1. Android Enterpriseとは 2. 利用シナリオ例 1 端末の機能を制限する 2 アプリ配信設定を行う 3. ストア版 Androidエージェントについて 従来版エージェントとの違い 注意点 4. ストア版関連アプリについて 5. 参考情報 本資料作成時は開発 検証中である為 リリ

KDDI Smart Mobile Safety Manager

v9.2.0

Android Enterprise 概要資料

1. Android Enterpriseとは

2. 利用シナリオ例① 端末の機能を制限する

② アプリ配信設定を行う

3.ストア版Androidエージェントについて

・従来版エージェントとの違い

・注意点

4.ストア版関連アプリについて

5.参考情報

※本資料作成時は開発・検証中である為、リリース時の内容と異なる可能性があります。

Android Enterprise対応

機能概要

KDDI Smart Mobile Safety Manager(以下：SMSM)が

Android Enterprise

に対応します。

Android Enterprise(旧称：Android for Work)におけるWork-managed device の機能を

追加することにより、社用端末をより強固なセキュリティで保護しつつ、端末のキッティン

グ、 Google Playアプリケーションのサイレントインストールといった業務効率化を可能に

しました。

Android Enterprise とは

Android Enterpriseとは、端末やアプリケーションを従業員に配備し、企業データを安全に保つた

めにGoogleが提供している法人向けプログラムです。2016年12月まで「Android for Work」と呼

ばれていました

※

_{。Android Enterpriseで利用できる主な機能としては下記5つがあり、SMSM で}

はこのうちWork-managed deviceに対応しました。

Work-managed device

企業所有の端末に適した端末管理を行うことができます。マルチユーザーの 利用制限、スクリーンショット利用制限等、堅牢なセキュリティ対策を実現 します。ご利用開始、ご利用終了には端末の初期化を伴います。

Work profile

BYOD端末に適した端末管理を行うことができます。組織の業務に関係する データとアプリケーションを企業で管理し、端末のその他データとアプリ ケーションについては、ユーザーに管理を任せることができます。

COSU

(corporate-owned,single-use)

企業が所有する特定の目的にのみ使用する端末をキオスクモード（指定した アプリケーションのみ表示させ、その他の操作を一切禁止にすることができ ます）にし、ホーム画面などへの遷移を制限することができます。

MAM

Purpose-built

管理者はWork profileをサポートしていない古い端末含め、幅広いAndroid端 末のユーザーにアプリケーションを配布することができます。 アプリデベロッパーのための機能であり、特定のユースケースに合わせて開 発されたアプリケーションに簡単な管理機能を追加することができます。 ※ Android for Work から Android、Google Play for Work から Google Play への名称変更について

https://support.google.com/work/android/answer/7218437?hl=ja

2/28対応開始

SMSM で利用可能なWork managed device 機能

SMSMでは、Work managed device機能のうち、下記がご利用いただけます。

Work managed device化

従来提供していたDOM化の方法に加え、方法を提供します。Work Managed Device化することで、エージェントのアンインストールafw識別子を使った自動プロビジョニングによる 抑止や、より強固なセキュリティ設定・アプリ配信が可能です。 --- ※以降の機能は、afw識別子を使った自動プロビジョニング(DOM化)が前提です※ ---

セキュリティ設定

開発者向けオプションの制限、提供元不明アプリのインストール制限等が可能です。 Android Enterpriseを使う場合は、一部機能がデフォルトで制限されます。管理者が後から 設定を変えることもできます。 セキュリティ設定機能は、従来インストール手順であるQRコードやNFCを使ったDOMでも 利用可能です。

Google Playを

企業専用に構築

ユーザーに利用を許可するアプリケーションを管理者から指定でき、企業専用のGoogle

Playを構築することができます。これを managed Google Play と言います。表示させ るアプリケーションは組織やユーザーごとに設定することも可能です。

ストアアプリへの設定

ストアアプリで実行する権限のデフォルトの選択を設定できます。 また、ストアアプリごとに固有の設定(各アプリベンダーがMDM管理サイトから設定するこ とを想定している設定項目)もSMSMから設定可能です。例えばGmailの場合、SMSMに登録 されているユーザーのメールアドレスを、Gmailアプリに自動で設定することができます。

