2021年 11月 21日
Android OSを、Android10以上へアップグレードする、または、Android10以上の端末を新規に登録する場合は、
次のどちらかを実行してください。
- MobiControlサーバを、v14以上にアップグレードする
- MobiControlサーバをv13で継続する場合、公開鍵証明書認証局が発行したSSL/TLSサーバ証明書(いわゆる商用証明書)をインストールする
MobiControl v13の自己署名サーバ証明書は、SHA-1レベルであり、SHA-2をサポートしません。
一方、Android10以上は、SHA-2でのTLS通信を要求します。
MobiControl v14以上の自己署名サーバ証明書は、SHA-2レベルです。
MobiControlサーバ v14 は、Android Genericとして登録したAndroid端末及び、Windows Embedded CE 6.0以前のWindows Embedded端末をサポートしていません。
これらの端末をご利用中の場合は、弊社まで、ご相談ください。
A. MobiControlで活きてくるAndroid端末
A-1. Android端末でのMobiControl機能のハイライト
- リモート画面操作、またはリモートビュー
- アプリのサイレント・インストール
- ランチャー機能で、業務指向のホーム画面を表示
業務に必要なアプリアイコンのみ。Webクリップも画面に。Webアクセス先のフィルタリング。
- MobiControlサーバがオンプレミスでDMZにあれば、WiFi専用のAndroid端末は、完全閉域網内で運用管理が可能。
- 異なる部門間でも、端末を共用
ログインする端末ユーザが変われば、
「構成プロファイル(WiFi、VPN、ランチャーなど)」や「アプリ」を、そのユーザが所属する部門別の設定構成に、自動変更します。(但し、v14.3以上)
A-2. 生産性向上のための主な機能
業務効率の向上や顧客対応力向上の主役は、業務アプリです。MobiControlは、業務アプリのスムーズな展開をサポートします。
A-3. セキュリティ対策機能のハイライト
MobiControlは、多くのセキュリティ対策を用意していますが、以下は、そのハイライト:
- SDカードを含めての暗号化
- ロック解除のパスワードの複雑性の強制
- BitDefenderによるウィルス検疫
(ウィルス検知された場合は、関係者にアラームメール)
- 端末が盗まれ、SIMカードを抜かれ、WiFi切断されたとしても自律的Wipe(初期化)
- Geofence (職域内に限り、PCとのUSB接続不能、カメラ不能など情報漏洩対策)
- Webコンテンツに基づくアクセス制限
- 端末の地理的位置の履歴表示
- 端末をMobiControlに登録する際に、端末認証サービスによる、本人認証を行なうことができる。
認証サービスには、「ディレクトリサービス」と「IDプロバイダ」の2系統があります。
- ディレクトリサービス
AD_DS(Active Directry Domain Service)、Apple OD(Open Directory)、Domino
- IDプロバイダ(Single Sign On)
Azure IdP、Shibboleth、Okta、OneLogin
「認証サービスに認証させるメリット」を参照ください。
異なる部門のユーザ間で、端末を共用する場合は、ディレクトリサーバまたはIDプロバイダによる認証は、必須です。前に使ったユーザと
異なるユーザが次にサインオンすると、そのユーザの所属部門に適合した端末構成に自動的に変わります。
- セキュアなブラウザSOTI Surfを使えます。
- アクセス先の限定
次の a. か b. を選択できます。
- フィルタリング会社の分類により、アクセスできるコンテンツを限定する。
Android端末の場合、更に、日付順のアクセス履歴を、コンソールで取得できます。
いつどこにアクセスしたかを把握できます。
- URL入力欄を非表示にして、SOTI Surfのホーム画面に表示したWebクリップに限定。または、アクセス可能先をMobiControl管理者が指定したブックマークのみに限定
- ADやIdPによるユーザ認証を経て、社内共用のリポジトリサーバにアクセス。
SOTI Surfを、デフォルトブラウザとして、設定することを、お勧めします。
A-4. 閉域ネットワークでも、アプリのサイレントインストールを含めての運用管理
Android Plusも、Android Enterpriseも、完全閉域網で運用管理が可能です。
| 完全閉域網内 |
|---|
| Android Plus | Andrid Enterprise |
|---|
| MobiControlへの登録 | 可能 | 可能
注 |
| アプリのサイレントインストールなど、他の運用管理 | 可能 | 可能 |
-
注 インターネットにアクセスできる環境で登録し、登録が終われば、閉域網内に移動させる方が、便利です。
Android Enterpriseは、Google Playからエージェントをダウンロードする仕様になっているからです。
但し、
どうしてもという場合は、閉域網内でも登録ができます。
完全閉域網の端末を管理するには、MobiControlサーバを、DMZに設置する必要があります。
また、完全閉域網では、ウィルスのスキャニングができなくなります。ウィルス検疫のBitDefenderクラウドにアクセスできないからです。
