デバイス加入

Workspace ONE UEM でデバイスを管理するには、デバイスを加入する必要があります。加入方法は複数あり、それぞれの方法にオプションがあります。BYOD、COPE、および共有デバイスの一括加入の詳細な手順については、「Workspace ONE UEM にデバイスを加入させる方法」を参照してください。

デバイスをグローバル レベルで加入させるべきでない理由

加入プロセスを開始する前に、一般的にグローバルと呼ばれる最上位の組織グループ (OG) について理解しておく必要があります。デバイスをグローバルに直接加入させることは不適切ですが、それにはいくつかの理由があります。その理由は、マルチテナンシー、継承、機能の 3 つです。

マルチテナンシー

サブ組織グループは必要な数だけ作成できます。また、各サブ組織グループを個別に構成します。あるサブ組織グループに適用する設定は、他のサブ組織グループに影響しません。

継承

メイン組織グループに加えた変更内容は、サブ組織グループにも適用されます。一方、サブ組織グループに加えた変更内容は、メイン組織グループおよび同位の組織グループに適用されません。

機能

｢カスタマー｣ タイプの組織グループに対してのみ構成できる設定と機能があります。これらの設定には、ワイプ保護、テレコム、および個人コンテンツが含まれます。トップレベルのグローバル組織グループに直接追加されたデバイスは、これらの設定および機能から除外されます。

グローバル組織グループは、｢カスタマー｣ およびその他のタイプの組織グループを所属させる目的で用意されているものです。設定は下位の組織グループに継承されるので、デバイスをグローバル組織グループに追加し、かつ、それらのデバイスに影響を及ぼす設定を使用してグローバル組織グループを構成する場合、その下位のすべてのカスタマー組織グループにも影響が及びます。つまり、マルチテナントと継承のメリットが活かされません。

Workspace ONE Intelligent Hub を使用してデバイスを加入

Workspace ONE Express および Workspace ONE UEM では、Workspace ONE Intelligent Hub を使用したデバイスの加入は、Android、iOS、Windows デバイスに対して、主要なオプションになっています。

1. Workspace ONE Intelligent Hub を Google Play ストアから（Android デバイスの場合）または App Store から（Apple デバイスの場合）ダウンロードしてインストールします。

   パブリック アプリケーション ストアから Workspace ONE Intelligent Hub をダウンロードするには、Apple ID または Google アカウントが必要になります。

   Windows 10 デバイスでは、デバイスの既定のブラウザで https://getwsone.com にアクセスして、Hub をダウンロードする必要があります。

2. ダウンロード完了後に Workspace ONE Intelligent Hub を実行するか、または、ブラウザ セッションに戻ります。

   重要：Android デバイスに Workspace ONE Intelligent Hub をインストールして実行するには、デバイスに 60 MB 以上の空きスペースが必要です。Android プラットフォームでは、アプリケーションごとに CPU とラン タイム メモリを割り当てることができます。あるアプリケーションが、割り当て以上のリソースを使用している場合、Android デバイスによってそのアプリケーションが停止され、リソース配分が最適化されます。

3. メール アドレスの入力を求められたら入力します。Workspace ONE Console は、このアドレスが環境に追加されたかどうかを確認します。追加されていれば、このエンド ユーザーはすでに構成されており、組織グループに割り当てられていることになります。

   エンド ユーザーをメール アドレスに基づいて特定できない場合、Workspace ONE console は、[サーバ]、[グループ ID] と [資格情報] を入力するよう求めるプロンプトを表示します。管理者は、環境 URL とグループ ID を指定できます。

4. 残りのプロンプトに従って、加入処理を完了させます。ユーザー名の代わりにメール アドレスを使用できます。2 人のユーザーが同じメール アドレスを使用している場合、加入処理は失敗します。

これでデバイスは、Workspace ONE Intelligent Hub アプリケーションで加入されました。[サマリ] タブを、このデバイスの [デバイス詳細表示] で開きます。セキュリティ パネルには、「登録されたハブ」が表示され、登録方法が示されます。

詳細については、「Device Details」を参照してください。

自動検出による加入

Workspace ONE UEM では、デバイスを適切な環境と「カスタマー」タイプの組織グループ (OG) に加入させることができます。E メールベースの自動検出機能を使用するこの加入はとてもシンプルです。エンド ユーザーがセルフサービス ポータル (SSP) への認証を行う際にも自動検出機能を使用することができます。

注：オンプレミス環境での自動検出の有効化は、貴社環境が Workspace ONE UEM 自動検出サーバと通信できることを確認してから行ってください。

自動検出加入のための登録

サーバで Eメール ドメインの一意性を検証します。1 つのドメインは 1 つの環境の 1 つの組織グループにおいてのみ登録できます。自動検出サーバによってこのような検査が行われるので、E メール ドメインは、貴社の最上位の「カスタマー」タイプの組織グループで登録してください。

自動検出は、SaaS 環境の新しいお客様向けには自動で構成されています。

「カスタマー」タイプの組織グループからの自動検出加入を構成する

自動検出加入は、エンド ユーザーの E メール アドレスを使用して、デバイスを「カスタマー」タイプの組織グループ (OG) に加入するため、加入プロセスを簡素化することができます。「カスタマー」タイプの OG で自動検出加入を構成するには、次の手順を実行します。

