iOS デバイス用のアプリ

Workspace ONE UEM MDM 機能を Workspace ONE UEM アプリと組み合わせると、セキュリティと機能をさらに強化できます。また、UEM コンソールを使用することにより、従業員所有デバイス、会社所有デバイス、および共有デバイスにある Workspace ONE UEM 関連アプリのライフサイクル全体を簡単に管理できます。

Workspace ONE UEM アプリケーションを使用すると、管理者とエンドユーザーは次のことができます。

VMware Workspace ONE Content を使用して、個人用コンテンツフォルダを同期させる
インターネット検索を保護するために VMware Workspace ONE Web を構成する
VMware Workspace ONE Boxer で Eメールを構成する
AirWatch Container を MDM の代わりに使用し、企業ポリシーを維持しながらデバイス上の業務データを個人データから隔離する

アプリケーションの管理の詳細については、『モバイルアプリケーション管理』を参照してください。

Workspace ONE Intelligent Hub for iOS

iOS 向け Workspace ONE Intelligent Hub の役割は、管理対象デバイスの情報を収集し、UEM console に通知することです。この情報には機密データが含まれている可能性があるので、Workspace ONE UEM ではさまざまな手段によって、この情報が暗号化されていることや、この情報の発生元が信頼されているソースであることが確認されます。

Workspace ONE UEM は、一意の証明書ペアを使用して、iOS 向け Workspace ONE Intelligent Hub とサーバの間で送受信されるすべてのデータに対して、署名と暗号化を行います。サーバではこれらの証明書に基づいて、Workspace ONE UEM に加入している各デバイスの ID と信頼性が検証されます。このセクションでは、AirWatch Agent と AirWatch サーバにおけるセキュリティ強化のメリットと必要性について説明します。

証明書の交換

データ転送前に、Workspace ONE Intelligent Hub アプリケーションとサーバの間で、パーソナライズされた証明書が交換されます。両者の関係が確立されるのは、加入時に iOS 向け VMware Workspace ONE Intelligent Hub が Workspace ONE UEM サーバに初めてチェックインしたときです。

iOS 向け Workspace ONE Intelligent Hub が Workspace ONE UEM サーバにアクセスし、サーバの証明書パブリックキーを取得します。iOS 向け Workspace ONE Intelligent Hub と Workspace ONE UEM サーバはいずれも、Workspace ONE UEM ルート証明書のパブリックキーを信頼します。ルート証明書は、加入時に交換されるすべての証明書の信頼性を証明するものです。
iOS 向け VMware Workspace ONE Intelligent Hub が、Workspace ONE UEM ルート CA 証明書と照合して、サーバの証明書を検証します。
iOS 向け VMware Workspace ONE Intelligent Hub が、一意の証明書パブリックキーを Workspace ONE UEM サーバに送信します。
Workspace ONE UEM サーバが、VMware Workspace ONE Intelligent Hub の証明書をデータベース内のデバイスと関連付けます。

転送中データのセキュリティ保護

証明書の初回交換後に UEM コンソールに送信されるデータは、すべて暗号化されます。次の表は、2 種類の証明書とその役割を示したものです。

	Hub 証明書	サーバ証明書
Workspace ONE Intelligent Hub	データに署名する	データを暗号化する
Workspace ONE UEM サーバ	データ送信元を検証する	データを復号する

API およびアプリケーション機能

iOS デバイス上で管理と追跡を行う目的で Workspace ONE UEM によって使用される API には、次の 2 つのカテゴリがあります。

ワイヤレス (OTA) MDM API：iOS 向け Workspace ONE Intelligent Hub が使用されているかどうかにかかわらず、加入プロセスでアクティブ化されます。
ネイティブ iOS SDK API：Workspace ONE UEM ソフトウェア開発キット (SDK) を使用している、サードパーティ製アプリケーション、VMware Workspace ONE Intelligent Hub、およびその他のアプリケーションで利用できます。

iOS 向け VMware Workspace ONE Intelligent Hub は｢ブローカーアプリケーション｣として、ネイティブ iOS SDK API 管理層と連携します。iOS 向け Workspace ONE Intelligent Hub と iOS 向け Workspace ONE UEM SDK を組み合わせて使用した場合、アプリケーションに対して拡張 MDM 機能を利用できます。この拡張 MDM 機能は、ワイヤレス (OTA) MDM API 層に備わっている機能を拡張したものです。

