Workspace ONE UEM console を使用して Workspace ONE Boxer を展開します。
Workspace ONE Boxer アプリケーションの構成には、パブリック アプリケーションとして追加し、E メール構成を設定してエンド ユーザーに割り当てることが含まれます。
1 つ以上のスマート グループ ベースの割り当てを作成し、Workspace ONE Boxer E メール設定を個別に組織内の一連のユーザーに展開します。割り当てグループは、同一の E メール構成を割り当てられた 1 つ以上のスマート グループを表します。
Workspace ONE Boxer の iOS および Android デバイスへの展開は、2 つの部分で構成されます。両方の手順を実行する必要があります。
パブリック アプリケーションの展開の詳細な手順は、Workspace ONE UEM のオンライン ヘルプ トピック「Public Application Overview」を参照してください。
注:PowerShell 環境で Workspace ONE Boxer をパブリック アプリケーションとして展開する場合、Exchange にデバイス アクセス ルールを構成して、Workspace ONE Boxer ユーザーが E メールにアクセスできるようにします。デバイス アクセス ルールの構成の詳細については、『TheMobile Email Management (MEM) ガイド』の「Workspace ONE Boxer Flexible Deployment」セクションを参照してください。
Workspace ONE Boxer をパブリック アプリケーションとして UEM Console に追加します。
アプリ ストアからアプリケーションを追加すると、コンソールの設定によって Workspace ONE UEM でアプリを管理できます。
[リソース] > [アプリケーション] > [ネイティブ] > [リスト表示] > [パブリック] の順にクリックします。
アプリケーションを追加 をクリックします。
表示されるテキスト ボックスを構成し、[次へ] をクリックします。
オプション | 説明 |
---|---|
管理元 | アプリがアップロードされる組織グループが表示されます。 |
プラットフォーム | 適切なプラットフォームを選択します。現在は、iOS および Android デバイスのみがサポートされています。 |
ソース | App Store または Play Store でアプリケーションを検索します。 |
名前 | 「Workspace ONE Boxer」と入力します。 |
[検索] 結果画面で、Workspace ONE Boxer アプリケーションを探して選択します。
[詳細] タブの自動入力項目を確認します。
利用規約 を指定します。これは、ユーザーが App Catalog から初めてアプリにアクセスしたときに表示されます。
保存して割り当て を選択します。
ここで割り当てを追加できます。この操作は後で行うこともできます。
[割り当て] ページで提供されている [アプリ ポリシー] および [アプリケーション構成](カスタム KVP)を使用して、Workspace ONE Boxer を構成します。
Boxer をパブリックまたは社内アプリケーションとして TheWorkspace ONE UEM console にアップロードします。
注:console 2004 以降では、それまで手動で追加していたアプリケーション構成値のほとんどを、[E メール設定] および [アプリ ポリシー] 割り当てページで使用可能な設定を使用して構成できるようになりました。次の手順に従って、Workspace ONE UEM console バージョン 2004 以降を使用して Boxer 5.17 以降を割り当てることができます。2004 より前の console バージョンを使用して古いバージョンの Boxer を割り当てる場合は、「Workspace ONE Boxer のアプリケーションの構成」を参照してください。
[リソース] > [アプリケーション] > [ネイティブ] > [リスト表示] > [パブリック] の順にクリックします。
Boxer の インストール状態 列で、割り当て を選択します。または、編集アイコンを選択して、保存して割り当て を選択 ます。
割り当て画面で [割り当てを追加] を選択します。
a. [配布] タブで、次の情報を入力します:
設定 | 説明 |
---|---|
名前 | 割り当ての名前を入力します。 |
説明 | 割り当ての説明を入力します。 |
割り当てグループ | 柔軟な展開によって Workspace ONE Boxer の割り当てを受け取るスマート グループを入力します。 スマート グループ名を入力すると、オプションが表示され、リストから該当するスマート グループを選択できます。 必要に応じて、さらに割り当てグループを追加できます。 |
アプリ配信方法 | オンデマンド – Boxer を展開エージェントに展開します。デバイス ユーザーは、アプリケーションをインストールする条件およびそのタイミングを決定できます。 自動 – デバイス加入処理時に、デバイス上にある展開 Hub に Boxer が展開されます。デバイス加入処理が完了した後、デバイスに Boxer をインストールするよう求められます。 |
b. [制限] タブで、次の情報を入力します。
設定 | 説明 |
---|---|
EMM 管理対象のアクセス | 柔軟な管理を有効にし、デバイスがアプリにアクセスできるように Workspace ONE UEM でデバイスを管理するよう設定します。この設定を有効にすると、EMM に加入しているデバイスのみがアプリケーションをインストールでき、アプリケーション ポリシーを受信します。 |
加入解除時に削除 | 有効にすると、Workspace ONE UEM を使用してデバイスを加入解除したときに、デバイスからアプリケーションが削除されます。Workspace ONE UEM では、この設定はデフォルトで有効になっています。 この設定を有効にすると、監視対象デバイスでサイレント アプリのインストールが制限されます。これは、デバイスがロックされていて、プロビジョニング プロファイルのインストールがコマンド キューにあるためです。インストールを完了するにはデバイスのロックを解除する必要があります。 この設定を非アクティブにすると、インストールされているアプリケーションにプロビジョニング プロファイルがプッシュされません。つまり、プロビジョニング プロファイルが更新された場合、新しいプロビジョニング プロファイルは自動的にデバイスに展開されません。このような場合は、新しいプロビジョニング プロファイルとともにアプリケーションの新しいバージョンが必要です。 |
削除を禁止 | 有効にすると、ユーザーはアプリケーションをアンインストールできません。この機能を使用する場合は、iOS 14 以降が必要です。 |
アプリのバックアップを防ぐ | アプリケーション データが iCloud にバックアップされないようにするには、この設定を有効にします。 |
ユーザーがインストールしたアプリを MDM 管理対象にする | アプリケーションが監視対象か監視対象ではないかにかかわらず、ユーザーが以前にデバイスにインストールしたアプリケーションの管理を代行します。 この機能を有効にすると、ユーザーがデバイスにインストールされているアプリケーションのバージョンを削除する必要がなくなります。Workspace ONE UEM でアプリケーションを管理するために、Workspace ONE Hub バージョンをデバイスにインストールする必要はありません。 コンソールのプライバシー設定が個人アプリケーション データの収集を禁止するように設定されている場合、この設定は有効ではありません。 |
c. [Tunnel とその他の属性] タブで、次の情報を入力します。
設定 | 説明 |
---|---|
アプリベース VPN プロファイル | [アプリベース VPN] プロファイル を選択して、アプリケーション レベルで VPN を構成します。 |
その他の属性 | アプリ属性は、使用する Boxer のデバイス固有の詳細情報を提供します。 |
XML をアップロード | アプリの構成のために、アプリケーションでサポートされているキー値のペアを含む XML ファイルをアップロードできます。 |
d. [アプリケーション構成] タブで、次の情報を入力します。:
設定 | 説明 |
---|---|
構成を送信する | 有効にすると、アプリケーション開発者から提供された設定を使用して Boxer が構成されます。 |
XML をアップロード | Boxer でサポートされているキー値ペアを含む XML ファイルをアップロードできます。 |
追加 | 構成キー、値タイプ、参照値を手動で追加することもできます。 |
e. [E メール設定] で、次の情報を入力します。
注:複数の管理対象アカウント(MMA)を設定するには、SDK 設定で Single Sign-On(SSO)を構成する必要があります。
設定 | 説明 |
---|---|
アカウント名 | Exchange アカウント名を入力します。 注:エンド ユーザーが Workspace ONE Boxer アプリケーションでこの設定を変更した場合、後で管理者がこの設定を変更することはできません。 |
Exchange ActiveSync ホスト | EAS サーバの URL を入力します。SEG 展開の場合は、SEG URL を入力します。 |
EWS URL | EWS または SEG エンドポイントのアドレスを入力します。 |
E メール管理 | モバイル E メール管理を Boxer 構成と関連付ける場合、1 つ以上の MEM 構成を入力する必要があります。 |
