セルフサービスの加入とデバイスの代理セットアップ

Workspace ONE UEM では、企業デバイスの加入の 2 つの方法をサポートします。ユーザーが自分でデバイスの加入を行うようにすることも、管理者が デバイスの代理セットアップ と呼ばれるプロセスでユーザーの代わりにデバイスの加入を行うこともできます。

デバイスの代理セットアップでは、エンド ユーザーにデバイスを割り当てて配布する前に、管理者がデバイスの加入を行います。この方法は、管理者が組織全体のエンド ユーザーに向けてデバイスを構成する必要がある場合に有効です。

デバイスの代理セットアップは Android、iOS、macOS デバイスに対して実行できます。

考慮事項 #1: デバイス所有形態

• 割り当てられた企業デバイスはすでにエンド ユーザーの手元にありますか。その場合は、それぞれのデバイスを集めて代理セットアップを行うのはあまり合理的でないため、ユーザー自身に加入を行ってもらうのが良いでしょう。

• エンド ユーザーはデバイスを共有して使用しますか、それとも専用デバイスを使用しますか。エンド ユーザーがデバイスを共有していない場合は、所有者に加入を行ってもらうことができます。

  また、デバイスの代理セットアップは、新しくプロビジョニングを行うデバイスに適しています。従業員にデバイスを配布する前に作業を実施できるためです。エンド ユーザーが既に企業所有デバイスを持っている場合、エンド ユーザー自身にデバイス加入処理を行わせることが効果的です。また、デバイスの総数が多すぎて管理者が代理セットアップするのが現実的でない場合も、エンド ユーザー自身にデバイス加入処理を行わせる方法が効果的です。

考慮事項 #2: 自動検出

E メール ドメインを Workspace ONE UEM 環境と関連付けていますか。このプロセス (自動検出) では、エンド ユーザーは Eメール アドレスと資格情報を入力するだけで十分です。加入 URL とグループ ID は自動入力されます。

「自動検出による加入」も参照してください。

考慮事項 #3: Workspace ONE への直接加入

Workspace ONE への直接加入によるデバイスの代理セットアップはサポートされていません。デバイスを代理セットアップする必要がある場合は、単一ユーザーでも複数ユーザーでも、Workspace ONE への直接加入ではなく Workspace ONE Intelligent Hub を使用して、デバイスを加入させる必要があります。

Workspace ONE への直接加入は、セルフ加入とよく適合する機能です。有効にすると、加入組織グループにログインするすべての認定デバイスがすぐに登録されます。インストールが完了すると、エンド ユーザーは、会社が選択したアプリをインストールするか、アプリのインストールをオプト アウトすることに同意できます。

詳細については、「Workspace ONE への直接加入」 を参照してください。

考慮事項 #4: Apple のデバイス登録プログラムを利用しますか。

モバイル デバイス管理 (MDM) に加入している Apple デバイスのメリットを最大限に引き出すために、Apple 社は、デバイス登録プログラム (DEP) を導入しました。DEP により、次の操作を実行できます。

• 削除不可能な MDM プロファイルをデバイスにインストールでき、これによりエンド ユーザーによる削除を回避します。
• デバイスを監視モードでプロビジョニングします（iOS のみ）。監視モードのデバイスでは、追加のセキュリティ設定および構成設定にアクセスできます。
• すべてのエンド ユーザーに対して加入を強制できます。
• 加入プロセスをカスタマイズして効率化することにより、ユーザーのニーズに合わせることができます。
• DEP プロファイルの生成時に、ユーザーが各自の Apple ID を使用してサインインできないようにすることで、iCloud バックアップを防ぎます。
• すべてのエンド ユーザーに OS の更新を強制できます。

考慮事項 #5: Apple Configurator の使用

Apple Configurator を使用すると、IT 管理者は Apple iOS デバイスの展開と管理を効果的に行うことができます。小売店、教室、病院などの組織が、複数のエンド ユーザー間で共有されるデバイスの事前加入を行う場合、Apple Configurator は非常に便利です。

