組織の展開に配置されている各デバイスが Workspace ONE UEM と通信して組織内のコンテンツと機能にアクセスするには、モバイル デバイス管理 (MDM) を使用して、組織の環境に加入する必要があります。iOS デバイスは、ネイティブ OS に組み込まれている MDM 機能を使用して加入を行います。
iOS デバイスを加入させるには、管理者またはエンドユーザーが特定の情報を収集する必要があります。エンドユーザーが必要とする情報は、管理者が自動検出を行うために Eメール ドメインを貴社環境に関連付けているかどうかによって異なります。
貴社の Eメール ドメインを AirWatch 環境に関連付けるには、エンドユーザーが Eメール アドレスと資格情報を入力する (場合によってはリストからグループ ID を選択する) 必要があります。これらはエンドユーザーにとって既知の情報なので、簡単に加入を行うことができます。
加入の際に Eメール ドメインを設定しない場合は、加入の URL とグループ ID も入力を要求されます。これらは、管理者がエンドユーザーに提供します。
加入要件の詳細については、「iOS デバイスの加入要件」を参照してください。
加入したデバイスに対して実行できるデバイス管理機能は、選択した加入タイプによって異なります。Workspace ONE UEM では、Hub ベースの加入方法と Agent なしの加入方法のそれぞれにおいて利用可能な機能を示したマトリックスが用意されています。貴社のニーズを満たす加入方法を選ぶ際に、このマトリックスをお役立てください。
Hub ベースの加入とブラウザ ベースの加入の比較マトリックスについては、iOS デバイスにおける加入タイプ別の利用可能な機能一覧を参照してください。
Workspace ONE Intelligent Hub アプリを使用した Hub ベースの加入処理を実行すると、iOS デバイスと Workspace ONE UEM 環境の間の接続が確立されます。Workspace ONE Intelligent Hub アプリケーションを使用することで加入プロセスを簡素化できます。また、デバイスをリアルタイムで管理したりデバイス情報にアクセスしたりすることもできます。Hub ベースの加入は、ユーザーが使用可能な Apple ID を持っている場合に適しています。この場合、ユーザーは App Store から Workspace ONE Intelligent Hub をダウンロードします。
Hub ベースの加入の詳細については、iOS のアプリの「iOS 向け VMware Workspace ONE Intelligent Hub」および「VMware Workspace ONE Intelligent Hub による iOS デバイスの加入」を参照してください。
iOS デバイスに搭載されている Safari ブラウザを使用することにより、ウェブベースの加入プロセスを実行してデバイスを加入させることもできます。ユーザーが Apple ID を持っていないために Workspace ONE Intelligent Hub をダウンロードできない場合は、この加入方法が最適です。
ブラウザ ベースの加入の詳細については、「Safari ブラウザを使用した iOS デバイスの加入」を参照してください。
展開タイプとデバイスの所有権モデルに応じて、デバイスを一括加入することができます。Workspace ONE UEM は、Apple Configurator 2 および Apple Business Manager のデバイス加入プログラム (DEP) を使用した一括加入機能を備えています。
Apple Configurator 2 による一括加入
Workspace ONE UEM では、Apple Configurator 2 独自のセットアップ機能を業務に活かすことができます。たとえば、iOS のバージョン管理機能やバックアップを完全に防止する機能などです。macOS コンピュータ上で Apple Configurator 2 を使用して、USB 接続を通じてデバイスの一括加入処理を実行することができます。
Apple Configurator を使用した一括加入の詳細については、Apple Configurator を使用した iOS デバイスの一括加入を参照してください。
Apple デバイス登録プログラム (DEP) による一括加入
Apple デバイス登録プログラム (DEP) による一括加入を展開すると、削除不可能な MDM プロファイルをデバイスにインストールできます。エンドユーザーは、このプロファイルをデバイスから削除することはできません。また、デバイスを監視モードでプロビジョニングして、追加のセキュリティ設定および構成設定にアクセスできます。
Apple Business Manager を使用した加入の詳細については、「Apple Business Manager のデバイス加入プログラムを使用したデバイス加入」を参照してください。
iOS デバイスを加入させるには、貴社または貴社のエンドユーザーは特定の情報が必要になります。この情報は、自動検出の一部として環境に E メール ドメインを関連付けるかどうかに依存しています。Eメール ドメインが貴社環境に関連付けられている場合に必要な情報
Eメール アドレス – 貴社に関連付けられている Eメール アドレス。例: [email protected]
QR コード – エンド ユーザーは、UEM コンソールで生成され E メールで送信された QR コードをスキャンできます。
