workspace one テクニカルガイド mdm
TRANSCRIPT
AirWatch MDM 機能について
免責事項• 本資料に記載された内容は情報の提供のみを⽬的としたもので、
正式なVMwareのテストやレビューを受けておりません。内容についてできる限り正確を期すよう努めてはおりますが、いかなる明⽰または暗黙の保証も責任も負いかねます。本資料の情報は、使⽤先の責任において使⽤されるべきものであることを、あらかじめご了承ください。
• この⽂書に記載された製品の仕様ならびに動作に関しては、各社ともにこれらを予告なく改変する場合があります。他のメディア等に無断で転載する事はご遠慮ください。
• 本資料の著作権はヴイエムウェア株式会社 にあります。⾮営利⽬的の個⼈利⽤の場合において、⾃由に使⽤してもかまいませんが、営利⽬的の使⽤は禁⽌させていただきます。
• なお、本⽂中にある製品名は各社の商標または登録商標です。
2
改訂履歴
3
⽇付 バージョン 変更点 担当者2016/6/21 1.0 初版作成 佐川2016/9/9 1.1 細部の修正 佐川2017/3/28 1.2 免責事項の追加
Androidのプロファイル、エージェントの削除禁⽌⽅法の追加
佐川
MDM(Mobile Device Management)とは?
デバイスの管理
設定・セキュリティポリシーの配布
遠隔からの操作
デバイスの管理
モビリティサービス
セキュアメール
デバイス管理(MDM)
アプリ管理(MAM)
コンテンツ管理(MCM)
セキュアブラウザ
市場の動向
モバイルデバイスの進化とEMM
1999 2007-2008 2010 2012 2015
SAMSUNG SAFEの登場コンシューマーからエンタープライズへ
Windows10の登場PCとモバイルの融合
★iPad登場をきっかけに国内での企業活⽤が本格化
★モバイル統合管理(EMM)に注⽬が集まり始める
モバイル環境の統合管理が求められる
Blackberryの登場携帯電話とグループ
ウェアの統合
iPadの登場新たな企業内
利⽤シーンの拡⼤
iPhone, Androidの登場スマートフォン時代の到来
A社製品で管理B社製品で管理C社製品で管理D社製品で管理E社製品で管理
統合管理出来るソリューションが極僅か
モバイルアプリケーション管理(MAM)
モバイルEメール管理(MEM)
モバイルコンテンツ管理(MCM)
モバイルデバイス管理(MDM)
Gartner:Magic Quadrant• 6 年連続でEMMリーダーとして位置付け
• 4 年連続で実⾏能⼒を最⾼と位置付け
エンタープライズモビリティ管理(EMM)
AirWatchの概要
2016年度 ガートナー社レポート結果
8実
⾏⼒
ビジョン
評価内容
• ⼤規模デプロイメント実績が多い
• シングルコンソールで使いやすく、設定もウィザード形式で設定が可能
• 同⽇サポートも引き続き実現• WorkSpace ONEのようなユニ
ファイドワークスペースを実現している
• IoTといった新規分野への拡張
Gartner社 Magic Quadrant for EMM(2016年6⽉)
すべての管理を⼀つのコンソールで実現
使いやすい単⼀のコンソールで、世界中のどこからでも
すべてのデバイスを管理(多⾔語対応)
9
10
ユーザ&
デバイス
北⽶ IT 部⾨による管理
ロケーション
ビジネス組織
グローバル企業 ABCファイナンシャル
北⽶ アジア
本社 リテール ウェルスマネジメント トレーディング
APACIT部⾨による管理
グローバルレベルで制御機能管理
APAC企業システム
北⽶企業システム
ユーザ 1 ユーザ 2 店舗 1 ユーザ 3 ⽀店 2
マルチテナント対応した Saasサービス
国際化対応されたコンソールとアプリケーション
18 の⾔語パッケージから選択
加⼊、アプリケーション、セルフサービスポータル、SecureContentLockerTMの使⽤時に、リストから⾔語を選択
編集可能な⽤語・訳語
サポート⾔語
オランダ語デンマーク語ポルトガル語チェコ語ポーランド語トルコ語スウェーデン語
英語スペイン語フランス語ドイツ語イタリア語ロシア語
アラビア語
組織全体で使⽤する⾔語パックを管理者が設定
使⽤デバイス/コンピュータはユーザ ロケールを⾃動反映
した⾔語設定で表⽰
すべての⾔語で⽤語をカスタマイズ
既定⽤語カスタム⽤語
日本語
韓国語
繁体字中国語
簡体字中国語
幅広いプラットフォームのサポート
12
AirWatch ユースケース(MDM) –モバイルデバイスの管理ツールの集約
