G Suiteユーザー向けの従来のAndroid for Work

G Suiteユーザーが従来のAndroid for Workを構成するには、従来のAndroid for Workの設定を使用する必要があります。

従来のAndroid for Workの要件:

  • パブリックにアクセスできるドメイン
  • Google管理者アカウント
  • 管理されたプロファイルサポートがあり、Android 5.0以降のLollipopを実行しているデバイス
  • Google PlayがインストールされているGoogleアカウント
  • デバイスで設定されたワークプロファイル

従来のAndroid for Workの構成を開始するには、XenMobile設定の [Android for Work] ページで、[従来のAndroid for Work] をクリックします。

[従来のAndroid for Work]オプションの画像

Android for Workアカウントの作成

Android for Workアカウントをセットアップするには、Googleでドメイン名を確認する必要があります。

ドメイン名がすでにGoogleで検証済みの場合は、「Android for Workサービスアカウントの設定とAndroid for Work証明書のダウンロード」の手順をスキップできます。

  1. https://www.google.com/a/signup/?enterprise_product=ANDROID_WORKにアクセスします。

    管理者情報と会社情報を入力する次のページが開きます。

    アカウントセットアップページの画像

  2. 管理者のユーザー情報を入力します。

    管理者のユーザー情報の画像

  3. 管理者のアカウント情報だけでなく、会社情報も入力してください。

    企業情報画面の画像

    プロセスの最初の手順が完了します。以下のページが開きます。

    検証ページの画像

ドメイン所有権の検証

以下のいずれかの方法で、Googleがドメインを検証できるようにします。

  • ドメインホストのWebサイトにTXTまたはCNAMEレコードを追加します。
  • HTMLファイルをドメインのWebサーバーにアップロードします。
  • ホームページに<meta>タグを追加します。Googleでは最初の方法を推奨しています。ドメインの所有権を検証する手順についてはこの記事では扱いませんが、必要な情報はhttps://support.google.com/a/answer/6248925/に記載されています。
  1. [Start] をクリックして、ドメインの検証を開始します。

    [Verify domain ownership]ページが開きます。画面の指示に従ってドメインを検証します。

  2. [Verify] をクリック します。

    [Verify]ボタンの画像

    [Verify]確認の画像

  3. Googleによってドメイン所有権が検証されます。

    ドメイン所有権確認の画像

  4. 検証が成功すると、次のページが開きます。[続行] をクリックします。

    成功の確認ページの画像

  5. Citrixに提供しAndroid for Work設定を構成するときに使用するEMMバインドトークンが、Googleによって作成されます。トークンをコピーして保存します。後でセットアップ中に必要になります。

    バインドトークンの画像

  6. [Finish] をクリックしてAndroid for Workの設定を完了します。ドメインの検証に成功したことを示すページが表示されます。

Android for Workサービスアカウントを作成すると、Google Adminコンソールにサインインしてモビリティ管理設定を管理できます。

Android for Workサービスアカウントの設定とAndroid for Work証明書のダウンロード

XenMobileからGoogle PlayサービスおよびDirectoryサービスにアクセスできるようにするには、Googleのデベロッパー用プロジェクトポータルを使用してサービスアカウントを作成する必要があります。このサービスアカウントは、XenMobileとAndroid at Work用のGoogleの各種サービスのサーバー間通信で使用します。使用されている認証プロトコルについて詳しくは、https://developers.google.com/identity/protocols/OAuth2ServiceAccountを参照してください。

  1. Webブラウザーでhttps://console.cloud.google.com/projectを開いて、Google管理者の資格情報でサインインします。

  2. [Projects] の一覧で、[Create Project]をクリックします。

    [Create Project]オプションの画像

  3. [Project name] ボックスに、プロジェクトの名前を入力します。

    [Project name]オプションの画像

  4. [Dashboard]ページで、[Use Google APIs] をクリックします。

    [Use Google APIs]オプションの画像

  5. [Library] をクリックして、[Search]EMMと入力して、検索結果をクリックします。

    EMM検索オプションの画像

  6. [Overview] ページで、[Enable] をクリックします。

    [Enable]オプションの画像

  7. [Google Play EMM API] の横にある [Go to Credentials] をクリックします。

    [Go to Credentials]オプションの画像

  8. [Add credentials to our project] の一覧の手順1で、[service account] をクリックします。

    [service account]オプションの画像

  9. [Service Accounts]ページで、[Create Service Account] をクリックします。

    [Create Service Account]オプションの画像

  10. [Create service account] で、アカウントに名前を付けて、[Furnish a new private key] をオンにします。[P12] を選択して、[Enable Google Apps Domain-wide Delegation]をオンにし、[Create]をクリックします。

