Citrix Endpoint Management

Google Workspace(旧称:G Suite)ユーザー向けの従来のAndroid Enterprise

Google Workspaceユーザーが従来のAndroid Enterpriseを構成するには、従来のAndroid Enterpriseの設定を使用する必要があります。Googleは最近、G Suiteの名称をGoogle Workspaceに変更しました。

組織が既にGoogle Workspaceを使用してユーザーにGoogleアプリのアクセスを提供している場合、Google Workspaceを使用してCitrixをEMMとして使用できます。組織がGoogle Workspaceを使用している場合、既存のエンタープライズIDおよび既存のユーザー用Googleアカウントが存在します。Citrix Endpoint ManagementでGoogle Workspaceを使用するには、使用しているLDAPディレクトリと同期し、Google Directory APIを使用してGoogleアカウント情報をGoogleから取得します。この種類のエンタープライズは既存のドメインに関連付けられているため、各ドメインは1つのエンタープライズのみを作成できます。Citrix Endpoint Managementにデバイスを登録するには、各ユーザーが既存のGoogleアカウントで手動でサインインする必要があります。このアカウントでは、Google Workspaceプランで提供される他のGoogleサービスに加えて、ビジネス向けGoogle Playにアクセスできるようになります。

従来のAndroid Enterpriseの要件:

  • パブリックにアクセスできるドメイン
  • Google管理者アカウント
  • プロファイルのサポートを管理しているAndroidデバイス
  • Google PlayがインストールされているGoogleアカウント
  • デバイスで設定されたワークプロファイル

従来のAndroid Enterpriseの構成を始めるには、Citrix Endpoint Management設定の [Android Enterprise] ページで [従来のAndroid Enterprise] をクリックします。

[従来のAndroid Enterprise]オプション

Android Enterpriseアカウントの作成

Android Enterpriseアカウントをセットアップするには、Googleでドメイン名を検証する必要があります。

ドメイン名が既にGoogleで検証済みの場合は、以下の手順を省略し、「Android Enterpriseサービスアカウントの設定とAndroid Enterprise証明書のダウンロード」に進んでください。

  1. https://gsuite.google.com/signup/basic/welcomeにアクセスします。

    管理者情報と会社情報を入力する次のページが開きます。

    アカウントセットアップページ

  2. 管理者のユーザー情報を入力します。

    管理者のユーザー情報

  3. 管理者のアカウント情報だけでなく、会社情報も入力してください。

    企業情報画面

    プロセスの最初の手順が完了します。以下のページが開きます。

    検証ページ

ドメイン所有権の検証

以下のいずれかの方法で、Googleがドメインを検証できるようにします。

  • ドメインホストのWebサイトにTXTまたはCNAMEレコードを追加します。
  • HTMLファイルをドメインのWebサーバーにアップロードします。
  • ホームページに<meta>タグを追加します。Googleでは最初の方法を推奨しています。ドメインの所有権を検証する手順についてはこの記事では扱いませんが、必要な情報はhttps://support.google.com/a/answer/6248925/に記載されています。
  1. [Start] をクリックして、ドメインの検証を開始します。

    [Verify domain ownership]ページが開きます。画面の指示に従ってドメインを検証します。

  2. [Verify] をクリック します。

    [Verify]ボタン

    [Verify]確認

  3. Googleによってドメイン所有権が検証されます。

    ドメイン所有権確認

  4. 検証が成功すると、次のページが開きます。[Continue] をクリックします。

    成功の確認ページ

  5. Citrixに提供しAndroid Enterprise設定を構成するときに使用するEMMバインドトークンが、Googleによって作成されます。トークンをコピーして保存します。後でセットアップ中に必要になります。

    バインドトークン

  6. [Finish] をクリックしてAndroid Enterpriseの設定を完了します。ドメインの検証に成功したことを示すページが表示されます。

Android Enterpriseサービスアカウントを作成したら、Google Adminコンソールにサインインしてモビリティ管理設定を管理できます。

Android Enterpriseサービスアカウントの設定とAndroid Enterprise証明書のダウンロード

Citrix Endpoint ManagementからGoogle PlayサービスおよびDirectoryサービスにアクセスできるようにするには、Googleのデベロッパー用プロジェクトポータルを使用してサービスアカウントを作成する必要があります。このサービスアカウントは、Citrix Endpoint ManagementとGoogleのAndroid用各種サービスのサーバー間通信で使用します。使用されている認証プロトコルについて詳しくは、「https://developers.google.com/identity/protocols/OAuth2ServiceAccount」にアクセスしてください。

