vmware workspace one uemuem console を使用する 1workspace one uem powered by airwatch...

Console の基本

VMware Workspace ONE UEM

最新の技術ドキュメントは、 VMware の Web サイト（https://docs.vmware.com/jp/）

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

ヴイエムウェア株式会社105-0013　東京都港区浜松町 1-30-5浜松町スクエア 13Fwww.vmware.com/jp

Copyright ©

2021 VMware, Inc. All rights reserved. 著作権および商標情報。

Console の基本

VMware, Inc. 2

https://docs.vmware.com/jp/

https://docs.vmware.com/copyright-trademark.html

目次

1 UEM Console を使用する 5

2 コンソールにログインする 11

3 ｢はじめに｣ウィザードを使用する 20

4 メインメニュー 23

5 APNs 証明書 24

6 割り当てグループ 27組織グループ 29

組織グループに関する設定を上書き/継承する 36

デバイスをグローバルレベルで加入させるべきでない理由 37

スマートグループ 38

スマートグループを作成する 42

プロファイルやポリシーからグループを除外する 44

ユーザーグループ 45

管理者グループ 52

割り当てを表示する 55

7 構成 56

8 コンソールモニター 58アプリケーション展開の追跡と監視 62

9 Console 通知 72

10 イベントログ 75

11 Freestyle Orchestrator 78

12 統合可能なその他のエンタープライズシステム 79

13 ロールベースのアクセス 80既定役割とカスタムロール 80

ユーザーロール 83

管理者ロール 84

VMware, Inc. 3

制限付きヘルプデスク管理者を作成し、特定の機能を付与する役割を追加する方法 93

14 Workspace ONE UEM へのセルフサービスポータル 96

15 利用規約 102

16 ユーザーと管理者アカウント 105ユーザー認証タイプ 107

ベーシックユーザーアカウント 115

ディレクトリベースのユーザーアカウント 117

バッチインポート機能 120

管理者アカウント 123

17 REST API による UEM 機能の使用 127

Console の基本

VMware, Inc. 4

UEM Console を使用する 1Workspace ONE UEM から、MDM 展開のあらゆる側面を閲覧し管理することができます。弊社の管理者コンソ

ールは、一元化された Web ベースのリソースで、ここから新しいデバイスとユーザーを貴社の展開に素早く簡単に

追加し、プロファイルを管理し、システム設定を構成することができます。

セキュリティ設定と各種のインターフェイス機能（例：「はじめに」ウィザード、メニューアイコン、フィードバッ

クの送信、グローバル検索）について詳しく理解してください。

Workspace ONE UEM から収集された分析などの情報の VMware での取り扱いについては、https://www.vmware.com/help/privacy.html の VMware プライバシーポリシーを参照してください。

サポートするブラウザ

Workspace ONE Unified Endpoint Management (UEM) コンソールでは、次の Web ブラウザの最新版の安

定したビルドをサポートします。

n Chrome

n Firefox

n Safari

n Microsoft Edge

上記のウェブブラウザに関しては、包括的なプラットフォームテストを実施し、動作確認を行っています。以前の

バージョンのブラウザまたは認証されていないブラウザで UEM Console を実行すると、軽微な問題が発生する可

能性があります。

注： UEM Console へのアクセスに IE を使用している場合、[コントロールパネル] - [設定] - [インターネット

オプション] - [セキュリティ] の順に進み、[フォントダウンロード] オプションを含むセキュリティレベルまたはカ

スタムセキュリティレベルが [有効にする] に設定されていることを確認してください。

n Android 4.0 以降 n QNX 6.5+

n Apple iOS 7.0 以降 n Windows デスクトップ (8/8.1/RT/10)

n Apple macOS 10.9+ n Windows 高耐久性デバイス (Mobile 5/6 および Windows CE 4/5/6)

n Chrome OS (最新バージョン)

VMware, Inc. 5

https://www.vmware.com/help/privacy.html


これ以外のデバイスまたはオペレーティングシステムに関しては、サポートが限定される場合があります。

Workspace ONE への直接加入は iOS と Android デバイスのみでサポートされます。詳細については、

『[Workspace ONE UEM Managing Devices]』ドキュメントの「[Workspace ONE への直接加入]」のトピ

ックを参照してください。

詳細については、オンラインヘルプ docs.vmware.com を検索するか、VMware のサポートに連絡して、各プラ

ットフォームのガイドを参照してください。

ヘッダーメニュー

[ヘッダーメニュー] は、Workspace ONE UEM powered by AirWatch のほとんどの画面の上部にあります。

このヘッダーメニューを使用して、次のことを実行できます。

n [組織グループ] – 変更を適用したい組織グループ (｢Global｣と表示のあるタブ) を選択します。

n [追加] – 管理者、デバイス、ユーザー、ポリシー、コンテンツ、プロファイル、内部アプリケーション、または

パブリックアプリケーションを素早く作成します。

n [グローバル検索 ] – （）デバイス、ユーザー、コンテンツ、アプリケーション、構成設定、管理者、ページ

など、貴社の UEM 展開のすべての構成要素を UEM Console から検索します。

n [通知 ] – （）通知を使用することにより、重要なコンソールイベントを常時確認できます。通知のベルアイコンの上に重なって表示される番号バッジで、確認が必要なアラートの数がわかります。

n [保存済み] – （）UEM Console でよく使うページをお気に入りに追加してアクセスをよりスムーズにしま

す。

n [ヘルプ ] – （）使用可能なガイドおよび UEM Console 文書を参照または検索します。

n [マイサービスセレクタ] – （）このメニューボタンを使用して、使用可能なすべての Workspace ONE サービスを選択します。

n [アカウント] – アカウント情報を閲覧します。現在の環境内で割り当てられている[アカウント役割]を変更する

ことができます。連絡先の情報、言語、[通知]、[ログイン]の閲覧履歴、暗証番号のリセットを含む[セキュリテ

ィ]設定などの設定をカスタマイズできます。UEM コンソールから [ログアウト] して、ログイン画面に戻るこ

ともできます。

n [更新] – （）現在のビューを離れずに、画面を更新して更新状態および情報を表示します。

n [表示項目] – （）Monitor の概要画面の表示をカスタマイズするには、表示したいセクションのみを選択し

ます。[モニタ] 画面でのみ利用できます。

Console の基本

VMware, Inc. 6

n [エクスポート] - （）ユーザー、デバイス、プロファイル、アプリ、ブック、またはポリシーの完全なリスト

（または、フィルタリングが使用されている場合はフィルタリングされたリスト）を、XLSX または CSV（コン

マ区切り値）ファイルに生成します。これらのファイルは、MS Excel で表示および分析できます。

n [ホーム ] – （）このアイコンをクリックすると、UEM Console の任意の画面をホーム画面として設定でき

ます。UEM コンソールに次にアクセスするときには、選択した画面が最初に表示されます。

n [保存] - （）現在のページを「保存済み」ページ一覧に追加すると、よく使用する UEM Console ページに

簡単にアクセスできるようになります。

グローバル検索

モジュール型のデザインとタブ付きのインターフェイスを使用したグローバル検索で、貴社の展開全体の検索を実行

します。グローバル検索では、検索文字列を一度に 1 つのタブに適用することで迅速に結果を生成します。別のタブ

を選択して、同じ文字列を Workspace ONE UEM の別の領域に適用します。

グローバル検索を実行した後、結果を以下のタブで確認します。

n [デバイス] – デバイスのフレンドリ名およびデバイスプロファイル名が一致する検索結果を表示します。

n [アカウント] – ユーザー名や管理者名が一致する検索結果を表示します。

n [アプリケーション] – 内部、パブリック、購入済みまたは Web アプリケーション名が一致する検索結果を表示

します。

n [コンテンツ] – デバイス上のコンテンツから一致する検索結果を表示します。

[技術プレビュー：グローバル検索でのワイルドカードのサポート]

検索パラメータでは、次の方法でアスタリスク * をワイルドカードとして使用できます。

注： Workspace ONE UEM では、時間枠機能がテクニカルプレビューとして提供されています。テクニカルプレビュー機能は完全にはテストされておらず、一部の機能が期待どおりに機能しない場合があります。ただし、これ

らのプレビューは Workspace ONE UEM の現在の機能を改善し、今後の機能強化を開発するのに役立ちます。こ

の技術プレビュー機能を使用する場合は、VMware の担当者に連絡して、ワイルドカードを使用可能にする機能フ

ラグコード SupportForWildcardInGlobalSearchFeatureFlag を共有してください。

n [*device] と入力して返される文字列：ruggeddevice、appledevice、mobiledevice

n [m*e] と入力して返される文字列：manufacture、Maine、merge

n [admin*] と入力して返される文字列：administrator、administration、admins

n [*tern*] と入力して返される文字列：internal、external、returning

n 検索パラメータの一部としてアスタリスクを含めるには、二重引用符で囲むか、バックスラッシュを前に付けま

す。

n [micro"*"] と入力して返される文字列：micro*

n [valueable\*] と入力して返される文字列：valueable*

Console の基本

VMware, Inc. 7

組織グループの検索

組織グループドロップダウンメニューから別の組織グループを選択し、その別の組織グループに関して検索を実行す

ることもできます。検索バーはリストの上部に表示されます。

設定の検索

[構成] ページから検索を開始することで、設定を検索できます。[グループと設定] - [構成] の順に選択し、検索テキ

ストボックスにキーワードを入力します。

サブメニューを折りたたむ/展開する

Workspace ONE UEM の左側のパネルのサブメニューを折りたたむと、デバイス情報を表示するための画面領域

を増やせます。折りたたんだサブメニューは展開するか、再度開くことができます。

1 サブメニューを一時的に折りたたむには、ここに表示されている「小なり」矢印を選択します。

Console の基本

VMware, Inc. 8

2 折りたたんだサブメニューを展開するか再度開くには、画面の左下の、「関連情報」アイコンの横にある「大な

り」矢印を選択します。

ブランディングによってユーザーインターフェイスをカスタマイズ

する

Workspace ONE UEM により、広範なカスタマイズオプションを利用できます。ツールとリソースを、組織のブ

ランドカラー、ロゴを含む全体的なデザインに沿って完全にブランディングする手段を提供します。

このブランディング機能は、マルチテナント対応構成が可能です。貴社組織の部門間でブランドデザインが異なる場

合は、それぞれの組織グループレベルでブランディングを個別に行うことができます。詳細は、組織グループを参

照してください。

1 ブランディングしたい組織グループを選択し、[グループと設定] - [すべての設定] - [システム] - [ブランディン

グ] の順に進みます。

2 [ブランディング] タブでロゴと背景を構成します。

3 企業ロゴをアップロードするには、貴社のコンピュータ上に保存されているファイルをアップロードします。ア

ップロードする画像の推奨解像度は 800x300 です。

4 ログイン画面の背景画像をアップロードするには、貴社のコンピュータ上に保存されているファイルをアップロ

ードします。アップロードする画像の推奨解像度は 1024x768 です。

5 セルフサービスポータル (SSP) ログイン画面の背景画像をアップロードするには、コンピュータ上に保存され

ているファイルをアップロードします。アップロードする画像の推奨解像度は 1024x768 です。

6 [ブランディング] タブ画面の [色] セクションの値をカスタマイズします。

7 [カスタム CSS] タブ画面の設定を構成します。高度なブランディングを行うには、カスタマイズした CSS コードを入力します。

Console の基本

VMware, Inc. 9

8 [[保存]] を選択します。

カスタマーエクスペリエンス向上プログラムに参加または退出

VMware カスタマーエクスペリエンス向上プログラム (CEIP) では情報が収集され、VMware 製品およびサービ

スの向上、問題の解決、VMware 製品の展開および使用に関する最適な方法の提案など、お客様のために情報が利

用されます。このプログラムは、Workspace ONE UEM のオンプレミス展開でのみ使用できます。

[開始する前に：]Workspace ONE UEM は VMware のカスタマーエクスペリエンス向上プログラム（「CEIP」）

に参加しています。CEIP で収集するデータと VMware での利用目的については、https://www.vmware.com/jp/solutions/trustvmware/ceip.html の Trust & Assurance センターで詳細に規定されています。

Workspace ONE UEM から収集された分析などの情報の VMware での取り扱いについては、https://www.vmware.com/help/privacy.html の VMware プライバシーポリシーを参照してください。

[このタスクの概要：]Workspace ONE UEM のインストールまたはアップグレード時に CEIP プロンプトが表示

されます。選択する必要があります。次の手順を実行すると、UEM console からいつでも選択を変更できます。

1 [グループと設定] - [すべての設定] - [管理者] - [プロダクト向上プログラム] の順に選択します。

2 CEIP に参加する場合は、[VMware カスタマーエクスペリエンス向上プログラムに参加] の横にあるチェック

ボックスをオンにします。

a CEIP に参加しない場合は、このチェックボックスをオフにします。

3 [保存] ボタンを選択します

Console の基本

VMware, Inc. 10

http://www.vmware.com/trustvmware/ceip.html

http://www.vmware.com/trustvmware/ceip.html



コンソールにログインする 2Workspace ONE UEM で何かを実行するには、まず Console にログインする必要があります。

Workspace ONE UEM Console にログインする前に、[環境 URL] と [ログイン資格情報] が必要です。お客様

の展開タイプによりこれらの情報ソースは様々です。

n [SaaS 展開] – 貴社の [アカウントマネージャ] が、貴社の環境 URL とユーザー名/パスワードを提供します。

URL はカスタマイズできず、通常は [awmdm.com] の形式です。

n [オンプレミス] – オンプレミス展開の URL はカスタマイズ可能で、通常 [awmdm.<貴社会社名>.com] の形

式です。

貴社担当のアカウントマネージャが貴社環境の初期設定に必要な資格情報を提供します。追加アカウントを作成し

管理責任を委譲する管理者が、環境内の資格情報を作成し配布することもできます。

ブラウザが UEM console の [環境 URL] を正常に読み込むと、Workspace ONE UEM 管理者から提供された

[ユーザー名] と [パスワード] を入力するだけで、ログインすることができます。

VMware, Inc. 11

1 [ユーザー名] を入力します。

n Workspace ONE UEM Console により、ユーザー名とユーザーのタイプ（SAML または非 SAML）が

ブラウザのキャッシュに保存されます。

n SAML ユーザーの場合、管理者は SAML ログインにリダイレクトされます。

n 非 SAML ユーザーの場合、管理者はパスワードを入力する必要があります。

n [記憶] チェックボックスが有効になっている場合は、次回環境 URL にアクセスしたときに、[ユーザー名] テキストボックスに、最後にログインしたユーザーが事前入力されています。

2 [パスワード] を入力します。

n 初めてログインする場合、ログインパスワードの入力を求められます。入力して続行します。

n 以前にログインしていて、既定のブラウザでユーザー名とパスワードを記憶できるようにしている場合、[パスワード] テキストボックスに、ブラウザのキャッシュに保存されたパスワードが自動的に入力されます。

Console の基本

VMware, Inc. 12

3 [ログイン] ボタンを選択します。

n ログインすると、デフォルトのホーム画面（カスタマイズ可能）が開きます。ヘッダーメニューにアクセ

スしてホーム画面をカスタマイズする方法について参照してください。

パスワードの有効期限

基本管理者には、パスワードの有効期限が切れる 5 日前に E メールで通知され、前日に別の E メールで通知されま

す。オンプレミスの管理者は、グローバル組織グループにいるときに、[グループと設定] - [すべての設定] - [管理] - [コンソールセキュリティ] - [パスワード] の順に進んで、この既定の 5 日の期間を変更することができます。専用

SaaS 管理者がこの設定を変更するには、サポートに連絡する必要があります。

管理者用のカスタムパスワード有効期限通知を作成するには、[グループと設定] - [すべての設定] - [デバイスとユー

ザー] - [全般] - [メッセージテンプレート] の順に進んで、[カテゴリ] として [管理者] を選択し、[タイプ] として

[管理者パスワードの期限の通知] を選択します。

管理者コンソールパスワードとは別に管理されている加入ユーザーのパスワード設定については、[グループと設定] - [すべての設定] - [デバイスとユーザー] - [全般] - [パスワード] の順に進んで、システム設定ページを参照してくだ

さい。

セッションタイムアウトとログアウト

Workspace ONE UEM Console からログアウトできる基本的なシナリオは 2 つあります。

1 明示的なログアウト（ブラウザウィンドウを閉じることと、アイドル状態のログアウトを含む）

n ユーザー名とパスワードを記憶するように既定のブラウザを構成している場合、次回のログイン時に、ブラ

ウザにより、ユーザー名テキストボックスに、最後にログインしたユーザーが事前入力されています。

n ユーザー名とパスワードを忘れるブラウザを構成している場合、ユーザー名とユーザーのタイプ（SAML/非 SAML）がブラウザのキャッシュからワイプされます。

2 セッションの無効化（ロードバランサの問題と、管理者設定によるセッションタイムアウトを含む）

n 非 SAML ユーザーは、保存されたユーザー名を使用し、[ログイン] ボタンを選択して再度ログインします。

n SAML ユーザーは、クリックせずにコンソールに再度ログインできます。

ログインのロックアウト

システム管理者と AirWatch 管理者は、管理者が Console からロックアウトされるまでの [無効ログインの最大試

行回数] を構成できます。それには、[グループと設定] - [すべての設定] - [管理者] - [コンソールセキュリティ] - [パスワード] の順に進みます。

次の 2 つの場合に、UEM Console からロックアウトされます。1) 無効ログインの最大試行数よりも多くログイン

の試行を失敗した場合。2) パスワードをリセットする際のパスワード回復用の質問に 3 回誤って回答した場合。管

理者がコンソールからロックアウトされる既定の時間は 10 分です。

Console の基本

VMware, Inc. 13

ロックアウトされた場合は、ログイン画面のトラブルシューティングリンクを使用してパスワードをリセットする

か、または管理者に依頼して管理者リスト表示画面でアカウントのロックを解除してもらう必要があります。アカウ

ントがロックされている場合、再びロックが解除されると E メール通知を受信します。

アカウントロックアウトコンソールイベントを調査する

Workspace ONE UEM でベーシック管理者アカウントがロックアウトまたはロック解除されると、コンソールイベントが生成されます。いずれのイベントでも、ログレベル 5（警告）のイベントが生成されます。[アカウント設

定] で基本的なログイン履歴を直接確認するのに加えて、次の手順を実行することで、管理者アカウントのロックア

ウトまたはロック解除コンソールイベントを調査できます。

1 [モニタ] - [レポート & 分析] - [イベント] - [コンソールイベント]の順に進みます。

2 [コンソールイベント] リストの最上部にある [重要度] ドロップダウンフィルタで [警告] 以上を選択します。

3 [カテゴリ] ドロップダウンフィルタで [ログイン] を選択します。

4 [モジュール] ドロップダウンフィルタで [管理] を選択します。

5 必要に応じ、[日付範囲] などの追加のフィルタを適用します。

アカウント設定を管理

Workspace ONE UEM の管理者は、コンソール固有のアカウント設定を使用して、ユーザーの連絡先情報、通知

の設定、ログイン履歴、パスワードの回復などのセキュリティ設定を構成することを許可します。

アカウント設定を管理：ユーザー

ユーザーに確実に到達できるように、[[ユーザー]] タブに、E メール、最大 4 つの異なる電話番号、タイムゾーン、

およびロケールなどの個人情報を入力します。

Console の基本

VMware, Inc. 14

アカウント設定を管理：通知

[[アカウント設定]] ページの通知設定を使用して、APNs 失効アラートの有効/無効の切り替え、アラートの受け取

り方の選択、アラート送信先の E メールアドレスの変更を行うことができます。詳細は、通知設定を構成するを参

照してください。

アカウント設定を管理：ログイン

ログインの日付と時刻、ソース IP アドレス、ログインタイプ、ソースアプリケーション、ブラウザの型式とバージ

ョン、OS プラットフォーム、ログイン状態などの、ログイン履歴全体を確認します。

アカウント設定を管理：セキュリティ

ログインパスワードのリセット、パスワード回復の質問のリセット、および 4 桁のセキュリティ暗証番号のリセッ

トを行うことができます。

アカウント設定を管理：パスワード

UEM Console にログインすると、[パスワード]がアカウントのユーザー名とともに表示されます。任意の時点でこ

のパスワードを[リセット]できます。

アカウント設定を管理：パスワード回復用の質問

パスワードをリセットするには、[パスワード回復用の質問]を使用できます。UEM Console に初めてログインする

ときに、この質問を回答とともに定義する必要があります。新しいパスワード回復用の質問を選択するには、[[リセ

ット]] ボタンを選択します。この操作により、ユーザーは自動的にログアウトします。再びログインすると、[[セキ

ュリティ設定]] 画面が表示されます。この画面で、パスワード回復用の質問のリストから質問を選択し、回答する必

要があります。

パスワード回復用の質問を選択したことがなく、パスワード回復用の質問の [[リセット]] ボタンがない場合、管理者

は自分のアカウントを削除して再作成する必要があります。アカウントを再作成した後、初めてログインするときに、

パスワード回復用の質問と回答を定義する必要があります。

パスワード回復用の質問に 3 回以上誤って回答すると、ログインページからロックアウトされます。この場合、ロ

グインページでトラブルシューティングのリンクを使用してパスワードをリセットする必要があります。または、管

理者から支援を得て、管理者のリスト表示を使用してアカウントのロックを解除することができます。アカウントが

ロックされている場合、再びロックが解除されると E メール通知を受信します。

アカウント設定を管理：セキュリティ暗証番号

[セキュリティ暗証番号] を作成することで、UEM Console のセキュリティを確保できます。この暗証番号は、不

注意でデバイスをワイプしてしまったり、ユーザーや組織グループといった貴社環境の重要な構成部分を削除してし

まったりすることがないよう、セーフガードとしての機能を果たします。セキュリティ暗証番号には、セキュリティ

をより一層強化する役割もあります。これを設定することで、認証ポイントが追加され、承認外ユーザーによる操作

をブロックすることができます。

Console の基本

VMware, Inc. 15

UEM Console への初回ログイン時には、セキュリティ暗証番号を設定する必要があります。

セキュリティリスクを最小に抑えるためにも、セキュリティ暗証番号は定期的に[リセット]してください。

UEM Console の操作を制限する

Workspace ONE UEM Console のコンソールがロックされずに放置された場合のシナリオでは、破壊的な影響

を及ぼす可能性がある悪意のある操作に対して追加のセーフガードが提供されます。承認されていないユーザーは、

こうしたシナリオでこのような操作にアクセスできないようにします。

1 [グループと設定] - [すべての設定] - [システム] - [セキュリティ] - [制限された操作] の順に進みます。

2 [すべてにメッセージを送信する] 設定を構成します。この設定を有効にすると、システム管理者は貴社で展開す

るすべてのデバイスに、デバイスリスト表示からメッセージを送信することができます。特定のグループにメッ

セージを送信するためにも使用できます。

3 UEM Console の特定の操作に対して管理者の暗証番号の入力を必須にすることができます。次のアクション

を有効または無効にして、[パスワード保護処理] を構成します。

注：以下で * が付いている一部の操作には常に暗証番号の入力が必要で、無効に設定することはできません。

設定説明

[管理者アカウント削除] [アカウント] - [管理者] - [リスト表示] での管理者ユーザーアカウントを削除する試みを防止します。

*[VMware Enterprise Systems Connector 証明書を再生成]

[グループと設定] - [すべての設定] - [システム] - [エンタープライズ統合] - [VMware Enterprise Systems Connector] での VMware Enterprise Systems Connector 証明書を再生成する試みを防止します。

*[APNs 証明書変更] [グループと設定] - [すべての設定] - [デバイスとユーザー] - [Apple] - [MDM 用の APNs] での MDM 用の

APNs を無効にする試みを防止します。

[アプリケーションの削除/非アクティブ化/回収]

[アプリとブック] - [アプリケーション] - [リスト表示] でのアプリケーションの削除/非アクティブ化/回収の試

みを防止します。

[コンテンツの削除/非アク

ティブ化][コンテンツ] - [リスト表示] でのコンテンツファイルを削除/非アクティブ化する試みを防止します。

*[データ暗号化トグル] [グループと設定] - [すべての設定] - [システム] - [セキュリティ] - [データセキュリティ] のユーザー情報暗号

化の設定を保護します。

[デバイス削除] [デバイス] - [リスト表示] でのデバイス削除の試みを防止します。この設定を無効にしても、一括操作には管理者

のセキュリティ暗証番号が求められます。

*[デバイスワイプ] デバイスリスト表示あるいはデバイス詳細画面での、デバイスワイプ実行のすべて試みを防止します。

[企業情報リセット] Windows 高耐久性デバイス、Android 高耐久性デバイス、あるいは QNX デバイスの [デバイス詳細 ]画面

で、企業情報リセットを実行しないように制限できます。

[企業情報ワイプ] デバイスの [デバイス詳細] 画面から行われる、企業情報ワイプのすべての試みを防止します。

[ユーザーグループメンバ

ーシップに基づく企業情報

ワイプ]

ユーザーグループから削除されたデバイスに対する企業情報ワイプの試みをすべて防止します。この設定は、[グループと設定] - [すべての設定] - [デバイスとユーザー] - [全般] - [加入] の順に進み、[制限事項] タブで構成で

きるオプション設定です。このタブで [加入を構成済みのグループのみに制限] した場合、デバイスがグループか

ら削除された際の、デバイス企業情報ワイプに関する追加オプションが利用できるようになります。

*[組織グループの削除] [グループと設定] - [グループ] - [組織グループ] - [組織グループ詳細] での現在の組織グループを削除する試み

をすべて防止します。

Console の基本

VMware, Inc. 16

設定説明

[プロファイルの削除/非ア

クティブ化][デバイス] - [プロファイルとリソース] - [プロファイル] でのプロファイル削除または非アクティブ化のすべて

の試みを防止します。

[プロビジョニングプロダ

クトの削除][デバイス] - [プロビジョニング] - [プロダクトリスト表示] でのプロビジョニングプロダクトを削除しようとす

るすべての試みを防止します。

[証明書を取り消す] [デバイス] - [証明書] - [リスト表示] での証明書を取り消そうとするすべての試みを防止します。

*[セキュアチャンネル証

明書クリア][グループと設定] - [すべての設定] - [システム] - [高度な設定] - [セキュアチャンネル証明書] で行われる既存

のセキュアチャンネル証明書を削除しようとするすべての試みを防止します。

[ユーザーアカウント削除] [アカウント] - [ユーザー] - [リスト表示] でのユーザーアカウントを削除しようとするすべての試みを防止しま

す。

[プライバシー設定の変更] [グループと設定] - [すべての設定] - [デバイスとユーザー] - [全般] - [プライバシー] でのプライバシー設定を

変更する試みを防止します。

[テレコムプラン削除] [テレコム] - [プランリスト] でのテレコムプランを削除する試みを防止します。

[ジョブログレベルオー

バーライド][グループと設定] - [管理者] - [診断] - [ログ収集] での現在選択中のジョブログレベルを上書きする試みを防止

します。ジョブログレベルの上書きは、1 台のデバイスや複数のデバイスのグループに問題が発生したときに有

益な機能です。問題のあるデバイスの設定を、たとえば｢詳細｣ログレベルなどに強制的に引き上げ、コンソール

のアクティビティを最大レベルでログ収集することができるので、トラブルシューティングの際に役立ちます。

*[アプリスキャンベンダ

ーリセット/トグル]アプリスキャン統合設定のリセット (ひいてはそれに伴うワイプ) を防止します。この操作は、[グループと設定] - [すべての設定] - [アプリ] - [アプリスキャン] と進んだ画面で行います。

[シャットダウン] [デバイス] - [リスト表示] - [デバイス詳細] でのデバイスをシャットダウンする試みを防止します。

[暗証番号の試行回数上限] 暗証番号入力を試行する際の失敗の上限回数を指定します。この回数を超えるとコンソールがロックダウンされ

ます。1 ～ 5 の間で設定する必要があります。

パスワード保護操作を選択する

コンソールの制限された操作は、破壊的な影響を Workspace ONE UEM Console に及ぼす可能性がある操作を

悪意あるユーザーからブロックするための保護を提供します。

1 [グループと設定] - [すべての設定] - [システム] - [セキュリティ] - [制限された操作] の順に進み、制限された

操作を構成します。

2 管理者による PIN の入力を必須にすることで保護する操作ごとに、必要に応じて [有効] または [無効] に対して

[パスワード保護処理] ボタンを選択します。

この要件により、保護を強化したい操作をきめ細かく制御することができます。

注：一部の操作には常に暗証番号の入力が必要で、無効に設定することはできません。下記では * マークで示

しています。

Console の基本

VMware, Inc. 17

3 試行失敗回数の上限を設定し、それ以後はセッションを強制終了するよう設定することができます。試行回数が

上限を超えた場合は、Workspace ONE UEM Console に再度ログインし、新しいセキュリティ暗証番号を

設定する必要があります。

設定説明

[管理者アカウント削除] [アカウント] - [管理者] - [リスト表示] での管理者ユーザーアカウントを削除する試みを防止します。

[VMware Enterprise Systems Connector 証明書を再生成]

[グループと設定] - [すべての設定] - [システム] - [エンタープライズ統合] - [VMware Enterprise Systems Connector] での VMware Enterprise Systems Connector 証明書を再生成する試

みを防止します。

[*APNs 証明書の変更] [グループと設定] - [すべての設定] - [デバイスとユーザー] - [Apple] - [MDM 用の APNs] での

MDM 用の APNs を無効にする試みを防止します。

[アプリケーションの削除/非アクテ

ィブ化/回収][アプリとブック] - [アプリケーション] - [リスト表示] でのアプリケーションの削除/非アクティブ

化/回収の試みを防止します。

[コンテンツの削除/非アクティブ化] [コンテンツ] - [リスト表示] でのコンテンツファイルを削除/非アクティブ化する試みを防止します。

[*データ暗号化トグル] [グループと設定] - [すべての設定] - [システム] - [セキュリティ] - [データセキュリティ] のユーザ

ー情報暗号化の設定を保護します。

[デバイス削除] [デバイス] - [リスト表示] でのデバイス削除の試みを防止します。この設定を無効にしても、一括操作

には管理者のセキュリティ暗証番号が求められます。

[*デバイスワイプ] デバイスリスト表示あるいはデバイス詳細画面での、デバイスワイプ実行のすべて試みを防止します。

[企業情報リセット] Windows 高耐久性デバイス、Android 高耐久性デバイス、あるいは QNX デバイスの [デバイス詳

細 ]画面で、企業情報リセットを実行しないように制限できます。

[>企業情報ワイプ] デバイスの [デバイス詳細] 画面から行われる、企業情報ワイプのすべての試みを防止します。

[ユーザーグループメンバーシップ

に基づく企業情報ワイプ]ユーザーグループから削除されたデバイスに対する企業情報ワイプの試みをすべて防止します。この

設定は、[グループと設定] - [すべての設定] - [デバイスとユーザー] - [全般] - [加入] の順に進み、[制限事項] タブで構成できるオプション設定です。このタブで [加入を構成済みのグループのみに制限] した場合、デバイスがグループから削除された際の、デバイス企業情報ワイプに関する追加オプション

が利用できるようになります。

[*組織グループの削除] [グループと設定] - [グループ] - [組織グループ] - [組織グループ詳細] での現在の組織グループを削

除する試みをすべて防止します。

[プロファイルの削除/非アクティブ

化][デバイス] - [プロファイルとリソース] - [プロファイル] でのプロファイル削除または非アクティブ

化のすべての試みを防止します。

[プロビジョニングプロダクトの削

除][デバイス] - [プロビジョニング] - [プロダクトリスト表示] でのプロビジョニングプロダクトを削除

しようとするすべての試みを防止します。

[証明書を取り消す] [デバイス] - [証明書] - [リスト表示] での証明書を取り消そうとするすべての試みを防止します。

[*セキュアチャンネル証明書クリア] [グループと設定] - [すべての設定] - [システム] - [高度な設定] - [セキュアチャンネル証明書] で行

われる既存のセキュアチャンネル証明書を削除しようとするすべての試みを防止します。

[ユーザーアカウント削除] [アカウント] - [ユーザー] - [リスト表示] でのユーザーアカウントを削除しようとするすべての試み

を防止します。

[プライバシー設定の変更] [グループと設定] - [すべての設定] - [デバイスとユーザー] - [全般] - [プライバシー] でのプライバシ

ー設定を変更する試みを防止します。

[テレコムプラン削除] [テレコム] - [プランリスト] でのテレコムプランを削除する試みを防止します。

Console の基本

VMware, Inc. 18

設定説明

[ジョブログレベルオーバーライ

ド][グループと設定] - [管理者] - [診断] - [ログ収集] での現在選択中のジョブログレベルを上書きする

試みを防止します。ジョブログレベルの上書きは、1 台のデバイスや複数のデバイスのグループに問題

が発生したときに有益な機能です。問題のあるデバイスの設定を、たとえば｢詳細｣ログレベルなどに

強制的に引き上げ、コンソールのアクティビティを最大レベルでログ収集することができるので、トラ

ブルシューティングの際に役立ちます。

[*アプリスキャンベンダーリセッ

ト/トグル]アプリスキャン統合設定のリセット (ひいてはそれに伴うワイプ) を防止します。この操作は、[グルー

プと設定] - [すべての設定] - [アプリ] - [アプリスキャン] と進んだ画面で行います。

[シャットダウン] [デバイス] - [リスト表示] - [デバイス詳細] でのデバイスをシャットダウンする試みを防止します。

[暗証番号の試行回数上限] 暗証番号入力を試行する際の失敗の上限回数を指定します。この回数を超えるとコンソールがロック

ダウンされます。1 ～ 5 の間で設定する必要があります。

操作を行う際にメモの入力を義務付ける

[メモの入力を要求する] チェックボックスを使用して、管理者にメモを入力させ、特定の Workspace ONE UEM Console 操作を実行する理由の説明を義務付けることができます。

1 [グループと設定] - [すべての設定] - [システム] - [セキュリティ] - [制限された操作] の順に進みます。

2 これらのアクションのいずれかを実行する前に管理者がメモを入力する必要がある場合は、[[メモ追加]] リソー

ス（権限）を持つ役割を変更することを確認します。

詳細は、管理者ロールを作成するを参照してください。

設定説明

[デバイスをロック] [デバイスリスト表示] や [デバイス詳細] から、デバイスのロックを行う際に、メモの入力を必須にします。

[SSO ロック] [デバイスリスト表示] や [デバイス詳細] から SSO セッションのロックを行う際に、メモの入力を必須にしま

す。

[デバイスワイプ] [デバイスリスト表示] や [デバイス詳細] からデバイスワイプを実行する際に、メモの入力を必須にします。

[企業情報リセット] Windows 高耐久性デバイスあるいは Android 高耐久性デバイスの [デバイス詳細] 画面から、企業情報のリセ

ットを実行する際に、メモの入力を必須にします。

[企業情報ワイプ] [デバイス詳細] から企業情報ワイプを実行する際に、メモの入力を必須にします。

[ジョブログレベルオー

バーライド][グループと設定] - [管理者] - [診断] - [ログ収集] から既定のジョブログレベルの上書きを行う前に、メモの入

力を必須にします。

[デバイスの再起動] [デバイス] - [リスト表示] - [デバイス詳細] から再起動を試行する前に、メモの入力を必須にします。

[シャットダウン] [デバイス] - [リスト表示] - [デバイス詳細] からシャットダウンを試行する前に、メモの入力を必須にします。

Console の基本

VMware, Inc. 19

｢はじめに｣ウィザードを使用する 3「はじめに」ウィザードは、Workspace ONE UEM powered by AirWatch の設定手順に従って操作するため