    [Create service account]オプションの画像

    証明書(P12ファイル)がコンピューターにダウンロードされます。証明書を安全な場所に保存してください。

  11. [Service account created] 確認画面で、[Close] をクリックします。

    確認ページの画像

  12. [Permissions] ページで [Service accounts] をクリックし、サービスアカウントの [Options] の下で、[View Client ID] をクリックします。

    [View Client ID]オプションの画像

  13. Google管理コンソールでアカウントの承認に必要になる詳細情報が表示されます。[Client ID][Service account ID]を、後でこの情報を引き出せる場所にコピーします。この情報は、ドメイン名と共に、ホワイトリスト作成の目的でCitrixサポートに送信するときに必要になります。

    アカウント認証の詳細の画像

  14. [Library] ページでAdmin SDKを検索して、検索結果をクリックします。

    Admin SDK検索の画像

  15. [Overview] ページで、[Enable] をクリックします。

    [Enable]ボタンの画像

  16. ユーザーのドメインのGoogle管理コンソールを開き、[Security] をクリックします。

    [セキュリティ]オプションの画像

  17. [Settings] ページで [Show more] をクリックして、[Advanced settings] を選択します。

    [Advanced settings]の画像

    [Advanced settings]の画像

  18. [Manage API client access] をクリックします。

    [Manage API client access]オプションの画像

  19. [Client Name] ボックスに前の手順で保存したクライアントIDを入力し、[One or More API Scopes] ボックスに「https://www.googleapis.com/auth/admin.directory.user」と入力して、[Authorize] をクリックします。

    クライアント名オプションの画像

EMMへのバインド

XenMobileを使用してAndroidデバイスを管理するには、Citrixテクニカルサポートにドメイン名、サービスアカウント、およびバインドトークンを提供する必要があります。CitrixはトークンをEMM(エンタープライズモビリティ管理)プロバイダーとしてのXenMobileにバインドします。シトリックステクニカルサポートへのお問い合わせは、シトリックステクニカルサポートを参照してください。

  1. バインドを確認するには、Google Adminポータルにサインインして [Security] をクリックします。

  2. [Manage EMM provider for Android] をクリックします。

    Google Android at WorkアカウントがEMMプロバイダーとしてのCitrixにバインドされていることが表示されます。

    トークンのバインドを確認した後で、XenMobileコンソールを使用してAndroidデバイスの管理を開始できます。手順14で生成したP12証明書をインポートします。Android for Workサーバー設定をセットアップし、SAMLベースのシングルサインオンを有効化し、少なくともAndroid for Workデバイスポリシーを1つ定義する必要があります。

    [Manage EMM provider for Android]オプションの画像

P12証明書のインポート

以下の手順に従ってAndroid for WorkのP12証明書をインポートします。

  1. XenMobileコンソールにサインインします。

  2. コンソールの右上にある歯車アイコンをクリックして [設定] ページを開き、[証明書] をクリックします。[証明書] ページが開きます。

    [証明書]ページの画像

  3. [インポート] をクリックします。[インポート] ダイアログボックスが開きます。

    [インポート]ダイアログボックスの画像

    次の設定を構成します。

    • インポート: ボックスの一覧から、[キーストア] を選択します。
    • キーストアの種類: ボックスの一覧から、[PKCS#12] を選択します。
    • 使用目的: ボックスの一覧から、[サーバー] を選択します。
    • キーストアファイル: [ブラウザー] をクリックして、P12証明書を選択します。
    • パスワード: キーストアのパスワードを入力します。
    • 説明: 任意で、証明書の説明を入力します。
  4. [インポート] をクリックします。

Android for Workサーバー設定のセットアップ

  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [サーバー] の下の [Android for Work] をクリックします。[Android for Work]ページが開きます。

    [Android for Work]ページの画像

    これらの設定を構成し、[保存] をクリックします。

    • ドメイン名: Android for Workのドメイン名を入力します(例:domain.com)。
    • ドメイン管理アカウント: ドメイン管理者のユーザー名を入力します(例:Google Developer Portalで使用しているメールアカウント)。
    • サービスアカウントID: サービスアカウントIDを入力します(例:Google Service Account(serviceaccountemail@xxxxxxxxx.iam.gserviceaccount.com)に関連付けられたメールアドレス)。
    • クライアントID: Googleサービスアカウントの数値形式のクライアントIDを入力します。
    • Android for Workの有効化: Android for Workを有効にするか無効にするかを選択します。

