Android デバイスを QR コードで Workspace ONE UEM に加入してみる

Android デバイスで QR コードを用いて Workspace ONE UEM へ加入してみる

前回、 Android デバイスを Workspace ONE UEM に加入させる様々な方法 にて、Android デバイスを Workspace ONE UEM に加入させる流れを記載しました。

今回は、加入時の負担が少なく、購入店にも縛られることの無い、もっとも手軽な加入方法である QR コードによる加入を実施していきます。

事前準備

デバイスを加入させるにあたり必要な準備を事前に行います。

• Android 7.0 以降のデバイスを用意
  QR コードリーダー取得のためのネットワーク接続が不要な Android 9以降のデバイスを推奨
• デバイスが初期化されている
• UEMで以下の準備が完了していることAndroid Enterprise登録が完了している
• 加入するユーザーアカウントを作成している
• インターネットへの接続が行える Wi-Fi アクセスポイントWPA/WPA2/WPA3 の Personal 方式、または、オープンネットワーク
• Android 13 ではモバイルデータ通信を利用可能となる見込みです
  
  

加入用 QR コードの作成

加入用 QR コードは、Worksopace ONE UEM 上で作成することが出来ます。

1. Workspace ONE UEM で [加入設定] を開く
   [デバイス] > [ライフサイクル] > [代理セットアップ] > [リスト表示] を開き、[加入設定] をクリック
   
   
   
   
2. プラットフォームで [Android] を選択
   
   
   
   
3. 加入で [QRコード] を選択
   
   
   
   
4. Wi-Fi にて、セットアップ用の Wi-Fi 接続情報を含めることが出来ます。
   QRコードに Wi-Fi 接続情報を含めた場合、そのQRコードでは指定した SSID 以外のアクセスポイントには接続出来ません。
   
   
   
   
5. Hub にて、Intelligent Hub アプリのダウンロード場所を指定します。
   標準では、最新バージョンを Google Play Store から取得します。
   [外部 URL でホスト] を選択した場合、任意のWebサーバーに APK ファイルの格納することで、組織内のWebサーバーから Intelligent Hub アプリのダウンロードを行わせることも可能です。
   
   
   
   
6. 登録の詳細 にて、詳細な加入情報を含めることが可能です。
   組織グループ、ユーザー認証情報、プリインストールアプリの削除有無、等を指定出来ます。
   
   
   
   
7. QR コードのダウンロードを行うボタンより、QR コードが含まれた PDF を取得出来ます。
   
   
   
   
8. このウィザードで設定した情報は、Worksopace ONE UEM 上には保存されません。
   再度必要な場合は、改めてウィザードに従い生成してください。
   

QR コードで定義するプロパティ

QR コード内で定義する各プロパティの意味を以下表に記載します。

プロパティ名	役割	利用
PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME	EMMによる管理用アプリ情報を記載	必須
PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION	管理用アプリのダウンロードURLを記載	必須
PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM	管理用アプリダウンロードURLのbase64エンコードを SHA256でハッシュした値を記載	必須
PROVISIONING_SKIP_ENCRYPTION	暗号化スキップ可否を指定	オプション
PROVISIONING_LEAVE_ALL_SYSTEM_APPS_ENABLED	プリインストールアプリの無効化実施有無を指定	オプション
PROVISIONING_WIFI_SECURITY_TYPE	接続先のWi-Fiセキュリティタイプを指定	オプション
PROVISIONING_WIFI_SSID	接続先Wi-Fi SSID を記載	オプション
PROVISIONING_WIFI_PASSWORD	接続先Wi-Fi パスワード を記載	オプション
PROVISIONING_ADMIN_EXTRAS_BUNDLE	EMM管理アプリに引き渡す情報を記載	オプション
PROVISIONING_WIFI_HIDDEN	接続先Wi-FiのステルスSSID状態を指定	オプション
PROVISIONING_KEEP_SCREEN_ON	セットアップ中の画面消灯を無効 Android 13 以降で利用可能	オプション
PROVISIONING_USE_MOBILE_DATA	セットアップにモバイルデータの利用を許可 Android 13 以降で利用可能	オプション

この他、企業向けネットワークで使用する EAP 形式のネットワークに接続するための機能が、Android 10 以降のでバイスで利用出来ます。

以下の参考ページと合わせて確認してみてください。

【参考】
Provision devices | Google Play EMM API | Google Developers
https://developers.google.com/android/work/play/emm-api/prov-devices#create_a_qr_code

