Android Management API

Android Management API(AMAPI)は、GoogleのAndroid UEM機能を Ivanti Neurons for MDM に統合するGoogleのクラウドプラットフォームAPIです。 デバイスにデバイス管理用のクライアントアプリをインストールせずにAndroid Enterpriseデバイスを管理するには、Android Enterprise設定でAndroid Management APIフレームワークを有効化します。 現在、Go app は、MTD などの他の機能に関してはデバイスにプッシュされることができません。

設定時にAndroid Enterpriseアカウントを構成すると、Android Management APIフレームワークの有効化と使用が可能となります。 有効化すると以下が可能になります。

  • Enrollmentプロファイルを追加してデバイス登録にQRコードを使用する。
  • 特定の目的を果たすよう、登録デバイス専用のデバイス構成(会社所有シングルユース:COSU)を作成する。

Android Management APIは現在、Google Playをインストールし、専用モードにプロビジョニングされているAndroidバージョン9以降のデバイスでのみサポートされます。 企業専用モードは、COSU(企業所有シングルユース)モードとも呼ばれ、デバイス所有者モードの一種です。 この機能は以下のデバイスアクションもサポートします。

  • ロック
  • 再起動
  • サーバーに同期
  • ワイプ

デバイスチェックインは一定の間隔(毎時間)でスケジュールされています。 ただし即座に実行したい場合は、デバイス詳細ページからデバイスアクション [サーバーに同期] を使用します。 AMAPIデバイスは Ivanti Neurons for MDM に強制チェックインを送信しません。 インベントリ更新はデバイス上でアクティビティがあった場合のみ実行されます。

Android Management APIの有効化

Android Management APIを有効化するには、[管理] > [Android Enterprise] > [Googleを認証](有効なGmailアドレスが必要)> [Android Enterprise有効] に進みます。

Android Management API機能の有効化状態([はい] が有効、[いいえ] が無効)はデバイス詳細ページにも表示されます。

GSuiteアカウントは現在COSUではサポートされていません。

Enrollmentプロファイルの追加

QRコードのスキャンまたはトークンの英数字列を使用してAndroidデバイスを登録するには、Enrollmentプロファイルの作成が必要です。 EnrollmentプロファイルはAndroid Management APIを有効化している場合のみ作成できます。 Enrollmentプロファイルに関連付けるカスタムデバイス属性も作成できます。

  1. [管理] > [Android Enterprise] > [登録プロファイル] を選択します。
  2. [Enrollmentプロファイル - 会社所有専用デバイス] ウィンドウで次の項目を設定します。

    3. 設定

    説明

    [名前]

    このEnrollmentプロファイルを識別する名前を入力します。

    説明

    このEnrollmentプロファイルの目的を明示する説明を入力します。

    ユーザー名

    有効なユーザー名の最初の数文字を入力し、表示された一致結果から選択します。

    有効なユーザー名にはローカルユーザー名とLDAPユーザー名が含まれます。

    EnrollmentプロファイルはプロファイルのQRコードを使用して登録デバイスをタグ付けし、Enrollmentプロファイルに対応するユーザーに帰属するデバイスとして表示します。

    トークンの有効性

    認証トークンQRコードスキャンが有効な日数を入力します。 入力可能な数は1~30です。 有効日数を過ぎたトークンやEnrollmentプロファイルを使用するとデバイスがリセットされます。

    カスタムデバイス属性

    [アクション] カラムで [+新規追加] をクリックし、Enrollmentプロファイルに関連付けるカスタムデバイス属性を追加します。

    1. [属性名] カラムのドロップダウンリストからカスタムデバイス属性を選択します。
    2. [値] カラムでカスタム属性の値を入力します。
    3. [保存] をクリックします。追加したカスタムデバイス属性が表に表示されます。 削除するには [アクション] カラムの [削除] オプションをクリックします。

    カスタム属性は、プロファイル作成中にEnrollmentプロファイルに対してのみ追加できます。 プロファイル作成後は属性フィールドを編集できません。
  3. [保存] をクリックします。[プロファイルの概要] ウィンドウに以下のトークン情報が表示されます。
    • 名前
    • 説明
    • ユーザー名
    • トークン作成日
    • トークン有効期限
    • トークンの値
    • QRコード
    • カスタムデバイス属性

登録後10分以内にデバイスに適切な構成が取得されない場合、デバイスはリセットされます。 このような場合は、登録トークン/QRコードを使用して再登録する必要があります。

Enrollmentプロファイルは作成されると [Enrollmentプロファイル] ページに表示されます。 [アクション] カラムでは以下のいずれかのアクションを実行できます。

