コンソールにログインする

Workspace ONE UEM で何かを実行するには、まず Console にログインする必要があります。

Workspace ONE UEM Console にログインする前に、環境 URL と ログイン資格情報 が必要です。お客様の展開タイプによりこれらの情報ソースは様々です。

SaaS 展開 – 貴社の アカウントマネージャ が、貴社の環境 URL とユーザー名/パスワードを提供します。URL はカスタマイズできず、通常は awmdm.com の形式です。
オンプレミス – オンプレミス展開の URL はカスタマイズ可能で、通常 awmdm.<YourCompany>.com の形式です。

貴社担当のアカウントマネージャが貴社環境の初期設定に必要な資格情報を提供します。追加アカウントを作成し管理責任を委譲する管理者が、環境内の資格情報を作成し配布することもできます。

ブラウザがコンソールの 環境 URL を正常に読み込むと、貴社の Workspace ONE UEM 管理者から提供された ユーザー名 と パスワード を入力するだけで、ログインすることができます。

VMware Workspace ONE ログイン画面

ユーザー名 を入力します。
- Workspace ONE UEM Console により、ユーザー名とユーザーのタイプ（SAML または非 SAML）がブラウザのキャッシュに保存されます。
  - SAML ユーザーの場合、管理者は SAML ログインにリダイレクトされます。
  - 非 SAML ユーザーの場合、管理者はパスワードを入力する必要があります。
- 記憶チェックボックスが有効になっている場合は、次回環境 URL にアクセスしたときに、ユーザー名 テキストボックスに、最後にログインしたユーザーが事前入力されています。
パスワード を入力します。
- 初めてログインする場合、ログインパスワードの入力を求められます。入力して続行します。
- 以前にログインしていて、既定のブラウザでユーザー名とパスワードを記憶できるようにしている場合、パスワード テキストボックスに、ブラウザのキャッシュに保存されたパスワードが自動的に入力されます。
ログイン ボタンを選択します。
- ログインすると、デフォルトのホーム画面（カスタマイズ可能）が開きます。ホーム画面をカスタマイズする方法については、管理コンソールの「ヘッダーメニュー」というタイトルのセクションを参照してください。

パスワードの有効期限

基本管理者には、パスワードの有効期限が切れる 5 日前に E メールで通知され、前日に別の E メールで通知されます。オンプレミスの管理者は、グローバル組織グループにいるときに、[グループと設定] > [すべての設定] > [管理] > [コンソールセキュリティ] > [パスワード] の順に進んで、この既定の 5 日の期間を変更することができます。専用 SaaS 管理者がこの設定を変更するには、サポートに連絡する必要があります。

管理者用のカスタムパスワード有効期限通知を作成するには、[グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [メッセージテンプレート] の順に進んで、カテゴリ として [管理者] を選択し、タイプ として [管理者パスワードの期限の通知] を選択します。

管理者コンソールパスワードとは別に管理されている加入ユーザーのパスワード設定については、[グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [パスワード] の順に進んで、システム設定ページを参照してください。

セッションタイムアウトとログアウト

Workspace ONE UEM Console は、2 つの基本的なシナリオでログアウトします。

明示的なログアウト(ブラウザを閉じることを含む)。
- ユーザー名とパスワードを記憶するように既定のブラウザを構成している場合、次回のログイン時に、ブラウザにより、ユーザー名テキストボックスに、最後にログインしたユーザーが事前入力されています。
- ユーザー名とパスワードを忘れるブラウザを構成している場合、ユーザー名とユーザーのタイプ（SAML/非 SAML）がブラウザのキャッシュからワイプされます。
セッションタイムアウトは、セッション管理設定の強制セッションタイムアウト制限またはアイドルセッションタイムアウト オプションで設定された分数を超えてセッションが非アクティブになることで発生します（この時間にはロードバランサの問題が含まれます）。
- 非 SAML ユーザーは、保存されたユーザー名を使用し、ログイン ボタンを選択して再度ログインします。
- SAML ユーザーは、クリックせずにコンソールに再度ログインできます。

