XenMobile

Android Enterprise

Android Enterpriseは、GoogleがAndroidデバイス用のエンタープライズ管理ソリューションとして提供するツールとサービスのセットです。Android Enterpriseでは、XenMobileを使用して、企業所有のAndroidデバイスとユーザー所有の(BYOD)Androidデバイスを管理します。デバイス全体を管理することも、デバイス上の個別のプロファイルを管理することもできます。この個別のプロファイルでは、ビジネス用のアカウント、アプリ、データが個人のアカウント、アプリ、データと分離されています。在庫管理など、1度のみの使用専用のデバイスを管理することもできます。GoogleのAndroid Enterprise機能の概要については、「Android Enterpriseの管理」を参照してください。

XenMobileでサポートされているAndroidオペレーティングシステムについては、「サポートされるデバイスオペレーティングシステム」を参照してください。

Android Enterpriseに関連する用語と定義の一覧については、 「Google Android Enterprise開発者ガイド」の「Android Enterpriseの用語」を参照してください。Googleはこれらの用語を頻繁に更新します。

XenMobileをmanaged Google Playと統合してAndroid Enterpriseを使用する場合、エンタープライズを作成します。Googleはエンタープライズを、組織とエンタープライズモバイル管理(EMM)ソリューションとの間のバインディングと定義しています。組織がソリューションを通して管理するすべてのユーザーとデバイスは、そのエンタープライズに属します。

Android Enterpriseのエンタープライズには、EMMソリューション、デバイスポリシーコントローラー(DPC)アプリ、およびGoogleエンタープライズアプリプラットフォームの3つのコンポーネントがあります。XenMobileをAndroid Enterpriseと統合すると、完成されたソリューションには次のコンポーネントが含まれます:

  • XenMobile: Citrix EMM。XenMobileは、安全なデジタルワークスペースのための統合されたXenMobileソリューションです。XenMobileは、IT管理者が組織のデバイスとアプリを管理する手段を提供します。
  • Citrix Secure Hub: Citrix DPCアプリ。Secure Hubは、XenMobileのスタートパッドです。Secure Hubはデバイスにポリシーを適用します。
  • managed Google Play: XenMobileと統合するGoogleエンタープライズアプリプラットフォーム。Google Play EMM APIがアプリポリシーを設定し、アプリを配布します。

次の図に、管理者がこれらのコンポーネントとやり取りする方法と、コンポーネントが互いにやり取りする方法を示します:

画像

XenMobileでのmanaged Google Playの使用

注:

管理対象Google PlayまたはG Suiteを使用して、CitrixをEMMプロバイダーとしてGoogle Playに登録できます。この記事では、管理対象Google PlayでAndroid Enterpriseを使用する方法について説明します。組織がG Suiteを使用してアプリへのアクセスを提供している場合、Android Enterpriseで使用できます。「G Suiteユーザー向けの従来のAndroid Enterprise」を参照してください。

管理対象Google Playを使用する場合、デバイスおよびエンドユーザーに管理対象Google Playアカウントをプロビジョニングします。管理対象Google Playアカウントは、管理対象Google Playへのアクセスを提供し、管理者が利用可能にしたアプリをユーザーがインストールし、使用できるようにします。組織がサードパーティのIDサービスを使用する場合、ビジネス向けGoogle Playアカウントと既存のIDアカウントを関連付けることができます。

この種類のエンタープライズはドメインに関連付けられていないため、1つの組織用に1つまたは複数のエンタープライズを作成できます。たとえば、組織の各部門または各地域は異なるエンタープライズとして登録し、デバイスおよびアプリの個別セットとして管理できます。

XenMobileの管理者のために、managed Google Playでは、Google Playのユーザーエクスペリエンスとアプリストアの機能が、エンタープライズ向けに設計された管理機能セットと組み合わされています。ビジネス向けGoogle Playを使用して、アプリを追加、購入、および承認し、デバイスのAndroid Enterpriseワークスペースに展開します。Google Playを使用してパブリックアプリ、プライベートアプリ、およびサードパーティアプリを展開できます。

管理対象デバイスのユーザーの場合、管理対象Google Playがエンタープライズアプリストアです。ユーザーは、アプリの閲覧、アプリの詳細の表示、アプリのインストールを実行できます。Google Playのパブリックバージョンとは異なり、ユーザーは管理者が利用可能にしたアプリのみをビジネス向けGoogle Playからインストールできます。

デバイス展開シナリオと操作モード

デバイス展開シナリオは、展開するデバイスの所有者とデバイスの管理方法を示します。操作モードは、DPCがデバイスのポリシーを管理および実施する方法を指します。操作モードは、デバイス展開シナリオをサポートします。

仕事用プロファイル:BYODデバイスの展開、プロファイル所有者モード

BYOD展開シナリオでは、従業員が個人所有のデバイスを持ち込み、それらのデバイスを使用して会社の情報やアプリケーションにアクセスできます。

プロファイル所有者操作モードは、BYOD展開をサポートします。企業はDPCを介して、デバイス上のプライマリユーザーアカウントに仕事用プロファイルを追加することにより、個人用デバイスを仕事で使用できるようにします。この仕事用プロファイルでは、ビジネス用のアカウント、アプリ、データが個人のアカウント、アプリ、データと分離されています。仕事用プロファイルはプライマリユーザーに個別のプロファイルとして関連付けられます。DPCはプロファイル所有者としてデバイス上の仕事用プロファイルのみを管理し、仕事用プロファイル以外の制御は制限されています。仕事用プロファイルの詳細については、Google Android Enterpriseのヘルプトピック(仕事用プロファイルとは)を参照してください。

デバイスがXenMobileに登録されると、プロファイル所有者モードが有効になります。DPCはデバイス全体ではなく仕事用プロファイルのみを管理するため、プロファイル所有者モードで登録されたデバイスは、新規または工場出荷時リセットである必要はありません。

プロファイル所有者モードのデバイスは、仕事用プロファイルデバイスとも呼ばれます。プロファイル所有者モードは、仕事用プロファイルモードまたは管理対象プロファイルモードとも呼ばれます。

注:

XenMobileでは、プロファイル所有者モードのZebraデバイスはサポートされません。XenMobileでは、Zebraデバイスは完全に管理されたデバイスとして、およびデバイス従来モード(デバイス管理者モードともいう)でサポートされます。

完全に管理された: 企業所有デバイスの展開、デバイス所有者モード

企業所有の展開シナリオでは、エンタープライズが使用するデバイスを所有し、完全に制御します。通常、デバイス全体を厳密に監視および管理する必要がある場合に、組織は企業所有デバイスを展開します。

デバイス所有者操作モードは、企業所有の展開をサポートします。デバイス所有者モードでは、DPCはデバイス全体を管理します。DPCはデバイス所有者として、デバイス全体のアクションを実行できます。デバイス全体の接続の構成、グローバル設定の構成、工場出荷時設定へのリセットなどです。

デバイス所有者モードのデバイスは、完全に管理されたデバイスです。

デバイス所有者モードは、デバイスの初期セットアップ中に有効になります。デバイス所有者モードでXenMobileに登録できるのは、新しいデバイスまたは工場出荷時の状態にリセットされたデバイスのみです。

専用デバイス: 企業所有デバイスの展開、デバイス所有者モード

専用デバイスは、完全に管理されたデバイスです。デバイス所有者モードで実行されている企業所有デバイスです。専用デバイスは、デジタルサイネージ、チケットの印刷、在庫管理などの専用の制限されたアプリセットを提供します。専用デバイスをプロビジョニングする場合、必要なアプリのみを提供し、ユーザーが他のアプリを追加できないようにします。

専用デバイスは、以前は企業所有の単一使用(COSU)デバイスまたはキオスクモードデバイスと呼ばれていました。

仕事用プロファイルで完全に管理されたデバイス:会社所有デバイスの展開、デバイス所有者モード、プロファイル所有者モード

仕事用プロファイルで完全に管理されたデバイスは、仕事用プロファイルを持つ完全に管理されたデバイスです。仕事用プロファイルで完全に管理されたデバイスは、仕事用と個人用の両方を目的とした会社所有のデバイスです。会社はデバイス全体と仕事用プロファイルを管理します。デバイスと仕事用プロファイルに個別のポリシー設定を適用できます。

