Android端末 | MobiControl v14 Manual

2022年 1月 6日

リモート画面操作。
アプリのサイレント・インストール。
ランチャーで、業務指向のホーム画面を。

デバイスプラグインがない機種を、 Android Enterprise Device Owner Modeとしてセットアップしても、端末画面のリモート操作ができるようになりました

B.「Android Plus」と「Android Enterprise」の違い
C. プラグインが用意されているかどうか
D. SOTI認証の端末か否かを知る
E. ここが違うMobiControlのAndroid Enterprise
F. 管理者用Googleアカウント
G. 初期化をしないで、Android Enterpriseをセットアップ

A. MobiControlで活きてくるAndroid端末

お手持ちの端末モデルをMobiControlに登録できるかどうかの検証のためには、「とりあえずの簡単セットアップ」をクリック

A-1. Android端末でのMobiControl機能のハイライト

リモート画面操作
MobiControlに登録できる全ての端末機種に対して、リモート画面操作が可能です。
アプリのサイレント・インストール
サイレント・インストールとは、端末ユーザの知らない裡に、アプリを自動ダウンロードし、インストールすることを指します。端末がロック中、またはスリープ中でもインストールします。業務アプリの迅速な展開やバージョンアップに有用です。
ランチャー機能で、業務指向のホーム画面を表示
業務に必要なアプリアイコンのみを表示。Webクリップも画面に表示可能。Webアクセス先のフィルタリングも可能。
異なる部門間でも、端末を共用
ログインする端末ユーザが変われば、「構成プロファイル(WiFi、VPN、ランチャーなど)」や「アプリ」を、そのユーザが所属する部門別の設定構成に、自動変更します。

A-2. 生産性向上のための主な機能

業務効率の向上や顧客対応力向上の主役は、業務アプリです。MobiControlは、業務アプリのスムーズな展開をサポートします。

業務アプリのサイレント・インストール、そして、サイレント・バージョンアップ
(端末ユーザの手を煩わせません)
端末操作に関する問い合わせには、リモート画面操作で対応
端末がMobiControlサーバとオンラインなら、現在位置をコンソールの地図に表示
オフラインなら、オフラインになる時点までの位置を地図表示
アプリが必要とするファイルをサーバから定期的配布
アプリが生成するファイルをサーバが定期的取り込み
起動できるアプリのブラックリスト、またはホワイトリスト
コンテンツライブラリによる文書、画像、動画の端末への提供
端末グループ全ての端末にメッセージの一斉送信。
端末使用中なら前面にポップアップ表示。端末のロック解除したら最初にポップアップ表示。
ファイル共有サーバに対応する端末側アプリ(SOTI Hub)
BOX、Sharepointなどのファイル共有サーバからのファイルのダウンロード/アップロードや編集をするアプリです。メールやSNSなどの他のアプリへのファイル転用禁止や印刷禁止など、情報漏洩対策オプションをコンソールで設定できます。
Sharepoint2013 や WebDayなどのファイル共有サーバが、Firewall内の社内にある場合、社外端末からのアクセスを許容するリバースプロキシサーバ(無償)を提供します。

A-3. セキュリティ対策機能のハイライト

MobiControlは、多くのセキュリティ対策を用意していますが、以下は、そのハイライト：

SDカードを含めての暗号化
ロック解除のパスワードの複雑性の強制
BitDefenderによるウィルス検疫
(ウィルス検知された場合は、関係者にアラームメール)
端末が盗まれ、SIMカードを抜かれ、WiFi切断されたとしても自律的Wipe(初期化)
Geofence (職域内に限り、PCとのUSB接続不能、カメラ不能など情報漏洩対策)
Webコンテンツに基づくアクセス制限
端末の地理的位置の履歴表示
端末をMobiControlに登録する際に、端末認証サービスによる、本人認証を行なうことができる。
認証サービスには、「ディレクトリサービス」と「IDプロバイダ」の2系統があります。
- ディレクトリサービス
  AD_DS(Active Directry Domain Service)、Apple OD(Open Directory)、Domino
- IDプロバイダ(Single Sign On)
  Azure IdP、Shibboleth、Okta、OneLogin
「認証サービスによる認証のメリット」を参照ください。
異なる部門のユーザ間で、端末を共用する場合は、ディレクトリサーバまたはIDプロバイダによる認証は、必須です。前に使ったユーザと異なるユーザが次にサインオンすると、そのユーザの所属部門に適合した端末構成に自動的に変わります。
セキュアなブラウザSOTI Surfを使えます。
- アクセス先の推奨
  1. ホーム画面に、Webクリップ(URLのショートカット)を羅列
  2. MobiControl管理者が指定したブックマーク
- アクセス先の限定
  次の a. b. またはc. を選択できます。
  1. URL入力欄を非表示。この場合は、上記の「アクセス先の推奨」でのURLしかアクセスできなくなる
  2. URL入力欄を表示するが、予め作成したURLのブラックリストまたはホワイトリストの規制に従う
  3. フィルタリング会社の分類により、アクセスできるコンテンツを限定する。
  Android端末の場合、更に、日付順のアクセス履歴を、コンソールで取得できます。
- HTML以外のファイルをダウンロードした場合、それを、他のアプリ(例えば、SNSなど)に渡すことを禁止できる。
SOTI Surfを、デフォルトブラウザとして、設定することを、お勧めします。