事前登録された単一ユーザー用デバイスの加入に Apple Configurator を使用することもできます。それには、AirWatch コンソールでユーザーの登録済みデバイスにシリアル番号/IMEI 情報を追加します。Apple Configurator を使用する主なメリットは、USB ハブまたは iOS デバイス カートを使用して複数のデバイスのプロビジョニングを数分で行えることです。

考慮事項 #6: シングル ユーザーの代理セットアップまたは登録ですか。

シングル ユーザーのデバイス代理セットアップを考慮している場合、登録が優先されることがあります。単一ユーザーの代理セットアップとデバイスの登録の違いは微妙ですが重要です。

登録– デバイスを登録する場合、個々の名前付きのユーザーに対してこれを行います。これは、デバイスが、最初にログインするユーザーは、登録されているユーザーと同一であると予期していることを意味します。別のユーザーが登録済みデバイスにログインしようとすると、セキュリティ上の目的により、デバイスがロックアウトされ、加入できないことが指定されます。

シングル ユーザーの代理セットアップ – デバイスを代理セットアップする場合、Workspace ONE UEM に加入する資格があるすべてのユーザーに対してこれを行います。理論上は、代理セットアップされたデバイスを資格のある任意のユーザーに渡すことができ、そのユーザーは正常にデバイスにログインして Workspace ONE UEM に加入することができます。

代理セットアップのワークフローを使用すると、デバイスを準備して、Workspace ONE Intelligent Hub を起動し、資格のある任意の加入ユーザーがこれにログインできます。次に Workspace ONE UEM は、そのユーザーにデバイスを関連付けるために一時的な再割り当てを実行します。

考慮事項 #7: デバイス代理セットアップの使用

Apple Configurator を使用していない場合、管理者はデバイスを 1 台ずつ代理セットアップする必要があります。デバイスの台数が多い場合、この作業に要する時間と人員を検討してください。

管理者が新しいデバイスを簡単に代理セットアップできるとしても、従業員が企業所有デバイスを既に使用している場合、代理セットアップを行うには、デバイスを送付してもらうか現場で集める必要があります。

数千台のデバイスを加入させる場合、代理セットアップに時間がかかる可能性があります。デバイスの代理セットアップは、従業員の手元にデバイスが渡る前に、管理者の手元にプロビジョニングするためのデバイスがまとまった数量あるような場合に便利な機能です。

デバイスの代理セットアップは Android および iOS デバイスに対して実行でき、次のような方法があります。

• シングル ユーザー (標準) – 管理者がデバイスを代理セットアップし、任意のユーザーが加入手続きを行います。

  注：特に明記されていない限り、この加入フローは、無人デバイスを想定しています。完全に自動化されたユーザー加入にこのフローを使用する場合は、代理セットアップされたデバイスが意図したユーザーに提供されることを確認する必要があります。

• シングル ユーザー（高度）（iOS では利用できません）– 管理者がデバイスを代理セットアップし、特定のユーザーの代わりに加入手続きを行います。

  注：代理セットアップ ユーザー/管理者は、デバイスが登録済みユーザーにチェックアウトされることを確認する必要があります。

• マルチユーザー – 複数ユーザー間で共有されるデバイスを代理セットアップします。

  詳細な手順については、「Create a Multi-User Staging Account for Enrollment」を参照してください。

シングル ユーザー デバイスを代理セットアップする

Workspace ONE UEM console のシングル ユーザー向けデバイス代理セットアップ機能は、IT 管理者がまとまった数のデバイスをプロビジョニングし、ユーザーの代理でデバイスに必要な機能を配備したいときに便利です。

Workspace ONE への直接加入によるデバイスの代理セットアップはサポートされていません。デバイスを代理セットアップする必要がある場合は、単一ユーザーでも複数ユーザーでも、Workspace ONE への直接加入ではなく Workspace ONE Intelligent Hub を使用して、デバイスを加入させる必要があります。