ドメイン、ユーザー、ユーザー表示名、および E メール アドレス | ドメイン名、ユーザー名、ユーザー表示名、および E メール アドレスを入力します。デフォルトでは、ログイン情報には、ディレクトリ サービスの参照値として定義されている {EmailDomain}、{EmailUserName}、{FirstName}{LastName} および {EmailAddress} が設定されています。これらの値を上書きするには、カスタムの参照値を使用します。 注:エンド ユーザーが Workspace ONE Boxer アプリケーションのユーザー表示名を変更した場合、後で管理者がこの設定を変更することはできません。 |
パスワード | パスワードを入力します。 注: パスワード フィールドは、実際のパスワード値ではなく、参照値のみをサポートしています。 |
Eメール署名 | E メール署名を入力します。 注:エンド ユーザーが Workspace ONE Boxer アプリケーションでこの設定を変更した場合、後で管理者がこの設定を変更することはできません。 |
認証 | |
先進認証 | 先進認証は、Office 365 の OAuth ベースのトークン認証方法です。有効にすると、認証用のログイン ページにリダイレクトされます。 |
認証タイプ | Workspace ONE へのログインに使用する資格情報を使用して Exchange Server でエンド ユーザー認証を行うために、次のいずれかの認証タイプを選択します。 [ベーシック] – ユーザー名とパスワードを使用して認証します。 [証明書] – 証明書を使用して認証します。目的の認証局と証明書テンプレートを選択します。 両方 – 証明書(ネットワーク アプライアンスでの認証)とパスワード(Exchange での認証)を使用して認証します。 先進認証(先進認証に対応した CBA)による証明書ベースの認証 - Workspace ONE Boxer は、先進認証による証明書ベースの認証をサポートしています。Boxer は SCEP をサポートしています。サポートされている証明書を表示するには、「Supported Certificate Authorities」セクションを参照してください。 SSO パスコードを有効にせずに認証タイプとして証明書を設定している場合に、ユーザーが Boxer アプリケーションを削除して再インストールするシナリオを考えてみます。認証タイプとして CBA を構成済みなので、再インストール時にユーザーが自動的に認証されます。このシナリオは、デバイスに物理的にアクセスできる侵入者に攻撃ベクトルとして悪用されるおそれがあります。追加の認証チャレンジがない場合、侵入者は Boxer アプリケーションを削除して再インストールすることで、E メール リソースへのアクセスを取得できます。 このような侵入者を防ぐため、Boxer では、E メールへのアクセスをユーザーに許可する前に、Workspace ONE 資格情報を使用してユーザーを認証する必要があります。Workspace ONE 認証情報を必須にすることの代替のソリューションとして、侵入者によるスタンドアロンのパスコードのリセットを制限する SSO ワークフローを有効にする方法があります。 認証の再試行回数を指定 - 失敗した場合の認証の再試行回数を指定します。 |
同期 | E メール同期の最大許容期間 および カレンダー同期の最大許容期間 設定により管理者は、エンド ユーザーがメール メッセージとカレンダー イベントの同期を選択できる期間(頻度)を設定することができます。 デフォルトの E メール同期期間 および デフォルトのカレンダー同期期間 設定により、管理者は Workspace ONE Boxer がエンド ユーザーのデバイスに展開されるデフォルトの同期期間を設定できます。 注:同期期間に関係なく、一度に受信トレイに表示できる E メールの最大数は 1500 です。 添付ファイルの最大サイズ はエンド ユーザーが送信メールに添付できるファイルサイズを制限します。 注:エンド ユーザーが Workspace ONE Boxer アプリケーションでこの設定を変更した場合、後で管理者がこの設定を変更することはできません。 |
通知 | リアルタイム通知を提供するために、Email Notification Service (ENS) とその動作を構成します。 注:エンド ユーザーが Workspace ONE Boxer アプリケーションでこの設定を変更した場合、後で管理者がこの設定を変更することはできません。 |
迷惑メールおよびフィッシングの報告 | 迷惑メールまたはフィッシング攻撃として識別された E メールで実行するアクションを構成します。 |
モバイル フロー | Boxer が統合できる Mobile Flows サーバー情報を構成します。 |
S/MIME | S/MIME ステータスを構成します。 |
E メール分類 | E メール分類オプションをアクティブまたは非アクティブにします。 AIP 感度ラベル - アクティブにした場合、ユーザーは AIP ラベルを操作できます。 E メール分類 - 分類マーキングをアクティブまたは非アクティブにします。 |
カスタム アカウント構成 | アカウント レベルの構成を適用するためのキーと値のペアを追加します |
f. [アプリ ポリシー] で、次の情報を入力します。
設定 | 説明 |
---|---|
アプリ パスコード | SDK パスコード設定でパスコードを設定できます。SDK のパスコードを設定する方法の詳細については、VMware Docs の「SDK とアプリケーションの管理」ドキュメントの「SDK のセキュリティ ポリシー プロファイル」セクションを参照してください。 ユーザー認証用のパスコードのタイプを選択します。 数値 - ユーザーに数値キーボードが表示されます。 英数字 - ユーザーに英数字キーボードが表示されます。 なし - Boxer が Exchange パスコード ポリシー(ある場合)を適用します。 |
データ漏洩対策 | |
コピー・貼り付け | 制限されている場合は、次のようになります。 エンド ユーザーは、Workspace ONE Boxer から他のアプリケーションにコンテンツをコピーして貼り付けすることはできません。 個人アカウントが有効になっている場合、エンド ユーザーは、個人アカウントと仕事用アカウントの間でコピーして貼り付けることができます。したがって、個人アカウントを非アクティブにして、コピー/貼り付け機能を完全に制限することを検討してください。 テキストを選択したときに、アプリケーションで共有と定義のオプションが使用できなくなります。 注:iOS 向け Workspace ONE Boxer では、コピー/貼り付け設定は Workspace ONE SDK 設定からのみ適用できます。SDK のデータ漏洩防止(DLP)を設定する方法の詳細については、VMware Docs の「SDK とアプリケーションの管理」ドキュメントの「SDK のセキュリティ ポリシー プロファイル」セクションを参照してください。 |
ローカル カレンダー | Workspace ONE Boxer でローカル カレンダーを有効にするには、True に設定します。 |
個人連絡先 | このオプションが制限されている場合、エンドユーザーは Boxer の E メール アカウントでのみ連絡先にアクセスできます。制限されていない場合、エンドユーザーはデバイス上の他のアプリで連絡先にアクセスできます。 |
[iOS] 印刷を許可 | E メールおよび添付ファイルの印刷をアクティブまたは非アクティブにします。 |
[iOS] カスタム キーボードを許可 | サードパーティ製キーボードの使用をアクティブまたは非アクティブにします。 |
[iOS] セキュアでない HTTP 接続を制限 | セキュアでない (HTTP) 接続からのコンテンツのロードを制限します。 |
共有 | これらの設定によって、ユーザーが他のアプリケーションで E メールまたは添付ファイルを開けるかどうかが決まります。要件に基づいて、許可リスト オプションを使用して許可するアプリケーションを指定することも、任意のアプリケーションで共有を許可することもできます。 注: 類似した許可リスト オプションは、Workspace ONE UEM Console の SDK 管理者設定としても使用できます。iOS および SDK 管理者設定の両方の Workspace ONE Boxer でこのオプションを選択し、両方のリストにアプリケーションを入力すると、リストが結合されます。許可リスト機能の詳細については、VMware Docs の「SDK とアプリケーションの管理」ドキュメントの「SDK のセキュリティ ポリシー プロファイル」セクションを参照してください。 |
添付ファイルを制御 | Workspace ONE Boxer 内でオープン先指定機能または共有機能を利用して、他アプリケーションからのファイル添付をアクティブまたは非アクティブにします。 |
外部プロバイダからの添付ファイルを制御 | Workspace ONE Boxer を使用した外部プロバイダ(例:iCloud、Dropbox、Google Drive)からの添付ファイルをアクティブまたは非アクティブにします。 |
すかしのテキスト | ウォーターマーク テキストを定義します。 |
すかしの不透明度 | テキストの不透明度を定義します。0 ~ 100 の任意の値を設定できます。 |
すかしの色 | すかしのテキストの色を 16 進数形式で定義します。デフォルトの色は青です。 |
個人アカウント | 制限されている場合、エンドユーザーはアプリでアカウントを追加できません。 エンドユーザーのデバイスにすでに Workspace ONE Boxer がインストールされており、個人アカウントが構成されている場合は、既存の個人アカウントを今すぐ削除するか、後で削除することを求められます。エンド ユーザーは個人アカウントをすべて削除するまで、Workspace ONE Boxer で仕事用メールを受け取ることはできません。 |
