Workspace ONE UEM を使用して Android デバイスを管理する

Workspace ONE UEM は、Android デバイスの展開時にデバイス加入、セキュリティ保護、構成、および管理を行うための、堅牢なモビリティ管理ソリューション セットです。Workspace ONE UEM コンソールには、企業所有デバイスと個人所有デバイスのライフサイクル全体を管理するための、自在に使えるいくつものツールと機能が用意されています。

このガイドでは、Workspace ONE UEM を Enterprise Mobility Manager (EMM) として Android デバイスと統合する方法について説明します。

Android で使用される重要な用語

Android に関連付けられるこれらの重要な用語は、ユーザーに対する設定を構成および展開する方法を理解するのに役立ちます。

  • Work プロファイル – プロファイル所有者とも呼ばれる、Work プロファイル モードは、デバイスにビジネス アプリケーションとコンテンツのみの専用コンテナを作成します。Work プロファイル モードは、組織がビジネスのデータとアプリケーションを管理し、ユーザーの個人データとアプリにはアクセスできないようにします。Android アプリは、ブリーフケース アイコンで表示され、個人アプリと区別できます。
  • Work 管理対象 – Work 管理対象モードは、デバイス所有者または完全管理モードとも呼ばれ、デバイス全体をロックします。ユーザーは企業アプリにアクセスでき、Google Play ストアを通じて個人アプリにアクセスできなくなります。
  • 企業所有の個人利用 – 企業所有の個人利用 (COPE) とは、Work 管理対象デバイスと同様の企業所有デバイスを指しますが、ユーザーは企業アプリケーションにアクセスするための Work プロファイルを受け取ります。ユーザーは、Work プロファイルの外部では、依然として個人の Google Play ストアにアクセスできます。COPE は、Android 8.0 以降のデバイスでのみ使用できます。
  • 管理対象の Google アカウント – Android に使用するデバイスに登録した Google アカウントを参照して、Google Play から Android アプリの管理を提供します。このアカウントは、Android 構成を管理するドメインによって管理されます。
  • 管理対象の Google Play アカウント - Android を設定するが、G Suite アカウントや管理対象の Google アカウントを持っていない組織向け。
  • Google サービス アカウント – Google サービス アカウントは、G Suite のお客様向けに推奨される Google API にアクセスするアプリケーションによって使用される特別な Google アカウントです。
  • EMM トークン – 管理対象の Google アカウントに Workspace ONE UEM コンソールを接続するために Workspace ONE UEM が使用する一意の ID です。
  • 管理対象 Google ドメイン – エンタープライズに関連付けられている Android を有効にするために要求されるドメインです。
  • Google ドメインのセットアップ – 管理対象の Google ドメインを要求するための Google プロセスです。
  • AirWatch Relay – 管理者が Workspace ONE UEM に Android デバイスを一括加入するために使用する、Workspace ONE UEM アプリケーションです。
  • NFC バンプ – デバイスを隣り合うように配置すること(「バンプ」と呼ばれます)で情報を交換できるようにする通信テクノロジー。これは、AirWatch Relay アプリを使用して、子デバイスに親デバイスから情報を渡す間に行われます。
  • AOSP/閉じられたネットワーク – Android オープン ソース プロジェクトまたはクローズド ネットワークとは、Google Mobile Services (GMS) 非使用の Android デバイスおよび、Google に非アクセスのコンソール環境を指します。この加入モードでは、Google アカウントは作成されません。
  • ユーザーベースの加入 - デバイスが加入されると、作成される Google アカウントは、この従業員が加入したすべてのデバイスで同じになります。この加入方法は、代理セットアップが必要ないデバイスに従業員を割り当てる場合に最適です。
  • デバイスベースの加入 - 生成された Google アカウントは、同じユーザーが加入したデバイスごとに異なります。これは、代理セットアップ デバイスまたは専用デバイスに最適です。
  • Cap and Grow - [Cap and Grow] 機能により、Android (Legacy) から Android Enterprise への移行を行う際に、現在のデバイス展開を引き続き使用できます。新しいデバイス展開はすべて Android Enterprise に加入でき、古いデバイスで管理できます。

Workspace ONE UEM で Android を使用するための要件

Android デバイスを展開する前に、次に示す前提条件、加入要件、サポート資料、および Workspace ONE UEM チームからの注意事項を確認してください。

