| Oracle® Mobile Application Framework Oracle Mobile Application Frameworkでのモバイル・アプリケーションの開発 2.3.3 E82940-01 |
|
 前 |
 次 |
| Oracle® Mobile Application Framework Oracle Mobile Application Frameworkでのモバイル・アプリケーションの開発 2.3.3 E82940-01 |
|
|
前 |
次 |
この章では、モバイル・アプリケーションを管理するためのツールおよびベスト・プラクティスを提供するAppConfig Community、エンタープライズ・モバイル・アプリケーションへのMAFアプローチ、ならびにAirWatch、MobileIronおよびBlackberryからのEMMソリューションを使用するMAFアプリケーションの管理について説明します。
この章の内容は次のとおりです。
AppConfig Communityでは、モバイル・エンタープライズ・アプリケーションの保護、構成、デプロイおよび管理のためのツールとベスト・プラクティスが提供されます。
AppConfig Communityは、VMware AirWatch、MobileIron、IBM MaaS360およびJAMF Softwareといったエンタープライズ・モバイル管理(EMM)組織によって形成されており、保守されます。このコミュニティは、モバイル・エンタープライズ・アプリケーションの開発およびデプロイメントを合理化するために機能します。
コミュニティのツールおよびベスト・プラクティスは、次のことによって定義されます。
オペレーティング・システム(OS)によって使用可能になる、ネイティブ・フレームワークの使用
EMM固有の統合がないこと
エンタープライズ・モバイル・アプリケーションの開発のためのAppConfigアプローチでは、アプリケーションの構成および管理のための標準的なアプローチが提供されます。これは、それがiOSおよびAndroidプラットフォームのネイティブOS機能の範囲内のアプリケーション・セキュリティおよび構成フレームワークを基礎とするためです。AppConfigアプローチは、App Configuration for Enterprise (ACE)によって定義されています。「エンタープライズ・モバイル・アプリケーションへのMAFアプローチについて」を参照してください。
MAFアプリケーションでは、アプリケーション・トンネリング、アプリケーション構成、およびセキュリティ・ポリシーとアクセス制御の実装などのACE機能がサポートされています。MAFでは、AirWatch、MobileIronおよびBlackBerryからのサードパーティEMMソリューションとのアプリケーション統合がサポートされています。EMMソリューションとのMAF統合の詳細は、AirWatch EMMソリューションを使用するMAFアプリケーションの管理、MobileIron EMMソリューションを使用するMAFアプリケーションの管理およびBlackberry EMMソリューションを使用するMAFアプリケーションの管理を参照してください。
AppConfig Communityの詳細は、http://appconfig.org/を参照してください。
MAFでは、エンタープライズ・モバイル・アプリケーションへのAppConfigアプローチが採用されており、ACEによって定義されている機能がサポートされています。
MAFでは、エンタープライズ・モバイル・アプリケーションへのAppConfigアプローチが採用されています。これは、それには商標で守られたソフトウェア開発キット(SDK)もアプリケーション・ラッピング・ツールも必要とならないためです。AirWatch、MobileIronおよびBlackberryとのMAF統合は、開発者がコンテナおよび2つのワークスペースを使用することなくベンダー中立のEMMアプリケーションを構築するのに役立ちます。
MAFでは、サードパーティEMMソリューションとのアプリケーション統合がサポートされています。その統合では、MAFアプリケーションを構築および保護するためにモバイル・オペレーティング・システムの機能の使用に重点が置かれています。MAFでは、ACEによって定義されている機能の提供が目的となっています。ACEは、エンタープライズ・アプリケーション管理のための標準を定義する構想です。ACEにより、アプリケーションをどのベンダーでも管理できるよう、モバイル・アプリケーション管理の共通基準を定義するアプリケーション開発フレームワークが提供されます。ACEの詳細は、http://www.appconfigforenterprise.org/を参照してください。
