アプリの起動制限

MobiControl v14 Manual

2020年 12月 20日

業務には、必要がないアプリをブラックリストに登録し、それらのアプリの起動を停止します。
ご留意
  1. ブラックリストを全面展開する前に、必ず1台または2台の端末で 充分な検証をすることをお薦めします。1つのアプリの起動を禁止することで、他の禁止していないアプリが正常に作動しなくなることがあります。 作動するべき全てのアプリが、正常に作動するかどうかを確かめてください。
  2. 利用できるアプリを限定する方法として、他に、ランチャーがあります。 ランチャーを設定した場合に、更に、ブラックリストによるアプリ起動制限をすることは、お勧めしません。あるアプリを起動禁止することで、 ランチャーで指定したアプリが、正常に作動しなくなることがあるからです。
  3. 「設定」アプリ = com.android.settings
    をブラックリストに入れたい場合は、下記の「D. 考慮が必要なアプリ」を参照ください。 「設定」アプリ が起動しないことで、正常に動かないアプリが多くあります。
  4. 端末を管理者モードにすることで、起動を禁止したアプリも起動できます。 詳しくは、「E. 管理者モード: 禁止アプリを一時的に許可する」を参照。
端末を、Android PlusとしてMobiControlに登録した場合は、ブラックリストだけでなく、ホワイトリストも適用できます。

A. アプリ・リストの管理画面

(図1)の「構成プロファイルメニュー」の画面を表示します。
表示方法は、 「Android Enterpriseの構成プロファイルの作成 」を参照ください。

(図1)
Android Enterpriseの構成プロファイル・メニュー

(図1)で、「アプリ制限」を選択すると、(図2)が表示されます。(図2)が、アプリのブラックリストの管理画面です。

(図2) 

(図2)の下辺の「新規」ボタンを押します。(図4)がポップアップします。
(図2)には、「DeviceSettings」、「Google Play」、「InternetBrowser」、「YouTube」がブラックリストのサンプルとして、デフォルトで 表示されていますが、これらは無視してください。これらは、アプリの正確なバンドル識別子を指定していません。

(図2)の左欄も右欄も、アプリリストのリストであって、アプリのリストではありません。

(図3)

1つのブラックリストには、複数のアプリを登録できます。

B.アプリのブラックリストの作成

(図4) 

名前欄にアプリのブラックリストの名前を入力します。その名前には、「SNS」とか「株式取引」とか、ブラックリストに包含させる アプリ群を示唆する名前を入れると管理がしやすくなるでしょう。

「追加」ボタンを押すと、アプリのバンドル識別子の入力欄が現れます。登録するアプリのバンドル識別子を入力します。

(図5) 

バンドル識別子に対応するアプリの候補が幾つか表示されます。 アプリの名前に続いて括弧内に、そのアプリのバンドル識別子が表示されます。 その中で、括弧の中の文字列が、指定したバンドル識別子と同じアプリ名を選択します

(図6) 

(図6)のように、バンドル識別子とアプリ名が表示されます。
バンドル識別子(バンドルID)を知るためには、「アプリのバンドル識別子(バンドルID)を知る方法」を参照ください。

(図6)には、複数のアプリを登録できます。
登録したいアプリリストをCSVファイルで作成してあれば、(図6)の「ファイルをインポート」ボタンを押します。 コンソールPCのエクスプローラーが起動するので、該当のCSVファイルを指定します。
このCSVファイルでは、1列目にバンドル識別子、2列目にアプリ名を入力します。カンマ区切りとします。

(図6)で、「OK」ボタンを押すと、このブラックリストの名前が、(図2)の左欄の候補リストに追加されます。

C. アプリのブラックリストのリスト

(図6)で、「OK」を押すと、アプリのブラックリストが、(図2の左欄の第1行に挿入され、(図7)のようになります。

(図7) 
(図2)の再掲

(図7)の左欄は、ブラックリストのリストです。これは、ブラックリストの候補で、まだ適用されていません。 この中から、実際に適用したいブラックリストを選択し、右向き矢印を押します。選択したブラックリスト名が、右欄に移ります。
右欄に移ったブラックリストが適用されます。 これで、ブラックリストの設定は終わりです。

(図7)左欄の特定のブラックリスト を選んでから、「エクスポート」ボタンを押すと、当該アプリリストを、コンソールPCにダウンロード保存できます。 これは、拡張子 .CER 形式のファイルですが、メモ帳などで開けます。これを、メモ帳などで、編集し、(図6)の「ファイルをインポート」で、再度、新しいアプリリストを登録することができます。

(図7)左欄の特定のブラックリストを選んでから、「削除」ボタンを押すと、当該アプリリストは、候補リストから削除されます。

(図7)の左欄に、アプリのホワイトリストが、リストアップされていることがあります。 これを選択して、右欄に移しても、Android Enterprise端末では有効になりません。
Android Plus の構成プロファイルでは、アプリのホワイトリストの登録が可能です。 そうして登録したホワイトリストも、(図7)の左欄に表示されています。間違えないようにお願いします。

(図7)で、「OK」ボタンを押すと、構成プロファイルの作成は、完了です。
構成プロファイルの作成が終わると、これを対象とする端末グループやAD(Active Directory)の グループに割り当てます。そして、それを当該グループの端末に配布し、インストールします。詳しくは、 「Android Enterpriseの構成プロファイルの作成」 のページの「E. 構成プロファイルの端末グループへの割り当て」以下を参照ください。

D. 考慮が必要なアプリ

  • 「設定」アプリ = com.android.settings
    「設定」をブラックリストに登録すると、端末ユーザが、端末機能を任意に変更することを防止できます。 WiFi、VPN、メルアドアカウントなどの機能設定です。コンソールで設定した通りの挙動になります。