ストアアプリの

サイレントインストール/

アンインストール

企業専用に構築したGoogle Playから、アプリのサイレントインストール、サイレントアン インストールを実現します。

Android Enterprise対応

Android Enterprise対応に伴い、従来のインストール方法と異なるインストール手順が追加されます。

Device Owner Mode（以下、DOM）で利用するか、どのインストール方法を利用するか、で利用可

能な機能に差分がありますので、適切な利用方法をご選択頂く必要があります。

機能差分による影響を受けない場合、ストア版DOMをご利用頂くことを推奨します。

項番 種別 機能名 Android OS 従来版 従来版 DOM ストア版 DOM 1 Android OSによる 機能制限 エージェントアプリケーションの アンインストール抑止 7以上 × ※1 ○ ○ 2 スクリーンロックパスワード強制変更 7以上 × ○ ○ 3 Wi-Fiフィルタリング設定 8以上 × ○ ○ 4 アプリケーションのメモリサイズ取得 ※7 8以上 × × × 5 Bluetooth制限の通知表示 ※7 8以上 × × × 6 AndroidEnterprise/DOMの利用終了時に _{端末初期化を伴わない} 6以上 ○ ※2 × × 7 SMSMの機能制限 G SuiteアカウントでのGoogle Play利用 6以上 ○ × ※3 △ ※4 8 USB制限 - ○ ○ × ※5 9 オリジナルアプリケーション配信 - ○ ○ × ※5 10 Playストア掲載アプリケーションの _{サイレントインストール} 6以上 × × ○ 11 _{（初期化制限、セーフモードの制限等）} セキュリティ設定 6以上 △ ※6 ○ ○

推奨

※1：KYV41/KYV42/KYV44/KYT32/KYT33のみアンインストール抑止可能。※2：SMSMエージェントをアンインストール可能。※3：G Suiteの設定によっ て、利用可能な場合があります。※4：G Suite連携機能は18年度上期に実装予定。実装までの間はSMSMから払出すアカウント(managed Google Play Account)を利用可能。※5：18年度中に実装予定。※6：SecureShieldにて制限可能。 ※7：And7まで利用可能、And8以降の対応は18年4月以降予定。

利用シナリオ例

はじめに

① 端末の機能を制限する

② アプリ配信設定を行う

はじめに：SMSM – Google間の連携設定

Android Enterpriseを利用する場合、はじめにSMSMとGoogle間の連携設定が必要になります。

はじめに： SMSM – Google間の連携設定

SMSM – Google間の連携設定

SMSMとGoogleとの連携設定を管理者が行います。連携設定には、Android Enterpriseの

連携設定を行っていないGoogleアカウントをご用意頂く必要があります。本設定を行うこ

とにより、各Android Enterprise機能が利用可能となります。

1. サービス環境設定＞Android Enterprise(アカウント登録) 2. [アカウント登録]を押下します。 3. Google のサイトへ遷移します。 連携設定 ※新メニューデザインの画面イメージになります。

はじめに： SMSM – Google間の連携設定

4. [ログイン]を押下します。 6. [使ってみる]を押下します。 連携設定 5. Googleアカウントを用意します。 ※新規/既存どちらでもご利用可能です。 G Suiteアカウントはご利用頂けません。

はじめに： SMSM – Google間の連携設定

7. 組織名を入力し、規約を読み、に同意にチェッ クをいれてから [確認]を押下します。 8. [登録を完了]を押下します。 9. SMSM 管理サイトに戻ります。 状態が「登録済」であることを確認してください。 連携設定 KDDI

I

※新メニューデザインの画面イメージになります。

はじめに： SMSM – Google間の連携設定

10. Android Enterprise利用時は、自動的に「開発者オプション」「提供元不明のアプリ」「マルチユーザー機 能」が禁止されます。 「開発者オプション」「提供元不明のアプリ」を許可する場合は[セキュリティ設定 (DOM)]から設定を変更することができます。「マルチユーザー機能」は強制的に禁止され、許可すること はできません。 ※ アカウント削除を行いたい場合は、 本画面に[同意する]へチェック をいれ、[アカウント削除]を押 下することで実行できます。 削除してから30日間はデータが 保持され、再登録することもで きます。

