Enterprise Device Owner Mode

MobiControl v14 Manual


Android Enterprise Device Owner Modeとして設定する端末は、工場出荷状態 または、端末を初期化してからセットアップします。
Android端末を、Android Enterprise Device Owner Modeで設定し、MobiControlサーバに登録するには、4種類のセットアップ方式があります。
a.EMMトークン入力方式少ない台数を設定するのに向いています
b.NFC方式多くの台数を短時間で設定するのに向いています
c.QRコード方式
d.ZTE方式
a. と d. では、そのセットアッププロセスで、「登録ID」または「登録用URL(サーバアドレスとサブディレクトリ)」を入力します。 「登録ID」および「登録用URL」は、端末登録ルールの設定内容一覧に表示されています。
下記のをクリックください。
説明を開いた状態
説明を閉じた状態

A. EMMトークン入力方式でのセットアップ

EMMトークン入力方式での設定プロセスのキーポイントは、次の2つです。
  1. Googleアカウント入力画面の「メールアドレスまたは電話番号」欄に、afw#mobicontrolと入力。
  2. MobiControlエージェントが起動し、「登録ID」または「登録用URL」の入力画面が現れます。 「登録ID」または「登録用URL」を入力します。
  • 端末モデルに依っては、セットアップに当たってはバッテリ容量が80%以上で、且つ、充電ケーブルの接続が、必要です。
    端末モデルに依って、現れる画面の順序が若干変わります。下記の画面群にない画面が現れることもあります

    基本的な入力項目は、次の3つです。
    1. WiFiパスワード
      (但し、インターネット接続をケータイ回線経由で行う場合は不要)
    2. afw#mobicontrol
      この文字列が、EMMトークンです。
    3. 登録ID
      登録ID入力により、アクセスするサーバアドレス、及び適用されるMobiControlの端末登録ルールを、端末に指示します。

    A-1.

    A-2.

    工場出荷時、または初期化後の最初の画面。「始める」をタップ。 「新規としてセットアップ」を選択

    (この画面は、端末メーカーに依っては、A-3 A-4 のWiFiのパスワード入力後に現れることがあります)

    A-3.

    A-4.

    端末が受信したWiFiのSSIDを表示します。これらのSSIDから一つをタップ。 SSIDに対するパスワードを入力します

    A-5.

    A-6.

    傍観します。
    Googleの認証サービスにアクセスしつつあります。
    Googleアカウント入力画面が表示されます

    A-7.

    A-8.

    Android Enterpriseモードとしてセットアップするには、afw#mobicontrol と入力します。入力後、 「次へ」をタップ。 機種に依り表示されないことがあります
    「Googleドライブへのバックアップ」をオフにします

    A-9.

    A-10.

    機種に依り表示されないことがあります
    「次へ」をタップ
    「次へ」をタップ

    A-11.

    A-12.

    傍観します 「インストール」をタップ

    A-13.

    A-14.

    傍観します Android8以上では表示されません
    「暗号化」をタップ

    A-15.

    A-16.

    Android8以上では表示されません
    「スマートフォンを暗号化」をタップします。この後、端末は再起動を行い、内部メモリの暗号化を行ないます。暗号化が終わると、再度、再起動を行います。
    「同意します」をタップ。「OK」をタップ。

    A-17.

    A-18.

    MobiControlエージェントが起動しました。
    端末モデルに依っては、 MobiControlのアイコンをタップしないと 表示されない場合もあります。
    登録IDを入力します。登録IDは、端末登録ルールの設定内容一覧に表示されています。 入力後に「登録」ボタンを押します。
    登録IDの入力を、「QRコード読み取り」で代行することもできます。

    A-19.

    A-20.

    MobiControlサーバにアクセスしています 数分間待機します。10分以上かかる場合もあります。
    MobiControlサーバがGoogleと交渉し、この端末用のGoogleアカウントを取得しているプロセスです。

    A-21.

    A-22.

