Workspace ONE UEM への Android の登録

Android デバイスの管理を開始するには、Workspace ONE UEM を貴社のエンタープライズ モビリティ管理 (EMM) プロバイダとして Google に登録する必要があります。Workspace ONE UEM コンソールの 「はじめに」画面では、デバイス全体をセキュリティで保護し、管理するために必要なエンタープライズ管理ツールの構成に役立つステップ バイ ステップ ソリューションを提供します。

Android Enterprise の登録には 2 つの方法があります。管理対象の Google Domain Enterprise を使用する方法が、推奨されるようになりました。管理対象の Google Domain Enterprise を使用すると、Google は Android Enterprise デバイスを組織のドメインにバインドします。Android EMM 登録セットアップ ウィザードでは、組織のドメインを指定します。ドメインがまだ Google Workspace に登録されていない場合は、組織に関する追加情報を Google に提供するように求められます。Android EMM 登録の完了後に Google 管理コンソールでドメインを確認すると、ドメインを他の Google エンタープライズ サービスで使用できるようになります。このドメインを使用してすでに Google Workspace にサインアップしている場合は、エンタープライズ Google アカウントを使用してログインするように求められます。複数の管理対象 Google ドメイン エンタープライズを 1 つのドメインに関連付けることができます。したがって、複数のWorkspace ONE UEM環境で同じドメインを使用して Android EMM 登録を完了できます。

管理対象の Google Domain Enterprise を使用できないエッジの場合にのみ、管理対象の Google Domain Enterprise を使用して Android EMM 登録を完了することが、Google によって推奨されるようになりました。管理対象の Google Play Enterprise を使用する場合は、組織のデバイスを GMail アカウントによって管理されるエンタープライズにバインドします。この方法を使用して以前に Android EMM 登録を完了した組織でも、Workspace ONE UEMと既存の管理対象 Google Play Enterprises 間のバインドを再確立できます。

重要:管理対象の Google Play Enterprise を使用して登録を完了したら、GMail アカウントを管理者として追加することを強くお勧めします。これは、プライマリ アカウントが非アクティブになった場合にエンタープライズの管理を維持するのに役立ちます。詳細については、「エンタープライズでのロールの割り当て」を参照してください。さらに、管理対象の Google Play Enterprise に関連付けられている組織は削除しないでください。削除すると、Android デバイスの管理機能が失われる可能性があります。

Google サービス アカウントは、Workspace ONE UEMが Google API にアクセスするために使用する特別な Google アカウントであり、管理対象の Google ドメイン エンタープライズを作成する従来の方法を使用して Android を設定する場合に必要です。それ以外の場合、Google サービス アカウントの認証情報は、Android EMM 登録セットアップ ウィザードの完了後に自動的に入力されます。

重要:Android の設定には、VMware によって管理されていないサードパーティ ツールの統合が含まれます。このガイドの Google 管理コンソールと Google Developer Console の情報は、2024 年 3 月時点で利用可能なバージョンに記載されています。サードパーティ製品との統合は、サードバーティ ソリューションが適切に機能することに依存するため、保証されていません。

管理対象 Google ドメイン エンタープライズへの登録

新しい管理対象の Google Domain Enterprise を使用して Android Enterprise をセットアップするには、[はじめに] または [Android EMM 登録] 設定ページで [Google に登録する] を選択します。これにより Google 登録ウィザードが起動し、新しい組織に推奨される方法となります。代替のサインアップ フローを使用して、組織がエンタープライズ トークン、サービス アカウント、およびその他の詳細を手動で指定できるようにします。この方法は、新しいWorkspace ONE UEM環境で Android を構成する組織には推奨されません。

前提条件

「Android EMM 登録」ページがブロックされている場合は、内部および外部のエンドポイントと通信するネットワーク アーキテクチャで Google URL が選択されていることを確認します。

Google 登録ウィザードの使用(推奨)

