アプリの起動制限

MobiControl v14 Manual

2020年 11月 23日

業務には、必要がないアプリをブラックリストまたはホワイトリストに登録し、それらのアプリの起動を停止します。
  • ブラックリスト
    起動を禁止するアプリのリスト。その他のアプリは起動許可となる。
  • ホワイトリスト
    起動を許可するアプリのリスト。その他のアプリは全て起動禁止となる
ご留意
  1. ブラックリスト またはホワイトリストを全面展開する前に、必ず1台または2台の端末で 充分な検証をすることをお薦めします。1つのアプリの起動を禁止することで、他の禁止していないアプリが正常に作動しなくなることがあります。 作動するべき全てのアプリが、正常に作動するかどうかを確かめてください。
  2. 利用できるアプリを限定する方法として、他に、ランチャーがあります。 ランチャーを設定した場合に、更に、ブラックリスト またはホワイトリストによるアプリ起動制限をすることは、お勧めしません。あるアプリを起動禁止することで、 ランチャーで指定したアプリが、正常に作動しなくなることがあるからです。
  3. 「設定」アプリ = com.android.settings
    をブラックリストに入れたい場合は、下記の「D. 考慮が必要なアプリ」を参照ください。 「設定」アプリ が起動しないことで、正常に動かないアプリが多くあります。
  4. 端末を管理者モードにすることで、起動を禁止したアプリも起動できます。 詳しくは、「E. 管理者モード: 禁止アプリを一時的に許可する」を参照。

A. アプリ・リストのリスト

(図1)の「構成プロファイルメニュー」の画面を表示します。
表示方法は、 「Android Plusの構成プロファイルの作成 」を参照ください。

(図1)
Android Plusの構成プロファイル・メニュー

(図1)で、「アプリ制限」を選択すると、(図2)が表示されます。(図2)が、アプリのブラックリストの管理画面です。

(図2) 

(図2)の下辺の「新規」ボタンを押します。(図4)がポップアップします。
(図2)には、「DeviceSettings」、「Google Play」、「InternetBrowser」、「YouTube」がブラックリストのサンプルとして、デフォルトで 表示されていますが、これらは無視してください。これらは、アプリの正確なバンドル識別子を指定していません。

(図2)の左欄も右欄も、アプリリストのリストであって、アプリのリストではありません。

(図3)

1つのブラックリストまたはホワイトリストには、複数のアプリを登録できます。

B.アプリのブラックリスト またはホワイトリストの作成

(図4) 

名前欄にアプリのブラックリスト またはホワイトリストの名前を入力します。その名前には、「SNS」とか「株式取引」とか、ブラックリストに包含させる アプリ群を示唆する名前を入れると管理がしやすくなるでしょう。

(図4)の「タイプ」欄の右端(赤矢印)をプルダウンします。(図5)のように、「ブラックリスト」にするか 「ホワイトリスト」にするかを選択できます。

(図5) 

「追加」ボタンを押すと、アプリのバンドル識別子の入力欄が現れます。登録するアプリのバンドル識別子を入力します。

(図6) 

バンドル識別子に対応するアプリの候補が幾つか表示されます。 アプリの名前に続いて括弧内に、そのアプリのバンドル識別子が表示されます。 その中で、括弧の中の文字列が、指定したバンドル識別子と同じアプリ名を選択します
指定したバンドル識別子が括弧内に表示された候補がないときは、 どれをも選択しないでおきます。アプリ名もバンドル識別子とおなじになります。

(図7) 

(図7)のように、バンドル識別子とアプリ名が表示されます。
バンドル識別子(バンドルID)を知るためには、「アプリのバンドル識別子(バンドルID)を知る方法」を参照ください。

(図7)には、複数のアプリを登録できます。
登録したいアプリリストをCSVファイルで作成してあれば、(図7)の「ファイルをインポート」ボタンを押します。 コンソールPCのエクスプローラーが起動するので、該当のCSVファイルを指定します。
このCSVファイルでは、1列目にバンドル識別子、2列目にアプリ名を入力します。カンマ区切りとします。

(図7)で、「OK」ボタンを押すと、このブラックリスト またはホワイトリストの名前が、(図2)の左欄の候補リストに追加されます。

C. アプリのブラックリスト またはホワイトリストのリスト

(図7)で、「OK」を押すと、アプリのブラックリスト またはホワイトリストが、(図2の左欄の第1行に挿入され、(図8)のようになります。

(図8) 
(図2)の再掲

(図2)の左欄は、ブラックリスト またはホワイトリストのリストです。これは、ブラックリスト またはホワイトリストの候補で、まだ適用されていません。 この中から、実際に適用したいブラックリスト またはホワイトリストを選択し、右向き矢印を押します。選択したブラックリスト またはホワイトリスト名が、右欄に移ります。
右欄に移ったブラックリスト またはホワイトリストが適用されます。 これで、ブラックリスト またはホワイトリストの設定は終わりです。

(図2)左欄の特定のブラックリスト またはホワイトリストを選んでから、「エクスポート」ボタンを押すと、当該アプリリストを、コンソールPCにダウンロード保存できます。 これは、拡張子 .cer形式のファイルですが、メモ帳などで開けます。これを、メモ帳などで、編集し、(図7)の「ファイルをインポート」で、再度、新しいアプリリストを登録することができます。

