RSS
 

Windows デスクトップ デバイスの管理

デバイスの加入作業と構成作業が完了したら、Workspace ONE ™ UEM Console を使用してデバイスを管理します。各種の管理ツールおよび管理機能を利用することにより、デバイスを常時監視することや、管理機能をリモートで実行することができます。

Workspace ONE UEM console からすべてのデバイスを管理できます。ダッシュボードの検索や表示形式はカスタマイズが可能で、フィルタ機能で簡単にデバイスを見つけることができます。指定した条件に当てはまるデバイスを特定し、管理操作を実行します。デバイスのリスト表示には、現在貴社の Workspace ONE UEM 環境に加入しているすべてのデバイスと、その状態が表示されています。[デバイス詳細] 画面には、デバイス固有の情報が表示されます。たとえば、現在デバイスにインストールされている、プロファイル、アプリケーション、Workspace ONE Intelligent Hub のバージョン、適合 OEM サービスのバージョンなどです。デバイス詳細画面からデバイスに管理操作をリモートで実行することもできます。詳細画面はプラットフォームにより異なる場合があります。

デバイス ダッシュボード

デバイスを加入させている場合、Workspace ONE UEM の [デバイス ダッシュボード] でそれらのデバイスを管理できます。

UEM Console にデバイス ダッシュボードを表示します。

デバイス ダッシュボード では、デバイス全体の概要情報を確認できます。また、個別のデバイスにすばやく処理を実行することができます。

所有形態タイプや順守状況、プラットフォーム、OS の内訳といった、デバイスに関連する統計情報をグラフで表示します。デバイス ダッシュボード から使用可能なデータ ビューを選択すると、示されているカテゴリに属する各デバイス セットにアクセスできます。

この リスト表示 から、メッセージ送信、デバイス ロック、デバイス削除や、デバイスに関連付けられているグループの変更といった様々な管理操作を行います。

  • セキュリティ – 主要なセキュリティ上の問題に関して、デバイスの状況を表示します。ドーナツ グラフを選択すると、そのセキュリティ上の問題に基づいたフィルタを適用した デバイス リスト が表示されます。セキュリティ上の問題があるデバイスに対し対応措置を取るような順守ポリシーを構成することができます (プラットフォームがサポート対象に含まれる場合)。

    • 侵害状態 – 貴社展開における侵害状態 (ジェイルブレイク状態またはルート化) デバイスの数と割合を表示します。
    • パスコードなし – セキュリティのためのパスコードが構成されていないデバイスの数と割合を表示します。
    • 暗号化されていない状態 – セキュリティのための暗号化が行われていないデバイスの数と割合を表示します。レポートされている数には、Android SD カードの暗号化は含まれていません。このドーナツグラフに含まれるのはディスク暗号化されていない Android のみです。
  • 所有形態 – デバイス数を所有形態カテゴリ別に表示します。棒グラフの一部を選択すると、所有形態に基づいたフィルタを適用した デバイス リスト を表示します。
  • 最後に確認された概要/最後に確認された内訳 – Workspace ONE UEM MDM サーバと最近通信を行ったデバイス数と割合を表示します。たとえば、いくつかのデバイスを 30 日間以上確認できない場合、対応する棒グラフを選択してそれらのデバイスだけを表示します。このようなフィルタリングされたデバイスをすべて選択してクエリ コマンドを送信することで、デバイスがチェックインできるようになります。
  • プラットフォーム – デバイス プラットフォーム カテゴリごとにデバイス数の合計を表示します。いずれかのグラフを選択すると、選択したプラットフォームに基づいたフィルタを適用した デバイス リスト が表示されます。
  • 加入 – 加入カテゴリごとにデバイス数の合計を表示します。いずれかのグラフを選択すると、選択した加入状態に基づいたフィルタを適用した デバイス リスト が表示されます。
  • OS 詳細 – 貴社の全デバイスの OS による内訳を表示します。サポートされている OS ごとに個別のグラフがあります。いずれかのグラフを選択すると、選択したバージョンの OS に基づいたフィルタを適用した デバイス リスト が表示されます。