課題:MDM管理ツールを集約したい・プラットフォームごとに異なる製品を利⽤・管理ツールが異なるため操作の習得が⾯倒・管理上⾮効率なため、幅広いOSをサポートしたツールが必要
解決策:AirWatchで複数プラットフォームを管理・AirWatchで複数のプラットフォームを統合管理・管理コンソールも⼀つに集約混在していたデバイス管理ツールの集約に成功
AirWatch を選択した理由: ・幅広いサポートOS・SaaSアーキテクチャのため導⼊が容易・ワールドワイドでの豊富な実績・各OSの同⽇サポート
AirWatchでデバイスを⼀元管理できるようになった管理コンソールも⼀つになり管理者も集約管理⼯数の削減に成功
A社 B社 C社
AirWatchで⼀元管理
これまで AirWatch導⼊後
プラットフォーム、⽤途ごとにツールが混在していた管理者も別だった
デバイスの管理に関する本⽇の主な内容
加⼊・キッティング
レポート
レポート
AirWatchハブ – 概要デバイスの管理状態を⼀望できるダッシュボードを提供確認したい項⽬をクリックするとその情報の詳細表⽰画⾯へリダイレクトされる
AirWatchハブの情報をPDF形式でエクスポートが可能
クリックするとその情報にフィルタされたページへ遷移する
AirWatchハブ – 管理者パネルAirWatchライセンスの概要や、AirWatchコンポーネントの展開の概要を表⽰
アクティブプロダクトライセンス、有効期限をレポート
展開済みのコンポーネント・AirWatchクラウドコネクタ
・AirWatch Tunnel・セキュアEメールゲートウェイ
の接続情報を表⽰
AirWatchレポートデバイス、アプリ、コンテンツ、位置情報など⾮常に多岐にわたる情報からレポートを作成可能
表示:レポートのパラメータを設定し、レポート機能を実行
サンプル:レポートの用途を確認するためにレポートのサンプルを表示
定期受信:指定された間隔と指定されたパラメータでレポート機能を実行
マイレポートに追加:スムーズにアクセスできるよう、現在のレポートをマイレポートタブに追加
AirWatchレポート – 定期受信特定のレポートを定期的に受信する仕組みを提供PDF, CSV, Excel形式に対応
繰り返しレポートを⽣成する頻度の設定
範囲繰り返しが有効な期間
イベントログ
デバイスのイベントログAirWatchとデバイス間の通信履歴を確認可能
コンソールのイベントログコンソール上でのイベントを確認可能
「⽇付の範囲」「重要度」「カテゴリ」「モジュール」でフィルタリング可能
AirWatchで発⽣したイベント情報を確認する機能の提供
Syslog連携
連携するSyslogサーバーの情報を⼊⼒
⾼度な設定ではSyslogサーバーへ⾶ばす
デバイスイベント、コンソールイベントをカスタマイズ可能
AirWatchで発⽣したイベント情報を確認する機能の提供社内のSyslogサーバーへはACC経由で通信
加⼊・キッティング
デバイスの加⼊
ユーザーが加⼊ ユーザーが利⽤規約に同意1 2
3デバイスがAirWatch に加⼊
4デバイスが⾃動的に設定される
経過時間: 1 分
加⼊によりデバイスとAirWatch の間で接続が
確⽴される
エンド ユーザーのデバイス
管理者コンソール
エージェント URL
E メール SMS
プロファイル アプリケーション コンテンツ
QR コード
加⼊とはモバイルデバイスをAirWatchの管理下に置くことでAirWatchの管理機能を利⽤可能にすること
主な加⼊の主なパターン
AirWatchへの加⼊に必要な情報• AirWatchのサーバー情報
• グループID• ユーザー資格情報
加⼊操作の実施者 加⼊⽅法
サーバー詳細情報(全て⼿⼊⼒)
Eメールアドレス
QRコード
エンドユーザー
管理者による代理セットアップ
サーバー詳細情報(全て⼿⼊⼒)の加⼊の流れ
AirWatchの情報の⼊⼒サーバURLグループID
アカウント情報の⼊⼒ユーザー名パスワード
AppStoreより AirWatchエージェントのインストール
Eメールアドレスでの加⼊の流れ
AppStoreより AirWatchエージェントのインストール Eメールアドレスの⼊⼒
アカウント情報の⼊⼒ユーザー名パスワード
⾃動検出の設定Eメールアドレスで加⼊させるには、管理コンソールにて⾃動検出の設定が必要すべての設定/デバイスとユーザー/全般/加⼊ より実施
Eメールドメインを追加⾃動検出に使⽤するドメイン情報を⼊⼒する
組織グループ企業Eメールドメイン
確認⽤Eメールアドレスを⼊⼒し保存
確認⽤Eメールアドレスへメールが届くためリンクをクリックし承認
QRコードでの加⼊の流れ
・AppStoreより AirWatchエージェントのインストール
