BBOS10(Blackberry Passport)からandroid（Blackberry Keyone）に乗り換えた比較レビュー

とうとうアンドロイドである。
しかもTCL（MADE IN CHINA!)。
ということで、blackberry OS10ユーザの僕が、blackberry Keyoneに乗り換えた際の初回レビューやtips、良い点と悪い点を書こうと思う。
因みに、僕はandroid自体は触りまくっているので、純粋に移行する人よりも理解があります。
購入したのはBBB100-1（リネーム後のblack edition同等の奴）。
RAM4GB、ROM64GBです。

以下。あとは随時追記予定。

動機

passportを2年以上使って、物理的な劣化が半端なかった。塗装は剥げるし傷は付くし、何より異常発熱が半端ない。ブラウジングするだけでtoo hotな感じ。熱暴走で最後に落ちる位になった。
原因は、物理的に落としまくってたせいなのだけれども。

総評

結論から書いておくと、keyoneは「blackberry classicとandroidの合いの子」である。
使い勝手は、ほぼBBOS10なので、一番懸念していた電話周り（アドレスの高速ソートやHUBでの表示等）も全く問題ない。

使用感

○重量が軽い

passportは、使っていれば別に気にならなかったけれども、比べてみると重かった。これは金属を多用してフレームを作っているからなのだろうけれども、軽い。
ただ、手持ちのvaio phoneと比べると重い。
注記しておきたいのは、「軽さや薄さは正義では無い」ということ。正直vaiophoneは、広い画面が思った以上に使い辛いし、何よりグリップ感に欠ける。 ノートpcは軽さは正義なのだけれども、携帯電話は違うらしい。

×android

googleのエコシステムに囲まれる（囲われる？）ことで、メリットもあれば、色んな面倒がある。
androidアプリケーションが使える反面、それぞれのアクセス権限を考えなければならない 。
そこで、後述するDTEKが、なかなか良い仕事をしてくれる。

○DTEK

恐らくBlackberryがBlackberryたり得るようにしているのは、半分がHUB、半分がこのDTEKだろう。
アクセス権限を細かく規定できるのがポイントで、勿論規制しすぎて動かなくなることもあるが、変えてやれば良いだけの話なので、取り敢えず怪しそうなアクセスをするものは、アクセス時に通知が出るようにし、また、そもそもの権限を渡さないことが簡単にできる。
御陰で魑魅魍魎が跋扈するgoogle playを思う存分使える。
ただ、留意しなければならないのは、「通信自体を監視しない」ということ。
なので、バックグラウンドでの通信などは、設定＞アプリより個別に変更するしか無いし、通信先を規制したいのであれば、ファイヤーウォールを入れるしか無い。

○Blackberry Hub（と一連のblackberryソフトウェア製品群）

これがないとblackberryでは無い、というか、 これがblackberryそのものである。
逆に言えば、Blackberry HUBとDTEKをandroid携帯にインストールすれば、えせblackberryの完成である。
仕事をする上で、間違いなく助けられているのはHub。逆に、他のビジネスソリューションでよく仕事できるなと思ってしまう位、完成度が高い。
各種通知の統合、整理が凄く良く出来る。

○メールのオートCC/BCC（自動メールアドレス追加）

やっと付いた。これだけでもandroidにする意味がある。誰も触れないけれども、BBOS10ユーザーが待ち焦がれたのがこれ。

×キーボードタッチパッド

使えないわけでは無いけれども、正直使い辛い。速度の変更はどこでやるのだろう・・・。そして、相変わらずマウスタッチパッドとしては使えない。
あと横向きにしてのスクロールが出来ない！PASSPORTの時はこれが便利だったのに。

△キーボード

ほぼclassicのキーボードを踏襲していると思って良い。ただ、passportに比べて小さいので、慣れは必要。

○入力変換（キーボード）

よそでは散々叩かれているけれども、間違いなく使いやすい。BBOS7から使っていると、よくもまあここまで進化した、と思える。特に、passportユーザーは、最後の最後まで治らなかったタイムラグ問題が無いので歓喜するだろう。
但し、キーボードはclassicと同じ4列QWERTYなので、変換方法はpassportとは違う、昔の御作法になる（たとえば日本語-英字入力切り替えはalt+enterだったり）。
日本語で、一文字目を変換し損なう（たとえば、「ば」と入れたい場合、「bあ」になる）病気はたまに起こる。

×生産性タブ

これどう使えば良いんですかねえ・・・劣化版Hubでしかない・・・。正直、このドロワーを左に持って行って、アプリ切り替えボタン（androidの右下にある四角ボタン）のショートカットにしたい。そうすれば、BBOS10と同じ挙動になる。
そう、BBOS10では、homeが起動アプリ一覧だったが、androidは違うので、操作感が若干違う。アプリ切り替えボタンのショートカットを作りたい・・・。