デバイス リスト表示

Workspace ONE UEM のデバイス リスト表示を使用して、現在選択中の組織グループに属するデバイスの完全なリストを閲覧します。

[デバイス リスト表示] には、現在選択されているデバイスの完全なリストが、フレンドリ名とデバイス状態とともに表示されます。

[最終検出] 列には、デバイスがチェックインしてからの経過時間(分)を示すインジケータが表示されます。このインジケータは、デバイスが非アクティブになっている時間に応じて、赤または緑で表示されます。デフォルト値は 480 分(8 時間)ですが、これはカスタマイズできます。それには、[グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [高度な設定] の順に進み、[デバイス非アクティブ タイムアウト(分)] の値を変更します。

全般情報 カラムのデバイス フレンドリ名を選択して、該当するデバイスの詳細画面をいつでも開くことができます。フレンドリ名 は、同じブランドおよびモデルのデバイスと区別しやすいように、デバイスに割り当てるラベルです。

カラムを並べかえて情報フィルタを構成して、特定の情報を基にアクティビティを確認します。たとえば、順守状態 カラムにフィルタをかけ、現在順守違反状態であるデバイスのみを抽出し、それらのデバイスだけを対象にすることができます。フレンドリ名あるいはユーザー名を使用して全デバイスを検索し、1 つのデバイスまたは 1 人のユーザーを特定することもできます。

デバイス リスト表示レイアウトをカスタマイズする

[レイアウト] ボタンを選択して、[デバイス リスト] 表示に配置できるすべてのカラムを一覧表示し、[カスタム] オプションを選択します。このビューで、「デバイス リスト」 のカラムを表示するか非表示にするかを自由に設定できます。

カスタマイズしたカラム配置を、現在の組織グループ、またはそのサブ組織グループ (OG) のすべての管理者に適用するオプションもあります。たとえば、デバイス リスト 表示の現在の組織グループとそのサブ組織グループすべてから「アセット番号」を非表示にできます。

カスタマイズ完了後、承諾 ボタンを選択して現在の設定を保存すると、新しいカラム表示が適用されます。いつでも [レイアウト] ボタンをクリックし、カラムの表示形式を変えることができます。

デバイス リスト表示の主なカスタム レイアウト カラムには、以下のものがあります。

  • Android Management
  • SSID(サービス セット ID または Wi-Fi ネットワーク名)
  • Wi-Fi MAC アドレス
  • Wi-Fi IP アドレス
  • パブリック IP アドレス

リスト表示のエクスポート

エクスポート ボタンを選択して、デバイス リスト表示 全体を XLSX または CSV(コンマ区切り値)ファイルで保存し、MS Excel で表示して分析できるようにします。デバイス リスト表示 にフィルタを適用している場合は、エクスポートされるリストもそのフィルタに従います。

デバイスリスト表示を検索する

ある特定のデバイスを検索して情報に素早くアクセスし、そのデバイスにリモート操作を実行しなければならないような場合があるかもしれません。

検索を行うには、[デバイス] > [リスト表示] の順に進み、[リストを検索] バーを選択し、ユーザー名、デバイス フレンドリ名または他の識別要素を入力します。このアクションにより、現在の組織グループとすべてのサブグループのすべてのデバイスに検索パラメータを適用して必要なデバイスを検索することができます。

デバイス リスト表示のアクション ボタン クラスタ

デバイス リストのアクション ボタンが表示されます。クエリ、送信、ロック、デバイスの再起動、リモート アシスト、その他のアクション

デバイス リスト表示で 1 つ以上のデバイスを選択すると、アクション ボタン クラスタで、クエリ、[メッセージ] 送信、ロック、および その他のアクション ボタンを通じてアクセスされる他のアクションなど、よく使われるアクションを実行できます。

利用可能なデバイス アクションは、プラットフォーム/デバイス製造元、モデル、加入状態、さらに Workspace ONE UEM console の特定の構成設定により異なります。

リモート アシスト

単一の認定デバイス上でリモート アシスト セッションを開始し、画面を表示してデバイスを制御できます。この機能は、社内のデバイスのトラブルシューティングや高度な構成の実行に最適です。

この機能を使用するには、次の要件を満たす必要があります。

  • Workspace ONE Assist の有効なライセンスを所有している必要があります。
  • 適切な Assist 権限を含む役割が割り当てられた管理者である必要があります。
  • デバイスに Assist アプリがインストールされている必要があります。
  • サポートされているデバイス プラットフォーム:
    • Android
    • iOS
    • macOS
    • Windows デスクトップ
    • Windows Mobile

