Workspace ONE UEM で何かを実行するには、まず Console にログインする必要があります。

Workspace ONE UEM Console にログインする前に、[環境 URL][ログイン資格情報] が必要です。お客様の展開タイプによりこれらの情報ソースは様々です。

  • [SaaS 展開] – 貴社の [アカウント マネージャ] が、貴社の環境 URL とユーザー名/パスワードを提供します。URL はカスタマイズできず、通常は [awmdm.com] の形式です。
  • [オンプレミス] – オンプレミス展開の URL はカスタマイズ可能で、通常 [awmdm.<貴社会社名>.com] の形式です。

貴社担当のアカウント マネージャが貴社環境の初期設定に必要な資格情報を提供します。追加アカウントを作成し管理責任を委譲する管理者が、環境内の資格情報を作成し配布することもできます。

ブラウザが UEM console の [環境 URL] を正常に読み込むと、Workspace ONE UEM 管理者から提供された [ユーザー名][パスワード] を入力するだけで、ログインすることができます。

  1. [ユーザー名] を入力します。
    • Workspace ONE UEM Console により、ユーザー名とユーザーのタイプ(SAML または非 SAML)がブラウザのキャッシュに保存されます。
      • SAML ユーザーの場合、管理者は SAML ログインにリダイレクトされます。
      • 非 SAML ユーザーの場合、管理者はパスワードを入力する必要があります。
    • [記憶] チェック ボックスが有効になっている場合は、次回環境 URL にアクセスしたときに、[ユーザー名] テキスト ボックスに、最後にログインしたユーザーが事前入力されています。
  2. [パスワード] を入力します。
    • 初めてログインする場合、ログイン パスワードの入力を求められます。入力して続行します。
    • 以前にログインしていて、既定のブラウザでユーザー名とパスワードを記憶できるようにしている場合、[パスワード] テキストボックスに、ブラウザのキャッシュに保存されたパスワードが自動的に入力されます。
  3. [ログイン] ボタンを選択します。
    • ログインすると、デフォルトのホーム画面(カスタマイズ可能)が開きます。ヘッダー メニュー にアクセスしてホーム画面をカスタマイズする方法について参照してください。

パスワードの有効期限

基本管理者には、パスワードの有効期限が切れる 5 日前に E メールで通知され、前日に別の E メールで通知されます。オンプレミスの管理者は、グローバル組織グループにいるときに、[グループと設定] > [すべての設定] > [管理] > [コンソール セキュリティ] > [パスワード] の順に進んで、この既定の 5 日の期間を変更することができます。専用 SaaS 管理者がこの設定を変更するには、サポートに連絡する必要があります。

管理者用のカスタム パスワード有効期限通知を作成するには、[グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [メッセージ テンプレート] の順に進んで、[カテゴリ] として [管理者] を選択し、[タイプ] として [管理者パスワードの期限の通知] を選択します。

管理者コンソール パスワードとは別に管理されている加入ユーザーのパスワード設定については、[グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [パスワード] の順に進んで、システム設定ページを参照してください。

セッション タイムアウトとログアウト

Workspace ONE UEM Console からログアウトできる基本的なシナリオは 2 つあります。
  1. 明示的なログアウト(ブラウザ ウィンドウを閉じることと、アイドル状態のログアウトを含む)
    • ユーザー名とパスワードを記憶するように既定のブラウザを構成している場合、次回のログイン時に、ブラウザにより、ユーザー名テキスト ボックスに、最後にログインしたユーザーが事前入力されています。
    • ユーザー名とパスワードを忘れるブラウザを構成している場合、ユーザー名とユーザーのタイプ(SAML/非 SAML)がブラウザのキャッシュからワイプされます。
  2. セッションの無効化(ロード バランサの問題と、管理者設定によるセッション タイムアウトを含む)
    • 非 SAML ユーザーは、保存されたユーザー名を使用し、[ログイン] ボタンを選択して再度ログインします。
    • SAML ユーザーは、クリックせずにコンソールに再度ログインできます。

ログインのロックアウト

システム管理者と AirWatch 管理者は、管理者が Console からロックアウトされるまでの [無効ログインの最大試行回数] を構成できます。それには、[グループと設定] > [すべての設定] > [管理者] > [コンソール セキュリティ] > [パスワード] の順に進みます。

次の 2 つの場合に、UEM Console からロックアウトされます。1) 無効ログインの最大試行数よりも多くログインの試行を失敗した場合。2) パスワードをリセットする際のパスワード回復用の質問に 3 回誤って回答した場合。

