企業ファイル サーバ
コンテンツ管理ソリューションでは、貴社の企業ファイル サーバ (CFS) との統合がサポートされます。企業ファイル サーバは、組織の社内ネットワーク上にある既存のリポジトリを指します。
機能
企業ファイル サーバの統合では、以下のような機能がサポートされます。
- セキュアな統合
- 組織の社内ネットワークへのアクセスを保護する
- Content Gateway を使用した高度な統合オプション
セキュリティ
コンテンツ管理ソリューションには、以下のようなセキュリティ オプションがあります。
- データ転送時の SSL 暗号化
- Workspace ONE UEM 管理者のアクセス制御およびダウンロード権限
- コンテンツは組織のネットワークに保存
- Workspace ONE UEM データベースに格納されているメタデータのみです。保存されたメタデータの確認と管理をサポート。
展開
組織の構成によって、Workspace ONE UEM 管理者が企業ファイル サーバ (CFS) に対する管理権限を持つ場合と持たない場合があります。コンテンツ管理ソリューションが CFS と統合されると、VMware Workspace ONE Content を使用することにより、エンドユーザー デバイスでサーバのコンテンツを同期することができます。
企業ファイル サーバのサポート
Workspace ONE UEM では、さまざまな企業ファイル サーバとの統合をサポートします。サポートする同期方法と Content Gateway コンポーネントの要件はリポジトリ タイプにより異なります。
利用できる同期方法
リポジトリ タイプごとの利用できる同期方法を確認してください。
- 管理 – このリポジトリは管理者が UEM コンソールで完全に構成して同期します。割り当てられた各ユーザーには、ファイル リポジトリへの同じ静的リンクが送信されます。
- 自動 – このリポジトリは管理者が UEM Console で構成しますが、動的参照値を管理者が使用できます。リポジトリの同期は、エンド ユーザーが各自のデバイスで行います。割り当てられた各ユーザーには、ファイル リポジトリへの一意または部分的に一意のリンクが送信されます。これは、ユーザーのホーム ディレクトリにリンクする場合に便利なオプションです。
- 手動 – このリポジトリは UEM Console で構成されますが、リンクの静的な部分およびワイルドカード部分を管理者が設定できます。各エンド ユーザーは、管理者が設定した形式に準拠するリポジトリ リンクを手動で追加して、各自のデバイスでリポジトリを同期できます。
注:リポジトリ フォルダに存在するファイルの数に関係なく、いずれのフォルダも、アルファベット順に 1,000 個のファイルのみがデバイスに同期されます。
企業ファイル サーバ マトリックス
このマトリックスを使用し、それぞれのリポジトリ タイプがサポートする同期方法と Content Gateway 要件を確認してください。
| 利用可能なリポジトリ | 管理者 | 自動 | 手動 |
|---|---|---|---|
| Box | ✓ | ✓ | ✓ |
| CMIS | ✓ | ✓ | ✓ |
| Google ドライブ | ✓ | – | – |
| ネットワーク シェア | ✓ | ✓ | ✓ |
| OneDrive | ✓ | – | – |
| OneDrive for Business | ✓ | – | – |
| OneDrive for Business ADFS | ✓ | – | – |
| OneDrive for Business OAuth | ✓ | – | – |
| SharePoint | ✓ | ✓ | ✓ |
| SharePoint ADFS | ✓ | ✓ | ✓ |
| SharePoint O365 | ✓ | ✓ | ✓ |
| SharePoint O365 ADFS | ✓ | ✓ | ✓ |
| SharePoint O365 OAuth | ✓ | – | – |
| SharePoint - パーソナル (個人用サイト) | ✓ | – | – |
| SharePoint WebDAV | ✓ | – | – |
| SharePoint Windows Auth | ✓ | ✓ | ✓ |
| WebDAV | ✓ | ✓ | ✓ |
| Content Gateway 経由のアクセス | |||
| Box | – | – | – |
| CMIS | ✓+ | ✓+ | ✓+ |
| Google ドライブ | – | – | – |
| ネットワーク シェア | ✓+ | ✓+ | ✓+ |
| OneDrive | – | – | – |
| OneDrive for Business | ✓ | – | – |
