プロファイル(Android Enterprise)
端末機能制限やランチャーはプロファイルで設定します。
プロファイルは管理コンソールにログイン後、画面左上のから[プロファイル]をクリックします。
画面右上の [新しいプロファイル]をクリック、[Android]-[完全デバイス管理]をクリックします。
全般タブに任意のプロファイル名を入力(必須)、任意のプロファイルの説明を入力、[構成]タブに移動後、画面右上の[+]をクリックします。
設定可能なプロファイルは以下となります。
任意の設定を行い、[保存]-[保存して割り当て]、任意のグループや端末を選択後に[割り当て]をクリックします。
※すべての機能が有効とのお約束が出来かねますので、必ず実機にて事前の検証を実施ください。
※端末機能制限やランチャープロファイルの重複適用はお控えください。
①ウィルス対策保護
②システム更新ポリシー
③シングルサインオン
④出荷時のリセット防止
⑤証明書
⑥本人認証
⑦接続なし
⑧Webフィルター
⑨アプリケーション実行制御
⑩ファイアウォール
⑪ブラウザー
⑫ブラウザープロキシ
⑬ロックダウン
⑭機能制御
⑮APN
⑯VPN
⑰無線LAN
⑱Exchange For Gmail
⑲Managed Google Play
⑳OEM構成
㉑タスクスケジューラー
㉒デバイスの休止
㉓ブックマーク
㉔壁紙
㉕SOTI Hub
㉖SOTI Surf
㉗設定マネージャー
㉘プロファイルの割り当てオプション
㉙プロファイルの確認
㉚詳細な検索
①ウィルス対策保護
デバイスにウィルス対策保護を設定します。
②システム更新ポリシー
システムアップデートがどのように処理されるかを制御します。
※「年間OTAのアップデート停止時間」はインストールポリシーとは関係なくアップデートがデバイスに適用されない期間を作成できます。
また、停止期間は90日以内となり、停止期間の間は60日以上空ける必要があります。
③シングルサインオン
デバイスのシングルサインオン設定を行います。シングルサインオンは、SOTI Identityという別システムを使用している場合のみ可能です。
ご希望の場合は別途弊社サポートデスクへお問い合わせください。
国内での利用実績はありません。
④出荷時のリセット防止
デバイスを出荷時の状態に戻した後に、デバイスのロック解除を許可するユーザーを設定します。
※GoogleIDの取得は英文となりますが以下をご確認ください。
⑤証明書
端末に証明書を配布出来ます。
証明書一覧右のをクリック、[BROWSE]をクリック、証明書を選択後に[インポート]します。
トグルをONで[保存]します。
⑥本人認証
管理者とユーザーのパスワードポリシーを作成し、パスワードの複雑さを設定します。
本プロファイルはランチャー設定時に必須の設定となります。
(管理者)
(デバイス)
本人認証プロファイル設定すると、デバイスは管理者モードとなることができます。
管理者モードは端末機能制限プロファイルを除外、Android Enterpriseとして制御している開発者向けオプション、USBファイル転送が可能となります。
デバイス側の操作としては、MobiControlエージェントを起動後に、画面下の緑字の[ユーザー]をロングタップすることによりパスワード入力画面が表示されますので、設定したパスワードを入力し[OK]をタップします。
ユーザーモードに戻る際には赤字の[管理者]をロングタップします。
※管理者モードの状態では、USBケーブル転送と開発者向けオプションを有効にできます。
⑦接続なし
指定された時間内にデバイスがMobiControlサーバーとオンラインにならなかった場合に、実行するアクションが設定できます。
⑧Webフィルター
Google Chromeのアクセス許可、またはブロックするURLを指定します。
例として以下を設定した場合は、pol-japan.co.jp以外のサイトにアクセス不可となります。
※検索バーも制御(Google検索サイト)されているため、赤枠の完全一致のみアクセス可能です。
⑨アプリケーション実行制御
アプリを制限します。
アプリによってはアイコンを非表示にできませんが、起動後に即時停止されます。
Androidの仕様上、システムアプリの制限はGoogle社が推奨しておりません。
(ご参考)[Google Workspace管理者ヘルプ]-[組織のデバイスを管理する会社所有のモバイル]-[デバイスのシステムアプリを管理する]-[重要な Android システムアプリ]
