Workspace ONE UEM で利用可能な高度なオプションを組み込むことで、加入のワークフローをカスタマイズできます。

その他の加入オプションにアクセスするには、[デバイス] > [デバイス設定] > [デバイスとユーザー] > [全般] > [加入] の順に進みます。

[はじめに]

設定 説明
Eメールドメインを追加 このボタンは、自動検出サービスを設定して Eメール ドメインを環境に登録するために使用します。
[認証モード]

許可済みの認証タイプを選択します。これには以下が含まれます。

  • [ベーシック] – ベーシック ユーザー アカウント(UEM Console で手動で作成したもの)を加入できます。
  • [ディレクトリ] – ディレクトリユーザーアカウント (ディレクトリサービス統合によりインポート済みまたは許可済みのアカウント) の加入を許可します。Workspace ONE への直接加入では、SAML の有無に関係なくディレクトリ ユーザーをサポートします。
  • [認証プロキシ] – 認証プロキシユーザーアカウントを使用したユーザー加入を許可します。ユーザーはウェブ エンドポイントに認証します。
    • [認証プロキシの URL][認証プロキシ URL のバックアップ]、および [認証方法の種類](HTTP ベーシックまたは Exchange ActiveSync を選択)を入力します。
[Intelligent Hub の認証ソース]

Intelligent Hub サービスがユーザーおよび認証ポリシー用にそのソースとして使用するシステムを選択します。

  • [Workspace ONE UEM] – Hub サービスでユーザーおよび認証ポリシーのソースとして Workspace ONE UEM を使用する場合は、この設定を選択します。

    Hub サービスの [Hub 構成] ページを構成するときに、Hub サービス テナントの URL を入力します。

  • [Workspace ONE Access] – Hub サービスでユーザーおよび認証ポリシーのソースとして Workspace ONE Access を使用する場合は、この設定を選択します。

    Hub サービスの [Hub 構成] ページを構成するときに、Workspace ONE Access テナントの URL を入力します。

Workspace ONE Intelligent Hub の詳細については、VMware Workspace ONE Hub サービス ドキュメントを参照してください。

Workspace ONE Access の詳細については、VMware Workspace ONE Access ドキュメントを参照してください。

[デバイス加入モード]

優先するデバイス加入モードを選択します。これには以下が含まれます。

  • [[新規加入]] – 基本的にその他の加入の条件(認証モード、制限など)を満たすすべてのユーザーに加入を許可します。Workspace ONE への直接加入では、新規加入をサポートします。
  • [登録デバイスのみ] – 管理者またはエンドユーザーにより登録されたデバイスを使用して加入するユーザーのみを許可します。デバイスの登録は、加入前に企業デバイスを UEM コンソールに追加するプロセスです。Workspace ONE への直接加入では、登録済みデバイスのみの登録を許可できますが、登録トークンが必要ない場合に限られます。
[登録トークンを要求する]

[登録済みデバイスのみ] が選択されている場合にのみ表示されます。

登録済みのデバイスのみが加入できるように制限する場合、加入に使用する登録トークンを要求するオプションも使用することができます。その特定のユーザーに加入が認められているかどうかを確認できるため、これを使用するとセキュリティを強化できます。Workspace ONE UEM アカウントを持つユーザーに、加入トークンを添付した E メールか SMS メッセージを送信することができます。

[iOS で Intelligent Hub 加入を必須にする] iOS デバイスのユーザーが加入前に Workspace ONE Intelligent Hub をダウンロードおよびインストールしていることを必須とするには、このチェック ボックスを選択します。無効な場合、Web 加入を利用できます。
[macOS で Intelligent Hub 加入を必須にする] macOS デバイスのユーザーが加入前に Workspace ONE Intelligent Hub をダウンロードおよびインストールしていることを必須とするには、このチェック ボックスを選択します。無効な場合、Web 加入を利用できます。

利用規約の加入オプションを構成する

[利用規約] タブでは、加入に関する利用規約を追加および確認できます。[利用規約] タブを表示するには、[デバイス] > [デバイス設定] > [デバイスとユーザー] > [全般] > [加入] の順に進みます。

設定 説明
[加入利用規約への同意を必須にする] この設定を有効にすると、加入時に利用規約への同意を承諾する必要があります。
[新しい加入利用規約を追加] 選択すると、加入目的での利用規約への同意を追加します。
重要: [加入利用規約への同意を必須にする] を有効にする場合は、利用規約を作成する必要があります。作成しないと、Windows デスクトップ デバイスの加入に失敗する可能性があります。

