Windows 用の Workspace ONE UEM プロファイル

Windows デバイスを管理および構成する主な手段は、Workspace ONE UEM のプロファイルです。リソースの接続や保護を実現するさまざまなプロファイル、デバイスを制限および制御するプロファイル、および Dell 固有のプロファイルに関する情報を参照してください。

プロファイルとは

プロファイルを順守ポリシーと組み合わせて使用することで、企業の規則や手順を施行する設定機能として、活用することができます。プロファイルには設定、構成やデバイス上で強制したい制限事項が含まれます。

プロファイルは、全般プロファイル設定と具体的なペイロードで構成されます。プロファイルが最適に機能するのは、単一のペイロードのみが含まれている場合です。Workspace ONE UEM コンソールで、ユーザープロファイルとデバイスプロファイルの両方を確認するには、次の順に移動します。[リソース] > [プロファイルとベースライン] > [プロファイル]。

[UEM プロファイル] 画面が表示されます。

ユーザーまたはデバイスレベル

Windows デスクトッププロファイルは、ユーザーレベルまたはデバイスレベルでデバイスに適用されます。Windows デスクトッププロファイルを作成する際に、プロファイルを適用するレベルを選択します。一部のプロファイルは、両方のレベルで使用することができず、ユーザーレベルまたはデバイスレベルにのみ適用できます。Workspace ONE UEM console は、どのプロファイルがどのレベルで使用可能かを識別します。デバイスプロファイルおよびユーザープロファイルを正常に使用する場合の注意点には、次のようなものがあります。

Workspace ONE UEM は、デバイスにアクティブな加入ユーザーログインがない場合でも、デバイスのコンテキストに適用されるコマンドを実行します。
ユーザー固有のプロファイルには、アクティブな加入ユーザーログインが必要です。

デバイスのセットアップと制御に使用できる標準プロファイルとコマンドがいくつかあります。次のチャートは、プロファイルとコンソールの両方に対するコマンドを示しています。このコマンドを実行するためにアクティブなウィンドウユーザーは不要になりました。

プロファイル名	アクティブな Windows ユーザーなしでインストール
パスワード	はい
Wi-Fi	はい
VPN	はい
認証情報	はい
制限事項	はい
Defender Exploit Guard	はい
(削除)	はい
Windows Hello	はい
ファイアウォール	はい
暗号化	はい
ウイルス対策	はい
Windows 更新プログラム	はい
プロキシ	はい
SCEP	はい
アプリケーション制御	はい
Windows ライセンス	はい
カスタムプロファイル（HUB および OMA-DM）	はい
キオスク	はい
個人用設定	はい
ピアツーピア	はい
Unified Writer Filter	はい

コンソールアクション	アクティブな Windows ユーザーなしで動作
デバイスセキュリティ	はい
Windows 情報	はい
正常性構成証明	はい
利用可能な OS 更新	はい
Hub チェックイン	はい
証明書リストサンプル	はい
セキュリティ情報	はい
関連情報	はい
アプリリストサンプル - HUB	はい
アプリリストサンプル - OMA-DM	はい
センサー	はい
ワークフロー	はい
時間枠	はい
リブート	はい
企業情報ワイプ	はい
デバイスワイプ	はい
企業情報リセット	はい
デバイスログを要求	はい

Windows ユーザープロファイルとデバイスプロファイルを構成するための新しいプロファイルオプション

2 つ目の Windows (ベータ版) プラットフォームビルダーを追加して、ユーザープロファイルとデバイスプロファイルを割り当てる方法のオプションを更新しました。コンソールでユーザープロファイルまたはデバイスプロファイルを追加する場合は、Windows または Windows (ベータ版) プラットフォームのいずれかから選択する必要があります。ナビゲーション：[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] > [プロファイルの追加] > [Windows] または [Windows（ベータ版）] コンソールナビゲーションが表示され、新しいプロファイルが追加されます。 Windows または Windows (ベータ版) を選択するオプションが表示されます。

Windows プラットフォームオプション

このプラットフォームオプションを使用して、カスタム設定と Workspace ONE Intelligent Hub との統合を使用して、引き続きユーザーおよびデバイスプロファイルを追加およびカスタマイズできます。Intelligent Hub を使用してカスタム設定を構成した場合は、ベータ版では現時点ですべてのカスタム設定がサポートされないため、新しい Windows (ベータ版) プラットフォームオプションに移行する代わりにこのオプションを引き続き使用します。

Windows (ベータ版) プラットフォームオプション

ユーザープロファイルとデバイスプロファイルにカスタム設定を使用しない場合は、このプラットフォームオプションに移行します。プロファイルを追加するときに、Microsoft Native Configuration Service Provider (CSP) オプションを検索し、必要に応じてプロファイルに適用できます。現在機能フラグが立っていない VMware テンプレート追加するなど、今後、機能強化が行われる予定です。

Microsoft ネイティブ CSP を使用して新しいプロファイルを追加するための画面が表示されます。

カスタム設定は現在サポートされていません。CSP の詳細の完全なリストは、Microsoft の Web サイト (ポリシー CSP の詳細) で確認できます。

Microsoft ネイティブテンプレート

Windows (ベータ版) プラットフォームオプションでは、機能フラグなしで Microsoft ネイティブテンプレートを使用できます。[Microsoft ネイティブ] タブで、必要に応じて他の Microsoft ネイティブ CSP オプションを検索して適用できます。[アカウント] ドロップダウンで、サポートされている Windows バージョン情報 (Microsoft が提供している場合) が追加された機能に表示されます。

新しい Microsoft ネイティブプロファイルを追加するときに、Microsoft から提供されている場合、サポートされている Windows バージョン情報が表示されるようになりました。

機能フラグ - VMware テンプレート

Microsoft ネイティブテンプレートなどの Windows（ベータ版）プラットフォームオプションで、機能フラグの後ろに、Data-Driven User Interface (DDUI) VMware テンプレートが作成されました。[VMware テンプレート] タブでは、管理者によりきめ細かいオプションを提供し、事前構成された設定を使用して一部の Microsoft ネイティブ CSP により詳細なレベルのカスタマズを設定し、次の 3 つの最も一般的な構成をカスタマイズできます。配信最適化、パッチ管理、およびプロキシ。これらのセクションのトグルを使用して、必要に応じて事前構成済みの設定を調整できます。

機能フラグが有効になっている新しいプロファイルを追加する画面に [VMware テンプレート] タブと [Microsoft ネイティブ] タブが表示されます。

注：Microsoft ネイティブと VMware テンプレートの両方のタブを構成する場合は、他のタブをオーバーライドしたり、問題が発生したりする可能性があるため、VMware テンプレートの項目も Microsoft ネイティブで設定されていないことを確認します。

ウイルス対策プロファイル

ウイルス対策プロファイルを作成し、Windows デスクトップデバイスに、ネイティブ Windows Defender ウイルス対策を構成します。Windows Defender を貴社の全デバイスを対象に構成し、貴社のエンドユーザーとデバイスを確実に保護します。

重要：このプロファイルはネイティブの Windows Defender ウイルス対策のみを構成します。他のサードパーティ製ウイルス対策を構成することはできません。

[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
Windows を選択し、次に Windows デスクトップ を選択します。
デバイスプロファイル を選択します。
プロファイルの全般を構成します。
ウイルス対策 プロファイルを選択します。

ウイルス対策 設定を構成します。

設定	説明
リアルタイム監視	Windows Defender ウイルス対策を構成しデバイスをリアルタイムでモニタリングするにはこれを有効にします。
リアルタイムスキャンの方向	有効にすると、受信ファイル、送信ファイル、またはすべてのファイルを監視するように Windows Defender ウイルス対策を構成できます。このオプションを使用すると、1 方向のトラフィックを処理する Windows Server インストールに定義されているサーバまたはサーバ役割に対して、ネットワークパフォーマンスを向上させることができます。
クラウド保護レベル	有効にすると、Windows Defender ウイルス対策により疑わしいファイルをブロックおよびスキャンする方法を構成できます。このメニュー項目を設定する場合は、ネットワークのパフォーマンスを考慮してください。
クラウドブロックのタイムアウト	Windows Defender ウイルス対策が脅威の可能性をディフェンダ分析する間、ファイルをブロックした状態で維持する時間を秒単位で選択します。デフォルトのブロック時間は 10 秒です。システムによって、このメニュー項目に設定された秒数がデフォルトの時間に追加されます。
シグネチャ更新	シグネチャ更新の間隔（時間）シグネチャ更新ファイルがソースを共有スキャンの実行前に署名を確認シグネチャ更新のフォールバック順序
スキャン間隔	フルスキャン - システムのフルスキャンを実行する時間を設定します。スキャン間の時間間隔（時間単位）を選択します。クイックスキャン - システムのクイックスキャンを実行する時間を設定します。スキャン間の時間間隔（時間単位）を選択します。
除外	Windows Defender ウイルス対策スキャンから除外したいファイルパスまたはプロセスを選択します。除外を追加するには新規追加をクリックします。
脅威に対する既定アクション（低/中/高/重大レベル）	スキャンによって検出された脅威のレベル別に既定アクションを設定します。取り除く – 脅威と問題を取り除く場合に選択します。検疫 – 脅威を検疫フォルダに隔離する場合に選択します。削除 – 脅威を貴社システムから削除する場合に選択します。許可 – 脅威に対し何も対策をとらない場合に選択します。ユーザー定義 – 脅威に対する対策をユーザーに判断させる場合に選択します。アクションなし – 脅威に対し何もアクションをとらない場合に選択します。ブロック – 脅威のデバイスへのアクセスをブロックする場合に選択します。
アドバンスト	スキャンの平均 CPU 負荷率 - Windows Defender ウイルス対策がスキャン中に使用できる最大平均 CPU 負荷率をパーセンテージで設定します。 UI ロックダウン - 有効にすると、UI が完全にロックダウンし、エンドユーザーが設定を変更できなくなります。キャッチアップフルスキャン - 有効にすると、前回のスキャンが中断されたり実行されなかったりした場合にフルスキャンを実行できます。キャッチアップスキャンは、スケジュールされたスキャンが実行されなかった場合に行われるスキャンです。スケジュールされた時間にコンピュータの電源がオフになっていたためスキャンが実行されなかった場合に、この機能で遅れを取り戻すことができます。キャッチアップクイックスキャン - 有効にすると、前回のスキャンが中断されたり実行されなかったりした場合にクイックスキャンを実行できます。キャッチアップスキャンは、スケジュールされたスキャンが実行されなかった場合に行われるスキャンです。スケジュールされた時間にコンピュータの電源がオフになっていたためスキャンが実行されなかった場合に、この機能で遅れを取り戻すことができます。動作の監視 - 有効にすると、ウイルス対策スキャナーから Microsoft 社にアクティビティログが送信されます。侵入防止システム - 有効にすると、既知の脆弱性の悪用に対するネットワーク保護が構成されます。このオプションを有効にすると、Windows Defender ウイルス対策はネットワーク接続を常時モニタリングし、悪意がある可能性がある動作パターンを特定します。この点において、このソフトウェアは従来のウイルススキャナーと似た機能をもっていますが、これは、ファイルをスキャンするのではなく、ネットワークトラフィックをスキャンします。 PUA の保護 - 有効にすると、エンドクライアントに不要と思われるアプリケーション (PUA：Potentially Unwanted Applications) があるかどうか監視するように Windows Defender ウイルス対策を設定できます。 IOAV の保護 - 有効にすると、Windows Defender でファイルをダウンロードしてスキャンできます。 OnAccess の保護 - 有効にすると、ファイルやフォルダを不正アクセスから保護するよう Windows Defender ウイルス対策を設定できます。クラウドの保護 - 有効にすると、独自のリソースや機械学習を使用して脅威を迅速ディフェンダに検出して防止するよう Windows Defender ウイルス対策を設定できます。ユーザーの同意 - 有効にすると、特定された脅威に対して操作を実行する前に、エンドクライアントユーザーに同意を求めるプロンプトを表示するよう Windows Defender ウイルス対策を設定できます。 E メールをスキャン - 有効にすると、Windows Defender で E メールをスキャンできます。マッピングされたネットワークドライブをスキャン - 有効にすると、Windows Defender ウイルス対策でデバイスにマッピングされたネットワークドライブをスキャンできます。アーカイブをスキャン - 有効にすると、アーカイブに保存されたフォルダを Windows Defender ウイルス対策でフルスキャンできます。リムーバブルドライブをスキャン - 有効にすると、デバイスに接続されたリムーバブルドライブを Windows Defender ウイルス対策でスキャンできます。検疫されたファイルを以下の期間後削除 - ファイルを削除する前に、検疫状態を保つ期間を設定します。

保存して公開 を選択します。

アプリケーション制御プロファイル

アプリケーション制御プロファイルを使用し、Windows デスクトップデバイスにインストールできるアプリケーションを制限します。インストールできるアプリケーションを制限することで、貴社のデータを悪意あるアプリから保護し、エンドユーザーが企業デバイスから不要なアプリにアクセスできないようにします。

デバイスにアプリケーションをインストールすることを許可または禁止するには、[アプリケーション制御] を有効化し、特定のアプリケーションを信頼/ブロックします。信頼したアプリ/ブロックしたアプリに関しては、順守エンジンもデバイスをモニタリングする役割を持っていますが、アプリケーション制御は、ユーザーによるアプリケーションの追加あるいは削除の試み自体を防止します。たとえば、一部のゲームアプリのインストールをブロックしたり、信頼できるアプリとして設定した特定のアプリしかインストールできないようにすることができます。ブロック設定されているアプリが、アプリケーション制御ペイロードをプッシュする前にすでにインストールされている場合、プロファイルをプッシュした後は無効になります。

アプリケーション制御プロファイルを使用すると、デバイス管理コストを削減できます。問題を引き起こす禁止アプリケーションをユーザーが実行しなくなるからです。アプリケーションが問題を引き起こさなければ、サポートスタッフが回答しなければならない問い合わせ件数が減ります。

アプリケーション制御プロファイルを構成する

アプリケーション制御を有効にして特定のアプリケーションを信頼/ブロックし、デバイス上での使用を許可/ブロックすることができます。｢アプリケーション制御｣は、Microsoft AppLocker 構成を使用して Windows デバイスのアプリ制御を行います。

XML 構成ファイルを構成するには、デバイスの AppLocker 設定を構成し、プロファイルとともに使用するファイルをエクスポートする必要があります。

アプリケーション制御プロファイルを使用するには Windows Enterprise または Education が必要です。

重要：

はじめは｢監査のみ (Audit Only)｣モードを使用してポリシーを作成してください。テストデバイスで｢監査のみ｣バージョンを検証した後、｢強制 (Enforce)｣モードバージョンを作成し、デバイスに適用します。使用前にポリシーのテストを行わない場合、貴社のデバイスが利用できなくなる可能性があります。
既定の規則のほかに、貴社のニーズに合わせて任意の規則を作成し、既定構成をロックしてしまったり、デバイス再起動後に不具合が発生する可能性を減らすようにしてください。規則作成の詳細は、AppLocker に関する Microsoft TechNet 記事を参照してください。

手順

構成するデバイスの ローカルセキュリティポリシー エディタを起動します。
[アプリケーション制御ポリシー] > [AppLocker] の順に進み、[規則の実施の構成] を選択します。
規則の実施 を選択し、実行可能ファイルの規則、Windows インストーラーの規則、または スクリプトの規則 実施のいずれかまたは複数を有効化します。
右側のフォルダを選択し、右クリックして 新しい規則の作成 を選択し、実行可能ファイルの規則、Windows インストーラーの規則、または スクリプトの規則 のいずれかまたは複数を作成します。既定の規則を作成し、既定の構成がロックされる可能性やデバイスが機能しなくなる可能性を減らしてください。
必要な規則をすべて作成した後、AppLocker を右クリックし、ポリシーのエクスポート を選択して XML 構成ファイルを保存します。
Workspace ONE UEM console で、[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
Windows を選択し、次に Windows デスクトップ を選択します。
デバイスプロファイル を選択します。
プロファイルの全般を構成します。
アプリケーション制御 ペイロードを選択します。
サンプルデバイスから構成をインポートする を選択し、アップロード を選択し、ポリシー構成ファイル を追加します。
保存して公開 を選択します。

BIOS プロファイル

BIOS プロファイルを使用すると、選択した Dell の社内デバイスに BIOS 設定を構成できます。このプロファイルを使用するには、Dell Command | Monitor との統合が必要です。

BIOS プロファイル設定に対するサポート内容は、Dell Enterprise デバイスごとに異なります。Dell Command | Monitor をアップロードするか、各デバイスに割り当てる必要があります。

前提条件

構成パッケージ機能を使用する場合は Dell Command | Configure をデバイスにプッシュする必要があります。
このプロファイルを使用するには、Dell Command | Monitor との統合が必要です。Dell Command | 製品を追加します。

手順

[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
Windows を選択し、次に Windows デスクトップ を選択します。
デバイスプロファイル を選択します。

注：プロファイルの既定オプションが追加されました。既定オプションでは、デバイスの設定は変更されません。新しいプロファイルの既定では、パスワード設定は [管理] に設定され、他のすべての設定は [既定] に設定されます。

