RSS
 

共有デバイス

Workspace ONE UEM の共有デバイス/マルチユーザー デバイス機能を利用すると、個々のエンド ユーザーに対して、セキュリティと認証を確実に導入できます。また共有デバイスでは、特定のエンド ユーザーのみが機密情報にアクセスできるように設定できます。

社内の従業員全員にデバイスを支給した場合、非常にコストがかかる可能性があります。Workspace ONE UEM では、デバイスを共有して、1 つの固定された構成をエンド ユーザー全員に適用することも、それぞれのエンド ユーザーに固有の構成設定を適用することも可能です。

共有デバイスを導入する場合、エンド ユーザーにデバイスを展開する前に、まず該当する設定や制限事項でデバイスをプロビジョンする必要があります。展開後、Workspace ONE UEM では共有デバイス用のシンプルなログインまたはログアウト プロセスが使用されます。この際、エンド ユーザーは単に自分のディレクトリ サービスまたは専用のログイン資格情報を入力するだけです。エンド ユーザーがどのレベルの企業リソース(コンテンツ、機能、アプリケーションなど)にアクセスできるかは、そのエンド ユーザーのロールに応じて決まります。このロールにより、ユーザーがログイン後に利用する機能やリソースが自動で構成されます。

ログインまたはログアウト機能は、Workspace ONE Intelligent Hub に組み込まれています。組み込みの機能であるため、加入状態に影響が及ばないことが保証され、デバイスが使用中であるかどうかにかかわらず、確実に管理できます。

共有デバイスの機能は、Apple Business Manager と統合された Apple iPad でもネイティブ サポートされています。ビジネス向け共有 iPads と呼ばれるこの機能では、ログインのためにユーザーの管理対象 Apple ID を使用しており、ログインおよびログアウトのために Workspace ONE Intelligent Hub で実行されることはありません。Apple Business Manager を使用した Shared iPads for Business の構成の詳細と、この機能を実現する手順については、 docs.vmware.com で提供されている『Introduction to Apple Business Manager Guide』の Shared iPads for Business を参照してください。

共有デバイスの機能

複数のユーザー間で共有されるデバイスの機能とセキュリティに関しては、以下のような基本機能を利用することができます。これらの機能があることも、コスト効率の高い、エンタープライズ モビリティを最大限活用するためのツールとして、共有デバイスをお勧めする理由の 1 つです。

機能

  • 企業の設定を維持したまま、エンド ユーザーのエクスペリエンスをパーソナライズできます。
  • デバイスにログインすると、そのエンド ユーザーのロールと組織グループ (OG) に基づいて、企業アクセスと特定の設定、アプリケーション、およびコンテンツが構成されます。
  • Workspace ONE Intelligent Hub または Workspace ONE Access に組み込まれているログイン/ログアウト プロセスを使用できます。
  • エンド ユーザーがデバイスからログアウトすると、そのセッションの構成設定がワイプされます。当該のデバイスは、別のエンド ユーザーがログインできるようになります。

セキュリティ

  • デバイスをエンド ユーザーに支給する前に、共有デバイス設定を使用してデバイスをプロビジョニング
  • Workspace ONE UEM 加入状態を維持したまま、デバイスにログインおよびログアウト
  • ログイン中にエンド ユーザーをディレクトリ サービスまたは専用の Workspace ONE UEM 資格情報で認証
  • Workspace ONE Access を使用してエンド ユーザーを認証
  • デバイスがログインしていない間もデバイスを管理

共有デバイスをサポートするプラットフォーム

共有デバイス/マルチユーザーデバイス機能をサポートするのは以下のデバイスです。

  • Android 4.3 以降
  • Workspace ONE Intelligent Hub 4.2 以降の iOS デバイス。
    • 共有 iOS デバイスのログインおよびログアウトの詳細については、『iOS プラットフォーム ガイド』(docs.vmware.com で入手可能)の「共有 iOS デバイスのログイン/ログアウト」を参照してください。
  • Workspace ONE Intelligent Hub 2.1 以降の MacOS デバイス。

