Android端末

MobiControl v14 Manual

2022年 1月 6日

デバイスプラグインがない機種を、 Android Enterprise Device Owner Modeとしてセットアップしても、 端末画面のリモート操作ができるようになりました

A. MobiControlで活きてくるAndroid端末

お手持ちの端末モデルをMobiControlに登録できるかどうかの検証のためには、 「とりあえずの簡単セットアップ」をクリック

A-1. Android端末でのMobiControl機能のハイライト

  • リモート画面操作
    MobiControlに登録できる全ての端末機種に対して、リモート画面操作が可能です
  • アプリのサイレント・インストール
    サイレント・インストールとは、 端末ユーザの知らない裡に、アプリを自動ダウンロードし、インストールすることを指します。 端末がロック中、またはスリープ中でもインストールします。業務アプリの迅速な展開やバージョンアップに有用です。
  • ランチャー機能で、業務指向のホーム画面を表示
    業務に必要なアプリアイコンのみを表示。Webクリップも画面に表示可能。Webアクセス先のフィルタリングも可能。
  • 異なる部門間でも、端末を共用
    ログインする端末ユーザが変われば、 「構成プロファイル(WiFi、VPN、ランチャーなど)」や「アプリ」を、そのユーザが所属する部門別の設定構成に、自動変更します。

A-2. 生産性向上のための主な機能

業務効率の向上や顧客対応力向上の主役は、業務アプリです。MobiControlは、業務アプリのスムーズな展開をサポートします。

A-3. セキュリティ対策機能のハイライト

MobiControlは、多くのセキュリティ対策を用意していますが、以下は、そのハイライト:
  • SDカードを含めての暗号化
  • ロック解除のパスワードの複雑性の強制
  • BitDefenderによるウィルス検疫
    (ウィルス検知された場合は、関係者にアラームメール)
  • 端末が盗まれ、SIMカードを抜かれ、WiFi切断されたとしても自律的Wipe(初期化)
  • Geofence (職域内に限り、PCとのUSB接続不能、カメラ不能など情報漏洩対策)
  • Webコンテンツに基づくアクセス制限
  • 端末の地理的位置の履歴表示
  • 端末をMobiControlに登録する際に、端末認証サービスによる、本人認証を行なうことができる。
    認証サービスには、「ディレクトリサービス」と「IDプロバイダ」の2系統があります。
    • ディレクトリサービス
      AD_DS(Active Directry Domain Service)、Apple OD(Open Directory)、Domino
    • IDプロバイダ(Single Sign On)
      Azure IdP、Shibboleth、Okta、OneLogin
    認証サービスによる認証のメリット」を参照ください。
    異なる部門のユーザ間で、端末を共用する場合は、ディレクトリサーバまたはIDプロバイダによる認証は、必須です。前に使ったユーザと 異なるユーザが次にサインオンすると、そのユーザの所属部門に適合した端末構成に自動的に変わります。
  • セキュアなブラウザSOTI Surfを使えます。
    • アクセス先の推奨
      1. ホーム画面に、Webクリップ(URLのショートカット)を羅列
      2. MobiControl管理者が指定したブックマーク
    • アクセス先の限定
      次の a. b. またはc. を選択できます。
      1. URL入力欄を非表示。この場合は、上記の「アクセス先の推奨」でのURLしかアクセスできなくなる
      2. URL入力欄を表示するが、予め作成したURLのブラックリストまたはホワイトリストの規制に従う
      3. フィルタリング会社の分類により、アクセスできるコンテンツを限定する。
      Android端末の場合、更に、日付順のアクセス履歴を、コンソールで取得できます。
    • HTML以外のファイルをダウンロードした場合、それを、他のアプリ(例えば、SNSなど)に渡す ことを禁止できる。
    SOTI Surfを、デフォルトブラウザとして、設定することを、お勧めします。

A-4. 閉域ネットワークでも、アプリのサイレントインストールを含めての運用管理

完全閉域網内の端末は、Google Playストアへアクセスし、そのアプリを、直接ダウンロードできません。 その替わり、コンソールで、アプリを入手し、それをMobiControlサーバに格納し、端末に配布し、インストールさせることができます。
詳しくは、下記の「B-1. アプリの配布手段」を参照ください。