「グループ化」タブで加入オプションを構成する

グループ化タブでは、エンド ユーザーの組織グループ、グループ ID に関する基本情報を指定することができます。[グループ ID の割り当てモード] を有効にすると、Workspace ONE UEM powered by AirWatch 環境がどのようにグループ ID をユーザーに割り当てるかを選択することができます。

[グループ化] タブを表示するには、[デバイス] > [デバイス設定] > [デバイスとユーザー] > [全般] > [加入] の順に進みます。

設定 説明
グループ ID 割り当てモード

Workspace ONE への直接加入は、すべての割り当てモードをサポートします。

  • [既定] - 使用するグループ ID が加入時にユーザーに付与されている場合は、このオプションを選択します。使用するグループ ID によりユーザーが割り当てられる組織グループが決まります。
  • [ユーザーがグループ ID を選択するようプロンプト表示する] - ディレクトリ サービス ユーザーが加入時に一覧からグループ ID を選択できるようにする場合は、このオプションを有効にします。[グループ ID 割り当て] セクションには利用可能な組織グループとそのグループ ID がリストアップされます。このリストにより、管理者がグループ割り当てマッピングを行う必要はなくなりますが、ユーザーが間違ったグループ ID を選択してしまう可能性が生じます。
  • [ユーザー グループに基づき自動選択] - このオプションは、ユーザー グループと統合している場合にのみ使用できます。ユーザーのディレクトリ サービス グループ割り当てに基づいて、ユーザーが自動的に組織グループに割り当てられるようにするには、このオプションを有効にします。

    [グループ割り当ての設定] セクションには、当該環境内のすべての組織グループと対応するディレクトリ サービス ユーザー グループの一覧が表示されます。

    [グループ割り当ての編集] ボタンをクリックすると、組織グループとユーザー グループの関連付けを変更し、各グループの優先順位を設定することができます。

    例えば、エグゼクティブ、セールス、グローバルという 3 つのグループがあり、組織内のランクもこの順であるとします。全員がグローバルのメンバーであるため、このユーザー グループを最初に位置づけてしまうと、すべてのユーザーを 1 つの組織グループに入れることになります。

    代わりに、エグゼクティブを最初に位置づけると、そのグループに属する少数のメンバーを、その独自の組織グループに確実に所属させることができます。次に、セールスを 2 番目に位置づけ、すべてのセールス担当社員をセールスの組織グループに所属させます。グローバルを 3 番目に位置づけることで、グループにまだ割り当てられていないすべてのユーザーが別の組織グループに入ります。

表 1. 既定
設定 説明
[既定のデバイス所有形態]

現在の組織グループへ加入するデバイスの既定の 「デバイス所有形態」 を選択します。

Workspace ONE への直接加入では、既定のデバイス所有形態を設定できます。

[既定の役割]

現在の組織グループに属するユーザーに割り当てられる既定の役割を選択します。この設定はセルフサービスポータルへのアクセスに影響します。

  1. [フル アクセス] - プロファイルとアプリのインストールおよび削除、アプリ、パスコードのリセット、デバイス メッセージの送信、コンテンツへの書き込みアクセスなど、高度な SSP 機能へのアクセス権をユーザーに付与します。
  2. [ベーシック アクセス] - 影響度の低いアクセス権をユーザーに付与します。ユーザーは、自分のデバイスの登録、プロファイルとアプリの表示のみ(インストールはできません)、自分のアカウントの表示、自分のデバイスのクエリと検索を行えます。
  3. [外部アクセス] - 外部アクセスの役割を持つユーザーには、ベーシック アクセス ユーザーのすべての権限がある一方で、SSP で明示的にこれらのユーザーと共有されるコンテンツへの読み取り専用アクセス権もあります。

Workspace ONE への直接加入では、既定の役割を設定できます。

[非アクティブユーザーに対する既定アクション]

デバイスが非アクティブになった場合に、Active Directory ユーザーに影響する既定のアクションを選択します。

アカウントの処理は常に、デバイス中心よりもむしろユーザー中心です。この事実は、デバイスに適用される処理動作が、デバイスではなく、[ユーザー] が管理されている組織グループの設定に基づいていることを意味します。

