デバイスの加入作業と構成作業が完了したら、Workspace ONE ™ UEM Console を使用してデバイスを管理します。各種の管理ツールおよび管理機能を利用することにより、デバイスを常時監視することや、管理機能をリモートで実行することができます。
Workspace ONE UEM console からすべてのデバイスを管理できます。ダッシュボードの検索や表示形式はカスタマイズが可能で、フィルタ機能で簡単にデバイスを見つけることができます。指定した条件に当てはまるデバイスを特定し、管理操作を実行します。デバイスのリスト表示には、現在貴社の Workspace ONE UEM 環境に加入しているすべてのデバイスと、その状態が表示されています。[デバイス詳細] 画面には、デバイス固有の情報が表示されます。たとえば、現在デバイスにインストールされている、プロファイル、アプリケーション、Workspace ONE Intelligent Hub のバージョン、適合 OEM サービスのバージョンなどです。デバイス詳細画面からデバイスに管理操作をリモートで実行することもできます。詳細画面はプラットフォームにより異なる場合があります。
デバイスが加入している場合、Workspace ONE UEM powered by AirWatch の [デバイス ダッシュボード] からデバイスを管理できます。
デバイス ダッシュボード では、デバイス全体の概要情報を確認できます。また、個別のデバイスにすばやく処理を実行することができます。
所有形態タイプや順守状況、プラットフォーム、OS の内訳といった、デバイスに関連する統計情報をグラフで表示します。デバイス ダッシュボード から使用可能なデータ ビューを選択すると、示されているカテゴリに属する各デバイス セットにアクセスできます。
この リスト表示 から、メッセージ送信、デバイス ロック、デバイス削除や、デバイスに関連付けられているグループの変更といった様々な管理操作を行います。
セキュリティ – 主要なセキュリティ上の問題に関して、デバイスの状況を表示します。ドーナツ グラフを選択すると、そのセキュリティ上の問題に基づいたフィルタを適用した デバイス リスト が表示されます。セキュリティ上の問題があるデバイスに対し対応措置を取るような順守ポリシーを構成することができます (プラットフォームがサポート対象に含まれる場合)。
最後に確認された概要/最後に確認された内訳 – Workspace ONE UEM MDM サーバと最近通信を行ったデバイス数と割合を表示します。たとえば、いくつかのデバイスを 30 日間以上確認できない場合、対応する棒グラフを選択してそれらのデバイスだけを表示します。このようなフィルタリングされたデバイスをすべて選択してクエリ コマンドを送信することで、デバイスがチェックインできるようになります。
プラットフォーム – デバイス プラットフォーム カテゴリごとにデバイス数の合計を表示します。いずれかのグラフを選択すると、選択したプラットフォームに基づいたフィルタを適用した デバイス リスト が表示されます。
加入 – 加入カテゴリごとにデバイス数の合計を表示します。いずれかのグラフを選択すると、選択した加入状態に基づいたフィルタを適用した デバイス リスト が表示されます。
OS 詳細 – 貴社の全デバイスの OS による内訳を表示します。サポートされている OS ごとに個別のグラフがあります。いずれかのグラフを選択すると、選択したバージョンの OS に基づいたフィルタを適用した デバイス リスト が表示されます。
AirWatch がサポートする Workspace ONE UEM のデバイス リスト表示を使用して、現在選択中の組織グループに属するデバイスの完全なリストを閲覧します。
[最終検出] 列には、デバイスがチェックインしてからの経過時間(分)を示すインジケータが表示されます。このインジケータは、デバイスが非アクティブになっている時間に応じて、赤または緑で表示されます。デフォルト値は 480 分(8 時間)ですが、これはカスタマイズできます。それには、[グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [高度な設定] の順に進み、[デバイス非アクティブ タイムアウト(分)] の値を変更します。