高度なトラブルシューティングは、多くの場合、同じ管理者アカウントで複数のセッションを開く、同じブラウザ内の複数のタブを開く、または複数のデバイスにログインすることを意味します。このシナリオでは、セッション管理設定で複数のセッションを許可オプションを有効にすることを意味します。このようなトラブルシューティングセッションを促進し、同時に最低限のセキュリティレベルを維持するため、次のルールが適用されます。

複数のブラウザタブまたは複数のデバイスに関係なく、アクティブなすべての管理者セッションは、これらのセッションの 1 つがアクティブに維持されている限り拡張されます。
すべてのセッションはアクティブなままでも、すべての管理セッションのセッション管理設定のアイドルセッションタイムアウト オプションで設定された分数を超える時間が経過すると、その管理者アカウントに関連付けられているすべてのセッションが終了します。

複数のアクティブなセッションを必要とするこのタイプの高度なトラブルシューティングを行う場合は、制限された操作設定の構成を検討してください。

ログインのロックアウト

システム管理者と AirWatch 管理者は、[、[グループと設定] > [すべての設定] > [管理者] > [コンソールセキュリティ] > [パスワード] ] の順に進み、管理者がコンソールからロックされるまでの無効ログインの最大試行数を設定できます。

次の 2 つのシナリオで UEM Console からロックアウトされます。1）無効ログインの最大試行回数を超えてログインに失敗した場合、2）パスワードをリセットする際にパスワード回復用の質問に 3 回誤って回答した場合。

ロックアウトされた場合は、ログイン画面のトラブルシューティングリンクを使用してパスワードをリセットするか、または管理者に依頼して管理者リスト表示画面でアカウントのロックを解除してもらう必要があります。アカウントがロックされている場合、再びロックが解除されると E メール通知を受信します。

アカウントロックアウトコンソールイベントを調査する

Workspace ONE UEM でベーシック管理者アカウントがロックアウトまたはロック解除されると、コンソールイベントが生成されます。いずれのイベントでも、ログレベル 5（警告）のイベントが生成されます。アカウント設定 で基本的なログイン履歴を直接確認するのに加えて、次の手順を実行することで、管理者アカウントのロックアウトまたはロック解除コンソールイベントを調査できます。

[モニタ] > [レポートと分析] > [イベント] > [コンソールイベント] の順に進みます。
コンソールイベント リストの最上部にある 重要度 ドロップダウンフィルタで「警告以上」を選択します。
カテゴリ ドロップダウンフィルタで [ログイン] を選択します。
モジュール ドロップダウンフィルタで [管理] を選択します。
必要に応じ、日付範囲 などの追加のフィルタを適用します。

アカウント設定を管理

VMware Workspace ONE UEM はアカウントドロップダウンメニューからアカウント設定を管理します。

Workspace ONE UEM の管理者は、コンソール固有のアカウント設定を使用して、ユーザーの連絡先情報、通知の設定、ログイン履歴、パスワードの回復などのセキュリティ設定を構成することを許可します。

アカウント設定を管理：ユーザー

ユーザーに確実に到達できるように、[ユーザー] タブに、E メール、最大 4 つの異なる電話番号、タイムゾーン、およびロケールなどの個人情報を入力します。

アカウント設定を管理：通知

[アカウント設定] ページの通知設定を使用して、APNs 失効アラートの有効/アクティベーションの解除の切り替え、アラートの受け取り方の選択、アラート送信先の Eメールアドレスの変更を行うことができます。詳細については、コンソール通知の「通知設定の構成」というタイトルのセクションを参照してください。

アカウント設定を管理：ログイン

ログインの日付と時刻、ソース IP アドレス、ログインタイプ、ソースアプリケーション、ブラウザの型式とバージョン、OS プラットフォーム、ログイン状態（ログイン成功、ログイン失敗を含む）などの、ログイン履歴全体を確認します。