    登録完了。エージェントのメニュー画面。 左のA-21の「端末のステータス」をタップすると現れる画面。端末(MobiControlエージェント)が、「接続済」のステータスです。

B. Progammner端末

NFC方式とQRコード方式なら、簡単に、セットアップできます。大量の端末をセットアップする場合に向いています。

セットアップの前に、まず、Progammner端末を作成します。Programmer端末は親機とも呼びます。

Android端末に、MobiControl Stage Programmerというアプリをインストールすると、これがProgammner端末になります。 MobiControlに登録していない端末でも、Android端末なら、Progammner端末になれます。稀に、同一メーカーの端末で ないと、NFC通信ができない場合があります。

MobiControl Stage Programmerには、セットアップする端末が接続できるWiFiのSSID及びそのパスワード、並びに登録IDまたは登録用URLを入力します。
Progammner端末は、これらの情報を、セットアップする端末に、QRコードまたはNFC通信で伝達します。

(図1)

MobiControl Stage Programmerの入手とインストールの方法は、次の通りです。
  1. Android端末で、Playストアにアクセスし、「検索欄」にsotiの4文字を入力しアプリを検索します。
  2. 現れる候補アプリの中から、 「MobiControl Stage Programmer」という名前のアプリを探します。
  3. 「インストール」をタップすると、ダウンロードされます。
  4. 「開く」をタップすると、インストールが完了します。

C. MobiControl Stage Programmer

(図2)と(図3)が、MobiControl Stage Programmerの画面です。
(図2)

(図3)
  • 対象端末をキッティングする場所のSSIDを入力します。
    Security Typeをプルダウンして、NONE、WEPまたは WPAを選択します。WEPまたは WPAを選択をするとパスワードの欄が現れるので SSIDに対するパスワードを入力します。
  • スクロールして(図3)を表示します。

  • Localeで、対象端末に表示する言語を選択します。
  • 「Enrollment Server Address or ID」で、登録ID又は登録用サーバアドレス(登録用URL)を入力します。
    登録IDと登録用サーバアドレス(登録用URL)は、端末登録ルールの設定内容一覧に表示されています。
  • NFC方式を採用する場合は、下辺の「NFC」をタップします。
  • QRコード方式を採用する場合は、下辺の「QR CODE」をタップすると、QRコードが現れます。

D. NFC方式によるセットアップ

Programmer端末と背中合わせ。Programmer端末で、「NFC」ボタンをタップ。
あとは、現れるMobiControlアイコンをタップするだけで、セットアップ完了。
  • D-1.

    D-2.

    工場出荷、または初期化後の最初の画面
    Progammner端末と設定対象端末の背中を合わせます。

    設定対象端末はC-1の状態、つまり、「ようこそ」の画面。

    Progammner端末のMobiControl Stage Programmerの画面の下辺の 「NFC」をタップ。

    1、2秒でピッという音がするので、それでデータ伝送完了。対象端末はWiFi情報や、登録IDなどを受信します。
    ピッという音がしない場合、設定対象端末の機種がNFCに対応してない場合があります。

    (MobiControl Stage Programmerについては、上述したB.項を参照ください。)
    受信が終わると、次に、C-3の画面が現れます。

    D-3.

    D-4.

    D-5.

    「同意して続行」をタップ傍観アクティベーション完了。電話などの機能は利用できる状態。「アプリ」(赤矢印)のアイコンをタップ。

    D-6.

    D-7.

    D-8.

    MobiControlへの登録を開始します。MobiControlのアイコンをタップ。アイコンが見当たらないときは左スライドすると現れます。 待機します。5、6分間待つことがあります。
    MobiControlサーバはGoogleと折衝し、この端末に対するGoogleアカウントの発行を待ち、そのアカウントを端末に埋め込む作業をします。
    MobiControlエージェントの画面が現れる。MobiControlへの登録完了。

E. QRコード方式 によるセットアップ

  1. 最初の「こんにちは」画面で、空白部を6回タップ
  2. WiFi情報(SSIDとパスワード)を入力
  3. QRコード読み取り画面が現れるので、Progammner端末が表示するQRコードをスキャン
  4. そのまま待機していると、セットアップ完了
  • QRコード方式でセットアップする端末のOSバージョンは、Android7.0以上が必要です。

    E-1.