これらのデバイスは、デバイス所有者モードとプロファイル所有者モードで同時に動作します。これらのデバイスで実行されるDPCの2つのコピー:1つはデバイス所有者モードでデバイスを管理し、もう1つはプロファイル所有者モードで仕事用プロファイルを管理します。

仕事用プロファイルで完全に管理されたデバイスは、COPE(個人使用可能なコーポレート所有)デバイスとも呼ばれていました。

従来のデバイスの展開、従来モード

従来展開シナリオは、5.0より前のAndroidバージョンが実行されているデバイス向けのシナリオです。5.0より前のAndroidバージョンでは、デバイス所有者モードとプロファイル所有者モードはサポートされていません。Androidバージョン5.1では、デバイス所有者モードはサポートされていますが、プロファイル所有者モードはサポートされていません。

従来操作モードはデバイス管理者モードとも呼ばれ、レガシーデバイスの展開をサポートします。従来モードでは、DPCはデバイスの制御が制限されます。DPCは、デバイスのワイプ、パスコードの要求、またはポリシーの実施を行うことができます。従来のデバイスでアプリ管理を提供するには、Google Playを使用して、ユーザーがGoogleアカウントを追加できるようにします。DPCが管理対象Google Playアカウントを従来のデバイスに追加するように設定することもできます。

シトリックスのAndroid 10デバイスでの従来のデバイス管理モードのサポートは、2020年7月に終了します。「廃止」を参照してください。従来モードからデバイス所有者モードまたはプロファイル所有者モードへの移行の詳細については、「Device AdministrationからAndroid Enterpriseへの移行」を参照してください。

注:

シトリックスは、管理対象のGoogle PlayではなくXenMobileやG Suiteを使用してAndroid Enterpriseデバイスを管理するお客様に対しても、従来という用語を使用します。

認証方法

XenMobileは、AndroidデバイスをMDM+MAMモードまたはMDMモードに登録します。ユーザーは、任意でMAM-onlyモードで登録することもできます。XenMobileは、MDM+MAMモードのAndroidデバイスに対して、次の認証方法をサポートします。詳しくは、証明書と認証に関する記事を参照してください。

  • ドメイン
  • ドメイン+セキュリティトークン
  • クライアント証明書
  • クライアント証明書およびドメイン
  • IDプロバイダー:
    • Azure Active Directory
    • Citrix IDプロバイダー

使用頻度が少ない別の認証方法には、クライアント証明書とセキュリティトークンの組み合わせがあります。詳しくは、「https://support.citrix.com/article/CTX215200」を参照してください。

要件

Android Enterpriseの使用を開始するには、以下が必要となります:

  • アカウントと資格情報:

    • 管理対象Google PlayでAndroid Enterpriseをセットアップする場合、企業Googleアカウント
    • 最新のMDXファイルをダウンロードする場合、Citrixカスタマーアカウント
    • プライベートアプリを展開する場合(オプション)、Google開発者アカウント
  • Endpoint Management用に構成されたFirebase Cloud Messaging(FCM)。手順については、「Firebase Cloud Messaging」を参照してください。

  • Samsung Knox Mobile Enrollmentの場合(オプション)、Knoxプレミアムライセンス

XenMobileのGoogle Playへの接続

組織のAndroid Enterpriseをセットアップするには、管理対象Google PlayからCitrixをEMMプロバイダーとして登録します。これにより、managed Google PlayとXenMobileが接続され、XenMobileでAndroid Enterpriseのエンタープライズが作成されます。

Google Playにサインインするための企業Googleアカウントが必要です。

  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [設定] ページで、[Android Enterprise] をクリックします。

Android Enterpriseが強調表示された設定ページ

  1. XenMobile設定の [Android Enterprise] ページで、[接続] をクリックします。Google Playが開きます。

Android EnterpriseからGoogle Playへの接続

  1. 企業Googleアカウントの資格情報でGoogle Playにサインインします。組織名を入力し、CitrixがEMMプロバイダであることを確認します。

  2. Android EnterpriseにエンタープライズIDが追加されます。Android Enterpriseを有効にするには、[Android Enterpriseの有効化][はい] に切り替えます。

    [Android Enterpriseの有効化]オプション

XenMobileコンソールにエンタープライズIDが表示されます。

画像

使用する環境がGoogleに接続され、デバイスを管理する準備ができます。これで、ユーザーにアプリを提供できるようになりました。

XenMobileを使用して、ユーザーにCitrix業務用モバイルアプリ、MDXアプリ、パブリックアプリストアアプリ、WebおよびSaaSアプリ、エンタープライズアプリ、Webリンクを提供できます。これらの種類のアプリとこれらのアプリのユーザーへの提供の詳細については、「アプリの追加」を参照してください。

次のセクションでは、業務用モバイルアプリを提供する方法を示します。

Android EnterpriseユーザーにCitrix業務用モバイルアプリを提供する

Android EnterpriseユーザーにCitrix業務用モバイルアプリを提供するには、以下の手順を実行する必要があります。

  1. 管理対象Google Playストアで、ユーザーに必要なアプリを承認します。「管理対象Google Playでアプリを承認する」を参照してください。

  2. XenMobileコンソールで、アプリをパブリックアプリストアアプリとして公開します。「アプリをパブリックアプリストアアプリとして構成する」を参照してください。

  3. XenMobileコンソールで、同じアプリをMDXアプリとして再度公開し、アプリがMDXポリシーを受信できるようにします。「アプリをMDXアプリとして構成する」を参照してください。

  4. XenMobileコンソールで、ユーザーがデバイス上の仕事用プロファイルにアクセスするために使用するセキュリティ確認のルールを構成します。「セキュリティ確認ポリシーを構成する」を参照してください。

公開するアプリは、Android Enterpriseエンタープライズに登録されているデバイスで利用できます。

管理対象Google Playでアプリを承認する

アプリをXenMobileに追加するには、まずmanaged Google Playストアでアプリを承認します。managed Google Playストアでアプリを承認していない場合、アプリを追加しようとすると、XenMobileコンソールで次のエラーが表示されます:

画像

管理対象Google Playストアにアクセスして、エンタープライズで既に承認されていて利用可能なアプリを確認します。

  1. Googleアカウントの資格情報を使用してhttps://play.google.com/workにログインします。

  2. [マイ管理対象アプリ] をクリックして、ユーザーに対して承認されているすべてのアプリを表示します。

画像

管理対象Google Playストアでアプリを承認するには:

  1. 管理対象Google Playにログインした状態で、承認するアプリを選択します。対象アプリのページに [承認] ボタンが表示されます。

    画像

  2. [承認] をクリックします。

    画像

  3. [承認] を再度クリックします。

  4. [アプリが新しい権限を要求したときには承認を維持する] を選択します。[保存] をクリックします。

    画像

アプリをパブリックアプリストアアプリとして構成する

Citrix FilesをAndroid Enterpriseパブリックアプリストアのアプリとして構成するには:

  1. XenMobileコンソールで、[構成]>[アプリ] をクリックします。[アプリ] ページが開きます。

    アプリ構成画面

  2. [追加] をクリックします。[アプリの追加] ダイアログボックスが開きます。

    アプリ構成画面

  3. [パブリックアプリストア] をクリックします。[アプリ情報] ページが開きます。

  4. [アプリケーション情報] ページで、以下の情報を入力します:

    • 名前: アプリの説明的な名前を入力します。この名前は、[アプリ] の表の [アプリ名] の下に表示されます。
    • 説明: 任意で、アプリの説明を入力します。
    • アプリカテゴリ: 任意で、一覧から、アプリを追加するカテゴリを選択します。アプリカテゴリについて詳しくは、「アプリカテゴリの作成」を参照してください。
  5. [次へ] をクリックします。アプリのプラットフォームページが開きます。