全般情報 カラムのデバイス フレンドリ名を選択して、該当するデバイスの詳細画面をいつでも開くことができます。フレンドリ名 は、同じブランドおよびモデルのデバイスと区別しやすいように、デバイスに割り当てるラベルです。
カラムを並べかえて情報フィルタを構成して、特定の情報を基にアクティビティを確認します。たとえば、順守状態 カラムにフィルタをかけ、現在順守違反状態であるデバイスのみを抽出し、それらのデバイスだけを対象にすることができます。フレンドリ名あるいはユーザー名を使用して全デバイスを検索し、1 つのデバイスまたは 1 人のユーザーを特定することもできます。
[レイアウト] ボタンを選択して、[デバイス リスト] 表示に配置できるすべてのカラムを一覧表示し、[カスタム] オプションを選択します。このビューで、「デバイス リスト」 のカラムを表示するか非表示にするかを自由に設定できます。
カスタマイズしたカラム配置を、現在の組織グループ、またはそのサブ組織グループ (OG) のすべての管理者に適用するオプションもあります。たとえば、デバイス リスト 表示の現在の組織グループとそのサブ組織グループすべてから「アセット番号」を非表示にできます。
カスタマイズ完了後、承諾 ボタンを選択して現在の設定を保存すると、新しいカラム表示が適用されます。いつでも [レイアウト] ボタンをクリックし、カラムの表示形式を変えることができます。
デバイス リスト表示の主なカスタム レイアウト カラムには、以下のものがあります。
エクスポート ボタンを選択して、デバイス リスト表示 全体を XLSX または CSV(コンマ区切り値)ファイルで保存し、MS Excel で表示して分析できるようにします。デバイス リスト表示 にフィルタを適用している場合は、エクスポートされるリストもそのフィルタに従います。
ある特定のデバイスを検索して情報に素早くアクセスし、そのデバイスにリモート操作を実行しなければならないような場合があるかもしれません。
検索を行うには、[デバイス] > [リスト表示] の順に進み、[リストを検索] バーを選択し、ユーザー名、デバイス フレンドリ名または他の識別要素を入力します。このアクションにより、現在の組織グループとすべてのサブグループのすべてのデバイスに検索パラメータを適用して必要なデバイスを検索することができます。
デバイス リスト表示で 1 つ以上のデバイスを選択すると、アクション ボタン クラスタで、クエリ、[メッセージ] 送信、ロック、および その他のアクション ボタンを通じてアクセスされる他のアクションなど、よく使われるアクションを実行できます。
利用可能なデバイス アクションは、プラットフォーム/デバイス製造元、モデル、加入状態、さらに Workspace ONE UEM console の特定の構成設定により異なります。
単一の認定デバイス上でリモート アシスト セッションを開始し、画面を表示してデバイスを制御できます。この機能は、社内のデバイスのトラブルシューティングや高度な構成の実行に最適です。
この機能を使用するには、次の要件を満たす必要があります。
デバイス リスト表示 に表示されている認定デバイスの左側にあるチェックボックスを選択すると、リモート アシスト ボタンが表示されます。このボタンを選択して、リモート アシスト セッションを開始します。
AirWatch がサポートする Workspace ONE UEM のデバイス詳細画面を使用して、Windows デスクトップ デバイスのデバイス詳細情報を追跡し、ユーザー/デバイス管理操作機能に素早くアクセスできます。
デバイス詳細にアクセスするには、デバイス リスト表示からフレンドリ名を選択するか、いずれかのダッシュボードを使用するか、またはいずれかの検索ツールを使用します。
デバイス詳細画面のメニュー タブを選び、必要な詳細情報にアクセスすることができます。各タブには、貴社の Workspace ONE UEM 展開に応じたデバイスの関連情報が含まれています。
Windows プッシュ通知サービス (WNS) とのデバイス通信のステータスは、[デバイス詳細] ページの [ネットワーク] タブで確認できます。WNS は、デバイスへの通知の送信をサポートしていますが、機密情報には使用されません。デバイスが現在オンラインでない場合、サービスは通知をキャッシュし、デバイスが再接続されるまで保持します。WNS の詳細については、「デバイス管理でのプッシュ通知のサポート」を参照してください。
WNS ステータスには次のものがあります。