・QRコードを選択し、カメラでスキャンする
加⼊⽤の情報を含むEメールが送られてくる
加⼊完了
加⼊⽤メッセージの送信
CSVにてユーザー情報を⼀括でインポート可能
メッセージタイプ:メッセージを送る⽅法を選択メッセージテンプレート:送るメッセージの内容を選択。
カスタムメッセージを作成することが可能
ユーザーをCSVファイルからバッチインポートする場合、“UserMessageType”フィールドに
“Email”と⼊⼒することでインポート時にメールが送信される
CSVのサンプルはAirWatch管理コンソールからダウンロード可能
QRコードは加⼊⽤のメッセージとして事前に送信しておく必要がある。AirWatchへのユーザー登録時に加⼊⽤メッセージを送信する事が可能
加⼊制限デフォルトでは加⼊に必要な情報を知っていれば、AirWatchへの加⼊が可能加⼊させる対象を制限したい場合は、加⼊制限の設定を⾏うことで制限が可能すべての設定/デバイスとユーザー/全般/加⼊ 制限事項タブより設定
⼤きく2つの⽅法で加⼊を制限する• ユーザーに関する情報で制限• デバイスに関する情報で制限
ユーザーに関する情報での加⼊制限加⼊を既知のユーザーのみに制限
AirWatchの管理コンソールに明⽰的に登録されたユーザーのみ加⼊を許可する
加⼊を構成済みのグループのみに制限[選択されたグループ]を選択すると、
指定されたグループに所属するユーザーののみが加⼊を許可される
明⽰的に登録されていないユーザーで加⼊しようとするとエラーで加⼊ができない
デバイスに関する情報での加⼊制限 – 加⼊制限ポリシー
ユーザーあたりのデバイス数上限1ユーザーが加⼊できるデバイス数の制限
許可されたデバイスタイプ有効にするとデバイスタイプを詳細に設定できる。ブラックリスト、ホワイトリスト
どちらも可能
この例では、すべてのiOSのデバイス(iPhone,iPad,iPodTouch)がiOS9.0.0より⼤きければ加⼊ができるという条件を設定
している
デバイスに関する情報での加⼊制限 –加⼊時のエラー
加⼊条件より古いOSのデバイスで加⼊しようとしている場合のエラー
許可されている台数以上のデバイスを加⼊しようとしている場合のエラー
デバイスに関する情報での加⼊制限 – デバイス加⼊モード
ホワイトリストに登録されていないため加⼊不可
• OSの種類、バージョンといったデバイスタイプではなく、事前に明⽰的にAirWatchへ登録したデバイスのみ加⼊可能に指定することも可能(ホワイトリスト、ブラックリストに対応)
• すべての設定/デバイスとユーザー/全般/加⼊の[認証]タブよりデバイス加⼊モードを[登録済みデバイスのみ]に設定する
デバイスに関する情報での加⼊制限 –ホワイトリスト登録
①デバイス/ライフサイクル/加⼊状態よりデバイスを登録
②加⼊を許可するデバイスを登録IMEI/シリアル番号/UDID
から登録可能
③管理コンソール上に登録された。ホワイトリストに登録されたデバイスでは加⼊が可能となる
デバイスに関する情報での加⼊制限 – トークンの利⽤
登録トークンを要求する加⼊時にトークンを利⽤する
登録トークンのタイプ単⼀要素:トークンのみで加⼊可能
⼆要素:ユーザー情報+トークンで加⼊
デバイスの追加紐付けられたユーザーに対して、メールでトークン情報が送られる
デバイスに関する情報での加⼊制限 – トークンの利⽤
トークン情報を含んだメールが事前に送られてくる
加⼊時にトークンを求められる
⼀要素の場合、トークン情報のみを⼊⼒すれば加⼊が可能
⼆要素の場合、トークン+ユーザー認証
AirWatch ユースケース(MDM)– 会社の⽀給するデバイスのみAirWatch管理下に置くことを許可したい
課題:会社⽀給のデバイスだけ管理下に置きたい・個⼈所有のデバイスをAirWatchに加⼊させ、社内リソースへアクセスされるのを防ぎたい
解決策:加⼊を許可するデバイスを明⽰的に制限・管理者が許可したデバイスのみ加⼊を許可する・加⼊するデバイスはシリアル番号で指定するため厳密に制御可能AirWatch加⼊に加⼊できるデバイスを厳密に制御し、個⼈所有デバイスの業務利⽤を禁⽌できた
AirWatch を選択した理由: ・厳密に加⼊制限をかけることのできる機能を保持・SaaSアーキテクチャのため導⼊が容易・ワールドワイドでの豊富な実績
会社⽀給デバイス 個⼈所有デバイス
加⼊を許可するデバイスを管理者が事前に定義・IMEI/シリアル番号/UDID・OSのバージョン等
管理下に置くデバイスを厳密に制限会社⽀給デバイスのみ加⼊及び、業務利⽤を許可することに成功
登録されていないデバイスからは加⼊不可
