Android Enterprise: SOTI Hubの設定
A. SOTI Hubを使ってセキュアなファイル共有を
SOTI Hub は、Android端末/iPhone/iPadにインストールするアプリで、社内組織のメンバーとのファイル共有を目的に、次の(表1)のリポジトリサーバ または リポジトリサービスと、 交信します。そして、ダウンロードしたファイルは、SOTI Hubで閲覧できます。(表1)
SOTI Hubと交信できるリポジトリ・サーバ及びリポジトリ・サービス 名前 ベンダー オンプレミス クラウドサービス BOX Box, Inc. NextCloud NextCloud, Inc. Sharepoint Online マイクロソフト Sharepoint2013 OneDrive for Business OneDrive WebDav Server (図1)
【リポジトリとは】Firewallの外の端末から、 社内ネットワーク内部にあるSharepoint2013 や WebDav Serverにアクセスする為に、SOTIは イントラネットゲートウェイを提供しています。 イントラネット・ゲートウェイは、一種のリバースプロキシサーバです。 Windows Server2013をOSとするサーバに、SOTIが提供する無償ソフト「ERG(Enterprise Resource Gateway」と「SOTI Apps Server Extention for SOTI Hub」をインストールしておきます。
ファイル共有サーバと呼ばれるサーバ機能や、ファイル管理システムと呼ばれるクラウドサービスには、多くの種類があります。 それらの中で、ファイルバージョン管理機能ができる機能を有するものを、MobiControlでは「リポジトリ」と称しています。
ファイルバージョン管理機能とは、バージョン番号を付すことによって、ファイル名を同じくするファイルを、複数保存できる機能です。 1つのファイルを、複数のメンバーによって、編集を加えていく環境では、必要な機能です。 現在、MobiControlがサポートしているリポジトリを、(表1)に示しています。(図2)
イントラネット内のリポジトリサーバにアクセス
端末をイントラネット内でのみ使う場合は、イントラネットゲートウェイは不要です。
- ① イントラネットでのリポジトリサーバのアドレスは、構成プロファイルで指定します。端末ユーザが、任意のアドレスにアクセスすることはできません。
- ② イントラネット・ゲートウェイは、当該端末が MobiControl Managementサーバに登録されているかどうかをチェックします。MobiControl Management サーバに登録されてない端末は、アクセスを拒否されます。
- ③ イントラネット・ゲートウェイは、ログイン画面を提供し、 端末から、AD_DS(Active Directory Domain Services)のUPN(User Principal Name)とパスワードの入力を得ます。イントラネットゲートウェイは、AD_DSサーバに問い合わせ、そのUPNとパスワードの真正性をチェックします。
- ④ 上記③ の結果が TRUE だったら、 SOTI Hubと、イントラネットのリポジトリサーバとの接続を確立します。
B. SOTI Hubのアドバンテージ
- ファイルの閲覧
- リポジトリサーバから ダウンロードしたファイルは、SOTI Hub自身で開くことができ、端末ユーザはそれを閲覧できます。 拡張子 .docx .xlsx .pptx .jpg などの汎用的なファイル形式のファイルを開けます。開くことができるファイルの拡張子一覧は (表5) を参照ください。
- ファイルの拡張子に基づいて、 他のアプリ(例:Microsoft Office)で開くようにもできます。
- 情報漏洩対策 = DLP(Data Leakage Protection)
例えば、次のような操作を許可するか否かを、構成プロファイルで指定できます。
- 他のアプリとのファイル共有
他のアプリで開くことを指定していない拡張子のファイルは、SOTI Hubで開きます。その際、他のアプリに渡すことを許可または禁止を指定できます。 禁止を指定しておくと、当該拡張子のファイルをLINEやメールなどのアプリに渡すことができなくなります。- ファイルの編集
SOTI Hubで開いたファイルを、SOTI Hubで編集できますが、それの許可または禁止の指定ができます。- ファイルのアップロード
SOTI Hubで作成及び編集したファイルを、リポジトリサーバにアップロードすることを許可または禁止の指定ができます。- ファイルの印刷
