Device Owner Mode

Just another POL Helpサイト site

A. ID発信端末

(図1)

Android EnterpriseのDevice Owner Modeとして、設定する端末は工場出荷状態 または、端末を初期化してからセットアップします。
セットアップの前に、ID発信端末を作成します。 ID発信端末は、Android Enterprise Profile Owner Modeとして設定します。 これに、MobiControl Stage Programmerというアプリをインストールします。
MobiControl Stage Programmerには、設定する端末が接続できるWiFiのSSIDとそのパスワード、及び登録IDまたは登録用サーバアドレスを入力します。
ID発信端末から、設定する端末に、QRコードまたはNFC通信で、これらの情報を伝達します。 後は、プロンプトに反応するだけで、端末のセットアップが完了します。そして、MobiControl Stage Programmerに入力した登録IDまたは サーバアドレスに紐づけされている端末グループに登録されます。
異なる端末グループに登録する端末に対しては、ID発信端末のMobiControl Stage Programmerの登録IDまたはサーバアドレスを変更して、 同じくQRコードまたはNFC通信で伝達します。

MobiControl Stage Programmerの入手とインストールの方法は、次の通りです。
  1. Android Enterprise Profile Owner Modeの端末で、 Playストアにアクセスし、「検索欄」にsotiの4文字を入力しアプリを検索します。
  2. 現れる候補アプリの中から、 「MobiControl Stage Programmer」という名前のアプリを探します。
  3. 「インストール」をタップすると、ダウンロードされます。
  4. 「開く」をタップすると、インストールが完了します。

B. MobiControl Stage Programmer

(図2)と(図3)が、MobiControl Stage Programmerの画面です。
(図2)

(図3)
  • 対象端末をキッティングする場所のSSIDを入力します。
    Security Typeをプルダウンして、NONE、WEPまたは WPAを選択します。WEPまたは WPAを選択をするとパスワードの欄が現れるので SSIDに対するパスワードを入力します。
  • Localeで、対象端末に表示する言語を選択します。
  • スクロールして(図3)を表示します。

  • 「Enrollment Server Address or ID」で、対象端末が所属する端末グループ(端末登録ルール)の登録IDを入力します。
  • NFC方式を採用する場合は、下辺の「NFC」をタップします。
  • QRコード方式を採用する場合は、下辺の「QR CODE」をタップすると、QRコードが現れます。
ID発信端末のプラットフォームは、Android Enterprise Profile Owner Modeでなく、 Android Enterprise Device Owner Modeでも、可能です。Profile Owner Modeの方が、ラクに設定できます。 初期化の手間がなく、MobiControl Stage Programmerのダウンロードもラクです。

以下のC.項、D.項、のどれかをクリックし、説明を開いてください。
再度クリックすると説明が閉じます。
説明を開いた状態
説明を閉じた状態

C. NFC方式によるセットアップ

  • C-1.

    C-2.

    工場出荷、または初期化後の最初の画面
    ID発信端末と設定対象端末の背中を合わせます。

    設定対象端末はC-1の状態、つまり、「ようこそ」の画面。

    ID発信端末のMobiControl Stage Programmerの画面の下辺の 「NFC」をタップ。

    1、2秒でピッという音がするので、それでデータ伝送完了。対象端末はWiFi情報や、登録IDなどを受信します。

    (MobiControl Stage Programmerについては、上述したB.項を参照ください。)
    受信が終わると、次に、C-3の画面が現れます。

    C-3.

    C-4.

    C-5.

    「同意して続行」をタップ傍観アクティベーション完了。電話などの機能は利用できる状態。「アプリ」(赤矢印)のアイコンをタップ。

    C-6.

    C-7.

    C-8.

    MobiControlへの登録を開始します。MobiControlのアイコンをタップ。アイコンが見当たらないときは左スライドすると現れます。 待機します。5、6分間待つことがあります。
    MobiControlサーバはGoogleと折衝し、この端末に対するGoogleアカウントの発行を待ち、そのアカウントを端末に埋め込む作業をします。
    MobiControlエージェントの画面が現れる。MobiControlへの登録完了。


D. QRコード方式 によるセットアップ

  • QRコード方式では、2台目の端末のOSは、Android7.0以上が必要です。

    D-1.

