iOS デバイス プロファイル
プロファイルはデバイス管理の主要な手段です。プロファイルを構成し、iOS デバイスのセキュリティを保護しつつ、貴社の設定を適用することができます。プロファイルを順守ポリシーと組み合わせて使用することで、企業の規則や手順を施行する設定機能として、活用することができます。プロファイルには設定、構成やデバイス上で強制したい制限事項が含まれます。
プロファイルは、全般プロファイル設定と具体的なペイロードで構成されます。プロファイルが最適に機能するのは、単一のペイロードのみが含まれている場合です。
iOS プロファイルは、ユーザー レベルまたはデバイス レベルでデバイスに適用されます。iOS プロファイルを作成する際に、プロファイルを適用するレベルを選択します。プロファイルによっては、ユーザー レベルまたはデバイス レベルのいずれかでのみ適用できるものもあります。
プロファイルの監視モードの要件
一部またはすべての iOS デバイスを 監視モード で展開することができます。監視モードは、管理者に高度な管理機能と制限機能を提供する、デバイスレベルの設定です。
プロファイル設定のなかには、監視モードのデバイスのみで利用できるものもあります。監視モードでのみ利用できる設定にはタグが付けられ、右側に必要な iOS の最小要件を示すアイコンが表示されます。
![選択された Allo AirDrop および iOS 7 以降の監視モード オプションを示す [制限事項プロファイル設定] 画面](Images/Images-GUID-AWI-IOS-RESTRICTIONS-OSREQ-high.png)
たとえば、エンドユーザーが AirDrop を使用して他の macOS コンピュータおよび iOS デバイスとファイルを共有できないようにするには、AirDrop を許可 の横にあるチェック ボックスをオフにします。[iOS 7 以降の監視モード] アイコンは、Apple Configurator を使用して監視モードに設定されている iOS 7 デバイスのみが、この制限の影響を受けることを意味します。詳細については、「Apple Configurator との統合」または「Apple Business Manager」を参照してください。iOS のシステム要件および監視モード設定オプションについては、「iOS 機能マトリックス:監視対象と非監視対象」を参照してください。
iOS プロファイルを構成する
次の基本的な手順を使用して、Workspace ONE UEM で任意の iOS プロファイルを構成することができます。次のセクションで、各プロファイルで使用可能な設定を確認します。
-
[リソース] > [プロファイルとベースライン] > [プロファイル] の順に進み、[追加] > [Apple iOS] > [デバイス プロファイル] の順に選択します。
-
プロファイルの全般設定を構成します。
![追加するプロファイルのリストを示す [Workspace ONE UEM プロファイルの設定] 画面](Images/Images-configureiOS.png)
-
リストからペイロードを選択します。
-
プロファイル設定を構成します。
- 保存して公開 をクリックします
iOS の AirPlay プロファイル
AirPlay ペイロードを構成し、特定のデバイス セットを許可リストに設定し、デバイス ID に基づいてストリーム権限を配信することができます。また、Apple TV への表示アクセスがパスワード保護されている場合、パスワードを事前入力して接続を確立することができます。承認されていない人に暗証番号が知られることはありません。
なお、Apple TV を Workspace ONE UEM に加入させていない場合でも、このペイロードは機能します。tvOS の機能の詳細については、「tvOS 管理ガイド」を参照してください。
注:現在のところ、AirPlay 出力先を許可リストに登録する機能は、監視モードの iOS 7 デバイスおよび iOS 8 デバイスでのみ利用できます。
-
iOS 7 デバイスの場合、[パスワード] を構成します。iOS 7 以降の監視モード デバイスの場合、[許可リスト] を構成します。
![[Airplay ミラーリング プロファイル設定] 画面を表示する UEM Console](Images/Images-airplay.png)
-
以下を含む設定を構成します。
設定 説明 デバイス名 AirPlay 出力先に対するデバイス名を入力します。 パスワード AirPlay 出力先に対するパスワードを入力します。許可リストに登録するデバイスを追加するには、[追加] を選択します。 表示名 出力先ディスプレイの名前を入力します。この名前は、tvOS のデバイス名と同じにする必要があります。また、大文字/小文字が区別されます。このデバイス名は、tvOS のデバイス設定で確認できます。(iOS 7 以降の監視モード) デバイス ID 出力先ディスプレイに対するデバイス ID を入力します。デバイス ID は、形式 XX:XX:XX:XX:XX:XX で表される MAC アドレスまたはイーサネット アドレスです。許可リストに登録するデバイスを追加するには、[追加] を選択します。(iOS 7 以降の監視モード) -
これで、iOS 7 以降を搭載した監視モードのデバイスに対して、AirPlay 出力先許可リストが作成されました。続いて、デバイス コントロール パネルを使用して AirPlay を手動でアクティブ化または非アクティブ化します。
a. [デバイス] > [リスト表示] の順に移動し、AirPlay を使用するデバイスを探し、そのデバイスのフレンドリ名を選択します。
b. [サポート] を選択し、サポート オプションのリストで [AirPlay 開始] を選択します。
c. AirPlay プロファイルで作成した [出力先] を選択します。必要に応じてパスワードを入力し、[スキャン時間] を選択します。または、出力先リストで カスタム を選択し、このデバイスに対するカスタム出力先を作成します。
d. [保存] を選択し、プロンプトを受け入れて AirPlay を有効にします。
-
デバイス上で AirPlay を手動で非アクティブ化するには、デバイスのコントロールパネルに戻り、[サポート] を選択し、[AirPlay 停止] を選択します。
iOS の AirPrint プロファイル
Apple デバイスに対して AirPrint ペイロードを構成すると、デバイスが AirPrint プリンタとは異なるサブネット上にあっても、コンピュータで AirPrint プリンタを自動的に検出できます。
![[Airprint プロファイル設定] 画面を表示する UEM Console](Images/Images-airprint.png)
以下含む AirPrint プロファイル設定を構成します。
| 設定 | 説明 |
|---|---|
| IP アドレス | IP アドレスを入力します (XXX.XXX.XXX.XXX)。 |
| リソース パス | AirPrint プリンタに関連付けられているリソース パスを入力します (ipp/printer または printers/Canon_MG5300_series)。プリンタのリソース パスと IP アドレス情報を確認するには、AirPrint プリンタ情報の取得セクションを参照してください。 |
AirPrint プリンタ情報の取得
IP アドレスやリソース パスなど、AirPrint プリンタの情報を確認するには、このセクションで説明する手順を実行します。
- AirPrint プリンタが配置されているローカル ネットワーク(サブネット)に iOS デバイスを接続します。
-
ターミナル ウィンドウ(/Applications/Utilities/ にあります)を開き、次のコマンドを入力して、Return キーを押します。
ippfind注:コマンドを使用して取得されたプリンタ情報を書き留めます。最初の部分はプリンタの名前で、最後の部分はリソース パスです。
ipp://myprinter.local.:XXX/ipp/portX -
IP アドレスを取得するには、次のコマンドとプリンタの名前を入力します。
ping myprinter.local.注:コマンドを使用して取得された IP アドレス情報を書き留めます。
PING myprinter.local (XX.XX.XX.XX) -
手順 2 および 3 で得られた IP アドレス (XX.XX.XX.XX) とリソース パス (/ipp/portX) を AirPrint ペイロードの設定に入力します。
iOS の CalDAV または CardDAV プロファイル
エンド ユーザーが企業のカレンダー項目を同期させられるようにするには、CalDAV プロファイルを展開します。エンド ユーザーが企業の連絡先を同期させられるようにするには、CardDAV プロファイルを展開します。
![[CalDav プロファイル設定] 画面を表示する UEM Console](Images/Images-caldav.png)
以下を含む CalDav プロファイル設定を構成します。
| 設定 | 説明 |
|---|---|
| アカウントの説明 | アカウントの簡単な説明を入力します。 |
| アカウント ホスト名 | CalDAV 用サーバの名前を入力します。既に指定されている場合は、その値が表示されます。 |
| ポート | CalDAV サーバとの通信用に割り当てられているポート番号を入力します。 |
| プリンシパル URL | CalDAV サーバの URL を入力します。 |
| アカウント ユーザー名 | Active Directory アカウントのユーザー名を入力します。 |
| アカウント パスワード | Active Directory アカウントのパスワードを入力します。 |
| SSL 使用 | このチェックボックスを選択した場合、SSL (Secure Sockets Layer) が使用されます。 |
iOS のセルラー プロファイル
デバイス上でセルラー ネットワーク設定を構成し、キャリアのセルラー データ ネットワークへのアクセス方法を指定するには、セルラー ペイロードを構成します。
既定の APN 以外の APN を使用するには、このペイロードをプッシュします。APN 設定が誤っている場合、セルラー データ ネットワークに接続できなくなる可能性があるため、ご使用のキャリアに合っている APN 設定を確認してください。セルラー設定の詳細は、Apple のナレッジベースの記事を参照してください。
![[セルラー プロファイル設定] 画面を表示する UEM Console](Images/Images-cellular.png)
以下を含む CalDav プロファイル設定を構成します。
| 設定 | 説明 |
|---|---|
| アクセス ポイント名 (APN) | キャリアから提示された APN を入力します (例: come.moto.cellular)。 |
| 認証タイプ | 認証プロトコルを選択します。 |
| アクセス ポイント ユーザー名 | 認証に使用するユーザー名を入力します。 |
| アクセス ポイント パスワード | 認証に使用する APN パスワードを入力します。 |
| アクセス ポイント名 | キャリアから提示された APN を入力します (例: come.moto.cellular)。 |
| アクセス ポイント ユーザー名 | 認証に使用するユーザー名を入力します。 |
| 認証タイプ | 認証プロトコルを選択します。 |
| パスワード | 認証に使用する APN パスワードを入力します。 |
| プロキシ サーバ | プロキシ サーバの詳細情報を入力します。 |
| プロキシ サーバ ポート | すべてのトラフィックに対して使用するプロキシ サーバ ポートを入力します。追加 を選択し、このプロセスを続行します。 |
iOS のカスタム設定プロファイル
Workspace ONE UEM のネイティブ ペイロードで現在サポートされていない iOS の新機能がリリースされた場合、カスタム設定 ペイロードを使用できます。Workspace ONE UEM の最新リリースを待たずにこれらの設定を制御したい場合、カスタム設定ペイロードと XML コードを使用して、特定の設定を手動で有効化/非アクティブ化することができます。
ユーザーへの影響を回避しつつ、保存して公開する準備をしたい場合、貴社のプロファイルをコピーし、「test」組織グループの下に保存することができます。
XML の表示時に暗号化された値が表示される場合があるため、プロファイルをスマート グループに割り当てないでください。
-
[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] > [プロファイルを追加] > [iOS] の順に進みます。
-
プロファイルの全般設定を構成します。
![[カスタム設定のプロファイル設定] 画面を表示する UEM Console](Images/Images-customsettings.png)
-
適切なペイロード (例: 制限事項、パスコード) を構成します。
-
保存して公開 を選択します。
注:手順 1~4 で作成したプロファイルがどのスマート グループにも割り当てられていないことを確認します。割り当てられていると、xml を表示するときにデータが暗号化される場合があります。
-
プロファイル ページに戻り、プロファイル名の横にあるラジオ ボタンを使用してプロファイルを選択します。リストの上にメニュー オプションが表示されます。
-
メニューの [</> XML] を選択します。[プロファイル XML の表示] ウィンドウが開きます。
-
PayloadContent キーを探し、内部にネストされた単一のディクショナリをコピーします。ディクショナリの内容全体を <dict>…</dict> からコピーします。制限事項ペイロードのサンプル XML については、以下を参照してください。