A-4. 閉域ネットワークでも、アプリのサイレントインストールを含めての運用管理

完全閉域網内の端末は、Google Playストアへアクセスし、そのアプリを、直接ダウンロードできません。その替わり、コンソールで、アプリを入手し、それをMobiControlサーバに格納し、端末に配布し、インストールさせることができます。
詳しくは、下記の「B-1. アプリの配布手段」を参照ください。

B.「Android Plus」と「Android Enterprise」の違い

Androidの設定モードには、次の3種類があります。

Android Plus
Android Enterprise
- b-1. Android Enterprise Device Owner Mode
- b-2. Android Enterprise Profile Owner Mode

b-1. と b-2 の違いについては、下記の「G. 初期化をしないで、Android Enterpriseをセットアップ」を参照ください。

MobiControlのメーカーであるSOTIは、持ち込まれた端末モデルに限り、それを検証し、認証しています。そこで、世の中のAndroid端末は、次の4種類に分かれます。

(1) Android Enterprise Device Owner Mode としてSOTIが認証済
(2) Android Plus としてSOTIが認証済
(3) Android Enterprise Device Owner Mode とAndroid Plus の両方でSOTIが認証済
(4) いずれとしても、SOTIは未認証

セットアップモードを、「Android Enterprise Device Owner Mode」とするか「Android Plus」とするかは、端末機種によって決まってきます。 (4) は未認証ながら、Android Enterprise Device Owner Mode としてセットアップできることがあります。但し、一部機能が提供されないことがあります。

以下、「Android Enterprise Device Owner Mode」と「Android Plus」の違いを説明します。違いを知ることで、アプリの配布と制限、セットアップ方式の違いを、ご理解ください。

B-1. アプリの配布。3つの手段

端末へのアプリの配布手段として、MobiControlは、「アプリカタログルール」、「ファイル同期ルール」及び「MobiControlパッケージ」を用意しています。

下記の(表1)で、セルの背景色が黄色の場合は、サイレント・インストールが可能です。

(表1)

	Google Playアプリ	社内限りアプリ(エンタープライズアプリ)	ファイル同期ルール	MobiControl パッケージ
	アプリカタログルール		ファイル同期ルール	MobiControl パッケージ
Android Plus
Android Enterprise Device Owner Mode		注
Android Enterprise Profile Owner Mode

社内限りアプリ(エンタープライズアプリ)とは、社内で開発し公開したくないアプリを指します。「ファイル同期ルール」や「パッケージ」でも、社内限りアプリを端末に配布し、インストールさせることができます。この場合、端末にとってのアプリのダウンロード元は、MobiControlサーバ又は他の社内ファイルサーバとなります。端末が完全閉域網の中にあってもアプリの配布が可能です。
完全閉域網内にある端末は、Google Playにアクセスできません。その場合、Google Playアプリを、コンソールでダウンロードし、それを「ファイル同期ルール」や「パッケージ」で、Android端末に配布することができます。
注 MobiControl v15.4.0 以上で管理するAndroid Enterprise端末には、アプリポリシー(v14 でのアプリカタログルール)で、社内限りアプリ(エンタープライズアプリ)も、配布が可能で、サイレントインストールがされます。
ファイル同期ルールには、INSTALLスクリプトを付記しておくことで、サイレントインストールを実現します。
MobiControlパッケージとは、 MobiControlパッケージスタジオを使って、アプリを挿入し作成したファイル(拡張子 .pcg)です。デフォルトでは、サイレントインストールをします。端末ユーザが「インストール」ボタンを押すまで、インストールを控えるオプションもあります。
同じ端末グループの端末でも、その機種は複数になります。特定の機種のみに展開したいときがあります。
- アプリカタログルールやファイル同期ルールの場合
  端末機種別の仮想端末グループ宛に、配布します。
- MobiControlパッケージの場合
  - 機種別のフィルター条件
    - Android Plusの構成プロファイルのフィルター条件
    - Android Enterpriseの構成プロファイルのフィルター条件
    を付して、配布します。

