Product Documentation

Android for Work

2018年5月15日

Android for Work(Androidエンタープライズ)は、Android 5.0以降を実行しているAndroidデバイスで使用できるセキュリティ保護されたワークスペースです。このワークスペースはビジネス用のアカウント、アプリ、データを個人のアカウント、アプリ、データから隔離します。XenMobileでは、デバイスに別個の作業プロファイルを作成できるため、BYOD(Bring Your Own Device)と会社が所有するAndroidデバイスの両方を管理できます。

ハードウェアの暗号化および展開するポリシーを組み合わせることで、デバイスで業務の領域と個人領域を安全に隔離できます。ユーザーの個人用の領域に影響を与えずに、会社用のすべてのポリシー、アプリ、およびデータをリモートで管理できます。サポートされているAndroidデバイスについて詳しくは、Google Android Enterpriseのサイトを参照してください。

Google Playを使用して、アプリを追加、購入、および承認し、デバイスのAndroid for Workワークスペースに展開します。Google Playを使用してプライベートなAndroidアプリ、パブリックアプリ、およびサードパーティアプリを展開できます。Android for Work用のパブリックアプリケーションストアの有料アプリをXenMobileに追加するときに、一括購入ライセンスの状態を確認できます。状態に含まれる情報は、使用できる合計ライセンス数、使用中のライセンス数、ライセンスを使用している各ユーザーのメールアドレスです。詳しくは、「パブリックアプリケーションストアのアプリケーションの追加」を参照してください。

注:

XenMobile Serviceおよびシトリックスドキュメントでは「Android for Work」と呼んでいます。最新の呼称はAndroidエンタープライズです。詳しくは、Androidに関するドキュメントを参照してください。

Android for Workのセットアップ

XenMobileでは、組織でAndroid for Workを簡単にセットアップできる方法を提供します。XenMobile Management Toolsを使用して、Google PlayでXenMobileをエンタープライズモビリティ管理プロバイダーとしてバインドし、Android for Workのエンタープライズを作成することができます。

注:

G Suiteユーザーは、「G Suiteユーザー向けの従来のAndroid for Work」を参照してください。

以下が必要です。

  • XenMobileツールにサインインするためのCitrixアカウントの資格情報
  • Google PlayにサインインするためのGoogle IDの企業資格情報
  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. 設定] ページで、[Android for Work] をクリックします。

    Android for Work設定画面の画像

  3. XenMobile設定の [Android for Work] ページで、[XenMobileツールに移動] をクリックします。

    [XenMobileツールに移動]リンクの画像

  4. メッセージが表示されたら、Citrixアカウントにサインインします。
  5. XenMobileツール管理の [Android for Work] ページで、[Go to Google Play] をクリックします。

    [Go to Google Play]オプションの画像

  6. Google Playで次の手順を実行し、Citrixを組織のエンタープライズモビリティ管理プロバイダーとして登録します。

    • 組織名を入力します。
    • Citrixがエンタープライズモビリティ管理プロバイダーとして表示されていることを確認します。
    • 規約に同意し、[Confirm] をクリックします。

    Google Playの登録ページの画像

    • 表示されたページで、[Complete Registration] をクリックします。

    これにより、ダウンロードしてから、XenMobileにアップロードするファイルが作成されます。

  7. XenMobileツール管理の [Android for Work] ページで、[Download] をクリックします。
  8. ファイルの暗号化のためにパスワードを作成します。ファイルをアップロードしてパスワードを入力するときのために、パスワードはメモしておいてください。

    パスワードプロンプトの画像

  9. Go back to XenMobile] をクリックします。
  10. XenMobile設定の[Android for Work]ページで、[Upload file] をクリックします。

    [Upload file]オプションの画像

  11. ダウンロードしたファイルを参照し、作成したパスワードを入力します。[Upload]をクリックします。

    [Upload]オプションの画像

  12. Android for WorkにエンタープライズIDが追加されました。Android of Workを有効にするには、[Android for Workの有効化] を [はい] にスライドします。

    [Android for Workの有効化]オプションの画像

G Suiteユーザー向けの従来のAndroid for Work

G Suiteユーザーが従来のAndroid for Workを構成するには、従来のAndroid for Workの設定を使用する必要があります。

従来のAndroid for Workの要件:

  • パブリックにアクセスできるドメイン
  • Google管理者アカウント
  • 管理されたプロファイルサポートがあり、Android 5.0以降のLollipopを実行しているデバイス
  • Google PlayがインストールされているGoogleアカウント
  • デバイスで設定されたワークプロファイル

従来のAndroid for Workの構成を開始するには、XenMobile設定の [Android for Work] ページで、[従来のAndroid for Work] をクリックします。

[従来のAndroid for Work]オプションの画像

Android for Workアカウントの作成

Android for Workアカウントをセットアップするには、Googleでドメイン名を確認する必要があります。

ドメイン名がすでにGoogleで検証済みの場合は、「Android for Workサービスアカウントの設定とAndroid for Work証明書のダウンロード」の手順をスキップできます。

  1. https://www.google.com/a/signup/?enterprise_product=ANDROID_WORKにアクセスします。

    管理者情報と会社情報を入力する次のページが開きます。

    アカウントセットアップページの画像

  2. 管理者のユーザー情報を入力します。

    管理者のユーザー情報の画像

  3. 管理者のアカウント情報だけでなく、会社情報も入力してください。

    企業情報画面の画像

    プロセスの最初の手順が完了します。以下のページが開きます。

    検証ページの画像

ドメイン所有権を検証するには:

以下のいずれかの方法で、Googleがドメインを検証できるようにします。

  • ドメインホストのWebサイトにTXTまたはCNAMEレコードを追加します。
  • HTMLファイルをドメインのWebサーバーにアップロードします。
  • ホームページに<meta>タグを追加します。