のチェックリストとして機能します。貴社の展開に必要なモジュールのみが含まれていますので、貴社の構成に沿っ

て用意されたチュートリアルとして使用することができます。

｢はじめに｣ウィザードを使用する

｢はじめに｣ウィザードのメインメニューには、管理者の方による構成をやりやすくする機能が含まれています。構

成プロセス中に構成の進捗をトラッキングするだけではなく、作業を開始/中断/再開したり、以前の応答を変更する

ために前に戻ったりすることもできます。

n セクションの最初のステップを開始するには [ウィザードを開始] をクリックします。質問に答え、UEM コンソ

ール内の各機能の設定を構成するためのページにアクセスします。各セクションを完了時に、右上隅に表示され

る割合カウンターでセクション完了までの進捗状況を確認できます。

n セクションの完了前に中止した場合は、[続行] をクリックすると中断したステップから再開できます。

n [セクションをスキップ] を選択して任意のセクションをスキップすることもできます。この選択をすると、｢続

行｣ボタンが一時的に無効になり、[セクションを再開] リンクが挿入されます。このリンクを選択すると、「続

行」ボタンが再度有効になります。

「はじめに」のページは、Workspace ONE、デバイス、コンテンツ、およびアプリケーションの 4 つのサブモジ

ュールに分かれています。セクションごとに行う操作は異なります。すべてのセクションに重複するステップがある

場合、その内容は自動的に記録され、同じステップを繰り返し行う必要はありません。

n [Workspace ONE – ]従業員または企業が所有するデバイスから行うスムーズなアクセス E メール、カレンダ

ー、連絡先、ドキュメントなどのエンタープライズ生産性向上アプリへのセキュアな接続シングルサインオン

(SSO) による、モバイル、クラウド、Windows アプリケーションへの瞬時アクセスエンタープライズと従業

員を侵害状態デバイスから保護する強力なデータセキュリティ

Workspace ONE の詳細は、VMware Workspace ONE のドキュメントを参照してください。

n [デバイス] – MDM に加入されたデバイスにロック、通知、または企業情報ワイプなどのアクションを実行 E メ

ール、制限、設定などを構成するためにプロファイルを展開デバイス群にセキュリティポリシーが確実に適用さ

れるために、順守規則を構成[ダッシュボード] および [モニタ] 画面から貴社のデバイスをどのように管理する

かをご覧いただきます。

n [コンテンツ] – コンテンツを展開し、Content Locker アプリケーションで外出先からもコンテンツにアクセ

スコンテンツをコンテンツダッシュボード、レポート、ログから閲覧＆管理個人コンテンツを使用してコンテン

ツを共有・共同作業既存のリポジトリと統合、コンテンツをモバイルデバイスに展開

VMware, Inc. 20

https://docs.vmware.com/jp/VMware-Workspace-ONE/index.html

n [アプリケーション] – 社内で開発されたアプリ、無料のパブリックアプリまたは購入済みのアプリを展開ユーザ

ーがアプリケーションを検索したりダウンロードしたりできるカスタマイズした App Catalog を展開アプリ

ケーションのホワイトリストおよびブラックリストを作成して、順守プロファイルまたはアプリ制御プロファイ

ルと統合アプリスキャンなどの高度なアプリ管理オプションを構成

Workspace ONE、デバイス、コンテンツ、アプリケーションウィ

ザードを進める

4 つの各セクションで、貴社のニーズに合わせて構成または無視する機能の一覧を表示します。構成されていない機

能には空の [未完了] チェックボックスが表示され、構成されている機能には [完了] の緑色のチェックが表示されま

す。

n [構成] ボタンを選択して、関心のある機能の設定定義を開始します。

n [編集] ボタンを選択して、構成した機能の設定を確認または変更します。

n 進捗状況バーに、各機能の設定完了状況がパーセンテージで表示されます。

n 多くの機能には、[[構成]] または [[編集]] ボタンの横に [[動画]] ボタンがあります。この動画では、操作中の機

能について確認できます。また、これらの機能が貴社にもたらすメリットについても把握できます。

n セクションの一部の機能は、進捗状況バーのパーセンテージに影響を与えることなくスキップできます。[このス

テップをスキップ ]ボタンを選択 (使用可能な場合) して、リストから該当する機能を削除します。該当する機能

を再度表示するには、[再アクティブ化] ボタンを選択します。

一部の機能には、前提条件があります。たとえば、モバイルシングルサインオンでは、事前に Enterprise Connector、Active Directory、Workspace ONE Access の設定が必要です。使用可能な場合は、これらの

必須機能の設定を開始するボタンが表示されます。

｢はじめに｣ウィザードを手動で有効にする

Workspace ONE UEM を新規導入する場合は、左側のパネルの [[モニタ]] アイコン上部にあるメインメニュー

から [はじめに] 画面にアクセスします。また、｢はじめに｣ウィザードをいつでも手動で有効にすることができます。

｢はじめに｣ウィザードを手動で有効にし、一連の手順を再開します。

1 最上位のグループ以外の任意の組織グループを選択します。

2 [グループと設定] - [グループ] - [組織グループ] - [組織グループ詳細] の順に選択します。カスタマーレベル

の組織グループに対して操作を行っていることを確認し、変更を [保存] します。

3 [グループと設定] - [すべての設定] - [システム] - [はじめに] の順に進みます。

4 使用可能にする [はじめに] セクションごとに [有効] を選択します。

n ｢はじめに｣ (Workspace ONE) の進行状況

n はじめに - デバイスの状態

n はじめに - コンテンツの状態

n はじめに - アプリケーションの状態

5 [保存] をクリックします。

Console の基本

VMware, Inc. 21

詳細は、組織グループを参照してください。

Console の基本

VMware, Inc. 22

メインメニュー 4[メインメニュー] から、アカウントに割り当てられた役割とモバイルデバイス管理 (MDM) 展開に応じて

Workspace ONE UEM powered by AirWatch 内で利用できるすべての機能に移動することができます。

[はじめに] 基本展開のすべての構成要素が正常に設定されたことを確認する役割を果たします。「はじめに」は、Workspace ONE UEM Console の展開内で関心のあるモジュールのみを反映するように構成されています。これは、貴社で使

用される実際の構成を、順を追って説明するもので、チュートリアルとして使用することもできます。

[Freestyle] 特定の目的を達成するために設計された詳細なワークフローを作成します。定義した条件に基づいて、Freestyle Orchestrator を使用して、リソース（アプリケーション、プロファイル、スクリプトなど）をインストールします。

[モニタ] 管理者としての判断を下すにあたり必要な MDM 情報を閲覧し管理します。貴社のデバイス全体の概要を素早く把握

します。ブラックリストに設定されたアプリのうち、順守ポリシーの違反件数が最も多いアプリはどれなのかといった

情報を確認することもできます。管理者パネルダッシュボードでモジュールライセンスを追跡し、現在非順守状態に

あるすべてのデバイスをモニタリングします。iOS デバイスの場合、業種別テンプレートを選択し、業種特有のアプリ

とポリシーを使用してチュートリアルプロセスを効率化することもできます。

[デバイス] 貴社のモバイル展開の主要な側面（遵守ポリシーとステータス、所有形態の内訳、最終検出日、プラットフォームタイプ、加入タイプ等）の詳細を閲覧します。表示形式は、全ダッシュボードの表示、リスト表示、詳細画面等、好みに

応じて簡単に変更することができます。ここから、現在のすべてのプロファイル、加入状態、通知およびワイプ保護設

定、順守ポリシー、証明書、プロダクトプロビジョニング、プリンタ管理などのタブにもアクセスできます。

[リソース] アプリケとブック、センサー、デバイスプロファイル、デバイス更新、スクリプト、およびインストール順序など、

デバイスにインストールするリソース要素にアクセスして管理します。アプリケーションの設定、タイムスケジュー

ル、ジオフェンスを使用して、アプリケーションの分析とログを表示することもできます。

[アカウント] 貴社の MDM 展開に含まれるユーザーと管理者を調べ管理します。ユーザーグループ/役割/バッチの状態/ユーザー

設定にアクセスし、管理します。あるいは、管理者タブから、管理者グループ/役割/システムアクティビティ/管理者

設定にアクセスし、管理します。

[コンテンツ] ストレージ履歴のトレンド、ユーザー/コンテンツの状態、コンテンツ利用状況とユーザー内訳の詳細を閲覧します。

ユーザーとデバイスが利用できるコンテンツを管理/アップロードします。また、バッチインポート状態、コンテンツ

カテゴリ、コンテンツリポジトリ、ユーザーストレージ、VMware Content Locker ホーム画面構成とその他コ

ンテンツ固有の設定すべてにアクセスします。

[E メール] 貴社展開に関連する E メール情報にアクセスします。ここには、E メール管理状態、管理デバイス、E メールポリシ

ー違反、展開タイプ、最終検出日時等の情報が含まれています。

[テレコム] テレコムを有効にしたデバイスからは、使用履歴、テレコムプラン使用量、ローミングデータ等にアクセスできます。

通話、SMS、コンテンツ設定などのテレコム使用とローミング追跡を閲覧し管理します。

[グループと設定] 組織グループ、スマートグループ、アプリグループ、ユーザーグループ、管理者グループの構造/タイプ/状態を管理

します。[構成] にアクセスします。これは、必要な設定ページに直接つながるリンクの分類および選択されたリストで

す。

VMware, Inc. 23

APNs 証明書 5iOS デバイスを管理するには、まず、Apple プッシュ通知サービス (APNs) 証明書を取得する必要があります。

APNs 証明書は、Workspace ONE UEM が Apple デバイスと安全に通信し、UEM Console に情報をレポート

できるようにします。

Apple Developer Enterprise Program では、APNs 証明書の有効期間は 1 年間です。その後も継続使用する場

合は、更新手続きを行う必要があります。有効期限が近づくと、UEM コンソールからリマインダが送信されます。

Apple Developer ポータルで証明書を更新すると、現在の証明書は失効します。これにより、新しい証明書をアッ

プロードするまでデバイスを管理できなくなります。証明書が更新されたらすぐにアップロードできるように計画し

てください。また、本番環境とテスト環境を別々に構築している場合、環境ごとに別々の証明書を使用することを検

討してください。

APNs 証明書の有効期限

貴社の MDM 用の APNs 証明書の有効期限が迫っている際には、コンソールのヘッダーバーの通知ボタンでお知ら

せします。このように通知が届くことによって、ユーザーは適切に対処することができます。

詳細については、「9 章 Console 通知」を参照してください。

新しい APNs 証明書の生成

Workspace ONE UEM で iOS デバイスを管理できるようにするには、まず APNs 証明書を生成して、iOS デバ

イスと Workspace ONE UEM Console 間の安全な通信を有効にして維持する必要があります。

3 章｢はじめに｣ウィザードを使用するの手順を実行するか、次の手順に従って新しい APNs 証明書を手動で生成

できます。

1 [グループと設定] - [すべての設定] - [デバイスとユーザー] - [Apple] - [MDM 用の APNs] の順に進みます。

2 [新しい証明書を生成] ボタンを選択します。手順 1 の [署名を要求] に移動します。

VMware, Inc. 24

3 リンク「MDM_APNsRequest.plist」を選択して、PLIST ファイルを保存する場所を選択します。このファイ

ルは、次の手順で Apple にアップロードする必要があります。

4 [説明] リンクには、Apple Push Certificates Portal から証明書の要求をアップロードする方法が説明されて

います。この画面には [Apple のサイトを開く] ボタンがあり、クリックすると、Apple Push Certificates Portal をブラウザの新しいタブで開きます。

5 以下の 2 つのアイテムが必要になります。

n Workspace ONE UEM 証明書要求。これはデバイスに保存した PLIST ファイルです。

n 会社の MDM 専用にする必要がある会社の Apple ID。提供されたリンク（ここをクリックします）を選択

して、Apple ID の作成を続行します。これにより、ブラウザで新しいタブが開きます。

6 [[次へ]] をクリックして次の画面に進みます。[Apple ID] を入力し、[Apple 社発行の Workspace ONE UEM MDM 証明書]（PEM ファイル）をアップロードします。


[結果：]APNs 証明書が生成されました。

[次に行うこと：]既存のハイパーテキスト転送プロトコルのメジャーリビジョンである HTTP/2 プロトコルを使用

した APNs 証明書の接続を確認します。セクション「[HTTP/2 経由の APNs 接続の確認]」を参照してください。

既存 APNs 証明書を更新する

貴社の iOS デバイスと Workspace ONE UEM の間の通信をセキュアに保つには、APNs 証明書を定期的に更新

する必要があります。

3 章｢はじめに｣ウィザードを使用するの手順を実行するか、次の手順に従って期限切れの APNs 証明書を手動で

更新できます。


2 [更新] ボタンを選択し、画面の指示に従います。

3 リンク「MDM_APNsRequest.plist」を選択して、PLIST ファイルを保存する場所を選択します。このファイ

ルは、次の手順で Apple にアップロードする必要があります。

4 [説明] リンクには、Apple Push Certificates Portal から証明書の要求をアップロードする方法が説明されて

います。この画面には [Apple のサイトを開く] ボタンがあり、クリックすると、Apple Push Certificates Portal をブラウザの新しいタブで開きます。

5 以下の 2 つのアイテムが必要になります。

n Workspace ONE UEM 証明書要求。これはデバイスに保存した PLIST ファイルです。

n 証明書を作成する際に使用した Apple ID。これは、手順 1 の [署名要求] の項目 2 に表示されます。前述

のセクション「[新しい APNs 証明書の生成]」を参照してください。

6 [[次へ]] をクリックして次の画面に進みます。[Apple ID] を入力し、[Apple 社発行の Workspace ONE UEM MDM 証明書]（PEM ファイル）をアップロードします。


Console の基本

VMware, Inc. 25

[結果：]既存の APNs 証明書が更新されました。

既存のハイパーテキスト転送プロトコルのメジャーリビジョンである HTTP/2 プロトコルを使用した APN 証明

書の接続を確認します。次のセクション「[HTTP/2 経由の APNs 接続の確認]」を参照してください。

HTTP/2 経由の APNs 接続の確認

Workspace ONE UEM と Apple HTTP/2 API エンドポイントの間の接続を確認できます。この確認により、新

しい証明書の生成後、または証明書の更新に従った後に、HTTP/2 接続経由で APNs 機能を確実に使用できるよう

になります。

この接続テストは、デフォルトでは有効にされていない HTTP/2 経由の APNs のテストのみを目的としています。

このテストからの接続に失敗しても、レガシー接続経由の APNs 機能に影響はありません。


2 [接続のテスト] ボタンを選択します。Workspace ONE UEM Console は、新しい HTTP/2 プロトコルを使

用した接続が機能するかどうかを判断するための内部テストを実施します。

[結果：]このテストは HTTP/2 プロトコルを中心に行われるため、ここでのテストの失敗は現在の APNs 通信には

影響しません。HTTP/2 接続テストが失敗した場合は、実行する手順は、失敗の原因によって異なります。

1 [期限切れの証明書] – テストに使用している証明書の有効期限が切れています。このページの「[既存 APNs 証明書を更新する]」の手順に従って、更新を要求してください。

2 [無効な証明書です] – テストに使用している証明書が、有効期限は切れていないものの、別の理由のために無効

です。証明書の更新を要求するか、数分待ってから再度接続をテストできます。

3 [不明なエラー] – 一般的に、インターネットアクセスが一時的に失われているときに発生します。数分待ってか

ら、再度接続をテストします。

4 [APNs クライアントが非アクティブ化されました] – まれですが、この原因は、Apple が内部エラーを返した

か、APNs サービスが使用できないことを意味します。数分待ってから、再度接続をテストします。

Console の基本

VMware, Inc. 26

割り当てグループ 6「割り当てグループ」とは、Workspace ONE UEM powered by AirWatch で管理グループ構造の分類として

使用される包括的な用語です。組織グループ、スマートグループ、およびユーザーグループのそれぞれが、一連の

機能を持っており、互いに区別されます。

それらのグループに共通している機能は、コンテンツをユーザーデバイスに手早く割り当てる際に使用することがで

きるという点です。割り当てグループを使用することで、管理者は、これら 3 つのグループ構造を 1 か所で管理でき

るようになります。

[グループと設定] - [グループ] - [割り当てグループ] の順に進みます。

リスト表示を使用して、複数の組織グループ、スマートグループ、およびユーザーグループを、1 つ以上のプロファ

イル、パブリックアプリケーション、およびポリシーに割り当てることができます。

割り当てグループのリスト表示

割り当てグループリスト表示には、コンテンツをデバイスに割り当てる機能をもつ、組織グループ、スマートグル

ープ、ユーザーグループという 3 つのリストが含まれています。このリストから、貴社に関係のあるグループだけ

を抽出することができます。

VMware, Inc. 27

[グループと設定] - [グループ] - [割り当てグループ] の順に進んで、割り当てグループのリスト表示を表示します。

表示される割り当てグループは、管理者が現在属している OG によって管理されているものだけです。

割り当てグループリスト表示：列で並べ替え

カラムのヘッダをクリックして、カラムごとにグループリストを並べ替えることができます。

割り当てグループリスト表示：グループのフィルタリング

[[グループタイプ]]（スマートグループ、組織グループ、およびユーザーグループ）を基準にしてグループにフィ

ルタを適用することができます。また、[割り当て] の値 (｢割り当て｣、｢除外｣、｢すべて｣、｢なし｣) を基準にしてグ

ループにフィルタを適用することもできます。

割り当てグループリスト表示：リンクの選択

割り当てグループリスト画面の以下の 4 つのカラムは重要な機能をもっています。

n [グループ] カラムには、各 [スマートグループ] へのリンクが表示されています。このリンクを選択して、スマ

ートグループを編集することができます。

n [割り当て] カラムで 0 以外の値を選択した場合、｢割り当てを表示｣画面が表示されます。割り当てられている

組織グループとユーザーグループも表示されます。この画面から、プロファイル、パブリックアプリケーショ

ンと順守ポリシーへの割り当てを閲覧して確認することができます。詳細は、「割り当てを表示する」を参照して

ください。

n [除外] カラムで 0 以外の値を選択した場合、｢割り当てを表示｣画面が表示されます。除外された組織グループ

とユーザーグループも表示されます。｢割り当てを表示｣画面で、プロファイル、パブリックアプリケーション、

および順守ポリシーに対する除外情報を閲覧および確認することができます。

n [デバイス] カラムの数値を選択した場合、｢デバイスリスト表示｣画面が表示されます。｢デバイスリスト表示｣

画面には、選択された組織グループ、スマートグループ、またはユーザーグループに属するすべてのデバイス

が一覧表示されます。

1 つ以上の割り当てグループを割り当てる

複数のグループをデバイスプロファイル、パブリックアプリケーション、および順守ポリシーに割り当てることが

できます。組織グループ、スマートグループ、ユーザーグループといった異なるユーザータイプから成る複数のグ

ループを一度に割り当てることもできます。

パブリックアプリケーションを割り当てるには、さまざまなユーザーのグループにさまざまなアプリのポリシーを構

成することができます。詳細については、docs.vmware.com にある「[VMware Workspace ONE UEM Mobile Application Management ガイド]」で、「[「柔軟な展開」機能を利用してアプリを割り当てる]」を参照

してください。

1 [グループと設定] - [グループ] - [割り当てグループ] の順に進みます。

2 1 つ以上のグループをリストから選択し、カラムヘッダの上に表示される [割り当て] を選択します。

Console の基本

VMware, Inc. 28

3 [割り当て] 画面には、選択した [組織グループ]、[スマートグループ]、[ユーザーグループ] が表示されます。

4 それらのグループを割り当てたい [プロファイル]、[パブリックアプリケーション]、[順守ポリシー] を検索しま

す。10 件のプロファイル、10 個のアプリケーション、および単一の順守ポリシーを選択することができます。

1 つのセッションで複数のものを選択できますが、タイプは 1 つに限られます。たとえば、1 つのコマンドで複数

のグループを最大 10 件のプロファイルに割り当てることができます。ただし、1 つのコマンドで複数のグルー

プを 10 件のプロファイルと 10 個のアプリケーション、[および]単一の順守ポリシーに割り当てることはできま

せん。複数のタイプに複数の割り当てを行いたい場合は、タイプ (プロファイル、アプリケーション、およびポ

リシー) ごとに別々に割り当てを行う必要があります。

5 [次へ] をクリックすると [デバイス割り当て表示] 画面が開きます。グループ割り当てを確認します。

6 [[保存して公開]] を選択し、割り当てを確定します。

この章には、次のトピックが含まれています。

n 組織グループ

n スマートグループ

n ユーザーグループ

n 管理者グループ

n 割り当てを表示する

組織グループ

組織グループは、木に例えるとその枝、デバイスユーザーは葉に相当します。Workspace ONE UEM powered by AirWatch はそれぞれの葉を識別して、木における葉の立場を、組織グループ (OG) を使用して構築します。ほ

とんどのお客様は、企業の階層（幹部、管理、運用、営業など）に基づいて OG の構成を構築します。

Workspace ONE UEM 機能とコンテンツに基づいて組織構造を確立することもできます。

Console の基本

VMware, Inc. 29

組織グループは、[グループと設定] - [グループ] - [組織グループ] - [リスト表示] の順に進むか、あるいは組織グル

ープドロップダウンメニューから閲覧することができます。

n 組織内のエンティティのグループ（管理、月給、時給、営業、小売り、人事、経営など）を作成します。

n 親子レベルを使用して階層をカスタマイズします（たとえば、「月給」と「時給」は「管理」の子になります）。

n 複数の内部インフラをその階層レベルで統合

n マルチテナント構造により役割に基づいてアクセス/管理権限を委譲

注： [組織グループのリスト表示] では、「アクティブデバイス」は、過去 8 時間に Workspace ONE UEM Console にレポートしたデバイスとして限定的に定義されています。

組織グループの特長

組織グループを使用することで、機能的/地理的/組織的エンティティのすべてに対応する、以下のようなマルチテナ

ント対応のソリューションが可能になります。

n [高拡張性] – 急成長する企業を完全にサポート

n [マルチテナント性] – 独立環境として機能するグループを作成

n [継承] – メイングループの構成をサブグループに継承することでセットアッププロセスを効率化

Console の基本

VMware, Inc. 30

組織グループのドロップダウンメニューを例に説明すると、任意のプロファイル、機能、アプリケーション、その他

の MDM 設定を｢World-Wide Enterprises 社｣レベルで設定できます。

設定は、[AsiaPacific] や [EMEA] などのサブ組織グループからその下の [AsiaPacific] - [Manufacturing]、さ

らには [AsiaPacific] - [Operations] - [Corporate] へと継承されていきます。

[AsiaPacific] や [EMEA] といった兄弟組織グループ間での設定は、別々に行うことで組織グループのマルチテナン

ト機能を活用できるようになります。ただし、これら 2 つの兄弟組織グループは、メイン組織グループである

[World Wide Enterprises ]の設定を継承します。

あるいは、サブ組織グループレベルで設定を上書きし、変更したい設定のみを変更してそれ以外は継承することも可

能です。これらの設定はすべてのレベルに継承することも、任意のレベルで変更することも可能です。

Console の基本

VMware, Inc. 31

組織グループをセットアップする際の検討事項

Workspace ONE UEM Console で貴社の組織グループ階層構造をセットアップする前に、まずグループ構造を

決めてください。そうすることで、設定、アプリケーションとリソースを最大限に活用することができます。

n [代理管理者] – 下位の管理者にサブ組織グループのみの制限された可視性を与え、管理権限を委任します。

n [企業管理者] は、この環境内のすべての情報を閲覧することができる。

n [LA マネージャ] は LA 組織グループに対するアクセス権限を持ち、この組織グループに属するデバイスのみを管

理することができる。

n [NY マネージャ] は NY 組織グループに対するアクセス権限を持ち、この組織グループに属するデバイスのみを

管理することができる。

n [システム設定] – 設定は組織グループの異なるレベルで適用でき、継承することができます。どのレベルでも上

書きを行うことができます。設定にはデバイス加入オプション、認証方法、プライバシー設定とブランディング

が含まれます。

n [企業全体] で企業の Active Directory サーバへの加入設定を確立する。

n [ドライバデバイス] は、上位グループの認証設定を上書きし、トークンによる加入を許可する。

n [倉庫デバイス] は、メイングループの Active Directory 設定を継承する。

n [デバイスユースケース] – プロファイルは 1 つまたは複数の組織グループに割り当てることができます。該当

グループに属するデバイスはそのプロファイルを受け取ります。詳細は、｢プロファイル｣セクションを参照して

ください。デバイスメイク、モデル、所有形態やユーザーグループといったデバイス属性に基づき、プロファ

イル、アプリケーション、コンテンツ設定を使用して、組織グループを作成する前にデバイス構成を行うことを

お勧めします。

n [エグゼクティブ] デバイスは、アプリケーションをインストールすることはできないが、Wi-Fi セールスネット

ワークへのアクセスを許可。

n [セールス] デバイスには、アプリケーションのインストールと VPN アクセスを許可。

2 つの組織グループを比較する

2 つの組織グループの設定を比較し、バージョン移行の際の問題を軽減することができます。この組織グループ比較

機能は、オンプレミス展開でのみ利用可能です。

組織グループの設定を比較する場合、次のタスクを実行できます。

n Workspace ONE UEM の異なるソフトウェアバージョンの組織グループの設定を含む XML ファイルをア

ップロードする

n バージョンの移行の際に、構成の相違が元で問題が発生する可能性をなくす。

n 比較結果をフィルタにかけ、比較したい項目のみの結果を表示する

n 検索機能に設定の名前を入力し、特定の設定を確認する

バージョン移行のシナリオの例として、受け入れテスト (UAT) サーバをアップグレード、構成、テストした場合、

UAT の設定と本番環境の設定を直接比較できることが挙げられます。

1 [グループと設定] - [すべての設定] - [管理者] - [設定管理] - [設定の比較] の順に進みます。

Console の基本

VMware, Inc. 32

2 左側のドロップダウンメニューで、貴社環境の組織グループを選択します（[1] と表示されています）。または、

[[アップロード]] ボタンをクリックし、エクスポート済みの組織グループ設定 XML ファイルを選択して、XML 設定ファイルをアップロードします。

3 右側のドロップダウンメニューで、比較対象の組織グループを選択します ([2] と表示されています)。

4 [更新] ボタンを選択し、選択された両方の組織グループのすべての設定一覧を表示します。

n 2 つの組織グループ間の設定の相違は自動的にハイライトされます。

n [[違いのみを表示]] チェックボックスをオンにすることもできます。この場合、一方の組織グループにのみ

適用されている設定だけが表示されます。

n 空白または特定されていない設定は、比較設定リストで｢NULL｣と表示されます。

組織グループを作成する

デバイスが展開されている各ビジネスユニットに組織グループを作成する必要があります。作業するユーザーが現

在属している組織グループが、作成するサブ組織グループの親になります。

1 [グループと設定] - [グループ] - [組織グループ] - [詳細] の順に進みます。

2 [サブ組織グループの追加] タブを選択し、以下の設定を行います。

設定説明

名前表示したいサブ組織グループの名前を入力します。使用できる文字は英数字だけです。それ以外の文字は使用で

きません。

グループ ID エンドユーザーがデバイスのログイン時に使用する組織グループの ID を入力します。グループ ID は、加入時に

デバイスを適切な組織グループに分類するために使用されます。

デバイスを共有するユーザーが、[グループ ID] を受け取っていることを確認してください。共有デバイスの構成

によっては、デバイスのログイン時にユーザーによる [グループ ID] 入力が必要になります。

オンプレミス環境ではない場合、グループ ID は、共有 SaaS 環境全体にわたって組織グループを識別します。こ

のため、すべてのグループ ID が一意である必要があります。

タイプサブ組織グループのカテゴリに適合する、事前構成されている組織グループタイプを選択します。

国組織グループが存在する国を選択します。

ロケール選択した国の言語分類を選択します。

カスタマーの業種このフィールド値は、[タイプ] の値が｢カスタマー｣である場合にのみ指定できます。｢カスタマーの業種｣のリス

トから選択します。

タイムゾーン組織グループが属しているタイムゾーンを選択します。


任意の組織グループのグループ ID の確認

次の手順を実行すると、任意の組織グループのグループ ID を確認できます。

1 組織グループのドロップダウンメニューで、確認したい組織グループを選択して、その組織グループに移動しま

す。

2 組織グループのラベルにマウスカーソルを重ねます。ポップアップに、現在選択されている組織グループの名前

とグループ ID が表示されます。

Console の基本

VMware, Inc. 33

継承、マルチテナント、および認証

組織グループごとのオーバーライド設定の概念は、継承やマルチテナントなどの組織グループ (OG) の特性と組み合

わせた場合、さらに認証とも組み合わせることができます。この組み合わせにより、柔軟な構成を提供します。

次の組織グループモデルはこのような柔軟性を示しています。

このモデルでは、[管理者] は、一般に大きい権限と機能を所有し、この OG 分岐の最上部に位置します。これらの

管理者は、管理者に特化した SAML を使用して OG にログインします。

[企業ユーザー]は管理者に従属しているので、それらの OG はその子として配置されます。管理者ではなくユーザー

であり、その SAML ログイン設定は管理者設定を継承することはできません。そのため、企業ユーザーの SAML 設定がオーバーライドされます。

[BYOD ユーザー] は、企業ユーザーとは異なります。BYOD ユーザーによって使用されるデバイスはユーザー自身

に属し、個人情報を含む可能性があります。そのため、これらのデバイスプロファイルには、若干異なる設定が必要

になる場合があります。BYOD ユーザーには異なる利用規約同意書がある場合があります。BYOD デバイスには

異なる企業情報ワイプパラメータが必要な場合があります。これらすべての理由およびそれ以外のために、BYOD ユーザーが別の OG にログインすることは理にかなっているといえます。

また、BYOD ユーザーは企業階層の意味では企業ユーザーに従属しませんが、メリットがあるため企業ユーザーの

子として配置されます。この配置は、企業ユーザー OG に適用するだけですべての企業ユーザーデバイスに適用可

能な設定を BYOD ユーザーが継承することを意味します。

継承は、SAML 認証の設定にも適用されます。BYOD ユーザーは企業ユーザーの子であるため、ユーザー認証の設

定に関して、BYOD ユーザーは企業ユーザーの SAML を継承します。

代替となるモデルは、BYOD ユーザーを企業ユーザーの兄弟にすることです。

Console の基本

VMware, Inc. 34

この代替モデルでは以下が該当します。

n 順守ポリシーを含め、すべてのデバイスにグローバルに適用されることが意図されるすべてのデバイスプロファ

イル、およびその他のグローバルに適用可能なデバイス設定は、1 つではなく 2 つの組織グループに適用されま

す。この重複が必要な理由は、企業ユーザーから BYOD ユーザーへの継承はこのモデルの要素ではないためで

す。企業ユーザーと BYOD ユーザーはピアであり、したがって継承はありません。

n 別の SAML オーバーライドは BYOD ユーザーに適用する必要があります。システムは親である管理者から

SAML 設定を継承することを前提としているので、このオーバーライドが必要です。BYOD ユーザーは管理者

ではなく同じアクセスや権限がないため、このような前提は誤りです。

n BYOD ユーザーは、引き続き企業ユーザーから個別に扱われます。この代替モデルは、BYOD ユーザーが独自

のデバイスプロファイル設定の利用を継続することを意味します。

どのモデルが最適かは何の要素によって決まりますか。グローバルに適用可能なデバイス設定の数を、グループ固有

のデバイス設定の数と比較します。基本的には、すべてのデバイスをほとんどの場合に同じ方法で処理したい場合、

BYOD ユーザーを企業ユーザーの子にすることを検討します。個別の設定を維持することがより重要な場合、

BYOD ユーザーを企業ユーザーの兄弟にすることを検討します。

組織グループによる制限事項

組織グループ (OG) による制限がある設定を構成しようとした場合、[グループと設定] - [すべての設定] の順に進ん

だときに表示される設定画面に、その制限の内容が表示されます。

カスタマーレベルの組織グループを作成する際には、以下の制限が適用されます。

n SaaS 環境とオンプレミス環境のいずれでも、ネストされたカスタマー組織グループを作成することはできませ

ん。

組織グループタイプの機能

組織グループのタイプにより、管理者が構成できる設定の内容が異なります。

n [[グローバル] ]– 最上位の組織グループ。通常、このグループはグローバルと呼ばれ、タイプがグローバルです。

n ホストされる SaaS 環境では、このグループにアクセスできません。

n オンプレミスのお客様は、このレベルでの詳細ログ収集をオンにすることができます。

n [パートナー] – パートナーの最上位レベルの組織グループ（Workspace ONE UEM のサードパーティリセラ

ー）。

n [[カスタマー] ]– お客様ごとの最上位の組織グループです。

n カスタマー組織グループには、カスタマータイプであるサブ/メイン組織グループを設定できません。

n 一部の設定は、カスタマーグループでのみ構成できます。そのような設定は、下位組織にフィルタを適用し

ます。たとえば、自動検出の E メールドメイン、Volume Purchase Program 設定、デバイス登録プロ

グラム設定（AirWatch 8.0 以前）、個人コンテンツなどがあります。

Console の基本

VMware, Inc. 35

n [コンテナ] – 既定の組織グループタイプ。

n カスタマー組織グループの下にあるすべての組織グループは、コンテナタイプでなければなりません。パー

トナーグループとカスタマーグループの間でコンテナを使用できます。

n [見込] – 潜在的なお客様です。カスタマー組織グループに似ています。実際のカスタマーグループよりも機能

が少ない場合があります。

部門、リージョンなど追加の組織グループタイプがあり、独自の組織グループタイプを定義することもできます。

特別な特性はなく、機能はコンテナ組織グループタイプと同じです。

[グローバルでデバイスを追加する]

グローバル組織グループは、｢カスタマー｣およびその他のタイプの組織グループを所属させる目的で用意されている

ものです。設定は下位の組織グループに継承されるので、デバイスをグローバル組織グループに追加し、かつ、それ

らのデバイスに影響を及ぼす設定を使用してグローバル組織グループを構成する場合、その下位のすべてのカスタマ

ー組織グループにも影響が及びます。つまり、マルチテナントと継承のメリットが活かされません。

詳細については、「デバイスをグローバルレベルで加入させるべきでない理由」を参照してください。

組織グループに関する設定を上書き/継承する

作成する組織グループ (OG) 構造の階層によって、どの OG がサブであるか、メインであるかが決まります。サブ

OG はメイン OG の設定を継承しますが、この継承をオーバーライドすることができます。

各システム設定ページは、組織グループ階層に関する 2 つのタイプ（1) 現在の設定と 2) 子の権限）の継承/オーバ

ーライドオプションに従って設定を適用します。設定を適用する OG は現在の OG です。

つまり、Employees\Warehouse OG などにいる場合、設定に加えた変更は、その OG と、Warehouse OG の子であるすべての OG に適用されます。