  6. [プラットフォーム][Android Enterprise] を選択します。他のプラットフォームをクリアします。

  7. [Android Enterprise] の下で、アプリのバンドルIDを入力して [検索] をクリックします。アプリIDは、Google PlayストアのアプリのURL内に示されます。

    画像

  8. アプリがGoogle Playストアで承認されていないことがコンソールに表示されている場合、[はい] をクリックしてすぐに承認します。

    画像

  9. アプリを選択して追加します。[次へ] をクリックします。

    画像

  10. このアプリを1つ以上のデリバリーグループに割り当てます。

    画像

  11. [保存] をクリックします。

Citrix Secure MailとCitrix Secure Webでこれらの手順を繰り返します。

アプリをMDXアプリとして構成する

MDXアプリを追加して構成するには:

  1. XenMobileコンソールで、[構成]>[アプリ] をクリックします。[アプリ] ページが開きます。

    アプリ構成画面

  2. [追加] をクリックします。[アプリの追加] ダイアログボックスが開きます。

    アプリ構成画面

  3. [MDX] をクリックします。[アプリ情報] ページが開きます。

  4. ページの左側で、プラットフォームとして [Android Enterprise] を選択します。

  5. [アプリケーション情報] ページで、以下の情報を入力します:

    • 名前: アプリの説明的な名前を入力します。この名前は、[アプリ] の表の [アプリ名] の下に表示されます。
    • 説明: 任意で、アプリの説明を入力します。
    • アプリカテゴリ: 任意で、一覧から、アプリを追加するカテゴリを選択します。アプリカテゴリについて詳しくは、「アプリカテゴリの作成」を参照してください。
  6. [次へ] をクリックします。[Android Enterprise MDXアプリ] ページが開きます。

  7. [アップロード]をクリックします。

    画像

  8. MDXファイルの場所に移動し、インストールするMDXファイルを選択します。ファイルを選択して、[Open] をクリックします。

    画像

  9. 追加されたアプリケーションが、管理対象Google Playストアからの承認を必要としているかどうかがUIによって通知されます。XenMobileコンソールを終了せずにアプリケーションを承認するには、[はい] をクリックします。

    MDXアプリの追加

  10. 管理対象Google Playストアのページが開いたら、[承認] をクリックします。

    MDXアプリの承認

  11. [承認] を再度クリックします。

  12. アプリを承認して保存すると、詳細な設定がページに表示されます。次の設定を構成します。

    • ファイル名: アプリに関連付けられているファイル名を入力します。
    • アプリの説明: アプリの説明を入力します。
    • 製品トラック: ユーザーデバイスにプッシュする製品トラックを指定します。テスト用に設計されたトラックがある場合は、そのトラックを選択してユーザーに割り当てることができます。デフォルトはProductionです。
    • アプリのバージョン: 任意で、アプリのバージョン番号を入力します。
    • パッケージID: Google PlayストアでのアプリのURL。
    • 最小OSバージョン: 任意で、アプリを使用するためにデバイスで実行できるオペレーティングシステムの最も古いバージョンを入力します。
    • 最大OSバージョン: 任意で、アプリを使用するためにデバイスで実行されている必要があるオペレーティングシステムの最も新しいバージョンを入力します。
    • 除外するデバイス: 任意で、アプリを実行できないデバイスの製造元またはモデルを入力します。
  13. MDXポリシーを構成します。MDXアプリのアプリポリシーについて詳しくは、「MDXポリシーの概要」を参照してください。

  14. 展開規則を構成します。詳しくは、「リソースの展開」を参照してください。

  15. [ストア構成] を展開します。

    アプリ構成画面

    任意で、アプリに関するFAQや、アプリストアに表示されるスクリーンショットを追加できます。また、ユーザーにアプリの評価やアプリについてのコメントを許可するかどうかも設定できます。

    • 次の設定を構成します。
      • アプリのFAQ: アプリに関するFAQの質問および回答を追加します。
      • アプリのスクリーンショット: アプリをアプリストアで分類しやすくするためのスクリーンショットを追加します。アップロードするグラフィックはPNGである必要があります。GIFイメージやJPEGイメージはアップロードできません。
      • アプリ評価を許可: ユーザーにアプリの評価を許可するかどうかを選択します。デフォルトは [オン] です。 アプリコメントを許可: 選択したアプリについてユーザーがコメントできるようにするかどうかを選択します。デフォルトは [オン] です。
  16. [次へ] をクリックします。[承認] ページが開きます。

    アプリ構成画面

    ユーザーアカウントの作成時に承認が必要な場合は、ワークフローを使用します。承認ワークフローを設定しない場合は、手順15に進みます。

    ワークフローを割り当てるか作成するには、次の設定を構成します:

    • 使用するワークフロー: 一覧から既存のワークフローを選択するか、[新しいワークフローの作成] をクリックします。デフォルトは [なし] です。
    • [新しいワークフローの作成] を選択した場合は、次の設定を構成します。詳しくは、「ワークフローの作成および管理」を参照してください。
    • 名前: ワークフローの固有の名前を入力します。
    • 説明: 任意で、ワークフローの説明を入力します。
    • メール承認テンプレート: 一覧から、割り当てる電子メール承認テンプレートを選択します。このフィールドの右にある目のアイコンをクリックすると、ダイアログボックスが開き、テンプレートをプレビューできます。
    • マネージャー承認のレベル: 一覧から、このワークフローで必要なマネージャー承認のレベル数を選択します。デフォルトは [1つのレベル] です。選択できるオプションは以下のとおりです:
      • 不必要
      • 1つのレベル
      • 2つのレベル
      • 3つのレベル
    • Active Directoryドメインの選択: 一覧から、ワークフローで使用する適切なActive Directoryドメインを選択します。
    • 追加の必須承認者を検索: 検索フィールドに、追加で必要なユーザーの名前を入力して、[検索] をクリックします。名前はActive Directoryで取得されます。
    • ユーザーの名前がフィールドに表示されたら、名前の横にあるチェックボックスをオンにします。ユーザーの名前とメールアドレスが [選択した追加の必須承認者] の一覧に表示されます。
      • [選択した追加の必須承認者] の一覧からユーザーを削除するには、次のいずれかを行います:
        • [検索] をクリックして、選択したドメイン内のすべてのユーザーの一覧を表示します。
        • 名前の全体または一部を検索ボックスに入力して [検索] をクリックし、検索結果を絞り込みます。
        • [選択した追加の必須承認者] の一覧に含まれるユーザーは、結果一覧に表示される名前の横にチェックマークがあります。一覧をスクロールし、削除するそれぞれの名前の横のチェックボックスをオフにします。
  17. [次へ] をクリックします。[デリバリーグループ割り当て] ページが開きます。

    アプリ構成画面

  18. [デリバリーグループを選択] の横にデリバリーグループを入力して検索するか、一覧で1つまたは複数のグループを選択します。選択したグループが [アプリ割り当てを受信するためのデリバリーグループ] 一覧に表示されます。

  19. [展開スケジュール] を展開して以下の設定を構成します:

    • [展開] の横の [オン] をクリックすると展開がスケジュールされ、[オフ] をクリックすると展開が行われません。デフォルトのオプションは [オン] です。
    • [展開スケジュール]の横の [すぐに] または [あとで] をクリックします。デフォルトのオプションは [すぐに] です。
    • [あとで] をクリックした場合は、カレンダーアイコンをクリックして展開日時を選択します。
    • [展開状態] の横の [接続するたび] をクリックするか、[以前の展開が失敗した場合のみ] をクリックします。デフォルトのオプションは、[接続するたび] です。
    • [常時接続に対する展開] の横で、[オフ] が選択されていることを確認します。デフォルトのオプションは [オフ] です。常時接続は、Android Enterprise上でXenMobileをバージョン10.18.19以降から使用し始めたユーザーは、使用できません。またXenMobileの使用をバージョン10.18.19より前のバージョンで始めたユーザーには、常時接続はお勧めしません。