Workspace ONE UEM コンソールを使用して、シンプルなセットアップ プロセスを完了し、UEM コンソールを EMM プロバイダとして Google にバインドすることができます。

手順

  1. [はじめに] > [Workspace ONE] > [Android EMM 登録] の順に進みます。

  2. 構成 を選択すると、「Android EMM 登録」 ページにリダイレクトされます。

  3. [Google に登録する] を選択します。Google セットアップ ウィザードにリダイレクトされます。

  4. 勤務先のメール アドレスを入力します。このアカウントは組織のドメインに属している必要があります。

  5. E メールの検証を完了します。

  6. ドメインが Google Workspace に登録されていない場合は、プロンプトに従ってエンタープライズ Google アカウントを作成し、組織の名前を入力します。

  7. この組織の EMM バインドをWorkspace ONE UEMできるようにします。

Workspace ONE UEM Consoleの [Android EMM 登録] 設定ページにリダイレクトされます。組織の詳細と、管理対象の Google ドメイン エンタープライズの作成に使用した管理者のメール アドレスがここに表示されます。

Workspace ONE UEM登録ウィザードの使用

管理対象 Google ドメインを使用してアカウントを設定するには、すでに使用していない場合は、Google ドメインを設定するための組織が必要です。Google を使用するドメイン所有権の検証、EMM トークンの取得、このタイプのセットアップを使用するエンタープライズ サービス アカウントの作成など、いくつかの手動タスクも完了します。

  1. [はじめに] > [Workspace ONE] > [Android EMM 登録] の順に進みます。

  2. 登録 を選択して Android セットアップ ウィザードにリダイレクトし、次の 3 つの手順を完了します。

    1. トークンを生成:Google を使用して貴社のドメインを登録して、エンタープライズ トークンを取得します。

    2. トークンをアップロード:Android セットアップ ウィザードに、EMM トークンを入力します。

    3. ユーザー セットアップ:貴社全体で使用するユーザーを作成する方法を構成します。

  3. Google に移動 を選択します。G Suite サイトにリダイレクトされます。

  4. 貴社を登録し、ドメインを確認します。

Google サービス アカウントのセットアップ

Google サービス アカウントは、アプリケーションが Google API にアクセスするために使用する特別な Google アカウントです。一度にすべての情報をアップロードできるように、EMM トークンを生成した後でこのアカウントを作成する必要があります。

  1. Google Cloud Platform の Google Developers Console に移動します。

  2. Google 資格情報でサインインします。

    Google 管理者の資格情報は、ビジネス ドメインと関連付ける必要はありません。既存の Google アカウントと競合しないよう、組織で使用する Android 専用の Google アカウントを作成することを検討してください。

    注:追加アカウントを増やすことを検討してください。特定のアカウントが無効になった場合でも、追加のアカウントがあれば、ログインしてお使いの Google サービス アカウントにアクセスできます。

  3. [プロジェクトを選択] メニューのドロップダウン メニューを使用して、[新しいプロジェクト] を選択します。

  4. [新しいプロジェクト] ウィンドウで、プロジェクト名 を入力し、API プロジェクトを作成します。命名規則として Android EMM-CompanyName という形式の使用を検討してください。

  5. 利用条件に同意し、作成 を選択します。

    プロジェクトが生成され、Google Developer Console が API マネージャ ページにリダイレクトします。

  6. Android の API とサービス ダッシュボードから API とサービスの有効化 を選択します。

  7. 次の API を検索して有効にします。Google Play EMM APIAdmin SDK

    プロジェクトを作成して API を有効にしたら、Google Developer Console でサービス アカウントを作成します。

  8. [API とサービス] > [認証情報] > [認証情報を作成] > [サービス アカウント キー] > [新しいサービス アカウント] の順に進みます。

  9. サービス アカウントの サービス アカウント名 を定義します。Android の命名規則に従うことを検討してください。また、以後の手順で必要になるため、選択した名前をメモしてください。サービス アカウント ID が自動的に生成されます。[作成][続行] をクリックします。