B.「Android Plus」と「Android Enterprise」の違い
Androidの設定モードには、「Android Plus」と「Android Enterprise」の2つの設定モードがあります。
B-1. 端末エージェント
- Android Plus
Android端末メーカー166社がMobiControlの開発会社であるSOTIと協力して、当該メーカーの製品に対応する端末エージェントアプリ(APKファイル)を開発しております。
そのエージェントをインストールした端末モードをAndroid Plusといいます。
メーカーにも依りますが、Android4.2以上をサポートしています。
日本国内で、主に販売しているAndroid Plus対応のメーカーは、次の通りです。
Casio、Denso、Panasonic Toughpad、 SONY Xperia、Sharp AQUOS SH-M02、京セラ DignoU、Asus、HTC、Huawei、Lenovo、LG、Nexus、Samsung、Zebra、
Android Plusの端末エージェントを用意している端末メーカーであるかどうかは、
Android Plus の端末エージェントがあるかどうかのチェックを参照ください。
- Android Enterprise
端末メーカー毎でなく、Android5.1以上の端末なら、基本的にどの端末モデルにも適用できるエージェントをインストールした端末モードをAndroid Enterpriseといいます。
フル機能を利用するためには、Android6.0以上が望ましいとされています。
携帯電話会社の指定で、Android Enterpriseとして設定できないモデルが、稀に存在します。そこで、事前に、Android Enterpriseとして設定できるかどうかをトライアル端末で検証しておきます。
Android Plus、Android Enterprise どちらの設定モードにするかは、展開しようとする端末の端末モデル次第です。
「
どの設定モードを選択するか」を参照し、事前検証しておくことを、お勧めします。
B-2. リモート画面操作ができるか、リモート画面ビューのみか
Android Enterpriseでは、全ての機種で、リモート画面ビューが可能です。
更に、
端末メーカーとモデルによって、
プラグインが提供されている場合があります。
このプラグインをインストールすると、Android Enterpriseでもリモート画面操作が可能になります。
リモート画面操作とは、コンソールに端末画面を表示しそれを操作することです。リモート画面ビューは端末ユーザの操作により変化する画面をコンソールで
見ることができる機能です。
| Android Plus | Android Enterprise |
|---|
| プラグイン有り | プラグイン無し |
| リモート画面操作 | 可能 | 基本的に可能 | 不可能 |
| リモート画面ビュー | 可能 | 可能 | 可能 |
Samsung端末だけは、Android Enterpriseでも、プラグインなしで、リモート画面操作が可能です。
2020年6月時点で、79社の端末メーカーが、
Android Enterprise用のプラグインを提供しています。Android Enterpriseとして設定するのなら、プラグインを提供しているメーカーの製品をピックアップするのがよいでしょう。
プラグインを用意しているメーカーかどうかは、
Android Enterpriseのプラグインがあるかどうかのチェック
を参照ください。
Android Plusに対してもプラグインが用意されています。
端末の機能制限は、端末メーカーにより対応が異なりますが、Android Plusのプラグイン
を付加すると、設定可能項目が増えます。
プラグインの端末群への配布とインストールについては、
Android端末へのプラグインのインストールを参照ください。
MobiControlサーバが、v14.4以上なら、プラグインの配布とインストールは簡単になります。パッケージによる配布などは不要になります。
MobiControlエージェントも、2ヶ月に1回は、バージョンアップしています。機能アップと、バグ解決のためです。エージェントもパッケージによる配布などせずに
簡単にアップデートできます。
サーバをv14.4以上にアップデートすることをお勧めします。
より詳細な比較は、「
3つの設定モードの詳細比較」
のページをご一読ください。セキュリティ対策の機能比較も表示されています。
B-3. アプリの配布とサイレントインストール
C. Android Enterprise 知っておくべきこと
C-1. ここが違うMobiControlのAndroid Enterprise
標準的なMDM/EMMのAndroid Enterpriseと比べて、MobiControlのAndroid Enterpriseは、次のメリットを提供します。
-
リモート画面操作、またはリモートビュー
- パッケージ化して、端末に直接プッシュ配信し、サイレント・インストール
標準的なAndroid Enterpriseソリューションでは、managed Google Play経由しかアプリを配布できません。自社開発アプリを公開したくない場合や、
インターネットへの接続を遮断した閉域ネットワークでの運用には困ります。
コンソールで、Google Playからアプリ(APKファイル)をダウンロードし、そして、端末にプッシュ配布することもできます。
