Workspace ONE UEM への Windows デバイスの加入

Workspace ONE UEM では、Windows デバイス加入のためのさまざまな方法をサポートしています。ここでは、Workspace ONE UEM 展開、エンタープライズ統合、およびデバイスのオペレーティング システムに基づいてニーズに対応する加入ワークフローについて説明します。

加入の基本

Workspace ONE UEM 環境で Windows 自動検出サービス (WADS) を設定することで、エンド ユーザーの加入処理を簡素化できます。WADS は、オンプレミス ソリューションおよびクラウドベースの WADS をサポートします。

この加入方法では、Windows オペレーティング システムのネイティブの MDM 機能、Workspace ONE Intelligent Hub for Windows、または Azure AD 統合のいずれかを使用します。

  • Windows 加入のための Workspace ONE Intelligent Hub

    最もシンプルな加入ワークフローでは、Workspace ONE Intelligent Hub for Windows を使用して、デバイスを加入させます。エンド ユーザーは、getwsone.com から Workspace ONE Intelligent Hub をダウンロードして、プロンプトに従って加入するだけです。

    Windows 加入ワークフローには、Workspace ONE Intelligent Hub を使用することを検討してください。Workspace ONE UEM では、個別のユース ケースに合わせたその他の加入フローもサポートされています。

  • Azure AD 統合による加入

    Microsoft Azure Active Directory を統合することで、Windows デバイスはエンド ユーザー側の対応を最小限に抑えて、Workspace ONE UEM に自動的に加入します。Azure AD 統合による加入は、エンド ユーザーにとっても管理者にとっても、よりシンプルなプロセスです。Azure AD 統合経由の加入には、三種類の異なる加入フローがあります。Azure AD に参加する、OOBE (Out-Of-Box Experience) 加入、Office 365 加入です。どの方法でも、Azure AD と Workspace ONE UEM との統合を構成する必要があります。

    Azure AD 統合を使用してデバイスが加入できるようにするには、事前に Workspace ONE UEM と Azure AD を構成します。

  • ネイティブ MDM による加入

    Workspace ONE UEM は、ネイティブ MDM による加入ワークフローを使用した Windows デスクトップ デバイスの加入をサポートしています。ネイティブ MDM ソリューションの名称は、Windows のバージョンによって異なります。この加入のフローは、Windows のバージョンおよび WADS を使用するかどうかによって異なります。

    Workspace ONE UEM にデバイスを加入させ、MDM を有効にするには、デバイスのローカル管理者権限が必要です。

  • デバイス代理セットアップ

    エンド ユーザーに配布する前に Windows デバイスでデバイス管理を更新したい場合は、Windows デスクトップのデバイス代理セットアップを使用することを検討してください。この加入ワークフローでは、Workspace ONE Intelligent Hub を使用してデバイスの加入を行い、デバイス レベルのプロファイルをインストールしてから、そのデバイスをエンド ユーザーに配布することができます。デバイス代理セットアップには、手動インストールと、コマンドラインでのインストールの 2 つの方法があります。手動インストールでは、デバイスが Azure AD 統合のドメインに参加している必要があります。コマンドラインでのインストールは、すべての Windows デバイスに使用できます。

  • Windows デスクトップの自動加入

    Dell から購入した特定の Windows デスクトップ デバイスを Workspace ONE UEM に自動加入させることができます。自動加入機能を利用した場合、OOBE (Out-of-Box-Experience) 後に登録済みデバイスを自動加入させることができるので、加入プロセスが簡素化されます。

    Windows Provisioning Service by VMware は、正しい Windows イメージがインストールされている一部の Dell Enterprise デバイスにのみ適用されます。自動加入機能は、Dell からデバイスを購入する際に併せて購入する必要があります。

  • 一括プロビジョニングと加入

    一括プロビジョニングは事前構成済みのパッケージを作成し、Windows デバイスを代理セットアップして Workspace ONE UEM に加入させます。一括プロビジョニングを使用するには、Microsoft アセスメント・デプロイメント キット (Assessment and Deployment Kit) をダウンロードし、Windows イメージングおよび構成デザイナー (ICD) ツールをインストールする必要があります。このツールは、デバイスのイメージングに使用するプロビジョニング パッケージを作成します。

    一括プロビジョニングのワークフローでは、Workspace ONE UEM 設定をプロビジョニング パッケージに含めることで、最初の OOBE (Out-Of-Box Experience) 中に、プロビジョニング対象のデバイスの加入が自動的に行われます。

  • 登録モード - デバイス管理なしで加入

    デバイス管理サービスを使用せずに一部の Windows デバイスを Workspace ONE UEM に加入できるようにするために、登録モードを有効にすることができます。このモードを、組織グループ全体に割り当てるか、スマート グループを使用して割り当てます。

Windows 加入のための Workspace ONE Intelligent Hub

Workspace ONE Intelligent Hub には加入に使用できる単一のリソースが用意されており、デバイスと Workspace ONE UEM console の間の通信をスムーズにします。Workspace ONE Intelligent Hubを使用して、Windows デバイスを加入させます。Workspace ONE Intelligent Hub はエンド ユーザーの操作を簡素化するので、加入を短時間で行うことができます。

Windows デスクトップ デバイスを加入させる際は、最もシンプルな加入フローをユーザーに提供する Workspace ONE Intelligent Hub for Windows の使用をご検討ください。Workspace ONE を構成している場合、https://getwsone.com/ から Workspace ONE Intelligent Hub をダウンロードすると、Workspace ONE アプリもダウンロードされます。Workspace ONE Intelligent Hub を使用して加入が完了すると、Workspace ONE UEM 展開に基づいて、Workspace ONE アプリが自動的に起動し、構成が行われます。

Workspace ONE Intelligent Hub を使用することで、貴社の Windows デスクトップ デバイスに、ロケーション サービスなどの機能を追加することができます。

さらに、Windows 自動検出を使用することで、エンド ユーザーの加入プロセスを簡素化することができます。Windows 自動検出により、エンド ユーザーが Eメール アドレスを入力するだけで、加入資格情報が自動で入力されます。

AirWatch Cloud Messaging (AWCM) を使用すると、ポリシーとコマンドを Workspace ONE Intelligent Hub にリアルタイムで配信できます。AWCM を使用しない場合、Workspace ONE Intelligent Hub は、Workspace ONE UEM console で設定した標準のチェックイン間隔でしかポリシーとコマンドの配信を受信しません。Windows デスクトップ デバイスにポリシーおよびコマンドをリアルタイムで配信するのに AWCM を使用することを検討してください。

VMware Workspace ONE Intelligent Hub を使用した加入手順

  1. Windows デスクトップ デバイスから https://getwsone.com に移動します。
  2. Workspace ONE Intelligent Hub をインストールします。インストールが完了したら、Workspace ONE Intelligent Hub を起動します。
  3. Eメール アドレスを入力し、次へ をクリックします。
  4. Windows 自動検出を使用していない場合は、以下の設定を入力します。
    1. サーバ URL を入力し、次へ をクリックします。
    2. グループ ID を入力し、次へ を選択します。
    3. ユーザー名パスワード を入力します。
  5. 利用規約に 同意 します。
  6. 完了 をクリックします。
  7. Workspace ONE Intelligent Hub を開き、加入を完了します。

Windows デスクトップのネイティブ MDM 加入

Windows デスクトップのすべての加入方式で、職場のアクセスのネイティブ MDM クライアントが使用されます。ネイティブ MDM 加入を使用することで、企業所有デバイスと BYOD デバイスの双方を同じ加入フローを通して加入することができます。加入は、Windows 自動検出を使用しても、使用しなくても可能です。