    Googleでは最初の方法を推奨しています。ドメインの所有権を検証する手順についてはこの記事では扱いませんが、必要な情報はhttps://support.google.com/a/answer/6248925/に記載されています。

  1. Start] をクリックして、ドメインの検証を開始します。

    Verify domain ownership]ページが開きます。画面の指示に従ってドメインを検証します。

  2. Verify] をクリック します。

    [Verify]ボタンの画像

    [Verify]確認の画像

  3. Googleによってドメイン所有権が検証されます。

    ドメイン所有権確認の画像

  4. 検証が成功すると、次のページが開きます。[Continue] をクリックします。

    成功の確認ページの画像

  5. Citrixに提供しAndroid for Work設定を構成するときに使用するEMMバインドトークンが、Googleによって作成されます。トークンをコピーして保存します。後でセットアップ中に必要になります。

    バインドトークンの画像

  6. Finish] をクリックしてAndroid for Workの設定を完了します。ドメインの検証に成功したことを示すページが表示されます。

Android for Workサービスアカウントを作成すると、Google Adminコンソールにサインインしてモビリティ管理設定を管理できます。

Android for Workサービスアカウントの設定とAndroid for Work証明書のダウンロード

XenMobileからGoogle PlayサービスおよびDirectoryサービスにアクセスできるようにするには、Googleのデベロッパー用プロジェクトポータルを使用してサービスアカウントを作成する必要があります。このサービスアカウントは、XenMobileとAndroid at Work用のGoogleの各種サービスのサーバー間通信で使用します。使用されている認証プロトコルについて詳しくは、https://developers.google.com/identity/protocols/OAuth2ServiceAccountを参照してください。

  1. Webブラウザーでhttps://console.cloud.google.com/projectを開いて、Google管理者の資格情報でサインインします。

  2. Projects] の一覧で、[Create Project] をクリックします。

    [Create Project]オプションの画像

  3. Project name] ボックスに、プロジェクトの名前を入力します。

    [Project name]オプションの画像

  4. [Dashboard]ページで、[Use Google APIs] をクリックします。

    [Use Google APIs]オプションの画像

  5. Library] をクリックして、[Search] にEMMと入力して、検索結果をクリックします。

    EMM検索オプションの画像

  6. Overview] ページで、[Enable] をクリックします。

    [Enable]オプションの画像

  7. Google Play EMM API] の横にある [Go to Credentials] をクリックします。

    [Go to Credentials]オプションの画像

  8. Add credentials to our project] の一覧の手順1で、[service account] をクリックします。

    [service account]オプションの画像

  9. Service Accounts]ページで、[Create Service Account] をクリックします。

    [Create Service Account]オプションの画像

  10. Create service account] で、アカウントに名前を付けて、[Furnish a new private key] をオンにします。[P12] を選択して、[Enable Google Apps Domain-wide Delegation] をオンにし、[Create] をクリックします。

    [Create service account]オプションの画像

    証明書(P12ファイル)がコンピューターにダウンロードされます。証明書を安全な場所に保存してください。

  11. Service account created] 確認画面で、[Close] をクリックします。

    確認ページの画像

  12. Permissions] ページで [Service accounts] をクリックし、サービスアカウントの [Options] の下で、[View Client ID] をクリックします。

    [View Client ID]オプションの画像

  13. Google管理コンソールでアカウントの承認に必要になる詳細情報が表示されます。[Client ID]と[Service account ID]を、後でこの情報を引き出せる場所にコピーします。この情報は、ドメイン名と共に、ホワイトリスト作成の目的でCitrixサポートに送信するときに必要になります。

    アカウント認証の詳細の画像

  14. Library] ページでAdmin SDKを検索して、検索結果をクリックします。

    Admin SDK検索の画像

  15. Overview] ページで、[Enable] をクリックします。

    [Enable]ボタンの画像

  16. ユーザーのドメインのGoogle管理コンソールを開き、[Security] をクリックします。

    [セキュリティ]オプションの画像

  17. Settings] ページで [Show more] をクリックして、[Advanced settings] を選択します。

    [Advanced settings]の画像

    [Advanced settings]の画像

  18. Manage API client access] をクリックします。

    [Manage API client access]オプションの画像

  19. Client Name] ボックスに前の手順で保存したクライアントIDを入力し、[One or More API Scopes] ボックスに「https://www.googleapis.com/auth/admin.directory.user」と入力して、[Authorize] をクリックします。

    クライアント名オプションの画像

EMMへのバインド

XenMobileを使用してAndroidデバイスを管理するには、Citrixテクニカルサポートにドメイン名、サービスアカウント、およびバインドトークンを提供する必要があります。CitrixはトークンをEMM(エンタープライズモビリティ管理)プロバイダーとしてのXenMobileにバインドします。シトリックステクニカルサポートへのお問い合わせは、シトリックステクニカルサポートを参照してください。

  1. バインドを確認するには、Google Adminポータルにサインインして [Security] をクリックします。

  2. Manage EMM provider for Android] をクリックします。

    Google Android at WorkアカウントがEMMプロバイダーとしてのCitrixにバインドされていることが表示されます。

    トークンのバインドを確認した後で、XenMobileコンソールを使用してAndroidデバイスの管理を開始できます。手順14で生成したP12証明書をインポートします。Android for Workサーバー設定をセットアップし、SAMLベースのシングルサインオンを有効化し、少なくともAndroid for Workデバイスポリシーを1つ定義する必要があります。

    [Manage EMM provider for Android]オプションの画像

P12証明書のインポート

以下の手順に従ってAndroid for WorkのP12証明書をインポートします。

  1. XenMobileコンソールにサインインします。

  2. コンソールの右上にある歯車アイコンをクリックして [設定] ページを開き、[証明書] をクリックします。[証明書] ページが開きます。

    [証明書]ページの画像

  3. Import]をクリックします。[インポート] ダイアログボックスが開きます。

    [インポート]ダイアログボックスの画像

    次の設定を構成します。

    • インポート: ボックスの一覧から、[キーストア] を選択します。
    • キーストアの種類: ボックスの一覧から、[PKCS#12] を選択します。
    • 使用目的: ボックスの一覧から、[サーバー] を選択します。
    • キーストアファイル:ブラウザー] をクリックして、P12証明書を選択します。
    • パスワード: キーストアのパスワードを入力します。
    • 説明: 任意で、証明書の説明を入力します。
  4. インポート] をクリックします。