MAFアプリケーションでは次のACE機能がサポートされています。
アプリケーション・トンネル: アプリケーションは、ファイアウォールの内側にあるサービスにアクセスする必要がある場合があります。デバイス・レベルのIPsec VPNには、接続性およびセキュリティに関する問題が伴います。これらの問題に対処するために、モバイル・オペレーティング・システムには、個々のアプリケーションがネットワークへのトンネルを作成できるよう、Per-App-VPN機能が用意されています。アプリケーション・トンネルは、アプリケーションからバックエンド・リソースへのゲートウェイまでのセキュア・ソケット・レイヤー(SSL)接続です。トンネルはアプリケーションごとに用意されるため、不正なアプリケーションがネットワークに入り込むことはできません。
アプリケーション構成: ユーザーは、アプリケーションの設定時に、URL、ポート、電子メール・アドレス、ポート番号、テナントID、スキン構成およびその他の構成を入力します。EMMサーバーでは、AppConfig Communityによって推奨されているネイティブAPIを使用して、自動的にリモートでこれらの構成を設定できます。管理者はWebコンソールを使用して構成を入力し、その後、それらがアプリケーションにプッシュされます。開発者は、自身のアプリケーション内で構成キーのセットを定義します。EMM管理者は、EMMプロバイダの管理コンソールで同じキーおよび値を設定し、それらがアプリケーションにプッシュされます。「EMMソリューションによる使用のためのMAFアプリケーションでのプロパティの構成」を参照してください。
シングル・サインオン: ユーザーは複数のシステムにサイン・オンする必要があり、しかもシステムごとに使用するユーザー名や認証技術が異なる場合もあります。シングル・サインオン(SSO)ソリューションを利用すると、ユーザーは、1回のみの認証で、複数のどのシステムに存在する情報にもアクセスできるようになります。SSOを利用すると、ユーザーが一度認証され、認証された識別情報がセキュアにネットワーク内を通過してリソースにアクセスします。アプリケーション開発者は、Identity Provider (IDP)に認証をフェデレートするためにSecurity Assertion Markup Language (SAML)規格を実装します。このSAML IDPは、Kerberos認証または証明書認証のどちらかを使用して構成されます。EMMソリューションでは、EMMプロバイダが使用可能なオペレーティング・システムAPIコールで構築された規格に基づいて、適切なKerberos資格証明および/または証明書が配布されます。
セキュリティ・ポリシーおよびアクセス制御: アクセス制御により、アプリケーションが承認済デバイスでのみ実行されるようになります。この機能では、アプリケーション・レベルでセキュリティ・ポリシーが強制されます。組織は、機密データが企業の管理範囲を超えて移動されることがないよう、エンタープライズ・アプリケーション内でのセキュリティおよびデータ損失防止を必要としています。
暗号化: EMMベンダーは、デバイス上でパスコード・ポリシーを強制することで、エンタープライズ・アプリケーションのデータ保護を提供します。管理者は、デバイス上でパスコード・ポリシーを設定することで、デバイス・レベルの暗号化を有効にできます。
Managed Open In: これは、iOSデバイス上の企業データのフローをIT制御下にあるアプリケーションのみに限定する、モバイル・アプリケーション管理機能です。
企業は、セキュリティ上の理由から、アプリケーション機能を無効にする必要がある場合もあります。
カスタム・セキュリティ・ポリシーの一般的実装には、次のものがあります。
コピーおよび貼付けの無効化 – アプリケーション内からコピーおよび貼付け機能を無効にできます。
デフォルト電子メール設定 – アプリケーション内で電子メール・メッセージを送信するために使用される、デフォルト電子メール・アプリケーションを指定できます。
カメラの使用の無効化 - カメラの使用を無効にできます。
スクリーンショットの取得の無効化 - スクリーンショットの取得を無効にできます。
