BYOD デプロイのプライバシー
BYOD のエンド ユーザーにとっての最大の懸念事項の 1 つが、Workspace ONE UEM で管理されているデバイスにある個人用コンテンツのプライバシーです。企業は、個人データは企業の監視の対象にならないことを従業員に確約する必要があります。
Workspace ONE UEM を使用して、デバイスの所有権タイプに基づいて個人データを収集しないようにする、カスタマイズされたプライバシー ポリシーを作成することで、個人データのプライバシーを確保できます。さらに、個人を特定できる情報の収集のアクティベーション解除や、従業員所有デバイスに対する特定のリモート操作の禁止といったきめ細かいプライバシー設定を定義して、従業員のプライバシーを確保できます。
エンド ユーザーが Workspace ONE UEM に加入する際に、データがどのように収集され保管されるのか、エンド ユーザーに通知する必要があります。
分析情報など、Workspace ONE UEM を通じて収集される情報の取り扱い方の詳細については、https://www.vmware.com/help/privacy.html で「VMware プライバシー ポリシー」を参照してください。
重要:エンド ユーザーから収集できるデータに関する規制は、国や管轄地域により異なります。BYOD およびプライバシー ポリシーを構成する前に、適用法について十分に調査する必要があります。
プライバシー設定の構成
企業にとってもユーザーにとっても、エンド ユーザーのプライバシー保護は重要な課題です。Workspace ONE UEM は、どのようなデータをユーザーに関して収集し、収集されたデータのどこまでを管理者が閲覧できるのかについて、細分化された制御機能を提供します。貴社のユーザーと貴社のビジネス ニーズの双方にとって最適なプライバシー設定を構成してください。
- デバイス所有形態別にプライバシー ポリシーを確認し調整し、他国のデータ プライバシー法や法的に定められた規制を遵守する
- サーバとシステムの過負荷を防ぐため、IT 監視が設定されていることを確認します。
重要:どのような情報をエンド ユーザーから収集できるのかについては、地域により法規制内容が異なります。プライバシー ポリシーを構成する前に、法規制を十分に調査するようにしてください。
![このスクリーンショットは、プライバシー設定を構成できる [デバイスとユーザー]、[全般] のプライバシー システム設定を示しています。](Images/images-MDM_Configure_Privacy_Settings.png)
- デバイス > デバイス設定 > デバイスとユーザー > 全般 > プライバシー と進みます。
-
GPS、テレコム、アプリケーション、プロファイル、ネットワーク データ収集に関して適切な設定を選択してください。
- 収集して表示 – ユーザー データが収集され、UEM Console に表示されます。
- 収集するが表示しない – ユーザー データはレポート用として収集されますが、UEM Console には表示されません。
- 収集しない – ユーザー データは収集されないので、コンソールに表示されません。
-
デバイスに実行可能な コマンド に対し、以下のオプションのいずれかを選択します。従業員所有のデバイスに関しては、すべてのリモートコマンド、特にフル ワイプ コマンドを無効にすることをお勧めします。このアクティベーション解除により、エンド ユーザーの個人コンテンツを不注意で削除、またはワイプしてしまうといったケースを防止します。iOS 所有形態タイプの選択時にワイプ機能をアクティベーション解除すると、ユーザーの加入時に「コンテンツと設定をすべて消去」権限が表示されません。
注:プライバシー設定を変更して、リモート ロック、シャットダウン、再起動、またはパスコードの消去の操作について禁止 (
) から許可 ( または ) に変更した場合は、Apple デバイスでこれらのリモート操作を実行する前に、以前に加入した Apple デバイスを新しいプライバシー設定で再加入させる必要があります。- - 許可 – ユーザーの同意がない場合でもデバイス上でコマンドが実行されます。
- - ユーザー同意で許可 – ユーザーが同意した場合に限り、デバイス上でコマンドが実行されます。