iOS デバイスの Workspace ONE Intelligent Hub 設定を構成する
UEM Console で Workspace ONE Intelligent Hub 設定をカスタマイズできます。たとえば、Workspace ONE Intelligent Hub と組み合わせて使用する SDK プロファイルを指定し、Workspace ONE UEM の機能を利用することができます。
iOS 向け Workspace ONE Intelligent Hub Mobile Application
Workspace ONE Intelligent Hub の加入後、アプリケーションはデフォルトで [マイデバイス] 画面になります。この画面で、デバイスに関するリアルタイム情報を表示すること、デバイスを同期させること、デバイスを再加入させること、UEM コンソールから届いたメッセージを表示することができます。

iOS デバイスの Workspace ONE Intelligent Hub 設定を構成する

UEM console で Workspace ONE Intelligent Hub 設定をカスタマイズできます。たとえば、Workspace ONE Intelligent Hub と組み合わせて使用する SDK プロファイルを指定し、Workspace ONE UEM の機能を利用することができます。

手順

[デバイス] > [デバイス設定] > [Apple] > [Apple iOS] > [Hub 設定] の順に進みます。
Workspace ONE Intelligent Hub の次の設定を構成します。

設定	説明
Hub の加入解除オプションを無効化	この設定により、Workspace ONE Intelligent Hub を使用して Workspace ONE UEM MDM から加入解除できなくなります。この設定は Workspace ONE Intelligent Hub v4.9.2 以降でのみ使用できます。
背景アプリリフレッシュ	この設定では、Workspace ONE Intelligent Hub に対して、アプリのコンテンツを更新するまでの時間間隔として許可される最長時間を指定します。アプリケーションによっては、サスペンド状態になるまでの実行時間が短い場合があります。背景アプリリフレッシュは、アプリケーション自体がこのサスペンド状態から復帰する、iOS の機能です。このリフレッシュの間、Workspace ONE Intelligent Hub は、侵害の検出、ハードウェアの詳細、GPS、iBeacon およびテレコムなどの情報を UEM console にレポートします。Workspace ONE Intelligent Hub がリフレッシュを行う頻度は OS によって管理され、デバイスが電源に接続されている、頻繁に使用されている、または Wi-Fi に接続されているなど、効率的なときにのみ実行されます。バックグラウンドアプリの更新機能を活用するには、この設定を UEM Console で有効にする必要があり、Workspace ONE Intelligent Hub がデバイス上で停止されないようにし、Workspace ONE Intelligent Hub の [設定] > [全般] > [バックグラウンドアプリの更新] で、バックグラウンドアプリの更新がデバイスに対して有効になっている必要があります。
最小更新間隔	デバイスが次のアプリケーションコンテンツ更新を実行するまでに経過する必要がある時間を選択します。
Wi-Fi 接続時のみ送信可	このオプションを有効にした場合、Wi-Fi 接続時にのみ背景がリフレッシュされます。

UEM console の [設定とポリシー] ページで、Workspace ONE Intelligent Hub に関するその他の構成情報をカスタマイズします。この文書のシングルサインオンに関するページも参照してください。

次に行うこと

オフラインアクセス、ブランディング、およびその他の設定とポリシーの詳細は、「VMware AirWatch Mobile Application Management ガイド」を参照してください。

iOS 向け Workspace ONE Intelligent Hub Mobile Application

Workspace ONE Intelligent Hub の加入後、アプリケーションはデフォルトで [マイデバイス] 画面になります。この画面で、デバイスに関するリアルタイム情報を表示すること、デバイスを同期させること、デバイスを再加入させること、UEM コンソールから届いたメッセージを表示することができます。

すべての状態情報を表示するには、UEM Console の [Hub 設定] で、[セルフサービス有効化] チェックボックスをオンにする必要があります。

注：[Hub 設定] で [Hub の加入解除オプションを無効] チェックボックスを選択していない場合、Workspace ONE Intelligent Hub v4.9.2 を使用して再加入する前に、[デバイスを加入解除する] を選択してください。

マイデバイス機能

状態メニューをタップし、さまざまな状態を確認し、セルフサービス診断オプションを閲覧します。
- デバイスを同期する – このオプションをタップした場合、デバイスを UEM コンソールと再同期させるための要求が送信されます。
- 現在の状態 – このメニューを使用し、加入に関する情報を表示したり、デバイスの再加入を行ったりすることができます。また、アカウントと順守状態を表示することもできます。
- [診断] – このメニューを使用し、接続のテスト、インターネットアクセス状態の表示、接続に関する問題の閲覧、サーバ情報の確認、Hub とデバイスのログの閲覧と送信などを行います。
デバイス詳細 メニューをタップし、以下のような状態を確認します。
- ネットワーク – ネットワークアダプタと IP アドレスを閲覧します。
- 高度な設定 – このメニューを使用し、デバイスのバッテリ、メモリ、およびディスクスペースに関する情報を閲覧します。
- 位置情報– 現在のデバイスの GPS 座標と、これまでの履歴を表示します。
- iBeacon – iBeacon エリア名を表示します。iBeacon が構成されていても位置データが構成されていない場合、iBeacon エリアだけが表示されます。iBeacon と位置データの両方が有効化されている場合、iBeacon エリアとデバイスの位置を示すマップが表示されます。
画面下の Dock には次のような追加情報があります。
- メッセージ – UEM コンソールから届いた通知が表示されます。たとえば、メッセージセンターで通知を受信して必要な順守状態検査を実行し、デバイスがモニタ可能な状態であることを確認することができます。
- アプリケーションについて – Workspace ONE Intelligent Hub のアプリケーションと法的情報についての情報を参照してください。