  1. Webブラウザーでhttps://console.cloud.google.com/projectを開いて、Google管理者の資格情報でサインインします。

  2. [Projects] の一覧で、[Create Project] をクリックします。

    [Create Project]オプション

  3. [Project name] ボックスに、プロジェクトの名前を入力します。

    [Project name]オプション

  4. [Dashboard]ページで、[Use Google APIs] をクリックします。

    [Use Google APIs]オプション

  5. [Library] をクリックして、[Search]EMMと入力して、検索結果をクリックします。

    EMM検索オプション

  6. [Overview] ページで、[Enable] をクリックします。

    [Enable]オプション

  7. [Google Play EMM API] の横にある [Go to Credentials] をクリックします。

    [Go to Credentials]オプション

  8. [Add credentials to our project] の一覧の手順1で、[service account] をクリックします。

    [service account]オプション

  9. [Service Accounts]ページで、[Create Service Account] をクリックします。

    [Create Service Account]オプション

  10. [Create service account] で、アカウントに名前を付けて、[Furnish a new private key] をオンにします。[P12] を選択して、[Enable Google Apps Domain-wide Delegation] をオンにし、[Create] をクリックします。

    [Create service account]オプション

    証明書(P12ファイル)がコンピューターにダウンロードされます。証明書を安全な場所に保存してください。

  11. [Service account created] 確認画面で、[Close] をクリックします。

    確認ページ

  12. [Permissions] ページで [Service accounts] をクリックし、サービスアカウントの [Options] の下で、[View Client ID] をクリックします。

    [View Client ID]オプション

  13. Google管理コンソールでアカウントの承認に必要になる詳細情報が表示されます。[Client ID][Service account ID]を、後でこの情報を引き出せる場所にコピーします。この情報は、ドメイン名と共に、許可リストへの追加の目的でCitrixサポートに送信するときに必要になります。

    アカウント認証の詳細

  14. [Library] ページでAdmin SDKを検索して、検索結果をクリックします。

    Admin SDK検索

  15. [Overview] ページで、[Enable] をクリックします。

    [Enable]ボタン

  16. ユーザーのドメインのGoogle管理コンソールを開き、[Security] をクリックします。

    [Security]オプション

  17. [Settings] ページで [Show more] をクリックして、[Advanced settings] を選択します。

    Advanced settings

    詳細設定

  18. [Manage API client access] をクリックします。

    [Manage API client access]オプション

  19. [Client Name] ボックスに前の手順で保存したクライアントIDを入力し、[One or More API Scopes] ボックスに「https://www.googleapis.com/auth/admin.directory.user」と入力して、[Authorize] をクリックします。

    クライアント名オプション

EMMへのバインド

Citrix Endpoint Managementを使用してAndroidデバイスを管理するには、Citrixテクニカルサポートにドメイン名、サービスアカウント、およびバインドトークンを提供する必要があります。Citrixでは、いただいたトークンをEMM(Enterprise Mobility Management:エンタープライズモビリティ管理)プロバイダーとしてCitrix Endpoint Managementにバインドします。Citrixテクニカルサポートへのお問い合わせは、Citrixテクニカルサポートを参照してください。

  1. バインドを確認するには、Google Adminポータルにサインインして [Security] をクリックします。

  2. [Manage EMM provider for Android] をクリックします。

    Google Android EnterpriseアカウントがEMMプロバイダーであるCitrixにバインドされていることが表示されます。

    トークンのバインドを確認した後で、Citrix Endpoint Managementコンソールを使用してAndroidデバイスの管理を開始できます。手順14で生成したP12証明書をインポートします。Android Enterpriseサーバー設定をセットアップし、SAMLベースのシングルサインオン(Single Sign-On:SSO)を有効化し、少なくともAndroid Enterpriseデバイスポリシーを1つ定義する必要があります。

    [Manage EMM provider for Android]オプション

P12証明書のインポート

以下の手順に従ってAndroid EnterpriseのP12証明書をインポートします:

  1. Citrix Endpoint Managementコンソールで、コンソールの右上にある歯車アイコンをクリックして [Settings] ページを開き、[Certificates] をクリックします。[Certificates] ページが開きます。

    [Certificates]ページ

  2. [Import] をクリックします。[Import] ダイアログボックスが開きます。

    [Import]ダイアログボックス

    次の設定を構成します:

    • Import: ドロップダウンリストの [Keystore] をクリックします。
    • Keystore type: ドロップダウンリストから、[PKCS#12] を選択します。
    • Use as:ドロップダウンリストの [Server] をクリックします。
    • Keystore file: [ブラウザー] をクリックして、P12証明書を選択します。
    • Password: 証明書のパスワードを入力します。これは、Android Enterpriseアカウントをセットアップするときに作成した秘密キーのパスワードです。
    • Description: 任意で、証明書の説明を入力します。
  3. [Import] をクリックします。

Android Enterpriseサーバー設定のセットアップ

  1. Citrix Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [プラットフォーム][Android Enterprise] を選択します。[Android Enterprise] ページが開きます。

    [Android Enterprise]ページ

    次の設定を構成し、[保存] をクリックします。

    • ドメイン名: Android Enterpriseのドメイン名を入力します(例:domain.com)。
    • ドメイン管理アカウント: ドメイン管理者のユーザー名を入力します(例:Google Developer Portalで使用しているメールアカウント)。
    • サービスアカウントID: サービスアカウントIDを入力します(例:Google Service Account(serviceaccountemail@xxxxxxxxx.iam.gserviceaccount.com)に関連付けられたメールアドレス)。
    • クライアントID: Googleサービスアカウントの数値形式のクライアントIDを入力します。
    • Android Enterpriseの有効化: Android Enterpriseを有効にするのか、無効にするのかを選択します。

SAMLベースのシングルサインオンの有効化

  1. Citrix Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [証明書] をクリックします。[Certificates] ページが開きます。

    [Certificates]ページ

  3. 証明書の一覧から、SAML証明書を選択します。

  4. [エクスポート] をクリックして証明書をコンピューターに保存します。

  5. Android Enterpriseの管理者資格情報でGoogle Adminポータルにサインインします。ポータルへのアクセスについて詳しくは、Google Admin portalを参照してください。

  6. [Security] をクリックします。

    [Security]オプション

  7. [Security] の下の [Set up single sign-on(SSO)] をクリックして以下の設定を構成します。

    SSO設定

    • Sign-in page URL: お使いのシステムおよびGoogle AppsにサインインするページのURLを入力します。例:https://<Xenmobile-FQDN>/aw/saml/signin
    • Sign-out page URL: ユーザーがサインアウト時にリダイレクトされるURLを入力します。例:https://<Xenmobile-FQDN>/aw/saml/signout
    • Change password URL: ユーザーがシステム内でパスワードを変更するときにアクセスするURLを入力します。例:https://<Xenmobile-FQDN>/aw/saml/changepassword。このフィールドが定義されると、SSOが使用できない場合でもこのメッセージが表示されます。
    • Verification certificate: [CHOOSE FILE] をクリックして、Citrix Endpoint ManagementからエクスポートしたSAML証明書を選択します。
  8. [SAVE CHANGES] をクリックします。

Android Enterpriseデバイスポリシーのセットアップ

パスコードポリシーをセットアップして、ユーザーが初めて登録するときにデバイスでのパスコード設定を必須にします。

パスコードポリシーページ

デバイスポリシーの基本的なセットアップ手順は以下のとおりです。

  1. Citrix Endpoint Managementコンソールで、[構成][デバイスポリシー] の順にクリックします。

  2. [追加] をクリックします。

  3. [新しいポリシーの追加] ダイアログボックスから追加するポリシーを選択します。この例では [パスコード] をクリックします。

  4. [ポリシー情報] ページに入力します。

  5. [Android Enterprise] をクリックしてポリシーの設定を構成します。

  6. ポリシーをデリバリーグループに割り当てます。

Android Enterpriseアカウント設定の構成

デバイスのAndroidアプリとポリシーを管理するには、Citrix Endpoint ManagementでAndroid Enterpriseのドメインおよびアカウント情報を設定する必要があります。まず、GoogleでAndroid Enterpriseの設定タスクを完了してドメイン管理者を設定し、サービスアカウントIDとバインドトークンを取得する必要があります。

