追加の加入制限
追加の加入制限を設定して、Workspace ONE UEM に加入できるユーザーや許可するデバイス タイプを制御することができます。
ディレクトリ サービスの統合、BYOD のサポート、デバイスの登録、その他の構成に関係なく、追加の加入制限を任意の展開に適用することができます。
また、組織グループあたりの加入デバイスの最大数を指定することもできます。加入制限を構成したら、その制限事項をポリシーとして保存することもできます。
考慮事項 #1: 特定のプラットフォーム、OS バージョン、または許可するデバイスの最大台数を制限しますか。
- Samsung SAFE/Knox、HTC Sense、LG Enterprise、Motorola デバイスなどの、エンタープライズ管理機能が組み込まれているデバイスのみをサポートしますか。その場合は、Android デバイスがサポート対象のエンタープライズ バージョンであることを加入制限として要求することができます。
- 1 人のユーザーが加入できるデバイスの台数を制限しますか。その場合は、企業所有デバイスと従業員所有デバイスを区別して、この数量を設定することができます。
- 展開において特定のプラットフォームをサポート対象から除外しますか。その場合は、ブロック対象のデバイス プラットフォームのリストを作成することで、加入を禁止できます。
従業員所有デバイスの台数と種類を調べる必要があります。また、職場環境での使用にふさわしいデバイスを特定する必要があります。これらの作業が完了したら、これらの加入制限事項をポリシーとして保存できます。
考慮事項 #2: 企業デバイスのリストを作成して加入を制限しますか。
追加の登録オプションを使用することで、エンド ユーザーが加入できるデバイスを制御することができます。この方法は、拒否リスト デバイスの加入を禁止することや、許可リスト デバイスの加入だけを許可することができるため、個人所有デバイスの持ち込み (BYOD) 導入において役立ちます。タイプ、プラットフォーム、特定のデバイス ID、およびシリアル番号を基準にして、デバイスを許可リストに登録することができます。
たとえば、Windows デバイス が OOBE (Out of Box Experience) を介して Workspace ONE UEM に加入することをブロックする場合は、除外するすべての Windows デバイスのすべての IMEI、シリアル番号、または UDID 番号を含む、拒否リストを作成する必要があります。
詳細については、「拒否リストと許可リストのデバイスの登録」を参照してください。
考慮事項 #3: 組織グループごとに、加入するデバイスの台数を制限しますか。
1 つの組織グループに加入できるデバイス数の上限を設定することができます。上限を設定することで、有効な加入デバイス数が際限なく増えて貴社展開の管理が困難になることを防ぎます。詳細については、このページの「組織グループごとの加入済みデバイス数の制限」セクションを参照してください。
加入制限の設定を構成する
Workspace ONE UEM をディレクトリ サービスと統合する際に、どのユーザーに貴社の展開への加入を許可するのか、制限を設けることができます。
既存のユーザーまたは構成済みのグループのみに加入を限定することができます。既存のユーザーとは、 コンソール上に存在するユーザーを指します。構成済みのグループとは、ユーザー グループとの統合を選択する場合、ディレクトリ サービス グループに関連付けられたユーザーを指します。組織グループごとに加入できるデバイス数に上限を設定することもできます。この設定を保存し、ポリシーとして再利用することもできます。
これらのオプションは [グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [加入] の順に進み [制限事項] タブを選択して利用します。制限事項タブでは、組織グループとユーザー グループに基づいて加入制限ポリシーをカスタマイズすることができます。
- ポリシー設定を用いて加入制限を作成したり、既存の制限を割り当てたりすることができます。
- グループ割り当て設定エリアでユーザー グループにポリシーを割り当てます。
- プラットフォーム、OS、UDID、IMEI 等に基づいてデバイスを拒否リスト/許可リスト設定します。
| 設定 | 説明 |
|---|---|
| ユーザー アクセスの管理 | Workspace ONE への直接加入は、すべてのユーザー アクセス コントロールのオプションをサポートします。 |