https://support.google.com/a/answer/7292363?hl=ja
また、機種によってメーカーが定義するシステムアプリを制限した場合、デバイスが起動できないなどの不具合が生じる可能性があるため、機器メーカーに確認をお願いします。SOTI社、弊社ともに各メーカーの情報は保持しておりません。
例として、QR読み取りアプリを制限します。
アプリのパッケージ名を取得します。
端末一覧から該当の端末を選択、[アプリケーション]タブに移動後に検索窓にキーワードを入力し検索します。
[jp.kyocera.camera]が本アプリのパッケージ名となります。
画面右上の[+]をクリックします。
任意のリスト名を入力し、[+]をクリックします。
アイコンからCSVやテキストファイルのインポートも可能です。
一般的なアプリケーションであれば、[アプリケーションの検索]欄に部分一致の入力で検索可能です。
リストに複数アプリを含める際には、[+]で追加します。
作成したリストトグルをON、[保存]で割り当てます。
⑩ファイアウォール
Web トラフィックのフィルタリングや、ネットワークトラフィックを再ルーティングするなどデバイスレベルのファイアウォールを構成します。
本機能はSamsungのみに対応しております。
※国内での導入事例はございません。
詳細については以下をご確認ください。
⑪ブラウザー
Google Chromeの制限を行います。
⑫ブラウザープロキシー
Google Chromeがインターネットに接続する方法を指定できます。
詳細については英語となりますが以下のサイトをご参照ください。
(ご参考)Browser Proxy
⑬ロックダウン
ホーム画面に許可されたアプリやWEBサイトのみアクセスできるよう構成します。
本人認証プロファイルの適用が必須です。
[ホーム画面のアイテム追加]の[+]よりランチャー上に表示するアプリやWEBサイトを追加します。
(a)ホーム画面アイテム
アクションの設定値
(設定例)
(b)設定のプレビュー
(c)ロックダウン設定
「ネイティブ」と「アクティビティの抑制」の2パターンがありますが、OS9以降であれば「ネイティブ」はより細かく設定できるため、ネイティブでの運用を推奨します。
◆ネイティブ
◆アクティビティの抑制
(d)運転中のランチャー
デバイスが検知する速度によって設定が可能です。
日本国内の道路交通法や条例で運転中のデバイス操作は禁止されているため、弊社としては推奨しません。
詳細については英語となりますが以下のサイトをご参照ください。
(e)テンプレート
テンプレートのhtmlファイルを編集することにより、アプリを許可しているがアプリをランチャー上に表示させない、アプリのアイコンの大きさや配置を変更するなどが可能です。
テンプレートタブに移動後に、「カスタム」右の[+]をクリックします。
事前に[定義済みのテンプレート]の[MCTemplateAndroidDesktop.html]開き、全文をコピー&ペーストを推奨します。
テンプレートエディターのアイコンの説明は以下です。
●ランチャーに登録したアイコンの表示順
ランチャープロファイルの【ホーム画面アイテムの追加】で追加した順に、0から番号が割り当てられます。
順序を変える場合、該当アイテムを選び、右側の「上へ」か「下へ」で順序を変更します。
【ホーム画面アイテムの追加】
【ランチャーの画面】
●ランチャーのテンプレートHTMLとランチャープロファイルの設定の紐づけ
【ランチャーのテンプレートHTMLのアイテムの記述】
【テンプレートHTMLのタグの説明】
【MCDispImgで表示されるアイテム画像の指定箇所】
「ホーム画面アイテムの編集」画面にて「カスタムイメージを使用する」のトグルをONにします。
既にMobiControlにアップロードしている画像は、【既存のイメージ】から選択します。
追加でMobiControlにアップロードしたい画像は、【画像をアップロード】を選択します。
●サンプル①:アイテムの追加
1段目にアイテム0(Chrome)、アイテム1(設定)が表示されている状態から、
2段目にアイテム2(MobiControl)を追加します。
上の赤枠がChromeと設定アプリを表示させる記述、
下の赤枠がMobiControlを表示させる記述となります。
●サンプル2:「SOTI MobiControl」「Powerd by SOTI MOBICONTROL」の削除
ヘッダー、フッターの「SOTI MobiControl」「Powerd by SOTI MOBICONTROL」を削除します。
