BoxでMDMを構成する方法について説明します。
目次
Microsoft Intune
Microsoft Intuneは、よく使用されているエンタープライズモビリティ管理 (EMM) プロバイダの1つです。
iOSの場合、Enterprise管理者 (EA) は公式アプリストアからBoxアプリ (Box for EMM、Box Mobile) を入手できます。 EAはいずれかのアプリを取得後、Microsoft Intuneの管理コンソールでそのアプリをプロビジョニングできます。
Androidの場合、管理者はまず、managed Google Playストアに接続してIntuneポータルサイトアプリを承認する必要があります。
iOS
最初に、新しいアプリポリシーを追加します。
- 管理対象のiOS/iPadOSデバイスのアプリ構成ポリシーを追加します。
- 対象アプリとしてBox for EMMまたはBox Mobileを選択します。
- 構成デザイナーを使用して一般およびIntune固有の構成キー/値を入力します。
Intune MAMとサードパーティ製のMDMを使用していて、MDMにユーザープリンシパル名変数がない場合は、代わりにメール変数を使用してみてください。
新しい保護ポリシーの追加
次に、アプリに新しい保護ポリシーを追加します。パブリックアプリとしてBox for EMM/Box Mobileを選択し、次のステップで適切な設定をすべて選択します。 変更を保存する前に、すべての設定が正しいことと適切なグループに割り当てられていることを確認します。
Boxの構成
Box for EMMはMDM管理対象デバイスのみに制限されます。これはBox for EMMのデフォルトの機能です。 ユーザーは、自分のアカウントがMicrosoft Intune管理コンソールでプロビジョニングされている場合のみ、Box for EMMにログインできます。 その際、ユーザーは自社の資格情報を使用する必要があります。
ユーザーをBox for EMM経由でBoxにアクセスするように構成します。
そのためには、以下の手順を実行します。
- [管理コンソール] > [アプリ] に移動します。
- [Box公式アプリ] セクションで [iOSアプリ] を探します。
- 以下のアプリの横にあるラジオボタンを切り替えて、アプリを無効にします。
- Box for iPhone
- Box for iPad
- Capture for iOS (公式サポート終了 (EOL): 日本時間2024年8月31日)
- [モバイルウェブおよびアクセシビリティ] まで下にスクロールし、[Box.comモバイルサイト] を無効にします。 [Box for iPhone (EMM)] および [Box for iPad (EMM)] が有効になっていることを確認します。
その他のBoxアプリを展開している場合やAndroidソリューションを使用している場合は、さらにアプリを無効にする必要があるかどうかを確認してください。
上記の設定を変更すると、ユーザーは、標準の (管理されていない) Box for Mobileアプリとモバイルサイトにアクセスできなくなります。 必ずBoxユーザーに通知してから、この操作を実行するようにしてください。
Android
最初に、IntuneアカウントをAndroid Enterpriseアカウントに関連付けます。 詳細については、Android EnterpriseのドキュメントおよびIntuneのドキュメントを参照してください。その後、managed Google PlayストアでIntuneポータルサイトを承認し、動作することを確認します。 承認済みアプリがすべて同期されていることとアプリのポリシー/割り当てが設定されていることを確認します。
アプリ構成ポリシー
構成設定で、一般およびIntune固有の構成キーとその値を入力します。
PlayストアでBox for EMMまたはBox for Mobileが表示されているかどうかを確認します。 それをダウンロードし、Workspaceアプリで利用できるかどうかを確認します。これで、ユーザーはアプリを開いてログインできるようになります。
ユーザーシナリオ
シナリオ | 結果 |
Microsoft Intuneで管理されているユーザーが、Microsoft IntuneでプロビジョニングされたBox for EMMアプリへのログインを要求する。 | ユーザーは正常にログインできます。 |
Microsoft Intuneで管理されているユーザーが、公式アプリストアから直接インストールしたBox for EMMアプリへのログインを要求する。 | Microsoft Intuneの管理コンソールで構成されたパブリックIDは、公式アプリストアからインストールされたBox for EMMアプリにプッシュされないため、ユーザーはログインできません。 |
ユーザーがデバイス上のアプリをバックアップし、そのアプリを別のデバイスに復元しようとする。 | Box for EMMアプリはワンタイムトークンを検証し、そのアプリがMicrosoft Intuneでプロビジョニングされていないと判断するため、ユーザーはログインできません。 |