重要：

代理セットアップ ユーザーを作成する機能は、昇格した管理者権限です。代理セットアップ ユーザーを作成する権限は、特定の信頼できる管理者のみに限定されます。また、代理セットアップ ユーザーの資格情報は、それ以外の管理者権限の場合と同じように扱い、ユーザーの資格情報を開示しないようにしてください。

現在、ユーザーを作成する権限を持つすべての管理者は、代理セットアップ ユーザーも作成できます。この機能を制限するには、管理者に割り当てられているロールを編集します。アカウント > 管理者 > 役割 と進みます。制限するロールのみを特定し、カテゴリ パス [すべて] > [アカウント] > [ユーザー] > [アカウント] で [追加/編集] 権限の [編集] チェック ボックスをオフにすることで、これらの各ロールを [編集] () します。

注：デバイスを代理セットアップするときに LDAP バインドが必要です。このペイロードを作成するには、このガイドの「Binding a Device to the Directory Service」を参照してください。

1. [アカウント] > [ユーザー] > [リスト表示] と進み、デバイスの代理セットアップを有効にしたいユーザー アカウントの [編集] を選択します。

   

2. ユーザーを追加 / 編集 画面の 高度な設定 タブを選択します。

   1. 代理セットアップ セクションまで下にスクロールします。
   2. デバイスの代理セットアップを有効にする で、有効 スライダを選択します。代理セットアップ オプションが表示されます。
   3. シングル ユーザー デバイス で、有効 スライダを選択します。

   4. シングル ユーザー デバイス代理セットアップ モードのタイプは、標準 または 高度 に切り替えることができます。

      標準代理セットアップでは代理セットアップ後、エンド ユーザーがログインする必要があるのに対し、高度な代理セットアップでは代理セットアップを行うユーザーが、他のユーザーに代わってデバイスを加入します。

   5. [マルチユーザー デバイス] が [アクティベーションの解除] に設定されていることを確認します。

   6. Android 共有デバイス モード で、チェックインおよびチェックアウト モードに対して ネイティブ または Launcher を選択します。ネイティブ Android は、カスタマイズを必要としない、よりシンプルなユース ケースをサポートします。Launcher は、複雑な使用事例に対応する UI のカスタマイズをサポートします。
   7. システム アプリ で、システム アプリケーションへのエンド ユーザー アクセスを有効にできます。

   8. 管理者モード パスコード で、管理者モードでデバイスをトラブルシューティングするための英数字のパスコードを指定します。ログイン画面の Hub アイコンを 5 回タップして、管理者モードにアクセスします。

      結果：シングル ユーザー デバイス – シングル ユーザー用にデバイスを代理セットアップします。

3. デバイスを登録します。

   • Workspace ONE Intelligent Hub で、サーバ URL とグループ ID を入力して加入します。
   • デバイスのインターネット ブラウザを開き、加入 URL にアクセスし、適切なグループ ID を入力します。

4. 加入時に代理セットアップ ユーザーの資格情報を入力します。

   1. 必要に応じて、シングル ユーザー デバイス の代理セットアップを行っていることを指定します。

      これを行う必要があるのは、代理セットアップ ユーザーに対してマルチユーザー デバイスの代理セットアップも有効になっている場合のみです。

5. 高度または標準の代理セットアップのための加入を行います。

   1. 高度な代理セットアップを実行する場合、デバイスを使用するエンドユーザー デバイス所有者のユーザー名の入力を求められます。モバイル デバイス管理 (MDM) プロファイルをインストールし、すべてのプロンプトおよびメッセージを承諾して加入プロセスを続行してください。
   2. 標準代理セットアップを実行している場合、エンド ユーザーが加入を完了すると、ログインするように求められます。