Apple ID – Hub ベースの加入処理を行うユーザーごとに必要です。
E メール ドメインが貴社環境に関連付けられていない場合Eメール ドメインが貴社環境に関連付けられていない場合、エンドユーザーは Eメール アドレスを入力するよう要求されます。また、自動検出機能が無効になっているので、さらに次の情報を入力するよう要求されます。
加入 URL – この URL は貴社の加入環境に一意に割り当てられます。この URL をクリックして、加入画面を直接開くことができます。たとえば、https://
グループ ID – グループ ID は、ユーザーのデバイスを企業内役割と関連付けるものです。グループ ID は、UEM console で、特定の組織グループに対応するように定義されます。カーソルを組織グループのドロップダウン メニューに置いて、現在のグループのグループ ID を確認することができます。
Apple ID – Hub ベースの加入処理を行うユーザーごとに必要です。
機能 | Hub ベース | AirWatch Agent を使用しない加入方法 |
---|---|---|
加入 | ||
Apple ID | 必須 | オプション |
利用規約の承諾が必要 | はい | はい |
Active Directory/LDAP/SAML との統合 | はい | はい |
二要素認証 | はい | はい |
個人所有デバイスの持ち込み(BYOD) | はい | はい |
デバイスの代理セットアップ | はい⁰ | はい |
ブランディング | 部分的に可能 | はい |
構成プロファイルの管理 | ||
プロファイルの表示および管理 | はい | はい |
セキュリティ設定 (例: データ暗号化、パスワード ポリシー) | はい | はい |
デバイス制限事項 | はい | はい |
証明書の管理 | はい | はい |
Eメールと Exchange ActiveSync 管理 | はい | はい |
デバイス情報 | ||
デバイス情報(例:モデル、シリアル番号、IMEI 番号) | はい | はい |
GPS 追跡 | はい | いいえ |
電話番号 | はい | はい |
メモリ情報 | はい | はい |
バッテリ情報 | はい | はい |
UDID | はい | はい |
侵害状態およびジェイルブレイクの検出 | はい | はい† |
アクティベーション ロックの状態 | はい | はい |
"iPhone を探す" 機能の状態 | はい | はい |
iCloud バックアップの状態 | はい | はい |
最終バックアップ日時 | はい | はい |
ネットワーク情報 | ||
セルラー情報(例:MCC/MNC、SIM カード情報) | はい | はい |
テレコム ローミング情報 | はい | はい |
テレコム使用量情報 | はい | はい† |
IP アドレス | はい | はい† |
Bluetooth 接続時の MAC アドレス | はい | はい |
Wi-Fi 接続時の MAC アドレス | はい | はい |
管理コマンド | ||
フルデバイス ワイプ | はい | はい |
企業情報ワイプ | はい | はい |
デバイス ロック | はい | はい |
パスコードを消去 | はい | はい |
E メール メッセージング | はい | はい |
SMS メッセージング | はい | はい |
APNs プッシュ メッセージング | はい | はい† |
リモート表示 | はい | いいえ |
デバイス名の設定 | はい | はい |
制限事項パスコードの消去 | はい | はい |
アプリケーション管理 | ||
アプリケーションの表示および管理 | はい | はい |
Volume Purchase Program (VPP) | はい | はい |
アプリケーション リスト | はい | はい |
アプリのアップデートがリリースされていることを示すバッジの表示 | はい | はい† |
コンテンツ管理 | ||
コンテンツ管理 | はい* | はい* |
⁰ エンドユーザーは、初回同期時に購入情報を転送する必要があります。
† Workspace ONE UEM SDK が埋め込まれたアプリがデバイス上に存在している必要があります。
* iTunes から VMware Content Locker アプリをダウンロードし、インストールする必要があります。
Hub ベースの加入プロセスを実行すると、iOS デバイスと Workspace ONE UEM 環境の間の接続がセキュリティ保護されます。Workspace ONE Intelligent Hub アプリケーションを使用することで加入プロセスを簡素化できます。またデバイスをリアルタイムで管理したりデバイス情報にアクセスしたりすることもできます。
Workspace ONE Intelligent Hub のすべての機能を使用し、それと同時に Web 経由の加入プロセスも許可したい場合には、ユーザーに Workspace ONE Intelligent Hub 経由で加入することを許可できます。この設定では、Workspace ONE Intelligent Hub をダウンロードしていないエンド ユーザーは加入できません。
[グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [加入] > [認証] の順に進み、[iOS の Hub の加入を必須とする] を選択します。
