デバイスの加入作業と構成作業が完了したら、Workspace ONE UEM console を使用してデバイスを管理します。各種の管理ツールおよび管理機能を利用することにより、デバイスを常時監視することや、管理機能をリモートで実行することができます。
UEM コンソールからすべてのデバイスを管理することができます。ダッシュボードの検索や表示形式はカスタマイズが可能で、フィルタ機能で簡単にデバイスを見つけることができます。指定した条件に当てはまるデバイスを特定し、管理操作を実行します。[デバイスのリスト表示] には、現在貴社の Workspace ONE UEM 環境に加入しているすべてのデバイスと、その状態が表示されています。Android に固有のリスト表示をフィルタリングして、デバイスが管理されているかどうかをすぐに確認することができます。
[デバイス詳細] 画面には、デバイス固有の情報が表示されます。たとえば、現在デバイスにインストールされている、プロファイル、アプリケーション、Workspace ONE Intelligent Hub のバージョン、適合 OEM サービスのバージョンなどです。デバイス詳細画面からデバイスに管理操作をリモートで実行することもできます。詳細画面はプラットフォームにより異なる場合があります。
デバイス詳細画面を表示するには、デバイス検索画面またはいずれかの使用可能なダッシュボードからデバイスのフレンドリ名を選択するか、あるいは Workspace ONE UEM console 内でいずれかの検索ツールを使用します。
デバイス上でローカルに実行された操作が原因となって、デバイス詳細画面で加入状態が更新されないことがあります。
以下に、いくつかのシナリオを示します。
Android M を実行している Android デバイスは、アイドル状態のアプリまたはデバイス用に省電力オプションを使用します。ユーザーがデバイスの電源ケーブルを外し、画面をオフにして一定時間放置した場合、デバイスはスリープ モードになり、デバイスのスリープ状態を維持します。このとき、ネットワーク処理は実行されません。
さらに、アプリのスタンバイ モードを使用すると、ユーザーがアプリを頻繁に使用していないときに、デバイスがアプリがアイドル状態であることを判断できます。デバイスがいずれかのモードになっている場合、Workspace ONE UEM Console にデバイスの詳細情報は通知されません。ユーザーがデバイスの電源ケーブルを差し込んで充電するか、またはアプリケーションを起動すると、デバイスは通常状態に戻り、デバイスにインストールされている AirWatch アプリケーションから Workspace ONE UEM Console への通知処理が再開されます。
ダイレクト ブート モードは、デバイスが電源オンになっていても、ユーザーがデバイスをロック解除していない状態です。この状態にあるとき、アプリは正常に実行できません。Workspace ONE Intelligent Hub for Android などのアプリは、デバイスがこの状態にあるとき、サンプルを UEM console に送信したり、サポートされている機能を実行したりできません。
ダイレクト ブートは、Work プロファイル モードで加入したデバイスには異なる影響を与えます。Work プロファイルのパスコードを入力して Work プロファイルをロック解除するまで、Work プロファイルはダイレクト ブート モードでロックされた状態が続きます(Work プロファイルのパスコードが存在する場合)。このように、デバイスがロック解除されている場合、Work プロファイル外のアプリは正常に機能する可能性がありますが、Work プロファイル内のアプリは、ユーザーによって Work プロファイルがロック解除されるまで、ダイレクト ブート モードでロックされた状態が続く可能性があります。
Work プロファイル加入モードでデバイスがロックされている場合、Work プロファイルのロック画面では、デバイスのパスワードと Work プロファイルのパスワードが異なる Android 11 デバイス用に [パスワードを忘れた場合] ボタンがサポートされます。
ユーザーが [パスワードを忘れた場合] を選択すると、IT 管理者に連絡するように求められます。[パスワードを忘れた場合] ボタンを選択すると、Work プロファイルもダイレクト ブート(ロック)モードで開始され、DPC は安全な Work プロファイル パスコード リセットの手順を実行できます。
このマトリックスに、使用可能なデバイス コマンドを加入モードごとに示します。
