vmwareairwatchmobiledevice management ガイド...新機能...

VMware AirWatch Mobile DeviceManagementガイド貴社組織のモバイルデバイスを管理するAirWatch 9.2

ご意見・ご感想をお寄せください。support.air-watch.comからサポートウィザードを使用して文書のフィードバックサポー

トチケットを送信することができます。

Copyright©2017 VMware, Inc. All rights reserved.This product is protected by copyright and intellectual property laws in the United States and other countries as well as byinternational treaties.VMware products are covered by one ormore patents listed at http://www.vmware.com/go/patents.

VMwareは、米国およびその他の地域におけるVMware, Inc. の登録商標または商標です。All othermarks and names mentioned hereinmay be trademarks of their respectivecompanies.

VMware AirWatchMobile DeviceManagementガイド| v.2017.11| November 2017

Copyright©2017 VMware, Inc. All rights reserved.

1

http://support.air-watch.com/

目次

第 1章 :概要 6

新機能 7モバイルデバイス管理 (MDM)の概要 8

第 2章 :AirWatchをはじめる 10

AirWatchコンソールの概要 11「はじめに」ウィザード 17

第 3章 :環境設定 20

環境設定の概要 21AirWatchコンソールにログインする 21APNs証明書 21プライバシーとデータ収集 22利用規約 27コンソールブランディング 30制限されたコンソール操作 30統合可能なその他のエンタープライズシステム 33

第 4章 :ユーザーおよび管理者アカウント 35

ユーザーと管理者アカウント概要 36ユーザー認証タイプ 36ベーシックユーザーアカウント 41ディレクトリベースのユーザーアカウント 44ユーザーアカウントリスト表示の概要 48バッチインポート機能 49管理者アカウント 52

第 5章 :役割ベースのアクセス 55

役割ベースのアクセス概要 56既定役割とカスタム役割 56ユーザー役割 58管理者役割 59

2



第 6章 :グループ 65

割り当てグループ概要 66組織グループ概要 67スマートグループ概要 71ユーザーグループ概要 75管理者グループ概要 83割り当てを表示 86

第 7章 :デバイス加入 88

デバイス加入の概要 89ベーシック加入とディレクトリサービスによる加入 92個人デバイスの業務利用 (BYOD)での加入 95セルフサービスの加入とデバイスの代理セットアップ 98デバイスの登録 103加入オプションを構成する 110デバイス登録をブラックリスト/ホワイトリスト設定する 115追加の加入制限 116AirWatchの自動検出による加入 120

第 8章 :共有デバイス 122

共有デバイス概要 123共有デバイスの階層を定義する 124

第 9章 :デバイス割り当て 125

デバイス割り当ての概要 126デバイス割り当てを有効にする 126デバイス割り当てルールまたはネットワーク範囲を定義する 127

第 10章 :プロファイルとリソース 129

デバイスプロファイル概要 130全般プロファイル設定を追加する 130デバイスプロファイルリスト表示 132デバイスプロファイルを編集する 135リソースの概要 136

3



デバイス割り当て表示 155順守プロファイルの概要 156ジオフェンス 157タイムスケジュール 159

第 11章 :順守ポリシー 161

順守ポリシーの概要 162順守ポリシーリスト表示 162プラットフォーム別の順守ポリシールール 164順守ポリシーを追加する 168

第 12章 :デバイスタグ 173

デバイスタグの概要 174タグでデバイスを抽出する 174新しいタグを作成する 174タグを追加する 175タグの管理 176

第 13章 :デバイスを管理する 177

デバイスを管理する 178デバイスダッシュボード 178デバイスリスト表示 179デバイス詳細 184プラットフォーム別デバイスアクション 187加入状態 193ワイプ保護 195AirWatchハブ 197レポートと分析機能 199

第 14章 :証明書の管理 200

証明書管理概要 201デジタル証明書のリスト表示 201証明書統合に関するリソース 201

第 15章 :カスタム属性 203

4



カスタム属性の概要 204カスタム属性を作成する 204カスタム属性のインポート 205カスタム属性を使用して組織グループを割り当てる 206

第 16章 :セルフサービスポータル 207

セルフサービスポータル概要 208SSPの既定のログイン画面を構成する 208SSPのマイデバイス画面 208SSPのリモート操作 210セルフサービスポータルから利用できる操作一覧 212VMware Content Lockerオプション 213

他の文書を入手する 214

5



第 1章:概要

新機能 7

モバイルデバイス管理 (MDM)の概要 8

6



新機能

このモバイルデバイス管理ガイドは、AirWatch 9.2のリリースに伴う最新の特長と機能を取り入れて更新されています。

次のリストに、これらの新機能と、その説明があるセクションとページを示します。

l ｢はじめに｣ウィザードには、Workspace ONE、モバイルシングルサインオン、Office 365の構成だけでなく、デバイス、

コンテンツ、アプリケーションの各サブモジュールの構成チェーン全体も含まれるようになっています。

この機能が強化された｢はじめに｣ウィザードは、新規インストールに役立ちますが、既存のインストールについて

も、どのコンポーネントが正常に構成されていてどのコンポーネントはそうでないのかを把握するのに役立ちます。詳

細は、17ページの「はじめに」ウィザードを参照してください。

l 管理者コンソール通知が3種類追加されました。これにより、デバイスフリートにおける変化を常に把握し、その変

化に対して迅速に対処することができます。詳細は、14ページのAirWatchコンソールの通知および16ページの通

知設定を構成するを参照してください。

o アプリケーション用 APNs の有効期限 –アプリケーション用 APNsの有効期限が切れる30日前に通知されま

す。これは、優先度が｢重大｣のアラートです。この通知は、証明書の有効期限切れに関するトラブルを防止

するのに役立ちます。また、この通知によって、デバイス上のアプリ機能が維持されます。

o プロビジョニングプロファイルの有効期限 –アプリケーションを含むプロビジョニングプロファイルの有効期限が切

れると通知されます。プロビジョニングプロファイルを再生成し、更新する必要があります。これは優先度が｢重

大｣の通知で、破棄できません。

o デバイスアプリログストレージアラート–これは優先度が｢高｣のアラートで、ストレージログが容量の75%を超

えると表示されます。ログの削除または容量制限の拡大については、サポート担当者にお問い合わせくださ

い。このアラートは破棄できます。

l デバイスが非順守になった場合の通知に、デバイスユーザーの上司を含めることができるようになりました。詳細

は、168ページの順守ポリシーを追加するに記載されている、アクションとさらに強い対応措置の表の通知アクショ

ンを参照してください。

l 順守エンジンは、Androidおよび iOSデバイスからMicrosoft Azureトークンを取り消すことができます。これにより、

ユーザーのデバイス上でAzureトークンを必要とするOutlook、OneDrive、Office 365などのMicrosoftアプリが無効

になります。詳細は、167ページのプラットフォーム別順守ポリシーアクションを参照してください。

l ユーザーのパスワードに高度な複雑度のオプションが追加され、強化されています。詳細は、デバイスとユーザー>全般 >パスワードと進み、設定画面を参照してください。

第 1章 : 概要

7



モバイルデバイス管理 (MDM)の概要

モバイルデバイスは企業にとって有益なツールです。従業員はモバイルデバイスを使用することにより、社内のコンテン

ツとリソースに即座にアクセスできます。しかし、多岐にわたるモバイルプラットフォーム、OS、バージョンをもつ各種デバイ

スを管理することは容易ではありません。VMware AirWatch®Mobile DeviceManagement™ (MDM)は、企業の使用す

るすべてのモバイルデバイスタイプの構成、セキュア化、監視そして管理を可能にし、この課題に対するソリューション

を提供します。

モバイルデバイス管理を導入することによるメリット

モバイルデバイス管理は、企業にモビリティを導入する際の課題であるセキュリティ上の問題とアクセス上の問題に対

し、エレガントなソリューションを提供します。

l すべてのモバイルデバイスを、展開規模の大きさにかかわらず、一つのコンソールから管理することができます。

l デバイスを貴社のエンタープライズ環境に素早く簡単に加入します。

l デバイス設定をワイヤレスで構成/更新します。

l セキュリティと順守ポリシーを適用します。

l 企業リソースへのモバイルアクセスをセキュアにします。

l 管理デバイスを遠隔操作でロックおよびワイプします。

デバイスの位置情報、現在のユーザーおよびコンテンツに即時にアクセスできるようMDM環境を設定することもできま

す。また、ユーザーや組織グループそれぞれに固有のルールや警告メッセージを割り当て、セキュリティと順守設定を適

用し、貴社のMDM展開を自動化します。さらに、デバイスの地理的位置情報に基づき、コンテンツや機能を制限し

たり有効化したりすることもできます。

このガイドでは、貴社のMDM展開を構成し維持していく方法の概要を説明します。

サポートするブラウザ

AirWatchコンソールは、以下のウェブブラウザの最新版安定ビルドをサポートします。

l Chrome

l Firefox

l Safari

l Internet Explorer 11

l Microsoft Edge

注 :コンソールへのアクセスに IEを使用している場合、コントロールパネル > 設定 > インターネットオプション> セキュリ

ティと進み、フォントダウンロードオプションを含むセキュリティレベルまたはカスタムセキュリティレベルが有効にするに

設定されていることを確認してください。

上記に挙げられたものより古いブラウザをご使用の場合は、AirWatchコンソールで利用可能なすべての特長や機能を

ご利用いただくために、新しいブラウザへのアップグレードをお勧めします。上記のウェブブラウザに関しては、包括的な

第 1章 : 概要

8



プラットフォームテストを実施し、動作確認を行っています。AirWatchコンソールは、これ以外のブラウザでも動作するこ

とがありますが、不具合が生じる場合があります。

対応プラットフォーム

AirWatchは以下のデバイスとOSをサポートします。

l Android 4.0以降 l Tizen 2.3+

l Apple iOS 7.0以降 l Windowsデスクトップ(8/8.1/RT/10)

l ApplemacOS 10.9+ l Windows 7 (Windows 7以上)

l ChromeOS (最新バージョン) l Windows Phone (Windows Phone 8/ 8.1、Windows 10Mobile)

l QNX 6.5+ l Windows Rugged (Mobile 5/6およびWindows CE 4/5/6)

これ以外のデバイス/OSに関しては、サポートが限定される場合があります。詳細は、214ページの他の文書を入手す

るから入手可能なプラットフォーム固有の各ユーザーガイドを参照するか、AirWatchサポート担当者までお問い合わせ

ください。

第 1章 : 概要

9



第 2章:AirWatchをはじめる

AirWatchコンソールの概要 11

「はじめに」ウィザード 17

10



AirWatchコンソールの概要

AirWatchコンソールから、貴社のモバイルデバイス管理 (MDM)展開のあらゆる側面を閲覧し管理することができま

す。弊社の管理者コンソールは、一元化されたWebベースのリソースで、ここから新しいデバイスとユーザーを貴社の展

開に素早く簡単に追加し、プロファイルを管理し、システム設定を構成することができます。

セキュリティ設定と各種のインターフェイス機能 (例 : ｢はじめに｣ウィザード、メニューアイコン、グローバル検索)について

詳しく理解してください。

セキュリティ暗証番号

セキュリティ暗証番号を作成することで、AirWatchコンソールのセキュリティを確保できます。この暗証番号は、不注意

でデバイスをワイプしてしまったり、ユーザーや組織グループといった貴社環境の重要な構成部分を削除してしまったり

することがないよう、セーフガードとしての機能を果たします。セキュリティ暗証番号には、セキュリティをより一層強化す

る役割もあります。これを設定することで、認証ポイントが追加され、承認外ユーザーによる操作をブロックすることがで

きます。

セキュリティ暗証番号を確立する

AirWatchコンソールへの初回ログイン時には、プロンプトが表示され、セキュリティ暗証番号を設定するよう促されます。

セキュリティ設定画面が表示されますので、4桁のセキュリティ暗証番号を入力し、確認のため再入力してください。こ

の暗証番号は今後必要になりますので手元に控えておいてください。この暗証番号を設定せずにAirWatchコンソー

ルの他の画面に進むことはできません。

パスワード誤入力回数が最大許容試行回数を超過した場合、キャプチャ認証プロンプトが開きます。このプロンプト

はカスタマイズできます。このキャプチャ認証プロンプトを無効化することもできます。

AirWatch コンソールのセキュリティ暗証番号をリセットする

セキュリティリスクを最小に抑えるためにも、セキュリティ暗証番号は定期的にリセットしてください。

1. AirWatchコンソールの右上に表示されているアカウントアイコンを選択します。

2. アカウント設定を管理を選択します。アカウント設定画面が表示されます。

3. セキュリティタブを選択し、リセットボタンを選択して暗証番号をリセットします。

4. コンソールからログアウトし、再度ログインします。プロンプト表示の指示に従い暗証番号を作成します。

第 2章 :AirWatchをはじめる

11



ヘッダーメニュー

ヘッダーメニューは、AirWatchコンソールのほとんどのページの上部にあります。このヘッダーメニューを使用して、次のこ

とを実行できます。

l 組織グループ–変更を適用したい組織グループ(｢Global｣と表示のあるタブ)を選択します。

l 追加 –管理者、デバイス、ユーザー、ポリシー、コンテンツ、プロファイル、内部アプリケーション、またはパブリックアプ

リケーションを素早く作成します。

l グローバル検索 – ()デバイス、ユーザー、コンテンツ、アプリケーション、構成設定、管理者、ページなど、貴社の

AirWatch展開のすべての構成要素をAirWatchコンソールから検索します。

l 通知 – ()通知を使用することにより、重要なコンソールイベントを常時確認できます。通知のベルアイコンの上に

重なって表示される番号バッジで、確認が必要なアラートの数がわかります。

l 保存済み – () AirWatchコンソールでよく使うページをお気に入りに追加してアクセスをよりスムーズにします。

l ヘルプ– ()使用可能なガイドおよびコンソール文書を参照または検索します。

l アカウント–アカウント情報を閲覧します。現在の環境内で割り当てられているアカウント役割を変更することがで

きます。連絡先の情報、言語、通知、ログインの閲覧履歴、暗証番号のリセットを含むセキュリティ設定などの設

定をカスタマイズできます。AirWatchコンソールからログアウトして、ログイン画面に戻ることもできます。

l 更新 – ( )現在のビューを離れずに、画面を更新して更新状態および情報を表示します。

l 表示項目 – ( ) ｢ハブ｣の概要画面の表示をカスタマイズするには、表示したいセクションのみを選択します。｢ハブ｣

の概要画面でのみ利用できます。

l エクスポート– ( )プロファイル、アプリ、ブック、チャンネルまたはポリシーの完全なリストを、Excelで表示/分析できる

CSV (コンマ区切り値)ファイルで作成します。

l ホーム– ( )このアイコンをクリックすると、AirWatchコンソールの任意の画面をホーム画面として設定できます。

AirWatchコンソールに次にアクセスするときには、選択した画面が最初に表示されます。

l 保存 – ( )現在のページを｢保存済み｣ページ一覧に追加すると、よく使用するコンソールページに簡単にアクセス

できるようになります。

詳細は、次のトピックを参照してください。

67ページの組織グループ概要

56ページの役割ベースのアクセス概要

14ページのAirWatchコンソールの通知

11ページのAirWatchコンソールの概要

197ページのAirWatchハブ


12



メインメニュー

メインメニューから、アカウントに割り当てられた役割とモバイルデバイス管理 (MDM)展開に応じて利用できるすべて

の機能に移動することができます。

基本展開のすべての構成要素が正常に設定されたことを確認する役割を果たします。｢はじめに｣には、貴社の

AirWatchコンソール展開に関連するモジュールのみが含まれています。｢はじめに｣は、貴社の実際の構成に合わせ

たチュートリアルのような役割を果たします。

管理者としての判断を下すにあたり必要なMDM情報を閲覧し管理します。貴社のデバイス全体の概要を素早く

把握します。ブラックリストに設定されたアプリのうち、順守ポリシーの違反件数が最も多いアプリはどれなのかといった

情報を確認することもできます。管理者パネルダッシュボードでモジュールライセンスを追跡し、現在非順守状態に

あるすべてのデバイスをモニタリングします。iOSデバイスの場合、業種別テンプレートを選択し、業種特有のアプリと

ポリシーを使用してチュートリアルプロセスを効率化することもできます。

貴社のモバイル展開の主要な側面 (順守状態、所有形態の内訳、最終検出日、プラットフォームタイプ、加入タ

イプ等)の詳細を閲覧します。表示形式は、全ダッシュボードの表示、リスト表示、詳細画面等、好みに応じて簡

単に変更することができます。ここから、現在のすべてのプロファイル、加入状態、通知およびワイプ保護設定、順

守ポリシー、証明書、プロダクトプロビジョニング、プリンタ管理などのタブにもアクセスできます。

貴社のMDM展開に含まれるユーザーと管理者を調べ管理します。ユーザーグループ/役割/バッチの状態/ユー

ザー設定にアクセスし、管理します。あるいは、管理者タブから、管理者グループ/役割/システムアクティビティ/管理

者設定にアクセスし、管理します。

App Catalog、Book Catalog、Volume Purchase Program (VPP)オーダーにアクセスし、管理します。アプリケーションの

分析データやログ、アプリのカテゴリ、スマートグループ、アプリグループ、特集アプリ、ジオフェンス、アプリに関連してい

るプロファイル等のアプリケーション設定を閲覧することもできます。

ストレージ履歴のトレンド、ユーザー/コンテンツの状態、コンテンツ利用状況とユーザー内訳の詳細を閲覧します。

ユーザーとデバイスが利用できるコンテンツを管理/アップロードします。また、バッチインポート状態、コンテンツカテゴ

リ、コンテンツリポジトリ、ユーザーストレージ、VMware Content Lockerホーム画面構成とその他コンテンツ固有の設

定すべてにアクセスします。

貴社展開に関連するEメール情報にアクセスします。ここには、Eメール管理状態、管理デバイス、Eメールポリシー

違反、展開タイプ、最終検出日時等の情報が含まれています。

テレコムを有効にしたデバイスからは、使用履歴、テレコムプラン使用量、ローミングデータ等にアクセスできます。通

話、SMS、コンテンツ設定などのテレコム使用とローミング追跡を閲覧し管理します。

組織グループ、スマートグループ、アプリグループ、ユーザーグループ、管理者グループの構造/タイプ/状態を管理し

ます。システム設定全体を構成し、メインメニューオプションすべてに関連する設定にアクセスします。

サブメニューを折りたたむ/展開する

サブメニューを折りたたむには、コンソール下部にある矢印アイコンを選択します。サブメニューを折りたたむと、デバイス

情報を表示するためのスペースが広くなります。サブメニューを展開するには、矢印アイコンを選択します。

グローバル検索

モジュール型のデザインとタブ付きのインターフェイスを使用したグローバル検索で、貴社の展開全体の検索を実行しま

す。グローバル検索では、貴社の検索パラメータを一度に1つのタブに適用することで迅速に結果を生成します。別の

タブを選択して、同じパラメータをAirWatchコンソールの別のエリアに適用します。


13



グローバル検索を実行した後、結果を以下のタブで確認します。

l デバイス–デバイスのフレンドリ名およびデバイスプロファイル名が一致する検索結果を表示します。

l アカウント–ユーザー名や管理者名が一致する検索結果を表示します。

l アプリケーション–内部、パブリック、購入済みまたはWebアプリケーション名が一致する検索結果を表示します。

l コンテンツ–デバイス上のコンテンツから一致する検索結果を表示します。

l 設定 –個々の設定とコンソールのメイン画面から一致する検索結果を表示します。

組織グループドロップダウンメニューから別の組織グループを選択し、その別の組織グループに関して検索を実行するこ

ともできます。検索バーはリストの上部に表示されます。

AirWatchコンソールの通知

運用に影響が出る可能性のあるコンソールイベントについてお知らせするために、通知が表示されます。通知ボタンは

グローバル検索ボタンの横にあります。

通知にはさまざまな種類があります。

l APNs 有効期限通知 –MDM用のAPNs証明書の有効期限が切れる30日前に通知されます。これは、重大な

優先度のアラートです。APNs証明書の有効期限が切れると、アラートの優先度が｢重大｣から｢高｣に下がりま

す。この通知は、証明書の有効期限切れに関するトラブルを防止するのに役立ちます。また、この通知によって、

デバイスとAirWatchの間の通信が維持されます。

l アプリケーション用 APN の有効期限通知 –アプリケーション用 APNsの有効期限が切れる30日前に通知されま

す。これは、重大な優先度のアラートです。この通知は、証明書の有効期限切れに関するトラブルを防止するの

に役立ちます。また、この通知によって、デバイス上のアプリ機能が維持されます。

l アプリ削除の保護 –これは優先度が｢高｣のアラートであり、アプリ削除回数がしきい値を超過したときに表示され

ます。この通知に対処するには、｢通知｣ポップアップの｢アプリ削除防止対策を確認｣リンクを選択します。

l デバイスアプリログ保存アラートこれは優先度が｢高｣のアラートで、ストレージログが容量の75%を超えると表示

されます。ログの削除または容量制限の拡大については、サポート担当者にお問い合わせください。このアラートは

破棄できます。

l リスト表示のエクスポート–この通知は、ユーザーが要求したデバイスリスト表示またはユーザーリスト表示のエクス

ポート処理が完了して検査できる状態になったときに表示されます。これは優先度が｢情報｣の通知で、破棄で

きます。

l アプリケーション用プロビジョニングプロファイルのプロファイルの有効期限 –アプリケーションを含むプロビジョニングプ

ロファイルの有効期限が切れると通知されます。プロビジョニングプロファイルを再生成し、更新する必要がありま

す。これは優先度が｢重大｣の通知で、破棄できません。

l ユーザーグループ融合保留中 –この通知は、"ユーザーグループ融合プロセスが保留中であり、管理者による承

認が必要である"ということを知らせるものです。この通知が表示されるのは、次の場合です。

o ディレクトリベースのユーザーグループにおいて｢変更を自動融合する｣チェックボックスをオフにしている、つまり、

変更する際は必ず管理者による承認が必要である。


14



o ｢変更を自動融合する｣チェックボックスをオンにしており、かつ、変更数が最大許容変更回数を超過した。

最大許容変更回数に達した後にさらに変更を行う場合は、管理者による承認が必要です。

l VPP アプリ自動更新 –この通知は優先度が｢高｣のアラートであり、Apple VPP (Volume Purchase Program)を使用

してインストールされたアプリの更新バージョンがリリースされたことをユーザーに知らせるものです。

デバイスライフサイクル通知に関する情報は、113ページのライフサイクル通知を構成するを参照してください。


15



コンソール通知を管理する

管理者による確認が必要なアクティブな通知がある場合は、数字のバッジがアラートアイコン上に表示され、アクティブ

なアラートの数がわかります。ベルの図柄の｢通知｣アイコンを選択すると、通知ポップアップが開きます。

受信した通知を管理できます。具体的には、アクティブなアラートを一覧表示すること、APNsを更新すること、失効し

たアラートを破棄すること、破棄したアラートを一覧表示すること、および、通知設定を構成することができます。

各アラートには、MDM証明書に対するAPNsが存在する組織グループが表示されます。また、証明書の有効期限、

および、APNsを更新するためのリンクも表示されます。

l アクティブなアラートを表示する–既定のビューにはアクティブなアラートの一覧が表示されます。

l APNs を更新する–このリンクをクリックすると、｢組織グループの変更｣画面が表示されます。この画面が表示され

るのは、ライセンスの有効期限が迫っているデバイスを管理している組織グループが、あなたが現在所属している

組織グループと異なる場合です。このAPNsライセンスを更新するには、はいを選択し、あなたの組織グループを自

動変更してください。

MDM 用のAPNs設定画面の指示に従ってライセンスを更新し、デバイスがAirWatchとの接続を維持できるように

します。

l アラートを破棄する–失効したアラートを閉じて破棄済みアラート一覧に送るには、Xボタンをクリックします。重大

な優先度の通知を閉じることはできません。

l 破棄したアラートを表示する–破棄したアラートを一覧表示するには、｢通知｣ポップアップの上部にある破棄済み

タブを選択します。

通知設定を構成する

通知の設定画面を使用して、APNs失効アラートの有効/無効の切り替え、アラートの受け取り方の選択、アラート送

信先のEメールアドレスの変更ができます。

通知設定を構成するには、以下の手順に従います。

1. コンソールのほぼどの画面でもアクセスできるアカウントボタンをクリックし、アカウント設定を管理を選択し、通知


また、通知のポップアップ画面の右下に表示されるギアアイコンを選択することで通知設定画面にアクセスすること

もできます。


16



2. 通知の設定を行います。

設定説明

APNs 失効

APNsライセンスの失効時またはAPNsライセンスの失効が迫っているときに、アラートをトリガできま

す。

通知通知の配信方法を選択します。｢コンソール｣、｢Eメール｣、｢両方｣のいずれかを選択します。

Eメールの

送信先

｢通知｣で｢Eメール｣または｢両方｣を選択した場合は、Eメールアドレスを入力します。Eメールアド

レスを複数個指定する場合は、コンマで区切ります。

リスト表

示のエク

スポート

ユーザーリスト表示またはデバイスリスト表示のエクスポートが完了したときに、アラートをトリガできま

す。

通知通知の配信方法を選択します。｢コンソール｣、｢Eメール｣、｢両方｣のいずれかを選択します。リスト

表示エクスポートの場合、使用されるEメールアドレスは、現在ログインしている管理者に対するアカ

ウント設定の｢ユーザー｣タブで指定されているEメールアドレスです。

ユーザー

グループ

融合

｢変更を自動融合する｣チェックボックスをオフにしている場合、Active Directoryデータベースに対する

変更内容がAirWatchと同期するときに、アラートをトリガできます。


Eメールの

送信先



VPP AppAutoUpdate

Apple VPP (Volume Purchase Program)を使用してインストールされたアプリの更新バージョンがリリース

されたときに、アラートをトリガできます。


Eメールの

送信先



3. 変更内容を保存またはキャンセルします。

「はじめに」ウィザード

｢はじめに｣ウィザードは、AirWatchコンソールの設定を順を追って確認するチェックリストの役割を果たします。貴社の

展開に必要なモジュールのみが含まれていますので、貴社の構成に沿って用意されたチュートリアルとして使用すること

ができます。

｢はじめに｣ウィザードを使用する

｢はじめに｣ウィザードのメインメニューには、管理者の方による構成をやりやすくする機能が含まれています。構成の進

捗をトラッキングするだけではなく、作業を開始/中断/再開したり、以前の応答を変更するために前に戻ったりすること

もできます。

l セクションの最初のステップを開始するにはウィザードを開始をクリックします。質問に答え、AirWatchコンソール内

の各機能の設定を構成するためのページにアクセスします。各セクションを完了時に、右上隅に表示される割合カ


17



ウンターでセクション完了までの進捗状況を確認できます。

l セクションの完了前に中止した場合は、続行をクリックすると中断したステップから再開できます。

l セクションをスキップを選択して任意のセクションをスキップすることもできます。この選択をすると、｢続行｣ボタンが

一時的に無効になり、セクションを再開リンクが挿入されます。このリンクを選択すると、「続行」ボタンが再度有効

になります。

｢はじめに｣画面は、Workspace ONE、デバイス、コンテンツ、アプリケーションという4つのセクションに分かれています。セ

クションごとに行う操作は異なります。すべてのセクションに重複するステップがある場合、その内容は自動的に記録さ

れ、同じステップを繰り返し行う必要はありません。

l Workspace ONE – 従業員または企業が所有するデバイスから行う摩擦のないアクセスEメール、カレンダー、連絡

先、ドキュメントなどのエンタープライズ生産性向上アプリへのセキュアな接続シングルサインオン(SSO)による、モバ

イル、クラウド、Windowsアプリケーションへの瞬時アクセスエンタープライズと従業員を侵害状態デバイスから保護

する強力なデータセキュリティ

o Workspace ONEの詳細は、VMware Workspace ONE Quick Configuration Guideを参照してください。この文

書の入手方法については、｢214ページの他の文書を入手する｣を参照してください。

l デバイス–MDMに加入されたデバイスにロック、通知、または企業情報ワイプなどのアクションを実行Eメール、制

限、設定などを構成するためにプロファイルを展開デバイス群にセキュリティポリシーが確実に適用されるために、

順守規則を構成「ダッシュボード」および「ハブ」画面から貴社のデバイスをどのように管理するかをご覧いただきま

す。

l コンテンツ–コンテンツを展開し、Content Lockerアプリケーションで外出先からもコンテンツにアクセスコンテンツをコン

テンツダッシュボード、レポート、ログから閲覧＆管理個人コンテンツを使用してコンテンツを共有・共同作業既存

のリポジトリと統合、コンテンツをモバイルデバイスに展開

l アプリケーション–社内で開発されたアプリ、無料のパブリックアプリまたは購入済みのアプリを展開ユーザーがアプリ

ケーションを検索したりダウンロードしたりできるカスタマイズしたApp Catalogを展開アプリケーションのホワイトリスト

およびブラックリストを作成して、順守プロファイルまたはアプリ制御プロファイルと統合アプリスキャンなどの高度なア

プリ管理オプションを構成

Workspace ONE、デバイス、コンテンツ、アプリケーションウィザードを進める

4つの各セクションで、貴社のニーズに合わせて構成または無視する機能の一覧を表示します。構成されていない機

能には空の未完了チェックボックスが表示され、構成されている機能には完了の緑色のチェックが表示されます。

l 構成ボタンを選択して、関心のある機能の設定定義を開始します。

l 編集ボタンを選択して、構成した機能の設定を確認または変更します。

l 進捗状況バーに、各機能の設定完了状況がパーセンテージで表示されます。

l 多くの機能には、構成または編集ボタンの横に動画ボタンがあります。この動画では、操作中の機能について

確認できます。また、これらの機能が貴社にもたらすメリットについても把握できます。

l セクションの一部の機能は、進捗状況バーのパーセンテージに影響を与えることなくスキップできます。このステップを

スキップボタンを選択 (使用可能な場合)して、リストから該当する機能を削除します。該当する機能を再度表示

するには、再アクティブ化ボタンを選択します。


18



一部の機能には、前提条件があります。例えば、モバイルシングルサインオンでは、事前にEnterprise Connector、Active Directory、VMware Identity Managerの設定が必要です。使用可能な場合は、これらの必須機能の設定を開

始するボタンが表示されます。

｢はじめに｣ウィザードを手動で有効にする

AirWatchを新規導入する場合は、左側のパネルのハブアイコン上部にあるメインメニューから｢はじめに｣画面にアク

セスします。あるいは、｢はじめに｣ウィザードをいつでも手動で有効化することができます。｢はじめに｣ウィザードを手動

で有効化することで、一連の手順を再開します。

1. 最上位のグループ以外の任意の組織グループを選択します。

2. グループと設定 > グループ> 組織グループ> 組織グループ詳細と進みます。カスタマーレベルの組織グループに対

して操作を行っていることを確認し、変更を保存します。

3. 次にグループと設定 > すべての設定 > システム > はじめにと進みます。

4. この画面の各設定で有効を選択します。

a. ｢はじめに｣ (Workspace ONE) の進行状況

b. はじめに -デバイスの状態

c. はじめに -コンテンツの状態

d. はじめに -アプリケーションの状態

5. 保存をクリックします。

詳細は、67ページの組織グループ概要を参照してください。


19



第 3章:環境設定

環境設定の概要 21

AirWatchコンソールにログインする 21

APNs証明書 21

プライバシーとデータ収集 22

利用規約 27

コンソールブランディング 30

制限されたコンソール操作 30

統合可能なその他のエンタープライズシステム 33

20



環境設定の概要

環境 URLとログイン資格情報を指定すること、プラットフォーム管理用の証明書を生成すること、テレコム設定とプライ

バシー設定を構成すること、コンソールをカスタマイズすることなどができます。

AirWatchコンソールにログインする

AirWatchコンソールにログインする前に、環境 URLとログイン資格情報が必要です。お客様の展開タイプによりこれら

の情報ソースは様々です。

l SaaS 展開 –貴社のアカウントマネージャが、貴社の環境 URLとユーザー名/パスワードを提供します。URLはカス

タマイズできず、通常は awmdm.comの形式です。

l オンプレミス–オンプレミス展開のURLはカスタマイズ可能で、通常 awmdm.<貴社会社名>.comの形式です。

貴社担当のアカウントマネージャが貴社環境の初期設定に必要な資格情報を提供します。追加アカウントを作成し

管理責任を委譲することができる管理者が、環境内の資格情報を作成し配布する場合もあります。詳細は、｢管理

者アカウントを作成する｣を参照してください。

ブラウザがAirWatchコンソールの環境 URLを正常に読み込むと、貴社のAirWatch管理者から提供されたユーザー名

とパスワードを入力するだけで、ログインすることができます。

APNs証明書

iOSデバイスを管理するには、まず、Appleプッシュ通知サービス(APNs)証明書を取得する必要があります。APNs証明

書を取得した場合、AirWatchとAppleデバイスの間でセキュアな通信が行われ、また、AppleデバイスからAirWatchに

情報がレポートされます。

Apple Developer Enterprise Programでは、APNs証明書の有効期間は 1年間です。その後も継続使用する場合は、

更新手続きを行う必要があります。有効期限が近づくと、AirWatchコンソールからリマインダが送信されます。AppleDeveloperポータルで証明書を更新すると、現在の証明書は失効します。これにより、新しい証明書をアップロードす

るまでデバイスを管理できなくなります。証明書が更新されたらすぐにアップロードできるように計画してください。また、

本番環境とテスト環境を別々に構築している場合、環境ごとに別々の証明書を使用することを検討してください。

詳細は、Generating and Renewing an APNs Certificate for AirWatch (ナレッジベース資料 : https://support.air-watch.com/articles/115001662728)を参照してください。

APNs証明書の有効期限

貴社のMDM用のAPNs証明書の有効期限が迫っている際には、コンソールのヘッダーバーの通知ボタンでお知らせし

ます。このように通知が届くことによって、ユーザーは適切に対処することができます。

詳細は、14ページのAirWatchコンソールの通知を参照してください。

第 3章 :環境設定

21



https://support.air-watch.com/articles/115001662728


APNs証明書を生成する

貴社の iOSデバイスとAirWatchの間の通信をセキュアに保つには、APNs証明書を生成し、定期的に更新する必要

があります。APNs証明書を送信するには、次の2つの方法のいずれかを使用します。

1. 17ページの「はじめに」ウィザードの手順に従うか、

または

2. 次の手順を実行し、APNs証明書を手動で生成します。

a. グループと設定 > すべての設定 > デバイスとユーザー > Apple > MDM 用のAPNsと進みます。

b. 有効期限終了日を過ぎている場合は更新ボタンをクリックし、表示される指示に従います。説明リンクに

は、Apple Push Certificates Portalから証明書の要求をアップロードする方法が説明されています。この画面に

はAppleのサイトを開くボタンがあり、クリックすると、Apple Push Certificates Portalをブラウザの新しいタブで開

きます。以下の2つのアイテムが必要になります。

i. AirWatch証明書要求。これはデバイスに保存できるPLISTフォーマットのファイルです。

ii. この証明書を作成した際に使用したApple ID。

c. 次へをクリックして次の画面に進みます。Apple IDを入力し、Apple社発行のAirWatch MDM 証明書 (PEMファイル)をアップロードします。

d. 保存を選択します。

プライバシーとデータ収集

エンドユーザーがAirWatchに加入すると、どのようなデータがどのように収集され保管されるのか、エンドユーザーに周

知徹底することはとても大切です。AirWatchコンソールでは、貴社がユーザーに関するどのようなデータを加入デバイス

から収集するのかを通知するために、プライバシー通知をカスタマイズできます。

貴社の法務部の協力を得て、データ収集に関してどのようなメッセージをエンドユーザーに通知するのかを判断してく

ださい。

BYODエンドユーザーに対するプライバシー通知

プライバシー通知は、デバイスタイプ、展開タイプや所有形態タイプに応じて、デバイスからどのようなデータが収集され

るのかを貴社のエンドユーザーに通知するためのものです。

プライバシー通知の構成

プライバシー通知の内容は、接続するデバイスの組織グループとデバイス所有形態に基づき、自動的に配布されま

す。次の各所有形態タイプに応じたプライバシー通知を表示することもできます。従業員所有、企業 -専用、企業 -共有、不明

通知を受信する所有形態タイプを割り当てる前に、プライバシー通知を作成しておく必要があります。詳細は、

｢VMware AirWatch BYOD & Privacy ガイド｣の｢プライバシー通知を作成する｣を参照してください。この文書は

AirWatch Resourcesで入手できます。

プライバシー通知の展開

プライバシー通知を受信するよう所有形態タイプを割り当てると、その所有形態タイプに属するすべてのユーザーに、

Webクリップの形式でプライバシー通知が即時に送信されます。プライバシー通知参照値


22



PrivacyNotificationUrlがメッセージテンプレートに挿入されている場合は、EメールはURLを含みます。ユー

ザーはそのリンクをクリックしてプライバシーポリシーを閲覧することができます。

以下の項目にあてはまるユーザーには自動でプライバシー通知が送信されます。

l 新規ユーザーが新しいデバイスを加入し、デバイスの所有形態のプライバシー通知機能が有効に設定されている

場合。

l 新規ユーザーは加入済みのデバイスを現在使用しているが、加入後、デバイスの所有形態タイプが変わり、その

タイプにWebクリップが割り当てられている場合。

デバイスアクティブ化プロセスの中でプライバシー通知を展開する方法については、｢デバイスを個別に登録する｣を参

照してください。

BYOD ユーザーに対するプライバシー通知を作成する

プライバシー通知をカスタマイズし、貴社が加入デバイスからどのようなデータを収集するのかユーザーに通知します。

貴社の法務部の協力を得て、データ収集に関してどのようなメッセージをエンドユーザーに通知するのかを判断してく

ださい。

1. グループと設定 > すべての設定 > デバイスとユーザー > 全般 > メッセージテンプレートと進みます。

2. 追加をクリックして新しいテンプレートを作成します。すでに作成したプライバシー通知テンプレートがある場合は、

利用可能なテンプレートリストから選択し、使用/編集します。

3. メッセージテンプレートを追加/編集設定に入力します。

設定説明

名前通知テンプレートの名前を入力します。

説明作成するテンプレートの説明を入力します。

カテゴリ加入を選択します。

タイプ MDM デバイスアクティブ化を選択します。

言語を選択テンプレートのデフォルト言語を選択します。その他の既定言語を追加するには追加ボタンを使

用します。

既定このテンプレートを既定のメッセージテンプレートにするには、このボックスにチェックを入れます。

メッセージタイ

プ

メッセージタイプを以下から選択します。Eメール、SMS、プッシュ通知

4. 通知コンテンツを作成します。上記のメッセージタイプで選択したメッセージタイプにより、構成の際に表示される

メッセージが決まります。

項目説明

Eメール

Eメールコンテ

ンツの形式

Eメール通知の形式をプレーンテキストとHTMLから選択します。

タイトル Eメール通知のタイトルを入力します。


23



項目説明

メッセージ本

文

ユーザーに送信するEメールメッセージを入力します。この入力欄に表示される編集/フォーマット

用のツールは、Eメールのコンテンツの形式で選択された項目により異なります。

ビジュアルプライバシー通知を有効にしている場合は、メッセージ本文に参照値

PrivacyNotificationUrlを含めてください。

SMS

メッセージ本

文

ユーザーに送信するSMSメッセージを入力します。



プッシュ

メッセージ本

文

ユーザーに送信するプッシュ通知を入力します。



5. 保存を選択します。

プライバシー設定

プライバシー設定では、デバイス情報とユーザー情報がAirWatchコンソール内でどのように扱われるかを指定できま

す。これらの情報は、個人デバイスの業務利用 (BYOD)展開において役立ちます。

l デバイス所有形態別にプライバシーポリシーを確認し調整し、他国のデータプライバシー法や法的に定められた

規制を遵守する

l ITによる抑制と均衡の仕組みを取り入れ、サーバとシステムのオーバーロードを確実に防ぐ

重要 :どのような情報をエンドユーザーから収集できるのかについては、地域により法規制内容が異なります。24ページのプライバシー設定の構成前に、法規制を十分に調査するようにしてください。

プライバシー設定の構成

企業にとってもユーザーにとっても、エンドユーザーのプライバシー保護は重要な課題です。AirWatchは、どのような

データをユーザーに関して収集し、収集されたデータのどこまでを管理者が閲覧できるのかについて、細分化された制

御機能を提供します。

貴社のユーザーと貴社のビジネスニーズの双方にとって最適なプライバシー設定を構成してください。

1. デバイス> デバイス設定 > デバイスとユーザー > 全般 > プライバシーと進みます。

2. GPS、テレコム、アプリケーション、プロファイル、ネットワークデータ収集に関して適切な設定を選択してください。

収集して表示 –ユーザーデータが収集され、AirWatchコンソールに表示されます。

収集するが表示しない–ユーザーデータはレポート用として収集されますが、AirWatchコンソールには表示され

ません。

収集しない–ユーザーデータは収集されないので、AirWatchコンソールに表示されません。


24



3. デバイスに実行可能なコマンドに対し、以下のオプションのいずれかを選択します。

許可 –ユーザーの同意がない場合でもデバイス上でコマンドが実行されます。

ユーザー同意で許可 –ユーザーが同意した場合に限り、デバイス上でコマンドが実行されます。

許可しない–デバイス上でコマンドは実行されません。

従業員所有のデバイスに関しては、すべてのリモートコマンド、特にフルワイプコマンドを無効化することをお勧めし

ます。これにより、エンドユーザーの個人コンテンツを不注意で削除、またはワイプしてしまうといったケースを防止し

ます。

注 : iOS所有形態タイプの選択時にワイプ機能を無効にすると、ユーザーの加入時に「コンテンツと設定をすべ

て消去」権限が表示されません。

Android/Windows耐久性デバイスで、リモート操作、ファイルマネージャあるいはレジストリマネージャへのアクセスを

許可する場合は、ユーザー同意で許可オプションを使用することをお勧めします。これにより、アクションが実行され

る前にプロンプトメッセージが表示され、エンドユーザーによるデバイス上の管理者アクセスへの同意が必要になり

ます。いずれかのコマンドの使用を許可するのであれば、その旨利用規約に明記しておくことをお勧めします。

4. ユーザー情報に関しては、AirWatchコンソール上に名、姓、電話番号、Eメールアカウント、ユーザー名の各デー

タを表示するか表示しないかを選択します。

ユーザー名以外のオプションを表示しないに設定すると、AirWatchコンソールで表示される箇所はすべて｢プライ

ベート｣と表示されます。表示しないに設定されたオプションはコンソールで検索できません。ユーザー名を表示し

ないに設定すると、ユーザー名は、デバイスリスト表示とデバイス詳細画面上でのみ｢プライベート｣と表示されま

す。それ以外のAirWatchコンソール画面では、加入ユーザーのユーザー名が表示されます。

必要に応じて、個人を特定できる情報 (氏名、Eメールアドレス、電話番号等)を暗号化することができます。暗

号化したいグローバルまたはカスタマーレベルの組織グループから、グループと設定 > すべての設定 > システム > セ

キュリティ> データセキュリティと進みます。暗号化を有効にするには、暗号化したいユーザーデータを選択し、保

存をクリックします。この操作を行うことで、AirWatchコンソールの検索、並べ替え、フィルタ等いくつかの機能が制

限されます。

5. デバイスの妨害しないモードを有効にするか無効にするか選択します。この設定により、ユーザーは、指定され

た期間、MDMコマンドを無視することができます。｢有効｣を選択した場合、妨害しないモードが有効である期間

を分単位、時間単位、または日単位で指定できます。この期間を過ぎると無効になります。

｢妨害しない｣モードの使用の詳細は、次のVMware AirWatchナレッジベース資料を参照してください。


6. デバイスのユーザーフレンドリなプライバシー通知を有効にするか無効にするかを選択します。

l 有効にした場合、次の各所有形態レベルではい(プライバシー通知に表示)またはいいえ(プライバシー通知

に非表示)を選択できます。従業員所有、企業 -専用、企業 -共有、不明

7. 保存をクリックします。変更を保存するには暗証番号を入力する必要があります。保存をクリックします。

BYODソリューション活用の詳細は、214ページの他の文書を入手するから入手可能なVMware AirWatch BYOD andPrivacy ガイドを参照してください。


