Android for Work

Android for Work(Android Enterprise)は、Android 5.0以降を実行しているAndroidデバイスで使用できるセキュリティ保護されたワークスペースです。このワークスペースはビジネス用のアカウント、アプリ、データを個人のアカウント、アプリ、データから隔離します。XenMobileでは、デバイスに別個の作業プロファイルを作成できるため、BYOD(Bring Your Own Device)と会社が所有するAndroidデバイスの両方を管理できます。ハードウェアの暗号化および展開するポリシーを組み合わせることで、デバイスで業務の領域と個人領域を安全に隔離できます。ユーザーの個人用の領域に影響を与えずに、会社用のすべてのポリシー、アプリ、およびデータをリモートで管理できます。サポートされているAndroidデバイスについて詳しくは、Google Android Enterpriseのサイトを参照してください。

Google Playを使用して、アプリを追加、購入、および承認し、デバイスのAndroid for Workワークスペースに展開します。Google Playを使用してプライベートなAndroidアプリ、パブリックアプリ、およびサードパーティアプリを展開できます。Android for Work用のパブリックアプリケーションストアの有料アプリをXenMobileに追加するときに、一括購入ライセンスの状態を確認できます。状態に含まれる情報は、使用できる合計ライセンス数、使用中のライセンス数、ライセンスを使用している各ユーザーのメールアドレスです。詳しくは、「パブリックアプリケーションストアのアプリケーションの追加」を参照してください。

注:

XenMobile Serverおよびシトリックスドキュメントでは「Android for Work」と呼んでいます。最新の呼称はAndroid Enterpriseです。詳しくは、Androidに関するドキュメントを参照してください。

Android for Workのセットアップ

XenMobileでは、組織でAndroid for Workを簡単にセットアップできる方法を提供します。XenMobile Management Toolsを使用して、Google PlayでXenMobileをエンタープライズモビリティ管理プロバイダーとしてバインドし、Android for Workのエンタープライズを作成することができます。

注:

G Suiteを使用する場合は、関連するポリシー情報をまとめた表が掲載されている「G Suiteユーザー向けの従来Android for Work」を参照してください。

以下が必要です。

  • XenMobileツールにサインインするためのCitrixアカウントの資格情報
  • Google PlayにサインインするためのGoogle IDの企業資格情報
  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [設定] ページで、[Android for Work] をクリックします。

    Android for Work設定画面の画像

  3. XenMobile設定の [Android for Work] ページで、[XenMobileツールに移動] をクリックします。

    [XenMobileツールに移動]リンクの画像

  4. メッセージが表示されたら、Citrixアカウントにサインインします。
  5. XenMobileツール管理の [Android for Work] ページで、[Go to Google Play] をクリックします。

    [Go to Google Play]オプションの画像

  6. Google Playで次の手順を実行し、Citrixを組織のエンタープライズモビリティ管理プロバイダーとして登録します。

    • 組織名を入力します。
    • Citrixがエンタープライズモビリティ管理プロバイダーとして表示されていることを確認します。
    • 規約に同意し、[Confirm] をクリックします。

    Google Playの登録ページの画像

    • 表示されたページで、[Complete Registration] をクリックします。

    これにより、ダウンロードしてから、XenMobileにアップロードするファイルが作成されます。

  7. XenMobileツール管理の [Android for Work] ページで、[Download] をクリックします。
  8. ファイルの暗号化のためにパスワードを作成します。ファイルをアップロードしてパスワードを入力するときのために、パスワードはメモしておいてください。

    パスワードプロンプトの画像

  9. [Go back to XenMobile] をクリックします。
  10. XenMobile設定の[Android for Work]ページで、[Upload file] をクリックします。

    [Upload file]オプションの画像

  11. ダウンロードしたファイルを参照し、作成したパスワードを入力します。[Upload]をクリックします。

    [Upload]オプションの画像

  12. Android for WorkにエンタープライズIDが追加されました。Android of Workを有効にするには、[Android for Workの有効化][はい] にスライドします。

    [Android for Workの有効化]オプションの画像

Android for Workに業務用モバイルアプリを公開する

Android Enterprise向けに業務用モバイルアプリを公開するには、以下の手順を実行します。

  1. 管理しているGoogle Play Storeアカウントで、ユーザーに必要なアプリを公開します。Google Playアカウントの管理は、https://play.google.com/workで行うことができます。
  2. XenMobileコンソールで以下の手順を実行し、同じアプリを公開します:

