Android端末

MobiControl v14 Manual

A. MobiControlで活きてくるAndroid端末

A-1. Android端末でのMobiControl機能のハイライト

A-2. 生産性向上のための主な機能

業務効率の向上や顧客対応力向上の主役は、業務アプリです。MobiControlは、業務アプリのスムーズな展開をサポートします。

A-3. セキュリティ対策機能のハイライト

MobiControlは、多くのセキュリティ対策を用意していますが、以下は、そのハイライト:
  • SDカードを含めての暗号化
  • ロック解除のパスワードの複雑性の強制
  • BitLockerによるウィルス検疫
    (ウィルス検知された場合は、関係者にアラームメール)
  • 盗難端末がネットワーク切断されてもWipe(初期化)
  • Geofence (職域内に限り、PCとのUSB接続不能、カメラ不能など)
  • Webコンテンツに基づくアクセス制限
  • 端末の地理的位置の履歴表示
  • AD_DS(Active Directory Directory Service) またはAD_FS(Federation Service)による本人確認

A-4. 閉域ネットワークでの端末管理

Android Plus 又は Android Enterpriseのどちらの場合でも、インターネットから遮断したWiFiや閉域モバイル網に接続した端末をMobiControlサーバに 登録し、アプリの配布や管理をすることができます。
但し、MobiControlサーバが、オンプレミスである必要があります。
また、ウィルスパターンファイルの更新ができません。

B.「Android Plus」と「Android Enterprise」

B-1. 端末エージェント

Android端末をMobiControlで管理するには、「Android Plus」と「Android Enterprise」の2つの設定モードがあります。
  • Android Plus
    Android端末メーカー143社がMobiControlの開発会社であるSOTIと協力して、当該メーカーの製品に対応する端末エージェントアプリ(APKファイル)を開発しております。 そのエージェントをインストールした端末モードをAndroid Plusといいます。 メーカーにも依りますが、Android4.2以上をサポートしています。
    日本国内で、主に販売しているAndroid Plus対応のメーカーは、次の通りです。
    Casio、Denso、Panasonic Toughpad、 SONY Xperia、Sharp AQUOS SH-M02、京セラ DignoU、Asus、HTC、Huawei、Lenovo、LG、Nexus、Samsung、Zebra、
    Android Plusの端末エージェントを用意している端末メーカーであるかどうかは、 Android Plus の端末エージェントがあるかどうかのチェックを参照ください。
  • Android Enterprise
    端末メーカー毎でなく、Android5.1以上の端末なら、基本的にどの端末モデルにも適用できるエージェントをインストールした端末モードをAndroid Enterpriseといいます。 フル機能を利用するためには、Android6.0以上が望ましいとされています。
    携帯電話会社の指定で、Android Enterpriseとして設定できないモデルが、稀に存在します。そこで、事前に、Android Enterpriseとして設定できるかどうかをトライアル端末で検証しておきます。

B-2. リモート画面操作ができるか、リモート画面ビューのみか

Android Enterpriseでは、メーカーとモデルによって、プラグインが提供されている場合とない場合があります。このプラグインをインストールすると、Android Enterpriseでもリモート画面操作が可能になります。リモート画面操作とは、コンソールに端末画面を表示しそれを操作することです。リモート画面ビューは端末ユーザの操作により変化する画面をコンソールで 見ることができる機能です。

Android PlusAndroid Enterprise
プラグイン有りプラグイン無し
リモート画面操作可能基本的に可能不可能
リモート画面ビュー可能可能可能
2019年6月時点で、57社の端末メーカーが、Android Enterprise用のプラグインを提供しています。Android Enterpriseとして設定するのなら、プラグインを提供しているメーカーの製品をピックアップするのがよいでしょう。
プラグインを用意しているメーカーかどうかは、 Android Enterpriseのプラグインがあるかどうかのチェック を参照ください。

B-3. 会社支給端末か、私物端末か

Android 端末の業務に使うアプリは、アプリカタログまたはパッケージ化して、端末に配布することになります。 そして、多くの場合、サイレント・インストールされます。
業務以外のアプリとして、端末ユーザがアプリを任意にダウンロードし、インストールできるかに関して、下記の様な違いがあります。
端末ユーザがアプリを独自にダウンロードし、インストールできるか
Android Plus許容もできるし、禁止もできる
Android
Enterprise
Device Owner Mode会社/団体が指定したアプリしかインストールできない
Profile Owner Mode端末ユーザが、任意にダウンロードとインストールができる
Android Enterprise Profile Owner Modeは、私物端末を業務に使う場合を想定しています。業務アプリが生成するデータを、私用のアプリでピックアップすることはできません。

B-4. どの設定モードを採用するか

  • Android Plus
  • Android Enterprise Device Owner Mode
  • Android Enterprise Profile Owner Mode
の詳細な比較は、「3つの設定モードの詳細比較」 のページをご一読ください。セキュリティ対策の機能比較も表示されています。