| OneDrive for Business ADFS | ✓ | – | – |
| SharePoint | ✓ | ✓ | ✓ |
| SharePoint ADFS | ✓ | ✓ | ✓ |
| SharePoint O365 | ✓ | ✓ | ✓ |
| SharePoint O365 ADFS | ✓ | ✓ | ✓ |
| SharePoint - パーソナル (個人用サイト) | ✓ | – | – |
| SharePoint WebDAV | ✓ | – | – |
| SharePoint Windows 認証 (Content Gateway for Linux) | – | – | – |
| SharePoint Windows 認証 (Content Gateway for Windows) | ✓ | ✓ | ✓ |
| WebDAV | ✓ | ✓ | ✓ |
| ドキュメント拡張子 | |||
| Box | ✓ | ✓ | ✓ |
| CMIS | ✓ | ✓ | ✓ |
| Google ドライブ | ✓ | – | – |
| ネットワーク シェア | ✓* | ✓* | ✓* |
| OneDrive | ✓ | – | – |
| OneDrive for Business | ✓ | – | – |
| OneDrive for Business ADFS | ✓ | – | – |
| OneDrive for Business OAuth | ✓ | – | – |
| SharePoint | ✓** | ✓** | ✓** |
| SharePoint ADFS | ✓** | ✓** | ✓** |
| SharePoint O365 | ✓** | ✓** | ✓** |
| SharePoint O365 ADFS | ✓** | ✓** | ✓** |
| SharePoint O365 OAuth | ✓ | – | – |
| SharePoint - パーソナル (個人用サイト) | ✓** | – | – |
| SharePoint WebDAV | ✓** | – | – |
| SharePoint Windows Auth | ✓** | ✓** | ✓** |
| WebDAV | ✓* | ✓* | ✓* |
| 凡例: | |||
| ¥ = Linux サーバ上の VMware Content Gateway は、SMB v2.0、SMB v3.0 のみをサポートします。サポートされる既定のバージョンは SMB v2.0 です。 ✓+ = 必須 ✓ = サポート対象 – = サポート対象外 ✓* = サポート対象(制限つき)アクセス可能なファイルは、VMware Workspace ONE Content で以前開いた、リポジトリのファイルに限定されます。 ✓** = サポート対象 (制限つき)。アクセス可能なファイルは、Workspace ONE Content で以前ダウンロードしたファイルに限定されます。 |
企業ファイル サーバのコンテンツに対するエンドユーザー アクセスを有効にする
管理リポジトリ、自動ユーザー追加リポジトリ、または手動ユーザー追加リポジトリを構成して、自社ネットワークの既存の企業ファイル サーバを Workspace ONE UEM と同期します。ここで設定可能な構成は、デバイスへのコンテンツの同期を開始するトリガーに影響を与えます。
このマクロレベルの構成概要を使用して、企業ファイル サーバのコンテンツに対するエンドユーザーのアクセスを有効にするプロセス全体を把握してください。
- UEM コンソールでリポジトリを構成します。
- 構成済みのコンテンツ ゲートウェイ インストーラをダウンロードして実行します。
- UEM コンソールと Content Gateway の間の接続を確認します。
-
複数のコンテンツ ゲートウェイ ノードに関する組織のニーズを評価します。
地理的な距離によって生じる遅延を懸念している世界規模の組織は、この機能を使用することが考えられます。
-
UEM コンソールで、管理リポジトリを構成するか企業ファイル サービス (CFS) と同期します。
管理リポジトリを構成する場合は、接続のテスト を選択して接続を確認します。
-
UEM Console で VMware Workspace ONE Content を構成します。
- Workspace ONE UEM のアプリケーションを、デバイスに展開します。
管理リポジトリを構成する
自社ネットワークの既存の企業ファイル サーバを Workspace ONE UEM と同期するために、管理リポジトリを構成します。同期後、エンドユーザーは自分のデバイスから企業ファイル サーバのコンテンツにアクセスできます。
- UEM console で、[コンテンツ] > [リポジトリ] > [管理リポジトリ] の順に選択します。
- 追加 を選択します。
-