連携設定完了です

連携設定 管理サイト側設定 ※新メニューデザインの画面イメージになります。

利用シナリオ①：端末の機能を制限する

利用シナリオ例

Android Enterpriseを利用することで、端末機能を制限する方法をご説明します。

機能を制限するための設定セットを作成・割当

利用シナリオ① 機能を制限するための設定セットを

作成・割当

11. 設定＞Android＞Device Owner Mode＞セキュリティ設定より、必要に応じて設定セットを作成します。 特に設定セットが適用されていない場合は、デフォルトで端末の「開発者オプション」「提供元不明のアプ リ」が禁止になります。 設定項目 内容 提供元不明アプリのインス トール Google Play 以外で提供されるアプリのインス トールを禁止できます。 開発者向けオプション 開発者モードへの変更を禁止できます。 スクリーンショットの撮影 スクリーンショットの撮影を禁止できます。 アカウント制限 Googleアカウント・Exchange等のメールアカ ウント追加・削除を制限できます。 ファクトリーリセット 利用者による端末の初期化を禁止できます。 セーフブート セーフモードによる起動を禁止できます。 ステータスバー ステータスバーの利用を禁止し、ステータス バーで設定できるWi-FiやBluetooth等の設定変 更、通知領域の操作を防ぎます。 連携設定 設定セット作成・割当 キッティング 管理サイト側設定 ※新メニューデザインの画面イメージになります。

利用シナリオ① 機能を制限するための設定セットを

作成・割当

12. 作成した設定セットを端末に割り当てます。従来の設定セット同様、組織/端末ごとに設定セットを適用で きます。認証待ち機器への割当も可能です。 認証待ち機器の登録及び事前に設定テンプレートでデフォルト設定を作成し、機器へ設定を割り当てておく ことをおすすめします。 管理サイト側設定 連携設定 設定セット作成・割当 キッティング ※新メニューデザインの画面イメージになります。

利用シナリオ① 端末のキッティング

13. 端末をキッティングします。Android Enterpriseでは”afw識別子による自動プロビジョニング”という方法 が利用でき、これによりストア版AndroidエージェントによるWork-managed Mode化及びAndroid Enterprise機能の利用が可能となります。 ◆afw識別子による自動プロビジョニング 工場出荷時状態から端末設定を進めていき、下記画面にて「afw#ksmsm」と入力した状態で設定を続けることにより、 ストア版Androidエージェントを自動的にDevice Owner Modeとして設定し、インストールします。

初期設定完了後、ストア版Androidエージェントにてライセンス認証していただくことにより、機器に対してAndroid Enterprise設定を適用することが可能となります。

afw#ksmsm

以降はエージェント

のインストール・認

証に進みます。

端末側設定 連携設定 設定セット作成・割当 キッティング afw#ksmsm

利用シナリオ① 端末のキッティング

14. キッティング及びライセンス認証が完了すると、端末へセキュリティ設定が適用されます。例えば、ファク トリーリセット(初期化)を[制限する]とした場合の画面は以下のようになります。 ※ファクトリーリセットを制限することで、利用者によるSMSM管理から除外されることを防止できます。 連携設定 設定セット作成・割当 キッティング 端末側設定

利用シナリオ②：アプリ配信設定を行う

利用シナリオ例

Android Enterpriseを利用した、高度なアプリケーション管理方法をご説明します。

SMSM – Google間の連携設定

SMSM – Google間の連携設定

アプリ承認

端末のキッティング

Android Enterpriseによるアプリ配信

端末側: managed Google Play の利用

ユーザー事前登録

利用シナリオ② managed Google Play での

アプリ承認

SMSM – Google間の連携設定

SMSM – Google間の連携設定

連携設定 アプリ承認 ユーザー事前登録 キッティング アプリ配信 ストア利用 managed Google Playでのアプリ承認

Android Enterpriseにおいて企業専用のGoogle Playを構築することができ、それをmanaged Google Playと呼 びます。

このGoogle Playは通常のGoogle Playと異なり、企業で利用を許可するアプリを予め決定し、それを端末側スト アアプリに反映させたり、社内利用アプリの配布に利用することが出来ます。 まずは、利用者に使用を許可するアプリを選び、アプリが使用する権限の承認を行います。 ※ アプリ承認(個別アプリケーション)は、強制的なアプリ配信/企業が指定したアプリケーションの配信を利用し ない場合は不要な手順です。 1. 設定＞Android＞アプリケーション＞Android Enterprise＞個別アプリケーションを押下します。 2. 設定セットを新規作成し、[アプリを選択する]を押下します。 管理サイト側設定 ※新メニューデザインの画面イメージになります。

