Androidの設定モード
A. MobiControlで活きてくるAndroid端末
A-1. Android端末でのMobiControl機能のハイライト
- リモート画面操作、またはリモートビュー
- アプリのサイレント・インストール
- ランチャー機能で、業務指向のホーム画面を表示
A-2. 生産性向上のための主な機能
業務効率の向上や顧客対応力向上の主役は、業務アプリです。MobiControlは、業務アプリのスムーズな展開をサポートします。
- 業務アプリのサイレント・インストールそしてサイレント・バージョンアップ
(端末ユーザの手を煩わせません)- 端末操作に関する問い合わせには、リモート画面操作で対応
- アプリが必要とするファイルの定期的配布
- アプリが生成するファイルの定期的取り込み
- コンテンツライブラリによる文書、画像、動画の端末への提供
- 出先からFirewall内の社内ファイルサーバへアクセス
専用の逆プロキシサーバと端末の専用アプリをインストールし、コンソールで指定した端末のみがアクセス可能。- 端末グループ全ての端末にメッセージの一斉送信。端末使用中なら前面にポップアップ表示。端末のロック解除したら最初にポップアップ表示。 コンソールから端末にSMSを送ることもできます。
A-3. セキュリティ対策機能のハイライト
MobiControlは、多くのセキュリティ対策を用意していますが、以下は、そのハイライト:
- SDカードを含めての暗号化
- ロック解除のパスワードの複雑性の強制
- BitLockerによるウィルス検疫
(ウィルス検知された場合は、関係者にアラームメール)- 盗難端末がネットワーク切断されてもWipe(初期化)
- Geofence (職域内に限り、PCとのUSB接続不能、カメラ不能など)
- Webコンテンツに基づくアクセス制限
- 端末の地理的位置の履歴表示
- AD_DS(Active Directory Directory Service) またはAD_FS(Federation Service)による本人確認
A-4. 閉域ネットワークでの端末管理
インターネットから遮断したWiFiや閉域モバイル網に 接続した端末の管理やアプリの配布ができます。B.「Android Plus」と「Android Enterprise」
B-1. 端末エージェント
Android端末をMobiControlで管理するには、「Android Plus」と「Android Enterprise」の2つの設定モードがあります。
- Android Plus
Android端末メーカー143社がMobiControlの開発会社であるSOTIと協力して、当該メーカーの製品に対応する端末エージェントアプリ(APKファイル)を開発しております。 そのエージェントをインストールした端末モードをAndroid Plusといいます。 メーカーにも依りますが、Android4.2以上をサポートしています。
日本国内で、主に販売しているAndroid Plus対応のメーカーは、次の通りです。
Casio、Denso、Panasonic Toughpad、 SONY Xperia、Sharp AQUOS SH-M02、京セラ DignoU、Asus、HTC、Huawei、Lenovo、LG、Nexus、Samsung、Zebra、
Android Plusの端末エージェントを用意している端末メーカーであるかどうかは、 Android Plus の端末エージェントがあるかどうかのチェックを参照ください。- Android Enterprise
端末メーカー毎でなく、Android5.1以上の端末なら、基本的にどの端末モデルにも適用できるエージェントをインストールした端末モードをAndroid Enterpriseといいます。 フル機能を利用するためには、Android6.0以上が望ましいとされています。
携帯電話会社の指定で、Android Enterpriseとして設定できないモデルが、稀に存在します。そこで、事前に、Android Enterpriseとして設定できるかどうかをトライアル端末で検証しておきます。B-2. リモート画面操作ができるか、リモート画面ビューのみか
Android Enterpriseでは、メーカーとモデルによって、プラグインが提供されている場合とない場合があります。このプラグインをインストールすると、Android Enterpriseでもリモート画面操作が可能になります。リモート画面操作とは、コンソールに端末画面を表示しそれを操作することです。リモート画面ビューは端末ユーザの操作により変化する画面をコンソールで 見ることができる機能です。
2019年2月時点で、49社の端末メーカーが、Android Enterprise用のプラグインを提供しています。Android Enterpriseとして設定するのなら、プラグインを提供しているメーカーの製品をピックアップするのがよいでしょう。
Android Plus Android Enterprise プラグイン有り プラグイン無し リモート画面操作 可能 基本的に可能 不可能 リモート画面ビュー 可能 可能 可能
プラグインを用意しているメーカーかどうかは、 Android Enterpriseのプラグインがあるかどうかのチェック を参照ください。B-3. 会社支給端末か、私物端末か
Android 端末の業務に使うアプリは、アプリカタログまたはパッケージ化して、端末に配布することになります。 そして、多くの場合、サイレント・インストールされます。
業務以外のアプリとして、端末ユーザがアプリを任意にダウンロードし、インストールできるかに関して、下記の様な違いがあります。Android Enterprise Profile Owner Modeは、私物端末を業務に使う場合を想定しています。業務アプリが生成するデータを、私用のアプリでピックアップすることはできません。
端末ユーザがアプリを独自にダウンロードし、インストールできるか Android Plus 許容もできるし、禁止もできる Android
EnterpriseDevice Owner Mode 会社/団体が指定したアプリしかインストールできない Profile Owner Mode 端末ユーザが、任意にダウンロードとインストールができる B-4. どの設定モードを採用するか
の詳細な比較は、「3つの設定モードの詳細比較」 のページをご一読ください。セキュリティ対策の機能比較も表示されています。
- Android Plus
- Android Enterprise Device Owner Mode
- Android Enterprise Profile Owner Mode
C. Android Enterprise
C-1. ここが違うMobiControlのAndroid Enterprise