iOS 管理の課題MDMプロファイルの削除 ⼀部機能は監視対象モードを必要とする
(例)・アプリのサイレントインストール・監視対象と書かれたプロファイル監視モードの設定にはApple Configurator を使⽤するが、Apple Configuratorで全台数を監視モードに設定するのは⾮常に⼯数がかかる
MDMに加⼊したのはいいがMDMプロファイルの削除ができてしまう
Apple Configurator
監視対象と記載のあるプロファイルは監視対象モードのiOSのみで利⽤可能
Apple DEP への対応
40
Apple により提供される、キッティングにかかる⼯数を⼤幅に削減できる⽅法。デバイスのデバイスのアクティベーション時にモバイルデバイス管理 (MDM) への登録や監視モードの設定の⾃動化が可能
• キッティングのリモート化による⼯数削減
• エンドユーザのための加⼊ステップの簡略化
• 企業の認証情報を使⽤して認証
リモートから監視モードの設定が可能
❌
MDMプロファイルの削除が不可能に出来る※DEPだけが可能
削除不可
iOS DEPの設定 – MDM機能MDM加⼊を必須にする
デバイスの初期セットアップ時にMDMに加⼊することを必須にする
監視対象デバイスの初期セットアップ時に監視対象
モードにする
MDMプロファイルロックMDMプロファイルを削除できないようにする
iOS DEPの設定 – セットアップアシスタント初期セットアップアシスタントで、初期セットアップ時にユーザーに設定を求める項⽬を指定する
右の例ではWIFI設定後、ロケーションサービスの設定のみユーザーに聞いてくる
スキップする項⽬を増やすことで、初期セットアップを簡易に済ませることができる
DEPの詳細な設定⽅法はVMware AirWatch Guide for the Apple Device Enrollment (DEP) Programを参照のこと
(参考)Andorid におけるプロファイル削除の禁⽌⽅法
削除を許可[なし]を選択することで、
プロファイルの削除を禁⽌できる
(参考)Andorid におけるエージェントのアンインストールの禁⽌- 必須アプリのアンインストール禁⽌
必須アプリのアンインストールを防ぐ有効にする
対応したプラットーフォームは[さらに]をクリックして確認
(参考)Andorid におけるエージェントのアンインストールの禁⽌- 必須アプリの登録
[グループと設定]→[グループ]→[アプリグループ]→[グループを追加の順にクリック]
タイプに[必須]を選択
タイプに[必須]を選択 管理名を⼊⼒
必須アプリとしたいアプリを登録するアプリケーション名にキーワードを⼊れ、検索アイコンをクリックすれば検索可能
これにより ユーザーによるAndroidエージェントを禁⽌することができる
AirWatch ユースケース(MDM) – キッティング⼯数の削減
課題:iOSのキッティング⼯数を削減したい・AppleConfiguratorによる監視対象設定に膨⼤な⼯数がかかる・AppleConfiguratorなしでできないか・AirWatchの加⼊も⾃動化したい・MDMプロファイルが削除されないようにしたい
解決策:AirWatchとDEPを使⽤する・AppleDEPとAirWatchを連携設定・デバイス初期セットアップ時に、iOSの監視対象の設定が可能にエンドユーザーによる初期設定が容易になり、iOSのキッティング⼯数の⼤幅削減に成功
AirWatch を選択した理由:
①箱からデバイスを取り出し、Wifiの設定をする ②Appleのサイトへ
アクティベションへ⾏く
③指定されたAirWatchへ加⼊
④プロファイル、アプリ等が配布される
・DEPとの連携のサポート・SaaSアーキテクチャのため導⼊が容易・ワールドワイドでの豊富な実績・各OSの同⽇サポート
エンドユーザーによるセットアップが可能になり、管理者の⼯数を⼤幅削減できた
監視モード
管理者による代理セットアップ
AirWatchへの加⼊に必要な情報• AirWatchのサーバー情報
• グループID• ユーザー資格情報
加⼊操作の実施者 加⼊⽅法
サーバー詳細情報(全て⼿⼊⼒)
Eメールアドレス
QRコード
エンドユーザー
管理者による代理セットアップ
この部分
代理セットアップ• エンドユーザーの代わりに管理者が加⼊を済ませておく⽅法• 代理加⼊するユーザーでは代理セットアップオプションを有効にしておく• 代理セットアップには⼤きく⼆つの種類がある– シングルユーザーモード– マルチユーザーモード(共有デバイス)
デバイスの代理セットアップを有効にする有効にすると代理セットアップが可能になる
