追加の加入制限を設定して、Workspace ONE UEM に加入できるユーザーや許可するデバイス タイプを制御することができます。

ディレクトリ サービスの統合、BYOD のサポート、デバイスの登録、その他の構成に関係なく、追加の加入制限を任意の展開に適用することができます。

また、組織グループあたりの加入デバイスの最大数を指定することもできます。加入制限を構成したら、その制限事項をポリシーとして保存することもできます。

検討事項 #1:特定のプラットフォーム、OS バージョン、または許可するデバイスの最大台数を制限しますか。

  • Samsung SAFE/Knox、HTC Sense、LG Enterprise、Motorola デバイスなどの、エンタープライズ管理機能が組み込まれているデバイスのみをサポートしますか。その場合は、Android デバイスがサポート対象のエンタープライズ バージョンであることを加入制限として要求することができます。
  • 1 人のユーザーが加入できるデバイスの台数を制限しますか。その場合は、企業所有デバイスと従業員所有デバイスを区別して、この数量を設定することができます。
  • 展開において特定のプラットフォームをサポート対象から除外しますか。その場合は、ブロック対象のデバイス プラットフォームのリストを作成することで、加入を禁止できます。

従業員所有デバイスの台数と種類を調べる必要があります。また、職場環境での使用にふさわしいデバイスを特定する必要があります。これらの作業が完了したら、これらの加入制限事項をポリシーとして保存できます。

検討事項 #2: 企業デバイスのリストを作成して加入を制限しますか。

追加の登録オプションを使用することで、エンド ユーザーが加入できるデバイスを制御することができます。この方法は、拒否リスト デバイスの加入を禁止することや、許可リスト デバイスの加入だけを許可することができるため、個人所有デバイスの持ち込み (BYOD) 導入において役立ちます。タイプ、プラットフォーム、特定のデバイス ID、およびシリアル番号を基準にして、デバイスを許可リストに登録することができます。詳細は、拒否リストと許可リストのデバイスの登録 を参照してください。

検討事項 #3:組織グループごとに、加入するデバイスの台数を制限しますか。

1 つの組織グループに加入できるデバイス数の上限を設定することができます。上限を設定することで、有効な加入デバイス数が際限なく増えて貴社展開の管理が困難になることを防ぎます。詳細については、このページの「[組織グループごとの加入済みデバイス数の制限]」セクションを参照してください。

加入制限の設定を構成する

Workspace ONE UEM をディレクトリ サービスと統合する際に、どのユーザーに貴社の展開への加入を許可するのか、制限を設けることができます。

既存のユーザーまたは構成済みのグループのみに加入を限定することができます。既存のユーザーとは、UEM Console 上に存在するユーザーを指します。構成済みのグループとは、ユーザー グループとの統合を選択する場合、ディレクトリ サービス グループに関連付けられたユーザーを指します。組織グループごとに加入できるデバイス数に上限を設定することもできます。この設定を保存し、ポリシーとして再利用することもできます。

これらのオプションは [グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [加入] の順に進み [制限事項] タブを選択して設定できます。制限事項タブでは、組織グループとユーザー グループに基づいて加入制限ポリシーをカスタマイズすることができます。

  • ポリシー設定を用いて加入制限を作成したり、既存の制限を割り当てたりすることができます。
  • グループ割り当て設定エリアでユーザー グループにポリシーを割り当てます。
  • プラットフォーム、OS、UDID、IMEI 等に基づいてデバイスを拒否リスト/許可リスト設定します。
設定 説明
[ユーザー アクセスの管理]

Workspace ONE への直接加入は、すべてのユーザー アクセス コントロールのオプションをサポートします。

[[加入を既知のユーザーのみに制限]] – 有効にすると、UEM Console に存在するユーザーのみに加入を制限します。この制限は、1 人ずつ手動で、または一括インポートで UEM Console に追加されたディレクトリ ユーザーに適用されます。すべてのユーザーに加入を許可した最初の展開後に、加入をロックダウンする場合にも使用できます。このオプションにより、加入できるユーザーを選択性にすることができます。