ダウンロードしたファイル、若しくは、作成または編集したファイルの印刷の許可または禁止を指定できます。- コピペ
画面に広げたファイルの全部または範囲指定した部分をコピーして、他のアプリに貼り付けすることの許可または禁止を指定できます。- リポジトリサーバ内のアクセスを許可するフォルダを指定
リポジトリサーバ内で、アクセスを許可するフォルダを指定できます。SOTI Hubのペイロードを含む構成プロファイルは、端末グループ単位で適用します。端末グループは、組織の部門に連携していますから、 他部門のファイルには、アクセスできません。- オフラインでも閲覧編集できる
端末とリポジトリサーバとの間がオフラインでも、端末ユーザは、SOTI Hubを開けます。そして、キャッシュしてある文書を 閲覧したり編集できます。地下鉄の中でも閲覧/編集できるので便利です。- 強制ダウンロード
リポジトリサーバの特定のフォルダの特定ファイルは、強制的にダウンロードするようにできます。 且つそれを、定時間間隔で再ダウンロードします。他のユーザにより更新されている可能性があるからです。その再ダウンロードのタイミングの 時間間隔も指定できます。強制ダウンロードしたファイルは、端末ユーザによって削除できません。- ファイルの検索
リポジトリサーバ内のファイルの名前の全てまたは一部を指定して、ファイルを検索できます。- AD DSによる認証
社内網の中に存在する リポジトリサーバへのログインを、AD_DS(Active Directory Domain Service)により認証している場合、 ログインIDとしてのドメイン名およびADユーザ名を、端末に自動表示します。そのパスワードもプレフィルできます。- 携帯電話回線禁止
携帯電話回線経由でのダウンロードを禁止し、ファイルのダウンロードをWiFi接続の際のみに限定できます。- httpリンクをSOTI Surfで開く
文書の中に、httpリンクがある場合、それをタップすると、SOTI Surfブラウザが起動してリンク先を開きます。 SOTI Surfブラウザを未インストールだと、Google PlayのSOTI Surfの画面が開き、インストールを促します。- 端末からは、複数のリポジトリサーバまたはリポジトリサービスにアクセスし ファイルのダウンロードができます。
C. SOTI Hub アプリのインストール
端末に、SOTI Hubアプリをインストールします。2つの方法があります。アプリを端末にインストールしただけでは、SOTI Hubを開くことはできません、このページで説明する構成プロファイルを端末に配布しておく必要があります。
- 方法1 アプリカタログ・ルールで端末へ配付
アプリカタログに、Google PlayのSOTI Hubを加えます。配布オプションを「必須」にしておくと、 Android Enterprise端末にはサイレントインストールされます。また、SOTI Hubのバージョンアップも自動的にダウンロードされ、サイレントインストールされます。- 方法2 パッケージで配布
閉域網内にあって、Google Playにアクセスできない端末があります。その場合は、SOTI Hubのapkファイルをパッケージ化して、端末に配付します。 サイレント・インストールができます。SOTI Hubのapkファイルの入手は、SOTI Downloadサイト にアクセスして ダウンロードします。バージョンアップは、その都度、パッケージ化して配布します。D. SOTI Hub 構成の作成
(図3)の「構成プロファイルメニュー」の画面を表示します。
表示方法は、 「Android Enterpriseの構成プロファイルの作成 」を参照ください。
(図3)
Android Enterpriseの構成プロファイル・メニュー
(図3)で、「SOTI Hub」をクリックすると、(図4)が現われます。(図4)
(表2)
