Workspace ONE UEM にデバイスを加入させる方法

通常、デバイスの一括加入は、エンド ユーザーのデバイスを Workspace ONE UEM 環境に持ち込む新しいお客様に対して行われます。これらの詳細なユースケースでは、最も人気のある 3 つのパス、個人デバイスの業務利用 (BYOD)、業務デバイスの私的利用 (COPE)、共有デバイスの 3 つの方法でデバイスを一括加入させるすべての手順を示します。

個人デバイスの業務利用 (BYOD)

プライバシーに関する懸念事項

エンド ユーザーが持つ可能性のあるデバイスのプライバシーに関する懸念に対処するために、予防的な手順を実行できます。Workspace ONE UEM でプライバシー設定を構成する手順の詳細については、「BYOD デプロイのプライバシー」を参照してください。

1.ディレクトリサービスとの統合

ウィザードを使用してディレクトリ サービスをセットアップする

Workspace ONE UEM Console には、ディレクトリ サービスのセットアップ プロセスを効率化する簡素化されたウィザードが用意されています。このウィザードには、SAML 設定、LDAP (Lightweight Directory Access Protocol) 設定、またはその両方を統合する手順が含まれています。また、このウィザードを使用して、Workspace ONE UEM アプリケーションを VMware Identity Manager に自動プロビジョニングできるので、プロビジョニング プロセスが大幅に簡素化されます。

Workspace ONE UEM と Workspace ONE Access の統合、およびシングル サインオンを使用した Workspace ONE のデバイスへの展開の詳細については、「Workspace ONE UEM と Workspace ONE Access の統合」参照してください。

注：ディレクトリ サービス サーバで SAML または LDAP 設定をすでに構成している場合は、UEM Console によって自動的に検出されます。

1. 次のいずれかの方法でディレクトリサービスセットアップウィザードを開きます。

   • UEM Console の ｢はじめに｣ ウィザードを開きます。

   • [グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [ディレクトリ サービス] の順に進み、セットアップ ウィザードを開始 を選択します。

     

2. ウィザードが開いたら、構成 を選択し、画面上の指示に従います。

ディレクトリ サービスを手動でセットアップする

または、ウィザードをスキップしてディレクトリ サービスを手動で構成し、自分で設定を構成することもできます。

2.加入オプションを構成する

1. すべての BYOD デバイスを管理するカスタマー タイプの組織グループに変更します。正しい組織グループにいる場合は、加入オプションの構成が簡単になります。詳しくは「組織グループの変更」を参照してください。

2. [グループと設定] > [すべての設定] > [デバイスとユーザー] > [加入] の順に移動します。最初の [認証] タブの下にあるオプションが淡色表示で選択できない場合は、[現在の設定] で [上書き] オプションを選択して、これらのすべてのオプションを有効にします。

   1. [認証] タブで、[E メール ドメインの追加] ボタンを選択します。[E メール ドメインの追加] 画面が表示されます。
   2. ビジネス メール ドメイン（ acme.com など）と、確認用のメール アドレス（[email protected] など）を入力します。複数のドメインを運用する場合は、従業員が使用するドメインごとに手順 1 と 2 を繰り返します。ここで入力したメール アドレスは、加入確認書を受け取ります。
   3. 認証モード で [ベーシック] の選択を解除して、[ディレクトリ] を選択します。[認証プロキシ] はチェックを外したままにします。
   4. [Intelligent Hub の認証ソース] で [Workspace ONE UEM] を有効にします。vRA、vShield、NSX などの他の Vmware 製品を使用する場合は、代わりに [Workspace ONE Access] を選択します。
   5. デバイス加入モード で 新規加入 を開きます。この設定は、加入が許可されているデバイスのリストを作成せず、登録トークンを必要としないことを意味します。
   6. 次の 3 つの iOS および macOS オプションについては、各オプションの横にある情報バッジを確認し、ユーザーベースに最適なオプションを判断します。
   7. [保存] を選択します。

3. [グループと設定] > [すべての設定] > [デバイスとユーザー] > [加入] で、[管理モード] タブを選択します。オプションが淡色表示で選択できない場合は、[現在の設定] で [上書き] オプションを選択して、これらのすべてのオプションを有効にします。

