一連のユーザーをユーザー グループにまとめることができます。ユーザー グループは、組織グループと同様、プロファイルとアプリケーションを割り当てる際のフィルタのような機能を果たします。Workspace ONE UEM で環境を構成する際には、ユーザー グループを、組織におけるセキュリティ グループとビジネス役割区分に添った形で作成する必要があります。

プロファイル、順守ポリシー、コンテンツ、およびアプリケーションを、ユーザー グループに属するユーザーとデバイスに割り当てることができます。既存のディレクトリ サービス グループを Workspace ONE UEM に追加することも、すべて手作業でユーザー グループを作成することもできます。

あるいは、ユーザー グループの代わりに、事前構成されたネットワーク IP アドレス範囲やカスタム属性に基づいてデバイスを割り当てることでコンテンツを管理することもできます。

ユーザー グループ リスト表示

[ユーザー グループ リスト表示] ページには、ユーザー グループの閲覧/融合/削除、不明ユーザーの追加、ユーザー グループの同期など、ユーザー グループの一般的なメンテナンスや維持にとって便利なツールがあります。

この画面から、最も重要な基準に基づいてユーザー グループのリストを素早くカスタマイズすることができます。新しいユーザー グループを個別にまたは一括で追加することもできます。

[アカウント] > [ユーザー グループ] > [リスト表示] の順に進みます。

操作 説明

フィルタ

以下のフィルタを使用し、必要なユーザー グループのみ表示します。

  • ユーザー グループの種類
  • 同期状態
  • 融合状態
追加  

ユーザー グループを追加します。

ディレクトリベースのユーザー グループまたはカスタム ユーザー グループのいずれかを 1 つ追加します。

バッチ インポート

新しいデバイス プロファイルを CSV ファイルを使用して一括インポートします。一意の名前および説明を入力して、一度に複数のユーザー グループを整理できます。
カラムの並べ替えとサイズ変更 「リスト表示」 の中で並べ替えができるカラムは、「グループ名」、「最終同期日」、「ユーザー」 および 「融合状態」 です。幅を変更できるカラムは、「グループ名」と「最終同期日」です。
詳細表示 「詳細表示」 でユーザー グループ基本情報を表示するには、[グループ名] カラムのリンクを選択します。ユーザー グループ基本情報の内容は、グループ名、グループ タイプ、外部タイプ、マネージャ、およびユーザー数です。[詳細表示] の [グループ化] タブで、[すべての設定] > [デバイスとユーザー] > [全般] > [加入] と進むと、グループ マッピング設定へのリンクが表示されます
エクスポート () フィルタ適用なしまたはフィルタ適用済みの [リスト表示] 全体の XLSX または CSV(コンマ区切り値)ファイルを保存します。どちらのファイル形式も MS Excel で表示して分析できます。

[ユーザー グループ リスト表示] のユーザーの左側には、選択チェック ボックスと [編集] アイコンがあります。[編集] アイコン( 編集アイコンは灰色の鉛筆のようになります)を選択し、ユーザー グループに基本的な変更を加えることができます。ユーザー グループに対して一括アクションを実行するには、1 つ以上のグループを選択します。選択したユーザー グループに対するアクション ボタンが表示されます。

ユーザー グループのその他のアクション

必要な数のチェック ボックスを選択し、必要なユーザー グループをすべて選択できます。そうすることにより利用可能なアクション ボタンが変わります。それらのアクションは、複数のユーザーとそれぞれのデバイスに適用されます。