アスタリスクは、デバイスのダイレクト ブート中にサポートされているコマンドを示します。
注: ダイレクト ブート中の「パスコードを消去」コマンドは、FCM (Firebase Cloud Messaging) でのみサポートされています。AWCM はサポートされていません。
注: COPE Android 11 以降のデバイスのロック コマンドでは、Work プロファイルのみがロックされ、デバイス全体はロックされません。
| デバイス コマンド | Work 管理対象デバイス モード | Work プロファイル | COPE (Android 8.0-Android 10) | COPE Android 11 以降 |
|---|---|---|---|---|
| デバイス クエリ | ✓ | ✓ | ✓ | ✓ |
| 送信 | ✓ | ✓ | ✓ | ✓ |
| ロック | ✓ | ✓ | ✓ | ✓ |
| パスコードを消去 | ||||
| デバイスパスコードをクリア | ✓* | ✓ | ||
| Work プロファイルのパスコードをクリア | ✓ | ✓* | ✓* | |
| アプリ トークン生成 | ✓ | ✓ | ✓ | ✓ |
| マネジメント | ||||
| デバイス パスコード変更 | ✓ | ✓ | ||
| Work パスコードの変更 | ✓ | ✓ | ✓ | |
| SSO ロック | ✓ | ✓ | ✓ | ✓ |
| デバイス再起動 | ✓ | |||
| 企業情報ワイプ | ✓* | ✓ | ||
| デバイス ワイプ | ✓* | ✓* | ✓* | |
| サポート | ||||
| デバイス検索 | ✓ | ✓ | ✓ | ✓ |
| デバイスを同期 | ✓ | ✓ | ✓ | ✓ |
| 管理者 | ||||
| 組織グループを変更 | ✓ | ✓ | ✓ | ✓ |
| タグを管理する | ✓ | ✓ | ✓ | ✓ |
| デバイスを編集 | ✓ | ✓ | ✓ | ✓ |
| デバイス削除 | ✓* | ✓ | ✓* | ✓* |
| デバイス ログを要求 | ✓ | ✓ | ✓ | ✓ |
| ジョブ ログ レベル オーバーライド | ✓ | |||
| アドバンスト | ||||
| AWCM 開始/停止 | ✓ | ✓ | ✓ | ✓ |
| デバイスを同期 | ✓ | ✓ | ✓ | ✓ |
デバイス詳細画面の各メニュー タブを選択すると、以下のような詳細なデバイス情報が表示されます。
Android 用の MAC アドレスの動作
Android 10 以降を実行しているデバイスでは、デフォルトでシステムがランダムな MAC アドレスを転送します。これは、以前のバージョンの Android とは異なります。
Android OS バージョンと加入タイプにより、Wi-Fi MAC アドレスの収集方法が決まります。
MAC アドレスは、[デバイス詳細] の [ネットワーク] タブにあります。
[デバイス詳細] ページの [その他] ドロップダウン メニューを使用することにより、選択したデバイスに対してワイヤレスでリモート処理を実行できます。次に列挙する処理は、デバイスのプラットフォーム、Workspace ONE UEM console の設定、加入状態などによって異なります。
パスコードを消去
マネジメント
サポート
管理者
組織グループ変更 – デバイスのベース組織グループを、既存の他の組織グループに変更します。静的または動的な組織グループを選択するオプションもあります。複数のデバイスの組織グループを一度に変更する場合は、(デバイス リスト表示の [最終接続時間] カラム ヘディングの横にある)[グローバル] チェック ボックスではなく(Shift キーを使用した)ブロック選択の方法を使用して、一括操作のデバイスを選択する必要があります。
タグの管理 -
デバイスを編集 – フレンドリ名、アセット番号、デバイス所有形態、デバイス グループ、デバイス カテゴリといったデバイス情報を編集します。
デバイスを削除 – デバイスをコンソールから削除し加入解除します。次のチェックイン時にワイプされたデバイスに企業情報ワイプ コマンドを送信し、コンソールでそのデバイスに [削除中] のマークを付けます。デバイスでワイプ保護がオフになっている場合、発行されたコマンドにより直ちに企業情報ワイプが実行され、コンソールでデバイスの表示が削除されます。
