Android端末

MobiControl v14 Manual

2020年 9月 5日

A. MobiControlで活きてくるAndroid端末

お手持ちの端末モデルをMobiControlに登録できるかどうかの検証のためには、 「とりあえずの簡単セットアップ」をクリック

A-1. Android端末でのMobiControl機能のハイライト

  • リモート画面操作、またはリモートビュー
  • アプリのサイレント・インストール
  • ランチャー機能で、業務指向のホーム画面を表示
    業務に必要なアプリアイコンのみ。Webクリップも画面に。Webアクセス先のフィルタリング。
  • 異なる部門間でも、端末を共用
    ログインする端末ユーザが変われば、 「構成プロファイル(WiFi、VPN、ランチャーなど)」や「アプリ」を、そのユーザが所属する部門別の設定構成に、自動変更します。

A-2. 生産性向上のための主な機能

業務効率の向上や顧客対応力向上の主役は、業務アプリです。MobiControlは、業務アプリのスムーズな展開をサポートします。

A-3. セキュリティ対策機能のハイライト

MobiControlは、多くのセキュリティ対策を用意していますが、以下は、そのハイライト:
  • SDカードを含めての暗号化
  • ロック解除のパスワードの複雑性の強制
  • BitDefenderによるウィルス検疫
    (ウィルス検知された場合は、関係者にアラームメール)
  • 端末が盗まれ、SIMカードを抜かれ、WiFi切断されたとしても自律的Wipe(初期化)
  • Geofence (職域内に限り、PCとのUSB接続不能、カメラ不能など情報漏洩対策)
  • Webコンテンツに基づくアクセス制限
  • 端末の地理的位置の履歴表示
  • 端末をMobiControlに登録する際に、端末認証サービスによる、本人認証を行なうことができる。
    認証サービスには、「ディレクトリサービス」と「IDプロバイダ」の2系統があります。
    • ディレクトリサービス
      AD_DS(Active Directry Domain Service)、Apple OD(Open Directory)、Domino
    • IDプロバイダ(Single Sign On)
      Azure IdP、Shibboleth、Okta、OneLogin
    認証サービスに認証させるメリット」を参照ください。
    異なる部門のユーザ間で、端末を共用する場合は、ディレクトリサーバまたはIDプロバイダによる認証は、必須です。前に使ったユーザと 異なるユーザが次にサインオンすると、そのユーザの所属部門に適合した端末構成に自動的に変わります。
  • セキュアなブラウザSOTI Surfを使えます。
    • アクセス先の限定
      次の a. か b. を選択できます。
      1. フィルタリング会社の分類により、アクセスできるコンテンツを限定する。
        Android端末の場合、更に、日付順のアクセス履歴を、コンソールで取得できます。 いつどこにアクセスしたかを把握できます。
      2. URL入力欄を非表示にして、SOTI Surfのホーム画面に表示したWebクリップに限定。または、アクセス可能先をMobiControl管理者が指定したブックマークのみに限定
    • ADやIdPによるユーザ認証を経て、社内共用のリポジトリサーバにアクセス。
    SOTI Surfを、デフォルトブラウザとして、設定することを、お勧めします。

A-4. 閉域ネットワークでも、アプリのサイレントインストールを含めての運用管理

Android Plusも、Android Enterpriseも、完全閉域網で運用管理が可能です。
完全閉域網内
Android PlusAndrid Enterprise
MobiControlへの登録可能可能
アプリのサイレントインストールなど、他の運用管理可能可能
  • インターネットにアクセスできる環境で登録し、登録が終われば、閉域網内に移動させる方が、便利です。 Android Enterpriseは、Google Playからエージェントをダウンロードする仕様になっているからです。
    但し、 どうしてもという場合は、閉域網内でも登録ができます。

完全閉域網の端末を管理するには、MobiControlサーバを、DMZに設置する必要があります。
また、完全閉域網では、ウィルスのスキャニングができなくなります。ウィルス検疫のBitDefenderクラウドにアクセスできないからです。