B-2. Google Playストアへのアクセスの制限

Android Enterprise Device Owner Modeの端末に対しては、会社指定アプリを強制的にインストールさせる一方、指定していないアプリのダウンロードを禁止できます。デフォルトでは、端末から、通常の Playストアには、アクセスさせない仕様だからです。
替わりに、managed Google Playストアがあり、端末は、これにはアクセスを許容され、ここからダウンロードをします。アプリカタログは、このmanaged Google Playのアプリからピックアップ表示します。

managed Google Playストアには、通常のPlayストアから、選択(承認)したアプリのみが格納されています。この選択は、管理者用Googleアカウント保有者が、行ないます。 managed Google Playストアは、会社別、または、社内の組織別に、設立されます。

(図1)

Android Plusの端末のアプリカタログは、通常のGoogle Playストアからピックアップされたアプリから構成されます。端末のMobiControlエージェントというアプリを開くと、アプリカタログが表示されます。端末ユーザは、この中のアプリアイコンをタップして、通常のGoogle Playからダウンロードをし、そして、インストールをします。

従って、端末ユーザが、Google Playストアにアクセスし、任意のアプリをダウンロード/インストールすることも許容されます。

B-3. アプリのホワイトリスト

(図2)

Android Plus端末に対しては、アプリのホワイトリストを設定できます。このリストに掲出していないアプリは、(例えインストール済みでも)起動できません。これにより、業務に不要なアプリの起動を防止できます。

Android Enterprise端末には、アプリのホワイトリストを設定できません。
しかしながら、(図1)で示したように、会社指定でないアプリは、Google Playからダウンロードできない仕組みになっています。確かに、SDカード内のアプリインストーラからインストールされる可能性はあります。しかし、「身元不明のアプリ =Google Play以外のアプリ」のインストールを禁止するオプションがあります。

アプリのブラックリストは、Android Enterprise、Android Plus どちらに対しても、設定できます。アプリのブラックリストに掲出しているアプリは、起動することができなくなります。

Android Enterprise、Android Plus どちらに対しても、ランチャーを作成し、適用できます。これは、起動を許容するアプリのアイコンのみを画面表示する仕組みです。

ランチャーについては、ランチャー
- Android Plusのランチャー
- Android Enterpriseのランチャー
を参照ください。

Android端末の上辺には、ステータスバーがあります。Android Enterpriseのランチャーでは、これが、デフォルトでは表示されなくなります。

B-4. Android Enterpriseは、初期化してからセットアップ

Android Plus及び、Android Enterprise Profile Owner Modeとしてのセットアップでは、既に、アクティベーション済(初期設定済)の端末に、アプリとしてのMobiControlエージェントを追加的にインストールすることで、セットアップします。従って、その時点にインストールされていたアプリやデータ、写真などは、継続して利用できます。

Android Enterprise Device Owner Modeとしてのセットアップは、端末の初期化のあとに行います。
その時点にインストールされていたアプリやデータは、削除されます。

更に、メーカー出荷時には、インストールされていたアプリの一部のアイコンが、セットアップ完了後には、表示されないことがあります。
この場合は、復活スクリプトを送って、表示を回復します。「初期化で消えたアプリの再表示、または再インストール」を参照ください。それでも、復活できないアプリが、稀にあります。

B-5. 電話の発信先番号、及び着信元電話番号の制限

会社支給端末から発信できる電話番号を制限したいことがあります。電話番号のリストを作り、それら宛のみしか発信できるようにすることです。
一方、着信を許可する着信元電話番号を指定したい場合もあります。

Android Enterpriseでは、着信元の制限ができません。

(表2)

	Android Plus	Android Enterprise
発信先電話番号の制限	可能	可能
発信先電話番号の制限	csv形式のリストのアップロードで、電話番号指定	個別番号毎のスクリプトを送信
着信元電話番号の制限	可能	不可能
着信元電話番号の制限	csv形式のリストのアップロードで、電話番号指定	不可能

