vmware airwatch mobile device management ガイド...management(mdm)ガイド...

VMware AirWatch Mobile DeviceManagement (MDM) ガイド貴社組織のモバイルデバイスを管理AirWatch v9.1

ご意見・ご感想をお寄せください。 support.air-watch.com からサポートウィザードを使用して文書のフィードバックサポートチケットを送信することができます。Copyright © 2017 VMware, Inc. All rights reserved. This product is protected by copyright and intellectual property laws in the United States andother countries as well as by international treaties. VMware products are covered by one or more patents listed athttp://www.vmware.com/go/patents.

VMware is a registered trademark or trademark of VMware, Inc. in the United States and other jurisdictions. All other marks and names mentionedherein may be trademarks of their respective companies.

VMware AirWatch Mobile Device Management (MDM) ガイド | v.2017.06 | 2017 年 6 月

Copyright © 2017 VMware, Inc. All rights reserved.

1

http://support.air-watch.com/

目次第 1章: 概要 6

新機能 7モバイルデバイス管理(MDM)の概要 8

第 2章: AirWatch をはじめる 10AirWatch コンソールの概要 11｢はじめに｣ウィザード 20

第 3章: 環境設定 22環境設定の概要 23AirWatch コンソールにログインする 23APNs証明書 23プライバシーとデータ収集 25利用規約 31コンソールブランディング 34制限されたコンソール操作 35統合可能なその他のエンタープライズシステム 39

第 4章: ユーザーと管理者アカウント 41ユーザーと管理者アカウント概要 42ユーザー認証タイプ 42ベーシックユーザーアカウント 49ディレクトリベースのユーザーアカウント 53ユーザーアカウントリスト表示の概要 57バッチインポート機能 60管理者アカウント 63

第 5章: 役割ベースのアクセス 67役割ベースのアクセス概要 68既定役割とカスタム役割 68

2



ユーザー役割 71管理者役割 72

第 6章: グループ 80割り当てグループ概要 81組織グループ概要 83スマートグループ概要 88ユーザーグループ概要 94管理者グループ概要 104割り当てを表示する 108

第 7章: デバイス加入 110デバイス加入の概要 111ベーシック加入とディレクトリサービスによる加入 115個人デバイスの業務利用(BYOD)での加入 118セルフサービスの加入とデバイスの代理セットアップ 121デバイス登録 128加入オプションを構成する 137デバイス登録をブラックリスト/ホワイトリスト設定する 143追加の加入制限 144自動検出による加入 150

第 8章: 共有デバイス 152共有デバイス概要 153共有デバイスの階層を定義する 154

第 9章: デバイス割り当て 156デバイス割り当ての概要 157デバイス割り当てを有効にする 157デバイス割り当てルールまたはネットワーク範囲を定義する 158

第 10 章: プロファイルとリソース 160デバイスプロファイル概要 161

3



全般プロファイル設定を追加する 161デバイスプロファイルリスト表示 164デバイスプロファイルを編集する 168リソースの概要 170デバイス割り当てを表示する 192順守プロファイルの概要 192ジオフェンス 194タイムスケジュール 196

第 11 章: 順守ポリシー 199順守ポリシーの概要 200順守ポリシーリスト表示 201プラットフォーム別の順守ポリシールール 203順守ポリシーを追加する 208

第 12 章: デバイスタグ 213デバイスタグの概要 214タグでデバイスを抽出する 214新しいタグを作成する 215タグを追加する 216タグを管理する 216

第 13 章: デバイスを管理する 218デバイスを管理する 219デバイスダッシュボード 219デバイスリスト表示 220デバイス詳細 227プラットフォーム別デバイスアクション 231加入状態 238ワイプ保護 241AirWatchハブ 244レポートと分析機能 247

第 14 章: 証明書の管理 249

4



証明書管理概要 250デジタル証明書のリスト表示 250証明書統合に関するリソース 251

第 15 章: カスタム属性 253カスタム属性の概要 254カスタム属性を作成する 255カスタム属性のインポート 255カスタム属性を使用して組織グループを割り当てる 256

第 16 章: セルフサービスポータル 258セルフサービスポータル概要 259SSPの既定のログイン画面を構成する 259SSPのマイデバイス画面 260SSPのリモート操作 262セルフサービスポータルから利用できる操作一覧 264VMwareContent Lockerオプション 266

他の文書を入手する 267

5



第1章:概要新機能 7モバイルデバイス管理(MDM)の概要 8

6



新機能このモバイルデバイス管理ガイドは、AirWatch v9.1 のリリースに伴う最新の特長と機能を取り入れて更新されています。次のリストに、これらの新機能と、その説明があるセクションとページを示します。

l ログインプロンプトでキャプチャ認証保護機構を無効化できるようになりました。ただし、キャプチャを無効化すると、全体的なセキュリティが低下するおそれがあります。詳細は、11 ページのセキュリティ暗証番号を参照してください。

l セルフサービスポータル (SSP) のログインページのデザインが変更されました。また、SSP ログインページの背景画像をカスタマイズできるようになりました。詳細は、259 ページのセルフサービスポータル概要を参照してください。

l 管理者コンソール通知が 4種類追加されました。これにより、デバイスフリートにおける変化を常に把握し、その変化に対して迅速に対処することができます。詳細については、16 ページの AirWatchコンソールの通知および 18 ページの通知設定を構成するを参照してください。

o アプリ削除の保護 – 貴社が重要として指定したアプリが、デバイスから削除された場合、削除回数が指定しきい値を超過したときに通知を受け取ることができます。

o リスト表示のエクスポート – リスト内のユーザー数とデバイス数が多い場合、デバイスリスト表示およびユーザーリスト表示の内容をコンマ区切り値形式ファイルにエクスポートする際に時間がかかることがあります。この通知は、エクスポート処理が完了して検査できる状態になったことをユーザーに知らせるものです。

o ユーザーグループ融合保留中 – ユーザーグループで｢変更を自動融合する｣チェックボックスをオフにした場合、データベース変更処理が開始されるたびに管理者承認を行う必要があります。この通知は、融合プロセスを開始できる状態になったことをユーザーに知らせるものです。

o VPP アプリ自動更新 – この通知は優先度が｢高｣のアラートであり、Apple VPP (Volume PurchaseProgram) を使用してインストールされたアプリの更新バージョンがリリースされたことをユーザーに知らせるものです。

l ライセンス情報のステータスが、有効期限ではなくアクティブ/非アクティブフラグに基づいて決まるようになったので、より正確になりました。また、ライセンスモデル (ユーザーベースまたはデバイスベース)が正確に反映されるようになりました。詳細は、247 ページの管理者パネルダッシュボードを参照してください。

第 1 章: 概要

7



モバイルデバイス管理 (MDM) の概要モバイルデバイスは企業にとって有益なツールです。従業員はモバイルデバイスを使用することにより、社内のコンテンツとリソースに即座にアクセスできます。しかし、多岐にわたるモバイルプラットフォーム、OS、バージョンをもつ各種デバイスを管理することは容易ではありません。 VMware AirWatch®Mobile Device Management™ (MDM) は、企業の使用するすべてのモバイルデバイスタイプの構成、セキュア化、監視そして管理を可能にし、この課題に対するソリューションを提供します。

モバイルデバイス管理を導入することによるメリット

モバイルデバイス管理は、企業にモビリティを導入する際の課題であるセキュリティ上の問題とアクセス上の問題に対し、エレガントなソリューションを提供します。

l すべてのモバイルデバイスを、展開規模の大きさにかかわらず、一つのコンソールから管理することができます。

l デバイスを貴社のエンタープライズ環境に素早く簡単に加入します。

l デバイス設定をワイヤレスで構成/更新します。

l セキュリティと順守ポリシーを適用します。

l 企業リソースへのモバイルアクセスをセキュアにします。

l 管理デバイスを遠隔操作でロックおよびワイプします。

デバイスの位置情報、現在のユーザーおよびコンテンツに即時にアクセスできるよう MDM環境を設定することもできます。また、ユーザーや組織グループそれぞれに固有のルールや警告メッセージを割り当て、セキュリティと順守設定を適用し、貴社の MDM展開を自動化します。さらに、デバイスの地理的位置情報に基づき、コンテンツや機能を制限したり有効化したりすることもできます。

このガイドでは、貴社の MDM展開を構成し維持していく方法の概要を説明します。

サポートするブラウザ

AirWatch コンソールは以下のWeb ブラウザの最新安定ビルドをサポートします。

l Chrome

l Firefox

l Safari

l Internet Explorer 11

l Microsoft Edge

第 1 章: 概要

8



注:コンソールへのアクセスに IE を使用している場合、コントロールパネル >設定 >インターネットオプション >セキュリティと進み、フォントダウンロードオプションを含むセキュリティレベルまたはカスタムセキュリティレベルが有効にするに設定されていることを確認してください。

上記に挙げられたものより古いブラウザをご使用の場合は、AirWatch コンソールで利用可能なすべての特長や機能をご利用いただくため、新しいブラウザへのアップグレードをお勧めします。上記のWeb ブラウザに関しては、包括的なプラットフォームテストを実施し、動作確認を行っています。 AirWatch コンソールは、これ以外のブラウザでも動作することがありますが、不具合が生じる場合があります。

対応プラットフォーム

AirWatch は以下のデバイスと OSをサポートします。

l Android 4.0 以降 l Tizen 2.3+

l Apple iOS 7.0 以降 l Windows デスクトップ (8/8.1/RT/10)

l Apple macOS 10.9+ l Windows 7 (Windows 7 以上)

l Chrome OS (最新バージョン)

l Windows Phone (Windows Phone 8/ 8.1、Windows 10Mobile)

l QNX 6.5+ l Windows Rugged (Mobile 5/6 および Windows CE 4/5/6)

これ以外のデバイス/OSに関しては、サポートが限定される場合があります。詳細は、267 ページの他の文書を入手するに記載されている方法を使用して各プラットフォーム用のユーザーガイドを参照するか、または AirWatch サポートまでご連絡ください。

第 1 章: 概要

9



第2章:AirWatchをはじめるAirWatch コンソールの概要 11｢はじめに｣ウィザード 20

10



AirWatch コンソールの概要AirWatch コンソールから、貴社のモバイルデバイス管理 (MDM)展開のあらゆる側面を閲覧し管理することができます。弊社の管理者コンソールは、一元化されたWeb ベースのリソースで、ここから新しいデバイスとユーザーを貴社の展開に素早く簡単に追加し、プロファイルを管理し、システム設定を構成することができます。

セキュリティ設定と各種のインターフェイス機能 (例: ｢はじめに｣ウィザード、メニューアイコン、グローバル検索)について詳しく理解してください。

セキュリティ暗証番号

セキュリティ暗証番号を作成することで、AirWatch コンソールのセキュリティを確保できます。この暗証番号は、不注意でデバイスをワイプしてしまったり、ユーザーや組織グループといった貴社環境の重要な構成部分を削除してしまったりすることがないよう、セーフガードとしての機能を果たします。セキュリティ暗証番号には、セキュリティをより一層強化する役割もあります。これを設定することで、認証ポイントが追加され、承認外ユーザーによる操作をブロックすることができます。

セキュリティ暗証番号を確立する

AirWatch コンソールへの初回ログイン時には、プロンプトが表示され、セキュリティ暗証番号を設定するよう促されます。

セキュリティ設定画面が表示されますので、4桁のセキュリティ暗証番号を入力し、確認のため再入力してください。この暗証番号は今後必要になりますので手元に控えておいてください。この暗証番号を設定せずに AirWatch コンソールの他の画面に進むことはできません。

パスワード誤入力回数が最大許容試行回数を超過した場合、キャプチャ認証プロンプトが開きます。このプロンプトはカスタマイズできます。このキャプチャ認証プロンプトを無効化することもできます。

セキュリティ暗証番号をリセットする

セキュリティリスクを最小に抑えるためにも、セキュリティ暗証番号は定期的にリセットしてください。

1. AirWatch コンソールの右上に表示されているアカウントアイコンを選択します。

2. アカウント設定を管理をクリックし、セキュリティ設定画面に進み、セキュリティ設定メニューからリセットを選択して暗証番号をリセットします。

3. コンソールからログアウトし、再度ログインします。プロンプト表示の指示に従い暗証番号を作成します。

第 2 章: AirWatch をはじめる

11



ヘッダメニュー

ヘッダーメニューは、AirWatch コンソールのほとんどのページの上部にあります。このヘッダーメニューを使用して、次のことを実行できます。

l 組織グループ – 変更を適用したい組織グループ (｢Global｣と表示のあるタブ)を選択します。

l 追加 – 管理者、デバイス、ユーザー、ポリシー、コンテンツ、プロファイル、内部アプリケーション、またはパブリックアプリケーションを素早く追加します。

l グローバル検索 – ( ) デバイス、ユーザー、コンテンツ、アプリケーション、構成設定、管理者、ページなど、貴社の AirWatch 展開のすべての構成要素を AirWatch コンソールから検索します。

l 通知 – ( ) 通知を使用することにより、重要なコンソールイベントを常時確認できます。通知のベルアイコンの上に重なって表示される番号バッジで、確認が必要なアラートの数がわかります。

l 保存済み – ( ) AirWatch コンソールでよく使うページをお気に入りに追加してアクセスをよりスムーズにします。

l ヘルプ – ( ) オンラインヘルプポータルサイトを開き、ガイドやコンソール関連資料を閲覧/検索します。

l アカウント – アカウント情報を閲覧します。現在の環境内で割り当てられているアカウント役割を変更することができます。連絡先の情報、言語、通知、ログインの閲覧履歴、暗証番号のリセットを含むセキュリティ設定などの設定をカスタマイズできます。 AirWatch コンソールからログアウトして、ログイン画面に戻ることもできます。

l 更新 – ( ) 現在の表示から離れることなく画面の更新を実行し、最新の統計や情報を閲覧することができます。

l 表示項目 – ( ) ｢ハブ｣の概要画面の表示をカスタマイズするには、表示したいセクションのみを選択します。｢ハブ｣の概要画面でのみ利用できます。

l エクスポート – ( ) プロファイル、アプリ、ブック、チャンネルまたはポリシーの完全なリストを、Excel で表示/分析できる CSV (コンマ区切り値)ファイルで作成します。

l ホーム – ( ) このアイコンをクリックすると、AirWatch コンソールの任意の画面をホーム画面として設定できます。 AirWatch コンソールに次にアクセスするときには、選択した画面が最初に表示されます。

l 保存 – ( ) 現在のページを｢保存済み｣ページ一覧に追加すると、よく使用するコンソールページに簡単にアクセスできるようになります。

詳細は、次のトピックを参照してください。

83 ページの組織グループ概要


12



68 ページの役割ベースのアクセス概要

16 ページの AirWatch コンソールの通知

11 ページの AirWatch コンソールの概要

244 ページの AirWatch ハブ


13



メインメニュー

メインメニューから、アカウントに割り当てられた役割とモバイルデバイス管理 (MDM)展開に応じて利用できるすべての機能に移動することができます。

基本展開のすべての構成要素が正常に設定されたことを確認する役割を果たします。｢はじめに｣には、貴社の AirWatch コンソール展開に関連するモジュールのみが含まれています。｢はじめに｣は、貴社の実際の構成に合わせたチュートリアルのような役割を果たします。

管理者としての判断を下すにあたり必要な MDM情報を閲覧し管理します。貴社のデバイス全体の概要を素早く把握します。ブラックリストに設定されたアプリのうち、順守ポリシーの違反件数が最も多いアプリはどれなのかといった情報を確認することもできます。管理者パネルダッシュボードでモジュールライセンスを追跡し、現在非順守状態にあるすべてのデバイスをモニタリングします。 iOS デバイスの場合、業種別テンプレートを選択し、業種特有のアプリとポリシーを使用してチュートリアルプロセスを効率化することもできます。

貴社のモバイル展開の主要な側面 (順守状態、所有形態の内訳、最終検出日、プラットフォームタイプ、加入タイプ等)の詳細を閲覧します。表示形式は、全ダッシュボードの表示、リスト表示、詳細画面等、好みに応じて簡単に変更することができます。ここから、現在のすべてのプロファイル、加入状態、通知およびワイプ保護設定、順守ポリシー、証明書、プロダクトプロビジョニング、プリンタ管理などのタブにもアクセスできます。

貴社の MDM展開に含まれるユーザーと管理者を調べ管理します。ユーザーグループ/役割/バッチの状態/ユーザー設定にアクセスし、管理します。あるいは、管理者タブから、管理者グループ/役割/システムアクティビティ/管理者設定にアクセスし、管理します。

App Catalog、Book Catalog、Volume Purchase Program (VPP) オーダーにアクセスし、管理します。アプリケーションの分析データやログ、アプリのカテゴリ、スマートグループ、アプリグループ、特集アプリ、ジオフェンス、アプリに関連しているプロファイル等のアプリケーション設定を閲覧することもできます。

ストレージ履歴のトレンド、ユーザー/コンテンツの状態、コンテンツ利用状況とユーザー内訳の詳細を閲覧します。ユーザーとデバイスが利用できるコンテンツを管理/アップロードします。また、バッチインポート状態、コンテンツカテゴリ、コンテンツリポジトリ、ユーザーストレージ、VMware Content Locker ホーム画面構成とその他コンテンツ固有の設定すべてにアクセスします。

貴社展開に関連する Eメール情報にアクセスします。ここには、Eメール管理状態、管理デバイス、Eメールポリシー違反、展開タイプ、最終検出日時等の情報が含まれています。

テレコムを有効にしたデバイスからは、使用履歴、テレコムプラン使用量、ローミングデータ等にアクセスできます。通話、SMS、コンテンツ設定などのテレコム使用とローミング追跡を閲覧し管理します。


14



組織グループ、スマートグループ、アプリグループ、ユーザーグループ、管理者グループの構造/タイプ/状態を管理します。システム設定全体を構成し、メインメニューオプションすべてに関連する設定にアクセスします。

サブメニューを折りたたむ/展開する

サブメニューを折りたたむには、コンソール下部にある矢印アイコンを選択します。サブメニューを折りたたむと、デバイス情報を表示するためのスペースが広くなります。サブメニューを展開するには、矢印アイコンを選択します。

グローバル検索

グローバル検索はタブのあるインターフェースを持つモジュラーデザインを使用し、検索項目を 1回ごとに 1つのタブに適用することでスピーディに検索します。別のタブを選択して、同一のパラメータをAirWatch コンソールの別のエリアに適用することもできます。

グローバル検索を実行した後、結果を以下のタブで確認します。


15



l デバイス – デバイスのフレンドリ名およびデバイスプロファイル名が一致する検索結果を表示します。

l アカウント – ユーザー名や管理者名が一致する検索結果を表示します。

l アプリケーション – 内部、パブリック、購入済みまたはWeb アプリケーション名が一致する検索結果を表示します。

l コンテンツ – デバイス上のコンテンツから一致する検索結果を表示します。

l 設定 – 個々の設定とコンソールのメイン画面から一致する検索結果を表示します。

組織グループドロップダウンメニューから別の組織グループを選択し、その別の組織グループに関して検索を実行することもできます。検索バーはリストの上部に表示されます。

AirWatch コンソールの通知

運用に影響が出る可能性のあるコンソールイベントについてお知らせするために、通知が表示されます。通知ボタンはグローバル検索ボタンの横にあります。

通知にはさまざまな種類があります。

l APNs 有効期限通知 – MDM用の APNs 証明書の有効期限が切れる 30 日前に通知されます。これは、重大な優先度のアラートです。 APNs 証明書の有効期限が切れると、アラートの優先度が｢重大｣から｢高｣に下がります。この通知は、証明書の有効期限切れに関するトラブルを防止するのに役立ちます。また、この通知によって、デバイスと AirWatch の間の通信が維持されます。

l アプリ削除の保護 – これは優先度が｢高｣のアラートであり、アプリ削除回数がしきい値を超過したときに表示されます。この通知に対処するには、｢通知｣ポップアップの｢アプリ削除防止対策を確認｣リンクを選択します。

l リスト表示のエクスポート – これは優先度が｢情報｣の通知であり、ユーザーが要求したデバイスリスト表示またはユーザーリスト表示のエクスポート処理が完了して検査できる状態になったときに表示されます。

l ユーザーグループ融合保留中 – この通知は、"ユーザーグループ融合プロセスが保留中であり、管理者による承認が必要である" ということを知らせるものです。この通知が表示されるのは、次の場合です。

o ディレクトリベースのユーザーグループにおいて｢変更を自動融合する｣チェックボックスをオフにしている、つまり、変更する際は必ず管理者による承認が必要である。


16



o ｢変更を自動融合する｣チェックボックスをオンにしており、かつ、変更数が最大許容変更回数を超過した。最大許容変更回数に達した後にさらに変更を行う場合、管理者による承認が必要です。

l VPP アプリ自動更新 – この通知は優先度が｢高｣のアラートであり、Apple VPP (Volume PurchaseProgram) を使用してインストールされたアプリの更新バージョンがリリースされたことをユーザーに知らせるものです。

デバイスライフサイクル通知については、141 ページのライフサイクル通知を構成するを参照してください。

コンソール通知を管理する

管理者による確認が必要なアクティブな通知がある場合は、数字のバッジがアラートアイコン上に表示され、アクティブなアラートの数がわかります。ベルの図柄の｢通知｣アイコンを選択すると、通知ポップアップが開きます。

受信した通知を管理できます。具体的には、アクティブなアラートを一覧表示すること、APNs を更新すること、失効したアラートを破棄すること、破棄したアラートを一覧表示すること、および、通知設定を構成することができます。

各アラートには、MDM証明書に対する APNs が存在する組織グループが表示されます。また、証明書の有効期限、および、APNs を更新するためのリンクも表示されます。

l アクティブなアラートを表示する – 既定のビューにはアクティブなアラートの一覧が表示されます。

l APNs を更新する – このリンクをクリックすると、｢組織グループの変更｣画面が表示されます。この画面が表示されるのは、ライセンスの有効期限が迫っているデバイスを管理している組織グループが、あなたが現在所属している組織グループと異なる場合です。この APNs ライセンスを更新するには、はいを選択し、あなたの組織グループを自動変更してください。


17



MDM用の APNs設定画面の指示に従ってライセンスを更新し、デバイスが AirWatch との接続を維持できるようにします。

l アラートを破棄する – 失効したアラートを閉じて破棄済みアラート一覧に送るには、Xボタンをクリックします。重大な優先度の通知を破棄することはできません。

l 破棄したアラートを表示する – 破棄したアラートを一覧表示するには、｢通知｣ポップアップの上部にある破棄済みタブを選択します。

通知設定を構成する

通知の設定画面を使用して、APNs 失効アラートの有効/無効の切り替え、アラートの受け取り方の選択、アラート送信先の Eメールアドレスの変更ができます。

通知設定を構成するには、以下の手順に従います。

1. コンソールのほぼどの画面でもアクセスできるアカウントボタンをクリックし、アカウント設定を管理を選択し、通知タブを選択します。

また、通知のポップアップ画面の右下に表示されるギアアイコンを選択することで通知設定画面にアクセスすることもできます。


18



2. 通知の設定を行います。

設定説明

APNs 失効

APNs ライセンスの失効時または APNs ライセンスの失効が迫っているときに、アラートをトリガできます。

通知通知の配信方法を選択します。｢コンソール｣、｢Eメール｣、｢両方｣のいずれかを選択します。

Eメールの送信先

｢通知｣で｢Eメール｣または｢両方｣を選択した場合は、Eメールアドレスを入力します。 Eメールアドレスを複数個指定する場合は、コンマで区切ります。

リスト表示のエクスポート

ユーザーリスト表示またはデバイスリスト表示のエクスポートが完了したときに、アラートをトリガできます。

通知通知の配信方法を選択します。｢コンソール｣、｢Eメール｣、｢両方｣のいずれかを選択します。リスト表示エクスポートの場合、使用される Eメールアドレスは、現在ログインしている管理者に対するアカウント設定の｢ユーザー｣タブで指定されている Eメールアドレスです。

ユーザーグループ融合

｢変更を自動融合する｣チェックボックスをオフにしている場合、Active Directory データベースに対する変更内容が AirWatch と同期するときに、アラートをトリガできます。




VPPAppAutoUpdate

Apple VPP (Volume Purchase Program) を使用してインストールされたアプリの更新バージョンがリリースされたときに、アラートをトリガできます。




3. 変更内容を保存またはキャンセルします。


19



｢はじめに｣ウィザード｢はじめに｣ウィザードは、AirWatch コンソールの設定を順を追って確認するチェックリストの役割を果たします。貴社の展開に必要なモジュールのみが含まれていますので、貴社の構成に沿って用意されたチュートリアルとして使用することができます。

｢はじめに｣は、Workspace ONE、モバイルデバイス管理、モバイルコンテンツ管理、モバイルアプリケーション管理という 4つのセクションに分かれています。セクションごとに行う操作は異なります。すべてのセクションに重複するステップがある場合、その内容は自動的に記録され、同じステップを繰り返し行う必要はありません。

l Workspace ONE – 単一のセキュアなアプリカタログで、デスクトップ、BYOD、企業所有のすべてのデバイスの管理、監視、サポートを行います。

l モバイルデバイス管理 (MDM) – デバイスに対する制御レベルを確立し、AirWatch システムにユーザーを追加し、デバイスを加入します。

l モバイルコンテンツ管理 (MCM) – コンテンツの識別、ユーザーの追加、個人コンテンツのセキュア化を行い、コンテンツ管理の仕様を構成します。

l モバイルアプリケーション管理 (MAM) – ユーザーが推奨アプリをインストールする方法を決定し、加入デバイスを識別しパブリックアプリをインストールします。

｢はじめに｣ウィザードを使用する

｢はじめに｣ウィザードには管理者の方による構成をやりやすくする機能が含まれています。構成の進捗をトラッキングするだけではなく、作業を開始/中断/再開したり、以前の応答を確認するために前に戻ったりすることもできます。

l モジュールの最初のステップを開始するにはウィザードを開始をクリックします。質問に答え、AirWatch コンソール内の各機能の設定を構成するためのページにアクセスします。質問に答えていくと、パーセンテージカウンターの数字が増加し、モジュール完了までの進捗状況を表示します。

l モジュールの完了前に中止した場合は、続行をクリックすると中断したステップから再開できます。

l セクションをスキップを選択し、任意のモジュールをスキップすることもできます。この選択をすると、｢続行｣ボタンが一時的に無効になり、セクションを再開リンクが挿入されます。このリンクをもう一度選択すると｢続行｣ボタンが有効になります。

l 完了したモジュールのセクションを確認を選択して、いつでもそのモジュールにおける設定を確認することができます。

l モジュールのサブステップが完了するごとに、小さなチェックマークがヘッダに表示されます。上部の緑のステータスバーにも進捗状況が反映されます。

l 回答済みの質問や前の画面に戻るには、戻るボタンを選択します。


20



｢はじめに｣ウィザードを有効にする

AirWatch を新規導入した場合は、コンソール画面の左側のメインメニューのハブアイコン上部から｢はじめに｣画面にアクセスできます。あるいは、｢はじめに｣ウィザードを手動で有効化していつでも再開することができます。この場合は、ウォークスルーをはじめから開始します。

以下の手順に従って｢はじめに｣ウィザードを手動で有効にします。

1. 最上位のグループ以外の任意の組織グループを選択します。

2. グループと設定 >グループ >組織グループ >組織グループ詳細と進みます。カスタマーレベルの組織グループに対して操作を行っていることを確認し、変更を保存します。

3. 次にグループと設定 >すべての設定 >システム >はじめにと進みます。

4. この画面の各項目を有効にします。

a. はじめに – デバイスの状態

b. はじめに – コンテンツの状態

c. はじめに – アプリケーションの状態

5. 保存をクリックします。

詳細は、83 ページの組織グループ概要を参照してください。


21



第3章:環境設定環境設定の概要 23AirWatch コンソールにログインする 23APNs証明書 23プライバシーとデータ収集 25利用規約 31コンソールブランディング 34制限されたコンソール操作 35統合可能なその他のエンタープライズシステム 39

22



環境設定の概要環境 URL とログイン資格情報を指定すること、プラットフォーム管理用の証明書を生成すること、テレコム設定とプライバシー設定を構成すること、コンソールをカスタマイズすることなどができます。

AirWatch コンソールにログインするAirWatch コンソールにログインする前に、環境 URLとログイン資格情報が必要です。お客様の展開タイプによりこれらの情報ソースは様々です。

l SaaS 展開 – 貴社のアカウントマネージャが、貴社の環境 URL とユーザー名/パスワードを提供します。 URL はカスタマイズできず、通常は awmdm.comの形式です。

l オンプレミス – オンプレミス展開の URL はカスタマイズ可能で、通常 awmdm.<貴社会社名>.comの形式です。

貴社担当のアカウントマネージャが貴社環境の初期設定に必要な資格情報を提供します。追加アカウントを作成し管理責任を委譲することができる管理者が、環境内の資格情報を作成し配布する場合もあります。詳細は、｢管理者アカウントを作成する｣を参照してください。

ブラウザが AirWatch コンソールの環境 URLを正常に読み込むと、貴社の AirWatch 管理者から提供されたユーザー名とパスワードを入力するだけで、ログインすることができます。

APNs 証明書iOS デバイスを管理するには、まず、Apple プッシュ通知サービス (APNs) 証明書を取得する必要があります。 APNs 証明書を取得した場合、AirWatch と Apple デバイスの間でセキュアな通信が行われ、また、Apple デバイスから AirWatch に情報がレポートされます。

Apple Developer Enterprise Program では、APNs 証明書の有効期間は 1年間です。その後も継続使用する場合は、更新手続きを行う必要があります。有効期限が近づくと、AirWatch コンソールからリマインダが送信されます。 Apple Developer ポータルで証明書を更新すると、現在の証明書は失効します。これにより、新しい証明書をアップロードするまでデバイスを管理できなくなります。証明書が更新されたらすぐにアップロードできるように計画してください。また、本番環境とテスト環境を別々に構築している場合、環境ごとに別々の証明書を使用することを検討してください。

第 3 章: 環境設定

23



詳細は、｢Generating and Renewing an APNs Certificate for AirWatch｣ (ナレッジベース資料: https://support.air-watch.com/articles/115001662728) を参照してください。

APNs 証明書の有効期限

貴社の MDM用の APNs 証明書の有効期限が迫っている際には、コンソールのヘッダーバーの通知ボタンでお知らせします。このように通知が届くことによって、ユーザーは適切に対処することができます。

詳細は、16 ページの AirWatch コンソールの通知を参照してください。

APNs 証明書を生成する

貴社の iOS デバイスと AirWatch の間の通信をセキュアに保つには、APNs 証明書を生成し、定期的に更新する必要があります。 APNs 証明書を送信するには、次の 2つの方法のいずれかを使用します。

1. 20 ページの｢はじめに｣ウィザードに記載されている手順に従います。

または

2. 次の手順を実行し、APNs 証明書を手動で生成します。

a. グループと設定 >すべての設定 >デバイスとユーザー > Apple > MDM用の APNsと進みます。

b. 有効期限終了日を過ぎている場合は更新ボタンをクリックし、表示される指示に従います。説明リンクには、Apple Push Certificates Portal から証明書の要求をアップロードする方法が説明されています。この画面には Apple のサイトを開くボタンがあり、クリックすると、Apple PushCertificates Portal をブラウザの新しいタブで開きます。以下の 2つのアイテムが必要になります。


24



https://support.air-watch.com/articles/115001662728

i. AirWatch 証明書要求。これはデバイスに保存できる PLIST フォーマットのファイルです。

ii. この証明書を作成した際に使用した Apple ID。

c. 次へをクリックして次の画面に進みます。Apple ID を入力し、Apple 社発行の AirWatch MDM証明書 (PEM ファイル)をアップロードします。

d. 保存を選択します。

プライバシーとデータ収集エンドユーザーが AirWatch に加入すると、どのようなデータがどのように収集され保管されるのか、エンドユーザーに周知徹底することはとても大切です。 AirWatch コンソールでは、貴社がユーザーに関するどのようなデータを加入デバイスから収集するのかを通知するために、プライバシー通知をカスタマイズできます。

貴社の法務部の協力を得て、データ収集に関してどのようなメッセージをエンドユーザーに通知するのかを判断してください。

BYOD エンドユーザーに対するプライバシー通知

プライバシー通知は、デバイスタイプ、展開タイプや所有形態タイプに応じて、デバイスからどのようなデータが収集されるのかを貴社のエンドユーザーに通知するためのものです。

プライバシー通知の構成

プライバシー通知の内容は、接続するデバイスの組織グループとデバイス所有形態に基づき、自動的に配布されます。従業員所有、企業 – 専用、企業 – 共有、不明のそれぞれの所有形態タイプに対してプライバシー通知を表示するかどうかを選択します。

通知を受信する所有形態タイプを割り当てる前に、プライバシー通知を作成しておく必要があります。詳細は、｢VMware AirWatch BYOD & Privacy ガイド｣の｢プライバシー通知を作成する｣を参照してください。この文書は AirWatch Resources で入手できます。

プライバシー通知の展開

プライバシー通知を受信するよう所有形態タイプを割り当てると、その所有形態タイプに属するすべてのユーザーに、Web クリップの形式でプライバシー通知が即時に送信されます。プライバシー通知参照値PrivacyNotificationUrl がメッセージテンプレートに挿入されている場合、プライバシー通知を閲覧できるURL がメッセージに挿入されます。

以下の項目にあてはまるユーザーには自動でプライバシー通知が送信されます。

l 新規ユーザーが新しいデバイスを加入し、デバイスの所有形態のプライバシー通知機能が有効に設定されている場合。


25



l 新規ユーザーは加入済みのデバイスを現在使用しているが、加入後、デバイスの所有形態タイプが変わり、そのタイプにWeb クリップが割り当てられている場合。

デバイスアクティブ化プロセスの中でプライバシー通知を展開する方法については、｢デバイスを個別に登録する｣を参照してください。

BYOD ユーザーに対するプライバシー通知を作成する

プライバシー通知をカスタマイズし、貴社が加入デバイスからどのようなデータを収集するのかユーザーに通知します。貴社の法務部の協力を得て、データ収集に関してどのようなメッセージをエンドユーザーに通知するのかを判断してください。

1. グループと設定 >すべての設定 >デバイスとユーザー >全般 >メッセージテンプレートと進みます。

2. 追加をクリックして新しいテンプレートを作成します。すでに作成したプライバシー通知テンプレートがある場合は、利用可能なテンプレートリストから選択し、使用/編集します。

3. メッセージテンプレートを追加/編集設定に入力します。

設定説明

名前通知テンプレートの名前を入力します。

説明作成するテンプレートの説明を入力します。

カテゴリ加入を選択します。

タイプ MDMデバイスアクティブ化を選択します。

言語を選択テンプレートの既定言語を選択します。その他の既定言語を追加するには追加ボタンを使用します。

既定このテンプレートを既定のメッセージテンプレートにするには、このボックスにチェックを入れます。

メッセージタイプ

Eメール、SMS、プッシュからメッセージタイプを 1つ以上選択します。

4. 通知コンテンツを作成します。上記のメッセージタイプで選択したメッセージタイプにより、構成の際に表示されるメッセージが決まります。

要素説明

E メール

E メールのコンテンツの形式

E メール通知の形式をプレーンテキストと HTMLから選択します。


26



要素説明

タイトル Eメール通知のタイトルを入力します。

メッセージ本文

ユーザーに

送信する Eメールメッセージを入力します。この入力欄に表示される編集/フォーマット用のツールは、Eメールのコンテンツの形式で選択された項目により異なります。

ビジュアルプライバシー通知を有効にしている場合は、メッセージ本文に参照値PrivacyNotificationUrl を含めてください。

SMS


ユーザーに送信する Eメールメッセージを入力します。


プッシュ


ユーザーに送信するプッシュ通知を入力します。


5. 保存を選択します。

プライバシー設定

プライバシー設定では、デバイス情報とユーザー情報が AirWatch コンソール内でどのように扱われるかを指定できます。これらの情報は、個人デバイスの業務利用 (BYOD) 展開において役立ちます。

l デバイス所有形態別にプライバシーポリシーを確認し調整し、他国のデータプライバシー法や法的に定められた規制を遵守する

l IT による抑制と均衡の仕組みを取り入れ、サーバとシステムのオーバーロードを確実に防ぐ

重要:どのような情報をエンドユーザーから収集できるのかについては、地域により法規制内容が異なります。 27 ページのプライバシー設定の構成の手順を実行する前に、法規制を十分に調査してください。

プライバシー設定の構成

企業にとってもユーザーにとっても、エンドユーザーのプライバシー保護は重要な課題です。 AirWatchは、どのようなデータをユーザーに関して収集し、収集されたデータのどこまでを管理者が閲覧できるのかについて、細分化された制御機能を提供します。


27



貴社のユーザーと貴社のビジネスニーズの双方にとって最適なプライバシー設定を構成してください。

1. デバイス >デバイス設定 >デバイスとユーザー >全般 >プライバシーと進みます。

2. GPS、テレコム、アプリケーション、プロファイルデータ収集に関して適切な設定を選択してください。

収集して表示 – ユーザーデータが収集され、AirWatch コンソールに表示されます。

収集するが表示しない – ユーザーデータはレポート用として収集されますが、AirWatch コンソールには表示されません。

収集しない – ユーザーデータは収集されないので、AirWatch コンソールに表示されません。

3. デバイスに実行可能なコマンドに対し、以下のオプションのいずれかを選択します。

許可 – ユーザーの同意を必要とすることなく、デバイス上でコマンドが実行されます。

ユーザー同意で許可 – ユーザーが同意した場合に限り、デバイス上でコマンドが実行されます。

許可しない – デバイス上でコマンドは実行されません。

従業員所有のデバイスに関しては、すべてのリモートコマンド、特にフルワイプコマンドを無効化することをお勧めします。これにより、エンドユーザーの個人コンテンツを不注意で削除、またはワイプしてしまうといったケースを防止します。

注:特定の iOS デバイス所有形態に対してフルワイプ機能を無効化した場合、対象となるデバイスの加入時に、｢すべてのコンテンツと設定の消去を許可｣権限は表示されません。

Android/Windows 耐久性デバイスで、リモート操作、ファイルマネージャあるいはレジストリマネージャへのアクセスを許可する場合は、ユーザー同意で許可オプションを使用することをお勧めします。これにより、アクションが実行される前にプロンプトメッセージが表示され、エンドユーザーによるデバイス上の管理者アクセスへの同意が必要になります。いずれかのコマンドの使用を許可するのであれば、その旨利用規約に明記しておくことをお勧めします。

4. ユーザー情報に関しては、AirWatch コンソール上に名、姓、電話番号、Eメールアカウント、ユーザー名の各データを表示するか表示しないかを選択します。

ユーザー名以外のオプションを表示しないに設定すると、AirWatch コンソールで表示される箇所はすべて｢プライベート｣と表示されます。表示しないに設定されたオプションはコンソールで検索できません。ユーザー名を表示しないに設定すると、ユーザー名は、デバイスリスト表示とデバイス詳細画面上でのみ｢プライベート｣と表示されます。それ以外の AirWatch コンソール画面では、加入ユーザーのユーザー名が表示されます。


28



必要に応じて、個人を特定できる情報 (氏名、Eメールアドレス、電話番号等)を暗号化することができます。暗号化したいグローバルまたはカスタマーレベルの組織グループから、グループと設定 >すべての設定 >システム >セキュリティ >データセキュリティと進みます。暗号化を有効にするには、暗号化したいユーザーデータを選択し、保存をクリックします。この操作を行うことで、AirWatchコンソールの検索、並べ替え、フィルタ等いくつかの機能が制限されます。

5. デバイスの妨害しないモードを有効にするか無効にするか選択します。この設定により、ユーザーは、指定された期間、MDMコマンドを無視することができます。｢有効｣を選択した場合、妨害しないモードが有効である期間を分単位、時間単位、または日単位で指定できます。この期間を過ぎると無効になります。

｢妨害しない｣モードに関する詳細は、以下の VMware AirWatch ナレッジベース資料(https://support.air-watch.com/articles/115001662448) を参照してください。

6. デバイスのユーザーフレンドリなプライバシー通知を有効にするか無効にするか選択します。

l 有効にすると、従業員所有、企業 – 専用、企業 – 共有、不明のそれぞれの所有形態タイプに応じて、はいを選択してプライバシー通知を表示するか、またはいいえを選択して表示しないかを選択することができます。

7. 保存をクリックします。変更を保存するには暗証番号を入力する必要があります。保存をクリックします。

BYOD ソリューション活用の詳細は、｢VMware AirWatch BYOD & Privacy ガイド｣を参照してください。このガイドの入手方法については、267 ページの他の文書を入手するを参照してください。

プライバシーベストプラクティス

貴社のビジネスニーズと社員のプライバシー保護の間の最適なバランスを保つことは簡単なことではありません。プライバシー設定を管理して最適なバランスを保つための、シンプルなベストプラクティスがいくつかあります。

重要:展開形態は企業によって異なります。そのため、貴社の法務、人事および総務部とご相談の上、貴社にとってどのような設定が最適か判断されることをお勧めします。

ユーザー情報のプライバシーのためのベストプラクティス

一般に、名、姓、電話番号、Eメールアドレスなどのユーザー情報は、従業員所有デバイスと企業所有デバイスのどちらに対しても表示します。

アプリケーション情報のプライバシーのためのベストプラクティス

一般に、従業員所有デバイスに関しては、アプリケーション情報を収集しないまたは収集するが表示しないのいずれかにするのが適切です。この設定が重要なのは、デバイス上にインストールされたパブリック


29




アプリが閲覧された場合、個人を特定できる情報が含まれている可能性があるためです。企業所有デバイスに関しては、AirWatch はデバイスにインストールされたすべてのアプリを記録します。

｢収集しない｣を選択した場合、収集されないのは個人アプリケーションの情報のみです。 AirWatch では、パブリックアプリ、内部アプリ、購入されたアプリなど種類の別を問わず、すべての管理対象アプリの情報が収集されます。

リモートコマンドのプライバシーのためのベストプラクティス

従業員所有のデバイスに関しては、すべてのリモートコマンドを無効化することをお勧めします。リモート操作またはリモートコマンドを許可する場合は、これらのリモート操作およびリモートコマンドを利用規約に明記してください。

GPS 座標のプライバシーのためのベストプラクティス

一般に、従業員所有のデバイスから GPSデータを収集するのは適切ではありません。以下の説明は企業専用デバイスを対象としています。

l GPS データ –収集される情報には、位置情報とそれが AirWatch に送信された時刻のタイムスタンプが含まれます。

o iOS デバイスの場合、いずれかの AirWatch アプリケーションを開くか、または AirWatch SDK でGPS データを収集するように設定された内部アプリケーションを開いたとき、GPSデータは自動的に報告されます。

GPSデータが報告されると、AirWatch ではその位置の周囲 1 kmの範囲が特定されます。そしてデバイスがこの範囲外に出るか、またはユーザーが AirWatch アプリまたは内部アプリを起動すると、位置情報を報告します。上記のいずれかが起こらない限り、GPSデータが新たに報告されることはありません。

o 位置情報サービスが iOS デバイス上で有効化されている必要があります。 AirWatch は、この設定を強制できません。

l GPS データは通常デバイスの紛失時/盗難時に使用されますが、それ以外にも、デバイスの所在地を把握しておくことが有益な場合に利用することができます。

テレコムデータプライバシーのベストプラクティス

従業員所有デバイスからテレコムデータを収集することが適切なのは、そのデバイスが社内の携帯電話経費補助プログラムの対象となっている場合だけです。以下は、そのような場合と、企業所有デバイスを念頭におき、収集可能なデータについて説明しています。

l キャリア/国コード – キャリアと国コードの記録は、テレコムトラッキングの際に使用されることがあります。テレコムプランを設定することもでき、デバイスを、キャリアと国コードに応じて適切なプランに割り当てることもできます。この情報はホームキャリアと国によって、または現時点でのキャリアと国によって、デバイスを追跡するために使用されることがあります。


30



l ローミング状態 – この状態は、どのデバイスがローミング中かをトラッキングするために使用することができます。順守ポリシーを作成し、ローミング状態のデバイスの音声通話やデータ通信を無効にしたり、他の順守アクションを施行したりすることができます。さらに、デバイスにテレコムプランが割り当てられている場合は、ローミング中のデータ通信使用量を AirWatch に追跡させることができます。ローミング状態に関するデータを収集しモニタリングすることは、ローミングによるキャリアからの請求額を抑えるのに役立ちます。

l セルラーデータ使用量 – 送受信された総バイト数で表されるデータ使用量です。このデータはセルラーデバイスのそれぞれから収集することができます。デバイスがテレコムプランに割り当てられている場合は、各請求サイクルにおける、許容データ使用総量に対するデータ使用量の割合を表示し、モニタリングすることができます。この機能を、使用データの割合 (%)に基づいて順守ポリシーを作成したり、キャリアからの請求額を抑えるために活用したりすることができます。

l セルラー使用量 – セルラー使用量とは、各セルラーデバイスから収集される音声通話時間 (分)データを指します。データ使用量の場合と同様、デバイスがテレコムプランに割り当てられている場合は、各請求サイクルにおける、許容時間 (分)に対する割合で音声通話使用量を表示し、モニタリングすることができます。これにより、使用された通話時間数の割合 (%)に基づいて順守ポリシーを設定することが可能になります。これはキャリアからの多額の使用量超過請求を防ぐためにも有効です。

l SMS 使用量 – SMS使用量とは各セルラーデバイスから収集される SMSデータを指します。データ使用量の場合と同様、デバイスがテレコムプランに割り当てられている場合は、各請求サイクルにおける許容された総メッセージ数に対する割合 (%)で SMS使用量を表示し、モニタリングすることができます。そうすることにより、メッセージ使用量の割合 (%)に基づいた順守ポリシーを設定することが可能になります。 SMS使用量をモニタリングすることは、キャリアからの多額の使用量超過請求を防ぐためにも有効です。

利用規約管理デバイスを使用するすべてのユーザーが、確実にポリシーに同意するよう利用規約を定義し、適用します。加入を開始したり、アプリをインストールしたり、あるいは AirWatch コンソールにアクセスしたりする前に、ユーザーは利用規約に同意する必要があります。利用規約の項目は、AirWatch コンソールで完全にカスタマイズすることができ、それぞれの組織グループとサブ組織グループに独自の利用規約を割り当てることもできます。

利用規約は、各デバイスの加入時に表示されます。以下のような機能があります。

l バージョン番号を設定する

l 利用規約を受け取るプラットフォームを設定する

l 利用規約更新時にはユーザーに Eメールで通知する

l 言語別の利用規約を作成する


31



l 複数の利用規約同意書を作成し、所有形態タイプまたはプラットフォームに基づき組織グループに割り当てる

l グループごとの特別な責任要件を満たすよう、利用規約をカスタマイズする

加入利用規約の作成

加入目的に合わせた利用規約同意書を作成できます。また、加入を許可するデバイスを、プラットフォーム、所有形態タイプ、および加入タイプに基づいて制限できます。

1. 現在構成中のアクティブな組織グループが、作成しようとしている利用規約に対して正しい組織グループであることを確認します。

2. デバイス >デバイス設定 >デバイスとユーザー >全般 >加入と進み、利用規約タブを選択します。

3. 新しい加入利用規約を追加を選択します。

4. 新しい利用規約の一意の名前を入力します。利用規約のタイプには｢加入｣と事前入力されています。

5. プラットフォーム、デバイス所有形態、加入タイプの各カテゴリにおいて、利用規約をそのカテゴリにおけるすべてのデバイスに適用する場合は、任意を選択します。

6. 利用規約の適用対象となるデバイスタイプを限定したい場合は、当該カテゴリを選択し、デバイスタイプを選択します。

l 選択したプラットフォームオプションを選択すると、希望するプラットフォームを選択できるようにリストが表示されます。選択したデバイスプラットフォームにのみ、利用規約が適用されます。

l 選択した所有形態タイプオプションを選択すると、希望する所有形態タイプを選択できるようにリストが表示されます。選択した所有形態タイプにのみ、利用規約が適用されます。

l 選択した加入タイプオプションを選択すると、希望する加入タイプを選択できるようにリストが表示されます。選択した加入タイプにのみ、利用規約が適用されます。

7. 利用規約の更新時にユーザーに Eメールを送信するには、通知欄にチェックを入れます。

a. (任意)必要に応じて言語の選択ドロップダウンメニューで言語を選択し、各言語に対応した利用規約を入力することもできます。

8. 表示されるテキストボックスに、カスタマイズした利用規約を入力します。

この画面では、基本的なテキスト形式で新しい利用規約を作成したり、既存の利用規約をペーストしたりすることができます。外部コンテンツのテキストをペーストするには、テキストに HTML やフォーマットエラーが含まれないように、テキスト入力欄を右クリックし、プレーンテキストとしてペーストするを選択してください。



32



MDM利用規約の承認順守ポリシーを作成し、MDM利用規約への同意を必須にすることができます。これは AirWatch Container を使用するデバイスには適用されません。

アプリケーションまたはコンソール利用規約を作成する

アプリケーションに基づく利用規約を作成して、特定のアプリケーションがデータを収集したり制限を課す場合に、エンドユーザーに通知することもできます。

ユーザーがこれらのアプリケーションを貴社のエンタープライズ App Catalog から実行する時、アプリケーションにアクセスするために同意を承諾する必要があります。アプリケーション利用規約のバージョンを設定すること、言語別の利用規約を作成すること、および、利用規約への同意がない場合にアプリケーションを削除することができます。

コンソール利用規約は、管理者が AirWatch コンソールに初めてログインする際に表示されます。AirWatch コンソールに対して、利用規約のバージョン番号を設定することや、言語別の利用規約文書を作成することができます。

アプリケーションに関しては、アプリケーションを追加したり、編集したりするときに、利用規約タブを使用して利用規約を割り当てます。

1. グループと設定 >すべての設定 >システム >利用規約と進みます。

2. 利用規約を追加をクリックします。

3. 利用規約の名前を入力し、タイプでコンソールまたはアプリケーションを選択します。

4. 選択したタイプに応じて、バージョン番号や猶予期間等を構成します。

5. 表示されるテキストボックスに、利用規約を入力します。この画面では、基本的なテキスト形式で新しい利用規約を作成したり、既存の利用規約をペーストしたりすることができます。外部コンテンツのテキストをペーストするには、テキストに HTML やフォーマットエラーが含まれないように、テキスト入力欄を右クリックし、プレーンテキストとしてペーストするを選択してください。


利用規約同意を閲覧する

順守ポリシーを設定して、利用規約の同意を強制する他に、概要ページを閲覧して誰が同意を承諾したか、あるいはまだ承諾していないかを把握することもできます。そして必要に応じて本人に直接連絡することができます。

1. グループと設定 >すべての設定 >システム >利用規約と進みます。

2. タイプドロップダウンメニューを使用し、規約タイプに基づいて (例: 加入)リストを抽出します。ユーザー/デバイスカラムは、デバイスが利用規約を承諾済み/未承諾/割り当て済みかどうかを表示します。


33



3. 利用規約の行のデバイスカラムから該当する数字を選択し、同意に関連するデバイス情報を閲覧します。オプションで、その行のドロップダウンメニューにアクセスし、以下をクリックして確認します。

l デバイスまたはユーザーを閲覧 – デバイスと利用規約の承諾状況に関するすべてのデータを一覧で表示します。組織グループごとに抽出することもできます。

l 旧バージョンを表示 – 同意書の旧バージョンを表示します。

l 利用規約を閲覧 – 利用規約同意書を閲覧します。

レポート機能を利用して利用規約同意を追跡する

それぞれの利用規約のユーザー同意状況を追跡し、必要に応じて対応措置を取ることができます。

特定の組織グループの詳細情報、コンソールの承諾状況やデバイス加入の承諾状況を閲覧することもできます。利用規約の同意状況は、AirWatch コンソールから直接閲覧することができます。また、レポートをPDF、CSV あるいは Excel 形式でエクスポートすることもできます。

1. ハブ >レポート &分析 >レポート >リスト表示と進みます。

2. 利用規約承諾詳細レポートを探し、タイトルを選択してレポートを生成します。

3. 組織グループを選択します。

4. 利用規約タイプを選択します。

5. レポート形式を選択します。

6. ダウンロードをクリックし、選択した形式でレポートを保存します。

7. PDF でプレビューすることもできます。

重要: AirWatch は、法的文書の文例を提供することは行っていません。提供されるいかなるサンプルテキストも、貴社または貴社のリーガルチームで確認するようにしてください。

コンソールブランディングAirWatch コンソールには、広範囲にわたるカスタマイズオプションがあります。 AirWatch ツールとリソースの様々な側面を、貴社のブランドカラー、ロゴを含む全体的なデザインに沿って完全にブランディングする手段を提供します。

このブランディング機能は、マルチテナント対応構成が可能です。貴社組織の部門間でブランドデザインが異なる場合は、それぞれの組織グループレベルでブランディングを個別に行うことができます。

詳細は、83 ページの組織グループ概要を参照してください。


34



コンソールブランディングを構成する

コンソールをカスタマイズし、貴社のブランドカラー、ロゴを含む全体的なデザインを適用します。

1. ブランディングしたい組織グループを選択し、グループと設定 >すべての設定 >システム >ブランディングと進みます。

2. ブランディングタブを構成します。

l 企業ロゴをアップロードするには、貴社のコンピュータ上に保存されているファイルをアップロードします。アップロードする画像の推奨解像度は 800x300 です。

l ログインページの背景画像をアップロードするには、貴社のコンピュータ上に保存されているファイルをアップロードします。アップロードする画像の推奨解像度は 1024x768 です。

l セルフサービスポータルログインページの背景画像をアップロードするには、貴社のコンピュータ上に保存されているファイルをアップロードします。アップロードする画像の推奨解像度は1024x768 です。

3. ブランディングタブページの色セクションの値をカスタマイズします。

4. カスタム CSSタブページの設定を構成します。

l 高度なブランディングを行うには、カスタマイズした CSSコードを入力します。


制限されたコンソール操作AirWatch コンソールを開いたまま管理者が席を外すような場合に備え、AirWatch は、破壊的な影響を及ぼす可能性がある操作を悪意あるユーザーからブロックする、追加の保護機能を提供しています。承認されていないユーザーは、このような操作にアクセスできないようにします。グループと設定 >すべての設定 >システム >セキュリティ >制限された操作と進みます。

｢すべてにメッセージを送信する｣を有効にする

この設定を有効にすると、システム管理者は貴社で展開するすべてのデバイスに、デバイスリスト表示からメッセージを送信することができます。


35



詳細は、220 ページのデバイスリスト表示を参照してください。

パスワード保護操作を選択する

コンソールの制限された操作は、破壊的な影響を及ぼす可能性がある操作を悪意あるユーザーからブロックするための保護を提供します。グループと設定 >すべての設定 >システム >セキュリティ >制限された操作と進み、制限された操作の設定を構成します。

特定の操作に対して管理者の暗証番号の入力を必須にすることができます。保護したい操作ごとに、必要に応じて有効または無効に対してパスワード保護処理ボタンを選択します。この機能により、保護を強化したい操作をきめ細かく制御することができます。