内部ドメイン リスト | 内部のまたは許可されているドメインを定義します。 |
外部受信者の警告 | ユーザーが外部ドメインから受信者を入力したときの警告を有効にします。ドメインが構成されており、[外部受信者の警告] が有効になっている場合、ユーザーは [送信する前に確認する] の設定を使用できません。警告が表示されたら、ユーザーはそれを受け入れて [Eメールを作成する] メニューに戻るか、または無視して外部の受信者への E メールの送信を続行することができます。 |
AirWatch Browser | ハイパーリンク 制限されている場合、すべてのハイパーリンクは Workspace ONE Web でのみ開きます。 |
ブラウザの例外 | Console でハイパーリンクが制限されている場合、常に既定のブラウザで開くドメインまたはサイトの例外のリストを追加できます。 |
ユーザビリティ | |
アプリ内チュートリアルをスキップ | このオプションを有効にすると、初めてアプリケーションを起動したときに表示されるアプリ内のチュートリアルをスキップできます。 |
発信者 ID | 有効にすると、Workspace ONE Boxer のすべての連絡先について、Caller ID(発信者名表示)機能が有効になります。 この機能を有効にすると、Workspace ONE Boxer から名前と電話番号のみがネイティブの連絡先アプリケーションにエクスポートされます。 |
既定の発信者 ID | デフォルトで連絡先、名前、電話番号のエクスポートを有効にします。このオプションを使用するには、[発信者 ID] オプションを [制限なし] に設定する必要があります。 |
アバターを有効にする | アバターをアクティブまたは非アクティブにします。 |
アーカイブ アクション | E メールをアーカイブする機能を許可またはブロックします。 |
スレッドのグループ化 | スレッド表示を有効にして、E メールをスレッドごとにグループ化します。 |
エンタープライズ コンテンツ | Boxer でエンタープライズ コンテンツを構成します。 |
CallKit オプションを表示 | これは iOS 設定であり、使用するにはユーザーの操作で CallKit 発信者 ID を有効にする必要があります。 |
短い左スワイプの既定、長い左スワイプの既定、短い右スワイプの既定、長い右スワイプの既定 | 既定のスワイプ アクションを定義します。ユーザーは、Workspace ONE Boxer アプリで提供されるオプションを使用して、スワイプ アクションのカスタマイズができます。 |
サポート | |
ログ収集を許可 | ログの送信をユーザーに許可します。 |
サポートの E メール アドレス | サポート メニューを使用してログを送信するときに指定する E メール アドレスです。 |
クラッシュ レポート作成を許可 | デフォルトでは、Boxer は匿名でクラッシュをレポートできます。 |
アドバンスト | |
添付ファイルを転送/追加 | ユーザーが添付ファイルを追加/転送することを許可します。 |
添付ファイルのダウンロード | 添付ファイルのダウンロードと転送をアクティブまたは非アクティブにします。 |
写真を添付 | フォト ギャラリーおよびカメラの画像およびメディア ファイルの添付処理をアクティブまたは非アクティブにします。 |
プレーン テキスト モード | Boxer のプレーン テキスト モードをアクティブまたは非アクティブにします。アクティブにすると、Boxer は同期時に HTML メールからプレーン テキストのみを取得します。Workspace ONE Boxer は、E メール メッセージの形式に関係なく、プレーン テキストのみを送信します。作成ビューの書式設定制御が非アクティブのため、リッチ テキストまたは HTML コンテンツからはテキストのみがコピー/貼り付けされます。 |
Mime を使用して空のリンクを再フェッチ | サーバ以外のドメインを参照する、標準外の URL スキームを含む E メール (HTML を使用して取得) の場合、Exchange よってこの URL が 2 つの空白に置き換えられます。Boxer でこれを検出し、MIME を使用して問題が発生した本文を再ダウンロードして、URL 置換エラーにならないようにするこのオプションを、アクティブまたは非アクティブにします。 |
キー エスクローを無効にする (パスコードを忘れた場合) | サーバへのキーのエスクローを非アクティブにします。この機能を非アクティブにすると、パスワードを忘れた場合の機能も非アクティブになります。 |
匿名メトリックス | Workspace ONE Boxer のユーザー エクスペリエンスを向上させるために、匿名の使用データを収集できるようにするには、このオプションをアクティブにします。アクティブな場合、Workspace ONE Boxer を起動するときに、ユーザーにデータ共有の通知が表示されます。デバイス ユーザーがデータ共有をアクティブまたは非アクティブにするには、[設定] > [プライバシー] > [データ共有] の順に進みます。 |
QuickJoin カスタム URL | これにより、カレンダーの招待状に表示されている [QuickJoin] ボタンがアクティブになります。 |
アプリケーション更新ソース | Boxer をダウンロードするソースを選択します。 |
Swift SDK の鍵ラッピング専用モード | 鍵ラッピングのセキュリティ機能を最大限に活用するには、このオプションを有効にします。 |
FastSync の有効期限切れ | Workspace ONE Boxer が FastSync キーを受信しない場合の有効期限を時間単位で設定します。Email Notification Service を有効にし構成すると、FastSync 設定が適用されます。 |
FastSync を有効にする | FastSync によって、バックグラウンド同期が向上し、その後の同期の速度が向上します。Email Notification Service を有効にし構成すると、FastSync 設定が適用されます。 |
[作成] を選択します。
柔軟な展開による割り当てを使用すると、E メール設定をスマート グループにマッピングできます。
割り当てには、組織グループに属するスマート グループを 1 つ以上含めることができます。同一の E メール設定を有する割り当てがグループ化されます。必要に応じて、「割り当てられたスマートグループ」 フィールドで、既存のスマート グループを選択したり、新しいスマート グループを作成したりできます。
複数の E メール設定が複数の割り当てグループに割り当てられている場合、最新の設定ほど優先度が高くなります。デバイスが複数の割り当てクループに存在して、そのグループが複数の E メール設定で構成されている場合、デバイスは最も優先度が高い割り当てグループから E メール設定を受信します。
Workspace ONE Boxer は [柔軟な展開] と呼ばれる割り当て機能を使用してデバイスに割り当てることができます。この割り当てのプロセスで、組織のニーズに合うように、セキュリティおよび E メール管理機能を構成します。
重要: パスコードを [なし] に設定すると、Workspace ONE Boxer アプリケーションは暗号化されません。アプリレベルのパスコードを適用しない場合、デバイス プロファイルを使用してデバイスレベルのパスコードを適用し、iOS デバイスを暗号化することを考慮してください。
オプションのアプリケーション構成に関する詳細は、「Workspace ONE Boxer のアプリケーションの構成」 (ApplicationConfigurations.md) を参照してください。
次のいずれかに進みます。
割り当て画面で [割り当てを追加] を選択します。
この操作は、アプリをコンソールのパブリック タブに追加した後すぐに割り当てを追加する場合に行います。
[リソース] > [アプリ] > [ネイティブ] > [リスト表示] > [パブリック] の順に進み、Boxer アプリケーション用の [インストール状態] 列の下にある [割り当て] リンクを選択します。
この操作は、アプリをコンソールのパブリック タブに追加し、後から割り当てを追加する場合に行います。
E メール設定 画面で設定を行います。
設定 | 説明 |
---|---|
割り当てられたスマートグループ | 柔軟な展開によって Workspace ONE Boxer の割り当てを受け取るスマート グループを入力します。 |
アプリをサイレント インストールに制限 (Android) | サイレント インストールまたはサイレント アンインストール機能のみをサポートするデバイスへのアプリの割り当てを有効にします。 |
アカウント名 | メールアカウントの説明を入力します。 |
Exchange ActiveSync ホスト | EAS サーバの URL を入力します。SEG 展開の場合は、代わりに SEG URL を入力します。 |
ドメイン、ユーザー、E メールアドレス | ドメイン名、ユーザー名、および E メール アドレスなどのログイン情報を入力します。 既定では、ログイン情報には、ディレクトリ サービスの参照値として定義されている {EmailDomain}、{EmailUserName} および {EmailAddress} が設定されています。これらの値を上書きする必要がある場合は、カスタムの参照値を使用できます。 |
パスワード (Android のみ) | E メール アカウントのパスワードを入力するか、または、参照値を入力してユーザー アカウントからパスワードを取得します。 |
Eメール署名 | Workspace ONE Boxer を使用して送信される E メールの署名を指定します。 |