- - 許可しない – デバイス上でコマンドは実行されません。
-
Android/Windows 高耐久性デバイスで、リモート操作、ファイル マネージャあるいはレジストリ マネージャへのアクセスを許可する場合は、ユーザー同意で許可 オプションを使用することをお勧めします。これにより、アクションが実行される前にプロンプト メッセージが表示され、エンド ユーザーによるデバイス上の管理者アクセスへの同意が必要になります。いずれかのコマンドの使用を許可するのであれば、その旨利用規約に明記しておくことをお勧めします。
- ユーザー情報 に関しては、AirWatch Console 上に 名、姓、電話番号、Eメール アカウント、ユーザー名 の各データを 表示 するか 表示しない かを選択します。
- [ユーザー名] 以外のオプションを [表示しない] に設定すると、コンソールで表示される箇所はすべて「プライベート」と表示されます。表示しない に設定されたオプションはコンソールで検索できません。ユーザー名を [表示しない] に設定すると、ユーザー名は、デバイス リスト表示とデバイス詳細画面上でのみ 「プライベート」 と表示されます。それ以外のコンソールの画面では、加入ユーザーのユーザー名が表示されます。
- 必要に応じて、個人を特定できる情報 (氏名、Eメール アドレス、電話番号等) を暗号化することができます。暗号化したいグローバルまたはカスタマー レベルの組織グループから、[グループと設定] > [すべての設定] > [システム] > [セキュリティ] > [データ セキュリティ] の順に進みます。暗号化を有効にするには、暗号化したいユーザー データを選択し、保存 をクリックします。この操作を行うことで、コンソールの検索、並べ替え、フィルタ等いくつかの機能が制限されます。
- デバイスの [妨害しないモード] を [有効] にするか [アクティベーションの解除] にするか選択します。この設定により、ユーザーは、指定された期間、MDM コマンドを無視することができます。「有効」 を選択した場合、妨害しないモード が有効である期間を分単位、時間単位、または日単位で指定できます。この期間を過ぎると無効になります。
- デバイスの [ユーザーフレンドリなプライバシー通知] を [有効] にするか [アクティベーションの解除] にするかを選択します。
- 有効 にした場合、次の各所有形態レベルで はい (プライバシー通知を表示) または いいえ (プライバシー通知を非表示) を選択できます。従業員所有、企業 - 専用、企業 - 共有、不明
- 保存 をクリックします。プライバシー設定へのアクセスは制限されているため、続行するには 4 桁のコンソール暗証番号を入力する必要があります。
プライバシー通知の展開
プライバシー通知の内容は、接続するデバイスの組織グループとデバイス所有形態に基づき、自動的に配布されます。次の各所有形態タイプに応じたプライバシー通知を表示することもできます。従業員所有、企業 - 専用、企業 - 共有、不明
プライバシー通知を受信するよう所有形態タイプを割り当てると、その所有形態タイプに属するすべてのユーザーに、Web クリップの形式でプライバシー通知が即時に送信されます。プライバシー通知参照値 PrivacyNotificationUrl がメッセージテンプレートに挿入されている場合は、Eメールは URL を含みます。ユーザーはそのリンクをクリックしてプライバシーポリシーを閲覧することができます。
以下の項目にあてはまるユーザーには自動でプライバシー通知が送信されます。
- 新規ユーザーが新しいデバイスを加入し、デバイスの所有形態のプライバシー通知機能が有効に設定されている場合。
- 新規ユーザーは加入済みのデバイスを現在使用しているが、加入後、デバイスの所有形態タイプが変わり、そのタイプに Web クリップが割り当てられている場合。
デバイス アクティブ化プロセスの中でプライバシー通知を展開する方法については、「デバイスを個別に登録する」を参照してください。
BYOD ユーザーに対するプライバシー通知を作成する
プライバシー通知をカスタマイズし、貴社が加入デバイスからどのようなデータを収集するのかユーザーに通知します。貴社の法務部の協力を得て、データ収集に関してどのようなメッセージをエンド ユーザーに通知するのかを判断してください。