    E-2.

    E-3.

    工場出荷、または初期化後の最初の画面。
    文字や画像が無い部分(例えば、赤枠の部分)の同じ個所を6回タップしてから、「開始する」をタップ。
    端末が受信したWiFiのSSIDを表示します。これらのSSIDから一つをタップし、SSIDに対応するパスワードを入力します。
    「接続しています。これには1-2分かかることがあります」という表示がされます。
    「コピーしない」を選択します。
    続けて、下辺の「次へ」をタップ。

    E-4.

    E-5.

    E-6.

    QRコードスキャナーのアプリがダウンロード/インストールされるので、Progammner端末のQRコードをスキャンします。 「同意して続行」をタップ傍観

    E-7.

    E-8.

    E-9.

    アクティベーション完了。電話などの機能は利用できる状態。「アプリ」(赤矢印)のアイコンをタップ。 MobiControlへの登録を開始します。MobiControlのアイコンをタップ。アイコンが見当たらないときは左スライドすると現れます。 待機します。5、6分間待つことがあります。
    MobiControlサーバはGoogleと折衝し、この端末に対するGoogleアカウントの発行を待ち、そのアカウントを端末に埋め込む作業をします。

    E-10.

    E-11.

    MobiControlエージェントの画面が現れる。MobiControlへの登録完了。 D-10の画面の「端末のステータス」をタップすると、この画面が現れます。

F. 4つのセットアップ方式の比較

4つのセットアップ方式と文字入力作業の関係は下表の通りです。

WiFi SSIDに対する
パスワード
登録IDafw#mobicontrol
NFC方式入力不要入力不要入力不要
QRコード方式入力必要入力不要入力不要
ZTE方式入力必要入力必要入力不要
EMMトークン入力方式入力必要入力必要入力必要
端末での主な操作内容注 釈
NFC方式 最初の「こんにちは」の画面で、Progammner端末と背中合わせ。Progammner端末で、「NFC」ボタンをタップすると、 設定情報が、NFC経由で伝達。
その他は、プロンプトに応じてタップするだけ。
端末で入力する作業が全くない。 Progammner端末のメーカーと機種によっては、他メーカーの端末とNFC通信に失敗する場合がある。
QRコード方式
  1. 最初の「こんにちは」画面の空白部を、
    6回タップをしてから「開始する」をタップ
  2. WiFi情報(SSIDとパスワード)を入力
  3. QRコードスキャンアプリがダウンロードインストールされるので それを開き、Progammner端末が表示するQRコードをスキャン
その他は、プロンプトに応じてタップするだけ。
対象端末のOSバージョンは、Android7.0以上が必要。
ZTE方式
(Zero Touch Enrollment)
  1. WiFi情報(SSIDに対するパスワード)を入力
  2. 登録IDを入力
その他は、プロンプトに応じてタップするだけ。
ZTEに対応しているメーカーの端末に適用。「MobiControlにZTE対応」と指定して、端末を購入する。
EMMトークン入力方式
  1. WiFi情報(SSIDに対するパスワード)を入力
  2. Googleアカウント入力画面で、afw#mobicontrol の15文字を入力
  3. 登録IDを入力
その他は、プロンプトに応じてタップするだけ。
Android6.0以降の製品で対応

G. ZTE方式でのセットアップ

  • G-1.

    G-2.

    G-3.

    工場出荷、または初期化後の最初の画面。「開始する」をタップ。 端末が受信したWiFiのSSIDを表示します。これらのSSIDから一つをタップし、SSIDに対応するパスワードを入力します。
    「接続しています。これには1-2分かかることがあります」という表示がされます。
    「コピーしない」を選択。続けて、下辺の「次へ」をタップ。

    G-4.

    G-5.

    同意して続行をタップ傍観

    G-6.

    G-7.

    G-8.

    アクティベーション完了。電話などは利用可能。「アプリ」アイコンをタップ。 MobiControlへの登録を開始します。MobiControlのアイコンをタップ。アイコンが見当たらないときは左スライドすると現れます。 登録IDの入力。

    G-9.

