Device Owner Mode

MobiControl v14 Manual


Android Enterprise Device Owner Modeとして設定する端末は、工場出荷状態 または、端末を初期化してからセットアップします。
Android端末を、Android Enterprise Device Owner Modeで設定し、MobiControlサーバに登録するには、4種類のセットアップ方式があります。
NFC方式多くの台数を短時間で設定するのに向いています
QRコード方式
ZTE方式
EMMトークン入力方式少ない台数を設定するのに向いています
NFC方式とQRコード方式では、MobiControl Stage ProgrammerというアプリをインストールしたProgrammner端末を最初に設定します。
登録に当たっては、登録ID又は、登録用サーバアドレスが必要です。登録ID及び登録用サーバアドレスは、端末登録ルールを作成すると生成されます。
閉域網内にある端末を、MobiControlに登録し、Android Enterpriseモードで設定しようとするときは、登録IDの替わりに、 サーバアドレスを入力します。Private DNSサーバがあれば、Private URL、またはPrivate IP Addressを、Programmer端末(親機)に入力します。
NFC方式で登録します。 その方法の詳細は、弊社(ペネトレイト・オブ・リミット株式会社)に、お問い合わせください。
閉域網内にある端末とは、閉域SIMを搭載した端末や、インターネットに接続してないWiFiに接続している端末を指します。

A. Progammner端末

(図1)

NFC方式とQRコード方式の場合、セットアップの前に、Progammner端末を作成します。
Android端末に、MobiControl Stage Programmerというアプリをインストールすると、Progammner端末(親機)になります。 MobiControlに登録していない端末でも、Android端末なら、Progammner端末になれます。稀に、同一メーカーの端末で ないと、NFC通信ができない場合があります。
MobiControl Stage Programmerには、設定する端末が接続できるWiFiのSSID及びそのパスワード、並びに登録IDまたは登録用サーバアドレスを入力します。
Progammner端末から、設定する端末に、QRコードまたはNFC通信で、これらの情報を伝達します。 後は、プロンプトに反応するだけで、端末のセットアップが完了します。そして、MobiControl Stage Programmerに入力した登録IDまたは サーバアドレスに紐づけされている端末グループに登録されます。
異なる端末グループに登録する端末に対しては、Progammner端末のMobiControl Stage Programmerの登録IDまたはサーバアドレスを変更して、 同じくQRコードまたはNFC通信で伝達します。

MobiControl Stage Programmerの入手とインストールの方法は、次の通りです。
  1. Android端末で、Playストアにアクセスし、「検索欄」にsotiの4文字を入力しアプリを検索します。
  2. 現れる候補アプリの中から、 「MobiControl Stage Programmer」という名前のアプリを探します。
  3. 「インストール」をタップすると、ダウンロードされます。
  4. 「開く」をタップすると、インストールが完了します。

B. MobiControl Stage Programmer

(図2)と(図3)が、MobiControl Stage Programmerの画面です。
(図2)

(図3)
  • 対象端末をキッティングする場所のSSIDを入力します。
    Security Typeをプルダウンして、NONE、WEPまたは WPAを選択します。WEPまたは WPAを選択をするとパスワードの欄が現れるので SSIDに対するパスワードを入力します。
  • スクロールして(図3)を表示します。

  • Localeで、対象端末に表示する言語を選択します。
  • 「Enrollment Server Address or ID」で、登録ID又は登録用サーバアドレスを入力します。
    登録IDは、登録用サーバアドレスは、端末登録ルールを作成すると生成されます。
    閉域ネットワーク内の端末を登録する場合の登録用サーバアドレスは、Private IP Address形式になります。
  • NFC方式を採用する場合は、下辺の「NFC」をタップします。
  • QRコード方式を採用する場合は、下辺の「QR CODE」をタップすると、QRコードが現れます。

以下のC.項、D.項、のどれかをクリックし、説明を開いてください。
再度クリックすると説明が閉じます。
説明を開いた状態
説明を閉じた状態

C. NFC方式によるセットアップ

  • C-1.

    C-2.

    工場出荷、または初期化後の最初の画面
    Progammner端末と設定対象端末の背中を合わせます。

    設定対象端末はC-1の状態、つまり、「ようこそ」の画面。

    Progammner端末のMobiControl Stage Programmerの画面の下辺の 「NFC」をタップ。

    1、2秒でピッという音がするので、それでデータ伝送完了。対象端末はWiFi情報や、登録IDなどを受信します。

    (MobiControl Stage Programmerについては、上述したB.項を参照ください。)
    受信が終わると、次に、C-3の画面が現れます。

    C-3.

    C-4.

