XenMobile Server

Android Enterprise

Android Enterpriseは、GoogleがAndroidデバイス用のエンタープライズ管理ソリューションとして提供するツールとサービスのセットです。Android Enterpriseでは:

  • XenMobileを使用して、企業所有のAndroidデバイスとユーザー所有の(BYOD)Androidデバイスを管理します。

  • デバイス全体を管理することも、デバイス上の個別のプロファイルを管理することもできます。この個別のプロファイルでは、ビジネス用のアカウント、アプリ、データが個人のアカウント、アプリ、データと分離されています。

  • 在庫管理など、特定目的専用のデバイスを管理することもできます。GoogleのAndroid Enterprise機能の概要については、Android Enterprise管理を参照してください。

リソース:

XenMobileをmanaged Google Playと統合してAndroid Enterpriseを使用する場合、エンタープライズを作成します。Googleはエンタープライズを、組織とエンタープライズモバイル管理(EMM)ソリューションとの間のバインディングと定義しています。組織がソリューションを通して管理するすべてのユーザーとデバイスは、そのエンタープライズに属します。

Android Enterpriseのエンタープライズには、EMMソリューション、デバイスポリシーコントローラー(DPC)アプリ、およびGoogleエンタープライズアプリプラットフォームの3つのコンポーネントがあります。XenMobileをAndroid Enterpriseと統合すると、完成されたソリューションには次のコンポーネントが含まれます:

  • XenMobile: Citrix EMM。XenMobileは、安全なデジタルワークスペースのための統合されたXenMobileソリューションです。XenMobileは、IT管理者が組織のデバイスとアプリを管理する手段を提供します。
  • Citrix Secure Hub: Citrix DPCアプリ。Secure Hubは、XenMobileのスタートパッドです。Secure Hubはデバイスにポリシーを適用します。
  • 管理対象Google Play: XenMobileと統合するGoogleエンタープライズアプリプラットフォーム。Google Play EMM APIがアプリポリシーを設定し、アプリを配布します。

次の図に、管理者がこれらのコンポーネントとやり取りする方法と、コンポーネントが互いにやり取りする方法を示します:

画像

XenMobileでのmanaged Google Playの使用

注:

管理対象Google PlayまたはGoogle Workspaceを使用して、CitrixをEMMプロバイダーとしてGoogle Playに登録できます。この記事では、管理対象Google PlayでAndroid Enterpriseを使用する方法について説明します。組織がGoogle Workspaceを使用してアプリへのアクセスを提供している場合、Android Enterpriseで使用できます。「Google Workspace(旧称:G Suite)ユーザー向けの従来のAndroid Enterprise」を参照してください

管理対象Google Playを使用する場合、デバイスおよびエンドユーザーに管理対象Google Playアカウントをプロビジョニングします。管理対象Google Playアカウントは、管理対象Google Playへのアクセスを提供し、管理者が利用可能にしたアプリをユーザーがインストールし、使用できるようにします。組織がサードパーティのIDサービスを使用する場合、ビジネス向けGoogle Playアカウントと既存のIDアカウントを関連付けることができます。

この種類のエンタープライズはドメインに関連付けられていないため、1つの組織用に1つまたは複数のエンタープライズを作成できます。たとえば、組織の各部門または各地域は異なるエンタープライズとして登録し、デバイスおよびアプリの個別セットとして管理できます。

XenMobileの管理者のために、managed Google Playでは、Google Playのユーザーエクスペリエンスとアプリストアの機能が、エンタープライズ向けに設計された管理機能セットと組み合わされています。ビジネス向けGoogle Playを使用して、アプリを追加、購入、および承認し、デバイスのAndroid Enterpriseワークスペースに展開します。Google Playを使用してパブリックアプリ、プライベートアプリ、およびサードパーティアプリを展開できます。

管理対象デバイスのユーザーの場合、管理対象Google Playがエンタープライズアプリストアです。ユーザーは、アプリの閲覧、アプリの詳細の表示、アプリのインストールを実行できます。Google Playのパブリックバージョンとは異なり、ユーザーは管理者が利用可能にしたアプリのみをビジネス向けGoogle Playからインストールできます。

デバイス展開シナリオと操作モード

デバイス展開シナリオは、展開するデバイスの所有者とデバイスの管理方法を示します。デバイスプロファイルは、DPCがデバイスのポリシーを管理および適用する方法を示します。

この仕事用プロファイルでは、ビジネス用のアカウント、アプリ、データが個人のアカウント、アプリ、データと分離されています。仕事用プロファイルについて詳しくは、Google Android Enterpriseのヘルプトピック(仕事用プロファイルとは)を参照してください。

重要:

Android EnterpriseデバイスをAndroid 11に更新すると、Googleは[仕事用プロファイルで完全に管理]に設定された管理対象デバイスを、セキュリティが強化された新しい仕事用プロファイルエクスペリエンスに移行します。詳しくは、.Android Enterpriseの[仕事用プロファイルで完全に管理]への変更を参照してください。

デバイス管理 使用例 仕事用プロファイル 個人プロファイル メモ
会社所有のデバイス(完全管理対象) 仕事での使用のみを目的とした会社所有のデバイス いいえ はい。DPCは、デバイス全体のアクションを実行できます。デバイス全体の接続の構成、グローバル設定の構成、工場出荷時設定へのリセットなどです。 新規または出荷時設定のデバイスのみ。
仕事用プロファイルで完全に管理 仕事と個人での使用を目的とした会社所有のデバイス はい はい。これらのデバイスで実行されるDPCの2つのコピー:1つはデバイス所有者モードでデバイスを管理し、もう1つはプロファイル所有者モードで仕事用プロファイルを管理します。デバイスと仕事用プロファイルに個別のポリシーを適用できます。 以前は個人使用可能なコーポレート所有(COPE)デバイスと呼ばれていました。
専用デバイス* デジタルサイネージやチケット印刷など、単一のユースケース用に構成された会社所有のデバイス いいえ はい。必要なアプリのみを提供し、ユーザーが他のアプリを追加できないようにします。 以前は特定業務専用コーポレート所有端末(COSU)デバイスと呼ばれていました。
BYOD/仕事用プロファイル** 仕事用プロファイルモードに登録されている個人用デバイス(プロファイル所有者モードとも呼ばれます) はい はい。DPCは、デバイス全体ではなく、仕事用プロファイルのみを管理します。 これらのデバイスは、新品または工場出荷時の設定にリセットする必要がありません。

*ユーザーは専用デバイスを共有できます。ユーザーが専用デバイス上のアプリにサインオンすると、作業の状態はデバイスではなくアプリと連携します。

**XenMobileでは、BYOD/仕事用プロファイルモードのZebraデバイスはサポートされません。XenMobileでは、Zebraデバイスは完全に管理されたデバイスとして、およびデバイス従来モード(デバイス管理者モードともいう)でサポートされます。

従来モードからデバイス所有者モードまたはプロファイル所有者モードへの移行については、「Device AdministrationからAndroid Enterpriseへの移行」を参照してください。

認証方法

登録プロファイルで、AndroidデバイスをMAM、MDM、またはMDM+MAMのいずれで登録するか、およびユーザーがMDMをオプトアウトするオプションを決定します。

セキュリティレベルの指定および必要な登録手順については、「登録セキュリティモードを構成する」を参照してください。

XenMobileは、MDM+MAMのAndroidデバイスに対して、次の認証方法をサポートします。詳しくは、「証明書および認証」を参照してください。

  • ドメイン
  • ドメイン+セキュリティトークン
  • クライアント証明書
  • クライアント証明書およびドメイン
  • IDプロバイダー:
    • Azure Active Directory
    • Citrix IDプロバイダー

使用頻度が少ない別の認証方法には、クライアント証明書とセキュリティトークンの組み合わせがあります。詳しくは、「https://support.citrix.com/article/CTX215200」を参照してください。

要件

Android Enterpriseの使用を開始するには、以下が必要となります:

  • アカウントと資格情報:

    • 管理対象Google PlayでAndroid Enterpriseをセットアップする場合、企業Googleアカウント
    • 最新のMDXファイルをダウンロードする場合、Citrixカスタマーアカウント
    • プライベートアプリを展開する場合(オプション)、Google開発者アカウント
  • XenMobile用に構成されたFirebase Cloud Messaging(FCM)。手順については、「Firebase Cloud Messaging」を参照してください。