![このスクリーンショットは、BYOD ユーザーのプライバシー通知を作成できる [デバイスとユーザー]、[全般] のメッセージ テンプレート システム設定を示しています。](Images/images-MDM_Create_a_Privacy_Notice_for_BYOD_Users.png)
- グループと設定 > すべての設定 > デバイスとユーザー > 全般 > メッセージ テンプレート と進みます。
- 追加 をクリックして新しいテンプレートを作成します。すでに作成したプライバシー通知テンプレートがある場合は、利用可能なテンプレート リストから選択し、使用/編集します。
-
メッセージ テンプレートを追加/編集 設定に入力します。
設定 説明 名前 通知テンプレートの名前を入力します。 説明 作成するテンプレートの説明を入力します。 カテゴリ 加入 を選択します。 タイプ MDM デバイス アクティブ化 を選択します。 言語を選択 テンプレートのデフォルト言語を選択します。その他の既定言語を追加するには 追加 ボタンを使用します。 既定 このテンプレートを既定のメッセージ テンプレートとして割り当てます。 メッセージ タイプ メッセージタイプを以下から選択します。Eメール、SMS、プッシュ通知 -
通知コンテンツを作成します。上記の メッセージ タイプ で選択したメッセージ タイプにより、構成の際に表示されるメッセージが決まります。
項目 説明 E メール Eメールコンテンツの形式 Eメール通知の形式を プレーン テキスト と HTML から選択します。 タイトル Eメール通知のタイトルを入力します。 メッセージ本文 ユーザーに送信する Eメールメッセージを入力します。この入力欄に表示される編集/フォーマット用のツールは、Eメールのコンテンツの形式 で選択された項目により異なります。ビジュアルプライバシー通知を有効にしている場合は、メッセージ本文に参照値 PrivacyNotificationUrlを含めてください。SMS メッセージ本文 ユーザーに送信する SMS メッセージを入力します。ビジュアルプライバシー通知を有効にしている場合は、メッセージ本文に参照値 PrivacyNotificationUrlを含めてください。プッシュ メッセージ本文 ユーザーに送信するプッシュ通知を入力します。ビジュアルプライバシー通知を有効にしている場合は、メッセージ本文に参照値 PrivacyNotificationUrlを含めてください。 -
[保存] を選択します。
プライバシー ベスト プラクティス
貴社のビジネス ニーズと社員のプライバシー保護の間の最適なバランスを保つことは簡単なことではありません。プライバシー設定を管理して最適なバランスを保つための、シンプルなベスト プラクティスがいくつかあります。
重要:雇用形態は企業によって異なります。貴社の法務部、人事部、および経営陣と協議の上、これらの設定およびポリシーを、貴社に最も適した形態にカスタマイズしてください。
ユーザー情報のプライバシーのためのベスト プラクティス
一般に、名、姓、電話番号、Eメール アドレスなどのユーザー情報は、従業員所有デバイスと企業所有デバイスのどちらに対しても表示します。
アプリケーション情報のプライバシーのためのベストプラクティス
一般に、従業員所有デバイスに関しては、アプリケーション情報を 収集しない または 収集するが表示しない のいずれかにするのが適切です。この設定が重要なのは、デバイス上にインストールされたパブリック アプリが閲覧された場合、個人を特定できる情報が含まれている可能性があるためです。企業所有デバイスに関しては、Workspace ONE UEM はデバイスにインストールされたすべてのアプリを記録します。
「収集しない」 を選択した場合、収集されないのは個人アプリケーションの情報のみです。Workspace ONE UEM では、パブリック アプリ、内部アプリ、購入されたアプリなど種類の別を問わず、すべての管理対象アプリの情報が収集されます。
リモート コマンドのプライバシーのためのベスト プラクティス
従業員所有のデバイスに関しては、すべてのリモート コマンドを無効にすることをお勧めします。リモート操作またはリモート コマンドを許可する場合は、これらのリモート操作およびリモート コマンドを利用規約に明記してください。
