Active Directory (AD)、Lotus Domino、Novell e-Directory などディレクトリ サービスの既存のユーザーおよびグループを加入させることができます。このようなインフラストラクチャがない場合や、このようなインフラストラクチャと統合したくない場合は、Workspace ONE UEM でベーシック加入を実行する必要があります。

ベーシック加入は、組織のユーザーごとにユーザー アカウントおよびユーザー グループを手動で作成するプロセスです。組織で Workspace ONE UEM とディレクトリ サービスが統合されていない場合は、ベーシック加入を使用してユーザー アカウントを作成します。

作成する基本的なアカウントが少ない場合は、「ベーシック ユーザー アカウントを作成する」の説明に従って 1 つずつ作成します。

エンドユーザーの数が多いベーシック加入の場合、CSV (コンマ区切り値) 形式のテンプレート ファイルを入力し、アップロードすることで時間を短縮できます。これらのファイルには追加したすべてのユーザー情報が含まれ、バッチ インポート機能を使用して UEM に導入されます。詳細については、「ユーザーまたはデバイスをバッチ インポートする」のトピックを参照してください。

注: Workspace ONE UEM では、ベーシックのユーザーとディレクトリベースのユーザーの混在をサポートしていますが、通常、初回のユーザーおよびデバイスの加入を行う場合には、どちらか一方を使用します。

長所と短所

長所 短所

ベーシック加入

  • どの展開方法でも使用できる
  • テクニカル統合が不要
  • 企業インフラが不要
  • 複数の組織グループに加入できる
  • 資格情報は Workspace ONE UEM 内のみに存在し、既存の企業資格情報と必ずしも合致しません。
  • セキュリティの連携がない
  • シングル サインオンがサポートされていない
  • すべてのユーザー名とパスワードが Workspace ONE UEM に保存されます。
  • Workspace ONE への直接加入のためには使用できません。

ディレクトリ サービスによる加入

  • 既存の企業資格情報を使用してエンド ユーザーを認証
  • Workspace ONE UEM は、ディレクトリ システムからの変更を自動的に検出して同期します。たとえば、AD でユーザーを無効にすると、Workspace ONE UEM Console の対応するユーザー アカウントが非アクティブとマークされます。
  • セキュアな方法で既存のディレクトリ サービスと統合できます。
  • 標準的な統合方法
  • Workspace ONE への直接加入のために使用できます。
  • AirWatch Cloud Connector を使用する SaaS 展開では、ファイアウォールの変更が不要で、Microsoft ADCS、SCEP、SMTP サーバなどの他のインフラストラクチャに対してセキュアな構成を提供できます。
  • 既存のディレクトリ サービス インフラストラクチャが必要です。
  • SaaS 展開では、AirWatch Cloud Connector をファイアウォールの内側または DMZ 内にインストールする必要があるため、追加の構成作業が必要です。

加入における検討事項(ベーシック ユーザーとディレクトリ ユーザーの比較)

ベーシック ユーザーとディレクトリ ユーザーにおける既存の長所と短所に加え、エンドユーザー加入処理を検討する際には、ほかにも検討すべき事項があります。

検討事項 #1: だれが加入できるか。

この質問の答えを考える際には、以下の点を検討してください。

  • MDM 展開で、構成したベース DN * レベルまたはそれ以下の組織のユーザー全員のデバイスを管理することを目的としていますか。その場合、最も簡単な方法は、「加入を制限」チェック ボックスの選択を解除して、すべてのユーザーの加入を許可することです。

    初回展開時にはすべてのユーザーの加入を許可し、その後、不明ユーザーが加入できないように制限することができます。新しい従業員またはメンバーを既存のユーザー グループに追加すると、その内容が同期および融合されます。

  • MDM の対象とすべきでないユーザーまたはグループがありますか。その場合は、ユーザーを 1 人ずつ追加するか、CSV (コンマ区切り) ファイルに対象のユーザーのみを記載してバッチ インポートする必要があります。

* ベース DN(識別名)は、サーバがユーザーを検索する際の起点です。識別名は、ディレクトリ内のエントリを一意に識別する名前です。ディレクトリ内のすべてのエントリに DN があります。