<plist version="1.0"> <dict> <key>PayloadContent</key> <array> <dict> <key>safariAcceptCookies</key> <real>2</real> <key>safariAllowAutoFill</key> <true /> <key>PayloadDisplayName</key> <string>Restrictions</string> <key>PayloadDescription</key> <string>RestrictionSettings</string> <key>PayloadIdentifier</key> <string>745714ad-e006-463d-8bc1-495fc99809d5.Restrictions</string> <key>PayloadOrganization</key> <string></string> <key>PayloadType</key> <string>com.apple.applicationaccess</string> <key>PayloadUUID</key> <string>9dd56416-dc94-4904-b60a-5518ae05ccde</string> <key>PayloadVersion</key> <integer>1</integer> </dict> </array> <key>PayloadDescription</key> <string></string> <key>PayloadDisplayName</key> <string>Block Camera/V_1</string> <key>PayloadIdentifier</key> <string>745714ad-e006-463d-8bc1-495fc99809d5</string> <key>PayloadOrganization</key> <string></string> <key>PayloadRemovalDisallowed</key> <false /> <key>PayloadType</key> <string>Configuration</string> <key>PayloadUUID</key> <string>86a02489-58ff-44ff-8cd0-faad7942f64a</string> <key>PayloadVersion</key> <integer>1</integer> </dict> </plist>XML コードの詳細な例と情報については、こちらのナレッジベースの記事を参照してください。
-
XML ウィンドウで dict タグの間に暗号化されたテキストが表示されている場合は、プロファイル ページの設定を変更して復号化されたテキストを生成できます。これを行うには、次の手順を実行します。
a. [グループと設定] > [すべての設定] > [デバイス] > [ユーザー] > [Apple] > [プロファイル] の順に進みます。
b. カスタム設定オプションを無効にします。
c. [プロファイルを暗号化] オプションを非アクティブ化してから保存します。
-
カスタム設定 プロファイルに戻り、コピーした XML コードをテキストボックスに貼り付けます。貼り付けた XML コードには、<dict> ~ </dict> という完全なコードブロックが含まれています。
-
構成済みの元のペイロードを削除するために、ベース ペイロード セクション (例: 制限事項、パスコード) を選択し、「-」 ボタンをクリックします。新機能に対するカスタム XML コードを追加することにより、プロファイルの機能を強化できます。
-
保存して公開 を選択します。
iOS のデバイス パスコード プロファイル
デバイス パスコード プロファイルは、iOS デバイスおよびコンテンツをセキュリティ保護します。ユーザーのニーズに応じてセキュリティのレベルを構成します。
重要な任務を行う社員には厳格なオプションを設定し、他のデバイスや BYOD プログラムを利用している社員にはより柔軟なオプションを設定します。さらに、iOS デバイスでパスコードが設定されている場合は、デバイスのハードウェア暗号化が提供され、[デバイス詳細] ページの [セキュリティ] タブに [データ保護されています] デバイス インジケータも作成されます。
パスコードを作成して、以下の項目を構成します。
- 複雑度 – 簡単な値を使用すると、素早くアクセスできますが、英数字のパスコードを使用すると、セキュリティを強化できます。パスコードで使用する特殊文字 (@、#、&、! 、 、? ) の最小文字数を指定することもできます。たとえば、機密性の高いコンテンツにアクセスするユーザーには、より厳格なパスコードを使用するよう要求します。
- 試行失敗回数の上限 – 指定した試行回数を超えた場合にデバイスをワイプまたはロックすることで、不正なアクセスを防止します。このオプションは、企業の所有するデバイスには適していますが、BYOD プログラムにおける従業員所有デバイスには不適です。たとえば、デバイスでパスコードの試行回数が 5 回に制限されている場合に、ユーザーが連続して 5 回誤ったパスコードを入力すると、フル デバイス ワイプが自動的に実行されてしまいます。デバイスをロックするだけの方が好ましい場合は、このオプションを なし に設定します。この場合、パスコードの再試行を無限に行えるようになります。
- パスコードの有効期間 – 指定した間隔で、パスコードの更新を強制します。パスコードを頻繁に変更することで、不正アクセスに対する脆弱性を低減できます。
- [自動ロック (分)] – ユーザーがロックを解除することなく、デバイスをアイドル状態にできる最大時間 (分) であり、この時間が経過すると、デバイスはシステムによってロックされます。この制限時間に達すると、システムはデバイスをロックし、ロックを解除するにはパスコードが必要になります。ユーザーはこの設定を編集できますが、構成された設定を超える値を指定することはできません。
iOS のデバイス パスコード プロファイルを構成する
デバイス パスコード プロファイルは、iOS デバイスおよびコンテンツをセキュリティ保護します。ユーザーのニーズに応じて、複数の設定をパスコード ペイロードとして構成し、デバイスにパスコードを適用します。
![[デバイス パスコード プロファイル設定] 画面を表示する UEM Console](Images/Images-passcode.png)
以下を含むデバイス パスコード プロファイル設定を構成します。
| 設定 | 説明 |
|---|---|
| デバイスにパスコードを必須とする | パスコードによる保護を必須にします。 |
| 単純な値を許可 | エンドユーザーが単純な数字のパスコードを使用することを許可します。 |
| 英数字を必須とする | エンドユーザーがスペースや英数字以外の文字をパスコードで使用できないように制限します。 |
| 最小パスコード長さ | パスコードで最低限必要な文字数を選択します。 |
| 特殊文字の最小文字数 | パスコードに必要な特殊文字 (#、$、! 、@) の最小文字数を指定します。 |
| パスコードの有効期間 (日) | パスコードを使用できる最大日数を選択します。 |
| 自動ロック (分) | ユーザーがロックを解除することなく、デバイスをアイドル状態にできる最大時間 (分) であり、この時間が経過すると、デバイスはシステムによってロックされます。この制限時間に達すると、システムはデバイスをロックし、ロックを解除するにはパスコードが必要になります。ユーザーはこの設定を編集できますが、構成された設定を超える値を指定することはできません。 |
| パスコード履歴 | 履歴に保存されるパスコードの数を指定します。保存されているパスコードをエンドユーザーが繰り返して使用することはできません。 |
| デバイスロックの猶予期間 (分) | システムによってデバイスがロックされ、エンドユーザーによるパスコードの再入力が必要になるまでの時間を分単位で指定します。 |
| 試行失敗回数の上限 | 許容される試行回数の上限を指定します。パスコードの入力をこの回数失敗すると、デバイスが工場出荷状態にリセットされます。 |
iOS の E メール アカウント プロファイル
iOS デバイスの E メール設定プロファイルを構成し、デバイスの E メール設定を構成します。
![[E メール アカウント プロファイル設定] 画面を表示する UEM Console](Images/Images-email.png)
以下を含む設定を構成します。
| 設定 | 説明 |
|---|---|
| アカウントの説明 | Eメール アカウントの簡単な説明を入力します。 |
| アカウントタイプ | ドロップダウン メニューで 「IMAP」 または 「POP」 を選択します。 |
| パスのプレフィックス | Eメール アカウントに対するルート フォルダの名前を入力します (IMAP の場合のみ)。 |
| ユーザー表示名 | エンドユーザーの名前を入力します。 |
| メール アドレス | Eメール アカウントのアドレスを入力します。 |
| メッセージの移動を禁止する | このオプションを有効にした場合、ユーザーは、Eメール メッセージを転送したり Eメール メッセージをサードパーティ アプリで開いたりすることができません。 |
| 最近のアドレス同期を無効にする | このオプションを有効にした場合、ユーザーは、Eメール連絡先を個人用デバイスと同期させることができません。 |
| サードパーティ アプリでの使用を禁止 | このオプションを有効にした場合、ユーザーは、企業 Eメール メッセージを他の Eメール クライアント アプリに移動できません。 |
| Mail Drop を禁止 | このオプションを有効にした場合、ユーザーは、Apple の Mail Drop 機能を利用できません。 |
| S/MIME を使用する | 追加の暗号化証明書を使用する場合、このオプションを有効にします。 |
| ホスト名 | Eメール サーバの名前を入力します。 |
| ポート | 受信メール トラフィックに割り当てられているポート番号を入力します。 |
| ユーザー名 | Eメール アカウントのユーザー名を入力します。 |
| 認証タイプ | ドロップダウン メニューで、Eメール アカウント所有者を認証する方法を選択します。 |
| パスワード | エンドユーザーを認証する際に必要となるパスワードを入力します。 |
| SSL 使用 | このオプションを有効にした場合、受信 Eメール トラフィックに対して SSL (Secure Sockets Layer) が使用されます。 |
| ホスト名 | Eメール サーバの名前を入力します。 |
| ポート | 送信メール トラフィックに割り当てられているポート番号を入力します。 |
| ユーザー名 | Eメール アカウントのユーザー名を入力します。 |
| 認証タイプ | ドロップダウン メニューで、Eメール アカウント所有者を認証する方法を選択します。 |
| 送信パスワードは受信と同じ | このオプションを有効にした場合、「パスワード」 欄の値が自動入力されます。 |
| パスワード | エンドユーザーを認証する際に必要となるパスワードを入力します。 |
| SSL 使用 | このオプションを有効にした場合、送信 Eメール トラフィックに対して SSL (Secure Sockets Layer) が使用されます。 |
iOS デバイスの Exchange ActiveSync (EAS) メール
Exchange ActiveSync (EAS) は、モバイル デバイス上で E メールを同期させるための業界標準プロトコルです。EAS プロファイルを使用し、メール サーバにチェックインして Eメール、カレンダー、および連絡先を同期するようデバイスをリモート構成します。
EAS プロファイルでは、各ユーザーの情報 (例: ユーザー名、Eメール アドレス、パスワード) が使用されます。Workspace ONE UEM と Active Directory サービスを統合した場合、このユーザー情報は自動で入力されます。EAS プロファイルで参照値を使用することで入力されるユーザー情報を指定することができます。
複数ユーザーに対する汎用 EAS プロファイルの作成
EAS プロファイルを作成し、デバイス上でメール サーバからデータを自動プルできるようにするには、事前にエンドユーザーのユーザー アカウント レコードに適切な情報を格納しておく必要があります。ディレクトリユーザー の場合、この情報は加入時に自動的に入力されます。ディレクトリ ユーザーとは、ディレクトリ資格情報 (例: Active Directory 資格情報) を使用して加入しているユーザーのことです。一方、ベーシック ユーザー の場合、この情報は自動的に入力されないので、次のいずれかの方法で入力する必要があります。
-
各ユーザー レコードを編集し、Eメール アドレス 欄と Eメールのユーザー名 欄の値を入力します。
-
加入時にこの情報を入力するよう、ユーザーに要求します。具体的には、[デバイス] > [デバイス設定] > [全般] > [加入] の順に進み、[オプションのプロンプト表示] タブで [加入 E メールのプロンプトを有効にする] チェックボックスをオンにします。
ネイティブ メール クライアントの EAS メール プロファイルの構成
iOS デバイスのネイティブ メール クライアント用の E メール構成プロファイルを作成します。
-
[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進みます。Apple iOS を選択します。
-
プロファイルの全般設定を構成します。