サポートされる OS

Android 7.X.X

Android 8.X.X

Android 9.X.X

注:Android 9 以降を Android (Legacy) 展開で実行している LG デバイスでは、LG サービス アプリケーションはサポートされなくなりました。Android Legacy の加入方法を使用して Android 9 以降の LG デバイスを使用している場合は、Android Enterprise への移行を検討してください。

Android 10.X.X

Android 11.X.X

Android 12.X.X

Android 13.X.X

Android 14.X.X

注:COPE 加入済みデバイスを Android 10 から Android 11 にアップグレードすることで、プライバシーに配慮するよう更新された一連の機能を利用できるようになります。COPE デバイスの主要な特徴と機能の概要は、「Android デバイス モードについて」を参照してください。

注:テストを完了するのに多くの時間を要する場合は、デバイスの Android 11 へのアップグレードを遅らせるためのオプションが 2 つあります。「Android デバイスのシステム アップデートの管理」を参照してください。

お使いのデバイスで Google Play EMM の統合がサポートされていない場合は、Android (Legacy) 展開を参照するか、または AOSP/Closed Network 構成を使用してください。

AOSP/閉じられたネットワークの詳細については、「Android デバイス モードについて」を参照してください。

Android GO のサポート

Workspace ONE UEM は、Work 管理対象モードで Android GO を実行しているデバイスのみサポートします。これにより、Work 管理対象モードのすべてのデバイス管理機能は、次の場合を除いてサポートされます。

  • Workspace ONE Launcher
  • デバイス上のファイルまたはディレクトリのアクセスまたは変更を必要とするプロダクト プロビジョニング機能
    • ファイル/アクション - 再起動および実行インテント アクションのみがサポートされます
    • 条件 - Launcher 以外のすべての条件がサポートされます
    • イベント/アクション - 「カスタム設定の適用」を除くすべてのアクションがサポートされます

Android のネットワーク要件

エンドユーザー デバイスがアプリケーションとサービスにアクセスするには、特定のエンドポイントに到達できる必要があります。Android のネットワーク要件は、エンタープライズ管理 API の現在および過去のバージョンの既知のエンドポイントのリストです。

すべてのエンドポイントに正常に到達するには、直接接続が必要です。デバイスがプロキシの背後で接続されている場合、直接通信ができず、特定の機能が失敗します。

送信先ホスト ポート このガイドの目的
play.google.com、android.com、google-analytics.com、*.googleusercontent.com、*gstatic.com、*gvt1.com*、*ggpht.com、dl.google.com、dl-ssl.google.com、android.clients.google.com、*gvt2.com、*gvt3.com TCP/443TCP、UDP/5228-5230 Google Play および updatesgstatic.com、* googleusercontent.com - ユーザー生成コンテンツ(例:ストア内のアプリ アイコン)を含みます。*gvt1.com、*.ggpht、dl.google.com、dl-ssl.google.com、android.clients.google.com -アプリおよびアップデートをダウンロードします。PlayStore API、gvt2.com、gvt3.com は、診断用に Play の接続監視に使用されます。
* googleapis.com TCP/443 EMM/Google API/PlayStore API
accounts.google.com、accounts.google.[country] TCP/443 認証。accounts.google.[country] の場合、[country] のローカル最上位ドメインを使用します。たとえば、オーストラリアには accounts.google.com.au を、英国には accounts.google.co.uk を使用します。
fcm.googleapis.com、fcm-xmpp.googleapis.com TCP/443、5228-5230 Firebase Cloud Messaging(例:デバイスを探す、EMM コンソール <-> DPC 通信、構成のプッシュなど)。これは、プロキシでは機能しません(詳細については、こちらを参照してください)。
pki.google.com、clients1.google.com TCP/443 証明書失効リストによる、Google 発行の証明書の確認
clients2.google.com、clients3.google.com、clients4.google.com、clients5.google.com、clients6.google.com TCP/443 クラッシュ レポート、Chrome ブックマーク同期、時間同期 (tlsdate) など、さまざまな Google バックエンド サービスで共有されているドメイン
omahaproxy.appspot.com TCP/443 Chrome のアップデート
android.clients.google.com TCP/443 NFC プロビジョニングで使用される CloudDPC ダウンロード URL
connectivitycheck.android.com www.google.com TCP/443 CloudDPC v470 Android 接続チェック前の N MR1 で開始される接続チェックでは、https://www.google.com/generate _204 が到達可能であるか、特定の WiFi ネットワークが到達可能な PAC ファイルを指し示している必要があります。また、Android 7.0 以降を実行している AOSP デバイスでもこれが必要です。
www.google.com、www.google.com/generate_204 Android 7.0 以降を実行している AOSP デバイス
android-safebrowsing.google.com、safebrowsing.google.com TCP/443 Android アプリケーションの検証