操作 説明
[同期] 最近追加されたユーザー グループのユーザーを一時テーブルにコピーし、自動的に行われるようスケジュールされた Workspace ONE UEM および Workspace ONE Express による Active Directory 同期が実行される前に手動で同期します。
注: ユーザー属性の同期プロセスは、重複するユーザーが検出されても続行されます。このような同期失敗が発生すると、トラブルシューティング用に、DuplicateUserSyncFailure と呼ばれるコンソール イベント ログにエントリが作成されます。この、および他のコンソール イベント ログ エントリを確認するには、 [モニタ] > [レポートおよび分析] > [イベント] > [コンソール イベント] の順に進みます。
[ユーザーを表示する] [ユーザー グループ メンバー] 画面が表示されます。この画面で、選択したユーザー グループ内のすべてのメンバーのユーザー名を確認できます。
[その他のアクション]  

[閲覧と融合]

一時的なユーザー グループに最近追加されたユーザーの追加または削除と閲覧を行います。この表に表示されるユーザー グループ ユーザーは、Workspace ONE UEM および Workspace ONE Express での自動のユーザー グループ同期が行われるまで待機します。

[不明ユーザーを追加]

一時的なユーザー グループの表を Active Directory の表と組み合わせ、ユーザー グループに新しいユーザーを正式に追加します。

[削除]

ユーザー グループを削除します。

ユーザーをユーザー グループに追加する

必要に応じて、ユーザー グループにユーザーを追加できます。スケジュール設定された自動起動するユーザー グループの Active Directory 同期を待機しない場合は、ユーザー グループを手動で同期できます。

以下の手順に従って 1 つ以上のユーザー グループに新しいユーザーを追加します。

  1. [アカウント] > [ユーザー] > [リスト表示] の順に進みます。
  2. 左側のボックスにチェックを入れてユーザーを 1 人以上選択します。
  3. [その他のアクション] ボタンを選択し、[ユーザー グループに追加] を選択します。[選択したユーザーをカスタム ユーザー グループに追加] 画面が表示されます。
  4. ユーザーを [[既存のユーザー グループ]] に追加するか、あるいは [[新しいユーザー グループ]] を作成できます。
  5. [[グループ名]] を選択します。
  6. [[保存]] を選択します。
  7. [アカウント] > [ユーザー グループ] > [リスト表示] の順に進みます。
    1. Active Directory (AD) の同期 (自動化およびスケジュールされたプロセス) により、保留中のユーザー グループのユーザーを一時テーブルにコピーします。次に、これらのユーザー グループのユーザーを確認、追加、または削除します。
    2. Active Directory との自動同期処理が実行されるまで待てない場合、手動で同期させることができます。手動同期を実行するには、ユーザーを追加したユーザー グループを選択し、[同期] ボタンを選択します。
      注: ユーザー属性の同期プロセスは、重複するユーザーが検出されても続行されます。このような同期失敗が発生すると、トラブルシューティング用に、DuplicateUserSyncFailure と呼ばれるコンソール イベント ログにエントリが作成されます。この、および他のコンソール イベント ログ エントリを確認するには、 [モニタ] > [レポートおよび分析] > [イベント] > [コンソール イベント] の順に進みます。
  8. オプションで、[その他] > [閲覧して融合] の順に選択し、保留中のユーザー グループのユーザーの確認、追加、削除といったメンテナンス作業を行うこともできます。
  9. 保留中のユーザー グループ ユーザーの一時テーブルを Active Directory ユーザー グループ ユーザーと結合するには、[その他] > [不明ユーザーを追加] を選択します。

ディレクトリ統合なしにユーザー グループを追加する(カスタム)

貴社の既存の Active Directory 構造に含まれないユーザー グループを作成することもできます。管理者は、この機能を用いて特別なユーザー グループをいつでも作成することができます。機能およびコンテンツへのアクセスを特別に設計して、展開に応じてユーザー グループをカスタマイズします。これは、必要なユーザー グループの種類に応じて推奨される場合があります。