25




プライバシーベストプラクティス

貴社のビジネスニーズと社員のプライバシー保護の間の最適なバランスを保つことは簡単なことではありません。プライ

バシー設定を管理して最適なバランスを保つための、シンプルなベストプラクティスがいくつかあります。

重要 :雇用形態は企業によって異なります。貴社の法務部、人事部、および経営陣と協議の上、これらの設定

およびポリシーを、貴社に最も適した形態にカスタマイズしてください。

ユーザー情報のプライバシーのためのベストプラクティス

一般に、名、姓、電話番号、Eメールアドレスなどのユーザー情報は、従業員所有デバイスと企業所有デバイスのど

ちらに対しても表示します。

アプリケーション情報のプライバシーのためのベストプラクティス

一般に、従業員所有デバイスに関しては、アプリケーション情報を収集しないまたは収集するが表示しないのいずれ

かにするのが適切です。この設定が重要なのは、デバイス上にインストールされたパブリックアプリが閲覧された場合、

個人を特定できる情報が含まれている可能性があるためです。企業所有デバイスに関しては、AirWatchはデバイスに

インストールされたすべてのアプリを記録します。

｢収集しない｣を選択した場合、収集されないのは個人アプリケーションの情報のみです。AirWatchでは、パブリックア

プリ、内部アプリ、購入されたアプリなど種類の別を問わず、すべての管理対象アプリの情報が収集されます。

リモートコマンドのプライバシーのためのベストプラクティス

従業員所有のデバイスに関しては、すべてのリモートコマンドを無効化することをお勧めします。リモート操作またはリ

モートコマンドを許可する場合は、これらのリモート操作およびリモートコマンドを利用規約に明記してください。

GPS 座標のプライバシーのためのベストプラクティス

一般に、従業員所有のデバイスからGPSデータを収集するのは適切ではありません。以下の説明は企業専用デバイ

スを対象としています。

l GPSデータ–収集される情報には、位置情報とそれがAirWatchに送信された時刻のタイムスタンプが含まれます。

o iOSデバイスでは、GPSデータが自動的に報告されます。いずれかのAirWatchアプリケーションを開くか、または

AirWatch SDKでGPSデータを収集するように設定された内部アプリケーションを開いたときに、GPSデータが報

告されます。

GPSデータが報告されると、AirWatchではその位置の周囲 1 kmの範囲が特定されます。そしてデバイスがこの

範囲外に出るか、またはユーザーがAirWatchアプリまたは内部アプリを起動すると、位置情報を報告します。

上記のいずれかが起こらない限り、GPSデータが新たに報告されることはありません。

o 位置情報サービスが iOSデバイス上で有効化されている必要があります。AirWatchは、この設定を強制できま

せん。

l GPSデータは通常デバイスの紛失時/盗難時に使用されますが、それ以外にも、デバイスの所在地を把握しておく

ことが有益な場合に利用することができます。

テレコムデータプライバシーのベストプラクティス

従業員所有デバイスからテレコムデータを収集することが適切なのは、そのデバイスが社内の携帯電話経費補助の

対象となっている場合に限られます。以下は、そのような場合と、企業所有デバイスを念頭におき、収集可能なデー

タについて説明しています。


26



l キャリア/国コード–キャリアと国コードの記録は、テレコムトラッキングの際に使用されることがあります。テレコムプラ

ンを設定することもでき、デバイスを、キャリアと国コードに応じて適切なプランに割り当てることもできます。この情

報はホームキャリアと国によって、または現時点でのキャリアと国によって、デバイスを追跡するために使用されること

があります。

l ローミング状態 –この状態は、どのデバイスがローミング中かをトラッキングするために使用することができます。順守

ポリシーを作成し、ローミング状態のデバイスの音声通話やデータ通信を無効にしたり、他の順守アクションを施行

したりすることができます。さらに、デバイスにテレコムプランが割り当てられている場合は、ローミング中のデータ通

信使用量をAirWatchに追跡させることができます。ローミング状態に関するデータを収集しモニタリングすることは、

ローミングによるキャリアからの請求額を抑えるのに役立ちます。

l セルラーデータ使用量 –送受信された総バイト数で表されるデータ使用量です。このデータはセルラーデバイスの

それぞれから収集することができます。デバイスがテレコムプランに割り当てられている場合は、各請求サイクルにお

ける、許容データ使用総量に対するデータ使用量の割合を表示し、モニタリングすることができます。この機能を、

使用データの割合 (%)に基づいて順守ポリシーを作成したり、キャリアからの請求額を抑えるために活用したりする

ことができます。

l セルラー使用量 –セルラー使用量とは、各セルラーデバイスから収集される音声通話時間 (分)データを指しま

す。データ使用量の場合と同様、デバイスがテレコムプランに割り当てられている場合は、各請求サイクルにおけ

る、許容時間 (分)に対する割合で使用量を表示し、モニタリングすることができます。この機能を、使用時間の割

合 (%)に基づいて順守ポリシーを作成したり、キャリアからの請求額を抑えるために活用したりすることができます。

l SMS 使用量 – SMS使用量とは各セルラーデバイスから収集されるSMSデータを指します。データ使用量の場合と

同様、デバイスがテレコムプランに割り当てられている場合は、各請求サイクルにおける許容された総メッセージ数

に対する割合 (%)でSMS使用量を表示し、モニタリングすることができます。そうすることにより、メッセージ使用量

の割合 (%)に基づいた順守ポリシーを設定することが可能になります。SMS使用量をモニタリングすることは、キャリ

アからの多額の使用量超過請求を防ぐためにも有効です。

利用規約

利用規約 (TOU)を定義および強制して、管理対象デバイスを使用するすべてのユーザーがポリシーに同意することを

確認します。必要に応じ、加入を開始したり、アプリをインストールしたり、あるいはAirWatchコンソールにアクセスした

りする前に、ユーザーは利用規約に同意する必要があります。利用規約の項目は、AirWatchコンソールで完全にカス

タマイズすることができ、それぞれの組織グループとサブ組織グループに独自の利用規約を割り当てることもできます。

利用規約は、各デバイスの加入時に表示されます。以下のような機能があります。

l バージョン番号を設定する

l 利用規約を受け取るプラットフォームを設定する

l 利用規約更新時にはユーザーにEメールで通知する

l 言語別の利用規約を作成する

l 複数の利用規約同意書を作成し、所有形態タイプまたはプラットフォームに基づき組織グループに割り当てる

l グループごとの特別な責任要件を満たすよう、利用規約をカスタマイズする


27



加入利用規約の作成

加入目的に応じた利用規約 (TOU)に関する同意書を作成できます。また、加入を許可するデバイスを、プラット

フォーム、所有形態タイプ、および加入タイプに基づいて制限できます。

1. 現在構成中のアクティブな組織グループが、作成しようとしている利用規約に対して正しい組織グループであること

を確認します。

2. デバイス> デバイス設定 > デバイスとユーザー > 全般 > 加入と進み、利用規約タブを選択します。

3. 新しい加入利用規約を追加を選択します。

4. 新しい利用規約の一意の名前を入力します。利用規約のタイプには｢加入｣と事前入力されています。

5. プラットフォーム、デバイス所有形態、加入タイプの各カテゴリにおいて、利用規約をそのカテゴリにおけるすべての

デバイスに適用する場合は、任意を選択します。

6. 利用規約の適用対象となるデバイスタイプを限定したい場合は、当該カテゴリを選択し、デバイスタイプを選択し

ます。

l 選択したプラットフォームオプションを選択すると、希望するプラットフォームを選択できるようにリストが表示され

ます。選択したデバイスプラットフォームにのみ、利用規約が適用されます。

l 選択した所有形態タイプオプションを選択すると、希望する所有形態タイプを選択できるようにリストが表示さ

れます。選択した所有形態タイプにのみ、利用規約が適用されます。

l 選択した所有形態タイプオプションを選択すると、希望する所有形態タイプを選択できるようにリストが表示さ

れます。選択した加入タイプにのみ、利用規約が適用されます。

7. 利用規約の更新時にユーザーにEメールを送信するには、通知欄にチェックを入れます。手順 9で保存を選択

すると、通知メールが送信されます。

a. (任意)必要に応じて言語の選択ドロップダウンメニューで言語を選択し、各言語に対応した利用規約を入

力することもできます。

8. 表示されるテキストボックスに、カスタマイズした利用規約を入力します。

この画面では、基本的なテキスト形式で新しい利用規約を作成したり、既存の利用規約をペーストしたりするこ

とができます。外部コンテンツのテキストをペーストするには、テキストにHTMLやフォーマットエラーが含まれないよう

に、テキスト入力欄を右クリックし、プレーンテキストとしてペーストするを選択してください。


MDM 利用規約の承認順守ポリシーを作成し、MDM利用規約への同意を必須にすることができます。これは

AirWatch Containerを使用するデバイスには適用されません。

アプリケーションまたはコンソール利用規約を作成する

アプリケーションに基づく利用規約を作成して、特定のアプリケーションがデータを収集したり制限を課したりする場合

に、エンドユーザーに通知することもできます。

ユーザーがこれらのアプリケーションを貴社のエンタープライズApp Catalogから実行する時、アプリケーションにアクセスす

るために同意を承諾する必要があります。アプリケーションのバージョンに応じた利用規約を設定すること、言語別の利

用規約を作成すること、および、利用規約への同意がない場合にアプリケーションを削除することができます。


28



コンソール利用規約は、管理者がAirWatchコンソールに初めてログインする際に表示されます。AirWatchコンソールに

対して、利用規約のバージョン番号を設定することや、言語別の利用規約文書を作成することができます。

アプリケーションに関しては、アプリケーションを追加したり、編集したりするときに、利用規約タブを使用して利用規約

を割り当てます。

1. グループと設定 > すべての設定 > システム > 利用規約と進みます。

2. 利用規約を追加をクリックします。

3. 利用規約の名前を入力し、タイプでコンソールまたはアプリケーションを選択します。

4. 選択したタイプに応じて、バージョン番号や猶予期間等を構成します。

5. 表示されるテキストボックスに、利用規約を入力します。この画面では、基本的なテキスト形式で新しい利用規

約を作成したり、既存の利用規約をペーストしたりすることができます。外部コンテンツのテキストをペーストするに

は、テキストにHTMLやフォーマットエラーが含まれないように、テキスト入力欄を右クリックし、プレーンテキストとし

てペーストするを選択してください。


利用規約同意を閲覧する

順守ポリシーを設定して、利用規約の同意を強制する他に、誰が同意を承諾したか、あるいはまだ承諾していないか

を把握することもできます。そして必要に応じて本人に直接連絡することができます。

1. グループと設定 > すべての設定 > システム > 利用規約と進みます。

2. タイプドロップダウンメニューを使用し、規約タイプ(例 :加入)に基づいてリストを抽出します。ユーザー/デバイスカ

ラムは、デバイスが利用規約を承諾済み/未承諾/割り当て済みかどうかを表示します。

3. 利用規約の行のデバイスカラムから該当する数字を選択し、同意に関連するデバイス情報を閲覧します。オプ

ションで、その行のドロップダウンメニューにアクセスし、以下をクリックして確認します。

l デバイスまたはユーザーを閲覧 –デバイスと利用規約の承諾状況に関するすべてのデータを一覧で表示しま

す。組織グループごとに抽出することもできます。

l 旧バージョンを表示 –同意書の旧バージョンを表示します。

l 利用規約を閲覧 –利用規約同意書を閲覧します。

レポート機能を利用して利用規約同意を追跡する

利用規約のユーザー同意状況を追跡し、必要に応じて対応措置を取ることができます。

特定の組織グループの詳細情報、コンソールの承諾状況やデバイス加入の承諾状況を閲覧することもできます。利

用規約の同意状況は、AirWatchコンソールから直接閲覧することができます。また、レポートをPDF、CSVあるいは

Excel形式でエクスポートすることもできます。

1. ハブ> レポート& 分析 > レポート> リスト表示と進みます。

2. 利用規約承諾詳細レポートを探し、タイトルを選択してレポートを生成します。

3. 組織グループを選択します。

4. 利用規約タイプを選択します。


29



5. レポート形式を選択します。

6. ダウンロードをクリックし、選択した形式でレポートを保存します。

7. PDF でプレビューすることもできます。

重要 : AirWatchは、法的文書の提供は行っていません。提供されるいかなるサンプルテキストも、貴社または貴社

のリーガルチームで確認するようにしてください。

コンソールブランディング

AirWatchコンソールには、広範囲にわたるカスタマイズオプションがあります。AirWatchツールとリソースの様々な側面

を、貴社のブランドカラー、ロゴを含む全体的なデザインに沿って完全にブランディングする手段を提供します。

このブランディング機能は、マルチテナント対応構成が可能です。貴社組織の部門間でブランドデザインが異なる場合

は、それぞれの組織グループレベルでブランディングを個別に行うことができます。

詳細は、67ページの組織グループ概要を参照してください。

コンソールブランディングを構成する

コンソールをカスタマイズして、貴社のブランドカラー、ロゴを含む全体的なデザインを調整できます。

1. ブランディングしたい組織グループを選択し、グループと設定 > すべての設定 > システム > ブランディングと進みま

す。

2. ブランディングタブを構成します。

l 企業ロゴをアップロードするには、貴社のコンピュータ上に保存されているファイルをアップロードします。アップ

ロードする画像の推奨解像度は 800x300です。

l ログインページの背景画像をアップロードするには、貴社のコンピュータ上に保存されているファイルをアップロー

ドします。アップロードする画像の推奨解像度は 1024x768です。

l セルフサービスポータルログインページの背景画像をアップロードするには、貴社のコンピュータ上に保存されて

いるファイルをアップロードします。アップロードする画像の推奨解像度は 1024x768です。

3. ブランディングタブページの色セクションの値をカスタマイズします。

4. カスタム CSSタブページの設定を構成します。

l 高度なブランディングを行うには、カスタマイズしたCSSコードを入力します。


制限されたコンソール操作

AirWatchコンソールを開いたまま管理者が席を外すような場合に備え、AirWatchは、破壊的な影響を及ぼす可能性

がある操作を悪意あるユーザーからブロックする、追加の保護機能を提供しています。承認されていないユーザーは、

このような操作にアクセスできないようにします。グループと設定 > すべての設定 > システム > セキュリティ> 制限された

操作と進みます。


30



｢すべてにメッセージを送信する｣を有効にする

この設定を有効にすると、システム管理者は貴社で展開するすべてのデバイスに、デバイスリスト表示からメッセージを

送信することができます。

詳細は、179ページのデバイスリスト表示を参照してください。

パスワード保護操作を選択する

コンソールの制限された操作は、破壊的な影響を及ぼす可能性がある操作を悪意あるユーザーからブロックするため

の保護を提供します。グループと設定 > すべての設定 > システム > セキュリティ> 制限された操作と進み、制限された

操作の設定を構成します。

特定の操作に対して管理者の暗証番号の入力を必須にすることができます。保護したい操作ごとに、必要に応じて

有効または無効に対してパスワード保護処理ボタンを選択します。この機能により、保護を強化したい操作をきめ

細かく制御することができます。

注 :一部の操作には常に暗証番号の入力が必要で、無効に設定することはできません。以下では *マークが付い

ています。

試行失敗回数の上限を設定して、試行回数が上限を超えた場合はセッションを強制的にログアウトさせることができ

ます。試行回数が上限を超えた場合は、AirWatchコンソールに再度ログインし、新しいセキュリティ暗証番号を設定

する必要があります。

設定説明

管理者ア

カウント削

除

アカウント> 管理者 > リスト表示画面での、管理者ユーザーアカウントを削除する試みを防止します。

*VMwareEnterpriseSystemsConnector証明書を

再生成

グループと設定 > すべての設定 > システム > エンタープライズ統合 > VMware Enterprise SystemsConnectorで、VMware Enterprise Systems Connector証明書を再生成できないようにします。

*APNs 証明書変更

グループと設定 > すべての設定 > デバイスとユーザー > Apple > MDM 用のAPNs画面のMDM用の

APNsを無効化する試みを防止します。

アプリケー

ションを削

除する/非アクティブに

する/回収

する

アプリとブック> アプリケーション> リスト表示画面でのアプリケーションの削除/非アクティブ化/回収の試

みを防止します。


31



設定説明

コンテンツ

削除/非ア

クティブに

する

コンテンツ> リスト表示画面のコンテンツファイルを削除/非アクティブ化する試みを防止します。

*データ暗

号化トグル

グループと設定 > すべての設定 > システム > セキュリティ> データセキュリティ画面のユーザー情報暗号

化の設定を保護します。

デバイス削

除

デバイス> リスト表示画面でのデバイス削除の試みを防止します。この設定を無効にしても、一括操

作には管理者のセキュリティ暗証番号が求められます。

*デバイス

ワイプ

デバイスリスト表示あるいはデバイス詳細画面での、デバイスワイプ実行のすべて試みを防止します。

企業情報

リセット

Windows耐久性デバイス、耐久性 Androidデバイス、あるいはQNXデバイスのデバイス詳細画面から

デバイスの企業情報をリセットしようとするすべての試みを防止します。

企業情報

ワイプ

デバイスのデバイス詳細画面から行われる、企業情報ワイプのすべての試みを防止します。

ユーザーグ

ループメン

バーシップ

に基づく企

業情報ワ

イプ

ユーザーグループから削除されたデバイスに対する企業情報ワイプの試みをすべて防止します。これ

は、グループと設定 > すべての設定 > デバイスとユーザー > 全般 > 加入と進み、制限事項タブで構成

できるオプション設定です。このタブで加入を構成済みのグループのみに制限した場合、デバイスがグ

ループから削除された際の、デバイス企業情報ワイプに関する追加オプションが利用できるようになりま

す。詳細は、116ページの加入制限設定を構成するを参照してください。

*組織グ

ループの削

除

グループと設定 > グループ> 組織グループ> 組織グループ詳細画面での、現在の組織グループを削除

しようとする試みをすべて防止します。

プロファイル

削除/非ア

クティブに

する

デバイス> プロファイルとリソース> プロファイル画面でのプロファイル削除または非アクティブ化のすべて

の試みを防止します。

プロビジョニ

ングプロダ

クト削除

デバイス> 代理セットアップとプロビジョニング> プロダクトリスト表示画面でのプロビジョニングプロダクト

を削除しようとするすべての試みを防止します。

証明書取

り消し

デバイス> 証明書 > リスト表示画面での証明書を取り消そうとするすべての試みを防止します。

*セキュア

チャンネル

証明書クリ

ア

グループと設定 > すべての設定 > システム > 高度な設定 > セキュアチャンネル証明書画面で行われ

る既存のセキュアチャンネル証明書を削除しようとするすべての試みを防止します。

ユーザーア

カウント削

除

アカウント> ユーザー > リスト表示画面でのユーザーアカウントを削除しようとするすべての試みを防止

します。


32



設定説明

テレコムプ

ラン削除

テレコム > プランリスト画面のテレコムプランの削除を防止します。

ジョブログ

レベル上書

き

グループと設定 > 管理者 >診断 > ログ収集画面で行われる、現在選択中のジョブログレベルを上書

きしようとする試みを防止します。ジョブログレベルの上書きは、1台のデバイスや複数のデバイスのグ

ループに問題が発生したときに有益な機能です。問題のあるデバイスの設定を、たとえば｢詳細｣ログ

レベルなどに強制的に引き上げ、コンソールのアクティビティを最大レベルでログ収集することができるの

で、トラブルシューティングの際に役立ちます。

*アプリス

キャンベン

ダーリセッ

ト/トグル

アプリスキャン統合設定のリセット(ひいてはそれに伴うワイプ)を防止します。この操作はグループと設

定 > すべての設定 > アプリ> アプリスキャンと進んだ画面で行います。

暗証番号

の試行回

数上限

暗証番号入力を試行する際の失敗の上限回数を指定します。この回数を超えるとコンソールがロック

ダウンされます。1～ 5の間で設定する必要があります。

操作を行う際にメモの入力を義務付ける

さらに、メモの入力を要求するチェックボックスを使用して、管理者にメモを入力させ、操作を実行する理由の説明を

義務付けることができます。グループと設定 > すべての設定 > システム > セキュリティ> 制限された操作と進みます。

設定説明

デバイスロックデバイスリスト表示やデバイス詳細画面から、デバイスのロックを行う際に、メモの入力を必須にし

ます。

SSO ロックデバイスリスト表示やデバイス詳細画面からSSOセッションのロックを行う際に、メモの入力を必須

にします。

デバイスワイプデバイスリスト表示やデバイス詳細画面からデバイスワイプを実行する際に、メモの入力を必須に

します。

企業情報リ

セット

Windows耐久性デバイスあるいは耐久性 Androidデバイスのデバイス詳細画面から、企業情報

のリセットを実行する際に、メモの入力を必須にします。

企業情報ワイ

プ

デバイスのデバイス詳細画面から企業情報ワイプを実行する際に、メモの入力を必須にします。

ジョブログレベ

ル上書き

グループと設定 > 管理者 >診断 > ログ収集画面で行われる、既定ジョブログレベルの上書きの前

にメモの入力を必須にします。

統合可能なその他のエンタープライズシステム

SMTPを使用したEメール管理、ディレクトリサービス、コンテンツ管理リポジトリのような既存の企業インフラと、貴社

AirWatch環境を統合することで、より高度なMDM機能を活用することができます。

AirWatchは、以下のような内部の構成要素と統合することができます。


33



l Eメールリレー (SMTP) –モバイルEメールにセキュリティ、可視性、コントロールを提供します。

l ディレクトリサービス(LDAP/AD) –既存の企業グループを活用しユーザーとデバイスを管理します。

l Microsoft 証明書サービス– AirWatch展開に既存のMicrosoft証明書インフラを活用します。

l SCEP PKI –Wi-Fi、VPN、Microsoft EAS等に証明書を構成します。

l Eメール管理 Exchange 2010 (PowerShell) – AirWatchを企業 Eメールサーバとセキュアに接続しポリシーを適用しま

す。

l BlackBerry エンタープライズサーバ (BES) –効率的なBlackBerry管理のため、BESと統合します。

l サードパーティ証明書サービス– AirWatch管理者コンソールに管理したい証明書管理システムをインポートしま

す。

l Lotus Domino Web サービス(HTTPS) –貴社のAirWatch展開を通してLotus Dominoコンテンツと機能にアクセスし

ます。

l コンテンツリポジトリ– SharePoint、Googleドライブ、SkyDrive、ファイルサーバやネットワークシェアと統合します。

l Syslog (イベントログデータ) –統合されたすべてのサーバとシステムで閲覧したいイベントログデータをエクスポート

します。

l 企業ネットワーク–Wi-FiとVPN設定を構成し、アクセスのためのユーザー資格情報に関連するデバイスプロファイ

ルをプロビジョンします。

l システム情報とイベント管理 (SIEM) –デバイスとコンソールデータを記録/コンパイルし、セキュリティ確保と規制/企業ポリシー順守を確実に行います。

AirWatchとこれらのインフラストラクチャを統合する方法の詳細は、VMware Enterprise Systems Connector Guide(https://www.vmware.com/support/pubs/workspaceone-pubs.html から入手できます)を参照してください。また、

214ページの他の文書を入手するから入手可能なVMware Tunnel Admin ガイドおよびReports & Analytics ガイド

の｢Syslog｣セクションも参照してください。


34



第 4章:ユーザーおよび管理者アカウント

ユーザーと管理者アカウント概要 36

ユーザー認証タイプ 36

ベーシックユーザーアカウント 41

ディレクトリベースのユーザーアカウント 44

ユーザーアカウントリスト表示の概要 48

バッチインポート機能 49

管理者アカウント 52

35



ユーザーと管理者アカウント概要

ユーザーアカウントを作成し、AirWatchに加入するデバイスと統合することが必要です。同様に、管理者アカウントを

作成し、ユーザーとデバイスの管理がやりやすくなるように割り当てる必要があります。

AirWatchコンソールでは、ユーザーと管理者のインフラストラクチャを構築することができます。認証、エンタープライズ統

合、継続的なメンテナンスを構成するさまざまなオプションを提供します。

ユーザー認証タイプ

デバイスを加入させるには、事前に、各デバイスユーザーにAirWatchの正規ユーザーアカウントを割り当てる必要があ

ります。また、貴社のニーズに基づいて、ユーザー認証タイプを選択します。

ベーシックユーザー認証

ベーシック認証を使用してAirWatchアーキテクチャのユーザーを特定することができますが、この方法では、既存の企

業ユーザーアカウントとの統合はできません。

長所

l どの展開方法でも使用できる

l テクニカル統合が不要

l 企業インフラが不要

短所

l 「自動検出」では使用できません。

l 資格情報はAirWatch内のみに存在し、既存の企業資格情報と必ずしも合致しない

l セキュリティの連携がなく、シングルサインオンが利用できない

l すべてのユーザー名とパスワードはAirWatchに保存される

1. コンソールユーザーは、ローカルAirWatchアカウントを使用してAirWatch SaaSにログインし、認証 (ベーシック認証)を受けます。

l 資格情報は送信中は暗号化されます

l (例 :ユーザー名 : [email protected]、パスワード: abcd)

2. デバイスユーザーはローカルAirWatchアカウント(ベーシック認証)資格情報を使用してデバイスの加入を行いま

す。

l 資格情報は送信中は暗号化されます

l (例 :ユーザー名 : jdoe2、パスワード: 2557)

Active Directory/LDAP認証

Active Directory/LDAP (ライトウェイトディレクトリアクセスプロトコル)認証では、既存の企業アカウントとAirWatchの

ユーザーおよび管理者アカウントを統合することができます。

第 4章 :ユーザーおよび管理者アカウント

36



長所

l これで、既存の企業資格情報を使用してエンドユーザーを認証します。

l LDAP/ADとのセキュアな統合方法

l 標準的な統合方法

短所

l ADまたはその他のLDAPサーバが必要

1. デバイスは加入のためにAirWatch MDMに接続します。ユーザーは自分のディレクトリサービスのユーザー名とパス

ワードを入力します。

l ユーザー名とパスワードは送信中は暗号化されます。

l AirWatchはユーザーのディレクトリサービスパスワードを保管しません。

2. AirWatchは認証用サービスアカウントを使用し、セキュアLDAPプロトコルを使用してインターネット経由でクライア

ントのディレクトリサービスにクエリを送信します。

3. ユーザーの資格情報は、企業ディレクトリサービスに対して検証されます。

4. ユーザーの資格情報が有効であれば、AirWatchサーバはデバイスの加入を許可してプロセスを完了します。


37



VMware Enterprise Systems Connectorを使用したActive Directory/LDAP認証

VMware Enterprise Systems Connectorを使用したActive Directory/LDAP認証は、従来のAD/LDAP認証と同じ機能を

提供します。このモデルは、SaaS展開向けのクラウド全体で機能します。

長所

l 既存の企業資格情報を使用してエンドユーザーを認証

l 通信が貴社ネットワーク内のVMware Enterprise Systems Connectorから開始されるため、ファイアウォールの設定

変更が不要

l 資格情報を暗号化しセキュアに送信

l BES、Microsoft ADCS、SCEPや SMTPサーバといった他のインフラにもセキュアな構成を提供

短所

l ファイアウォールの背後またはDMZ内へのVMware Enterprise Systems Connectorのインストールが必要

l 追加構成が必要

SaaS 展開モデル

オンプレミス展開モデル

AirWatch環境とこれらのインフラストラクチャを統合する方法の詳細は、VMware Enterprise Systems Connector Guide(https://www.vmware.com/support/pubs/workspaceone-pubs.html から入手できます)を参照してください。


38



認証プロキシ

認証プロキシは、クラウドまたは強化された内部ネットワークにディレクトリサービス統合を提供します。このモデルでは、

AirWatch MDMサーバは、Exchange ActiveSyncサーバ、または、パブリックネットワークに面したWebサーバと通信しま

す。また、ユーザーはドメインコントローラに対して認証されます。

長所

l クラウド全体を通してAD/LDAPとプロキシ統合するセキュアな方法を提供

l 既存の企業資格情報でエンドユーザーを認証

l 構成の必要性を最小に押さえた軽量モジュール

短所

l AD/LDAPサーバと結び付けられたパブリックに面したWebサーバまたは Exchange ActiveSyncサーバが必要

l また、特定のアーキテクチャでのみ使用が可能

l VMware Enterprise Systems Connectorに比べて堅牢性が大幅に低い

1. デバイスは加入のためにAirWatchに接続します。ユーザーは自分のディレクトリサービスのユーザー名とパスワード

を入力します。

l ユーザー名とパスワードは送信中は暗号化されます。

l AirWatchはユーザーのディレクトリサービスパスワードを保管しません。

2. AirWatchはユーザー名とパスワードを(ベーシック認証のような)認証が必要な構成済みの認証プロキシエンドポイ

ントにリレーします。

3. ユーザーの資格情報は、企業ディレクトリサービスに対して検証されます。

4. ユーザーの資格情報が有効であれば、AirWatchサーバはデバイスの加入を許可してプロセスを完了します。


39



SAML 2.0認証

SAML (Security Assertion Markup Language) 2.0認証は、シングルサインオンをサポートし、統合された認証を提供しま

す。AirWatchは、いかなる企業資格情報も受け取りません。SAMLアイデンティティプロバイダサーバを使用している場

合は、SAML 2.0統合を利用してください。

長所

l シングルサインオン機能を提供

l 既存の企業資格情報を使用した認証

l AirWatchがプレーンテキストで企業資格情報を受け取ることはない

短所

l 企業 SAMLアイデンティティプロバイダインフラが必要

1. デバイスは加入のためにAirWatchに接続します。AirWatchサーバはデバイスをクライアント指定のアイデンティティ

プロバイダにリダイレクトします。

2. デバイスはHTTPSを使用して、クライアントにより提供されたアイデンティティプロバイダにセキュアに接続します。

ユーザーは資格情報を入力します。

l 資格情報は、デバイスとSAMLエンドポイントの間で直接送信される際、暗号化されます。

3. 資格情報はディレクトリサービスに対して検証されます。

4. アイデンティティプロバイダは、認証済みのユーザー名を伴った署名済みのSAML応答を返します。

5. デバイスは、AirWatchサーバに応答を返し、署名済みのSAMLメッセージを提示します。ユーザー認証が完了しま

す。

詳細は、214ページの他の文書を入手するから入手可能なVMware AirWatch Product Provisioning and Staging ガ

イドを参照してください。


40



トークンベース認証

トークンベース認証はユーザーにとって最も簡単なデバイス加入方法です。この加入方法を使用する場合、AirWatchはトークンを生成し、加入 URL内に配置します。

シングルトークン認証では、ユーザーは加入を完了するためにデバイスからリンクにアクセスし、AirWatchサーバはユー

ザーが提供するトークンを参照します。

セキュリティを強化するため、各トークンに有効期限 (単位 :時間)を設定してください。これにより、別のユーザーがその

デバイス上の利用可能な情報や機能にアクセスしてしまう可能性を、最小限に抑えることができます。

また二要素認証を実装し、エンドユーザー識別確認のステップを加えることもできます。この認証設定では、ユーザー

は、加入リンクにアクセスして提供されたトークンとユーザー名およびパスワードを入力する必要があります。

長所

l デバイスの加入/認証の際のエンドユーザーへの負担が最も少ない方法です。

l 有効期限を設けることで、トークンをセキュアに使用できます。

l シングルトークン認証にはユーザー資格情報は不要です。

短所

l デバイスにトークンを送信するために、簡易メール転送プロトコル(SMTP)、あるいはショートメッセージサービス

(SMS) 統合が必要です。

1. 管理者がユーザーのデバイス登録を承認します。

2. シングルユーザー用のトークンが生成され、AirWatchからユーザーに送信されます。

3. トークンを受け取ったユーザーは、加入 URLを開きます。トークンを入力するよう、ユーザーにプロンプトが表示され

ます。(オプションで二要素認証を要求することもできます)

4. デバイスの加入プロセスが開始します。

5. AirWatchはトークンを期限切れとマークします。

注 : SaaS展開には SMTPが含まれています。

加入のセキュリティタイプを有効にする

AirWatchを、選択したユーザーセキュリティタイプと統合したら、加入処理の前に、許可する認証モードのそれぞれを

有効にします。

デバイス> デバイス設定 > デバイスとユーザー > 全般 > 加入と進み、認証タブの認証モード設定の該当項目に

チェックを入れます。

ベーシックユーザーアカウント

AirWatchをディレクトリサービスと統合していない場合、エンドユーザーに対するベーシックユーザーアカウントを

AirWatch内に作成します。ベーシックユーザーアカウントはテスト用としても役立ちます。つまり、手軽に作成し、不要


41



になったら手軽に削除することができます。詳細は、92ページのベーシック加入とディレクトリサービスによる加入を参照

してください。

長所




短所

l 資格情報はAirWatch内のみに存在し、既存の企業資格情報と必ずしも合致しない

l セキュリティの連携がない

l シングルサインオンがサポートされていない

l すべてのユーザー名とパスワードはAirWatchに保存されます。

ベーシックユーザーアカウントを作成する

認証を受けてAirWatchシステムにログインする必要がある各ユーザーに対して、ベーシックユーザーアカウントを作成で

きます。次に、ベーシックユーザーに、パスワードをリセットするためのリンク(有効期限 24時間)とアカウントをアクティブ

化するための手順が含まれた通知を送信できます。

ここでは、ユーザーアカウントを一度に1つ作成する方法を説明します。

1. アカウント> ユーザー > リスト表示と進み、追加、次にユーザーを追加を選択します。ユーザーを追加/編集画面

が表示されます。

2. 全般タブで次の各設定を入力し、ベーシックユーザーを追加します。

設定説明

セキュリティ

タイプ

ベーシックを選択し、ベーシックユーザーを追加します。

ユーザー名追加しようとしている新しいユーザーの識別に使用するユーザー名を入力します。

パスワードユーザーがログインに使用するパスワードを入力します。

パスワードを

再入力

パスワードを再入力します。

氏名ユーザーの名、ミドルネーム、姓を(この順番で)入力します。

表示名名前を入力して、AirWatchコンソールにユーザーを表示します。

Eメールアド

レス

ユーザーのEメールアドレスを入力/編集します。

Eメールユー

ザー名

ユーザーのEメールユーザー名を入力/編集します。

ドメインドロップダウンメニューからEメールドメインを選択します。


42



設定説明

電話番号 +マーク、国番号、市外局番を含んだ形式で、ユーザーの電話番号を入力します。通知の送信

にSMSを使用する予定の場合、このフィールドに値を指定します。

加入

加入組織グ

ループ

ユーザーが加入する組織グループを選択します。

追加の組織

グループに

ユーザーが

加入すること

を許可

二つ以上の組織グループにユーザーが加入することを許可するかを選択します。有効を選択す

る場合は、追加の組織グループドロップダウンメニューの値を指定します。

ユーザー役

割

このドロップダウンメニューから追加中のユーザーの役割を選択します。

通知

メッセージタ

イプ

ユーザーに送信するメッセージのタイプをEメール、SMS、なしから選択します。SMSを選択する場

合は、上の電話番号欄に有効なデータを入力する必要があります。

メッセージテ

ンプレート

ベーシックユーザーは、この通知を使用してアカウントをアクティブ化します。セキュリティ上の理由

から、通知にはユーザーのパスワードが表示されません。代わりに、パスワードをリセットするための

リンクが含まれています。ベーシックユーザーはこのリンクを選択して別のパスワードを定義します。

このパスワードをリセットするためのリンクは、24時間で自動的に期限が切れます。

このドロップダウンメニューで、Eメールメッセージまたは SMSメッセージ用のテンプレートを選択しま

す。または、オプションでメッセージプレビューを選択してテンプレートを閲覧したり、メッセージテン

プレートを構成するを選択して新しいテンプレートを作成したりすることもできます。


43



3. オプションで、高度な設定タブを選択し、以下の項目を設定することができます。

設定説明

高度な情報セクション

Eメールパスワード追加しているユーザーのEメールパスワードを入力します。

Eメールパスワード再入

力

追加しているユーザーのEメールパスワードを再入力します。

ユーザープリンシパル名ベーシックユーザーのプリンシパル名を入力します。このフィールド値の指定は任意で

す。

カテゴリ追加しているユーザーのユーザーカテゴリを選択します。

部署ユーザーの部署を入力します。事務管理目的で使用されます。

従業員 ID ユーザーの社員 IDを入力します。事務管理目的で使用されます。

コストセンターユーザーのコストセンターを入力します。事務管理目的で使用されます。

証明書セクション

S/MIME を使用する S/MIME (Secure/Multipurpose Internet Mail Extensions)の使用を有効化/無効化しま

す。

有効に設定した場合、S/MIMEが有効であるプロファイルが必要になり、また、アップ

ロードを選択してS/MIME証明書をアップロードする必要があります。

別の暗号化証明書暗号化証明書を有効化/無効化します。

有効に設定した場合、アップロードを使用して暗号化証明書をアップロードする必要

があります。一般的に、別の証明書が明示的に使用されていない限り、同一の

S/MIME証明書が署名と暗号化に使用されます。

旧版の暗号化証明書暗号化証明書の旧バージョンを有効化/無効化します。

有効に設定した場合、暗号化証明書をアップロードする必要があります。

代理セットアップセクション

デバイス代理セットアップ

を有効にする

デバイスの代理セットアップを有効化/無効化します。

有効に設定した場合、シングルユーザーデバイスとマルチユーザーデバイスから選

択する必要があります。シングルユーザーデバイスでは、ユーザー自身がログインを行

う標準と、他のユーザーに代わってデバイスを加入させる高度から選択する必要が

あります。詳細は、98ページのセルフサービスの加入とデバイスの代理セットアップを参

照してください。

4. 保存を選択し、新しいユーザーのみを保存することも、保存してデバイスを追加を選択して、新しいユーザーを保

存してデバイスを追加画面に進むこともできます。

ディレクトリベースのユーザーアカウント

AirWatchを既存のディレクトリサービスと統合した場合、ユーザーを自動的に取り込むことができます。これにより、

AirWatchコンソールにユーザーを手動で追加する必要がなくなります。詳細は、92ページのベーシック加入とディレクト

リサービスによる加入を参照してください。


44



AirWatchモバイルデバイス管理 (MDM)で管理するすべてのディレクトリユーザーについて、AirWatchコンソール内に対

応するユーザーアカウントが必要です。

以下のいずれかの方法で、既存のディレクトリサービスユーザーを直接 AirWatchに追加することができます。

l すべてのディレクトリサービスユーザーを含むファイルを一括でアップロードする。一括インポート操作により、自動的

にユーザーアカウントが作成されます。

l ディレクトリユーザーのユーザー名を入力してユーザー名を確認を選択し、残りの詳細を自動挿入させる方法で、

ユーザーアカウントを1つずつ作成する。

l 一括インポートも手動によるユーザーアカウント作成も行わず、その代わり、すべてのディレクトリサービスユーザー

に対して、加入プロセスでの自己加入を許可する。

長所

l 既存の企業資格情報を使用してエンドユーザーを認証

l ディレクトリシステムにおける変更内容を自動検出し、AirWatchシステムに自動的に反映させることができます。

l セキュアな方法で既存のディレクトリサービスと統合できます。


l VMware Enterprise Systems Connectorを使用するSaaS 展開では、ファイアウォールの変更が不要で、Microsoft ADCS、SCEP、SMTPサーバ

などの他のインフラストラクチャに対してセキュアな構成を提供できます。

短所

l 既存のディレクトリサービスインフラストラクチャが必要です。

l SaaS展開では、VMware Enterprise Systems Connectorをファイアウォールの内側またはDMZ内にインストールする

必要があるため、追加の構成作業が必要です。

ディレクトリベースのユーザーアカウントを作成する

ユーザーのそれぞれに対し、AirWatchシステムにアカウントを作成する必要があります。ディレクトリユーザーは貴社の既

存の企業資格情報を使って認証を行います。ここでは、ユーザーアカウントを一度に1つ作成する方法を説明しま

す。

1. アカウント> ユーザー > リスト表示と進み、追加、次にユーザーを追加を選択します。ユーザーを追加/編集画面



45



2. 全般タブで次の各設定を入力し、ディレクトリユーザーを追加します。

設定説明

セキュリティタイ

プ

Active Directoryユーザーを追加するため、ディレクトリを選択します。

ディレクトリ名この事前入力済みのフィールド値はActive Directory名を示します。

ドメインドロップダウンメニューからドメイン名を選択します。

ユーザー名ユーザーのディレクトリユーザー名を入力し、ユーザーを確認をクリックします。システムに合致す

る情報が見つかった場合、ユーザー情報は自動的に入力されます。このセクション内の以降の

フィールド値は、ユーザーを確認ボタンを使用してActive Directoryユーザーを確認できた後に

のみ、指定可能になります。

氏名属性を編集を使用して、ディレクトリから空白値が返されたフィールドの値を編集することがで

きます。また、合致するユーザーの情報を自動入力することもできます。

フィールド値がディレクトリ内の実際の値を反映している場合、ディレクトリ側で値を編集する必

要があります。変更結果は次回の同期処理時に反映されます。氏名で、ディレクトリから空

白で戻った項目を入力し、追加分を保存するため属性を編集を選択します。

表示名管理者コンソールに表示する名前を入力します。

Eメールアドレ

ス

ユーザーのEメールアドレスを入力/編集します。

Eメールユー

ザー名

ユーザーのEメールユーザー名を入力/編集します。

ドメイン(Eメー

ル)ドロップダウンメニューからEメールドメインを選択します。

電話番号 +マーク、国番号、市外局番を含んだ形式で、ユーザーの電話番号を入力します。通知の送

信にSMSを使用する予定の場合、電話番号は必須です。

加入

加入組織グ

ループ

ユーザーが加入する組織グループを選択します。

追加の組織グ

ループにユー

ザーが加入す

ることを許可

ユーザーが二つ以上の組織グループに加入することを許可するかどうかを選択します。有効を

選択する場合は、追加の組織グループに入力します。

ユーザー役割このドロップダウンメニューから追加中のユーザーの役割を選択します。

通知

メッセージタイ

プ

ユーザーに送信するメッセージのタイプをEメール、SMS、なしから選択します。SMSを選択する

場合は、上の電話番号欄に有効なデータを入力する必要があります。

メッセージテン

プレート

このドロップダウンメニューで、Eメールメッセージまたは SMSメッセージ用のテンプレートを選択し

ます。または、メッセージプレビューを選択してテンプレートを閲覧したり、メッセージテンプレート

を構成するを選択してテンプレートを作成したりすることもできます (任意)。


46



3. オプションで、高度な設定タブを選択し、以下の項目を設定することができます。

設定説明

高度な情報セクション

Eメールパス

ワード

追加しているユーザーのEメールパスワードを入力します。

Eメールパス

ワード再入力

追加しているユーザーのEメールパスワードを再入力します。

識別名ディレクトリユーザーをVMware AirWatchに認識させる場合は、この項目にはユーザーの識別名

が自動入力されます。識別名は、Active Directoryユーザーに関連付けられたユーザー名とその

すべての権限コードを示す文字列です。

マネージャ識

別名

ユーザーの上司の識別名を入力します。この欄は必須項目ではありません。

カテゴリ追加しているユーザーのユーザーカテゴリを選択します。

部署ユーザーの部署を入力します。貴社での事務管理目的で使用されます。

従業員 ID ユーザーの従業員 IDを入力します。貴社での事務管理目的で使用されます。

コストセン

ター

ユーザーのコストセンターを入力します。貴社での事務管理目的で使用されます。

カスタム属性

1-5 (ディレクト

リユーザーの

み)