アカウント設定を管理：セキュリティ

ログインパスワードのリセット、パスワード回復の質問のリセット、および 4 桁のセキュリティ暗証番号のリセットを行うことができます。

アカウント設定を管理：パスワード

UEM Console にログインすると、パスワードがアカウントのユーザー名とともに表示されます。

任意の時点でこのパスワードをリセットできます。Workspace ONE UEM パスワードをリセットすると、パスワードのリセットに使用したセッションは続行されますが、実行中の他のアクティブなセッションから自動的にログアウトされます。別の管理者のパスワードをリセットすると、パスワードをリセットした管理者がすべてのアクティブなセッションからログアウトされ、システムへの不正アクセスが防止されます。この機能は、ベーシック管理者アカウントにのみ適用されます。Active Directory 資格情報や IDP 資格情報などのサードパーティ認証は現在サポートされていません。パスワードの最小値と最大値の詳細については、パスワード設定を参照してください。

アカウント設定を管理：パスワード回復用の質問

パスワードをリセットするには、パスワード回復用の質問を使用できます。UEM Console に初めてログインするときに、この質問を回答とともに定義する必要があります。新しいパスワード回復用の質問を選択するには、[リセット] ボタンを選択します。この操作により、ユーザーは自動的にログアウトします。再びログインすると、[セキュリティ設定] 画面が表示されます。この画面で、パスワード回復用の質問のリストから質問を選択し、回答する必要があります。

パスワード回復用の質問を選択したことがなく、パスワード回復用の質問の [リセット] ボタンがない場合、管理者は自分のアカウントを削除して再作成する必要があります。アカウントを再作成した後、初めてログインするときに、パスワード回復用の質問と回答を定義する必要があります。

パスワード回復用の質問に 3 回以上誤って回答すると、ログインページからロックアウトされます。この場合、ログインページでトラブルシューティングのリンクを使用してパスワードをリセットする必要があります。または、管理者から支援を得て、管理者のリスト表示を使用してアカウントのロックを解除することができます。アカウントがロックされている場合、再びロックが解除されると E メール通知を受信します。

アカウント設定を管理：セキュリティ暗証番号

セキュリティ暗証番号を作成することで、UEM Console のセキュリティを確保できます。この暗証番号は、不注意でデバイスをワイプしてしまったり、ユーザーや組織グループといった貴社環境の重要な構成部分を削除してしまったりすることがないよう、セーフガードとしての機能を果たします。セキュリティ暗証番号には、セキュリティをより一層強化する役割もあります。これを設定することで、認証ポイントが追加され、承認外ユーザーによる操作をブロックすることができます。

UEM Console への初回ログイン時には、セキュリティ暗証番号を設定する必要があります。

セキュリティリスクを最小に抑えるためにも、セキュリティ暗証番号は定期的にリセットしてください。

Cookie の使用（VMware Cloud Services 管理者のみが表示可能）

この部分的なスクリーンショットは、VMware Cloud Services アカウントにログインしたときの [ユーザー名アカウント] ドロップダウンメニューを示しています。ここで、[Cookie の使用] の選択が表示され、設定できます。

ブラウザの Cookie ベースの製品ガイドと分析へのアクセスを有効にすることで、サポート、推奨事項、ユーザーエクスペリエンスなどのサービスを向上させるプロセスに参加できます。オプトアウトするには、[Cookie の使用] を選択し、分析を有効にする および Pendo 情報カードの下にある 製品ガイドを有効にする のスライダを無効にします。

UEM 管理者アカウントの Pendo 追跡（VMware Cloud Services管理者にのみ適用可能）

VMware Cloud Services の管理者は、Workspace ONE UEM のカスタマータイプの組織グループでのみ管理者アカウントのアクティビティを追跡できます。この追跡機能を使用すると、製品の使用についてより広範な理解を得ることができます。

CSP 管理者とともにすべてのローカル UEM 管理者を追跡します。
訪問者レベルで追跡を有効または無効にします。追跡はデフォルトで有効になっています。
カスタマータイプの組織グループと訪問者レベルでデータを追跡します。
カスタマータイプの組織グループより上の組織グループでは追跡できません。
1 人の訪問者が複数のカスタマー組織グループにアクセスでき、そのすべてが追跡されます。

UEM Console の操作を制限する

Workspace ONE UEM のコンソールがロックされずに放置された場合のシナリオでは、破壊的な影響を及ぼす可能性がある悪意のある操作に対して追加のセーフガードが提供されます。承認されていないユーザーは、こうしたシナリオでこのような操作にアクセスできないようにします。