ロックアウトされた場合は、ログイン画面のトラブルシューティング リンクを使用してパスワードをリセットするか、または管理者に依頼して管理者リスト表示画面でアカウントのロックを解除してもらう必要があります。アカウントがロックされている場合、再びロックが解除されると E メール通知を受信します。

アカウント ロックアウト コンソール イベントを調査する

Workspace ONE UEM でベーシック管理者アカウントがロックアウトまたはロック解除されると、コンソール イベントが生成されます。いずれのイベントでも、ログ レベル 5(警告)のイベントが生成されます。[アカウント設定] で基本的なログイン履歴を直接確認するのに加えて、次の手順を実行することで、管理者アカウントのロックアウトまたはロック解除コンソール イベントを調査できます。

  1. [モニタ] > [レポート & 分析] > [イベント] > [コンソール イベント]の順に進みます。
  2. [コンソール イベント] リストの最上部にある [重要度] ドロップダウン フィルタで [警告] 以上を選択します。
  3. [カテゴリ] ドロップダウン フィルタで [ログイン] を選択します。
  4. [モジュール] ドロップダウン フィルタで [管理] を選択します。
  5. 必要に応じ、[日付範囲] などの追加のフィルタを適用します。

アカウント設定を管理

Workspace ONE UEM の管理者は、コンソール固有のアカウント設定を使用して、ユーザーの連絡先情報、通知の設定、ログイン履歴、パスワードの回復などのセキュリティ設定を構成することを許可します。

アカウント設定を管理:ユーザー

ユーザーに確実に到達できるように、[[ユーザー]] タブに、E メール、最大 4 つの異なる電話番号、タイム ゾーン、およびロケールなどの個人情報を入力します。

アカウント設定を管理:通知

[[アカウント設定]] ページの通知設定を使用して、APNs 失効アラートの有効/アクティベーションの解除の切り替え、アラートの受け取り方の選択、アラート送信先の Eメール アドレスの変更を行うことができます。詳細は、通知設定を構成する を参照してください。

アカウント設定を管理:ログイン

ログインの日付と時刻、ソース IP アドレス、ログイン タイプ、ソース アプリケーション、ブラウザの型式とバージョン、OS プラットフォーム、ログイン状態などの、ログイン履歴全体を確認します。

アカウント設定を管理:セキュリティ

ログイン パスワードのリセット、パスワード回復の質問のリセット、および 4 桁のセキュリティ暗証番号のリセットを行うことができます。

アカウント設定を管理:パスワード

UEM Console にログインすると、[パスワード]がアカウントのユーザー名とともに表示されます。任意の時点でこのパスワードを[リセット]できます。

アカウント設定を管理:パスワード回復用の質問

パスワードをリセットするには、[パスワード回復用の質問]を使用できます。UEM Console に初めてログインするときに、この質問を回答とともに定義する必要があります。新しいパスワード回復用の質問を選択するには、[[リセット]] ボタンを選択します。この操作により、ユーザーは自動的にログアウトします。再びログインすると、[[セキュリティ設定]] 画面が表示されます。この画面で、パスワード回復用の質問のリストから質問を選択し、回答する必要があります。

パスワード回復用の質問を選択したことがなく、パスワード回復用の質問の [[リセット]] ボタンがない場合、管理者は自分のアカウントを削除して再作成する必要があります。アカウントを再作成した後、初めてログインするときに、パスワード回復用の質問と回答を定義する必要があります。

パスワード回復用の質問に 3 回以上誤って回答すると、ログイン ページからロックアウトされます。この場合、ログイン ページでトラブルシューティングのリンクを使用してパスワードをリセットする必要があります。または、管理者から支援を得て、管理者のリスト表示を使用してアカウントのロックを解除することができます。アカウントがロックされている場合、再びロックが解除されると E メール通知を受信します。

アカウント設定を管理:セキュリティ暗証番号

[セキュリティ暗証番号] を作成することで、UEM Console のセキュリティを確保できます。この暗証番号は、不注意でデバイスをワイプしてしまったり、ユーザーや組織グループといった貴社環境の重要な構成部分を削除してしまったりすることがないよう、セーフガードとしての機能を果たします。セキュリティ暗証番号には、セキュリティをより一層強化する役割もあります。これを設定することで、認証ポイントが追加され、承認外ユーザーによる操作をブロックすることができます。