「職場のアクセス」 は、接続 を選択したとき、まず Office 365 または Azure AD に接続しているドメイン向けに Azure AD ワークフローを処理し、加入フローを自動的に完了しません。貴社が、Premium ライセンス以外の Office 365 または Azure AD を使用している場合は、Windows デバイスの加入には、ネイティブ MDM 加入ではなく Workspace ONE Intelligent Hub を使用することを検討してください。ネイティブ MDM 加入で加入フローを完了するには、接続 を 2 回選択してください。Azure AD Premium ライセンスをご利用の場合は、貴社の Azure インスタンスで 管理を必須にする を有効にし、ネイティブ MDM 加入を Azure ワークフロー後に完了させることができます。Office 365 あるいは Azure AD を使用していない場合は、ネイティブ MDM 加入フローを問題なくご利用になれます。

Workspace ONE UEM にデバイスを加入し、MDM を有効にするには、デバイスのローカル管理者権限が必要です。ドメイン管理者権限ではデバイスの加入を行うことはできません。標準ユーザーアカウントを持つデバイスを加入するには、Windows デバイス用の一括プロビジョニングを行う必要があります。

Windows 自動検出サービスを活用することで、加入の際のユーザー側の作業を減らして貴社エンド ユーザーの加入プロセスを簡易化することができます。

ドメインに参加しているデバイスは、ネイティブ 「ワークプレース」 を使用して加入を行うこともできます。設定で入力した Eメール アドレスは、Active Directory の UPN 属性を使用して自動入力されます。別の Eメール アドレスを使用したい場合は、エンド ユーザーは、オプションの更新をダウンロードする必要があります。

Windows 自動検出を使用して職場のアクセス経由で加入する

職場のアクセスは、Windows デバイスのネイティブ MDM 加入方法です。職場のアクセス経由で加入を行い、Windows 自動検出を使用することで、エンド ユーザーの加入プロセスを簡素化することができます。

前提条件

貴社のドメインを Workspace ONE UEM に登録することで、加入の際にグループ ID の入力が不要になります。

注:Windows デバイスを加入させる際、ネイティブ MDM 加入フローではなく、Workspace ONE Intelligent Hub for Windows を使用することを検討してください。同じドメイン上で Office 365 または Azure AD を利用している場合、ネイティブ MDM 加入フローを使用すると、デバイスが MDM に登録されません。

手順

  1. デバイスから [設定] > [アカウント] > [職場のアクセス] の順に進み、[デバイス管理に加入] を選択します。[職場のアクセス] メニューが表示され、[デバイス管理に加入] オプションが表示されます
  2. [E メール] 欄に、管理者がエンド ユーザーに提供したユーザー名と環境のドメインを、[email protected] のフォーマットで入力します(例:[email protected])。続行 を選択します。
  3. グループ ID を入力し、次へ をクリックします。
  4. ユーザー名パスワード を入力し、次へ をクリックします。これはディレクトリ サービスの資格情報である場合も、貴社の Workspace ONE UEM 環境に固有の資格情報である場合もあります。
  5. オプション:エンド ユーザー ライセンス同意書を確認し、同意する をクリックします。
  6. オプション:サインイン情報を保存するには はい を選択します。

結果

すると、デバイスは Workspace ONE UEM への接続を試行します。接続されると、横に Workspace ONE UEM と書かれたブリーフケース アイコンが表示されます。このアイコンは、Workspace ONE UEM への接続が成功したことを示します。

[職場のアクセス] メニューにブリーフケース アイコンが表示され、接続が成功したことが示します

Windows 自動検出を使用せずに職場のアクセス経由で加入する

職場のアクセスは、Windows デバイスのネイティブ MDM 加入方法です。WADS を使用せずに職場のアクセス経由で加入を行う場合は、エンド ユーザーの資格情報を手動で入力する必要があります。

Windows デバイスを加入させる際、ネイティブ MDM 加入フローではなく、Workspace ONE Intelligent Hub for Windows を使用することを検討してください。同じドメイン上で Office 365 または Azure AD を利用している場合、ネイティブ MDM 加入フローを使用すると、デバイスが MDM に登録されません。

手順

  1. デバイスから [設定] > [アカウント] > [職場のアクセス] の順に進み、[デバイス管理に加入] を選択します。[職場のアクセス] メニューが表示され、[デバイス管理に加入] オプションが表示されます
  2. [E メール] 欄に、管理者がエンド ユーザーに提供したユーザー名と環境のドメインを、[email protected] のフォーマットで入力します(例:[email protected])。
  3. 以下のように サーバーアドレスを入力 します。<DeviceServicesURL>/DeviceServices/Discovery.awsURL には 「https://」 は付けません。ds156.awmdm.com/deviceservices/discovery.aws
  4. 続行 を選択します。
  5. グループ ID を入力し、次へ をクリックします。
  6. ユーザー名パスワード を入力し、次へ をクリックします。これはディレクトリ サービスの資格情報である場合も、貴社の Workspace ONE UEM 環境に固有の資格情報である場合もあります。
  7. オプション:利用規約を確認し、同意する をクリックします。このステップはオプションです。利用規約が有効に設定されている場合のみ表示されます。
  8. オプション:サインイン情報を保存するには はい を選択します。

結果

すると、デバイスは Workspace ONE UEM への接続を試行します。接続されると、横に Workspace ONE UEM と書かれたブリーフケース アイコンが表示されます。このアイコンは、Workspace ONE UEM への接続が成功したことを示します。

[職場のアクセス] メニューにブリーフケース アイコンが表示され、接続が成功したことが示します

Windows デバイスの代理セットアップによる加入

デバイスの代理セットアップを使用すると、デバイスをエンド ユーザーに送付する前に、Workspace ONE UEM によるデバイス管理用に Windows デバイスを構成できます。Workspace ONE Intelligent Hub でエンド ユーザーに代わってデバイスを加入および構成する方法について説明します。

デバイス代理加入機能を利用すると、Windows デバイスを Workspace ONE UEM に加入させることができます。この加入では Workspace ONE Intelligent Hub の起動が必要です。デバイスを加入させた後、割り当てられているデバイス レベルのプロファイルがデバイスにダウンロードされます。デバイスの加入処理と構成処理が完了したら、デバイスをエンド ユーザーに配布できます。エンド ユーザーがデバイスにサインインすると、Workspace ONE Intelligent Hub によって、Workspace ONE UEM console 内のデバイス記録が更新されます。Workspace ONE UEM によってデバイスがエンド ユーザーに割り当てられ、ユーザー レベルのプロファイルがデバイスにプッシュされます。

代理加入には次の 2 つの方法があります。

  • 手動インストール – Workspace ONE Intelligent Hub をダウンロードしてインストールし、加入資格情報を入力します。この方法を使用する場合、加入処理の前にデバイスがドメインに参加している必要があります。
  • コマンド ライン インストール – Workspace ONE Intelligent Hub をダウンロードしてインストールし、コマンド ラインを使用してデバイスを加入させます。

加入処理を完了させるには、ユーザーがドメイン参加デバイスに加入したときに UEM console のデバイス レジストリを更新するか、または加入ユーザー名を登録済みシリアル番号のリストと照合します。

デバイス シリアル番号を一括インポートする

デバイス代理セットアップで使用するデバイス シリアル番号をインポートすれば、デバイスを Workspace ONE UEM コンソールに素早く追加できます。一括インポートするには、インポートするすべてのシリアル番号が記述された .csv ファイルが必要です。