    1. パブリックストアアプリを選択し、Android for Workを選択します。パブリックストアアプリの公開について詳しくは、「パブリックアプリケーションストアのアプリケーションの追加」を参照してください。
    2. アプリをMDXアプリとして公開し、MDXポリシーを受信するようにします。MDXアプリの公開について詳しくは、「MDXアプリケーションの追加」を参照してください。

Android for Workデバイスの登録

デバイス登録処理でユーザーがユーザー名またはユーザーIDを入力する必要がある場合、受け入れる形式は、XenMobileサーバーがユーザープリンシパル名(UPN)またはSAMアカウント名でユーザーを検索するように構成されているかどうかによって異なります。

XenMobileサーバーがUPNでユーザーを検索するように構成されている場合、ユーザーは以下の形式でUPNを入力する必要があります:

  • ユーザー名@ドメイン

XenMobileサーバーがSAMによってユーザーを検索するように構成されている場合、ユーザーは以下のどちらかの形式でSAMを入力する必要があります。

  • ユーザー名@ドメイン
  • ドメイン\ユーザー名

XenMobileサーバーが構成されているユーザー名の種類を確認するには:

  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。
  2. [LDAP] をクリックして、LDAP接続の設定を表示します。
  3. ページの下部にある [ユーザー検索基準] フィールドを表示します。

    • userPrincipalNameに設定すると、XenMobileサーバーはUPNに設定されます。
    • sAMAccountNameに設定すると、XenMobileサーバーはSAMに設定されます。

Android for Workエンタープライズの登録解除

XenMobile ServerコンソールとXenMobile Toolsを使用して、Android for Workエンタープライズを登録解除できます。

このタスクを実行すると、XenMobile ServerはXenMobileツールのポップアップウィンドウを開きます。始める前に、XenMobile Serverに、使用しているWebブラウザーでポップアップウィンドウを開く権限があることを確認してください。Google Chromeなどの一部のブラウザーでは、ポップアップブロックを無効にし、XenMobileサイトのアドレスをポップアップブロックのホワイトリストに追加する必要があります。

警告:

エンタープライズの登録が解除されると、エンタープライズ経由で登録されていたデバイスのAndroid for Workアプリはデフォルトの状態にリセットされます。デバイスはGoogleによって管理されなくなります。それらのデバイスをAndroid for Workエンタープライズで再登録しても、以前の機能を復元することはできません。さらに構成する必要があります。

Android for Workエンタープライズの登録を解除した後:

  • エンタープライズ経由で登録されていたデバイスとユーザーのAndroid for Workアプリはデフォルト状態にリセットされます。以前に適用されていたAndroid for Workアプリの権限ポリシーとAndroid for Workアプリの制限ポリシーは無効になります。
  • エンタープライズ経由で登録されていたデバイスはXenMobileによって管理されますが、Googleの観点からは管理されません。新しいAndroid for Workアプリを追加することはできません。Android for Workアプリの権限とAndroid for Workアプリの制限ポリシーは適用できません。ただし、これらのデバイスには引き続き、スケジュール設定、パスワード、制限などのポリシーは適用できます。
  • Android for Workにデバイスを登録しようとすると、Android for WorkデバイスではなくAndroidデバイスとして登録されます。

Android for Workエンタープライズを登録解除するには:

  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [設定]ページで、[Android for Work]をクリックします。

  3. [エンタープライズの削除] をクリックします。

    [エンタープライズの削除]オプションの画像

  4. パスワードを指定します。登録解除を完了するには、次のステップでこのパスワードが必要になります。[登録解除] をクリックします。

    [登録解除]オプションの画像

  5. [XenMobile Tools]ページが開いたら、前の手順で作成したパスワードを入力します。

    パスワードフィールドの画像

  6. [登録解除] をクリックします。

    [登録解除]オプションの画像

Android for Workでの仕事用管理対象デバイスモードのプロビジョニング

Android for Workの仕事用管理対象デバイスモードは、会社所有のデバイスでのみ利用できます。XenMobileでは、仕事用管理対象デバイスモードで以下の登録方法をサポートしています。