1. OG セレクタを使用して、「カスタマー」タイプの組織グループに移動します。
2. [グループと設定] > [すべての設定] > [管理者] > [クラウド サービス] の順に移動して、[自動検出] 設定を有効にします。自動検出 AirWatch ID にログイン用 E メール アドレスを入力して、ID を設定する を選択します。
   1. 必要に応じて、https://my.workspaceone.com/set-discovery-password にアクセスして、自動検出サービス用のパスワードを設定します。登録して ID を設定する をクリックすると、HMAC トークン が自動入力されます。接続のテスト をクリックし、接続が正常に行われたことを確認します。
3. 自動検出証明書ピン留め オプションを有効にして、各自の証明書をアップロードして自動検出機能にピン留めします。既存の証明書の有効期限やその他の情報を確認できます。また、これらの既存の証明書を置換および消去することもできます。
4. 証明書を追加する を選択すると、名前 と 証明書 の各設定が表示されます。アップロードする証明書の名前を入力し、[アップロード] ボタンを選択して、デバイスの証明書を指定します。
5. 保存 をクリックし、自動検出機能のセットアップ処理を完了します。

次に行うこと：加入するエンド ユーザーに、環境 URL とグループ ID を入力するのではなく、認証用 Eメール アドレスを使用するオプションを選択するよう、指示します。ユーザーが Eメール アドレスを使用してデバイスを加入させると、関連付けられているユーザー アカウントの 加入組織グループ として設定された同じ組織グループに加入します。

その他の加入プロセス

場合によっては、特定の組織や展開に合わせて Workspace ONE UEM への加入プロセスを調整できます。どの加入オプションを使用する場合でも、エンド ユーザーに資格情報が必要になります。このガイドの ｢必要な情報｣ セクションを参照してください。

• マルチドメイン環境 – 単一ドメインとマルチドメイン環境における、加入のログインは、次の形式のログイン情報によりサポートされています。domain\username
• キオスク モードおよびキオスク デザイナー – Windows デスクトップのエンド ユーザーは、キオスク モードでデスクトップ デバイスを構成できます。ユーザーは、Workspace ONE UEM Console でキオスク デザイナーを使用してマルチアプリケーション キオスクを作成することもできます。
• 通知プロンプト加入 – エンド ユーザーは、加入 URL の記載された通知を (Eメールまたは SMSで) 受け取り、その URL からグループ ID とログイン資格情報を入力します。エンド ユーザーが利用規約 (TOU) を承認すると、デバイスが自動的に加入され、すべての MDM 機能およびコンテンツとともに提供されます。この承認には、Workspace ONE UEM サーバで選択したアプリおよび機能も含まれます。
• シングルクリック加入 – このワークフローは Web ベースの加入に適用され、管理者は、Workspace ONE UEM により生成されたトークンを加入リンクの URL とともにユーザーに送信します。エンド ユーザーは、入手した加入リンクを選択して認証を受け、デバイスを加入させます。これは、エンド ユーザーにとって最も簡単かつ迅速な加入プロセスです。この方法を固定するには、有効期限を設定します。
  • ウェブ加入 – ウェブ加入を行う場合、オプションで、管理者がアクティブな環境に "/enroll/welcome" を付けることで、ウェルカム画面を表示することができます。たとえば、Web 加入を行うユーザーに https://your_custom_environment**/enroll/welcome** という URL を提供すると、[Workspace ONE UEM へようこそ] 画面が表示されます。この画面には、Eメール アドレスやグループ ID を使用して登録できるオプションも含まれています。「ウェブ加入」 オプションは、Workspace ONE UEM バージョン 8.0 以降で適用されます。
• 二要素認証 – このワークフローでは、前項目と同様に、管理者は Workspace ONE UEM により生成されたトークンをユーザーに送信しますが、ユーザーはログイン資格情報も入力する必要があります。この方法はシングルクリック加入のように簡単に実行できますが、セキュリティ レベルが一段高くなります。追加のセキュリティ対策として、ユーザーは一意の資格情報を入力する必要があります。
• エンド ユーザー登録 – ユーザーがセルフサービス ポータルにログインし、自分でデバイスを登録する方法です。登録完了後、システムはエンド ユーザー宛に加入 URL とログイン資格情報の記載された Eメールを送信します。このワークフローでは、企業のデバイス群のデバイス登録を管理者がまだ実行していないことが前提となっています。また、管理者が加入状態を追跡できるように企業デバイスの登録が必要になることも前提となっています。エンドユーザーが登録するということは、企業デバイスをユーザーが購入したデバイスと一緒に使用できるということになります。
• シングル ユーザー用デバイス代理セットアップ — エンド ユーザーの代わりに管理者がデバイス加入を行います。この方法は、チーム全員または特定メンバーが各自でデバイスの加入手続きを行うのではなく、管理者が代理で複数デバイスをセットアップしたい場合に便利です。そうすることで、エンド ユーザーが自分のデバイスを加入する時間と手間を省くことができます。管理者がデバイスの構成と加入を行った後、そのデバイスをオフサイト勤務のユーザーに郵送することもできます。
• マルチユーザー用デバイス代理セットアップ — 複数のユーザーで共同使用されるデバイスに管理者がデバイス加入を行います。各デバイスは加入状態となり、特定の機能がプロビジョニングされます。ユーザーは、一意の資格情報を用いてログインした後にのみ、これらの機能にアクセスできます。