認証タイプ | Exchange でエンドユーザー認証を行うために、以下の認証タイプのうちの 1 つを選択します。 [ベーシック] – ユーザー名とパスワードを使用して認証します。 [証明書] – 証明書を使用して認証します。目的の認証局と証明書テンプレートを選択します。 両方 – 証明書 (ネットワーク アプライアンスでの認証) とパスワード (Exchange での認証) を使用して認証します。 先進認証 - Office 365 の OAuth ベースのトークン認証方法。セットアップするには、「先進認証」セクションを参照してください。 先進認証(先進認証に対応した CBA)による証明書ベースの認証 - Workspace ONE Boxer は、先進認証による証明書ベースの認証をサポートしています。Boxer は SCEP をサポートしています。サポートされている証明書を表示するには、『On-Premises Certificate Authority admin guide』の「Supported certificate Authorities」セクションを参照してください。 |
同期 | E メール同期の最大許容期間 および カレンダー同期の最大許容期間 設定により管理者は、エンド ユーザーがメール メッセージとカレンダー イベントの同期を選択できる期間(頻度)を設定することができます。 デフォルトの E メール同期期間 および デフォルトのカレンダー同期期間 設定により、管理者は Workspace ONE Boxer がエンド ユーザーのデバイスに展開されるデフォルトの同期期間を設定できます。 注:同期期間に関係なく、一度に受信トレイに表示できる E メールの最大数は 1500 です。 添付ファイルの最大サイズ はエンド ユーザーが送信メールに添付できるファイルサイズを制限します。 |
データ漏洩対策 | 次の項目を構成して、エンドユーザーが E メール、E メール添付ファイル、ハイパーリンクにアクセスする方法を設定します。 |
コピー・貼り付け | 制限されている場合: エンド ユーザーは、Workspace ONE Boxer から他のアプリケーションにコンテンツをコピーして貼り付けることはできません。 個人アカウントが有効になっている場合、エンド ユーザーは、個人アカウントと仕事用アカウントの間でコピーして貼り付けることができます。したがって、個人アカウントを非アクティブにして、コピー/貼り付け機能を完全に制限することを検討してください。 テキストを選択すると、アプリケーションで共有と定義のオプションが使用できなくなります。 Workspace ONE アプリケーションは、これらのアプリケーションに適用されている SDK 設定が類似している場合、同じクリップボードを共有します。それが 1 つのアプリケーションに対する既定のプロファイルとして適用されているか、他のアプリケーションに対するカスタム プロファイルかどうかは関係ありません。 注:iOS 向け Workspace ONE Boxer では、コピー/貼り付け設定は Workspace ONE SDK 設定からのみ適用できます。SDK のデータ漏洩防止(DLP)を設定する方法の詳細については、VMware Docs の「SDK とアプリケーションの管理」ドキュメントの「SDK のセキュリティ ポリシー プロファイル」セクションを参照してください。 |
スクリーンショット (Android のみ) | 制限されている場合、Android のエンド ユーザーは Workspace ONE Boxer アプリケーションのスクリーンショットを撮ることができません。 |
スクリーンショット(iOS のみ) | スクリーンショットの取得が非アクティブになっていて、ユーザーがスクリーンショットをキャプチャすると、ブロッカー画面がユーザーに表示されます。 |
E メール ウィジェットを許可 (Android のみ) | 有効になっている場合、Android のエンド ユーザーはホーム画面に Workspace ONE Boxer E メール ウィジェットを追加できます。 |
カレンダー ウィジェットを許可 | 有効になっている場合、Workspace ONE Boxer のエンド ユーザーはホーム画面に Workspace ONE Boxer カレンダー ウィジェットを追加できます。 |
ハイパーリンク | 制限されている場合、エンドユーザーは Workspace ONE Web でのみハイパーリンクを開くことができます。 |
共有 | 他のアプリで E メールや添付ファイルを開くことをエンドユーザーに許可するかどうかに基づいて、いずれか 1 つの制限を選択します。 プレビューのみ - エンド ユーザーが E メールや添付ファイルを Workspace ONE Boxer アプリケーションでのみプレビューできるようにするには、この制限を設定します。添付ファイルを他のアプリで開くことはできません。 許可リスト - E メールや添付ファイルを特定のアプリケーションで開けるようにするには、この制限を設定してアプリケーションのバンドル ID を指定します。Content Locker と Evernote のバンドル ID は自動的に指定されます。 制限なし - エンド ユーザーが E メールや添付ファイルをどのアプリケーションでも開けるようにするには、この制限を設定します。 注: 類似した許可リスト オプションは、Workspace ONE UEM Console の SDK 管理者設定としても使用できます。iOS および SDK 管理者設定の両方の Workspace ONE Boxer でこのオプションを選択し、両方のリストにアプリケーションを入力すると、リストが結合されます。許可リスト機能の詳細については、VMware Docs の「SDK とアプリケーションの管理」ドキュメントの「SDK のセキュリティ ポリシー プロファイル」セクションを参照してください。 |
発信者 ID | 有効にすると、Workspace ONE Boxer のすべての連絡先について、Caller ID(発信者名表示)機能が有効になります。 この機能を有効にすると、Workspace ONE Boxer から名前と電話番号のみがネイティブの連絡先アプリケーションにエクスポートされます。 |
プライベートと仕事の分離 | エンドユーザーが複数の個人アカウントを追加してローカルの連絡先を利用できるようにするには、UEM Console で以下の項目を構成します。 |
個人アカウント | 制限されている場合、エンドユーザーはアプリでアカウントを追加できません。 エンドユーザーのデバイスにすでに Workspace ONE Boxer がインストールされており、個人アカウントが構成されている場合は、既存の個人アカウントを今すぐ削除するか、後で削除することを求められます。エンド ユーザーは個人アカウントをすべて削除するまで、Workspace ONE Boxer で仕事用メールを受け取ることはできません。 |
個人連絡先 | 制限されている場合、エンドユーザーは Boxer の E メール アカウントでのみ連絡先にアクセスできます。制限されていない場合、エンドユーザーはデバイス上の他のアプリで連絡先にアクセスできます。 |
アプリケーション構成 | 構成キーと構成値のペアを使用して、Workspace ONE Boxer 展開の設定を構成できます。 アプリケーション構成はオプションです。 |
[保存] を選択します。
Workspace ONE Boxer およびその他のサポート対象アプリとのデータのコピー/貼り付けを制限する場合は、[アプリ] > [設定とポリシー] > [セキュリティ ポリシー] > [データ漏洩防止] でこれらの設定を構成します。
エンドユーザーのデバイスでこの設定を適用するには、認証タイプとシングル サインオンを有効にする必要があります。これらの制限事項はサポート対象のすべての VMware アプリケーションに適用されます。
設定 | 説明 |
---|---|
コピー/貼り付けを有効化 | (iOS の場合のみ)非アクティブにすると、エンド ユーザーは、Workspace ONE 生産性向上アプリ以外のアプリケーションに Workspace ONE Boxer のコンテンツをコピーして貼り付けることができなくなります。 |
コピー/貼り付け情報を有効化 | 非アクティブにすると、エンドユーザーは、Workspace ONE 生産性向上アプリ以外のアプリケーションからコンテンツをコピーして Workspace ONE Boxer に貼り付けることができなくなります。 |
エンド ユーザーは、SDK 設定を共有する Workspace ONE アプリケーション間でコンテンツのコピーまたは貼り付けを行うことができます。これらの SDK 設定は、あるアプリケーションでは既定のプロファイルとして適用し、他のアプリケーションではカスタム プロファイルとして適用する、ということができます。
注:
Workspace ONE Boxer に複数の管理対象アカウント (MMA) を追加して構成します。
ユーザーは、ビジネス要件に基づいて、異なるドメインに複数のメール アカウントを持つことができます。たとえば、ある従業員が、親会社のメール アカウントと子会社のメール アカウントを使用している場合があります。これらのアカウントには、各組織と互換性のあるポリシーや制限事項が異なる場合があります。Workspace ONE Boxer では、同じ UEM console で異なる設定を使用して、2 つのメール アカウントを管理できます。
複数の管理対象アカウントの要件
複数の管理対象アカウントでは、次の Workspace ONE Boxer の機能をサポートしています。
概要
最大 2 つまで追加管理対象アカウントをサポートできるように Workspace ONE Boxer を構成します。console 2004 以降では、それまで一緒だった E メールとアプリケーションの設定がそれぞれ [E メール設定] ページと [アプリ ポリシー] ページに分けられたため、[E メール設定] ページでアカウントごとの設定を簡単に構成し、[アプリ ポリシー] ページでアプリケーション全体の設定を簡単に構成できます。