共有デバイスの階層を定義する

共有デバイスに固有の組織グループ (OG) の作成は完全にオプションですが、マルチテナントに対応し、デバイス設定を継承できるため、多くのメリットがあります。

組織の展開に多数の共有デバイスが含まれており、それらをシングル ユーザー デバイスとは別に管理する必要がある場合は、共有デバイス固有の組織グループを作成できます。組織グループ構造内での共有デバイス階層の作成はオプションです。スマート グループやユーザー グループなどの機能があるので、デバイス管理を簡素化するために、組織グループ階層の設計に厳密に従う必要はありません。

ただし、共有デバイス組織グループ(またはネストされている組織グループ)を使用すると、スマート グループまたはユーザー グループで必要になる処理オーバーヘッドが発生することなく、プロファイル、ポリシー、デバイスの継承を通じてデバイスの機能を標準化できるため、デバイスの管理が簡素化されます。

  1. [グループと設定] > [グループ] > [組織グループ] > [組織グループ詳細] の順に進みます。

    組織グループの詳細を表示する [組織グループ] 画面

    自社を表す組織グループが表示されます。

  2. 表示される 組織グループ詳細 に間違いがないことを確認してから、利用可能な設定を使用して、必要に応じて変更を加えます。変更を加えた場合は、保存 を選択します。

  3. [サブ組織グループの追加] を選択します。

  4. 最上位組織グループの直下に最初に作成する組織グループに関する、次の設定を入力します。

    設定 説明
    名前 表示したいサブ組織グループの名前を入力します。使用できる文字は英数字だけです。それ以外の文字は使用できません。
    グループ ID エンド ユーザーがデバイスのログイン時に使用する組織グループの ID を入力します。グループ ID は、加入時にデバイスを適切な組織グループに分類するために使用されます。

共有デバイスの構成に応じてデバイスにログインするために必要になる場合があるため、デバイスを共有しているユーザーがグループ ID を受け取っていることを確認します。オンプレミス環境でない場合、グループ ID は共有 SaaS 環境全体にわたって組織グループを識別します。このため、すべてのグループ ID が一意である必要があります。

設定 説明
名前 表示したいサブ組織グループの名前を入力します。使用できる文字は英数字だけです。それ以外の文字は使用できません。
グループ ID エンド ユーザーがデバイスのログイン時に使用する組織グループの ID を入力します。グループ ID は、グループ デバイスを適切な組織グループに加入する際に使用します。

共有デバイスの構成に応じてデバイスにログインするために必要になる場合があるため、デバイスを共有しているユーザーがグループ ID を受け取っていることを確認します。

オンプレミス環境でない場合、グループ ID は共有 SaaS 環境全体にわたって組織グループを識別します。このため、すべてのグループ ID が一意である必要があります。
タイプ サブ組織グループのカテゴリに適合する、事前構成されている組織グループ タイプを選択します。
組織グループが存在する国を選択します。
ロケール 選択した国の言語分類を選択します。
カスタマーの業種 このフィールド値は、タイプ の値が 「カスタマー」 である場合にのみ指定できます。「カスタマーの業種」 のリストから選択します。
タイム ゾーン 組織グループが属しているタイム ゾーンを選択します。

  1. 組織グループおよびサブ組織グループを同じように作成して、社内階層構造を構築します。

    a. 固定組織グループを構成する場合、エンド ユーザーがログインまたはログアウトするために必要な組織グループを 1 つ作成してあることを確認します。

    b. [ユーザーに組織グループをプロンプト表示する] を構成する場合、エンド ユーザーのロール向けに、ログインまたはログアウトするための組織グループを複数作成してあることを確認します。詳細は、共有デバイスを構成する を参照してください。

  2. [保存] を選択します。

共有デバイスを構成する

シングルユーザー デバイスの代理セットアップと同様、マルチユーザー デバイス(共有デバイス)の代理セットアップの手続きも、複数のユーザーが使用する予定のデバイスを、IT 管理者が代理でプロビジョニングできます。