企業で展開されているBox for EMMに属さないBoxユーザーが、Microsoft IntuneでプロビジョニングされたBox for EMMアプリへのログインを要求する。 | ユーザーのログイン情報がBox for EMMアプリのパブリックIDと一致しないため、ユーザーはログインできません。 |
Enterprise管理者が、Microsoft Intuneで管理されているデバイスに選択的ワイプを実行する。 | オフラインの会社のデータが管理対象デバイスから削除されます。 |
BoxユーザーがMicrosoft Intuneからデバイスを登録解除する。 | Box for EMMアプリがデバイスから削除されます。 |
Workspace ONE (AirWatch)
Workspace ONE (AirWatch) でMDMを構成する方法について説明します。
iOS
- Boxからキーと値のペアを受け取った後、EAはBox for EMMアプリケーションを入手する必要があります。
- EMMコンソールでBox for EMMまたはBox for Mobileアプリケーションを追加します。
- アプリケーションの読み込みが完了したら、以下の導入設定を有効にします。
- Remove or Unenroll (削除または登録解除)
- Prevent Application Backup (アプリケーションのバックアップ防止)
- App Tunneling (アプリのトンネリング)
- 以下の導入設定を無効にします。
- Make App MDM Managed if User Installed (ユーザーがインストールしたアプリをMDM管理対象にする)
- Application Configuration (アプリケーションの構成)
Workspace ONEに必要な一般的なキーと値のペアを入力します。
Android
アプリケーションをWorkspace ONE管理コンソールに追加します。
- アプリケーションの読み込みが完了したら、設定を構成します。
- 以下のポリシーを確認します。
- Remove on Unenroll (登録解除時に削除): Boxで強く推奨されています。 このオプションをオンにすると、ユーザーの退職時にBox管理コンソールでそのユーザーのアカウントを削除できます。 アカウントを削除すると、MDMプロファイルが削除されたユーザーはBox for MobileとBox for EMMで自動的にログアウトされるため、ユーザーはアプリにアクセスできなくなります。
- Send Application Configuration (アプリケーション構成の送信)
- Application uses the AirWatch SDK (アプリケーションでAirWatch SDKを使用)
- 構成キーを追加します。
- 最初のキーとしてManagement IDを追加します。
- 2番目のキーとしてPublic IDを追加します。これはBoxから提供されたキーと値のペアです。
- 省略可: 3番目の構成キーとしてEmailAddressを追加できます。 このオプションでは、Box for MobileまたはBox for EMMのログインページに事前入力するユーザーのAirWatchメールアドレスを構成します。
注:
アプリケーションがすでにアップロードされていても、上記のように構成されていない場合は、導入設定を編集してください。
Android Enterpriseでは、デバイスを構成する前に、AirWatchコンソールでアカウントを統合する必要があります。 その後、デバイスの登録およびデバイスへのアプリのプッシュを行う必要があります。
ユーザーシナリオ
シナリオ | 結果 |
AirWatchで管理されているユーザーが、AirWatchでプロビジョニングされたBox for EMMアプリへのログインを要求する。 | キーと値のペアはEnterprise管理者と共有され、その後、Enterprise管理者がそれをAirWatchコンソールで設定します。 このキーと値のペアおよびワンタイムトークンはBoxアプリにプッシュされます。 アプリではこのペアがチェックされ、ユーザーが正常にログインできるようになります。 |
AirWatchで管理されているユーザーが、アプリストアからインストールしたBox for EMMアプリへのログインを要求する。 | AirWatchコンソールで設定されたキーと値のペアは、アプリストアからインストールされたBox for EMMアプリにプッシュされません。 ユーザーはアプリにログインできません。 |
ユーザーがデバイス上のアプリをバックアップし、そのアプリを別のデバイスに復元しようとする。 | Box for EMMアプリはそのアプリがEMMプロバイダでプロビジョニングされているかどうかを検証するため、ユーザーはログインできません。 |