たとえば、特殊なアプリ、デバイス プロファイル、順守ポリシーを要する特別なプロジェクト向けに一時的なユーザー グループを作成したりすることができます。

ユーザー グループを一括追加する方法の詳細は、ユーザー グループをバッチ インポートする を参照してください。

カスタム ユーザー グループを追加できるのはカスタマー レベルの組織グループのみですのでご注意ください。

  1. [アカウント] > [ユーザー グループ] > [リスト表示] の順に進み、[追加][ユーザー グループの追加] の順に選択します。
  2. ユーザー グループ [タイプ] オプションを [カスタム] に変更します。
  3. [グループ名] と、Workspace ONE UEM Console でユーザー グループを特定できるような [説明] を入力します。
  4. ユーザー グループを管理する組織グループが正しく選択されていることを確認し、[保存] をクリックします。
  5. ユーザーをこのユーザー グループに追加するには、[アカウント] > [ユーザー] > [リスト表示] の順に進みます。

複数のユーザーを追加するには、リスト内の各 [ユーザー名] の左端にあるチェック ボックスをオンにします。次に、カラム見出しの上にある [[管理]] ボタンを選択し、[[ユーザー グループに追加]] を選択します。

ディレクトリ統合を行ってユーザー グループを追加する

Active Directory 統合なしにカスタム ユーザー グループを設定する代わりに、貴社の既存の Active Directory 構造を利用したユーザー統合を行うことができます。この方法には多くのメリットがあります。

既存のディレクトリ サービス ユーザー グループを Workspace ONE UEM ユーザー グループとしてインポートすることで、以下のようなタスクを実行できます。

  • [ユーザー管理] – 既存のディレクトリ サービス グループ(セキュリティ グループや配布リストなど)を参照し、Workspace ONE UEM のユーザー管理を既存のシステムと合わせます。
  • [プロファイルとポリシー]Workspace ONE UEM 展開全体のプロファイル、アプリケーションおよびポリシーをユーザーに割り当てます。
  • [統合された更新] – グループ メンバーシップの変更に基づき、ユーザー グループ割り当てを自動的に更新します。
  • [管理権限] – 承認された管理者にのみ、ポリシーの変更と特定のユーザー グループへのプロファイルの割り当てを許可するよう、管理権限を設定します。
  • [加入] – ユーザーが既存の資格情報を使用して加入できるようにし、自動的に組織グループを割り当てます。

管理者は、デバイスとユーザー管理のベースとなるメインのルート場所として、既存の組織グループを 1 つ指定する必要があります。また、ディレクトリ サービスはこのルート組織グループ レベルで有効にする必要があります。

貴社の既存のディレクトリ サービス グループを Workspace ONE UEM に追加することができます。この操作で、各ディレクトリ サービス アカウントに対するユーザー アカウントを即時に作成することはできませんが、Workspace ONE UEM はそれらのアカウントをユーザー グループとして認識します。このグループを加入制限の一つの方法として使用することができます。

ディレクトリ ユーザー グループを一括追加する方法の詳細は、ユーザー グループをバッチ インポートする を参照してください。

ディレクトリ統合を行ってユーザー グループを作成することは、より系統だったデバイス管理を行ううえでメリットがあります。デバイス加入に加え、それ以降の更新、管理、ユーザー管理にいたるまで、貴社の既存のディレクトリ サービス構造と足並みを揃えて行うことができます。

[開始する前に:]ユーザー グループ [タイプ][ディレクトリ] であることを確認します。

  1. [アカウント] > [ユーザー グループ] > [リスト表示] の順に進み、[追加] を選択し、[ユーザー グループを追加] を選択します。
    設定 説明
    [タイプ]

    ユーザー グループのタイプを選択します。

    • [ディレクトリ] – 貴社の既存の Active Directory 構造に沿ってユーザー グループを作成します。
    • [カスタム] – 貴社の既存の Active Directory 構造とは関係なくユーザー グループを作成します。このユーザー グループ タイプでは、ベーシック ユーザーとディレクトリ ユーザーが機能とコンテンツを利用して、貴社の環境に従ってユーザー グループをカスタマイズすることができます。カスタム ユーザー グループを追加できるのはカスタマー レベルの組織グループのみですのでご注意ください。
    [外部タイプ]

