Workspace ONE UEM では、Windows 10 デバイス加入のためのさまざまな方法をサポートしています。ここでは、Workspace ONE UEM 展開、エンタープライズ統合、およびデバイスのオペレーティング システムに基づいてニーズに対応する加入ワークフローについて説明します。

加入の基本

デバイスの加入の前に、加入要件をすべて満たす必要があります。

Workspace ONE UEM 環境で Windows 自動検出サービス (WADS) を設定することで、エンド ユーザーの加入処理を簡素化できます。WADS は、オンプレミス ソリューションおよびクラウドベースの WADS をサポートします。

この加入方法では、Windows オペレーティング システムのネイティブの MDM 機能、Workspace ONE Intelligent Hub for Windows、または Azure AD 統合のいずれかを使用します。

SCCM の管理下にある Windows デバイスを Workspace ONE UEM を使用して管理するには、VMware AirWatch SCCM Integration Client をダウンロードする必要があります。SCCM の管理下にあるデバイスを Workspace ONE UEM に加入させるには、このクライアントを使用します。

  • Windows 加入のための Workspace ONE Intelligent Hub

    最もシンプルな加入ワークフローでは、Workspace ONE Intelligent Hub for Windows を使用して、デバイスを加入させます。エンド ユーザーは、awagent.com から Workspace ONE Intelligent Hub をダウンロードして、プロンプトに従って加入するだけです。

    Windows 加入ワークフローには、Workspace ONE Intelligent Hub を使用することを検討してください。Workspace ONE UEM では、個別のユース ケースに合わせたその他の加入フローもサポートされています。

  • Azure AD 統合による加入

    Microsoft Azure Active Directory を統合することで、Windows デバイスはエンド ユーザー側の対応を最小限に抑えて、Workspace ONE UEM に自動的に加入します。Azure AD 統合による加入は、エンド ユーザーにとっても管理者にとっても、よりシンプルなプロセスです。Azure AD 統合経由の加入には、三種類の異なる加入フローがあります。Azure AD に参加する、OOBE (Out-Of-Box Experience) 加入、Office 365 加入です。どの方法でも、Azure AD と Workspace ONE UEM との統合を構成する必要があります。

    Azure AD 統合を使用してデバイスが加入できるようにするには、事前に Workspace ONE UEM と Azure AD を構成します。

  • ネイティブ MDM による加入

    Workspace ONE UEM は、ネイティブ MDM による加入ワークフローを使用した Windows デスクトップ デバイスの加入をサポートしています。ネイティブ MDM ソリューションの名称は、Windows のバージョンによって異なります。この加入のフローは、Windows のバージョンおよび WADS を使用するかどうかによって異なります。

    Workspace ONE UEM にデバイスを加入させ、MDM を有効にするには、デバイスのローカル管理者権限が必要です。

  • デバイス代理セットアップ

    エンド ユーザーに配布する前に Windows 10 デバイスでデバイス管理を更新したい場合は、Windows デスクトップのデバイス代理セットアップを使用することを検討してください。この加入ワークフローでは、Workspace ONE Intelligent Hub を使用してデバイスの加入を行い、デバイス レベルのプロファイルをインストールしてから、そのデバイスをエンド ユーザーに配布することができます。デバイス代理セットアップには、手動インストールと、コマンドラインでのインストールの 2 つの方法があります。手動インストールでは、デバイスが Azure AD 統合のドメインに参加している必要があります。コマンドラインでのインストールは、すべての Windows 10 デバイスに使用できます。

  • Windows デスクトップの自動加入

    Dell から購入した特定の Windows デスクトップ デバイスを Workspace ONE UEM に自動加入させることができます。自動加入機能を利用した場合、OOBE (Out-of-Box-Experience) 後に登録済みデバイスを自動加入させることができるので、加入プロセスが簡素化されます。

    Windows 10 Provisioning Service by VMware AirWatch は、正しい Windows 10 イメージがインストールされている一部の Dell Enterprise デバイスにのみ適用されます。自動加入機能は、Dell からデバイスを購入する際に併せて購入する必要があります。

  • 一括プロビジョニングと加入

    一括プロビジョニングは事前構成済みのパッケージを作成し、Windows 10 デバイスを代理セットアップして Workspace ONE UEM に加入させます。一括プロビジョニングを使用するには、Microsoft アセスメント・デプロイメント キット (Assessment and Deployment Kit) をダウンロードし、Windows イメージングおよび構成デザイナー (ICD) ツールをインストールする必要があります。このツールは、デバイスのイメージングに使用するプロビジョニング パッケージを作成します。

    一括プロビジョニングのワークフローでは、Workspace ONE UEM 設定をプロビジョニング パッケージに含めることで、最初の OOBE (Out-Of-Box Experience) 中に、プロビジョニング対象のデバイスの加入が自動的に行われます。

  • 登録モード - デバイス管理なしで加入

    デバイス管理サービスを使用せずに一部の Windows デバイスを Workspace ONE UEM に加入できるようにするために、登録モードを有効にすることができます。このモードを、組織グループ全体に割り当てるか、スマート グループを使用して割り当てます。

Windows 10 加入のための Workspace ONE Intelligent Hub

Workspace ONE Intelligent Hub には加入に使用できる単一のリソースが用意されており、デバイスと Workspace ONE UEM console の間の通信をスムーズにします。Workspace ONE Intelligent Hub を使用して Windows 10 デバイスを加入させます。Workspace ONE Intelligent Hub はエンド ユーザーの操作を簡素化するので、加入を短時間で行うことができます。

Windows デスクトップ デバイスを加入させる際は、最もシンプルな加入フローをユーザーに提供する Workspace ONE Intelligent Hub for Windows の使用をご検討ください。Workspace ONE を構成している場合、https://getwsone.com/ から Workspace ONE Intelligent Hub をダウンロードすると、Workspace ONE アプリもダウンロードされます。Workspace ONE Intelligent Hub を使用して加入が完了すると、Workspace ONE UEM 展開に基づいて、Workspace ONE アプリが自動的に起動し、構成が行われます。

Workspace ONE Intelligent Hub を使用することで、貴社の Windows デスクトップ デバイスに、ロケーション サービスなどの機能を追加することができます。

さらに、Windows 自動検出を使用することで、エンド ユーザーの加入プロセスを簡素化することができます。Windows 自動検出により、エンド ユーザーが Eメール アドレスを入力するだけで、加入資格情報が自動で入力されます。

AirWatch Cloud Messaging (AWCM) を使用すると、ポリシーとコマンドを Workspace ONE Intelligent Hub にリアルタイムで配信できます。AWCM を使用しない場合、Workspace ONE Intelligent Hub は、Workspace ONE UEM console で設定した標準のチェックイン間隔でしかポリシーとコマンドの配信を受信しません。Windows デスクトップ デバイスにポリシーおよびコマンドをリアルタイムで配信するのに AWCM を使用することを検討してください。