    G-10.

    G-11.

    端末登録ルールが生成した登録IDを入力。 待機します。5、6分間待つことがあります。
    MobiControlサーバはGoogleと折衝し、この端末に対するGoogleアカウントの発行を待ち、そのアカウントを端末に埋め込む作業をします。
    MobiControlへの登録完了。MobiControlエージェントの画面が現れます。

H. 初期化で消えたアプリの再表示、または再インストール

Android Enterprise Device Owner Modeは、端末を初期化することでセットアップをします。そしてOSレベルのチューンアップを経て、MobiControlに登録されます。 その際、 端末購入時にインストールされていたアプリのアイコンの多くが画面に表示されなくなります。 これらのアプリを復元する方法を説明します。
端末購入時にインストールされたアプリは、2種類のアプリに分類されます。

復元方法
H-1.システム・アプリ対象端末グループに対し、スクリプトコマンドを送る
H-2.システム・アプリ
以外のアプリ
該当アプリのAPKファイルを入手し、パッケージ化して、対象端末グループにプッシュ配信する

H-1. システムアプリのアイコンの再表示

Android Enterprise Device Owner Modeとして設定しても、システムアプリは、アンインストールされてはいません。単にアプリアイコンが表示されなくなっただけです。 そこで、アイコンをホーム画面に復活表示するために、次のスクリプトコマンドを端末グループに送ります。
enable_system_app <アプリのバンドルID>
例えば、
enable_system_app com.android.chrome
enable_system_app com.android.camera2
enable_system_app com.google.android.calendar
enable_system_app com.google.android.apps.photos
enable_system_app com.google.android.apps.maps
enable_system_app com.asus.calculator
enable_system_app com.google.android.calculator
enable_system_app com.kddi.android.mamoru
enable_system_app jp.kyocera.camera
enable_system_app jp.co.sharp.android.camera

逆に、復活表示したアプリのアイコンを隠すには、次のようなスクリプトコマンドを端末グループに送ります。
appcontrol -b "Notify=0;Mode=3;PRC0=`<アプリのバンドルID>`"
例えば、
appcontrol -b "Notify=0;Mode=3;PRC0=`com.android.chrome`"
appcontrol -b "Notify=0;Mode=3;PRC0=`com.android.camera2`"
appcontrol -b "Notify=0;Mode=3;PRC0=`com.google.android.calendar`"
appcontrol -b "Notify=0;Mode=3;PRC0=`com.google.android.apps.maps`"
appcontrol -b "Notify=0;Mode=3;PRC0=`com.android.contacts`"
appcontrol -b "Notify=0;Mode=3;PRC0=`com.lingualeo.android`"

スクリプトの送信方法に関しては、「Android端末へスクリプトを送って操作」のページを参照ください。

アプリのバンドルIDを知る方法は、幾つかあります。

  • その1: 該当の端末を、暫定的にAndroid Enterprise Profile Owner Modeで登録してみることです。 コンソール画面で当該端末の名前をクリックし、「アプリ」タブを開きます。

    (図4)

    そうすると、当該端末に現在インストールされているアプリの一覧表が表示されます。アプリ名とそのバンドルIDが表示されます。 そのバンドルIDをメモしておき、スクリプト構文に入力します。
  • その2: 似ているアプリ名が多いと、正確なアプリ名を知ることができないことがあります。
    その場合は、該当アプリを起動しておいて、 コンソールから、identify_activityのスクリプトを送ります。 そうすると、端末からバンドルIDをコンソールに送り返してきます。
    詳しくは、「アプリのバンドルIDを知る方法」を参照ください。
  • その3: インストール済のアプリのバンドルIDを表示するサード・パーティのアプリも、Google Playで公開されています。例えば、「QuickShortcutMaker」です。 これをインストールすると、その端末にインストールされているアプリのバンドルIDを表示することができます。

