Cisco Meraki Japan

アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

Android エンタープライズ導入ガイド(Android for Work)

はじめに

この記事では、Cisco Meraki のシステム マネージャを搭載した Android for Work(現在は Android エンタープライズ)の導入ガイダンスを示します。Android エンタープライズは、Google Android モバイル オペレーティング システムで動作するデバイス用のプラットフォームです。IT 部門は作業固有のプロファイルを使用して、ビジネス アプリケーションの管理とセキュリティ保護を行うことができます。Android for Work には 2 つの異なる導入タイプがあります。

  1. 作業プロファイル(BYOD)。BYOD モードの場合、管理者は管理対象のアプリケーションと設定についてのみ制御が可能です。システム マネージャではすべての企業データがコンテナ化され、オレンジ色のバッジ アイコンで示されます。管理者はこれらのアプリケーションを完全に制御できますが、デバイス上の個人用アプリケーションについては可視性がなく、制御できません。
  2. デバイス オーナー モード。デバイス オーナー モードでは、管理者はデバイスを完全に制御できます。このタイプの導入は、主に組織が所有するデバイスについて使用され、キオスク モードなどの特殊な機能が含まれています(デバイス オーナー モードは、iOS の「監視」状態のようなモードであるとも言えます)。

要件

システム マネージャを通じて Android エンタープライズ デバイスを管理する場合は、次のものが必要になります。

  • バインドされたドメイン:Meraki 管理対象ドメインの管理に使用する Gmail アドレス、または Google 管理対象ドメイン用の G Suite アカウント。次のセクションで、これら 2 つについて詳細に説明します。
  • キオスク モード(Android 6 以上が必要)などの機能を搭載した、Android 5(Lollipop)以上のデバイス
  • デバイスでの Google Play Services バージョン 11.0.4 以上(この記事の執筆時点)のサポート
  • デバイスでの Google API のサポート。特に device_admin および managed_users 機能フラグ。Google が定義する最新の要件については、こちらをご覧ください。

デバイスでは、さらに作業プロファイルと作業管理モードがサポートされている必要があります。 ここにリストされていない OEM デバイスを使用している場合、または旧バージョンの Android を使用している場合は、システム マネージャを通じて Android エンタープライズ機能スイートを最大限に活用できない可能性があります。

Android デバイスの登録オプションの詳細については、こちらの記事を参照してください。Android エンタープライズの詳細については、こちらを参照してください。https://www.android.com/work

 

導入の考慮事項

システム マネージャに Android for Work を導入する場合には、5 つの主要な段階があります。

  1. 作業ドメインの決定とバインド
  2. 登録の一環として認証を有効にする 
  3. デバイスの登録
  4. デバイス制限の有効化
  5. アプリケーションのプッシュ

作業ドメインの決定とバインド

Android for Work(AfW)には、Google 管理対象と Meraki 管理対象の 2 つのフレーバーがあります。

  • Google 管理対象ドメイン:これは既存の Google サービスを利用した、Android for Work の導入です。Gmail、Google Calendar、Google Docs などのサービスを使用する場合は、多くの場合 Google 管理対象ドメインになります。 これは上級管理者が Google 管理コンソールで有効にすることができます。[セキュリティ(Security)] > [Android用EMMプロバイダーの管理(Manage EMM provider for Android)] に移動し、トークンをコピーします。これは手順の最初のステップで入力されます。Google サービスにアクセスできるよう、システム マネージャのインストールを要求する場合は、[AndroidデバイスにEMMポリシーを適用(Enforce EMM policies on Android Devices)] をオンにします。 


Google ドメインに無料の Android for Work サブスクリプションが追加されていない場合は、次の記事を参照してサブスクリプションを有効にしてください。「G Suiteユーザの場合(If you are a G Suite customer)」と記載されたセクションでは、無料サブスクリプションの有効化の詳細を示しています:https://support.google.com/work/andr.../6174046?hl=en

 

  • Meraki 管理対象ドメイン:Google サービスが使用されていない場合、Meraki では Android for Work の導入用に管理対象ドメインを生成できます。これは、他に用途がない可能性がある G Suite ドメインをセットアップするよりも適切です。必要とされるのは Google でサポートされている管理電子メール アドレス(任意の @gmail.com アカウント)だけです。Google のドキュメントでは、これは Android for Work アカウントと呼ばれています(これらのアカウントが Android for Work でのみ使用可能であるため)。

詳細についてはこちらをご覧ください。https://support.google.com/googlepla..._topic=7042018

 