該当する場合、事前構成済みのカスタム属性を入力します。これらのカスタム属性を定義する

には、グループと設定 > すべての設定 > デバイスとユーザー > 高度な設定 > カスタム属性と進

みます。

注 :カスタム属性は、カスタマー組織グループのみで構成できます。

証明書セクション

S/MIME を使

用する

S/MIMEの使用を有効または無効にします。有効に設定した場合、S/MIMEが有効であるプロ

ファイルが必要になり、また、アップロードを選択してS/MIME証明書をアップロードする必要があ

ります。

別の暗号化

証明書

別の暗号化証明書の使用を有効または無効にします。有効に設定した場合、アップロードを

使用して暗号化証明書をアップロードする必要があります。一般的に、別の証明書が明示的

に使用されていない限り、同一のS/MIME証明書が署名と暗号化に使用されます。

旧版の暗号

化証明書

暗号化証明書の旧バージョンを有効化/無効化します。有効に設定した場合、暗号化証明

書をアップロードする必要があります。

代理セットアップセクション

デバイス代理

セットアップを

有効にする

デバイスの代理セットアップを有効化/無効化します。

有効に設定した場合、シングルユーザーデバイスとマルチユーザーデバイスから選択する必

要があります。

シングルユーザーデバイスでは、ユーザー自身がログインを行う標準と、他のユーザーに代わっ

てデバイスを加入させる高度から選択する必要があります。


47



4. 保存を選択し、新しいユーザーのみを保存することも、保存してデバイスを追加を選択して、新しいユーザーを保

存してデバイスを追加画面に進むこともできます。

ディレクトリユーザーをAirWatchに追加する手順は、214ページの他の文書を入手するから入手可能なVMwareAirWatch Directory Services ガイドを参照してください。

ユーザーアカウントリスト表示の概要

アカウント> ユーザー > リスト表示と進むと表示されるリスト表示画面は、一般的なアカウントメンテナンスと維持のた

めの有益なツールを提供します。

リスト表示をカスタマイズする

ユーザーアカウントリスト表示を使用して、ユーザーリストをすばやくカスタマイズすることができます。また、貴社にとって

最も重要な基準に基づいて、画面レイアウトをカスタマイズすることができます。さらに、後で分析するためにこのカスタ

マイズしたリストをエクスポートしたり、新しいユーザーを個別にまたは一括で追加したりできます。

操作説明

フィル

タ

以下のようなフィルタを使用して、必要なユーザーのみを閲覧します。

l セキュリティタイプ l ユーザーグループ

l 加入組織グループ l ユーザー役割

l 加入状態

追加 l ユーザーを追加 –ベーシックユーザーアカウントを1つずつ追加します。任意の従業員や異動により

MDM機能へのアクセスが必要になった従業員を追加します。詳細は、82ページのユーザーをユーザー

グループに追加するを参照してください。

l バッチインポート–コンマ区切り値 (CSV)ファイルをインポートして複数のユーザーをAirWatchに追加しま

す。一意な名前と説明を入力し、複数のユーザーを一度にグループ化して整理します。詳細は、49ペー

ジのユーザーまたはデバイスをバッチインポートするを参照してください。

レイ

アウ

ト

カラムの配置をカスタマイズします。

l 概要 –既定のカラムと表示設定のリスト表示を閲覧します。

l カスタム–リスト表示から表示したいカラムのみを選択します。選択したカラムを、現在の組織グループ、

またはそのサブ組織グループのすべての管理者に適用することもできます。

並べ

替え

リスト表示 (概要とカスタムレイアウトの両方)のほとんどのカラムは、デバイス、ユーザーグループ、加入組織

グループを含め、並べ替えることができます。

エク

ス

ポー

ト

リスト表示全体をCSV (コンマ区切り値)ファイルで保存しExcelで表示/分析します。

ユーザーアカウントを管理する

リスト表示の各ユーザーアカウントの左側には、チェックボックスがあります。「一般情報」カラムのハイパーリンク付き

ユーザー名を選択して、ユーザーの詳細を表示します。詳細は、80ページのユーザー詳細情報にアクセスするを参照


48




編集アイコンでユーザーアカウントに基本的な変更を加えることができます。チェックボックスを1つ選択すると、メッ

セージを送信、デバイスを追加、その他のアクションの3個のアクションボタンが表示されます。

チェックボックスを使用して複数のユーザーアカウントを選択することもできます。その場合、利用できるアクションが変わ

ります。

操作説明

メッセージを

送信

個別ユーザーまたはユーザーのグループにサポートを即時に提供します。ユーザーアクティブ化 (ユー

ザーテンプレート) Eメールをユーザーに送信し、加入資格情報を通知します。

プリンタを追

加

選択したユーザーにデバイスを追加します。ユーザーを1人選択したときにのみ利用できる機能です。

その他のア

クション

次のオプションが表示されます。

ユーザーグ

ループに追加

選択したユーザーを新しいユーザーグループ、または既存のユーザーグループに追加してシンプルにユーザー管理を行いま

す。詳細は、81ページのユーザーグループリスト表示および 79ページのユーザーグループ権限を編集するを参照してくださ

い。

ユーザーグ

ループから削

除する

選択したユーザーを既存のユーザーグループから削除します。

組織グループ

を変更

ユーザーを別の組織グループに手動で移動します。ユーザーの役職変更、昇進時や、オフィスの場所や地域が変更された

時など、利用可能なコンテンツ、権限と制限を更新します。

削除組織のメンバーが退職または解雇された場合に、ユーザーアカウントを素早く完全に削除できます。

アクティブ化ユーザーが職場や部門に復帰した際にアカウントをアクティブ化します。

非アクティブ化ユーザーの状態が不明か、順守違反またはデバイスの紛失/盗難時などに、ユーザーを非アクティブにします。

バッチインポート機能

多数のユーザーをAirWatchに追加する場合、ユーザーとユーザーグループをバッチ作成することや、ユーザーとユーザー

グループをディレクトリサービスからバッチインポートすることができます。

バッチインポートの実行とは、コンマ区切り値形式で提供されるAirWatchテンプレートを作成することです。貴社独自

のデータを入力し、完全なテンプレートをアップロードします。

外部 LDAP/AD ユーザーディレクトリ内の変更

ユーザー、ユーザーグループのバッチリストをアップロードした後は、貴社の外部 LDAP/ADユーザーディレクトリにおける

変更内容は、AirWatchに反映されません。これらのユーザーとユーザーグループの変更は、手動で更新するか、または

新しいバッチとして再度アップロードしてください。

ユーザーまたはデバイスをバッチインポートする

時間を節約するため、複数のLDAP (Lightweight Directory Access Protocol)/AD (Active Directory)ユーザーとデバイスを

AirWatchコンソールにバッチインポートできます。

1. アカウント> ユーザー > バッチの状態またはデバイス> ライフサイクル > 加入状態 > 追加と進み、バッチインポー

トを選択します。


49



2. AirWatchコンソールで、バッチ名やバッチの説明などの基本情報を入力します。

3. 該当するバッチタイプをバッチタイプドロップダウンメニューから選択します。

4. 実行するバッチインポート処理の種類に最も適したテンプレートを選択し、ダウンロードします。

ブラックリストデバイス– IMEI、シリアル番号、またはUDIDを使用して、既知の非順守デバイスのリストをインポート

します。ブラックリストデバイスを加入させることはできません。ブラックリストデバイスを加入させようとすると、自動的

にブロックされます。

ホワイトリストデバイス– IMEI、シリアル番号、またはUDIDを使用して、承認済みデバイスをインポートします。既

知の信頼済みデバイスのリストをインポートするには、このインポート処理を使用します。デバイスに関連付けられ

ている所有形態とグループIDは、加入時にデバイスに自動適用されます。

ユーザー/デバイス－ CSVテンプレートの種類として、シンプルまたは高度を選択します。｢シンプル｣テンプレートに

は、使用頻度の高いカラムだけがあります。｢高度｣テンプレートには、すべてのカラムがあります。

5. CSVファイルを開きます。このファイルには行が1つだけあり、デバイスのサンプルデータが入力されています。この

CSVファイルには、｢ユーザーを追加/編集｣画面に表示されるフィールドに対応するカラムがあります。グループ IDカ

ラムは、ユーザーを追加/編集画面の加入組織グループフィールドに対応します。

ユーザーが加入組織グループに属しているかどうかを確認できます。

a. グループと設定 > すべての設定 > デバイスとユーザー > 全般 > 加入と進み、グループ化タブを選択します。

b. グループ ID 割り当てモードで既定が選択されている場合、ユーザーは加入組織グループに属しています。

c. ディレクトリベースの加入の場合、各ユーザーのセキュリティタイプをディレクトリに設定します。

6. 貴社組織のユーザーのデータを入力します。デバイス情報がある場合は、デバイス情報も入力します。ファイルを

保存します。

7. ｢バッチインポート｣画面に戻り、ファイルを選択を選択し、データを入力したCSVファイルを探してアップロードしま

す。


ユーザーグループをバッチインポートする

時間を節約するため、複数のLDAP (Lightweight Directory Access Protocol)/AD (Active Directory)ユーザーグループを

AirWatchコンソールにバッチインポートできます。

1. アカウント> ユーザーグループ> リスト表示と進み、追加をクリックします。

2. バッチインポートを選択します。

3. AirWatchコンソールで、バッチ名やバッチの説明などの基本情報を入力します。

4. バッチファイル (.csv)の下でファイルを選択ボタンを選択して、インポートの準備が整った作成済みのCSVファイル

を指定してアップロードします。

5. または、このバッチタイプ用のテンプレートをダウンロードするのリンクをクリックしてCSV (コンマ区切り値)形式ファイ

ルを保存し、新しいインポートファイルの準備に利用します。

l CSVファイルを開きます。このファイルには、ユーザーグループを追加画面に表示される各フィールドに対応する

カラムがあります。アスタリスクのついた項目は必須です。データを入力する必要があります。ファイルを保存しま


50



す。

l CSVファイルテンプレートの最後のカラムの見出しは、｢GroupID/Manage(Edit and Delete)/Manage(Users andEnrollment)/UG assignment/Admin Inheritance｣となっています。このカラムの見出しは、ユーザーグループの編

集画面の権限タブの設定に対応しており、そのロジックに準拠します。

6. インポートを選択します。

7. バッチインポートが正常に完了しなかった場合は、アカウント> バッチの状態と進み、エラーを閲覧してトラブル

シューティングを行います。特定のバッチインポートエラーを表示するには、エラーリンクをクリックします。

ベーシックユーザーをバッチインポートで編集する

バッチインポート機能を用いて、ユーザーを、ユーザー単位ではなくグループ単位で編集し移動させることもできます。こ

の手順を実行するには、ユーザーがAirWatchに存在している必要があります。CSVファイル内の次のカラム値を編集

し、バッチインポート機能を利用してこのファイルをアップロードします。

l パスワード(ベーシックのみ)

l 名

l ミドルネーム

l 姓

l Eメールアドレス

l 電話番号

l 携帯電話番号

l 部門

l Eメールユーザー名

l Eメールパスワード

l 承認された組織グループ(対応するグループIDとその下位のみ)

l 加入ユーザーカテゴリ(ユーザーからアクセス可能なカテゴリを設定して

ください。そうでない場合、0に設定されます)

l 加入ユーザー役割 (ユーザーからアクセス可能な役割を設定してくだ

さい。そうでない場合、組織グループの既定役割が設定されます)

これらのベーシックユーザーの編集は、36ページのベーシックユーザー認証および39ページの認証プロキシにのみ適用

されます。

ユーザーをバッチインポートで移動する

バッチインポート機能を用いて、ユーザーグループを別の組織グループに移動させることもできます。

1. バッチインポート画面から、AirWatchコンソールで使用するバッチ名、バッチの説明を含む基本情報を入力しま

す。

2. テンプレートリストで組織グループの変更を選択し、CSVファイルを、アクセス可能な場所に保存します。

3. ユーザーの現在の組織グループのグループ ID、移動するユーザーのユーザー名、および、移動先組織グループの

ターゲットグループ IDを入力します。

4. AirWatchコンソールのバッチインポート画面に戻り、ファイルを選択をクリックし、保存したCSVファイルをアップロード

して開くをクリックします。



51



管理者アカウント

管理者アカウントを使用することで、モバイルデバイス管理 (MDM)設定のメンテナンス、機能やコンテンツのプッシュ、

アクセスの取り消しその他の様々な操作を、一元化されたAirWatchコンソールから行うことができます。

また、一時的な管理者アカウントを使用すると、AirWatchコンソール内のリモートアシスタンス機能を利用できます。

一時的な管理者アカウントには有効期限を構成することもできます。このアカウントを使用して、通常は常設の管理

者アカウント保持者にのみ許可されるエリアへのアクセスを許可することができます。

管理者アカウントを作成する

管理者リスト表示画面から管理者アカウントを追加すると、AirWatchコンソールの高度な機能にアクセスできるように

なります。コンソールをメンテナンスし監視するそれぞれの管理者に個別のアカウントを作成する必要があります。

1. アカウント> 管理者 > リスト表示と進み、追加の項目から管理者を追加を選択します。管理者を追加/編集

画面が表示されます。

2. ベーシックタブの下のユーザータイプフィールドで、ベーシックまたはディレクトリを選択します。

l ベーシックを選択した場合は、ユーザー名、パスワード、氏名などベーシックタブのすべての必須項目を入力

します。

l 配信方法にEメールかSMSを選択する場合に二要素認証を有効にし、トークンの有効期限を数分に設定

できます。

l なし、Eメール、SMSを選択する場合は、通知オプションを選択することもできます。管理者は、自動生成され

た応答を受信します。

l ディレクトリを選択した場合は、ドメインと管理者ユーザーのユーザー名を入力します。

3. 詳細タブに、必要に応じて追加の情報を入力します。

4. 役割タブに進み、組織グループを選択し、新しい管理者に割り当てる役割を選択します。役割を追加を使用

して新しい役割を追加します。

5. APIタブを選択し、認証タイプを選択します。

6. メモタブに、管理者ユーザーに対するメモを入力します。

7. 保存をクリックし、割り当てられた役割を持つ管理者アカウントを作成します。


52



一時的な管理者アカウントを作成する

サポート、デモンストレーションや期間限定のユースケース用に、貴社環境への管理者アクセスを一時的に許可するこ

とができます。

1. アカウント> 管理者 > リスト表示と進み、追加を選択します。一時的な管理者を追加オプションを選択します。

または

ヘルプボタンをクリックし、一時的な管理者を追加を選択します。

2. ベーシックタブから、Eメールアドレスまたはユーザー名に基づき一時的な管理者アカウントを追加し、以下の設

定を入力します。

設定説明

Eメールアドレ

ス

一時的な管理者がベースとするEメールアドレスを入力します。｢Eメールアドレス｣ラジオボタン

を選択したときのみ表示されます。

ユーザー名一時的な管理者がベースとするユーザー名を入力します。｢ユーザー名｣ラジオボタンを選択し

たときのみ指定できます。

パスワード、パ

スワード再入

力

Eメールアドレスまたはユーザー名に対応するパスワードを入力し、確認のために再入力しま

す。

有効期限有効期限を選択します。既定設定は 6時間です。このドロップダウンメニューを非アクティブ

に設定してアカウントを作成し、後からアカウントをアクティブ化することも可能です。

チケット番号オプションで、参照のためのマーカーとしてZenDeskのチケット番号を追加することもできます。

3. 役割タブでは、一時的管理者アカウントに関連する役割の追加と削除を行います。

a. 役割を追加ボタンをクリックして役割を追加し、次に、一時的管理者アカウントが適用される組織グループと

役割を選択します。

b. 既存の役割を編集するには、編集アイコン()をクリックし、別の組織グループと役割を選択します。

c. 役割を削除するには削除アイコン()をクリックします。


管理者アカウントを管理する

管理者アカウントを継続的に保守および維持するための主要な管理機能を利用するには、アカウント> 管理者 > リ

スト表示と進みます。

ユーザー名カラムのハイパーリンク付きテキストを選択して、管理者を追加/編集画面を表示します。この画面では、

割り当てられている役割をすばやく更新したり、貴社内における役割をすばやく変更したりして、ユーザーの特権を最

新の状態に維持することができます。また、管理者の概要情報を修正すること、および、パスワードを変更することがで

きます。


53



管理者リストにフィルタを適用することにより、すべての役割の管理者を表示することや、特定の役割の管理者だけを

表示することができます。

管理者ユーザー名の隣にあるラジオボタンをオンにして、その管理者に適用できるアクションボタンを表示します。

l 履歴を表示 –管理者がいつAirWatchコンソールにログイン/ログアウトしたかを追跡できます。

l 非アクティブ化 –管理者アカウントの状態をアクティブから非アクティブに変更します。この機能を利用することによ

り、管理機能と管理特権を一時的に無効化できます。同時に、後で使用できるように、管理者アカウントに割り

当てられている役割を保持することができます。

l アクティブ化 –管理者アカウントの状態を非アクティブからアクティブに変更します。

l 削除 –正当なユーザー以外はAirWatchコンソールにアクセスできないようにします。管理者が辞職した際は直ち

にユーザーアカウントをキャンセルおよび削除し、管理者特権を取り消します。

l パスワード変更 –ベーシック管理者アカウントまたは一時管理者アカウントのパスワードを変更します。


54



第 5章:役割ベースのアクセス

役割ベースのアクセス概要 56

既定役割とカスタム役割 56

ユーザー役割 58

管理者役割 59

55



役割ベースのアクセス概要

AirWatchコンソールでは、管理者により作成された役割に基づいて、ユーザー加入プロセス中に個々のユーザーまたは

グループに応じた様々なアクセスレベルを定義することができます。

たとえば、貴社のヘルプデスク管理者にはコンソールに限定されたアクセス権限を与え、IT管理者にはより広い範囲の

権限を与えます。

役割ベースのアクセス制御を有効にするには、最初にAirWatchコンソールで、管理者役割とユーザー役割をセットアッ

プする必要があります。特定のリソース(権限と呼ばれるもの)で、これらの役割を定義できます。このリソースにより、

AirWatchコンソール内の様々な機能へのアクセスを有効または無効にすることができます。役割はまた、セルフサービス

ポータルにアクセスが必要なエンドユーザー用に作成することもできます。

既定役割とカスタム役割

AirWatchにはいくつかの既定役割が設定されており、リストから適切なものを選択して使うことができます。既定役割

はすべてのAirWatchアップグレードを通して利用可能で、新しいユーザーに役割を割り当てる際に便利です。カスタマ

イズが必要であれば、カスタム役割を作成しユーザー特権と権限を調整することができます。既定役割とは異なり、カ

スタム役割はAirWatchがアップグレードされるたびに手動でアップデートする必要があります。

それぞれの役割タイプの長所と短所を検討していただく必要があります。既定役割は、新しい役割を最初から構成す

るのに比べ時間を節約することができ、様々な管理者特権に論理的に対応するように設定済みです。また、

AirWatchの新機能と設定更新に伴い、自動的に更新されるという利点があります。しかし、既定の役割が貴社組織

またはMDM展開にとって最適ではない場合もありますので、役割のカスタマイズもできるようになっています。

既定のエンドユーザー役割

AirWatchコンソールでは、エンドユーザーに対して既定で利用できる役割があります。

l フルアクセスの役割 –セルフサービスポータル上ですべてのタスクを実行するための権限をすべて与えられた役割で

す。

l ベーシックアクセスの役割 –セルフサービスポータルで実行するMDMコマンド以外のすべての権限を与えられた役

割です。

カスタム役割を作成することにより、必要に応じて独自の役割をカスタマイズでき、ユーザーや管理者別に様々な微

調整を行うことができます。カスタム役割は、継続的なメンテナンスと、新機能導入時には手動による更新が必要で

す。

既定役割を編集してカスタムユーザー役割を作成する

貴社組織で必要とされるユーザーリソースに適した役割が既定役割にない場合、既存の役割を編集してカスタム役

割を作成することをご検討ください。

1. 新しい役割を関連付けようとしている組織グループレベルで操作していることを確認してください。

2. アカウント> ユーザー > 役割と進みます。

3. 作成したい役割に最もよく合致するものをリストの役割から探します。次に、その役割を編集するため、

右端にある編集アイコン( )を選択します。役割を追加/編集画面が表示されます。

第 5章 :役割ベースのアクセス

56



4. 必要に応じ名前、説明と最初のランディング画面欄を変更します。チェックボックスを確認します。それぞれの

チェックボックスは様々な権限を表しています。必要に応じてチェックを入れます。

5. 保存をクリックして変更を保存します。役割の以前の設定は、新しい設定により上書きされます。

既定の管理者役割

AirWatchコンソールで管理者が既定で使用できる役割には、以下のものがあります。2つの管理者役割の権限を比

較するには、管理者役割比較ツールを使用してください。詳細は、64ページの管理者役割を比較するを参照してく

ださい。

役割説明

システム管理

者

システム管理者役割にはAirWatch環境への完全なアクセスが含まれています。この役割の管理者

は、パスワード、セキュリティ設定、セッション管理情報、およびAirWatchコンソール監査情報にアクセ

スできます。これらの情報は、システム構成の管理タブにあります。なお、SaaS (Software as aService)を利用しているお客様は、この役割を使用できません。

デバイス管理

者

デバイス管理者役割は、ユーザーにAirWatch管理者コンソールへの重要なアクセス権限を与えま

す。ただし、この役割を使用して多くのシステム構成情報を構成することは、推奨されません。このよ

うなシステム構成情報の例としては、AD (Active Directory)/LDAP (Lightweight Directory AccessProtocol)、SMTP (SimpleMail Transfer Protocol)、エージェントなどがあります。このようなタスクには、

AirWatch管理者またはシステム管理者のような最上層の役割を用いるのがより適切です。

レポート閲覧レポート閲覧役割により、モバイルデバイス管理 (MDM)により収集されたデータの閲覧が可能になり

ます。この役割に含まれるのは、AirWatchコンソールからレポートを生成/閲覧/エクスポート/定期受

信する権限のみに限定されます。

AirWatch 管

理者

AirWatch管理者役割にはAirWatch環境への包括的なアクセス権限が含まれています。ただし、こ

の権限には、システム構成の管理者タブへのアクセス権は含まれていません。このタブには、トップレ

ベルのAirWatchコンソールの設定が含まれているためです。

閲覧のみ閲覧のみの役割は、AirWatchコンソールの大部分にアクセスすることができますが、そのアクセスは閲

覧のみに限定されます。この役割は、AirWatch環境における設定を監査し、記録するために使用さ

れます。この役割はシステムオペレータや管理者には適していません。

コンテンツ管

理

コンテンツ管理者役割に付与されている権限は、VMware Content Locker管理のみに限定されま

す。この役割を使用し、コンテンツに特化した担当者を決め、デバイスへのアップロードと管理を任せ

ることができます。

アプリケーショ

ン管理

アプリケーション管理者役割を使用して、管理者に、内部アプリとパブリックアプリをデバイスに展開/管理するために必要なアクセスを与えることができます。この役割は、アプリケーション管理担当者に

割り当ててください。

ヘルプデスクヘルプデスク役割には、レベル1の ITヘルプデスクが必要とするツールへのアクセスが含まれていま

す。この役割に含まれる主要なツールを使用して、リモート操作機能を用いてデバイス情報を閲覧

し必要な措置を取ることができます。この役割にはさらにレポート閲覧権限とデバイス検索能力も含

まれています。

App Catalogのみの管理

者

この役割の権限は、｢アプリケーション管理｣役割とほぼ同じです。アプリケーション管理役割にはな

いがこの役割にある権限は、管理者アカウント、ユーザーアカウント、管理者グループ、ユーザーグ

ループ、デバイス詳細情報、およびタグを追加および保持できる、というものです。


57



役割説明

HorizonAdministrator

Horizon Administrator役割は、VMware Horizon Viewと統合されたAirWatch構成を補完するため

の、特別に用意された権限セットです。

NSX 管理者 NSX管理者役割は、AirWatchと統合されたVMware NSXを補完するための、特別に用意された権

限セットです。この役割は、システム管理権限と証明書管理権限を補完するものであり、管理者

は、エンドポイントセキュリティとデータセンターセキュリティを橋渡しすることができます。

プライバシー

オフィサー

プライバシーオフィサー役割は、ハブ概要情報、デバイスリスト表示、およびシステム設定を閲覧す

ること、ならびに、すべてのプライバシー設定を編集することができます。

既定の管理者役割を編集してカスタム管理者役割を作成する

既定の管理者役割では貴社に必要な管理者の役割を十分に果たせない場合、既存の役割を編集してカスタム役

割を作成することもできます。

1. その際には、まず、今いる組織グループレベルが、新しい役割を追加したい組織グループであることを確認してくだ

さい。

2. アカウント> 管理者 > 役割と進みます。

3. 作成したい役割に最もよく合致するものをリストの役割から探します。その役割のボックスにチェックを入れます。

4. リストの部にあるアクションメニューからコピーを選択します。役割をコピーする画面が表示されます。

5. 役割をコピーする画面で変更したい設定を編集します。カスタマイズされた役割には、一意な名前と説明を入

力してください。


詳細は、61ページの管理者役割を作成するを参照してください。

ユーザー役割

ユーザー役割を使用した場合、ログインしたユーザーが実行できるアクションを、有効化または無効化できます。これら

のアクションの例としては、デバイスワイプの利用を制御する、デバイスクエリの利用を制御する、個人コンテンツを管

理する、などがあります。さらに、最初のランディング画面をカスタマイズしたり、セルフサービスポータルへのアクセスを制

限したりすることもできます。

複数のユーザー役割を作成すれば、時間を節約できます。たとえば、さまざまな組織グループにまたがる包括的な構

成を行うことや、特定のユーザーのユーザー役割を随時変更することができます。

新しいユーザー役割の作成

事前設定されたベーシックアクセス役割とフルアクセス役割に加えて、カスタマイズされた役割を作成することもできま

す。複数のユーザー役割を用意しておくことで柔軟性を高め、新しいユーザーに役割を割り当てる際の手間を省くこと

ができます。

以下の手順に従いユーザー役割を作成します。

1. アカウント> ユーザー > 役割と進み、追加をクリックします。役割を追加/編集画面が表示されます。

2. 新しい役割の名前と説明を入力し、この新しい役割を持つユーザーのSSPの最初のランディング画面を選択し


58



ます。

既存のユーザー役割に対する既定の最初のランディング画面はマイデバイス画面です。

3. この役割を割り当てられるエンドユーザーがSSPで許可されるアクセスと権限レベルをオプションリストから選択しま

す。

l 画面上のすべてのボックスのチェックを外すには選択解除をクリックします。

l 画面上のすべてのボックスにチェックを入れるにはすべて選択をクリックします。

4. 役割の変更内容を保存します。追加された役割は、役割ページの一覧に表示されます。

役割ページから、役割を閲覧/編集/削除することができます。

既定の役割を構成する

既定の役割は、すべてのユーザー役割設定の出発点となる基本役割です。既定の役割を構成することで、加入時

にユーザーが自動的に受け取る許可と権限を設定することができます。

1. デバイス> デバイス設定 > デバイスとユーザー > 全般 > 加入と進み、グループ化タブを選択します。

2. ｢既定役割｣を選択し、セルフサービスポータル(SSP)でのエンドユーザーの既定レベルのアクセスを構成します。こ

れらの役割設定は、組織グループごとにカスタマイズできます。


既存ユーザーの役割を割り当て/編集する

特定のユーザーの役割を変更し、AirWatch機能へのアクセスを許可したり制限を追加したりすることができます。

1. 適切な組織グループを選択します。

2. アカウント> ユーザー > リスト表示と進みます。

3. リストから編集したいユーザーを選択します。ユーザーを特定した後、チェックボックスの下の｢編集｣アイコンを選択

します。ユーザーを追加/編集画面が表示されます。

4. 全般タブで加入セクションまでスクロールし、ドロップダウンメニューからユーザー役割を選択し、この特定ユーザー

の役割を変更します。


管理者役割

管理者役割を使用して、AirWatchコンソールのすべての設定とリソースへのアクセス権限を有効/無効にします。これら

の設定により、管理者のそれぞれに対し、コンソール権限を与えたりブロックしたりすることが可能になり、貴社のニーズ

に応じて、管理者に階層構造を持たせることができます。

複数の管理者役割を作成して時間と手間を省くことができます。複数の組織グループにわたる包括的な構成を行っ

たり、好きなときに、特定の管理者の権限を変更したりすることができます。

管理者役割リスト表示

管理者役割リスト表示では、社内の各管理者に対する役割を追加、編集、比較、および保守できます。


59



役割を追加する

新しい管理者役割を作成するには、役割を追加ボタンを選択します。詳細は、61ページの管理者役割を作成する

を参照してください。

役割をインポートする

他の環境からエクスポートされた役割をインポートできます。詳細は、次のトピックを参照してください。

l 61ページの管理者役割をインポートする

l 62ページの管理者役割をエクスポートする

l 62ページの管理者役割をインポート/エクスポートする際のバージョンに関して

役割をコピーする

既存の役割をコピーすると、時間を節約できます。また、コピーした役割の権限を変更し、別の名前で保存することが

できます。

1. コピーしたい役割の横にあるチェックボックスを選択します。

2. コピーボタンを選択します。役割をコピーする画面が表示されます。

3. カテゴリ、名前、および説明を必要に応じて修正します。

4. 修正が完了したら、保存を選択します。

ユーザーを表示する

ユーザーを表示ボタンを選択すると、｢管理者リスト表示｣画面が表示され、すべての管理者が一覧表示されます。

役割名を選択し、ユーザーを表示ボタンを選択します。

役割を削除する

管理者役割ライブラリから、未使用の役割を削除できます。管理者に割り当てられている役割は削除できません。削

除したい未割り当ての役割を選択し、削除ボタンを選択します。

役割をエクスポートする

役割を貴社デバイス上の任意の場所にXML形式でエクスポートできます。エクスポートした役割は、後でインポートで

きます。エクスポートしたい役割を選択し、エクスポートボタンを選択します。詳細は、次のトピックを参照してください。

l 62ページの管理者役割をエクスポートする

l 61ページの管理者役割をインポートする

l 62ページの管理者役割をインポート/エクスポートする際のバージョンに関して

役割の名前を変更する

既存の管理者役割と同名の管理者役割をインポートしたい場合、最初に既存の役割の名前を変更できます。詳細

は、62ページの管理者役割の名前を変更するを参照してください。

役割を編集する

既存の役割の名前、説明、および権限を編集できます。リストで、リンクが設定された役割名を選択します。役割を

表示画面が表示されます。この画面で役割を編集できます。

2つの役割を比較する

2つの役割の権限を比較できます。詳細は、64ページの管理者役割を比較するを参照してください。


60



管理者役割を作成する

管理者役割を作成し、AirWatchで実行したい特別なタスクを定義することができます。そのあとで個別の管理者にこ

れらの役割を割り当てます。管理者役割を作成するには、次の手順を実行します。

1. AirWatchコンソールでアカウント> 管理者 > 役割と進み、役割を追加を選択します。

2. 役割作成画面で、役割の名前と役割の説明を入力します。

3. カテゴリリストでカテゴリを選択します。

カテゴリセクションは、デバイス管理のようなトップレベルのカテゴリを編成します。その下には、アプリケーション、ブラ

ウザや一括管理などを含むサブカテゴリが位置します。このサブカテゴリにより、簡単に素早く役割を作成すること

が可能になります。右パネルにあるそれぞれのサブカテゴリ設定には、読み取りと編集のチェックボックスがありま

す。

カテゴリセクションからカテゴリを選択すると、それに含まれるサブカテゴリのコンテンツ(個々の設定)が右パネルに表

示されます。各コンテンツの行に読み取りチェックボックスと編集チェックボックスがあります。また、カラム見出しに

も読み取りチェックボックスと編集チェックボックスがあります。カラム見出しのチェックボックスをオンにすると、各コ

ンテンツの行のチェックボックスがすべてオンになります。これにより、役割作成の際に柔軟な制御とカスタマイズが

可能になります。

4. 関連するリソースオプションで、必要に応じて読み取りと編集にチェックを入れます。選択されたリソースの任意の

ものを選択から外すこともできます。

5. カテゴリの中で包括的な選択を行う場合は、右パネルに入力せずに、なし、読み取りまたは編集をカテゴリセク

ションから直接選択します。カテゴリラベルの右側の丸印のアイコンを選択すると、ドロップダウンメニューが表示さ

れます。カテゴリの設定全体に対し、なし/読み取り/編集機能のどれを選択するかが明白な場合はこの選択方

法を使用します。

6. カスタム役割作成後、保存を選択します。追加された役割は、役割画面で確認することができます。この画面

から役割詳細を編集したり役割を削除したりすることができます。

AirWatchのバージョン更新時にはその都度カスタム役割を更新し、最新リリースによる新しい権限へのアクセスを設定

する必要があります。

管理者役割をインポートする

1つの環境から管理者役割をXMLファイル形式でインポートし、管理者役割をポータブルなリソースとして使用して構

成時間を短縮することができます。

別のAirWatch環境に役割をインポートするには、次の手順を実行します。

1. アカウント> 管理者 > 役割と進み、役割をインポートするを選択します。

2. ｢役割をインポートする｣画面の参照を選択し、上で保存したXMLファイルを探します。アップロードをクリックして

管理者役割をアップロードし、｢カテゴリ｣リストから確認します。


61



3. AirWatchは、XMLファイルチェック、インポートされる役割の権限チェック、役割名の重複チェック、名前欄や説明

欄が空白でないかの確認といった一連のチェックを行います。

4. 左側のペインで特定のカテゴリを選択し、リソースの設定とインポートされた役割の詳細を確認します。

5. 必要に応じて、各種のリソース、および、インポートされた役割の名前と説明を編集できます。既存の役割とイン

ポートされた役割の双方を維持したい場合は、新しい役割をインポートする前に、既存の管理者役割を別名で

保存してください。

a. インポートする役割に貴社環境の既存の役割と同じ名前が付けられている場合、次のメッセージが表示され

ます。｢この環境には、この名前の役割がすでに存在します。既存の役割を上書きしますか?」

b. ｢いいえ｣を選択すると、貴社環境の既存の役割はそのまま残り、新しい役割のインポートがキャンセルされま

す。

c. ｢はい｣を選択すると、セキュリティ暗証番号を入力するよう求められます。正しい暗証番号を入力すると、既

存の役割はインポートされる役割で置き換えられます。

6. 保存をクリックして、インポートされた役割を新しい環境に適用します。

管理者役割をエクスポートする

管理者役割をXMLファイル形式でエクスポートし、別の環境にインポートすることができます。この機能により、管理者

役割をポータブルなリソースとして使用して構成時間を短縮することができます。

このプロセスを開始するには、


2. エクスポートしたい役割の横のボックスにチェックを入れます。この操作を行うと、役割リストの上にアクションボタンが

表示されます。

3. エクスポートを選択しXMLファイルをデバイスに保存します。

管理者役割を複数選択する場合、「エクスポート」アクションは使用できません。

管理者役割の名前を変更する

管理者役割をインポートする際に、既存の管理者役割と同じ名前の役割がある場合は、まず既存の役割の名前を

変更することをお勧めします。こうすることで、同じ環境内で既存の役割と新しく追加する役割の双方を維持すること

ができます。

1. アカウント> 管理者 > 役割と進み、名前を変更したい役割の編集アイコン()を選択します。役割を編集画面


2. 役割の名前を編集し、必要な場合は説明も編集します。


管理者役割をインポート/エクスポートする際のバージョンに関して

場合によっては、ある環境からエクスポートされた役割が、AirWatchの古いバージョンを使用した別の環境にインポート

されることがあるかもしれません。そしてこの古いバージョンには、インポートされた役割に必要な同じリソースと権限が存

在しないかもしれません。

そのような場合には、AirWatchに以下のメッセージが表示されます。


62



この環境にあるいくつかの権限が、ユーザーのインポート済みファイルには見つかりません。保存する前に、ハイライトされた権限を

見直して、正しく入力しなおします。

カテゴリのリスト表示画面を使用して、ハイライトされた権限の選択を解除してください。この操作により、役割を新し

い環境に保存することができます。

管理者役割カテゴリの読み取り/編集インジケータ

カテゴリセクションには、読み取りのみ、編集といった権限の選択状態を反映するビジュアルインジケータがあります。こ

のインジケータが設定詳細を表示するので、管理者は個々のサブカテゴリを開いて調べる必要がありません。

インジケータは、カテゴリリストの右側に位置する丸印のアイコンで以下のように分類されます。

このカテゴリのすべてのオプションは編集機能を持つ(読み取りのみの機能も含む)

カテゴリ設定の大部分の編集機能は有効だが、少なくとも1つのサブカテゴリの編集が無効になっている

すべてのカテゴリ設定が読み取り専用 (編集は無効)

カテゴリ設定の大部分は読み取り専用だが、少なくとも1つのサブカテゴリの編集が有効になっている

管理者の役割を割り当てる/編集する

管理者に役割を割り当て、AirWatchコンソール管理者権限を拡張することができます。あるいは、既存の役割を編集

し、権限を制限したり、変更したりすることもできます。

1. アカウント> 管理者 > リスト表示と進み、管理者アカウントを探し、アクションボタンクラスタで編集アイコンを選択

します。管理者を追加/編集画面が表示されます。

2. 役割タブを選択します役割を追加を選択します。

3. 追加する役割のそれぞれに組織グループと役割詳細を入力します。


管理者役割比較ツール

管理者役割を作成する際、一般に、一から作成するよりも、既存の役割を修正する方が簡単です。その場合は、役

割比較ツールで作業がより簡単になります。

役割を1つしか選択しなかったり、あるいは 2つ以上選択したりすると、比較ボタンは表示されません。

l 既定設定では、設定が異なるカテゴリとサブカテゴリのみが表示されます。2つの役割において同一である設定を

含むすべての権限を表示するには、すべての権限を表示を有効化します。

l 選択した2つの役割の権限が完全に同一な場合は、役割を比較画面上部に以下のメッセージが表示されま

す。

｢2つの役割における権限の違いはありません｣

l エクスポートを選択し、Excelで表示できるCSV (コンマ区切り値)ファイルを作成することもできます。このCSVファイ

ルは、役割 1と役割 2の設定の全体のリストを含み、2つの役割の差異の分析に使用できます。


63



管理者役割を比較する

任意の2つの管理者役割の権限を比較し、精度確認や設定の意図が反映されているかを確認したりすることができ

ます。以下の手順に従い役割比較ツールを使用して2つの管理者役割を比較します。


2. リストから任意の2つの役割を選択し(異なるページの役割でも選択することができます)、チェックを入れます。

3. 比較を選択します。カテゴリ一覧のある役割比較画面が表示されます。左側で特定のカテゴリを選択すると、右

側にそのカテゴリの詳細が表示されます。

l 役割のサブカテゴリも右側パネルの右端にある詳細リンクを選択することで閲覧できます。サブカテゴリの役割

は非表示リンクを選択して畳むことができます。

l 左側パネルにはすべてカテゴリがあり、これを選択するとすべてのメインレベルカテゴリが役割比較画面に表

示されます。リソースを検索に検索パラメータを入力すると、右側パネルはカテゴリとリソースリストの両方に合

致するアイテムのみを表示します。

l この検索パラメータは保持されます。つまり、リソースを検索バーにパラメータを入力すると、すべてのカテゴリを

選択しても、合致するカテゴリとリソースのみが表示されます。この検索機能は、特定リソースを選択し、読み

取りと編集を選択した後も保持されます。


64



第 6章:グループ

割り当てグループ概要 66

組織グループ概要 67

スマートグループ概要 71

ユーザーグループ概要 75

管理者グループ概要 83

割り当てを表示 86

65



割り当てグループ概要

割り当てグループとは、AirWatchで管理グループ構造の分類として使用される包括的な用語です。

組織グループ、スマートグループ、およびユーザーグループのそれぞれが、一連の機能と特長を持っており、互いに区別

されます。それぞれに共通しているのは、コンテンツをユーザーデバイスに手早く割り当てる際に使用することができると

いう点です。割り当てグループを使用することで、管理者は、これら3つのグループ構造を1か所で管理できるようにな

ります。

リスト表示を使用して、複数の組織グループ、スマートグループ、およびユーザーグループを、1つ以上のプロファイル、

パブリックアプリケーション、およびポリシーに割り当てることができます。

グループと設定 > グループ> 割り当てグループと進みます。

カスタム割り当てグループリストを作成する

割り当てグループリスト表示には、コンテンツをデバイスに割り当てる機能をもつ、組織グループ、スマートグループ、

ユーザーグループという3つのリストが含まれています。このリストから、貴社に関係のあるグループだけを抽出することが

できます。

カラムごとに並べ替える

カラムのヘッダをクリックして、カラムごとにグループリストを並べ替えることができます。

グループにフィルタを適用する

グループタイプ(スマートグループ、組織グループ、およびユーザーグループ)を基準にしてグループにフィルタを適用する

ことができます。また、割り当ての値 (｢割り当て｣、｢除外｣、｢すべて｣、｢なし｣)を基準にしてグループにフィルタを適用

することもできます。

割り当てグループリストのリンクを選択する

割り当てグループリスト画面の以下の4つのカラムは重要な機能をもっています。

l グループカラムには、各スマートグループへのリンクが表示されています。このリンクを選択して、スマートグループを

編集することができます。

l 割り当てカラムで0以外の値を選択した場合、｢割り当てを表示｣画面が表示されます。割り当てられている組

織グループとユーザーグループも表示されます。この画面から、プロファイル、パブリックアプリケーションと順守ポリ

シーへの割り当てを閲覧して確認することができます。

l 除外カラムで0以外の値を選択した場合、｢割り当てを表示｣画面が表示されます。除外された組織グループと

ユーザーグループも表示されます。｢割り当てを表示｣画面で、プロファイル、パブリックアプリケーション、および順守

ポリシーに対する除外情報を閲覧および確認することができます。

l デバイスカラムの数値を選択した場合、｢デバイスリスト表示｣画面が表示されます。｢デバイスリスト表示｣画面

には、選択された組織グループ、スマートグループ、またはユーザーグループに属するすべてのデバイスが一覧表示

されます。


第 6章 :グループ

66



86ページの割り当てを表示

179ページのデバイスリスト表示

1つ以上の割り当てグループを割り当てる

複数のグループをデバイスプロファイルおよび順守ポリシーに割り当てることができます。組織グループ、スマートグルー

プ、ユーザーグループといった異なるタイプから成る複数のグループを一度に割り当てることもできます。

パブリックアプリケーションを割り当てるには、さまざまなユーザーのグループにさまざまなアプリのポリシーを構成するための

オプションがあります。詳細は、VMware Mobile Application Management Guideの｢Use Flexible Deployment to AssignApplications｣を参照してください。この文書の入手方法については、｢214ページの他の文書を入手する｣を参照して