-
Exchange ActiveSync ペイロードを選択します。
![[Exchange ActiveSync プロファイル設定] 画面を表示する UEM Console](Images/Images-exchange.png)
-
メール クライアント から ネイティブ メール クライアント を選択します。アカウント名 欄に、このメール アカウントの説明を入力します。Exchange ActiveSync ホスト フィールドに、貴社の ActiveSync サーバの外部 URL を入力します。
ActiveSync サーバには、ActiveSync プロトコルを実装している任意のメール サーバ (例: Lotus Notes Traveler、Novell Data Synchronizer、Microsoft Exchange) を使用できます。セキュア Eメールゲートウェイ (SEG) 展開の場合、Eメールサーバ URL ではなく SEG URL を使用します。
-
SSL を使用 チェックボックスを選択して、受信 E メール トラフィックの Secure Socket Layer の使用を有効にします。
-
追加の暗号化証明書を使用する場合は S/MIME ボックスにチェックを入れます。このオプションを有効にする前に、資格情報 プロファイル設定の下に必要な証明書がアップロードされていることを確認してください。
a. E メール メッセージに署名するには、[S/MIME 証明書] を選択します。
b. E メール メッセージの署名と暗号化の両方を行うには、[S/MIME 暗号化証明書] を選択します。
c. エンド ユーザーが個別の E メール メッセージごとにネイティブ iOS メール クライアントを使用して署名と暗号化を行うかを選択できるようにするには、[メッセージごとに切り替える] チェックボックスをオンにします(iOS 8 以降の監視対象デバイスのみ)。
-
[OAuth の使用] チェック ボックスを選択して、認証に OAuth を有効にします。モダン認証が有効なアカウントには OAuth が必要です。
a. OAuth サインイン URL - OAuth のログイン URL を入力します。
b. OAuth トークン URL - OAuth のトークン URL を入力します。
-
参照値機能を用いて、ドメイン名、ユーザー名と E メール アドレス を含む ログイン情報 を入力します。参照値は、ユーザー アカウント レコードのデータを直接取得します。参照値 {EmailDomain}、{EmailUserName}、{EmailAddress} を使用するには、Workspace ONE UEM ユーザー アカウントに E メール アドレスと E メール ユーザー名が定義されていることを確認してください。
-
パスワード 欄は、ユーザ自身が入力するようプロンプトを表示するのであれば、空欄のままにしてください。
-
資格情報 ペイロードに証明書を追加した後に、ペイロード証明書 を選択し、証明書ベースの認証に使用する証明書を定義します。
-
必要に応じて以下の 設定とセキュリティ のオプション設定を構成します。
a. メールの同期を取りに遡る日数 – ダウンロードするメールの量を定義します。遡る日数が多いほど、メールをダウンロードする間のデバイスのデータ消費量が大きくなるのでご注意ください。
b. メッセージの移動を禁止する – Exchange メールボックスからデバイス上の他のメールボックスにメールを移動できないようにします。
c. サードパーティ製アプリでの使用を禁止する – 他のアプリが Exchange メールボックスを使ってメッセージを送信することを禁止します。
d. 最近のアドレスの同期を禁止する – Exchange でメールを送信する際の連絡先提案機能を非アクティブ化します。
e. Mail Drop を禁止する – Apple 社の Mail Drop 機能の使用を非アクティブ化します。
f. (iOS 13) メールを有効にする – Exchange アカウント用に別のメール アプリを構成できるようにします。
g. (iOS 13) メールの切り替えを許可 – 非アクティブ化すると、ユーザーによるメールのオン/オフの切り替えができなくなります。
h. (iOS 13) 連絡先を有効にする – Exchange アカウント用に別の連絡先アプリを構成できるようにします。
i. (iOS 13) 連絡先の切り替えを許可 – 非アクティブ化すると、ユーザーによる連絡先のオン/オフの切り替えができなくなります。
j.(iOS 13)カレンダーを有効にする – Exchange アカウント用に別のカレンダー アプリを構成できるようにします。
k.(iOS 13) カレンダーの切り替えを許可 – 非アクティブ化すると、ユーザーによるカレンダーのオン/オフの切り替えができなくなります。
l.メモを有効にする – Exchange アカウント用に別のメモ アプリを構成できるようにします。
m. (iOS 13) メモの切り替えを許可 – 非アクティブ化すると、ユーザーによるメモのオン/オフの切り替えができなくなります。
n. (iOS 13) リマインダーを有効にする – Exchange アカウント用に別のリマインダー アプリを構成できるようにします。
o. (iOS 13) リマインダーの切り替えを許可 – 非アクティブ化すると、ユーザーによるリマインダーのオン/オフの切り替えができなくなります。
-
既定の音声通話アプリ で、E メール メッセージに記載されている電話番号を選択したときにネイティブ EAS アカウントによって使用される既定の音声通話アプリケーションを割り当てます。
-
保存して公開 を選択すると、利用可能なデバイスにプロファイルがプッシュされます。
iOS の Forcepoint コンテンツ フィルタ
Workspace ONE UEM を Forcepoint を統合すると、Forcepoint 内の既存のコンテンツ フィルタ リング カテゴリを使用でき、それらを UEM コンソールで管理しているデバイスに適用できます。
Forcepoint で構成したウェブサイトに従ってウェブサイトへのアクセスを許可またはブロックし、続いて VPN ペイロードを展開してデバイスにこれらのルールを適用します。Workspace ONE UEM に加入しているディレクトリ ユーザーは、Forcepoint に対して検証されます。これにより、個々のエンドユーザーに適用するコンテンツ フィルタリング ルールが決まります。
Forcepoint のコンテンツ フィルタリング ルールは、次のいずれかの方法で適用します。
a. 1 つは、このトピックに記載されているように VPN プロファイルを使用する方法です。VPN プロファイルを使用したコンテンツ フィルタリングの適用は、VMware Browser 以外のブラウザを使用しているすべてのウェブ トラフィックに適用できます。
b. もう 1 つは、[設定とポリシー] ページを構成する方法です。この画面の設定は、VMware Browser 以外のブラウザを使用しているすべての Web トラフィックに適用されます。設定とポリシー を構成する手順は、「VMware Browser Guide」 を参照してください。
手順
-
ペイロードを選択した後、[接続タイプ] として.[Websense (Forcepoint)] を選択します。
-
接続情報 を構成します。
設定 説明 接続名 接続名として表示される名前を入力します。 ユーザー名 プロキシ サーバへの接続に使用するユーザー名を入力します。 パスワード 接続に使用するパスワードを入力します。 -
接続のテスト を選択することもできます。
-
ベンダー構成 設定を構成します。
設定 説明 ベンダーキー カスタム キーを作成し、ベンダー構成辞書に追加します。 キー ベンダーから提供された固有のキーを入力します。 付加価値 各キーの VPN 値を入力します。 -
保存して公開 を選択します。ディレクトリベースのエンドユーザーは、Forcepoint のカテゴリに基づいて、許可されたサイトにアクセスできるようになります。
iOS の Google アカウント プロファイル
このプロファイルを適用した場合、エンドユーザーは、iOS デバイスのネイティブ メール アプリケーションで自分の Google アカウントを使用できます。Google アカウントは、UEM コンソールで直接追加します。
![[Google アカウント プロファイル設定] 画面を表示する UEM Console](Images/Images-google.png)
以下を含む Google アカウント プロファイル設定を構成します。
| 設定 | 説明 |
|---|---|
| アカウント名 | Google アカウントの完全なユーザー名。これは、Eメール メッセージ送信時に表示されるユーザー名です。 |
| アカウントの説明 | Google アカウントの説明。「メール」 および 「設定」 に表示されます。 |
| メール アドレス | アカウントに対する完全な Google Eメール アドレス。 |
| 既定の音声通話アプリ | 構成済み Google アカウントを使用して通話する際の、既定のアプリケーションを検索して選択します。 |
iOS のグローバル HTTP プロキシ プロファイル
すべての Wi-Fi 接続において、iOS 7 以降を搭載した監視モードのデバイスから送信されたトラフィックを指定プロキシ サーバにルーティングするには、グローバル HTTP プロキシを構成します。たとえば学校の場合、すべてのウェブ閲覧トラフィックがその学校のウェブ コンテンツ フィルタにルーティングされるように、グローバル プロキシを構成することができます。
![[HTTP プロキシ プロファイル設定] 画面を表示する UEM Console](Images/Images-http.png)
以下を含むグローバル HTTP プロキシ設定を構成します。
| 設定 | 説明 |
|---|---|
| プロキシのタイプ | プロキシ構成として、自動 または 手動 のいずれかを選択します。 |
| プロキシ サーバ | プロキシ サーバの URL を入力します。この項目が表示されるのは、プロキシ タイプ で 手動 を選択した場合です。 |
| プロキシ サーバ ポート | プロキシとの通信に使用するポートを入力します。この項目が表示されるのは、プロキシ タイプ で 手動 を選択した場合です。 |
| プロキシのユーザー名/パスワード | プロキシが資格情報を必要とする場合、参照値を使用して認証方法を定義することができます。この項目が表示されるのは、プロキシ タイプ で 手動 を選択した場合です。 |
| キャプティブネットワークにアクセスする際のプロキシのバイパスを許可する | デバイスがプロキシ設定をバイパスして既知のネットワークにアクセスすることを許可するにはこのボックスにチェックを入れます。この項目が表示されるのは、プロキシ タイプ で 手動 を選択した場合です。 |
| プロキシ PAC ファイル URL | プロキシ PAC ファイルの URL を入力し、設定を自動で適用します。この項目が表示されるのは、プロキシ タイプ で 自動 を選択した場合です。 |
| PAC が到達不能な場合、直接接続を許可する | PAC ファイルが到達不能な場合は iOS デバイスにプロキシサーバのバイパスを許可するにはこのオプションを選択します。この項目が表示されるのは、プロキシ タイプ で 自動 を選択した場合です。 |
| キャプティブネットワークにアクセスする際のプロキシのバイパスを許可する | デバイスがプロキシ設定をバイパスして既知のネットワークにアクセスすることを許可するにはこのボックスにチェックを入れます。この項目が表示されるのは、プロキシ タイプ で 自動 を選択した場合です。 |
ホーム画面レイアウト プロファイル(iOS の監視モード)
このペイロードを使用して、ホーム画面のアプリケーション、フォルダ、および Web クリップのレイアウトを定義します。このペイロードを展開すると、組織のニーズを満たす方法でアプリケーションと Web クリップをグループ化できます。
ペイロードがデバイスに展開されると、ホーム画面のレイアウトはロックされ、ユーザーは変更できません。このペイロードは、iOS 9.3 以降の監視モード デバイスで許可されています。
![[ホーム画面レイアウトのプロファイル設定] 画面を表示する UEM Console](Images/Images-home.png)
以下を含むホーム画面レイアウトのプロファイル設定を構成します。
| 設定 | 説明 |
|---|---|
| Dock | Dock に表示するアプリケーションと Web クリップを選択します。 |
| ページ | デバイスに追加するアプリケーションと Web クリップを選択します。画面を追加し、アプリケーションと Web クリップのグループを追加することもできます。 |
| フォルダを追加 | 選択したページのデバイス画面に追加する新しいフォルダを構成します。灰色のバーの鉛筆のアイコンを使用して、フォルダの名前を作成または編集します。 |
必要に応じて、[ページを追加] を選択してデバイスにページを追加し、[保存して公開] を選択してこのプロファイルをデバイスにプッシュします。
iOS の LDAP プロファイル
LDAP プロファイルを構成し、エンド ユーザーが企業 LDAPv3 ディレクトリ情報を利用できるようにします。
![[LDAP プロファイル設定] 画面を表示する UEM Console](Images/Images-ldap.png)
以下を含む LDAP プロファイル設定を構成します。
| 設定 | 説明 |
|---|---|
| アカウントの説明 | LDAP アカウントの簡単な説明を入力します。 |
| アカウント ホスト名 | Active Directory 用サーバの名前を入力します。既に指定されている場合は、その値が表示されます。 |