UEM Console への初回ログイン時には、セキュリティ暗証番号を設定する必要があります。

セキュリティ リスクを最小に抑えるためにも、セキュリティ暗証番号は定期的に[リセット]してください。

UEM Console の操作を制限する

Workspace ONE UEM Console のコンソールがロックされずに放置された場合のシナリオでは、破壊的な影響を及ぼす可能性がある悪意のある操作に対して追加のセーフガードが提供されます。承認されていないユーザーは、こうしたシナリオでこのような操作にアクセスできないようにします。

  1. [グループと設定] > [すべての設定] > [システム] > [セキュリティ] > [制限された操作] の順に進みます。
  2. [すべてにメッセージを送信する] 設定を構成します。この設定を有効にすると、システム管理者は貴社で展開するすべてのデバイスに、デバイス リスト表示からメッセージを送信することができます。特定のグループにメッセージを送信するためにも使用できます。
  3. UEM Console の特定の操作に対して管理者の暗証番号の入力を必須にすることができます。次のアクションを有効または無効にして、[パスワード保護処理] を構成します。
    注: 以下で * が付いている一部の操作には常に暗証番号の入力が必要で、アクティベーションの解除を行うことはできません。
    設定 説明
    [管理者アカウント削除] [アカウント] > [管理者] > [リスト表示] での管理者ユーザー アカウントを削除する試みを防止します。
    *[VMware Enterprise Systems Connector 証明書を再生成] [グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [VMware Enterprise Systems Connector] での VMware Enterprise Systems Connector 証明書を再生成する試みを防止します。
    *[APNs 証明書変更] [グループと設定] > [すべての設定] > [デバイスとユーザー] > [Apple] > [MDM 用の APNs] での MDM 用の APNs を無効にする試みを防止します。
    [アプリケーションの削除/非アクティブ化/回収] [アプリとブック] > [アプリケーション] > [リスト表示] でのアプリケーションの削除/非アクティブ化/回収の試みを防止します。
    [コンテンツの削除/非アクティブ化] [コンテンツ] > [リスト表示] でのコンテンツ ファイルを削除/非アクティブ化する試みを防止します。
    *[データ暗号化トグル] [グループと設定] > [すべての設定] > [システム] > [セキュリティ] > [データ セキュリティ] のユーザー情報暗号化の設定を保護します。
    [デバイス削除] [デバイス] > [リスト表示] でのデバイス削除の試みを防止します。この設定のアクティベーションの解除を行っても、一括操作には管理者のセキュリティ暗証番号が求められます。
    *[デバイス ワイプ] デバイス リスト表示あるいはデバイス詳細画面での、デバイス ワイプ実行のすべて試みを防止します。
    [企業情報リセット] Windows 高耐久性デバイス、Android 高耐久性デバイス、あるいは QNX デバイスの [デバイス詳細 ]画面で、企業情報リセットを実行しないように制限できます。
    [企業情報ワイプ] デバイスの [デバイス詳細] 画面から行われる、企業情報ワイプのすべての試みを防止します。
    [ユーザーグループ メンバーシップに基づく企業情報ワイプ] ユーザー グループから削除されたデバイスに対する企業情報ワイプの試みをすべて防止します。この設定は、[グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [加入] の順に進み、[制限事項] タブで構成できるオプション設定です。このタブで [加入を構成済みのグループのみに制限] した場合、デバイスがグループから削除された際の、デバイス企業情報ワイプに関する追加オプションが利用できるようになります。
    *[組織グループの削除] [グループと設定] > [グループ] > [組織グループ] > [組織グループ詳細] での現在の組織グループを削除する試みをすべて防止します。
    [プロファイルの削除/非アクティブ化] [デバイス] > [プロファイルとリソース] > [プロファイル] でのプロファイル削除または非アクティブ化のすべての試みを防止します。
    [プロビジョニングプロダクトの削除] [デバイス] > [プロビジョニング] > [プロダクト リスト表示] でのプロビジョニング プロダクトを削除しようとするすべての試みを防止します。
    [証明書を取り消す] [デバイス] > [証明書] > [リスト表示] での証明書を取り消そうとするすべての試みを防止します。
    *[セキュア チャンネル証明書クリア] [グループと設定] > [すべての設定] > [システム] > [高度な設定] > [セキュア チャンネル証明書] で行われる既存のセキュア チャンネル証明書を削除しようとするすべての試みを防止します。
    [ユーザーアカウント削除] [アカウント] > [ユーザー] > [リスト表示] でのユーザー アカウントを削除しようとするすべての試みを防止します。
    [プライバシー設定の変更] [グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [プライバシー] でのプライバシー設定を変更する試みを防止します。
    [テレコムプラン削除] [テレコム] > [プラン リスト] でのテレコム プランを削除する試みを防止します。
    [ジョブ ログ レベル オーバーライド] [グループと設定] > [管理者] > [診断] > [ログ収集] での現在選択中のジョブ ログ レベルを上書きする試みを防止します。ジョブ ログ レベルの上書きは、1 台のデバイスや複数のデバイスのグループに問題が発生したときに有益な機能です。問題のあるデバイスの設定を、たとえば 「詳細」 ログ レベルなどに強制的に引き上げ、コンソールのアクティビティを最大レベルでログ収集することができるので、トラブルシューティングの際に役立ちます。
    *[アプリ スキャン ベンダー リセット/トグル] アプリ スキャン統合設定のリセット (ひいてはそれに伴うワイプ) を防止します。この操作は、[グループと設定] > [すべての設定] > [アプリ] > [アプリ スキャン] と進んだ画面で行います。
    [シャットダウン] [デバイス] > [リスト表示] > [デバイス詳細] でのデバイスをシャットダウンする試みを防止します。
    [暗証番号の試行回数上限] 暗証番号入力を試行する際の失敗の上限回数を指定します。この回数を超えるとコンソールがロックダウンされます。1 ~ 5 の間で設定する必要があります。