C. Android Enterprise

C-1. ここが違うMobiControlのAndroid Enterprise

標準的なMDM/EMMのAndroid Enterpriseと比べて、MobiControlのAndroid Enterpriseは、次のメリットを提供します。
  • リモート画面操作、またはリモートビュー
  • パッケージ化して、端末に直接プッシュ配信し、サイレント・インストール
    標準的なAndroid Enterpriseソリューションでは、managed Google Play経由しかアプリを配布できません。自社開発アプリを公開したくない場合や、 インターネットへの接続を遮断した閉域ネットワークでの運用には困ります。
    コンソールで、Google Playからアプリ(APKファイル)をダウンロードし、そして、端末にプッシュ配布することもできます。
  • ランチャー作成機能で、業務指向のホーム画面を作成し、端末で表示

C-2. managed Google Playストア

Android Enterprise Device Owner Modeは、端末を初期化することでセットアップをします。そしてOSレベルのチューンアップを経て、MobiControlに登録されます。
Android Enterprise Device Owner Modeの端末には、一般のGoogle Play Storeのアイコンが表示されません。 従って、端末ユーザはGoogle Play Storeのアプリをダウンロードできなくなります。替わりに、managed Google Playアカウントを持つ担当者が、Google Play Storeから業務に必要と判断したアプリに承認を与えます。そして、このアプリを、 managed Google Play ストアに掲載します。これをアプリカタログに転載することで、アプリが端末にプッシュ配信され、サイレント・インストールされます。
Android Enterprise Device Owner Modeの端末には、 managed Google Play Storeのアイコンが表示されます。
managed Google Play Storeのアイコン

カバンが付いています。
一般のGoogle Play Storeのアイコン
Android Enterprise Device Owner Modeの端末には、managed Google Playストアを利用してアプリを配布する方法以外に、パッケージ化してアプリをプッシュ配布することもできます。

C-3. managed Google Playアカウント

managed Google Play ストアを使ってアプリ配布をするには、managed Google Play アカウントを取得しなければなりません。 「 managed Google Play アカウント」のページを参照して、取得してください。一つの企業で、複数部門や複数店舗で別々の 「 managed Google Play アカウント」を取得することも可能です。この場合、部門や店舗別に異なるアプリを展開することができます。

C-4. managed Google アカウント

Active DirectoryのUPNを、端末ユーザの仕事用のGoogleアカウントIDとすることができます。
UPNは、<ユーザ名>@<FQDNドメイン名> のようなメールアドレス型式となります。そうすると、Googleが提供している各種アプリを社内に展開できます。 この仕事用Googleアカウントでも、一般のGoogle Playストアにはアクセスできません。 managed Google Play ストアにはアクセスできます。
この場合、貴社のAD_DS(Active Directory Domain Service)をGoogleアカウントデータベースと連動させておく必要があります。
一般のGoogle Playストアから業務アプリをピックアップし、managed Google Play ストアに 掲載するアカウントとして、managed Google アカウントを取得する必要があります。
G. Suiteアカウントの作成とGoogleとのバインド」のページを参照して、managed Google アカウントを取得してください。
また、端末をMobiControlに登録する際、端末ユーザの本人認証として、AD_DSによる認証が必要になります。

D. MobiControlエージェントがバックグラウンドで作動し続けるように設定

Android端末のMobiControlエージェントは常時作動させ、MobiControlサーバとの接続を維持する必要があります。他のアプリがフォアグラウンドで作動していても、 また、端末がスリープ状態になっても、エージェントは、バックグラウンドで作動し、接続を維持しなければなりません。
Android端末が、MobiControlサーバと接続していると、 コンソールの端末一覧画面での端末アイコンは、 と緑色 になりますし、またそうなっていなければなりません。Android端末のアイコンが とグレイに なっている端末は、「端末接続時間帯」の設定により接続時間帯を制限してある場合を除き、運用上望ましくない状態です
Android6.x、 7.xの端末では、スリープ状態になると、殆どのバックグラウンド・アプリの動作は停止します。 しかし、端末がスリープ状態になっても、MobiControlエージェントが、バックグラウンドで作動を継続するようにします。
その方法は、「常にサーバとの接続を維持」のページを参照ください。

E. Android端末の設定順序

MobiControlの設定は次の順序で行います。
  1. MobiControlサーバのプロパティと証明書等設定
  2. 端末グループの作成 
    企業や団体の組織にそって、階層的に端末グループを作成 
    (組織名の入力が主な作業)
  3. managed Google Playアカウントの作成(Android Enterpriseの場合)
    または
    G. Suiteアカウントの作成とGoogleとのバインド(Android Enterpriseの場合)
  4. 端末登録ルールの作成と登録IDの発行 
  5. 端末グループまたは端末の構成プロファイル作成  
    (無線LANやセキュリティ対策など)
  6. 端末グループの詳細設定
  7. 端末登録ルール以外のルールの設定 
    業務用アプリの配布のためには特に アプリカタログ・ルール
  8. 端末エージェントのインストールと登録 
  9. パッケージのプロファイルへの積込 
  10. コンテンツのライブラリへのアップロード 
    業務に必要なファイルを端末に配付するために、サーバにアップロードしておきます。
端末エージェントの適合性をチェックするだけなら、5.6.7.はスキップしてでも、端末のセットアップ可否はチェックできます。  
端末の設定分野には「構成プロファイル」と「ルール」と「詳細設定」 があります。詳しくは、 構成プロファイルとルールと詳細設定 を参照ください。

F. 端末エージェントのインストールとサーバへの登録

Android端末のエージェントのインストールとサーバへの登録方法については、下記を参照ください。