    しかしながら、「設定」をブラックリストに登録すると、正常に動作しないアプリがありえます。 これらのアプリは、「設定」アプリがバックグラウンドで起動することを必要としているからです。この場合は、下記の2つの方法のどちらかを実施ください。

    • 方法1: スクリプトを送る
      • 次の2行のスクリプトコマンドを、端末に送ります。
        manualblacklist on
        manualblacklist add com.android.settings

        これを送ると、のアイコンをタップしても、「設定」の画面は開かなくなります。但し、他のアプリの要請によって、「設定」はバックグラウンドでは起動します。

        スクリプトの送信方法は、「Android端末へスクリプトを送って操作」を参照ください。
      • 「設定」の画面を再び開けるようにするには、次のスクリプトを送ります。
        manualblacklist remove com.android.settings
        manualblacklist off

        これを送ると、のアイコンをタップすれば、 「設定」画面が再び開けるようになります。
    • 方法2:ランチャーを作成する

      (図9) 

      ランチャーを作成し、そのランチャーにも、「設定」アプリを登録しておきます。
      但し、端末画面には、アイコンを表示しないようにします。 その方法は、「設定」アプリを登録するが、そのアイコンをランチャーには表示させない」を参照ください。
      その場合、バックグラウンドでなら、「設定」アプリは起動します。
  • 設定マネージャー =net.soti.settingsmanager
    「設定」アプリの替わりに、「設定マネージャー」 をインストールすることをお勧めします。これは、「設定」アプリの機能限定版アプリです。

    端末での機能変更項目を、「画面の明るさ」「画面の回転」「WiFiのON/OFF」「サウンドボリュームの強弱」「BluetoothのON/OFF」 などに、限定できます。設定可能項目は、構成プロファイルの設定マネージャー にて制限できます。 設定マネージャー のAPKファイルは、SOTI Downloadのページ (https://docs.soti.net/soti-mobicontrol/downloads/) から、ダウンロードします。そして、パッケージに挿入して端末に配布します。設定マネージャーの構成プロファイルを配布しないと、有効になりません。
  • Google Play =com.android.vending
    Android Enterprise Device Owner Modeの端末では、Google Playのアイコンをブラックリストに登録しません。
    • Android Enterprise Device Owner Modeの端末から、Google Playにアクセスしても、端末ユーザは、任意のアプリを検索できません。ダウンロードもできません。
    • Android Enterprise Device Owner Modeの端末から、ダウンロードできるアプリは、貴社の管理者用Googleアカウント保有者が承認したアプリだけです。
    • アプリカタログルールで、「必須」を指定しておくと、Google Playのアプリは、原則的にサイレント・インストールされます。端末ユーザの操作無くしてインストールされます。
    • アプリカタログルールで、「推奨」をしておくと、サイレント・インストールはされません。
      端末で、をタップし、開いたインデックスで、アプリカタログのページを開きます。 その中から、該当アプリの名前をタップすると、端末は、Google Playにアクセスします。 Google Playのアプリが起動し「インストール」ボタンが表示されたページを表示します。
  • Chrome = com.android.chrome
    Chromeは、ブラックリストに登録できません
    それでも、ブラウザとして、SOTI Surfを使うとして、Chromeを起動禁止したいときがあります。 その際は、スクリプトを送信します。
    詳しくは、「Chromeを起動させない」を参照ください。 Chromeのアイコンは表示されますが、タップしてもフォアグラウンドでは起動しません。
    しかし、バックグラウンドでは起動します。 Chromeがバックグラウンドで起動することを必要とするアプリがあるからです。

E. 管理者モード: 禁止アプリを一時的に許可する

ブラックリストの構成プロファイルを適用することで、アプリの起動を禁止したが、再びアプリの起動を許可したい場合があります。 恒久的には、その構成プロファイルを失効または廃棄すればよいのですが、一時的に、アプリの起動を許可したい場合があります。
それには、端末を管理者モードにします。管理者モードにするには、3つの方法があります。
  1. コンソールから該当端末に対しスクリプトを送信する
    管理者モードにする _adminmode on
    管理者モードから撤退 _adminmode off
    _ (アンダーバーが必要)
  2. 端末のロック解除をするときのパスワードに、管理者パスワードを入力する
  3. MobiControlエージェントを起動して、「Agent Mode」を長押し。
    詳しくは、「A-2. 端末エージェントの操作」を参照ください

F. Android Enterpriseのアプリは、デフォルトではホワイトリスト

Android Enterprise Device Owner Modeは、端末を初期化することでセットアップをします。
上記 D.項で前述したように、端末では、Google Playから任意のアプリをダウンロードできません。
また、端末の機能制限で、「不明なソースからのアプリをインストール禁止」を設定しておくと、Google Play以外のダウンロードサイトからのアプリをインストールできません。

(図9) 

(図10)
(図9)のように設定した構成プロファイルを端末に送ると、Android Enterprise Device Owner Modeの端末にインストールされているアプリは、基本的に、管理者用Googleアカウント保有者が認めたアプリだけとなります。

(図10)のように、実態上、ホワイトリストとみなしてよいアプリだけとなります。

(図10)のDは、Google Play以外をソースとするアプリ群です。 主に、貴社内部で開発し、外部へは非公開とするアプリが、Dに相当します。 詳しくは、「パッケージ・プロジェクトの作成からビルドまで」を参照ください。

(図10)のBのアプリ群は、 Android Enterpriseの仕様で、アイコンが未表示となったアプリです。アンインストールはされていません。
これらののアプリ群は、 スクリプトコマンドを端末または端末グループに送ることで、復活表示できます。 詳しくは、「初期化で消えたアプリの再表示、または再インストール」を参照ください。