そのためには、Android 5.0以降を実行するデバイスで作成されたワークスペースと同等の機能を提供するAndroid for Workアプリのダウンロードとインストールをユーザーに実行させます。

Google Play for Workを使用して、アプリを追加、購入、および承認し、デバイスのAndroid for Workワークスペースに展開します。 Google Play for Workを使用してプライベートなAndroidアプリ、パブリックアプリ、およびサードパーティアプリを公開することができます。 Android for Work用にパブリックアプリケーションストアの有料アプリをXenMobileに追加するときに、一括購入ライセンスの状態(使用できるライセンス数の合計、現在使用中のライセンス数、ライセンスを使用している各ユーザーのメールアドレス)を確認できます。 詳しくは、「XenMobileへのパブリックアプリケーションストアのアプリケーションの追加」を参照してください。

Android for Workの要件

  • パブリックにアクセスできるドメイン
  • Google管理者アカウント
  • 管理プロファイル サポート実装のAndroid 5.0以上のLollipopを実行するデバイス、またはAndroid for Workアプリ実装のAndroid 4.0~4.4(Ice Cream Sandwich、Jelly Bean、およびKitKat)を実行するデバイス
  • ユーザーの個人用プロファイルにGoogle PlayがインストールされたGoogleアカウント
  • デバイスで設定されたワークプロファイル

Android for Workアプリ制限を設定するには、次の手順を実行する必要があります。

  • GoogleのAndroid for Work設定タスクを完了します。
  • 一連のGoogle Play資格情報を作成します。
  • Android for Workサーバー設定を構成します。
  • 少なくとも1つAndroid for Workデバイスポリシーを作成します。
  • Google Play for WorkアプリストアでAndroid for Workアプリを追加、購入、および承認します。

Android for Workを管理する場合は、次のリンクを使用できます。

Android for Workの前提条件

XenMobileでAndroid for Workを管理するには、以下の作業が必要です。

  • Android for Workアカウントの作成
  • サービスアカウントのセットアップ
  • Android for Work証明書のダウンロード
  • Google Admin SDKおよびMDM APIの有効化。
  • ディレクトリとGoogle Playを使用するためのサービスアカウントの承認。
  • バインドトークンを入手します。 

次のセクションでは、このそれぞれのタスクの実行方法を説明します。 これらのタスクを完了すると、XenMobileで一連のGoogle Play資格情報を作成し、Android for Work設定を構成して、Android for Workアプリを管理できます。

警告

サードパーティの既知の問題が存在することから、XenMobileコンソールを使用してAndroid for Workを有効にできない場合があります。 この問題の詳細と、回避策としてのサーバープロパティの構成方法については、「XenMobile Server 10.3の既知の問題」の#615118を参照してください。  

Android for Workアカウントの作成

Android for Workアカウントを構成する前に、以下の前提条件を満たす必要があります。

  • ドメイン名(たとえば、example.com)を所有している必要があります。
  • Googleにドメインの所有権を検証させる必要があります。
  • EMM(Enterprise Mobility Management:エンタープライズモビリティ管理)プロバイダー(XenMobile 10.1以降)を介して、Android for Workを有効化し、管理する必要があります。

ドメイン名がすでにGoogleで検証済みの場合は、「Android for Workサービスアカウントの設定とAndroid for Work証明書のダウンロード」の手順をスキップできます。

以下のページが表示されるので、管理者情報と会社情報を入力します。

localized image

2.管理者のユーザー情報を入力します。

localized image

3.会社情報と管理者アカウント情報を入力します。

localized image

プロセスの最初の手順が完了します。以下のページが開きます。

localized image

ドメイン所有権の検証

ここで、Googleにドメインの検証を許可する必要があります。 ドメインの検証方法には3つあります。ドメインホストのWebサイトにTXTまたはCNAMEレコードを追加するか、ドメインのWebサーバーにHTMLファイルをアップロードするか、タグをホームページに追加します。 Googleでは最初の方法を推奨しています。 ドメインの所有権を検証する手順についてはこの記事では扱いませんが、必要な情報はhttps://support.google.com/a/answer/6095407/に記載されています。