    D-2.

    D-3.

    工場出荷、または初期化後の最初の画面。
    文字や画像が無い部分(例えば、赤枠の部分)の同じ個所を6回タップしてから、「開始する」をタップ。
    端末が受信したWiFiのSSIDを表示します。これらのSSIDから一つをタップし、SSIDに対応するパスワードを入力します。
    「接続しています。これには1-2分かかることがあります」という表示がされます。
    「コピーしない」を選択します。
    続けて、下辺の「次へ」をタップ。

    D-4.

    D-5.

    D-6.

    QRコードスキャナーのアプリがダウンロード/インストールされるので、ID発信端末のQRコードをスキャンします。 「同意して続行」をタップ傍観

    D-7.

    D-8.

    D-9.

    アクティベーション完了。電話などの機能は利用できる状態。「アプリ」(赤矢印)のアイコンをタップ。 MobiControlへの登録を開始します。MobiControlのアイコンをタップ。アイコンが見当たらないときは左スライドすると現れます。 待機します。5、6分間待つことがあります。
    MobiControlサーバはGoogleと折衝し、この端末に対するGoogleアカウントの発行を待ち、そのアカウントを端末に埋め込む作業をします。

    D-10.

    D-11.

    MobiControlエージェントの画面が現れる。MobiControlへの登録完了。 D-10の画面の「端末のステータス」をタップすると、この画面が現れます。

E. プラグインをインストール

Android Plusの場合、リモート画面操作が可能です。リモート画面操作とは、コンソール側から端末画面を操作することです。一方、 Android Enterpriseでは端末画面の変化を、コンソールに表示することができますが、リモート画面操作を可能にするにはプラグインの インストールが必要です。
プラグインは、端末メーカー毎に異なるAPKファイルです。2019年2月時点で49社が、このプラグインを提供しています。
このプラグインの入手方法を説明します。 PCで、soti.net/oemにアクセスすると、(図4)のような表示があります。 (図4)で、「Android Enterprise Agent and Plugins」をクリックすると、(図5)が現れます。 (図4)

(図5)

(図5)の右側で、Manufacture欄をプルダウンしてメーカーを選択すると、 「DOWNLOAD」ボタンが現れます。
これをクリックすると、PCに、プラグインがダウンロードされます。ダウンロードされたプラグインは、次の方法で、端末にプッシュ配布し サイレントインストールを行います。
  1. プラグインを、MobiControl Package Studioを使って、パッケージ化
  2. パッケージを構成プロファイルに載せて、端末グループに向けてプッシュ配布
  3. パッケージを受信した端末では、プラグインが自動インストールされます。

F. 本人認証

C.項、D.項のセットアップ方法の記述は、本人認証を省いた場合です。端末登録ルールで、登録パスワードの入力または、 AD_DSによる本人認証を必要と設定すれば、それに対応する画面が表示されます。詳しくは、 本人認証を参照ください。

G. MobiControlエージェントがバックグラウンドで作動し続けるように設定

Android端末のMobiControlエージェントは常時作動させ、MobiControlサーバとの接続を維持する必要があります。他のアプリがフォアグラウンドで作動していても、 また、端末がスリープ状態になっても、エージェントは、バックグラウンドで作動し、接続を維持しなければなりません。
Android端末が、MobiControlサーバと接続していると、 コンソールの端末一覧画面での端末アイコンは、 と青色 になりますし、またそうなっていなければなりません。Android端末のアイコンが とグレイに なっている端末は、「端末接続時間帯」の設定により接続時間帯を制限してある場合を除き、運用上望ましくない状態です
Android6.x、 7.xの端末では、スリープ状態になると、殆どのバックグラウンド・アプリの動作は停止します。 しかし、端末がスリープ状態になっても、MobiControlエージェントが、バックグラウンドで作動を継続するようにします。
その方法は、「常にサーバとの接続を維持」のページを参照ください。

H. 購入時のアプリのアイコンの再表示、またはアプリの再インストール

Android Enterprise Device Owner Modeは、端末を初期化することでセットアップをします。そしてOSレベルのチューンアップを経て、MobiControlに登録されます。 その際、 端末購入時にインストールされていたアプリのアイコンの多くが画面に表示されなくなります。 これらのアプリを復元する方法を説明します。
端末購入時にインストールされたアプリは、2種類のアプリに分類されます。