| アカウント ユーザー名 | Active Directory アカウントのユーザー名を入力します。 |
| アカウント パスワード | Active Directory アカウントのパスワードを入力します。 |
| SSL 使用 | このチェックボックスを選択した場合、SSL (Secure Sockets Layer) が使用されます。 |
| 検索設定 | デバイスから実行される Active Directory 検索に関する設定を入力します。 |
iOS のロック画面メッセージ プロファイル
エンド ユーザーのデバイスのロック画面をカスタマイズし、紛失したデバイスを回収するのに役立つ情報が表示されるようにします。
![[ロック画面 プロファイル設定] 画面を表示する UEM Console](Images/Images-lock.png)
以下を含むロック画面メッセージ プロファイル設定を構成します。
| 設定 | 説明 |
|---|---|
| 「紛失デバイスの返却先」メッセージ | 拾得されたデバイスの返却先の名前または組織を表示します。このフィールドは参照値をサポートします。 |
| アセットタグ情報 | デバイスのロック画面にデバイスのアセット タグ情報を表示します。このアセット タグは、重複させたり、デバイスに物理アセット タグが付加されている場合はそれと置き換えたりすることができます。このフィールドは参照値をサポートします。 |
iOS の macOS サーバ アカウント プロファイル
UEM コンソールで macOS サーバ アカウントを直接追加して、MDM フレームワークの管理に役立てることができます。このプロファイルを使用して資格情報を提供することにより、エンドユーザーは macOS のファイル共有にアクセスできます。
![[macOS サーバ アカウント プロファイル設定] 画面を表示する UEM Console](Images/Images-macOS.png)
以下を含む macOS サーバ プロファイル設定を構成します。
| 設定 | 説明 |
|---|---|
| アカウントの説明 | アカウントの表示名を入力します。 |
| Hostname | サーバアドレスを入力します。 |
| ユーザー名 | ユーザーのログイン名を入力します。 |
| パスワード | ユーザーのパスワードを入力します。 |
| ポート | サーバに接続する際に使用するポート番号を指定します。 |
iOS の管理ドメイン プロファイル
管理ドメインは、Workspace ONE UEM で Apple の iOS 8 デバイスの「次のアプリで開く」セキュリティ機能を拡張するもう一つの方法です。「次のアプリで開く」 と管理ドメインを併用すると、Safari を使用して企業ドメインからダウンロードしたファイルを開くことができるアプリを管理することができ、企業データを保護できます。
URL またはサブドメインを指定して、ファイル、添付ファイル、ブラウザからダウンロードしたファイルを開く方法を管理できます。また、管理 Eメール ドメインでは、非管理ドメイン宛てに送信された Eメール メッセージに、色分けされた警告のインジケータが表示されることがあります。これらのツールは、エンドユーザーが、企業アプリで開くことができるファイルと、個人アプリケーションで開かなければならない個人ファイルを素早く区別するうえで役立ちます。
![[管理ドメイン プロファイル設定] 画面を表示する UEM Console](Images/Images-manageddomain.png)
以下を含む管理ドメイン プロファイルの設定を構成します。
| 設定 | 説明 |
|---|---|
| 管理 Eメール ドメイン | ドメインを入力し、どの Eメール アドレスが企業ドメインのものかを指定します。たとえば、exchange.acme.com などです。ここで指定していないアドレス宛てに送信された Eメールは、Eメール アプリでハイライトされ、そのアドレスが企業ドメインのものでないことが示されます。 |
| 管理ウェブドメイン | ドメインを入力して、特定の URL またはサブドメインを選択すると、それらが管理対象とみなされます。たとえば、sharepoint.acme.com などです。これらのドメインからのファイルや添付ファイルはすべて、管理対象とみなされます。 |
| Safari パスワードドメイン | Safari で保存先として指定するドメインのパスワードを入力します。このオプションは、監視モード デバイスにのみ適用されます。 |
iOS のネットワーク使用量規則
ネットワーク使用量規則を構成すると、どのアプリケーションおよび SIM カードがデータにアクセスできるかを、ネットワーク接続タイプや、デバイスがローミング中かどうかに応じて管理することができます。この機能により、従業員が業務用にデバイスを使用している場合のデータ料金を、管理者が管理しやすくなります。きめ細かい管理を利用することで、必要に応じてさまざまなアプリおよび SIM にさまざまな規則を適用できます。
-
[アプリ使用量規則] で、パブリック、社内、購入済みアプリケーションの アプリケーション識別子 を入力します。
![[ネットワーク使用量プロファイル設定] 画面を表示する UEM Console](Images/Images-networkusage.png)
-
[セルラー データを許可] および [ローミング中のデータ使用] を有効にします。既定設定では上記のオプションが既に選択されています。
-
SIM 使用量規則で、SIM カード(物理カードおよび eSIM カード)の ICCID を入力し、Wi-Fi Assist 機能のタイプとして 既定 または 無制限のセルラー データ のいずれかを指定します。
-
保存して公開 を選択します。
iOS の通知プロファイル
デバイスがロックされていても、指定したアプリの通知がホーム画面上に表示されるようにするには、このプロファイルを使用します。
いつ、どのように通知を表示するかを制御することができます。このプロファイルは iOS 9.3 以降の監視モード デバイスに適用されます。
-
アプリを選択 をクリックします。新しいウィンドウが開きます。
![[通知プロファイル設定] 画面を表示する UEM Console](Images/Images-notifications.png)
-
以下を構成します。
設定 説明 アプリを選択 構成するアプリを選択します。 通知を許可 任意の通知を許可する場合はこれを選択します。 通知センターに表示 通知センターに通知が表示されるようにするにはこれを選択します。 ロック画面に表示 ロック画面に通知が表示されるようにするにはこれを選択します。 サウンドを許可 サウンドで通知を知らせるにはこれを選択します。 バッジを許可 アプリ アイコンにバッジが表示されるようにするにはこれを選択します。 ロック解除時のアラートスタイル ロック解除時の通知スタイルを選択します。
バナー - ホーム画面のバナーでユーザーにアラートを表示します。
モーダル アラート - ホーム画面にウィンドウを表示します。操作を続行するにはユーザーによる対応が必要です。 -
保存 を選択し、ペイロードをデバイスにプッシュします。
iOS のアプリベース VPN プロファイル
iOS 7 以降のデバイスでは、選択したアプリケーションの接続に企業 VPN が使用されるように強制することができます。VPN プロバイダでこの機能がサポートされている必要があり、また、管理アプリケーションとしてアプリを公開する必要があります。
-
ベース VPN プロファイルを適宜構成します。
-
アプリ ベース VPN を選択して、現在の VPN プロファイル設定に対する VPN UUID を生成します。VPN UUID は、この VPN 構成に対する一意の識別子です。
-
自動接続 を選択すると、Safari ドメイン 用の入力欄が表示されます。これは、VPN の自動接続をトリガする社内サイトです。
-
プロバイダータイプ を選択して、トラフィックをトンネルする方法を指定します (アプリケーション レイヤーと IP レイヤーのどちらを使用するか)。
-
保存して公開 を選択します。
この手順を既存の VPN プロファイルに対する更新として保存すると、このプロファイルを現在使用しているすべての既存のデバイス/アプリケーションが更新されます。また、VPN UUID を使用していなかったデバイス/アプリケーションは、VPN プロファイルを使用するように更新されます。
アプリ ベース プロファイルを使用するようパブリックアプリを構成する
アプリ ベース トンネル プロファイルを作成した後、アプリケーション構成画面でそのプロファイルを特定のアプリケーションに割り当てることができます。これにより、アプリケーションは、接続を確立する際、割り当てられた VPN プロファイルを使用します。
-
[リソース] > [アプリ] > [ネイティブ] の順に進みます。
-
パブリック タブを選択します。
-
アプリケーションを追加 を選択してアプリを追加するか、編集 を選択して既存のアプリを編集します。
![[アプリケーション設定の追加] 画面](Images/Images-addapp.png)
-
「展開」 タブで VPN 使用 を選択し、続いて、作成したプロファイルを選択します。
-
保存 を選択し、変更を公開します。
アプリの追加または編集の詳細については、『モバイル アプリケーション管理』ガイドを参照してください。
アプリ ベース プロファイルを使用するよう社内アプリを構成する
アプリ ベース トンネル プロファイルを作成した後、アプリケーション構成画面でそのプロファイルを特定のアプリケーションに割り当てることができます。これにより、アプリケーションは、接続を確立する際、割り当てられた VPN プロファイルを使用します。
-
[リソース] > [アプリ] > [ネイティブ] の順に進みます。
-
社内 タブを選択します。
-
アプリケーションを追加 を選択して、アプリを追加します。
-
保存して割り当て を選択して、割り当てページに移動します。
-
割り当ての追加 を選択し、高度な設定 の アプリ ベース VPN プロファイル を選択します。
-
アプリを 保存して公開 します。
アプリの追加または編集の詳細は、モバイル アプリケーション管理 ガイドを参照してください。このドキュメントは VMware AirWatch documentation で入手できます。
iOS の制限プロファイル
[制限プロファイル] を適用した場合、従業員による iOS デバイスの使用方法が制限され、管理者は iOS デバイスのネイティブ機能をロックダウンして、データ消失防止対策を講じることができます。
制限事項 プロファイル画面では、一部の制限事項オプションの右にアイコンが表示されています。このアイコンは、その制限事項を適用する際の最小 iOS バージョンを意味します。たとえば、[AirDrop を許可] チェックボックスの横には [iOS 7 以降の監視モード] アイコンが表示されています。これは、監視モードの iOS 7 が実行されているデバイスのみにこの制限事項が適用されるということを意味します。なお、iOS 7 を監視モードに設定するには、Apple Configurator または Apple 社のデバイス登録プログラムを使用します。
次に説明する手順では、適用可能な制限事項の一部を例として挙げています。iOS のバージョンおよび監視モードの要件については、「iOS 機能マトリックス:監視対象と非監視対象」を参照してください。
制限プロファイルを構成する
iOS デバイスで、デバイスの制限事項、アプリケーション レベルの制限事項、iCloud の制限事項などを構成できます。
![デバイス機能、アプリケーション、iCloud の制限事項などが強調表示される [制限事項プロファイル設定] 画面を表示する UEM Console](Images/Images-restrictions.png)
以下を含む制限事項プロファイル設定を構成します。
| 設定 | 説明 |
|---|---|
| デバイス機能 | デバイスレベルの制限事項を適用した場合、デバイスの中核機能(例:カメラ、FaceTime、Siri、アプリ内課金)を非アクティブ化できるので、生産性向上とセキュリティ強化につながります。 |
| アプリケーション | アプリケーション レベルの制限事項を適用した場合、特定のアプリケーション(例:YouTube、iTunes、Safari)やその機能の一部を非アクティブ化し、社内ポリシーを順守させることができます。 |
| iCloud | Workspace ONE UEM では、必要に応じて iCloud または iCloud 機能を非アクティブ化する制限事項を適用できます。この機能は、iOS 7 以降のデバイスで使用できます。 |
| セキュリティとプライバシー | セキュリティとプライバシーに関する制限事項では、社内ポリシーに違反するおそれのある処理およびデバイスを侵害するおそれのある処理を、エンドユーザーに対して禁止します。 |
| データ漏洩対策 | データ漏洩対策の制限により、エンド ユーザーが AirDrop を使用して他の macOS コンピュータや iOS デバイスとファイルを共有できないようにし、管理対象アプリが管理対象外の連絡先アカウントに連絡先を書き込むのを許可します。 |
| メディア コンテンツ | レーティングに基づく制限事項を適用した場合、エンドユーザーは、特定のコンテンツにアクセスできません。レーティングは地域ごとに管理されています。 |
| 教育 | 管理対象クラスの自発的な画面監視を強制する学生に対する制限事項 |
| OS 更新 | OS レベルでソフトウェアの延期を制限します。これにより、指定された日数の間、エンドユーザーから iOS 更新を非表示にすることができます。 |
iOS 固有の制限事項