Android for Workサーバー設定のセットアップ

  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. サーバー] の下の [Android for Work] をクリックします。[Android for Work]ページが開きます。

    [Android for Work]ページの画像

    これらの設定を構成し、[保存] をクリックします。

    • ドメイン名: Android for Workのドメイン名を入力します(例:domain.com)。
    • ドメイン管理アカウント: ドメイン管理者のユーザー名を入力します(例:Google Developer Portalで使用しているメールアカウント)。
    • サービスアカウントID: サービスアカウントIDを入力します(例:Google Service Account(serviceaccountemail@xxxxxxxxx.iam.gserviceaccount.com)に関連付けられたメールアドレス)。
    • クライアントID: Googleサービスアカウントの数値形式のクライアントIDを入力します。
    • Android for Workの有効化: Android for Workを有効にするか無効にするかを選択します。

SAMLベースのシングルサインオンの有効化

  1. XenMobileコンソールにサインインします。

  2. コンソールの右上にある歯車アイコンをクリックします。[設定] ページが開きます。

  3. 証明書] をクリックします。[証明書] ページが開きます。

    [証明書]ページの画像

  4. 証明書の一覧から、SAML証明書を選択します。

  5. エクスポート] をクリックして証明書をコンピューターに保存します。

  6. Android for Workの管理者資格情報でGoogle Adminポータルにサインインします。ポータルへのアクセスについて詳しくは、Google Admin portalを参照してください。

  7. Security] をクリックします。

    [Security]オプションの画像

  8. Security] の下の [Set up single sign-on(SSO)] をクリックして以下の設定を構成します。

    SSO設定のイメージ

    • Sign-in page URL: お使いのシステムおよびGoogle AppsにサインインするページのURLを入力します。例:https://<Xenmobile-FQDN>/aw/saml/signin
    • Sign-out page URL: ユーザーがサインアウト時にリダイレクトされるURLを入力します。例:https://<Xenmobile-FQDN>/aw/saml/signout
    • Change password URL: ユーザーがシステム内でパスワードを変更するときにアクセスするURLを入力します。例:https://<Xenmobile-FQDN>/aw/saml/changepassword。このフィールドが定義されると、SSOが使用できない場合でもこのメッセージが表示されます。
    • Verification certificate:CHOOSE FILE] をクリックして、XenMobileからエクスポートされたSAML証明書を選択します。
  9. SAVE CHANGES] をクリックします。

Android for Workデバイスポリシーのセットアップ

パスコードポリシーをセットアップして、ユーザーが初めて登録するときにデバイスでのパスコード設定を必須にします。

パスコードポリシーページの画像

デバイスポリシーの基本的なセットアップ手順は以下のとおりです。

  1. XenMobileコンソールにサインオンします。

  2. 構成]>[デバイスポリシー] をクリックします。

  3. 追加] をクリックして、[新しいポリシーの追加] ダイアログボックスから追加するポリシーを選択します。この例では [パスコード] をクリックします。

  4. ポリシー情報] ページに入力します。

  5. Android at Work] をクリックしてポリシーの設定を構成します。

  6. ポリシーをデリバリーグループに割り当てます。

サポートされているデバイスポリシーとMDXポリシー

次の表に、Android for WorkコンテナでサポートされているデバイスポリシーとMDXポリシーを示します。デバイスポリシーとMDXポリシーについて詳しくは、「デバイスポリシー」および「MDXポリシーの概要」をそれぞれ参照してください。

認証ポリシー サポート対象 サポートされている値
アプリのパスコード すべて  
オンラインセッションを必須とする   [オフ]のみ  
最大オフライン期間 すべて  
代替NetScaler Gateway   空白のみ  

| アプリのネットワークアクセスポリシー | サポート対象 | サポートされている値 | 注 | | ——– | ———- | ———- | ———– | | ネットワークアクセス | ○ | すべてl | 証明書ラベル | 空白のみ | | 優先VPNモード | ○ | すべて | VPNモードの切り替えを許可| ○ | すべて | PACファイル のURL、またはプロキシサーバー | ○ | すべて | デフォルトのログ出力 | ○ | すべて | デフォルトのログレベル | ○ | すべて | 最大ログファイル数 | ○ | すべて | 最大ログファイルサイズ | ○ | すべて | アプリログのリダイレクト | ○ | すべて | ログの暗号化 | ○ | すべて | Whitelist WiFi networks | | 空白のみ

デバイスセキュリティポリシー サポート対象 サポートされている値
ジェイルブレイクまたはRoot化を禁止 すべて  
デバイスの暗号化を要求 すべて  
デバイスのロックを必須とする すべて  
ネットワーク要件ポリシー サポート対象 サポートされている値
Wi-Fiを必須とする オフ  
その他のアクセスポリシー サポート対象 サポートされている値
アプリ更新猶予期間(時間) すべて  
ロック時にアプリデータを消去 すべて  
アクティブなポーリング周期(分) すべて  
暗号化ポリシー サポート対象 サポートされている値
暗号キー オフラインアクセスを許可 Androidエンタープライズポリシーでサポート
プライベート ファイルの暗号化 [無効]のみ Androidエンタープライズポリシーでサポート
プライベート ファイルの暗号化から除外する対象 該当なし(空) Androidエンタープライズポリシーでサポート
パブリックファイルへのアクセス制限 該当なし(空) Androidエンタープライズポリシーでサポート
パブリック ファイルの暗号化 [無効]のみ Androidエンタープライズポリシーでサポート
パブリックファイルの暗号化から除外する対象 該当なし(空) Androidエンタープライズポリシーでサポート
パブリックファイルの移行 [無効]のみ Androidエンタープライズポリシーでサポート