    追加するグループの外部タイプを選択します。

    • [グループ] – 貴社のユーザー グループのベースとなるグループ オブジェクト クラスを参照します。このクラスをカスタマイズするには、[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [ディレクトリ サービス] > [グループ] の順に進みます。
    • [組織ユニット] – 貴社のユーザー グループのベースとなる組織ユニット オブジェクト クラスを参照します。このクラスをカスタマイズするには、[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [ディレクトリ サービス] > [グループ] の順に進みます。
    • [カスタム クエリ] – カスタム クエリを実行し、返されたユーザーを含むユーザー グループを作成することもできます。この外部タイプを選択すると、テキスト検索の代わりに、「カスタム クエリ」 セクションが表示されます。
    [検索テキスト]

    貴社のディレクトリ内のユーザーの名前を特定するには、検索条件を入力し、[検索] を選択して検索します。入力した語句がディレクトリ グループの名前に含まれている場合、そのグループ名のリストが表示されます。

    [外部タイプ] として [カスタム クエリ] を選択した場合、このフィールドは使用できません。

    [ディレクトリ名] 貴社のディレクトリ サービス サーバのアドレスが表示されます。この欄は読み取りのみです。

    [ドメイン][グループ ベース DN]

    この情報は、[ディレクトリ サービス] 画面([グループと設定] > [システム] > [ エンタープライズ統合] > [ディレクトリ サービス])で入力したディレクトリ サービス サーバ情報に基づいて自動的に入力されます。

    [グループ ベース DN] の横にある [DN を取得] (+) を選択します。識別名のリストが表示されます。このリストで識別名を選択できます。

    [カスタム オブジェクト クラス]

    クエリを実行するオブジェクト クラスを特定します。既定のオブジェクト クラスは 「person」 ですが、カスタム オブジェクト クラスを提供することで貴社のユーザーを特定する精度を上げることができます。

    この欄は、[外部タイプ] として [カスタム クエリ] を選択した場合のみに表示されます。

    [グループ名]

    [テキスト検索] 結果リストから [グループ名] を選択します。「識別名」 欄の値を変えると、選択されるグループ名も自動で変わります。

    このオプションは、[テキスト検索] 設定を使った検索が正常に行われた後にのみ使用できます。

    [識別名]

    作成しているグループの完全な識別名が表示されます。この欄は読み取りのみです。

    この欄は、[外部タイプ] として [グループ] または [組織ユニット] を選択した場合のみ表示されます。

    [カスタム ベース DN]

    ベース識別名を特定します。これはクエリの開始点としての役割を果たします。既定のベース識別名は "AirWatch" および "sso" です。ただし、別の開始点からクエリを実行したい場合は、カスタム ベース識別名を指定できます。

    この欄は、[外部タイプ] として [カスタム クエリ] を選択した場合のみに表示されます。

    [組織グループ割り当て]

    この欄はオプションです。これにより、作成しているユーザー グループを特定の組織グループに割り当てることができます。

    この欄は、[外部タイプ] として [グループ] または [組織ユニット] を選択した場合のみ表示されます。

    [ユーザー グループ設定]

    [既定の設定を適用][このユーザー グループに対して、カスタム設定を使用する] のいずれかを選択します。[カスタム設定] セクションに入力欄の追加説明があります。グループを作成した後、権限設定からこれらを構成することができます。