  1. Citrix Endpoint Management Webコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [プラットフォーム][Android Enterprise] を選択します。[Android Enterprise] 構成ページが開きます。

[Android Enterprise]構成ページ

  1. [Android Enterprise] ページで以下の設定を構成します:

    • ドメイン名: ドメイン名を入力します。
    • ドメイン管理アカウント: ドメイン管理者のユーザー名を入力します。
    • サービスアカウントID: GoogleのサービスアカウントIDを入力します。
    • クライアントID: GoogleサービスアカウントのクライアントIDを入力します。
    • Android Enterpriseの有効化: Android Enterpriseを有効にするかどうかを選択します。
  2. [Save] をクリックします。

Citrix Endpoint ManagementのGoogle Workspaceパートナーアクセスのセットアップ

Chromeの一部のCitrix Endpoint Management機能では、Citrix Endpoint ManagementとGoogle Workspaceドメイン間の通信にGoogleパートナーAPIを使用します。たとえば、Citrix Endpoint Managementでは、シークレットモードやゲストモードなどのChrome機能を管理するデバイスポリシーにこうしたAPIが必要です。

パートナーAPIを有効にするには、Citrix Endpoint ManagementコンソールでGoogle Workspaceドメインをセットアップしてから、Google Workspaceアカウントを構成します。

Citrix Endpoint ManagementでGoogle Workspaceドメインをセットアップする

Citrix Endpoint ManagementとGoogle WorkspaceドメインのAPIを通信できるようにするには、[設定]>[Google Chromeの構成]で設定を構成します。

  • Google Workspaceドメイン: Citrix Endpoint Managementに必要なAPIをホストするGoogle Workspaceドメイン。
  • Google Workspace管理者アカウント: Google Workspaceドメインの管理者アカウント。
  • Google WorkspaceクライアントID: シトリックスのクライアントID。Google Workspaceドメインのパートナーアクセスを構成する場合は、この値を使用します。
  • Google WorkspaceエンタープライズID: アカウントのエンタープライズID。お客様のGoogleエンタープライズアカウントから入力されます。

Google Workspaceドメイン内のデバイスとユーザーのパートナーアクセスを有効にする

  1. Google管理コンソールにログインします:https://admin.google.com

  2. [端末管理] をクリックします。

    Google管理者コンソール

  3. [Chrome管理] をクリックします。

    Google管理者コンソール

  4. [ユーザー設定] をクリックします。

    Google管理者コンソール

  5. [Chrome管理-パートナーアクセス] を見つけます。

    Google管理者コンソール

  6. [Chrome管理-パートナーアクセスを有効にします] チェックボックスをオンにします。

  7. パートナーアクセスについて了承し、有効にする必要があることに同意します。[Save] をクリックします。

  8. [Chrome管理]ページで [端末設定] をクリックします。

    Google管理者コンソール

  9. [Chrome管理-パートナーアクセス] を見つけます。

    Google管理者コンソール

  10. [Chrome管理-パートナーアクセスを有効にします] チェックボックスをオンにします。

  11. パートナーアクセスについて了承し、有効にする必要があることに同意します。[Save] をクリックします。

  12. [セキュリティ] ページに移動し、[詳細設定] をクリックします。

    Google管理者コンソール

  13. [APIクライアントアクセスを管理する] をクリックします。

  14. Citrix Endpoint Managementコンソールで、[設定]>[Google Chromeの構成] に移動し、[G SuiteクライアントID]の値をコピーします。次に、[APIクライアントアクセスを管理する] ページに戻り、コピーした値を [クライアント名] フィールドに貼り付けます。

  15. [1つ以上のAPIの範囲] に次のURLを追加します:https://www.googleapis.com/auth/chromedevicemanagementapi

    Google管理者コンソール

  16. [承認] をクリックします。

    「設定が保存されました」というメッセージが表示されます。

Android Enterpriseデバイスの登録

デバイス登録処理でユーザーがユーザー名またはユーザーIDを入力する必要がある場合、使用可能な形式は、Citrix Endpoint Managementがユーザープリンシパル名(UPN)またはSAMアカウント名でユーザーを検索するように構成されているかどうかによって異なります。