パスワード保護操作を選択する

コンソールの制限された操作は、破壊的な影響を Workspace ONE UEM Console に及ぼす可能性がある操作を悪意あるユーザーからブロックするための保護を提供します。

  1. [グループと設定] > [すべての設定] > [システム] > [セキュリティ] > [制限された操作] の順に進み、制限された操作を構成します。
  2. 管理者による PIN の入力を必須にすることで保護する操作ごとに、必要に応じて [有効] または [アクティベーション解除済み] に対して [パスワード保護処理] ボタンを選択します。

    この要件により、保護を強化したい操作をきめ細かく制御することができます。

    注: 一部の操作には常に暗証番号の入力が必要で、アクティベーションの解除を行うことはできません。下記では * マークで示しています。
  3. 試行失敗回数の上限を設定し、それ以後はセッションを強制終了するよう設定することができます。試行回数が上限を超えた場合は、Workspace ONE UEM Console に再度ログインし、新しいセキュリティ暗証番号を設定する必要があります。
    設定 説明
    [管理者アカウント削除] [アカウント] > [管理者] > [リスト表示] での管理者ユーザー アカウントを削除する試みを防止します。
    [VMware Enterprise Systems Connector 証明書を再生成] [グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [VMware Enterprise Systems Connector] での VMware Enterprise Systems Connector 証明書を再生成する試みを防止します。
    [*APNs 証明書の変更] [グループと設定] > [すべての設定] > [デバイスとユーザー] > [Apple] > [MDM 用の APNs] での MDM 用の APNs を無効にする試みを防止します。
    [アプリケーションの削除/非アクティブ化/回収] [アプリとブック] > [アプリケーション] > [リスト表示] でのアプリケーションの削除/非アクティブ化/回収の試みを防止します。
    [コンテンツの削除/非アクティブ化] [コンテンツ] > [リスト表示] でのコンテンツ ファイルを削除/非アクティブ化する試みを防止します。
    [*データ暗号化トグル] [グループと設定] > [すべての設定] > [システム] > [セキュリティ] > [データ セキュリティ] のユーザー情報暗号化の設定を保護します。
    [デバイス削除] [デバイス] > [リスト表示] でのデバイス削除の試みを防止します。この設定のアクティベーションの解除を行っても、一括操作には管理者のセキュリティ暗証番号が求められます。
    [*デバイス ワイプ] デバイス リスト表示あるいはデバイス詳細画面での、デバイス ワイプ実行のすべて試みを防止します。
    [企業情報リセット] Windows 高耐久性デバイス、Android 高耐久性デバイス、あるいは QNX デバイスの [デバイス詳細 ]画面で、企業情報リセットを実行しないように制限できます。
    [>企業情報ワイプ] デバイスの [デバイス詳細] 画面から行われる、企業情報ワイプのすべての試みを防止します。
    [ユーザーグループ メンバーシップに基づく企業情報ワイプ] ユーザー グループから削除されたデバイスに対する企業情報ワイプの試みをすべて防止します。この設定は、[グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [加入] の順に進み、[制限事項] タブで構成できるオプション設定です。このタブで [加入を構成済みのグループのみに制限] した場合、デバイスがグループから削除された際の、デバイス企業情報ワイプに関する追加オプションが利用できるようになります。
    [*組織グループの削除] [グループと設定] > [グループ] > [組織グループ] > [組織グループ詳細] での現在の組織グループを削除する試みをすべて防止します。
    [プロファイルの削除/非アクティブ化] [デバイス] > [プロファイルとリソース] > [プロファイル] でのプロファイル削除または非アクティブ化のすべての試みを防止します。
