Android Enterpriseプロファイル

MobiControl v14 Manual

Android端末を含む MobiControlの設定は次の順序で行いますが、ここでは、下記の5番目、端末グループまたは端末の構成プロファイルの作成を実行します。
  1. MobiControlサーバのプロパティと証明書等設定
  2. 端末グループの作成
    企業や団体の組織にそって、階層的に端末グループを作成
    (組織名の入力が主な作業)
  3. managed Google Playアカウントの作成(Android Enterpriseの場合)
    又は
    G. Suiteアカウントの作成とGoogleとのバインド (Android Enterpriseの場合)
  4. 端末登録ルールの作成と登録IDの発行
  5. 端末グループまたは端末の構成プロファイル作成
    (無線LANやセキュリティ対策など)
  6. 端末グループの詳細設定
  7. 端末登録ルール以外のルールの設定
    業務用アプリの配布のためには特に アプリカタログ・ルール
  8. 端末エージェントのインストールと登録
  9. パッケージのプロファイルへの積込
  10. コンテンツのライブラリへのアップロード
    業務に必要なファイルを端末に配付するために、サーバにアップロードしておきます。
端末の設定分野には「構成プロファイル」と「ルール」と「詳細設定」 があります。詳しくは、 構成プロファイルとルールと詳細設定 を参照ください。

構成プロファイルのメニュー画面には、複数の設定項目が表示されます。この設定項目を選ぶと各々のダイアログがポップアップするので これに対し設定作業を行います。一つまたは複数の設定項目を設定して、一つの構成プロファイルが作成します。そして、それを 適用する端末グループまたはAD(Active Directory)のグループに割り当てをします。その端末グループに属する端末の挙動は、割り当てられた構成プロファイルに従います。

A. 設定のための基本メニュー

コンソール画面の左上の三本線アイコンをクリックすると、(図1)の基本メニュー画面が現れます。
(図1)
(図1)の「プロファイル」を選択すると、設定済みの構成プロファイルの一覧画面(図2A)又は(図2B)が現れます。
  • MobiControl v14.3以上の場合は、(図2A)が表示されます。
  • MobiControl v14.3未満の場合は、(図2B)が表示されます。

(図2A)
プロファイルの一覧 (MobiControl v14.3以上の場合)

右上の「新しいプロファイル」のアイコン(赤矢印)をクリックすると、端末のプラットフォームの一覧がプルダウンされます。 この中から「Android Plus」を選択すると、(図3)が現れます。

(図2B)
プロファイルの一覧 (MobiControl v14.3未満の場合)

(図2B)の上辺のタブで、「Android PLus」を選択し、更に「追加」(赤矢印)を押すと、(図3)が現れます。

B. 構成プロファイルに名前をつける

(図3)

名前欄に、構成プロファイルの名前を入力します。構成プロファイル内の構成や利用対象の組織名などを類推しやすい名前をつけるのがよいでしょう。
説明欄に、構成プロファイル内の構成や利用対象がより分かり易い記述を書き込みます。
構成プロファイルを更新した場合は、その履歴も記入しておくとよいでしょう。

C. 構成プロファイルのタイプを選択する

(図3)で、「タイプ」の右端をプルダウンすると、Androidの3種類の設定モードのメニューが現れるので、選択します。
  • Android Enterprise
  • Samsung KNOX
  • Android Plus
端末を、「Android Enterprise」モードで設定したい場合は、「Android Enterprise」を選択します。
タイプの選択が終われば、「構成」タブを選択します。(図4)が現われます。

(図4)

D. Android Enterpriseの構成プロファイル・メニュー

(図4)で「追加」タブを選択すると、(図5)が現われます。

(図5)
Android Enterpriseの構成プロファイル・メニュー


(図5)で設定したい項目をクリックすると、各々の設定ダイアログがポップアップします。

E. 構成プロファイルの端末グループへの割り当て

各々の設定ダイアログでの設定が終わり、その「OK」ボタンを押すと、画面は(図6)に遷移します。
設定した設定項目のタイトルが挿入されました。

(図6)