      このオプションは、[設定]>[サーバープロパティ] において、バックグラウンドで展開するキーのスケジュールを構成した場合に適用されます。

      構成した展開スケジュールはすべてのプラットフォームについて同一です。すべてのプラットフォームに変更が適用されます。ただし、[常時接続に対する展開] は適用されません。

  20. [保存] をクリックします。

この手順を繰り返して、業務用モバイルアプリごとにMDXアプリを構成します。

セキュリティ確認ポリシーを構成する

XenMobileパスコードデバイスポリシーでは、ユーザーがデバイスまたはデバイス上のAndroid Enterpriseの仕事用プロファイルにアクセスするためのセキュリティ確認のルールセットを構成します。セキュリティ確認はパスコードか生体認証です。パスコードポリシーの詳細については、 「パスコードデバイスポリシー」を参照してください。

Android Enterpriseの展開にBYODデバイスが含まれる場合、仕事用プロファイルのパスコードポリシーを構成します。展開に企業所有の完全管理デバイスが含まれる場合、デバイス自体のパスコードポリシーを構成します。展開に両方のタイプのデバイスが含まれる場合、両方のタイプのパスコードポリシーを構成します。

パスコードポリシーを構成するには:

  1. XenMobileコンソールで、[構成]>[デバイスポリシー] に移動します。

  2. [追加] をクリックします。

  3. [フィルターを表示] をクリックして、[ポリシープラットフォーム] ペインを開きます。[ポリシープラットフォーム] ペインで、[Android Enterprise] を選択します。

  4. 右ペインで [パスコード] をクリックします。

画像

  1. [ポリシー名] を入力します。[次へ] をクリックします。

    画像

  2. パスコードポリシー設定を構成します。
    • デバイス自体のセキュリティ確認に使用できる設定を確認するには、[デバイスのパスコードを要求][オン] に設定します。
    • 仕事用プロファイルのセキュリティ確認に使用できる設定を確認するには、[仕事用プロファイルのセキュリティ確認][オン] に設定します。
  3. [次へ] をクリックします。

  4. このポリシーを1つ以上のデリバリーグループに割り当てます。

  5. [保存] をクリックします。

Android Enterpriseでの仕事用プロファイルデバイスのプロビジョニング

Android Enterprise仕事用プロファイルデバイスは、プロファイル所有者モードで登録されます。これらのデバイスは、新しいデバイスまたは工場出荷時の状態にリセットされたデバイスである必要はありません。BYODデバイスは、仕事用プロファイルデバイスとして登録されます。登録手順は、XenMobileでAndroidを登録する場合と同様です。ユーザーはGoogle PlayからSecure Hubをダウンロードし、デバイスを登録します。

Android Enterpriseでデバイスが仕事用プロファイルデバイスで登録されている場合、デフォルトでは、[USBデバッグおよび不明なソース] 設定は無効になっています。

Android Enterpriseのデバイスを仕事用プロファイルデバイスとして登録する場合は、必ずGoogle Playにアクセスしてください。そこから、ユーザーの個人プロファイルでのSecure Hubの表示を有効にします。

Android Enterpriseの完全に管理されたデバイスのプロビジョニング

前のセクションで設定した展開に、完全に管理されたデバイスを登録できます。完全に管理されたデバイスは企業所有デバイスで、デバイス所有者モードで登録されます。デバイス所有者モードで登録できるのは、新しいデバイスまたは工場出荷時の状態にリセットされたデバイスのみです。

デバイス所有者モードでデバイスを登録するには、次の登録方法のいずれかを使用します:

  • DPC IDトークン: この登録方法では、ユーザーがデバイスの設定時に「afw#xenmobile」という文字を入力します。afw#xenmobileはCitrix DPC IDトークンです。このトークンにより、デバイスがXenMobileの管理対象であると識別され、Google PlayストアからSecure Hubがダウンロードされます。「Citrix DPC識別子トークンを使用したデバイスの登録」を参照してください。
  • 近距離無線通信(NFC)バンプ: NFCバンプの登録方法では、近距離無線通信を使用して2つのデバイス間でデータを転送します。新しいデバイスまたは工場出荷時設定にリセットされたデバイスでは、Bluetooth、Wi-Fi、およびそのほかの通信モードは無効になっています。この状態のデバイスが使用する通信プロトコルはNFCのみです。「NFCバンプを使用してデバイスを登録する」を参照してください。
  • QRコード: QRコード登録は、NFCをサポートしていないタブレットなどの分散型端末を登録するのに使用できます。QRコードによる登録方法では、セットアップウィザードからQRコードをスキャンすることによって、デバイスプロファイルモードを設定および構成します。「QRコードを使用してデバイスを登録する」を参照してください。
  • ゼロタッチ: ゼロタッチ登録では、最初に電源をオンにしたときに自動で登録されるようにデバイスを構成できます。ゼロタッチ登録は、Android 8.0以降が動作する一部のAndroidデバイスでサポートされています。「ゼロタッチ登録」を参照してください。
  • Googleアカウント: ユーザーは、Googleアカウントの資格情報を入力して、プロビジョニングプロセスを開始します。このオプションは、G Suiteを使用しているエンタープライズ向けです。

Citrix DPC識別子トークンを使用したデバイスの登録

初期セットアップで新しいデバイスまたは工場出荷時の状態にリセットされたデバイスの電源を入れた後、Googleアカウントの入力を求められたら「afw#xenmobile」と入力します。この操作により、Secure Hubがダウンロードされインストールされます。インストール後、Secure Hubの設定プロンプトに従って登録を完了します。

この登録方法ではSecure Hubの最新バージョンがGoogle Playストアからダウンロードされるため、ほとんどのお客様に推奨されます。他の登録方法とは異なり、XenMobileサーバーでダウンロード用にSecure Hubを提供することはありません。

システム要件

  • Android OSを実行するすべてのAndroidデバイスでサポートされます。

デバイスを登録するには

  1. 新しいデバイスまたは工場出荷時の設定にリセットされたデバイスの電源を入れます。

  2. デバイスの初期セットアップが読み込まれ、Googleアカウントの入力が求められます。デバイスのホーム画面が読み込まれたら、通知バーのセットアップ完了通知を確認します。

    画像

  3. メールまたは電話フィールドに「afw#xenmobile」と入力します。

    画像

  4. Secure Hubのインストールを求めるAndroid Enterprise画面で [インストール] をタップします。

    画像

  5. Secure Hubインストーラー画面で [インストール] をタップします。

    画像

  6. すべてのアプリの許可リクエストに対して [許可する] をタップします。

  7. [同意して続行] をタップしてSecure Hubをインストールし、デバイスを管理できるようにします。

    画像

  8. これで、Secure Hubがインストールされ、デフォルトの登録画面に表示されます。この例では、自動検出は設定されていません。自動検出が設定されている場合、ユーザーはユーザー名/メールアドレスを入力可能で、それに対応するサーバーが検出されます。自動検出が設定されていない場合、環境の登録URLを入力して [次へ] をタップします。

    画像

  9. XenMobileのデフォルト設定では、MAMを使用するか、MDM+MAMを使用するかを選択できます。このようにプロンプトが表示されたら、[はい、登録します] をタップしてMDM+MAMを選択します。

    画像

  10. ユーザー名とパスワードを入力し、[次へ] をタップします。

    画像

  11. デバイスのパスコードを設定するように求められます。[設定] をタップしてパスコードを入力します。

    画像

  12. 仕事用プロファイルのロック解除方法を設定するよう求められます。この例では [パスワード][PIN] をタップしてPINを入力します。

    画像

  13. デバイスにSecure Hubの [マイアプリ] ランディング画面が表示されます。[ストアからアプリを追加] をタップします。

    画像

  14. Secure Webを追加するには、[Secure Web] をタップします。

    画像

  15. [追加] をタップします。

    画像

  16. Secure Hubで、Secure WebをインストールするためにGoogle Playストアに移動します。[インストール] をタップします。

    画像

  17. Secure Webがインストールされたら、[開く] をタップします。アドレスバーに内部サイトのURLを入力し、ページが読み込まれることを確認します。

    画像

  18. デバイスで [設定] > [アカウント] に移動します。管理対象アカウントが変更できないことを確認します。画面の共有またはリモートデバッグのための開発者オプションもブロックされます。