発信先電話番号を制限するスクリプトは、弊社にお問い合わせください。

B-6. 完全閉域網内の端末のセットアップ

(図3)

Android Enterprise Device Owner Modeは、初期設定の時だけ、インターネットにアクセスしなければなりません。理由は、下記のように Googleのサイトにアクセスするためです。

① Android端末の初期設定(アクティベーション)の最初には、Googleアカウントの入力画面が現れます。Android Enterpriseでは、通常のGoogleアカウントの入力の替わりに、afw#mobicontrol と、MobiControlの端末になることを、Googleに申告します。
② Google認証サービスは、一般端末でなく、EMMの端末になろうとしていること、それもMobiControlの端末になることを了承します。そして、MobiControlエージェントのURL(Playストア内)を端末に通知します。
③ 端末は、Playストアにアクセスします。
④ MobiControlエージェントをダウンロードします。Android EnterpriseのMobiControlエージェントは、端末メーカー、機種を問わず共通です。

セットアップが終わってからは、端末を閉域網に移して、運用を開始できます。

Android Plus は、端末が、完全閉域網にあってもセットアップできます。端末のアクティベーション(初期設定)が、すでに、終わっており、Googleとの折衝が不要だからです。そして、MobiControlエージェントは、MobiControlサーバからダウンロードできます。

(図4)

Android PlusのMobiControlエージェントは、端末メーカー、または機種により異なります。これは、SOTIサービスに掲示されています。
コンソール・オペレータは、MobiControlエージェントを、SOTIサービスからMobiControlサーバに取り込む作業をします。ダイアログ画面で、端末メーカーと機種を指定するだけの作業です。
セットアップしようとする端末からは、Chromeに、MobiControlサーバのURLを入力するか、 URLに対応するQRコードを読み取って、MobiControlサーバにアクセスします。
端末には、端末メーカー及び機種のリストがChromeに表示されるので、それらから選択して MobiControlエージェントをダウンロードします。

完全閉域網の端末の運用には、次の様な制限があります。

端末にGoogle Playにアクセスさせ、アプリをダウンロードさせることができなくなります。 MobiControlパッケージか、ファイル同期ルールを使って、アプリを配布することになります。上記の(表1)を参照。
端末がオフラインの時に、プッシュ通信サービス経由で、スクリプトが送れなくなります。
ウィルスのスキャニングができなくなります。ウィルス検疫のBitDefenderクラウドにアクセスできないからです。

完全閉域網の端末を管理するには、MobiControlサーバを、DMZに設置する必要があります。

B-7. 端末機能制限の項目

端末の機能制限には、多くの制限項目があります。この制限項目の種類に、Android Plus と Android Enterprise では、差異があります。下記のリンクを開き、その差異を、お確かめください。

C. プラグインが用意されているかどうか

MobiControlが、端末の挙動を制御するための手段に、「端末の機能制限」のプロファイル配布と、「スクリプトの送信」があります。

端末の機能制限に関しては、端末の機能制限
- Android Plusの機能制限
- Android Enterpriseの機能制限
を参照ください。

スクリプトに関しては、スクリプトの送信を参照ください。

(図5)

ところが、多くの機能制限項目の一部が有効でない機種や、一部のスクリプトに反応しない機種があります。端末依存機能です。そこで、SOTIは、端末メーカーと共同で、プラグインを開発し、提供しています。このプラグインを実装すると、「端末の機能制限」や「スクリプト」の機種依存の不具合を、解決しています。このプラグインは、端末メーカー別に異なります。また、端末モデルにより異なる場合もあります。

プラグインは、Android Enterprise にも、Android Plusにも提供されています。 Android EnterpriseのMobiControlエージェントは、全メーカー共通ですが、プラグインは、端末メーカー別に異なります。

このプラグインを提供していない端末メーカーもあります。
プラグインを用意しているメーカーかどうかは、 Android Enterpriseのプラグインがあるかどうかのチェックを参照ください。

プラグインの実装方法は、プラグインのインストールを、参照ください。

MobiControlエージェントのバージョンが、v15.0.1 未満だと、プラグインを実装しないと、リモートビューは可能でも、リモート画面操作(リモートコントロール)が、できません。
v15.0.1 以上だと、プラグインを実装しなくても、リモート画面操作ができます。詳しくは、「E. Android Enterprise端末のリモート画面操作を可能にする」を参照ください・