シングルユーザーデバイス⼀⼈のユーザーが利⽤する場合
マルチユーザーデバイス複数のユーザーで共有する場合
代理セットアップ流れ – シングルユーザーモード
①代理セットアップユーザーを使⽤して管理者がデバイスを加⼊
③ログイン成功
④ユーザー情報が更新され、ユーザーに割り当てられたプロファイル、アプリが配布される
②ユーザーはエージェントを起動するとログイン情報が求められるので、⾃⾝のアカウントでログイン
代理セットアップ流れ – マルチユーザーモード(共有デバイス)
①代理セットアップユーザーを使⽤して管理者がデバイスを加⼊
②ユーザーはエージェントを起動するとログイン情報が求められるので、⾃⾝のアカウントでログイン
④別のユーザーがログオンが可能
③エージェントからログアウト
AirWatch ユースケース(MDM) – 管理者による代理加⼊でエンドユーザーの加⼊処理を不要に
課題:エンドユーザーによる加⼊が厳しいケースがある・エンドユーザーによる加⼊が容易ではない・管理者が代理で加⼊することはできないか
解決策:管理者による代理加⼊を実施・モバイルデバイスを管理者が事前に代理加⼊しておく・エンドユーザーによる加⼊⼿続きが不要モバイルデバイスが届けられた際、エンドユーザーは⾃⾝のアカウント情報を⼊⼒するだけで利⽤できるようになった
AirWatch を選択した理由:
①管理者が事前に代理加⼊する
・要件を満たせるきめ細かいプロファイル機能・SaaSアーキテクチャのため導⼊が容易・ワールドワイドでの豊富な実績・各OSの同⽇サポート
②加⼊済みデバイスをエンドユーザーへ渡す ③⾃⾝のアカウント情報でログイン
④アカウントに割り当てられたプロファイル、アプリ等が利⽤可能エンドユーザーの加⼊処理を不要にするこ
とが成功。
AirWatch ユースケース(MDM) – 複数のユーザーでデバイスを共有
課題:デバイスを複数⼈で共有しコストを削減したい・全ユーザーにモバイルデバイスを配布することはコストの⾯で難しい・複数⼈でデバイスを共有させることはできないか
解決策:AirWatchの共有デバイス機能の利⽤・複数名で1台のモバイルデバイスを共有可能・ユーザーごとに異なるプロファイルの適⽤複数名でデバイスを共有しながらも、ユーザーごとに異なるアプリ、プロファイルを適⽤することでセキュリティを確保しつつコスト削減に成功
AirWatch を選択した理由:
①管理者が事前に代理加⼊する
・要件を満たせるきめ細かいプロファイル機能・SaaSアーキテクチャのため導⼊が容易・ワールドワイドでの豊富な実績・各OSの同⽇サポート
②ユーザーは利⽤時、⾃⾝のアカウントを⼊⼒しログイン
⑥アカウントに割り当てられたプロファイル、アプリ等が利⽤可能
③アカウントに割り当てられたプロファイル、アプリ等が適⽤される
④利⽤終了後、ログアウト⑤ユーザーは利⽤時、⾃⾝のアカウントを⼊⼒しログイン
複数名でデバイスを共有しコストの削減に成功
設定・セキュリティポリシーの配布
デバイスの管理に関する本⽇の主な内容
プロファイル
証明書
プライバシー
キオスク
プロファイルデバイスを管理する設定を定義したものであり、プロファイルの設定がデバイスへは適⽤される設定できる項⽬はプラットフォームごとに異なるためコンソールでの確認が推奨
プロファイルで制御できる項⽬はプラットフォームに依存するため、MDM製品間でも差が出にくい部分
その中でもAirWatchはサポートしているプラットフォームの種類が豊富
最新バージョンの同⽇サポートを提供
プロファイルで定義された様々な設定が適⽤される
設定、ポリシーの配布
構成プロファイル
セキュリティプロファイル展開タイプ
展開ルール
デバイス所有形態
パスコード 制限事項
メール
VPN
Wi-Fi
カレンダー
従業員 企業
位置情報 時間ベース
⾃動加⼊時
アプリ
コンテンツ
共有
オンデマンド管理者またはユーザによるインストール
配布する条件
順守ポリシー 証明書
MDMで制御できる項⽬に差は出にくいため、如何に柔軟にプロファイルを配布、適⽤できるかが重要
ジオフェンス、タイムスケジュールの利⽤で展開にルール付け・設定、ポリシーを場所、時間、スマートグループ毎に適⽤が可能
57
位置情報での制御
タイムスケジュールでの制御
AirWatch ユースケース(MDM) – ⼯場内でのみポリシーを適⽤したい
課題:⼯場内でのみカメラ利⽤を禁⽌したい・セキュリティ確保のため⼯場内でのみカメラ利⽤を禁⽌したい
解決策:ジオフェンスでカメラを制御・ジオフェンスで特定のエリアのみでカメラを禁⽌⼯場内でのみカメラ禁⽌のプロファイルを適⽤することで実現