注:管理対象アカウントの構成を開始する前に、Workspace ONE UEM console バージョン 2008 以降を使用して Workspace ONE Boxer バージョン 5.21 以降をパブリック アプリケーションとしてアップロードする必要があります。
[割り当て] 画面で 割り当ての追加 を選択して、必要な情報を入力します。
a. [配布] タブで、次の情報を入力します。
設定 | 説明 |
---|---|
名前 | 割り当て名を入力します。 |
説明 | 割り当ての説明を入力します。 |
割り当てグループ | アプリケーションの割り当て先となるスマートグループ名を入力します。スマート グループ名を入力すると、オプションが表示され、リストから該当するスマート グループを選択できます。 必要に応じて、さらに割り当てグループを追加できます。 |
アプリ配信方法 | オンデマンド – アプリケーションを展開エージェントに展開します。デバイス ユーザーは、アプリケーションをインストールする条件およびそのタイミングを決定できます。 自動 – デバイス加入処理時に、デバイス上にある展開 Hub にアプリケーションが展開されます。デバイス加入処理が完了した後、デバイス ユーザーは、デバイスに Boxer アプリケーションをインストールするよう促されます。 |
b. [制限] タブで、次の情報を入力します。
設定 | 説明 |
---|---|
EMM 管理対象のアクセス | アクセスを管理するには、このオプションを有効にします。EMM に加入しているデバイスのみがアプリケーションをインストールし、管理者が設定したポリシーを受信できます。 |
c. [Tunnel] タブで、次の情報を入力します。
設定 | 説明 |
---|---|
Android または iOS レガシー | アプリケーションに使用する VPN プロファイルを選択します。ユーザーは VPN を使用してアプリにアクセスするので、アプリへのアクセスと使用に関して信頼性とセキュリティを確保できます。 |
d. [アプリケーション構成] タブで、次の情報を入力します。:
設定 | 説明 |
---|---|
追加 | 構成キー、値タイプ、および参照値を手動で追加することもできます。 |
注:これらの KVP はアプリケーション レベルの設定で、アプリケーション全体に適用されます。特定のメールアカウントに設定を適用する場合、E メール設定 で カスタム アカウント構成 にキーを追加して、中断が発生しないようにする必要があります。
e. アプリケーションにさらに構成を追加するには、[追加] を選択します。
注:この KVP がアプリケーション全体に適用されていることを確認します。特定のメールアカウントにのみ適用される構成は、E メール設定 のカスタム アカウント構成に移動して、中断が発生しないようにする必要があります。
f. [E メール設定] で、[+ 追加] をタップしてアカウントを追加します。[+ 追加] オプションが表示されていない場合、Workspace ONE UEM console 2008 以降のバージョンを使用していることを確認してください。
Boxer は、登録ユーザーの [高度な設定] タブでカスタム属性をサポートします。これらのカスタム属性は、セカンダリ アカウントにマッピングされます。ユーザーが手動でデータを入力しないように、Active Directory を構成する必要があります。
アカウント レベルごとに次の情報を入力します。
設定 | 説明 |
---|---|
アカウント名 | Exchange アカウント名を入力します。 |
Exchange ActiveSync ホスト | EAS サーバの URL を入力します。SEG 展開の場合は、SEG URL を入力します。 |
EWS URL | EWS または SEG エンドポイントのアドレスを入力します。 |
E メール管理 | モバイル E メール管理をこの Boxer 構成と関連付けたい場合は、MEM 構成を 1 つ以上入力します。 |
ドメイン、ユーザー、およびメール アドレス | ドメイン名、ユーザー名、およびメール アドレスを入力します。既定では、ログイン情報には、ディレクトリ サービスの参照値として定義されている {EmailDomain}、{EmailUserName} および {EmailAddress} が設定されています。これらの値を上書きするには、カスタムの参照値を使用します。 |
パスワード | パスワードを入力します。注:パスワード フィールドは、実際のパスワード値ではなく、参照値のみをサポートしています。 |
Eメール署名 | E メール署名を入力します。 |
認証 | Workspace ONE 資格情報を使用して Exchange でエンドユーザー認証を行うために、以下の認証タイプのうちの 1 つを選択します。 [ベーシック] – ユーザー名とパスワードを使用して認証します。 [証明書] – 証明書を使用して認証します。目的の認証局と証明書テンプレートを選択します。 両方 – 証明書(ネットワーク アプライアンス)とパスワード(Exchange での認証)を使用して認証します。 先進認証 - Office 365 の OAuth ベースのトークン認証方法。セットアップについては、「先進認証」セクションを参照してください。 先進認証(先進認証に対応した CBA)による証明書ベースの認証 - Workspace ONE Boxer は、先進認証による証明書ベースの認証をサポートしています。Boxer は SCEP をサポートしています。サポートされている証明書を表示するには、「Supported Certificate Authorities」セクションを参照してください。 注:SSO パスコードを有効にせずに認証タイプとして証明書を設定している場合に、ユーザーが Boxer アプリケーションを削除して再インストールするシナリオを考えてみます。認証タイプとして CBA を構成済みなので、再インストール時にユーザーが自動的に認証されます。このシナリオは、デバイスに物理的にアクセスできる侵入者に攻撃ベクトルとして悪用されるおそれがあります。追加の認証チャレンジがない場合、侵入者は Boxer アプリケーションを削除して再インストールすることで、E メール リソースへのアクセスを取得できます。 このような侵入者を防ぐため、Boxer では、E メールへのアクセスをユーザーに許可する前に、Workspace ONE 資格情報を使用してユーザーを認証する必要があります。Workspace ONE 資格情報を要求する以外の方法としては、侵入者を制限するシングル サインオン (SSO) ワークフローを有効にして、スタンドアローン パスコードをテストする方法があります。 認証再試行回数を指定 - 障害発生時の認証再試行回数を指定します。 |
同期 | E メール同期の最大許容期間 および カレンダー同期の最大許容期間 設定により管理者は、エンド ユーザーがメール メッセージとカレンダー イベントの同期を選択できる期間(頻度)を設定することができます。 デフォルトの E メール同期期間 および デフォルトのカレンダー同期期間 設定により、管理者は Workspace ONE Boxer がエンド ユーザーのデバイスに展開されるデフォルトの同期期間を設定できます。 注:同期期間に関係なく、一度に受信トレイに表示できる E メールの最大数は 1500 です。 添付ファイルの最大サイズ はエンド ユーザーが送信メールに添付できるファイルサイズを制限します。 |
通知 | リアルタイム通知を提供するには、Email Notification Service (ENS) を有効にして構成します。 ENS2 - ENS2 をアクティブまたは非アクティブにします。 通知コンテンツ - 各受信メールの通知アラートで通知する内容を構成します。 |
迷惑メールおよびフィッシングの報告 | 迷惑メールまたはフィッシング攻撃として識別された E メールで実行するアクションをアクティブまたは非アクティブにします。 |
モバイル フロー | Boxer と連携できるモバイル フロー サーバ情報をアクティブまたは非アクティブにします。 注:Workspace ONE のモバイル フローでは、Boxer の複数の管理対象アカウントはサポートされません。 |
S/MIME | S/MIME ステータスをアクティブまたは非アクティブにします。 |
E メール分類 | E メール分類オプションをアクティブまたは非アクティブにします。 AIP 感度ラベル - アクティブにした場合、ユーザーは AIP ラベルを操作できます。 E メール分類 - 分類マーキングをアクティブまたは非アクティブにします。 |
g. アカウント レベルの構成を適用するには、[カスタム アカウント構成] にキー値ペアを追加します。
h. 次のアプリケーション ポリシーをアクティブまたは非アクティブにします。
設定 | 説明 |
---|---|
データ漏洩対策 | |
コピー・貼り付け | 制限されている場合は、次のようになります。 エンドユーザーは、Workspace ONE Boxer からコンテンツをコピーして他のアプリに貼り付けることはできません。 個人アカウントが有効になっている場合、エンドユーザーは、個人アカウントと仕事用アカウントの間でコピーと貼り付けを行うことができます。したがって、コピー/貼り付け機能を完全に制限するには、個人アカウントを非アクティブにすることを検討してください。 アプリ内でテキストを選択した場合、共有および定義のオプションは使用できなくなります。 注: iOS 向け Workspace ONE Boxer では、 コピー/貼り付け 設定は Workspace ONE SDK 設定からのみ適用できます。SDK のデータ漏洩防止(DLP)を設定する方法の詳細については、VMware Docs の「SDK とアプリケーションの管理」ドキュメントの「SDK のセキュリティ ポリシー プロファイル」セクションを参照してください。 |