利用シナリオ② managed Google Playでの

アプリ承認

3. 管理サイト内にmanaged Google Playが表示されます。検索機能等を使用し、利用者へ使用させたいアプリ ケーションを選びます。

管理サイト側設定

利用シナリオ② managed Google Playでの

アプリ承認

4. 目的のアプリケーションを選んだら、[承認]を押下します。 5. アプリケーションで使用する権限が表示されます。 確認後、[承認]を押下します。 管理サイト側設定 連携設定 アプリ承認 ユーザー事前登録 キッティング アプリ配信 ストア利用

利用シナリオ② managed Google Playでの

アプリ承認

SMSM – Google間の連携設定

SMSM – Google間の連携設定

6. アプリケーションからの新しい権限リクエスト(アプリベンダーが新機能提供に伴い、新しい権限をリクエス ト)処理方法を選択します。 7. 新しい権限がリクエストされたときのメール 通知先を設定します。 ※メールの登録は必須ではありません。 8. 設定が完了したら、[保存]を押下します。 管理サイト側設定 連携設定 アプリ承認 ユーザー事前登録 キッティング アプリ配信 ストア利用

利用シナリオ② managed Google Play での

アプリ承認

SMSM – Google間の連携設定

SMSM – Google間の連携設定

9. 任意の設定名(アプリ名等)を入力し、[保存]を押下します。 10. アプリケーションの権限を個別に設定したり、アプリ個 別の設定値を入力する場合は、画面下部の[編集]を押下し ます。 管理サイト側設定 連携設定 アプリ承認 ユーザー事前登録 キッティング アプリ配信 ストア利用 ※新メニューデザインの画面イメージになります。

利用シナリオ② managed Google Play での

アプリ承認

11-1. 権限の設定及びアプリ個別の設定値があれば設定し、[保存]を押下します。 %user_name% 例) Gmail の アプリ構成設定項目 ◆ランタイムパーミッション カメラやアドレス帳、位置情報へのアクセスといっ た様々な権限が必要となった際に、アプリ実行中に 権限許可を求める仕組みです。「アプリ個別設定」 では、アプリ毎のランタイムパーミッションについ て、デフォルト/許可/不許可を予め設定することが できます。 ◆アプリ構成 SMSM上から設定できる、アプリ固有の設定値です。 有無はアプリに依存します。例として、Gmailでは メールアドレスや署名等を設定値として配信するこ とができます。 管理サイト側設定 連携設定 アプリ承認 ユーザー事前登録 キッティング アプリ配信 ストア利用 ※新メニューデザインの画面イメージになります。

利用シナリオ② managed Google Playでの

アプリ承認

SMSM – Google間の連携設定

SMSM – Google間の連携設定

連携設定 アプリ承認 ユーザー事前登録 キッティング アプリ配信 ストア利用 11-2. 前ページのランタイムパーミッションで「デフォルト」を選択した場合、「全体アプリケーション権限」 で設定した内容が適用されます。 設定＞Android＞アプリケーション＞Android Enterprise＞全体アプリケーション権限 を押下します。 デフォルトのアプリ権限を許可/不許可/ユーザー選択から選ぶことができます。 アプリ個別設定 全体アプリ権限 端末挙動 デフォルト 許可 ユーザー操作なし(権限確認なし)にアプリ利 用可能。あくまでデフォルトの設定を決め ているだけであり、端末からユーザー操作 によって権限設定を変更可能。 デフォルト 不許可 ユーザーに権限確認なく禁止される。あく までデフォルトの設定を決めているだけで あり、端末からユーザー操作によって権限 設定を変更可能。 デフォルト ユーザー選択 ユーザー自身が都度権限許可するかを選択 する。 個別設定＞許可 - ユーザー操作なし(権限確認なし)にアプリ利 用可能。 個別設定＞不許可 - ユーザー操作なし(権限確認なし)に禁止され る。 ＜デフォルト/許可/不許可/ユーザー選択による端末挙動＞ 管理サイト側設定 ※新メニューデザインの画面イメージになります。