注:一部の操作には常に暗証番号の入力が必要で、無効に設定することはできません。以下では *マークが付いています。

試行失敗回数の上限を設定して、試行回数が上限を超えた場合はセッションを強制的にログアウトさせることができます。試行回数が上限を超えた場合は、AirWatch コンソールに再度ログインし、新しいセキュリティ暗証番号を設定する必要があります。

設定説明

管理者アカウント削除

アカウント >管理者 >リスト表示画面での、管理者ユーザーアカウントを削除する試みを防止します。

*VMwareEnterpriseSystemsConnector証明書を再生成

グループと設定 > すべての設定 >システム > エンタープライズ統合 > VMwareEnterprise Systems Connectorで、VMware Enterprise Systems Connector 証明書を再生成できないようにします。

*APNs 証明書変更

グループと設定 >すべての設定 >デバイスとユーザー > Apple > MDM用の APNs画面の MDM用の APNs を無効化する試みを防止します。


36



設定説明

アプリケーションを削除する/非アクティブにする/回収する

アプリとブック >アプリケーション >リスト表示画面でのアプリケーションの削除/非アクティブ化/回収の試みを防止します。

コンテンツ削除/非アクティブにする

コンテンツ >リスト表示画面のコンテンツファイルを削除/非アクティブ化する試みを防止します。

*データ暗号化トグル

グループと設定 >すべての設定 >システム >セキュリティ >データセキュリティ画面のユーザー情報暗号化の設定を保護します。

デバイス削除

デバイス >リスト表示画面でのデバイス削除の試みを防止します。この設定を無効にしても、一括操作には管理者のセキュリティ暗証番号が求められます。

*デバイスワイプ

デバイスリスト表示あるいはデバイス詳細画面での、デバイスワイプ実行のすべて試みを防止します。

企業情報リセット

Windows 耐久性デバイス、耐久性 Android デバイス、あるいは QNX デバイスのデバイス詳細画面からデバイスの企業情報をリセットしようとするすべての試みを防止します。

企業情報ワイプ

デバイスのデバイス詳細画面から行われる、企業情報ワイプのすべての試みを防止します。

ユーザーグループメンバーシップに基づく企業情報ワイプ

ユーザーグループから削除されたデバイスに対する企業情報ワイプの試みをすべて防止します。これは、グループと設定 >すべての設定 >デバイスとユーザー >全般 >加入と進み、制限事項タブで構成できるオプション設定です。このタブで加入を構成済みのグループのみに制限した場合、デバイスがグループから削除された際の、デバイス企業情報ワイプに関する追加オプションが利用できるようになります。詳細は、145 ページの加入制限設定を構成するを参照してください。

*組織グループの削除

グループと設定 >グループ >組織グループ >組織グループ詳細画面での、現在の組織グループを削除しようとする試みをすべて防止します。

プロファイル削除/非アクティブにする

デバイス >プロファイルとリソース >プロファイル画面でのプロファイル削除または非アクティブ化のすべての試みを防止します。


37



設定説明

プロビジョニングプロダクト削除

デバイス >代理セットアップとプロビジョニング >プロダクトリスト表示画面でのプロビジョニングプロダクトを削除しようとするすべての試みを防止します。

証明書取り消し

デバイス >証明書 >リスト表示画面での証明書を取り消そうとするすべての試みを防止します。

*セキュアチャンネル証明書クリア

グループと設定 >すべての設定 >システム >高度な設定 >セキュアチャンネル証明書画面で行われる既存のセキュアチャンネル証明書を削除しようとするすべての試みを防止します。

ユーザーアカウント削除

アカウント >ユーザー >リスト表示画面でのユーザーアカウントを削除しようとするすべての試みを防止します。

テレコムプラン削除

テレコム >プランリスト画面のテレコムプランの削除を防止します。

ジョブログレベル上書き

グループと設定 >管理者 >診断 >ログ収集画面で行われる、現在選択中のジョブログレベルを上書きしようとする試みを防止します。ジョブログレベルの上書きは、1台のデバイスや複数のデバイスのグループに問題が発生したときに有益な機能です。問題のあるデバイスの設定を、たとえば｢詳細｣ログレベルなどに強制的に引き上げ、コンソールのアクティビティを最大レベルでログ収集することができるので、トラブルシューティングの際に役立ちます。

*アプリスキャンベンダーリセット/トグル

アプリスキャン統合設定のリセット (ひいてはそれに伴うワイプ)を防止します。この操作はグループと設定 >すべての設定 >アプリ >アプリスキャンと進んだ画面で行います。

暗証番号の試行回数上限

暗証番号入力を試行する際の失敗の上限回数を指定します。この回数を超えるとコンソールがロックダウンされます。 1～ 5 の間で設定する必要があります。

操作を行う際にメモの入力を義務付ける

さらに、メモの入力を要求するチェックボックスを使用して、管理者にメモを入力させ、操作を実行する理由の説明を義務付けることができます。グループと設定 >すべての設定 >システム >セキュリティ >制限された操作と進みます。


38



設定説明

デバイスロック

デバイスリスト表示やデバイス詳細画面から、デバイスのロックを行う際に、メモの入力を必須にします。

SSO ロックデバイスリスト表示やデバイス詳細画面から SSOセッションのロックを行う際に、メモの入力を必須にします。

デバイスワイプ

デバイスリスト表示やデバイス詳細画面からデバイスワイプを実行する際に、メモの入力を必須にします。

企業情報リセット

Windows 耐久性デバイスあるいは耐久性 Android デバイスのデバイス詳細画面から、企業情報のリセットを実行する際に、メモの入力を必須にします。


デバイスのデバイス詳細画面から企業情報ワイプを実行する際に、メモの入力を必須にします。

ジョブログレベル上書き

グループと設定 >管理者 >診断 >ログ収集画面で行われる、既定ジョブログレベルの上書きの前にメモの入力を必須にします。

統合可能なその他のエンタープライズシステムSMTP を使用した Eメール管理、ディレクトリサービス、コンテンツ管理リポジトリのような既存の企業インフラと、貴社 AirWatch 環境を統合することで、より高度な MDM機能を活用することができます。

AirWatch は、以下のような内部の構成要素と統合することができます。

l Eメールリレー (SMTP) – モバイル Eメールにセキュリティ、可視性、コントロールを提供します。

l ディレクトリサービス (LDAP/AD) – 既存の企業グループを活用しユーザーとデバイスを管理します。

l Microsoft 証明書サービス – AirWatch 展開に既存の Microsoft 証明書インフラを活用します。

l SCEP PKI – Wi-Fi、VPN、Microsoft EAS 等に証明書を構成します。

l Eメール管理 Exchange 2010 (PowerShell) – AirWatch を企業 Eメールサーバとセキュアに接続しポリシーを適用します。

l BlackBerry エンタープライズサーバ (BES) – 効率的な BlackBerry 管理のため、BESと統合します。

l サードパーティ証明書サービス – AirWatch 管理者コンソールに管理したい証明書管理システムをインポートします。

l Lotus Domino Web サービス (HTTPS) – 貴社の AirWatch 展開を通して Lotus Domino コンテンツと機能にアクセスします。


39



l コンテンツリポジトリ – SharePoint、Google ドライブ、SkyDrive、ファイルサーバやネットワークシェアと統合します。

l Syslog (イベントログデータ) – 統合されたすべてのサーバとシステムで閲覧したいイベントログデータをエクスポートします。

l 企業ネットワーク – Wi-Fi と VPN 設定を構成し、アクセスのためのユーザー資格情報に関連するデバイスプロファイルをプロビジョンします。

l システム情報とイベント管理 (SIEM) – デバイスとコンソールデータを記録/コンパイルし、セキュリティ確保と規制/企業ポリシー順守を確実に行います。

AirWatch とこれらのインフラストラクチャを統合する方法の詳細は、VMware Enterprise SystemsConnector Guide (https://www.vmware.com/support/pubs/workspaceone-pubs.html から入手できます)、｢VMware Tunnel Admin Guide｣、および｢Reports & Analytics Guide｣の｢Syslog｣を参照してください。これらの文書の入手方法については、267 ページの他の文書を入手するを参照してください。


40



第4章:ユーザーと管理者アカウントユーザーと管理者アカウント概要 42ユーザー認証タイプ 42ベーシックユーザーアカウント 49ディレクトリベースのユーザーアカウント 53ユーザーアカウントリスト表示の概要 57バッチインポート機能 60管理者アカウント 63

41



ユーザーと管理者アカウント概要AirWatch は、各デバイスを使用するユーザーを追跡することでデバイスを管理します。そのため、ユーザーアカウントを作成し、AirWatch に加入するデバイスと統合することが必要です。同様に、管理者アカウントを作成し、ユーザーとデバイスの管理がやりやすくなるように割り当てる必要があります。

AirWatch コンソールでは、ユーザーと管理者のインフラストラクチャを構築することができます。認証、エンタープライズ統合、継続的なメンテナンスを構成するさまざまなオプションを提供します。

ユーザー認証タイプデバイスを加入させるには、事前に、各デバイスユーザーに AirWatch の正規ユーザーアカウントを割り当てる必要があります。また、貴社のニーズに基づいて、ユーザー認証タイプを選択します。

ベーシックユーザー認証

ベーシック認証を使用して AirWatch アーキテクチャのユーザーを特定することができますが、この方法では、既存の企業ユーザーアカウントとの統合はできません。

長所

l どの展開方法でも使用できる

l テクニカル統合が不要

l 企業インフラが不要

短所

l 資格情報は AirWatch 内のみに存在し、既存の企業資格情報と必ずしも合致しない

l セキュリティの連携がなく、シングルサインオンが利用できない

l すべてのユーザー名とパスワードは AirWatch に保存される

第 4 章: ユーザーと管理者アカウント

42



1. コンソールユーザーは、ローカル AirWatch アカウントを使用して AirWatch SaaS にログインし、認証 (ベーシック認証)を受けます。

l 資格情報は送信中は暗号化されます。

l (例: ユーザー名: [email protected]、パスワード: abcd)

2. デバイスユーザーはローカル AirWatch アカウント (ベーシック認証)資格情報を使用してデバイスの加入を行います。

l 資格情報は送信中は暗号化されます。

l (例: ユーザー名: jdoe2、パスワード: 2557)

Active Directory/LDAP 認証

Active Directory/LDAP (ライトウェイトディレクトリアクセスプロトコル)認証では、既存の企業アカウントと AirWatch のユーザーおよび管理者アカウントを統合することができます。

長所

l これで、既存の企業資格情報を使用してエンドユーザーを認証します。

l LDAP/AD とのセキュアな統合方法

l 標準的な統合方法

短所

l AD またはその他の LDAP サーバが必要

1. デバイスは加入のために AirWatch MDMに接続します。ユーザーは自分のディレクトリサービスのユーザー名とパスワードを入力します。


43



l ユーザー名とパスワードは送信中は暗号化されます。

l AirWatch はユーザーのディレクトリサービスパスワードを保管しません。

2. AirWatch は認証用サービスアカウントを使用し、セキュアLDAP プロトコルを使用してインターネット経由でクライアントのディレクトリサービスにクエリを送信します。

3. ユーザーの資格情報は、企業ディレクトリサービスに対して検証されます。

4. ユーザーの資格情報が有効であれば、AirWatch サーバはデバイスの加入を許可してプロセスを完了します。

VMware Enterprise Systems Connector を使用した Active Directory/LDAP 認証

VMware Enterprise Systems Connector を使用した Active Directory/LDAP 認証は、従来の AD/LDAP 認証と同じ機能を提供します。このモデルは、SaaS 展開向けのクラウド全体で機能します。

長所

l 既存の企業資格情報を使用してエンドユーザーを認証

l 通信が貴社ネットワーク内の VMware Enterprise Systems Connector から開始されるため、ファイアウォールの設定変更が不要

l 資格情報を暗号化しセキュアに送信

l BES、Microsoft ADCS、SCEP や SMTP サーバといった他のインフラにもセキュアな構成を提供

短所

l ファイアウォールの背後または DMZ 内への VMware Enterprise Systems Connector のインストールが必要

l 追加構成が必要

SaaS 展開モデル


44



オンプレミス展開モデル

AirWatch 環境とこれらのインフラストラクチャを統合する方法の詳細は、VMware Enterprise SystemsConnector Guide (https://www.vmware.com/support/pubs/workspaceone-pubs.html から入手できます)を参照してください。

認証プロキシ

認証プロキシは、クラウドまたは強化された内部ネットワークにディレクトリサービス統合を提供します。このモデルでは、AirWatch MDMサーバは、Exchange ActiveSync サーバ、または、パブリックネットワークに面したWeb サーバと通信します。また、ユーザーはドメインコントローラに対して認証されます。

長所

l クラウド全体を通して AD/LDAP とプロキシ統合するセキュアな方法を提供

l 既存の企業資格情報でエンドユーザーを認証

l 構成の必要性を最小に押さえた軽量モジュール

短所

l AD/LDAP サーバと結び付けられたパブリックに面したWeb サーバまたは Exchange ActiveSync サーバが必要

l また、特定のアーキテクチャでのみ使用が可能

l VMware Enterprise Systems Connector に比べて堅牢性が大幅に低い


45



1. デバイスは加入のために AirWatch に接続します。ユーザーは自分のディレクトリサービスのユーザー名とパスワードを入力します。

l ユーザー名とパスワードは送信中は暗号化されます。

l AirWatch はユーザーのディレクトリサービスパスワードを保管しません。

2. AirWatch はユーザー名とパスワードを (ベーシック認証のような)認証が必要な構成済みの認証プロキシエンドポイントにリレーします。

3. ユーザーの資格情報は、企業ディレクトリサービスに対して検証されます。

4. ユーザーの資格情報が有効であれば、AirWatch サーバはデバイスの加入を許可してプロセスを完了します。

SAML 2.0 認証

SAML (Security Assertion Markup Language) 2.0 認証は、シングルサインオンをサポートし、統合された認証を提供します。 AirWatch は、いかなる企業資格情報も受け取りません。 SAML アイデンティティプロバイダサーバを使用している場合は、SAML 2.0 統合を利用してください。

長所

l シングルサインオン機能を提供

l 既存の企業資格情報を使用した認証

l AirWatch がプレーンテキストで企業資格情報を受け取ることはない

短所

l 企業 SAML アイデンティティプロバイダインフラが必要


46



1. デバイスは加入のために AirWatch に接続します。 AirWatch サーバはデバイスをクライアント指定のアイデンティティプロバイダにリダイレクトします。

2. デバイスは HTTPS を使用して、クライアントにより提供されたアイデンティティプロバイダにセキュアに接続します。ユーザーは資格情報を入力します。

l 資格情報は、デバイスと SAML エンドポイントの間で直接送信される際、暗号化されます。

3. 資格情報はディレクトリサービスに対して検証されます。

4. アイデンティティプロバイダは、認証済みのユーザー名を伴った署名済みの SAML 応答を返します。

5. デバイスは、AirWatch サーバに応答を返し、署名済みの SAML メッセージを提示します。ユーザー認証が完了します。

AirWatch 環境と SAML プロバイダを統合する方法については、｢VMware AirWatch SAML IntegrationGuide｣を参照してください。このガイドに入手方法については、267 ページの他の文書を入手するを参照してください。


47



トークンベース認証

トークンベース認証はユーザーにとって最も簡単なデバイス加入方法です。この加入方法を使用する場合、AirWatch はトークンを生成し、加入 URL 内に配置します。

シングルトークン認証では、ユーザーは加入を完了するためにデバイスからリンクにアクセスし、AirWatch サーバはユーザーが提供するトークンを参照します。

セキュリティを強化するため、各トークンに有効期限 (単位: 時間)を設定してください。これにより、別のユーザーがそのデバイス上の利用可能な情報や機能にアクセスしてしまう可能性を、最小限に抑えることができます。

また二要素認証を実装し、エンドユーザー識別確認のステップを加えることもできます。この認証設定では、ユーザーは、加入リンクにアクセスして提供されたトークンとユーザー名およびパスワードを入力する必要があります。

長所

l デバイスの加入/認証の際のエンドユーザーへの負担が最も少ない方法です。

l 有効期限を設けることで、トークンをセキュアに使用できます。

l シングルトークン認証にはユーザー資格情報は不要です。

短所

l デバイスにトークンを送信するために、簡易メール転送プロトコル (SMTP)、あるいはショートメッセージサービス (SMS) 統合が必要です。

1. 管理者がユーザーのデバイス登録を承認します。

2. シングルユーザー用のトークンが生成され、AirWatch からユーザーに送信されます。

3. トークンを受け取ったユーザーは、加入 URL を開きます。トークンを入力するよう、ユーザーにプロンプトが表示されます。(オプションで二要素認証を要求することもできます)


48



4. デバイスの加入プロセスが開始します。

5. AirWatch はトークンを期限切れとマークします。

注: SaaS 展開には SMTP が含まれています。

加入のセキュリティタイプを有効にする

AirWatch を、選択したユーザーセキュリティタイプと統合したら、加入処理の前に、許可する認証モードのそれぞれを有効にします。

デバイス >デバイス設定 >デバイスとユーザー >全般 >加入と進み、認証タブの認証モード設定の該当項目にチェックを入れます。

ベーシックユーザーアカウントAirWatch をディレクトリサービスと統合していない場合、エンドユーザーに対するベーシックユーザーアカウントを AirWatch 内に作成します。ベーシックユーザーアカウントはテスト用としても役立ちます。つまり、手軽に作成し、不要になったら手軽に削除することができます。詳細は、115 ページのベーシック加入とディレクトリサービスによる加入を参照してください。

長所




短所


l セキュリティの連携がない

l シングルサインオンがサポートされていない

l すべてのユーザー名とパスワードは AirWatch に保存されます

ベーシックユーザーアカウントを作成する

認証を受けて AirWatch システムにログインする必要がある各ユーザーに対して、ベーシックユーザーアカウントを作成できます。


49



ベーシックユーザーアカウントを作成する

認証を受けて AirWatch システムにログインする必要がある各ユーザーに対して、ベーシックユーザーアカウントを作成できます。ここでは、ユーザーアカウントを一度に 1つ作成する方法を説明します。

1. アカウント >ユーザー >リスト表示と進み、追加、次にユーザーを追加を選択します。ユーザーを追加/編集画面が表示されます。

2. 全般タブで次の各設定を入力し、ベーシックユーザーを追加します。

設定説明

セキュリティタイプ

ベーシックを選択し、ベーシックユーザーを追加します。

ユーザー名追加しようとしている新しいユーザーの識別に使用するユーザー名を入力します。

パスワードユーザーがログインに使用するパスワードを入力します。

パスワードを再入力

パスワードを再入力します。

氏名ユーザーの名、ミドルネーム、姓を (この順番で)入力します。

表示名 AirWatch コンソールで表示するユーザーの名前を入力します。

Eメールアドレス

ユーザーの Eメールアドレスを入力/編集します。

Eメールユーザー名

ユーザーの Eメールユーザー名を入力/編集します。

ドメインドロップダウンメニューから Eメールドメインを選択します。

電話番号 + マーク、国番号、市外局番を含んだ形式で、ユーザーの電話番号を入力します。通知の送信に SMSを使用する予定の場合、このフィールドに値を指定します。

加入

加入組織グループ

ユーザーが加入する組織グループを選択します。

追加の組織グループにユーザーが加入することを許可

2 つ以上の組織グループにユーザーが加入することを許可するかを選択します。有効を選択する場合は、追加の組織グループドロップダウンメニューの値を指定します。

ユーザー役割このドロップダウンメニューから追加中のユーザーの役割を選択します。


50



設定説明

通知


ユーザーに送信するメッセージのタイプを Eメール、SMS、なしから選択します。SMSを選択する場合は、上の電話番号欄に有効なデータを入力する必要があります。

メッセージテンプレート

このドロップダウンメニューで、Eメールメッセージまたは SMSメッセージ用のテンプレートを選択します。または、オプションでメッセージプレビューを選択してテンプレートを閲覧したり、メッセージテンプレートを構成するを選択して新しいテンプレートを作成することもできます。


51



3. オプションで、高度な設定タブを選択し、以下の項目を設定することができます。

設定説明

高度な情報セクション

Eメールパスワード追加しているユーザーの Eメールパスワードを入力します。

Eメールパスワード再入力

追加しているユーザーの Eメールパスワードを再入力します。

ユーザープリンシパル名

ベーシックユーザーのプリンシパル名を入力します。このフィールド値の指定は任意です。

カテゴリ追加しているユーザーのユーザーカテゴリを選択します。

部署ユーザーの部署を入力します。事務管理目的で使用されます。

従業員 ID ユーザーの社員 ID を入力します。事務管理目的で使用されます。

コストセンターユーザーのコストセンターを入力します。事務管理目的で使用されます。

証明書セクション

S/MIME を使用する S/MIME (Secure/Multipurpose Internet Mail Extensions) の使用を有効化/無効化します。

有効に設定した場合、S/MIME が有効であるプロファイルが必要になり、また、アップロードを選択して S/MIME 証明書をアップロードする必要があります。

別の暗号化証明書暗号化証明書を有効化/無効化します。

有効に設定した場合、アップロードを使用して暗号化証明書をアップロードする必要があります。一般的に、別の証明書が明示的に使用されていない限り、同一の S/MIME 証明書が署名と暗号化に使用されます。

旧版の暗号化証明書暗号化証明書の旧バージョンを有効化/無効化します。

有効に設定した場合、暗号化証明書をアップロードする必要があります。

代理セットアップセクション

デバイス代理セットアップを有効にする

デバイスの代理セットアップを有効化/無効化します。

有効に設定した場合、シングルユーザーデバイスとマルチユーザーデバイスから選択する必要があります。シングルユーザーデバイスでは、ユーザー自身がログインを行う標準と、他のユーザーに代わってデバイスを加入する高度から選択する必要があります。詳細は、121 ページのセルフサービスの加入とデバイスの代理セットアップを参照してください。


52



4. 保存を選択し、新しいユーザーのみを保存することも、保存してデバイスを追加を選択して、新しいユーザーを保存してデバイスを追加画面に進むこともできます。

ディレクトリベースのユーザーアカウントAirWatch を既存のディレクトリサービスと統合した場合、ユーザーを自動的に取り込むことができます。これにより、AirWatch コンソールにユーザーを手動で追加する必要がなくなります。詳細は、115 ページのベーシック加入とディレクトリサービスによる加入を参照してください。

AirWatch モバイルデバイス管理 (MDM)で管理するすべてのディレクトリユーザーについて、AirWatchコンソール内に対応するユーザーアカウントが必要です。

以下のいずれかの方法で、既存のディレクトリサービスユーザーを直接 AirWatch に追加することができます。

l すべてのディレクトリサービスユーザーを含むファイルを一括でアップロードする。一括インポート操作により、自動的にユーザーアカウントが作成されます。

l ディレクトリユーザーのユーザー名を入力して、ユーザー名を確認を選択し残りの詳細を自動挿入させる方法で、ユーザーアカウントを 1つずつ作成する。

l バッチインポートも手動によるユーザーアカウント作成も行わずに、すべてのディレクトリユーザーに自分で加入を行わせる。

長所


l ディレクトリシステムにおける変更内容を自動検出し、AirWatch システムに自動的に反映させることができます。

l セキュアな方法で既存のディレクトリサービスと統合できます。


l VMware Enterprise Systems Connector を使用する SaaS 展開では、ファイアウォールの変更が不要で、Microsoft ADCS、SCEP、SMTP サーバなどの他のインフラストラクチャに対してセキュアな構成を提供できます。

短所

l 既存のディレクトリサービスインフラストラクチャが必要です。

l SaaS 展開では、VMware Enterprise Systems Connector をファイアウォールの内側または DMZ 内にインストールする必要があるため、追加の構成作業が必要です。


53



ディレクトリベースのユーザーアカウントを作成する

ユーザーのそれぞれに対し、AirWatch システムにアカウントを作成する必要があります。ディレクトリユーザーは貴社の既存の企業資格情報を使って認証を行います。

ディレクトリベースのユーザーアカウントを作成する

ユーザーのそれぞれに対し、AirWatch システムにアカウントを作成する必要があります。ディレクトリユーザーは貴社の既存の企業資格情報を使って認証を行います。ここでは、ユーザーアカウントを一度に1つ作成する方法を説明します。

1. アカウント >ユーザー >リスト表示と進み、追加、次にユーザーを追加を選択します。ユーザーを追加/編集画面が表示されます。


54



2. 全般タブで次の各設定を入力し、ディレクトリユーザーを追加します。

設定説明


ディレクトリを選択し、Active Directory ユーザーを追加します。

ディレクトリ名

この事前入力済みのフィールド値は Active Directory 名を示します。

ドメインドロップダウンメニューからドメイン名を選択します。

ユーザー名ユーザーのディレクトリユーザー名を入力し、ユーザーを確認をクリックします。システムに合致する情報が見つかった場合、ユーザー情報は自動的に入力されます。このセクション内の以降のフィールド値は、ユーザーを確認ボタンを使用して ActiveDirectory ユーザーを確認できた後にのみ、指定可能になります。

氏名属性を編集を使用して、ディレクトリから空白値が返されたフィールドの値を編集することができます。また、合致するユーザーの情報を自動入力することもできます。

フィールド値がディレクトリ内の実際の値を反映している場合、ディレクトリ側で値を編集する必要があります。変更結果は次回の同期処理時に反映されます。氏名で、ディレクトリから空白で戻った項目を入力し、追加分を保存するため属性を編集を選択します。

表示名管理者コンソールに表示する名前を入力します。


ユーザーの Eメールアドレスを入力/編集します。

Eメールユーザー名

ユーザーの Eメールユーザー名を入力/編集します。

ドメイン (Eメール)

ドロップダウンメニューから Eメールドメインを選択します。

電話番号 + マーク、国番号、市外局番を含んだ形式で、ユーザーの電話番号を入力します。通知の送信に SMSを使用する場合、電話番号は指定必須です。

加入


ユーザーが加入する組織グループを選択します。


55



設定説明

追加の組織グループにユーザーが加入することを許可

ユーザーが 2つ以上の組織グループに加入することを許可するかどうかを選択します。有効を選択する場合は、追加の組織グループに入力します。

ユーザー役割このドロップダウンメニューから追加中のユーザーの役割を選択します。

通知


ユーザーに送信するメッセージのタイプを Eメール、SMS、なしから選択します。SMSを選択する場合は、上の電話番号欄に有効なデータを入力する必要があります。


このドロップダウンメニューで、Eメールメッセージまたは SMSメッセージ用のテンプレートを選択します。または、メッセージプレビューを選択してテンプレートを閲覧したり、メッセージテンプレートを構成するを選択してテンプレートを作成することもできます (任意)。

3. オプションで、高度な設定タブを選択し、以下の項目を設定することができます。

設定説明

高度な情報セクション

Eメールパスワード

追加しているユーザーの Eメールパスワードを入力します。

Eメールパスワード再入力

追加しているユーザーの Eメールパスワードを再入力します。

識別名ディレクトリユーザーを VMware AirWatch に認識させる場合は、この項目にはユーザーの識別名が自動入力されます。識別名は、Active Directory ユーザーに関連付けられたユーザー名とそのすべての権限コードを示す文字列です。

マネージャ識別名

ユーザーの上司の識別名を入力します。この欄は必須項目ではありません。

カテゴリ追加しているユーザーのユーザーカテゴリを選択します。

部署ユーザーの部署を入力します。貴社での事務管理目的で使用されます。

従業員 ID ユーザーの従業員 ID を入力します。貴社での事務管理目的で使用されます。

コストセンター

ユーザーのコストセンターを入力します。貴社での事務管理目的で使用されます。


56



設定説明

カスタム属性1-5 (ディレクトリユーザーのみ)

該当する場合、事前構成済みのカスタム属性を入力します。これらのカスタム属性を定義するには、グループと設定 >すべての設定 >デバイスとユーザー >高度な設定>カスタム属性と進みます。

注:カスタム属性は、カスタマー組織グループのみで構成できます。

証明書セクション

S/MIME を使用する

S/MIME の使用を有効または無効にします。有効に設定した場合、S/MIME が有効であるプロファイルが必要になり、また、アップロードを選択して S/MIME 証明書をアップロードする必要があります。

別の暗号化証明書

別の暗号化証明書の使用を有効または無効にします。有効に設定した場合、アップロードを使用して暗号化証明書をアップロードする必要があります。一般的に、別の証明書が明示的に使用されていない限り、同一の S/MIME 証明書が署名と暗号化に使用されます。

旧版の暗号化証明書

暗号化証明書の旧バージョンを有効化/無効化します。有効に設定した場合、暗号化証明書をアップロードする必要があります。

代理セットアップセクション

デバイス代理セットアップを有効にする

デバイスの代理セットアップを有効化/無効化します。

有効に設定した場合、シングルユーザーデバイスとマルチユーザーデバイスから選択する必要があります。

シングルユーザーデバイスでは、ユーザー自身がログインを行う標準と、他のユーザーに代わってデバイスを加入させる高度から選択する必要があります。

4. 保存を選択し、新しいユーザーのみを保存することも、保存してデバイスを追加を選択して、新しいユーザーを保存してデバイスを追加画面に進むこともできます。

ディレクトリユーザーを AirWatch に追加する手順については、｢VMware AirWatch DirectoryServices Guide｣を参照してください。この文書の入手方法については、267 ページの他の文書を入手するを参照してください。

ユーザーアカウントリスト表示の概要アカウント >ユーザー >リスト表示と進むと表示されるリスト表示画面は、一般的なアカウントメンテナンスと維持のための有益なツールを提供します。


57



リスト表示をカスタマイズする

ユーザーアカウントリスト表示を使用して、ユーザーリストをすばやくカスタマイズすることができます。また、貴社にとって最も重要な基準に基づいて、画面レイアウトをカスタマイズすることができます。さらに、後で分析するためにこのカスタマイズしたリストをエクスポートすること、および、新しいユーザーを個別にまたは一括で追加することができます。

操作説明

フィルタ

以下のようなフィルタを使用して、必要なユーザーのみを閲覧します。

l セキュリティタイプ l ユーザーグループ

l 加入組織グループ l ユーザー役割

l 加入状態

追加 l ユーザーを追加 – ベーシックユーザーアカウントを 1つずつ追加します。新規雇用の従業員や異動により MDM機能へのアクセスが必要になった従業員を追加します。詳細は、103 ページのユーザーをユーザーグループに追加するを参照してください。

l バッチインポート – 新しいユーザーを CSV ファイルを使用して一括インポートします。一意な名前と説明を入力し、複数のユーザーを一度にグループ化して整理します。詳細は、60 ページのユーザーまたはデバイスをバッチインポートするを参照してください。


58



操作説明

レイアウト

カラムの配置をカスタマイズします。

l 概要 – 既定のカラムと表示設定のリスト表示を閲覧します。

l カスタム –リスト表示から表示したいカラムのみを選択します。選択したカラムを、現在の組織グループ、またはそのサブ組織グループのすべての管理者に適用することもできます。

並べ替え

リスト表示 (概要とカスタムレイアウトの両方)のほとんどのカラムは、デバイス、ユーザーグループ、加入組織グループを含め、並べ替えることができます。

エクスポート

リスト表示全体を CSV (コンマ区切り値)ファイルで保存し Excel で表示/分析します。

ユーザーアカウントを管理する

リスト表示の各ユーザーアカウントの横には、チェックボックスと編集アイコンがあります。ユーザーの詳細情報を表示するには、｢一般情報｣列の、ハイパーリンクが設定されたユーザー名を選択します。詳細は、101 ページのユーザー詳細情報にアクセスするを参照してください。

編集アイコンでユーザーアカウントに基本的な変更を加えることができます。チェックボックスを 1つ選択すると、メッセージを送信、デバイスを追加、その他のアクションの 3個のアクションボタンが表示されます。

チェックボックスを使用して複数のユーザーアカウントを選択することもできます。その場合、利用できるアクションが変わります。

操作説明

メッセージを送信

個別ユーザーまたはユーザーのグループにサポートを即時に提供します。ユーザーアクティブ化 (ユーザーテンプレート) Eメールをユーザーに送信し、加入資格情報を通知します。

デバイスを追加

選択したユーザーに関連付けるデバイスを追加します。ユーザーを 1人選択したときにのみ利用できる機能です。

その他のアクション

このボタンを選択すると、次の項目が表示されます。

ユーザーグループに追

加

選択したユーザーを新しいユーザーグループ、または既存のユーザーグループに追加してシンプルにユーザー管理を行います。詳細は、102ページのユーザーグループリスト表示および 100ページのユーザーグループ権限を編集するを参照してください。


59



操作説明

ユーザーグループから削除する

選択したユーザーを既存のユーザーグループから削除します。

組織グループを変更

ユーザーを別の組織グループに手動で移動します。ユーザーの役職変更、昇進時や、オフィスの場所や地域が変更された時など、利用可能なコンテンツ、権限と制限を更新します。

削除ユーザーの解雇/辞職時にユーザーアカウントを素早く完全に削除します。

アクティブ化

ユーザーが職場や部門に復帰した際にアカウントをアクティブ化します。

非アクティブ化

ユーザーの状態が不明であったり、順守違反またはデバイスの紛失/盗難時などに、ユーザーを非アクティブにします。

バッチインポート機能多数のユーザーを AirWatch に追加する場合、ユーザーとユーザーグループをバッチ作成することや、ユーザーとユーザーグループをディレクトリサービスからバッチインポートすることができます。

バッチインポートするには、AirWatch に備わっているコンマ区切り値形式のテンプレートを使用して貴社データを入力し、入力後のテンプレートをアップロードします。

外部 LDAP/AD ユーザーディレクトリ内の変更

ユーザー、ユーザーグループのバッチリストをアップロードした後は、貴社の外部 LDAP/AD ユーザーディレクトリにおける変更内容は、AirWatch に反映されません。これらのユーザーとユーザーグループの変更は、手動で更新するか、または新しいバッチとして再度アップロードしてください。

ユーザーまたはデバイスをバッチインポートする

時間を節約するため、複数の LDAP (Lightweight Directory Access Protocol)/AD (Active Directory) ユーザーとデバイスを AirWatch コンソールにバッチインポートできます。

1. アカウント >ユーザー >バッチの状態またはデバイス >ライフサイクル >加入状態 >追加と進み、バッチインポートを選択します。

2. AirWatch コンソールで、バッチ名やバッチの説明などの基本情報を入力します。

3. 該当するバッチタイプをバッチタイプドロップダウンメニューから選択します。

4. 実行するバッチインポート処理の種類に最も適したテンプレートを選択し、ダウンロードします。

ブラックリストデバイス – IMEI、シリアル番号、または UDID を使用して、既知の非順守デバイスのリストをインポートします。ブラックリストデバイスを加入させることはできません。ブラックリストデバイスを加入させようとすると、自動的にブロックされます。


60



ホワイトリストデバイス – IMEI、シリアル番号、または UDID を使用して、承認済みデバイスをインポートします。既知の信頼済みデバイスのリストをインポートするには、このインポート処理を使用します。デバイスに関連付けられている所有形態とグループ ID は、加入時にデバイスに自動適用されます。

ユーザーまたはデバイス – CSV テンプレートの種類として、シンプルまたは高度を選択します。｢シンプル｣テンプレートには、使用頻度の高いフィールドだけがあります。｢高度｣テンプレートには、すべてのフィールドがあります。

5. CSV ファイルを開きます。このファイルには行が 1つだけあり、デバイスのサンプルデータが入力されています。この CSV ファイルには、｢ユーザーを追加/編集｣画面に表示されるフィールドに対応するカラムがあります。グループ ID カラムは、ユーザーを追加/編集画面の加入組織グループフィールドに対応します。グループと設定 >すべての設定 >デバイスとユーザー >全般 >加入画面のグループ化タブで、グループ ID 割り当てモードが既定に設定されている場合、ユーザーはこの加入組織グループに加入します。

ディレクトリベースの加入の場合、各ユーザーのセキュリティタイプはディレクトリです。

6. 貴社組織のユーザーのデータを入力します。該当する場合は、デバイス情報を含めます。ファイルを保存します。

7. ｢バッチインポート｣画面に戻り、ファイルを選択を選択し、データを入力した CSV ファイルを探してアップロードします。


ユーザーグループをバッチインポートする

時間を節約するため、複数の LDAP (Lightweight Directory Access Protocol)/AD (Active Directory) ユーザーグループを AirWatch コンソールにバッチインポートできます。

1. アカウント >ユーザーグループ >リスト表示と進み、追加をクリックします。

2. バッチインポートを選択します。

3. AirWatch コンソールで、バッチ名やバッチの説明などの基本情報を入力します。

4. バッチファイル (.csv)の下でファイルを選択ボタンを選択して、インポートの準備が整った作成済みの CSV ファイルを指定してアップロードします。

5. または、このバッチタイプ用のテンプレートをダウンロードするのリンクをクリックして CSV (コンマ区切り値)形式ファイルを保存し、新しいインポートファイルの準備に利用します。

l CSV ファイルを開きます。このファイルには、ユーザーグループを追加画面に表示される各フィールドに対応するカラムがあります。アスタリスクのついた項目は必須です。データを入力する必要があります。ファイルを保存します。


61



l CSV ファイル内の末尾のカラム見出しは "GroupID/Manage(Edit and Delete)/Manage(Users andEnrollment)/UG assignment/Admin Inheritance." です。このカラム見出しは、ユーザーグループの編集画面の権限タブのフィールドに対応しており、また、このタブのロジックに従っています。

6. インポートを選択します。

7. バッチインポートが正常に完了しなかった場合は、アカウント >バッチの状態と進み、エラーを閲覧してトラブルシューティングを行います。特定のバッチインポートエラーを表示するには、エラーリンクをクリックします。

ベーシックユーザーをバッチインポートで編集する

バッチインポート機能を用いて、ユーザーを、ユーザー単位ではなくグループ単位で編集し移動させることもできます。この手順を実行するには、ユーザーが AirWatch に存在している必要があります。 CSVファイル内の次のカラム値を編集し、バッチインポート機能を利用してこのファイルをアップロードします。

l パスワード (ベーシックのみ)

l 名

l ミドルネーム

l 姓

l Eメールアドレス

l 電話番号

l 携帯番号

l 部署

l Eメールユーザー名

l Eメールパスワード

l 承認された組織グループ (対応するグループ ID とその下位のみ)

l 加入ユーザーカテゴリ (ユーザーからアクセス可能なカテゴリを設定してください。そうでない場合、0に設定されます)

l 加入ユーザー役割 (ユーザーからアクセス可能な役割を設定してください。そうでない場合、組織グループの既定役割が設定されます)

このようなユーザー基本情報編集は、42 ページのベーシックユーザー認証および 45 ページの認証プロキシにのみ適用されます。


62



ユーザーをバッチインポートで移動する

バッチインポート機能を用いて、ユーザーグループを別の組織グループに移動させることもできます。

1. バッチインポート画面から、AirWatch コンソールで使用するバッチ名、バッチの説明を含む基本情報を入力します。

2. テンプレートリストで組織グループの変更を選択し、CSV ファイルを、アクセス可能な場所に保存します。

3. ユーザーの現在の組織グループのグループ ID、移動するユーザーのユーザー名、および、移動先組織グループのターゲットグループ ID を入力します。

4. AirWatch コンソールのバッチインポート画面に戻り、ファイルを選択をクリックし、保存した CSVファイルをアップロードして開くをクリックします。


管理者アカウント管理者アカウントを使用することで、モバイルデバイス管理 (MDM)設定のメンテナンス、機能やコンテンツのプッシュ、アクセスの取り消しその他の様々な操作を、一元化された AirWatch コンソールから行うことができます。

また、一時的な管理者アカウントを使用すると、AirWatch コンソール内のリモートアシスタンス機能を利用できます。一時的な管理者アカウントには有効期限を構成することもできます。このアカウントを使用して、通常は常設の管理者アカウント保持者にのみ許可されるエリアへのアクセスを許可することができます。

管理者アカウントを作成する

管理者リスト表示画面から管理者アカウントを追加すると、AirWatch コンソールの高度な機能にアクセスできるようになります。コンソールをメンテナンスし監視するそれぞれの管理者に個別のアカウントを作成する必要があります。

1. アカウント >管理者 >リスト表示と進み、追加の項目から管理者を追加を選択します。管理者を追加/編集画面が表示されます。

2. ベーシックタブの下のユーザータイプフィールドで、ベーシックまたはディレクトリを選択します。

l ベーシックを選択した場合は、ユーザー名、パスワード、氏名などベーシックタブのすべての必須項目を入力します。二要素認証を有効にし、通知オプションを選択して、メッセージテンプレートを使用することもできます。


63



l ディレクトリを選択した場合は、ドメインと管理者ユーザーのユーザー名を入力します。

3. 詳細タブに、必要に応じて追加の情報を入力します。

4. 役割タブに進み、組織グループを選択し、新しい管理者に割り当てる役割を選択します。役割を追加を使用して新しい役割を追加します。

5. APIタブを選択し、認証タイプを選択します。

6. メモタブに、管理者ユーザーに対するメモを入力します。

7. 保存をクリックし、割り当てられた役割を持つ管理者アカウントを作成します。

一時的な管理者アカウントを作成する

サポート、デモンストレーションや期間限定のユースケース用に、貴社環境への管理者アクセスを一時的に許可することができます。

1. アカウント >管理者 >リスト表示と進み、追加を選択します。一時的な管理者を追加オプションを選択します。

または

ヘルプボタンをクリックし、一時的な管理者を追加を選択します。

2. ベーシックタブから、Eメールアドレスまたはユーザー名に基づき一時的な管理者アカウントを追加し、以下の設定を入力します。

設定説明


一時的な管理者がベースとする Eメールアドレスを入力します。｢Eメールアドレス｣ラジオボタンを選択したときのみ表示されます。


64



設定説明

ユーザー名一時的な管理者がベースとするユーザー名を入力します。｢ユーザー名｣ラジオボタンを選択したときのみ指定できます。

パスワード、パスワード再入力

Eメールアドレスまたはユーザー名に対応するパスワードを入力し、確認のために再入力します。

有効期限有効期限を選択します。既定設定は 6時間です。このドロップダウンメニューを非アクティブに設定してアカウントを作成し、後からアカウントをアクティブ化することも可能です。

チケット番号オプションで、参照のためのマーカーとして MyAirWatch のチケット番号を追加することもできます。

3. 役割タブでは、一時的管理者アカウントに関連する役割の追加と削除を行います。

a. 役割を追加ボタンをクリックして役割を追加し、次に、一時的管理者アカウントが適用される組織グループと役割を選択します。

b. 既存の役割を編集するには編集アイコン ( ) をクリックし、別の組織グループと役割を選択します。

c. 役割を削除するには削除アイコン ( ) をクリックします。


管理者アカウントを管理する

管理者アカウントを継続的に保守および維持するための主要な管理機能を利用するには、アカウント >管理者 >リスト表示と進みます。

ユーザー名列のリンクを選択し、管理者を追加･編集画面を表示します。この画面では、割り当てられている役割をすばやく更新したり、貴社内における役割をすばやく変更したりして、ユーザーの特権を最新の状態に維持することができます。また、管理者の概要情報を修正すること、および、パスワードを変更することができます。

管理者リストにフィルタを適用することにより、すべての役割の管理者を表示することや、特定の役割の管理者だけを表示することができます。

管理者ユーザー名の横にあるラジオボタンを選択すると、その管理者に対して使用可能なアクションボタンが表示されます。


65



l 履歴を表示 – 管理者がいつ AirWatch コンソールにログイン/ログアウトしたかを追跡できます。

l 非アクティブ化 – 管理者アカウントの状態をアクティブから非アクティブに変更します。この機能を利用することにより、管理機能と管理特権を一時的に無効化できます。同時に、後で使用できるように、管理者アカウントに割り当てられている役割を保持することができます。

l アクティブ化 – 管理者アカウントの状態を非アクティブからアクティブに変更します。

l 削除 – 正当なユーザー以外は AirWatch コンソールにアクセスできないようにします。管理者が辞職した際は直ちにユーザーアカウントをキャンセルおよび削除し、管理者特権を取り消します。

l パスワード変更 – ベーシック管理者アカウントまたは一時管理者アカウントのパスワードを変更します。


66



第5章:役割ベースのアクセス役割ベースのアクセス概要 68既定役割とカスタム役割 68ユーザー役割 71管理者役割 72

67



役割ベースのアクセス概要AirWatch コンソールでは、管理者により作成された役割に基づいて、ユーザー加入プロセス中に個々のユーザーまたはグループに応じた様々なアクセスレベルを定義することができます。

たとえば、貴社のヘルプデスク管理者にはコンソールに限定されたアクセス権限を与え、IT 管理者にはより広い範囲の権限を与えます。

役割ベースのアクセス制御を有効にするには、最初に AirWatch コンソールで、管理者役割とユーザー役割をセットアップする必要があります。特定のリソース (権限と呼ばれるもの)で、これらの役割を定義できます。このリソースにより、AirWatch コンソール内の様々な機能へのアクセスを有効または無効にすることができます。役割はまた、セルフサービスポータルにアクセスが必要なエンドユーザー用に作成することもできます。

既定役割とカスタム役割AirWatch にはいくつかの既定役割が設定されており、リストから適切なものを選択して使うことができます。既定役割はすべての AirWatch アップグレードを通して利用可能で、新しいユーザーに役割を割り当てる際に便利です。カスタマイズが必要であれば、カスタム役割を作成しユーザー特権と権限を調整することができます。既定役割とは異なり、カスタム役割は AirWatch がアップグレードされるたびに手動でアップデートする必要があります。

それぞれの役割タイプの長所と短所を検討していただく必要があります。既定役割は、新しい役割を最初から構成するのに比べ時間を節約することができ、様々な管理者特権に論理的に対応するように設定済みです。また、AirWatch の新機能と設定更新に伴い、自動的に更新されるという利点があります。しかし、既定の役割が貴社組織または MDM展開にとって最適ではない場合もありますので、役割のカスタマイズもできるようになっています。

既定のエンドユーザー役割

AirWatch コンソールでは、エンドユーザーに対して既定で利用できる役割があります。

l フルアクセスの役割 – セルフサービスポータル上ですべてのタスクを実行するための権限をすべて与えられた役割です。

l ベーシックアクセスの役割 – セルフサービスポータルで実行する MDMコマンド以外のすべての権限を与えられた役割です。

カスタム役割を作成することにより、必要に応じて独自の役割をカスタマイズでき、ユーザーや管理者別に様々な微調整を行うことができます。カスタム役割は、継続的なメンテナンスと、新機能導入時には手動による更新が必要です。

第 5 章: 役割ベースのアクセス

68



既定役割を編集してカスタムユーザー役割を作成する

貴社組織で必要とされるユーザーリソースに適した役割が既定役割にない場合、既存の役割を編集してカスタム役割を作成することをご検討ください。

1. 新しい役割を関連付けようとしている組織グループレベルで操作していることを確認してください。

2. アカウント >ユーザー >役割と進みます。

3. 作成したい役割に最もよく合致するものをリストの役割から探します。次に、その役割を編集するため、右端にある編集アイコン ( ) を選択します。役割を追加/編集画面が表示されます。

4. 必要に応じ名前、説明と最初のランディング画面欄を変更します。チェックボックスを確認します。それぞれのチェックボックスは様々な権限を表しています。必要に応じてチェックを入れます。

5. 保存をクリックして変更を保存します。役割の以前の設定は、新しい設定により上書きされます。

既定の管理者役割

AirWatch コンソールで管理者が既定で使用できる役割には、以下のものがあります。 2つの管理者役割の権限を比較するには、管理者役割比較ツールを使用してください。詳細は、78 ページの管理者役割を比較するを参照してください。

役割説明

システム管理者システム管理者役割には AirWatch 環境への完全なアクセスが含まれています。この役割の管理者は、パスワード、セキュリティ設定、セッション管理情報、およびAirWatch コンソール監査情報にアクセスできます。これらの情報は、システム構成の管理タブにあります。なお、SaaS (Software as a Service) を利用しているお客様は、この役割を使用できません。

デバイス管理者デバイス管理者役割は、ユーザーに AirWatch 管理者コンソールへの重要なアクセス権限を与えます。ただし、この役割を使用して多くのシステム構成情報を構成することは、推奨されません。このようなシステム構成情報の例としては、AD (ActiveDirectory)/LDAP (Lightweight Directory Access Protocol)、SMTP (Simple MailTransfer Protocol)、エージェントなどがあります。このようなタスクには、AirWatch管理者またはシステム管理者のような最上層の役割を用いるのがより適切です。

レポート閲覧レポート閲覧役割により、モバイルデバイス管理 (MDM)により収集されたデータの閲覧が可能になります。この役割に含まれるのは、AirWatch コンソールからレポートを生成/閲覧/エクスポート/定期受信する権限のみに限定されます。


69



役割説明

AirWatch 管理者

AirWatch 管理者役割には AirWatch 環境への包括的なアクセス権限が含まれています。ただし、この権限には、システム構成の管理者タブへのアクセス権は含まれていません。このタブには、トップレベルの AirWatch コンソールの設定が含まれているためです。

閲覧のみ閲覧のみの役割は、AirWatch コンソールの大部分にアクセスすることができますが、そのアクセスは閲覧のみに限定されます。この役割は、AirWatch 環境における設定を監査し、記録するために使用されます。この役割はシステムオペレータや管理者には適していません。

コンテンツ管理コンテンツ管理者役割に付与されている権限は、VMware Content Locker 管理のみに限定されます。この役割を使用し、コンテンツに特化した担当者を決め、デバイスへのアップロードと管理を任せることができます。

アプリケーション管理

アプリケーション管理者役割を使用して、管理者に、内部アプリとパブリックアプリをデバイスに展開/管理するために必要なアクセスを与えることができます。この役割は、アプリケーション管理担当者に割り当ててください。

ヘルプデスクヘルプデスク役割には、レベル 1の IT ヘルプデスクが必要とするツールへのアクセスが含まれています。この役割に含まれる主要なツールを使用して、リモート操作機能を用いてデバイス情報を閲覧し必要な措置を取ることができます。この役割にはさらにレポート閲覧権限とデバイス検索能力も含まれています。

App Catalogのみの管理者

この役割の権限は、｢アプリケーション管理｣役割とほぼ同じです。アプリケーション管理役割にはないがこの役割にある権限は、管理者アカウント、ユーザーアカウント、管理者グループ、ユーザーグループ、デバイス詳細情報、およびタグを追加および保持できる、というものです。

HorizonAdministrator

Horizon Administrator 役割は、VMware Horizon View と統合された AirWatch 構成を補完するための、特別に用意された権限セットです。

NSX 管理者 NSX 管理者役割は、AirWatch と統合された VMware NSX を補完するための、特別に用意された権限セットです。この役割は、システム管理権限と証明書管理権限を補完するものであり、管理者は、エンドポイントセキュリティとデータセンターセキュリティを橋渡しすることができます。

プライバシーオフィサー

プライバシーオフィサー役割は、ハブ概要情報、デバイスリスト表示、およびシステム設定を閲覧すること、ならびに、すべてのプライバシー設定を編集することができます。


70



既定の管理者役割を編集してカスタム管理者役割を作成する

既定の管理者役割では、貴社に必要な管理者の役割を十分に果たせない場合、既存の役割を編集してカスタム役割を作成することもできます。

1. その際には、まず、今いる組織グループレベルが、新しい役割を追加したい組織グループであることを確認してください。

2. アカウント >管理者 >役割と進みます。

3. 作成したい役割に最もよく合致するものをリストの役割から探します。その役割のボックスにチェックを入れます。

4. リストの部にあるアクションメニューからコピーを選択します。役割をコピーする画面が表示されます。

5. 役割をコピーする画面で変更したい設定を編集します。カスタマイズされた役割には、一意な名前と説明を入力してください。


詳細は、74 ページの管理者役割を作成するを参照してください。

ユーザー役割ユーザー役割を使用した場合、ログインしたユーザーが実行できるアクションを、有効化または無効化できます。これらのアクションの例としては、デバイスワイプの利用を制御する、デバイスクエリの利用を制御する、個人コンテンツを管理する、などがあります。さらに、最初のランディング画面をカスタマイズしたり、セルフサービスポータルへのアクセスを制限したりすることもできます。

複数のユーザー役割を作成すれば、時間を節約できます。たとえば、さまざまな組織グループにまたがる包括的な構成を行うことや、特定のユーザーのユーザー役割を随時変更することができます。

新しいユーザー役割の作成

事前設定されたベーシックアクセス役割とフルアクセス役割に加えて、カスタマイズされた役割を作成することもできます。複数のユーザー役割を用意しておくことで柔軟性を高め、新しいユーザーに役割を割り当てる際の手間を省くことができます。

以下の手順に従いユーザー役割を作成します。

1. アカウント >ユーザー >役割と進み、追加をクリックします。役割を追加/編集画面が表示されます。

2. 新しい役割の名前と説明を入力し、この新しい役割を持つユーザーの SSP の最初のランディング画面を選択します。


71



既存のユーザー役割に対する既定の最初のランディング画面はマイデバイス画面です。

3. この役割を割り当てられるエンドユーザーが SSP で許可されるアクセスと権限レベルをオプションリストから選択します。

l 画面上のすべてのボックスのチェックを外すには選択解除をクリックします。

l 画面上のすべてのボックスにチェックを入れるにはすべて選択をクリックします。

4. 役割の変更内容を保存します。追加された役割は、役割ページの一覧に表示されます。

役割ページから、役割を閲覧/編集/削除することができます。

既定の役割を構成する

既定の役割は、すべてのユーザー役割設定の出発点となる基本役割です。既定の役割を構成することで、加入時にユーザーが自動的に受け取る許可と権限を設定することができます。

1. デバイス >デバイス設定 >デバイスとユーザー >全般 >加入と進み、グループ化タブを選択します。

2. ｢既定役割｣を選択し、セルフサービスポータル (SSP) でのエンドユーザーの既定レベルのアクセスを構成します。これらの役割設定は、組織グループごとにカスタマイズできます。


既存ユーザーの役割を割り当て/編集する

特定のユーザーの役割を変更し、AirWatch 機能へのアクセスを許可したり制限を追加したりすることができます。

1. 適切な組織グループを選択します。

2. アカウント >ユーザー >リスト表示と進みます。

3. リストから編集したいユーザーを選択します。ユーザーを特定した後、チェックボックスの下の｢編集｣アイコンを選択します。ユーザーを追加/編集画面が表示されます。

4. 全般タブで加入セクションまでスクロールし、ドロップダウンメニューからユーザー役割を選択し、この特定ユーザーの役割を変更します。


管理者役割管理者役割を使用して、AirWatch コンソールのすべての設定とリソースへのアクセス権限を有効/無効にします。これらの設定により、管理者のそれぞれに対し、コンソール権限を与えたりブロックしたりする


72



ことが可能になり、貴社のニーズに応じて、管理者に階層構造を持たせることができます。

複数の管理者役割を作成して時間と手間を省くことができます。複数の組織グループにわたる包括的な構成を行ったり、好きなときに、特定の管理者の権限を変更したりすることができます。