AirWatchで管理されていないユーザーが、アプリストアからインストールしたBox for EMMアプリへのログインを要求する。 | 必要なキーと値のペアはBox for EMMアプリにプッシュされません。ユーザーはアプリにログインできません。 |
Box for EMMに登録されていない企業のユーザーが、AirWatchでプロビジョニングされたBox for EMMアプリへのログインを要求する。 | カスタムのキーと値のペアは、Box for EMMに登録されていない企業の管理者と共有されません。 Box for EMMアプリにプッシュされたキーと値のペアがない場合、ユーザーはアプリにログインできません。 |
ユーザーが、AirWatchからのアプリのインストールを偽装し、ダミーの管理構成をアプリにプッシュする。 | Boxが、AirWatchで管理IDが有効かどうかを確認し、承認済みのユーザーの管理IDと照合します。ユーザーはログインできません。 |
MaaS360
MaaS360でMDMを構成する方法について説明します。
注:
AndroidでのパブリックIDの送信は、デバイスにインストールされているEMMクライアントを通じて処理されます。 これはBox Mobileアプリとは関連がありません。
iOS
BoxからパブリックIDを受け取ったら (プロセスフローの手順2)、以下の手順に従います。
- MaaS360管理コンソールに移動します。
- iTunesストアからBox for EMM/Box for Mobileアプリを追加します。
- 構成として、必須およびMaaS360固有のキーと値のペアを追加します。
これで、Box for EMM/Box for Mobileアプリがアプリカタログに追加されます。 ユーザーにアプリを配布するためのターゲットデバイスを選択します。 求められる場合は、EAのパスワードを入力します。
注:
アプリの配布先デバイスがMDMポリシーで管理されていることを確認してください。 新しいポリシーが必要な場合は、MaaS360管理コンソールで追加します。 新しく作成したポリシーは、必要なユーザーとデバイスに適用する必要があります。
Android
BoxからパブリックIDを受け取ったら (プロセスフローの手順2)、以下の手順に従います。
- 企業のBox CSMまたはICに連絡し、Box for EMMアプリケーションを直接提供してもらいます。
- MaaS360に移動し、アプリを追加します。 詳細については、こちらの記事を参照してください: Adding apps to the App Catalog (アプリカタログへのアプリの追加)
- Box CSMまたはICから提供された.apkファイルをアップロードします。 求められる場合は、MaaS360のパスワードを入力します。
これで、Box for EMM/Box for MobileアプリがMaaS360アプリカタログに正常に追加されます。
アプリケーションをカタログに追加したら、MaaS360でWorkPlaceペルソナポリシーを選択する必要があります。 新しいポリシーが必要な場合は、追加します。 詳細については、こちらの記事を参照してください: MaaS360 security policies overview (MaaS360セキュリティポリシーの概要)
WorkPlaceペルソナポリシーを編集し、パブリックIDを入力します。 詳細については、Configuring policy settings for an Android device (Androidデバイスのポリシー設定の構成) を参照してください。
ユーザーシナリオ
シナリオ | 結果 |
MaaS360で管理されているユーザーが、MaaS360でプロビジョニングされたBox for EMMアプリへのログインを要求する。 | ユーザーはログインできます。 |
MaaS360で管理されているユーザーが、公式アプリストアから直接インストールしたBox for EMMアプリへのログインを要求する。 | MaaS360管理コンソールで構成されたパブリックIDは、アプリストアからインストールされたBox for EMMアプリにプッシュされていません。 ユーザーはログインできません。 |
ユーザーがデバイス上のアプリをバックアップし、そのアプリを別のデバイスに復元しようとする。 | Box for EMMアプリはワンタイムトークンを検証し、そのアプリがMaaS360でプロビジョニングされているかどうかを判断します。 ユーザーはログインできません。 |
企業で展開されているBox for EMMに属さないBoxユーザーが、MaaS360でプロビジョニングされたBox for EMMアプリへのログインを要求する。 | ユーザーのログイン情報がBox for EMMアプリのパブリックIDと一致しません。ユーザーはログインできません。 |
ユーザーが、EMMプロバイダからのアプリのインストールを偽装し、ダミーの管理構成をアプリにプッシュする。 | Boxが、MaaS360サーバーで管理IDが有効かどうかを確認し、承認済みのユーザーの管理IDと照合します。 ユーザーはログインできません。 |