    画像

NFCバンプを使用してデバイスを登録する

NFCバンプを使用して完全に管理されたデバイスとしてデバイスを登録するには、工場出荷時の設定にリセットされたデバイスと、XenMobile Provisioning Toolを実行するデバイスの2台のデバイスが必要です。

システム要件および前提条件

  • サポートされるAndroidデバイス
  • 完全に管理されたデバイスとしてAndroid Enterprise向けにプロビジョニングされた、新規または工場出荷時設定にリセットされたデバイス。この前提条件を完了する手順については、後述します。
  • 構成済みのProvisioning Toolを実行している、NFC機能が備わった別のデバイス。Provisioning Toolは、Secure Hubまたはシトリックスのダウンロードページから入手できます。

各デバイスでは、管理対象Secure HubというAndroid Enterpriseプロファイルを1つのみ保有できます。各デバイスで許可されるプロファイルは1つのみです。2つ目のDPCアプリを追加しようとすると、インストール済みのSecure Hubが削除されます。

NFCバンプを介して転送されるデータ

工場出荷時の設定にリセットされたデバイスをプロビジョニングするには、以下のデータをNFCバンプ経由で送信してAndroid Enterpriseを初期化する必要があります:

  • デバイス所有者として機能するDPCアプリ(この場合はSecure Hub)のパッケージ名。
  • デバイスがDPCアプリをダウンロードできるイントラネット/インターネット上の場所。
  • ダウンロードが正常に完了したかどうかを確認するDPCアプリのSHA1ハッシュ。
  • 工場出荷時の設定にリセットされたデバイスがDPCアプリに接続してダウンロードできるようにするWi-Fi接続の詳細。注:現時点では、Androidはこの手順での802.1x Wi-Fiをサポートしていません。
  • デバイスのタイムゾーン(オプション)。
  • デバイスの地理的な場所(オプション)。

2つのデバイスがバンプされると、Provisioning Toolのデータが工場出荷時の設定にリセットされたデバイスに送信されます。このデータはその後、管理者設定でのSecure Hubのダウンロードに使用されます。タイムゾーンと場所の値を入力しない場合、新しいデバイスではAndroidによって自動的にこれらの値が構成されます。

XenMobile Provisioning Toolの構成

NFCバンプを行う前に、Provisioning Toolを構成する必要があります。この構成はその後、工場出荷時の設定にリセットされたデバイスに、NFCバンプ中に転送されます。

Provisioning Tool構成

必須項目にデータを直接入力することも、テキストファイルから入力することもできます。次の手順では、テキストファイルを構成する方法と各フィールドに説明を含める方法について説明します。入力後のデータはアプリでは保存されないため、テキストファイルを作成して、今後の使用に備えて情報を保存しておくことをお勧めします。

テキストファイルを使用してProvisioning Toolを構成するには

ファイルの名前をnfcprovisioning.txtにして、/sdcard/フォルダーにあるデバイスのSDカードに格納します。アプリによってこのテキストファイルが読み込まれ、値が入力されます

テキストファイルには、次のデータを含める必要があります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

この行は、EMMプロバイダーアプリのイントラネット/インターネットの場所です。工場出荷時設定のデバイスがNFCバンプの後にWi-Fiに接続した場合、デバイスはダウンロードのためにこの場所にアクセスする必要があります。URLは通常のURLで、特別な形式にする必要はありません。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

この行は、EMMプロバイダーアプリのチェックサムです。このチェックサムはダウンロードが成功したかを検証するために使用されます。チェックサムを取得する手順については、後述します。

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

この行は、Provisioning Toolを実行しているデバイスが接続されているWi-FiのSSIDです。

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

サポートされる値はWEPおよびWPA2です。Wi-Fiが保護されていない場合、このフィールドは空白にする必要があります。

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Wi-Fiが保護されていない場合、このフィールドは空白にする必要があります。

android.app.extra.PROVISIONING_LOCALE=<locale>

言語コードと国コードを入力します。言語コードは、ISO 639-1で定義されている小文字で2文字のISO言語コード(「en」など)です。国コードは、ISO 3166-1で定義されている大文字で2文字のISO国コード(「US」など)です。たとえば、アメリカ合衆国で話されている英語の場合は「en_US」と入力します。コードを入力しない場合、国と言語は自動的に入力されます。

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

デバイスが実行されるタイムゾーンです。フォームの地域/場所のOlson名を入力します。たとえば、米国太平洋標準時の場合は「America/Los_Angeles」です。名前を入力しない場合、タイムゾーンは自動的に入力されます。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

このデータはSecure Hubとしてアプリにハードコードされるため、必須ではありません。ここでは、情報の完全性を守るためだけに記載しています。

WPA2を使用して保護されたWi-Fiの場合、完了したnfcprovisioning.txtファイルは以下の例のようになります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

保護されていないWi-Fiの場合、完了したnfcprovisioning.txtファイルは以下の例のようになります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Secure Hubチェックサムを取得するには

アプリのチェックサムを取得するには、そのアプリをエンタープライズアプリとして追加します。

  1. XenMobileコンソールで、[構成]>[アプリ] を選択してから、[追加] をクリックします。

    [アプリの追加] ウィンドウが開きます。

  2. [エンタープライズ] をクリックします。

    [アプリ情報] ページが開きます。

    [アプリ情報]ページ

  3. 次の構成を選択して [次へ] をクリックします。

    [Android Enterpriseエンタープライズアプリ] ページが開きます。

    Android Enterpriseエンタープライズアプリ

  4. .apkへのパスを入力し、[次へ] をクリックしてファイルをアップロードします。

    アップロードが完了すると、アップロードされたパッケージの詳細が表示されます。

    ファイルのアップロードページ

  5. [次へ] をクリックします。[JSONのダウンロード] をクリックしてJSONファイルをダウンロードします。このファイルは、この後Google Playへのアップロードに使用します。Secure Hubの場合、Google Playにアップロードする必要はありませんが、SHA1を読み込む元になるJSONファイルが必要です。

    JSONファイルのダウンロードページ

    以下の図に、典型的なJSONファイルの例を示します:

    典型的なJSONファイル

  6. file_sha1_base64の値をコピーして、この値をProvisioning Toolの [ハッシュ] フィールドで使用します。

    :ハッシュはURLセーフのものにする必要があります。

    • +記号はすべて-に変換します。
    • /記号はすべて_に変換します。
    • 末尾の\u003d=に置き換えます。

    ハッシュをデバイスのSDカードのnfcprovisioning.txtファイルに格納すると、安全のための変換が行われます。ただし、ハッシュを手動で入力すると、URLの安全性は入力者の責任になります。

使用するライブラリ

Provisioning Toolでは、以下のライブラリがソースコードに使用されています。

  • v7 appcompat library、Design support library、およびv7 Palette library by Google(Apache license 2.0)

    詳しくは、「Support Libraryの機能」を参照してください。

  • Butter Knife by Jake Wharton(Apache license 2.0)

QRコードを使用してデバイスを登録する

QRコードを使用して完全に管理されたデバイスを登録するには、JSONを作成してQRコードに変換し、QRコードを生成します。このQRコードをデバイスカメラでスキャンし、デバイスを登録します。

システム要件

  • Android 8.0以降を実行するすべてのAndroidデバイスでサポートされます。

JSONからQRコードを作成する

次のフィールドがあるJSONを作成します。

これらのフィールドは必須です。

キー:android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

値:com.zenprise / com.zenprise.configuration.AdminFunction

キー: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

値:qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

キー:android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

値: https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

これらのフィールドはオプションです。

  • android.app.extra.PROVISIONING_LOCALE: 言語コードおよび国コードを入力します。

    言語コードは、ISO 639-1で定義されている小文字で2文字のISO言語コード(「en」など)です。国コードは、ISO 3166-1で定義されている大文字で2文字のISO国コード(「US」など)です。たとえば、アメリカ合衆国で話されている英語の場合は「en_US」と入力します。