管理者役割リスト表示

管理者役割リスト表示では、社内の各管理者に対する役割を追加、編集、比較、および保守できます。

役割を追加する

新しい管理者役割を作成するには、役割を追加ボタンを選択します。詳細は、74 ページの管理者役割を作成するを参照してください。

役割をインポートする

他の環境からエクスポートされた役割をインポートできます。詳細は、75 ページの管理者役割をインポートする76 ページの管理者役割をエクスポートするおよび 77 ページの管理者役割をインポート/エクスポートする際のバージョンに関してを参照してください。

役割をコピーする

既存の役割をコピーすると、時間を節約できます。また、コピーした役割の権限を変更し、別の名前で保存することができます。

1. コピーしたい役割の横にあるチェックボックスを選択します。

2. コピーボタンを選択します。役割をコピーする画面が表示されます。

3. カテゴリ、名前、および説明を必要に応じて修正します。

4. 修正が完了したら、保存を選択します。

ユーザーを表示する

ユーザーを表示ボタンを選択すると、｢管理者リスト表示｣画面が表示され、すべての管理者が一覧表示されます。役割名を選択し、ユーザーを表示ボタンを選択します。

役割を削除する

管理者役割ライブラリから、未使用の役割を削除できます。管理者に割り当てられている役割は削除できません。削除したい未割り当ての役割を選択し、削除ボタンを選択します。

役割をエクスポートする

役割を貴社デバイス上の任意の場所に XML 形式でエクスポートできます。エクスポートした役割は、後でインポートできます。エクスポートしたい役割を選択し、エクスポートボタンを選択します。詳細は、76ページの管理者役割をエクスポートする、75 ページの管理者役割をインポートする、および 77 ページの管理者役割をインポート/エクスポートする際のバージョンに関してを参照してください。

役割の名前を変更する


73



既存の管理者役割と同盟の管理者役割をインポートしたい場合、既存の役割の名前を変更することを検討してください。詳細は、76 ページの管理者役割の名前を変更するを参照してください。

役割を編集する

既存の役割の名前、説明、および権限を編集できます。リストで、リンクが設定された役割名を選択します。役割を表示画面が表示されます。この画面で役割を編集できます。

2 つの役割を比較する

2 つの役割の権限を比較できます。詳細は、78 ページの管理者役割を比較するを参照してください。

管理者役割を作成する

管理者役割を作成し、AirWatch で実行したい特別なタスクを定義することができます。そのあとで個別の管理者にこれらの役割を割り当てます。管理者役割を作成するには、次の手順を実行します。

1. AirWatch コンソールでアカウント >管理者 >役割と進み、役割を追加を選択します。

2. 役割作成画面で、役割の名前と役割の説明を入力します。

3. カテゴリリストでカテゴリを選択します。

カテゴリセクションは、デバイス管理のようなトップレベルのカテゴリを編成します。その下には、アプリケーション、ブラウザや一括管理などを含むサブカテゴリが位置します。このサブカテゴリにより、簡単に素早く役割を作成することが可能になります。右パネルにあるそれぞれのサブカテゴリ設


74



定には、読み取りと編集のチェックボックスがあります。

カテゴリセクションからカテゴリを選択すると、それに含まれるサブカテゴリのコンテンツ (個々の設定)が右パネルに表示されます。各コンテンツの行に読み取りチェックボックスと編集チェックボックスがあります。また、カラム見出しにも読み取りチェックボックスと編集チェックボックスがあります。カラム見出しのチェックボックスをオンにすると、各コンテンツの行のチェックボックスがすべてオンになります。これにより、役割作成の際に柔軟な制御とカスタマイズが可能になります。

4. 関連するリソースオプションで、必要に応じて読み取りと編集にチェックを入れます。選択されたリソースの任意のものを選択から外すこともできます。

5. カテゴリの中で包括的な選択を行う場合は、右パネルに入力せずに、なし、読み取りまたは編集をカテゴリセクションから直接選択します。カテゴリラベルの右側の丸印のアイコンを選択すると、ドロップダウンメニューが表示されます。カテゴリの設定全体に対し、なし/読み取り/編集機能のどれを選択するかが明白な場合はこの選択方法を使用します。

6. カスタム役割作成後、保存を選択します。追加された役割は、役割画面で確認することができます。この画面から役割詳細を編集したり役割を削除したりすることができます。

AirWatch のバージョン更新時にはその都度カスタム役割を更新し、最新リリースによる新しい権限へのアクセスを設定する必要があります。

管理者役割をインポートする

1 つの環境から管理者役割を XML ファイル形式でインポートし、管理者役割と説明をポータブルなリソースとして使用して構成時間を短縮することができます。

以下の手順に従い別の AirWatch 環境に役割をインポートします。

1. アカウント >管理者 >役割と進み、役割をインポートするを選択します。

2. ｢役割をインポートする｣画面の参照を選択し、上で保存した XML ファイルを探します。アップロードをクリックして管理者役割をアップロードし、｢カテゴリ｣リストから確認します。

3. AirWatch は、XML ファイルチェック、インポートされる役割の権限チェック、役割名の重複チェック、名前欄や説明欄が空白でないかの確認といった一連のチェックを行います。

4. 画面左側から特定のカテゴリを選択し、そのリソース設定を見直してインポートされた役割の設定内容を確認してください。


75



5. 必要に応じて、各種のリソース、および、インポートされた役割の名前と説明を編集できます。既存の役割とインポートされた役割の双方を維持したい場合は、新しい役割をインポートする前に、既存の管理者役割を別名で保存してください。

a. インポートする役割に貴社環境の既存の役割と同じ名前が付けられている場合、｢この環境には、この名前の役割がすでに存在します。既存の役割をオーバーライドしますか?｣というメッセージが表示されます。

b. ｢いいえ｣を選択すると、貴社環境の既存の役割はそのまま残り、新しい役割のインポートがキャンセルされます。

c. ｢はい｣を選択すると、セキュリティ暗証番号を入力するよう求められます。正しい暗証番号を入力すると、既存の役割はインポートされる役割で置き換えられます。

6. 保存をクリックして、インポートされた役割を新しい環境に適用します。

管理者役割をエクスポートする

管理者役割を XML ファイル形式でエクスポートし、別の環境にインポートすることができます。この機能により、管理者役割をポータブルなリソースとして使用して構成時間を短縮することができます。

このプロセスを開始するには、


2. エクスポートしたい役割の横のボックスにチェックを入れます。この操作を行うと、役割リストの上にアクションボタンが表示されます。

3. エクスポートを選択し XML ファイルをデバイスに保存します。

エクスポートアクションは、2つ以上の役割が選択されていると利用できません。

管理者役割の名前を変更する

管理者役割をインポートする際に、既存の管理者役割と同じ名前の役割がある場合は、まず既存の役割の名前を変更することをお勧めします。こうすることで、同じ環境内で既存の役割と新しく追加する役割の双方を維持することができます。

1. アカウント >管理者 >役割と進み、名前を変更したい役割の編集アイコン ( ) を選択します。役割を編集画面が表示されます。


76



2. 役割の名前を編集し、必要な場合は説明も編集します。


管理者役割をインポート/エクスポートする際のバージョンに関して

場合によっては、ある環境からエクスポートされた役割が、AirWatch の古いバージョンを使用した別の環境にインポートされることがあるかもしれません。そしてこの古いバージョンには、インポートされた役割に必要な同じリソースと権限が存在しないかもしれません。

そのような場合には、AirWatch に以下のメッセージが表示されます。この環境にあるいくつかの権限が、ユーザーのインポート済みファイルには見つかりません。保存する前に、ハイライトされた権限を見直して、正しく入力しなおしてください。

カテゴリのリスト表示画面を使用して、ハイライトされた権限の選択を解除してください。この操作により、役割を新しい環境に保存することができます。

管理者役割カテゴリの読み取り/編集インジケータ

カテゴリセクションには、読み取りのみ、編集といった権限の選択状態を反映するビジュアルインジケータがあります。このインジケータが設定詳細を表示するので、管理者は個々のサブカテゴリを開いて調べる必要がありません。

インジケータは、カテゴリリストの右側に位置する丸印のアイコンで以下のように分類されます。

このカテゴリのすべてのオプションは編集機能を持つ (読み取りのみの機能も含む)

カテゴリ設定の大部分の編集機能は有効だが、少なくとも 1つのサブカテゴリの編集が無効になっている

すべてのカテゴリ設定が読み取り専用 (編集は無効)

カテゴリ設定の大部分は読み取り専用だが、少なくとも 1つのサブカテゴリの編集が有効になっている

管理者の役割を割り当てる/編集する

管理者に役割を割り当て、AirWatch コンソール管理者権限を拡張することができます。あるいは、既存の役割を編集し、権限を制限したり、変更したりすることもできます。

1. アカウント >管理者 >リスト表示と進み、管理者アカウントを探し、アクションボタンクラスタで編集アイコンを選択します。管理者を追加/編集画面が表示されます。

2. 役割タブを選択します役割を追加を選択します。

3. 追加する役割のそれぞれに組織グループと役割詳細を入力します。



77



管理者役割比較ツール

管理者役割を作成する際、一般に、一から作成するよりも、既存の役割を修正する方が簡単です。その場合は、役割比較ツールで作業がより簡単になります。

役割を 1つしか選択しなかったり、あるいは 2つ以上選択したりすると、比較ボタンは表示されません。

l 既定設定では、設定が異なるカテゴリとサブカテゴリのみが表示されます。 2つの役割において同一である設定を含むすべての権限を表示するには、すべての権限を表示を有効化します。

l 選択した 2つの役割の権限が完全に同一な場合は、役割を比較画面上部に以下のメッセージが表示されます。

｢2 つの役割における権限の違いはありません｣

l エクスポートを選択し、Excel で表示できる CSV (コンマ区切り値)ファイルを作成することもできます。この CSV ファイルは、役割 1と役割 2の設定の全体のリストを含み、2つの役割の差異の分析に使用できます。

管理者役割を比較する

任意の 2つの管理者役割の権限を比較し、精度確認や設定の意図が反映されているかを確認したりすることができます。以下の手順に従い役割比較ツールを使用して 2つの管理者役割を比較します。


2. リストから任意の 2つの役割を選択し (異なるページの役割でも選択することができます)、チェックを入れます。


78



3. 比較を選択します。カテゴリ一覧のある役割比較画面が表示されます。左側で特定のカテゴリを選択すると、右側にそのカテゴリの詳細が表示されます。

l 役割のサブカテゴリも右側パネルの右端にある詳細リンクを選択することで閲覧できます。サブカテゴリの役割は非表示リンクを選択して畳むことができます。

l 左側パネルにはすべてカテゴリがあり、これを選択するとすべてのメインレベルカテゴリが役割比較画面に表示されます。リソースを検索に検索パラメータを入力すると、右側パネルはカテゴリとリソースリストの両方に合致するアイテムのみを表示します。

l この検索パラメータは保持されます。つまり、リソースを検索バーにパラメータを入力すると、すべてのカテゴリを選択しても、合致するカテゴリとリソースのみが表示されます。この検索機能は、特定リソースを選択し、読み取りと編集を選択した後も保持されます。


79



第6章:グループ割り当てグループ概要 81組織グループ概要 83スマートグループ概要 88ユーザーグループ概要 94管理者グループ概要 104割り当てを表示する 108

80



割り当てグループ概要割り当てグループとは、AirWatch で管理グループ構造の分類として使用される包括的な用語です。

組織グループ、スマートグループ、およびユーザーグループのそれぞれが、一連の機能と特長を持っており、互いに区別されます。それぞれに共通しているのは、コンテンツをユーザーデバイスに手早く割り当てる際に使用することができるという点です。割り当てグループを使用することで、管理者は、これら 3つのグループ構造を 1か所で管理できるようになります。

リスト表示を使用して、複数の組織グループ、スマートグループ、およびユーザーグループを、1つ以上のプロファイル、パブリックアプリケーション、およびポリシーに割り当てることができます。

グループと設定 >グループ >割り当てグループと進みます。

カスタム割り当てグループリストを作成する

割り当てグループリスト表示には、コンテンツをデバイスに割り当てる機能をもつ、組織グループ、スマートグループ、ユーザーグループという 3つのリストが含まれています。このリストから、貴社に関係のあるグループだけを抽出することができます。

カラムごとに並べ替える

カラムのヘッダをクリックして、カラムごとにグループリストを並べ替えることができます。

グループにフィルタを適用する

グループタイプ (スマートグループ、組織グループ、およびユーザーグループ)を基準にしてグループにフィルタを適用することができます。また、割り当ての値 (｢割り当て｣、｢除外｣、｢すべて｣、｢なし｣) を基準にしてグループにフィルタを適用することもできます。

第 6 章: グループ

81



割り当てグループリストのリンクを選択する

割り当てグループリスト画面の以下の 4つのカラムは重要な機能をもっています。

l グループカラムには、各スマートグループへのリンクが表示されています。このリンクを選択して、スマートグループを編集することができます。

l 割り当てカラムで 0以外の値を選択した場合、｢割り当てを表示｣画面が表示されます。割り当てられている組織グループとユーザーグループも表示されます。この画面から、プロファイル、パブリックアプリケーションと順守ポリシーへの割り当てを閲覧して確認することができます。

l 除外カラムで 0以外の値を選択した場合、｢割り当てを表示｣画面が表示されます。除外された組織グループとユーザーグループも表示されます。｢割り当てを表示｣画面で、プロファイル、パブリックアプリケーション、および順守ポリシーに対する除外情報を閲覧および確認することができます。

l デバイスカラムの数値を選択した場合、｢デバイスリスト表示｣画面が表示されます。｢デバイスリスト表示｣画面には、選択された組織グループ、スマートグループ、またはユーザーグループに属するすべてのデバイスが一覧表示されます。


108 ページの割り当てを表示する

220 ページのデバイスリスト表示

1 つ以上の割り当てグループを割り当てる

複数のグループをデバイスプロファイル、パブリックアプリケーション、順守ポリシーに割り当てることができます。組織グループ、スマートグループ、ユーザーグループといった異なるタイプから成る複数のグループを一度に割り当てることもできます。

1. グループと設定 >グループ >割り当てグループと進みます。

2. 1 つ以上のグループをリストから選択し、カラムヘッダの上に表示される割り当てを選択します。


82



3. 割り当て画面には、選択した組織グループ、スマートグループ、ユーザーグループが表示されます。

4. それらのグループを割り当てたいプロファイル、パブリックアプリケーション、順守ポリシーを検索します。 10 件のプロファイル、10 個のアプリケーション、および単一の順守ポリシーを選択することができます。1つのセッションで複数のものを選択できますが、タイプは 1つに限られます。たとえば、1つのコマンドで複数のグループを最大 10 件のプロファイルに割り当てることができますが、1つのコマンドで複数のグループを 10 件のプロファイル、10 個のアプリ、および 1つの順守ポリシーに割り当てることはできません。複数のタイプに複数の割り当てを行いたい場合は、タイプ (プロファイル、アプリ、ポリシー)ごとに別々に割り当てを行う必要があります。

5. 次へをクリックするとデバイス割り当て表示画面が開きます。グループ割り当てを確認します。

6. 保存して公開を選択し、割り当てを確定します。

組織グループ概要AirWatch は組織グループを使用してユーザーを識別し権限を設定します。コンテンツをデバイスに配布するさまざまな方法がありますが、貴社組織の階層構造と同一な MDM階層構造を確立するためにも組織グループを使用してください。 AirWatch 機能とコンテンツに基づいて組織構造を確立することもできます。

組織グループは、グループと設定 >グループ >組織グループ >リスト表示と進むか、あるいは組織グループドロップダウンメニューから閲覧することができます。

l 貴社組織内のエンティティに倣ったグループを構築

l メインとサブグループに階層構造をカスタマイズ

l 複数の内部インフラをその階層レベルで統合

l マルチテナント構造により役割に基づいてアクセス/管理権限を委譲

組織グループの特長

組織グループを使用することで、機能的/地理的/組織的エンティティのすべてに対応する、以下のようなマルチテナント対応のソリューションが可能になります。


83



l 高拡張性 – 急成長する企業を完全にサポート

l マルチテナント性 – 独立環境として機能するグループを作成

l 継承 – メイングループの構成をサブグループに継承することでセットアッププロセスを効率化

組織グループのドロップダウンメニューを例に説明すると、任意のプロファイル、機能、アプリケーション、その他の MDM設定を｢World-Wide Enterprises 社｣レベルで設定できます。

これらの設定は、サブ組織グループである Asia/Pacificや EMEA、またはさらに下の Australia >Manufacturing Divisionや Australia > Operations Division > Corporateにまで継承されます。

あるいは、サブ組織グループレベルで設定を上書きし、変更したい設定のみを変更してそれ以外は継承することも可能です。これらの設定はすべてのレベルに継承することも、任意のレベルで変更することも可能です。

組織グループをセットアップする際の検討事項

AirWatch コンソールで貴社の組織グループ階層構造をセットアップする前に、まずグループ構造を決めてください。そうすることで、設定、アプリケーションとリソースを最大限に活用することができます。

l 代理管理者 – 下位の管理者にサブ組織グループのみの制限された可視性を与え、管理権限を委任します。


84



l 企業管理者は、この環境内のすべての情報を閲覧することができる。

l LA マネージャは LA 組織グループに対するアクセス権限を持ち、この組織グループに属するデバイスのみを管理することができる。

l NYマネージャは NY組織グループに対するアクセス権限を持ち、この組織グループに属するデバイスのみを管理することができる。

l システム設定 – 設定は組織グループの異なるレベルで適用でき、継承することができます。どのレベルでも上書きを行うことができます。設定にはデバイス加入オプション、認証方法、プライバシー設定とブランディングが含まれます。

l 企業全体で企業の Active Directory サーバへの加入設定を確立する。

l ドライバデバイスは、上位グループの認証設定を上書きし、トークンによる加入を許可する。

l 倉庫デバイスは、メイングループの Active Directory 設定を継承する。

l デバイスユースケース – プロファイルは 1つまたは複数の組織グループに割り当てることができます。該当グループに属するデバイスはそのプロファイルを受け取ります。詳細は、｢プロファイル｣セクションを参照してください。デバイスメイク、モデル、所有形態やユーザーグループといったデバイス属性に基づき、プロファイル、アプリケーション、コンテンツ設定を使用して、組織グループを作成する前にデバイス構成を行うことをお勧めします。

l エグゼクティブデバイスは、アプリケーションをインストールすることはできないが、Wi-Fi セールスネットワークへのアクセスを許可。

l セールスデバイスには、アプリケーションのインストールとVPN アクセスを許可。

組織グループに関する設定を上書き/継承する

貴社の階層構造により、メイン組織グループとサブ組織グループが決まります。設定は基本的に継承されます。設定を上書きできるのは、リポジトリやアプリケーションを追加した場合のみです。


85



リポジトリとアプリケーションに関しては、メイングループの設定を継承するサブグループに追加することができます。あるいは、必要に応じて各グループレベルで設定を上書きすることもできます。

詳細は、｢VMware AirWatch モバイルコンテンツ管理 (MCM) ガイド｣および｢VMware AirWatch モバイルアプリケーション管理 (MAM) ガイド｣を参照してください。これらの文書の入手方法については、267 ページの他の文書を入手するを参照してください。

組織グループを作成する

デバイスが展開されている各ビジネスユニットに組織グループを作成する必要があります。作業するユーザーが現在属している組織グループが、作成するサブ組織グループの親になります。

1. グループと設定 >グループ >組織グループ >組織グループ詳細と進みます。

2. サブ組織グループの追加タブを選択し、以下の設定を行います。

設定説明

名前表示したいサブ組織グループの名前を入力します。使用できる文字は英数字だけです。それ以外の文字は使用できません。

グループ ID

エンドユーザーがデバイスのログイン時に使用する組織グループの ID を入力します。グループ ID は、加入時にデバイスを適切な組織グループに分類するために使用されます。

デバイスを共有するエンドユーザーが、グループ ID を受け取っていることを確認してください。共有デバイスの構成によっては、デバイスのログイン時にエンドユーザーによるグループ ID 入力が必要になります。

タイプサブ組織グループのカテゴリに適合する、事前構成されている組織グループタイプを選択します。

国組織グループが存在する国を選択します。

ロケール

選択した国の言語分類を選択します。

カスタマーの業種

このフィールド値は、タイプの値が｢カスタマー｣である場合にのみ指定できます。｢カスタマーの業種｣のリストから選択します。


組織グループタイプの機能

組織グループのタイプにより、管理者が構成できる設定の内容が異なります。ワイプ保護のような一部のシステム設定、および、個人コンテンツ、DEP、テレコムといった一部の機能は、カスタマーレベルの組織グループでのみ構成できます。また、｢グローバル｣タイプは特定の展開でのみ利用できます。カスタマー、パートナー、グローバル以外のタイプは、単なるメタデータであり、それ以外の目的はありません。


86



組織グループの各種のタイプ (グローバル、パートナー、カスタマー、コンテナ等)の詳細は、VMware AirWatch ナレッジベース資料 (https://support.air-watch.com/articles/115001662908) を参照してください。

グローバルでデバイスを追加する

グローバル組織グループは、｢カスタマー｣およびその他のタイプの組織グループを所属させる目的で用意されているものです。設定は下位の組織グループに継承されるので、デバイスをグローバル組織グループに追加し、かつ、それらのデバイスに影響を及ぼす設定を使用してグローバル組織グループを構成する場合、その下位のすべてのカスタマー組織グループにも影響が及びます。つまり、マルチテナントと継承のメリットが活かされません。

詳細は、149 ページのデバイスをグローバルレベルで加入させるべきでない理由を参照してください。

組織グループによる制限事項

組織グループによる制限がある設定を構成しようとした場合、グループと設定 >すべての設定と進んだときに表示される設定画面に、その制限の内容が表示されます。

カスタマーレベルの組織グループを作成する際には、以下の制限が適用されます。

l SaaS 環境では、入れ子構造になったカスタマー組織グループを作成することはできません。

l オンプレミス環境では、｢システム管理者｣役割を与えられた管理者であれば、入れ子構造になったカスタマー組織グループを作成できます。

｢設定の比較｣で組織グループを比較する

AirWatch 管理者として、ある組織グループと別のグループの設定を比較したい場合があるかもしれません。組織グループの設定を比較するには、次のような方法があります。

l AirWatch の異なるソフトウェアバージョンの組織グループの設定を含む XML ファイルをアップロードする

l バージョンの移行の際に、構成の相違が元で問題が発生する可能性をなくす。

l 比較結果をフィルタにかけ、比較したい項目のみの結果を表示する

l 検索機能に設定の名前を入力し、特定の設定を確認する

この組織グループ比較機能は、オンプレミス展開でのみ利用可能です。


87





2 つの組織グループを比較する

2 つの組織グループの設定を比較し、バージョン移行の際の問題を軽減することができます。

たとえば、あるユーザー受け入れテスト (UAT) サーバがアップグレード、構成、およびテストされた後、UATサーバの設定を本番サーバの設定と直接比較できます。

1. グループと設定 >すべての設定 >管理者 >設定管理 >設定の比較と進みます。

2. 左側のドロップダウンメニューで、貴社環境の組織グループを選択します (1と表示されています)。または、アップロードボタンをクリックし、エクスポート済みの組織グループ設定 XML ファイルを選択して、XML 設定ファイルをアップロードします。

3. 右側のドロップダウンメニューで、比較対象の組織グループを選択します (2と表示されています)。

4. 更新ボタンをクリックし、選択した 2つの組織グループのすべての設定リストを表示します。 2つの組織グループ間の設定の相違は自動的にハイライトされます。違いのみを表示チェックボックスをオンにすることもできます。この場合、一方の組織グループにのみ適用されている設定だけが表示されます。空白または特定されていない設定は、比較設定リストで｢NULL｣と表示されます。

スマートグループ概要スマートグループとは、カスタマイズ可能なグループであり、どのプラットフォーム、デバイス、ユーザーが、どのアプリケーション、ブック、順守ポリシー、デバイスプロファイル、プロビジョンを受け取るかを決定します。

組織グループは通常、地理的な場所、ビジネスユニット、および部署を基準にして定義されます。一方、スマートグループを利用した場合、デバイスプラットフォーム、モデル、オペレーティングシステム、デバイスタグ、またはユーザーグループを基準にしてコンテンツと設定を柔軟に配布できます。複数の組織グループにわたって個別のユーザーにコンテンツを配布することも可能です。

コンテンツのアップロードおよび設定の定義を行うときに、スマートグループを作成できます。モジュール型の構成であるため、スマートグループはいつでも作成することができ、後で割り当てを行う際に使用できます。

スマートグループの主な利点は再使用できるということです。コンテンツを追加したときや、プロファイルまたはポリシーを定義したとき、その都度直感的に新たな割り当てを行うことができます。スマートグループに対する割り当て先を 1回だけ定義した場合、コンテンツの定義の中にそれらのスマートグループを含めることができます。

スマートグループを作成する

はじめにスマートグループを作成し、それからアプリケーション、ブック、順守ポリシー、デバイスプロファイル、ビデオチャンネル、またはプロダクトプロビジョンに割り当てます。


88



1. 新しく作成するスマートグループの適用対象かつ管理元となる適切な組織グループを選択します。

2. グループと設定 >グループ >割り当てグループと進み、スマートグループを追加を選択します。

3. スマートグループの名前を入力します。

4. スマートグループタイプを構成します。条件を選択またはデバイスまたはユーザーを選択のいずれかを選択します。

l 条件を選択は、一般的な更新情報を受信する大規模グループ (デバイス数 500 台以上)に最適です。これらのグループ固有の詳細情報をすべてのモバイルデバイスに適用できるからです。

o 条件を選択から、新しく追加するスマートグループを条件付けるパラメータを選択します。パラメータには組織グループ、ユーザーグループ、所有形態、タグ、プラットフォームとOS、モデル、およびエンタープライズ OEMバージョンがあります。追加そして除外セクションで、デバイスやユーザーを追加または除外することもできます。

プラットフォームはスマートグループの抽出条件の 1つですが、デバイスプロファイルや順守ポリシーにおいて構成されるプラットフォーム条件が、スマートグループのプラットフォーム条件より常に優先されます。例えば、あるデバイスプロファイルが iOS プラットフォームに対して作成されている場合、スマートグループに Android デバイスが含まれていても、そのプロファイルは iOS デバイスのみに割り当てられます。


89



l デバイスまたはユーザーを選択は、重要な更新情報を不定期に受信する小規模グループ (デバイス数 500 台以下)に最適です。グループのメンバーをきめ細かく選択できるからです。

条件を選択とデバイスまたはユーザーを選択を切り替えると、それまでに入力したエントリや選択アイテムは消去されます。

o 企業の一般的なモビリティ管理枠の外でコンテンツや設定を特別に割り当てたい場合は、デバイスまたはユーザーを選択タイプを使用します。デバイスにはデバイスのフレンドリ名を、ユーザーにはユーザーの名前 (名または姓)を入力します。最低 1台のデバイスまたは 1人のユーザーを追加する必要があります。そうでない場合、スマートグループは保存されません。

スマートグループのプログラムに使用できるルールの数は 500 個までです。この 500 までというルールの制限は、スマートグループに条件を選択とデバイスまたはユーザーを選択のどちらを使用するかの判断にかかわる、デバイスのしきい値が 500 であることとは関係ありません。

5. 設定後保存をクリックします。

スマートグループを割り当てる

作成したスマートグループを利用するには、そのスマートグループを割り当てる必要があります。アプリケーション、ブック、順守ポリシー、デバイスプロファイル、ビデオチャンネル、またはプロダクトプロビジョンに割り当てることができます。スマートグループを割り当てるには、以下の 2つの方法があります。

デバイスプロダクトを作成する際にスマートグループを割り当てる

アプリケーション、ブック、順守ポリシー、デバイスプロファイル、ビデオチャンネル、プロダクトプロビジョンを追加中または作成中に、以下の手順に従ってスマートグループを割り当てます。

1. 割り当てるグループのドロップダウン記入欄に入力します。

2. ドロップダウンメニューからスマートグループを選択します。選択可能なスマートグループは、リ


90



ソースが追加されている組織グループ内またはその下位の組織グループ内で管理されているスマートグループだけです。

3. 希望する割り当て条件に合致するスマートグループがない場合は、新しいスマートグループを作成オプションを選択します。アプリケーション、ブック、順守ポリシー、デバイスプロファイル、ビデオチャンネル、またはプロダクトプロビジョンごとに 1つ以上のスマートグループを割り当てることができます。

4. 保存を選択し、割り当てを確定します。

スマートグループの管理プロセスの一環として割り当てる

スマートグループの管理プロセス中に、以下の手順に従ってスマートグループを割り当てます。

1. グループと設定 >グループ >割り当てグループと進み、スマートグループ全体のリストを表示します。

2. 割り当てたいスマートグループを 1つ以上選択し、割り当てを選択します。割り当て画面が表示されます。

割り当て画面上部の｢グループ｣リンクを選択するとグループ画面が表示されます。この画面にはそのスマートグループを管理している組織グループが表示されます。閉じるボタンを選択し、｢割り当て｣画面に戻ります。

3. 割り当て画面の検索ボックスを使用して利用できるプロダクトを表示し、選択したスマートグループに割り当てます。

4. 次へを選択し、デバイス割り当て表示画面を開き、割り当て状況を確認します。

5. 保存して公開を選択します。

詳細は、192 ページのデバイス割り当てを表示するを参照してください。

プロファイルやポリシーからスマートグループを除外する

スマートグループは、アプリ、ブック、ビデオチャンネル、プロダクトだけでなく、デバイスプロファイルや順守ポリシーにも適用できます。選択したスマートグループをプロファイルやポリシーから除外する機能によって、より柔軟な管理が可能になります。

たとえば、社内の幹部を除くすべてのユーザーを対象とする順守ポリシーを適用したい場合、すべてのユーザーを含むスマートグループをそのポリシーに割り当て、幹部のみを含むスマートグループを除外するのが簡単なやり方です。

1. 新しいデバイスプロファイルや順守ポリシーを追加する際に、除外設定の横のはいを選択すると除外するグループオプションが表示されます。

2. 除外するグループから、該当するプロファイルまたはポリシーの割り当てから除外したいスマートグループを選択します。割り当てグループを作成ボタンを選択して、新しいスマートグループを作成す


91



ることもできます。

割り当てるグループと除外するグループの両方に同じスマートグループを選択すると、そのプロファイルまたはポリシーは保存されません。

3. デバイス割り当て表示ボタンをクリックし、影響を受けるデバイスを確認します。

スマートグループリスト表示

AirWatch コンソールからスマートグループを編集/割り当て/割り当て解除/除外/削除して管理します。グループと設定 >グループ >割り当てグループと進み、スマートグループ全体のリストを表示します。管理者は、自分の権限設定に基づいて、自分が管理できるグループのみを閲覧することができます。

グループ、割り当て、除外、デバイスのカラムのリンクを選択すると、詳細情報を閲覧できます。

l 割り当てまたは除外カラムにあるリンクを選択するとスマートグループの割り当てを表示画面を表示します。

l デバイスカラムのリンクを選択するとデバイス >リスト表示が表示され、該当のスマートグループに含まれるデバイスのみが表示されます。

l グループタイプ (スマートグループ、組織グループ、ユーザーグループ、またはすべて)または割り当て状態を基準にして、グループにフィルタを適用することができます。割り当て状態の種類は、割り当てられている、除外されている、両方である、どちらでもない、のいずれかです。

l さらに、リストから直接スマートグループを割り当てることもできます。

スマートグループを編集、削除、割り当て解除する

スマートグループに対して行う編集は、そのスマートグループに割り当てられているすべてのポリシーやプロファイルに影響を与えます。

例えば、幹部に対するスマートグループに 1つの順守ポリシー、1つのデバイスプロファイル、そして 2つの内部アプリが割り当てられているとします。一部の幹部を除外したい場合、スマートグループに除外


92



を設定することで簡単に編集できます。このアクションの影響で、除外したデバイスから 2つの内部アプリだけでなく、順守ポリシーとデバイスプロファイルも削除されます。

1. グループと設定 >グループ >割り当てグループと進みます。

2. 編集したいスマートグループの左側にある編集アイコン ( ) を選択します。あるいは、グループカラムからスマートグループ名を選択することもできます。スマートグループを編集画面に、現在の設定が表示されます。

3. スマートグループを編集画面で、(そのスマートグループが保存された際のタイプに基づき)条件あるいはデバイスまたはユーザーを修正し、次へを選択します。

4. 割り当てを表示画面から、編集の結果デバイスに追加または削除されるプロファイル、アプリ、ブック、プロビジョンやポリシーを確認します。

5. スマートグループの編集内容を保存するには公開を選択します。このスマートグループに関連付けられているすべてのプロファイル、アプリ、ブック、プロビジョンやポリシーの割り当てに、この変更が反映されます。

コンソールイベントロガーは、変更を行った者、追加されたデバイス、削除されたデバイスなど、スマートグループへの変更点を追跡します。

スマートグループを削除する

不要になったスマートグループは削除することができます。一度に削除できるのは一つのスマートグループのみです。 2つ以上のスマートグループを選択すると、削除ボタンは利用できなくなります。いずれかに割り当てられているスマートグループは削除できません。

1. グループと設定 >グループ >割り当てグループと進み、一覧から削除したいスマートグループを特定します。

2. スマートグループの名前の左側のチェックボックスを選択し、表示されるアクションから削除を選択します。

スマートグループの割り当てを解除する

スマートグループの割り当てをアプリケーション、ブック、チャンネル、ポリシ、プロファイル、またはプロダクトから解除することができます。このアクションにより、そのスマートグループのすべてのデバイスから関連コンテンツが削除されます。

1. アプリケーション、ブック、順守ポリシー、デバイスプロファイル、またはプロダクトプロビジョンからスマートグループの割り当てを解除します。次のとおりに進んでください。

l アプリケーション –アプリとブック >アプリケーション >リスト表示と進みパブリックタブまたは社内タブを選択します。


93



l ブック –アプリとブック >ブック >リスト表示と進み、パブリックタブ、社内タブ、Webタブのいずれかを選択します。

l チャンネル –コンテンツ >動画 >チャンネルと進みます。

l 順守ポリシー –デバイス >順守ポリシー>リスト表示と進みます。

l デバイスプロファイル –デバイス >プロファイルとリソース >プロファイルと進みます。

l プロダクトプロビジョン –デバイス >代理セットアップとプロビジョニング >プロダクト >リスト表示と進みます。

2. 一覧からコンテンツまたは設定を探し、アクションメニューから編集アイコン ( ) を選択します。

3. 割り当てタブを選択するか、割り当てられたスマートグループ欄を確認します。

4. 割り当てを解除したいスマートグループの隣の削除アイコン (X) を選択します。このアクションはスマートグループを削除するものではありません。単に保存された設定からスマートグループの割り当てを削除するものです。

5. 必要なステップに従って変更点を保存します。

コンソールイベントロガーを使用してスマートグループのイベントを調査する

どのような変更が、いつ、誰によってスマートグループに行われたかは、コンソールイベントロガーで簡単に把握できます。このような追跡機能はデバイスのトラブルシューティングの際に役に立ちます。

1. ハブ >レポート &分析 >イベント >コンソールイベントと進みます。

2. コンソールイベントリストの最上部にあるモジュールドロップダウンフィルタからスマートグループを選択します。

3. 必要に応じ、日付範囲、重要度、カテゴリなどの追加のフィルタを適用します。

4. イベントデータカラムのハイパーリンク付きテキストには補足的な詳細情報が含まれており、調査をサポートします。

ユーザーグループ概要一連のユーザーをユーザーグループにまとめることができます。ユーザーグループは、組織グループと同様、プロファイルとアプリケーションを割り当てる際のフィルタのような機能を果たします。貴社の MDM環境を構成する際には、ユーザーグループを、貴社におけるセキュリティグループとビジネス役割区分に添った形で作成する必要があります。


94



プロファイル、順守ポリシー、コンテンツ、およびアプリケーションを、ユーザーグループに属するユーザーとデバイスに割り当てることができます。既存のディレクトリサービスグループを AirWatch に追加することも、すべて手作業でユーザーグループを作成することもできます。

あるいは、ユーザーグループの代わりに、事前構成されたネットワーク IP アドレス範囲に基づいてデバイスを割り当てることでコンテンツを管理することもできます。詳細は、157 ページのデバイス割り当ての概要を参照してください。

ディレクトリ統合なしのユーザーグループ (カスタム)

貴社の既存の Active Directory 構造に含まれないユーザーグループを作成することもできます。管理者は、この機能を用いて特別なユーザーグループをいつでも作成することができます。これにより、貴社の展開に応じて、機能やコンテンツへのアクセスを特別にデザインできます。ベーシックユーザーとディレクトリユーザーの双方を含んだ、カスタマイズされたユーザークループを作成することができます。たとえば、特殊なアプリ、デバイスプロファイル、順守ポリシーを要する特別なプロジェクト向けに一時的なユーザーグループを作成したりすることができます。

ユーザーグループを一括追加する方法の詳細は、61 ページのユーザーグループをバッチインポートするを参照してください。

ディレクトリ統合なしにユーザーグループを追加する (カスタム)

貴社の組織構造とは別に、カスタムユーザーグループを作成したい場合があるかもしれません。カスタムユーザーグループを追加できるのはカスタマーレベルの組織グループのみですのでご注意ください。

1. アカウント >ユーザーグループ >リスト表示と進み、追加、ユーザーグループの追加の順に選択します。

2. ユーザーグループタイプオプションをカスタムに変更します。

3. AirWatch コンソールでユーザーグループを識別できるようにグループ名と説明を入力します。

4. ユーザーグループを管理する組織グループが正しく選択されていることを確認し、保存をクリックします。

5. ユーザーをこのユーザーグループに追加するには、アカウント >ユーザー >リスト表示と進みます。

ユーザーを一括追加するには、リスト内の各ユーザー名の行の左端にあるチェックボックスをオンにします。次に、カラム見出しの上にある管理ボタンを選択し、ユーザーグループに追加を選択します。

ディレクトリ統合とユーザーグループ

Active Directory 統合なしにカスタムユーザーグループを設定する代わりに、貴社の既存の ActiveDirectory 構造を利用したユーザー統合を行うことができます。この方法には多くのメリットがあります。


95



既存のディレクトリサービスユーザーグループを AirWatch ユーザーグループとしてインポートすることで、以下のようなタスクを実行できます。

l ユーザー管理 – 既存のディレクトリサービスグループ (セキュリティグループや配布リストなど)を参照し、AirWatch のユーザー管理を既存のシステムと合わせます。

l プロファイルとポリシー – AirWatch 展開全体のプロファイル、アプリケーションやポリシーをユーザーに割り当てます。

l 統合された更新 – グループメンバーシップの変更に基づき、ユーザーグループ割り当てを自動的に更新します。

l 管理権限 – 承認された管理者のみに、ポリシーの変更と特定のユーザーグループへのプロファイルの割り当てを許可するように管理権限を設定します。

l 加入 – ユーザーが既存の資格情報を使用して加入できるようにし、自動的に組織グループを割り当てます。

管理者は、デバイスとユーザー管理のベースとなるメインのルート場所として、既存の組織グループを 1つ指定する必要があります。また、ディレクトリサービスはこのルート組織グループレベルで有効化される必要があります。

貴社の既存のディレクトリサービスグループを AirWatch に追加することができます。この操作で、各ディレクトリサービスアカウントに対する AirWatch ユーザーアカウントを即時に作成することはできませんが、AirWatch はそれらのアカウントをユーザーグループとして認識します。このグループを加入制限の一つの方法として使用することができます。

ディレクトリユーザーグループを一括追加する方法の詳細は、61 ページのユーザーグループをバッチインポートするを参照してください。

ディレクトリ統合を行ってユーザーグループを追加する

ディレクトリ統合を行ってユーザーグループを作成することは、より系統だったデバイス管理を行ううえでメリットがあります。デバイス加入に加え、それ以降の更新、管理、ユーザー管理にいたるまで、貴社の既存のディレクトリサービス構造と足並みを揃えて行うことができます。

操作を行う前に、ユーザーグループタイプがディレクトリであることを確認します。

1. アカウント >ユーザーグループ >リスト表示と進み、追加、ユーザーグループの追加の順に選択します。


96



設定説明

タイプユーザーグループのタイプを選択します。

l ディレクトリ – 貴社の既存の Active Directory 構造に沿ってユーザーグループを作成します。

l カスタム – 貴社の既存の Active Directory 構造とは関係なくユーザーグループを作成します。このユーザーグループタイプでは、ベーシックユーザーとディレクトリユーザーが機能とコンテンツを利用して、貴社の環境に従ってユーザーグループをカスタマイズすることができます。カスタムユーザーグループを追加できるのはカスタマーレベルの組織グループのみですのでご注意ください。

外部タイプ追加するグループの外部タイプを選択します。

l グループ – 貴社のユーザーグループのベースとなるグループオブジェクトクラスを参照します。このクラスをカスタマイズするには、グループと設定 >すべての設定 >システム >エンタープライズ統合 >ディレクトリサービス >グループと進みます。

l 組織ユニット – 貴社のユーザーグループのベースとなる組織ユニットオブジェクトクラスを参照します。このクラスをカスタマイズするには、グループと設定 >すべての設定 >システム >エンタープライズ統合 >ディレクトリサービス >グループと進みます。

l カスタムクエリ – カスタムクエリを実行し、返されたユーザーを含むユーザーグループを作成することもできます。この外部タイプを選択すると、テキスト検索の代わりに、｢カスタムクエリ｣セクションが表示されます。

テキスト検索

貴社のディレクトリ内のユーザーの名前を特定するには、検索条件を入力し、検索を選択して検索します。入力した語句がディレクトリグループの名前に含まれている場合、そのグループ名のリストが表示されます。

外部タイプとしてカスタムクエリを選択した場合、このフィールドは使用できません。


貴社のディレクトリサービスサーバのアドレスが表示されます。この欄は読み取りのみです。

ドメインとグループベース DN

この情報は、ディレクトリサービス画面 (グループと設定 >システム >エンタープライズ統合 >ディレクトリサービス) で入力したディレクトリサービスサーバ情報に基づいて自動的に入力されます。

グループベース DNの横にある DN を取得 (+) を選択します。識別名のリストが表示されます。このリストで識別名を選択できます。


97



設定説明

カスタムオブジェクトクラス

クエリを実行するオブジェクトクラスを特定します。既定のオブジェクトクラスは｢person｣ですが、カスタムオブジェクトクラスを提供することで貴社のユーザーを特定する精度を上げることができます。

この欄は、外部タイプとしてカスタムクエリを選択した場合のみに表示されます。

グループ名テキスト検索結果リストからグループ名を選択します。｢識別名｣欄の値を変えると、選択されるグループ名も自動で変わります。

この欄は、テキスト検索欄を使った検索が正常に行われた後にのみ表示されます。

識別名作成しているグループの完全な識別名が表示されます。この欄は読み取りのみです。

この欄は、外部タイプとしてグループまたは組織ユニットを選択した場合のみに表示されます。

カスタムベース DN

ベース識別名を特定します。これはクエリの開始点としての役割を果たします。既定のベース識別名は "AirWatch" および "sso" です。ただし、別の開始点からクエリを実行したい場合は、カスタムベース識別名を指定できます。


組織グループ割り当て

この欄はオプションです。これにより、作成しているユーザーグループを特定の組織グループに割り当てることができます。


ユーザーグループ設定

既定の設定を適用とこのユーザーグループにカスタム設定を使用するのいずれかを選択します。カスタム設定セクションに入力欄の追加説明があります。グループを作成した後、権限設定からこれらの設定を構成することができます。

この欄は、外部タイプとしてグループまたは組織ユニットを選択した場合のみ表示されます。

カスタムクエリ

クエリこの欄は、クエリをテストボタンを選択したときと、続行ボタンを選択したときに、現在読み込んでいるクエリを表示します。カスタムロジック欄またはカスタムオブジェクトクラス欄の変更はここに反映されます。

カスタムロジック

ユーザー名や管理者名などのカスタムクエリロジックはここに追加します。例:"cn=jsmith"。識別名の大部分を含めることも、わずかな部分しか含めないこともできます。クエリをテストボタンにより、クエリのシンタックスが正しいかを続行ボタンをクリックする前に確認することができます。


98



設定説明

カスタム設定

管理権限作成するユーザーグループを管理する権限を、すべての管理者に許可することも管理権限をブロックすることもできます。

既定役割ドロップダウンメニューからユーザーグループの既定役割を選択します。

既定の加入ポリシー

ドロップダウンメニューから既定の加入ポリシーを選択します。

ディレクトリと自動同期

このオプションでディレクトリ同期が有効になり、ディレクトリサーバからユーザーメンバーシップを検出し、一時テーブルに保管します。｢自動融合｣チェックボックスがオフになっている場合、管理者はコンソールに対する変更内容を承認します。

定期同期時にユーザーグループが自動同期されないようにするには、この設定を無効化する必要があります。

変更を自動融合する

管理者の承認なしにデータベースの変更を自動で適用するようにするにはこのオプションを有効に設定します。

許可された最大の変更数

自動によるユーザーグループ同期の変更数にしきい値を設定する場合はこの欄を使用します。この数を超えると、変更を適用する前に承認が必要になります。

変更回数がこのしきい値を超えた場合、管理者による承認が必要になります。また、その旨の通知が送信されます。

この欄は変更を自動融合するが有効になっている場合のみに表示されます。

グループメンバーを自動で追加

ユーザーをユーザーグループに自動追加するには、この設定を有効化します。

定期同期時にユーザーグループが自動同期されないようにするには、この設定を無効化する必要があります。

不明なユーザーを追加するときにユーザーにEメールを送信する

不明なユーザーを追加する際にユーザーに Eメールを送信することができます。不明ユーザーを追加するということは、一時ユーザーグループテーブルと ActiveDirectory テーブルを結合することを意味します。


不明ユーザーをユーザーグループに追加する際に Eメールを送信する場合に使用するメッセージテンプレートを選択します。

この欄は不明なユーザーを追加するときにユーザーに Eメールを送信するが有効になっている場合のみに表示されます。


99



識別名の詳細は、Microsoft TechNet (https://technet.microsoft.com) の｢Object Naming｣と題された記事を参照してください。


ユーザーグループ権限を編集する

貴社のどのユーザーが特定グループの変更権限をもつのかを再検討するためには、ユーザーグループ権限を調整します。例えば、貴社組織に会社役員のユーザーグループがある場合、それよりも低いレベルの管理者にそのグループの管理者権限を与えることは適切ではないかもしれません。

権限画面を使用し、誰に特定ユーザーグループの管理権限を与え、誰にプロファイル/順守ポリシー/アプリケーションをユーザーグループに割り当てる権限を与えるのかを制御します。ロジックに関する重要な制限事項は、赤で強調表示されています。

1. アカウント >ユーザーグループ >リスト表示と進みます。

2. 既存のユーザーグループの行の編集アイコンを選択します。

3. 権限タブを選択し、追加をクリックします。

4. アクセス権限を定義する対象の組織グループを選択します。

5. 有効化したいアクセス権限のボックスにチェックを入れます。

l グループを管理 (編集/削除) – ユーザーグループの編集と削除ができるようになります。

l グループ内のユーザー管理と加入の許可 – ユーザーグループ内のユーザーを管理することや、組織グループへのデバイスの加入を許可することができます。

o この設定を有効にするには、｢グループを管理 (編集/削除)｣も有効になっている必要があります。

o ｢グループを管理 (編集/削除)｣が無効になっている場合は、この設定も無効になります。

l グループを割り当てに使用 – セキュリティポリシーおよびエンタープライズリソースをデバイスに割り当てるのにグループを使用することができます。

o この設定を変更するには、｢グループを管理 (編集/削除)｣が無効になっている必要があります。

o ｢グループを管理 (編集/削除)｣が有効になっている場合、この設定はロックされ、編集できません。

6. アクセス権限の適用範囲を選択します。これは、このユーザーグループを管理または使用できる管理者を決定します。次のオプションのいずれか 1 つだけを有効化できます。


100



https://technet.microsoft.com/

l 管理者のみ – 親組織グループの管理者にのみ権限が適用されます。

l この組織グループとその下のサブグループのすべての管理者 – 権限が組織グループの管理者およびその下位のすべてのサブ組織グループのすべての管理者に適用されます。


ユーザー詳細情報にアクセスする

ユーザーとユーザーグループが設定された後は、ユーザー詳細、関連デバイス、インタラクションに関するすべてのユーザー情報を閲覧することができます。

ユーザー名が表示されている、AirWatch コンソール内の任意の画面で、ユーザー情報を閲覧できます。次に例を示します。

l ｢ユーザーグループのメンバー｣ (アカウント >ユーザーグループ >詳細表示 >さらに >ユーザーを表示)

l ｢ユーザーリスト表示｣ (アカウント >ユーザー >リスト表示)

l ｢管理者リスト表示｣ (アカウント >管理者 >リスト表示)

以下のようなユーザー詳細情報が 1つの画面に表示されます。

l すべての関連ユーザーグループ

l 過去においてそのユーザーに関連付けられたすべてのデバイスと、加入デバイスの全履歴へのリンク

l デバイス共有環境でそのユーザーがこれまでにチェックアウトしたすべてのデバイスリストと、チェックイン/チェックアウト全履歴へのリンク

l 特定デバイスと特定ユーザーに関するすべてのイベントログ

l 割り当て済み/承諾済み/承諾を拒否された利用規約一覧

個人情報を暗号化する

必要に応じて、個人を特定できる情報 (氏名、Eメールアドレス、電話番号等)を暗号化することができます。

暗号化を構成したいグローバルレベルまたはカスタマーレベルの組織グループからグループと設定 >すべての設定 >システム >セキュリティ >データセキュリティと進んでください。

1. ユーザー情報暗号化を有効に設定し、暗号化したいユーザーデータ欄を選択します。この操作により検索、並べ替え、フィルタの適用ができなくなります。

2. 保存をクリックしてユーザーデータを暗号化します。暗号化されたデータにデータベースからアクセスすることはできません。この操作を行うことで、AirWatch コンソールの検索、並べ替え、フィルタ等いくつかの機能が制限されます。


101



ユーザーグループリスト表示

｢ユーザーグループリスト表示｣画面には、ユーザーグループの閲覧/融合/削除、不明ユーザーの追加など、ユーザーグループの一般的なメンテナンスや維持にとって便利なツールがあります。アカウント >ユーザーグループ >リスト表示と進みます。

この画面から、最も重要な基準に基づいてユーザーグループのリストを素早くカスタマイズすることができます。新しいユーザーグループを個別にまたは一括で追加することもできます。

操作説明

フィルタ

以下のフィルタを使用し、必要なユーザーグループのみ表示します。

l ユーザーグループタイプ

l 同期状態

l 融合状態

追加

ユーザーグループを追加する

ディレクトリベースのユーザーグループまたはカスタムユーザーグループのいずれかを 1つ追加します。

バッチインポート

新しいデバイスプロファイルを CSV ファイルを使用して一括インポートします。一意な名前と説明を入力し、複数のユーザーグループを整理します。

カラムの並べ替えとサイズ変更

｢リスト表示｣の中で並べ替えができるカラムは、｢グループ名｣、｢最終同期日｣、｢ユーザー｣および｢融合状態｣です。幅を変更できるカラムは、｢グループ名｣と｢最終同期｣です。


102



操作説明

詳細表示

｢詳細表示｣でユーザーグループ基本情報を表示するには、グループ名カラムのリンクを選択します。ユーザーグループ基本情報の内容は、グループ名、グループタイプ、外部タイプ、マネージャ、およびユーザー数です。｢詳細表示｣のグループ化タブですべての設定 >デバイスとユーザー >全般 >加入と進むと、グループマッピング設定へのリンクが表示されます。

エクスポート ()

フィルタを適用していない、あるいは適用後の｢リスト表示｣全体を CSV (コンマ区切り値)ファイルで保存し Excel で表示/分析します。

ユーザーグループリスト表示のユーザーの左側には、選択チェックボックスと編集アイコンがあります。編集アイコン ( ) を選択し、ユーザーグループに基本的な変更を加えることができます。ユーザーグループに対して一括アクションを実行するには、1個以上のチェックボックスをオンにします。選択したユーザーグループに対するアクションボタンが表示されます。

必要な数のチェックボックスを選択し、必要なユーザーグループをすべて選択できます。そうすることにより利用可能なアクションボタンが変わります。それらのアクションは、複数のユーザーとそれぞれのデバイスに適用されます。

操作説明

同期最近追加されたユーザーグループユーザーを一時的な表にコピーし、自動的に行われるようスケジュールされた AirWatch による Active Directory 同期が実行される前に手動で同期します。

ユーザーを表示する

ユーザーグループメンバー画面が表示されます。この画面で、選択したユーザーグループ内のすべてのメンバーのユーザー名を確認できます。


閲覧と融合一時的なユーザーグループに最近追加されたユーザーの追加または削除と閲覧を行います。この表に表示されるユーザーグループのユーザーは、自動のAirWatchユーザーグループ同期が行われるまで待機します。

不明ユーザーを追加

一時的なユーザーグループの表をActive Directory の表と組み合わせ、ユーザーグループに新しいユーザーを正式に追加します。

削除ユーザーグループを削除します。

ユーザーをユーザーグループに追加する

以下の手順に従って 1つ以上のユーザーグループに新しいユーザーを追加します。


103



1. アカウント >ユーザー >リスト表示と進みます。

2. 左側のボックスにチェックを入れてユーザーを 1人以上選択します。

3. その他のアクションボタンを選択し、ユーザーグループに追加を選択します。選択したユーザーをカスタムユーザーグループに追加画面が表示されます。

4. ユーザーを既存のユーザーグループに追加するか、あるいは新しいユーザーグループを作成します。

5. グループ名を選択します。


7. アカウント >ユーザーグループ >リスト表示と進みます。

a. Active Directory (AD) 同期プロセス (スケジュールに基づいた自動プロセス)がこれらの保留中のユーザーグループを一時テーブルにコピーするので、内容を確認し、必要に応じて追加したり削除したりすることができます。

b. Active Directory との自動同期処理が実行されるまで待てない場合、手動で同期させることができます。手動同期を実行するには、ユーザーを追加したユーザーグループを選択し、同期ボタンを選択します。

8. オプションで、さらに >閲覧して融合を選択し、保留中のユーザーグループのユーザー確認、追加や削除といったメンテナンス作業を行うこともできます。

9. 保留中のユーザーグループユーザーの一時テーブルを Active Directory ユーザーグループユーザーと結合するには、さらに >不明ユーザーを追加を選択します。

管理者グループ概要管理者グループにより、管理者アカウントのサブセットを作り、管理者アカウントに付属している権限以外の役割や権限を割り当てることができます。

管理者グループは、特別なプロジェクト用に、コンソールにアクセスできる役割と権限を割り当てたい場合に使用できます。

既存のディレクトリサービス管理者を管理者グループに追加することも、カスタムクエリを使用して管理者グループを作成することもできます。

たとえば、新規プロジェクトが発生した場合、トレーナーのグループに特別な管理権限を付与しなければならないことがあります。そのような場合には、管理者グループを作成し、トレーナーをカスタムクエリで抽出し、新規プロジェクトに特化した役割を与えます。詳細は、63 ページの管理者アカウントを参照してください。