(図6)で、再度「追加」ボタンを押すと、(図5)が再度ポップアップします。ここで他の項目を選択して、設定項目を追加することができます。
設定項目を追加する必要がない場合は、(図6)の下辺の「保存して割り当て」ボタンを押します。 (図7)がポップアップします。

(図7)

(図7)で、構成プロファイルの配布対象となる端末グループまたは端末を選択します。選択をするとチェックボタンが青くなります。 選択が終わると、下辺の「割り当て」ボタンを押します。これで、端末グループまたは端末の割り当てが完了します。
「割り当て」直後に、構成プロファイルは、端末(群)に送られ展開されます。端末は、この構成プロファイルに従って挙動するようになります。

「割り当て」直後に、構成プロファイルが、端末(群)に送られるためには、端末は、MobiControlサーバとオンラインでなければなりません。 オンラインの場合は、(図7)のように、端末アイコンがと、ブルーになっていなければなりません。
オフラインの場合は、アイコンが、 と表示されます。
Android端末は、接続時間帯の設定により、非接続時間帯の時刻でない限り、オンラインであるのが常態です。
オフラインの端末に対しては、その端末がオンラインになったときに、構成プロファイルが展開されます。
Android OSのバージョンが、6.x、7.xの場合、 スリープ化すると、オフラインになることがあります。 「常にサーバとの接続を維持」を参照し、スリープ状態になってもオンラインを維持するようにしてください。

F. 構成プロファイルの修正または項目の削除

(図6)の段階で、構成プロファイルの内容を修正したいときがあります。 その場合は、(図6)で、 設定した構成の項目を選択(背景色が変わる)してから、「アクション」をプルダウンすると、(図8)のように アクション項目が表示されます。 ここで、「編集」を選択すると、設定項目のダイアログが再度表示されるので、そこで、設定内容を修正します。

(図8)

「削除」は選んでいる設定項目のみを削除。「全てを削除」は、当該プロファイルの全ての設定項目を削除します。

G. 作成済の構成プロファイルへの働きかけ

(図2A)または(図2B)を参照ください。これは、作成済の構成プロファイルのリストです。
作成済の構成プロファイルに対し、各種の働きかけができます。

G-1. MobiControl v14.3以上の場合

(図2A)で、該当の構成プロファイルを選択すると、画面下辺に、(図9)のようなメニューが現れます。

(図9)

(図9)の右端の3点マークをクリックすると、(図10)のようにメニューが拡がります。
(図10)
働きかけの権限を持つコンソール管理者の変更または追加
適用を暫定停止した構成プロファイルの再インストール
割当をする端末グループを追加、又は削除
構成プロファイルの端末での削除
これから追加登録する端末に対しては、当該構成プロファイルを非適用
構成プロファイル適用の暫定的停止
構成プロファイルのコピー
プロファイル項目の内容の一部を修正して、 他の端末グループに割り当てる
構成プロファイルの設定内容の修正

G-2. MobiControl v14.3未満の場合

(図2B)で、該当の構成プロファイルにマウスを当てて、背景色をブルーにしてから、「アクション」タブをプルダウンします。 「アクション」タブをプルダウンすると、(図11)のようなプルダウンメニューが現われます。

(図11)

プロファイルの編集 構成プロファイルの設定内容の修正
プロファイルの割り当て 割当をする端末グループを追加、又は削除
プロファイルの複製 構成プロファイルのコピー
プロファイル項目の内容の一部を修正して、 他の端末グループに割り当てる
プロファイルを無効にする 構成プロファイル適用の暫定的停止
プロファイルの失効 これから追加登録する端末に対しては、当該構成プロファイルを非適用
プロファイルのインストールを再試行 適用を暫定停止した構成プロファイルの再インストール
プロファイルの削除 構成プロファイルの端末での削除
アクセス許可の編集 働きかけの権限を持つコンソール管理者の変更または追加
どの端末にも割り当ててない構成プロファイルは、「ドラフト」扱いです。「ドラフト」の構成プロファイルは、「名前」の後に、 ペンのマークがついています。