| 機能 | サポートするデバイス | 監視対象 |
|---|---|---|
| デバイス機能に関する制限事項 | ||
| カメラの使用を許可 | iOS 4、iOS 13 以降 | ✓ |
| FaceTime を許可 | iOS 4、iOS 13 以降 | ✓ |
| 画面キャプチャを許可 | ||
| 画面監視を許可 | iOS 9.3+ | ✓ |
| パスコードの変更を許可 | iOS 9 以降 | ✓ |
| バイオメトリック ID によるデバイスのロック解除を許可 | iOS 7 | |
| バイオメトリック ID の変更を許可 | iOS 8.3 以降 | ✓ |
| iMessage の使用を許可 | iOS 6 以降 | ✓ |
| アプリのインストールを許可 | iOS 4、iOS 13 以降 | ✓ |
| 代替マーケットプレイスからのアプリのインストールを許可 | iOS 17.4 | ✓ |
| ホーム画面で App Store を許可 | iOS 9 以降 | ✓ |
| アプリの削除を許可 | iOS 6 以降 | ✓ |
| アプリ内購入を許可 | ||
| アプリの自動ダウンロードを許可 | iOS 9 以降 | ✓ |
| アプリのセルラー データ使用量の変更を許可 | iOS 7+ | ✓ |
| 制限付きの広告トラッキングを強制 | iOS 7 | |
| ハンドオフを許可 | iOS 8 | |
| ローミング時の自動同期を許可 | ||
| 音声通話を許可 | ||
| Spotlight でのインターネット結果を許可 | iOS 8 以降 | ✓ |
| Siri を許可 | iOS 5 | |
| デバイスのロック中の Siri を許可 | iOS 5.1 | |
| Siri の不適切表現フィルターを有効にする | iOS 11 以降 | ✓ |
| ユーザーが生成したコンテンツを Siri に表示 | iOS 7+ | ✓ |
| プロファイルの手動インストールを許可 | iOS 6 以降 | ✓ |
| 制限事項の構成を許可 | iOS 8 以降 | ✓ |
| すべてのコンテンツと設定の消去を許可 | iOS 8 以降 | ✓ |
| デバイス名の変更を許可 | iOS 9 以降 | ✓ |
| 壁紙の変更を許可 | iOS 9 以降 | ✓ |
| アカウントの変更を許可 | iOS 7+ | ✓ |
| 最初の AirPlay ペアリング時にパスコードを要求 | iOS 7.1 | |
| ロック画面でウォレット通知を許可 | iOS 6 | |
| ロック画面にコントロール センターを表示 | iOS 7 | |
| ロック画面に通知センターを表示 | iOS 7 | |
| ロック画面に今日のビューを表示 | iOS 7 | |
| 管理対象外のドロップ先として AirDrop を適用 | iOS 9 | |
| Apple Watch ペアリングを許可 | iOS 9 以降 | ✓ |
| Apple Watch での手首検出を適用 | iOS 8.3 | |
| キーボード ショートカットを許可 | iOS 9 以降 | ✓ |
| 予測キーボードを許可 | iOS 8.1.3 以降 | ✓ |
| キーボードの自動修正を許可 | iOS 8.1.3 以降 | ✓ |
| キーボードのスペル チェックを許可 | iOS 8.1.3 以降 | ✓ |
| キーボードの定義検索を許可 | iOS 8.1.3 以降 | ✓ |
| Bluetooth 設定の変更を許可 | iOS 10+ | ✓ |
| 音声入力を許可 | iOS 10.3 以降 | ✓ |
| システム アプリの削除を許可 | iOS 11 以降 | ✓ |
| VPN の手動作成を許可 | iOS 11 以降 | ✓ |
| 新しいデバイス近接設定を許可 | iOS 11 以降 | ✓ |
| パスワードの近接要求を許可 | iOS 12+ | ✓ |
| 日付と時刻の自動設定を強制 | iOS 12+ | ✓ |
| パスワードの自動入力を許可 | iOS 12 以降 | ✓ |
| Wi-Fi パスワードの共有を許可 | iOS 12+ | |
| パスワードを自動入力する前に認証を強制 | iOS 11 以降 | ✓ |
| セルラー プランの変更を許可 | iOS 11 以降 | ✓ |
| eSIM の変更を許可 | iOS 12.1 以降 | ✓ |
| パーソナル ホットスポットの変更を許可 | iOS 12.2+ | ✓ |
| Siri サーバ ログを許可 | iOS 12.2 | |
| Wi-Fi のオン/オフ切り替えを許可 | iOS 13 以降 | ✓ |
| QuickPath キーボードを許可 | iOS 13 以降 | ✓ |
| USB ドライブへのアクセスを許可 | iOS 13 以降 | ✓ |
| Wi-Fi を強制的にオンにする | iOS 13.1 以降 | ✓ |
| ネットワーク ドライブへのアクセスを許可 | iOS 13.1 以降 | ✓ |
| 廃止予定の TLS バージョンを許可 | iOS 13.4 | |
| 共有デバイスの一時セッションを許可 | iOS 13.4 | |
| アプリ クリップを許可 | iOS 14 以降 | ✓ |
| 自動ロック解除を許可 | iOS 14.5 | |
| iCloud プライベート リレーを許可 | iOS 15 以降 | ✓ |
| アプリケーションに関する制限事項 | ||
| YouTube の使用を許可 | iOS 5 以前 | |
| iTunes ミュージック ストアの使用を許可 | iOS 4、iOS 13 以降 | ✓ |
| iBookstore の使用を許可 | iOS 6 以降 | ✓ |
| ゲーム センターを許可 | iOS 6 以降 | ✓ |
| ゲーム センターを許可 | iOS 6 以降 | ✓ |
| マルチプレイヤー ゲームを許可 | iOS 4.1、iOS 13 以降 | ✓ |
| Game Center の友達の追加を許可 | iOS 4.2.1、iOS 13 以降 | ✓ |
| 「友達を探す」への変更を許可 | iOS 7+ | ✓ |
| Safari の使用を許可 | iOS 4、iOS 13 以降 | ✓ |
| ニュースを許可 | iOS 9 以降 | ✓ |
| ラジオサービスを許可 | iOS 9.3+ | ✓ |
| 音楽サービスを許可 | iOS 9 以降 | ✓ |
| ポッドキャストを許可 | iOS 8 以降 S | ✓ |
| オートフィルを有効化 | iOS 4、iOS 13 以降 | ✓ |
| 不正行為アラートを強制実行 | ||
| JavaScript を有効にする | ||
| ポップアップをブロック | ||
| Cookie を許可 | ||
| アプリを表示 | iOS 9.3+ | ✓ |
| アプリを非表示 | iOS 9.3+ | ✓ |
| 「デバイスを探す」を許可 | iOS 13 以降 | ✓ |
| 「友達を探す」を許可 | iOS 13 以降 | ✓ |
| iCloud に関する制限事項 | ||
| バックアップを許可 | iOS 5、iOS 13 以降 | ✓ |
| ファイルの同期を許可 | iOS 5、iOS 13 以降 | ✓ |
| キーチェーン同期を許可 | iOS 7、iOS 13 以降 | ✓ |
| 管理アプリをストア データに許可 | iOS 8 | |
| 企業ブックのバックアップを許可 | iOS 8 | |
| 企業ブックにメモとハイライト マークの同期を許可 | iOS 8 | |
| フォト ストリームを許可 | iOS 5 | |
| 共有フォト ストリームを許可 | iOS 6 | |
| iCloud フォト ライブラリを許可 | iOS 9 | |
| セキュリティとプライバシーに関する制限事項 | ||
| USB 制限モードを許可 | iOS 11.4.1 以降 | ✓ |
| ペアリングされていないデバイスでリカバリ モードを許可 | iOS 14.5 以降 | ✓ |
| ユーザーに管理外のエンタープライズ アプリの信頼を許可 | iOS 9 | |
| iTunes ストアのパスワード入力の強制 | iOS 5 | |
| 診断データの Apple への送信を許可 | iOS 5 | |
| オンデバイスの音声入力を強制 | iOS 14.5 | |
| オンデバイス翻訳を強制 | iOS 15 | |
| 信頼されていない TLS 証明書の受け入れを許可 | iOS 5 | |
| 無線 PKI 更新を許可 | iOS 7 | |
| 暗号化バックアップを強制 | ||
| コンフィギュレータ以外のホストとのペアリングを許可 | iOS 7+ | ✓ |
| 管理対象 Wi-Fi を要求 | iOS 10.3 以降 | ✓ |
| キーチェーンでの AirPrint 認証情報ストレージを許可 | iOS 11 以降 | ✓ |
| AirPrint による信頼できる TLS 証明書の使用を強制 | iOS 11 以降 | ✓ |
| AirPrint iBeacon 検出を許可 | iOS 11 以降 | ✓ |
| パーソナライズされた広告を許可 | iOS 14 以降 | ✓ |
| メール プライバシー保護を許可 | iOS 15.2 以降 | ✓ |
| データ漏洩対策に関する制限事項 | ||
| 管理対象の移動元から管理対象外の移動先へのドキュメント移動を許可 | iOS 7 | |
| 管理対象外の移動元から管理対象の移動先へのドキュメント移動を許可 | iOS 7 | |
| AirDrop を許可 | iOS 7+ | ✓ |
| AirPrint を許可 | iOS 11 以降 | ✓ |
| NFC を許可 | iOS 14.2 以降 | ✓ |
| 管理対象アプリが管理対象外の連絡先アカウントに連絡先を書き込むのを許可 | iOS 12 | |
| 管理対象外アプリが管理対象の連絡先アカウントからの連絡先の読み取るのを許可 | iOS 12 | |
| 管理対象の貼り付けボードを要求 | iOS 15.0 | |
| メディア コンテンツに関する制限事項 | ||
| 評価リージョン | ||
| ムービー | ||
| テレビ番組 | ||
| アプリ | ||
| iBooks | iOS 6 | |
| 明示的な音楽とポッドキャストを許可 | iOS 4、iOS 13 以降 | ✓ |
| 教育に関する制限事項 | ||
| 管理対象クラスの自発的な画面監視を強制 | iOS 10.3 以降 | ✓ |
| Allow unprompted app and device lock in unmanaged classes | iOS 11 以降 | ✓ |
| Allow automatic joining of unmanaged classes | iOS 11 以降 | ✓ |
| 管理対象外のクラスからの退出権限を要求するように強制 | iOS 11.3 以降 | ✓ |
| OS の更新に関する制限事項 | ||
| OS 更新を延期 (日数) | iOS 11.3 以降 | ✓ |
| セキュリティ対応の迅速なインストールを許可 | iOS 16.0 以降 | ✓ |
| セキュリティ対応の迅速な削除を許可 | iOS 16.0 以降 | ✓ |
iOS の SCEP/資格情報プロファイル
貴社の Eメール、Wi-Fi、VPN その他のネットワーク接続を複雑なパスコード要請やその他の制限で保護しても、総当り攻撃、辞書攻撃や従業員のエラーなど、インフラの弱点をすべてカバーすることはできません。セキュリティ レベルを上げ、企業アセットをより強固に保護するには、電子証明書の導入が効果的です。
証明書を割り当てるには、まず認証局を定義します。次に、資格情報 ペイロードと、貴社の Exchange ActiveSync (EAS)、Wi-Fi あるいは VPN ペイロードを構成します。これらのペイロードには、資格情報ペイロードで定義された認証局を関連付けるための設定項目があります。
証明書をデバイスにプッシュするには、EAS 設定、Wi-Fi 設定、または VPN 設定に対して作成したプロファイルの一部として、資格情報 ペイロードまたは SCEP ペイロードを構成する必要があります。以下の手順に従って、証明書を有効にしたプロファイルを作成します。
-
リソース > プロファイルとベースライン > プロファイル > 追加 の順に進み、プラットフォームのリストから iOS を選択します。
-
プロファイルの全般設定を構成します。
-
構成するペイロードとして、EAS、Wi-Fi、または VPN を選択します。選択したペイロードに応じて、必要な情報を指定します。
-
資格情報 (または SCEP) ペイロードを選択します。
![[SCEP プロファイル設定] 画面を表示する UEM Console](Images/Images-scep.png)
-
資格情報ソース メニューから一つ選択します。
a. 証明書の [アップロード] を選択し、[証明書名] を入力します。
b. [定義済み認証局] を選択し、適切な [認証局] と [証明書テンプレート] を選択します。
c. [ユーザー証明書] と [S/MIME] 証明書の対象ユーザーを選択します。
d. [生成された資格情報] を選択し、証明書の使用方法に応じて適切な [キー使用法] を選択します。「キーの使用方法」 のオプションは、認証、署名、および 暗号化 です。
-
EAS ペイロード、Wi-Fi ペイロード、または VPN ペイロードに戻ります。
-
ペイロードで ID 証明書を指定します。
a. EAS – 「ログイン情報」 の [ペイロード証明書] を選択します。
b. Wi-Fi – 互換性のある [セキュリティ タイプ](「WEP エンタープライズ」、「WPA/WPA2 エンタープライズ」、または「任意(エンタープライズ)」)を選択し、[認証] で [ID 証明書] を選択します。
