Workspace ONE UEM での Android デバイス管理
デバイスの加入作業と構成作業が完了したら、Workspace ONE UEM console を使用してデバイスを管理します。各種の管理ツールおよび管理機能を利用することにより、デバイスを常時監視することや、管理機能をリモートで実行することができます。
UEM コンソールからすべてのデバイスを管理することができます。ダッシュボードの検索や表示形式はカスタマイズが可能で、フィルタ機能で簡単にデバイスを見つけることができます。指定した条件に当てはまるデバイスを特定し、管理操作を実行します。[デバイスのリスト表示] には、現在貴社の Workspace ONE UEM 環境に加入しているすべてのデバイスと、その状態が表示されています。Android に固有のリスト表示をフィルタリングして、デバイスが管理されているかどうかをすぐに確認することができます。
デバイス詳細画面を使用する
[デバイス詳細] 画面には、デバイス固有の情報が表示されます。たとえば、現在デバイスにインストールされている、プロファイル、アプリケーション、Workspace ONE Intelligent Hub のバージョン、適合 OEM サービスのバージョンなどです。デバイス詳細画面からデバイスに管理操作をリモートで実行することもできます。詳細画面はプラットフォームにより異なる場合があります。
デバイス詳細画面を表示するには、デバイス検索画面またはいずれかの使用可能なダッシュボードからデバイスのフレンドリ名を選択するか、あるいは Workspace ONE UEM console 内でいずれかの検索ツールを使用します。
デバイス詳細の加入状態
デバイス上でローカルに実行された操作が原因となって、デバイス詳細画面で加入状態が更新されないことがあります。
以下に、いくつかのシナリオを示します。
- ユーザーが、デバイスの設定アプリから工場出荷状態リセットを実行した場合、UEM console で加入状態が更新されません。
- ユーザーが、デバイスの設定アプリから Work プロファイルを削除した場合、UEM console で加入状態が更新されません。
- Work プロファイル パスコードまたはデバイス パスコードの失敗の上限に達して、Work プロファイル ワイプまたはデバイス ワイプが加入モードに応じて次のようにトリガされると、加入状態が更新されません。
- Work プロファイルでは、Work プロファイルがワイプされます。
- COPE デバイスおよび完全管理対象デバイスでは、デバイス全体がワイプされます。
デバイスが省電力モードになっている場合
Android M を実行している Android デバイスは、アイドル状態のアプリまたはデバイス用に省電力オプションを使用します。ユーザーがデバイスの電源ケーブルを外し、画面をオフにして一定時間放置した場合、デバイスはスリープ モードになり、デバイスのスリープ状態を維持します。このとき、ネットワーク処理は実行されません。
さらに、アプリのスタンバイ モードを使用すると、ユーザーがアプリを頻繁に使用していないときに、デバイスがアプリがアイドル状態であることを判断できます。デバイスがいずれかのモードになっている場合、Workspace ONE UEM Console にデバイスの詳細情報は通知されません。ユーザーがデバイスの電源ケーブルを差し込んで充電するか、またはアプリケーションを起動すると、デバイスは通常状態に戻り、デバイスにインストールされている AirWatch アプリケーションから Workspace ONE UEM Console への通知処理が再開されます。
ダイレクト ブートでの Android デバイスの管理**
ダイレクト ブート モードは、デバイスが電源オンになっていても、ユーザーがデバイスをロック解除していない状態です。この状態にあるとき、アプリは正常に実行できません。Workspace ONE Intelligent Hub for Android などのアプリは、デバイスがこの状態にあるとき、サンプルを UEM console に送信したり、サポートされている機能を実行したりできません。
ダイレクト ブート モードのデバイスでは、次の 2 つのアクションがサポートされます。
- デバイスおよび/またはワーク プロファイルをワイプする。管理対象 Android デバイスが再起動されると、Intelligent Hub は Workspace ONE UEM でデバイスのワイプが保留中かどうかを確認し、このアクションを実行します。注:デバイスの電源がオンの状態で、ダイレクト ブート モードである場合に、デバイスにワイプを発行する際には、Intelligent Hub でワイプを処理するために、デバイスをもう一度再起動する必要があります。