VMware Workspace ONE Intelligent Hub を使用した加入手順

  1. Windows デスクトップ デバイスから https://getwsone.com に移動します。
  2. Workspace ONE Intelligent Hub をインストールします。インストールが完了したら、Workspace ONE Intelligent Hub を起動します。
  3. Eメール アドレスを入力し、次へ をクリックします。
  4. Windows 自動検出を使用していない場合は、以下の設定を入力します。
    1. サーバ URL を入力し、次へ をクリックします。
    2. グループ ID を入力し、次へ を選択します。
    3. ユーザー名パスワード を入力します。
  5. 利用規約に 同意 します。
  6. 完了 をクリックします。
  7. Workspace ONE Intelligent Hub を開き、加入を完了します。

Windows デスクトップのネイティブ MDM 加入

Windows デスクトップのすべての加入方式で、職場のアクセスのネイティブ MDM クライアントが使用されます。ネイティブ MDM 加入を使用することで、企業所有デバイスと BYOD デバイスの双方を同じ加入フローを通して加入することができます。加入は、Windows 自動検出を使用しても、使用しなくても可能です。

「職場のアクセス」 は、接続 を選択したとき、まず Office 365 または Azure AD に接続しているドメイン向けに Azure AD ワークフローを処理し、加入フローを自動的に完了しません。貴社が、Premium ライセンス以外の Office 365 または Azure AD を使用している場合は、Windows 10 デバイスの加入には、ネイティブ MDM 加入ではなく Workspace ONE Intelligent Hub を使用することを検討してください。ネイティブ MDM 加入で加入フローを完了するには、接続 を 2 回選択してください。Azure AD Premium ライセンスをご利用の場合は、貴社の Azure インスタンスで 管理を必須にする を有効にし、ネイティブ MDM 加入を Azure ワークフロー後に完了させることができます。Office 365 あるいは Azure AD を使用していない場合は、ネイティブ MDM 加入フローを問題なくご利用になれます。

Workspace ONE UEM にデバイスを加入し、MDM を有効にするには、デバイスのローカル管理者権限が必要です。ドメイン管理者権限ではデバイスの加入を行うことはできません。標準ユーザーアカウントをもつデバイスを加入するには、Windows 10 デバイス用の一括プロビジョニングを行う必要があります。

Windows 自動検出サービスを活用することで、加入の際のユーザー側の作業を減らして貴社エンド ユーザーの加入プロセスを簡易化することができます。Windows 自動検出サービスを使用するには、「VMware AirWatch Windows Auto-Discovery Service Installation Guide」 の手順に従ってください。

ドメインに参加しているデバイスは、ネイティブ 「ワークプレース」 を使用して加入を行うこともできます。設定で入力した Eメール アドレスは、Active Directory の UPN 属性を使用して自動入力されます。別の Eメール アドレスを使用したい場合は、エンド ユーザーは、オプションの更新をダウンロードする必要があります。

Windows 自動検出を使用して職場のアクセス経由で加入する

職場のアクセスは、Windows 10 デバイスのネイティブ MDM 加入方法です。職場のアクセス経由で加入を行い、Windows 自動検出を使用することで、エンド ユーザーの加入プロセスを簡素化することができます。

前提条件

貴社のドメインを Workspace ONE UEM に登録することで、加入の際にグループ ID の入力が不要になります。

**注:**Windows 10 デバイスを加入させる際、ネイティブ MDM 加入フローではなく、Workspace ONE Intelligent Hub for Windows を使用することを検討してください。同じドメイン上で Office 365 または Azure AD を利用している場合、ネイティブ MDM 加入フローを使用すると、デバイスが MDM に登録されません。

手順

  1. デバイスから [ [設定] > ] > [] > [アカウント] > ] > [] > [職場のアクセス] ] の順に進み、[、[デバイス管理に加入] ] を選択します。職場のアクセス
  2. [E メール] 欄に、管理者がエンド ユーザーに提供したユーザー名と環境のドメインを、Username@domain.com のフォーマットで入力します(例:jdoe1@acme.com)。続行 を選択します。
  3. グループ ID を入力し、次へ をクリックします。
  4. ユーザー名パスワード を入力し、次へ をクリックします。これはディレクトリ サービスの資格情報である場合も、貴社の Workspace ONE UEM 環境に固有の資格情報である場合もあります。
  5. オプション:エンド ユーザー ライセンス同意書を確認し、同意する をクリックします。
  6. オプション:サインイン情報を保存するには はい を選択します。

結果

すると、デバイスは Workspace ONE UEM への接続を試行します。接続されると、横に Workspace ONE UEM と書かれたブリーフケース アイコンが表示されます。このアイコンは、Workspace ONE UEM への接続が成功したことを示します。

接続が成功したことを示すブリーフケース アイコン

Windows 自動検出を使用せずに職場のアクセス経由で加入する

職場のアクセスは、Windows 10 デバイスのネイティブ MDM 加入方法です。WADS を使用せずに職場のアクセス経由で加入を行う場合は、エンド ユーザーの資格情報を手動で入力する必要があります。

Windows 10 デバイスを加入させる際、ネイティブ MDM 加入フローではなく、Workspace ONE Intelligent Hub for Windows を使用することを検討してください。同じドメイン上で Office 365 または Azure AD を利用している場合、ネイティブ MDM 加入フローを使用すると、デバイスが MDM に登録されません。

手順

  1. デバイスから [ [設定] > ] > [] > [アカウント] > ] > [] > [職場のアクセス] ] の順に進み、[、[デバイス管理に加入] ] を選択します。職場のアクセス
  2. [E メール] 欄に、管理者がエンド ユーザーに提供したユーザー名と環境のドメインを、Username@domain.com のフォーマットで入力します(例:jdoe1@acme.com)。
  3. 以下のように サーバーアドレスを入力 します。<DeviceServicesURL>/DeviceServices/Discovery.aws。URL には 「https://」 は付けません。ds156.awmdm.com/deviceservices/discovery.aws
  4. 続行 を選択します。
  5. グループ ID を入力し、次へ をクリックします。
  6. ユーザー名パスワード を入力し、次へ をクリックします。これはディレクトリ サービスの資格情報である場合も、貴社の Workspace ONE UEM 環境に固有の資格情報である場合もあります。
  7. オプション:利用規約を確認し、同意する をクリックします。このステップはオプションです。利用規約が有効に設定されている場合のみ表示されます。
  8. オプション:サインイン情報を保存するには はい を選択します。

結果

すると、デバイスは Workspace ONE UEM への接続を試行します。接続されると、横に Workspace ONE UEM と書かれたブリーフケース アイコンが表示されます。このアイコンは、Workspace ONE UEM への接続が成功したことを示します。

接続が成功したことを示すブリーフケース アイコン

Windows 10 デバイスの代理セットアップによる加入

デバイスの代理セットアップを使用すると、デバイスをエンド ユーザーに送付する前に、Workspace ONE UEM によるデバイス管理用に Windows 10 デバイスを構成できます。Workspace ONE Intelligent Hub でエンド ユーザーに代わってデバイスを加入および構成する方法について説明します。

デバイス代理加入機能を利用すると、Windows 10 デバイスを Workspace ONE UEM に加入させることができます。この加入では Workspace ONE Intelligent Hub の起動が必要です。デバイスを加入させた後、割り当てられているデバイス レベルのプロファイルがデバイスにダウンロードされます。デバイスの加入処理と構成処理が完了したら、デバイスをエンド ユーザーに配布できます。エンド ユーザーがデバイスにサインインすると、Workspace ONE Intelligent Hub によって、Workspace ONE UEM console 内のデバイス記録が更新されます。Workspace ONE UEM によってデバイスがエンド ユーザーに割り当てられ、ユーザー レベルのプロファイルがデバイスにプッシュされます。