そのため、上下の赤枠部分を削除したい場合は、それぞれの「background: url~」の記述を削除することで
可能です。
#Header {
/* background: url('<MCImg_BkgHeaderRepeat.png>') repeat-x; */
height: 71px;
width: 100%;
}
#Header .lockicon {
/* background: url('<MCImg_HeaderLock.png>') no-repeat; */
width: 69px;
height: 71px;
float: left;
position: absolute;
フッター
#Footer .FooterContainer {
margin:0;
display:block;
overflow:hidden;
height: 57px;
line-height: 57px;
/* background: url('<MCImg_BkgFooterRepeat.jpg>') repeat-x; */
}
#Footer .FooterContainer .FooterBg {
/* background: url('<MCImg_poweredbysoti.jpg>') no-repeat; */
width: 426px;
height: 57px;
float: right;
}
●サンプル3:アイテムの非表示
<!-- --> で囲うことでアイテムを非表示にすることが可能です。
例えば、以下のように記述することで、一番上に登録したアイテムを非表示にすることができます。
=========
<!-- <li><A href ="<MCLink0>"><img src="<MCDispImg0>" /><div class="txt"><MCDISP0></div></a></li> -->
=========
(f)ランチャーの解除
管理コンソールからは以下のアクションで解除できます。
デバイス上からの操作は以下2パターンとなります。
※デバイス上からの操作でキオスク画面の有効/無効は出来ず、管理者モード/ユーザーモードによる解除のみとなります。
●3ボタンの場合は[戻るキー]ロングタップ、もしくは画面下から上にスワイプ、アクション画面の[管理者]をタップ、[本人認証]プロファイルで設定したパスワードを入力します。
●ジェスチャーモードの場合は、画面下から上にスワイプとなります。
●ユーザーモードへの戻り方は、MobiControlエージェントを起動、画面下までスワイプ後に赤文字の[管理者]をロングタップします。
⑭機能制御
デバイスに機能制限を設定します。
設定しない場合も初期値が端末には割り当てられています。
ランチャープロファイルでカバーできる制限は設定しないことを推奨します。
タブ毎にご案内します。
(a)端末の機能タブ
(b)通信環境タブ
(c)認証タブ
(d)ポリシーメッセージング
端末機能制限の詳細については英語となりますが以下のサイトをご参照ください。
Feature Control (Android Enterprise Work Managed)
⑮APN
APN(アクセスポイントネーム)を構成します。
設定内容につきましては、通信事業者にお問い合わせください。
⑯VPN
VPNの設定を行います。
設定内容については提供ベンダー、詳細については英語となりますが以下のサイトをご参照ください。
(一部抜粋)
(ご参考)VPN: IPSec Xauth PSK
(ご参考)VPN: IPSec Xauth RSA
(ご参考)VPN: IPSec Hybrid RSA
(ご参考) VPN: L2TP
(ご参考) VPN: L2TP
(ご参考) VPN: Pulse Secure
⑰無線LAN
デバイスのWi-Fi設定を構成します。
DHCPのみの設定となり、静的(固定)IPアドレスの設定はできません。
⑱Exchange For Gmail
デバイスにメールアカウントを設定します。
詳細については英語となりますが以下のサイトをご参照ください。
(ご参考)Email: Exchange for Gmail
⑲Managed Google Play
アプリポリシーでPlayストアからのアプリを配信する際のGoogle Playを構成します。
※Managed Google Playプロファイルよりもアプリポリシーの優先度が優先されます。