ください。

1. グループと設定 > グループ> 割り当てグループと進みます。

2. 1つ以上のグループをリストから選択し、カラムヘッダの上に表示される割り当てを選択します。

3. 割り当て画面には、選択した組織グループ、スマートグループ、ユーザーグループが表示されます。

4. これらを割り当てるには、対象とするプロファイルと順守ポリシーを検索します。最大 10のプロファイルと1つの順

守ポリシーを選択できます。

1つのセッションで複数のものを選択できますが、タイプは 1つに限られます。たとえば、1つのコマンドで複数のグ

ループを最大 10件のプロファイルに割り当てることができます。ただし、1つのコマンドで複数のグループを10件のプ

ロファイルと1つの順守ポリシーの両方に割り当てることはできません。複数のタイプに複数の割り当てを行いたい

場合は、タイプ(プロファイル、ポリシー)ごとに別々に割り当てを行う必要があります。

5. 次へをクリックするとデバイス割り当て表示画面が開きます。グループ割り当てを確認します。

6. 保存して公開を選択し、割り当てを確定します。

組織グループ概要

AirWatchは組織グループを使用してユーザーを識別し権限を設定します。コンテンツをデバイスに配布するさまざまな

方法がありますが、貴社組織の階層構造と同一なMDM階層構造を確立するためにも組織グループを使用してくだ

さい。AirWatch機能とコンテンツに基づいて組織構造を確立することもできます。

組織グループは、グループと設定 > グループ> 組織グループ> リスト表示と進むか、あるいは組織グループドロップダウ

ンメニューから閲覧することができます。

l 貴社組織内のエンティティに倣ったグループを構築

l メインとサブグループに階層構造をカスタマイズ

l 複数の内部インフラをその階層レベルで統合

l マルチテナント構造により役割に基づいてアクセス/管理権限を委譲


67



組織グループの特長

組織グループを使用することで、機能的/地理的/組織的エンティティのすべてに対応する、以下のようなマルチテナン

ト対応のソリューションが可能になります。

l 高拡張性 –急成長する企業を完全にサポート

l マルチテナント性 –独立環境として機能するグループを作成

l 継承 –メイングループの構成をサブグループに継承することでセットアッププロセスを効率化

組織グループのドロップダウンメニューを例に説明すると、任意のプロファイル、機能、アプリケーション、その他の

MDM設定を｢World-Wide Enterprises社｣レベルで設定できます。

設定は、Asia/Pacific や EMEAなどのサブ組織グループからその下のAustralia > Manufacturing Division、さらには

Australia > Operations Division > Corporateへと継承されていきます。

Asia/Pacific や EMEAといった兄弟組織グループ間での設定は、別々に行うことで組織グループのマルチテナント機

能を活用できるようになります。ただし、これら2つの兄弟組織グループは、メイン組織グループであるWorld WideEnterprises の設定を継承します。

あるいは、サブ組織グループレベルで設定を上書きし、変更したい設定のみを変更してそれ以外は継承することも

可能です。これらの設定はすべてのレベルに継承することも、任意のレベルで変更することも可能です。

組織グループをセットアップする際の検討事項

AirWatchコンソールで貴社の組織グループ階層構造をセットアップする前に、まずグループ構造を決めてください。そう

することで、設定、アプリケーションとリソースを最大限に活用することができます。

l 代理管理者 –下位の管理者にサブ組織グループのみの制限された可視性を与え、管理権限を委任します。

l 企業管理者は、この環境内のすべての情報を閲覧することができる。

l LA マネージャは LA組織グループに対するアクセス権限を持ち、この組

織グループに属するデバイスのみを管理することができる。

l NY マネージャはNY組織グループに対するアクセス権限を持ち、この組

織グループに属するデバイスのみを管理することができる。

l システム設定 –設定は組織グループの異なるレベルで適用でき、継承することができます。どのレベルでも上書きを

行うことができます。設定にはデバイス加入オプション、認証方法、プライバシー設定とブランディングが含まれま

す。

l 企業全体で企業のActive Directoryサーバへの加入設定を確立する。

l ドライバデバイスは、上位グループの認証設定を上書きし、トークンによる加入を許可

する。

l 倉庫デバイスは、メイングループのActive Directory設定を継承する。

l デバイスユースケース–プロファイルは 1つまたは複数の組織グループに割り当てることができます。該当グループに

属するデバイスはそのプロファイルを受け取ります。詳細は、｢プロファイル｣セクションを参照してください。デバイスメ


68



イク、モデル、所有形態やユーザーグループといったデバイス属性に基づき、プロファイル、アプリケーション、コンテン

ツ設定を使用して、組織グループを作成する前にデバイス構成を行うことをお勧めします。

l エグゼクティブデバイスは、アプリケーションをインストールすることはでき

ないが、Wi-Fiセールスネットワークへのアクセスを許可。

l セールスデバイスには、アプリケーションのインストールとVPNアクセスを

許可。

組織グループに関する設定を上書き/継承する

貴社の階層構造により、メイン組織グループとサブ組織グループが決まります。設定は基本的に継承されます。設定

を上書きできるのは、リポジトリやアプリケーションを追加した場合のみです。

リポジトリとアプリケーションに関しては、メイングループの設定を継承するサブグループに追加することができます。あるい

は、必要に応じて各グループレベルで設定を上書きすることもできます。

詳細は、VMware AirWatch モバイルコンテンツ管理 (MCM) ガイドおよびVMware AirWatch モバイルアプリケーション

管理 (MAM) ガイドを参照してください。各文書は、214ページの他の文書を入手するから入手できます。

組織グループを作成する

デバイスが展開されている各ビジネスユニットに組織グループを作成する必要があります。作業するユーザーが現在属

している組織グループが、作成するサブ組織グループの親になります。

1. グループと設定 > グループ> 組織グループ> 組織グループ詳細と進みます。

2. サブ組織グループの追加タブを選択し、以下の設定を行います。

設定説明

名前表示したいサブ組織グループの名前を入力します。使用できる文字は英数字だけです。それ以外の

文字は使用できません。

グルー

プ IDエンドユーザーがデバイスのログイン時に使用する組織グループの IDを入力します。グループIDは、加

入時にデバイスを適切な組織グループに分類するために使用されます。

デバイスを共有するエンドユーザーが、グループ IDを受け取っていることを確認してください。共有デバ

イスの構成によっては、デバイスのログイン時にエンドユーザーによるグループID入力が必要になりま

す。

タイプサブ組織グループのカテゴリに適合する、事前構成されている組織グループタイプを選択します。

国組織グループが存在する国を選択します。

ロケー

ル

選択した国の言語分類を選択します。

カスタ

マーの

業種

このフィールド値は、タイプの値が｢カスタマー｣である場合にのみ指定できます。｢カスタマーの業種｣の

リストから選択します。



69



組織グループタイプの機能

組織グループのタイプにより、管理者が構成できる設定の内容が異なります。ワイプ保護のような一部のシステム設

定、および、個人コンテンツ、DEP、テレコムといった一部の機能は、カスタマーレベルの組織グループでのみ構成できま

す。また、｢グローバル｣タイプは特定の展開でのみ利用できます。カスタマー、パートナー、グローバル以外のタイプは、

単なるメタデータであり、それ以外の目的はありません。

組織グループのタイプの違い(グローバル、パートナー、カスタマー、コンテナ等)に関する詳細は、以下の

VMware AirWatchナレッジベース資料を参照してください。https://support.air-watch.com/articles/115001662908

グローバルでデバイスを追加する

グローバル組織グループは、｢カスタマー｣およびその他のタイプの組織グループを所属させる目的で用意されているもの

です。設定は下位の組織グループに継承されるので、デバイスをグローバル組織グループに追加し、かつ、それらのデ

バイスに影響を及ぼす設定を使用してグローバル組織グループを構成する場合、その下位のすべてのカスタマー組織

グループにも影響が及びます。つまり、マルチテナントと継承のメリットが活かされません。

詳細は、119ページのデバイスをグローバルレベルで加入させるべきでない理由を参照してください。

組織グループによる制限事項

組織グループ(OG)による制限がある設定を構成しようとした場合、グループと設定 > すべての設定と進んだときに表

示される設定画面に、その制限の内容が表示されます。

カスタマーレベルの組織グループを作成する際には、以下の制限が適用されます。

l SaaS環境では、入れ子構造になったカスタマー組織グループを作成することはできません。

l オンプレミス環境では、｢システム管理者｣役割を与えられた管理者であれば、入れ子構造になったカスタマー組

織グループを作成できます。

｢設定の比較｣で組織グループを比較する

AirWatch管理者として、ある組織グループと別のグループの設定を比較したい場合があるかもしれません。組織グルー

プの設定を比較するには、次のような方法があります。

l AirWatchの異なるソフトウェアバージョンの組織グループの設定を含むXMLファイルをアップロードする

l バージョンの移行の際に、構成の相違が元で問題が発生する可能性をなくす。

l 比較結果をフィルタにかけ、比較したい項目のみの結果を表示する

l 検索機能に設定の名前を入力し、特定の設定を確認する

この組織グループ比較機能は、オンプレミス展開でのみ利用可能です。

2つの組織グループを比較する

2つの組織グループの設定を比較し、バージョン移行の際の問題を軽減することができます。

たとえば、あるユーザー受け入れテスト(UAT)サーバがアップグレード、構成、およびテストされた後、UATサーバの設定

を本番サーバの設定と直接比較できます。


70





1. グループと設定 > すべての設定 > 管理者 > 設定管理 > 設定の比較と進みます。

2. 左側のドロップダウンメニューで、貴社環境の組織グループを選択します (1と表示されています)。または、アップ

ロードボタンをクリックし、エクスポート済みの組織グループ設定 XMLファイルを選択して、XML設定ファイルをアップ

ロードします。

3. 右側のドロップダウンメニューで、比較対象の組織グループを選択します (2と表示されています)。

4. 更新ボタンを選択し、選択された両方の組織グループのすべての設定一覧を表示します。

l 2つの組織グループ間の設定の相違は自動的にハイライトされます。

l 違いのみを表示チェックボックスをオンにすることもできます。この場合、一方の組織グループにのみ適用されて

いる設定だけが表示されます。

l 空白または特定されていない設定は、比較設定リストで｢NULL｣と表示されます。

スマートグループ概要

スマートグループとは、カスタマイズ可能なグループであり、どのプラットフォーム、デバイス、ユーザーが、どのアプリケー

ション、ブック、順守ポリシー、デバイスプロファイル、プロビジョンを受け取るかを決定します。

組織グループを作成する場合、通常は地理的位置情報、事業単位、部門といった社内の組織構造をベースとしま

す。例えば、「北部営業担当」、「南部人事担当」となります。一方、スマートグループを利用した場合、デバイスプ

ラットフォーム、モデル、オペレーティングシステム、デバイスタグ、またはユーザーグループを基準にしてコンテンツと設定

を柔軟に配布できます。複数の組織グループにわたって個別のユーザーにコンテンツを配布することも可能です。

コンテンツのアップロードおよび設定の定義を行うときに、スマートグループを作成できます。モジュール型の構成である

ため、スマートグループはいつでも作成することができ、後で割り当てを行う際に使用できます。

スマートグループの主な利点は再使用できるということです。コンテンツを追加したときや、プロファイルまたはポリシーを

定義したとき、その都度直感的に新たな割り当てを行うことができます。スマートグループに対する割り当て先を1回だけ定義した場合、コンテンツの定義の中にそれらのスマートグループを含めることができます。

スマートグループを作成

はじめにスマートグループを作成し、それからアプリケーション、ブック、順守ポリシー、デバイスプロファイル、ビデオチャン

ネル、またはプロダクトプロビジョンに割り当てます。

1. 新しく作成するスマートグループの適用対象かつ管理元となる適切な組織グループを選択します。

2. グループと設定 > グループ> 割り当てグループと進み、スマートグループを追加を選択します。

3. スマートグループの名前を入力します。

4. スマートグループタイプを構成します。条件を選択またはデバイスまたはユーザーを選択のいずれかを選択しま

す。

l 条件を選択は、一般的な更新情報を受信する大規模グループ(デバイス数 500台以上)に最適です。これ

らのグループ固有の詳細情報をすべてのモバイルデバイスに適用できるからです。


71



o 条件を選択から、新しく追加するスマートグループを条件付けるパラメータを選択します。パラメータには

組織グループ、ユーザーグループ、所有形態、タグ、プラットフォームとOS、モデル、およびエンタープライズ

OEM バージョンがあります。追加そして除外セクションで、デバイスやユーザーを追加または除外すること

もできます。

プラットフォームはスマートグループの抽出条件の1つですが、デバイスプロファイルや順守ポリシーにおいて

構成されるプラットフォーム条件が、スマートグループのプラットフォーム条件より常に優先されます。例え

ば、あるデバイスプロファイルが iOSプラットフォームに対して作成されている場合、スマートグループに

Androidデバイスが含まれていても、そのプロファイルは iOSデバイスのみに割り当てられます。

l デバイスまたはユーザーを選択は、重要な更新情報を不定期に受信する小規模グループ(デバイス数 500台以下)に最適です。この方法は、グループのメンバーをきめ細かく選択する場合に最適です。

条件を選択とデバイスまたはユーザーを選択を切り替えると、それまでに入力したエントリや選択アイテムは

消去されます。

o 企業の一般的なモビリティ管理枠の外でコンテンツや設定を特別に割り当てたい場合は、デバイスまた

はユーザーを選択タイプを使用します。デバイスにはデバイスのフレンドリ名を、ユーザーにはユーザーの名

前 (名または姓)を入力します。最低一台のデバイスまたは一人のユーザーを追加する必要があります。

そうでない場合、スマートグループは保存されません。

スマートグループのプログラムに使用できるルールの数は 500個までです。この500までというルールの制限は、

スマートグループに条件を選択とデバイスまたはユーザーを選択のどちらを使用するかの判断にかかわる、デ

バイスのしきい値が500であることとは関係ありません。

5. 設定後保存をクリックします。

スマートグループを割り当てる

作成したスマートグループを利用するには、そのスマートグループを割り当てる必要があります。アプリケーション、ブッ

ク、順守ポリシー、デバイスプロファイル、ビデオチャンネル、またはプロダクトプロビジョンに割り当てることができます。ス

マートグループを割り当てるには、以下の2つの方法があります。

デバイスプロダクトを作成する際にスマートグループを割り当てる

アプリケーション、ブック、順守ポリシー、デバイスプロファイル、ビデオチャンネル、プロダクトプロビジョンを追加中または

作成中に、以下の手順に従ってスマートグループを割り当てます。

1. 割り当てるグループのドロップダウン記入欄に入力します。

2. ドロップダウンメニューからスマートグループを選択します。選択可能なスマートグループは、リソースが追加されてい

る組織グループ内またはその下位の組織グループ内で管理されているスマートグループだけです。

3. 希望する割り当て条件に合致するスマートグループがない場合は、新しいスマートグループを作成オプションを選

択します。アプリケーション、ブック、順守ポリシー、デバイスプロファイル、ビデオチャンネル、またはプロダクトプロビ

ジョンごとに1つ以上のスマートグループを割り当てることができます。

4. 保存を選択し、割り当てを確定します。

スマートグループの管理プロセスの一環として割り当てる

スマートグループの管理プロセス中に、以下の手順に従ってスマートグループを割り当てます。


72



1. グループと設定 > グループ> 割り当てグループと進み、スマートグループ全体のリストを表示します。

2. 割り当てたいスマートグループを1つ以上選択し、割り当てを選択します。割り当て画面が表示されます。

割り当て画面上部の｢グループ｣リンクを選択するとグループ画面が表示されます。この画面にはそのスマートグ

ループを管理している組織グループが表示されます。閉じるボタンを選択し、｢割り当て｣画面に戻ります。

3. 割り当て画面の検索ボックスを使用して利用できるプロダクトを表示し、選択したスマートグループに割り当てま

す。

4. 次へを選択し、デバイス割り当て表示画面を開き、割り当て状況を確認します。

5. 保存して公開を選択します。

詳細は、155ページのデバイス割り当て表示を参照してください。

プロファイルやポリシーからスマートグループを除外する

スマートグループは、アプリ、ブック、ビデオチャンネル、プロダクトだけでなく、デバイスプロファイルや順守ポリシーにも適

用できます。選択したスマートグループをプロファイルやポリシーから除外する機能によって、より柔軟な管理が可能に

なります。

例えば、幹部以外のすべての社内ユーザーに順守ポリシーを適用する場合、次の手順を実行します。すべてのユー

ザーで構成されるグループと、幹部が含まれるグループの、2つのスマートグループを作成します。順守ポリシーを作成し

て「すべてのユーザー」スマートグループに割り当て、「除外」オプションで「幹部」スマートグループを指定します。

1. デバイスプロファイルや順守ポリシーを追加する際に、除外設定の横のはいを選択すると除外するグループオプ

ションが表示されます。

2. 除外するグループから、該当するプロファイルまたはポリシーの割り当てから除外したいスマートグループを選択しま

す。割り当てグループを作成ボタンを選択して、新しいスマートグループを作成することもできます。

割り当てるグループと除外するグループの両方に同じスマートグループを選択すると、そのプロファイルまたはポリ

シーは保存されません。

3. デバイス割り当て表示を選択して、割り当て対象デバイスを確認します。

スマートグループリスト表示

AirWatchコンソールからスマートグループを編集/割り当て/割り当て解除/除外/削除して管理します。グループと設定

> グループ> 割り当てグループと進み、スマートグループ全体のリストを表示します。管理者は、自分の権限設定に基

づいて、自分が管理できるグループのみを閲覧することができます。

グループ、割り当て、除外、デバイスのカラムのリンクを選択すると、詳細情報を閲覧できます。

l 割り当てまたは除外カラムにあるリンクを選択するとスマートグループの割り当てを表示画面を表示します。

l デバイスカラムのリンクを選択するとデバイス> リスト表示が表示され、該当のスマートグループに含まれるデバイ

スのみが表示されます。

l グループタイプ(スマートグループ、組織グループ、ユーザーグループ、またはすべて)または割り当て状態を基準に

して、グループにフィルタを適用することができます。割り当て状態の種類は、割り当てられている、除外されてい


73



る、両方である、どちらでもない、のいずれかです。

l さらに、リストから直接スマートグループを割り当てることもできます。

スマートグループを編集、削除、割り当て解除する

スマートグループに対して行う編集は、そのスマートグループに割り当てられているすべてのポリシーやプロファイルに影

響を与えます。

例えば、幹部に対するスマートグループに1つの順守ポリシー、1つのデバイスプロファイル、そして2つの内部アプリが

割り当てられているとします。一部の幹部を除外したい場合、スマートグループに除外を設定することで簡単に編集

できます。このアクションの影響で、除外したデバイスから2つの内部アプリだけでなく、順守ポリシーとデバイスプロファイ

ルも削除されます。

1. グループと設定 > グループ> 割り当てグループと進みます。

2. 編集したいスマートグループの左側にある編集アイコン( )を選択します。あるいは、グループカラムからスマートグ

ループ名を選択することもできます。スマートグループを編集画面に、現在の設定が表示されます。

3. スマートグループを編集画面で、(そのスマートグループが保存された際のタイプに基づき)条件あるいはデバイス

またはユーザーを修正し、次へを選択します。

4. 割り当てを表示画面から、編集の結果デバイスに追加または削除されるプロファイル、アプリ、ブック、プロビジョン

やポリシーを確認します。

5. スマートグループの編集内容を保存するには公開を選択します。このスマートグループに関連付けられているすべ

てのプロファイル、アプリ、ブック、プロビジョンやポリシーの割り当てに、この変更が反映されます。

コンソールイベントロガーは、変更を行った者、追加されたデバイス、削除されたデバイスなど、スマートグループへの

変更点を追跡します。

スマートグループを削除する

不要になったスマートグループは削除することができます。一度に削除できるのは一つのスマートグループのみです。2つ以上のスマートグループを選択すると、削除ボタンは利用できなくなります。いずれかに割り当てられているスマート

グループは削除できません。

1. グループと設定 > グループ> 割り当てグループと進み、一覧から削除したいスマートグループを特定します。

2. スマートグループの名前の左側のチェックボックスを選択し、表示されるアクションから削除を選択します。

スマートグループの割り当てを解除する

スマートグループの割り当てをアプリケーション、ブック、チャンネル、ポリシ、プロファイル、またはプロダクトから解除するこ

とができます。このアクションにより、そのスマートグループのすべてのデバイスから関連コンテンツが削除されます。

1. アプリケーション、ブック、順守ポリシー、デバイスプロファイル、またはプロダクトプロビジョンからスマートグループの割

り当てを解除します。次のとおりに進んでください。

l アプリケーション–アプリとブック> アプリケーション> リスト表示と進みパブリックタブまたは社内タブを選択しま

す。

l ブック–アプリとブック> ブック> リスト表示と進み、パブリックタブ、社内タブ、Webタブのいずれかを選択しま

す。


74



l チャンネル–コンテンツ> 動画 > チャンネルと進みます。

l 順守ポリシー–デバイス> 順守ポリシー> リスト表示と進みます。

l デバイスプロファイル–デバイス> プロファイルとリソース> プロファイルと進みます。

l プロダクトプロビジョン–デバイス> 代理セットアップとプロビジョニング> プロダクト> リスト表示と進みます。

2. 一覧からコンテンツまたは設定を探し、アクションメニューから編集アイコン( )を選択します。

3. 割り当てタブを選択するか、割り当てられたスマートグループ欄を確認します。

4. 割り当てを解除したいスマートグループの隣の削除アイコン(X)を選択します。このアクションはスマートグループを

削除するものではありません。単に保存された設定からスマートグループの割り当てを削除するものです。

5. 必要なステップに従って変更点を保存します。

コンソールイベントロガーを使用してスマートグループのイベントを調査する

どのような変更が、いつ、誰によってスマートグループに行われたかは、コンソールイベントロガーで簡単に把握できま

す。このような追跡機能はデバイスのトラブルシューティングの際に役に立ちます。

1. ハブ> レポート& 分析 > イベント> コンソールイベントと進みます。

2. コンソールイベントリストの最上部にあるモジュールドロップダウンフィルタからスマートグループを選択します。

3. 必要に応じ、日付範囲、重要度、カテゴリなどの追加のフィルタを適用します。

4. イベントデータカラムのハイパーリンク付きテキストには補足的な詳細情報が含まれており、調査をサポートしま

す。

ユーザーグループ概要

一連のユーザーをユーザーグループにまとめることができます。ユーザーグループは、組織グループと同様、プロファイルと

アプリケーションを割り当てる際のフィルタのような機能を果たします。貴社のMDM環境を構成する際には、ユーザー

グループを、貴社におけるセキュリティグループとビジネス役割区分に添った形で作成する必要があります。

プロファイル、順守ポリシー、コンテンツ、およびアプリケーションを、ユーザーグループに属するユーザーとデバイスに割り

当てることができます。既存のディレクトリサービスグループをAirWatchに追加することも、すべて手作業でユーザーグ

ループを作成することもできます。

あるいは、ユーザーグループの代わりに、事前構成されたネットワークIPアドレス範囲やカスタム属性に基づいてデバイ

スを割り当てることでコンテンツを管理することもできます。詳細は、126ページのデバイス割り当ての概要を参照してく

ださい。

ディレクトリ統合なしのユーザーグループ(カスタム)

貴社の既存のActive Directory構造に含まれないユーザーグループを作成することもできます。管理者は、この機能を

用いて特別なユーザーグループをいつでも作成することができます。各機能やコンテンツへのアクセス方法を特別に設

計して、貴社の展開に合わせたユーザーグループをカスタマイズします。たとえば、特殊なアプリ、デバイスプロファイ

ル、順守ポリシーを要する特別なプロジェクト向けに一時的なユーザーグループを作成したりすることができます。

ユーザーグループをまとめて追加する方法の詳細は、50ページのユーザーグループをバッチインポートするを参照してく

ださい。


75



ディレクトリ統合なしにユーザーグループを追加する(カスタム)

貴社の組織構造とは別に、カスタムユーザーグループを作成したい場合があるかもしれません。カスタムユーザーグ

ループを追加できるのはカスタマーレベルの組織グループのみですのでご注意ください。

1. アカウント> ユーザーグループ> リスト表示と進み、追加、ユーザーグループの追加の順に選択します。

2. ユーザーグループタイプオプションをカスタムに変更します。

3. AirWatchコンソールでユーザーグループを識別できるようにグループ名と説明を入力します。

4. ユーザーグループを管理する組織グループが正しく選択されていることを確認し、保存をクリックします。

5. ユーザーをこのユーザーグループに追加するには、アカウント> ユーザー > リスト表示と進みます。

複数のユーザーを追加するには、リスト内の各ユーザー名の左端にあるチェックボックスをオンにします。次に、カラ

ム見出しの上にある管理ボタンを選択し、ユーザーグループに追加を選択します。

ディレクトリ統合とユーザーグループ

Active Directory統合なしにカスタムユーザーグループを設定する代わりに、貴社の既存のActive Directory構造を利

用したユーザー統合を行うことができます。この方法には多くのメリットがあります。

既存のディレクトリサービスユーザーグループをAirWatchユーザーグループとしてインポートすることで、以下のようなタス

クを実行できます。

l ユーザー管理 –既存のディレクトリサービスグループ(セキュリティグループや配布リストなど)を参照し、AirWatchの

ユーザー管理を既存のシステムと合わせます。

l プロファイルとポリシー– AirWatch展開全体のプロファイル、アプリケーションやポリシーをユーザーに割り当てます。

l 統合された更新 –グループメンバーシップの変更に基づき、ユーザーグループ割り当てを自動的に更新します。

l 管理権限 –承認された管理者にのみ、ポリシーの変更と特定のユーザーグループへのプロファイルの割り当てを許

可するよう、管理権限を設定します。

l 加入 –ユーザーが既存の資格情報を使用して加入できるようにし、自動的に組織グループを割り当てます。

管理者は、デバイスとユーザー管理のベースとなるメインのルート場所として、既存の組織グループを1つ指定する必

要があります。また、ディレクトリサービスはこのルート組織グループレベルで有効化される必要があります。

貴社の既存のディレクトリサービスグループをAirWatchに追加することができます。この操作で、各ディレクトリサービス

アカウントに対するAirWatchユーザーアカウントを即時に作成することはできませんが、AirWatchはそれらのアカウントを

ユーザーグループとして認識します。このグループを加入制限の一つの方法として使用することができます。

ユーザーグループをまとめてディレクトリに追加する方法の詳細は、50ページのユーザーグループをバッチインポートする


ディレクトリ統合を行ってユーザーグループを追加する

ディレクトリ統合を行ってユーザーグループを作成することは、より系統だったデバイス管理を行ううえでメリットがありま

す。デバイス加入に加え、それ以降の更新、管理、ユーザー管理にいたるまで、貴社の既存のディレクトリサービス構

造と足並みを揃えて行うことができます。

操作を行う前に、ユーザーグループタイプがディレクトリであることを確認します。


76



1. アカウント> ユーザーグループ> リスト表示と進み、追加、ユーザーグループの追加の順に選択します。

設定説明

タイプユーザーグループのタイプを選択します。

l ディレクトリ–貴社の既存のActive Directory構造に沿ってユーザーグループを作成します。

l カスタム–貴社の既存のActive Directory構造とは関係なくユーザーグループを作成しま

す。このユーザーグループタイプでは、ベーシックユーザーとディレクトリユーザーが機能とコン

テンツを利用して、貴社の環境に従ってユーザーグループをカスタマイズすることができます。

カスタムユーザーグループを追加できるのはカスタマーレベルの組織グループのみですのでご

注意ください。

外部タイプ追加するグループの外部タイプを選択します。

l グループ–貴社のユーザーグループのベースとなるグループオブジェクトクラスを参照します。

このクラスをカスタマイズするには、グループと設定 > すべての設定 > システム > エンタープラ

イズ統合 > ディレクトリサービス> グループと進みます。

l 組織ユニット–貴社のユーザーグループのベースとなる組織ユニットオブジェクトクラスを参

照します。このクラスをカスタマイズするには、グループと設定 > すべての設定 > システム > エ

ンタープライズ統合 > ディレクトリサービス> グループと進みます。

l カスタムクエリ–カスタムクエリを実行し、返されたユーザーを含むユーザーグループを作成

することもできます。この外部タイプを選択すると、テキスト検索の代わりに、｢カスタムクエ

リ｣セクションが表示されます。

テキスト検索貴社のディレクトリ内のユーザーの名前を特定するには、検索条件を入力し、検索を選択して

検索します。入力した語句がディレクトリグループの名前に含まれている場合、そのグループ名

のリストが表示されます。

外部タイプとしてカスタムクエリを選択した場合、このフィールドは使用できません。

ディレクトリ名貴社のディレクトリサービスサーバのアドレスが表示されます。この欄は読み取りのみです。

ドメインとグ

ループベース

DN

この情報は、ディレクトリサービス画面 (グループと設定 > システム > エンタープライズ統合 > ディ

レクトリサービス)で入力したディレクトリサービスサーバ情報に基づいて自動的に入力されま

す。

グループベースDNの横にあるDN を取得 (+)を選択します。識別名のリストが表示されます。こ

のリストで識別名を選択できます。

カスタムオブ

ジェクトクラス

クエリを実行するオブジェクトクラスを特定します。既定のオブジェクトクラスは｢person｣ですが、

カスタムオブジェクトクラスを提供することで貴社のユーザーを特定する精度を上げることができ

ます。

この欄は、外部タイプとしてカスタムクエリを選択した場合のみに表示されます。

グループ名テキスト検索結果リストからグループ名を選択します。｢識別名｣欄の値を変えると、選択され

るグループ名も自動で変わります。

この欄は、テキスト検索欄を使った検索が正常に行われた後にのみ表示されます。

識別名作成しているグループの完全な識別名が表示されます。この欄は読み取りのみです。

この欄は、外部タイプとしてグループまたは組織ユニットを選択した場合のみ表示されます。


77



設定説明

カスタムベース

DNベース識別名を特定します。これはクエリの開始点としての役割を果たします。既定のベース識

別名は "AirWatch"および"sso"です。ただし、別の開始点からクエリを実行したい場合は、カス

タムベース識別名を指定できます。


組織グループ

割り当て

この欄はオプションです。これにより、作成しているユーザーグループを特定の組織グループに割

り当てることができます。


ユーザーグ

ループ設定

既定の設定を適用とこのユーザーグループにカスタム設定を使用するのいずれかを選択しま

す。カスタム設定セクションに入力欄の追加説明があります。グループを作成した後、権限設

定からこれらの設定を構成することができます。


カスタムクエリ

クエリこの欄は、クエリをテストボタンを選択したときと、続行ボタンを選択したときに、現在読み込ん

でいるクエリを表示します。カスタムロジック欄またはカスタムオブジェクトクラス欄の変更はここ

に反映されます。

カスタムロジッ

ク

ユーザー名や管理者名などのカスタムクエリロジックはここに追加します。例 : "cn=jsmith"。識別名の大部分を含めることも、わずかな部分しか含めないこともできます。クエリをテストボタン

により、クエリのシンタックスが正しいかを続行ボタンをクリックする前に確認することができます。

カスタム設定

管理権限作成するユーザーグループを管理する権限を、すべての管理者に許可することも管理権限をブ

ロックすることもできます。

既定役割ドロップダウンメニューからユーザーグループの既定役割を選択します。

既定の加入ポ

リシー

ドロップダウンメニューから既定の加入ポリシーを選択します。

ディレクトリと自

動同期

このオプションでディレクトリ同期が有効になり、ディレクトリサーバからユーザーメンバーシップを

検出し、一時テーブルに保管します。｢自動融合｣チェックボックスがオフになっている場合、管

理者はコンソールに対する変更内容を承認します。

定期同期時にユーザーグループが自動同期されないようにするには、この設定を無効化する

必要があります。

変更を自動

融合する

管理者の承認なしにデータベースの変更を自動で適用するようにするにはこのオプションを有効

に設定します。

許可された最

大の変更数

自動によるユーザーグループ同期の変更数にしきい値を設定する場合はこの欄を使用しま

す。この数を超えると、変更を適用する前に承認が必要になります。

変更回数がこのしきい値を超えた場合、管理者による承認が必要になります。また、その旨の

通知が送信されます。

この欄は変更を自動融合するが有効になっている場合のみに表示されます。


78



設定説明

グループメン

バーを自動で

追加

ユーザーをユーザーグループに自動追加するには、この設定を有効化します。

定期同期時にユーザーグループが自動同期されないようにするには、この設定を無効化する

必要があります。

不明なユー

ザーを追加す

るときにユー

ザーに Eメール

を送信する

不明なユーザーを追加する際にユーザーにEメールを送信することができます。不明ユーザーを

追加するということは、一時ユーザーグループテーブルとActive Directoryテーブルを結合すること

を意味します。

メッセージテン

プレート

不明ユーザーをユーザーグループに追加する際にEメールを送信する場合に使用するメッセージ

テンプレートを選択します。

この欄は不明なユーザーを追加するときにユーザーに Eメールを送信するが有効になっている

場合のみに表示されます。

識別名の詳細は、Microsoft TechNet (https://technet.microsoft.com)の｢Object Naming｣と題された記事



ユーザーグループ権限を編集する

貴社のどのユーザーが特定グループの変更権限をもつのかを再検討するためには、ユーザーグループ権限を調整しま

す。例えば、貴社組織に会社役員のユーザーグループがある場合、それよりも低いレベルの管理者にそのグループの

管理者権限を与えることは適切ではないかもしれません。

権限画面を使用し、誰に特定ユーザーグループの管理権限を与え、誰にプロファイル/順守ポリシー/アプリケーション

をユーザーグループに割り当てる権限を与えるのかを制御します。ロジックに関する重要な制限事項は、赤で強調表

示されています。

1. アカウント> ユーザーグループ> リスト表示と進みます。

2. 既存のユーザーグループの行の編集アイコンを選択します。

3. 権限タブを選択し、追加をクリックします。

4. アクセス権限を定義する対象の組織グループを選択します。

5. 有効化したいアクセス権限のボックスにチェックを入れます。

l グループを管理 (編集/削除) –ユーザーグループの編集と削除ができるようになります。

l グループ内のユーザー管理と加入の許可 –ユーザーグループ内のユーザーを管理することや、組織グループへ

のデバイスの加入を許可することができます。

o この設定を有効にするには、｢グループを管理 (編集/削除)｣も有効になっている必要があります。

o ｢グループを管理 (編集/削除)｣が無効になっている場合は、この設定も無効になります。


79



https://technet.microsoft.com/

l グループを割り当てに使用 –セキュリティポリシーおよびエンタープライズリソースをデバイスに割り当てるのにグ

ループを使用することができます。

o この設定を変更するには、｢グループを管理 (編集/削除)｣が無効になっている必要があります。

o ｢グループを管理 (編集/削除)｣が有効になっている場合、この設定はロックされ、編集できません。

6. アクセス権限の適用範囲を選択します。これは、このユーザーグループを管理または使用できる管理者を決定し

ます。次のオプションのいずれか1つだけを有効化できます。

l 管理者のみ –親組織グループの管理者にのみ権限が適用されます。

l この組織グループとその下のサブグループのすべての管理者 –権限が組織グループの管理者およびその下位の

すべてのサブ組織グループのすべての管理者に適用されます。


ユーザー詳細情報にアクセスする

ユーザーとユーザーグループが設定された後は、ユーザー詳細、関連デバイス、インタラクションに関するすべてのユー

ザー情報を閲覧することができます。

ユーザー名が表示されている、AirWatchコンソール内の任意の画面で、ユーザー情報を閲覧できます。次に例を示し

ます。

l ｢ユーザーグループのメンバー｣ (アカウント> ユーザーグループ> 詳細表示 > さらに > ユーザーを表示)

l ｢ユーザーリスト表示｣ (アカウント> ユーザー > リスト表示)

l ｢管理者リスト表示｣ (アカウント> 管理者 > リスト表示)

以下のようなユーザー詳細情報が1つの画面に表示されます。

l すべての関連ユーザーグループ

l 過去においてそのユーザーに関連付けられたすべてのデバイスと、加入デバイスの全履歴へのリンク

l デバイス共有環境でそのユーザーがこれまでにチェックアウトしたすべてのデバイスリストと、チェックイン/チェックアウト

全履歴へのリンク

l 特定デバイスと特定ユーザーに関するすべてのイベントログ

l 割り当て済み/承諾済み/承諾を拒否された利用規約一覧

個人情報を暗号化する

必要に応じて、個人を特定できる情報 (氏名、Eメールアドレス、電話番号等)を暗号化することができます。

暗号化を構成したいグローバルレベルまたはカスタマーレベルの組織グループからグループと設定 > すべての設定 > シ

ステム > セキュリティ> データセキュリティと進んでください。

1. ユーザー情報暗号化を有効に設定し、暗号化したいユーザーデータ欄を選択します。この操作により検索、並

べ替え、フィルタの適用ができなくなります。

2. 保存をクリックしてユーザーデータを暗号化します。暗号化されたデータにデータベースからアクセスすることはできま

せん。この操作を行うことで、AirWatchコンソールの検索、並べ替え、フィルタ等いくつかの機能が制限されます。


80



ユーザーグループリスト表示

｢ユーザーグループリスト表示｣画面には、ユーザーグループの閲覧/融合/削除、不明ユーザーの追加など、ユーザー

グループの一般的なメンテナンスや維持にとって便利なツールがあります。アカウント> ユーザーグループ> リスト表示と

進みます。

この画面から、最も重要な基準に基づいてユーザーグループのリストを素早くカスタマイズすることができます。新しい

ユーザーグループを個別にまたは一括で追加することもできます。

操作説明

フィル

タ

以下のフィルタを使用し、必要なユーザーグループのみ表示します。

l ユーザーグループタイプ

l 同期状態

l 融合状態

追加

ユー

ザー

グ

ルー

プを

追加

する

ディレクトリベースのユーザーグループまたはカスタムユーザーグループのいずれかを1つ追加します。

バッ

チイ

ン

ポー

ト

新しいデバイスプロファイルをCSVファイルを使用して一括インポートします。一意の名前および説明を入力し

て、一度に複数のユーザーグループを整理できます。

カラ

ムの

並べ

替え

とサ

イズ

変更

｢リスト表示｣の中で並べ替えができるカラムは、｢グループ名｣、｢最終同期日｣、｢ユーザー｣および｢融合状

態｣です。幅を変更できるカラムは、「グループ名」と「最終同期日」です。

詳細

表示

｢詳細表示｣でユーザーグループ基本情報を表示するには、グループ名カラムのリンクを選択します。ユー

ザーグループ基本情報の内容は、グループ名、グループタイプ、外部タイプ、マネージャ、およびユーザー数で

す。｢詳細表示｣のグループ化タブですべての設定 > デバイスとユーザー > 全般 > 加入と進むと、グループ

マッピング設定へのリンクが表示されます。

エク

ス

ポー

ト()

フィルタを適用していない、あるいは適用後の｢リスト表示｣全体をCSV (コンマ区切り値)ファイルで保存し

Excelで表示/分析します。


81



ユーザーグループリスト表示のユーザーの左側には、選択チェックボックスと編集アイコンがあります。編集アイコン( )を選択し、ユーザーグループに基本的な変更を加えることができます。ユーザーグループに対して一括アクションを実行