GPS 座標収集を使用したプライバシーのベストプラクティス
GPS 座標の収集は、根本的にプライバシーの問題に関連します。従業員所有デバイスの GPS データを収集することは適切ではありませんが、以下の説明は Workspace ONE UEM に加入しているすべてのデバイスに当てはまります。
- Workspace ONE Intelligent Hub のみがデバイスの GPS 位置情報データをコンソールに中継します。
- VMware Browser、Content、Boxer などの Workspace ONE SDK を使用する他のアプリケーションでは、コンソールに GPS データが報告されません。
- GPS は通常、紛失または盗難デバイスのために使用されます。また、ジオフェンスなどの、デバイスの位置を知ることが Workspace ONE UEM コンソール機能の本質である場合にも使用されます。
- GPS データが報告されると、Workspace ONE UEM ではその位置の周囲 1 km の範囲が特定されます。その後は、デバイスがその範囲の外に移動するたびに位置情報が報告されます。
テレコム データ プライバシーのベストプラクティス
従業員所有デバイスからテレコム データを収集することが適切なのは、そのデバイスが社内の携帯電話経費補助の対象となっている場合に限られます。以下は、そのような場合と、企業所有デバイスを念頭におき、収集可能なデータについて説明しています。
- キャリア/国コード – キャリアと国コードの記録は、テレコム トラッキングの際に使用されることがあります。テレコム プランを設定し、デバイスをキャリアと国コードに応じて適切なプランに割り当てます。この情報を使用して、ホーム キャリアと自国、または現在のキャリアと現在の国でデバイスを追跡できます。
- ローミング状態 – この状態は、どのデバイスがローミング中かをトラッキングするために使用することができます。順守ポリシーを作成し、ローミング状態のデバイスの音声通話やデータ通信をアクティベーション解除したり、他の順守アクションを施行したりすることができます。さらに、デバイスにテレコム プランが割り当てられている場合は、ローミング中のデータ通信使用量を Workspace ONE UEM に追跡させることができます。ローミング状態に関するデータを収集しモニタリングすることは、ローミングによるキャリアからの請求額を抑えるのに役立ちます。
- セルラー データ使用量 – 送受信された総バイト数で表されるデータ使用量です。このデータはセルラー デバイスのそれぞれから収集することができます。デバイスがテレコム プランに割り当てられている場合は、各請求サイクルにおける、許容データ使用総量に対するデータ使用量の割合を表示し、モニタリングすることができます。この機能を、使用データの割合 (%) に基づいて順守ポリシーを作成したり、キャリアからの請求額を抑えるために活用したりすることができます。
- セルラー使用量 – セルラー使用量とは、各セルラー デバイスから収集される音声通話時間 (分) データを指します。データ使用量の場合と同様、デバイスがテレコム プランに割り当てられている場合は、各請求サイクルにおける、許容時間 (分) に対する割合で使用量を表示し、モニタリングすることができます。この機能を、使用時間の割合 (%) に基づいて順守ポリシーを作成したり、キャリアからの請求額を抑えるために活用したりすることができます。
- SMS 使用量 – SMS 使用量とは各セルラー デバイスから収集される SMS データを指します。データ使用量の場合と同様、デバイスがテレコム プランに割り当てられている場合は、各請求サイクルにおける許容された総メッセージ数に対する割合 (%) で SMS 使用量を表示し、モニタリングすることができます。そうすることにより、メッセージ使用量の割合 (%) に基づいた順守ポリシーを設定することが可能になります。SMS 使用量をモニタリングすることは、キャリアからの多額の使用量超過請求を防ぐためにも有効です。
BYOD エンド ユーザーからのユーザー データの収集
