Workspace ONE UEM への Android の登録

Android デバイスの管理を開始するには、Workspace ONE UEM を貴社のエンタープライズ モビリティ管理 (EMM) プロバイダとして Google に登録する必要があります。Workspace ONE UEM コンソールの 「はじめに」画面では、デバイス全体をセキュリティで保護し、管理するために必要なエンタープライズ管理ツールの構成に役立つステップ バイ ステップ ソリューションを提供します。

Android を構成する 2 つの方法、管理対象 Google Play アカウントを使用する (推奨) または管理対象 Google ドメインを使用する (Google 推奨 G Suite のお客様向け) があります。管理対象 Google Play アカウントは、企業が G Suite を使用しない場合に使用するもので、個人用 Google アカウントを使用して組織内で Android を複数構成することが可能になります。Workspace ONE UEM がこのアカウントを管理し、Active Directory の同期や Google 検証は必要ありません。

管理対象 Google ドメイン (G Suite) を使用した Android 設定では、貴社が Google ドメインを設定し、ドメインを所有していることを証明するための検証プロセスに従う必要があります。このドメインは 1 つの検証済み EMM アカウントのみにリンクできます。セットアップには、Google サービス アカウントの作成と、EMM プロバイダとして Workspace ONE UEM の構成が含まれます。既存の Google アカウントと競合しないよう、組織で使用する Android 専用の Google アカウントを作成することを検討してください。

重要：管理対象の Google ドメイン用に Google アカウントを作成する場合、そのアカウントは、ドメインの管理者アカウントと見なされます。管理対象の Google Play でタスクを管理しやすくするために、追加ユーザー（Google アカウント）を増やすことを検討してください。Google アカウントを追加しておくと、メインの Google アカウントが無効になった場合に便利です。この問題が発生した場合でも、管理対象の Google ドメインにアクセスし、不要な動作を回避できます。また、Android EMM 登録に関連付けられている Google 管理者アカウントまたは EnterpriseID を削除しないでください。削除すると、Android EMM 登録エラーまたは障害が発生する可能性があります。

管理対象の Google ドメイン用に、役割を作成して割り当てることができます。エンタープライズで役割を割り当てる を参照してください。

Google サービス アカウントは特別な Google アカウントです。Google API にアクセスするアプリケーションで使用し、貴社のビジネスに対して管理対象 Google ドメイン方法を使用する Android を設定するときに必要です。Google サービス アカウント認証情報は、Android アカウントを構成するとき、または管理対象 Google Play アカウントを使用して登録するときに自動的に入力されます。Android アカウントの設定中にエラーが発生した場合、Workspace ONE UEM コンソールの設定を消去し、もう一度試すか、アカウントを手動で作成します。Google アカウントの場合は、いずれかのセットアップ方法の前に、Google サービス アカウントの作成を検討してください。

Google アカウントを変更または管理者設定に変更を加えるには、Workspace ONE UEM コンソールからアカウントのバインドを解除する必要があります。

重要：Android の設定には、VMware によって管理されていないサードパーティ ツールの統合が含まれます。このガイドでの Google 管理者コンソールと Google 開発者コンソールの詳細については、2018 年 1 月時点で入手可能なバージョンがドキュメント化されています。サードパーティ製品との統合は、サードバーティ ソリューションが適切に機能することに依存するため、保証されていません。

管理対象の Google Play アカウントを使用して Android EMM を登録する

Workspace ONE UEM コンソールを使用して、シンプルなセットアップ プロセスを完了し、UEM コンソールを EMM プロバイダとして Google にバインドすることができます。

前提条件

「Android EMM 登録」ページがブロックされている場合は、内部および外部のエンドポイントと通信するネットワーク アーキテクチャで Google URL が有効になっていることを確認します。

手順

1. [はじめに] > [Workspace ONE] > [Android EMM 登録] の順に進みます。

2. 構成 を選択すると、「Android EMM 登録」 ページにリダイレクトされます。

3. [Google に登録する] を選択します。すでに Google の資格情報でサインインしている場合は、Google の [開始] ページが表示されます。

   組織で複数のドメインを使用している場合は、個別のドメインを登録する必要があります。

4. まだサインインしていない場合は サインイン を選択して、Google 認証情報を入力して、開始 を選択します。

5. 組織名 を入力します。エンタープライズ モビリティ管理 (EMM) プロバイダのフィールドには、VMware Workspace ONE UEM として自動的に入力されます。