デバイス サービス プロキシの要件

Workspace ONE UEM デバイス サービス アプリケーションは、Google の SafetyNet Attestation API を使用して、Android デバイスの整合性を検証し、それらが侵害されていないことを確認します。これを行うには、Google サーバへの送信 API 呼び出しを行います。オンプレミス環境では、デバイス サービス アプリケーションがプロキシ経由の送信接続のみを許可するように選択できます。これらの場合、Workspace ONE UEM Console を使用してアプリケーション レベルでプロキシ設定を構成するだけでなく、デバイス サービス アプリケーションをホストする Windows サーバのシステム レベルでもこの送信プロキシを構成する必要があります。Windows サーバが必要な Google エンドポイントに送信接続できない場合、SafetyNet Health Attestation は失敗します。

Console のファイアウォール ルール

EMM console がオンプレミスに配置されている場合、管理対象の Google Play エンタープライズを作成し、管理対象の Google Play iFrame にアクセスできるようにするため、以下の宛先はネットワークからアクセスできる必要があります。

こうした要件は、現在の Google Cloud の要件を反映したもので、変更される可能性があります。

送信先ホスト ポート このガイドの目的
play.google.com、www.google.com TCP/443 Google Play ストアの Play エンタープライズの再加入
fonts.googleapis.com*、.gstatic.com TCP/443 iFrame JS、Google のフォント、ユーザーにより生成されたコンテンツ(ストア内のアプリアイコンなど)
accounts.youtube.com、ccounts.google.com、accounts.google.com.* TCP/443 アカウント認証、国固有のアカウント認証ドメイン
apis.google.com、ajax.googleapis.com TCP/443 GCM、その他の Google Web サービス、および iFrame JS
clients1.google.com、payments.google.com、google.com TCP/443 アプリ承認
ogs.google.com TCP/443 iFrame UI 要素
notifications.google.com TCP/443 デスクトップ/モバイル通知

加入要件

貴社で展開しているそれぞれの Android デバイスと Workspace ONE UEM 間の通信を確立し、Android デバイス上で貴社のコンテンツや機能を利用できるようにするには、はじめに Android デバイスの加入が必要です。デバイスを加入させるには以下の情報が必要になります。

E メール ドメインが貴社環境に関連付けられている場合 – 自動検出を使用する場合:

  • E メール アドレス – 貴社に関連付けられている E メール アドレス。例: [email protected]
  • 資格情報 – この ユーザー名パスワード を使用して Workspace ONE UEM 環境にアクセスします。資格情報は、ネットワーク ディレクトリ サービスの資格情報と同じ場合も、Workspace ONE UEM console で一意に定義されている場合もあります。

E メール ドメインが貴社環境に関連付けられていない場合 – 自動検出を使用しない場合:

ドメインが貴社環境と関連付けられていない場合は、E メール アドレスの入力を求められます。自動検出機能が無効になっているため、以下の情報を入力するよう要求されます。

  • グループ ID – このグループ ID は各デバイスを企業内役割と関連付けます。これは Workspace ONE UEM コンソールで定義されます。
  • 資格情報 – この一意のユーザー名とパスワードのペアを使用して AirWatch 環境にアクセスします。資格情報は、ネットワーク ディレクトリ サービスの資格情報と同じ場合も、Workspace ONE UEM console で一意に定義されている場合もあります。

Workspace ONE Intelligent Hub をダウンロードして、後で Android デバイスを加入させるには、次のいずれかの手順を実行する必要があります。

  • https://www.getwsone.com に移動して、プロンプトの指示に従います。
  • Google Play ストアから Workspace ONE Intelligent Hub をダウンロードします。