- デバイスまたはワーク プロファイルのパスコードを消去する。ダイレクト ブート モード時のパスコード消去コマンドは、FCM (Firebase Cloud Messaging) を使用して Workspace ONE UEM からプッシュ通知を受信するように、Intelligent Hub が構成されている場合にのみサポートされます。AWCM はサポートされていません。詳細については、「Workspace ONE Intelligent Hub 用の Android 設定」を参照してください
加入モードでサポートされている Android デバイス コマンド
このマトリックスに、使用可能なデバイス コマンドを加入モードごとに示します。アスタリスクは、デバイスがダイレクト ブート モードにある際にサポートされるコマンドを示します。
注: COPE Android 11 以降のデバイスのロック コマンドでは、Work プロファイルのみがロックされ、デバイス全体はロックされません。
| デバイス コマンド | Work 管理対象デバイス モード | Work プロファイル | COPE (Android 8.0-Android 10) | COPE Android 11 以降 |
|---|---|---|---|---|
| デバイス クエリ | ✓ | ✓ | ✓ | ✓ |
| 送信 | ✓ | ✓ | ✓ | ✓ |
| ロック | ✓ | ✓ | ✓ | ✓ |
| パスコードを消去 | ||||
| デバイスパスコードをクリア | ✓* | ✓ | ||
| Work プロファイルのパスコードをクリア | ✓ | ✓* | ✓* | |
| アプリ トークン生成 | ✓ | ✓ | ✓ | ✓ |
| マネジメント | ||||
| デバイス パスコード変更 | ✓ | ✓ | ||
| Work パスコードの変更 | ✓ | ✓ | ✓ | |
| SSO ロック | ✓ | ✓ | ✓ | ✓ |
| デバイス再起動 | ✓ | |||
| 企業情報ワイプ | ✓* | ✓ | ||
| デバイス ワイプ (このコマンドを発行する前に、工場出荷時状態リセットをブロックする OEM 固有のポリシーが削除されていることを確認してください。削除されていない場合失敗する可能性があります)。 | ✓* | ✓* | ✓* | |
| サポート | ||||
| デバイス検索 | ✓ | ✓ | ✓ | ✓ |
| デバイスを同期 | ✓ | ✓ | ✓ | ✓ |
| 管理者 | ||||
| 組織グループを変更 | ✓ | ✓ | ✓ | ✓ |
| タグを管理する | ✓ | ✓ | ✓ | ✓ |
| デバイスを編集 | ✓ | ✓ | ✓ | ✓ |
| デバイス削除 | ✓* | ✓ | ✓* | ✓* |
| デバイス ログを要求 | ✓ | ✓ | ✓ | ✓ |
| ジョブ ログ レベル オーバーライド | ✓ | |||
| アドバンスト | ||||
| AWCM 開始/停止 | ✓ | ✓ | ✓ | ✓ |
| デバイスを同期 | ✓ | ✓ | ✓ | ✓ |
デバイス詳細画面の各メニュー タブを選択すると、以下のような詳細なデバイス情報が表示されます。
- サマリ – 加入状態、順守状態、最終検出日時、プラットフォーム/モデル/OS、組織グループ、連絡先情報、シリアル番号、バッテリ状態を含む電源状態、ストレージ容量、物理メモリ、仮想メモリなどの一般的な統計情報を表示します。Zebra デバイスには、バッテリの詳細情報を表示するパネルがあります。また、Workspace ONE Intelligent Hub と、デバイスに現在インストールされている該当する OEM のバージョンを表示することもできます。注: Android デバイスで、Android の基準に沿って無効と判断されたメーカーとモデルが報告された場合、コンソールでデバイスのサマリの [モデル/OS] フィールドが「不明」と表示されます。
- 順守 – 状態、ポリシー名、前回の順守チェック日と次に予定されている順守チェック日、デバイスに対し既に行われた処理を表示します。
- プロファイル – 現在デバイスにインストールされているすべての MDM プロファイルを表示します。
- アプリ – 現在デバイスにインストールされているアプリとインストール保留中のアプリをすべて表示します。社内アプリの場合、すべてのアプリのインストール状態をサンプリングします。パブリック アプリの場合、デバイス上に起動可能なアイコンがあるアプリのみをサンプリングします。起動可能なアイコンがない管理対象外アプリはサンプリングされません。
- コンテンツ – 状態、タイプ、名前、優先度、展開、最終更新、および閲覧日時が表示されます。また、管理処理 (コンテンツのインストールまたは削除) 用のツールバーが表示されます。Android (Legacy) プラットフォーム VMware, Inc. 77