たとえば、[グループと設定] - [すべての設定] - [システム] - [ブランディング] に進むことで表示される [ブランディ

ング] 設定ページは、組織グループドロップダウンに表示される OG のすべてのカスタム背景画像、ロゴ、テーマ

カラーを制御します。

前の例で言うと、新しい背景画像、新しいロゴ、別のテーマカラー、Employees\Warehouse OG 固有のすべて

のものをインポートできます。必要に応じて、Warehouse OG [にのみ] 適用する設定を構成することもできます。

このオプションは、設定ページのこの OG の継承を変更することで有効になります。

サブグループの権限

サブグループの権限設定は、サブ OG に対するメイン OG の姿勢として考えます。サブグループの権限には、[継承

またはオーバーライド]、[継承のみ]、[オーバーライドのみ] の 3 つの異なる設定があります。

[継承またはオーバーライド] 設定は単純にメイングループがサブグループの権限に優先されないことを意味します。

メイングループのサブグループの権限設定が [継承またはオーバーライド] である場合、サブ OG の現在の設定で、

設定をオーバーライドするか継承するかが決定されます。サブグループの権限は、デフォルトでは [継承またはオー

バーライド] に設定されます。

サブグループの権限設定がメイングループに対して [継承のみ] である場合、すべてのサブグループに継承が強制さ

れます。この設定は、すべてのサブグループがメイングループと同じ設定を持つことを意味します。サブグループの

権限設定が [オーバーライドのみの] の場合、すべてのサブ OG に継承の影響がなくなり、そのサブ OG に固有の設

定を構成する必要があります。

Console の基本

VMware, Inc. 36

サブグループの権限設定は、1 レベル下のサブグループにのみ影響します。このような設定は、孫またはそれより低

い OG には影響しません。

現在の設定

サブグループの権限が、サブグループに対するメイングループの姿勢である場合、OG の現在の設定はメイングル

ープに対するサブグループの姿勢になります。OG の現在の設定には、[継承] または [オーバーライド] のみを指定

できます。

現在の設定が [継承] である場合、サブ OG はメイン OG のすべての設定を受け入れることを意味します。現在の設

定として [オーバーライド ] を選択すると、サブグループはメイングループを拒否し、サブグループ自体で設定しま

す。オーバーライド選択は、サブグループ用の新しい設定を作成できることを意味します。

OG の現在の設定を変更できるのは、メイン OG のサブグループの権限の設定が [継承またはオーバーライド] であ

る場合のみです。

また前の例で説明すると、[ブランディング] 設定を Warehouse OG にのみ適用する場合は、Warehouse のそ

れぞれのサブ OG 用の現在の設定を [オーバーライド] に変更することができます（Warehouse のサブグループの

権限が既定の [継承またはオーバーライド] である場合）。その後、Warehouse のサブグループの [ブランディン

グ] 設定を適切に構成できます。Warehouse と異なる設定にすることも、同じ設定にすることもできます。

権限設定の変更

メイングループのサブグループの権限の設定で許可されていない場合、サブグループの現在の設定を変更することは

できません。たとえば、MomandDadOG のサブグループの権限の設定が [オーバーライドのみ] である場合、

JuniorOG の現在の設定を [継承] に変更することはできません。つまり、メイン OG のサブグループの権限の設定

は、サブ OG の現在の設定よりも優先されます。

サブグループの現在の設定を [オーバーライド] から [継承] に変更した場合、そのメイングループのサブグループの

権限の設定を [継承のみ] に変更すると、サブ OG のサブグループの権限の設定がロックされます。このシナリオで

は、サブグループの権限の設定を変更できません。この動作は、サブ OG 設定がオーバーライドされない場合には適

用されません。

この動作を回避するには、メイン OG のサブグループの権限の設定を [継承またはオーバーライド] に戻し、サブ OG のサブグループの権限の設定をロック解除する必要があります。

より大規模な戦略は、事前に計画を立て、継承を構成し、必要な階層構造に対して適切な OG レベルに設定をオーバ

ーライドすることです。

デバイスをグローバルレベルで加入させるべきでない理由

デバイスを最上位の組織グループ (グローバル) に直接加入させるべきではありません。これにはいくつか理由があ

ります。その理由は、マルチテナンシー、継承、機能の 3 つです。

[マルチテナンシー]

サブ組織グループは必要な数だけ作成できます。また、各サブ組織グループを個別に構成します。あるサブ組織グル

ープに適用する設定は、他のサブ組織グループに影響しません。

[継承]

Console の基本

VMware, Inc. 37

メイン組織グループに加えた変更内容は、サブ組織グループにも適用されます。一方、サブ組織グループに加えた変

更内容は、メイン組織グループおよび同位の組織グループに適用されません。

[機能]

｢カスタマー｣タイプの組織グループに対してのみ構成できる設定と機能があります。それは、ワイプ保護、テレコ

ム、および個人コンテンツです。トップレベルのグローバル組織グループに直接追加されたデバイスは、これらの設

定および機能から除外されます。

グローバル組織グループは、｢カスタマー｣およびその他のタイプの組織グループを所属させる目的で用意されている

ものです。設定は下位の組織グループに継承されるので、デバイスをグローバル組織グループに追加し、かつ、それ

らのデバイスに影響を及ぼす設定を使用してグローバル組織グループを構成する場合、その下位のすべてのカスタマ

ー組織グループにも影響が及びます。つまり、マルチテナントと継承のメリットが活かされません。

スマートグループ

スマートグループとは、Workspace ONE UEM powered by AirWatch 内のカスタマイズ可能なグループであ

り、どのプラットフォーム、デバイス、ユーザーが、どのアプリケーション、ブック、順守ポリシー、デバイスプロ

ファイル、プロビジョンを受け取るかを決定します。

組織グループを作成する場合、通常は地理的位置情報、事業単位、部門といった社内の組織構造をベースとします。

例えば、「北部営業担当」、「南部人事担当」となります。一方、スマートグループを利用した場合、デバイスプラッ

トフォーム、モデル、オペレーティングシステム、デバイスタグ、またはユーザーグループを基準にしてコンテン

ツと設定を柔軟に配布できます。複数の組織グループにわたって個別のユーザーにコンテンツを配布することも可能

です。

コンテンツのアップロードおよび設定の定義を行うときに、スマートグループを作成できます。モジュール型の構成

であるため、スマートグループはいつでも作成することができ、後で割り当てを行う際に使用できます。

スマートグループの主な利点は再使用できるということです。コンテンツを追加したときや、プロファイルまたはポ

リシーを定義したとき、その都度直感的に新たな割り当てを行うことができます。スマートグループに対する割り当

て先を 1 回だけ定義した場合、コンテンツの定義の中にそれらのスマートグループを含めることができます。

スマートグループリスト表示

[グループと設定] - [グループ] - [割り当てグループ]の順に進み、スマートグループ全体のリストを表示します。管

理者は、自分の権限設定に基づいて、自分が管理できるグループのみを閲覧することができます。

Console の基本

VMware, Inc. 38

[グループ]、[割り当て]、[除外]、[デバイス] のカラムのリンクを選択すると、詳細情報を閲覧できます。

n [割り当て] または [除外] カラムにあるリンクを選択すると [スマートグループの割り当てを表示] 画面を表示

します。

n [デバイス] カラムのリンクを選択すると [デバイス] - [リスト表示] が表示され、該当のスマートグループに含

まれるデバイスのみが表示されます。

n [グループタイプ] (スマートグループ、組織グループ、ユーザーグループ、またはすべて) または [割り当て] 状態を基準にして、グループに [フィルタ] を適用することができます。割り当て状態の種類は、割り当てられて

いる、除外されている、両方である、どちらでもない、のいずれかです。

n さらに、リストから直接スマートグループを [割り当て] ることもできます。

スマートグループの割り当てを解除する

スマートグループの割り当てをアプリケーション、ブック、ポリシー、プロファイル、またはプロダクトから解除す

ることができます。このアクションにより、そのスマートグループのすべてのデバイスから関連コンテンツが削除さ

れます。

1 アプリケーション、ブック、順守ポリシー、デバイスプロファイル、またはプロダクトプロビジョンからスマ

ートグループの割り当てを解除します。次のとおりに進んでください。

n [ネイティブアプリ] –[リソース] - [アプリ] - [ネイティブ]の順に進み、[パブリック] または [社内] タブを

選択します。

n [SaaS アプリ] –[リソース] - [アプリ] - [SaaS]の順に進み、[パブリック] または [社内] タブを選択しま

す。

n [ブック] –[リソース] - [ブック] - [リスト表示]の順に移動して、[パブリック]、[社内]、[Web] タブのい

ずれかを選択します。

n [順守ポリシー] – [デバイス] - [順守ポリシー] - [リスト表示] の順に進みます。

n [デバイスプロファイル] –[リソース] - [プロファイル＆ベースライン] - [プロファイル]の順に移動しま

す。

Console の基本

VMware, Inc. 39

n [プロダクトプロビジョン] –[デバイス] - [プロビジョニング] - [プロダクトリスト表示] の順に進みます。

2 一覧からコンテンツまたは設定を探し、アクションメニューから [編集] アイコン（）を選択します。

3 [割り当て] タブを選択するか、[スマートグループ] 欄を確認します。

4 割り当てを解除したいスマートグループの隣の削除アイコン ([X]) を選択します。このアクションはスマート

グループを削除するものではありません。単に保存された設定からスマートグループの割り当てを削除するも

のです。

5 必要なステップに従って変更点を [保存] します。

スマートグループを削除する

不要になったスマートグループは削除することができます。一度に削除できるのは一つのスマートグループのみで

す。2 つ以上のスマートグループを選択すると、[削除] ボタンは利用できなくなります。

スマートグループを削除する前に、スマートグループをデバイスプロダクトに割り当てることはできません。削除

するスマートグループが割り当て解除されていることが明白な場合は、次の手順を実行します。

1 [グループと設定] - [グループ] - [割り当てグループ] の順に進み、一覧から削除したいスマートグループを特定

します。

2 削除するスマートグループの左側にあるチェックボックスを選択します。

3 表示されるアクションメニューの [削除] を選択します。

[結果：]割り当て解除したスマートグループが削除されました。

スマートグループを編集する

作成済みのスマートグループを編集できます。スマートグループに対して行う編集は、そのスマートグループに割

り当てられているすべてのポリシーやプロファイルに影響を与えます。

スマートグループを編集する必要がある典型的な例を次に示します。幹部のスマートグループが 1 つの順守ポリシ

ー、デバイスプロファイル、および 2 つの内部アプリに割り当てられているとします。1 つまたは複数の割り当てら

れたコンテンツアイテムから一部の幹部を除外する場合は、[除外 ] を指定してスマートグループを編集します。こ

の操作により、2 つの内部アプリが除外された幹部のデバイスにインストールされることを防ぐだけでなく、順守ポ

リシーとデバイスプロファイルもインストールされません。

1 [グループと設定] - [グループ] - [割り当てグループ] の順に進みます。

2 編集したいスマートグループの左側にある [編集] アイコン（）を選択します。あるいは、[グループ] カラム

からスマートグループ名を選択することもできます。[スマートグループを編集] 画面に、現在の設定が表示さ

れます。

3 [スマートグループを編集] 画面で、(そのスマートグループが保存された際のタイプに基づき) [条件] あるいは

[デバイスまたはユーザー] を修正し、[次へ] を選択します。

4 [割り当てを表示] 画面から、編集の結果デバイスに追加または削除できるプロファイル、アプリ、ブック、プロ

ビジョンやポリシーを確認できます。

5 スマートグループの編集内容を保存するには [公開] を選択します。このスマートグループに関連付けられて

いるすべてのプロファイル、アプリ、ブック、プロビジョンやポリシーの割り当てに、この変更が反映されます。

Console の基本

VMware, Inc. 40

[結果：][コンソールイベント] ロガーは、変更を行った者、追加されたデバイス、削除されたデバイスなど、スマー

トグループへの変更点を追跡します。

コンソールイベントロガーを使用してスマートグループのイベントを調査する

どのような変更が、いつ、誰によってスマートグループに行われたかは、[コンソールイベント] ロガーで簡単に把

握できます。このような追跡機能はデバイスのトラブルシューティングの際に役に立ちます。

1 [モニタ] - [レポート & 分析] - [イベント] - [コンソールイベント] の順に進みます。

2 [コンソールイベント ]リストの最上部にある [モジュール] ドロップダウンフィルタから [スマートグループ] を選択します。

3 必要に応じ、[[日付範囲]]、[[重要度]]、[[カテゴリ]] などの追加のフィルタを適用します。

4 [[イベントデータ]] カラムのハイパーリンク付きテキストには補足的な詳細情報が含まれており、調査をサポー

トします。

スマートグループを作成し割り当てる

プラットフォーム、所有権、ユーザーグループ、OS バージョン、モデル、デバイスタグ、エンタープライズ

OEM、またはフレンドリ名の付いた個々のデバイス別に定義されたスマートグループを作成することができます。

たとえば、9.0.2 より前の iOS バージョンで、すべての従業員所有の iPhone Touch デバイスを含むスマートグループを作ることができます。この同じスマートグループに、OS バージョン 4.1 以降の HTC バージョン 2.0 によ

るすべての Android デバイスを追加します。このグループから、ユーザーグループ「full time」のデバイスを除外

することができます。この高度にカスタマイズされたデバイスのプール (*) に、10 個のデバイスプロファイル、10 個のアプリケーション、または順守ポリシーを割り当てることができます。

* このカスタマイズされたデバイスプールのマルチプラットフォームの性質により、いくつかの制限が適用されるこ

とがあります。たとえば、割り当てたいアプリが Android バージョンを提供しない可能性があります。

スマートグループは 2 つの方法で割り当てることができます。

デバイスプロダクトを作成する際にスマートグループを割り当てる

アプリケーション、ブック、順守ポリシー、デバイスプロファイル、プロダクトプロビジョンを追加中または作成

中に、以下の手順に従ってスマートグループを割り当てます。

1 [割り当てるグループ] のドロップダウン記入欄に入力します。

2 ドロップダウンメニューからスマートグループを選択します。選択可能なスマートグループは、リソースが追

加されている組織グループ内またはその下位の組織グループ内で管理されているスマートグループだけです。

3 希望する割り当て条件に合致するスマートグループがない場合は、[新しいスマートグループを作成] オプショ

ンを選択します。アプリケーション、ブック、順守ポリシー、デバイスプロファイル、またはプロダクトプロ

ビジョニングごとに 1 つ以上のスマートグループを割り当てることができます。

4 [保存] を選択し、割り当てを確定します。

Console の基本

VMware, Inc. 41

スマートグループの管理プロセスの一環として割り当てる

スマートグループの管理プロセス中に、以下の手順に従ってスマートグループを割り当てます。

1 [グループと設定] - [グループ] - [割り当てグループ] の順に進み、スマートグループ全体のリストを表示しま

す。

2 割り当てたいスマートグループを 1 つ以上選択し、[割り当て] を選択します。[割り当て] 画面が表示されます。

[割り当て] 画面上部の｢グループ｣リンクを選択すると [グループ] 画面が表示されます。この画面にはそのス

マートグループを管理している組織グループが表示されます。[閉じる] ボタンを選択し、｢割り当て｣画面に戻

ります。

3 [割り当て] 画面の検索ボックスを使用して利用できるプロダクトを表示し、選択したスマートグループに割り当

てます。

4 [次へ] を選択し、[デバイス割り当て表示] 画面を開き、割り当て状況を確認します。

5 [保存して公開] を選択します。

スマートグループを作成する

はじめにスマートグループを作成し、それからアプリケーション、ブック、順守ポリシー、デバイスプロファイル、

またはプロダクトプロビジョンに割り当てます。

スマートグループの作成に関する 5 つのベストプラクティスヒントについては、次のビデオをご覧ください。

スマートグループをスマートに作成する方法

(http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_smartgroup_smartly)

手順

1 新しく作成するスマートグループの適用対象かつ管理元となる適切な[組織グループ] (OG) を選択します。

OG の選択はオプションです。

2 [グループと設定] - [グループ] - [割り当てグループ] の順に進み、[スマートグループを追加] を選択します。

3 スマートグループの [名前] を入力します。

4 オプションで、[デバイスのプレビュー] を有効にすると、設計したスマートグループに含まれているデバイスを

表示することができます。既定ではこの「デバイスのプレビュー」はパフォーマンスを向上させるために無効

になっています。

5 スマートグループタイプを構成します。

n [条件]

[[条件]] オプションは、一般的な更新情報を受信する大規模のデバイスを持つグループ（500 台以上）に最

適です。これらのグループ固有の詳細情報をすべてのモバイルデバイスに適用できるからです。

n [デバイスまたはユーザー]

[デバイスまたはユーザー] オプションは、重要な更新情報を不定期に受信する小規模のデバイスを持つグル

ープ（500 台以下）に最適です。この方法は、グループのメンバーをきめ細かく選択する場合に最適です。

Console の基本

VMware, Inc. 42

http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_smartgroup_smartly

http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_smartgroup_smartly

[条件] と [デバイスまたはユーザー] を切り替えると、それまでに入力したエントリや選択アイテムは消去され

ます。

a [条件] から、新しく追加するスマートグループを条件付けるパラメータを選択します。どの設定でも選択が

行われていない場合、そのフィルタリングは基準に適用されません。

設定説明

組織グループこの条件オプションは、選択された組織グループ別にデバイスをフィルタリングします。

複数の OG を選択することができます。

ユーザーグループこの条件オプションは、選択されたユーザーグループ別にデバイスをフィルタリングしま

す。複数のユーザーグループを選択することができます。

所有形態この条件オプションは、選択された所有権タイプ別にデバイスをフィルタリングします。

タグこの条件オプションは、タグ付けの方法に応じてデバイスをフィルタリングします。複数

のタグを選択することができます。

プラットフォームと OS この条件オプションは、選択されたプラットフォームと OS 別にデバイスをフィルタリン

グします。それぞれを複数組み合わせて選択できます。

プラットフォームはスマートグループの抽出条件の 1 つですが、デバイスプロファイルや

順守ポリシーにおいて構成されるプラットフォーム条件が、スマートグループのプラット

フォーム条件より常に優先されます。例えば、あるデバイスプロファイルが iOS プラッ

トフォームに対して作成されている場合、スマートグループに Android デバイスが含ま

れていても、そのプロファイルは iOS デバイスのみに割り当てられます。

OEM とモデルこの条件オプションは、[プラットフォームと OS] で行われた Android および

Windows デスクトッププラットフォームの選択にのみ適用されます。

1 社以上の OEM を選択し、さらに OEM ごとに複数のモデルを選択できます。

新しい Android OEM およびモデルは、デバイスの加入時または同期時にドロップダウ

ンメニューに追加されます。

モデル (レガシー) この条件オプションは、Android デバイス、および Windows Desktop 以外のデバイ

スをモデル別にフィルタリングします。表示される個々のモデルは、[[プラットフォーム

と OS]] で行われた選択に基づいています。

提示されたモデルのリストから、スマートグループに含めるモデルを選択します。

エンタープライズ OEM バージョンこの条件オプションは、機器メーカーのエンタープライズオリジナルバージョン別にデバ

イスをフィルタリングします。複数のエンタープライズ OEM バージョンを選択できま

す。

エンタープライズ OEM バージョンは、OEM デバイスモデルに適用可能なソフトウェア

ベースの分類です。たとえば、エンタープライズ OEM バージョンは、Motorola の

Mobility Extensions (MX) や Samsung SAFE などのデバイスを対象として、補足的

なソフトウェアサポートとすることができます。またエンタープライズ OEM バージョ

ンは、Honeywell、LG、Sony の操作環境など、Android オペレーティングシステム

の OEM 固有環境とすることもできます。

管理タイプデバイスの管理方法に応じて、デバイスをフィルタリングします。

加入カテゴリデバイスの加入方法に応じてデバイスをフィルタリングします。

Console の基本

VMware, Inc. 43

設定説明

追加この条件オプションは、フィルタリング条件に含まれていない個々のデバイスおよびユー

ザーを追加します。1 台以上のデバイスおよび 1 人以上のユーザーを選択することができ

ます。

除外この条件オプションは、フィルタリング条件に含まれている個々のデバイス、個々のユー

ザー、およびユーザーグループを除外します。1 台以上のデバイス、1 人以上のユーザー、

および 1 つ以上のユーザーグループを除外することができます。

b 企業の一般的なモビリティ管理枠の外でコンテンツや設定を特別に割り当てたい場合は、[デバイスまたはユ

ーザー] タイプを使用します。[デバイス] にはデバイスのフレンドリ名を、[ユーザー] にはユーザーの名前

（名または姓）を入力します。最低一台のデバイスまたは一人のユーザーを [追加] する必要があります。そ

うでない場合、スマートグループは保存されません。

設定説明

デバイスデバイスのフレンドリ名を入力して、デバイスをこのスマートグループに追加します。こ

の方法を使用して、1 台以上のデバイスを追加できます。

ユーザーユーザー名、名、または姓を入力してユーザーをこのスマートグループに追加します。こ

の方法を使用して、1 人以上のユーザーを追加できます。

6 設定後 [保存] をクリックします。

プロファイルやポリシーからグループを除外する

デバイスプロファイルおよび順守ポリシーの割り当てからグループを除外できます。この操作は、デバイスプロダ

クトへのグループの割り当てと同様に簡単に実行できます。

前提条件

このタスクを開始する前に、グループが定義されている必要があります。少なくとも、除外するユーザーで構成され

るスマートグループを作成できることが必要です。このタスクでは、新しいスマートグループをすぐに作成できま

すが、組織グループまたはユーザーグループを除外する場合は、それぞれ組織グループを作成するおよびユーザー

グループを参照してください。

手順

1 デバイスプロファイルや順守ポリシーを追加する際に、[[除外]] 設定の横の [[はい]] を選択すると、[[除外する

グループ]] オプションが表示されます。

2 [除外するグループ] で、該当するプロファイルまたはポリシーの割り当てから除外するグループを選択します。

n グループ名の最初の数文字を入力すると、自動検索機能によって、入力した文字列に一致する名前を持つす

べてのグループが表示されます。

n 1 つ以上の組織グループ、ユーザーグループ、またはスマートグループを選択できます。

n [スマートグループを作成] ボタンを選択して、新しいスマートグループを作成できます。

3 [保存して公開]（デバイスプロファイルの場合）または [次へ]（順守ポリシーの場合）を選択して、これらのタ

スクの処理を続行します。

Console の基本

VMware, Inc. 44

結果

[割り当てるグループ] と [除外するグループ] の両方に同じスマートグループを選択すると、そのプロファイルまた

はポリシーは保存されません。

例

幹部を除くすべてのデバイスユーザーに順守ポリシーを適用します。

次のステップ

[デバイス割り当て表示 ]を選択して、割り当て対象デバイスを確認します。

ユーザーグループ

一連のユーザーをユーザーグループにまとめることができます。ユーザーグループは、組織グループと同様、プロ

ファイルとアプリケーションを割り当てる際のフィルタのような機能を果たします。Workspace ONE UEM で環

境を構成する際には、ユーザーグループを、組織におけるセキュリティグループとビジネス役割区分に添った形で

作成する必要があります。

プロファイル、順守ポリシー、コンテンツ、およびアプリケーションを、ユーザーグループに属するユーザーとデバ

イスに割り当てることができます。既存のディレクトリサービスグループを Workspace ONE UEM に追加する

ことも、すべて手作業でユーザーグループを作成することもできます。

あるいは、ユーザーグループの代わりに、事前構成されたネットワーク IP アドレス範囲やカスタム属性に基づいて

デバイスを割り当てることでコンテンツを管理することもできます。

ユーザーグループリスト表示

[ユーザーグループリスト表示] ページには、ユーザーグループの閲覧/融合/削除、不明ユーザーの追加、ユーザー

グループの同期など、ユーザーグループの一般的なメンテナンスや維持にとって便利なツールがあります。

この画面から、最も重要な基準に基づいてユーザーグループのリストを素早くカスタマイズすることができます。新

しいユーザーグループを個別にまたは一括で追加することもできます。

[アカウント] - [ユーザーグループ] - [リスト表示] の順に進みます。

操作説明

フィルタ以下のフィルタを使用し、必要なユーザーグループのみ表示します。

n ユーザーグループの種類

n 同期状態

n 融合状態

追加

ユーザーグループを追加し

ます。

ディレクトリベースのユーザーグループまたはカスタムユーザーグループのいずれかを 1 つ追加します。

バッチインポート新しいデバイスプロファイルを CSV ファイルを使用して一括インポートします。一意の名前および説明を入力し

て、一度に複数のユーザーグループを整理できます。

カラムの並べ替えとサイズ

変更

｢リスト表示｣の中で並べ替えができるカラムは、｢グループ名｣、｢最終同期日｣、｢ユーザー｣および｢融合状態｣です。

幅を変更できるカラムは、「グループ名」と「最終同期日」です。

Console の基本

VMware, Inc. 45

操作説明

詳細表示｢詳細表示｣でユーザーグループ基本情報を表示するには、[グループ名] カラムのリンクを選択します。ユーザーグル

ープ基本情報の内容は、グループ名、グループタイプ、外部タイプ、マネージャ、およびユーザー数です。[詳細表示] の [グループ化] タブで、[すべての設定] - [デバイスとユーザー] - [全般] - [加入] と進むと、グループマッピング設

定へのリンクが表示されます。

エクスポート ( )フィルタ適用なしまたはフィルタ適用済みの [リスト表示] 全体の XLSX または CSV（コンマ区切り値）ファイルを

保存します。どちらのファイル形式も MS Excel で表示して分析できます。

[ユーザーグループリスト表示] のユーザーの左側には、選択チェックボックスと [編集] アイコンがあります。[編

集] アイコン（）を選択し、ユーザーグループに基本的な変更を加えることができます。ユーザーグループに対

して一括アクションを実行するには、1 つ以上のグループを選択します。選択したユーザーグループに対するアクシ

ョンボタンが表示されます。

ユーザーグループのその他のアクション

必要な数のチェックボックスを選択し、必要なユーザーグループをすべて選択できます。そうすることにより利用

可能なアクションボタンが変わります。それらのアクションは、複数のユーザーとそれぞれのデバイスに適用されま

す。

操作説明

[同期] 最近追加されたユーザーグループのユーザーを一時テーブルにコピーし、自動的に行われるようスケジュールされた

Workspace ONE UEM および Workspace ONE Express による Active Directory 同期が実行される前に

手動で同期します。

注：ユーザー属性の同期プロセスは、重複するユーザーが検出されても続行されます。このような同期失敗が発生す

ると、トラブルシューティング用に、DuplicateUserSyncFailure と呼ばれるコンソールイベントログにエントリ

が作成されます。この、および他のコンソールイベントログエントリを確認するには、[モニタ] - [レポートおよび

分析] - [イベント] - [コンソールイベント] の順に進みます。

[ユーザーを表示する] [ユーザーグループメンバー] 画面が表示されます。この画面で、選択したユーザーグループ内のすべてのメンバーの

ユーザー名を確認できます。

[その他のアクション]

[閲覧と融合] 一時的なユーザーグループに最近追加されたユーザーの追加または削除と閲覧を行います。この表に表示されるユー

ザーグループユーザーは、Workspace ONE UEM および Workspace ONE Express での自動のユーザーグループ同期が行われるまで待機します。

[不明ユーザーを追加] 一時的なユーザーグループの表を Active Directory の表と組み合わせ、ユーザーグループに新しいユーザーを正

式に追加します。

[削除] ユーザーグループを削除します。

ユーザーをユーザーグループに追加する

必要に応じて、ユーザーグループにユーザーを追加できます。スケジュール設定された自動起動するユーザーグル

ープの Active Directory 同期を待機しない場合は、ユーザーグループを手動で同期できます。

以下の手順に従って 1 つ以上のユーザーグループに新しいユーザーを追加します。

1 [アカウント] - [ユーザー] - [リスト表示] の順に進みます。

2 左側のボックスにチェックを入れてユーザーを 1 人以上選択します。

Console の基本

VMware, Inc. 46

3 [その他のアクション] ボタンを選択し、[ユーザーグループに追加] を選択します。[選択したユーザーをカスタ

ムユーザーグループに追加] 画面が表示されます。

4 ユーザーを [[既存のユーザーグループ]] に追加するか、あるいは [[新しいユーザーグループ]] を作成できま

す。

5 [[グループ名]] を選択します。


7 [アカウント] - [ユーザーグループ] - [リスト表示] の順に進みます。

a Active Directory (AD) の同期 (自動化およびスケジュールされたプロセス) により、保留中のユーザー

グループのユーザーを一時テーブルにコピーします。次に、これらのユーザーグループのユーザーを確認、

追加、または削除します。

b Active Directory との自動同期処理が実行されるまで待てない場合、手動で同期させることができます。

手動同期を実行するには、ユーザーを追加したユーザーグループを選択し、[同期] ボタンを選択します。

注：ユーザー属性の同期プロセスは、重複するユーザーが検出されても続行されます。このような同期失

敗が発生すると、トラブルシューティング用に、DuplicateUserSyncFailure と呼ばれるコンソールイベ

ントログにエントリが作成されます。この、および他のコンソールイベントログエントリを確認するに

は、[モニタ] - [レポートおよび分析] - [イベント] - [コンソールイベント] の順に進みます。

8 オプションで、[その他] - [閲覧して融合] の順に選択し、保留中のユーザーグループのユーザーの確認、追加、

削除といったメンテナンス作業を行うこともできます。

9 保留中のユーザーグループユーザーの一時テーブルを Active Directory ユーザーグループユーザーと結合

するには、[その他] - [不明ユーザーを追加] を選択します。

ディレクトリ統合なしにユーザーグループを追加する（カスタム）

貴社の既存の Active Directory 構造に含まれないユーザーグループを作成することもできます。管理者は、この

機能を用いて特別なユーザーグループをいつでも作成することができます。機能およびコンテンツへのアクセスを

特別に設計して、展開に応じてユーザーグループをカスタマイズします。これは、必要なユーザーグループの種類

に応じて推奨される場合があります。

たとえば、特殊なアプリ、デバイスプロファイル、順守ポリシーを要する特別なプロジェクト向けに一時的なユーザ

ーグループを作成したりすることができます。

ユーザーグループを一括追加する方法の詳細は、ユーザーグループをバッチインポートするを参照してください。

カスタムユーザーグループを追加できるのはカスタマーレベルの組織グループのみですのでご注意ください。

1 [アカウント] - [ユーザーグループ] - [リスト表示] の順に進み、[追加]、[ユーザーグループの追加] の順に選択

します。

2 ユーザーグループ [タイプ] オプションを [カスタム] に変更します。

3 [グループ名] と、Workspace ONE UEM Console でユーザーグループを特定できるような [説明] を入力

します。

4 ユーザーグループを管理する組織グループが正しく選択されていることを確認し、[保存] をクリックします。

Console の基本

VMware, Inc. 47

5 ユーザーをこのユーザーグループに追加するには、[アカウント] - [ユーザー] - [リスト表示] の順に進みます。

複数のユーザーを追加するには、リスト内の各 [ユーザー名] の左端にあるチェックボックスをオンにします。次に、

カラム見出しの上にある [[管理]] ボタンを選択し、[[ユーザーグループに追加]] を選択します。

ディレクトリ統合を行ってユーザーグループを追加する

Active Directory 統合なしにカスタムユーザーグループを設定する代わりに、貴社の既存の Active Directory 構造を利用したユーザー統合を行うことができます。この方法には多くのメリットがあります。

既存のディレクトリサービスユーザーグループを Workspace ONE UEM ユーザーグループとしてインポート

することで、以下のようなタスクを実行できます。

n [ユーザー管理] – 既存のディレクトリサービスグループ（セキュリティグループや配布リストなど）を参照

し、Workspace ONE UEM のユーザー管理を既存のシステムと合わせます。

n [プロファイルとポリシー] – Workspace ONE UEM 展開全体のプロファイル、アプリケーションおよびポリ

シーをユーザーに割り当てます。

n [統合された更新] – グループメンバーシップの変更に基づき、ユーザーグループ割り当てを自動的に更新しま

す。

n [管理権限] – 承認された管理者にのみ、ポリシーの変更と特定のユーザーグループへのプロファイルの割り当て

を許可するよう、管理権限を設定します。

n [加入] – ユーザーが既存の資格情報を使用して加入できるようにし、自動的に組織グループを割り当てます。

管理者は、デバイスとユーザー管理のベースとなるメインのルート場所として、既存の組織グループを 1 つ指定する

必要があります。また、ディレクトリサービスはこのルート組織グループレベルで有効にする必要があります。

貴社の既存のディレクトリサービスグループを Workspace ONE UEM に追加することができます。この操作

で、各ディレクトリサービスアカウントに対するユーザーアカウントを即時に作成することはできませんが、

Workspace ONE UEM はそれらのアカウントをユーザーグループとして認識します。このグループを加入制限

の一つの方法として使用することができます。

ディレクトリユーザーグループを一括追加する方法の詳細は、ユーザーグループをバッチインポートするを参照


ディレクトリ統合を行ってユーザーグループを作成することは、より系統だったデバイス管理を行ううえでメリット

があります。デバイス加入に加え、それ以降の更新、管理、ユーザー管理にいたるまで、貴社の既存のディレクトリ

サービス構造と足並みを揃えて行うことができます。

Console の基本

VMware, Inc. 48

[開始する前に：]ユーザーグループ [タイプ] が [ディレクトリ] であることを確認します。

1 [アカウント] - [ユーザーグループ] - [リスト表示] の順に進み、[追加] を選択し、[ユーザーグループを追加] を選択します。

設定説明

[タイプ] ユーザーグループのタイプを選択します。

n [ディレクトリ] – 貴社の既存の Active Directory 構造に沿ってユーザーグループを作成します。

n [カスタム] – 貴社の既存の Active Directory 構造とは関係なくユーザーグループを作成します。このユ

ーザーグループタイプでは、ベーシックユーザーとディレクトリユーザーが機能とコンテンツを利用して、

貴社の環境に従ってユーザーグループをカスタマイズすることができます。カスタムユーザーグループを

追加できるのはカスタマーレベルの組織グループのみですのでご注意ください。

[外部タイプ] 追加するグループの外部タイプを選択します。

n [グループ] – 貴社のユーザーグループのベースとなるグループオブジェクトクラスを参照します。このク

ラスをカスタマイズするには、[グループと設定] - [すべての設定] - [システム] - [エンタープライズ統合] - [ディレクトリサービス] - [グループ] の順に進みます。

n [組織ユニット] – 貴社のユーザーグループのベースとなる組織ユニットオブジェクトクラスを参照します。

このクラスをカスタマイズするには、[グループと設定] - [すべての設定] - [システム] - [エンタープライズ

統合] - [ディレクトリサービス] - [グループ] の順に進みます。

n [カスタムクエリ] – カスタムクエリを実行し、返されたユーザーを含むユーザーグループを作成することも

できます。この外部タイプを選択すると、テキスト検索の代わりに、｢カスタムクエリ｣セクションが表示さ

れます。

[検索テキスト] 貴社のディレクトリ内のユーザーの名前を特定するには、検索条件を入力し、[検索] を選択して検索します。入力

した語句がディレクトリグループの名前に含まれている場合、そのグループ名のリストが表示されます。

[外部タイプ] として [カスタムクエリ] を選択した場合、このフィールドは使用できません。

[ディレクトリ名] 貴社のディレクトリサービスサーバのアドレスが表示されます。この欄は読み取りのみです。

[ドメイン] と [グループ

ベース DN]この情報は、[ディレクトリサービス] 画面（[グループと設定] - [システム] - [ エンタープライズ統合] - [ディレ

クトリサービス]）で入力したディレクトリサービスサーバ情報に基づいて自動的に入力されます。

[グループベース DN] の横にある [DN を取得] (+) を選択します。識別名のリストが表示されます。このリス

トで識別名を選択できます。

[カスタムオブジェクトクラス]

