TestDPC を用いた Android EMM トラブルシューティング方法
TestDPC を用いた Android EMM トラブルシューティング方法
はじめに
EMM 製品によるデバイスの制御を行う際に、EMM 製品の不具合であるのか、 Android の仕様であるのか、または、デバイス固有の挙動(不具合を含む)であるのか、判断に迷うケースが生じることがあります。
この記事では、そのような場合の切り分けとして活用できる情報を紹介していきます。
Test DPC とは
Test Device Policy Control (Test DPC) は、Google 社が EMM や OEM ベンダーがAndroid Enterprise による各種テストを行えるように設計されたアプリです。
Test Device Policy Control (Test DPC) App
Test DPC を用いることで、EMM コンソール無しに、デバイス上の操作でポリシーのオンオフを実現させることが可能です。
Test DPC が有用なユースケース
これにより、EMM の実装によらず、デバイス上で直接 Android Management API による制御を行うことができるため、発生している事象が EMM 固有の問題であるのか、 Android 側の挙動であるのかを切り分けるための判断材料の一つとして活用できます。
Test DPC で実施可能な管理方式
Test DPC では下記の管理方式に対応しています。
- Work 管理対象 (Fully managed device)
- Work プロファイル (BYOD)
Test DPC での Work 管理対象セットアップ
セットアップ方法
Test DPC で Work 管理対象としてセットアップは、Android デバイスを Workspace ONE UEM へ加入させる方法の紹介 と同様となります。
- 識別子加入
- 識別子として『afw#testdpc』を指定
- Test DPC アプリは Google Play から取得
- プリインストールのアプリは削除される
- QR コード加入
- 下記の DPC 情報を利用
- Test DPC アプリは Google Play から取得
- プリインストールのアプリは削除しない
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.afwsamples.testdpc/com.afwsamples.testdpc.DeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "gJD2YwtOiWJHkSMkkIfLRlj-quNqG1fb6v100QmzM9w=",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=testdpc",
"android.app.extra.PROVISIONING_LEAVE_ALL_SYSTEM_APPS_ENABLED": true
}
Work 管理対象セットアップ
QR コード加入による Work 管理対象セットアップを行います。
今回は Google Pixel 6a (Android 13) を利用していますが、多くのデバイスで同様の手順となります。
- ようこそを6回タップ
- Test DPC セットアップ用 QR コードをスキャン
- インターネットに接続可能な Wi-Fi へ接続
- セットアップを開始するため『次へ』をタップ
- Work 管理対象としてセットアップするため『USE FOR WORK ONLY』をタップ
- セットアップをかいしするために『同意して続行』をタップ
- 『次へ』をタップ
- 『Finish』をタップ
- 下部へスクロールを行い『同意する』をタップ
- デバイスのセットアップ画面を終了
- Test DPC でのセットアップが完了
Test DPC の制御ポリシー設定
制御ポリシーの設定は『Test DPC』アプリにて実施します。
- アプリ一覧を表示して『Test DPC』をタップ
※『Setup Test DPC』は使用しない - 通知の送信が表示された場合は『許可』をタップ
- 制御ポリシー設定画面が表示される
Test DPC で利用可能な主な制御項目
Test DPC で制御ポリシーとして設定可能な項目は下記の通りです。
参考として、Workspace ONE UEM で実現する場合に該当するペイロードなどの情報も併記しています。
| No. | 項目 | 内容 | Workspace ONE UEM で該当するペイロード等 |
| 1 | Accessibility | 許可するユーザー補助アプリの選択 | 制限 |
| 2 | Set time and timezone | 時刻とタイムゾーンの指定 | 日付と時刻 |
| 3 | Set system setting | 画面の明るさ、ロックまでの時間等 | パスコード(一部のみ) |
| 4 | Override APN management | デバイスの APN に関する制御 | なし |
| 5 | Cross-profile calendar (Work プロファイルのみ) | 管理カレンダーと ユーザーカレンダーの連携設定 | 制限 |
| 6 | Account management | アカウント追加/削除制御 | 制限 |
| 7 | Apps management | システムアプリの許可,不許可 /管理アプリのインストール /アプリの非表示/App Config | アプリケーション制御 |
| 8 | Delegation | 特定のアプリに証明書管理/管理設定 /アンインストール抑止/権限設定 /パッケージアクセス状態/システムアプリ有効化 の権限を付与 | なし |
