加入オプションを構成する

Workspace ONE UEM で利用可能な高度なオプションを組み込むことで、加入のワークフローをカスタマイズできます。

その他の加入オプションにアクセスするには、[デバイス] > [デバイス設定] > [デバイスとユーザー] > [全般] > [加入] の順に進みます。

はじめに

設定	説明
Eメールドメインを追加	このボタンは、自動検出サービスを設定して Eメールドメインを環境に登録するために使用します。
認証モード	許可済みの認証タイプを選択します。これには以下が含まれます。 * [ベーシック] – ベーシックユーザーアカウント（UEM console で手動で作成したもの）を加入できます。 * [ディレクトリ] – ディレクトリユーザーアカウント（ディレクトリサービス統合によりインポート済みまたは許可済みのアカウント）の加入を許可します。Workspace ONE への直接加入では、SAML の有無に関係なくディレクトリユーザーをサポートします。 * [認証プロキシ] – 認証プロキシユーザーアカウントを使用したユーザー加入を許可します。ユーザーは Web エンドポイントに認証します。 [認証プロキシの URL]、[認証プロキシ URL のバックアップ]、および [認証方法の種類]**（[HTTP ベーシック] または [Exchange ActiveSync] を選択）を入力します。
Intelligent Hub の認証ソース	Intelligent Hub サービスがユーザーおよび認証ポリシー用にそのソースとして使用するシステムを選択します。 * [Workspace ONE UEM] – Hub サービスでユーザーおよび認証ポリシーのソースとして Workspace ONE UEM を使用する場合は、この設定を選択します。Hub サービスの [Hub 構成] 画面を構成するときに、Hub サービステナントの URL を入力します。 * [Workspace ONE Access] – Hub サービスでユーザーおよび認証ポリシーのソースとして Workspace ONE Access を使用する場合は、この設定を選択します。Hub サービスの [Hub 構成] 画面を構成する場合、Workspace ONE Access テナントの URL を入力します。 Workspace ONE Intelligent Hub の詳細については、VMware Workspace ONE Hub サービスのドキュメントを参照してください。 Workspace ONE Access の詳細については、VMware Workspace ONE Access のドキュメントを参照してください。
デバイス加入モード	優先するデバイス加入モードを選択します。これには以下が含まれます。 * [新規加入] – 基本的にその他の加入の条件（認証モード、制限など）を満たすすべてのユーザーに加入を許可します。Workspace ONE への直接加入では、新規加入をサポートします。 * [登録デバイスのみ] – 管理者またはエンドユーザーにより登録されたデバイスを使用して加入するユーザーのみを許可します。デバイスの登録は、加入前に企業デバイスを UEM コンソールに追加するプロセスです。Workspace ONE への直接加入では、登録済みデバイスのみの登録を許可できますが、登録トークンが必要ない場合に限られます。
登録トークンを要求する	このオプションは、[登録デバイスのみ] が選択されている場合にのみ表示されます。加入対象を登録デバイスに制限する場合、加入に使用する登録トークンを要求するように、オプションを使用することもできます。その特定のユーザーに加入が認められているかどうかを確認できるため、これを使用するとセキュリティを強化できます。Workspace ONE UEM アカウントを持つユーザーに、加入トークンを添付した Eメールか SMS メッセージを送信することができます。
iOS で Intelligent Hub 加入を必須にする	iOS デバイスのユーザーが加入前に Workspace ONE Intelligent Hub をダウンロードおよびインストールしていることを必須とするには、このチェックボックスを選択します。アクティベーション解除されている場合、Web 加入を利用できます。
macOS で Intelligent Hub 加入を必須にする	macOS デバイスのユーザーが加入前に Workspace ONE Intelligent Hub をダウンロードおよびインストールしていることを必須とするには、このチェックボックスを選択します。アクティベーション解除されている場合、Web 加入を利用できます。

Hub Integration で加入オプションを構成する

Hub Integration では、OG ツリーの任意の子 OG レベルで、Hub サービスエクスペリエンスを有効にしたり、アクティベーションを解除したりできます。