AirWatch を選択した理由: ・要件を満たせるきめ細かいプロファイル機能・SaaSアーキテクチャのため導⼊が容易・ワールドワイドでの豊富な実績・各OSの同⽇サポート
③デバイスが⼯場街に出るとカメラ禁⽌のプロファイルは適⽤されない
①デバイスが⼯場内にある時にはカメラ禁⽌のプロファイルを配布
同じデバイスでも位置情報に基づいて異なるセキュリティポリシーの実現に成功
②カメラの利⽤禁⽌ ④カメラの利⽤可能
AirWatch ユースケース(MDM) –業務時間中のみメールを利⽤可能にしたい
課題:業務時間中のみメール利⽤可能にしたい・働き⽅改⾰を実現したいが、リモートからの業務をしたさいの・業務時間中のみメール利⽤を可能に制限したい
解決策:業務時間中のみメールプロファイルを配信・タイムスケジュールでメール設定を配信する時間帯を制御・時間外はメール利⽤不可業務時間中のみメール利⽤を可能にすることに成功
AirWatch を選択した理由: ・要件を満たせるきめ細かいプロファイル機能・SaaSアーキテクチャのため導⼊が容易・ワールドワイドでの豊富な実績・各OSの同⽇サポート
③業務時間外はActive Syncプロファイルを適⽤しない
①業務時間中のみActive Syncのプロファイルを配布
同じデバイスでも位置情報に基づいて異なるセキュリティポリシーの実現に成功
②メール利⽤可能 ④メール利⽤不可
スマートグループ(割り当て対象のグルーピング機能)
CONFIDENTIAL 60
• プロファイル、アプリケーション等の割り当てる対象を柔軟にグルーピング
• 以下の情報を⽤いてグルーピングが可能– 組織グループ– ユーザーグループ– 所有形態– タグ– プラットフォームとOS– モデル– エンタープライズOEMバージョン– 追加– 除外
スマートグループ
1
セキュリティプロファイル 特定のOSのグループ
スマートグループ2
スマートグループ3
ADのユーザーグループ
アプリ
順守ポリシー
組織に所属するもの全て
タグを使⽤した柔軟な管理• 管理者が⾃由に作成できる管理情報• 作成したタグでデバイスを柔軟にグループ化することができる• タグ情報をもとに、デバイス情報のフィルタ、プロファイルの適⽤が可能• デフォルは以下のタグが⽤意されている
「ダメージあり」「修理中」「輸送中」「⾼」「中」「低」「ソフトウェア」「その他」
新しいタグ新しいタグの追加が可能
⾊の選択が可能
タグを使⽤した柔軟な管理
タグ情報でデバイスをフィルタリング
該当のタグが割り当てられているデバイスが表⽰される
タグ情報を使⽤してスマートグループを作成できる作成したスマートグループをプロファイル作成時に利⽤可能
AirWatch ユースケース(MDM) –システムでは取得できない情報でグルーピング
課題:スマートグループでは⽤意されていない情報でグループ化し管理したい・管理者が⾃由にグループを作成する機能が欲しい・スマートグループはデバイス、ユーザーの情報を中⼼に使うがそれ以外の情報を使いたい・例)外傷のあるデバイスとそうでないデバイス等
解決策:タグ情報で⾃由にグループ管理・管理者が⾃由にタグで情報を追加可能お客様で柔軟にグルーピングすることが可能になり、管理がより効率的になった
AirWatch を選択した理由: ・⾃由度の⾼いタグ機能要件を満たせるきめ細かいプロファイル機能・SaaSアーキテクチャのため導⼊が容易・ワールドワイドでの豊富な実績
「外傷あり」「修理中」などシステムでの判断が困難な情報でグルーピングができるようになった
修理中
外傷あり修理中
外傷あり
プライバシー管理者がデバイスから取得する情報とその扱いを個別に設定できる。特に、個⼈所有デバイスの業務利⽤(BYOD) 展開において有⽤AirWatchでは、デバイス所有形態別にプライバシーポリシーを定義する事が可能– 会社⽀給デバイス(専有・共有)– 個⼈所有デバイス プライバシーの設定対象
• GPS:位置情報• テレコム:キャリアや通話・パケット使⽤量などの情報• アプリケーション:個⼈利⽤のアプリケーションの情報• プロファイル:AirWatchで管理されていないプロファイルの情報• コマンド:ワイプやリモート操作の許可の可否• ユーザ情報:名前や電話番号情報などのユーザ情報• 妨害しない:お休みモードの有効・無効• ユーザフレンドリなプライバシー通知:プライバシー通知
プライバシー• 全ての設定/デバイスとユーザー/全般/プライバシー
にて、項⽬ごとにそれぞれの扱いを細かく調整可能– 通知レベル:GPS/テレコム/アプリケーション/プロファイル
– 操作レベル:コマンド
収集して表⽰– ユーザデータを収集し、AirWatch 管理者コンソールに表⽰する。