MAFでは、SSO証明書、アプリケーション・トンネルおよびアプリケーション構成方法を使用して、AirWatch、MobileIronおよびBlackberry EMMソリューションによって管理されるMAFデバイスでのアクセス制御が強制されます。
アクセス制御は、iTunesおよびGoogle Playストアから直接ダウンロードされるアプリケーションへユーザーがログインすることを防止します。
アクセス制御は、次の3つの方法で強制できます。
SSO証明書の使用: SSO認証で証明書を使用できます。アクセスは、管理対象デバイス上の準拠アプリケーションでのみ使用可能になる、シングル・サインオンのための証明書をプロビジョニングすることで制御されます。iTunesストアまたはGoogle Playストアから非管理対象デバイス上に個人用アプリケーションとしてアプリケーションをダウンロードしようとするユーザーは、認証できず、アプリケーションにログインできません。
アプリケーション・トンネルの使用: アクセス制御は、アプリケーション・トンネル機能を使用して強制できます。企業は、IPアドレスに基づいて、安全なアプリケーション・トンネルを通ったユーザーからの接続のみを受け入れるよう、アプリケーションの認証ページを構成できます。アプリケーション・トンネル機能は、管理対象デバイス上の準拠アプリケーションでのみ利用可能です。iTunesストアまたはGoogle Playストアから非管理対象デバイス上に個人用アプリケーションとしてアプリケーションをダウンロードしようとするユーザーは、認証できず、アプリケーションにログインできません。
アプリケーション構成の使用: MAFアプリケーション内で定義されているアプリケーションを利用して、アプリケーションへのアクセスを許可または拒否します。アプリケーションは、構成キー内で取得した値を使用し、それがtrueに設定されている場合は、アプリケーションへのアクセスを付与します。
MAFアプリケーションは、EMMソリューションと統合されて、アプリケーションレベルの構成をEMMサーバーでリモートで設定します。
AirWatch、MobileIronおよびBlackberryなどのEMMソリューションと統合することで、MAFアプリケーションに、EMMサーバーでリモートでアプリケーション・レベルの構成を設定する機能が提供されます。このサーバーには、その後、MAFアプリケーションによってアクセスできます。
アプリケーション構成により、ユーザーの設定プロセスを簡略化できます。AirWatch、MobileIronまたはBlackberryサーバーにより、一連の構成キーが送信されます。それらは、その後、開発者によって定義されます。組織の管理者は、EMM管理Webコンソールでキーおよび値を設定します。ここから、それらはMAFアプリケーションに送信されます。
MAFアプリケーションでは、URL、ポート、SSLの使用、グループまたはテナント・コード、ならびにユーザー名、電子メールおよびドメインなどのユーザー構成といった、バックエンド・サービス構成が実装されます。
カスタム・セキュリティ・ポリシーは、アプリケーション構成を使用して強制できます。一般的に、次のようなセキュリティ・ポリシーが実装されます。
パブリック・クラウド同期の無効化: Dropboxなどのパブリック・クラウドとのアプリケーション・データの同期を無効にできます。
コピーおよび貼付けの無効化: アプリケーション内からコピーおよび貼付け機能を無効にできます。
AirWatch EMMソリューションとの統合は、MAFアプリケーションでセキュリティ・ポリシーによってデータ漏えい保護を実装するのに役立ちます。
AirWatchは、アプリケーションを保護および管理するEMMソリューションを提供します。AirWatchには、SDK、アプリケーション・ラッピング、およびAppConfig Communityに従うアプローチといった、中核的アプリケーション機能のセットを提供する3つの開発アプローチがあります。AirWatchと統合した場合、MAFはAppConfigアプローチに従います。MAFでは、AirWatchからのSDKおよびアプリケーション・ラッピングはサポートされていません。MAFでは、アプリケーション管理にネイティブの標準を利用するAirWatch機能のみがサポートされています。