Google 管理対象ドメイン

既存の Google 管理対象ドメインをバインドするには、[組織(Organization)] > [MDM] に移動し、ドメイン名(「meraki.com」など)に続いて Google 管理コンソールからコピーしたトークンを入力して、[ドメインの登録(Enroll Domain)] をクリックします。"

MDM_enrollment2.png

Meraki 管理対象ドメイン

Meraki 管理対象ドメインをバインドするには、[組織(Organization)] > [MDM] に移動し、[サインアップURLを取得(Get signup URL)] をクリックします。

MDM_enrollment.png
次にステップ 2 で生成された URL をクリックすると、[Androidの導入(Bring Android to Work)] ページにリダイレクトされます。フォームに順に入力し、Meraki 管理対象アカウントを作成します。可能であれば、個人アカウントではなく組織に関連付けられた Gmail アカウントを使用することをお勧めします。



[登録の完了(Complete Registration)] ボタンをクリックしたら、Meraki ダッシュボードに戻ります。[組織(Organization)] > [MDM] 以下に、[Androidの導入(Bring Android to Work)] ページでの入力に使用した電子メールに関連付けられた、バインド済みのドメインが示されます。

 

登録の一環として認証を有効にする

認証の追加は、デバイスに配置された Android for Work プロファイルにユーザを関連付けるために必要なステップです。システム マネージャで認証を有効にするには、[システムマネージャ(Systems Manager)] > [全般(General)] に移動し、[ユーザ認証設定(User authentication settings)] セクションでオプションを選択します。
Google 管理対象ドメインを使用した場合、システム マネージャは関連付けられている Google ドメインに対して、(O-auth を通じて)自動的に認証を行います。Meraki 管理対象ドメインを使用した場合は、[管理対象:Merakiでホストされるユーザアカウント(Managed: User Meraki hosted accounts)] を選択してください。"ユーザ アカウントが作成されていない場合は、[保存(Save)] をクリックして、[Merakiでホストされるユーザの設定(Configure Meraki hosted user)] をクリックします。システム マネージャが認証するのは、Meraki オーナーとして入力されたユーザ名とパスワードです。

デバイスの登録

前述のように、Android for Work には、BYOD モードまたはデバイス オーナー モードの 2 つの導入方法があります。これらのモードにはそれぞれ、以下に示すように異なる登録パスがあります。2 つの導入モード選択の詳細と推奨事項については、この記事を参照してください。

Google では、AfW を使用する場合は Android 5.0 以降のデバイスで暗号化する必要があります。これは、デバイスの一般的なセキュリティと、アプリケーション固有のデータ セキュリティの両面で重要です。詳細についてはこちらを参照してください。 https://support.google.com/a/answer/6178111?hl=en

 

BYOD 登録

BYOD デバイスは、次の簡単な 2 ステップの手順でシステム マネージャに登録できます。 

1.システム マネージャ アプリのインストール:これには 2 つの方法があります。 Google 管理対象ドメインを使用する場合は、バインドされたドメインに Google アカウントを追加すると、システム マネージャ アプリをインストールするプロンプトがユーザに表示されます。一方 Meraki 管理対象ドメインでは、Google Play ストアからシステム マネージャ アプリをダウンロードできます。アプリは次のサイトからダウンロードできます。https://play.google.com/store/apps/d...=com.meraki.sm ドメインのタイプにかかわらず、アプリをインストールしたら、デバイスに表示されるステップに従って登録を完了させます。

2. サインイン/認証:アプリを開くと、Google と Meraki の 2 つのオプションが表示されます。これらは、ダッシュボードにバインドされたドメイン タイプを表しています。

  • Google を選択すると、Google ドメイン クレデンシャルでログインするか、すでにデバイスにサインインしているアカウントを選択するように求められます。続いて、アプリは適切なダッシュボード ネットワークに自動的に登録されます。
  • Meraki を選択した場合は、登録コード(ダッシュボードの [システムマネージャ(Systems Manager)] > [MDM] > [デバイスの追加(Add Devices)] > [Android] タブで確認)を入力し、続いてユーザ名とパスワードを入力するように求められます。 