  10. ドロップダウン メニューを使用して、[役割] > [プロジェクト][オーナー] を選択し、[続行] を選択します。

  11. 表示されている手順 3 をスキップして、他のユーザーにサービス アカウントへのアクセス権を付与できます。[完了] を選択します。

  12. 作成したサービス アカウントを選択します。[キー] タブに移動し、[キーの追加] > [新しいキーを作成] を選択します。P12 を選択し、[作成] を選択します。

    ID 証明書が自動的に作成され、ローカル ドライブにダウンロードされます。証明書を Workspace ONE UEM console にアップロードするときに備えて、ID 証明書とパスワードを必ず保存してください。

  13. [サービス アカウント] ページから [サービス アカウントの管理] を選択します。[詳細設定] には、 ドメイン全体の委任の詳細を確認する ためのリンクがあります。ドメイン全体の委任をオンにするには、次の手順を実行します。

    ドメイン全体の権限をサービス アカウントに委任するには、Google Workspace ドメインのスーパー管理者が次の手順を実行する必要があります。1.Google Workspace ドメインの管理コンソールから、[メイン メニュー] > [セキュリティ] > [アクセスとデータ制御] > [API コントロール] の順に移動します。2.[ドメイン全体の委任] ペインで、[ドメイン全体の委任の管理] を選択します。3.[新規追加] をクリックします。4.クライアント ID フィールドに、サービス アカウントのクライアント ID を入力します。サービス アカウントのクライアント ID は、[サービス アカウント] ページで確認できます。5.OAuth 範囲 (コンマ区切り) フィールドに、アプリケーションに次へのアクセス権を付与する範囲のリストを入力します:https://www.googleapis.com/auth/admin.directory.user 6[承認] をクリックします。

  14. Google 管理コンソールで作成したサービス アカウントの詳細設定に戻り、サービス アカウントの詳細で E メールと一意の ID をメモ/コピーします。これらは後で Android EMM 登録を行うときに使用します。

Google 管理者コンソールのセットアップ

Google 管理者コンソールは、管理者が組織内のユーザーの Google サービスを管理する場所です。Workspace ONE UEM では、Android および Chrome OS との統合に Google 管理コンソールを使用します。

管理 API クライアント アクセスのページでは、カスタム内部アプリケーションおよびサポートされている Google API (スコープ) へのサードパーティ アプリケーションによるアクセスを制御できます。

  1. Google 管理者コンソールにログインして、[セキュリティ] > [高度な設定] > [API クライアント アクセスの管理] の順に進みます。

  2. 以下の詳細情報を入力します。

    設定 説明
    クライアント名 Google サービス アカウントの作成時に生成されたクライアント ID を入力します
    1 つ以上の API のスコープ 次の Android 用 Google API のスコープをコピーして貼り付けます。https://www.googleapis.com/auth/admin.directory.user
  3. 承認 を選択します。

EMM トークンの生成

独自の EMM トークンによって、Android 管理用のドメインが AirWatch でサポートされる Workspace ONE UEM にバインドされます。前のタスクから Google に移動 を選択して開始すると、G Suite セットアップ サイトにリダイレクトされます。

タスクで説明されている手順は、新しいドメインの EMM トークンを生成するためのものです。EMM トークンを生成するタスクは、新しいドメインに登録するのか、既存のドメインに登録するのかによって異なります。

既存のドメインのトークンを生成する場合は、[セキュリティ] > [Android 向けの EMM プロバイダの管理] の順に進み、[EMM トークンの生成] を選択して手順 5 に進みます。