プロファイルの [全般] 設定を構成します。
[BIOS] ペイロードを選択し、以下を構成します。
- BIOS パスワードの設定 - 強力で一意の BIOS パスワードを Workspace ONE UEM でデバイスに自動生成するには、[管理対象] を選択します。生成されたパスワードには、[デバイス詳細] ページからアクセスできます。独自の BIOS パスワードを入力するには、手動を選択します。
- BIOS パスワード - デバイスの BIOS をロック解除するためのパスワードを入力します。この設定は、BIOS パスワードの設定 が [手動] に設定されている場合に表示されます。
- TPM チップ - デバイスのトラステッドプラットフォームモジュール (TPM) チップを有効にするには、[有効化] を選択します。TPM チップを無効にする場合は、ワンタイム BIOS パスワード機能も無効にします。管理対象 BIOS プロファイルから設定された BIOS パスワードは、使用後にローテーションされません。
- セキュアブート - デバイス上でセキュアブート設定情報を使用する場合は、[有効化] を選択します。DCM を使用してセキュアブートを無効にすることはできません。
- CPU の仮想化 - ハードウェア仮想化のサポートを許可するには、[有効化] を選択します。
- 仮想化 I/O- 入出力仮想化を許可するには、[有効化] を選択します。
- 信頼された実行 - 信頼性を判断するためにデバイス上で TPM チップ、CPU 仮想化、および仮想化 I/O を使用できるようにするには、[有効化] を選択します。Trusted Execution 技術を使用するには、TPM チップ、CPU の仮想化、および 仮想化 I/O で 有効化 を選択する必要があります。
- ワイヤレス LAN - デバイスのワイヤレス LAN 機能を利用できるようにするには、[有効化] を選択します。
- セルラー通信 - デバイスのセルラー通信機能を利用できるようにするには、[有効化] を選択します。
- Bluetooth - デバイスの Bluetooth 機能を利用できるようにするには、[有効化] を選択します。
- GPS - デバイスの GPS 機能を利用できるようにするには、[有効化] を選択します。
- SMART レポート作成機能 - デバイスストレージソリューションの SMART 監視を使用するには、[有効化] を選択します。
- 一次バッテリ充電 - デバイスの充電ルールを選択します。これらのルールは、バッテリの充電を開始および終了するタイミングを制御するものです。Custom Charge を選択した場合、バッテリ充電を開始および終了する基準となるバッテリ残量 (単位: %) を手動で設定できます。
  - 標準充電 - バッテリ電源と外部電源を切り替えるユーザーには、このオプションの使用を検討してください。このオプションでは、バッテリが標準レートで完全に充電されます。充電時間はデバイスモデルによって異なります。
  - 高速充電 - 短時間でバッテリを充電する必要があるユーザーには、このオプションの使用を検討してください。デルの高速充電テクノロジーでは、コンピュータの電源を切っているときに、完全に放電したバッテリを通常、約 1 時間で 80%、ほぼ 2 時間で 100% 充電することができます。コンピュータがオンになっているときは、充電時間が長くなる場合があります。
  - AC 充電 - 主にシステムを外部電源に接続しているときにシステムを操作するユーザーには、このオプションの使用を検討してください。この設定では、充電のしきい値を下げることでバッテリの寿命を延長できます。
  - 自動充電 - オプションを設定して変更しないユーザーには、このオプションの使用を検討してください。このオプションを使用すると、システムは通常のバッテリ使用パターンに基づいてバッテリの設定を最適化します。
  - カスタム充電 - バッテリの充電を開始および停止するタイミングをより細かく制御する必要がある上級ユーザーには、このオプションの使用を検討してください。
- 一次バッテリカスタム充電開始制限- デバイスがバッテリ充電を開始するまでに到達する必要があるバッテリ残量 (%) を設定します。
- 一次バッテリカスタム充電停止制限 -デバイスがバッテリ充電を停止するまでに到達する必要があるバッテリ残量 (%) を設定します。
- ピークシフト - ピークシフト機能を利用して、デバイスがバッテリ駆動/AC 電源駆動を切り替えるタイミングを制御するには、[有効化] を選択します。ピークシフト機能を利用すれば、指定時間帯の間、AC 電源の代わりにバッテリを使用できます。ピークシフト のスケジュールを設定するには、カレンダーアイコンを選択します。
- ピークシフトスケジューリング - ピークシフトスケジューリングに関する 3 つのパラメータを使用して、デバイスがバッテリ駆動/AC 電源駆動を切り替えるタイミング、およびデバイスがバッテリ充電するタイミングを制御します。
  - Peak Shift Start －デバイスがバッテリ駆動に切り替わる、ピークシフト開始時刻を指定します。
  - Peak Shift End －デバイスが AC 電源駆動に切り替わる、ピークシフト終了時刻を指定します。
  - Peak Shift Charge Start －デバイスが AC 電源使用時にバッテリを充電する、ピークシフト充電開始時刻を指定します。
- ピークシフトバッテリしきい値 - デバイスがバッテリ駆動から AC 電源駆動に戻る基準となる、バッテリ残量（単位：%）を指定します。Peak Shift Charge Start の値は、デバイスが AC 電源駆動に切り替わってからバッテリ充電を開始するタイミングを制御します。
- システムプロパティ - [システムプロパティを追加] を選択し、カスタムシステムプロパティを追加します。プロパティをさらに追加するには、ボタンを再度選択します。これらのプロパティは高度なオプションです。これらの設定を使用する前に、Dell ドキュメントを確認することを検討してください。システムプロパティは、プロファイル内に構成されている事前定義の設定を上書きします。
- クラス - クラスを入力し、それをドロップダウンメニューから選択します。この設定は、システムプロパティを追加 が選択されると表示されます。
- システムプロパティ - システムプロパティを入力し、それをドロップダウンメニューから選択します。この設定は、システムプロパティを追加 が選択されると表示されます。
- BIOS 属性 - [BIOS 属性を追加] を選択し、カスタムの BIOS 属性を追加します。属性をさらに追加するには、ボタンを再度選択します。これらの属性は詳細オプションです。これらの設定を使用する前に、Dell ドキュメントを確認することを検討してください。BIOS 属性は、プロファイル内に構成されている事前定義の設定を上書きします。
- BIOS 属性 - BIOS 属性を入力し、それをドロップダウンメニューから選択します。この設定は、BIOS 属性を追加 が選択されると表示されます。
- 値 - BIOS 属性の値を選択します。値を指定しないと、BIOS 属性は読み取り専用になります。この設定は、BIOS 属性を追加 が選択されると表示されます。
- 構成パッケージ - [アップロード] を選択し、Dell Command | Configure 構成パッケージを追加します。パッケージをアップロードすると、1 つの構成で複数の Dell デバイスを構成できるようになります。構成パッケージは、カスタムのシステムプロパティまたは属性がある場合、それらを上書きします。許可されているファイル拡張子を信頼する場合は、許可リストに CCTK ファイル拡張子を追加する必要があります。[グループと設定] > [すべての設定] > [コンテンツ] > [高度な設定] > [ファイル拡張子] の順に選択し、ファイル拡張子を追加します。
保存して公開 を選択します。

資格情報プロファイル

資格情報プロファイルを使用して、ルート/中間/クライアント証明書を Windows デバイスにプッシュし、公開鍵基盤 (PKI) と証明書認証の任意のユースケースをサポートすることができます。このプロファイルは、構成済みの資格情報を、Windows デスクトップデバイスの適切な資格情報ストアにプッシュします。資格情報プロファイルを構成して、Windows デバイスを認証できるようにする方法を説明します。

複雑なパスワードやその他の制限事項を設けても、社内インフラストラクチャの弱点がすべてなくなることはありません。そのため、総当たり攻撃や辞書攻撃、従業員の操作ミスによるリスクは残ります。セキュリティレベルを上げ、企業アセットをより強固に保護するには、電子証明書の導入が効果的です。セキュリティ強化のために証明書を使用するには、まず｢資格情報｣ペイロードを認証局情報で構成し、次に｢Wi-Fi｣と｢VPN｣ペイロードを構成します。これらのペイロードには、資格情報ペイロードで定義された認証局を関連付けるための設定項目があります。

資格情報プロファイルを使用して、S/MIME 証明書をデバイスにプッシュすることもできます。これらの証明書は各ユーザーアカウントにアップロードされ、資格情報プロファイルにより制御されます。

資格情報プロファイルを構成する

資格情報プロファイルでユーザー認証に使用する証明書をデバイスにプッシュします。Workspace ONE UEM では、個人用、中間証明機関、信頼されたルート証明機関、信頼された発行元、信頼されたユーザー証明書ストア向けに資格情報を構成することができます。資格情報プロファイルを構成して、Windows デバイスを認証できるようにする方法を説明します。

複雑なパスワードやその他の制限事項を設けても、社内インフラストラクチャの弱点がすべてなくなることはありません。そのため、総当たり攻撃や辞書攻撃、従業員の操作ミスによるリスクは残ります。セキュリティレベルを上げ、企業アセットをより強固に保護するには、電子証明書の導入が効果的です。セキュリティ強化のために証明書を使用するには、まず資格情報ペイロードを認証局情報で構成し、次に Wi-Fi ペイロードと VPN ペイロードを構成します。これらのペイロードには、資格情報ペイロードで定義された認証局を関連付けるための設定項目があります。

[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
Windows を選択し、次に Windows デスクトップ を選択します。
ユーザープロファイル または デバイスプロファイル を選択します。
プロファイルの [全般] 設定を構成します。

資格情報 ペイロードを選択し、以下を構成します。

設定	説明
資格情報ソース	資格情報ソースを [アップロード]、[定義済み認証局] または [ユーザー証明書] から選択します。ここで選択するソースにより、表示されるペイロードオプションが変わります。 [アップロード] を選択する場合は、新しい証明書をアップロードする必要があります。 [定義済み認証局] を選択する場合は、定義済みの認証局とテンプレートを選択する必要があります。 [ユーザー証明書] を選択する場合は、S/MIME 証明書の使用方法を選択する必要があります。
アップロード	目的の資格情報証明書ファイルを参照し、Workspace ONE UEM コンソールにアップロードします。この項目は資格情報ソースからアップロードを選択すると表示されます。
認証局	ドロップダウンメニューを使用して定義済みの認証局を選択します。この項目は資格情報ソースから定義済み認証局を選択すると表示されます。
証明書テンプレート	ドロップダウンメニューから、選択した認証局の定義済み証明書テンプレートを選択します。この項目は資格情報ソースから定義済み認証局を選択すると表示されます。
キーの位置	証明書のプライベートキーの位置を選択します。 TPM (存在する場合) – デバイスにトラステッドプラットフォームモジュール (TPM) が存在すれば TPM に、存在しない場合は OS に、プライベートキーを保管します。 TPM 必須 – プライベートキーをトラステッドプラットフォームモジュール (TPM) に保管する場合はこれを選択します。TPM が存在しない場合は、証明書はインストールされず、デバイスにはエラーが表示されます。ソフトウェア – プライベートキーをデバイス OS に保管する場合はこれを選択します。 Passport – プライベートキーを Microsoft Passport に保管する場合はこれを選択します。このオプションを使用するには Azure AD との統合が必要です。
証明書ストア	デバイス上で資格情報を保管する場所として適切な証明書ストアを選択します。個人 – 個人証明書を保管するにはこれを選択します。個人証明書を使用するには、デバイスに Workspace ONE Intelligent Hub がインストールされているか、または SCEP ペイロードを使用する必要があります。中間 – 中間認証局の証明書を保管する場合はこれを選択します。信頼されたルート – 信頼されたルート認証局の証明書を保管する場合と、貴社組織と Microsoft のルート証明書を保管する場合にはこれを選択します。信頼された発行元 – ソフトウェア制限ポリシーにより信頼性を確認された、信頼された認証局の証明書を保管する場合はこれを選択します。信頼されたユーザー – 信頼されたユーザーまたは明示的に信頼された End Entity の証明書を保管するにはこれを選択します。これらは通常自己署名証明書か、Microsoft Outlook のようなアプリケーションで明示的に信頼された証明書です。
保管場所	ユーザーまたはマシンを選択し、証明書の保管場所を指定します。
S/MIME	S/MIME 証明書が暗号用なのか署名用なのかを選択します。このオプションは、資格情報ソースがユーザー証明書に設定されている場合にのみ表示されます。

保存して公開 をクリックし、プロファイルをデバイスにプッシュします。

カスタム設定プロファイル

Workspace ONE UEM が現在ネイティブペイロードを使用してサポートしていない Windows デスクトップの機能がある場合、カスタム設定ペイロードでそれを使用できるようにします。新機能を使用したい場合、カスタム設定 ペイロードと XML コードを使用して、特定の設定を手動で有効化/無効にすることができます。

前提条件

Windows デスクトッププロファイル用に独自の SyncML コードを記述する必要があります。Microsoft はウェブサイトで構成サービスプロバイダの参照情報を公開しています。カスタム SyncML を作成するには、VMware Flings プログラムから入手可能な Policy Builder Fling を試してください。

コードの例


  <Replace>
    <CmdID>2</CmdID>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/AssignedAccess/KioskModeApp</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
        </Meta>
        <Data>{"Account":"standard","AUMID":"AirWatchLLC.AirWatchBrowser_htcwkw4rx2gx4!App"}</Data>
      </Item>
  </Replace>

手順

VMware Flings プログラムに移動します。
カスタムプロファイルの作成に使用する構成サービスプロバイダポリシーを選択します。
構成を選択します。
[構成] ページで、ビジネスニーズに適合するポリシー設定を構成します。
ポリシーで使用するコマンド動詞を選択します。[追加]、[削除]、[削除]、または [置換]。
コピー ボタンを選択します。
Workspace ONE UEM console で、[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
Windows を選択し、次に Windows デスクトップ を選択します。
ユーザープロファイル または デバイスプロファイル を選択します。
プロファイルの全般を構成します。
カスタム設定 ペイロードを開き、構成をクリックします。
カスタムプロファイルのターゲット を選択します。

ほとんどのユースケースでは、[ターゲット] として [OMA-DM] が使用されます。BitLocker プロファイルをカスタマイズする際に、Workspace ONE Intelligent Hub を使用するか、「ユーザーによって AirWatch サービスが無効にされないようにする」を参照します。
SyncML が Add、Delete、Replace コマンドを使用している場合は、[コマンドを最小限にする] を選択します。コードで Exec を使用している場合は、[コマンドを最小限にする] を選択しないでください。
コピーした XML を インストール設定 テキストボックスにペーストします。ペーストする XML コードには、コードの完全なブロック（<Add> から </Add>、または SyncML コードが使用するコマンド）を含める必要があります。これらのタグの前後には何も含めないでください。
削除コードを [削除設定] テキストボックスに追加します。削除コードには、<replace> </replace> または <delete> </delete> を含める必要があります。

このコードは、プロファイルの削除やプロファイルの非アクティブ化などの Workspace ONE UEM 機能を有効にします。削除コードがないと、2 つ目のカスタム設定プロファイルをプッシュするだけでなく、デバイスからプロファイルを削除できません。詳細については、https://docs.microsoft.com/en-us/windows/client-management/mdm/configuration-service-provider-reference を参照してください。
保存して公開 を選択します。

ユーザーが Workspace ONE UEM サービスを無効にできないようにする

カスタム設定プロファイルを使用して、エンドユーザーが Windows デバイス上で Workspace ONE UEM (AirWatch) サービスを無効にできないようにします。エンドユーザーが Workspace ONE UEM サービスを無効にしないようにすることで、Workspace ONE Intelligent Hub が Workspace ONE UEM console を使用して定期的にチェックインを実行し、最新のポリシー更新を受信できます。

カスタム設定 プロファイルを作成します。
ターゲット を 保護エージェント に設定します。

次のコードをコピーし、[カスタム設定] 欄に貼り付けます。


          <wap-provisioningdoc id="c14e8e45-792c-4ec3-88e1-be121d8c33dc" name="customprofile">
            <characteristic type="com.airwatch.winrt.awservicelockdown" uuid="7957d046-7765-4422-9e39-6fd5eef38174">
              <parm name="LockDownAwService" value="True"/> 
            </characteristic>
          </wap-provisioningdoc>

保存して公開 を選択します。エンドユーザーのデバイスから制限を削除する場合は、次のコードを使用して、別のプロファイルをプッシュする必要があります。


          <wap-provisioningdoc id="c14e8e45-792c-4ec3-88e1-be121d8c33dc" name="customprofile"> 
            <characteristic type="com.airwatch.winrt.awservicelockdown" uuid="7957d046-7765-4422-9e39-6fd5eef38174">
              <parm name="LockDownAwService" value="False"/> 
            </characteristic> 
          </wap-provisioningdoc>

Dynamic Environment Manager (DEM) プロファイル

VMware Dynamic Environment Manager (DEM) は、Windows デバイスのユーザーセッションをまたがって、永続的なユーザーエクスペリエンスを提供します。機能としては、Windows とアプリケーションの設定をカスタマイズする機能、特定のトリガまたはアプリケーションの起動でユーザーアクションやコンピュータアクションを実行する機能があります。Dynamic Environment Manager と Workspace ONE UEM を統合して、これらの機能を DEM プロファイルで使用することができます。

Workspace ONE UEM の DEM プロファイルは、VMware Dynamic Environment Manager Management Console (DEM Management Console) で作成された DEM 構成プロファイルを展開します。デバイスが仮想デバイス、物理デバイス、クラウドベースデバイスのいずれであっても、DEM 構成プロファイルは、Workspace ONE UEM の管理対象 Windows デバイスで機能します。デバイスでは、Windows 用の Workspace ONE Intelligent Hub および DEM FlexEngine でプロファイルを抽出し、適用します。

DEM のドキュメント

VMware Dynamic Environment Manager の詳細については、VMware のドキュメントサイトを参照してください。

CDN が必須

この機能には CDN が必須です。

SaaS 環境があり、CDN を無効にしている場合は、CDN を有効にする必要があります。有効にしないと、DEM 統合は使用できません。
オンプレミス環境があり使用していない場合、または CDN を構成していない場合、DEM 統合は使用できません。

検討事項

DEM の場合、[UEM 統合] モードを使用して DEM 構成プロファイルを作成します。このモードを使用しないと、DEM 構成プロファイルを作成できません。現時点では、Workspace ONE UEM は、DEM 構成 SMB をサポートしていません。
Dynamic Environment Manager と Workspace ONE UEM の構成が競合していないことを確認します。たとえば、特定の構成をあるコンソールでは制限し、別のコンソールで許可するといった運用をしないでください。
Workspace ONE UEM では、1 台のデバイスに複数の DEM プロファイルを割り当てないでください。複数の DEM プロファイルを 1 台のデバイスに割り当てると、誤った構成が展開されることがあります。
DEM Management Console と DEM FlexEngine を抽出し、インストールするために、デフォルトのインストールプロセスではなく、カスタムのインストールプロセスを使用します。デフォルトのインストールプロセスでは、DEM Management Console のみがインストールされます。
この統合は、以前のバージョンではサポートされないため、DEM v2106 以降を使用してください。

統合前に次のタスクを実行する

VMware Dynamic Environment Manager (DEM) と Workspace ONE UEMを統合するには、DEM 管理コンソールをインストールし、DEM FlexEngine を管理対象デバイスに展開する必要があります。

DEM Management Console と DEM FlexEngine をダウンロードして展開します。
- VMware Dynamic Environment Manager の詳細については、VMware Customer Connect サイトにアクセスしてください。
- コンソールとエンジンの該当するバージョンをダウンロードします。
構成プロファイルを作成するデバイスに DEM Management Console をインストールします。
- DEM 管理コンソールを UEM 統合モードに切り替えるには、Configure | Integration | Workspace ONE UEM Integration を選択します。
DEM 構成プロファイルを作成する場合、「Install FlexEngine in NoAD Mode」でも説明しているように、以下の手順を実行します。
- 構成の一部として NoAD.xml ファイルを含めます。
- DEM Management Console のメインメニューアイコンからライセンスファイルをインポートして、ライセンスファイルを組み込みます。
- DEM プロファイルを使用して Workspace ONE UEMにアップロードできるように、DEM 構成プロファイルを保存します。
Workspace ONE UEM を使用して、DEM FlexEngine をアプリケーション (MSI) として、管理対象 Windows デバイスに展開します。DEM 構成プロファイルをデバイスに適用する場合、管理対象デバイスでは、DEM FlexEngine と Windows 用の Workspace ONE Intelligent Hub の両方が必要になります。
1. Workspace ONE UEM Console で、該当する組織グループを選択します。
2. [リソース] > [アプリケーション] > [ネイティブ] > [社内] の順に選択します。
3. DEM FlexEngine MSI ファイルをアップロードします。
4. [展開オプション] タブでは、インストール時のコマンドラインで [UEM 統合] モードを有効にします。
  1. [インストール方法] セクションに移動します。
  2. [インストールコマンド] テキストボックスにコマンドを入力します。
    例：msiexec.exe /i "VMware Dynamic Environment Manager Enterprise 2106 10.3 x64.msi" /qn INTEGRATION_ENABLED=1
5. [保存して割り当て] を選択して、適切なスマートグループ（管理対象の Windows デバイスを含む）にアプリケーションを展開します。

DEM プロファイルを構成する

Workspace ONE UEM のデバイスプロファイルを使用して、管理対象の Windows デバイスに DEM (Dynamic Environment Manager) 構成を展開します。

Workspace ONE UEM で、[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に選択して、[プロファイルを追加] を選択します。
Windows を選択し、プラットフォームとして Windows デスクトップ を選択します。
デバイスプロファイル を選択します。
プロファイルの全般を構成します。[全般] ペイロードにはスマートグループの割り当てが含まれているため、スマートグループ（管理対象の Windows デバイスを含む）を割り当てて、DEM 構成プロファイルを受信します。
Dynamic Environment Manager (DEM) ペイロードを選択します。
[DEM] 画面を使用して DEM 構成ファイルをアップロードし、[保存して公開] を選択して構成を完了します。

Workspace ONE UEM は、割り当てられたスマートグループ内の管理対象デバイスに、DEM 構成プロファイルを展開します。デバイス上の DEM FlexEngine と Windows 用の Workspace ONE Intelligent Hub は、DEM 構成プロファイルを適用します。プロファイルの変更は、システムがプロファイルを配布した後、一度ログオフして、デバイスに再びログインした後でのみ、表示されます。

