Workspace ONE UEM Console のコンソールがロックされずに放置された場合のシナリオでは、破壊的な影響を及ぼす可能性がある悪意のある操作に対して追加のセーフガードが提供されます。承認されていないユーザーは、こうしたシナリオでこのような操作にアクセスできないようにします。

  1. [グループと設定] > [すべての設定] > [システム] > [セキュリティ] > [制限された操作] の順に進みます。
  2. [すべてにメッセージを送信する] 設定を構成します。この設定を有効にすると、システム管理者は貴社で展開するすべてのデバイスに、デバイス リスト表示からメッセージを送信することができます。特定のグループにメッセージを送信するためにも使用できます。
  3. UEM Console の特定の操作に対して管理者の暗証番号の入力を必須にすることができます。次のアクションを有効または無効にして、[パスワード保護処理] を構成します。
    注: 以下で * が付いている一部の操作には常に暗証番号の入力が必要で、無効に設定することはできません。
    設定 説明
    [管理者アカウント削除] [アカウント] > [管理者] > [リスト表示] での管理者ユーザー アカウントを削除する試みを防止します。
    *[VMware Enterprise Systems Connector 証明書を再生成] [グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [VMware Enterprise Systems Connector] での VMware Enterprise Systems Connector 証明書を再生成する試みを防止します。
    *[APNs 証明書変更] [グループと設定] > [すべての設定] > [デバイスとユーザー] > [Apple] > [MDM 用の APNs] での MDM 用の APNs を無効にする試みを防止します。
    [アプリケーションの削除/非アクティブ化/回収] [アプリとブック] > [アプリケーション] > [リスト表示] でのアプリケーションの削除/非アクティブ化/回収の試みを防止します。
    [コンテンツの削除/非アクティブ化] [コンテンツ] > [リスト表示] でのコンテンツ ファイルを削除/非アクティブ化する試みを防止します。
    *[データ暗号化トグル] [グループと設定] > [すべての設定] > [システム] > [セキュリティ] > [データ セキュリティ] のユーザー情報暗号化の設定を保護します。
    [デバイス削除] [デバイス] > [リスト表示] でのデバイス削除の試みを防止します。この設定を無効にしても、一括操作には管理者のセキュリティ暗証番号が求められます。
    *[デバイス ワイプ] デバイス リスト表示あるいはデバイス詳細画面での、デバイス ワイプ実行のすべて試みを防止します。
    [企業情報リセット] Windows 高耐久性デバイス、Android 高耐久性デバイス、あるいは QNX デバイスの [デバイス詳細 ]画面で、企業情報リセットを実行しないように制限できます。
    [企業情報ワイプ] デバイスの [デバイス詳細] 画面から行われる、企業情報ワイプのすべての試みを防止します。
    [ユーザーグループ メンバーシップに基づく企業情報ワイプ] ユーザー グループから削除されたデバイスに対する企業情報ワイプの試みをすべて防止します。この設定は、[グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [加入] の順に進み、[制限事項] タブで構成できるオプション設定です。このタブで [加入を構成済みのグループのみに制限] した場合、デバイスがグループから削除された際の、デバイス企業情報ワイプに関する追加オプションが利用できるようになります。
    *[組織グループの削除] [グループと設定] > [グループ] > [組織グループ] > [組織グループ詳細] での現在の組織グループを削除する試みをすべて防止します。
    [プロファイルの削除/非アクティブ化] [デバイス] > [プロファイルとリソース] > [プロファイル] でのプロファイル削除または非アクティブ化のすべての試みを防止します。
    [プロビジョニングプロダクトの削除] [デバイス] > [プロビジョニング] > [プロダクト リスト表示] でのプロビジョニング プロダクトを削除しようとするすべての試みを防止します。
    [証明書を取り消す] [デバイス] > [証明書] > [リスト表示] での証明書を取り消そうとするすべての試みを防止します。
    *[セキュア チャンネル証明書クリア] [グループと設定] > [すべての設定] > [システム] > [高度な設定] > [セキュア チャンネル証明書] で行われる既存のセキュア チャンネル証明書を削除しようとするすべての試みを防止します。
    [ユーザーアカウント削除] [アカウント] > [ユーザー] > [リスト表示] でのユーザー アカウントを削除しようとするすべての試みを防止します。
    [プライバシー設定の変更] [グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [プライバシー] でのプライバシー設定を変更する試みを防止します。
    [テレコムプラン削除] [テレコム] > [プラン リスト] でのテレコム プランを削除する試みを防止します。
    [ジョブ ログ レベル オーバーライド] [グループと設定] > [管理者] > [診断] > [ログ収集] での現在選択中のジョブ ログ レベルを上書きする試みを防止します。ジョブ ログ レベルの上書きは、1 台のデバイスや複数のデバイスのグループに問題が発生したときに有益な機能です。問題のあるデバイスの設定を、たとえば 「詳細」 ログ レベルなどに強制的に引き上げ、コンソールのアクティビティを最大レベルでログ収集することができるので、トラブルシューティングの際に役立ちます。
    *[アプリ スキャン ベンダー リセット/トグル] アプリ スキャン統合設定のリセット (ひいてはそれに伴うワイプ) を防止します。この操作は、[グループと設定] > [すべての設定] > [アプリ] > [アプリ スキャン] と進んだ画面で行います。
    [シャットダウン] [デバイス] > [リスト表示] > [デバイス詳細] でのデバイスをシャットダウンする試みを防止します。
    [暗証番号の試行回数上限] 暗証番号入力を試行する際の失敗の上限回数を指定します。この回数を超えるとコンソールがロックダウンされます。1 ~ 5 の間で設定する必要があります。