Enterprise管理者が、MaaS360で管理されているデバイスに選択的ワイプを実行する。 | Box for EMMアプリは、管理対象デバイスで使用できないようにブロックされます。 |
Ivanti EPMM (旧MobileIron Core)
MobileIron (Ivanti) でMDMを構成する方法について説明します。
iOS版またはAndroid版のBox for EMMの構成を開始する前に、以下の手順を実行する必要があります。
- Box CSMまたはICに連絡して、Ivanti EPMMでBox for EMMを展開したい旨を伝えます。
- BoxではIvanti APIにアクセスする必要があるため、IvantiからBox CSMまたはICにIvantiアカウントのAPIホスト名 (URL)、ユーザーID、パスワードが提供されます。
- MobileIronユーザーを作成します。
- 適切な役割をユーザーに割り当てます。
- 前の手順で作成したユーザーIDとパスワードをBox CSMまたはICに送信します。
- Ivanti EPMMサーバーの完全修飾ドメイン名 (FQDN) またはConnected CloudテナントのURLをBox CSMまたはICに送信します。
- Box CSMまたはICは、この情報をBoxのEnterpriseアカウントに登録します。さらに、Box CSMまたはICから、Ivanti EPMMで使用するパブリックIDが記載された.plistファイルが提供されます。
モバイルアプリの構成の詳細
- IvantiにBox for EMMアプリを追加します。 詳細については、Admin Portal workspace (管理ポータルのワークスペース) を参照してください。
- アプリの構成に関するセクションに記載されている一般的なキーと値のペアを使用して、管理対象アプリの構成を作成します。
- アプリの設定を編集します。推奨されるオプションは以下のとおりです。
- Prevent backup of the app data (アプリデータのバックアップを禁止する)
- Remove app when MDM profile is removed (MDMプロファイルの削除時にアプリを削除する)
- Remove app when the device is quarantined or signed out (デバイスの隔離またはサインアウト時にアプリを削除する)
- 詳細については、Ivanti EPMM administrator tools overview (Ivanti EPMMの管理者向けツールの概要) を参照してください。
- Box for EMMアプリを編集し、ラベルを適用します。
- アプリケーションを公開します。
- 非対応のデバイスに対してBox for EMMデータの選択的ワイプを実行する新しいアクションを作成します。
Ivanti Neurons for MDM (旧MobileIron Cloud)
Ivanti Neurons for MDMでMDMを構成する方法について説明します。
- IvantiのアプリカタログにBox for EMMアプリをインポートします。
- Box for EMMアプリの配布先となるユーザーを選択します。
- Box for EMMアプリについて、以下を構成します。
- アプリのインストール
- アプリの設定
- 一般的なキーと値のペアを使用して、管理対象アプリの構成を作成します。
- 構成の配布先となるユーザーを選択します。
ユーザーシナリオ - Ivanti EPMMおよびIvanti Neurons
シナリオ | 動作 |
Ivantiで管理されているユーザーが、IvantiでプロビジョニングされたBox for EMMアプリへのログインを要求する。 |
ユーザーはログインできます。 |
Ivantiで管理されているユーザーが、アプリストアから直接インストールしたBox for EMMアプリへのログインを要求する。 |
Ivantiの管理コンソールで構成されたパブリックIDは、アプリストアからインストールされたBox for EMMアプリにプッシュされないため、ユーザーはログインできません。 |
ユーザーがデバイス上のアプリをバックアップし、そのアプリを別のデバイスに復元しようとする。 |
Box for EMMアプリはワンタイムトークンを検証し、そのアプリがIvantiでプロビジョニングされているかどうかを判断します。 ユーザーはログインできません。 |
企業で展開されているBox for EMMに属さないBoxユーザーが、IvantiでプロビジョニングされたBox for EMMアプリへのログインを要求する。 | ユーザーのログイン情報がBox for EMMアプリのパブリックIDと一致しないため、ユーザーはログインできません。 |
ユーザーが、EMMプロバイダからのアプリのインストールを偽装し、ダミーの管理構成をアプリにプッシュする。 |
Boxが、Ivantiサーバーで管理IDが有効かどうかを確認し、承認済みのユーザーの管理IDと照合します。 ユーザーはログインできません。 |