c. VPN – [接続タイプ] で互換性のある接続タイプ(例:「CISCO AnyConnect」、「F5 SSL」)を選択し、「ユーザー認証」 ドロップダウンリストで [証明書] を選択します。次に、ID 証明書 を選択します。
-
資格情報 (または SCEP) ペイロードに戻ります。
-
その他の設定を指定し、保存して公開 を選択します。
iOS のシングル アプリ モード プロファイル
シングル アプリ モードを使用してデバイスをプロビジョニングし、指定した 1 つのアプリのみにアクセスできるようにします。シングル アプリ モードでは、ホーム ボタンが非アクティブ化され、ユーザーが手動で再起動しようとすると、デバイスの起動時に指定されたアプリが直接開かれます。
この機能により、指定されたアプリケーション以外は使用できなくなり、意図されていない他のアプリやデバイス設定、インターネット ブラウザへのアクセスもブロックされます。この機能は、レストランや小売店で役立ちます。また、教育機関で使用する場合、1 つのゲーム、eBook、または実習だけしか利用できないデバイスを学生に配布できます。
監視モードの iOS 7 以降のデバイス。(高度なオプションおよび自動シングル アプリ モードには、iOS 7 以降が必要です。)
![[シングル アプリ モード プロファイル設定] 画面を表示する UEM Console](Images/Images-singleapp.png)
「シングル アプリ モード」 を構成します。
| 設定 | 説明 |
|---|---|
| フィルタタイプ | シングル アプリ モードにデバイスをロックする または 自動シングル アプリ モード使用の許可済みアプリ のいずれかのフィルタを選択します。 シングル アプリ モードにデバイスをロックする – このペイロードが設定されたプロファイルが削除されない限り、デバイスはパブリック、社内、購入済み、またはネイティブのいずれかの単一アプリケーションのみを使用するようにロックされます。ホーム ボタンが非アクティブ化され、スリープ状態またはリブートからは必ず、指定したアプリケーションに戻ります。 自動シングル アプリ モード使用の許可済みアプリ – 許可されたアプリケーションで、デバイス上でいつシングル アプリ モードの有効および無効を切り替えるかを管理するイベントに基づいて、シングル アプリ モードをトリガできるようにします。このアクションは、アプリの開発者の決定に基づき、アプリの内部で実行されます。 |
| アプリケーション バンドル ID | バンドル ID を入力するか、ドロップダウン メニューから選択します。バンドル ID は、アプリケーションが UEM コンソールにアップロードされた後に、ドロップダウン メニューに表示されます。たとえば、com.air-watch.secure.browser などです。 |
| オプション設定 | 監視対象の iOS 7 以降のデバイスのオプション設定を選択します。 |
プロファイルを保存すると、このプロファイルでプロビジョニングされた各デバイスはシングル アプリ モードになります。
シングル アプリ モードで実行されているデバイスを再起動する
シングル アプリ モードで実行されているデバイスを再起動するには、ハード リセットの手順を使用します。
-
ホーム ボタンを押しながら、スリープ/起動ボタンを同時に押します。
-
デバイスがシャットダウンされて再起動が始まるまで、両方のボタンを押したままにします。
-
銀色の Apple ロゴが表示されたら、ボタンを放します。デバイスに Apple ロゴが表示されてから、メイン画面が読み込まれるまでにしばらく時間がかかることがあります。
iOS デバイスのシングル アプリ モードを終了する
シングル アプリ モードが有効になっている場合、エンドユーザーがアプリケーションを終了することはできません。Workspace ONE UEM では、シングル アプリ モードを終了する方法は、有効にしているシングル アプリ モードの種類に応じて 2 とおりあります。
指定されたアプリケーションを新しいバージョンまたはリリースに更新する必要が生じた場合、シングル アプリ モードを一時的に非アクティブ化できます。次の手順を実行してシングル アプリ モードを非アクティブ化し、新しいバージョンのアプリケーションをインストールしてから、シングル アプリ モードを再度有効にします。
手順
- [リソース] > [プロファイルとベースライン] > [プロファイル] の順に進みます。シングル アプリ モード プロファイルの行で、[デバイス表示] アイコンを選択します。
- 設定を削除するデバイスの プロファイル削除 を選択します。
- アプリケーションを目的のバージョンに更新します。
- 「シングル アプリ モードを構成する」の手順を実行し、プロファイルを再インストールします
デバイス管理者がデバイス上でシングル アプリ モードを終了できるようにする
デバイス管理者がデバイス上でパスコードを使用してシングル アプリ モードを終了できるよう設定できます。この方法を使用できるのは、シングル アプリ モード プロファイルにおいて、自動シングル アプリ モードをフィルタ タイプとして有効にしている場合だけです。
手順
- [リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進みます。Apple iOS を選択します。
- プロファイルの全般設定を構成します。
- シングル アプリ モード ペイロードを選択します。
- 自動シングル アプリ モード用の許可済みのアプリ が選択されている場合は、許可済みのアプリ での自動シングル アプリ モードをサポートするアプリケーションのバンドル ID を入力します。
- 保存して公開 を選択し、このプロファイルを適用先デバイスにプッシュします。
- パブリック アプリの場合は、[リソース] > [アプリ] > [ネイティブ] > [パブリック] の順に進み、VPP で管理されているアプリの場合は、[リソース] > [アプリ] > [ネイティブ] > [購入済み] の順に進みます。
- 自動シングル アプリ モードのサポートされているアプリケーションを特定して、[割り当てルールを編集] を選択します。「アプリケーションの編集」 ウィンドウが開きます。
- [割り当て] タブを選択し、[ポリシー] セクションを展開表示します。
- [アプリケーション構成を送信] で [有効] を選択し、[構成キー] に AdminPasscode と入力し、[値のタイプ] で [文字列] を選択します。
- 構成値に、シングル アプリ モードを終了するためにデバイス管理者が使用するパスコードを入力します。この値に使用できる文字は英数字だけです。追加 を選択します。
- 保存して公開 を選択し、アプリケーション構成をプッシュします。
iOS のシングル サインオン プロファイル
企業アプリのシングル サインオンを有効にすると、アプリごとに認証が要求されなくなり、シームレスにアクセスできるようになります。このプロファイルをプッシュすると、デバイスにパスワードを保存するのではなく、Kerberos 認証を使用してエンドユーザーを認証できます。シングル サインオン設定の詳細は、「VMware Workspace ONE UEM Mobile Application Management Guide」 を参照してください。
![[シングル サインオン プロファイル設定] 画面を表示する UEM Console](Images/Images-SSO.png)
-
接続情報 を入力します。
設定 説明 アカウント名 デバイス上に表示される名前を入力します。 Kerberos プリンシパル名 Kerberos プリンシパル名を入力します。 レルム Kerberos ドメインレルムを入力します。このパラメータは、すべて大文字にする必要があります。 更新証明書 iOS 8 以降のデバイスでは、ユーザーのシングル サインオン セッションの有効期限が切れたときに、ユーザーの操作なしで、自動的にユーザーを再認証するために使用する証明書を選択します。更新証明書 (例: .pfx)を、資格情報/SCEP ペイロードを使用して構成します。 -
[URL プレフィックス] を入力します。これは、このアカウントが HTTP 経由での Kerberos 認証を受ける場合に一致する必要があります。例:
http://sharepoint.acme.com.空白にしておくと、すべての HTTP および HTTPS の URL が対象となります。 -
アプリケーションバンドル ID を入力するか、ドロップダウン メニューから 1 つ選択します。バンドル ID は、アプリケーションが UEM コンソールにアップロードされた後に、このドロップダウン メニューに表示されます。たとえば、com.air-watch.secure.browser などです。指定したアプリケーションで、Kerberos 認証がサポートされている必要があります。
-
保存して公開 を選択します。
ウェブ ブラウザの場合、ペイロードで指定されたウェブ サイトにエンドユーザーがアクセスしようとすると、ドメイン アカウントのパスワードを入力するように求められます。その後は、そのエンドユーザーが、ペイロードで指定されたどのウェブ サイトにアクセスするときにも、資格情報を再度入力する必要はなくなります。
注:
- Kerberos 認証を使用する場合、(企業 Wi-Fi または VPN を使用して) デバイスが企業ネットワークに接続されている必要があります。
-
DNS サーバには、Kerberos サービス (KDC サーバ) のレコードが必要です。
-
モバイル デバイスおよびウェブ サイトの両方のアプリケーションで、Kerberos/ネゴシエート認証がサポートされている必要があります。
iOS のセットアップ アシスタント プロファイルをスキップする
セットアップ アシスタントのプロファイルを使用して、OS 更新後にデバイス上のセットアップ アシスタント画面をスキップします。このプロファイルは、iOS 14、iPadOS 14 以降のにのみ適用されます。
![[セットアップ アシスタント プロファイルのスキップ設定] 画面を表示する UEM Console](Images/Images-Skipsetup.png)
以下を含むセットアップ アシスタント プロファイルのスキップ設定を構成します。
| 設定 | 説明 |
|---|---|
| セットアップアシスタント | OS 更新後にすべての [セットアップ アシスタント] 画面をスキップするか、以下のリストから選択した画面をスキップします。 注:既定では、すべての画面をスキップするオプションが選択されています。ユーザーが一部の画面をスキップするオプションを選択すると、残りのテキスト ボックスが編集可能になります。 |
| Android から移動する | [リストア] ペインがスキップされない場合、iOS の [リストア] ペインの [Android から移動する] オプションがスキップされます。 |
| 外観の選択 | [外観の選択] 画面をスキップします。 |
| Apple ID セットアップ | Apple ID のセットアップをスキップします。 |
| アプリストア | セットアップ中に [App Store] 画面をスキップします。 |
| 緊急 SOS | セットアップ中に [緊急 SOS] 画面をスキップします。 |
| バイオメトリック ID | バイオメトリックのセットアップをスキップします。デバイス間移行 |
| デバイス間移行 | [デバイス間移行] ペインをスキップします。 |
| 診断 | [アプリ分析] ペインをスキップします。 |
| ディスプレイ調整 | [ディスプレイ調整] のセットアップをスキップします。 |
| ホーム ボタン | iPhone 7、iPhone 7 Plus、iPhone 8、iPhone 8 Plus、および iPhone SE の新しいホーム ボタンの紹介画面をスキップします。 |
| iMessage と FaceTime | iOS の [iMessage と FaceTime] 画面をスキップします。 |
| 位置情報サービス | 位置情報サービスをスキップします。 |
| パスコード | [パスコード] ペインをスキップします。 |
| 支払い | Apple Pay のセットアップをスキップします。 |
| プライバシー ポリシー | [プライバシー] ペインをスキップします。 |
| 復元 | バックアップからのリストアを非アクティブ化します。 |
| 復元が完了しました | [復元が完了しました] ペインをスキップします。 |
| スクリーン タイム | [スクリーン タイム] ペインをスキップします。 |
| セルラー プラン追加 | [セルラー プラン追加] ペインをスキップします。 |
| Siri | Siri をスキップします。 |
| ソフトウェア アップデート | iOS の必須ソフトウェアのアップデートに関する画面をスキップします。 |
| 使用条件 | 使用条件を省略します。 |
| 敬称 | セットアップ ウィザード中の敬称を省略します。 |
| 更新が完了しました | [ソフトウェアの更新が完了しました] ペインをスキップします。 |
| Apple Watch の移行 | Watch の移行に関する画面をスキップします。 |
| ようこそ | [使用開始] ペインをスキップします。 |
| ズーム | ズームのセットアップをスキップします。 |
iOS の SSO 拡張機能プロファイル
Kerberos 拡張機能を使用したシングル サインオン (SSO) を実行するようにデバイス上のアプリケーションを構成するには、SSO 拡張機能プロファイルを構成します。SSO 拡張機能プロファイルを使用すると、ユーザーが特定の URL にアクセスするためにユーザー名とパスワードを入力する必要がなくなります。このプロファイルは、iOS 13 以降のデバイスにのみ適用されます。
