アプリケーション グループ(アプリ グループ)と順守ポリシーを使用して、Workspace ONE UEM 環境内のリソースを保護できます。アプリケーション グループは、許可されたアプリと制限されているアプリケーションを特定し、標準的なセキュリティ保護に従っていないデバイスに順守ポリシーが作用できるようにします。

複数のプラットフォームを対象にアプリ グループを構成することはできますが、すべてを順守ポリシーと組み合わせることはできません。順守ポリシーと組み合わせることができないプラットフォームには、アプリ制御プロファイルを適用します。

表 1. プラットフォーム別のアプリ グループと順守ポリシー
アプリ グループ プラットフォーム 順守ポリシーと連携する アプリケーション制御プロファイルと連携する
Android はい はい
Apple iOS はい いいえ
Windows Phone いいえ はい

アプリケーション グループを構成する必要はありません。ただし、アプリケーション グループは、順守ポリシーの効果と範囲を、構成を最小限に抑えたままで強化することができます。

表 2. アプリケーション グループと順守ポリシーの関係
アプリケーション グループ 説明 順守ポリシー 操作
[ホワイトリスト] 管理デバイスは、AirWatch Catalog からこれらのアプリケーションをインストールすることができます。

このリストにないアプリケーションは、管理デバイスでは許可されていません。

[ホワイトリストにないアプリが含まれている] 順守エンジンは、デバイスにインストールされている、ホワイトリスト アプリ グループにないアプリケーションを識別し、順守ルールに構成されているアクションを適用します。
[ブラックリスト] これらのアプリケーションを管理デバイスにインストールすることは許可されていません。

このリストにあるアプリケーションは、管理デバイスでは許可されていません。

[ブラックリストアプリが含まれている] 順守エンジンは、デバイス上でブラックリスト アプリ グループのアプリケーションを識別し、順守ルールに構成されているアクションを適用します。
[必須] 管理デバイスは、AirWatch Catalog からこれらのアプリケーションをインストールすることが義務付けられています。

デバイス ユーザーは、このリストにあるアプリケーションを管理デバイスにインストールしなければなりません。

[必須アプリが含まれていない] 順守エンジンは、デバイス上にない必須のアプリ グループのアプリケーションを識別し、順守ルールに構成されているアクションを適用します。
注: UEM console で自動展開モードに設定されているアプリケーションは、次の条件では自動的に展開されません。
  • アプリケーションをデバイスに割り当てられているブラックリスト アプリ グループに追加する場合。
  • アプリケーションをデバイスに割り当てられているホワイトリスト アプリ グループから除外する場合。

プライバシー設定がアプリケーション リスト順守およびアプリケーション制御プロファイルに与える影響

Workspace ONE UEM console で、個人アプリケーションのプライバシー設定を [収集しない] として構成した場合、個人アプリ情報はデバイスから収集されません。つまり、エンドユーザーの個人アプリケーション情報はデバイスから送信されません。

ただし、プライバシー設定には、アプリケーション リスト順守およびアプリケーション制御プロファイルの設定に影響を与える次の注意事項があります。

  • アプリケーション リストの順守ポリシーでは、デバイスに適切なアプリケーション(ブラックリスト設定、ホワイトリスト設定、または必須)があることが確認されます。システムがアプリケーション リストをクエリしない場合、それらのアプリケーションが確認されないことがあります。その結果、特定のブラックリスト アプリケーションを含んだデバイスが「非順守」としてマークされません。同様に、特定の「必須」(個人)アプリケーションを含んだデバイスが「非順守」としてマークされます。
  • 「ブラックリストに設定された」アプリに対するアクションを持つアプリケーション制御プロファイルは、個人アプリのプライバシーが [収集しない] に設定されているデバイスには適用されず、個人アプリ情報を収集するデバイスにのみ適用されます。
エンドユーザーの個人アプリケーション リストに対してアクションを実行する場合は、対象のデバイス所有形態タイプに対する個人アプリ プライバシー構成をすべての組織グループで追跡し、次を確認します。
  • 構成が [収集しない] に設定されていないことを確認します。エンドユーザーのプライバシーを確保し、悪意のあるアプリケーションが検出されるようにする場合は、プライバシー構成を [収集するが表示しない] に設定します。
  • アクションの実行対象となるアプリケーションを Workspace ONE UEM から受け取る資格がエンドユーザー デバイスにあることを確認します。