結果：これでデバイスの代理セットアップが完了し、新しいユーザーによるデバイス使用の準備が整います。加入利用規約が設定されている場合、代理セットアップ シングル ユーザーには、SSP アカウントにログインするまで、この利用規約は表示されません。

マルチユーザー デバイスを代理セットアップする

マルチユーザー デバイス/共有デバイスを代理セットアップし、複数のユーザーが使用する予定のデバイスを IT 管理者が代理でプロビジョニングすることができます。マルチユーザーの代理セットアップを行うと、そのデバイスにログインするネットワーク ユーザーごとに、デバイスに割り当てられるユーザーを動的に変更することができます。

Workspace ONE への直接加入によるデバイスの代理セットアップはサポートされていません。デバイスを代理セットアップする必要がある場合は、単一ユーザーでも複数ユーザーでも、Workspace ONE への直接加入ではなく Workspace ONE Intelligent Hub を使用して、デバイスを加入させる必要があります。

1. [アカウント] > [ユーザー] > [リスト表示] と進み、デバイスの代理セットアップを有効にしたいユーザー アカウントの [編集] を選択します。

   

2. ユーザーを追加 / 編集 画面の 高度な設定 タブを選択します。

   1. 代理セットアップ セクションまで下にスクロールします。
   2. デバイスの代理セットアップを有効にする で、有効 スライダを選択します。代理セットアップ オプションが表示されます。
   3. [マルチユーザー デバイス] が [有効] に設定されていることを確認します。
   4. Android 共有デバイス モード で、チェックインおよびチェックアウト モードに対して ネイティブ または Launcher を選択します。ネイティブ Android は、カスタマイズを必要としない、よりシンプルなユース ケースをサポートします。Launcher は、複雑な使用事例に対応する UI のカスタマイズをサポートします。
   5. システム アプリ で、システム アプリケーションへのエンド ユーザー アクセスを有効にできます。
   6. 管理者モード パスコード で、管理者モードでデバイスをトラブルシューティングするための英数字のパスコードを指定します。ログイン画面の Hub アイコンを 5 回タップして、管理者モードにアクセスします。
3. 次の 2 つのいずれかの方法を使用してデバイスの加入を行います。
   • Workspace ONE Intelligent Hub で、サーバ URL とグループ ID を入力して加入します。
   • デバイスのインターネット ブラウザを開き、加入 URL にアクセスし、適切なグループ ID を入力する。

4. 加入時に代理セットアップ ユーザーの資格情報を入力します。必要に応じて、シングル ユーザー デバイス の代理セットアップを行っていることを指定します。

   これを行う必要があるのは、代理セットアップ ユーザーに対してマルチユーザー デバイスの代理セットアップも有効になっている場合のみです。

結果：これでデバイスの代理セットアップが完了し、新しいユーザーによるデバイス使用の準備が整います。

セルフサービスによる加入プロセス

セルフサービスによる加入プロセスでは、エンド ユーザーが適切なグループ ID およびログイン資格情報を知っていることが必要な場合があります。ディレクトリ サービスと統合している場合は、これらの資格情報はユーザーのディレクトリ サービスの資格情報と同じになります。

E メール ドメインを Workspace ONE UEM 環境と関連付けることもできます。このプロセスは、自動検出と呼ばれます。自動検出を有効にした場合、サポート対象プラットフォームのデバイスにおいて、エンド ユーザーは Eメール アドレスを入力するよう要求されます。E メール ドメイン（@ の後ろの文字列）が一致している場合、自動的に加入処理が実行されます。グループ ID または加入 URL を入力する必要はありません。詳細については、｢自動検出による加入｣ を参照してください。

1. エンド ユーザーが getwsone.com にアクセスします。これにより、Workspace ONE Intelligent Hub がインストールされているかどうかが自動検出されます。

   Workspace ONE Intelligent Hub がインストールされていない場合、この Web サイトから適切なモバイル アプリケーション ストアにリダイレクトされます。