  • android.app.extra.PROVISIONING_TIME_ZONE: これはデバイスが実行されているタイムゾーンです。

    フォームの地域/場所のOlson名を入力します。たとえば、米国太平洋標準時の場合は「America/Los_Angeles」です。入力しない場合、タイムゾーンは自動的に入力されます。

  • android.app.extra.PROVISIONING_LOCAL_TIME: エポックからのミリ秒単位の時間。

    Unixエポック(またはUnix時間またはPOSIX時間またはUnixタイムスタンプ)は、1970年1月1日(UTC/ GMT午前0時)から経過した秒数で、うるう秒数は含まれません(ISO 8601: 1970-01-01T00:00:00Z)。

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: プロファイル作成時に暗号化をスキップするには、trueに設定します。プロファイルの作成時に暗号化を強制するには、falseに設定します。

以下の図に、典型的なJSONの例を示します。

典型的なJSON

https://jsonlint.comなどのJSON検証ツールを使用して作成されたJSONを検証します。https://goqr.meなどのオンラインQRコードジェネレーターを使用して、JSON文字列をQRコードに変換します。

このQRコードは工場出荷時の設定にリセットされたデバイスによってスキャンされ、これによってデバイスを完全に管理されたデバイスとして登録できます。

デバイスを登録するには

新しいデバイスまたは工場出荷時の設定にリセットされたデバイスの電源を入れた後、以下を行います:

  1. ようこそ画面で画面を6回タップすると、QRコードの登録フローが開始されます。
  2. プロンプトが表示されたら、Wi-Fiに接続します。(JSONでエンコードされた)QRコードにあるSecure Hubのダウンロード場所には、このWi-Fiネットワーク経由でアクセスできます。

    端末がWi-Fiに接続されると、GoogleからQRコードリーダーをダウンロードしてカメラを起動します。

  3. カメラをQRコードに合わせて、コードをスキャンします。

    Androidは、QRコードのダウンロード場所からSecure Hubをダウンロードし、署名証明書の署名を検証し、Secure Hubをインストールし、デバイス所有者として設定します。

詳しくは、Android EMM開発者向けGoogleガイド(https://developers.google.com/android/work/prov-devices#qr_code_method)を参照してください。

ゼロタッチ登録

ゼロタッチ登録を使用すると、初めてデバイスの電源をオンにしたときに完全に管理されているデバイスとしてプロビジョニングするようにセットアップできます。

デバイスのリセラーは、Androidのゼロタッチポータルにアカウントを作成します。このポータルは、デバイスに構成を適用できるオンラインツールです。Androidのゼロタッチポータルを使用して、1つまたは複数のゼロタッチ登録構成を作成し、アカウントに割り当てられたデバイスにこの構成を適用します。ユーザーがこれらのデバイスの電源をオンにすると、デバイスは自動的にXenMobileに登録されます。デバイスに割り当てられた構成によって、自動登録プロセスが定義されます。

システム要件

  • ゼロタッチ登録は、Android 8.0以降でサポートされます。

リセラーからのデバイスとアカウントの情報

  • ゼロタッチ登録の対象となるデバイスは、エンタープライズリセラーまたはGoogleパートナーから購入します。Android Enterpriseのセロタッチパートナー一覧については、AndroidのWebサイトを参照してください。

  • リセラーによって作成されたAndroid Enterpriseのゼロタッチポータルアカウント。

  • リセラーから提供されたAndroid Enterpriseのゼロタッチポータルアカウントのログイン情報。

ゼロタッチ構成の作成

ゼロタッチ構成を作成する場合は、カスタムJSONを含めて構成の詳細を指定します。

このJSONを使用して、指定したXenMobile Serverに登録するようにデバイスを構成します。この例では、サーバーのURLを「URL」に置き換えます。

      {
          "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
        {
              "serverURL":"URL",
         }
      }

オプションでより多くのパラメーターを持つJSONを使用して、構成をさらにカスタマイズできます。この例では、XenMobile Serverと、この構成を使用するデバイスがそのサーバーにログオンするために使用するユーザー名とパスワードを指定します。

     {
        "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
          {
              "serverURL":"URL",
              "xm_username":"username",
              "xm_password":"password"
          }
            }
  1. Androidのゼロタッチポータル(https://partner.android.com/zerotouch)に移動します。ゼロタッチデバイスのリセラーのアカウント情報を使用してログインします。

  2. [Configuration] をクリックします。 ゼロタッチポータル

  3. 構成テーブルの上部にある [+] をクリックします。 ゼロタッチポータル

  4. 開いた構成ウィンドウに構成情報を入力します。 ゼロタッチポータル
    • Configuration name: この構成の名前を入力します。
    • EMM DPC: [Citrix Secure Hub] を選択します。
    • DPC extras: カスタムJSONテキストをフィールドに貼り付けます。
    • Company name: デバイスのプロビジョニング中、Android Enterpriseのゼロタッチデバイスに表示させる名前を入力します。
    • Support email address: サポートが必要なときにユーザーが連絡するメールアドレスを入力します。このアドレスは、デバイスのプロビジョニング前にAndroid Enterpriseのゼロタッチデバイスに表示されます。
    • Support phone number: ユーザーがサポートが必要なときに連絡する電話番号を入力します。この電話番号は、デバイスのプロビジョニング前にAndroid Enterpriseのゼロタッチデバイスに表示されます。
    • Custom Message: オプション。ユーザーが管理者にサポートを求めるように促す、またはデバイスで発生している状況をユーザーに説明するための、1、2行程度の文章を追加します。このカスタムメッセージは、デバイスのプロビジョニング前にAndroid Enterpriseのゼロタッチデバイスに表示されます。
  5. [追加] をクリックします。

  6. さらに構成を作成するには、手順2~4を繰り返します。

  7. デバイスに構成を適用するには、以下の手順を実行します:

    1. Androidのゼロタッチポータルで[Devices] をクリックします。

    2. デバイスの一覧でデバイスを探し、割り当てる構成を選択します。 ゼロタッチポータル

    3. [更新] をクリックします。

CSVファイルを使用して、多数のデバイスに構成を適用できます。

多数のデバイスに構成を適用する方法については、Android Enterpriseのヘルプトピック(ゼロタッチ登録:IT管理者向け)を参照してください。このAndroid Enterpriseのヘルプトピックには、構成を管理してデバイスに適用する方法の詳細が記載されています。

XenMobileコンソールで完全に管理されたデバイスを表示する

  1. XenMobileコンソールで、[管理]>[デバイス] の順に移動します。

  2. このページの表の右側にあるメニューをクリックして、[Android Enterprise対応デバイスですか?] 列を追加します。 画像

  3. 利用可能なセキュリティアクションを表示するには、完全に管理されたデバイスを選択して [セキュリティ] をクリックします。デバイスが完全に管理されている場合、完全なワイプ操作は使用できますが、選択的なワイプ操作は使用できません。これは、デバイスが管理対象Google Playストアのアプリのみを許可するためです。ユーザーがパブリックストアからアプリケーションをインストールするオプションはありません。組織はデバイス上のすべてのコンテンツを管理しています。

    画像

Android Enterprise専用デバイスのプロビジョニング

Android Enterprise専用デバイスは、単一のユースケース専用の完全に管理されたデバイスです。これらのデバイスは、このユースケースに必要なタスクを実行する1つのアプリまたはアプリの小セットのみに制限されます。また、ユーザーがこれらのデバイスで他のアプリを有効にしたり、他の操作を実行したりすることを禁止することもできます。

専用デバイスは、「Android Enterpriseの完全に管理されたデバイスのプロビジョニング」の説明のとおり、他の完全に管理されたデバイスで使用されている登録方法のいずれかを使用して登録されます。専用デバイスをプロビジョニングするには、登録前に追加のセットアップが必要です。

専用デバイスは、以前は企業所有の単一使用(COSU)デバイスと呼ばれていました。

注:

ほかの完全に管理されたデバイスとは異なり、専用デバイスはActive Directoryアカウントを持つユーザーが登録できます。ローカルユーザーは専用デバイスを登録できません。