DEM 構成プロファイルの変更を適用する

DEM 構成プロファイルで展開されたプロファイルの変更を確認する場合、デバイスユーザーは、一度ログオフしてから、管理対象 Windows デバイスに再びログインする必要があります。

データ保護プロファイル

データ保護プロファイルは、企業アプリケーションが社内の複数のソースからデータにアクセスする方法を制御するためのルールを構成します。データ保護プロファイルを使用して、セキュア化された承認済みアプリケーションだけがデータにアクセスできるようにする方法を説明します。

1 つのデバイス上にプライベートなデータと業務データがある場合、貴社が制御できないサービスを通して、不注意によりデータが漏洩する可能性があります。Workspace ONE UEM は｢データ保護｣ペイロードを使用し、貴社の企業データがアプリケーション間をどのように移動するかを制御し、エンドユーザーへのインパクトは最小限に抑えたままでデータ漏洩を防ぎます。Workspace ONE UEM は、Microsoft Windows Information Protection (WIP) 機能を使用して、Windows デバイスを保護します。

データ保護は、信頼できる企業アプリケーションに、保護されたネットワークから企業データにアクセスする許可を与えます。エンドユーザーがデータを企業アプリ以外に移動させた場合は、選択した強制ポリシーに基づいた対応を取ることができます。

WIP は、データを、個人データとして暗号化せずに扱うか、あるいは、業務データとして暗号化して保護します。データ保護に関して信頼できるアプリケーションは、4 つのタイプに分類されます。これらのタイプにより、アプリが保護されたデータをどのように扱うかが決まります。

対応アプリ－これらのアプリは、WIP 機能をフルサポートしています。対応アプリは、個人データと業務データの双方に問題なくアクセスできます。対応アプリでデータを作成した場合、そのデータを、暗号化されていない個人用データまたは暗号化された業務データとして保存できます。ユーザーが、データ保護プロファイルを使用し、対応アプリのデータを個人データとして保存できないようにすることもできます。
許可済み (Allowed App) – これらのアプリは WIP-暗号化データをサポートします。許可済みアプリは、個人用データと業務データの両方にアクセスできます。ただし、アクセスしたデータを保存する場合、常に暗号化された業務データとして保存します。許可済みアプリは個人データを業務データとして暗号化して保存します。これらのデータには、WIP-承認済みのアプリ以外からはアクセスできません。データにアクセスできない問題を防ぐためには、必要に応じて、信頼できるアプリとして徐々に設定していくやり方をお勧めします。WIP 承認については、ソフトウェアプロバイダに問い合わせてください。
適用除外 – データ保護プロファイルを作成する際、WIP ポリシーの適用対象外にするアプリを決めます。WIP 暗号化データをサポートしていないアプリを適用対象外にします。WIP 暗号化をサポートしていないアプリが、暗号化された業務データにアクセスしようとすると、機能しなくなります。WIP ポリシーは、適用除外アプリには適用されません。適用除外アプリは、暗号化されていない個人用データおよび暗号化された業務データにアクセスできます。適用除外アプリは、WIP ポリシーの適用外で業務データにアクセスできるため、適用除外アプリを信頼できるアプリとして設定する際はご注意ください。適用除外アプリは、データ保護における欠陥を生み出し、業務データ漏洩の原因となります。
許可外 – これらのアプリは、信頼されておらず、また、WIP ポリシーの適用対象外にならないので、暗号化された業務データにアクセスできません。許可外アプリは、WIP-保護デバイス上でも、個人データにはアクセスすることができます。

重要：データ保護プロファイルを適用する場合、WIP (Windows Information Protection) が必要です。また、WIP を利用するには、Windows Anniversary Update をインストールしておく必要があります。このプロファイルを本番環境に展開する際、事前にテストすることを検討してください。

データ保護プロファイルを構成する

データ保護 (プレビュー) プロファイルを作成し、Microsoft Windows 情報保護機能を使用してユーザーとアプリケーションが貴社のデータにアクセスする際に、アクセス対象を承認済みのネットワークとアプリケーションのみに制限します。データ保護に関する制御をきめ細かく設定することができます。

[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
Windows を選択し、プラットフォームとして Windows デスクトップ を選択します。
デバイスプロファイル を選択します。
プロファイルの全般を構成します。
データ保護 ペイロードを選択します。

エンタープライズデータ保護設定を構成します。

設定	説明
追加	企業アプリケーションを企業の許可済みリストに追加するにはこれを選択します。ここに追加されたアプリケーションには、企業データを使用することが許可されます。
アプリタイプ	アプリケーションが従来のデスクトップアプリなのか Microsoft ストアのアプリなのか選択します。デスクトップアプリまたはストアアプリのアプリ発行元を選択することもできます。発行元を選択すると、その発行元のアプリはすべて信頼できるアプリとして設定されます。
名前	アプリ名を入力します。アプリが Microsoft ストアのアプリの場合は、[検索] アイコンをクリックしてパッケージのファミリ名 (PFN) を検索します。
識別子	デスクトップアプリケーションの場合はファイルパスを、ストアアプリの場合はパッケージファミリ名を入力します。
例外	アプリが完全なデータ保護機能をもっていなくても企業データにアクセスする必要がある場合はこのボックスにチェックを入れます。このオプションを有効にすることで、そのアプリをデータ保護制限対象の例外に設定することができます。データ保護サポートに関してまだ更新されていないレガシアプリに対応するためなどにこの機能を使用します。例外を作成することは、データ保護にギャップを生じさせることになります。そのため、必要な場合以外は例外は作成しないようにしてください。
プライマリドメイン	貴社企業データが使用するプライマリドメインを入力します。保護されたネットワークのデータには、企業アプリケーションのみがアクセスできます。企業の許可済みリストに載っていないアプリケーションが保護されたネットワークにアクセスしようとすると、強制ポリシーの対応措置が適用されます。ドメイン名には小文字しか使用できません。
エンタープライズの保護されたドメイン名	貴社によってユーザー ID のために使用されるドメインのリスト (プライマリドメイン以外) を入力します。垂直バー (`\|`) でドメインを区切ってください。ドメイン名には小文字しか使用できません。
エンタープライズ IP 範囲	エンタープライズネットワーク上の Windows デバイスを定義するエンタープライズ IP 範囲を入力します。範囲内のデバイスのデータはエンタープライズの一部とみなされ、保護されます。これらのロケーションは、エンタープライズデータ共有の際も安全な送信先とみなされます。
エンタープライズネットワークのドメイン名	エンタープライズネットワークの境界のドメインリストを入力します。リスト上のドメインのデータがデバイスに送信される際、これらはエンタープライズデータとみなされ、保護されます。これらのロケーションは、エンタープライズデータ共有の際も安全な送信先とみなされます。
エンタープライズプロキシサーバ	エンタープライズが企業リソースに使用できるプロキシサーバのリストを入力します。
エンタープライズクラウドリソース	クラウドにホストされているエンタープライズリソースドメインのうち、プロキシサーバ (ポート 80) 経由でエンタープライズネットワークを通してルーティングして保護する必要があるものを入力します。あるアプリケーションからあるネットワークリソースへの接続を許可するかどうかを判断できない場合、Windows はその接続を自動的にブロックします。Windows において接続を既定で許可する場合は、`/AppCompat/` という文字列を設定に追加します。例：`www.air-watch.com \| /AppCompat/` `/AppCompat/` を 1 回追加するだけで、既定の設定を変更できます。
アプリケーションデータ保護レベル	企業データを保護するための保護と対応措置のレベルを設定します。
EDP アイコン表示	このオプションを有効にした場合、保護されたデータにアクセスすると、Web ブラウザ、ファイルエクスプローラ、およびアプリケーションアイコン群に EDP アイコンが表示されます。このアイコンは、スタートメニュータイルのエンタープライズ用のみのアプリにも表示されます。
加入解除時に失効	デバイスが Workspace ONE UEM から加入解除されたときにデバイスのデータ保護キーを取り消す場合は、これを有効にします。
ユーザー復号	対応アプリを使用するユーザーがデータの保存方法を選択できるようにするにはこれを有効にします。[企業データとして保存] と [個人用として保存] のいずれかを選択できます。このオプションが有効化されていない場合、対応アプリを使用して保存されるすべてのデータは企業データとして保存され、企業の暗号化方式を使用して暗号化されます。
直接メモリアクセス	ユーザーにデバイスメモリへの直接アクセスを許可します。
データ回復証明書	暗号化キーが紛失したりダメージを受けたりした際にファイルを回復する、特殊な暗号化ファイルシステム証明書をアップロードします。

保存して公開 を選択し、プロファイルをデバイスにプッシュします。

暗号化ファイルシステム証明書を作成する

｢データ保護｣プロファイルは、企業データを暗号化し、承認済みのデバイスのみにアクセスを制限します。データ保護プロファイルによって保護される業務データを暗号化するには、暗号化ファイルシステム (EFS) 証明書を作成します。

EFS 証明書のないコンピュータ上で、(管理者権限を使用し) コマンドプロンプトを開き、証明書を保管したい証明書ストアを開きます。
次のコマンドを実行します。cipher /r:<EFSRA>

値は作成しようとしている .cer と .pfx ファイルの名前です。
プロンプトが表示されたら、新しい .pfx ファイルを保護するためのパスワードを入力します。
選択した証明書ストアに .cer と .pfx ファイルが作成されます。
.cer 証明書をデータ保護プロファイルの一部としてデバイスにアップロードします。

Defender Exploit Guard プロファイル

Windows Defender Exploit Guard プロファイルにより、Windows デバイスを攻撃およびマルウェアから保護します。Workspace ONE UEM はこの設定を使用して、デバイスを攻撃から保護し、攻撃面を削減して、フォルダへのアクセスを制御し、ネットワーク接続を保護します。

Windows Defender Exploit Guard

ネットワークおよびデバイスにアクセスするために、さまざまなマルウェアおよび攻撃で Windows デバイスの脆弱性が使用されます。Workspace ONE UEM では、Windows Defender Exploit Guard プロファイルを使用して、こうした不正なアクションからデバイスを保護します。このプロファイルは、Windows のネイティブな Windows Defender Exploit Guard 設定を構成します。このプロファイルには、4 つの異なる保護方法が含まれています。この方法は、さまざまな脆弱性と攻撃ベクトルに対応します。

Exploit Protection

Exploit Protection は、オペレーティングシステムとアプリの両方に対する攻撃への緩和策を自動的に適用します。こうした緩和策は、サードパーティ製ウイルス対策ソフトおよび Windows Defender ウイルス対策ソフトでも動作します。Windows Defender Exploit Guard プロファイルでは、構成 XML ファイルをアップロードして、この設定を構成します。このファイルは、Windows セキュリティアクションまたは PowerShell を使用して作成する必要があります。

攻撃面の削減

攻撃面の削減ルールは、マルウェアがデバイスに感染するために使用する一般的なアクションの防止に役立ちます。このルールは、次のようなアクションをターゲットにしています。

ファイルのダウンロードまたは実行を試みる Office アプリまたは Web メールで使用される実行ファイルとスクリプト
難読化した、または疑わしいスクリプト
アプリケーションが通常使用しないアクション

攻撃面の削減ルールでは、Windows Defender のリアルタイム保護を有効にする必要があります。

制御されたフォルダアクセス

制御されたフォルダアクセスは、ランサムウェアを含めて、悪意あるアプリケーションや脅威から貴重なデータを保護するのに役立ちます。有効にすると、Windows Defender ウイルス対策ソフトがすべてのアプリケーション（.EXE、.SCR、DLL など）を確認します。Windows Defender は、アプリケーションに悪意があるか安全であるかを判断します。アプリケーションに悪意があるか、または疑わしい旨がマークされた場合、Windows はアプリケーションが保護されたフォルダ内のファイルを変更することを防止します。

保護されたフォルダには、一般的なシステムフォルダが含まれます。独自のフォルダを制御されたフォルダアクセスに追加できます。ほとんどの既知の信頼されたアプリケーションは、保護されたフォルダにアクセスできます。内部アプリケーションまたは不明なアプリケーションが保護されたフォルダにアクセスできるようにするには、プロファイルの作成時にアプリケーションファイルのパスを追加する必要があります。

制御されたフォルダアクセスでは、Windows Defender のリアルタイム保護を有効にする必要があります。

ネットワーク保護

ネットワーク保護により、フィッシング詐欺や悪意ある Web サイトからユーザーとデータが保護されます。この設定により、ユーザーは任意のアプリケーションで、フィッシング攻撃、悪用、またはマルウェアをホストしている可能性がある危険なドメインにアクセスできなくなります。

ネットワーク保護では、Windows Defender のリアルタイム保護を有効にする必要があります。

補足情報

構成されている特定の Exploit Protection と設定の詳細については、https://docs.microsoft.com/en-us/sccm/protect/deploy-use/create-deploy-exploit-guard-policy を参照してください。

Defender Exploit Guard プロファイルを作成する

Workspace ONE UEM を使用して Defender Exploit Guard プロファイルを作成して、Windows デバイスを攻撃およびマルウェアから保護します。このプロファイルを使用して Windows デバイスの Windows Defender Exploit Guard 設定を構成する方法を説明します。

攻撃面の削減、制御されたフォルダアクセス、および ネットワーク保護 のルールおよび設定を作成するには、[有効]、[無効]、または [監査] を選択する必要があります。これらのオプションにより、ルールまたは設定がどのように機能するかが変わります。

有効 - その方法に対する攻撃をブロックするように Windows Defender を構成します。たとえば、[制御されたフォルダアクセス] を [有効] に設定すると、Windows Defender により、保護されたフォルダへのアクセスからの攻撃がブロックされます。
無効 - Windows Defender のポリシーを構成しません。
監査 - [有効] と同じように Windows Defender が攻撃をブロックするように構成しますが、さらにイベントをイベントビューアーのログに記録します。

前提条件

このプロファイルで Exploit Protection 設定を使用するには、各デバイスで Windows セキュリティアプリまたは PowerShell を使用して構成 XML ファイルを作成してから、プロファイルを作成する必要があります。

手順

[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
Windows を選択し、次に Windows デスクトップ を選択します。
デバイスプロファイル を選択します。
プロファイルの全般を構成します。
Defender Exploit Guard ペイロードを選択します。
Exploit Protection 設定 構成 XML ファイルをアップロードします。

この設定により、オペレーティングシステムと個々のアプリケーションの双方に対して、攻撃緩和手法が自動的に適用されます。各デバイスで Windows セキュリティアプリまたは PowerShell を使用して XML ファイルを作成する必要があります。
攻撃面の削減 を構成します。このルールは、マルウェアがデバイスに悪意あるコードを感染させるために使用する一般的なアクションの防止に役立ちます。追加を選択して、ルールを追加します。

各ルールの説明には、ルールが適用されるアプリケーションまたはファイルタイプを記述します。攻撃面の削減ルールでは、Windows Defender のリアルタイム保護を有効にする必要があります。
制御されたフォルダアクセス を構成します。この設定を使用するには、制御されたフォルダアクセス を有効に設定します。有効にすると、この設定によっていくつかのフォルダがデフォルトで保護されます。リストを表示するには、[?] アイコンをポイントします。この設定により、マルウェアおよび攻撃からデータが自動的に保護されます。制御されたフォルダアクセスでは、Windows Defender のリアルタイム保護を有効にする必要があります。
- その他のフォルダを保護するには、新規追加 を選択し、フォルダのファイルパスを入力します。
- 新規追加 を選択して、アプリケーションファイルのパスを入力することで、保護されたフォルダにアクセスできるアプリケーションを追加します。デフォルトでは、ほとんどの既知の信頼されたアプリケーションは、こうしたフォルダにアクセスできます。この設定を使用して、保護されたフォルダにアクセスする内部アプリケーションまたは不明なアプリケーションを追加します。
ネットワーク保護設定を構成します。この設定を使用するには、ネットワーク保護 を有効に設定します。この設定により、フィッシング詐欺や悪意ある Web サイトからユーザーとデータが保護されます。ネットワーク保護では、Windows Defender のリアルタイム保護を有効にする必要があります。
構成完了後、保存して公開 を選択し、プロファイルをデバイスにプッシュします。

暗号化プロファイル

暗号化プロファイルを使用して、Windows デスクトップデバイス上の企業データをセキュア化します。暗号化プロファイルは、ネイティブの BitLocker 暗号化ポリシーを Windows デスクトップデバイスに構成し、データをセキュアな状態に維持します。

BitLocker 暗号化は、Windows Enterprise、Education、および Pro のデバイスでのみ使用できます。

ラップトップとタブレットは携帯が可能なため、紛失したり盗難にあったりした場合、貴社の企業データが漏洩のリスクにさらされる可能性があります。Workspace ONE UEM を使用して暗号化ポリシーを適用することにより、ハードディスクドライブ上のデータを保護できます。BitLocker は Windows ネイティブの暗号化機能です。また、Dell Data Protection | Encryption は Dell の暗号化ソリューションです。暗号化プロファイルを有効にした場合、Workspace ONE Intelligent Hub によってデバイスの暗号化状態が常時検査されます。デバイスが暗号化されていないことが Workspace ONE Intelligent Hub で検出された場合、デバイスが自動的に暗号化されます。

BitLocker を使用して暗号化する場合、暗号化時に作成されたリカバリキーは、Workspace ONE UEM console の各ドライブ（構成されている場合）に保存されます。管理者には、リカバリキーを 1 回限りのキーにするオプションがあります。選択すると、キーが 1 回使用された後に新しいリカバリキーが生成されます。その後、ユーザーは新しく更新されたリカバリキーについて管理者に問い合わせる必要があります。詳細については、リカバリキーを参照してください。

暗号化プロファイルでは、デバイスに Workspace ONE Intelligent Hub をインストールする必要があります。

注：暗号化プロファイルを有効にしても、Dell Data Protection | Encryption が構成または有効化されることはありません。暗号化状態は Workspace ONE UEM コンソールおよびセルフサービスポータルに通知されますが、暗号化はデバイス上で手動で構成する必要があります。

注: Windows では、プリブートオンスクリーンキーボード機能がないデバイスはサポートされません。キーボード機能がない場合、起動用 PIN を入力できません。起動用 PIN は、デバイス上のハードディスクドライブをロック解除して Windows を起動するために必要です。プリブートオンスクリーンキーボード機能がないデバイスに暗号化プロファイルをプッシュすると、デバイスが機能しなくなります。

BitLocker 機能

暗号化プロファイルでは、高度な BitLocker 機能を使用して、BitLocker 暗号化の認証と展開を制御します。

BitLocker では、デバイスのトラステッドプラットフォームモジュール (TPM) を使用して、デバイスの暗号化キーを保存します。ドライブがマザーボードから取り外されると、ドライブの暗号化を解除できなくなります。認証を強化するために、システムの起動のための暗号化暗証番号を有効にすることができます。TPM を使用できない場合は、デバイスにパスワードを要求することもできます。

展開の際のデバイス動作

Windows ネイティブの BitLocker 暗号化により Windows デスクトップデバイス上のデータをセキュアに保護することができます。暗号化プロファイルを展開する場合は、PIN やパスワードの作成など、エンドユーザーからの追加のアクションが必要になる場合があります。

暗号化されているデバイスに暗号化プロファイルがプッシュされ、現在の暗号化設定がプロファイル設定と一致する場合、Workspace ONE Intelligent Hub は BitLocker プロテクターを追加し、Workspace ONE UEM console にリカバリキーを送信します。

この機能を使用すると、ユーザーまたは管理者がデバイスで BitLocker を無効にしようとした場合に、暗号化プロファイルを再暗号化できます。この暗号化は、デバイスがオフライン状態の場合でも実行されます。