表示される設定を構成します。
設定 説明 名前 コンテンツ ディレクトリのラベル名を入力します タイプ ドロップダウン メニューから企業ファイル サーバを選択します。 リンク ルート ドメインのみではなく、ディレクトリまでの完全パスを入力します。
例:http://SharePoint/Corporate/Documents 一部のリポジトリ タイプでは、Web ブラウザから直接 URL をコピーした場合、サーバにアクセスできない場合があります。
注: 選択したリポジトリが OAuth リポジトリの場合、リポジトリ URL には「/personal」が含まれている必要があります。
たとえば、リポジトリ URL が xyz.abc.com の場合は、xyz.abc.com/personal のような URL を追加する必要があります。組織グループ 企業ファイル サーバへのアクセス権限を選択したユーザーのグループに割り当てます。 PIV-D で生成された資格情報を使用 この設定は、リポジトリ タイプとして SharePoint が選択されている場合にのみ使用できます。ユーザー名とパスワードの代わりに PIV-D 証明書認証を使用してユーザーを認証するには、このチェック ボックスをオンにします。PIV-D 証明書認証は、デバイスからオンプレミスの SharePoint リポジトリにアクセスするユーザーを認証するためのものです。
メモ:PIV-D で生成された資格情報を使用できるようにするには、Content Gateway 設定の中で Kerberos を構成することが必要です。
Content Gateway の証明書認証設定については、『Content Gateway』ドキュメントの「Configure Content Gateway on the UEM Console」を参照してください。Content Gateway 経由のアクセス Workspace ONE UEM サーバのドメインが企業ファイル サーバにアクセスできない場合に Content Gateway を使用します。 Content Gateway ドロップダウン メニューから、適切なコンテンツ ゲートウェイ ノードの一意の名前を選択します。 継承を許可 メイン組織グループと同じアクセス権限をサブ組織グループが継承することを許可します。 書き込みを許可 書き込み許可は、デバイスから外部リポジトリのファイルのチェックイン/チェックアウト、ファイルやフォルダの作成やアップロード、ドキュメントの編集を行うことをエンドユーザーに許可します。 ファイル アクションを許可 この設定は、リポジトリ タイプとして SharePoint O365 OAuth または OneDrive for Business OAuth が選択されている場合にのみ使用できます。Workspace ONE Content アプリケーション ユーザーに、クラウド リポジトリ内のファイルの名前変更、移動、削除を許可するには、このチェック ボックスをオンにします。 削除を許可する ネットワーク共有リポジトリのコンテンツのリモート削除を許可します。この機能により、エンド ユーザーは Workspace ONE Content アプリを使用してネットワーク共有リポジトリからコンテンツを完全に削除できます。 認証タイプ 管理者が UEM コンソールから企業ファイル サーバに対して持つアクセス レベルを選択します。
なし – 管理者に対し、UEM console から企業ファイル サーバのコンテンツを表示およびダウンロードすることを禁止します。
ユーザー – UEM console 内のリポジトリ ファイル構造の閲覧を許可します。表示される ユーザー名 と パスワード のテキスト ボックスに資格情報を入力します。
注:[PIV-D で生成された資格情報を使用] チェックボックスが選択されている場合、パスワードのテキスト ボックスは表示されません。[ユーザー名] テキスト ボックスに、ユーザーのユーザー プリンシパル名を入力します。カメラからのみアップロードを許可 ユーザーがデバイスのカメラからのみ画像をアップロードできるようにするには、このオプションを選択します。 -
接続のテスト をクリックし、接続を検証します。テスト結果が成功であれば、企業ファイル サーバの統合が正常に行われたことを意味します。
-
[セキュリティ]、[割り当て]、および [展開] タブで詳細を入力します。
a. [セキュリティ] タブで、テキスト ボックスに入力してエンド ユーザーによる企業媒体外の機密書類の共有や移動の方法を制御します。
暗号化強制設定は、Workspace ONE UEM console バージョン 9.5 から削除されました。VMware Workspace ONE Content アプリケーションは、設定が使用可能であるかどうかに関係なく、デフォルトですべてのファイルを暗号化します。