Citrix Endpoint ManagementサーバーがUPNでユーザーを検索するように構成されている場合、ユーザーは以下の形式でUPNを入力する必要があります:

  • ユーザー名@ドメイン

Citrix Endpoint ManagementサーバーがSAMでユーザーを検索するように構成されている場合、ユーザーは以下のどちらかの形式でSAMを入力する必要があります:

  • ユーザー名@ドメイン
  • ドメイン\ユーザー名

Citrix Endpoint Managementサーバーがどちらのユーザー名の種類を使用するように構成されているか確認するには:

  1. Citrix Endpoint Managementサーバーコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。
  2. [LDAP] をクリックして、LDAP接続の設定を表示します。
  3. ページの下部にある [ユーザー検索基準] フィールドを表示します。

    • [userPrincipalName] に設定すると、Citrix Endpoint ManagementサーバーはUPNで検索するように設定されます。
    • [sAMAccountName] に設定すると、Citrix Endpoint ManagementサーバーはSAMで検索するように設定されます。

Android Enterpriseエンタープライズの登録解除

Citrix Endpoint ManagementサーバーコンソールとCitrix Endpoint Managementツールを使用して、Android Enterpriseエンタープライズの登録を解除できます。

このタスクを実行すると、Citrix Endpoint ManagementサーバーにCitrix Endpoint Managementツールのポップアップウィンドウが表示されます。始める前に、Citrix Endpoint Managementサーバーに、使用するWebブラウザーでポップアップウィンドウを開く権限があることを確認してください。Google Chromeなどの一部のWebブラウザーでは、ポップアップブロックを無効にし、Citrix Endpoint Managementサイトのアドレスをポップアップの許可リストに追加する必要があります。

警告:

エンタープライズの登録を解除すると、エンタープライズ経由で登録されていたデバイスのAndroid Enterpriseアプリはデフォルトの状態にリセットされます。これらのデバイスはGoogleによって管理されなくなりました。それらのデバイスをAndroid Enterpriseエンタープライズで再登録しても、以前の機能を復元することはできません。追加で構成を行う必要があります。

Android Enterpriseエンタープライズの登録を解除した後:

  • エンタープライズ経由で登録されていたデバイスとユーザーのAndroid Enterpriseアプリは、デフォルト状態にリセットされます。以前に適用されていた[アプリの権限]ポリシーと[管理対象の構成]ポリシーは無効になります。
  • エンタープライズ経由で登録されていたデバイスはCitrix Endpoint Managementによって管理されますが、Googleの観点からは管理されません。新しいAndroid Enterpriseアプリを追加することはできません。[アプリの権限]ポリシーと[管理対象の構成]ポリシーは適用できません。ただし、これらのデバイスには引き続き、スケジュール設定、パスワード、制限などのポリシーは適用できます。
  • Android Enterpriseにデバイスを登録しようとすると、Android EnterpriseデバイスではなくAndroidデバイスとして登録されます。

Android Enterpriseエンタープライズの登録を解除するには:

  1. Citrix Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [設定]ページで、[Android Enterprise] をクリックします。

  3. [エンタープライズの削除] をクリックします。

    [エンタープライズの削除]オプション

  4. パスワードを指定します。登録解除を完了するには、次のステップでこのパスワードが必要になります。[登録解除] をクリックします。

    [登録解除]オプション

  5. [Citrix Endpoint Management Tools]ページが開いたら、前の手順で作成したパスワードを入力します。

    パスワードフィールド

  6. [登録解除] をクリックします。

    [登録解除]オプション

Android Enterpriseでの完全に管理されたデバイスのプロビジョニング

Android Enterpriseで完全に管理されたデバイスとして使用できるのは、会社所有のデバイスのみです。完全に管理されたデバイスでは、仕事用プロファイルだけでなく、デバイス全体が会社または組織によって管理されます。完全に管理されたデバイスは、仕事用管理対象デバイスとも呼ばれます。

Citrix Endpoint Managementは、完全に管理されたデバイスで以下の登録方法をサポートしています:

  • afw#xenmobile: この登録方法では、ユーザーがデバイスの設定時に「afw#xenmobile」という文字を入力します。このトークンにより、デバイスがCitrix Endpoint Managementの管理対象であると識別され、Citrix Secure Hubがダウンロードされます。
  • QRコード: QRコードプロビジョニングは、NFCをサポートしていない、タブレットなどの分散型端末を簡単にプロビジョニングする方法です。QRコード登録方法は、出荷時の設定にリセットされたフリートデバイスで使用できます。QRコードによる登録方法では、セットアップウィザードからQRコードをスキャンすることによって、完全に管理されたデバイスを設定および構成します。
  • NFC(近距離無線通信)バンプ: NFCバンプ登録方法は、出荷時の設定にリセットされたフリートデバイスで使用できます。NFCバンプは、近距離無線通信を使用して2つのデバイス間でデータを転送します。工場出荷時設定にリセットされたデバイスでは、Bluetooth、Wi-Fi、およびそのほかの通信モードは無効になっています。この状態のデバイスが使用する通信プロトコルはNFCのみです。

afw#xenmobile

この登録方法は、新規デバイスまたは工場出荷時設定にリセットされたデバイスの電源を入れ、初期セットアップを行った後に使用します。ユーザーは、Googleアカウントの入力を求められたら「afw#xenmobile」と入力します。この操作により、Citrix Secure Hubがダウンロードされインストールされます。インストール後、Citrix Secure Hubの設定プロンプトに従って登録を完了します。

この登録方法ではCitrix Secure Hubの最新バージョンがGoogle Playストアからダウンロードされるため、ほとんどのお客様に推奨されます。他の登録方法とは異なり、Citrix Endpoint Managementサーバーでダウンロード用にCitrix Secure Hubを提供することはありません。

前提条件:

  • Android OSを実行するすべてのAndroidデバイスでサポートされます。

QRコード

QRコードを使用してデバイスモードでデバイスを登録するには、JSONを作成してからQRコードに変換して、QRコードを生成します。このQRコードをデバイスカメラでスキャンし、デバイスを登録します。

前提条件:

  • Android 7.0以降を実行するすべてのAndroidデバイスでサポートされます。

JSONからQRコードを作成する

次のフィールドがあるJSONを作成します。

これらのフィールドは必須です。

キー:android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

値:com.zenprise / com.zenprise.configuration.AdminFunction

キー: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

値:qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

キー:android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

値: https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

これらのフィールドはオプションです。

  • android.app.extra.PROVISIONING_LOCALE: 言語コードおよび国コードを入力します。

    言語コードは、ISO 639-1で定義されている小文字で2文字のISO言語コード(「en」など)です。国コードは、ISO 3166-1で定義されている大文字で2文字のISO国コード(「US」など)です。たとえば、アメリカ合衆国で話されている英語の場合は「en_US」と入力します。

  • android.app.extra.PROVISIONING_TIME_ZONE: これはデバイスが実行されているタイムゾーンです。

    エリア/場所のデータベース名を入力します。たとえば、米国太平洋標準時の場合は「アメリカ/ロサンジェルス」と入力します。名前を入力しない場合、タイムゾーンは自動的に入力されます。

  • android.app.extra.PROVISIONING_LOCAL_TIME: エポックからのミリ秒単位の時間。

    Unixエポック(またはUnix時間またはPOSIX時間またはUnixタイムスタンプ)は、1970年1月1日(UTC/ GMT午前0時)から経過した秒数で、うるう秒数は含まれません(ISO 8601: 1970-01-01T00:00:00Z)。

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: プロファイル作成時に暗号化をスキップするには、trueに設定します。プロファイルの作成時に暗号化を強制するには、falseに設定します。

以下の図に、典型的なJSONの例を示します。

典型的なJSON

https://jsonlint.comなどのJSON検証ツールを使用して作成されたJSONを検証します。オンラインQRコードジェネレーターを使用して、JSON文字列をQRコードに変換します。

このQRコードは工場出荷時の設定にリセットされたデバイスによってスキャンされ、これによってデバイスを完全に管理されたデバイスとして登録できます。

デバイスを登録するには

完全に管理されたデバイスとしてデバイスを登録するには、工場出荷時の設定にリセットする必要があります。

  1. ようこそ画面で画面を6回タップすると、QRコードの登録フローが開始されます。
  2. プロンプトが表示されたら、Wi-Fiに接続します。(JSONでエンコードされた)QRコードにあるCitrix Secure Hubのダウンロード場所には、このWi-Fiネットワーク経由でアクセスできます。