専用デバイスをプロビジョニングするには:

  • XenMobile管理者が専用デバイスをXenMobile展開に登録できるように、役割ベースのアクセス制御(RBAC)の役割を追加します。専用デバイスを登録するユーザーにこの役割を割り当てます。
  • XenMobile管理者が専用デバイスをXenMobile展開に登録できるように、XenMobile管理者の登録プロファイルを追加します。
  • 専用デバイスがアクセスするアプリを許可します。
  • 必要に応じて、許可されたアプリがロックタスクモードを許可するように設定します。アプリがロックタスクモードになると、ユーザーがアプリを開いた時にデバイス画面にアプリが固定されます。[ホーム]ボタンは表示されず、[戻る]ボタンは無効になります。ユーザーは、サインアウトなど、アプリでプログラムされた操作を使用してアプリを終了します。
  • 各デバイスを完全に管理されたデバイスとして登録します。

システム要件

  • 専用デバイスの登録は、Android 6.0以降でサポートされます。

専用デバイス用のRBAC役割を追加する

専用デバイスを登録するためのRBACの役割により、XenMobileはデバイスに管理対象Google Playアカウントをサイレントプロビジョニングし、アクティブにすることができます。管理されたGoogle Playのユーザーアカウントとは異なり、これらのデバイスアカウントは、ユーザーに関連付けられていないデバイスを識別します。

このRBAC役割をXenMobile管理者に割り当てて、専用デバイスを登録できるようにします。

専用デバイスを登録するためのRBAC役割を追加するには:

  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [役割ベースのアクセス制御] をクリックします。[役割ベースのアクセス制御] ページが開き、4つのデフォルトのユーザー役割と、以前に追加した役割が表示されます。

  3. [追加] をクリックします。[役割の追加] ページが開きます。

  4. 次の情報を入力します。

    • RBAC名:「COSU」と入力するか、役割を説明する名前を入力します。役割の名前は変更できません。
    • RBACテンプレート:[ADMIN]テンプレートを選択します。
    • 承認済みアクセス: [管理コンソールへのアクセス] および [COSUデバイスの登録機能] を選択します。
    • コンソールの機能: [デバイス] を選択します。
    • 適用権限: COSUの役割を適用するグループを選択します。[特定のユーザーグループ] をクリックするとグループの一覧が開き、1つまたは複数のグループを選択できます。
  5. [次へ] をクリックします。[割り当て] ページが開きます。

  6. Active Directorグループに役割を割り当てるために、次の情報を入力します。

    • ドメインを選択: 一覧から、ドメインを選択します。
    • ユーザーグループを含める: 使用可能なすべてのグループ一覧を表示するには、[検索] をクリックします。または、グループ名の一部または全部を入力して、その名前のグループのみに表示を限定できます。
    • 表示された一覧で、役割を割り当てるユーザーグループを選択します。ユーザーグループを選択すると、[選択したユーザーグループ] の一覧にグループが表示されます。 画像
  7. [保存] をクリックします。

専用(COSU)登録プロファイルの追加

XenMobile展開に専用デバイスが含まれている場合、1人のXenMobile管理者、または数人の管理者グループが多数の専用デバイスを登録します。

こうした管理者が必要なすべてのデバイスを登録できるようにするには、ユーザーごとに無制限のデバイスを許可した状態で登録プロファイルを作成します。このプロファイルを、専用デバイスを登録する管理者を含むデリバリーグループに割り当てます。これによって、デフォルトのグローバルプロファイルにユーザーあたりのデバイス数が制限されている場合でも、管理者はデバイスを無制限に登録できます。これらの管理者は、専用(COSU)登録プロファイルに含める必要があります。

  1. XenMobileコンソールで、[構成]>[登録プロファイル] の順に移動します。デフォルトのGlobalプロファイルが表示されます。

  2. 登録プロファイルを追加するには、[追加] をクリックします。[登録情報] ページで、登録プロファイルの名前を入力します。このプロファイルのメンバーが登録できるデバイスの数が無制限に設定されていることを確認します。

  3. [Android Enterprise] ページで、[完全管理の対象/仕事用プロファイル] を選択します。

  4. [デリバリーグループ割り当て] ページで専用デバイスを登録した管理者を含む、1つまたは複数のデリバリーグループを選択します。次に、[保存] をクリックします。

    [登録プロファイル]ページに、追加したプロファイルが表示されます。

    登録プロファイル構成画面

アプリの許可とロックタスクモードの設定

キオスクデバイスポリシーを使用すると、アプリを許可し、ロックタスクモードを設定できます。デフォルトでは、Secure HubとGoogle Playサービスが許可されます。

キオスクポリシーを追加するには:

  1. XenMobileコンソールで、[構成]>[デバイスポリシー] をクリックします。[デバイスポリシー] ページが開きます。

  2. [追加] をクリックします。[新しいポリシーの追加] ダイアログボックスが開きます。

  3. [詳細] を展開した後、[セキュリティ]の下の [キオスク] をクリックします。[キオスクポリシー]ページが開きます。

  4. [プラットフォーム]で [Android Enterprise] を選択します。他のプラットフォームをクリアします。

  5. [ポリシー情報]ペインで、[ポリシー名] および任意で [説明] を入力します。

  6. [次へ] をクリックし、[追加] をクリックします。

  7. アプリを許可し、そのタスクのロックタスクモードを許可または拒否するには:

    一覧から許可するアプリを選択します。

    ユーザーがアプリを起動した時にアプリをデバイス画面に固定するには、[許可] を選択します。アプリをデバイス画面に固定しない場合は、[拒否] を選択します。デフォルトは [許可] です。

    デバイスポリシー構成画面

  8. [保存] をクリックします。

  9. 別のアプリを許可し、そのタスクのロックタスクモードを許可または拒否する場合は、[追加] をクリックします。

  10. 展開規則を構成し、デリバリーグループを選択します。詳しくは、「デバイスポリシー」を参照してください。

デバイスを登録するには

  1. 新しいデバイスまたは工場出荷時の設定にリセットされたデバイスの電源を入れます。

  2. デバイスを完全に管理されたデバイスとして登録し、専用のデバイスRBAC役割を持つユーザーに割り当てます。

デバイスが登録されると、ユーザーが実行できるアプリのリストが表示され、この画面にロックされます。

画像

この例は、Gmailがデバイス上にある間は実行できないことを示しています。

仕事用プロファイルで完全に管理されたAndroid Enterpriseのデバイス(COPEデバイス)のプロビジョニング

仕事用プロファイルで完全に管理されたデバイス(以前のCOPEデバイス)は、仕事用と個人用の両方で使用される会社所有のデバイスです。組織はデバイス全体を管理します。1つのポリシーのセットをデバイスに適用し、別のポリシーのセットを仕事用プロファイルに適用できます。

仕事用プロファイルで完全に管理されたデバイスをプロビジョニングするには:

  • XenMobile管理者が仕事用プロファイルで完全に管理されたデバイスをXenMobile展開に登録できるように、この管理者の登録プロファイルを追加します。
  • 追加した登録プロファイルにデバイスを登録します。

XenMobileコンソールでは、仕事用プロファイルで完全に管理されたデバイスは次の用語で表示されます:

  • デバイス所有権は「Corporate」です。

  • デバイスのAndroid Enterpriseインストールの種類は「Corporate Owner Personally Enabled」です。

システム要件

  • 仕事用プロファイルで完全に管理されたデバイスの登録は、Android 8.0以降でサポートされます。

仕事用プロファイルで完全に管理されたデバイスの登録プロファイルの追加

仕事用プロファイルで完全に管理されたデバイスを登録するための登録プロファイルを作成します。この登録プロファイルに割り当てられたデリバリーグループの管理者は、仕事用プロファイルで完全に管理されたデバイスに登録できます。こうした管理者が必要なすべてのデバイスを登録できるようにするには、ユーザーごとに無制限のデバイスを許可した状態で登録プロファイルを作成します。このプロファイルを、仕事用プロファイルで完全に管理されたデバイスを登録する管理者が属するデリバリーグループに割り当てます。