https://*.notify.windows.com/?token=_{TOKEN}。デバイス詳細 画面の その他のアクション ドロップダウン メニューを使用することにより、選択したデバイスに対してワイヤレスでリモート処理を実行できます。
アクションは、Workspace ONE UEM console の設定、加入状態、などによって異なります。
アプリ(クエリ) – インストール済みアプリケーションのリストを返す MDM クエリ コマンドをデバイスに送信します。
アプリ(クエリ)アクションには、アクティブな加入ユーザー ログインが必要です。
[ベースライン(クエリ)] – サンプルのリストを返すデバイスに MDM クエリ コマンドを送信します。
[証明書(クエリ)] – インストールされている証明書のリストを返す MDM クエリ コマンドをデバイスに送信します。
証明書(クエリ)には、アクティブな加入ユーザー ログインが必要です。
組織グループ変更 – デバイスのベース組織グループを、既存の他の組織グループに変更します。静的または動的な組織グループを選択するオプションもあります。
一度に複数のデバイスの組織グループを変更する場合は、一括操作するデバイスを選択する必要があります。[グローバル] チェック ボックス(デバイス リスト表示の [最終検索] 列見出しの横)ではなく、ブロック選択方法(Shift キーを使用)を使用します。
パスコード変更 - ベーシック ユーザーを使用して加入した Windows デスクトップ デバイスのデバイス パスワードを変更します。このメニュー項目はディレクトリ サービスをサポートしていません。このオプションを使用すると、Workspace ONE UEM によって新しいパスワードが生成され、Workspace ONE UEM console に表示されます。デバイスのロックを解除するには、新しいパスワードを使用します。
デバイスを削除 – デバイスをコンソールから削除し加入解除します。次のチェックイン時にワイプされたデバイスに企業情報ワイプ コマンドを送信し、コンソールでそのデバイスに 削除中 のマークを付けます。デバイスでワイプ保護がオフになっている場合、発行されたコマンドにより直ちに企業情報ワイプが実行され、コンソールでデバイスの表示が削除されます。
デバイス情報(クエリ) – フレンドリ名、プラットフォーム、モデル、組織グループ、OS バージョンおよび所有形態などデバイスの情報を返す MDM クエリ コマンドをデバイスに送信します。
[デバイス ワイプ] – デバイスをワイプしてすべてのデータとオペレーティング システムを消去する MDM コマンドを送信します。この操作は元に戻せません。
デバイスを編集 – フレンドリ名、アセット番号、デバイス所有形態、デバイス グループ、デバイス カテゴリ といったデバイス情報を編集します。
企業情報リセット – デバイスを工場出荷状態に戻し、Workspace ONE UEM 加入だけを残した状態に企業情報リセットします。
企業情報リセットは、デバイスが破損した場合、またはアプリケーションに不具合が生じた場合に、デバイスを準備完了状態に復元します。ユーザー データ、ユーザー アカウント、および管理対象アプリケーションを保持しながら、Windows OS を再インストールします。デバイスは、再同期後に、自動展開されたエンタープライズ設定、ポリシー、アプリケーションを再同期しますが、引き続き Workspace ONE によって管理されます。
企業情報ワイプ – デバイスの加入を解除し、アプリケーションやプロファイルを含む、すべての管理企業リソースを削除します。
注: クラウド ドメイン参加デバイスでは、企業情報ワイプはサポートされていません。
BIOS パスワードのリセットを強制 – BIOS パスワードを新しい自動生成されたパスワードにリセットするように、デバイスに強制します。
[デバイスロック] – 選択したデバイスをロックする MDM コマンドを送信します。デバイスはロック解除されるまで使用できなくなります。
**重要:**デバイスをロックする際にコマンドが処理されるためには、加入ユーザーがデバイスにサインインしている必要があります。ロック コマンドによりデバイスがロックされ、サインインしているすべてのユーザーは再度 Windows の認証を行うように要求されます。加入ユーザーがデバイスにサインインしている場合、デバイス ロック コマンドはデバイスをロックします。加入ユーザーがサインインしていない場合は、デバイス ロック コマンドは処理されません。
すべてクエリ – インストール済みアプリケーション(該当する場合は Workspace ONE Intelligent Hub を含む)、ブック、証明書、デバイス情報、プロファイル、とセキュリティ対策のリストを返すクエリ コマンドをデバイスに送信します。
