alt

TECHNICAL CENTER


デバイスオーナーモード(Device Owner Mode)

2016-02-25
MDM



PDFをダウンロードする

Device Owner Mode(デバイス所有者モード)とは、Android 5.0 で初めて追加され、企業が購入したAndroid 端末を社員に支給する形態、いわゆる社給端末で絶大な効果を発揮します。

社給端末では、業務に不要なアプリの利用を禁止する、業務に必要な機能を強制するといった機能が必要です。iOSの監視対象モード(Supervised Mode)に相当する機能が、ようやくAndroid5.0から追加されたことになります。

Android 2.2以降提供されていたDevice Administration(デバイス管理)権限では、①リモートロック、リモートワイプ ②パスコード強制(Android 3.0以降内容強化)③パスコード消去 ④外部ストレージ暗号化(Android 3.0以降)⑤カメラ禁止(Android 4.0以降)だけでした。

Android 5.0 で追加されたProfile Owner(プロファイル所有者)は、企業が管理可能なコンテナ領域であるWork Profile(仕事用プロファイル)を作成でき、Work Profile内のアプリを制限、強制できますが、Personal Profile(個人用プロファイル)内のアプリの利用は制限できません。

これまでは、サムソン(Samsung)製のKNOXでしか実現できなかった、こうした公私分離機能はAndroid for Workと呼ばれ、Profile OwnerによってAndroid5.0以降実現可能になりました。OS標準の公私分離については、こちらをご覧ください。(OSが提供する公私分離機能とは)

BYODが一般的な北米の会社が提供するMDMでは、BYODにフォーカスした機能を売りにしています。しかし、日本を含め世界的には会社支給のデバイスを仕事に使うことが多いため、社給端末用のソリューションのニーズがありましたが、BYODソリューションに較べ、対応が後回しになっていました。

Android 5.0以降追加されたDevice Owner(デバイス所有者)は、特別な権限を持ったデバイス管理者で、DevicePolicyManagerクラスのメソッドを使って設定やセキュリティ、管理されたデバイスのアプリについてきめ細かい制御が可能になります。例えば、ユーザーの追加・削除や電話の発呼、SMS、カメラ、外部メディア、プロキシなどの利用、手動での時刻変更までを細かく設定できます。Device Ownerで制限できる項目は、こちらをご覧ください。(OS別機能制限一覧)Device Owner Modeは無効化できず、デバイスを初期化し、工場出荷時に戻す必要があります。

Device Owner Modeの導入手順
導入手順はやや特殊で、マスターとなるAndroid 5の親機(Provisioner)を一台作成し、NFC経由で管理対象端末にする必要があります。NFCで親機と子機(Provisionee)を接触(Bump)させると、すぐに子機の初期化が始まり、端末データを暗号化します。データの暗号化に掛かる時間は端末容量によって異なります。

iOSも、DEP(Device Enrollment Program)が提供されるまでは、Mac PCに1台づつUSB経由で接続し、Apple Configurator 2を使って、iOS端末をSupervised Modeにする手段しか提供されておらず、大量のデバイスのキッティングには時間と手間が掛かっていました。

今後、Device Owner Modeを簡単に導入する手段がが提供されるまでは、キッティングしてから出荷するなどの工夫が必要になります。






Copyright© BizMobile Inc. All Rights Reserved. BizMobile株式会社
alt