1. [Start]をクリックして、ドメインの検証を開始します。 [Verify domain ownership]ページが開きます。 画面の指示に従ってドメインを検証します。

2. 完了したら、[Vetiry]をクリックします。

localized image
localized image

3. Googleによってドメイン所有権が検証されます。

localized image

4.検証が成功すると、次のページが開きます。 [続ける]をクリックします。

localized image

5. Citrixに提供しAndroid for Work設定を構成するときに使用するEMMバインドトークンが、Googleによって作成されます。 トークンをコピーして保存します。後でセットアップ中に必要になります。

localized image

6.[Finish]をクリックしてAndroid for Workの設定を完了します。

localized image

Android for Workサービスアカウントを作成すると、Google AdminコンソールにログオンしてAndroid for Workのモビリティ管理設定を管理できます。

Android for Workサービスアカウントの設定とAndroid for Work証明書のダウンロード

XenMobileからGoogle PlayサービスおよびDirectoryサービスにアクセスできるようにするには、Googleのデベロッパー用プロジェクトポータルを使用して新しいサービスアカウントを作成する必要があります。 このサービスアカウントは、XenMobileとAndroid for Work用のGoogleの各種サービスのサーバー間通信で使用します。 使用されている承認プロトコルについて詳しくは、https://developers.google.com/identity/protocols/OAuth2ServiceAccountを参照してください。

1. Webブラウザーでhttps://console.cloud.google.com/projectを開いて、Google管理者の資格情報でログオンします。 

2. [Projects]の一覧で、[Create Project]をクリックします。  

localized image

3. [Project name]ボックスに、プロジェクトの名前を入力します。 

localized image

4. [Dashboard]ページで、[Use Google APIs]をクリックします。

localized image

5. [Google APIs]ページの[Search]ボックスに「EMM」と入力し、その検索結果をクリックします。

localized image

6. [Overview]ページで、[Enable]をクリックします。

localized image

7. [Google Play EMM API]の横にある[Go to Credentials]をクリックします。

localized image

8. [Add credentials to our project]の一覧の手順1で、[service account]をクリックします。

localized image

9. [Service Accounts]ページで、[Create Service Account]をクリックします。

localized image

10. [Create service account]で、[Furnish a new private key]チェックボックスをオンにし、[P12]を選択します。[Enable Google Apps Domain-wide Delegation]チェックボックスをオンにして、[Create]をクリックします。

localized image

証明書(P12ファイル)がコンピューターにダウンロードされます。 証明書を安全な場所に保存してください。

11. [Service account created]確認画面で、[Close]をクリックします。 

localized image

12. [Permissions]ページで[Service accounts]をクリックし、サービスアカウントの[Options]の下で、[View Client ID]をクリックします。 

localized image

13. Google管理コンソールでアカウントの承認に必要になる詳細情報が表示されます。 [Client ID][Service account ID]を、後でこの情報を引き出せる場所にコピーします。 この情報は、ドメイン名と共に、ホワイトリスト作成の目的でCitrixサポートに送信する際に必要になります。

localized image

14.  自分のドメインのGoogle管理コンソールを開き、[Security]をクリックします。

localized image

15. [Android for Work settings]をクリックします。

localized image

16. [Client Name]ボックスに前の手順で保存したクライアントIDを入力し、[One or More API Scopes]ボックスに「https://www.googleapis.com/auth/admin.directory.user」と入力して、[Authorize]をクリックします。

localized image

EMMへのバインド

XenMobileを使用してAndroid for Workデバイスを管理するには、Citrixテクニカルサポート(https://www.citrix.com/contact/technical-support.html)にドメイン名、サービスアカウント、および バインド トークンを伝える必要があります。 CitrixはトークンをEMM(Enterprise Mobility Management:エンタープライズモビリティ管理)プロバイダーとしてのXenMobileにバインドします。

1. バインドを確認するには、Google Adminポータルにログオンして[Security]をクリックします。

2. [Android for Work settings]をクリックします。 Google Android for WorkアカウントがEMMプロバイダーとしてのCitrixにバインドされていることが表示されます。

localized image

トークンのバインドを確認した後で、XenMobileを使用してAndroid for Workデバイオスの管理を開始できます。 手順14.で生成したP12証明書をインポートし、Android for Workサーバー設定をセットアップし、SAMLベースのシングルサインオンを有効化し、少なくとも1つAndroid for Workデバイスポリシーを定義する必要があります。 