手順

  1. [アカウント] > [ユーザー] > [リスト表示] または [デバイス] > [ライフサイクル] > [加入状態] の順に進みます。

    [一括加入] へのナビゲーション パスを表示します
  2. 追加 を選択し、バッチ インポート を選択して、バッチ インポート 画面を表示します。
  3. 必須オプションの値を指定します(バッチ名バッチの説明、および バッチ タイプ)。
  4. [バッチ ファイル (.csv)] オプション内には、ユーザーとそのデバイスを一括でロードするための、タスクベースのテンプレートのリストが示されます。
  5. 適切なダウンロード テンプレートを選択し、アクセス可能な場所にコンマ区切り値 (CSV) ファイルを保存します。
  6. .csv ファイルを保存した場所から Excel でファイルを開き、各デバイスに関してインポートするすべての関連情報をテンプレートに入力します。各テンプレートには、各カラムに記入する内容 (とその形式) がわかりやすいよう、入力例が自動入力されています。アスタリスクで表される CSV ファイル内のフィールドは必須です。
  7. テンプレートの入力完了後、.csv ファイルとして保存します。UEM コンソールに戻り、バッチ インポート 画面の ファイルを選択 ボタンを選択し、作成して保存した .csv ファイルへのパスをたどり、そのファイルを選択します。
  8. 保存 をクリックして、リスト上のすべてのユーザーと対応するデバイスの登録を完了します。

Carbon Black と Workspace ONE Intelligent Hub for Windows

Windows デバイスでのエンドポイント保護に Carbon Black を使用しますか。Carbon Black は、Workspace ONE Intelligent Hub for Windows のインストール時に Windows デバイスにインストールできます。

このコマンド ラインの代理セットアップ プロセスを使用して、Windows デバイスを加入させます。Carbon Black 固有のサイレント加入パラメータと、Carbon Black で生成したそれぞれの URL の値を入力します。生成された URL を入力すると、Carbon Black センサー キットの URL とインストール用の Carbon Black センサー構成ファイルが Workspace ONE Intelligent Hub によって取得されます。

Carbon Black と Workspace ONE Intelligent Hub をインストールしたら、Carbon Black パブリック アプリケーションを Workspace ONE UEM console にアップロードし、アプリケーションを Windows デバイスに公開します。

Carbon Black センサー キットと Carbon Black センサー構成ファイルに必要な URL を生成する方法の詳細については、Carbon Black Cloud User Guide の内容を参照してください。VMware Carbon Black Cloud にログインして、[ヘルプ] > [ユーザー ガイド] の順に選択します。検索バーに workspace one と入力し、Enter キーを押します。

Carbon Black のパラメータがある場所

Carbon Black のパラメータは、このトピックの「サイレント加入のパラメータと値」というセクションに示されています。また、Carbon Black Cloud コンソールの [インベントリ] > [エンドポイント] > [センサー オプション] > [Workspace ONE センサー キットの構成] にも表示されます。Carbon Black Cloud コンソールにこのオプションが表示されない場合は、Carbon Black サポートに問い合わせて、この機能を有効にしてください。

コマンド ラインの代理セットアップを使用した加入

エンド ユーザー加入処理を簡素化するため、Windows のコマンド ラインを使用して Windows デスクトップ デバイスを代理セットアップします。Workspace ONE UEM 用のこの加入方法では、デバイスを加入させ、次に、入力されたユーザー資格情報に基づいてデバイス レベルのプロファイルをダウンロードします。

重要:AirWatchAgent.msi ファイルの名前を変更しないでください。変更した場合、代理セットアップ コマンドが機能しなくなります。また、コマンドラインの代理セットアップを使用する場合は、シリアル番号の一括インポートを使用しないでください。

注:この製品を使用して、Workspace ONE Intelligent Hub for Windows を BYOD デバイスにサイレント インストールしないでください。BYOD デバイスにサイレント インストールすると、デバイスのエンド ユーザーに、サイレント インストールおよびサイレント インストールされたアプリケーションから収集されたデータの使用について必要な通知を送ることを、自身の単独の責任で行う必要があります。お客様は、法的に必要な同意をデバイスのエンド ユーザーから得て、すべての適用法令を順守する責任があります。

手順

  1. https://getwsone.com/ に移動して Workspace ONE Intelligent Hub for Windows をダウンロードします。

    Workspace ONE Intelligent Hub のみをダウンロードします。実行可能ファイルを起動したり、実行 を選択したりしないでください。これらの操作を行うと、標準の加入プロセスが開始してしまい、加入プロセスを自動実行するという目的を果たせなくなります。必要があれば、Workspace ONE Intelligent Hub をダウンロード フォルダからローカル フォルダまたはネットワーク ドライブ上のフォルダに移動します。

  2. コマンド ライン ウィンドウを開くかまたは .bat ファイルを作成し、必要なすべてのパス、パラメータ、および値を入力します。

  3. コマンドを実行します。

結果

コマンドが実行されると、デバイスは Workspace ONE UEM に加入します。デバイスがドメインに参加している場合、Workspace ONE Intelligent Hub によって、Workspace ONE UEM console のデバイス レジストリが正しいユーザーで更新されます。

手動デバイス代理セットアップを使用して加入させる

エンド ユーザー加入処理を簡素化するため、Workspace ONE Intelligent Hub を使用して、Windows デバイスを代理セットアップします。この加入方法では、デバイスを加入させ、デバイス レベルのプロファイルをダウンロードします。これによりエンド ユーザーは、デバイスにログインするだけでデバイスを使い始めることができます。

前提条件

これらのデバイスは、ドメインに参加する必要があります。

  1. https://getwsone.com/ に移動して、Workspace ONE Intelligent Hub インストーラをダウンロードします。
  2. ダウンロードが完了したら、インストーラを起動します。
  3. 実行 を選択し、インストールを開始します。
  4. 自動検出機能を有効にしている場合は、[E メール] を選択します。無効にしている場合は、[サーバ詳細] を選択します。
  5. 選択した認証タイプに基づいて、必要な設定を指定します。
    1. Eメール アドレスを入力し、サーバ詳細画面のフィールド値を自動入力します。次へ を選択し、詳細情報を入力します。
    2. 自動検出機能を利用していない場合、サーバ名とグループ ID を入力します。次へ を選択します。
  6. 代理セットアップ用の ユーザー名 および パスワード を入力し、次へ を選択します。
  7. 任意指定画面のフィールド値を指定します。
  8. 完了 を選択し、加入プロセスを完了させます。

結果

Workspace ONE Intelligent Hub が代理セットアップ ユーザーを検出すると、Workspace ONE Intelligent Hub リスナーが実行され、次の Windows ログインを待機します。エンド ユーザーがデバイスにログインすると、Workspace ONE Intelligent Hub リスナーが、デバイス レジストリからユーザーの UPN と E メール アドレスを読み取ります。これらの情報は Workspace ONE UEM console に送信されます。また、デバイス レジストリが更新され、デバイスがユーザーに対して登録されます。

サイレント加入のパラメータと値

Workspace ONE Intelligent Hub を Windows デバイスにダウンロードしインストールする方法を制御するために、サイレント加入ではコマンドラインへの入力または BAT ファイルが必要です。

注:この製品を使用して、Workspace ONE Intelligent Hub for Windows を BYOD デバイスにサイレント インストールしないでください。BYOD デバイスにサイレント インストールすると、デバイスのエンド ユーザーには、サイレント インストールおよびサイレント インストールされたアプリから収集されたデータの使用について必要な通知のみが送信されます。お客様は、法的に必要な同意をデバイスのエンド ユーザーから得て、すべての適用法令を順守する責任があります。

