AirWatch を既存のディレクトリ サービスと統合した場合、ユーザーを自動的に取り込むことができます。これにより、Workspace ONE UEM にユーザーを手動で追加する必要がなくなります。

Workspace ONE UEM を使用して管理を行うすべてのディレクトリ ユーザーに、UEM Console の対応するユーザー アカウントが必要です。

以下のいずれかの方法で、既存のディレクトリ サービス ユーザーを直接 Workspace ONE UEM に追加することができます。

  • すべてのディレクトリ サービス ユーザーを含むファイルを一括でアップロードする。一括インポート操作により、自動的にユーザー アカウントが作成されます。
  • ディレクトリ ユーザーのユーザー名を入力して [ユーザー名を確認] を選択し、残りの詳細を自動挿入させる方法で、ユーザー アカウントを 1 つずつ作成する。
  • 一括インポートも手動によるユーザー アカウント作成も行わず、その代わり、すべてのディレクトリ サービス ユーザーに対して、加入プロセスでの自己加入を許可する。

長所

  • 既存の企業資格情報を使用してエンド ユーザーを認証
  • Workspace ONE UEM は、ディレクトリ システムからの変更を自動的に検出して同期します。たとえば、AD でユーザーを無効にすると、Workspace ONE UEM Console の対応するユーザー アカウントが非アクティブとマークされます。
  • セキュアな方法で既存のディレクトリ サービスと統合できます。
  • 標準的な統合方法
  • Workspace ONE への直接加入のために使用できます。
  • AirWatch Cloud Connector を使用する SaaS 展開では、ファイアウォールの変更が不要で、Microsoft ADCS、SCEP、SMTP サーバなどの他のインフラストラクチャに対してセキュアな構成を提供できます。

アカウント ステータスの同期に関する詳細は、次のセクション「[ディレクトリ ユーザーの状態同期]」を参照してください。

短所

  • 既存のディレクトリ サービス インフラストラクチャが必要です。
  • SaaS 展開では、AirWatch Cloud Connector をファイアウォールの内側または DMZ 内にインストールする必要があるため、追加の構成作業が必要です。

ディレクトリ ユーザーの状態同期

ディレクトリ サービスでユーザーを非アクティブにすると、対応する Workspace ONE UEM および Workspace ONE Express アカウントは同様の方法で影響を受けますが、以下の前提条件が適用されます。

  • 削除されたユーザーの同期は、Active Directory でのみ機能します。
  • [バインド ユーザー名] オプションに入力したユーザー名には、Active Directory 管理者権限が必要です。
    • この名前を確認するには、[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [ディレクトリ サービス] の順に選択し、[サーバ] タブで、[バインド ユーザー名] テキスト ボックスを探します。
    • Workspace ONE Express を使用している場合、[バインド ユーザー名] テキスト ボックスを同じ [サーバ] タブで見つけて([グループと設定] に移動する方法で)、[ディレクトリ サービス][名前] カラムで選択することができます。
  • Microsoft サポート記事 (https://support.microsoft.com/en-in/help/892806/how-to-let-non-administrators-view-the-active-directory-deleted-object) で説明されている手順に従った場合は、削除されたオブジェクト コンテナへのアクセスを Active Directory で管理者以外に許可できます。
  • さらに、Active Directory 管理センターを使用してごみ箱を有効にする必要があります(Active Directory のユーザーを削除する場合のみ)。
    1. [Active Directory 管理センター] を開きます。
    2. ドメインを選択し、ドメインを右クリックします。
    3. [ごみ箱の有効化] を選択します。ごみ箱は一度有効にすると、無効にすることはできません。

ディレクトリベースのユーザー アカウントを作成する

ユーザーのそれぞれに対し、Workspace ONE UEM システムにアカウントを作成する必要があります。ディレクトリ ユーザーは貴社の既存の企業資格情報を使って認証を行います。

ここでは、ユーザー アカウントを一度に 1 つ作成する方法を説明します。ユーザー アカウントを一括作成するには、ユーザーおよびデバイスをバッチ インポートするを参照してください。

  1. [アカウント] > [ユーザー] > [リスト表示] の順に進み、[追加] の次に [ユーザーを追加] を選択します。[ユーザーを追加/編集] 画面が表示されます。
  2. [全般] タブで次の各設定を入力し、ディレクトリ ユーザーを追加します。
    [設定] [説明]
    [セキュリティタイプ] Active Directory ユーザーを追加するため、[ディレクトリ] を選択します。
    [ディレクトリ名] この事前入力済みのフィールド値は Active Directory 名を示します。
    [ドメイン] ドロップダウン メニューからドメイン名を選択します。
    [ユーザー名]

    ユーザーのディレクトリ ユーザー名を入力し、[ユーザーを確認] をクリックします。システムに合致する情報が見つかった場合、ユーザー情報は自動的に入力されます。このセクション内の以降のフィールド値は、[ユーザーを確認] ボタンを使用して Active Directory ユーザーを確認できた後にのみ、指定可能になります。

