Active Directory (AD)、Lotus Domino、Novell e-Directory などディレクトリ サービスの既存のユーザーおよびグループを加入させることができます。このようなインフラストラクチャがない場合や、既存のインフラストラクチャと統合したくない場合は、Workspace ONE UEM でベーシック加入を実行する必要があります。
ベーシック加入は、ユーザーごとにユーザー アカウントおよびユーザー グループを手動で作成するプロセスです。組織で Workspace ONE UEM とディレクトリ サービスが統合されていない場合は、ベーシック加入を使用してユーザー アカウントを作成します。
作成する基本的なアカウントが少ない場合は、「ベーシック ユーザー アカウントを作成する」の説明に従って 1 つずつ作成します。
エンドユーザーの数が多いベーシック加入の場合、CSV (コンマ区切り値) 形式のテンプレート ファイルを入力し、アップロードすることで時間を短縮できます。これらのファイルには追加したすべてのユーザー情報が含まれ、バッチ インポート機能を使用して UEM に導入されます。詳細については、「ユーザーまたはデバイスをバッチ インポートする」のトピックを参照してください。
**注:**Workspace ONE UEM では、ベーシックのユーザーとディレクトリベースのユーザーの混在をサポートしていますが、通常、初回のユーザーおよびデバイスの加入を行う場合には、どちらか一方を使用します。
| 長所 | 短所 | |
|---|---|---|
| ベーシック加入 | -どの展開方法でも使用できる -テクニカル統合が不要 -企業インフラが不要 -複数の組織グループに加入できる |
-資格情報は Workspace ONE UEM 内のみに存在し、既存の企業資格情報と必ずしも合致しない -セキュリティの連携がない -シングル サインオンがサポートされていない -Workspace ONE UEM は、すべてのユーザー名とパスワードを保存します。 -Workspace ONE への直接加入のためには使用できません。 |
| ディレクトリ サービスによる加入 | -既存の企業資格情報を使用してエンド ユーザーを認証 -ディレクトリ システムからの変更を検出し、自動的に Workspace ONE UEM に同期します。たとえば、AD でユーザーのアクティベーションの解除を行うと、Workspace ONE UEM Console の対応するユーザー アカウントが非アクティブとマークされます。 -セキュアな方法で既存のディレクトリ サービスと統合できます。 -標準的な統合方法 -Workspace ONE への直接加入のために使用できます。 -AirWatch Cloud Connector を使用する SaaS 展開では、ファイアウォールの変更が不要で、Microsoft ADCS、SCEP、SMTP サーバなどの他のインフラストラクチャに対してセキュアな構成を提供できます。 |
-既存のディレクトリ サービス インフラストラクチャが必要です。 -SaaS 展開では、AirWatch Cloud Connector をファイアウォールの内側または DMZ 内にインストールする必要があるため、追加の構成作業が必要です。 |
ベーシック ユーザーとディレクトリ ユーザーにおける既存の長所と短所に加え、エンドユーザー加入処理を検討する際には、ほかにも検討すべき事項があります。
この質問の答えを考える際には、以下の点を検討してください。
MDM 展開で、構成したベース DN ** レベルまたはそれ以下の組織のユーザー全員のデバイスを管理することを目的としていますか。その場合、最も簡単な方法は、「加入を制限」チェック ボックスの選択を解除して、すべてのユーザーの加入を許可することです。
初回展開時にはすべてのユーザーの加入を許可し、その後、不明ユーザーが加入できないように制限することができます。新しい従業員またはメンバーを既存のユーザー グループに追加すると、その内容が同期および融合されます。
MDM の対象とすべきでないユーザーまたはグループがありますか。その場合は、ユーザーを 1 人ずつ追加するか、CSV (コンマ区切り) ファイルに対象のユーザーのみを記載してバッチ インポートする必要があります。
**ベース DN(識別名)は、サーバがユーザーを検索する際の起点です。識別名は、ディレクトリ内のエントリを一意に識別する名前です。ディレクトリ内のすべてのエントリに DN があります。
もう 1 つ、Workspace ONE UEM 環境をディレクトリ サービスと統合する際に考えるべきことは、加入時にディレクトリ ユーザーを組織グループにどのように割り当てるかということです。この質問の答えを考える際には、以下の点を検討してください。
ユーザー グループに基づいてグループ ID を自動的に選択することも、ユーザーがリストからグループ ID を選択することもできます。これらの グループ ID 割り当てモード オプションを使用するには、デバイス > デバイス設定 > デバイスとユーザー > 全般 > 加入 と進み、グループ化 タブを選択します。
ディレクトリ サービスの加入とは、Workspace ONE UEM をディレクトリ サービス インフラストラクチャと統合するプロセスのことです。この方法でディレクトリ サービスを統合した場合、ユーザーを自動インポートできます。また、セキュリティ グループや配布リストなどのユーザー グループを自動インポートすることもできます。
Active Directory (AD) などのディレクトリ サービスと統合する場合は、ユーザーのインポート方法についていくつかのオプションがあります。
**注:**SAML プロバイダ統合を含む Workspace ONE UEM 環境をディレクトリ サービスと統合する方法については、『Integrate Directory Service Guide』を参照してください。
Workspace ONE UEM でディレクトリ サービス統合を構成する場合、ディレクトリ サービス アカウントは、ディレクトリ サービスが構成されている組織グループ (OG) から加入設定を継承します。ただし、基本的なアカウントは、上書きを含めローカル設定を遵守します。
例として上の組織グループ モデルを使用し、「カスタマー」という OG で 構成されたグループから削除されるユーザーのデバイスを企業情報ワイプする オプションが有効になっているとします。
このシナリオでは、構成済みのグループから抜けた Sales01 子 OG の ディレクトリ 加入ユーザーには、その OG に加入制限の上書きが構成されていても、ワイプされたデバイスが表示されます。これは、このようなアカウントのデバイスが別の OG に加入している場合も同様です。加入設定はユーザー中心であり、デバイス中心ではないためです。
ただし、このシナリオでは、構成されたグループから抜けた Sales01 OG の 基本 加入ユーザーに属するデバイスはワイプされません。これは、Sales01 の基本加入ユーザーはディレクトリ サービス統合された OG の一部ではないためで、加入制限の上書きを認識して順守します。
親トピック:デバイス加入
