31 EMMソリューションとのMAFアプリケーションの統合

この章では、モバイル・アプリケーションを管理するためのツールおよびベスト・プラクティスを提供するAppConfig Community、エンタープライズ・モバイル・アプリケーションへのMAFアプローチ、ならびにAirwatchのEMMソリューションを使用するMAFアプリケーションの管理について説明します。

この章の内容は次のとおりです。

• AppConfig Communityの概要

• エンタープライズ・モバイル・アプリケーションへのMAFアプローチについて

• EMMソリューションによるMAFアプリケーションのアクセス制御

• EMMソリューションを使用するMAFアプリケーション構成の管理方法

• AirWatch EMMソリューションを使用するMAFアプリケーションの管理

• EMMソリューションによる使用のためのMAFアプリケーションでのプロパティの構成

AppConfig Communityの概要

AppConfig Communityでは、モバイル・エンタープライズ・アプリケーションの保護、構成、デプロイおよび管理のためのツールとベスト・プラクティスが提供されます。

AppConfig Communityは、VMware AirWatch、MobileIron、IBM MaaS360およびJAMF Softwareといったエンタープライズ・モバイル管理(EMM)組織によって形成されており、保守されます。このコミュニティは、モバイル・エンタープライズ・アプリケーションの開発およびデプロイメントを合理化するために機能します。

コミュニティのツールおよびベスト・プラクティスは、次のことによって定義されます。

• オペレーティング・システム(OS)によって使用可能になる、ネイティブ・フレームワークの使用

• EMM固有の統合がないこと

エンタープライズ・モバイル・アプリケーションの開発のためのAppConfigアプローチでは、アプリケーションの構成および管理のための標準的なアプローチが提供されます。これは、それがiOSおよびAndroidプラットフォームのネイティブOS機能の範囲内のアプリケーション・セキュリティおよび構成フレームワークを基礎とするためです。AppConfigアプローチは、App Configuration for Enterprise (ACE)によって定義されています。「エンタープライズ・モバイル・アプリケーションへのMAFアプローチについて」を参照してください。

MAFアプリケーションでは、アプリケーション・トンネリング、アプリケーション構成、およびセキュリティ・ポリシーとアクセス制御の実装などのACE機能がサポートされています。MAFでは、AirWatchからのEMMソリューションや、その他のベンダーからの互換性のあるソリューションとのアプリケーション統合がサポートされています。

AppConfig Communityの詳細は、http://appconfig.org/を参照してください。

エンタープライズ・モバイル・アプリケーションへのMAFアプローチについて

MAFではエンタープライズ・モバイル・アプリケーションへのAppConfigアプローチを採用しているため、アプリケーション開発者は、商標で守られたソフトウェア開発キット(SDK)もアプリケーション・ラッピング・ツールも必要としないEMMベンダー中立のアプリケーションを構築できます。

MAFでは、サードパーティEMMソリューションとのアプリケーション統合がサポートされています。その統合では、MAFアプリケーションを構築および保護するためにモバイル・オペレーティング・システムの機能の使用に重点が置かれています。MAFでは、ACEによって定義されている機能の提供が目的となっています。ACEは、エンタープライズ・アプリケーション管理のための標準を定義する構想です。ACEにより、アプリケーションをどのベンダーでも管理できるよう、モバイル・アプリケーション管理の共通基準を定義するアプリケーション開発フレームワークが提供されます。ACEの詳細は、http://www.appconfigforenterprise.org/を参照してください。

MAFアプリケーションでは次のACE機能がサポートされています。

• アプリケーション・トンネル: アプリケーションは、ファイアウォールの内側にあるサービスにアクセスする必要がある場合があります。デバイス・レベルのIPsec VPNには、接続性およびセキュリティに関する問題が伴います。これらの問題に対処するために、モバイル・オペレーティング・システムには、個々のアプリケーションがネットワークへのトンネルを作成できるよう、Per-App-VPN機能が用意されています。アプリケーション・トンネルは、アプリケーションからバックエンド・リソースへのゲートウェイまでのセキュア・ソケット・レイヤー(SSL)接続です。トンネルはアプリケーションごとに用意されるため、不正なアプリケーションがネットワークに入り込むことはできません。

• アプリケーション構成: ユーザーは、アプリケーションの設定時に、URL、ポート、電子メール・アドレス、ポート番号、テナントID、スキン構成およびその他の構成を入力します。EMMサーバーでは、AppConfig Communityによって推奨されているネイティブAPIを使用して、自動的にリモートでこれらの構成を設定できます。管理者はWebコンソールを使用して構成を入力し、その後、それらがアプリケーションにプッシュされます。開発者は、自身のアプリケーション内で構成キーのセットを定義します。EMM管理者は、EMMプロバイダの管理コンソールで同じキーおよび値を設定し、それらがアプリケーションにプッシュされます。「EMMソリューションによる使用のためのMAFアプリケーションでのプロパティの構成」を参照してください。