MAFアプリケーションは、AirWatch管理コンソールを使用して管理できます。このコンソールでは、EMM管理者が、iOS構成プロファイルおよびAndroid for Work構成プロファイルを作成し、AirWatch管理コンソールに登録されている様々な管理対象デバイスにそれらを適用できます。ユーザーが自分のデバイスをAirWatch Agent Appに登録すると、そのデバイスに割り当てられているすべての構成プロファイルがダウンロードされ、適用されます。構成プロファイルには、EMM管理者にカメラおよびアプリケーション内のManaged Open Inなどの特定機能の有効化または無効化を許可する制限が含まれています。また、構成プロファイルには、Per Appレベル構成情報が含まれており、これにより、ファイアウォールの内側でホストされ、MAFアプリケーションによって使用される、MAFアプリケーションと様々なバックエンド・サービスとの間のセキュアなトンネリングが可能になります。
AirWatch EMMプラットフォームの詳細は、https://www.vmware.com/products/enterprise-mobility-management.htmlを参照してください。
中核的アプリケーション機能のセット
MAFでは、そのアプリケーションを保護するために、AirWatchテクノロジからEMMが使用されます。MAFでは、ACEを使用してMAFアプリケーションがAirWatchと統合されます。デバイスがAirWatchに登録され、アプリケーションがAirWatch App Catalogからインストールされるか、内部またはパブリック・アプリケーションがAirWatch管理コンソールにアップロードされる場合があります。AirWatchとの統合は、MAFで次のようなセキュリティ・ポリシーによってデータ漏えい保護を実装するのに役立ちます。
暗号化: iOSプラットフォーム、Android 5.0、およびそれ以上のプラットフォーム・バージョン上のMAFアプリケーションでは、暗号化を有効にできます。暗号化が有効になっている場合、MAFでは、ネイティブOS暗号化を使用して、アプリケーションを含めたデバイス全体のコンテンツが暗号化されます。
Managed Open-In: iOSプラットフォーム、Android 5.0、およびそれ以上のプラットフォーム・バージョンで利用可能なDropboxやBoxなどのその他の非管理対象アプリケーション内で、管理対象アプリケーションに格納されているドキュメント開くことができます。iOSプラットフォームでは、この制限が有効になっている場合は、それはデバイス上のすべてのアプリケーションに適用されます。この制限を設定する場合は、電子メールを介したドキュメント共有機能をオフにします。MAFでは、電子メール・デバイス・サービスはオフになります。Androidプラットフォーム上でOpen In制限を有効にする場合、その制限は、デバイス全体ではなく各アプリケーションに適用されます。
カメラ: デバイス上のカメラを有効または無効にする機能は、iOSプラットフォーム、Android 5.0、およびそれ以上のプラットフォームで利用可能です。iOSプラットフォームでは、カメラ制限が有効になっている場合、それはデバイス上のすべてのアプリケーションに適用されます。この制限は、アプリケーションごとには適用されません。Androidプラットフォームでは、カメラ制限は、デバイスに対してではなく各アプリケーションに適用されます。
電子メール: iOSプロファイルには、デバイスまたはアプリケーション・レベルで電子メール・アクセスを直接制御する制限はありません。Open In制限を設定すると、電子メールによるドキュメント共有機能はオフになります。MAFでは、Open In制限により、電子メール・デバイス・サービスがオフになります。
AirWatch Tunnelによるアプリケーション・トンネリング: iOSプラットフォーム、Android 5、およびそれ以上のプラットフォーム・バージョン上のMAFアプリケーションには、Per App VPNモード機能(モバイル・デバイス上の個々のアプリケーションで利用可能なOSレベル機能)が提供されます。AirWatch Tunnelは、AirWatch管理コンソールでインストールおよび構成されるサーバー・コンポーネントです。AirWatch Tunnelでは、ネイティブのオペレーティング・システムAPIを使用して、MAFアプリケーションとセキュアな企業ネットワークとの間の転送中データを保護します。セキュア・トンネルにより、アプリケーションは、ネットワークとの通信時に分離されます。