アプリケーション グループの構成

アプリケーション グループ (アプリ グループ) を順守ポリシーで使用できるように構成します。アプリケーションのインストール、更新、または削除を順守していないデバイスに一連の対応措置を取ります。アプリケーション グループを組織グループに割り当てます。メイン組織グループにアプリケーション グループを割り当てると、サブ組織グループはアプリケーション グループの構成を継承します。

  1. [リソース] > [アプリ] > [設定] > [アプリ グループ] の順に進みます。
  2. [グループを追加] を選択します。
  3. [リスト] タブでフィールド値を指定します。
    設定 説明
    タイプ 目的に合わせて、作成したいアプリケーション グループのタイプを選択します (例: アプリケーションを許可する、アプリケーションをブロックする、アプリケーションのインストールを必須にする)。

    カスタム MDM アプリケーションをグループ化することが目的である場合は、[MDM アプリケーション] を選択します。メニューに表示させるには、このオプションを有効にする必要があります。

    プラットフォーム アプリ グループのプラットフォームを選択します。
    名前 Workspace ONE UEM Console 上でのアプリケーション グループの表示名を入力します。
    アプリケーションを追加 このオプションを有効にした場合、アプリ グループに追加するアプリケーションを検索するためのテキスト ボックスが表示されます。
    アプリケーション名 アプリ ストアでこのアプリケーションを検索する際に使用するアプリケーション名を入力します。
    アプリ ID 検索機能を利用してアプリ ストアでこのアプリケーションを検索する際に自動入力される文字列を確認します。
    公開者の追加 - Windows Phone Windows Phone でアプリケーション グループに複数の公開者を追加するには、このオプションを選択します。

    公開者は、アプリケーションを作成する組織です。

    このオプションと [アプリケーションの追加] の入力内容を組み合わせて、Windows Phone のホワイトリストとブラックリストに対して、公開者エントリの例外を作成します。

  4. [次へ] を選択し、アプリケーション制御プロファイルに進みます。アプリケーション制御プロファイルを作成して、Windows Phone に適用する必要があります。アプリケーション制御プロファイルを Android デバイス用に使用することができます。
  5. [割り当て] タブの設定を入力します。
    説明 アプリグループの目的とその他の関連情報を入力します。
    デバイス所有形態 アプリグループが適用されるデバイスタイプを選択します。
    モデル アプリグループが適用されるデバイスモデルを選択します。
    オペレーティング システム アプリグループが適用される OS を選択します。
    管理元 アプリグループを管理する組織グループを閲覧または編集します。
    組織グループ アプリグループが適用される組織グループを追加します。
    ユーザー グループ アプリグループが適用されるユーザーグループを追加します。
  6. [完了] をクリックし、構成を完了します。

アプリ グループとアプリケーション制御プロファイルの編集

アプリ グループとアプリケーション制御プロファイルを編集できます。Android および Windows Phone のアプリ グループを編集する場合は、最初にアプリ グループを編集してから、アプリケーション プロファイルを編集します。

  1. 最初にアプリ グループを編集します。
  2. アプリケーション プロファイルを編集して新たなバージョンのプロファイルを作成します。
  3. 新たなバージョンのアプリケーション プロファイルを保存してデバイスに公開します。

アプリ グループに対する変更は、新しいバージョンのアプリケーション制御プロファイルがデバイスに展開されない限り反映されません。

AirWatch Catalog の必須リストを作成する

アプリ グループを使用して、デバイスに必須でインストールさせたいアプリケーションの通知を App Catalog にプッシュできます。

  1. [リソース] > [アプリ] > [設定] > [アプリ グループ] の順に選択します。
  2. アプリ グループを追加/編集します。
  3. [リスト] タブで、[タイプ][必須] を選択します。
  4. [割り当て] タブで、必須アプリケーションをプッシュしたいデバイスが属している組織グループとユーザー グループを選択します。