  • Samsung Knox Mobile Enrollmentの場合(オプション)、Knoxプレミアムライセンス

XenMobileのGoogle Playへの接続

組織のAndroid Enterpriseをセットアップするには、管理対象Google PlayからCitrixをEMMプロバイダーとして登録します。これにより、managed Google PlayとXenMobileが接続され、XenMobileでAndroid Enterpriseのエンタープライズが作成されます。

Google Playにサインインするための企業Googleアカウントが必要です。

  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [設定]>[Android Enterprise] に移動します。

Android Enterpriseが強調表示された設定ページ

  1. [接続] をクリックします。Google Playが開きます。

Android EnterpriseからGoogle Playへの接続

  1. 企業Googleアカウントの資格情報でGoogle Playにサインインします。組織名を入力し、CitrixがEMMプロバイダーであることを確認します。

  2. Android EnterpriseにエンタープライズIDが追加されます。Android Enterpriseを有効にするには、[Android Enterpriseの有効化][はい] に切り替えます。

    [Android Enterpriseの有効化]オプション

XenMobileコンソールにエンタープライズIDが表示されます。

画像

使用する環境がGoogleに接続され、デバイスを管理する準備ができます。これで、ユーザーにアプリを提供できるようになりました。

XenMobileを使用して、ユーザーにCitrix業務用モバイルアプリ、MDXアプリ、パブリックアプリストアアプリ、WebおよびSaaSアプリ、エンタープライズアプリ、Webリンクを提供できます。これらの種類のアプリとこれらのアプリのユーザーへの提供について詳しくは、「アプリの追加」を参照してください。

次のセクションでは、業務用モバイルアプリを提供する方法を示します。

Android EnterpriseユーザーにCitrix業務用モバイルアプリを提供する

Android EnterpriseユーザーにCitrix業務用モバイルアプリを提供するには、以下の手順を実行する必要があります。

  1. アプリをMDXアプリとして公開します。「アプリをMDXアプリとして構成する」を参照してください。

  2. ユーザーがデバイス上の仕事用プロファイルにアクセスするために使用するセキュリティ確認のルールを構成します。「セキュリティ確認ポリシーを構成する」を参照してください。

公開するアプリは、Android Enterpriseエンタープライズに登録されているデバイスで利用できます。

注:

Android EnterpriseパブリックアプリストアのアプリをAndroidユーザーに展開すると、そのユーザーは自動的にAndroid Enterpriseに登録されます。

アプリをMDXアプリとして構成する

Citrix業務用アプリをAndroid Enterprise用のMDXアプリとして構成するには、次の手順を実行します:

  1. XenMobileコンソールで、[構成]>[アプリ] をクリックします。[アプリ] ページが開きます。

    アプリ構成画面

  2. [追加] をクリックします。[アプリの追加] ダイアログボックスが開きます。

    アプリ構成画面

  3. [MDX] をクリックします。[アプリ情報] ページが開きます。

  4. ページの左側で、プラットフォームとして [Android Enterprise] を選択します。

  5. [アプリケーション情報] ページで、以下の情報を入力します:

    • 名前: アプリの説明的な名前を入力します。この名前は、[アプリ] の表の [アプリ名] の下に表示されます。
    • 説明: 任意で、アプリの説明を入力します。
    • アプリカテゴリ: 任意で、一覧から、アプリを追加するカテゴリを選択します。アプリカテゴリについて詳しくは、「アプリのカテゴリについて」を参照してください。
  6. [次へ] をクリックします。[Android Enterprise MDXアプリ] ページが開きます。

  7. [アップロード] をクリックしてアプリの.mdxファイルの場所に移動し、ファイル選択して [開く] をクリックします。

  8. 追加されたアプリケーションが、管理対象Google Playストアからの承認を必要としているかどうかがUIによって通知されます。XenMobileコンソールを終了せずにアプリケーションを承認するには、[はい] をクリックします。

    MDXアプリケーションの追加

  9. 管理対象Google Playストアのページが開いたら、[承認] をクリックします。

    MDXアプリの承認

  10. [承認] を再度クリックします。

  11. [アプリが新しい権限を要求したときには承認を維持する] を選択します。[保存] をクリックします。

    Google Play承認設定

  12. アプリを承認して保存すると、詳細な設定がページに表示されます。次の設定を構成します:

    • ファイル名: アプリに関連付けられているファイル名を入力します。
    • アプリの説明: アプリの説明を入力します。
    • 製品トラック: ユーザーデバイスにプッシュする製品トラックを指定します。テスト用に設計されたトラックがある場合は、そのトラックを選択してユーザーに割り当てることができます。デフォルトは[実稼働]です。
    • アプリのバージョン: 任意で、アプリのバージョン番号を入力します。
    • パッケージID: Google PlayストアでのアプリのURL。
    • 最小OSバージョン: 任意で、アプリを使用するためにデバイスで実行できるオペレーティングシステムの最も古いバージョンを入力します。
    • 最大OSバージョン: 任意で、アプリを使用するためにデバイスで実行されている必要があるオペレーティングシステムの最も新しいバージョンを入力します。
    • 除外するデバイス: 任意で、アプリを実行できないデバイスの製造元またはモデルを入力します。
  13. MDXポリシーを構成します。MDXアプリのアプリポリシーについて詳しくは、「MDXポリシーの概要」および「MAM SDKの概要」 を参照してください。

  14. 展開規則を構成します。詳しくは、「リソースの展開」を参照してください。

  15. [ストア構成] を展開します。この設定は、管理対象Google Playにのみ表示されるAndroid Enterpriseアプリには適用されません。

    アプリ構成画面

    任意で、アプリに関するFAQや、アプリストアに表示されるスクリーンショットを追加できます。また、ユーザーにアプリの評価やアプリについてのコメントを許可するかどうかも設定できます。

    • 次の設定を構成します:
      • アプリのFAQ: アプリに関するFAQの質問および回答を追加します。
      • アプリのスクリーンショット: アプリをアプリストアで分類しやすくするためのスクリーンショットを追加します。アップロードするグラフィックはPNGである必要があります。GIFイメージやJPEGイメージはアップロードできません。
      • アプリ評価を許可: ユーザーにアプリの評価を許可するかどうかを選択します。デフォルトは [オン] です。 アプリコメントを許可: 選択したアプリについてユーザーがコメントできるようにするかどうかを選択します。デフォルトは [オン] です。
  16. [次へ] をクリックします。[承認] ページが開きます。

    アプリ構成画面

    ユーザーアカウントの作成時に承認が必要な場合は、ワークフローを使用します。承認ワークフローを設定しない場合は、手順15に進みます。

    ワークフローを割り当てるか作成するには、次の設定を構成します:

    • 使用するワークフロー: 一覧から既存のワークフローを選択するか、[新しいワークフローの作成] をクリックします。デフォルトは [なし] です。
    • [新しいワークフローの作成] を選択した場合は、次の設定を構成します。詳しくは、「ワークフローの適用」を参照してください。
    • 名前: ワークフローの固有の名前を入力します。
    • 説明: 任意で、ワークフローの説明を入力します。
    • メール承認テンプレート: 一覧から、割り当てる電子メール承認テンプレートを選択します。このフィールドの右にある目のアイコンをクリックすると、ダイアログボックスが開き、テンプレートをプレビューできます。
    • マネージャー承認のレベル: 一覧から、このワークフローで必要なマネージャー承認のレベル数を選択します。デフォルトは [1つのレベル] です。選択できるオプションは以下のとおりです:
      • 不必要
      • 1つのレベル
      • 2つのレベル
      • 3つのレベル
    • Active Directoryドメインの選択: 一覧から、ワークフローで使用する適切なActive Directoryドメインを選択します。
    • 追加の必須承認者を検索: 検索フィールドに、追加で必要なユーザーの名前を入力して、[検索] をクリックします。名前はActive Directoryで取得されます。
    • ユーザーの名前がフィールドに表示されたら、名前の横にあるチェックボックスをオンにします。ユーザーの名前とメールアドレスが [選択した追加の必須承認者] の一覧に表示されます。
      • [選択した追加の必須承認者] の一覧からユーザーを削除するには、次のいずれかを行います:
        • [検索] をクリックして、選択したドメイン内のすべてのユーザーの一覧を表示します。
        • 名前の全体または一部を検索ボックスに入力して [検索] をクリックし、検索結果を絞り込みます。
        • [選択した追加の必須承認者] の一覧に含まれるユーザーは、結果一覧に表示される名前の横にチェックマークがあります。一覧をスクロールし、削除するそれぞれの名前の横のチェックボックスをオフにします。
  17. [次へ] をクリックします。[デリバリーグループ割り当て] ページが開きます。