デバイス ログ要求 – 選択したデバイスのデバッグ ログを要求します。ログを確認するには [その他] タブを選択して、[添付ファイル] > [ドキュメント] の順に選択します。Workspace ONE UEM console 内でログを表示することはできません。ログはトラブルシューティングとサポート目的で使用され、ZIP ファイルで配信されます。ログを要求するときに、受信するログの送信元を [システム] または [Hub] から選択できます。[システム] はシステムレベルのログを提供します。[Hub] は、デバイスで実行されている複数のエージェントからのログを提供します。
Android のみ:企業が所有する Android デバイスから詳細なログを取得し、コンソールで表示できます。これにより、迅速にデバイス上の問題を解決できます。
ジョブ ログ レベル オーバーライド – 選択したデバイスのジョブ イベント ログ収集の現在指定されているレベルを上書きします。このアクションは、プロダクト プロビジョニングからプッシュされるジョブのログ収集の詳細レベルを設定し、Android Hub 設定で構成されている現行のログ レベルを上書きします。ジョブ ログ レベルのオーバーライドは、アクション画面の [既定値に戻す] ドロップダウン メニュー項目を選択することで解除できます。[Android Hub の設定] の [プロダクト プロビジョニング] カテゴリで、ジョブ ログ レベルを変更することもできます。
アドバンスト
Workspace ONE UEM console の デバイスの詳細アプリ タブには、デバイスでパブリック アプリケーションを制御するためのオプションが含まれています。加入タイプとプライバシー構成に基づいて、UEM console で割り当てられているアプリと個人アプリを表示できます。
管理者は、インストール ステータス、アプリケーションの種類、アプリケーションのバージョン、アプリケーション識別子など、アプリケーションに関する情報を表示できます。
アクション メニューの インストール オプションでは、割り当てられているアプリをリスト表示から選択し、デバイスに直接プッシュできます。アクション メニューの 削除 オプションは、アプリケーションをデバイスからサイレント アンインストールします。
ワーク プロファイル加入では、管理者によって割り当てられているアプリのみが表示され、ユーザーがインストールした個人アプリケーションは表示されません。Work 管理加入では、すべてのアプリケーションが表示されます。デバイスは Workspace ONE UEM によって完全に制御されており、個人アプリケーションの概念がないからです。COPE 加入の場合、[デバイス詳細] の [アプリ] タブに管理対象アプリケーションが表示されます。デフォルトでは、管理対象アプリケーションには個人側にインストールされている社内アプリが含まれます。
Workspace ONE UEM console には、ユーザーが起動できないアプリケーションは表示されません。UEM console には、Launcher アイコン(ユーザーがクリックして開くことができる)を持つアプリケーションの状態が示されます。そのため、バックグラウンド アプリまたはサービス アプリケーションは、[デバイス詳細] には表示されません。
[デバイス ログを要求] コマンドを使用すると、企業の所有するデバイスから Workspace ONE Intelligent Hub のログまたは詳細なシステム ログを取得してコンソールに表示し、デバイスの問題を迅速に解決できます。[デバイス ログを要求] ダイアログ ボックスを使用すると、Android デバイスに対するログ要求をカスタマイズできます。以下の詳細を参照してください。
[デバイス ログを要求] コマンドを使用すると、企業の所有するデバイスから Workspace ONE Intelligent Hub のログまたは詳細なシステム ログを取得してコンソールに表示し、デバイスの問題を迅速に解決できます。[デバイス ログを要求] ダイアログ ボックスを使用すると、Android デバイスに対するログ要求をカスタマイズできます。
[グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [プライバシー] の順に進み、プライバシー設定で [デバイス ログを要求] を有効にします。
プライバシー上の懸念があるため、従業員所有のデバイスは選択できません
[デバイス] > [リスト表示] > [リストからデバイスを選択] > [その他のアクション] > [デバイス ログを要求] の順に進みます。
ログ設定をカスタマイズします。
| 設定 | 説明 |
|---|---|