| アプリ相互作用ポリシー | サポート対象 | サポートされている値 | 注 | | ——– | ———- | ———- | ———– | | セキュリティグループ | ○ | 空白 | Androidエンタープライズポリシーでサポート | 切り取りおよびコピー | ○ | 制限なしのみ | Androidエンタープライズポリシーでサポート | | 貼り付け | ○ | 制限なしのみ | Androidエンタープライズポリシーでサポート | | ドキュメント交換(このアプリケーションで開く) | ○ | 制限なしのみ | Androidエンタープライズポリシーでサポート | | 受信ドキュメント交換(このアプリケーションで開く) | ○ | 制限なし | Androidエンタープライズポリシーでサポート | | 受信ドキュメント交換のホワイトリスト | ○ | 空白 | Androidエンタープライズポリシーでサポート | | [このアプリケーションで開く] 制限の例外一覧 | ○ | 空白| Androidエンタープライズポリシーでサポート |

アプリの制限ポリシー サポート対象 サポートされている値
カメラを禁止 [オン]のみ Androidエンタープライズポリシーでサポート
ギャラリーを禁止 [オフ]のみ Androidエンタープライズポリシーでサポート
localhost接続をブロック すべて  
マイク録音を禁止 [オフ]のみ Androidエンタープライズポリシーでサポート
位置情報サービスを禁止 [オフ]のみ Androidエンタープライズポリシーでサポート
SMS作成を禁止 [オフ]のみ Androidエンタープライズポリシーでサポート
スクリーン ショットを禁止 [オフ]のみ Androidエンタープライズポリシーでサポート
デバイスのセンサーを禁止 すべて  
NFCを禁止 [オフ]のみ Androidエンタープライズポリシーでサポート
印刷を禁止 すべて  
アプリログを禁止 すべて  
アプリのジオフェンスポリシー サポート対象 サポートされている値
中心点の経度 すべて  
中心点の緯度 すべて  
半径 すべて  

Android for Workアカウント設定の構成

ユーザーのデバイスでAndroidのアプリとポリシーを管理できるようにするには、XenMobileでAndroid for Workのドメインおよびアカウント情報を設定する必要があります。最初にドメイン管理者を設定し、サービスアカウントIDとバインドトークンを取得するために、GoogleでAndroid for Workの設定を完了しておく必要があります。

  1. XenMobile Webコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. サーバー] の下の [Android for Work] をクリックします。[Android for Work]構成ページが開きます。

[Android for Work]構成ページの画像

  1. Android for Work] ページで以下の設定を構成します。

    • ドメイン名: ドメイン名を入力します。
    • ドメイン管理アカウント: ドメイン管理者のユーザー名を入力します。
    • サービスアカウントID: GoogleのサービスアカウントIDを入力します。
    • クライアントID: GoogleサービスアカウントのクライアントIDを入力します。
    • Android for Workの有効化: Android for Workを有効にするかどうかを選択します。
  2. 保存] をクリックします。

Android for Workエンタープライズの登録を解除する

XenMobile ServerコンソールとXenMobile Toolsを使用して、Android for Workエンタープライズを登録解除できます。

このタスクを実行すると、XenMobile ServerはXenMobileツールのポップアップウィンドウを開きます。始める前に、XenMobile Serverに、使用しているWebブラウザーでポップアップウィンドウを開く権限があることを確認してください。Google Chromeなどの一部のブラウザーでは、ポップアップブロックを無効にし、XenMobileサイトのアドレスをポップアップブロックのホワイトリストに追加する必要があります。

警告:

エンタープライズの登録が解除されると、エンタープライズ経由で登録されていたデバイスのAndroid for Workアプリはデフォルトの状態にリセットされます。これらのデバイスはGoogleの管理対象外になります。それらのデバイスをAndroid for Workエンタープライズで再登録しても、以前の機能を復元することはできません。さらに構成する必要があります。

Android for Workエンタープライズの登録を解除した後:

  • エンタープライズ経由で登録されていたデバイスとユーザーのAndroid for Workアプリはデフォルト状態にリセットされます。以前に適用されていた[Android for Work アプリの権限]ポリシーと[Android for Work アプリの制限]ポリシーは無効になります。
  • XenMobileはエンタープライズ経由で登録されたデバイスを管理します。Googleからは、これらのデバイスは管理されてないと見なされるため、新しいAndroid for Workアプリを追加することはできません。[Android for Workアプリの権限]ポリシーと[Android for Workアプリの制限]ポリシーは適用できません。[スケジュール設定]、[パスワード]、[制限]などのその他のポリシーは、これらのデバイスに適用できます。
  • Android for Workにデバイスを登録しようとすると、Android for WorkデバイスではなくAndroidデバイスとして登録されます。

Android for Workエンタープライズを登録解除するには:

  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[Settings]ページが開きます。

  2. [設定]ページで、[Android for Work]をクリックします。

  3. エンタープライズの削除] をクリックします。

    [エンタープライズの削除]オプションの画像

  4. パスワードを指定します。このパスワードは、次の手順で登録解除を完了するのに必要となります。[登録解除] をクリックします。

    [登録解除]オプションの画像

  5. [XenMobile Tools]ページが開いたら、前の手順で作成したパスワードを入力します。

    パスワードフィールドの画像

  6. 登録解除] をクリックします。

    [登録解除]オプションの画像

Android for Workデバイスの登録

デバイス登録処理でユーザーがユーザー名またはユーザーIDを入力する必要がある場合、受け入れる形式は、XenMobileがユーザープリンシパル名(UPN)またはSAMアカウント名でユーザーを検索するように構成されているかどうかによって異なります。