既存の暗号化手段が暗号化プロファイルの認証設定に適合していない場合、その既存の暗号化手段が無効化され、暗号化プロファイルの認証設定に適合する新しい暗号化手段が適用されます。

既存の暗号化手段が暗号化プロファイルに適合していない場合、その既存の暗号化手段はそのまま保持され、無効化されません。この機能は、既存の暗号化プロファイルによって管理されているデバイスに暗号化プロファイルのバージョンを追加する場合にも適用されます。既存の暗号化手段は変更されません。

注: BIOS プロファイルの変更は、暗号化プロファイルの後に適用されます。TPM の無効化やクリアなどの BIOS プロファイルの変更を行うと、リカバリイベントが発生して、システムを再起動するためにリカバリキーが必要になることがあります。BIOS に変更を加える前に、BitLocker を一時停止してください。

暗号化状態

BitLocker が有効で使用中の場合は、暗号化の状態に関する情報がリスト領域に表示されます。

Workspace ONE UEM の [デバイスの詳細]
- デバイス詳細画面がリカバリキー情報を表示します。[リカバリキーを表示] リンクを使用して、暗号化されたすべてのドライブのリカバリキーを表示してコピーします。
- [概要] タブには、BitLocker ステータス（[暗号化済み]、[暗号化実行中]、[復号化実行中][サスペンド中][部分的に保護済み]）がいくつか表示されます。
  - [サスペンド（残り X 回の再起動）] ステータスは、ディスクがまだ暗号化されている場合でも、ディスクの保護が一時停止している状態を示します。このステータスは、オペレーティングシステムの更新中、またはシステムレベルの変更の実行中に表示される場合があります。再起動の回数の上限に達すると、BitLocker 保護が自動的に再有効化されます。
  - [部分的に保護済み] 状態は、OS ドライブが暗号化されており、他のドライブが暗号化されていない状態を示します。
- ドライブの暗号化の状態と暗号化方法は、[デバイス詳細] の [セキュリティ] タブに表示されます。暗号化プロファイルで設定した暗号化のレベルをマシンが使用していない場合、一目で確認できます。Workspace ONE UEM では、暗号化方法のみが表示されます。[暗号化] プロファイルの [暗号化方法] の設定に一致していない場合でも、ディスクが復号化されることはありません。
Workspace ONE UEM セルフサービスポータル
- セルフサービスポータルの [セキュリティ] ページには、BitLocker リカバリキーが表示されます。
- さらに、BitLocker 保護有効化と表示されます。

リカバリキー

[暗号化] プロファイルの [暗号化されたボリューム] でこの設定を有効にしている場合、[OS ドライブとすべての固定ハードドライブ] のリカバリキーが Workspace ONE UEM でエスクローされます。ドライブをリカバリする必要がある場合は、ドライブごとにリカバリキーを使用できます。

管理者は、 暗号化プロファイル設定から [リカバリキーの単一使用の有効化] を選択して、リカバリキーの単一使用を可能にするオプションがあります。詳細については、暗号化プロファイルの構成を参照してください。ドライブのリカバリにリカバリキーを使用した後に有効にすると、新しいリカバリキーが Intelligent Hub によって生成され、UEM Console にエスクローされます。

新しいリカバリキーが UEM Console に正常にエスクローされるまでの短い間、以前のパーソナルリカバリキー（旧）とパーソナルリカバリキー（新）の両方が使用できるようになります。新しいリカバリキーのエスクローに成功すると、以前のリカバリキーが削除され、ドライブのリカバリに使用できなくなります。

トラブルシューティングの目的で、特定のキーでリムーバブルドライブをリカバリしたユーザー、リカバリが行われた時間、およびそのプロセスをサポートした管理者を確認できます。Workspace ONE UEM コンソールで、 [デバイス] > [詳細表示] > [詳細 - トラブルシューティング] > [イベントログ] の順に移動して詳細を確認します。

削除の際のデバイスの動作

Workspace ONE UEM コンソールからこのプロファイルが削除されると、Workspace ONE UEM によって暗号化が適用されなくなり、デバイスは自動的に復号化します。コントロールパネルで企業ワイプまたは Workspace ONE Intelligent Hub の手動アンインストールを実行すると、BitLocker 暗号化が無効になります。

暗号化プロファイルを作成するときに、[システムが常に暗号化されたままにする] オプションを有効にすることができます。この設定により、プロファイルが削除された場合、デバイスがワイプされた場合、または Workspace ONE UEM との通信が終了した場合でも、デバイスは暗号化されたままになります。

BitLocker 暗号化プロセス中にエンドユーザーが加入解除を行っても、暗号化プロセスはコントロールパネルから手動でオフにされるまで継続します。

BitLocker および順守ポリシー

適用する BitLocker 暗号化状態がサポートされるように順守ポリシーを構成できます。順守ポリシーの [ルール] セクションで、[暗号化] > [が次に該当する] の順に選択し、[システムドライブに適用しない]、[一部のドライブに適用しない]（部分的に保護）または [サスペンド中] のいずれかを選択します。

BitLocker To Go Support

暗号化プロファイルで、Windows デバイスのリムーバブルドライブを BitLocker To Go を使用して暗号化するように要求できます。この機能を有効にするには、[BitLocker To Go Support を有効にする] チェックボックスを選択します。リムーバブルドライブは暗号化されるまで読み取り専用です。暗号化方法のドロップダウンでオプションを選択すると、デバイスの暗号化に使用する方法を選択できます。

Workspace ONE Intelligent Hub for Windows が、ドライブにアクセスしてドライブを使用するためのパスワードを作成するようにユーザーに求めるプロンプトを表示します。このパスワードの最小長は、コンソールの BitLocker To Go 設定で管理者が設定できます。暗号化されたドライブを Windows デバイスに接続したユーザーは、パスワードを使用してドライブにアクセスし、ドライブにコンテンツをコピーし、ファイルを編集し、コンテンツを削除し、リムーバブルドライブで実行されるその他のタスクを実行します。管理者は、ドライブ上の使用済み領域のみを暗号化するか、ドライブ全体を暗号化するかを選択することもできます。

リカバリキー情報を確認できる場所

ユーザーがパスワードを紛失した場合は、コンソールの [デバイス] > [周辺機器] > [リスト表示] > [リムーバブルストレージ] からドライブをリカバリできます。ドライブの [表示] リンクを使用してリカバリキーをコピーし、該当するユーザーに E メールでリカバリキーを知らせます。ユーザーのアカウントからこのページにアクセスすることもできます。それには、[アカウント] > [ユーザー] > [リスト表示] の順に選択し、ユーザーを選択して、[リムーバブルストレージ] タブを選択します。

何千ものリカバリ ID がある展開の場合は、[リムーバブルストレージ] ページでコンテンツをフィルタリングできます。コンテンツは複数の方法でフィルタリングできます。

ユーザーからキー ID を教えてもらい、[リカバリ ID] 列のフィルタキャレットを選択してその値を入力します。そのキー ID を持つリカバリ ID が結果に表示されます。
[ユーザー名] 列のフィルタキャレットを選択し、該当するユーザー名を入力して、ドライブとそのリカバリキーを検索します。

監査目的で、特定のキーでリムーバブルドライブをリカバリしたユーザー、リカバリが行われた時間、およびそのプロセスをサポートした管理者を確認できます。Workspace ONE UEM console で、[デバイス] > [周辺機器] > [リスト表示] > [イベント] の順に移動して、詳細を確認します。

ユーザーごとにキー情報を検索できます。Workspace ONE UEM console で、[アカウント] > [ユーザー] > [リスト表示] の順に移動して、ユーザーを選択します。ユーザーが 1 つ以上のドライブを暗号化した場合、ユーザーのレコードに [リムーバブルストレージ] タブが表示されます。

コンソールから BitLocker を一時停止する

コンソールから BitLocker 暗号化を一時停止および再開できるようになりました。このメニュー項目は、デバイスレコードのアクションとして追加されています。このメニュー項目を見つけるには、[デバイス] > [リスト表示] の順に選択し、デバイスを選択し、[その他のアクション] メニュー項目を選択します。このオプションは、BitLocker の管理権限を持たないユーザーが、デバイスのサポートを必要としている場合に役立ちます。

デバイスの [BitLocker を一時停止] を選択すると、コンソールにいくつかのオプションが表示されますが、その中に [再起動の回数] を選択するオプションがあります。たとえば、ユーザーの BIOS 更新をサポートする場合、システムの再起動が 2 回必要になる可能性があるので、[3] を選択します。この値を選択すると、暗号化を一時停止した状態で追加の再起動を 1 回行って、BitLocker を再開する前に BIOS が正しく更新されたことを確認することができます。

ただし、タスクで必要な再起動の回数が分からない場合は、大きい値を選択します。タスクを完了したら、[その他のアクション] > [BitLocker を再開] を使用できます。

暗号化プロファイルを構成する

暗号化プロファイルを作成し、ネイティブ BitLocker と BitLocker To Go 暗号化を使用して Windows デスクトップデバイス上の貴社のデータを保護します。

[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
Windows を選択し、次に Windows デスクトップ を選択します。
デバイスプロファイル を選択します。
プロファイルの [全般] 設定を構成します。

[暗号化] プロファイルを選択し、以下を構成します。

設定	説明
暗号化されたボリューム	ドロップダウンメニューを使用して以下から暗号化のタイプを選択します。 OS ドライブとすべての固定ハードドライブ – OS がインストールされているシステムパーティションを含む、デバイス上のすべてのハードドライブを暗号化します。 OS ドライブ – Windows がインストールされている起動ドライブを暗号化します。
暗号化方法	デバイスの暗号化方式を選択します。
既定のシステム暗号化方法に戻す	OEM により、特定のタイプのデバイスに対して既定の暗号化方法が指定されている場合は、このチェックボックスをオンにします。この設定により、既定の暗号化アルゴリズムが適用されます。
初回暗号化中に使用したスペースのみを暗号化する	BitLocker 暗号化を、暗号化時点でのドライブの使用済みスペースに限定する場合に有効化します。
リカバリキーのカスタム URL	エンドユーザーに復旧キーを取得するように伝えるために、ロック画面に表示する URL を入力します。セルフサービスポータルで Workspace ONE UEM の復旧キーがホストされているため、その URL を入力することを検討してください。
暗号化を強制する	デバイスに対する暗号化の強制を有効にします。この強制は、BitLocker が手動で無効になっている場合には、デバイスがすぐに再暗号化されることを意味します。アップグレード中または企業情報ワイプ中に問題を回避するには、この設定を無効にすることを検討してください。
システムが常に暗号化されたままにする	このオプションを有効にすると、デバイスが常に暗号化されたままになります。デバイスワイプ、プロファイルの削除、または Workspace ONE UEM との通信の中断によってデバイスが復号化されないようにするには、このオプションを使用します。この設定を有効にしてデバイスをワイプした場合、Workspace ONE UEM Console からリカバリにアクセスできるのは 30 日間のみです。30 日が経過した後は、システムがリカバリ不能になる可能性があります。
BitLocker To Go Support を有効にする	Windows デバイスのリムーバブルドライブの BitLocker での暗号化を要求するには、このオプションを有効にします。選択すると、リムーバブルドライブは暗号化されるまで読み取り専用になります。管理者は、暗号化方法、パスワードの最小長、および初期暗号化時に使用領域のみを暗号化するか、すべてを暗号化するかを設定できます。ユーザーは、ドライブにアクセスするためのパスワードを作成する必要があります。ユーザーがパスワードを忘れた場合は、コンソールの [デバイス] > [周辺機器] > [リスト表示] > [リムーバブルストレージ] で、これらの暗号化されたドライブのリカバリ ID およびリカバリキーを見つけます。
BitLocker 認証設定：認証モード	BitLocker 暗号化デバイスへのアクセスの認証に使用する方法を選択します。 TPM — デバイスのトラステッドプラットフォームモジュールを使用します。デバイスに TPM が必要です。パスワード — パスワードを使用して認証します。
BitLocker 認証設定：起動時に暗証番号が必要	デバイスを起動する際に暗証番号の入力をユーザーに求めるには、このチェックボックスを選択します。このオプションでは、ユーザーが正しい暗証番号を入力するまで、OS の起動、および中断または休止状態からの自動的な再開が禁止されます。
BitLocker 認証設定：暗証番号の長さ	起動時の暗証番号の具体的な長さを構成するには、この設定を選択します。[起動時に強力な暗証番号の使用を許可] で別途構成されている場合を除き、この暗証番号は数字です。
BitLocker 認証設定：起動時に強力な暗証番号の使用を許可	このチェックボックスをオンにすると、ユーザーは、数字以外を含んだ暗証番号を設定できます。ユーザーは、大文字と小文字を設定し、記号、数字、およびスペースを使用できます。マシンがプリブート環境で強力な暗証番号をサポートしていない場合、この設定は機能しません。
BitLocker 認証設定：TPM がない場合はパスワードを使用する	TPM を使用できない場合にデバイスの暗号化の代替手段としてパスワードを使用するには、このチェックボックスを選択します。この設定を無効にした場合、TPM 非搭載デバイスは暗号化されません。
BitLocker 認証設定：TPM が初期化されるまで BitLocker を一時停止	このオプションを選択すると、マシンで TPM が初期化されるまで、デバイスでの暗号化が延期されます。このオプションは、OOBE など、TPM を初期化する前に暗号化が必要な加入に対して使用します。
BitLocker 認証設定：パスワードの最小文字数	パスワードの最小文字数を選択します。認証モードがパスワードに設定されているか、TPM がない場合はパスワードを使用するが有効になっている場合に表示されます。

| BitLocker リカバリキー設定：リカバリキーの単一使用の有効化 | リカバリキーを 1 回使用するには、このチェックボックスをオンにします。使用すると、新しいリカバリキーが生成されます。ユーザーは、更新されたリカバリキーについて管理者に連絡する必要があります。|

| BitLocker 静的リカバリキー設定：静的 BitLocker キーの作成 | 静的リカバリキーが有効になっている場合は、このチェックボックスをオンにします。| | BitLocker 静的リカバリキー設定：BitLocker リカバリパスワード | [生成] アイコンを選択すると、新しいリカバリキーが生成されます。| | BitLocker 静的リカバリキー設定：ローテーション期間 | リカバリキーをローテーションする日数を入力します。| | BitLocker 静的リカバリキー設定：猶予期間 | ローテーション後も以前のリカバリキーを使用できる日数を入力します。| | BitLocker を一時停止：BitLocker の一時停止の有効化 | BitLocker の一時停止を有効にするには、このチェックボックスをオンにします。この機能では、BitLocker の暗号化を指定した期間一時停止します。

更新のスケジュールが設定されているときにこの機能を使用して BitLocker を一時停止しておくと、デバイスの再起動時にエンドユーザーが暗号化暗証番号やパスワードを入力する必要がなくなります。| | BitLocker を一時停止：BitLocker の一時停止のタイプ | 一時停止のタイプを選択します。

スケジュール — BitLocker を一時停止する期間を入力します。さらに、毎日または毎週の繰り返しのスケジュールを設定します。
カスタム — BitLocker の一時停止を行う開始および終了の日時を入力します。| | BitLocker を一時停止：BitLocker の一時停止の開始時間 | BitLocker の一時停止を開始する時間を入力します。| | BitLocker を一時停止：BitLocker の一時停止の終了時間 | BitLocker の一時停止を終了する時間を入力します。| | BitLocker を一時停止：スケジュール繰り返しのタイプ | スケジュール設定された一時停止を毎日または毎週繰り返すかどうかを設定します。毎週を選択する場合は、スケジュールを繰り返す曜日を選択します。|

構成完了後、保存して公開 を選択し、プロファイルをデバイスにプッシュします。

Exchange ActiveSync プロファイル

Exchange ActiveSync プロファイルによって、Windows デスクトップデバイスから貴社の Exchange ActiveSync サーバにアクセスして E メールとカレンダーを使用できるように構成できます。

信頼できるサードパーティの認証局 (CA) によって署名された証明書を使用します。接続をセキュリティ保護しても、証明書に不備がある場合、"man-in-the-middle" (MITM) 攻撃を招いてしまう可能性があるからです。このような攻撃は製品コンポーネント間で転送されるデータの信頼性と整合性を損ない、攻撃者に転送中のデータを傍受して改変する機会を与える可能性があります。

Exchange ActiveSync プロファイルは、Windows デスクトップ向けのネイティブメールクライアントをサポートします。使用するメールクライアントによって構成が変わります。

プロファイル削除または企業情報ワイプを行う

プロファイル削除コマンドや順守ポリシー、または企業情報ワイプによってプロファイルが削除されると、以下の項目を含むすべての E メールデータが削除されます。

ユーザーアカウント/ログイン情報
E メールメッセージのデータ
連絡先とカレンダー情報
アプリ内ストレージに保存された添付ファイル

ユーザー名とパスワード

E メールユーザー名をユーザーの E メールアドレス以外の値に設定した場合、{EmailUserName} 欄を使用できます。この値は、ディレクトリサービス統合時にインポートされた E メールユーザー名に対応しています。ユーザー名がメールアドレスと同じ場合でも、{EmailUserName} 欄を使用することをお勧めします。この欄は、ディレクトリサービス統合の際にインポートされたメールアドレスを使用します。

Exchange ActiveSync プロファイルを作成し、Windows デスクトップデバイスから貴社の Exchange ActiveSync サーバにアクセスして E メールとカレンダーを使用できるようにします。

Exchange ActiveSync プロファイルを構成する

注：Workspace ONE UEM は、Exchange ActiveSync プロファイルで Outlook 2016 をサポートしていません。Workspace ONE UEM を使用した Windows デスクトップデバイス上の Outlook アプリケーションの Exchange Web Services (EWS) プロファイル構成は、Microsoft Exchange 2016 バージョンではサポートされなくなりました。

[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
Windows を選択し、プラットフォームとして Windows デスクトップ を選択します。
ユーザープロファイル を選択します。
プロファイルの全般を構成します。
Exchange ActiveSync ペイロードを選択します。

Exchange ActiveSync 設定を構成します。

設定	説明
メールクライアント	EAS プロファイルで構成するメールクライアントを選択します。Workspace ONE UEM では、ネイティブメールクライアントをサポートしています。
アカウント名	Exchange ActiveSync のアカウント名を入力します。
Exchange ActiveSync ホスト	EAS サーバをホストするサーバの URL または IP アドレスを入力します。
SSL 使用	すべての通信を SSL を通して送信するにはこの設定を有効にします。
ドメイン	E メールドメインを入力します。プロファイルでは、参照値を使用して加入ユーザーのログイン情報を自動入力できます。
ユーザー名	E メールユーザー名を入力します。
メールアドレス	E メールアドレスを入力します。この欄は必須項目です。
パスワード	E メールパスワードを入力します。
ID 証明書	EAS ペイロード用の証明書を選択します。
次の同期間隔 (分)	デバイスが EAS サーバと同期する頻度を分単位で選択します。
メールの同期を取りに遡る日数	過去何日分の E メールをデバイスと同期するかを選択します。
診断ログ収集	トラブルシューティングのためにログを収集する場合はこれを有効にします。
ロック時のデータ保護を必須にする	デバイスロック時のデータ保護を必須にするにはこれを有効にします。
Eメール同期を許可	E メールメッセージの同期を許可します。
連絡先の同期を許可	連絡先の同期を許可します。
カレンダーの同期を許可	カレンダーイベントの同期を許可します。

保存を選択して Workspace ONE UEM コンソールにプロファイルを保存するか、保存して公開 を選択してプロファイルをデバイスにプッシュします。

Exchange Web Service プロファイル

Exchange Web Service を作成し、エンドユーザーがデバイスから企業 Eメールインフラストラクチャと Microsoft Outlook アカウントにアクセスできるようにします。