    アプリ構成画面

  18. [デリバリーグループを選択] の横にデリバリーグループを入力して検索するか、一覧で1つまたは複数のグループを選択します。選択したグループが [アプリ割り当てを受信するためのデリバリーグループ] 一覧に表示されます。

  19. [展開スケジュール] を展開して以下の設定を構成します:

    • [展開] の横の [オン] をクリックすると展開がスケジュールされ、[オフ] をクリックすると展開が行われません。デフォルトのオプションは、[オン]です。
    • [展開スケジュール]の横の [すぐに] または [後で] をクリックします。デフォルトのオプションは、[Now] です。
    • [あとで] をクリックした場合は、カレンダーアイコンをクリックして展開日時を選択します。
    • [展開状態] の横の [接続するたび] をクリックするか、[以前の展開が失敗した場合のみ] をクリックします。デフォルトのオプションは、[On every connection]です。
    • [常時接続に対する展開] の横で、[オフ] が選択されていることを確認します。デフォルトのオプションは、[オフ]です。XenMobileの使用を10.18.19以降のバージョンで始めたユーザーは、Android Enterpriseで常時接続を使用できません。バージョン10.18.19より前にXenMobileを使い始めたユーザーには、この接続は推奨されません。

      このオプションは、[設定]>[サーバープロパティ] において、バックグラウンドで展開するキーのスケジュールを構成した場合に適用されます。

      構成した展開スケジュールはすべてのプラットフォームについて同一です。すべてのプラットフォームに変更が適用されます。ただし、[常時接続に対する展開] は適用されません。

  20. [保存] をクリックします。

この手順を繰り返して、業務用モバイルアプリごとにMDXアプリを構成します。

セキュリティ確認ポリシーを構成する

XenMobileパスコードデバイスポリシーでは、ユーザーがデバイスまたはデバイス上のAndroid Enterpriseの仕事用プロファイルにアクセスするためのセキュリティ確認のルールセットを構成します。セキュリティ確認はパスコードか生体認証です。パスコードポリシーについて詳しくは、「パスコードデバイスポリシー」を参照してください。

  • Android Enterpriseの展開にBYODデバイスが含まれる場合、仕事用プロファイルのパスコードポリシーを構成します。
  • 展開に会社所有の完全管理デバイスが含まれる場合、デバイス自体のパスコードポリシーを構成します。
  • 展開に両方のタイプのデバイスが含まれる場合、両方のタイプのパスコードポリシーを構成します。

パスコードポリシーを構成するには:

  1. XenMobileコンソールで、[構成]>[デバイスポリシー] に移動します。

  2. [追加] をクリックします。

  3. [フィルターを表示] をクリックして、[ポリシープラットフォーム] ペインを開きます。[ポリシープラットフォーム] ペインで、[Android Enterprise] を選択します。

  4. 右ペインで [パスコード] をクリックします。

パスワードセキュリティオプション

  1. [ポリシー名] を入力します。[次へ] をクリックします。

    パスワードセキュリティ名

  2. パスコードポリシー設定を構成します。
    • デバイス自体のセキュリティ確認に使用できる設定を確認するには、[デバイスのパスコードを要求][オン] に設定します。
    • 仕事用プロファイルのセキュリティ確認に使用できる設定を確認するには、[仕事用プロファイルのセキュリティ確認][オン] に設定します。
  3. [次へ] をクリックします。

  4. このポリシーを1つ以上のデリバリーグループに割り当てます。

  5. [保存] をクリックします。

登録プロファイルの作成

XenMobile展開でAndroid Enterpriseが有効になっている場合、登録プロファイルによってAndroidデバイスの登録方法が制御されます。登録プロファイルを作成してAndroid Enterpriseデバイスを登録する場合は、登録プロファイルを構成して、新しいデバイスおよび工場出荷時リセットデバイスを以下のデバイスとして登録できます:

  • 完全に管理されているデバイス
  • 専用デバイス(COSUデバイス)
  • 仕事用プロファイルで完全に管理されたデバイス(COPEデバイス)

これらのAndroid Enterpriseの登録プロファイルをそれぞれ構成して、BYODのAndroidデバイスを仕事用プロファイルデバイスとして登録することもできます。

XenMobile展開でAndroid Enterpriseが有効になっている場合、新しく登録または再登録したすべてのAndroidデバイスがAndroid Enterpriseデバイスとして登録されます。デフォルトでは、Global登録プロファイルは、新規および工場出荷時にリセットされたAndroidデバイスを完全に管理されたデバイスとして登録し、BYOD Androidデバイスを仕事用プロファイルデバイスとして登録します。

登録プロファイルを作成したら、デリバリーグループを登録プロファイルに割り当てます。異なる登録プロファイルを持つ複数のデリバリーグループにユーザーが属している場合、デリバリーグループの名前によって、使用される登録プロファイルが決まります。XenMobileは、デリバリーグループのアルファベット順一覧の最後に表示されるデリバリーグループを選択します。詳しくは、「登録プロファイル」を参照してください。

登録プロファイルを使用して、MDMのみ、MDM+MAM、MAMのみなどの複数のユースケースを組み合わせることができます。サーバープロパティxms.server.modeに反映される、XenMobile Serverライセンスの種類は、[構成]>[登録プロファイル]で設定できます。

完全に管理されたデバイスの登録プロファイルの追加

グローバル登録プロファイルは、デフォルトで完全に管理されたデバイスを登録しますが、完全に管理されたデバイスを登録するための登録プロファイルをさらに作成できます。

  1. XenMobileコンソールで、[構成]>[登録プロファイル] の順に移動します。

  2. 登録プロファイルを追加するには、[追加] をクリックします。[登録情報]ページで、登録プロファイルの名前を入力します。

  3. このプロファイルのメンバーが登録できるデバイスの数を設定します。

  4. [プラットフォーム][Android] を選択するか、[次へ] をクリックします。[登録構成] ページが開きます。

  5. [管理][Android Enterprise] に設定します。

  6. [デバイス所有者モード][会社所有のデバイス] に設定します。

    登録プロファイル構成画面

  7. [BYOD/仕事用プロファイル] を使用すると、BYODデバイスを仕事用プロファイルデバイスとして登録するように登録プロファイルを構成できます。新しいデバイスおよび工場出荷時リセットデバイスは、完全に管理されたデバイスとして登録されます。

    • [BYOD/仕事用プロファイル][オン] に設定すると、BYODデバイスを仕事用プロファイルデバイスとして登録できます。デフォルトは [オン] です。
    • [BYOD/仕事用プロファイル][オフ] に設定して、登録を完全に管理されたデバイスに制限します。
  8. Citrix MAMにデバイスを登録するかどうかを選択します。

  9. [BYOD/仕事用プロファイル][オン] に設定している場合は、ユーザーの同意を構成します。BYOD/仕事用プロファイルデバイスのユーザーがデバイスの登録時にデバイス管理を拒否することを許可するには、[ユーザーにデバイス管理の許否を許可][オン] に設定します。

    [BYOD/仕事用プロファイル][オン] に設定されている場合、[ユーザーにデバイス管理の許否を許可] のデフォルト値は [オン] です。[BYOD/仕事用プロファイル][オフ] に設定されている場合、[ユーザーにデバイス管理の許否を許可] は無効になっています。

  10. [割り当て] を選択します(オプション)。[デリバリーグループ割り当て] ページが開きます。

  11. 完全に管理されたデバイスを登録した管理者を含む、1つまたは複数のデリバリーグループを選択します。次に、[保存] をクリックします。

    [登録プロファイル]ページに、追加したプロファイルが表示されます。

    登録プロファイル構成画面

専用デバイス登録プロファイルの追加

XenMobile展開に専用デバイスが含まれている場合、1人のXenMobile管理者、または数人の管理者グループが多数の専用デバイスを登録します。こうした管理者が必要なすべてのデバイスを登録できるようにするには、ユーザーごとに無制限のデバイスを許可した状態で登録プロファイルを作成します。

  1. XenMobileコンソールで、[構成]>[登録プロファイル] の順に移動します。

  2. 登録プロファイルを追加するには、[追加] をクリックします。[登録情報]ページで、登録プロファイルの名前を入力します。このプロファイルのメンバーが登録できるデバイスの数が無制限に設定されていることを確認します。