    端末がWi-Fiに接続されると、GoogleからQRコードリーダーをダウンロードしてカメラを起動します。

  3. カメラをQRコードに合わせて、コードをスキャンします。

    Androidは、QRコードのダウンロード場所からCitrix Secure Hubをダウンロードし、署名証明書の署名を検証し、Citrix Secure Hubをインストールし、デバイス所有者として設定します。

QRコード方式を使用したデバイスのプロビジョニングについて詳しくは、Android EMM開発者のためのGoogle APIドキュメントを参照してください。

NFCバンプ

NFCバンプを使用して完全に管理されたデバイスとしてデバイスを登録するには、工場出荷時の設定にリセットされたデバイスと、Citrix Endpoint Managementプロビジョニングツールを実行するデバイスの2台のデバイスが必要です。

前提条件:

  • サポートされるAndroidデバイス
  • Android Enterpriseを有効にしたCitrix Endpoint Management
  • 完全に管理されたデバイスとしてAndroid Enterprise向けにプロビジョニングされた、新規または工場出荷時設定にリセットされたデバイス。この前提条件を完了する手順については、後述します。
  • 構成済みのプロビジョニングツールを実行している、NFC機能が備わった別のデバイス。Provisioning Toolは、Citrix Secure HubまたはCitrixダウンロードページから入手できます。

各デバイスには、エンタープライズモビリティ管理(EMM)アプリで管理されたAndroid Enterpriseプロファイルを1つのみ設定できます。Citrix Endpoint Managementでは、Citrix Secure HubがEMMアプリとなります。各デバイスには、1つのプロファイルしか許可されません。2つ目のEMMアプリを追加すると、1つ目のEMMアプリが削除されます。

NFCバンプを介して転送されるデータ

工場出荷時の設定にリセットされたデバイスをプロビジョニングするには、以下のデータをNFCバンプ経由で送信してAndroid Enterpriseを初期化する必要があります:

  • デバイス所有者として機能するEMMプロバイダーアプリ(この場合は、Citrix Secure Hub)のパッケージ名。
  • デバイスがEMMプロバイダーアプリをダウンロードできるイントラネット/インターネット上の場所。
  • ダウンロードが正常に完了したかどうかを確認するEMMプロバイダーアプリのSHA-256ハッシュ。
  • 工場出荷時の設定にリセットされたデバイスがEMMプロバイダーアプリに接続してダウンロードできるようにするWi-Fi接続の詳細。注:現時点では、Androidはこの手順での802.1x Wi-Fiをサポートしていません。
  • デバイスのタイムゾーン(オプション)。
  • デバイスの地理的な場所(オプション)。

2つのデバイスがバンプされると、プロビジョニングツールのデータが工場出荷時の設定にリセットされたデバイスに送信されます。このデータはその後、管理者設定でのCitrix Secure Hubのダウンロードに使用されます。タイムゾーンと場所の値を入力しない場合、新しいデバイスではAndroidによって自動的にこれらの値が構成されます。

Citrix Endpoint Managementプロビジョニングツールの構成

NFCバンプを行う前に、プロビジョニングツールを構成する必要があります。この構成はその後、工場出荷時の設定にリセットされたデバイスに、NFCバンプ中に転送されます。

プロビジョニングツール構成

必須項目にデータを直接入力することも、テキストファイルから入力することもできます。次の手順では、テキストファイルを構成する方法と各フィールドに説明を含める方法について説明します。入力後のデータはアプリでは保存されないため、テキストファイルを作成して、今後の使用に備えて情報を保存しておくことをお勧めします。

テキストファイルを使用してプロビジョニングツールを構成するには

ファイルの名前をnfcprovisioning.txtにして、デバイスのSDカードの/sdcard/フォルダーに格納します。アプリによってこのテキストファイルが読み込まれ、値が入力されます

テキストファイルには次のデータが必要です:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

この行は、EMMプロバイダーアプリのイントラネット/インターネットの場所です。工場出荷時設定のデバイスがNFCバンプの後にWi-Fiに接続した場合、デバイスはダウンロードのためにこの場所にアクセスする必要があります。URLは通常のURLで、特別な形式にする必要はありません。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA-256 hash>