Workspace ONE Intelligent Hub を使用して iOS デバイスを加入させるには、次の手順を実行します。
Safari ブラウザで getwsone.com を開きます。Workspace ONE UEM ではエンド ユーザーに対し、App Store に移動して Workspace ONE Intelligent Hub アプリケーションをダウンロードするように求めるプロンプトが自動的に表示されます。ダウンロード プロンプトに従います。iTunes Store から Workspace ONE Intelligent Hub をダウンロードするには、Apple ID が必要です。
Workspace ONE Intelligent Hub アプリケーションを選択し、次のいずれかの認証方法を選択します。
a. メール アドレス – 貴社の環境で自動検出機能が構成されている場合、この認証方法を選択します。ドロップダウン メニューからグループを選択するよう要求されることもあります。
b. サーバ詳細 – サーバ URL を使用して加入を行う場合はこれを選択します。このサーバ URL は、貴社の Workspace ONE UEM およびデバイスに関連付けられているグループのグループ ID が存在するネットワーク上の場所です。
c. QR コード – [E メール] タブまたは [サポート] タブを通じて受信した QR コードをデバイスでスキャンして使用する場合はこれを選択します。
資格情報を入力し、デバイスを認証させます。資格情報は、ユーザー名 と パスワード の組み合わせ、トークン、ユーザー名/パスワードとトークンの組み合わせ、のいずれかです。
a. 資格情報を誤って入力すると、CAPTCHA コードが表示されます。表示されている CAPTCHA コードを入力し、認証を完了させます。
管理者によって決められた次のプロセスフローを実行します。各ページでの設定が完了したら、次へ を選択します。
a. 必要に応じて、デバイス所有形態タイプを選択します。
b. 必要に応じて、社内利用規約に同意します。
c. 必要に応じて、デバイス アセット番号を入力します。
プライバシー収集情報を確認したら、次へ を選択します。
Safari webview にリダイレクトされると、MDM プロファイルをダウンロードするよう求められます。次のメッセージが表示されます。
この Web サイトは構成ファイルをダウンロードしようとしています。これを許可しますか?
許可 をタップし、ダウンロードが完了したら 閉じる をタップします。
a. iOS デバイス 12.2 以降の場合は、[続行] をタップして Hub を開き、画面の指示に従って MDM プロファイルをインストールし、MDM 警告メッセージが表示されたら、[インストール] を選択します。
b. iOS 12.2 より前のデバイスの場合、MDM プロファイルのインストールを要求された場合、インストールします。MDM 警告メッセージが表示されるので、[インストール] を選択します。
許可 を選択して、MDM プロファイルをダウンロードします。
MDM プロファイルをインストールします。必要に応じて、信頼に関するプロンプトを受け入れます。
MDM プロファイルがインストールされたら、Hub に戻ります。
完了 をタップし、加入を完了させます。成功したことを示すメッセージが表示されます。Workspace ONE UEM への加入が完了しました。
a. プロンプトが表示された場合、共有デバイス用のパスコードをセットアップするか、または共有デバイス用の資格情報を追加で入力します。セルフサービス ポータルにログインし、手順に従ってパスコードをセットアップします。
b. オプションで、[開く] を選択して Workspace ONE Intelligent Hub の詳細を表示します。
iOS デバイスに搭載されている Safari ブラウザを使用することにより、ウェブベースの加入プロセスを実行してデバイスを加入させることができます。ユーザーが Apple ID を持っていないために Workspace ONE Intelligent Hub をダウンロードできない場合は、この加入方法が最適です。
Web ベースの加入プロセスを使用して iOS デバイスを加入させるには、以下の手順を実行します。
iOS デバイス上で Safari ブラウザを開きます。
https://<環境の URL>.com/enroll を開きます。
(環境に自動検出が設定されている場合)グループ ID または メール アドレス を選択して、iOS デバイスを加入させます。次へ を選択します。
資格情報を入力し、デバイスを認証させます。資格情報は、ユーザー名 と パスワード の組み合わせ、トークン、ユーザー名/パスワードとトークンの組み合わせ、のいずれかです。
a. 資格情報を誤って入力すると、CAPTCHA コードが表示されます。表示されている CAPTCHA コードを入力し、認証を完了させます。
管理者によって決められた次のプロセスフローを実行します。各ページでの設定が完了したら、次へ を選択します。
a. 必要に応じて、デバイス所有形態タイプを選択します。
b. 必要に応じて、デバイス アセット番号を入力します。
c. 必要に応じて、組織の利用規約に同意します。
プロンプトが表示されたら、MDM プロファイルをダウンロードします。次のメッセージが表示されます。
この Web サイトは構成ファイルをダウンロードしようとしています。許可しますか?