B.「Android Plus」と「Android Enterprise」の違い

Androidの設定モードには、次の3種類があります。
  1. Android Plus
  2. Android Enterprise
b-1. と b-2 の違いについては、下記の「G. 初期化をしないで、Android Enterpriseをセットアップ」を参照ください。

MobiControlのメーカーであるSOTIは、持ち込まれた端末モデルに限り、それを検証し、認証しています。 そこで、世の中のAndroid端末は、次の4種類に分かれます。
  • (1) Android Enterprise Device Owner Mode としてSOTIが認証済
  • (2) Android Plus としてSOTIが認証済
  • (3) Android Enterprise Device Owner Mode とAndroid Plus の両方でSOTIが認証済
  • (4) いずれとしても、SOTIは未認証

セットアップモードを、「Android Enterprise Device Owner Mode」とするか「Android Plus」とするかは、端末機種によって決まってきます。 (4) は未認証ながら、Android Enterprise Device Owner Mode としてセットアップできることがあります。但し、一部機能が提供されないことがあります。

以下、「Android Enterprise Device Owner Mode」と「Android Plus」の違いを説明します。違いを知ることで、アプリの配布と制限、セットアップ方式の違いを、ご理解ください。

B-1. アプリの配布。3つの手段

端末へのアプリの配布手段として、MobiControlは、「アプリカタログルール」、 「ファイル同期ルール」及び「MobiControlパッケージ」を用意しています。

下記の(表1)で、セルの背景色が黄色の場合は、サイレント・インストールが可能です。

(表1)


アプリカタログルール ファイル同期ルール MobiControl
パッケージ
Google Playアプリ社内限りアプリ(エンタープライズアプリ)
Android Plus
Android Enterprise
Device Owner Mode
Android Enterprise
Profile Owner Mode

  • 社内限りアプリ(エンタープライズアプリ)とは、社内で開発し公開したくないアプリを指します。「ファイル同期ルール」や「パッケージ」でも、社内限りアプリを端末に配布し、インストールさせることができます。 この場合、端末にとってのアプリのダウンロード元は、MobiControlサーバ又は他の社内ファイルサーバとなります。端末が完全閉域網の中にあっても アプリの配布が可能です。
  • 完全閉域網内にある端末は、Google Playにアクセスできません。 その場合、Google Playアプリを、コンソールでダウンロードし、それを「ファイル同期ルール」や「パッケージ」で、Android端末に 配布することができます。
  • MobiControl v15.4.0 以上で管理するAndroid Enterprise端末には、 アプリポリシー(v14 でのアプリカタログルール)で、社内限りアプリ(エンタープライズアプリ)も、配布が可能で、サイレントインストールがされます。
  • ファイル同期ルールには、INSTALLスクリプトを付記しておくことで、サイレントインストールを実現します。
  • MobiControlパッケージとは、 MobiControlパッケージスタジオを使って、アプリを挿入し作成したファイル(拡張子 .pcg)です。 デフォルトでは、サイレントインストールをします。端末ユーザが「インストール」ボタンを押すまで、インストールを控えるオプションもあります。
  • 同じ端末グループの端末でも、その機種は複数になります。特定の機種のみに展開したいときがあります。

B-2. Google Playストアへのアクセスの制限

Android Enterprise Device Owner Modeの端末に対しては、 会社指定アプリを強制的にインストールさせる一方、指定していないアプリのダウンロードを禁止できます。 デフォルトでは、端末から、通常の Playストアには、アクセスさせない仕様だからです。
替わりに、managed Google Playストアがあり、端末は、これにはアクセスを許容され、ここからダウンロードをします。 アプリカタログは、このmanaged Google Playのアプリからピックアップ表示します。

managed Google Playストアには、通常のPlayストアから、選択(承認)したアプリのみが 格納されています。この選択は、管理者用Googleアカウント保有者が、行ないます。 managed Google Playストアは、会社別、または、社内の組織別に、設立されます。