このオプションを無効にすると、UEM Console でアカウントを持っていないすべてのディレクトリ ユーザーが Workspace ONE UEM に加入できます。ユーザー アカウントは加入中に自動で作成されます。

[加入を構成済みのグループのみに制限] – このオプションを有効にすると、デバイスの加入はすべてのグループに、あるいは、(ユーザー グループの統合を行っている場合には) 選択されたグループに属するユーザーのみに制限されます。貴社のディレクトリサービス ユーザーグループと統合していない場合は、このオプションを選択しないでください。
注: 加入を構成済みのグループのみに制限することは、次の条件が満たされた場合にジャストインタイム (JIT) ユーザー加入でのみサポートされています。
  • Workspace ONE UEMWorkspace ONE Intelligent Hub の認証のソースとして構成されている。これを構成するには、[グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [加入] の順に移動し、[認証] タブを選択します。
  • 加入ユーザーに対して認証の SAML が無効になっている。これを構成するには、[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [ディレクトリ サービス] の順に移動し、Directory Services System Settings Documentation を参照します。

オプションを無効にすると、加入時に Workspace ONE UEM ユーザー アカウントを作成して、すべてのディレクトリ ユーザーの加入を許可できます。デバイスを自動的に企業情報ワイプするには、[[構成されたグループから削除されるユーザーのデバイスを企業情報ワイプする]] を選択します。[すべてのグループ] を選択した場合、どのユーザー グループにも属さないデバイスは削除されます。[選択されたグループ] を選択した場合、特定のユーザー グループに属さないデバイスは削除されます。

ユーザー グループと統合する方法の 1 つは、「MDM 承認済み」ディレクトリ サービス グループを作成し、Workspace ONE UEM にインポートすることです。このインポート手順の後、Workspace ONE UEM で使用可能になったときに「MDM 承認済み」グループに既存のディレクトリ サービス ユーザー グループを追加できます。

[この組織グループとサブグループに加入デバイス数の上限を設定]

現在の組織グループに加入できるデバイス数の上限を設定する場合は、この設定を有効にし、[デバイス数上限を入力] します。

Workspace ONE への直接加入は、このオプションをサポートします。

注: Apple 社のデバイス登録プログラム (DEP) を通して加入した iOS デバイスには加入制限は適用されません。これは、必要なデバイス情報が、デバイスが DEP 経由での加入後に受信されるためです。

組織グループごとの加入済みデバイス数の制限

1 つの組織グループに加入できるデバイス数の上限を設定することができます。上限を設定することで、デバイスごとにライセンスが必要な環境で、有効な加入デバイス数が際限なく増えて貴社展開の管理が困難になることを防ぎます。

デバイス数の上限は、グローバル、カスタマー、パートナーといった、任意のタイプの組織グループに対して設定できます。ある組織グループに対して上限数を設定した場合、その組織グループ分岐内の場所に別の上限数を設定することはできません。ただし、別の組織グループ分岐内に上限数を設定することはできます。

この図は、制限が個々のブランチに適用された方法のために、加入済みデバイスに対する制限が成功した組織グループの階層ツリーを示しています。この図は、制限が同じブランチに適用された方法のために、加入済みデバイスに対する制限が失敗した組織グループの階層ツリーを示しています。

このオプションが表示されていない場合は、メイン組織グループ(現在の組織グループの上位にある組織グループ)またはサブ組織グループ(現在の組織グループの下位にある組織グループ)を確認してください。現在の組織グループの上位または下位の組織グループに、既に上限値が設定されている可能性があります。

  1. [グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [加入] の順に進み、[制限] タブを選択します。
  2. [この組織グループとサブグループに加入デバイス数の上限を設定] で制限を有効にします。