標準的なMDM/EMMのAndroid Enterpriseと比べて、MobiControlのAndroid Enterpriseは、次のメリットを提供します。
- リモート画面操作、またはリモートビュー
- パッケージ化して、端末に直接プッシュ配信し、サイレント・インストール
標準的なAndroid Enterpriseソリューションでは、managed Google Play経由しかアプリを配布できません。自社開発アプリを公開したくない場合や、 インターネットへの接続を遮断した閉域ネットワークでの運用には困ります。
コンソールで、Google Playからアプリ(APKファイル)をダウンロードし、そして、端末にプッシュ配布することもできます。- ランチャー作成機能で、業務指向のホーム画面を作成し、端末で表示
C-2. managed Google Playストア
Android Enterprise Device Owner Modeの端末には、managed Google Playストアを利用してアプリを配布する方法以外に、パッケージ化してアプリをプッシュ配布することもできます。
Android Enterprise Device Owner Modeは、端末を初期化することでセットアップをします。そしてOSレベルのチューンアップを経て、MobiControlに登録されます。
Android Enterprise Device Owner Modeの端末には、一般のGoogle Play Storeのアイコンが表示されません。 従って、端末ユーザはGoogle Play Storeのアプリをダウンロードできなくなります。替わりに、managed Google Playアカウントを持つ担当者が、Google Play Storeから業務に必要と判断したアプリに承認を与えます。そして、このアプリを、 managed Google Play ストアに掲載します。これをアプリカタログに転載することで、アプリが端末にプッシュ配信され、サイレント・インストールされます。
Android Enterprise Device Owner Modeの端末には、 managed Google Play Storeのアイコンが表示されます。managed Google Play Storeのアイコン
カバンが付いています。一般のGoogle Play Storeのアイコン
C-3. managed Google Playアカウント
managed Google Play ストアを使ってアプリ配布をするには、managed Google Play アカウントを取得しなければなりません。 「 managed Google Play アカウント」のページを参照して、取得してください。一つの企業で、複数部門や複数店舗で別々の 「 managed Google Play アカウント」を取得することも可能です。この場合、部門や店舗別に異なるアプリを展開することができます。C-4. managed Google アカウント
Active DirectoryのUPNを、端末ユーザの仕事用のGoogleアカウントIDとすることができます。
UPNは、<ユーザ名>@<FQDNドメイン名> のようなメールアドレス型式となります。そうすると、Googleが提供している各種アプリを社内に展開できます。 この仕事用Googleアカウントでも、一般のGoogle Playストアにはアクセスできません。 managed Google Play ストアにはアクセスできます。
この場合、貴社のAD_DS(Active Directory Domain Service)をGoogleアカウントデータベースと連動させておく必要があります。
一般のGoogle Playストアから業務アプリをピックアップし、managed Google Play ストアに 掲載するアカウントとして、managed Google アカウントを取得する必要があります。
「G. Suiteアカウントの作成とGoogleとのバインド」のページを参照して、managed Google アカウントを取得してください。
また、端末をMobiControlに登録する際、端末ユーザの本人認証として、AD_DSによる認証が必要になります。D. MobiControlエージェントがバックグラウンドで作動し続けるように設定
Android端末のMobiControlエージェントは常時作動させ、MobiControlサーバとの接続を維持する必要があります。他のアプリがフォアグラウンドで作動していても、 また、端末がスリープ状態になっても、エージェントは、バックグラウンドで作動し、接続を維持しなければなりません。
Android端末が、MobiControlサーバと接続していると、 コンソールの端末一覧画面での端末アイコンは、と緑色 になりますし、またそうなっていなければなりません。Android端末のアイコンが、
とグレイに なっている端末は、「端末接続時間帯」の設定により接続時間帯を制限してある場合を除き、運用上望ましくない状態です。
Android6.x、 7.xの端末では、スリープ状態になると、殆どのバックグラウンド・アプリの動作は停止します。 しかし、端末がスリープ状態になっても、MobiControlエージェントが、バックグラウンドで作動を継続するようにします。
その方法は、「常にサーバとの接続を維持」のページを参照ください。E. Android端末の設定順序
MobiControlの設定は次の順序で行います。端末エージェントの適合性をチェックするだけなら、5.6.7.はスキップしてでも、端末のセットアップ可否はチェックできます。
- MobiControlサーバのプロパティと証明書等設定
- 端末グループの作成
企業や団体の組織にそって、階層的に端末グループを作成
(組織名の入力が主な作業)- managed Google Playアカウントの作成(Android Enterpriseの場合)
または
G. Suiteアカウントの作成とGoogleとのバインド(Android Enterpriseの場合)- 端末登録ルールの作成と登録IDの発行
- 端末グループまたは端末の構成プロファイル作成
(無線LANやセキュリティ対策など)- 端末グループの詳細設定
- 端末登録ルール以外のルールの設定
業務用アプリの配布のためには特に アプリカタログ・ルール- 端末エージェントのインストールと登録
- パッケージのプロファイルへの積込
- コンテンツのライブラリへのアップロード
業務に必要なファイルを端末に配付するために、サーバにアップロードしておきます。
端末の設定分野には「構成プロファイル」と「ルール」と「詳細設定」 があります。詳しくは、 構成プロファイルとルールと詳細設定 を参照ください。F. 端末エージェントのインストールとサーバへの登録
Android端末のエージェントのインストールとサーバへの登録方法については、下記を参照ください。
