Workspace ONE UEM の共有デバイス/マルチユーザー デバイス機能を利用すると、個々のエンド ユーザーに対して、セキュリティと認証を確実に導入できます。また共有デバイスでは、特定のエンド ユーザーのみが機密情報にアクセスできるように設定できます。

社内の従業員全員にデバイスを支給した場合、非常にコストがかかる可能性があります。Workspace ONE UEM では、デバイスを共有して、1 つの固定された構成をエンド ユーザー全員に適用することも、それぞれのエンド ユーザーに固有の構成設定を適用することも可能です。

共有デバイスを導入する場合、エンド ユーザーにデバイスを展開する前に、まず該当する設定や制限事項でデバイスをプロビジョンする必要があります。展開後、Workspace ONE UEM は共有デバイスにシンプルなログインまたはログアウト プロセスを使用します。これにより、エンド ユーザーが自分のディレクトリ サービスまたは専用のログイン資格情報を入力するだけでログインできるようになります。エンドユーザーのロールにより、コンテンツ、機能、およびアプリケーションなどの企業リソースへのアクセスのレベルが決定されます。このロールにより、ユーザーがログイン後に利用する機能やリソースが自動で構成されます。

ログインまたはログアウト機能は Workspace ONE Intelligent Hub 自体に組み込まれています。組み込みの機能であるため、加入状態に影響が及ばないことが保証され、デバイスが使用中であるかどうかにかかわらず、確実に管理できます。

共有デバイスの機能は、Apple Business Manager と統合された Apple iPad でもネイティブ サポートされています。ビジネス向け共有 iPadsと呼ばれるこの機能では、ログインのためにユーザーの管理対象 Apple ID を使用しており、ログインおよびログアウトのために Workspace ONE Intelligent Hub で実行されることはありません。Apple Business Manager を使用した Shared iPads for Business の構成の詳細と、この機能を実現する手順については、 docs.vmware.com で提供されている『Introduction to Apple Business Manager Guide』の [Shared iPads for Business] を参照してください。

[共有デバイスの機能]

複数のユーザー間で共有されるデバイスの機能とセキュリティに関しては、以下のような基本機能を利用することができます。これらの機能があることも、コスト効率の高い、エンタープライズ モビリティを最大限活用するためのツールとして、共有デバイスをお勧めする理由の 1 つです。

[機能]

  • 企業の設定を維持したまま、エンド ユーザーのエクスペリエンスをパーソナライズできます。
  • デバイスにログインすると、そのエンド ユーザーのロールと組織グループ (OG) に基づいて、企業アクセスと特定の設定、アプリケーション、およびコンテンツが構成されます。
  • Workspace ONE Intelligent Hub または Workspace ONE Access に組み込まれているログイン/ログアウト プロセスを使用できます。
  • エンド ユーザーがデバイスからログアウトすると、そのセッションの構成設定がワイプされます。当該のデバイスは、別のエンド ユーザーがログインできるようになります。

[セキュリティ]

  • デバイスをエンド ユーザーに支給する前に、共有デバイス設定を使用してデバイスをプロビジョニング
  • Workspace ONE UEM への加入状態を維持したまま、デバイスにログイン/ログアウト
  • ログイン中にエンド ユーザーをディレクトリサービスまたは専用の Workspace ONE UEM 資格情報で認証
  • Workspace ONE Access を使用してエンド ユーザーを認証
  • デバイスがログインしていない間もデバイスを管理

[共有デバイスをサポートするプラットフォーム]

共有デバイス/マルチユーザーデバイス機能をサポートするのは以下のデバイスです。

  • Android 4.3 以降
  • Workspace ONE Intelligent Hub 4.2 以降を搭載した iOS デバイス。
    • 共有 iOS デバイスのログインおよびログアウトの詳細については、『[iOS プラットフォーム ガイド]』(docs.vmware.com で入手可能)の「共有 iOS デバイスのログイン/ログアウト」を参照してください。
  • Workspace ONE Intelligent Hub 2.1 以降を搭載した MacOS デバイス。

共有デバイスの階層を定義する

共有デバイスに固有の組織グループ (OG) の作成は完全にオプションですが、マルチテナントに対応し、デバイス設定を継承できるため、多くのメリットがあります。

組織の展開に多数の共有デバイスが含まれており、それらをシングル ユーザー デバイスとは別に管理する必要がある場合は、共有デバイス固有の組織グループを作成できます。組織グループ構造内での共有デバイス階層の作成はオプションです。スマート グループやユーザー グループなどの機能があるので、デバイス管理を簡素化するために、組織グループ階層の設計に厳密に従う必要はありません。