以下の表は、コマンド ラインまたは BAT ファイルに入力できる、加入パラメータと各パラメータの値の一覧です。他のユーザーの代理で加入 (EOBO) する場合は、EOBO パラメータを使用していることを確認してください。

一般パラメータ

加入パラメータ パラメータに追加する値
すべての MSI パラメータ これらのパラメータは、アプリのインストール動作を制御します。

/quiet - Completely silent
/q - インストールのユーザー インタフェース レベルを制御
passive - ユーザーがアプリケーションをガイドするための最低限の制御
/L - ログ レベルとログ パス詳細については、https://docs.microsoft.com/en-us/windows/win32/msi/command-line-options を参照してください。
ASSIGNTOLOGGEDINUSER Y を選択して、ログインしているドメイン ユーザーにデバイスを割り当てます。コマンド ラインの最後の引数として、このパラメータを入力します。
DEVICEOWNERSHIPTYPE^ 企業専用の場合は「CD」を選択します。
企業共有の場合は「CS」を選択します。
従業員所有の場合は「EO」を選択します。
なしの場合は「N」を選択します。
DOWNLOADSBUNDLE このパラメータは、加入中の Workspace ONE アプリケーションのダウンロードを制御します。Workspace ONE Intelligent Hub のインストール時に Workspace ONE アプリ インストーラをダウンロードするには、TRUE を選択します。Workspace ONE Intelligent Hub を使用してデバイスを加入する場合、Workspace ONE のインストールは選択できません。

DOWNLOADSBUNDLE を TRUE に設定していない場合、使用されるユーザー インタフェース レベルにかかわらず、Workspace ONE アプリ インストーラはダウンロードされません。
ENROLL 加入する場合は「Y」を選択します。
イメージのみの場合は「N」を選択します。

このパラメータが「Y」に設定されている場合にのみ、エージェントがサイレント モードでの加入を試行します。
イメージ このフラグが付いているとすべてにおいて優先されます。このフラグを「Y」に設定した場合、エージェントがイメージ モードになります。

イメージの場合は「Y」を選択します。
加入の場合は「N」を選択します。
INSTALLDIR^ インストール パスを変更する場合は、そのディレクトリ パスを入力します。

注: このパラメータが存在しない場合、Workspace ONE Intelligent Hub で以下のデフォルトのパスを使用します。C:\Program Files (x86)\AirWatch.
LGName 組織グループ名を入力します。
PASSWORD 加入するユーザーのパスワードか、ユーザーに代わってデバイスを代理セットアップする場合は代理セットアップ ユーザーのパスワードを入力します。
SERVER 加入 URL を入力します。
USERNAME 加入するユーザーのユーザー名か、ユーザーに代わってデバイスを代理セットアップする場合は代理セットアップ ユーザー名を入力します。

キャレット (^) で表される項目はオプションです。

EOBO パラメータ

加入パラメータ パラメータに追加する値
SECURITYTYPE EOBO ワークフローのみ:このパラメータは、加入プロセス中にユーザー アカウントが Workspace ONE UEM console に追加された場合に使用します。

ディレクトリについては「D」を選択します。

ベーシック ユーザーについては「B」を選択します。
STAGEEMAIL^ EOBO ワークフローのみ:加入させるユーザーの E メール アドレスを入力します。
STAGEEMAILUSRNAME^ EOBO ワークフローのみ:加入させるユーザーの E メール ユーザー名を入力します。
STAGEPASSWORD EOBO ワークフローのみ:加入させるユーザーのパスワードを入力します。
STAGEUSERNAME EOBO ワークフローのみ:加入ユーザーのユーザー名を入力します。

キャレット (^) で表される項目はオプションです。

Carbon Black のパラメータ

加入パラメータ パラメータに追加する値
CBSENSORCONFIGURATION l ^ このパラメータを使用すると、Carbon Black 構成ファイルの URL が Workspace ONE Intelligent Hub for Windows によって取得されます。

Carbon Black で生成したセンサー構成ファイルの URL を入力します。
CBSENSORURL ^ このパラメータを使用すると、該当する Carbon Black センサー キットの URL が Workspace ONE Intelligent Hub for Windows によって取得されます。

Carbon Black で生成したセンサー キットの URL を入力します。

キャレット (^) で表される項目はオプションです。

サイレント加入の例

コマンド ラインに入力するか BAT ファイルを作成するために使用できる、加入パラメータや値のさまざまな使用例を示します。これらの例のいずれかを使用すると、Windows デバイスはサイレントに加入され、ユーザーが承認ボタンを選択するプロンプトは表示されません。

  • 加入せず、イメージだけの Agent インストール

    加入せず、Workspace ONE Intelligent Hub をイメージのみインストールする例を次に示します。イメージのみの場合に必要な最低限のパラメータを使用します。

    AirwatchAgent.msi /quiet ENROLL=N IMAGE=Y

  • 基本的なユーザーの加入

    基本的な加入に必要な最低限のパラメータを使用する例を次に示します。

    AirwatchAgent.msi /quiet ENROLL=YIMAGE=n SERVER=companyURL.com LGName=locationgroupid USERNAME=TestUsr PASSWORD=test

  • 別の場所にインストールした Workspace ONE Intelligent Hub

    別の場所にある AirwatchAgent.msi の例を次に示します。

    C:AirwatchAgent.msi /quiet ENROLL=Y IMAGE=n SERVER=companyURL.com LGName=locationgroupid USERNAME=TestUsr PASSWORD=test

  • ネットワーク ドライブ上の Workspace ONE Intelligent Hub とインストール ディレクトリ

    インストール ディレクトリ パラメータで Workspace ONE Intelligent Hub をネットワーク ドライブ上に指定する例を次に示します。

    重要:パラメータ内にスペースがある場合、INSTALLDIR パラメータには引用符を追加してください。

    Q:AirwatchAgent.msi /quiet INSTALLDIR="E:Install Win32" ENROLL=Y IMAGE=n SERVER=companyURL.com LGName=locationgroupid USERNAME=TestUsr PASSWORD=test

  • 利用可能なパラメータと値

    利用可能なパラメータと値のほとんどを使用する構文の例を次のスニペットに示します。

    msiexec.exe /I “<Path>AirwatchAgent.msi” /quiet ENROLL=<Y/N>IMAGE=<Y/N>SERVER=<CompanyURL>LGNAME=<Location Group ID>USERNAME=<Staging Username>PASSWORD=<Staging Username Password>STAGEUSERNAME=<Enrolling Username>SECURITYTYPE=<D/B>STAGEEMAILUSRNAME=<User Enrolling>STAGEPASSWORD=<Password for User Enrolling>STAGEEMAIL=<Email Address for User Enrolling>DEVICEOWNERSHIPTYPE<CD/CS/EO/N>ASSIGNTOLOGGEDINUSER=<Y/N>

Workspace ONE UEM と Azure AD との統合

Microsoft Azure Active Directory との統合により、エンド ユーザーの操作を最小限に抑えながら、Windows デバイスを Workspace ONE UEM に自動的に加入させることができます。Azure AD 統合により Windows デバイスの加入を簡素化する方法について説明します。

Azure AD 統合を使用してデバイスが加入できるようにするには、事前に Workspace ONE UEM と Azure AD を構成します。この構成を行うためには、貴社の Azure AD 展開と Workspace ONE UEM 展開に必要な情報を入力し、通信がスムーズに行われるようにする必要があります。セットアップは環境によって異なります。SaaS 環境またはオンプレミス環境に合わせて、適切な手順を実行します。