復元方法
1.システム・アプリ対象端末グループに対し、スクリプトコマンドを送る
2.システム・アプリ
以外のアプリ
該当アプリのAPKファイルを入手し、パッケージ化して、対象端末グループにプッシュ配信する

H-1. システムアプリのアイコンの再表示

Android Enterprise Device Owner Modeとして設定しても、システムアプリは、アンインストールされてはいません。単にアプリアイコンが表示されなくなっただけです。 そこで、アイコンをホーム画面に復活表示するために、次のスクリプトコマンドを端末グループに送ります。
enable_system_app <アプリのバンドルID>
例えば、
enable_system_app com.android.chrome
enable_system_app com.android.camera2
enable_system_app com.google.android.calendar
enable_system_app com.google.android.apps.photos
enable_system_app com.google.android.apps.maps
enable_system_app com.asus.calculator
enable_system_app com.kddi.android.mamoru
enable_system_app jp.kyocera.camera

 

逆に、復活表示したアプリのアイコンを隠すには、次のようなスクリプトコマンドを端末グループに送ります。
appcontrol -b "Notify=0;Mode=3;PRC0=`<アプリのバンドルID>`"
例えば、
appcontrol -b "Notify=0;Mode=3;PRC0=`com.android.chrome`"
appcontrol -b "Notify=0;Mode=3;PRC0=`com.android.camera2`"
appcontrol -b "Notify=0;Mode=3;PRC0=`com.google.android.calendar`"
appcontrol -b "Notify=0;Mode=3;PRC0=`com.google.android.apps.maps`"
appcontrol -b "Notify=0;Mode=3;PRC0=`com.android.contacts`"


スクリプトの送信方法に関しては、「Android端末へスクリプトを送って操作」のページを参照ください。

 

アプリのバンドルIDを知る方法は、幾つかあります。 その一つは、該当の端末を、暫定的にAndroid Enterprise Profile Owner Modeで登録してみることです。 コンソール画面で当該端末の名前を選択し、右側ペインの「インストールされているアプリ」セクションを開きます。

(図7)

そうすると、当該端末に現在インストールされているアプリの一覧表が表示されます。アプリ名とそのバンドルID(パッケージ名)が表示されます。 そのバンドルIDをメモしておき、スクリプト構文に入力します。
インストール済のアプリのバンドルIDを表示するサード・パーティのアプリも、Google Playで公開されています。例えば、「QuickShortcutMaker」です。 これをインストールすると、その端末にインストールされているアプリのバンドルIDを表示することができます。

 

アプリが、システムアプリか否かの指定は、当該端末のメーカーや携帯電話会社によって、異なります。

H-2. システムアプリ以外のアプリの再インストール

H-1.の方法では、システムアプリでないアプリのアイコンの再表示はできません。
この場合は、該当端末からアプリのAPKファイルのコピーを抽出し、それを、MobiControl Package Studioを使って、パッケージ化して 端末グループに向けてプッシュ配信し、サイレント・インストールします。
端末からアプリのAPKファイルのコピーを取得するアプリには、「APK Extractor」があります。Google Playからダウンロードできます。APKファイルのコピーを SDカードに抽出します。「APK Extractor」の操作とその結果は、当社のサポート範囲外となります。

I. 4つのセットアップ方式

C.項で「NFC方式」、D.項で「QRコード方式」の端末セットアップ手順を説明しました。
Android Enterprise Device Owner Modeの端末セットアップ手順には、この他に、 「ZTE (Zero Touch Enrollment)方式」と「EMMトークン入力方式」があります。
各方式と文字入力作業の関係は下表の通り。