104



管理者グループリスト表示

｢管理者グループリスト表示｣画面には、ユーザーグループの一般的なメンテナンスや維持のための有益なツールがあります。このような維持作業の具体的な内容は、ユーザーグループおよび不明ユーザーの追加、表示、融合、および削除です。

この画面を表示するには、アカウント >管理者 >管理者グループと進みます。

管理者グループの編集画面を表示するには、リスト表示のグループ名カラムにある、リンクが設定された名前を選択します。この画面で、管理者グループの名前を変更します。また、グループメンバーの役割を追加および削除できます。詳細は、72 ページの管理者役割を参照してください。

管理者グループメンバーのリストを表示するには、管理者カラムにある、リンクが設定された数値を選択します。この管理者グループ内のすべての管理者の名前が一覧表示されます。

次のアクションおよびメンテナンス機能を実行するには、グループ名の横にあるラジオボタンを選択します。

操作説明

同期最近追加された管理者グループユーザーを一時テーブルにコピーし、自動的に行われるようスケジュールされた AirWatch による Active Directory 同期が実行される前に手動で同期します。


閲覧と融合一時的な管理者グループに最近追加されたユーザーの追加または削除と閲覧を行います。この表に表示される管理者グループのユーザーは、自動の AirWatch 管理者グループ同期が行われるまで待機します。

削除管理者グループを削除します。

一番上、上へ、下へ、一番下

各管理者グループのランキングを、リストの順序を変えることで編集することができます。このようにグループを移動する操作は、管理者グループが 1画面に収まらない場合に便利です。


105



操作説明

不明ユーザーを追加

一時的な管理者グループの表を Active Directory の表と組み合わせ、グループに新しい管理者を正式に追加します。

管理者グループを追加する

以下の手順に従って管理者グループを追加し、特別なプロジェクトのためなどに管理者に追加の役割や権限を割り当てることができます。

1. アカウント >管理者 >管理者グループと進み、追加をクリックします。該当する項目を設定します。

設定説明

外部タイプ

追加する管理者グループの外部タイプを選択します。

l グループ – 貴社の管理者グループのベースとなるグループオブジェクトクラスを参照します。このクラスをカスタマイズするには、グループと設定 >すべての設定 >システム >エンタープライズ統合 >ディレクトリサービス >グループと進みます。

l 組織ユニット – 貴社の管理者グループのベースとなる組織ユニットオブジェクトクラスを参照します。このクラスをカスタマイズするには、グループと設定 >すべての設定 >システム >エンタープライズ統合 >ディレクトリサービス >グループと進みます。

l カスタムクエリ – カスタムクエリを実行し、返されたユーザーを含むユーザーグループを作成することもできます。この外部タイプを選択すると、テキスト検索の代わりに、｢カスタムクエリ｣セクションが表示されます。


貴社のディレクトリサービスサーバのアドレスが表示されます。この欄は読み取りのみです。

ドメインとグループベースDN

これらの項目はディレクトリサービス画面 (アカウント >ユーザーグループ >設定 >ディレクトリサービス) に入力されたディレクトリサービスサーバ情報に基づいて自動的に入力されます。

グループベース DNの横にある DN を取得 (+) を選択します。ベースドメイン名のリストが表示されます。このリストでベースドメイン名を選択できます。


106



設定説明

テキスト検索

ディレクトリの管理者グループ名を特定する検索条件を入力し、検索をクリックします。入力した語句がディレクトリグループの名前に含まれている場合、そのグループ名のリストが表示されます。

また、作成している管理者グループに既定の役割を適用することもできます。検索を行った後、役割タブを選択し、追加ボタンをクリックして新しい役割を追加します。あるいは、組織グループと役割を変更し、既存の役割を編集します。


カスタムオブジェクトクラス

クエリを実行するオブジェクトクラスを特定します。既定のオブジェクトクラスは｢person｣ですが、カスタムオブジェクトクラスを提供することで貴社の管理者を特定する精度を上げることができます。


カスタムベース DN

ベース識別名を特定します。これはクエリの開始点としての役割を果たします。既定は'airwatch' と 'sso' ですが、別の開始点からクエリを実行したい場合は、カスタムベース識別名を提供してください。


グループ名

テキスト検索結果リストからグループ名を選択します。｢識別名｣欄の値を変えると、選択されるグループ名も自動で変わります。


識別名作成しているグループの完全な識別名を表示します。この欄は読み取りのみです。


ランク管理者グループが作成されるとそのランクが表示されます。この欄は読み取りのみです。管理者グループのランクを変更するには、グループと設定 >グループ >管理者グループと進み、管理者グループリストの右側の｢さらに｣ボタン ( ) を使用してそのグループの他のグループに対する位置を変更します。

自動同期

このオプションでディレクトリ同期が有効になり、ディレクトリサーバからユーザーメンバーシップを検出し、一時テーブルに保管します。自動融合チェックボックスがオフになっている場合、管理者はコンソールに対する変更内容を承認します。

自動融合

管理者の承認なしにデータベースの変更を自動で適用するようにするにはこのオプションを有効に設定します。


107



設定説明

許可された最大の変更数

自動による管理者グループ同期の変更数にしきい値を設定する場合はこの欄を使用します。この数を超えると、変更を適用する前に承認が必要になります。

この欄は自動融合が有効になっている場合のみに表示されます。

グループメンバーを自動で追加

管理者を管理者グループに自動で追加するにはこのオプションを有効にします。

タイムゾーン

管理者グループに対応するタイムゾーンを入力します。この設定は必須で、スケジュール済みの自動 Active Directory 同期が実行される時間に影響を与えます。

ロケール

管理者グループのローカリゼーション設定 (言語)を選択します。このフィールド値は指定必須です。

最初のランディング画面

管理者グループの管理者に最初に表示されるランディング画面を入力します。この欄は必須項目です。既定の設定はデバイスダッシュボード画面になっていますが、任意の画面に変更することができます。

カスタムクエリ

クエリこの欄は、クエリをテストボタンを選択したときと、続行ボタンを選択したときに、現在読み込んでいるクエリを表示します。カスタムロジック欄またはカスタムオブジェクトクラス欄に対する変内容は、ここに反映されます。

カスタムロジック

管理者名などのカスタムクエリロジックはここに追加します。例: "cn=jsmith"。識別名の大部分を含めることも、わずかな部分しか含めないこともできます。クエリをテストボタンにより、クエリのシンタックスが正しいかを続行ボタンをクリックする前に確認することができます。

識別名の詳細は、Microsoft TechNet (https://technet.microsoft.com) の｢Object Naming｣と題された記事を参照してください。


割り当てを表示する割り当てられたグループに含まれている (あるいは除外されている)プロファイル、アプリ、ブック、チャンネル、および順守ポリシーを確認することができます。


108



https://technet.microsoft.com/

1. グループと設定 >グループ >割り当てグループと進んでグループリストを表示し、少なくとも 1つが割り当てられているグループを特定します。

2. 割り当てカラムでハイパーリンクの付いた数字を選択して、割り当てを表示画面を開きます。この画面にはグループの割り当てまたは除外を含むカテゴリのみが表示されます。

割り当てを表示画面のヘッダー行の上に、特定のプロファイル、アプリ、ブック、チャンネルおよび順守ポリシーを確認するのに役立つ 3つの新しいツールがあります。


109



第7章:デバイス加入デバイス加入の概要 111ベーシック加入とディレクトリサービスによる加入 115個人デバイスの業務利用(BYOD)での加入 118セルフサービスの加入とデバイスの代理セットアップ 121デバイス登録 128加入オプションを構成する 137デバイス登録をブラックリスト/ホワイトリスト設定する 143追加の加入制限 144自動検出による加入 150

110



デバイス加入の概要デバイスを管理する前に、AirWatch への加入を行う必要があります。AirWatch には複数のデバイス加入オプションがあります。このフローチャートでは、組織のニーズに合わせて最適な加入方法を選択できるように、いくつかの組み合わせについて概要を説明します。これは、すべての加入方法を網羅した一覧ではなく、どのような加入方法が適しているかを考えるヒントになるものです。

加入プロセスの前提条件

第 7 章: デバイス加入

111



加入プロセスは、デバイスが属するプラットフォームにより、若干異なる可能性があります。それぞれのタイプのデバイスを加入する具体的な手順については、該当するプラットフォームガイドを参照してください。

デバイス加入の際には、以下の情報が必要になります。

l 加入 URL – AirWatch に加入するすべてのユーザー、組織、デバイスの加入 URL は AWAgent.com です。

l ユーザー資格情報 – このユーザー名とパスワードによってユーザーが特定され、ログイン、認証、加入が可能になります。

o ネットワークディレクトリサービスと同じ資格情報を使用することができます。ディレクトリサービスに基づく加入に利用できます。

または

o AirWatch 固有の資格情報を使用することができます。基本的なユーザー加入に利用します。

l グループ ID – グループ ID によって、加入後にエンドユーザーがどのモバイルデバイス管理 (MDM)リソースと機能にアクセスできるかが決まります。必要に応じて、エンドユーザーにグループ ID を提供します。

デバイスをグローバルで加入させる


詳細は、149 ページのデバイスをグローバルレベルで加入させるべきでない理由を参照してください。

AirWatch Agent を使用してデバイスを加入する

Android、iOS と Windows デバイスの主要な加入方法は、AirWatch Agent を使用する方法です。

1. 加入を行うデバイスのネイティブブラウザで AWAgent.com にアクセスします。

AirWatch は AirWatch Agent がすでにインストールされているかを自動的に検出し、必要に応じてAgent をダウンロードするのに必要なモバイルアプリストアを開きます。

パブリックアプリケーションストアから Agent をダウンロードするには、Apple ID または Google アカウントが必要になります。

2. ダウンロード完了後に AirWatch Agent を実行するか、または、ブラウザセッションに戻ります。


112



https://www.awagent.com/

https://www.awagent.com/

重要: Android デバイスに AirWatch Agent をインストールして実行するには、デバイスに 60 MB以上の空きスペースが必要です。 Android プラットフォーム上では、CPU および実行時メモリはアプリケーションごとに割り当てられます。あるアプリケーションが、割り当てられている以上のリソースを使用している場合、Android デバイスによってそのアプリケーションが強制終了され、リソース配分が最適化されます。

3. Eメールアドレスを入力します。 AirWatch は、このアドレスが貴社環境にすでに追加されていないか確認します。追加されていれば、このエンドユーザーはすでに構成されており、組織グループに割り当てられていることになります。

Eメールアドレスがエンドユーザーと一致しない場合、AirWatch は、環境 URL、グループ ID と資格情報を入力するよう求めるプロンプトを表示します。環境 URL とグループ ID が必要である場合、貴社の AirWatch 管理者から入手できます。

4. 残りのプロンプトに従って、加入処理を完了させます。

その他の加入プロセス

場合によっては、組織形態や展開形態に応じて加入プロセスの調整が必要になることがあります。どの加入オプションを使用する場合でも、エンドユーザーに資格情報が必要になります。このガイドの｢必要な情報｣セクションを参照してください。

l 通知プロンプト加入 – エンドユーザーは、加入 URL の記載された通知を (Eメールまたは SMSで)受け取り、その URL からグループ ID とログイン資格情報を入力します。エンドユーザーが利用規約を承諾すると、デバイスは自動的に加入され、すべての MDM機能、コンテンツ、アプリと機能がAirWatch サーバから装備されます。

l シングルクリック加入 – このワークフローはWeb ベースの加入に適用され、管理者は、AirWatch により生成されたトークンを加入リンクの URL とともにユーザーに送信します。エンドユーザーは、入手した加入リンクを選択して認証を受け、デバイスを加入させます。これは、エンドユーザーにとって最も簡単かつ迅速な加入プロセスです。有効期限を設定して、この加入プロセスをセキュアにすることもできます。

o Web 加入 – Web 加入を行う場合、オプションで、管理者がアクティブな環境に"/enroll/welcome" を付けることで、ウェルカム画面を表示することができます。たとえば、https://<貴社環境>/enroll/welcomeという URL を Web 加入を行うユーザーに通知すると、｢AirWatch にようこそ｣画面が表示され、ユーザーは、Eメールアドレスまたはグループ ID を使用する加入オプションのいずれかを選択することができます。このオプションは、AirWatch 8.0 以上のバージョンで利用可能です。

l 二要素認証 – このワークフローでは、前項目と同様に、管理者は AirWatch により生成されたトークンをユーザーに送信しますが、ユーザーはログイン資格情報も入力する必要があります。この加入方法は


113



シングルクリック加入と同じように簡単ですが、ユーザーに固有の資格情報の入力を求めることでセキュリティレベルをより強化することができます。

l エンドユーザー登録 – ユーザーがセルフサービスポータルにログインし、自分でデバイスを登録する方法です。登録完了後、システムはエンドユーザー宛に加入 URL とログイン資格情報の記載された Eメールを送信します。このワークフローでは、企業のデバイス群のデバイス登録を管理者がまだ実行していないことが前提となっています。また、BYOD プログラムの運用において、管理者が加入状態をトラッキングし、企業デバイスの一覧を使用できるように、企業デバイスを登録する必要があることを前提としています。

l シングルユーザー用デバイス代理セットアップ—エンドユーザーの代わりに管理者がデバイス加入を行います。この方法は、チーム全員または特定メンバーが各自でデバイスの加入手続きを行うのではなく、管理者が代理で複数デバイスをセットアップしたい場合に便利です。そうすることで、エンドユーザーが自分のデバイスを加入する時間と手間を省くことができます。管理者がデバイスの構成と加入を行った後、そのデバイスをオフサイト勤務のユーザーに郵送することもできます。

l マルチユーザー用デバイス代理セットアップ—複数のユーザーで共同使用されるデバイスに管理者がデバイス加入を行います。各デバイスは加入状態となり、特定の機能がプロビジョニングされます。ユーザーは、一意の資格情報を用いてログインした後にのみ、これらの機能にアクセスできます。


135 ページの登録トークンを有効にし、既定のメッセージを作成する

134 ページのエンドユーザーによるデバイス登録

128 ページのデバイス登録

126 ページのシングルユーザーデバイスを代理セットアップする

127 ページのマルチユーザーデバイスを代理セットアップする


114



ベーシック加入とディレクトリサービスによる加入Active Directory (AD)、Lotus Domino、Novell e-Directory などのディレクトリサービスインフラストラクチャを導入している場合は、その既存のユーザーおよびグループを AirWatch で利用できます。

既存のディレクトリサービスインフラストラクチャがない場合や、既存のインフラストラクチャと統合したくない場合は、ベーシック加入を実行する必要があります。ベーシック加入とは、AirWatch ユーザーアカウントを手動で作成することです。

注: AirWatch では、ベーシックのユーザーとディレクトリベースのユーザーの混在をサポートしていますが、通常、ユーザーおよびデバイスの初回加入時には、どちらか一方を使用します。

長所と短所

長所短所

ベーシック加入





l セキュリティの連携がない

l シングルサインオンがサポートされていない

l すべてのユーザー名とパスワードはAirWatch に保存されます


115



長所短所

ディレクトリサービスによる加入


l ディレクトリシステムにおける変更内容を自動検出し、AirWatch システムに自動的に反映させることができます。

l セキュアな方法で既存のディレクトリサービスと統合できます。


l VMware Enterprise Systems Connector を使用する SaaS 展開では、ファイアウォールの変更が不要で、Microsoft ADCS、SCEP、SMTP サーバなどの他のインフラストラクチャに対してセキュアな構成を提供できます。

l 既存のディレクトリサービスインフラストラクチャが必要です。

l SaaS 展開では、VMware EnterpriseSystems Connector をファイアウォールの内側または DMZ 内にインストールする必要があるため、追加の構成作業が必要です。

加入における検討事項 (ベーシックユーザーとディレクトリユーザーの比較)

エンドユーザー加入処理について検討する際、ベーシックユーザーとディレクトリユーザーの長所と短所に加え、次の点についても検討する必要があります。

ベーシックユーザーとディレクトリユーザーの長所と短所については、115 ページのベーシック加入とディレクトリサービスによる加入を参照してください。

検討事項 #1: だれが加入できるか。

この質問の答えを考える際には、以下の点を検討してください。

l MDM展開で、構成したベース DN レベルまたはそれ以下の組織のユーザー全員のデバイスを管理することを目的としていますか。その場合、最も簡単な方法は、｢加入を制限｣チェックボックスの選択を解除して、すべてのユーザーの加入を許可することです。

初回展開時にはすべてのユーザーの加入を許可し、その後、不明ユーザーが加入できないように制限することができます。新しい従業員またはメンバーを既存のユーザーグループに追加すると、その内容が同期および融合されます。

l MDMの対象とすべきでないユーザーまたはグループがあるか。その場合は、ユーザーを 1人ずつ追加するか、CSV (コンマ区切り)ファイルに対象のユーザーのみを記載してバッチインポートする必要があります。


116



特定のユーザーおよびグループを制限したい場合は、145 ページの加入制限設定を構成するを参照してください。

検討事項 #2: ユーザーをどこに割り当てるか。

もう 1つ、AirWatch 環境をディレクトリサービスと統合する際に考えるべきことは、加入時にディレクトリユーザーを組織グループにどのように割り当てるかということです。この質問の答えを考える際には、以下の点を検討してください。

l ディレクトリサービスグループと論理的に対応するように組織グループの構造を作成していますか。ユーザーグループ割り当てを編集する前に、この処理を完了させておく必要があります。

l ユーザーが自分のデバイスを加入させる場合、リストからグループ ID を選択する方法が簡単です。ただし、この方法ではヒューマンエラーが発生する可能性があり、誤ったグループの割り当てが生じる可能性があります。

ユーザーグループに基づいてグループ ID を自動的に選択するか、ユーザーがリストからグループ ID を選択できるようにすることができます。これらのグループ ID 割り当てモードオプションを使用するには、デバイス >デバイス設定 >デバイスとユーザー >全般 >加入と進み、グループ化タブを選択します。

グループ ID オプションを構成したい場合は、137 ページのグループ化タブで加入オプションを構成するを参照してください。

ベーシック加入を有効にする

ベーシック加入は、組織のユーザーごとにユーザーアカウントおよびユーザーグループを手動で作成するプロセスです。組織で AirWatch とディレクトリサービスが統合されていない場合は、ベーシック加入を使用してユーザーアカウントを作成します。

バッチインポート機能を使用した場合、すべてのユーザー情報を含む CSV (コンマ区切り値)テンプレートファイルを作成してアップロードするだけでよいので、時間を節約できます。

詳細は、60 ページのユーザーまたはデバイスをバッチインポートするを参照してください。

ディレクトリサービスベースの加入を有効にする

ディレクトリサービスベースの加入とは、AirWatch を貴社のディレクトリサービスインフラストラクチャと統合するプロセスのことです。ディレクトリサービスを AirWatch と統合した場合、ユーザーを自動インポートできます。また、セキュリティグループや配布リストなどのユーザーグループを自動インポートすることもできます。

Active Directory (AD) などのディレクトリサービスと統合する場合は、ユーザーのインポート方法についていくつかのオプションがあります。

l すべてのディレクトリユーザーに加入を許可する – ディレクトリサービスのすべてのユーザーに加入を許可することができます。また、Eメールを基準にしてユーザーを自動検出するように、貴社環境を設定することもできます。その後、ユーザーが加入処理を実行する際に、そのユーザーの AirWatch ア


117



カウントを作成します。

l ユーザーを 1 人ずつ追加する – 貴社のディレクトリサービスとの統合後、ベーシック AirWatch ユーザーアカウントを作成する際と同じように、ユーザーを個別に追加することができます。唯一の違いは、ユーザー名を入力し、ユーザーをチェックをクリックすると、ディレクトリサービスの情報が自動入力されるという点です。

l CSV ファイルを一括アップロードする – このオプションを使用すると、CSV (コンマ区切り値)テンプレートファイルでディレクトリサービスアカウントのリストをインポートすることができます。このファイルではカラムが定められており、一部のカラムの値を空白のままにすることはできません。

l ユーザーグループとの統合 (オプション) – この方法では、既存のユーザーグループメンバーシップを、プロファイル、アプリ、順守ポリシーなどを割り当てる際に使用することができます。

注: AirWatch 環境のサーバとディレクトリサービスを統合する方法については、｢VMware AirWatchDirectory Services Guide｣を参照してください。 AirWatch と SAML プロバイダとの統合については、｢VMware AirWatch SAML Integration Guide｣を参照してください。この文書の入手方法については、267 ページの他の文書を入手するを参照してください。

個人デバイスの業務利用 (BYOD) での加入ユーザー個人のデバイスを管理するうえで大きな課題となるのは、従業員所有のデバイスと企業所有のデバイスを認識し、識別したうえで、承認済みデバイスのみが加入できるように制限することです。

AirWatch では、さまざまなオプションを構成して、個人デバイスの加入を行う際のエンドユーザーのエクスペリエンスをカスタマイズできます。開始する前に、展開において従業員所有のデバイスをどのように特定するのか、また、従業員所有のデバイスに加入制限を適用するかどうかを検討しておく必要があります。

加入における検討事項 (BYOD)

個人用デバイスを AirWatch 環境に加入させることを従業員に許可する場合、事前に多くの点について検討する必要があります。

検討事項 #1: BYOD ユーザーは、加入に VMware Workspace ONE、AirWatch Container アプリ、または AirWatch Agent を使用しますか。

VMware Workspace ONE は、セキュアなエンタープライズプラットフォームで、すべてのデバイスを対象にアプリの配信および管理を行うことができます。セルフサービスで使い始めることができ、クラウド/モバイル/Windows アプリへのシングルサインオンアクセスが可能で、パワフルに統合された Eメール、カレンダー、ファイル、共同作業のツールが揃っています。


118



Workspace ONE を使用する場合、ユーザーはサービスにアクセスするために個人デバイスの加入を行う必要はありません。Workspace ONE アプリ自体は Apple App Store、Google Play、または Microsoft Storeからダウンロードしてインストールすることができます。ユーザーは、ログインすると、設定されているポリシーに基づいてアプリケーションにアクセスできます。Workspace ONE アプリでは、インストール時に MDM管理プロファイルが構成され、自動的にデバイスの加入が行われます。

AirWatch Container を使用すると、特定のリソースを一定のセグメントの BYOD ユーザーに提供できます。たとえば、企業の Eメールにだけアクセスできればよいユーザーがいたり、1つの企業アプリにだけアクセスできればよいユーザーがいたりする場合があります。

AirWatch Container を使用すると、BYOD ユーザーは AirWatch に加入し、ビジネスアプリケーションとリソースに安全にアクセスすることができます。このとき、企業所有デバイスに適用されるのと同じAirWatch プロファイルは適用されません。

AirWatch Container は、ユーザーが MDMに対して抱くプライバシーに関する懸念に対応しており、管理者が制御できるのは、管理対象のエンタープライズアプリだけで、デバイス全体を制御することはできなくなっています。

検討事項 #2: 所有形態タイプはどのように指定しますか。

AirWatch に加入しているデバイスではどれにも、企業専用、企業共有、従業員所有のいずれかのデバイス所有形態タイプが割り当てられています。従業員の個人デバイスは、従業員所有タイプに分類され、このタイプ用に構成された特定のプライバシー設定と制限が適用されます。

所有形態タイプの指定に関する質問の答えを考える際には、以下の点を検討してください。

l AirWatch コンソールへの一括アップロードに使用できる企業デバイスのマスターリストはありますか。リストを使用できる場合は、このリストをアップロードして既定の所有形態タイプを｢従業員所有｣に設定することを検討してください。

l ユーザーがリストから所有形態タイプを選択できるようにすることによる法的な影響について考慮していますか。たとえば、ユーザーが個人デバイスを加入させたが、所有形態タイプとして｢企業所有｣を誤って選択したとします。そのユーザーがポリシーに違反してその個人デバイスが完全にワイプされた場合、どのような影響が生じますか。

BYOD プログラムでは、加入時に既定の所有形態タイプが適用されるように AirWatch を構成するか、または、ユーザーが適切な所有形態タイプを自分で選択できるようにすることができます。

検討事項 #3: 従業員所有のデバイスに追加の加入制限を適用しますか。

この質問の答えを考える際には、以下の点を検討してください。

l MDM展開では特定のデバイスプラットフォームのみをサポートしますか。その場合は、そのプラットフォームを指定して、そのプラットフォームで実行されているデバイスのみに加入を許可することができます。


119



l 従業員が加入を行える個人デバイスの台数を制限しますか。制限する場合は、ユーザーが加入できるデバイスの最大台数を指定できます。

追加の加入制限を設定して、加入できるユーザーや許可するデバイスタイプをさらに制御することができます。たとえば、エンタープライズ管理機能が組み込まれている Android デバイスのみをサポートすることができます。業務で使用するのにふさわしい従業員所有デバイスの種類を検討して決定したら、これらの設定を構成できます。

詳細は、144 ページの追加の加入制限を参照してください。

企業デバイスを識別し、既定のデバイス所有形態を指定する

企業所有デバイスと従業員所有デバイス (従業員自身が加入させる)が混在している場合、デバイスのリストを作成すると便利です。

加入処理の開始時、企業所有として指定したデバイスには、その所有形態タイプが自動設定されます。次に、リストにないすべての従業員所有デバイスを構成し、｢従業員所有｣という所有形態タイプで加入させることができます。

承認済み企業デバイスのリストをインポートする手順を次に示します。｢従業員所有｣という所有形態タイプを自動適用する、という制限事項を設定していたとしても、加入処理後に｢企業所有｣という所有形態タイプを自動適用できます。

これに対し、オープン加入に対する制限は、プラットフォーム、モデル、OS等、指定したパラメータに合致するデバイスを明示的に許可またはブロックするものです。

1. デバイス >ライフサイクル >加入状態と進み追加からバッチインポートを選択します。

あるいは、ホワイトリストデバイスを選択し、IMEI、UDID またはシリアル番号を入力してデバイスをホワイトリスト設定することができます (一度に 30 台のデバイスを追加できます)。また、所有形態タイプとして｢企業所有 –専用｣または｢企業所有 –共有｣を選択できます。

2. バッチ名とバッチの説明を入力し、バッチタイプとしてホワイトリストデバイスを追加を選択します。

3. ファイルを選択を選択してファイルをアップロードするか、情報アイコン ( ) を選択してサンプルテンプレートをダウンロードします。テンプレートを保存するには必要な情報を入力します。


次に、すべてのオープン加入の既定のデバイス所有形態を従業員所有に設定します。

1. デバイス >デバイス設定 >デバイスとユーザー >全般 >加入と進み、グループ化タブを選択します。

2. 既定のデバイス所有形態として従業員所有を選択します。


120



3. ユーザーに割り当てられた既定役割を選択します。これは、そのユーザーのセルフサービスポータル(SSP) へのアクセスレベルを決定するものです。

4. 非アクティブなユーザーに対する既定アクションを選択します。これは、非アクティブとマークされたユーザーに対する対応を決定するものです。


所有形態タイプを特定するようユーザーにプロンプトを表示する

複数の所有形態タイプが混在する組織グループがある場合、加入時に所有形態タイプを指定するように促すプロンプトをユーザーに対して表示することができます。

1. デバイス >デバイス設定 >デバイスとユーザー >全般 >加入と進み、プロンプト表示 (オプション)タブを選択します。

2. デバイス所有形態タイプをプロンプトするを選択します。加入時に所有形態タイプの選択を促すプロンプトが表示されます。


リスク

これはシンプルな作業ですが、このアプローチは、すべてのユーザーが自分のデバイスの所有形態タイプを適切に選択するという前提のもとに成り立っています。

個人デバイスユーザーが所有形態タイプとして｢企業所有｣を選択した場合、そのデバイスには、通常は従業員所有デバイスに適用されないポリシーとプロファイルが適用されます。このように所有形態タイプを誤選択した場合、ユーザープライバシーの観点から、法的な問題を引き起こす可能性があります。

所有形態タイプは後で随時変更できますが、企業デバイスのリストを作成すると安全性が高まります。その後、企業所有デバイスを後で別途加入させ、既定の所有形態タイプを｢従業員所有｣に設定します。

デバイス所有形態タイプの違いの詳細は、｢VMware AirWatch BYOD & Privacy ガイド｣を参照してください。この文書の入手方法については、267 ページの他の文書を入手するを参照してください。

セルフサービスの加入とデバイスの代理セットアップAirWatch では、企業デバイスの加入方法として 2つの方法をサポートしています。ユーザーが自分でデバイスの加入を行うようにすることも、管理者がデバイスの代理セットアップと呼ばれるプロセスでユーザーの代わりにデバイスの加入を行うこともできます。

デバイスの代理セットアップでは、エンドユーザーにデバイスを割り当てて配布する前に、管理者がデバイスの加入を行います。この方法は、組織内の複数のユーザーによって共有されているデバイスをセットアップしなければならない場合に便利です。


121



また、デバイスの代理セットアップは、新しくプロビジョニングを行うデバイスに適しています。従業員にデバイスを配布する前に作業を実施できるためです。エンドユーザーが既に企業所有デバイスを持っている場合、エンドユーザー自身にデバイス加入処理を行わせることが効果的です。また、デバイスの総数が多すぎて管理者が代理セットアップするのが現実的でない場合も、エンドユーザー自身にデバイス加入処理を行わせる方法が効果的です。

デバイスの代理セットアップは Android、Windows Phone、iOS、macOS デバイスで実行できます。

注:Windows Phone は、現在シングルユーザーデバイス代理セットアップのみサポートします。

加入における検討事項 (セルフサービス加入)

エンドユーザー自身に加入処理を実行させて時間を節約したい場合、次の点について検討してください。

検討事項 #1: デバイス所有形態

l 割り当てられた企業デバイスはすでにエンドユーザーの手元にありますか。その場合は、それぞれのデバイスを集めて代理セットアップを行うのはあまり合理的でないため、ユーザー自身に加入を行ってもらうのが良いでしょう。

l エンドユーザーはデバイスを共有して使用しますか、それとも専用デバイスを使用しますか。エンドユーザーがデバイスを共有していない場合は、そのデバイスの唯一の所有者に加入を行ってもらうことができます。

検討事項 #2: 自動検出

組織の Eメールドメインを AirWatch 環境と関連付けていますか。このプロセス (自動検出)では、エンドユーザーは Eメールアドレスと資格情報を入力するだけでかまいません。加入 URL とグループ ID は自動入力されます。

151 ページのサブ組織グループからの自動検出による加入を構成するおよび 150 ページのメイン組織グループからの自動検出加入を構成するを参照してください。

セルフサービスによる加入プロセス

セルフサービスによる加入プロセスでは、エンドユーザーが適切なグループ ID およびログイン資格情報を知っている必要があります。ディレクトリサービスと統合している場合は、これらの資格情報はユーザーのディレクトリサービスの資格情報と同じになります。

組織の Eメールドメインを AirWatch 環境と関連付けることもできます。このプロセスは、自動検出と呼ばれます。自動検出を有効化した場合、サポート対象プラットフォームのデバイスにおいて、エンドユーザーは Eメールアドレスを入力するよう要求されます。 Eメールドメイン (@の後ろの文字列)が一致している場合、加入処理が実行実行されます。グループ ID または加入 URL を入力する必要はありません。


122



注: AirWatch Container のユーザーは、アプリストアから AirWatch Container アプリをダウンロードします。

1. エンドユーザーが AWAgent.com にアクセスします。これにより、AirWatch Agent がインストールされているかどうかが自動検出されます。インストールされていない場合、このWeb サイトから適切なモバイルアプリストアにリダイレクトされます。

2. AirWatch Agent の起動後、ユーザーは (Eメールアドレスまたは URL/グループ ID のいずれかに加えて)資格情報を入力し、加入のプロセスを進めます。

加入における検討事項 (デバイス代理セットアップ)

管理者は、デバイスの代理セットアップというプロセスで、ユーザーに替わってデバイスの加入を行うことができます。代理セットアップでは、登録プロセスが効率化され、また、複数のユーザー間で共有されている iOS デバイスを加入させることができます。また、Apple Configurator を使用すれば、デバイス全体をすばやくプロビジョニングできます。

検討事項 #1: デバイスの代理セットアップを使用すべきか。

Apple Configurator を使用していない場合、管理者はデバイスを 1台ずつ代理セットアップする必要があります。デバイスの台数が多い場合、この作業に要する時間と人員を検討してください。

管理者が新しいデバイスを簡単に代理セットアップできるとしても、従業員が企業所有デバイスを既に使用している場合、代理セットアップを行うには、デバイスを送付してもらうか現場で集める必要があります。

数千台のデバイスを加入させる場合、代理セットアップに時間がかかる可能性があります。デバイスの代理セットアップは、従業員の手元にデバイスが渡る前に、管理者の手元にプロビジョニングするためのデバイスがまとまった数量あるような場合に便利な機能です。

デバイスの代理セットアップは Android、Windows Phone、iOS デバイスで実行でき、以下のようなタイプがあります。

l シングルユーザー (標準) – 管理者がデバイスを代理セットアップし、任意のユーザーが加入手続きを行います。

l シングルユーザー (高度) – 管理者がデバイスを代理セットアップし、特定のユーザーの代わりに加入手続きを行います。

l マルチユーザー – 複数ユーザー間で共有されるデバイスを代理セットアップします。

注:Windows Phone は、現在シングルユーザーデバイス代理セットアップのみサポートします。


123



https://awagent.com/

検討事項 #2: Apple のデバイス登録プログラムを利用しますか。

モバイルデバイス管理 (MDM)に加入している Apple デバイスのメリットを最大限に引き出すために、Apple 社は、デバイス登録プログラム (DEP) を導入しました。 DEP により、次の操作を実行できます。

l 削除不可能な MDMプロファイルをデバイスにインストールできます。このプロファイルは、エンドユーザーが削除することはできません。

l デバイスを監視モードでプロビジョニングします (iOS のみ)。監視モードのデバイスでは、追加のセキュリティ設定および構成設定にアクセスできます。

l すべてのエンドユーザーに対して加入を強制できます。

l 加入プロセスをカスタマイズして効率化することにより、貴社のニーズに合わせることができます。

l DEP プロファイルを生成する際に、ユーザーが Apple ID でサインインできるオプションを無効にすることで、iCloud バックアップを無効にすることができます。

l すべてのエンドユーザーに OSの更新を強制できます。

検討事項 #3: Apple Configurator を使用する必要がありますか。

Apple Configurator を使用すると、IT 管理者は Apple iOS デバイスの展開と管理を効果的に行うことができます。小売店、教室、病院などの組織が、複数のエンドユーザー間で共有されるデバイスの事前加入を行う場合、Apple Configurator は非常に便利です。

事前登録された単一ユーザー用デバイスの加入に Apple Configurator を使用することもできます。それには、AirWatch コンソールでユーザーの登録済みデバイスにシリアル番号/IMEI 情報を追加します。 AppleConfigurator を使用する主なメリットは、USB ハブまたは iOS デバイスカートを使用して複数のデバイスのプロビジョニングを数分で行えることです。

Apple Configurator の詳細 (例: 統合に関する情報)は、｢VMware AirWatch Integration with AppleConfigurator｣を参照してください。この文書の入手方法については、267 ページの他の文書を入手するを参照してください。

監視モード

管理者は、Apple Configurator を使用して加入したデバイスに対して監視モードを有効にすることができ、それにより、さらに強化されたセキュリティ機能が有効になります。ただし、監視モードを有効化した場合、デバイスにいくつかの制限が生じます。

メリット

デバイスを監視モードに設定し、AirWatch への加入を行った後、管理者は、通常モードのデバイスにはない以下のような高度な機能を構成することができます。


124



l MDMの制限機能を強化

o ユーザーによるアプリケーション削除を防止します。アプリケーション削除は、デバイス上の｢システム構成｣の制限事項を使用してローカルに防止することもできます。

o AirDrop をブロックします。

o ユーザーが iCloud と Mail のアカウント設定を編集できないようにします。これにより、アカウントの修正を防ぐことができます。

o iMessage を無効にします。

o iBooks Store コンテンツ評価制限を設定します。

o Game Center と iBooks Store を無効にします。

l セキュリティの強化

o Safari から成人向けコンテンツを含むWeb サイトを開けないようにします。

o Apple TV のような特定の AirPlay 出力先に接続できるデバイスを制限します。

o 証明書や管理対象外の構成プロファイルのインストールを防止します。

o すべてのデバイスネットワークトラフィックが強制的にグローバル HTTP プロキシを経由するようにします。

l キオスクモード

o シングルアプリモードのデバイスを 1つのアプリにロックダウンし、ホームボタンを無効にします。

l デバイスの壁紙とテキストをカスタマイズ

l アクティベーションロックの有効化/解除

制限

l 監視対象デバイスに対する USB でのアクセスは、監視側の Macのみに制限されます。

l iTunes を使用してデバイスから/デバイスへのデータの移動はできません。

o 写真や動画などのメディアをデバイスから PC や Mac にコピーすることはできません。このタイプのデータを転送するには、VMware Content Locker を使用してコンテンツをユーザーの PersonalDocuments セクションと同期させます。または、ファイル共有アプリケーションを使用してWLAN/WWAN 経由でサーバにデータを転送することもできます。

l 監視モードでは、iPhone 構成ユーティリティ (IPCU) を使用したデバイス側のログへのアクセスが禁止されます。


125



o 監視モードを有効化した場合、アプリケーションまたはデバイスに関する問題のトラブルシューティングが難しくなります。デバイスからログを取得できるのは、デバイスが監視側 Macに接続されているときだけであるからです。こうした課題を軽減するため、ログの送信やアプリケーションから AirWatch コンソールへのデータ転送には、AirWatch SDK を使用してください。

l 使用している現場でデバイスを工場出荷状態にリセットすることはできません。

o デバイスを工場出荷状態にリセットした場合、監視モードに戻すには、監視側の Macに接続する必要があります。 Macがデバイスの近くにない場合、この手順を実行するのが難しいことがあります。

監視モードを有効にするかどうかを決定する際には、以下の点を検討してください。追加機能が有効になり、デバイス上のセキュリティが強化されますが、USB の制限について考慮する必要があります。

この決定においては、監視側の Macがデバイスの近くにあるかどうかが重要です。 USB の制限があることで、デバイス側のログへのアクセスが妨げられるため、問題が発生したデバイスは IT 部門に送り返して、代理セットアップを行って機能を復元することが必要になります。

監視について前もって決めておくことは重要です。監視モードを有効化/無効化するには、デバイスを IT 部門または倉庫に送付する必要があるからです。

シングルユーザーデバイスを代理セットアップする

AirWatch 管理者コンソールのシングルユーザー向けデバイス代理セットアップ機能は、IT 管理者がまとまった数のデバイスをプロビジョンし、ユーザーの代理でデバイスに必要な機能を配備したいときに特に便利です。

1. アカウント >ユーザー >リスト表示と進み、デバイスの代理セットアップを有効にしたいユーザーアカウントの編集を選択します。

2. ユーザーを追加 / 編集画面の高度な設定タブを選択します。

a. 代理セットアップセクションまで下にスクロールします。

b. デバイスの代理セットアップを有効化を選択します。

c. この代理セットアップユーザーに適用する代理セットアップ設定を選択します。

3. シングルユーザーデバイス – シングルユーザー用にデバイスを代理セットアップします。シングルユーザーデバイス代理セットアップモードのタイプは、標準または高度に切り替えることができます。標準代理セットアップでは代理セットアップ後、エンドユーザーがログイン情報を入力する必要があるのに対し、高度では代理セットアップを行うユーザーが、他のユーザーに代わってデバイスを加入します。

4. マルチユーザーデバイスが無効に設定されていることを確認します。


126



5. 次の 2 つのいずれかの方法を使用してデバイスの加入を行います。

l AirWatch Agent を使用し、サーバ URL とグループ ID を入力して加入を行う。

l デバイスのインターネットブラウザを開き、加入 URL にアクセスし、適切なグループ ID を入力する。

6. 加入の際に代理セットアップユーザーの資格情報を入力します。必要に応じて、シングルユーザーデバイスの代理セットアップを行っていることを指定します。これを行う必要があるのは、代理セットアップユーザーにマルチユーザーデバイスの代理セットアップも有効になっている場合のみです。

7. 高度または標準の代理セットアップのための加入を行います。

l 高度な代理セットアップを実行する場合、デバイスを使用するエンドユーザーデバイス所有者のユーザー名を入力するようプロンプトが表示されます。モバイルデバイス管理 (MDM)プロファイルをインストールし、表示されるプロンプトとメッセージをすべて承諾して加入プロセスを続行してください。

l 標準の代理セットアップを行う場合は、加入完了後にログイン画面が表示され、エンドユーザーは資格情報の入力を求められます。

これでデバイスの代理セットアップが完了し、新しいユーザーによるデバイス使用の準備が整います。

マルチユーザーデバイスを代理セットアップする

マルチユーザーデバイス/共有デバイスを代理セットアップし、複数のユーザーが使用する予定のデバイスを IT 管理者が代理でプロビジョニングすることができます。マルチユーザーの代理セットアップを行うと、そのデバイスにログインするネットワークユーザーごとに、デバイスに割り当てられるユーザーをダイナミックに変更することができます。

1. アカウント >ユーザー >リスト表示と進み、デバイスの代理セットアップを有効にしたいユーザーアカウントの編集を選択します。

2. ユーザーを追加 / 編集画面の高度な設定タブを選択します。

a. 代理セットアップセクションまで下にスクロールします。

b. デバイスの代理セットアップを有効化を選択します。

c. この代理セットアップユーザーに適用する代理セットアップ設定を選択します。

3. シングルユーザーデバイス – シングルユーザー用にデバイスを代理セットアップします。シングルユーザーデバイス代理セットアップモードのタイプは、標準または高度に切り替えることができます。標準代理セットアップでは代理セットアップ後、エンドユーザーがログイン情報を入力する必要があるのに対し、高度では代理セットアップを行うユーザーが、他のユーザーに代わってデバイスを加入します。


127



4. マルチユーザーデバイスが有効に設定されていることを確認します。

5. 次の 2 つのいずれかの方法を使用してデバイスの加入を行います。

l AirWatch Agent を使用し、サーバ URL とグループ ID を入力して加入を行う。

l デバイスのインターネットブラウザを開き、加入 URL にアクセスし、適切なグループ ID を入力する。

6. 加入の際に代理セットアップユーザーの資格情報を入力します。必要に応じて、シングルユーザーデバイスの代理セットアップを行っていることを指定します。これを行う必要があるのは、代理セットアップユーザーにマルチユーザーデバイスの代理セットアップも有効になっている場合のみです。

7. 高度または標準の代理セットアップのための加入を行います。

l 高度な代理セットアップを実行する場合、デバイスを使用するエンドユーザーデバイス所有者のユーザー名を入力するようプロンプトが表示されます。モバイルデバイス管理 (MDM)プロファイルをインストールし、表示されるプロンプトとメッセージをすべて承諾して加入プロセスを続行してください。

l 標準の代理セットアップを行う場合は、加入完了後にログイン画面が表示され、エンドユーザーは資格情報の入力を求められます。

これでデバイスの代理セットアップが完了し、新しいユーザーによるデバイス使用の準備が整います。

デバイス登録デバイス加入前の企業デバイスの登録は、オプションです。この登録を行う主なメリットは、登録済みデバイスのみが加入できるように制限できることです。

もう 1つのメリットは、加入状態情報をトラッキングできることです。これにより、加入しているユーザーおよび加入していないユーザーを把握できます。加入していないユーザーがわかれば、そのユーザーに通知することができます。

AirWatch では、ユーザーまたは管理者のデータ入力の段階でデバイス識別子がない場合でも、デバイスを正常に登録することができます。

加入における検討事項 (登録)

加入プロセスの前にデバイス登録プロセスを進めたい場合、次の点を検討してください。

検討事項: だれがデバイスを登録するか。

デバイスを登録するうえで考慮すべき重要なことは、実際のデバイスの登録をだれが行うか、ということです。


128



l 貴社の展開におけるデバイスの総数は何台ですか。デバイスが数千台ある大規模環境の場合、このデータを CSV (コンマ区切り値)形式ファイルに追加できます。デバイスをプロビジョニングする前に、このファイルをアップロードします。デバイス登録作業をエンドユーザーに任せることもできます。

l 従業員に個人デバイスの使用を許可する BYOD プログラムをサポートしますか。登録済みデバイスのみが加入できるように制限する場合は、従業員にデバイス登録手順を伝える必要があります。

SSP を使用したエンドユーザーによるデバイスの登録

貴社環境で BYOD をサポートしている場合、デバイスを AirWatch に加入させる前に登録するようエンドユーザーに指示します。この手順を実行できますが、ユーザーが加入処理を実行する前にデバイスを登録する必要があります。加入処理を追跡したい場合、または、登録トークンを使用したい場合、企業所有デバイスを使用しているユーザーに、デバイスを登録するよう指示します。いずれの場合も、このプロセスについてエンドユーザーに通知する必要があります。

以下の説明では、エンドユーザーが AirWatch の資格情報 (既存のディレクトリサービスの資格情報、またはこれまでにアクティブ化した AirWatch ユーザーアカウント)を持っていることが前提となっています。手動でユーザーを追加するのではなく、ディレクトリサービスを利用して加入を行う場合は、すでに作成されているユーザーアカウントはないことになります。

エンドユーザーにデバイスを登録してもらうには、AirWatch 外の各ユーザーグループに、登録手順に関する Eメールまたは通知を送信する必要があります。

加入認証用の登録トークンを有効化した場合、選択されたメッセージ内でそのトークンがユーザーに送信されます。

登録済みデバイスのみに加入を制限する

デバイスを登録したのが管理者でもエンドユーザーでも、登録したデバイスのみが加入できるように制限することができます。デバイス >デバイス設定 >デバイスとユーザー >全般 >加入と進み、登録済みデバイスのみを選択します。

加入状態をトラッキングする

デバイスが登録されたら、加入状態をトラッキングできます。トラッキングするには、デバイスダッシュボードに進み、加入チャートを選択します。このチャートで、加入状態を基準にしてフィルタを適用することができます。また、ハブにアクセスすると、最近加入したデバイスを確認できます。

l デバイスを個別に登録する – 重要なデバイス情報およびアセット情報 (例: AirWatch コンソールでの識別を容易にするためのフレンドリ名)を入力します。入力する情報の例としては、モデル、オペレーティングシステム、シリアル番号、UDID (Unique Device Identifier)、アセット番号などがあります。このプロセスは、シングルユーザーを追加する際に保存ではなく保存してデバイスを追加を選択した場合の最終ステップでもあります。


129



l 複数のデバイスを登録する – このプロセスはユーザーを一括で追加するプロセスと似ており、一度にまとまった数のデバイスを追加する際のデバイス登録プロセスを簡略化できます。ユーザーアカウント一括作成のプロセスに含めることもできます。

l エンドユーザーデバイス登録 – BYOD をサポートしており、かつ、加入前にデバイスを登録する必要がある場合、デバイスを AirWatch に加入させる前にエンドユーザー所有デバイスを登録するよう、エンドユーザーに指示します。

詳細は、135 ページの登録トークンを有効にし、既定のメッセージを作成するを参照してください。

デバイスを個別に登録する

デバイスを個別に登録することにより、加入を制限すること、および、加入状態を追跡することができます。登録するには、3つの方法のいずれかを実行します。次に、デバイスを追加画面に進み、このトピックで説明する設定を指定します。

1. アカウント >ユーザー >リスト表示と進み、新しく登録したデバイスを受け取る 1人のユーザーを選択します。次に、リストのヘッダの上に表示されるデバイスを追加ボタンを選択します。

または

2. 新しいユーザーアカウントを作成するプロセスを完了し (ベーシックまたはディレクトリ)、最終ステップで保存してデバイスを追加を選択します。デバイスを追加画面が開きます。

または

3. デバイス >ライフサイクル >加入状態と進み、追加を選択し、デバイスを登録を選択します。デバイスを追加画面にデバイス追加手順が表示されます。

デバイスを追加画面で、必要に応じて次のフィールド値を指定します。

ユーザータブのフィールド値を指定します。

設定説明

ユーザーセクション

テキスト検索ユーザーを検索するには、検索パラメータを入力し、ユーザーを検索ボタンをクリックします。

デバイスセクション

予想されるフレンドリ名

デバイスのフレンドリ名前を入力します。このテキストボックスでは参照値を使用できます。参照値を挿入するにはプラスマークをクリックします。

組織グループデバイスが属する組織グループを選択します。

所有形態デバイスの所有形態レベルを選択します。


130



設定説明

プラットフォーム

デバイスのプラットフォームを選択します。

デバイス情報の高度なオプションを表示

デバイスの高度な情報が表示されます。

モデルデバイスモデルを選択します。このドロップダウンメニューのオプションは、選択したプラットフォームによって異なります。

OS デバイスの OSを選択します。このドロップダウンメニューのオプションは、選択したプラットフォームによって異なります。

UDID* デバイスに固有のデバイス識別子 (UDID) を入力します。

シリアル番号*§ ‡

デバイスのシリアル番号を入力します。

IMEI* § デバイスの国際端末識別番号 (IMEI) を入力します。

SIM* デバイスの SIM を入力します。

アセット番号* デバイスのアセット番号を入力します。

メッセージセクション


デバイス追加時にユーザーに送信されるメッセージのタイプです。なし、Eメール、SMSのいずれかを選択します。

Eメールを選択する場合は、有効な Eメールアドレスを入力する必要があります。またEメールメッセージテンプレートを選択する必要もあります。

SMSを選択する場合は、国番号、市外局番を含んだ形式の電話番号を入力する必要があります。 SMS料金が発生する場合があります。また SMSメッセージテンプレートを選択する必要もあります。


Eメールメッセージタイプを選択した場合は必ず入力してください。

Eメールメッセージテンプレート

Eメールメッセージタイプを選択した場合は必ず選択してください。ドロップダウンメニューからテンプレートを選択します。メッセージプレビューボタンを使用して Eメールメッセージを確認することができます。

電話番号 SMSメッセージタイプを選択した場合は必ず入力してください。

SMS メッセージテンプレート

SMSメッセージタイプを選択した場合は必ず選択してください。ドロップダウンメニューでテンプレートを選択します。メッセージプレビューボタンを使用して SMSメッセージを確認することができます。


131



* デバイスを登録するには、このマークが付いているフィールドのうち少なくとも 1つは入力されている必要があります。

§Windows Phone デバイスを登録するには、デバイスの IMEI またはシリアル番号のいずれかを入力する必要があります。

§Windows デスクトップデバイスを登録するには、デバイスのシリアル番号を入力する必要があります。

カスタム属性タブのフィールド値を指定します (任意)。

設定説明

追加ボタンカスタム属性とその値を追加するには、このボタンを選択します。

カスタム属性の詳細は、｢VMware AirWatch プロダクトプロビジョニングと代理セットアップガイド｣を参照してください。この文書の入手方法については、267 ページの他の文書を入手するを参照してください。

属性ドロップダウンメニューからカスタム属性を選択します。

付加価値ドロップダウンメニューからカスタム属性の値を選択します。

タグタブのフィールド値を指定します (任意)。

設定説明

追加ボタンタグをデバイスに追加するにはこのボタンを選択します。

タグ既存のタグのドロップダウンメニューからタグを選択します。

保存をクリックしてデバイス登録プロセスを完了します。

登録の際にデバイス識別子がない場合

デバイス登録時のデータに、UDID、IMEI やシリアル番号のようなデバイス識別子が含まれない場合、AirWatch は、これらの属性を使用し、以下の順で加入デバイスをその登録レコードに自動的に関連付けます。こうすることで、AirWatch は、十分な情報が提供されないデバイスでも正常に登録することができます。

1. デバイスの登録先のユーザー

2. プラットフォーム (指定されている場合)

3. モデル (指定されている場合)

4. 所有形態 (指定されている場合)

5. 関連する登録レコードのうちの最も古い日付


132



複数のデバイスを登録する

デバイス加入前のデバイスの登録は、任意です。これにより、登録済みデバイスのみが加入できるように制限することができます。もう 1つのメリットは、加入状態をトラッキングできることです。

バッチインポート機能を使用して複数のデバイスを登録し、手間を省くことができます。

複数のデバイスを登録するには、次の手順を実行します。

1. アカウント >ユーザー >リスト表示またはデバイス >ライフサイクル >加入状態と進みます。

a. 追加を選択し、バッチインポートを選択して、バッチインポートフォームを開きます。

2. 必須フィールドの値を指定します (バッチ名、バッチの説明、およびバッチタイプ)。

3. バッチファイル (.csv)項目の横にある情報アイコン ( ) を選択し、ユーザーとデバイスインポートのヘルプ画面にアクセスします。この画面には複数の .csv テンプレートとそれぞれの説明が記載されています。

4. 適切なこのバッチタイプ用のテンプレートと例をダウンロードを選択して、コンマ区切り値 (.csv)ファイルをアクセス可能な場所に保存します。

5. .csv ファイルを保存した場所からファイルを開き、各デバイスに関してインポートするすべての関連情報をテンプレートに入力します。テンプレートには、各カラムに記入する内容がわかりやすいよう、3つの入力例が自動入力されています。

重要:数値データはすべて二重引用符で囲んでください (例: "123456")。これにより、データが切り詰められる問題を回避できます。 .csv ファイル内でデータが切り詰められた場合、VMwareAirWatch MDMによって、デバイスがブラックリスト登録されるおそれがあります。

l デバイスを登録するため、カラム X (ユーザーのみ登録)がいいえに設定されていることを確認します。

l 同じユーザーアカウントにさらにデバイスを登録するには、カラム A からWまでの情報が同一であることを確認してください。その他のカラムには、追加する各デバイスに関する情報を入力します。

l 高度な登録情報を保存するには、カラム AF (高度なデバイス情報を保管)をはいに設定します。

6. テンプレートの入力完了後、.csv ファイルとして保存します。 AirWatch コンソールに戻り、バッチインポートフォームのファイルを選択を選択し、作成して保存した .csv ファイルへのパスをたどり、そのファイルを選択します。

7. 保存をクリックして、リスト上のすべてのユーザーと対応するデバイスの登録を完了します。


133



エンドユーザーによるデバイス登録

デバイスの詳細情報がセットアップ時に不明な場合、エンドユーザーに自分のデバイスを登録させたほうがよいことがあります。また、BYOD を既に導入している場合も、エンドユーザーに自分のデバイスを登録させたほうがよいことがあります。

l AirWatch 外のユーザーに Eメールまたはイントラネット通知を送信し、登録手順を説明します。Active Directory あるいは認証プロキシによる認証が有効になっていることをデバイス >デバイス設定>デバイスとユーザー >全般 >加入 >認証と進んで確認してください。

加入を既知のユーザーのみに制限のボックスにチェックが入っていないことをデバイス >デバイス設定 >デバイスとユーザー >全般 >加入 >制限事項と進んで確認してください。

l すべてのエンドユーザーがデバイスを登録できるようにユーザーアカウントを先に作成し、その後、各ユーザーに登録手順の説明を含んだユーザーアカウントアクティブ化のメッセージを送信する方法もあります。