Azure AD 統合経由の加入には、3 種類の異なる加入フローがあります。

  • Azure AD に参加する
  • OOBE (Out of Box Experience) 加入
  • Office 365 加入

どの方法でも、Azure AD と Workspace ONE UEM との統合を構成する必要があります。

重要:Azure AD 統合を通して加入を行うには、Windows と Azure Active Directory Premium のライセンスが必要です。

SaaS 環境:アイデンティティ サービスとしての Azure AD

Azure AD を使用して貴社の Windows デバイスを加入させる前に、Azure AD をアイデンティティ サービスとして使用するよう Workspace ONE UEM を構成する必要があります。Azure AD を有効にするには、Azure 管理ポータルと Workspace ONE UEM の両方にデータを入力する必要があります。ブラウザのタブを使用して、両方のインスタンスを開き、両方のコンソールにデータを入力できるようにします。

前提条件

  • Azure AD を Workspace ONE UEM と統合するためには、Premium Azure AD P1 または P2 サブスクリプションが必要です。
  • Azure AD と Workspace ONE UEM との統合は、(LDAP のような) Active Directory が構成されているテナントで構成する必要があります。Saas インスタンスにカスタム ドメイン名が関連付けられている場合、代わりの具体的な手順については、次のセクション(カスタム ドメイン名を使用するオンプレミス環境または SaaS 環境)を参照してください。

重要:最初に LDAP を構成して保存します
Workspace ONE UEM のディレクトリ サービス システム設定ページで [現在の設定][オーバーライド] に設定している場合は、Azure AD でアイデンティティ サービスを有効にする前に LDAP 設定を構成して保存する必要があります。

手順

  1. Workspace ONE UEM で、Azure AD との統合を有効にし、Azure AD テナント ID を入力して、MDM 加入 URL を取得し、Azure に入力します。
    1. 該当する組織グループを選択します。
    2. グループと設定 > すべての設定 > システム > エンタープライズ統合 > ディレクトリ サービス と進みます。
    3. [サーバ] タブで、[Azure AD 統合] を有効にします。
    4. ブラウザの別のタブで、Microsoft アカウントまたは組織アカウントを使用して Azure 管理ポータルにログインし、Azure AD テナント ID を取得します。
      1. [Azure Active Directory] を選択して、[概要] ページを表示します。
      2. Azure AD の [概要] ページから Azure AD テナント ID をコピーします。
    5. Workspace ONE UEM Console インスタンスに戻り、Azure AD テナント ID を [ディレクトリ ID] テキスト ボックスに貼り付けます。
    6. Workspace ONE UEM インスタンスで操作を続行し、[アイデンティティ サービスに Azure AD を使用する] を有効にします。
      Azure に入力する必要があるため、MDM 検出 URLMDM 利用規約 URL をメモします。複数のブラウザ タブを使用している場合は、タブ間でコピーできるほか、PC の別の場所にコピーすることもできます。
  2. Azure AD で、Workspace ONE UEM アプリケーションを追加し、MDM URL を追加します。
    1. Azure 管理ポータル インスタンスで、ディレクトリを選択し、[モビリティ(MDM および MAM)] タブに移動します。
    2. [アプリケーションを追加] を選択し、AirWatch by VMware アプリケーションを選択して、[追加] を選択します。
    3. MDM ユーザー スコープ を [すべて] に変更するには、先ほど追加した AirWatch by VMware アプリケーションを選択します。
    4. MDM 利用規約 URL を PC から、または Workspace ONE UEM インスタンスのブラウザ タブからコピーし、Azure の [MDM 利用規約 URL] テキスト ボックスに貼り付けます。
    5. MDM 検出 URL を PC から、または Workspace ONE UEM Console インスタンスのブラウザ タブからコピーし、Azure の [MDM 検出 URL] テキスト ボックスに貼り付けます。
    6. 設定を保存します。
  3. Workspace ONE UEM で、Azure AD のプライマリ ドメインを入力し、設定を保存します。
    1. Azure 管理ポータル インスタンスで、Azure AD の [概要] ページに移動し、Azure AD の [概要] ページからプライマリ ドメインをコピーします。
    2. Workspace ONE UEM Console インスタンスのブラウザ タブで、[テナント名] テキスト ボックスにプライマリ ドメイン文字列を貼り付けます。
    3. Workspace ONE UEM の [ディレクトリ サービス] ページで設定を保存します。
  4. Azure でプレミアム ライセンスを割り当てます。
    1. Microsoft Azure コンソールで、[Azure Active Directory] > [ライセンス] の順に選択します。
    2. [すべての製品] を選択し、リストから適切なライセンスを選択します。
    3. [割り当て] を選択して、ライセンスのユーザーまたはグループを選択し、[割り当て] を選択して、プロセスを完了します。

カスタム ドメイン名を使用するオンプレミス環境または SaaS 環境:アイデンティティ サービスとしての Azure AD

Azure AD を使用して貴社の Windows デバイスを加入させる前に、Azure AD をアイデンティティ サービスとして使用するよう Workspace ONE UEM を構成する必要があります。Azure AD を有効にするには、Azure 管理ポータルと Workspace ONE UEM の両方にデータを入力する必要があります。ブラウザのタブを使用して、両方のインスタンスを開き、両方のコンソールにデータを入力できるようにします。

前提条件

  • Azure AD を Workspace ONE UEM と統合するためには、Premium Azure AD P1 または P2 サブスクリプションが必要です。
  • Azure AD と Workspace ONE UEM との統合は、(LDAP のような) Active Directory が構成されているテナントで構成する必要があります。
  • Azure Active Directory ポータルで、Microsoft Azure を使用してドメイン名のカスタム ドメインを追加します。Microsoft のドキュメント「Azure Active Directory ポータルを使用してカスタム ドメイン名を追加する」に従って操作してください。

重要:最初に LDAP を構成して保存します
Workspace ONE UEM のディレクトリ サービス システム設定ページで [現在の設定][オーバーライド] に設定している場合は、Azure AD でアイデンティティ サービスを有効にする前に LDAP 設定を構成して保存する必要があります。