• シングル・サインオン: ユーザーは複数のシステムにサイン・オンする必要があり、しかもシステムごとに使用するユーザー名や認証技術が異なる場合もあります。シングル・サインオン(SSO)ソリューションを利用すると、ユーザーは、1回のみの認証で、複数のどのシステムに存在する情報にもアクセスできるようになります。SSOを利用すると、ユーザーが一度認証され、認証された識別情報がセキュアにネットワーク内を通過してリソースにアクセスします。アプリケーション開発者は、Identity Provider (IDP)に認証をフェデレートするためにSecurity Assertion Markup Language (SAML)規格を実装します。このSAML IDPは、Kerberos認証または証明書認証のどちらかを使用して構成されます。EMMソリューションでは、EMMプロバイダが使用可能なオペレーティング・システムAPIコールで構築された規格に基づいて、適切なKerberos資格証明および/または証明書が配布されます。

• セキュリティ・ポリシーおよびアクセス制御: アクセス制御により、アプリケーションが承認済デバイスでのみ実行されるようになります。この機能では、アプリケーション・レベルでセキュリティ・ポリシーが強制されます。組織は、機密データが企業の管理範囲を超えて移動されることがないよう、エンタープライズ・アプリケーション内でのセキュリティおよびデータ損失防止を必要としています。

  • 暗号化: EMMベンダーは、デバイス上でパスコード・ポリシーを強制することで、エンタープライズ・アプリケーションのデータ保護を提供します。管理者は、デバイス上でパスコード・ポリシーを設定することで、デバイス・レベルの暗号化を有効にできます。

  • Managed Open In: これは、iOSデバイス上の企業データのフローをIT制御下にあるアプリケーションのみに限定する、モバイル・アプリケーション管理機能です。

  企業は、セキュリティ上の理由から、アプリケーション機能を無効にする必要がある場合もあります。

  カスタム・セキュリティ・ポリシーの一般的実装には、次のものがあります。

  • コピーおよび貼付けの無効化 – アプリケーション内からコピーおよび貼付け機能を無効にできます。

  • デフォルト電子メール設定 – アプリケーション内で電子メール・メッセージを送信するために使用される、デフォルト電子メール・アプリケーションを指定できます。

  • カメラの使用の無効化 - カメラの使用を無効にできます。

  • スクリーンショットの取得の無効化 - スクリーンショットの取得を無効にできます。

EMMソリューションによるMAFアプリケーションのアクセス制御

MAFでは、SSO証明書、アプリケーション・トンネルおよびアプリケーション構成方法を使用して、互換性のあるEMMソリューションによって管理されるMAFデバイスでのアクセス制御が強制されます。

アクセス制御は、iTunesおよびGoogle Playストアから直接ダウンロードされるアプリケーションへユーザーがログインすることを防止します。アクセス制御は、次の3つの方法で強制できます。

• SSO証明書の使用: SSO認証で証明書を使用できます。アクセスは、管理対象デバイス上の準拠アプリケーションでのみ使用可能になる、シングル・サインオンのための証明書をプロビジョニングすることで制御されます。iTunesストアまたはGoogle Playストアから非管理対象デバイス上に個人用アプリケーションとしてアプリケーションをダウンロードしようとするユーザーは、認証できず、アプリケーションにログインできません。

• アプリケーション・トンネルの使用: アクセス制御は、アプリケーション・トンネル機能を使用して強制できます。企業は、IPアドレスに基づいて、安全なアプリケーション・トンネルを通ったユーザーからの接続のみを受け入れるよう、アプリケーションの認証ページを構成できます。アプリケーション・トンネル機能は、管理対象デバイス上の準拠アプリケーションでのみ利用可能です。iTunesストアまたはGoogle Playストアから非管理対象デバイス上に個人用アプリケーションとしてアプリケーションをダウンロードしようとするユーザーは、認証できず、アプリケーションにログインできません。

• アプリケーション構成の使用: MAFアプリケーション内で定義されているアプリケーションを利用して、アプリケーションへのアクセスを許可または拒否します。アプリケーションは、構成キー内で取得した値を使用し、それがtrueに設定されている場合は、アプリケーションへのアクセスを付与します。

EMMソリューションを使用するMAFアプリケーション構成の管理方法

AirWatchおよび互換性のあるソリューションを提供するその他のベンダーからのEMMソリューションと統合することで、MAFアプリケーションに、EMMサーバーでリモートでアプリケーション・レベルの構成を設定する機能が提供されます。このサーバーには、その後、MAFアプリケーションによってアクセスできます。