Workspace ONE への直接加入では、非アクティブ ユーザーに対する既定アクションを設定できます。

表 2. ユーザー グループ 同期
設定 説明
[Workspace ONE に対してユーザー グループをリアルタイム同期]

Workspace ONE では、UEM コンソールに登録している特定のユーザーのユーザー グループを同期できます。

この機能は、既定で有効であり、ユーザー グループがアプリケーションの割り当て、プロファイルの割り当て、ポリシーの割り当て、またはユーザー マッピングに高い頻度で使用されている場合に最も効果的です。

この機能は CPU に負担がかかるため、上記のようなユースケースの場合を除き、パフォーマンスの向上と Workspace ONE アプリケーションを起動するときの待ち時間の問題回避のためにこの設定を無効にします。

表 3. ユーザー ロールのマッピング
設定 説明
[ディレクトリのグループベースのマッピングを有効化]

このボックスをオンにして、Workspace ONE UEM の特定の役割にディレクトリ ユーザー グループをリンクするランク付けされた割り当てを有効にします。特定のグループに属するユーザーには、関連付けられた役割が割り当てられます。複数のグループに属している場合は、最高ランクのペアリングを使用します。

[割り当てを編集] ボタンをクリックすると、役割が組み込まれているユーザー グループがランク付けされている順序を編集できます。

Workspace ONE への直接加入では、ディレクトリ グループベースのマッピングをサポートします。

「プロンプト表示 (オプション)」 タブで加入オプションを構成する

[[オプションのメッセージ表示]] タブでは、デバイスの追加情報を要求するかどうか、加入についての情報や MDM 情報をユーザーにプロンプト表示するかどうかを選択できます。

[デバイス] > [デバイス設定] > [デバイスとユーザー] > [全般] > [加入] の順に進み、[オプションのメッセージ表示] タブを選択します。

メッセージ、テンプレート、および通知を構成する具体的な手順は、次の表の後に記載されています。

設定 説明
[デバイス所有形態タイプをプロンプトする]

選択した場合、プロンプトが表示され、エンド ユーザーにデバイスの所有形態を選ぶよう要求します。選択しない場合は、現在の組織グループの既定のデバイス所有形態を構成してください。

Workspace ONE への直接加入では、デバイス所有形態タイプのプロンプトがサポートされます。

[ウェルカムメッセージを表示する]

選択すると、デバイス加入プロセスのはじめの段階でウェルカム メッセージを表示します。このウェルカム メッセージのヘッダーと本文は構成できます。構成するには、[システム] > [ローカリゼーション] > [ローカリゼーション エディタ] の順に進みます。次に、"EnrollmentWelcomeMessageHeader" ラベルおよび "EnrollmentWelcomeMessageBody" ラベルをそれぞれ選択します。

[MDM インストール メッセージを表示する]

選択すると、デバイス加入プロセス中にメッセージが表示されます。この MDM インストール メッセージのヘッダーと本文は構成できます。構成するには、[システム] > [ローカリゼーション] > [ローカリゼーション エディタ] の順に進みます。次に、"'EnrollmentMdmInstallationMessageHeader" ラベルおよび "EnrollmentMdmInstallationMessageBody" ラベルをそれぞれ選択します。

ローカリゼーション エディタを使用してヘッダーとメッセージ本文をカスタマイズする場合は、[[現在の設定]] フィールドで [オーバーライド] を選択する必要があります。こうすることで、既定のメッセージの代わりに、カスタマイズされたメッセージが使用されるようになります。

1 つずつのローカリゼーション変更に加え、編集後のコンマ区切り値 (CSV) ファイルをアップロードすることによってローカリゼーションを一括で変更することもできます。[システム] > [ローカリゼーション] > [ローカリゼーション エディタ] と進んでこのローカリゼーション テンプレート CSV ファイルをダウンロードし、[変更] ボタンを選択します。必要に応じて一括ローカリゼーション変更を行うファイルを編集し、同じ画面を使用してアップロードします。

[加入 Eメールのプロンプトを有効にする]

このオプションを有効にすると、加入中にユーザーに Eメールの入力を求めるプロンプトが表示されます。

加入 Eメールのプロンプトに応じてエンド ユーザーが入力した Eメール アドレスは、ユーザー記録の Eメール アドレス欄に自動入力されます。このデータは、参照値 {EmailAddress} を使用して Eメールをデバイスに展開する組織にとって、有益です。