(図1)

Android Plusの端末のアプリカタログは、通常のGoogle Playストアからピックアップされたアプリから構成されます。 端末のMobiControlエージェントというアプリを開くと、アプリカタログが表示されます。 端末ユーザは、この中のアプリアイコンをタップして、通常のGoogle Playからダウンロードをし、そして、インストールをします。

従って、端末ユーザが、Google Playストアにアクセスし、任意のアプリをダウンロード/インストールすることも 許容されます。

B-3. アプリのホワイトリスト

(図2)

Android Plus端末に対しては、アプリのホワイトリストを設定できます。このリストに掲出していないアプリは、(例えインストール済みでも)起動できません。 これにより、業務に不要なアプリの起動を防止できます。

Android Enterprise端末には、アプリのホワイトリストを設定できません。
しかしながら、(図1)で示したように、会社指定でないアプリは、Google Playからダウンロードできない仕組みになっています。 確かに、SDカード内のアプリインストーラからインストールされる可能性はあります。しかし、「身元不明のアプリ =Google Play以外のアプリ」の インストールを禁止するオプションがあります。

アプリのブラックリストは、Android Enterprise、Android Plus どちらに対しても、設定できます。 アプリのブラックリストに掲出しているアプリは、起動することができなくなります。

Android Enterprise、Android Plus どちらに対しても、ランチャーを作成し、適用できます。 これは、起動を許容するアプリのアイコンのみを画面表示する仕組みです。 Android端末の上辺には、ステータスバーがあります。Android Enterpriseのランチャーでは、これが、デフォルトでは表示されなくなります。

B-4. Android Enterpriseは、初期化してからセットアップ

Android Plus及び、Android Enterprise Profile Owner Modeとしてのセットアップでは、既に、アクティベーション済(初期設定済)の端末に、アプリとしてのMobiControlエージェントを追加的にインストールする ことで、セットアップします。従って、その時点にインストールされていたアプリやデータ、写真などは、継続して利用できます。

Android Enterprise Device Owner Modeとしてのセットアップは、端末の初期化のあとに行います。
その時点にインストールされていたアプリやデータは、削除されます。

更に、メーカー出荷時には、インストールされていたアプリの一部のアイコンが、セットアップ完了後には、表示されないことがあります。
この場合は、復活スクリプトを送って、表示を回復します。 「初期化で消えたアプリの再表示、または再インストール」を参照ください。 それでも、復活できないアプリが、稀にあります。

B-5. 電話の発信先番号、及び着信元電話番号の制限

会社支給端末から発信できる電話番号を制限したいことがあります。電話番号のリストを作り、それら宛のみしか発信できるようにすることです。
一方、着信を許可する着信元電話番号を指定したい場合もあります。

Android Enterpriseでは、着信元の制限ができません。

(表2)

Android PlusAndroid Enterprise
発信先
電話番号の制限
可能可能
csv形式のリストのアップロードで、
電話番号指定
個別番号毎のスクリプトを送信
着信元
電話番号の制限
可能不可能
csv形式のリストのアップロードで、
電話番号指定
発信先電話番号を制限するスクリプトは、弊社にお問い合わせください。

B-6. 完全閉域網内の端末のセットアップ

(図3)

Android Enterprise Device Owner Modeは、初期設定の時だけ、インターネットにアクセスしなければなりません。理由は、下記のように Googleのサイトにアクセスするためです。
  • Android端末の初期設定(アクティベーション)の最初には、Googleアカウントの 入力画面が現れます。Android Enterpriseでは、通常のGoogleアカウントの入力の 替わりに、afw#mobicontrol と、MobiControlの端末になることを、Googleに申告します。
  • Google認証サービスは、一般端末でなく、EMMの端末になろうとしていること、それもMobiControlの端末になることを了承します。 そして、MobiControlエージェントのURL(Playストア内)を端末に通知します。
  • 端末は、Playストアにアクセスします。
  • MobiControlエージェントをダウンロードします。Android EnterpriseのMobiControlエージェントは、端末メーカー、機種を問わず共通です

