Samsung製デバイスのみ利用可能なKnox機能とWorkspace ONE UEMとの連携

-

Samsung社製デバイスでKnox Service Plugin を利用してWorkspace ONE UEMと連携してみる

Samsung社製デバイスの OEMConfig である Knox Service Plugin の制御を、Workspace ONE UEM で実施する概要と手順を記載していきます。

OEMConfig とは

OEMConfig とは、Android Enterprise 標準の制御範囲を拡張するものとして、デバイスベンダーが実装している制御項目を EMM から設定するための仕組みです。

組織で OEMConfig を使用する - Android Enterprise ヘルプ
https://support.google.com/work/android/answer/9388447?hl=ja

様々なデバイスベンダーで実装されており、Samsung社製デバイスでは、Knox Service Plugin の名称で公開されています。

Knox Service Plugin
https://docs.samsungknox.com/admin/knox-service-plugin/welcome.htm

Knox Service Plugin に必要なライセンス

Knox Service Plugin は、追加の費用無しに利用することが出来ます。
一部の高度な制御内容については、 Knox Platform for Enterprise Premium license が必要となります。

Frequently Asked Questions (FAQS)
https://docs.samsungknox.com/admin/knox-service-plugin/do-i-need-a-license-ksp.htm

Knox Service Plugin と Workspace ONE UEM の連携手順

Knox Service Plugin と Workspace ONE UEM の連携を実施していきます。
全体的な流れは下記のとおりです。

  • パブリックアプリとして Knox Service Plugin を追加
  • 割り当て設定の作成
  • 割り当て内のアプリケーション構成 (AppConfig) として設定

なお、Samsung社側のドキュメントに Workspace ONE UEM との連携手順が記載されているため、合わせて参照をするようにしてください。

Step 1: VMware Workspace ONE UEM - Add to UEM
https://docs.samsungknox.com/admin/knox-service-plugin/vmware-add.htm

パブリックアプリへ Knox Service Plugin を登録する

前提として、下記の状態であることとします。
  • Workspace ONE UEM 環境が利用可能である
  • Workspace ONE UEM への Android Enterprise 登録が完了している
  1. Workspace ONE UEM にて、新規にパブリックアプリの追加をします。
    [アプリとブック] > [アプリ] > [ネイティブ] > [パブリック]タブ を開き、[アプリケーションを追加]ボタンをクリックします。

  2. アプリの検索条件を指定します。
    プラットフォームで [Android] を選択、名前に [Knox Service Plugin] を指定して [次へ] ボタンをクリックします。

  3. OEMConfig アプリを選択します。
    [Knox Service Plugin] をクリックします。

  4. アプリの配信を承認します。
    [承認] ボタンをクリック、アプリが利用する権限の [承認] ボタンをクリックします。


  5. 承認の設定を行います。
    アプリの利用権限に追加が生じた場合に配信が停止してしまうことを防ぐため、[このアプリから新しい権限をリクエストされたときにアプリの承認を維持します。] を選択して、[完了] ボタンをクリックします。

  6. アプリケーションの編集画面でアプリ登録を完了します。
    [保存して割り当て] ボタンをクリックします。

Knox Service Plugin の割り当て設定でアプリケーション構成 (AppConfig ) を設定する

  1. 配布情報を設定します。
    任意の [名前] 、 配布対象の [割り当てグループ] を指定します。
    [アプリ配信方法] は、デバイス制御アプリであるため、[自動] を推奨します。

  2. アプリケーション構成を設定します。
    [アプリケーション構成] を選択して、 [構成を送信する] を有効化します。

  3. OEMConfig の設定を行います。
    [Knox Service Plugin] では、以下の設定を行います。
    [Profile name] : 任意の名前
    [KPE Premium or Knox Suite License key] : 高度な機能を利用する場合にライセンスキーを入力、通常機能範囲の利用時は未指定
    各定義内容 : 項目名に[(Premium)] が付与された設定項目はライセンスが必要な機能、その他の設定項目は通常機能範囲として利用可能