XenMobileがUPNによってユーザーを検索するように構成されている場合、ユーザーは以下の形式でUPNを入力する必要があります。

  • ユーザー名@ドメイン

XenMobileがSAMによってユーザーを検索するように構成されている場合、ユーザーは以下のどちらかの形式でSAMを入力する必要があります。

  • ユーザー名@ドメイン
  • ドメイン\ユーザー名

XenMobileが使用するユーザー名の種類を確認するには:

  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。
  2. LDAP] をクリックして、LDAP接続の設定を表示します。
  3. ページの下部にある [ユーザー検索基準] フィールドを表示します。

    • userPrincipalNameに設定すると、XenMobileはUPNに設定されます。
    • sAMAccountNameに設定すると、XenMobileはSAMに設定されます。

Android for Workでの仕事用管理対象デバイスモードのプロビジョニング

Android for Workの仕事用管理対象デバイスモードは、会社所有のデバイスでのみ利用できます。XenMobileでは、仕事用管理対象デバイスモードで以下の登録方法をサポートしています。

  • afw#xenmobile: この登録方法では、ユーザーがデバイスの設定時に「afw#xenmobile」という文字を入力します。このトークンにより、デバイスがXenMobileの管理対象であると識別され、Secure Hubがダウンロードされます。
  • NFC(近距離無線通信)バンプ: NFCバンプ登録方法は、出荷時の設定にリセットされたフリートデバイスで使用できます。NFCバンプは、近距離無線通信を使用して2つのデバイス間でデータを転送します。工場出荷時設定にリセットされたデバイスでは、Bluetooth、Wi-Fi、およびそのほかの通信モードは無効になっています。この状態のデバイスが使用する通信プロトコルはNFCのみです。
  • QRコード: QRコードプロビジョニングは、NFCをサポートしていない、タブレットなどの分散型端末を簡単にプロビジョニングする方法です。QRコード登録方法は、出荷時の設定にリセットされたフリートデバイスで使用できます。QRコード登録メソッドは、セットアップウィザードからQRコードをスキャンすることによって、仕事用管理対象デバイスモードを設定および構成します。

afw#xenmobile

この登録方法は、新規デバイスまたは工場出荷時設定にリセットされたデバイスの電源を入れ、初期セットアップを行った後に使用します。ユーザーは、Googleアカウントの入力を求められたら「afw#xenmobile」と入力します。この操作により、Secure Hubがダウンロードされインストールされます。インストール後、Secure Hubの設定プロンプトに従って登録を完了します。

NFCバンプ

NFCバンプを使用してデバイスモードでデバイスを登録するには、工場出荷時の設定にリセットされたデバイスと、XenMobileプロビジョニングツールを実行するデバイスの2つのデバイスが必要です。

前提条件:

  • Android for Workを有効にしたXenMobile Serverバージョン10.4。
  • 仕事用管理対象デバイスモードでAndroid for Work向けにプロビジョニングされた、工場出荷時設定にリセットされたデバイス。この前提条件を完了する手順については、後述します。
  • 構成済みのProvisioning Toolを実行している、NFC機能が備わった別のデバイス。Provisioning Toolは、Secure Hub 10.4またはCitrixダウンロードページから入手できます。

各デバイスにはエンタープライズモビリティ管理(EMM)アプリで管理されたAndroid for Workプロファイルが1つのみ存在します。XenMobileで、Secure HubはEMMアプリです。各デバイスには、1つのプロファイルしか許可されません。2つ目のEMMアプリを追加すると、1つ目のEMMアプリが削除されます。

仕事用管理対象デバイスモードは、新しいデバイスまたは工場出荷時の設定にリセットされたデバイスで開始できます。XenMobileでデバイス全体を管理します。

NFCバンプを介して転送されるデータ

工場出荷時の設定にリセットされたデバイスをプロビジョニングするには、以下のデータをNFCバンプ経由で送信してAndroid for Workを初期化する必要があります。

  • デバイス所有者として機能するEMMプロバイダーアプリ(この場合は、Secure Hub)のパッケージ名。
  • デバイスがEMMプロバイダーアプリをダウンロードできるイントラネット/インターネット上の場所。
  • ダウンロードが正常に完了したかどうかを確認するEMMプロバイダーアプリのSHA1ハッシュ。
  • 工場出荷時の設定にリセットされたデバイスがEMMプロバイダーアプリに接続してダウンロードできるようにするWi-Fi 接続の詳細。注:現時点では、Androidはこの手順での802.1x Wi-Fiをサポートしていません。
  • デバイスのタイムゾーン(オプション)。
  • デバイスの地理的な場所(オプション)。

2つのデバイスがバンプされると、Provisioning Toolのデータが工場出荷時の設定にリセットされたデバイスに送信されます。このデータはその後、管理者設定でのSecure Hubのダウンロードに使用されます。タイムゾーンと場所の値を入力しない場合、新しいデバイスではAndroidによって自動的にこれらの値が構成されます。

XenMobile Provisioning Toolの構成

NFCバンプを行う前に、Provisioning Toolを構成する必要があります。この構成はその後、工場出荷時の設定にリセットされたデバイスに、NFCバンプ中に転送されます。

Provisioning Tool構成の画像

必須項目にデータを直接入力することも、テキストファイルから入力することもできます。次の手順では、テキストファイルを構成する方法と各フィールドに説明を含める方法について説明します。入力後のデータはアプリでは保存されないため、テキストファイルを作成して、今後の使用に備えて情報を保存しておくことをお勧めします。

テキストファイルを使用してProvisioning Toolを構成するには

ファイルの名前をnfcprovisioning.txtにして、/sdcard/フォルダーにあるデバイスのSDカードに格納します。アプリによってこのテキストファイルが読み込まれ、値が入力されます