Android の加入制限事項

加入制限事項により、既知のユーザー、ユーザー グループ、許可される加入デバイスの数などの制限を設定した加入をプロビジョニングできます。

これらのオプションを有効にするには、[グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [加入] の順に進みます。[制限] タブを選択すると、組織グループやユーザー グループのロール別に加入制限事項をカスタマイズできます。

以下の条件に基づいて加入制限を作成できます。

  • Android デバイスのメーカーおよびモデル。これによって、承認されたデバイスのみが Workspace ONE UEM に加入できるようにします。Android デバイスが加入すると、デバイスの新しいメーカーおよびモデルを含むようにスマート グループおよび加入制限基準が更新されます。

    注:一部のデバイスは、他のベンダーによって製造されています。デバイスの実際のメーカーを指定したポリシーを作成して、ポリシーを有効にすることができます。デバイスのメーカーを特定するには、次のような方法があります。

    • デバイス設定の 概要 画面に移動します。
    • adb コマンドを使用:adb shell getprop | grep "manufacturer".
  • UDID、IMEI、シリアル番号に基づいてデバイスをブラックリスト/ホワイトリストに設定します。

    注:Android 10 以降のデバイスを Work プロファイル モードに加入させると、UEM console がデバイスから IMEI またはシリアル番号を取得して、デバイスがホワイトリストまたはブラックリストに登録されているかどうかを確認できるまで、デバイスは保留状態になります。これが確認されるまで、デバイスは完全には加入されず、加入が完了するまで業務データは一切送信されません。

Android デバイスのモードの概要

IT 管理者は、Android の組み込み管理機能を利用して、業務専用に使用されるデバイスを詳細に管理できます。

組織内で使用されているデバイスの所有形態に応じて、Android には複数のモードが用意されています。

  • Work プロファイル:業務アプリケーションおよびデータ専用の領域をデバイス上に作成します。これは、個人デバイスの業務利用 (BYOD) アプリケーションに最適な展開です。
  • Work 管理対象デバイス:Workspace ONE UEM および IT 管理者はデバイス全体を制御し、Work プロファイルには利用できない幅広いポリシー制御を適用できますが、デバイスは企業の使用のみに制限されます。
    • 企業所有の個人利用:企業が所有するデバイスを表しており、Work 管理対象デバイスと似ていますが、個人と企業の両方の使用に対応する Work プロファイルがプロビジョニングされます。
    • Google Play サービスを使用しない Work 管理対象デバイス:Workspace ONE UEM を、Android オープン ソース プロジェクト (AOSP) デバイス、非 GMS デバイス、または組織内の閉じたネットワークで使用する場合は、Google Play サービスを使用せずに Work 管理対象デバイスの加入フローを使用して Android デバイスを加入させることができます。

Work プロファイル モードの機能

Work プロファイル内のアプリケーションは、赤色のブリーフケース アイコンによって区別され、バッジ アプリとも呼ばれます。ユーザーの個人用アプリと統合されたランチャー内に表示されます。たとえばデバイスに Google Chrome の個人用アイコンと、バッジで区別される Work Chrome 用のアイコンの両方が表示されます。エンドユーザーからは 2 つの異なるアプリケーションのように見えますが、アプリのインストールは 1 回だけで、ビジネス データと個人データが別々に格納されています。

Workspace ONE Intelligent Hub はバッジ付きであり、Work プロファイル データ領域内のみに存在します。個人用アプリは制御できず、Workspace ONE Intelligent Hub には個人情報へのアクセス権がありません。

Work Chrome、Google Play、Google 設定、連絡先、カメラなど、既定で Work プロファイルに含まれているシステム アプリケーションは多数ありますが、制限事項プロファイルを使用して非表示にできます。

一部の設定は、個人用と業務用の構成の間に区切りが表示されます。次の設定で別々の構成が表示されます。

  • 資格情報:管理対象デバイスへのユーザー認証用の社内証明書を表示します。
  • アカウント:Work プロファイルに関連付けられている管理 Google アカウント。
  • アプリケーション:デバイスにインストールされているすべてのアプリケーションを一覧表示します。
  • セキュリティ:デバイスの暗号化ステータスを表示します。