クエリを実行するオブジェクトクラスを特定します。既定のオブジェクトクラスは｢person｣ですが、カスタム

オブジェクトクラスを提供することで貴社のユーザーを特定する精度を上げることができます。

この欄は、[外部タイプ] として [カスタムクエリ] を選択した場合のみに表示されます。

[グループ名] [テキスト検索] 結果リストから [グループ名] を選択します。｢識別名｣欄の値を変えると、選択されるグループ名

も自動で変わります。

このオプションは、[テキスト検索] 設定を使った検索が正常に行われた後にのみ使用できます。

[識別名] 作成しているグループの完全な識別名が表示されます。この欄は読み取りのみです。

この欄は、[外部タイプ] として [グループ] または [組織ユニット] を選択した場合のみ表示されます。

[カスタムベース DN] ベース識別名を特定します。これはクエリの開始点としての役割を果たします。既定のベース識別名は

"AirWatch" および "sso" です。ただし、別の開始点からクエリを実行したい場合は、カスタムベース識別名

を指定できます。


[組織グループ割り当て] この欄はオプションです。これにより、作成しているユーザーグループを特定の組織グループに割り当てること

ができます。


Console の基本

VMware, Inc. 49

設定説明

[ユーザーグループ設定] [既定の設定を適用] と [このユーザーグループに対して、カスタム設定を使用する] のいずれかを選択します。

[カスタム設定] セクションに入力欄の追加説明があります。グループを作成した後、権限設定からこれらを構成す

ることができます。


カスタムクエリ - [クエ

リ]この欄は、[クエリをテスト] ボタンを選択したときと、[続行] ボタンを選択したときに、現在読み込んでいるク

エリを表示します。[カスタムロジック] 欄または [カスタムオブジェクトクラス] 欄の変更はここに反映されま

す。

[カスタムロジック] ユーザー名や管理者名などのカスタムクエリロジックはここに追加します。例: "cn=jsmith"。識別名の大部分

を含めることも、わずかな部分しか含めないこともできます。[クエリをテスト] ボタンにより、クエリのシンタッ

クスが正しいかを [続行] ボタンをクリックする前に確認することができます。

カスタム設定 - [管理権限] 作成するユーザーグループを管理する権限を、すべての管理者に許可することも管理権限をブロックすることも

できます。

[既定の役割] ドロップダウンメニューからユーザーグループの既定の役割を選択します。

[既定の加入ポリシー] ドロップダウンメニューから既定の加入ポリシーを選択します。

[ディレクトリと自動同期] このオプションでディレクトリ同期が有効になり、ディレクトリサーバからユーザーメンバーシップを検出し、

一時テーブルに保管します。[自動融合] チェックボックスがオフになっている場合、管理者はコンソールに対す

る変更内容を承認します。

定期同期時にユーザーグループが自動同期されないようにするには、この設定を無効にする必要があります。

[変更を自動融合する] 管理者の承認なしにデータベースの変更を自動で適用するようにするにはこのオプションを有効に設定します。

[Maximum Allowable Changes]

自動によるユーザーグループ同期の変更数にしきい値を設定する場合はこの欄を使用します。この数を超えると、

変更を適用する前に承認が必要になります。

変更回数がこのしきい値を超えた場合、管理者による承認が必要になります。また、その旨の通知が送信されま

す。

この欄は [変更を自動融合する] が有効になっている場合のみに表示されます。

[グループメンバーを自動

で追加]ユーザーをユーザーグループに自動追加するには、この設定を有効にします。

定期同期時にユーザーグループが自動同期されないようにするには、この設定を無効にする必要があります。

[不明なユーザーを追加す

るときにユーザーに E メールを送信する]

ユーザーグループに不明なユーザーが追加されている場合に、ユーザーに E メールを送信できるようにします。

不明ユーザーを追加するということは、一時ユーザーグループテーブルと Active Directory テーブルを結合

することを意味します。

[メッセージテンプレート] この欄は [不明なユーザーを追加するときにユーザーに E メールを送信する] が有効になっている場合のみに表

示されます。

不明ユーザーをユーザーグループに追加する際に E メール通知に使用するメッセージテンプレートを選択しま

す。

Active Directory ユーザーを Workspace ONE UEM Console に新規追加する場合、メッセージテンプレ

ートの可用性は、[グループと設定] - [すべての設定] - [デバイスとユーザー] - [全般] - [加入]の順に進み、[認証] を選択して、[デバイス加入モード] オプションでの選択によって構成された登録モードによって決まります。

[新規加入] が [デバイス加入モード] として選択されている場合、ユーザーアクティブ化 E メールテンプレート

を [ メッセージテンプレート] ドロップダウンで使用できます。この E メールメッセージは、新しい Active Directory ユーザーの登録を有効にします。

[登録済みデバイスのみ] が [デバイス加入モード] として選択されている場合、デバイスアクティベーション E メールテンプレートを [ メッセージテンプレート] ドロップダウンで使用できます。この E メールメッセージ

は、新しい Active Directory ユーザーがデバイスを登録できるようにします。[登録トークンを要求する] が有

効になっている場合は、このメッセージに組み込まれたトークンでデバイスを登録できます。

Console の基本

VMware, Inc. 50

識別名の詳細は、Microsoft's TechNet (https://technet.microsoft.com/) の「Object Naming」と題さ

れた記事を参照してください。


ユーザーグループ権限の編集

貴社のどのユーザーが特定グループの変更権限をもつのかを再検討するためには、ユーザーグループ権限を調整しま

す。たとえば、貴社組織に会社役員のユーザーグループがある場合、それよりも低いレベルの管理者にそのグループ

の管理者権限を与えることは適切ではないかもしれません。

[権限] 画面を使用し、誰に特定ユーザーグループの管理権限を与え、誰にプロファイル/順守ポリシー/アプリケーシ

ョンをユーザーグループに割り当てる権限を与えるのかを制御します。

1 [アカウント] - [ユーザーグループ] - [リスト表示] の順に進みます。

2 既存のユーザーグループの行の [編集] アイコンを選択します。

3 [権限] タブを選択し、[追加] をクリックします。

4 アクセス権限を定義する対象の [組織グループ] を選択します。ユーザーグループのルート組織グループ (OG) 階層内にある組織グループを選択する必要があります。

5 有効にしたい [アクセス権限] のボックスにチェックを入れます。

n [グループを管理 (編集/削除)] – ユーザーグループの編集と削除ができるようになります。

n [グループ内のユーザー管理と加入の許可] – ユーザーグループ内のユーザーを管理することや、組織グルー

プへのデバイスの加入を許可することができます。この設定を有効にするには、｢グループを管理 (編集/削除)｣も有効になっている必要があります。｢グループを管理 (編集/削除)｣が無効になっている場合は、この

設定も無効になります。

n [グループを割り当てに使用] – セキュリティポリシーおよびエンタープライズリソースをデバイスに割り

当てるのにグループを使用することができます。この設定を変更するには、｢グループを管理 (編集/削除)｣

が無効になっている必要があります。｢グループを管理 (編集/削除)｣が有効になっている場合、この設定は

ロックされ、編集できません。

n この設定は、ユーザーグループがメイン OG によって管理され、サブ OG の 1 つからグループを割り

当てたい場合は無効になります。

6 アクセス権限の [適用範囲] を選択します。これは、このユーザーグループを管理または使用できる管理者を決

定します。次のオプションのいずれか [1 つ]のみを有効にできます。

n [管理者のみ] – メイン組織グループの管理者にのみ権限が適用されます。

n [この組織グループとその下のサブグループのすべての管理者] – 権限がメイン組織グループの管理者およ

びその下位のすべてのサブ組織グループのすべての管理者に適用されます。

ユーザー詳細情報にアクセスする

ユーザーとユーザーグループが設定された後は、ユーザー詳細、関連デバイス、インタラクションに関するすべての

ユーザー情報を閲覧することができます。

Console の基本

VMware, Inc. 51

https://technet.microsoft.com/

ユーザー名が表示されている、Workspace ONE UEM Console 内の任意の画面で、ユーザー情報を閲覧できま

す。次に例を示します。

n 「ユーザーグループのメンバー」（[アカウント] - [ユーザーグループ] - [詳細表示] - [その他] - [ユーザーを表

示]）

n 「ユーザーリスト表示」（[アカウント] - [ユーザー] - [リスト表示]）

n 「管理者リスト表示」（[アカウント] - [管理者] - [リスト表示]）

以下のようなユーザー詳細情報が 1 つの画面に表示されます。

n すべての関連ユーザーグループ

n 過去においてそのユーザーに関連付けられたすべてのデバイスと、すべての加入デバイスへのリンク

n デバイス共有環境でそのユーザーがこれまでにチェックアウトしたすべてのデバイスリストと、チェックイン/チェックアウト全履歴へのリンク

n 特定デバイスと特定ユーザーに関するすべてのイベントログ

n 割り当て済み/承諾済み/承諾を拒否された利用規約一覧

個人情報を暗号化する

必要に応じて、個人を特定できる情報 (氏名、E メールアドレス、電話番号等) を暗号化することができます。

1 暗号化したいグローバルまたはカスタマーレベルの組織グループから、[グループと設定] - [すべての設定] - [システム] - [セキュリティ] - [データセキュリティ] の順に進みます。

2 [ユーザー情報暗号化] を有効に設定し、暗号化したいユーザーデータ欄を選択します。この操作により検索、並

べ替え、フィルタの適用ができなくなります。

3 [保存] をクリックしてユーザーデータを暗号化します。暗号化されたデータにデータベースからアクセスする

ことはできません。この操作を行うことで、Workspace ONE UEM Console の検索、並べ替え、フィルタ

など、いくつかの機能が制限されます。

管理者グループ

管理者グループにより、管理者アカウントのサブセットを作り、Workspace ONE UEM powered by AirWatch の管理者アカウントに付属している権限以外の役割や権限を割り当てることができます。

管理者グループは、特別なプロジェクト用に、コンソールにアクセスできる役割と権限を割り当てたい場合に使用で

きます。既存のディレクトリサービス管理者を管理者グループに追加することも、カスタムクエリを使用して管理者

グループを作成することもできます。

たとえば、新規プロジェクトが発生した場合、トレーナーのグループに特別な管理権限を付与しなければならないこ

とがあります。そのような場合には、管理者グループを作成し、トレーナーをカスタムクエリで抽出し、新規プロジ

ェクトに特化した役割を与えます。詳細については、管理者アカウントを参照してください。

Console の基本

VMware, Inc. 52

管理者グループリスト表示

[管理者グループリスト表示] 画面には、ユーザーグループの一般的なメンテナンスや維持のための有益なツールが

あります。このような維持作業の具体的な内容は、ユーザーグループおよび不明ユーザーの追加、表示、融合、およ

び削除です。

この画面を表示するには、[アカウント] - [管理者] - [管理者グループ] の順に進みます。

[管理者グループの編集] 画面を表示するには、リスト表示の [グループ名] カラムにある、リンクが設定された名前

を選択します。この画面で、管理者グループの名前を変更します。また、グループメンバーの役割を追加および削除

できます。詳細は、「管理者ロール」を参照してください。

[管理者グループメンバー] のリストを表示するには、[管理者] カラムにある、リンクが設定された数値を選択しま

す。この管理者グループ内のすべての管理者の名前が一覧表示されます。

また、[管理者グループリスト表示] を [XLSX] または [CSV]（コンマ区切り値）ファイルでダウンロードすること

もできます。このファイルは、MS Excel で表示および分析できます。[エクスポート] ボタンを選択し、ダウンロー

ド場所を選択します。

次のアクションおよびメンテナンス機能を実行するには、グループ名の横にあるラジオボタンを選択します。

操作説明

同期最近追加された管理者グループユーザーを一時テーブルにコピーし、自動的に行われるようスケジュールされた

Workspace ONE UEM による Active Directory 同期が実行される前に手動で同期します。

その他のアクション

閲覧と融合一時的な管理者グループに最近追加されたユーザーの追加または削除と閲覧を行います。この表に表示される管理者

グループのユーザーは、自動の Workspace ONE UEM 管理者グループ同期が行われるまで待機します。

削除管理者グループを削除します。

一番上、上へ、下へ、一番下各管理者グループのランキングを、リストの順序を変えることで編集することができます。このようにグループを移動

する操作は、管理者グループが 1 画面に収まらない場合に便利です。

不明ユーザーを追加一時的な管理者グループの表を Active Directory の表と組み合わせ、グループに新しい管理者を正式に追加します。

Console の基本

VMware, Inc. 53

管理者グループを追加する

Workspace ONE UEM powered by AirWatch で、以下の手順に従って管理者グループを追加し、特別なプロ

ジェクトのためなどに管理者に追加の役割や権限を割り当てることができます。

1 [アカウント] - [管理者] - [管理者グループ] の順に進み、[追加] をクリックします。該当する項目を設定しま

す。

設定説明

[外部タイプ] 追加する管理者グループの外部タイプを選択します。

n [グループ] – 貴社の管理者グループのベースとなるグループオブジェクトクラスを参照します。このクラ

スをカスタマイズするには、[グループと設定] - [すべての設定] - [システム] - [エンタープライズ統合] - [ディレクトリサービス] - [グループ] の順に進みます。

n [組織ユニット] – 貴社の管理者グループのベースとなる組織ユニットオブジェクトクラスを参照します。

このオブジェクトクラスをカスタマイズするには、[グループと設定] - [すべての設定] - [システム] - [エン

タープライズ統合] - [ディレクトリサービス] - [グループ] の順に進みます。

n [カスタムクエリ] – カスタムクエリを実行し、返されたユーザーを含むユーザーグループを作成することも

できます。この外部タイプを選択すると、テキスト検索の代わりに、｢カスタムクエリ｣セクションが表示さ

れます。

[ディレクトリ名] 貴社のディレクトリサービスサーバのアドレスが表示されます。この欄は読み取りのみです。

[ドメイン] と [グループ

ベース DN]この情報は、[ディレクトリサービス] 画面（[アカウント] - [ユーザーグループ] - [設定] - [ディレクトリサー

ビス]）で入力したディレクトリサービスサーバ情報に基づいて自動的に入力されます。

[グループベース DN] の横にある [DN を取得] (+) を選択します。ベースドメイン名のリストが表示されま

す。このリストでベースドメイン名を選択できます。

[検索テキスト] ディレクトリの管理者グループ名を特定する検索条件を入力し、[検索] をクリックします。入力した語句がディレ

クトリグループの名前に含まれている場合、そのグループ名のリストが表示されます。

また、作成している管理者グループに既定の役割を適用することもできます。検索を行った後、[役割] タブを選択

し、[追加] ボタンをクリックして新しい役割を追加します。あるいは、[組織グループ] と [役割] を変更し、既存

のロールを編集します。

この欄は、[外部タイプ] として [グループ] または [組織ユニット] を選択した場合のみに表示されます。

[カスタムオブジェクトクラス]

クエリを実行するオブジェクトクラスを特定します。既定のオブジェクトクラスは「person」ですが、カスタ

ムオブジェクトクラスを提供することで貴社の管理者を特定する精度を上げることができます。


[カスタムベース DN] ベース識別名を特定します。これはクエリの開始点としての役割を果たします。既定は 'airwatch' と 'sso' ですが、別の開始点からクエリを実行したい場合は、カスタムベース識別名を提供してください。


[グループ名] [テキスト検索] 結果リストから [グループ名] を選択します。｢識別名｣欄の値を変えると、選択されるグループ名

も自動で変わります。

この欄は、[[テキスト検索]] 欄を使った検索が正常に行われた後にのみ表示されます。

[識別名] 作成しているグループの完全な識別名を表示します。この欄は読み取りのみです。

この欄は、[[テキスト検索]] 欄を使った検索が正常に行われた後にのみ表示されます。

[ランク] 管理者グループが作成されるとそのランクが表示されます。この欄は読み取りのみです。管理者グループのラン

クを変更するには、[グループと設定] - [グループ] - [管理者グループ] の順に進み、管理者グループリストの右

側の [その他のアクション] ボタン ( ) を使用してそのグループのほかのグループに対する位置を変更します。

[自動同期] このオプションでディレクトリ同期が有効になり、ディレクトリサーバからユーザーメンバーシップを検出し、

一時テーブルに保管します。[自動融合] チェックボックスがオフになっている場合、管理者はコンソールに対す

る変更内容を承認します。

Console の基本

VMware, Inc. 54

設定説明

[Auto Merge] 管理者の承認なしにデータベースの変更を自動で適用するようにするにはこのオプションを有効に設定します。

[Maximum Allowable Changes]

自動による管理者グループ同期の変更数にしきい値を設定する場合はこの欄を使用します。この数を超えると、変

更を適用する前に承認が必要になります。

この欄は [自動融合] が有効になっている場合のみに表示されます。

[グループメンバーを自動

で追加]管理者を管理者グループに自動で追加するにはこのオプションを有効にします。

[タイムゾーン] 管理者グループに対応するタイムゾーンを入力します。この設定は必須で、スケジュール済みの自動 Active Directory 同期が実行される時間に影響を与えます。

[ロケール] 管理者グループのローカリゼーション設定 (言語) を選択します。このフィールド値は指定必須です。

[最初のランディング画面] 管理者グループの管理者に最初に表示されるランディング画面を入力します。この欄は必須項目です。既定の設

定は [デバイスダッシュボード] 画面になっていますが、任意の画面に変更することができます。

カスタムクエリ

[クエリ] この欄は、[クエリをテスト] ボタンを選択したときと、[続行] ボタンを選択したときに、現在読み込んでいるク

エリを表示します。[カスタムロジック] 欄または [カスタムオブジェクトクラス] 欄に対する変内容は、ここに

反映されます。

[カスタムロジック] 管理者名などのカスタムクエリロジックはここに追加します。例: "cn=jsmith"。識別名の大部分を含めること

も、わずかな部分しか含めないこともできます。[クエリをテスト] ボタンにより、クエリのシンタックスが正しい

かを [続行] ボタンをクリックする前に確認することができます。

識別名の詳細は、Microsoft's TechNet (https://technet.microsoft.com/) の「Object Naming」と題さ

れた記事を参照してください。


割り当てを表示する

Workspace ONE UEM powered by AirWatch 内の割り当てられたグループに含まれている（または除外され

ている）デバイスプロファイル、アプリ、ブック、チャネル、および順守ポリシーをプレビューおよび確認できま

す。

手順

1 [グループと設定] - [グループ] - [割り当てグループ] の順に進みグループリストを表示し、少なくとも 1 つのエ

ンティティに割り当てられているグループを特定します。

2 [割り当て] カラムでハイパーリンクの付いた数字を選択して、[割り当てを表示] 画面を開きます。この画面には

グループの [割り当て] または [除外] を含むカテゴリのみが表示されます。

次のステップ

[割り当てを表示] 画面のヘッダー行の上にある [更新] ボタン、[エクスポート] ボタン、および [検索リスト] テキス

トボックスを使用して、特定のプロファイル、アプリ、ブック、チャンネル、および順守ポリシーを見つけ、それら

が割り当てられていることを確認できます。

Console の基本

VMware, Inc. 55

https://technet.microsoft.com/

構成 7構成とは、分類され、検索可能で、論理的に体系化された設定ページの選択されたリストです。構成を使用すると、

Workspace ONE UEM powered by AirWatch および Workspace ONE Express 内の基本的な設定ペー

ジを識別して直接移動できます。[グループと設定] - [構成] の順に選択して操作を開始します。

各構成は、[大なり] 左矢印を選択して行を展開し、説明を読むことで検査できます。展開後に、[さらに詳しく] ボタ

ンを選択して、構成の公式ドキュメントを読むこともできます。

検索可能

リストの上にある検索バーに入力して、構成とカテゴリを検索できます。

分類済み

すべての構成は属性とユースケースによって分類されるため、最も必要なものをすばやく見つけることができます。

カテゴリをクリックすると、フィルタのように動作し、選択したカテゴリに含まれていない構成は画面から削除され

ます。選択したカテゴリをクリアして画面をリセットするには、カテゴリ名の横にある [x] をクリックするか、検索

バーの上にあるリセットボタンを選択します。

VMware, Inc. 56

ポータブルカテゴリ

カテゴリの組み合わせを含む構成カテゴリを他の管理者と共有できます。たとえば、[プラットフォームのセットアッ

プ]、[Apple]、および [加入] を選択すると、ブラウザのアドレスバーに URL をコピーして、このカテゴリの組み

合わせを共有できます。

Console の基本

VMware, Inc. 57

コンソールモニター 8Workspace ONE UEM の Console モニターは、重要な情報に素早くアクセスするための中心的なポータルです。

色分けされた棒グラフやドーナツグラフを表示して、重要な問題を素早く特定し、単一の場所から迅速に対策を採る

ことができます。

この画面上の任意の棒グラフまたはドーナツグラフを選択すると、[デバイスリスト表示] が表示されます。このリ

スト表示には、選択したメトリックに関連するすべてのデバイスが表示されます。この画面で各種のアクション (例: それらのデバイスにメッセージを送信する) を実行できます。

たとえば、｢ウイルス対策ソフトの状態｣ドーナツグラフを選択したとします。すぐに [デバイスリスト表示] 画面が

表示されます。この画面には、ウイルス対策ソフトウェアがインストールされていないためポリシー違反状態になっ

ているデバイスが、一覧表示されます。リスト内のデバイスをすべて選択するには、各デバイスの行の左端にあるチ

ェックボックスをオンにします。[デバイスを追加] ボタンの下にある｢すべて選択｣チェックボックスをオンにし

て選択することもできます。リストの上にアクションボタンクラスタがあります。選択したデバイスのユーザーに

メッセージを送信するには、[送信] を選択します。E メール、プッシュ通知、および SMS テキストメッセージを選

択できます。

[モニタ] - [概要] ページには、サマリグラフと詳細表示が提供されます。

n [デバイス] – 以下のようなデバイスの正確な数を表示します。

n 登録済み、加入済み、企業情報ワイプ保留中、デバイスワイプ保留中、加入解除といった状態別の内訳

VMware, Inc. 58

n Workspace ONE UEM に加入しているデバイスのプラットフォームごとの内訳

n 過去 1 日、1 週間、1 か月間の加入履歴

n [順守] – どのデバイスが順守ポリシーに違反しているのかを確認します。

n デバイスが現在違反している、アプリ/セキュリティ設定/地理位置情報/その他の順守ポリシー

n 設定されたすべてのタイプの順守ポリシーのうち、順守違反が多い順守ポリシー

n ブラックリスト設定アプリと、デバイスにインストールされているすべてのブラックリストアプリ (違反件

数が多い順にリストアップ)

n ユーザーのためにインストールしたいアプリがまだインストールされていないデバイス

n [プロファイル] – 期限切れのプロファイルを表示します。

n 最新のプロファイルバージョンと、各プロファイルの旧バージョンがインストールされているデバイス一覧

n [アプリ] – どのアプリケーションがデバイスに関連付けられているのかを表示します。

n 最新のアプリケーションバージョンと、各アプリケーションの旧バージョンがインストールされているデバ

イス一覧

n インストール頻度が高いアプリを、現在インストールされているデバイス数の順に表示

n [コンテンツ] – 期限切れのコンテンツを持っているデバイスを表示します。

n 最新のコンテンツバージョンと、期限切れのファイルを数が多い順に表示

n [E メール] – 現在 E メールを受信できないデバイスを表示します。

n 既定設定により E メールを受信できないデバイス、ブラックリスト設定されているデバイス、加入解除した

デバイス等を表示

n [証明書] – 有効期限切れが間近に迫っている証明書を表示します。

n 1 か月以内に失効する証明書、1 ～ 3 か月以内に失効する証明書、3 ～ 6 か月以内に失効する証明書、6 ～

12 か月以内に失効する証明書、有効期限が 12 か月以上ある証明書。すでに有効期限の切れた証明書も閲覧

することができます。

表示されるデバイス情報は、サブ組織グループのデバイスも含まれるため、選択する組織グループに応じて変化しま

す。組織グループドロップダウンメニューを使用し、下位の組織グループに表示を切り替えると、デバイスリスト

は自動的に該当組織グループのものに更新されます。

[リスト表示] アイコン（）および [グラフ表示] アイコン（）。任意のメトリックを選択し、そのデバイスセットに対する｢デバイスリスト表示｣画面を開きます。この画面で各種のアクション (例: それらのデバイスにメッ

セージを送信する) を実行できます。

[表示項目] アイコン（）。表示可能セクション（デバイス、順守、プロファイルなど）を示すチェックボックスを

オンまたはオフにし、[[保存]] を選択して、Monitor の概要をカスタマイズします。

Console の基本

VMware, Inc. 59

Intelligence

Intelligence カスタムレポートおよび分析では、デバイス全体についてより詳しい情報を得ることができます。こ

れには、パフォーマンスの問題に関する可視性の強化、非常に効果的な計画ツール、展開時間の短縮が含まれます。

カスタマータイプの組織グループ内に属していることを確認し、[モニタ] - [Intelligence] の順に進み、[次へ] ボタ

ンを選択して Intelligence の機能を確認し、サービスの利用を選択します。

任意の時点でインテリジェンスカスタムレポートをオプトアウトすることができます。

詳細については、docs.vmware.com で「[Workspace ONE Intelligence User Guide]」を参照してくださ

い。

アプリモニタおよびプロファイルモニタでのアプリケーション展開

状態の表示

アプリモニタおよびプロファイルモニタを使用して、エンドユーザーデバイスへのアプリケーションまたはプロフ

ァイルの展開を追跡します。このモニタには、貴社の展開の状態に関する概要情報が示されます。

1 [モニタ] - [アプリモニタおよびプロファイルモニタ] の順に進みます。

2 検索フィールドにアプリまたはプロファイルの名前を入力します。キーボードの [Enter] キーを押して検索を

開始します。

3 ドロップダウンメニューからアプリまたはプロファイルを選択し、[追加] を選択します。

アプリまたはプロファイルのデータがカード上に表示されます。一度に追加できるカードは 5 つまでです。

アプリモニタおよびプロファイルモニタは、展開中のデバイスの現在の展開状態を表示します。状態では、アプリ

とプロファイルのさまざまなインストール状態を組み合わせて「完了」、「保留中」、または「未完了」を示します。

Console の基本

VMware, Inc. 60

表 8-1. アプリモニタおよびプロファイルモニタの展開状態に関する説明

状態説明

[完了] アプリまたはプロファイルが正常にインストールされると、デバイスが「完了」状態をレポートします。

[保留中] アプリまたはプロファイルが次の状態をレポートすると、デバイスが「保留中」状態をレポートします。

[プロファイル]

n インストール保留中

n 削除保留中

n 未確認の削除

n 削除されたことを確認。

[アプリ]

n 引き換えが必要です

n 引き換え中

n プロンプト中

n インストール中

n MDM 削除

n MDM 削除済み

n 不明

n デバイスのインストールコマンド準備完了

n デバイスへのインストール待機中

n ログインをプロンプト中

n 更新中

n リリース保留中

n 管理を促すプロンプトを表示

n インストールコマンド発信済み

n ダウンロード中

n コマンドが受け付けられました

[未完了] アプリまたはプロファイルが次の状態をレポートすると、デバイスが「未完了」状態をレポートします。


n 処理中情報

[アプリ]

n ユーザーが削除しました

n インストールが拒否されました

n インストールできませんでした

n ライセンスが使用できません

n 拒否されました

n 管理拒否

n ダウンロード失敗

n 条件未設定

n コマンド失敗

「未完了」状態が表示された場合は、状態の横にある番号を選択して、状態をレポートしているすべてのデバイスの

「デバイスリスト表示」を確認します。この機能を使用すると、問題のあるデバイスを調査できるため、展開のトラブ

ルシューティングが可能です。

Console の基本

VMware, Inc. 61

iOS 向けの業種別テンプレート

業種別テンプレートを使用してさまざまなモバイルアプリケーションとデバイスプロファイルにアクセスできま

す。これらをデバイスにプッシュすることで、展開プロセスを大幅に短縮することができます。

ヘルスケア、小売業など、該当するテンプレートを選択できます。テンプレートは必要に応じて編集することができ

ます。詳細については、「Apple の業種別テンプレート」を参照してください。


n アプリケーション展開の追跡と監視

アプリケーション展開の追跡と監視

展開履歴データとデバイス上のインストール状態を確認することで、Workspace ONE UEM でのデバイスへのア

プリおよびプロファイルの最近の展開を追跡できます。また、アプリの展開の進行状況を監視し、デバイスから報告

されたアプリケーションの実際の状態を追跡することもできます。

アプリモニタおよびプロファイルモニタは、エンドユーザーデバイスへのアプリおよびプロファイルの展開状態を

追跡します。モニタは、過去 15 日間に展開されたアプリとプロファイルのみを追跡します。このデータを使用する

と、展開の状態を確認し、問題を診断できます。アプリまたはプロファイルを検索すると、展開データを含むカード

が [アプリモニタおよびプロファイルモニタ] ビューに追加されます。一度に最大 5 つのカードを表示できます。

これらのカードは、ログアウトするまで追加されたままになります。もう一度ログインするときは、すべてのカード

を再度追加する必要があります。

「履歴」セクションには、過去 7 日間のデータのみが表示されます。展開の「完了」状態をレポートしているデバ

イスの数が表示されます。「現在の展開」セクションには、デバイスの展開状態が表示されます。「未完了」状態が

表示された場合は、状態の横にある番号を選択して、状態をレポートしているすべてのデバイスの「デバイスリス

ト表示」を確認します。この機能を使用すると、問題のあるデバイスを調査できるため、展開のトラブルシューティ

ングが可能です。アプリモニタおよびプロファイルモニタでは、Workspace ONE ™ UEM v9.2.1 以降へのアッ

プグレード後に開始した展開のみを追跡します。アップグレードする前に、アプリまたはプロファイルを展開した場

合、モニタは展開のすべてのデータを追跡しません。

アプリモニタおよびプロファイルモニタでのアプリケーション展開状態の表示

アプリモニタおよびプロファイルモニタを使用して、エンドユーザーデバイスへのアプリケーションまたはプロフ

ァイルの展開を追跡します。このモニタには、貴社の展開の状態に関する概要情報が示されます。

1 [モニタ] - [アプリモニタおよびプロファイルモニタ] の順に進みます。

2 検索フィールドにアプリまたはプロファイルの名前を入力します。キーボードの [Enter] キーを押して検索を

開始します。

3 ドロップダウンメニューからアプリまたはプロファイルを選択し、[追加] を選択します。

アプリモニタおよびプロファイルモニタは、展開中のデバイスの現在の展開状態を表示します。状態では、アプリ

とプロファイルのさまざまなインストール状態を組み合わせて「完了」、「保留中」、または「未完了」を示します。

Console の基本

VMware, Inc. 62

https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/iOS_Platform/GUID-iOSConfigOverview.html