(図2)左欄の特定のブラックリスト またはホワイトリストを選んでから、「削除」ボタンを押すと、当該アプリリストは、候補リストから削除されます。

(図8)で、「OK」ボタンを押すと、構成プロファイルの作成は、完了です。
構成プロファイルの作成が終わると、これを対象とする端末グループやAD(Active Directory)の グループに割り当てます。そして、それを当該グループの端末に配布し、インストールします。詳しくは、 「Android Plusの構成プロファイルの作成」 のページの「E. 構成プロファイルの端末グループへの割り当て」以下を参照ください。

D. 考慮が必要なアプリ

  • 「設定」アプリ = com.android.settings
    「設定」をブラックリストに登録すると、端末ユーザが、端末機能を任意に変更することを防止できます。WiFi、VPN、メルアドアカウントなどの機能設定です。 端末の挙動は、コンソールで設定した通りになります。
    しかしながら、「設定」を(図6)のブラックリストに登録すると、正常に動作しないアプリがありえます。 これらのアプリは、「設定」アプリがバックグラウンドで起動することを必要としているからです。この場合は、下記の2つの方法のどちらかを実施ください。

    • 方法1: スクリプトを送る
      • 次の2行のスクリプトコマンドを、端末に送ります。
        manualblacklist on
        manualblacklist add com.android.settings

        これを送ると、のアイコンをタップしても、「設定」の画面は開かなくなります。但し、他のアプリの要請によって、「設定」はバックグラウンドでは起動します。

        スクリプトの送信方法は、「Android端末へスクリプトを送って操作」を参照ください。
      • 「設定」の画面を再び開けるようにするには、次のスクリプトを送ります。
        manualblacklist remove com.android.settings
        manualblacklist off

        これを送ると、のアイコンをタップすれば、 「設定」画面が再び開けるようになります。
    • 方法2:ランチャーを作成する

      (図9) 

      ランチャーを作成し、そのランチャーにも、「設定」アプリを登録しておきます。
      但し、端末画面には、アイコンを表示しないようにします。 その方法は、「設定」アプリを登録するが、そのアイコンをランチャーには表示させない」を参照ください。
      その場合、バックグラウンドでなら、「設定」アプリは起動します。
  • 設定マネージャー =net.soti.settingsmanager
    「設定」アプリの替わりに、「設定マネージャー」 をインストールすることをお勧めします。これは、「設定」アプリの機能限定版アプリです。端末での機能変更項目を、「画面の明るさ」「画面の回転」「WiFiのON/OFF」「サウンドボリュームの強弱」「BluetoothのON/OFF」 などに、限定できます。設定可能項目は、構成プロファイルの設定マネージャー にて制限できます。 設定マネージャー のAPKファイルは、SOTI Downloadのページ (https://docs.soti.net/soti-mobicontrol/downloads/) から、ダウンロードします。そして、パッケージに挿入して端末に配布します。設定マネージャーの構成プロファイルを配布しないと、有効になりません。
  • Google Play =com.android.vending
    Google Playをブラックリストに登録すると、 アイコンが端末画面から 消えます。従って、端末は、Google Playから自由にアプリをダウンロードできなくなります。
    しかし、同時に、アプリカタログルールに、Google Playのアプリを追加しても、端末では、それをインストールできなくなります。 アプリカタログルールを使って、Google Playのアプリを追加的に配布するときは、その都度、Google Playをブラックリストから外さなければなりません。

    もし、ブラックリストに登録しないでおき、端末にGoogle Play の 表示を続けた上で、アプリの制限をする場合は、このブラックリストまたはホワイトリストのプロファイルを配布します。

    もう一つのソリューションは、業務に必要なアプリのみをランチャーに登録し、Google Playをランチャーには登録しない方法です。
  • Chrome = com.android.chrome
    Chromeは、ブラックリストに登録できません
    それでも、ブラウザとして、SOTI Surfを使うとして、Chromeを起動禁止したいときがあります。 その際は、スクリプトを送信します。
    詳しくは、「Chromeを起動させない」を参照ください。 Chromeのアイコンは表示されますが、タップしてもフォアグラウンドでは起動しません。
    しかし、バックグラウンドでは起動します。 Chromeがバックグラウンドで起動することを必要とするアプリがあるからです。

E. 管理者モード: 禁止アプリを一時的に許可する

ホワイトリスト/ブラックリストの構成プロファイルを適用することで、アプリの起動を禁止したが、再びアプリの起動を許可したい場合があります。 恒久的には、その構成プロファイルを失効または廃棄すればよいのですが、一時的に、アプリの起動を許可したい場合があります。
それには、端末を管理者モードにします。管理者モードにするには、3つの方法があります。
  1. コンソールから該当端末に対しスクリプトを送信する
    管理者モードにする _adminmode on
    管理者モードから撤退 _adminmode off
    _ (アンダーバーが必要)
  2. 端末のロック解除をするときのパスワードに、管理者パスワードを入力する
  3. MobiControlエージェントを起動して、「Agent Mode」を長押し。
    詳しくは、「A-2. 端末エージェントの操作」を参照ください