- ロケーション – デバイスの現在位置と過去の位置の履歴を表示します。デバイスが省電力モードの場合、スリープ モード中に位置情報データが更新されない可能性があります。ユーザーは、次の場所にあるデバイスで Google 位置情報の精度をオンにするように求められます。位置情報データ収集は、デバイスの組織グループの Intelligent Hub 設定で有効になるるか、デバイスのプライバシー設定(組織グループと所有形態タイプに基づく)で有効になります。ユーザーは、Android 12 以降の Work プロファイルおよび COPE デバイスで Hub 位置情報の権限を付与するように求められます。詳細については、「Android Settings for Workspace ONE Intelligent Hub」を参照してください。
- ユーザー – デバイスのユーザーに関する詳細と、同じユーザーが加入した他のデバイスの状態を閲覧します。次の各メニュー タブを表示するには、[デバイス詳細] の [その他] をクリックします。
- ネットワーク – デバイスの現在のネットワーク (セルラー、Wi-Fi、Bluetooth) 状態を閲覧します。注: デバイスで位置情報サービスが有効になっていない場合、アクティブな SSID を収集して報告することができなくなる可能性があります。このような場合、SSID は「不明な SSID」として報告されます。
- テレコム – デバイス上での通話時間、データ使用量、および送受信されたメッセージの量が表示されます。
- メモ – デバイスに関するメモが表示されます。また、メモを入力することもできます。たとえば、デバイスの配送状況、デバイスが修理中のため使用不能であるかどうかなどの情報を入力できます。
- 証明書 – デバイス証明書の名前および発行元が表示されます。証明書の有効期限も表示されます。
- プロダクト –デバイスにプロビジョニングされているすべてのパッケージの履歴とステータスおよびすべてのプロビジョニング エラーを表示します。
- カスタム属性 – 高度なプロダクト プロビジョニング機能を使用できます。
- ファイル/アクション – デバイスに関連付けられているファイルやほかのアクションを表示します。
- イベント アクション – 事前に定義された条件が満たされた場合にデバイスに対してアクションを実行できます。
- 共有デバイスログ – 以前のチェックインとチェックアウト、現在のステータスを含む共有デバイスに関するデバイスの履歴を表示します。
- トラブルシューティング – イベント ログとコマンドのログ情報が表示されます。この画面には、エクスポートと検索機能が備わっており、ターゲットを絞った検索や分析ができます。
- イベント ログ – 詳細なデバッグ情報およびサーバのチェックインが表示されます。イベント グループ タイプ、日付の範囲、重要度、モジュール、カテゴリによるフィルタが含まれます。[イベント ログ] のリストの [イベント データ] カラムにハイパーリンク付きテキストが表示されることがあり、ここから特定のイベントに関するより詳細な情報を含む別の画面を開くことができます。この情報を使用して、プロファイルのインストールが失敗した理由を確定するなど、高度なトラブルシューティングを実行することができます。
- コマンド – デバイスに送信された、保留中、キュー済み、完了済みのコマンドの詳細なリストが表示されます。カテゴリ、状態、そして特定のコマンドによりデータを抽出できるフィルタ機能があります。
- 侵害の検出 – 状態の特定の理由や状態の重大度など、デバイスの侵害の状態に関する詳細を表示します
- 状態の履歴– 加入状態に関するデバイスの履歴を表示します。
- ターゲット ログ収集 - コンソール、カタログ、デバイス サービス、デバイス管理、セルフ サービス ポータルのログを表示します。設定で 「ターゲット ログ収集」 を有効にして、この目的のためのリンクを用意する必要があります。次に [新しいログを作成] ボタンを選択し、ログの収集時間の長さを選択する必要があります。
- 添付ファイル – トラブルシューティングやその他の目的のためのスクリーンショット、ドキュメント、およびリンクには、デバイス自体の領域ではなく、サーバ上のこのストレージ領域を使用します。
Android 用の MAC アドレスの動作
Android 10 以降を実行しているデバイスでは、デフォルトでシステムがランダムな MAC アドレスを転送します。これは、以前のバージョンの Android とは異なります。
Android OS バージョンと加入タイプにより、Wi-Fi MAC アドレスの収集方法が決まります。
- すべての OS バージョンで、完全管理対象デバイスは、実際のハードウェア WiFi MAC アドレスを収集できます。
