Workspace ONE UEM MDM 機能を Workspace ONE UEM アプリと組み合わせると、セキュリティと機能をさらに強化できます。また、UEM コンソールを使用することにより、従業員所有デバイス、会社所有デバイス、および共有デバイスにある Workspace ONE UEM 関連アプリのライフサイクル全体を簡単に管理できます。
Workspace ONE UEM アプリケーションを使用すると、管理者とエンドユーザーは次のことができます。
アプリケーションの管理の詳細については、『モバイル アプリケーション管理』を参照してください。
iOS 向け Workspace ONE Intelligent Hub の役割は、管理対象デバイスの情報を収集し、UEM console に通知することです。この情報には機密データが含まれている可能性があるので、Workspace ONE UEM ではさまざまな手段によって、この情報が暗号化されていることや、この情報の発生元が信頼されているソースであることが確認されます。
Workspace ONE UEM は、一意の証明書ペアを使用して、iOS 向け Workspace ONE Intelligent Hub とサーバの間で送受信されるすべてのデータに対して、署名と暗号化を行います。サーバではこれらの証明書に基づいて、Workspace ONE UEM に加入している各デバイスの ID と信頼性が検証されます。このセクションでは、AirWatch Agent と AirWatch サーバにおけるセキュリティ強化のメリットと必要性について説明します。
データ転送前に、Workspace ONE Intelligent Hub アプリケーションとサーバの間で、パーソナライズされた証明書が交換されます。両者の関係が確立されるのは、加入時に iOS 向け VMware Workspace ONE Intelligent Hub が Workspace ONE UEM サーバに初めてチェックインしたときです。
証明書の初回交換後に UEM コンソールに送信されるデータは、すべて暗号化されます。次の表は、2 種類の証明書とその役割を示したものです。
Hub 証明書 | サーバ証明書 | |
---|---|---|
Workspace ONE Intelligent Hub | データに署名する | データを暗号化する |
Workspace ONE UEM サーバ | データ送信元を検証する | データを復号する |
iOS デバイス上で管理と追跡を行う目的で Workspace ONE UEM によって使用される API には、次の 2 つのカテゴリがあります。
iOS 向け VMware Workspace ONE Intelligent Hub は 「ブローカー アプリケーション」 として、ネイティブ iOS SDK API 管理層と連携します。iOS 向け Workspace ONE Intelligent Hub と iOS 向け Workspace ONE UEM SDK を組み合わせて使用した場合、アプリケーションに対して拡張 MDM 機能を利用できます。この拡張 MDM 機能は、ワイヤレス (OTA) MDM API 層に備わっている機能を拡張したものです。
UEM console で Workspace ONE Intelligent Hub 設定をカスタマイズできます。たとえば、Workspace ONE Intelligent Hub と組み合わせて使用する SDK プロファイルを指定し、Workspace ONE UEM の機能を利用することができます。
手順
[デバイス] > [デバイス設定] > [Apple] > [Apple iOS] > [Hub 設定] の順に進みます。
Workspace ONE Intelligent Hub の次の設定を構成します。
設定 | 説明 |
---|---|
Hub の加入解除オプションを無効化 | この設定により、Workspace ONE Intelligent Hub を使用して Workspace ONE UEM MDM から加入解除できなくなります。この設定は Workspace ONE Intelligent Hub v4.9.2 以降でのみ使用できます。 |
背景アプリ リフレッシュ | この設定では、Workspace ONE Intelligent Hub に対して、アプリのコンテンツを更新するまでの時間間隔として許可される最長時間を指定します。アプリケーションによっては、サスペンド状態になるまでの実行時間が短い場合があります。 背景アプリ リフレッシュは、アプリケーション自体がこのサスペンド状態から復帰する、iOS の機能です。このリフレッシュの間、Workspace ONE Intelligent Hub は、侵害の検出、ハードウェアの詳細、GPS、iBeacon およびテレコムなどの情報を UEM console にレポートします。Workspace ONE Intelligent Hub がリフレッシュを行う頻度は OS によって管理され、デバイスが電源に接続されている、頻繁に使用されている、または Wi-Fi に接続されているなど、効率的なときにのみ実行されます。 バックグラウンド アプリの更新機能を活用するには、この設定を UEM Console で有効にする必要があり、Workspace ONE Intelligent Hub がデバイス上で停止されないようにし、Workspace ONE Intelligent Hub の [設定] > [全般] > [バックグラウンド アプリの更新] で、バックグラウンド アプリの更新がデバイスに対して有効になっている必要があります。 |