利用シナリオ② managed Google Playでの

アプリ承認

連携設定 アプリ承認 ユーザー事前登録 キッティング アプリ配信 ストア利用 ＜権限設定時の端末側画面例＞ ”許可” ”不許可” 個別権限設定 ”デフォルト” _{全体権限設定 “不許可”} デフォルトは”不許可”に なりますが、設定画面から ユーザーが自由に 変更することができます 切り替えスイッチはグレーアウトし、 ユーザーが操作することはできません 管理サイト側設定 全体権限設定 ”ユーザー選択” アプリ起動時にユーザーが 許可・不許可を選択する 必要があり、一度設定した 後も、設定画面から自由に 操作することができます

利用シナリオ②ユーザー事前登録

SMSM – Google間の連携設定

連携設定 アプリ承認 ユーザー事前登録 キッティング アプリ配信 ストア利用 管理サイト側設定 11-2. ユーザーを登録します。登録方法は「管理サイト ユーザーマニュアル 2.組織/ユーザー」をご覧ください。 ※事前登録しない場合は、ライセンス認証後に端末のポータル画面よりユーザー登録を行うこともできます。 ＜注意点＞ これまでSMSM では作成した設定セットは端末に割り当てることを基本としていましたが、Android Enterprise を用いたアプリケーション配信では、ユーザーに設定セットを割り当て、ユーザーが所有する端末へ 許可したアプリケーションが公開・配信されます。 アプリケーション配信を利用せず、利用シナリオ①端末の機能を制限するのみを利用する場合は必須では ありませんが、設定することを推奨します。 株式会社オプティ ム 山田太郎 管理者 通常の設定セット適用方法 設定セット作成 設定セットを 直接端末に割当 Android Enterprise 設定セット作成 _利用者 設定セットを ユーザーに割当、 ユーザーが所有する端末に 設定が適用される

13. 端末をキッティングします。Android Enterpriseでは”afw識別子による自動プロビジョニング”という方法 が利用でき、これによりストア版AndroidエージェントによるDevice Owner Mode化及びAndroid

Enterprise機能の利用が可能となります。

利用シナリオ② 端末のキッティング

連携設定 アプリ承認 ユーザー事前登録 キッティング アプリ配信 ストア利用 端末側設定 ◆afw識別子による自動プロビジョニング 工場出荷時状態から端末設定を進めていき、下記画面にて「afw#ksmsm」と入力した状態で設定を続けることにより、 ストア版Androidエージェントを自動的にDevice Owner Modeとして設定し、インストールします。

初期設定完了後、ストア版Androidエージェントにてライセンス認証していただくことにより、機器に対してAndroid Enterprise設定を適用することが可能となります。

afw#ksmsm

以降、エージェントのインストール・ 認証に進みます。 ※アプリ配信を利用する場合は、 機器とユーザーの紐付が必須です。 ※ユーザーID・パスワードによる認証は ベーシックパックプラスではご利用頂けません。 afw#ksmsm

利用シナリオ② Android Enterpriseによるアプリ配信

連携設定 アプリ承認 ユーザー事前登録 キッティング アプリ配信 ストア利用 前ページまでに承認したアプリケーションのうち、どのアプリケーションをどのユーザーに配信するか 設定を行います。 13. 設定＞Android＞アプリケーション＞Android Enterprise＞アプリケーション配信 を押下します。 14. 設定セットを新規で作成し、アプリケーションの配信方法を選択します。 ◆全てのアプリをインストール可能 制限無く、Google Play上のアプリを利用可能にします。 ◆企業許可アプリのみインストール可能 ”承認”済みアプリのみ利用可能にします。 ◆指定アプリのみインストール可能 ”承認”済みかつ指定されているアプリのみインストール可能に します。強制(サイレント)インストールはこちらの手法でのみ利 用可能です。ランタイムパーミッションの強制、アプリ構成を利 用したい場合はこちらをご利用ください ※ [指定アプリのみインストール可能]を選択した場合 承認済みアプリが表示 されるので、選択します 強制インストールを実施したい 場合はチェックをいれます ※新メニューデザインの画面イメージになります。 管理サイト側設定