デバイス リスト表示 に表示されている認定デバイスの左側にあるチェックボックスを選択すると、リモート アシスト ボタンが表示されます。このボタンを選択して、リモート アシスト セッションを開始します。

Windows デスクトップ デバイス詳細画面

Workspace ONE UEM のデバイス詳細画面を使用して、Windows デスクトップ デバイスのデバイス詳細情報を追跡し、ユーザーとデバイス管理操作機能に素早くアクセスできます。デバイス詳細にアクセスするには、デバイス リスト表示からフレンドリ名を選択するか、いずれかのダッシュボードを使用するか、またはいずれかの検索ツールを使用します。

特定のデバイスの詳細を表示します。

Windows プッシュ通知サービスの詳細

Windows プッシュ通知サービス (WNS) とのデバイス通信のステータスは、[デバイス詳細] ページの [ネットワーク] タブで確認できます。WNS は、デバイスへの通知の送信をサポートしていますが、機密情報には使用されません。デバイスが現在オンラインでない場合、サービスは通知をキャッシュし、デバイスが再接続されるまで保持します。WNS の詳細については、「デバイス管理でのプッシュ通知のサポート」を参照してください。

WNS ステータスには次のものがあります。

  • WNS サーバ状態 – 各自の WNS サーバの状態が表示されます。
  • WNS 更新の最終リクエスト – デバイスと Windows プッシュ通知サービス (WNS) の接続の更新が最後に試行された日時。この接続によって、Workspace ONE UEM はデバイスに対するポリシーのクエリとプッシュを実行できます(ネットワーク、バッテリ センス、およびデータ センス条件が許す限り)。
  • 次の WNS 取得リクエスト:– WNS とデバイス間の接続更新を次に試行するスケジュールの日時。
  • WNS チャンネル URI - デバイスと Workspace ONE UEM が使用する WNS 通信エンドポイント。このエンドポイントは次の形式を使用します。https://*.notify.windows.com/?token=_{TOKEN}.

その他のアクション

デバイス詳細 画面の その他のアクション ドロップダウン メニューを使用することにより、選択したデバイスに対してワイヤレスでリモート処理を実行できます。

アクションは、Workspace ONE UEM console の設定、加入状態、などによって異なります。

  • アプリ(クエリ) – インストール済みアプリケーションのリストを返す MDM クエリ コマンドをデバイスに送信します。

    アプリ(クエリ)アクションには、アクティブな加入ユーザー ログインが必要です。

  • [ベースライン(クエリ)] – サンプルのリストを返すデバイスに MDM クエリ コマンドを送信します。

  • [証明書(クエリ)] – インストールされている証明書のリストを返す MDM クエリ コマンドをデバイスに送信します。

    証明書(クエリ)には、アクティブな加入ユーザー ログインが必要です。

  • 組織グループ変更 – デバイスのベース組織グループを、既存の他の組織グループに変更します。静的または動的な組織グループを選択するオプションもあります。

    一度に複数のデバイスの組織グループを変更する場合は、一括操作するデバイスを選択する必要があります。[グローバル] チェック ボックス(デバイス リスト表示の [最終検索] 列見出しの横)ではなく、ブロック選択方法(Shift キーを使用)を使用します。

  • パスコード変更 - ベーシック ユーザーを使用して加入した Windows デスクトップ デバイスのデバイス パスワードを変更します。このメニュー項目はディレクトリ サービスをサポートしていません。このオプションを使用すると、Workspace ONE UEM によって新しいパスワードが生成され、Workspace ONE UEM console に表示されます。デバイスのロックを解除するには、新しいパスワードを使用します。

  • デバイスを削除 – デバイスをコンソールから削除し加入解除します。次のチェックイン時にワイプされたデバイスに企業情報ワイプ コマンドを送信し、コンソールでそのデバイスに 削除中 のマークを付けます。デバイスでワイプ保護がオフになっている場合、発行されたコマンドにより直ちに企業情報ワイプが実行され、コンソールでデバイスの表示が削除されます。
  • デバイス情報(クエリ) – フレンドリ名、プラットフォーム、モデル、組織グループ、OS バージョンおよび所有形態などデバイスの情報を返す MDM クエリ コマンドをデバイスに送信します。
  • [デバイス ワイプ] – デバイスをワイプしてすべてのデータとオペレーティング システムを消去する MDM コマンドを送信します。この操作は元に戻せません。
  • デバイスを編集フレンドリ名アセット番号デバイス所有形態デバイス グループデバイス カテゴリ といったデバイス情報を編集します。