手順

  1. Workspace ONE UEM で、Azure AD との統合を有効にし、Azure AD テナント ID を入力して、MDM 加入 URL を取得し、Azure に入力します。
    1. 該当する組織グループを選択します。
    2. グループと設定 > すべての設定 > システム > エンタープライズ統合 > ディレクトリ サービス と進みます。
    3. [サーバ] タブで、[Azure AD 統合] を有効にします。
    4. ブラウザの別のタブで、Microsoft アカウントまたは組織アカウントを使用して Azure 管理ポータルにログインし、Azure AD テナント ID を取得します。
      1. [Azure Active Directory] を選択して、[概要] ページを表示します。
      2. Azure AD の [概要] ページから Azure AD テナント ID をコピーします。
    5. Workspace ONE UEM Console インスタンスに移動し、Azure AD テナント ID を [ディレクトリ ID] テキスト ボックスに貼り付けます。
    6. Workspace ONE UEM インスタンスで操作を続行し、[アイデンティティ サービスに Azure AD を使用する] を有効にします。
      Azure に入力する必要があるため、MDM 検出 URLMDM 利用規約 URL をメモします。複数のブラウザ タブを使用している場合は、タブ間でコピーできるほか、PC の別の場所にコピーすることもできます。
  2. Azure AD で、Workspace ONE UEM アプリケーションのオンプレミス バージョンを追加し、MDM URL を追加します。
    1. Azure 管理ポータル インスタンスで、ディレクトリを選択し、[モビリティ(MDM および MAM)] タブに移動します。
    2. [アプリケーションを追加] を選択し、On Premises MDM アプリケーションを選択します。次に、[追加] を選択します。
    3. MDM ユーザー スコープ[すべて] または [一部] に変更するには、先ほど追加した On Premises MDM アプリケーションを選択します。
    4. ユーザーのグループを選択します。
    5. MDM 利用規約 URL を PC から、または Workspace ONE UEM インスタンスのブラウザ タブからコピーし、Azure の [MDM 利用規約 URL] テキスト ボックスに貼り付けます。
    6. MDM 検出 URL を PC から、または Workspace ONE UEM Console インスタンスのブラウザ タブからコピーし、Azure の [MDM 検出 URL] テキスト ボックスに貼り付けます。
    7. 設定を保存します。
  3. Azure 管理ポータルで、Workspace ONE UEM デバイス サービス URL を追加します。
    1. Workspace ONE UEM インスタンスで、[グループと設定] > [すべての設定] > [システム] > [詳細設定] > [サイト URL] の順に移動し、デバイス サービス URL をコピーします。
    2. Azure 管理ポータル インスタンスで、[On-Premises MDM アプリケーション設定] > [API の公開] を選択します。
    3. [アプリケーション ID URI] に対して [編集] を選択し、デバイス サービス URL を [アプリケーション ID URI] テキスト ボックスに入力します。
    4. 設定を保存します。
      注: カスタム ドメイン名を追加する前提条件タスクを実行している場合に、設定を保存できます。エラーが表示された場合は、カスタム ドメインが Azure に追加されていることを確認してください。
  4. Workspace ONE UEM で、Azure AD のプライマリ ドメインを入力し、設定を保存します。
    1. Azure 管理ポータル インスタンスで、Azure AD の [概要] ページに移動し、Azure AD の [概要] ページからプライマリ ドメインをコピーします。
    2. Workspace ONE UEM Console インスタンスで、[テナント名] テキスト ボックスにプライマリ ドメイン文字列を貼り付けます。
    3. Workspace ONE UEM の [ディレクトリ サービス] ページで設定を保存します。
  5. Azure でプレミアム ライセンスを割り当てます。
    1. Microsoft Azure コンソールで、[Azure Active Directory] > [ライセンス] の順に選択します。
    2. [すべての製品] を選択し、リストから適切なライセンスを選択します。
    3. [割り当て] を選択して、ライセンスのユーザーまたはグループを選択し、[割り当て] を選択して、プロセスを完了します。

Azure AD を使用してデバイスを加入する

Azure AD 統合を使用し、デバイスを Workspace ONE UEM の適切な組織グループに自動的に加入することができます。Azure AD を使用して加入したデバイスは、デバイス全体がドメインに参加します。つまり、デバイスのすべてのユーザーがドメインに参加することになります。

この加入フローは、まだ Azure AD に加入していないデバイス用です。

手順

  1. Windows デバイスで、[設定] > [アカウント] > [職場または学校にアクセスする] の順に進みます。続行 を選択します。
  2. Eメール アドレスを入力します。次へ を選択します。
  3. Workspace ONE UEM のウェルカム ページが表示されることを確認します。続行 を選択します。
  4. 利用規約が有効に設定されている場合は 承諾 を選択します。
  5. Workspace ONE UEM に加入する場合は 参加 を選択します。
  6. 完了 を選択して、Workspace ONE UEM へのデバイスの参加を完了します。必要なポリシーとプロファイルがデバイスにダウンロードされます。

Azure AD 管理対象デバイスを Workspace ONE UEM に加入させる

Azure AD に参加しているデバイスの加入フローは、Azure AD 統合を使用する加入フローとは異なります。この加入フローは、すでに Azure AD に参加しているデバイスを Workspace ONE UEM に加入させる際に使用します。

前提条件

  • オペレーティング システムが Windows ビルド 14393.82 以降。
  • 更新プログラム KB3176934 がインストールされている。
  • 貴社の Azure AD 管理ポータルに MDM アプリケーションがインストールされていない。
  • デバイス上で Azure AD アカウントが構成されている。

手順

  1. デバイス上で、設定 > アカウント > 職場または学校にアクセスする と進み、Enroll only in device management を選択します。Workspace ONE Intelligent Hub for Windows を使用して加入することもできます。
  2. 加入プロセスを完了させます。貴社の Azure AD アカウントとは異なるドメインに属する、Eメール アドレスを入力する必要があります。
    1. Windows 自動検出を利用している場合は、「Windows 自動検出を使用して職場のアクセス経由で加入する」を参照してください。
    2. Windows 自動検出を利用していない場合は、「Windows 自動検出を使用せずに職場のアクセス経由で加入する」を参照してください。

  3. [設定] > [アカウント] > [職場または学校にアクセスする] の順に進み、Azure AD アカウントおよび Workspace ONE UEM MDM アカウントが追加されていることを確認します。

    Azure AD と Workspace ONE UEM のアカウント

OOBE (Out-Of-Box Experience) 加入

OOBE (Out of Box Experience) 加入では、Windows デバイスの初期セットアップ/構成の一環として、デバイスを適切な組織グループに自動的に加入します。

重要:OOBE 加入フローは、企業情報ワイプをサポートしていません。企業情報ワイプを実行する場合は、Azure AD への接続が切断されているのでユーザーはデバイスにログインできません。企業情報ワイプを送信する前に、ローカル管理者アカウントを作成する必要があります。そうしないとデバイスからロックアウトされ、デバイスのリセットが強制されます。

注:カスタム設定プロファイルは OOBE 中はトラッキングできず、プロビジョニング中には適用されません。

前提条件

OOBE プロセスは、エンドユーザー デバイスで完了するまで時間がかかる場合があります。インストール状態の進行状況表示を有効にすることを検討してください。この表示により、エンド ユーザーは、プロセス内のどの位置にあるかを知ることができます。表示を有効にするには、[グループと設定] > [すべての設定] > [全般] >[加入] > [オプションのメッセージ表示] の順に選択します。加入時にプロファイルの状態を表示するには、全般 プロファイル設定の OOBE のプロビジョニング中のプロファイル状態を追跡 オプションを有効にする必要があります。

OOBE (Out of Box Experience) の進行状況表示が動作している様子を示すアニメーション GIF

手順

  1. デバイスの電源を入れ、手順に従って [接続方法を選択] 画面が表示されるまで Windows を構成します。

    [接続方法を選択] 画面

  2. Azure AD に参加する を選択します。続行 を選択します。

  3. 職場または学校のアカウント に貴社の Azure AD/Workspace ONE UEM E メール アカウントを入力します。

    メール アドレスを入力

  4. パスワード を入力します。サインイン を選択します。

  5. AirWatch へようこそ 画面が表示されることを確認します。続行 を選択します。

    [ようこそ] 画面が表示されることを確認します。

  6. デバイス所有形態 タイプを選択し、該当する場合は アセット番号 を入力します。次へ を選択します。

  7. 利用規約が有効に設定されている場合は 承諾 を選択します。
  8. Workspace ONE UEM に加入する場合は 参加 を選択します。
  9. 完了 を選択して、Workspace ONE UEM へのデバイスの参加を完了します。必要なポリシーとプロファイルがデバイスにダウンロードされます。

Office 365 アプリ経由での加入

Office 365 を使用し、さらに Azure AD 統合を行っている場合は、エンド ユーザーによる Office 365 アプリの初回起動時にそのデバイスを加入することができます。