連携設定 アプリ承認 ユーザー事前登録 キッティング アプリ配信 ストア利用 ※ [企業アプリのみインストール可能]を選択した場合

[企業アプリのみインストール可能]を選択し、[保存]を押下すると、[許可アプリ一覧]ボタンが表示されます。

managed Google Play と承認済みアプリ一覧が表示され ます。

本画面内で承認することも可能です。

利用シナリオ② Android Enterpriseによるアプリ配信

※新メニューデザインの画面イメージになります。

利用シナリオ② Android Enterpriseによるアプリ配信

連携設定 アプリ承認 ユーザー事前登録 キッティング アプリ配信 ストア利用 15. 組織もしくはユーザーに配信設定を割り当てます。 組織に割り当てる場合 15-1. 設定を割り当てたい組織を選択し、その他＞ユーザー設定 を押下します。 15-2. 作成したアプリ配信の設定セットを選択し、[保存]を押下 します。 ※新メニューデザインの画面イメージになります。 管理サイト側設定

利用シナリオ② Android Enterpriseによるアプリ配信

連携設定 アプリ承認 ユーザー事前登録 キッティング アプリ配信 ストア利用 ユーザーに割り当てる場合 15-3. 設定を割り当てたいユーザーを選択し、[設定] を押下します。 15-4.作成したアプリ配信の設定セットを選択し、[保存]を押下します。

対象ユーザー(もしくは組織)と機器を紐つけ、同期することで設定反映されます。

同期後、端末には自動的にmanaged Google Play Account

※

が設定されます

※次ページ参照ください

※新メニューデザインの画面イメージになります。

managed Google Play Accountとは

managed Google Play Accountとは

Android Enterprise アカウント登録を行い、SMSM上で機器とユーザーを紐付けると自動的に作成・端末へ紐づけ られるアカウントです。Androidの設定アプリ内の[アカウント]を押下すると「管理アカウント」という名称で表 示されます。このアカウントに対してアプリケーションが配信されます。

※重要※

managed Google Play Accountは端末上から削除することができ、またSMSMの 管理サイト上でもユーザーと機器の紐づけを変更することができます。

しかし上記操作を行っても、Googleサーバー上でのmanaged Google Play

Accountと端末の紐づけは解除されず、また端末に不要なデータが残り想定しない 挙動を示す可能性があります。

そのため、端末の使用者が変わる場合は必ず端末の初期化と、管理サイト上の機器 登録情報削除を行い、新しい使用者を紐づけてご利用ください。

利用シナリオ② managed Google Playの利用

端末側managed Google Playの利用

managed Google Playでは、SMSM上の設定に基づいて表示アプリの制御が可能と

なっています。通常のGoogle Playでは制限無く表示されますが、

managed Google

Playでは企業用Google Playとして運用

が可能です。

通常版Google Play

managed Google Play

いずれのストアも、

Google Play の

アイコン を押下することで

アクセス可能です。

端末への設定適用状況により

表示が切り替わります。

※ managed Google Playへうまく 切り替わらない場合は、エー ジェントもしくは管理サイトか ら同期を行ってください。 端末側設定 ※ 開発中につきOptimal Bizの画面イメージになります。 連携設定 アプリ承認 ユーザー事前登録 キッティング アプリ配信 ストア利用

利用シナリオ② managed Google Play の利用

managed Google Playの利用

managed Google Playを利用することにより、従来では実現が困難であったGoogle

Playのアプリの強制(サイレント)インストールが可能となりました。ユーザーにインス

トールさせたい業務アプリを、ユーザー操作を必要とせず、導入可能となります。

インストール中である旨の

表示がでます

インストールが正常終了し

端末で利用可能になりました

端末側設定 ※ 開発中につきOptimal Bizの画面イメージになります。 連携設定 アプリ承認 ユーザー事前登録 キッティング アプリ配信 ストア利用

ストア版 Android エージェントに

ついて

従来版Androidエージェントとの違い

Androidエージェント 従来版 ストア版

パッケージ名 jp.co.optim.bizagent jp.co.optim.bizagent.smsm.store

入手方法 https://ausl.smartmanager.jp/a_{もしくはDevice Owner Mode化} より afw識別子によるプロビジョニング