アプリケーション グループに対しカスタム MDM アプリケーションを有効にする

カスタム MDM アプリケーションはアプリ グループの 1 つのタイプで、位置情報やジェイルブレイク状態といったデバイス情報を追跡するためにカスタマイズされます。Workspace ONE UEM にカスタム MDM アプリケーションを識別させ、管理者がそれを特別なアプリ グループに割り当てて情報収集、トラブルシューティング、アセット追跡に使用できるようにします。

Workspace ONE UEM は、Android と Apple iOS プラットフォーム向けにビルドされたカスタム MDM アプリケーションをサポートします。それらを内部アプリケーションとしてアップロードします。

[カスタム MDM アプリケーションを使用する] を有効にし、Workspace ONE UEM のアプリケーション グループ メニューでこのオプションを選択できるようにします。順守エンジンがデバイスでカスタム MDM アプリケーションを検知しても、Workspace ONE UEM はそれらを削除しません。これらのアプリケーションは監査、追跡、トラブルシューティング目的で使用されます。

  1. [グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [加入] の順に選択します。
  2. [カスタマイズ] を選択します。
  3. [カスタム MDM アプリケーションを使用] を有効にします。

アプリケーションの順守ポリシー

順守ポリシーを使用して、企業が設定したルールに従わないデバイスに対応措置をとることができます。たとえば、禁止されているアプリケーションをユーザーがインストールすると検出するような順守ポリシーを作成できます。非順守状態のデバイスには自動で対応措置がとられるようにシステムを構成することもできます。

順守ポリシーは、順守ポリシー表示を使用して個別のアプリケーションに対して作成することも、アプリケーション グループを使用して複数のアプリケーションに対して作成することもできます。アプリケーション グループ の使用は必須ではありませんが、グループを使用することで、多数の非順守状態のデバイスに対して防止的なアクションをとることができます。

順守ポリシー アクションの例:順守エンジンにゲーム タイプのアプリケーションを持つユーザーを検出させます。ゲーム タイプのアプリケーションは、拒否リスト アプリ グループのリストに追加して指定します。順守エンジンを構成し、以下のような対策をとります。
  • ユーザーにプッシュ通知を送信してアプリケーションの削除を促します。
  • Wi-Fi、VPN、Eメール プロファイルなどの特定の機能をデバイスから削除します。
  • 特定の管理アプリケーションおよびプロファイルを削除します。
  • 最終 Eメール通知をユーザーに送信し、IT セキュリティ部門および人事部にも CC で通知します。

複数のプラットフォームを対象にアプリケーションリスト順守ポリシーを構成し、非順守状態のデバイスに対応措置を取ることができます。

順守ポリシーとアプリケーションでサポートするプラットフォーム:

  • Android
  • Apple iOS
  • macOS

アプリケーション順守ポリシーを作成する

アプリグループと連携する順守ポリシーを追加し、モバイル ネットワークにセキュリティ層を追加します。ポリシーを構成することで、Workspace ONE UEM の順守エンジンは非順守状態のデバイスに一連の対応措置を取ることができます。

  1. [デバイス] > [順守ポリシー] > [リスト表示] の順に進み、[追加] を選択します。
  2. プラットフォームを [Android][Apple iOS][Apple macOS] から選択します。
  3. [ルール] タブから [アプリケーション リスト] を選択します。
  4. 必要な順守ルールの目的に適うオプションを選択します。
    表 3.
    設定 説明
    以下を含む アプリケーション識別子を追加して順守エンジンを構成し、それらがデバイス上に存在するか監視します。

    順守ルールが割り当てられたデバイスに該当アプリケーションがインストールされていることをエンジンが検知すると、エンジンはルールで構成されたアクションを実行します。

    以下を含まない アプリケーション識別子を追加して順守エンジンを構成し、それらがデバイス上に存在するか監視します。

    順守ルールが割り当てられたデバイスに該当アプリケーションがインストールされていないことをエンジンが検知すると、エンジンはルールで構成されたアクションを実行します。