詳細については、「Workspace ONE Hub サービスドキュメント」を参照してください。

設定	説明
Intelligent Hub で Hub サービス機能を使用する	このオプションを有効にすると、この組織グループのデバイスは、統合アプリケーションカタログ、サポート、エンドユーザー通知、People、ホームタブなどの機能を利用するために、Workspace ONE Hub サービスに接続できるようになります。デバイスを [管理モード]（エージェント専用モード）で動作させるには、このオプションをアクティベーション解除します。たとえば、認証には Intelligent Hub と Workspace ONE Access を使用し、業務用の高耐久性デバイスで使用する場合は、Hub サービス機能なしで使用します。

設定

説明

Intelligent Hub で Hub サービス機能を使用する

このオプションを有効にすると、この組織グループのデバイスは、統合アプリケーションカタログ、サポート、エンドユーザー通知、People、ホームタブなどの機能を利用するために、Workspace ONE Hub サービスに接続できるようになります。

デバイスを [管理モード]（エージェント専用モード）で動作させるには、このオプションをアクティベーション解除します。たとえば、認証には Intelligent Hub と Workspace ONE Access を使用し、業務用の高耐久性デバイスで使用する場合は、Hub サービス機能なしで使用します。

利用規約の加入オプションを構成する

利用規約 タブでは、加入に関する利用規約を追加および確認できます。[利用規約] タブを表示するには、[デバイス] > [デバイス設定] > [デバイスとユーザー] > [全般] > [加入] の順に進みます。

設定	説明
加入利用規約への同意を必須にする	この設定を有効にすると、加入時に利用規約への同意を承諾する必要があります。
新しい加入利用規約を追加	選択すると、加入目的での利用規約への同意を追加します。

**重要：**加入利用規約への同意を必須にする を有効にする場合は、利用規約を作成する必要があります。作成しないと、Windows デスクトップデバイスの加入に失敗する可能性があります。

「グループ化」タブで加入オプションを構成する

グループ化タブでは、エンドユーザーの組織グループ、グループ ID に関する基本情報を指定することができます。[グループ ID の割り当てモード] を有効にすると、Workspace ONE UEM 環境がどのようにグループ ID をユーザーに割り当てるかを選択することができます。

｢グループ化｣タブを表示するには、デバイス > デバイス設定 > デバイスとユーザー > 全般 > 加入 と進みます。

グループ ID 割り当てモード

Workspace ONE への直接加入は、すべての割り当てモードをサポートします。

既定 - 使用するグループ ID が加入時にユーザーに付与されている場合は、このオプションを選択します。使用するグループ ID によりユーザーが割り当てられる組織グループが決まります。
ユーザーがグループ ID を選択するようプロンプト表示する - ディレクトリサービスユーザーが加入時に一覧からグループ ID を選択できるようにする場合は、このオプションを有効にします。グループ ID 割り当て セクションには利用可能な組織グループとそのグループ ID がリストアップされます。このリストにより、管理者がグループ割り当てマッピングを行う必要はなくなりますが、ユーザーが間違ったグループ ID を選択してしまう可能性が生じます。
ユーザーグループに基づき自動選択 - このオプションは、ユーザーグループと統合している場合にのみ使用できます。ユーザーのディレクトリサービスグループ割り当てに基づいて、ユーザーが自動的に組織グループに割り当てられるようにするには、このオプションを有効にします。

グループ割り当ての設定 セクションには、当該環境内のすべての組織グループと対応するディレクトリサービスユーザーグループの一覧が表示されます。

グループ割り当ての編集 ボタンをクリックすると、組織グループとユーザーグループの関連付けを変更し、各グループの優先順位を設定することができます。

例えば、エグゼクティブ、セールス、グローバルという 3 つのグループがあり、組織内のランクもこの順であるとします。全員がグローバルのメンバーであるため、このユーザーグループを最初に位置づけてしまうと、すべてのユーザーを 1 つの組織グループに入れることになります。