3.コンテナのプロビジョニング:デバイスが認証されると、作業プロファイルがセットアップされていることがユーザに通知され、バッジが付いていないシステム マネージャ アプリのコピーがアンインストールされます。これは正常な動作であり、それによってシステム マネージャが、デバイス全体ではなく作業コンテナ内でのみ動作するようになります。 アプリではロード画面が短時間表示され、Android for Work 用にセットアップされます。BYOD が登録されると、デバイス上にオレンジ色のバッジのアイコンが表示されるか、デバイスのホーム画面に「Work」フォルダが作成されます。プロビジョニングするバッジ付きアプリを制御する方法については、以下のセクションを参照してください。

 

画面のサンプルを以下に示します。


                  

 

デバイス オーナーの登録

デバイス オーナー モードは、組織が所有するデバイス向けに、制限と制御が強化されています。登録の手順は BYOD と似ていますが、デバイスを初期設定にリセットすれば、1 つのステップで登録が完了します。このステップは、Google 管理対象ドメインと Meraki 管理対象ドメインのどちらがダッシュボードにバインドされているかによって、わずかに異なります。

デバイス オーナー モードはデバイスを初期設定にリセットした後で有効になります。設定を変更しない限り、デフォルトではすべてのシステム アプリが無効になります。システム アプリの制御については、次のセクションを参照してください。

Lollipop デバイス(Android 5.0 以上)を使用している場合は、デバイス オーナー モードを有効にする方法について、こちらの記事を参照してください。 

 

  • Google 管理対象:初期設定にリセットしてから、Google アカウントが要求されるまで画面のステップに従います。バインドされた Google ドメインに属するアカウントを使用してサインインします。システム マネージャ アプリをインストールするように求められ、デバイスがダッシュボードに自動的に登録されます。

 

                  

 

  • Meraki 管理対象:初期設定にリセットしてから、Google アカウントが要求されるまで画面のステップに従います。このステップはスキップしないでください。また、アカウントは入力しないで、「afw#meraki」と入力します。これでシステム マネージャ アプリがデバイスにインストールされます。次に [登録(Enroll)] をタップし、10 桁のネットワーク ID を入力するか、ダッシュボードの [デバイスの追加(Add devices)] ページの QR コードをスキャンします。アプリで認証が求められ、セットアップが終了します。

 

                  

 

最後のイメージに示すように、デバイス オーナー モードを有効にすると、デバイスから必須ではないアプリがすべてデバイスから削除されます。

 

ネイティブ システム アプリの制御

デバイス オーナー モードで登録する場合、デフォルトでは、デフォルトの SMS および電話ダイヤル アプリを含むすべてのアプリが無効化されます。作業プロファイル モードでは、システム マネージャによって、オレンジ色のブリーフケースで示されるデフォルト アプリの作業バージョンが作業プロファイル内で自動的に作成されます。デフォルトでインストールされているか「システム アプリ」として扱われているアプリケーションは、デバイスのメーカーによって異なります。たとえば Samsung のデバイスでは、Google Nexus または Pixel デバイスとは異なるダイヤラ、カメラ、SMS アプリが使用されています。

デバイス オーナー モードでプロビジョニングするか、または管理対象の作業プロファイルに複製する、デフォルトの Android アプリをカスタマイズする方法については、「Android システム アプリの制御」[英語] の記事を参照してください。

登録のトラブルシューティング

クライアント デバイスが登録されているかどうかを確認するには、[システムマネージャ(Systems Manager)] > [モニタ(Monitor)] > [クライアント(Clients)] に移動して、クライアント ページを確認します。リストからクライアントを選択し、クライアントの詳細ページの上部左側の列にある [管理(Management)] セクションを確認します。組織が正常に登録/同期されていれば、[Android for Workアカウント(Android for Work Account)] というフィールドが表示されています。デバイスが Android for Work に登録されていれば、[はい(Yes)] と表示されています。フィールドが存在しない場合は、組織が Android for Work に正しく登録されていないと考えられます。

 

management.png

 

デバイスが正常に登録されているかどうかは、SM アプリを起動し、[AFWアカウントが有効(AFW account enabled)] に緑色のチェックマークが付いているかどうかで確認することもできます。 緑色のチェックマークではなく警告アイコンが表示されている場合は、アイコンをタップして、AfW アカウントを再度プロビジョニングしてください。これは次回のチェックイン時にダウンロードされ、数分後にインストールされます。以下のイメージは、作業プロファイル モードでデバイスが正常に登録された状態を示しています。 

 

 menu.png  config.png  AfW_Account.png

 

デバイス制限の有効化

AfW 対応デバイスのデバイス制限については、[Androidの追加(More Android)] タイル以下の [システムマネージャ(Systems Manager)] > [MDM] > [設定(Settings)] で確認できます。このドロワーは、[アプリ制限(App permissions)]、[制限(Restrictions)]、[デバイスオーナー(Device Owner)]、[キオスクモード(Kiosk Mode)] という 4 つの別個のセクションに展開します。