パスワード保護操作を選択する

コンソールの制限された操作は、破壊的な影響を Workspace ONE UEM Console に及ぼす可能性がある操作を悪意あるユーザーからブロックするための保護を提供します。

  1. [グループと設定] > [すべての設定] > [システム] > [セキュリティ] > [制限された操作] の順に進み、制限された操作を構成します。
  2. 管理者による PIN の入力を必須にすることで保護する操作ごとに、必要に応じて [有効] または [無効] に対して [パスワード保護処理] ボタンを選択します。

    この要件により、保護を強化したい操作をきめ細かく制御することができます。

    注: 一部の操作には常に暗証番号の入力が必要で、無効に設定することはできません。下記では * マークで示しています。
  3. 試行失敗回数の上限を設定し、それ以後はセッションを強制終了するよう設定することができます。試行回数が上限を超えた場合は、Workspace ONE UEM Console に再度ログインし、新しいセキュリティ暗証番号を設定する必要があります。
    設定 説明
    [管理者アカウント削除] [アカウント] > [管理者] > [リスト表示] での管理者ユーザー アカウントを削除する試みを防止します。
    [VMware Enterprise Systems Connector 証明書を再生成] [グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [VMware Enterprise Systems Connector] での VMware Enterprise Systems Connector 証明書を再生成する試みを防止します。
    [*APNs 証明書の変更] [グループと設定] > [すべての設定] > [デバイスとユーザー] > [Apple] > [MDM 用の APNs] での MDM 用の APNs を無効にする試みを防止します。
    [アプリケーションの削除/非アクティブ化/回収] [アプリとブック] > [アプリケーション] > [リスト表示] でのアプリケーションの削除/非アクティブ化/回収の試みを防止します。
    [コンテンツの削除/非アクティブ化] [コンテンツ] > [リスト表示] でのコンテンツ ファイルを削除/非アクティブ化する試みを防止します。
    [*データ暗号化トグル] [グループと設定] > [すべての設定] > [システム] > [セキュリティ] > [データ セキュリティ] のユーザー情報暗号化の設定を保護します。
    [デバイス削除] [デバイス] > [リスト表示] でのデバイス削除の試みを防止します。この設定を無効にしても、一括操作には管理者のセキュリティ暗証番号が求められます。
    [*デバイス ワイプ] デバイス リスト表示あるいはデバイス詳細画面での、デバイス ワイプ実行のすべて試みを防止します。
    [企業情報リセット] Windows 高耐久性デバイス、Android 高耐久性デバイス、あるいは QNX デバイスの [デバイス詳細 ]画面で、企業情報リセットを実行しないように制限できます。
    [>企業情報ワイプ] デバイスの [デバイス詳細] 画面から行われる、企業情報ワイプのすべての試みを防止します。
    [ユーザーグループ メンバーシップに基づく企業情報ワイプ] ユーザー グループから削除されたデバイスに対する企業情報ワイプの試みをすべて防止します。この設定は、[グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [加入] の順に進み、[制限事項] タブで構成できるオプション設定です。このタブで [加入を構成済みのグループのみに制限] した場合、デバイスがグループから削除された際の、デバイス企業情報ワイプに関する追加オプションが利用できるようになります。
    [*組織グループの削除] [グループと設定] > [グループ] > [組織グループ] > [組織グループ詳細] での現在の組織グループを削除する試みをすべて防止します。
    [プロファイルの削除/非アクティブ化] [デバイス] > [プロファイルとリソース] > [プロファイル] でのプロファイル削除または非アクティブ化のすべての試みを防止します。