アプリが、システムアプリか否かの指定は、当該端末のメーカーや携帯電話会社によって、異なります。

H-2. システムアプリ以外のアプリの再インストール

H-1.の方法では、システムアプリでないアプリのアイコンの再表示はできません。
この場合は、該当端末からアプリのAPKファイルのコピーを抽出し、それを、MobiControl Package Studioを使って、パッケージ化して 端末グループに向けてプッシュ配信し、サイレント・インストールします。
端末からアプリのAPKファイルのコピーを取得するアプリには、「APK Extractor」があります。Google Playからダウンロードできます。APKファイルのコピーを SDカードに抽出します。「APK Extractor」の操作とその結果は、当社のサポート範囲外です。

I. プラグインをインストール

Android Enterpriseでは端末画面の変化を、コンソールに表示することができますが、リモート画面操作を可能にするにはプラグインの インストールが必要です。
プラグインは、端末メーカー毎に異なるソフトウェアです。
これから展開しようとする端末モデルに対して、プラグインが用意されているかどうかは、 「 Android Enterpriseのプラグインがあるかどうか」を参照ください。
このプラグインを対象端末に一斉に配布しインストールする方法は、 「Android端末へのプラグインのインストール」を参照してください。

J. 本人認証

上記ののセットアップ方法の記述は、本人認証を省いた場合です。端末登録ルールで、登録パスワードの入力または、認証サービスによる認証を必要と設定してあれば、 登録プロセスで、該当する画面が表示されます。

詳しくは、「A-8 登録時に、認証サービスで認証させるかどうか」を参照ください。

K. MobiControlエージェントの自動アップデート

Android EnterpriseのMobiControlエージェントは、Google Playに掲示されています。上述した4つの セットアップ方式では、Google Playからエージェントをダウンロードして、それをインストールしています。

Google Playで、エージェントのアップデートがあれば、Android Enterprise端末はそれを認知し、自動的にダウンロードし、サイレントインストールをします。
詳しくは、「Android端末エージェントのアップデート」のページを参照ください。

L. Active DirectoryのユーザIDの入力

(図5)は、端末登録ルールの作成プロセス「E. 管理者用Googleアカウントの選択」に現れる画面の一つです。 通常は、を選択します。

(図5)

(図5)で、 を選択して生成した登録IDを入力して、端末をセットアップしたとします。 そうすると、MobiControlエージェントのインストールのあと、MobiControlサーバが、Googleと端末アカウントを確認するプロセスで、(図6)が表示されます。
Android Enterprise Device Owner Modeの4つの設定方式のいずれのプロセスでも、(図6)が表示されます。 を選択して作成した 端末登録ルールの登録IDを入力した場合は、(図6)は表示されません。
(図6)で、端末ユーザのAD_DS(Active Directory Domain Service)のユーザID(UPN=User Principal Name メールアドレス型式のID) を入力し、更にそのパスワードを入力します。

(図5)で、を選択する場合の前提条件は次の通りです。
  • (1) 管理者用Googleアカウントとして、
    managed Google Play アカウントでなく、
    managed Google アカウントを取得しておきます。
  • (2) 貴社のAD_DSのデータベースを、 GCDS(Google Cloud Directory Sync)ツールを使って、Googleの アカウントデータベースと連動させておきます。端末ユーザのAD_DSアカウントが、端末のGoogleアカウントとして Googleに登録されます。
  • (3) 上記(2)の事前作業の結果、端末ユーザは、 端末セットアッププロセスの(図6)で、自分のAD_DSのアカウントを入力します。
  • (4) G. Suiteアプリを、AD_DSのアカウントで使えるようになります。
(図6)

(図5)AD_DSとの連動managed Google Playのアプリ
managed Google アカウント
  • 貴社のAD_DSのデータベースを、 GCDS(Google Cloud Directory Sync)ツールを使って、Googleの アカウントデータベースと連動させておきます。端末ユーザのAD_DSアカウントが、端末のGoogleアカウントとして Googleに登録されます。
  • (図6)で、端末ユーザは、自分のAD_DSのアカウントを入力して、端末セットアップを続けます。
端末は、managed Google Playのアプリをダウンロードし、インストールできます。 managed Google Playには、管理者用Googleアカウント保有者が、承認したアプリしか掲示されません。