代理加入には次の 2 つの方法があります。

  • 手動インストール – Workspace ONE Intelligent Hub をダウンロードしてインストールし、加入資格情報を入力します。この方法を使用する場合、加入処理の前にデバイスがドメインに参加している必要があります。
  • コマンド ライン インストール – Workspace ONE Intelligent Hub をダウンロードしてインストールし、コマンド ラインを使用してデバイスを加入させます。

加入処理を完了させるには、ユーザーがドメイン参加デバイスに加入したときに UEM console のデバイス レジストリを更新するか、または加入ユーザー名を登録済みシリアル番号のリストと照合します。

デバイス シリアル番号を一括インポートする

デバイス代理セットアップで使用するデバイス シリアル番号をインポートすれば、デバイスを Workspace ONE UEM コンソールに素早く追加できます。一括インポートするには、インポートするすべてのシリアル番号が記述された .csv ファイルが必要です。

手順

  1. [アカウント] > [ユーザー] > [リスト表示] または [デバイス] > [ライフサイクル] > [加入状態] の順に進みます。
  2. 追加 を選択し、バッチ インポート を選択して、バッチ インポート 画面を表示します。
  3. 必須オプションの値を指定します(バッチ名バッチの説明、および バッチ タイプ)。
  4. [バッチ ファイル (.csv)] オプション内には、ユーザーとそのデバイスを一括でロードするための、タスクベースのテンプレートのリストが示されます。
  5. 適切なダウンロード テンプレートを選択し、アクセス可能な場所にコンマ区切り値 (CSV) ファイルを保存します。
  6. .csv ファイルを保存した場所から Excel でファイルを開き、各デバイスに関してインポートするすべての関連情報をテンプレートに入力します。各テンプレートには、各カラムに記入する内容 (とその形式) がわかりやすいよう、入力例が自動入力されています。アスタリスク (*) で表される CSV ファイル内のフィールドは必須です。
  7. テンプレートの入力完了後、.csv ファイルとして保存します。UEM コンソールに戻り、バッチ インポート 画面の ファイルを選択 ボタンを選択し、作成して保存した .csv ファイルへのパスをたどり、そのファイルを選択します。
  8. 保存 をクリックして、リスト上のすべてのユーザーと対応するデバイスの登録を完了します。

Carbon Black と Workspace ONE Intelligent Hub for Windows

Windows 10 デバイスでのエンドポイント保護に Carbon Black を使用しますか。Carbon Black は、Workspace ONE Intelligent Hub for Windows のインストール時に Windows 10 デバイスにインストールできます。

このコマンド ラインの代理セットアップ プロセスを使用して、Windows 10 デバイスを加入させます。Carbon Black 固有のサイレント加入パラメータと、Carbon Black で生成したそれぞれの URL の値を入力します。生成された URL を入力すると、Carbon Black センサー キットの URL とインストール用の Carbon Black センサー構成ファイルが Workspace ONE Intelligent Hub によって取得されます。

Carbon Black と Workspace ONE Intelligent Hub をインストールしたら、Carbon Black パブリック アプリケーションを Workspace ONE UEM console にアップロードし、アプリケーションを Windows 10 デバイスに公開します。

Carbon Black センサー キットと Carbon Black センサー構成ファイルに必要な URL を生成する方法の詳細については、Carbon Black Cloud User Guide の内容を参照してください。VMware Carbon Black Cloud にログインして、[ヘルプ] > [ユーザー ガイド] の順に選択します。検索バーに workspace one と入力し、Enter キーを押します。

コマンド ラインの代理セットアップを使用した加入

エンド ユーザー加入処理を簡素化するため、Windows のコマンド ラインを使用して Windows デスクトップ デバイスを代理セットアップします。Workspace ONE UEM 用のこの加入方法では、デバイスを加入させ、次に、入力されたユーザー資格情報に基づいてデバイス レベルのプロファイルをダウンロードします。

**重要:**AirWatchAgent.msi ファイルの名前を変更しないでください。変更した場合、代理セットアップ コマンドが機能しなくなります。また、コマンドラインの代理セットアップを使用する場合は、シリアル番号の一括インポートを使用しないでください。

**注:**この製品を使用して、Workspace ONE Intelligent Hub for Windows を BYOD デバイスにサイレント インストールしないでください。BYOD デバイスにサイレント インストールすると、デバイスのエンド ユーザーに、サイレント インストールおよびサイレント インストールされたアプリケーションから収集されたデータの使用について必要な通知を送ることを、自身の単独の責任で行う必要があります。お客様は、法的に必要な同意をデバイスのエンド ユーザーから得て、すべての適用法令を順守する責任があります。

手順

  1. https://getwsone.com/ に移動して Workspace ONE Intelligent Hub for Windows をダウンロードします。

    Workspace ONE Intelligent Hub のみをダウンロードします。実行可能ファイルを起動したり、実行 を選択したりしないでください。これらの操作を行うと、標準の加入プロセスが開始してしまい、加入プロセスを自動実行するという目的を果たせなくなります。必要があれば、Workspace ONE Intelligent Hub をダウンロード フォルダからローカル フォルダまたはネットワーク ドライブ上のフォルダに移動します。

  2. コマンド ライン ウィンドウを開くかまたは .bat ファイルを作成し、必要なすべてのパス、パラメータ、および値を入力します。

  3. コマンドを実行します。

結果

コマンドが実行されると、デバイスは Workspace ONE UEM に加入します。デバイスがドメインに参加している場合、Workspace ONE Intelligent Hub によって、Workspace ONE UEM console のデバイス レジストリが正しいユーザーで更新されます。

手動デバイス代理セットアップを使用して加入させる

エンド ユーザー加入処理を簡素化するため、Workspace ONE Intelligent Hub を使用して、Windows 10 デバイスを代理セットアップします。この加入方法では、デバイスを加入させ、デバイス レベルのプロファイルをダウンロードします。これによりエンド ユーザーは、デバイスにログインするだけでデバイスを使い始めることができます。

前提条件

これらのデバイスは、ドメインに参加する必要があります。

  1. www.awagent.com に移動して、Workspace ONE Intelligent Hub インストーラをダウンロードします。
  2. ダウンロードが完了したら、インストーラを起動します。
  3. 実行 を選択し、インストールを開始します。
  4. AirWatch 自動検出機能を有効にしている場合は、Eメール を選択します。無効にしている場合は、Server Detail を選択します。
  5. 選択した認証タイプに基づいて、必要な設定を指定します。
    1. Eメール アドレスを入力し、サーバ詳細画面のフィールド値を自動入力します。次へ を選択し、詳細情報を入力します。
    2. AirWatch 自動検出機能を利用していない場合、サーバ名とグループ ID を入力します。次へ を選択します。
  6. 代理セットアップ用の ユーザー名 および パスワード を入力し、次へ を選択します。
  7. 任意指定画面のフィールド値を指定します。
  8. 完了 を選択し、加入プロセスを完了させます。

