Android 加入用にサポートされている追加の加入フラグ(DPC 追加項目)

このトピックでは、QR コードまたはゼロタッチ ポータルでの加入を使用した追加の加入フラグを実装する方法について説明します。

書式

以下の例において、太字 の情報は、QR コードまたは JSON での加入を実装するときの 必須情報 を示します。

オプションの値については、"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": 以降に、Workspace ONE Intelligent Hub で構成される加入資格情報を入力してください。Workspace ONE UEM コンソール サーバの URL、グループ ID、加入ユーザー名、およびパスワードを含めることができます。

"VMwareSpecificflags":"EnterValue" については、以下の使用可能なフラグを参照し、必要に応じて正しい値を使用してください。

{
   **"android.app.extra.PROVISIONING\_DEVICE\_ADMIN\_COMPONENT\_NAME":"com.airwatch.androidagent/com.airwatch.agent.DeviceAdministratorReceiver",
   "android.app.extra.PROVISIONING\_DEVICE\_ADMIN\_SIGNATURE\_CHECKSUM":"6kyqxDOjgS30jvQuzh4uvHPk-0bmAD-1QU7vtW7i\_o8=",
   "android.app.extra.PROVISIONING\_DEVICE\_ADMIN\_PACKAGE\_DOWNLOAD\_LOCATION":"",
   "android.app.extra.PROVISIONING\_SKIP\_ENCRYPTION":"false",**
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "serverurl":"",
      "gid":"",
      "un":"",
      "pw":"",
      "VMwareSpecificflags":"Value"
   }
}

自動検出加入エラーが発生した場合に Hub のピン留めを解除

注:このフラグは、Andoid 10 以前でのみサポートされます。

自動加入中の手順に失敗したり、エラーが発生したりした場合、Hub はピン留めを解除するようにユーザーに求めることがあり、これにより、ユーザーはデバイス全体にアクセスできます。ピン留め解除機能は、オプション パスワードでも保護できます。これを設定すると、ユーザーは、ピン留めを解除するにはパスワードを入力する必要があります。ユーザーはパスワードの入力を無制限に試行できます。

加入 QR コードの「Admin Extras Bundle」に、次の DPC Extras を追加する必要があります。

"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": { "*allowUnpinning*": "*true*", *"unpinPassword":"1234"* }

セーフブートの無効化

加入時に、ユーザーがデバイスをセーフ ブート モードに再起動することを許可されているかどうかを判断します。これは、次のようなすべての組み込まれている加入方法に適用されます。Samsung Knox Mobile Enrollment (KME)、ゼロタッチ、QR コード。ブール値を設定するには、「Boolean」の値を「true」または「false」に置き換えます。

"disableSafeBoot":"Boolean"

USB デバッグの無効化

ユーザーがデバッグ機能に対する有効化やアクセスを許可されているかどうかを判断します。ブール値を設定するには、「Boolean」の値を「true」または「false」に置き換えます。

"disableUsbDebugging":"Boolean"

不明なソースの無効化

ユーザーがアプリ ストア外のアプリをインストールすることを許可されているかどうかを判断します。ブール値を設定するには、「Boolean」の値を「true」または「false」に置き換えます。

"disableInstallUnknownSources":"Boolean"

UEM 認証の使用

ユーザーが Workspace ONE Access 環境にいる場合でも、UEM 認証を使用する場合は、新しい QR コードを使用して同じように通知する必要があります。この QR コードは、カスタム JSON によって KME ポータルでも使用されます。ブール値を設定するには、「Boolean」の値を「true」または「false」に置き換えます。

"useUEMAuthentication":"Boolean"

ローカルの自動検出 URL

ローカルの自動検出 URL を設定するには、次の例の「String」を「www.myautodiscoveryurl.com」のような URL で置き換えます。

"localAutoDiscoveryUrl":"String"

検出のリトライ回数

整数値を使用して、検出のリトライ回数を設定します。10 以下の数値を検討してください。以下は、この値を正しく入力する方法の例を示したものです。「Integer」を任意の数値に置き換えてください。

"discoveryRetryCount":"Integer"

検出間隔(秒)

検出のリトライ間隔を秒単位で設定します。以下は、この値を正しく入力する方法の例を示したものです。「Integer」を任意の数値に置き換えてください。

"discoveryIntervalInSeconds":"Integer"

AOSP 加入

デバイスで、仕事用アカウントの追加をスキップできるようにします。ブール値を設定するには、「Boolean」の値を「true」または「false」に置き換えます。

"aospenrollment":"Boolean"

リトライ回数

失敗したときに自動加入をリトライする回数を設定します。10 以下の値を使用することを検討してください。以下は、この値を正しく入力する方法の例を示したものです。「Integer」を任意の数値に置き換えてください。

"retrycount":"Integer"

