Android端末 | MobiControl v14 Manual

2021年 6月 23日

リモート画面操作、またはリモートビュー。
アプリのサイレント・インストール。
ランチャーで、業務指向のホーム画面を。

「Android Plus」と
「Android Enterprise」の違い

A. MobiControlで活きてくるAndroid端末

お手持ちの端末モデルをMobiControlに登録できるかどうかの検証のためには、「とりあえずの簡単セットアップ」をクリック

A-1. Android端末でのMobiControl機能のハイライト

リモート画面操作、またはリモートビュー
アプリのサイレント・インストール
ランチャー機能で、業務指向のホーム画面を表示
業務に必要なアプリアイコンのみ。Webクリップも画面に。Webアクセス先のフィルタリング。
異なる部門間でも、端末を共用
ログインする端末ユーザが変われば、「構成プロファイル(WiFi、VPN、ランチャーなど)」や「アプリ」を、そのユーザが所属する部門別の設定構成に、自動変更します。

A-2. 生産性向上のための主な機能

業務効率の向上や顧客対応力向上の主役は、業務アプリです。MobiControlは、業務アプリのスムーズな展開をサポートします。

業務アプリのサイレント・インストール、そして、サイレント・バージョンアップ
(端末ユーザの手を煩わせません)
端末操作に関する問い合わせには、リモート画面操作で対応
端末がMobiControlサーバとオンラインなら、現在位置をコンソールの地図に表示
オフラインなら、オフラインになる時点までの位置を地図表示
アプリが必要とするファイルをサーバから定期的配布
アプリが生成するファイルをサーバが定期的取り込み
起動できるアプリのブラックリスト、またはホワイトリスト
コンテンツライブラリによる文書、画像、動画の端末への提供
端末グループ全ての端末にメッセージの一斉送信。
端末使用中なら前面にポップアップ表示。端末のロック解除したら最初にポップアップ表示。
ファイル共有サーバに対応する端末側アプリ(SOTI Hub)
BOX、Sharepointなどのファイル共有サーバからのファイルのダウンロード/アップロードや編集をするアプリです。メールやSNSなどの他のアプリへのファイル転用禁止や印刷禁止など、情報漏洩対策オプションをコンソールで設定できます。
Sharepoint2013 や WebDayなどのファイル共有サーバが、Firewall内の社内にある場合、社外端末からのアクセスを許容するリバースプロキシサーバ(無償)を提供します。

A-3. セキュリティ対策機能のハイライト

MobiControlは、多くのセキュリティ対策を用意していますが、以下は、そのハイライト：

SDカードを含めての暗号化
ロック解除のパスワードの複雑性の強制
BitDefenderによるウィルス検疫
(ウィルス検知された場合は、関係者にアラームメール)
端末が盗まれ、SIMカードを抜かれ、WiFi切断されたとしても自律的Wipe(初期化)
Geofence (職域内に限り、PCとのUSB接続不能、カメラ不能など情報漏洩対策)
Webコンテンツに基づくアクセス制限
端末の地理的位置の履歴表示
端末をMobiControlに登録する際に、端末認証サービスによる、本人認証を行なうことができる。
認証サービスには、「ディレクトリサービス」と「IDプロバイダ」の2系統があります。
- ディレクトリサービス
  AD_DS(Active Directry Domain Service)、Apple OD(Open Directory)、Domino
- IDプロバイダ(Single Sign On)
  Azure IdP、Shibboleth、Okta、OneLogin
「認証サービスに認証させるメリット」を参照ください。
異なる部門のユーザ間で、端末を共用する場合は、ディレクトリサーバまたはIDプロバイダによる認証は、必須です。前に使ったユーザと異なるユーザが次にサインオンすると、そのユーザの所属部門に適合した端末構成に自動的に変わります。
セキュアなブラウザSOTI Surfを使えます。
- アクセス先の推奨
  1. ホーム画面に、Webクリップ(URLのショートカット)を羅列
  2. MobiControl管理者が指定したブックマーク
- アクセス先の限定
  次の a. b. またはc. を選択できます。
  1. URL入力欄を非表示。この場合は、上記の「アクセス先の推奨」でのURLしかアクセスできなくなる
  2. URL入力欄を表示するが、予め作成したURLのブラックリストまたはホワイトリストの規制に従う
  3. フィルタリング会社の分類により、アクセスできるコンテンツを限定する。
  Android端末の場合、更に、日付順のアクセス履歴を、コンソールで取得できます。
- HTML以外のファイルをダウンロードした場合、それを、他のアプリ(例えば、SNSなど)に渡すことを禁止できる。
SOTI Surfを、デフォルトブラウザとして、設定することを、お勧めします。