安全なブラウザ統合: MAFアプリケーションからWebコンテンツにアクセスするユーザーは、アプリケーションからAirWatch Secure Browserにリダイレクトされます。MAFアプリケーションで「GoLink」をタップすると、AirWatch Secure Browserクライアントが起動されます。EMM管理者は、AirWatchコンソールでポリシーを設定できます。安全なブラウザ・クライアントが起動されると、アプリケーションにポリシーが適用され、設定ポリシーのコンプライアンスに応じてコンテンツがブロックまたは表示されます。
安全な電子メール統合: 新しいメールを作成するユーザーやドキュメントの添付などのタスクを実行するユーザーは、MAFアプリケーションからAirWatch Secure Browserにリダイレクトされます。AirWatchは、安全な電子メール・クライアントを起動するURLスキームを提供します。MAFアプリケーションで「GoLink」をタップすると、AirWatch Secure Emailクライアントが起動されます。EMM管理者は、AirWatchコンソールでポリシーを設定できます。安全な電子メール・クライアントが起動されると、アプリケーションにポリシーが適用され、設定ポリシーのコンプライアンスに応じてユーザーによるファイルの添付が許可されるか拒否されます。
VMware AirWatchモバイル・デバイス管理ガイドは、http://mobile34.ca/wp-content/uploads/2016/02/Mobile-Device-Management-Guide-v8_3.pdfでダウンロードできます。
AirWatchドキュメントについては、https://resources.air-watch.com/category/Documentationを参照してください。
MobileIronからのEMMソリューションとの統合は、MAFでMobileIronの階層化されたセキュリティ・アプローチを使用してモバイル・デバイスでのデータ損失防止を実装するために役立ちます。
MAFは、アプリケーションを保護するために、MobileIronテクノロジからEMMと統合されます。MobileIronでは、ラッピング・ソリューション、SDKが提供され、ACE規格もサポートされています。MAFでは、MobileIronからのラッピング・ツールまたはSDKはサポートされていません。MAFでは、そのアプリケーションを保護するために、ACEが使用されます。ACEにより、開発者は、EMMソリューション全体にわたって機能するアプリケーションを開発できます。
MAFアプリケーションは、MobileIron Core管理コンソールを使用して管理できます。このCore管理コンソールでは、IT管理者が、iOS構成プロファイルおよびAndroid for Work構成プロファイルを作成し、MobileIron Coreコンソールに登録されている様々な管理対象デバイスにそれらを適用できます。
ユーザーが自分のデバイスをMobileIron Agentアプリケーションに登録すると、そのデバイスに割り当てられているすべての構成プロファイルがダウンロードされ、適用されます。構成プロファイルには、IT管理者にカメラおよびアプリケーション内のManaged Open Inなどの特定機能の有効化または無効化を許可する制限が含まれています。
また、構成プロファイルには、ファイアウォールの内側でホストされる、MAFアプリケーションと様々なバックエンド・サービスとの間のセキュアなトンネリングが可能になる、Per Appレベル構成情報が含まれています。バックエンド・サービスはMAFアプリケーションによって使用されます。
MobileIronセキュリティ・モデル
MobileIronでは、階層化されたセキュリティ・アプローチを使用して、モバイル・デバイスでのデータ損失防止が実装されます。階層化されたデータ損失防止モデルには、要件に直接対処する基本制御、追加的な制御を提供する補助制御、および使用可能な基本制御がない場合に適用される相殺制御が含まれています。たとえば、認証の場合は、デバイス・パスワードで基本制御を提供しながら、生体認証で基本制御を補います。
階層化されたセキュリティ・アプローチは、次の制御を使用して実装されます。
暗号化
暗号化は、iOS 9、Android 5.0、およびそれ以上のバージョンのデバイスで利用可能です。保存データおよび移動中データのためのMobileIron暗号化は、FIPS 140-2検証を含んでおり、オペレーティング・システムの埋込みの暗号化機能を補完します。MobileIronでは、次のタイプの暗号化が提供されます。
デバイス上にある企業のすべての保存データの暗号化: EMMソリューションにより、すべてのアプリケーションで利用可能な、デバイス・レベルの暗号化を可能にするために、デバイス・パスワードが強制されます。