グループと設定 > すべての設定 > システム > セキュリティ > 制限された操作 と進みます。
すべてにメッセージを送信する 設定を構成します。この設定を有効にすると、システム管理者は貴社で展開するすべてのデバイスに、デバイスリスト表示からメッセージを送信することができます。特定のグループにメッセージを送信するためにも使用できます。

UEM Console の特定の操作に対して管理者の暗証番号の入力を必須にすることができます。次のアクションを有効または無効にして、パスワード保護処理 を構成します。

注：以下で * が付いている一部の操作には常に暗証番号の入力が必要で、アクティベーションの解除を行うことはできません。

設定	説明
管理者アカウント削除	アカウント > 管理者 > リスト表示画面での、管理者ユーザーアカウントを削除する試みを防止します。
*VMware Enterprise Systems Connector 証明書を再生成	[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [VMware Enterprise Systems Connector] で、VMware Enterprise Systems Connector 証明書を再生成できないようにします。
*APNs 証明書変更	グループと設定 > すべての設定 > デバイスとユーザー > Apple > MDM 用の APNs 画面の MDM 用の APNs を無効にする試みを防止します。
アプリケーションを削除する/非アクティブにする/回収する	アプリとブック > アプリケーション > リスト表示画面でのアプリケーションの削除/非アクティブ化/回収の試みを防止します。
コンテンツ削除/非アクティブにする	コンテンツ > リスト表示画面のコンテンツファイルを削除/非アクティブ化する試みを防止します。
*データ暗号化トグル	グループと設定 > すべての設定 > システム > セキュリティ > データセキュリティ画面のユーザー情報暗号化の設定を保護します。
デバイス削除	デバイス > リスト表示画面でのデバイス削除の試みを防止します。この設定のアクティベーションの解除を行っても、一括操作には管理者のセキュリティ暗証番号が求められます。
*デバイスワイプ	デバイスリスト表示あるいはデバイス詳細画面での、デバイスワイプ実行のすべて試みを防止します。
企業情報リセット	Windows 高耐久性デバイス、Android 高耐久性デバイス、あるいは QNX デバイスのデバイス詳細画面で、企業情報リセットを実行しないように制限できます。
企業情報ワイプ	デバイスのデバイス詳細画面から行われる、企業情報ワイプのすべての試みを防止します。
ユーザーグループメンバーシップに基づく企業情報ワイプ	ユーザーグループから削除されたデバイスに対する企業情報ワイプの試みをすべて防止します。この設定は、[グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [加入] の順に進み、[制限事項] タブで構成できるオプション設定です。このタブで加入を構成済みのグループのみに制限した場合、デバイスがグループから削除された際の、デバイス企業情報ワイプに関する追加オプションが利用できるようになります。
*組織グループの削除	グループと設定 > グループ > 組織グループ > 組織グループ詳細画面での、現在の組織グループを削除しようとする試みをすべて防止します。
プロファイル削除/非アクティブにする	デバイス > プロファイルとリソース > プロファイル画面でのプロファイル削除または非アクティブ化のすべての試みを防止します。
プロビジョニングプロダクト削除	[デバイス] > [プロビジョニング] > [プロダクトリスト表示] からプロビジョニングプロダクトを削除しようとするすべての試みを防止します。
証明書取り消し	デバイス > 証明書 > リスト表示画面での証明書を取り消そうとするすべての試みを防止します。
*セキュアチャンネル証明書クリア	グループと設定 > すべての設定 > システム > 高度な設定 > セキュアチャンネル証明書画面で行われる既存のセキュアチャンネル証明書を削除しようとするすべての試みを防止します。
ユーザーアカウント削除	アカウント > ユーザー > リスト表示画面でのユーザーアカウントを削除しようとするすべての試みを防止します。
プライバシー設定の変更	グループと設定 > すべての設定 > デバイスとユーザー > 全般 > プライバシーでプライバシー設定を変更する試みを防止します。
テレコムプラン削除	[テレコム] > [プランリスト] のテレコムプランの削除を防止します。
ジョブログレベルオーバーライド	[グループと設定] > [管理者] > [診断] > [ログ収集] から、現在選択中のジョブログレベルを上書きしようとする試みを防止します。ジョブログレベルの上書きは、1 台のデバイスや複数のデバイスのグループに問題が発生したときに有益な機能です。問題のあるデバイスの設定を、たとえば｢詳細｣ログレベルなどに強制的に引き上げ、コンソールのアクティビティを最大レベルでログ収集することができるので、トラブルシューティングの際に役立ちます。
*アプリスキャンベンダーリセット/トグル	アプリスキャン統合設定のリセット (ひいてはそれに伴うワイプ) を防止します。この操作は [グループと設定] > [すべての設定] > [アプリ] > [アプリスキャン] で行います。
シャットダウン	デバイス > リスト表示 > デバイス詳細でデバイスをシャットダウンする試みを防止します。
暗証番号の試行回数上限	暗証番号入力を試行する際の失敗の上限回数を指定します。この回数を超えるとコンソールがロックダウンされます。1 ～ 5 の間で設定する必要があります。