SAMLベースのシングルサインオンの有効化

  1. XenMobileコンソールにサインインします。

  2. コンソールの右上にある歯車アイコンをクリックします。[設定] ページが開きます。

  3. [証明書] をクリックします。[証明書] ページが開きます。

    [証明書]ページの画像

  4. 証明書の一覧から、SAML証明書を選択します。

  5. [エクスポート] をクリックして証明書をコンピューターに保存します。

  6. Android for Workの管理者資格情報でGoogle Adminポータルにサインインします。ポータルへのアクセスについて詳しくは、Google Admin portalを参照してください。

  7. [Security] をクリックします。

    [Security]オプションの画像

  8. [Security] の下の [Set up single sign-on(SSO)] をクリックして以下の設定を構成します。

    SSO設定のイメージ

    • Sign-in page URL: お使いのシステムおよびGoogle AppsにサインインするページのURLを入力します。例:https://<Xenmobile-FQDN>/aw/saml/signin
    • Sign-out page URL: ユーザーがサインアウト時にリダイレクトされるURLを入力します。例:https://<Xenmobile-FQDN>/aw/saml/signout
    • Change password URL: ユーザーがシステム内でパスワードを変更するときにアクセスするURLを入力します。例:https://<Xenmobile-FQDN>/aw/saml/changepassword。このフィールドが定義されると、SSOが使用できない場合でもこのメッセージが表示されます。
    • Verification certificate: [CHOOSE FILE] をクリックして、XenMobileからエクスポートされたSAML証明書を選択します。
  9. [SAVE CHANGES] をクリックします。

Android for Workデバイスポリシーのセットアップ

パスコードポリシーをセットアップして、ユーザーが初めて登録するときにデバイスでのパスコード設定を必須にします。

パスコードポリシーページの画像

デバイスポリシーの基本的なセットアップ手順は以下のとおりです。

  1. XenMobileコンソールにサインオンします。

  2. [構成]>[デバイスポリシー] をクリックします。

  3. [追加] をクリックして、[新しいポリシーの追加] ダイアログボックスから追加するポリシーを選択します。この例では [パスコード] をクリックします。

  4. [ポリシー情報] ページに入力します。

  5. [Android at Work] をクリックしてポリシーの設定を構成します。

  6. ポリシーをデリバリーグループに割り当てます。

サポートされているデバイスポリシーとMDXポリシー

次の表に、Android for WorkコンテナでサポートされているデバイスポリシーとMDXポリシーを示します。デバイスポリシーとMDXポリシーについて詳しくは、「デバイスポリシー」および「MDXポリシーの概要」をそれぞれ参照してください。

認証ポリシー サポート対象 サポートされている値 備考
アプリのパスコード すべて  
オンラインセッションを必須とする   [オフ]のみ  
最大オフライン期間 すべて  
代替NetScaler Gateway   空白のみ  
アプリのネットワークアクセスポリシー サポート対象 サポートされている値 備考
ネットワークアクセス すべてl  
証明書ラベル 空白のみ    
優先VPNモード すべて  
VPNモードの切り替えを許可 すべて  
PACファイル のURL、またはプロキシサーバー すべて  
デフォルトのログ出力 すべて  
デフォルトのログレベル すべて  
最大ログファイル数 すべて  
最大ログファイルサイズ すべて  
アプリログのリダイレクト すべて  
ログの暗号化 すべて  
Whitelist WiFi networks   空白のみ  
デバイスセキュリティポリシー サポート対象 サポートされている値 備考
ジェイルブレイクまたはRoot化を禁止 すべて  
デバイスの暗号化を要求 すべて  
デバイスのロックを必須とする すべて  
ネットワーク要件ポリシー サポート対象 サポートされている値 備考
Wi-Fiを必須とする オフ  
その他のアクセスポリシー サポート対象 サポートされている値 備考
アプリ更新猶予期間(時間) すべて  
ロック時にアプリデータを消去 すべて  
アクティブなポーリング周期(分) すべて  
暗号化ポリシー サポート対象 サポートされている値 備考
暗号キー オフラインアクセスを許可 Androidエンタープライズポリシーでサポート
プライベート ファイルの暗号化 [無効]のみ Androidエンタープライズポリシーでサポート
プライベート ファイルの暗号化から除外する対象 該当なし(空) Androidエンタープライズポリシーでサポート
パブリックファイルへのアクセス制限 該当なし(空) Androidエンタープライズポリシーでサポート
パブリック ファイルの暗号化 [無効]のみ Androidエンタープライズポリシーでサポート
パブリックファイルの暗号化から除外する対象 該当なし(空) Androidエンタープライズポリシーでサポート
パブリックファイルの移行 [無効]のみ Androidエンタープライズポリシーでサポート
アプリ相互作用ポリシー サポート対象 サポートされている値 備考        
セキュリティグループ 空白 Androidエンタープライズポリシーでサポート 切り取りおよびコピー 制限なしのみ Androidエンタープライズポリシーでサポート
貼り付け 制限なしのみ Androidエンタープライズポリシーでサポート        
ドキュメント交換(このアプリで開く) 制限なしのみ Androidエンタープライズポリシーでサポート        
受信ドキュメント交換(このアプリで開く) すべて Androidエンタープライズポリシーでサポート        
受信ドキュメント交換のホワイトリスト 空白 Androidエンタープライズポリシーでサポート        
[このアプリで開く] 制限の例外一覧 空白 Androidエンタープライズポリシーでサポート        
アプリの制限ポリシー サポート対象 サポートされている値 備考
カメラを禁止 [オン]のみ Androidエンタープライズポリシーでサポート
ギャラリーを禁止 [オン]のみ Androidエンタープライズポリシーでサポート
localhost接続をブロック すべて  
マイク録音を禁止 [オフ]のみ Androidエンタープライズポリシーでサポート
位置情報サービスを禁止 [オフ]のみ Androidエンタープライズポリシーでサポート
SMS作成を禁止 [オフ]のみ Androidエンタープライズポリシーでサポート
スクリーン ショットを禁止 [オフ]のみ Androidエンタープライズポリシーでサポート
デバイスのセンサーを禁止 すべて  
NFCを禁止 [オフ]のみ Androidエンタープライズポリシーでサポート
印刷を禁止 すべて  
アプリログを禁止 すべて  
アプリのジオフェンスポリシー サポート対象 サポートされている値 備考
中心点の経度 すべて  
中心点の緯度 すべて  
半径 すべて  