セットアップが終わってからは、端末を閉域網に移して、運用を開始できます。

Android Plus は、端末が、完全閉域網にあってもセットアップできます。 端末のアクティベーション(初期設定)が、すでに、終わっており、Googleとの折衝が不要だからです。そして、MobiControlエージェントは、MobiControlサーバからダウンロードできます。

(図4)


  1. Android PlusのMobiControlエージェントは、端末メーカー、または機種により異なります。 これは、SOTIサービスに掲示されています。
  2. コンソール・オペレータは、MobiControlエージェントを、SOTIサービスからMobiControlサーバに 取り込む作業をします。ダイアログ画面で、端末メーカーと機種を指定するだけの作業です。
  3. セットアップしようとする端末からは、Chromeに、MobiControlサーバのURLを入力するか、 URLに対応するQRコードを読み取って、MobiControlサーバにアクセスします。
  4. 端末には、端末メーカー及び機種のリストがChromeに表示されるので、それらから選択して MobiControlエージェントをダウンロードします。

完全閉域網の端末の運用には、次の様な制限があります。
  1. 端末にGoogle Playにアクセスさせ、アプリをダウンロードさせることができなくなります。 MobiControlパッケージか、ファイル同期ルールを使って、アプリを配布することになります。上記の(表1)を参照。
  2. 端末がオフラインの時に、プッシュ通信サービス経由で、スクリプトが送れなくなります。
  3. ウィルスのスキャニングができなくなります。ウィルス検疫のBitDefenderクラウドにアクセスできないからです。

完全閉域網の端末を管理するには、MobiControlサーバを、DMZに設置する必要があります。

B-7. 端末機能制限の項目

端末の機能制限には、多くの制限項目があります。この制限項目の種類に、Android Plus と Android Enterprise では、差異があります。 下記のリンクを開き、その差異を、お確かめください。

C. プラグインが用意されているかどうか

MobiControlが、端末の挙動を制御するための手段に、「端末の機能制限」のプロファイル配布と、「スクリプトの送信」があります。 スクリプトに関しては、スクリプトの送信 を参照ください。

(図5)

ところが、多くの機能制限項目の一部が有効でない機種や、一部のスクリプトに反応しない機種があります。端末依存機能です。 そこで、SOTIは、端末メーカーと共同で、プラグインを開発し、提供しています。このプラグインを実装すると、 「端末の機能制限」や「スクリプト」の機種依存の不具合を、解決しています。 このプラグインは、端末メーカー別に異なります。また、端末モデルにより異なる場合もあります。

プラグインは、Android Enterprise にも、Android Plusにも提供されています。 Android EnterpriseのMobiControlエージェントは、全メーカー共通ですが、プラグインは、端末メーカー別に異なります。

このプラグインを提供していない端末メーカーもあります。
プラグインを用意しているメーカーかどうかは、 Android Enterpriseのプラグインがあるかどうかのチェック を参照ください。
プラグインの実装方法は、プラグインのインストールを、参照ください。

MobiControlエージェントのバージョンが、v15.0.1 未満だと、プラグインを実装しないと、リモートビューは可能でも、 リモート画面操作(リモートコントロール)が、できません。
v15.0.1 以上だと、プラグインを実装しなくても、 リモート画面操作ができます。詳しくは、「E. Android Enterprise端末のリモート画面操作を可能にする」を参照ください・

D. SOTI認証の端末か否かを知る

  • Android Plus
    お手元の端末モデルに対し、Android Plus用のMobiControlエージェントが提供されていれば、 Android Plusとしてセットアップできます。 Android Plus の端末エージェントがあるかどうかのチェックを参照ください。 Android Plusの端末エージェントが提供されている端末モデルは、SOTIの認証済みといえます。

  • Android Enterprise
    お手元の端末モデルが、 Android Enterpriseとして、SOTIの認証済みかどうかは、プラグインが用意されているかどうかで、知ることができます。
    プラグインを用意している機種かどうかは、 Android Enterpriseのプラグインがあるかどうかのチェック を参照ください。