Android Enterprise

利用方法 無し(利用不可) afw識別子によるプロビジョニング

Device Owner Mode化 方法 QRコードもしくはNFCによる キッティング afw識別子によるプロビジョニング エージェント アップデート方法 手動、AppManager、管理者より配信のい ずれか

【managed Google Playを利用していない場合】

Google Playからユーザー任意で実施

【managed Google Playを利用している場合】

managed Google Playからユーザー任意で実施、管理者より managed Google Playを用いた配信のいずれか(どちらの場合で も、エージェントアプリの承認が必要です。) リモートロック方法 ※次ページ参照 SMSM 独自画面ロック スクリーンロック USB制限 対応機種において、制限可能 利用不可 ※18年度中に実装予定 オリジナルアプリの強制イ ンストール 対応機種において、利用可能 利用不可 ※18年度中に実装予定

概要

Android Enterprise対応により、SMSMのAndroidエージェントをGoogle Play でも公開し、ご利

用頂けるようになります。

7ページの機能差分を確認し、影響を受けない場合、

ストア版をご利用頂くことを推奨します。

な

お、ストア版でAndroid Enterprise機能を利用する場合は、

必ずafw識別子によるプロビジョニン

リモートロック/SDカードロック/無通信ロック/Zone Management

ロック操作時の違い

概要

利用しているエージェントが従来版か、ストア版かで、リモートロック/SDカードロック/無

通信ロック/Zone Managementロック操作実行時の機能が異なります。 (ストア版エージェ

ントをご利用している場合、Android Enterpriseの利用有無に関わらず、「ストア版エー

ジェント」の表示となります。)

従来版エージェント ストア版エージェント 端末を見つけた方は下 記へご連絡ください。 03-1234-5678 ・SMSMの独自ロック画面 ・管理者が独自のロック解除パスワードを管 理サイトで設定可能 ・OS標準のスクリーンロック画面 ・スクリーンロックパスワードがかかってい ない場合、ユーザーがロック解除可能 ※ 開発中につきOptimal Bizの画面イメージになります。

注意事項

ストア版Androidエージェント利用上の注意点

ストア版Androidエージェントご利用にあたり、以下の点をご留意ください。 ‣従来版Androidエージェントと共存出来ません。どちらか一方のみをご利用ください。 ‣Android Enterpriseをご利用頂く場合には、ストア版Androidエージェントでのafw識別子による自 動プロビジョニングを実施してください。

‣従来版からAndroid Enterpriseによる運用へ切り替える場合、端末初期化及びafw識別子によるプロ

ビジョニングが必要です。

‣今後はストア版Androidエージェントの利用を推奨しますが、7ページ掲載の機能差分に影響がある

場合は、従来版AndroidエージェントでもDevice Owner Mode(DOM)化は可能です。お客様の環境 に合わせて従来版/ストア版をお選びください。

• 従来版/ストア版どちらの場合でも、DOM化時には必ず端末の初期化が必要です。

‣Android EnterpriseはAndroid 6.0以上の端末でご利用可能ですが、afw#による自動プロビジョニン グ(DOM化)に対応していることが前提です。端末がAndroid Enterprise に対応しておらず、afw#に よる自動プロビジョニングを行ってもDOM化しないことがございますので、事前に以下のAndroid Enteprise 対応機種のウェブサイトからお確かめの上ご利用ください。

※Android Enterprise 対応機種 ウェブサイト

Android Enterprise利用上の注意点



managed Google Playの利用において、製品版でない検証用のアプリケーションなど、一部

のアプリケーションで、Google Playには表示されますが、managed Google Playで承認でき

ないアプリケーションがございますのでご注意下さい。

一度G Suiteでないアカウントで利用を始めた場合、その後Google連携設定のアカウントをG Suiteアカウ ントで登録し直すことはできません。

そのため、managed Google Play Accountでの運用ができず、G Suiteで利用する必要がある場合は、大 変申し訳ございませんが対応までお待ちください。

ご迷惑をおかけし、申し訳ございません。

Google Play利用不可事象の回避について

G Suiteアカウントと従来版AndroidエージェントをDOMで利用した場合、Google Playを利用できない状態 が発生します。ストア版AndroidエージェントをDOMで利用し、SMSMからmanaged Google Play