収集するが表⽰しない– レポートの使⽤にユーザデータを収集するが、AirWatch 管理者コンソールには表⽰しない。
収集しない– ユーザデータを収集しない。
許可-ユーバの許可が無くても、デバイスへコマンド発⾏出来る。
ユーザ同意で許可-ユーザの許可を得て、デバイスへコマンド発⾏出来る。
許可しない--デバイスへのコマンド発⾏が出来ない。
ユーザーフレンドリなプライバシー通知
ユーザーフレンドリなプライバシー通知を有効化する
有効にするとデバイス上にPrivacyアプリが配置される
この例では、BYOデバイスではPrivacyアプリを配置するが、企業所有のデバイスではPrivacyアプリを
配置しない
ユーザーフレンドリなプライバシー通知
AirWatchで取得している情報、取得していない情報をエンドユーザーはいつでも確認が可能できるようにし、プライバシーを保護している
AirWatch ユースケース(MDM)– 適切にプライバシーを保護し、個⼈所有デバイスの利⽤を促進
課題:個⼈所有デバイスの利⽤を促進したいが、個⼈情報をの扱いに⼼配をするユーザーが多い・適切な情報公開でユーザーの不安を払拭したい
解決策:AirWatchでデバイスを管理・デバイスごとにプライバシーポリシーを変更できる・ユーザーは取得されている情報をいつでも確認が可能個⼈所有デバイスの利⽤を促進し、デバイス⽀給にかかるコストを削減に成功した
AirWatch を選択した理由: ・プライバシーの扱いへ取り組む姿勢・デバイスごとにポリシーを変更できる柔軟性・SaaSアーキテクチャのため導⼊が容易・ワールドワイドでの豊富な実績
会社⽀給デバイス 個⼈所有デバイス
GPSテレコムアプリケーションプロファイル全ての情報を取得
テレコムプロファイルのみ情報を取得
デバイスの所有形態に応じて適切なポリシーの適⽤に成功ユーザーには取得している情報を明確に通知プライバシーを適切に保護し、BYODの促進に成功
認証局(CA)との連携機能
ACC 社内CA
加⼊
ユーザーA
ユーザーB ユーザーBの証明書を発⾏および配布社内ネットワーク
ユーザーAの証明書を発⾏および配布
• お客様社内のCAとの連携機能を提供• ユーザーがAirWatchに加⼊した際、⾃動でユーザーごとの証明書の配布が可能
証明書の利⽤⽤途と連携可能な認証局
発⾏ 管理 更新 失効✓ ✓ ✓
✓ ✓ ✓ ✓
✓ ✓ ✓ ✓
✓ ✓ ✓ ✓
✓ ✓ ✓
✓ ✓ ✓ ✓
✓ ✓ ✓ ✓
✓ ✓ ✓ ✓
✓SCEP
ユースケース
利⽤可能なプラットフォーム
Email iOS Android Mac OSX Windows
Wi-Fi iOS Android MacOSX Windows
VPN iOS Android MacOSX Windows
SSLVPN iOS Android
Apps(SDK) iOS Android
S/MIME iOS Android
利⽤⽤途とサポートOS 連携可能な証明機関
証明書の管理• AirWatch 管理コンソールを使⽤して展開済みの証明書を管理が可能• 証明書の更新、失効まで管理コンソールから実施可能
更新 失効
AirWatch ユースケース(MDM)– 認証局と連携しユーザーごとの証明書を⾃動で配布することで、配布にかかる⼯数を削減
課題:ユーザーごとの証明書の配布を⼿動で⾏っていて配布に⼯数がかかる・MDM導⼊に伴い管理をまとめて⾏いたい・⾃動で証明書の発⾏を⾏いたい
解決策:AirWatchと社内CAを連携させる・AirWatchと社内のCAを連携設定・ユーザーがAirWatch加⼊時、⾃動で証明書が発⾏される証明書発⾏にかかる⼯数の削減に成功
AirWatch を選択した理由: ・社内のCAと連携する機能の提供・SaaSアーキテクチャのため導⼊が容易・ワールドワイドでの豊富な実績
社内CA①AirWatchへ加⼊ ②CA連携
③ユーザー固有の証明書を⾃動で発⾏
証明書発⾏プロセスを⾃動化することで、⼯数の削減に成功
④証明書でVPN,メール、WIFI等の認証を⾏うことで利便性とセキュリティの向上
VPN
キオスク利⽤• 特定のアプリのみを利⽤可能なようにデバイスをロックダウンすることが可能• ⽬的のアプリを利⽤するように強制可能• 不要アプリを利⽤させないように制御
アプリケーションバンドルID許可するアプリケーションを指定
候補から選択が可能なため容易に指定可能
この例では AirWatch Browserのみ利⽤が可能ホームボタンを押しても効かず、別のアプリへ切り
替えることができない
シングルアプリモードの設定
iOSでの設定には監視モードにした上でシングルアプリモードのプロファイルを作成することでキオスク化される