いずれのオプションでも、ユーザーに以下のような基本情報を通知する必要があります。

l 登録場所 – エンドユーザーはセルフサービスポータル URL に移動し登録を行います。この URL はhttps://<AirWatch環境>/MyDeviceのようなフォーマットで、<AirWatch環境>には加入 URL が入ります。

l セルフサービスポータルへの認証方法 – エンドユーザーがセルフサービスポータルにログインするには、グループ ID、ユーザー名、パスワードを入力する必要があります。

自分でデバイスを登録するようユーザーに指示する

エンドユーザーは、登録メッセージを受け取った後、以下の手順に従って自分のデバイスを登録できます。これにより時間が節約されます。

1. セルフサービスポータル (SSP) URL に移動します。これは、https://<AirWatch環境>/MyDeviceのような形式をとり、<AirWatch環境> には、貴社環境の加入 URL が入ります。

2. ログインするため、グループ ID と資格情報 (Eメールアドレスまたはユーザー名、およびパスワード)を入力します。ディレクトリユーザーの場合、これらの資格情報はディレクトリサービスの資格情報と同じであることがあります。

3. デバイスを追加を選択し、デバイス登録フォームを開きます。

4. デバイス情報を入力するため、デバイス登録フォームの必須テキストボックスの値を指定します。

5. 保存をクリックし、フォームを送信してデバイスを登録します。


134



デバイス登録状態を追跡する

場合によっては、デバイス登録の過程でトラブルシューティングが必要となったり、登録プロセス全体の状況を追跡したりすることが必要になることがあります。登録手順を説明したメッセージをエンドユーザーが誤って削除してしまったり、指定された有効期限内に認証を行わなかったりすることがあるかもしれません。

登録状態を管理するには、デバイス >ライフサイクル >加入状態と進み、｢加入状態｣画面を表示します。

デバイスの加入状態を追跡するには、リストを加入状態カラムで並べ替えるか、リスト表示に加入状態でフィルタをかけます。

詳細は、238 ページの加入状態を参照してください。

登録トークンを有効にし、既定のメッセージを作成する

登録済みのデバイスのみが加入できるように制限する場合、登録トークンを要求するオプションも使用することができます。その特定のユーザーに加入が認められているかどうかを確認できるため、このオプションを使用するとセキュリティを強化できます。 AirWatch アカウントを持つユーザーに、加入トークンを添付した Eメールか SMSメッセージを送信することができます。

1. トークンを使用した加入処理を有効化するため、適切な組織グループを選択します。デバイス >デバイス設定 >デバイスとユーザー >全般 >加入と進み、認証タブを選択します。

下へスクロールしてはじめにセクションを表示し、デバイス加入モードで登録済みデバイスのみを選択します。登録トークンを要求するチェックボックスが表示されます。このチェックボックスをオンにした場合、トークンを使用して登録されたデバイスだけが加入できます。

2. 登録トークンのタイプを選択します。

l 単一要素 – 加入にはトークンのみが求められます。

l 二要素 – 加入にはトークンと、ユーザー資格情報を使用したログインが求められます。


135



3. 登録トークンの長さを設定します。この必須フィールドでは、登録トークンの複雑さを指定します。長さには、英数字の文字数として 6～ 20 の値を入力する必要があります。

4. トークンの有効期限 (時間)を設定します。この必須フィールドでは、エンドユーザーがリンクを選択してデバイスを加入させるまでの制限時間を指定します。この期限を超過した場合、別のリンクを送信する必要があります。

AirWatch コンソールでトークンを生成する

1. アカウント >ユーザー >リスト表示と進み、ユーザーに対してユーザーの編集を選択します。 (このプロセスは、新規ユーザーの作成時にも使用できます。) ｢ユーザーを追加/編集｣画面が表示されます。

2. 下へスクロールしてメッセージタイプを選択します。ディレクトリユーザーアカウントの場合は Eメール、ベーシックユーザーアカウントの場合は SMSを選択します。

3. メッセージテンプレートを選択します。既定のテンプレートを使用するか、テンプレートを作成することができます。テンプレートを作成するには、下にあるリンクを選択して、新しいタブでメッセージテンプレート画面を表示します。メッセージテンプレートを選択したら、保存してデバイスを追加を選択します。デバイスを追加画面が表示されます。

4. デバイスに関する全般情報およびメッセージ自体の確認情報を確認します。完了したら、保存を選択すると、選択したメッセージタイプでユーザーにトークンが送信されます。

注:セキュリティ保護のため、AirWatch コンソールでトークンにアクセスすることはできません。

セルフサービスポータル (SSP) を使用してトークンを生成する

1. セルフサービスポータルにログインします。シングルサインオンまたはスマートカードで認証を行っている場合、デバイスからでもコンピュータからでもログインできます。 (ディレクトリユーザーはディレクトリサービスの資格情報を使用してログインできます。)

2. デバイスを追加を選択します。

3. デバイスを登録するフォームの各フィールドに入力して、デバイス情報 (フレンドリ名とプラットフォーム)およびその他の詳細情報を入力します。 Eメールアドレスと電話番号は、自動的に設定されないため、正しく入力されていることを確認します。

4. 保存を選択すると、選択したメッセージタイプでユーザーに加入トークンが送信されます。

注:トークンはこの画面には表示されず、送信されるメッセージでのみ確認できます。


136



登録トークンを使用して加入を実行する

1. デバイスで SMSまたは Eメールメッセージを開き、加入トークンを含むリンクを選択します。

加入画面でグループ ID またはトークンの入力を求められたら、トークンを直接入力します。

2. 二要素認証が使用されている場合は、ユーザー名またはパスワードを入力します。

3. 通常通り、加入のプロセスを続行します。完了すると、デバイスは、トークンの対象ユーザーに関連付けられます。

デバイスに MDMプロファイルがインストールされると、そのトークンは｢使用中｣と見なされ、他のデバイスの加入には使用できなくなります。加入が完了しなかった場合は、そのトークンを他のデバイスで使用することができます。管理者が入力した期限を過ぎてトークンが失効した場合は、別の加入トークンを生成する必要があります。

加入オプションを構成するAirWatch コンソールで利用可能な高度なオプションを組み込むことで、加入のワークフローをカスタマイズすることができます。その他の加入オプションにアクセスするには、デバイス >デバイス設定 >デバイスとユーザー >全般 >加入と進みます。

｢認証｣および｢利用規約｣タブに加え、オプションで加入に関する以下のタブの設定を行うことができます。

1. 137 ページのグループ化タブで加入オプションを構成する

2. 145 ページの加入制限設定を構成する

3. 138 ページの｢プロンプト表示 (オプション)｣タブで加入オプションを構成する

4. 142 ページの｢カスタマイズ｣タブで加入オプションを構成する

グループ化タブで加入オプションを構成する

グループ化タブでは、エンドユーザーの組織グループ、グループ ID に関する基本情報を指定することができます。グループ ID の割り当てモードを有効にすると、AirWatch モバイルデバイス管理 (MDM)環境がどのようにグループ ID をユーザーに割り当てるかを選択することができます。

｢グループ化｣タブを表示するには、デバイス >デバイス設定 >デバイスとユーザー >全般 >加入と進みます。


137



設定説明

グループID割り当てモード

l 既定 – 使用するグループ ID が加入時にユーザーに付与されている場合は、このオプションを選択します。使用するグループ ID によりユーザーが割り当てられる組織グループが決まります。

l ユーザーがグループ ID を選択するようプロンプト表示する – ディレクトリサービスユーザーが加入時に一覧からグループ ID を選択できるようにする場合は、このオプションを有効にします。グループ ID 割り当てセクションには利用可能な組織グループとそのグループ ID がリストアップされます。このリストにより、管理者がグループ割り当てマッピングを行う必要はなくなりますが、ユーザーが間違ったグループ ID を選択してしまう可能性が生じます。

l ユーザーグループに基づき自動選択 – このオプションは、ユーザーグループと統合している場合にのみ使用できます。ユーザーのディレクトリサービスグループ割り当てに基づいて、ユーザーが自動的に組織グループに割り当てられるようにするには、このオプションを有効にします。グループ割り当ての設定セクションには、当該環境内のすべての組織グループと対応するディレクトリサービスユーザーグループの一覧が表示されます。割り当てを編集をクリックすると、組織グループとユーザーグループの関連付けを変更し、各グループの優先順位を設定することができます。

例えば、エグゼクティブ、セールス、グローバルという 3つのグループがあり、組織内のランクもこの順であるとします。全員がグローバルのメンバーであるため、このユーザーグループを最初に位置づけてしまうと、すべてのユーザーを 1つの組織グループに入れることになります。一方、エグゼクティブを最初に位置づけると、そのグループに属する少数のメンバーを、その組織グループに確実に所属させることができます。セールスを 2番目に位置づけ、すべてのセールス担当社員をセールスの組織グループに所属させます。グローバルを 3番目に位置づけることで、グループにまだ割り当てられていないすべてのユーザーが別の組織グループに入ります。

｢プロンプト表示 (オプション)｣タブで加入オプションを構成する

プロンプト表示 (オプション)タブでは、デバイスの追加情報を要求するかどうか、加入についての情報やMDM情報をユーザーにプロンプト表示するかどうかを選択します。

｢プロンプト表示 (オプション)｣タブを表示するには、デバイス >デバイス設定 >デバイスとユーザー >全般 >加入と進みます。

設定説明

デバイス所有形態タイプをプロンプトする

選択した場合、プロンプトが表示され、エンドユーザーにデバイスの所有形態を選ぶよう要求します。選択しない場合は、現在の組織グループの既定のデバイス所有形態を構成してください。


138



設定説明

ウェルカムメッセージを表示する

選択すると、デバイス加入プロセスのはじめの段階でウェルカムメッセージを表示します。このウェルカムメッセージのヘッダと本文は構成できます。構成するには、システム >ローカリゼーション >ローカリゼーションエディタと進みます。次に、"EnrollmentWelcomeMessageHeader" ラベルおよび "EnrollmentWelcomeMessageBody"ラベルをそれぞれ選択します。

MDMインストールメッセージを表示する

選択すると、デバイス加入プロセス中にメッセージが表示されます。この MDMインストールメッセージのヘッダと本文は構成できます。構成するには、システム >ローカリゼーション >ローカリゼーションエディタと進みます。次に、"'EnrollmentMdmInstallationMessageHeader" ラベルおよび"EnrollmentMdmInstallationMessageBody" ラベルをそれぞれ選択します。

ローカリゼーションエディタを使用してヘッダとメッセージ本文をカスタマイズする場合は、現在の設定フィールドで｢上書き｣を選択する必要があります。こうすることで、既定のメッセージの代わりに、カスタマイズされたメッセージが使用されるようになります。

加入 Eメールのプロンプトを有効にする

このオプションを有効にすると、加入中にユーザーに Eメールの入力を求めるプロンプトが表示されます。

注:加入 Eメールプロンプトに応じてエンドユーザーが入力した Eメールアドレスは、ユーザー記録の Eメールアドレス欄に自動入力されます。このデータは、参照値{EmailAddress} を使用して Eメールをデバイスに展開する組織にとって、有益です。

デバイスアセット番号のプロンプトを有効にする

このオプションを有効にすると、加入中にユーザーにデバイスアセット番号の入力を求めるプロンプトが表示されます。

加入履歴メッセージを表示(Androidのみ)

このオプションを有効にすると、Android デバイスで加入メッセージが表示されます。

Windows向けにTLS 相互認証を有効にする

このオプションを有効にすると、Windows Phone と Windows デバイスに、TLS 相互認証によってセキュア化されたエンドポイントを使用するように強制できます。TLS 相互認証を使用するには、追加セットアップと構成が必要です。詳細は AirWatch サポート担当者までお問い合わせください。


139



カスタム加入メッセージを作成する

デバイス加入に関連するメッセージと、加入後にデバイスに送信されるモバイルデバイス管理 (MDM)関連のプロンプトメッセージをカスタマイズできます。通常、カスタマイズしたメッセージは既定のメッセージよりも優先されます。メッセージをカスタマイズした場合、プッシュ通知内に、環境 URL や｢AirWatch｣を表示する代わりに貴社名を表示することができるので、ユーザーの混乱を防ぎます。

1. デバイス >デバイス設定 >全般 >加入と進み、カスタマイズタブを選択します。

2. それぞれのプラットフォーム専用のメッセージテンプレートを使用するを選択し、各プラットフォームのドロップダウンメニューからデバイスアクティブ化メッセージテンプレートを選択します。｢メッセージテンプレートを作成する｣を参照してください。

3. iOS デバイスの場合、以下を構成することができます (オプション)。

l iOS デバイス向けの加入後のランディング URLを入力します。

l MDMプロファイルメッセージを入力します。これは、加入中に MDMインストールプロンプトに表示されるメッセージです。


加入メッセージテンプレートを作成する

プラットフォームごとにカスタマイズされたメッセージテンプレートの独自のライブラリを作成して、起こりうる様々な加入シナリオに対応できるようにします。

1. デバイス >デバイス設定 >全般 >メッセージテンプレートと進み、追加をクリックします。

2. カテゴリドロップダウンメニューからテンプレートのカテゴリに合うものを選択します。選択項目には、管理者、アプリケーション、順守、コンテンツ、デバイスライフサイクル、加入および利用規約があります。

3. サブカテゴリに最適なタイプを設定します。タイプドロップダウンメニューの選択項目は、カテゴリの設定によって決まります。

4. 言語を選択ドロップダウンメニューを設定します。追加ボタンで言語を追加することができます。

5. テンプレートを、選択したカテゴリの既定のテンプレートにしたい場合は、既定のチェックボックスを選択します。

6. テンプレートのメッセージタイプを選択します。 Eメール、SMSおよびプッシュ通知から選ぶことができます。

7. メッセージ本文欄にテキストを入力してメッセージを作成します。

Eメールメッセージテンプレートを作成する際は、プレーンテキストと HTML形式のいずれかを選択します。


140



プレーンテキスト形式は、フォーマットオプションが使用できません。

HTML形式は、フォント、フォーマット、ヘッダーレベル、箇条書き、行頭文字、インデント、段落の配置、下付き文字、上付き文字、画像およびハイパーリンク機能を含むリッチテキスト編集環境が有効です。 HTML 形式は、ベーシック HTML コーディングをサポートし、ソースを表示ボタンを使用して、リッチテキストとソース表示を切り替えることができます。

8. 保存をクリックしてテンプレートを保存します。

ライフサイクル通知を構成する

ライフサイクル通知は、デバイスのライフサイクルを通して発生する加入や加入解除といった特定のイベント後にカスタマイズしたメッセージを送信するためのものです。

このオプション設定を構成するには、デバイス >ライフサイクル >設定 >通知と進み、以下の各項目を入力します。

l デバイスは正常に加入しました – デバイスが正常に加入した際に、Eメール通知を送信します。

l デバイスは加入解除しました – デバイスが加入解除した際に、Eメール通知を送信します。

l デバイスは加入制限によりブロックされました – デバイスが加入制限によりブロックされた際に、Eメール通知を送信します。加入制限はグループと設定 >すべての設定 >デバイスとユーザー >全般 >加入と進んだページの制限事項タブで構成できます。


141



設定説明


l なし – デバイスのブロック/加入/加入解除が正常に行われた際に、確認 Eメールを送信しません。

l ユーザー – デバイスのブロック/加入/加入解除が正常に行われた際に、その通知の確認 Eメールをデバイスユーザーに送信します。

o CC – 同じ確認 Eメールを、1つまたは複数の Eメールアドレスに送信します。複数の Eメールアドレスはコンマで区切ります。

o メッセージテンプレート–ドロップダウンメニューで。希望するメッセージテンプレートを選択します。新しいメッセージテンプレートを追加することも、｢ここをクリック...｣を選択し、既存のテンプレートを編集するオプションを使用することもできます。｢ここをクリック...｣を選択すると、グループと設定 > すべての設定 > デバイスとユーザー > 全般 >メッセージテンプレート画面が表示されます。

l 管理者 – デバイスのブロック/加入/加入解除が正常に行われた際に、その通知の確認 Eメールを AirWatch 管理者に送信します。

o 送信先 – 同じ確認 Eメールを、1つまたは複数の Eメールアドレスに送信します。複数の Eメールアドレスはコンマで区切ります。

｢カスタマイズ｣タブで加入オプションを構成する

カスタマイズタブを構成することにより、エンドユーザーのサポートレベルを追加できます (例: Eメール、電話番号)。ユーザーが何らかの理由でデバイスを加入させることができない場合、このサポートレベルは重要です。

｢カスタマイズ｣タブを表示するには、デバイス >デバイス設定 >デバイスとユーザー >全般 >加入と進みます。

設定説明

各プラットフォームの専用メッセージテンプレートを使用する

このオプションを有効化した場合、各プラットフォーム専用のメッセージテンプレートを選択できます。

リンクをクリックするとメッセージテンプレート画面が開きます。この画面からすぐにテンプレートを作成できます。

加入サポートEメール

サポート Eメールアドレスを入力します。

加入サポート電話番号

サポート電話番号を入力します。


142



設定説明

加入後のランディング URL(iOS のみ)

加入プロセスが正常に完了した後に表示される URL を指定できます。この URL には、企業リソース (例えば会社のWeb サイト)やリソースへのログイン画面の URL を記載することができます。

MDMプロファイルメッセージ (iOSのみ)

iOS デバイスの場合、加入プロセス中に表示するメッセージをこのテキストボックスに入力します。メッセージの最大文字数は 255 文字です。

カスタムMDMアプリケーションを使用する

有効にすると、アプリケーショングループと書かれたリンクが表示されます。このリンクを選択すると、｢アプリグループ一覧｣画面が開きます。｢アプリグループ一覧｣の詳細は、｢VMware AirWatch Mobile Device Management ガイド｣を参照してください。この文書の入手方法については、267 ページの他の文書を入手するを参照してください。

デバイス登録をブラックリスト/ホワイトリスト設定するブラックリストは、許可されないデバイスやアプリの明示的な一覧です。ホワイトリストは、記載されているものだけが許可される、デバイスやアプリの明示的な一覧です。ブラックリスト/ホワイトリストを利用することで、加入を許可するデバイスや加入を許可しないデバイスを制御することができます。

例えば、企業所有のデバイスのみを展開する場合、承認済みの iOS デバイスのホワイトリストを作成したり、IMEI、シリアル番号、UDID に基づくホワイトリストを作成したりすることができます。これにより管理者により承認されたデバイスのみに加入を許可することができます。従業員所有の個人デバイスのAirWatch への加入はブロックされます。

また、デバイスの紛失/盗難時には、デバイスの IMEI、シリアル番号、または UDID 情報をブラックリストに追加することができます。これにより、そのデバイスは加入解除され、すべての MDMプロファイルが削除されます。該当する情報がブラックリストから削除されるまで、そのデバイスは再加入できません。

注: IMEI または UDID を指定してWindows Phone をブラックリストに登録することはできません。この機能は、現在 Microsoft によってサポートされていません。

ブラックリストまたはホワイトリストにデバイスを追加する

さまざまなデバイス属性に基づいて、デバイスをブラックリストに設定し加入できないようにしたり、あるいは、ホワイトリストに設定して加入を許可したりすることができます。

1. デバイス >ライフサイクル >加入状態と進み追加を選択します。

2. 追加ドロップダウンメニューでブラックリストデバイスまたはホワイトリストデバイスを選択し、


143



必要な項目を入力します。

設定説明

ブラックリスト/ホワイトリストデバイス

｢デバイス属性｣セクションで設定したホワイトリストまたはブラックリストデバイスの一覧を入力します。一度に入力できるのは 30 台までです。

デバイス属性対応するデバイス属性タイプを入力します。 IMEI、シリアル番号、またはUDID を選択します。

組織グループブラックリストまたはホワイトリスト設定するデバイスが属する組織グループとして、正しいものが表示されているか確認します。

所有形態所有形態を選択し、許可するデバイスを制限することができます。

この欄はデバイスをホワイトリスト設定する際に利用できます。

補足情報ホワイトリストまたはブラックリストを適用するプラットフォームを選択することができます。

プラットフォームプラットフォームを選択し、そのデバイスすべてをホワイトリストまたはブラックリスト設定することができます。

この欄は、追加情報にチェックが入っている場合のみに表示されます。

3. 保存をクリックし、設定を確定します。

追加の加入制限ディレクトリサービスの統合、BYOD のサポート、デバイスの登録、その他の構成に関係なく、追加の加入制限を任意の展開に適用することができます。追加の加入制限を設定して、加入できるユーザーや許可するデバイスタイプを制御することができます。

また、組織グループあたりの加入デバイスの最大数を指定することもできます。加入制限を構成したら、その制限事項をポリシーとして保存することもできます。

加入における検討事項 (その他の制限事項)

加入制限では、展開に適用したい加入パラメータを細かく調整することができます。使用する加入制限を決定する際には、以下のことを検討してください。

検討事項 #1 – 特定のプラットフォーム、OS バージョン、または許可するデバイスの最大台数を制限しますか。

l Samsung SAFE/Knox、HTC Sense、LG Enterprise、Motorola デバイスなどの、エンタープライズ管理機能が組み込まれているデバイスのみをサポートしますか。その場合は、Android デバイスがサポート対象のエンタープライズバージョンであることを加入制限として要求することができます。


144



l 1 人のユーザーが加入できるデバイスの台数を制限しますか。その場合は、企業所有デバイスと従業員所有デバイスを区別して、この数量を設定することができます。

l 展開において特定のプラットフォームをサポート対象から除外しますか。その場合は、ブロック対象のデバイスプラットフォームのリストを作成することで、加入を禁止できます。

従業員所有デバイスの台数と種類を調べる必要があります。また、職場環境での使用にふさわしいデバイスを特定する必要があります。これらの作業が完了したら、これらの加入制限事項をポリシーとして保存できます。

検討事項 #2: 企業デバイスのリストを作成して加入を制限しますか。

追加の登録オプションを使用することで、エンドユーザーが加入できるデバイスを制御することができます。この方法は、BYOD 導入環境において便利です。ブラックリストデバイスの加入を禁止することや、ホワイトリストデバイスの加入だけを許可することができます。タイプ、プラットフォーム、デバイスID、およびシリアル番号を基準にして、デバイスをホワイトリストに登録することができます。詳細は、143 ページのブラックリストまたはホワイトリストにデバイスを追加するを参照してください。

検討事項 #3: 組織グループごとに、加入するデバイスの台数を制限しますか。

1 つの組織グループに加入できるデバイス数の上限を設定することができます。上限を設定することで、有効な加入デバイス数が際限なく増えて貴社展開の管理が困難になることを防ぎます。

加入制限設定を構成する

AirWatch をディレクトリサービスと統合する際に、どのユーザーに貴社の展開への加入を許可するのか、制限を設けることができます。

既存のユーザーまたは構成済みのグループのみに加入を限定することができます。既存のユーザーとは、AirWatch コンソール上にすでに存在するユーザーを指します。構成済みのグループとは、ユーザーグループとの統合を選択する場合、ディレクトリサービスグループに関連付けられたユーザーを指します。組織グループごとに加入できるデバイス数に上限を設定することもできます。この設定を保存し、ポリシーとして再利用することもできます。

これらのオプションはグループと設定 >すべての設定 >デバイスとユーザー >全般 >加入と進み制限事項タブを選択して利用します。制限事項タブでは、組織グループとユーザーグループに基づいて加入制限ポリシーをカスタマイズすることができます。

l ポリシー設定を用いて加入制限を作成したり、既存の制限を割り当てたりすることができます。

l グループ割り当て設定エリアでユーザーグループにポリシーを割り当てます。

l プラットフォーム、OS、UDID、IMEI 等に基づいてデバイスをブラックリスト/ホワイトリスト設定します。

ディレクトリサービスグループを AirWatch と統合する方法の詳細は、｢VMware AirWatch DirectoryServices Guide｣を参照してください。この文書は、AirWatch Resources で入手できます。


145



設定説明

加入を既存のユーザーのみに制限

AirWatch コンソールにすでに存在するユーザーのみに加入を制限するには、このオプションを有効にします。これは、1人ずつ手動で、または一括インポートで AirWatch コンソールに追加されたディレクトリユーザーに適用されます。すべてのユーザーに加入を許可した最初の展開後に、加入をロックダウンする場合にも使用できます。これにより管理者は、特定のユーザーのみを選択的に加入させることができます。

AirWatch 管理者コンソールに存在しないすべてのディレクトリユーザーにも AirWatch への加入を許可する場合、このオプションのチェックをはずします。 AirWatch ユーザーアカウントは加入中に自動で作成されます。

加入を構成済みのグループのみに制限

このオプションを有効にすると、デバイスの加入はすべてのグループに、あるいは、(ユーザーグループの統合を行っている場合には)選択されたグループに属するユーザーのみに制限されます。貴社のディレクトリサービスユーザーグループと統合していない場合は、このオプションを選択しないでください。

すべてのディレクトリユーザーの加入時に新しい AirWatch ユーザーアカウントの作成を許可する場合、このオプションのチェックをはずします。さらに、構成されたグループに所属しないユーザーのデバイスを企業情報ワイプするオプションを選択して、どのユーザーグループにも属さない (すべてのグループが選択されている場合)または特定のユーザーグループに属さない (選択されたグループが選択されている場合)、デバイスの企業情報ワイプを自動的に実行することができます。

ユーザーグループと統合するオプションの一つに、｢MDM承認済み｣ディレクトリサービスグループを作成し、AirWatch にインポートして、AirWatch MDMの対象になった時点で、既存のディレクトリサービスユーザーグループを｢MDM承認済み｣グループに追加していく方法があります。

この組織グループとサブグループに加入デバイス数の上限を設定

現在の組織グループに加入できるデバイス数の上限を設定する場合は、この設定を有効にし、デバイス数上限を入力します。

注: Apple 社のデバイス登録プログラム (DEP) を通して加入した iOS デバイスには加入制限は適用されません。これは、必要なデバイス情報が、デバイスが DEP 経由での加入後に受信されるためです。

組織グループ別の加入デバイス数の上限

1 つの組織グループに加入できるデバイス数の上限を設定することができます。上限を設定することで、有効な加入デバイス数が際限なく増えて貴社展開の管理が困難になることを防ぎます。


146



デバイス数の上限は、グローバル、カスタマー、パートナーといった、任意のタイプの組織グループに対して設定できます。ある組織グループに対して上限数を設定した場合、その組織グループ分岐内の場所に別の上限数を設定することはできません。ただし、別の組織グループ分岐内に上限数を設定することはできます。

現在の組織グループに対して加入デバイス上限数を設定するには、グループと設定 >すべての設定 >デバイスとユーザー >全般 >加入と進みます。次に、制限事項タブを選択し、この組織グループとその下のサブグループにおける、加入デバイス数の上限を設定しますの下で、上限値を有効化します。

このオプションが表示されていない場合は、メイン組織グループ (現在の組織グループの上位にある組織グループ)またはサブ組織グループ (現在の組織グループの下位にある組織グループ)を確認してください。現在の組織グループの上位または下位の組織グループに、既に上限値が設定されている可能性があります。

加入制限ポリシーを作成する

従業員所有デバイスの台数と種類を調べる必要があります。また、職場環境での使用にふさわしいデバイスを特定する必要があります。これらの作業が完了したら、これらの加入制限事項をポリシーとして保存できます。

1. デバイス >デバイス設定 >デバイスとユーザー >全般 >加入と進みます。

2. 制限事項タブを選択し、ポリシー設定セクションからポリシーを追加します。

3. 加入制限ポリシーを追加/編集する画面で、加入制限ポリシーを追加します。

設定説明

加入制限ポリシー名

貴社の加入制限ポリシーの名前を入力します。


147



設定説明

組織グループ

ドロップダウン項目から組織グループを選択します。貴社の新しい加入制限ポリシーを適用する組織グループです。

ポリシータイプ

加入制限ポリシーのタイプを選択します。選択された組織グループに適用するには組織グループ既定を選択します。また、制限事項タブのグループ割り当てから特定のユーザーグループを選択した上で、そのグループに適用するにはユーザーグループポリシーを選択します。

許可された所有形態タイプ

企業 – 専用、企業 – 共有、従業員所有デバイスの許可/禁止を選択します。

許可された加入タイプ

MDM (AirWatch Agent) と AirWatch Container (iOS/Android 対応) アプリ経由のデバイス加入を許可するか禁止するか選択します。

ユーザーあたりのデバイス数上限

ユーザーにデバイスの加入台数を無制限に許可する場合は、無制限を選択します。

ユーザーあたりのデバイス数上限セクションで、所有形態タイプごとにデバイスの最大数を定義する場合は、このボックスのチェックを外します。

l ユーザーあたりのデバイス数上限 l 共有デバイスのデバイス数上限

l 企業デバイスのデバイス数上限 l 従業員所有のデバイス数上限

許可されたデバイスタイプ

特定デバイスに制限を追加するには、特定のプラットフォーム、モデル、OS に加入を制限するチェックボックスを選択します

注: IMEI または UDID を指定してWindows Phone をブラックリストに登録することはできません。この機能は、現在 Microsoft によってサポートされていません。


148



設定説明

デバイスレベル制限モード

この欄は、許可されたデバイスタイプの特定のプラットフォーム、モデル、OS に加入を制限するを選択した場合のみに表示されます。

デバイス制限のタイプを選びます。

l リストに挙げられたデバイスタイプのみを許可 (ホワイトリスト) – 入力したパラメータに合致するデバイスのみを許可し、その他すべてのデバイスをブロックする場合にこのオプションを選択します。

l リストに挙げられたデバイスタイプをブロック (ブラックリスト) – 入力したパラメータに合致するデバイスを確実にブロックし、その他すべてのデバイスを許可する場合にこのオプションを選択します。

いずれのデバイスレベル制限事項モードでも、デバイスの制限を追加を選択し、プラットフォーム、モデル、メーカー、OS、エンタープライズバージョンのいずれかを選択します。定義されたデバイス制限ごとにデバイス上限を追加することもできます。複数のデバイス制限項目を追加できます。

IMEI、シリアル番号または UDID に基づいて特定のデバイスをブロックすることも可能です。デバイス >ライフサイクル >加入状態と進み、追加を選択します。これは、他のユーザーのデバイスに影響を与えることなく、特定のデバイスをブロックし、再加入を防止したい際に役立ちます。企業情報ワイプを実行する際のオプションで再加入を防止することもできます。

4. 保存をクリックして変更を保存し、デバイスとユーザー >全般 >加入画面に戻ります。

デバイスをグローバルレベルで加入させるべきでない理由

デバイスを最上位の組織グループ (グローバル)に直接加入させるべきではありません。これにはいくつか理由があります。その理由は、マルチテナンシー、継承、機能の 3つです。

マルチテナンシー

サブ組織グループは必要な数だけ作成できます。また、各サブ組織グループを個別に構成します。あるサブ組織グループに適用する設定は、他のサブ組織グループに影響しません。

継承

メイン組織グループに加えた変更内容は、サブ組織グループにも適用されます。一方、サブ組織グループに加えた変更内容は、メイン組織グループおよび同位の組織グループに適用されません。

機能

｢カスタマー｣タイプの組織グループに対してのみ構成できる設定と機能があります。それは、ワイプ保護、テレコム、および個人コンテンツです。グローバルレベルに追加されたデバイスは、これらの設定から除外されます。


149




自動検出による加入AirWatch では、ユーザーの Eメールアドレスを使用してデバイスを適切な環境と組織グループに加入することができます。自動検出機能を使用するこの加入はとてもシンプルです。自動検出機能は、エンドユーザーが Eメールアドレスを使用してセルフサービスポータル (SSP) への認証を行う際に使用することもできます。

注:オンプレミス環境での自動検出の有効化は、貴社環境が AirWatch 自動検出サーバと通信できることを確認してから行ってください。

自動検出加入のための登録

サーバは Eメールドメインの一意性を検証します。一つのドメインは一つの環境の一つの組織グループにおいてのみ登録できます。自動検出サーバによってこのような検査が行われるので、Eメールドメインは、貴社の最上位の組織グループで登録してください。

自動検出は、SaaS 環境の新しいお客様向けには自動で構成されています。

メイン組織グループからの自動検出加入を構成する

自動検出加入は、エンドユーザーの Eメールアドレスを使用してデバイスを意図する環境と組織グループに加入するため、加入プロセスを簡素化することができます。

メイン組織グループで自動検出加入を構成するには、次の手順を実行します。

1. グループと設定 >すべての設定 >管理者 >クラウドサービスと進み自動検出モードを AirWatchID に設定します。自動検出 AirWatch ID を入力し、ID を設定するをクリックします。

a. 自動検出 AirWatch ID を入手するには、ここをクリックして登録を選択します。登録して ID を設定するをクリックすると、HMAC トークンが自動入力されます。接続のテストをクリックし、接続が正常に行われたことを確認します。

2. このドメインと関連付けるため、組織グループを選択し、企業 Eメールドメインおよび確認用 Eメールアドレスを入力します。この組織グループとエンドユーザーの関連付けが、グループ ID を選択するようエンドユーザーに要求する際の開始点となります。

3. 確認メールを開き、そのメールに記載されている確認用リンクをクリックし、Eメールアドレスを確認します。


150



4. 必要に応じて企業 Eメールドメインを追加します (例: ｢us.example.com｣、｢eu.example.com｣)。

l 同じ組織グループレベルに複数の Eメールドメインを追加できます。

l 他の組織グループ内に代替 Eメールドメインを追加すると、マルチテナンシーを簡単に構成できます。

5. 保存をクリックし、自動検出機能のセットアップ処理を完了します。

加入するエンドユーザーに、環境 URL とグループ ID を入力するのではなく、認証用 Eメールアドレスを使用するオプションを選択するよう、指示します。ユーザーが Eメールアドレスを使用してデバイスを加入させる際、関連付けられている AirWatch ユーザーアカウントの加入組織グループとして設定された同じ組織グループに加入します。

サブ組織グループからの自動検出による加入を構成する

加入組織グループの下位のサブ組織グループで、自動検出加入を構成できます。この方法で自動検出加入を有効化するには、加入時にユーザーにグループ ID を選択させる必要があります。

1. デバイス >デバイス設定 >全般 >加入と進み、グループ化タブを選択します。

2. ユーザーがグループ ID を選択するようプロンプト表示するを選択します。



151



第8章:共有デバイス共有デバイス概要 153共有デバイスの階層を定義する 154

152



共有デバイス概要社内の従業員全員にデバイスを支給した場合、非常にコストがかかる可能性があります。 AirWatch MDMでは、デバイスを共有して、1つの固定された構成をエンドユーザー全員に適用することも、それぞれのエンドユーザーに固有の構成設定を適用することも可能です。

共有デバイス/マルチユーザーデバイス機能により、すべてのエンドユーザーのセキュリティと認証を確実に行い、さらに必要に応じて、機密情報へのアクセスを特定のエンドユーザーのみに許可することができます。

共有デバイスを導入する場合、エンドユーザーにデバイスを展開する前に、まず該当する設定や制限事項でデバイスをプロビジョンする必要があります。展開後、AirWatch では共有デバイス用のシンプルなログイン/ログアウトプロセスが使用されます。この際、エンドユーザーは単に自分のディレクトリサービスまたは専用のログイン資格情報を入力するだけです。エンドユーザーがどのレベルの企業リソース (コンテンツ、機能、アプリケーションなど)にアクセスできるかは、そのエンドユーザーの役割に応じて決まります。この役割により、ユーザーがログイン後に利用する機能やリソースが自動で構成されます。

ログイン/ログアウト機能は AirWatch Agent 自体に組み込まれています。このため、加入状態は影響を受けません。また、デバイスが使用中かどうかにかかわらず、AirWatch コンソールでデバイスを管理できます。

共有デバイスの機能

複数のユーザー間で共有されるデバイスの機能とセキュリティに関しては、以下のような基本機能を利用することができます。これらの機能があることも、コスト効率の高い、エンタープライズモビリティを最大限活用するためのツールとして、共有デバイスをお勧めする理由の 1つです。

l 機能

o 企業の設定を維持したまま、エンドユーザーのエクスペリエンスをパーソナライズできます。

o デバイスにログインすると、そのエンドユーザーの役割と組織グループに基づいて、企業アクセスと特定の設定、アプリケーション、およびコンテンツが自動的に構成されます。

o AirWatch Agent に内蔵された、ログイン/ログアウトプロセスが許可されます。

o エンドユーザーがデバイスからログアウトすると、そのセッションの構成設定は消去され、デバイスは別のエンドユーザーがログインできる状態になります。

l セキュリティ

o デバイスをエンドユーザーに支給する前に、共有デバイス設定を使用してデバイスをプロビジョニング

o AirWatch 加入状態を維持したまま、デバイスにログイン/ログアウト

第 8 章: 共有デバイス

153



o ログイン中にエンドユーザーをディレクトリサービスまたは専用の AirWatch 資格情報で認証

o デバイスがログインしていない間もデバイスを管理

共有デバイスをサポートするプラットフォーム

共有デバイス/マルチユーザーデバイス機能をサポートするのは以下のデバイスです。

l Android 2.3 以降

l AirWatch Agent 4.2 以降が搭載されている iOS デバイス

l AirWatch Agent 2.1 以降が搭載されている Mac OS デバイス

共有デバイスの階層を定義するAirWatch への初回ログイン時には、貴社組織の名前で作成された組織グループが 1つ表示されます。この組織グループは、最上位の組織グループとなります。この下にサブグループを作成して、貴社の組織構造に沿って階層構造を構築します。

1. グループと設定 >グループ >組織グループ >組織グループ詳細と進みます。自社を表す組織グループが表示されます。

2. 表示される組織グループ詳細に間違いがないことを確認してから、利用可能な設定を使用して、必要に応じて変更を加えます。変更を加えた場合は、保存を選択します。

3. サブ組織グループの追加を選択します。


154



4. 最上位組織グループの直下に最初に作成する組織グループに関する、次の設定を入力します。

設定説明

名前表示したいサブ組織グループの名前を入力します。使用できる文字は英数字だけです。それ以外の文字は使用できません。

グループ ID

エンドユーザーがデバイスのログイン時に使用する組織グループの ID を入力します。グループ ID は、加入時にデバイスを適切な組織グループに分類するために使用されます。

デバイスを共有するエンドユーザーが、グループ ID を受け取っていることを確認してください。共有デバイスの構成によっては、デバイスのログイン時にエンドユーザーによるグループ ID 入力が必要になります。

タイプサブ組織グループのカテゴリに適合する、事前構成されている組織グループタイプを選択します。

国組織グループが存在する国を選択します。

ロケール

選択した国の言語分類を選択します。

カスタマーの業種

このフィールド値は、タイプの値が｢カスタマー｣である場合にのみ指定できます。｢カスタマーの業種｣のリストから選択します。



155



第9章:デバイス割り当てデバイス割り当ての概要 157デバイス割り当てを有効にする 157デバイス割り当てルールまたはネットワーク範囲を定義する 158

156



デバイス割り当ての概要デバイス割り当てを使用し、ネットワーク IP アドレス範囲またはカスタム属性に基づいて、組織グループ間やユーザー名の間でデバイスを移動することができます。ユーザーグループを基準にして、コンテンツ(例: プロファイル、アプリ、ポリシー、プロダクト)を整理することもできます。

管理者が組織グループ間でデバイスを手動移動する代わりに、指定Wi-Fi ネットワークにデバイスが接続したときに、コンソールを使用してデバイスを自動移動することができます。また、指定したカスタム属性ルールに基づいて、デバイスを移動できます。

デバイス割り当ての典型的なユースケースとしては、ユーザーの役割が定期的に変わり、それに伴い新しい役割に特化したデバイスプロファイルとアプリケーションが必要になるようなケースが考えられます。

デバイスを移動するためにユーザーグループを使用するのか、デバイス割り当てを使用するのか選択する必要があります。AirWatch はこれら 2つの機能を同一デバイス上でサポートしていないためです。

デバイス割り当てを有効にするIP アドレスまたはカスタム属性に基づいて、組織グループ間、ユーザー名間でデバイスを移動する前に、デバイス割り当てを有効にする必要があります。デバイス割り当てはサブ組織グループでのみ構成することができます。

1. グループと設定 >すべての設定 >デバイスとユーザー >全般 >高度な設定と進み、必要に応じて現在の設定を上書きするか継承するかを選択します。

2. デバイス割り当てルール設定の有効を選択します。

3. 管理タイプを選択します。

l IP 範囲による組織グループ – デバイスがあるWi-Fi ネットワーク範囲を離れ、別のネットワーク範囲に接続するとき、デバイスを指定された組織グループに移動します。この移動により、プロファ

第 9 章: デバイス割り当て

157



イル、アプリ、ポリシー、およびプロダクトが自動プッシュされます。

l カスタム属性による組織グループ – カスタム属性に基づいてデバイスを組織グループに移動します。カスタム属性により、管理者は、管理デバイスから特定の値を抽出して AirWatch コンソールに値を返すことができます。属性値をデバイスに割り当て、プロダクトプロビジョニングで、またはデバイス参照値として使用することもできます。

o カスタム属性による組織グループを選択した場合、割り当てルールに基づいてカスタム属性を作成するにはここをクリックしてくださいリンクが選択可能になります。このリンクを選択すると、ブラウザで新しいタブが開きます。このタブにカスタム属性割り当てルール画面が表示されます。この画面で、貴社独自の属性割り当てルールを作成できます。詳細は、256ページのカスタム属性を使用して組織グループを割り当てるを参照してください。

l IP 範囲によるユーザー名 – デバイスがあるネットワーク範囲を離れ、別のネットワーク範囲に接続するとき、そのデバイスは、元の組織グループを離れ別の組織グループに移動するのではなく、ユーザー名を自動変更します。このユーザー名変更により、プロファイル、アプリ、ポリシー、およびプロダクトが組織グループ変更内容と同じようにプッシュされます。このオプションは、新組織を作成する機能が制限されている企業組織向けで、デバイス割り当て機能の活用法の一つです。

重要:保存済みのネットワーク範囲割り当て上の割り当てタイプを変更したい場合、グループと設定>グループ > 組織グループ >ネットワーク範囲と進み、既存の定義済み範囲すべてを削除します。

4. デバイス所有形態オプションを選択します。選択した所有形態のデバイスのみが割り当てられます。

l 企業 –専用

l 企業 –共有

l 従業員所有

l 未定義

5. すべてのオプションを設定した後、保存をクリックします。

デバイス割り当てルールまたはネットワーク範囲を定義するデバイスをWi-Fi に接続すると、デバイスを認証し、そのネットワーク範囲に関連付けられたプロファイル、アプリ、ポリシーとプロダクトプロビジョンを自動でインストールすることができます。カスタム属性に基づいてさまざまなルールを定義することも可能です。属性が割り当てられたデバイスが加入すると、ルールにより、デバイスが構成済み組織グループに割り当てられます。該当するカスタム属性を含むプロダクトプロビジョンをデバイスが受信した場合も、デバイスを構成済み組織グループに割り当てることができます。デバイス割り当てを有効化すると、カスタム属性ルールに基づいてデバイスを移動することや、ネットワーク範囲を指定することができます。詳細は、256 ページのカスタム属性を使用して組織グループを割り当てるを参照してください。


158



デバイス割り当てはサブ組織グループでのみ構成することができます。

1. ここをクリックしてネットワーク範囲を作成リンクをクリックするか、グループと設定 >グループ >組織グループ >ネットワーク範囲と進みます。

2. 1 つの IP アドレス範囲を追加するには、ネットワーク範囲を追加を選択します。ネットワーク範囲を追加/編集画面の以下の欄に入力し、保存をクリックします。l 開始 IP アドレス – ネットワーク範囲の開始アドレスを入力します。

l 終了 IP アドレス – ネットワーク範囲の終了アドレスを入力します。

l 組織グループ名 – デバイスが上記のネットワーク範囲に入った際の移動先となる組織グループ名を入力します。この設定は、ネットワーク割り当てタイプが｢IP 範囲による組織グループ｣の場合にのみ表示されます。

l ユーザー名 – デバイスが上記のネットワーク範囲に入った際のデバイスの登録名となるユーザー名を入力します。この設定は、ネットワーク割り当てタイプが｢IP 範囲によるユーザー名｣の場合にのみ表示されます。

l 説明 – ネットワーク範囲の説明となる参考情報を入力します (オプション)。

l ネットワーク範囲がオーバーラップしている場合は、｢保存に失敗しました。ネットワーク範囲はすでに存在します。｣というメッセージが表示されます。

3. 複数のネットワーク範囲を追加する必要がある場合は、オプションでバッチインポートを使用して、時間を短縮することができます。バッチインポート画面のこのバッチタイプ用のテンプレートをダウンロードするリンクを選択すると、一括インポートテンプレートの参照とダウンロードができます。テンプレートに入力し、バッチインポート画面でインポートを行います。保存をクリックします。


159



第10章:プロファイルとリソースデバイスプロファイル概要 161全般プロファイル設定を追加する 161デバイスプロファイルリスト表示 164デバイスプロファイルを編集する 168リソースの概要 170デバイス割り当てを表示する 192順守プロファイルの概要 192ジオフェンス 194タイムスケジュール 196

160



デバイスプロファイル概要デバイスプロファイルは、デバイス管理の主要な手段です。デバイスプロファイルに含まれている設定を順守ポリシーと組み合わせることで、企業の規則や手順の順守に役立ちます。

各プラットフォームタイプ向けにプロファイルを作成し、プラットフォームタイプごとの個々の設定となるペイロードをそれぞれ構成します。

特定のプラットフォームに対する具体的なペイロードを構成する手順については、該当するプラットフォームガイドを参照してください。この文書の入手方法については、267 ページの他の文書を入手するを参照してください。

プロファイル作成のプロセスでは、まず全般設定を指定してから、ペイロード設定を指定します。

l 全般設定は、プロファイルの展開方法と展開対象となるユーザーを指定するためのものです。

l プロファイルのペイロードは、プロファイルがインストールされたときにデバイスに適用される実際の制限やその他の設定です。

全般プロファイル設定を追加する以下のプロファイル設定やオプションはほとんどのプラットフォームに該当し、一般的な参考資料になりますが、異なる選択肢のあるプラットフォームもあります。以下の手順と設定は、すべてのプロファイルに当てはまります。

1. デバイス >プロファイルとリソース >プロファイル >追加と進みます。以下のいずれかの方法で新しいプロファイルを追加します。

l プロファイルを追加 – 新しいデバイスプロファイルの追加を 1つずつ行います。

l プロファイルをアップロード – 署名済みプロファイルをデバイスにアップロードします。

l バッチインポート – 新しいデバイスプロファイルを .CSV ファイルを使用して一括インポートします。一意な名前と説明を入力し、複数のプロファイルを一度にグループ化して整理します。

2. プロファイルを追加を選択します。

3. 展開したいプロファイルに対応する、適切なプラットフォームを選択します。プラットフォームに応じて、ペイロード設定は異なります。

4. 全般タブで次のフィールド値を指定します。

設定説明

名前 AirWatch コンソールで表示されるプロファイルの名称です。

第 10 章: プロファイルとリソース

161



設定説明

バージョン

読み取り専用の項目で、バージョン追加により決定されるプロファイルの現行バージョンを表示します。

説明プロファイルの目的についての簡単な説明を入力します。

展開デバイスの加入解除時に、プロファイルが自動的に削除されるかを決定します (Android forWork 向けのプロファイルには適用されません)。

l 管理対象 – プロファイルは削除されます。

l 手動 – エンドユーザーが削除するまで、プロファイルはインストールされたままです。

割り当てタイプ

プロファイルのデバイスへの展開方法を決定します。

l 自動 – プロファイルはすべてのデバイスに自動で展開されます。

l オプション – エンドユーザーがオプションでセルフサービスポータル(SSP) からインストールするか、または管理者の判断で個々のデバイスに展開されるプロファイルです。

さらに、｢Web クリップ｣または｢ブックマーク｣ペイロードを使用し、エンドユーザーがWeb アプリケーションを表すプロファイルをインストールできるようにすることもできます。Web クリップまたはブックマークを App Catalog に表示するには、これらのペイロードの｢App Catalog に表示｣を有効にします。

l 対話型 – (iOS または Android for Work には適用されません)これは、ユーザーがセルフサービスポータルを使用してインストールする特殊なタイプのプロファイルです。この特殊なタイプのプロファイルがインストールされると、外部システムと通信し、デバイスに送信するためのデータを生成します。このオプションは、グループと設定 >すべての設定 >デバイスとユーザー >高度な設定 >プロファイルオプションで有効に設定されている場合のみ利用できます。

l 順守 – このプロファイルは、デバイスを順守状態にするための是正アクションをユーザーが実行できないときに、順守エンジンによってデバイスに適用されます。詳細は、192 ページの順守プロファイルの概要を参照してください。

削除を許可

l いつでも – エンドユーザーはいつでもプロファイルを手動で削除することができます。

l 要承認 – エンドユーザーは管理者の承認がある場合に限りプロファイルを削除できます。このオプションを選択すると、アカウントパスワード欄が追加されます。

l なし – エンドユーザーはデバイスからプロファイルを削除することはできません。


162



設定説明

管理元

プロファイルの管理者権限を持つ組織グループです。

割り当てるグループ

デバイスプロファイルを適用したいスマートグループを選択します。新しいスマートグループを、OSバージョン、デバイスモデル、所有形態タイプ、組織グループなどの仕様を指定して作成するオプションもあります。詳細は、81 ページの割り当てグループ概要を参照してください。


除外はいを選択すると除外するグループテキストボックスが表示され、このデバイスプロファイルの割り当てから除外したいグループを選択できるようになります。詳細は、91 ページのプロファイルやポリシーからスマートグループを除外するを参照してください。

デバイス割り当て表示

割り当てるグループテキストボックスで選択を行った後、このボタンを使用して、このプロファイルが割り当てられるすべてのデバイスの一覧を確認できます。この一覧には、スマートグループの割り当てと除外が反映されます。

追加の割り当て条件

これらのチェックボックスを使用して、このプロファイルの追加の制限を有効にします。

l 選択したエリア内のデバイスのみにインストール – 世界中の任意の場所の住所、および、半径 (単位: kmまたはマイル)を入力し、プロファイルをインストールする範囲を指定します。詳細は、194 ページのジオフェンスを参照してください。

l スケジュールを有効にし、選択した時間帯のみインストール – 構成済みのタイムスケジュールを指定し、デバイスが設定された時間枠内にのみプロファイルを受信するようにします。このオプションを選択すると、割り当てるスケジュールという必須入力欄が表示されます。詳細は、196 ページのタイムスケジュールを参照してください。

削除日

プロファイルがデバイスから削除される日付です。 MM/DD/YYYY の形式で、未来の日付を使用してください。

5. デバイスプラットフォームに対するペイロードを構成します。

特定のプラットフォームに対する具体的なペイロードを構成する手順については、該当するプラットフォームガイドを参照してください。これらの文書の入手方法については、267 ページの他の文書を入手するを参照してください。


163




デバイスプロファイルリスト表示プロファイルを作成して割り当てた後、これらの設定のそれぞれを一元的にリモート管理する方法が必要です。デバイス >プロファイルとリソース >プロファイルと進むと、プロファイルを一元的に整理および管理できます。

フィルタ、レイアウトやカラム並べ替えを使用し、条件を設定して、デバイスプロファイルリストをカスタマイズすることができます。または、リストを CSV ファイルにエクスポートし、Excel でデバイスプロファイルの状態を確認することもできます。


164



設定説明

フィルタ

以下のフィルタを使用し、必要なプロファイルのみ表示します。

l 状態 – アクティブ、非アクティブ、すべてのデバイスを表示するフィルタを適用します。

l プラットフォーム – 13 種類のプラットフォーム別にデバイスを表示するか、すべてのプラットフォームを表示します。

l スマートグループ – ドロップダウンメニューからスマートグループを選択し、所属デバイスのみを表示することができます。

レイアウト

リスト上のカラムの配置をカスタマイズできます。

l 概要 – 既定のカラムと表示設定のリスト表示を閲覧します。

l カスタム –リスト表示から表示したいカラムのみを選択します。選択したカラムを、現在の組織グループ、またはそのサブ組織グループのすべての管理者に適用することもできます。

エクスポート

リスト表示全体を CSV (コンマ区切り値)ファイルで保存し Excel で表示/分析します。リスト表示にフィルタを適用している場合は、エクスポートされるリストもそのフィルタに従います。

カラム並べ替え

カラムのヘッダを選択し、リストの並び順を切り替えます。

プロファイル詳細

概要とカスタム表示双方のプロファイル詳細カラムには、各プロファイルにペイロードタイプ示すアイコンが表示されています。

–シングルペイロードタイプには、個々のペイロードタイプに独自のアイコンがあります。

– 1 つのタイプの複数のペイロードを持つプロファイルには、アイコンの右上部に数字のバッジが表示されます。

–異なるタイプの複数のペイロードを持つプロファイルには、数字のバッジ付きの一般的なアイコンが表示されます。


165



設定説明

インストール状態

このカラムには、プロファイルのインストール状態が、リンク付きのハイパーテキストの 3つの数字で表示されます。このリンクを選択すると、デバイス表示ページが表示され、選択したカテゴリに該当するデバイスの一覧を閲覧できます。

l インストール済み ( ) – このインジケータは、プロファイルが割り当てられ、正常にインストールされたデバイスの数を表示します。

l 未インストール ( ) – このインジケータは、プロファイルが割り当てられているにもかかわらずまだインストールされていないデバイスの数を表示します。

l 割り当て済み ( ) – このインジケータは、インストール状態にかかわらず、プロファイルが割り当てられたデバイスの数を表示します。

ラジオボタンと編集アイコン

リスト表示画面には、プロファイルの左側にそれぞれラジオボタンと編集アイコンがあります。編集アイコン ( ) を選択すると、プロファイル構成に基本的な変更を加えることができるようになります。ラジオボタンを選択するとデバイスボタン、XMLボタンとその他のアクションボタンが一覧の上に表示されます。

l デバイス – 該当プロファイルを利用できるデバイスと、そのプロファイルがインストールされているかどうか、そしてその理由を表示します。貴社の展開に含まれているデバイスを調査し、必要に応じて手動でプロファイルをプッシュします。

l </> XML – プロファイル作成後、AirWatch が生成する XML コードを表示します。 XMLコードを確認し、AirWatch コンソールの外部で再利用または変更するために保存します。

l その他のアクション

o コピー – 既存のプロファイルのコピーを作成し、コピー版の構成を微調整することでデバイスプロファイルを作成します。

o アクティブ化/非アクティブ化 – デバイスプロファイルを、アクティブまたは非アクティブに切り替えます。

o 削除 – 不要なプロファイルを削除し、貴社のプロファイルリストのメンテナンスを行います。

デバイスプロファイルのホバーオーバーポップアップ

各デバイスプロファイルのプロファイル名カラムの右上隅にツールチップアイコンがあります。このアイコンをタップするか (モバイルタッチデバイスの場合)、マウスカーソルでホバーオーバー (PC またはMac の場合)すると、ホバーオーバーポップアップが表示されます。このポップアップにはプロファイル名、プロファイルが有効なプラットフォーム、ペイロードタイプなどのプロファイル情報が表示されます。