ただし、共有デバイス組織グループ(またはネストされている組織グループ)を使用すると、スマート グループまたはユーザー グループで必要になる処理オーバーヘッドが発生することなく、プロファイル、ポリシー、デバイスの継承を通じてデバイスの機能を標準化できるため、デバイスの管理が簡素化されます。

  1. [グループと設定] > [グループ] > [組織グループ] > [組織グループ詳細] の順に選択します。

    自社を表す組織グループが表示されます。

  2. 表示される [組織グループ詳細] に間違いがないことを確認してから、利用可能な設定を使用して、必要に応じて変更を加えます。変更を加えた場合は、[保存] を選択します。
  3. [[サブ組織グループの追加]] を選択します。
  4. 最上位組織グループの直下に最初に作成する組織グループに関する、次の設定を入力します。
    設定 説明
    名前 表示したいサブ組織グループの名前を入力します。使用できる文字は英数字だけです。それ以外の文字は使用できません。
    グループ ID

    エンド ユーザーがデバイスのログイン時に使用する組織グループの ID を入力します。グループ ID は、加入時にデバイスを適切な組織グループに分類するために使用されます。

    デバイスを共有するユーザーが、[グループ ID] を受け取っていることを確認してください。共有デバイスの構成によっては、デバイスのログイン時にユーザーによる [グループ ID] 入力が必要になります。

    オンプレミス環境ではない場合、グループ ID は、共有 SaaS 環境全体にわたって組織グループを識別します。このため、すべてのグループ ID が一意である必要があります。

    タイプ サブ組織グループのカテゴリに適合する、事前構成されている組織グループ タイプを選択します。
    組織グループが存在する国を選択します。
    ロケール 選択した国の言語分類を選択します。
    カスタマーの業種 このフィールド値は、[タイプ] の値が 「カスタマー」 である場合にのみ指定できます。「カスタマーの業種」 のリストから選択します。
    タイム ゾーン 組織グループが属しているタイム ゾーンを選択します。
  5. [[保存]] を選択します。

共有 macOS デバイスのログイン/ログアウト

複数のユーザーが、デバイス プロファイルの自動プッシュをアクティブ化する、macOS 共有デバイスにログインおよびログアウトできます。

[macOS デバイスへのログイン] – 割り当てられたネットワーク資格情報を使用して、代理セットアップされている macOS デバイスにログインします。そうすると、Workspace ONE UEM でアカウントに割り当てられたプロファイルを受け取ります。

[macOS デバイスからのログアウト] – 標準の macOS ログアウト手順で、割り当てられた Workspace ONE UEM ユーザー プロファイルからデバイスをログアウトします。

共有 Android デバイスのログイン/ログアウト

Android デバイス上で共有デバイス機能を利用するには、Workspace ONE Intelligent Hub を使用してデバイスを加入し、VMware Workspace ONE Launcher を既定のホーム画面として設定する必要があります。Workspace ONE Launcher は、登録中に自動的にダウンロードされます。

AirWatch Launcher をインストールし、既定のホーム画面として設定すると、デバイスはチェックイン状態になります。この状態の間、エンドユーザーはこの画面から別の画面に移動することはできず、デバイスをチェックアウトするよう要求されます。プロファイルを削除し、デバイス全体を再び利用可能にするには、Workspace ONE UEM Console を使用して、代理セットアップ ユーザー デバイス上で企業情報ワイプを実行します。

  1. Workspace ONE Launcher のログイン画面で、グループ ID、ユーザー名、およびパスワードを入力します。AirWatch 管理者コンソールで [ユーザーに組織グループをプロンプト表示する] を有効にした場合、エンド ユーザーはログイン時に [グループ ID] を入力するよう要求されます。
  2. [ログイン] を選択します。利用規約が表示された場合は、同意します。

    デバイスが構成されます。ログインすると、エンドユーザーのスマート グループとユーザー グループの関連付けに基づいて、ユーザー プロファイルがプッシュされます。

[次に行うこと:]Android デバイスからログアウトするには [Launcher 設定] を選択し、[ログアウト](ドアのアイコン)を選択します。

共有 iOS デバイスのログイン/ログアウト

複数のユーザー間で共有している iOS デバイスにログイン/ログアウトすることができます。

  1. Workspace ONE Intelligent Hub をデバイスで実行します。
  2. エンドユーザーの資格情報を入力します。

    デバイスがすでに Workspace ONE Intelligent Hub にログインしている場合、SSO パスコードを入力するように求めるプロンプトがユーザーに表示されます。デバイスがログインしていない場合、ユーザー名とパスワードを入力するように求めるプロンプトがユーザーに表示されます。スマート グループとユーザー グループの関連付けに基づいて、各ユーザーに割り当てられているプロファイルがプッシュされます。