重要：初回構成時にはデバイスが内部 Exchange サーバにアクセスできる必要があります。

[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
Windows を選択し、次に Windows デスクトップ を選択します。
ユーザープロファイル を選択します。
プロファイルの全般を構成します。

Exchange Web Service プロファイルを選択し、以下を構成します。

設定	説明
ドメイン	エンドユーザーが属する Eメールドメイン名を入力します。
Eメールサーバ	Exchange サーバの名前を入力します。
メールアドレス	Eメールアカウントのアドレスを入力します。

構成完了後、保存して公開 を選択し、プロファイルをデバイスにプッシュします。

Exchange Web Service プロファイルを削除するとすべての Outlook アカウントがデバイスから削除されます。

ファイアウォールのプロファイル

ファイアウォールプロファイルを作成して、ネイティブの Windows デスクトップファイアウォール設定を構成します。このプロファイルは、ファイアウォール（レガシー）プロファイルよりも高度な機能を使用します。

Workspace ONE UEM は、OMA-DM エージェントを自動的に信頼し、Workspace ONE UEM console が常にデバイスと通信できるようにします。

[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
Windows を選択し、次に Windows デスクトップ を選択します。
デバイスプロファイル を選択します。
プロファイルの [全般] 設定を構成します。
ファイアウォール ペイロードを選択します。

グローバル 設定を構成します。

設定	説明
ステートフル FTP	ファイアウォールで FTP トラフィックを処理する方法を設定します。[有効] を選択すると、ファイアウォールはすべての FTP トラフィックを追跡します。無効を選択すると、ファイアウォールは FTP トラフィックを検査しません。
Security Association アイドル時間	構成済みを選択し、アイドル状態の Security Association を削除するまでにデバイスが待機する最長時間（秒単位）を設定します。 Security Association は、2 つのピアまたはエンドポイント間の同意事項です。これらの同意事項には、データの安全な交換に必要なすべての情報が含まれています。
事前共有キーエンコーディング	事前共有キーに使用するエンコードのタイプを選択します。
IPSec の除外	使用する IPSec の除外を選択します。
証明書失効リスト検証	証明書失効リスト検証を強制する方法を選択します。
KM ごとのオポチュニティ照合認証セット	キーモジュールが認証スイートをどのように無視するかを選択します。このオプションを有効にすると、キーモジュールは、サポートしていない認証スイートのみを無視するようになります。このオプションを無効にすると、キーモジュールは、セット内のいずれかの認証スイートをサポートしていない場合、認証セット全体を無視します。
パケットキューを有効化	デバイスでのパケットキューの動作方法を選択します。この設定によって、適切なスケーリングが可能になります。

ドメイン、プライベート、および パブリック のネットワークに接続されるときのファイアウォールの動作方法を構成します。

設定	説明
ファイアウォール	有効に設定すると、ネットワークトラフィックにポリシー設定が適用されます。無効にすると、他のポリシー設定に関係なく、デバイスはすべてのネットワークトラフィックを許可します。
送信アクション	ファイアウォールが送信接続で実行するデフォルトのアクションを選択します。この設定をブロックに設定すると、ファイアウォールは明示的に指定されていない限り、すべての送信トラフィックをブロックします。
受信アクション。	ファイアウォールが受信接続で実行するデフォルトのアクションを選択します。この設定をブロックに設定すると、ファイアウォールは明示的に指定されていない限り、すべての受信トラフィックをブロックします。
マルチキャストまたはブロードキャストネットワークトラフィックへのユニキャスト応答	マルチキャストまたはブロードキャストネットワークトラフィックに対する応答の動作を設定します。このオプションを無効にすると、ファイアウォールはマルチキャストまたはブロードキャストネットワークトラフィックに対するすべての応答をブロックします。
Windows のファイアウォールが新しいアプリをブロックした場合にユーザーに通知する	ファイアウォールの通知動作を設定します。有効を選択すると、ファイアウォールは新しいアプリケーションをブロックするときにユーザーに通知を送信することがあります。無効を選択すると、ファイアウォールは通知を送信しません。
ステルスモード	デバイスをステルスモードで設定するには、有効を選択します。ステルスモードは、攻撃者がネットワークデバイスやサービスに関する情報を取得することを防止します。有効にすると、ステルスモードは、ポート上でリッスンしているアプリケーションがないときに、ポートからの送信 ICMP の到達不能メッセージと TCP リセットメッセージをブロックします。
ステルスモードで IPSec ネットワークトラフィックを許可する	ファイアウォールが IPSec によって保護されている未承諾トラフィックを処理する方法を設定します。有効を選択すると、ファイアウォールは IPSec によって保護されている未承諾ネットワークトラフィックを許可します。この設定は、[ステルスモード] を有効にする場合にのみ適用されます。
ローカルファイアウォールルール	ファイアウォールがローカルファイアウォールルールと通信する方法を設定します。有効を選択すると、ファイアウォールはローカルルールに従います。[無効] を選択すると、ファイアウォールはローカルルールを無視し、それらを適用しません。
ローカル接続ルール	ファイアウォールがローカルセキュリティ接続ルールに対処する方法を設定します。有効を選択すると、ファイアウォールはローカルルールに従います。[無効] を選択すると、ファイアウォールはローカルルールを無視し、スキーマと接続のセキュリティバージョンに関係なく、ローカルルールを無視します。
グローバルポートファイアウォールルール	ファイアウォールがグローバルポートのファイアウォールルールに対処する方法を設定します。有効を選択すると、ファイアウォールはグローバルポートのファイアウォールルールに従います。無効を選択すると、ファイアウォールはルールを無視し、それらを適用しません。
認証済みアプリケーションルール	ファイアウォールがローカルの承認済みアプリケーションルールに対処する方法を設定します。有効を選択すると、ファイアウォールはローカルルールに従います。[無効] を選択すると、ファイアウォールはローカルルールを無視し、それらを適用しません。

独自のファイアウォールルールを構成するには、[ファイアウォールのルールを追加] を選択します。ルールを追加した後に、必要に応じて設定を構成します。ルールは必要に応じていくつでも追加できます。
完了したら、保存して公開 を選択し、プロファイルをデバイスにプッシュします。

ファイアウォール（レガシー）プロファイル

Windows デスクトップデバイスのファイアウォール（レガシー）プロファイルを使用して、デバイスの Windows ファイアウォール設定を構成します。新しいプロファイルで新しい Windows 機能を使用する場合は、Windows デスクトップ用の新しいファイアウォールプロファイルの使用を検討してください。

重要：ファイアウォールプロファイルでは、デバイスに Workspace ONE Intelligent Hub をインストールする必要があります。

[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
Windows を選択し、次に Windows デスクトップ を選択します。
デバイスプロファイル を選択します。
プロファイルの [全般] 設定を構成します。
ファイアウォール (レガシー) ペイロードを選択します。
Windows 推奨設定を使用する を有効にして、Windows 推奨設定を使用し、このプロファイルで利用可能な他のオプションをすべて無効にします。自動的に推奨設定に変更され、自身で変更することはできません。

プライベートネットワーク を構成します。

設定	説明
ファイアウォール	有効にすると、デバイスがプライベートネットワーク接続に接続されている場合に、ファイアウォールを使用します。
許可済みのアプリリストの項目を含む、すべての受信接続をブロックする	有効にすると、すべての受信接続をブロックします。この設定では、送信接続は許可されます。
Windows のファイアウォールが新しいアプリをブロックした場合にユーザーに通知する	有効にすると、Windows のファイアウォールが新しいアプリをブロックした場合に通知を表示します。

パブリックネットワーク を構成します。

設定	説明
ファイアウォール	有効にすると、デバイスがプライベートネットワーク接続に接続されている場合に、ファイアウォールを使用します。
許可済みのアプリリストの項目を含む、すべての受信接続をブロックする	有効にすると、すべての受信接続をブロックします。この設定では、送信接続は許可されます。
Windows のファイアウォールが新しいアプリをブロックした場合にユーザーに通知する	有効にすると、Windows のファイアウォールが新しいアプリをブロックした場合に通知を表示します。

構成完了後、保存して公開 を選択し、プロファイルをデバイスにプッシュします。

キオスクプロファイル

キオスクプロファイルを構成して、Windows デスクトップデバイスをマルチアプリのキオスクデバイスに変えます。このプロファイルを使用して、デバイスのスタートメニューで表示されるアプリを構成できます。

カスタム XML をアップロードしてキオスクプロファイルを構成するか、またはプロファイルの一部としてキオスクを作成することができます。このプロファイルは、ドメインアカウントまたはドメイングループをサポートしていません。ユーザーは、Windows によって作成された組み込みのユーザーアカウントです。

サポートされているアプリ
- .EXE アプリ
  - MSI および ZIP ファイルには、ファイルパスを追加する必要があります。
- 組み込みアプリ
  - 選択した組み込みアプリは、デザイナーに自動的に追加されます。これらのアプリには、以下が含まれます。
  - ニュース
  - Microsoft Edge
  - 天気予報
  - アラーム & クロック
  - 付箋
  - 地図
  - 電卓やフォト。

手順

[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
Windows を選択し、次に Windows デスクトップ を選択します。
デバイスプロファイル を選択します。
プロファイルの全般を構成します。キオスクプロファイルを構成する前に、割り当てを追加する必要があります。
キオスク プロファイルを選択します。
カスタム XML がすでに使用されている場合は、[キオスク XML のアップロード] を選択し、[アクセス構成 XML を割り当て] 設定を完了します。アップロードを選択し、割り当てられたアクセス構成 XML を追加します。テキストボックスに XML を貼り付けることもできます。詳細については、https://docs.microsoft.com/en-us/windows/client-management/mdm/assignedaccess-csp を参照してください。
カスタムの XML がない場合は、[キオスクを作成する] を選択し、アプリのレイアウトを構成します。

このレイアウトは、グリッド上のデバイスのスタートメニューです。左側に表示されるアプリケーションは、選択した割り当てグループに割り当てられたアプリです。一部のアプリには、右上隅に赤のドットのついた歯車のアイコンがあります。このアイコンは、キオスクレイアウトに追加する際に追加の設定が必要なアプリであることを示します。設定を構成した後に赤のドットは表示されなくなりますが、アイコンは残ります。矢印アイコンを選択して、アプリのサイズを変更できます。クラシックデスクトップアプリでは、小または中のみを選択できます。

追加のサポートアプリケーションを必要とするアプリケーションの場合、キオスクプロファイルでは [追加設定] オプションを使用して、これらのサポートアプリケーションの追加をサポートします。たとえば、VMware Horizon クライアントでは、キオスクモードで実行するサポートアプリケーションが最大で 4 つ必要になります。追加の [アプリケーションの実行可能ファイルのパス] を追加して、プライマリキオスクアプリケーションを構成する場合は、これらの追加のサポートアプリケーションを追加します。
スタートメニューに追加するすべてのアプリをセンターにドラッグします。最大で 4 つのアプリのグループを作成できます。これらのグループにより、アプリがスタートメニューにセクションごとに結合されます。
任意のすべてのアプリとグループを追加した後、保存を選択します。
キオスクプロファイル画面で、保存して公開 を選択します。

結果

プロファイルに含まれるすべてのアプリがインストールされるまで、プロファイルはデバイス上にインストールされません。デバイスがプロファイルを受信すると、デバイスが再起動され、キオスクモードで実行されます。デバイスからプロファイルを削除すると、デバイスのキオスクモードが無効になり、再起動され、キオスクユーザーが削除されます。

OEM 更新プロファイル

OEM 更新プロファイルを使用すると、選択した Dell の社内デバイスに OEM 更新設定を構成できます。このプロファイルを使用するには、Dell Command | Update との統合が必要です。

OEM 更新プロファイル設定に対するサポート内容は、Dell の社内デバイスごとに異なります。Workspace ONE UEM では、デバイスによってサポートされている設定のみがプッシュされます。Windows デスクトップデバイスに展開されている OEM 更新はすべて、[デバイス更新] ページに表示されます。OEM 更新を確認するには、[リソース] > [デバイス更新] > [OEM 更新] タブの順に進みます。

注：OEM 更新プロファイルでは、Dell Command | Update バージョン 3.x 以降をサポートしています。Dell Command | Update の現在のバージョンは、各コンソールリリースでテストされています。

[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
Windows を選択し、次に Windows デスクトップ を選択します。
デバイスプロファイル を選択します。
プロファイルの [全般] 設定を構成します。
[OEM 更新] ペイロードを選択し、以下の設定を構成します。
- 更新を確認 - 更新の確認に使用する間隔を選択します。
- 曜日 - 更新を確認する曜日を選択します。更新をチェック が 週刻み に設定されている場合のみ表示されます。
- 月の日 - 更新を確認する日付を選択します。更新をチェック が 月刻み に設定されている場合のみ表示されます。
- 時刻 - 更新プログラムの有無をチェックする時刻を選択します。
- 更新動作 - 更新プログラムの有無をチェックするときに実行するアクションを選択します。
  - 更新プログラムがないかスキャンし、利用可能な更新プログラムがあればそのことをユーザーに通知する場合は、スキャン、通知 を選択します。
  - 更新プログラムがないかスキャンし、利用可能な更新プログラムがあればダウンロードして、更新プログラムがインストール可能になったことをユーザーに通知する場合は、スキャン、ダウンロード、通知 を選択します。
  - 更新プログラムがないかスキャンし、利用可能な更新プログラムがあればダウンロードおよびインストールしてデバイスを再起動する場合は、スキャン、通知、適用、再起動 を選択します。
- 再起動の遅延 - 更新プログラムをダウンロードした後にデバイスを再起動するまでの時間を選択します。
- 緊急更新プログラム - 緊急更新プログラムをデバイスに適用する場合、[有効化] を選択します。
- 推奨更新プログラム - 推奨更新プログラムをデバイスに適用する場合、[有効化] を選択します。
- オプション更新プログラム - オプション更新プログラムをデバイスに適用する場合、[有効化] を選択します。
- ハードウェアドライバ - OEM によって提供されるハードウェアドライバの更新プログラムをデバイスに適用する場合、[有効化] を選択します。
- アプリケーションソフトウェア - OEM によって提供されるアプリケーションソフトウェアの更新プログラムをデバイスに適用する場合、[有効化] を選択します。
- BIOS 更新プログラム - OEM によって提供される BIOS の更新プログラムをデバイスに適用する場合、[有効化] を選択します。BIOS パスワードが BIOS プロファイルによって管理されている場合、パスワードを無効にする必要はありません。
- ファームウェア更新プログラム - OEM によって提供されるファームウェアの更新プログラムをデバイスに適用する場合、[有効化] を選択します。
- ユーティリティソフトウェア - OEM によって提供されるユーティリティソフトウェアの更新プログラムをデバイスに適用する場合、[有効化] を選択します。
- その他 - OEM によって提供されるその他の更新プログラムをデバイスに適用する場合、[有効化] を選択します。
- 音声 - OEM によって提供されるオーディオデバイスの更新プログラムをデバイスに適用する場合、[有効化] を選択します。
- チップセット - OEM によって提供されるチップセットデバイスの更新プログラムをデバイスに適用する場合、[有効化] を選択します。
- 入力 - OEM によって提供される入力デバイスの更新プログラムをデバイスに適用する場合、[有効化] を選択します。
- ネットワーク - OEM によって提供されるネットワークデバイスの更新プログラムをデバイスに適用する場合、[有効化] を選択します。
- ストレージ - OEM によって提供されるストレージデバイスの更新プログラムをデバイスに適用する場合、[有効化] を選択します。
- 動画 - OEM によって提供されるビデオデバイスの更新プログラムをデバイスに適用する場合、[有効化] を選択します。
- その他 - OEM によって提供されるその他のデバイスの更新プログラムをデバイスに適用する場合、[有効化] を選択します。
保存して公開 を選択します。

パスワードプロファイル

パスワードプロファイルは、Windows デバイスをアイドル状態から復帰させる度にパスワードを要求し、デバイスを保護します。Workspace ONE UEM のパスワードプロファイルにより管理デバイス上の企業の社外秘情報をより確実に保護する方法を説明します。

このプロファイルは、既存のパスワードよりも設定要件が厳しい場合のみに効力を発揮します。たとえば、既存の Microsoft アカウントが、パスワードペイロードの要件よりも厳しいパスワード要件を設定している場合は、デバイスには Microsoft アカウントのパスワードが引き続き使用されます。

重要：パスワードペイロードはドメイン参加デバイスには適用されません。

[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
Windows を選択し、次に Windows デスクトップ を選択します。
デバイスプロファイル を選択します。
プロファイルの全般を構成します。
パスワード プロファイルを選択します。

パスワード設定を構成します。

設定	説明
パスワードの複雑度	必要に応じ、パスワードの複雑度を [シンプル] か [複雑] に設定します。
英数字を必須にする	パスワードに英字と数字の使用を必須にするにはこれを有効にします。
パスワードの最小文字数	パスワードの最小文字数を入力します。
パスワードの有効期間 (日)	パスコードの有効期間の最大日数を入力します。期限切れが近づくと、エンドユーザーにパスワード変更を求めます。
パスワードの変更禁止期間 (日)	エンドユーザーがパスワードを変更できるまでに経過する必要がある日数を入力します。
デバイスロック猶予時間 (分)	デバイスが自動ロックされるまでの時間を分単位で設定します。自動ロックを解除するには、パスワードを再入力する必要があります。
試行失敗回数の上限	エンドユーザーが入力を試行できる回数の上限です。これを超えるとデバイスは再起動します。
パスワード履歴 (回数)	パスワードを過去何回分まで記憶するかを設定します。記憶されているパスワードと同一のものは再利用できません。たとえば、12 と指定した場合、過去に使用した 12 個のパスワードが履歴に残り、エンドユーザーはそれらを再利用できなくなります。
パスワードを失効させる	デバイス上の既存のパスワードを失効させ、新しいパスワードを作成するよう要求するには、これを有効化します。デバイスに Workspace ONE Intelligent Hub がインストールされている必要があります。
パスワードの有効期限 (日)	パスワードの有効期限が切れるまでの日数を構成します。
暗号化を元に戻せる状態でパスワードを保存する	OS が暗号化を元に戻せる状態でパスワードを保存するようにするにはこれを有効化します。暗号化を元に戻せる状態でパスワードを保存するということは、実質的にパスワードをプレーンテキストで保存するのと同じことです。このため、パスワード情報の保護よりもアプリケーションの要件が優先される場合以外は、このポリシーを有効にしないでください。
Windows デバイスに Protection Agent を使用する	Workspace ONE Intelligent Hub を使用して、ネイティブ DM 機能ではなくパスワードプロファイル設定を実施するには、これを有効にします。ネイティブ DM 機能の使用に問題がある場合はこの設定を有効化します。

[保存して公開] を選択し、プロファイルをデバイスにプッシュします。

ピアツーピアプロファイル

Workspace ONE Peer Distribution は、Windows オペレーティングシステムに組み込まれたネイティブ Windows BranchCache 機能を使用します。この機能により、ピアツーピアテクノロジーの代替手段が提供されます。

ピアツーピア Windows Desktop プロファイルを使用して、Windows デバイスでピアツーピアを構成します。ピアツーピアでは、分散型、ホスト型、および ローカル の BranchCache モードが、それぞれの構成設定（ディスク容量の割合およびキャッシュの有効期間など）と合わせてサポートされます。また、[アプリとブック] > [ネイティブ] > [リスト表示] > [アプリケーションの詳細] の下の [ピアツーピア詳細] パネルから、アプリケーションの BranchCache 統計情報を表示することもできます。