代わりに、エグゼクティブを最初に位置づけると、そのグループに属する少数のメンバーを、その独自の組織グループに確実に所属させることができます。次に、セールスを 2 番目に位置づけ、すべてのセールス担当社員をセールスの組織グループに所属させます。グローバルを 3 番目に位置づけることで、グループにまだ割り当てられていないすべてのユーザーが別の組織グループに入ります。

既定

設定	説明
既定のデバイス所有形態	現在の組織グループへ加入するデバイスのために、既定のデバイス所有権を選択します。 Workspace ONE への直接加入では、デバイスの既定の所有権を設定できます。
既定役割	現在の組織グループに属するユーザーに割り当てられる既定のロールを選択します。この設定はセルフサービスポータルへのアクセスに影響します。 1. フルアクセス - プロファイルとアプリケーションのインストールおよび削除、パスコードのリセット、デバイスメッセージの送信、コンテンツへの書き込みアクセスなど、高度な SSP 機能へのアクセス権をユーザーに付与します。 2. ベーシックアクセス - 影響度の低いアクセス権をユーザーに付与します。ユーザーは、自分のデバイスの登録、プロファイルとアプリケーションの表示のみ（インストールはできません）、自分のアカウントの表示、自分のデバイスのクエリと検索を行えます。 3. 外部アクセス - 外部アクセスの役割を持つユーザーには、ベーシックアクセスユーザーのすべての権限がある一方で、SSP で明示的にこれらのユーザーと共有されるコンテンツへの読み取り専用アクセス権もあります。 Workspace ONE への直接加入では、既定のロールを設定できます。
非アクティブユーザーに対する既定アクション	デバイスが非アクティブになった場合に、Active Directory ユーザーに影響する既定のアクションを選択します。アカウントの処理は、デバイス中心ではなく、常にユーザー中心で判断されます。この事実は、デバイスに適用される処理動作が、デバイスではなく、ユーザーが管理されている組織グループの設定に基づいていることを意味します。 Workspace ONE への直接加入では、非アクティブユーザーに対して、既定のアクションを設定できます。

グループ同期を使用する

設定	説明
Workspace ONE に対してユーザーグループをリアルタイム同期	UEM console に登録されるため、Workspace ONE は、指定したユーザーのユーザーグループを同期できます。既定で、有効になっています。アプリケーションの割り当て、プロファイルの割り当て、ポリシーの割り当て、ユーザーのマッピングなど、これらの処理の頻度が非常に高い場合、ユーザーグループを使用すると、この機能で最大限の効果を発揮できます。ただし、この機能は CPU への負荷が大きいため、前述のような使用事例の場合を除き、この設定をアクティベーション解除しておいてください。アクティベーション解除すると、パフォーマンスが改善され、Workspace ONE アプリケーションを起動する際の遅延が解消されます。

設定

説明

Workspace ONE に対してユーザーグループをリアルタイム同期

UEM console に登録されるため、Workspace ONE は、指定したユーザーのユーザーグループを同期できます。

既定で、有効になっています。アプリケーションの割り当て、プロファイルの割り当て、ポリシーの割り当て、ユーザーのマッピングなど、これらの処理の頻度が非常に高い場合、ユーザーグループを使用すると、この機能で最大限の効果を発揮できます。

ただし、この機能は CPU への負荷が大きいため、前述のような使用事例の場合を除き、この設定をアクティベーション解除しておいてください。アクティベーション解除すると、パフォーマンスが改善され、Workspace ONE アプリケーションを起動する際の遅延が解消されます。

ロールマッピングを使用する

設定	説明
ディレクトリのグループベースのマッピングを有効化	このボックスをオンにして、Workspace ONE UEM の特定の役割にディレクトリユーザーグループをリンクするランク付けされた割り当てを有効にします。特定のグループに属するユーザーには、関連付けられた役割が割り当てられます。複数のグループに属している場合、最高ランクのペアリングが使用されます。 [割り当てを編集] ボタンを選択すると、ロールに関連付けられたユーザーグループで、ランク付けの順序を変更できます。 Workspace ONE への直接加入では、ディレクトリグループベースでマッピングできます。