設定 説明 アクセス制御 エンドユーザーによるファイル閲覧の自由度を上げるためには、オフライン状態での閲覧を許可 に設定します。オンラインの閲覧のみを許可 を構成すると、コンテンツにアクセスするすべてのデバイスを確実に順守状態にします。Workspace ONE UEM は、オフラインのデバイスの順守状態は確認できません。 Eメールでの開封を許可 E メールでのコンテンツ開封を許可します。ユーザーは 10 MB より大きいファイルを開けません。ユーザーが 10 MB より大きいファイルを開けるようにするには、そのようなファイルを UEM Console で編集して、このオプションを有効にする必要があります。ユーザー リポジトリ内のファイルは編集できません。 サードパーティ製アプリでの開封を許可 他のアプリケーションを使用してコンテンツを開封することを許可します。SDK プロファイルで、承認アプリのリストを設定できます。このオプションを無効にすると、iOS VMware Workspace ONE Content から PDF ドキュメントを印刷するためのエンドユーザーの権限も無効になります。 他のリポジトリへの保存を許可 エンドユーザーがファイルを個人コンテンツに保存することを許可する場合にこの設定を使用します。 電子透かしを有効化 ファイルに電子透かしを入れる場合に選択します。SDK プロファイルの中で電子透かし用のオーバーレイ テキストを構成します。 印刷を許可する エンドユーザーが AirPrint サーバを使用して iOS VMware Workspace ONE Content から PDF 文書を印刷することを許可します。印刷後のコンテンツは Workspace ONE UEM 管理者の制御範囲から外れることになります。印刷は [サードパーティ製アプリで開くことを許可する] が有効になっている場合にのみサポートされます。 編集を許可 この設定は書き込みを有効にしたリポジトリのみに適用されます。 b. [割り当て] タブで、コンテンツにアクセスできるユーザーを制御するための設定を構成します。この機能により、承認された従業員にのみ機密情報へのアクセスを付与し、また階層型のコンテンツ アクセスを設定できます。
設定 説明 デバイス所有形態 デバイス所有形態を 任意、企業-専用、企業-共有、従業員所有、未定義 から選択します。 組織グループ コンテンツを新しいグループに割り当てるには、テキスト ボックスに入力を開始します。 ユーザー グループ ディレクトリ サービスと統合している場合はグループを指定します。または、カスタム ユーザー グループを指定することもできます。 c. [展開] タブで、エンド ユーザーがコンテンツにいつどのようにアクセスできるのかを制御するための設定を構成します。
設定 説明 転送方法 任意 または Wi-Fi のみ をドロップダウン メニューから指定します。Wi-Fi のみに転送を制限することにより、デバイスが Workspace ONE UEM にチェックインするように強制して、確実に順守状態にすることができます。 ローミング中のダウンロード ローミング中のコンテンツのダウンロードをエンドユーザーに許可する場合、有効にします。 ダウンロード タイプ コンテンツを展開する場合、次のどちらかの方法を設定します。
自動 – コンテンツが利用可能になったときに、デバイスにインストールします。
オンデマンド – エンドユーザーが希望した時にのみ、デバイスにインストールされます。ダウンロードの優先順位 エンドユーザーに各コンテンツのダウンロードの優先度が普通、高、低のいずれであるかを通知します。 必須 VMware Workspace ONE Content で必須コンテンツとしてフラグする場合は、これを選択します。デバイスの Workspace ONE UEM への順守状態を維持するには、エンドユーザーは必須コンテンツをダウンロードし、確認する必要があります。 有効日 コンテンツの利用期間を構成する場合、有効期限を指定します。 有効期限 コンテンツの利用期間を構成する場合、有効期限を指定します。 -
[保存] を選択します。
正しいリンクにアクセスします
正しいリンクを使用して Content Gateway が構成されていることを確認します。このルールは SharePoint 2013、Office 365 とそれ以降のバージョンが対象です。URL の中には、アプリケーションやサービスからアクセスされることを想定していないため、ウェブブラウザからのみアクセス可能なものがあります。Content Gateway を構成する際に、「ブラウザのみ」 の URL をリンクとして入力すると、接続は失敗します。
- URL をブラウザに入力します。
- [PAGE] > [Edit Properties] > [View Properties] の順に選択します。