![[SSO 拡張機能プロファイル設定] 画面を表示する UEM Console](Images/Images-ssoextn.png)
以下を含む SSO 拡張機能設定を構成します。
| 設定 | 説明 |
|---|---|
| 機能拡張タイプ | アプリケーションの SSO 拡張機能のタイプを選択します。[一般] を選択した場合は、指定した URL に対して SSO を実行するアプリケーション拡張機能のバンドル ID を、拡張機能識別子 フィールドに入力します。[Kerberos] を選択した場合は、Active Directory レルムおよびドメインを入力します。 |
| タイプ | 拡張機能タイプとして、[資格情報] または [リダイレクト] を選択します。資格情報の拡張機能は、チャレンジ/応答認証に使用します。リダイレクトの拡張機能では、OpenID Connect、OAuth、および SAML 認証を使用できます。 |
| チーム ID | 指定した URL に対して SSO を実行するアプリケーション拡張機能のチーム ID を入力します。 |
| URL | アプリケーション拡張機能が SSO を実行する ID プロバイダの URL プレフィックスを 1 つ以上入力します。 |
| 追加設定 | ExtensionData ノードに追加するプロファイルの追加設定を、XML コードで入力します。 |
| Active Directory レルム | このオプションは、拡張機能タイプとして [Kerberos] を選択した場合にのみ表示されます。Kerberos レルムの名前を入力します。 |
| ドメイン | アプリケーション拡張機能を通じて認証できるホスト名またはドメイン名を入力します。 |
| サイト自動検出を使用 | Kerberos 拡張機能が LDAP および DNS を自動的に使用して Active Directory サイト名を特定するオプションを有効にします。 |
| 自動ログインを許可 | パスワードをキーチェーンに保存することを許可するオプションを有効にします。 |
| ユーザーの Touch ID またはパスワードが必要 | キーチェーン エントリにアクセスするための Touch ID、FaceID、またはパスコードをユーザーが入力できるようにするオプションを有効にします。 |
| 証明書 | 同じ MDM プロファイルにあるデバイスにプッシュする証明書を選択します。 |
| 許可済みのバンドル ID | Kerberos チケット保証チケット (TGT) へのアクセスを許可するアプリケーション バンドル ID のリストを入力します。 |
iOS の定期配信カレンダー プロファイル
このペイロードを構成することにより、macOS ネイティブのカレンダー アプリを使用して iOS デバイスにカレンダー定期配信をプッシュできます。
![[定期配信カレンダー プロファイル設定] 画面を表示する UEM Console](Images/Images-calendar.png)
カレンダー設定を構成します。
| 設定 | 説明 |
|---|---|
| 説明 | 定期配信カレンダーの簡単な説明を入力します。 |
| URL | 定期受信を行うカレンダーの URL を入力します。 |
| ユーザー名 | 認証に使用するエンドユーザーのパスワードを入力します。 |
| パスワード | 認証に使用するエンドユーザーのパスワードを入力します。 |
| SSL 使用 | SSL を使用してすべてのトラフィックを送信する場合は、チェックを入れます。 |
iOS の仮想プライベート ネットワーク (VPN) プロファイル
バーチャル プライベート ネットワーク (VPN) により、安全で暗号化されたトンネルを使用し、デバイスから社内リソースにアクセスすることができます。VPN プロファイルを作成した場合、各デバイスはオンサイト ネットワーク経由で接続しているかのように機能します。VPN プロファイルを構成することで、エンド ユーザーは、E メール、ファイル、およびコンテンツにシームレスにアクセスできます。
設定は、選択した 接続タイプ によって異なる場合があります。Forcepoint コンテンツ フィルタリングの使用の詳細については、「Forcepoint コンテンツ フィルタ プロファイルを作成する」を参照してください。
![[通知プロファイル設定] 画面を表示する UEM Console](Images/Images-vpn.png)
以下を含む通知プロファイル設定を構成します。
| 設定 | 説明 |
|---|---|
| 接続名 | デバイス上に表示する接続の名前を入力します。 |
| 接続タイプ | ドロップダウン メニューを使用してネットワークの接続方法を選択します。 |
| サーバ | 接続に使用するサーバのホスト名または IP アドレスを入力します。 |
| アカウント | VPN アカウントの名前を入力します。 |
| すべてのトラフィックを送信 | すべてのトラフィックが指定したネットワークを経由することを強制します。 |
| アイドル状態で切断 | 一定の時間が経過したら、VPN が自動的に切断されるようにします。この値のサポートは、VPN プロバイダによって異なります。 |
| 自動接続 | VPN で、次のドメインに自動接続するにはこのオプションを選択します。このオプションは、アプリベース VPN 規則 が選択されている場合に表示されます。 Safari ドメイン メール ドメイン 連絡先ドメイン カレンダー ドメイン |
| プロバイダ タイプ | VPN サービスのタイプを選択します。VPN サービス タイプがアプリプロキシの場合、VPN サービスはアプリケーション レベルでトラフィックをトンネリングします。これがパケット トンネルの場合、VPN サービスは IP レイヤーでトラフィックをトンネリングします。 |
| アプリベース VPN 規則 | デバイスに対してアプリベース VPN を有効にします。詳細は、このガイドの「iOS デバイスにおけるアプリ ベース VPN の構成」を参照してください |
| 認証 | エンド ユーザーの認証に使用する方法を選択します。表示される指示に従って、VPN アクセスのためのエンドユーザーの認証に使用する ID 証明書をアップロードするか、パスワード 情報を入力するか、共有秘密 キーを指定します。 |
| オンデマンド VPN を有効化 | このオプションを有効した場合、証明書を使用して VPN 接続を自動的に確立させることができます。詳細は、iOS デバイスのオンデマンド VPN を構成する を参照してください。 |
| プロキシ | この VPN 接続で構成するプロキシ タイプとして、手動 または 自動 のいずれかを選択します。 |
| サーバ | プロキシ サーバの URL を入力します。 |
| ポート | プロキシとの通信に使用するポートを入力します。 |
| ユーザー名 | プロキシ サーバへの接続に使用するユーザー名を入力します。 |
| パスワード | 認証に使用するパスワードを入力します。 |
| ベンダーキー | ベンダー構成辞書にアクセスするためのカスタム キーを作成するにはこのオプションを選択します。 |
| キー | ベンダーから提供された固有のキーを入力します。 |
| 付加価値 | 各キーの VPN 値を入力します。 |
| ローカル ネットワークを除外 | すべてのネットワークを含めるオプションを有効にして、ネットワーク トラフィックを VPN 外でルーティングできるようにします。 |
| すべてのネットワークを含める | すべてのネットワークを含めるオプションを有効にして、ネットワーク トラフィックを VPN 経由でルーティングできるようにします。 |
| ルートの適用 | このオプションを有効にすると、デフォルト以外のすべての VPN ルートがローカルで定義されたルールよりも優先されます。[すべてのネットワークを含める] を有効にしている場合、この設定は無視されます。 |
| 最大転送単位 | IKEv2 VPN インターフェイスを介して送信される各パケットの最大サイズをバイト単位で指定します。 |
| SMB ドメイン | この VPN 接続を介してアクセス可能な SMB ドメインの配列。 |
| オンデマンド オーバーライドを防止 | ユーザーが [設定] で VPN オンデマンドを切り替えないようにするには、このオプションを有効にします。 |
注:タイプとして IKEv2 を選択した場合、VPN 接続で最小および最大の TLS バージョンを入力する権限があります。ただし、TLS バージョンを入力する前に [EAP を有効にする] チェック ボックスを有効にします。
プロファイルを保存すると、エンド ユーザーは許可されたサイトにアクセスできます。
iOS の VPN オンデマンド プロファイル
オンデマンド VPN は、特定のドメインに対して VPN 接続を自動的に確立するプロセスです。セキュリティを強化しより使いやすくするために、オンデマンド VPN では、認証にシンプルなパスコードではなく、証明書を使用します。
証明書を配布するには、証明書認証局および証明書テンプレートが Workspace ONE UEM で適切に構成されていることを確認します。選択したサードパーティの VPN アプリケーションをエンドユーザーが使用できるようにします。そのためには、そのアプリケーションをデバイスにプッシュするか、企業 App Catalog で推奨します。
-
ベース VPN プロファイルを適宜構成します。
-
ユーザー認証 ドロップダウン メニューから 証明書 を選択します。資格情報 ペイロードを選択します。
a. [資格情報ソース] ドロップダウン メニューから、[定義済み認証局] を選択します。
b. それぞれのドロップダウン メニューで [認証局] および [証明書テンプレート] を選択します。
c. VPN ペイロードに戻ります。
-
証明書による認証を VPN プロファイルに適用する場合は、資格情報 ペイロードの指定に従って、ID 証明書 を選択します。
-
[オンデマンド VPN を有効化] チェックボックスを選択します。
-
指定されたいずれかのドメインにエンドユーザーがアクセスするときに、VPN 接続を有効にするには、新しいオンデマンドキーを使用 (iOS 7) を構成します。
設定 説明 新しいオンデマンドキーを使用(iOS 7 以降) よりきめ細かい VPN ルールの指定が可能な、新しい構文を使用するには、これを選択します。 オンデマンド ルール/アクション 定義された条件に基づき、VPN 接続に適用される VPN の動作を定義するアクションを選択します。条件を満たす場合、指定したアクションが実行されます。
接続を評価: ネットワーク設定および各接続の特性に応じて、VPN トンネル接続を自動的に確立します。ウェブ サイトへの VPN 接続のたびに評価が行われます。
接続: ネットワークの条件を満たしている場合、次回のネットワーク接続試行時に VPN トンネル接続を自動的に確立します。
切断: ネットワークの条件を満たしている場合、VPN トンネル接続を自動的に非アクティブ化し、オンデマンドでの再接続を行いません。
無視する: ネットワークの条件を満たしている場合、既存の VPN 接続はそのままですが、オンデマンドでの再接続は行いません。アクション パラメータ DNS サーバでドメインが解決できない、別のサーバにリダイレクトされて応答が返される、または応答が返されない (タイムアウト) など、ドメイン名の解決が失敗した場合に VPN 接続の試行をトリガするために、指定したドメインの アクション パラメータ を構成します。
[接続を評価] を選択した場合は、次のオプションが表示されます。
[必要であれば接続する]/[決して接続しない] を選択し、追加情報を入力します。
ドメイン – この評価が適用されるドメインを入力します。
URL プローブ – GET 要求を使用してプローブを実行する HTTP または HTTPS (推奨) の URL を入力します。この URL のホスト名が解決できない場合、サーバに到達不可能な場合、または 200 HTTP ステータスコードが返されてサーバが応答しない場合は、VPN 接続が確立されます。
DNS サーバ – 指定したドメインの解決に使用する DNS サーバの IP アドレスのアレイを入力します。これらのサーバは、デバイスの現在のネットワーク構成に含まれているものである必要はありません。これらの DNS サーバに到達不可能な場合、VPN 接続が確立されます。これらの DNS サーバは、社内 DNS サーバまたは信頼されている外部の DNS サーバである必要があります。(オプション)パラメータの条件/値 インターフェース一致 – デバイスの現在のネットワーク アダプタに対応する接続のタイプを選択します。使用できる値は、任意、Wi-Fi、イーサネット、および セルラー です。
URL プローブ – 条件を確認する URL を入力します。条件を満たしている場合、200 HTTP ステータスコードが返されます。このフォーマットには、プロトコル (https) が含まれます。
SSID 一致 – デバイスの現在のネットワーク ID を入力します。条件を満たすには、アレイの中の少なくとも 1 つの値と一致する必要があります。- 必要に応じて、複数の SSID を入力するには、+ アイコンを使用します。
DNS ドメイン一致 – デバイスの現在のネットワーク検索ドメインを入力します。ワイルドカードがサポートされています (*.example.com)。
DNS アドレス一致 – デバイスの現在の DNS サーバの IP アドレスと一致する DNS アドレスを入力します。条件を満たすには、デバイスで指定されているすべての IP アドレスが入力されている必要があります。単一のワイルドカードの使用がサポートされています (17.*)。 -