設定

説明

ディレクトリのグループベースのマッピングを有効化

このボックスをオンにして、Workspace ONE UEM の特定の役割にディレクトリユーザーグループをリンクするランク付けされた割り当てを有効にします。特定のグループに属するユーザーには、関連付けられた役割が割り当てられます。複数のグループに属している場合、最高ランクのペアリングが使用されます。

[割り当てを編集] ボタンを選択すると、ロールに関連付けられたユーザーグループで、ランク付けの順序を変更できます。

Workspace ONE への直接加入では、ディレクトリグループベースでマッピングできます。

｢プロンプト表示 (オプション)｣タブで加入オプションを構成する

[オプションのメッセージ表示] タブでは、デバイスの追加情報を要求するかどうか、加入についての情報や MDM 情報をユーザーにプロンプト表示するかどうかを選択できます。

[デバイス] > [デバイス設定] > [デバイスとユーザー] > [全般] > [加入] の順に進み、[オプションのメッセージ表示] タブを選択します。

メッセージ、テンプレート、および通知を構成する具体的な手順は、次の表の後に記載されています。

設定	説明
デバイス所有形態タイプをプロンプトする	選択した場合、プロンプトが表示され、エンドユーザーにデバイスの所有形態を選ぶよう要求します。それ以外の場合は、現在の組織グループに対して、既定のデバイス所有権タイプを構成してください。 Workspace ONE への直接加入では、デバイス所有権タイプのプロンプトがサポートされます。
ウェルカムメッセージを表示する	選択すると、デバイス加入プロセスのはじめの段階でウェルカムメッセージを表示します。このウェルカムメッセージのヘッダーと本文は構成できます。構成するには、[システム] > [ローカリゼーション] > [ローカリゼーションエディタ] の順に進みます。次に、"EnrollmentWelcomeMessageHeader" ラベルおよび "EnrollmentWelcomeMessageBody" ラベルをそれぞれ選択します。
MDM インストールメッセージを表示	選択すると、デバイス加入プロセス中にメッセージが表示されます。この MDM インストールメッセージのヘッダと本文は構成できます。構成するには、[システム] > [ローカリゼーション] > [ローカリゼーションエディタ] の順に選択します。次に、EnrollmentMdmInstallationMessageHeader ラベルおよび EnrollmentMdmInstallationMessageBody ラベルをそれぞれ選択します。ローカリゼーションエディタを使用してヘッダーとメッセージ本文をカスタマイズする場合は、[現在の設定] オプションで [オーバーライド] を選択する必要があります。この手順を実行すると、既定のメッセージではなく、カスタマイズしたメッセージが確実に使用されます。 1 つずつのローカリゼーション変更に加え、編集後のコンマ区切り値 (CSV) ファイルをアップロードすることによってローカリゼーションを一括で変更することもできます。システム > ローカリゼーション > ローカリゼーションエディタと進んでこのローカリゼーションテンプレート CSV ファイルをダウンロードし、変更ボタンを選択します。必要に応じて一括ローカリゼーション変更を行うファイルを編集し、同じ画面を使用してアップロードします。
加入 Eメールのプロンプトを有効にする	加入時に、E メールの認証情報を入力するように、ユーザーに求めることができます。加入 E メールプロンプトに応じてエンドユーザーが入力したメールアドレスは、ユーザー記録のメールアドレス欄に自動入力されます。このデータは、参照値 {EmailAddress} を使用して Eメールをデバイスに展開する組織にとって、有益です。
デバイスアセット番号のプロンプトを有効にする	加入時に、デバイスアセット番号を入力するように、ユーザーに求めることができます。 Workspace ONE への直接加入では、加入 E メールのプロンプトは、[デバイス所有権タイプを尋ねるメッセージを表示] が有効な場合に、企業所有デバイスに対してのみサポートされます。
加入履歴メッセージを表示 (Android のみ)	このオプションを有効にすると、Android デバイスで加入メッセージが表示されます。
OOBE の状態追跡ページを有効にする	この設定を有効にすると、OOBE (Out of Box Enrollment) 中に状態追跡ページが表示されます。このページにより、デバイスのプロビジョニングステータスが表示され、どのアプリ、リソース、ポリシーがインストールされているかがユーザーに通知されます。
Windows 向けに TLS 相互認証を有効にする	このオプションを有効にすると、Windows デバイスに、TLS 相互認証によってセキュア化されたエンドポイントを使用するように強制できます。TLS 相互認証を使用するには、追加セットアップと構成が必要です。詳細はサポート担当者までお問い合わせください。
認証画面メッセージを表示（Windows のみ）	デバイスのエンドユーザーに対し、Workspace ONE UEM console への加入に必要な事項について、カスタマイズされたログを提供することができます。たとえば、UEM の加入認証が Active Directory の資格情報と同じ場合は、その証明書をヒントとして含めることができます。クリックしてヘルプを表示するリンクを含めることもできます。現在、この機能は、Windows デバイスでのみサポートされています。同じテキストボックスにヒントの翻訳を記載し、独自のローカライズを提供する必要があります。