デバイスを指定した⼀つのアプリに固定ホームボタンによるアプリ終了をブロック
ウェイク/スリープ、および⾳量ボタンの無効化デバイス画⾯の回転を防⽌タッチスクリーンの無効化
等の細かい制御まで柔軟に設定可能iOSでの設定には
監視モードにした上でシングルアプリモードのプロファイルを作成することでキオスク化される
AirWatch ユースケース(MDM) – 端末をキオスク化し据え置きデバイスとして配置
課題:デバイスを据え置きにし会社情報を表⽰したい・来客者⽤の据え置きデバイスにiPadを利⽤し、会社情報を表⽰したい・勝⼿に操作され別⽤途で利⽤されてしまっている・会社情報を常に表⽰できるようにできないあk
解決策:iPadのキオスク化・Ipadをキオスク化しブラウザのみ利⽤可能にする・ホームボタンを押しても反応させない・画⾯の回転も禁⽌可能来客者へ対して待ち時間に会社が伝えたい情報を⽬にしていただくようにすることができた
AirWatch を選択した理由:
③ユーザーは許可されたアプリのみを利⽤可能
①指定されたAirWatchへ加⼊
②シングルアプリモードプロファイルの配布
・要件を満たせるきめ細かいプロファイル機能・SaaSアーキテクチャのため導⼊が容易・ワールドワイドでの豊富な実績・各OSの同⽇サポート
来客者へ対して、会社の伝えたい情報を表⽰するように強制することができた・会社のホームページの表⽰・会社の紹介PVを常に流すなど
遠隔からの操作
デバイスへの遠隔操作 – クエリAirWatch管理下のデバイスに対して様々な操作が遠隔から可能
クエリデバイスの最新情報を送るようにAgentへ通知
デバイスへの遠隔操作 – 送信
送信デバイスへメッセージの送信が可能
Eメール、プッシュ通知、SMSを利⽤可能
AirWatchエージェントへ対しプッシュ通知をした例
デバイスへの遠隔操作 – ロック紛失時等に備えデバイスをロックする機能を提供
デバイスの画⾯をロックし、管理者が指定したメッセージを表⽰
その他のアクション – パスコードを消去
デバイスデバイスのパスコードを消去
制限事項を設定iOSの機能制限を設定する際のパスコードを消去
ユーザーがパスコードを忘れた時に備え、パスコードを消去する機能を提供
その他のアクション – 管理ユーザーがデバイスを紛失した時に備えデバイス上のデータを消去する機能を提供
企業情報ワイプAirWatchから配布された情報を削除
デバイスワイプ端末を初期化する
管理設定通話ローミング、データローミング、パーソナル
スポットの設定を有効または無効に設定
その他のアクション – サポート
デバイス探索デバイスの⾳を鳴らし、デバイスを⾒つけるのを容易にする
メッセージが送信されるのと同時に⾳がなる
その他のアクション – 管理者
紛失モードを有効にするデバイスをロックし、メッセージを画⾯に表⽰する。ロック機能と異なり、ユーザーは⾃分でロックを解除することはできない
ユーザーは⾃分ではロッックの解除ができないため、管理者へ連絡が必要
再利⽤には管理者による紛失モードの無効化が必要
ロケーション
デバイスの詳細情報のロケーションタブにてデバイスの位置情報にアクセス可能
ユーザーがデバイスを紛失した時に備えデバイスの位置を確認する機能を提供
表⽰する期間も指定可能
セルフサービスポータルエンドユーザーに権限を委任する機能を提供
AirWatchのURL/mydeviceへログオンすることで、エンドユーザーは⾃
⾝のデバイスの操作を⾏うことができる
操作を許可する範囲は調整可能
AirWatch ユースケース(MDM) – 端末紛失時の初期化をエンドユーザーがセルフサービスで実施
課題:デバイス紛失時の対応に時間を要する・多くのユーザーが夜中にデバイスを紛失する・データの消去対応を管理者が⾏っていたが、翌朝の対応になるケースが多く、その間の情報漏洩リスクを軽減したい
解決策:セルフサービスポータルの利⽤・エンドユーザーが⾃⾝でデバイスのワイプを可能・データ消去までの時間を短縮でき情報漏洩リスクを軽減できた・管理者の負担も削減できた必要な作業をエンドユーザーへ委任することで管理者の負担の軽減と、情報漏洩リスクの軽減が実現できた
AirWatch を選択した理由:
①夜中にユーザーがデバイスを紛失してしまった
②⾃宅PCからセルフサービスポータルへアクセスしデータのワイプを実施
③企業情報ワイプの実⾏
・効果的なセルフサービスポータル機能・SaaSアーキテクチャのため導⼊が容易・ワールドワイドでの豊富な実績
エンドユーザーによるワイプを可能にすることで迅速に情報漏洩対策ができた。また管理者は夜中にワイプ処理を実施する作業から解放された