なお、一部の項目は Workspace ONE UEM 上の UI では設定が行えないため、別途 QR コードジェネレーターによる作成が必要です。

以下に QR コードの元となる JSON 形式のサンプルコードを掲載しています。
太字傾斜文字 の箇所を環境ごとに置き換えて利用してください。

サンプル QR コード

{   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.airwatch.androidagent/com.airwatch.agent.DeviceAdministratorReceiver",   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"6kyqxDOjgS30jvQuzh4uvHPk-0bmAD-1QU7vtW7i_o8=\n",   "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION":"https://play.google.com/managed/downloadManagingApp?identifier=hub",   "android.app.extra.PROVISIONING_SKIP_ENCRYPTION":false,   "android.app.extra.PROVISIONING_LEAVE_ALL_SYSTEM_APPS_ENABLED":false,   "android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE":"WPA",   "android.app.extra.PROVISIONING_WIFI_SSID":"Wi-Fi_SSID",   "android.app.extra.PROVISIONING_WIFI_PASSWORD":"Wi-Fi_Password",   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":   {     "serverurl":"dsXXX.awmdm.com",     "gid": "Group ID",     "un":"Enroll Username",     "pw":"Enroll Password"   } }

【参考】
Enroll Work Managed Device Using a QR Code
https://docs.vmware.com/en/VMware-Workspace-ONE-UEM/services/Android_Platform/GUID-AndroidEnrollmentEnrollWithQRCode.html

DevicePolicyManager  |  Android Developers
https://developer.android.com/reference/android/app/admin/DevicePolicyManager

また、PROVISIONING_ADMIN_EXTRAS_BUNDLE では、追加のオプションを指定することも出来ます。

通常の用途では不要ですが、要件に応じて利用してください。

【参考】
Formatting
https://docs.vmware.com/en/VMware-Workspace-ONE-UEM/services/Android_Platform/GUID-AndroidEnrollmentAdditionalEnrollmentFlags.html

QR コード加入の実施

QR コード加入を実施していきます。

今回は Google Pixel 3 Android 12 を利用しました。
Android デバイスの製造ベンダー、機種、OSバージョンにより画面が異なる箇所があります。

1. ようこそ画面で『ようこそ』を6回連続してタップ
   
   
   
   
   
2. QR コードリーダーが起動するので加入用の QR コードを読み取る
   
   
   
   
   
3. （Wi-Fi情報を QR コードに埋め込まない場合のみ）
   セットアップに利用する Wi-Fi への接続を実施
   
   
   
   
   
4. 組織用にセットアップを行うメッセージ画面が表示されるので『次へ』をタップ
   
   
   
   
   
5. （UEM URL 、組織グループID を QR コードに埋め込まない場合のみ）
   Intelligent Hub アプリが自動的に起動するので加入先環境情報を入力
   
   
   
   
   
6. （UEM ユーザー名、パスワード を QR コードに埋め込まない場合のみ）
   加入するユーザー名、パスワードを入力
   
   
   
   
   
7. Work 管理対象としてデバイスをセットアップすることに同意
   
   
   
   
   
8. セットアップの続行を実施
   
   
   
   
   
9. Google サービスで位置情報仕様等に同意
   
   
   
   
   
10. 
    
    
    
    
    
11. （システムアプリの削除を QR コードに含めた場合）
    一部のアプリケーションを除き、大半のアプリケーションが消去されます。
    
    
    
    
    システム領域に格納されているアプリは実際には削除されてはおらず、システム読み込まれていない状態となります。
    そのため、デバイス上のアプリ一覧からも確認が出来なくなりますが、許可アプリグループと、アプリケーション制御プロファイルの併用により、必要に応じてアプリケーションを利用させることも可能です。
    

QRコード加入の実際の流れを含めた動画も作成しましたので、是非ご覧ください。

おわりに

QRコード加入は、識別子による加入よりも負担が少なく、Zero Touchによる加入と異なりデバイスの購入方式の指定もないため、最も扱いやすい加入方式だと感じています。

Android スマートフォンを加入させる場合、一番最初に検討する方式になるので、Workspace ONE UEM の管理者となる方は、是非試してほしいです。

また、QR コード加入自体は Android の機能なので、他の EMM 製品でも対応している可能性があります。
記載している QR コードのプロパティの考え方は他の製品でも有用と思われますので、参考にして頂けたらと思います。