B.「Android Plus」と「Android Enterprise」の違い

Androidの設定モードには、「Android Plus」と「Android Enterprise」の2つの設定モードがあります。

B-1. 端末エージェント

  • Android Plus
    Android端末メーカー166社がMobiControlの開発会社であるSOTIと協力して、当該メーカーの製品に対応する端末エージェントアプリ(APKファイル)を開発しております。 そのエージェントをインストールした端末モードをAndroid Plusといいます。 メーカーにも依りますが、Android4.2以上をサポートしています。
    日本国内で、主に販売しているAndroid Plus対応のメーカーは、次の通りです。
    Casio、Denso、Panasonic Toughpad、 SONY Xperia、Sharp AQUOS SH-M02、京セラ DignoU、Asus、HTC、Huawei、Lenovo、LG、Nexus、Samsung、Zebra、
    Android Plusの端末エージェントを用意している端末メーカーであるかどうかは、 Android Plus の端末エージェントがあるかどうかのチェックを参照ください。
  • Android Enterprise
    端末メーカー毎でなく、Android5.1以上の端末なら、基本的にどの端末モデルにも適用できるエージェントをインストールした端末モードをAndroid Enterpriseといいます。 フル機能を利用するためには、Android6.0以上が望ましいとされています。
    携帯電話会社の指定で、Android Enterpriseとして設定できないモデルが、稀に存在します。そこで、事前に、Android Enterpriseとして設定できるかどうかをトライアル端末で検証しておきます。
Android Plus、Android Enterprise どちらの設定モードにするかは、展開しようとする端末の端末モデル次第です。
どの設定モードを選択するか」を参照し、事前検証しておくことを、お勧めします。

B-2. リモート画面操作ができるか、リモート画面ビューのみか

Android Enterpriseでは、全ての機種で、リモート画面ビューが可能です。
更に、 端末メーカーとモデルによって、プラグインが提供されている場合があります。 このプラグインをインストールすると、Android Enterpriseでもリモート画面操作が可能になります。 リモート画面操作とは、コンソールに端末画面を表示しそれを操作することです。リモート画面ビューは端末ユーザの操作により変化する画面をコンソールで 見ることができる機能です。

Android PlusAndroid Enterprise
プラグイン有りプラグイン無し
リモート画面操作可能基本的に可能不可能
リモート画面ビュー可能可能可能
Samsung端末だけは、Android Enterpriseでも、プラグインなしで、リモート画面操作が可能です。
2020年6月時点で、79社の端末メーカーが、Android Enterprise用のプラグインを提供しています。Android Enterpriseとして設定するのなら、プラグインを提供しているメーカーの製品をピックアップするのがよいでしょう。
プラグインを用意しているメーカーかどうかは、 Android Enterpriseのプラグインがあるかどうかのチェック を参照ください。

Android Plusに対してもプラグインが用意されています。端末の機能制限は、端末メーカーにより対応が異なりますが、Android Plusのプラグイン を付加すると、設定可能項目が増えます。

プラグインの端末群への配布とインストールについては、Android端末へのプラグインのインストールを参照ください。
MobiControlサーバが、v14.4以上なら、プラグインの配布とインストールは簡単になります。パッケージによる配布などは不要になります。
MobiControlエージェントも、2ヶ月に1回は、バージョンアップしています。機能アップと、バグ解決のためです。エージェントもパッケージによる配布などせずに 簡単にアップデートできます。 サーバをv14.4以上にアップデートすることをお勧めします。

より詳細な比較は、「3つの設定モードの詳細比較」 のページをご一読ください。セキュリティ対策の機能比較も表示されています。

B-3. アプリの配布とサイレントインストール

端末へのアプリの配布手段として、MobiControlは、「アプリカタログルール」、「ファイル同期ルール」及び「MobiControlパッケージ」を用意しています。

下表で、セルの背景色が黄色の場合は、サイレント・インストールが可能です。 サイレント・インストールとは、 端末ユーザの知らない裡に、アプリを自動ダウンロードし、インストールすることを指します。業務アプリの迅速な展開やバージョンアップに有用です。

アプリカタログルール ファイル同期ルール MobiControl
パッケージ
Google Playアプリ社内限りアプリ
Android Plus
Android Enterprise

  • 社内限りアプリとは、社内で開発し公開したくないアプリを指します。「ファイル同期ルール」や「パッケージ」でも社内限りアプリを扱えます。 端末にとってのアプリのダウンロード元は、MobiControlサーバ又は他の社内ファイルサーバとなります。端末が完全閉域網の中にあっても アプリの配布が可能です。
  • Google Playアプリを、コンソールでダウンロードし、それを「ファイル同期ルール」や「パッケージ」で、Android端末に 配布することができます。Android端末が完全閉域網の中にある場合に有効です。
  • ファイル同期ルールには、INSTALLスクリプトを付記しておくことで、サイレントインストールを実現します。
  • MobiControlパッケージとは、 MobiControlパッケージスタジオを使って、アプリを挿入し作成したファイル(拡張子 .pcg)です。 デフォルトでは、サイレントインストールをします。端末ユーザが「インストール」ボタンを押すまで、インストールを控えるオプションもあります。
  • アプリカタログルールやファイル同期ルールを利用すると、仮想端末グループへも配布できます。 MobiControlパッケージは、仮想端末グループへは配布できません。