  • afw#xenmobile: この登録方法では、ユーザーがデバイスの設定時に「afw#xenmobile」という文字を入力します。このトークンにより、デバイスがXenMobileの管理対象であると識別され、Secure Hubがダウンロードされます。
  • QRコード: QRコードプロビジョニングは、NFCをサポートしていない、タブレットなどの分散型端末を簡単にプロビジョニングする方法です。QRコード登録方法は、出荷時の設定にリセットされたフリートデバイスで使用できます。QRコード登録メソッドは、セットアップウィザードからQRコードをスキャンすることによって、仕事用管理対象デバイスモードを設定および構成します。
  • NFC(近距離無線通信)バンプ: NFCバンプ登録方法は、出荷時の設定にリセットされたフリートデバイスで使用できます。NFCバンプは、近距離無線通信を使用して2つのデバイス間でデータを転送します。工場出荷時設定にリセットされたデバイスでは、Bluetooth、Wi-Fi、およびそのほかの通信モードは無効になっています。この状態のデバイスが使用する通信プロトコルはNFCのみです。

afw#xenmobile

この登録方法は、新規デバイスまたは工場出荷時設定にリセットされたデバイスの電源を入れ、初期セットアップを行った後に使用します。ユーザーは、Googleアカウントの入力を求められたら「afw#xenmobile」と入力します。この操作により、Secure Hubがダウンロードされインストールされます。インストール後、Secure Hubの設定プロンプトに従って登録を完了します。

この登録方法ではSecure Hubの最新バージョンがGoogle Playストアからダウンロードされるため、ほとんどのお客様に推奨されます。他の登録方法とは異なり、XenMobileサーバーでダウンロード用にSecure Hubを提供することはありません。

前提条件:

  • Android 5.0以降を実行するすべてのAndroidデバイスでサポートされます。

QRコード

QRコードを使用してデバイスモードでデバイスを登録するには、JSONを作成してからQRコードに変換して、QRコードを生成します。このQRコードをデバイスカメラでスキャンし、デバイスを登録します。

前提条件:

  • Android 7.0以降を実行するすべてのAndroidデバイスでサポートされます。

JSONからQRコードを作成する

次のフィールドがあるJSONを作成します。

これらのフィールドは必須です。

キー:android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

値:com.zenprise / com.zenprise.configuration.AdminFunction

キー: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

値:qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

キー:android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

値: https://path/to/securehub.apk

注:

Secure HubがCitrix XenMobileサーバーにエンタープライズアプリとしてアップロードされている場合は、https://<fqdn>:4443/*instanceName*/worxhome.apkからダウンロードできます。上記の値として使用されるSecure Hub APKへのパスは、プロビジョニング中にデバイスが接続されるWi-Fi接続を介してアクセスできる必要があります。

これらのフィールドはオプションです。

  • android.app.extra.PROVISIONING_LOCALE: 言語コードおよび国コードを入力します。

    言語コードは、ISO 639-1で定義されている小文字で2文字のISO言語コード(「en」など)です。国コードは、ISO 3166-1で定義されている大文字で2文字のISO国コード(「US」など)です。たとえば、アメリカ合衆国で話されている英語の場合は「en_US」と入力します。

  • android.app.extra.PROVISIONING_TIME_ZONE: これはデバイスが実行されているタイムゾーンです。

    フォームの地域/場所のOlson名を入力します。たとえば、米国太平洋標準時の場合は「America/Los_Angeles」です。入力しない場合、タイムゾーンは自動的に入力されます。

  • android.app.extra.PROVISIONING_LOCAL_TIME: エポックからのミリ秒単位の時間。

    Unixエポック(またはUnix時間またはPOSIX時間またはUnixタイムスタンプ)は、1970年1月1日(UTC/ GMT午前0時)から経過した秒数で、うるう秒数は含まれません(ISO 8601: 1970-01-01T00:00:00Z)。

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: プロファイル作成時に暗号化をスキップするには、trueに設定します。プロファイルの作成時に暗号化を強制するには、falseに設定します。

以下の図に、典型的なJSONの例を示します。

典型的なJSONの画像

https://jsonlint.comなどのJSON検証ツールを使用して作成されたJSONを検証します。http://goqr.me などのオンラインQRコードジェネレータを使用して、JSON文字列をQRコードに変換します。

このQRコードは工場出荷時の設定にリセットされたデバイスによってスキャンされ、これによってデバイスを仕事用管理対象デバイスモードで登録できます。

デバイスを登録するには

デバイスを仕事用管理対象デバイスモードで登録するには、デバイスを工場出荷時の設定にリセットする必要があります。

  1. ようこそ画面で画面を6回タップすると、QRコードの登録フローが開始されます。
  2. プロンプトが表示されたら、Wi-Fiに接続します。(JSONでエンコードされた)QRコードにあるSecure Hubのダウンロード場所には、このWi-Fiネットワーク経由でアクセスできます。