表 8-2. アプリモニタおよびプロファイルモニタの展開状態に関する説明

状態説明

完了アプリまたはプロファイルが正常にインストールされると、デバイスが「完了」状態をレポートします。

保留中アプリまたはプロファイルが次の状態をレポートすると、デバイスが「保留中」状態をレポートします。


n インストール保留中

n 削除保留中

n 未確認の削除

n 削除されたことを確認。

[アプリ]

n 引き換えが必要です

n 引き換え中

n プロンプト中

n インストール中

n MDM 削除

n MDM 削除済み

n 不明

n デバイスのインストールコマンド準備完了

n デバイスへのインストール待機中

n ログインをプロンプト中

n 更新中

n リリース保留中

n 管理を促すプロンプトを表示

n インストールコマンド発信済み

n ダウンロード中

n コマンドが受け付けられました

未完了アプリまたはプロファイルが次の状態をレポートすると、デバイスが「未完了」状態をレポートします。


n 処理中情報

[アプリ]

n ユーザーが削除しました

n インストールが拒否されました

n インストールできませんでした

n ライセンスが使用できません

n 拒否されました

n 管理拒否

n ダウンロード失敗

n 条件未設定

n コマンド失敗

「未完了」状態が表示された場合は、状態の横にある番号を選択して、状態をレポートしているすべてのデバイスの

「デバイスリスト表示」を確認します。この機能を使用すると、問題のあるデバイスを調査できるため、展開のトラブ

ルシューティングが可能です。

Console の基本

VMware, Inc. 63

アプリケーションの状態の追跡ワークフロー

Workspace ONE UEM には、システムで実行された最後のアクション、および各エンドユーザーデバイスのア

プリケーションインストール状況が表示されます。これらの情報は、展開プロセスの決定に役立ちます。

次のワークフローは、アプリケーションのインストールの状況を示します。

Console の基本

VMware, Inc. 64

Console の基本

VMware, Inc. 65

次のワークフローは、アプリケーションの削除の状況を示します。

[デバイスの詳細] ページからアプリケーション展開の進行状況を監視する

[デバイスの詳細] ページのアプリケーション展開情報により、管理者は Workspace ONE UEM Console を介し

てエンドユーザーのデバイスに展開するアプリケーションに関する情報を確認できます。展開の進行状況の画面で

は、プライバシーポリシーに応じて、特定のユーザーのデバイスに使用資格が付与されているアプリとユーザーの個

人アプリに関する情報が示されます。この情報は、個々のデバイスのアプリケーションの状態に関してトラブルシュ

ーティングを行う場合に役立ちます。

次の手順を実行して、[デバイスの詳細] ページのアプリケーション展開の進行状況を追跡します。

[デバイスの詳細] ページのアプリケーション展開情報により、管理者は Workspace ONE UEM Console を介し

てエンドユーザーのデバイスに展開するアプリケーションに関する情報を確認できます。展開の進行状況の画面で

は、プライバシーポリシーに応じて、特定のユーザーのデバイスに使用資格が付与されているアプリとユーザーの個

人アプリに関する情報が示されます。この情報は、個々のデバイスのアプリケーションの状態に関してトラブルシュ

ーティングを行う場合に役立ちます。

次の手順を実行して、[デバイスの詳細] ページのアプリケーション展開の進行状況を追跡します。

各アプリケーションのバージョンの監視

[詳細ビュー] の [サマリ] および [デバイス] タブから各アプリケーションのバージョンを追跡して、アプリケーショ

ン展開を監査し、管理機能を実行できます。すべての内部アプリケーションについて、特定のアプリケーションのバ

ージョン展開の進行状況に関するサマリを表示したり、デバイスのサブセットに対してアクションを実行したりでき

ます。精度を向上させるために、Workspace ONE UEM は情報にさまざまな側面を与えて、一括アクションを可

能にします。エンドユーザーデバイスに展開されているストアアプリケーションと、特定の VPP アプリケーショ

ンに関連付けられているデバイスリストに関するパブリックアプリのサマリメトリックは、レポート作成と一括ア

クションの実行に使用できます。

Console の基本

VMware, Inc. 66

各アプリケーションのバージョンの展開を追跡するには、次の手順を実行します。

1 [リソース] - [アプリ]の順に進みます。

2 [アプリケーションタイプ] を選択します。

3 必要なアプリを検索して選択します。

4 [概要] タブを選択し、アプリ情報を確認します。

分析データスナップショット

スマートグループでフィ

ルタ

このフィールドを使用すると、特定のスマートグループに属するデバイスの概要を表示できます。たとえば、ア

プリケーションをすべてのエンドユーザーデバイスに展開しているときに、「APAC」領域の展開の進行状況を把

握するには、[スマートグループでフィルタ] ドロップダウンから「APAC スマートグループ」を選択します。

割り当ておよびインストー

ルの詳細

このビューには、特定のバージョンを割り当てられているすべてのデバイスが明確に表示されます。

[インストール済み] – アプリをインストール済みのデバイス台数の一覧が表示されます。

[未インストール] – アプリをインストールしていないデバイス台数の一覧が表示されます。

展開の進行状況この表を使用して、Workspace ONE UEM でアプリケーションのインストールがリリースされたかどうかと、

アプリケーションをデバイスに配布するのに使用されたプッシュモード、および割り当てられたスマートグルー

プを確認します。

[割り当て先] – アプリの｢柔軟な展開｣に割り当てられているスマートグループの一覧が表示されます。

[状態] – Workspace ONE UEM のデバイスへのインストールコマンドのリリースをレポートします。

[展開] – 自動あるいはオンデマンドといった、アプリのプッシュモードを表示します。

割り当てなしのインストー

ル

アクセスを容易にし、アクションを促進するために、特定のバージョンのアプリケーションがインストールされて

いますが、Workspace ONE UEM console からの有効な割り当てがないデバイスがすべて表示されます。以

前にこのバージョンのアプリケーションに割り当てられていたデバイス、またはアプリケーションをサイドロード

したデバイスを一覧表示できます。

前回のアクションの詳細特定のバージョンの Workspace ONE UEM console で最後に実行したアクションが表示されます。

ピアツーピア詳細ピアツーピアを使用してアプリケーションをダウンロードしたデバイスの数、ダウンロードしたデータ量、ダウン

ロードしたデータのソースが表示されます。

[ピアツーピア詳細] セクションでは、次の情報にアクセスできます。

n アプリケーションがインストールされているデバイスの合計数。

n ピアツーピアプロファイルがインストールされているデバイスの合計数と、デバイスの合計数に対する割合。

n ピアツーピアを有効にしたデバイスの円グラフ。ピアを使用していないデバイスの割合に対して、アプリケー

ションのダウンロードにピアを使用したデバイスの割合が表示されます。

n ピアツーピアを使用して保存された合計バイト数。

n サーバまたはピアのいずれかからピアツーピアを有効にしてダウンロードされる合計バイト数に対して、ピア

からコンテンツをダウンロードして保存される合計バイト数を示す割合。

n CDN またはデバイスサービスサーバのいずれかからすべてのデバイスによりダウンロードされた合計バイ

ト数。

n すべてのデバイスがピアからダウンロードした合計バイト数。

Console の基本

VMware, Inc. 67

5 レポートを作成して一括アクションを実行するには、特定のアプリケーションバージョンの [デバイス] タブを

選択します。


アプリサンプル最終表示

日時

デバイスが前回アプリケーション情報を報告した日時を示します。

アプリ状態特定のバージョンのアプリケーションがエンドユーザーデバイスにインストールされているかどうかを示しま

す。

割り当て済みの構成設定されている優先順位に基づいて、デバイスが受信する割り当て済みの構成にリンクします。

割り当て状態特定のデバイスが Workspace ONE UEM console から有効な割り当てを受けているかどうか、割り当てか

ら明示的に除外されているかどうかを示します。

前回実行されたアクションアクションが成功しないシナリオでは、デバイスで発生したエラーを絞り込むために、特定バージョンの

Workspace ONE UEM Console で最後に実行されたアクションを把握することが重要です。アクションを

ポイントすると、アクションが実行された時刻を表示できます。

注：デバイスの特定バージョンのアプリケーションで Workspace ONE UEM console によって実行された

すべてのアクションは、この列に表示されます。

インストール状態デバイスによって報告された最新のインストールイベントに関する情報を表示します。

デバイスデバイスに関する詳細情報が表示されます。

ユーザーユーザーに関する詳細情報が表示されます。

ピアツーピアピアツーピアの次のいずれかのステータスを表示します。

n [オン/使用済み]：ピアツーピアプロファイルがインストールされており、アプリケーションの取得時にピア

を使用したデバイスのリストを表示します。

n [オン/使用されていません]：ピアツーピアプロファイルがインストールされており、アプリケーションの取

得時にピアを使用していないデバイスのリストが表示されます。

n [オフ]：ピアツーピアプロファイルがインストールされているが、オフになっているデバイスのリストを表

示します。

ピアツーピアの状態をポイントすると、次の詳細情報が表示されます。

n アプリケーションの元のソース（CDN/デバイスサービス）を示すダウンロードソース。

n キャッシュが有効（真/偽）：デバイスの BranchCache サービスステータスを示します。

n 現在のクライアントモード（無効/配布/ホスト型/ローカル）：プロファイルで設定されているピアツーピア

モードを示します。

n ホスト型キャッシュサーバのリスト (ホスト型サーバ名）：現在のクライアントモードが「ホスト型」の場

合、プロファイルで設定されたホスト型サーバのリストを示します。

n キャッシュのバイト数：ピアまたはホスト型サーバからダウンロードされたバイト数を示します。

n サーバのバイト数：CDN/ディレクトリサービスサーバからダウンロードされたバイト数を示します。

6 また、[デバイス] タブでは、次の管理機能を使用できます。

注：特定の基準によってデバイスをフィルタリングし、フィルタリングした後のすべてのデバイスに対してア

クションを実行できます。

設定説明

メッセージを送信選択したデバイスに、アプリに関する通知を送信します。

インストール選択したデバイスにアプリをインストールします。

削除アプリが管理対象の場合、選択したデバイスからアプリを削除します。

Console の基本

VMware, Inc. 68

設定説明

クエリアプリの状態に関するデータのクエリをデバイスに送信します。

送信選択したデバイスに、アプリに関する通知を送信します。



社内アプリケーションのバージョンをすべて監視する

特定の OG でまとめて管理している内部アプリケーションの異なるバージョンのサマリをまとめて表示できます。

バンドル名をクリックすると、さまざまなバージョンの使用資格が付与されたデバイスのサマリと詳細を表示できま

す。また、[アプリの詳細] ビューでは、複数のアクティブなバージョンにわたる特定のアプリケーションの割り当て

を表示することもできます。サマリが役に立つのは、さまざまなグループに割り当てられている複数のアクティブな

バージョンのアプリケーションを保持している場合です。このビューには、割り当てられたさまざまなデバイスへの

アプリケーションの詳細なインストール状態が表示され、サイドローディングによってアプリケーションがインスト

ールされたデバイスや、以前に割り当てられていたデバイスに関する情報も表示されます。

すべてのバージョンのアプリケーションに関してアプリケーション展開を追跡する場合は、次の手順を実行します。

1 [リソース] - [アプリ] - [社内]の順に進みます。

2 目的のアプリケーションのすべてのバージョンを検索して選択します。

3 [概要] タブを選択し、アプリ情報を確認します。



ルタ





ルの詳細

アプリケーションが Workspace ONE UEM から割り当てられているデバイスのインストールの詳細を表示し

ます。このビューには、現在の OG で管理されているアクティブなバージョンごとに、すべてのデバイスの割り

当てが明確に表示されます。




ル

アクセスを容易にしてアクションを促進するため、特定バージョンのアプリケーションがインストールされている

が、Workspace ONE UEM console からの有効な割り当てがないデバイスがすべてこのチャートに表示され

ます。

インストール状態の詳細これはデバイスから報告されたデータを表したもので、このアプリケーションのインストール状態に関する詳細情

報が含まれており、特定のバージョンには関連付けられていません。

注：このフィールドの最終状態は [管理対象] です。

4 レポート作成や一括アクションを行う場合は、[デバイス] タブを選択します。


アプリサンプル最終表示

日時

デバイスが前回アプリケーション情報を報告した日時を示します。

アプリ状態アプリケーションがエンドユーザーデバイスにインストールされているかどうかを示します。

Console の基本

VMware, Inc. 69


割り当て済みの構成設定されている優先順位に基づいて、デバイスが受信する割り当て済みの構成にリンクします。

前回実行されたアクションアクションが成功しないシナリオでは、デバイスで発生したエラーを絞り込むために、特定バージョンの

Workspace ONE UEM Console で最後に実行されたアクションを把握することが重要です。アクションを

ポイントすると、アクションが実行された時刻を表示できます。デバイスの特定バージョンのアプリケーションで

Workspace ONE UEM Console によって実行されたすべてのアクションは、この列に表示されます。

インストール状態デバイスから最後に報告されたインストールを表示します。この列に表示される情報はバージョンに依存しませ

んが、管理者は最後に実行されたアクションのタイムスタンプと、イベントがデバイスから報告されたときのタイ

ムスタンプに基づいて、トラブルシューティングに使用できます。

割り当て状態特定のデバイスが Workspace ONE UEM Console から有効な割り当てを受けているかどうか、割り当てか

ら明示的に除外されているかどうかを示します。

5 また、[デバイス] タブで次の管理機能を使用できます。

注：現在、フィルタリングされたすべてのデバイスではなく、特定ページのデバイスに対するアクションのみ

がサポートされています。

設定説明



パブリックアプリの監視

エンドユーザーデバイスに展開されているストアアプリケーションと、特定の VPP アプリケーションに関連付け

られているデバイスリストに関するパブリックアプリのサマリメトリックは、レポート作成と一括アクションの実

行に使用できます。このビューには、アプリケーション展開の進行状況が視覚的に表示されます。特定の OG で管理

されているすべてのパブリックアプリケーションのサマリを確認することができます。詳細ビューには、[アプリケ

ーション状態]、[管理元]、[アプリケーション ID] などのアプリケーション情報が表示されます。[スマートグルー

プ] フィルタを使用して、パブリックアプリケーション展開状態のビューをフィルタリングすることもできます。パ

ブリックアプリケーションのアプリケーション展開を追跡する場合は、次の手順を実行します。

1 [リソース] - [アプリ] - [パブリック]の順に進みます。

2 [サマリ] タブに、アプリケーション展開の進行状況を詳細に確認できる展開チャートが表示されます。



ルタ





ルの詳細

アプリケーションが Workspace ONE UEM から割り当てられているデバイスのインストールの詳細を表示し

ます。このビューには、現在の OG で管理されているアクティブなバージョンごとに、すべてのデバイスの割り

当てが明確に表示されます。



前回のアクションの詳細特定のバージョンの Workspace ONE UEM console で最後に実行したアクションが表示されます。

Console の基本

VMware, Inc. 70


インストール状態の詳細これはデバイスから報告されたデータを表したもので、このアプリケーションのインストール状態に関する詳細情

報が含まれており、特定のバージョンには関連付けられていません。

注：このフィールドの最終状態は [管理対象] です。


ル

アクセスを容易にし、アクションを促進するために、特定のバージョンのアプリケーションがインストールされて

いますが、Workspace ONE UEM console からの有効な割り当てがないデバイスがすべて表示されます。以

前にこのバージョンのアプリケーションに割り当てられていたデバイス、またはアプリケーションをサイドロード

したデバイスを一覧表示できます。

Console の基本

VMware, Inc. 71

Console 通知 9Workspace ONE UEM の運用に影響が出る可能性のあるイベントについてお知らせするために、通知が表示され

ます。通知ボタンは、[グローバル検索] 虫眼鏡アイコンの横にあります。

通知にはさまざまな種類があります。

n [アプリケーション APNs 証明書の有効期限] – アプリケーション用 APNs の有効期限が切れる 30 日前に通

知されます。これは、優先度が｢重大｣のアラートです。この通知は、証明書の有効期限切れに関するトラブル

を防止するのに役立ちます。また、この通知によって、デバイス上のアプリ機能が維持されます。

n [[アプリ削除の保護]] – これは優先度が「高」のアラートであり、アプリ削除回数がしきい値を超過したときに

表示されます。この通知に対処するには、｢通知｣ポップアップの｢アプリ削除防止対策を確認｣リンクを選択し

ます。

n [デバイスアプリログストレージアラート] – この通知は優先度が｢高｣のアラートで、ストレージログが容量

の 75% を超えると表示されます。ログを削除するか、またはサポート担当者に連絡して制限を増やします。こ

のアラートは破棄できます。

n [エンタープライズアプリリポジトリ更新] – この通知は、選別されたエンタープライズアプリのカタログから

デバイスに適用できる [アプリ更新プログラム利用可能] がある場合に表示される情報アラートです。

n [リスト表示のエクスポート] – この通知は、ユーザーが要求したデバイスリスト表示またはユーザーリスト表

示のエクスポート処理が完了して検査できる状態になったときに表示されます。これは優先度が｢情報｣の通知

で、破棄できます。

n [MDM APNs の有効期限] – MDM 用の APNs 証明書の有効期限が切れる 30 日前に通知されます。これは、

優先度が｢重大｣のアラートです。APNs 証明書の有効期限が切れると、アラートの優先度が｢重大｣から｢高｣

に下がります。この通知は、証明書の有効期限切れに関するトラブルを防止するのに役立ちます。また、この通

知によって、デバイスと Workspace ONE UEM の間の通信が維持されます。

n [ピアツーピアサーバ更新] – 新バージョンのピアツーピアサーバが使用可能になったときに通知されます。サ

ービス中断を回避するためにサーバをアップグレードできます。

n [プロビジョニングプロファイルの有効期限] – アプリケーションを含むプロビジョニングプロファイルの有効

期限が切れると通知されます。プロビジョニングプロファイルを再生成し、更新する必要があります。これは優

先度が｢重大｣の通知で、破棄できません。

VMware, Inc. 72

n [ユーザーグループ融合保留中] – この通知は、"ユーザーグループ融合プロセスが保留中であり、管理者による

承認が必要である" ということを知らせるものです。この通知が表示されるのは、次の場合です。

n ディレクトリベースのユーザーグループにおいて｢変更を自動融合する｣チェックボックスをオフにしてい

る、つまり、変更する際は必ず管理者による承認が必要である。

n ｢変更を自動融合する｣チェックボックスをオンにしており、かつ、変更数が最大許容変更回数を超過した。

最大許容変更回数に達した後にさらに変更を行う場合は、管理者による承認が必要です。

n [VPP アプリ自動更新] – この通知は優先度が｢高｣のアラートであり、Apple VPP (Volume Purchase Program) を使用してインストールされたアプリの更新バージョンがリリースされたことをユーザーに知らせ

るものです。

コンソール通知を管理する

管理者による確認が必要なアクティブな通知がある場合は、数字のバッジが通知アイコン上に表示され、アクティブ

なアラートの数がわかります。このベルの図柄のアイコンを選択すると、[通知] ポップアップが開きます。

受信した通知を管理できます。具体的には、アクティブなアラートを一覧表示すること、APNs を更新すること、失

効したアラートを破棄すること、破棄したアラートを一覧表示すること、および、通知設定を構成することができま

す。

各アラートには、MDM 証明書に対する APNs が存在する組織グループが表示されます。また、証明書の有効期限、

および、APNs を更新するためのリンクも表示されます。

n [アクティブなアラートを表示する] – 既定のビューにはアクティブなアラートの一覧が表示されます。

n [APNs を更新する] – このリンクをクリックすると、｢組織グループの変更｣画面が表示されます。この画面が

表示されるのは、ライセンスの有効期限が迫っているデバイスを管理している組織グループが、あなたが現在所

属している組織グループと異なる場合です。この APNs ライセンスを更新するには、[はい] を選択し、あなた

の組織グループを自動変更してください。

[MDM 用の APNs] 設定画面の指示に従ってライセンスを更新し、デバイスが Workspace ONE UEM との

接続を維持できるようにします。

n [アラートを破棄する] – 失効したアラートを閉じて破棄済みアラート一覧に送るには、[X] ボタンをクリックし

ます。重大な優先度の通知を閉じることはできません。

n [すべてを閉じる] – すべてのアクティブなアラートを閉じて破棄済みアラート一覧に送ります。

n [破棄したアラートを表示する] – 破棄したアラートを一覧表示するには、｢通知｣ポップアップの上部にある [破棄済み] タブを選択します。

通知設定を構成する

[[アカウント設定]] ページの通知設定を使用して、APNs 失効アラートの有効/無効の切り替え、アラートの受け取

り方の選択、アラート送信先の E メールアドレスの変更を行うことができます。

Console の基本

VMware, Inc. 73

1 Workspace ONE UEM Console の、ほぼどの画面でもアクセスできる [アカウント] ドロップダウンを選択

し、[アカウント設定を管理] を選択し、[通知] タブを選択します。

また、通知のポップアップ画面の右下に表示されるギアアイコンを選択することで通知設定画面にアクセスする

こともできます。

2 次の各イベントが発生したときにどのように通知を受けたいかを選択してください。

設定説明

[APNs 失効日] この通知は、証明書の有効期限切れに関するトラブルを防止するのに役立ちます。また、この通知によって、デバ

イスと Workspace ONE UEM の間の通信が維持されます。

[リスト表示のエクスポー

ト]ユーザーリスト表示またはデバイスリスト表示のエクスポートが完了したときに、アラートをトリガできます。

[ユーザーグループ融合] [変更を自動融合する] チェックボックスをオフにしている場合、Active Directory データベースに対する変更

内容が Workspace ONE UEM と同期するときに、アラートをトリガできます。

[VPP アプリ自動更新] Apple VPP (Volume Purchase Program) を使用してインストールされたアプリの更新バージョンがリリ

ースされたときに、アラートをトリガできます。

[アプリ APNs 証明書失

効]この通知は、証明書の有効期限切れに関するトラブルを防止するのに役立ちます。また、この通知によって、デバ

イス上のアプリ機能が維持されます。

[プロビジョニングプロフ

ァイル失効]アプリケーションを含むプロビジョニングプロファイルの有効期限が切れると通知されます。プロビジョニング

プロファイルを再生成し、更新する必要があります。

[API 使用率] API（アプリケーションプログラミングインターフェイス）呼び出しの数が、日次の API 制限の 50%、75%、

90%、および 100% に達したときに通知されます。

[エンタープライズアプリ

リポジトリ更新]選別されたエンタープライズアプリのカタログにあるアプリに、デバイスに適用できる更新がある場合に通知さ

れます。

[環境アップグレード通知] Workspace ONE UEM 環境がアップグレードされると通知されます。

[環境メンテナンス通知] Workspace ONE UEM 環境でメンテナンスイベントが発生すると通知されます。

3 各イベントは、[なし]、[コンソール]、[E メール]、および [コンソールと E メール] の間で選択します。

[E メール] および [コンソールと E メール] を選択すると、[E メールの送信先：] フィールドに少なくとも 1 つの E メールアドレスを入力する必要があります。コンマで区切られた複数の E メールアドレスを入力するこ

とができます。

4 変更内容を [保存] または [キャンセル] します。

Console の基本

VMware, Inc. 74

イベントログ 10イベントとは、Workspace ONE UEM Console がログに保存する管理操作とデバイス操作の記録です。イベン

トログを CSV ファイルとしてエクスポートします。また、Workspace ONE UEM Console を構成して、イベ

ントログをセキュリティ情報およびイベント管理ツール、またはビジネスインテリジェンスシステムに送信するこ


イベントログには、デバイスイベントと Workspace ONE UEM Console イベントの両方が表示されます。デ

バイスイベントには、コンソールからデバイスに送信されたコマンド、デバイスの応答、デバイスユーザーの操作

が表示されます。コンソールイベントには、ログインセッション、失敗したログイン試行、管理者の操作、システ

ム設定の変更、ユーザーの設定など、Workspace ONE UEM Console から実行されたアクションが表示されま

す。

日付範囲、重要度レベル、カテゴリ、またはモジュールをフィルタリングできます。

重要度レベルには、次の説明が含まれます。

n [重大]：プライマリ Workspace ONE UEM Console システムで障害が発生したことを示します。

n [エラー ]：プライマリ以外の Workspace ONE UEM Console システムで障害が発生したことを示します。

n [警告]：アクションが実行されない場合に、後で問題が発生することを示します。

n [通知]：異常な状態を示します。

n [情報]：通常の運用データを示します。

n [デバッグ]：トラブルシューティングに役立つ情報を示します。

注：選択した [日付範囲] オプションで 10,000 を超えるイベントが返された場合、日付範囲を短くするように勧

めるバナーメッセージが表示されます。長い日付範囲が望ましい場合は、1 つの親 OG を対象として 1 つのイベント

レポートを作成するのではなく、複数の子 OG に分けてイベントレポートを作成します。

Console イベント

コンソールイベントには、ログインセッション、失敗したログイン試行、管理者の操作、システム設定の変更、ユ

ーザーの設定などを含む、Workspace ONE UEM Console から実行された MDM アクションが表示されます。

1 [モニタ] - [レポート & 分析] - [イベント] - [コンソールイベント]の順に進みます。

2 デバイスのリストを絞り込むために、情報をフィルタリングします。

VMware, Inc. 75

選択元：

n 日付範囲（上記の [メモ] を参照）

n 重要度

n カテゴリ

n モジュール

3 特定のコンソールイベントの情報を表示するには、[イベントデータ ] オプションをクリックします。

デバイスイベント

デバイスイベントは、システムによってログに記録されるさまざまな種類のイベントの一覧です。デバイスに対する

モバイルデバイス管理 (MDM) コマンド、デバイスの応答、デバイスユーザーの操作のリストを表示します。ログ

は、日付の範囲、重要度レベル、カテゴリ、またはモジュールでフィルタリングできます。

デバイスイベントの重要度レベルには、次の説明が含まれます。

n [緊急]：緊急の注意を要する重大な MDM 障害を示します。

n [アラート]：基本的な MDM システムに注意を要する障害が発生したことを示します。

n [重大]：プライマリ MDM システムで障害が発生したことを示します。

n [エラー]：プライマリ以外の MDM システムで障害が発生したことを示します。

n [警告]：アクションが実行されない場合に、後で問題が発生することを示します。

n [通知]：異常な状態を示します。

n [情報]：通常の運用データを示します。

n [デバッグ]：トラブルシューティングに役立つ情報を示します。

デバイスイベントログを確認するには、次の手順を実行します。

1 [モニタ] - [レポート & 分析] - [イベント] - [デバイスイベント]の順に進みます。

2 デバイスのリストを絞り込むために、情報をフィルタリングします。

選択元：

n 日付範囲（上記の [メモ] を参照）

n 重要度

n カテゴリ

n モジュール

3 [フレンドリ名] オプションを選択して、特定のデバイスに関するデータを表示します。

4 [ユーザー] オプションを選択して、[デバイスを追加]、[編集] オプション、[組織グループを変更] などのさまざ

まな機能を実行します。

Console の基本

VMware, Inc. 76

Syslog 設定を変更する

Syslog 設定を変更できます。[グループと設定] - [すべての設定] - [システム] - [エンタープライズ統合] - [Syslog] の順に進み、設定ページに移動します。

または、[モニタ] - [レポートと分析] - [イベント] - [Syslog] の順に選択し、[デバイスイベント] メニューの下に

ある [Syslog] メニューを選択することができます。

詳細については、「Syslog 統合」を参照してください。

イベント設定を変更する

コンソールイベントとデバイスイベントの最小ログ収集レベルを変更できます。[グループと設定] - [すべての設

定] - [管理者] - [イベント] の順に進み、[イベント設定] ボタンを選択します。

[デバイス] イベントおよび [コンソール] イベントの最小ログ収集レベルを設定します。デバイスとコンソールの両

方について選択したレベル以上のイベントは、Workspace ONE UEM データベースによってキャプチャおよび保

存され、Workspace ONE UEM Console の [モニタ] - [レポートと分析] - [イベント] - [デバイスイベントとコ

ンソールイベント] に表示されます。

Console の基本

VMware, Inc. 77

https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/UEM_Logging/GUID-AWT-SYSLOGOVERVIEW.html

Freestyle Orchestrator 11Freestyle Orchestrator を使用して、特定の目的を達成するよう設計されたカスタマイズされたワークフローを作

成します。定義した条件に基づいて、リソース（アプリケーション、スクリプト、プロファイルなど）をインストー

ルできます。

注： Freestyle Orchestrator は、現在 macOS および Windows 10 デバイスでのみ使用できます。

簡素化されたカスタムワークフロー

Freestyle Orchestrator は、ドラッグアンドドロップによる簡潔で柔軟な操作を提供する、コードのない IT オー

ケストレーションプラットフォームで、リソース、条件、およびグループの機能を使用してワークフローを作成でき

ます。

構成要素としてのリソース

リソースは、アプリ、デバイスプロファイル、またはスクリプト（Windows 10 PowerShell または macOS シェルスクリプト）などのデバイスにインストールできます。リソースは、センサーのように、デバイスに由来するメ

カニズムとして使用することもできます。Freestyle ワークフローを作成すると、これらすべてのリソースを活用し

て定義したタスクを実行できるようになります。

リソースに移動して、ワークフロー内で使用するアプリ、プロファイル、スクリプト、センサーを構成し、きめ細か

い条件に基づいてデバイスに適用します。

詳細については、Freestyle Orchestrator Guide を参照してください。

VMware, Inc. 78

https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/GUID-AWT-FREESTYLE-ORCHESTRATOR/GUID-freestyle-orchestrator.html

統合可能なその他のエンタープライズシステム 12ディレクトリサービス、SMTP を使用した E メール管理、コンテンツ管理リポジトリのような既存の企業インフラ

と、Workspace ONE UEM powered by AirWatch 環境を統合することで、より高度な MDM 機能を活用で

きます。

n [E メールリレー (SMTP)] – モバイル E メールにセキュリティ、可視性、コントロールを提供します。

n [ディレクトリサービス (LDAP/AD)] – 既存の企業グループを活用しユーザーとデバイスを管理します。

n [Microsoft 証明書サービス] – Workspace ONE UEM 展開に既存の Microsoft 証明書インフラを活用し

ます。

n [SCEP PKI] – Wi-Fi、VPN、Microsoft EAS 等に証明書を構成します。

n [E メール管理 Exchange 2010 (PowerShell)] – Workspace ONE UEM を企業 E メールサーバとセキ

ュアに接続し、ポリシーを適用します。

n [BlackBerry エンタープライズサーバ (BES)] – 効率的な BlackBerry 管理のため、BES と統合します。

n [サードパーティ証明書サービス] – AirWatch 管理者コンソールに管理したい証明書管理システムをインポー

トします。

n [Lotus Domino Web サービス (HTTPS)] – 貴社の AirWatch 展開を通して Lotus Domino コンテンツ

と機能にアクセスします。

n [コンテンツリポジトリ] – SharePoint、Google ドライブ、SkyDrive、ファイルサーバやネットワークシェアと統合します。

n [Syslog (イベントログデータ)] – 統合されたすべてのサーバとシステムで閲覧したいイベントログデータ

をエクスポートします。

n [企業ネットワーク] – Wi-Fi と VPN 設定を構成し、アクセスのためのユーザー資格情報に関連するデバイス

プロファイルをプロビジョンします。

n [システム情報とイベント管理 (SIEM)] – デバイスとコンソールデータを記録/コンパイルし、セキュリティ確保

と規制/企業ポリシー順守を確実に行います。

Workspace ONE UEM とこれらのインフラストラクチャを統合する方法の詳細は、Workspace ONE Access のドキュメントを参照してください。docs.vmware.com でそれぞれ入手可能な [VMware Tunnel Admin Guide]、[AirWatch Logging Guide]、および [AirWatch Installation Guide] も参照してください。

docs.vmware.com でこれらのトピックを検索することもできます。

VMware, Inc. 79

ロールベースのアクセス 13Workspace ONE UEM powered by AirWatch への特定の種類のアクセスを付与するロールを作成できます。

有用な UEM Console のアクセスレベルに基づいて個々のユーザーおよびグループの役割を定義します。

たとえば、貴社のヘルプデスク管理者にはコンソールに限定されたアクセス権限を与え、IT 管理者にはより広い範

囲の権限を与えます。

ロールベースのアクセス制御を有効にするには、最初に UEM コンソールで、管理者ロールとユーザーロールをセ

ットアップする必要があります。特定のリソース (権限と呼ばれるもの) で、これらの役割を定義できます。このリソ

ースにより、UEM コンソール内の様々な機能へのアクセスを有効または無効にすることができます。役割はまた、

セルフサービスポータルにアクセスが必要なエンドユーザー用に作成することもできます。

ユーザーと管理者が UEM Console でできることとできないことを役割（具体的にはリソースや権限）が判断する

ため、リソースまたは権限を正しく付与するには注意を払う必要があります。たとえば、デバイスの企業情報ワイプ

を行う前に管理者がメモを入力する必要がある場合、役割にはデバイスを企業情報ワイプする権限だけでなくメモを

追加する権限も必要です。

大量のデバイスのセキュリティを維持するには、ロールが重要です。この例は、代理セットアップユーザーの作成で

あり、昇格した管理者権限が使用されます。代理セットアップユーザーの資格情報は管理者権限と同じように扱い、

こうしたユーザーの資格情報を開示しないようにしてください。


n 既定役割とカスタムロール

n ユーザーロール

n 管理者ロール

n 制限付きヘルプデスク管理者を作成し、特定の機能を付与する役割を追加する方法

既定役割とカスタムロール

Workspace ONE UEM powered by AirWatch にはいくつかの既定役割が設定されており、リストから適切な

ものを選択して使うことができます。既定役割はすべてのアップグレードを通して利用可能で、新しいユーザーに役

割をすぐに割り当てることができます。カスタマイズが必要であれば、カスタムロールを作成しユーザー特権と権限

を調整することができます。

既定役割とは異なり、カスタムロールは Workspace ONE UEM がアップグレードされるたびに手動でアップデ

ートする必要があります。

VMware, Inc. 80

それぞれの役割タイプの長所と短所を検討していただく必要があります。[既定役割] は、新しい役割を最初から構成

するのに比べ時間を節約することができ、様々な管理者特権に論理的に対応するように設定済みです。また、新機能

と設定更新に伴い、自動的に更新されるという利点があります。しかし、既定の役割が貴社組織または MDM 展開に

とって最適ではない場合もありますので、役割のカスタマイズもできるようになっています。

既定のエンドユーザーロール

Unified Endpoint Management コンソールでは、エンドユーザーに対して既定で利用できる役割があります。

n [フルアクセスの役割] – セルフサービスポータル上ですべてのタスクを実行するための権限をすべて与えられ

た役割です。

n [ベーシックアクセスの役割] – セルフサービスポータルで実行する MDM コマンド以外のすべての権限を与

えられた役割です。

[カスタムロール] を作成することにより、必要に応じて独自のロールをカスタマイズでき、ユーザーや管理者別に様

々な微調整を行うことができます。カスタムロールは、継続的なメンテナンスと、新機能導入時には手動による更新

が必要です。

既定役割を編集してカスタムユーザーロールを作成する

貴社組織で必要とされるユーザーリソースに適した役割が既定役割にない場合、既存のロールを編集してカスタム

ロールを作成することをご検討ください。

UEM Console に付属する既定の役割を編集して、カスタムのエンドユーザーロールを作成します。

1 新しい役割を関連付けようとしている組織グループレベルで操作していることを確認してください。

2 [アカウント] - [ユーザー] - [役割] の順に進みます。

3 作成したい役割に最もよく合致するものをリストの役割から探します。次に、右端にある編集アイコン（）

を選択して、その役割を編集します。[役割を追加/編集] 画面が表示されます。

4 必要に応じ [名前]、[説明] と [最初のランディング画面] 欄を変更します。チェックボックスを確認します。そ

れぞれのチェックボックスは様々な権限を表しています。必要に応じてチェックを入れます。

5 [保存] をクリックして変更を保存します。役割の以前の設定は、新しい設定により上書きされます。

既定の管理者ロール

Workspace ONE UEM Console で管理者が既定で使用できる役割には、以下のものがあります。

2 つの管理者ロールの権限を比較するには、管理者ロール比較ツールを使用してください。詳細は、管理者ロールを

作成するを参照してください。

Console の基本

VMware, Inc. 81

役割説明

[システム管理者] システム管理者ロールには Workspace ONE UEM 環境への完全なアクセスが含まれています。このロールの管理

者は、パスワードおよびセキュリティ設定、セッション管理情報、および UEM コンソール監査情報にアクセスできま

す。これらの情報は、[システム構成] の [管理] タブにあります。

このロールは環境マネージャ (たとえば、VMware によってホストされるすべての SaaS 環境の SaaS オペレーシ

ョンチームなど) に制限されます。

[AirWatch 管理者] AirWatch 管理者ロールには Workspace ONE UEM 環境への包括的なアクセス権限が含まれています。ただし、

この権限には、[システム構成] の [管理者] タブへのアクセス権は含まれていません。このタブには、トップレベルの

UEM コンソールの設定が含まれているためです。

このロールは、トラブルシューティング、インストール、および構成の目的で環境にアクセスする VMware 従業員に

制限されます。

[コンソール管理者] コンソール管理者ロールは、共有 SaaS 環境の既定の管理者ロールです。このロールは、順守ポリシー属性、レポー

ト作成、および組織グループ選択に関連する機能に制限されます。

[デバイス管理者] デバイス管理者ロールは、ユーザーに UEM コンソールへの重要なアクセス権限を与えます。ただし、このロールを使

用して多くのシステム構成情報を構成することは、推奨されません。このようなシステム構成情報の例としては、AD (Active Directory)/LDAP (Lightweight Directory Access Protocol)、SMTP (Simple Mail Transfer Protocol)、エージェントなどがあります。このようなタスクには、AirWatch 管理者またはシステム管理者のよう

な最上層の役割を用いるのがより適切です。

[レポート閲覧] レポート閲覧役割により、モバイルデバイス管理 (MDM) により収集されたデータの閲覧が可能になります。このロ

ールに含まれるのは、UEM コンソールからレポートを生成/閲覧/エクスポート/定期受信する権限のみに限定されま

す。

[コンテンツ管理] コンテンツ管理者ロールに付与されている権限は、VMware Content Locker 管理のみに限定されます。このロー

ルを使用し、コンテンツに特化した担当者を決め、デバイスへのアップロードと管理を任せることができます。

[アプリケーション管理] アプリケーション管理者ロールを使用して、管理者に、内部アプリとパブリックアプリをデバイスに展開/管理するた

めに必要なアクセスを与えることができます。このロールは、アプリケーション管理担当者に割り当ててください。

[ヘルプデスク] ヘルプデスク役割には、レベル 1 の IT ヘルプデスクが必要とするツールへのアクセスが含まれています。このロー

ルに含まれる主要なツールを使用して、リモート操作機能を用いてデバイス情報を閲覧し必要な措置を取ることができ

ます。このロールにはさらにレポート閲覧権限とデバイス検索能力も含まれています。

[App Catalog のみの管理

者]このロールの権限は、｢アプリケーション管理｣役割とほぼ同じです。アプリケーション管理役割にはないがこのロー

ルにある権限は、管理者アカウント、ユーザーアカウント、管理者グループ、ユーザーグループ、デバイス詳細情報、

およびタグを追加および保持できる、というものです。

[閲覧のみ] 閲覧のみの役割は、UEM コンソールの大部分にアクセスすることができますが、そのアクセスは閲覧のみに限定され

ます。このロールは、Workspace ONE UEM 環境における設定を監査し、記録するために使用されます。このロ

ールはシステムオペレータや管理者には適していません。

[Horizon Administrator]