Account を利用することで、managed Google Playが利用可能になります。

恒久対策として、Android EnterpriseのGoogle連携設定をG Suiteアカウントで行うことで、G Suiteアカウ ントの入力による自動プロビジョニング機能を2018年内に提供予定です。

提供されるまでの間、Android Enterprise のGoogle連携設定にてG Suiteアカウントでログインすると以下 のような画面が表示され、設定を進めることができません。

ストア版関連アプリについて

概要

エージェントと連携する「+browser Safety Manager」「Safety Manager AntiVirus」は

2018年2月28日よりGoogle Playにて公開致します。

関連アプリ配信方法

上記アプリケーションはAndroid エージェント同様、Google Playに公開されます。

そのため、ユーザー自身がGoogle Playより検索・インストールを行うか、本資料「利用シナリオ

②：アプリケーション配信設定を行う」の通り、アプリの承認・配信を行って下さい。

従来版エージェントで関連アプリの配信手段として提供していたApp Manager機能はご利用いた

だけません。

プライバシーポリシー掲載について

Safety Manager AntiVirus、+browser Safety Managerのストア版アプリについては、アプリ内

にプライバシーポリシーが掲載されます。

注意点

ストア版の関連アプリは、ストア版エージェントとの組み合わせでのみ、従来版の関連アプリは、

従来版エージェントとの組み合わせでのみご利用いただくことができます。従来版とストア版を合

わせて利用することはできませんので、ご注意ください。

参考：用語解説

用語名 内容

1 Android Enterprise Androidのビジネス向けプログラムのことです。2016年12月まではAndroid for Workと呼ばれていまし たが、Googleが名称を変更しました。

参考：https://support.google.com/work/android/answer/7218437?hl=en

2 managed Google Play 企業向けのGoogle Playのことです。一般に公開されているアプリの他、企業が個別にオリジナルアプリ を公開することもできます。※有償

Android Enterprise を利用する場合は、提供元不明アプリがデフォルトで禁止されるため、アプリのイ ンストールは原則、managed Google Play 経由となります。

managed Google Play を経由しないアプリのインストールは、Googleの規約にて禁止されています。 ※ デバッグ用途を除く。

3 managed Google Play Account

Android Enterprise アカウント登録を行い、SMSM上で機器とユーザーを紐付けると自動的に作成・端 末へ紐づけられるアカウントです。このアカウントに対してアプリケーションが配信されます。 4 Device Owner Mode(DOM) Android 5.0よりGoogleが提供を開始した、端末管理製品(SMSMなど)からより強固な設定を端末へ行う

ための特別なモードです。 SMSM のエージェントをDOM化するためには、端末を初期化する必要があります。DOMの機能を利用 する可能性があるのであれば、必ず最初にDOM化しキッティングを行って下さい。 一部、端末によってはDOMに対応していない場合がございます。事前にお確かめください。 5 QRコードによるDOM化 端末の初期キッティング時に特定のQRコードを読み込むことで、SMSM のエージェントをDOM化する キッティング方法です。 Android 7.0 以降に対応しております。 6 NFCバンプによるDOM化 端末の初期キッティング時にNFCを使って、SMSM のエージェントをDOM化するキッティング方法で す。 Android 6.0 以降に対応しております。NFCの使用ができるか否かは端末によりますのでご注意下さい。

参考：用語解説

用語名 内容

7 afw識別子を使った

自動プロビジョニング 端末の初期キッティング時にメールアドレス欄へ「afw#ksmsm」を入れることでGoogle Play上のSMSM エージェントをDOM化した状態でインストールし、なおかつユーザーと機器情報の紐づけ(プロ ビジョニング)までを行います。 Android 6.x以降に対応しています。 8 従来版Androidエージェン ト https://ausl.smartmanager.jp/a よりapkをダウンロードできるエージェントのことです。従来、SMSMはこのエージェントインストール方法のみご用意しておりました。 9 ストア版Androidエージェ ント afw識別子による自動プロビジョニングにてインストール可能なエージェントです。v9.2.0のバージョンアップより公開いたします。従来版への上書きインストールはできません。 10 work-managed device 企業所有のデバイス向けに設計された機能のことです。この機能を使うと、管理者はデバイス全体を管 理でき、より強固なポリシー制御を実現します。