Active Directory (AD)、Lotus Domino、Novell e-Directory などディレクトリ サービスの既存のユーザーおよびグループを加入させることができます。このようなインフラストラクチャがない場合や、既存のインフラストラクチャと統合したくない場合は、Workspace ONE UEM でベーシック加入を実行する必要があります。

ベーシック加入は、組織のユーザーごとにユーザー アカウントおよびユーザー グループを手動で作成するプロセスです。組織で Workspace ONE UEM とディレクトリ サービスが統合されていない場合は、ベーシック加入を使用してユーザー アカウントを作成します。

作成する基本的なアカウントが少ない場合は、「ベーシック ユーザー アカウントを作成する」の説明に従って 1 つずつ作成します。

エンドユーザーの数が多いベーシック加入の場合、CSV (コンマ区切り値) 形式のテンプレート ファイルを入力し、アップロードすることで時間を短縮できます。これらのファイルには追加したすべてのユーザー情報が含まれ、バッチ インポート機能を使用して UEM に導入されます。詳細については、「ユーザーまたはデバイスをバッチ インポートする」のトピックを参照してください。

**注:**Workspace ONE UEM では、ベーシックのユーザーとディレクトリベースのユーザーの混在をサポートしていますが、通常、初回のユーザーおよびデバイスの加入を行う場合には、どちらか一方を使用します。

長所と短所

長所 短所
ベーシック加入 - いずれの展開方法でも使用できます。

- 技術的な統合は不要です。

- エンタープライズ インフラストラクチャも不要です。

- 潜在的に複数の組織グループに加入できます。
- 認証情報は Workspace ONE UEM 内にのみ存在し、既存の企業認証情報と必ずしも一致しません。

- 連携するセキュリティ機能はありません。

- シングル サインオンはサポートされません。

- Workspace ONE UEM にユーザー名とパスワードがすべて保存されます。

- Workspace ONE への直接加入では使用できません。
ディレクトリ サービスによる加入 - エンド ユーザーは既存の企業認証情報を使用して認証を行います。

- ディレクトリ システムの変更を検出し、自動的に Workspace ONE UEM に同期します。たとえば、Active Directory でユーザーを無効にすると、Workspace ONE UEM console で、対応するユーザー アカウントが非アクティブとマークされます。

- 既存のディレクトリ サービスと統合する安全な方法です。

- 標準的な統合方法です。

- Workspace ONE への直接加入で使用できます。

- AirWatch Cloud Connector を使用する SaaS 展開では、ファイアウォールを変更する必要がなく、Microsoft ADCS、SCEP、SMTP サーバなどの他のインフラストラクチャに安全な構成を提供します。
- 既存のディレクトリ サービス インフラストラクチャが必要です。

- SaaS 展開では、AirWatch Cloud Connector をファイアウォールの内側または DMZ 内にインストールする必要があるため、追加の構成作業が必要です。

加入における検討事項(ベーシック ユーザーとディレクトリ ユーザーの比較)

ベーシック ユーザーとディレクトリ ユーザーにおける既存の長所と短所に加え、エンドユーザー加入処理を検討する際には、ほかにも検討すべき事項があります。

考慮事項 #1: 誰が加入できますか。

この質問の答えを考える際には、以下の点を検討してください。

  • MDM 展開で、構成したベース DN * レベルまたはそれ以下の組織のユーザー全員のデバイスを管理することを目的としていますか。その場合、最も簡単な方法は、「加入を制限」チェック ボックスの選択を解除して、すべてのユーザーの加入を許可することです。

    初回展開時にはすべてのユーザーの加入を許可し、その後、不明ユーザーが加入できないように制限することができます。新しい従業員またはメンバーを既存のユーザー グループに追加すると、その内容が同期および融合されます。

  • MDM の対象とすべきでないユーザーまたはグループがありますか。その場合は、ユーザーを 1 人ずつ追加するか、CSV (コンマ区切り) ファイルに対象のユーザーのみを記載してバッチ インポートする必要があります。

  • ベース DN(識別名)は、サーバがユーザーを検索する際の起点です。識別名は、ディレクトリ内のエントリを一意に識別する名前です。ディレクトリ内のすべてのエントリに DN があります。

