ワイプ保護

Workspace ONE UEM でワイプしきい値を設定すると、過剰なデバイス ワイプと企業情報ワイプを防止して、環境を保護できます。

特権の必要な企業コンテンツをデバイスからリモート ワイプすることは、企業情報ワイプと呼ばれ、デバイスが紛失または盗難にあった場合に検討される手順の 1 つです。ワイプ保護は企業コンテンツが競合他社と接触する脅威から保護します。デバイス ワイプは、デバイスが工場出荷時の状態に戻るまですべてのコンテンツを削除するため、環境を損なう可能性が高くなります。

  • [デバイス ワイプ] – デバイスをワイプしてすべてのデータとオペレーティング システムを消去する MDM コマンドを送信します。この操作は元に戻せません。

    • iOS デバイス ワイプに関する考慮事項
      • iOS 11 とそれよりも前のデバイスでは、デバイス ワイプ コマンドによって、デバイスに関連付けられている Apple SIM データもワイプされます。
      • iOS 11 以降のデバイスでは、Apple SIM データ プランがデバイス上に存在する場合、それを保存できます。デバイス ワイプ コマンドを送信する前に、[デバイス ワイプ] ページの データ プランの保存 チェック ボックスをオンにしてください。
      • iOS 11.3 以降のデバイスでは、デバイス ワイプ コマンドを送信するときに、近接設定 画面をスキップする追加のオプションを使用できます。このオプションを有効にしている場合、セットアップ アシスタントで [近接設定] 画面がスキップされるため、デバイスのユーザーには [近接設定] オプションが表示されません。
    • Windows デスクトップ デバイスの場合は、デバイス ワイプのタイプを選択できます。
      • ワイプ - デバイスのすべてのコンテンツをワイプします。
      • 保護対象のワイプ - このオプションは通常のデバイス ワイプと似ていますが、デバイス エンド ユーザーはこの操作を回避できません。保護対象のワイプ コマンドでは、成功するまでデバイスのリセットが継続的に試行されます。一部のデバイス構成では、このコマンドによってデバイスを起動できなくなる場合があります。
      • プロビジョニング データのワイプと保持 - デバイスをワイプしますが、永続的な場所にプロビジョニング データをバックアップするように指示されます。ワイプが実行されると、プロビジョニング データが復元され、デバイスに適用されます。プロビジョニング フォルダが保存されます。フォルダを検索するには、デバイス上で %ProgramData%\Microsoft\Provisioning に移動します。
  • 企業情報ワイプ – デバイスの加入を解除し、アプリケーションやプロファイルを含む、すべての管理企業リソースを削除します。この操作は元に戻すことができず、このデバイスを Workspace ONE UEM で再度管理するには、再加入が必要になります。このデバイス操作では、今後の再加入を防止するオプションと、操作に関する情報を追加するための メモ内容 テキスト ボックスが提供されます。

    • クラウド ドメイン参加デバイスでは、企業情報ワイプはサポートされていません。

ただし、順守エンジンやその他の自動化された命令など、スケジュールされたプロセスを複数のデバイスにワイプする状況があります。自動化されたワイプと同様に、管理者が誤って開始したワイプでも、不具合が生じる可能性があります。このようなアクションが開始された場合、管理者は通知を受けるようにして、必要に応じて介入する余地が必要です。

ワイプの保護設定を構成して、一定の時間内にワイプできるデバイスの最小台数のしきい値を定義できます。たとえば、20 分以内に 10 台を超えるデバイスがワイプされる場合、管理者がワイプ コマンドを確認するまで、その後のワイプを自動的に保留にすることができます。

管理者は、ワイプ ログから、デバイスがいつどのような理由でワイプされたか確認することができます。情報を確認した後、保留状態にあるワイプ コマンドを承認あるいは拒否し、システムを解除してデバイスしきい値のカウンターをリセットします。

管理対象デバイスに対するワイプ保護設定を構成する

管理デバイスのワイプのしきい値を設定すると、しきい値に達したときに管理者に Eメールで通知が届きます。この設定は、グローバル レベルまたはカスタマー レベルの組織グループにおいてのみ構成が可能です。

  1. デバイス > ライフサイクル > 設定 > 管理デバイスのワイプ保護 と進みます。

    このスクリーンショットは、ワイプ保護を設定できるデバイスのワイプ保護の管理を示しています。

  2. 以下を構成します。

    設定 説明
    ワイプされたデバイス数 ワイプされたデバイス の台数を入力します。この値がデバイス ワイプ保護機能をトリガするしきい値になります。
    以内 (分) ここで設定する時間内にしきい値以上の回数ワイプが発生すると、ワイプ保護がトリガされます。値を [所要時間 (分単位)] で入力します。
    E メール 管理者に送信する Eメールのメッセージ テンプレートを選択します。

    [グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [メッセージ テンプレート] の順に進んでワイプ保護のメッセージ テンプレートを作成し、[追加]、[次へ] を選択して、[カテゴリ] [デバイスのライフサイクル][タイプ][ワイプ保護通知] を選択します。メッセージ テンプレートの一部として、以下の参照値を使用することができます。
    - {EnterpriseWipeInterval} – 設定画面の [以内(分)] の値
    - {WipeLogConsolePage} – ワイプ ログ画面へのリンク
    宛先 通知する必要にある管理者のメール アドレスを入力します。これらの管理者には、[ワイプ ログ] 画面へのアクセス権が必要です。

    詳細は、「参照値」を参照してください。

  3. [保存] を選択します。

ワイプ ログを閲覧する

ワイプ ログ 画面でデバイスがいつどのような理由でワイプされたか確認することができます。情報を確認した後、保留状態にあるワイプ コマンドを承認あるいは拒否し、システムを解除してデバイスしきい値のカウンターをリセットします。

システムがロックされた場合、画面の一番上にその旨を表示するバナーが現れます。

このスクリーンショットは、過去のすべてのワイプ アクティビティを確認できるデバイスのワイプ ログ、ライフサイクルを示しています。

  1. [デバイス] > [ライフサイクル] > [ワイプ ログ] の順に進みます。

    この画面へのアクセスは デバイス ワイプ ログ レポート リソースで管理され、既定設定ではシステム管理者、SaaS 管理者、および Workspace ONE UEM 管理者が利用できるようになっています。管理者ロールを作成 画面を使用し、任意のカスタム管理者ロールにこのリソースを追加することができます。

  2. ワイプ ログに以下のような フィルタ この青いフィルタ ボタンは漏斗の形をしていますを適用します。

    • 日付/時刻
    • ワイプのタイプ
    • 状態
    • ソース
    • 所有形態
  3. デバイスのリストを閲覧し、表示されるデバイスのワイプが妥当であるかどうかを確認します。

    アクションが保留中のデバイスの状態は、「保留中」 と表示されます。限界値に到達する前にワイプされたデバイスは、[処理済み] と表示されます。

    1. ワイプが妥当である場合、各デバイスを選択し、コマンド リストから ワイプを承認する を選択します。状態は 「承認済み」 に変わります。
    2. ワイプが妥当でない場合、各デバイスを選択し、コマンド リストから ワイプを却下する を選択します。状態は 「却下」 に変わります。
  4. デバイスしきい値のカウンターをリセットし、システムをロック解除する を選択してワイプ コマンドの通過を許可します。

    しきい値が再び制限を超過するまでシステムで自動化されたワイプ コマンドが許可されます。この操作は、グローバル レベルまたはカスタマー レベルの組織グループにおいてのみ実行可能です。

check-circle-line exclamation-circle-line close-line
Scroll to top icon