| [加入を既知のユーザーのみに制限] – 有効にすると、UEM Console に存在するユーザーのみに加入を制限します。この制限は、1 人ずつ手動で、または一括インポートで UEM Console に追加されたディレクトリ ユーザーに適用されます。すべてのユーザーに加入を許可した最初の展開後に、加入をロックダウンする場合にも使用できます。このオプションにより、加入できるユーザーを選択性にすることができます。 |
|
| このオプションを無効にすると、UEM Console でアカウントを持っていないすべてのディレクトリ ユーザーが Workspace ONE UEM に加入できます。ユーザー アカウントは加入中に自動で作成されます。 |
|
| 加入を構成済みのグループのみに制限 – このオプションを有効にすると、デバイスの加入はすべてのグループに、あるいは、(ユーザー グループの統合を行っている場合には) 選択されたグループに属するユーザーのみに制限されます。貴社のディレクトリサービス ユーザーグループと統合していない場合は、このオプションを選択しないでください。 |
|
| 注:加入を構成済みのグループのみに制限することは、次の条件が満たされた場合にジャストインタイム (JIT) ユーザー加入でのみサポートされています。 | |
| * Workspace ONE UEM は、Workspace ONE Intelligent Hub の認証ソースとして構成されます。この構成は、[グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [加入] の順に選択し、表示された [認証] タブで設定できます。 | |
| * 加入ユーザーに対して認証の SAML がアクティベーション解除になっている。このクラスを構成するには、[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [ディレクトリ サービス] の順に移動して、「Directory Services System Settings Documentation」を参照してください。 |
|
| オプションを無効にすると、加入時に Workspace ONE UEM ユーザー アカウントを作成して、すべてのディレクトリ ユーザーが加入できます。デバイスを自動的に企業情報ワイプするには、[構成されたグループから削除されるユーザーのデバイスを企業情報ワイプする] を選択します。すべてのグループ を選択した場合、どのユーザー グループにも属さないデバイスは削除されます。選択されたグループ を選択した場合、特定のユーザー グループに属さないデバイスは削除されます。 |
|
| ユーザー グループとの統合のためのオプションの 1 つは、「MDM 承認済み」ディレクトリ サービス グループを作成し、Workspace ONE UEM にインポートすることです。このインポート手順の後、Workspace ONE UEM で使用可能になったときに「MDM 承認済み」グループに既存のディレクトリ サービス ユーザー グループを追加できます。 | |
| この組織グループとサブグループに加入デバイス数の上限を設定 | 現在の組織グループに加入できるデバイス数の上限を設定する場合は、この設定を有効にし、デバイス数上限を入力 します。Workspace ONE への直接加入は、このオプションをサポートします。 |
注:Apple 社のデバイス登録プログラム (DEP) を通して加入した iOS デバイスには加入制限は適用されません。これは、必要なデバイス情報が、デバイスの加入後にのみ受信されるためです。
組織グループごとの加入済みデバイス数の制限
任意のタイプの組織グループ(グローバル、カスタマー、パートナー)に加入デバイス数の制限を適用できます。上限を設定することで、デバイスごとにライセンスが必要な環境で、有効な加入デバイス数が際限なく増えて貴社展開の管理が困難になることを防ぎます。
ある組織グループに対して上限数を設定した場合、その組織グループ分岐内の場所に別の上限数を設定することはできません。ただし、別の組織グループ分岐内に上限数を設定することはできます。
このオプションが表示されていない場合は、メイン組織グループ(現在の組織グループの上位にある組織グループ)またはサブ組織グループ(現在の組織グループの下位にある組織グループ)を確認してください。現在の組織グループの上位または下位の組織グループに、既に制限が存在している可能性があります。
- グループと設定 > すべての設定 > デバイスとユーザー > 全般 > 加入 と進み、制限 タブを選択します。
- この組織グループとサブグループに加入デバイス数の上限を設定 で制限を有効にします。
加入制限ポリシーを作成する