結果

Workspace ONE Intelligent Hub が代理セットアップ ユーザーを検出すると、Workspace ONE Intelligent Hub リスナーが実行され、次の Windows ログインを待機します。エンド ユーザーがデバイスにログインすると、Workspace ONE Intelligent Hub リスナーが、デバイス レジストリからユーザーの UPN と E メール アドレスを読み取ります。これらの情報は Workspace ONE UEM console に送信されます。また、デバイス レジストリが更新され、デバイスがユーザーに対して登録されます。

サイレント加入のパラメータと値

Workspace ONE Intelligent Hub を Windows 10 デバイスにダウンロードしインストールする方法を制御するために、サイレント加入ではコマンドラインへの入力または BAT ファイルが必要です。

**注:**この製品を使用して、Workspace ONE Intelligent Hub for Windows を BYOD デバイスにサイレント インストールしないでください。BYOD デバイスにサイレント インストールすると、デバイスのエンド ユーザーには、サイレント インストールおよびサイレント インストールされたアプリから収集されたデータの使用について必要な通知のみが送信されます。お客様は、法的に必要な同意をデバイスのエンド ユーザーから得て、すべての適用法令を順守する責任があります。

以下の表は、コマンド ラインまたは BAT ファイルに入力できる、加入パラメータと各パラメータの値の一覧です。他のユーザーの代理で加入 (EOBO) する場合は、EOBO パラメータを使用していることを確認してください。

一般パラメータ

加入パラメータ パラメータに追加する値
すべての MSI パラメータ これらのパラメータは、アプリのインストール動作を制御します。

/quiet - C ompletely silent
/q - インストールの UI のレベルを制御
passive - ユーザーがアプリケーションをガイドするための最低限の制御
/L - ログ レベルとログ パス詳細については、https://docs.microsoft.com/en-us/windows/win32/msi/command-line-options を参照してください。
ASSIGNTOLOGGEDINUSER [Y] を選択して、ログインしているドメイン ユーザーにデバイスを割り当てます。コマンドラインの最後の引数として、このパラメータを入力します。
DEVICEOWNERSHIPTYPE^ 企業専用の場合は [CD] を選択します。
企業共有の場合、[CS] を選択します。
従業員所有の場合、[EO] を選択します。
なしの場合は [N] を選択します。
DOWNLOADSBUNDLE このパラメータは、加入中の Workspace ONE アプリケーションのダウンロードを制御します。Workspace ONE Intelligent Hub のインストール時に Workspace ONE アプリ インストーラをダウンロードするには、TRUE を選択します。Workspace ONE Intelligent Hub を使用してデバイスを加入する場合、Workspace ONE のインストールは選択できません。

DOWNLOADSBUNDLE を TRUE に設定していない場合、使用されるユーザー インタフェース レベルにかかわらず、Workspace ONE アプリ インストーラはダウンロードされません。
ENROLL [Y] を選択して加入します。
イメージのみの場合は [N] を選択します。

このパラメータが [Y] に設定されている場合にのみ、エージェントがサイレント モードでの加入を試行します。
イメージ このフラグが付いているとすべてにおいて優先されます。このフラグを Y に設定した場合、エージェントがイメージ モードになります。

イメージ場合は [Y] を選択します。
加入場合は [N] を選択します。
INSTALLDIR^ インストール パスを変更する場合は、そのディレクトリ パスを入力します。

:このパラメータが存在しない場合、Workspace ONE Intelligent Hub で以下のデフォルトのパスを使用します。C:\Program Files (x86)\AirWatch
LGName 組織グループ名を入力します。
PASSWORD 加入するユーザーのパスワードか、ユーザーに代わってデバイスを代理セットアップする場合は代理セットアップ ユーザーのパスワードを入力します。
SERVER 加入 URL を入力します。
USERNAME 加入するユーザーのユーザー名か、ユーザーに代わってデバイスを代理セットアップする場合は代理セットアップ ユーザー名を入力します。

キャレット (^) で表される項目はオプションです。

EOBO パラメータ

加入パラメータ パラメータに追加する値
SECURITYTYPE EOBO ワークフローのみ:このパラメータは、加入プロセス中にユーザー アカウントが Workspace ONE UEM console に追加された場合に使用します。

ディレクトリの場合は [D] を選択します。

ベーシック ユーザーの場合は [B] を選択します。
STAGEEMAIL^ EOBO ワークフローのみ:加入させるユーザーの E メール アドレスを入力します。
STAGEEMAILUSRNAME^ EOBO ワークフローのみ:加入させるユーザーの E メール ユーザー名を入力します。
STAGEPASSWORD EOBO ワークフローのみ:加入させるユーザーのパスワードを入力します。
STAGEUSERNAME EOBO ワークフローのみ:加入ユーザーのユーザー名を入力します。

キャレット (^) で表される項目はオプションです。

Carbon Black のパラメータ

加入パラメータ パラメータに追加する値
CBSENSORCONFIGURATION l ^ このパラメータを使用すると、Carbon Black 構成ファイルの URL が Workspace ONE Intelligent Hub for Windows によって取得されます。

Carbon Black で生成したセンサー構成ファイルの URL を入力します。
CBSENSORURL ^ このパラメータを使用すると、該当する Carbon Black センサー キットの URL が Workspace ONE Intelligent Hub for Windows によって取得されます。

Carbon Black で生成したセンサー キットの URL を入力します。

キャレット (^) で表される項目はオプションです。

サイレント加入の例

コマンド ラインに入力するか BAT ファイルを作成するために使用できる、加入パラメータや値のさまざまな使用例を示します。これらの例のいずれかを使用すると、Windows 10 デバイスはサイレントに加入され、ユーザーが承認ボタンを選択するプロンプトは表示されません。

  • 加入せず、イメージだけの Agent インストール

    加入せず、Workspace ONE Intelligent Hub をイメージのみインストールする例を次に示します。イメージのみの場合に必要な最低限のパラメータを使用します。

    AirwatchAgent.msi /quiet ENROLL=N IMAGE=Y
    
  • 基本的なユーザーの加入

    基本的な加入に必要な最低限のパラメータを使用する例を次に示します。

    AirwatchAgent.msi /quiet ENROLL=YIMAGE=n SERVER=companyURL.com LGName=locationgroupid USERNAME=TestUsr PASSWORD=test
    
  • 別の場所にインストールした Workspace ONE Intelligent Hub

    別の場所にある AirwatchAgent.msi の例を次に示します。

    C:AirwatchAgent.msi /quiet ENROLL=Y IMAGE=n SERVER=companyURL.com LGName=locationgroupid USERNAME=TestUsr PASSWORD=test
    
  • ネットワーク ドライブ上の Workspace ONE Intelligent Hub とインストール ディレクトリ

    インストール ディレクトリ パラメータで Workspace ONE Intelligent Hub をネットワーク ドライブ上に指定する例を次に示します。

    **重要:**パラメータ内にスペースがある場合、INSTALLDIR パラメータには引用符を追加してください。

    Q:AirwatchAgent.msi /quiet INSTALLDIR="E:Install Win32" ENROLL=Y IMAGE=n SERVER=companyURL.com LGName=locationgroupid USERNAME=TestUsr PASSWORD=test
    