2. Workspace ONE Intelligent Hub の起動後、ユーザーは（メール アドレスまたは URL/グループ ID のいずれかに加えて）資格情報を入力し、加入のプロセスを進めます。

監視モード

管理者は、Apple Configurator を使用して加入したデバイスに対して監視モードを有効にすることができ、それにより、さらに強化されたセキュリティ機能が有効になります。ただし、監視モードを有効にした場合、デバイスにいくつかの制限が生じます。

監視モードを有効にする

デバイスを監視モードで動作させる方法については、『Integrate with Apple Configurator 2 Guide』を参照してください。

メリット

デバイスを監視モードに設定し、Workspace ONE UEM への加入を行った後、管理者は、通常モードのデバイスにはない以下のような高度な機能を構成することができます。

• MDM の制限機能を強化
  • ユーザーによるアプリケーション削除を防止します。アプリケーション削除は、デバイス上の ｢システム構成｣ の制限事項を使用してローカルに防止することもできます。
  • AirDrop をブロックします。
  • ユーザーが iCloud と Mail のアカウント設定を編集できないようにします。これにより、アカウントの修正を防ぐことができます。
  • iMessage をアクティベーション解除します。
  • iBooks Store コンテンツ評価制限を設定します。
  • Game Center と iBooks Store をアクティベーション解除します。
• セキュリティの強化
  • Safari から成人向けコンテンツを含む Web サイトを開けないようにします。
  • Apple TV のような特定の AirPlay 出力先に接続できるデバイスを制限します。
  • 証明書や管理対象外の構成プロファイルのインストールを防止します。
  • すべてのデバイス ネットワーク トラフィックが強制的にグローバル HTTP プロキシを経由するようにします。
• キオスク モード
  • シングル アプリ モードのデバイスを 1 つのアプリにロックダウンし、ホーム ボタンをアクティベーション解除します。
• デバイスの壁紙とテキストをカスタマイズ
• アクティベーション ロックの有効化/解除

制限

• 監視対象デバイスに対する USB でのアクセスは、監視側の Mac のみに制限されます。
• Apple Configurator の ID 証明書がデバイスにインストールされていない場合、iTunes を使用してデバイスへデータをコピーしたりデバイスからデータをコピーしたりすることはできません。
  • 写真や動画などのメディアをデバイスから PC や Mac にコピーすることはできません。このタイプのデータを転送するには、VMware Content Locker を使用してコンテンツをユーザーの Personal Documents セクションと同期させます。または、ファイル共有アプリケーションを使用して WLAN/WWAN 経由でサーバにデータを転送することもできます。
• 監視モードでは、iPhone 構成ユーティリティ (IPCU) を使用したデバイス側のログへのアクセスが禁止されます。
  • 監視モードを有効にした場合、アプリケーションまたはデバイスに関する問題のトラブルシューティングが難しくなります。デバイスからログを取得できるのは、デバイスが監視側 Mac に接続されているときだけであるからです。こうした課題を軽減するため、ログの送信やアプリケーションから UEM console へのデータ転送には、Workspace ONE SDK を使用してください。
• デバイスを工場出荷状態の設定にリセットすることは容易ではありません。
  • デバイスを工場出荷状態にリセットした場合、監視モードに戻すには、監視側の Mac に接続する必要があります。Mac がデバイスの近くにない場合、この手順を実行するのが難しいことがあります。

監視モードを有効にするかどうかを決定する際には、以下の点を検討してください。追加機能が有効になり、デバイス上のセキュリティが強化されますが、USB の制限について考慮する必要があります。

この決定においては、監視側の Mac がデバイスの近くにあるかどうかが重要です。USB の制限があることで、デバイス側のログへのアクセスが妨げられるため、問題が発生したデバイスは IT 部門に送り返して、代理セットアップを行って機能を復元することが必要になります。

監視について前もって決めておくことは重要です。監視モードを有効/無効にするには、デバイスを IT 部門または倉庫に送付する必要があるからです。

親トピック：デバイス加入