6. [確認] > [登録を完了] の順に選択します。Workspace ONE コンソールにリダイレクトされます。Google サービス アカウント認証情報が自動的に入力されます。

7. [保存] > [テスト接続] を選択して、サービス アカウントがセットアップされて正常に接続されていることを確認します。

UEM コンソールで設定が消去されている場合、Google の登録に移動すると、セットアップを完了するように求めるメッセージが表示されます。セットアップを完了するために Workspace ONE UEM console にリダイレクトされます。

管理対象 Google ドメインを使用して Android EMM を登録する（G Suite ユーザー）

管理対象 Google ドメインを使用してアカウントを設定するには、すでに使用していない場合は、Google ドメインを設定するための組織が必要です。Google を使用するドメイン所有権の検証、EMM トークンの取得、このタイプのセットアップを使用するエンタープライズ サービス アカウントの作成など、いくつかの手動タスクも完了します。

1. [はじめに] > [Workspace ONE] > [Android EMM 登録] の順に進みます。

2. 登録 を選択して Android セットアップ ウィザードにリダイレクトし、次の 3 つの手順を完了します。

   1. トークンを生成：Google を使用して貴社のドメインを登録して、エンタープライズ トークンを取得します。

   2. トークンをアップロード：Android セットアップ ウィザードに、EMM トークンを入力します。

   3. ユーザー セットアップ：貴社全体で使用するユーザーを作成する方法を構成します。

3. Google に移動 を選択します。G Suite サイトにリダイレクトされます。

4. 貴社を登録し、ドメインを確認します。

Google サービス アカウントのセットアップ

Google サービス アカウントは、アプリケーションが Google API にアクセスするために使用する特別な Google アカウントです。一度にすべての情報をアップロードできるように、EMM トークンを生成した後でこのアカウントを作成する必要があります。

1. Google Cloud Platform の Google Developers Console に移動します。

2. Google 資格情報でサインインします。

   Google 管理者の資格情報は、ビジネス ドメインと関連付ける必要はありません。既存の Google アカウントと競合しないよう、組織で使用する Android 専用の Google アカウントを作成することを検討してください。

   注：追加アカウントを増やすことを検討してください。特定のアカウントが無効になった場合でも、追加のアカウントがあれば、ログインしてお使いの Google サービス アカウントにアクセスできます。

3. [プロジェクトを選択] メニューのドロップダウン メニューを使用して、[新しいプロジェクト] を選択します。

4. 「新しいプロジェクト」 ウィンドウで、プロジェクト名 を入力し、API プロジェクトを作成します。命名規則として Android EMM-CompanyName という形式の使用を検討してください。

5. 利用条件に同意し、作成 を選択します。

   プロジェクトが生成され、Google Developer Console が API マネージャ ページにリダイレクトします。

6. Android の API とサービス ダッシュボードから API とサービスの有効化 を選択します。

7. 次の API を検索して有効にします。Google Play EMM API と Admin SDK。

   プロジェクトを作成して API を有効にしたら、Google Developer Console でサービス アカウントを作成します。

8. [API とサービス] > [認証情報] > [認証情報を作成] > [サービス アカウント キー] > [新しいサービス アカウント] の順に進みます。

9. サービス アカウントの サービス アカウント名 を定義します。Android の命名規則に従うことを検討してください。また、以後の手順で必要になるため、選択した名前をメモしてください。

10. ドロップダウン メニューを使用して、[役割] > [プロジェクト] で [オーナー] を選択します。

11. キーのタイプ に P12 を選択します。

12. [作成] を選択します。ID 証明書が自動的に作成され、ローカル ドライブにダウンロードされます。証明書を Workspace ONE UEM console にアップロードするときに備えて、ID 証明書とパスワードを必ず保存してください。