テキストファイルには、次のデータを含める必要があります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

この行は、EMMプロバイダーアプリのイントラネット/インターネットの場所です。工場出荷時設定のデバイスがNFCバンプの後にWi-Fiに接続した場合、デバイスはダウンロードのためにこの場所にアクセスする必要があります。URLは通常のURLで、特別な形式にする必要はありません。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

この行は、EMMプロバイダーアプリのチェックサムです。このチェックサムはダウンロードが成功したかを検証するために使用されます。チェックサムを取得する手順については、後述します。

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

この行は、Provisioning Toolを実行しているデバイスが接続されているWi-FiのSSIDです。

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

サポートされる値はWEPおよびWPA2です。Wi-Fiが保護されていない場合、このフィールドは空白にする必要があります。

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Wi-Fiが保護されていない場合、このフィールドは空白にする必要があります。

android.app.extra.PROVISIONING_LOCALE=<locale>

言語コードと国コードを入力します。言語コードは、ISO 639-1で定義されている小文字で2文字のISO言語コード(「en」など)です。国コードは、ISO 3166-1で定義されている大文字で2文字のISO国コード(「US」など)です。たとえば、アメリカ合衆国で話されている英語の場合は「en_US」と入力します。コードを入力しない場合、国と言語は自動的に入力されます。

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

デバイスが実行されるタイムゾーンです。フォームの地域/場所のOlson名を入力します。たとえば、米国太平洋標準時の場合は「America/Los_Angeles」です。名前を入力しない場合、タイムゾーンは自動的に入力されます。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

このデータはSecure Hubとしてアプリにハードコードされるため、必須ではありません。ここでは、情報の完全性を守るためだけに記載しています。

WPA2を使用して保護されたWi-Fiの場合、完了したnfcprovisioning.txtファイルは以下の例のようになります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=http://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

保護されていないWi-Fiの場合、完了したnfcprovisioning.txtファイルは以下の例のようになります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=http://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Secure Hubチェックサムを取得するには

アプリのチェックサムを取得するには、そのアプリをエンタープライズアプリとして追加します。

  1. XenMobileコンソールで、[構成]>[アプリ] を選択してから、[追加] をクリックします。

    アプリの追加] ウィンドウが開きます。

  2. エンタープライズ] をクリックします。

    アプリケーション情報] ページが開きます。

    [アプリケーション情報]ページの画像

  3. 次の構成を選択して [次へ] をクリックします。

    Android for Workエンタープライズアプリ] ページが開きます。

    [Android For Workエンタープライズアプリ]の画面

  4. .apkへのパスを入力し、[次へ] をクリックしてファイルをアップロードします。

    アップロードが完了すると、アップロードされたパッケージの詳細が表示されます。

    ファイルのアップロードページの画像

  5. 次へ] をクリックしてJSONファイルをダウンロードするページを表示します。このファイルは、この後Google Playへのアップロードに使用します。Secure Hubの場合、Google Playにアップロードする必要はありませんが、SHA1を読み込む元になるJSONファイルが必要です。

    JSONファイルのダウンロードページの画像

    以下の図に、典型的なJSONファイルの例を示します。

    典型的なJSONファイルの画像

  6. file_sha1_base64の値をコピーして、この値をProvisioning Toolの [ハッシュ] フィールドで使用します。

    :ハッシュはURLセーフのものにする必要があります。

    • +記号はすべて-に変換します。
    • /記号はすべて_に変換します。
    • 末尾の\u003d=に置き換えます。

    ハッシュをデバイスのSDカードのnfcprovisioning.txtファイルに格納すると、安全のための変換が行われます。ただし、ハッシュを手動で入力すると、URLの安全性は入力者の責任になります。

使用するライブラリ

Provisioning Toolでは、以下のライブラリがソースコードに使用されています。

QRコード

QRコードを使用してデバイスモードでデバイスを登録するには、JSONを作成してからQRコードに変換して、QRコードを生成します。このQRコードをデバイスカメラでスキャンし、デバイスを登録します。

QRコード使用の前提条件:

  • QRコードを使用した仕事用管理対象デバイスモードのプロビジョニングは、Android 7.0以降を実行するすべてのAndroidデバイスでサポートされています。
JSONからQRコードを作成する

次のフィールドがあるJSONを作成します。

これらのフィールドは必須です。

キー:android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

値:com.zenprise / com.zenprise.configuration.AdminFunction

キー: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

値:qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

キー:android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

値のデータ: https://path/to/securehub.apk

注:

Secure HubがCitrix XenMobileサーバーにエンタープライズアプリとしてアップロードされている場合は、https://<fqdn>:4443/*instanceName*/worxhome.apkからダウンロードできます。上記の値として使用されるSecure Hub APKへのパスは、プロビジョニング中にデバイスが接続されるWi-Fi接続を介してアクセスできる必要があります。

これらのフィールドはオプションです。

  • android.app.extra.PROVISIONING_LOCALE: 言語コードおよび国コードを入力します。

    言語コードは、ISO 639-1で定義されている小文字で2文字のISO言語コード(「en」など)です。国コードは、ISO 3166-1で定義されている大文字で2文字のISO国コード(「US」など)です。たとえば、アメリカ合衆国で話されている英語の場合は「en_US」と入力します。

  • android.app.extra.PROVISIONING_TIME_ZONE: これはデバイスが実行されているタイムゾーンです。

    フォームの地域/場所のOlson名を入力します。たとえば、米国太平洋標準時の場合は「America/Los_Angeles」です。入力しない場合、タイムゾーンは自動的に入力されます。

  • android.app.extra.PROVISIONING_LOCAL_TIME: エポックからのミリ秒単位の時間。

    Unixエポック(またはUnix時間またはPOSIX時間またはUnixタイムスタンプ)は、1970年1月1日(UTC/ GMT午前0時)から経過した秒数で、うるう秒数は含まれません(ISO 8601: 1970-01-01T00:00:00Z)。