    C-5.

    「同意して続行」をタップ傍観アクティベーション完了。電話などの機能は利用できる状態。「アプリ」(赤矢印)のアイコンをタップ。

    C-6.

    C-7.

    C-8.

    MobiControlへの登録を開始します。MobiControlのアイコンをタップ。アイコンが見当たらないときは左スライドすると現れます。 待機します。5、6分間待つことがあります。
    MobiControlサーバはGoogleと折衝し、この端末に対するGoogleアカウントの発行を待ち、そのアカウントを端末に埋め込む作業をします。
    MobiControlエージェントの画面が現れる。MobiControlへの登録完了。


D. QRコード方式 によるセットアップ

  • QRコード方式では、2台目の端末のOSは、Android7.0以上が必要です。

    D-1.

    D-2.

    D-3.

    工場出荷、または初期化後の最初の画面。
    文字や画像が無い部分(例えば、赤枠の部分)の同じ個所を6回タップしてから、「開始する」をタップ。
    端末が受信したWiFiのSSIDを表示します。これらのSSIDから一つをタップし、SSIDに対応するパスワードを入力します。
    「接続しています。これには1-2分かかることがあります」という表示がされます。
    「コピーしない」を選択します。
    続けて、下辺の「次へ」をタップ。

    D-4.

    D-5.

    D-6.

    QRコードスキャナーのアプリがダウンロード/インストールされるので、Progammner端末のQRコードをスキャンします。 「同意して続行」をタップ傍観

    D-7.

    D-8.

    D-9.

    アクティベーション完了。電話などの機能は利用できる状態。「アプリ」(赤矢印)のアイコンをタップ。 MobiControlへの登録を開始します。MobiControlのアイコンをタップ。アイコンが見当たらないときは左スライドすると現れます。 待機します。5、6分間待つことがあります。
    MobiControlサーバはGoogleと折衝し、この端末に対するGoogleアカウントの発行を待ち、そのアカウントを端末に埋め込む作業をします。

    D-10.

    D-11.

    MobiControlエージェントの画面が現れる。MobiControlへの登録完了。 D-10の画面の「端末のステータス」をタップすると、この画面が現れます。

E. プラグインをインストール

Android Enterpriseでは端末画面の変化を、コンソールに表示することができますが、リモート画面操作を可能にするにはプラグインの インストールが必要です。
プラグインは、端末メーカー毎に異なるソフトウェアです。
これから展開しようとする端末モデルに対して、プラグインが用意されているかどうかは、 「 Android Enterpriseのプラグインがあるかどうか」を参照ください。
このプラグインを対象端末に一斉に配布しインストールする方法は、 「Android端末へのプラグインのインストール」を参照してください。

F. 本人認証

上記ののセットアップ方法の記述は、本人認証を省いた場合です。端末登録ルールで、登録パスワードの入力または、 AD_DS(Active Directory Domain Service)、AD_FS(Active Directory Federation Service) 若しくは Azure ADによる本人認証を必要と設定すれば、それに対応する画面が表示されます。詳しくは、 本人認証を参照ください。

G. MobiControlエージェントがバックグラウンドで作動し続けるように設定

Android端末のMobiControlエージェントは常時作動させ、MobiControlサーバとの接続を維持する必要があります。他のアプリがフォアグラウンドで作動していても、 また、端末がスリープ状態になっても、エージェントは、バックグラウンドで作動し、接続を維持しなければなりません。
Android端末が、MobiControlサーバと接続していると、 コンソールの端末一覧画面での端末アイコンは、 と緑色 になりますし、またそうなっていなければなりません。Android端末のアイコンが とグレイに なっている端末は、「端末接続時間帯」の設定により接続時間帯を制限してある場合を除き、運用上望ましくない状態です
Android6.x、 7.xの端末では、スリープ状態になると、殆どのバックグラウンド・アプリの動作は停止します。 しかし、端末がスリープ状態になっても、MobiControlエージェントが、バックグラウンドで作動を継続するようにします。
その方法は、「常にサーバとの接続を維持」のページを参照ください。

H. 購入時のアプリのアイコンの再表示、またはアプリの再インストール

Android Enterprise Device Owner Modeは、端末を初期化することでセットアップをします。そしてOSレベルのチューンアップを経て、MobiControlに登録されます。 その際、 端末購入時にインストールされていたアプリのアイコンの多くが画面に表示されなくなります。 これらのアプリを復元する方法を説明します。
端末購入時にインストールされたアプリは、2種類のアプリに分類されます。