Workspace ONE UEM インフラストラクチャは、ユーザーが生成するさまざまなタイプのデータを収集し保管します。次のマトリックスでは、各データ タイプと、そのデータが収集されるプラットフォームおよびオペレーティング システムを対にして示しています。
このマトリックスを使用して、ご使用の展開で必要なデータ収集がどれであるか判断してください。Workspace ONE UEM では、Bluetooth MAC など、オプションで収集できるデータも定義しています。企業専用、企業共有、従業員所有の所有形態タイプごとにこれらのオプションを構成し、プライバシー設定を割り当てます。
分析情報など、Workspace ONE UEM を通じて収集される情報の取り扱い方の詳細については、https://www.vmware.com/help/privacy.html で「VMware プライバシー ポリシー」を参照してください。
✓ - 収集可能。
X - 収集不能。
✓* - Workspace ONE Intelligent Hub の展開で収集可能。
✓** - Workspace ONE Intelligent Hub または iOS 9.3 以降の監視モード展開で収集可能。
| Android | Apple iOS | macOS | Windows 高耐久性デバイス | Windows デスクトップ | |
|---|---|---|---|---|---|
| アプリケーション追跡 | |||||
| インストールされた社内アプリを表示 | ✓ | ✓ | ✓ | X | ✓ |
| アプリのバージョンを表示 | ✓ | ✓ | ✓ | X | ✓ |
| アプリのステータスを取得 | ✓ | X | ✓ | X | ✓ |
| 証明書 | |||||
| インストールされた証明書のリストを表示 | ✓ | ✓ | ✓ | X | ✓* |
| アセット追跡 | |||||
| デバイス名 | ✓ | ✓ | ✓ | ✓ | ✓ |
| デバイス UDID | ✓ | ✓ | ✓ | ✓ | ✓ |
| 電話番号 | ✓ | ✓ | X | ✓ | ✓ |
| IMEI/MEID 番号 | ✓ | ✓ | X | ✓ | ✓ |
| デバイスのシリアル番号 | ✓ | ✓ | ✓ | ✓ | ✓ |
| IMSI 番号 | ✓ | X | X | ✓ | ✓ |
| デバイス モデル | ✓ | ✓ | ✓ | ✓ | X |
| デバイス モデル名 (フレンドリ) | X | ✓ | ✓ | ✓ | X |
| メーカー | ✓ | ✓ | ✓ | ✓ | ✓ |
| OS バージョン | ✓ | ✓ | ✓ | ✓ | ✓ |
| OS ビルド | ✓ | X | ✓ | ✓ | ✓ |
| ファームウェア/カーネル バージョン | X | X | ✓ | X | X |
| デバイス エラー追跡 | X | X | ✓ | ✓ | ✓ |
| デバイス ステータス | |||||
| バッテリ残量 | ✓ | ✓ | ✓ | ✓ | ✓ |
| バッテリ容量 | ✓ | ✓ | ✓ | ✓ | X |
| メモリ空き容量 | ✓ | ✓ | ✓ | ✓ | X |
| メモリ容量 | ✓ | ✓ | ✓ | ✓ | X |
| 場所 | |||||
| GPS 追跡 | ✓ | ✓** | ✓ | ✓ | ✓ |
| Bluetooth データ | ✓ | ✓** | ✓ | ✓ | ✓ |
| USB データ | X | ✓** | ✓ | ✓ | ✓ |
| ネットワーク | |||||
| Wi-Fi IP アドレス | ✓ | ✓ | ✓ | ✓ | ✓ |
| Wi-Fi MAC | ✓ | ✓ | ✓ | ✓ | ✓ |
| Wi-Fi 信号強度 | X | X | ✓ | ✓ | ✓ |
| キャリア設定バージョン | ✓ | ✓ | X | X | X |
| セル信号強度 | ✓ | X | X | X | X |
| セル方式 (なし、GSM、CDMA) | ✓ | ✓ | X | X | X |
| 現在の MCC | ✓ | ✓ | X | X | X |
| 現在の MNC | ✓ | ✓ | X | X | X |
| SIM カード番号 | ✓ | ✓ | X | X | ✓ |
| SIM キャリア ネットワーク | ✓ | ✓ | X | X | X |