  1. 次の欄に入力します。

    1. ユーザー情報 – 管理者連絡先情報を入力します。

    2. 会社情報 – 会社の情報を記入します。

    3. Google 管理者アカウント – Google 管理者アカウントを作成します。

    4. 最終登録 – セキュリティの検証データを入力します。

  2. Google によって設定された規約を読んで同意した後に 同意とアカウントの作成 を選択します。

  3. ドメインの所有形態を検証してプロバイダに接続するには、残りのプロンプトに従います。検証後、これが管理対象の Google ドメインになります。

    ドメインの所有形態を確認するには、[ホームページにメタ タグを追加][ドメイン ホスト レコードを追加]、または[ドメイン サイトに HTML ファイルをアップロード] を使用できます。使用可能なオプションを構成します。

  4. 検証 を選択して続行します。このプロセスが成功した場合、プロバイダに接続 セクションに EMM トークンが表示されます。このトークンの有効期間は 30 日間です。この手順の実行中に問題が発生した場合は、リストに表示されている番号と一意の PIN を使用して Google サポートに問い合わせてください。

  5. 生成された EMM トークンをコピーし、完了 を選択します。

Workspace ONE UEM では、Workspace ONE UEM console に戻る前に Google サービス アカウントを作成して EMM トークンをアップロードし、すべての資格情報を一度にアップロードできるようにすることをお勧めします。

既存のドメインの EMM トークンを生成する

独自の EMM トークンによって、Android 管理用のドメインが AirWatch でサポートされる Workspace ONE UEM にバインドされます。既存のドメインの場合は、Google 管理コンソールに誘導され、EMM トークンが生成されます。タスクで説明されている手順は、既存のドメインの EMM トークンを生成するためのものです。EMM トークンを生成するタスクは、新しいドメインに登録するのか、既存のドメインに登録するのかによって異なります。新しいドメインの EMM トークンの生成については、「EMM トークンの生成」を参照してください。Google 管理者認証情報を使用して Google 管理者コンソールにログインします。[セキュリティ] > [Android 向けの EMM プロバイダの管理] の順に進み、[EMM トークンの生成] を選択します。トークンをコピーして Workspace ONE UEM console に貼り付けます。

タスクで説明されている手順は、既存のドメインの EMM トークンを生成するためのものです。EMM トークンを生成するタスクは、新しいドメインに登録するのか、既存のドメインに登録するのかによって異なります。

  1. Google 管理の資格情報を使用して Google 管理コンソールにログインします。

  2. [セキュリティ] > [Android 向けの EMM プロバイダの管理] の順に進み、[EMM トークンの生成] を選択します。

  3. トークンをコピーして Workspace ONE UEM console に貼り付けます。

EMM トークンのアップロード

登録時に Google から取得した情報を入力します。これには、登録したドメイン、エンタープライズ トークン、作成した Google 管理コンソール メール アドレスが含まれます。

Google 管理コンソール メール アドレスで https://admin.google.com にログインして、セキュリティ] → [Android 向けの EMM プロバイダの管理 でエンタープライズ トークンを取得することもできます。

  1. [はじめに] > [Workspace ONE] > [Android EMM 登録] の順に進みます。ウィンドウを閉じている場合は Workspace ONE UEM には自動的にリダイレクトされません。

  2. Android のセットアップ ウィザードにリダイレクトするには、登録 を選択します。

  3. Android のセットアップ ウィザードから トークンをアップロード を選択します。

    これは、エンタープライズ トークンとも呼ばれます。

  4. 次の欄に入力します。

    設定 説明
    ドメイン 会社に関連付けられている Android を有効にするために要求されるドメインです。重要:ドメインがすでに EMM の別のプロバイダに登録されている場合は、新しい EMM トークンをアップロードすることはできません。
    エンタープライズ EMM トークン Google 管理コンソールで生成されたトークン。
    Google 管理者 Eメール アドレス これは、ドメイン登録、Google Developers Console、および Google 管理コンソールで使用される管理者アカウントです。
    クライアント ID Google サービス アカウントの作成時に生成されたクライアント ID。この ID は、Google Developer コンソール設定 から取得します。
    Google サービス アカウントの Eメール アドレス Google サービス アカウントの作成によって生成された E メール。この ID は、Google Developer コンソール設定 から取得します。
    証明書 ID Google サービス アカウントの生成時に作成された P12 証明書をアップロードします。パスワードが必要です。この ID は、Google Developer コンソール設定 から取得します。
  5. 次へ を選択してユーザーを設定します。

