Android端末 – MobiControl v14 Manual

リモート画面操作、またはリモートビュー。
アプリのサイレント・インストール。
ランチャーで、業務指向のホーム画面を

A. MobiControlで活きてくるAndroid端末

お手持ちの端末モデルをMobiControlに登録できるかどうかの検証のためには、「とりあえずの簡単セットアップ」をクリック

A-1. Android端末でのMobiControl機能のハイライト

リモート画面操作、またはリモートビュー
アプリのサイレント・インストール
ランチャー機能で、業務指向のホーム画面を表示
異なる部門間でも、端末を共用
ログインする端末ユーザが変われば、「構成プロファイル(WiFi、VPN、ランチャーなど)」や「アプリ」を、そのユーザが所属する部門別の設定構成に、自動変更します。

A-2. 生産性向上のための主な機能

業務効率の向上や顧客対応力向上の主役は、業務アプリです。MobiControlは、業務アプリのスムーズな展開をサポートします。

業務アプリのサイレント・インストールそしてサイレント・バージョンアップ
(端末ユーザの手を煩わせません)
端末操作に関する問い合わせには、リモート画面操作で対応
アプリが必要とするファイルの定期的配布
アプリが生成するファイルの定期的取り込み
コンテンツライブラリによる文書、画像、動画の端末への提供
出先からFirewall内の社内ファイルサーバへアクセス
専用の逆プロキシサーバと端末の専用アプリをインストールし、コンソールで指定した端末のみがアクセス可能。
端末グループ全ての端末にメッセージの一斉送信。端末使用中なら前面にポップアップ表示。端末のロック解除したら最初にポップアップ表示。コンソールから端末にSMSを送ることもできます。

A-3. セキュリティ対策機能のハイライト

MobiControlは、多くのセキュリティ対策を用意していますが、以下は、そのハイライト：

SDカードを含めての暗号化
ロック解除のパスワードの複雑性の強制
BitLockerによるウィルス検疫
(ウィルス検知された場合は、関係者にアラームメール)
盗難端末がネットワーク切断されてもWipe(初期化)
Geofence (職域内に限り、PCとのUSB接続不能、カメラ不能など)
Webコンテンツに基づくアクセス制限
端末の地理的位置の履歴表示
端末をMobiControlに登録する際に、端末認証サービスによる、本人認証を行なうことができる。
認証サービスには、「ディレクトリサービス」と「IDプロバイダ」の2系統があります。
- ディレクトリサービス
  AD_DS(Active Directry Domain Service)、Apple OD(Open Directory)、Domino
- IDプロバイダ
  Azure IdP、Shibboleth、Okta、OneLogin

「認証サービスに認証させるメリット」を参照ください。

A-4. 閉域ネットワークでの端末管理

Android Plus 又は Android Enterpriseのどちらの場合でも、インターネットから遮断したWiFiや閉域モバイル網に接続した端末をMobiControlサーバに登録し、アプリの配布や管理をすることができます。詳しくは、「F. 閉域網の端末のセットアップ」を参照ください。
但し、MobiControlサーバが、オンプレミスである必要があります。
また、ウィルスパターンファイルの更新ができません。

B.「Android Plus」と「Android Enterprise」

B-1. 端末エージェント

Android端末をMobiControlで管理するには、「Android Plus」と「Android Enterprise」の2つの設定モードがあります。

Android Plus
Android端末メーカー160社がMobiControlの開発会社であるSOTIと協力して、当該メーカーの製品に対応する端末エージェントアプリ(APKファイル)を開発しております。そのエージェントをインストールした端末モードをAndroid Plusといいます。メーカーにも依りますが、Android4.2以上をサポートしています。
日本国内で、主に販売しているAndroid Plus対応のメーカーは、次の通りです。
Casio、Denso、Panasonic Toughpad、 SONY Xperia、Sharp AQUOS SH-M02、京セラ DignoU、Asus、HTC、Huawei、Lenovo、LG、Nexus、Samsung、Zebra、
Android Plusの端末エージェントを用意している端末メーカーであるかどうかは、 Android Plus の端末エージェントがあるかどうかのチェックを参照ください。
Android Enterprise
端末メーカー毎でなく、Android5.1以上の端末なら、基本的にどの端末モデルにも適用できるエージェントをインストールした端末モードをAndroid Enterpriseといいます。フル機能を利用するためには、Android6.0以上が望ましいとされています。
携帯電話会社の指定で、Android Enterpriseとして設定できないモデルが、稀に存在します。そこで、事前に、Android Enterpriseとして設定できるかどうかをトライアル端末で検証しておきます。