スクリーンショット | (Android のみ)ユーザーがアプリケーションからスクリーンショットを取得できないようにします。 |
個人連絡先 | このオプションが制限されている場合、エンドユーザーは Boxer の E メール アカウントでのみ連絡先にアクセスできます。制限されていない場合、エンドユーザーはデバイス上の他のアプリで連絡先にアクセスできます。 |
カレンダーと E メール ウィジェットを許可 | ユーザーが Boxer カレンダーまたは E メール ウィジェットをホーム画面に追加できるかどうかを制御します。 |
共有 | これらの設定によって、ユーザーが他のアプリケーションで E メールまたは添付ファイルを開けるかどうかが決まります。要件に基づいて、許可リスト オプションを使用して許可するアプリケーションを指定することも、任意のアプリケーションで共有を許可することもできます。 注:類似した許可リスト オプションは、Workspace ONE UEM Console の SDK 管理者設定としても使用できます。iOS および SDK 管理者設定の両方の Workspace ONE Boxer でこのオプションを選択し、両方のリストにアプリケーションを入力すると、リストが結合されます。許可リスト機能の詳細については、VMware Docs の「SDK とアプリケーションの管理」ドキュメントの「SDK のセキュリティ ポリシー プロファイル」セクションを参照してください。 |
添付ファイルを制御 | Workspace ONE Boxer 内でオープン先指定機能または共有機能を利用して、他アプリケーションからのファイル添付をアクティブまたは非アクティブにします。 |
外部プロバイダからの添付ファイルを制御 | 外部プロバイダからの添付ファイルをアクティブまたは非アクティブにします。 |
ウォーターマーク テキスト、不透明度、色 | ウォーターマーク テキストを定義します。 |
内部ドメイン リスト | 内部にあるか許可されているドメインを定義します |
外部受信者の警告 | 外部ユーザーにメッセージを送信するときにユーザーに通知します。 |
添付ファイルのダウンロード | ユーザーによる添付ファイルのダウンロードをアクティブまたは非アクティブにします。 |
個人アカウント | 制限されている場合、エンドユーザーはアプリでアカウントを追加できません。 エンドユーザーのデバイスにすでに Workspace ONE Boxer がインストールされており、個人アカウントが構成されている場合は、既存の個人アカウントを今すぐ削除するか、後で削除することを求められます。エンドユーザーは個人アカウントをすべて削除するまで、Workspace ONE Boxer で仕事用メールを受け取ることはできません。 |
AirWatch Browser | |
ハイパーリンク | 制限されている場合、すべてのハイパーリンクは Workspace ONE Web で開きます。 |
ユーザビリティ | |
アプリ内チュートリアルをスキップ | このオプションを有効にすると、初めてアプリケーションを起動したときに表示されるアプリ内のチュートリアルをスキップできます。 |
発信者 ID | 有効にすると、Workspace ONE Boxer のすべての連絡先について、Caller ID(発信者名表示)機能が有効になります。 この機能を有効にすると、Workspace ONE Boxer から名前と電話番号のみがネイティブの連絡先アプリケーションにエクスポートされます。 |
既定の発信者 ID | デフォルトで連絡先、名前、電話番号のエクスポートを有効にします。このオプションを使用するには、[発信者 ID] オプションを [制限なし] に設定する必要があります。 |
アバター | Exchange 連絡先のアバターをアクティブまたは非アクティブにします。 |
E メールのアーカイブを許可 | これにより、E メールをアーカイブする機能がブロックまたは許可されます。 |
会話スレッド | 会話スレッドをアクティブまたは非アクティブにします。 |
エンタープライズ コンテンツ | エンタープライズ コンテンツをアクティブまたは非アクティブにします |
エンドユーザーが迷惑メールをレポートすることを許可 | ユーザーが迷惑メール オプションを有効にすることを許可します。 |
サポート | |
ログ収集 | ログの送信をユーザーに許可します。 |
サポートの E メール アドレス | サポート メニューを使用してログを送信するときに指定する E メール アドレスです。 |
クラッシュ レポート | クラッシュのレポートをアクティブまたは非アクティブにします。デフォルトでは、Boxer はレポートできます。 |
アドバンスト | |
添付ファイルを転送/追加 | ユーザーが添付ファイルを追加/転送することを許可します。 |
添付ファイルのダウンロード | 添付ファイルのダウンロードと転送をアクティブまたは非アクティブにします。 |
写真を添付 | フォト ギャラリーおよびカメラの画像およびメディア ファイルの添付処理をアクティブまたは非アクティブにします。 |
プレーン テキスト モード | Workspace ONE Boxer のプレーン テキスト モードをアクティブまたは非アクティブにします。設定すると、Workspace ONE Boxer は同期時に HTML メールからプレーン テキストのみを取得します。Workspace ONE Boxer は、E メール メッセージの形式に関係なく、プレーン テキストのみを送信します。作成ビューの書式設定制御が非アクティブのため、リッチ テキストまたは HTML コンテンツからはテキストのみがコピー/貼り付けされます。 |
Mime を使用して空のリンクを再フェッチ | サーバ以外のドメインを参照する、標準外の URL スキームを含む E メール (HTML を使用して取得) の場合、Exchange よってこの URL が 2 つの空白に置き換えられます。これを検出し、MIME を使用して問題が発生した本文を再ダウンロードして、URL 置換エラーにならないようにするために、このポリシーをアクティブまたは非アクティブにします。 |
キー エスクローを無効にする (パスコードを忘れた場合) | サーバへのキーのエスクローを非アクティブにします。この機能を非アクティブにすると、パスワードを忘れた場合の機能も非アクティブになります。 |
匿名メトリックス | Workspace ONE Boxer のユーザー エクスペリエンスを向上させるために、匿名の使用データを収集できるようにするには、このオプションを有効にします。有効な場合、Workspace ONE Boxer を起動するときに、ユーザーにデータ共有の通知が表示されます。デバイス ユーザーがデータ共有をアクティブまたは非アクティブにするには、[設定] > [プライバシー] > [データ共有] の順に進みます。 |
QuickJoin カスタム URL | オンライン会議への招待状があるカレンダーの招待状に表示されている [QuickJoin] ボタンをアクティブまたは非アクティブにします。 |
アプリケーション更新ソース | Boxer をダウンロードするソースを選択します。 |
Swift SDK の鍵ラッピング専用モード | 鍵ラッピングのセキュリティ機能を最大限に活用するには、このオプションを有効にします。 |
FastSync の有効期限切れ | Workspace ONE Boxer が FastSync キーを受信しない場合の有効期限を時間単位で設定します。Email Notification Service を有効にし構成すると、FastSync 設定が適用されます。 |
FastSync を有効にする | FastSync によって、バックグラウンド同期が向上し、その後の同期の速度が向上します。Email Notification Service を有効にし構成すると、FastSync 設定が適用されます。 |
[作成] を選択します。
Android および iOS の Workspace ONE Boxer では、指紋認証がサポートされます。通常の展開と割り当てプロセスの一環として認証方法を構成します。
Workspace ONE UEM Console v9.0.5 以降
[グループと設定] > [すべての設定] > [アプリ] > [設定とポリシー] > [セキュリティ ポリシー] の順にクリックします。
オーバーライド を選択して継承した設定をオーバーライドします。
[認証タイプ] を [パスコード] または [ユーザー名とパスワード] に設定します。
Workspace ONE Boxer で指紋機能を使用するには、パスコードと生体認証を有効にする必要があります。
認証タイプ設定を展開します。
認証タイムアウトに 0 より大きい値を入力します。
[生体認証モード] を [有効] に設定します。
画面の下部にある 保存 を選択します。
ユーザーが独自の認証局(CA)を導入し、証明書ベースの認証で Workspace ONE Boxer を使用するたびに、カスタム SDK プロファイルを構成します。
カスタム SDK プロファイルを構成します。
a. [グループと設定] > [すべての設定] > [アプリ] > [設定とポリシー] > [プロファイル] の順に選択し、[プロファイルを追加] を選択します。
b. [SDK プロファイル] を選択します。
c. プラットフォームを選択します。
d. [全般] を構成します。
e. 認証情報を構成します。
f. 認証局を選択します。
g. プロファイルの [保存] を選択します。
証明書ベースの認証を使用して Workspace ONE Boxer を割り当てます。
a. [アプリとブック] > [パブリック] の順に選択します。