手順

  1. Office 365 アプリを初めて起動する際に 職場のアカウントを追加 を選択します。
  2. ユーザーの Eメール アドレスパスワード を入力します。サインイン を選択します。
  3. Workspace ONE UEM のウェルカム ページが表示されることを確認します。続行 を選択します。
  4. 利用規約が有効に設定されている場合は 承諾 を選択します。
  5. Workspace ONE UEM に加入する場合は 参加 を選択します。
  6. 完了 を選択して、Workspace ONE UEM へのデバイスの参加を完了します。必要なポリシーとプロファイルがデバイスにダウンロードされます。

Windows デバイスの一括プロビジョニングと加入

一括プロビジョニングでは、事前構成済みのパッケージを作成し、Windows デバイスを代理セットアップして Workspace ONE UEM に加入させることができます。ここでは、一括プロビジョニングを使用して、標準ユーザー アカウントで複数のデバイスを加入させ、構成する方法について説明します。

この加入フローは、標準ユーザー アカウントをもつデバイスを加入する唯一の方法です。事前構成されたパッケージを実行するには、管理者権限が必要になります。一括プロビジョニングでは、シングル ユーザーの標準的な代理セットアップのみがサポートされています。

一括プロビジョニングを使用するには、Microsoft アセスメント・デプロイメント キット (Assessment and Deployment Kit) をダウンロードし、Windows イメージングおよび構成デザイナー (ICD) ツールをインストールします。ICD は、デバイスのイメージングに使用するプロビジョニング パッケージを作成します。プロビジョニング パッケージの一部として、Workspace ONE UEM の構成設定を含めることができます。こうすると、最初の OOBE (Out-Of-Box Experience) 中に、プロビジョニング対象のデバイスの Workspace ONE UEM への加入が自動的に行われます。

デバイスを正しいユーザーに自動でマッピングするには、プロビジョニング パッケージを作成する前に、ユーザーごと、あるいは一括インポートを使用してデバイスを登録します

一括プロビジョニングにより加入する

Microsoft イメージングおよび構成デザイナー (Imaging and Configuration Designer) ツールを使用してプロビジョニング パッケージを作成し、複数の Windows デバイスを素早く簡単に Workspace ONE UEM に加入させることができます。パッケージをインストールすると、デバイスは自動的に Workspace ONE UEM に加入します。

手順

  1. Windows 対応の Microsoft アセスメント・デプロイメント キット (Assessment and Deployment Kit) をダウンロードし、Windows イメージングおよび構成デザイナー (ICD) ツールをインストールします。
  2. Windows ICD を開き、New Provisioning Package を選択します。
  3. Project Name を入力し、閲覧/構成したい設定を選択します。通常は Common to all Windows desktop editions オプションを選択します。
  4. 以前のパッケージの設定に基づき新しいプロビジョニング パッケージを作成したい場合はプロビジョニング パッケージをインポートします (任意)。
  5. Runtime Settings > Workplace > Enrollments と進みます。
  6. Workspace ONE UEM console で、[グループと設定] > [すべての設定] > [デバイスとユーザー] > [Windows] > [Windows デスクトップ] > [代理セットアップとプロビジョニング] の順に進みます。この設定ページに移動すると、代理セットアップ ユーザーが作成され、作成された代理セットアップ ユーザーに関連する URL が表示されます。一括プロビジョニングで使用する代理セットアップ ユーザーを管理者自身が作成することもできますが、この設定画面に表示される設定は、作成されたいかなるユーザーにも適用されません。
  7. UPN をコピーし、ICD のUPN 欄に貼り付けます。

  8. Available Customizations ウィンドウの Enrollments の横にある下向き矢印を選択します。

    [Available Customizations] ウィンドウに [Enrollments] が表示されます。

  9. 以下を構成します。

    1. AuthPolicy を選択し、Workspace ONE UEM console 上に表示されている値を選択します。
    2. DiscoveryServiceFullURL を選択し、Workspace ONE UEM console 上に表示されている URL をコピーします。
    3. EnrollmentServiceFullURL を選択し、Workspace ONE UEM console 上に表示されている URL をコピーします。
    4. PolicyServiceFullURL を選択し、Workspace ONE UEM console 上に表示されている URL をコピーします。
    5. Secret を選択し、Workspace ONE UEM console 上に表示されている値をコピーします。
  10. File > Save と選択し、プロジェクトを保存します。
  11. Export > Provisioning Package と選択し、一括プロビジョニングで使用するパッケージを作成します。Next をクリックします。
  12. パッケージの暗号化を選択する場合は、後ほど使用するために Encryption password を保存します。Next をクリックします。
  13. パッケージを USB ドライブに保存し、プロビジョンするそれぞれのデバイスに読み込みます。パッケージをデバイスに Eメールで送信することもできます。
  14. Build を選択してパッケージを作成します。

一括プロビジョニング パッケージをインストールする

Microsoft イメージングおよび構成デザイナー (Imaging and Configuration Designer) ツールを使用してプロビジョニング パッケージを作成した後は、そのプロビジョニング パッケージをエンド ユーザーのデバイスにインストールする必要があります。

  1. プロビジョンするデバイスから、[設定] > [アカウント] > [職場のアクセス] の順に進み、[職場または学校用のパッケージを追加または削除する] を選択します。パッケージを Eメールで送信した場合は、メール クライアントからパッケージを起動します。
  2. パッケージを追加 をクリックし、パッケージを追加する方法の選択肢から、リムーバブル メディア を選択します。

  3. 表示される一覧から適切なパッケージを選択します。

    プロビジョニングの前に、Workspace ONE UEM console でデバイスをユーザー アカウントに追加した場合、デバイスは加入と同時に割り当てられます。

登録モードで加入

Workspace ONE Intelligent Hub または OOBE 経由で加入した Windows デバイスは、デフォルトで MDM 管理下になります。MDM 管理を使用せずに Windows デバイスが加入できるようにするには、組織グループ全体に対して、またはスマート グループおよび特定の条件を使用して、登録モード(管理対象外)を有効にすることができます。

登録モードは、リストされている加入方法をサポートしています。

  • 代理セットアップ ユーザー
    • コマンド ラインの代理セットアップ
    • 手動でのデバイスの代理セットアップ
    • サイレント加入のパラメータと値
  • SAML 認証を使用した Workspace ONE Intelligent Hub for Windows

組織グループまたはスマート グループ単位で登録モードを有効にします。スマート グループを使用する場合は、OS バージョン、プラットフォーム、所有形態タイプ、またはユーザーで登録モードのデバイスをグループ化します。

登録モード環境では、ユーザーは Workspace ONE Assist、VMware Workspace ONE Tunnel、デジタル従業員エクスペリエンス管理 (DEEM)、Workspace ONE Hub サービスなどの MDM 管理機能を使用せずに Workspace ONE サービスのサブセットを使用できます。

手順

  1. Workspace ONE UEM console で、登録モードの加入とともに有効にする組織グループを選択し、[デバイス] > [デバイス設定] > [デバイスとユーザー] > [全般] > [加入] > [管理モード] の順に選択します。
  2. 現在の設定 には、オーバーライド を選択します。
  3. Windows には、有効 を選択します。
  4. この組織グループにあるすべての Windows デバイス には、有効 を選択します。
  5. 必要に応じて、Windows スマート グループ で、登録モードの加入用に有効にするスマート グループを追加することもできます。
  6. 設定を保存します。

結果

構成済みスマート グループまたは指定済み組織グループの Windows デバイスを使用しているユーザーは、MDM 管理なしでプロダクトの機能を使用できます。コンソール使用からのデバイス情報と管理機能は制限されます。これらのデバイスには、関連するプロファイルのみがインストールされます。