許可 をタップし、ダウンロードが完了したら 閉じる をタップします。
プロファイルのインストールが正常に完了しました。設定 でプロファイルを確認して、インストールを続行できます。
MDM プロファイルをダウンロードし、インストールします。必要に応じて、信頼に関するプロンプトを受け入れます。
macOS コンピュータ上で Apple Configurator を使用してデバイスの一括加入処理を実行し、iOS デバイスを構成し展開することができます。Apple Configurator と Workspace ONE UEM を組み合わせて使用した場合、デバイス管理における可視性を維持し、バックアップ防止を徹底的に実施し、初期構成だけでなくライフサイクル全体を管理することができます。
Apple Configurator を使用して以下を行うことができます。
Apple Configurator と Workspace ONE UEM を組み合わせて使用するための手順または詳細情報は、「VMware Workspace ONE UEM Integration with Apple Configurator」ドキュメントを参照してください。
Device Enrollment Program (DEP) は、モバイル デバイス管理 (MDM) に加入済みの Apple デバイスのメリットを最大化します。
DEP により、次の操作を実行できます。
詳細は、次のトピックを参照してください:
ユーザー加入は、iOS 13 以降のデバイス向けの新しい加入方法で、ユーザーのプライバシーと個人データを保護しながら、設定、アプリケーション、および企業データを効果的に管理できます。ユーザー加入を使用すると、デバイス全体ではなく、デバイス上の管理対象ユーザー コンテナのみを対象として、アプリケーションのインストール、プロファイルの構成、およびコマンドの発行を行うことができるようになります。
ユーザー加入は、MDM を通じて実現されます。この MDM によって、管理対象 Apple ID というユーザー コンテキストが、加入時にデバイスにインストールされる MDM プロファイルで提供されます。このユーザー コンテキストは、MDM プロファイルをインストールするために、管理対象 Apple ID の資格情報をユーザーに求めるようにデバイスに指示します。加入後、管理対象データのための特定の Apple File System (APFS) ボリュームが作成されます。管理対象ボリュームから個人ボリューム内のデータにはアクセスできず、ユーザー データのプライバシーが保たれます。
データの新しい管理対象ボリュームが作成されるため、プライバシーの目的から使用できない既存の管理機能がいくつかあります。たとえば、ユーザーが App Store からアプリを手動でインストールした場合、そのアプリは個人用とみなされ、MDM では管理できません。ユーザーがインストールしたこのようなアプリを管理するには、いったんそのアプリをアンインストールしてから、Workspace ONE UEM で再インストールする必要があります。
この理由から、Workspace ONE では、Intelligent Hub アプリを使用したユーザー加入を許可していません。Intelligent Hub がすでにユーザーによってインストールされている場合は、Hub をアンインストールしてから、MDM を通じて再インストールします。これによって、他の Workspace ONE SDK 対応アプリからこのアプリのデータにアクセスできるようになります。
ユーザー加入設定
iOS デバイスのユーザー加入オプションを有効にするには、Workspace ONE UEM console の加入設定ページ([グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [加入])にアクセスします。オプションを有効にすると、サポートされている iOS 13 以降のデバイスを、Apple のユーザー加入方法を使用して組織グループに加入させることができるようになります。ユーザー加入では、デバイスが加入するのがいずれのユーザーかを識別するために、加入ユーザー名ではなく、ユーザーの管理対象 Apple ID が使用されます。管理対象 Apple ID は、Workspace ONE UEM でのユーザーのメール アドレスに一致する必要があります。