最小更新間隔 | デバイスが次のアプリケーション コンテンツ更新を実行するまでに経過する必要がある時間を選択します。 |
Wi-Fi 接続時のみ送信可 | このオプションを有効にした場合、Wi-Fi 接続時にのみ背景がリフレッシュされます。 |
次に行うこと
オフライン アクセス、ブランディング、およびその他の設定とポリシーの詳細は、「VMware AirWatch Mobile Application Management ガイド」を参照してください。
iOS 向け Workspace ONE Intelligent Hub Mobile Application
Workspace ONE Intelligent Hub の加入後、アプリケーションはデフォルトで [マイデバイス] 画面になります。この画面で、デバイスに関するリアルタイム情報を表示すること、デバイスを同期させること、デバイスを再加入させること、UEM コンソールから届いたメッセージを表示することができます。
すべての状態情報を表示するには、UEM Console の [Hub 設定] で、[セルフサービス有効化] チェック ボックスをオンにする必要があります。
注:[Hub 設定] で [Hub の加入解除オプションを無効] チェック ボックスを選択していない場合、Workspace ONE Intelligent Hub v4.9.2 を使用して再加入する前に、[デバイスを加入解除する] を選択してください。
マイ デバイス機能
状態 メニューをタップし、さまざまな状態を確認し、セルフサービス診断オプションを閲覧します。
現在の状態 – このメニューを使用し、加入に関する情報を表示したり、デバイスの再加入を行ったりすることができます。また、アカウントと順守状態を表示することもできます。
[診断] – このメニューを使用し、接続のテスト、インターネットアクセス状態の表示、接続に関する問題の閲覧、サーバ情報の確認、Hub とデバイスのログの閲覧と送信などを行います。
エンド ユーザーは Workspace ONE Content を使用することにより、デバイス上の重要情報にアクセスすることや、業務用ファイルの安全性を確保することができます。
エンド ユーザーは、UEM console で管理者がアップロードしたコンテンツ、同期されている社内リポジトリ内のコンテンツ、および自分自身の個人用コンテンツを Workspace ONE Content で表示することができます。
管理者は UEM コンソールを使用して、コンテンツを追加する作業、リポジトリを同期させる作業、VMware Content Locker で開いたコンテンツに対してエンド ユーザーが実行できる操作を構成する作業を行う必要があります。このような構成作業を行うことにより、コンテンツが許可なくコピー、共有、または保存されることを防止できます。
MCM および VMware Workspace ONE Content の構成の詳細は、『VMware Workspace ONE UEM Mobile Content Management Guide』を参照してください。
VMware Workspace ONE Web は、ネイティブ Web ブラウザの代わりとなるアプリケーションで、管理性とセキュリティが高くなっています。アプリ レベルで、トンネルで、または Web サイト レベルで Web 閲覧のセキュリティを保護することができます。
管理者は、貴社の業務ニーズに合わせて Workspace ONE Web を構成できます。具体的には、特定の Web サイトにのみアクセスできるようにすることや、モバイル POS 端末用のセキュアなインターネット ポータルを用意することができます。複数のタブを開いての Web 閲覧、Javascript ダイアログ ボックスといった、使い慣れたブラウジング エクスペリエンスをユーザーに提供します。Android および iOS デバイスでのセキュリティを強化するため、Workspace ONE Web を展開する際に、ネイティブ ブラウザをブロックする制限事項プロファイルを一緒に展開することをお勧めします。
Workspace ONE Web の展開の準備と構成に関する詳細については、『VMware Workspace ONE Web Admin Guide』を参照してください。
VMware Workspace ONE Boxer は、コンシューマのモバイル生産性向上に照準を合わせ、AES 256-ビット暗号化によるエンタープライズ レベルのセキュリティを提供する E メール アプリケーションです。このアプリでは、仕事用のデータが個人用のデータとは別にコンテナ化されるので、企業所有デバイス上および個人所有デバイス上の、業務用の E メール、予定表、および連絡先にシームレスにアクセスできます。
Workspace ONE Boxer ユーザーは、Boxer のスワイプ ジェスチャ、連絡先アバター、スマート フォルダやアカウント カラーのカスタマイズ機能を使用し、それぞれのニーズに合わせてアプリをパーソナライズできます。E メール、カレンダーと連絡先を含むこのアプリは、ネイティブ ガイドラインに倣ったデザインで、直感的なユーザー体験を提供します。
VMware Workspace ONE Boxer の詳細は『VMware Workspace ONE Boxer Admin Guide』を参照してください。
