Workspace ONE

Android 端末の管理方法は今後Android Enterprise (旧称 Android for Work)が前提になります

Workspace ONE 統合エンドポイント管理 (旧称 AirWatch。以下、Workspace ONE UEM) によるAndroid端末の管理をお考えの方、あるいはすでに管理中の方にとっては、非常に重要な変更点となります。
Google社の方針を受け、Workspace ONE UEMとしても今後のAndroid端末管理手法は全て、旧来の Device Administrator から Android Enterprise へと推奨が切り替わっていきます。本エントリでは、こちらのAndroid管理手法の変更についてご説明していきます。
ところで、Android for Workの名前がAndroid Enterpriseに変わっていたり、AirWatchの名前がWorkspace ONE UEMに変わっていたり、すこし分かりにくいですよね…すみませんが慣れてください。
・Device Administratorとは
2010年リリースのAndroid 2.2から実装されているAndroid管理手法で、明示的にAndroid Enterpriseを設定せずにAndroid端末をMDM管理している方は基本的にこちらを利用しています。この管理方法は、2017年リリースの Android 8.0 (Oreo) では引き続きGoogleにサポートされていますが、2018年リリース予定の Android 9.0 (Pie)では多くの機能がドロップされ、2019年にリリース予定の Android Qでは完全に利用できなくなる予定となっています。
こちらの手法は対象機種によって制御できる項目/できない項目が存在していました。例えば、Samsunの端末ではスクリーンキャプチャをMDMから無効化することができるが、富士通の端末ではこの制御ができない、というようにデバイス依存の強い管理手法となっていました。
・Android Enterpriseとは
旧称Android for Work。Android 5.0 (Lollipop)から一部端末に実装され、Android 6.0 (Marshmallow) で標準の機能となったAndroid 端末の管理手法で、今後のAndroid端末管理のスタンダードです。
Android Enterpriseの中にも、BYODに最適な、端末の中に個人領域を作る[Work profile]というコンフィグレーションや、社給端末向けに細かな制御設定を可能にする[Work Managed]というコンフィグレーションなどが存在します。
こちらは端末がAndroid Enterpriseにさえ対応していれば、基本的には一律で同じ制御項目が適用できるため、機種依存の少ない管理手法となっています。BYODでさまざまなデバイスが加入するようなケースでも、BYOD利用の条件を [Android Enterpriseに対応している機種であること] と定義しておけば、様々な機種で同レベルのセキュリティを担保することが可能です。
Googleが開示しているAndroid Enterprise対応端末一覧はこちら
#ちなみに、VMware はGoogleからAndroid のEMM パートナーとして推奨されている8社のうちの1社です。
ということで、今後、新規にAndroid端末を加入させる場合は、基本的にはAndroid Enterpriseのご利用が前提になります。
ここから重要なポイントですが、Device Administratorで管理中の既存端末をAndroid Enterprise の Work Managedベースの管理に切り替える場合には、端末の初期化及びWorkspace ONE UEMへの再加入が必要となります。
Android Enterprise Work Profileへの切り替えには初期化は必要ないのですが、Work ProfileはBYOD用途で主に使われるコンフィグレーションなので、社給端末の場合は基本的にDevice Administratorの切り替え先はWork Managedとなるケースが多いです。
Android Enterpriseへの移行を、既存端末含めて一斉に実施するとなると、利用中の端末を全て初期化していくオペレーションが発生しますので、これはちょっと現実的ではありませんよね。
ということで、現在Device Administratorベースで端末を管理中の方は、社内でAndroid Enterpriseへの移行を計画し、今後新規に増えるAndroid端末は基本的にAndroid Enterpriseで加入させるといった対応に今からでも切り替えていくことを推奨します。
既にDevice Administratorで管理中の方も、新規端末はAndroid Enterpriseベースの加入/管理を、既存の端末も入れ替えタイミング等でAndroid Enterpriseベースの加入/管理への切り替えをお願いします。

Workspace ONE UEMでAndroid端末にプロファイルを設定する場合の変更点

管理手法の切り替えに伴い、Workspace ONE UEM の管理コンソールにも変更が加えられています。
9.1までは下図の様に、[プロファイルの作成] → [Android] を選択した際に、(事前に対象組織グループでAndroid Enterpriseの初期設定が済んでいる場合は) [Device] もしくは [Android for Work] といった選択肢が表示されていました。

こちらでDeviceを選択するとDevice administratorベースのプロファイル作成、Android for Workを選択するとAndroid Enterpriseベースのプロファイル作成に進むようになっていました。
Workspave ONE UEM 9.2以降では、プロファイル作成画面で[Android]とだけ表示されている項目がAndroid Enterpriseを指しており、旧来のDevice Administratorベースのプロファイルは[Android Legacy]と表示されています。

あまりいらっしゃらないかとは思いますが、これから新規にDevice Administratorベースの管理を実施されたい方は、Workspace ONE UEMコンソール上で明示的に[Googleへの登録なしでAndroidを展開する]を有効にする必要がありますのでご注意ください。
設定箇所は、[グループと設定]→[全ての設定]→[デバイスとユーザー]→[Android]→[Android EMM登録]です。

同じ設定画面から、[加入制限]のタブを選択すると、同一の組織グループ内でAndroidの加入をAndroid Enterpriseのみとするか、Android Legacyのみとするか、グループ単位で使い分けるかを設定可能です。

ということで重要なポイントをおさらいします。

  • 2019年リリース予定のAndroid Qでは、旧来のDevice Administratorベースの管理は利用できなくなる
  • Device Administratorベースで管理されている端末をAndroid Enterprise の Work Managedに切り替えるには、端末の初期化が必要となるため、今後新規に端末を加入させる場合はAndroid Enterpriseベースでの加入を推奨
  • Workspace ONE UEM上でただ[Android]と記載されている箇所は、今後説明が無くとも基本的にAndroid Enterpriseを指しており、Device Administratorを指す場合は[Android Legacy]という記載となっている

Android Enterpriseが基本になり、今後は機種依存の制御項目を気にしなくて良くなるのは嬉しいポイントですね!
皆様是非Android Enterpriseを積極的にご活用ください。