    [プロビジョニングプロダクトの削除] [デバイス] > [プロビジョニング] > [プロダクト リスト表示] でのプロビジョニング プロダクトを削除しようとするすべての試みを防止します。
    [証明書を取り消す] [デバイス] > [証明書] > [リスト表示] での証明書を取り消そうとするすべての試みを防止します。
    [*セキュア チャンネル証明書クリア] [グループと設定] > [すべての設定] > [システム] > [高度な設定] > [セキュア チャンネル証明書] で行われる既存のセキュア チャンネル証明書を削除しようとするすべての試みを防止します。
    [ユーザーアカウント削除] [アカウント] > [ユーザー] > [リスト表示] でのユーザー アカウントを削除しようとするすべての試みを防止します。
    [プライバシー設定の変更] [グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [プライバシー] でのプライバシー設定を変更する試みを防止します。
    [テレコムプラン削除] [テレコム] > [プラン リスト] でのテレコム プランを削除する試みを防止します。
    [ジョブ ログ レベル オーバーライド] [グループと設定] > [管理者] > [診断] > [ログ収集] での現在選択中のジョブ ログ レベルを上書きする試みを防止します。ジョブ ログ レベルの上書きは、1 台のデバイスや複数のデバイスのグループに問題が発生したときに有益な機能です。問題のあるデバイスの設定を、たとえば 「詳細」 ログ レベルなどに強制的に引き上げ、コンソールのアクティビティを最大レベルでログ収集することができるので、トラブルシューティングの際に役立ちます。
    [*アプリ スキャン ベンダー リセット/トグル] アプリ スキャン統合設定のリセット (ひいてはそれに伴うワイプ) を防止します。この操作は、[グループと設定] > [すべての設定] > [アプリ] > [アプリ スキャン] と進んだ画面で行います。
    [シャットダウン] [デバイス] > [リスト表示] > [デバイス詳細] でのデバイスをシャットダウンする試みを防止します。
    [暗証番号の試行回数上限] 暗証番号入力を試行する際の失敗の上限回数を指定します。この回数を超えるとコンソールがロックダウンされます。1 ~ 5 の間で設定する必要があります。

操作を行う際にメモの入力を義務付ける

[メモの入力を要求する] チェック ボックスを使用して、管理者にメモを入力させ、特定の Workspace ONE UEM Console 操作を実行する理由の説明を義務付けることができます。

  1. [グループと設定] > [すべての設定] > [システム] > [セキュリティ] > [制限された操作] の順に進みます。
  2. これらのアクションのいずれかを実行する前に管理者がメモを入力する必要がある場合は、[[メモ追加]] リソース(権限)を持つ役割を変更することを確認します。

    詳細は、管理者ロールを作成する を参照してください。

    設定 説明
    [デバイスをロック] [デバイス リスト表示][デバイス詳細] から、デバイスのロックを行う際に、メモの入力を必須にします。
    [SSO ロック] [デバイス リスト表示][デバイス詳細] から SSO セッションのロックを行う際に、メモの入力を必須にします。
    [デバイス ワイプ] [デバイス リスト表示][デバイス詳細] からデバイス ワイプを実行する際に、メモの入力を必須にします。
    [企業情報リセット] Windows 高耐久性デバイスあるいは Android 高耐久性デバイスの [デバイス詳細] 画面から、企業情報のリセットを実行する際に、メモの入力を必須にします。
    [企業情報ワイプ] [デバイス詳細] から企業情報ワイプを実行する際に、メモの入力を必須にします。
    [ジョブ ログ レベル オーバーライド] [グループと設定] > [管理者] > [診断] > [ログ収集] から既定のジョブ ログ レベルの上書きを行う前に、メモの入力を必須にします。
    [デバイスの再起動] [デバイス] > [リスト表示] > [デバイス詳細] から再起動を試行する前に、メモの入力を必須にします。
    [シャットダウン] [デバイス] > [リスト表示] > [デバイス詳細] からシャットダウンを試行する前に、メモの入力を必須にします。