166



プロファイルリスト表示の割り当てられたグループカラムにも同様のツールチップアイコンがあり、割り当てのスマートグループと展開タイプをホバーオーバーポップアップで表示します。

デバイスプロファイルのインストールを確認する

まれに、対象となるデバイスにプロファイルがインストールされないケースが発生することがあります。そのような場合は、デバイス表示画面を使用して具体的な理由を確認します。

デバイス >プロファイルとリソース >プロファイルと進み、インストール状態カラムの右側の数字リンクを選択してデバイス表示画面を開きます。

作成したプロファイルが意図したデバイスに配信されない場合は、VMware AirWatch ナレッジベース資料のトラブルシューティング情報 (https://support.air-watch.com/articles/115001662268)を参照してください。

デバイスコマンド状態カラムを表示する

デバイス表示画面で示されるコマンド状態カラムは、選択したデバイスのインストール状態を以下のように表示します。

l エラー – リンクを選択すると、デバイスに該当する特定のエラーコードを表示します。

l 保持 – デバイスが進行中の証明書バッチ処理に含まれていることを示します。


167




l 該当なし – スマートグループまたは展開の一部であるにもかかわらず、デバイスはプロファイル割り当ての影響を受けないことを示します。例としては、プロファイルタイプが管理外である場合などが考えられます。

l 今は行わない – デバイスがロックされているかまたは他の操作を実行中であることを示します。

l 保留中 – インストールはスケジュール済みで待機中であることを示します。

l 成功 – プロファイルが正常にインストールされたことを示します。

注: コマンド状態カラムは iOS デバイスのみの機能です。

エクスポートアイコン ( ) を選択して、デバイス表示ページ全体を Excel で表示することのできる CSV(コンマ区切り値)ファイルを生成することもできます。さらに、表示する列アイコン ( ) を選択し、デ

バイス表示ページに表示される列をカスタマイズすることもできます。

デバイスプロファイルの読み取り専用表示

ある組織グループで作成され、管理されるデバイスプロファイルは、より低いレベルの権限を持つ管理者がアクセスする場合、読み取り専用の状態になります。プロファイルウィンドウは、この読み取り専用状態を反映して｢このプロファイルは、上位の組織グループで管理されているため編集できません。｣というメッセージを表示します。

この読み取りのみの制限は、スマートグループ割り当てにも適用されます。メイン組織グループでプロファイルを作成し、あるスマートグループに割り当てた場合、下位の組織グループの管理者は、割り当て先スマートグループを表示することはできますが、編集することはできません。

この挙動は、階層構造に基づくセキュリティを維持する一方、管理者間のコミュニケーションを促進するのに役立ちます。

デバイスプロファイルを編集するAirWatch コンソールを使用して、すでに貴社のデバイスにインストールされたデバイスプロファイルを編集することができます。任意のデバイスプロファイルに対し、2種類の変更ができます。

l 全般 – プロファイルの全般設定はプロファイルの配布を管理します。プロファイルがどのように割り当てられるか、どの組織グループによって管理されるか、どのスマートグループに割り当て/除外されるかを設定します。

l ペイロード – ペイロードプロファイル設定はデバイス自体に影響します。パスコード要件、カメラの使用、スクリーンキャプチャなどのデバイス制限事項、Wi-Fi 構成、VPN などを設定します。


168



デバイス自体の操作には影響がないため、全般変更は、通常プロファイルを再公開することなく行うことができます。このような変更を保存すると、すでにプロファイルが割り当てられていなかったデバイスにのみプロファイルがプッシュされることになります。

これに対し、ペイロードの変更は新しいまたは既存のすべてのデバイスに再公開される必要があります。これは、デバイス自体の操作に影響するためです。

全般デバイスプロファイル設定を編集する

全般プロファイル設定には、その配布を管理する変更情報が含まれています。この配布情報の内容は、プロファイルがどのように割り当てられるか、どの組織グループによって管理されるか、どのスマートグループに割り当てられるか、および、どのスマートグループから除外されるか、です。

1. デバイス >プロファイルとリソース >プロファイルと進み、編集したいプロファイルのアクションメ

ニューから編集アイコン ( ) を選択します。

編集可能なプロファイルは、ある組織グループまたはその下のサブ組織グループによって管理されているプロファイルだけです。

2. 全般カテゴリで希望するすべての変更を行います。

3. 全般カテゴリの変更を終了した後、保存して公開をクリックし、追加/削除の対象となる新しいデバイスにプロファイルを適用します。プロファイルがすでに割り当てられているデバイスは、再公開されたプロファイルを再び受け取ることはありません。デバイス割り当て表示画面が表示されます。現在プロファイルが割り当てられているデバイスを確認します。


161 ページの全般プロファイル設定を追加する

192 ページのデバイス割り当てを表示する

ペイロードデバイスプロファイル設定を編集する

ペイロードプロファイル設定は、デバイス自体に影響する変更を行います。パスコード要件、カメラの使用、スクリーンキャプチャなどのデバイス制限事項、Wi-Fi 構成、VPN などが含まれています。

バージョンの追加ボタンで次のバージョンを作成し、ペイロードの設定内容を編集することができます。

1. デバイスの操作に影響するペイロードを編集可能にするため、バージョンの追加ボタンを選択します。

バージョンの追加ボタンを選択し変更を保存することは、プロファイルが割り当てられたすべてのデバイスに、デバイスプロファイルを再公開することを意味します。これには、既にプロファイルを持つデバイスも含まれます。具体的なペイロードを構成する手順については、該当するプラットフォームガイドを参照してください。この文書の入手方法については、267 ページの他の文書を入手するを参照してください。


169



2. ペイロード変更を完了した後、保存して公開をクリックし、割り当てられたすべてのデバイスにプロファイルを適用します。デバイス割り当て表示画面が表示されます。現在プロファイルが割り当てられているデバイスを確認します。

リソースの概要リソースを使用することで、iOS、Android、Windows など、複数のデバイスプラットフォームをサポートする AirWatch 展開におけるWi-Fi、VPN、および Exchange ペイロードのプロビジョニングが容易になります。

これらのペイロードに対応するリソースを作成し、各デバイスプラットフォームに適用される全般設定を定義します。さらにオプションで、それらのデバイスのみに適用されるプラットフォームごとの設定を構成できます。

リソースの定義、管理、展開は、デバイスプロファイルとは別に行います。デバイスプロファイルに加えてリソースを展開することで、展開内でサポートされているすべてのプラットフォームに対する詳細かつ幅広いデバイス管理を実現できます。

Wi-Fi、VPN、または Exchange の設定を展開するためにリソースを使用する必要はありません。必要に応じて、プラットフォームごとのこれらのペイロード用に個別のデバイスプロファイルを作成することができます。各プラットフォームでWi-Fi、VPN、または Exchange の設定を同一または類似にするには、リソースを展開することを検討してください。そのうえで、追加のデバイスプロファイルを通常どおり作成して、プラットフォームごとの機能をさらに細かく管理することができます。

リソースリスト表示

リソースリスト表示では、リソースを追加、表示、編集、および削除できます。また、リソースリストにフィルタ (アクティブ、非アクティブ、またはすべて)を適用できます。

リソースを追加する

複数のデバイスに適用できるリソースを追加する場合、事前に、必要なリソースの種類 (Exchange (Eメール)、VPN、またはWi-Fi) を決めます。


170



リソースリスト表示

リソースリスト表示を使用して、デバイスリソースのコレクションへの追加や、増加するコレクションの管理ができます。たとえば、個々のリソースの構成の表示、削除、編集などができます。

リソースを追加する

同じ Exchange、Wi-Fi、VPN 設定を使用してマルチプラットフォームのデバイス群をプロビジョニングするリソースを追加することができます。

デバイス >プロファイルとリソース >リソースと進み、リソースを追加を選択します。リソースを追加するには、次のオプションから選択する必要があります。

l Exchange – Exchange Eメールサーバとの接続を維持できるように Eメール設定を構成します。

l Wi-Fi – ネットワーク接続を維持できるようにWi-Fi 接続の設定を構成します。

l VPN – セキュアな接続を維持できるように、仮想プライベートネットワーク設定を構成します。

それぞれのリソースについて、構成には 3つのステップが必要です。デバイスリソースを作成するには、リソースの詳細、対応するプラットフォーム、およびデバイスに対するリソースの割り当てを指定します。

l リソースの詳細には、リソース名、説明、サーバの依存関係、および、そのリソースの動作を指定するその他の重要な情報が含まれます。

l プラットフォームでは、そのリソースを実行するデバイスを定義します。


171



l 割り当てでは、組織グループ、ユーザーグループ、スマートグループなど、ソースの展開方法を指定します。

リソースを管理する

リソースのコレクションができたら、デバイス >プロファイルとリソース >リソースと進み、リソースのフィルタ、表示、編集、削除を行うことで、それらを管理することができます。

l リソースリスト表示にフィルタをかけて、アクティブ、非アクティブ、またはすべてのリソースを表示することができます。

l リソースに含まれているさまざまなプラットフォームを表示するには、プラットフォームカラムのハイパーリンクの付いた数字を選択します。

o リソースの高度な設定を開くには、ハイパーリンクの付いたプラットフォーム名を選択します。

o プラットフォーム画面のインストール済み/割り当て済みカラムのハイパーリンク付きの数字を選択して、デバイス表示画面を開くと、そのリソースに割り当てられているデバイスの一覧が表示されます。

o XML コードを表示し、エクスポートして証明書をアップロードするには、プラットフォーム画面のXML カラムに表示される表示ハイパーリンクをクリックします。

l リソースを編集するには、リソースの名前のリンクを選択して、リソースを編集画面のリソースの詳細セクションを表示します。

o リソースの詳細を編集するには、リソースリストの左にある鉛筆のアイコン ( ) をクリックします。リソースを編集画面の他のセクションの編集に進むには、次へボタンをクリックします。

l リソースの割り当てを編集するには、リソースリストの左側にあるラジオボタンを選択して、割り当てを編集ボタンをクリックします。

l リソースを削除するには、リソースリストの左側にあるラジオボタンを選択して、削除ボタンをクリックします。リソースを削除すると、そのリソースがすべてのデバイスから削除されるまで、非アクティブに設定されます。


172



Exchange リソースを追加する

セキュアに Eメールの送受信を行う手段をデバイスに提供するための専用のリソースを追加することができます。

1. Exchangeリソースを追加するため、次のフィールド値を指定します。

設定説明

リソースの詳細

リソース名 AirWatch コンソールで表示されるプロファイルの名前です。

説明プロファイルの目的について簡単な説明を記入します。

接続情報

メールクライアントそのソースで使用する Eメールクライアントを選択します。

Exchange ホストリソースに含める Eメールアカウントの Exchange ホストを入力します。

SSL 使用このメールクライアントで SSL (Secure Socket Layer) を有効にします。

アドバンスト

ドメインこの Eメールドメインのカスタム参照値を入力します。

ユーザー名この Eメールのユーザー名のカスタム参照値を入力します。

Eメールアドレスこの Eメールアドレスのカスタム参照値を入力します。

パスワード Eメールアカウントのパスワードを入力します。文字を表示チェックボックスを選択すると、パスワードがそのまま表示されます。

｢ID 証明書｣証明書を追加するボタンをクリックして認証局をアップロードし、Eメールアカウントに関連付けます。

メールの同期を取りに遡る日数

同期する Eメール履歴の期間を指定します。 3 日、1 週間、2 週間、1 か月、無制限のいずれかを選択します。

カレンダーの同期デバイスのカレンダーを Exchange 予定表と同期するには、このオプションを選択します。 iOS および macOS デバイスでは、既定でこの設定が有効になっています。

連絡先の同期デバイスの連絡先を Exchange 連絡先と同期するには、このオプションを選択します。 iOS および macOS デバイスでは、既定でこの設定が有効になっています。

2. 次へをクリックしてプラットフォームの選択に進みます。次のサポートされているプラットフォームから、既定の設定または高度な設定を有効にするプラットフォームを選択します。


173



l 174 ページの iOS の Exchange の高度な設定を構成する

l 175 ページの macOS の Exchange の高度な設定を構成する

l 176 ページの Android の Exchange の高度な設定を構成する

l 177 ページのWindows Phone の Exchange の高度な設定を構成する

l 178 ページのWindows デスクトップの Exchange の高度な設定を構成する

3. 次へをクリックして割り当てセクションに進みます。

4. 以下の設定を行って、リソースをデバイスに割り当てます。

設定説明

割り当てタイプデバイスへのリソースの展開の方法を指定します。

l 自動 – リソースは自動的にすべてのデバイスに展開されます。

l オプション – リソースは、エンドユーザーが任意でセルフサービスポータル(SSP) からインストールするか、または管理者の判断で個々のデバイスに展開されます。

管理元リソースへの管理アクセスをもつ組織グループです。


デバイスリソースを追加したいグループを指定します。新しいスマートグループを、OSバージョン、デバイスモデル、所有形態タイプ、組織グループなどの仕様を指定して作成するオプションもあります。詳細は、81 ページの割り当てグループ概要を参照してください。

除外はいを選択すると、除外するグループという新しいテキストボックスが表示され、このリソースの割り当てから除外したいグループを選択できます。詳細は、91ページのプロファイルやポリシーからスマートグループを除外するを参照してください。

デバイス割り当てを表示する

割り当てるグループテキストボックスで選択を行った後、このボタンを使用して、このリソースが割り当てられるすべてのデバイスの一覧を確認できます。この一覧には、スマートグループの割り当てと除外が反映されます。

iOS の Exchange の高度な設定を構成する

iOS 用の Exchange の高度な設定には、S/MIME とセキュリティの構成オプションがあり、Eメールをユーザーごとに証明書ベースで暗号化することができます。

設定説明

S/MIME を使用する S/MIME (Secure Multipurpose Internet Mail Extensions)、公開鍵方式の暗号化、および署名の標準を使用します。


174



設定説明

S/MIME 証明書 S/MIME を使用するが有効な場合にのみ使用できます。署名証明書を Eメールに追加するには、証明書を追加するを選択します。

S/MIME 暗号化証明書 S/MIME を使用するが有効な場合にのみ使用できます。 Eメールを暗号化して Eメールにデジタル署名するための証明書を追加するには、証明書を追加するを選択します。

メッセージスイッチを有効化

S/MIME を使用するが有効な場合にのみ使用できます。このオプションを有効にすると、エンドユーザーがネイティブの iOS メールクライアントを使用して、暗号化と署名を行う Eメールメッセージを選択できるようになります (iOS 8 以降の監視モードのみ)。

設定とセキュリティ

メッセージの移動を防ぐこのオプションを有効にすると、Exchange メールボックスからデバイス上の他のメールボックスに Eメールメッセージを移動できなくなります。

サードパーティアプリでの使用をブロック

このオプションを有効にすると、他のアプリから Exchange メールボックスを使用してメッセージを送信できなくなります。

最近のアドレス同期を無効にする

このオプションを有効にすると、Exchange でメールを送信するときに、連絡先の候補が自動表示されなくなります。

Mail Drop を禁止このオプションを有効にすると、Apple の Mail Drop 機能を使用できなくなります。

macOS の Exchange の高度な設定を構成する

macOS デバイスで Exchange Eメールを受信できるようにするには、高度な設定を構成します。

設定説明

内部 Exchange ホスト

EAS で使用するセキュアサーバの名前です。ネイティブメールクライアントが選択されていると、このオプションおよび以下のオプションが表示されます。

ポート内部 Exchange ホストとの通信に割り当てるポート番号を入力します。

内部サーバのパス EAS で使用するセキュアサーバの場所です。

内部 Exchange ホストに SSL を使用

このチェックボックスをオンにした場合、内部 Exchange ホストとの通信に SSL(Secure Sockets Layer) を使用します。

外部 Exchange ホスト

EAS で使用する外部サーバの名前です。

ポート外部 Exchange ホストとの通信に割り当てるポート番号を入力します。

外部サーバのパス EAS で使用する外部サーバの場所です。


175



設定説明

外部 Exchange ホストに SSL を使用

このチェックボックスをオンにした場合、外部 Exchange ホストとの通信に SSL(Secure Sockets Layer) を使用します。

Android の Exchange の高度な設定を構成する

Android 用の Exchange の高度な設定には、履歴の同期、制限、同期のスケジュール、S/MIME があります。 Android デバイスに Eメールを配信するには、これらのオプションを構成します。

設定説明

設定

カレンダーの同期を取りに遡る日数

過去何日分のカレンダー項目をデバイスと同期させるかを指定します。

タスクの同期を許可このオプションを有効にした場合、タスクをデバイスと同期させることができます。

Eメール最大サイズ(KB)

Eメールメッセージがデバイスと同期する際に許容されるサイズ (KB) を設定します (超過分は切り捨て)。

Eメール署名発信メールに表示する Eメール署名を入力します。

SSL エラーを無視する

このオプションを有効にした場合、デバイスは AirWatch Agent プロセスにおけるSSL エラーを無視できます。

制限

添付ファイルを許可する

このオプションを有効にした場合、Eメールにファイルを添付できます。

添付ファイルの最大サイズ (MB)

添付ファイルの上限サイズ (単位: MB) を指定します。

E メール転送を許可このオプションを有効にした場合、Eメールを転送できます。

HTML フォーマットを許可

HTML 形式の Eメールを HTML 形式のままデバイスと同期させるかどうかを指定します。

このオプションを無効にした場合、Eメールはすべてテキスト形式に変換されます。

スクリーンショットを無効にする

このオプションを有効にした場合、デバイス上でスクリーンショットを取ることはできません。

同期の間隔同期間隔 (単位: 分)を入力します。


176



設定説明

同期スケジュールのピーク日

l 同期処理におけるピーク日を指定します。また、開始時間および終了時間で、選択した日における同期処理の開始/終了時刻を指定します。

l ピーク時の同期スケジュールおよびオフピーク時の同期スケジュールで、同期処理の頻度を指定します。

o 自動を選択した場合、更新データが発生するたびに Eメール同期処理が実行されます。

o 手動を選択した場合、選択したときにのみ Eメール同期処理が実行されます。

o 時刻を指定した場合、設定したスケジュールに基づいて Eメール同期処理が実行されます。

l SSL の使用、TLS の使用および既定のアカウントを有効にします。

S/MIME 設定

S/MIME を使用を選択し、資格情報ペイロードでユーザー証明書として関連付ける S/MIME 証明書をここから選択することができます。

l S/MIME 証明書 – 使用する証明書を選択します。

l 暗号化された S/MIME メッセージを要求する – S/MIME メッセージを暗号化する必要があります。

l 署名済み S/MIME を要求する – すべての S/MIME メッセージにデジタル署名する必要があります。

暗号化に S/MIME 証明書を使用する場合は、移行ホストを入力します。

Windows Phone の Exchange の高度な設定を構成する

Windows Phone 用の Exchange の高度な設定には、同期のスケジュール設定とデータ保護の設定があります。 Exchange の Eメールを安全にデバイスに配信するには、これらの設定を構成します。

設定説明

設定

次の同期間隔 (分)

同期間隔 (単位: 分)を入力します。


177



設定説明

診断ログ収集

収集する診断ログの種類を選択します。

コンテンツタイプ

ロック時のデータ保護を必須にする

このオプションを有効にすると、デバイスを暗証番号でロックしている時にデータが保護されます。

暗証番号によるロックを使用するようにデバイスが構成されている場合、保護対象のデータは別々の企業キーを使用して暗号化されます。だれかがデバイスの暗証番号ロックにアクセスしても、組織の Eメールとデータは別々のキーで保護されます。

保護されたドメイン

ロック時のデータ保護を必須にするが有効な場合にのみ指定できます。保護したいExchange ドメインの参照値を入力します。

Eメール同期を許可

Eメールの同期を許可します。この設定を無効にすると、Exchange Active Sync を使用して Eメールにアクセスできなくなります。

Windows デスクトップの Exchange の高度な設定を構成する

Windows デスクトップ用の Exchange の高度な設定には、同期のスケジュール設定とデータ保護の設定があります。 Exchange の Eメールを安全にデバイスに配信するには、これらの設定を構成します。

設定説明

設定

次の同期間隔 (分) デバイスが EASサーバと同期する頻度を分単位で選択します。

診断ログ収集トラブルシューティングのためにログを収集します。

コンテンツタイプ

Eメール同期を許可 Eメールメッセージの同期を許可します。


178



Wi-Fi リソースを追加する

ワイヤレスネットワークに接続する手段をデバイスに提供するための専用のリソースを追加することができます。これにより、セキュアにデータを送受信することができます。

1. Wi-Fiリソースを追加するため、次のフィールド値を指定します。

設定説明




接続情報

サービスセット識別子(SSID)

Wi-Fi ネットワークの名前に関連付けられた識別子を入力します

非公開のネットワークネットワークがブロードキャストに公開されていない場合はこれを有効にします。

自動参加デバイスをネットワークに自動参加させます。

暗号化ドロップダウンメニューを使用して、Wi-Fi 接続を使用して転送するデータを暗号化するかどうかを指定します。

このフィールドは、セキュリティタイプに基づいて表示されます。

パスワード Eメールアカウントのパスワードを入力します。文字を表示チェックボックスを選択すると、パスワードがそのまま表示されます。


l 180 ページのWi-Fi プロキシの高度な設定を構成する

l 181 ページの macOS の Wi-Fi の高度な設定を構成する

l 181 ページの Android の Wi-Fi の高度な設定を構成する

l 182 ページのWindows Wi-Fi の高度な設定を構成する


4. リソースをデバイスに割り当てるため、次のフィールド値を指定します。


179



設定説明










Wi-Fi プロキシの高度な設定を構成する

プロキシを使用してデバイスを AirWatch に接続するため、Wi-Fi の高度な設定を構成します。

設定説明

プロキシのタイプなし、手動、自動から選択します。

プロキシの URL プロキシのタイプが自動になっている場合にのみ指定できます。デバイスが接続に使用するWi-Fi プロキシの URL を入力します。

PAC が到達不能な場合、直接接続を許可する

プロキシのタイプが自動になっている場合にのみ指定できます。プロキシの自動構成ファイルにアクセスできない場合でもデバイスの接続を許可する場合は、このオプションを有効にします。

プロキシサーバプロキシのタイプが手動になっている場合にのみ指定できます。デバイスの接続先となるプロキシサーバの名前を入力します。

プロキシサーバポートプロキシのタイプが手動になっている場合にのみ指定できます。デバイスがプロキシサーバに接続するときに使用する、プロキシサーバのポート番号を入力します。


180



設定説明

プロキシユーザー名プロキシのタイプが手動になっている場合にのみ指定できます。プロキシサーバで認識されるユーザー名を入力します。

プロキシパスワードプロキシのタイプが手動になっている場合にのみ指定できます。入力したユーザー名に対応するパスワードを入力します。

macOS の Wi-Fi の高度な設定を構成する

プロキシを使用してデバイスを AirWatch に接続するため、Wi-Fi の高度な設定を構成します。

設定説明

プロファイルプロキシ設定を構成する対象を選択します。

デバイス – プロキシ設定を特定の macOS デバイスに限定します。

ユーザー – プロキシ設定を macOS デバイスのユーザーに適用します。

プロキシ設定を両方のターゲットに適用するには、両方のボックスにチェックを入れます。

プロキシ

プロキシのタイプなし、手動、自動から選択します。

プロキシの URL プロキシのタイプが自動になっている場合にのみ指定できます。デバイスが接続に使用するWi-Fi プロキシの URL を入力します。

PAC が到達不能な場合、直接接続を許可する

プロキシのタイプが自動になっている場合にのみ指定できます。プロキシの自動構成ファイルにアクセスできない場合でもデバイスの接続を許可する場合は、このオプションを有効にします。

プロキシサーバプロキシのタイプが手動になっている場合にのみ指定できます。デバイスの接続先となるプロキシサーバの名前を入力します。

プロキシサーバポートプロキシのタイプが手動になっている場合にのみ指定できます。デバイスがプロキシサーバに接続するときに使用する、プロキシサーバのポート番号を入力します。

プロキシユーザー名プロキシのタイプが手動になっている場合にのみ指定できます。プロキシサーバで認識されるユーザー名を入力します。

プロキシパスワードプロキシのタイプが手動になっている場合にのみ指定できます。入力したユーザー名に対応するパスワードを入力します。

Android の Wi-Fi の高度な設定を構成する

Android の高度なWi-Fi 設定の内容は、Fusion 設定とプロキシ設定です。これらの設定では、無線周波数、スペクトルマスク、プロキシサーバ設定に関するワイヤレス構成を指定できます。


181



設定説明

Fusion

Fusion 設定を含める有効にすると、Fusion 機能の主な設定が表示されます。

Fusion 802.11d を設定する/802.11d を有効化する

このオプションを有効化した場合、802.11d ワイヤレス規格を利用して、他の制御ドメイン内でデバイスを使用することができます。

国別コードを設定する/国コード

このオプションを有効化した場合、国別コードを設定し、802.11d 規格を利用してデバイスを使用することができます。

周波数帯を設定するこのオプションを有効化した場合、2.4 GHz および 5 GHz のチャンネルマスクを含む、周波数帯のすべての指定オプションが表示されます。

2.4 GHz に設定する/2.4GHz を有効化する

2.4 GHz の無線周波数帯を使用します。

2.4 GHz チャンネルマスク

隣接チャンネルの干渉を低減するため、2.4 GHz の周波数帯の前後にチャンネルまたはスペクトルマスクを適用します。

5 GHz に設定する/5GHz を有効化する

5 GHz の無線周波数帯を使用します。

5 GHz チャンネルマスク

隣接チャンネルの干渉を低減するため、5 GHzの周波数帯の前後にチャンネルまたはスペクトルマスクを適用します。

プロキシ

手動プロキシを有効化このオプションを有効にすると、プロキシサーバの設定が表示されます。

プロキシサーバプロキシのドメイン名を入力します。

プロキシサーバポートプロキシサーバで使用されるポート番号を入力します。

除外リストプロキシ経由のルーティングを行わないホスト名を入力します。ドメインのワイルドカードとしてアスタリスクを使用できます。例: *.air-watch.com

Windows Wi-Fi の高度な設定を構成する

プロキシを使用してWindows デバイス (デスクトップおよび電話)を AirWatch に接続するには、Wi-Fi の高度な設定を構成します。

設定説明

プロキシ

Windows デバイスで AirWatch に接続するのにプロキシを使用するには、このオプションを有効にします。


182



設定説明

URL プロキシが有効になっている場合にのみ指定できます。デバイスが接続に使用するWi-Fi プロキシの URL を入力します。

ポートプロキシが有効になっている場合にのみ指定できます。デバイスがプロキシサーバに接続するときに使用する、プロキシサーバのポート番号を入力します。

VPN リソースを追加する

仮想プライベートネットワーク (VPN) を使用するためのリソースを追加できます。 VPN を使用した場合、ユーザーはパブリックネットワークでも、プライベートネットワークに直接接続しているかのようにデータを送受信できます。

1. VPNリソースを追加するため、次のフィールド値を指定します。

設定説明




接続情報

接続タイプドロップダウンメニューでセキュアな接続のタイプを選択します。

サーバサーバ URL を入力します。


l 184 ページの iOS の VPN の高度な設定を構成する

l 187 ページの Android の VPN の高度な設定を構成する

l 188 ページのWindows Phone の VPN の高度な設定を構成する


4. リソースをデバイスに割り当てるため、次のフィールド値を指定します。


183



設定説明










iOS の VPN の高度な設定を構成する

iOS 用の VPN の高度な設定には、接続および認証の設定、プロキシおよびベンダの構成があります。 iOS用の VPN を構成するために、必要に応じてこれらの設定を有効にします。

設定説明

接続情報

アカウント

VPN アカウントの名前を入力します。

アイドル状態で切断(分)

一定の時間が経過したら、VPN が自動的に切断されるようにします。この値のサポートは、VPN プロバイダによって異なります。


184



設定説明

すべてのトラフィックを送信

すべてのトラフィックが指定したネットワークを経由することを強制するには、これを選択します。

アプリベースVPN 規則

アプリベース VPN 規則を有効化し、構成するには、このオプションを選択します。

自動接続

VPN で、選択した Safari ドメインに自動接続するにはこのオプションを選択します。このフィールドは、アプリベース VPN 規則チェックボックスをオンにした場合に表示されます。

プロバイダタイプ

アプリベース VPN プロバイダのタイプを選択します。アプリプロキシとパケットトンネルのどちらかを選択することで、アプリケーションレイヤーと IP レイヤーのどちらを使用してトラフィックをトンネルするかを指定します。このフィールドは、アプリベース VPN 規則チェックボックスをオンにした場合に表示されます。

Safariドメイン

アプリベース VPN で自動接続したいドメインを入力します。このドメインは、VPN の自動接続を実行する社内サイトです。このフィールドは、アプリベース VPN 規則チェックボックスをオンにした場合に表示されます。

認証

ユーザー認証

エンドユーザーを認証するには、証明書をアップロードするか、VPN アクセス用のパスワードを要求します。

グループ名

AirWatch グループ名を入力します。

パスワード

ユーザー認証で｢パスワード｣を選択した場合にのみ、このフィールド値を指定できます。AirWatch グループ名のパスワードを入力します。

｢ID 証明書｣

この設定は、ユーザー認証が｢証明書｣に設定されている場合にのみ指定できます。証明書を追加するを選択して、証明書ファイルを指定してアップロードするか、証明書テンプレートを使用して既存の認証局を選択します。

オンデマンドVPN を有効化

この設定は、ユーザー認証が｢証明書｣に設定されている場合にのみ指定できます。オンデマンド VPN を有効にすると、証明書を使用して自動的に VPN 接続が確立されます。


185



設定説明

新しいオンデマンドキーを使用

この設定は、ユーザー認証が｢証明書｣に設定されている場合にのみ指定できます。このオプションを有効にすると、指定されているドメインのいずれかにエンドユーザーがアクセスすると、VPN 接続がアクティブになります。

ドメインまたはホストが一致する

この設定は、ユーザー認証が｢証明書｣に設定されている場合にのみ指定できます。エンドユーザーがアクセスしたときに VPN 接続をアクティブにするトリガとなる、ドメインまたはホスト名を入力します。

オンデマンドアクション

この設定は、ユーザー認証が｢証明書｣に設定されている場合にのみ指定できます。エンドユーザーが VPN 接続をアクティブにしたときに実行される、ドメインごとのオンデマンドアクションを選択します。｢常に確立｣、｢確立不可｣、｢必要に応じて確立｣から選択します。

プロキシ

プロキシ

なし、手動、自動から選択します。

プロキシサーバの自動構成URL

プロキシが自動になっている場合にのみ指定できます。デバイスが接続に使用するWi-Fi プロキシの URL を入力します。

サーバプロキシが手動になっている場合にのみ指定できます。デバイスの接続先となるプロキシサーバの名前を入力します。

ポートプロキシが手動になっている場合にのみ指定できます。デバイスがプロキシサーバに接続するときに使用する、プロキシサーバのポート番号を入力します。

ユーザー名

プロキシが手動になっている場合にのみ指定できます。プロキシサーバで認識されるユーザー名を入力します。

パスワード

プロキシが手動になっている場合にのみ指定できます。入力したユーザー名に対応するパスワードを入力します。


186



設定説明

ベンダ構成

ベンダーキー

ベンダー構成ディクショナリを使用して、カスタムキーを作成します。

キーベンダーから提供された固有のキーを入力します。

付加価値

各キーの VPN 値を入力します。

Android の VPN の高度な設定を構成する

Android 用の VPN の高度な設定には、認証とオンデマンド VPN があります。Android デバイスで VPN 接続を確立するには、これらの設定を構成する必要があります。

設定説明

認証

ID 証明書証明書を追加するを選択し、接続の認証に使用する証明書の資格情報を入力します。

資格情報ソース資格情報のソースを選択します。選択項目は、｢アップロード｣、｢定義済み認証局｣、および｢ユーザー証明書｣です。

資格情報名資格情報ソースで｢アップロード｣を選択した場合にのみ指定できます。アップロードした資格情報の名前を入力します。

証明書資格情報ソースで｢アップロード｣を選択した場合にのみ指定できます。｢アップロード｣をクリックして、デバイス上の証明書ファイルを選択します。

認証局資格情報ソースで｢定義済み認証局｣を選択した場合にのみ指定できます。ドロップダウンメニューで認証局を選択します。

証明書テンプレート

資格情報ソースで｢定義済み認証局｣を選択した場合にのみ指定できます。この設定は、認証局の設定での選択内容に応じて自動的に入力されます。

S/MIME 資格情報ソースで｢ユーザー証明書｣を選択した場合にのみ指定できます。ユーザー中心の S/MIME 署名証明書または S/MIME 暗号化証明書のいずれかを選択します。

オンデマンド VPN を有効化

オンデマンドVPN を有効化

オンデマンド VPN を有効にすると、証明書を使用して自動的に VPN 接続が確立されます。

VPN を有効化するには、アプリの名前を入力し、虫眼鏡アイコンの左にあるプラス記号を選択します。アプリケーションは複数入力することができます。


187



Windows Phone の VPN の高度な設定を構成する

デバイス VPN 設定を構成し、企業インフラに安全にリモートアクセスできるようにします。アプリベース VPN 接続を構成して、VPN 経由のトラフィックを限定することもできます。次に、指定したアプリが起動するたびに自動接続するよう、VPN を設定します。

設定説明

接続情報

高度な接続設定

デバイスの VPN 接続の高度なルーティング規則を構成するには、このオプションを有効にします。

ルーティングアドレス

追加を選択し、VPN 接続の IP アドレスとサブネットプレフィックスサイズを入力します。必要に応じてルーティングアドレスを追加します。

高度な接続設定チェックボックスをオンにした場合にのみ指定できます。

DNS ルーティング規則

追加を選択し、VPN サーバがホストされているドメイン名を入力します。指定する各ドメインに対するドメイン名、DNS サーバ、およびWeb プロキシサーバを入力します。

高度な接続設定チェックボックスをオンにした場合にのみ指定できます。

ルーティングポリシー

外部リソースにダイレクトアクセスを許可するを選択すると、トラフィックに対してローカルネットワーク接続を使用できます。これに対して、すべてのトラフィックが VPN を経由することを強制するを選択すると、すべてのトラフィックが VPN 経由で送信されます。高度な接続設定が有効な場合にのみ指定できます。

プロキシ VPN が使用するプロキシサーバを自動検出するには、自動検知を選択します。プロキシサーバを構成するには、手動を選択します。高度な接続設定が有効な場合にのみ指定できます。

プロキシ自動構成URL

プロキシの自動構成用の URL を入力します。プロキシが｢自動検知｣になっている場合にのみ指定できます。

サーバプロキシサーバ構成設定の URL を入力します。

プロキシが｢手動｣に設定されている場合にのみ表示されます。

ポートプロキシサーバへのアクセスに使用するポート番号を入力します。

プロキシが｢手動｣に設定されている場合にのみ表示されます。

ローカルではプロキシを使用しない

プロキシサーバがローカルネットワーク上にあることをデバイスが検出した場合、プロキシサーバをバイパスします。


188



設定説明

認証

認証タイプ

VPN の認証プロトコルを選択します。

l EAP – 様々な認証方法を許可します

l コンピュータ証明書 –デバイス証明書ストアのクライアント証明書を検出し、認証に使用します。

プロトコル

EAP 認証のタイプを選択します。

l EAP-TLS – スマートカードまたはクライアント証明書認証

l EAP-MSCHAPv2 – ユーザー名とパスワード。

資格情報タイプ

クライアント証明書を使用するには証明書を使用するを選択します。認証にスマートカードを使用するにはスマートカードを使用するを選択します。

プロトコルで EAP-TLSを選択した場合にのみ表示されます。

証明書の簡易選択

この設定を有効にすると、シンプルな証明書リストをユーザーに表示し、選択するように求めます。証明書は、それらの発行先のエンティティ別にグループ分けされ、最も最近に発行された証明書が表示されます。

プロトコルで EAP-TLSを選択した場合にのみ表示されます。

Windowsログオン資格情報を使用する

Windows デバイスと同じ資格情報を使用します。

プロトコルで EAP-MSCHAPv2を選択した場合にのみ表示されます。

VPN トラフィック規則

アプリ識別子

アプリケーションのパッケージファミリ名を入力し、トラフィック規則が適用されるアプリを指定します。

l パッケージファミリ名の例: AirWatchLLC.AirWatchMDMAgent_htcwkw4rx2gx4。

VPN オンデマンド

アプリケーション起動時に VPN を使用して自動接続します。


189



設定説明

ルーティングポリシー

アプリのルーティングポリシーを選択します。

l 外部リソースにダイレクトアクセスを許可する – VPN トラフィックとローカルネットワーク接続経由のトラフィックの両方を許可します。

l すべてのトラフィックが VPN を経由することを強制する – すべてのトラフィックに VPNを経由するよう強制します。

VPN トラフィックフィルタ

特定のレガシアプリケーションおよびモダンアプリケーション用のトラフィックフィルタを追加します。

新しいフィルタを追加を選択して、ルーティング規則のフィルタタイプとフィルタ値を追加します。指定されたアプリの中のこれらの規則に合致するトラフィックのみが VPN 経由で送信されます。

l IP プロトコル – IP プロトコルで何を許可するかを表す 0～ 255 の数値。例: TCP = 6、UDP = 17

l IP アドレス – 許可するリモート IP アドレスの範囲を指定する、コンマで値を区切ったリスト。

l ポート – 許可するリモートポートの範囲を指定する、コンマで値を区切ったリスト。例:100-120, 200, 300-320。ポートが有効であるためには、プロトコルが TCP または UDPに設定されている必要があります。

l ローカルポート – トラフィックを許可するローカルポートの範囲を指定する、コンマで値を区切ったリスト。

l ローカルアドレス – トラフィックを許可するローカル IP アドレスを指定する、コンマで値を区切ったリスト。

デバイス全体のVPN 規則

追加を選択し、デバイス全体を対象とするトラフィック規則を追加します。

追加をクリックし、ルーティング規則のフィルタタイプとフィルタ値を追加します。これらの規則に合致するトラフィックのみが VPN 経由で送信されます。

ポリシー

資格情報を記憶する

エンドユーザーのログイン資格情報を記憶します。

常にオン VPN 接続を強制的に有効化します。これにより、ネットワーク接続が切断されて再接続されると、VPN 接続がアクティブになります。


190



設定説明

VPN ロックダウン

VPN 接続を強制的に有効化します。VPN が接続されていない場合、ネットワークアクセスを無効化します。また、他の VPN プロファイルへの接続、および、他の VPN プロファイルに対する変更を防止します。

信頼されたネットワーク

信頼されたネットワークアドレスをコンマで区切って入力します。信頼されたネットワーク接続が検出された場合には VPN 接続を行いません。

SplitTunnel

エンドユーザーに Split Tunnel VPN の使用を許可します。

このテキストボックスの値は、Windows Phone 8.1 デバイスのみに適用されます。

ローカル接続ではバイパス

ローカルのイントラネットトラフィックの場合、VPN 接続をバイパスします。この設定を有効にすると、たとえば、ユーザーがオフィス内にいて社内ネットワークに接続している場合は VPN 接続を使用しません。


信頼されたネットワークを検出

VPN への接続時に、信頼されたネットワークを検出します。


接続タイプ

許可する接続タイプを選択します。

｢常にオン｣にすると、VPN 接続が常時実行されます。


アイドル切断時間

接続リクエストの最大待ち時間を設定します。接続リクエストがないままこの時間が経過すると、自動的に VPN 接続が切断されます。


VPN オンデマンド

アプリを許可

追加を選択し、すべてのトラフィックを VPN でセキュリティ保護するアプリを定義します。

アプリは必要に応じていくつでも追加できます。

許可されたネットワーク

追加を選択して、ネットワークを定義します。

構成されたネットワーク上のすべてのトラフィックは、VPN でセキュリティ保護されます。

ネットワークは必要に応じていくつでも追加できます。

除外するアプリ

追加を選択して、除外するアプリを定義します。

これらのアプリへのトラフィックは、VPN でセキュリティ保護されません。

除外するアプリは必要に応じていくつでも追加できます。


191



設定説明

除外するネットワーク

追加を選択して、除外するネットワークを定義します。

除外されたネットワーク上のトラフィックは、VPN でセキュリティ保護されません。

除外するネットワークは必要に応じていくつでも追加できます。

DNS サフィックス検索一覧

追加を選択し、DNSサフィックス検索一覧を定義します。

DNS解決および接続で、短い名前の URL に DNSサフィックスが追加されます。

DNSサフィックスは必要に応じていくつでも追加できます。

デバイス割り当てを表示するデバイスプロファイルの構成時に保存して公開ボタンを選択すると、デバイス割り当て表示画面が表示されます。この画面で、影響を受ける (または影響のない)デバイスをプレビューできます。

デバイスプロファイルの変更の種類により、割り当て状態カラムは以下の項目を表示します。

l 追加済み – プロファイルは追加されデバイスに公開されます。

l 削除済み – プロファイルはデバイスから削除されます。

l 変更なし – プロファイルはデバイスに再公開されない、ということを示します。

l 更新済み – プロファイルは、既にプロファイルが割り当てられているデバイスに再公開される、ということを示します。

公開を選択して変更を完了し、必要であれば必須のプロファイルを再公開します。

順守プロファイルの概要順守プロファイルについて理解するには、デバイスプロファイルと順守ポリシーについて詳しく理解している必要があります。デバイスプロファイルは基盤としての役割を果たします。一方、順守ポリシーは、社内コンテンツを保護するセキュリティゲートとしての役割を果たします。


192



デバイスプロファイルを使用すれば、幅広いデバイス設定を制御できます。デバイス設定の例としては、パスコードの複雑度、ジオフェンス、タイムスケジュール、デバイスハードウェア機能、Wi-Fi、VPN、Eメール、証明書などが挙げられます。

順守エンジンは、ルールを監視し、アクションを実行し、エスカレーションを適用します (管理者が定義したものすべて)。一方、順守プロファイルは順守エンジンに対して、デバイスプロファイルに対してのみ使用可能なすべてのオプションと設定を提供しようとします。詳細は、200 ページの順守ポリシーの概要を参照してください。

たとえば、制限が厳しいがそれ以外は通常のデバイスプロファイルと同じである、特別なデバイスプロファイルを作成できます。順守ポリシーを定義する際、｢アクション｣タブでこの特別なデバイスプロファイルを適用できます。ユーザーが自分のデバイスの順守状態を維持できない場合、この特別なデバイスプロファイルを使用して、より制限の厳しい順守プロファイルを適用することができます。

順守プロファイルを追加する

順守プロファイルは、自動/オプションデバイスプロファイルと同様の手順で作成し保存します。

1. デバイス >プロファイルとリソース >プロファイルと進み、追加を選択し、プロファイルを追加を選択し、プラットフォームを選択します。

2. 後で識別できるようにするため、順守プロファイルの名前を選択します。

3. 全般プロファイルタブの割り当てタイプドロップダウンメニューで｢順守｣を選択します。

4. ｢全般｣タブおよび｢ペイロード｣タブの残りのフィールド値を指定します。

5. 指定が完了したら、保存して公開を選択します。

デバイスプロファイルを作成する手順については、161 ページの全般プロファイル設定を追加するを参照してください。

次に、順守ポリシーの中でこのプロファイルを選択する必要があります。

6. デバイス >順守ポリシー >リスト表示と進み、追加を選択し、プラットフォームを選択します。

7. 順守ルールを定義し、次へを選択します。

8. アクションタブで次のとおりに選択します。

l 1 番目のドロップダウンメニューで｢プロファイル｣を選択します。

l 2 番目のドロップダウンメニューで｢順守プロファイルをインストールする｣を選択します。

l 3 番目のドロップダウンメニューで、ステップ 2で入力したデバイスプロファイル名を選択します。


193



9. 次へを選択し、｢割り当て｣タブおよび｢概要｣タブのフィールド値を指定します。

10. 完了または完了してアクティブ化を選択し、順守ポリシーを保存します。

順守ポリシーを作成する手順については、208 ページの順守ポリシーを追加するを参照してください。

ジオフェンスAirWatch では、ジオフェンスを使用したプロファイルを定義できます。ジオフェンスとは、デバイスの使用可能エリアを制限するものです (例: 会社のオフィス、学校の構内、デパートの店舗)。ジオフェンスは、実際の地理的領域を囲む、バーチャルな境界線です。

例えば半径 1マイルのジオフェンスであれば、会社オフィスに適用するのに適しています。より半径の広いジオフェンスを、1つの行政区域全体をカバーするために使用するといったこともできます。ジオフェンスを定義すると、プロファイル、SDK アプリケーション、VMware Content Locker 等の AirWatch アプリその他に適用することができます。

l ジオフェンスを有効化するには、次の 2つのプロセスを実行します。

1. 195 ページのジオフェンスエリアを追加する

2. 195 ページのジオフェンスをプロファイルに適用する

l ジオフェンスは、iOS および Android デバイスでご利用できます。

l 位置情報に基づくセキュリティプロファイルを有効にするには、ジオフェンスを他のペイロードと組み合わせて使用しますが、その際も、1つのプロファイルでは、1つのペイロードのみを設定するようにしてください。

AirWatch による GPS 位置情報追跡に関する詳細は、VMware AirWatch ナレッジベース資料(https://support.air-watch.com/articles/115001663108) を参照してください。

iOS デバイスでのジオフェンスサポート

アプリケーションに使用されるジオフェンスは、位置情報サービスが作動している iOS デバイスでのみ機能します。位置情報サービスが機能するには、デバイスがセルラーネットワークまたはWi-Fi ホットスポットに接続しているか、あるいはデバイスに統合 GPS機能があることが必要です。

Wi-Fi のみのデバイスでは、GPSデータはデバイスが電源オンで、ロック解除され、Agent が起動し使用中である場合のみにレポートされます。セルラーデバイスの場合は、GPSデータはデバイスの基地局が変わった時点でレポートされます。エンドユーザーが VMware Browser または Content Locker を起動して使用を開始すると、GPSデータがレポートされます。

デバイスを｢機内モード｣にすると、位置情報サービス (とそれに伴ってジオフェンス機能)が非アクティブになります。


194




デバイス Wi-Fi セルラーネットワーク内蔵 GPS

iPhone ✓ ✓ ✓

iPad Wi-Fi + 3G/4G ✓ ✓ ✓

iPad Wi-Fi ✓

iPod Touch ✓

GPS 位置情報を更新するには、以下の要件のすべてを満たす必要があります。

l デバイス上で AirWatch Agent が起動していること

l プライバシー設定で GPS位置情報データの収集が許可されていること (グループと設定 >すべての設定 >デバイスとユーザー >全般 >プライバシー)

l Apple iOS Agent 設定で、｢位置情報データの収集｣が有効になっていること (グループと設定 >すべての設定 >デバイスとユーザー > Apple > Apple iOS > Agent 設定)

Agent SDK 設定を、｢なし｣ではなく、既定または任意の SDK 設定にすること

ジオフェンスエリアを追加する

ジオフェンスをデバイスに適用する前に、ジオフェンスエリアを定義する必要があります。

1. デバイス >プロファイルとリソース >プロファイル設定 >エリアと進み、｢エリア｣設定画面を開きます。追加をクリックし、ジオフェンスエリアを選択します。

2. 住所と、ジオフェンスの半径を、キロ単位またはマイル単位で入力します。または、地図上の任意の地点をダブルクリックして、円の中心地点を設定することもできます。

3. クリックして検索を選択すると、ジオフェンスの大まかなエリアが地図上に示されます。

注: Bing マップとの統合は、｢安全でないコンテンツ｣をこの画面に読み込むことになります。位置検索結果が正しく読み込まれないときは、ブラウザの｢すべてのコンテンツを表示｣を許可する必要があることがあります。

4. エリアネーム (AirWatch コンソールに表示される名前)を入力して保存をクリックします。

続いて、195 ページのジオフェンスをプロファイルに適用するに示す手順を実行します。

ジオフェンスをプロファイルに適用する

ジオフェンスエリアを追加したら、それをプロファイルに適用します。さらに他のペイロードと組み合わせてより強固なプロファイルを作成することもできます。


195



たとえば、貴社の各オフィスの周囲のジオフェンスエリアを定義できます。次に、Game Center、マルチプレイヤーゲーム、YouTube コンテンツなどへのアクセスを禁止する制限事項ペイロードを追加します。プロファイルがアクティブ化された後、それが適用される該当組織グループのユーザーは、オフィス内ではこれらの機能にアクセスできなくなります。

1. デバイス >プロファイルとリソース >プロファイル >追加と進み、プラットフォームを選択します。

2. 全般タブで選択したエリア内のデバイスにのみインストールを選択します。割り当てられたジオフェンスエリアボックスが表示されます。ジオフェンスエリアが定義されていない場合は、ジオフェンスエリア作成メニュー画面に移動します。

3. このプロファイルに適用するジオフェンスエリアを、1つ以上入力します。

4. 選択したジオフェンスエリア内にデバイスが存在する場合のみに適用する、パスコード、制限事項やWi-Fi といったペイロードを構成します。


ユーザーが iOS デバイスの位置情報サービスを手動で無効にした場合、AirWatch は位置情報の更新データを収集できなくなります。この場合 AirWatch は、位置情報サービスが無効化された地点にデバイスが存在している、と見なします。

iBeacon

iBeacon は iOS 固有の機能であり、位置の認識管理に使用されます。詳細は、｢VMware AirWatch iOSプラットフォームガイド｣を参照してください。この文書の入手方法については、267 ページの他の文書を入手するを参照してください。

タイムスケジュールタイムスケジュールを使用して、各デバイスプロファイルをいつアクティブにするかを制御することができます。プロファイルにより、デバイスの使用に関する制限や許可を指定します。タイムスケジュールでは、そのプロファイルをスケジュールに従ってインストールするだけです。

以下の 2段階の手順に従いタイムスケジュールを有効にします。

1. タイムスケジュールを定義する

2. タイムスケジュールをプロファイルに適用する

タイムスケジュールを定義する

はじめにタイムスケジュールを定義し、それからデバイスプロファイルに適用します。


196



1. デバイス >プロファイルとリソース >プロファイル設定 >タイムスケジュールと進みます。

2. スケジュールを追加を選択します。

3. 以下の設定を入力します。

設定説明

スケジュール名一覧に表示されるタイムスケジュールの名前を入力します。

タイムゾーンデバイスが管理される組織グループのタイムゾーンを選択します。

曜日カラムプロファイルインストールのスケジュールを設定する曜日を選択します。

終日カラム有効にすると、選択した曜日の真夜中にプロファイルがインストールされます。このチェックボックスを選択すると、開始時間および終了時間カラムが削除されます。

開始時間カラムプロファイルをインストールする時刻を選択します。

終了時間カラムプロファイルをアンインストールする時刻を選択します。

アクションカラム Xをクリックすると、その日のスケジュールが削除されます。


タイムスケジュールを新しいプロファイルに適用する

タイムスケジュールを定義し、新しいプロファイルに適用します。さらに他のペイロードと組み合わせて、より強固なセキュリティプロファイルを作成することもできます。例えば、通常の勤務時間をタイムスケジュールで定義し、制限事項ペイロードを追加して、ゲームセンターやマルチプレイヤーゲームへのアクセスを禁止したり、YouTube コンテンツへのアクセスをブロックすることができます。

スケジュールがアクティブになると、プロファイルの適用対象の組織グループのユーザーは、指定された時間枠にはこれらの機能にアクセスできなくなります。

1. デバイス >プロファイルとリソース >プロファイル >追加と進み、プラットフォームを選択します。

2. 全般タブにあるスケジュールを有効にし、選択した時間帯のみインストールを有効にします。

3. 割り当てるスケジュールボックスに、このプロファイルに割り当てるタイムスケジュールを 1つ以上入力します。

4. 選択した時間枠内のみにデバイスに適用する、パスコード、制限事項やWi-Fi といったペイロードを構成します。



197



タイムスケジュールを既存のプロファイルに適用する

定義済みタイムスケジュールを既存のプロファイルに適用できます。

1. デバイス >プロファイルとリソース >プロファイルと進み、一覧から編集するプロファイルを選択します。鉛筆アイコン ( ) を選択するか、または、プロファイル名をクリックします。

2. プロファイル画面の全般タブで、スケジュールを有効にし、選択した時間帯のみインストールの設定を有効にします。

3. 表示される割り当てるスケジュールの設定で、ドロップダウンメニューからすでに保存されているタイムスケジュールを選択します。


タイムスケジュールを削除する

タイムスケジュールをわかりやすくするため、未使用のタイムスケジュールがある場合は削除してください。ただし、プロファイルに割り当てられているタイムスケジュールを削除することはできません。削除するには、事前にプロファイルへの割り当てを解除してください。

1. 削除したいタイムスケジュールの横にあるラジオボタンを選択します。

2. 削除ボタンを選択します


198



第11章:順守ポリシー順守ポリシーの概要 200順守ポリシーリスト表示 201プラットフォーム別の順守ポリシールール 203順守ポリシーを追加する 208

199



順守ポリシーの概要順守エンジンは AirWatch の提供する自動化されたツールで、すべてのデバイスに貴社ポリシーを確実に順守させるためのものです。ポリシーには、パスコードの義務付けやデバイス自動ロック時間設定のような基本的なセキュリティ設定も含まれます。一部のプラットフォームでは、パスワードを複雑なものにするよう強制したり、特定のアプリをブラックリスト設定したり、あるいは、デバイスの安全性を確認するためチェックイン間隔を設定し、AirWatch サーバに定期的に接続するよう強制することもできます。

構成完了後にデバイスが非順守状態であると判断されると、順守エンジンは、デバイスに罰則が適用される前に順守違反を正すよう、ユーザーに警告を送信します。例えば、デバイスが非順守状態にある場合は順守エンジンからユーザーにメッセージが送信されるように設定することができます。指定期間内に是正されなければ、デバイスのコンテンツとアプリへのアクセスをブロックします。利用できる順守ポリシーと対応措置はプラットフォームにより異なります。

違反が是正されない場合の対応措置を段階的に設定し、自動で実行することもできます。デバイスをロックダウンし、ユーザーに、ロック解除するには管理者に連絡するよう通知するといった対応措置をとることができます。段階的にさらに強固な対応措置を設定する方法や内容、猶予期間、メッセージ等はすべて、AirWatch コンソールからカスタマイズすることができます。

順守状態を判断するには次のような 2つの方法があります。

l リアルタイム順守 (RTC) – スケジュールを設定せずにデバイスサンプルをとり、順守状態を判断します。サンプルは管理者のリクエストに応じてオンデマンドで集められます。

l エンジン順守 – 主に順守エンジンを実行することによって、デバイスの順守状態を判断します。エンジン順守は、スケジュールに基づいてサンプルを収集および評価するソフトウェアアルゴリズムです。スケジューラを実行する時間間隔は、管理者がコンソール上で決定することができます。