×サポートセンター

度々「E保証に登録しろ」というアナウンスが出るサポートセンター。これはTCLが提供するサービスなので、色々懸念する人は登録しない方が良い。

? bluetoothヘッドセット接続時に、本体からも通知音が出る

これはandroidの仕様なんですかね・・・。

やること

 １　初回起動時には、googleアカウントを使用せずにセットアップ。変に関連づけられることを防ぐため。
 ２　プリインストールの中から、必要ないgoogle関係のアプリを全て無効にする。ぶっちゃけ開発者サービス以外を無効にしても問題ない。いの一番に無効にしたのはBBMなのだけれども・・・。
 ３ 　DTEKでプリインストールアプリの（必要なさそうな）権限を全て無効にし、通知を全て「両方」にする。これで、必要なら権限を求めてくるし、勝手に使ったら通知される。
４　バックグラウンド通信を設定から（必要なさそうなものを）オフにする。
５　google playを起動して、googleアカウントと紐付け。紐付け時に少しでも「同期」と書かれていたら外す。これでアドレス吸い上げを防ぐ。
６　blackberry HUBで他のアカウントを登録。因みに、HUBがあれば、gmailは要らないし、outlookも要らない。

blackberry Passportのアドレス帳移行について

 ContactsImEx
https://appworld.blackberry.com/webstore/content/37102894/?lang=en
で、vcard(vcf）形式で書き出し、sdカードで読ませる（ファイルをタップ）。csvはどうも読まないらしい。

outlook（microsoft account）の紐付けについて

手間取ったが、結局blackberry Hubにアカウントを追加すれば、メール・カレンダー・アドレスなどの同期が取れる事が分かった。

入れるべきアプリケーション

・firefox（ブラウザ）
・firefox focus（ブラウザ。標準ブラウザに設定しておく）
・adobe acrobat(pdf閲覧）
・VLC for Android（動画プレーヤー）
・foobar2000（音楽プレーヤー）
・feedly（RSSリーダー）
・microsoft office mobile関係
・office lens(補正カメラ）

無効にしたアプリケーション
ドライブ
ニュースと天気
BBM
Chrome
Gmail
Google
Google Play Music
Google playムービー＆TV
password keeper

あと１年くらい

あと１年でBBOS10のサポートが切れるらしい。 2019年か。なので、必然的に切り替えの時期がやってくる。
はじめは（windows 10 mobileで乗り換えに失敗したので）否定的だったけれども、期限を切られると移行せざるを得ないし、思った以上にandroid搭載のblackberryが違和感なかったので、BBOS10ユーザーは安心して良いと思う。
その際に、これがblackberryからandroidへの乗り換えの助けになれば。
あと、blackberry worldも2019年12月中に閉鎖してしまうので、上で紹介したContactsImExが必要ならば、2019年中に移行する必要があることを覚えておいて欲しい。

SSLプロキシとして動作中のSquid内ネットワークでwindows機にwindows updateさせたい

もう透過プロキシなんて全く考えなくなってしまった僕です。
SSL対応させて分かったことは、もう透過させて何とかしようっていうのが無意味に感じたこと。
証明書読ませる時点で何やってるか自明ですやん・・・。

で、表題の件。
SSL bumpでSSL対応プロキシとして動作しているSquidを頂点としたネットワーク内から、windows updateさせようとしてはまった。
構成は

インターネット　－　Squid入りゲートウェイ　－　ハブで分かれたPC群（ほぼwindows10）

まず、Squid公式で、windows updateの項目を見る
http://wiki.squid-cache.org/SquidFaq/WindowsUpdate#Squid_with_SSL-Bump_and_Windows_Updates

To pass WU check through Squid splice, you only need to splice next MS servers:

update.microsoft.com
update.microsoft.com.akadns.net

For use in real setups, write file url.nobump:

# WU (Squid 3.5.x and above with SSL Bump)
# Only this sites must be spliced.
update\.microsoft\.com
update\.microsoft\.com\.akadns\.net

Just add this file as Squid ACL as follows:

acl DiscoverSNIHost at_step SslBump1
acl NoSSLIntercept ssl::server_name_regex -i "/usr/local/squid/etc/url.nobump"
ssl_bump splice NoSSLIntercept
ssl_bump peek DiscoverSNIHost
ssl_bump bump all

どうやらurl.nobumpに正規表現で書いたドメインをプロキシから除くということらしい。



centos7のrpmインストールなので、/usr/local/squidは/etc/squidに読み替え。
update.microsoft.com
update.microsoft.com.akadns.net
だけ接いでやればいいから！と読めるが、実はそうでも無かった。
実行すると、

一部の署名ファイルが正しく署名されていません。
エラー コード: (0x800b0109)