H. 高度な割り当て方法

(図7)の上部のタブで、「フィルター条件」、「ユーザグループターゲット」、「オプション」を選択すると、構成プロファイルを 高度な方法で割り当てることができます。

H-1. フィルター条件

構成プロファイルは、端末グループまたは認証サービスのユーザグループに割り当てますが、そのグループ内の特定のプロパティを持つ端末(群)には、適用したくないことがあります。
例えば、OSのバージョンが特定のバージョン番号以降の端末(群)のみに適用したい場合があります。 また、特定のメーカーの端末(群)のみに適用したい場合もあります。
次の「フィルター条件の設定」をクリックしてください。

フィルター条件の設定

  • (図7)の上辺の「フィルター条件」のタブを選択すると、(図12)に画面遷移します。

    (図12)


    (図12)で「追加」ボタンを押すと、(図13)のように、「端末のプロパティ」などの選択肢が現れます。

    (図13)


    「端末のプロパティ」、「監視データ」、「付属情報」及び「MDMとの互換性」のどれでもを組み合わせて、複数のフィルター条件を設定できます。 (図12)の赤矢印部分で、「全て」または「どれでも」の選択ができます。
    • 「全て」
      複数の条件があれば、その全ての条件に適合した場合にのみ、除外します。
    • 「どれでも」
      複数の条件のうち、一つだけでも適合したときに、除外します。

    (図13)で「端末のプロパティ」を選択すると、(図14)のように端末のプロパティの種類が列記されます。

    (図14)


    (図14)で除外したい端末のプロパティを選ぶと、その右に、「しきい値」を入力する欄が現れるので、適切な値を入力します。

    (図15)

    (図15)は、端末メーカーの文字列にSONYが含まれてない端末(群)には、構成プロファイルを適用しないようにしている例です。結果的に、 端末メーカーの文字列に、SONYの文字が含まれている端末(群)のみに適用されるようになります。

    (図13)の監視データとは、Android端末の場合、端末内の次の2種類のデータ値を指します。
    • 端末のアプリが作成/更新するINIファイルの特定のパラメータの値
    • 端末内のXMLファイルの特定の要素ノードの値 
      (端末ユーザがブラウザで当該ノードに値を入力する)
    詳しくは、「監視データの指定」を参照ください。

    (図13)の「付属情報」は、MobiControl管理者の任意で設定できる情報項目です。例えば、
    • 端末ユーザの役職名
    • 端末の購入日
    • 端末の資産台帳での資産番号
    • その他
    などです。これらの情報項目の値に基づいて、これに該当する端末を構成プロファイルを適用したり、逆に適用しないようにできます。

    フィルタ条件の設定が終わると、下辺の「割り当て」ボタンを押します。これで、端末グループまたは端末の割り当てが完了します。

H-2. ユーザーグループ ターゲット

認証サービスのユーザーグループを、構成プロファイルの配布対象として指定できます。 認証サービスには、「ディレクトリ・サービス」と「IDプロバイダ」に2大別されます。「ディレクトリ・サービス」には AD_DS(Active Directory Domain Service)などがあります。「IDプロバイダ」には、Azure IdP、Okta、PingFederate などがあります。
(図16)のように、端末グループの「マーケティング課」と「東京営業課」は、異なる部に属しているが、認証サービスでは、共通の「TOKYO」という グループにマッピングされているとします。
この場合、構成プロファイルをグループ名「TOKYO」に割り当てると、端末グループの「マーケティング課」と「東京営業課」の両方に割り当てることができます。
「認証サービスのグループ」を、「MobiControlの端末グループ」へマッピングする作業は、端末登録ルールで設定しておきます。
(図16)
次の「ユーザーグループ ターゲットの設定」をクリックしてください。

ユーザーグループ ターゲットの設定

  • (図7)上辺の「ユーザーグループ ターゲット」タブを選択すると、画面は(図17)のように遷移します。

    (図17)