  4. 例としてデバイス制御項目の設定を行います。
    Work 管理対象、COPE では、下記名称の [CONFIGURE] をクリックします。
    [Device-wide policies (Selectively applicable to Fully Manage Device (DO) or Work Profile-on company owned devices (WP-C) mode as noted)] 

  5. デバイスポリシーを有効化します。
    [Enable device policy controls] を [Enable] にします。

  6. デバイス制御を設定していきます。
    [Device Restrictions] を展開して、 [Enable device restriction controls] を [Enable] にします。

  7. 通常の Android Enterprise では設定が行えない、下記の無効化等を制御出来ます。
    [Allow Share Via option] : 共有ボタンの無効化
    [Allow user to modify Settings] : ユーザーによるデバイス設定変更の抑止
    [Allow Clipboard] : クリップボード機能の無効化

  8. 設定完了後、ポリシーの保存を行います。
    [作成] ボタンをクリックします。

  9. 割り当て設定を保存します。
    [保存] ボタンをクリックします。

  10. 公開範囲の確認を行い、デバイスへの展開を行います。
    [公開] ボタンをクリックします。


  11. 以上で、Knox Service Plugin の設定、および、展開が完了します。

おわりに

Knox Service Plugin では、通常の Android Enterprise では設定出来ない範囲を設定することが可能です。

Samsung社製デバイスでは、一部機能は Workspace ONE UEM のプロファイルに OEM ベンダーを Samsung として指定することにより、利用可能なものもあります。

プロファイルで提供されている以上の範囲を制御することも出来るため、必要に応じて OEMConfig を利用することも設計時の検討として含めるとよいと思います。

次回は、Samsung以外のベンダーの OEMConfig 状況をまとめたいと思います。

コメント

コメントを投稿

このブログの人気の投稿

Mac 上の Boot Camp Windows 環境を VMware Fusion へインポートしてみる

-
Mac 上の Boot Camp Windows 環境を VMware Fusion へインポートしてみる Mac デバイスにて Windows OS をネイティブに起動するための仕組みとして Boot Camp があります。 筆者は5年前に購入した Mac mini (2018) を利用していましたが、米 Apple 社が Intel Mac の製造を終了したこともあり Windows デバイスへ戻ることとしました。 その際に Boot Camp Windows 環境を仮想マシンとして移動させたいと思い実施したので、その流れを紹介していきます。
Read more »

【自宅ラボ】vSphere の USB NIC を自動認識させてみる

-
【自宅ラボ】vSphere の USB NIC を自動認識させてみる 前回導入した " USB Network Native Driver for ESXi " ですが、ドキュメント上にも記載されているとおり、導入のみでは起動時の処理の都合上、仮想スイッチとの紐付けが毎回解除されてしまいます。 対処方法は手順はドキュメントに記載されておりますが、細かな情報無しに読み解く必要がある状況でしたので、設定方法を解説してみます。
Read more »

Androidデバイスの画面をリアルタイムで投影する方法

-
Androidデバイスの画面をリアルタイムで投影する方法 製品のデモや操作内容の共有のために、Android デバイスの画面をリアルタイムでモニターやプロジェクターで投影したい場合、外部製品が必要となります。 iPhone の場合は専用の HDMI アダプターや、 iPhone 15 Pro 以降であれば UDB-C to HDMI ケーブルを用いることで相性問題等はなく表示できますが、 Android の場合はデバイスにより実現可否が異なります。 デバイスによっては使用できない方法や、出先での利用が難しいものなどもあるので、今回はメジャーな方式について整理してみたいと思います。
Read more »

【自宅ラボ】VCSA のリストアを実施してみる (vSphere 8)

-
【自宅ラボ】VCSA のリストアを実施してみる (vSphere 8) vSphere 環境において、vCenter Server は全 ESXi の管理や、vCenter Server 上で管理している情報等、重要な情報が多数格納されており、バックアップの取得が推奨されています。 バックアップしたものは復元が行えることを確認しておかなければいざというときに復元できない事態となる恐れもあるため、今回は 前回取得したバックアップ を用いてリストアを実施した結果を紹介します。
Read more »