デバイスとの間で移動中の、企業のすべてのデータの暗号化: 電子メール、アプリケーション、ドキュメントおよびWebページを含めた企業のモバイル・データは、MobileIron Sentry(デジタル証明書およびトランスポート・レイヤー暗号化の使用によって攻撃およびインターセプトから保護するゲートウェイ)を通過します。
セキュアなアプリケーション内にある企業のすべてのデータの暗号化: iOSおよびAndroidの埋込みの暗号化に加えて、MobileIronでは、コンテナ化を使用して、暗号化を含めた追加のセキュリティ制御が提供されます。
データ共有
モバイル・オペレーティング・システムのOpen In機能により、アプリケーションでデータを共有できます。MobileIronでは、ITで、どのアプリケーションがアプリケーション・データにアクセスするためにこの機能を使用するかを制御できます。また、iOSプラットフォームでこの制限を設定すると、電子メールによるドキュメント共有機能がオフになります。MAFでは、電子メール・デバイス・サービスはオフになります。
コピーおよび貼付け機能: iOSプラットフォームでは、管理対象アプリケーションの間でのコンテンツのコピーおよび貼付けの機能を制御するためのネイティブの制限は提供されません。MAF開発者は、カスタムCordovaプラグインを実装することで、この制限を強制できます。これは、バッファをクリアするためのネイティブiOS APIをコールします。
スクリーンショット取得機能: MobileIronでは、デバイス全体にわたりスクリーンショット取得機能を無効にすることもできます。
電子メール: Androidプラットフォームでは電子メールに関する制限はありません。iOSプラットフォームの場合は、電子メール・サービスを管理する制限はありませんが、Managed Open-In制限を設定することで、管理対象アプリケーション内の電子メールをオフにできます。
ネットワーク・セキュリティ
アプリケーション・トンネリング: MobileIronでは、電子メール、アプリケーション、ドキュメントおよびWebトラフィックを含めたすべての企業データのためのセキュアなアプリケーション・レベル・トンネリングが提供されます。ITにより、セキュアなチャネル上を伝送される企業データのフローを非企業データから分離できます。
VPN: デバイス全体でVPNテクノロジを標準化するために、MobileIronでは、データのためのセキュアなチャネルを提供するようVPNサービスを構成します。MobileIronでは、PerApp VPNによるビジネス・データへのセキュアなアクセスが提供されます。
MobileIron TunnelによるPer-App-VPNでは、MAFアプリケーションにおいて次のことがサポートされています。:
プロキシ・サーバーとして機能するMobileIron Sentryを介してネットワーク・リクエストをトンネリングすることによる、非Oracleクラウド上でホストされる、基本認証で保護されたAPIへのアクセス
プロキシ・サーバーとして機能するMobileIron Sentryを介してネットワーク・リクエストをトンネリングすることによる、Oracle Mobile Cloud Serviceでホストされた保護されていないAPIへのアクセス
プロキシ・サーバーとして機能するMobileIron Sentryを介してネットワーク・リクエストをトンネリングすることによる、Oracle Mobile Cloud Serviceでホストされる、基本認証で保護されたAPIへのアクセス
MobileIron Sentryは、モバイル・デバイスとバックエンドのエンタープライズ・システムとの間のトラフィックを管理、暗号化および保護する、MobileIronプラットフォーム内のゲートウェイです。
安全なブラウザ統合
MAFアプリケーションからWebコンテンツにアクセスするユーザーは、アプリケーションからMobileIron Secure Browserにリダイレクトされます。MAFアプリケーションで「GoLink」をタップすると、MobileIron Secure Browserクライアントが起動されます。MobileIronは、安全なブラウザ・クライアントを起動するURLスキームを提供します。EMM管理者は、MobileIronコンソールでポリシーを設定できます。安全なブラウザ・クライアントが起動されると、アプリケーションにポリシーが適用され、コンプライアンスに応じてコンテンツがブロックまたは表示されます。