  1. [グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [共有デバイス] の順に進みます。

    [共有デバイス設定] 画面

  2. 上書き を選択し、グループ化 セクションで各欄の値を指定します。

    設定 説明
    グループ割り当てモード 次の 3 つの方法のいずれかを使用してデバイスを構成します。

    [ユーザーに組織グループをプロンプト表示する] を選択し、ログイン時にエンド ユーザーに組織グループのグループ ID を入力させます。

    この方法を使用すると、入力した組織グループの設定、アプリケーション、コンテンツに柔軟にアクセスできます。この方法を使用すると、エンド ユーザーのアクセス先が加入先の組織グループの設定、アプリケーション、コンテンツに限定されることはありません。

    [固定組織グループ] を選択すると、1 つの組織グループに適用される設定とコンテンツに管理対象デバイスが限定されます。

    デバイスにログインする各エンド ユーザーは、同じ設定、アプリケーション、コンテンツにアクセスできます。この方法は、小売業に適しています。小売業の従業員は、同じような目的 (例: 在庫の検査) で共有デバイスを使用します。

    [ユーザー グループ組織グループ] を選択すると、階層内のユーザー グループと組織グループの両方に基づいて機能が有効になります。

    エンド ユーザーはデバイスにログインすると、階層内で割り当てられたロールに基づいて、特定の設定、アプリケーション、コンテンツにアクセスできます。たとえば、あるエンドユーザーが「販売」ユーザー グループのメンバーであり、そのユーザー グループが「標準アクセス」組織グループにマッピングされているとします。エンド ユーザーがデバイスにログインすると、デバイスは「標準アクセス」組織グループで使用可能な設定、アプリケーション、コンテンツにより構成されます。

    UEM console でユーザー グループを組織グループにマッピングできます。[グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [加入] の順に進みます。グループ化 タブを選択し、必要な情報を入力します。
    利用規約を常にプロンプト表示 このチェックボックスを選択した場合、デバイスにログインする前に、利用規約 に同意するよう、エンドユーザーにプロンプトが表示されます。

  3. 必要に応じて、セキュリティ セクションで各欄の値を指定します。

    設定 説明
    共有デバイス パスコードを必須とする (iOS デバイスのみ)このオプションを有効にした場合、ユーザーは、デバイスをチェックアウトするため、セルフサービス ポータルで共有デバイス パスコードを作成する必要があります。このパスコードは、シングル サインオン パスコードやデバイスレベルのパスコードとは異なります。
    特殊文字を必須とする このオプションを有効にした場合、ユーザーは、共有デバイス パスコード内に特殊文字 (例: @、%、&amp) を含める必要があります。
    共有デバイス パスコード最小文字数 共有デバイス パスコードの最小文字数を指定します。
    共有デバイス パスコード有効期間 (日) 共有デバイス パスコードの有効期間 (単位: 日) を指定します。
    共有デバイス パスコードを最小時間 (日) 保持する 共有デバイス パスコードの継続使用可能期間 (単位: 日) を指定します。この日数に達したら、パスコードを変更する必要があります。
    期限切れになる x (日) 前に共有デバイスのパスコードを変更するようユーザーにプロンプトを表示します (iOS デバイスのみ)有効期限が切れる前に、ユーザーに共有デバイスのパスコードを変更するように通知するリマインダーの日数を設定します。

    最適な結果を得るには、有効期限と、共有デバイス パスコードを保持できる最小期間の差よりも小さい値を設定します。
    パスコード履歴 システムに保持しておく過去のパスコードの数を指定します。過去に使用したパスコードを再使用できないようにすると、セキュリティが向上します。
    自動的にログアウト 指定時間が経過すると自動ログアウトするように構成します。
    以下の時間経過後自動ログアウト 自動ログアウト するまでの時間を指定します (単位: 時間、または )。
    iOS シングル アプリ モード このチェックボックスを選択した場合、シングル アプリ モードを構成できます。シングル アプリ モードでは、エンドユーザーがデバイスにログインしたときに、1 つのアプリケーションしか使用できません。