13. サービス アカウント キー リストから サービス アカウントの管理 を選択し、「サービス アカウント」 ページを開きます。

14. サービス アカウントの横にあるメニュー ボタン (縦に並んだ 3 つのドット) を選択し、編集 を選択します。

15. G Suite ドメイン全体の委任を有効にする を選択します。

16. G Suite ドメインの順序変更設定で 製品名 を入力します。命名規則として AndroidEMM-CompanyName という形式の使用を検討してください。

17. [保存] を選択します。

18. ドメイン全体の委任 フィールドで クライアント ID を表示 を選択します。サービス アカウントの詳細が表示されます。ここで Developer Console から離れ、Google 管理者コンソールに資格情報を入力します。

    Developer Console から離れる前に、クライアント ID を必ず保存してください。これらの資格情報は、EMM トークンをアップロードするときに Workspace ONE UEM コンソールで使用します。

Google 管理者コンソールのセットアップ

Google 管理者コンソールは、管理者が組織内のユーザーの Google サービスを管理する場所です。Workspace ONE UEM では、Android および Chrome OS との統合に Google 管理コンソールを使用します。

管理 API クライアント アクセスのページでは、カスタム内部アプリケーションおよびサポートされている Google API (スコープ) へのサードパーティ アプリケーションによるアクセスを制御できます。

1. Google 管理者コンソールにログインして、[セキュリティ] > [高度な設定] > [API クライアント アクセスの管理] の順に進みます。

2. 以下の詳細情報を入力します。

   設定	説明
   クライアント名	Google サービス アカウントの作成時に生成されたクライアント ID を入力します
   1 つ以上の API のスコープ	次の Android 用 Google API のスコープをコピーして貼り付けます。https://www.googleapis.com/auth/admin.directory.user

3. 承認 を選択します。

EMM トークンの生成

独自の EMM トークンによって、Android 管理用のドメインが AirWatch でサポートされる Workspace ONE UEM にバインドされます。前のタスクから Google に移動 を選択して開始すると、G Suite セットアップ サイトにリダイレクトされます。

タスクで説明されている手順は、新しいドメインの EMM トークンを生成するためのものです。EMM トークンを生成するタスクは、新しいドメインに登録するのか、既存のドメインに登録するのかによって異なります。

既存のドメインのトークンを生成する場合は、[セキュリティ] > [Android 向けの EMM プロバイダの管理] の順に進み、[EMM トークンの生成] を選択して手順 5 に進みます。

1. 次の欄に入力します。

   1. ユーザー情報 – 管理者連絡先情報を入力します。

   2. 会社情報 – 会社の情報を記入します。

   3. Google 管理者アカウント – Google 管理者アカウントを作成します。

   4. 最終登録 – セキュリティの検証データを入力します。

2. Google によって設定された規約を読んで同意した後に 同意とアカウントの作成 を選択します。

3. ドメインの所有形態を検証してプロバイダに接続するには、残りのプロンプトに従います。検証後、これが管理対象の Google ドメインになります。

   ドメインの所有形態を確認するには、[ホームページにメタ タグを追加]、[ドメイン ホスト レコードを追加]、または[ドメイン サイトに HTML ファイルをアップロード] を使用できます。使用可能なオプションを構成します。

4. 検証 を選択して続行します。このプロセスが成功した場合、プロバイダに接続 セクションに EMM トークンが表示されます。このトークンの有効期間は 30 日間です。この手順の実行中に問題が発生した場合は、リストに表示されている番号と一意の PIN を使用して Google サポートに問い合わせてください。

5. 生成された EMM トークンをコピーし、完了 を選択します。

Workspace ONE UEM では、Workspace ONE UEM console に戻る前に Google サービス アカウントを作成して EMM トークンをアップロードし、すべての資格情報を一度にアップロードできるようにすることをお勧めします。

既存のドメインの EMM トークンを生成する

独自の EMM トークンによって、Android 管理用のドメインが AirWatch でサポートされる Workspace ONE UEM にバインドされます。既存のドメインの場合は、Google 管理コンソールに誘導され、EMM トークンが生成されます。タスクで説明されている手順は、既存のドメインの EMM トークンを生成するためのものです。EMM トークンを生成するタスクは、新しいドメインに登録するのか、既存のドメインに登録するのかによって異なります。新しいドメインの EMM トークンの生成については、「EMM トークンの生成」を参照してください。Google 管理者認証情報を使用して Google 管理者コンソールにログインします。[セキュリティ] > [Android 向けの EMM プロバイダの管理] の順に進み、[EMM トークンの生成] を選択します。トークンをコピーして Workspace ONE UEM console に貼り付けます。