  1. XenMobileコンソールで、[構成]>[登録プロファイル] の順に移動します。

  2. 登録プロファイルを追加するには、[追加] をクリックします。[登録情報]ページで、登録プロファイルの名前を入力します。このプロファイルのメンバーが登録できるデバイスの数が無制限に設定されていることを確認します。

  3. [次へ] をクリックするか、[プラットフォーム][Android Enterprise] を選択します。[登録構成] ページが開きます。

  4. 「登録の種類」 を次のいずれかに設定します:
    • 完全管理の対象/仕事用プロファイル: 新しいデバイスまたは工場出荷時の状態にリセットされたデバイスは、完全に管理されたデバイスとして登録されます。BYODデバイスは、ユーザーが管理する仕事用プロファイルでのみ登録されます。
    • COPE/仕事用プロファイル: 新しいデバイスまたは工場出荷時の状態にリセットされたデバイスは、仕事用プロファイルで完全に管理されたデバイスとして登録されます。BYODデバイスは、ユーザーが管理する仕事用プロファイルでのみ登録されます。

    登録プロファイル構成画面

  5. [割り当て](オプション) を選択するか、[次へ] をクリックします。[デリバリーグループ割り当て] ページが開きます。

  6. 専用デバイスを登録した管理者を含む、1つまたは複数のデリバリーグループを選択します。次に、[保存] をクリックします。

    [登録プロファイル]ページに、追加したプロファイルが表示されます。

    登録プロファイル構成画面

異なる登録プロファイルを持つ複数のデリバリーグループにユーザーが属している場合、デリバリーグループの名前によって、使用される登録プロファイルが決まります。XenMobileは、デリバリーグループのアルファベット順一覧の最後に表示されるデリバリーグループを選択します。

デバイスを登録するには

新しいデバイスおよび工場出荷時の状態にリセットされたデバイスは、DPC IDトークン、近距離無線通信(NFC)バンプ、またはQCコード方式を使用して、仕事用プロファイルで完全に管理されたデバイスとして登録されます。「Citrix DPC識別子トークンを使用したデバイスの登録」、「NFCバンプを使用してデバイスを登録する」または「QRコードを使用してデバイスを登録する」を参照してください

新しいデバイスまたは工場出荷時の状態にリセットされたデバイスではない場合、「Android Enterpriseでの仕事用プロファイルデバイスのプロビジョニング」の説明に従って仕事用プロファイルデバイスとして登録されます。

Android Enterpriseデバイスポリシーの構成

重要:

Android Enterpriseに登録してMDXアプリを使用するデバイスの場合:MDXおよびAndroid Enterpriseを介して一部の設定を制御できます。MDXに対して最も制限の少ないポリシー設定を使用し、Android Enterpriseを介してポリシーを制御します。

     
Android Enterprise管理対象の構成 アプリインベントリ アプリアンインストール
OS更新の制御 資格情報 カスタムXML
Exchange ファイルデバイスポリシー キオスク
場所 パスコード 制限
Samsung MDMライセンスキー スケジュール設定 Wi-Fi

Android EnterpriseでサポートされているデバイスポリシーとMDXポリシー」も参照してください。

仕事用プロファイルで完全に管理されたデバイス(COPEデバイス)のデバイスポリシー

仕事用プロファイルで完全に管理されたデバイス(COPEデバイス)の場合、一部のデバイスポリシーを使用してデバイス全体と仕事用プロファイルに個別の設定を適用できます。他のデバイスポリシーを使用して、デバイス全体にのみ設定を適用することも、仕事用プロファイルで完全に管理されたデバイスの仕事用プロファイルにのみ設定を適用することもできます。

ポリシー 適用製品
Android Enterpriseの権限 仕事用プロファイル
Android Enterprise管理対象の構成 仕事用プロファイル
アプリインベントリ 仕事用プロファイル
アプリアンインストール 仕事用プロファイル
OS更新の制御 -
資格情報 仕事用プロファイル
カスタムXML -
XenMobileオプション 仕事用プロファイル
Exchange -
ファイル 仕事用プロファイル
キオスク -
場所 デバイス(位置情報モードのみ)
パスコード デバイスと仕事用プロファイル
制限 デバイスと仕事用プロファイル(デバイス向けと仕事用プロファイル向けに個別のポリシーを作成する)
Samsung MDMライセンスキー -
スケジュール設定 仕事用プロファイル
Wi-Fi デバイス

セキュリティ操作

Android Enterpriseは、以下のセキュリティ操作をサポートしています。各セキュリティ操作の説明については、「セキュリティ操作」を参照してください。

セキュリティ操作 仕事用プロファイル 完全管理対象
証明書の書き換え はい はい
完全なワイプ いいえ はい
検索 はい はい
ロック はい はい
パスワードのロックとリセット いいえ はい
通知(通知音) はい はい
取り消し はい はい
選択的なワイプ はい いいえ

注:

位置情報デバイスポリシーでデバイスの位置情報モードが [高精度] モードまたは [バッテリー節約] モードに設定されていない限り、検索セキュリティアクションは失敗します。

ロックおよびパスワードのリセットコマンドは、Android 8.0より前のバージョンのAndroidを実行する、仕事用プロファイルデバイスではサポートされていません。Android 8.0以降を実行する仕事用プロファイルデバイスの場合:送信されたパスコードによって仕事用プロファイルはロックされますが、デバイスはロックされません。パスコードが送信されない場合、または送信されたパスコードがパスコードの要件を満たさず、仕事用プロファイルに設定済みのパスコードがない場合:デバイスはロックされます。パスコードが送信されない場合、または送信されたパスコードがパスコードの要件を満たしていないが、仕事用プロファイルにパスコードが設定済みの場合:仕事用プロファイルはロックされますが、デバイスはロックされません。

ロックのセキュリティ操作をデバイスまたは仕事用プロファイルで完全に管理されたデバイス(COPEデバイス)に個別に適用できます。

Android Enterpriseエンタープライズの登録を解除する

Android Enterpriseエンタープライズを使用しない場合は、エンタープライズの登録を解除できます。

警告:

エンタープライズの登録を解除すると、エンタープライズ経由で登録されていたデバイスのAndroid Enterpriseアプリはデフォルトの状態にリセットされます。これらのデバイスはGoogleの管理対象外になります。それらのデバイスをAndroid Enterpriseエンタープライズで再登録しても、以前の機能を復元することはできません。追加で構成を行う必要があります。

Android Enterpriseエンタープライズの登録を解除した後:

  • エンタープライズ経由で登録されていたデバイスとユーザーのAndroid Enterpriseアプリは、デフォルト状態にリセットされます。以前に適用されていた[Android Enterprise管理対象の構成]ポリシーは無効になります。
  • XenMobileはエンタープライズ経由で登録されたデバイスを管理します。Googleからは、これらのデバイスは管理されてないと見なされるため、新しいAndroid Enterpriseアプリを追加することはできません。[Android Enterprise管理対象の構成]ポリシーは適用できません。[スケジュール設定]、[パスワード]、[制限]などのその他のポリシーは、これらのデバイスに適用できます。
  • Android Enterpriseにデバイスを登録しようとすると、Android EnterpriseデバイスではなくAndroidデバイスとして登録されます。

XenMobile ServerコンソールとXenMobile Toolsを使用して、Android Enterpriseエンタープライズを登録解除します。

このタスクを実行すると、XenMobileサーバーにXenMobileツールのポップアップウィンドウが開きます。始める前に、XenMobileサーバーに、使用するWebブラウザーでポップアップウィンドウを開く権限があることを確認してください。Google Chromeなどの一部のWebブラウザーでは、ポップアップブロックを無効にし、XenMobileサイトのアドレスをポップアップブロックの許可リストに追加する必要があります。

Android Enterpriseエンタープライズの登録を解除するには:

  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [設定]ページで、[Android Enterprise] をクリックします。

  3. [登録解除] をクリックします。

    登録解除オプション