   Intelligent Hub で加入させたデバイスは、デフォルトで MDM 管理対象になります。[管理モード] タブでは、アプリベース、登録済みモード、管理対象外などの代替管理メカニズムを選択して、Workspace ONE UEM に加入するデバイスの MDM 管理をプラットフォーム単位でオプトアウトできます。プラットフォームを有効にし、適切なスマート グループを選択して、これらのデバイスが MDM 管理なしで加入できるようにします。スマート グループを使用する場合は、次の条件に基づいて加入を有効にできます。OS バージョン、所有形態タイプ、およびユーザー グループ。柔軟な管理アプリ ポリシーを使用して、管理なしで加入した iOS デバイスのデバイス管理レベルを制御します。MDM 管理を維持する場合は、この加入タブをスキップし、手順 4 (Hub Integration) に進みます。

   1. 代替管理メカニズムを選択して MDM 管理をオプトアウトするプラットフォームごとに、そのプラットフォームの [有効] ボタンを選択します。

   2. [この組織グループ内のすべての（プラットフォーム）デバイス] で、この組織グループに加入させるすべてのデバイスを MDM 管理からオプトアウトする場合は、[有効] を選択します。これらのデバイスは、登録モードで管理することも、アプリケーション レベルで管理することもできます。また、管理対象外のままにすることもできます。無効 を選択しテキスト ボックスをクリックして、ドロップダウン メニューを有効にします。コンテンツをデバイスに割り当てるスマート グループの名前を選択します。この組織グループに加入しているが、スマート グループに含まれていない同様のプラットフォームのデバイスは、MDM 管理対象として加入されます。

      このスマート グループをまだ作成していない場合は、ドロップダウン メニューの下部にある [スマート グループの作成] ボタンを選択します。次に、「スマート グループを作成する」の手順に従って、条件パスを使用し、プラットフォームが一致していることを確認します。iOS 管理モード用に iOS スマート グループを作成、Android 管理モード用に Android スマート グループを作成といった具合です。

   3. [保存] を選択します。

4. [グループと設定] > [すべての設定] > [デバイスとユーザー] > [加入] で、[Hub Integration] タブを選択します。オプションが淡色表示で選択できない場合は、[現在の設定] で [上書き] オプションを選択して、これらのすべてのオプションを有効にします。

   1. [Intelligent Hub で Hub サービス機能を使用する] で [有効] を選択すると、この組織グループ内のデバイスがアプリケーション カタログや People などの機能の Workspace ONE Hub サービスに接続できるようになります。[無効] を選択して、これらの Hub サービス機能をオプトアウトします。
   2. [保存] を選択します。

5. [グループと設定] > [すべての設定] > [デバイスとユーザー] > [加入] で、[利用規約] タブを選択します。オプションが淡色表示で選択できない場合は、[現在の設定] で [上書き] オプションを選択して、これらのすべてのオプションを有効にします。

   1. [加入利用規約への同意が必要] で [有効] を選択すると、エンド ユーザーは加入を許可する前に指定した利用規約に同意するよう求められます。[無効] を選択して、加入時にオプションの利用規約に同意します。
   2. (オプション)[新規加入の利用規約を追加] ボタンを選択すると、[新しい利用規約の作成] 画面が表示され、利用規約同意書に入力できます。プラットフォーム、デバイス所有形態、加入タイプ、言語 などのオプションを指定できます。有効な利用規約同意書を作成する目的で、法務部門と連絡を取ってください。[保存] を選択して同意書を保存します。
   3. [保存] を選択して、[利用規約] タブの選択内容を保存します。

6. [グループと設定] > [すべての設定] > [デバイスとユーザー] > [加入] で、[グループ化] タブを選択します。オプションが淡色表示で選択できない場合は、[現在の設定] で [上書き] オプションを選択して、これらのすべてのオプションを有効にします。

   1. [グループ ID 割り当てモード] で [既定] を選択します。
   2. [既定] セクションで、[既定のデバイス所有形態] に BYOD 展開の主な特徴である [従業員所有] を選択します。
   3. [既定] セクションで、[既定のロール] に、[ベーシック アクセス]、[フル アクセス] を選択するか、準備したロールを選択します。
   4. [既定] セクションで、[非アクティブ ユーザーに対する既定アクション] に、[現在加入済みデバイスの企業情報ワイプ] を選択します。このオプションは、デバイスの盗難時やデバイスが紛失した場合の、知的財産/企業データの損失に対する最大限の保護を適用します。
   5. [ユーザー グループの同期] セクションで、[Workspace ONE のユーザーグループをリアルタイム同期] に [無効] を選択します。有効の場合、Workspace ONE では、UEM Console に登録している特定のユーザーのユーザー グループを同期します。Workspace ONE UEM パフォーマンスへの影響により、ユーザー グループが頻繁に変更される場合にのみ、このオプションを有効にします。これは、デバイスの登録を許可するかどうかに影響するためです。
   6. [ユーザー ロール マッピング] セクションで、[ディレクトリ グループベースのマッピングを有効にする] のチェック ボックスをオフにして、ディレクトリ サービスのユーザー グループに基づくロールの適用をオプトアウトします。ディレクトリ サービス内のすべてのユーザー グループを考慮し、その情報を使用して特定のロールを割り当てるには、このチェック ボックスをオンにします。たとえば、ディレクトリ サービス ユーザー グループ「Manager」のすべてのユーザーに「Role x」を適用し、「Role y」を別のユーザー グループのすべてのユーザーに適用できます。