    この欄は、[外部タイプ] として [グループ] または [組織ユニット] を選択した場合のみ表示されます。

    カスタム クエリ - [クエリ] この欄は、[クエリをテスト] ボタンを選択したときと、[続行] ボタンを選択したときに、現在読み込んでいるクエリを表示します。[カスタム ロジック] 欄または [カスタム オブジェクト クラス] 欄の変更はここに反映されます。
    [カスタム ロジック] ユーザー名や管理者名などのカスタム クエリ ロジックはここに追加します。例: "cn=jsmith"。識別名の大部分を含めることも、わずかな部分しか含めないこともできます。[クエリをテスト] ボタンにより、クエリのシンタックスが正しいかを [続行] ボタンをクリックする前に確認することができます。
    カスタム設定 - [管理権限] 作成するユーザー グループを管理する権限を、すべての管理者に許可することも管理権限をブロックすることもできます。
    [既定の役割] ドロップダウン メニューからユーザー グループの既定の役割を選択します。
    [既定の加入ポリシー] ドロップダウン メニューから既定の加入ポリシーを選択します。
    [ディレクトリと自動同期]

    このオプションでディレクトリ同期が有効になり、ディレクトリ サーバからユーザー メンバーシップを検出し、一時テーブルに保管します。[自動融合] チェック ボックスがオフになっている場合、管理者はコンソールに対する変更内容を承認します。

    定期同期時にユーザー グループが自動同期されないようにするには、この設定を無効にする必要があります。

    [変更を自動融合する] 管理者の承認なしにデータベースの変更を自動で適用するようにするにはこのオプションを有効に設定します。
    [Maximum Allowable Changes]

    自動によるユーザーグループ同期の変更数にしきい値を設定する場合はこの欄を使用します。この数を超えると、変更を適用する前に承認が必要になります。

    変更回数がこのしきい値を超えた場合、管理者による承認が必要になります。また、その旨の通知が送信されます。

    この欄は [変更を自動融合する] が有効になっている場合のみに表示されます。

    [グループ メンバーを自動で追加]

    ユーザーをユーザー グループに自動追加するには、この設定を有効にします。

    定期同期時にユーザー グループが自動同期されないようにするには、この設定を無効にする必要があります。

    [不明なユーザーを追加するときにユーザーに E メールを送信する] ユーザー グループに不明なユーザーが追加されている場合に、ユーザーに E メールを送信できるようにします。不明ユーザーを追加するということは、一時ユーザー グループ テーブルと Active Directory テーブルを結合することを意味します。
    [メッセージテンプレート]

    この欄は [不明なユーザーを追加するときにユーザーに Eメールを送信する] が有効になっている場合のみに表示されます。

    不明ユーザーをユーザー グループに追加する際に Eメール通知に使用するメッセージ テンプレートを選択します。

    Active Directory ユーザーを Workspace ONE UEM Console に新規追加する場合、メッセージ テンプレートの可用性は、[グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [加入]の順に進み、[認証] を選択して、[デバイス加入モード] オプションでの選択によって構成された登録モードによって決まります。

    [新規加入][デバイス加入モード] として選択されている場合、ユーザー アクティブ化 E メール テンプレートを [ メッセージ テンプレート] ドロップダウンで使用できます。この E メール メッセージは、新しい Active Directory ユーザーの登録を有効にします。

    [登録済みデバイスのみ][デバイス加入モード] として選択されている場合、デバイス アクティベーション E メール テンプレートを [ メッセージ テンプレート] ドロップダウンで使用できます。この E メール メッセージは、新しい Active Directory ユーザーがデバイスを登録できるようにします。[登録トークンを要求する] が有効になっている場合は、このメッセージに組み込まれたトークンでデバイスを登録できます。

    識別名の詳細は、Microsoft's TechNet (https://technet.microsoft.com/) の「Object Naming」と題された記事を参照してください。

  2. [[保存]] を選択します。

ユーザー グループ権限の編集

貴社のどのユーザーが特定グループの変更権限をもつのかを再検討するためには、ユーザー グループ権限を調整します。たとえば、貴社組織に会社役員のユーザー グループがある場合、それよりも低いレベルの管理者にそのグループの管理者権限を与えることは適切ではないかもしれません。

[権限] 画面を使用し、誰に特定ユーザー グループの管理権限を与え、誰にプロファイル/順守ポリシー/アプリケーションをユーザー グループに割り当てる権限を与えるのかを制御します。