するには、1つ以上のグループを選択します。選択したユーザーグループに対するアクションボタンが表示されます。

必要な数のチェックボックスを選択し、必要なユーザーグループをすべて選択できます。そうすることにより利用可能な

アクションボタンが変わります。それらのアクションは、複数のユーザーとそれぞれのデバイスに適用されます。

操作説明

同期最近追加されたユーザーグループユーザーを一時的な表にコピーし、自動的に行われるようスケジュー

ルされたAirWatchによるActive Directory同期が実行される前に手動で同期します。

ユーザー

を表示す

る

ユーザーグループメンバー画面が表示されます。この画面で、選択したユーザーグループ内のすべての

メンバーのユーザー名を確認できます。

その他の

アクション

閲覧と融合一時的なユーザーグループに最近追加されたユーザーの追加または削除と閲覧を行います。この表に表示されるユーザーグ

ループのユーザーは、自動のAirWatchユーザーグループ同期が行われるまで待機します。

不明ユー

ザーを追加

一時的なユーザーグループの表をActive Directoryの表と組み合わせ、ユーザーグループに新しいユーザーを正式に追加しま

す。

削除ユーザーグループを削除します。

ユーザーをユーザーグループに追加する

以下の手順に従って1つ以上のユーザーグループに新しいユーザーを追加します。

1. アカウント> ユーザー > リスト表示と進みます。

2. 左側のボックスにチェックを入れてユーザーを1人以上選択します。

3. その他のアクションボタンを選択し、ユーザーグループに追加を選択します。選択したユーザーをカスタムユーザー

グループに追加画面が表示されます。

4. ユーザーを既存のユーザーグループに追加するか、あるいは新しいユーザーグループを作成します。

5. グループ名を選択します。


7. アカウント> ユーザーグループ> リスト表示と進みます。

a. Active Directory (AD)の同期 (自動化およびスケジュールされたプロセス)により、保留中のユーザーグループの

ユーザーを一時テーブルにコピーします。次に、これらのユーザーグループのユーザーを確認、追加、または削

除します。

b. Active Directoryとの自動同期処理が実行されるまで待てない場合、手動で同期させることができます。手動

同期を実行するには、ユーザーを追加したユーザーグループを選択し、同期ボタンを選択します。

8. オプションで、さらに > 閲覧して融合を選択し、保留中のユーザーグループのユーザー確認、追加や削除といった

メンテナンス作業を行うこともできます。

9. 保留中のユーザーグループユーザーの一時テーブルをActive Directoryユーザーグループユーザーと結合するには、

さらに > 不明ユーザーを追加を選択します。


82



管理者グループ概要

管理者グループにより、管理者アカウントのサブセットを作り、管理者アカウントに付属している権限以外の役割や権

限を割り当てることができます。

管理者グループは、特別なプロジェクト用に、コンソールにアクセスできる役割と権限を割り当てたい場合に使用できま

す。

既存のディレクトリサービス管理者を管理者グループに追加することも、カスタムクエリを使用して管理者グループを作

成することもできます。

たとえば、新規プロジェクトが発生した場合、トレーナーのグループに特別な管理権限を付与しなければならないことが

あります。そのような場合には、管理者グループを作成し、トレーナーをカスタムクエリで抽出し、新規プロジェクトに特

化した役割を与えます。詳細は、52ページの管理者アカウントを参照してください。

管理者グループリスト表示

｢管理者グループリスト表示｣画面には、ユーザーグループの一般的なメンテナンスや維持のための有益なツールがあ

ります。このような維持作業の具体的な内容は、ユーザーグループおよび不明ユーザーの追加、表示、融合、および

削除です。

この画面を表示するには、アカウント> 管理者 > 管理者グループと進みます。

管理者グループの編集画面を表示するには、リスト表示のグループ名カラムにある、リンクが設定された名前を選択

します。この画面で、管理者グループの名前を変更します。また、グループメンバーの役割を追加および削除できま

す。詳細は、59ページの管理者役割を参照してください。

管理者グループメンバーのリストを表示するには、管理者カラムにある、リンクが設定された数値を選択します。この

管理者グループ内のすべての管理者の名前が一覧表示されます。

次のアクションおよびメンテナンス機能を実行するには、グループ名の横にあるラジオボタンを選択します。

操作説明

同期最近追加された管理者グループユーザーを一時テーブルにコピーし、自動的に行われるようスケ

ジュールされたAirWatchによるActive Directory同期が実行される前に手動で同期します。

その他のアク

ション

閲覧と融合一時的な管理者グループに最近追加されたユーザーの追加または削除と閲覧を行います。この表

に表示される管理者グループのユーザーは、自動のAirWatch管理者グループ同期が行われるまで

待機します。

削除管理者グループを削除します。

一番上、上

へ、下へ、一

番下

各管理者グループのランキングを、リストの順序を変えることで編集することができます。このようにグ

ループを移動する操作は、管理者グループが1画面に収まらない場合に便利です。

不明ユーザー

を追加

一時的な管理者グループの表をActive Directoryの表と組み合わせ、グループに新しい管理者を正

式に追加します。


83



管理者グループを追加する

以下の手順に従って管理者グループを追加し、特別なプロジェクトのためなどに管理者に追加の役割や権限を割り

当てることができます。


84



1. アカウント> 管理者 > 管理者グループと進み、追加をクリックします。該当する項目を設定します。

設定説明

外部タイ

プ

追加する管理者グループの外部タイプを選択します。

l グループ–貴社の管理者グループのベースとなるグループオブジェクトクラスを参照します。このク

ラスをカスタマイズするには、グループと設定 > すべての設定 > システム > エンタープライズ統合 >ディレクトリサービス> グループと進みます。

l 組織ユニット–貴社の管理者グループのベースとなる組織ユニットオブジェクトクラスを参照しま

す。このクラスをカスタマイズするには、グループと設定 > すべての設定 > システム > エンタープライ

ズ統合 > ディレクトリサービス> グループと進みます。

l カスタムクエリ–カスタムクエリを実行し、返されたユーザーを含むユーザーグループを作成するこ

ともできます。この外部タイプを選択すると、テキスト検索の代わりに、｢カスタムクエリ｣セクション


ディレクト

リ名

貴社のディレクトリサービスサーバのアドレスが表示されます。この欄は読み取りのみです。

ドメイン

とグルー

プベース

DN

これらの項目はディレクトリサービス画面 (アカウント> ユーザーグループ> 設定 > ディレクトリサービ

ス)に入力されたディレクトリサービスサーバ情報に基づいて自動的に入力されます。

グループベースDNの横にあるDN を取得 (+)を選択します。ベースドメイン名のリストが表示されま

す。このリストでベースドメイン名を選択できます。

テキスト

検索

ディレクトリの管理者グループ名を特定する検索条件を入力し、検索をクリックします。入力した語

句がディレクトリグループの名前に含まれている場合、そのグループ名のリストが表示されます。

また、作成している管理者グループに既定の役割を適用することもできます。検索を行った後、役割

タブを選択し、追加ボタンをクリックして新しい役割を追加します。あるいは、組織グループと役割を

変更し、既存の役割を編集します。

この欄は、外部タイプとしてグループまたは組織ユニットを選択した場合のみに表示されます。

カスタム

オブジェク

トクラス

クエリを実行するオブジェクトクラスを特定します。既定のオブジェクトクラスは｢person｣ですが、カスタ

ムオブジェクトクラスを提供することで貴社の管理者を特定する精度を上げることができます。


カスタム

ベース

DN

ベース識別名を特定します。これはクエリの開始点としての役割を果たします。既定は 'airwatch'と'sso'ですが、別の開始点からクエリを実行したい場合は、カスタムベース識別名を提供してください。


グループ

名

テキスト検索結果リストからグループ名を選択します。｢識別名｣欄の値を変えると、選択されるグ

ループ名も自動で変わります。


識別名作成しているグループの完全な識別名を表示します。この欄は読み取りのみです。



85



設定説明

ランク管理者グループが作成されるとそのランクが表示されます。この欄は読み取りのみです。管理者グ

ループのランクを変更するには、グループと設定 > グループ> 管理者グループと進み、管理者グルー

プリストの右側の｢さらに｣ボタン( )を使用してそのグループの他のグループに対する位置を変更しま

す。

自動同

期

このオプションでディレクトリ同期が有効になり、ディレクトリサーバからユーザーメンバーシップを検出

し、一時テーブルに保管します。自動融合チェックボックスがオフになっている場合、管理者はコン

ソールに対する変更内容を承認します。

自動融

合

管理者の承認なしにデータベースの変更を自動で適用するようにするにはこのオプションを有効に設

定します。

許可され

た最大の

変更数

自動による管理者グループ同期の変更数にしきい値を設定する場合はこの欄を使用します。この

数を超えると、変更を適用する前に承認が必要になります。

この欄は自動融合が有効になっている場合のみに表示されます。

グループ

メンバー

を自動で

追加

管理者を管理者グループに自動で追加するにはこのオプションを有効にします。

タイム

ゾーン

管理者グループに対応するタイムゾーンを入力します。この設定は必須で、スケジュール済みの自動

Active Directory同期が実行される時間に影響を与えます。

ロケール管理者グループのローカリゼーション設定 (言語)を選択します。このフィールド値は指定必須です。

最初のラ

ンディング

画面

管理者グループの管理者に最初に表示されるランディング画面を入力します。この欄は必須項目で

す。既定の設定はデバイスダッシュボード画面になっていますが、任意の画面に変更することができ

ます。

カスタムクエリ

クエリこの欄は、クエリをテストボタンを選択したときと、続行ボタンを選択したときに、現在読み込んでいる

クエリを表示します。カスタムロジック欄またはカスタムオブジェクトクラス欄に対する変内容は、ここ

に反映されます。

カスタム

ロジック

管理者名などのカスタムクエリロジックはここに追加します。例 : "cn=jsmith"。識別名の大部分を含

めることも、わずかな部分しか含めないこともできます。クエリをテストボタンにより、クエリのシンタックス

が正しいかを続行ボタンをクリックする前に確認することができます。

識別名の詳細は、Microsoft TechNet (https://technet.microsoft.com)の｢Object Naming｣と題された記事



割り当てを表示

割り当てられたグループに含まれている(あるいは除外されている)プロファイル、アプリ、ブック、チャンネル、および順守ポ

リシーを確認することができます。


86



https://technet.microsoft.com/

1. グループと設定 > グループ> 割り当てグループと進んでグループリストを表示し、少なくとも1つが割り当てられてい

るグループを特定します。

2. 割り当てカラムでハイパーリンクの付いた数字を選択して、割り当てを表示画面を開きます。この画面にはグルー

プの割り当てまたは除外を含むカテゴリのみが表示されます。

割り当てを表示画面のヘッダー行の上に、特定のプロファイル、アプリ、ブック、チャンネルおよび順守ポリシーを確認す

るのに役立つ3つの新しいツールがあります。


87



第 7章:デバイス加入

デバイス加入の概要 89

ベーシック加入とディレクトリサービスによる加入 92

個人デバイスの業務利用 (BYOD)での加入 95

セルフサービスの加入とデバイスの代理セットアップ 98

デバイスの登録 103

加入オプションを構成する 110

デバイス登録をブラックリスト/ホワイトリスト設定する 115

追加の加入制限 116

AirWatchの自動検出による加入 120

88



デバイス加入の概要

デバイスを管理する前に、AirWatchへの加入を行う必要があります。AirWatchには複数のデバイス加入オプションがあ

ります。

この非線形調査は、すべての加入方法を網羅することを目的としているのではなく、どのような加入方法が適している

かを考えるヒントになるものです。貴社のニーズに適した方法を検討してください。

加入プロセスの前提条件

加入プロセスは、デバイスが属するプラットフォームにより、若干異なる可能性があります。それぞれのタイプのデバイス

を加入する具体的な手順については、該当するプラットフォームガイドを参照してください。

デバイス加入の際には、以下の情報が必要になります。

l 加入 URL – AirWatchに加入するすべてのユーザー、組織、デバイスの加入 URLはAWAgent.comです。

l ユーザー資格情報 –このユーザー名とパスワードによってユーザーが特定され、ログイン、認証、加入が可能になり

ます。

o ネットワークディレクトリサービスと同じ資格情報を使用することができます。ディレクトリサービスに基づく加入に

利用できます。

または

o AirWatch固有の資格情報を使用することができます。基本的なユーザー加入に利用します。

l グループ ID –グループIDによって、加入後にエンドユーザーがどのモバイルデバイス管理 (MDM)リソースと機能に

アクセスできるかが決まります。必要に応じて、エンドユーザーにグループIDを提供します。

デバイスをグローバルで加入させる





詳細は、119ページのデバイスをグローバルレベルで加入させるべきでない理由を参照してください。

AirWatch Agentを使用してデバイスを加入する

Android、iOSとWindowsデバイスの主要な加入方法は、AirWatch Agentを使用する方法です。

1. 加入を行うデバイスのネイティブブラウザでAWAgent.comにアクセスします。

AirWatchはAirWatch Agentがすでにインストールされているかを自動的に検出し、必要に応じてAgentをダウン

ロードするのに必要なモバイルアプリストアを開きます。

パブリックアプリケーションストアからAgentをダウンロードするには、Apple IDまたはGoogleアカウントが必要になりま

す。

2. ダウンロード完了後にAirWatch Agentを実行するか、または、ブラウザセッションに戻ります。

重要 : AndroidデバイスにAirWatch Agentをインストールして実行するには、デバイスに60MB以上の空きス

ペースが必要です。Androidプラットフォーム上では、CPUおよび実行時メモリはアプリケーションごとに割り当てら

第 7章 :デバイス加入

89



https://www.awagent.com/

https://www.awagent.com/

れます。あるアプリケーションが、割り当てられている以上のリソースを使用している場合、Androidデバイスに

よってそのアプリケーションが強制終了され、リソース配分が最適化されます。

3. Eメールアドレスを入力します。AirWatchは、このアドレスが貴社環境にすでに追加されていないか確認します。追

加されていれば、このエンドユーザーはすでに構成されており、組織グループに割り当てられていることになります。

Eメールアドレスがエンドユーザーと一致しない場合、AirWatchは、環境 URL、グループ IDと資格情報を入力す

るよう求めるプロンプトを表示します。環境 URLとグループIDが必要である場合、貴社のAirWatch管理者から入

手できます。

4. 残りのプロンプトに従って、加入処理を完了させます。

その他の加入ワークフロー

場合によっては、組織形態や展開形態に応じて加入プロセスの調整が必要になることがあります。どの加入オプション

を使用する場合でも、エンドユーザーに資格情報が必要になります。このガイドの｢必要な情報｣セクションを参照し

てください。

l 通知プロンプト加入 –エンドユーザーは、加入 URLの記載された通知を(Eメールまたは SMSで)受け取り、その

URLからグループIDとログイン資格情報を入力します。エンドユーザーが利用規約 (TOU)を承認すると、デバイス

が自動的に加入され、すべてのMDM機能およびコンテンツとともに提供されます。この承認には、AirWatchサー

バで選択したアプリおよび機能も含まれます。

l シングルクリック加入 –このワークフローはWebベースの加入に適用され、管理者は、AirWatchにより生成された

トークンを加入リンクのURLとともにユーザーに送信します。エンドユーザーは、入手した加入リンクを選択して認証

を受け、デバイスを加入させます。これは、エンドユーザーにとって最も簡単かつ迅速な加入プロセスです。有効期

限を設定して、この加入プロセスをセキュアにすることもできます。

o ウェブ加入 –ウェブ加入を行う場合、オプションで、管理者がアクティブな環境に"/enroll/welcome"を付けるこ

とで、ウェルカム画面を表示することができます。たとえば、ウェブ加入を行うユーザーに

https://<custenvironment>/enroll/welcomeというURLを提供すると、｢AirWatchへようこそ｣画面が表示され

ます。この画面には、EメールアドレスやグループIDを使用して登録できるオプションも含まれています。「ウェブ

加入」オプションは、AirWatchバージョン8.0以降で適用されます。

l 二要素認証 –このワークフローでは、前項目と同様に、管理者はAirWatchにより生成されたトークンをユーザーに

送信しますが、ユーザーはログイン資格情報も入力する必要があります。この方法はシングルクリック加入のように

簡単に実行できますが、セキュリティレベルが一段高くなります。追加のセキュリティ対策として、ユーザーは一意の

資格情報を入力する必要があります。

l エンドユーザー登録 –ユーザーがセルフサービスポータルにログインし、自分でデバイスを登録する方法です。登録

完了後、システムはエンドユーザー宛に加入 URLとログイン資格情報の記載されたEメールを送信します。この

ワークフローでは、企業のデバイス群のデバイス登録を管理者がまだ実行していないことが前提となっています。ま

た、管理者が加入状態を追跡できるように企業デバイスの登録が必要になることも前提となっています。エンド

ユーザーが登録するということは、企業デバイスをユーザーが購入したデバイスと一緒に使用できるということになり

ます。

l シングルユーザー用デバイス代理セットアップ—エンドユーザーの代わりに管理者がデバイス加入を行います。この

方法は、チーム全員または特定メンバーが各自でデバイスの加入手続きを行うのではなく、管理者が代理で複

数デバイスをセットアップしたい場合に便利です。そうすることで、エンドユーザーが自分のデバイスを加入する時間


90



と手間を省くことができます。管理者がデバイスの構成と加入を行った後、そのデバイスをオフサイト勤務のユーザー

に郵送することもできます。

l マルチユーザー用デバイス代理セットアップ—複数のユーザーで共同使用されるデバイスに管理者がデバイス加入

を行います。各デバイスは加入状態となり、特定の機能がプロビジョニングされます。ユーザーは、一意の資格情

報を用いてログインした後にのみ、これらの機能にアクセスできます。


108ページの登録トークンを有効にし、既定のメッセージを作成する

107ページのエンドユーザーによるデバイス登録

103ページのデバイスの登録

101ページのシングルユーザーデバイスを代理セットアップする

102ページのマルチユーザーデバイスを代理セットアップする


91



ベーシック加入とディレクトリサービスによる加入

Active Directory (AD)、Lotus Domino、Novell e-Directoryなどのディレクトリサービスインフラストラクチャを導入している

場合は、その既存のユーザーおよびグループをAirWatchで利用できます。

既存のディレクトリサービスインフラストラクチャがない場合や、既存のインフラストラクチャと統合したくない場合は、

ベーシック加入を実行する必要があります。ベーシック加入とは、AirWatchユーザーアカウントを手動で作成することで

す。

注 : AirWatchでは、ベーシックのユーザーとディレクトリベースのユーザーの混在をサポートしていますが、通常、初回

のユーザーおよびデバイスの加入を行う場合には、どちらか一方を使用します。

長所と短所

長所短所

ベーシック

加入




l 資格情報はAirWatch内のみに存在し、既存の企業資格情報

と必ずしも合致しない

l セキュリティの連携がない

l シングルサインオンがサポートされていない

l すべてのユーザー名とパスワードはAirWatchに保存されます。

ディレクトリ

サービスに

よる加入

l 既存の企業資格情報を使用してエンドユー

ザーを認証

l ディレクトリシステムにおける変更内容を自動検

出し、AirWatchシステムに自動的に反映させる


l セキュアな方法で既存のディレクトリサービスと

統合できます。


l VMware Enterprise Systems Connectorを使用す

るSaaS 展開では、ファイアウォールの変更が不

要で、Microsoft ADCS、SCEP、SMTPサーバなど

の他のインフラストラクチャに対してセキュアな構

成を提供できます。

l 既存のディレクトリサービスインフラストラクチャが必

要です。

l SaaS展開では、VMware Enterprise SystemsConnectorをファイアウォールの内側またはDMZ内に

インストールする必要があるため、追加の構成作業

が必要です。

加入における検討事項 (ベーシックユーザーとディレクトリユーザーの比較 )

エンドユーザー加入処理について検討する際、既存のベーシックユーザーとディレクトリユーザーの長所と短所に加え、

次の点についても検討する必要があります。

ベーシックユーザーとディレクトリユーザーの長所と短所については、92ページのベーシック加入とディレクトリサービスに

よる加入を参照してください。

考慮事項 #1: 誰が加入できますか。

この質問の答えを考える際には、以下の点を検討してください。


92



l MDM展開で、構成したベースDNレベルまたはそれ以下の組織のユーザー全員のデバイスを管理することを目的

としていますか。その場合、最も簡単な方法は、｢加入を制限｣チェックボックスの選択を解除して、すべてのユー

ザーの加入を許可することです。

初回展開時にはすべてのユーザーの加入を許可し、その後、不明ユーザーが加入できないように制限することが

できます。新しい従業員またはメンバーを既存のユーザーグループに追加すると、その内容が同期および融合され

ます。

l MDMの対象とすべきでないユーザーまたはグループがあるか。その場合は、ユーザーを1人ずつ追加するか、CSV(コンマ区切り)ファイルに対象のユーザーのみを記載してバッチインポートする必要があります。

特定のユーザーおよびグループに制限を適用したい場合は、116ページの加入制限設定を構成するを参照してくださ

い。

考慮事項 #2: ユーザーはどこに割り当てますか。

もう1つ、AirWatch環境をディレクトリサービスと統合する際に考えるべきことは、加入時にディレクトリユーザーを組織

グループにどのように割り当てるかということです。この質問の答えを考える際には、以下の点を検討してください。

l ディレクトリサービスグループと論理的に対応するように組織グループの構造を作成していますか。ユーザーグルー

プ割り当てを編集する前に、この処理を完了させておく必要があります。

l ユーザーが自分のデバイスを加入させる場合、リストからグループIDを選択する方法が簡単です。そのような簡単

な手順でも、人的エラーによる不適切なグループの割り当てが起こる可能性があります。

ユーザーグループに基づいてグループIDを自動的に選択することも、ユーザーがリストからグループIDを選択することも

できます。これらのグループ ID 割り当てモードオプションを使用するには、デバイス> デバイス設定 > デバイスとユー

ザー > 全般 > 加入と進み、グループ化タブを選択します。

グループIDオプションを構成する場合は、110ページの「グループ化」タブで加入オプションを構成するを参照してくださ

い。

ベーシック加入を有効にする

ベーシック加入は、組織のユーザーごとにユーザーアカウントおよびユーザーグループを手動で作成するプロセスです。

組織でAirWatchとディレクトリサービスが統合されていない場合は、ベーシック加入を使用してユーザーアカウントを作

成します。

作成するベーシックアカウントが非常に少ない場合は、42ページのベーシックユーザーアカウントを作成するにアクセス

して一度に1つずつアカウントを作成します。

エンドユーザーの数が多いベーシック加入の場合、CSV (コンマ区切り値)形式のテンプレートファイルを入力し、アップ

ロードすることで時間を短縮できます。これらのファイルには、バッチインポート機能によりすべてのユーザー情報が含ま

れます。詳細は、49ページのユーザーまたはデバイスをバッチインポートするを参照してください。

デバイス加入についての調査をやり直す場合は、89ページのデバイス加入の概要を参照してください。

ディレクトリサービスベースの加入を有効にする

ディレクトリサービスベースの加入とは、AirWatchを貴社のディレクトリサービスインフラストラクチャと統合するプロセスの

ことです。ディレクトリサービスをAirWatchと統合した場合、ユーザーを自動インポートできます。また、セキュリティグ

ループや配布リストなどのユーザーグループを自動インポートすることもできます。

Active Directory (AD)などのディレクトリサービスと統合する場合は、ユーザーのインポート方法についていくつかのオプ

ションがあります。


93



l すべてのディレクトリユーザーに加入を許可する–ディレクトリサービスのすべてのユーザーに加入を許可することが

できます。また、Eメールを基準にしてユーザーを自動検出するように、貴社環境を設定することもできます。その

後、ユーザーが加入処理を実行する際に、そのユーザーのAirWatchアカウントを作成します。

l ユーザーを1人ずつ追加する–貴社のディレクトリサービスとの統合後、ベーシックAirWatchユーザーアカウントを

作成する際と同じように、ユーザーを個別に追加することができます。唯一の違いは、ユーザー名を入力し、ユー

ザーをチェックをクリックすると、ディレクトリサービスの情報が自動入力されるという点です。

l CSV ファイルを一括アップロードする–このオプションを使用すると、CSV (コンマ区切り値)テンプレートファイルでディレ

クトリサービスアカウントのリストをインポートすることができます。このファイルではカラムが定められており、一部のカ

ラムの値を空白のままにすることはできません。

l ユーザーグループとの統合 (オプション) –この方法では、既存のユーザーグループメンバーシップを、プロファイル、ア

プリ、順守ポリシーなどを割り当てる際に使用することができます。

注 : AirWatch環境のサーバとディレクトリサービスを統合する方法については、VMware AirWatch Directory Servicesガイドを参照してください。AirWatchとSAMLプロバイダとの統合については、VMware AirWatch SAML Integrationガイドを参照してください。これらの文書は 214ページの他の文書を入手するから入手することができます。


94



個人デバイスの業務利用 (BYOD)での加入

ユーザー個人のデバイスを管理するうえで大きな課題となるのは、従業員所有のデバイスと企業所有のデバイスを認

識し、識別したうえで、承認済みデバイスのみが加入できるように制限することです。

AirWatchでは、さまざまなオプションを構成して、個人デバイスの加入を行う際のエンドユーザーのエクスペリエンスをカ

スタマイズできます。開始する前に、展開において従業員所有のデバイスをどのように特定するのか、また、従業員所

有のデバイスに加入制限を適用するかどうかを検討しておく必要があります。

加入における検討事項 (BYOD)

個人用デバイスをAirWatch環境に加入させることを従業員に許可する場合、事前に多くの点について検討する必

要があります。

考慮事項 #1: BYOD ユーザーは、加入にVMware Workspace One、AirWatch Container アプリ、または AirWatchAgent を使用しますか。

VMwareWorkspace ONEは、セキュアなエンタープライズプラットフォームで、すべてのデバイスを対象にアプリの配信およ

び管理を行うことができます。セルフサービスで使い始めることができ、クラウド/モバイル/Windowsアプリへのシングルサ

インオンアクセスが可能で、パワフルに統合されたEメール、カレンダー、ファイル、共同作業のツールが揃っています。

Workspace ONEを使用する場合、ユーザーはサービスにアクセスするために個人デバイスの加入を行う必要はありませ

ん。Workspace ONEアプリ自体はApple App Store、Google Play、またはMicrosoft Storeからダウンロードしてインストー

ルすることができます。ユーザーは、ログインすると、設定されているポリシーに基づいてアプリケーションにアクセスできま

す。Workspace ONEアプリでは、インストール時にMDM管理プロファイルが構成され、自動的にデバイスの加入が行わ

れます。

AirWatch Containerを使用すると、特定のリソースを一定のセグメントのBYODユーザーに提供できます。たとえば、企

業のEメールにだけアクセスできればよいユーザーがいたり、1つの企業アプリにだけアクセスできればよいユーザーがいたり

する場合があります。

AirWatch Containerを使用すると、BYODユーザーはAirWatchに加入し、ビジネスアプリケーションとリソースに安全にア

クセスすることができます。このとき、企業所有デバイスに適用されるのと同じAirWatchプロファイルは適用されません。

AirWatch Containerは、ユーザーがMDMに対して抱くプライバシーに関する懸念に対応しており、管理者が制御でき

るのは、管理対象のエンタープライズアプリだけで、デバイス全体を制御することはできなくなっています。

考慮事項 #2: 所有形態タイプはどのように指定しますか。

AirWatchに加入するすべてのデバイスにデバイスの所有形態タイプが割り当てられます (企業所有-専用、企業所有-共用、従業員所有)。従業員の個人デバイスは、従業員所有タイプに分類され、このタイプ用に構成された特定のプ

ライバシー設定と制限が適用されます。

所有形態タイプの指定に関する質問の答えを考える際には、以下の点を検討してください。

l AirWatchコンソールへの一括アップロードに使用できる企業デバイスのマスターリストはありますか。リストを使用で

きる場合は、このリストをアップロードして既定の所有形態タイプを｢従業員所有｣に設定することを検討してくださ

い。

l ユーザーがリストから所有形態タイプを選択できるようにすることによる法的な影響について考慮していますか。たと

えば、ユーザーが個人デバイスを加入させたが、所有形態タイプとして｢企業所有｣を誤って選択したとします。そ

のユーザーがポリシーに違反してその個人デバイスが完全にワイプされた場合、どのような影響が生じますか。

BYODプログラムでは、加入時に既定の所有形態タイプが適用されるようにAirWatchを構成するか、または、ユーザー

が適切な所有形態タイプを自分で選択できるようにすることができます。


95



考慮事項 #3: 従業員所有のデバイスに追加の加入制限を適用しますか。

この質問の答えを考える際には、以下の点を検討してください。

l MDM展開では特定のデバイスプラットフォームのみをサポートしますか。その場合は、そのプラットフォームを指定し

て、そのプラットフォームで実行されているデバイスのみに加入を許可することができます。

l 従業員が加入を行える個人デバイスの台数を制限しますか。制限する場合は、ユーザーが加入できるデバイスの

最大台数を指定できます。

追加の加入制限を設定して、加入できるユーザーや許可するデバイスタイプをさらに制御することができます。たとえ

ば、エンタープライズ管理機能が組み込まれているAndroidデバイスのみをサポートすることができます。業務で使用す

るのにふさわしい従業員所有デバイスの種類を検討して決定したら、これらの設定を構成できます。

詳細は、116ページの追加の加入制限を参照してください。

企業デバイスを識別し、既定のデバイス所有形態を指定する

企業所有デバイスと従業員所有デバイス(従業員自身が加入させる)が混在している場合、デバイスのリストを作成

すると便利です。

加入処理の開始時、企業所有として指定したデバイスには、その所有形態タイプが自動設定されます。次に、リスト

にないすべての従業員所有デバイスを構成し、｢従業員所有｣という所有形態タイプで加入させることができます。

承認済み企業デバイスのリストをインポートする手順を次に示します。｢従業員所有｣という所有形態タイプを自動適

用する、という制限事項を設定していたとしても、加入処理後に｢企業所有｣という所有形態タイプを自動適用でき

ます。

一方で、新規加入時の制限では、プラットフォーム、モデル、OSなどを特定するパラメータに合致するデバイスの加入

が明示的に許可またはブロックされます。

1. デバイス> ライフサイクル > 加入状態と進み追加からバッチインポートを選択します。

あるいは、ホワイトリストデバイスを選択し、IMEI、UDIDまたはシリアル番号を入力してデバイスをホワイトリスト設

定することができます (一度に30台のデバイスを追加できます)。また、所有形態タイプとして｢企業所有 –専用｣

または｢企業所有 –共有｣を選択できます。

2. バッチ名とバッチの説明を入力し、バッチタイプとしてホワイトリストデバイスを追加を選択します。

3. ファイルを選択を選択してファイルをアップロードするか、情報アイコン()を選択してサンプルテンプレートをダウン

ロードします。テンプレートを保存するには必要な情報を入力します。


次に、すべてのオープン加入の既定のデバイス所有形態を従業員所有に設定します。

1. デバイス> デバイス設定 > デバイスとユーザー > 全般 > 加入と進み、グループ化タブを選択します。

2. 既定のデバイス所有形態 .として従業員所有を選択します。

3. ユーザーに割り当てられた既定役割を選択します。これは、そのユーザーのセルフサービスポータル(SSP)へのアク

セスレベルを決定するものです。

4. 非アクティブなユーザーに対する既定アクションを選択します。これは、非アクティブとマークされたユーザーに対す

る対応を決定するものです。



96



所有形態タイプを特定するようユーザーにプロンプトを表示する

複数の所有形態タイプが混在する組織グループがある場合、加入時に所有形態タイプを指定するように促すプロン

プトをユーザーに対して表示することができます。

1. デバイス> デバイス設定 > デバイスとユーザー > 全般 > 加入と進み、プロンプト表示 (オプション)タブを選択しま

す。

2. デバイス所有形態タイプをプロンプトするを選択します。加入時に所有形態タイプの選択を促すプロンプトが表示

されます。


リスク

これはシンプルな作業ですが、このアプローチは、すべてのユーザーが自分のデバイスの所有形態タイプを適切に選択

するという前提のもとに成り立っています。

個人デバイスユーザーが所有形態タイプとして｢企業所有｣を選択した場合、そのデバイスには、通常は従業員所

有デバイスに適用されないポリシーとプロファイルが適用されます。このように所有形態タイプを誤選択した場合、ユー

ザープライバシーの観点から、法的な問題を引き起こす可能性があります。

所有形態タイプは後で随時変更できますが、企業デバイスのリストを作成すると安全性が高まります。その後、企業

所有デバイスを後で別途加入させ、既定の所有形態タイプを｢従業員所有｣に設定します。

詳細は、214ページの他の文書を入手するから入手可能なVMware AirWatch BYOD ガイドを参照してください。


97



セルフサービスの加入とデバイスの代理セットアップ

AirWatchでは、企業デバイスの加入方法として2つの方法をサポートしています。ユーザーが自分でデバイスの加入を

行うようにすることも、管理者がデバイスの代理セットアップと呼ばれるプロセスでユーザーの代わりにデバイスの加入を

行うこともできます。

デバイスの代理セットアップでは、エンドユーザーにデバイスを割り当てて配布する前に、管理者がデバイスの加入を行

います。この方法は、組織内の複数のユーザーによって共有されているデバイスをセットアップしなければならない場合

に便利です。

また、デバイスの代理セットアップは、新しくプロビジョニングを行うデバイスに適しています。従業員にデバイスを配布す

る前に作業を実施できるためです。エンドユーザーが既に企業所有デバイスを持っている場合、エンドユーザー自身

にデバイス加入処理を行わせることが効果的です。また、デバイスの総数が多すぎて管理者が代理セットアップするの

が現実的でない場合も、エンドユーザー自身にデバイス加入処理を行わせる方法が効果的です。

デバイスの代理セットアップはAndroid、Windows Phone、iOS、macOSデバイスで実行できます。

注 :Windows Phoneでは、現在、シングルユーザーのデバイス代理セットアップのみがサポートされています。

加入における検討事項 (セルフサービス加入 )

エンドユーザー自身に加入処理を実行させて時間を節約したい場合、次の点について検討してください。

考慮事項 #1: デバイス所有形態

l 割り当てられた企業デバイスはすでにエンドユーザーの手元にありますか。その場合は、それぞれのデバイスを集め

て代理セットアップを行うのはあまり合理的でないため、ユーザー自身に加入を行ってもらうのが良いでしょう。

l エンドユーザーはデバイスを共有して使用しますか、それとも専用デバイスを使用しますか。エンドユーザーがデバ

イスを共有していない場合は、そのデバイスの唯一の所有者に加入を行ってもらうことができます。

考慮事項 #2: 自動検出

組織のEメールドメインをAirWatch環境と関連付けていますか。このプロセス(自動検出)では、エンドユーザーは Eメールアドレスと資格情報を入力するだけで十分です。加入 URLとグループIDは自動入力されます。

120ページのサブ組織グループからの自動検出による加入を構成するおよび120ページのメイン組織グループからの自

動検出加入を構成するも参照してください。

セルフサービスによる加入プロセス

セルフサービスによる加入プロセスでは、エンドユーザーが適切なグループIDおよびログイン資格情報を知っている必要

があります。ディレクトリサービスと統合している場合は、これらの資格情報はユーザーのディレクトリサービスの資格情

報と同じになります。

組織のEメールドメインをAirWatch環境と関連付けることもできます。このプロセスは、自動検出と呼ばれます。自動

検出を有効化した場合、サポート対象プラットフォームのデバイスにおいて、エンドユーザーは Eメールアドレスを入力

するよう要求されます。Eメールドメイン(@の後ろの文字列)が一致している場合、加入処理が実行されます。グルー

プIDまたは加入 URLを入力する必要はありません。

注 : AirWatch Containerのユーザーは、アプリストアからAirWatch Containerアプリをダウンロードします。


98



1. エンドユーザーがAWAgent.comにアクセスします。これにより、AirWatch Agentがインストールされているかどうかが

自動検出されます。インストールされていない場合、このWebサイトから適切なモバイルアプリストアにリダイレクト

されます。

2. AirWatch Agentの起動後、ユーザーは (EメールアドレスまたはURL/グループIDのいずれかに加えて)資格情報を入

力し、加入のプロセスを進めます。

加入における検討事項 (デバイス代理セットアップ)

管理者は、デバイスの代理セットアップというプロセスで、ユーザーに替わってデバイスの加入を行うことができます。代

理セットアップでは、登録プロセスが効率化され、また、複数のユーザー間で共有されているiOSデバイスを加入させる

ことができます。また、Apple Configuratorを使用すれば、デバイス全体をすばやくプロビジョニングできます。

考慮事項 #1: デバイス代理セットアップの使用

Apple Configuratorを使用していない場合、管理者はデバイスを1台ずつ代理セットアップする必要があります。デバイ

スの台数が多い場合、この作業に要する時間と人員を検討してください。

管理者が新しいデバイスを簡単に代理セットアップできるとしても、従業員が企業所有デバイスを既に使用している場

合、代理セットアップを行うには、デバイスを送付してもらうか現場で集める必要があります。

数千台のデバイスを加入させる場合、代理セットアップに時間がかかる可能性があります。デバイスの代理セットアップ

は、従業員の手元にデバイスが渡る前に、管理者の手元にプロビジョニングするためのデバイスがまとまった数量あるよ

うな場合に便利な機能です。

デバイスの代理セットアップはAndroid、Windows Phone、iOSデバイスで実行でき、以下のようなタイプがあります。

l シングルユーザー (標準) –管理者がデバイスを代理セットアップし、任意のユーザーが加入手続きを行います。

l シングルユーザー (高度) –管理者がデバイスを代理セットアップし、特定のユーザーの代わりに加入手続きを行い

ます。

l マルチユーザー–複数ユーザー間で共有されるデバイスを代理セットアップします。

注 :Windows Phoneでは、現在、シングルユーザーのデバイス代理セットアップのみがサポートされています。

考慮事項 #2: Appleのデバイス登録プログラムを利用しますか。

モバイルデバイス管理 (MDM)に加入しているAppleデバイスのメリットを最大限に引き出すために、Apple社は、デバ

イス登録プログラム(DEP)を導入しました。DEPにより、次の操作を実行できます。

l 削除不可能なMDMプロファイルをデバイスにインストールできます。このプロファイルは、エンドユーザーが削除する

ことはできません。

l デバイスを監視モードでプロビジョニングします (iOSのみ)。監視モードのデバイスでは、追加のセキュリティ設定およ

び構成設定にアクセスできます。

l すべてのエンドユーザーに対して加入を強制できます。

l 加入プロセスをカスタマイズして効率化することにより、貴社のニーズに合わせることができます。

l DEPプロファイルの生成時に、ユーザーが各自のApple IDを使用してサインインできないようにすることで、iCloudバックアップを禁止できます。

l すべてのエンドユーザーにOSの更新を強制できます。


99



https://awagent.com/

考慮事項 #3: Apple Configurator の使用

Apple Configuratorを使用すると、IT管理者はApple iOSデバイスの展開と管理を効果的に行うことができます。小売

店、教室、病院などの組織が、複数のエンドユーザー間で共有されるデバイスの事前加入を行う場合、AppleConfiguratorは非常に便利です。

事前登録された単一ユーザー用デバイスの加入にApple Configuratorを使用することもできます。それには、AirWatchコンソールでユーザーの登録済みデバイスにシリアル番号/IMEI情報を追加します。Apple Configuratorを使用する主

なメリットは、USBハブまたは iOSデバイスカートを使用して複数のデバイスのプロビジョニングを数分で行えることです。

Apple Configuratorの詳細は、214ページの他の文書を入手するから入手可能なVMware AirWatch Integrationwith an Apple Configuratorドキュメントを参照してください。

監視モード

管理者は、Apple Configuratorを使用して加入したデバイスに対して監視モードを有効にすることができ、それにより、

さらに強化されたセキュリティ機能が有効になります。ただし、監視モードを有効化した場合、デバイスにいくつかの制

限が生じます。

メリット

デバイスを監視モードに設定し、AirWatchへの加入を行った後、管理者は、通常モードのデバイスにはない以下のよ

うな高度な機能を構成することができます。

l MDM の制限機能を強化

o ユーザーによるアプリケーション削除を防止します。アプリケーション削除は、デバイス上の｢システム構成｣の制

限事項を使用してローカルに防止することもできます。

o AirDropをブロックします。

o ユーザーが iCloudとMailのアカウント設定を編集できないようにします。これにより、アカウントの修正を防ぐこと

ができます。

o iMessageを無効にします。

o iBooks Storeコンテンツ評価制限を設定します。

o Game CenterとiBooks Storeを無効にします。

l セキュリティの強化

o Safariから成人向けコンテンツを含むWebサイトを開けないようにします。

o Apple TVのような特定のAirPlay出力先に接続できるデバイスを制限します。

o 証明書や管理対象外の構成プロファイルのインストールを防止します。

o すべてのデバイスネットワークトラフィックが強制的にグローバルHTTPプロキシを経由するようにします。

l キオスクモード

o シングルアプリモードのデバイスを1つのアプリにロックダウンし、ホームボタンを無効にします。

l デバイスの壁紙とテキストをカスタマイズ

l アクティベーションロックの有効化/解除


100



制限

l 監視対象デバイスに対するUSBでのアクセスは、監視側のMacのみに制限されます。

l Apple Configuratorの ID証明書がデバイスにインストールされていない場合、iTunesを使用してデバイスへデータを

コピーしたりデバイスからデータをコピーしたりすることはできません。

o 写真や動画などのメディアをデバイスからPCやMacにコピーすることはできません。このタイプのデータを転送す

るには、VMware Content Lockerを使用してコンテンツをユーザーのPersonal Documentsセクションと同期させま

す。または、ファイル共有アプリケーションを使用してWLAN/WWAN経由でサーバにデータを転送することもでき

ます。

l 監視モードでは、iPhone構成ユーティリティ(IPCU)を使用したデバイス側のログへのアクセスが禁止されます。

o 監視モードを有効化した場合、アプリケーションまたはデバイスに関する問題のトラブルシューティングが難しく

なります。デバイスからログを取得できるのは、デバイスが監視側 Macに接続されているときだけであるからで

す。こうした課題を軽減するため、ログの送信やアプリケーションからAirWatchコンソールへのデータ転送には、

AirWatch SDKを使用してください。

l デバイスを工場出荷状態の設定にリセットすることは容易ではありません。

o デバイスを工場出荷状態にリセットした場合、監視モードに戻すには、監視側のMacに接続する必要があり

ます。Macがデバイスの近くにない場合、この手順を実行するのが難しいことがあります。

監視モードを有効にするかどうかを決定する際には、以下の点を検討してください。追加機能が有効になり、デバイス

上のセキュリティが強化されますが、USBの制限について考慮する必要があります。

この決定においては、監視側のMacがデバイスの近くにあるかどうかが重要です。USBの制限があることで、デバイス側

のログへのアクセスが妨げられるため、問題が発生したデバイスは IT部門に送り返して、代理セットアップを行って機能

を復元することが必要になります。

監視について前もって決めておくことは重要です。監視モードを有効化/無効化するには、デバイスをIT部門または倉

庫に送付する必要があるからです。

シングルユーザーデバイスを代理セットアップする

AirWatch管理者コンソールのシングルユーザー向けデバイス代理セットアップ機能は、IT管理者がまとまった数のデバイ

スをプロビジョンし、ユーザーの代理でデバイスに必要な機能を配備したいときに特に便利です。

1. アカウント> ユーザー > リスト表示と進み、デバイスの代理セットアップを有効にしたいユーザーアカウントの編集を

選択します。

2. ユーザーを追加 / 編集画面の高度な設定タブを選択します。

a. 代理セットアップセクションまで下にスクロールします。

b. デバイスの代理セットアップを有効化を選択します。

c. この代理セットアップユーザーに適用する代理セットアップ設定を選択します。

3. シングルユーザーデバイス–シングルユーザー用にデバイスを代理セットアップします。シングルユーザーデバイス代

理セットアップモードのタイプは、標準または高度に切り替えることができます。標準代理セットアップでは代理セッ

トアップ後、エンドユーザーがログイン情報を入力する必要があるのに対し、高度では代理セットアップを行うユー

ザーが、他のユーザーに代わってデバイスを加入します。

4. マルチユーザーデバイスが無効に設定されていることを確認します。


101



5. 次の2つのいずれかの方法を使用してデバイスの加入を行います。

l AirWatch Agentを使用し、サーバURLとグループIDを入力して加入を行う。

l デバイスのインターネットブラウザを開き、加入 URLにアクセスし、適切なグループIDを入力する。

6. 加入の際に代理セットアップユーザーの資格情報を入力します。必要に応じて、シングルユーザーデバイスの代

理セットアップを行っていることを指定します。これを行う必要があるのは、代理セットアップユーザーにマルチユー

ザーデバイスの代理セットアップも有効になっている場合のみです。

7. 高度または標準の代理セットアップのための加入を行います。

l 高度な代理セットアップを実行する場合、デバイスを使用するエンドユーザーデバイス所有者のユーザー名を

入力するようプロンプトが表示されます。モバイルデバイス管理 (MDM)プロファイルをインストールし、表示され

るプロンプトとメッセージをすべて承諾して加入プロセスを続行してください。

l 標準の代理セットアップを行う場合は、加入完了後にログイン画面が表示され、エンドユーザーは資格情報

の入力を求められます。

これでデバイスの代理セットアップが完了し、新しいユーザーによるデバイス使用の準備が整います。

マルチユーザーデバイスを代理セットアップする

マルチユーザーデバイス/共有デバイスを代理セットアップし、複数のユーザーが使用する予定のデバイスをIT管理者が

代理でプロビジョニングすることができます。マルチユーザーの代理セットアップを行うと、そのデバイスにログインするネット

ワークユーザーごとに、デバイスに割り当てられるユーザーをダイナミックに変更することができます。

1. アカウント> ユーザー > リスト表示と進み、デバイスの代理セットアップを有効にしたいユーザーアカウントの編集を

選択します。

2. ユーザーを追加 / 編集画面の高度な設定タブを選択します。

a. 代理セットアップセクションまで下にスクロールします。

b. デバイスの代理セットアップを有効化を選択します。

c. この代理セットアップユーザーに適用する代理セットアップ設定を選択します。

3. シングルユーザーデバイス–シングルユーザー用にデバイスを代理セットアップします。シングルユーザーデバイス代

理セットアップモードのタイプは、標準または高度に切り替えることができます。標準代理セットアップでは代理セッ

トアップ後、エンドユーザーがログイン情報を入力する必要があるのに対し、高度では代理セットアップを行うユー

ザーが、他のユーザーに代わってデバイスを加入します。

4. マルチユーザーデバイスが有効に設定されていることを確認します。

5. 次の2つのいずれかの方法を使用してデバイスの加入を行います。

l AirWatch Agentを使用し、サーバURLとグループIDを入力して加入を行う。

l デバイスのインターネットブラウザを開き、加入 URLにアクセスし、適切なグループIDを入力する。

6. 加入の際に代理セットアップユーザーの資格情報を入力します。必要に応じて、シングルユーザーデバイスの代

理セットアップを行っていることを指定します。これを行う必要があるのは、代理セットアップユーザーにマルチユー

ザーデバイスの代理セットアップも有効になっている場合のみです。


102



7. 高度または標準の代理セットアップのための加入を行います。

l 高度な代理セットアップを実行する場合、デバイスを使用するエンドユーザーデバイス所有者のユーザー名を

入力するようプロンプトが表示されます。モバイルデバイス管理 (MDM)プロファイルをインストールし、表示され

るプロンプトとメッセージをすべて承諾して加入プロセスを続行してください。

l 標準の代理セットアップを行う場合は、加入完了後にログイン画面が表示され、エンドユーザーは資格情報

の入力を求められます。

これでデバイスの代理セットアップが完了し、新しいユーザーによるデバイス使用の準備が整います。

デバイスの登録

デバイス加入前の企業デバイスの登録は、オプションです。この登録を行う主なメリットは、登録済みデバイスのみが加

入できるように制限できることです。

もう1つのメリットは、加入状態情報をトラッキングできることです。これにより、加入しているユーザーおよび加入してい

ないユーザーを把握できます。加入していないユーザーがわかれば、そのユーザーに通知することができます。

AirWatchでは、ユーザーまたは管理者のデータ入力の段階でデバイス識別子がない場合でも、デバイスを正常に登

録することができます。

加入における検討事項 (登録 )