  3. [プラットフォーム][Android] を選択するか、[次へ] をクリックします。[登録構成] ページが開きます。

  4. [管理][Android Enterprise] に設定します。

  5. [デバイス所有者モード][専用デバイス] に設定します。

    [登録プロファイル]ページ

  6. [BYOD/仕事用プロファイル] を使用すると、BYODデバイスを仕事用プロファイルデバイスとして登録するように登録プロファイルを構成できます。新しいデバイスおよび工場出荷時リセットデバイスは、専用デバイスとして登録されます。[BYOD/仕事用プロファイル][オン] に設定すると、BYODデバイスを仕事用プロファイルデバイスとして登録できます。[BYOD/仕事用プロファイル][オフ] に設定して、登録を会社所有のデバイスに制限します。デフォルトは [オン] です。

  7. Citrix MAMにデバイスを登録するかどうかを選択します。

  8. [BYOD/仕事用プロファイル][オン] に設定している場合は、ユーザーの同意を構成します。BYOD/仕事用プロファイルデバイスのユーザーがデバイスの登録時にデバイス管理を拒否することを許可するには、[ユーザーにデバイス管理の許否を許可][オン] に設定します。

    [BYOD/仕事用プロファイル][オン] に設定されている場合、[ユーザーにデバイス管理の許否を許可] のデフォルト値は [オン] です。[BYOD/仕事用プロファイル][オフ] に設定されている場合、[ユーザーにデバイス管理の許否を許可] は無効になっています。

  9. [割り当て] を選択します(オプション)。[デリバリーグループ割り当て] ページが開きます。

  10. 専用デバイスを登録した管理者を含む、1つまたは複数のデリバリーグループを選択します。次に、[保存] をクリックします。

    [登録プロファイル]ページに、追加したプロファイルが表示されます。

    登録プロファイル構成画面

仕事用プロファイルで完全に管理されたデバイスの登録プロファイルの追加

  1. XenMobileコンソールで、[構成]>[登録プロファイル] の順に移動します。

  2. 登録プロファイルを追加するには、[追加] をクリックします。[登録情報]ページで、登録プロファイルの名前を入力します。

  3. このプロファイルのメンバーが登録できるデバイスの数を設定します。

  4. [プラットフォーム][Android] を選択するか、[次へ] をクリックします。[登録構成] ページが開きます。

  5. [管理][Android Enterprise] に設定します。[デバイスの所有者モード][仕事用プロファイルで完全に管理] に設定します。

    登録プロファイル構成画面

  6. [BYOD/仕事用プロファイル] を使用すると、BYODデバイスを仕事用プロファイルデバイスとして登録するように登録プロファイルを構成できます。新しいデバイスおよび工場出荷時リセットデバイスは、仕事用プロファイルで完全に管理されたデバイスとして登録されます。[BYOD/仕事用プロファイル][オン] に設定すると、BYODデバイスを仕事用プロファイルデバイスとして登録できます。[BYOD/仕事用プロファイル][オフ] に設定して、登録を専用デバイスに制限します。デフォルトは [オフ] です。

  7. Citrix MAMにデバイスを登録するかどうかを選択します。

  8. [BYOD/仕事用プロファイル][オン] に設定している場合は、ユーザーの同意を構成します。BYOD/仕事用プロファイルデバイスのユーザーがデバイスの登録時にデバイス管理を拒否することを許可するには、[ユーザーにデバイス管理の許否を許可][オン] に設定します。

    [BYOD/仕事用プロファイル][オン] に設定されている場合、[ユーザーにデバイス管理の許否を許可] のデフォルト値は [オン] です。[BYOD/仕事用プロファイル][オフ] に設定されている場合、[ユーザーにデバイス管理の許否を許可] は無効になっています。

  9. [割り当て] を選択します(オプション)。[デリバリーグループ割り当て] ページが開きます。

  10. 仕事用プロファイルで完全に管理されたデバイスを登録した管理者を含む、1つまたは複数のデリバリーグループを選択します。次に、[保存] をクリックします。

    [登録プロファイル]ページに、追加したプロファイルが表示されます。

    [登録プロファイル]ページ

従来デバイスの登録プロファイルの追加

Googleは、デバイス管理のデバイス管理者モードを廃止しています。デバイス所有者モードまたはプロファイル所有者モードで、すべてのAndroidデバイスを管理することが推奨されています。(Google Android Enterprise開発者ガイドのDevice admin deprecationを参照してください。)

この変更を利用するには、以下の設定が必要です:

  • Citrixは、Android EnterpriseをAndroidデバイスのデフォルトの登録オプションにしています。
  • XenMobile展開でAndroid Enterpriseが有効になっている場合、新しく登録または再登録したすべてのAndroidデバイスがAndroid Enterpriseデバイスとして登録されます。

組織では、従来のAndroidデバイスを、Android Enterpriseを使用して管理する準備ができていない可能性があります。その場合は、デバイス管理者モードで引き続き管理できます。既にデバイス管理者モードで登録されているデバイスの場合、XenMobileはデバイス管理者モードでそれらを管理し続けます。

新しいAndroidデバイスの登録でデバイス管理者モードを使用できるように、従来のデバイスの登録プロファイルを作成します。

従来デバイスの登録プロファイルを作成するには、次の手順を実行します:

  1. XenMobileコンソールで、[構成]>[登録プロファイル] の順に移動します。

  2. 登録プロファイルを追加するには、[追加] をクリックします。[登録情報]ページで、登録プロファイルの名前を入力します。

  3. このプロファイルのメンバーが登録できるデバイスの数を設定します。

  4. [プラットフォーム][Android] を選択するか、[次へ] をクリックします。[登録構成] ページが開きます。

  5. [管理][従来のデバイス管理 (非推奨)] に設定します。[次へ] をクリックします。

    登録プロファイル構成画面

  6. Citrix MAMにデバイスを登録するかどうかを選択します。

  7. ユーザーがデバイスの登録時にデバイス管理を拒否することを許可するには、[ユーザーにデバイス管理の許否を許可][オン] に設定します。デフォルトは [オン] です。

  8. [割り当て] を選択します(オプション)。[デリバリーグループ割り当て] ページが開きます。

  9. 専用デバイスを登録した管理者を含む、1つまたは複数のデリバリーグループを選択します。次に、[保存] をクリックします。

[登録プロファイル]ページに、追加したプロファイルが表示されます。

[登録プロファイル]ページ

引き続きデバイス管理者モードで従来デバイスを管理するには、このプロファイルを使用して従来デバイスを登録または再登録します。仕事用プロファイルデバイスと同様のデバイス管理者デバイスを登録するには、ユーザーにSecure Hubをダウンロードさせ、登録サーバーのURLを指定します。

Android Enterpriseの仕事用プロファイルデバイスのプロビジョニング

Android Enterprise仕事用プロファイルデバイスは、プロファイル所有者モードで登録されます。これらのデバイスは、新品または工場出荷時の設定にリセットする必要がありません。BYODデバイスは、仕事用プロファイルデバイスとして登録されます。登録手順は、XenMobileでAndroidを登録する場合と同様です。ユーザーはGoogle PlayからSecure Hubをダウンロードし、デバイスを登録します。

デバイスがAndroid Enterpriseの仕事用プロファイルデバイスとして登録されている場合、デフォルトではUSBデバッグおよび不明なソース設定は無効になっています。

Android Enterpriseのデバイスを仕事用プロファイルデバイスとして登録する場合は、必ずGoogle Playにアクセスしてください。そこから、ユーザーの個人プロファイルでのSecure Hubの表示を有効にします。

Android Enterpriseの完全に管理されたデバイスのプロビジョニング

前のセクションで設定した展開に、完全に管理されたデバイスを登録できます。完全に管理されたデバイスは会社所有のデバイスで、デバイス所有者モードで登録されます。デバイス所有者モードで登録できるのは、新しいデバイスまたは工場出荷時の状態にリセットされたデバイスのみです。

デバイス所有者モードでデバイスを登録するには、次の登録方法のいずれかを使用します:

  • DPC IDトークン: この登録方法では、ユーザーがデバイスの設定時に「afw#xenmobile」という文字を入力します。afw#xenmobileはCitrix DPC IDトークンです。このトークンにより、デバイスがXenMobileの管理対象であると識別され、Google PlayストアからSecure Hubがダウンロードされます。「Citrix DPC識別子トークンを使用したデバイスの登録」を参照してください。
  • 近距離無線通信(NFC)バンプ: NFCバンプの登録方法では、近距離無線通信を使用して2つのデバイス間でデータを転送します。新しいデバイスまたは工場出荷時設定にリセットされたデバイスでは、Bluetooth、Wi-Fi、およびそのほかの通信モードは無効になっています。この状態のデバイスが使用する通信プロトコルはNFCのみです。「NFCバンプを使用してデバイスを登録する」を参照してください。
  • QRコード: QRコード登録は、NFCをサポートしていないタブレットなどの分散型端末を登録するのに使用できます。QRコードによる登録方法では、インストールウィザードからQRコードをスキャンすることによって、デバイスプロファイルモードを設定および構成します。「QRコードを使用してデバイスを登録する」を参照してください。
  • ゼロタッチ: ゼロタッチ登録では、最初に電源をオンにしたときに自動で登録されるようにデバイスを構成できます。ゼロタッチ登録は、Android 9.0以降が動作する一部のAndroidデバイスでサポートされています。「ゼロタッチ登録」を参照してください。
  • Googleアカウント: ユーザーは、Googleアカウントの資格情報を入力して、プロビジョニングプロセスを開始します。このオプションは、Google Workspaceを使用している企業向けです。

Citrix DPC識別子トークンを使用したデバイスの登録

初期セットアップで新しいデバイスまたは工場出荷時の状態にリセットされたデバイスの電源を入れた後、Googleアカウントの入力を求められたら「afw#xenmobile」と入力します。この操作により、Secure Hubがダウンロードされインストールされます。インストール後、Secure Hubの設定プロンプトに従って登録を完了します。

この登録方法ではSecure Hubの最新バージョンがGoogle Playストアからダウンロードされるため、ほとんどのお客様に推奨されます。他の登録方法とは異なり、XenMobile Serverでダウンロード用にSecure Hubを提供することはありません。

システム要件

  • Android OSを実行するすべてのAndroidデバイスでサポートされます。

デバイスを登録するには

  1. 新しいデバイスまたは工場出荷時の設定にリセットされたデバイスの電源を入れます。

  2. デバイスの初期セットアップが読み込まれ、Googleアカウントの入力が求められます。デバイスのホーム画面が読み込まれたら、通知バーのセットアップ完了通知を確認します。

  3. メールまたは電話フィールドに「afw#xenmobile」と入力します。

    デバイスセットアップテキスト

  4. Secure Hubのインストールを求めるAndroid Enterprise画面で [インストール] をタップします。

  5. Secure Hubインストーラー画面で [インストール] をタップします。

  6. すべてのアプリの許可リクエストに対して [許可する] をタップします。

  7. [同意して続行] をタップしてSecure Hubをインストールし、デバイスを管理できるようにします。

  8. これで、Secure Hubがインストールされ、デフォルトの登録画面に表示されます。この例では、AutoDiscoveryは設定されていません。自動検出が設定されている場合、ユーザーはユーザー名/メールアドレスを入力可能で、それに対応するサーバーが検出されます。自動検出が設定されていない場合、環境の登録URLを入力して [次へ] をタップします。

    Secure Hub資格情報

  9. XenMobileのデフォルト設定では、MAMを使用するか、MDM+MAMを使用するかを選択できます。このようにプロンプトが表示されたら、[はい、登録します] をタップしてMDM+MAMを選択します。

  10. ユーザー名とパスワードを入力し、[次へ] をタップします。

  11. デバイスのパスコードを設定するように求められます。[設定] をタップしてパスコードを入力します。

  12. 仕事用プロファイルのロック解除方法を設定するよう求められます。この例では [パスワード][PIN] をタップしてPINを入力します。

    パスコードオプション

  13. デバイスにSecure Hubの [マイアプリ] ランディング画面が表示されます。[ストアからアプリを追加] をタップします。

  14. Secure Webを追加するには、[Secure Web] をタップします。

    Secure Hubストア

  15. [追加] をタップします。

  16. Secure Hubで、Secure WebをインストールするためにGoogle Playストアに移動します。[インストール] をタップします。

  17. Secure Webがインストールされたら、[開く] をタップします。アドレスバーに内部サイトのURLを入力し、ページが読み込まれることを確認します。

  18. デバイスで [設定] > [アカウント] に移動します。管理対象アカウントが変更できないことを確認します。画面の共有またはリモートデバッグのための開発者オプションもブロックされます。

    アカウント変更

NFCバンプを使用してデバイスを登録する

NFCバンプを使用して完全に管理されたデバイスとしてデバイスを登録するには、工場出荷時の設定にリセットされたデバイスと、XenMobile Provisioning Toolを実行するデバイスの2台のデバイスが必要です。

システム要件および前提条件

  • サポートされるAndroidデバイス
  • 完全に管理されたデバイスとしてAndroid Enterprise向けにプロビジョニングされた、新規または工場出荷時設定にリセットされたデバイス。この前提条件を完了する手順については、後述します。
  • 構成済みのプロビジョニングツールを実行している、NFC機能が備わった別のデバイス。Provisioning Toolは、Secure HubまたはCitrixダウンロードページから入手できます。

各デバイスでは、管理対象Secure HubというAndroid Enterpriseプロファイルを1つのみ保有できます。各デバイスで許可されるプロファイルは1つのみです。2つ目のDPCアプリを追加しようとすると、インストール済みのSecure Hubが削除されます。

NFCバンプを介して転送されるデータ

工場出荷時の設定にリセットされたデバイスをプロビジョニングするには、以下のデータをNFCバンプ経由で送信してAndroid Enterpriseを初期化する必要があります:

  • デバイス所有者として機能するDPCアプリ(この場合はSecure Hub)のパッケージ名。
  • デバイスがDPCアプリをダウンロードできるイントラネット/インターネット上の場所。
  • ダウンロードが正常に完了したかどうかを確認するDPCアプリのSHA1ハッシュ。
  • 工場出荷時の設定にリセットされたデバイスがDPCアプリに接続してダウンロードできるようにするWi-Fi接続の詳細。注:現時点では、Androidはこの手順での802.1x Wi-Fiをサポートしていません。
  • デバイスのタイムゾーン(オプション)。
  • デバイスの地理的な場所(オプション)。

2つのデバイスがバンプされると、プロビジョニングツールのデータが工場出荷時の設定にリセットされたデバイスに送信されます。このデータはその後、管理者設定でのSecure Hubのダウンロードに使用されます。タイムゾーンと場所の値を入力しない場合、新しいデバイスではAndroidによって自動的にこれらの値が構成されます。

XenMobile Provisioning Toolの構成

NFCバンプを行う前に、プロビジョニングツールを構成する必要があります。この構成はその後、工場出荷時の設定にリセットされたデバイスに、NFCバンプ中に転送されます。

プロビジョニングツール構成

必須項目にデータを直接入力することも、テキストファイルから入力することもできます。次の手順では、テキストファイルを構成する方法と各フィールドに説明を含める方法について説明します。入力後のデータはアプリでは保存されないため、テキストファイルを作成して、今後の使用に備えて情報を保存しておくことをお勧めします。

テキストファイルを使用してプロビジョニングツールを構成するには

ファイルの名前をnfcprovisioning.txtにして、/sdcard/フォルダーにあるデバイスのSDカードに格納します。アプリによってこのテキストファイルが読み込まれ、値が入力されます

テキストファイルには次のデータが必要です:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

この行は、EMMプロバイダーアプリのイントラネット/インターネットの場所です。工場出荷時設定のデバイスがNFCバンプの後にWi-Fiに接続した場合、デバイスはダウンロードのためにこの場所にアクセスする必要があります。URLは通常のURLで、特別な形式にする必要はありません。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

この行は、EMMプロバイダーアプリのチェックサムです。このチェックサムはダウンロードが成功したかを検証するために使用されます。チェックサムを取得する手順については、後述します。

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

この行は、プロビジョニングツールを実行しているデバイスが接続されているWi-FiのSSIDです。

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

サポートされる値はWEPおよびWPA2です。Wi-Fiが保護されていない場合、このフィールドは空白にする必要があります。

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Wi-Fiが保護されていない場合、このフィールドは空白にする必要があります。

android.app.extra.PROVISIONING_LOCALE=<locale>

言語コードと国コードを入力します。言語コードは、ISO 639-1で定義されている小文字で2文字のISO言語コード(「en」など)です。国コードは、ISO 3166-1で定義されている大文字で2文字のISO国コード(「US」など)です。たとえば、アメリカ合衆国で話されている英語の場合は「en_US」と入力します。コードを入力しない場合、国と言語は自動的に入力されます。