    ブラックリスト アプリが含まれている 順守ルールが割り当てられたデバイスに、ブラックリスト アプリ グループに含まれるアプリが存在することをエンジンが検知すると、エンジンはルールで構成されたアクションを実行します。
    ベンダー ブラックリストアプリが含まれている アプリケーション評価分析スキャン システムからアプリケーションを追加して順守エンジンを構成し、それらがデバイス上に存在するか監視します。

    順守ルールが割り当てられたデバイスに、ブラックリスト アプリ グループに含まれるアプリが存在することをエンジンが検知すると、エンジンはルールで構成されたアクションを実行します。

    アプリ スキャン サービスを Workspace ONE UEM と統合する場合、このオプションを使用します。メニューに表示させるには、このオプションを有効にする必要があります。これは、適切な SKU の使用を必要とする高度なアプリケーション管理機能です。

    ホワイトリストにないアプリが含まれている 順守ルールが割り当てられたデバイスに、ホワイトリスト アプリ グループに含まれていないアプリケーションが存在することをエンジンが検知すると、エンジンはルールで構成されたアクションを実行します。
    必須アプリが含まれていない 順守ルールが割り当てられたデバイスに、必須アプリ グループのアプリケーションが含まれていないことをエンジンが検知すると、エンジンはルールで構成されたアクションを実行します。
    バージョンが含まれていない アプリケーション識別子とアプリケーション バージョンを追加し、適切なバージョンのアプリケーションがデバイスにインストールされているか順守エンジンで監視します。

    順守ルールが割り当てられたデバイスに、不適切なバージョンのアプリケーションが存在することをエンジンが検知すると、エンジンはルールで構成されたアクションを実行します。

    [アプリケーション識別子] は、アプリ ストアまたは Workspace ONE UEM Console のレコードから取得できます。[リソース] > [アプリ] > [リスト表示] > [社内]または [パブリック] の順に進みます。アプリケーションのアクション メニューから [表示] を選択し、[アプリケーション ID] 情報を確認します。

  5. [アクション] タブを選択し、ユーザーがアプリケーションベースのルールに違反している場合に実行する段階的対応措置を設定します。最初のアクションはただちに実行されるアクションですが、強制的に構成しなければならないわけではありません。使用しない場合は削除します。[さらに強い対応措置を追加] 機能を使用して、ただちに実行されるアクションに、後から実行されるアクションを追加したり、置き換えたりすることができます。
    表 4.
    設定 説明
    非順守とマークする このルールに違反したデバイスにタグを付ける時はこのボックスにチェックを入れて有効に設定します。一度デバイスが非順守としてタグ付けされると、対応措置のレベルによっては、デバイスがリソースにアクセスすることをシステムがブロックする可能性があり、管理者によるデバイスへの操作がブロックされる可能性があります。

    デバイスの検疫を直ちに適用したくないときは、このオプションを無効にします。

    アプリケーション 管理対象のアプリを削除するにはこれを選択します。
    コマンド システムを構成しコンソールにチェックインするようデバイスにコマンドを送ったり、企業情報ワイプを実行したり、ローミング設定を変更するにはこれを選択します。
    E メール 非順守状態のデバイスの Eメール受信をブロックするにはこれを選択します。
    通知 既定のテンプレートを使用して Eメール、SMS またはプッシュ通知で非順守状態のデバイスに通知を送るにはこれを選択します。

    ルール違反について管理者にメモを送ることもできます。

    プロファイル Workspace ONE UEM プロファイルを使用してデバイスの機能を制限するにはこれを選択します。
  6. [割り当て] タブを選択して、順守ルールをスマート グループに割り当てます。
    設定 説明
    管理元 管理元であり規則の実行者である組織グループを閲覧し編集します。
    割り当てるグループ 規則の適用対象となるスマート グループを追加するにはここにタイプしてください。
    除外 「はい」 を選択すると、この規則の適用範囲からグループを除外することができます。
    デバイス割り当てを表示する この規則の影響を受けるデバイスを表示するにはこれを選択します。
  7. [概要] タブを選択し、ルールの名前を設定し、簡単な説明を入力します。
  8. [完了してアクティブ化する] を選択し、新しく作成したルールを適用します。