加入プロセスの前にデバイス登録プロセスを進めたい場合、次の点を検討してください。

考慮事項 : デバイスの登録を行うのはどなたでしょうか。

デバイスを登録するうえで考慮すべき重要なことは、実際のデバイスの登録をだれが行うか、ということです。

l 貴社の展開におけるデバイスの総数は何台ですか。特にデバイスが数千台という大規模な展開では、その情報

をCSV (カンマ区切り値)ファイルに追加してアップロードしてからデバイスのプロビジョニングを行ったり、デバイス登録

の作業をエンドユーザーに任せたりすることができます。

l 従業員に個人デバイスの使用を許可するBYODプログラムをサポートしますか。登録済みデバイスのみが加入でき

るように制限する場合は、従業員にデバイスの登録方法を伝える必要があります。

SSP を使用したエンドユーザーによるデバイスの登録

展開においてBYODをサポートし、デバイスの加入前にデバイスが登録されることを必須とする場合は、エンドユーザー

に自分でデバイスを登録してもらうようにすることもできます。また、加入のトラッキングを行ったり、登録トークンを使用

したりする場合は、企業所有デバイスを使用するユーザーにもデバイスの登録を求めることができます。いずれの場合

でも、実行する必要のあるプロセスについてエンドユーザーに通知する必要があります。

以下の説明では、エンドユーザーがAirWatchの資格情報 (既存のディレクトリサービスの資格情報、またはこれまでに

アクティブ化したAirWatchユーザーアカウント)を持っていることが前提となっています。手動でユーザーを追加するので

はなく、ディレクトリサービスを利用して加入を行う場合は、すでに作成されているユーザーアカウントはないことになりま

す。

その場合、エンドユーザーにデバイスを登録してもらうには、AirWatchの外部で、Eメールを送信するかイントラネットの

通知で各ユーザーグループに登録手順を伝える必要があります。

加入認証用の登録トークンを有効にした場合は、ここで選択したメッセージタイプを使用してユーザーに送信されま

す。


103



登録済みデバイスのみに加入を制限する

この時点で、デバイスを登録したのが管理者でもエンドユーザーでも、登録したデバイスのみが加入できるように制限

することができます。デバイス> デバイス設定 > デバイスとユーザー > 全般 > 加入と進み、登録済みデバイスのみを選

択します。

加入状態をトラッキングする

デバイスが登録されると、加入状態をトラッキングできます。デバイスダッシュボードページを開き、加入チャートを選択

すると、加入状態でフィルタをかけることができます。また、ハブにアクセスすると、最近加入したデバイスを確認できま

す。

l デバイスを個別に登録する–重要なデバイス/アセット情報 (AirWatchコンソールでの識別を容易にするフレンドリ

名、モデル、OS、シリアル番号、デバイス識別子 (UDID)、アセット番号など)を入力します。このプロセスは、シング

ルユーザーを追加する際に保存ではなく保存してデバイスを追加を選択した場合の最終ステップでもあります。

l 複数のデバイスを登録する–このプロセスはユーザーを一括で追加するプロセスと似ており、一度にまとまった数の

デバイスを追加する際のデバイス登録プロセスを簡略化できます。ユーザーアカウント一括作成のプロセスに含め

ることもできます。

l エンドユーザーによるデバイス登録 –貴社がBYODをサポートする場合は、エンドユーザーがAirWatchに加入する

前に各自のデバイスを登録させるように設定することもできます。

詳細は、108ページの登録トークンを有効にし、既定のメッセージを作成するを参照してください。

デバイスを個別に登録する

デバイスを個別に登録することにより、加入を制限したり加入状態を追跡したりできます。登録するには、3つの方法

のいずれかを実行します。次に、デバイスを追加画面に進み、このトピックで説明する設定を指定します。

1. アカウント> ユーザー > リスト表示と進み、新しく登録したデバイスを受け取る1人のユーザーを選択します。次

に、リストのヘッダの上に表示されるデバイスを追加ボタンを選択します。

または

2. 新しいユーザーアカウントを作成するプロセスを完了し(ベーシックまたはディレクトリ)、最終ステップで保存してデバ

イスを追加を選択します。デバイスを追加画面が開きます。

または

3. デバイス> ライフサイクル > 加入状態と進み、追加を選択し、デバイスを登録を選択します。デバイスを追加画

面にデバイス追加手順が表示されます。

デバイスを追加画面で、必要に応じて次のフィールド値を指定します。

ユーザータブのフィールド値を指定します。

設定説明

ユーザーセクション

テキスト検索ユーザーを検索するには、検索パラメータを入力し、ユーザーを検索ボタンをクリックします。


104



設定説明

デバイスセクション

予想されるフレン

ドリ名

デバイスのフレンドリ名前を入力します。このテキストボックスでは参照値を使用できます。参照

値を挿入するにはプラスマークをクリックします。

組織グループデバイスが属する組織グループを選択します。

所有形態デバイスの所有形態レベルを選択します。

プラットフォームデバイスのプラットフォームを選択します。

デバイス情報の高

度なオプションを

表示

デバイスの高度な情報が表示されます。

モデルデバイスモデルを選択します。このドロップダウンメニューのオプションは、選択したプラットフォー

ムによって異なります。

OS デバイスのOSを選択します。このドロップダウンメニューのオプションは、選択したプラットフォーム

によって異なります。

UDID* デバイスに固有のデバイス識別子 (UDID)を入力します。

シリアル番号* § ‡ デバイスのシリアル番号を入力します。

IMEI* § デバイスの国際端末識別番号 (IMEI)を入力します。

SIM* デバイスのSIMを入力します。

アセット番号* デバイスのアセット番号を入力します。

メッセージセクション

メッセージタイプデバイス追加時にユーザーに送信されるメッセージのタイプです。なし、Eメール、SMSのいずれか

を選択します。

Eメールを選択する場合は、有効な Eメールアドレスを入力する必要があります。またEメールメッ

セージテンプレートを選択する必要もあります。

SMSを選択する場合は、国番号、市外局番を含んだ形式の電話番号を入力する必要があり

ます。SMS料金が発生する場合があります。またSMSメッセージテンプレートを選択する必要も

あります。

Eメールアドレス Eメールメッセージタイプを選択した場合は必ず入力してください。

Eメールメッセージ

テンプレート

Eメールメッセージタイプを選択した場合は必ず選択してください。ドロップダウンメニューからテン

プレートを選択します。メッセージプレビューボタンを使用してEメールメッセージを確認することが

できます。

電話番号 SMSメッセージタイプを選択した場合は必ず入力してください。

SMS メッセージテ

ンプレート

SMSメッセージタイプを選択した場合は必ず選択してください。ドロップダウンメニューでテンプ

レートを選択します。メッセージプレビューボタンを使用してSMSメッセージを確認することができ

ます。

*デバイスを登録するには、このマークが付いているフィールドのうち少なくとも1つは入力されている必要があります。

§Windows Phoneデバイスを登録するには、デバイスの IMEIまたはシリアル番号のいずれかを入力する必要がありま

す。


105



§Windowsデスクトップデバイスを登録するには、デバイスのシリアル番号を入力する必要があります。

カスタム属性タブのフィールド値を指定します (任意)。

設定説明

追加カスタム属性および対応する値を追加します。

詳細は、214ページの他の文書を入手するから入手可能なVMware AirWatchProduct Provisioning and Staging ガイドを参照してください。

属性ドロップダウンメニューからカスタム属性を選択します。

付加価値ドロップダウンメニューからカスタム属性の値を選択します。

タグタブのフィールド値を指定します (任意)。

設定説明

追加タグをデバイスに追加します。

タグ既存のタグのドロップダウンメニューからタグを選択します。

保存をクリックしてデバイス登録プロセスを完了します。

登録の際にデバイス識別子がない場合

デバイス登録時のデータに、UDID、IMEIやシリアル番号のようなデバイス識別子が含まれない場合、AirWatchは、これ

らの属性を使用し、以下の順で加入デバイスをその登録レコードに自動的に関連付けます。こうすることで、AirWatchは、十分な情報が提供されないデバイスでも正常に登録することができます。

1. デバイスの登録先のユーザー

2. プラットフォーム(指定されている場合)

3. モデル(指定されている場合)

4. 所有形態 (指定されている場合)

5. 関連する登録レコードのうちの最も古い日付

複数のデバイスを登録する

デバイス加入前のデバイスの登録は、任意です。これにより、登録済みデバイスのみが加入できるように制限すること

ができます。また、加入状態を追跡することもできます。

バッチインポート機能を使用して複数のデバイスを登録し、手間を省くことができます。

複数のデバイスを登録するには、次の手順を実行します。

1. アカウント> ユーザー > リスト表示またはデバイス> ライフサイクル > 加入状態と進みます。

a. 追加を選択し、バッチインポートを選択して、バッチインポートフォームを開きます。

2. 必須フィールドの値を指定します(バッチ名、バッチの説明、およびバッチタイプ)。


106



3. バッチファイル (.csv)項目の横にある情報アイコン()を選択し、ユーザーとデバイスインポートのヘルプ画面にアク

セスします。この画面には複数の .csvテンプレートとそれぞれの説明が記載されています。

4. 適切なこのバッチタイプ用のテンプレートと例をダウンロードを選択して、コンマ区切り値 (.csv)ファイルをアクセス可

能な場所に保存します。

5. .csvファイルを保存した場所からファイルを開き、各デバイスに関してインポートするすべての関連情報をテンプレー

トに入力します。テンプレートには、各カラムに記入する内容がわかりやすいよう、3つの入力例が自動入力されて

います。

重要 :数値データはすべて二重引用符で囲んでください(例 : "123456")。これにより、データが切り詰められる問

題を回避できます。.csvファイル内でデータが切り詰められた場合、VMware AirWatch MDMによって、デバイス

がブラックリスト登録されるおそれがあります。

l デバイスを登録するため、カラムX (ユーザーのみ登録)がいいえに設定されていることを確認します。

l 同じユーザーアカウントにさらにデバイスを登録するには、カラムA からWまでの情報が同一であることを確認

してください。その他のカラムには、追加する各デバイスに関する情報を入力します。

l 高度な登録情報を保存するには、カラムAF (高度なデバイス情報を保管)をはいに設定します。

6. テンプレートの入力完了後、.csvファイルとして保存します。AirWatchコンソールに戻り、バッチインポートフォーム

のファイルを選択を選択し、作成して保存した .csvファイルへのパスをたどり、そのファイルを選択します。

7. 保存をクリックして、リスト上のすべてのユーザーと対応するデバイスの登録を完了します。

エンドユーザーによるデバイス登録

デバイスの詳細情報がセットアップ時に不明な場合、エンドユーザーに自分のデバイスを登録させたほうがよいことがあ

ります。また、BYODを既に導入している場合も、エンドユーザーに自分のデバイスを登録させたほうがよいことがありま

す。

貴社環境でBYODをサポートしている場合、デバイスをAirWatchに加入させる前に登録するようエンドユーザーに指

示します。この手順を実行できますが、ユーザーが加入処理を実行する前にデバイスを登録する必要があります。加

入処理を追跡したい場合、または、登録トークンを使用したい場合、企業所有デバイスを使用しているユーザーに、

デバイスを登録するよう指示します。いずれの場合も、このプロセスについてエンドユーザーに通知する必要がありま

す。

以下の説明では、エンドユーザーがAirWatchの資格情報 (既存のディレクトリサービスの資格情報、またはこれまでに

アクティブ化したAirWatchユーザーアカウント)を持っていることが前提となっています。手動でユーザーを追加するので

はなく、ディレクトリサービスを利用して加入を行う場合は、すでに作成されているユーザーアカウントはないことになりま

す。

エンドユーザーにデバイスを登録してもらうには、AirWatch外の各ユーザーグループに、登録手順に関するEメールまた

は通知を送信する必要があります。

加入認証用の登録トークンを有効化した場合、選択されたメッセージ内でそのトークンがユーザーに送信されます。

l AirWatch外のユーザーにEメールまたはイントラネット通知を送信し、登録手順を説明します。Active Directoryある

いは認証プロキシによる認証が有効になっていることをデバイス> デバイス設定 > デバイスとユーザー > 全般 > 加

入 > 認証と進んで確認してください。


107



加入を既知のユーザーのみに制限のボックスにチェックが入っていないことをデバイス> デバイス設定 > デバイスと

ユーザー > 全般 > 加入 > 制限事項と進んで確認してください。

l すべてのエンドユーザーがデバイスを登録できるようにユーザーアカウントを先に作成し、その後、各ユーザーに登

録手順の説明を含んだユーザーアカウントアクティブ化のメッセージを送信する方法もあります。

いずれのオプションでも、ユーザーに以下のような基本情報を通知する必要があります。

l 登録場所 –エンドユーザーはセルフサービスポータルURLに移動し登録を行います。このURLはhttps://<AirWatch環境>/MyDeviceのようなフォーマットで、<AirWatch環境>には加入 URLが入ります。詳細は、

108ページの自分でデバイスを登録するようユーザーに指示するを参照してください。

l セルフサービスポータルへの認証方法 –エンドユーザーがセルフサービスポータルにログインするには、グループID、ユーザー名、パスワードを入力する必要があります。

自分でデバイスを登録するようユーザーに指示する

エンドユーザーは、登録メッセージを受け取った後、以下の手順に従って自分のデバイスを登録できます。これにより

時間が節約されます。

1. 次のセルフサービスポータル(SSP)のURLにアクセスします。https://<AirWatchEnvironment>/MyDevice(<AirWatchEnvironment>は、貴社環境の加入 URLに置き換えます。)

2. ログインするため、グループ IDと資格情報 (Eメールアドレスまたはユーザー名、およびパスワード)を入力します。

ディレクトリユーザーの場合、これらの資格情報はディレクトリサービスの資格情報と同じであることがあります。

3. デバイスを追加を選択し、デバイス登録フォームを開きます。

4. デバイス情報を入力するため、デバイス登録フォームの必須テキストボックスの値を指定します。

5. 保存をクリックし、フォームを送信してデバイスを登録します。

デバイス登録状態を追跡する

場合によっては、デバイス登録の過程でトラブルシューティングが必要となったり、登録プロセス全体の状況を追跡した

りすることが必要になることがあります。登録手順を説明したメッセージをエンドユーザーが誤って削除してしまったり、

指定された有効期限内に認証を行わなかったりすることがあるかもしれません。

デバイス> ライフサイクル > 加入状態と進み、｢加入状態｣画面にアクセスして加入状態を管理します。デバイスの加

入状態を追跡するには、リストを加入状態カラムで並べ替えるか、リスト表示に加入状態でフィルタをかけます。

「加入状態」画面から、登録済みだが未加入のデバイスのカスタムリストを生成します。次に、このカスタムリストです

べてのデバイスを選択して、加入の手順を再送信します。十分な日数が経過してもデバイスが加入されない場合

は、登録トークンをリセットまたは取り消しすることもできます。

詳細は、193ページの加入状態を参照してください。

登録トークンを有効にし、既定のメッセージを作成する

登録済みのデバイスのみが加入できるように制限する場合、登録トークンを要求するオプションも使用することができま

す。その特定のユーザーに加入が認められているかどうかを確認できるため、このオプションを使用するとセキュリティを強

化できます。AirWatchアカウントを持つユーザーに、加入トークンを添付したEメールかSMSメッセージを送信することが

できます。


108



1. トークンを使用した加入処理を有効化するため、適切な組織グループを選択します。デバイス> デバイス設定 >デバイスとユーザー > 全般 > 加入と進み、認証タブを選択します。

下へスクロールしてはじめにセクションを表示し、デバイス加入モードで登録済みデバイスのみを選択します。登

録トークンを要求するチェックボックスが表示されます。このチェックボックスをオンにした場合、トークンを使用して

登録されたデバイスだけが加入できます。

2. 登録トークンのタイプを選択します。

l 単一要素 –加入にはトークンのみが求められます。

l 二要素 –加入にはトークンと、ユーザー資格情報を使用したログインが求められます。

3. 登録トークンの長さを設定します。この必須フィールドでは、登録トークンの複雑さを指定します。長さには、英数

字の文字数として6～ 20の値を入力する必要があります。

4. トークンの有効期限 (時間)を設定します。この必須フィールドでは、エンドユーザーがリンクを選択してデバイスを

加入させるまでの制限時間を指定します。この期限を超過した場合、別のリンクを送信する必要があります。

AirWatch コンソールでトークンを生成する

1. アカウント> ユーザー > リスト表示と進み、ユーザーに対してユーザーの編集を選択します (このプロセスは、新規

ユーザーの作成時にも使用できます)。｢ユーザーを追加/編集｣画面が表示されます。

2. 下にスクロールして、ディレクトリユーザー用にメッセージタイプ: Eメールを選択し、ベーシックユーザーアカウント用

にSMSを選択します。

3. メッセージテンプレートを選択します。既定のテンプレートを使用するか、テンプレートを作成することができます。テ

ンプレートを作成するには、下にあるリンクを選択して、新しいタブでメッセージテンプレート画面を表示します。

メッセージテンプレートを選択したら、保存してデバイスを追加を選択します。デバイスを追加画面が表示されま

す。

4. デバイスに関する全般情報およびメッセージ自体の確認情報を確認します。完了したら、保存を選択すると、

選択したメッセージタイプでユーザーにトークンが送信されます。

注 :セキュリティ保護のため、AirWatchコンソールでトークンにアクセスすることはできません。

セルフサービスポータル (SSP) を使用してトークンを生成する

1. セルフサービスポータルにログインします。認証にシングルサインオンまたはスマートカードを使用している場合は、

デバイスまたはコンピュータ上からログインできます。ディレクトリユーザーはディレクトリサービスの資格情報を使用し

てログインできます。

2. デバイスを追加を選択します。

3. デバイスを登録するフォームの各フィールドに入力して、デバイス情報 (フレンドリ名とプラットフォーム)およびその他

の詳細情報を入力します。Eメールアドレスと電話番号は、自動的に設定されないため、正しく入力されているこ

とを確認します。

4. 保存を選択すると、選択したメッセージタイプでユーザーに加入トークンが送信されます。


109



注 :トークンはこの画面には表示されず、送信されるメッセージでのみ確認できます。

登録トークンを使用して加入を実行する

1. デバイスでSMSまたは Eメールメッセージを開き、加入トークンを含むリンクを選択します。

加入画面でグループIDまたはトークンの入力を求められたら、トークンを直接入力します。

2. 二要素認証が使用されている場合は、ユーザー名またはパスワードを入力します。

3. 通常通り、加入プロセスを続行します。完了すると、デバイスは、トークンの対象ユーザーに関連付けられます。

デバイスにMDMプロファイルがインストールされると、そのトークンは｢使用中｣と見なされ、他のデバイスの加入には使

用できなくなります。加入が完了しなかった場合は、そのトークンを他のデバイスで使用することができます。管理者が

入力した期限を過ぎてトークンが失効した場合は、別の加入トークンを生成する必要があります。

加入オプションを構成する

AirWatchコンソールで利用可能な高度なオプションを組み込むことで、加入のワークフローをカスタマイズすることができ

ます。その他の加入オプションにアクセスするには、デバイス> デバイス設定 > デバイスとユーザー > 全般 > 加入と進み

ます。

｢認証｣および｢利用規約｣タブに加え、オプションで加入に関する以下のタブの設定を行うことができます。

1. 110ページの「グループ化」タブで加入オプションを構成する

2. 116ページの加入制限設定を構成する

3. 111ページの｢プロンプト表示 (オプション)｣タブで加入オプションを構成する

4. 114ページの｢カスタマイズ｣タブで加入オプションを構成する

「グループ化」タブで加入オプションを構成する

「グループ化」タブでは、エンドユーザーの組織グループ、グループIDに関する基本情報を表示したり指定したりするこ

とができます。グループ ID の割り当てモードを有効にすると、AirWatchモバイルデバイス管理 (MDM)環境がどのように

グループIDをユーザーに割り当てるかを選択することができます。

｢グループ化｣タブを表示するには、デバイス> デバイス設定 > デバイスとユーザー > 全般 > 加入と進みます。


110



設定説明

グ

ルー

プ ID割り

当て

モー

ド

l 既定 –使用するグループIDが加入時にユーザーに付与されている場合は、このオプションを選択します。

使用するグループIDによりユーザーが割り当てられる組織グループが決まります。

l ユーザーがグループ ID を選択するようプロンプト表示する–ディレクトリサービスユーザーが加入時に一覧

からグループIDを選択できるようにする場合は、このオプションを有効にします。グループ ID 割り当てセク

ションには利用可能な組織グループとそのグループIDがリストアップされます。このリストにより、管理者がグ

ループ割り当てマッピングを行う必要はなくなりますが、ユーザーが間違ったグループIDを選択してしまう可

能性が生じます。

l ユーザーグループに基づき自動選択 –このオプションは、ユーザーグループと統合している場合にのみ使

用できます。ユーザーのディレクトリサービスグループ割り当てに基づいて、ユーザーが自動的に組織グ

ループに割り当てられるようにするには、このオプションを有効にします。グループ割り当ての設定セクション

には、当該環境内のすべての組織グループと対応するディレクトリサービスユーザーグループの一覧が表

示されます。割り当てを編集をクリックすると、組織グループとユーザーグループの関連付けを変更し、各

グループの優先順位を設定することができます。

例えば、エグゼクティブ、セールス、グローバルという3つのグループがあり、組織内のランクもこの順であると

します。全員がグローバルのメンバーであるため、このユーザーグループを最初に位置づけてしまうと、すべ

てのユーザーを1つの組織グループに入れることになります。一方、エグゼクティブを最初に位置づけると、

そのグループに属する少数のメンバーを、その組織グループに確実に所属させることができます。セールス

を2番目に位置づけ、すべてのセールス担当社員をセールスの組織グループに所属させます。グローバル

を3番目に位置づけることで、グループにまだ割り当てられていないすべてのユーザーが別の組織グループ

に入ります。

｢プロンプト表示 (オプション)｣タブで加入オプションを構成する

プロンプト表示 (オプション)タブでは、デバイスの追加情報を要求するかどうか、加入についての情報やMDM情報を

ユーザーにプロンプト表示するかどうかを選択します。

｢プロンプト表示 (オプション)｣タブを表示するには、デバイス> デバイス設定 > デバイスとユーザー > 全般 > 加入と進

みます。

設定説明

デバイス所

有形態タイ

プをプロンプ

トする

選択した場合、プロンプトが表示され、エンドユーザーにデバイスの所有形態を選ぶよう要求します。

選択しない場合は、現在の組織グループの既定のデバイス所有形態を構成してください。

ウェルカム

メッセージを

表示する

選択すると、デバイス加入プロセスのはじめの段階でウェルカムメッセージを表示します。このウェルカム

メッセージのヘッダと本文は構成できます。構成するには、システム > ローカリゼーション> ローカリゼー

ションエディタと進みます。次に、"EnrollmentWelcomeMessageHeader"ラベルおよび

"EnrollmentWelcomeMessageBody"ラベルをそれぞれ選択します。


111



設定説明

MDM インス

トールメッ

セージを表

示する

選択すると、デバイス加入プロセス中にメッセージが表示されます。このMDMインストールメッセージの

ヘッダと本文は構成できます。構成するには、システム > ローカリゼーション> ローカリゼーションエディタ

と進みます。次に、"'EnrollmentMdmInstallationMessageHeader"ラベルおよび

"EnrollmentMdmInstallationMessageBody"ラベルをそれぞれ選択します。

ローカリゼーションエディタを使用してヘッダとメッセージ本文をカスタマイズする場合は、現在の設定

フィールドで｢上書き｣を選択する必要があります。こうすることで、既定のメッセージの代わりに、カスタ

マイズされたメッセージが使用されるようになります。

加入 Eメールのプロンプ

トを有効に

する

このオプションを有効にすると、加入中にユーザーにEメールの入力を求めるプロンプトが表示されます。

注 :加入 Eメールのプロンプトに応じてエンドユーザーが入力したEメールアドレスは、ユーザー記録

のEメールアドレス欄に自動入力されます。このデータは、参照値 {EmailAddress}を使用してEメー

ルをデバイスに展開する組織にとって、有益です。

デバイスア

セット番号

のプロンプト

を有効にす

る

このオプションを有効にすると、加入中にユーザーにデバイスアセット番号の入力を求めるプロンプトが


加入履歴

メッセージを

表示

(Android の

み)

このオプションを有効にすると、Androidデバイスで加入メッセージが表示されます。

Windows向けに TLS相互認証を

有効にする

このオプションを有効にすると、Windows PhoneとWindowsデバイスに、TLS相互認証によってセキュア

化されたエンドポイントを使用するように強制できます。TLS相互認証を使用するには、追加セットアッ

プと構成が必要です。詳細はAirWatchサポート担当者までお問い合わせください。

カスタム加入メッセージを作成する

デバイス加入に関連するメッセージと、加入後にデバイスに送信されるモバイルデバイス管理 (MDM)関連のプロンプト

メッセージをカスタマイズできます。

既定では、完全にオプションでカスタマイズされたメッセージが推奨されます。メッセージをカスタマイズすると、通知内に

環境 URLや｢AirWatch｣の文字ではなく貴社名を表示することができるため、ユーザーの混乱を回避できます。

1. デバイス> デバイス設定 > 全般 > 加入と進み、カスタマイズタブを選択します。

2. それぞれのプラットフォーム専用のメッセージテンプレートを使用するを選択し、各プラットフォームのドロップダウンメ

ニューからデバイスアクティブ化メッセージテンプレートを選択します。113ページの加入メッセージテンプレートを作

成するを参照してください。


112



3. iOSデバイスの場合、以下を構成することができます (オプション)。

l iOSデバイス向けの加入後のランディングURLを入力します。

l MDM プロファイルメッセージを入力します。これは、加入中にMDMインストールプロンプトに表示されるメッ

セージです。


加入メッセージテンプレートを作成する

プラットフォームごとにカスタマイズされたメッセージテンプレートの独自のライブラリを作成して、起こりうる様々な加入シ

ナリオに対応できるようにします。

1. デバイス> デバイス設定 > 全般 > メッセージテンプレートと進み、追加をクリックします。

2. カテゴリドロップダウンメニューからテンプレートのカテゴリに合うものを選択します。選択項目には、管理者、アプリ

ケーション、順守、コンテンツ、デバイスライフサイクル、加入および利用規約があります。

3. サブカテゴリに最適なタイプを設定します。タイプドロップダウンメニューの選択項目は、カテゴリの設定によって決

まります。

4. 言語を選択ドロップダウンメニューを設定します。追加ボタンで言語を追加することができます。

5. テンプレートを、選択したカテゴリの既定のテンプレートにしたい場合は、既定のチェックボックスを選択します。

6. テンプレートのメッセージタイプを選択します。Eメール、SMSおよびプッシュ通知から選ぶことができます。

7. メッセージ本文欄にテキストを入力してメッセージを作成します。

Eメールメッセージテンプレートを作成するには、プレーンテキスト形式とHTML形式の2つの方法があります。

プレーンテキスト形式は、フォーマットオプションが使用できません。

HTML形式は、フォント、フォーマット、ヘッダーレベル、箇条書き、行頭文字、インデント、段落の配置、下付き文

字、上付き文字、画像およびハイパーリンク機能を含むリッチテキスト編集環境が有効です。HTML形式は、

ベーシックHTMLコーディングをサポートし、ソースを表示ボタンを使用して、リッチテキストとソース表示を切り替える


8. 保存をクリックしてテンプレートを保存します。

ライフサイクル通知を構成する

ライフサイクル通知は、デバイスのライフサイクルを通して発生する加入や加入解除といった特定のイベント後にカスタ

マイズしたメッセージを送信するためのものです。

このオプション設定を構成するには、デバイス> ライフサイクル > 設定 > 通知と進み、以下の各項目を入力します。

l デバイスは正常に加入しました–デバイスが正常に加入した際に、Eメール通知を送信します。

l デバイスは加入解除しました–デバイスが加入解除した際に、Eメール通知を送信します。

l デバイスは加入制限によりブロックされました–デバイスが加入制限によりブロックされた際に、Eメール通知を送信

します。加入制限はグループと設定 > すべての設定 > デバイスとユーザー > 全般 > 加入と進んだページの制限

事項タブで構成できます。


113



設定説明

Eメールの

送信

先

l なし–デバイスのブロック/加入/加入解除が正常に行われた際に、確認 Eメールを送信しません。

l ユーザー–デバイスのブロック/加入/加入解除が正常に行われた際に、その通知の確認 Eメールをデバイ

スユーザーに送信します。

o CC –同じ確認 Eメールを、一つまたは複数のEメールアドレスに送信します。複数のEメールアドレスは

コンマで区切ります。

o メッセージテンプレート–ドロップダウンリストから、希望するメッセージテンプレートを選択します。新しい

メッセージテンプレートを追加することも、「ここをクリック...」を選択し、既存のテンプレートを編集するオ

プションを使用することもできます。このハイパーリンクを選択するとデバイスとユーザー > 全般 > メッ

セージテンプレート設定画面に移動します。

l 管理者 –デバイスのブロック/加入/加入解除が正常に行われた際に、その通知の確認 Eメールを

AirWatch管理者に送信します。

o 送信先 –同じ確認 Eメールを、1つまたは複数のEメールアドレスに送信します。複数のEメールアド

レスはコンマで区切ります。

｢カスタマイズ｣タブで加入オプションを構成する

カスタマイズタブを構成することにより、エンドユーザーのサポートレベルを追加できます (例 : Eメール、電話番号)。ユー

ザーが何らかの理由でデバイスを加入させることができない場合、このサポートレベルは重要です。

｢カスタマイズ｣タブを表示するには、デバイス> デバイス設定 > デバイスとユーザー > 全般 > 加入と進みます。

設定説明

各プラットフォーム

の専用メッセージ

テンプレートを使

用する

このオプションを有効化した場合、各プラットフォーム専用のメッセージテンプレートを選択できま

す。

リンクをクリックするとメッセージテンプレート画面が開きます。この画面からすぐにテンプレートを作

成できます。

加入サポートEメール

サポートEメールアドレスを入力します。

加入サポート電話

番号

サポート電話番号を入力します。

加入後のランディ

ングURL (iOS の

み)

加入プロセスが正常に完了した後に表示されるURLを指定できます。このURLには、企業リ

ソース(例えば会社のウェブサイト)やリソースへのログイン画面のURLを記載することができま

す。

MDM プロファイル

メッセージ (iOS の

み)

iOSデバイスの場合、加入プロセス中に表示するメッセージをこのテキストボックスに入力しま

す。メッセージの最大文字数は 255文字です。

カスタムMDM アプ

リケーションを使用

する

「アプリグループ一覧」画面を開くリンクが表示されます。このリンクの見出しは、アプリケーション

グループとなっています。｢アプリグループ一覧｣の詳細は、214ページの他の文書を入手するか

ら利用可能な、VMware AirWatch Mobile Device Management ガイドを参照してください。


114



デバイス登録をブラックリスト/ホワイトリスト設定する

ブラックリストは、許可されないデバイスやアプリの明示的な一覧です。ホワイトリストは、記載されているものだけが許

可される、デバイスやアプリの明示的な一覧です。ブラックリスト/ホワイトリストを利用することで、加入を許可するデバ

イスや加入を許可しないデバイスを制御することができます。

例えば、企業所有のデバイスのみを展開する場合は、承認済みの iOSデバイスのホワイトリストを作成できます。これ

を行うには、デバイスの国際端末識別番号 (IMEI)、シリアル番号、またはUDIDによるデバイスのリストをベースにしま

す。これにより管理者により承認されたデバイスのみに加入を許可することができます。従業員所有の個人デバイスの

AirWatchへの加入はブロックされます。

また、デバイスの紛失/盗難時には、デバイスの IMEI、シリアル番号、またはUDID 情報をブラックリストに追加することが

できます。これにより、そのデバイスは加入解除され、すべてのMDMプロファイルが削除されます。該当する情報がブ

ラックリストから削除されるまで、そのデバイスは再加入できません。

注 : IMEIまたはUDIDを指定してWindows Phoneをブラックリストに登録することはできません。この機能は、現在

Microsoftによってサポートされていません。

ブラックリストまたはホワイトリストにデバイスを追加する

さまざまなデバイス属性に基づいて、デバイスをブラックリストに設定し加入できないようにしたり、あるいは、ホワイトリス

トに設定して加入を許可したりすることができます。

1. デバイス> ライフサイクル > 加入状態と進み追加を選択します。

2. 追加ドロップダウンメニューでブラックリストデバイスまたはホワイトリストデバイスを選択し、必要な項目を入力

します。

設定説明

ブラックリスト/ホワイト

リストデバイス

｢デバイス属性｣セクションで設定したホワイトリストまたはブラックリストデバイスの一覧を

入力します。一度に入力できるのは 30台までです。

デバイス属性対応するデバイス属性タイプを入力します。IMEI、シリアル番号、またはUDIDを選択しま

す。

組織グループブラックリストまたはホワイトリスト設定するデバイスが属する組織グループとして、正しいも

のが表示されているか確認します。

所有形態所有形態を選択し、許可するデバイスを制限することができます。

この欄はデバイスをホワイトリスト設定する際に利用できます。

補足情報ホワイトリストまたはブラックリストを適用するプラットフォームを選択することができます。

プラットフォームプラットフォームを選択し、そのデバイスすべてをホワイトリストまたはブラックリスト設定する


この欄は、追加情報にチェックが入っている場合のみに表示されます。

3. 保存をクリックし、設定を確定します。


115



追加の加入制限

ディレクトリサービスの統合、BYODのサポート、デバイスの登録、その他の構成に関係なく、追加の加入制限を任意

の展開に適用することができます。追加の加入制限を設定して、加入できるユーザーや許可するデバイスタイプを制

御することができます。

また、組織グループあたりの加入デバイスの最大数を指定することもできます。加入制限を構成したら、その制限事項

をポリシーとして保存することもできます。

加入における検討事項 (その他の制限事項 )

加入制限では、展開に適用したい加入パラメータを細かく調整することができます。使用する加入制限を決定する際

には、以下のことを検討してください。

検討事項 #1 – 特定のプラットフォーム、OS バージョン、または許可するデバイスの最大台数を制限しますか。

l Samsung SAFE/Knox、HTC Sense、LG Enterprise、Motorolaデバイスなどの、エンタープライズ管理機能が組み込ま

れているデバイスのみをサポートしますか。その場合は、Androidデバイスがサポート対象のエンタープライズバージョ

ンであることを加入制限として要求することができます。

l 1人のユーザーが加入できるデバイスの台数を制限しますか。その場合は、企業所有デバイスと従業員所有デバ

イスを区別して、この数量を設定することができます。

l 展開において特定のプラットフォームをサポート対象から除外しますか。その場合は、ブロック対象のデバイスプラッ

トフォームのリストを作成することで、加入を禁止できます。

従業員所有デバイスの台数と種類を調べる必要があります。また、職場環境での使用にふさわしいデバイスを特定す

る必要があります。これらの作業が完了したら、これらの加入制限事項をポリシーとして保存できます。

考慮事項 #2: 企業デバイスのリストを作成して加入を制限しますか。

追加の登録オプションを使用することで、エンドユーザーが加入できるデバイスを制御することができます。この方法は、

BYOD導入環境において便利です。ブラックリストデバイスの加入を禁止することや、ホワイトリストデバイスの加入だけ

を許可することができます。タイプ、プラットフォーム、デバイスID、およびシリアル番号を基準にして、デバイスをホワイト

リストに登録することができます。詳細は、115ページのブラックリストまたはホワイトリストにデバイスを追加するを参照し

てください。

考慮事項 #3: 組織グループごとに、加入するデバイスの台数を制限しますか。

1つの組織グループに加入できるデバイス数の上限を設定することができます。上限を設定することで、有効な加入デ

バイス数が際限なく増えて貴社展開の管理が困難になることを防ぎます。

加入制限設定を構成する

AirWatchをディレクトリサービスと統合する際に、どのユーザーに貴社の展開への加入を許可するのか、制限を設ける


既存のユーザーまたは構成済みのグループのみに加入を限定することができます。既存のユーザーとは、AirWatchコン

ソール上にすでに存在するユーザーを指します。構成済みのグループとは、ユーザーグループとの統合を選択する場

合、ディレクトリサービスグループに関連付けられたユーザーを指します。組織グループごとに加入できるデバイス数に上

限を設定することもできます。この設定を保存し、ポリシーとして再利用することもできます。

これらのオプションはグループと設定 > すべての設定 > デバイスとユーザー > 全般 > 加入と進み制限事項タブを選択

して利用します。制限事項タブでは、組織グループとユーザーグループに基づいて加入制限ポリシーをカスタマイズする



116



l ポリシー設定を用いて加入制限を作成したり、既存の制限を割り当てたりすることができます。

l グループ割り当て設定エリアでユーザーグループにポリシーを割り当てます。

l プラットフォーム、OS、UDID、IMEI等に基づいてデバイスをブラックリスト/ホワイトリスト設定します。

ディレクトリサービスグループをAirWatchと統合する方法の詳細は、｢VMware AirWatch Directory Services Guide｣を参照してください。この文書は、AirWatch Resourcesで入手できます。