C. Android Enterprise 知っておくべきこと

C-1. ここが違うMobiControlのAndroid Enterprise

標準的なMDM/EMMのAndroid Enterpriseと比べて、MobiControlのAndroid Enterpriseは、次のメリットを提供します。
  • リモート画面操作、またはリモートビュー
  • パッケージ化して、端末に直接プッシュ配信し、サイレント・インストール
    標準的なAndroid Enterpriseソリューションでは、managed Google Play経由しかアプリを配布できません。自社開発アプリを公開したくない場合や、 インターネットへの接続を遮断した閉域ネットワークでの運用には困ります。
    コンソールで、Google Playからアプリ(APKファイル)をダウンロードし、そして、端末にプッシュ配布することもできます。
  • ランチャー作成機能で、業務指向のホーム画面を作成し、端末で表示
(図2)
  • 購入時のアプリのアイコンの再表示、またはアプリの再インストール
    Android Enterprise Device Owner Modeは、端末を初期化することでセットアップをします。そしてOSレベルのチューンアップを経て、MobiControlに登録されます。 その際、 端末購入時にインストールされていたアプリのアイコンの多くが画面に表示されなくなります。 MobiControlでは、これらのアプリを復元することができます。

C-2. 管理者用Googleアカウント

managed Google Play ストアを使ってアプリ配布をするには、 貴社のどなたかが、管理者用Google アカウントを取得しなければなりません。
管理者用Googleアカウントには、下表のように2種類があります。どちらかを取得します。

貴社のAD_DSのGoogleとの連動アカウント取得方法
managed Google アカウント必要 G. Suiteアカウントの作成と
Googleとのバインド
」を参照
managed Google Playアカウント不要 managed Google Play
アカウントの作成
」を参照
AD_DS:Active Directory Domain Service。
端末ユーザのAD_DSのUPNが、登録した端末でのGoogleアカウントになります。
managed Google Playアカウントは、貴社で複数の方が取得できます。 本部別や店舗別に取得し、各々別々のアプリ群の配布が可能になります。
閉域網で端末を管理する際には、管理者用Googleアカウントの取得は不要です。端末からGoogle Playへのアクセスをさせないからです。 替わりに、アプリをパッケージ化してプッシュ配布します。

C-3. managed Google Playストア

通常のGoogle Play Storeとは別のサイトに、managed Google Play Storeがあります。
これには、貴社内で管理者用Googleアカウントを保有した方が、承認したアプリしか掲示されません。 Android Enterpriseに適用する端末登録ルール及び、設定モードによって、端末がアクセスできるGoogle Play Storeが異なります。下表を参照してください。
端末の設定モード端末登録ルール通常のGoogle Play Store
へのアクセス
managed Google Play Store
へのアクセス
Android Enterprise
Device Owner Mode
管理者用Googleアカウントを指定
管理者用Googleアカウントを指定しない
(端末を閉域網で管理)
Android Enterprise
Profile Owner Mode
管理者用Googleアカウントを指定
私物端末を想定
(図3)は、端末登録ルール の「E.管理者用Googleアカウントの選択」の作成プロセスに現れるダイアログの一つです。

(図3)

「管理者用Googleアカウントを指定」した端末登録ルールとは、 (図3)で、 またはを選択して 作成した端末登録ルールを指します。

「管理者用Googleアカウントを指定しない」端末登録ルールとは、 (図3)で、 を選択して 作成した端末登録ルールを指します。

Android Enterprise Profile Owner Modeの端末には、2種類のGoogle Play Storeのアイコンが表示されます。
通常のPlayストアmanaged Playストア
通常のPlayストアは、私的利用に使います。

C-4. 初期設定をしてからセットアップ

Android Enterprise Device Owner Modeとしてセットアップし、MobiControlに登録する前には、 端末を初期設定しておく必要があります。

C-5. 私物端末をセットアップ

Android Enterpriseは、更に2つのモードに分類されます。 その違いは次の表の通りです。
Android Enterprise
Device Owner ModeProfile Owner Mode
用途会社支給端末私物端末
ユーザが任意の個人用アプリをインストールできるか? 不可能可能
MobiControlへの登録に当たって
初期設定が必要か?
必要不要
managed Google Playのアプリサイレントインストール
可能
マニュアル操作で
インストール
パッケージで送ったアプリサイレントインストール可能
端末ユーザによるMobiControlからの登録解除解除を禁止できる解除できる
週末オフ機能不可能可能

  • 週末オフ機能
    週末や勤務時間外には、端末操作で、MobiControlサーバとの切断を維持し、端末のMobiControlエージェントの活動を停止させる機能。完全私物端末モード
    例えば、次のような操作が不可能になる。
    • コンソールで端末位置の地図表示
    • 端末の立ち寄り先のログ取得
    • コンソールでの、端末の操作画面リモートビュー
    • 会社メールの発受信
    • コンソールから送ったメッセージを、端末にポップアップ表示
    「仕事用モード」をオフを参照ください。

Android Enterprise Profile Owner Modeの場合、業務アプリ(MobiControlが指定したアプリ)が作成したデータやファイルを、私用アプリで読み取ることはできません。 逆もできません。