WiFi SSIDに対する
パスワード
登録IDafw#mobicontrol
NFC方式入力不要入力不要入力不要
QRコード方式入力必要入力不要入力不要
ZTE方式入力必要入力必要入力不要
EMMトークン入力方式入力必要入力必要入力必要
端末での主な操作内容注 釈
NFC方式 最初の「こんにちは」の画面で、ID発信端末と背中合わせ。ID発信端末で、「NFC」ボタンをタップすると、 設定情報が、NFC経由で伝達。
その他は、プロンプトに応じてタップするだけ。
端末で入力する作業が全くない。 ID発信端末のメーカーと機種によっては、他メーカーの端末とNFC通信に失敗する場合がある。
QRコード方式
  1. 最初の「こんにちは」画面の空白部を、
    6回タップをしてから「開始する」をタップ
  2. WiFi情報(SSIDとパスワード)を入力
  3. QRコードスキャンアプリがダウンロードインストールされるので それを開き、ID発信端末が表示するQRコードをスキャン
その他は、プロンプトに応じてタップするだけ。
対象端末のOSバージョンは、Android7.0以上が必要。
ZTE
(Zero Touch Enrollment)
  1. WiFi情報(SSIDに対するパスワード)を入力
  2. 登録IDを入力
その他は、プロンプトに応じてタップするだけ。
ZTEに対応しているメーカーの端末に適用。「MobiControlにZTE対応」と指定して、端末を購入する。
EMMトークン入力方式
  1. WiFi情報(SSIDに対するパスワード)を入力
  2. Googleアカウント入力画面で、afw#mobicontrol の15文字を入力
  3. 登録IDを入力
その他は、プロンプトに応じてタップするだけ。
Android6.0以降の製品で対応

J. ZTE方式でのセットアップ

  • J-1.

    J-2.

    J-3.

    工場出荷、または初期化後の最初の画面。「開始する」をタップ。 端末が受信したWiFiのSSIDを表示します。これらのSSIDから一つをタップし、SSIDに対応するパスワードを入力します。
    「接続しています。これには1-2分かかることがあります」という表示がされます。
    「コピーしない」を選択。続けて、下辺の「次へ」をタップ。

    J-4.

    J-5.

    同意して続行をタップ傍観

    J-6.

    J-7.

    J-8.

    アクティベーション完了。電話などは利用可能。「アプリ」アイコンをタップ。 MobiControlへの登録を開始します。MobiControlのアイコンをタップ。アイコンが見当たらないときは左スライドすると現れます。 登録IDの入力。

    J-9.

    J-10.

    J-11.

    端末登録ルールが生成した登録IDを入力。 待機します。5、6分間待つことがあります。
    MobiControlサーバはGoogleと折衝し、この端末に対するGoogleアカウントの発行を待ち、そのアカウントを端末に埋め込む作業をします。
    MobiControlへの登録完了。MobiControlエージェントの画面が現れます。


K. EMMトークン入力方式でのセットアップ


  • EMMトークン入力方式では、端末内メモリーを暗号化するプロセスがあります。そして、バッテリ容量が80%以上ないと、暗号化のプロセスを実行しません。 セットアップの前には80%以上の充電をしておいてください。 USBケーブルで電源につないでおいてからセットアップをします。

    K-1.

    K-2.

    K-3.

    工場出荷、または初期化後の最初の画面。「開始する」をタップ。 端末が受信したWiFiのSSIDを表示します。これらのSSIDから一つをタップし、SSIDに対応するパスワードを入力します。
    「接続しています。これには1-2分かかることがあります」という表示がされます。
    「コピーしない」を選択。続けて、下辺の「次へ」をタップ。

    K-4.

    K-5.

    Googleアカウントの入力画面 「メールアドレスまたは電話番号」の欄に、afw#mobicontrolの15文字を入力します。

    K-6.

    K-7.

    K-8.

    Googleのサービスの紹介。下辺の下向き矢印を押し、下辺で「次へ」をタップ 「インストール」をタップ 「インストール」をタップ

    K-9.

    K-10.

    MobiControlエージェントのダウンロード開始 傍観

    K-11.

    K-12.

    下辺の「暗号化」をタップ 端末を充電器に接続し、バッテリ容量が80%を越えるまで待つ。

    K-13.

    K-14.

    バッテリ容量が80%以上になると、下辺に「携帯電話を暗号化」の 文字列が現われるので、これをタップ。画面上の文章では、「1時間以上かかる」と書いてありますが、普通は数分程度しかかかりません。 留意説明が現われる。下辺の「携帯電話を暗号化」をタップ。

    K-15.

    K-16.

    暗号化が終わると、再起動され、「初期設定」画面が再表示されます。「開始する」をタップ。 端末は、会社または団体のIT部門によって管理されることの宣言。「セットアップ」をタップ。

    K-17.