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

デバイスが実行されるタイムゾーンです。フォームの地域/場所のOlson名を入力します。たとえば、米国太平洋標準時の場合は「America/Los_Angeles」です。名前を入力しない場合、タイムゾーンは自動的に入力されます。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

このデータはSecure Hubとしてアプリにハードコードされるため、必須ではありません。ここでは、情報の完全性を守るためだけに記載しています。

WPA2を使用して保護されたWi-Fiの場合、完了したnfcprovisioning.txtファイルは以下の例のようになります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

保護されていないWi-Fiの場合、完了したnfcprovisioning.txtファイルは以下の例のようになります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Citrix Secure Hubのチェックサムを取得するには

Secure Hubのチェックサムは次の定数値です:qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM。Secure HubのAPKファイルをダウンロードするには、次のGoogle Playストアのリンクを使用します:https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

アプリのチェックサムを取得するには

前提条件:

  • Android SDKビルドツールのapksignerツール
  • OpenSSLコマンドライン

アプリのチェックサムを取得するには、次の手順に従います:

  1. Google PlayストアからアプリのAPKファイルをダウンロードします。
  2. OpenSSLコマンドラインで、apksignerツールandroid-sdk/build-tools/<version>/apksignerに移動して、以下を入力します:

    apksigner verify -print-certs <apk_path> | perl -nle 'print $& if m{(?<=SHA-256 digest:) .*}'  | xxd -r -p | openssl base64 | tr -d '=' | tr -- '+/=' '-_'
    <!--NeedCopy-->
    

    コマンドから有効なチェックサムが返されます。

  3. QRコードを生成するには、PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUMフィールドにチェックサムを入力します。例:
{
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.zenprise/com.zenprise.configuration.AdminFunction",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=xenmobile",
  "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
      "serverURL": "https://supportablility.xm.cloud.com"
   }
}
<!--NeedCopy-->

使用するライブラリ

プロビジョニングツールでは、以下のライブラリがソースコードに使用されています。

  • v7 appcompat library、Design support library、およびv7 Palette library by Google(Apache license 2.0)

    詳しくは、「Support Libraryの機能」を参照してください。

  • Butter Knife by Jake Wharton(Apache license 2.0)

QRコードを使用してデバイスを登録する

QRコードを使用して完全に管理されたデバイスを登録するには、JSONを作成してQRコードに変換し、QRコードを生成します。このQRコードをデバイスカメラでスキャンし、デバイスを登録します。

システム要件

  • Android 9.0以降を実行するすべてのAndroidデバイスでサポートされます。

JSONからQRコードを作成する

次のフィールドがあるJSONを作成します。

これらのフィールドは必須です。

キー:android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

値:com.zenprise / com.zenprise.configuration.AdminFunction

キー: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

値:qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

キー:android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

値:https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

これらのフィールドはオプションです。

  • android.app.extra.PROVISIONING_LOCALE: 言語コードおよび国コードを入力します。

    言語コードは、ISO 639-1で定義されている小文字で2文字のISO言語コード(「en」など)です。国コードは、ISO 3166-1で定義されている大文字で2文字のISO国コード(「US」など)です。たとえば、アメリカ合衆国で話されている英語の場合は「en_US」と入力します。

  • android.app.extra.PROVISIONING_TIME_ZONE: これはデバイスが実行されているタイムゾーンです。

    フォームの地域/場所のOlson名を入力します。たとえば、米国太平洋標準時の場合は「America/Los_Angeles」です。入力しない場合、タイムゾーンは自動的に入力されます。

  • android.app.extra.PROVISIONING_LOCAL_TIME: エポックからのミリ秒単位の時間。

    Unixエポック(またはUnix時間またはPOSIX時間またはUnixタイムスタンプ)は、1970年1月1日(UTC/ GMT午前0時)から経過した秒数で、うるう秒数は含まれません(ISO 8601: 1970-01-01T00:00:00Z)。

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: プロファイル作成時に暗号化をスキップするには、trueに設定します。プロファイルの作成時に暗号化を強制するには、falseに設定します。

以下の図に、典型的なJSONの例を示します。

典型的なJSON

https://jsonlint.comなどのJSON検証ツールを使用して作成されたJSONを検証します。https://www.qr-code-generator.com などのオンラインQRコードジェネレータを使用して、JSON文字列をQRコードに変換します。

このQRコードは工場出荷時の設定にリセットされたデバイスによってスキャンされ、これによってデバイスを完全に管理されたデバイスとして登録できます。

デバイスを登録するには

新しいデバイスまたは工場出荷時の設定にリセットされたデバイスの電源を入れた後、以下を行います:

  1. ようこそ画面で画面を6回タップすると、QRコードの登録フローが開始されます。
  2. プロンプトが表示されたら、Wi-Fiに接続します。(JSONでエンコードされた)QRコードにあるSecure Hubのダウンロード場所には、このWi-Fiネットワーク経由でアクセスできます。

    端末がWi-Fiに接続されると、GoogleからQRコードリーダーをダウンロードしてカメラを起動します。

  3. カメラをQRコードに合わせて、コードをスキャンします。

    Androidは、QRコードのダウンロード場所からSecure Hubをダウンロードし、署名証明書の署名を検証し、Secure Hubをインストールし、デバイス所有者として設定します。

詳しくは、Android EMM開発者向けGoogleガイド(https://developers.google.com/android/work/prov-devices#qr_code_method)を参照してください。

ゼロタッチ登録

ゼロタッチ登録を使用すると、初めてデバイスの電源をオンにしたときに完全に管理されているデバイスとしてプロビジョニングするようにセットアップできます。

デバイスのリセラーは、Androidのゼロタッチポータルにアカウントを作成します。このポータルは、デバイスに構成を適用できるオンラインツールです。Androidのゼロタッチポータルを使用して、1つまたは複数のゼロタッチ登録構成を作成し、アカウントに割り当てられたデバイスにこの構成を適用します。ユーザーがこれらのデバイスの電源をオンにすると、デバイスは自動的にXenMobileに登録されます。デバイスに割り当てられた構成によって、自動登録プロセスが定義されます。

システム要件

  • ゼロタッチ登録は、Android 9.0以降でサポートされます。

リセラーからのデバイスとアカウントの情報

  • ゼロタッチ登録の対象となるデバイスは、エンタープライズリセラーまたはGoogleパートナーから購入します。Android Enterpriseのセロタッチパートナー一覧については、Android Webサイトを参照してください。

  • リセラーによって作成されたAndroid Enterpriseのゼロタッチポータルアカウント。

  • リセラーから提供されたAndroid Enterpriseのゼロタッチポータルアカウントのログイン情報。

ゼロタッチ構成の作成

ゼロタッチ構成を作成する場合は、カスタムJSONを含めて構成の詳細を指定します。

このJSONを使用して、指定したXenMobile Serverに登録するようにデバイスを構成します。この例では、サーバーのURLを「URL」に置き換えます。

      {
          "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
        {
              "serverURL":"URL",
         }
      }
<!--NeedCopy-->

オプションでより多くのパラメーターを持つJSONを使用して、構成をさらにカスタマイズできます。この例では、XenMobile Serverと、この構成を使用するデバイスがそのサーバーにログオンするために使用するユーザー名とパスワードを指定します。

     {
        "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
          {
              "serverURL":"URL",
              "xm_username":"username",
              "xm_password":"password"
          }
            }
  <!--NeedCopy-->
  1. Androidのゼロタッチポータル(https://partner.android.com/zerotouch)にアクセスします。ゼロタッチデバイスのリセラーのアカウント情報を使用してログインします。

  2. [Configuration] をクリックします。 ゼロタッチポータル

  3. 構成テーブルの上部にある [+] をクリックします。 ゼロタッチポータル

  4. 開いた構成ウィンドウに構成情報を入力します。 ゼロタッチポータル
    • Configuration name: この構成の名前を入力します。
    • EMM DPC: [Citrix Secure Hub] を選択します。
    • DPC extras: カスタムJSONテキストをフィールドに貼り付けます。
    • Company name: デバイスのプロビジョニング中、Android Enterpriseのゼロタッチデバイスに表示させる名前を入力します。
    • Support email address: サポートが必要なときにユーザーが連絡するメールアドレスを入力します。このアドレスは、デバイスのプロビジョニング前にAndroid Enterpriseのゼロタッチデバイスに表示されます。
    • Support phone number: ユーザーがサポートが必要なときに連絡する電話番号を入力します。この電話番号は、デバイスのプロビジョニング前にAndroid Enterpriseのゼロタッチデバイスに表示されます。
    • Custom Message: オプション。ユーザーが管理者にサポートを求めるように促す、またはデバイスで発生している状況をユーザーに説明するための、1、2行程度の文章を追加します。このカスタムメッセージは、デバイスのプロビジョニング前にAndroid Enterpriseのゼロタッチデバイスに表示されます。
  5. [追加] をクリックします。