安全な電子メール統合
新しいメールを作成するユーザーやドキュメントの添付などのタスクを実行するユーザーは、MAFアプリケーションからMobileIron Secure Emailにリダイレクトされます。MobileIronは、安全な電子メール・クライアントを起動するURLスキームを提供します。MAFアプリケーションで電子メールのリンクをタップすると、MobileIron Secure Emailクライアントが起動されます。EMM管理者は、MobileIronコンソールでポリシーを設定できます。安全な電子メール・クライアントが起動されると、アプリケーションにポリシーが適用され、設定ポリシーのコンプライアンスに応じてユーザーによるファイルの添付が許可されるか拒否されます。
MobileIronドキュメントについては、https://community.mobileiron.com/を参照してください。
Blackberryエンタープライズ・モバイル管理ソリューションとの統合は、MAFでBlackBerryセキュリティ・ポリシーによってアプリケーションを保護するのに役立ちます。
MAFアプリケーションは、BlackBerry管理コンソールを使用して管理できます。管理コンソールでは、EMM管理者が、iOS構成プロファイルなどの構成プロファイルを作成し、Blackberry管理コンソールに登録されている様々な管理対象デバイスにそれらを適用できます。ユーザーが自分のデバイスをBlackBerry Agentアプリケーションに登録すると、そのデバイスに割り当てられているすべての構成プロファイルがダウンロードされ、適用されます。構成プロファイルには、EMM管理者にカメラおよびアプリケーション内のManaged Open Inなどの特定機能の有効化または無効化を許可する制限が含まれています。構成プロファイルには、Per-Appレベル構成情報も含まれています。この情報により、ファイアウォールの内側でホストされる、MAFアプリケーションと様々なバックエンド・サービスとの間のセキュアなトンネリングが可能になります。バックエンド・サービスはMAFアプリケーションによって使用されます。
Blackberry EMMソリューションは、MAFアプリケーションに次のような機能を提供します。
暗号化: iOSプラットフォームでは、BESにより、ネイティブOS暗号化を使用してデバイスおよびアプリケーションに格納されるコンテンツを暗号化する機能が提供されます。BES 12では、FIPSで検証された暗号化モジュールを使用して、ファイルに直接格納され、間接的に書き込まれるすべてのデータが暗号化されます。BES 12では、デバイス全体および作業領域の暗号化の両方がサポートされています。一部のデバイスにデータの暗号化を強制するために、ITポリシー・ルールを使用することもできます。
Managed Open Inは、Apple iOS 7モバイル・オペレーティング・システムでリリースされたセキュリティ機能です。この機能により、ITで、従業員がデータにアクセスするためにどのアプリケーションを使用できるかを構成できます。iOS 9でサポートされているこの機能では、管理対象アプリケーションに格納されているドキュメントを、DropboxやBoxなどのその他の非管理対象アプリケーション内で開く機能を管理します。BESでは、Open-in管理がモバイル・アプリケーション管理(MAM)メジャーとしてサポートされており、iOSデバイスのためのエンタープライズ・データ損失防止(DLP)戦略の一部としてそれが使用されます。
コピーおよび貼付け機能: コピーおよび貼付けに関する制限では、テキストおよび/または画像のコピーと貼付けを制限することで、データ損失防止の方法が実装されます。この機能により、iOSデバイス上の様々なモバイル・アプリケーションの間でのコンテンツのコピーおよび貼付けの機能を管理します。カスタムCordovaプラグインを使用して、管理対象アプリケーションと非管理対象アプリケーションの間でのコピーおよび貼付けの機能を有効化または無効化できます。
デバイス機能: アプリケーション使用中のカメラの使用を制限するデバイス機能により、管理者が、エンタープライズ設定でカメラ使用を制限できます。ツールでも、スクリーンショットの取得を防止できます。これらの制限は、iOS 9およびAndroidデバイス上のアプリケーションで利用可能です。電子メールなどの個人用クラウド・アプリケーションは、企業データを伝達および格納するように設計されていません。モバイル・デバイスの所有者がそのような目的で使用すると、企業はより大きなデータ損失の危険性にさらされることになります。電子メールに関する制限では、どのアプリケーションからユーザーが電子メール・メッセージを送信できるかが決定されます。