デバイスの再起動 – 電源をオフにし再度オンにする操作を行い、デバイスをリモートで再起動します。
リモート管理 – このアクションを使用してサポートするデバイスを遠隔から制御します。コンソール アプリケーションを起動し、デバイスにサポートやトラブルシューティングを実行できます。
Hub を修復 - Workspace ONE Intelligent Hub を Windows デバイスで修復して、コンソールとデバイスの間の通信を再確立します。
特定のイベントによって、デバイスとコンソールの間の通信が影響を受ける場合があります。たとえば、重要な Workspace ONE UEM サービスの停止、Workspace ONE Intelligent Hub 関連ファイルの削除または破損、ネットワークの中断による Workspace ONE Intelligent Hub コンポーネントのアップグレードの失敗などがあります。
[Hub を修復] コマンドは、これらの問題を修正するように対処します。Hub は、正常に修復されると、HMAC をリカバリするコマンドがないかチェックします。HMAC エラーがあった場合、HMAC を自動的にリカバリします。[Hub を修復] では、バージョンのアップグレードがないかもチェックされます。アップデートが検出され、自動である場合、Hub へのアップデートが有効になり、Hub がアップグレードされます。
デバイス ログ要求 – 選択したデバイスのデバッグ ログを要求します。ログを確認するには [さらに] タブを選択して [添付ファイル] > [ドキュメント] の順に進みます。Workspace ONE UEM console 内でログを表示することはできません。ログはトラブルシューティングとサポート目的で使用され、ZIP ファイルで配信されます。
ログを要求するときに、[システム] または [Hub] からログを受信するように選択できます。システム はシステムレベルのログを提供します。Hub は、デバイスで実行されている複数のエージェントからのログを提供します。
セキュリティ(クエリ) – アクティブなセキュリティ対策(デバイス マネージャ、暗号化、パスコード、証明書など)のリストを返す MDM クエリ コマンドをデバイスに送信します。
メッセージを送信 – 選択したデバイスのユーザーにメッセージを送信します。E メール、プッシュ通知(AirWatch Cloud Messaging を使用)、および SMS の中から選択します。
BIOS パスワードを表示 – Workspace ONE UEM console で自動生成されたデバイスの BIOS パスワードを表示します。[最後に適用されたパスワード] と [最後に送信されたパスワード] が表示されます。
BitLocker を一時停止 - コンソールから BitLocker 暗号化を一時停止および再開できるようになりました。この機能は、BitLocker の管理権限を持たないユーザーが、デバイスのサポートを必要としている場合に役立ちます。
デバイスの [BitLocker を一時停止] を選択すると、コンソールにいくつかのオプションが表示されますが、その中に [再起動の回数] を選択するオプションがあります。該当するシナリオでデバイスが再起動すると思われる回数を選択します。たとえば、ユーザーの BIOS 更新をサポートする場合、システムの再起動が 2 回必要になる可能性があるので、[3] を選択します。この値を選択すると、暗号化を一時停止した状態で追加の再起動を 1 回行って、BitLocker を再開する前に BIOS が正しく更新されたことを確認することができます。
ただし、タスクで必要な再起動の回数が分からない場合は、大きい値を選択します。タスクを完了したら、[その他のアクション] > [BitLocker を再開] を使用できます。
Workspace ONE UEM では、Microsoft HoloLens デバイスの加入と管理をサポートしています。Windows HoloLens デバイスを管理するには、ネイティブの加入および管理機能を使用する必要があります。