  • 企業情報リセット – デバイスを工場出荷状態に戻し、Workspace ONE UEM 加入だけを残した状態に企業情報リセットします。

    企業情報リセットは、デバイスが破損した場合、またはアプリケーションに不具合が生じた場合に、デバイスを準備完了状態に復元します。ユーザー データ、ユーザー アカウント、および管理対象アプリケーションを保持しながら、Windows OS を再インストールします。デバイスは、再同期後に、自動展開されたエンタープライズ設定、ポリシー、アプリケーションを再同期しますが、引き続き Workspace ONE によって管理されます。

  • 企業情報ワイプ – デバイスの加入を解除し、アプリケーションやプロファイルを含む、すべての管理企業リソースを削除します。

    • この操作は元に戻すことができず、このデバイスを Workspace ONE UEM で再度管理するには、再加入が必要になります。
    • このデバイス操作では、今後の再加入を防止するオプションと、操作に関する情報を追加するための メモ内容 テキスト ボックスが提供されます。
    • Windows デバイス上に管理対象アプリケーションを保持する場合は、企業情報ワイプ ウィザードで [アプリケーションをデバイス上に保持] メニュー項目を選択します。この機能は、新しいユーザーのためにデバイスをすばやく加入したい場合や、再割り当てされた Windows デバイスに大きなサイズのアプリケーションがインストールされるのを待ちたくない場合に役立ちます。Windows デバイスとアプリケーションがこれらの要件を満たすまで、この機能にはアクセスできません。
      • Windows マシンには、アプリケーション展開エージェントがインストールされている必要があります。
        • SaaS およびオンプレミス展開の場合、Workspace ONE UEM の [ソフトウェアの配布] はデフォルトで有効になっています。ソフトウェア配布機能は、Workspace ONE UEM 環境で管理されている Windows デバイスに、アプリケーション展開エージェントを自動的に展開します。この機能を無効にした場合は、再度有効にして、最新のアプリケーション展開エージェントがデバイスに展開されていることを確認する必要があります。
        • コンソールは、コンソールの更新ごとに最新のアプリケーション展開エージェントを送信し、デバイスは更新を自動的に受信します。
        • 企業情報ワイプ ウィザードの [アプリケーションをデバイス上に保持] 列は、デバイスがこの機能の要件を満たしているかどうかを示します。
      • 企業情報ワイプの実行後にデバイス上に保持するアプリケーションは、Workspace ONE UEM で管理する必要があります。この機能は、管理対象外のアプリケーションには使用できません。

注: クラウド ドメイン参加デバイスでは、企業情報ワイプはサポートされていません。

  • BIOS パスワードのリセットを強制 – BIOS パスワードを新しい自動生成されたパスワードにリセットするように、デバイスに強制します。

  • [デバイスロック] – 選択したデバイスをロックする MDM コマンドを送信します。デバイスはロック解除されるまで使用できなくなります。

    重要:デバイスをロックする際にコマンドが処理されるためには、加入ユーザーがデバイスにサインインしている必要があります。ロック コマンドによりデバイスがロックされ、サインインしているすべてのユーザーは再度 Windows の認証を行うように要求されます。加入ユーザーがデバイスにサインインしている場合、デバイス ロック コマンドはデバイスをロックします。加入ユーザーがサインインしていない場合は、デバイス ロック コマンドは処理されません。

  • すべてクエリ – インストール済みアプリケーション(該当する場合は Workspace ONE Intelligent Hub を含む)、ブック、証明書、デバイス情報、プロファイル、とセキュリティ対策のリストを返すクエリ コマンドをデバイスに送信します。

  • デバイスの再起動 – 電源をオフにし再度オンにする操作を行い、デバイスをリモートで再起動します。
  • リモート管理 – このアクションを使用してサポートするデバイスを遠隔から制御します。コンソール アプリケーションを起動し、デバイスにサポートやトラブルシューティングを実行できます。