b. [リスト表示] ページで、パブリック アプリのリストから iOS Workspace ONE Boxer を選択します。
c. [編集] を選択します。
d. [SDK] タブに移動します。
e. カスタム SDK プロファイルを選択します。
f. [保存] を選択して、[割り当て] を選択します。
生成された資格情報を使用して SDK プロファイルを作成および構成し、プロファイルを Boxer に割り当てます。SDK プロファイルを使用すると、Boxer が VMware PIV-D Manager アプリケーションから生成された資格情報の証明書を取得し、デバイスがその証明書を使用して安全にリソースにアクセスできるようになります。
生成された資格情報とは、加入プロセス中にエンド ユーザーが既存のスマート カード(CAC または PIV)を使用して ID を証明した後に、モバイル デバイス上で生成(または発行)されるクライアント証明書です。
資格情報ペイロードで、資格情報ソースを生成された資格情報として設定すると、PIV-D アプリケーションから認証、署名、および暗号化証明書がインポートされます。PIV-D 証明書は、Exchange Server に対してユーザーを認証するため、または E メールの署名と暗号化のための SMIME 証明書を取得するために使用されます。PIV-D では、最新の認証方法が構成されていても、証明書認証が許可されます。
SDK プロファイルを構成します。
a. [グループと設定] > [すべての設定] > [アプリ] > [設定とポリシー] > [プロファイル] の順に選択し、[プロファイルを追加] を選択します。
b. [SDK プロファイル] を選択します。
c. 必要なプラットフォームを選択します。
d. プロファイルの全般設定を構成します。
e. [資格情報] ペイロードを選択し、[構成] を選択します。
f. [資格情報ソース] を [派生資格情報] に設定します。
g. 証明書の使用方法に基づいて、[キー使用法] を選択します。認証、署名、または 暗号化 を選択します。
証明書を追加するには、プロファイル ウィンドウの下部にあるプラス記号を使用します。
h. [保存して公開] を選択します。
Boxer に SDK プロファイルを割り当てます。
a. [アプリとブック] > [ネイティブ] > [パブリック] > [アプリケーションを追加] の順に選択し、Boxer を追加します。
Boxer アプリケーションがすでに追加されている場合は、前の手順を省略できます。
b. [編集] を選択します。
c. [SDK] タブに移動し、SDK プロファイルを、[生成された資格情報] ソースと [キー使用法] で構成されたものに設定します。
d. [保存] を選択して、[割り当て] を選択します。
e. スマート グループがない場合はスマート グループを作成し、割り当てを変更します。
f. [その他の E メール設定] で、認証タイプを [証明書] または [両方] に設定します。
AccountUseOauth キーを使用して先進認証で iOS Boxer を構成する場合は、認証タイプが [証明書] や [両方] ではなく [ベーシック] に設定されていることを確認する必要があります。また、[資格情報ソース] が [生成された資格情報] に設定され、[キー使用法] タイプが [認証] に設定されている資格情報ペイロードを使用したデバイス プロファイルも構成する必要があります。iOS で先進認証を構成していない場合は、次の手順にスキップできます。
g. ダミーの認証局を追加します。
h. [アプリケーション構成] で、AppForceActivateSSO キーと PolicyDerivedCredentials キーを追加します。
注: AppForceActivateSSO は、Android 向け Workspace ONE Boxer でのみサポートされます。
これらの構成キーの詳細については、Workspace ONE Boxer のアプリケーションの構成を参照してください。
i. [追加] を選択します。
Workspace ONE Boxer で Azure 条件付きアクセス ポリシーのサポートを追加するには、Microsoft Azure と Workspace ONE UEM Console を統合する必要があります。この統合により、Workspace ONE UEM と Workspace ONE Boxer は、ポリシーに基づいてデバイスの状態を読み取り、設定し(デバイスを遵守状態としてマークするかどうかなど)、Office 365 Online Exchange Server などのリソースにエンド ユーザーがアクセスできるようにします。
Microsoft Azure の構成
Microsoft Azure は、Workspace ONE UEM コンソールが Azure Active Directory サービスと通信してエンド ユーザーのデバイスのコンプライアンス状態を読み書きできるように構成する必要があります。Azure は、Workspace ONE Boxer に適用される条件付きアクセス ポリシーでも構成されます。
前提条件
必要なライセンスを持つ Azure テナントを作成し、これらのライセンスを組織の関連ユーザーに適用していることを確認します。
手順
Microsoft Endpoint Manager 管理センターで、[テナント管理] > [コネクタとトークン] > [パートナー コンプライアンス管理] の順に移動します。
[コンプライアンス パートナーの追加] をクリックします。
[コンプライアンス パートナーの作成] 画面のドロップダウン リストでコンプライアンス パートナーとして VMware Workspace ONE モバイル コンプライアンス を選択します。
注:Android と iOS の両方のプラットフォームの要件がある場合は、各プラットフォームのコンプライアンス パートナー接続を作成する必要があります。
要件に応じて、Android または iOS としてプラットフォームを選択します。
[次へ] をクリックします。
[割り当て] タブで、必要なユーザーを VMware Workspace ONE モバイル コンプライアンス パートナーに割り当てます。
画面の指示に従って、次の一連の手順を実行します。
[Azure Active Directory] > [モビリティ(MDM と MAM)] の順に移動します。
[アプリケーションを追加] をクリックします。
[AirWatch by VMware] を選択します。
Microsoft Graph と Windows Azure Active Directory の必要な権限を確認します。
AirWatch by VMware アプリケーションの権限を受け入れるには、[追加] をクリックします。
この手順により、「AirWatch by VMware」アプリケーションがモビリティ MDM アプリケーションとして Azure テナントに追加されます。
Azure ホーム ページで、Azure AD 条件付きアクセス サービスを見つけ、[条件付きアクセス] ページに移動します。
[ポリシー] をクリックします。
[新規ポリシー] をクリックします。
このページで次のように入力します。
a. ポリシーの名前を入力します。
b. 必要なユーザーまたはグループにポリシーを適用します。
c. Office 365 Exchange Online Server アプリケーションを選択し、このアプリケーションにポリシーを適用します。
d. 次の条件を設定します。
i) 要件に応じて、Android または iOS としてプラットフォームを選択します。
ii) クライアント アプリケーション > 先進認証クライアントの場合は、前の手順で選択したプラットフォームに応じて、次の項目を選択します。
プラットフォーム | 先進認証クライアント |
---|---|
Android | モバイル アプリケーションとデスクトップ クライアント |
iOS | AirWatch Browser |
e. アクセス制御で、要件に応じて、[必要なアクセス権を付与] を選択します。
Workspace ONE UEM Console の構成
Workspace ONE Boxer で Azure 条件付きアクセス ポリシーのサポートを有効にするには、標準構成を実行するときに、Workspace ONE UEM Console で特定の設定が必要になります。この手順では、このサポートに必要な特定のオプションのみを対象としています。
前提条件
Work Profile Play ストアで(Workspace ONE UEM コンソールに)新しく追加されたアプリケーションを有効にし、デバイスを Workspace ONE Hub に正常に加入した後にエンド ユーザー デバイスで(アプリケーションの)自動インストールを有効にする場合は、Google にエンタープライズ モビリティ管理 (EMM) プロバイダとして Workspace ONE UEM を登録する必要があります。
登録するには、[グループと設定] > [すべての設定] > [デバイスとユーザー] > [Android] > [Android EMM 登録] の順に移動します。
Workspace ONE UEM Console に Workspace ONE Boxer アプリケーションがパブリック アプリケーションとして追加されていることを確認します。
手順
UEM Console で Azure AD 接続を構成するには、[グループと設定] > [すべての設定] > [システム] > [Enterprise 統合] > [ディレクトリ サービス] の順に移動します。
a. Azure AD 統合 を有効にします。
b. ID サービスに Azure AD を使用 を有効にします。
c. [Azure Active Directory] セクションで、UEM Console に表示される手順に従い、必要に応じてフィールドを構成します。