    認証サービスには、「ディレクトリサービス」と「IDプロバイダ」の2種類のカテゴリーがあります。 (図7)で、どちらかを選択します。

    「ディレクトリサービス」を選択する場合は、予め、 「ディレクトリサービスへの接続プロファイル」を作成しておきます。
    「IDプロバイダ」を選択する場合は、予め、「IDプロバイダとの接続プロファイル」を作成しておきます。

    (図17)のの部分をプルダウンすると、 「ディレクトリサービスへの接続プロファイル」の名前リスト、または、 「IDプロバイダとの接続プロファイル」の名前リストが表示されます。

    の部分に、構成プロファイルの配布先となるユーザグループ名を入力します。 グループ名の文字列全てを入力する必要はありません。(図17)の赤矢印部分に、文字列の最初の4文字を入力すると、 その文字列で始まるグループ名リストを表示してくれます。その中から選択します。
    複数のユーザグループに割り当てることができます。その場合は、そのグループ名を2行目以降に列記します。

    指定したユーザグループが、端末登録ルールで、MobiControlの端末グループに、マッピングしてなかった場合がありえます。 その場合は、「このグループにマッピングする端末グループを選択してください」とのポップアップがでて、画面は、(図7)に遷移します。そこで、マッピングするべき端末グループを選択します。 これで、構成プロファイルは、ユーザグループ指定を経て、端末グループへの割り当てられます。

    (図18)
    「東日本地区」という名前のディレクトリサービスプロファイルで、
    ディレクトリサービスの「新橋1号店」「赤羽店」というグループを選択した例

    逆に、当該構成プロファイルを割り当てたくないユーザグループがあるかもしれません。 例えば、端末をUSBポート経由でPCからデータを抜き取ることを不可能にする構成プロファイルを、認証サービスの本社全体グループに割り当てたとします。 しかし、「情報システム部」に対応するユーザグループには、例外として割り当てないことがあります。 その場合は、情報システム部に対応するユーザグループを入力して、(図17)の下辺の「Excluded」をクリックします。
    割り当てが終わると、下辺の「割り当て」ボタンを押します。これで、端末グループまたは端末の割り当てが完了します。

H-3. オプション

構成プロファイルの取り扱いに関して、下記を指定できます。
  • 展開開始日時
    端末への展開を今すぐでなく、指定の日時に展開するとして、その日時を指定
  • 無効にする日時
    構成プロファイルの端末への展開後、いつかそれを無効にするとして、その無効になる日時を指定
  • 追加割り当て終了日時
    ある日時以降に登録する端末には、適用されないようにするとして、その日時を指定
  • 端末ユーザ操作で展開
    デフォルトでは自動インストールだが、端末ユーザの手動操作を経て展開するようにする
次の「オプションの設定」をクリックしてください。

オプションの設定

  • (図7)の上辺の「オプション」を選択すると、(図19)に画面遷移します。

    (図19)

    (図19)の設定項目説明
    インストール方法「自動」か「セルフサービス」を選択します。「自動」を選択した場合、下辺の「割り当て」ボタンを 押すと、構成プロファイルはすぐに端末に送られ、インストールされます。デフォルトは「自動」です。
    「セルフサービス」を選択すると、端末ユーザが操作しないと、インストールされません。 端末でアプリ利用中に、新しい構成プロファイルが適用されると、アプリ操作に支障がある場合に選択します。
    「セルフサービス」を選択した場合の 端末ユーザの操作方法は、「端末ユーザの任意の時刻にインストール」を参照ください。
    通信回線の限定 構成プロファイルを端末に送る際の通信回線を限定します。「携帯電話回線」や「ローミング中の携帯電話回線」経由では 送りたくないときは、チェックを外しておきます。
    最小のバッテリレベル構成プロファイルを端末に送る端末のバッテリレベルの最低値を指定します。 単位は、パーセントです。これより低いと送られません。
    スケジュールされたアクション割り当て日時、無効日時、失効日時を予め設定しておきます。

    割り当て日 「自動」を選択すると、構成プロファイルはすぐに端末に送られ、インストールされますが、このオプションを選択すると、 今すぐでなく、後日に割り当てます。その日時を指定します。
    通信回線の輻輳(ふくそう)を避けて、夜間や週末に送信する場合に適用します。