Android for Workアカウント設定の構成

ユーザーのデバイスでAndroidのアプリとポリシーを管理できるようにするには、XenMobileでAndroid for Workのドメインおよびアカウント情報を設定する必要があります。最初にドメイン管理者を設定し、サービスアカウントIDとバインドトークンを取得するために、GoogleでAndroid for Workの設定を完了しておく必要があります。

  1. XenMobile Webコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [サーバー] の下の [Android for Work] をクリックします。[Android for Work]構成ページが開きます。

[Android for Work]構成ページの画像

  1. [Android for Work] ページで以下の設定を構成します。

    • ドメイン名: ドメイン名を入力します。
    • ドメイン管理アカウント: ドメイン管理者のユーザー名を入力します。
    • サービスアカウントID: GoogleのサービスアカウントIDを入力します。
    • クライアントID: GoogleサービスアカウントのクライアントIDを入力します。
    • Android for Workの有効化: Android for Workを有効にするかどうかを選択します。
  2. [保存] をクリックします。

XenMobileのG Suiteパートナーアクセスをセットアップ

Chromeの一部のエンドポイント管理機能では、GoogleパートナーAPIを使用してXenMobileとG Suiteドメイン間で通信します。たとえば、XenMobileでは、シークレットモードやゲストモードなどのChrome機能を管理するデバイスポリシーにAPIが必要です。

パートナーAPIを有効にするには、XenMobileコンソールでG Suiteドメインをセットアップしてから、G Suiteアカウントを構成します。

XenMobileでG Suiteドメインをセットアップする

XenMobileでG SuiteドメインのAPIと通信できるようにするには、[設定]>[Google Chromeの構成]で設定を構成します。

Google Chrome設定画面の画像

  • G Suiteドメイン: XenMobileに必要なAPIをホストするG Suiteドメイン。
  • G Suite管理者アカウント: G Suiteドメインの管理者アカウント。
  • G SuiteクライアントID: シトリックスのクライアントID。G Suiteドメインのパートナアクセスを構成する場合は、この値を使用します。
  • G SuiteエンタープライズID: アカウントのエンタープライズID。お客様のGoogleエンタープライズアカウントから入力されます。