    注: [ユーザーに組織グループをプロンプト表示する] を有効にした場合、エンド ユーザーはデバイスへのログイン時に [グループ ID] を入力するよう要求されます。
  3. [ログイン] を選択し、[利用規約] に同意します。
    注: パスコードの入力を求めるプロンプトが表示された場合、ユーザーは、セルフサービスポータルでパスコードを作成できます。パスコードには有効期限があります。有効期限が近づくと、 Workspace ONE Intelligent Hub により、デバイスのパスコードを変更するように求めるプロンプトがユーザーに表示されます。有効期限切れになる前にユーザーがパスコードを変更しなかった場合、ユーザーはセルフサービス ポータルに戻って別のパスコードを作成する必要があります。

[次に行うこと:]iOS デバイスからログアウトするには、Workspace ONE Intelligent Hub を実行し、下部にある [ログアウト] を選択します。

UEM Console から共有デバイスをチェックインする

エンドユーザーがインストール済みの Workspace ONE Intelligent Hub を使用してデバイスをチェックインする手間を省いて、Workspace ONE UEM Console から直接デバイスをチェックインすることができます。

UEM Console を使用してデバイスをチェックインすると、所定の組織グループ、プロファイル、アプリなどが設定された複数の代理セットアップ ユーザーに加入状態をリセットするのが効率的になります。デバイス側で、Workspace ONE Intelligent Hub が再起動され、チェックアウト画面が表示されます。

現在、この機能は iOS デバイスのみに適用されます。Workspace ONE Intelligent Hub 以外の方法(たとえば、直接加入、Workspace ONE、またはコンテナ)を使用して加入したデバイスはサポートされていません。デバイスをコンソールから一括でチェックインすることはサポートされていません。

  1. [デバイス] > [リスト表示] の順に進み、チェックインする共有 iOS デバイスを見つけます。
  2. デバイスの [[フレンドリ名]] を選択して、[[デバイスの詳細]] を表示します。
  3. 画面の右上隅で、[[その他のアクション]] ボタンを選択します。
  4. [[管理]] セクションで、[[デバイスのチェックイン]] を選択します。

共有デバイスを構成する

シングルユーザー デバイスの代理セットアップと同様、マルチユーザー デバイス(共有デバイス)の代理セットアップの手続きも、複数のユーザーが使用する予定のデバイスを、IT 管理者が代理でプロビジョニングできます。

  1. [グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [共有デバイス] の順に進みます。
  2. [上書き] を選択し、[グループ化] セクションで各欄の値を指定します。
    設定 説明
    [グループ割り当てモード]

    次の 3 つの方法のいずれかを使用してデバイスを構成します。

    • [ユーザーに組織グループをプロンプト表示する] を選択した場合、エンドユーザーはデバイスにログインするたびに、組織グループに対するグループ ID を入力する必要があります。

      この方法では、エンドユーザーは、入力されている組織グループの設定、アプリケーション、およびコンテンツを自在に利用できます。また、エンドユーザーは、加入先組織グループ以外の設定、アプリケーション、およびコンテンツも利用できます。

    • [固定組織グループ] を選択した場合、管理対象デバイスでは、1 つの組織グループの設定およびコンテンツしか利用できません。

      デバイスにログインした各エンドユーザーは、同じ設定、アプリケーション、およびコンテンツを利用します。この方法は、小売業に適しています。小売業の従業員は、同じような目的 (例: 在庫の検査) で共有デバイスを使用します。

    • [ユーザー グループ組織グループ] を選択した場合、社内階層内のユーザー グループと組織グループの両方に基づいて、機能が有効化されます。

      エンドユーザーがデバイスにログインすると、階層内で割り当てられている役割に基づいて、特定の設定、アプリケーション、およびコンテンツを利用できます。たとえば、あるエンドユーザーが "Sales" ユーザー グループのメンバーであり、そのユーザー グループが "Standard Access" 組織グループにマッピングされているとします。そのエンドユーザーがデバイスにログインすると、デバイスは、"Standard Access" 組織グループで使用可能な設定、アプリケーション、およびコンテンツを使用して構成されます。