従業員所有デバイスの台数と種類を調べる必要があります。また、職場環境で使用するデバイスを特定する必要があります。これらの作業が完了したら、これらの加入制限事項をポリシーとして保存できます。
![このスクリーンショットは、[デバイスとユーザー]、[全般]、[加入]、[システム設定] の [制限] タブを示しています。](Images/images-MDM_Create_an_Enrollment_Restriction_Policy.png)
- [デバイス] > [デバイス設定] > [デバイスとユーザー] > [全般] > [加入] の順に進みます。
- [制限] タブを選択し、ポリシー設定セクションにある [ポリシーを追加] を選択します。
-
[加入制限ポリシーの追加/編集] 画面で、次の説明に基づいて加入制限ポリシーのオプションを構成します。
![このスクリーンショットは、新しい制限ポリシーの作成に使用できる [加入制限ポリシーの追加/編集] ページを示しています。](Images/images-MDM_Create_an_Enrollment_Restriction_Policy2.png)
設定 説明 加入制限ポリシー名 貴社の加入制限ポリシーの名前を入力します。 組織グループ ドロップダウン メニューから組織グループを選択します。貴社の新しい加入制限ポリシーを適用する組織グループです。 ポリシー タイプ 加入制限ポリシーのタイプを選択します。選択された組織グループに適用するには 組織グループ既定 を選択します。また、制限事項 タブのグループ割り当てから特定のユーザー グループを選択した上で、そのグループに適用するには ユーザー グループ ポリシー を選択します。 許可された所有形態タイプ [企業 – 専用]、[企業 – 共有]、[従業員所有] デバイスの許可/禁止を選択します。Workspace ONE への直接加入は、企業所有-専用および従業員所有の所有形態タイプのみをサポートします。 許可された加入タイプ MDM(Workspace ONE Intelligent Hub)と Container(iOS または Android 対応)アプリケーション経由のデバイス加入を許可するか禁止するかを選択します。 ユーザーあたりのデバイス数上限 ユーザーにデバイスの加入台数を無制限に許可する場合は、無制限 を選択します。Workspace ONE への直接加入は、ユーザーごとのデバイス制限の設定をサポートします。[ユーザーあたりのデバイス上限] セクションで、所有形態タイプごとにデバイスの最大数を定義する場合は、このボックスを選択解除します。 * ユーザーあたりのデバイス数上限 * 企業デバイス数上限 * 共有デバイス数上限 * 社員所有のデバイス数上限 許可されデバイスのタイプ 特定デバイスに制限を追加するには、[特定のプラットフォーム、モデル、OS に加入を制限する] チェック ボックスを選択します。このオプションは Workspace ONE への直接加入でサポートされます。 デバイス レベル制限モード このオプションは、[許可されたデバイス タイプ] オプションの [特定のプラットフォーム、モデル、OS に加入を制限する] を選択した場合のみに表示されます。 デバイス制限のタイプを選びます。 * リストに挙げられたデバイス タイプのみを許可(許可リスト)– 入力したパラメータに合致するデバイスのみを許可し、その他すべてのデバイスをブロックする場合にこのオプションを選択します。 * リストに挙げられたデバイス タイプをブロック(拒否リスト)– 入力したパラメータに合致するデバイスを確実にブロックし、その他すべてのデバイスを許可する場合にこのオプションを選択します。 いずれのデバイス レベル制限事項モードでも、[デバイスの制限を追加] を選択し、[プラットフォーム]、[モデル]、[メーカー]、[OS] のいずれかを選択します。定義されたデバイス制限ごとに デバイス上限 を追加することもできます。複数のデバイス制限項目を追加できます。 IMEI、シリアル番号 または UDID に基づいて特定のデバイスをブロックすることも可能です。デバイス > ライフサイクル > 加入状態 と進み、追加 を選択します。これは、他のユーザーのデバイスに影響を与えることなく、特定のデバイスをブロックし、再加入を防止する場合に役立ちます。企業情報ワイプを実行する際のオプションで再加入を防止することもできます。 このオプションは Workspace ONE への直接加入でサポートされます。 -
[保存] をクリックして変更を保存し、[デバイスとユーザー] > [全般] > [加入] 画面に戻ります。
親トピック:デバイス加入