ピアツーピアを Workspace ONE で使用すると、Windows アプリケーションをエンタープライズネットワークに展開できます。このプロファイルは、Windows オペレーティングシステムに組み込まれたネイティブの Windows BranchCache 機能を使用します。

ピアツーピアプロファイルを構成する

ピアツーピアディストリビューション用のピアツーピアプロファイルを使用するには、Workspace ONE のピアツーピア要件を満たしている必要があります。

[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
Windows を選択し、次に Windows デスクトップ を選択します。
デバイスプロファイル を選択します。
プロファイルの全般を構成します。
ピアツーピア プロファイルを選択し、構成を選択します。

ピアツーピアプロファイルを作成するには、事前にファイルストレージを構成しておく必要があります。詳細は、Requirements for Workspace ONE Peer Distributionを参照してください。

使用する Workspace ONE Peer Distribution モード を選択します。

設定	説明
分散型	このオプションを選択すると、デバイスはローカルサブネット内のピアからアプリケーションをダウンロードします。
ホスト型	このオプションを選択すると、デバイスはホスト型キャッシュサーバからアプリケーションをダウンロードします。
ローカル	このオプションを選択すると、デバイスはローカルデバイスのキャッシュからのみアプリケーションをダウンロードします。
無効	このオプションを選択すると、ピアツーピアが無効にされます。

キャッシュ 設定を構成します。

設定	説明
キャッシュの有効期間(日)	デバイスがアイテムをパージするまでにピアツーピアアイテムがキャッシュに残される最大日数を入力します。
BranchCache に使用されるディスク容量の割合	ピアツーピアでの使用をデバイスに許可するローカルディスク容量を入力します。

配布モードをホスト型に設定した場合は、ホスト型キャッシュサーバ を構成します。デバイスによるコンテンツのダウンロードとアップロード用に、少なくとも 1 つのホスト型キャッシュサーバを追加する必要があります。
保存して公開 を選択します。

個人設定プロファイル

Windows デスクトップデバイスの個人用設定プロファイルを構成して、Windows の個人用設定を構成します。これらの設定には、デスクトップの背景とスタートメニューの設定が含まれます。

このプロファイルのオプションはすべて任意です。個人用設定の要件を満たすために必要な設定のみを考慮してください。

このプロファイルでは、キオスクプロファイルなどのマルチアプリキオスクデバイスは作成しません。

[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
Windows を選択し、次に Windows デスクトップ を選択します。
デバイスプロファイル を選択します。
プロファイルの全般を構成します。
個人用設定 プロファイルを選択します。

イメージ 設定を構成します。

設定	説明
デスクトップイメージ	アップロードを選択して、デスクトップの背景として使用するイメージを追加します。
ロック画面の画像	アップロードを選択して、ロック画面の背景として使用するイメージを追加します。

スタートメニューのレイアウトの XML をアップロードします。この XML ファイルは、既定のスタートメニューのレイアウトをオーバーライドし、ユーザーによるレイアウトの変更を防止します。タイルのレイアウト、グループの数、および各グループのアプリを構成できます。この XML は自分で作成する必要があります。スタートメニューのレイアウトの XML の作成の詳細については、https://docs.microsoft.com/en-us/windows/configuration/customize-and-export-start-layout を参照してください。
スタートメニューポリシー 設定を構成します。これらの設定により、どのショートカットをスタートメニューで許可するかを制御できます。シャットダウン オプションや アプリリスト などの特定のオプションの 非表示 または表示を選択することもできます。
保存して公開 を選択します。

プロキシプロファイル

プロキシプロファイルを作成して、Windows デスクトップデバイス用のプロキシサーバを構成します。これらの設定は、VPN 接続には適用されません。

[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
Windows を選択し、次に Windows デスクトップ を選択します。
デバイスプロファイル を選択します。
プロファイルの全般を構成します。

プロキシ プロファイルを選択し、以下を構成します。

設定	説明
設定を自動検出	プロキシ自動構成 (PAC) スクリプトへのパスをシステムで自動検索する場合に有効にします。
セットアップスクリプトを使用	PAC スクリプトへのファイルパスを入力する場合に有効にします。
スクリプトアドレス	PAC スクリプトへのファイルパスを入力します。このオプションは、セットアップスクリプトを使用が有効になっている場合に表示されます。
プロキシサーバを使用	イーサネットおよび Wi-Fi 接続に設定プロキシサーバを使用する場合に有効にします。このプロキシサーバは、すべてのプロトコルに使用されます。これらの設定は、VPN 接続には適用されません。
プロキシサーバのアドレス	プロキシサーバアドレスを入力します。アドレスは、次の形式に従う必要があります。`<server>[“:”<port>]`.
例外	プロキシサーバを使用させないすべてのアドレスを入力します。これらのアドレスにはプロキシサーバが使用されません。エントリをセミコロン (;) で区切ってください。
ローカル（イントラネット）アドレス用のユーザープロキシ	ローカル（イントラネット）アドレスにプロキシサーバを使用する場合に有効にします。

保存して公開 を選択します。

制限事項プロファイル

制限事項プロファイルにより、エンドユーザーのデバイス機能へのアクセスを無効にし、Windows デバイスの改ざんを防ぐことができます。エンドユーザーが使用または変更できる設定およびオプションを Workspace ONE UEM 制限事項プロファイルで制御する方法を説明します。

デバイスに適用される制限事項は、ご使用の Windows のバージョンおよびエディションによって異なります。

[リソース] > [プロファイルとベースライン] > [プロファイル] の順に進み、[追加] を選択します。
Windows を選択し、次に Windows デスクトップ を選択します。
デバイスプロファイル を選択します。
プロファイルの [全般] 設定を構成します。
制限事項 プロファイルを選択します。

管理設定を構成します。

設定	説明
手動による MDM 加入解除を許可する	エンドユーザーが、ワークプレース/職場のアクセスを通して Workspace ONE UEM から手動で加入解除することを許可します。この制限は、Windows Home Edition デバイスではサポートされていません。
プロビジョニングパッケージをインストールするためのランタイム構成 Hub	複数デバイスの Workspace ONE UEM への加入にプロビジョニングパッケージを使用すること (一括プロビジョニング) を許可する場合は有効にします。この制限は、Windows Home Edition デバイスではサポートされていません。
場所	デバイスでロケーションサービスをどのように実行するか選択します。この制限は、Windows Home Edition デバイスではサポートされていません。
プロビジョニングパッケージを削除するためのランタイム構成エージェント	プロビジョニングパッケージの削除を許可します。この制限は、Windows Home Edition デバイスではサポートされていません。
診断および使用量のテレメトリデータを送信する	Microsoft に送信するテレメトリデータのレベルを選択します。この制限は、Windows Home Edition デバイスではサポートされていません。
MDM 利用に Microsoft アカウントを必須にする	デバイスがポリシーやアプリケーションを受信するために Microsoft アカウントを必須にするには、これを有効化します。
モダンアプリケーションには Microsoft アカウントを必須にする	デバイスがWindows アプリをダウンロードしインストールするために Microsoft アカウントを必須にするには、これを有効化します。
プロビジョニングパッケージにはデバイスの信頼された機関による署名済み証明書が必要	すべてのプロビジョニングパッケージに信頼された証明書を必須にするにはこれを有効化します (一括プロビジョニング)。この制限は、Windows Home Edition デバイスではサポートされていません。
ユーザーに自動再生設定の変更を許可する	ファイルタイプの自動再生にどのプログラムを使用するかをユーザーが変更できるようにします。この制限は、Windows Home Edition デバイスではサポートされていません。
ユーザーにデータセンサー設定の変更を許可する	ユーザーがデータセンサー設定を変更し、デバイスのデータ使用量を制限できるようにします。この制限は、Windows Home Edition デバイスではサポートされていません。
日付/時刻	ユーザーが日付/時刻設定を変更できるようにします。この制限は、Windows Home Edition デバイスではサポートされていません。
言語	ユーザーが言語設定を変更できるようにします。この制限は、Windows Home Edition デバイスではサポートされていません。
ユーザーに電源とスリープモード設定の変更を許可する	ユーザーに電源とスリープモード設定の変更を許可します。この制限は、Windows Home Edition デバイスではサポートされていません。
リージョン	ユーザーが地域を変更できるようにします。この制限は、Windows Home Edition デバイスではサポートされていません。
ユーザーにサインインオプションの変更を許可する	ユーザーにサインインオプションの変更を許可します。この制限は、Windows Home Edition デバイスではサポートされていません。
VPN	ユーザーが VPN 設定を変更できるようにします。この制限は、Windows Home Edition デバイスではサポートされていません。
ワークプレース設定の変更をユーザーに許可する	ユーザーは、ワークプレース設定とデバイス上での MDM の動作を変更できます。この制限は、Windows Home Edition デバイスではサポートされていません。
ユーザーにアカウント設定の変更を許可する	ユーザーにアカウント設定の変更を許可します。この制限は、Windows Home Edition デバイスではサポートされていません。
Bluetooth	ユーザーにデバイス上の Bluetooth の使用を許可します。この制限は、Windows Home Edition デバイスではサポートされていません。
デバイスの Bluetooth を使用した広告	デバイスの Bluetooth を使用した広告のブロードキャストを許可します。この制限は、Windows Home Edition デバイスではサポートされていません。
Bluetooth を有効にしたデバイスによるデバイスの検出	他の Bluetooth デバイスによる検出を許可します。この制限は、Windows Home Edition デバイスではサポートされていません。
カメラ	デバイスのカメラ機能へのアクセスを許可します。この制限は、Windows Home Edition デバイスではサポートされていません。
Cortana	Cortana アプリケーションへのアクセスを許可します。この制限は、Windows Home Edition デバイスではサポートされていません。
ロック画面のデバイス検出 UX	ロック画面でデバイス検出 UX を使用しプロジェクタやその他の表示を検出します。このオプションを有効にした場合、Windows+P および Windows+K というショートカットキーは機能しません。この制限は、Windows Home Edition デバイスではサポートされていません。
IME ログ収集	誤変換のログ収集、自動調整結果のファイルへの保存と、履歴に基づく予測入力のオン/オフ切り替えをユーザーに許可します。この制限は、Windows Home Edition デバイスではサポートされていません。
IME ネットワークアクセス	｢オープン拡張辞書」をオンにし、インターネット検索を統合させ、入力に対する候補がデバイスのローカルの辞書に見つからない場合にユーザーに候補を提示します。この制限は、Windows Home Edition デバイスではサポートされていません。
Smart Screen	エンドユーザーに Microsoft Smart Screen 機能の使用を許可します。これは、デバイスをロック解除する際にエンドユーザーに画像上に図形を描画するよう要求するセキュリティ機能です。さらにこのオプションは、エンドユーザーがパスワードとして暗証番号 (PIN) を使用することを許可します。注: 無効にした機能を、Workspace ONE UEM MDM 経由で再度有効にすることはできません。その場合は、デバイスの工場出荷状態リセットを行ってから有効にする必要があります。この制限は、Windows Home Edition デバイスではサポートされていません。
検索しロケーション情報を利用する	検索を許可し、デバイスのロケーション情報を利用できるようにします。この制限は、Windows Home Edition デバイスではサポートされていません。
ストレージカード	SD カードとデバイスの USB ポートの使用を許可します。この制限は、Windows Home Edition デバイスではサポートされていません。
Windows 同期設定	ユーザーがデバイス間で Windows 設定を同期できるようにします。この制限は、Windows Home Edition デバイスではサポートされていません。
Windows ヒント	ユーザーにデバイスの Windows ヒントの使用を許可します。この制限は、Windows Home Edition デバイスではサポートされていません。
ユーザーアカウント制御設定	OS 変更の際、デバイス管理者権限が必要な場合に、エンドユーザーに通知を送付するレベルを選択します。
Microsoft ストア信頼済みアプリ以外を許可	Microsoft ストアで信頼されていないアプリのダウンロードとインストールを許可します。
アプリストア自動更新	Microsoft ストアからダウンロードされたアプリの新バージョンが利用可能になった際に自動更新を許可します。この制限は、Windows Home Edition デバイスではサポートされていません。
開発者によるロック解除を許可する	｢開発者によるロック解除｣設定の使用を許可し、アプリケーションをデバイスにサイドローディングできるようにします。この制限は、Windows Home Edition デバイスではサポートされていません。
DVR とゲームブロードキャスティングを許可する	デバイス上のゲームの録画とブロードキャストを許可するにはこれを有効化します。この制限は、Windows Home Edition デバイスではサポートされていません。
同じアプリの複数ユーザー間でデータ共有を許可する	アプリの複数ユーザー間でデータを共有できるようにします。この制限は、Windows Home Edition デバイスではサポートされていません。
アプリデータをシステムボリュームに制限する	アプリデータを、セカンダリボリュームやリムーバブルメディアではなく、OS と同じボリュームに保存するよう制限します。この制限は、Windows Home Edition デバイスではサポートされていません。
アプリのインストールをシステムドライブに制限する	アプリを、セカンダリドライブやリムーバブルメディアではなく、システムドライブにインストールするよう制限します。この制限は、Windows Home Edition デバイスではサポートされていません。
Wi-Fi ホットスポットに自動接続	デバイスが Wi-Fi センサー機能を使用して Wi-Fi ホットスポットに自動接続することを許可します。この制限は、Windows Home Edition デバイスではサポートされていません。
ローミング中のセルラーデータ	ローミング中にセルラーデータの使用を許可します。この制限は、Windows Home Edition デバイスではサポートされていません。
インターネット共有	デバイス間でのインターネット共有を許可します。この制限は、Windows Home Edition デバイスではサポートされていません。
ローミング中のデータ使用	ローミング中のエンドユーザーによるデータの転送/受信を許可します。この制限事項は、すべての Windows デバイスに適用されます。
モバイルデータ通信中の VPN	モバイルデータ通信中の VPN 使用を許可します。この制限は、Windows Home Edition デバイスではサポートされていません。
モバイルデータ通信ローミング中の VPN	モバイルデータ通信ローミング中の VPN 使用を許可します。この制限は、Windows Home Edition デバイスではサポートされていません。
自動入力	ユーザー情報欄の入力に自動入力機能を使用します。この制限は、Windows Home Edition デバイスではサポートされていません。
Cookie	Cookie の使用を許可します。この制限は、Windows Home Edition デバイスではサポートされていません。
トラッキング拒否	トラッキング拒否リクエストの使用を許可します。この制限は、Windows Home Edition デバイスではサポートされていません。
パスワードマネージャ	パスワードマネージャの使用を許可します。この制限は、Windows Home Edition デバイスではサポートされていません。
ポップアップ	ブラウザのポップアップを許可します。この制限は、Windows Home Edition デバイスではサポートされていません。
アドレスバーの検索候補提示機能	アドレスバーで検索候補を提示します。この制限は、Windows Home Edition デバイスではサポートされていません。
Smart Screen	SmartScreen とコンテンツフィルタを使用し悪意あるサイトをブロックします。この制限は、Windows Home Edition デバイスではサポートされていません。
イントラネットトラフィックを Internet Explorer に送信する	イントラネットトラフィックの Internet Explorer 使用を許可します。この制限事項は、すべての Windows デバイスに適用されます。
エンタープライズサイトの URL 一覧	エンタープライズサイトの一覧に追加する URL を入力します。この制限事項は、すべての Windows デバイスに適用されます。

構成完了後、保存して公開 を選択し、プロファイルをデバイスにプッシュします。

SCEP プロファイル

SCEP (Simple Certificate Enrollment Protocol) プロファイルを使用し、証明書をサイレントにデバイスにインストールすることができます。エンドユーザー側の対応は不要です。

複雑なパスワードやその他の制限事項を設けても、社内インフラストラクチャの弱点がすべてなくなることはありません。そのため、総当たり攻撃や辞書攻撃、従業員の操作ミスによるリスクは残ります。セキュリティレベルを上げ、企業アセットをより強固に保護するには、電子証明書の導入が効果的です。SCEP を使用して証明書をデバイスにサイレントインストールするには、まず認証局を定義し、次に SCEP ペイロードを構成し、EAS、Wi-Fi、または VPN ペイロードを構成する必要があります。これらペイロードのそれぞれに、｢SCEP｣ペイロードで定義された認証局を関連付けるための設定項目があります。

証明書をデバイスにプッシュするには、EAS、Wi-Fi、VPN 設定用に作成した各プロファイルの一部として SCEP ペイロードを構成します。

SCEP プロファイルを構成する

SCEP プロファイルはデバイス認証に使用する証明書をデバイスにサイレントにインストールします。

[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
Windows を選択し、次に Windows デスクトップ を選択します。
ユーザープロファイル または デバイスプロファイル を選択します。
プロファイルの全般を構成します。
SCEP プロファイルを選択します。

SCEP 設定を構成します。

設定	説明
資格情報ソース	このドロップダウンメニューは常に定義済み認証局に設定されています。
認証局	使用する認証局を選択します。
証明書テンプレート	証明書に利用できるテンプレートを選択します。
キーの位置	証明書のプライベートキーの位置を選択します。 TPM (存在する場合) – デバイスにトラステッドプラットフォームモジュール (TPM) が存在すれば TPM に、存在しない場合は OS に、プライベートキーを保管します。 TPM 必須 – プライベートキーをトラステッドプラットフォームモジュール (TPM) に保管する場合はこれを選択します。TPM が存在しない場合は、証明書はインストールされず、デバイスにはエラーが表示されます。ソフトウェア – プライベートキーをデバイス OS に保管する場合はこれを選択します。 Passport – プライベートキーを Microsoft Passport に保管する場合はこれを選択します。このオプションを使用するには Azure AD との統合が必要です。
コンテナ名	Passport for Work（現在の呼称は「Windows Hello for Business」）のコンテナ名を指定します。この設定は、キーの位置を Passport に設定すると表示されます。

Wi-Fi、VPN または EAS プロファイルを構成します。
構成完了後、保存して公開 を選択し、プロファイルをデバイスにプッシュします。

シングルアプリモードプロファイル

シングルアプリモードプロファイルを使用し、デバイスから 1 つのアプリにしかアクセスできないように制限することができます。シングルアプリモードのデバイスは、このペイロードを削除するまで、1 つのアプリにロックされます。このポリシーはデバイス再起動後に有効になります。

シングルアプリモードには以下のような制限があります。

Windows ユニバーサルアプリとモダンアプリのみが対象です。シングルアプリモードはレガシ .msi/.exe アプリケーションをサポートしません。
ユーザーはローカル標準ユーザーのみである必要があります。ドメインユーザー、管理者ユーザー、Microsoft アカウント、ゲストを含むことはできません。この標準ユーザーはローカルユーザーである必要があります。ドメインアカウントはサポートされません。

手順

[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
[Windows] を選択し、次に [Windows デスクトップ] を選択します
ユーザープロファイル を選択します。
プロファイルの全般を構成します。
シングルアプリモード プロファイルを選択します。
[アプリケーション名] の [シングルアプリモード] 設定を構成し、アプリケーションのフレンドリ名を入力します。Windows アプリケーションの場合、フレンドリ名はパッケージ名またはパッケージ ID になります。デバイスにインストールされているアプリのフレンドリ名を取得するには、PowerShell コマンドを実行します。｢Get-AppxPackage｣コマンドを実行すると、アプリケーションのフレンドリ名が｢name｣として返されます。
シングルアプリモードプロファイルを構成した後は、デバイス上でシングルアプリモードをセットアップする必要があります。
- シングルアプリモードプロファイルを受信した後、デバイスを再起動します。
- デバイスを再起動すると、標準ユーザーアカウントにサインインするよう促すプロンプトが表示されます。