D. SOTI認証の端末か否かを知る

Android Plus
お手元の端末モデルに対し、Android Plus用のMobiControlエージェントが提供されていれば、 Android Plusとしてセットアップできます。 Android Plus の端末エージェントがあるかどうかのチェックを参照ください。 Android Plusの端末エージェントが提供されている端末モデルは、SOTIの認証済みといえます。
Android Enterprise
お手元の端末モデルが、 Android Enterpriseとして、SOTIの認証済みかどうかは、プラグインが用意されているかどうかで、知ることができます。
プラグインを用意している機種かどうかは、 Android Enterpriseのプラグインがあるかどうかのチェックを参照ください。
しかしながら、プラグインが用意されていない機種でも、SOTIの認証済みであることがあります。弊社に、お問い合わせください。

Google社は、Android Enterprise Device Owner Modeの推奨端末として、 Google Android Enterprise Recommended Device のリストを公開しています。
(表3)は、Google推奨端末と、SOTIの認証済端末との関係を、概念的に表示しています。
(表3)の緑線枠内は、MobiControlへの登録が可能な機種の範囲です。しかし、なるべくなら、青色セル内の機種を採用することをお勧めします。なぜなら、青色セル内の機種は、SOTIによる認証済の機種だからです。
Google Android Enterprise Recommended Device のリストで、 Google未推奨の機種でも、SOTI認証済の端末があります。

(表3)
Android Enterprise 対応機種の分類

	Google推奨	Google未推奨
	Google Android Enterprise Recommended Device のリストで Google推奨か否か
	Google推奨	多数	少数
SOTI認証済
SOTI未認証			登録不可能

(表3)の黄色セルの端末でも、多くの機種で、MobiControlに登録できます。しかし、幾つかの機能がサポートされない可能性があります。それらの機能とは、主に次に掲げた機能群の一部です。

端末の機能制限の一部
- Android Plusの機能制限
- Android Enterpriseの機能制限
スクリプトコマンドの一部

(表3)の紫色のセルは、MobiControlに登録できない機種が、わずかながら存在することを示しています。

(表4)
サポートするOSバージョン

	MobiControlエージェント	サポートするOSバージョン
Android Enterprise	端末メーカーを超えて共通	Android6.0以上
Android Plus	端末メーカー別に異なる	Android4.2以上

E. ここが違うMobiControlのAndroid Enterprise

標準的なMDM/EMMのAndroid Enterpriseと比べて、MobiControlのAndroid Enterpriseは、次のメリットを提供します。 (MicrosoftとAppleは、MDMと称しますが、Googleは、EMM = Enterprise Mobility Managementと称します)

リモート画面操作(リモートコントロール)
アプリインストーラ(APKファイル)をパッケージ化して、端末に直接プッシュ配信し、サイレント・インストール
標準的なAndroid Enterpriseソリューションでは、managed Google Play経由しかアプリを配布できません。自社開発アプリを公開したくない場合や、インターネットへの接続を遮断した閉域ネットワークでの運用には困ります。
コンソールで、Google Playからアプリ(APKファイル)をダウンロードし、そして、端末にプッシュ配布することもできます。
ランチャー作成機能で、業務指向のホーム画面を作成し、端末で表示

(図6)

購入時のアプリのアイコンの再表示、またはアプリの再インストール
Android Enterprise Device Owner Modeは、端末を初期化することでセットアップをします。そしてOSレベルのチューンアップを経て、MobiControlに登録されます。その際、端末購入時にインストールされていたアプリのアイコンの多くが画面に表示されなくなります。 MobiControlでは、これらのアプリを復元することができます。

F. 管理者用Googleアカウント

対象となる端末をAndroid Enterpriseとしてセットアップし、それを managed Google Playにアクセスさせるために、MobiControl管理者は、管理者用Googleアカウントを、Googleから取得する必要があります。
端末をセットアップする前に、端末登録ルールを作成します。
そこには、管理者用Googleアカウントを入力しなければなりません。

(図7)は、端末登録ルールの「E.管理者用Googleアカウントの選択」の作成プロセスに現れるダイアログの一つです。 ① と ② は、2種類の管理者用Googleアカウントを示します。いずれも、Android Enterpriseとして、MobiControlに登録するにあたって、どのような端末用Googleアカウントを端末に付与するかの選択画面です。

(図7)

(図7)で、① 、 ② または、③ を選択します。

(表5)