端末は、通常のPlayストアにはアクセスできません。従って、端末ユーザの任意のアプリはダウンロードできません。
managed Google Play アカウント
AD_DSとGoogleデータベースとの連動は不要です。
MobiControlの設定画面で、(図6)の画面は現れません。
管理者用Googleアカウントを使わずにセットアップします。Googleへの申告をしません。
当然、AD_DSとGoogleデータベースとの連動は不要です。
MobiControlの設定画面では、(図6)の画面は現れません。
端末を完全閉域網に置いて、管理する場合に、適用します。
端末の画面には、managed Google Playストアのアイコンは表示されません。 従って、Google Playのアプリの直接ダウンロードはできません。
替わりに、 MobiControl管理者により、アプリをパッケージ化して、プッシュ配布します。

M. 完全閉域網内の端末のセットアップ

完全閉域網内の端末をAndroid Enterprise端末としてセットアップするには、次の2つの配慮が必要です。

M-1. できれば、セットアップの時だけは、インターネット接続

Android Enterprise Device Owner Modeの4つのセットアップ方法は、Googleの仕様で、MobiControlエージェントをGoogle Playからダウンロードし、 それをインストールすることで、セットアップを続行します。
しかし、完全閉域網にある端末は、Google Playにアクセスできません。
そこで、セットアップの時だけは、Google Playにアクセスできるネットワーク環境で、セットアップするのが通常です。

セットアップが終わり、完全閉域網内での運用を開始してから、端末をMobiControlの登録から一時的に解除することがあります。 しかしながら、MobiControlエージェントをアンインストールしてなければ、完全閉域網内に置いたままで、登録用URLを入力すれば再登録が可能です。

どうしても、完全閉域網においたままでセットアップしたいときは、弊社にご連絡ください。閉域網内のファイルサーバにMobiControlエージェントを格納してから セットアップを行います。

M-2. 登録IDでなく、登録用URLを入力

セットアッププロセスでは、 インストールしたMobiControlエージェントに、MobiControlサーバのアドレスその他を認識させるために、登録IDまたは、登録用URLを入力します。

そのセッションでは、 完全閉域網内で運用する端末には、登録IDでなく、登録用URLを入力します。
その理由は、「登録IDと登録用アドレスのどちらを入力するか?」を参照ください。 完全閉域網での運用するためには、登録用URLも、社内DNSサーバが生成したURLになります。

「NFC方式」と「QRコード方式」の場合は、上記(図3)のMobiControl Stage Programmerの画面での、「Enrollment Server Address or ID」の欄に 登録用URLを入力ください。

「EMMトークン入力方式」「ZTE方式」では、「登録ID」または「登録用URL」の入力画面が、端末に現れます。 登録用URLは、文字数が多いので、その入力は面倒です。そこで、QRコード読み取りで代替することができます。
そのQRコードの生成には、MobiControl Stage Bar Generatorを使用します。詳しくは、「 Android:バーコードにより所属部門を認識させる」を参照ください。

N. MobiControlエージェントがバックグラウンドで作動し続けるように設定

Android端末のMobiControlエージェントは常時作動させ、MobiControlサーバとの接続を維持する必要があります。他のアプリがフォアグラウンドで作動していても、 また、端末がスリープ状態になっても、エージェントは、バックグラウンドで作動し、接続を維持しなければなりません。
Android端末が、MobiControlサーバと接続していると、 コンソールの端末一覧画面での端末アイコンは、 と緑色 になりますし、またそうなっていなければなりません。Android端末のアイコンが とグレイに なっている端末は、「端末接続時間帯」の設定により接続時間帯を制限してある場合を除き、運用上望ましくない状態です
Android6.x、 7.xの端末では、スリープ状態になると、殆どのバックグラウンド・アプリの動作は停止します。 しかし、端末がスリープ状態になっても、MobiControlエージェントが、バックグラウンドで作動を継続するようにします。
その方法は、「常にサーバとの接続を維持」のページを参照ください。