    K-18.

    会社または団体が、この端末を管理することの一般的説明。「OK」をタップ。 端末の所有者(企業または団体)の情報を、端末に埋め込んでいます。

    K-19.

    K-20.

    K-21.

    初期設定(アクティベーション)の完了。ホーム画面。この段階で、電話など基本機能は利用できる。 続けて、MobiControlへの登録を行う。「アプリ」アイコンをタップ。 現時点で、インストールされているアプリのアイコンが表示される。MobiControlアイコンをタップ。アイコンが見当たらないときは左スライドすると現れます 登録IDの入力。

    K-22.

    K-23.

    K-24.

    端末登録ルールが生成した登録IDを入力。 傍観 待機します。5、6分間待つことがあります。
    MobiControlサーバはGoogleと折衝し、この端末に対するGoogleアカウントの発行を待ち、そのアカウントを端末に埋め込む作業をします。

    K-25.

    K-26.

    MobiControlへの登録完了。Mobicontrolの画面が表示されます。 K-25の画面の「端末のステータス」をタップすると、この画面が現れます。

I. Active DirectoryのユーザIDの入力

(図8)は、端末登録ルールの作成プロセスに現れる画面の一つです。 通常は、を選択します。

(図8)

端末登録ルールの作成プロセス(図8)で、を選択して生成した登録IDを入力して、端末セットアップをすると、右の(図9)が表示されます。
Android Enterprise Device Owner Modeの4つの設定方式のいずれのプロセスでも、(図9)が表示されます。
を選択して作成した端末登録ルールの登録IDを入力した場合、(図9)は表示されません。
(図9)で、端末ユーザのActive DirectoryのユーザID(UPN=User Principal Name メールアドレス型式のID) を入力し、更にそのパスワードを入力します。

(図8)は、一般のGoogle Playストアからアプリを選抜して、managed Google Playストアに掲出するGoogle管理者アカウントを指定する画面です。

(図8)で、だけでなく、 を選択した場合でも、端末は、managed Google Playストアからアプリをダウンロードできます。

(図8)で、の各々を選択した場合のGoogleアカウントを説明します。
(図9)

一般のGoogle Playストアからアプリを選抜して、managed Google Playストアに掲出するGoogle管理者アカウント
managed Google アカウント
このアカウントの取得方法は、 「G. Suiteアカウントの作成とGoogleとのバインド」のページを参照ください。
managed Google Play アカウント
このアカウントの取得方法は、「managed Google Playアカウントの作成」のページを参照ください。
その取得の際、代表する組織名を登録します。(図8)の赤矢印部分をクリックすると、その組織名リストが表示されます。 一つの企業/団体で、複数の組織名を登録することができ、その各々に端末登録ルールを作成します。
Google管理者アカウントを指定しない。この場合、端末は、managed Google Playストアにアクセスできません。替わりに、コンソール管理者がアプリ(APKファイル)をダウンロードし、 パッケージスタジオを使ってパッケージ化します。そしてそれを端末にプッシュ配布します。アプリがサイレントインストールされます。
この方式は、端末がインターネットから遮断された閉域ネットワークにある時に採用します。

端末からmanaged Google Playストアにアクセスする場合のGoogleアカウント
Active DirectoryのユーザID(UPN)
セットアップの際に生成されるGoogleアカウント。managed Google Playストアにアクセスするときのみに使用されるアカウント。 アカウントIDは、端末内に埋め込まれるが、画面には表示されない。
無し

Device Owner Modeの端末には、一般のGoogle Playのアイコンは表示されません。替わりにmanaged Google Playのアイコンが表示されます。
managed Google Play Storeのアイコン

カバンが付いています。
一般のGoogle Play Storeのアイコン
managed Google Accountによる、managed Google Playストアの端末ユーザへの展開の ためには、次のような事前準備が必要です。
  • AD_DSをGCDSツールを使って、Googleのアカウントデータベースと連動させる
  • GoogleからEMMトークンを取得し、MobiControlサーバに入力してバインド
  • G.Suiteアカウントまたは、managed Googleアカウントを取得
詳しくは、「G. Suiteアカウントの作成とGoogleとのバインド」のページを参照ください。