  • Hub を修復 - Workspace ONE Intelligent Hub を Windows デバイスで修復して、コンソールとデバイスの間の通信を再確立します。

    特定のイベントによって、デバイスとコンソールの間の通信が影響を受ける場合があります。たとえば、重要な Workspace ONE UEM サービスの停止、Workspace ONE Intelligent Hub 関連ファイルの削除または破損、ネットワークの中断による Workspace ONE Intelligent Hub コンポーネントのアップグレードの失敗などがあります。

    [Hub を修復] コマンドは、これらの問題を修正するように対処します。Hub は、正常に修復されると、HMAC をリカバリするコマンドがないかチェックします。HMAC エラーがあった場合、HMAC を自動的にリカバリします。[Hub を修復] では、バージョンのアップグレードがないかもチェックされます。アップデートが検出され、自動である場合、Hub へのアップデートが有効になり、Hub がアップグレードされます。

  • デバイス ログ要求 – 選択したデバイスのデバッグ ログを要求します。ログを確認するには [さらに] タブを選択して [添付ファイル] > [ドキュメント] の順に進みます。Workspace ONE UEM console 内でログを表示することはできません。ログはトラブルシューティングとサポート目的で使用され、ZIP ファイルで配信されます。

    ログを要求するときに、[システム] または [Hub] からログを受信するように選択できます。システム はシステムレベルのログを提供します。Hub は、デバイスで実行されている複数のエージェントからのログを提供します。

  • セキュリティ(クエリ) – アクティブなセキュリティ対策(デバイス マネージャ、暗号化、パスコード、証明書など)のリストを返す MDM クエリ コマンドをデバイスに送信します。

  • メッセージを送信 – 選択したデバイスのユーザーにメッセージを送信します。E メールプッシュ通知(AirWatch Cloud Messaging を使用)、および SMS の中から選択します。
  • BIOS パスワードを表示 – Workspace ONE UEM console で自動生成されたデバイスの BIOS パスワードを表示します。[最後に適用されたパスワード][最後に送信されたパスワード] が表示されます。
  • BitLocker を一時停止 - コンソールから BitLocker 暗号化を一時停止および再開できるようになりました。この機能は、BitLocker の管理権限を持たないユーザーが、デバイスのサポートを必要としている場合に役立ちます。

    デバイスの [BitLocker を一時停止] を選択すると、コンソールにいくつかのオプションが表示されますが、その中に [再起動の回数] を選択するオプションがあります。該当するシナリオでデバイスが再起動すると思われる回数を選択します。たとえば、ユーザーの BIOS 更新をサポートする場合、システムの再起動が 2 回必要になる可能性があるので、[3] を選択します。この値を選択すると、暗号化を一時停止した状態で追加の再起動を 1 回行って、BitLocker を再開する前に BIOS が正しく更新されたことを確認することができます。

    ただし、タスクで必要な再起動の回数が分からない場合は、大きい値を選択します。タスクを完了したら、[その他のアクション] > [BitLocker を再開] を使用できます。

Microsoft HoloLens デバイスの管理

Workspace ONE UEM では、Microsoft HoloLens デバイスの加入と管理をサポートしています。Windows HoloLens デバイスを管理するには、ネイティブの加入および管理機能を使用する必要があります。

Workspace ONE UEM を使用して HoloLens デバイスを管理するには、ライセンス XML ファイルをデバイスに適用する必要があります。HoloLens 1 デバイスを使用している場合は、加入前にこのファイルを適用する必要があります。ライセンスの適用の詳細については、「Windows Holographic for Business 機能のロック解除」を参照してください。この手順は、HoloLens 2 デバイスでは必要ありません。

HoloLens デバイスの加入

ネイティブの管理機能を使用して、Microsoft HoloLens デバイスを Workspace ONE UEM に加入できます。HoloLens デバイスでは Workspace ONE Intelligent Hub 機能がサポートされていないため、ネイティブの Windows 加入方法を使用する必要があります。Windows 自動検出の有無にかかわらず、ネイティブ MDM 加入手順のいずれかを使用して加入します。

HoloLens デバイスの管理

加入後に Workspace ONE UEM を使用して、サポートされているプロファイルを HoloLens デバイスに適用できます。サポートされている CSP のリストについては、「CSPs supported in HoloLens devices」を参照してください。