  • [表示] アイコンをクリックすると、[プロファイルの概要] ウィンドウにEnrollmentプロファイルの詳細が表示されます。 このウィンドウにはQRコードも表示されます。
  • [編集] アイコンをクリックすると、Enrollmentプロファイルの詳細を編集できます。

    • トークンの有効性のみ編集可能です。 他の属性は編集できません。

  • Enrollmentプロファイルを削除する場合は [削除] をクリックします。

COSU構成の作成

管理者は、Android Enterpriseの専用デバイス(会社所有シングルユース:COSU)構成を使用して、特定の目的に使用する専用デバイスを構成できます。COSU構成は仕事用マネージドデバイス(デバイス所有者モード)に配布され、キオスクモードでユーザーがアプリを1つだけ使用できるようにします。 会社所有デバイス上の仕事用プロファイルのデバイスはサポートされません。

この構成では、画面にアプリをピン留めするよう管理者がデバイスを設定します。キオスクモードのユーザーが、このアプリのピン留めを外す、アプリを離れてデバイスの他の画面に移動する、デバイス上の他のアプリを使用することはできません。

[詳細オプションとアプリ構成] から [デバイスにインストール] を選択すれば、他のアプリもAMAデバイスに強制インストールできますが、設定によってキオスクアプリが画面にピン留めされている限り他のアプリにはアクセスできません。 マルチアプリキオスクでは、仕事用マネージドデバイス(デバイス所有者モード)のキオスク機能を使用することを推奨します。 これにより、アプリやデバイスの設定をより細かく制御し、マルチユーザーモードにも拡張可能になります。

管理者は、ニーズに応じて各種のオプションを検討し、この構成の変更によって、システムのナビゲーションを許可したり、エンドユーザーがGoogle DPC経由でデバイスにプッシュされた他のアプリを使用できるようにしたりできます。

COSU構成は指定された優先度で決まります。 Googleにポリシー構成をプッシュする場合は、最も優先度の高い構成が使用されます。 COSU構成は所定のスペース内のデバイスに適用されます。 デフォルトスペースに定義されていれば、他のスペースに委譲される場合もあります。

構成するには:

  1. [構成] > [+追加] を開きます。
  2. [ロックダウン&キオスク:Android Enterprise][専用デバイス(会社所有シングルユース:COSU)] をクリックします。
  3. 構成の名前を入力します。
  4. 説明を入力します。

  5. 各タブのクリックにより、以下の項目を設定できます。

    • アプリ設定
    • 一般的なロックダウン
    • キオスクのカスタマイズ
    • システム設定

    構成可能なフィールドの詳細は以下の表のとおりです:

    設定

    説明

    アプリ設定

    アプリ名

    デバイスにピン留めするアプリを選択します。アプリ名の最初の数文字を入力し、選びたいアプリがドロップダウンリストに表示されたら選択します。 必要なアプリがドロップダウンリストに表示されない場合は、そのアプリがPlayストアで市販/プライベートアプリとして提供され、アプリカタログに追加されていることを確認します。

    このフィールドは必須です。 このフィールドに追加するアプリを選択しない場合、構成を作成することはできません。 追加できるのは市販アプリとプライベートアプリのみです。 自社開発アプリとWebアプリ(プライベート)は追加できません。

    一般的なロックダウン

    ディスプレイ常時オン

    デバイスをオンにするバッテリープラグインモードを構成します。 以下のいずれかを選択します。

    • AC - AC充電器を電源とします。
    • ワイヤレス
    • USB - USBポートを電源とします。
    • 任意 - AC充電器、USBポー0と、ワイヤレス充電器のいずれかを電源とします。

    キオスクのカスタマイズ

    ステータスバーのカスタマイズ

    以下のいずれかのオプションを選択し、対象デバイスのステータスバーをカスタマイズします。

    • [通知とシステム情報を有効化] - システム情報と通知をステータスバーに表示します。
    • [システム情報のみ有効化] - システム情報のみステータスバーに表示します。

    システムナビゲーションのカスタマイズ

    以下のいずれかのオプションを選択し、キオスクモードのナビゲーション機能(ホーム、概要ボタン)へのアクセスを指定します。

    • [有効化] ‐ ホームボタンと概要ボタンによるナビゲーションを有効化します。 このオプションを選択した場合、ユーザーは所定のアプリを離れることができます。
    • [無効化] ‐ ホームボタンと概要ボタンによるナビゲーションを無効化します。
    • のみ - ホームボタン ナビゲーションのみを有効化します。