  • 利用可能なパラメータと値

    利用可能なパラメータと値のほとんどを使用する構文の例を次のスニペットに示します。

    msiexec.exe /I “<Path>AirwatchAgent.msi” /quiet ENROLL=<Y/N>IMAGE=<Y/N>SERVER=<CompanyURL>LGNAME=<Location Group ID>USERNAME=<Staging Username>PASSWORD=<Staging Username Password>STAGEUSERNAME=<Enrolling Username>SECURITYTYPE=<D/B>STAGEEMAILUSRNAME=<User Enrolling>STAGEPASSWORD=<Password for User Enrolling>STAGEEMAIL=<Email Address for User Enrolling>DEVICEOWNERSHIPTYPE<CD/CS/EO/N>ASSIGNTOLOGGEDINUSER=<Y/N>
    

Dell Windows 10 デバイス用 VMware AirWatch による Windows 10 プロビジョニング サービス

Dell から購入した工場出荷時の Windows 10 デバイスを Workspace ONE UEM に自動加入させることができます。自動加入機能を利用した場合、OOBE (Out-of-Box-Experience) 後に登録済みデバイスを自動加入させることができるので、加入プロセスが簡素化されます。ここでは、その方法について説明します。

プロセスの仕組み

Windows 10 Provisioning Service by VMware AirWatch は、正しい Windows 10 イメージがインストールされている一部の Dell デバイスにのみ適用されます。自動加入機能は、Dell からデバイスを購入する際に併せて購入する必要があります。VMware AirWatch による Windows 10 プロビジョニング サービスでは、Windows 10 Pro、Enterprise、クラウド プロビジョニング用 Education SKU のみをサポートしています。

Windows 10 Provisioning Service by VMware AirWatch は、OOBE 後に、登録済みデバイスをユーザーと照合し、デバイスを自動加入させます。エンドユーザーがデバイスにサインインすると、デバイス上のプロビジョニング エージェントが、そのデバイスとユーザーに割り当てられたプロファイルとアプリを受信します。この機能のしくみは、Apple デバイス登録プログラムに似ています。

貴社が Dell デバイスを購入すると、Dell はそのデバイスの詳細情報を Workspace ONE UEM に提供します。自動加入機能を利用するには、Dell から購入したすべてのデバイスのシリアル番号を登録する必要があります。Workspace ONE UEM は、貴社が登録したシリアル番号を、Dell から提供されたシリアル番号と照合します。シリアル番号は、AirWatch 自動検出機能と組み合わせて使用されます。

管理者は、デバイスをエンドユーザーに渡す前に、デバイスをユーザー アカウントに対して登録する必要があります。

Workspace ONE Access には、外部アクセス トークンによる認証方法を構成することを検討してください。外部アクセス トークンによる認証では、Workspace ONE UEM を自動的に開いてデバイスにアプリを配布することができます。この機能を有効にすると、ユーザーが Workspace ONE UEM によって自動的に認証されるほか、初回起動時には、アプリケーションおよびポリシーのインストールの進行状況がユーザーに対して表示されます。

**重要:**VMware AirWatch により Windows 10 Provisioning Service を使用して加入したデバイスに対して、工場出荷状態リセット中に自動的に再加入が実行されることはありません。Windows 10 Provisioning Service by VMware AirWatch は、初回の加入のみ有効です。

Windows 10 のプロビジョニングを構成する

Dell の Windows デスクトップ デバイスを自動加入させるよう、Windows 10 Provisioning Service by VMware AirWatch を構成します。OOBE プロセスの中で、自動加入機能によって登録済みデバイスのシリアル番号が、Dell から提供されたシリアル番号リストと照合され、デバイスが加入します。

前提条件

Dell からデバイスを購入する際に、Windows 10 Provisioning Service by VMware AirWatch を一緒に購入します。

  1. グループと設定 > すべての設定 > デバイスとユーザー > Windows > Windows デスクトップ > 自動加入 と進みます。

  2. 自動加入に関する次の設定を構成します。

    設定 説明
    自動加入 Windows 10 Provisioning Service by VMware AirWatch を使用する場合、有効化 を選択します。
    同期の間隔 Workspace ONE Intelligent Hub と Workspace ONE UEM console との間の同期を試行する間隔の時間を選択します。
    ログイン前にポリシーを適用 有効化 を選択して、ユーザーがデバイスにログインする前にデバイス ポリシーを適用します。
    ログインまでの最長時間 OOBE が完了してからユーザーがログインするまでの猶予時間を選択します (単位: 分)。
  3. [保存] を選択します。

  4. Workspace ONE UEM にデバイスのシリアル番号を登録します。オンプレミス環境のお客様は、この手順が必要です。この手順は、SaaS 環境のお客様向けです。次の手順を実行していない場合、デバイス登録レコードが存在することを確認します。デバイスを登録するためのワークフローは 3 種類あります。

    1. アカウント > ユーザー > 追加 > ユーザーを追加 と進み、ユーザー アカウントを追加します。ユーザーを追加したら、保存してデバイスを追加 を選択します。次に、「デバイスを追加」 の設定情報を指定します。プラットフォームWindows デスクトップ を指定する必要があります。
    2. アカウント > ユーザー > 追加 > バッチ インポート と進みます。ユーザーまたはデバイス(あるいはその両方)に対する CSV テンプレートをダウンロードし、値を入力します。CSV テンプレートをアップロードし、インポート を選択します。テンプレートの値を入力する際、デバイス プラットフォームWindows デスクトップ と入力する必要があります。プラットフォームWindows デスクトップ を指定する必要があります。
    3. [デバイス] > [ライフサイクル] > [加入状態] > [追加] > [デバイスを登録する] の順に進みます。プラットフォームWindows デスクトップ を指定する必要があります。

Workspace ONE UEM と Azure AD との統合

Microsoft Azure Active Directory との統合により、エンド ユーザーの操作を最小限に抑えながら、Windows 10 デバイスを Workspace ONE UEM に自動的に加入させることができます。Azure AD 統合により Windows 10 デバイスの加入を簡素化する方法について説明します。

Azure AD 統合を使用してデバイスが加入できるようにするには、事前に Workspace ONE UEM と Azure AD を構成します。この構成を行うためには、貴社の Azure AD 展開と Workspace ONE UEM 展開に必要な情報を入力し、通信がスムーズに行われるようにする必要があります。

Azure AD 統合経由の加入には、三種類の異なる加入フローがあります。Azure AD に参加する、OOBE (Out-Of-Box Experience) 加入、Office 365 加入です。どの方法でも、Azure AD と Workspace ONE UEM との統合を構成する必要があります。

**重要:**Azure AD 統合を通して加入を行うには、Windows 10 と Azure Active Directory Premium のライセンスが必要です。

ID サービスとして Azure AD を使用するための Workspace ONE UEM の構成

Azure AD を使用して貴社の Windows デバイスを加入させる前に、Azure AD をアイデンティティ サービスとして使用するよう Workspace ONE UEM を構成する必要があります。Azure AD を有効にするには 2 つのステップから成るプロセスを実行する必要があり、その際には MDM 加入詳細情報を Azure に追加する必要があります。