    端末がWi-Fiに接続されると、GoogleからQRコードリーダーをダウンロードしてカメラを起動します。

  3. カメラをQRコードに合わせて、コードをスキャンします。

    Androidは、QRコードのダウンロード場所からSecure Hubをダウンロードし、署名証明書の署名を検証し、Secure Hubをインストールし、デバイス所有者として設定します。

詳しくは、Android EMMデベロッパー向けGoogleガイド(https://developers.google.com/android/work/prov-devices#qr_code_method)を参照してください。

NFCバンプ

NFCバンプを使用してデバイスモードでデバイスを登録するには、工場出荷時の設定にリセットされたデバイスと、XenMobileプロビジョニングツールを実行するデバイスの2つのデバイスが必要です。

前提条件:

  • Android 5.0、Android 5.1、Android 6.0以降を実行するすべてのAndroidデバイスでサポートされます。
  • Android for Workを有効にしたXenMobile Serverバージョン10.4。
  • 仕事用管理対象デバイスモードでAndroid for Work向けにプロビジョニングされた、工場出荷時設定にリセットされたデバイス。この前提条件を完了する手順については、後述します。
  • 構成済みのProvisioning Toolを実行している、NFC機能が備わった別のデバイス。Provisioning Toolは、Secure Hub 10.4またはCitrixダウンロードページから入手できます。

各デバイスにはエンタープライズモビリティ管理(EMM)アプリで管理されたAndroid for Workプロファイルが1つのみ存在します。XenMobileで、Secure HubはEMMアプリです。各デバイスには、1つのプロファイルしか許可されません。2つ目のEMMアプリを追加すると、1つ目のEMMアプリが削除されます。

仕事用管理対象デバイスモードは、新しいデバイスまたは工場出荷時の設定にリセットされたデバイスで開始できます。XenMobileでデバイス全体を管理します。

NFCバンプを介して転送されるデータ

工場出荷時の設定にリセットされたデバイスをプロビジョニングするには、以下のデータをNFCバンプ経由で送信してAndroid for Workを初期化する必要があります。

  • デバイス所有者として機能するEMMプロバイダーアプリ(この場合は、Secure Hub)のパッケージ名。
  • デバイスがEMMプロバイダーアプリをダウンロードできるイントラネット/インターネット上の場所。
  • ダウンロードが正常に完了したかどうかを確認するEMMプロバイダーアプリのSHA1ハッシュ。
  • 工場出荷時の設定にリセットされたデバイスがEMMプロバイダーアプリに接続してダウンロードできるようにするWi-Fi 接続の詳細。注:現時点では、Androidはこの手順での802.1x Wi-Fiをサポートしていません。
  • デバイスのタイムゾーン(オプション)。
  • デバイスの地理的な場所(オプション)。

2つのデバイスがバンプされると、Provisioning Toolのデータが工場出荷時の設定にリセットされたデバイスに送信されます。このデータはその後、管理者設定でのSecure Hubのダウンロードに使用されます。タイムゾーンと場所の値を入力しない場合、新しいデバイスではAndroidによって自動的にこれらの値が構成されます。

XenMobile Provisioning Toolの構成

NFCバンプを行う前に、Provisioning Toolを構成する必要があります。この構成はその後、工場出荷時の設定にリセットされたデバイスに、NFCバンプ中に転送されます。

Provisioning Tool構成の画像

必須項目にデータを直接入力することも、テキストファイルから入力することもできます。次の手順では、テキストファイルを構成する方法と各フィールドに説明を含める方法について説明します。入力後のデータはアプリでは保存されないため、テキストファイルを作成して、今後の使用に備えて情報を保存しておくことをお勧めします。

テキストファイルを使用してProvisioning Toolを構成するには

ファイルの名前をnfcprovisioning.txtにして、/sdcard/フォルダーにあるデバイスのSDカードに格納します。アプリによってこのテキストファイルが読み込まれ、値が入力されます

テキストファイルには、次のデータを含める必要があります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

この行は、EMMプロバイダーアプリのイントラネット/インターネットの場所です。工場出荷時設定のデバイスがNFCバンプの後にWi-Fiに接続した場合、デバイスはダウンロードのためにこの場所にアクセスする必要があります。URLは通常のURLで、特別な形式にする必要はありません。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