 

Screen Shot 2018-04-26 at 5.12.46 PM.png

  • アプリのアクセス許可:この設定では、アプリケーションのアクセス許可をカスタマイズできます。たとえば、アプリケーションによるデバイスの連絡先、保存された支払方法や、ネットワークへのアクセスを拒否できます。アプリケーション アクセス許可はアプリごとに異なります。アプリを選択した状態で表示される [アクセス許可の取得(Fetch permissions)] ボタンを使用すると、該当するアクセス許可の一覧を確認できます。
  • 制限:BYOD およびデバイス オーナー両方のモードで、Android for Work を使用するすべてのデバイスに適用される全般設定です。

  • デバイス オーナー:デバイス オーナー モードでプロビジョニングされた Android デバイスだけに適用される、特別な制限です。
  • キオスク モード:キオスク モードでは、管理者が特定のアプリケーションにデバイスをロックできます。これは、デバイス オーナー モードの Android 6 以上のデバイスでのみ使用できます。詳細についてはこちらを参照してください。
  • アプリのアクセス許可は、アプリの設定とは混同しないでください。Android for Work デバイスのアプリ設定の詳細については、こちらを参照してください。
  • 一般的な制限([Androidの追加(More Android)] 以下にある制限ではない)は、旧バージョンのシステム マネージャを使用している KNOX デバイスだけに適用されます。

 

アプリケーションのインストール

公開されている Google Play ストア アプリまたはカスタム .apk Android アプリは、BYOD とデバイス オーナー両方のモードで、すべての AfW 対応デバイスにサイレントにプッシュできます。

Play ストア アプリ

Play ストア アプリをプッシュするには、先に [システムマネージャ(Systems Manager)] > [MDM] > [アプリ(Apps)] にある [アプリ(Apps)] ページに追加する必要があります。追加後に、登録済みの SM デバイスでアプリをダウンロードできるよう、追加されたアプリのアクセスを承認する必要があります。無料のアプリケーションは Meraki ダッシュボードで承認できますが、有料のアプリケーションは Google for Work Play ストアを使用して管理する必要があります。

Google 管理対象ドメインの場合は、Google for Work Play ストアに管理者アカウントでログインし、アプリケーションを承認してライセンスを購入します。Meraki 管理対象ドメインの場合は、ダッシュボードの [組織(Organization)] > [MDM] > [Android for Work] セクションの電子メール アドレスを使用して、Google for Work Play ストアにログインします。

 

         

 

アプリの承認は Meraki ダッシュボードと Google for Work Play ストアの両方で可能であるため、アプリ承認に関する不一致が生ずる場合があります。これを解決するには、[アプリ(Apps)] ページで [アカウント(Accounts)] > [Afwアプリの同期(Sync Afw Apps)] をクリックします。

範囲設定

Android for Work 組織で承認されたアプリケーションについては、デバイスのアプリ ストアに表示される範囲を設定する必要があります。タグによってデバイスでの範囲設定が行われた承認済みアプリケーションは、[管理対象アプリ(Managed Apps)] 以下の Meraki Systems Manager アプリと Play ストアの両方に表示されます。Work Play ストアで承認済みのアプリケーションについては、原則的に、デバイスでダウンロードして使用できるアプリケーションのホワイト リストが作成されます。これらのアプリケーションはデバイスにプッシュされ、サイレントにインストールされます。

アプリの設定の詳細については、こちらの記事を参照してください。

ダッシュボードに追加された未承認のアプリが Play ストアに表示される場合がありますが、それらは承認されるまでダウンロードできません。 

 

       

カスタム(エンタープライズ)アプリケーション

カスタム .apk ファイルを管理対象の Play for Work Store にアップロードする方法については、こちらの Google の記事を参照してください。

また、Meraki ダッシュボードを通じて .apk ファイルを直接配布するオプションもあります。[システムマネージャ(Systems manager)] > [MDM] > [アプリ(Apps)] で、[新規追加(Add new)] > [Android] > [カスタムアプリ(Custom app)] をクリックします。必要に応じてフィールドに入力し、.apk がホストされている URL にリンクするか、Meraki Cloud に直接アップロードします。

アプリの設定の詳細については、こちらの記事を参照してください。

Screen Shot 2017-12-08 at 1.19.27 PM.png