    [プロビジョニングプロダクトの削除] [デバイス] > [プロビジョニング] > [プロダクト リスト表示] でのプロビジョニング プロダクトを削除しようとするすべての試みを防止します。
    [証明書を取り消す] [デバイス] > [証明書] > [リスト表示] での証明書を取り消そうとするすべての試みを防止します。
    [*セキュア チャンネル証明書クリア] [グループと設定] > [すべての設定] > [システム] > [高度な設定] > [セキュア チャンネル証明書] で行われる既存のセキュア チャンネル証明書を削除しようとするすべての試みを防止します。
    [ユーザーアカウント削除] [アカウント] > [ユーザー] > [リスト表示] でのユーザー アカウントを削除しようとするすべての試みを防止します。
    [プライバシー設定の変更] [グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [プライバシー] でのプライバシー設定を変更する試みを防止します。
    [テレコムプラン削除] [テレコム] > [プラン リスト] でのテレコム プランを削除する試みを防止します。
    [ジョブ ログ レベル オーバーライド] [グループと設定] > [管理者] > [診断] > [ログ収集] での現在選択中のジョブ ログ レベルを上書きする試みを防止します。ジョブ ログ レベルの上書きは、1 台のデバイスや複数のデバイスのグループに問題が発生したときに有益な機能です。問題のあるデバイスの設定を、たとえば 「詳細」 ログ レベルなどに強制的に引き上げ、コンソールのアクティビティを最大レベルでログ収集することができるので、トラブルシューティングの際に役立ちます。
    [*アプリ スキャン ベンダー リセット/トグル] アプリ スキャン統合設定のリセット (ひいてはそれに伴うワイプ) を防止します。この操作は、[グループと設定] > [すべての設定] > [アプリ] > [アプリ スキャン] と進んだ画面で行います。
    [シャットダウン] [デバイス] > [リスト表示] > [デバイス詳細] でのデバイスをシャットダウンする試みを防止します。
    [暗証番号の試行回数上限] 暗証番号入力を試行する際の失敗の上限回数を指定します。この回数を超えるとコンソールがロックダウンされます。1 ~ 5 の間で設定する必要があります。

操作を行う際にメモの入力を義務付ける

[メモの入力を要求する] チェック ボックスを使用して、管理者にメモを入力させ、特定の Workspace ONE UEM Console 操作を実行する理由の説明を義務付けることができます。

  1. [グループと設定] > [すべての設定] > [システム] > [セキュリティ] > [制限された操作] の順に進みます。
  2. これらのアクションのいずれかを実行する前に管理者がメモを入力する必要がある場合は、[[メモ追加]] リソース(権限)を持つ役割を変更することを確認します。

    詳細は、管理者ロールを作成する を参照してください。

    設定 説明
    [デバイスをロック] [デバイス リスト表示][デバイス詳細] から、デバイスのロックを行う際に、メモの入力を必須にします。
    [SSO ロック] [デバイス リスト表示][デバイス詳細] から SSO セッションのロックを行う際に、メモの入力を必須にします。
    [デバイス ワイプ] [デバイス リスト表示][デバイス詳細] からデバイス ワイプを実行する際に、メモの入力を必須にします。
    [企業情報リセット] Windows 高耐久性デバイスあるいは Android 高耐久性デバイスの [デバイス詳細] 画面から、企業情報のリセットを実行する際に、メモの入力を必須にします。
    [企業情報ワイプ] [デバイス詳細] から企業情報ワイプを実行する際に、メモの入力を必須にします。
    [ジョブ ログ レベル オーバーライド] [グループと設定] > [管理者] > [診断] > [ログ収集] から既定のジョブ ログ レベルの上書きを行う前に、メモの入力を必須にします。
    [デバイスの再起動] [デバイス] > [リスト表示] > [デバイス詳細] から再起動を試行する前に、メモの入力を必須にします。
    [シャットダウン] [デバイス] > [リスト表示] > [デバイス詳細] からシャットダウンを試行する前に、メモの入力を必須にします。