Azure AD と連携した Apple Business Manager の管理対象 Apple ID を使用して、iOS 13 以降のデバイスを加入させます。ユーザー加入デバイスでは、管理対象データを個人データから分離し、その一方でアプリのインストール、Wi-Fi の構成、パスコードの要求など、中核となる管理機能も引き続き提供することで、ユーザーのプライバシー重視を強化できます。
ユーザー加入の前に、次の前提条件を備えていることを確認してください。
iOS デバイスを加入させるには、次の手順を実行します。
iOS 13 以降のデバイスで Safari ブラウザを開き、貴社環境のユーザー加入 URL に移動します。この URL は、デバイス サービス ホスト名に /enroll/user
パスを追加したものです。
例:
<完全な URL>/enroll/user/
管理対象 Apple ID と一致する、加入ユーザーのメール アドレスを入力します。
必要に応じて、加入ユーザーの組織グループまたはその配下のサブ組織グループのグループ ID を入力します。入力しない場合、ユーザーの加入組織グループが使用されます。
ユーザー加入 MDM プロファイルのダウンロードを確認します。
アプリの 設定 に移動し、{Your Company} に加入 をタップします。
認証プロンプトおよび条件付きアクセス プロンプトについて、表示されるプロンプトを順にタップして Azure AD にリダイレクトします。
プロンプトのタイプと数は、Azure AD の構成、ユーザーの種類、デバイス、または組織によって決まります。
これで、ユーザー加入が完了しました。デバイスが UEM Console からのコマンドを受信し始めます。
管理対象 Apple ID を使用して iOS 15 以降のデバイスを加入させます。iOS デバイスで [設定] を使用して直接、ログインできます。
ユーザー加入の前に、次の前提条件を備えていることを確認してください。
iOS デバイスを加入させるには、次の手順を実行します。
[設定] > [全般] > [VPN とデバイス管理] > [勤務先または学校のアカウントでサインインしてください] の順に開きます。
管理対象 Apple ID に対応する、加入ユーザーのメール アドレスを入力し、[続行] をタップします。
注: 現在、ユーザー加入では、共有 iPad で使用できるカスタムの管理対象 Apple ID 機能はサポートされていません。
認証画面またはプロンプトが表示された場合は、それらに従って続行します。この手順は、組織の Apple Business Manager 設定に応じて異なります。
[リモート管理を許可] をタップして、MDM プロファイルが iOS デバイスにインストールされるまで待ちます。
これで、ユーザー加入が完了しました。
Workspace ONE UEM によってユーザー加入デバイスにインストールされたアプリケーションは管理され、管理対象 Apple ID に関連付けられます。管理対象 Apple ID は、デバイスの加入に使用されます。ユーザーが App Store を通じてインストールしたあらゆるアプリケーションは、ユーザーの個人用の Apple ID に関連付けられ、管理できません。
ユーザー加入では、管理アプリケーションを管理対象 Apple ID に関連付ける必要があるので、Apple Business Manager で購入したユーザーベース ライセンスを使用した管理対象の配布のみがサポートされています。たとえば、UEM console の [リソース] > [アプリ] ページの [パブリック] タブを通じて割り当てられたアプリケーションは、ユーザー加入デバイスではサポートされません。デバイス加入と比較して、ユーザー加入でのユーザーベース ライセンスの管理には違いはありません。ユーザー加入デバイスにアプリケーションが割り当てられると、デバイスに関連付けられている管理対象 Apple ID に VPP ライセンスが割り当てられ、アプリがインストールされます。
詳細については、『Integration with Apple Business Manager』ガイドの「Managed Distribution by Apple IDs」セクションを参照してください。