VMware Workspace ONE Content

エンドユーザーは Workspace ONE Content を使用することにより、デバイス上の重要情報にアクセスすることや、業務用ファイルの安全性を確保することができます。

エンドユーザーは、UEM console で管理者がアップロードしたコンテンツ、同期されている社内リポジトリ内のコンテンツ、および自分自身の個人用コンテンツを Workspace ONE Content で表示することができます。

管理者は UEM コンソールを使用して、コンテンツを追加する作業、リポジトリを同期させる作業、VMware Content Locker で開いたコンテンツに対してエンドユーザーが実行できる操作を構成する作業を行う必要があります。このような構成作業を行うことにより、コンテンツが許可なくコピー、共有、または保存されることを防止できます。

MCM および VMware Workspace ONE Content の構成の詳細は、『VMware Workspace ONE UEM Mobile Content Management Guide』を参照してください。

VMware Workspace ONE Web

VMware Workspace ONE Web は、ネイティブ Web ブラウザの代わりとなるアプリケーションで、管理性とセキュリティが高くなっています。アプリレベルで、トンネルで、または Web サイトレベルで Web 閲覧のセキュリティを保護することができます。

管理者は、貴社の業務ニーズに合わせて Workspace ONE Web を構成できます。具体的には、特定の Web サイトにのみアクセスできるようにすることや、モバイル POS 端末用のセキュアなインターネットポータルを用意することができます。複数のタブを開いての Web 閲覧、Javascript ダイアログボックスといった、使い慣れたブラウジングエクスペリエンスをユーザーに提供します。Android および iOS デバイスでのセキュリティを強化するため、Workspace ONE Web を展開する際に、ネイティブブラウザをブロックする制限事項プロファイルを一緒に展開することをお勧めします。

Workspace ONE Web の展開の準備と構成に関する詳細については、『VMware Workspace ONE Web Admin Guide』を参照してください。

VMware Workspace ONE Boxer

VMware Workspace ONE Boxer は、コンシューマのモバイル生産性向上に照準を合わせ、AES 256-ビット暗号化によるエンタープライズレベルのセキュリティを提供する E メールアプリケーションです。このアプリでは、仕事用のデータが個人用のデータとは別にコンテナ化されるので、企業所有デバイス上および個人所有デバイス上の、業務用の E メール、予定表、および連絡先にシームレスにアクセスできます。

Workspace ONE Boxer ユーザーは、Boxer のスワイプジェスチャ、連絡先アバター、スマートフォルダやアカウントカラーのカスタマイズ機能を使用し、それぞれのニーズに合わせてアプリをパーソナライズできます。E メール、カレンダーと連絡先を含むこのアプリは、ネイティブガイドラインに倣ったデザインで、直感的なユーザー体験を提供します。

VMware Workspace ONE Boxer の詳細は『VMware Workspace ONE Boxer Admin Guide』を参照してください。

iOS 向け AirWatch Container

AirWatch Container は、個人デバイスに安全なワークスペースをプッシュし、個人デバイスの業務利用 (BYOD) への柔軟なアプローチを可能にします。企業は、Workspace ONE UEM アプリケーションおよび社内アプリケーションを、従業員がモバイルデバイス上で使用する AirWatch Container に配布できます。

アプリケーションは AirWatch Container の内部でも外部でも表示されますが、社内アプリケーションは、共通の SDK フレームワークとコンテナパスコードによってセキュリティ保護されています。これらのアプリケーションは、シングルサインオン認証によってシームレスにやり取りでき、アプリケーショントンネル VPN 経由でインターネットにセキュアにアクセスできます。