次の点に注意してください。
MDM 検出 URL と MDM 利用規約 URL を Azure ポータルに貼り付けるようにします([Azure Active Directory サービス] -> [モビリティ(MDM と MAM)] に移動します)。この構成を実行する手順は、Workspace ONE UEM Console で確認できます。
Azure 条件付きアクセス ポリシーでのコンプライアンス データの使用 を有効にします。
iOS、Android、および macOS の Azure 条件付きアクセス ポリシーでのコンプライアンス データの使用 を有効にします。
Azure Active Directory の構成オプションの詳細については、VMware Docs にある Directory Services Integration のドキュメントを参照してください。
Android の場合、Workspace ONE Boxer アプリケーションの割り当てを作成するときに、[E メール設定] で ConditionalAccessEnabled KVP を追加します。
この KVP はアカウントレベルの KVP です。
a. KVP を有効にするには、KVP 値を true に設定します。
デフォルトでは、この KVP の値は false です。
b. 要件に基づいて、割り当ての残りを完了します。
KVP の詳細については、Workspace ONE Boxer のアプリケーション構成 の「条件付きアクセス ポリシー」セクションを参照してください。
[アプリケーション割り当て] ページを使用した Workspace ONE Boxer の割り当てと構成および E メール設定による Workspace ONE Boxer の割り当ての詳細については、『Workspace ONE Boxer 管理ガイド』の「Boxer の展開」セクションを参照してください。
Android の場合は、Microsoft Authenticator をパブリック アプリケーションとして Workspace ONE UEM Console に追加します。
Workspace ONE UEM Console へのアプリケーションの追加の詳細については、『アプリケーション ライフサイクル管理』ドキュメントの「デバイスでのパブリック アプリケーションの展開」セクションを参照してください。
iOS プラットフォームで条件付きアクセス ポリシーをサポートする場合は、SSO 拡張機能を作成する必要があります。
a. [デバイス] > [プロファイルとリソース] > [プロファイル] の順に移動します。
b. [追加] > [プロファイルの追加] をクリックします。
c. [Apple iOS] > [デバイス プロファイル] を選択します。
d. プロファイルの一般設定を構成します。
e. [SSO 拡張機能ペイロード] を選択します。
f. プロファイル設定を構成します。
プラットフォーム | 先進認証クライアント | 推奨設定 |
---|---|---|
機能拡張タイプ | アプリケーションの SSO 拡張機能のタイプを選択します。 [一般] を選択した場合は、指定した URL に対して SSO を実行するアプリケーション拡張機能のバンドル ID を、拡張機能識別子フィールドに入力します。 [Kerberos] を選択した場合は、Active Directory レルムおよびドメインを入力します。 |
一般 SSO 拡張機能タイプの設定。 |
拡張機能識別子 | 指定した URL に対して SSO を実行するアプリケーション拡張機能のチーム ID を入力します。 | ベスト プラクティスとして、 com.microsoft.azureauthenticator.ssoextension と入力します。 |
タイプ | 拡張機能タイプとして [認証情報] または [リダイレクト] を選択します。 認証情報の拡張機能は、チャレンジ/応答認証に使用されます。 リダイレクト拡張機能は、OpenID Connect、OAuth、および SAML 認証を使用できます。 |
拡張機能タイプとして [リダイレクト] を選択することをお勧めします。 |
URL | アプリケーション拡張機能が SSO を実行する ID プロバイダの URL プレフィックスを 1 つ以上入力します。 | ベスト プラクティスとして、次のように入力できます。 https://login.microsoftonline.com https://login.windows.net https://sts.windows.net https://login.microsoft.com |
追加設定 | アプリケーション拡張機能が SSO を実行する ID プロバイダの URL プレフィックスを 1 つ以上入力します。 | ベスト プラクティスとして、次のように入力できます。
|
注: SGGM6D27TK は Office アプリケーションの識別子です。
g. [保存して公開] を選択します。
h. Microsoft Authenticator アプリケーションで、sharedDeviceMode 構成キーの値が false であることを確認します。
i) [アプリとブック] > [アプリケーション] > [ネイティブ] > [パブリック] または [購入済み] に移動しiOS Microsoft Authenticator アプリケーションを選択します。
ii) アプリケーションの [アプリケーション構成] ページに移動します。
iii) sharedDeviceMode 構成キーの値が true の場合は、値を false に設定します。
Microsoft Azure および Workspace ONE UEM Console を構成した後、Workspace ONE Boxer で条件付きアクセス ポリシーがサポートされるようになりました。Android を使用しているエンド ユーザーに対してこの機能を有効にするには、Authenticator アプリケーションで Microsoft 認証情報を使用して認証する必要があります。
追加のプライバシー開示およびデータ収集のプラクティスを実行するには、UEM Console で構成キーを使用します。Workspace ONE Boxer を起動すると、Workspace ONE Boxer の最新バージョンにアップグレードしようとするエンド ユーザーや最新バージョンを使用しているエンド ユーザーに、プライバシー通知が表示されます。
プライバシー ダイアログ画面には、ユーザーに次の情報が表示されます。
SDK のデフォルト設定を使用したプライバシー設定の構成
プライバシー設定を構成するには、SDK のデフォルト設定を使用します。
[グループと設定] > [すべての設定] の順に選択します。
すべての設定から、[アプリ] > [設定とポリシー] > [設定] の順に選択します。
[カスタム設定を有効にする] を選択し、必要に応じて構成キーを貼り付けます。
たとえば、クラッシュ レポートを有効にするには、{“PolicyAllowCrashReporting”: true} にします。
[保存] を選択します。
カスタム SDK プロファイルを使用したプライバシー設定の構成
カスタム SDK プロファイルを使用してプライバシー設定を構成します。
[グループと設定] > [すべての設定] の順に選択します。
既存のカスタム プロファイルがある場合は、[アプリ] > [設定とポリシー] > [プロファイル] > [カスタム プロファイル] > [カスタム設定] の順に進みます。
新たにカスタム プロファイルを追加する場合は、[アプリ] > [設定とポリシー] > [プロファイル] > [プロファイルを追加] > [SDK プロファイル] > [iOS または Android] > [カスタム設定] の順に選択します。
カスタム設定から、[構成] を選択し、必要に応じて次の構成キーを貼り付けます。
構成キー | 値タイプ | サポートされる値 | 説明 |
---|---|---|---|
{ “DisplayPrivacyDialog” } | 整数 | 0 = 非アクティブ 1 = アクティブ (既定値) |
「1」 (アクティブ) に設定すると、収集されるデータ、およびアプリが最適に動作するためにデバイスで必要な権限に関するプライバシー通知をユーザーに表示します。 |
{ “PolicyAllowFeatureAnalytics” } | 整数 | 0 = 非アクティブ 1 = アクティブ (既定値) |
「1」(アクティブ)に設定すると、VMware が製品の機能を向上させたり新しい製品機能を考案したりするのに役立てるため、匿名での機能利用状況分析をオプトインするためのオプションについてユーザーに通知を表示します。「0」に設定すると、データ共有の通知は表示されず、アプリ エクスペリエンスを最適化するためのデータがデバイスから収集されません。デバイス ユーザーがデータ共有をアクティブまたは非アクティブにするには、[設定] > [プライバシー] > [データ共有] の順に進みます。 |
{ “PolicyAllowCrashReporting” } | ブーリアン | True = アクティブ False = 非アクティブ |
True に設定すると、アプリのクラッシュが VMware にレポートされます。 |
{ “PrivacyPolicyLink” } | String | https://www.acme.com | プライバシー通知から会社のプライバシー ポリシーを選択したときに、ユーザーがアクセスするポリシーの URL を指定します。 |
サンプル SDK の構成:{“PolicyAllowFeatureAnalytics”:1, “PrivacyPolicyLink”:https://www.acme.com/privacypolicy, “PolicyAllowCrashReporting”:true} |
[保存] を選択します。