(例)Google Chromeをアプリポリシーの優先度[高優先度]で配信した場合
・Google Chromeは回線種別問わず、アップデートされます。
・その他のアプリはManaged Google Playで設定、もしくは手動で設定したアップデート設定に準じます。
アプリケーションのアップデートを[アップデートしない]に設定を行っても、Androidデバイスの仕様として、アプリのアップデートがセキュリティ上の重大な脆弱性を修正すると Google が判断した場合は、 アプリやデバイスでの更新設定にかかわらず、アップデートを適用することがあります。MDMで管理できません。
(ご参考)[Google Play Store]-[How to update the Play Store & apps on Android]
https://support.google.com/googleplay/answer/113412?hl=En
⑳OEM構成
以下メーカーのOEM構成を行います。
・Datalogic
・Honeywell
・Panasonic
・Samsung
・Zebra
国内での実績がなく、開発メーカーでもマニュアルの用意がありません。
㉑タスクスケジューラー
デバイスでスケジュールしたタスク(スクリプト)を実行します。
デバイスの電源がONであれば、MobiControlサーバーとオフラインであってもデバイス上でスクリプトを実行します。デバイスの電源がOFFの場合は、電源投入後にOFFであった期間のスクリプトは実行しません。
㉒デバイスの休止
端末の画面がタイムアウトもしくはロックされたときにスクリーンセーバーやアクションの実行を設定できます。
㉓ブックマーク
Google Chromeに指定したブックマークを追加します。
ブックマーク名とURLを指定します。
(設定例)
設定したブックマークは[管理対象のブックマーク]に格納されます。
㉔壁紙
デバイスのホーム画面とロック画面の壁紙を設定します。
ホーム画面とロック画面で異なる壁紙を使用することもできます。
画像ファイルは5MB以下の.png、および.jpgをサポートしております。
※[壁紙]プロファイルを割り当てますと、デバイスの設定から変更不可となります。
デバイスの[設定]-[壁紙]をタップした際の表示
㉕SOTI Hub
SOTI Hubは限られたユーザーとのファイル共有を目的に、ダウンロードしたファイルをデバイスのSOTI Hubアプリで閲覧、編集などが可能であり、他のアプリに渡すことを制御できます。
なお、WebDAVサーバーの構築/運用が必須となるため、有償オプションとなります。
詳細については英語となりますが以下のサイトをご参照ください。
(ご参考) Using SOTI Hub
https://pulse.soti.net/support/soti-mobicontrol/help/?V=2024.1&T=console/data/sotihub/sotihub
㉖SOTI Surf
SOTI SurfはMobiControl開発元のSOTI社が提供する専用ブラウザです。
使用するにあたり、SOTI Surfアプリのインストールとプロファイルの適用が必須です。
インストールはアプリポリシー、またはパッケージ配信にて行います。
apkは以下のサイトからダウンロードできます。
https://docs.soti.net/soti-mobicontrol/downloads/
(a)全般
(b)プライバシー
(c)フィルタリング
(d)キオスクモード
㉗設定マネージャー
設定マネージャーはランチャー使用時にAndroidの設定を操作させずに、画面の表示やWi-Fi、Bluetoothのみ操作可能とします。デバイスに設定マネージャーアプリのインストールが必須となります。
インストールはパッケージ配信にて行います。
apkは以下のサイトからダウンロードできます。
https://docs.soti.net/soti-mobicontrol/downloads/
㉘(ご参考)割り当てオプション
割り当て画面右上の[オプション]では以下の設定が可能です。
設定後に[保存オプション]をクリックします。
*1…Self Serviceを選択した際には、プロファイルのインストールを端末のMobiControlエージェントにて操作します。
㉙プロファイルの確認
プロファイル一覧画面では、以下のフィルターで表示できます。
作成したプロファイルは、該当プロファイルを選択後に画面下のメニューバー、もしくはプロファイルを開いた後に編集や削除が可能です。