AirWatch Container は、個人デバイスに安全なワークスペースをプッシュし、個人デバイスの業務利用 (BYOD) への柔軟なアプローチを可能にします。企業は、Workspace ONE UEM アプリケーションおよび社内アプリケーションを、従業員がモバイル デバイス上で使用する AirWatch Container に配布できます。
アプリケーションは AirWatch Container の内部でも外部でも表示されますが、社内アプリケーションは、共通の SDK フレームワークとコンテナ パスコードによってセキュリティ保護されています。これらのアプリケーションは、シングルサインオン認証によってシームレスにやり取りでき、アプリケーショントンネル VPN 経由でインターネットにセキュアにアクセスできます。
AirWatch Container の詳細は、『VMware AirWatch Container Admin Guide』を参照してください。
エンドユーザーは、シングル サインオン (SSO) 機能を利用し、1 つの SSO パスコードを使用してすべての Workspace ONE UEM アプリ、ラッピングされたアプリ、および SDK 対応アプリにアクセスできます。アプリごとにログイン資格情報を入力する必要はありません。Workspace ONE Intelligent Hub または AirWatch Container をいわば「ブローカー アプリケーション」として使用することにより、エンド ユーザーは、通常の資格情報または SSO パスコードを 1 回入力するだけで認証を行うことができます。
SSO の有効化は、セキュリティ ポリシー で行います。管理者はこのセキュリティ ポリシーを、すべての Workspace ONE UEM アプリ、ラッピングされたアプリ、および既定の SDK プロファイルを使用している SDK 対応アプリに適用されるように構成します。
[グループと設定] > [すべての設定] > [アプリ] > [設定とポリシー] > [セキュリティ ポリシー] の順に進みます。
シングル サインオン で 有効 を選択します。これによりエンドユーザーは、すべての Workspace ONE UEM アプリケーションにアクセスし、ログイン状態を維持することができます。
認証タイプ で パスコード を選択し、パスコード モード で 数字 または 英数字 を選択します。これにより、デバイス上で SSO パスコードの入力が必須になります。SSO を有効にしているが認証タイプを有効にしていない場合、エンドユーザーは通常の資格情報 (ディレクトリ サービスまたは Workspace ONE UEM のアカウント) を使用して認証を行います。この場合、SSO パスコードは設定されていません。
エンド ユーザーは、SSO の対象アプリケーションに認証を行い、セッションを確立します。SDK プロファイルで指定されている認証タイムアウト時間に達するか、ユーザーがアプリケーションを手動でロックするまで、セッションはアクティブなまま維持されます。
Workspace ONE UEM と Apple Configurator を組み合わせて使用することにより、展開されている大量の iOS デバイスを監視および管理できます。管理者は、構成プロファイルを作成したり、iPhone 構成ユーティリティから既存の構成プロファイルをインポートしたり、特定のオペレーティング システム バージョンをインストールしたりできます。また、iOS デバイス セキュリティ ポリシーを適用することもできます。
macOS ノート上で Apple Configurator 2 をインストールして実行し、Workspace ONE UEM コンソールと組み合わせて使用することにより、多数のデバイスを同時に監視および構成できます。
また、Apple Configurator 2 は Apple のデバイス登録プログラム (DEP) と連携し、管理対象ライセンス アプリケーションをデバイスに割り当てることによって、モバイル デバイス管理 (MDM) 加入処理と VPP (Volume Purchase Program) の適用を自動化します。
監視モード デバイスおよび監視対象外デバイスのそれぞれで利用可能な機能については、iOS 機能マトリックスを参照してください。
Apple Configurator を使用して iOS デバイスを加入させる手順については、「Apple Configurator を使用した iOS デバイスの一括加入処理」および『Integration with Apple Configurator Guide』を参照してください。
署名付きの Apple Configurator プロファイルを UEM Console にアップロードする
署名付きプロファイルを Apple Configurator (または IPCU) から UEM コンソールに直接エクスポートできます。
Apple Configurator (または IPCU) で監視/管理設定を構成します。
新規に作成したプロファイルを、コンピュータから簡単にアクセスできる場所にエクスポートして保存します。
UEM console で [リソース] > [プロファイルとベースライン] > [プロファイル] の順に進み、[アップロード] を選択します。
管理元 グループを入力して アップロード をクリックし、Apple Configurator (または IPCU) からエクスポートしたプロファイルを探してアップロードします。続行 をクリックします。
プロファイルの概要情報 (例: 名前、説明、割り当てられている組織グループ) を入力します。
保存して公開 を選択し、割り当てられているデバイスにプロファイルを送信します。