アプリケーション構成により、ユーザーの設定プロセスを簡略化できます。EMMサーバーにより一連の構成キーが送信され、開発者によって定義されます。組織の管理者は、EMM管理Webコンソールでキーおよび値を設定します。ここから、それらはMAFアプリケーションに送信されます。

MAFアプリケーションでは、URL、ポート、SSLの使用、グループまたはテナント・コード、ならびにユーザー名、電子メールおよびドメインなどのユーザー構成といった、バックエンド・サービス構成が実装されます。

カスタム・セキュリティ・ポリシーは、アプリケーション構成を使用して強制できます。一般的に、次のようなセキュリティ・ポリシーが実装されます。

• パブリック・クラウド同期の無効化: Dropboxなどのパブリック・クラウドとのアプリケーション・データの同期を無効にできます。

• コピーおよび貼付けの無効化: アプリケーション内からコピーおよび貼付け機能を無効にできます。

AirWatch EMMソリューションを使用するMAFアプリケーションの管理

AirWatch EMMソリューションとの統合は、MAFアプリケーションでセキュリティ・ポリシーによってデータ漏えい保護を実装するのに役立ちます。

AirWatchは、アプリケーションを保護および管理するEMMソリューションを提供します。AirWatchには、SDK、アプリケーション・ラッピング、およびAppConfig Communityに従うアプローチといった、中核的アプリケーション機能のセットを提供する3つの開発アプローチがあります。AirWatchと統合した場合、MAFはAppConfigアプローチに従います。MAFでは、AirWatchからのSDKおよびアプリケーション・ラッピングはサポートされていません。MAFでは、アプリケーション管理にネイティブの標準を利用するAirWatch機能のみがサポートされています。

MAFアプリケーションは、AirWatch管理コンソールを使用して管理できます。このコンソールでは、EMM管理者が、iOS構成プロファイルおよびAndroid for Work構成プロファイルを作成し、AirWatch管理コンソールに登録されている様々な管理対象デバイスにそれらを適用できます。ユーザーが自分のデバイスをAirWatch Agent Appに登録すると、そのデバイスに割り当てられているすべての構成プロファイルがダウンロードされ、適用されます。構成プロファイルには、EMM管理者にカメラおよびアプリケーション内のManaged Open Inなどの特定機能の有効化または無効化を許可する制限が含まれています。また、構成プロファイルには、Per Appレベル構成情報が含まれており、これにより、ファイアウォールの内側でホストされ、MAFアプリケーションによって使用される、MAFアプリケーションと様々なバックエンド・サービスとの間のセキュアなトンネリングが可能になります。

MAFでは、そのアプリケーションを保護するために、AirWatchテクノロジからEMMが使用されます。MAFでは、ACEを使用してMAFアプリケーションがAirWatchと統合されます。デバイスがAirWatchに登録され、アプリケーションがAirWatch App Catalogからインストールされるか、内部またはパブリック・アプリケーションがAirWatch管理コンソールにアップロードされる場合があります。AirWatchとの統合は、MAFで次のようなセキュリティ・ポリシーによってデータ漏えい保護を実装するのに役立ちます。

• 暗号化: iOSプラットフォーム、Android 5.0、およびそれ以上のプラットフォーム・バージョン上のMAFアプリケーションでは、暗号化を有効にできます。暗号化が有効になっている場合、MAFでは、ネイティブOS暗号化を使用して、アプリケーションを含めたデバイス全体のコンテンツが暗号化されます。

• Managed Open-In: iOSプラットフォーム、Android 5.0、およびそれ以上のプラットフォーム・バージョンで利用可能なDropboxやBoxなどのその他の非管理対象アプリケーション内で、管理対象アプリケーションに格納されているドキュメント開くことができます。iOSプラットフォームでは、この制限が有効になっている場合は、それはデバイス上のすべてのアプリケーションに適用されます。この制限を設定する場合は、電子メールを介したドキュメント共有機能をオフにします。MAFでは、電子メール・デバイス・サービスはオフになります。Androidプラットフォーム上でOpen In制限を有効にする場合、その制限は、デバイス全体ではなく各アプリケーションに適用されます。

• カメラ: デバイス上のカメラを有効または無効にする機能は、iOSプラットフォーム、Android 5.0、およびそれ以上のプラットフォームで利用可能です。iOSプラットフォームでは、カメラ制限が有効になっている場合、それはデバイス上のすべてのアプリケーションに適用されます。この制限は、アプリケーションごとには適用されません。Androidプラットフォームでは、カメラ制限は、デバイスに対してではなく各アプリケーションに適用されます。