AirWatch Container の詳細は、『VMware AirWatch Container Admin Guide』を参照してください。

シングルサインオンパスコードをアプリケーションレベルで適用する

エンドユーザーは、シングルサインオン (SSO) 機能を利用し、1 つの SSO パスコードを使用してすべての Workspace ONE UEM アプリ、ラッピングされたアプリ、および SDK 対応アプリにアクセスできます。アプリごとにログイン資格情報を入力する必要はありません。Workspace ONE Intelligent Hub または AirWatch Container をいわば｢ブローカーアプリケーション｣として使用することにより、エンドユーザーは、通常の資格情報または SSO パスコードを 1 回入力するだけで認証を行うことができます。

SSO の有効化は、セキュリティポリシー で行います。管理者はこのセキュリティポリシーを、すべての Workspace ONE UEM アプリ、ラッピングされたアプリ、および既定の SDK プロファイルを使用している SDK 対応アプリに適用されるように構成します。

[グループと設定] > [すべての設定] > [アプリ] > [設定とポリシー] > [セキュリティポリシー] の順に進みます。
シングルサインオン で有効を選択します。これによりエンドユーザーは、すべての Workspace ONE UEM アプリケーションにアクセスし、ログイン状態を維持することができます。
認証タイプ で パスコード を選択し、パスコードモード で数字または 英数字 を選択します。これにより、デバイス上で SSO パスコードの入力が必須になります。SSO を有効にしているが認証タイプを有効にしていない場合、エンドユーザーは通常の資格情報 (ディレクトリサービスまたは Workspace ONE UEM のアカウント) を使用して認証を行います。この場合、SSO パスコードは設定されていません。

エンドユーザーは、SSO の対象アプリケーションに認証を行い、セッションを確立します。SDK プロファイルで指定されている認証タイムアウト時間に達するか、ユーザーがアプリケーションを手動でロックするまで、セッションはアクティブなまま維持されます。

Apple Configurator の概要

Workspace ONE UEM と Apple Configurator を組み合わせて使用することにより、展開されている大量の iOS デバイスを監視および管理できます。管理者は、構成プロファイルを作成したり、iPhone 構成ユーティリティから既存の構成プロファイルをインポートしたり、特定のオペレーティングシステムバージョンをインストールしたりできます。また、iOS デバイスセキュリティポリシーを適用することもできます。

macOS ノート上で Apple Configurator 2 をインストールして実行し、Workspace ONE UEM コンソールと組み合わせて使用することにより、多数のデバイスを同時に監視および構成できます。

構成時に Workspace ONE UEM MDM プロファイルをインストールすることにより、デバイスを自動加入させることができます。
複数ユーザー間で共有されている業務用デバイスを監視できます。
構成プロファイルを作成することにより、Wi-Fi ネットワークに関するデバイス設定を修正することや、Eメールと Microsoft Exchange の設定を事前構成することができます。
デバイス上で Apple ID を入力する必要がない、パブリックアプリを配布できます。
ブループリントを作成することにより、デバイス管理を自動化できます。ブループリントをテンプレートとして使用することにより、プロファイルとアプリケーションを構成し、デバイスに迅速にプッシュすることができます。
デバイスに監視機能を追加することにより、より多くの管理機能を利用することができます。たとえば、アプリケーションの表示/非表示を切り替えることや、デバイス名、壁紙、パスコード、キーボードショートカットなどを変更することができます。
ユーザー設定およびアプリケーションデータ (ユーザーが Apple Configurator を使用して新規に作成したデータを含む) をバックアップできます。

また、Apple Configurator 2 は Apple のデバイス登録プログラム (DEP) と連携し、管理対象ライセンスアプリケーションをデバイスに割り当てることによって、モバイルデバイス管理 (MDM) 加入処理と VPP (Volume Purchase Program) の適用を自動化します。

監視モードデバイスおよび監視対象外デバイスのそれぞれで利用可能な機能については、iOS 機能マトリックスを参照してください。

Apple Configurator を使用して iOS デバイスを加入させる手順については、｢Apple Configurator を使用した iOS デバイスの一括加入処理｣および『Integration with Apple Configurator Guide』を参照してください。

署名付きの Apple Configurator プロファイルを UEM Console にアップロードする

署名付きプロファイルを Apple Configurator (または IPCU) から UEM コンソールに直接エクスポートできます。

Apple Configurator (または IPCU) で監視/管理設定を構成します。
新規に作成したプロファイルを、コンピュータから簡単にアクセスできる場所にエクスポートして保存します。
UEM console で [リソース] > [プロファイルとベースライン] > [プロファイル] の順に進み、[アップロード] を選択します。
管理元 グループを入力して アップロード をクリックし、Apple Configurator (または IPCU) からエクスポートしたプロファイルを探してアップロードします。続行をクリックします。
プロファイルの概要情報 (例: 名前、説明、割り当てられている組織グループ) を入力します。
保存して公開 を選択し、割り当てられているデバイスにプロファイルを送信します。