- すべての OS で、COPE デバイスは、実際のハードウェア WiFi MAC アドレスを収集できます。
- Android 9 以前では、Work プロファイル デバイスは、実際のハードウェア Wi-Fi MAC アドレスを収集できます。
- Android 10 以降では、Work プロファイル デバイスは、アクティブな SSID のランダム化された WiFi MAC アドレスを収集できます。
MAC アドレスは、[デバイス詳細] の [ネットワーク] タブにあります。
Android デバイス用のデバイス管理コマンド
[デバイス詳細] ページの [その他] ドロップダウン メニューを使用することにより、選択したデバイスに対してワイヤレスでリモート処理を実行できます。次に列挙する処理は、デバイスのプラットフォーム、Workspace ONE UEM console の設定、加入状態などによって異なります。
パスコードを消去
- パスコード消去 (デバイス) – デバイス パスコードを消去します。ユーザーがデバイスのパスコードを忘れてしまった場合に使用します。
- アプリ トークンを生成 - Workspace ONE SDK で作成されたアプリケーションのログイン情報を忘れたユーザーのために、アプリ トークンを生成します。
- Work パスコードを消去 - Work またはコンテナのパスコードを消去します。ユーザーがデバイスのパスコードを忘れてしまった場合に使用します。
マネジメント
- デバイス パスコード変更 – 選択したデバイスにアクセスするために使用する既存のデバイス パスコードを新しいパスコードに置き換えます。
- Work パスコードの変更 - 選択してデバイスでの Work セキュリティの課題を解消します。Android 8.0 以降用。
- SSO ロック – Workspace ONE UEM Container とすべての関連アプリケーションから対象デバイス ユーザーをロックアウトします。
- デバイスの再起動 – 電源をオフにし再度オンにする操作を行い、デバイスをリモートで再起動します。
- [デバイス ワイプ] – デバイスをワイプしてすべてのデータとオペレーティング システムを消去する MDM コマンドを送信します。この操作は元に戻せません。注:Zebra デバイスで Workspace ONE UEM は、デバイスのバッテリ レベルが 5% 以上の場合にのみデバイス ワイプ コマンドを実行します。
- SSO ロック – Workspace ONE UEM Container とすべての関連アプリケーションから対象デバイス ユーザーをロックアウトします。
- 企業情報ワイプ – 個人データに影響を与えることなく、企業データをデバイスから削除します。COPE 加入済みの Android 11 以降のデバイスでは、企業情報ワイプによってデバイスは加入解除され、Work プロファイルは削除され、個人プロファイルはそのまま残ります。
サポート
- デバイスの検索 – 実行できる Workspace ONE UEM アプリケーションにテキスト メッセージを可聴音とともに送信して、置き忘れたデバイスをユーザーが見つけやすくします。可聴音のオプションでは、構成可能な回数および音の間隔(秒単位)で音を再生するように指定できます。
- デバイスを同期する – 選択したデバイスを UEM console と同期させ、[最終検出] 状態が同じになるようにします。
管理者
- 組織グループ変更 – デバイスのベース組織グループを、既存の他の組織グループに変更します。静的または動的な組織グループを選択するオプションもあります。複数のデバイスの組織グループを一度に変更する場合は、(デバイス リスト表示の [最終接続時間] カラム ヘディングの横にある)[グローバル] チェック ボックスではなく(Shift キーを使用した)ブロック選択の方法を使用して、一括操作のデバイスを選択する必要があります。
- タグの管理 -
- デバイスを編集 – フレンドリ名、アセット番号、デバイス所有形態、デバイス グループ、デバイス カテゴリといったデバイス情報を編集します。
- デバイスを削除 – デバイスをコンソールから削除し加入解除します。次のチェックイン時にワイプされたデバイスに企業情報ワイプ コマンドを送信し、コンソールでそのデバイスに [削除中] のマークを付けます。デバイスでワイプ保護がオフになっている場合、発行されたコマンドにより直ちに企業情報ワイプが実行され、コンソールでデバイスの表示が削除されます。
-
デバイス ログ要求 – 選択したデバイスのデバッグ ログを要求します。ログを確認するには [その他] タブを選択して、[添付ファイル] > [ドキュメント] の順に選択します。Workspace ONE UEM console 内でログを表示することはできません。ログはトラブルシューティングとサポート目的で使用され、ZIP ファイルで配信されます。ログを要求するときに、受信するログの送信元を [システム] または [Hub] から選択できます。[システム] はシステムレベルのログを提供します。[Hub] は、デバイスで実行されている複数のエージェントからのログを提供します。