タスクで説明されている手順は、既存のドメインの EMM トークンを生成するためのものです。EMM トークンを生成するタスクは、新しいドメインに登録するのか、既存のドメインに登録するのかによって異なります。

1. Google 管理の資格情報を使用して Google 管理コンソールにログインします。

2. [セキュリティ] > [Android 向けの EMM プロバイダの管理] の順に進み、[EMM トークンの生成] を選択します。

3. トークンをコピーして Workspace ONE UEM console に貼り付けます。

EMM トークンのアップロード

登録時に Google から取得した情報を入力します。これには、登録したドメイン、エンタープライズ トークン、作成した Google 管理コンソール メール アドレスが含まれます。

Google 管理コンソール メール アドレスで https://admin.google.com にログインして、セキュリティ] → [Android 向けの EMM プロバイダの管理 でエンタープライズ トークンを取得することもできます。

1. [はじめに] > [Workspace ONE] > [Android EMM 登録] の順に進みます。ウィンドウを閉じている場合は Workspace ONE UEM には自動的にリダイレクトされません。

2. Android のセットアップ ウィザードにリダイレクトするには、登録 を選択します。

3. Android のセットアップ ウィザードから トークンをアップロード を選択します。

   これは、エンタープライズ トークンとも呼ばれます。

4. 次の欄に入力します。

   設定	説明
   ドメイン	会社に関連付けられている Android を有効にするために要求されるドメインです。重要：ドメインがすでに EMM の別のプロバイダに登録されている場合は、新しい EMM トークンをアップロードすることはできません。
   エンタープライズ EMM トークン	Google 管理コンソールで生成されたトークン。
   Google 管理者 Eメール アドレス	これは、ドメイン登録、Google Developers Console、および Google 管理コンソールで使用される管理者アカウントです。
   クライアント ID	Google サービス アカウントの作成時に生成されたクライアント ID。この ID は、Google Developer コンソール設定 から取得します。
   Google サービス アカウントの Eメール アドレス	Google サービス アカウントの作成によって生成された E メール。この ID は、Google Developer コンソール設定 から取得します。
   証明書 ID	Google サービス アカウントの生成時に作成された P12 証明書をアップロードします。パスワードが必要です。この ID は、Google Developer コンソール設定 から取得します。

5. 次へ を選択してユーザーを設定します。

ユーザーセットアップ

Android を使用する会社内のすべてのユーザーは、デバイスに接続するために Google アカウントを作成する必要があります。Android EMM 登録ウィザードの最終ステップでは、ユーザーの作成用に選択するセットアップ方法を決定できます。

Android でユーザーを作成するための次の 2 つのオプションがあります。

• Workspace ONE UEM が加入時に自動的に Google アカウントを作成できるようにする。
• Google 管理者コンソールにログインして、または Google Active Directory 同期ツール (GADS) を使用して、手動でユーザーを作成する。

ユーザー名の形式は、username@<your_enterprise_domain>.com です。

1. 次のいずれかのオプションを有効にして、ユーザーの設定方法を決定します。

   • 加入ユーザーのメール アドレスに基づいた加入中に Google アカウントを作成する。
   • 認証に SAML を使用 - 加入プロセスに SAML を有効にします。
   • Google アカウント認証に SAML を使用する - この方法を使用するには、Google 管理コンソールで セキュリティ > シングル サインオン に移動してシングル サインオンを構成します。上記いずれかの方法で自動作成ユーザーが有効になっていない場合、Workspace ONE UEM console から Google Active Directory Sync ツール、または Google 管理者コンソールで Google アカウント作成の代替方法の指示があります。

2. テスト接続 オプションを使用して、Google と適切に通信しているか確認します。

   • API アクセスの実行：Google EMM API が有効で、アプリケーションがインストールできることを検証します。
   • ディレクトリ API アクセス：Admin SDK API が有効であり、https://www.googleapis.com/auth/admin.directory.user スコープが Google 管理コンソールで承認されていることを検証します。
3. [保存] を選択します。