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: プロファイル作成時に暗号化をスキップするには、trueに設定します。プロファイルの作成時に暗号化を強制するには、falseに設定します。

以下の図に、典型的なJSONの例を示します。

典型的なJSONの画像

https://jsonlint.comなどのJSON検証ツールを使用して作成されたJSONを検証します。http://goqr.meなどのオンラインQRコードジェネレータを使用して、JSON文字列をQRコードに変換します。

このQRコードは工場出荷時の設定にリセットされたデバイスによってスキャンされ、これによってデバイスを仕事用管理対象デバイスモードで登録できます。

デバイスを登録するには

デバイスを仕事用管理対象デバイスモードで登録するには、デバイスを工場出荷時の設定にリセットする必要があります。

  1. ようこそ画面で画面を6回タップすると、QRコードの登録フローが開始されます。
  2. プロンプトが表示されたら、Wi-Fiに接続します。(JSONでエンコードされた)QRコードにあるSecure Hubのダウンロード場所には、このWi-Fiネットワーク経由でアクセスできます。

    端末がWi-Fiに接続されると、GoogleからQRコードリーダーをダウンロードしてカメラを起動します。

  3. カメラをQRコードに合わせて、コードをスキャンします。

    Androidは、QRコードのダウンロード場所からSecure Hubをダウンロードし、署名証明書の署名を検証し、Secure Hubをインストールし、デバイス所有者として設定します。

詳しくは、Android EMMデベロッパー向けGoogleガイド(https://developers.google.com/android/work/prov-devices#qr_code_method)を参照してください。

Android for Workでの仕事用プロファイルモードのプロビジョニング

Android for Workの仕事用プロファイルモードは、デバイス上の会社領域と個人領域を安全に分離することができます。たとえば、BYODデバイスで仕事用プロファイルモードを使用できます。仕事用プロファイルモードの登録は、XenMobileのAndroid登録と同様の操作です。ユーザーはGoogle PlayからSecure Hubをダウンロードし、デバイスを登録します。

デフォルトでは、USBデバッグおよび不明なソース設定は、デバイスがAndroid for Workの仕事用プロファイルモードで登録されているときは無効になります。

ヒント:

Android for Workのデバイスを仕事用プロファイルモードで登録する場合は、毎回Google Playにアクセスしてください。そこから、ユーザーの個人プロファイルでのSecure Hubの表示を有効にします。

COSU Android for Workデバイスのサポート

XenMobileは、特定業務専用コーポレート所有(COSU)Android for Workデバイスの管理をサポートします。COSUデバイスは、デジタルサイネージ、チケット印刷、在庫管理などの特定の目的に使用されます。管理者は、これらのデバイスを1つまたは少数のアプリの使用に限定します。また、ユーザーがこれらのデバイスで他のアプリを有効にしたり、他の操作を実行したりすることを禁止することもできます。

COSUデバイスをプロビジョニングするには:

  • XenMobile管理者がCOSUデバイスをXenMobile展開に登録できるように、役割ベースのアクセス制御(RBAC)の役割を追加します。これは、XenMobile Serverの今回のリリースで追加された役割です。COSUデバイスを登録するユーザーにこの役割を割り当てます。
  • XenMobile管理者がCOSUデバイスをXenMobile展開に登録できるように、XenMobile管理者の登録プロファイルを追加します。
  • COSUデバイスがアクセスするアプリをホワイトリストに登録します。
  • 必要に応じて、ホワイトリストのアプリがロックタスクモードを許可するように設定します。アプリがロックタスクモードになると、ユーザーがアプリを開いた時にデバイス画面にアプリが固定されます。[ホーム]ボタンは表示されず、[戻る]ボタンは無効になります。ユーザーは、サインアウトなど、アプリでプログラムされた操作を使用してアプリを終了します。

システム要件

Android COSUデバイスの登録は、Android 6.0以降でサポートされます。

COSUの役割を追加

COSUデバイスを登録するためのRBACの役割により、XenMobileはデバイス上で管理されたGoogle Playアカウントをサイレントプロビジョニングしてアクティブにすることができます。管理されたGoogle Playのユーザーアカウントとは異なり、これらのデバイスアカウントは、ユーザーに関連付けられていないデバイスを識別します。

このRBAC役割をXenMobile管理者に割り当てて、COSUデバイスを登録できるようにします。

COSUデバイスを登録するためのRBAC役割を追加するには:

  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[Settings]ページが開きます。

  2. 役割ベースのアクセス制御] をクリックします。[Role-Based Access Control]ページが開き、4つのデフォルトのユーザー役割と、以前に追加した役割が表示されます。

  3. 追加] をクリックします。[役割の追加] ページが開きます。

  4. 次の情報を入力します。

    • RBAC名:「COSU」と入力するか、役割を説明する名前を入力します。役割の名前は変更できません。
    • RBACテンプレート:[ADMIN]テンプレートを選択します。
    • 承認済みアクセス:管理コンソールへのアクセス] および [COSUデバイスの登録機能] を選択します。
    • コンソールの機能:デバイス] を選択します。
    • 適用権限: COSUの役割を適用するグループを選択します。[特定のユーザーグループ] をクリックするとグループの一覧が開き、1つまたは複数のグループを選択できます。
  5. 次へ] をクリックします。[Assignment]ページが開きます。

  6. ユーザーグループに役割を割り当てるための次の情報を入力します。

    • ドメインを選択: 一覧から、ドメインを選択します。
    • ユーザーグループを含める: 使用可能なすべてのグループ一覧を表示するには、[検索]をクリックします。または、グループ名の一部または全部を入力して、その名前のグループのみに表示を限定できます。
    • 表示された一覧で、役割を割り当てるユーザーグループを選択します。ユーザーグループを選択すると、[Selected user groups]の一覧にグループが表示されます。
  7. 保存] をクリックします。