    [氏名]

    [属性を編集] を使用して、ディレクトリから空白値が返されたフィールドの値を編集することができます。また、合致するユーザーの情報を自動入力することもできます。

    フィールド値がディレクトリ内の実際の値を反映している場合、ディレクトリ側で値を編集する必要があります。変更結果は次回の同期処理時に反映されます。[氏名] で、ディレクトリから空白で戻った項目を入力し、追加分を保存するため [属性を編集] を選択します。

    [表示名] 管理者コンソールに表示する名前を入力します。
    [メールアドレス] ユーザーの Eメールアドレスを入力/編集します。
    [E メールのユーザー名] ユーザーの Eメール ユーザー名を入力/編集します。
    [ドメイン] (Eメール) ドロップダウン メニューから Eメール ドメインを選択します。
    [電話番号] +マーク、国番号、市外局番を含んだ形式で、ユーザーの電話番号を入力します。通知の送信に SMS を使用する場合、電話番号を指定する必要があります。
    [加入]
    [加入組織グループ] ユーザーが加入する組織グループを選択します。
    [追加の組織グループにユーザーが加入することを許可] ユーザーが 2 つ以上の組織グループに加入することを許可するかどうかを選択します。[有効] を選択する場合は、[追加の組織グループ ] を入力します。
    [ユーザー ロール] このドロップダウン メニューから追加中のユーザーのロールを選択します。
    [通知]
    [メッセージタイプ] ユーザーに送信するメッセージのタイプを [E メール][SMS][なし] から選択します。SMS を選択する場合は、上の [電話番号] 欄に有効なデータを入力する必要があります。
    [メッセージテンプレート] このドロップダウン メニューで、Eメール メッセージまたは SMS メッセージ用のテンプレートを選択します。または、[メッセージ プレビュー] を選択してテンプレートを閲覧したり、[メッセージ テンプレートを構成する] を選択してテンプレートを作成したりすることもできます (任意)。
  3. オプションで、[高度な設定] タブを選択し、以下の項目を設定することができます。
    [設定] [説明]
    [高度な情報セクション]
    [Eメールパスワード] 追加しているユーザーの Eメール パスワードを入力します。
    [Eメールパスワードを確認] 追加しているユーザーの Eメール パスワードを再入力します。
    [識別名] ディレクトリ ユーザーを Workspace ONE UEM に認識させる場合は、この項目にはユーザーの識別名が自動入力されます。識別名は、Active Directory ユーザーに関連付けられたユーザー名とそのすべての権限コードを示す文字列です。
    [マネージャ識別名] ユーザーの上司の識別名を入力します。この欄は必須項目ではありません。
    [カテゴリ] 追加しているユーザーのユーザー カテゴリを選択します。
    [部署] ユーザーの部署を入力します。貴社での事務管理目的で使用されます。
    [従業員 ID] ユーザーの従業員 ID を入力します。貴社での事務管理目的で使用されます。
    [コストセンター] ユーザーのコスト センターを入力します。貴社での事務管理目的で使用されます。
    [カスタム属性 1-5] (ディレクトリ ユーザーのみ)

    該当する場合、事前構成済みのカスタム属性を入力します。これらのカスタム属性を定義するには、[グループと設定] > [すべての設定] > [デバイスとユーザー] > [高度な設定] > [カスタム属性] の順に進みます。

    注: カスタム属性は、カスタマー組織グループのみで構成できます。
    [証明書セクション]
    [S/MIME を使用する]

    S/MIME の使用を有効または無効にします。有効に設定した場合、S/MIME が有効であるプロファイルが必要になり、また、[アップロード] を選択して S/MIME 証明書をアップロードする必要があります。

    [別の暗号化証明書]

    別の暗号化証明書の使用を有効または無効にします。有効に設定した場合、[アップロード] を使用して暗号化証明書をアップロードする必要があります。一般的に、別の証明書が明示的に使用されていない限り、同一の S/MIME 証明書が署名と暗号化に使用されます。

    [旧版の暗号化証明書]

    暗号化証明書の旧バージョンを有効化/無効化します。有効に設定した場合、暗号化証明書を [アップロード] する必要があります。

    [代理セットアップセクション]
    [デバイス代理セットアップを有効にする]

    デバイスの代理セットアップを有効化/無効化します。

    有効に設定した場合、[シングル ユーザー デバイス][マルチ ユーザー デバイス] から選択する必要があります。

    [シングル ユーザー デバイス] では、ユーザー自身がログインを行う [標準] と、他のユーザーに代わってデバイスを加入させる [高度] から選択する必要があります。

    詳細は デバイスの代理セットアップ を参照してください。

  4. [保存] を選択し、新しいユーザーのみを保存することも、[保存してデバイスを追加] を選択して、新しいユーザーを保存して [デバイスを追加] 画面に進むこともできます。