前提条件

Azure AD を Workspace ONE UEM と統合するためには、Premium Azure AD P1 または P2 サブスクリプションが必要です。Azure AD と Workspace ONE UEM との統合は、(LDAP のような) Active Directory が構成されているテナントで構成する必要があります。

**重要:**ディレクトリサービスシステム設定画面で 現在の設定上書き しようとしている場合は、Azure AD をアイデンティティサービスとして有効にする前に、LDAP 設定を構成し保存する必要があります。

手順

  1. グループと設定 > すべての設定 > システム > エンタープライズ統合 > ディレクトリ サービス と進みます。
  2. 高度な設定 にある設定の ID サービスに Azure AD を使用 を有効にします。Azure に入力する必要があるため、MDM 加入 URLMDM 利用規約 URL をコピーします。
  3. 貴社の Microsoft アカウントまたは組織アカウントを使用して Azure 管理ポータルにログインします。
  4. ディレクトリを選択し、Mobility (MDM and MAM) タブに移動します。
  5. アプリケーションを追加 を選択し、AirWatch by VMware アプリケーションを選択して、追加 を選択します。
  6. MDM ユーザー スコープすべて に変更するには、追加した AirWatch by VMware アプリケーションを選択します。
  7. MDM 利用規約 URL を Workspace ONE UEM console から Azure の MDM [利用規約 URL] テキスト ボックスに貼り付けます。MDM 加入 URL を Workspace ONE UEM console から Azure の [MDM 検出 URL] テキスト ボックスに貼り付けます。
  8. オンプレミス アプリケーションを追加するには、[アプリケーションを追加] > [オンプレミス MDM アプリケーション] の順に選択し、次に [追加] を選択します。
  9. オンプレミス MDM アプリケーション を再度選択して、オンプレミス MDM アプリケーションを構成します。MDM ユーザー スコープすべて または 一部 に設定して、ユーザーのグループを選択します。
  10. [オンプレミス MDM アプリケーション] に Workspace ONE UEM console の URL を入力し、設定を保存します。
    1. MDM 利用規約 URL を Workspace ONE UEM console から Azure の MDM [利用規約 URL] テキスト ボックスに貼り付けます。
    2. MDM 加入 URL を Workspace ONE UEM console から Azure の [MDM 検出 URL] テキスト ボックスに貼り付けます。
  11. [オンプレミスの MDM アプリケーション設定] > [API の公開] の順に選択します。
  12. [アプリケーション ID URI] に対して [編集] を選択し、デバイス サービス URL[アプリケーション ID URI] テキスト ボックスに入力します。保存 を選択して設定を保存します。
  13. Azure でプレミアム ライセンスを選択して割り当てることができます。
    1. Microsoft Azure コンソールで、[Azure Active Directory] > [ライセンス] の順に選択し、[すべての製品] を選択します。適切なライセンスをリストから選択します。
    2. 割り当て を選択して、ライセンスのユーザーまたはグループを選択し、割り当て を選択します。
  14. Workspace ONE UEM console に入力するディレクトリ ID とプライマリ ドメインをコピーします。
    1. プロパティ タブに進み、Azure の ディレクトリ ID を探してコピーします。
    2. カスタム ドメイン名 を選択し、プライマリ ドメインとしてリストされている 名前 をコピーします。
  15. Workspace ONE UEM console に戻り、[ID サービスに Azure AD を使用] を選択し、Azure AD 統合を構成します。
  16. ディレクトリ ID テキスト ボックスに、コピーしたディレクトリ ID を入力します。
  17. テナント名 テキスト ボックスに、コピーしたプライマリ ドメインを入力します。
  18. プロセスを終了するには、保存 を選択します。

Azure AD を使用してデバイスを加入する

Azure AD 統合を使用し、デバイスを Workspace ONE UEM の適切な組織グループに自動的に加入することができます。Azure AD を使用して加入したデバイスは、デバイス全体がドメインに参加します。つまり、デバイスのすべてのユーザーがドメインに参加することになります。

この加入フローは、まだ Azure AD に加入していないデバイス用です。Azure AD 管理対象デバイスの加入についての詳細は、「Azure AD 管理対象デバイスを AirWatch に加入させる」を参照してください。

手順

  1. Windows 10 デバイスで、[設定] > [アカウント] > [職場または学校にアクセスする] と進みます。続行 を選択します。
  2. Eメール アドレスを入力します。次へ を選択します。
  3. Workspace ONE UEM のウェルカム ページが表示されることを確認します。続行 を選択します。
  4. 利用規約が有効に設定されている場合は 承諾 を選択します。
  5. Workspace ONE UEM に加入する場合は 参加 を選択します。
  6. 完了 を選択して、Workspace ONE UEM へのデバイスの参加を完了します。必要なポリシーとプロファイルがデバイスにダウンロードされます。

Azure AD 管理対象デバイスを Workspace ONE UEM に加入させる

Azure AD に参加しているデバイスの加入フローは、Azure AD 統合を使用する加入フローとは異なります。この加入フローは、すでに Azure AD に参加しているデバイスを Workspace ONE UEM に加入させる際に使用します。

前提条件

  • オペレーティング システムが Windows 10 ビルド 14393.82 以降。
  • 更新プログラム KB3176934 がインストールされている。
  • 貴社の Azure AD 管理ポータルに MDM アプリケーションがインストールされていない。
  • デバイス上で Azure AD アカウントが構成されている。

手順

  1. デバイス上で、設定 > アカウント > 職場または学校にアクセスする と進み、Enroll only in device management を選択します。Workspace ONE Intelligent Hub for Windows を使用して加入することもできます。

  2. 加入プロセスを完了させます。貴社の Azure AD アカウントとは異なるドメインに属する、Eメール アドレスを入力する必要があります。

    1. Windows 自動検出を利用している場合は、「Windows 自動検出を使用して職場のアクセス経由で加入する」を参照してください。
    2. Windows 自動検出を利用していない場合は、「Windows 自動検出を使用せずに職場のアクセス経由で加入する」を参照してください。
  3. [設定] > [アカウント] > [職場または学校にアクセスする] の順に進み、Azure AD アカウントおよび Workspace ONE UEM MDM アカウントが追加されていることを確認します。

    Azure AD と Workspace ONE UEM のアカウント

OOBE (Out-Of-Box Experience) 加入

OOBE (Out of Box Experience) 加入では、Windows 10 デバイスの初期セットアップ/構成の一環として、デバイスを適切な組織グループに自動的に加入します。

**重要:**OOBE 加入フローは、企業情報ワイプをサポートしていません。企業情報ワイプを実行する場合は、Azure AD への接続が切断されているのでユーザーはデバイスにログインできません。企業情報ワイプを送信する前に、ローカル管理者アカウントを作成する必要があります。そうしないとデバイスからロックアウトされ、デバイスのリセットが強制されます。

前提条件

OOBE プロセスは、エンドユーザー デバイスで完了するまで時間がかかる場合があります。インストール状態の進行状況表示を有効にすることを検討してください。この表示により、エンド ユーザーは、プロセス内のどの位置にあるかを知ることができます。表示を有効にするには、[グループと設定] > [すべての設定] > [全般] >[加入] > [オプションのメッセージ表示] の順に選択します。加入時にプロファイルの状態を表示するには、全般 プロファイル設定の OOBE のプロビジョニング中のプロファイル状態を追跡 オプションを有効にする必要があります。