| ソース | Workspace ONE Intelligent Hub によって生成されたログを収集するには [Hub] を選択します。 |
| デバイス上のすべてのアプリケーションおよびイベントを含めるには、システム を選択します。システムは、プライバシー設定に基づいて使用可能になり、特定のプラットフォーム サービス アプリケーションが存在するデバイス メーカーに限定されます。**注:**Platform OEM Service v3.3 以降、MSI Service v1.3 以降、および Honewell Service v3.0 以降を実行しているデバイスで使用可能です。 | |
| 指定した期間の、アプリからの DNS 要求およびネットワーク接続をログ ファイルに記録するには、ネットワーク を選択します。**注:**Android 8 以降を搭載した Work 管理対象デバイスで使用可能です。**注:**プライバシー設定で、[パブリック IP アドレスを収集] を有効にする必要があります。 | |
| ブート前後のアクティビティ、認証試行、資格情報ストレージの変更、試行された adb 接続など、考えられるセキュリティ侵害を詳細に記録するセキュリティ ログを収集するには、[セキュリティ] を選択します。注: Android 7.0 以降の Work 管理対象デバイスと、Workspace ONE Intelligent Hub 21.05 for Android が必要です。これらの要件をデバイスが満たしていない場合、[セキュリティ] オプションはグレー アウトされます。 | |
| タイプ | デバイスから最新のログ レコードを取得するには、スナップショット を選択します。指定した期間のローリング ログを収集するには、期間 を選択します。複数のログ ファイルが UEM console に送信されることがあります。[ネットワーク] が選択されている場合、[レベル] オプションは使用できません。 |
| 期間 | デバイスがログを収集してコンソールにレポートする期間を指定します。 |
| レベル | ログに含める詳細のレベル(エラー、警告、情報、デバッグ、詳細)を決定します。 |
[保存] を選択します。
ログ ファイルを確認するには、[デバイス詳細] > [その他] > [添付ファイル] > [ドキュメント] の順に進みます。
ログの受信が完了し、これ以上ログを収集する必要がない場合は、デバイス ログ要求をキャンセルします。[デバイス] > [リスト表示] > [リストからデバイスを選択] > [その他のアクション] > [デバイス ログをキャンセル] の順に進み、デバイス ログ要求をキャンセルします。
SafetyNet の構成証明は Google の API で、デバイスの整合性を検証してデバイスが侵害状態でないことを確認するために使用されます。
SafetyNet はデバイスのソフトウェア情報とハードウェア情報を検証し、そのデバイスのプロファイルを作成します。この構成証明によって、特定のデバイスが改ざんまたは変更されているかどうかを確認することができます。Workspace ONE UEM Console で SafetyNet Attestation API が実行されて、デバイスが侵害状態であることが報告されると、UEM Console のデバイス詳細画面でそのデバイスが侵害状態であることが報告されます。SafetyNet の構成証明でデバイスが侵害状態であることが検出された場合、デバイスの侵害状態を取り消す唯一の方法は、影響を受けたデバイスを再加入させることです。
侵害状態が最初に報告された後は、SafetyNet の構成証明はその侵害状態の再評価を行いませんのでご注意ください。
SafetyNet の構成証明は、Workspace ONE Intelligent Hub でのみサポートされます。
SafetyNet 構成証明の有効化 UEM console で SafetyNet 構成証明 API を有効にし、デバイスの整合性を検証し、デバイスが侵害されているかどうかを判断します。
[グループと設定] > [すべての設定] > [アプリ] > [設定とポリシー] > [設定] > [カスタム設定] の順に進みます
次のカスタム XML を [カスタム設定] フィールドに貼り付けます。{ "SafetyNetEnabled":true }
カスタム XML を保存します。
UEM console のデバイス詳細画の [サマリ] タブで SafetyNet を確認します。SafetyNet の構成証明の状態が表示されない場合は、リモート コマンドを送信してデバイスを再起動できます。