- 右クリックしてリンク アドレスをコピーします。
- UEM コンソールで、リンク テキスト ボックスにアドレスを貼り付けます。
注:OAuth リポジトリの DS およびコンソール サーバで、https://login.microsoftonline.com/、*.sharepoint.com、および ADFS URL を有効にする必要があります。URL がブロックされると、認証も禁止されます。コンソールの ADFS リンクと、ADFS リポジトリの DS ボックスを許可します。
企業ファイル サーバとの同期をユーザーに許可する
エンドユーザーが各自のデバイスで同期に使用する自動テンプレートまたは手動テンプレートを構成することで、Workspace ONE UEM を既存のコンテンツ リポジトリに統合します。同期後、エンド ユーザーは自分のデバイスから企業ファイル サーバのコンテンツにアクセスできます。Content Gateway を企業ファイル サーバとともに使用することで、エンド ユーザーは企業ファイル サーバへのコンテンツの追加、編集、およびアップロードを安全に行うことができます。
自動テンプレートと手動テンプレートの構成方法は異なります。
-
UEM コンソールの適切な画面に移動します。
企業ファイル サーバ タイプ 場所 自動テンプレート [コンテンツ] > [リポジトリ] > [テンプレート] > [自動] 手動テンプレート [コンテンツ] > [リポジトリ] > [テンプレート] > [手動] -
追加 を選択します。
-
表示されるテキスト ボックスに入力します。管理リポジトリ、自動テンプレート、手動テンプレートのいずれを構成しているかによって、表示されるテキスト ボックスは異なります。
設定 説明 名前 コンテンツ ディレクトリのラベル名を入力します。 ユーザー リポジトリ名 (自動テンプレートのみ) 参照値を使用して、リポジトリに VMware Workspace ONE Content でのエンドユーザー名を元にした名前を指定します。 タイプ ドロップダウン メニューから企業ファイル サーバを選択します。 リンク 一部のリポジトリ タイプでは、ウェブブラウザから直接 URL をコピーした場合、サーバにアクセスできない場合があります。 リンク (自動テンプレートのみ) エンド ユーザーが VMware Workspace ONE Content にアクセスする際に、参照値を使用してリポジトリを作成します。
例:https://sharepoint.acme.com/share/{EnrollmentUser}リンク (手動テンプレートのみ) ドメイン リンクのワイルドカードとして * を使用して、ディレクトリの場所へのパスを指定します。
例:http://*.sharepoint.com
既存の手動テンプレートに新しいリンクを追加すできますが、既存のリンクを編集または削除することはできません。拒否リストに登録されたリンクを新たに追加する場合は注意してください。エラーが発生した場合、リンクを編集または削除することはできません。リンクを修正するには、テンプレート全体を削除する必要があります。拒否されたリンク ファイル パスにワイルドカード文字 (*) の値を指定します。ファイル パスの最初と最後にある * に指定された値により、ユーザーは手動テンプレートを使用して手動リポジトリとサブ フォルダを作成できなくなります。 組織グループ 企業ファイル サーバへのアクセス権限をユーザーの特別なグループに割り当てます。 生成された資格情報の使用 この設定は、リポジトリ タイプとして SharePoint が選択されている場合にのみ使用できます。ユーザー名とパスワードの代わりに PIV-D 証明書認証を使用してユーザーを認証するには、このチェック ボックスをオンにします。PIV-D 証明書認証は、デバイスからオンプレミスの SharePoint リポジトリにアクセスするユーザーを認証するためのものです。
注:PIV-D で生成された資格情報を使用できるようにするには、Content Gateway 設定の中で Kerberos を構成することが必要です。
Content Gateway の証明書認証設定については、『Content Gateway』ドキュメントの「Configure Content Gateway on the UEM Console」を参照してください。Content Gateway 経由のアクセス Workspace ONE UEM サーバのドメインが企業ファイル サーバにアクセスできない場合に Content Gateway を使用します。 継承を許可 メイン組織グループと同じアクセス権限をサブ組織グループが継承することを許可します。 書き込みを許可 書き込み許可は、デバイスから外部リポジトリのファイルのチェックイン/チェックアウト、ファイルやフォルダの作成やアップロード、ドキュメントの編集を行うことをエンドユーザーに許可します。