P12証明書のインポート

以下の手順に従ってAndroid for WorkのP12証明書をインポートします。

1. XenMobileコンソールにログオンします。

2. コンソールの右上にある歯車アイコンをクリックして[Settings]ページを開き、[Certificates]をクリックします。 [Certificates]ページが開きます。

localized image

3. [Import]をクリックします。 [Import]ダイアログボックスが開きます。 

localized image

次の設定を構成します。

  • Import:ボックスの一覧から、[Keystore]を選択します。
  • Keystore type:ボックスの一覧から、[PKCS#12]を選択します。
  • Use as:ボックスの一覧から、[Server]を選択します。
  • Keystore file[Browse]をクリックして、P12証明書を選択します。
  • Password: キーストア のパスワードを入力します。
  • Description:任意で、証明書の説明を入力します。

4. [Import]をクリックします。

Android for Workサーバー設定のセットアップ

1. XenMobileコンソールで、右上の歯車アイコンをクリックします。 [Settings]ページが開きます。

2. [Server]の下の[Android for Work]をクリックします。 [Android for Work]ページが開きます。

localized image

次の設定を構成します。

  • Domain name:Android for Workのドメイン名を入力します(例:domain.com)。
  • Domain Admin Account:ドメイン管理者のユーザー名を入力します(例:Google Developer Portalで使用しているメールアカウント)。
  • Service Account ID:サービスアカウントIDを入力します(例:Google Service Accountに関連付けられたメールアドレス(serviceaccountemail@xxxxxxxxx.iam.gserviceaccount.com))。
  • Enable Android for Work:クリックして、Android for Workを有効または無効にします。

3. [Save]をクリックします。

SAMLベースのシングルサインオンの有効化

1. XenMobileコンソールにログオンします。

2. コンソールの右上にある歯車アイコンをクリックします。 [Settings]ページが開きます。

3. [Certificates]をクリックします。 [Certificates]ページが開きます。

localized image

3. 証明書の一覧から、SAML証明書を選択します。

4. [Export]をクリックして証明書をコンピューターに保存します。

5. Google Adminポータル(https://admin.google.com)にAndroid for Work管理者の資格情報でログオンします。

6. [Security]をクリックします。

localized image

7. [Security]の下の[Set up single sign-on(SSO)]をクリックして以下の設定を構成します。

localized image
  • Sign-in page URL:お使いのシステムおよびGoogle Appsに 設定して、 URLを入力します。 次に例を示します。 https:///aw/saml/signin。
  • Sign-out page URL:ユーザーが サインアウト時にリダイレクトされるURLを入力します。 次に例を示します。 https:///aw/saml/signout.
  • Change password URL:ユーザーがシステム内でパスワードを変更するときにアクセスするURLを入力します。 次に例を示します。 https:///aw/saml/changepassword。 ここで定義すると、SSOが利用できないときにもユーザーにこのURLが表示されます。
  • Verification certificate:[CHOOSE FILE]をクリックして、XenMobileからエクスポートされたSAML証明書を選択します。

8. [SAVE CHANGES]をクリックします。

Android for Workデバイスポリシーのセットアップ

望ましい任意のデバイスポリシーをセットアップできますが、パスコードポリシーをセットアップして、ユーザーが初めて登録するときにデバイスでのパスコード設定を必須にすることをお勧めします。 

localized image

デバイスポリシーの基本的なセットアップ手順は以下のとおりです。

1. XenMobileコンソールにログオンします。

2. [Configure]>[Device Policies]をクリックします。

3. [Add]をクリックして、[Add a New Policy]ダイアログボックスから追加するポリシーを選択します。この例では[Passcode]をクリックします。

4. [Policy Information]ページに入力します。

5. [Android for Work]をクリックしてポリシーの設定を構成します。

6. ポリシーをデリバリーグループに割り当てます。

Android for Workで使用できるその他のデバイスポリシーの設定について詳しくは、「プラットフォーム別のXenMobileデバイスポリシー」を参照してください。