デバイスを加入させるには、事前に、各デバイス ユーザーに Workspace ONE UEM powered by AirWatch の正規ユーザー アカウントを割り当てる必要があります。また、貴社のニーズに基づいて、ユーザー認証タイプを選択します。

認証プロキシ

認証プロキシは、クラウドまたは強化された内部ネットワークにディレクトリ サービス統合を提供します。このモデルでは、Workspace ONE UEM サーバは、Exchange ActiveSync サーバ、または、パブリック ネットワークに面した Web サーバと通信します。また、ユーザーはドメイン コントローラに対して認証されます。

[長所]

  • クラウド全体を通して AD/LDAP とプロキシ統合するセキュアな方法を提供
  • 既存の企業資格情報でエンド ユーザーを認証
  • 構成の必要性を最小に押さえた軽量モジュール

[短所]

  • AD/LDAP サーバと結び付けられたパブリックに面した Web サーバまたは Exchange ActiveSync サーバが必要
  • また、特定のアーキテクチャでのみ使用が可能
  • VMware Enterprise Systems Connector に比べて堅牢性が大幅に低い
  • Workspace ONE への直接加入のためには使用できません。

この図は、ディレクトリ サービスと Workspace ONE SaaS モデルの間を仲介するリバース プロキシ サーバを示しています。

  1. デバイスは加入のために Workspace ONE UEM に接続します。ユーザーは自分のディレクトリ サービスのユーザー名とパスワードを入力します。
    • ユーザー名とパスワードは送信中は暗号化されます。
    • Workspace ONE UEM はユーザーのディレクトリ サービス パスワードを保管しません。
  2. Workspace ONE UEM はユーザー名とパスワードを(ベーシック認証のような)認証が必要な構成済みの認証プロキシ エンドポイントにリレーします。
  3. ユーザーの資格情報は、企業ディレクトリサービスに対して検証されます。
  4. ユーザーの資格情報が有効であれば、Workspace ONE UEM サーバはデバイスの加入を許可してプロセスを完了します。

LDAP 認証と VMware Enterprise Systems Connector を使用した Active Directory

LDAP 認証と VMware Enterprise Systems Connector を使用した Active Directory は、従来の AD & LDAP 認証と同じ機能を提供します。このモデルは、SaaS 展開向けのクラウド全体で機能します。

[長所]

  • 既存の企業資格情報を使用してエンド ユーザーを認証
  • 通信が貴社ネットワーク内の VMware Enterprise Systems Connector から開始されるため、ファイアウォールの設定変更が不要
  • 資格情報を暗号化しセキュアに送信
  • BES、Microsoft ADCS、SCEP や SMTP サーバといった他のインフラにもセキュアな構成を提供
  • Workspace ONE ™ への直接加入のために使用できます。

[短所]

  • ファイアウォールの背後または DMZ 内への VMware Enterprise Systems Connector のインストールが必要
  • 追加構成が必要

[SaaS 展開モデル]

この図は、内部ネットワーク リソースにアクセスするのと同時にファイアウォールを介してクラウドに Workspace ONE サービスを提供する VMware Cloud Connector を示しています。

[オンプレミス展開モデル]

この図は、内部ネットワーク リソースによってファイアウォールを介して提供されている DMZ でデバイス サービスにアクセスするデバイスを示しています。

SAML 2.0 認証

SAML (Security Assertion Markup Language) 2.0 認証は、シングル サインオンをサポートし、統合された認証を提供します。Workspace ONE UEM は、いかなる企業資格情報も受け取りません。

SAML アイデンティティ プロバイダ サーバを使用している場合は、SAML 2.0 統合を利用してください。ID プロバイダで SAML 応答の一部として、objectGUID 属性が返されることを確認します。

[長所]

  • シングル サインオン機能を提供
  • 既存の企業資格情報を使用した認証
  • Workspace ONE UEM がプレーンテキストで企業資格情報を受け取ることはない
  • SAML ディレクトリ ユーザーとペアになっている場合に Workspace ONE への直接加入に使用できます。
  • マルチドメイン環境は管理者のみでサポートされます。

[短所]

  • 企業 SAML アイデンティティ プロバイダ インフラが必要
  • SAML ベーシック ユーザーとペアになっている場合は Workspace ONE への直接加入に使用できません。

    この図は、インターネット経由でデバイスから入力を受信し、ファイアウォールを介して SAML ID プロバイダにアクセスする Workspace ONE SaaS サーバを示しています。

    1. デバイスは加入のために Workspace ONE UEM に接続します。次に UEM サーバはデバイスをクライアント指定のアイデンティティ プロバイダにリダイレクトします。
    2. デバイスは HTTPS を使用して、クライアントにより提供されたアイデンティティ プロバイダにセキュアに接続します。ユーザーは資格情報を入力します。
      • 資格情報は、デバイスと SAML エンドポイントの間で直接送信される際、暗号化されます。
    3. 資格情報はディレクトリ サービスに対して検証されます。
    4. アイデンティティ プロバイダは、認証済みのユーザー名を伴った署名済みの SAML 応答を返します。
    5. デバイスは、Workspace ONE UEM サーバに応答を返し、署名済みの SAML メッセージを提示します。ユーザー認証が完了します。