または、レガシーの オンデマンド VPN を選択します。
設定 説明 ドメインまたはホストが一致する オンデマンド アクション
[必要に応じて確立] または [常に確立] – 指定されたページに直接到達できない場合にのみ、VPN 接続を確立します。
確立不可– 指定されたドメインに該当するアドレスについては、VPN 接続を確立しません。ただし、VPN 接続が既にアクティブな場合は、それを使用できます。 -
必要に応じて、追加の ルール および アクション パラメータ を追加するには、+ アイコンを使用します。
-
プロキシ タイプを選択します。
設定 説明 プロキシ この VPN 接続で構成するプロキシ タイプとして、手動 または 自動 のいずれかを選択します。 サーバ プロキシ サーバの URL を入力します。 ポート プロキシとの通信に使用するポートを入力します。 ユーザー名 プロキシ サーバへの接続に使用するユーザー名を入力します。 パスワード 認証に使用するパスワードを入力します。 -
ベンダー構成 を構成します。この値は、VPN プロバイダごとに異なります。
設定 説明 ベンダーキー ベンダー構成辞書に追加するカスタム キーを作成するにはこのオプションを選択します。 キー ベンダーから提供された固有のキーを入力します。 付加価値 各キーの VPN 値を入力します。 -
保存して公開 を選択します。プロファイルがユーザーのデバイスにインストールされると、SharePoint など、VPN 接続が要求されるサイトにユーザーがアクセスするときに、VPN 接続のプロンプトが自動的に表示されるようになります。
iOS の Web クリップ プロファイル
Web クリップとは、デバイスにプッシュできる Web ブックマークであり、デバイスのスプリングボードまたはアプリ カタログにアイコンとして表示されます。
![[Web クリップ プロファイル設定] 画面を表示する UEM Console](Images/Images-webclips.png)
次の Web クリップ設定を構成します。
| 設定 | 説明 |
|---|---|
| ラベル | エンド ユーザーのデバイス上で Web クリップ アイコンの下に表示されるテキストを入力します。例: 「AirWatch セルフサービス ポータル。」 |
| URL | Web クリップの URL を入力します。Workspace ONE UEM ページのいくつかの例を示します。 SSP の場合:https://{Airwatch Environment}/mydevice/ アプリケーション カタログの場合:https://{Environment}/Catalog/ViewCatalog/{SecureDeviceUdid}/{DevicePlatform} ブック カタログの場合:https://{Environment}/Catalog/BookCatalog?uid={DeviceUUID} |
| 削除可能 | デバイス ユーザーが長押し機能を使用して、Web クリップをデバイスから削除できるようにします。 |
| アイコン | Web クリップのアイコンとしてアップロードするには、このオプションを選択します。アプリに対するカスタム アイコンとして、.gif ファイル、.jpg ファイル、または .png ファイルをアップロードします。各辺が 400 ピクセル未満で未圧縮状態のサイズが 1 MB 以下の、正方形の画像の使用を推奨します。画像の収縮率は自動で調整され、トリミングされ、必要に応じて .png 形式に変換されます。Web クリップ アイコンは、Retina ディスプレイのデバイスでは 104 x 104 ピクセル、その他のデバイスでは 57 x 57 ピクセルで表示されます。 |
| 合成済みアイコン | 視覚効果なしでアイコンを表示するには、このオプションを選択します。 |
| 全画面表示 | ウェブページを全画面モードで開くには、このオプションを選択します。 |
iOS の Web コンテンツ フィルタ プロファイル
デバイスに適用するウェブ コンテンツ フィルタ ペイロードを構成することにより、エンドユーザーがウェブ ブラウザを使用して特定の URL にアクセスすることを許可または禁止できます。すべての URL が http:// または https:// で始まる必要があります。必要に応じて、同じ URL の HTTP バージョンと HTTPS バージョンの両方のエントリを別々に作成する必要があります。ウェブ コンテンツ フィルタ ペイロードを使用するには、iOS 7 以降の監視モードデバイスが必要です。
![[WEB コンテンツ フィルタ プロファイル設定] 画面を表示する UEM Console](Images/Images-contentfilter.png)
以下を含む Web コンテンツ フィルタ設定を構成します。
フィルタタイプ ドロップダウン メニューを選択します。
-
ビルトイン: Web サイトを許可
-
ビルトイン: Web サイトをブロック
-
プラグイン
ビルトイン: Web サイトを許可
エンド ユーザーがリストで指定されている特定の Web サイトのみにアクセスできるように許可し、他のすべての Web サイトへのアクセスを禁止するには、URL の許可リストを構成します。
-
フィルタ タイプ ドロップダウン メニューで ビルトイン: ウェブ サイトを許可 を選択し、どのプラグインへのアクセスを可能にするかを選択します。
-
追加 を選択し、許可するウェブ サイトのリストを構成します。
設定 説明 許可された URL 許可するサイトの URL。 タイトル ブックマークのタイトル。 ブックマーク パス Safari でブックマークが追加されるフォルダ。
ビルトイン: Web サイトをブロック
指定されている Web サイトにユーザーがアクセスできないように禁止するための、URL の拒否リストを構成します。リストに載っていないすべてのウェブサイトには、エンドユーザーはアクセスできます。また、例外が許可されていない場合、不適切な言葉を含むウェブ サイトは自動的にフィルタされます。
フィルタ タイプ ドロップダウン メニューで[ビルトイン: ウェブ サイトをブロック] ] を選択して、拒否する Web サイトを構成します。
| 設定 | 説明 |
|---|---|
| 拒否済みの URL | [拒否 URL] を入力します。それぞれを改行、スペースまたはコンマで区切ります。 |
| 不適切なウェブ サイトを自動でフィルタ | 成人向けウェブ サイトにフィルタを適用するにはこれを選択します。 |
| ブックマーク パス | Safari でブックマークが追加されるフォルダのパスを入力します。 |
| 許可された URL | 自動フィルタの例外として許可するウェブ サイトを入力します。 |
プラグイン
このペイロードにより、サードパーティ製のウェブ コンテンツ フィルタリングのプラグインを Safari に統合することができます。
特に、Forcepoint または Blue Coat のコンテンツ フィルタを統合したい場合は、このガイドの対応するセクションを参照してください。
-
フィルタタイプ ドロップダウン メニューで プラグイン を選択して、どのプラグインへのアクセスを可能にするかを選択します。このペイロードが機能するためには、Webkit またはソケット トラフィックのニーズを有効にする必要があります。
設定 説明 フィルタ名 デバイス上に表示するフィルタの名前を入力します。 識別子 フィルタリング サービスを提供するプラグインの識別子のバンドル ID を入力します。 サービス アドレス サービスのホスト名 IP アドレスまたは URL を入力します。 組織 サードパーティのプラグインに渡される組織名の文字列を選択します。 WebKit トラフィック フィルタ Webkit トラフィックをフィルタするかどうかを指定するには、これを選択します。 ソケット トラフィック フィルタ Webkit トラフィックをフィルタするかどうかを指定するには、これを選択します。 -
認証 情報を構成します。
設定 説明 ユーザー名 ユーザー アカウント レコードから直接取得される参照値を使用します。Workspace ONE UEM ユーザー アカウントに対して E メール アドレスおよび E メールのユーザー名が定義されている必要があります。 パスワード このアカウントのパスワードを入力します。 ペイロード証明書 認証証明書を選択します。 -
サードパーティのフィルタリング サービスで要求されるキーが含まれている、カスタムデータ を追加します。この情報はベンダー構成辞書に追加されます。
-
保存して公開 を選択します。
iOS の Wi-Fi プロファイル
Wi-Fi プロファイルを構成し、デバイスから社内ネットワークに接続します。非公開/暗号化/パスワード保護されている場合でも接続できます。このペイロードは、エンドユーザーが出張先で独自のワイヤレス ネットワークを使用する場合や、オフィス内でデバイスをオンサイトのワイヤレス ネットワークに自動的に接続したい場合に便利です。
![[Wi-Fi プロファイル設定] 画面を表示する UEM Console](Images/Images-wifi.png)
-
次を含む Wi-Fi の設定を構成します。
設定 説明 サービスセット識別子 (SSID) デバイスが接続するネットワークの名前を入力します。 非公開のネットワーク オープンまたはブロードキャストになっていないネットワークへの接続を入力します。 自動参加 デバイスの起動時に自動的にネットワークに接続するかどうかを決定します。デバイスが再起動されるか、手動で別の接続が選択されない限り、デバイスでアクティブな接続が維持されます。 IPv6 を有効にする IPv6 を無効にするには、このオプションの選択を解除します セキュリティ タイプ 使用するアクセス プロトコルの種類を選択します。パスワード を入力するか、Wi-Fi ネットワークに適用する プロトコル を選択します。 プロトコル ネットワーク アクセスのプロトコルを選択します。 このオプションは、[WiFi] と [セキュリティ タイプ] が [エンタープライズ] の選択肢のいずれかになっている場合に表示されます。このオプションは、[イーサネット] が選択されている場合にも表示されます。
Wi-Fi Hotspot 2.0 Wi-Fi Hotspot 2.0 機能を有効にします。この機能は、iOS 7 以降のデバイスでのみ使用できます。Hotspot 2.0 は、パブリック アクセス Wi-Fi のタイプの一つで、デバイスが最適なアクセス ポイントをシームレスに特定して接続できるようにします。Hotspot 2.0 が正常に機能するには、キャリアプランでサポートされている必要があります。 HESSID HESSID は Wi-Fi ホットスポット 2.0 ネゴシエーションに使用されます ドメイン名 Passpoint サービス プロバイダのドメイン名を入力します。 ローミング パートナー Passpoint ネットワークへの接続を許可する パートナーの Passpoint ネットワークへのローミングを可能にします。 表示オペレータ名 Wi-Fi ホットスポット サービス プロバイダの名前を入力します。 ローミング コンソーシアム組織 ID ローミング コンソーシアム組織の識別子を入力します。 ネットワーク アクセス ID ネットワーク アクセス ID のレルム名を入力します。 MCC/MNC モバイル国番号/モバイル ネットワーク構成を、6 桁の数字で入力します。 認証 プロトコルごとに異なる認証設定を構成します。 ユーザー名 アカウントのユーザー名を入力します。 接続時に毎回入力するユーザー パスワード 接続中にパスワードを要求し、認証付きで送信します。 パスワード 接続用のパスワードを入力します。 ID 証明書 認証用の証明書を選択します。 外部 ID 外部認証の方法を選択します。 TLS 証明書が必要 EAP-TTLS、PEAP、EAP-FAST の 2 要素認証を許可するには、これを有効にします。EAP-TLS のゼロ要素認証を許可するには、[無効] を選択します。 TLS 最小バージョン 最小 TLS バージョン 1.0、1.1、および 1.2 を選択します。値が選択されていない場合、最小 TLS バージョンのデフォルトは 1.0 になります。
注:また最大の TLS バージョンは TLS、TTLS、 EAP-Fast、および PEAP プロトコル タイプに対してのみ構成できます。TLS 最大バージョン 最大 TLS バージョン 1.0、1.1、および 1.2 を選択します。値が選択されていない場合、最大 TLS バージョンの既定値は 1.2 になります。 信頼された証明書 Wi-Fi ネットワークの信頼されたサーバ証明書です。 信頼されたサーバ証明書名 信頼されたサーバ証明書名を入力します。 信頼性に関する例外の許可 エンドユーザーが信頼性に関する判断を下すことを許可します。 -
手動 または 自動 のプロキシ タイプについて、プロキシ 設定を構成します。
-
Cisco インフラストラクチャを使用している場合、QoS マーキング ポリシーを構成します (iOS 11 以降)。
設定 説明 Fastlane QoS マーキング 必要なマーキング設定を選択します。 QoS マーキングを有効にする このオプションを有効かした場合、データを優先的に割り当てたいアプリを選択できます。 Apple の通話サービスを許可 [Apple の通話サービスを許可] を選択すると、Apple Wi-Fi Calling が QoS 許可リストに追加されます。 QoS マーキングのアプリを許可 データを優先的に割り当てたいアプリケーションを検索して追加します。 -
ポータルをバイパスするには キャプティブ ポータル を構成します。
-
構成完了後、保存して公開 を選択し、プロファイルをデバイスにプッシュします。