検討事項 #2: ユーザーをどこに割り当てるか。

もう 1 つ、Workspace ONE UEM 環境をディレクトリ サービスと統合する際に考えるべきことは、加入時にディレクトリ ユーザーを組織グループにどのように割り当てるかということです。この質問の答えを考える際には、以下の点を検討してください。

  • ディレクトリ サービス グループと論理的に対応するように組織グループの構造を作成していますか。ユーザー グループ割り当てを編集する前に、この処理を完了させておく必要があります。
  • ユーザーが自分のデバイスを加入させる場合、リストからグループ ID を選択する方法が簡単です。そのような簡単な手順でも、人的エラーによる不適切なグループの割り当てが起こる可能性があります。

ユーザー グループに基づいてグループ ID を自動的に選択することも、ユーザーがリストからグループ ID を選択することもできます。これらの [グループ ID 割り当てモード] オプションを使用するには、[デバイス] > [デバイス設定] > [デバイスとユーザー] > [全般] > [加入] の順に進み、[グループ化] タブを選択します。

ディレクトリ サービスベースの加入を有効にする

ディレクトリ サービスベースの加入とは、Workspace ONE UEM を貴社のディレクトリ サービス インフラストラクチャと統合するプロセスのことです。この方法でディレクトリ サービスを統合した場合、ユーザーを自動インポートできます。また、セキュリティ グループや配布リストなどのユーザー グループを自動インポートすることもできます。

Active Directory (AD) などのディレクトリ サービスと統合する場合は、ユーザーのインポート方法についていくつかのオプションがあります。

  • [すべてのディレクトリ ユーザーに加入を許可する] – ディレクトリ サービスのすべてのユーザーに加入を許可することができます。また、Eメールを基準にしてユーザーを自動検出するように、貴社環境を設定することもできます。その後、ユーザーが加入処理を実行する際に、そのユーザーの Workspace ONE UEM アカウントを作成します。
  • [ユーザーを 1 人ずつ追加する] – 貴社のディレクトリ サービスとの統合後、ベーシック Workspace ONE UEM ユーザー アカウントを作成する際と同じように、ユーザーを個別に追加することができます。唯一の違いは、ユーザー名を入力し、[ユーザーをチェック] をクリックすると、ディレクトリ サービスの情報が自動入力されるという点です。
  • [CSV ファイルを一括アップロードする] – このオプションを使用すると、CSV (コンマ区切り値) テンプレート ファイルでディレクトリ サービス アカウントのリストをインポートすることができます。このファイルではカラムが定められており、一部のカラムの値を空白のままにすることはできません。
  • [ユーザー グループとの統合 (オプション)] – この方法では、既存のユーザー グループ メンバーシップを、プロファイル、アプリ、順守ポリシーなどを割り当てる際に使用することができます。
注: SAML プロバイダ統合を含む Workspace ONE UEM 環境をディレクトリ サービスと統合する方法については、『 Integrate Directory Service Guide』を参照してください。

ディレクトリ サービス統合および加入制限事項

Workspace ONE UEM でディレクトリ サービス統合を構成する場合、ディレクトリ サービス アカウントは、ディレクトリ サービスが構成されている組織グループ (OG) から加入設定を継承します。ただし、基本的なアカウントは、上書きを含めローカル設定を遵守します。

この図は、メインとサブの OG の単純な組織グループ モデルを示しています。

例として上の組織グループ モデルを使用し、「カスタマー」という OG で [構成されたグループから削除されるユーザーのデバイスを企業情報ワイプする] オプションが有効になっているとします。

このシナリオでは、構成済みのグループから抜けた Sales01 子 OG の [ディレクトリ] 加入ユーザーには、その OG に加入制限の上書きが構成されていても、ワイプされたデバイスが表示されます。これは、このようなアカウントのデバイスが別の OG に加入している場合も同様です。加入設定はユーザー中心であり、デバイス中心ではないためです。

ただし、このシナリオでは、構成されたグループから抜けた Sales01 OG の [基本] 加入ユーザーに属するデバイスはワイプされません。これは、Sales01 の基本加入ユーザーはディレクトリ サービス統合された OG の一部ではないためで、加入制限の上書きを認識して順守します。