    詳細については、「Directory Services の手動による設定」を参照し、SAML セクションまで下にスクロールしてください。

  • Workspace ONE Access を使用して認証する SAML 管理者は、SaaS アプリを使用できません。

SAML 管理者向けの SaaS アプリ機能

Workspace ONE Access を使用して認証する SAML 管理者は、SaaS アプリケーションや、他の Workspace ONE Access ポリシーおよび機能を利用できません。[SaaS アプリ] ページに移動すると、次のエラー メッセージが表示されます。

管理者アカウントが UEM と IDM の両方のシステムに存在し、Workspace ONE UEM のドメインが VMware Identity Manager の同じアカウントのドメインと完全に一致していることを確認します。

SaaS アプリへのアクセス機能を復元するには、ベーシック認証を使用して Workspace ONE UEM にログインし、さらに、組織グループで Workspace ONE Access を有効にする必要があります。

トークンベース認証

トークンベース認証はユーザーにとって最も簡単なデバイス加入方法です。この加入方法を使用する場合、Workspace ONE UEM はトークンを生成し、加入 URL 内に配置します。

[シングルトークン認証] では、ユーザーは加入を完了するためにデバイスからリンクにアクセスし、Workspace ONE UEM サーバはユーザーが提供するトークンを参照します。

セキュリティを強化するため、各トークンに有効期限 (単位: 時間) を設定してください。これにより、別のユーザーがそのデバイス上の利用可能な情報や機能にアクセスしてしまう可能性を、最小限に抑えることができます。

また二要素認証を実装し、エンド ユーザー識別確認のステップを加えることもできます。この認証設定では、ユーザーは、加入リンクにアクセスして提供されたトークンとユーザー名およびパスワードを入力する必要があります。

[長所]

  • デバイスの加入/認証の際のエンド ユーザーへの負担が最も少ない方法です。
  • 有効期限を設けることで、トークンをセキュアに使用できます。
  • シングル トークン認証にはユーザー資格情報は不要です。

[短所]

  • デバイスにトークンを送信するために、簡易メール転送プロトコル (SMTP)、あるいはショート メッセージ サービス (SMS) 統合が必要です。

 この図は、加入ユーザーに単一使用のトークンを提供する管理者ユーザーを示しています。

  1. 管理者がユーザーのデバイス登録を承認します。
  2. シングル ユーザー用のトークンが生成され、Workspace ONE UEM からユーザーに送信されます。
  3. トークンを受け取ったユーザーは、加入 URL を開きます。トークンを入力するよう、ユーザーにプロンプトが表示されます。(オプションで二要素認証を要求することもできます)
  4. デバイスの加入プロセスが開始します。
  5. Workspace ONE UEM はトークンを期限切れとマークします。
注: SaaS 展開には SMTP が含まれています。

加入のセキュリティ タイプを有効にする

Workspace ONE UEM を、選択したユーザー セキュリティ タイプと統合したら、加入処理の前に、許可する認証モードのそれぞれを有効にします。

  1. [認証] タブで、[デバイス] > [デバイス設定] > [デバイスとユーザー] > [全般] > [加入] の順に進みます。
  2. [認証モード] 設定の適切なチェック ボックスを選択します。
    設定 説明
    Eメールドメインを追加 このボタンは、自動検出サービスを設定して Eメール ドメインを環境に登録するために使用します。
    [認証モード]

    許可済みの認証タイプを選択します。これには以下が含まれます。

    • [ベーシック] – ベーシック ユーザー アカウント(UEM Console で手動で作成したもの)を加入できます。
    • [ディレクトリ] – ディレクトリユーザーアカウント (ディレクトリサービス統合によりインポート済みまたは許可済みのアカウント) の加入を許可します。Workspace ONE への直接加入では、SAML の有無に関係なくディレクトリ ユーザーをサポートします。
    • [認証プロキシ] – 認証プロキシユーザーアカウントを使用したユーザー加入を許可します。ユーザーはウェブ エンドポイントに認証します。
      • [認証プロキシの URL][認証プロキシ URL のバックアップ]、および [認証方法の種類](HTTP ベーシックまたは Exchange ActiveSync を選択)を入力します。
    [Intelligent Hub の認証ソース]

    Intelligent Hub サービスがユーザーおよび認証ポリシー用にそのソースとして使用するシステムを選択します。

    • [Workspace ONE UEM] – Hub サービスでユーザーおよび認証ポリシーのソースとして Workspace ONE UEM を使用する場合は、この設定を選択します。