7. [グループと設定] > [すべての設定] > [デバイスとユーザー] > [加入] で、[制限] タブを選択します。オプションが淡色表示で選択できない場合は、[現在の設定] で [上書き] オプションを選択して、これらのすべてのオプションを有効にします。

   1.デバイスのエンド ユーザーがユーザーとして Workspace ONE UEM に追加されておらず、デバイスを初めて加入させる場合は、[ユーザー アクセス コントロール] で、[加入を既知のユーザーに制限] のチェック ボックスを空白のままにします(選択解除)。ただし、一括インポートされたユーザーがいる場合、または自分を追加するためにセルフ サービス ポータルに送信した場合は、このチェック ボックスを有効にすることを検討してください。2.ディレクトリ サービスをユーザー グループと統合していない場合は、[ユーザー アクセス コントロール] で [加入を構成済みのグループに制限] のチェック ボックスを空白のままにします(選択解除)。ただし、ディレクトリ サービスをディレクトリ サービス内のユーザー グループに基づいて UEM でユーザー グループを作成する Workspace ONE UEM と意図的に統合した場合は、このチェック ボックスを有効にして、ディレクトリ サービスのユーザー グループの 1 つに属するユーザーのみが加入できるように制限することを検討してください。

   3.[ポリシー設定] セクションで、[ポリシーの追加] ボタンを選択して、決定した要因に基づいて手動で加入を制限できます。これらの要因には、所有形態タイプ、加入タイプ、デバイス プラットフォーム、デバイス モデル、およびオペレーティング システムが含まれます。

   

   プラットフォームごとに 1 つのポリシーなど、複数のポリシーを定義し、最小モデルまたは OS バージョンを指定し、それらのデバイスのみが加入できるようにすることができます。これは、手順 5 の後半で確認できる強力なツールです。

   4.[Workspace ONE の管理要件] セクションで [Workspace ONE には MDM をが必要] を有効にすると、Workspace ONE へのログインに時に割り当てられた条件に適合するデバイスをすぐに加入させるように求められます。割り当てられた条件に適合しないデバイスは、管理対象外の状態でログインできます。後で柔軟な管理を使用して管理対象となる場合があります。このオプションを使用するには、Workspace ONE アプリケーション 3.2 以降が必要です。

   5.[グループ割り当て設定] セクションで、手順 3 で定義したポリシーを適用し、対象となるデバイスを選択したユーザー グループに送信できます。

   たとえば、従業員所有 (BYOD) Android デバイス バージョン 10 以降のみを許可する制限ポリシーと、従業員所有 (BYOD) iPhone バージョン 15 以降のみを許可する 2 番目の制限ポリシーを作成した場合は、Android ユーザーを 1 つのユーザー グループに追加し、iPhone ユーザーを別のユーザー グループに追加するように構成できます。このような組織は、今後コンテンツ管理に役立つ可能性があります。

8. 残りのタブ [オプションのプロンプト] および [カスタマイズ] は、BYOD 機能にとってあまり重要ではない、デバイスのエンド ユーザー フレンドリなオプションです。使用可能な各オプションの詳細な手順については、オプション プロンプトとカスタマイズを参照してください。

3.Intelligent Hub による加入

Workspace ONE Express および Workspace ONE UEM では、Workspace ONE Intelligent Hub を使用したデバイスの加入は、Android、iOS、Windows デバイスに対して、主要なオプションになっています。

1. Workspace ONE Intelligent Hub を Google Play ストアから（Android デバイスの場合）または App Store から（Apple デバイスの場合）ダウンロードしてインストールします。

   パブリック アプリケーション ストアから Workspace ONE Intelligent Hub をダウンロードするには、Apple ID または Google アカウントが必要になります。