Horizon Administrator 役割は、VMware Horizon View と統合された Workspace ONE UEM 構成を補完

するための、特別に用意された権限セットです。

[NSX 管理者] NSX 管理者ロールは、Workspace ONE UEM と統合された VMware NSX を補完するための、特別に用意され

た権限セットです。このロールは、システム管理権限と証明書管理権限を補完するものであり、管理者は、エンドポイ

ントセキュリティとデータセンターセキュリティを橋渡しすることができます。

[プライバシーオフィサー] プライバシーオフィサー役割は、「Monitor の概要」、「デバイスリスト表示」、「システム設定を表示」にアクセスす

ることができ、すべてのプライバシー設定を編集できます。

既定の管理者ロールを編集してカスタム管理者ロールを作成する

既定の管理者ロールでは貴社に必要な管理者の役割を十分に果たせない場合、既存のロールを編集してカスタムロー

ルを作成することもできます。

Console の基本

VMware, Inc. 82

UEM Console に付属する既定の役割を編集して、カスタムの管理者ロールを作成します。

1 その際には、まず、今いる組織グループレベルが、新しい役割を追加したい組織グループであることを確認して

ください。

2 [アカウント] - [管理者] - [役割] の順に進みます。

3 作成したい役割に最もよく合致するものをリストの役割から探します。その役割のボックスにチェックを入れま

す。

4 リストの部にあるアクションメニューから [コピー] を選択します。[役割をコピーする] 画面が表示されます。

5 [役割をコピーする] 画面で変更したい設定を編集します。カスタマイズされた役割には、一意な [名前] と [説明] を入力してください。


[次に行うこと：]詳細については、管理者ロールを作成するを参照してください。

ユーザーロール

Workspace ONE UEM powered by AirWatch のユーザーロールを使用した場合、ログインしたユーザーが実

行できるアクションを、有効または無効にできます。これらのアクションの例としては、デバイスワイプの利用を制

御する、デバイスクエリの利用を制御する、個人コンテンツを管理する、などがあります。さらに、ユーザーロー

ルで、最初のランディング画面のカスタマイズや、セルフサービスポータルへのアクセス制限もできます。

複数のユーザーロールを作成すれば、時間を節約できます。たとえば、さまざまな組織グループにまたがる包括的な

構成を行うことや、特定のユーザーのユーザーロールを随時変更することができます。

新しいユーザーロールの作成

事前設定されたベーシックアクセス役割とフルアクセス役割に加えて、カスタマイズされた役割を作成することも

できます。複数のユーザーロールを用意しておくことで柔軟性を高め、新しいユーザーにロールを割り当てる際の手

間を省くことができます。

1 [アカウント] - [ユーザー] - [役割] の順に進み、[役割を追加] をクリックします。[役割を追加/編集] 画面が表

示されます。

2 新しい役割の [名前] と [説明] を入力し、この新しい役割を持つユーザーの SSP の [最初のランディング画面] を選択します。

既存のユーザーロールに対する既定の [[最初のランディング画面]] は [[マイデバイス]] 画面です。

3 このロールを割り当てられるエンドユーザーが SSP で許可されるアクセスと権限レベルをオプションリスト

から選択します。

n 画面上のすべてのボックスのチェックを外すには [選択解除] をクリックします。

n 画面上のすべてのボックスにチェックを入れるには [すべて選択] をクリックします。

4 役割の変更内容を [保存] します。追加された役割は、役割画面の一覧に表示されます。

[次に行うこと：][役割] ページから、役割を表示、編集、削除できます。

Console の基本

VMware, Inc. 83

既定の役割を構成する

既定の役割は、すべてのユーザーロール設定の出発点となる基本役割です。既定の役割を構成することで、加入時に

ユーザーが自動的に受け取る許可と権限を設定することができます。

1 [デバイス] - [デバイス設定] - [デバイスとユーザー] - [全般] - [加入] の順に進み、[グループ化] タブを選択し

ます。

2 ｢既定役割｣を選択し、セルフサービスポータル (SSP) でのエンドユーザーの既定レベルのアクセスを構成しま

す。

これらの役割設定は、組織グループごとにカスタマイズできます。以下から選択します。

n [フルアクセス] - プロファイルとアプリのインストールおよび削除、アプリ、パスコードのリセット、デバ

イスメッセージの送信、コンテンツへの書き込みアクセスなど、高度な SSP 機能へのアクセス権をユーザ

ーに付与します。

n [ベーシックアクセス] - 影響度の低いアクセス権をユーザーに付与します。ユーザーは、自分のデバイスの

登録、プロファイルとアプリの表示のみ（インストールはできません）、自分のアカウントの表示、自分のデ

バイスのクエリと検索を行えます。

n [外部アクセス] - 外部アクセスの役割を持つユーザーには、ベーシックアクセスユーザーのすべての権限

がある一方で、SSP で明示的にこれらのユーザーと共有されるコンテンツへの読み取り専用アクセス権もあ

ります。


既存ユーザーのロールを割り当て/編集する

特定のユーザーのロールを変更し、Workspace ONE UEM 機能へのアクセスを許可したり制限を追加したりする


ユーザーが使用しているロールを編集する場合、ユーザーがログアウトしてログインし直すまで、編集は有効になり

ません。

1 適切な組織グループを選択します。

2 [アカウント] - [ユーザー] - [リスト表示] の順に進みます。

3 リストから編集したいユーザーを選択します。ユーザーを特定した後、チェックボックスの下の｢編集｣アイコ

ンを選択します。[ユーザーを追加/編集] 画面が表示されます。

4 [全般] タブで [加入] セクションまでスクロールし、ドロップダウンメニューから [ユーザーロール] を選択し、

この特定ユーザーのロールを変更します。


管理者ロール

管理者ロールを使用して、Workspace ONE UEM powered by AirWatch のすべての設定とリソースへのアク

セス権限を有効/無効にします。これらの設定により、管理者のそれぞれに対し、コンソール権限を与えたりブロック

したりすることが可能になり、貴社のニーズに応じて、管理者に階層構造を持たせることができます。

Console の基本

VMware, Inc. 84

複数の管理者ロールを作成して時間と手間を省くことができます。複数の組織グループにわたる包括的な構成を行う

と、好きなときに特定の管理者の権限を変更できます。

管理者ロールの変更を有効にする

管理者によって使用されているロールを編集する場合、管理者がログアウトしてログインし直すまで、編集は適用さ

れません。

管理者役割リスト表示

[管理者役割リスト表示] を表示するには、[アカウント] - [管理者] - [役割] の順に選択します。

管理者ロールライブラリから、未使用の役割を削除できます。管理者に割り当てられている役割は削除できません。

削除したい未割り当ての役割を選択し、[削除] ボタンを選択します。

既存のロールの名前、説明、および権限を編集できます。リストから役割名の左側の鉛筆アイコンを選択すると [[役割を編集する]] 画面が表示され、変更を行うことができます。

また、[管理者役割リスト表示] 全体を [XLSX] または [CSV]（コンマ区切り値）ファイルでダウンロードすること

もできます。このファイルは、MS Excel で表示および分析できます。[エクスポート] ボタンを選択し、ダウンロー

ド場所を選択します。後でインポートできるように、役割をエクスポートしておく方法については、このページの

[管理者ロールをエクスポートする] セクションを参照してください。

管理者ロールを作成する

管理者ロールを作成し、Workspace ONE UEM で実行したい特別なタスクを定義することができます。そのあと

で個別の管理者にこれらのロールを割り当てます。

1 UEM Console で [アカウント] - [管理者] - [役割] の順に進み、[役割を追加] を選択します。

Console の基本

VMware, Inc. 85

2 [役割作成] 画面で、役割の [名前] と役割の [説明] を入力します。

3 [カテゴリ] リストから選択します。

[カテゴリ] セクションは、[デバイス管理] のようなトップレベルのカテゴリを編成します。その下には、[アプ

リケーション]、[ブラウザ] や [一括管理] などを含むサブカテゴリが位置します。このサブカテゴリにより、簡

単に素早く役割を作成することが可能になります。右パネルにあるそれぞれのサブカテゴリ設定には、[読み取

り] と [編集] のチェックボックスがあります。

[カテゴリ] セクションからカテゴリを選択すると、それに含まれるサブカテゴリのコンテンツ（個々の設定）が

右パネルに表示されます。各コンテンツの行に [読み取り] チェックボックスと [編集] チェックボックスがあ

ります。また、カラム見出しにも [読み取り] チェックボックスと [編集] チェックボックスがあります。カラ

ム見出しのチェックボックスをオンにすると、各コンテンツの行のチェックボックスがすべてオンになります。

これにより、役割作成の際に柔軟な制御とカスタマイズが可能になります。

[[リソースを検索]] テキストボックスを使用して選択できるリソースの数を絞り込みます。リソースは一般に、

UEM Console 自体で参照されているのと同じ方法でラベル付けされています。たとえば、管理者役割をアプリ

ログの編集に制限する場合、[[リソースを検索]] ボックスに「アプリログ」と入力すると、「アプリログ」とい

う文字列を含むすべてのリソースのリストが表示されます。

4 関連するリソースオプションで、必要に応じて [読み取り] と [編集] にチェックを入れます。任意のリソースの

選択を解除することもできます。

5 カテゴリの中で包括的な選択を行う場合は、右パネルに入力せずに、[なし]、[読み取り] または [編集] を [カテ

ゴリ] セクションから直接選択します。カテゴリラベルの右側の丸印のアイコンを選択すると、ドロップダウン

メニューが表示されます。カテゴリの設定全体に対し、なし/読み取り/編集機能のどれを選択するかが明白な場

合はこの選択方法を使用します。

6 カスタムロール作成後、[保存] を選択します。追加された役割は、[役割] 画面で確認することができます。こ

の画面から役割詳細を編集したり役割を削除したりすることができます。

[次に行うこと：]Workspace ONE UEM のバージョン更新時にはその都度カスタムロールを更新し、最新リリー

スによる新しい権限へのアクセスを設定する必要があります。

管理者ロールをエクスポートする

管理者ロールはポータブルリソースです。複数の Workspace ONE UEM 環境を管理する場合は、このポータビ

リティによって時間を節約できます。ある環境から XML ファイルとして設定をエクスポートしてから、その XML ファイルを別の環境にインポートできます。このようなアクティビティによってバージョン管理の問題が発生する可

能性があることに注意してください。

Console の基本

VMware, Inc. 86


2 エクスポートしたい役割の横のボックスにチェックを入れます。この操作を行うと、役割リストの上にアクショ

ンボタンが表示されます。管理者ロールを複数選択する場合、「エクスポート」アクションは使用できません。

3 [エクスポート] を選択し XML ファイルをデバイスに保存します。

管理者ロールをインポートする

1 [アカウント] - [管理者] - [役割] の順に進み、[役割をインポートする] を選択します。

2 ｢役割をインポートする｣画面の [参照] を選択し、上で保存した XML ファイルを探します。[アップロード] をクリックして管理者ロールをアップロードし、｢カテゴリ｣リストから確認します。

3 Workspace ONE UEM は、XML ファイルチェック、インポートされる役割の権限チェック、役割名の重複

チェック、名前欄や説明欄が空白でないかの確認といった一連のチェックを行います。

4 左側のペインで特定の [カテゴリ] を選択し、リソースの設定とインポートされた役割の詳細を確認します。

5 必要に応じて、各種のリソース、および、インポートされた役割の [[名前]] と [[説明]] を編集できます。既存

のロールとインポートされた役割の双方を維持したい場合は、新しい役割をインポートする前に、既存の管理者

ロールを別名で保存してください。

a インポートする役割に貴社環境の既存のロールと同じ名前が付けられている場合、次のメッセージが表示さ

れます。「この環境には、この名前の役割がすでに存在します。既存のロールをオーバーライドしますか?」

というメッセージが表示されます。

b ｢いいえ｣を選択すると、貴社環境の既存のロールはそのまま残り、新しい役割のインポートがキャンセルさ

れます。

c ｢はい｣を選択すると、セキュリティ暗証番号を入力するよう求められます。正しい暗証番号を入力すると、

既存のロールはインポートされる役割で置き換えられます。

6 [保存] をクリックして、インポートされた役割を新しい環境に適用します。

管理者ロールをインポート/エクスポートする際のバージョンに関して

場合によっては、ある環境からエクスポートされた役割が、Workspace ONE UEM の古いバージョンを使用した

別の環境にインポートされることがあるかもしれません。そしてこの古いバージョンには、インポートされた役割に

必要な同じリソースと権限が存在しないかもしれません。

そのような場合には、Workspace ONE UEM に以下のメッセージが表示されます。

Console の基本

VMware, Inc. 87

この環境にあるいくつかの権限が、ユーザーのインポート済みファイルには見つかりません。保存する前に、ハイラ

イトされた権限を見直して、正しく入力しなおします。

カテゴリのリスト表示画面を使用して、ハイライトされた権限の選択を解除してください。この操作により、役割を

新しい環境に保存することができます。

役割をコピーする

既存のロールをコピーすると、時間を節約できます。また、コピーした役割の権限を変更し、別の名前で保存するこ

とができます。

1 コピーしたい役割の横にあるチェックボックスを選択します。

2 [コピー] ボタンを選択します。[役割をコピーする] 画面が表示されます。

3 [カテゴリ]、[名前]、および [説明] を必要に応じて修正します。

4 修正が完了したら、[保存] を選択します。

管理者ロールの名前を変更する

管理者ロールをインポートする際に、既存の管理者ロールと同じ名前の役割がある場合は、まず既存のロールの名前

を変更することをお勧めします。こうすることで、同じ環境内で既存のロールと新しく追加する役割の双方を維持す


1 [アカウント] - [管理者] - [役割] の順に進み、名前を変更したい役割の [編集] アイコン ( ) を選択します。

[役割を編集] 画面が表示されます。

2 役割の [名前] を編集し、必要な場合は [説明] も編集します。


管理者ロールカテゴリの読み取り/編集インジケータ

[カテゴリ] セクションには、読み取りのみ、編集といった権限の選択状態を反映するビジュアルインジケータがあり

ます。このインジケータが設定詳細を表示するので、管理者は個々のサブカテゴリを開いて調べる必要がありません。

インジケータは、カテゴリリストの右側に位置する丸印のアイコンで以下のように分類されます。

このカテゴリのすべてのオプションは編集機能を持つ (読み取りのみの機能も含む)

カテゴリ設定の大部分の編集機能は有効だが、少なくとも 1 つのサブカテゴリの編集が無効になっている

すべてのカテゴリ設定が読み取り専用 (編集は無効)

カテゴリ設定の大部分は読み取り専用だが、少なくとも 1 つのサブカテゴリの編集が有効になっている

Console の基本

VMware, Inc. 88

管理者のロールの割り当てまたはロールロードアウトの編集

Workspace ONE UEM Console での管理者の機能を拡張するロールを割り当てることができます。また、既存

のロールロードアウトを編集して、管理者の機能を制限したり、拡張したりすることもできます。

管理者が使用しているロールロードアウトを編集する場合、管理者がログアウトしてログインし直すまで、編集は有

効になりません。

1 [アカウント] - [管理者] - [リスト表示] の順に選択し、ロールロードアウトを変更する管理者アカウントを見つ

けて、管理者アカウントの横にある編集アイコン ( ) を選択します。[管理者を追加/編集] 画面が表示されま

す。

2 [ロール] タブを選択し、[a]、[b] のどちらか、またはその両方の組み合わせを選択します。

a 管理者アカウントに新しいロールを追加するには、[ロールを追加] ボタンを選択し、追加するロールごとに

[組織グループ] と [ロール] の詳細を入力します。

b 管理者アカウントから既存のロールを削除する場合は、ロールを選択し、[削除] ボタンを選択します。


管理者役割のリソースの表示

カスタムおよび既定の役割を含む、任意の管理者役割のすべてのリソース、または権限を表示できます。この表示は、

管理者が UEM console でできることとできないことを判断するのに役に立ちます。

役割は、UEM console 内の特定の機能へのアクセス（読み取り専用または編集）を許可する何百ものリソース（権

限とも呼ばれます）で構成されています。

[役割を表示] 画面と [役割を編集] 画面はほぼ同じですが、[役割を編集] 画面では変更を行い [保存] ボタンで保存で

きる点が異なります。

管理者役割のリソースを表示および編集するには、次の手順を実行します。


2 権限を表示するには、管理者役割を検索します。管理者役割のライブラリが大きい場合は、右上隅の [[リストを

検索]] バーを使用してリストを絞り込みます。

3 次の [a] または [b] から選択します。

a [役割を表示] するには、役割の名前（リンク）を選択して、役割に関連付けられているすべての権限を含む

[役割を表示] 画面を表示します。管理者役割の監査が終了したら、[[閉じる]] を選択します。

Console の基本

VMware, Inc. 89

b [役割を編集] するには、役割名の左側にある [編集] アイコン ( ) を選択して、[役割を編集] 画面を表示

します。[読み取り] および [編集] チェックマークを追加または削除して、役割を編集します。役割の編集

が完了したら、[保存] を選択します。

[表示] と [編集] のどちらを選択したときでも、リスト表示にはいくつかの留意すべき点があります。

n 役割のカテゴリは、左側のパネルに表示されます。役割のサブカテゴリがある場合は、展開して表示できます。

カテゴリを展開するには、[>] インジケータを選択します。

Console の基本

VMware, Inc. 90

n この画面に表示されるオレンジ色の読み取り/編集の視覚的なインジケータの詳細については、このページの「[管理者ロールカテゴリの読み取り/編集インジケータ]」セクションを参照してください。

n 左側のパネルで特定のカテゴリを選択すると、右側のパネルに各リソースのカテゴリ、名前、および説明が表示

されます。

n 右端にある [[詳細]] リンクは、UEM Console 内の各固有の読み取り専用および編集機能を示します。

n [リソースを検索] テキストボックスを使用して、特定の機能を名前で検出することができます。この検索機能に

より、簡単に特定のタグに関連する機能を検索し、役割に割り当てることができます。

n たとえば、デバイスへのタグの追加のみできる管理者役割を作成する場合は、[リソースを検索] テキストボックスに「tag」という単語を入力し、Enter キーを押します。カテゴリ、名前、説明、または説明の [詳細] に「tag」という文字列を含んでいるすべてのリソースが、右側のパネルに表示されます。

注： Staging Devices（代理セットアップデバイス）という語句の「Staging」も、「tag」という文字

列を含むことに注意してください。

[次に行うこと：]このページの「[管理者ロールを作成する]」セクションに移動し、この手順を適用して独自の役割

を作成します。

2 つの役割を比較する

管理者ロールを作成する際、一般に、一から作成するよりも、既存のロールを修正する方が簡単です。役割比較ツー

ルを使用すると、任意の 2 つの管理者ロールの権限設定を比較し、精度確認や設定の意図が反映されているかを確認

することができます。


2 リストから任意の 2 つの役割を選択し (異なる画面の役割でも選択することができます)、チェックを入れます。

3 [比較] を選択します。カテゴリ一覧のある [役割比較] 画面が表示されます。左側で特定のカテゴリを選択する

と、右側にそのカテゴリの詳細が表示されます。

Console の基本

VMware, Inc. 91

n 役割を 1 つしか選択しなかったり、あるいは 2 つ以上選択したりすると、[比較] ボタンは表示されません。

n 役割のサブカテゴリも右側パネルの右端にある [詳細] リンクを選択することで閲覧できます。サブカテゴ

リの役割は [非表示] リンクを選択して畳むことができます。

n 左側パネルには [すべて] カテゴリがあり、これを選択するとすべてのメインレベルカテゴリが [役割比較] 画面に表示されます。[[リソースを検索]] に検索パラメータを入力すると、右側パネルはカテゴリとリソー

ス（権限とも呼ばれます）リストの両方に合致するアイテムのみを表示します。

n この検索パラメータは保持されます。つまり、[リソースを検索] バーにパラメータを入力すると、[すべて] のカテゴリを選択しても、合致するカテゴリとリソースのみが表示されます。この検索機能は、特定リソー

スを選択し、[読み取り] と [編集] を選択した後も保持されます。

n 既定設定では、設定が異なるカテゴリとサブカテゴリのみが表示されます。選択した 2 つのロールで同一の

設定を含むすべての権限を表示するには、[すべての権限を表示] チェックボックスを選択します。

n 選択した 2 つの役割の権限が完全に同一な場合は、[[役割を比較]] 画面上部に以下のメッセージが表示され

ます。

「2 つの役割における権限の違いはありません」。

[次に行うこと：]必要に応じて [エクスポート] を選択し、Excel で表示できる XLSX または CSV（コンマ区切り

値）ファイルを作成することもできます。このエクスポートファイルには役割 1 と役割 2 の設定がすべて含まれて

いるため、2 つの役割の違いを分析できます。

Console の基本

VMware, Inc. 92

制限付きヘルプデスク管理者を作成し、特定の機能を付与する役割を

追加する方法

許可したことだけをヘルプデスク管理者が Workspace ONE UEM powered by AirWatch で実行できるカス

タム役割を作成できます。アカウント、役割、およびプログラム可能な権限がすべて連携して、必要な場所にアクセ

スできるようにする方法を確認します。

[ユースケース：]他の管理者に影響を与えずにユーザーとデバイスを追加する作業を担当するには、専用のヘルプデスクリソースが必要です。これらの管理者は、デバイスを許可リスト設定および拒否リスト設定することも必要で

す。同時に、高いコンソール機能へのアクセスポイントを制限することが重要です。少数の管理者アカウントを追加

して、それらのアカウントに、ユーザーとデバイスを追加し、デバイスを許可リストと拒否リストに登録する権限の

みを与える必要があります。

このユースケースで作成される役割は、少数のコンソール機能（ユーザーとデバイスの追加、許可リストおよび拒否

リストへのデバイスの登録）のみを備えています。この役割は、Workspace ONE UEM のその他の機能をすべて

禁止します。

前提条件

既存の管理者アカウントが必要です。このユースケースでは、Workspace ONE UEM powered by AirWatch に付属する「ヘルプデスク」役割に基づいてカスタム役割を作成し、管理者アカウントに割り当てます。

手順


管理者役割の完全なリストが表示されます。

2 画面の右上隅にある検索テキストボックスに「help」というキーワードを入力します。

テキスト文字列「help」を含む役割がすべてリストに表示されます。

3 役割名の左側にあるチェックボックスをオンにして、[ヘルプデスク] 役割を選択します。

メインボタンクラスタの下に新しいボタンクラスタが表示されます。

4 [コピー] ボタンを選択します。

[役割のコピー] 画面が表示されます。

5 カスタムヘルプデスク役割の [名前] と [説明] を入力します。

6 [役割のコピー] 画面の左側で、[すべて] カテゴリの右側にあるオレンジ色の円グラフを選択します。表示される

[編集モードの選択] ポップアップから [なし] を選択します。

Console の基本

VMware, Inc. 93

このアクションにより、このカスタムヘルプデスク役割から権限がすべて削除され、クリーンなスレートにな

ります。そのため、これらの管理者が有する権限は、ここで指定する権限のみになります。

7 次の 8 つの権限を有効にします。各権限チェックボックスの場所を見つけるには、表のカテゴリ、サブカテゴ

リ、および権限名をたどります。

[リソースを検索] テキストボックスに権限名を入力し、その場所に直接ジャンプすることもできます。

[カテゴリ] > [サブカテゴリ] [権限名]（チェックボックス）

[アカウント] > [ユーザー] > [アカウント] [ユーザーアカウントの追加]（編集）

[アカウント] > [ユーザー] > [アカウント] [ユーザーアカウントの編集]（編集）

[アカウント] > [ユーザー] > [アカウント] [ユーザー登録の編集]（編集）

[アカウント] > [ユーザー] > [アカウント] [ユーザー登録]（読み取り）

[デバイス管理] > [デバイスリスト表示] [デバイスリスト表示アクセス]（読み取り）

[デバイス管理] > [デバイスリスト表示] [デバイス]（読み取り）

[設定] > [デバイスとユーザー] > [全般] [拒否リスト登録済みデバイスの追加]（編集）

[設定] > [デバイスとユーザー] > [全般] [許可リスト登録済みデバイスの追加]（編集）

表の先頭から、例として最初の 4 つの権限について説明します。[役割のコピー] 画面で必要な最初の権限名（[ユーザーアカウントの追加]）を見つけるには、左側パネルから [アカウント] カテゴリを選択します。

同じ左側パネルで [ユーザー] サブカテゴリを選択し、最後に [ユーザー] の下にある [アカウント] を選択しま

す。これで、[役割のコピー] 画面の右側パネルに権限がすべて表示されます。

この「[アカウント] > [ユーザー] > [アカウント]」サブカテゴリには、4 つのチェックボックスがあります。

1 および 2) [追加/編集] で [詳細] リンクを選択して、リストから 2 つの権限を選択します。表に示すように、

これらのチェックボックスをオンにします。[ユーザーアカウント追加] に [編集] チェックボックスが表示さ

れ、[ユーザーアカウント編集] にも [編集] チェックボックスが表示されます。

3) 次に上の [デバイスを追加] の [詳細] リンクを選択します。リストにある次の権限（ユーザー登録編集）が表

示されます。また、[編集] チェックボックスも表示されます。

4) このサブカテゴリに属す 1 つの権限は、「ユーザー登録」と呼ばれ、[表示] の [詳細] リンクを選択すること

で見つかります。[読み取り] チェックボックスが表示されます。

Console の基本

VMware, Inc. 94

表に記載された [デバイスリスト表示アクセス] 以降の残りの 4 つの権限についても、同じプロセスに従いま

す。

8 [保存] を選択して、カスタムヘルプデスク役割の定義を確定します。

9 このカスタム役割を既存の管理者アカウントに割り当てるには、[アカウント] - [管理者] - [リスト表示] の順に

選択し、リストから管理者アカウントを見つけます。

10 管理者アカウントの左側にある編集アイコン ( ) を選択します。

[管理者を追加/編集] 画面が表示されます。

11 [役割] タブを選択します

12 カスタムヘルプデスク役割を管理者アカウントに割り当てます。

このユースケースでは、9 つの UEM Console 機能のみを管理者役割に割り当てるようにしています。ただ

し、管理者アカウントに 1 つ以上の役割がすでに割り当てられている場合であっても、管理者アカウントにこの

カスタムヘルプデスク役割と他の役割を追加することは可能です。

13 [保存] を選択して、役割の割り当てを確定します。

結果

このカスタムヘルプデスク役割のみを持つ管理者が Workspace ONE UEM 環境にログインする場合、アクセス

できる機能は [追加] ボタンだけで、そこからは [デバイス] と [ユーザー] という 2 つの選択肢しか選択できません。

また、[リスト表示] と [ライフサイクル] - [加入状態] を含む [デバイス] メインメニューボタンにもアクセスでき

ます。これにより、許可リスト登録済みおよび拒否リスト登録済みデバイスを追加できます。

Console の基本

VMware, Inc. 95

Workspace ONE UEM へのセルフサービスポータル 14デバイスエンドユーザーへのセルフサービスポータル (SSP) の紹介、基本的なデバイス管理タスクの実行、問題の

調査、問題の解決を行えるようにして、サポート担当者の負荷を軽減します。つまり、管理者が Workspace ONE UEM にアクセスする一方で、デバイスエンドユーザーは SSP を使用します。

SSP の既定のログイン画面を構成する

組織のニーズとユーザーのニーズに応じて、Workspace ONE UEM のセルフサービスポータルに表示される既定

の認証方法を設定することができます。

注：この設定にはオンプレミスでご利用のお客様のグローバルレベルからのみアクセスできます。

この設定を構成するには [グループと設定] - [すべての設定] - [インストール] - [高度な設定] - [その他] の順に進

み、[SSP 認証タイプ] を以下のように設定します。

n [E メール] – 自動検出機能がセットアップされている場合、ユーザーに E メールアドレスを入力するようプロ

ンプトが表示されます。

n [レガシ] – ユーザーにグループ ID と資格情報 (ユーザー名/パスワード) を入力するようプロンプトが表示され

ます。

n [専用] – ユーザーには資格情報 (ユーザー名/パスワード) のみを入力するようプロンプトが表示されます。この

オプションは、単一のカスタマー環境でグループ ID が 1 つしかない場合の既定のオプションです。

SSP にログインする

エンドユーザーは、Workspace ONE UEM に加入する際に使用したものと同一の資格情報（[グループ ID]、[ユーザー名]、[パスワード]）を使用してログインします。

SSP の言語を選択する

セルフサービスポータルは、ブラウザの既定言語を使用して表示するように設定されています。ログイン画面の [言語を選択] ドロップダウンメニューで既定設定を上書きすることもできます。

VMware, Inc. 96

SSP のパスワードを変更する

[アカウント] 画面を使用して、Workspace ONE UEM アカウントに関連付けられているパスワードを変更しま

す。このパスワードは、デバイスの加入および SSP へのログインに使用されます。

セルフサービスポータル画面の右上にある [アカウント] ボタンを選択して、パスワードを変更します。[ユーザー

アカウント] 画面で、[現在のパスワード] 項目の横に表示される [変更] ボタンを選択します。

注：デバイスのエンドユーザーが SSP にログインして、有効期限が切れる前に共有デバイスパスコードを変更し

た場合は、エンドユーザーを管理している組織グループの有効期限ではなく、共有デバイスに関連付けられている組

織グループの有効期限がこの新しいパスコードで使用されます。

たとえば、最上位に「Parent」があり、その下に「Child」がある組織グループ構造があるとします。エンドユーザ

ーアカウントは「Parent」で管理されており、「Parent」のパスコードの有効期限は 90 日後であるとします。ま

た、共有デバイスは「Child」で管理されており、「Child」のパスコードの有効期限は 30 日後であるとします。こ

のシナリオで、エンドユーザーがセルフサービスポータルにログインし、有効期限が切れる前に共有デバイスパス

コードを変更すると、新しいパスコードの有効期限が 90 日後 (Parent) から 30 日後 (Child) に変更されます。

回避策としては、ユーザーを管理している組織グループで共有デバイスパスコードを構成するようにします。

管理者が Workspace ONE UEM Console の [ユーザーを追加/編集] 画面でエンドユーザーの共有デバイスパスコードを変更した場合は、エンドユーザーを管理している組織グループの有効期限が正しく使用されます。

セルフサービスポータルにデバイスからアクセスする

エンドユーザーは、ワークステーションやデバイスから、[https://<AirWatch 環境>] - [/MyDevice] に移動し

て、セルフサービスポータル (SSP) にアクセスすることができます。エンドユーザーが Web クリップまたはブッ

クマークをサポートするデバイスを使用している場合は、管理者は、SSP に直接アクセスできるよう、ショートカッ

トを提供することができます。

セルフサービスポータル (SSP) のカスタマイズ

ブランディング設定を構成することにより、既定のログイン画面の背景を変更できます。

[グループと設定] - [すべての設定] - [システム] - [ブランディング] の順に進み、[セルフサービスポータルログイ

ンページの背景] 設定で [アップロード] ボタンを選択します。カスタム背景画像を選択します。推奨サイズは

1024x768 ピクセルです。

セルフサービスポータルから利用できる操作一覧

主要な各デバイスプラットフォームは、Workspace ONE UEM のさまざまな基本および高度な SSP 操作をサポ

ートします。

操作 Android iOS macOS Win Mobile Win 7 Win デスクトップ

[基本アクション]

パスコードを変更する。 ✓

(SSO) パスコードを消去する。 ✓ ✓ ✓

Console の基本

VMware, Inc. 97

操作 Android iOS macOS Win Mobile Win 7 Win デスクトップ

デバイスを削除する。 ✓ ✓ ✓ ✓ ✓ ✓

登録を削除する。 ✓ ✓ ✓ ✓ ✓

デバイスクエリ ✓ ✓ ✓ ✓ ✓

デバイスワイプ ✓ ✓ ✓ ✓

Hub をダウンロードする。 ✓ ✓

企業情報ワイプ ✓ ✓ ✓ ✓ ✓ ✓

デバイスの位置を確認する。 ✓ ✓ ✓ ✓

デバイス/画面をロックする。 ✓ ✓ ✓ ✓ ✓

SSO をロックする。 ✓

音を出す。 ✓

加入メッセージを再送信する。 ✓ ✓ ✓ ✓ ✓

メッセージを送信する。 ✓ ✓ ✓ ✓ ✓ ✓

ローミングを設定する。 ✓

デバイスを同期する。 ✓ ✓

加入メッセージを表示する。* ✓ ✓ ✓ ✓ ✓

[高度なアクション]

アプリトークンを生成する。 ✓ ✓ ✓ ✓ ✓ ✓

E メールを管理する。 ✓ ✓ ✓

利用規約を確認する。 ✓ ✓ ✓ ✓ ✓ ✓

トークンを取り消す。 ✓ ✓ ✓ ✓ ✓ ✓

S/MIME 証明書をアップロードする。 ✓ ✓ ✓ ✓ ✓ ✓

* セキュリティ機能として、この操作は、トークンを使用して加入したアカウントには使用できません。

SSP のリモート操作

エンドユーザーは、セルフサービスポータルから、選択したデバイスに対してワイヤレスでリモート操作を実行でき

ます。管理者は、選択したデバイス操作権限と SSP で実行できる操作を決定します。これらは、プラットフォーム

により異なります。実行できる操作は、メインのアクセス画面上で [基本操作] と [高度な操作] に分けられています。

管理者には、管理デバイスに対して実行できるいくつかのリモート操作とオプションがあります。他方、個人所有の

デバイスを使用している従業員も、類似の管理ツールにアクセスし、同様の管理を自分で行いたいと思うかもしれま

せん。セルフサービスポータル (SSP) は、そのような従業員に対し、いくつかの主要な MDM ツールを提供しま

す。IT 管理者の対応は不要です。この機能を有効にすると、エンドユーザーは Web ブラウザで SSP を実行し、

主な MDM サポートツールにアクセスできます。情報表示機能や SSP からのリモート操作実行機能を有効または

無効に設定することもできます。

操作権限は管理者が決定します。そのためデバイスのユーザーは実行できる操作に制限があります。該当するプラッ

トフォームガイドを参照してください。この文書の入手方法については、docs.vmware.com を参照してくださ

い。プラットフォーム固有のオプションについてはオンラインヘルプでも検索できます。

Console の基本

VMware, Inc. 98

[基本リモート操作]

基本リモート操作は、セルフサービスポータルでデバイスを選択すると、基本操作の内部タブに表示されます。利用

できる操作は、加入状態、デバイスプラットフォーム、操作権限によって異なります。

操作説明

[パスコード変更] 選択したデバイスに新しいパスコードを設定します。

デバイスのエンドユーザーが SSP にログインして、有効期限が切れる前に共有デバイスパスコードを変更した場合

は、エンドユーザーを管理している組織グループの有効期限ではなく、共有デバイスに関連付けられている組織グル

ープの有効期限がこの新しいパスコードで使用されます。

たとえば、最上位に「Parent」があり、その下に「Child」がある組織グループ構造があるとします。エンドユーザ

ーアカウントは「Parent」で管理されており、「Parent」のパスコードの有効期限は 90 日後であるとします。ま

た、共有デバイスは「Child」で管理されており、「Child」のパスコードの有効期限は 30 日後であるとします。この

シナリオで、エンドユーザーがセルフサービスポータルにログインし、有効期限が切れる前に共有デバイスパスコ

ードを変更すると、新しいパスコードの有効期限が 90 日後 (Parent) から 30 日後 (Child) に変更されます。

回避策としては、ユーザーを管理している組織グループで共有デバイスパスコードを構成するようにします。

管理者が Workspace ONE UEM Console の [ユーザーを追加/編集] 画面でエンドユーザーの共有デバイスパスコードを変更した場合は、エンドユーザーを管理している組織グループの有効期限が正しく使用されます。

[パスコードを消去] 選択したデバイスのパスコードを消去し、新しいパスコード設定のプロンプトを表示します。この操作は、デバイスの

パスコードを忘れてしまい、デバイスをロック解除できないときに便利です。

[デバイス削除] デバイスをセルフサービスポータルから削除します。

[登録削除] 保留状態の加入レコードをセルフサービスポータルから削除します。

[デバイスクエリ] Workspace ONE UEM サーバに総合的な MDM 情報を送信するよう、デバイスに要求します。

[デバイスワイプ] 選択したデバイスから、すべてのデータ、E メール、プロファイル、MDM 機能を含むすべての情報を消去し、デバイ

スを工場出荷状態に戻します。

[Hub をダウンロード] SSP を閲覧するデバイスに Workspace ONE Intelligent Hub をダウンロードしてインストールします。

[企業情報ワイプ] 選択したデバイスからすべての企業データを削除し、デバイスを Workspace ONE UEM から削除します。MDM プロファイル、ポリシー、内部アプリを含むすべての企業データがデバイスから削除されます。デバイスは、