OOBE (Out of Box Experience) の進行状況表示が動作している様子を示すアニメーション GIF

手順

  1. デバイスの電源を入れ、接続方法を選択 画面が表示されるまで Windows を構成します。

    接続方法を選択

  2. Azure AD に参加する を選択します。続行 を選択します。

  3. 職場または学校のアカウント に貴社の Azure AD/Workspace ONE UEM E メール アカウントを入力します。

    メール アドレスを入力

  4. パスワード を入力します。サインイン を選択します。

  5. AirWatch へようこそ 画面が表示されることを確認します。続行 を選択します。

    ![[ようこそ] 画面が表示されることを確認します。](./images/GUID-AWI-OOBE-SUCCESS-high.png)

  6. デバイス所有形態 タイプを選択し、該当する場合は アセット番号 を入力します。次へ を選択します。

  7. 利用規約が有効に設定されている場合は 承諾 を選択します。

  8. Workspace ONE UEM に加入する場合は 参加 を選択します。

  9. 完了 を選択して、Workspace ONE UEM へのデバイスの参加を完了します。必要なポリシーとプロファイルがデバイスにダウンロードされます。

Office 365 アプリ経由での加入

Office 365 を使用し、さらに Azure AD 統合を行っている場合は、エンド ユーザーによる Office 365 アプリの初回起動時にそのデバイスを加入することができます。

手順

  1. Office 365 アプリを初めて起動する際に 職場のアカウントを追加 を選択します。
  2. ユーザーの Eメール アドレスパスワード を入力します。サインイン を選択します。
  3. Workspace ONE UEM のウェルカム ページが表示されることを確認します。続行 を選択します。
  4. 利用規約が有効に設定されている場合は 承諾 を選択します。
  5. Workspace ONE UEM に加入する場合は 参加 を選択します。
  6. 完了 を選択して、Workspace ONE UEM へのデバイスの参加を完了します。必要なポリシーとプロファイルがデバイスにダウンロードされます。

Windows 10 デバイスの一括プロビジョニングと加入

一括プロビジョニングでは、事前構成済みのパッケージを作成し、Windows 10 デバイスを代理セットアップして Workspace ONE UEM に加入させることができます。ここでは、一括プロビジョニングを使用して、標準ユーザー アカウントで複数のデバイスを加入させ、構成する方法について説明します。

この加入フローは、標準ユーザー アカウントをもつデバイスを加入する唯一の方法です。事前構成されたパッケージを実行するには、管理者権限が必要になります。一括プロビジョニングでは、シングル ユーザーの標準的な代理セットアップのみがサポートされています。

一括プロビジョニングを使用するには、Microsoft アセスメント・デプロイメント キット (Assessment and Deployment Kit) をダウンロードし、Windows イメージングおよび構成デザイナー (ICD) ツールをインストールします。ICD は、デバイスのイメージングに使用するプロビジョニング パッケージを作成します。プロビジョニング パッケージの一部として、Workspace ONE UEM の構成設定を含めることができます。こうすると、最初の OOBE (Out-Of-Box Experience) 中に、プロビジョニング対象のデバイスの Workspace ONE UEM への加入が自動的に行われます。

デバイスを正しいユーザーに自動でマッピングするには、プロビジョニング パッケージを作成する前に、ユーザーごと、あるいは一括インポートを使用してデバイスを登録します

一括プロビジョニングにより加入する

Microsoft イメージングおよび構成デザイナー (Imaging and Configuration Designer) ツールを使用してプロビジョニング パッケージを作成し、複数の Windows 10 デバイスを素早く簡単に Workspace ONE UEM に加入させることができます。パッケージをインストールすると、デバイスは自動的に Workspace ONE UEM に加入します。

手順

  1. Windows 10 対応の Microsoft アセスメント・デプロイメント キット (Assessment and Deployment Kit) をダウンロードし、Windows イメージングおよび構成デザイナー (ICD) ツールをインストールします。

  2. Windows ICD を開き、New Provisioning Package を選択します。

  3. Project Name を入力し、閲覧/構成したい設定を選択します。通常は Common to all Windows desktop editions オプションを選択します。

  4. 以前のパッケージの設定に基づき新しいプロビジョニング パッケージを作成したい場合はプロビジョニング パッケージをインポートします (任意)。

  5. Runtime Settings > Workplace > Enrollments と進みます。

  6. Workspace ONE UEM console で、[、[グループと設定] > ] > [[すべての設定]] > > [[デバイスとユーザー]] > > [[Windows]] > > [[Windows デスクトップ]] > > [[代理セットアップとプロビジョニング]] の順に進みます。この設定ページに移動すると、代理セットアップ ユーザーが作成され、作成された代理セットアップ ユーザーに関連する URL が表示されます。一括プロビジョニングで使用する代理セットアップ ユーザーを管理者自身が作成することもできますが、この設定画面に表示される設定は、作成されたいかなるユーザーにも適用されません。

  7. UPN をコピーし、ICD のUPN 欄に貼り付けます。

  8. Available Customizations ウィンドウの Enrollments の横にある下向き矢印を選択します。

    利用可能なカスタマイズの加入

  9. 以下を構成します。

    1. AuthPolicy を選択し、Workspace ONE UEM console 上に表示されている値を選択します。
    2. DiscoveryServiceFullURL を選択し、Workspace ONE UEM console 上に表示されている URL をコピーします。
    3. EnrollmentServiceFullURL を選択し、Workspace ONE UEM console 上に表示されている URL をコピーします。
    4. PolicyServiceFullURL を選択し、Workspace ONE UEM console 上に表示されている URL をコピーします。
    5. Secret を選択し、Workspace ONE UEM console 上に表示されている値をコピーします。
  10. File > Save と選択し、プロジェクトを保存します。

  11. Export > Provisioning Package と選択し、一括プロビジョニングで使用するパッケージを作成します。Next をクリックします。

  12. パッケージの暗号化を選択する場合は、後ほど使用するために Encryption password を保存します。Next をクリックします。

  13. パッケージを USB ドライブに保存し、プロビジョンするそれぞれのデバイスに読み込みます。パッケージをデバイスに Eメールで送信することもできます。

  14. Build を選択してパッケージを作成します。

一括プロビジョニング パッケージをインストールする

Microsoft イメージングおよび構成デザイナー (Imaging and Configuration Designer) ツールを使用してプロビジョニング パッケージを作成した後は、そのプロビジョニング パッケージをエンド ユーザーのデバイスにインストールする必要があります。

  1. プロビジョンするデバイスから、[設定] > [アカウント] > [職場のアクセス] の順に進み、[職場または学校用のパッケージを追加または削除する] を選択します。パッケージを Eメールで送信した場合は、メール クライアントからパッケージを起動します。

  2. パッケージを追加 をクリックし、パッケージを追加する方法の選択肢から、リムーバブル メディア を選択します。

  3. 表示される一覧から適切なパッケージを選択します。

    プロビジョニングの前に、Workspace ONE UEM console でデバイスをユーザー アカウントに追加した場合、デバイスは加入と同時に割り当てられます。