   Windows 10 デバイスでは、デバイスの既定のブラウザで https://getwsone.com にアクセスして、Hub をダウンロードする必要があります。

2. ダウンロード完了後に Workspace ONE Intelligent Hub を実行するか、または、ブラウザ セッションに戻ります。

   重要：Android デバイスに Workspace ONE Intelligent Hub をインストールして実行するには、デバイスに 60 MB 以上の空きスペースが必要です。Android プラットフォームでは、アプリケーションごとに CPU とラン タイム メモリを割り当てることができます。あるアプリケーションが、割り当て以上のリソースを使用している場合、Android デバイスによってそのアプリケーションが停止され、リソース配分が最適化されます。

3. メール アドレスの入力を求められたら入力します。Workspace ONE Console は、このアドレスが環境に追加されたかどうかを確認します。追加されていれば、このエンド ユーザーはすでに構成されており、組織グループに割り当てられていることになります。

   エンド ユーザーをメール アドレスに基づいて特定できない場合、Workspace ONE console は、[サーバ]、[グループ ID] と [資格情報] を入力するよう求めるプロンプトを表示します。管理者は、環境 URL とグループ ID を指定できます。

4. 残りのプロンプトに従って、加入処理を完了させます。ユーザー名の代わりにメール アドレスを使用できます。2 人のユーザーが同じメール アドレスを使用している場合、加入処理は失敗します。

これでデバイスは、Workspace ONE Intelligent Hub アプリケーションで加入されました。[サマリ] タブを、このデバイスの [デバイス詳細表示] で開きます。セキュリティ パネルには、「登録されたハブ」が表示され、登録方法が示されます。

業務デバイスの私的利用 (COPE) Workspace ONE への直接加入

直接加入とは、企業が所有し、個人が有効にするデバイスを最もスムーズに加入する方法です。COPE モデルでは、ビジネスにデバイスの一般消費化と IT が必要とするセキュリティおよびコントロールの間のバランスを保つ方法を提供します。

管理者は、必要なオプションを使用して直接加入を構成できます。これらのオプションには、任意のプロンプトを構成するオプション、デバイス タイプで制限するオプション、ユーザー グループで制限するオプション、ユーザーにアプリケーションのインストールを延期させるオプションなどがあります。

直接加入は既定でアクティベーション解除されています。Workspace ONE への直接加入を有効にするには、次の手順を実行します。

1. Workspace ONE の直接加入を有効にする組織グループに切り替えます。移動先の組織グループは、加入するすべての COPE デバイスを含める予定の組織グループです。これは、近い将来、COPE のデバイス プロファイル、COPE の順守ポリシー、COPE のアプリ、および COPE のその他のコンテンツを配信するために使用するスマート グループを管理するために選択する組織グループと、同じ組織グループです。
2. グループと設定 > すべての設定 > デバイスとユーザー > 全般 > 加入 と進み、制限 タブを選択します。

3. Workspace ONE の管理要件 までスクロールし、構成オプションを選択します。必要な場合は、メイン組織グループの設定を上書きします。

   

   設定	説明
   Workspace ONE には MDM が必要	資格のあるデバイスおよびユーザーが Workspace ONE にログインするとすぐにプロンプトが表示され、加入を求められます。 定義された条件を満たしていないデバイスは管理対象外の状態で加入が許可され、後で管理対象となることができます（柔軟な管理）。
   割り当てられるユーザー グループ	この設定では直接加入プロセスに含めるユーザー グループを指定します。[すべてのユーザー] を選択することもできます。[Workspace ONE には MDM が必要] を有効にした場合、これは既定の選択です。
   iOS	iOS デバイスを含めるには、この設定を有効にします。アクティベーション解除すると、iOS デバイスに直接加入できなくなりますが、管理対象外の状態で Workspace ONE UEM には加入することができます。
   Android Legacy	レガシー Android デバイスを含めるには、このオプションを有効にします。アクティベーション解除すると、レガシー Android デバイスに直接加入できなくなりますが、管理対象外の状態で Workspace ONE UEM には加入することができます。
   Android Enterprise	Android Enterprise デバイスを含めるには、この設定を有効にします。アクティベーション解除すると Android Enterprise デバイスに直接加入できなくなりますが、管理対象外の状態で Workspace ONE UEM には加入することができます。