Workspace ONE UEM を使用して HoloLens デバイスを管理するには、ライセンス XML ファイルをデバイスに適用する必要があります。HoloLens 1 デバイスを使用している場合は、加入前にこのファイルを適用する必要があります。ライセンスの適用の詳細については、「Windows Holographic for Business 機能のロック解除」を参照してください。この手順は、HoloLens 2 デバイスでは必要ありません。
ネイティブの管理機能を使用して、Microsoft HoloLens デバイスを Workspace ONE UEM に加入できます。HoloLens デバイスでは Workspace ONE Intelligent Hub 機能がサポートされていないため、ネイティブの Windows 加入方法を使用する必要があります。Windows 自動検出の有無にかかわらず、ネイティブ MDM 加入手順のいずれかを使用して加入します。
加入後に Workspace ONE UEM を使用して、サポートされているプロファイルを HoloLens デバイスに適用できます。サポートされている CSP のリストについては、「CSPs supported in HoloLens devices」を参照してください。
Workspace ONE UEM は、Windows 11 を実行している ARM64 デバイスの加入と管理をサポートします。Workspace ONE Intelligent Hub は ARM64 でサポートされており、Hub またはネイティブ MDM 加入を使用して ARM64 デバイスを加入させることができます。 デバイスを加入した後、Workspace ONE UEM を使用して、アプリの展開と管理、センサー、スクリプト、および一部のプロファイルの適用を行うことができます。現在、ARM64 デバイスでは、すべての OMADM プロファイルと Hub ベースの暗号化プロファイルがサポートされています。
**注:**WMI ベースのセンサー クエリは ARM64 デバイスではサポートされていません。 代わりに CIM ベースのクエリを使用する必要があります。一般的に、すべての Windows デバイスには CIM ベースのセンサー クエリが推奨されます。
プロダクト プロビジョニングを使用すると、管理者は、Workspace ONE ™ UEM を使用してプロファイル、アプリケーション、ファイル/アクション、または(使用されるプラットフォームによっては)イベント アクションを含むプロダクトを作成することができます。これらのプロダクトは、決められた一連の規則、スケジュール、依存関係をガイドラインとして使用し、必要なコンテンツの最新版を貴社のデバイスに届けます。
プロダクト プロビジョニングの対象には、リレー サーバも含まれています。これらのリレー サーバは FTP(S) サーバであり、デバイスと Workspace ONE UEM console を仲介する役割を担っています。このようなサーバを作成して、各店舗や倉庫などでプロダクトのコンテンツをデバイスに配布可能な状態に維持しておくことができます。詳細については、「プロダクト プロビジョニング」を参照してください。
Windows デバイスの更新がデバイス プロファイルの下に表示されるようになりました。 Workspace ONE UEM Console で、次の場所に移動します。[デバイス] > [プロファイル] > [追加] > [プロファイルを追加を選択] > [Windows] > [Windows デスクトップ] > [デバイス プロファイル] > [Windows Update]。
個別に構成できるカテゴリは 5 つあります。
管理者は、それぞれのニーズに応じてこれらの設定をカスタマイズできます。最も頻繁に使用される設定は、カテゴリごとにデフォルトで設定されます。 [有効化] または [無効化] を選択すると、必要に応じてこれらのカテゴリを構成できます。構成が完了したら、[保存して公開] を選択します。
管理者は、[デバイス詳細の更新] タブで個々の更新をクリックして、更新に関する追加のメタデータと、デバイス全体の更新のインストール状態を表示できます。ページの中央には、デバイスごとにバージョン別およびステータス別のポリシー展開に関する情報が表示されます。