Workspace ONE UEM がインストールされる前の状態に戻ります。

[デバイス位置特定] GPS 機能をアクティブ化して紛失/盗難デバイスを探します。プライバシー設定により制限されている場合は、この操

作は表示されません。

[デバイス/画面ロック] 選択したデバイスをロックすることで、承認されていないユーザーによるアクセスをブロックできます。これは、デバ

イスが紛失や盗難にあった場合に役立つ機能です。エンドユーザーは GPS 機能を使用して、デバイスを見つけるこ


[SSO ロック] デバイスのアプリのシングルサインオンパスコードをロックします。次に SSO アプリを開く際に、パスコードを要

求するプロンプトを表示します。

[音を出す] リモートで呼び出し音を鳴らすことで、デバイスを見つけやすくします。

[加入メッセージ再送信] 最初に加入した際に送信した E メール、SMS、または QR コードのコピーを、登録しようとしているデバイスに再送

信します。

セキュリティ機能として、再送信された加入メッセージに表示される E メールアドレスは、トークンを使用して加入

したアカウントに対しては読み取り専用になります。

[メッセージ送信] E メール/SMS/プッシュ通知形式のメッセージをデバイスに送信します。

[ローミング設定] このデバイスのローミング設定を行います。

Console の基本

VMware, Inc. 99

操作説明

[デバイスを同期] デバイスに最新の企業ポリシー、コンテンツとアプリを提供します。

[加入メッセージを表示す

る]加入後最初に送信されるメッセージを含む実際の E メール、SMS、または QR コードを表示します。

セキュリティ機能として、この操作は、トークンを使用して加入したアカウントには使用できません。

注：登録と加入の操作は、選択したデバイスの加入状態が保留の場合のみ SSP に表示されます。

[高度なリモート操作]

高度なリモート操作は、セルフサービスポータルでデバイスを選択すると、高度な操作の内部タブに表示されます。

利用できる操作は、加入状態、デバイスプラットフォーム、操作権限によって異なります。

操作説明

[アプリトークン生成] セキュアなアプリケーションへのアクセスに使用するトークンを生成します。

[E メール管理] E メールアカウントに接続されたデバイスを管理します。

[利用規約の確認] このアカウントの過去の利用規約を確認します。

[トークン取り消し] 選択したアプリケーションのトークンを取り消します。

[S/MIME 証明書アップロード] 企業 E メールアカウント用の S/MIME 証明書をアップロードします。

SSP でデバイスを選択する

SSP にログインすると、アカウントに関連付けられたすべてのデバイスが [マイデバイス] 画面に表示されます。個

々の加入デバイスは、[セルフサービスポータル] 画面上部の各タブに表示されます。閲覧/管理したいデバイスを表

示しているタブを選択します。

デバイス状態は、タブのデバイス名の下に表示されます。デバイス状態には、[検出済み]、[加入済み]、[加入保留

中]、[加入解除]、そして [企業情報ワイプ保留中] があります。

デバイスを SSP に追加する

セルフサービスポータルから直接デバイスを追加することができます。

1 [マイデバイス] 画面の [デバイスを追加] を選択します。

2 必須項目の [フレンドリ名]、[プラットフォーム]、[デバイス所有形態]、および[メッセージタイプ]を入力しま

す。

3 [保存] をクリックして新しいデバイスを SSP アカウントに追加します。

注：新しく追加されたデバイスの状態は、完全に加入が行われるまで｢加入保留中｣と設定されます。

SSP でのデバイス情報

ユーザーが SSP にログインすると、主要なデバイスがメインビューアに表示されます。メインの画面には、[加入

日]、[最終検出日]、デバイス [状態] といった基本情報が表示されます。

Console の基本

VMware, Inc. 100

[詳細に進む] ボタンを選択すると、選択したユーザーアカウントの下に選択したデバイスの関連情報を含むタブが表

示されます。

n [概要] – 順守、プロファイル、アプリ、コンテンツ、フレンドリ名、アセット番号、UDID 番号、Wi-Fi MAC アドレスの概要情報を表示します。

n デバイスのフレンドリ名は、[概要]タブの画面で [フレンドリ名] テキストボックスの右側にある編集アイ

コンを選択して直接編集することができます。

注： [デバイスの概要] のユーザーロールリソースにより、SSP の [概要] タブで表示される項目が変わりま

す。[デバイスアプリ]、[デバイス順守] または [デバイスプロファイル] などで無効に設定されたリソースの影響

で、ユーザーの画面から一部の情報が非表示になっている場合は、対応する [概要] タブ上の対応する情報も通常

は非表示になります。ユーザーロールと管理者ロールのリソースを制限する手順の詳細については、新しいユー

ザーロールの作成および管理者ロールを作成するを参照してください。

n [順守] – デバイスに適用された順守ポリシーの名前とレベルを含む、デバイスの順守状態に関する情報を表示し

ます。

n [プロファイル] – ユーザーアカウントの加入デバイスに送信されたすべての MDM プロファイルを表示します

(自動プロファイルを含む)。このタブには各プロファイルの状態も表示されます。

n [アプリ] – 選択したデバイスにインストールされているすべてのアプリケーションを表示し、アプリケーション

の基本情報を提供します。

n [セキュリティ] – ユーザーアカウントで加入した特定のデバイスに関する一般的なセキュリティ情報を表示し

ます。

トークンベースのセキュリティ対策

セキュリティ機能として、トークンを使用して加入されたアカウントに以下の変更が行われています。

n [[デバイスを追加]] 画面と [[アカウント]] 画面の両方のメールアドレスと電話番号は読み取り専用になりまし

た。

n [加入メッセージを表示する] アクションは削除されました。

製品向上プログラムの設定

セルフサービスポータルは、VMware のプロダクト向上プログラムに含まれています。このプログラムを通じて、

弊社製品の品質と有効性に影響を与えることができます。このプログラムを有効にすると、ユーザビリティデータに

ついてのみテストが実施されます。これは、お客様の実際のニーズが満たされているか確認する上で重要です。

[グループと設定] - [すべての設定] - [管理者] - [プロダクト向上プログラム] の順に選択すると、プロダクト向上プ

ログラムにいつでも参加でき、いつでも脱退できます。

このプログラムの詳細については、https://resources.workspaceone.com/view/9yfkbk6r2pzldhjlhrz9 を参照してください。

Console の基本

VMware, Inc. 101

https://resources.workspaceone.com/view/9yfkbk6r2pzldhjlhrz9

利用規約 15Workspace ONE UEM powered by AirWatch 内のすべての管理対象デバイスに利用規約 (TOU) を強制す


利用規約 (TOU) を定義および強制して、管理対象デバイスを使用するすべてのユーザーがポリシーに同意すること

を確認します。必要に応じ、加入を開始したり、アプリをインストールしたり、あるいは UEM コンソールにアクセ

スしたりする前に、ユーザーは利用規約に同意する必要があります。利用規約の項目は、UEM コンソールで完全に

カスタマイズすることができ、それぞれの組織グループとサブ組織グループに独自の利用規約を割り当てることもで

きます。

各デバイスの加入時に、利用規約が表示されます。以下の機能にアクセスできます。

n バージョン番号を設定する

n 利用規約を受信するようにプラットフォームを設定します。

n 利用規約の更新を E メールでユーザーに通知します。

n 利用規約の言語固有のコピーを作成します。

n 複数の利用規約同意書を作成し、プラットフォームまたは所有形態タイプに基づき組織グループに割り当てます。

n グループごとの特別な責任要件を満たすよう、利用規約をカスタマイズします。

利用規約同意を閲覧する

順守ポリシーを構成して、利用規約の同意を強制する他に、誰が同意を承諾したか、あるいはまだ承諾していないか

を把握することもできます。そして必要に応じて本人に直接連絡することができます。

1 [グループと設定] - [すべての設定] - [システム] - [利用規約] の順に進みます。

2 [タイプ] ドロップダウンメニューを使用し、規約タイプ (例: 加入) に基づいてリストを抽出します。[ユーザー/デバイス] カラムは、デバイスが利用規約を承諾済み/未承諾/割り当て済みかどうかを表示します。

3 利用規約の行の [デバイス] カラムから該当する数字を選択し、同意に関連するデバイス情報を閲覧します。オプ

ションで、その行のドロップダウンメニューにアクセスし、以下をクリックして確認します。

[デバイスまたはユーザー

を閲覧]すべてのデバイスとそれらの承諾の状態を表示します。組織グループごとに抽出することもできます。

[旧バージョンを表示] 同意書の旧バージョンを表示します。

[利用規約を表示] 利用規約同意書を表示します。

VMware, Inc. 102

レポート機能を利用して利用規約同意を追跡する

利用規約のユーザー同意状況を追跡し、必要に応じて対応措置を取ることができます。

特定の組織グループの詳細情報、コンソールの承諾状況やデバイス加入の承諾状況を閲覧することもできます。承諾

状況を Workspace ONE UEM Console に直接表示するか、レポートを XLSX または CSV 形式でエクスポート

します。どちらも MS Excel で表示できます。

1 [モニタ] - [レポート & 分析] - [レポート] - [リスト表示]の順に進みます。

2 [利用規約承諾詳細] レポートを探し、タイトルを選択してレポートを生成します。

3 [[組織グループ]] を選択します。

4 [利用規約タイプ] を選択します。

5 [レポート形式] を選択します。

6 [ダウンロード] を選択してレポートを保存します。

VMware Workspace ONE UEM は法的拘束力のあるサンプルテキストを提供しません。企業の法務部門

は、提供されるすべてのテキストサンプルを確認する必要があります。

加入利用規約の作成

加入目的に応じた利用規約 (TOU) に関する同意書を作成できます。また、利用規約の配布をデバイスプラットフォ

ーム、所有形態タイプ、および加入タイプによって制限することもできます。

組織グループに合わせた利用規約同意書を作成できます。現在構成中のアクティブな組織グループが、作成しようと

している利用規約に対して正しい組織グループであることを確認します。

1 [デバイス] - [デバイス設定] - [デバイスとユーザー] - [全般] - [加入] の順に進み、[利用規約] タブを選択しま

す。

2 [新しい加入利用規約の追加] ボタンを選択し、次のオプションを入力します。

設定説明

[名前] 新しい利用規約の一意の名前を入力します。

[タイプ] このオプションは、[加入] として事前入力されます。

[バージョン] このオプションは、自動的に追跡され適宜入力されます。

[プラットフォーム]、

[デバイス所有形態]、およ

び

[加入タイプ]

デバイスの特定のカテゴリの利用規約を作成しない場合は、これらのオプションの既定値である [任意] が維持さ

れます。

利用規約の適用対象となるプラットフォーム、所有形態、および加入を限定したい場合は、当該カテゴリを選択

し、それぞれ選択します。

n [選択したプラットフォーム] オプションを選択すると、希望するプラットフォームを選択できるようにリス

トが表示されます。選択したデバイスプラットフォームにのみ、利用規約が適用されます。

n [選択した所有形態タイプ] オプションを選択すると、希望する所有形態タイプを選択できるようにリストが

表示されます。選択した所有形態タイプにのみ、利用規約が適用されます。

n [選択した所有形態タイプ] オプションを選択すると、希望する所有形態タイプを選択できるようにリストが

表示されます。選択した加入タイプにのみ、利用規約が適用されます。

Console の基本

VMware, Inc. 103

設定説明

[通知] 利用規約の更新時にユーザーに E メールを送信するには、このチェックボックスにチェックを入れます。手順 5 で [保存] を選択すると、通知メールが送信されます。

[言語の選択] （任意）必要に応じて [言語の選択] ドロップダウンメニューで言語を選択し、各言語に対応した利用規約を入力

することもできます。

3 表示されるテキストボックスに、カスタマイズした利用規約を入力します。この画面では、基本的なテキスト形

式で新しい利用規約を作成したり、既存の利用規約をペーストしたりすることができます。外部コンテンツのテ

キストをペーストするには、テキストに HTML やフォーマットエラーが含まれないように、テキスト入力欄を

右クリックし、[プレーンテキストとしてペーストする] を選択してください。


[結果：][MDM 利用規約の承認] の遵守ポリシーを作成し、MDM 利用規約への同意を必須にすることができます。

アプリケーションまたはコンソール利用規約を作成する

アプリケーションに基づく利用規約を作成して、特定のアプリケーションがデータを収集したり制限を課したりする

場合に、エンドユーザーに通知することができます。

ユーザーがこれらのアプリケーションを貴社のエンタープライズ App Catalog から実行する時、アプリケーション

にアクセスするために同意を承諾する必要があります。アプリケーションのバージョンに応じた利用規約を設定する

こと、言語別の利用規約を作成すること、および、利用規約への同意がない場合にアプリケーションを削除すること

ができます。

コンソール利用規約は、管理者が Workspace ONE UEM Console に初めてログインする際に表示されます。

UEM コンソールに対して、利用規約のバージョン番号を設定することや、言語別の利用規約文書を作成することが

できます。アプリケーションに関しては、アプリケーションを追加したり、編集したりするときに、[利用規約] タブ

を使用して利用規約を割り当てます。

1 [グループと設定] - [すべての設定] - [システム] - [利用規約] の順に進みます。

2 [利用規約を追加] をクリックします。

3 利用規約の [名前] を入力し、[タイプ] で [コンソール] または [アプリケーション] を選択します。

4 選択した [タイプ] に応じて、[バージョン] 番号や [猶予期間] 等を構成します。

5 表示されるテキストボックスに、利用規約を入力します。この画面では、基本的なテキスト形式で新しい利用規

約を作成したり、既存の利用規約をペーストしたりすることができます。外部コンテンツのテキストをペースト

するには、テキストに HTML やフォーマットエラーが含まれないように、テキスト入力欄を右クリックし、[プレーンテキストとしてペーストする] を選択してください。


Console の基本

VMware, Inc. 104

ユーザーと管理者アカウント 16デバイスを Workspace ONE Express および Workspace ONE UEM に加入させるには、ユーザーアカウン

トを作成し、統合する必要があります。同様に、管理者アカウントを作成し、ユーザーとデバイスの管理がやりやす

くなるように割り当てる必要があります。

ユーザーアカウントリスト表示

Console では、ユーザーと管理者の完全なインフラストラクチャを構築できます。認証、エンタープライズ統合、

継続的なメンテナンスを構成するさまざまなオプションを提供します。

[アカウント] - [ユーザー] - [リスト表示] の順に進むと表示される [リスト表示] 画面は、Workspace ONE UEM での一般的なアカウントメンテナンスと維持のための有益なツールを提供します。

VMware, Inc. 105

リスト表示をカスタマイズする

ユーザーアカウントリスト表示を使用して、ユーザーリストをすばやくカスタマイズすることができます。また、

貴社にとって最も重要な基準に基づいて、画面レイアウトをカスタマイズすることができます。後で分析するために、

このカスタマイズしたリストをエクスポートできます。また、新しいユーザーを個別にまたは一括で追加できます。

操作説明

[フィルタ] 以下のようなフィルタを使用して、必要なユーザーのみを閲覧します。

n セキュリティタイプ

n 加入組織グループ

n 加入状態

n ユーザーグループ

n ユーザーロール

n 状態

[追加] ボタン n [ユーザーを追加] – ベーシックユーザーアカウントを 1 つずつ追加します。任意の従業員や異動により MDM 機能へのアクセスが必要になった従業員を追加します。

n [バッチインポート] – コンマ区切り値 (CSV) ファイルをインポートして複数のユーザーを Workspace ONE に追加します。一意な名前と説明を入力し、複数のユーザーを一度にグループ化して整理します。詳細は、

ユーザーおよびデバイスをバッチインポートするを参照してください。

[レイアウト] ボタンカラムの配置をカスタマイズします。

n [概要] – 既定のカラムと表示設定の [リスト表示] を閲覧します。

n [カスタム] – [リスト表示] から表示したいカラムのみを選択します。選択したカラムを、現在の組織グループ、

またはそのサブ組織グループのすべての管理者に適用することもできます。

[並べ替え] [リスト表示] ([概要] と [カスタム] レイアウトの両方) のほとんどのカラムは、[デバイス]、[ユーザーグループ]、[加入組織グループ] を含め、並べ替えることができます。

[エクスポート] ボタン [ユーザーリスト表示] 全体を [XLSX] または [CSV]（コンマ区切り値）ファイルで保存できます。このファイルは、

MS Excel で表示して分析できます。[ユーザーリスト表示] にフィルタを適用している場合は、エクスポートされる

リストもそのフィルタに従います。

[エクスポート] ボタンを選択し、形式（[XLSX] または [CSV]）を選択します。次に、[[モニタ] > [レポートと分

析] > [エクスポート]] の順に選択し、結果レポートを表示してダウンロードします。

ユーザーアカウントを管理する

リスト表示の各ユーザーアカウントの左側には、チェックボックスがあります。「一般情報」カラムのハイパーリン

ク付きユーザー名を選択して、ユーザーの詳細を表示します。

[編集] アイコン（）を使用し、ユーザーアカウントに基本的な変更を加えることができます。チェックボックス

を 1 つ選択すると、[メッセージを送信]、[デバイスを追加]、[その他のアクション] の 3 個のアクションボタンが表

示されます。

チェックボックスを使用して複数のユーザーアカウントを選択することもできます。その場合、利用できるアクシ

ョンが変わります。

Console の基本

VMware, Inc. 106

操作説明

メッセージを送信する。個別ユーザーまたはユーザーのグループにサポートを即時に提供します。ユーザーアクティブ化 (ユーザーテンプレ

ート) E メールをユーザーに送信し、加入資格情報を通知します。

デバイスを追加する。選択したユーザーにデバイスを追加します。ユーザーを 1 人選択したときにのみ利用できる機能です。

[その他のアクション] 次のオプションが表示されます。

ユーザーグループに追加す

る。

選択したユーザーを新しいユーザーグループ、または既存のユーザーグループに追加してシンプルにユーザー管理を

行います。詳細は、ユーザーグループリスト表示およびユーザーグループ権限の編集を参照してください。

ユーザーグループから削除

する。

選択したユーザーを既存のユーザーグループから削除します。

組織グループを変更ユーザーを別の組織グループに手動で移動します。ユーザーの役職変更、昇進時や、オフィスの場所や地域が変更され

た時など、利用可能なコンテンツ、権限と制限を更新します。

削除組織のメンバーの雇用が永久的に終了した場合に、ユーザーアカウントを素早く完全に削除できます。アカウント情

報を削除すると、最初から存在しないアカウントと同じ状態になります。削除されたアカウントを再アクティブ化する

ことはできません。削除されたアカウントの所有者が復帰した場合は、新しいアカウントを作成する必要があります。

アクティブ化ユーザーが職場や部門に復帰した際は、以前にアクティベーション解除済みのアカウントをアクティブ化します。

非アクティブ化非アクティブ化は、セキュリティ対策です。非アクティブ化は、ユーザーの操作がない場合、デバイスがコンプライア

ンス違反の場合、デバイスが紛失または盗難にあった場合に使用します。名前、メールアドレス、パスワード、加入

組織グループなど、すべてのアクティベーション解除済みアカウントに関する情報は保持されます。

アクティベーション解除済みのアカウントは、単にそのアカウントがアクティベーション解除済みの間はこれらのアカ

ウントの資格情報を使うユーザーがログインできないことを意味します。セキュリティの問題が解決されれば（ユーザ

ーが特定される、デバイスが準拠状態になる、デバイスがリカバリする）、アカウントをアクティブ化することができ

ます。


n ユーザー認証タイプ

n ベーシックユーザーアカウント

n ディレクトリベースのユーザーアカウント

n バッチインポート機能

n 管理者アカウント

ユーザー認証タイプ

デバイスを加入させるには、事前に、各デバイスユーザーに Workspace ONE UEM powered by AirWatch の正規ユーザーアカウントを割り当てる必要があります。また、貴社のニーズに基づいて、ユーザー認証タイプを選

択します。

認証プロキシ

認証プロキシは、クラウドまたは強化された内部ネットワークにディレクトリサービス統合を提供します。このモデ

ルでは、Workspace ONE UEM サーバは、Exchange ActiveSync サーバ、または、パブリックネットワーク

に面した Web サーバと通信します。また、ユーザーはドメインコントローラに対して認証されます。

Console の基本

VMware, Inc. 107

[長所]

n クラウド全体を通して AD/LDAP とプロキシ統合するセキュアな方法を提供

n 既存の企業資格情報でエンドユーザーを認証

n 構成の必要性を最小に押さえた軽量モジュール

[短所]

n AD/LDAP サーバと結び付けられたパブリックに面した Web サーバまたは Exchange ActiveSync サーバ

が必要

n また、特定のアーキテクチャでのみ使用が可能

n VMware Enterprise Systems Connector に比べて堅牢性が大幅に低い

n Workspace ONE への直接加入のためには使用できません。

1 デバイスは加入のために Workspace ONE UEM に接続します。ユーザーは自分のディレクトリサービスの

ユーザー名とパスワードを入力します。

n ユーザー名とパスワードは送信中は暗号化されます。

n Workspace ONE UEM はユーザーのディレクトリサービスパスワードを保管しません。

2 Workspace ONE UEM はユーザー名とパスワードを（ベーシック認証のような）認証が必要な構成済みの認

証プロキシエンドポイントにリレーします。

3 ユーザーの資格情報は、企業ディレクトリサービスに対して検証されます。

4 ユーザーの資格情報が有効であれば、Workspace ONE UEM サーバはデバイスの加入を許可してプロセスを

完了します。

LDAP 認証と VMware Enterprise Systems Connector を使用した Active Directory

LDAP 認証と VMware Enterprise Systems Connector を使用した Active Directory は、従来の AD & LDAP 認証と同じ機能を提供します。このモデルは、SaaS 展開向けのクラウド全体で機能します。

[長所]

n 既存の企業資格情報を使用してエンドユーザーを認証

n 通信が貴社ネットワーク内の VMware Enterprise Systems Connector から開始されるため、ファイアウ

ォールの設定変更が不要

Console の基本

VMware, Inc. 108

n 資格情報を暗号化しセキュアに送信

n BES、Microsoft ADCS、SCEP や SMTP サーバといった他のインフラにもセキュアな構成を提供

n Workspace ONE ™ への直接加入のために使用できます。

[短所]

n ファイアウォールの背後または DMZ 内への VMware Enterprise Systems Connector のインストールが

必要

n 追加構成が必要

[SaaS 展開モデル]

[オンプレミス展開モデル]

SAML 2.0 認証

SAML (Security Assertion Markup Language) 2.0 認証は、シングルサインオンをサポートし、統合された

認証を提供します。Workspace ONE UEM は、いかなる企業資格情報も受け取りません。

SAML アイデンティティプロバイダサーバを使用している場合は、SAML 2.0 統合を利用してください。ID プロ

バイダで SAML 応答の一部として、objectGUID 属性が返されることを確認します。

[長所]

n シングルサインオン機能を提供

n 既存の企業資格情報を使用した認証

n Workspace ONE UEM がプレーンテキストで企業資格情報を受け取ることはない

n SAML ディレクトリユーザーとペアになっている場合に Workspace ONE への直接加入に使用できます。

n マルチドメイン環境は管理者のみでサポートされます。

Console の基本

VMware, Inc. 109

[短所]

n 企業 SAML アイデンティティプロバイダインフラが必要

n SAML ベーシックユーザーとペアになっている場合は Workspace ONE への直接加入に使用できません。

a デバイスは加入のために Workspace ONE UEM に接続します。次に UEM サーバはデバイスをクライ

アント指定のアイデンティティプロバイダにリダイレクトします。

b デバイスは HTTPS を使用して、クライアントにより提供されたアイデンティティプロバイダにセキュア

に接続します。ユーザーは資格情報を入力します。

n 資格情報は、デバイスと SAML エンドポイントの間で直接送信される際、暗号化されます。

c 資格情報はディレクトリサービスに対して検証されます。

d アイデンティティプロバイダは、認証済みのユーザー名を伴った署名済みの SAML 応答を返します。

e デバイスは、Workspace ONE UEM サーバに応答を返し、署名済みの SAML メッセージを提示します。

ユーザー認証が完了します。

詳細については、「Directory Services の手動による設定」を参照し、SAML セクションまで下にスクロール


n Workspace ONE Access を使用して認証する SAML 管理者は、SaaS アプリを使用できません。

SAML 管理者向けの SaaS アプリ機能

Workspace ONE Access を使用して認証する SAML 管理者は、SaaS アプリケーションや、他の Workspace ONE Access ポリシーおよび機能を利用できません。[SaaS アプリ] ページに移動すると、次のエラーメッセージ

が表示されます。

管理者アカウントが UEM と IDM の両方のシステムに存在し、Workspace ONE UEM のドメインが VMware Identity Manager の同じアカウントのドメインと完全に一致していることを確認します。

SaaS アプリへのアクセス機能を復元するには、ベーシック認証を使用して Workspace ONE UEM にログイン

し、さらに、組織グループで Workspace ONE Access を有効にする必要があります。

トークンベース認証

トークンベース認証はユーザーにとって最も簡単なデバイス加入方法です。この加入方法を使用する場合、

Workspace ONE UEM はトークンを生成し、加入 URL 内に配置します。

Console の基本

VMware, Inc. 110

https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/Directory_Service_Integration/GUID-AWT-SETUPDIRSVCMANUALLY.html

[シングルトークン認証] では、ユーザーは加入を完了するためにデバイスからリンクにアクセスし、Workspace ONE UEM サーバはユーザーが提供するトークンを参照します。

セキュリティを強化するため、各トークンに有効期限 (単位: 時間) を設定してください。これにより、別のユーザー

がそのデバイス上の利用可能な情報や機能にアクセスしてしまう可能性を、最小限に抑えることができます。

また二要素認証を実装し、エンドユーザー識別確認のステップを加えることもできます。この認証設定では、ユーザ

ーは、加入リンクにアクセスして提供されたトークンとユーザー名およびパスワードを入力する必要があります。

[長所]

n デバイスの加入/認証の際のエンドユーザーへの負担が最も少ない方法です。

n 有効期限を設けることで、トークンをセキュアに使用できます。

n シングルトークン認証にはユーザー資格情報は不要です。

[短所]

n デバイスにトークンを送信するために、簡易メール転送プロトコル (SMTP)、あるいはショートメッセージサービス (SMS) 統合が必要です。

1 管理者がユーザーのデバイス登録を承認します。

2 シングルユーザー用のトークンが生成され、Workspace ONE UEM からユーザーに送信されます。

3 トークンを受け取ったユーザーは、加入 URL を開きます。トークンを入力するよう、ユーザーにプロンプトが

表示されます。(オプションで二要素認証を要求することもできます)

4 デバイスの加入プロセスが開始します。

5 Workspace ONE UEM はトークンを期限切れとマークします。

注： SaaS 展開には SMTP が含まれています。

Console の基本

VMware, Inc. 111

加入のセキュリティタイプを有効にする

Workspace ONE UEM を、選択したユーザーセキュリティタイプと統合したら、加入処理の前に、許可する認

証モードのそれぞれを有効にします。

1 [認証] タブで、[デバイス] - [デバイス設定] - [デバイスとユーザー] - [全般] - [加入] の順に進みます。

2 [認証モード] 設定の適切なチェックボックスを選択します。

設定説明

E メールドメインを追加このボタンは、自動検出サービスを設定して E メールドメインを環境に登録するために使用します。

[認証モード] 許可済みの認証タイプを選択します。これには以下が含まれます。

n [ベーシック] – ベーシックユーザーアカウント（UEM Console で手動で作成したもの）を加入できます。

n [ディレクトリ] – ディレクトリユーザーアカウント (ディレクトリサービス統合によりインポート済みまた

は許可済みのアカウント) の加入を許可します。Workspace ONE への直接加入では、SAML の有無に関

係なくディレクトリユーザーをサポートします。

n [認証プロキシ] – 認証プロキシユーザーアカウントを使用したユーザー加入を許可します。ユーザーはウェ

ブエンドポイントに認証します。

n [認証プロキシの URL]、[認証プロキシ URL のバックアップ]、および [認証方法の種類]（HTTP ベー

シックまたは Exchange ActiveSync を選択）を入力します。

[Intelligent Hub の認証

ソース]Intelligent Hub サービスがユーザーおよび認証ポリシー用にそのソースとして使用するシステムを選択しま

す。

n [Workspace ONE UEM] – Hub サービスでユーザーおよび認証ポリシーのソースとして Workspace ONE UEM を使用する場合は、この設定を選択します。

Hub サービスの [Hub 構成] ページを構成するときに、Hub サービステナントの URL を入力します。

n [Workspace ONE Access] – Hub サービスでユーザーおよび認証ポリシーのソースとして

Workspace ONE Access を使用する場合は、この設定を選択します。

Hub サービスの [Hub 構成] ページを構成するときに、Workspace ONE Access テナントの URL を入力します。

Workspace ONE Intelligent Hub の詳細については、VMware Workspace ONE Hub サービスドキュ

メントを参照してください。

Workspace ONE Access の詳細については、VMware Workspace ONE Access ドキュメントを参照


[デバイス加入モード] 優先するデバイス加入モードを選択します。これには以下が含まれます。

n [[新規加入]] – 基本的にその他の加入の条件（認証モード、制限など）を満たすすべてのユーザーに加入を許

可します。Workspace ONE への直接加入では、新規加入をサポートします。

n [登録デバイスのみ] – 管理者またはエンドユーザーにより登録されたデバイスを使用して加入するユーザー

のみを許可します。デバイスの登録は、加入前に企業デバイスを UEM コンソールに追加するプロセスです。

Workspace ONE への直接加入では、登録済みデバイスのみの登録を許可できますが、登録トークンが必

要ない場合に限られます。

[登録トークンを要求する] [登録済みデバイスのみ] が選択されている場合にのみ表示されます。

登録済みのデバイスのみが加入できるように制限する場合、加入に使用する登録トークンを要求するオプションも

使用することができます。その特定のユーザーに加入が認められているかどうかを確認できるため、これを使用す

るとセキュリティを強化できます。Workspace ONE UEM アカウントを持つユーザーに、加入トークンを添

付した E メールか SMS メッセージを送信することができます。

Console の基本

VMware, Inc. 112

https://docs.vmware.com/jp/VMware-Workspace-ONE/services/intelligent-hub_IDM/GUID-D398B4CD-0443-479E-B5F4-6DD8621FAF55.html

https://docs.vmware.com/jp/VMware-Workspace-ONE/services/intelligent-hub_IDM/GUID-D398B4CD-0443-479E-B5F4-6DD8621FAF55.html

https://docs.vmware.com/jp/VMware-Workspace-ONE-Access/index.html

設定説明

[iOS で Intelligent Hub 加入を必須にする]

iOS デバイスのユーザーが加入前に Workspace ONE Intelligent Hub をダウンロードおよびインストール

していることを必須とするには、このチェックボックスを選択します。無効な場合、Web 加入を利用できます。

[macOS で Intelligent Hub 加入を必須にする]

macOS デバイスのユーザーが加入前に Workspace ONE Intelligent Hub をダウンロードおよびインスト

ールしていることを必須とするには、このチェックボックスを選択します。無効な場合、Web 加入を利用でき

ます。


ベーシックユーザー認証

ベーシック認証を使用して Workspace ONE UEM アーキテクチャのユーザーを特定することができますが、この

方法では、既存の企業ユーザーアカウントとの統合はできません。

[長所]

n どの展開方法でも使用できる

n テクニカル統合が不要

n 企業インフラが不要

[短所]

n 「自動検出」では使用できません。

n 資格情報は Workspace ONE UEM 内のみに存在し、既存の企業資格情報と必ずしも合致しません。

n セキュリティの連携がなく、シングルサインオンが利用できない

n すべてのユーザー名とパスワードが Workspace ONE UEM に保存されます。


1 コンソールユーザーは、ローカルアカウントを使用して Workspace ONE UEM SaaS にログインし、認証

（ベーシック認証）を受けます。

n 資格情報は送信中は暗号化されます。

n （例：ユーザー名：[email protected]、パスワード：Abcd）

Console の基本

VMware, Inc. 113

2 デバイスユーザーはローカル Workspace ONE UEM アカウント（ベーシック認証）資格情報を使用してデ

バイスの加入を行います。

n 資格情報は送信中は暗号化されます。

n （例：ユーザー名：jdoe2、パスワード：2557）

LDAP 認証を使用した Active Directory

LDAP（ライトウェイトディレクトリアクセスプロトコル）認証を使用した Active Directory では、既存の企業

アカウントと Workspace ONE UEM のユーザーおよび管理者アカウントを統合することができます。

[長所]

n これで、既存の企業資格情報を使用してエンドユーザーを認証します。

n LDAP/AD とのセキュアな統合方法

n 標準的な統合方法

n Workspace ONE への直接加入のために使用できます。

[短所]

n AD またはその他の LDAP サーバが必要

1 デバイスは加入のために Workspace ONE UEM に接続します。ユーザーは自分のディレクトリサービスの

ユーザー名とパスワードを入力します。

n ユーザー名とパスワードは送信中は暗号化されます。

n Workspace ONE UEM はユーザーのディレクトリサービスパスワードを保管しません。

2 Workspace ONE UEM は、認証用サービスアカウントを使用し、セキュア LDAP プロトコルを使用してイ

ンターネット経由でクライアントのディレクトリサービスにクエリを送信します。

3 ユーザーの資格情報は、企業ディレクトリサービスに対して検証されます。

4 ユーザーの資格情報が有効であれば、Workspace ONE UEM サーバはデバイスの加入を許可してプロセスを

完了します。

Console の基本

VMware, Inc. 114

ベーシックユーザーアカウント

ディレクトリサービスを Workspace ONE UEM と統合していない場合、エンドユーザーに対するベーシックユーザーアカウントを作成します。ベーシックユーザーアカウントは、手軽に作成し、不要になったら手軽に削除す

ることができるので、テスト用としても役立ちます。

長所

n どの展開方法でも使用できる

n テクニカル統合が不要

n 企業インフラが不要

n 複数の組織グループに加入できる

短所

n 資格情報は Workspace ONE UEM 内のみに存在し、既存の企業資格情報と必ずしも合致しません。

n セキュリティの連携がない

n シングルサインオンがサポートされていない

n すべてのユーザー名とパスワードが Workspace ONE UEM に保存されます。


ベーシックユーザーアカウントを作成する

認証を受けて Workspace ONE UEM システムにログインする必要がある各ユーザーに対して、ベーシックユー

ザーアカウントを作成できます。次に、ベーシックユーザーに、パスワードをリセットするためのリンク (有効期限

24 時間) とアカウントをアクティブ化するための手順が含まれた通知を送信できます。

ここでは、ユーザーアカウントを一度に 1 つ作成する方法を説明します。ユーザーアカウントを一括作成するには、


1 [アカウント] - [ユーザー] - [リスト表示] の順に進み、[追加] を選択してから [ユーザーを追加] を選択します。

[ユーザーを追加/編集] 画面が表示されます。

2 [全般] タブで次の各設定を入力し、ベーシックユーザーを追加します。

[設定] [説明]