Android のみ:企業が所有する Android デバイスから詳細なログを取得し、コンソールで表示できます。これにより、迅速にデバイス上の問題を解決できます。
- ジョブ ログ レベル オーバーライド – 選択したデバイスのジョブ イベント ログ収集の現在指定されているレベルを上書きします。このアクションは、プロダクト プロビジョニングからプッシュされるジョブのログ収集の詳細レベルを設定し、Android Hub 設定で構成されている現行のログ レベルを上書きします。ジョブ ログ レベルのオーバーライドは、アクション画面の [既定値に戻す] ドロップダウン メニュー項目を選択することで解除できます。[Android Hub の設定] の [プロダクト プロビジョニング] カテゴリで、ジョブ ログ レベルを変更することもできます。
アドバンスト
- AWCM を開始/停止 – 選択したデバイスのクラウド メッセージング サービスを開始/停止します。VMware AirWatch Cloud Messaging (AWCM) は、管理者コンソールからのメッセージおよびコマンドの配信を効率化します。AWCM により、エンド ユーザーがパブリック インターネットにアクセスする必要がなくなり、Google ID などコンシューマ アカウントを使用する必要もなくなります。
- デバイスを同期する – 選択したデバイスを UEM console と同期させ、[最終検出] 状態が同じになるようにします。
[詳細アプリ] タブ
Workspace ONE UEM console の デバイスの詳細アプリ タブには、デバイスでパブリック アプリケーションを制御するためのオプションが含まれています。加入タイプとプライバシー構成に基づいて、UEM console で割り当てられているアプリと個人アプリを表示できます。
管理者は、インストール ステータス、アプリケーションの種類、アプリケーションのバージョン、アプリケーション識別子など、アプリケーションに関する情報を表示できます。
アクション メニューの インストール オプションでは、割り当てられているアプリをリスト表示から選択し、デバイスに直接プッシュできます。アクション メニューの 削除 オプションは、アプリケーションをデバイスからサイレント アンインストールします。
ワーク プロファイル加入では、管理者によって割り当てられているアプリのみが表示され、ユーザーがインストールした個人アプリケーションは表示されません。Work 管理加入では、すべてのアプリケーションが表示されます。デバイスは Workspace ONE UEM によって完全に制御されており、個人アプリケーションの概念がないからです。COPE 加入の場合、[デバイス詳細] の [アプリ] タブに管理対象アプリケーションが表示されます。デフォルトでは、管理対象アプリケーションには個人側にインストールされている社内アプリが含まれます。
Workspace ONE UEM console には、ユーザーが起動できないアプリケーションは表示されません。UEM console には、Launcher アイコン(ユーザーがクリックして開くことができる)を持つアプリケーションの状態が示されます。そのため、バックグラウンド アプリまたはサービス アプリケーションは、[デバイス詳細] には表示されません。
[デバイス ログを要求] コマンドを使用すると、企業の所有するデバイスから Workspace ONE Intelligent Hub のログまたは詳細なシステム ログを取得してコンソールに表示し、デバイスの問題を迅速に解決できます。[デバイス ログを要求] ダイアログ ボックスを使用すると、Android デバイスに対するログ要求をカスタマイズできます。以下の詳細を参照してください。
デバイス ログを要求
[デバイス ログを要求] コマンドを使用すると、企業の所有するデバイスから Workspace ONE Intelligent Hub のログまたは詳細なシステム ログを取得してコンソールに表示し、デバイスの問題を迅速に解決できます。[デバイス ログを要求] ダイアログ ボックスを使用すると、Android デバイスに対するログ要求をカスタマイズできます。
-
[グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [プライバシー] の順に進み、プライバシー設定で [デバイス ログを要求] を有効にします。
プライバシー上の懸念があるため、従業員所有のデバイスは選択できません
-