    しかしながら、プラグインが用意されていない機種でも、SOTIの認証済みであることがあります。 弊社に、お問い合わせください。

Google社は、Android Enterprise Device Owner Modeの推奨端末として、 Google Android Enterprise Recommended Device のリストを公開しています。
(表3)は、Google推奨端末と、SOTIの認証済端末との関係を、概念的に表示しています。
(表3)の緑線枠内は、MobiControlへの登録が可能な機種の範囲です。しかし、なるべくなら、青色セル内の機種を採用することをお勧めします。 なぜなら、青色セル内の機種は、SOTIによる認証済の機種だからです。
Google Android Enterprise Recommended Device のリストで、 Google未推奨の機種でも、SOTI認証済の端末があります。

(表3)
Android Enterprise 対応機種の分類

Google Android Enterprise Recommended Device のリスト
Google推奨か否か
Google推奨Google未推奨
多数少数
SOTI認証済
SOTI未認証 登録不可能
(表3)の黄色セルの端末でも、多くの機種で、MobiControlに登録できます。 しかし、幾つかの機能がサポートされない可能性があります。それらの機能とは、主に次に掲げた機能群の一部です。 (表3)の紫色のセルは、MobiControlに登録できない機種が、わずかながら存在することを示しています。

(表4)
サポートするOSバージョン

MobiControlエージェントサポートするOSバージョン
Android Enterprise端末メーカーを超えて共通Android6.0以上
Android Plus端末メーカー別に異なるAndroid4.2以上

E. ここが違うMobiControlのAndroid Enterprise

標準的なMDM/EMMのAndroid Enterpriseと比べて、MobiControlのAndroid Enterpriseは、次のメリットを提供します。 (MicrosoftとAppleは、MDMと称しますが、Googleは、EMM = Enterprise Mobility Managementと称します)
  • リモート画面操作(リモートコントロール)
  • アプリインストーラ(APKファイル)をパッケージ化して、端末に直接プッシュ配信し、サイレント・インストール
    標準的なAndroid Enterpriseソリューションでは、managed Google Play経由しかアプリを配布できません。自社開発アプリを公開したくない場合や、 インターネットへの接続を遮断した閉域ネットワークでの運用には困ります。
    コンソールで、Google Playからアプリ(APKファイル)をダウンロードし、そして、端末にプッシュ配布することもできます。
  • ランチャー作成機能で、業務指向のホーム画面を作成し、端末で表示
(図6)
  • 購入時のアプリのアイコンの再表示、またはアプリの再インストール
    Android Enterprise Device Owner Modeは、端末を初期化することでセットアップをします。そしてOSレベルのチューンアップを経て、MobiControlに登録されます。 その際、 端末購入時にインストールされていたアプリのアイコンの多くが画面に表示されなくなります。 MobiControlでは、これらのアプリを復元することができます。

F. 管理者用Googleアカウント

対象となる端末をAndroid Enterpriseとしてセットアップし、それを managed Google Playにアクセスさせるために、MobiControl管理者は、管理者用Googleアカウントを、Googleから 取得する必要があります。
端末をセットアップする前に、端末登録ルールを作成します。
そこには、管理者用Googleアカウントを入力しなければなりません。

(図7)は、端末登録ルール の「E.管理者用Googleアカウントの選択」の作成プロセスに現れるダイアログの一つです。 は、2種類の管理者用Googleアカウントを示します。 いずれも、Android Enterpriseとして、MobiControlに登録するにあたって、どのような端末用Googleアカウントを端末に付与するかの選択画面です。

(図7)

(図7)で、または、を選択します。

(表5)