G Suiteドメイン内のデバイスとユーザーのパートナーアクセスを有効にする

  1. Google管理コンソールにログインします。 https://admin.google.com

  2. [端末管理] をクリックします。

    Google管理者コンソールの画像

  3. [Chrome管理] をクリックします。

    Google管理者コンソールの画像

  4. [ユーザー設定] をクリックします。

    Google管理者コンソールの画像

  5. [Chrome管理-パートナーアクセス] を見つけます。

    Google管理者コンソールの画像

  6. [Chrome管理-パートナーアクセスを有効にします] チェックボックスをオンにします。

  7. パートナーアクセスについて了承し、有効にする必要があることに同意します。[保存] をクリックします。

  8. [Chrome管理]ページで [端末設定] をクリックします。

    Google管理者コンソールの画像

  9. [Chrome管理-パートナーアクセス] を見つけます。

    Google管理者コンソールの画像

  10. [Chrome管理-パートナーアクセスを有効にします] チェックボックスをオンにします。

  11. パートナーアクセスについて了承し、有効にする必要があることに同意します。[保存] をクリックします。

  12. [セキュリティ] ページに移動し、[詳細設定]をクリックします。

    Google管理者コンソールの画像

  13. [APIクライアントアクセスを管理する] をクリックします。

  14. XenMobileコンソールで、[設定]>[Google Chromeの構成]に移動し、[G SuiteクライアントID]の値をコピーします。次に、[APIクライアントアクセスを管理する]ページに戻り、コピーした値を [クライアント名] フィールドに貼り付けます。

  15. [1つ以上のAPIの範囲] に次のURLを追加します:https://www.googleapis.com/auth/chromedevicemanagementapi

    Google管理者コンソールの画像

  16. [承認] をクリックします。

    「設定が保存されました」というメッセージが表示されます。

デバイスポリシー構成画面の画像

Android for Workデバイスの登録

デバイス登録処理でユーザーがユーザー名またはユーザーIDを入力する必要がある場合、受け入れる形式は、XenMobileサーバーがユーザープリンシパル名(UPN)またはSAMアカウント名でユーザーを検索するように構成されているかどうかによって異なります。

XenMobileサーバーがUPNでユーザーを検索するように構成されている場合、ユーザーは以下の形式でUPNを入力する必要があります:

  • ユーザー名@ドメイン

XenMobileサーバーがSAMによってユーザーを検索するように構成されている場合、ユーザーは以下のどちらかの形式でSAMを入力する必要があります。

  • ユーザー名@ドメイン
  • ドメイン\ユーザー名

XenMobileサーバーが構成されているユーザー名の種類を確認するには:

  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。
  2. [LDAP] をクリックして、LDAP接続の設定を表示します。
  3. ページの下部にある [ユーザー検索基準] フィールドを表示します。

    • userPrincipalNameに設定すると、XenMobileサーバーはUPNに設定されます。
    • sAMAccountNameに設定すると、XenMobileサーバーはSAMに設定されます。

Android for Workエンタープライズの登録解除

XenMobile ServerコンソールとXenMobile Toolsを使用して、Android for Workエンタープライズを登録解除できます。

このタスクを実行すると、XenMobile ServerはXenMobileツールのポップアップウィンドウを開きます。始める前に、XenMobile Serverに、使用しているWebブラウザーでポップアップウィンドウを開く権限があることを確認してください。Google Chromeなどの一部のブラウザーでは、ポップアップブロックを無効にし、XenMobileサイトのアドレスをポップアップブロックのホワイトリストに追加する必要があります。

警告:

エンタープライズの登録が解除されると、エンタープライズ経由で登録されていたデバイスのAndroid for Workアプリはデフォルトの状態にリセットされます。デバイスはGoogleによって管理されなくなります。それらのデバイスをAndroid for Workエンタープライズで再登録しても、以前の機能を復元することはできません。さらに構成する必要があります。

Android for Workエンタープライズの登録を解除した後:

  • エンタープライズ経由で登録されていたデバイスとユーザーのAndroid for Workアプリはデフォルト状態にリセットされます。以前に適用されていたAndroid for Workアプリの権限ポリシーとAndroid for Workアプリの制限ポリシーは無効になります。
  • エンタープライズ経由で登録されていたデバイスはXenMobileによって管理されますが、Googleの観点からは管理されません。新しいAndroid for Workアプリを追加することはできません。Android for Workアプリの権限とAndroid for Workアプリの制限ポリシーは適用できません。ただし、これらのデバイスには引き続き、スケジュール設定、パスワード、制限などのポリシーは適用できます。
  • Android for Workにデバイスを登録しようとすると、Android for WorkデバイスではなくAndroidデバイスとして登録されます。

Android for Workエンタープライズを登録解除するには:

  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [設定]ページで、[Android for Work]をクリックします。

  3. [エンタープライズの削除] をクリックします。

    [エンタープライズの削除]オプションの画像

  4. パスワードを指定します。登録解除を完了するには、次のステップでこのパスワードが必要になります。[登録解除] をクリックします。

    [登録解除]オプションの画像

  5. [XenMobile Tools]ページが開いたら、前の手順で作成したパスワードを入力します。

    パスワードフィールドの画像

  6. [登録解除] をクリックします。

    [登録解除]オプションの画像

Android for Workでの仕事用管理対象デバイスモードのプロビジョニング

Android for Workの仕事用管理対象デバイスモードは、会社所有のデバイスでのみ利用できます。XenMobileでは、仕事用管理対象デバイスモードで以下の登録方法をサポートしています。