  6. さらに構成を作成するには、手順2~4を繰り返します。

  7. デバイスに構成を適用するには、以下の手順を実行します:

    1. Androidのゼロタッチポータルで[Devices] をクリックします。

    2. デバイスの一覧でデバイスを探し、割り当てる構成を選択します。 ゼロタッチポータル

    3. [Update] をクリックします。

CSVファイルを使用して、多数のデバイスに構成を適用できます。

多数のデバイスに構成を適用する方法については、Android Enterpriseのヘルプトピック(ゼロタッチ登録:IT管理者向け)を参照してください。このAndroid Enterpriseのヘルプトピックには、構成を管理してデバイスに適用する方法の詳細が記載されています。

Android Enterprise専用デバイスのプロビジョニング

Android Enterprise専用デバイスは、単一のユースケース専用の完全に管理されたデバイスです。専用デバイスは、企業所有の単一使用(COSU)デバイスとも呼ばれます。これらのデバイスを、このユースケースに必要なタスクを実行する1つのアプリまたはアプリの小セットのみに限定します。また、ユーザーがこれらのデバイスで他のアプリを有効にしたり、他の操作を実行したりすることを禁止することもできます。

専用デバイスは、「Android Enterpriseの完全に管理されたデバイスのプロビジョニング」の説明のとおり、他の完全に管理されたデバイスで使用されている登録方法のいずれかを使用して登録します。専用デバイスをプロビジョニングするには、登録前に追加のセットアップが必要です。

専用デバイスをプロビジョニングするには:

  • XenMobile管理者が専用デバイスをXenMobile展開に登録できるように、XenMobile管理者の登録プロファイルを追加します。「登録プロファイルの作成」を参照してください。
  • 専用デバイスがアクセスするアプリを許可します。
  • 必要に応じて、許可されたアプリがロックタスクモードを許可するように設定します。アプリがロックタスクモードになると、ユーザーがアプリを開いたときにデバイス画面にアプリが固定されます。ホームボタンは表示されず、[戻る]ボタンは無効になります。ユーザーは、サインアウトなど、アプリでプログラムされた操作を使用してアプリを終了します。
  • 追加した登録プロファイルに各デバイスを登録します。

システム要件

  • 専用デバイスの登録は、Android 6.0以降でサポートされます。

アプリの許可とロックタスクモードの設定

キオスクデバイスポリシーを使用すると、アプリを許可し、ロックタスクモードを設定できます。デフォルトでは、Secure HubとGoogle Playサービスが許可されます。

キオスクポリシーを追加するには:

  1. XenMobileコンソールで [構成]>[デバイスポリシー] をクリックします。[デバイスポリシー] ページが開きます。

  2. [追加] をクリックします。[新しいポリシーの追加] ダイアログボックスが開きます。

  3. [詳細] を展開した後、[セキュリティ]の下の [キオスク] をクリックします。[キオスクポリシー]ページが開きます。

  4. [プラットフォーム]で [Android Enterprise] を選択します。他のプラットフォームをクリアします。

  5. [ポリシー情報]ペインで、[ポリシー名] および任意で [説明] を入力します。

  6. [次へ] をクリックし、[追加] をクリックします。

  7. アプリを許可し、そのタスクのロックタスクモードを許可または拒否するには:

    一覧から許可するアプリを選択します。

    ユーザーがアプリを起動したときにアプリをデバイス画面に固定するには、[許可] を選択します。アプリをデバイス画面に固定しない場合は、[拒否] を選択します。デフォルトは [許可] です。

    デバイスポリシー構成画面

  8. [保存] をクリックします。

  9. 別のアプリを許可し、そのタスクのロックタスクモードを許可または拒否する場合は、[追加] をクリックします。

  10. 展開規則を構成し、デリバリーグループを選択します。詳しくは、「デバイスポリシー」を参照してください。

デバイスを登録するには

  1. [次へ] をクリックするか、[プラットフォーム][Android] を選択します。[登録構成] ページが開きます。

  2. [管理][Android Enterprise] に設定します。

  3. [デバイス所有者モード][会社所有のデバイス] に設定します。

    登録プロファイル構成画面

  4. [割り当て] を選択します(オプション)。[デリバリーグループ割り当て] ページが開きます。

  5. 専用デバイスを登録した管理者を含む、1つまたは複数のデリバリーグループを選択します。次に、[保存] をクリックします。

登録プロファイルで [BYOD/仕事用プロファイル] が有効になっていると、新しいデバイスまたは工場出荷時リセットのデバイスではない場合は、仕事用プロファイルデバイスとして登録されます。「Android Enterpriseの仕事用プロファイルデバイスのプロビジョニング」を参照してください。

仕事用プロファイルで完全に管理されたAndroid Enterpriseのデバイス(COPEデバイス)のプロビジョニング

仕事用プロファイルで完全に管理されたデバイス(以前のCOPEデバイス)は、仕事用と個人用の両方で使用される会社所有のデバイスです。組織はデバイス全体を管理します。あるポリシーのセットをデバイスに適用し、別のポリシーのセットを仕事用プロファイルに適用できます。

XenMobileコンソールでは、仕事用プロファイルで完全に管理されたデバイスは次の用語で表示されます:

  • デバイス所有権は「Corporate」です。

  • デバイスのAndroid Enterpriseインストールの種類は「Corporate Owner Personally Enabled」です。

システム要件

  • 仕事用プロファイルで完全に管理されたデバイスの登録は、Android 9.0からAndroid 10.xでサポートされます。

仕事用プロファイルで完全に管理されたデバイスの登録プロファイルの追加

仕事用プロファイルで完全に管理されたデバイスを登録するための登録プロファイルを作成します。この登録プロファイルに割り当てられたデリバリーグループの管理者は、仕事用プロファイルで完全に管理されたデバイスに登録できます。こうした管理者が必要なすべてのデバイスを登録できるようにするには、ユーザーごとに無制限のデバイスを許可した状態で登録プロファイルを作成します。このプロファイルを、仕事用プロファイルで完全に管理されたデバイスを登録する管理者が属するデリバリーグループに割り当てます。

  1. XenMobileコンソールで、[構成]>[登録プロファイル] の順に移動します。

  2. 登録プロファイルを追加するには、[追加] をクリックします。[登録情報]ページで、登録プロファイルの名前を入力します。このプロファイルのメンバーが登録できるデバイスの数が無制限に設定されていることを確認します。

  3. [次へ] をクリックするか、[プラットフォーム][Android Enterprise] を選択します。[登録構成] ページが開きます。

  4. 「登録の種類」 を次のいずれかに設定します:
    • 完全管理の対象/仕事用プロファイル: 新しいデバイスまたは工場出荷時の状態にリセットされたデバイスは、完全に管理されたデバイスとして登録されます。BYODデバイスは、ユーザーが管理する仕事用プロファイルでのみ登録されます。
    • COPE/仕事用プロファイル: 新しいデバイスまたは工場出荷時の状態にリセットされたデバイスは、仕事用プロファイルで完全に管理されたデバイスとして登録されます。BYODデバイスは、ユーザーが管理する仕事用プロファイルでのみ登録されます。

    登録プロファイル構成画面

  5. [割り当て](オプション) を選択するか、[次へ] をクリックします。[デリバリーグループ割り当て] ページが開きます。

  6. 専用デバイスを登録した管理者を含む、1つまたは複数のデリバリーグループを選択します。次に、[保存] をクリックします。

    [登録プロファイル]ページに、追加したプロファイルが表示されます。

    登録プロファイル構成画面

異なる登録プロファイルを持つ複数のデリバリーグループにユーザーが属している場合、デリバリーグループの名前によって、使用される登録プロファイルが決まります。XenMobileは、デリバリーグループのアルファベット順一覧の最後に表示されるデリバリーグループを選択します。