PIV-D 証明書認証のサポート
Workspace ONE Content アプリケーションのユーザーは、PIV-D で生成された資格情報を使用して認証された後、オンプレミスの SharePoint リポジトリおよびネットワーク共有リポジトリへのアクセスが許可されます。証明書ベースの認証では、ユーザー名とパスワードは不要になります。
SharePoint やネットワーク共有など、オンプレミスのリポジトリは、PIV-D で生成された資格情報を認証に使用するように構成できます。PIV-D で生成された資格情報を使用するようにリポジトリを構成するには、VMware Content Gateway 設定で Kerberos を構成する必要があります。
PIV-D 証明書認証を設定するには、次の前提条件を考慮する必要があります。
-
Kerberos Constrained Delegation (KCD) サーバは、適切な SPN(サービス プリンシパル名)で設定する必要があります。
-
Active Directory は、属性としてユーザー プリンシパル名 (UPN) を使用して Workspace ONE UEM と同期する必要があります。
-
Kerberos 認証ワークフローの一部として使用するには、Workspace ONE UEM と VMware Content Gateway の両方でサービス アカウントが使用できる必要があります。
-
Content Gateway は、ユーザー証明書を発行している認証局 (CA) から信頼されている証明書を提供する必要があります。このユーザー証明書は、認証局 (CA) の検証要件に応じて、中間証明書のみの場合もあれば、証明書チェーン全体の場合もあります。
ネットワーク共有リポジトリの場合は、構成キー jcifs を false に設定し、jcifsng を true に確実に設定する必要があります。
PIV-D を使用しない証明書認証のサポート
SharePoint やネットワーク共有など、オンプレミスのリポジトリは、生成された資格情報を認証に使用するように構成できます。生成された資格情報を使用するようにリポジトリを構成するには、[VMware Content Gateway] 設定で Kerberos を構成する必要があります。
証明書認証を設定するには、次の前提条件を考慮する必要があります。
-
Kerberos Constrained Delegation (KCD) サーバは、適切な SPN(サービス プリンシパル名)で設定する必要があります。
-
Active Directory は、属性としてユーザー プリンシパル名 (UPN) を使用して Workspace ONE UEM と同期する必要があります。
-
Kerberos 認証ワークフローの一部として使用するには、Workspace ONE UEM と VMware Content Gateway の両方でサービス アカウントが使用できる必要があります。
-
Content Gateway は、ユーザー証明書を発行している認証局 (CA) から信頼されている証明書を提供する必要があります。このユーザー証明書は、認証局 (CA) の検証要件に応じて、中間証明書のみの場合もあれば、証明書チェーン全体の場合もあります。
ネットワーク共有リポジトリの場合は、確実に構成キー「jcifs」を false に設定し、「jcifsng」を true に設定する必要があります。
キャッシュのパフォーマンス
企業リポジトリ全体をキャッシュすると、内部メモリの不足によって、デバイス サービス サーバでメモリ使用率が急上昇することがあります。デバイス サービス サーバの負荷を解決するために、毎回キャッシュを無効にする必要があります。
注:キャッシュを無効にするためのデータベース スクリプトは、Workspace ONE UEM 1904 バージョンから適用できなくなりました。キャッシュを無効にするには、API で ContentCacheFeatureFlag を false に切り替えます (https://
ジャストインタイム キャッシュ方式が採用されたことで、ユーザーがアクセスしたフォルダおよびコンテンツ レコードのみがキャッシュされるようになり、メモリ不足の問題が解消されました。不要なフォルダおよびコンテンツはキャッシュから削除されます。
RepoId キャッシュ キーを使用してリポジトリ全体がキャッシュされるのではなく、folderId キャッシュ キーを使用してフォルダが個別にキャッシュされます。
キャッシュがヒットしなかった場合、デバイス サービス サーバは現在のフォルダのメタデータのみをデータベースからロードして、キャッシュに保存します。キャッシュがヒットした場合、デバイス サービス サーバはルート レベルのフォルダ構造のみをキャッシュから読み取ります。