  • afw#xenmobile: この登録方法では、ユーザーがデバイスの設定時に「afw#xenmobile」という文字を入力します。このトークンにより、デバイスがXenMobileの管理対象であると識別され、Secure Hubがダウンロードされます。
  • QRコード: QRコードプロビジョニングは、NFCをサポートしていない、タブレットなどの分散型端末を簡単にプロビジョニングする方法です。QRコード登録方法は、出荷時の設定にリセットされたフリートデバイスで使用できます。QRコード登録メソッドは、セットアップウィザードからQRコードをスキャンすることによって、仕事用管理対象デバイスモードを設定および構成します。
  • NFC(近距離無線通信)バンプ: NFCバンプ登録方法は、出荷時の設定にリセットされたフリートデバイスで使用できます。NFCバンプは、近距離無線通信を使用して2つのデバイス間でデータを転送します。工場出荷時設定にリセットされたデバイスでは、Bluetooth、Wi-Fi、およびそのほかの通信モードは無効になっています。この状態のデバイスが使用する通信プロトコルはNFCのみです。

afw#xenmobile

この登録方法は、新規デバイスまたは工場出荷時設定にリセットされたデバイスの電源を入れ、初期セットアップを行った後に使用します。ユーザーは、Googleアカウントの入力を求められたら「afw#xenmobile」と入力します。この操作により、Secure Hubがダウンロードされインストールされます。インストール後、Secure Hubの設定プロンプトに従って登録を完了します。

この登録方法ではSecure Hubの最新バージョンがGoogle Playストアからダウンロードされるため、ほとんどのお客様に推奨されます。他の登録方法とは異なり、XenMobileサーバーでダウンロード用にSecure Hubを提供することはありません。

前提条件:

  • Android 5.0以降を実行するすべてのAndroidデバイスでサポートされます。

QRコード

QRコードを使用してデバイスモードでデバイスを登録するには、JSONを作成してからQRコードに変換して、QRコードを生成します。このQRコードをデバイスカメラでスキャンし、デバイスを登録します。

前提条件:

  • Android 7.0以降を実行するすべてのAndroidデバイスでサポートされます。

JSONからQRコードを作成する

次のフィールドがあるJSONを作成します。

これらのフィールドは必須です。

キー:android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

値:com.zenprise / com.zenprise.configuration.AdminFunction

キー: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

値:qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

キー:android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

値: https://path/to/securehub.apk

注:

Secure HubがCitrix XenMobileサーバーにエンタープライズアプリとしてアップロードされている場合は、https://<fqdn>:4443/*instanceName*/worxhome.apkからダウンロードできます。上記の値として使用されるSecure Hub APKへのパスは、プロビジョニング中にデバイスが接続されるWi-Fi接続を介してアクセスできる必要があります。

これらのフィールドはオプションです。

  • android.app.extra.PROVISIONING_LOCALE: 言語コードおよび国コードを入力します。

    言語コードは、ISO 639-1で定義されている小文字で2文字のISO言語コード(「en」など)です。国コードは、ISO 3166-1で定義されている大文字で2文字のISO国コード(「US」など)です。たとえば、アメリカ合衆国で話されている英語の場合は「en_US」と入力します。

  • android.app.extra.PROVISIONING_TIME_ZONE: これはデバイスが実行されているタイムゾーンです。

    フォームの地域/場所のOlson名を入力します。たとえば、米国太平洋標準時の場合は「America/Los_Angeles」です。入力しない場合、タイムゾーンは自動的に入力されます。

  • android.app.extra.PROVISIONING_LOCAL_TIME: エポックからのミリ秒単位の時間。

    Unixエポック(またはUnix時間またはPOSIX時間またはUnixタイムスタンプ)は、1970年1月1日(UTC/ GMT午前0時)から経過した秒数で、うるう秒数は含まれません(ISO 8601: 1970-01-01T00:00:00Z)。

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: プロファイル作成時に暗号化をスキップするには、trueに設定します。プロファイルの作成時に暗号化を強制するには、falseに設定します。

以下の図に、典型的なJSONの例を示します。

典型的なJSONの画像

https://jsonlint.comなどのJSON検証ツールを使用して作成されたJSONを検証します。http://goqr.me などのオンラインQRコードジェネレータを使用して、JSON文字列をQRコードに変換します。