新しい端末モデルを展開する場合は、Android Plus、Android Enterpriseいずれの場合も、事前に、検証しておくことをお願いします。

B-2. リモート画面操作ができるか、リモート画面ビューのみか

Android Enterpriseでは、メーカーとモデルによって、プラグインが提供されている場合とない場合があります。このプラグインをインストールすると、Android Enterpriseでもリモート画面操作が可能になります。リモート画面操作とは、コンソールに端末画面を表示しそれを操作することです。リモート画面ビューは端末ユーザの操作により変化する画面をコンソールで見ることができる機能です。

	Android Plus	Android Enterprise
	Android Plus	プラグイン有り	プラグイン無し
リモート画面操作	可能	基本的に可能	不可能
リモート画面ビュー	可能	可能	可能

2019年11月時点で、66社の端末メーカーが、Android Enterprise用のプラグインを提供しています。Android Enterpriseとして設定するのなら、プラグインを提供しているメーカーの製品をピックアップするのがよいでしょう。
プラグインを用意しているメーカーかどうかは、 Android Enterpriseのプラグインがあるかどうかのチェックを参照ください。
プラグインの端末群への配布とインストールについては、Android端末へのプラグインのインストールを参照ください。

B-3. 会社支給端末か、私物端末か

Android 端末の業務に使うアプリは、アプリカタログまたはパッケージ化して、端末に配布することになります。そして、多くの場合、サイレント・インストールされます。
業務以外のアプリとして、端末ユーザがアプリを任意にダウンロードし、インストールできるかに関して、下記の様な違いがあります。

端末ユーザがアプリを独自にダウンロードし、インストールできるか
Android Plus		許容もできるし、禁止もできる
Android Enterprise	Device Owner Mode	会社/団体が指定したアプリしかインストールできない
Android Enterprise	Profile Owner Mode	端末ユーザが、任意にダウンロードとインストールができる

Android Enterprise Profile Owner Modeは、私物端末を業務に使う場合を想定しています。業務アプリが生成するデータを、私用のアプリでピックアップすることはできません。

B-4. どの設定モードを採用するか

(図1)

Android Plus
Android Enterprise Device Owner Mode
Android Enterprise Profile Owner Mode

の詳細な比較は、「3つの設定モードの詳細比較」のページをご一読ください。セキュリティ対策の機能比較も表示されています。

C. Android Enterprise

C-1. ここが違うMobiControlのAndroid Enterprise

標準的なMDM/EMMのAndroid Enterpriseと比べて、MobiControlのAndroid Enterpriseは、次のメリットを提供します。

リモート画面操作、またはリモートビュー
パッケージ化して、端末に直接プッシュ配信し、サイレント・インストール
標準的なAndroid Enterpriseソリューションでは、managed Google Play経由しかアプリを配布できません。自社開発アプリを公開したくない場合や、インターネットへの接続を遮断した閉域ネットワークでの運用には困ります。
コンソールで、Google Playからアプリ(APKファイル)をダウンロードし、そして、端末にプッシュ配布することもできます。
ランチャー作成機能で、業務指向のホーム画面を作成し、端末で表示

(図2)

購入時のアプリのアイコンの再表示、またはアプリの再インストール
Android Enterprise Device Owner Modeは、端末を初期化することでセットアップをします。そしてOSレベルのチューンアップを経て、MobiControlに登録されます。その際、端末購入時にインストールされていたアプリのアイコンの多くが画面に表示されなくなります。 MobiControlでは、これらのアプリを復元することができます。

C-2. managed Google Playストア

Android Enterprise Device Owner Modeの端末には、一般のGoogle Play Storeのアイコンが表示されません。従って、端末ユーザはGoogle Play Storeのアプリをダウンロードできなくなります。
替わりに、managed Google Play Storeのアイコンが表示されます。
managed Google Play Storeには、貴社の管理者用Google Playアカウントを持つ担当者が、 Google Play Storeから業務に必要と判断(承認)したアプリをピックアップして、掲載します。これらのアプリをアプリカタログに転載することで、当該アプリが端末にプッシュ配信され、サイレント・インストールされます。

Android Enterprise Profile Owner Modeの端末には、一般のGoogle Play Store とmanaged Google Play Storeのアイコンの両方が表示されます。

managed Google Play Storeのアイコン

カバンが付いています。

一般のGoogle Play Storeのアイコン

Android Enterprise Device Owner Modeの端末には、managed Google Playストアを利用してアプリを配布する方法以外に、パッケージ化してアプリをプッシュ配布することもできます。
閉域網にある端末は、Google Playにアクセスできません。それらの端末に対しては、この方法でアプリをサイレント・インストールします。

C-3. 管理者用Googleアカウント

managed Google Play ストアを使ってアプリ配布をするには、貴社のどなたかが、管理者用Google アカウントを取得しなければなりません。
管理者用Googleアカウントには、下表のように2種類があります。どちらかを取得します。