A-4. 閉域ネットワークでも、アプリのサイレントインストールを含めての運用管理

Android Plusも、Android Enterpriseも、完全閉域網で運用管理が可能です。

(表1)

	Android Plus	Andrid Enterprise
	完全閉域網内
MobiControlへの登録	可能	可能注
アプリのサイレントインストールなど、他の運用管理	可能	可能

注インターネットにアクセスできる環境で登録し、登録が終われば、閉域網内に移動させる方が、便利です。 Android Enterpriseは、Google Playからエージェントをダウンロードする仕様になっているからです。
但し、どうしてもという場合は、閉域網内でも登録ができます。

完全閉域網の端末を管理するには、MobiControlサーバを、DMZに設置する必要があります。
完全閉域網の端末の運用には、次の様な制限があります。

アプリカタログルールを使って、端末にGoogle Playにアクセスさせ、アプリをダウンロードさせることができなくなります。 MobiControlパッケージか、ファイル同期ルールを使って、アプリを配布することになります。下記の(表4)を参照。
端末がオフラインの時に、Googleプッシュ通知サービス経由で、スクリプトやメッセージを送ることができなくなります。
ウィルスのスキャニングができなくなります。ウィルス検疫のBitDefenderクラウドにアクセスできないからです。

B.「Android Plus」と「Android Enterprise」の違い

Androidの設定モードには、次の3種類があります。

Android Plus
Android Enterprise
- b-1. Android Enterprise Device Owner Mode
- b-2. Android Enterprise Profile Owner Mode

b-1. と b-2 の違いについては、下記の「C-4. 私物端末をセットアップ」を参照ください。

B-1. 端末エージェントとプラグイン

Android Plus
Android端末メーカー182社がMobiControlの開発会社であるSOTIと協力して、当該メーカーの製品に対応する端末エージェントインストーラ(APKファイル)を開発しております。端末メーカー毎に、異なるAPKファイルになります。そのエージェントをインストールした端末モードをAndroid Plusといいます。
日本国内で、主に販売しているAndroid Plus対応のメーカーは、次の通りです。
Casio、Denso、Panasonic Toughpad、 SONY Xperia、京セラ DignoU、Asus、HTC、Huawei、Lenovo、LG、Nexus、Samsung、Zebra、
Android Plusの端末エージェントを用意している端末メーカーであるかどうかは、 Android Plus の端末エージェントがあるかどうかのチェックを参照ください。
Android Enterprise
Googleの仕様に基づいて作られた、各端末メーカー共通の端末エージェントインストーラをインストールした端末を、Android Enterpriseといいます。追加的な機能を提供するために、約90社の端末メーカーはプラグインを提供しています。このプラグインは、端末メーカー毎に、異なるAPKファイルです。端末メーカーによっては、プラグインを用意していないメーカーもあります。Samsung社製を除いて、プラグインをインストールしないと、リモート画面操作はできません。但し、リモート画面表示(ビュー)は可能です。
Googleは、Android Enterpriseデバイスとして、推奨する端末リストを公開しています。 Android Enterprise Recommended Devicesを参照ください。しかし、Android Enterprise Recommended Devices であっても、プラグインを提供していないメーカーもあります。
Android Enterprise Recommended Devices でなくても、Android7.0 以上なら、基本的には、Android EnterpriseとしてMobiControlに登録できます。但し、携帯電話会社の指定で、Android Enterpriseとして設定できないモデルが、稀に存在します。そこで、事前に、Android Enterpriseとして設定できるかどうかをトライアル端末で検証しておきます。 (表3)を参照ください。

Android Plus、Android Enterprise どちらの設定モードにするかは、展開しようとする端末の端末モデル次第です。
「どの設定モードを選択するか」を参照し、事前検証しておくことを、お勧めします。

B-2. リモート画面操作ができるか、リモート画面ビューのみか

Android Enterpriseでは、全ての機種で、リモート画面ビューが可能です。
更に、端末メーカーとモデルによって、プラグインが提供されている場合があります。このプラグインをインストールすると、Android Enterpriseでもリモート画面操作が可能になります。リモート画面操作とは、コンソールに端末画面を表示しそれを操作することです。リモート画面ビューは端末ユーザの操作により変化する画面をコンソールで見ることができる機能です。

(表2)

	Android Plus	Android Enterprise
	Android Plus	プラグイン有り	プラグイン無し
リモート画面操作	可能	基本的に可能	不可能
リモート画面ビュー	可能	可能	可能