Per-App VPN: MobileIron Tunnelを使用するiOSおよびAndroidプラットフォーム上のアプリケーションでは、企業ネットワークに戻るセキュアなチャネルを介して特定のアプリケーションからのすべての通信を自動的にルーティングする、仮想プライベート・ネットワーク(VPN)オンデマンドおよびダイレクト・アプリケーション・トンネルが利用可能です。VPNにより、デバイスと企業ネットワークの間の暗号化トンネルが提供されます。VPNソリューションは、デバイス上のVPNクライアント、およびVPNコンセントレータで構成されます。デバイスでは、企業ネットワークへのゲートウェイとして機能するVPNコンセントレータで認証するために、VPNクライアントが使用されます。Per-App VPNを使用して、デバイス上のどの作業アプリケーションおよびセキュア・アプリケーションがデータの伝送にVPNを使用するかを指定します。Per-App VPNは、裁量のあるトラフィックのみがVPNを使用できるようにすることで、組織でのVPN負荷を減少させるために役立ちます。たとえば、VPNは、企業のファイアウォールの内側にあるアプリケーション・サーバーまたはWebページにアクセスするために使用できます。
Blackberryセキュリティに関するドキュメントについては、http://help.blackberry.com/en/bes12-security/current/を参照してください。
MAFアプリケーションのmaf-application.xmlファイル内でプロパティを構成します。管理者は、アプリケーションがユーザーにデプロイされるときに、EMMソフトウェアを使用してプロパティの値を構成できます。
<adfmf:emmAppConfig>要素を使用して、アプリケーションのmaf-application.xmlファイル内のプロパティを構成できます。次のサンプルmaf-application.xmlファイルでは、定義されている多数のプロパティを示します。
<adfmf:emmAppConfig> <adfmf:property name="serverURL" type="String" description=“URL to connect the backend service"/> <adfmf:property name="port" type="Integer" description=“Port number of the backend service”/> <adfmf:property name=“enableEncryption" type=“Boolean" description=“Turn on app level encryption”/> <adfmf:property name=“refreshDate" type=“Date" description=“Date on which application will be refreshed”/> </adfmf:emmAppConfig>
EMM管理者は、EMMコンソールでこれらのプロパティの値を構成します。次に、EMMソフトウェアによって、MAFアプリケーションがインストールされているデバイスにそれらの値がプッシュされます。この機能は、AndroidおよびiOSプラットフォームにデプロイされたMAFアプリケーションでのみサポートされます。EMMソフトウェアで、<adfmf:emmAppConfig>要素で指定されるデータ型がサポートされていることを確認してください。前述の例では、指定されたプロパティのデータ型はString、Integer、BooleanおよびDateです。
EMMコンソールで対応するプロパティ値を構成する方法およびEMMソフトウェアでサポートされるデータ型の詳細は、EMMベンダーのドキュメントを参照してください。
#{EMMConfigProperties} EL式を使用して、MAFアプリケーションのアプリケーション・ライフサイクル内でプロパティ値を読み取ることができます。たとえば、serverURLプロパティの値を読み取るには、#{EMMConfigProperties.serverURL}のようにEL式を記述します。
EMMAppConfigScope.getInstance().addPropertyChangeListener(this);