設定説明

加入を既存

のユーザー

のみに制限

AirWatchコンソールにすでに存在するユーザーのみに加入を制限するには、このオプションを有効にし

ます。これは、1人ずつ手動で、または一括インポートでAirWatchコンソールに追加されたディレクトリ

ユーザーに適用されます。すべてのユーザーに加入を許可した最初の展開後に、加入をロックダウンす

る場合にも使用できます。これにより管理者は、特定のユーザーのみを選択的に加入させることができ

ます。

AirWatch管理者コンソールに存在しないすべてのディレクトリユーザーにもAirWatchへの加入を許可

する場合、このオプションのチェックをはずします。AirWatchユーザーアカウントは加入中に自動で作成

されます。

加入を構成

済みのグ

ループのみ

に制限

このオプションを有効にすると、デバイスの加入はすべてのグループに、あるいは、(ユーザーグループの

統合を行っている場合には)選択されたグループに属するユーザーのみに制限されます。貴社のディレ

クトリサービスユーザーグループと統合していない場合は、このオプションを選択しないでください。

すべてのディレクトリユーザーの加入時に新しいAirWatchユーザーアカウントの作成を許可する場合、

このオプションのチェックをはずします。さらに、構成されたグループに所属しないユーザーのデバイスを企

業情報ワイプするオプションを選択して、どのユーザーグループにも属さない(すべてのグループが選択

されている場合)または特定のユーザーグループに属さない(選択されたグループが選択されている場

合)、デバイスの企業情報ワイプを自動的に実行することができます。

ユーザーグループと統合するオプションの一つに、｢MDM承認済み｣ディレクトリサービスグループを作

成し、AirWatchにインポートして、AirWatch MDMの対象になった時点で、既存のディレクトリサービス

ユーザーグループを｢MDM承認済み｣グループに追加していく方法があります。

この組織グ

ループとサブ

グループに

加入デバイ

ス数の上限

を設定

現在の組織グループに加入できるデバイス数の上限を設定する場合は、この設定を有効にし、デバ

イス数上限を入力します。

注 : Apple社のデバイス登録プログラム(DEP)を通して加入した iOSデバイスには加入制限は適用されません。これ

は、必要なデバイス情報が、デバイスがDEP経由での加入後に受信されるためです。

組織グループ別の加入デバイス数の上限

1つの組織グループに加入できるデバイス数の上限を設定することができます。上限を設定することで、有効な加入デ

バイス数が際限なく増えて貴社展開の管理が困難になることを防ぎます。

デバイス数の上限は、グローバル、カスタマー、パートナーといった、任意のタイプの組織グループに対して設定できま

す。ある組織グループに対して上限数を設定した場合、その組織グループ分岐内の場所に別の上限数を設定するこ

とはできません。ただし、別の組織グループ分岐内に上限数を設定することはできます。


117



現在の組織グループに対して加入デバイス上限数を設定するには、グループと設定 > すべての設定 > デバイスとユー

ザー > 全般 > 加入と進みます。次に、制限事項タブを選択し、この組織グループとその下のサブグループにおける、加

入デバイス数の上限を設定しますの下で、上限値を有効化します。

このオプションが表示されていない場合は、メイン組織グループ(現在の組織グループの上位にある組織グループ)また

はサブ組織グループ(現在の組織グループの下位にある組織グループ)を確認してください。現在の組織グループの上

位または下位の組織グループに、既に上限値が設定されている可能性があります。

加入制限ポリシーを作成する

従業員所有デバイスの台数と種類を調べる必要があります。また、職場環境で使用するデバイスを特定する必要が

あります。これらの作業が完了したら、これらの加入制限事項をポリシーとして保存できます。

1. デバイス> デバイス設定 > デバイスとユーザー > 全般 > 加入と進みます。

2. 制限事項タブを選択し、ポリシー設定セクションからポリシーを追加します。

3. 加入制限ポリシーを追加/編集する画面で、加入制限ポリシーを追加します。

設定説明

加入制

限ポリ

シー名

貴社の加入制限ポリシーの名前を入力します。

組織

グループ

ドロップダウン項目から組織グループを選択します。貴社の新しい加入制限ポリシーを適用する組織

グループです。

ポリシー

タイプ

加入制限ポリシーのタイプを選択します。選択された組織グループに適用するには組織グループ既定

を選択します。また、制限事項タブのグループ割り当てから特定のユーザーグループを選択した上で、

そのグループに適用するにはユーザーグループポリシーを選択します。

許可

所有形

態タイ

プ

企業 – 専用、企業 – 共有、従業員所有デバイスの許可/禁止を選択します。

許可

加入タ

イプ

MDM (AirWatch Agent)とAirWatch Container (iOS/Android対応) アプリ経由のデバイス加入を許可す

るか禁止するか選択します。

ユー

ザーあ

たりのデ

バイス

数上限

ユーザーにデバイスの加入台数を無制限に許可する場合は、無制限を選択します。

ユーザーあたりのデバイス数上限セクションで、所有形態タイプごとにデバイスの最大数を定義する場

合は、このボックスのチェックを外します。

l ユーザーあたりのデバイス数上限 l 共有デバイスのデバイス数上限

l 企業デバイスのデバイス数上限 l 従業員所有のデバイス数上限


118



設定説明

許可す

るデバ

イス

タイプ

特定デバイスに制限を追加するには、特定のプラットフォーム、モデル、OS に加入を制限するチェック

ボックスを選択します

注 : IMEIまたはUDIDを指定してWindows Phoneをブラックリストに登録することはできません。この

機能は、現在 Microsoftによってサポートされていません。

デバイ

スレベ

ル制限

モード

この欄は、許可されたデバイスタイプの特定のプラットフォーム、モデル、OS に加入を制限するを選択

した場合のみに表示されます。

デバイス制限のタイプを選びます。

l リストに挙げられたデバイスタイプのみを許可 (ホワイトリスト) –入力したパラメータに合致するデバ

イスのみを許可し、その他すべてのデバイスをブロックする場合にこのオプションを選択します。

l リストに挙げられたデバイスタイプをブロック(ブラックリスト) –入力したパラメータに合致するデバイス

を確実にブロックし、その他すべてのデバイスを許可する場合にこのオプションを選択します。

いずれのデバイスレベル制限事項モードでも、デバイスの制限を追加を選択し、プラットフォーム、モデ

ル、メーカー、OS、エンタープライズバージョンのいずれかを選択します。定義されたデバイス制限ごとに

デバイス上限を追加することもできます。複数のデバイス制限項目を追加できます。

IMEI、シリアル番号またはUDIDに基づいて特定のデバイスをブロックすることも可能です。デバイス> ラ

イフサイクル > 加入状態と進み、追加を選択します。これは、他のユーザーのデバイスに影響を与え

ることなく、特定のデバイスをブロックし、再加入を防止したい際に役立ちます。企業情報ワイプを実

行する際のオプションで再加入を防止することもできます。

4. 保存をクリックして変更を保存し、デバイスとユーザー > 全般 > 加入画面に戻ります。

デバイスをグローバルレベルで加入させるべきでない理由

デバイスを最上位の組織グループ(グローバル)に直接加入させるべきではありません。これにはいくつか理由がありま

す。その理由は、マルチテナンシー、継承、機能の3つです。

マルチテナンシー

サブ組織グループは必要な数だけ作成できます。また、各サブ組織グループを個別に構成します。あるサブ組織グルー

プに適用する設定は、他のサブ組織グループに影響しません。

継承

メイン組織グループに加えた変更内容は、サブ組織グループにも適用されます。一方、サブ組織グループに加えた変

更内容は、メイン組織グループおよび同位の組織グループに適用されません。

機能

｢カスタマー｣タイプの組織グループに対してのみ構成できる設定と機能があります。それは、ワイプ保護、テレコム、およ

び個人コンテンツです。トップレベルのグローバル組織グループに直接追加されたデバイスは、これらの設定および機能

から除外されます。






119



AirWatchの自動検出による加入

AirWatchでは、ユーザーのEメールアドレスを使用してデバイスを適切な環境と組織グループに加入することができま

す。自動検出機能を使用するこの加入はとてもシンプルです。エンドユーザーがEメールアドレスを使用してセルフサー

ビスポータル(SSP)への認証を行う際にも自動検出機能を使用することができます。

注 :オンプレミス環境での自動検出の有効化は、貴社環境がAirWatch自動検出サーバと通信できることを確認

してから行ってください。

自動検出加入のための登録

サーバでEメールドメインの一意性を検証します。1つのドメインは 1つの環境の1つの組織グループにおいてのみ登録

できます。自動検出サーバによってこのような検査が行われるので、Eメールドメインは、貴社の最上位の組織グループ

で登録してください。

自動検出は、SaaS環境の新しいお客様向けには自動で構成されています。

メイン組織グループからの自動検出加入を構成する

自動検出加入は、エンドユーザーのEメールアドレスを使用してデバイスを意図する環境と組織グループに加入する

ため、加入プロセスを簡素化することができます。

メイン組織グループで自動検出加入を構成するには、次の手順を実行します。

1. グループと設定 > すべての設定 > 管理者 > クラウドサービスの順に移動して、自動検出設定を有効にします。

自動検出 AirWatch IDにログイン用 Eメールアドレスを入力して、ID を設定するを選択します。

a. 必要に応じて、https://my.air-watch.com/set-discovery-passwordにアクセスして、自動検出サービス用の

myAirWatchパスワードを設定します。登録して ID を設定するをクリックすると、HMAC トークンが自動入力さ

れます。接続のテストをクリックし、接続が正常に行われたことを確認します。

2. 自動検出証明書ピン留めオプションを有効にして、各自の証明書をアップロードして自動検出機能にピン留めし

ます。

既存の証明書の有効期限やその他の情報を確認できます。また、これらの既存の証明書を置換および消去す

るオプションもあります。

証明書を追加するを選択すると、名前と証明書の各設定が表示されます。アップロードする証明書の名前を

入力し、アップロードボタンを選択して、デバイスの証明書を指定します。

3. 保存をクリックし、自動検出機能のセットアップ処理を完了します。

加入するエンドユーザーに、環境 URLとグループIDを入力するのではなく、認証用 Eメールアドレスを使用するオプショ

ンを選択するよう、指示します。ユーザーがEメールアドレスを使用してデバイスを加入させる際、関連付けられている

AirWatchユーザーアカウントの加入組織グループとして設定された同じ組織グループに加入します。

サブ組織グループからの自動検出による加入を構成する

加入組織グループの下位のサブ組織グループで、自動検出加入を構成できます。この方法で自動検出加入を有効

化するには、加入時にユーザーにグループIDを選択させる必要があります。

1. デバイス> デバイス設定 > 全般 > 加入と進み、グループ化タブを選択します。

2. ユーザーがグループ ID を選択するようプロンプト表示するを選択します。


120



https://my.air-watch.com/set-discovery-password



121



第 8章:共有デバイス

共有デバイス概要 123

共有デバイスの階層を定義する 124

122



共有デバイス概要

社内の従業員全員にデバイスを支給した場合、非常にコストがかかる可能性があります。AirWatch MDMでは、デバ

イスを共有して、1つの固定された構成をエンドユーザー全員に適用することも、それぞれのエンドユーザーに固有の

構成設定を適用することも可能です。

共有デバイス/マルチユーザーデバイス機能を利用すると、個々のエンドユーザーに対して、セキュリティと認証を確実

に導入できます。さらに、必要に応じて、機密情報に共有デバイスでアクセスできるエンドユーザーを限定することが可

能です。

共有デバイスを導入する場合、エンドユーザーにデバイスを展開する前に、まず該当する設定や制限事項でデバイス

をプロビジョンする必要があります。展開後、AirWatchでは共有デバイス用のシンプルなログイン/ログアウトプロセスが

使用されます。この際、エンドユーザーは単に自分のディレクトリサービスまたは専用のログイン資格情報を入力するだ

けです。エンドユーザーがどのレベルの企業リソース(コンテンツ、機能、アプリケーションなど)にアクセスできるかは、その

エンドユーザーの役割に応じて決まります。この役割により、ユーザーがログイン後に利用する機能やリソースが自動で

構成されます。

ログイン/ログアウト機能はAirWatch Agent自体に組み込まれています。組み込みの機能であるため、加入状態に影

響が及ばないことが保証され、デバイスが使用中であるかどうかにかかわらず、確実にAirWatchで管理できます。

共有デバイスの機能

複数のユーザー間で共有されるデバイスの機能とセキュリティに関しては、以下のような基本機能を利用することがで

きます。これらの機能があることも、コスト効率の高い、エンタープライズモビリティを最大限活用するためのツールとし

て、共有デバイスをお勧めする理由の1つです。

l 機能

o 企業の設定を維持したまま、エンドユーザーのエクスペリエンスをパーソナライズできます。

o デバイスにログインすると、そのエンドユーザーの役割と組織グループ(OG)に基づいて、企業アクセスと特定の

設定、アプリケーション、およびコンテンツが自動的に構成されます。

o AirWatch Agentに組み込まれているログイン/ログアウトプロセスを使用できます。

o エンドユーザーがデバイスからログアウトすると、そのセッションの構成設定がワイプされます。当該のデバイス

は、別のエンドユーザーがログインできるようになります。

l セキュリティ

o デバイスをエンドユーザーに支給する前に、共有デバイス設定を使用してデバイスをプロビジョニング

o AirWatch加入状態を維持したまま、デバイスにログイン/ログアウト

o ログイン中にエンドユーザーをディレクトリサービスまたは専用のAirWatch資格情報で認証

o デバイスがログインしていない間もデバイスを管理

共有デバイスをサポートするプラットフォーム

共有デバイス/マルチユーザーデバイス機能をサポートするのは以下のデバイスです。

l Android 2.3以降

l AirWatch Agent v4.2以降が搭載されているiOSデバイス

l AirWatch Agent v2.1以降が搭載されているMac OSデバイス

第 8章 :共有デバイス

123



共有デバイスの階層を定義する

AirWatchへの初回ログイン時には、貴社組織の名前で作成された組織グループが1つ表示されます。この組織グルー

プは、最上位の組織グループとなります。この下にサブグループを作成して、貴社の組織構造に沿って階層構造を構

築します。

1. グループと設定 > グループ> 組織グループ> 組織グループ詳細と進みます。自社を表す組織グループが表示され

ます。

2. 表示される組織グループ詳細に間違いがないことを確認してから、利用可能な設定を使用して、必要に応じて

変更を加えます。変更を加えた場合は、保存を選択します。

3. サブ組織グループの追加を選択します。

4. 最上位組織グループの直下に最初に作成する組織グループに関する、次の設定を入力します。

設定説明

名前表示したいサブ組織グループの名前を入力します。使用できる文字は英数字だけです。それ以外の

文字は使用できません。

グルー

プ IDエンドユーザーがデバイスのログイン時に使用する組織グループの IDを入力します。グループIDは、加

入時にデバイスを適切な組織グループに分類するために使用されます。

デバイスを共有するエンドユーザーが、グループ IDを受け取っていることを確認してください。共有デバ

イスの構成によっては、デバイスのログイン時にエンドユーザーによるグループID入力が必要になりま

す。

タイプサブ組織グループのカテゴリに適合する、事前構成されている組織グループタイプを選択します。

国組織グループが存在する国を選択します。

ロケー

ル

選択した国の言語分類を選択します。

カスタ

マーの

業種

このフィールド値は、タイプの値が｢カスタマー｣である場合にのみ指定できます。｢カスタマーの業種｣の

リストから選択します。


第 8章 :共有デバイス

124



第 9章:デバイス割り当て

デバイス割り当ての概要 126

デバイス割り当てを有効にする 126

デバイス割り当てルールまたはネットワーク範囲を定義す

る 127

125



デバイス割り当ての概要

デバイス割り当てを使用し、ネットワークIPアドレス範囲またはカスタム属性に基づいて、組織グループ間やユーザー名

の間でデバイスを移動することができます。ユーザーグループを基準にして、コンテンツ(例 :プロファイル、アプリ、ポリ

シー、プロダクト)を整理することもできます。

管理者が組織グループ間でデバイスを手動移動する代わりに、指定 Wi-Fiネットワークにデバイスが接続したときに、コ

ンソールを使用してデバイスを自動移動することができます。また、指定したカスタム属性ルールに基づいて、デバイス

を移動できます。

デバイス割り当ての典型的なユースケースとしては、ユーザーの役割が定期的に変わり、それに伴い新しい役割に特

化したデバイスプロファイルとアプリケーションが必要になるようなケースが考えられます。

デバイスを移動するためにユーザーグループを使用するのか、デバイス割り当てを使用するのか選択する必要があり

ます。AirWatchはこれら2つの機能を同一デバイス上でサポートしていないためです。

デバイス割り当てを有効にする

IPアドレスまたはカスタム属性に基づいて、組織グループ間、ユーザー名間でデバイスを移動する前に、デバイス割り

当てを有効にする必要があります。デバイス割り当てはサブ組織グループでのみ構成することができます。

1. グループと設定 > すべての設定 >デバイスとユーザー > 全般 > 高度な設定と進み、必要に応じて現在の設定を

上書きするか継承するかを選択します。

2. デバイス割り当てルール設定の有効を選択します。

3. 管理タイプを選択します。

l IP 範囲による組織グループ–デバイスがあるWi-Fiネットワーク範囲を離れ、別のネットワーク範囲に接続すると

き、デバイスを指定された組織グループに移動します。この移動により、プロファイル、アプリ、ポリシー、およびプ

ロダクトが自動プッシュされます。

l カスタム属性による組織グループ–カスタム属性に基づいてデバイスを組織グループに移動します。カスタム属

性により、管理者は、管理デバイスから特定の値を抽出してAirWatchコンソールに値を返すことができます。

属性値をデバイスに割り当て、プロダクトプロビジョニングで、またはデバイス参照値として使用することもできま

す。

o カスタム属性による組織グループを有効にした場合、割り当てルールに基づいてカスタム属性を作成するにはここをクリックしてくだ

さいリンクが選択可能になります。このリンクを選択すると、ブラウザで新しいタブが開きます。このタブにカスタム属性割り当てルー

ル画面が表示されます。この画面で、貴社独自の属性割り当てルールを作成できます。詳細は、206ページのカスタム属性を

使用して組織グループを割り当てるを参照してください。

l IP Range範囲によるユーザー名 –デバイスが1つのネットワークを離れて別のネットワークに接続する場合、デ

バイスでは別の組織グループに移動する代わりにユーザー名を変更します。このユーザー名変更により、プロ

ファイル、アプリ、ポリシー、およびプロダクトが組織グループ変更内容と同じようにプッシュされます。このオプショ

ンは、新組織を作成する機能が制限されている企業組織向けで、デバイス割り当て機能の活用法の一つで

す。

第 9章 :デバイス割り当て

126



重要 :既存の割り当て構成の割り当てタイプを変更する場合は、定義されたすべての既存範囲を削除する

必要があります。IP範囲の割り当てを削除するには、グループと設定 > グループ> 組織グループ> ネットワーク

範囲と進みます。カスタム属性の割り当てを削除するには、デバイス> 代理セットアップとプロビジョニング> カス

タム属性 > カスタム属性割り当てルールと進みます。

4. デバイス所有形態オプションを選択します。選択した所有形態のデバイスのみが割り当てられます。

l 企業 –専用

l 企業 –共有

l 従業員所有

l 未定義

5. すべてのオプションを設定した後、保存をクリックします。

デバイス割り当てルールまたはネットワーク範囲を定義する

デバイスをWi-Fiに接続すると、デバイスを認証し、そのネットワーク範囲に関連付けられたプロファイル、アプリ、ポリシー

とプロダクトプロビジョンを自動でインストールすることができます。

カスタム属性に基づいてさまざまなルールを定義することも可能です。属性が割り当てられたデバイスが加入すると、

ルールにより、デバイスが構成済み組織グループに割り当てられます。該当するカスタム属性を含むプロダクトプロビジョ

ンをデバイスが受信した場合も、デバイスを構成済み組織グループに割り当てることができます。

デバイス割り当てを有効化すると、カスタム属性ルールに基づいてデバイスを移動することや、ネットワーク範囲を指定

することができます。詳細は、206ページのカスタム属性を使用して組織グループを割り当てるを参照してください。

デバイス割り当てはサブ組織グループでのみ構成することができます。

1. ここをクリックしてネットワーク範囲を作成リンクをクリックするか、グループと設定 > グループ> 組織グループ> ネット

ワーク範囲と進みます。

2. 1つの IPアドレス範囲を追加するには、ネットワーク範囲を追加を選択します。ネットワーク範囲を追加/編集画

面の以下の欄に入力し、保存をクリックします。

l 開始 IP アドレス–ネットワーク範囲の開始アドレスを入力します。

l 終了 IP アドレス–ネットワーク範囲の終了アドレスを入力します。

l 組織グループ名 –デバイスが上記のネットワーク範囲に入った際の移動先となる組織グループ名を入力しま

す。この設定は、ネットワーク割り当てタイプが｢IP範囲による組織グループ｣の場合にのみ表示されます。

l ユーザー名 –デバイスが上記のネットワーク範囲に入った際のデバイスの登録名となるユーザー名を入力しま

す。この設定は、ネットワーク割り当てタイプが｢IP範囲によるユーザー名｣の場合にのみ表示されます。

l 説明 –ネットワーク範囲の説明となる参考情報を入力します (オプション)。

l ネットワーク範囲がオーバーラップしている場合は、｢保存に失敗しました。ネットワーク範囲はすでに存在しま

す。｣というメッセージが表示されます。

3. 複数のネットワーク範囲を追加する必要がある場合は、オプションでバッチインポートを使用して、時間を短縮す


127



ることができます。バッチインポート画面のこのバッチタイプ用のテンプレートをダウンロードするリンクを選択すると、

一括インポートテンプレートの参照とダウンロードができます。

テンプレートに入力し、バッチインポート画面でインポートを行います。保存をクリックします。


128



第 10章:プロファイルとリソース

デバイスプロファイル概要 130

全般プロファイル設定を追加する 130

デバイスプロファイルリスト表示 132

デバイスプロファイルを編集する 135

リソースの概要 136

デバイス割り当て表示 155

順守プロファイルの概要 156

ジオフェンス 157

タイムスケジュール 159

129



デバイスプロファイル概要

デバイスプロファイルは、デバイス管理の主要な手段です。デバイスプロファイルに含まれている設定を順守ポリシーと

組み合わせることで、企業の規則や手順の順守に役立ちます。

各プラットフォームタイプ向けにプロファイルを作成し、プラットフォームタイプごとの個々の設定となるペイロードをそれぞ

れ構成します。

特定のプラットフォームに対する具体的なペイロードを構成する手順については、該当するプラットフォームガイドを参

照してください。この文書の入手方法については、214ページの他の文書を入手するを参照してください。

プロファイル作成のプロセスでは、まず全般設定を指定してから、ペイロード設定を指定します。

l 全般設定は、プロファイルの展開方法と展開対象となるユーザーを指定するためのものです。

l プロファイルのペイロードは、プロファイルがインストールされたときにデバイスに適用される実際の制限やその他の

設定です。

全般プロファイル設定を追加する

以下のプロファイル設定やオプションはほとんどのプラットフォームに該当し、一般的な参考資料になりますが、異なる

選択肢のあるプラットフォームもあります。以下の手順と設定は、すべてのプロファイルに当てはまります。

1. デバイス> プロファイルとリソース> プロファイル > 追加と進みます。以下のいずれかの方法でプロファイルを追加し

ます。

l プロファイルを追加 –新しいデバイスプロファイルの追加を1つずつ行います。

l プロファイルをアップロード–署名済みプロファイルをデバイスにアップロードします。

l バッチインポート–新しいデバイスプロファイルを.CSVファイルを使用して一括インポートします。一意な名前と

説明を入力し、複数のプロファイルを一度にグループ化して整理します。

2. プロファイルを追加を選択します。

3. 展開したいプロファイルに対応する、適切なプラットフォームを選択します。プラットフォームに応じて、ペイロード設

定は異なります。

4. 全般タブで次のフィールド値を指定します。

設定説明

名前 AirWatchコンソールで表示されるプロファイルの名前です。

バー

ジョン

読み取り専用の項目で、バージョン追加により決定されるプロファイルの現行バージョンを表示します。

説明プロファイルの目的について簡単な説明を記入します。

第 10章 :プロファイルとリソース

130



設定説明

展開デバイスの加入解除時に、プロファイルが自動的に削除されるかを決定します (Android for Work向けの

プロファイルには適用されません)。

l 管理対象 –プロファイルは削除されます。

l 手動 –エンドユーザーが削除するまで、プロファイルはインストールされたままです。

割り

当て

タイ

プ

プロファイルのデバイスへの展開方法を決定します。

l 自動 –プロファイルはすべてのデバイスに自動で展開されます。

l オプション–エンドユーザーがオプションでセルフサービスポータル(SSP)からインストールするか、または

管理者の判断で個々のデバイスに展開されるプロファイルです。

また、エンドユーザーはWebクリップやブックマークのペイロードを使用してWebアプリケーションを表す

プロファイルをインストールすることもできます。ペイロードを構成してApp Catalogで表示する場合は、

プロファイルをApp Catalogからインストールできます。

l インタラクティブ– (iOS または Android での作業には適用されません)このプロファイルは、エンドユー

ザーがセルフサービスポータルを使用してインストールするユニークなタイプです。この特殊なタイプのプ

ロファイルがインストールされると、外部システムと通信してデバイスに送信するためのデータを生成し

ます。このオプションは、グループと設定 > すべての設定 > デバイスとユーザー > 高度な設定 > プロファ

イルオプションで有効に設定されている場合のみ利用できます。

l 順守 –このプロファイルは、デバイスを順守状態にするための是正アクションをユーザーが実行できな

いときに、順守エンジンによってデバイスに適用されます。詳細は、156ページの順守プロファイルの概

要を参照してください。

削除

を許

可

l いつでも–エンドユーザーはいつでもプロファイルを手動で削除することができます。

l 要承認 –エンドユーザーは管理者の承認がある場合に限りプロファイルを削除できます。このオプショ

ンを選択すると、アカウントパスワード欄が追加されます。

l なし–エンドユーザーはデバイスからプロファイルを削除することはできません。

管理

元

プロファイルの管理者権限を持つ組織グループです。

割り

当て

るグ

ルー

プ

デバイスプロファイルを適用したいスマートグループを選択します。新しいスマートグループを、OSバージョ

ン、デバイスモデル、所有形態タイプ、組織グループなどの仕様を指定して作成するオプションもありま

す。詳細は、66ページの割り当てグループ概要を参照してください。

プラットフォームはスマートグループの抽出条件の1つですが、デバイスプロファイルや順守ポリシーにおい

て構成されるプラットフォーム条件が、スマートグループのプラットフォーム条件より常に優先されます。例え

ば、あるデバイスプロファイルが iOSプラットフォームに対して作成されている場合、スマートグループに

Androidデバイスが含まれていても、そのプロファイルは iOSデバイスのみに割り当てられます。

除外はいが選択されると、新しい除外するグループテキストボックスが表示されます。このテキストボックスによ

り、デバイスプロファイルの割り当てから除外するグループを選択できます。詳細は、73ページのプロファイ

ルやポリシーからスマートグループを除外するを参照してください。


131



設定説明

デバ

イス

割り

当て

を表

示す

る

割り当てるグループを選択すると、スマートグループの割り当てと除外が反映されたすべてのデバイスの一

覧を確認できます。

追加

の割

り当

て条

件

これらのチェックボックスを使用して、このプロファイルの追加の制限を有効にします。

l 選択したエリア内のデバイスのみにインストール-世界中の任意の場所の住所と半径 (キロ単位また

はマイル単位)を入力して、「プロファイルのインストール境界線」を作成します。詳細は、157ページの

ジオフェンスを参照してください。

l スケジュールを有効にし、選択した時間帯のみインストール–構成済みのタイムスケジュールを指定

し、デバイスが設定された時間枠内にのみプロファイルを受信するようにします。このオプションを選択

すると、割り当てるスケジュールという必須入力欄が表示されます。詳細は、159ページのタイムスケ

ジュールを参照してください。

削除

日

プロファイルがデバイスから削除される日付です。MM/DD/YYYYの形式で、未来の日付を使用してくださ

い。

5. デバイスプラットフォームに対するペイロードを構成します。

特定のプラットフォームに対する具体的なペイロードを構成する手順は、該当するプラットフォームガイドを参照

してください。この文書の入手方法については、214ページの他の文書を入手するを参照してください。


デバイスプロファイルリスト表示

プロファイルを作成して割り当てた後、これらの設定のそれぞれを一元的にリモート管理する方法が必要です。デバイ

ス> プロファイルとリソース> プロファイルと進むと、プロファイルを一元的に整理および管理できます。

フィルタ、レイアウトやカラム並べ替えを使用し、条件を設定して、デバイスプロファイルリストをカスタマイズすることが

できます。または、リストをCSVファイルにエクスポートし、Excelでデバイスプロファイルの状態を確認することもできます。

設定説明

フィルタ以下のフィルタを使用し、必要なプロファイルのみ表示します。

l 状態 –アクティブ、非アクティブ、すべてのデバイスを表示するフィルタを適用します。

l プラットフォーム– 13種類のプラットフォーム別にデバイスを表示するか、すべてのプラットフォームを表示

します。

l スマートグループ–ドロップダウンメニューからスマートグループを選択し、所属デバイスのみを表示する



132



設定説明

レイアウ

ト

リスト上のカラムの配置をカスタマイズできます。

l 概要 –既定のカラムと表示設定のリスト表示を閲覧します。

l カスタム–リスト表示から表示したいカラムのみを選択します。選択したカラムを、現在の組織グルー

プ、またはそのサブ組織グループのすべての管理者に適用することもできます。

エクス

ポート

リスト表示全体をCSV (コンマ区切り値)ファイルで保存しExcelで表示/分析します。リスト表示にフィルタ

を適用している場合は、エクスポートされるリストもそのフィルタに従います。

カラム並

べ替え

カラムのヘッダを選択し、リストの並び順を切り替えます。

プロファ

イル詳

細

概要とカスタム表示双方のプロファイル詳細カラムには、各プロファイルにペイロードタイプ示すアイコン

が表示されています。

–シングルペイロードタイプには、個々のペイロードタイプに独自のアイコンがあります。

– 1つのタイプの複数のペイロードを持つプロファイルには、アイコンの右上部に数字のバッジが表示されま

す。

–異なるタイプの複数のペイロードを持つプロファイルには、数字のバッジ付きの一般的なアイコンが表示

されます。

インス

トール状

態

このカラムには、プロファイルのインストール状態が、リンク付きのハイパーテキストの3つの数字で表示され

ます。このリンクを選択すると、デバイス表示ページが表示され、選択したカテゴリに該当するデバイスの一

覧を閲覧できます。

l インストール済み () –このインジケータは、プロファイルが割り当てられ、正常にインストールされたデバイ

スの数を表示します。

l 未インストール() –このインジケータは、プロファイルが割り当てられているにもかかわらずまだインストー

ルされていないデバイスの数を表示します。

l 割り当て済み () –このインジケータは、インストール状態にかかわらず、プロファイルが割り当てられたデ

バイスの数を表示します。


133



設定説明

ラジオボ

タンと

編集ア

イコン

リスト表示画面には、プロファイルの左側にそれぞれラジオボタンと編集アイコンがあります。編集アイコン

( )を選択すると、プロファイル構成に基本的な変更を加えることができるようになります。ラジオボタンを選

択するとデバイスボタン、XMLボタンとその他のアクションボタンが一覧の上に表示されます。

l デバイス–該当プロファイルを利用できるデバイスと、そのプロファイルがインストールされているかどう

か、そしてその理由を表示します。貴社の展開に含まれているデバイスを調査し、必要に応じて手動

でプロファイルをプッシュします。

l </> XML –プロファイル作成後、AirWatchが生成するXMLコードを表示します。XMLコードを確認し、

AirWatchコンソールの外部で再利用または変更するために保存します。

l その他のアクション

o コピー–既存のプロファイルのコピーを作成し、コピー版の構成を微調整することでデバイスプロファ

イルを作成します。

o アクティブ化/非アクティブ化 –デバイスプロファイルを、アクティブまたは非アクティブに切り替えま

す。

o 削除 –不要なプロファイルを削除し、貴社のプロファイルリストのメンテナンスを行います。

デバイスプロファイルのホバーオーバーポップアップ

各デバイスプロファイルのプロファイル名カラムの右上隅にツールチップアイコンがあります。このアイコンをタップするか

(モバイルタッチデバイスの場合)、マウスカーソルでホバーオーバー(PCまたはMacの場合)すると、ホバーオーバーポッ

プアップが表示されます。このポップアップにはプロファイル名、プロファイルが有効なプラットフォーム、ペイロードタイプな

どのプロファイル情報が表示されます。

プロファイルリスト表示の割り当てられたグループカラムにも同様のツールチップアイコンがあり、割り当てのスマートグ

ループと展開タイプをホバーオーバーポップアップで表示します。

デバイスプロファイルのインストールを確認する

まれに、対象となるデバイスにプロファイルがインストールされないケースが発生することがあります。そのような場合は、

デバイス表示画面を使用して具体的な理由を確認します。

デバイス> プロファイルとリソース> プロファイルと進み、インストール状態カラムの右側の数字リンクを選択してデバイス

表示画面を開きます。

作成したプロファイルが意図したデバイスに配信されない場合は、以下のVMware AirWatchナレッジベース資

料のトラブルシューティング情報を参照してください。https://support.air-watch.com/articles/115001662268


134




デバイスコマンド状態カラムを表示する

デバイス表示画面で示されるコマンド状態カラムは、選択したデバイスのインストール状態を以下のように表示しま

す。

l エラー–リンクを選択すると、デバイスに該当する特定のエラーコードを表示します。

l 保持 –デバイスが進行中の証明書バッチ処理に含まれていることを示します。

l 適用なし–プロファイルの割り当てがデバイスの操作に影響することはないが、スマートグループにも展開にも属し

ていない場合に表示されます。例としては、プロファイルタイプが管理外である場合などが考えられます。

l 今は行わない–デバイスがロックされているかまたは他の操作を実行中であることを示します。

l 保留中 –インストールはスケジュール済みで待機中であることを示します。

l 成功 –プロファイルが正常にインストールされたことを示します。

注 :コマンド状態カラムは iOSデバイスのみの機能です。

エクスポートアイコン( )を選択して、デバイス表示画面全体をコンマ区切り値 (CSV)ファイルで表示できます。Excelを使用してCSVファイルの読み取りおよび分析を実行できます。

さらに、表示する列アイコン( )を選択し、デバイス表示画面に表示されるカラムをカスタマイズすることもできます。

デバイスプロファイルの読み取り専用表示

ある組織グループで作成され、管理されるデバイスプロファイルは、より低いレベルの権限を持つ管理者がアクセスする

場合、読み取り専用の状態になります。プロファイルウィンドウは、この読み取り専用状態を反映して｢このプロファイル

は、上位の組織グループで管理されているため編集できません。｣というメッセージを表示します。

この読み取りのみの制限は、スマートグループ割り当てにも適用されます。メイン組織グループでプロファイルを作成し、

あるスマートグループに割り当てた場合、サブ組織グループの管理者は、割り当て先スマートグループを表示することは

できますが、編集することはできません。

この挙動は、階層構造に基づくセキュリティを維持する一方、管理者間のコミュニケーションを促進するのに役立ちま

す。

デバイスプロファイルを編集する

AirWatchコンソールを使用して、すでに貴社のデバイスにインストールされたデバイスプロファイルを編集することができ

ます。任意のデバイスプロファイルに対し、2種類の変更ができます。

l 全般 –プロファイルの全般設定はプロファイルの配布を管理します。プロファイルがどのように割り当てられるか、どの

組織グループによって管理されるか、どのスマートグループに割り当て/除外されるかを設定します。

l ペイロード–ペイロードプロファイル設定はデバイス自体に影響します。パスコード要件、カメラの使用、スクリーン

キャプチャなどのデバイス制限事項、Wi-Fi構成、VPNなどを設定します。

デバイス自体の操作には影響がないため、全般変更は、通常プロファイルを再公開することなく行うことができます。こ

のような変更を保存すると、すでにプロファイルが割り当てられていなかったデバイスにのみプロファイルがプッシュされるこ

とになります。


135



これに対し、ペイロードの変更は新しいまたは既存のすべてのデバイスに再公開される必要があります。これは、デバ

イス自体の操作に影響するためです。

全般デバイスプロファイル設定を編集する

全般プロファイル設定には、その配布のみを管理する変更情報が含まれています。この配布情報の内容は、プロファ

イルがどのように割り当てられるか、どの組織グループ(OG)によって管理されるか、どの割り当てグループに割り当てられ

るか、および、どの割り当てグループから除外されるか、です。

1. デバイス> プロファイルとリソース> プロファイルと進み、編集したいプロファイルのアクションメニューから編集アイコ

ン( )を選択します。

編集可能なプロファイルは、ある組織グループまたはその下のサブ組織グループによって管理されているプロファイル

だけです。

2. 全般カテゴリで希望するすべての変更を行います。

3. 全般カテゴリの変更を終了した後、保存して公開をクリックし、追加/削除の対象となる新しいデバイスにプロファ

イルを適用します。プロファイルがすでに割り当てられているデバイスは、再公開されたプロファイルを再び受け取る

ことはありません。デバイス割り当て表示画面が表示されます。現在プロファイルが割り当てられているデバイスを

確認します。


130ページの全般プロファイル設定を追加する

155ページのデバイス割り当て表示

ペイロードデバイスプロファイル設定を編集する

ペイロードプロファイル設定は、デバイス自体に影響する変更を行います。パスコード要件、カメラの使用、スクリーン

キャプチャなどのデバイス制限事項、Wi-Fi構成、VPNなどが含まれています。

バージョンの追加ボタンで次のバージョンを作成し、ペイロードの設定内容を編集することができます。

1. デバイスの操作に影響するペイロードを編集可能にするため、バージョンの追加ボタンを選択します。

バージョンの追加ボタンを選択して変更を保存すると、デバイスプロファイルが割り当てられるすべてのデバイスに

再公開されます。この再公開には、すでにプロファイルが設定されているデバイスも含まれます。具体的なペイロー

ドを構成する手順は、該当するプラットフォームガイドを参照してください。この文書は、214ページの他の文書

を入手するから入手することができます。

2. ペイロード変更を完了した後、保存して公開をクリックし、割り当てられたすべてのデバイスにプロファイルを適用し

ます。デバイス割り当て表示画面が表示されます。現在プロファイルが割り当てられているデバイスを確認します。

リソースの概要

リソースを使用することで、iOS、Android、Windowsなど、複数のデバイスプラットフォームをサポートするAirWatch展開

におけるWi-Fi、VPN、およびExchangeペイロードのプロビジョニングが容易になります。

これらのペイロードに対応するリソースを作成し、各デバイスプラットフォームに適用される全般設定を定義します。さら

にオプションで、それらのデバイスのみに適用されるプラットフォームごとの設定を構成できます。


136



リソースの定義、管理、展開は、デバイスプロファイルとは別に行います。デバイスプロファイルに加えてリソースを展開

することで、展開内でサポートされているすべてのプラットフォームに対する詳細かつ幅広いデバイス管理を実現できま

す。

Wi-Fi、VPN、または Exchangeの設定を展開するためにリソースを使用する必要はありません。必要に応じて、プラット

フォームごとのこれらのペイロード用に個別のデバイスプロファイルを作成することができます。各プラットフォームでWi-Fi、VPN、または Exchangeの設定を同一または類似にするには、リソースを展開することを検討してください。そのうえ

で、追加のデバイスプロファイルを通常どおり作成して、プラットフォームごとの機能をさらに細かく管理することができま

す。


137



リソースリスト表示

リソースリスト表示を使用して、デバイスリソースのコレクションへの追加や、コレクションの管理ができます。たとえば、

個々のリソースの構成の表示、削除、編集などが可能です。

リソースを追加する

同じExchange、Wi-Fi、VPN設定を使用してマルチプラットフォームのデバイス群をプロビジョニングするリソースを追加す


デバイス> プロファイルとリソース> リソースと進み、リソースを追加を選択します。リソースを追加するには、次のオプショ

ンから選択する必要があります。

l Exchange – Exchange Eメールサーバとの接続を維持できるようにEメール設定を構成します。

l Wi-Fi –ネットワーク接続を維持できるようにWi-Fi接続の設定を構成します。

l VPN –セキュアな接続を維持できるように、仮想プライベートネットワーク設定を構成します。

それぞれのリソースについて、構成には 3つのステップが必要です。デバイスリソースを作成するには、リソースの詳細、

対応するプラットフォーム、およびデバイスに対するリソースの割り当てを指定します。

l リソースの詳細には、リソース名、説明、サーバの依存関係、および、そのリソースの動作を指定するその他の重

要な情報が含まれます。

l プラットフォームでは、そのリソースを実行するデバイスを定義します。

l 割り当てでは、組織グループ、ユーザーグループ、スマートグループなど、ソースの展開方法を指定します。

リソースを管理する

リソースのコレクションができたら、デバイス> プロファイルとリソース> リソースと進み、リソースのフィルタ、表示、編集、

削除を行うことで、それらを管理することができます。

l リソースリスト表示にフィルタをかけて、アクティブ、非アクティブ、またはすべてのリソースを表示することができます。

l リソースに含まれているさまざまなプラットフォームを表示するには、プラットフォームカラムのハイパーリンクの付いた

数字を選択します。

o リソースの高度な設定を開くには、ハイパーリンクの付いたプラットフォーム名を選択します。

o ｢プラットフォーム｣画面のインストール済み/割り当て済みカラムに表示されたハイパーリンク付き数値を選択

して、デバイス表示画面を開きます。この画面には、リソースに割り当てられたデバイスの一覧が表示されま

す。

o XMLコードを表示し、エクスポートして証明書をアップロードするには、プラットフォーム画面のXMLカラムに表

示される表示ハイパーリンクをクリックします。

l リソースを編集するには、リソースの名前のリンクを選択して、リソースを編集画面のリソースの詳細セクションを表

示します。

o リソースの詳細を編集するには、リソースリストの左にある鉛筆のアイコン()をクリックします。リソースを編集画

面の他のセクションの編集に進むには、次へボタンをクリックします。


138



l リソースの割り当てを編集するには、リソースリストの左側にあるラジオボタンを選択して、割り当てを編集ボタンを

クリックします。

l リソースを削除するには、リソースリストの左側にあるラジオボタンを選択して、削除ボタンをクリックします。リソース

を削除すると、そのリソースがすべてのデバイスから削除されるまで、非アクティブに設定されます。


139



Exchange リソースを追加する

セキュアにEメールの送受信を行う手段をデバイスに提供するための専用のリソースを追加することができます。

1. Exchangeリソースを追加するため、次のフィールド値を指定します。

設定説明

リソースの詳細

リソース名 AirWatchコンソールで表示されるプロファイルの名前です。


接続情報

メールクライアントそのソースで使用するEメールクライアントを選択します。

Exchangeホストリソースに含めるEメールアカウントのExchangeホストを入力します。

SSL 使用このメールクライアントでSSL (Secure Socket Layer)を有効にします。

アドバンスト

ドメインこのEメールドメインのカスタム参照値を入力します。

ユーザー名このEメールのユーザー名のカスタム参照値を入力します。

EメールアドレスこのEメールアドレスのカスタム参照値を入力します。

パスワード Eメールアカウントのパスワードを入力します。文字を表示チェックボックスを選択する

と、パスワードがそのまま表示されます。

ID 証明書認証局をアップロードし、証明書を追加するボタンで選択したEメールアカウントに

添付します。

メールの同期を取りに遡

る日数

同期するEメール履歴の期間を指定します。3日、1週間、2週間、1か月、無制

限のいずれかを選択します。

カレンダーの同期デバイスのカレンダーをExchange予定表と同期するには、このオプションを選択しま

す。iOSおよびmacOSデバイスでは、既定でこの設定が有効になっています。

連絡先の同期デバイスの連絡先をExchange連絡先と同期するには、このオプションを選択します。

iOSおよびmacOSデバイスでは、既定でこの設定が有効になっています。

2. 次へをクリックしてプラットフォームの選択に進みます。次のサポートされているプラットフォームから、既定の設定ま

たは高度な設定を有効にするプラットフォームを選択します。

l 141ページの iOSのExchangeの高度な設定を構成する

l 142ページのmacOSのExchangeの高度な設定を構成する

l 142ページのAndroidのExchangeの高度な設定を構成する

l 143ページのWindows PhoneのExchangeの高度な設定を構成する

l 144ページのWindowsデスクトップのExchangeの高度な設定を構成する

3. 次へをクリックして割り当てセクションに進みます。

4. リソースをデバイスに割り当てるため、次のフィールド値を指定します。


140



設定説明

割り当てタイプデバイスへのリソースの展開の方法を指定します。

l 自動 –リソースは自動的にすべてのデバイスに展開されます。

l オプション–リソースは、エンドユーザーが任意でセルフサービスポータル(SSP)からインス

トールするか、または管理者の判断で個々のデバイスに展開されます。

管理元リソースへの管理アクセスをもつ組織グループです。

割り当てるグルー

プ

デバイスリソースを追加したいグループを指定します。新しいスマートグループを、OSバージョ

ン、デバイスモデル、所有形態タイプ、組織グループなどの仕様を指定して作成するオプショ

ンもあります。詳細は、66ページの割り当てグループ概要を参照してください。

除外はいを選択すると、除外するグループという新しいテキストボックスが表示され、このリソースの

割り当てから除外したいグループを選択できます。詳細は、73ページのプロファイルやポリシー

からスマートグループを除外するを参照してください。

デバイス割り当て

を表示する

割り当てるグループテキストボックスで選択を行った後、このボタンを使用して、このリソースが

割り当てられるすべてのデバイスの一覧を確認できます。この一覧には、スマートグループの

割り当てと除外が反映されます。

iOS の Exchangeの高度な設定を構成する

iOS用のExchangeの高度な設定には、S/MIMEとセキュリティの構成オプションがあり、Eメールをユーザーごとに証明書

ベースで暗号化することができます。

設定説明

S/MIME を使用する S/MIME (SecureMultipurpose Internet Mail Extensions)、公開鍵方式の暗号化、

および署名の標準を使用します。

S/MIME 証明書 S/MIME を使用するが有効な場合にのみ使用できます。署名証明書をEメール

に追加するには、証明書を追加するを選択します。

S/MIME 暗号化証明書 S/MIME を使用するが有効な場合にのみ使用できます。Eメールを暗号化してEメールにデジタル署名するための証明書を追加するには、証明書を追加するを選