デバイスを登録するには

新しいデバイスおよび工場出荷時の状態にリセットされたデバイスは、DPC IDトークン、近距離無線通信(NFC)バンプ、またはQCコード方式を使用して、仕事用プロファイルで完全に管理されたデバイスとして登録されます。「Citrix DPC識別子トークンを使用したデバイスの登録」、「NFCバンプを使用してデバイスを登録する」、または「QRコードを使用してデバイスを登録する」を参照してください。

新しいデバイスまたは工場出荷時の状態にリセットされたデバイスではない場合、「Android Enterpriseでの仕事用プロファイルデバイスのプロビジョニング」の説明に従って仕事用プロファイルデバイスとして登録されます。

XenMobileコンソールでのAndroid Enterpriseデバイスの表示

  1. XenMobileコンソールで、[管理]>[デバイス] の順に移動します。

  2. このページの表の右側にあるメニューをクリックして、[Android Enterprise対応デバイスですか?] 列を追加します。 Android Enterpriseデバイスリスト

  3. 利用可能なセキュリティアクションを表示するには、完全に管理されたデバイスを選択して [セキュリティ] をクリックします。デバイスが完全に管理されている場合、完全なワイプ操作は使用できますが、選択的なワイプ操作は使用できません。これは、デバイスが管理対象Google Playストアのアプリのみを許可するためです。ユーザーがパブリックストアからアプリケーションをインストールするオプションはありません。組織はデバイス上のすべてのコンテンツを管理しています。

    セキュリティ操作

Android Enterpriseデバイスポリシーとアプリポリシーの構成

デバイスレベルとアプリレベルの両方で制御されるポリシーの概要については、「Android EnterpriseでサポートされているデバイスポリシーとMDXポリシー」を参照してください。

ポリシーについて以下のことを把握してください:

  • データ損失防止: XenMobile MAMコンテナテクノロジは、暗号化およびその他のモバイルデータ損失防止(DLP)テクノロジを使用してアプリを保護します。Citrix MAM SDKまたはMDX Toolkitを使用して、アプリをMDX対応にします。

  • デバイスの制限: 数十のデバイス制限により、次のような機能を制御できます:

    • デバイスカメラの使用
    • 仕事用プロファイルと個人用プロファイル間のコピーおよび貼り付けの使用
  • Per-App VPN: 管理対象構成デバイスポリシーを使用して、Android EnterpriseのVPNプロファイルを構成します。

  • メールポリシー: 管理対象構成デバイスポリシーを使用してアプリを構成することをお勧めします。

次の表は、Android Enterpriseデバイスで使用可能なデバイスポリシーの一覧です。

重要:

Android Enterpriseに登録してMDXアプリを使用するデバイスの場合:MDXおよびAndroid Enterpriseを介して一部の設定を制御できます。MDXに対して最も制限の少ないポリシー設定を使用し、Android Enterpriseを介してポリシーを制御します。

     
Android Enterpriseアプリの権限 管理対象の構成 アプリインベントリ
アプリのアンインストール 管理対象アプリの自動更新 OS更新の制御
資格情報 カスタムXML Exchange
ファイル Keyguard管理 キオスク
位置情報 パスコード 制限
Samsung MDMライセンスキー スケジューリング Wi-Fi
XenMobileオプション    

仕事用プロファイルで完全に管理されたデバイス(COPEデバイス)のデバイスポリシー

仕事用プロファイルで完全に管理されたデバイス(COPEデバイス)の場合、一部のデバイスポリシーを使用してデバイス全体と仕事用プロファイルに個別の設定を適用できます。他のデバイスポリシーを使用して、デバイス全体にのみ設定を適用することも、仕事用プロファイルで完全に管理されたデバイスの仕事用プロファイルにのみ設定を適用することもできます。

ポリシー 適用製品
Android Enterpriseアプリの権限 仕事用プロファイル
管理対象の構成 仕事用プロファイル
アプリインベントリ 仕事用プロファイル
アプリのアンインストール 仕事用プロファイル
管理対象アプリの自動更新 仕事用プロファイル
OS更新の制御 -
資格情報 仕事用プロファイル
カスタムXML -
Exchange -
ファイル 仕事用プロファイル
Keyguard管理 デバイスと仕事用プロファイル
キオスク -
位置情報 デバイス(位置情報モードのみ)
パスコード デバイスと仕事用プロファイル
制限 デバイスと仕事用プロファイル(デバイス向けと仕事用プロファイル向けに個別のポリシーを作成する)
Samsung MDMライセンスキー -
スケジューリング 仕事用プロファイル
Wi-Fi Device
XenMobileオプション 仕事用プロファイル

Android EnterpriseでサポートされているデバイスポリシーとMDXポリシー」および「MAM SDKの概要」も参照してください。

セキュリティ操作

Android Enterpriseは、以下のセキュリティ操作をサポートしています。各セキュリティ操作の説明については、「セキュリティ操作」を参照してください。

セキュリティ操作 仕事用プロファイル 完全管理対象
証明書の書き換え はい はい
完全なワイプ いいえ はい
検索 はい はい
ロック はい はい
パスワードのロックとリセット いいえ はい
通知(通知音) はい はい
取り消し はい はい
選択的なワイプ はい いいえ

セキュリティ操作の注意事項

  • 位置情報デバイスポリシーでデバイスの位置情報モードが [高精度] モードまたは [バッテリー節約] モードに設定されていない限り、検索セキュリティ操作は失敗します。「位置情報デバイスポリシー」を参照してください。

  • Android 9.0より前のバージョンのAndroidを実行する仕事用プロファイルデバイスの場合:

    • ロックおよびパスワードのリセット操作はサポートされていません。
  • Android 9.0以降の仕事用プロファイルデバイスの場合:

    • 送信されたパスコードによって仕事用プロファイルはロックされます。デバイス自体はロックされません。
    • 仕事用プロファイルにパスコードが設定されていない場合:
      • パスコードが送信されない場合、または送信されたパスコードがパスコードの要件を満たしていない場合:デバイスはロックされません。
    • 仕事用プロファイルにパスコードが設定されている場合:
      • パスコードが送信されない場合、または送信されたパスコードがパスコードの要件を満たしていない場合:仕事用プロファイルはロックされますが、デバイス自体はロックされません。
  • 仕事用プロファイルで完全に管理されたデバイス(COPEデバイス)の場合:

    • ロックのセキュリティ操作をデバイスまたは仕事用プロファイルに個別に適用できます。

Android Enterpriseエンタープライズの登録を解除する

Android Enterpriseエンタープライズを使用しない場合は、エンタープライズの登録を解除できます。

警告:

エンタープライズの登録を解除すると、エンタープライズ経由で登録されていたデバイスのAndroid Enterpriseアプリはデフォルトの状態にリセットされます。これらのデバイスはGoogleの管理対象外になります。新しいAndroid Enterpriseエンタープライズに登録する場合は、管理対象Google Playから新しい組織のアプリを承認する必要があります。これによってXenMobileコンソールからアプリを更新できます。

Android Enterpriseエンタープライズの登録を解除した後:

  • エンタープライズ経由で登録されていたデバイスとユーザーのAndroid Enterpriseアプリは、デフォルト状態にリセットされます。以前に適用されていた[管理対象の構成]ポリシーは無効になります。
  • XenMobileはエンタープライズ経由で登録されたデバイスを管理します。Googleからは、これらのデバイスは管理されてないと見なされるため、新しいAndroid Enterpriseアプリを追加することはできません。[管理対象の構成]ポリシーは適用できません。[スケジュール設定]、[パスワード]、[制限]などのその他のポリシーは、これらのデバイスに適用できます。
  • Android Enterpriseにデバイスを登録しようとすると、Android EnterpriseデバイスではなくAndroidデバイスとして登録されます。

XenMobile ServerコンソールとXenMobile Toolsを使用して、Android Enterpriseエンタープライズを登録解除します。

このタスクを実行すると、XenMobileツールのポップアップウィンドウが開きます。始める前に、使用するWebブラウザーでポップアップウィンドウを開く権限がXenMobileにあることを確認してください。Google Chromeなどの一部のWebブラウザーでは、ポップアップブロックを無効にし、XenMobileサイトのアドレスをポップアップブロックの許可リストに追加する必要があります。

Android Enterpriseエンタープライズの登録を解除するには:

  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [設定]ページで、[Android Enterprise] をクリックします。

  3. [登録解除] をクリックします。

    登録解除オプション