パスワード保護操作を選択する

コンソールの制限された操作は、破壊的な影響を Workspace ONE UEM Console に及ぼす可能性がある操作を悪意あるユーザーからブロックするための保護を提供します。

グループと設定 > すべての設定 > システム > セキュリティ > 制限された操作 と進み、制限された操作を構成します。
管理者による PIN の入力を必須にすることで保護する操作ごとに、必要に応じて有効または アクティベーション解除済み に対して パスワード保護処理 ボタンを選択します。

この要件により、保護を強化したい操作をきめ細かく制御することができます。

注：一部の操作には常に暗証番号の入力が必要で、アクティベーションの解除を行うことはできません。下記では * マークで示しています。

試行失敗回数の上限を設定し、それ以後はセッションを強制終了するよう設定することができます。試行回数が上限を超えた場合は、Workspace ONE UEM Console に再度ログインし、新しいセキュリティ暗証番号を設定する必要があります。

設定	説明
管理者アカウント削除	アカウント > 管理者 > リスト表示画面での、管理者ユーザーアカウントを削除する試みを防止します。
*VMware Enterprise Systems Connector 証明書を再生成	[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [VMware Enterprise Systems Connector] で、VMware Enterprise Systems Connector 証明書を再生成できないようにします。
*APNs 証明書の変更	グループと設定 > すべての設定 > デバイスとユーザー > Apple > MDM 用の APNs 画面の MDM 用の APNs を無効にする試みを防止します。
アプリケーションを削除する/非アクティブにする/回収する	アプリとブック > アプリケーション > リスト表示画面でのアプリケーションの削除/非アクティブ化/回収の試みを防止します。
コンテンツ削除/非アクティブにする	コンテンツ > リスト表示画面のコンテンツファイルを削除/非アクティブ化する試みを防止します。
*データ暗号化トグル	グループと設定 > すべての設定 > システム > セキュリティ > データセキュリティ画面のユーザー情報暗号化の設定を保護します。
デバイス削除	デバイス > リスト表示画面でのデバイス削除の試みを防止します。この設定のアクティベーションの解除を行っても、一括操作には管理者のセキュリティ暗証番号が求められます。
*デバイスワイプ	デバイスリスト表示あるいはデバイス詳細画面での、デバイスワイプ実行のすべて試みを防止します。
企業情報リセット	Windows 高耐久性デバイス、Android 高耐久性デバイス、あるいは QNX デバイスのデバイス詳細画面で、企業情報リセットを実行しないように制限できます。
企業情報ワイプ	デバイスのデバイス詳細画面から行われる、企業情報ワイプのすべての試みを防止します。
ユーザーグループメンバーシップに基づく企業情報ワイプ	ユーザーグループから削除されたデバイスに対する企業情報ワイプの試みをすべて防止します。この設定は、[グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [加入] の順に進み、[制限事項] タブで構成できるオプション設定です。このタブで加入を構成済みのグループのみに制限した場合、デバイスがグループから削除された際の、デバイス企業情報ワイプに関する追加オプションが利用できるようになります。
*組織グループの削除	グループと設定 > グループ > 組織グループ > 組織グループ詳細画面での、現在の組織グループを削除しようとする試みをすべて防止します。
プロファイル削除/非アクティブにする	デバイス > プロファイルとリソース > プロファイル画面でのプロファイル削除または非アクティブ化のすべての試みを防止します。