    すべてのオプションで [戻る] ボタンは使用可能です。

    グローバルアクションを有効化

    キオスクモードでグローバルアクションを有効化する場合に選択します。 電源ボタンによる再起動およびシャットダウン機能はこのオプションで制御します。

    システムエラーダイアログを有効化

    キオスクモードでアプリのクラッシュまたは応答停止のエラーダイアログを有効化する場合に選択します。

    システム設定

    システム更新設定

    システム更新を管理するには以下の項目を設定します:

    • [システム更新] - 必要なシステム更新の種類を選択します。
      • 自動 - 更新が利用可能になるとすぐに自動的にインストールします。
      • [延期] - 最大30日間、自動インストールを延期します。
      • [時間枠] - 毎日のメンテナンス時間枠内に自動的にインストールします。 メンテナンスの開始時間と終了時間を設定してください。

        • デバイスにインストールされる更新は、サポートする機能群、Androidのバージョン、デバイスにインストールされているGoogleのDPCバージョンによって異なる場合があります。

    • [フリーズ期間] - デバイスがフリーズ期間にある場合、配布されるシステム更新はすべてブロックされ、インストールされません。 [フリーズ期間の追加] をクリックし、フリーズ期間の [開始日][終了日] を設定してください。

      • デバイスがフリーズ期間外になると、通常の更新動作が適用されます。 終了日が開始日の前にある場合、フリーズ期間はその年から翌年まで延長されます。

      フリーズ期間は最大90日に設定できます。 フリーズ期間と次のフリーズ期間の間は少なくとも60日間空けます。
  6. [次へ] をクリックします。

  7. 以下の配布オプションから1つ選択します。

    • すべてのデバイス
    • デバイスなし(デフォルト)
    • カスタム
  8. [完了] をクリックします。

AMAPIデバイス上のアプリ管理

COSU構成がデバイスに配布されると、AMAデバイスにアプリがプッシュされ、画面にピン留めされます。 プッシュされたCOSU構成に関係なく、AMAデバイスにインストールされたアプリは管理可能です。 以下はそのようなデバイス上のアプリ管理の詳細です。

  • 市販アプリ、プライベートアプリのみサポートされます。自社開発アプリやWebクリップはサポートされません。
  • インストール設定で [デバイスにインストール] または [サイレントインストール] が有効になっている場合のみアプリがプッシュされます。 それらが有効化されないままユーザー/デバイスに割り当てられているアプリはデバイス上またはデバイスのPlayストアに表示されず、ユーザーが操作することはできません。
  • サポートされるアプリ構成はマネージドGoogle Playおよび仕事用マネージドデバイス(Android for Work)設定です。 OEMConfigアプリ用のマネージド構成への対応も含め、アプリ用のマネージド構成がサポートされています。

    • 構成のインストールおよびアンインストールの完了時刻は、必要なアクションが実行されたかどうかに関するGoogleからの通知 (メッセージングサービス)によって異なる場合があります。

  • Go appはデフォルトでAMAデバイス登録の一部としてインストールされます。アプリは、登録プロセス中は画面にピン留めされ、セットアップが完了するとバックグラウンドで実行されます。

    • メーカー、OSバージョン、セキュリティパッチレベルに基づくデバイス登録要求強制以外のポリシーはサポートされません。 許可リストに入れられたデバイスのみがIvanti Neurons for MDMへの登録を許可される、デバイス許可リスト化がサポートされています。

AMAPIデバイス上でのアプリフィードバックサポートの管理

AMAPI(COSU)デバイス上ではアプリフィードバックへの対応を管理できます。 デバイスがAMAPI(COSU)モードで登録されると、マネージドアプリ構成がGoogleからIvanti Neurons for MDMに直接、Go appの介入なしてプッシュされます。 マネージドアプリフィードバックの情報は、デバイスレベルでは [デバイス詳細] > [インストール済みアプリ] > [フィードバックを表示] で確認できるほか、個々のアプリレベルでは、アプリカタログの [アプリ構成フィードバック] タブで特定のAndroidアプリに移動して、すべてのデバイスにわたる総合的なレポートで確認できます。 アプリフィードバックのメカニズムについては、アプリフィードバックの同期とフェッチを参照してください。

AMAPIの制限

現在、AMAPIには次の制限があります。

  • 専用デバイス(COSUモード)のみサポートされます。

対応する構成

AMAPIでは、以下の構成がサポートされています。

  • アプリ配布(単一または複数のアプリ)
  • デバイスにプッシュされるアプリのマネージドアプリ構成
  • Wi-Fi構成
  • Android Enterpriseロックダウン専用(COSU)構成
  • Always On VPN構成