Samsung端末だけは、Android Enterpriseでも、プラグインなしで、リモート画面操作が可能です。

2021年3月時点で、90社の端末メーカーが、Android Enterprise用のプラグインを提供しています。
プラグインを用意しているメーカーかどうかは、 Android Enterpriseのプラグインがあるかどうかのチェックを参照ください。

Android Plusに対してもプラグインが用意されています。端末の機能制限は、端末メーカーにより対応が異なりますが、Android Plusのプラグインを付加すると、設定可能項目が増えます。

プラグインの端末群への配布とインストールについては、Android端末へのプラグインのインストールを参照ください。

MobiControlサーバが、v14.4以上なら、プラグインの配布とインストールは簡単になります。パッケージによる配布などは不要になります。
MobiControlエージェントも、2ヶ月に1回は、バージョンアップしています。機能アップと、バグ解決のためです。エージェントもパッケージによる配布などせずに簡単にアップデートできます。サーバをv14.4以上にアップデートすることをお勧めします。

B-3. Android Enterprise - 推奨されている機種

Google社は、Google Android Enterprise Recommended Device のリストに、推奨端末のリストを表示しています。
(表3)は、Google推奨端末と、端末メーカーがプラグインを用意しているかの関係を、概念的に表示しています。
(表3)の緑線枠内は、MobiControlへの登録が可能な機種の範囲です。しかし、なるべくなら、青色セル内の機種を採用することをお勧めします。これらは、MobiControlのメーカーであるSOTIで検証済の機種ですから。MobiControlに登録できない機種も、わずかですが、存在します。

(表3)
Android Enterprise 対応機種の分類

	掲載されている	掲載されていない
	Google Android Enterprise Recommended Device のリストに掲載されているか否か
	掲載されている	多数	少数
プラグインあり
プラグインなし

B-4. アプリの配布とサイレントインストール

端末へのアプリの配布手段として、MobiControlは、「アプリカタログルール」、「ファイル同期ルール」及び「MobiControlパッケージ」を用意しています。

下表で、セルの背景色が黄色の場合は、サイレント・インストールが可能です。サイレント・インストールとは、端末ユーザの知らない裡に、アプリを自動ダウンロードし、インストールすることを指します。業務アプリの迅速な展開やバージョンアップに有用です。

(表4)

	Google Playアプリ	ファイル同期ルール	MobiControl パッケージ
	アプリカタログルール	ファイル同期ルール	MobiControl パッケージ
Android Plus
Android Enterprise

社内限りアプリとは、社内で開発し公開したくないアプリを指します。「ファイル同期ルール」や「パッケージ」でも社内限りアプリを扱えます。端末にとってのアプリのダウンロード元は、MobiControlサーバ又は他の社内ファイルサーバとなります。端末が完全閉域網の中にあってもアプリの配布が可能です。
Google Playアプリを、コンソールでダウンロードし、それを「ファイル同期ルール」や「パッケージ」で、Android端末に配布することができます。Android端末が完全閉域網の中にある場合に有効です。
ファイル同期ルールには、INSTALLスクリプトを付記しておくことで、サイレントインストールを実現します。
MobiControlパッケージとは、 MobiControlパッケージスタジオを使って、アプリを挿入し作成したファイル(拡張子 .pcg)です。デフォルトでは、サイレントインストールをします。端末ユーザが「インストール」ボタンを押すまで、インストールを控えるオプションもあります。
同じ端末グループの端末でも、その機種は複数になります。特定の機種のみに展開したいときがあります。
- アプリカタログルールやファイル同期ルールの場合
  端末機種別の仮想端末グループ宛に、配布します。
- MobiControlパッケージの場合
  - 機種別のフィルター条件
    - Android Plusの構成プロファイル
    - Android Enterpriseの構成プロファイル
    を付して、配布します。

C. Android Enterprise - 知っておくべきこと

C-1. ここが違うMobiControlのAndroid Enterprise

標準的なMDM/EMMのAndroid Enterpriseと比べて、MobiControlのAndroid Enterpriseは、次のメリットを提供します。

リモート画面操作、またはリモートビュー
アプリインストーラ(APKファイル)をパッケージ化して、端末に直接プッシュ配信し、サイレント・インストール
標準的なAndroid Enterpriseソリューションでは、managed Google Play経由しかアプリを配布できません。自社開発アプリを公開したくない場合や、インターネットへの接続を遮断した閉域ネットワークでの運用には困ります。
コンソールで、Google Playからアプリ(APKファイル)をダウンロードし、そして、端末にプッシュ配布することもできます。
ランチャー作成機能で、業務指向のホーム画面を作成し、端末で表示

(図2)