とでる。
恐らくオレオレ証明書を参照しているからだろうと推測できるが、となると全く接げてないじゃん。
で、更にgoogle先生にお伺いを立てると
https://blogs.technet.microsoft.com/jpwsus/2017/02/27/wu-mu-list/
結構あるぞ・・・。
全部上記に追加して、Squidを再起動してみるが、駄目。
割り切って

windows\.com
windowsupdate\.com
microsoft\.com

とすると、繋がった。がばがばである。
ただ、アップデータをダウンロードするところまで見られていないので、もしかしたらダウンロードに失敗するかもしれない。
等と思っていたら、

が出た。
Squidログを見ていると、
live.net
live.com
宛てにも接続しようとしている。
なので

live\.net
live\.com

を追加して、事なきを得た。
筈だった。
たまたまonenoteを立ち上げたら、onedriveと同期できない。
で、google先生に再度お伺いを立てると、
https://support.microsoft.com/ja-jp/help/2894304
という、winhttpという機構にもプロキシを噛まさなければならないことが判明。
どういう理屈なんだろう・・・・・・・。
プロキシを通せば良いので、

netsh winhttp set proxy proxy-server="server-domain-or-ip-address:12345"  bypass-list=""

としてあげると繋がった。必ず管理者権限で動かすこと。バイパスは多分ローカルだけで良いと思う。
※12345はポート番号。
winhttpについては
http://www.maruko2.com/mw/WinHTTP%E3%83%97%E3%83%AD%E3%82%AD%E3%82%B7%E3%81%AE%E8%A8%AD%E5%AE%9A%E6%96%B9%E6%B3%95

さて、SSLゲートウェイを通すためにユーザに配布するものを整理しよう・・・。
・自己署名証明書ファイル（.derファイル。ブラウザに読ませる）
・winhttpを設定するバッチファイル(管理者権限で動かすこと）
・windowsのプロキシ設定ファイル（設定のネットワークとインターネットから設定するシステムのプロキシをレジストリ直で書くもの。）
この３つかな。
多分透過で上手く動くのであれば、下２つは要らない。
最後の一つのレジストリ上プロキシの場所は
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]

microsoftアカウントでログイン（ログオン＆サインイン）させたくない（無印windows10でmicrosoft accountの使用を禁止・制限・ブロックする）

いわゆるpro版なら、グループポリシーエディタがあるので、GUIでなんとでも出来るが、こと無印（≒HOME）windows10だとグループポリシーエディタを弄れない。ただ、無印でも機能としては存在するので、それを有効にするtips。

要は、GUI環境が提供されていないなら直接弄ってしまえ、ということ。
そう、レジストリを編集する。

google先生にお伺いを立てまくった結果出てきたのがこちら。

http://www.trainingtech.net/how-to-disable-microsoft-account-in-windows-10/

内容は、
レジストリエディタを起動（regedit.exe）

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\default\Settings\AllowYourAccount

の数値を、デフォルトの1から0にする

これで完了。

するはずだったのだけれども、特に民生のpcで有効にならない。
有効になった場合、アカウント画面に赤字で「一部の設定は組織によって管理されています」と出て、microsoftアカウントをクリック出来るところがグレーアウトする。

更に調べると、別のレジストリもいじらなければならないようで（というか、民生のPCはレジストリキーが削除されていることが多い）、

 http://www.top-password.com/blog/block-or-disable-microsoft-account-in-windows-10-8/

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoConnectedUser

の値を3にする事が必要になる。

 レジストリキーが存在しない場合、DWORDで、名前をNoConnectedUserとして作成する。

数値の内訳は

• 0 = Allow Microsoft Accounts
• 1 = Users can’t add Microsoft Accounts
• 3 = Users can’t add or log on with Microsoft accounts

 とのことで、状況に合わせて変える必要がある。

この２つのレジストリキーを変更することで、マイクロソフトアカウントでのログインが出来なくなる。

何でこれをやらなければならなくなったかというと、会社で使うPCが、AD組まずにネットワーク構成をしているため、proが入っているPCが少ないこと、また、辞めた社員のPCで、マイクロソフトアカウントを使っていた奴が居たりして、処理が面倒だったことという切ない事情もある。

これ何かおかしくて、マイクロソフトも
https://technet.microsoft.com/ja-jp/library/mt634168(v=vs.85).aspx
とかで

脆弱性

Microsoft アカウントはパスワードで保護されていますが、社外でのより大きな漏えいの可能性もあります。また、Microsoft アカウントの所有者が簡単に識別できない場合、監査およびフォレンジクスが難しくなります。

と言ってるのに、無印だと弄りにくくしているっていう・・・まあ、pro使えということなんだろうけど、中小企業だと価格の割にメリットが少ないので選択から外れるんですよ・・・。

求められていないのか、検索してもなかなか見つからなかった件なので、一助になればと。

 

追記

ローカルグループポリシーエディタをwindows 10 HOMEで使う方法が発見される・・・ただ、レジストリ運用して分かったのが、.regでファイルとして可搬出来るところ。悩ましい・・。