COSU登録プロファイルの追加

XenMobile展開にCOSUデバイスが含まれている場合、1人のXenMobile管理者、または数人の管理者グループが多数のCOSUデバイスを登録します。こうした管理者が必要なすべてのデバイスを登録できるようにするには、ユーザーごとに無制限のデバイスを許可した状態で登録プロファイルを作成します。このプロファイルを、COSUデバイスを登録した管理者を含むデリバリーグループに割り当てます。これによって、デフォルトのグローバルプロファイルにユーザーあたりのデバイス数が制限されている場合でも、管理者はデバイスを無制限に登録できます。これらの管理者は、COSU登録プロファイルに含める必要があります。

  1. 構成]>[登録プロファイル] の順に移動します。デフォルトのGlobalプロファイルが表示されます。

  2. 登録プロファイルを追加するには、[追加]をクリックします。[登録情報]ページで、登録プロファイルの名前を入力します。このプロファイルのメンバーが登録できるデバイスの数が無制限に設定されていることを確認します。

    登録プロファイル構成画面の画像

  3. 次へ] をクリックします。[デリバリーグループ割り当て]画面が開きます。

  4. COSUデバイスを登録した管理者を含む、1つまたは複数のデリバリーグループを選択します。次に、[保存]をクリックします。

    [登録プロファイル]ページに、追加したプロファイルが表示されます。

    登録プロファイル構成画面の画像

アプリをホワイトに登録しロックタスクモードを設定

キオスクデバイスポリシーを使用すると、アプリがホワイトリストに登録され、ロックタスクモードを設定できます。デフォルトでは、Secure HubとGoogle Playサービスはホワイトリストに登録されています。

キオスクポリシーを追加するには:

  1. XenMobileコンソールで、[構成]>[デバイスポリシー]の順にクリックします。[デバイスポリシー] ページが開きます。

  2. 追加] をクリックします。[新しいポリシーの追加] ダイアログボックスが開きます。

  3. 詳細] を展開した後、[セキュリティ]の下の [キオスク] をクリックします。[Kiosk Policy]ページが開きます。

  4. [プラットフォーム]で [Android for Work] を選択します。

  5. [ポリシー情報]ペインで、[ポリシー名]および任意で [説明] を入力します。

  6. 次へ] をクリックし、[追加]をクリックします。

  7. アプリをホワイトリストに登録し、ロックタスクモードを許可または拒否するには:

    ホワイトリストに登録するアプリを一覧から選択します。

    ユーザーがアプリを起動した時にアプリをデバイス画面に固定するには、[許可]を選択します。アプリをデバイス画面に固定しない場合は、[禁止]を選択します。デフォルトは [許可] です。

    デバイスポリシー構成画面の画像

  8. 保存] をクリックします。

  9. さらにアプリをホワイトリストに登録し、ロックタスクモードを許可または禁止する場合は、[追加]をクリックします。

  10. 展開規則を構成し、デリバリーグループを選択します。詳しくは、「デバイスポリシー」を参照してください。

XenMobileのG Suiteパートナーアクセスをセットアップ

Chromeの一部のエンドポイント管理機能では、GoogleパートナーAPIを使用してXenMobileとG Suiteドメイン間で通信します。たとえば、XenMobileでは、シークレットモードやゲストモードなどのChrome機能を管理するデバイスポリシーにAPIが必要です。

パートナーAPIを有効にするには、XenMobileコンソールでG Suiteドメインをセットアップしてから、G Suiteアカウントを構成します。

XenMobileでG Suiteドメインをセットアップする

XenMobileでG SuiteドメインのAPIと通信できるようにするには、[設定]>[Google Chromeの構成]で設定を構成します。

Google Chrome設定画面の画像

  • G Suiteドメイン: XenMobileに必要なAPIをホストするG Suiteドメイン。
  • G Suite管理者アカウント: G Suiteドメインの管理者アカウント。
  • G SuiteクライアントID: シトリックスのクライアントID。G Suiteドメインのパートナアクセスを構成する場合は、この値を使用します。
  • G SuiteエンタープライズID: アカウントのエンタープライズID。お客様のGoogleエンタープライズアカウントから入力されます。

G Suiteドメイン内のデバイスとユーザーのパートナーアクセスを有効にする

  1. Google管理コンソールにログインします。 https://admin.google.com

  2. 端末管理] をクリックします。

    Google管理者コンソールの画像

  3. Chrome管理] をクリックします。

    Google管理者コンソールの画像

  4. ユーザー設定] をクリックします。

    Google管理者コンソールの画像

  5. Chrome管理-パートナーアクセス] を見つけます。

    Google管理者コンソールの画像

  6. Chrome管理-パートナーアクセスを有効にします] チェックボックスをオンにします。

  7. パートナーアクセスについて了承し、有効にする必要があることに同意します。[保存] をクリックします。

  8. [Chrome管理]ページで [端末設定] をクリックします。

    Google管理者コンソールの画像

  9. Chrome管理-パートナーアクセス] を見つけます。

    Google管理者コンソールの画像

  10. Chrome管理-パートナーアクセスを有効にします] チェックボックスをオンにします。

  11. パートナーアクセスについて了承し、有効にする必要があることに同意します。[保存] をクリックします。

  12. セキュリティ] ページに移動し、[詳細設定]をクリックします。

    Google管理者コンソールの画像

  13. APIクライアントアクセスを管理する] をクリックします。

  14. XenMobileコンソールで、[設定]>[Google Chromeの構成]に移動し、[G SuiteクライアントID]の値をコピーします。次に、[APIクライアントアクセスを管理する]ページに戻り、コピーした値を [クライアント名] フィールドに貼り付けます。

  15. 1つ以上のAPIの範囲] に次のURLを追加します:https://www.googleapis.com/auth/chromedevicemanagementapi

    Google管理者コンソールの画像

  16. 承認] をクリックします。

    「設定が保存されました」というメッセージが表示されます。

デバイスポリシー構成画面の画像

Android for Work