この行は、EMMプロバイダーアプリのチェックサムです。このチェックサムはダウンロードが成功したかを検証するために使用されます。チェックサムを取得する手順については、後述します。

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

この行は、Provisioning Toolを実行しているデバイスが接続されているWi-FiのSSIDです。

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

サポートされる値はWEPおよびWPA2です。Wi-Fiが保護されていない場合、このフィールドは空白にする必要があります。

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Wi-Fiが保護されていない場合、このフィールドは空白にする必要があります。

android.app.extra.PROVISIONING_LOCALE=<locale>

言語コードと国コードを入力します。言語コードは、ISO 639-1で定義されている小文字で2文字のISO言語コード(「en」など)です。国コードは、ISO 3166-1で定義されている大文字で2文字のISO国コード(「US」など)です。たとえば、アメリカ合衆国で話されている英語の場合は「en_US」と入力します。コードを入力しない場合、国と言語は自動的に入力されます。

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

デバイスが実行されるタイムゾーンです。フォームの地域/場所のOlson名を入力します。たとえば、米国太平洋標準時の場合は「America/Los_Angeles」です。名前を入力しない場合、タイムゾーンは自動的に入力されます。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

このデータはSecure Hubとしてアプリにハードコードされるため、必須ではありません。ここでは、情報の完全性を守るためだけに記載しています。

WPA2を使用して保護されたWi-Fiの場合、完了したnfcprovisioning.txtファイルは以下の例のようになります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

保護されていないWi-Fiの場合、完了したnfcprovisioning.txtファイルは以下の例のようになります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Secure Hubチェックサムを取得するには

アプリのチェックサムを取得するには、そのアプリをエンタープライズアプリとして追加します。

  1. XenMobileコンソールで、[構成]>[アプリ] を選択してから、[追加] をクリックします。

    [アプリの追加] ウィンドウが開きます。

  2. [エンタープライズ] をクリックします。

    [アプリケーション情報] ページが開きます。

    [アプリケーション情報]ページの画像

  3. 次の構成を選択して [次へ] をクリックします。

    [Android for Workエンタープライズアプリ] ページが開きます。

    [Android For Workエンタープライズアプリ]の画面

  4. .apkへのパスを入力し、[次へ] をクリックしてファイルをアップロードします。

    アップロードが完了すると、アップロードされたパッケージの詳細が表示されます。

    ファイルのアップロードページの画像

  5. [次へ] をクリックしてJSONファイルをダウンロードするページを表示します。このファイルは、この後Google Playへのアップロードに使用します。Secure Hubの場合、Google Playにアップロードする必要はありませんが、SHA1を読み込む元になるJSONファイルが必要です。

    JSONファイルのダウンロードページの画像

    以下の図に、典型的なJSONファイルの例を示します。

    典型的なJSONファイルの画像

  6. file_sha1_base64の値をコピーして、この値をProvisioning Toolの [ハッシュ] フィールドで使用します。

    :ハッシュはURLセーフのものにする必要があります。

    • +記号はすべて-に変換します。
    • /記号はすべて_に変換します。
    • 末尾の\u003d=に置き換えます。

    ハッシュをデバイスのSDカードのnfcprovisioning.txtファイルに格納すると、安全のための変換が行われます。ただし、ハッシュを手動で入力すると、URLの安全性は入力者の責任になります。

使用するライブラリ

Provisioning Toolでは、以下のライブラリがソースコードに使用されています。

  • v7 appcompat library、Design support library、およびv7 Palette library by Google(Apache license 2.0)

    詳しくは、「Support Libraryの機能」を参照してください。

  • Butter Knife by Jake Wharton(Apache license 2.0)

Android for Workでの仕事用プロファイルモードのプロビジョニング

Android for Workの仕事用プロファイルモードは、デバイス上の会社領域と個人領域を安全に分離することができます。たとえば、BYODデバイスで仕事用プロファイルモードを使用できます。仕事用プロファイルモードの登録は、XenMobileのAndroid登録と同様の操作です。ユーザーはGoogle PlayからSecure Hubをダウンロードし、デバイスを登録します。

デフォルトでは、USBデバッグおよび不明なソース設定は、デバイスがAndroid for Workの仕事用プロファイルモードで登録されているときは無効になります。

ヒント:

Android for Workのデバイスを仕事用プロファイルモードで登録する場合は、毎回Google Playにアクセスしてください。そこから、ユーザーの個人プロファイルでのSecure Hubの表示を有効にします。