サインインすると、ポリシーが適用され、デバイスはシングルアプリモードになります。シングルアプリモードからサインアウトする必要がある場合は、Windows キーを素早く 5 回押すとログイン画面が表示され、別のユーザーとしてログインすることができます。

VPN プロファイル

Workspace ONE UEM はデバイスの VPN 設定を構成し、エンドユーザーによる企業のインフラへのセキュアなリモートアクセスを可能にします。VPN プロファイルで、VPN プロバイダを指定した設定やアプリベースの VPN アクセスといった、より詳細な VPN 設定の制御を行う方法を説明します。

重要：VPN ロックダウン を有効にする前に、VPN プロファイルの VPN 構成が機能していることを確認します。VPN 構成が正しくないと、インターネットに接続できないために、VPN プロファイルをデバイスから削除できない可能性があります。

[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
Windows を選択し、次に Windows デスクトップ を選択します。
ユーザープロファイル または デバイスプロファイル を選択します。
プロファイルの全般を構成します。
VPN プロファイルを選択します。
[接続情報] 設定を構成します。
- 接続名 - VPN 接続の名前を入力します。
- 接続タイプ - VPN 接続のタイプを選択します。
- サーバ - VPN サーバホスト名または IP アドレスを入力します。
- ポート - VPN サーバが使用するポートを入力します。
- 高度な接続設定 - デバイスの VPN 接続の高度なルーティング規則を構成するには、これを有効化します。
- ルーティングアドレス - [追加] を選択し、VPN サーバの IP アドレスとサブネットプレフィックスのサイズを入力します。必要に応じてルーティングアドレスをさらに追加できます。
- DNS ルーティング規則 - [追加] を選択し、VPN をいつ使用するかを管理するドメイン名を入力します。指定する各ドメインが使用する DNS サーバ と Web プロキシサーバ を入力します。
- ルーティングポリシー - [すべてのトラフィックが VPN を経由することを強制する] か [外部リソースにダイレクトアクセスを許可する] のいずれかを選択します。
  - すべてのトラフィックが VPN を経由することを強制する (強制トンネリング): このトラフィック規則では、すべての IP トラフィックが VPN インターフェイスのみを経由します。
  - 外部リソースにダイレクトアクセスを許可する (分割トンネリング): このトラフィック規則では、(ネットワークスタックによって決定された) VPN インターフェイス経由と設定されたトラフィックのみがインターフェイスを経由します。インターネットトラフィックは他のインターフェイスを経由することができます。
- プロキシ - VPN が使用するプロキシサーバを検出するには [自動検出] を選択します。プロキシサーバを構成するには、手動を選択します。
- サーバ - プロキシサーバの IP アドレスを入力します。この設定は プロキシ を手動に設定すると表示されます。
- プロキシサーバ構成 URL - プロキシサーバ構成設定の URL を入力します。この設定は プロキシ を手動に設定すると表示されます。
- ローカルではプロキシを使用しない - デバイスがローカルネットワークにある時はプロキシサーバをバイパスするには、これを有効化します。
- プロトコル - VPN の認証プロトコルを選択します。
  - EAP – 様々な認証方法を許可します
  - コンピュータ証明書 – デバイス証明書ストアのクライアント証明書を検出し、認証に使用します。
- EAP タイプ - EAP 認証のタイプを選択します。
  - EAP-TLS – スマートカードまたはクライアント証明書認証
  - EAP-MSCHAPv2 – ユーザー名とパスワード
  - EAP-TTLS
  - PEAP
  - カスタム構成 - すべての EAP 構成を許可します。この項目は プロトコル を EAP に設定すると表示されます。
- 資格情報タイプ - クライアント証明書を使用するには [証明書を使用する] を選択します。認証にスマートカードを使用するには スマートカードを使用する を選択します。この項目は EAP タイプ を EAP-TLS に設定すると表示されます。
- 証明書の簡易選択 - この設定を有効にすると、シンプルな証明書リストをユーザーに表示し、選択するように求めます。それぞれのエンティティに対して発行された最近の証明書のみが表示されます。この項目は EAP タイプ を EAP-TLS に設定すると表示されます。
- Windows ログオン資格情報を使用する - Windows デバイスと同じ資格情報を使用するには、これを有効にします。この項目は EAP タイプ を EAP-MSCHAPv2 に設定すると表示されます。
- ID プライバシー - クライアントがサーバのアイデンティティを認証する前にサーバに送信する値を入力します。この項目は EAP タイプ を EAP-TTLS に設定すると表示されます。
- 内部認証方法 - 内部 ID 認証に使用する認証方法を選択します。この項目は EAP タイプ を EAP-TTLS に設定すると表示されます。
- すばやい再接続を有効にする - クライアントからの認証リクエストとサーバの応答時間の遅れを減らすには、これを有効に設定します。この項目は EAP タイプ を PEAP に設定すると表示されます。
- ID プライバシーを有効にする - クライアントとサーバ間の認証が行われるまでユーザー ID を保護するには、これを有効にします。
- アプリベース VPN 規則 - 旧式のアプリと最新アプリを指定してトラフィック規則を追加するには [追加] をクリックします。
- アプリケーション ID - まず、アプリがストアアプリまたはデスクトップアプリのいずれであるかを選択します。次に、デスクトップアプリの場合はアプリケーションのファイルパスを入力します。また、ストアアプリの場合はパッケージのファミリ名を入力し、トラフィック規則が適用されるアプリを指定できます。
  - ファイルパスの例: %ProgramFiles%/ Internet Explorer/iexplore.exe
  - パッケージのファミリ名 (PFN) の例: AirWatchLLC.AirWatchMDMAgent_htcwkw4rx2gx4 PFN 参照機能を使用し、[検索] アイコンをクリックしてアプリケーションの PFN を検索することができます。表示される画面からアプリを選択し、アプリベース VPN 規則を構成します。その後、PFN が自動的に入力されます。
- VPN オンデマンド - アプリケーションの起動時に自動的に VPN 接続する場合は、このオプションを有効にします。
- ルーティングポリシー - アプリのルーティングポリシーを選択します。
  - 外部リソースにダイレクトアクセスを許可する – VPN トラフィックとローカルネットワーク接続経由のトラフィックの両方を許可します。
  - すべてのトラフィックが VPN を経由することを強制する – すべてのトラフィックに VPN を経由するよう強制します。
- DNS ルーティング規則 - アプリトラフィックに DNS ルーティング規則を追加するには、これを有効化します。追加をクリックし、ルーティング規則の フィルタタイプ と フィルタ値 を追加します。指定されたアプリの中のこれらの規則に合致するトラフィックのみが VPN 経由で送信されます。
  - IP アドレス: 許可するリモート IP アドレス範囲を指定する、コンマで値を区切ったリスト。
  - ポート: 許可するリモートポート範囲を指定する、コンマで値を区切ったリスト。例: 100-120, 200, 300-320。ポートが有効であるためには、プロトコルが TCP または UDP に設定されている必要があります。
  - IP プロトコル: 許可する IP プロトコルを表す 0～255 の数値。例: TCP = 6、UDP = 17
- デバイス全体の VPN 規則 - [追加] を選択し、デバイス全体を対象とするトラフィック規則を追加します。追加をクリックし、ルーティング規則の フィルタタイプ と フィルタ値 を追加します。これらの規則に合致するトラフィックのみが VPN 経由で送信されます。
  - IP アドレス: 許可するリモート IP アドレス範囲を指定する、コンマで値を区切ったリスト。
  - ポート: 許可するリモートポート範囲を指定する、コンマで値を区切ったリスト。例: 100-120, 200, 300-320。ポートが有効であるためには、プロトコルが TCP または UDP に設定されている必要があります。
  - IP プロトコル: 許可する IP プロトコルを表す 0～255 の数値。例: TCP = 6、UDP = 17すべてのプロトコルの数値のリストについては、https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml を参照してください。
- 資格情報を保存 - エンドユーザーのログイン資格情報を記憶するには、これを有効にします。
- 常にオン- VPN 接続を強制的に常時オンにしておくには、これを有効にします。
- VPN ロックダウン - VPN 接続を強制的に常時オンにし、接続が決して切断されないようにして、VPN が接続されていないすべてのネットワークアクセスを無効にし、さらに他の VPN プロファイルへの接続を防止するには、この設定を有効化します。VPN ロックダウンを有効にした VPN プロファイルは、新しい VPN プロファイルをデバイスにプッシュする前に削除する必要があります。この機能は、プロファイルがデバイスコンテキストに設定されている場合にのみ表示されます。
- ローカル接続ではバイパス - ローカルのイントラネットトラフィックは VPN 接続をバイパスさせます。
- 信頼されたネットワークを検出 - 信頼されたネットワークアドレスをコンマで区切って入力します。信頼されたネットワーク接続が検出された場合には VPN 接続を行いません。
- ドメイン - [新しいドメインの追加] を選択し、VMware Tunnel サーバ経由で解決するためのドメインを追加します。トラフィックの発生元となったアプリに関係なく、追加されたドメインはすべて、VMware Tunnel サーバ経由でドメイン名が解決されます。たとえば、信頼できる Chrome アプリまたは信頼できない Edge アプリを使用する場合、vmware.com は、VMware Tunnel サーバを介して解決されます。このオプションが表示されるのは、VPN プロファイルをユーザープロファイルとして作成する場合だけです。
構成完了後、保存して公開 を選択し、プロファイルをデバイスにプッシュします。

Workspace ONE UEM VPN プロファイルでは、Windows デバイスのアプリベースの VPN 設定がサポートされています。VPN プロファイルを構成して、特定のトラフィック規則を使用してアプリベースの VPN アクセスを有効にする方法を説明します。

VPN プロファイルを使用した Windows のアプリベースの VPN

アプリベースの VPN を使用した場合、アプリケーションごとに VPN トラフィック規則を構成できます。この機能により、指定したアプリの起動時に VPN を自動接続したり、そのアプリケーショントラフィックを VPN 経由で送信し、他のアプリケーションはブロックしたりすることができます。アプリベース VPN の柔軟な制御で、デバイスのインターネット全体へのアクセスを制限することなく、データを確実にセキュリティ保護することができます。

アプリベース VPN 規則セクションの各規則グループは OR (論理和) 演算子を使用します。つまり、構成されたポリシーのいずれかにトラフィックが合致する場合は、VPN の経由が許可されます。

[アプリベース VPN 規則] ボックスが表示されます

アプリベース VPN トラフィック規則は、EXE ファイルのようなレガシ Windows アプリにも、Microsoft ストアからダウンロードされた、モダンアプリにも適用可能です。指定したアプリケーションを起動すると VPN 接続が使用されるように設定した場合、それらのアプリのトラフィックのみが VPN 接続を使用します。こうすることで、VPN 経由の帯域幅を効率的に使用しながら、貴社の企業データをセキュアに保つことができます。

VPN 帯域幅の制約を緩和するために、アプリベースの VPN 接続に DNS ルーティング規則を設定することができます。これらのルーティング規則により、規則に合致しないトラフィックは VPN を経由できないように制限することができ、トラフィック量を抑えられます。この論理規則は AND 演算子を使用します。IP アドレス、ポート、IP プロトコルを設定した場合、そのトラフィックが VPN を経由するには、これらのフィルタのすべての条件を満たす必要があります。

アプリベースの VPN を使用した場合、VPN 接続をアプリ単位できめ細かく制御できます。

Web クリッププロファイル

Web クリッププロファイルを使用した場合、エンドユーザーのデバイスに URL をプッシュし、エンドユーザーが重要な Web サイトにアクセスしやすくすることができます。

[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
Windows を選択し、次に Windows デスクトップ を選択します。
ユーザープロファイル を選択します。
プロファイルの全般を構成します。
Web クリップ プロファイルを選択します。

以下のような ウェブクリップ 設定を構成します。

設定	説明
ラベル	ウェブクリップの説明を入力します。
URL	URL ウェブクリップのターゲット URL を入力します。
App Catalog に表示	ウェブクリップを App Catalog に表示するにはこれを有効にします。

構成完了後、保存して公開 を選択し、プロファイルをデバイスにプッシュします。

Wi-Fi プロファイル

Workspace ONE UEM を使用して Wi-Fi プロファイルを作成し、非表示化、暗号化、またはパスワード保護された企業ネットワークにデバイスが接続できるようにします。Wi-Fi プロファイルが、複数のネットワークに接続する必要があるエンドユーザーや、適切なワイヤレスネットワークにデバイスが自動で接続するよう構成する際などに特に役に立つことを説明します。

[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
Windows を選択し、次に Windows デスクトップ を選択します。
デバイスプロファイル を選択します。
プロファイルの全般を構成します。

[Wi-Fi] プロファイルを選択し、以下を構成します。

設定	説明
サービスセット識別子 (SSID)	Wi-Fi ネットワークの名前を表す識別子を入力します。ネットワーク SSID にスペースを含めることはできません。
非公開のネットワーク	非公開の SSID をネットワークで使用する場合は、このオプションを有効にします。
自動参加	デバイスがネットワークに自動で参加するようにするには、このオプションを有効にします。
セキュリティタイプ	ドロップダウンメニューを使用し、Wi-Fi ネットワークのセキュリティタイプを、WPA2-パーソナルなどから選択します。
暗号化	ドロップダウンメニューを使用して暗号化のタイプを選択します。このフィールドは、セキュリティタイプに基づいて表示されます。
パスワード	静的なパスワードを使用するネットワークには、Wi-Fi ネットワーク接続に必要なパスワードを入力します。 [文字を表示] チェックボックスを選択すると、この欄の非表示になっている文字が表示されます。このフィールドは、セキュリティタイプに基づいて表示されます。
プロキシ	Wi-Fi 接続のプロキシ設定を構成するには、このオプションを有効化します。
URL	プロキシの URL を入力します。
ポート	プロキシのポートを入力します。
プロトコル	使用するプロトコルのタイプを選択します。証明書：PEAP-MsChapv2 EAP-TTLS：カスタムこのセクションは、[セキュリティタイプ] が WPA エンタープライズまたは WPA2 エンタープライズに設定されている場合に表示されます。
内部 ID	EAP-TTLS から認証方法を選択します。ユーザー名/パスワードと証明書このセクションは、[プロトコル] オプションが EAP-TTLS または PEAP-MsChapv2 に設定されている場合に表示されます。
暗号化バインドを必須にする	双方の認証に暗号化バインドを必須にするには、このオプションを有効化します。このメニュー項目は、中間者攻撃を制限します。
Windows のログオン資格情報を使用する	Windows のログイン資格情報（ユーザー名/パスワード）を認証に使用するには、このオプションを有効にします。この項目はユーザー名/パスワードが内部 ID に設定されている場合に表示されます。
ID 証明書	ID 証明書を選択します。これは資格情報ペイロードを使用して構成することができます。この項目は証明書が内部 ID に設定されている場合に表示されます。
信頼された証明書	Wi-Fi プロファイルに信頼された証明書を追加するには追加を選択します。このセクションは、セキュリティタイプが WPA エンタープライズまたは WPA2 エンタープライズに設定されている場合に表示されます。
信頼性に関する例外の許可	ダイアログボックスを通して信頼性に関する判断をユーザーが下すことを許可するにはこれを有効にします。

構成完了後、保存して公開 を選択し、プロファイルをデバイスにプッシュします。

Windows Hello プロファイル

Windows Hello は、パスワードの使用に代わる、別のセキュリティ対策を提供します。Windows Hello プロファイルを使用して、Windows デスクトップデバイスに対して Windows Hello for Business を構成すると、エンドユーザーは、パスワードを送信しなくてもデータにアクセスできるようになります。

デバイスとアカウントをユーザー名とパスワードで保護することにはセキュリティ上の弱点が含まれています。ユーザーがパスワードを忘れたり、パスワードを社外のユーザーに教えたりする可能性があるということは、貴社の企業データがリスクにさらされているということになります。Windows デバイスは、Windows Hello を使用して、パスワードを送信することなくユーザーをアプリケーション/Web サイト/ネットワークにセキュアに認証します。ユーザーがパスワードを記憶する必要はありません。さらに MITM (man-in-the-middle) のような攻撃により貴社セキュリティが侵害されるリスクを軽減することができます。

Windows Hello は、はじめにユーザーに Windows デバイスの登録を求めます。次に、PIN（暗証番号）または Windows Hello（生体認証）による認証を行います。Windows Hello による認証後すぐに、デバイスから Web サイト、アプリケーション、ネットワークにアクセスできます。

重要：Windows Hello for Business を使用するには、Azure AD 統合が動作している必要があります。

Windows Hello プロファイルを作成し、Windows デスクトップデバイスに対して Windows Hello for Business を構成すると、エンドユーザーは、パスワードを入力しなくてもアプリケーション、Web サイト、およびネットワークにアクセスできるようになります。

Windows Hello プロファイルを作成する

重要：Windows Hello プロファイルが適用されるのは Azure AD 統合を通して加入したデバイスのみです。

[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
Windows を選択し、次に Windows デスクトップ を選択します。
デバイスプロファイル を選択します。
プロファイルの全般を構成します。

[Windows Hello] プロファイルを選択し、以下を構成します。

設定	説明
バイオメトリックジェスチャ	有効にすると、エンドユーザーがデバイスの生体認証センサーを使用できるようになります。
TPM	デバイスに TPM（トラステッドプラットフォームモジュール）がインストールされていない場合は Passport の使用を無効にするには、[必須とする] を選択します。
暗証番号の最小文字数	PIN (暗証番号) の最小文字数を入力します。
暗証番号の最大文字数	PIN (暗証番号) の最大文字数を入力します。
数字	PIN (暗証番号) に数字を使用する許可レベルを設定します。
大文字	PIN (暗証番号) に大文字を使用する許可レベルを設定します。
小文字	PIN (暗証番号) に小文字を使用する許可レベルを設定します。
特殊文字	PIN（暗証番号）に特殊文字を使用する許可レベルを設定します。 `! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ { \| } ~`

保存して公開 を選択し、プロファイルをデバイスにプッシュします。

Windows ライセンスプロファイル

Windows ライセンスプロファイルを構成し、貴社の Windows デバイスに、Windows Enterprise または Windows Education ライセンスキーを配布します。このプロファイルは、Windows Enterprise エディションではないデバイスをアップグレードする際にも使用します。

重要：

このアップグレード結果を元に戻すことはできません。このプロファイルを BYOD デバイスに公開すると、MDM 経由でライセンスを取り消すことはできません。Windows をアップグレードする際は、以下のようなアップグレードの流れに従う必要があります。

Windows Enterprise から Windows Education へ
Windows Home から Windows Education へ
Windows Pro から Windows Education へ
Windows Pro から Windows Enterprise へ

手順

[リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
Windows を選択し、次に Windows デスクトップ を選択します。
デバイスプロファイル を選択します。
プロファイルの全般を構成します。

Windows ライセンス プロファイルを選択し、以下を構成します。

設定	説明
Windows エディション	Enterprise または Education エディションを選択します。
有効なライセンスキーを入力	使用する Windows エディションに応じ、ライセンスキーを入力します。

保存して公開 を選択し、プロファイルをデバイスにプッシュします。

Windows 更新プログラムプロファイル

Windows 10、2004 以降を使用して、Windows 更新プロファイルを作成し、Windows デスクトップデバイスの Windows 更新設定を管理します。このプロファイルには、Windows 更新 (レガシー) プロファイルよりも多くの強化機能と追加機能があります。更新されたバージョンを使用すると、すべてのデバイスが最新の状態になり、コンソールに追加された新機能を利用できるようになり、デバイスとネットワークのセキュリティが向上します。

Windows 更新プロファイルを作成または構成するには、Windows デバイスマネージャを使用します。

[デバイス] > [プロファイルとリソース] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
[Windows] > [Windows デスクトップ] > [デバイスプロファイル] の順に選択します。
[デバイスプロファイル] から [Windows 更新] を選択し、それを構成するボタンをクリックします。

