Endpoint Central オンプレミス版 ナレッジベース

モバイルデバイスのコンテナを作成する方法


管理対象のモバイルデバイスをコンテナ化し、企業データを管理する方法

モバイルデバイスにおいてユーザーの個人データと企業データを論理的に分離する(=コンテナ化)方法を説明します。BYODデバイスの企業データを適切に管理する際に役立ちます。

Androidデバイス

管理者または招待による登録を行うとAndroidデバイスはプロファイルオーナーとしてプロビジョニングされます。このとき仕事用プロファイルが自動的に作成され、デバイスを論理的にコンテナ化します。

このコンテナ化で、デバイス内の企業データとアプリを含む仕事用プロファイルを、Endpoint Central Centralで完全に制御できるようになります。仕事用プロファイル内のアプリは、個人用アプリとの干渉や通信がありません。
また、コンテナ化により、Android端末のユーザーは企業のメールアカウントを変更できなくなります。

iOSデバイス

iOSデバイスの場合、コンテナは自動的には作成されません。デバイスに対し以下のような制限をプロファイルから適用する必要があります。
仮想コンテナを作成するために、推奨される設定項目は次のとおりです(この他にも、組織の要件に基づき制限する項目を追加します)。

  • 管理対象アプリから管理対象外アプリへのデータ共有の制限
  • 管理されていないアプリから管理されたアプリへのデータ共有の制限
  • スクリーンショットと画面録画の制限
  • USB接続とiTunesとのペアリングを制限
  • 管理対象アプリのデータとドキュメントのiCloud同期の制限
  • 管理対象Webドメインを設定する
  • VPNを設定する
  • ドキュメントビューアーを使用する
操作手順

上記の項目を設定する操作は、以下の通りです。

  1. モバイルデバイス管理タブ > 管理 > プロファイル > 「+プロファイルを作成する」 をクリックし、ios/ipadOSを選択します。
  2. プロファイルの定義から「制限」を選択し、以下の項目を禁止します。
    • Security > 「管理されているアプリからの管理されていないアプリへの文書移動を許可」→「制限されています」を選択
    • Security > 「管理されていないアプリからの管理されているアプリへの文書移動を許可」→「制限されています」を選択
    • デバイスの機能 > 「スクリーンショットとス画面記録」→「制限されています」を選択
    • 高度なセキュリティ > 「iTunesのペア設定やその他のUSB接続を許可する」→「いいえ」を選択
    • iCloud > 「管理済みのアプリのデータおよびドキュメントを同期」→「制限されています」を選択
  3. プロファイルの定義から「管理対象Webドメイン」を選択し、URLを追加します。
    このURLからダウンロードされたドキュメントは、MDMのドキュメントビューアー機能でのみ表示/保存可能になります。
  4. プロファイルの定義から「アプリごとのVPN」を選択し、各項目を入力します。
    設定した状態で指定したアプリにアクセスすると、VPN接続に移行します。
  5. 保存をクリックし、公開をクリックします。

プロファイルにおいて、制限 > Security > 「管理対象アプリから管理対象外アプリへのデータ共有の制限」が有効になっている場合、管理対象外のアプリはiOS 11の「連絡先」にアクセスできません。iOS 12以降のデバイスでは、管理者は「Allow unmanaged apps to access managed contacts」を「はい」に設定することで、連絡先へのアクセスが可能になります。

ドキュメントビューアー

ドキュメントビューアーは、ManageEngine MDMアプリで使用できる機能の一つです。
端末ユーザーは、Endpoint Central管理者が モバイルデバイス管理 > 管理 > コンテンツ管理 を用いて共有されたコンテンツ、電子メールの添付ファイル、またはプロファイル中の管理対象Webドメインで指定されたページからダウンロードされたドキュメントを、この機能を用いて表示できます。
ドキュメントはManageEngine MDMアプリでダウンロードされるため、個人用アプリや許可されていないアプリはこれらのドキュメントにアクセスできません。また、ドキュメントビューアーは、コンテンツがサードパーティのクラウドサービスにアップロードされないようにします。