[デバイスアセット番号のプロンプトを有効にする]

このオプションを有効にすると、加入中にユーザーにデバイス アセット番号の入力を求めるプロンプトが表示されます。

Workspace ONE への直接加入では、加入 Eメールのプロンプトは、[[デバイス所有形態タイプを尋ねるメッセージを表示]] が有効な場合に、企業所有デバイスに対してのみサポートされます。

[加入履歴メッセージを表示 (Android のみ)]

このオプションを有効にすると、Android デバイスで加入メッセージが表示されます。

[OOBE の状態追跡ページを有効にする] この設定を有効にすると、OOBE (Out of Box Enrollment) 中に状態追跡ページが表示されます。このページにより、デバイスのプロビジョニング ステータスが表示され、どのアプリ、リソース、ポリシーがインストールされているかがユーザーに通知されます。
[Windows 向けに TLS 相互認証を有効にする] このオプションを有効にすると、Windows デバイスに、TLS 相互認証によってセキュア化されたエンドポイントを使用するように強制できます。TLS 相互認証を使用するには、追加セットアップと構成が必要です。詳細はサポート担当者までお問い合わせください。
[認証画面メッセージの表示(Windows のみ)]

デバイスのエンド ユーザーに対し、Workspace ONE UEM Console への加入に必要な事項について、カスタマイズされたログを提供することができます。たとえば、UEM の加入認証が Active Directory の資格情報と同じ場合は、その証明書をヒントとして含めることができます。クリックしてヘルプを表示するリンクを含めることもできます。この機能は現在、Windows デバイスでのみサポートされています。

同じテキスト ボックスにヒントの翻訳を記載し、独自のローカライズを提供する必要があります。

カスタム加入メッセージを作成する

デバイス加入に関連するメッセージと、加入後にデバイスに送信されるモバイル デバイス管理 (MDM) 関連のプロンプト メッセージをカスタマイズできます。

  1. [デバイス] > [デバイス設定] > [全般] > [加入] の順に進み、[カスタマイズ] タブを選択します。
  2. [それぞれのプラットフォーム専用のメッセージ テンプレートを使用する] を選択し、各プラットフォームのドロップダウン メニューからデバイス アクティブ化メッセージ テンプレートを選択します。このセクションの「[メッセージ テンプレートの作成 ]」セクションの手順に従って新しいメッセージ テンプレートを作成します。
  3. iOS デバイスの場合、以下を構成することができます(オプション)。
    1. iOS デバイス向けの [加入後のランディング URL] を入力します。
    2. [MDM プロファイルメッセージ] を入力します。これは、加入中に MDM インストールプロンプトに表示されるメッセージです。
  4. [[保存]] を選択します。

メッセージ テンプレートの作成

プラットフォームごとにカスタマイズされたメッセージ テンプレートの独自のライブラリを作成して、加入を含む起こりうるさまざまなシナリオに対応できるようにします。
  1. [デバイス] > [デバイス設定] > [全般] > [メッセージ テンプレート] の順に進み、[追加] をクリックします。
  2. [カテゴリ] ドロップダウン メニューからテンプレートのカテゴリに合うものを選択します。選択項目には、[管理者][アプリケーション][順守][コンテンツ][デバイス ライフサイクル][加入] および [利用規約] があります。
  3. サブカテゴリに最適な [タイプ] を設定します。[タイプ] ドロップダウン メニューの選択項目は、[カテゴリ] の設定によって決まります。
  4. [言語を選択] ドロップダウン メニューを設定します。現在アクティブなロケールに基づく言語のみが表示されます。[追加] ボタンを選択して、言語を追加します。
  5. テンプレートを、選択した [[カテゴリ]] の既定のテンプレートにする場合は、[[既定]] のチェック ボックスを選択します。
  6. テンプレートの [[メッセージ タイプ]] を選択します。[E メール][SMS*] および [プッシュ] 通知から選ぶことができます。
  7. [メッセージ本文] 欄にテキストを入力して [E メール] メッセージを作成します。
    • [プレーン テキスト] 形式は、フォーマット オプションが使用できません。
    • [HTML] 形式は、フォント、フォーマット、ヘッダー レベル、箇条書き、行頭文字、インデント、段落の配置、下付き文字、上付き文字、画像およびハイパーリンク機能を含む [リッチ テキスト] 編集環境が有効です。HTML 形式は、ベーシック HTML コーディングをサポートし、[ソースを表示] ボタンを使用して、[リッチテキスト] とソース表示を切り替えることができます。
  8. [保存] をクリックしてテンプレートを保存します。