構成後、必要に応じて設定をカスタマイズできます。次の表に、各設定の目的に関する詳細を示します。

設定	説明
定義
Windows 更新ソース	Windows 更新のソースを選択します。 Microsoft 更新サービス – 既定の Microsoft 更新サーバを使用するにはこれを選択します。企業 WSUS – 企業サーバを使用するにはこれを選択します。[WSUS サーバ URL] と [WSUS グループ] を入力します。この設定が効力を発揮するには、デバイスが少なくとも一度は WSUS に接続する必要があります。ソースとして企業 WSUS を選択することで、貴社 IT 管理者が WSUS グループのデバイスにインストールされた更新とデバイス状態を閲覧できるようになります。注: ソースは、設定後は変更できません。
更新ブランチ	更新プログラムが利用できる際に従う更新ブランチを選択します。 Windows Insider - Dev Channel – このチャネルの Insider Preview ビルドは週に 1 回ほどリリースされ、最新の機能が含まれています。そのため、機能の調査に最適です。 Windows Insider - Beta Channel – このチャンネルの Insider Preview ビルドは月に 1 回ほどリリースされ、Fast Ring リリースよりも安定しており、検証目的に適しています。 Windows Insider - Release Preview Channel – このチャネルの Insider Preview ビルドは、次期 GA バージョンを検証するためのほぼ完成した GA リリースです。 General Availability Channel (Targeted) – Insider Preview はなく、機能の更新は毎年リリースされます。
プレビュービルドの管理	プレビュービルドへのアクセスを選択します。Insider Preview でデバイスを実行する場合は、このオプションが [プレビュービルドを有効にする] に設定されていることを確認します。プレビュービルドを無効にする次のリリースが公開されたらプレビュービルドを無効にするプレビュービルドを有効にする
デバイスのスケジュール設定
デバイスのスケジュール設定を有効にする	有効にすると、更新のインストールと自動（強制）再起動のスケジュール設定をデバイスでどのように処理するかを定義できます。有効にすると、自動更新動作を構成する、アクティブ時間を設定する、更新が自動的にデバイスにプッシュされるまでの日数を構成するためのオプションが表示されます。
更新動作
更新動作を有効にする	有効にすると、提供される更新のタイプと、対象となるデバイスが更新を受け取るタイミングを定義できます。有効にすると、デュアルスキャンを無効にする、Microsoft アプリケーションの更新を許可する、機能の更新を延期する期間を設定する、Windows ドライバを除外する、または Safe Guard を無効にするオプションが表示されます。
デバイスの動作
デバイスの動作を有効にする	有効にすると、更新動作構成がデバイスによってどのように処理されるかを定義できます。有効にすると、従量制ネットワークでの自動 Windows 更新プログラムのダウンロードを許可する、AP 更新のセルラーデータダウンロード制限を無視する、システム更新のセルラーデータダウンロード制限を無視するオプションが表示されます。
配信最適化
配信最適化を有効にする	有効にすると、バンド幅の消費を減らす方法を定義できます。有効にすると、ダウンロードモード、キャッシュホストソース、グループ ID ソース、HTTP ソース、キャッシュサーバソース、ネットワーク、デバイス要件、ネットワークバンド幅の制限を選択するオプションが表示されます。
OS バージョン
OS バージョン	有効にすると、サービスが終了するまでどのターゲットリリースとターゲット製品のバージョンを移動または示すべきかを指定できます。

プロファイルのカスタマイズが完了したら、必ず [保存して公開] を選択し、プロファイルをデバイスにプッシュします。

機能更新プログラムと品質更新プログラムのトラブルシューティング

特定のドライバまたはアプリケーションと組み合わせて使用する際に、Windows Updates によって問題が生じる可能性があるため、これらの状況のトラブルシューティングに役立つ 3 つのボタンが追加されました。[一時停止] ボタンを使用すると、機能更新プログラムと品質更新プログラムの両方をリリース前に一時停止できます（ただし 35 日間のみ）。[ロールバック] ボタンを使用すると、実行された更新プログラムで予期しない問題が発生した場合に、一時的にこれを以前のバージョンに戻し、問題の解決にあたることができます。[再開] ボタンを使用すると、Windows 更新の検索とインストールが再度有効になります。

Windows 更新 (レガシー) プロファイル

Windows 更新 (レガシー) プロファイルは、Windows 10、1909 以前を使用する Windows デスクトップデバイス用です。2004 以降の新機能や機能強化を利用できるようにするには、新しい Windows 更新プロファイルを移行または使用することを検討してください。このプロファイルを使用して貴社の全デバイスを最新状態に保つことで、デバイスとネットワークのセキュリティを強化することができます。

重要：各更新ブランチでサポートされる OS バージョンについては、Windows のリリース情報に関する Microsoft ドキュメント (https://technet.microsoft.com/en-us/windows/release-info.aspx) を参照してください。

Windows 更新レガシープロファイルを作成または構成するには、Windows デバイスマネージャを使用します。

[デバイス] > [プロファイルとリソース] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
[Windows] > [Windows デスクトップ] > [デバイスプロファイル] の順に選択します。
デバイスプロファイル内にカスタマイズできるアイテムのメニューが表示されます。Windows 更新 (レガシー) を選択し、設定を構成するボタンをクリックします。

注：既存のプロファイルを新しいバージョンに移行する機能を通知するアラートが表示されることがあります。[移行] ボタンを使用して、設定を新しい Windows 更新プロファイルに移行できます(選択した場合)。プロファイルを移行すると、一部の設定が強化および更新され、古いオプションの一部が無効になることに注意してください。これらの変更は、以前のバージョンから移行されません。

構成後、レガシープロファイルの設定をカスタマイズできます（2004 以前の Windows 10 用)。次の表に、各設定の目的に関する詳細を示します。

設定	説明
分岐と延期
Windows 更新ソース	Windows 更新のソースを選択します。 Microsoft 更新サービス – 既定の Microsoft 更新サーバを使用するにはこれを選択します。企業 WSUS – 企業サーバを使用するにはこれを選択します。[WSUS サーバ URL] と [WSUS グループ] を入力します。この設定が効力を発揮するには、デバイスが少なくとも一度は WSUS に接続する必要があります。ソースとして企業 WSUS を選択することで、貴社 IT 管理者が WSUS グループのデバイスにインストールされた更新とデバイス状態を閲覧できるようになります。
更新ブランチ	更新プログラムが利用できる際に従う更新ブランチを選択します。 Semi-Annual Channel Windows Insider Branch - Fast (より不安定、Dev ビルド) Windows Insider Branch - Slow (より安定、Dev ビルド) Insider - Release (より安定、Public ビルド)
Insider ビルド	Windows Insider ビルドのダウンロードを許可します。 NOT Allowed - これは Windows 10 バージョン 1709 に追加され、Windows 10 Insider Preview ビルドへのアクセスを許可するかどうかを指定します。
機能更新プログラムを延期する期間 (日)	機能更新プログラムをデバイスにインストールするまでの延期する日数を選択します。更新プログラムを延期できる最大日数は、Windows バージョン 1703 で変更されました。1703 よりも前のバージョンを実行しているデバイスは、180 日間のみ延期できます。1703 以降のバージョンを実行しているデバイスは、最大 365 日延期できます。更新プログラムを 180 日間よりも長く延期し、1703 更新プログラムよりも前のバージョンの Windows を実行しているデバイスにプロファイルをプッシュしても、プロファイルはデバイスにインストールできません。
機能更新プログラムを停止	60 日間または無効化されるまですべての機能更新プログラムを停止するには、これを有効化します。この設定は、機能更新プログラムを延期する期間 (日) の設定を上書きします。通常であれば延期の設定に従ってインストールできる、問題の原因となる更新プログラムの適用を遅らせるには、このオプションを使用します。
品質更新プログラムを延期する期間 (日)	品質更新プログラムをデバイスにインストールするまでの延期する日数を選択します。
品質更新プログラムを停止	60 日間または無効化されるまですべての品質更新プログラムを停止するには、これを有効化します。この設定は、品質更新プログラムを延期する期間 (日) の設定を上書きします。通常であれば延期の設定に従ってインストールできる、問題の原因となる更新プログラムの適用を遅らせるには、このオプションを使用します。
以前のバージョンの Windows 設定を有効にする	以前のバージョンの Windows に対して延期の設定を有効にするには、これを選択します。この設定により、1511 以前のような古いバージョンの Windows 10 の延期機能が有効になります。1607 のアニバーサリー更新で現在の設定に変更されました。
更新プログラムのインストール動作
自動更新	選択した更新ブランチの更新プログラムの処理方法を設定します。更新を自動的にインストールする（推奨）。更新プログラムを自動インストールするが、ユーザーのスケジュールでコンピュータを再起動する更新プログラムを自動インストールし、指定された時間にコンピュータを再起動する更新プログラムを自動インストールし、ユーザーによるコントロールパネル設定の変更を禁止する更新プログラムをチェックする。ダウンロード/インストールするかどうかはユーザーの選択に任せる更新プログラムをチェックしない (推奨しません)。
アクティブ時間最大 (時間)	更新によるシステムの再起動を防ぐアクティブ時間の最大数を入力します。
アクティブ時間開始時刻	アクティブ時間の開始時刻を入力します。アクティブ時間を設定すると、その時間の間はシステムが再起動されません。
アクティブ時間終了時刻	アクティブ時間の終了時刻を表示します。この時刻は、[アクティブ時間開始時刻] と [アクティブ時間最大（時間）] によって決まります。
品質更新プログラムの自動再起動の期限	システムの再起動が強制される前に、品質または機能更新プログラムをインストールした後、待機できる最大日数を設定します。
機能更新プログラムの自動再起動の期限	システムの再起動が強制される前に、機能更新プログラムをインストールした後、待機できる最大日数を設定します。
自動再起動の通知 (分)	自動再起動の前に警告を表示する時間 (分) を選択します。
自動再起動が必要な通知	自動再起動通知を破棄する方法を設定します。自動解除 - 自動的に解除されます。ユーザー解除 - ユーザーが通知を閉じる必要があります。
品質更新プログラムの予約済み再起動の期限	該当する再起動では、アクティブ時間中に品質または機能の更新プログラムをインストールした後にいつデバイスを再起動するか管理できます。このオプションを使用すると、アクティブ時間外に再起動が自動的にスケジュールされる前に、ユーザーが再起動を実行できる日数を設定できます。
機能更新プログラムの掛かり状態の再起動の期限	該当する再起動では、アクティブ時間中に機能更新プログラムをインストールした後にいつデバイスを再起動するか管理できます。このオプションを使用すると、アクティブ時間外に再起動が自動的にスケジュールされる前に、ユーザーが再起動を実行できる日数を設定できます。
品質更新プログラムの掛かり状態の再起動の保留スケジュール	ユーザーが再起動を保留できる日数を入力します。保留期間が経過すると、アクティブ時間外に再起動時間がスケジュールされます。
機能更新プログラムの掛かり状態の再起動の保留スケジュール	ユーザーが再起動を保留できる日数を入力します。保留期間が経過すると、アクティブ時間外に再起動時間がスケジュールされます。
スケジューリングされた自動再起動警告 (時間)	ユーザーに警告するようスケジュールされた自動再起動までの時間を時間単位で選択します。
スケジューリングされた自動再起動開始警告 (分)	ユーザーに警告するようスケジュールされた自動再起動までの時間を分単位で選択します。
スケジュールされた緊急自動再起動警告 (分)	ユーザーに警告するようスケジュールされた緊急自動再起動までの時間を分単位で選択します。
更新ポリシー
パブリックアップデートを許可	一般の Windows Update サービスからの更新プログラムを許可します。このサービスを許可しないと、Microsoft ストアで問題が発生する可能性があります。
Microsoft 更新プログラムを許可	Microsoft Update の更新プログラムを許可します。
更新スキャン間隔 (時間)	更新のスキャン間隔を時間単位で設定します。
デュアルスキャン	Windows Server Update Services を使用して、他のすべてのコンテンツを提供する際に、Windows Update をプライマリアップデートソースとして使用できるようにします。
品質更新プログラムから Windows Update ドライバを除外	品質更新中にドライバ更新プログラムが、デバイスに自動的にインストールされないようにします。
サードパーティ製の署名された更新プログラムをインストールする	承認されたサードパーティ製の更新プログラムのインストールを許可します。
モバイルオペレータのアプリダウンロード制限	セルラーネットワーク経由でアプリとその更新をダウンロードする場合、モバイルオペレータのダウンロード制限を無視するかどうかを選択します。
モバイルオペレータのアップデートダウンロード制限	セルラーネットワーク経由で OS 更新を段ロードする場合、モバイルオペレータのダウンロード制限を無視するかどうかを選択します。
管理者が承認した更新
更新の承認が必要	このオプションを有効にした場合、更新プログラムをデバイスにダウンロードする前に承認が必要になります。このオプションを有効にした場合、デバイスにダウンロードする前に管理者が更新を明示的に承認する必要があります。この承認は、更新グループを使用して、または個別の更新プログラム承認を使用して行われます。このオプションを有効にした場合、更新プログラムをデバイスにプッシュする前に、エンドユーザーの代わりに EULA に同意する必要があります (同意が必要な EULA がある場合)。EULA に同意する必要がある場合、ダイアログボックスが開いて EULA が表示されます。更新プログラムを承認するには、ライフサイクル > Windows 更新プログラムと進みます。
配信最適化
ピアツーピア更新	更新プログラムをピアツーピアでダウンロードすることを許可します。

プロファイルのカスタマイズが完了したら、必ず [保存して公開] を選択し、プロファイルをデバイスにプッシュします。

Windows デスクトップのデバイス更新

Workspace ONE UEM は、Windows デバイスの OS および OEM 更新プログラムの確認と承認をサポートしています。[デバイス更新] ページには、選択した組織グループに加入済みの Windows デバイスが利用可能なすべての更新プログラムの一覧が表示されます。

Windows デスクトッププロファイルの管理対象アプリケーション

管理者は、デバイス上の管理対象アプリケーションの削除を管理できます。[新しい Windows デスクトッププロファイルを追加] > [管理対象アプリケーション] で、管理者は、デバイスが加入解除された場合に管理対象アプリケーションを保持する機能を有効または無効にできます。

[Windows] タブ

Windows タブから、企業のニーズに合わせて更新プログラムを承認し、更新プログラムを特定のスマートグループに割り当てることができます。このタブには、すべての更新プログラムが公開日、プラットフォーム、分類、割り当て先のグループとともに表示されます。選択した組織グループ (OG) に加入済みの Windows デバイスが利用可能な更新プログラムのみが表示されます。組織グループに加入している Windows デバイスがない場合、更新プログラムは表示されません。

新プログラムの名前を選択すると、ウィンドウが開き、詳細情報、更新プログラムの Microsoft KB ページへのリンク、および更新プログラムのインストール状態が表示されます。

このプロセスを実行するには、Windows 更新プログラムプロファイルをデバイスに公開し、更新の承認が必要 を有効にする必要があります。

更新プログラムのインストール状態は、デバイスに更新プログラムが展開されているかどうかを示します。更新プログラムの展開状態を表示するには、リスト内の更新プログラムを選択するか、[インストール状態] 列で [表示] を選択します。

状態	説明
割り当て	更新プログラムは承認され、デバイスに割り当てられています。
承認済み	承認された更新プログラムのデバイスへの割り当てが完了しています。
利用可能	更新プログラムはデバイス上でインストールできる状態です。
インストール保留中	インストールは承認され、利用可能ですが、まだインストールされていません。
再起動を保留中	デバイスがリブートされるまでインストールは保留されています。
インストール済み	更新プログラムは正常にインストールされました。
失敗	更新プログラムのインストールは失敗しています。

[OEM 更新] タブ

このタブから、Windows デスクトップデバイスに展開されているすべての OEM の更新を確認できます。名前、レベル、タイプ、およびデバイスカテゴリで並べてリスト表示することができます。オーディオドライバ、チップセットドライバ、BIOS の更新などのフィルタを使用して表示された更新プログラムを抽出することもできます。

更新プログラムの展開のインストール状態を表示するには、更新プログラムの名前を選択します。

Windows 用の Workspace ONE UEM プロファイル

プロファイルとは

ユーザーまたはデバイス レベル

Windows ユーザー プロファイルとデバイス プロファイルを構成するための新しいプロファイル オプション

Windows プラットフォーム オプション

Windows (ベータ版) プラットフォーム オプション

Microsoft ネイティブ テンプレート

機能フラグ - VMware テンプレート

ウイルス対策プロファイル

アプリケーション制御プロファイル

アプリケーション制御プロファイルを構成する

BIOS プロファイル

資格情報プロファイル

資格情報プロファイルを構成する

カスタム設定プロファイル

ユーザーが Workspace ONE UEM サービスを無効にできないようにする

Dynamic Environment Manager (DEM) プロファイル

DEM のドキュメント

CDN が必須

検討事項

統合前に次のタスクを実行する

DEM プロファイルを構成する

DEM 構成プロファイルの変更を適用する

データ保護プロファイル

データ保護プロファイルを構成する

暗号化ファイル システム証明書を作成する

Defender Exploit Guard プロファイル

Windows Defender Exploit Guard

Exploit Protection

攻撃面の削減

制御されたフォルダ アクセス

ネットワーク保護

補足情報

Defender Exploit Guard プロファイルを作成する

暗号化プロファイル

BitLocker 機能

展開の際のデバイス動作

暗号化状態

リカバリ キー

削除の際のデバイスの動作

BitLocker および順守ポリシー

BitLocker To Go Support

リカバリ キー情報を確認できる場所

コンソールから BitLocker を一時停止する

暗号化プロファイルを構成する

Exchange ActiveSync プロファイル

プロファイル削除または企業情報ワイプを行う

ユーザー名とパスワード

Exchange ActiveSync プロファイルを構成する

Exchange Web Service プロファイル

ファイアウォールのプロファイル

ファイアウォール（レガシー）プロファイル

キオスク プロファイル

OEM 更新プロファイル

パスワード プロファイル

ピアツーピア プロファイル

ピアツーピア プロファイルを構成する

個人設定プロファイル

プロキシ プロファイル

制限事項プロファイル

SCEP プロファイル

SCEP プロファイルを構成する

シングル アプリ モード プロファイル

VPN プロファイル

VPN プロファイルを使用した Windows のアプリ ベースの VPN

Web クリップ プロファイル

Wi-Fi プロファイル

Windows Hello プロファイル

Windows Hello プロファイルを作成する

Windows ライセンス プロファイル

Windows 更新プログラム プロファイル

機能更新プログラムと品質更新プログラムのトラブルシューティング

Windows 更新 (レガシー) プロファイル

Windows デスクトップのデバイス更新

Windows デスクトップ プロファイルの管理対象アプリケーション

ナビゲーション

[Windows] タブ

[OEM 更新] タブ

ユーザーまたはデバイスレベル

Windows ユーザープロファイルとデバイスプロファイルを構成するための新しいプロファイルオプション

Windows プラットフォームオプション

Windows (ベータ版) プラットフォームオプション

Microsoft ネイティブテンプレート

暗号化ファイルシステム証明書を作成する

制御されたフォルダアクセス

リカバリキー

リカバリキー情報を確認できる場所

キオスクプロファイル

パスワードプロファイル

ピアツーピアプロファイル

ピアツーピアプロファイルを構成する

プロキシプロファイル

シングルアプリモードプロファイル

VPN プロファイルを使用した Windows のアプリベースの VPN

Web クリッププロファイル

Windows ライセンスプロファイル

Windows 更新プログラムプロファイル

Windows デスクトッププロファイルの管理対象アプリケーション