Work 管理対象デバイス モードの機能

Work 管理対象デバイスのモードでデバイスが加入すると、真の企業所有モードが作成されます。Workspace ONE UEM がデバイス全体を制御し、業務データと個人データの区切りがありません。

Work 管理対象モードで注意すべき重要な点は次のとおりです。

  • ホーム画面には、Work プロファイル モードのようなバッジ アプリケーションは表示されません。
  • ユーザーは、デバイスのアクティベーション時に事前ロードされていたさまざまなアプリケーションにアクセスできます。追加のアプリケーションは、Workspace ONE UEM コンソールを通じてのみ承認および追加できます。
  • Workspace ONE Intelligent Hub は、セキュリティ設定でデバイス管理者として設定され、無効にできません。
  • Work 管理対象モードのデバイスを加入解除すると、デバイスの工場出荷状態リセットを要求されます。

Google Play サービスを使用しない Work 管理対象デバイス

Workspace ONE UEM を、Android オープン ソース プロジェクト (AOSP) デバイス、非 GMS デバイス、または組織内の閉じたネットワークで使用する場合は、Google Play サービスを使用せずに Work 管理対象デバイスの登録フローを使用して Android デバイスを登録できます。アプリケーションのホストを組織のイントラネットで行い、OEM 固有の登録方法を使用して展開することができます。

UEM console において、Android EMM 登録時に AOSP/Closed Network を使用することを指定する必要があります。

Google Play サービスを使わずに AOSP/Closed Network 展開で Work 管理対象デバイスを使用する場合は、次の点を考慮してください。

  • Android がトップ組織グループでセットアップ済みであり、AOSP/Closed Network を特定のサブ組織グループのみで使用したい場合は、UEM console 管理者のオプションとして、サブ組織グループでの OOBE (Out of Box Enrollment) に管理対象 Google アカウントがないことを指定できます。詳細は、「Android EMM 登録の加入設定」を参照してください。
  • Workspace ONE UEM 1907 以前を使用してデバイスを展開する場合、UEM console の構成は必要ありません。
  • Workspace ONE UEM 1908 以降を使用してデバイスを展開する場合は、「Android EMM 登録」ページで設定を構成する必要があります。
  • サポートされている加入方法は次のとおりです。
    • QR コード
    • Zebra デバイス用の StageNow
    • Honeywell デバイス用の Honeywell Enterprise Provisioner
  • VMware Workspace ONE Intelligent Hub 識別子を使用した登録は、AOSP デバイスではサポートされていません。
  • パブリック自動更新プロファイルはサポートされていません。このプロファイルは、パブリック アプリケーション専用であり、AOSP や閉じたネットワーク上のデバイスでは機能しません。
  • 工場出荷状態リセット保護プロファイルはサポートされていません。
  • 内部アプリケーション(Workspace ONE UEM console でホスト)は、AOSP/Closed Network デバイスにサイレントで展開されます。
  • 管理対象 Google アカウントなしで登録された Work 管理デバイスについては、パブリック アプリケーションの割り当てはできず、パブリック アプリケーションの割り当てデバイス数にカウントされません。
  • Google Play サービスを使用しないワーク管理対象デバイスの OS バージョンおよび OEM の要件:
    • AOSP(非 GMS)
      • Zebra および Honeywell - StageNow または Honeywell Enterprise Provisioner 加入をサポートしている OS バージョンである必要があります。
      • その他の OEM - OEM が StageNow のようなクライアントを介して、または QR コード加入へのアクセスをユーザーに可能にすることで、そのサポートを開発している場合を除き、サポートされていません。
    • 閉じられたネットワーク
      • Zebra および Honeywell - Android 7.0 以降、あるいは StageNow(同様に 7.0 以降)または Honeywell Enterprise Provisioner 加入をサポートしている OS バージョンである必要があります。
      • その他の OEM - Android 7.0 以降(QR コード加入が、サポートされている唯一の方法であるため)。
  • Google Play サービスを使用せずに Work 管理対象デバイスを構成する場合は、Firebase Cloud メッセージングの代わりに AWCM を使用するように、Workspace ONE Intelligent Hub を構成する必要があります。この更新が行われない場合、デバイスはコンソールからプッシュ通知を受信できません。