- ランチャー作成機能で、業務指向のホーム画面を作成し、端末で表示
|
(図2)
|
- 購入時のアプリのアイコンの再表示、またはアプリの再インストール
Android Enterprise Device Owner Modeは、端末を初期化することでセットアップをします。そしてOSレベルのチューンアップを経て、MobiControlに登録されます。
その際、 端末購入時にインストールされていたアプリのアイコンの多くが画面に表示されなくなります。 MobiControlでは、これらのアプリを復元することができます。
|
C-2. 管理者用Googleアカウント
managed Google Play ストアを使ってアプリ配布をするには、
貴社のどなたかが、管理者用Google アカウントを取得しなければなりません。
管理者用Googleアカウントには、下表のように2種類があります。どちらかを取得します。
注
AD_DS:Active Directory Domain Service。
端末ユーザのAD_DSのUPNが、登録した端末でのGoogleアカウントになります。
managed Google
Playアカウントは、貴社で複数の方が取得できます。
本部別や店舗別に取得し、各々別々のアプリ群の配布が可能になります。
閉域網で端末を管理する際には、管理者用Googleアカウントの取得は不要です。端末からGoogle Playへのアクセスをさせないからです。
替わりに、アプリを
パッケージ化してプッシュ配布します。
C-3. managed Google Playストア
通常のGoogle Play Storeとは別のサイトに、managed Google Play Storeがあります。
これには、貴社内で
管理者用Googleアカウントを保有した方が、承認したアプリしか掲示されません。
Android Enterpriseに適用する端末登録ルール及び、設定モードによって、端末がアクセスできるGoogle Play Storeが異なります。下表を参照してください。
| 端末の設定モード | 端末登録ルール | 通常のGoogle Play Store
へのアクセス | managed Google Play Store
へのアクセス |
|---|
Android Enterprise
Device Owner Mode |
管理者用Googleアカウントを指定 |
 |
 |
管理者用Googleアカウントを指定しない
(端末を閉域網で管理) |
|
|
Android Enterprise
Profile Owner Mode | 管理者用Googleアカウントを指定 |
|
|
| 私物端末を想定 |
(図3)は、
端末登録ルール の「E.管理者用Googleアカウントの選択」の作成プロセスに現れるダイアログの一つです。
(図3)
「管理者用Googleアカウントを
指定」した端末登録ルールとは、
(図3)で、
.png)
または
.png)
を選択して
作成した端末登録ルールを指します。
「管理者用Googleアカウントを
指定しない」端末登録ルールとは、
(図3)で、
.png)
を選択して
作成した端末登録ルールを指します。
Android Enterprise
Profile Owner Modeの端末には、2種類のGoogle Play Storeのアイコンが表示されます。
| 通常のPlayストア | | managed Playストア |
 |
 |
通常のPlayストアは、私的利用に使います。
C-4. 初期設定をしてからセットアップ
Android Enterprise Device Owner Modeとしてセットアップし、MobiControlに登録する前には、
端末を初期設定しておく必要があります。
C-5. 私物端末をセットアップ
Android Enterpriseは、更に2つのモードに分類されます。
その違いは次の表の通りです。
| Android Enterprise |
|---|
| Device Owner Mode | Profile Owner Mode |
|---|
| 用途 | 会社支給端末 | 私物端末 |
| ユーザが任意の個人用アプリをインストールできるか? |
不可能 | 可能 |
MobiControlへの登録に当たって
初期設定が必要か? | 必要 | 不要 |
| managed Google Playのアプリ | サイレントインストール
可能 | マニュアル操作で
インストール |
| パッケージで送ったアプリ | サイレントインストール可能 |
| 端末ユーザによるMobiControlからの登録解除 | 解除を禁止できる | 解除できる |
| 週末オフ機能 | 不可能 | 可能(v14が必要) |
-
週末オフ機能(本機能を実現するには、サーバがv14であることが必要です)
週末や勤務時間外には、端末操作で、MobiControlサーバとの切断を維持し、端末のMobiControlエージェントの活動を停止させる機能。完全私物端末モード
例えば、次のような操作を不可能にできます。
- コンソールで端末位置の地図表示
- 端末の立ち寄り先のログ取得
- コンソールでの、端末の操作画面リモートビュー
- 会社メールの発受信
- コンソールから送ったメッセージを、端末にポップアップ表示
Android Enterprise Profile Owner Modeの場合、業務アプリ(MobiControlが指定したアプリ)が作成したデータやファイルを、私用アプリで読み取ることはできません。
逆もできません。