購入時のアプリのアイコンの再表示、またはアプリの再インストール
Android Enterprise Device Owner Modeは、端末を初期化することでセットアップをします。そしてOSレベルのチューンアップを経て、MobiControlに登録されます。その際、端末購入時にインストールされていたアプリのアイコンの多くが画面に表示されなくなります。 MobiControlでは、これらのアプリを復元することができます。

C-2. 初期化をしてからセットアップ

Android Enterprise Device Owner Modeとしてセットアップし、MobiControlに登録する前には、端末を初期化しておく必要があります。

C-3. managed Google Playストアと管理者用Googleアカウント

通常のGoogle Play Storeとは別のサイトに、managed Google Play Storeがあります。管理対象Google Playともいいます。その違いは、(表5)の通りです。

(表5)

	通常のGoogle Play Store	managed Google Play Store
アプリの種類	全て	管理者用Googleアカウント所有者が承認したアプリのみ
アクセスできる端末設定モード	Android Plus Android Enterprise Profile Owner Mode 私的Googleアカウントでログイン	Android Enterprise (端末ではログイン手続き不要で、サイレントインストールが可能)

Android Enterprise Device Owner Modeの端末は、通常のGoogle Play Storeにアクセスできません。 managed Google Play Storeだけです。従って、MobiControl管理者が承認したアプリしかダウンロードできません。

(図3)は、端末登録ルールの「E.管理者用Googleアカウントの選択」の作成プロセスに現れるダイアログの一つです。これは、端末を、Android Enterpriseとして、MobiControlに登録するにあたって、どのようなGoogleアカウントを端末に付与するかの選択画面です。

(図3)

端末を、managed Google Playにアクセスすることを許可する場合は、(図3)で、① または ② を選択します。端末を、完全閉域網に置き、managed Google Playにアクセスさせない場合は、③ を選択します。

管理者用Googleアカウントには、次の3種類があります。

Google Workspace 管理者アカウント (旧: G Suiteアカウント)
Cloud Identity アカウント
managed Google Play アカウント

これらのアカウントの名称に関しては、Googleの下記のページをご参照ください。 Google アカウントの種類

① と ② のどちらを選択するかについては、(表6)を参照ください。

(表6)

	① 管理された Google アカウント	② 管理された Google Playアカウント
管理者アカウントのGoogleの用語	Google Workspace 管理者アカウント Cloud Identity アカウント	managed Google Playアカウント
管理者用Googleアカウントの作成方法	「管理者用Googleアカウントの作成とバインド」を参照	「managed Google Play アカウントの作成」を参照
端末のアカウントは、いつ作成/生成されるか	管理者用Googleアカウント保有者が、Google管理ポータルで作成注	端末をMobiControlに登録する際に発行され、端末に埋め込まれる
端末登録時に、端末のGoogleアカウント IDとパスワードの入力は必要か	必要	不要

注 AD_DS (Active Directory Domain Service)のユーザ名を、端末のGoogleアカウントとすることができます。その場合は、 AD_DSのデータベースを、GCDS(Google Cloud Directory Sync)ツールを使って、Googleのアカウントデータベースと連動させておきます。

C-4. 私物端末をセットアップ

Android Enterpriseは、更に2つのモードに分類されます。

その違いは(表7)の通りです。

(表7)

	Device Owner Mode	Profile Owner Mode
	Android Enterprise
用途	会社支給端末	私物端末
ユーザが任意の個人用アプリをインストールできるか?	不可能	可能
MobiControlへの登録に当たって初期化が必要か?	必要	不要
managed Google Playのアプリ	サイレントインストール可能	マニュアル操作でインストール
パッケージで送ったアプリ	サイレントインストール可能
端末ユーザによるMobiControlからの登録解除	解除を禁止できる	解除できる
週末オフ機能	不可能	可能

週末オフ機能
週末や勤務時間外には、端末操作で、MobiControlサーバとの切断を維持し、端末のMobiControlエージェントの活動を停止させる機能。完全私物端末モード
例えば、次のような操作が不可能になる。
- コンソールで端末位置の地図表示
- 端末の立ち寄り先のログ取得
- コンソールでの、端末の操作画面リモートビュー
- 会社メールの発受信
- コンソールから送ったメッセージを、端末にポップアップ表示
「仕事用モード」をオフを参照ください。

Android Enterprise Profile Owner Modeの場合、業務アプリ(MobiControlが指定したアプリ)が作成したデータやファイルを、私用アプリで読み取ることはできません。逆もできません。

Android Enterprise Profile Owner Modeの端末には、2種類のGoogle Play Storeのアイコンが表示されます。

通常のPlayストア		managed Playストア

通常のPlayストアは、私的利用に使います。