Android 加入ユーザーの作成

VMware では、加入中に Android のユーザーを自動的に作成するよう推奨します。Android セットアップ ウィザードを使用すると、加入中にユーザー アカウントを自動的に作成するかどうかを指定できます。指定した場合は、SAML を使用してアカウントを認証します。以前に SAML を設定していない場合、ウィザードは、設定を構成するためのリンクを表示します。

ユーザーの自動作成

1. はい を選択して、加入ユーザーの E メールに基づいて加入時に Google アカウントを作成します。

2. はい を選択して、SAML エンドポイントを使用してアカウントを認証します。

   SAML をセットアップしていない場合、ウィザードは SAML 認証の設定を構成するようにプロンプトを表示します。

3. はい を選択して、Google アカウント認証に SAML を使用します。この場合、Google 管理者コンソールでシングル サインオンを構成する必要があります。

4. 保存 を選択して、Android のセットアップを完了します。

ユーザーの手動作成

Google Cloud ディレクトリの同期 (GCDS) ツールまたは Google 管理者コンソールのいずれかを使用して、Workspace ONE UEM Console 外で会社全体のユーザー アカウントを手動で作成できます。Google 管理者コンソールにアクセスするには、セットアップ ウィザードで提供されるリンクをクリックします。コンソールを使用する方法の詳細については、Google に連絡する必要があります。

GCDS 方法には、AirWatch ディレクトリ サービスと同様の設定を使用する必要があります。グループと設定 > すべての設定 > システム > エンタープライズ統合 > ディレクトリ サービス に移動して、ディレクトリ サービス設定にアクセスします。

セットアップ ウィザードでポストされたリンクをクリックして、または Google サポート ページから、お使いのコンピュータに直接ツールをダウンロードして、GCDS ツールにアクセスすることができます。

GDCS ツールを使用すると、1 回の一括作成で、会社内のすべての従業員の Google アカウントを手動で作成できます。アカウントは、VMware Workspace ONE ディレクトリ サービスに保存されている情報と同期することによって作成されます。

注：ここで説明する情報は、2017 年 3 月の最新バージョン GCDS v4.4.0 の時点のものです。

1. セットアップ ウィザードからのリンクを選択するか、Google から直接 GDCS ツールをダウンロードします。

2. デスクトップでツールを開き、ユーザー アカウント と グループ を選択して同期します。

3. [Google ドメインの構成] タブを選択して、以下を入力します。

   1. プライマリ ドメイン名 を入力します。

   2. (ユーザーとグループの) LDAP E メール アドレスのドメイン名をこのドメイン名に置き換えるために選択します。これにより、すべてのユーザーの E メール アドレスがドメイン名と一致するようになります。

4. 今すぐ承認 ボタンを選択します。

5. Google アプリ ディレクトリの同期を承認 ダイアログが表示されたら、手順に従って承認プロセスを続行します。

   1. Android 管理者アカウントにサインインします。

   2. E メールで受信した認証を入力します。

   3. 検証 を選択して、これらの設定を確認します。

6. LDAP 構成 タブを選択して、AirWatch ディレクトリ サービスと Google を同期するための接続設定を入力します。ここから、このツールと同期する AirWatch ディレクトリ サービス内に保存されている同じ設定を入力できます。これらの設定にアクセスするには、グループと設定 > すべての設定 > システム > エンタープライズ統合 > ディレクトリ サービス に移動します。

7. テスト接続 を選択します。同期が成功した場合は、リンクされた Active Directory アカウントと Google の会社の Google アカウントが自動作成されます。

   セットアップ ウィザードに戻って、セットアップを終了します。

Workspace ONE UEM からのドメインのバインド解除

Google アカウントを変更する必要があるイベントで、Workspace ONE UEM コンソールの Android 管理者アカウントのバインドを解除できます。

1. [デバイス] > [デバイス設定] > [デバイスとユーザー] > [Android] > [Android EMM 登録] の順に進みます。

2. 「Android EMM 登録」 画面から 設定を消去する を選択します。