	(図7)での表現	注釈
①	管理されたGoogleアカウント	端末に、Google Workspaceの端末アカウント、または、Cloud Identity の端末アカウントを付与させる管理者用アカウント。端末のセットアップの時に、これらの端末アカウント (ユーザ名とパスワード)を手入力する画面が表示されます。端末は、managed Google Playにもアクセスできます。
②	管理されたGoogle Playアカウント	managed Google Playにアクセスできる端末用Googleアカウントを、端末に付与します。端末のセットアップのプロセスでは、この端末用Googleアカウントの入力画面は表示されません。この端末用Googleアカウントは、Googleにより発行され、自動的に、端末に埋め込まれます。
③	管理対象Google Playへのアクセスのためのアカウントを付与しません	端末から、managed Google Playには、アクセスできません。アプリカタログ以外の方法で、アプリをプッシュ配布します。(表1)を参照ください。完全閉域網内で使う端末の登録に使います。

① 管理されたGoogleアカウントを、取得するには、 Google WorkspaceまたはCloud Identityとのバインドを参照ください。
端末用のGoogle Workspaceアカウントは、Google Workspace管理コンソールにアクセスして、生成します。
AD_DS (Active Directory Domain Service)のユーザ名を、端末のGoogleアカウントとすることもできます。その場合は、 AD_DSのデータベースを、GCDS(Google Cloud Directory Sync)ツールを使って、Googleのアカウントデータベースと連動させておきます。端末セットアップの時に表示される、Googleアカウント入力画面では、 AD_DSのユーザ名とパスワードを入力します。
② 管理されたGoogle Playアカウントを取得するには、managed Google Playアカウントの作成を参照ください。このアカウントは、対象組織を連想できる文字列を、「企業」として登録します。1つの管理者用Googleアカウントに対し登録できる、文字列は1つだけです。例えば、「大阪支社」という文字列を、「企業」と登録できます。複数の管理されたGoogle Playアカウントを作成すると、複数の「企業」が、生成されます。
(図7)の赤矢印部分をプルダウンすると、「企業」の文字列リストが表示されます。これから、目的の端末グループに適用する「企業」を選択します。
(図7)で、仮に、「大阪支社」という文字列の「企業」を選んで、端末登録ルールを作成したとします。そうして、登録した端末群に対しては、managed Google Playアプリを配布するアプリカタログルールでも、同じ「大阪支社」という「企業」をバインドさせなければなりません。

MobiControlで管理する全てのAndroid端末が、Android Plusの場合は、管理者用Googleアカウントを取得する必要はありません。また、 (図7)で、③ を選択し、 Android端末が、完全閉域網にあり、Google Playにアクセスさせない場合にも、管理者用Googleアカウントを取得する必要はありません。

G. 初期化をしないで、Android Enterpriseをセットアップ

Android Enterpriseは、更に2つのモードに分類されます。

その違いは(表6)の通りです。

(表6)

	Device Owner Mode	Profile Owner Mode
	Android Enterprise
用途	会社支給端末	私的利用を容認する端末
Google Playの任意のアプリを、端末ユーザがインストールできるか?	不可能	可能
MobiControlへの登録に当たって初期化が必要か?	必要	不要
Google Playのアプリ	サイレントインストール可能	アプリカタログで該当アプリアイコンをタップしてインストール
パッケージで送ったアプリ	サイレントインストール可能
端末機能の制限可能項目	「端末機能制限」で、が付いた項目	「端末機能制限」で、が付いた項目
リモート画面操作	可能	不可能但し、リモートビューは可能
週末オフ機能	不可能	可能

週末オフ機能
週末や勤務時間外には、端末操作で、MobiControlサーバとの切断を維持し、端末のMobiControlエージェントの活動を停止させる機能。完全私物端末モード
例えば、次のような操作が不可能になる。
- コンソールで端末位置の地図表示
- 端末の立ち寄り先のログ取得
- コンソールでの、端末の操作画面リモートビュー
- 会社メールの発受信
- コンソールから送ったメッセージを、端末にポップアップ表示
「仕事用モード」をオフを参照ください。

Android Enterprise Profile Owner Modeの場合、業務アプリ(MobiControlが指定したアプリ)が作成したデータやファイルを、私用アプリで読み取ることはできません。逆もできません。

Android Enterprise Profile Owner Modeの端末には、2種類のGoogle Play Storeのアイコンが表示されます。

通常のPlayストア		managed Playストア

通常のPlayストアは、私的利用に使います。