ユーザーセットアップ

Android を使用する会社内のすべてのユーザーは、デバイスに接続するために Google アカウントを作成する必要があります。Android EMM 登録ウィザードの最終ステップでは、ユーザーの作成用に選択するセットアップ方法を決定できます。

Android でユーザーを作成するための次の 2 つのオプションがあります。

  • Workspace ONE UEM が加入時に自動的に Google アカウントを作成できるようにする。
  • Google 管理者コンソールにログインして、または Google Active Directory 同期ツール (GADS) を使用して、手動でユーザーを作成する。

ユーザー名の形式は、username@<your_enterprise_domain>.com です。

  1. 次のいずれかのオプションを有効にして、ユーザーの設定方法を決定します。

    • 加入ユーザーのメール アドレスに基づいた加入中に Google アカウントを作成する。
    • 認証に SAML を使用 - 加入プロセスに SAML を有効にします。
    • Google アカウント認証に SAML を使用する - この方法を使用するには、Google 管理コンソールで セキュリティ > シングル サインオン に移動してシングル サインオンを構成します。上記いずれかの方法でユーザーの自動作成が有効になっていない場合、Workspace ONE UEM コンソールから Google Active Directory Sync ツール、または Google 管理コンソールによる Google アカウント作成の代替方法の指示があります。
  2. テスト接続 オプションを使用して、Google と適切に通信しているか確認します。

    • API アクセスの実行:Google EMM API が有効で、アプリケーションがインストールできることを検証します。
    • ディレクトリ API アクセス:Admin SDK API が有効に設定され、https://www.googleapis.com/auth/admin.directory.user スコープが Google 管理コンソールで承認されていることを検証します。
  3. [保存] を選択します。

管理対象の Google Play Enterprise への登録

組織がWorkspace ONE UEMと管理対象 Google Play Enterprise 間のバインドを再確立する必要がある場合、または管理対象の Google ドメイン エンタープライズを使用できない場合、組織は管理対象の Google Play Enterprise を使用するように Android を構成できます。これは、新しいWorkspace ONE UEM環境では推奨されません。

手順

  1. [はじめに] > [Workspace ONE] > [Android EMM 登録] の順に進みます。

  2. 構成 を選択すると、「Android EMM 登録」 ページにリダイレクトされます。

  3. [Google に登録する] を選択します。Google セットアップ ウィザードにリダイレクトされます。

  4. 仕事用メール アドレスの入力を求められたら、管理対象の Google Play Enterprise を管理する GMail アカウントのメール アドレスを入力します。新しいエンタープライズを作成する場合は、[Android にのみサインアップ] を選択します。

  5. プロンプトに従って、管理対象の Google Play Enterprise 登録を完了します。必要に応じて、組織に関する追加情報を入力します。

Workspace ONE UEM Consoleの [Android EMM 登録] 設定ページにリダイレクトされます。組織の詳細と、管理対象の Google ドメイン エンタープライズの作成に使用した管理者のメール アドレスがここに表示されます。

Android 加入ユーザーの作成(レガシーの管理対象 Google ドメイン エンタープライズのみ)

VMware では、加入中に Android のユーザーを自動的に作成するよう推奨します。Android セットアップ ウィザードを使用すると、加入中にユーザー アカウントを自動的に作成するかどうかを指定できます。指定した場合は、SAML を使用してアカウントを認証します。以前に SAML を設定していない場合、ウィザードは、設定を構成するためのリンクを表示します。