  1. [アカウント] > [ユーザー グループ] > [リスト表示] の順に進みます。
  2. 既存のユーザー グループの行の [編集] アイコンを選択します。
  3. [権限] タブを選択し、[追加] をクリックします。
  4. アクセス権限を定義する対象の [組織グループ] を選択します。ユーザー グループのルート組織グループ (OG) 階層内にある組織グループを選択する必要があります。
  5. 有効にしたい [アクセス権限] のボックスにチェックを入れます。
    • [グループを管理 (編集/削除)] – ユーザー グループの編集と削除ができるようになります。
    • [グループ内のユーザー管理と加入の許可] – ユーザー グループ内のユーザーを管理することや、組織グループへのデバイスの加入を許可することができます。この設定を有効にするには、「グループを管理 (編集/削除)」 も有効になっている必要があります。「グループを管理 (編集/削除)」 が無効になっている場合は、この設定も無効になります。
    • [グループを割り当てに使用] – セキュリティ ポリシーおよびエンタープライズ リソースをデバイスに割り当てるのにグループを使用することができます。この設定を変更するには、「グループを管理 (編集/削除)」 が無効になっている必要があります。「グループを管理 (編集/削除)」 が有効になっている場合、この設定はロックされ、編集できません。
      • この設定は、ユーザー グループがメイン OG によって管理され、サブ OG の 1 つからグループを割り当てたい場合は無効になります。
  6. アクセス権限の [適用範囲] を選択します。これは、このユーザー グループを管理または使用できる管理者を決定します。次のオプションのいずれか [1 つ]のみを有効にできます。
    • [管理者のみ] – メイン組織グループの管理者にのみ権限が適用されます。
    • [この組織グループとその下のサブグループのすべての管理者] – 権限がメイン組織グループの管理者およびその下位のすべてのサブ組織グループのすべての管理者に適用されます。

ユーザー詳細情報にアクセスする

ユーザーとユーザー グループが設定された後は、ユーザー詳細、関連デバイス、インタラクションに関するすべてのユーザー情報を閲覧することができます。

ユーザー名が表示されている、Workspace ONE UEM Console 内の任意の画面で、ユーザー情報を閲覧できます。次に例を示します。

  • 「ユーザー グループのメンバー」([アカウント] > [ユーザー グループ] > [詳細表示] > [その他] > [ユーザーを表示]
  • 「ユーザー リスト表示」([アカウント] > [ユーザー] > [リスト表示]
  • 「管理者リスト表示」([アカウント] > [管理者] > [リスト表示]

以下のようなユーザー詳細情報が 1 つの画面に表示されます。

  • すべての関連ユーザー グループ
  • 過去においてそのユーザーに関連付けられたすべてのデバイスと、すべての加入デバイスへのリンク
  • デバイス共有環境でそのユーザーがこれまでにチェックアウトしたすべてのデバイス リストと、チェックイン/チェックアウト全履歴へのリンク
  • 特定デバイスと特定ユーザーに関するすべてのイベント ログ
  • 割り当て済み/承諾済み/承諾を拒否された利用規約一覧

個人情報を暗号化する

必要に応じて、個人を特定できる情報 (氏名、Eメール アドレス、電話番号等) を暗号化することができます。

  1. 暗号化したいグローバルまたはカスタマー レベルの組織グループから、[グループと設定] > [すべての設定] > [システム] > [セキュリティ] > [データ セキュリティ] の順に進みます。
  2. [ユーザー情報暗号化] を有効に設定し、暗号化したいユーザー データ欄を選択します。この操作により検索、並べ替え、フィルタの適用ができなくなります。
  3. [保存] をクリックしてユーザー データを暗号化します。暗号化されたデータにデータベースからアクセスすることはできません。この操作を行うことで、Workspace ONE UEM Console の検索、並べ替え、フィルタなど、いくつかの機能が制限されます。