モバイルセキュリティポリシーの適用には次の 5つのステップが含まれています。

l プラットフォームを選択する – 順守を強制するプラットフォームを指定します。

l 貴社のポリシーを構築する – アプリケーションリストから侵害状態、暗号化、製造元、モデル、OSバージョン、パスコード、ローミングにいたるすべてをカバーするように貴社のポリシーをカスタマイズします。

l さらに強い対応措置を定義する – 非順守状態が放置されている期間 (分、時間、または日で指定)に応じたアクションを構成し、これらのアクションを段階的に実施します。

l アクションを指定 – SMS、Eメール、またはプッシュ通知をユーザーのデバイスに送信する、あるいは管理者だけに Eメールを送信するなどのアクションが指定できます。デバイスにチェックインを求めたり、特定のプロファイルを削除/ブロックしたり、順守プロファイルをインストールしたり、アプリを削除/ブロックしたり、企業ワイプで企業データを削除したりすることができます。

l 割り当てを構成する – 組織グループやスマートグループにより順守ポリシーを割り当て、デバイスごとの割り当てを確認します。

第 11 章: 順守ポリシー

200



順守ポリシーリスト表示順守ポリシーリスト表示を使用して、すべてのアクティブ/非アクティブ順守ポリシーとその構成設定を確認することができます。デバイスの初回加入プロセス中、順守状態は保留中になります。加入済みデバイスに対するポリシーの作成/保存/割り当てを行うと、デバイスの順守状態は順守または非順守のいずれかに設定されます。

同様に、デバイスがスマートグループに新しく追加されたとき、スマートグループの割り当てへの変更は、デバイスの順守ポリシーの状態を、単に保留中に変えるのみです。この場合、スマートグループの割り当て範囲が拡大 (あるいは縮小)するだけなので、スマートグループにすでに割り当てられているデバイスの順守状態は変化しません。

順守ポリシーリストを表示するには、デバイス >順守ポリシー>リスト表示と進みます。

設定説明

状態リストにフィルタを適用するには、すべて、アクティブ、または非アクティブを選択します。

アクションメニュー

個々のポリシーを閲覧/編集したり、ポリシーが割り当てられているデバイスを閲覧したり、不要なポリシーを削除したりできます。

順守/非順守/保留中/割り当て

このカラムに表示される数値にはハイパーテキストリンクが付いており、これを選択すると選択した順守ポリシーの特定の状態を表示するデバイス表示画面が開きます。

割り当て状態は順守、非順守と保留中デバイス数の合計です。

詳細は、202 ページのデバイス表示画面を参照してください。


201



デバイス表示画面

デバイス表示画面では、選択したポリシーに割り当てられている各デバイスの順守状況の詳細を確認できます。この画面は、順守/非順守/保留中/割り当てというタイトルの列の数値のハイパーリンクをクリックすると表示されます。

状態ドロップダウンメニューから、順守、非順守、保留中状態、そして合計である割り当てのいずれかを選択すると、該当するデバイスが表示されます。

状態カラムには以下の 3つのデバイス状態のいずれかが表示されます。

l 順守状態 – デバイスが、割り当てられた順守ポリシーにより順守状態であると判断された状態

l 非順守状態 – デバイスが、割り当てられた順守ポリシーにより非順守状態であると判断された状態

l 保留中 – 新しい加入デバイスへの順守ポリシー割り当てがスケジュールされている状態

また、デバイスの企/従/共 (所有形態)、プラットフォーム/OS/モデル、組織グループ、最終の順守チェック、次の順守チェック、そして非順守状態のデバイスに向けて実行されたアクションをリストアップする行われたアクションなどの情報を確認することもできます。

特定デバイスの順守状態を再確認することもできます。順守を再評価 ( ) を選択すると、順守エンジンがデバイスの順守状態を再レポートします。


202



プラットフォーム別の順守ポリシールールすべての順守ポリシールールがすべてのプラットフォームで利用できるわけではありません。順守ポリシーの追加画面はプラットフォームごとに異なるので、貴社のデバイスに適用される順守ポリシールールとアクションだけが表示されます。

以下の表を参考に、貴社デバイスにどのルールが適用できるのかを判断してください。

順守ポリシー Android Apple iOS Apple macOS Chrome OS QNXWindows耐久性端末

Windows7

Windows電話番号

Windowsデスクトップ

アプリケーションリスト

✓ ✓ ✓

ウィルス対策状態 ✓

セルラーデータ使用量 ✓ ✓

セルラーメッセージ使用量

✓

セルラー通話使用量 ✓

順守属性 ✓

侵害状態 ✓ ✓ ✓

デバイス最終検出日 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

デバイスのメーカー ✓

暗号化 ✓ ✓ ✓ ✓ ✓ ✓

ファイアウォール状態 ✓ ✓

空きディスク容量 ✓

iBeacon エリア ✓

対話型証明書プロファイルの有効期限

✓ ✓

最後の侵害状況スキャン

✓ ✓

MDM 利用規約の承諾 ✓ ✓ ✓ ✓ ✓ ✓ ✓

モデル ✓ ✓ ✓ ✓

OS バージョン ✓ ✓ ✓ ✓ ✓ ✓ ✓

パスコード ✓ ✓ ✓ ✓ ✓

ローミング * ✓ ✓ ✓

ローミングセルラーデータ使用量 *

✓ ✓


203



順守ポリシー Android Apple iOS Apple macOS Chrome OS QNXWindows耐久性端末

Windows7

Windows電話番号


セキュリティパッチバージョン

✓

SIM カード変更 * ✓ ✓ ✓

Windows 自動更新状態

✓

Windows 正規品の検証

✓

*注:利用できるのは、テレコムの高度な設定を有効にしているユーザーのみです。

順守ポリシールールの説明

順守ポリシールールは、ポリシーの構成部分として、貴社のポリシーの基盤を構築します。これらのルールの上に、アクション、対応措置とそれに続く割り当てを構築します。

設定説明

アプリケーションリスト

ブラックリスト設定された特定のアプリがデバイスにインストールされた場合を検知します。または、ホワイトリストに設定されていないすべてのアプリを検知します。ソーシャルメディアアプリ、ベンダーによってブラックリスト設定されたアプリ等、アプリを特定して禁止することができます。あるいは、指定したアプリだけを許可することもできます。さらに、アプリの最低バージョン番号を指定することもできます。

ウィルス対策状態

ウィルス対策アプリが作動しているか検知します。順守ポリシーエンジンは、デバイスのアクションセンターをチェックし、ウィルス対策が実行されていることを確認します。貴社で使用しているサードパーティソリューションがアクションセンターに表示されない場合は、｢モニターされていません｣とレポートされます。

セルデータ/メッセージ/通話使用

エンドユーザーのデバイスに割り当てられたテレコムプランに基づき、データ使用量が指定されたしきい値を超えたときにそれを検知します。このポリシーを有効にするには、テレコムが構成されている必要があります。

コンプライアンス属性***

デバイス内の属性キーをサードパーティ製のエンドポイントセキュリティと比較します。デバイスの順守状態を示すブール値が表示されます。


204



設定説明

侵害状態デバイスが侵害状態にあるかを検知します。 AirWatch に加入済みのデバイスのうち、ジェイルブレイク状態またはルート化されたデバイスの使用をブロックします。

ジェイルブレイク状態またはルート化されたデバイスは、主要なセキュリティのレイヤーを剥ぎ取り、貴社のネットワーク、ひいては貴社の企業リソースへマルウェアの侵入をもたらす可能性があります。デバイスが侵害されていないかモニタリングすることは、従業員が様々な OSバージョンの多様なデバイスを使用する BYOD 環境で特に重要です。

VMware AirWatch による侵害状態デバイス検出の詳細は、ナレッジベース資料(https://support.air-watch.com/articles/115001662748 およびhttps://support.air-watch.com/articles/115001662508) を参照してください。

デバイス最終検出日

決められた時間内にチェックインを行っていないデバイスを検出します。

デバイスのメーカー

デバイス製造元を検知し、特定の Android デバイスを識別できるようにします。特定の製造元だけをブロックしたり、特定の製造元だけを許可したりすることもできます。

暗号化暗号化が有効に設定されていないデバイスを検出します。

ファイアウォール状態

ファイアウォールアプリが作動しているか検知します。順守ポリシーエンジンは、デバイスのアクションセンターをチェックし、ファイアウォールが機能しているか確認します。貴社で使用しているサードパーティソリューションがアクションセンターに表示されない場合は、｢モニターされていません｣とレポートされます。

空きディスク容量

デバイスの空きディスク容量を検出します。

iBeaconエリア

貴社の iOS デバイスが iBeacon グループエリア内にあるか検出します。詳細は、｢VMwareAirWatch Apple iOS プラットフォームガイド｣の｢iBeacon を構成する｣を参照してください。この文書の入手方法については、267 ページの他の文書を入手するを参照してください。

対話型証明書プロファイルの有効期限

デバイスにインストールされたプロファイルの有効期限が一定期間内に切れる場合を検出します。


205





設定説明

最後の侵害状況スキャン

決められたスケジュールに基づいて侵害状態をレポートしないデバイスを検出します。

MDM利用規約の承諾

エンドユーザーが最新の MDM利用規約を決められた時間内に承諾していない場合を検出します。

モデルデバイスモデルを検知します。特定の製造元だけをブロックしたり、特定の製造元だけを許可したりすることもできます。

OS バージョン

デバイス OSバージョンを検知します。特定の OSバージョンだけをブロックしたり、特定の OSバージョンだけを許可したりすることができます。

パスコード

デバイスにパスコードが存在するかを検知します。

ローミング*

デバイスがローミング状態かどうかを検知します。

ローミング時セルラーデータ使用量*

静的なデータ量と対照させて、ローミングセルラーデータの使用量を検出します (MB または GB で測定)。

セキュリティパッチバージョン**

Android デバイス上の最も最新の Google セキュリティパッチの日付を検知します。

SIMカード変更*

SIM カードが交換されたデバイスを検出します。

Windows自動更新状態

Windows 自動更新がアクティブであるか検知します。順守ポリシーエンジンは、デバイスのアクションセンターをチェックし、更新プログラムが実行されているか確認します。貴社で使用しているサードパーティソリューションがアクションセンターに表示されない場合は、｢モニターされていません｣とレポートされます。

Windows正規品の検証

デバイスに搭載されているWindows が正規版か検知します。

*利用できるのはテレコムの高度な設定を有効にしているユーザーのみです。

** 利用できるのは Android バージョン 6.0 以降のみです。


206



*** 利用できるのはWindows デスクトップデバイスのみです。

プラットフォーム別順守ポリシーアクション

以下は、各プラットフォームがサポートする、順守ポリシーが適用できるアクションの一覧です。

順守ポリシーアクション Android Apple iOS Apple macOS Chrome OS QNXWindows耐久性端末

Windows7

Windows電話番号


アプリケーション

管理アプリをブロック/削除

✓ ✓ ✓

すべてのアプリをブロック/削除

✓ ✓ ✓

コマンド

デバイスチェックインを要求

✓ ✓ ✓

企業情報ワイプ ✓ ✓ ✓ ✓ ✓ ✓ ✓企業情報リセット ✓ ✓ローミング設定を変更する

✓(iOS 5以降)

OS 更新 ✓(DEP のみ)

Eメール

Eメールをブロック ✓ ✓通知

Eメールをユーザーに送信

✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

SMS をデバイスに送信 ✓ ✓ ✓ ✓プッシュ通知をデバイスに送信

✓ ✓ ✓ ✓ ✓ ✓ ✓

Eメールを管理者に送信 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓プロファイル

順守プロファイルをインストール

✓ ✓ ✓ ✓

プロファイルをブロック/削除

✓ ✓ ✓ ✓ ✓


207



順守ポリシーアクション Android Apple iOS Apple macOS Chrome OS QNXWindows耐久性端末

Windows7

Windows電話番号


プロファイルタイプをブロック/削除

✓ ✓ ✓

すべてのプロファイルをブロック/削除

✓ ✓ ✓ ✓ ✓

順守ポリシーを追加する順守ポリシーを追加するプロセスは、ルール、アクション、割り当て、概要という、4つのシンプルなブロックから構成されます。ただし、このガイドで説明されるすべての機能やオプションが、すべてのプラットフォームで利用できるわけではありませんのでご注意ください。 AirWatch コンソールでは、最初のプラットフォーム選択に基づいて利用可能なオプションがすべて表示されるため、対象デバイスで使用できないオプションは、コンソールに表示されません。

注:Windows 耐久性端末の順守機能は Motorola デバイスでのみサポートされます (順守機能を適用するには企業情報リセットを行う必要があります)。

プロファイルおよびさらに強い対応措置の自動適用を使用して順守エンジンを構成するため、順守ポリシーに関するタブのフィールド値を指定します。

1. デバイス >順守ポリシー >リスト表示と進み、追加を選択します。

2. 順守ポリシーを追加画面から、順守ポリシーの対象となるプラットフォームを選択します。

3. ルールタブを構成します。まず、順守状況を検出する際にいずれかまたはすべてのルールを使用するのかを選択します。

l ルールを追加 – ルールとパラメータを追加する場合に選択します。

l 前へと次へ – 1 つ前のステップに戻る際と次のステップに進む際に選択します。

4. 貴社のポリシーを順守しない場合の対応措置を定義するため、アクションタブのフィールド値を指定します。利用できるアクションはプラットフォームにより異なります。

5. アクションタブでさらに強い対応措置を定義/追加します。さらに強い対応措置とは、デバイスユーザーにデバイスを順守状態に戻させるために実行した以前のアクションによって、必要な効果が得られなかった場合に実行される自動的な操作です。

実行するアクションのオプションとタイプを選択します。


208



設定説明

アクションとさらに強い対応措置

非順守状態としてマークチェックボックス

このボックスを使用して、デバイスを非順守状態とマークせずにアクションを実行することができます。順守エンジンは以下のようなルールに従ってこの処理を行います。l 新しくアクションを追加すると、｢非順守状態としてマーク｣チェックボックスには既定でチェックが入っています。

l あるアクションの｢非順守状態としてマーク｣オプションが有効な(チェックが入っている)場合、次のアクションやさらに強い対応措置にも｢非順守状態としてマーク｣設定が適用されます。これらのチェックボックスの値は変更できません。

l あるアクションの｢非順守状態としてマーク｣オプションが無効な(チェックがない)場合、次のアクションやさらに強い対応措置には既定設定で｢非順守としてマーク｣オプションが有効になって(チェックが入って)います。このチェックボックスの値は変更できません。

l あるアクションやさらに強い対応措置の｢非順守状態としてマーク｣オプションが無効で(チェックがなく)、デバイスがこの順守ルールに従っていない場合、デバイスの順守状態は表向きには｢順守状態｣とみなされますが、アクションは実行されます。

l 順守ルールにより設定された一連のアクションや段階的な対応措置が適用されても、｢非順守状態としてマーク｣が有効な(チェックがある)アクションやさらに強い対応措置が施行されない限り、デバイスの状態は｢順守状態｣のままです。そのアクションまたは対応措置が実行されたときにのみ、デバイスは非順守状態であると見なされます。


管理アプリケーションをブロック/削除します。

ホワイトリスト、ブラックリストあるいは必須アプリケーションリストを作成し、アプリケーション順守を強制することもできます。モバイルアプリケーション管理 (MAM) プランを作成する方法の詳細は、｢VMware AirWatch MAMガイド｣を参照してください。この文書の入手方法については、267 ページの他の文書を入手するを参照してください。

コマンド

デバイスのチェックインの要求や、企業情報ワイプを行います。

Eメール

ユーザーの Eメールアクセスをブロックします。

｢Eメールブロック｣アクションが適用されるのは、モバイル Eメール管理と Eメール順守エンジンを併用している場合です。このオプションを表示するには、E メール >順守ポリシー >E メールポリシーと進みます。このアクションにより、アプリのブラックリスト設定のような｢デバイス順守｣ポリシーを、構成した任意の｢Eメール順守エンジン｣ポリシーと併用できます。このアクションを選択すると、デバイスポリシー違反が 1つでも発生し、デバイスが非順守になると、Eメール順守がトリガされます。


209



設定説明

通知 Eメール、SMS、またはプッシュ通知をデバイスまたは管理者に送信します。 CC欄には複数の Eメールを入力することができます。その際はコンマで区切ってください。

Eメールに関連する通知アクションでは、ドロップダウンメニューから Eメールテンプレートを選択できます。また、リンクを選択するとメッセージテンプレート画面が新しいウィンドウで表示されます。この画面で、メッセージテンプレートを貴社用にカスタマイズできます。このドロップダウンメニューは、CC:項目右側のチェックボックスからチェックを外すと有効になります。

プロファイル

デバイスプロファイル、デバイスプロファイルタイプ、または順守プロファイルを指定し、インストール/削除/ブロックします。

順守プロファイルは、自動/オプションデバイスプロファイルと同様の手順で作成し保存します。デバイス >プロファイルとリソース >プロファイルと進み、追加を選択し、プロファイルを追加を選択します。プラットフォームを選択し、全般プロファイルタブの割り当てタイプドロップダウンメニューで｢順守｣を選択します。順守プロファイルが適用されるのは、順守ポリシーを追加画面で、エンドユーザーが順守ポリシーに違反した際に適用するようアクションタブで設定した場合です。ドロップダウンメニューで順守プロファイルをインストールを選択し、保存した順守プロファイルを選択します。

さらに強い対応措置

さらに強い対応措置を追加ボタン

さらに強い対応措置を追加します。対応措置を追加する場合は、それぞれの措置に応じてセキュリティも段階的に強化することをベストプラクティスとして推奨します。

指定した期間後に操作を実行

いつ｢さらに強い対応措置｣を実行するのか、分、時間、または日単位で指定します。

...次に定義する処理を行う

繰り返し – このボックスにチェックを入れると、次にスケジュールされたアクションを実行する前に、該当の対応措置を指定された回数繰り返します。

macOS では、以下のアクションのみを実行することができます。


210



ヒント:非順守状態の iOS 7 以降のデバイスをクエリすることで、ユーザーがデバイスを順守状態にした時刻と AirWatch がそのことを検知した時刻の差を短縮できます。グループと設定 >すべての設定 >デバイスとユーザー > Apple > MDMサンプルスケジュールと進み、非順守状態デバイスサンプルを設定してこのサンプルを設定します。

6. 順守ポリシーの適用対象デバイスと除外対象デバイスを決めるため、｢順守ポリシーを追加｣画面の割り当てタブと概要タブのフィールド値を指定します。

概要タブでポリシーに名前を付け、最終確認し、アクティブ化します。

設定説明

管理元この順守ポリシーを管理する組織グループを選択します。


このポリシーを 1つ以上のグループに割り当てます。詳細は、81 ページの割り当てグループ概要を参照してください。

除外グループを除外したい場合、はいを選択します。次に、除外するグループでグループを選択します。詳細は、91 ページのプロファイルやポリシーからスマートグループを除外するを参照してください。

デバイス割り当て表示ボタン

この順守ポリシー割り当てによって影響を受けるデバイス一覧が表示されます。


7. ポリシーの割り当て設定完了後、次へを選択します。概要タブが表示されます。


211



l 順守ポリシーの名前とわかりやすい説明を入力します。

l 以下のいずれかを行います。

o 完了 – 順守ポリシーを保存します。割り当てられたデバイスへのアクティブ化は行いません。

o 完了してアクティブ化 – 順守ポリシーを保存し、割り当て対象デバイスすべてにポリシーを適用します。


順守ポリシー構成中に、割り当てタブにあるデバイス割り当て表示ボタンを選択すると、デバイス割り当て表示画面が表示されます。この画面で、影響を受けるデバイスと影響を受けないデバイスを確認できます。

割り当て状態カラムには、リスト上のデバイスの割り当て状態が以下のように表示されます。

l 追加済み – 順守ポリシーがリスト上のデバイスに追加されていることを表します。

l 削除済み – 順守ポリシーがデバイスから削除されていることを表します。

l 変更なし – デバイスが順守ポリシーの変更の影響を受けていないことを表します。

変更を完了するには、必要に応じて順守ポリシーを再公開するために公開をクリックします。


212



第12章:デバイスタグデバイスタグの概要 214タグでデバイスを抽出する 214新しいタグを作成する 215タグを追加する 216タグを管理する 216

213



デバイスタグの概要デバイスタグを使用すると、デバイスプロファイル、スマートグループ、順守ポリシーおよびメモの作成を必要とすることなく、特定のデバイスを識別できます。

たとえば、バッテリに欠陥があったり、ベゼルやスクリーンが破損しているデバイスを AirWatch コンソールから特定したい場合にタグを使用することができます。別の使い方としては、モデル番号や説明に基づいてデバイスを識別する代わりに、ハードウェアの違いをより区別しやすくしたい場合などが挙げられます。

例えば、同一モデル番号の 2台のラップトップでも、CPU が若干異なったり、メモリの量がカスタマイズされていたりすることがあります。拡張されたハードウェアをタグ付けすることで、デバイスを簡単に区別することができます。

タグとスマートグループ

タグの機能とスマートグループを統合することができます。つまり、タグでスマートグループを定義することができます。

例えば、外観上傷のあるすべてのデバイスにタグ付けし、これらのデバイスから成るスマートグループを作成できます。そして、貴社の訪問客が一時的に使用するデバイスからこのスマートグループを除外することができます。

あるいは、性能の悪いデバイスにタグを付けることもできます。そのようなタグの付けられたデバイスから成るスマートグループを作成し、重要なプロジェクトにはそれらのデバイスを使わないようにする、といった使用例が考えられます。

タグでデバイスを抽出する｢デバイスリスト表示｣のフィルタ機能を使用して、特定のタグが付けられたデバイスのみを表示します。

1. デバイス >リスト表示と進み、フィルタをクリックするとデバイスリストの左側にフィルタカラムが表示されます。

2. フィルタカテゴリのリストから高度な設定を選択します。

3. 高度な設定のサブカテゴリにあるタグを選択します。

4. 表示させたいデバイスタグのボックスにそれぞれチェックを入れます。チェックのないタグの付いたデバイスは、リストからフィルタで除外されます。デバイスリスト表示は、最初のタグが選択されるとすぐに自動的に更新されます。

第 12 章: デバイスタグ

214



新しいタグを作成するフレンドリ名、デバイスプロファイル、スマートグループや順守ポリシーよりもわかりやすくデバイスを区別するために、タグを作成することができます。タグは｢デバイスリスト表示｣画面で作成します。

1. デバイス >リスト表示と進みます。

2. リスト上のデバイスの左にあるボックスにチェックを入れて選択します。

3. さらにボタンをクリックし、ドロップダウンメニューからタグを追加を選択します。タグ割り当て画面が表示されます。

4. 新しいタグを選択します。

5. 新しいタグの名前を入力しカラーを選択します。

6. 追加を選択してタグを保存します。

あるいは、グループと設定に進んでタグを作成することもできます。

1. グループと設定 >すべての設定 >デバイスとユーザー >高度な設定 >タグと進みます。

2. タグを適用したい組織グループを選択し、追加をクリックします。

3. ｢タグを追加｣画面でタグの名前を入力します。

4. 追加したいタグのタイプを選択します。全般またはデバイスを選択します。



215



タグを追加するタグを追加することで、メモ、プロファイル、ポリシーを使わずに、あるいは特別なフレンドリ名をつけずにデバイスを特定することができます。

1 台のデバイスにタグを追加する

1 台のデバイスのタグを簡単に調整したいときは、以下の手順に従い、1つ以上のタグを追加します。

1. デバイス >リスト表示と進み、タグ付けしたいデバイスを選択します。以下の 2つの方法のいずれかでデバイスを選択すると、送信またはその他のアクションボタンが表示されます。

l リストでデバイスを選択し、詳細表示を表示する

l デバイスの横のボックスにチェックを入れる

2. その他のアクションボタンをクリックし、タグを追加を選択します。タグ割り当て画面が、選択したデバイスに適用できるタグの一覧を表示します。

3. デバイスに割り当てたいタグをそれぞれ選択します。複数のタグを選択することができます。

4. 保存を選択し、1つ以上のタグをデバイスに適用します。

複数のデバイスにタグを追加する

複数のデバイスに 1つ以上のタグを追加して手間と時間を省くこともできます。

1. デバイス >リスト表示と進みます。

2. タグを付けたいデバイスのボックスにチェックを入れます。

3. その他のアクションをクリックし、タグを追加を選択します。タグ割り当て画面が、選択したデバイスに適用できるタグの一覧を表示します。

4. 選択したデバイスのすべてに割り当てたいタグを選択します。複数のタグを選択することができます。

5. 保存を選択し、1 つ以上のタグをデバイスに適用します。

タグを管理するデバイスタグが複数ある場合、既存のタグを編集し、デバイスからタグを削除したり、使用されていないタグを削除したりすることができます。

タグを編集する

既存のタグを編集し、別名で保存したり、タイプやマーカーカラーを変更したりすることができます。


216



1. グループと設定 >すべての設定 >デバイスとユーザー >高度な設定 >タグと進み、編集ボタン ( )を選択するか、編集したいタグの名前をクリックします。編集が可能なのは、サブ組織グループに含まれるタグと、現在選択している組織グループのタグのみです。

2. 必要に応じて名前とタイプを変更します。


タグを外す

デバイスに付けたタグが不要になった場合、タグを外します。

1. 該当するデバイスの詳細表示へ進みます。

2. 概要タブを選択してデバイス情報画面の下までスクロールすると、デバイスに現在割り当てられているすべてのタグが表示されます。

3. 解除したい各タグの隣の削除マーク (X) を選択します。

重要:デバイスからタグを外すこと (デバイスのタグ付けを解除すること)はタグを削除することとは異なります。

タグを削除する

どのデバイスにも適用されていないタグがあり、今後も使用する予定がない場合は削除します。

1. グループと設定 >すべての設定 >デバイスとユーザー >高度な設定 >タグと進みます。

2. 削除したい各タグの隣の削除マーク (X) を選択します。


217



第13章:デバイスを管理するデバイスを管理する 219デバイスダッシュボード 219デバイスリスト表示 220デバイス詳細 227プラットフォーム別デバイスアクション 231加入状態 238ワイプ保護 241AirWatchハブ 244レポートと分析機能 247

218



デバイスを管理するAirWatch 管理者コンソールのさまざまな画面で、社内のデバイスフリートを管理すること、および、特定のデバイスセットに対して機能を実行することができます。

ハブを使用してデータフローを調べること、デバイスダッシュボードでデバイスフリートをより詳しく調べること、および、デバイスリスト表示でデバイスをグループ化することやリストをカスタマイズすることができます。

また、レポートを生成し、タグが適用されているデバイスを簡単に識別することができます。さらに、セルフサービスポータル (SSP)をセットアップして、エンドユーザーが自分自身でデバイスを管理できるようにして、ヘルプデスク担当者の負担を軽減することもできます。

デバイスダッシュボードデバイスを加入させている場合、AirWatchデバイスダッシュボードでそれらのデバイスを管理できます。デバイスダッシュボードでは、デバイスフリート全体の概要情報を確認できます。また、個別のデバイスにすばやく処理を実行することができます。

所有形態タイプや順守状況、プラットフォーム、OSの内訳といった、貴社デバイスに関連する統計情報をグラフで表示します。デバイスダッシュボードから使用可能なデータビューを選択すると、示されているカテゴリに属する各デバイスセットにアクセスできます。

このリスト表示から、メッセージ送信、デバイスロック、デバイス削除や、デバイスに関連付けられているグループの変更といった様々な管理操作を行います。

l セキュリティ – 主要なセキュリティ上の問題に関して、貴社デバイスの状況を表示します。ドーナツグラフを選択すると、そのセキュリティ上の問題に基づいたフィルタを適用したデバイスリストが表示されます。セキュリティ上の問題があるデバイスに対し対応措置を取るような順守ポリシーを構成することができます (プラットフォームがサポート対象に含まれる場合)。

第 13 章: デバイスを管理する

219



o 侵害状態 – 貴社展開における侵害状態 (ジェイルブレイク状態またはルート化)デバイスの数と割合を表示します。

o パスコードなし – セキュリティのためのパスコードが構成されていないデバイスの数と割合を表示します。

o 暗号化なし – セキュリティのための暗号化が行われていないデバイスの数と割合を表示します。レポートされている数には、Android SD カードの暗号化は含まれていません。このドーナツグラフに含まれるのはディスク暗号化されていない Android のみです。

l 所有形態 – デバイス数を所有形態カテゴリ別に表示します。棒グラフの一部を選択すると、所有形態に基づいたフィルタを適用したデバイスリストを表示します。

l 最後に確認された概要/最後に確認された内訳 – AirWatch MDMサーバと最近通信を行ったデバイス数と割合を表示します。たとえば、いくつかのデバイスを 30 日間以上確認できない場合、対応する棒グラフを選択してそれらのデバイスだけを表示します。次に、それらのデバイスをすべて選択し、チェックインを求めるメッセージをそれらのデバイスに送信することがします。

l プラットフォーム – デバイスプラットフォームカテゴリごとにデバイス数の合計を表示します。棒グラフを選択すると、選択したプラットフォームに基づいたフィルタを適用したデバイスリストが表示されます。

l 加入 – 加入カテゴリごとにデバイス数の合計を表示します。棒グラフの各箇所を選択すると、選択した加入状態に基づいたフィルタを適用したデバイスリストが表示されます。

l OS 詳細 – 貴社の全デバイスの OSによる内訳を表示します。 Apple iOS、Android、Windows Phoneと Windows 耐久性端末が別のグラフで表示されています。棒グラフを選択すると、選択したバージョンの OSに基づいたフィルタを適用したデバイスリストが表示されます。

デバイスリスト表示デバイス >リスト表示を選択すると、現在選択中の組織グループに属する全デバイスが一覧表示されます。

最終検出カラムには、デバイスがチェックインしてからの経過時間 (単位: 分)を示すインジケータが表示されます。このインジケータは、デバイス非アクティブタイムアウト (分)で指定された分数に応じて、赤または緑で表示されます。このインジケータを選択するには、グループと設定 >すべての設定 >デバイスとユーザー >全般 >高度な設定と進みます。

一般情報カラムでデバイスを選択すると、該当するデバイスの詳細画面をいつでも開くことができます。

カラムを並べかえて情報フィルタを構成し、特定の情報を基にデバイスアクティビティを確認します。たとえば、順守状態カラムにフィルタをかけ、現在順守違反状態であるデバイスのみを抽出し、それらのデ


220



バイスだけを対象にすることができます。フレンドリ名あるいはユーザー名を使用して全デバイスを検索し、1つのデバイスまたは 1人のユーザーを特定することもできます。

デバイスリスト表示レイアウトをカスタマイズする

レイアウトボタンをクリックし、カスタムオプションを選択して、デバイスリストビューに表示されるすべてのカラムの一覧を表示します。このビューで、｢デバイスリスト｣のカラムを表示するか非表示にするかを自由に設定できます。

カスタマイズしたカラム配置を、現在の組織グループ、またはそのサブ組織グループのすべての管理者に適用するオプションもあります。たとえば、｢アセット番号｣が必要ない場合、ある組織グループでそのカラムを非表示にし、下位の組織グループすべてのデバイスリストでも非表示にすることができます。

カスタマイズ完了後、承諾ボタンを選択して現在の設定を保存すると、新しいカラム表示が適用されます。いつでもレイアウトボタンをクリックし、カラムの表示形式を変えることができます。

デバイスリスト表示を検索する

ある特定のデバイスを検索して情報に素早くアクセスし、そのデバイスにリモート操作を実行しなければならないような場合があるかもしれません。

検索を行うには、デバイス >リスト表示と進み、リストを検索バーを選択し、ユーザー名、デバイスフレンドリ名または他の識別要素を入力します。このアクションにより、現在の組織グループとすべてのサブグループのすべてのデバイスに検索パラメータを適用して必要なデバイスを検索することができます。

デバイスリスト表示のホバーオーバーポップアップ

各デバイスの全般情報カラムの右上隅にツールチップアイコンがあります。このアイコンをタップするか (モバイルタッチデバイス)、マウスカーソルでホバーオーバー (PC または Mac) すると、ホバーオーバーポップアップが表示されます。このポップアップ画面には、フレンドリ名、組織グループ、グループID、管理、所有形態などの情報が表示されます。

デバイスリスト表示の加入カラムと順守状態カラムにも同様のツールチップアイコンがあります。これらのツールチップアイコンを選択するとホバーオーバーポップアップが開き、それぞれ加入日と順守違反が表示されます。


221



リスト表示のデバイスにフィルタを適用する

デバイスの全カテゴリを対象に、さまざまなフィルタを適用することができます。フィルタを適用することで、必要なデバイスだけを表示することができます。

l マネジメント

l 所有形態

l スマートグループ

l ユーザーグループ

l デバイスタイプ (プラットフォームと選択したプラットフォームに応じた OSバージョン)

l セキュリティ (侵害状態、暗号化、パスコード)

l 状態 (加入状態、最終検出日、順守、加入履歴)

l アドバンストo MAC アドレス –デバイスのメディアアクセス制御アドレスでフィルタをかけます。

o IP 範囲 –デバイスに現在割り当てられている IPアドレスでフィルタをかけます。

o タグ –デバイスを、割り当てられているタグ別に表示します。タグは、検索することも、ドロップダウンメニューから選択することもできます。

o トンネル –トンネルに接続しているすべてのデバイスまたは接続していないすべてのデバイスを表示します。

o コンテンツ順守 –すべてのデバイスを表示、必須ファイルが存在しないデバイスのみを表示、必須コンテンツの最新バージョンがないデバイスのみを表示のいずれかを選択します。

デバイスとユーザーに関連する情報を特定して検索したり、ユーザー名 ("山田太郎") や特定のデバイスタイプを指定して検索することもできます。

リスト表示からデバイスを追加する

ユーザー割り当て、カスタム属性、タグを含むデバイス情報を追加または登録することができます。以下の手順に従い、デバイス >リスト表示またはデバイス >ライフサイクル >加入状態と進み、新しいデバイスを追加します。

1. デバイスを追加ボタンを選択します。デバイスを追加画面が表示されます。ユーザータブに設定を入力します。

設定説明

ユーザーにより

テキスト検索

それぞれのデバイスがユーザーに割り当てられている必要があります。入力欄に検索パラメータを入力し、ユーザーを検索ボタンをクリックして特定ユーザーを見つけます。検索結果からユーザーを選択するか、あるいは新しいユーザーを作成リンクを選択します。


222



設定説明

新しいユーザーを作成


ベーシックとディレクトリユーザーのいずれかを選択します。詳細は、42 ページのベーシックユーザー認証および 43 ページの Active Directory/LDAP 認証を参照してください。

ユーザー名

貴社の AirWatch 環境でユーザーを特定するために使用するユーザー名を入力します。

パスワード、パスワード再入力

ユーザー名に対応するパスワードを入力し、確認のために再入力します。


ユーザーアカウントの Eメールアドレスを入力します。


組織グループ (OG) を選択します。デバイスが加入すると、ここで選択された組織グループに加入することになります。

高度なユーザー詳細を表示

ユーザー名、ユーザーの電話番号、上司の名前、その他の項目 (部署名、従業員 ID、コストセンター等)といった包括的なユーザー詳細情報を表示するには、高度なユーザー詳細のボックスにチェックを入れます。

ユーザーを追加する際には既定のユーザー役割を選択します。これはユーザーが接続デバイスを使用する際にそのユーザーに与えられる権限を決定します。詳細は、71 ページのユーザー役割を参照してください。

デバイス

予想されるフレンドリ名

デバイスリスト表示に表示されるデバイスの名前を入力します。参照値を含めることもできます。その場合、ユーザー、デバイスと展開に特有の変数をフレンドリ名に含めることができます。これらの変数の内容は、Eメールアドレス、携帯の電話番号、デバイスシリアル番号、組織グループなどです。

組織グループ

デバイスに関連付けたい組織グループをドロップダウンメニューから選択します。

所有形態ドロップダウンメニューからデバイスの所有形態を選択します。なし、企業 – 専用、企業– 共有、従業員所有のいずれかを選択します。

プラットフォーム

ドロップダウンメニューからデバイスのプラットフォームを選択します。


223



設定説明

デバイス情報の高度なオプションを表示

デバイス情報の高度なオプションをすべて表示するにはこのボックスにチェックを入れます。

デバイス情報の高度な設定

モデルドロップダウンメニューからデバイスのモデルを選択します。このドロップダウンメニューの内容はプラットフォームドロップダウンメニューの選択により異なります。

OS ドロップダウンメニューからデバイスの OSを選択します。このドロップダウンメニューの内容はプラットフォームドロップダウンメニューの選択により異なります。

UDID デバイスの UDID を入力します。

シリアル番号

デバイスのシリアル番号を入力します。

IMEI デバイスの 15 桁の IMEI 番号を入力します。

SIM デバイスの SIM カード番号を入力します。

アセット番号

デバイスのアセット番号を入力します。これは貴社内で作成される番号です。この欄はこのデータポイントを入力するためのものです。

メッセージ


AirWatch 環境への加入が正常に完了したことを連絡するために送信するメッセージのタイプを選択します (なし、SMS、または Eメール)。


加入メッセージを送信する Eメールアドレスを入力します。

この欄は、メッセージタイプで Eメールを選択した場合に表示されます。

Eメールメッセージテンプレート

ドロップダウンメニューから Eメールテンプレートを選択します。リンクをクリックするとメッセージテンプレート画面が開きます。ここから新しい Eメールメッセージテンプレートを作成することができます。

電話番号 SMSテキストメッセージを送信する電話番号を入力します。

この欄は、メッセージタイプで SMSを選択した場合に表示されます。


224



設定説明

SMSメッセージテンプレート

ドロップダウンメニューから SMSテンプレートを選択します。リンクをクリックするとメッセージテンプレート画面が開きます。ここから新しい SMSメッセージテンプレートを作成することができます。

2. オプションでデバイスにカスタム属性を割り当てることができます。追加ボタンをクリックし、属性とその値を入力します。

3. オプションでデバイスにタグを割り当てることができます。追加ボタンをクリックし、ドロップダウンメニューからタグを選択します。割り当てたいタグのそれぞれにこの作業を行います。


デバイスリスト表示での一括操作

フィルタを適用してデバイスの一部を抽出した後、それらのデバイスに対して一括アクションを実行できます。具体的には、デバイスを選択し、アクションボタンを選択します。

詳細は、226 ページのデバイスリスト表示でデバイスを選択するを参照してください。

これらのアクションを利用するには、システム設定で｢一括操作｣を有効にする必要があります (グループと設定 >すべての設定 >システム >セキュリティ >制限された操作)。パスワード保護されている操作を実行するには暗証番号が必要です。

リスト表示からデバイスを選択すると、選択されたデバイスの数がアクションボタンの横に表示されます。この数字には、選択され、フィルタにかけられたデバイスの数も含まれています。

デバイスリスト表示での一括管理操作の上限

管理するデバイスの数が多い場合は、業務をスムーズに行うため、一括操作コマンドを受信するデバイス数に上限を設定することをご検討ください。

一括管理の上限は、グループと設定 >すべての設定 >デバイスとユーザー >高度な設定 >一括管理で変更できます。

一括管理上限が設定され、かつ複数のデバイスが選択されている場合は、｢何項目が選択されました｣というメッセージの隣に、一部の操作は一括操作制限のため実行できませんというメッセージが表示されます。

デバイスリスト表示でのキューに登録された一括操作に関する警告

一括操作は時間がかかります。 AirWatch コンソールで既存の一括操作が処理されているときに、新しい一括操作を開始すると、次のような警告メッセージが表示されます。


225



｢現在、前にリクエストされた一括操作を処理しています。このリクエストは前の操作が完了した後に実行

されます。現在のリクエストを継続しますか?｣

はいを選択すると、新しい一括操作はキューに追加されます。いいえを選択すると、新しい一括操作はキャンセルされます。

デバイスリスト表示でデバイスを選択する

リスト表示の各デバイスの左側にあるボックスにチェックを入れると、それら個別のデバイスが選択されます。あるいは、複数のページにわたるデバイスを 1つのブロックとして選択することもできます。貴社のデバイス全体を選択することもできますが、その場合、制限された操作に対する警告がトリガされる可能性があります。

デバイスを 1 つのブロックとして選択する

デバイスリストが複数ページにわたる場合でも、デバイスを、連続する 1つのブロックとして選択することができます。具体的には、まず、ブロックの先頭のデバイスのチェックボックスをオンにします。次に、Shift キーを押しながら、ブロックの末尾のデバイスのチェックボックスをオンにします。この操作は、Windows や Mac の環境で利用できる、ブロック選択機能に類似しています。選択したデバイスには操作を一括で適用することができます。

すべてのデバイスを選択する

最終検出カラム見出しの左にあるグローバルチェックボックスを使用すると、リスト内のすべてのデバイスを選択または選択解除できます。リスト表示にフィルタ適用後のデバイスリストが表示されている場合は、グローバルチェックボックスを使用すると、フィルタ適用後のデバイスすべてを選択/選択解除します。

グローバルチェックボックスに緑のマイナスマーク ( ) があるときは、少なくとも 1つのデバイスが選択されていて、すべてのデバイスは選択されていないことを意味します。このアイコンをもう一度選択すると、チェックマーク ( ) に変わります。これは、(フィルタをかけていない、あるいはフィルタ適用後の)リスト上のすべてのデバイスが選択されていることを表します。アイコンをもう一度選択するとボックスのチェックが外れます ( )。これは、現在リスト上のどのデバイスも選択されていないことを表します。

デバイスの選択と一括操作に関するビデオを視聴するには、https://support.air-watch.com/articles/115001664748 にアクセスしてください。

すべてのデバイスを選択した状態での、制限された操作に対する警告

貴社デバイスがすべて選択された状態で、アクションボタンをアクティブにすると、以下のような警告メッセージが表示されます。


226





｢この操作を [選択したデバイス数] 台のデバイスに行おうとしています。この操作はすべてのデバイスに適

用されない可能性があることにご注意ください。この操作に関する制限には、加入状態、管理タイプ、デバ

イスプラットフォーム、モデル、あるいは OS 等が含まれます。｣

この警告は、デバイスの数が多くなるに従い、デバイスの製造元、OS、機能も多種多様になっている現実の反映として表示されています。これは一括管理上限と、この機能が生成するすべてのメッセージとは無関係な、独立した機能です。一括管理上限が設定されている場合は、この制限された操作に関する警告メッセージは表示されません。

デバイス詳細デバイス詳細画面を使用し、個別のデバイスの詳細情報を追跡し、ユーザー/デバイス管理操作機能に素早くアクセスすることができます。

デバイス詳細画面にアクセスするには、いずれかのダッシュボードからデバイスフレンドリ名を選択するか、あるいは AirWatch コンソールの検索ツールを利用します。

メイン画面は以下のような主要セクションに分かれています。


227



l 通知バッジ – 選択したデバイスの侵害状態、順守違反、加入日付、最終検出時刻を表示します。

l セキュリティ – どの管理ソフトウェアが使用されているか、パスコードの状態やデータ保護などのセキュリティ設定を表示します。

l ユーザー情報 – 氏名や Eメールなどを含む基本的なユーザー情報を表示します。

l デバイス情報 – 組織グループ、位置情報、スマートグループ、シリアル番号、UDID、アセット番号、電源状態、ストレージ容量、物理メモリ、保証情報など、デバイスの詳細情報を含みます。

l プロファイル – インストール済み (アクティブ)と割り当て済み (非アクティブ)、さらに管理外 (サイドローディング)といったプロファイルを表示します。

l アプリ – 自動アプリとオンデマンドアプリを含むすべてのインストール済みアプリを表示します。

l コンテンツ – ユーザーが追加したドキュメントなど、任意のインストール済みのコンテンツを表示します。

l 証明書 – 有効期限の近いものも含めすべてのインストール済みの証明書をリストアップします。

デバイス詳細ダッシュボード

ダッシュボードには、デバイスタイプ、デバイスモデル、OSバージョン番号、所有形態タイプ、デバイスアクションボタンのグループ、｢最近のリスト｣インジケータなどの、基本的なデバイス情報が表示されます。

最近のリストインジケータの > ボタンを選択すると、フィルタ後のリスト表示における位置に基づき、選択されたデバイスが変わります。

デバイス詳細のアクションボタン

一般的なデバイスアクションを実行するには、アクションボタンを使用します。アクションボタンクラスタには、｢クエリ｣、｢送信｣、｢ロック｣、｢その他のアクション｣の各ボタンがあります。その他のアクションボタンを選択すると、他のアクションを実行できます。

利用可能なデバイスアクションは、プラットフォーム/デバイス製造元およびモデル、加入状態、さらにAirWatch コンソールの特定の構成設定により異なります。 AirWatch コンソールから管理者が行うことのできるリモートアクションの一覧については、231 ページのプラットフォーム別デバイスアクションを参照してください。


228



デバイス詳細画面メニュータブ

特定のデバイス情報にアクセスするために使用できるメニュータブは、選択したデバイスプラットフォームにより異なります。

メニュータブ説明

まとめ加入状態、順守、最終検出、GPS利用可否、プラットフォーム/モデル/OS、組織グループ、シリアル番号、電源状態、ストレージ容量、物理メモリと仮想メモリ等の全般的な情報を表示します。

順守状態、ポリシー名、前回の順守チェック日と次に予定されている順守チェック日、デバイスに対し既に行われた処理を表示します。順守タブには、高度なトラブルシューティング機能や以下のような便利な機能が含まれています。

l 非順守デバイスや順守状態確認中のデバイスにはトラブルシューティング機能を利用

することができます。デバイスごとに順守状態を再チェックしたり ( )、またはデバイスの順守状態に関する詳細情報を取得したり ( ) することができます。

l ｢閲覧のみ｣の権限を持つユーザーは、順守タブから直接特定の順守ポリシーを閲覧することができます。管理者アクセスを持つユーザーは、順守ポリシーを編集することができます。

プロファイルデバイス上の、割り当て済み、インストール済みと管理外プロファイルを含むすべてのプロファイルを閲覧します。


現在デバイスに割り当てられ、インストールされているアプリをすべて表示します。

コンテンツデバイスのコンテンツの状態、タイプ、名前、バージョン、優先順位、展開、最終更新日、閲覧日時、確認済みコンテンツを表示します。このタブには管理目的アクション (コンテンツのインストールまたは削除)用のツールバーもあります。

位置情報デバイスの現在位置と過去の位置の履歴を表示します。位置データポイントを検索する期間または時間の長さを選択します。カスタム期間を使用すると、日にちの範囲および 5分区切りの時間を選択できます。

位置情報データの収集を有効にするには、グループと設定 >すべての設定 >デバイスとユーザーと進み、プラットフォームごとの Agent 設定ページを選択します。プライバシーに関する位置情報データの詳細は、30 ページの GPS座標のプライバシーのためのベストプラクティスを参照してください。

収集する位置情報データポイントの数およびポイント間の最低距離を変更するには、グループと設定 >すべての設定 >インストール >マップと進みます。


229




ユーザーにより

デバイスのユーザーに関する詳細と、同じユーザーが加入した他のデバイスの状態を閲覧します。

さらに｢さらに｣メニュータブの内容は、デバイスプラットフォームにより異なります。

l ネットワーク – デバイスの現在のネットワーク (セルラー、Wi-Fi、Bluetooth、IMEI) 状態を閲覧します。

l セキュリティ – デバイスの現在のセキュリティ状態がセキュリティ設定に基づいて表示されます。

l テレコム – デバイス上での通話時間、データ使用量、および送受信されたメッセージの量が表示されます。

l メモ – デバイスに関するメモが表示されます。また、メモを入力することもできます。たとえば、デバイスの配送状況、デバイスが修理中のため使用不能であるかどうかなどの情報を入力できます。

l 証明書 – デバイス証明書の名前および発行元が表示されます。また、証明書の有効期限も表示されます。

l プロビジョニング – デバイスにプロビジョンされたすべてのパッケージの全履歴と状態を閲覧します。プロビジョニングエラーもすべて表示されます。

l 利用規約 – 加入処理時に同意したエンドユーザーライセンス同意書 (EULA) の一覧が表示されます。


230




さらに表示(前頁の続き)

l アラート – デバイスに関連付けられたすべてのアラートを閲覧します。

l 共有デバイスログ – 共有デバイスの履歴 (過去のチェックイン/チェックアウト、現在の状態など)が表示されます。

l 状態履歴 – 加入状態に関するデバイスの履歴が表示されます。

l ターゲットログ収集 – コンソール、カタログ、デバイスサービス、デバイス管理、およびセルフサービスポータルのログが表示されます。ターゲットログを構成するためのリンクが用意されています (すべての設定 >管理者 >診断 >ログ収集)。

l トラブルシューティング –イベントログとコマンドのログ情報が表示されます。このページには、エクスポートと検索機能が備わっており、ターゲットを絞った検索や分析ができます。

o イベントログ – 詳細なデバッグ情報およびサーバのチェックインが表示されます。イベントグループタイプ、日付の範囲、重要度、モジュール、カテゴリによるフィルタが含まれます。

イベントログのリストのイベントデータカラムにハイパーリンク付きテキストが表示されることがあり、ここから特定のイベントに関するより詳細な情報を含む別の画面を開くことができます。この情報を使用して、プロファイルのインストールが失敗した理由を確定するなど、高度なトラブルシューティングを実行することができます。

o コマンド – デバイスに送信された、保留中、キュー済み、完了済みのコマンドの詳細なリストが表示されます。カテゴリ、状態そして特定のコマンドによりデータを抽出できるフィルタ機能があります。

l 添付ファイル – トラブルシューティングやその他の目的のためのスクリーンショット、ドキュメント、およびリンクには、デバイス自体の領域ではなく、サーバ上のこのストレージ領域を使用します。

プラットフォーム別デバイスアクションAirWatch 管理者は、貴社で展開しているデバイスのそれぞれに、または一括で、リモートでコマンドを送信することができます。利用できるアクションはプラットフォームにより異なります。これらのプラットフォームごとのデバイスアクションと定義は、管理者が AirWatch コンソールから実行できるリモートコマンドを示しています。

詳細は、234 ページのデバイスアクションの説明を参照してください。


231



操作 AndroidAppleiOS

MacOSAppleTV

ChromeOS

QNXWindows耐久性端末

Windows 7Windows電話番号


タグを追加 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

AirWatch Agent(クエリ) ✓ ✓ ✓(*)

アプリリモート表示 ✓ ✓ ✓

アプリ (クエリ) ✓ ✓ ✓ ✓(*) ✓ ✓

ブック (クエリ) ✓

証明書 (クエリ) ✓ ✓ ✓ ✓ ✓(*) ✓ ✓

デバイスパスコード変更 ✓ ✓

組織グループを変更 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

所有形態を変更 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

アクティベーションロックを解除する ✓

パスコード消去 (デバイス) ✓ ✓ ✓ ✓

パスコード消去 (コンテナ) ✓

パスコード消去 (制限設定) ✓

パスコード消去(SSO) ✓ ✓

デバイス削除 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

デバイス情報 (クエリ) ✓ ✓ ✓ ✓ ✓ ✓ ✓(*) ✓ ✓

デバイスワイプ ✓ ✓ ✓ ✓ ✓ ✓

デバイスを編集 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

紛失モード有効化/無効化 ✓

加入 ✓ ✓ ✓ ✓ ✓ ✓

企業情報リセット ✓ ✓

企業情報ワイプ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

ファイルマネージャ ✓ ✓ ✓

デバイス検索 ✓ ✓ ✓

iOS 更新 ✓


232




MacOSAppleTV

ChromeOS




位置情報 ✓ ✓ ✓ ✓ ✓ ✓

デバイスロック ✓ ✓ ✓ ✓ ✓ ✓

SSO ロック ✓ ✓

管理設定 ✓

｢妨害しない｣としてマーク ✓ ✓

ジョブログレベル上書き ✓

プロファイル (クエリ) ✓ ✓ ✓ ✓ ✓(*)

今すぐプロビジョン ✓ ✓

すべてクエリ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

デバイス再起動 ✓

レジストリマネージャ ✓

リモート操作 ✓ ✓ ✓

リモート管理 ✓ ✓ ✓ ✓ ✓ ✓

リモート表示 ✓

デバイス名を変更 ✓

デバッグログを要求 ✓

デバイスチェックインを要求 ✓ ✓ ✓ ✓

デバイス位置情報を要求 ✓

AirWatch Agent再起動 ✓

セキュリティ (クエリ) ✓ ✓ ✓ ✓(*) ✓ ✓

メッセージを送信 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

AirPlay開始 ✓ ✓

AWCM 開始 ✓ ✓

AWCM 停止 ✓ ✓

デバイスを同期 ✓ ✓ ✓

タスクマネージャ ✓


233




MacOSAppleTV

ChromeOS




マニフェストを閲覧 ✓

ウォームブート ✓ ✓(*) この Windows 7 アクションは｢すべてクエリ｣コマンドを使用して実行することもできます。｢すべてクエリ｣コマンドを使用した場合、個々のクエリコマンドを別々に実行した場合と同じ情報が返されます。