プロビジョニングプロダクト削除	[デバイス] > [プロビジョニング] > [プロダクトリスト表示] からプロビジョニングプロダクトを削除しようとするすべての試みを防止します。
証明書取り消し	デバイス > 証明書 > リスト表示画面での証明書を取り消そうとするすべての試みを防止します。
*セキュアチャネル証明書の消去	グループと設定 > すべての設定 > システム > 高度な設定 > セキュアチャンネル証明書画面で行われる既存のセキュアチャンネル証明書を削除しようとするすべての試みを防止します。
ユーザーアカウント削除	アカウント > ユーザー > リスト表示画面でのユーザーアカウントを削除しようとするすべての試みを防止します。
プライバシー設定の変更	グループと設定 > すべての設定 > デバイスとユーザー > 全般 > プライバシーでプライバシー設定を変更する試みを防止します。
テレコムプラン削除	[テレコム] > [プランリスト] のテレコムプランの削除を防止します。
ジョブログレベルオーバーライド	[グループと設定] > [管理者] > [診断] > [ログ収集] から、現在選択中のジョブログレベルを上書きしようとする試みを防止します。ジョブログレベルの上書きは、1 台のデバイスや複数のデバイスのグループに問題が発生したときに有益な機能です。問題のあるデバイスの設定を、たとえば｢詳細｣ログレベルなどに強制的に引き上げ、コンソールのアクティビティを最大レベルでログ収集することができるので、トラブルシューティングの際に役立ちます。
*アプリスキャンベンダーリセット/トグル	アプリスキャン統合設定のリセット (ひいてはそれに伴うワイプ) を防止します。この操作は [グループと設定] > [すべての設定] > [アプリ] > [アプリスキャン] で行います。
シャットダウン	デバイス > リスト表示 > デバイス詳細でデバイスをシャットダウンする試みを防止します。
暗証番号の試行回数上限	暗証番号入力を試行する際の失敗の上限回数を指定します。この回数を超えるとコンソールがロックダウンされます。1 ～ 5 の間で設定する必要があります。

操作を行う際にメモの入力を義務付ける

[メモの入力を要求する] チェックボックスを使用して、管理者にメモを入力させ、特定の Workspace ONE UEM Console 操作を実行する理由の説明を義務付けることができます。

グループと設定 > すべての設定 > システム > セキュリティ > 制限された操作 と進みます。

これらのアクションのいずれかを実行する前に管理者がメモを入力する必要がある場合は、[メモ追加] リソース（権限）を持つ役割を変更することを確認します。

詳細については、ロールベースのアクセスの「管理者ロールの作成」というタイトルのセクションを参照してください。

設定	説明
デバイスロック	デバイスリスト表示やデバイス詳細から、デバイスのロックを行う際に、メモの入力を必須にします。
SSO ロック	デバイスリスト表示やデバイス詳細から SSO セッションのロックを行う際に、メモの入力を必須にします。
デバイスワイプ	デバイスリスト表示やデバイス詳細からデバイスワイプを実行する際に、メモの入力を必須にします。
企業情報リセット	Windows 高耐久性デバイスあるいは Android 高耐久性デバイスのデバイス詳細画面から、企業情報のリセットを実行する際に、メモの入力を必須にします。
企業情報ワイプ	デバイス詳細から企業情報ワイプを実行する際に、メモの入力を必須にします。
ジョブログレベルオーバーライド	[グループと設定] > [管理者] > [診断] > [ログ収集] から既定のジョブログレベルの上書きを行う前に、メモの入力を必須にします。
デバイス再起動	[デバイス] > [リスト表示] > [デバイス詳細] から再起動を試行する前に、メモの入力を必須にします。
シャットダウン	[デバイス] > [リスト表示] > [デバイス詳細] からシャットダウンを試行する前に、メモの入力を必須にします。