(図4)の項目 説明 説明 これから構成するSOTI Hubペイロードの名前を入力します。端末の所属組織によって異なる構成にする場合は、 その所属組織名を推測できる名前がよいでしょう。名前には、次の文字を挿入できません。 ' , " , ` ユーザーがパスワードを保存できます SOTI Hubアプリを起動するには、パスワードチェックをします。 そのパスワードを端末内に保存しておき、次回からはパスワード入力を不要とするには、ここにチェックを入れます。 コンテンツ更新間隔 ファイルを端末で開いてから時間が経過すると、そのファイルが、リポジトリサーバ側で、他のユーザにより更新されている可能性があります。 該当ファイルをダウンロード後、何分後に再度、リポジトリ・サーバからダウンロードするかを設定します。デフォルトは120分間。 無通信タイム 端末ユーザがSOTI Hubの操作を中断したままになることがあります。その中断が指定した時間経過すると、SOTI Hubアプリを自動終了させます。 0を入力すると、自動終了はしなくなります。 不活動のタイムアウトで転送をキャンセル ファイルダウンロードが始まった後に、上記の無通信タイムの時限が来た場合は、ダウンロードを止めます。 チェックをオフにしておくと、ファイルダウンロードが終わってから、SOTI Hubアプリの自動終了を行ないます。 ログインを有効 イントラネットゲートウェイ経由で社内のリポジトリサーバにアクセスするときに、AD_DSによる認証画面を 強制的に表示します。このオプションにチェックを入れた場合は、赤い欄に、イントラネットゲートウェイ(ERG)に対するURLを入力します。 新しいコンテンツを作成 SOTI Hub の機能の一つとしてのSOTI Hub Editerを使ってファイル作成を可能とします。 作成後は、リポジトリサーバにアップロードしなければなりません。 カメラで撮影した写真や、他の画像もSOTI Hubを使ってアップロードできます。作成中のファイルは、端末のMy Fileフォルダにあります。 コピーアンドペーストを有効 上記のコンテンツ作成操作で、コピペができるようにします。このコピペは、SOTI Hubで作成したファイルにのみ適用できます。 ダウンロードしたファイルには適用できません。 ファイル共有を有効 上記のコンテンツ作成操作で、他のアプリのファイルをインポートしたりできるようになります。 この共有は、SOTI Hubで作成したファイルにのみ適用できます。 ダウンロードしたファイルには適用できません。 ファイル印刷を有効 作成したファイルを、印刷することを許可します。ダウンロードしたファイルには適用できません。 E. コンテンツ・リポジトリ設定
リポジトリ・サーバへのアクセスに関する設定
(図4)の赤矢印の部分をクリックすると(図5)が現われます。(図5)は、リポジトリ・サーバまたはリポジトリ・サービスへのアクセスに関する設定です。 (図5)の「コンテンツ・リポジトリ設定」は、リポジトリタイプ別に、複数作成できます。(図5)
(表3)
上の(表3)の水色の項目 は、社内のリポジトリサーバにアクセスする場合にのみ設定します。 クラウドのリポジトリサービスにアクセスする場合は、水色の項目 欄での入力は不要です。
(図5)の項目 説明 リポジトリタイプ 欄の右端をプルダウンすると、(図6)のようなリストが現れます。 (図6)
SOTI Hubがアクセスするリポジトリサーバまたはリポジトリ・サービスを選択します。
リポジトリのURL リポジトリサーバのURLを入力します。URLの末尾にはポート番号を付すことも ありえます。このURLはログインする画面のURLです。ファイルを閲覧する画面のURLではありません。
リポジトリサービスとして、OneDrive for Business、OneDrive または Boxを選んだ場合は、 この欄にはURLを入力しません。SOTI Hubアプリが、これらのURLを内蔵しています。パス この「コンテンツ・リポジトリ設定」で、アクセスを許可するサーバ内フォルダへのパスを入力します
フィルター SOTI Hubが閲覧できるファイル拡張子を指定します。
(例) *.docx, *.pptx, *.pdf, *.png,
コンマ(半角)で、区切ります。指定しない拡張子のファイルは、サーバのフォルダのファイル一覧に表示されません。
この欄を空白しておくと、全ての拡張子のファイルを閲覧できるようになります。エイリアス ダウンロードしたファイルを保存するサブフォルダの名前を入力します。
(図5)の「コンテンツ・リポジトリ設定」は、リポジトリタイプ別に、複数作成できます。
- 設定するリポジトリサーバまたはリポジトリサービスが1つだけのときは、この欄を空白にできます。 ここを空欄にした場合は、ダウンロードしたファイルを、マイライブラリというフォルダに、保存します。
- 設定するリポジトリサーバ、またはリポジトリサービスが複数あるときは、ここに リポジトリタイプの文字列、またはそれに近似した文字列を入力します。その文字列をフォルダ名とするサブフォルダが、端末の マイライブラリ傘下に、自動的に作成されます。
ダウンロードしたファイルは、このエイリアス欄で入力したサブフォルダ別に保存されます。