	貴社のAD_DSのGoogleとの連動	アカウント取得方法
managed Google アカウント	必要	「G. Suiteアカウントの作成と Googleとのバインド」を参照
managed Google アカウント	注	「G. Suiteアカウントの作成と Googleとのバインド」を参照
managed Google Playアカウント	不要	「managed Google Play アカウントの作成」を参照

注 AD_DS:Active Directory Domain Service。
端末ユーザのAD_DSのUPNが、登録した端末でのGoogleアカウントになります。

managed Google Playアカウントは、貴社で複数の方が取得できます。本部別や店舗別に取得し、各々別々のアプリ群の配布が可能になります。
閉域網で端末を管理する際には、管理者用Googleアカウントの取得は不要です。端末からGoogle Playへのアクセスをさせないからです。替わりに、パッケージ化してアプリをプッシュ配布します。

D. 端末セットアップ時のMobiControlエージェントのダウンロード元

端末のセットアップは、MobiControlエージェント(APKファイル)のダウンロードとそのインストールから始まります。適用できるダウンロード元を、(表1)に示します。

(表1)
端末セットアップ時のエージェントのダウンロード元

設定モード	ダウンロード元		インターネットに接続可能
設定モード	ダウンロード元		端末のネットワーク環境
Android Plus	a	SOTIのダウンロードサイト
Android Plus	b	MobiControlサーバ
Android Enterprise	c	Google Play
Android Enterprise	d	MobiControlサーバまたはイントラネットのファイルサーバ

(図3)

(表1)の a b c dについて、説明します。

端末のセットアップ時点では、最新のバージョンのエージェントをインストールできます。「Android Plus: エージェントのインストールと登録」の「方法2. エージェントのダウンロード元が、SOTIのサイト」を参照ください。
最新のエージェントをSOTIのサイトからMobiControlサーバに、事前に取り込んでおきます。 MobiControl v14.3以上の場合は、簡単に取り込めます。「F. Android Plusのエージェントの取り込み」を参照ください。
MobiControl v14.3未満の場合は、aの方法でセットアップしてください。端末が、閉域網の中にあり、インターネットに接続できない環境の場合は、MobiControl v14.3以上へのアップグレードを検討ください。 MobiControl v14.3未満で、端末を、どうしても閉域環境で登録したい場合は、当社にお問い合わせください。
端末のセットアップ時点では、最新のバージョンのエージェントをインストールできます。「Android Enterprise Device Owner Modeセットアップ」を参照ください。
セットアップ方式は、当社にお問い合わせください。

端末を登録してから、しばらくすると、新しいバージョンのエージェントがリリースされます。
詳しくは、「Android端末エージェントのアップデート」を参照ください。
Android Plusのエージェントのアップデートでは、(図3)のb の作業が必須です。 MobiControl v14.3未満の場合は、(図3)のb の作業に工数がかかります。
v14.3以上へのMobiControlサーバのバージョンアップをご検討ください。
Android PlusとAndroid Enterpriseのいずれの場合でも、サイレント・アップデートがされ、端末ユーザの操作を必要としません。

E. Android端末の設定順序

MobiControlの設定は次の順序で行います。

MobiControlサーバのプロパティと証明書等設定
端末グループの作成
企業や団体の組織にそって、階層的に端末グループを作成
(組織名の入力が主な作業)
Android Enterpriseとして設定する場合
- G. Suiteアカウントの作成とGoogleとのバインド
- managed Google Play アカウントの作成
端末登録ルールの作成と登録IDの発行
端末グループまたは端末の構成プロファイル作成
(無線LANやセキュリティ対策など)
端末グループの詳細設定
端末登録ルール以外のルールの設定
業務用アプリの配布のためには特にアプリカタログ・ルール
端末エージェントのインストールと登録
パッケージのプロファイルへの積込
コンテンツのライブラリへのアップロード
業務に必要なファイルを端末に配付するために、サーバにアップロードしておきます。
端末フィルタ条件式の作成と保存
コンソールの端末一覧で、Androidの端末のみを表示するための端末フィルタ条件式を作成し、保存しておきます。「Android端末全て」「Android Plusのみ」「Android Enterpriseのみ」など、各種の条件式を作成保存できます。
端末プロパティのコラムの作成
Android端末特有の端末プロパティ群を、端末一覧に表示するためのコラムを作成します。
「端末がサーバから切断した直近の日時」などを表示し、端末の異常を知ることができます。長期間、切断している端末は異常ですから。

端末の設定分野には「構成プロファイル」と「ルール」と「詳細設定」があります。詳しくは、構成プロファイルとルールと詳細設定を参照ください。

F. 端末エージェントのインストールとサーバへの登録

Android端末のエージェントのインストールとサーバへの登録方法については、下記を参照ください。

Android : 端末セットアップと操作