Arm64 デバイスの管理と加入

Workspace ONE UEM は、Windows 11 を実行している ARM64 デバイスの加入と管理をサポートします。Workspace ONE Intelligent Hub は ARM64 でサポートされており、Hub またはネイティブ MDM 加入を使用して ARM64 デバイスを加入させることができます。デバイスを加入した後、Workspace ONE UEM を使用して、アプリの展開と管理、センサー、スクリプト、および一部のプロファイルの適用を行うことができます。現在、ARM64 デバイスでは、すべての OMADM プロファイルと Hub ベースの暗号化プロファイルがサポートされています。

注:WMI ベースのセンサー クエリは ARM64 デバイスではサポートされていません。代わりに CIM ベースのクエリを使用する必要があります。一般的に、すべての Windows デバイスには CIM ベースのセンサー クエリが推奨されます。

プロダクト プロビジョニング

プロダクト プロビジョニングを使用すると、管理者は、Workspace ONE ™ UEM を使用してプロファイル、アプリケーション、ファイル/アクション、または(使用されるプラットフォームによっては)イベント アクションを含むプロダクトを作成することができます。これらのプロダクトは、決められた一連の規則、スケジュール、依存関係をガイドラインとして使用し、必要なコンテンツの最新版を貴社のデバイスに届けます。

プロダクト プロビジョニングの対象には、リレー サーバも含まれています。これらのリレー サーバは FTP(S) サーバであり、デバイスと Workspace ONE UEM console を仲介する役割を担っています。このようなサーバを作成して、各店舗や倉庫などでプロダクトのコンテンツをデバイスに配布可能な状態に維持しておくことができます。詳細については、「プロダクト プロビジョニング」を参照してください。

Windows デバイスの更新の管理

Windows デバイスの更新がデバイス プロファイルの下に表示されるようになりました。Workspace ONE UEM Console で、次の場所に移動します。[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] > [プロファイルを追加を選択] > [Windows] > [Windows デスクトップ] > [デバイス プロファイル] > [Windows Update]

UEM Console の [Windows デバイス更新] ボックスを表示します。

個別に構成できるカテゴリは 5 つあります。1.デバイスのスケジュール設定 2.更新動作 1.デバイスの動作 1.配信最適化 1.OS バージョン

管理者は、それぞれのニーズに応じてこれらの設定をカスタマイズできます。最も頻繁に使用される設定は、カテゴリごとにデフォルトで設定されます。[有効化] または [無効化] を選択すると、必要に応じてこれらのカテゴリを構成できます。構成が完了したら、[保存して公開] を選択します。

更新ダッシュボード

管理者は、[デバイス詳細の更新] タブで個々の更新をクリックして、追加のメタデータと、デバイス全体の更新のインストール状態を表示できます。画面の中央には、デバイスごとのバージョンとステータスの両方のポリシー展開に関する情報が表示されます。

機能更新プログラムと品質更新プログラムのトラブルシューティング

特定のドライバまたはアプリケーションと組み合わせて使用する際に、Windows Updates によって問題が生じる可能性があるため、これらの状況の管理者によるトラブルシューティングに役立つ 3 つのボタンが追加されました。

追加された Windows Updates ボタンを表示します。

  1. 一時停止 - このボタンを使用すると、機能更新プログラムと品質更新プログラムの両方をリリース前に一時停止できます(ただし 35 日間のみ)。
  2. 再開 - このボタンを使用すると、Windows Update の検索とインストールが再度有効になります。更新を再開すると、開始時刻のレジストリがクリアされます。
  3. ロールバック - このボタンを使用すると、実行された更新プログラムで予期しない問題が発生した場合に、一時的にこれを以前のバージョンに戻し、問題の解決にあたることができます。

これらのボタン コマンドのいずれかが有効になると、コマンドはデバイス上でキューに登録され、イベント ログは空のままになります。コマンドのステータスも変更されませんが、引き続き保留中として表示されます。成功または失敗は、 コンソールの [トラブルシューティング] タブに表示されます。すべてのボタン コマンドで、35 日間は Microsoft が許可する遅延時間の最大値です。

check-circle-line exclamation-circle-line close-line
Scroll to top icon