このQRコードは工場出荷時の設定にリセットされたデバイスによってスキャンされ、これによってデバイスを仕事用管理対象デバイスモードで登録できます。

デバイスを登録するには

デバイスを仕事用管理対象デバイスモードで登録するには、デバイスを工場出荷時の設定にリセットする必要があります。

  1. ようこそ画面で画面を6回タップすると、QRコードの登録フローが開始されます。
  2. プロンプトが表示されたら、Wi-Fiに接続します。(JSONでエンコードされた)QRコードにあるSecure Hubのダウンロード場所には、このWi-Fiネットワーク経由でアクセスできます。

    端末がWi-Fiに接続されると、GoogleからQRコードリーダーをダウンロードしてカメラを起動します。

  3. カメラをQRコードに合わせて、コードをスキャンします。

    Androidは、QRコードのダウンロード場所からSecure Hubをダウンロードし、署名証明書の署名を検証し、Secure Hubをインストールし、デバイス所有者として設定します。

詳しくは、Android EMMデベロッパー向けGoogleガイド(https://developers.google.com/android/work/prov-devices#qr_code_method)を参照してください。

NFCバンプ

NFCバンプを使用してデバイスモードでデバイスを登録するには、工場出荷時の設定にリセットされたデバイスと、XenMobileプロビジョニングツールを実行するデバイスの2つのデバイスが必要です。

前提条件:

  • Android 5.0、Android 5.1、Android 6.0以降を実行するすべてのAndroidデバイスでサポートされます。
  • Android for Workを有効にしたXenMobile Serverバージョン10.4。
  • 仕事用管理対象デバイスモードでAndroid for Work向けにプロビジョニングされた、工場出荷時設定にリセットされたデバイス。この前提条件を完了する手順については、後述します。
  • 構成済みのProvisioning Toolを実行している、NFC機能が備わった別のデバイス。Provisioning Toolは、Secure Hub 10.4またはCitrixダウンロードページから入手できます。

各デバイスにはエンタープライズモビリティ管理(EMM)アプリで管理されたAndroid for Workプロファイルが1つのみ存在します。XenMobileで、Secure HubはEMMアプリです。各デバイスには、1つのプロファイルしか許可されません。2つ目のEMMアプリを追加すると、1つ目のEMMアプリが削除されます。

仕事用管理対象デバイスモードは、新しいデバイスまたは工場出荷時の設定にリセットされたデバイスで開始できます。XenMobileでデバイス全体を管理します。

NFCバンプを介して転送されるデータ

工場出荷時の設定にリセットされたデバイスをプロビジョニングするには、以下のデータをNFCバンプ経由で送信してAndroid for Workを初期化する必要があります。

  • デバイス所有者として機能するEMMプロバイダーアプリ(この場合は、Secure Hub)のパッケージ名。
  • デバイスがEMMプロバイダーアプリをダウンロードできるイントラネット/インターネット上の場所。
  • ダウンロードが正常に完了したかどうかを確認するEMMプロバイダーアプリのSHA1ハッシュ。
  • 工場出荷時の設定にリセットされたデバイスがEMMプロバイダーアプリに接続してダウンロードできるようにするWi-Fi 接続の詳細。注:現時点では、Androidはこの手順での802.1x Wi-Fiをサポートしていません。
  • デバイスのタイムゾーン(オプション)。
  • デバイスの地理的な場所(オプション)。

2つのデバイスがバンプされると、Provisioning Toolのデータが工場出荷時の設定にリセットされたデバイスに送信されます。このデータはその後、管理者設定でのSecure Hubのダウンロードに使用されます。タイムゾーンと場所の値を入力しない場合、新しいデバイスではAndroidによって自動的にこれらの値が構成されます。

XenMobile Provisioning Toolの構成

NFCバンプを行う前に、Provisioning Toolを構成する必要があります。この構成はその後、工場出荷時の設定にリセットされたデバイスに、NFCバンプ中に転送されます。

Provisioning Tool構成の画像

必須項目にデータを直接入力することも、テキストファイルから入力することもできます。次の手順では、テキストファイルを構成する方法と各フィールドに説明を含める方法について説明します。入力後のデータはアプリでは保存されないため、テキストファイルを作成して、今後の使用に備えて情報を保存しておくことをお勧めします。

テキストファイルを使用してProvisioning Toolを構成するには

ファイルの名前をnfcprovisioning.txtにして、/sdcard/フォルダーにあるデバイスのSDカードに格納します。アプリによってこのテキストファイルが読み込まれ、値が入力されます

テキストファイルには、次のデータを含める必要があります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

この行は、EMMプロバイダーアプリのイントラネット/インターネットの場所です。工場出荷時設定のデバイスがNFCバンプの後にWi-Fiに接続した場合、デバイスはダウンロードのためにこの場所にアクセスする必要があります。URLは通常のURLで、特別な形式にする必要はありません。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