復元方法
1.システム・アプリ対象端末グループに対し、スクリプトコマンドを送る
2.システム・アプリ
以外のアプリ
該当アプリのAPKファイルを入手し、パッケージ化して、対象端末グループにプッシュ配信する

H-1. システムアプリのアイコンの再表示

Android Enterprise Device Owner Modeとして設定しても、システムアプリは、アンインストールされてはいません。単にアプリアイコンが表示されなくなっただけです。 そこで、アイコンをホーム画面に復活表示するために、次のスクリプトコマンドを端末グループに送ります。
enable_system_app <アプリのバンドルID>
例えば、
enable_system_app com.android.chrome
enable_system_app com.android.camera2
enable_system_app com.google.android.calendar
enable_system_app com.google.android.apps.photos
enable_system_app com.google.android.apps.maps
enable_system_app com.asus.calculator
enable_system_app com.kddi.android.mamoru
enable_system_app jp.kyocera.camera

 

逆に、復活表示したアプリのアイコンを隠すには、次のようなスクリプトコマンドを端末グループに送ります。
appcontrol -b "Notify=0;Mode=3;PRC0=`<アプリのバンドルID>`"
例えば、
appcontrol -b "Notify=0;Mode=3;PRC0=`com.android.chrome`"
appcontrol -b "Notify=0;Mode=3;PRC0=`com.android.camera2`"
appcontrol -b "Notify=0;Mode=3;PRC0=`com.google.android.calendar`"
appcontrol -b "Notify=0;Mode=3;PRC0=`com.google.android.apps.maps`"
appcontrol -b "Notify=0;Mode=3;PRC0=`com.android.contacts`"


スクリプトの送信方法に関しては、「Android端末へスクリプトを送って操作」のページを参照ください。

 

アプリのバンドルIDを知る方法は、幾つかあります。 その一つは、該当の端末を、暫定的にAndroid Enterprise Profile Owner Modeで登録してみることです。 コンソール画面で当該端末の名前をクリックし、「アプリ」タブを開きます。

(図4)

そうすると、当該端末に現在インストールされているアプリの一覧表が表示されます。アプリ名とそのバンドルIDが表示されます。 そのバンドルIDをメモしておき、スクリプト構文に入力します。
インストール済のアプリのバンドルIDを表示するサード・パーティのアプリも、Google Playで公開されています。例えば、「QuickShortcutMaker」です。 これをインストールすると、その端末にインストールされているアプリのバンドルIDを表示することができます。

 

アプリが、システムアプリか否かの指定は、当該端末のメーカーや携帯電話会社によって、異なります。

H-2. システムアプリ以外のアプリの再インストール

H-1.の方法では、システムアプリでないアプリのアイコンの再表示はできません。
この場合は、該当端末からアプリのAPKファイルのコピーを抽出し、それを、MobiControl Package Studioを使って、パッケージ化して 端末グループに向けてプッシュ配信し、サイレント・インストールします。
端末からアプリのAPKファイルのコピーを取得するアプリには、「APK Extractor」があります。Google Playからダウンロードできます。APKファイルのコピーを SDカードに抽出します。「APK Extractor」の操作とその結果は、当社のサポート範囲外となります。

I. 4つのセットアップ方式

C.項で「NFC方式」、D.項で「QRコード方式」の端末セットアップ手順を説明しました。
Android Enterprise Device Owner Modeの端末セットアップ手順には、この他に、 「ZTE (Zero Touch Enrollment)方式」と「EMMトークン入力方式」があります。
各方式と文字入力作業の関係は下表の通り。

WiFi SSIDに対する
パスワード
登録IDafw#mobicontrol
NFC方式入力不要入力不要入力不要
QRコード方式入力必要入力不要入力不要
ZTE方式入力必要入力必要入力不要
EMMトークン入力方式入力必要入力必要入力必要
端末での主な操作内容注 釈
NFC方式 最初の「こんにちは」の画面で、Progammner端末と背中合わせ。Progammner端末で、「NFC」ボタンをタップすると、 設定情報が、NFC経由で伝達。
その他は、プロンプトに応じてタップするだけ。
端末で入力する作業が全くない。 Progammner端末のメーカーと機種によっては、他メーカーの端末とNFC通信に失敗する場合がある。
QRコード方式
  1. 最初の「こんにちは」画面の空白部を、
    6回タップをしてから「開始する」をタップ
  2. WiFi情報(SSIDとパスワード)を入力
  3. QRコードスキャンアプリがダウンロードインストールされるので それを開き、Progammner端末が表示するQRコードをスキャン
その他は、プロンプトに応じてタップするだけ。
対象端末のOSバージョンは、Android7.0以上が必要。
ZTE
(Zero Touch Enrollment)
  1. WiFi情報(SSIDに対するパスワード)を入力
  2. 登録IDを入力
その他は、プロンプトに応じてタップするだけ。
ZTEに対応しているメーカーの端末に適用。「MobiControlにZTE対応」と指定して、端末を購入する。
EMMトークン入力方式
  1. WiFi情報(SSIDに対するパスワード)を入力
  2. Googleアカウント入力画面で、afw#mobicontrol の15文字を入力
  3. 登録IDを入力
その他は、プロンプトに応じてタップするだけ。
Android6.0以降の製品で対応

J. ZTE方式でのセットアップ

  • J-1.