企業所有の個人利用 (COPE) モード

COPE モードを使用してデバイスを加入する場合、引き続きデバイス全体を制御します。COPE モードに独自の機能は、デバイス用と Work プロファイルの内部用に 2 つの別個のポリシーのセット(制限など)を適用できることです。

COPE モードは、Android 8.0 以降のデバイスでのみ使用可能です。Android 8.0 より前の Android デバイスを加入する場合、完全管理対象デバイスとして自動的に加入します。

デバイスを COPE モードに加入する際に考慮すべき事項があります。

  • 新規加入の場合、Android 11 を使用するには Workspace ONE Intelligent Hub 20.08 for Android および Workspace ONE UEM console 2008 を使用する必要があります。具体的な情報については、Android 11 での企業所有の個人利用 (COPE) への変更を参照してください。

  • SDK を使用した PIN ベースの暗号化と Workspace ONE UEM シングル サインオンは、企業所有の個人利用デバイスではサポートされていません。Work アプリケーションを使用するときに必ずパスコードを使用するために、Work パスコードを適用することができます。

  • シングル ユーザーの代理セットアップおよびマルチ ユーザーの代理セットアップは、COPE 加入にはサポートされていません。
  • (Workspace ONE UEM でホストされている)内部アプリケーションおよび COPE デバイスに展開されているパブリック アプリケーションは、Work プロファイル内のアプリケーション カタログに表示されます。
  • Work プロファイルのみの加入と同様に、企業所有の個人利用デバイスには、たとえばユーザーが休暇中の場合などにWork プロファイルを無効にするオプションがあります。Work プロファイルが無効になっていると、Work アプリケーションは通知を表示しなくなり、起動できません。Work プロファイルの状態(有効または無効)が、管理者に対して [デバイス詳細] ページに表示されます。Work プロファイルが無効になっている場合、最新のアプリケーションとプロファイル情報を Work プロファイルから取得できません。
  • Workspace ONE Intelligent Hub は、企業所有の個人利用デバイスの [完全管理対象] および [Work プロファイル] セクションにあります。Workspace ONE Hub が Work プロファイルの内部と外部の両方にあることで、管理ポリシーを Work プロファイル内とデバイス全体に適用できます。ただし、Workspace ONE Intelligent Hub は Work プロファイル内にのみ表示されます。
  • デバイスにプッシュ通知が送信されると、Work プロファイルの外部の Workspace ONE Intelligent Hub は一時的に使用可能になり、ユーザーはメッセージを表示できます。これにより、Work プロファイルが一時的に無効になっている場合でも、重要なメッセージがユーザーに送信されます。
  • 割り当てられたプロファイルは、Work プロファイルで Workspace ONE Intelligent Hub を使用して表示できます。
  • アプリケーション管理(アプリケーションのブロック/削除など)の順守ポリシーは、Work プロファイル内のアプリケーションにのみサポートされます。アプリケーションは、アプリケーション制御プロファイルを使用して(Work プロファイルの外部で)デバイスにブラックリスト登録することができます。
  • Android 11 以降の COPE デバイスでは、完全なデバイス ワイプを実行する代わりに、企業情報ワイプ デバイスを選択できます。デバイス ワイプ コマンドを使用して、完全なデバイス ワイプを実行することもできます。企業情報ワイプを実行すると、デバイスは Work プロファイルを削除し、デバイスの所有権をユーザーに返します。ユーザーの個人データはそのままです。
  • COPE の加入では、プロダクト プロビジョニングはサポートされていません。
  • Android 11 固有の変更
    • (Workspace ONE UEM によってホストされる) 社内アプリケーションは、デバイスの個人用プロファイル側にプッシュできなくなります。社内アプリ(プライベート アプリとして)およびパブリック アプリは、いずれも Work プロファイルのみに展開する必要があります。
      • 社内アプリケーションに依存する順守ルールなどの機能もサポート対象外となります。
    • 加入メソッド afw#hub はサポート対象外となります。
      • 代わりに、QR コードまたはゼロタッチ加入を使用することを検討してください。
    • テストを完了するのに多くの時間を要する場合は、デバイスの Android 11 へのアップグレードを遅らせるためのオプションが 2 つあります。具体的な情報については、Android 11 での企業所有の個人利用 (COPE) への変更を参照してください。
check-circle-line exclamation-circle-line close-line
Scroll to top icon