ピン解除を許可

加入中にハブから移動することをユーザーに許可します。ブール値を設定するには、「Boolean」の値を「true」または「false」に置き換えます。

"allowUnpinning":"Boolean"

加入証明書

加入証明書プロビジョニング DPC Extra を使用することで、加入前に VMware Workspace ONE Intelligent Hub for Android で証明書をインストールできます。これは、自己署名証明書を使用する閉じられたネットワーク環境で最適です。

DPC Extra が QR コードに含まれている場合、Hub は自動的にデバイス所有者(完全管理対象)モードで加入し、証明書をインストールしてデバイスを加入します。

次の手順に沿って、エンコードされた証明書データを取得します。

  1. Android 資格情報プロファイルに証明書をアップロードする
  2. プロファイルを保存します。どのデバイスにも割り当てない
  3. プロファイルを選択し、プロファイル XML を表示します。プロファイル XML の「CertificateData」は、以下の JSON で使用されるものです。
  4. QR コード プロビジョニング JSON の Admin Extras Bundle に次のキーを追加します。“workManagedCertData”:“encoded certificate data”
{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.airwatch.androidagent/com.airwatch.agent.DeviceAdministratorReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"6kyqxDOjgS30jvQuzh4uvHPk-0bmAD-1QU7vtW7i_o8=",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION":"",
   "android.app.extra.PROVISIONING_SKIP_ENCRYPTION":false,
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":

{"serverurl":"","gid":"","un":"","pw":"","workManagedCertData":"encoded certificate data"}
}

注: UEM console が COPE モード用に構成されている場合、Android 11 デバイスの加入に失敗します。

Android 9.0 搭載デバイスでの Chrome とカメラを無効にする

デフォルトでは、Intelligent Hub は、企業所有デバイスの加入時に Chrome アプリケーションとカメラ アプリケーションの両方を有効にします。Android 9.0 搭載デバイスでこれらのアプリケーションをデフォルトで無効にするには、この DPC Extra を「false」に設定します。

これまで、組織は制限事項プロファイルの「Chrome ブラウザを許可」設定を使用して Android 9 デバイス上の Chrome アプリケーションをサスペンドすることのみ可能でした。ただし、これを行うと、Android システム Webview が更新を受信できなくなります。この DPC Extra を「false」に設定することで、Android 9 デバイスで Chrome を完全に無効にできるようになりました。これにより、Android システム Webview を更新できます。

完全管理対象デバイスと企業所有デバイスでサポートされます。

"autoEnableSystemApps":"false"

「アプリケーション検証の無効化を許可」のデフォルト値の設定(Android 9.0 のみ)

[Android 制限事項プロファイル] ペイロードで「アプリケーション検証の無効化を許可」を有効にすると、エンド ユーザーはデバイスで Play Protect スキャンを無効にできます。ただし、この設定の Intelligent Hub のデフォルトの動作は無効になっています。「アプリケーション検証の無効化を許可」が無効になっている制限事項プロファイルをプッシュしている組織の場合、これは次のことを意味します。

  • 制限事項プロファイルにバージョンを追加し、新しいバージョンをデバイスにプッシュすると、Intelligent Hub はこの設定を一時的に無効にします。その後、Android は Play Protect スキャンを再度有効にします。プロファイルの新しいバージョンが適用された後、エンド ユーザーは Play Protect スキャンを手動で再度無効にする必要があります。
  • 制限事項プロファイルをアンインストールすると、Play Protect スキャンが再度有効になり、Play Protect スキャンを無効にする新しい制限事項プロファイルがインストールされるまで、エンド ユーザーは再度無効にできません。

上記のシナリオで、組織は Play Protect スキャンを無効のままにしておきたい場合があります。これを行うには、デバイスの加入時に次の DPC Extra を「true」に設定します。これにより、制限事項プロファイルの「アプリケーション検証の無効化を許可」のデフォルト値が有効に変更されます。上記のフラグを使用してデバイスを加入している場合でも、組織は「アプリケーション検証の無効化を許可」を「false」に設定した制限事項プロファイルをプッシュすることで、エンドユーザーが Play Protect スキャンを無効にできないようにすることができます。

"disablePlayVerifyApps":"true"

Work 管理対象 Android デバイスの加入時にユーザー プライバシー ダイアログを表示

デフォルトで、Android Intelligent Hub は、Work 管理対象モードでのデバイス加入時にユーザー プライバシー ダイアログを表示しません。Hub は、Work プロファイル モードおよび企業所有の個人利用モードでの加入時に、このダイアログ (「プライバシーの問題…」) をデフォルトで表示します。個々のエンド ユーザーに完全管理対象デバイスが割り当てられているユース ケースに合わせて、管理者は、Work 管理対象モード加入時にこのダイアログを表示できるようになりました。

"promptPrivacy":"True"
check-circle-line exclamation-circle-line close-line
Scroll to top icon