    次のアップデートスケジュールにずらす 今すぐでなく、次の更新スケジュールの時に割り当てます。
    上位の端末グループに割り当てるときに適用すると、通信回線の輻輳を緩和します。 下位の端末グループは、別々の更新スケジュール時刻に更新するからです。

    無効日 ある日時以降に登録する端末には、適用されないようにするとして、その日時を指定します。 その日時までに適用した端末では、その後も有効に機能しつづけます。

    失効日 既に適用済の端末も含めて、構成プロファイルの機能が停止する日時を指定します。 但し、構成プロファイルが削除されるわけではありません。その後、再インストールすれば再度、構成プロファイルは有効になります。
    指定した時間フレームにアップデートスケジュールのプロファイル展開を制限する

    端末プロファイルが端末に届くと、デフォルトではすぐにインストールされます。 勤務時間帯に構成プロファイルのインストールが実行されると、端末操作に影響がある場合があります。
    そこで、端末に届いても、すぐにはインストールをせず、指定した曜日や日時にインストールするようにします。
    「追加」ボタンを押すと、(図20)がポップアップしますので、曜日と時間帯を指定します。

    (図20)

    時刻はUTC(協定世界時)で入力します。UTCは、日本時間より9時間遅れです。日本時間の22時は、UTCだと13時です。
    • 時間帯を指定した時刻になっても、「割り当て日」での指定時刻にまだ達していない場合があります。 その場合は、まだ、構成プロファイルは端末に届いていません。その場合は、端末は次のチェックインの時刻に、構成プロファイルをダウンロードして インストールします。
    • インストールの時間帯は、複数設定ができます。曜日別に時間帯を設定することができます。

I. 構成プロファイルが適用されているかどうかの確認

構成プロファイルの割り当てを実行した後には、念のため、その構成プロファイルが端末にインストールされたかどうかを確認をします
端末フィルタリングの「構成プロファイルがインストールされてない端末を探す」を実行します。 (図21)は、構成プロファイルのステータスが「インストールの保留中」の端末を一覧表示する端末フィルタ条件式です。

(図21)

一覧表示された端末の名前をクリックし、その「構成」タブを開くと(図22)のような表示がされます。

(図22)

(図22)では、「インストールの保留中」の構成プロファイルの名前が、「端末の機能制限」であることを表示しています。

次の場合に、構成プロファイルのステータスが「インストールの保留中」になる可能性があります。
  1. インストールの失敗
    インストールの失敗は、次のような原因が考えられます。
    • 端末のMobiControlエージェント・プラグインが適用されてない、又はプラグインのバージョンが古く、それが理由でインストールされない場合があります。 「Android端末へのプラグインのインストール」を参照し、最新のバージョンのプラグインをインストールしてください。
    • 該当端末の機種(モデル)が適応してない。
      他の機種(モデル)ではインストールできるのに、当該機種のみにインストールできない場合は、この理由が疑われます。
      特に、端末機能制限を課した場合に、「インストールの保留中」になる機種があります。 端末機能制限には、多くの制限項目があり、その複数項目を選択して制限する場合があります。 その場合、殆どの制限項目は適用されているが、1項目だけ、制限を適用できない端末機種があります。それでも「インストールの保留中」が表示されます。
  2. インストールを遅らせる設定をした
    前述の「H-3. オプション」で、「指定した時間フレームにアップデートスケジュールのプロファイル展開を制限する」を設定し、 インストール時刻を「今すぐ」とは設定しなかった場合です。
    この場合、時間経過すると、「インストール済み」にステータスが変わるはずです。

構成プロファイルの割り当てをした時に、端末がMobiControlサーバと切断中で、且つ切断が現在まで継続中の場合は、 構成プロファイルは、端末に届いていません。(図21)の端末フィルタリングの「インストールの保留中」の対象端末になりません。

端末がMobiControlサーバから切断し、その切断が長期間に及んでいる端末は、端末一覧で確認できます。(図23)で切断時刻に赤下線を引いた端末がその例です。

(図23)