| 加入者 MNC | ✓ | ✓ | X | X | X |
| Bluetooth MAC | ✓ | ✓ | ✓ | X | X |
| IP アドレスを表示 | ✓ | ✓ | ✓ | X | X |
| LAN アダプタを表示 | X | X | ✓ | X | X |
| MAC アドレスを表示 | ✓ | ✓ | ✓ | X | X |
| ローミング | |||||
| ローミング ステータスを検出 | ✓ | ✓ | X | X | X |
| ローミング時にプッシュ通知をアクティベーション解除 | X | ✓ | X | X | X |
| 音声ローミングの有効化 (許可) | X | ✓ | X | X | X |
| データの使用状況 | |||||
| セルラー ネットワーク経由のデータ使用状況を追跡 | ✓ | ✓ | X | X | X |
| Wi-Fi ネットワーク経由のデータ使用状況を追跡 | X | X | X | X | X |
| 通話 | |||||
| 通話履歴を追跡 | ✓ | X | X | X | X |
| メッセージ | |||||
| SMS 履歴を追跡 | ✓ | X | X | X | X |
| セルラー ステータス | |||||
| 現在のキャリア ネットワーク | ✓ | ✓ | X | X | X |
| 現在のネットワーク ステータス | ✓ | ✓ | X | X | X |
| リモート表示 | |||||
| デバイスをリモート制御 | ✓ | X | ✓ | ✓ | ✓ |
| スクリーン キャプチャ(保存、E メール送信、印刷など) | ✓ | X | ✓ | ✓ | ✓ |
| スクリーン共有 (アプリ内でリモート表示) | ✓ | ✓ | X | ✓ | ✓ |
| ファイル マネージャ | |||||
| デバイスのファイル マネージャにアクセス | ✓ | X | ✓ | ✓ | ✓ |
| デバイスのレジストリ マネージャにアクセス | X | X | X | ✓ | ✓ |
| ファイルをコピー | ✓ | X | ✓ | ✓ | ✓ |
| フォルダを作成 | ✓ | X | ✓ | ✓ | ✓ |
| デバイスからファイルをダウンロード | ✓ | X | ✓ | ✓ | ✓ |
| ファイルを移動 | ✓ | X | ✓ | ✓ | ✓ |
| フォルダとファイルの名前を変更 | ✓ | X | ✓ | ✓ | ✓ |
| デバイスにファイルをアップロード | ✓ | X | ✓ | ✓ | ✓ |
BYOD エンド ユーザー向け利用規約
責任の観点から、Workspace ONE UEM で収集されるデータおよび加入デバイスで許可される操作について従業員に通知する必要があります。貴社の戦略についての周知に役立てるために、Workspace ONE UEM にご利用条件を作成します。
ユーザーが自身の個人デバイスで MDM を有効にする前に、構成された利用規約を読み承諾するように促すプロンプトが表示されます。所有形態タイプに基づいて利用規約を割り当てることで、企業ユーザーと BYOD ユーザーとで異なる規約を作成して配布することができます。
利用規約を作成した後は、不要な法律用語を省いた 1 ~ 2 ページのホワイト ペーパーとしてエンド ユーザーに配布することを検討してください。このホワイト ペーパーは、エンド ユーザーが承諾する正式な利用規約ではありませんが、企業ポリシーを周知するのに役立ちます。理想的には、従業員が初めて自身のデバイスを加入させるときには、従業員所有デバイス向けの利用規約は表示しないことです。どのようなエンド ユーザー情報を収集し、BYOD ポリシーがそれらにどのように影響するのかを、目立つように表示します。
BYOD デバイスに対する制限
Workspace ONE UEM では、従業員所有デバイスと企業専用デバイスとで異なるセキュリティ ポリシーと制限を展開することができます。
制限プロファイルを使用することで、企業専用デバイスには厳格な制限を、従業員所有デバイスには比較的ゆるやかな制限を設定できます。たとえば、YouTube などのアプリやネイティブのアプリ ストアへの制限は、通常は従業員所有デバイスには展開しません。その代わりに、機能性にマイナスの影響を与えることなくデバイスのセキュリティ レベルを上げるセキュリティ プロファイルと制限を作成することができます。