| 9 | Block uninstallation | アンインストール抑止 | アプリケーション制御/ 制限 |
| 10 | Camera, screen capture and audio | カメラ機能、スクリーンショット等の制御 | 制限 |
| 11 | Certificate management | 管理証明書のインストール | 資格情報 |
| 12 | Wi-Fi management | Wi-Fiアクセスポイントの登録 | Wi-Fi |
| 13 | Input methods | 許可する画面キーボードアプリの選択 | 制限 |
| 14 | Notification Listener Services (Work プロファイルのみ) | 許可するステータスバー通知 取得アプリの選択 | なし |
| 15 | Lock screen | ロック画面制御/パスコードの強度 /パスコードの変更/パスコード消去 /ロック機能 | 制限/パスコード /カスタム メッセージ |
| 16 | Lock task | Lock task Mode 機能 | ロック タスク モード /Launcher |
| 17 | Managed profile polices (Work プロファイルのみ) | Work プロファイル上のアプリへ許可する インテント/ウィジェット やデータ共有機能の制御 | 制限 |
| 18 | Bind to profile owner | (詳細不明、利用方法不明) | なし |
| 19 | Networking | 常時VPN設定、プロキシ設定 | VPN(一部のみ) /プロキシ設定 |
| 20 | Permission management | デフォルト権限設定 /個別アプリ権限設定 | 権限 |
| 21 | Single-use devices | ステータスバー/ロック画面無効化 /キオスクモード | 制限/Launcher |
| 22 | System update | OSアップデート遅延/凍結 | システム更新 |
| 23 | User management | 管理用デバイスユーザーの 作成/削除/制御 | 制限(一部のみ) |
| 24 | User restrictions | デバイスユーザーの機能制限 | 制限 |
| 25 | Settings management | 充電中の画面点灯維持 /管理外アプリのインストール許可 /位置情報設定 | 制限 |
| 26 | Support messages | 抑止操作時のダイアログ /デバイス管理画面 のメッセージを指定 | カスタム メッセージ |
| 27 | Device owner management | 組織名の指定/時刻同期設定 /ログ出力/再起動 /ワイプ/EFRP | 日付と時刻 /エンタープライズ工場出荷状態 リセット保護/ 各種デバイス制御 |
| 28 | Transfer ownership | 他の DPC への移行 | なし |
| 29 | Cross profile (Work プロファイルのみ) | 管理用プロファイルと ユーザープロファイルの連携 | 制限 |
上記の通り、 Workspace ONE UEM で利用可能な多くのペイロードの機能を利用できる他、Workspace ONE UEM では実装されていないポリシーも設定可能です。
実装されていない機能を利用したい場合、VMware Workspace ONE の場合は機能リクエストを行うことも可能です。
[TAM Blog] Workspace ONE 機能リクエストプロセスの紹介 - VMware Japan Blog
なお、 Google Play EMM API に関する制御として、Google Play ストア上のアプリをインストールさせる機能や、パブリックアプリ自動更新ペイロードに関する制御を行うことはできません。
Google Play ストア上のアプリを利用する場合、別途 Google アカウントでのログインを行い、通常ユーザーとしてアプリのインストールを行う等の対応が必要となります。
Test DPC による切り分け方法
Test DPC を用いることで、生じている問題が EMM によるものであるか、Android の仕様または不具合であるかを見極める1つの方法として活用できます。
Test DPC では正しく動作するものが EMM 制御時にうまくいかない場合
EMM 側の実装上の問題が考えられるため、ベンダーサポートへの問い合わせを行うことを推奨します。
Test DPC でも特定の動作が期待通りとならない場合
EMM の実装によらず発生する問題となるため、Android の仕様であるか不具合であるかの見極めが必要となります。
Android の仕様については、下記の Android Management API のリファレンス情報と併せて確認することで、期待された動作であるかの確認をすることも可能です。
Android Management API | Google Developers
Android EMM で期待動作とならない場合、EMM ベンダーからの Google への照会が必要となるため、利用している EMM ベンダーに対して Google への問い合わせを行うことを依頼する必要があります。
終わりに
Android デバイスでは、OS、デバイス、EMM でそれぞれ異なるベンダーによる実装がなされるため、切り分けが難しい場合があります。
ネットワーク経由での制御ではなく直接制御を行うため即時反映されることから、スムーズな確認を行うことが可能です。
トラブルシューティングの方法の1つとして、活用いただけたらと思います。
コメント
コメントを投稿