プロファイルを選択した状態で以下が確認できます。
プロファイルステータス一覧は以下となります。
㉚詳細な検索
プロファイル画面にて[指定されたデバイス]をクリックすることで割り当てられた端末をフィルタすることが可能です。
以下では手動でインストール状況をフィルタする手順を紹介します。
(例1)インストールを保留中の端末を確認
検索窓をクリック後に、[プロファイル]をクリックします。
[名前]を選択後に[=]を選択しプロファイル名を入力し[完了]をクリックします。
※[名前]が表示されていない場合は編集アイコンから追加したいアイコンをチェックして[保存]をクリックしてください
赤枠にカーソルを合わせ↓キーを押下後に[および]を選択、上記同様に[状態]を選択後に[=である]-[インストールを保留中]を選択、-
クリックします。
インストールを保留中の端末一覧が表示されます。
また、[レポート]からもプロファイルのステータスが確認できます。
(例2)レポートによるプロファイルを割り当てたデバイスの一覧出力
レポートは管理コンソールにログイン後、画面左上のから[レポート]をクリックします。
左上の[ファ…]の右にあるプルダウンにて[Apple]をクリックします。
その後、レポートのカテゴリーから[プロファイルレポート]-[Profile Status]を選択し、[今すぐ生成]をクリックします。
入力項目は以下です。
出力結果は以下です。
Related Articles
ウィルス対策保護プロファイルの誤検知除外手順(Android Enterprise)
未実行アクションとしてアプリが誤検知される場合があります。 (例としてテストウィルスアプリを使用しています) 通常のアプリであれば未実行アクションから削除が可能ですが、システムアプリはデバイス上から隔離や削除 ができないため、未実行アクション(保留中のユーザーアクション)として残ります。 お手数ですが、以下の手順でホワイトリストへの登録をお願いします。 先ほどの画像の例であれば、検知されているアプリはANTIVIRUS TESTVIRUSとなります。 ...プロファイル(iOS)
端末機能制限などはプロファイルで設定します。 プロファイルは管理コンソールにログイン後、画面左上のから[プロファイル]をクリックします。 画面右上の [新しいプロファイル]をクリック、[Apple]-[iOS]をクリックします。 全般タブに任意のプロファイル名を入力(必須)、任意のプロファイルの説明を入力、[構成]タブに移動後、画面右上の[+]をクリックします。 設定可能なプロファイルは以下となります。 ...推奨するプロファイルの作成例について(Android)
プロファイルのまとめ方については、どのような方法が正しいと言うものがない状況ではありますが、設定のプロファイルとパッケージについては、分けて運用いただくことを推奨します。 また、今後の拡張性や目的のプロファイルの検索を容易とするため、種別ごとに分けて管理する手法を例として挙げます。 プロファイル名 設定するプロファイル Security ウィルス対策保護、本人認証、無接続端末対策など Restrictions アプリ制限、端末機能制限、ブラウザなど Lockdown ランチャー Settings ...Android Enterpriseのリモートコントロールについて(Android Enterprise)
MobiControlエージェントバージョン15.2.0より、リモートコントロールの仕様が変わり、スクリプトだけではリモートコントロール不可となりました。 (ご参考)Android Enterprise Agent Maintenance Releases Remote Control Support on All Android Enterprise Devices via Generic Plugin ...MobiControlの設定順序(Android Enterprise)
MobiControlの利用方法は端末を管理する内容によって異なりますが、概要は以下となります。 ①端末の管理方法、および端末の選定 ②グループ(フォルダ)の作成 ③端末登録ポリシーの作成(環境提供時に弊社で作成済) ④端末の登録 ⑤プロファイルの作成 ⑥ポリシーの作成 ⑦パッケージの作成 ①端末の管理方法、および端末の選定 Androidの管理は主に以下2パターンとなります。 ①Android Enterprise(Full device management) ...