カスタム加入メッセージを作成する

デバイス加入に関連するメッセージと、加入後にデバイスに送信されるモバイルデバイス管理 (MDM) 関連のプロンプトメッセージをカスタマイズできます。

デバイス > デバイス設定 > 全般 > 加入 と進み、カスタマイズ タブを選択します。
それぞれのプラットフォーム専用のメッセージテンプレートを使用する を選択し、各プラットフォームのドロップダウンメニューからデバイスアクティブ化メッセージテンプレートを選択します。このセクションの「メッセージテンプレートの作成 」セクションの手順に従って新しいメッセージテンプレートを作成します。
iOS デバイスの場合、以下を構成することができます（オプション）。
1. iOS デバイス向けの 加入後のランディング URL を入力します。
2. MDM プロファイルメッセージ を入力します。これは、加入中に MDM インストールプロンプトに表示されるメッセージです。
[保存] を選択します。

メッセージテンプレートの作成

プラットフォームごとにカスタマイズされたメッセージテンプレートの独自のライブラリを作成して、加入を含む起こりうるさまざまなシナリオに対応できるようにします。

デバイス > デバイス設定 > 全般 > メッセージテンプレート と進み、追加をクリックします。
カテゴリ ドロップダウンメニューからテンプレートのカテゴリに合うものを選択します。選択項目には、管理者、アプリケーション、順守、コンテンツ、デバイスライフサイクル、加入および 利用規約 があります。
サブカテゴリに最適な タイプ を設定します。タイプ ドロップダウンメニューの選択項目は、カテゴリ の設定によって決まります。
言語を選択 ドロップダウンメニューを設定します。現在アクティブなロケールに基づく言語のみが表示されます。追加ボタンを選択して、言語を追加します。
テンプレートを、選択した [カテゴリ] の既定のテンプレートにする場合は、[既定] のチェックボックスを選択します。
テンプレートの [メッセージタイプ] を選択します。Eメール、SMS および プッシュ 通知から選ぶことができます。
- SMS 通知を多量のデバイスで機能させるには、サードパーティのゲートウェイプロバイダのアカウントを持っていて、ゲートウェイ設定を構成する必要があります。[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [SMS] の順に選択して、「SMS Settings」で説明されているオプションを入力します。
メッセージ本文 欄にテキストを入力して E メール メッセージを作成します。
- プレーンテキスト 形式は、フォーマットオプションが使用できません。
- HTML 形式は、フォント、フォーマット、ヘッダーレベル、箇条書き、行頭文字、インデント、段落の配置、下付き文字、上付き文字、画像およびハイパーリンク機能を含む リッチテキスト 編集環境が有効です。HTML 形式は、ベーシック HTML コーディングをサポートし、ソースを表示 ボタンを使用して、リッチテキスト とソース表示を切り替えることができます。
保存をクリックしてテンプレートを保存します。