加入制限ポリシーを作成する

従業員所有デバイスの台数と種類を調べる必要があります。また、職場環境で使用するデバイスを特定する必要があります。これらの作業が完了したら、これらの加入制限事項をポリシーとして保存できます。

  1. [デバイス] > [デバイス設定] > [デバイスとユーザー] > [全般] > [加入] の順に進みます。
  2. [制限事項] タブを選択し、[ポリシー設定] セクションから [ポリシーを追加] します。
  3. [加入制限ポリシーを追加/編集する] 画面で、加入制限ポリシーを追加します。
    設定 説明
    [加入制限ポリシー名] 貴社の加入制限ポリシーの名前を入力します。
    [組織グループ] ドロップダウン メニューから組織グループを選択します。貴社の新しい加入制限ポリシーを適用する組織グループです。
    [ポリシータイプ] 加入制限ポリシーのタイプを選択します。選択された組織グループに適用するには [組織グループ既定] を選択します。また、[制限事項] タブのグループ割り当てから特定のユーザー グループを選択した上で、そのグループに適用するには [ユーザー グループ ポリシー] を選択します。
    [許可された所有形態タイプ]

    [[企業 – 専用]][[企業 – 共有]][[従業員所有]] デバイスの許可/禁止を選択します。

    Workspace ONE への直接加入は、企業所有-専用および従業員所有の所有形態タイプのみをサポートします。

    [許可された加入タイプ] [MDM] (Workspace ONE Intelligent Hub) と AirWatch [Container](iOS または Android 対応)アプリ経由のデバイス加入を許可するか禁止するか選択します。
    [ユーザーあたりのデバイス上限]

    ユーザーにデバイスの加入台数を無制限に許可する場合は、[無制限] を選択します。Workspace ONE への直接加入は、ユーザーごとのデバイス制限の設定をサポートします。

    [[ユーザーあたりのデバイス上限]] セクションで、所有形態タイプごとにデバイスの最大数を定義する場合は、このボックスを選択解除します。

    • [ユーザーあたりのデバイス数上限]
    • [企業デバイスのデバイス数上限]
    • [共有デバイスのデバイス数上限]
    • [従業員所有のデバイス数上限]
    [許可されたデバイス タイプ]

    特定デバイスに制限を追加するには、[[特定のプラットフォーム、モデル、OS に加入を制限する]] チェック ボックスを選択します。

    このオプションは Workspace ONE への直接加入でサポートされます。

    [デバイス レベル制限モード]

    このオプションは、[[許可されたデバイス タイプ]] オプションの [[特定のプラットフォーム、モデル、OS に加入を制限する]] を選択した場合のみに表示されます。

    デバイス制限のタイプを選びます。

    • [リストに挙げられたデバイス タイプのみを許可 (許可リスト)] – 入力したパラメータに合致するデバイスのみを許可し、その他すべてのデバイスをブロックする場合にこのオプションを選択します。
    • [リストに挙げられたデバイス タイプをブロック (拒否リスト)] – 入力したパラメータに合致するデバイスを確実にブロックし、その他すべてのデバイスを許可する場合にこのオプションを選択します。

    いずれのデバイスレベル制限モードでも、[デバイスの制限を追加] を選択して、[プラットフォーム][モデル][メーカー][OS] のいずれかを選択します。定義されたデバイス制限ごとに [デバイス上限] を追加することもできます。複数のデバイス制限項目を追加できます。

    IMEI、シリアル番号 または UDID に基づいて特定のデバイスをブロックすることも可能です。[デバイス] > [ライフサイクル] > [加入状態] の順に進み、[追加] を選択します。これは、他のユーザーのデバイスに影響を与えることなく、特定のデバイスをブロックし、再加入を防止したい際に役立ちます。企業情報ワイプを実行する際のオプションで再加入を防止することもできます。

    このオプションは Workspace ONE への直接加入でサポートされます。

  4. [[保存]] をクリックして変更を保存し、[[デバイスとユーザー] > [全般] > [加入]] 画面に戻ります。