デバイスを問わない制限
Workspace ONE UEM では、以下の制限をすべてのデバイスとプラットフォームで使用できるようにしています。
- 暗号化バックアップ – 企業コンテンツにアクセスできる個人所有デバイスの持ち込み (BYOD) デバイスを対象に、すべてのバックアップをデータ暗号化で保護します。
- サポートされるブラウザで不正行為アラートを強制実行 – 疑わしいサイトが検出されたときにブラウザが表示するすべての警告について、ユーザーの確認を必須にします。
- E メールの移動のアクティベーション解除 – 企業 E メールを個人アカウントに転送する機能またはサードパーティ製アプリケーションで開く機能をアクティベーションの解除にすることにより、機密性の高い企業データの漏洩を防止します。
プラットフォーム固有の制限
プラットフォームごとに独自の強制力のある制限が用意されています。これらの制限を個別に評価して、ご使用の展開での有用性を判断してください。従業員所有デバイスは Apple Configurator を使用して加入させることができないため、たとえば監視対象デバイスに限定される iOS 制限のように、適用されない制限もあります。
- セキュリティ プロファイルと制限を作成するには、[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に選択してから、該当するプラットフォームを選択します。
- 従業員所有デバイス専用のプロファイルを作成する場合は、所有権タイプが従業員所有であるスマートグループにのみ、こうしたプロファイルを割り当てる必要があります。詳細については、スマート グループを参照してください。
セキュリティ プロファイルおよび制限の作成の詳細については、順守ポリシーを追加するを参照してください。
BYOD デバイスの企業情報ワイプ
BYOD 展開に不可欠なことの 1 つは、従業員の退職時、デバイスを紛失するか盗難にあった場合に、企業コンテンツを削除することです。Workspace ONE UEM では、デバイスで企業情報ワイプを実行してすべての企業コンテンツとアクセス権限を削除することができますが、個人のファイルと設定は変更されずに残されます。
デバイス ワイプはデバイスを元の工場出荷状態に復元しますが、Workspace ONE UEM では、企業所有デバイスと従業員所有デバイスの間のグレー領域にあるパブリックおよび購入済み VPP アプリケーションに企業情報ワイプを適用する際の実行範囲を決定できます。企業情報ワイプでは、デバイスは Workspace ONE UEM から加入解除され、MDM を通じて有効にされたすべてのコンテンツも削除されます。削除されるコンテンツには、E メール アカウント、VPN 設定、Wi-Fi プロファイル、セキュア コンテンツ、エンタープライズ アプリケーションが含まれます。
iOS 6 以降を実行するデバイスで Apple Volume Purchase Plan の引き換えコードを使用した場合、そのアプリケーションについて引き換え済みのライセンスを回収することはできません。インストール後、アプリケーションはユーザーの App Store アカウントに関連付けられます。この関連付けは元に戻せません。ただし、iOS 7 以降で使用されたライセンス コードは回収することができます。
-
[デバイス ワイプ] – デバイスをワイプしてすべてのデータとオペレーティング システムを消去する MDM コマンドを送信します。この操作は元に戻せません。
- iOS デバイス ワイプに関する考慮事項
- iOS 11 とそれよりも前のデバイスでは、デバイス ワイプ コマンドによって、デバイスに関連付けられている Apple SIM データもワイプされます。
- iOS 11 以降のデバイスでは、Apple SIM データ プランがデバイス上に存在する場合、それを保存できます。デバイス ワイプ コマンドを送信する前に、[デバイス ワイプ] ページの データ プランの保存 チェック ボックスをオンにしてください。