この行は、EMMプロバイダーアプリのチェックサムです。このチェックサムはダウンロードが成功したかを検証するために使用されます。チェックサムを取得する手順については、後述します。

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

この行は、プロビジョニングツールを実行しているデバイスが接続されているWi-FiのSSIDです。

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

サポートされる値はWEPおよびWPA2です。Wi-Fiが保護されていない場合、このフィールドは空白にする必要があります。

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Wi-Fiが保護されていない場合、このフィールドは空白にする必要があります。

android.app.extra.PROVISIONING_LOCALE=<locale>

言語コードと国コードを入力します。言語コードは、ISO 639-1で定義されている小文字で2文字のISO言語コード(「en」など)です。国コードは、ISO 3166-1で定義されている大文字で2文字のISO国コード(「US」など)です。たとえば、アメリカ合衆国で話されている英語の場合は「en_US」と入力します。コードを入力しない場合、国と言語は自動的に入力されます。

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

デバイスが実行されるタイムゾーンです。エリア/場所のデータベース名を入力します。たとえば、米国太平洋標準時の場合は「アメリカ/ロサンジェルス」と入力します。名前を入力しない場合、タイムゾーンは自動的に入力されます。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

このデータはCitrix Secure Hubとしてアプリにハードコードされるため、必須ではありません。ここでは、情報の完全性を守るためだけに記載しています。

WPA2を使用して保護されたWi-Fiの場合、完了したnfcprovisioning.txtファイルは以下の例のようになります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

保護されていないWi-Fiの場合、完了したnfcprovisioning.txtファイルは以下の例のようになります。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Citrix Secure Hubのチェックサムを取得するには

Citrix Secure Hubのチェックサムは次の定数値です:qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM。Citrix Secure HubのAPKファイルをダウンロードするには、次のGoogle Playストアのリンクを使用します:https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

アプリのチェックサムを取得するには

前提条件:

  • Android SDKビルドツールのapksignerツール
  • OpenSSLコマンドライン

アプリのチェックサムを取得するには、次の手順に従います:

  1. Google PlayストアからアプリのAPKファイルをダウンロードします。
  2. OpenSSLコマンドラインで、apksignerツールandroid-sdk/build-tools/<version>/apksignerに移動して、以下を入力します:

    apksigner verify -print-certs <apk_path> | perl -nle 'print $& if m{(?<=SHA-256 digest:) .*}'  | xxd -r -p | openssl base64 | tr -d '=' | tr -- '+/=' '-_'
    <!--NeedCopy-->
    

    コマンドから有効なチェックサムが返されます。

  3. QRコードを生成するには、PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUMフィールドにチェックサムを入力します。例:
{
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.zenprise/com.zenprise.configuration.AdminFunction",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=xenmobile",
  "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
      "serverURL": "https://supportablility.xm.cloud.com"
   }
}
<!--NeedCopy-->

使用するライブラリ

プロビジョニングツールでは、以下のライブラリがソースコードに使用されています。

  • v7 appcompat library、Design support library、およびv7 Palette support library

    詳しくは、Androidの開発者向けドキュメントの「サポートライブラリの機能ガイド」を参照してください。

  • Butter Knife by Jake Wharton(Apache license 2.0)

Android Enterpriseでの仕事用プロファイルデバイスのプロビジョニング

Android Enterpriseの仕事用プロファイルデバイスでは、デバイス上の会社領域と個人領域を安全に分離できます。たとえば、BYODデバイスを仕事用プロファイルデバイスにすることができます。仕事用プロファイルデバイスの登録手順は、Citrix Endpoint ManagementでAndroidを登録する場合と同様です。ユーザーはGoogle PlayからCitrix Secure Hubをダウンロードし、デバイスを登録します。

デバイスがAndroid Enterpriseの仕事用プロファイルデバイスとして登録されている場合、デフォルトではUSBデバッグおよび不明なソース設定は無効になっています。

ヒント:

Android Enterpriseのデバイスを仕事用プロファイルデバイスとして登録する場合は、必ずGoogle Playにアクセスしてください。そこから、ユーザーの個人プロファイルでのCitrix Secure Hubの表示を有効にします。