デバイスアクションの説明

コンソールからリモートでデバイスに対し実行できるアクションの詳細な説明を閲覧します。

l タグを追加 – タグをカスタマイズしてデバイスに割り当て、貴社のデバイスのなかの特定デバイスを識別できるようにします。

l AirWatch Agent (クエリ) – クエリコマンドをデバイスの AirWatch Agent に送信し、インストールが完了しており正常に機能していることを確認します。

l アプリリモート表示 – インストールされたアプリケーションの一連のスクリーンショットを撮り、管理者コンソールのリモート表示画面に送信します。スクリーンショットの数とスクリーンショット間の待機時間の長さを秒単位で選択できます。

l アプリ (クエリ) – インストール済みアプリのリストを戻すクエリコマンドをデバイスに送信します。

l ブック (クエリ) – インストール済みブックのリストを戻すクエリコマンドをデバイスに送信します。

l 証明書 (クエリ) – インストールされている証明書のリストを戻すクエリコマンドをデバイスに送信します。

l デバイスパスコード変更 – 選択したデバイスにアクセスするために使用する既存のデバイスパスコードを新しいパスコードに置き換えます。

l 組織グループ変更 – デバイスのベース組織グループを、既に存在する他の組織グループに変更します。静的または動的な組織グループを選択するオプションもあります。

l 所有形態を変更 – 該当する場合、デバイスの所有形態設定を変更します。選択肢は、企業-専用、企業-共有、従業員所有と未定義です。

l アクティベーションロックを解除 – iOS デバイス上のアクティベーションロックを解除します。アクティベーションロックが有効の場合、｢iPhone を探す｣を無効にしたり、工場出荷ワイプを実行したり、デバイスを使用するために再度アクティブ化したりといった操作を行う時に、ユーザーによるApple ID とパスワードの入力が必要になります。

l パスコード消去 (コンテナ) – コンテナ固有のパスコードを消去します。ユーザーがデバイスコンテナのパスコードを忘れてしまった場合に使用します。


234



l パスコード消去 (デバイス) – デバイスパスコードを消去します。ユーザーがデバイスのパスコードを忘れてしまった場合に使用します。

l パスコード消去 (制限事項設定) – アプリインストール、Safari 使用、カメラ使用などのデバイス機能を制限するパスコードを消去します。

l パスコード消去 (SSO) – ユーザーがシングルサインオン (SSO) パスコードを忘れてしまった際に消去します。

l デバイスを削除 – デバイスを管理者コンソールから削除し加入解除します。このアクションは、デバイスそのものからデータを削除するものではなく、コンソールの表示を削除するものです。

l デバイス情報 (クエリ) – フレンドリ名、プラットフォーム、モデル、組織グループ、OSバージョンおよび所有形態などデバイスの基本的な情報を戻すクエリコマンドをデバイスに送信します。

l デバイスワイプ – デバイスからすべてのデータ、Eメール、プロファイル、MDM機能を完全に削除し、デバイスを工場出荷状態に戻します。ここにはユーザーのすべての個人情報も含まれます (該当する場合)。この操作は元に戻せません。

l デバイスを編集 –フレンドリ名、アセット番号、デバイス所有形態、デバイスグループおよびデバイスカテゴリといったデバイス情報を編集します。

l 紛失モード有効化/無効化 – この機能を使用してデバイスをロックし、メッセージと電話番号を送信し、ロック画面にテキストを表示します。紛失モードをユーザーが無効にすることはできません。管理者が紛失モードを無効にした場合は、デバイスは通常モードに戻ります。ユーザーには、デバイスの位置情報が共有されたことを通知するメッセージが送信されます。 (iOS 9.3 以降の監視モードのみ)

o デバイス位置情報を要求 – 紛失モードのデバイスにクエリを送信し、位置情報タブを使用してデバイスを探します。 (iOS 9.3 以降の監視モードのみ)

l 加入 – デバイスユーザーにデバイスを加入するよう伝えるメッセージを送信します。オプションで、ステップごとの手順や役立つリンクなどの加入情報を含む、メッセージテンプレートを使用することもできます。この操作は未加入のデバイスでのみ利用できます。

l 企業情報リセット – デバイスを工場出荷状態に戻し、VMware AirWatch 加入だけを残した状態に企業情報リセットします。

l 企業情報ワイプ – デバイスの加入を解除し、アプリケーションやプロファイルを含む、すべての管理企業リソースを削除します。この操作は元に戻すことができず、このデバイスを再度管理するには、VMware AirWatch への再加入が必要になります。今後の再加入をブロックするオプションと、アクションに関する詳しい情報を入力するためのメモ説明欄を使用するオプションがあります。

o クラウドドメイン参加デバイスでは、企業情報ワイプはサポートされていません。


235



l ファイルマネージャ – AirWatch コンソールの中でファイルマネージャを起動します。デバイスのコンテンツ閲覧、フォルダの追加、検索の実行やファイルのアップロードを行うことができます。

l デバイスを探す – 該当する VMware AirWatch アプリケーションにリングトーンを伴うテキストメッセージを送信します。リングトーンの繰り返し回数や再生までの待ち時間 (秒単位)を構成できます。このリングトーンで、紛失したデバイスをより容易に見つけることができます。

l iOS 更新 – 1 台または複数台の iOS デバイスに OS更新をプッシュします。 iOS バージョン 9以降を搭載する、監視モードで DEP に登録されたデバイスのみが対象です。詳細は、｢VMware AirWatch iOSプラットフォームガイド｣を参照してください。この文書は AirWatch Resources で入手できます。

l 位置情報 – デバイスの GPS機能を使用して地図上にデバイスの位置を表示します。

l デバイスをロック – 選択したデバイスの画面をロックし、ロックが解除されるまで使用できない状態にします。カスタマイズできるメッセージと電話番号そしてメモ説明というオプション入力欄があります。

l SSO ロック – VMware AirWatch Container とすべての関連アプリから対象デバイスユーザーをロックアウトします。

l 管理設定 – 通話ローミング、データローミング、パーソナルホットスポットを有効または無効に設定します。

l ｢妨害しない｣としてマーク – デバイスを｢妨害しない｣としてマークすることで、メッセージ、Eメール、プロファイルその他を受信することによる作業の中断を防止します。アクティブに｢妨害しない｣としてマークされているデバイスには、｢妨害しない｣モードを解除が表示されます。この機能を使用し、制限を解除します。

l ジョブログレベル上書き – 選択したデバイスのジョブイベントログ収集の現在指定されているレベルを上書きします。このアクションは、プロダクトプロビジョニングからプッシュされるジョブのログ収集の詳細レベルを設定し、Android Agent 設定で構成されている現行のログレベルを上書きします。ジョブログレベル上書きは、アクション画面のドロップダウンメニューにある既定設定にリセットを選択するか、Android Agent 設定のプロダクトプロビジョニングカテゴリの下にあるジョブログレベルを変更することで消去できます。

l プロファイル (クエリ) – インストール済みのデバイスプロファイルのリストを戻すクエリコマンドをデバイスに送信します。

l 今すぐプロビジョンを実行 – デバイスにプロダクトをプロビジョンします。プロビジョニングとは、ファイル、アクション、プロファイルそしてアプリケーションを 1つのプロダクトにまとめてデバイスにプッシュし、適切な順序でインストールできるようにする機能です。

l すべてクエリ – インストール済みアプリ (該当する場合は VMware AirWatch Agent を含む)、ブック、証明書、デバイス情報、プロファイルとセキュリティ対策のリストを戻すクエリコマンドをデバイスに


236



送信します。

l デバイスの再起動 – 電源をオフにし再度オンにする操作を行い、デバイスをリモートで再起動します。

l レジストリマネージャ – AirWatch コンソールの中でレジストリマネージャを起動します。デバイスのOSレジストリのリモート表示、キーの追加、検索の実行やプロパティの追加を行うことができます。

l リモート制御 – このアクションを使用してサポートするデバイスを遠隔から制御します。コンソールアプリケーションを起動し、デバイスにサポートやトラブルシューティングを実行できます。

l リモート管理 – このアクションを使用してサポートするデバイスを遠隔から制御します。コンソールアプリケーションを起動し、デバイスにサポートやトラブルシューティングを実行できます。

l リモート表示 – デバイスアウトプットのアクティブストリームを指定出力先 (IP アドレス、ポート、オーディオポート、パスワードとスキャン時間を含む)に出力し、デバイスの操作中にユーザーが見ている画面をリモートから見ることができます。

l デバイス名変更 – AirWatch コンソールでデバイスのフレンドリ名を変更します。

l デバッグログ要求 – 選択したデバイスのデバッグログを要求します。ログを確認するにはさらにタブを選択して添付ファイル >ドキュメントと進みます。ログはトラブルシューティングとサポート目的で使用され、テキストファイルで配信されます。

l デバイスチェックインを要求 – 選択したデバイスが AirWatch コンソールにチェックインすることをリクエストします。このアクションにより最終検出カラムの状態が更新されます。

l AirWatch Agent を再起動する – VMware AirWatch Agent を再起動します。加入処理やサブモジュールのインストール処理が中断された場合のトラブルシューティングに使用します。

l セキュリティ (クエリ) – アクティブなセキュリティ対策 (デバイスマネージャ、暗号化、パスコード、証明書など)のリストを戻すクエリコマンドをデバイスに送信します。

l メッセージを送信 – 選択したデバイスのユーザーにメッセージを送信します。 Eメール、プッシュ通知、SMSから選択できます。

l AirPlay を開始 – デバイスからのオーディオビジュアルコンテンツを AirWatch コンソールに、Apple社のプロプラエタリのワイヤレスストリーミングプロトコルを使用してストリーミングします。 MACアドレス (メディアアクセスコントロール)と秒単位のスキャン時間を指定する必要があります。 iOS4.2 以上が必要です。

l AWCMを開始/停止 – 選択したデバイスの AirWatch クラウドメッセージングサービスを開始/停止します。 AirWatch クラウドメッセージング (AWCM)は、エンドユーザーがパブリックインターネットにアクセスしたり、Google ID などのコンシューマアカウントを使用したりする必要性を減らすことで、管理者コンソールからのメッセージやコマンドの配信を効率化します。


237



l デバイスを同期する – 選択したデバイスを AirWatch コンソールと同期させ、最終検出状態が同じになるようにします。

l タスクマネージャ – AirWatch コンソールの中でタスクマネージャを起動し、デバイスの現在実行中のタスクをリモート表示します。タスクの名前、プロセス ID と実行できるアクションが含まれます。

l マニフェストを表示 – デバイスの XML 形式のパッケージマニフェストを AirWatch コンソールから閲覧します。Windows 耐久性デバイスのマニフェストは、ウィジェットとアプリのメタデータをリストアップします。

l ウォームブート – Power-on self test (POST) 処理を実行せずオペレーティングシステムを再起動します。

加入状態加入状態画面で、各デバイスの加入状態情報を調べること、デバイスの一括インポートと登録を行うこと、デバイスをホワイトリスト/ブラックリストに登録すること、および、デバイストークンを無効化/リセットすることができます。

デバイス >ライフサイクル >加入状態と進み、現在選択されている組織グループに加入しているすべてのデバイスの一覧を閲覧することができます。

カラムを並べかえて情報フィルタを構成し、特定の情報を基にデバイスアクティビティを確認します。例えば、フィルタからトークンの状態を選択し、登録状態が不適切なデバイスのみを表示して、それらのデバイスに対してのみ操作を行うことができます。フレンドリ名あるいはユーザー名を使用して全デバイスを検索し、1つのデバイスまたは 1人のユーザーを特定することもできます。


238



設定説明

フィルタデバイスカテゴリ全体に対してフィルタを適用し、関心があるデバイスだけを表示することができます。

l 加入状態

l プラットフォーム

l 所有形態

l トークンの状態

l トークンのタイプ

l ソース

l 最初の検出

追加 l デバイスを登録する – 加入させるデバイスを個別に登録または追加します。

l デバイスのホワイトリスト/ブラックリスト設定 – ホワイトリスト設定したデバイスのみに加入を許可します。または、ブラックリスト設定したデバイスの加入をブロックします。

l バッチインポート – ｢バッチインポート｣画面でデバイスまたはユーザーをバッチインポートします。

詳細は、222 ページのリスト表示からデバイスを追加する、143 ページのブラックリストまたはホワイトリストにデバイスを追加する、および 60 ページのユーザーまたはデバイスをバッチインポートするを参照してください。

メッセージを再送信する

セルフサービスポータル URL、グループ ID、ログイン資格情報を含むメッセージをユーザーに再送信します。


組織グループを変更

希望する組織グループに、選択したデバイスを移動します。

所有形態を変更

選択したデバイスの所有形態タイプを変更します。

削除選択したデバイスの登録情報を恒久的に削除します。これにより、ユーザーが加入するには再登録が必要になります。デバイス登録情報を削除する前に、トークンを取り消す必要がある場合があります。

トークンリセット

取り消されたトークンまたは期限切れトークンの状態をリセットします。


239



設定説明

トークン取り消し

特定デバイスの登録トークン状態を期限切れにすることで、望まないユーザーまたはデバイスのアクセスをブロックします。

トークンをリセットするとトークンを取り消すアクションに関しては、ユーザーに通知設定を無効にし、既定設定の Eメール通知を送信しないこともできます。

複数のデバイスを選択する

個別のデバイスにアクションを実行することも、デバイスの横のボックスにチェックを入れて複数のデバイスにアクションを実行することもできます。

フィルタを適用して複数のデバイスを抽出した後、それらのデバイスに対して一括アクションを実行できます。具体的には、デバイスを選択し、メッセージを再送信ボタンおよびその他のアクションボタンを使用してアクションを選択します。

個々のチェックボックスをオンにすることができます。また、チェックボックスカラムの上にあるグローバルチェックボックスをオンにして、抽出したデバイスすべてを選択することもできます。

1つ以上のデバイスに対し実行したいアクションを選択すると、確認画面が表示され、アクションを保存またはキャンセルすることができます。

レイアウト

カスタムオプションを選択すると、利用可能なカラムがすべて表示されます。ここから、必要に応じて、表示させたいカラムと非表示にしたいカラムを選択することができます。

カスタマイズしたカラム配置を、現在の組織グループ、またはそのサブ組織グループのすべての管理者に適用するオプションもあります。

いつでもレイアウトボタンをクリックし、カラムの表示形式を変えることができます。

加入状態の詳細表示

全般情報カラムのデバイスフレンドリ名を選択し、該当するデバイスの詳細表示をいつでも開くことができます。

詳細表示からメッセージを再送信ボタンを選択し、加入メッセージを再送信することができます。さらに、登録を編集ボタンを選択し、高度なデバイス情報セクションに入力してデバイスの登録情報を編集することもできます。

詳細表示には以下のようなタブがあり、そのデバイスに関連する加入情報が記載されています。

l 概要 – 登録日、デバイスの最初の検出日以降の経過日数、デバイスとユーザーの基本的な情報を閲覧します。

l ユーザー – ユーザーの詳細情報を閲覧します。

l メッセージ – デバイスアクティブ化に関する送信 Eメールを閲覧します。ここには資格情報と QR コードが含まれています。｢ユーザー登録メッセージ｣と名付けられたリソースを利用することもできま


240



す。これを使用し、AirWatch 管理者は、デバイスが正常に加入を完了した後はメッセージタブを非表示にすることができます。

l カスタム属性 – デバイスに関連したカスタム属性を閲覧します。カスタム属性の詳細は、｢VMwareAirWatch プロダクトプロビジョニングと代理セットアップガイド｣を参照してください。この文書の入手方法については、267 ページの他の文書を入手するを参照してください。

l タグ – デバイスに関連付けられたタグを閲覧します。詳細は、214 ページのデバイスタグの概要を参照してください。

l オフライン加入 – このタブを使用し、オフライン状態でデバイスを加入することができます (利用できる場合)。この機能は、旅行中など、デバイスが利用不可状態のときに、デバイスのスケジュールされた時間を有効活用したい場合などに役に立ちます。

ワイプ保護特権の必要な企業コンテンツをデバイスからリモートワイプすることは、企業情報ワイプと呼ばれ、デバイスが紛失または盗難にあった場合に実行されます。これは、企業コンテンツが競合の手に渡ることを防ぐための保護手段です。

しかし、順守エンジンやその他の自動実行の命令などによる処理で、複数のデバイスをワイプするスケジュールが設定される場合があります。管理者は、そのような命令のスケジュールが設定された場合には通知を受けて、必要に応じて介入する余地が必要です。

ワイプの保護設定を構成して、一定の時間内にワイプできるデバイスの最小台数のしきい値を定義できます。たとえば、20 分以内に 10 台以上のデバイスがワイプされる場合、管理者がワイプコマンドを確認するまで、その後のワイプをすべて保留にすることができます。

管理者は、ワイプログから、デバイスがいつどのような理由でワイプされたか確認することができます。情報を確認した後、保留状態にあるワイプコマンドを承認あるいは拒否し、システムを解除してデバイスしきい値のカウンターをリセットします。

管理対象デバイスに対するワイプ保護設定を構成する

管理デバイスのワイプのしきい値を設定すると、しきい値に達したときに管理者に Eメールで通知が届きます。この設定は、グローバルレベルまたはカスタマーレベルの組織グループにおいてのみ構成が可能です。

1. デバイス >ライフサイクル >設定 >管理デバイスのワイプ保護と進みます。

2. 以下の設定を構成します。


241



設定説明

ワイプされたデバイス数

ワイプされたデバイスの台数を入力します。この値がデバイスワイプ保護機能をトリガするしきい値になります。

以内(分)

ここで設定する時間内にしきい値以上の回数ワイプが発生すると、ワイプ保護がトリガされます。値を以内 (分)で入力します。

Eメール

管理者に送信する Eメールのメッセージテンプレートを選択します。

ワイプ保護用のメッセージテンプレートを作成するには、デバイスとユーザー >全般 >メッセージテンプレートと進みます。次に、新しいテンプレートを追加し、カテゴリとしてデバイスのライフサイクルを、タイプとしてワイプ保護通知を選択します。メッセージテンプレートの一部として、以下の参照値を使用することができます。

l {EnterpriseWipeInterval} – 設定ページの以内 (分)の値

l {WipeLogConsolePage} – ワイプログページへのリンク

宛先この通知メッセージを受け取る管理者の Eメールアドレスを入力します。ワイプログページにアクセスのある管理者のみに通知を行います。


管理対象外デバイスに対するワイプ保護設定を構成する

非常に稀なケースですが、自動的な企業情報ワイプのコマンドが管理対象外デバイスに送信されることがあります。ワイプしきい値の設定には、管理デバイスと同じものを使用します。しきい値に達すると、入力した Eメールアドレス宛てに通知が送信され、それ以降のすべての企業情報ワイプコマンドが保留になります。この設定は、グローバルレベルまたはカスタマーレベルの組織グループにおいてのみ構成が可能です。

1. グループと設定 >すべての設定 >デバイスとユーザー >高度な設定 >非管理対象デバイスのワイプ保護と進みます。


242



2. 以下の設定を構成します。

設定説明

ワイプされたデバイス数

ワイプされたデバイスの台数を入力します。この値がデバイスワイプ保護機能をトリガするしきい値になります。

以内(分)

ここで設定する時間内にしきい値以上の回数ワイプが発生すると、ワイプ保護がトリガされます。値を以内 (分)で入力します。

Eメール

管理者に送信する Eメールのメッセージテンプレートを選択します。

ワイプ保護用のメッセージテンプレートを作成するには、デバイスとユーザー >全般 >メッセージテンプレートと進みます。次に、新しいテンプレートを追加し、カテゴリとしてデバイスのライフサイクルを、タイプとしてワイプ保護通知を選択します。メッセージテンプレートの一部として、以下の参照値を使用することができます。

l {EnterpriseWipeInterval} – 設定ページの以内 (分)の値

l {WipeLogConsolePage} – ワイプログページへのリンク

宛先この通知メッセージを受け取る管理者の Eメールアドレスを入力します。ワイプログページにアクセスのある管理者のみに通知を行います。

企業情報ワイプを許可する

管理対象外デバイスの企業情報ワイプを有効にします。既定の設定では、有効になっています。


ワイプログを閲覧する

ワイプログ画面でデバイスがいつどのような理由でワイプされたか確認することができます。情報を確認した後、保留状態にあるワイプコマンドを承認あるいは拒否し、システムを解除してデバイスしきい値のカウンターをリセットします。

システムがロックされた場合、画面の一番上にその旨を表示するバナーが現れます。


243



1. デバイス >ライフサイクル >ワイプログと進みます。この画面へのアクセスはデバイスワイプログレポートリソースで管理され、既定設定ではシステム管理者、SaaS 管理者、および AirWatch 管理者が利用できるようになっています。管理者役割を作成画面を使用し、任意のカスタム管理者役割にこのリソースを追加することができます。

詳細は、74 ページの管理者役割を作成するを参照してください。

2. ワイプログには以下のようなフィルタを適用することができます。

l 日付の範囲

l ワイプのタイプ

l 状態

l ソース

l 所有形態

3. デバイスのリストを閲覧し、表示されるデバイスのワイプが妥当であるかどうかを確認します。アクションが保留中のデバイスの状態は、｢保留中｣と表示されます。デバイスワイプ保護のしきい値に到達する前にワイプされたデバイスは、｢処理済｣として表示されます。

a. ワイプが妥当である場合、各デバイスを選択しコマンドリストからワイプを承認するを選択します。状態は｢承認済み｣に変わります。

b. ワイプが妥当でない場合、各デバイスを選択しコマンドリストからワイプを却下するを選択します。状態は｢却下｣に変わります。

各デバイスに操作を実行した後、しきい値カウンタをゼロに戻し、ワイプコマンド回数がしきい値を超えるまでワイプコマンドを許可できるよう、システムをロック解除します。

4. ページの一番上からシステムをロック解除するを選択します。

この操作は、グローバルレベルまたはカスタマーレベルの組織グループにおいてのみ実行可能です。

AirWatch ハブVMware AirWatch ハブは、重要情報に素早くアクセスするための中心的なポータルとして利用することができます。重要な問題を素早く特定し、AirWatch コンソールから迅速に対策を採ることができます。


244



この画面上の任意の棒グラフまたはドーナツグラフを選択すると、デバイスリスト表示が表示されます。このリスト表示には、選択したメトリックに関連するすべてのデバイスが表示されます。この画面で各種のアクション (例: それらのデバイスにメッセージを送信する)を実行できます。

たとえば、｢ウイルス対策ソフトの状態｣ドーナツグラフを選択したとします。すぐにデバイスリスト表示画面が表示されます。この画面には、ウイルス対策ソフトウェアがインストールされていないためポリシー違反状態になっているデバイスが、一覧表示されます。リスト内のデバイスをすべて選択するには、各デバイスの行の左端にあるチェックボックスをオンにします。デバイスを追加ボタンの下にある｢すべて選択｣チェックボックスをオンにして選択することもできます。リストの上にアクションボタンクラスタがあります。選択したデバイスのユーザーにメッセージを送信するには、送信を選択します。送信できるものは、Eメール、プッシュ通知、および SMSテキストメッセージです。

AirWatch ハブの構成要素

ハブからは概要グラフと詳細表示にアクセスすることができます。

l デバイス – 以下のようなデバイスの正確な数を表示します。

o 登録済み、加入済み、企業情報ワイプ保留中、デバイスワイプ保留中、加入解除といった状態別の内訳

o AirWatch に加入しているデバイスのプラットフォームごとの内訳

o 過去 1日、1週間、1か月間の加入履歴

l 順守 – どのデバイスが順守ポリシーに違反しているのかを確認します。

o デバイスが現在違反している、アプリ/セキュリティ設定/地理位置情報/その他の順守ポリシー

o 設定されたすべてのタイプの順守ポリシーのうち、順守違反が多い順守ポリシー


245



o ブラックリスト設定アプリと、デバイスにインストールされているすべてのブラックリストアプリ(違反件数が多い順にリストアップ)

o ユーザーのためにインストールしたいアプリがまだインストールされていないデバイス

l プロファイル – 期限切れのプロファイルを表示します。

o 最新のプロファイルバージョンと、各プロファイルの旧バージョンがインストールされているデバイス一覧

l アプリ – どのアプリケーションがデバイスに関連付けられているのかを表示します。

o 最新のアプリケーションバージョンと、各アプリケーションの旧バージョンがインストールされているデバイス一覧

o インストール頻度が高いアプリを、現在インストールされているデバイス数の順に表示

l コンテンツ – 期限切れのコンテンツを持っているデバイスを表示します。

o 最新のコンテンツバージョンと、期限切れのファイルを数が多い順に表示

l Eメール – 現在 Eメールを受信できないデバイスを表示します。

o 既定設定により Eメールを受信できないデバイス、ブラックリスト設定されているデバイス、加入解除したデバイス等を表示

l 証明書 – 有効期限切れが間近に迫っている証明書を表示します。

o 1 ～ 3 か月以内に失効する証明書、3～ 6 か月以内に失効する証明書、6～ 12 か月以内に失効する証明書、有効期限が12 か月以上ある証明書既に有効期限の切れた証明書も閲覧することができます。

表示されるデバイス情報は、サブ組織グループのデバイスも含まれるため、選択する組織グループに応じて変化します。組織グループドロップダウンメニューを使用し、下位の組織グループに表示を切り替えると、デバイスリストは自動的に該当組織グループのものに更新されます。

リスト表示アイコンまたはグラフ表示アイコンをクリックして表示を切り替えます。任意のメトリックを選択し、そのデバイスセットに対する｢デバイスリスト表示｣画面を開きます。この画面で各種のアクション (例: それらのデバイスにメッセージを送信する)を実行できます。

表示項目アイコンを選択して、ハブをカスタマイズします。表示可能セクション (デバイス、順守、プロファイルなど)を示すチェックボックスをオンまたはオフにし、保存を選択し、ハブの外観をカスタマイズします。

エクスポートアイコンを選択してハブデータを PDFファイルとしてエクスポートすることができます。 PDFにエクスポートする機能は、貴社のモバイルデバイス展開の現在の状況に関する日ごと、週ごと、月ごとのレポートを配信するのに役立ちます。


246



管理者パネルダッシュボード

管理者パネルには、モジュールライセンス情報および展開された AirWatch コンポーネントの概要が表示されます。管理者パネルは AirWatch ライセンスの概要をアクティブプロダクトと展開済みのコンポーネントという 2つのセクションにまとめて表示します。

管理者パネルには、ハブ >管理者パネルと進んでアクセスします。管理者パネルは、カスタマー組織グループでのみ使用できます。詳細は、86 ページの組織グループタイプの機能を参照してください。

管理者パネルのアクティブプロダクト

アクティブプロダクトセクションでは、AirWatch 環境にある各機能 (例: Browser、Container、MobileDevice Management、App Catalog) のライセンスの有効性を確認できます。各機能のライセンス合計数、ライセンスモデル、およびライセンスタイプを確認できます。

管理者パネルの展開済みのコンポーネント

展開済みコンポーネントセクションにはカスタマー組織グループで有効化されたすべてのコンポーネントに対応するセクションがあり、接続状態をレポートします。

l VMware Enterprise Systems Connector

l AirWatch Secure Email Gateway

l VMware Tunnel

更新ボタン ( ) を選択すると、有効化されている各コンポーネントの接続状態が更新されます。

また、設定ボタン ( ) を選択すると、有効化されているコンポーネントに対応するシステム設定画面が表示されます。

iOS 向けの業種別テンプレート

業種別テンプレートを使用してさまざまなモバイルアプリとデバイスプロファイルにアクセスできます。これらを貴社デバイスにプッシュすることで、展開プロセスを大幅に短縮することができます。ヘルスケア、小売業等、該当するテンプレートを選択します。テンプレートは必要に応じて編集することができます。

業種別テンプレートの詳細は、｢VMware AirWatch iOS プラットフォームガイド｣を参照してください。この文書の入手方法については、267 ページの他の文書を入手するを参照してください。

レポートと分析機能AirWatch は、デバイス全体に関する実行可能で結果主導型の統計を管理者に提供する、広範なレポート機能とイベントログ収集機能を備えています。

管理者は、事前定義されたレポートを活用したり、特定デバイス、ユーザーグループ、期間、使用するファイル形式等に基づいてカスタムレポートを作成したりすることができます。レポートを参照するに


247



は、ハブ >レポート &分析 >レポート >リスト表示からレポート画面に進みます。追加されたレポートには、レポート画面上部のマイレポートタブから素早くアクセスすることができます。

詳細は、｢VMware AirWatch Reports & Analytics Guide｣を参照してください。この文書の入手方法については、267 ページの他の文書を入手するを参照してください。


248



第14章:証明書の管理証明書管理概要 250デジタル証明書のリスト表示 250証明書統合に関するリソース 251

249



証明書管理概要モバイルデバイスから社外秘情報を含むコンテンツに日常的にどこからでもアクセスできるようになった現在、承認外アクセスと悪意ある脅威の可能性はますます増大しています。貴社の Eメール、Wi-Fi、VPNその他のネットワーク接続をパスコード強化によって保護しても、総当り攻撃、辞書攻撃や従業員のエラーなどに対するインフラの弱点をすべてカバーすることはできません。

貴社の企業資産をセキュアにし、保護を強化するためにも、デジタル証明書の導入をご検討ください。証明書は、パスワードとは比較にならないレベルの安定性、セキュリティと高度な認証を提供することができます。 VMware AirWatch によるモバイル証明書管理は、デバイスのライフサイクル全体にわたるセキュリティを提供し、上記のような問題を解決します。

デジタル証明書のリスト表示証明書の発行後、AirWatch コンソールの証明書リスト表示を使用して、展開されたデジタル証明書を管理します。管理者は、デバイス/証明機関/ユーザー/プロファイル/発効日その他による証明書のリストを閲覧することができます。デバイス >証明書 >リスト表示と進みます。

デジタル証明書の取り消しと更新

｢証明書リスト表示｣では、展開された証明書の概要を表示すること、および、証明書の更新や取り消しを行うことができます。個別操作と一括操作が可能です。アクティブではなくなったユーザー/デバイスに対するすべてのデジタル証明書を特定し、失効させることができます。また、順守規則に基づく失効日の前に、Wi-Fi 認証証明書を更新/交換できます。

デバイス >証明書 >リスト表示と進み、プロセスを開始します。

第 14 章: 証明書の管理

250



1. 更新したい、または取り消したいデジタル証明書のボックスにチェックを入れます。複数のボックスにチェックを入れることもできます。

2. 実行したいアクションボタン (更新または取り消し) を選択し、選択した証明書にアクションを適用します。

証明書統合に関するリソース次に示す証明書管理に関する文書の入手方法については、267 ページの他の文書を入手するを参照してください。

l AirWatch Certificate EOBO with ADCS via DCOM (DCOM を使用した ADCS への AirWatch 証明書代理登録) – ADCSを使用しDCOMプロトコルでAirWatchとの直接統合を行うために、登録エージェント署名証明書をセットアップします。これにより、AirWatchはMicrosoft 社の証明書代理登録機能を利用することができるようになります。

l AirWatch Certificate Authentication for Cisco AnyConnect (Cisco AnyConnect 接続のための AirWatch証明書認証) – Cisco ASAファイアウォールをAirWatchとセットアップし、AnyConnect VPNを外部CA認証で自動で展開/構成します。

l AirWatch Certificate Authentication for Cisco IPSec VPN (Cisco IPSec VPN 接続のための AirWatch 証明書認証) – Cisco ASAファイアウォールをAirWatchとセットアップし、IPSec VPNを外部CA認証で自動で展開/構成します。

l AirWatch Certificate Authentication for EAS with ADCS (ADCS を使用した EAS のための AirWatch 証明書認証) –貴社ディレクトリサービス、証明機関、そしてCAS以外のEメールサーバの間で信頼を確立します。

l AirWatch Certificate Authentication for EAS with NDES-MSCEP (NDES-MSCEP を使用した EAS のための AirWatch 証明書認証) –Microsoft Exchange クライアントアクセスサーバ(CAS) とAirWatchが、デバイスが認証に証明書を使用してMicrosoft Exchange ActiveSync (EAS) に接続できるようにします。

l AirWatch Certificate Authentication for EAS with SEG (SEG を使用した EAS 接続のための AirWatch 証明書認証) – Kerberos 委任を行い、セキュアEメールゲートウェイとのEAS証明書認証を有効にします。

l AirWatch Integration with Entrust IdentityGuard (AirWatch と Entrust IdentityGuard の統合) –Entrust IdentityGuardサービスと統合し、証明書を発行します。

l AirWatch Integration with GlobalSign Guide (AirWatch と GlobalSign の統合ガイド) –証明書を発行するためにGlobalSignのサービスとの統合を行う方法を説明します。

l AirWatch Integration with JCCH Guide (AirWatch と JCCH の統合ガイド) –証明書を発行するためにJCCHのサービスとの統合を行う方法を説明します。

l AirWatch Integration with Microsoft ADCS via DCOM (DCOM を使用したMicrosoft ADCS と AirWatchの統合) –DCOMプロトコルを使用し、Microsoft 社の証明機関をセットアップしてAirWatchとの直接CA統合を行


251



います。デジタル証明書の利点を生かすために、モバイルデバイスへの発行、更新、取り消しプロセスを自動化します。

l AirWatch Integration with Microsoft NDES via SCEP (SCEP を使用したMicrosoft 社 NDES とのAirWatch 統合) –NDES/SCEP/MSECPプロトコルを使用しAirWatchとの直接CA統合を行うために、Microsoft 証明機関を設定します。

l AirWatch Integration with OpenTrust CMS Mobile 2 (AirWatch と OpenTrust CMS Mobile 2 の統合) –証明書を発行するためにOpenTrust CMSMobile サービスとの統合を行う方法を説明します。

l AirWatch Integration with RSA PKI Guide (AirWatch と RSA PKI の統合ガイド) –貴社のAirWatchMDMソリューションに証明書を発行するためにRSA PKIとの統合を行う方法を説明します。

l AirWatch Integration with SCEP (AirWatch と SCEP の統合) –貴社AirWatch展開の一部として証明書を活用するためにSCEPを使用します。

l AirWatch Integration with SecureAuth PKI Guide (AirWatch と SecureAuth PKI の統合ガイド) –証明書を発行するためにSecureAuth PKIサービスとの統合を行う方法を説明します。

l AirWatch Integration with Symantec MPKI Guide (AirWatch と Symantec MPKI の統合ガイド) –証明書を発行するためにSymantec のMPKIサービスとの統合を行う方法を説明します。

l AirWatch Certificate Authentication for EAS with SEG and TMG (SEG と TMG を使用した EAS 接続のための AirWatch 証明書認証) – TMGからEASサーバへの構成と、TMGからSEG、SEGからEASサーバへの構成の、2つの構成について説明します。TMGの証明書認証をセットアップし、リクエストをバックエンドEASまたはSEGサーバにプロキシするための構成を定義します。

次の文書の入手方法については、267 ページの他の文書を入手するを参照してください。

l AirWatch Securing Mobile Devices with Certificates (AirWatch – 証明書でモバイルデバイスをセキュアに)–デジタル証明書を導入することによって得られるメリットについて、ビジネスレベルでの概要を説明します。モバイル環境において、なぜデジタル証明書が内部コンテンツに対するセキュリティセーフガード以上の機能を果たすのかを説明します。

l AirWatch Selecting Microsoft CA Deployment Models Overview (AirWatch – Microsoft CA 展開モデルを選択する – 概要) –様々なMicrosoft CA展開モデルを説明し、貴社にとって最適な展開モデルの選択をサポートします。


252



https://resources.air-watch.com/view/83w2y945m5p37zjshp6t/en

https://resources.air-watch.com/view/8yx7fm65s6vv3nprn4yh/en

https://resources.air-watch.com/view/8yx7fm65s6vv3nprn4yh/en

第15章:カスタム属性カスタム属性の概要 254カスタム属性を作成する 255カスタム属性のインポート 255カスタム属性を使用して組織グループを割り当てる 256

253



カスタム属性の概要カスタム属性により、管理者は、管理デバイスから特定の値を抽出して AirWatch コンソールに値を返すことができます。属性値をデバイスに割り当て、プロダクトプロビジョニングで、またはデバイス参照値として使用することもできます。

これらの属性により、プロダクトプロビジョニングを使用してプロダクトを作成する際に、ルールジェネレータを活用できるようになります。

注:カスタム属性 (とルールジェネレータ)は、カスタマーレベルの組織グループでのみ構成/使用可能です。

カスタム属性データベース

カスタム属性は、デバイス上に XML ファイルとして保管されるか、あるいは AirWatch コンソールサーバ上のカスタム属性データベースに保管されます。データベース使用時には、キーと値のペアのアセット追跡のためにカスタム属性が AirWatch にサンプルとして定期的に送信されます。デバイスデータベースのレコードの｢Create Attribute (属性を作成)｣が｢TRUE｣と構成されているときは、｢名前｣と｢値｣はAirWatch Agent により自動的に取得され、カスタム属性サンプルとともに送信されます。キーと値のペアはデバイス詳細画面の｢カスタム属性｣タブに表示されます。

カスタム属性を作成する

カスタム属性を作成し、値をデバイスにプッシュします。属性と値を関連付けます。詳細は、255 ページのカスタム属性を作成するを参照してください。

カスタム属性をインポートする

カスタム属性のバッチインポート機能を使用し、カスタム属性と対応する値をシステムに一括で読み込むことができます。提供されているテンプレートでは、各カラムが 1つの属性に対応し、各行がカスタム属性の異なるパラメータに対応します。詳細は、255 ページのカスタム属性のインポートを参照してください。

プラットフォーム固有のカスタム属性のプロビジョニング

XML プロビジョニングを使用してカスタム属性をデバイスにプッシュできます。XML プロビジョニングは、高度なプロダクトプロビジョニング機能と併用できます。 XML データをプッシュする方法は、デバイスプラットフォームごとに異なります。

第 15 章: カスタム属性

254



カスタム属性を作成するカスタム属性を作成し、値をデバイスにプッシュします。これらの属性と値は、プロダクト規則がどのように作用し、どのようにして一部デバイスに対し参照値として機能するかを制御します。

1. デバイス >カスタム属性 >代理セットアップとプロビジョニング >リスト表示と進みます。

2. 追加をクリックし、属性を追加を選択します。

3. 属性名を入力します。

4. この属性が何を識別するためのものなのか、説明を入力します (任意)。

5. 属性を収集するアプリケーション名を入力します。

6. ルールジェネレータのドロップダウンメニューから属性値が利用できるようにするには、ルールジェネレータのための値を収集するを選択します。

7. 属性をルールジェネレータで使用するには、ルールジェネレータで使用を選択します。

8. 管理者または API 呼び出しが明示的にカスタム属性の削除を行わない限り、AirWatch コンソールから削除を行えないようにするには、維持するを選択します。選択しない場合は、属性は通常通り削除することができます。

デバイスから AirWatch コンソールにレポートされたカスタム属性を削除した場合、｢維持する｣を選択したカスタム属性は AirWatch コンソールに残ります。

カスタム属性を維持する機能は、Android と Windows 耐久性デバイスのみで利用できます。

9. カスタム属性を AirWatch コンソールの任意の場所で参照値として使用するには、参照値として使用を選択します。

例えば、デバイスの名称設定を簡単にするために、カスタム属性をデバイスフレンドリ名の一部として使用することができます。

10. 値タブを選択します。

11. 値を追加を選択してカスタム属性に値を追加し、保存を選択します。

カスタム属性のインポートカスタム属性のバッチインポート機能を使用し、カスタム属性と対応する値をシステムに一括で読み込むことができます。提供されているテンプレートでは、各カラムが 1つの属性に対応し、各行がカスタム属性の異なるパラメータに対応します。

これらのテンプレートを使用し、異なる方法で、異なる情報を含むカスタム属性をインポートすることができます。


255



注意:各テンプレートの先頭カラムのシンタックスは、正確に複製する必要があります。適切なシンタックスを使用しないと、データベースのエラーを引き起こし、データが失われる可能性があります。

テンプレートタイプ

l カスタム属性テンプレート –カスタム属性とその設定を定義します。

l カスタム属性値テンプレート –事前定義されたカスタム属性値を定義します。

l デバイスカスタム属性値 –クロスリファレンス (Xref) に基づき、個別のデバイスの事前定義されたカスタム属性値を定義します。 Xref 値は、各カスタム属性の値を受け取る個別のデバイスを決定します。

o 1 – デバイス ID (デバイス加入時に AirWatch によって割り当てられたデバイス ID)

o 2 – シリアル番号

o 3 – UDID

o 4 – MAC アドレス

o 5 – IMEI 番号

ファイルをインポートする前に、CSV 形式で保存します。

カスタム属性を使用して組織グループを割り当てる加入後のデバイスをどのように組織グループに割り当てるかを制御するルールを構成します。作成できるのは、管理する各組織グループごとに 1つのカスタム属性のみです。


256



以下の手順に従って、割り当てルールを作成します。

1. グループと設定 >すべての設定 >デバイスとユーザー >全般 >高度な設定と進みます。

2. デバイス割り当てルールを有効化するの有効を選択します。

3. タイプからカスタム属性による組織グループを選択します。


5. カスタム属性をまだ作成していない場合は、デバイス >代理セットアップとプロビジョニング >カスタム属性 >リスト表示 >追加 >属性を追加すると進み、カスタム属性を作成します。詳細は、255ページのカスタム属性を作成するを参照してください。

6. デバイス >代理セットアップとプロビジョニング >カスタム属性 >カスタム属性割り当てルール >ルールを追加すると進みます。

7. ルールによるデバイスの割り当て先の組織グループを選択します。

8. ルールを追加するを選択して、ルールのロジックを構成します。

設定説明

属性/アプリケーション

これは、対応する値をもったカスタム属性で、デバイス割り当てを決定します。

オペレータこのオペレータは、デバイスがプロダクトの要件を満たすか確認するために属性と値を比較します。

ルール内で 1つ以上のオペレータを使用する場合は、各オペレータの間に必ずロジカルオペレータを入れてください。

付加価値これはカスタム属性の値です。ルールに関して選択された属性が当てはまる、全デバイスのすべての値がここに一覧表示されます。

論理演算子を追加する

AND、OR、NOTのような論理演算子のドロップダウンメニューを表示します。これらを使用してより複雑なルールを作成することができます。

9. ルールのロジックを構成し、保存を選択します。

割り当てられた属性を持つデバイスが加入すると、ルールにより、デバイスが構成された組織グループに割り当てられます。


257



第16章:セルフサービスポータルセルフサービスポータル概要 259SSPの既定のログイン画面を構成する 259SSPのマイデバイス画面 260SSPのリモート操作 262セルフサービスポータルから利用できる操作一覧 264VMwareContent Lockerオプション 266

258



セルフサービスポータル概要AirWatch セルフサービスポータル (SSP) は、リモートでのデバイスのモニタリングと管理を可能にするオンラインツールです。デバイス管理において発生する｢見えないコスト｣の削減に貢献します。デバイスユーザーに、基本的なデバイス管理タスクの実行、問題の調査、および問題の解決に関する権限を与え、その手順を指示することで、貴社のヘルプデスクのチケット数を低減し、サポート担当者の負荷を軽減できます。

セルフサービスポータルにデバイスからアクセスする

エンドユーザーは、ワークステーションやデバイスから、https://<AirWatch環境>/MyDeviceに移動して、セルフサービスポータル (SSP) にアクセスすることができます。エンドユーザーがWeb クリップまたはブックマークをサポートするデバイスを使用している場合は、管理者は、SSP に直接アクセスできるよう、ショートカットを提供することができます。

セルフサービスポータル (SSP) のカスタマイズ

ブランディング設定を構成することにより、既定のログイン画面の背景を変更できます。

グループと設定 >すべての設定 >システム >ブランディングと進み、セルフサービスポータルログインページの背景でアップロードボタンを選択します。カスタム背景画像を選択します。推奨サイズは1024x768 ピクセルです。

SSP の既定のログイン画面を構成する貴社のニーズとユーザーのニーズに応じて、セルフサービスポータルに表示される既定の認証方法を設定することができます。

注:この設定にはオンプレミスでご利用のお客様のグローバルレベルからのみアクセスできます。

この設定を構成するにはグループと設定 >すべての設定 >インストール >高度な設定 >その他と進み、SSP 認証タイプを以下のように設定します。

l Eメール – 自動検出機能がセットアップされている場合、ユーザーに Eメールアドレスのみを入力するようプロンプトが表示されます。

l レガシ – ユーザーにグループ ID と資格情報 (ユーザー名/パスワード)を入力するようプロンプトが表示されます。

l 専用 – ユーザーには資格情報 (ユーザー名/パスワード)のみを入力するようプロンプトが表示されます。このオプションは、単一のカスタマー環境でグループ ID が 1 つしかない場合の既定のオプションです。

第 16 章: セルフサービスポータル

259



SSP のマイデバイス画面セルフサービスポータルのマイデバイスページから、デバイスの詳細情報にアクセスしたり、多様な操作を実行したりすることができます。

閲覧可能なタブと実行可能な操作は、デバイスプラットフォームにより異なる場合があります。該当する｢VMware AirWatch プラットフォームガイド｣を参照してください。この文書は AirWatch Resources で入手できます。

SSP の言語を選択する

セルフサービスポータルは、ブラウザの既定言語を使用して表示するように設定されています。ログイン画面の言語を選択ドロップダウンメニューで既定設定を上書きすることもできます。

SSP にログインする

エンドユーザーは、AirWatch に加入する際に使用したものと同一の資格情報 (グループ ID、ユーザー名、パスワード) を使用してログインします。ランダムに生成されるキャプチャコードを入力するよう求められる場合もあります。

SSP のパスワードを変更する

アカウント画面を使用して、AirWatch アカウントに関連付けられているパスワードを変更します。このパスワードは、デバイスの加入および SSP へのログインに使用されます。

セルフサービスポータル画面の右上にあるアカウントボタンを選択して、パスワードを変更します。ユーザーアカウント画面で、現在のパスワード項目の横に表示される変更ボタンを選択します。

SSP でデバイスを選択する

SSP にログインすると、アカウントに関連付けられたすべてのデバイスがマイデバイス画面に表示されます。個々の加入デバイスは、セルフサービスポータル画面上部の各タブに表示されます。閲覧/管理したいデバイスを表示しているタブを選択します。


260



デバイス状態は、タブのデバイス名の下に表示されます。デバイス状態には、検出済み、加入済み、加入保留中、加入解除、そして企業情報ワイプ保留中があります。

デバイスを SSP に追加する

セルフサービスポータルから直接デバイスを追加することができます。

1. マイデバイス画面のデバイスを追加を選択します。

2. 必須項目のフレンドリ名、プラットフォーム、デバイス所有形態、メッセージタイプおよび Eメールアドレスを入力します。

3. 保存をクリックして新しいデバイスを SSP アカウントに追加します。

注:新しく追加されたデバイスの状態は、完全に加入が行われるまで｢加入保留｣と設定されます。

SSP でのデバイス情報

ユーザーが SSP にログインすると、主要なデバイスがメインビューアに表示されます。メインの画面には、加入日、最終検出日、デバイス状態といった基本情報が表示されます。

詳細に進むボタンを選択すると、選択したユーザーアカウントの下に選択したデバイスの関連情報を含むタブが表示されます。

l 概要 – 順守、プロファイル、アプリ、コンテンツ、フレンドリ名、アセット番号、UDID 番号、Wi-FiMAC アドレスの概要情報を表示します。


261



o デバイスのフレンドリ名は、概要タブの画面でフレンドリ名欄の右側にある編集アイコンを選択して直接編集することができます。

注: デバイスの概要のユーザー役割リソースにより、SSP の概要タブで表示される項目が変わります。デバイスアプリ、デバイス順守またはデバイスプロファイルなどで無効に設定されたリソースの影響で、ユーザーの画面から一部の情報が非表示になっている場合は、対応する概要タブ上の対応する情報も通常は非表示になります。

ユーザーと管理者役割のリソースを制限する方法の詳細は、ユーザー役割と管理者役割に関するセクションを参照してください。

l 順守 – デバイスに適用された順守ポリシーの名前とレベルを含む、デバイスの順守状態に関する情報を表示します。

l プロファイル – ユーザーアカウントの加入デバイスに送信されたすべての MDMプロファイルを表示します (自動プロファイルを含む)。このタブには各プロファイルの状態も表示されます。

l アプリ – 選択したデバイスにインストールされているすべてのアプリケーションを表示し、アプリケーションの基本情報を提供します。

SSP のリモート操作AirWatch は、管理者に、管理デバイスに対して実行できるいくつかのリモート操作とオプションを提供しています。他方、個人所有のデバイスを使用している従業員も、類似の管理ツールにアクセスし、同様の管理を自分で行いたいと思うかもしれません。 AirWatch SSP は、そのような従業員に対し、いくつかの主要な MDMツールを提供します。IT 管理者の対応は不要です。この機能を有効にすると、エンドユーザーはWeb ブラウザで SSP を開いて、重要な MDMサポートツールにアクセスできます。情報表示機能やSSP からのリモート操作実行機能を有効または無効に設定することもできます。

選択したデバイスを使用して SSP 内で利用可能な操作は、プラットフォームや操作権限により異なります。操作権限は、貴社管理者により定義されます。実行できる操作は、メインのアクセス画面上で基本操作と高度な操作に分けられています。

操作の権限は、貴社の管理者によって決定されますので、記述されている操作のすべてが実行できるとは限りません。該当する｢VMware AirWatch プラットフォームガイド｣を参照してください。この文書はAirWatch Resources で入手できます。

SSP の基本リモート操作

基本リモート操作は、セルフサービスポータルでデバイスを選択すると、基本操作の内部タブに表示されます。利用できる操作は、加入状態、デバイスプラットフォーム、操作権限によって異なります。


262



操作説明

パスコードを変更

選択したデバイスに新しいパスコードを設定します。

SSO パスコード消去

選択したデバイスのシングルサインオンパスコードを消去し、新しいパスコード設定のプロンプトを表示します。この機能は、デバイスのパスコードを忘れてしまい、デバイスをロック解除できないときに便利です。

パスコードを消去

選択したデバイスのパスコードを消去し、新しいパスコード設定のプロンプトを表示します。この機能は、デバイスのパスコードを忘れてしまい、デバイスをロック解除できないときに便利です。

デバイス削除

デバイスをセルフサービスポータルから削除します。

登録削除保留状態の加入レコードをセルフサービスポータルから削除します。

デバイスクエリ

AirWatch サーバに総合的な MDM情報を送信するよう、デバイスに要求します。

デバイスワイプ

選択したデバイスから、すべてのデータ、Eメール、プロファイル、MDM機能を含むすべての情報を消去し、デバイスを工場出荷状態に戻します。

Agentをダウンロードする

AirWatch Agent を SSP を閲覧するデバイスにダウンロードしインストールします。


選択したデバイスからすべての企業データを削除し、デバイスを AirWatch MDMから削除します。 MDMプロファイル、ポリシー、内部アプリを含むすべての企業データがデバイスから削除されます。デバイスは、AirWatch MDMがインストールされる前の状態に戻ります。

デバイスの位置を確認

GPS 機能をアクティブ化して紛失/盗難デバイスを探します。プライバシー設定により制限されている場合は、この操作は表示されません。

デバイス/画面ロック

選択したデバイスをロックすることで、承認されていないユーザーによるアクセスをブロックできます。これは、デバイスが紛失や盗難にあった場合に役立つ機能です。エンドユーザーは GPS機能を使用してデバイスを探すこともできます。

SSOロック

デバイスのアプリのシングルサインオンパスコードをロックします。次に SSOアプリを開く際に、パスコードを要求するプロンプトを表示します。

音を出すリモートで呼び出し音を鳴らすことで、デバイスを見つけやすくします。


263



操作説明

加入メッセージを再送信する

最初に加入した際に送信した SMS、QR コード、またはＥメールのコピーを、登録しようとしているデバイスに再送信します。

メッセージを送信

Eメール/SMS/プッシュ通知形式のメッセージをデバイスに送信します。

ローミング設定

このデバイスのローミング設定を行います。

デバイスを同期

デバイスに最新の企業ポリシー、コンテンツとアプリを提供します。

加入メッセージを表示する

加入後最初に送信されるメッセージを含む実際の Eメール、SMS、または QR コードを表示します。

注:登録と加入操作は、選択したデバイスの加入状態が保留の場合のみ SSP に表示されます。

SSP の高度なリモート操作

高度なリモート操作は、セルフサービスポータルでデバイスを選択すると、高度な操作の内部タブに表示されます。利用できる操作は、加入状態、デバイスプラットフォーム、操作権限によって異なります。

操作説明

アプリトークン生成セキュアなアプリケーションへのアクセスに使用するトークンを生成します。

Eメールの管理 Eメールアカウントに接続されたデバイスを管理します。

利用規約確認このアカウントの過去の利用規約を確認します。

トークン取り消し選択したアプリケーションのトークンを取り消します。

S/MIME 証明書アップロード企業 Eメールアカウント用の S/MIME 証明書をアップロードします。

セルフサービスポータルから利用できる操作一覧以下の表は、様々な主要プラットフォームでサポートされる SSP の基本的な操作と高度な操作の一覧です。


264



操作 Android iOSWin

電話番号MacOS

WinMobile

Win 7Win

デスクトップ

基本操作

BES登録

パスコードを変更 ✓

(SSO) パスコード消去 ✓ ✓ ✓ ✓

デバイス削除 ✓ ✓ ✓ ✓ ✓ ✓ ✓

登録削除 ✓ ✓ ✓ ✓ ✓

デバイスクエリ ✓ ✓ ✓ ✓ ✓

デバイスワイプ ✓ ✓ ✓ ✓ ✓

Agentをダウンロードする ✓ ✓

企業情報ワイプ ✓ ✓ ✓ ✓ ✓ ✓ ✓

デバイスの位置を確認 ✓ ✓ ✓ ✓

デバイス/画面ロック ✓ ✓ ✓ ✓ ✓

SSOロック ✓ ✓

音を出す ✓

加入メッセージを再送信する ✓ ✓ ✓ ✓ ✓

メッセージを送信 ✓ ✓ ✓ ✓ ✓ ✓ ✓

ローミング設定 ✓

デバイスを同期 ✓ ✓

加入メッセージを表示する ✓ ✓ ✓ ✓ ✓

高度な操作

アプリトークン生成 ✓ ✓ ✓ ✓ ✓ ✓ ✓

Eメールの管理 ✓ ✓ ✓

利用規約確認 ✓ ✓ ✓ ✓ ✓ ✓ ✓

トークン取り消し ✓ ✓ ✓ ✓ ✓ ✓ ✓

S/MIME証明書アップロード ✓ ✓ ✓ ✓ ✓ ✓ ✓


265



VMware Content Locker オプションAirWatch には、組織のコンテンツ管理に役立つエンドユーザー向けの 3つの機能が用意されています。AirWatch コンソールでコンテンツに対して設定できる豊富な構成や管理のオプションに加え、これらのユーザー向け機能の動作も構成することができます。

l VMware Content Locker – エンドユーザーは、ファイルのセキュリティを維持したまま、重要なコンテンツにデバイスからアクセスできます。 VMware Content Locker を通してアクセスするコンテンツは、このアプリケーション内で開封されるので、承認がない限り、コピー、保存、共有できません。

l Content Locker Sync – エンドユーザーは、コンピュータ上の共有フォルダにファイルを追加することにより、そのファイルを個人コンテンツリポジトリと同期できます。この機能により、エンドユーザーは、モバイルデバイス上の VMware Content Locker アプリケーションやセルフサービスポータルからこれらのファイルにアクセスできるようになります。

注:これらの機能のダウンロード、インストールおよび使用は、ユーザー依存のアクションです。VMware Content Locker のダウンロード方法や使用方法に関するエンドユーザー用の説明、およびVMware Content Locker Sync のインストール方法と使用方法に関する説明は、該当するプラットフォームの｢VMware Content Locker エンドユーザーガイド｣を参照してください。また、｢Content Apps for Desktop End User Guide｣も参照してください。この文書は、https://resources.air-watch.com/view/jshgwzqd2fdcby73ryhf/en で入手できます。

これらのガイドは Resources Portal で入手することができます。

上述の機能の詳細は、貴社の AirWatch 管理者にお問い合わせください。


266



https://resources.air-watch.com/view/jshgwzqd2fdcby73ryhf/en

他の文書を入手するこのガイドには含まれていない文書が追加資料として挙げられている場合があります。

特定の文書を最も迅速かつ簡単に探す方法は、https://my.air-watch.com/help/9.1/en/Content/Release_Notes/Doc_List_PDFs.htm にアクセスし、必要な文書を検索することです。各リリース固有の文書には、AirWatch Resources にある PDFコピーへのリンクが掲載されています。

myAirWatch の AirWatch Resources (resources.air-watch.com) にアクセスし、文書を検索することもできます。 Resources で文書を検索するときは、AirWatch の文書を検索するように注意します。フィルタを使用し、PDFファイルタイプと AirWatch v9.1 で並べ替えることができます。

他の文書を入手する

267



https://my.air-watch.com/help/9.1/en/Content/Release_Notes/Doc_List_PDFs.htm

https://my.air-watch.com/help/9.1/en/Content/Release_Notes/Doc_List_PDFs.htm