ユーザーの自動作成

  1. はい を選択して、加入ユーザーの E メールに基づいて加入時に Google アカウントを作成します。

  2. はい を選択して、SAML エンドポイントを使用してアカウントを認証します。

    SAML をセットアップしていない場合、ウィザードは SAML 認証の設定を構成するようにプロンプトを表示します。

  3. はい を選択して、Google アカウント認証に SAML を使用します。この場合、Google 管理者コンソールでシングル サインオンを構成する必要があります。

  4. 保存 を選択して、Android のセットアップを完了します。

ユーザーの手動作成

Google Cloud ディレクトリの同期 (GCDS) ツールまたは Google 管理者コンソールのいずれかを使用して、Workspace ONE UEM Console 外で会社全体のユーザー アカウントを手動で作成できます。Google 管理者コンソールにアクセスするには、セットアップ ウィザードで提供されるリンクをクリックします。コンソールを使用する方法の詳細については、Google に連絡する必要があります。

GCDS 方法には、AirWatch ディレクトリ サービスと同様の設定を使用する必要があります。グループと設定 > すべての設定 > システム > エンタープライズ統合 > ディレクトリ サービス に移動して、ディレクトリ サービス設定にアクセスします。

セットアップ ウィザードでポストされたリンクをクリックして、または Google サポート ページから、お使いのコンピュータに直接ツールをダウンロードして、GCDS ツールにアクセスすることができます。

GDCS ツールを使用すると、1 回の一括作成で、会社内のすべての従業員の Google アカウントを手動で作成できます。アカウントは、VMware Workspace ONE ディレクトリ サービスに保存されている情報と同期することによって作成されます。

注:ここで説明する情報は、2017 年 3 月の最新バージョン GCDS v4.4.0 の時点のものです。

  1. セットアップ ウィザードからのリンクを選択するか、Google から直接 GDCS ツールをダウンロードします。

  2. デスクトップでツールを開き、ユーザー アカウントグループ を選択して同期します。

  3. [Google ドメインの構成] タブを選択して、以下を入力します。

    1. プライマリ ドメイン名 を入力します。

    2. (ユーザーとグループの) LDAP E メール アドレスのドメイン名をこのドメイン名に置き換えるために選択します。これにより、すべてのユーザーの E メール アドレスがドメイン名と一致するようになります。

  4. 今すぐ承認 ボタンを選択します。

  5. Google アプリ ディレクトリの同期を承認 ダイアログが表示されたら、手順に従って承認プロセスを続行します。

    1. Android 管理者アカウントにサインインします。

    2. E メールで受信した認証を入力します。

    3. 検証 を選択して、これらの設定を確認します。

  6. LDAP 構成 タブを選択して、AirWatch ディレクトリ サービスと Google を同期するための接続設定を入力します。ここから、このツールと同期する AirWatch ディレクトリ サービス内に保存されている同じ設定を入力できます。これらの設定にアクセスするには、グループと設定 > すべての設定 > システム > エンタープライズ統合 > ディレクトリ サービス に移動します。

  7. テスト接続 を選択します。同期が成功した場合は、リンクされた Active Directory アカウントと Google の会社の Google アカウントが自動作成されます。

    セットアップ ウィザードに戻って、セットアップを終了します。

Workspace ONE UEMを使用した Android Enterprise バインドのクリア

管理対象の Google ドメイン エンタープライズまたは管理対象の Google Play Enterprise から、Workspace ONE UEM環境のバインドを解除できます。

警告: 重要な Android デバイス管理機能には、Android Enterprise バインドが必要です。以前に Workspace ONE UEM 環境に加入したデバイスに対してこの管理機能をリストアする唯一の方法は、同じ Android Enterprise へのバインドを解除することです。Google は、30 日間Workspace ONE UEMにバインドされていないエンタープライズを自動的に削除します。この時点でリカバリ不能になります。

  1. [デバイス] > [デバイス設定] > [デバイスとユーザー] > [Android] > [Android EMM 登録] の順に進みます。

  2. 「Android EMM 登録」 画面から 設定を消去する を選択します。

check-circle-line exclamation-circle-line close-line
Scroll to top icon