[デバイス] > [リスト表示] > [リストからデバイスを選択] > [その他のアクション] > [デバイス ログを要求] の順に進みます。
-
ログ設定をカスタマイズします。
設定 説明 ソース Workspace ONE Intelligent Hub によって生成されたログを収集するには [Hub] を選択します。 デバイス上のすべてのアプリケーションおよびイベントを含めるには、システム を選択します。システムは、プライバシー設定に基づいて使用可能になり、特定のプラットフォーム サービス アプリケーションが存在するデバイス メーカーに限定されます。注:Platform OEM Service v3.3 以降、MSI Service v1.3 以降、および Honewell Service v3.0 以降を実行しているデバイスで使用可能です。 指定した期間の、アプリからの DNS 要求およびネットワーク接続をログ ファイルに記録するには、ネットワーク を選択します。注:Android 8 以降を搭載した Work 管理対象デバイスで使用可能です。注:プライバシー設定で、[パブリック IP アドレスを収集] を有効にする必要があります。 ブート前後のアクティビティ、認証試行、資格情報ストレージの変更、試行された adb 接続など、考えられるセキュリティ侵害を詳細に記録するセキュリティ ログを収集するには、[セキュリティ] を選択します。注: Android 7.0 以降の Work 管理対象デバイスと、Workspace ONE Intelligent Hub 21.05 for Android が必要です。これらの要件をデバイスが満たしていない場合、[セキュリティ] オプションはグレー アウトされます。 タイプ デバイスから最新のログ レコードを取得するには、スナップショット を選択します。指定した期間のローリング ログを収集するには、期間 を選択します。複数のログ ファイルが UEM Console に送信されることがあります。[ネットワーク] が選択されている場合、[レベル] オプションは使用できません。 期間 デバイスがログを収集してコンソールにレポートする期間を指定します。 レベル ログに含める詳細のレベル(エラー、警告、情報、デバッグ、詳細)を決定します。 -
[保存] を選択します。
-
ログ ファイルを確認するには、[デバイス詳細] > [その他] > [添付ファイル] > [ドキュメント] の順に進みます。
-
ログの受信が完了し、これ以上ログを収集する必要がない場合は、デバイス ログ要求をキャンセルします。[デバイス] > [リスト表示] > [リストからデバイスを選択] > [その他のアクション] > [デバイス ログをキャンセル] の順に進み、デバイス ログ要求をキャンセルします。
SafetyNet の構成証明
SafetyNet の構成証明は Google の API で、デバイスの整合性を検証してデバイスが侵害状態でないことを確認するために使用されます。
SafetyNet はデバイスのソフトウェア情報とハードウェア情報を検証し、そのデバイスのプロファイルを作成します。この構成証明によって、特定のデバイスが改ざんまたは変更されているかどうかを確認することができます。Workspace ONE UEM Console で SafetyNet Attestation API が実行されて、デバイスが侵害状態であることが報告されると、UEM Console のデバイス詳細画面でそのデバイスが侵害状態であることが報告されます。SafetyNet の構成証明でデバイスが侵害状態であることが検出された場合、デバイスの侵害状態を取り消す唯一の方法は、影響を受けたデバイスを再加入させることです。
侵害状態が最初に報告された後は、SafetyNet の構成証明はその侵害状態の再評価を行いませんのでご注意ください。
SafetyNet の構成証明は、Workspace ONE Intelligent Hub でのみサポートされます。
SafetyNet 構成証明の有効化 UEM console で SafetyNet 構成証明 API を有効にし、デバイスの整合性を検証し、デバイスが侵害されているかどうかを判断します。
-
[グループと設定] > [すべての設定] > [アプリ] > [設定とポリシー] > [設定] > [カスタム設定] の順に進みます
-
次のカスタム XML を [カスタム設定] フィールドに貼り付けます。//xml {“SafetyNetEnabled”:true }
{"SafetyNetEnabled":true}
-
カスタム XML を保存します。
-
UEM console のデバイス詳細画の [サマリ] タブで SafetyNet を確認します。SafetyNet の構成証明の状態が表示されない場合は、リモート コマンドを送信してデバイスを再起動できます。