Citrix XenMobile
Citrix XenMobileでMDMを構成する方法について説明します。
- Citrix XenMobileサーバーでBox for EMMアプリをプロビジョニングします。 詳細については、アプリの追加を参照してください。
- Box for EMMアプリの設定を構成します。 詳細については、iOSアプリ用のアプリ設定の構成またはGoogle Playアプリのアプリ設定を構成するを参照してください。
- [Identifier (識別子)] フィールドにcom.box.mdmiosと入力します。
- [Dictionary content (辞書コンテンツ)] フィールドに次のテキストを入力します。
<plist version="1.0">
<dict>
<key>Public ID</key>
<string>Enter_Your_Public_Id_Here</string>
<key>com.box.mdm.oneTimeToken</key>
<string>string>$DEVICE_UDID$</string>
</dict>
</plist>注:
{Enter_Your_Public_Id_Here} 文字列は必ず実際のパブリックIDに置き換えてください。 - デリバリーグループを選択します。
- 各デリバリーグループを編集し、Box for EMM Configポリシーが表示されていることを確認します。
ユーザーシナリオ
シナリオ | 結果 |
Citrix XenMobileで管理されているユーザーが、Citrix XenMobileでプロビジョニングされたBox for EMMアプリへのログインを要求する。 | ユーザーはログインできます。 |
Citrix XenMobileで管理されているユーザーが、公式アプリストアから直接インストールしたBox for EMMアプリへのログインを要求する。 | Citrix XenMobile管理コンソールで構成されたパブリックIDは、アプリストアからインストールされたBox for EMMアプリにプッシュされていません。 ユーザーはログインできません。 |
ユーザーがデバイス上のアプリをバックアップし、そのアプリを別のデバイスに復元しようとする。 | Box for EMMアプリはワンタイムトークンを検証し、そのアプリがCitrix XenMobileでプロビジョニングされていないと判断します。 ユーザーはログインできません。 |
企業で展開されているBox for EMMに属さないBoxユーザーが、Citrix XenMobileでプロビジョニングされたBox for EMMアプリへのログインを要求する。 | ユーザーのログイン情報がBox for EMMアプリのパブリックIDと一致しません。 ユーザーはログインできません。 |
Enterprise管理者が、Citrix XenMobileで管理されているデバイスに選択的ワイプを実行する。 | Box for EMMアプリが管理対象デバイスから削除されます。 |
Okta Mobility Management
Okta Mobility ManagementでMDMを構成する方法について説明します。
- Box for EMMアプリをアプリストアにアップロードします。 詳細については、プライベートアプリをアプリストアにアップロードするを参照してください。
- Box for EMMアプリの設定を編集し、Box CSMまたはICから受け取ったパブリックIDを [Box Public ID (BoxパブリックID)] フィールドに入力します。
- 必要に応じてその他のオプションを選択します。
ユーザーシナリオ
シナリオ | 結果 |
ベンダーで管理されているユーザーが、ベンダーでプロビジョニングされたBox for EMMアプリへのログインを要求する。 | ユーザーはログインできます。 |
ベンダーで管理されているユーザーが、公式アプリストアから直接インストールしたBox for EMMアプリへのログインを要求する。 | ベンダーの管理コンソールで構成されたパブリックIDは、アプリストアからインストールされたBox for EMMアプリにプッシュされません。 ユーザーはログインできません。 |
ユーザーがデバイス上のアプリをバックアップし、そのアプリを別のデバイスに復元しようとする。 | Box for EMMアプリはワンタイムトークンを検証し、そのアプリがベンダーでプロビジョニングされていないと判断します。 ユーザーはログインできません。 |
企業で展開されているBox for EMMに属さないBoxユーザーが、ベンダーでプロビジョニングされたBox for EMMアプリへのログインを要求する。 | ユーザーのログイン情報がBox for EMMアプリのパブリックIDと一致しません。 ユーザーはログインできません。 |
Enterprise管理者が、ベンダーで管理されているデバイスに選択的ワイプを実行する。 | Box for EMMアプリが管理対象デバイスから削除されます。 |