残りの手順は、エンド ユーザーが実行するものです。通常、これを行うには、エンド ユーザーに詳細な加入手順を記載した E メールを送信します。

1. プラットフォーム固有のアプリ ストアまたはリポジトリから Workspace ONE アプリをダウンロード、インストール、および実行するよう、エンド ユーザーに指示します。
2. サーバの URL またはメール アドレスを入力します。この情報は、エンド ユーザーへの加入 E メールに含めることができます。
3. ディレクトリ サービスのユーザー名とパスワードを入力します。
4. プラットフォーム固有の同意する手順を選択して、Workspace Services をインストールまたは有効化します。
   1. iOS – サーバに 設定 を開くことを許可し、デバイスのパスコードを入力し、署名のないデバイス プロファイルをインストールし、Workspace で画面を開きます。
   2. Android Legacy – Workspace ONE Intelligent Hub をインストールして電話をかけて管理することを許可し、デバイス アセット番号を入力するオプション付きのデバイスの所有権を選択し、デバイスの管理アプリケーションをアクティブ化してから、Workspace ONE にサインインします。
   3. Android Enterprise – 利用規約同意書を承諾 (または拒否) し、ワーク プロファイルを設定し、Workspace ONE のパスコードを作成します。
5. Workspace ONE のインストール ルーチンが完了したら、エンド ユーザーはアプリのインストールを続行する ことができます。
6. エンド ユーザーは、リストから選択した個々のアプリをインストール、すべてインストール、またはこの手順全体を スキップ することができます。

Workspace ONE への直接加入でサポートされるオプション

グループと設定 > すべての設定 > デバイスとユーザー > 全般 > 加入 と移動して、該当する各タブを選択し、Workspace ONE への直接加入との互換性に基づいて選択を行います。

認証

次の認証オプションは、Workspace ONE への直接加入に対応します。

• ディレクトリ ユーザー。
• SAML と Active Directory のユーザーは、「その場で」 サポートされます。LDAP なしの SAML ユーザーは、最初のログイン時に Workspace ONE UEM にユーザー レコードがすでに存在していればサポートされます。
• ベーシック ユーザー、代理セットアップ ユーザー、ディレクトリなしの SAML ユーザー、および認証プロキシ ユーザーは現在サポートされていません。
• 新規加入。
• Workspace ONE では、それぞれのプラットフォームでの Web 加入をブロックするために使用される、iOS または macOS 設定の必須 Workspace ONE Intelligent Hub を監査しません。

利用規約

すべての利用規約オプションは、Workspace ONE への直接加入に対応します。

グループ化

すべてのグループ分けオプションは、Workspace ONE への直接加入に対応します。

制限

次の制限事項オプションは、Workspace ONE への直接加入に対応します。

• 既知のユーザーと構成済みグループ。
• 加入デバイス数上限。
• ポリシー設定は部分的にサポートされます。
  • 許可済み所有形態タイプ – Workspace ONE は従業員所有と企業専用にのみプロンプトを表示します。どちらも希望しない場合、プロンプト表示オプションをアクティベーション解除して、既定の所有形態タイプを使用します。
  • 許可済み加入タイプはサポートされていません。
• デバイス プラットフォーム、デバイス モデル、および OS の制限はサポートされています。
• ユーザー グループの制限。

プロンプト表示オプション

次のプロンプト表示オプションは、Workspace ONE への直接加入に対応します。

• デバイス所有形態タイプを尋ねるメッセージを表示。
• アセット番号のプロンプト表示 (デバイス所有形態のプロンプト表示が有効の場合のみサポートされます)。
• その他のすべてのプロンプト表示オプションはサポートされていません。

カスタマイズ

次のカスタマイズ オプションは、Workspace ONE への直接加入に対応します。

• 各プラットフォーム専用のメッセージ テンプレートを使用。
• 加入後に開く URL（iOS のみ）。
• MDM プロファイルメッセージ（iOS のみ）。
• カスタム MDM アプリケーションを使用。
• 加入サポート Eメールと加入サポート電話番号はサポートされていません。

代理セットアップ

直接加入プロセスを使用したこの COPE モデルでのデバイス代理セットアップはサポートされていません。デバイスを代理セットアップする必要がある場合は、単一ユーザーでも複数ユーザーでも、以下のプラットフォーム固有の構成を行った上で、Workspace ONE Intelligent Hub を使用して、デバイスを加入させる必要があります。

共有デバイス

• 共有 Android デバイスの加入構成
• 共有 iOS デバイスの加入構成