- iOS 11.3 以降のデバイスでは、デバイス ワイプ コマンドを送信するときに、近接設定 画面をスキップする追加のオプションを使用できます。このオプションを有効にしている場合、セットアップ アシスタントで [近接設定] 画面がスキップされるため、デバイスのユーザーには [近接設定] オプションが表示されません。
- Windows デスクトップ デバイスの場合は、デバイス ワイプのタイプを選択できます。
- ワイプ - デバイスのすべてのコンテンツをワイプします。
- 保護対象のワイプ - このオプションは通常のデバイス ワイプと似ていますが、デバイス エンド ユーザーはこの操作を回避できません。保護対象のワイプ コマンドでは、成功するまでデバイスのリセットが継続的に試行されます。一部のデバイス構成では、このコマンドによってデバイスを起動できなくなる場合があります。
- プロビジョニング データのワイプと保持 - デバイスをワイプしますが、永続的な場所にプロビジョニング データをバックアップするように指示されます。ワイプが実行されると、プロビジョニング データが復元され、デバイスに適用されます。プロビジョニング フォルダが保存されます。フォルダを検索するには、デバイス上で %ProgramData%\Microsoft\Provisioning に移動します。
- iOS デバイス ワイプに関する考慮事項
-
企業情報ワイプ – デバイスの加入を解除し、アプリケーションやプロファイルを含む、すべての管理企業リソースを削除します。この操作は元に戻すことができず、このデバイスを Workspace ONE UEM で再度管理するには、再加入が必要になります。このデバイス操作では、今後の再加入を防止するオプションと、操作に関する情報を追加するための メモ内容 テキスト ボックスが提供されます。
- クラウド ドメイン参加デバイスでは、企業情報ワイプはサポートされていません。
BYOD デバイスのエンタープライズ ワイプを実行する
企業情報ワイプでは、デバイスが Workspace ONE UEM から加入解除され、メール アカウント、VPN 設定、プロファイル、アプリケーションを含むすべての企業コンテンツがデバイスから削除されます。
![このスクリーンショットは、デバイスと [その他のアクション] ボタンが選択され、[企業情報ワイプ] オプションが表示されたデバイス リスト表示を示しています。](Images/images-MDM_Perform_an_Enterprise_Wipe_for_a_BYOD_device.png)
- Workspace ONE UEM console で、該当する組織グループを選択します。
- デバイス > リスト表示 と進み、リストから 1 台以上のデバイスを選択します。
- デバイス詳細表示の右上にある [その他のアクション] ドロップダウンに、実行できる操作のリストが表示されます。企業情報ワイプ を選択します。
- このデバイスが再び加入するのを防ぐには、確認のダイアログ ボックスで 再加入防止 を選択します。
- 必要な場合はセキュリティ暗証番号を入力し、企業情報ワイプ を選択して操作を完了します。
個人所有デバイスの持ち込み (BYOD) デバイスのデバイス ワイプをアクティベーション解除する
セキュリティおよびプライバシーの理由から、個人所有デバイスの持ち込み (BYOD) デバイスでのデバイス ワイプの実行をアクティベーション解除にすることができます。
特定の iOS 所有形態タイプに対してデバイス ワイプをアクティベーション解除する場合、その所有形態タイプで加入するユーザーには、プロファイルのインストール時に 「すべてのコンテンツと設定の消去を許可」 権限は表示されません。
![このスクリーンショットは、個人所有デバイスの持ち込み (BYOD) デバイスでのデバイス ワイプを防止できる [デバイスとユーザー]、[全般] のプライバシー システム設定を示しています。](Images/images-MDM_Deactivate_Device_Wipe_for_BYOD_Devices.png)
- デバイス > デバイス設定 > デバイスとユーザー > 全般 > プライバシー と進みます。
- コマンド セクションまで下方にスクロールし、従業員所有 列を探します。
- デバイス ワイプ オプションを 許可しない に設定し、[保存] を選択します。