      管理者は、UEM コンソールでユーザー グループを組織グループにマッピングできます。[グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [加入] の順に進みます。[グループ化] タブを選択し、必要な情報を入力します。

    [利用規約を常にプロンプト表示] このチェックボックスを選択した場合、デバイスにログインする前に、[利用規約] に同意するよう、エンドユーザーにプロンプトが表示されます。
  3. 必要に応じて、[セキュリティ] セクションで各欄の値を指定します。
    設定 説明
    共有デバイス パスコードを必須とする [(iOS デバイスのみ)]このオプションを有効にした場合、ユーザーは、デバイスをチェックアウトするため、セルフサービス ポータルで共有デバイス パスコードを作成する必要があります。このパスコードは、シングル サインオン パスコードやデバイスレベルのパスコードとは異なります。
    特殊文字を必須とする このオプションを有効にした場合、ユーザーは、共有デバイス パスコード内に特殊文字 (例: @、%、&amp) を含める必要があります。
    共有デバイス パスコード最小文字数 共有デバイス パスコードの最小文字数を指定します。
    共有デバイス パスコード有効期間 (日) 共有デバイス パスコードの有効期間 (単位: 日) を指定します。
    共有デバイス パスコードを最小時間 (日) 保持する 共有デバイス パスコードの継続使用可能期間 (単位: 日) を指定します。この日数に達したら、パスコードを変更する必要があります。
    期限切れになる x (日) 前に共有デバイスのパスコードを変更するようユーザーにプロンプトを表示します

    [(iOS デバイスのみ)] 共有デバイス パスコードが期限切れになる何日前にメッセージを表示するかを設定します。

    最適な結果を得るには、有効期限と共有デバイス パスコードを維持できる最小時間の差よりも小さい値を設定します。

    パスコード履歴 システムに保持しておく過去のパスコードの数を指定します。過去に使用したパスコードを再使用できないようにすると、セキュリティが向上します。
    自動的にログアウト 指定時間が経過すると自動ログアウトするように構成します。
    以下の時間経過後自動ログアウト [自動ログアウト] するまでの時間を指定します (単位: [分][時間]、または [日])。
    iOS シングル アプリ モード

    このチェックボックスを選択した場合、シングル アプリ モードを構成できます。シングル アプリ モードでは、エンドユーザーがデバイスにログインしたときに、1 つのアプリケーションしか使用できません。

    シングル アプリ モードで iOS デバイスをチェックアウトするには、エンドユーザーが自分の資格情報を使用してログインします。デバイスが再び返却済みになると、シングルアプリモードに戻ります。

    シングル アプリ モードを有効にすると、デバイスのホーム ボタンが無効になります。

    注: シングル アプリ モードは、監視モードの iOS デバイスのみに適用されます。
  4. 必要に応じて、[ログアウト設定] を構成します。
    設定 説明
    Android アプリ データをクリア ユーザーが共有デバイスからログアウト(共有デバイスをチェックイン)したときに、アプリのデータが消去されます。
    Android アプリを再インストール ドロップダウンを使用して、常にユーザー間でアプリを再インストールするか、ユーザー間でアプリを再インストールしないかを選択します。Android (Legacy) 展開の場合、Hub がユーザー間でアプリ データをクリアできない場合、アプリの再インストールを選択することができます。
    Android デバイス パスコードをクリア ユーザーがマルチユーザー共有デバイスからログアウト(チェックイン)したときに現在の Android デバイス パスコードを消去するかどうかを指定します。
    起動時の暗証番号を許可 Android セキュア起動をアクティブ化または非アクティブ化します。これには、デバイスを起動するための初期暗証番号の入力が必要です。非アクティブ化すると、ユーザーはパスコードのセットアップ時にセキュア起動を有効にできません。セキュア起動がデバイス上ですでに非アクティブ化されている場合は、デバイスを工場出荷状態にリセットしてセキュア起動を有効にする必要があります。この機能は、ファイルベースの暗号化が行われていない Android デバイスにのみ適用されます。
    iOS デバイス パスコードをクリア ユーザーがマルチユーザー共有デバイスからログアウト(チェックイン)したときに現在の iOS デバイス パスコードを消去するかどうかを指定します。
  5. [[保存]] を選択します。

[次に行うこと:]シングルユーザー デバイスおよびマルチユーザー デバイスの代理セットアップを目的とした、デバイスのプロビジョニングに関する具体的な情報については、トピック「シングルユーザー デバイスを代理セットアップする」および「マルチユーザー デバイスを代理セットアップする」を参照してください。