[セキュリティタイプ] [[ベーシック]] を選択し、ベーシックユーザーを追加します。

[ユーザー名] 追加しようとしている新しいユーザーの識別に使用するユーザー名を入力します。

[｢パスワード｣] ユーザーがログインに使用するパスワードを入力します。

[パスワードを再入力] パスワードを再入力します。

[氏名] ユーザーの [名]、[ミドルネーム]、[姓] を (この順番で) 入力します。

[表示名] 名前を入力して、UEM コンソールにユーザーを表示します。

[メールアドレス] ユーザーの E メールアドレスを入力/編集します。

[E メールのユーザー名] ユーザーの E メールユーザー名を入力/編集します。

Console の基本

VMware, Inc. 115

[設定] [説明]

[ドメイン] ドロップダウンメニューから E メールドメインを選択します。

[電話番号] +マーク、国番号、市外局番を含んだ形式で、ユーザーの電話番号を入力します。通知の送信に SMS を使用する

場合、このフィールドに値を指定する必要があります。

[加入]

[加入組織グループ] ユーザーが加入する組織グループを選択します。

[追加の組織グループにユ

ーザーが加入することを許

可]

複数の組織グループへの加入をユーザーに許可できます。

このオプションを [有効] にして [追加の組織グループ] を空白のままにすると、[加入組織グループ] 以下に作成す

るいずれのサブ組織グループも、加入ポイントとして使用できます。

[追加の組織グループ] この設定は、ユーザーが追加の組織グループに加入することを許可するオプションが [有効] の場合のみ表示され

ます。

この設定を使用すると、ベーシックユーザーが加入できる組織グループを追加することができます。

[ユーザーロール] このドロップダウンメニューから追加中のユーザーのロールを選択します。

[通知]

[メッセージタイプ] ユーザーに送信するメッセージのタイプを [E メール]、[SMS]、[なし] から選択します。SMS を選択する場合

は、上の [電話番号] 欄に有効なデータを入力する必要があります。

[メッセージテンプレート] ベーシックユーザーは、この通知を使用してアカウントをアクティブ化します。セキュリティ上の理由から、通

知にはユーザーのパスワードが表示されません。代わりに、パスワードをリセットするためのリンクが含まれてい

ます。ベーシックユーザーはこのリンクを選択して別のパスワードを定義します。このパスワードをリセットす

るためのリンクは、24 時間で自動的に期限が切れます。

このドロップダウンメニューで、E メールメッセージまたは SMS メッセージ用のテンプレートを選択します。

または、オプションで [メッセージプレビュー] を選択してテンプレートを閲覧したり、[メッセージテンプレー

トを構成する] を選択して新しいテンプレートを作成したりすることもできます。

3 オプションで、[[高度な設定]] タブを選択し、以下の項目を設定することができます。

[設定] [説明]

[高度な情報セクション]

[E メールパスワード] 追加しているユーザーの E メールパスワードを入力します。

[E メールパスワードを確

認]追加しているユーザーの E メールパスワードを再入力します。

[ユーザープリンシパル

名]ベーシックユーザーのプリンシパル名を入力します。このフィールド値の指定は任意です。

[カテゴリ] 追加しているユーザーの [ユーザーカテゴリ] を選択します。

[部署] ユーザーの部署を入力します。事務管理目的で使用されます。

[従業員 ID] ユーザーの社員 ID を入力します。事務管理目的で使用されます。

[コストセンター] ユーザーのコストセンターを入力します。事務管理目的で使用されます。

[証明書セクション]

[S/MIME を使用する] S/MIME (Secure/Multipurpose Internet Mail Extensions) の使用を有効化/無効化します。

有効に設定した場合、S/MIME が有効であるプロファイルが必要になり、また、[アップロード] を選択して S/MIME 証明書をアップロードする必要があります。

Console の基本

VMware, Inc. 116

[設定] [説明]

[別の暗号化証明書] 暗号化証明書を有効/無効にします。

有効に設定した場合、[アップロード] を使用して暗号化証明書をアップロードする必要があります。一般的に、別

の証明書が明示的に使用されていない限り、同一の S/MIME 証明書が署名と暗号化に使用されます。

[旧版の暗号化証明書] 暗号化証明書の旧バージョンを有効化/無効化します。

有効に設定した場合、暗号化証明書を [アップロード] する必要があります。

[代理セットアップセクション]

[デバイス代理セットアッ

プを有効にする]デバイスの代理セットアップを有効化/無効化します。

有効に設定した場合、[シングルユーザーデバイス] と [マルチユーザーデバイス] から選択する必要がありま

す。[シングルユーザーデバイス] では、ユーザー自身がログインを行う [標準] と、他のユーザーに代わってデ

バイスを加入させる [高度] から選択する必要があります。

詳細はデバイスの代理セットアップを参照してください。

4 [保存] を選択し、新しいユーザーのみを保存することも、[保存してデバイスを追加] を選択して、新しいユーザ

ーを保存して [デバイスを追加] 画面に進むこともできます。

ディレクトリベースのユーザーアカウント

AirWatch を既存のディレクトリサービスと統合した場合、ユーザーを自動的に取り込むことができます。これに

より、Workspace ONE UEM にユーザーを手動で追加する必要がなくなります。

Workspace ONE UEM を使用して管理を行うすべてのディレクトリユーザーに、UEM Console の対応するユ

ーザーアカウントが必要です。

以下のいずれかの方法で、既存のディレクトリサービスユーザーを直接 Workspace ONE UEM に追加すること

ができます。

n すべてのディレクトリサービスユーザーを含むファイルを一括でアップロードする。一括インポート操作によ

り、自動的にユーザーアカウントが作成されます。

n ディレクトリユーザーのユーザー名を入力して [ユーザー名を確認] を選択し、残りの詳細を自動挿入させる方

法で、ユーザーアカウントを 1 つずつ作成する。

n 一括インポートも手動によるユーザーアカウント作成も行わず、その代わり、すべてのディレクトリサービス

ユーザーに対して、加入プロセスでの自己加入を許可する。

長所

n 既存の企業資格情報を使用してエンドユーザーを認証

n Workspace ONE UEM は、ディレクトリシステムからの変更を自動的に検出して同期します。たとえば、

AD でユーザーを無効にすると、Workspace ONE UEM Console の対応するユーザーアカウントが非アク

ティブとマークされます。

n セキュアな方法で既存のディレクトリサービスと統合できます。

n 標準的な統合方法

n Workspace ONE への直接加入のために使用できます。

Console の基本

VMware, Inc. 117

https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/UEM_Managing_Devices/GUID-AWT-ENROLLMENT-SELFENROLLVDEVSTAGING.html

n AirWatch Cloud Connector を使用する SaaS 展開では、ファイアウォールの変更が不要で、Microsoft ADCS、SCEP、SMTP サーバなどの他のインフラストラクチャに対してセキュアな構成を提供できます。

アカウントステータスの同期に関する詳細は、次のセクション「[ディレクトリユーザーの状態同期]」を参照してく

ださい。

短所

n 既存のディレクトリサービスインフラストラクチャが必要です。

n SaaS 展開では、AirWatch Cloud Connector をファイアウォールの内側または DMZ 内にインストールす

る必要があるため、追加の構成作業が必要です。

ディレクトリユーザーの状態同期

ディレクトリサービスでユーザーを非アクティブにすると、対応する Workspace ONE UEM および

Workspace ONE Express アカウントは同様の方法で影響を受けますが、以下の前提条件が適用されます。

n 削除されたユーザーの同期は、Active Directory でのみ機能します。

n [バインドユーザー名] オプションに入力したユーザー名には、Active Directory 管理者権限が必要です。

n この名前を確認するには、[グループと設定] - [すべての設定] - [システム] - [エンタープライズ統合] - [ディレクトリサービス] の順に選択し、[サーバ] タブで、[バインドユーザー名] テキストボックスを探しま

す。

n Workspace ONE Express を使用している場合、[バインドユーザー名] テキストボックスを同じ [サー

バ] タブで見つけて（[グループと設定] に移動する方法で）、[ディレクトリサービス] を [名前] カラムで選

択することができます。

n Microsoft サポート記事 (https://support.microsoft.com/en-in/help/892806/how-to-let-non-administrators-view-the-active-directory-deleted-object) で説明されている手順に従った場合は、削除

されたオブジェクトコンテナへのアクセスを Active Directory で管理者以外に許可できます。

n さらに、Active Directory 管理センターを使用してごみ箱を有効にする必要があります（Active Directory のユーザーを削除する場合のみ）。

a [Active Directory 管理センター] を開きます。

b ドメインを選択し、ドメインを右クリックします。

c [ごみ箱の有効化] を選択します。ごみ箱は一度有効にすると、無効にすることはできません。

ディレクトリベースのユーザーアカウントを作成する

ユーザーのそれぞれに対し、Workspace ONE UEM システムにアカウントを作成する必要があります。ディレク

トリユーザーは貴社の既存の企業資格情報を使って認証を行います。

ここでは、ユーザーアカウントを一度に 1 つ作成する方法を説明します。ユーザーアカウントを一括作成するには、


1 [アカウント] - [ユーザー] - [リスト表示] の順に進み、[追加] の次に [ユーザーを追加] を選択します。[ユーザ

ーを追加/編集] 画面が表示されます。

Console の基本

VMware, Inc. 118

https://support.microsoft.com/en-in/help/892806/how-to-let-non-administrators-view-the-active-directory-deleted-object


2 [全般] タブで次の各設定を入力し、ディレクトリユーザーを追加します。

[設定] [説明]

[セキュリティタイプ] Active Directory ユーザーを追加するため、[ディレクトリ] を選択します。

[ディレクトリ名] この事前入力済みのフィールド値は Active Directory 名を示します。

[ドメイン] ドロップダウンメニューからドメイン名を選択します。

[ユーザー名] ユーザーのディレクトリユーザー名を入力し、[ユーザーを確認] をクリックします。システムに合致する情報が

見つかった場合、ユーザー情報は自動的に入力されます。このセクション内の以降のフィールド値は、[ユーザー

を確認] ボタンを使用して Active Directory ユーザーを確認できた後にのみ、指定可能になります。

[氏名] [属性を編集] を使用して、ディレクトリから空白値が返されたフィールドの値を編集することができます。また、

合致するユーザーの情報を自動入力することもできます。

フィールド値がディレクトリ内の実際の値を反映している場合、ディレクトリ側で値を編集する必要があります。

変更結果は次回の同期処理時に反映されます。[氏名] で、ディレクトリから空白で戻った項目を入力し、追加分を

保存するため [属性を編集] を選択します。

[表示名] 管理者コンソールに表示する名前を入力します。

[メールアドレス] ユーザーの E メールアドレスを入力/編集します。

[E メールのユーザー名] ユーザーの E メールユーザー名を入力/編集します。

[ドメイン] (E メール) ドロップダウンメニューから E メールドメインを選択します。

[電話番号] +マーク、国番号、市外局番を含んだ形式で、ユーザーの電話番号を入力します。通知の送信に SMS を使用する

場合、電話番号を指定する必要があります。

[加入]

[加入組織グループ] ユーザーが加入する組織グループを選択します。

[追加の組織グループにユ

ーザーが加入することを許

可]

ユーザーが 2 つ以上の組織グループに加入することを許可するかどうかを選択します。[有効] を選択する場合

は、[追加の組織グループ ] を入力します。

[ユーザーロール] このドロップダウンメニューから追加中のユーザーのロールを選択します。

[通知]

[メッセージタイプ] ユーザーに送信するメッセージのタイプを [E メール]、[SMS]、[なし] から選択します。SMS を選択する場合

は、上の [電話番号] 欄に有効なデータを入力する必要があります。

[メッセージテンプレート] このドロップダウンメニューで、E メールメッセージまたは SMS メッセージ用のテンプレートを選択します。

または、[メッセージプレビュー] を選択してテンプレートを閲覧したり、[メッセージテンプレートを構成する] を選択してテンプレートを作成したりすることもできます (任意)。

3 オプションで、[高度な設定] タブを選択し、以下の項目を設定することができます。

[設定] [説明]

[高度な情報セクション]

[E メールパスワード] 追加しているユーザーの E メールパスワードを入力します。

[E メールパスワードを確

認]追加しているユーザーの E メールパスワードを再入力します。

[識別名] ディレクトリユーザーを Workspace ONE UEM に認識させる場合は、この項目にはユーザーの識別名が自動

入力されます。識別名は、Active Directory ユーザーに関連付けられたユーザー名とそのすべての権限コード

を示す文字列です。

Console の基本

VMware, Inc. 119

[設定] [説明]

[マネージャ識別名] ユーザーの上司の識別名を入力します。この欄は必須項目ではありません。

[カテゴリ] 追加しているユーザーのユーザーカテゴリを選択します。

[部署] ユーザーの部署を入力します。貴社での事務管理目的で使用されます。

[従業員 ID] ユーザーの従業員 ID を入力します。貴社での事務管理目的で使用されます。

[コストセンター] ユーザーのコストセンターを入力します。貴社での事務管理目的で使用されます。

[カスタム属性 1-5] (ディ

レクトリユーザーのみ)該当する場合、事前構成済みのカスタム属性を入力します。これらのカスタム属性を定義するには、[グループと

設定] - [すべての設定] - [デバイスとユーザー] - [高度な設定] - [カスタム属性] の順に進みます。

注：カスタム属性は、カスタマー組織グループのみで構成できます。

[証明書セクション]

[S/MIME を使用する] S/MIME の使用を有効または無効にします。有効に設定した場合、S/MIME が有効であるプロファイルが必要に

なり、また、[アップロード] を選択して S/MIME 証明書をアップロードする必要があります。

[別の暗号化証明書] 別の暗号化証明書の使用を有効または無効にします。有効に設定した場合、[アップロード] を使用して暗号化証明

書をアップロードする必要があります。一般的に、別の証明書が明示的に使用されていない限り、同一の S/MIME 証明書が署名と暗号化に使用されます。

[旧版の暗号化証明書] 暗号化証明書の旧バージョンを有効化/無効化します。有効に設定した場合、暗号化証明書を [アップロード] する

必要があります。

[代理セットアップセクション]

[デバイス代理セットアッ

プを有効にする]デバイスの代理セットアップを有効化/無効化します。

有効に設定した場合、[シングルユーザーデバイス] と [マルチユーザーデバイス] から選択する必要がありま

す。

[シングルユーザーデバイス] では、ユーザー自身がログインを行う [標準] と、他のユーザーに代わってデバイ

スを加入させる [高度] から選択する必要があります。

詳細はデバイスの代理セットアップを参照してください。

4 [保存] を選択し、新しいユーザーのみを保存することも、[保存してデバイスを追加] を選択して、新しいユーザ

ーを保存して [デバイスを追加] 画面に進むこともできます。

バッチインポート機能

多数のユーザーを Workspace ONE UEM に追加する場合、ユーザーとユーザーグループをバッチ作成すること

や、ユーザーとユーザーグループをディレクトリサービスからバッチインポートすることができます。

バッチインポートの実行とは、コンマ区切り値形式で提供されるテンプレートを作成することです。貴社独自のデー

タを入力し、完全なテンプレートをアップロードします。

注：ダウンロード可能なテンプレートファイルは、Workspace ONE UEM Console から提供され、必要なバ

ッチインポートのタイプに固有であり、各タイプ内に用意されます。下のリンクから選択すると、該当するダウンロ

ードを利用するために必要な Workspace ONE UEM Console 内の特定のナビゲーションパスが表示されます。

Console の基本

VMware, Inc. 120

https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/UEM_Managing_Devices/GUID-AWT-ENROLLMENT-SELFENROLLVDEVSTAGING.html

外部 LDAP および AD ユーザーディレクトリ内の変更

ユーザー、ユーザーグループのバッチリストをアップロードした後は、貴社の外部 LDAP および AD ユーザーディレクトリにおける変更内容は、Workspace ONE UEM に反映されません。これらのユーザーとユーザーグルー

プの変更は、手動で更新するか、または新しいバッチとしてアップロードしてください。

ユーザーおよびデバイスをバッチインポートする

複数のユーザーとデバイスを Console にバッチインポートできます。[バッチの状態] ページにアクセスして、バッ

チジョブの状態を確認することもできます。[アカウント] - [ユーザー] - [バッチの状態] の順に進みます。

[バッチの状態] 画面には、要求したすべてのバッチインポートジョブのリスト（ジョブの状態を含む）が表示され

ます。

ユーザーまたはデバイスのバッチインポートを開始するには、次の手順を実行します。

1 [アカウント] - [ユーザー] - [バッチの状態] または [デバイス] - [ライフサイクル] - [加入状態] - [追加] の順に

進み、[バッチインポート] を選択します。

2 [バッチ名] や [バッチの説明] などの基本情報を入力します。

3 該当するバッチタイプを [バッチタイプ] ドロップダウンメニューから選択します。

4 実行するバッチインポート処理の種類に最も適したテンプレートを選択し、ダウンロードします。以下から選択

します。

n [拒否リストデバイス] – IMEI、シリアル番号、または UDID を使用して、既知の非順守デバイスのリスト

をインポートします。拒否リストデバイスを加入させることはできません。拒否リストデバイスを加入さ

せようとすると、自動的にブロックされます。

n [許可リストデバイス] – IMEI、シリアル番号、または UDID を使用して、承認済みデバイスをインポート

します。既知の信頼済みデバイスのリストをインポートするには、このテンプレートを使用します。デバイ

スに関連付けられている所有形態とグループ ID は、加入時に自動適用されます。

n [[ユーザーまたはデバイス (あるいはその両方)]] － CSV テンプレートの種類として、[[シンプル]] または

[[高度]] を選択します。｢シンプル｣テンプレートには、使用頻度の高いカラムだけがあります。｢高度｣テンプレートには、すべてのカラムがあります。

n [組織グループの変更] – ユーザーを別の組織グループに移動します。

5 CSV ファイルを開きます。ユーザーが加入組織グループに属しているかどうかを確認します。

この CSV ファイルには [[ユーザーを追加/編集]] 画面に表示されるフィールドに対応するカラムがあります。

CSV テンプレートを開くと、テンプレートの各カラムにサンプルデータが追加されています。サンプルデータ

には、必要なデータとそのデータを表すために必要な形式が示されます。サンプルデータによって示された形式

から外れないようにしてください。

注： CSV ファイル（コンマ区切り値）は、拡張子が「TXT」から「CSV」に変更された単なるテキストファ

イルです。表形式データ（テキストと数字）を書式なしテキストで格納します。ファイルの各行は、データレコ

ードです。各レコードは、カンマで区切られた 1 つまたは複数のフィールドで構成されます。任意のテキストエディタで開いて編集できます。また、Microsoft Excel で開いて編集することもできます。

Console の基本

VMware, Inc. 121

6 [グループと設定] - [すべての設定] - [デバイスとユーザー] - [全般] - [加入] の順に進み、[グループ化] タブを

選択します。

ディレクトリベースの加入の場合、各ユーザーの [セキュリティタイプ] を [ディレクトリ] に設定します。

[結果：][グループ ID 割り当てモード] で [既定] が選択されている場合、ユーザーは加入組織グループに属して

います。

7 貴社組織のユーザーのデータを入力します。デバイス情報がある場合は、デバイス情報も入力します。ファイル

を保存します。

8 ｢バッチインポート｣画面に戻り、[ファイルを選択] を選択し、データを入力した CSV ファイルを探してアッ

プロードします。


ユーザーグループをバッチインポートする

時間を節約するため、複数の LDAP (Lightweight Directory Access Protocol) または AD (Active Directory) ユーザーグループを Workspace ONE UEM Console にバッチインポートできます。利用できる

テンプレートを完成させて、アップロードすることで、個々のユーザーの場合と同じ方法でユーザーグループをバッ

チインポートできます。

1 [アカウント] - [ユーザーグループ] - [リスト表示] の順に進み、[追加] を選択します。

2 [バッチインポート] を選択します。

3 Workspace ONE UEM Console で、[[バッチ名]] や [[バッチの説明]] などの基本情報を入力します。

4 [バッチファイル (.csv)] の下で [ファイルを選択] ボタンを選択して、作成済みの CSV ファイルを指定してア

ップロードします。

5 または、[このバッチタイプ用のテンプレートをダウンロードする] のリンクをクリックして CSV (コンマ区切

り値) 形式ファイルを保存し、新しいインポートファイルの準備に利用します。

n CSV ファイルを開きます。このファイルには、[ユーザーグループを追加] 画面に表示される各フィールド

に対応するカラムがあります。アスタリスクのついた項目は必須です。データを入力する必要があります。

ファイルを保存します。

n CSV ファイル内の末尾のカラム見出しは "GroupID/Manage(Edit and Delete)/Manage(Users and Enrollment)/UG assignment/Admin Inheritance" です。このカラム見出しは、[ユーザーグループの

編集] 画面の [権限] タブのフィールドに対応しており、また、このタブのロジックに従っています。詳細に

ついては、ユーザーグループ権限の編集を参照してください。

6 [インポート] を選択します。

7 バッチインポートが正常に完了しなかった場合は、[アカウント] - [バッチの状態] の順に進み、エラーを閲覧し

てトラブルシューティングを行います。特定のバッチインポートエラーを表示するには、[エラー] リンクをク

リックします。

Console の基本

VMware, Inc. 122

ベーシックユーザーをバッチインポートで編集する

バッチインポート機能を用いて、ユーザーを、ユーザー単位ではなくグループ単位で編集し移動させることもできま

す。この手順を実行するには、ユーザーが Workspace ONE UEM に存在している必要があります。CSV ファイ

ル内の次のカラム値を編集し、バッチインポート機能を利用してこのファイルをアップロードします。

バッチインポート処理の一部としてアップロードする CSV ファイルの特定の列を変更することで、一度に 1 つでは

なく、グループ単位でユーザーの編集および移動を行えます。このような列の操作は、基本的なユーザー認証と、認

証プロキシの 2 種類のユーザー認証にのみ適用されます。

n パスワード (ベーシックのみ)

n 名

n ミドルネーム

n 姓

n メールアドレス

n 電話番号

n 携帯電話番号

n 部門

n E メールユーザー名

n E メールパスワード

n 承認された組織グループ (対応するグループ ID とその下位のみ)

n 加入ユーザーカテゴリ (ユーザーからアクセス可能なカテゴリを設定してください。そうでな

い場合、0 に設定されます)

n 加入ユーザーロール (ユーザーからアクセス可能な役割を設定してください。そうでない場

合、組織グループの既定役割が設定されます)

このようなユーザー基本情報編集は、ベーシックユーザー認証および認証プロキシにのみ適用されます。

バッチインポートを使用してユーザーを組織グループ間で移動する

バッチインポートは、異なる組織グループに複数のユーザーを移動する場合に使用できます。

1 バッチインポート画面から、Workspace ONE UEM Console で使用するバッチ名、バッチの説明を含む基

本情報を入力します。

2 テンプレートリストで [組織グループの変更] を選択し、CSV ファイルを、アクセス可能な場所に保存します。

3 ユーザーの現在の組織グループの [グループ ID]、移動するユーザーの [ユーザー名]、および、移動先組織グル

ープの [ターゲットグループ ID] を入力します。

4 バッチインポート画面に戻り、[ファイルを選択] をクリックし、保存した CSV ファイルをアップロードして

[開く] をクリックします。


管理者アカウント

管理者アカウントを使用することで、設定のメンテナンス、機能やコンテンツのプッシュ、アクセスの取り消し、そ

の他の様々な操作を、Workspace ONE Express および Workspace ONE UEM から行うことができます。

Console の基本

VMware, Inc. 123

管理者アカウントリスト表示

管理者アカウントを継続的に保守および維持するための主要な管理機能を利用するには、[アカウント] - [管理者] - [リスト表示] の順に進みます。

[ユーザー名] カラムのハイパーリンク付きテキストを選択して、[管理者を追加/編集] 画面を表示します。この画面

では、割り当てられている役割をすばやく更新したり、貴社内における役割をすばやく変更したりして、ユーザーの

特権を最新の状態に維持することができます。また、管理者の概要情報を修正すること、およびパスワードをリセッ

トすることができます。

管理者リストに [フィルタ] を適用することにより、すべての役割の管理者を表示することや、特定の役割の管理者だ

けを表示することができます。フィルタ適用済みまたはフィルタ適用なしの [管理者リスト表示] は、[XLSX] または

[CSV]（コンマ区切り値）ファイルでもダウンロードできます。このファイルは、MS Excel で表示および分析でき

ます。[エクスポート] ボタンを選択し、ダウンロード場所を選択します。

管理者ユーザー名の隣にあるラジオボタンをオンにして、その管理者に適用できるアクションボタンを表示します。

n [履歴を表示] - 管理者がいつ Workspace ONE UEM Console または Workspace ONE Express にログ

イン/ログアウトしたかを追跡できます。

n [非アクティブ化] – 管理者アカウントの状態をアクティブから非アクティブに変更します。この機能を利用す

ることにより、管理機能と管理特権を一時的に無効化できます。同時に、後で使用できるように、管理者アカウ

ントに割り当てられている役割を保持することができます。

n [アクティブ化] – 管理者アカウントの状態を非アクティブからアクティブに変更します。

n [削除] – Console から管理者アカウントを削除します。このようなアクションは、管理者が雇用を終了すると

きに便利です。

Console の基本

VMware, Inc. 124

n [パスワードをリセットする] – 基本管理者のみ利用可能です。記録のために基本管理者のメールアドレスに E メールを送信します。E メールには、48 時間以内に期限が切れるリンクが含まれています。パスワードをリセ

ットするには、基本管理者がリンクを選択して、パスワード回復用の質問に回答する必要があります。これによ

り、基本管理者は自分自身のパスワードを変更できます。

ディレクトリベースの管理者は、Active Directory システムを使用して、パスワードをリセットする必要があ

ります。

一時的な管理者は、自分のパスワードをリセットできません。別の管理者が一時的な管理者アカウントを削除し

てから、再作成する必要があります。

管理者アカウントを作成する

[管理者リスト表示] 画面から管理者アカウントを追加すると、Workspace ONE UEM Console と Workspace ONE Express の高度な機能にアクセスできるようになります。コンソールをメンテナンスし監視するそれぞれの

管理者に個別のアカウントを作成する必要があります。

1 [アカウント] - [管理者] - [リスト表示] の順に進み、[追加] を選択してから [管理者を追加] を選択します。[管理者を追加/編集] 画面が表示されます。

2 [ベーシック] タブの下の [ユーザータイプ] フィールドで、[ベーシック] または [ディレクトリ] を選択します。

n [[ベーシック]] を選択した場合は、ユーザー名、パスワード、氏名など [[ベーシック]] タブのすべての必須

項目を入力します。

n 配信方法に E メールか SMS を選択する場合に [二要素認証 ]を有効にし、トークンの有効期限を数分に設

定できます。

n なし、E メール、SMS を選択する場合は、[通知 ]オプションを選択することもできます。管理者は、自動

生成された応答を受信します。

n [ディレクトリ] を選択した場合は、[ドメイン] と管理者ユーザーの [ユーザー名] を入力します。

3 [詳細] タブに、必要に応じて追加の情報を入力します。

4 [役割] タブに進み、[組織グループ] を選択し、新しい管理者に割り当てる [役割] を選択します。[役割を追加] を使用して新しい役割を追加します。

5 [[API]] タブを選択し、[[認証]] タイプを選択します。

6 [メモ] タブに、管理者ユーザーに対する [メモ] を入力します。

7 [[保存]] をクリックし、割り当てられた役割を持つ管理者アカウントを作成します。

一時的な管理者アカウントを作成する

サポート、デモンストレーションや期間限定のユースケース用に、貴社環境への管理者アクセスを一時的に許可する


1 [アカウント] - [管理者] - [リスト表示] の順に進み、[追加] を選択します。[一時的な管理者を追加] オプション

を選択します。

または [ヘルプ] ボタンを（Workspace ONE UEM および Workspace ONE Express のほぼすべての画面

の右上隅に表示されるヘッダーバーから）選択し、[一時的な管理者を追加] を選択します。

Console の基本

VMware, Inc. 125

2 [[ベーシック]] タブから、[[E メールアドレス]] または [[ユーザー名]] に基づき一時的な管理者アカウントを追

加し、以下の設定を入力します。

設定説明

[メールアドレス] 一時的な管理者がベースとする E メールアドレスを入力します。｢E メールアドレス｣ラジオボタンを選択した

ときのみ表示されます。

[ユーザー名] 一時的な管理者がベースとするユーザー名を入力します。｢ユーザー名｣ラジオボタンを選択したときのみ指定で

きます。

[パスワード]、[パスワード

再入力]E メールアドレスまたはユーザー名に対応するパスワードを入力し、確認のために再入力します。

[有効期限] [[有効期限]] を選択します。デフォルトの設定は 6 時間です。このドロップダウンメニューを [[非アクティ

ブ]] に設定してアカウントを作成し、後からアカウントをアクティブ化することも可能です。

[チケットナンバー] ZenDesk、Bugzilla、JIRA、またはその他のヘルプデスクツールから、必要に応じてチケット番号を参照マー

カーとして追加できます。

3 [役割] タブでは、一時的管理者アカウントに関連する役割の追加、編集、および削除を行います。

n [役割を追加] ボタンをクリックして役割を追加し、次に、一時的管理者アカウントが適用される組織グルー

プと役割を選択します。

n 既存の役割を編集するには、編集アイコン（）を選択し、別の組織グループと役割を選択します。

n 既存の役割を削除するには、削除アイコン（）を選択します。

ディレクトリユーザーの状態同期

ディレクトリサービスでユーザーを非アクティブにすると、対応する Workspace ONE UEM および

Workspace ONE Express のアカウントは同様の方法で影響を受けますが、以下の前提条件が適用されます。

n 削除されたユーザーの同期は、Active Directory でのみ機能します。

n [バインドユーザー名] オプションに入力したユーザー名には、Active Directory 管理者権限が必要です。

n この名前を確認するには、[グループと設定 > すべての設定 > システム > エンタープライズ統合 > ディレ

クトリサービス] の順に選択し、[サーバ] タブで、[バインドユーザー名] テキストボックスを探します。

n Workspace ONE Express を使用している場合は、[グループと設定] に移動し、[名前] カラムから [ディレクトリサービス] を選択すると、同じ [サーバ] タブで [バインドユーザー名] テキストボックスを見

つけることができます。

n Microsoft サポート記事で説明されている手順に従った場合は、削除されたオブジェクトコンテナへのアクセ

スを Active Directory で管理者以外に許可できます。https://support.microsoft.com/en-in/help/892806/how-to-let-non-administrators-view-the-active-directory-deleted-object.

n さらに、Active Directory 管理センターを使用してごみ箱を有効にする必要があります（Active Directory のユーザーを削除する場合のみ）。

a [Active Directory 管理センター] を開きます。

b ドメインを選択し、ドメインを右クリックします。

c [ごみ箱の有効化] を選択します。ごみ箱は一度有効にすると、無効にすることはできません。

Console の基本

VMware, Inc. 126



REST API による UEM 機能の使用 17REST API と UEM インフラストラクチャを統合し、接続を容易にすることで、Workspace ONE UEM の主要な

製品機能を使用するよう外部アプリケーションを構成できます。また、データセンターに最も近い OAuth トークン

URL を選択して、API 呼び出しを認証することもできます。

REST API の使用を開始する

現在、Workspace ONE UEM REST API はシンプルな REST ソフトウェアアーキテクチャ使用して、組織グル

ープ、コンソール管理、モバイルアプリ、モバイルデバイス、E メール、加入ユーザー、プロファイル、スマート

グループ、ユーザーグループ管理など、さまざまな機能をサポートしています。

REST ベースの API を使用することで、社内でのアプリケーション開発にかかるコストの削減や時間の短縮など、

企業にいくつかのメリットを提供できます。Workspace ONE UEM REST API は、エンタープライズサーバ、

プログラム、プロセスと統合できるようになりました。また、Workspace ONE UEM REST API は効率性に優れ

ており、スムーズに実行でき、企業は簡単にブランド化することができます。これらの API はアプリケーション開発

者を対象としています。このガイドでは、カスタム開発と Workspace ONE UEM との統合を容易にする API ライブラリの設計とアーキテクチャについて説明します。

API ドキュメントへのアクセス

Workspace ONE UEM API のヘルプページに移動して、詳細な API ドキュメントにアクセスします。

これを SaaS 環境で実行するには、URL の「cn」を「as」に置き換え、.com の後に /api/help を追加します。

たとえば、SaaS 環境の URL の API ドキュメント

https://cn4855.awmdm.com

は次が該当します

https://as4855.awmdm.com/api/help

OAuth 2.0 をサポートするデータセンターとトークンの URL

Workspace ONE UEM は、REST API コールの認証と承認を安全に行うために、業界標準の OAuth 2.0 プロト

コルをサポートしています。

VMware, Inc. 127

Workspace ONE トークンサービスは OAuth 認証用のトークン発行機能であり、現在 SaaS 環境でのみサポー

トされます。トークン URL は地域固有です。

表 17-1. 地域固有のトークン URL

地域

Workspace ONE UEM SaaS データセンターの場所トークン URL

オハイオ (米国) すべての UAT 環境 https://uat.uemauth.vmwservices.com/connect/token

バージニア (米国) United States https://na.uemauth.vmwservices.com/connect/token

バージニア (米国) カナダ https://na.uemauth.vmwservices.com/connect/token

フランクフルト (ドイツ) 英国 https://emea.uemauth.vmwservices.com/connect/token

フランクフルト (ドイツ) ドイツ https://emea.uemauth.vmwservices.com/connect/token

東京 (日本) インド https://apac.uemauth.vmwservices.com/connect/token

東京 (日本) 日本 https://apac.uemauth.vmwservices.com/connect/token

東京 (日本) シンガポール https://apac.uemauth.vmwservices.com/connect/token

東京 (日本) オーストラリア https://apac.uemauth.vmwservices.com/connect/token

東京 (日本) 香港 https://apac.uemauth.vmwservices.com/connect/token

API コマンド (SaaS) に使用する OAuth クライアントを作成する

API コマンドに使用する OAuth クライアントを作成できます。こちらは SaaS 環境でのみサポートされます。

SaaS 環境向けに OAuth クライアントを作成するには、次の手順を実行します。

1 [グループと設定] - [構成] の順に移動します。

2 「名前またはカテゴリを入力します」というラベルの付いた検索ボックスに「OAuth」と入力します。

3 検索結果に表示される [OAuth クライアント管理] を選択します。[OAuth ライアント管理] 画面が表示され

ます。

4 [追加] ボタンを選択します。

5 [名前]、[説明]、[組織グループ]、[役割] を入力します。

6 [ステータス] が [有効] になっていることを確認します。


8 [重要：] [クライアント ID] と [クライアントシークレット] をクリップボードにコピーして、保存してからこの

画面を閉じます。クリップボードアイコン（）を選択して [クライアントシークレット ] をクリップボード

に送信します。

[閉じる] を選択すると、後で情報を参照するために、この表示に戻ることはできません。

9 クライアント ID、クライアントシークレット、トークン URL を使用して、次の形式でアクセストークンを生

成します。

Console の基本

VMware, Inc. 128

API 呼び出し：POST {Region-Specific Token URL from section above}

キー付加価値

grant_type client_credentials

client_id {UEM console で生成されたクライアント ID}

client_secret {UEM console で生成されたクライアントシークレット}

10 返されたアクセストークンを使用して、それ以降の Workspace ONE UEM API サーバへの API 要求を認証

します。アクセストークンは、次の形式で要求ヘッダー内に指定する必要があります。

API 呼び出し：{UEM API}

キー付加価値

認証 {Access Token}

Console の基本

VMware, Inc. 129

vmware workspace one uemuem console を使用する 1workspace one uem powered by airwatch...

Documents