ライフサイクル通知を構成する

ライフサイクル通知は、デバイスのライフサイクルを通して発生する加入や加入解除といった特定のイベント後にカスタマイズしたメッセージを送信するためのものです。

このオプションを構成するには、[デバイス] > [ライフサイクル] > [設定] > [通知] の順に進み、以下のオプションを入力します。

デバイス加入解除済み - デバイスが加入解除した際に、E メール通知を送信します。
デバイス加入成功 - デバイスが正常に加入した際に、E メール通知を送信します。
加入制限によってブロックされたデバイス - 加入制限がデバイスをブロックした場合、E メール通知を送信します。この動作は [グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [加入] の順に選択し、[制限事項] タブを選択して設定できます。

Eメールの送信先

なし – デバイスのブロック/加入/加入解除が正常に行われた際に、確認 Eメールを送信しません。
ユーザー – デバイスのブロック/加入/加入解除が正常に行われた際に、その通知の確認 Eメールをデバイスユーザーに送信します。
- CC - 同じ確認 E メールを、1 つまたは複数のメールアドレスに送信します。複数のメールアドレスはコンマで区切ります。
- メッセージテンプレート – ドロップダウンリストから、希望するメッセージテンプレートを選択します。新しいメッセージテンプレートを追加することも、[ここをクリック...] を選択して、[デバイスとユーザー] > [全般] > [メッセージテンプレート] 設定画面に移動して既存のテンプレートを編集することもできます。
[管理者] – デバイスのブロック、加入、または加入解除が正常に行われた際に、その通知の確認 Eメールを Workspace ONE UEM 管理者に送信します。
- 送信先 – 同じ確認 Eメールを、1 つまたは複数の Eメールアドレスに送信します。複数の Eメールアドレスはコンマで区切ります。

｢カスタマイズ｣タブで加入オプションを構成する

カスタマイズ タブを構成することにより、エンドユーザーのサポートレベルを追加できます (例: Eメール、電話番号)。ユーザーが何らかの理由でデバイスを加入させることができない場合、このサポートレベルは重要です。

｢カスタマイズ｣タブを表示するには、デバイス > デバイス設定 > デバイスとユーザー > 全般 > 加入 と進みます。

設定	説明
各プラットフォームの専用メッセージテンプレートを使用する	有効の場合、プラットフォームごとに一意のメッセージテンプレートを選択できます。表示されたリンクをクリックすると、[メッセージテンプレート] 画面が開き、テンプレートの作成をすぐに開始できます。 Workspace ONE ™ への直接加入では、プラットフォーム固有のメッセージテンプレートがサポートされます。
加入サポート Eメール	サポート Eメールアドレスを入力します。
加入サポート電話番号	サポート電話番号を入力します。
加入後に開く URL (iOS のみ)	加入プロセスが正常に完了した後に表示される URL を指定できます。この URL には、会社の Web サイトなど、企業リソースの URL、または、詳細なリソースにアクセスする前のログイン画面の URL を指定できます。 Workspace ONE への直接加入では、加入後のランディングページの URL がサポートされます。
MDM プロファイルメッセージ( iOS のみ)	iOS デバイスの場合のみ、加入プロセス中に表示するメッセージをこのテキストボックスに入力します。メッセージは最大 255 文字で指定できます。 Workspace ONE への直接加入では、iOS 専用 MDM プロファイルメッセージがサポートされます。
カスタムMDMアプリケーションを使用	「アプリグループ一覧」画面を開くリンクが表示されます。このリンクには、「アプリケーショングループ」というラベルが付いています。Workspace ONE への直接加入では、カスタム MDM アプリケーションがサポートされます。

親トピック：デバイス加入