考慮事項 #2: ユーザーはどこに割り当てますか。

もう 1 つ、Workspace ONE UEM 環境をディレクトリ サービスと統合する際に考えるべきことは、加入時にディレクトリ ユーザーを組織グループにどのように割り当てるかということです。この質問の答えを考える際には、以下の点を検討してください。

  • ディレクトリ サービス グループと論理的に対応するように組織グループの構造を作成していますか。ユーザー グループ割り当てを編集する前に、この処理を完了させておく必要があります。
  • ユーザーが自分のデバイスを加入させる場合、リストからグループ ID を選択する方法が簡単です。そのような簡単な手順でも、人的エラーによる不適切なグループの割り当てが起こる可能性があります。

ユーザー グループに基づいてグループ ID を自動的に選択することも、ユーザーがリストからグループ ID を選択することもできます。これらの グループ ID 割り当てモード オプションを使用するには、デバイス > デバイス設定 > デバイスとユーザー > 全般 > 加入 と進み、グループ化 タブを選択します。

ディレクトリ サービスベースの加入を有効にする

ディレクトリ サービスベースの加入とは、Workspace ONE UEM を貴社のディレクトリ サービス インフラストラクチャと統合するプロセスのことです。この方法でディレクトリ サービスを統合した場合、ユーザーを自動インポートできます。また、セキュリティ グループや配布リストなどのユーザー グループを自動インポートすることもできます。

Active Directory (AD) などのディレクトリ サービスと統合する場合は、ユーザーのインポート方法についていくつかのオプションがあります。

  • すべてのディレクトリ ユーザーに加入を許可する – ディレクトリ サービスのすべてのユーザーに加入を許可することができます。また、Eメールを基準にしてユーザーを自動検出するように、貴社環境を設定することもできます。加入を実行するときに、それらの Workspace ONE UEM ユーザー アカウントを作成します。
  • ユーザーを 1 人ずつ追加する – 貴社のディレクトリ サービスとの統合後、ベーシック Workspace ONE UEM ユーザー アカウントを作成する際と同じように、ユーザーを個別に追加することができます。唯一の違いは、ユーザー名を入力し、ユーザーをチェック をクリックすると、ディレクトリ サービスの情報が自動入力されるという点です。
  • CSV ファイルを一括アップロードする – このオプションを使用すると、CSV (コンマ区切り値) テンプレート ファイルでディレクトリ サービス アカウントのリストをインポートすることができます。このファイルではカラムが定められており、一部のカラムの値を空白のままにすることはできません。
  • ユーザー グループとの統合 (オプション) – この方法では、既存のユーザー グループ メンバーシップを、プロファイル、アプリ、順守ポリシーなどを割り当てる際に使用することができます。

**注:**SAML プロバイダ統合を含む Workspace ONE UEM 環境をディレクトリ サービスと統合する方法については、『Integrate Directory Service Guide』を参照してください。

ディレクトリ サービス統合および加入制限事項

Workspace ONE UEM でディレクトリ サービス統合を構成する場合、ディレクトリ サービス アカウントは、ディレクトリ サービスが構成されている組織グループ (OG) から加入設定を継承します。ただし、基本的なアカウントは、上書きを含めローカル設定を遵守します。

この図は、メインとサブの OG の単純な組織グループ モデルを示しています。

例として上の組織グループ モデルを使用し、「カスタマー」という OG で 構成されたグループから削除されるユーザーのデバイスを企業情報ワイプする オプションが有効になっているとします。

このシナリオでは、構成済みのグループから抜けた Sales01 子 OG の ディレクトリ 加入ユーザーには、その OG に加入制限の上書きが構成されていても、ワイプされたデバイスが表示されます。これは、このようなアカウントのデバイスが別の OG に加入している場合も同様です。加入設定はユーザー中心であり、デバイス中心ではないためです。

ただし、このシナリオでは、構成されたグループから抜けた Sales01 OG の 基本 加入ユーザーに属するデバイスはワイプされません。これは、Sales01 の基本加入ユーザーはディレクトリ サービス統合された OG の一部ではないためで、加入制限の上書きを認識して順守します。

親トピック:デバイス加入

check-circle-line exclamation-circle-line close-line
Scroll to top icon