(図7)での表現注釈
管理されたGoogleアカウント 端末に、Google Workspaceの端末アカウント、または、Cloud Identity の端末アカウントを付与させる 管理者用アカウント。端末のセットアップの時に、これらの端末アカウント (ユーザ名とパスワード)を手入力する 画面が表示されます。端末は、managed Google Playにもアクセスできます。
管理されたGoogle Playアカウント managed Google Playにアクセスできる端末用Googleアカウントを、端末に付与します。 端末のセットアップのプロセスでは、この端末用Googleアカウントの入力画面は表示されません。 この端末用Googleアカウントは、Googleにより発行され、自動的に、端末に埋め込まれます。
管理対象Google Playへのアクセスのためのアカウントを付与しません 端末から、managed Google Playには、アクセスできません。アプリカタログ以外の方法で、アプリを プッシュ配布します。(表1)を参照ください。完全閉域網内で使う端末の登録に使います。
  • 管理されたGoogleアカウントを、取得するには、 Google WorkspaceまたはCloud Identityとのバインド を参照ください。
    端末用のGoogle Workspaceアカウントは、Google Workspace管理コンソールにアクセスして、生成します。

    AD_DS (Active Directory Domain Service)のユーザ名を、端末のGoogleアカウントとすることもできます。 その場合は、 AD_DSのデータベースを、GCDS(Google Cloud Directory Sync)ツールを使って、Googleの アカウントデータベースと連動させておきます。端末セットアップの時に表示される、Googleアカウント入力画面では、 AD_DSのユーザ名とパスワードを入力します。
  • 管理されたGoogle Playアカウントを取得するには、managed Google Playアカウントの作成を参照ください。 このアカウントは、対象組織を連想できる文字列を、「企業」として登録します。1つの管理者用Googleアカウントに対し登録できる、文字列は1つだけです。 例えば、「大阪支社」という文字列を、「企業」と登録できます。 複数の管理されたGoogle Playアカウントを作成すると、複数の「企業」が、生成されます。

    (図7)の赤矢印部分をプルダウンすると、「企業」の文字列リストが表示されます。これから、目的の端末グループに適用する「企業」を選択します。
    (図7)で、仮に、「大阪支社」という文字列の「企業」を選んで、端末登録ルールを作成したとします。 そうして、登録した端末群に対しては、managed Google Playアプリを配布するアプリカタログルールでも、同じ「大阪支社」という「企業」をバインドさせなければ なりません。

MobiControlで管理する全てのAndroid端末が、Android Plusの場合は、管理者用Googleアカウントを取得する必要はありません。 また、 (図7)で、を選択し、 Android端末が、完全閉域網にあり、Google Playにアクセスさせない場合にも、管理者用Googleアカウントを取得する必要はありません。

G. 初期化をしないで、Android Enterpriseをセットアップ

Android Enterpriseは、更に2つのモードに分類されます。 その違いは(表6)の通りです。

(表6)

Android Enterprise
Device Owner ModeProfile Owner Mode
用途会社支給端末私的利用を容認する端末
Google Playの任意のアプリを、端末ユーザがインストールできるか? 不可能可能
MobiControlへの登録に当たって初期化が必要か?必要不要
Google Playのアプリサイレントインストール
可能
アプリカタログで該当アプリアイコンをタップしてインストール
パッケージで送ったアプリサイレントインストール可能
端末機能の制限可能項目端末機能制限」で、 が付いた項目 端末機能制限」で、が付いた項目
リモート画面操作可能不可能
但し、リモートビューは可能
週末オフ機能不可能可能

  • 週末オフ機能
    週末や勤務時間外には、端末操作で、MobiControlサーバとの切断を維持し、端末のMobiControlエージェントの活動を停止させる機能。完全私物端末モード
    例えば、次のような操作が不可能になる。
    • コンソールで端末位置の地図表示
    • 端末の立ち寄り先のログ取得
    • コンソールでの、端末の操作画面リモートビュー
    • 会社メールの発受信
    • コンソールから送ったメッセージを、端末にポップアップ表示
    「仕事用モード」をオフを参照ください。

Android Enterprise Profile Owner Modeの場合、業務アプリ(MobiControlが指定したアプリ)が作成したデータやファイルを、私用アプリで読み取ることはできません。 逆もできません。

Android Enterprise Profile Owner Modeの端末には、2種類のGoogle Play Storeのアイコンが表示されます。
通常のPlayストアmanaged Playストア
通常のPlayストアは、私的利用に使います。