• 電子メール: iOSプロファイルには、デバイスまたはアプリケーション・レベルで電子メール・アクセスを直接制御する制限はありません。Open In制限を設定すると、電子メールによるドキュメント共有機能はオフになります。MAFでは、Open In制限により、電子メール・デバイス・サービスがオフになります。

• AirWatch Tunnelによるアプリケーション・トンネリング: iOSプラットフォーム、Android 5、およびそれ以上のプラットフォーム・バージョン上のMAFアプリケーションには、Per App VPNモード機能(モバイル・デバイス上の個々のアプリケーションで利用可能なOSレベル機能)が提供されます。AirWatch Tunnelは、AirWatch管理コンソールでインストールおよび構成されるサーバー・コンポーネントです。AirWatch Tunnelでは、ネイティブのオペレーティング・システムAPIを使用して、MAFアプリケーションとセキュアな企業ネットワークとの間の転送中データを保護します。セキュア・トンネルにより、アプリケーションは、ネットワークとの通信時に分離されます。

• 安全なブラウザ統合: MAFアプリケーションからWebコンテンツにアクセスするユーザーは、アプリケーションからAirWatch Secure Browserにリダイレクトされます。MAFアプリケーションで「GoLink」をタップすると、AirWatch Secure Browserクライアントが起動されます。EMM管理者は、AirWatchコンソールでポリシーを設定できます。安全なブラウザ・クライアントが起動されると、アプリケーションにポリシーが適用され、設定ポリシーのコンプライアンスに応じてコンテンツがブロックまたは表示されます。

• 安全な電子メール統合: 新しいメールを作成するユーザーやドキュメントの添付などのタスクを実行するユーザーは、MAFアプリケーションからAirWatch Secure Browserにリダイレクトされます。AirWatchは、安全な電子メール・クライアントを起動するURLスキームを提供します。MAFアプリケーションで「GoLink」をタップすると、AirWatch Secure Emailクライアントが起動されます。EMM管理者は、AirWatchコンソールでポリシーを設定できます。安全な電子メール・クライアントが起動されると、アプリケーションにポリシーが適用され、設定ポリシーのコンプライアンスに応じてユーザーによるファイルの添付が許可されるか拒否されます。

AirWatch EMMプラットフォームの詳細は、https://www.vmware.com/products/enterprise-mobility-management.htmlを参照してください。AirWatchドキュメントは、https://docs.vmware.com/en/VMware-AirWatch/index.htmlを参照してください。

EMMソリューションによる使用のためのMAFアプリケーションでのプロパティの構成

<adfmf:emmAppConfig>要素を使用して、アプリケーションのmaf-application.xmlファイルのプロパティを構成します。EMMソフトウェアの管理者は、ユーザーにデプロイされたアプリケーションにEMMソフトウェアが送信するこれらのプロパティの値を構成します。

次のサンプルmaf-application.xmlファイルでは、定義されている多数のプロパティを示します。

<adfmf:emmAppConfig>
<adfmf:property name="serverURL" type="String" description=“URL to connect the backend service"/>
<adfmf:property name="port" type="Integer" description=“Port number of the backend service”/>
<adfmf:property name=“enableEncryption" type=“Boolean" description=“Turn on app level encryption”/>
<adfmf:property name=“refreshDate" type=“Date" description=“Date on which application will be refreshed”/>
</adfmf:emmAppConfig>

EMM管理者は、EMMコンソールでこれらのプロパティの値を構成します。次に、EMMソフトウェアによって、MAFアプリケーションがインストールされているデバイスにそれらの値がプッシュされます。この機能は、AndroidおよびiOSプラットフォームにデプロイされたMAFアプリケーションでのみサポートされます。EMMソフトウェアで、<adfmf:emmAppConfig>要素で指定されるデータ型がサポートされていることを確認してください。前述の例では、指定されたプロパティのデータ型はString、Integer、BooleanおよびDateです。

EMMコンソールで対応するプロパティ値を構成する方法およびEMMソフトウェアでサポートされるデータ型の詳細は、EMMベンダーのドキュメントを参照してください。

#{EMMConfigProperties} EL式を使用して、MAFアプリケーションのアプリケーション・ライフサイクル内でプロパティ値を読み取ることができます。たとえば、serverURLプロパティの値を読み取るには、#{EMMConfigProperties.serverURL}のようにEL式を記述します。

次を呼び出して、プロパティの変更をリスニングするプロパティ変更リスナーを登録することもできます。

EMMAppConfigScope.getInstance().addPropertyChangeListener(this);