登録モードで加入

Workspace ONE Intelligent Hub または OOBE 経由で加入した Windows 10 デバイスは、デフォルトで MDM 管理下になります。MDM 管理を使用せずに Windows デバイスが加入できるようにするには、組織グループ全体に対して、またはスマート グループおよび特定の条件を使用して、登録モード(管理対象外)を有効にすることができます。

登録モードは、リストされている加入方法をサポートしています。

  • 代理セットアップ ユーザー
    • コマンド ラインの代理セットアップ
    • 手動でのデバイスの代理セットアップ
    • サイレント加入のパラメータと値
  • SAML 認証を使用した Workspace ONE Intelligent Hub for Windows

組織グループまたはスマート グループ単位で登録モードを有効にします。スマート グループを使用する場合は、OS バージョン、プラットフォーム、所有形態タイプ、またはユーザーで登録モードのデバイスをグループ化します。

登録モード環境では、ユーザーは Workspace ONE Assist、VMware Workspace ONE Tunnel、デジタル従業員エクスペリエンス管理 (DEEM)、Workspace ONE Hub サービスなどの MDM 管理機能を使用せずに Workspace ONE サービスのサブセットを使用できます。

手順

  1. Workspace ONE UEM console で、登録モードの加入とともに有効にする組織グループを選択し、[デバイス] > [デバイス設定] > [デバイスとユーザー] > [全般] > [加入] > [管理モード] の順に選択します。
  2. 現在の設定 には、オーバーライド を選択します。
  3. Windows には、有効 を選択します。
  4. この組織グループにあるすべての Windows デバイス には、有効 を選択します。
  5. 必要に応じて、Windows スマート グループ で、登録モードの加入用に有効にするスマート グループを追加することもできます。
  6. 設定を保存します。

結果

構成済みスマート グループまたは指定済み組織グループの Windows デバイスを使用しているユーザーは、MDM 管理なしでプロダクトの機能を使用できます。コンソール使用からのデバイス情報と管理機能は制限されます。これらのデバイスには、関連するプロファイルのみがインストールされます。

Windows 10 の加入状態

[デバイス] > [デバイス設定] > [デバイスとユーザー] > [全般] > [加入] ページで加入設定を確認する場合、Windows 10 デバイスの一般的な 3 つの加入シナリオが表示されます。

  • 新規加入

    その他の加入の条件(認証モード、制限など)を満たしているすべてのユーザーに加入を許可します。

  • 登録済みデバイスのみ

    管理者またはエンド ユーザーにより登録されたデバイスを使用して加入するユーザーを許可します。デバイスの登録は、加入前に企業デバイスを Workspace ONE UEM console に追加するプロセスです。このマトリックスは、トークンを使用せずに登録したデバイスに適用されます。

  • 登録トークンを要求する

    登録済みのデバイスのみが加入できるように制限する場合、加入に使用する登録トークンを要求するオプションも使用することができます。その特定のユーザーに加入が認められているかどうかを確認できるため、これを使用するとセキュリティを強化できます。

デバイス タイプ

デバイスのタイプに応じて、Workspace ONE UEM システムがどのようにデバイスの加入状態を追跡して表示するかが示されます。

  • 許可リスト デバイス - Workspace ONE UEM 管理者は加入が事前承認されているデバイスのリストを追加します。
  • 拒否リスト デバイス - Workspace ONE UEM 管理者は加入が承認されていないデバイスのリストを追加します。
  • 登録済みデバイス(属性なし) - Workspace ONE UEM 管理者は、デバイス情報をコンソールに追加することでデバイスを登録します。管理者がデバイス属性を入力しない場合、システムによりユーザー、プラットフォーム、モデル、所有形態などのデバイス情報が使用されます。
  • 登録済みデバイス(属性あり) - Workspace ONE UEM 管理者は、コンソールにデバイス属性を追加してデバイスを登録します。デバイス属性には、UDID、IMEI、シリアル番号が含まれます。

デバイスの加入ライフサイクル

Workspace ONE UEM を使用したデバイスの加入には 3 つの一般的なステージがあります。

  1. (オプション)管理者がデバイスを登録し、ユーザーが Workspace ONE UEM にデバイスを自分で登録します。

    登録は、加入を制限するのに役立ちます。

  2. デバイス ユーザーまたは管理者が Workspace ONE UEM を使用してデバイスを登録します。

  3. デバイス ユーザーまたは管理者が Workspace ONE UEM を使用してデバイスを加入解除します。

Console に設定状態を表示する

加入タイプ、デバイス タイプ、および加入ステージでは、Windows 10 デバイス([デバイス] > [ライフサイクル] > [加入状態] ページ)に表示される加入状態およびトークンの状態を指定します。

新規加入

タイプ 登録済みデバイス - 加入状態 登録済みデバイス - トークン状態 加入済みデバイス - 加入状態 加入済みデバイス - トークンの状態 加入解除済みデバイス - 加入状態 加入解除済みデバイス - トークンの状態
許可リスト デバイス 登録済み 順守状態 加入済み 順守状態 加入解除 順守状態
拒否リスト デバイス 拒否リスト 非順守状態 該当しない 該当しない 該当しない 該当しない
属性のない登録済みデバイス。属性はシリアル番号、IMEI、UDID です。 登録済み 登録-アクティブ 加入済み 登録-アクティブ 登録済み 登録-アクティブ
属性のある登録済みデバイス。属性はシリアル番号、IMEI、UDID です。 登録済み 登録-アクティブ 加入済み 登録-アクティブ 登録済み 登録-アクティブ

登録済みデバイスのみ(トークンなし)

タイプ 登録済みデバイス - 加入状態 登録済みデバイス - トークン状態 加入済みデバイス - 加入状態 加入済みデバイス - トークンの状態 加入解除済みデバイス - 加入状態 加入解除済みデバイス - トークンの状態
許可リスト デバイス 登録済み 順守状態 加入済み 順守状態 加入解除 順守状態
拒否リスト デバイス 拒否リスト 非順守状態 該当しない 該当しない 該当しない 該当しない
属性のない登録済みデバイス。属性はシリアル番号、IMEI、UDID です。 登録済み 登録-アクティブ 加入済み 登録-アクティブ 登録済み 登録-アクティブ
属性のある登録済みデバイス。属性はシリアル番号、IMEI、UDID です。 登録済み 登録-アクティブ 加入済み 期限切れ 登録済み 登録-アクティブ

登録トークンを要求する

タイプ 登録済みデバイス - 加入状態 登録済みデバイス - トークン状態 加入済みデバイス - 加入状態 加入済みデバイス - トークンの状態 加入解除済みデバイス - 加入状態 加入解除済みデバイス - トークンの状態
属性のない登録済みデバイス。属性はシリアル番号、IMEI、UDID です。 登録済み 登録-アクティブ 加入済み 該当しない 加入解除 登録が期限切れです
属性のある登録済みデバイス。属性はシリアル番号、IMEI、UDID です。 登録済み 登録-アクティブ 加入済み 該当しない 加入解除 登録が期限切れです
check-circle-line exclamation-circle-line close-line
Scroll to top icon