    J-2.

    J-3.

    工場出荷、または初期化後の最初の画面。「開始する」をタップ。 端末が受信したWiFiのSSIDを表示します。これらのSSIDから一つをタップし、SSIDに対応するパスワードを入力します。
    「接続しています。これには1-2分かかることがあります」という表示がされます。
    「コピーしない」を選択。続けて、下辺の「次へ」をタップ。

    J-4.

    J-5.

    同意して続行をタップ傍観

    J-6.

    J-7.

    J-8.

    アクティベーション完了。電話などは利用可能。「アプリ」アイコンをタップ。 MobiControlへの登録を開始します。MobiControlのアイコンをタップ。アイコンが見当たらないときは左スライドすると現れます。 登録IDの入力。

    J-9.

    J-10.

    J-11.

    端末登録ルールが生成した登録IDを入力。 待機します。5、6分間待つことがあります。
    MobiControlサーバはGoogleと折衝し、この端末に対するGoogleアカウントの発行を待ち、そのアカウントを端末に埋め込む作業をします。
    MobiControlへの登録完了。MobiControlエージェントの画面が現れます。


K. EMMトークン入力方式でのセットアップ


  • EMMトークン入力方式では、端末内メモリーを暗号化するプロセスがあります。そして、バッテリ容量が80%以上ないと、暗号化のプロセスを実行しません。 セットアップの前には80%以上の充電をしておいてください。 USBケーブルで電源につないでおいてからセットアップをします。

    K-1.

    K-2.

    K-3.

    工場出荷、または初期化後の最初の画面。「開始する」をタップ。 端末が受信したWiFiのSSIDを表示します。これらのSSIDから一つをタップし、SSIDに対応するパスワードを入力します。
    「接続しています。これには1-2分かかることがあります」という表示がされます。
    「コピーしない」を選択。続けて、下辺の「次へ」をタップ。

    K-4.

    K-5.

    Googleアカウントの入力画面 「メールアドレスまたは電話番号」の欄に、afw#mobicontrolの15文字を入力します。

    K-6.

    K-7.

    K-8.

    Googleのサービスの紹介。下辺の下向き矢印を押し、下辺で「次へ」をタップ 「インストール」をタップ 「インストール」をタップ

    K-9.

    K-10.

    MobiControlエージェントのダウンロード開始 傍観

    K-11.

    K-12.

    下辺の「暗号化」をタップ 端末を充電器に接続し、バッテリ容量が80%を越えるまで待つ。

    K-13.

    K-14.

    バッテリ容量が80%以上になると、下辺に「携帯電話を暗号化」の 文字列が現われるので、これをタップ。画面上の文章では、「1時間以上かかる」と書いてありますが、普通は数分程度しかかかりません。 留意説明が現われる。下辺の「携帯電話を暗号化」をタップ。

    K-15.

    K-16.

    暗号化が終わると、再起動され、「初期設定」画面が再表示されます。「開始する」をタップ。 端末は、会社または団体のIT部門によって管理されることの宣言。「セットアップ」をタップ。

    K-17.

    K-18.

    会社または団体が、この端末を管理することの一般的説明。「OK」をタップ。 端末の所有者(企業または団体)の情報を、端末に埋め込んでいます。

    K-19.

    K-20.

    K-21.

    初期設定(アクティベーション)の完了。ホーム画面。この段階で、電話など基本機能は利用できる。 続けて、MobiControlへの登録を行う。「アプリ」アイコンをタップ。 現時点で、インストールされているアプリのアイコンが表示される。MobiControlアイコンをタップ。アイコンが見当たらないときは左スライドすると現れます 登録IDの入力。

    K-22.

    K-23.

    K-24.

    端末登録ルールが生成した登録IDを入力。 傍観 待機します。5、6分間待つことがあります。
    MobiControlサーバはGoogleと折衝し、この端末に対するGoogleアカウントの発行を待ち、そのアカウントを端末に埋め込む作業をします。

    K-25.

    K-26.