エイリアスは別名という意味です。各サーバ別のサブフォルダ名だからです。ドメイン この欄には、%ENROLLEDUSER_DOMAIN% というマクロ文字列を入力しておくと、ログイン画面で、 AD_DSのNetBIOSドメイン名が表示されます。 プレフィルユーザ名
- 社内のリポジトリサーバの本人認証に、AD_DSを使っている場合
- 端末ユーザの AD_DSのUPN(Users Principal Name)を、MobiControlのデータベースに登録してあるときは、 %ENROLLEDUSER_UPN% を、この欄に入力します。AD_DSの認証画面のログインユーザ欄に、各端末ユーザのUPNが自動表示されます。
端末ユーザのAD_DSのUPNを、MobiControlのデータベースに登録する方法は、「Active Directory UPNの登録」を 参照ください。- UPNをMobiControlのデータベースに登録してない場合は、 この欄を空白にしておきます。AD_DSとの認証画面で、端末ユーザに、UPNを入力して貰います。
- 社内のリポジトリサーバの本人認証に、AD_DSを使ってない場合
この欄は空白にしておきます。そのサーバ独自のログインユーザ名を、端末ユーザにより入力して貰います。プレフィルパスワード プレフィルユーザ名を入力すると、ここに リポジトリサーバのログインパスワードを入力できます。空白にしておくと、リポジトリサーバへの最初のログイン時に パスワードの入力を求められます。 Enterprise Resource Gatewayの使用 社内網の外から、内部のリポジトリサーバにアクセスするときは、 「Enterprise Resource Gatewayの使用」にチェックを入れます。あらかじめイントラネットゲートウェイ(逆プロキシサーバ)を設定し、 そのサーバにEnterprise Resource Gatewayをインストールしておいてください。
社外から、社内網内のリポジトリサーバにアクセスさせない場合は、チェックを入れる必要はありません。Enterprise Resource Gateway Enterprise Resource GatewayをインストールしたイントラネットゲートウェイにアクセスするためのURLを入力します。 携帯でコンテンツを転送 チェックを入れると、携帯電話回線経由でもリポジトリサーバまたはリポジトリサービスとの間で、ファイルの送受をします。 チェックを入れないと、WiFi接続のみにファイルの送受をします。 ローミング中にコンテンツを転送 チェックを入れると、ローミング中でもリポジトリサーバまたはリポジトリサービスとの間で、ファイルの送受をします。 チェックを入れないと、ローミング中は、ファイルの送受ができなくなります。 ファイル取得を有効 指定したファイルを強制的に再ダウンロードします。リポジトリ側のファイルが、更新されていることがあるからです。 取得間隔 再ダウンロードする時間間隔を指定します。 フォルダとファイルリスト 強制的に、再ダウンロードするファイルのフォルダとファイル名を指定します。「設定」ボタンを押すと、 ポップアップ画面が現れるので、リポジトリサーバのフォルダ名とファイル名を指定します。複数指定ができます。 F. 情報漏洩対策 = DLP(DLP(Data Leakage Protection)の設定
(図7)は、(図5)の下段部分です。(図7)
ここでは、ダウンロードしたファイルの取り扱い権限を指定します。また、SOTI Hubで作成または編集したファイルの アップロードを許可するか否かを指定します。
(表4)
(図7)の項目 説 明 DLP設定を有効 次の各項目の権限をSOTI Hubに与えるときにチェックを入れます。チェックをいれないと、 SOTI Hubでは、ファイルを閲覧するだけしかできなくなります。 ファイル編集を有効 ダウンロードしたファイルを、SOTI Hubにて編集するときにチェックを入れます。
WebDaveサーバからダウンロードしたファイルの編集はできません。コピーアンドペーストを有効 ダウンロードしたファイルを開いたときに、そのコンテンツのコピー&ペーストが可能になります。
WebDaveサーバからダウンロードしたファイルのコピー&ペーストはできません。ファイルのアップロードを有効 編集または作成したファイルを、リポジトリサーバにアップロードできるようになります。
WebDaveサーバに対しては、ファイルのアップロードはできません。ファイル共有を有効 ダウンロードしたファイルを、他のアプリでも開けるようになります。 ファイル印刷を有効 ダウンロードしたファイルを、印刷できるようになります。 ファイル形式を除外 ファイルの拡張子を羅列入力します。入力する拡張子は、(表5)を参照ください。区切りコードとして、 , (半角)を使います。 英数文字以外の文字は、, (半角)を除いて入力できません。