加入後のオンボーディング設定

管理者は、イメージベースのワークフローから、ワイヤレスでのジャストインタイム プロビジョニングに移行しています。これらのプロビジョニング シナリオでは、デバイスの加入中に何が起こっているかユーザーに通知することが重要です。Workspace ONE Intelligent Hub for Windows は、Windows 加入プロセス中にアクティブにダウンロードおよびインストールしているアプリケーションの状態を表示し、通知します。この機能は、セットアップ中にユーザー メッセージをカスタマイズする方法も提供します。

検討事項

  • Workspace ONE UEM で管理されている Windows デバイスでは、加入後のオンボーディング設定がデフォルトで有効になっています。
  • この機能は、Workspace ONE UEM 2105 以降で動作します。
  • この機能は、Workspace ONE Intelligent Hub for Windows 21.05 以降で動作します。
  • この機能は、Web 加入を含むすべての加入方法で機能するため、Workspace ONE Intelligent Hub for Windows から加入する必要はありません。ただし、構成を適用してエクスペリエンスを表示するには、アプリケーションをデバイスにインストールする必要があります。

Workspace ONE Intelligent Hubの動作

  • インストールすると、 Workspace ONE Intelligent Hub for Windows が登録を検出し、エクスペリエンスを起動します。
    注: このエクスペリエンスは、アップグレード シナリオには適用されません。新規加入にのみ適用されます。
  • 加入後すぐに、Workspace ONE Intelligent Hub が起動してカスタマイズ内容を表示し、[自動] 展開に設定されているすべてのアプリを追跡します。

加入後のオンボーディング エクスペリエンスを無効にする

  1. 該当する組織グループを選択します。
  2. Workspace ONE UEM console で、[グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [加入] > [プロンプト表示 (オプション)] > [Windows] > [加入後の導入環境を有効にする] の順に移動します。
  3. 設定を無効にします。

加入後のオンボーディング エクスペリエンス メッセージをカスタマイズする

  1. 該当する組織グループを選択します。
  2. Workspace ONE UEM console で、[グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [加入] > [プロンプト表示 (オプション)] > [Windows] > [加入後の導入環境を有効にする] の順に移動します。
  3. この機能が以前に無効になっていた場合は、[有効] を選択します。この機能はデフォルトで有効になっています。
  4. 加入後のオンボーディングを有効にすると、テキストと参照値を使用して、加入後のオンボーディング エクスペリエンス メッセージの [ウェルカム ヘッダー][ウェルカム ヘッダー][本文テキスト] フィールドをカスタマイズできます。

Windows の加入状態

[デバイス] > [デバイス設定] > [デバイスとユーザー] > [全般] > [加入] ページで加入設定を確認する場合、Windows デバイスの一般的な 3 つの加入シナリオが表示されます。

  • 新規加入

    その他の加入の条件(認証モード、制限など)を満たしているすべてのユーザーに加入を許可します。

  • 登録済みデバイスのみ

    管理者またはエンド ユーザーにより登録されたデバイスを使用して加入するユーザーを許可します。デバイスの登録は、加入前に企業デバイスを Workspace ONE UEM console に追加するプロセスです。このマトリックスは、トークンを使用せずに登録したデバイスに適用されます。

  • 登録トークンを要求する

    登録済みのデバイスのみが加入できるように制限する場合、加入に使用する登録トークンを要求するオプションも使用することができます。その特定のユーザーに加入が認められているかどうかを確認できるため、これを使用するとセキュリティを強化できます。

デバイス タイプ

デバイスのタイプに応じて、Workspace ONE UEM システムがどのようにデバイスの加入状態を追跡して表示するかが示されます。

  • 許可リスト デバイス - Workspace ONE UEM 管理者は加入が事前承認されているデバイスのリストを追加します。
  • 拒否リスト デバイス - Workspace ONE UEM 管理者は加入が承認されていないデバイスのリストを追加します。
  • 登録済みデバイス(属性なし) - Workspace ONE UEM 管理者は、デバイス情報をコンソールに追加することでデバイスを登録します。管理者がデバイス属性を入力しない場合、システムによりユーザー、プラットフォーム、モデル、所有形態などのデバイス情報が使用されます。
  • 登録済みデバイス(属性あり) - Workspace ONE UEM 管理者は、コンソールにデバイス属性を追加してデバイスを登録します。デバイス属性には、UDID、IMEI、シリアル番号が含まれます。

デバイスの加入ライフサイクル

Workspace ONE UEM を使用したデバイスの加入には 3 つの一般的なステージがあります。

  1. (オプション)管理者がデバイスを登録し、ユーザーが Workspace ONE UEM にデバイスを自分で登録します。

    登録は、加入を制限するのに役立ちます。

  2. デバイス ユーザーまたは管理者が Workspace ONE UEM を使用してデバイスを登録します。

  3. デバイス ユーザーまたは管理者が Workspace ONE UEM を使用してデバイスを加入解除します。

Console に設定状態を表示する

加入タイプ、デバイス タイプ、および加入ステージでは、Windows デバイス([デバイス] > [ライフサイクル] > [加入状態] ページ)に表示される加入状態およびトークンの状態を指定します。

新規加入

タイプ 登録済みデバイス - 加入状態 登録済みデバイス - トークン状態 加入済みデバイス - 加入状態 加入済みデバイス - トークンの状態 加入解除済みデバイス - 加入状態 加入解除済みデバイス - トークンの状態
許可リスト デバイス 登録済み 順守状態 加入済み 順守状態 加入解除 順守状態
拒否リスト デバイス 拒否リスト 非順守状態 該当しない 該当しない 該当しない 該当しない
属性のない登録済みデバイス。属性はシリアル番号、IMEI、UDID です。 登録済み 登録-アクティブ 加入済み 登録-アクティブ 登録済み 登録-アクティブ
属性のある登録済みデバイス。属性はシリアル番号、IMEI、UDID です。 登録済み 登録-アクティブ 加入済み 登録-アクティブ 登録済み 登録-アクティブ

登録済みデバイスのみ(トークンなし)

タイプ 登録済みデバイス - 加入状態 登録済みデバイス - トークン状態 加入済みデバイス - 加入状態 加入済みデバイス - トークンの状態 加入解除済みデバイス - 加入状態 加入解除済みデバイス - トークンの状態
許可リスト デバイス 登録済み 順守状態 加入済み 順守状態 加入解除 順守状態
拒否リスト デバイス 拒否リスト 非順守状態 該当しない 該当しない 該当しない 該当しない
属性のない登録済みデバイス。属性はシリアル番号、IMEI、UDID です。 登録済み 登録-アクティブ 加入済み 登録-アクティブ 登録済み 登録-アクティブ
属性のある登録済みデバイス。属性はシリアル番号、IMEI、UDID です。 登録済み 登録-アクティブ 加入済み 期限切れ 登録済み 登録-アクティブ

登録トークンを要求する

タイプ 登録済みデバイス - 加入状態 登録済みデバイス - トークン状態 加入済みデバイス - 加入状態 加入済みデバイス - トークンの状態 加入解除済みデバイス - 加入状態 加入解除済みデバイス - トークンの状態
属性のない登録済みデバイス。属性はシリアル番号、IMEI、UDID です。 登録済み 登録-アクティブ 加入済み 該当しない 加入解除 登録が期限切れです
属性のある登録済みデバイス。属性はシリアル番号、IMEI、UDID です。 登録済み 登録-アクティブ 加入済み 該当しない 加入解除 登録が期限切れです s
check-circle-line exclamation-circle-line close-line
Scroll to top icon