    シングル アプリ モードで iOS デバイスをチェックアウトするには、エンドユーザーが自分の資格情報を使用してログインします。デバイスが再び返却済みになると、シングルアプリモードに戻ります。

    シングル アプリ モードを有効にすると、デバイスのホーム ボタンが無効になります。

    注:シングル アプリ モードは、監視モードの iOS デバイスのみに適用されます。

  4. 必要に応じて、ログアウト設定 を構成します。

    設定 説明
    Android アプリ データをクリア ユーザーが共有デバイスからログアウト(共有デバイスをチェックイン)したときに、アプリのデータが消去されます。
    Android アプリを再インストール ドロップダウンを使用して、常にユーザー間でアプリを再インストールするか、ユーザー間でアプリを再インストールしないかを選択します。Android (Legacy) 展開の場合、Hub がユーザー間でアプリ データをクリアできない場合、アプリの再インストールを選択することができます。
    Android デバイス パスコードをクリア ユーザーがマルチユーザー共有デバイスからログアウト(チェックイン)したときに現在の Android デバイス パスコードを消去するかどうかを指定します。
    起動時の暗証番号を許可 Android セキュア起動をアクティブ化または非アクティブ化します。これには、デバイスを起動するための初期暗証番号の入力が必要です。非アクティブ化すると、ユーザーはパスコードのセットアップ時にセキュア起動を有効にできません。セキュア起動がデバイス上ですでに非アクティブ化されている場合は、デバイスを工場出荷状態にリセットしてセキュア起動を有効にする必要があります。この機能は、ファイルベースの暗号化が行われていない Android デバイスにのみ適用されます。
    iOS デバイス パスコードをクリア ユーザーがマルチユーザー共有デバイスからログアウト(チェックイン)したときに現在の iOS デバイス パスコードを消去するかどうかを指定します。

  5. [保存] を選択します。

シングルユーザーおよびマルチユーザー デバイスの代理セットアップに対応したデバイスのプロビジョニングに関する詳細については、「Self-Enrollment Versus Device Staging」で、トピック「Stage a Single-User Device」および「Stage a Multi-User Device」を参照してください。

共有 iOS デバイスのログイン/ログアウト

複数のユーザー間で共有している iOS デバイスにログイン/ログアウトすることができます。

  1. デバイスで Workspace ONE Intelligent Hub を実行します。

  2. エンドユーザーの資格情報を入力します。

    デバイスがすでに Workspace ONE Intelligent Hub にログインしている場合、SSO パスコードを入力するように求めるプロンプトがユーザーに表示されます。デバイスがログインしていない場合、ユーザー名とパスワードを入力するように求めるプロンプトがユーザーに表示されます。スマート グループとユーザー グループの関連付けに基づいて、各ユーザーに割り当てられているプロファイルがプッシュされます。

    注:ユーザーに組織グループをプロンプト表示する を有効にした場合、エンド ユーザーはデバイスへのログイン時に グループ ID を入力するよう要求されます。

  3. ログイン を選択し、利用規約 に同意します。

    注:パスコードの入力を求めるプロンプトが表示された場合、ユーザーは、セルフサービスポータルでパスコードを作成できます。パスコードには有効期限があります。有効期限が近づくと、Workspace ONE Intelligent Hub により、デバイスのパスコードを変更するように求めるプロンプトがユーザーに表示されます。有効期限切れになる前にユーザーがパスコードを変更しなかった場合、ユーザーはセルフサービス ポータルに戻って別のパスコードを作成する必要があります。

iOS デバイスからログアウトするには、Workspace ONE Intelligent Hub を実行し、下部にある [ログアウト] を選択します。

check-circle-line exclamation-circle-line close-line
Scroll to top icon