(例) docx, html,
ここで羅列指定した拡張子のファイルは、SOTI Hubでは開けなくなります。他のアプリで開くことになります。(表5)
(図5)での設定が終わると、(図5)の下辺の「OK」を押します。(図4)に戻ります。
ダウンロードすると自動的にSOTI Hubで開くファイルの拡張子
但し、「ファイル形式を除外」で指定しない場合SOTI Hubで編集ができる
ファイルの拡張子
- txt
- rtf
- csv
- jpg
- jpeg
- bmp
- doc
- docx
- ppt
- pptx
- xls
- xlsx
G. 「コンテンツ・リポジトリ設定」の編集、追加、または削除
(図4)は、(図8)のように、項目入力がされているはずです。(図8)
(図8)での 全ての設定が終われば、(図8)の下辺の「OK」を押します。これで、SOTI Hubに関する構成プロファイルの作成は、完了です。
- 作成済の、「コンテンツ・リポジトリ設定」を編集する場合は、① の各リポジトリタイプの名前をクリックします。
- 作成済の、「コンテンツ・リポジトリ設定」を削除するには、該当するリポジトリタイプ名の右端 ② のバッテンマークを 押します。
- 「コンテンツ・リポジトリ設定」を追加するには、③ の部分をクリックします。新しい(図5)の画面が現れます。
構成プロファイルの作成が終わると、これを対象とする端末グループやAD(Active Directory)の グループに割り当てます。そして、それを当該グループの端末に配布し、インストールします。詳しくは、 「Android Enterpriseの構成プロファイルの作成」 のページの「E. 構成プロファイルの端末グループへの割り当て」以下を参照ください。H. WebDavサーバの設定
WebDavサーバは、Windows ServerのIISを利用して設定します。 その設定方法は、SOTIのドキュメント Setting Up Your WebDAV Server (英文) を参照ください。
オプションとして、SOTI Apps Server Extention を、WebDavサーバにインストールします。SOTI Apps Server Extention をインストールしておくと、端末ユーザが、WebDavサーバ内のファイル検索をしたとき、素早くファイル結果を、SOTI Hubに表示します。 全ての検索が終了しない前から、候補となる一部のファイル(群)を表示します。
- SOTIの ダウンロードサイトにアクセスします。
- SOTI Apps Installの部分をクリックすると、setup.exe ファイルがダウンロードされます。 それを、WebDavサーバにインストールします。インストールの方法は、 Installing the SOTI Apps Server Extension を参照ください。
I. コンテンツライブラリやファイル同期ルールとの比較
端末にファイルをダウンロードさせる方法には、Soti Hub 以外に、ファイル同期ルールによるファイル同期と、 コンテンツ・ライブラリからのダウンロードがあります。 これらとの比較を、(表6)に示します。(表6)
企業/団体では、各人が作成したファイルを、部門内で共有することで、生産性を向上させています。 そのファイルを作成するデバイスは、Windows PC、macOSコンピュータ、モバイル端末と様々です。 コンテンツ・ライブラリやファイル同期の場合は、誰かが、モバイル端末にも配布しようとして意図し、MobiControl管理者に、配布を委託したファイルしか、モバイル端末には 送られません。 SOTI Hubの場合、部門内での共有目的で作成された、どのファイルでも、モバイル端末でも共有できるようになります。 モバイル端末で共有できるファイルの範囲が拡がります。
SOTI Hub コンテンツ・ライブラリ ファイル同期ルール 端末へ配布用のファイルをサーバにアップロードする人 所属部門の従業員なら誰でも MobiControl管理者 MobiControl管理者 ダウンロードするファイルを端末で取捨選択できるか
指定された全てのファイルは強制ダウンロード情報漏洩防止
ダウンロードしたファイルをSNSやメール等にExport禁止1つのファイルの最大サイズ リポジトリサーバの仕様に基づく 2GB 2GB 指定ファイルを強制的に再ダウンロードして更新 端末からのアップロードは
可能か
オプション