ユーザー個人のデバイスを Workspace ONE UEM で管理するうえで大きな課題となるのは、従業員所有のデバイスと企業所有のデバイスを認識し、識別したうえで、承認済みデバイスのみが加入できるように制限することです。

Workspace ONE UEM では、さまざまなオプションを構成して、個人デバイスの加入を行う際のエンド ユーザーのエクスペリエンスをカスタマイズできます。開始する前に、展開において従業員所有のデバイスをどのように特定するのか、また、従業員所有のデバイスに加入制限を適用するかどうかを検討しておく必要があります。

加入に関する検討事項

個人用デバイスを Workspace ONE UEM 環境に加入させることを従業員に許可する場合、事前に多くの点について検討する必要があります。

考慮事項 #1: BYOD ユーザーは、加入に VMware Workspace ONE、または Workspace ONE Intelligent Hub を使用しますか。

VMware Workspace ONE は、セキュアなエンタープライズ プラットフォームで、すべてのデバイスを対象にアプリの配信および管理を行うことができます。セルフサービスで使い始めることができ、クラウド/モバイル/Windows アプリへのシングル サインオン アクセスが可能で、パワフルに統合された Eメール、カレンダー、ファイル、共同作業のツールが揃っています。

Workspace ONE を使用する場合、ユーザーはサービスにアクセスするために個人デバイスの加入を行う必要はありません。Workspace ONE アプリ自体は Apple App Store、Google Play、または Microsoft Store からダウンロードしてインストールすることができます。ユーザーは、ログインすると、設定されているポリシーに基づいてアプリケーションにアクセスできます。Workspace ONE アプリでは、インストール時に MDM 管理プロファイルが構成され、自動的にデバイスの加入が行われます。

考慮事項 #2: 従業員所有のデバイスに追加の加入制限を適用しますか。

この質問の答えを考える際には、以下の点を検討してください。

  • MDM 展開では特定のデバイス プラットフォームのみをサポートしますか。その場合は、そのプラットフォームを指定して、そのプラットフォームで実行されているデバイスのみに加入を許可することができます。
  • 従業員が加入を行える個人デバイスの台数を制限しますか。制限する場合は、ユーザーが加入できるデバイスの最大台数を指定できます。

追加の加入制限を設定して、加入できるユーザーや許可するデバイス タイプをさらに制御することができます。たとえば、エンタープライズ管理機能が組み込まれている Android デバイスのみをサポートすることができます。業務で使用するのにふさわしい従業員所有デバイスの種類を検討して決定したら、これらの設定を構成できます。

企業デバイスを識別し、既定のデバイス所有形態を指定する

企業所有デバイスと従業員所有デバイス(従業員自身が加入させる)が混在している場合、デバイスのリストを作成すると便利です。加入処理の開始時、企業所有として指定したデバイスには、その所有形態タイプが自動設定されます。次に、リストにないすべての従業員所有デバイスを構成し、「従業員所有」という所有形態タイプで加入させることができます。

承認済み企業デバイスのリストをインポートする手順を次に示します。「従業員所有」 という所有形態タイプを自動適用する、という制限事項を設定していたとしても、加入処理後に 「企業所有」 という所有形態タイプを自動適用できます。

一方で、新規加入時の制限では、プラットフォーム、モデル、OS などを特定するパラメータに合致するデバイスの加入が明示的に許可またはブロックされます。

  1. デバイス > ライフサイクル > 加入状態 と移動して、追加 を選択してから バッチ インポート を選択すると バッチ インポート 画面が表示されます。

    または、追加 を選択してから 許可リスト デバイス を選択すると、IMEI、UDID、シリアル番号のいずれかを使用して一度に最大 30 台の許可リスト登録済みデバイスを入力できます。また、所有形態タイプ として 「企業所有 – 専用」 または 「企業所有 – 共有」 を選択できます。

  2. バッチ名バッチの説明 を入力し、バッチ タイプ として 許可リスト デバイスを追加 を選択します。

  3. [許可リスト デバイスの例を含むテンプレートをダウンロード] というリンクを選択し、アクセスした場所にこのコンマ区切りの値 (CSV) のテンプレートを保存します。この CSV ファイルを Excel で編集し、許可リストに設定するすべてのデバイスを追加してファイルを保存します。

  4. ファイルを選択 を選択し、保存した CSV ファイルを選択します。

  5. インポート を選択し、許可リストにこのデバイス情報をインポートします。

  6. すべてのオープン加入の 既定のデバイス所有形態 を従業員所有に設定します。

    1. [デバイス] > [デバイス設定] > [デバイスとユーザー] > [全般] > [加入] の順に進み、[グループ化] タブを選択します。
    2. 既定のデバイス所有形態.として 従業員所有 を選択します。
    3. ユーザーに割り当てられた 既定役割 を選択します。これは、そのユーザーのセルフサービス ポータル (SSP) へのアクセス レベルを決定するものです。
    4. 非アクティブなユーザー に対する 既定アクション を選択します。これは、非アクティブとマークされたユーザーに対する対応を決定するものです。
    5. [保存] を選択します。

所有形態タイプを特定するようユーザーにプロンプトを表示する

複数の所有形態タイプが混在する組織グループがある場合、加入時に所有形態タイプを指定するように促すプロンプトをユーザーに対して表示することができます。ユーザーが自分の所有形態タイプを選択できるようにする前に、表示を慎重に検討する必要があります。

これはシンプルな作業ですが、このアプローチは、すべてのユーザーが自分のデバイスの所有形態タイプを適切に選択するという前提のもとに成り立っています。個人デバイス ユーザーが所有形態タイプとして誤って [企業所有] を選択した場合、そのデバイスには、通常は従業員所有デバイスに適用されないポリシーとプロファイルが適用されます。このように所有形態タイプを誤選択した場合、ユーザー プライバシーの観点から、法的な問題を引き起こす可能性があります。

所有形態タイプは後で個別のデバイス上で随時変更できますが、企業デバイスのリストを作成すると安全性が高まります。その後、企業所有デバイスを後で別途加入させ、既定の所有形態タイプを 「従業員所有」 に設定します。

  1. [デバイス] > [デバイス設定] > [デバイスとユーザー] > [全般] > [加入] の順に進み、[オプションのメッセージ表示] タブを選択します。
  2. デバイス所有形態タイプをプロンプトする を選択します。加入時に所有形態タイプの選択を促すプロンプトが表示されます。
  3. [保存] を選択します。

親トピック:デバイス加入

check-circle-line exclamation-circle-line close-line
Scroll to top icon