i3Systems Engineering blog

株式会社アイキューブドシステムズの製品開発メンバーが、日頃のCLOMO開発の様子などを紹介します。

CLOMOでBYODのAndroidデバイスを管理できるようになりました

はじめに

アイキューブドシステムズで製品開発運用本部の製品開発部に所属している kazuya-oota です。私はAndroidのアプリケーションの開発に携わっており、その中でもデバイスの管理する機能を提供するCLOMO MDM for Androidを主に担当しています。

みなさんは個人用と業務用のスマートフォンの2台持ちをしていませんか? もしもお手持ちの個人用スマートフォンがAndroidならば業務用のスマートフォンは必要ありません。CLOMOではお持ちの個人用のスマートフォンに業務用アプリケーションを簡単にインストールすることができ、個人情報やプライバシーを十分に守りながら業務にも利用するようにできます。

今回は、弊社MDMソリューションのCLOMOでこのようなスマートフォン運用が可能になったWork Profile モードとAndroid Enterpriseの取り組みについてご紹介したいと思います。

Work Profile モードとは?

Work ProfileモードはCLOMOを利用する際のデバイス管理方法の1つであり、BYOD(Bring Your Own Device)の用途で用いられることを想定したモードとして設計されています。このモードでは、Android デバイスに仕事用プロファイルと呼ばれるアプリケーションやデータを保存する領域を作成します。仕事用プロファイルはデバイスの利用者が個人用のアプリケーションやデータを保存した領域(以下、個人用プロファイル)とは全く別の領域になっています。

https://developers.google.com/android/work/overview#employee-owned-devices

仕事用プロファイルと個人用プロファイルは完全に独立しているため、それぞれのプロファイル間の通信は基本的にできず、仕事用プロファイルの企業データを個人用プロファイルにコピーすることはできません。また、外部ストレージなどを接続した場合でも仕事用プロファイルの企業データを外部ストレージにコピーすることはできません。 これにより、デバイスの利用者は個人用プロファイルに保存されたデータを企業に知られることなく、プライバシーを保ったまま個人と仕事の両方の用途を1台のデバイスで利用することができます。また、企業は十分なセキュリティを担保されており、仕事用のデータを漏洩するリスクを気にせずに利用することができます。

仕事用プロファイルはAndroidの設定アプリやランチャーから利用者の任意でオフにすることができます。利用者はプライベートで利用する場合に煩雑な仕事用プロファイルのアプリケーションが表示する通知を消すことができ、また仕事用プロファイルのアプリケーションがバックグラウンドで動作しないようにすることができます。

こちらは、CLOMOも例外に漏れずコマンドの実行などはできません。利用者が仕事用プロファイルをオンにするのを待つ必要があります。つまり、仕事用プロファイルを使う・使わないは完全に利用者に委ねられています。

https://play.google.com/work

仕事用プロファイルではビジネス向けのGoogle Play(managed Google Play)を利用できます。

ビジネス向けのGoogle Playでは企業が承認したアプリケーションだけをGoogle Playアプリケーションで表示・インストールするようにカスタマイズできます。また、企業の管理者はCLOMOの管理パネルから業務用のアプリケーションをリモートでインストールすることもできます。これにより、企業は仕事用プロファイルに業務用のプライベートアプリケーションを容易に配布することができ、ユーザは個人用プロファイルに業務用のアプリケーションをインストールしなくてすみます。

Work Profileモードはデバイスを管理しない

Work Profileモードを利用する場合は、先述の通り個人所有のデバイスを利用するBYODを用途としているためデバイス全体を管理することはしません。会社所有のデバイスで厳格な管理する場合には、用途に応じた別の管理方法1を利用します。 そのため、CLOMOのWork Profileモードでは以下のような制限はできません。

  • デバイスのファクトリーリセットを禁止
  • Wi-Fiの設定変更を禁止
  • Bluetoothの利用を禁止

これら以外にもデバイス全体の挙動を制限することはできません。これはWork Profileモードの用途がBYODで、あくまでデバイスは利用者のものであるからです。デバイスは個人のものであって仕事用にも利用できるということであり、企業は仕事用プロファイルとそのアプリケーションを管理できるということになります。

ただ、企業としては個人所有のデバイスを業務で利用するにあたって、ある程度セキュリティは必要という考えはあるかと思います。そういった要望に対応するものとして以下のような設定を加えることができます。

  • デバイスのパスワードを指定した文字数、文字種の組み合わせにする
  • キーガード(ロック画面)を生体認証で解除させない
  • 提供元不明のアプリをインストールさせない

Android Enterprise Recommendedと機能セット

https://androidenterprisepartners.withgoogle.com/provider/#!/9

CLOMOはAndroid Enterprise RecommendedのEMMsカテゴリーに登録されています。このカテゴリに登録されるためにはソリューションに2つ以上のマネージメントセット2が備わっていることが条件となります。 Android Enterprise Recommendedでマネージメントセットの認定に必要な機能リスト(要件)は feature list に記載されています。Work ProfileモードではWork Profile Managementのマネージメントセットに分類されるすべての標準的な機能と一部の高度な機能を利用することができます。

また、Android Enterpriseのサポートする機能以外にもCLOMO独自の機能を利用できます。Work Profileモードで実現する際に、いくつかは既存の仕様から変更をすることとなりました。

  • プライバシーに関するデータ デバイス情報を取得する機能においてプライバシーに関わるデータとしてデバイスの電話番号、位置情報は取得しないよう変更しました。また、電話番号情報を利用するSIMカード監視機能は機能自体を入れないことになりました。
  • デバイスを専用画面に固定しない デバイスの画面を専用画面に固定する紛失モードやローカルロックは、仕事用プロファイルのアプリケーションのサスペンドと通知をベースにした制御に変更しました。専用画面に固定する制御ができなくなったこともありますが、個人用デバイスを一時的であっても操作不可にすべきではないと考えたためです。
  • ワークスマートの時刻の自動設定 ワークスマートの設定時にデバイスの時刻とタイムゾーンを自動設定に固定をしないように変更しました。アプリケーションの保有する権限によりでデバイスに設定することができなくなり、やむを得ず変更となりました。

その他にも細かい変更はありますが、これらは既存の挙動から大きく変わるためどのように変更するかの検討に苦労しました。

終わりに

仕事用のモバイルデバイスとしてAndroidを採用する企業は年々増えており、様々な場所と用途で利用されています。デバイスをBYODで利用することは一般的で、今回紹介したWork Profileモードは企業のモバイルデバイス活用において初期投資コストを減らすことの一助となります。仕事用プロファイルの活用についてAndroid 11からはBYOD以外の企業所有のデバイスでも使用することもできるようになっています。

また、Android Enterprise Recommendedについても紹介しましたが、弊社は世界で10社(2021年8月時点)のAndroid Enterprise Recommendedで認定されたEMMソリューションを提供する企業の一つです。今後も進化を続けるAndroid Enterpriseに追随し、お客様により便利でより使いやすいソリューションとなるようCLOMOを成長させていきたいと思います。


  1. 厳格なデバイス管理のみを行う場合には、Fully Managed Device(完全管理デバイス)、KIOSKやハンディターミナルのように単一の目的のためであればDedicated(専用端末化) を利用する。

  2. Googleが3つに分類したEMMソリューションに求められる機能セットのこと。機能はそれぞれ標準的な機能と高度な機能に分類され、Android Enterprise Recommendedを取得するためには2つの機能セットにおいて、すべての標準的な機能を提供する必要がある。