    MobiControlへの登録完了。Mobicontrolの画面が表示されます。 K-25の画面の「端末のステータス」をタップすると、この画面が現れます。

L. MobiControlエージェントの自動アップデート

MobiControlエージェントのバージョンアップがあれば、それを端末にダウンロードさせ、自動的にアップデートさせるようにします。 その設定方法は、次の通りです。
  • L-1. 管理対象Google Playの"MobiControl Android Enterprise" を、 アプリカタログ・ルールに登録します。
    アプリカタログ・ルール」のページの「管理対象Google Playアプリ」のセクションを参照ください。
    「配信オプション」を「推奨」でなく、「必須」に設定しておきます。
  • L-2. 構成プロファイルで、managed Google Playのアプリの自動更新を設定します。
    managed Google Playのアプリの更新諾否」のページを参照して、(図5)を表示します。

(図5)

(図5)で、「常にアップデート」または「WiFiだけでアップデート」を選択します。「常にアップデート」を選択すると、 携帯電話回線経由でインターネットに接続中でも、ダウンロードをします。
この構成プロファイルを、上位の端末グループに配布しておきます。

閉域網の端末に向けては、最新のMobiControlエージェントを、パッケージ化して、配布し、サイレントインストールをします。
PCのブラウザでsoti.net/oemにアクセスすると、(図6)が表示されます。

(図6)

(図6)の左側、「Android Enterprise Agent and Plugins」をクリックすると、Android Enterprise向けのMobiControlエージェントを入手できます。 これをパッケージ化して配布します。

M. Active DirectoryのユーザIDの入力

(図7)は、端末登録ルールの作成プロセスに現れる画面の一つです。 通常は、を選択します。

(図7)

端末登録ルールの作成プロセス(図7)で、を選択して生成した登録IDを入力して、端末セットアップをすると、右の(図8)が表示されます。
Android Enterprise Device Owner Modeの4つの設定方式のいずれのプロセスでも、(図8)が表示されます。
を選択して作成した端末登録ルールの登録IDを入力した場合、(図8)は表示されません。
(図8)で、端末ユーザのActive DirectoryのユーザID(UPN=User Principal Name メールアドレス型式のID) を入力し、更にそのパスワードを入力します。

(図7)は、一般のGoogle Playストアからアプリを選抜して、managed Google Playストアに掲出するGoogle管理者アカウントを指定する画面です。

(図7)で、だけでなく、 を選択した場合でも、端末は、managed Google Playストアからアプリをダウンロードできます。

(図7)で、の各々を選択した場合のGoogleアカウントを説明します。
(図8)

一般のGoogle Playストアからアプリを選抜して、managed Google Playストアに掲出するGoogle管理者アカウント
managed Google アカウント
このアカウントの取得方法は、 「G. Suiteアカウントの作成とGoogleとのバインド」のページを参照ください。
managed Google Play アカウント
このアカウントの取得方法は、「managed Google Playアカウントの作成」のページを参照ください。
その取得の際、代表する組織名を登録します。(図7)の赤矢印部分をクリックすると、その組織名リストが表示されます。 一つの企業/団体で、複数の組織名を登録することができ、その各々に端末登録ルールを作成します。
Google管理者アカウントを指定しない。この場合、端末は、managed Google Playストアにアクセスできません。替わりに、コンソール管理者がアプリ(APKファイル)をダウンロードし、 パッケージスタジオを使ってパッケージ化します。そしてそれを端末にプッシュ配布します。アプリがサイレントインストールされます。
この方式は、端末がインターネットから遮断された閉域ネットワークにある時に採用します。

端末からmanaged Google Playストアにアクセスする場合のGoogleアカウント
Active DirectoryのユーザID(UPN)
セットアップの際に生成されるGoogleアカウント。managed Google Playストアにアクセスするときのみに使用されるアカウント。 アカウントIDは、端末内に埋め込まれるが、画面には表示されない。
無し

Device Owner Modeの端末には、一般のGoogle Playのアイコンは表示されません。替わりにmanaged Google Playのアイコンが表示されます。
managed Google Play Storeのアイコン

カバンが付いています。
一般のGoogle Play Storeのアイコン
managed Google Accountによる、managed Google Playストアの端末ユーザへの展開の ためには、次のような事前準備が必要です。
  • AD_DSをGCDSツールを使って、Googleのアカウントデータベースと連動させる
  • GoogleからEMMトークンを取得し、MobiControlサーバに入力してバインド
  • G.Suiteアカウントまたは、managed Googleアカウントを取得
詳しくは、「G. Suiteアカウントの作成とGoogleとのバインド」のページを参照ください。