      Hub サービスの [Hub 構成] ページを構成するときに、Hub サービス テナントの URL を入力します。

    • [Workspace ONE Access] – Hub サービスでユーザーおよび認証ポリシーのソースとして Workspace ONE Access を使用する場合は、この設定を選択します。

      Hub サービスの [Hub 構成] ページを構成するときに、Workspace ONE Access テナントの URL を入力します。

    Workspace ONE Intelligent Hub の詳細については、VMware Workspace ONE Hub サービス ドキュメントを参照してください。

    Workspace ONE Access の詳細については、VMware Workspace ONE Access ドキュメントを参照してください。

    [デバイス加入モード]

    優先するデバイス加入モードを選択します。これには以下が含まれます。

    • [[新規加入]] – 基本的にその他の加入の条件(認証モード、制限など)を満たすすべてのユーザーに加入を許可します。Workspace ONE への直接加入では、新規加入をサポートします。
    • [登録デバイスのみ] – 管理者またはエンドユーザーにより登録されたデバイスを使用して加入するユーザーのみを許可します。デバイスの登録は、加入前に企業デバイスを UEM コンソールに追加するプロセスです。Workspace ONE への直接加入では、登録済みデバイスのみの登録を許可できますが、登録トークンが必要ない場合に限られます。
    [登録トークンを要求する]

    [登録済みデバイスのみ] が選択されている場合にのみ表示されます。

    登録済みのデバイスのみが加入できるように制限する場合、加入に使用する登録トークンを要求するオプションも使用することができます。その特定のユーザーに加入が認められているかどうかを確認できるため、これを使用するとセキュリティを強化できます。Workspace ONE UEM アカウントを持つユーザーに、加入トークンを添付した E メールか SMS メッセージを送信することができます。

    [iOS で Intelligent Hub 加入を必須にする] iOS デバイスのユーザーが加入前に Workspace ONE Intelligent Hub をダウンロードおよびインストールしていることを必須とするには、このチェック ボックスを選択します。無効な場合、Web 加入を利用できます。
    [macOS で Intelligent Hub 加入を必須にする] macOS デバイスのユーザーが加入前に Workspace ONE Intelligent Hub をダウンロードおよびインストールしていることを必須とするには、このチェック ボックスを選択します。無効な場合、Web 加入を利用できます。
  3. [[保存]] を選択します。

ベーシック ユーザー認証

ベーシック認証を使用して Workspace ONE UEM アーキテクチャのユーザーを特定することができますが、この方法では、既存の企業ユーザー アカウントとの統合はできません。

[長所]

  • どの展開方法でも使用できる
  • テクニカル統合が不要
  • 企業インフラが不要

[短所]

  • 「自動検出」では使用できません。
  • 資格情報は Workspace ONE UEM 内のみに存在し、既存の企業資格情報と必ずしも合致しません。
  • セキュリティの連携がなく、シングル サインオンが利用できない
  • すべてのユーザー名とパスワードが Workspace ONE UEM に保存されます。
  • Workspace ONE への直接加入のためには使用できません。

  1. コンソール ユーザーは、ローカル アカウントを使用して Workspace ONE UEM SaaS にログインし、認証(ベーシック認証)を受けます。
    • 資格情報は送信中は暗号化されます。
    • (例:ユーザー名:jdoe@air-watch.com、パスワード:Abcd)
  2. デバイス ユーザーはローカル Workspace ONE UEM アカウント(ベーシック認証)資格情報を使用してデバイスの加入を行います。
    • 資格情報は送信中は暗号化されます。
    • (例:ユーザー名:jdoe2、パスワード:2557)

LDAP 認証を使用した Active Directory

LDAP(ライトウェイト ディレクトリ アクセス プロトコル)認証を使用した Active Directory では、既存の企業アカウントと Workspace ONE UEM のユーザーおよび管理者アカウントを統合することができます。

[長所]

  • これで、既存の企業資格情報を使用してエンド ユーザーを認証します。
  • LDAP/AD とのセキュアな統合方法
  • 標準的な統合方法
  • Workspace ONE への直接加入のために使用できます。

[短所]

  • AD またはその他の LDAP サーバが必要

この図は、ファイアウォールを介してインターネット経由で UEM Console にアクセスするデバイスを示しています。UEM Console がディレクトリ サービスにアクセスします。

  1. デバイスは加入のために Workspace ONE UEM に接続します。ユーザーは自分のディレクトリ サービスのユーザー名とパスワードを入力します。
    • ユーザー名とパスワードは送信中は暗号化されます。
    • Workspace ONE UEM はユーザーのディレクトリ サービス パスワードを保管しません。
  2. Workspace ONE UEM は、認証用サービス アカウントを使用し、セキュア LDAP プロトコルを使用してインターネット経由でクライアントのディレクトリ サービスにクエリを送信します。
  3. ユーザーの資格情報は、企業ディレクトリ サービスに対して検証されます。
  4. ユーザーの資格情報が有効であれば、Workspace ONE UEM サーバはデバイスの加入を許可してプロセスを完了します。