[*] SMS 通知を多量のデバイスで機能させるには、サードパーティのゲートウェイ プロバイダのアカウントを持っていて、ゲートウェイ設定を構成する必要があります。[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [SMS]の順に進み、「SMS Settings」で説明されているオプションを入力します。

ライフサイクル通知を構成する

ライフサイクル通知は、デバイスのライフサイクルを通して発生する加入や加入解除といった特定のイベント後にカスタマイズしたメッセージを送信するためのものです。

このオプションの設定を構成するには、[デバイス] > [ライフサイクル] > [設定] > [通知] の順に進み、以下のオプションを入力します。

  • [デバイス加入解除済み] - デバイスが加入解除した際に、E メール通知を送信します。
  • [デバイス加入成功] - デバイスが正常に加入した際に、E メール通知を送信します。
  • [加入制限によってブロックされたデバイス] - 加入制限がデバイスをブロックした場合、E メール通知を送信します。この動作は [グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [加入] の順に進み [制限事項] タブを選択して設定できます。
設定 説明
E メールの送信先
  • [なし] – デバイスのブロック/加入/加入解除が正常に行われた際に、確認 Eメールを送信しません。
  • [ユーザー] – デバイスのブロック/加入/加入解除が正常に行われた際に、その通知の確認 Eメールをデバイス ユーザーに送信します。
    • [CC] - 同じ確認 E メールを、1 つまたは複数のメール アドレスに送信します。複数のメール アドレスはコンマで区切ります。
    • [メッセージテンプレート] – ドロップダウンリストから、希望するメッセージテンプレートを選択します。新しいメッセージ テンプレートを追加することも、[ここをクリック...] を選択して、[デバイスとユーザー] > [全般] > [メッセージ テンプレート] 設定画面に移動して既存のテンプレートを編集することもできます。
  • [管理者] – デバイスのブロック、加入または加入解除が正常に行われた際に、その通知の確認 E メールを Workspace ONE UEM 管理者に送信します。
    • [送信先] – 同じ確認 Eメールを、1 つまたは複数の Eメール アドレスに送信します。複数の Eメール アドレスはコンマで区切ります。

「カスタマイズ」 タブで加入オプションを構成する

[カスタマイズ] タブを構成することにより、エンド ユーザーのサポート レベルを追加できます (例: Eメール、電話番号)。ユーザーが何らかの理由でデバイスを加入させることができない場合、このサポート レベルは重要です。

[カスタマイズ] タブを表示するには、[デバイス] > [デバイス設定] > [デバイスとユーザー] > [全般] > [加入] の順に進みます。

設定 説明
[各プラットフォーム専用のメッセージ テンプレートを使用]

このオプションを有効にした場合、各プラットフォーム専用のメッセージ テンプレートを選択できます。

リンクをクリックするとメッセージ テンプレート画面が開きます。この画面からすぐにテンプレートを作成できます。

Workspace ONE ™ への直接加入では、プラットフォーム固有のメッセージ テンプレートをサポートしています。

[加入サポート E メール] サポート Eメール アドレスを入力します。
[加入サポート電話] サポート電話番号を入力します。
[加入後に開く URL(iOS のみ)]

加入プロセスが正常に完了した後に表示される URL を指定できます。この URL には、企業リソース(会社のウェブサイトなど)やリソースへのログイン画面の URL を記載することができます。

Workspace ONE への直接加入では、加入後のランディング URL をサポートしています。

[MDM プロファイル メッセージ(iOS のみ)]

iOS デバイスの場合のみ、加入プロセス中に表示するメッセージをこのテキスト ボックスに入力します。メッセージの最大文字数は 255 文字です。

Workspace ONE への直接加入では、iOS 専用の MDM プロファイル メッセージをサポートしています。

[カスタム MDM アプリケーションを使用] 「アプリ グループ一覧」画面を開くリンクが表示されます。このリンクの見出しは、[アプリケーション グループ] となっています。

Workspace ONE への直接加入では、カスタム MDM アプリをサポートしています。