この行は、EMMプロバイダーアプリのチェックサムです。このチェックサムはダウンロードが成功したかを検証するために使用されます。チェックサムを取得する手順については、後述します。

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

この行は、Provisioning Toolを実行しているデバイスが接続されているWi-FiのSSIDです。

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

サポートされる値はWEPおよびWPA2です。Wi-Fiが保護されていない場合、このフィールドは空白にする必要があります。

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Wi-Fiが保護されていない場合、このフィールドは空白にする必要があります。

android.app.extra.PROVISIONING_LOCALE=<locale>

言語コードと国コードを入力します。言語コードは、ISO 639-1で定義されている小文字で2文字のISO言語コード(「en」など)です。国コードは、ISO 3166-1で定義されている大文字で2文字のISO国コード(「US」など)です。たとえば、アメリカ合衆国で話されている英語の場合は「en_US」と入力します。コードを入力しない場合、国と言語は自動的に入力されます。

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

デバイスが実行されるタイムゾーンです。フォームの地域/場所のOlson名を入力します。たとえば、米国太平洋標準時の場合は「America/Los_Angeles」です。名前を入力しない場合、タイムゾーンは自動的に入力されます。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

このデータはSecure Hubとしてアプリにハードコードされるため、必須ではありません。ここでは、情報の完全性を守るためだけに記載しています。

WPA2を使用して保護されたWi-Fiの場合、完了したnfcprovisioning.txtファイルは以下の例のようになります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

保護されていないWi-Fiの場合、完了したnfcprovisioning.txtファイルは以下の例のようになります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Secure Hubチェックサムを取得するには

アプリのチェックサムを取得するには、そのアプリをエンタープライズアプリとして追加します。

  1. XenMobileコンソールで、[構成]>[アプリ] を選択してから、[追加] をクリックします。

    [アプリの追加] ウィンドウが開きます。

  2. [エンタープライズ] をクリックします。

    [アプリケーション情報] ページが開きます。

    [アプリケーション情報]ページの画像

  3. 次の構成を選択して [次へ] をクリックします。

    [Android for Workエンタープライズアプリ] ページが開きます。

    [Android For Workエンタープライズアプリ]の画面

  4. .apkへのパスを入力し、[次へ] をクリックしてファイルをアップロードします。

    アップロードが完了すると、アップロードされたパッケージの詳細が表示されます。

    ファイルのアップロードページの画像

  5. [次へ] をクリックしてJSONファイルをダウンロードするページを表示します。このファイルは、この後Google Playへのアップロードに使用します。Secure Hubの場合、Google Playにアップロードする必要はありませんが、SHA1を読み込む元になるJSONファイルが必要です。

    JSONファイルのダウンロードページの画像

    以下の図に、典型的なJSONファイルの例を示します。

    典型的なJSONファイルの画像

  6. file_sha1_base64の値をコピーして、この値をProvisioning Toolの [ハッシュ] フィールドで使用します。

    :ハッシュはURLセーフのものにする必要があります。

    • +記号はすべて-に変換します。
    • /記号はすべて_に変換します。
    • 末尾の\u003d=に置き換えます。

    ハッシュをデバイスのSDカードのnfcprovisioning.txtファイルに格納すると、安全のための変換が行われます。ただし、ハッシュを手動で入力すると、URLの安全性は入力者の責任になります。

使用するライブラリ

Provisioning Toolでは、以下のライブラリがソースコードに使用されています。

  • v7 appcompat library、Design support library、およびv7 Palette library by Google(Apache license 2.0)

    詳しくは、「Support Libraryの機能」を参照してください。

  • Butter Knife by Jake Wharton(Apache license 2.0)

Android for Workでの仕事用プロファイルモードのプロビジョニング

Android for Workの仕事用プロファイルモードは、デバイス上の会社領域と個人領域を安全に分離することができます。たとえば、BYODデバイスで仕事用プロファイルモードを使用できます。仕事用プロファイルモードの登録は、XenMobileのAndroid登録と同様の操作です。ユーザーはGoogle PlayからSecure Hubをダウンロードし、デバイスを登録します。

デフォルトでは、USBデバッグおよび不明なソース設定は、デバイスがAndroid for Workの仕事用プロファイルモードで登録されているときは無効になります。

ヒント:

Android for Workのデバイスを仕事用プロファイルモードで登録する場合は、毎回Google Playにアクセスしてください。そこから、ユーザーの個人プロファイルでのSecure Hubの表示を有効にします。