択します。

メッセージスイッチを有効化 S/MIME を使用するが有効な場合にのみ使用できます。このオプションを有効に

すると、エンドユーザーがネイティブの iOSメールクライアントを使用して、暗号化と

署名を行うEメールメッセージを選択できるようになります (iOS 8以降の監視モード

のみ)。

設定とセキュリティ

メッセージの移動を防ぐこのオプションを有効にすると、Exchangeメールボックスからデバイス上の他のメール

ボックスにEメールメッセージを移動できなくなります。

サードパーティアプリでの使用を

ブロック

このオプションを有効にすると、他のアプリからExchangeメールボックスを使用して

メッセージを送信できなくなります。

最近のアドレス同期を無効に

する

このオプションを有効にすると、Exchangeでメールを送信するときに、連絡先の候補

が自動表示されなくなります。

Mail Drop を禁止このオプションを有効にすると、AppleのMail Drop機能を使用できなくなります。


141



macOS の Exchangeの高度な設定を構成する

macOSデバイスでExchange Eメールを受信できるようにするには、高度な設定を構成します。

設定説明

内部 Exchangeホスト EASで使用するセキュアサーバの名前です。ネイティブメールクライアントが選択されている

と、このオプションおよび以下のオプションが表示されます。

ポート内部 Exchangeホストとの通信に割り当てるポート番号を入力します。

内部サーバのパス EASで使用するセキュアサーバの場所です。

内部 Exchangeホスト

に SSL を使用

このチェックボックスをオンにした場合、内部 Exchangeホストとの通信にSSL (Secure SocketsLayer)を使用します。

外部 Exchangeホスト EASで使用する外部サーバの名前です。

ポート外部 Exchangeホストとの通信に割り当てるポート番号を入力します。

外部サーバのパス EASで使用する外部サーバの場所です。

外部 Exchangeホスト

に SSL を使用

このチェックボックスをオンにした場合、外部 Exchangeホストとの通信にSSL (Secure SocketsLayer)を使用します。

Android の Exchangeの高度な設定を構成する

Android用のExchangeの高度な設定には、履歴の同期、制限、同期のスケジュール、S/MIMEがあります。AndroidデバイスにEメールを配信するには、これらのオプションを構成します。

設定説明

設定

カレンダーの同期を取

りに遡る日数

過去何日分のカレンダー項目をデバイスと同期させるかを指定します。

タスクの同期を許可このオプションを有効にした場合、タスクをデバイスと同期させることができます。

Eメール最大サイズ

(KB)Eメールメッセージがデバイスと同期する際に許容されるサイズ(KB)を設定します (超過分は

切り捨て)。

Eメール署名発信メールに表示するEメール署名を入力します。

SSL エラーを無視このオプションを有効にした場合、デバイスはAirWatch AgentプロセスにおけるSSLエラーを無

視できます。

制限

添付ファイルを許可

する

このオプションを有効にした場合、Eメールにファイルを添付できます。

添付ファイルの最大

サイズ (MB)添付ファイルの上限サイズ(単位 : MB)を指定します。

Eメール転送を許可このオプションを有効にした場合、Eメールを転送できます。

HTML フォーマットを許

可

HTML形式のEメールをHTML形式のままデバイスと同期させるかどうかを指定します。

このオプションを無効にした場合、Eメールはすべてテキスト形式に変換されます。


142



設定説明

スクリーンショットを無

効にする

このオプションを有効にした場合、デバイス上でスクリーンショットを取ることはできません。

同期の間隔同期間隔 (単位 :分)を入力します。

同期スケジュールのピーク日

l 同期処理におけるピーク日を指定します。また、開始時間および終了時間で、選択し

た日における同期処理の開始/終了時刻を指定します。

l ピーク時の同期スケジュールおよびオフピーク時の同期スケジュールで、同期処理の頻

度を指定します。

o 自動を選択した場合、更新データが発生するたびにEメール同期処理が実行され

ます。

o 手動を選択した場合、選択したときにのみ Eメール同期処理が実行されます。

o 時刻を指定した場合、設定したスケジュールに基づいてEメール同期処理が実行さ

れます。

l SSL の使用、TLS の使用および既定のアカウントを有効にします。

S/MIME 設定

S/MIME を使用を選択し、資格情報ペイロードでユーザー証明書として関連付ける

S/MIME証明書をここから選択することができます。

l S/MIME 証明書 –使用する証明書を選択します。

l 暗号化された S/MIME メッセージを要求する– S/MIMEメッセージを暗号化する必要が

あります。

l 署名済み S/MIME を要求する–すべてのS/MIMEメッセージにデジタル署名する必要が

あります。

暗号化にS/MIME証明書を使用する場合は、移行ホストを入力します。

Windows Phoneの Exchangeの高度な設定を構成する

Windows Phone用のExchangeの高度な設定には、同期のスケジュール設定とデータ保護の設定があります。

ExchangeのEメールを安全にデバイスに配信するには、これらの設定を構成します。

設定説明

設定

次の同期間

隔 (分)同期間隔 (単位 :分)を入力します。

診断ログ収

集

収集する診断ログの種類を選択します。


143



設定説明

コンテンツタイプ

ロック時の

データ保護を

必須にする

このオプションを有効にすると、デバイスを暗証番号でロックしている時にデータが保護されます。

暗証番号によるロックを使用するようにデバイスが構成されている場合、保護対象のデータは別々の

企業キーを使用して暗号化されます。だれかがデバイスの暗証番号ロックにアクセスしても、組織のEメールとデータは別々のキーで保護されます。

保護されたド

メイン

ロック時のデータ保護を必須にするが有効な場合にのみ指定できます。保護したいExchangeドメイ

ンの参照値を入力します。

Eメール同期

を許可

Eメールの同期を許可します。この設定を無効にすると、Exchange Active Syncを使用してEメールにア

クセスできなくなります。

Windows デスクトップの Exchangeの高度な設定を構成する

Windowsデスクトップ用のExchangeの高度な設定には、同期のスケジュール設定とデータ保護の設定があります。

ExchangeのEメールを安全にデバイスに配信するには、これらの設定を構成します。

設定説明

設定

次の同期間隔 (分) デバイスがEASサーバと同期する頻度を分単位で選択します。

診断ログ収集トラブルシューティングのためにログを収集します。

コンテンツタイプ

Eメール同期を許可 Eメールメッセージの同期を許可します。


144



Wi-Fiリソースを追加する

ワイヤレスネットワークに接続する手段をデバイスに提供するための専用のリソースを追加することができます。これによ

り、セキュアにデータを送受信することができます。

1. Wi-Fiリソースを追加するため、次のフィールド値を指定します。

設定説明




接続情報

サービスセット識別子

(SSID)Wi-Fiネットワークの名前に関連付けられた識別子を入力します

非公開のネットワークネットワークがブロードキャストに公開されていない場合はこれを有効にします。

自動参加デバイスをネットワークに自動参加させます。

暗号化ドロップダウンメニューを使用して、Wi-Fi接続を使用して転送するデータを暗号化す

るかどうかを指定します。

このフィールドは、セキュリティタイプに基づいて表示されます。

パスワード Eメールアカウントのパスワードを入力します。文字を表示チェックボックスを選択する

と、パスワードがそのまま表示されます。



l 146ページのWi-Fiプロキシの高度な設定を構成する

l 146ページのmacOSのWi-Fiの高度な設定を構成する

l 147ページのAndroidのWi-Fiの高度な設定を構成する

l 148ページのWindowsのWi-Fiの高度な設定を構成する



設定説明







145



設定説明


プ








を表示する




Wi-Fi プロキシの高度な設定を構成する

プロキシを使用してデバイスをAirWatchに接続するため、Wi-Fiの高度な設定を構成します。

設定説明

プロキシのタイプなし、手動、自動から選択します。

プロキシのURL プロキシのタイプが自動になっている場合にのみ指定できます。デバイスが接続に使

用するWi-FiプロキシのURLを入力します。

PAC に到達不能なとき、直

接接続を許可する

プロキシのタイプが自動になっている場合にのみ指定できます。プロキシの自動構成

ファイルにアクセスできない場合でもデバイスの接続を許可する場合は、このオプション

を有効にします。

プロキシサーバプロキシのタイプが手動になっている場合にのみ指定できます。デバイスの接続先と

なるプロキシサーバの名前を入力します。

プロキシサーバポートプロキシのタイプが手動になっている場合にのみ指定できます。デバイスがプロキシ

サーバに接続するときに使用する、プロキシサーバのポート番号を入力します。

プロキシユーザー名プロキシのタイプが手動になっている場合にのみ指定できます。プロキシサーバで認

識されるユーザー名を入力します。

プロキシパスワードプロキシのタイプが手動になっている場合にのみ指定できます。入力したユーザー名

に対応するパスワードを入力します。

macOS のWi-Fi の高度な設定を構成する

プロキシを使用してデバイスをAirWatchに接続するため、Wi-Fiの高度な設定を構成します。

設定説明

プロファイルプロキシ設定を構成する対象を選択します。

デバイス–プロキシ設定を特定のmacOSデバイスに限定します。

ユーザー–プロキシ設定をmacOSデバイスのユーザーに適用します。

プロキシ設定を両方のターゲットに適用するには、両方のボックスにチェックを入れま

す。


146



設定説明

プロキシ

プロキシのタイプなし、手動、自動から選択します。

プロキシのURL プロキシのタイプが自動になっている場合にのみ指定できます。デバイスが接続に使

用するWi-FiプロキシのURLを入力します。

PAC に到達不能なとき、直

接接続を許可する

プロキシのタイプが自動になっている場合にのみ指定できます。プロキシの自動構成

ファイルにアクセスできない場合でもデバイスの接続を許可する場合は、このオプション

を有効にします。

プロキシサーバプロキシのタイプが手動になっている場合にのみ指定できます。デバイスの接続先と

なるプロキシサーバの名前を入力します。

プロキシサーバポートプロキシのタイプが手動になっている場合にのみ指定できます。デバイスがプロキシ

サーバに接続するときに使用する、プロキシサーバのポート番号を入力します。

プロキシユーザー名プロキシのタイプが手動になっている場合にのみ指定できます。プロキシサーバで認

識されるユーザー名を入力します。

プロキシパスワードプロキシのタイプが手動になっている場合にのみ指定できます。入力したユーザー名

に対応するパスワードを入力します。

Android のWi-Fi の高度な設定を構成する

Androidの高度なWi-Fi設定の内容は、Fusion設定とプロキシ設定です。これらの設定では、無線周波数、スペクト

ルマスク、プロキシサーバ設定に関するワイヤレス構成を指定できます。

設定説明

Fusion

Fusion 設定を含める有効にすると、Fusion機能の主な設定が表示されます。

Fusion 802.11d を設定する

/802.11d を有効化する

このオプションを有効化した場合、802.11dワイヤレス規格を利用して、他の制御ドメ

イン内でデバイスを使用することができます。

国別コードを設定する/国コード

このオプションを有効化した場合、国別コードを設定し、802.11d規格を利用してデバ

イスを使用することができます。

周波数帯を設定するこのオプションを有効化した場合、2.4 GHzおよび5 GHzのチャンネルマスクを含む、周

波数帯のすべての指定オプションが表示されます。

2.4 GHz に設定する/2.4GHz を有効化する

2.4 GHzの無線周波数帯を使用します。

2.4 GHz チャンネルマスク隣接チャンネルの干渉を低減するため、2.4 GHzの周波数帯の前後にチャンネルまた

はスペクトルマスクを適用します。

5 GHz に設定する/5 GHz を有効化する

5 GHzの無線周波数帯を使用します。

5 GHz チャンネルマスク隣接チャンネルの干渉を低減するため、5 GHzの周波数帯の前後にチャンネルまたは

スペクトルマスクを適用します。


147



設定説明

プロキシ

手動プロキシを有効化このオプションを有効にすると、プロキシサーバの設定が表示されます。

プロキシサーバプロキシのドメイン名を入力します。

プロキシサーバポートプロキシサーバで使用されるポート番号を入力します。

除外リストプロキシ経由のルーティングを行わないホスト名を入力します。ドメインのワイルドカー

ドとしてアスタリスクを使用できます。例 : *.air-watch.com

Windows のWi-Fi の高度な設定を構成する

プロキシを使用してWindowsデバイス(デスクトップおよび電話)をAirWatchに接続するには、Wi-Fiの高度な設定を構

成します。

設定説明

プロキシ WindowsデバイスでAirWatchに接続するのにプロキシを使用するには、このオプションを有効にします。

URL プロキシが有効になっている場合にのみ指定できます。デバイスが接続に使用するWi-FiプロキシのURLを入力します。

ポートプロキシが有効になっている場合にのみ指定できます。デバイスがプロキシサーバに接続するときに使用

する、プロキシサーバのポート番号を入力します。


148



VPNリソースを追加する

仮想プライベートネットワーク(VPN)を使用するためのリソースを追加できます。VPNを使用した場合、ユーザーはパブ

リックネットワークでも、プライベートネットワークに直接接続しているかのようにデータを送受信できます。

1. VPNリソースを追加するため、次のフィールド値を指定します。

設定説明




接続情報

接続タイプドロップダウンメニューでセキュアな接続のタイプを選択します。

サーバサーバURLを入力します。



l 150ページの iOSのVPNの高度な設定を構成する

l 151ページのAndroidのVPNの高度な設定を構成する

l 152ページのWindows PhoneのVPNの高度な設定を構成する



設定説明







プ








を表示する





149



iOS のVPN の高度な設定を構成する

iOS用のVPNの高度な設定には、接続および認証の設定、プロキシおよびベンダの構成があります。iOS用のVPNを

構成するために、必要に応じてこれらの設定を有効にします。

設定説明

接続情報

アカウント VPNアカウントの名前を入力します。

アイドル

状態で切

断 (分)

一定の時間が経過したら、VPNが自動的に切断されるようにします。この値のサポートは、VPNプロバイ

ダによって異なります。

すべてのト

ラフィックを

送信

すべてのトラフィックが指定したネットワークを経由することを強制するには、これを選択します。

アプリベー

スVPN 規

則

アプリベースVPN規則を有効化し、構成するには、このオプションを選択します。

自動接続 VPNで、選択したSafariドメインに自動接続するにはこのオプションを選択します。このフィールドは、アプ

リベースVPN 規則チェックボックスをオンにした場合に表示されます。

プロバイダ

タイプ

アプリベースVPNプロバイダのタイプを選択します。アプリプロキシとパケットトンネルのどちらかを選択する

ことで、アプリケーションレイヤーとIPレイヤーのどちらを使用してトラフィックをトンネルするかを指定しま

す。このフィールドは、アプリベースVPN 規則チェックボックスをオンにした場合に表示されます。

Safari ドメ

イン

アプリベースVPNで自動接続したいドメインを入力します。このドメインは、VPNの自動接続を実行する

社内サイトです。このフィールドは、アプリベースVPN 規則チェックボックスをオンにした場合に表示されま

す。

認証

ユーザー

認証

エンドユーザーを認証するには、証明書をアップロードするか、VPNアクセス用のパスワードを要求しま

す。

グループ

名

AirWatchグループ名を入力します。

パスワードユーザー認証で｢パスワード｣を選択した場合にのみ、このフィールド値を指定できます。AirWatchグルー

プ名のパスワードを入力します。

ID 証明

書

この設定は、ユーザー認証が｢証明書｣に設定されている場合にのみ指定できます。証明書を追加す

るを選択して、証明書ファイルを指定してアップロードするか、証明書テンプレートを使用して既存の認

証局を選択します。

オンデマン

ドVPN を

有効化

この設定は、ユーザー認証が｢証明書｣に設定されている場合にのみ指定できます。オンデマンドVPNを有効にすると、証明書を使用して自動的にVPN接続が確立されます。


150



設定説明

新しいオ

ンデマンド

キーを使

用

この設定は、ユーザー認証が｢証明書｣に設定されている場合にのみ指定できます。このオプションを有

効にすると、指定されているドメインのいずれかにエンドユーザーがアクセスすると、VPN接続がアクティブ

になります。

ドメインま

たはホスト

が一致す

る

この設定は、ユーザー認証が｢証明書｣に設定されている場合にのみ指定できます。エンドユーザーが

アクセスしたときにVPN接続をアクティブにするトリガとなる、ドメインまたはホスト名を入力します。

オンデマン

ドアクショ

ン

この設定は、ユーザー認証が｢証明書｣に設定されている場合にのみ指定できます。エンドユーザーが

VPN接続をアクティブにしたときに実行される、ドメインごとのオンデマンドアクションを選択します。｢常に

確立｣、｢確立不可｣、｢必要に応じて確立｣から選択します。

プロキシ

プロキシなし、手動、自動から選択します。

プロキシ

サーバの

自動構成

URL

プロキシが自動になっている場合にのみ指定できます。デバイスが接続に使用するWi-Fiプロキシの

URLを入力します。

サーバプロキシが手動になっている場合にのみ指定できます。デバイスの接続先となるプロキシサーバの名前

を入力します。

ポートプロキシが手動になっている場合にのみ指定できます。デバイスがプロキシサーバに接続するときに使

用する、プロキシサーバのポート番号を入力します。

ユーザー

名

プロキシが手動になっている場合にのみ指定できます。プロキシサーバで認識されるユーザー名を入力

します。

パスワードプロキシが手動になっている場合にのみ指定できます。入力したユーザー名に対応するパスワードを入

力します。

ベンダ構成

ベンダー

キー

ベンダー構成ディクショナリを使用して、カスタムキーを作成します。

キーベンダーから提供された固有のキーを入力します。

付加価値各キーのVPN値を入力します。

Android のVPN の高度な設定を構成する

Android用のVPNの高度な設定には、認証とオンデマンドVPNがあります。AndroidデバイスでVPN接続を確立するに

は、これらの設定を構成する必要があります。

設定説明

認証

ID 証明書証明書を追加するを選択し、接続の認証に使用する証明書の資格情報を入力します。


151



設定説明

資格情報ソース資格情報のソースを選択します。選択項目は、｢アップロード｣、｢定義済み認証局｣、および

｢ユーザー証明書｣です。

資格情報名資格情報ソースで｢アップロード｣を選択した場合にのみ指定できます。アップロードした資格

情報の名前を入力します。

証明書資格情報ソースで｢アップロード｣を選択した場合にのみ指定できます。｢アップロード｣をクリッ

クして、デバイス上の証明書ファイルを選択します。

認証局資格情報ソースで｢定義済み認証局｣を選択した場合にのみ指定できます。ドロップダウン

メニューで認証局を選択します。

証明書テンプレート資格情報ソースで｢定義済み認証局｣を選択した場合にのみ指定できます。この設定は、

認証局の設定での選択内容に応じて自動的に入力されます。

S/MIME 資格情報ソースで｢ユーザー証明書｣を選択した場合にのみ指定できます。ユーザー中心の

S/MIME署名証明書または S/MIME暗号化証明書のいずれかを選択します。

オンデマンドVPN を有効化

オンデマンドVPN を

有効化

オンデマンドVPNを有効にすると、証明書を使用して自動的にVPN接続が確立されます。

VPNを有効化するには、アプリの名前を入力し、虫眼鏡アイコンの左にあるプラス記号を選択

します。アプリケーションは複数入力することができます。

Windows PhoneのVPN の高度な設定を構成する

デバイスVPN設定を構成し、企業インフラに安全にリモートアクセスできるようにします。アプリベースVPN接続を構成

して、VPN経由のトラフィックを限定することもできます。次に、指定したアプリが起動するたびに自動接続するよう、

VPNを設定します。

設定説明

接続情報

高度な接

続設定

デバイスのVPN接続の高度なルーティング規則を構成するには、このオプションを有効にします。

ルーティング

アドレス

追加を選択し、VPN接続の IPアドレスとサブネットプレフィックスサイズを入力します。必要に応じて

ルーティングアドレスを追加します。

高度な接続設定が有効な場合にのみ指定できます。

DNS ルー

ティング規

則

追加を選択し、VPNサーバがホストされているドメイン名を入力します。指定する各ドメインに対する

ドメイン名、DNS サーバ、およびWeb プロキシサーバを入力します。

高度な接続設定が有効な場合にのみ指定できます。

ルーティング

ポリシー

外部リソースにダイレクトアクセスを許可するを選択すると、トラフィックに対してローカルネットワーク接

続を使用できます。これに対して、すべてのトラフィックがVPN を経由することを強制するを選択する

と、すべてのトラフィックがVPN経由で送信されます。高度な接続設定が有効な場合にのみ指定でき

ます。

プロキシ VPNが使用するプロキシサーバを自動検出するには、自動検知を選択します。プロキシサーバを構

成するには、手動を選択します。高度な接続設定が有効な場合にのみ指定できます。


152



設定説明

プロキシ自

動構成

URL

プロキシの自動構成用のURLを入力します。プロキシが｢自動検知｣になっている場合にのみ指定で

きます。

サーバプロキシサーバ構成設定のURLを入力します。

プロキシが｢手動｣に設定されている場合にのみ表示されます。

ポートプロキシサーバへのアクセスに使用するポート番号を入力します。

プロキシが｢手動｣に設定されている場合にのみ表示されます。

ローカルで

はプロキシ

を使用しな

い

プロキシサーバがローカルネットワーク上にあることをデバイスが検出した場合、プロキシサーバをバイパ

スします。

認証

認証タイプ VPNの認証プロトコルを選択します。

l EAP –様々な認証方法を許可します

l コンピュータ証明書 –デバイス証明書ストアのクライアント証明書を検出し、認証に使用します。

プロトコル EAP認証のタイプを選択します。

l EAP-TLS –スマートカードまたはクライアント証明書認証

l EAP-MSCHAPv2 –ユーザー名とパスワード。

資格情報タ

イプ

クライアント証明書を使用するには証明書を使用するを選択します。認証にスマートカードを使用す

るにはスマートカードを使用するを選択します。

プロトコルでEAP-TLSを選択した場合にのみ表示されます。

証明書の

簡易選択

この設定を有効にすると、シンプルな証明書リストをユーザーに表示し、選択するように求めます。最

近発行された証明書が表示され、証明書が発行されたエンティティによって証明書がグループ化され

ます。

プロトコルでEAP-TLSを選択した場合にのみ表示されます。

Windows ログオン資格

情報を使

用する

Windowsデバイスと同じ資格情報を使用します。

プロトコルでEAP-MSCHAPv2を選択した場合にのみ表示されます。

VPN トラフィック規則

アプリ識別

子

アプリケーションのパッケージファミリ名を入力し、トラフィック規則が適用されるアプリを指定します。

l パッケージファミリー名の例 : AirWatchLLC.AirWatchMDMAgent_htcwkw4rx2gx4

VPN オンデ

マンド

アプリケーション起動時にVPNを使用して自動接続します。


153



設定説明

ルーティング

ポリシー

アプリのルーティングポリシーを選択します。

l 外部リソースにダイレクトアクセスを許可する– VPNトラフィックとローカルネットワーク接続経由のト

ラフィックの両方を許可します。

l すべてのトラフィックがVPN を経由することを強制する–すべてのトラフィックにVPNを経由するよう

強制します。

VPN トラ

フィックフィ

ルタ

特定のレガシアプリケーションおよびモダンアプリケーション用のトラフィックフィルタを追加します。

新しいフィルタを追加を選択して、ルーティング規則のフィルタタイプとフィルタ値を追加します。指定

されたアプリの中のこれらの規則に合致するトラフィックのみがVPN経由で送信されます。

l IP プロトコル– IPプロトコルで何を許可するかを表す 0～ 255の数値。例 : TCP = 6、UDP = 17

l IP アドレス–許可するリモートIPアドレスの範囲を指定する、コンマで値を区切ったリスト。

l ポート–許可するリモートポートの範囲を指定する、コンマで値を区切ったリスト。例 : 100-120, 200,300-320。ポートが有効であるためには、プロトコルがTCPまたはUDPに設定されている必要があり

ます。

l ローカルポート–トラフィックを許可するローカルポートの範囲を指定する、コンマで値を区切ったリ

スト。

l ローカルアドレス–トラフィックを許可するローカル IPアドレスを指定する、コンマで値を区切ったリス

ト。

デバイス全

体のVPN規則

追加を選択し、デバイス全体を対象とするトラフィック規則を追加します。

追加をクリックし、ルーティング規則のフィルタタイプとフィルタ値を追加します。これらの規則に合致

するトラフィックのみがVPN経由で送信されます。

ポリシー

資格情報

を記憶する

エンドユーザーのログイン資格情報を記憶します。

常にオン VPN接続を強制的に有効化します。これにより、ネットワーク接続が切断されて再接続されると、VPN接続がアクティブになります。

VPN ロックダ

ウン

VPN接続を強制的に有効化します。VPNが接続されていない場合、ネットワークアクセスを無効化し

ます。また、他のVPNプロファイルへの接続、および、他のVPNプロファイルに対する変更を防止しま

す。

信頼された

ネットワーク

コンマで区切られた、信頼されたネットワークアドレスを入力します。信頼されたネットワーク接続が検

出された場合にはVPN接続を行いません。

Split Tunnel エンドユーザーにSplit Tunnel VPNの使用を許可します。

このテキストボックスの値は、Windows Phone 8.1デバイスのみに適用されます。

ローカル接

続ではバイ

パス

ローカルのイントラネットトラフィックの場合、VPN接続をバイパスします。この設定を有効にすると、たと

えば、ユーザーがオフィス内にいて社内ネットワークに接続している場合はVPN接続を使用しません。



154



設定説明

信頼された

ネットワーク

を検出

VPNへの接続時に、信頼されたネットワークを検出します。


接続タイプ許可する接続タイプを選択します。

｢常にオン｣にすると、VPN接続が常時実行されます。


アイドル切

断時間

接続リクエストの最大待ち時間を設定します。接続リクエストがないままこの時間が経過すると、自動

的にVPN接続が切断されます。


VPN オンデマンド

アプリを許

可

追加を選択し、すべてのトラフィックをVPNでセキュリティ保護するアプリを定義します。

アプリは必要に応じていくつでも追加できます。

許可された

ネットワーク

追加を選択して、ネットワークを定義します。

構成されたネットワーク上のすべてのトラフィックは、VPNでセキュリティ保護されます。

ネットワークは必要に応じていくつでも追加できます。

除外するア

プリ

追加を選択して、除外するアプリを定義します。

これらのアプリへのトラフィックは、VPNでセキュリティ保護されません。

除外するアプリは必要に応じていくつでも追加できます。

除外する

ネットワーク

追加を選択して、除外するネットワークを定義します。

除外されたネットワーク上のトラフィックは、VPNでセキュリティ保護されません。

除外するネットワークは必要に応じていくつでも追加できます。

DNS サフィッ

クス検索一

覧

追加を選択し、DNSサフィックス検索一覧を定義します。

DNS解決および接続で、短い名前のURLにDNSサフィックスが追加されます。

DNSサフィックスは必要に応じていくつでも追加できます。

デバイス割り当て表示

デバイスプロファイルの構成時に保存して公開ボタンを選択すると、デバイス割り当て表示画面が表示されます。こ

の画面で、影響を受ける(または影響のない)デバイスをプレビューできます。

デバイスプロファイルの変更の種類により、割り当て状態カラムは以下の項目を表示します。

l 追加済み –プロファイルは追加されデバイスに公開されます。

l 削除済み –プロファイルはデバイスから削除されます。


155



l 変更なし–プロファイルはデバイスに再公開されない、ということを示します。

l 更新済み –プロファイルは、既にプロファイルが割り当てられているデバイスに再公開される、ということを示します。

公開を選択して変更を完了し、必要であれば必須のプロファイルを再公開します。

順守プロファイルの概要

順守プロファイルについて理解するには、デバイスプロファイルと順守ポリシーについて詳しく理解している必要がありま

す。デバイスプロファイルは基盤としての役割を果たします。一方、順守ポリシーは、社内コンテンツを保護するセキュリ

ティゲートとしての役割を果たします。

デバイスプロファイルを使用すれば、幅広いデバイス設定を制御できます。デバイス設定の例としては、パスコードの複

雑度、ジオフェンス、タイムスケジュール、デバイスハードウェア機能、Wi-Fi、VPN、Eメール、証明書などが挙げられま

す。

順守エンジンは、ルールを監視し、アクションを実行し、エスカレーションを適用します (管理者が定義したものすべて)。一方、順守プロファイルは順守エンジンに対して、デバイスプロファイルに対してのみ使用可能なすべてのオプションと

設定を提供しようとします。詳細は、162ページの順守ポリシーの概要を参照してください。

たとえば、制限が厳しいがそれ以外は通常のデバイスプロファイルと同じである、特別なデバイスプロファイルを作成で

きます。順守ポリシーを定義する際、｢アクション｣タブでこの特別なデバイスプロファイルを適用できます。ユーザーが自

分のデバイスの順守状態を維持できない場合、この特別なデバイスプロファイルを使用して、より制限の厳しい順守

プロファイルを適用することができます。

順守プロファイルを追加する

順守プロファイルは、自動/オプションデバイスプロファイルと同様の手順で作成し保存します。

1. デバイス> プロファイルとリソース> プロファイルと進み、追加を選択し、プロファイルを追加を選択し、プラットフォー

ムを選択します。

2. 後で識別できるようにするため、順守プロファイルの名前を選択します。

3. 全般プロファイルタブの割り当てタイプドロップダウンメニューで｢順守｣を選択します。

4. ｢全般｣タブおよび｢ペイロード｣タブの残りのフィールド値を指定します。

5. 指定が完了したら、保存して公開を選択します。

デバイスプロファイルを指定する具体的な手順は、130ページの全般プロファイル設定を追加するを参照してくださ

い。

次に、順守ポリシーの中でこのプロファイルを選択する必要があります。

6. デバイス> 順守ポリシー > リスト表示と進み、追加を選択し、プラットフォームを選択します。

7. ルールを定義し、次へを選択します。

8. アクションタブで次のとおりに選択します。

l 1番目のドロップダウンメニューで｢プロファイル｣を選択します。

l 2番目のドロップダウンメニューで｢順守プロファイルをインストールする｣を選択します。


156



l 3番目のドロップダウンメニューで、ステップ2で入力したデバイスプロファイル名を選択します。

9. 次へを選択し、｢割り当て｣タブおよび｢概要｣タブのフィールド値を指定します。

10. 完了または完了してアクティブ化を選択し、順守ポリシーを保存します。

順守ポリシーを指定する具体的な手順は、168ページの順守ポリシーを追加するを参照してください。

ジオフェンス

AirWatchでは、ジオフェンスを使用したプロファイルを定義できます。ジオフェンスとは、デバイスの使用可能エリアを制限

するものです (例 :会社のオフィス、学校の構内、デパートの店舗)。ジオフェンスは、実際の地理的領域を囲む、バー

チャルな境界線です。

例えば半径 1マイルのジオフェンスであれば、会社オフィスに適用するのに適しています。より半径の広いジオフェンス

を、1つの行政区域全体をカバーするために使用するといったこともできます。ジオフェンスを定義すると、プロファイル、

SDKアプリケーション、VMware Content Locker等のAirWatchアプリその他に適用することができます。

l ジオフェンスを有効化するには、次の2つのプロセスを実行します。

1. 158ページのジオフェンスエリアを追加する

2. 158ページのジオフェンスをプロファイルに適用する

l ジオフェンスは、iOSおよびAndroidデバイスでご利用できます。

l 位置情報に基づくセキュリティプロファイルを有効にするには、ジオフェンスを他のペイロードと組み合わせて使用し

ますが、その際も、1つのプロファイルでは、1つのペイロードのみを設定するようにしてください。

AirWatchによるGPS位置情報追跡に関する詳細は、以下のVMware AirWatchナレッジベース資料を参照し

てください。https://support.air-watch.com/articles/115001663108

iOSデバイスでのジオフェンスサポート

アプリケーションに使用されるジオフェンスは、位置情報サービスが作動しているiOSデバイスでのみ機能します。位置

情報サービスを作動するには、デバイスがセルラーネットワークまたはWi-Fiホットスポットに接続されている必要がありま

す。それ以外の場合は、デバイスに統合 GPS機能を設定する必要があります。

Wi-Fiのみのデバイスでは、GPSデータはデバイスが電源オンで、ロック解除され、Agentが起動し使用中である場合の

みにレポートされます。セルラーデバイスの場合は、GPSデータはデバイスの基地局が変わった時点でレポートされま

す。エンドユーザーがVMware BrowserまたはContent Lockerを起動して使用を開始すると、GPSデータがレポートされ

ます。

デバイスを｢機内モード｣にすると、位置情報サービス(とそれに伴ってジオフェンス機能)が非アクティブになります。

デバイス Wi-Fi セルラーネットワーク内蔵 GPS

iPhone ✓ ✓ ✓

iPad Wi-Fi + 3G/4G ✓ ✓ ✓

iPad Wi-Fi ✓

iPod Touch ✓


157




GPS位置情報を更新するには、以下の要件のすべてを満たす必要があります。

l デバイス上でAirWatch Agentが起動していること

l プライバシー設定でGPS位置情報データの収集が許可されていること(グループと設定 > すべての設定 > デバイス

とユーザー > 全般 > プライバシー)

l Apple iOS Agent設定で、｢位置情報データの収集｣が有効になっていること(グループと設定 > すべての設定 > デ

バイスとユーザー > Apple > Apple iOS > Agent 設定)

Agent SDK設定を、｢なし｣ではなく、既定または任意のSDK設定にすること

ジオフェンスエリアを追加する

ジオフェンスをデバイスに適用する前に、ジオフェンスエリアを定義する必要があります。

1. デバイス> プロファイルとリソース> プロファイル設定 > エリアと進み、｢エリア｣設定画面を開きます。追加をクリック

し、ジオフェンスエリアを選択します。

2. 住所と、ジオフェンスの半径を、キロ単位またはマイル単位で入力します。または、地図上の任意の地点をダブ

ルクリックして、円の中心地点を設定することもできます。

3. クリックして検索を選択すると、ジオフェンスの大まかなエリアが地図上に示されます。

注 : Bingマップとの統合は、｢安全でないコンテンツ」をこの画面に読み込むことになります。位置検索結果が

正しく読み込まれないときは、ブラウザの｢すべてのコンテンツを表示｣を許可する必要があることがあります。

4. エリアネーム(AirWatchコンソールに表示される名前)を入力して保存をクリックします。

次に、158ページのジオフェンスをプロファイルに適用する必要があります。

ジオフェンスをプロファイルに適用する

ジオフェンスエリアを追加したら、それをプロファイルに適用します。さらに他のペイロードと組み合わせてより強固なプロ

ファイルを作成することもできます。

たとえば、貴社の各オフィスの周囲のジオフェンスエリアを定義できます。次に、Game Center、マルチプレイヤーゲーム、

YouTubeコンテンツなどへのアクセスを禁止する制限事項ペイロードを追加します。プロファイルがアクティブ化された

後、それが適用される該当組織グループのユーザーは、オフィス内ではこれらの機能にアクセスできなくなります。

1. デバイス> プロファイルとリソース> プロファイル > 追加と進み、プラットフォームを選択します。

2. 全般タブで選択したエリア内のデバイスにのみインストールを選択します。割り当てられたジオフェンスエリアボック

スが表示されます。ジオフェンスエリアが定義されていない場合は、ジオフェンスエリア作成メニュー画面に移動しま

す。

3. このプロファイルに適用するジオフェンスエリアを、1つ以上入力します。

4. 選択したジオフェンスエリア内にデバイスが存在する場合のみに適用する、パスコード、制限事項やWi-Fiといった

ペイロードを構成します。



158



ユーザーが iOSデバイスの位置情報サービスを手動で無効にした場合、AirWatchは位置情報の更新データを収集で

きなくなります。この場合 AirWatchは、位置情報サービスが無効化された地点にデバイスが存在している、と見なしま

す。

iBeacon

iBeaconは iOS固有の機能であり、位置の認識管理に使用されます。詳細は、214ページの他の文書を入手するか

ら入手可能なVMware AirWatch iOS プラットフォームガイドを参照してください。

タイムスケジュール

タイムスケジュールを使用して、各デバイスプロファイルをいつアクティブにするかを制御することができます。プロファイル

により、デバイスの使用に関する制限や許可を指定します。タイムスケジュールでは、そのプロファイルをスケジュールに

従ってインストールするだけです。

以下の2段階の手順に従いタイムスケジュールを有効にします。

1. タイムスケジュールを定義する

2. タイムスケジュールをプロファイルに適用する

タイムスケジュールを定義する

はじめにタイムスケジュールを定義し、それからデバイスプロファイルに適用します。

1. デバイス> プロファイルとリソース> プロファイル設定 > タイムスケジュールと進みます。

2. スケジュール名カラムの上にあるスケジュールを追加を選択します。

3. 曜日カラムの下にあるスケジュールを追加を選択し、次の設定を完了します。

設定説明

スケ

ジュール

名

一覧に表示されるタイムスケジュールの名前を入力します。

タイム

ゾーン

デバイスが管理される組織グループのタイムゾーンを選択します。

曜日曜日を選択して、スケジュールされたプロファイルのインストールを適用します。

終日選択した曜日の真夜中にプロファイルがインストールされます。このチェックボックスを選択すると、開

始時間および終了時間カラムが削除されます。

開始時

刻

プロファイルをインストールする時刻を選択します。

終了時

刻

プロファイルをアンインストールする時刻を選択します。

アクション Xをクリックしてその日のスケジュールを削除します。



159



タイムスケジュールを新しいプロファイルに適用する

タイムスケジュールを定義し、新しいプロファイルに適用します。さらに他のペイロードと組み合わせて、より強固なセ

キュリティプロファイルを作成することもできます。例えば、通常の勤務時間のタイムスケジュールを定義し、制限事項

ペイロードを追加することで、YouTubeコンテンツ、マルチプレイヤーゲームおよび他のアプリへのアクセスをブロックできま

す。

スケジュールがアクティブになると、プロファイルの適用対象の組織グループのユーザーは、指定された時間枠にはこれら

の機能にアクセスできなくなります。

1. デバイス> プロファイルとリソース> プロファイル > 追加と進み、プラットフォームを選択します。

2. 全般タブにあるスケジュールを有効にし、選択した時間帯のみインストールを有効にします。

3. 割り当てるスケジュールボックスに、このプロファイルに割り当てるタイムスケジュールを1つ以上入力します。

4. 選択した時間枠内のみにデバイスに適用する、パスコード、制限事項やWi-Fiといったペイロードを構成します。


タイムスケジュールを既存のプロファイルに適用する

定義済みタイムスケジュールを既存のプロファイルに適用できます。

1. デバイス> プロファイルとリソース> プロファイルと進み、一覧から編集するプロファイルを選択します。鉛筆アイコン()を選択するか、または、プロファイル名をクリックします。

2. プロファイル画面の全般タブで、スケジュールを有効にし、選択した時間帯のみインストールの設定を有効にしま

す。

3. 表示される割り当てるスケジュールの設定で、ドロップダウンメニューからすでに保存されているタイムスケジュール

を選択します。


タイムスケジュールを削除する

タイムスケジュールをわかりやすくするため、未使用のタイムスケジュールがある場合は削除してください。ただし、プロ

ファイルに割り当てられているタイムスケジュールを削除することはできません。削除するには、事前にプロファイルへの

割り当てを解除してください。

1. 削除したいタイムスケジュールの横にあるラジオボタンを選択します。

2. 削除ボタンを選択します


160



第 11章:順守ポリシー

順守ポリシーの概要 162

順守ポリシーリスト表示 162

プラットフォーム別の順守ポリシールール 164

順守ポリシーを追加する 168

161



順守ポリシーの概要

順守エンジンはAirWatchによって自動化されたツールであり、すべてのデバイスがポリシーを順守していることを保証し

ます。これらのポリシーには、パスコードを要求する、デバイスロック期間の下限を設定するなど、基本的なセキュリティ

設定を含めることができます。特定のプラットフォームについては、一定の予防措置を設定し、強制することも可能で

す。予防措置には、パスワードの強度を設定すること、特定のアプリをブラックリスト設定すること、デバイスのチェックイ

ン間隔を要求することによって、デバイスが安全に保護され、AirWatchと確実に接続された状態にすることが含まれま

す。

デバイスが非順守状態であると判断されると、順守エンジンは、デバイスに罰則が適用される前に順守違反を正すよ

う、ユーザーに警告を送信します。例えば、デバイスが非順守状態にある場合は順守エンジンからユーザーにメッセー

ジが送信されるように設定することができます。

また、順守状態にないデバイスにはデバイスプロファイルが割り当てられず、そのデバイスにアプリをインストールすること

もできません。指定期間内に是正されなければ、デバイスのコンテンツとアプリへのアクセスをブロックします。利用できる

順守ポリシーと対応措置はプラットフォームにより異なります。

違反が是正されない場合の対応措置を段階的に設定し、自動で実行することもできます。例えば、デバイスをロック

ダウンし、ユーザーに、ロック解除するには管理者に連絡するよう通知するといった対応措置をとることができます。段

階的にさらに強固な対応措置を設定する方法や内容、猶予期間、メッセージ等はすべて、AirWatchコンソールからカ

スタマイズすることができます。

順守状態を判断するには次のような 2つの方法があります。

l リアルタイム順守 (RTC) –スケジュールを設定せずにデバイスサンプルをとり、順守状態を判断します。サンプルは

管理者のリクエストに応じてオンデマンドで集められます。

l エンジン順守 – スケジュールを設定してサンプルをとり、デバイスの順守状態を判断するソフトウェアアルゴリズムの

順守エンジンです。スケジューラを実行する時間間隔は、管理者がコンソール上で決定することができます。

モバイルセキュリティポリシーの適用には次の5つのステップが含まれています。

l プラットフォームを選択する–順守を強制するプラットフォームを指定します。プラットフォームの選択後、そのプラット

フォームに適用されないオプションは表示されなくなります。

l 貴社のポリシーを構築する–アプリケーションリストから侵害状態、暗号化、製造元、モデル、OSバージョン、パス

コード、ローミングにいたるすべてをカバーするように貴社のポリシーをカスタマイズします。

l さらに強い対応措置を定義する–非順守状態が放置されている期間 (分、時間、または日で指定)に応じたアク

ションを構成し、これらのアクションを段階的に実施します。

l アクションを指定 – SMS、Eメール、またはプッシュ通知をユーザーのデバイスに送信する、あるいは管理者だけにEメールを送信するなどのアクションが指定できます。デバイスにチェックインを求めたり、特定のプロファイルを削除/ブロックしたり、順守プロファイルをインストールしたり、アプリを削除/ブロックしたり、企業ワイプで企業データを削除し

たりすることができます。

l 割り当てを構成する–組織グループやスマートグループにより順守ポリシーを割り当て、デバイスごとの割り当てを

確認します。

順守ポリシーリスト表示

順守ポリシーリスト表示を使用して、すべてのアクティブ/非アクティブ順守ポリシーとその構成設定を確認することがで

きます。デバイスの初回加入プロセス中、順守状態は保留中になります。加入済みデバイスに対するポリシーの作成

第 11章 :順守ポリシー

162



/保存/割り当てを行うと、デバイスの順守状態は順守または非順守のいずれかに設定されます。

同様に、デバイスがスマートグループに新しく追加された場合は、スマートグループの割り当てへの変更によって、デバ

イスの順守ポリシーの状態が保留中に変わります。この場合、スマートグループの割り当て範囲が拡大 (あるいは縮

小)するだけなので、スマートグループにすでに割り当てられているデバイスの順守状態は変化しません。

順守ポリシーリストを表示するには、デバイス> 順守ポリシー> リスト表示と進みます。

設定説明

状態リストにフィルタを適用するには、すべて、アクティブ、または非アクティブを選択します。

アクションメニュー個々のポリシーを閲覧/編集したり、ポリシーが割り当てられているデバイスを閲覧したり、不要

なポリシーを削除したりできます。

順守/非順守/保留中/割り当て

このカラムに表示される数値にはハイパーテキストリンクが付いており、これを選択すると選択し

た順守ポリシーの特定の状態を表示するデバイス表示画面が開きます。

割り当て状態は順守、非順守と保留中デバイス数の合計です。

詳細は、163ページのデバイス表示画面を参照してください。

デバイス表示画面

デバイス表示画面では、選択したポリシーに割り当てられている各デバイスの順守状況の詳細を確認できます。この

画面は、順守/非順守/保留中/割り当てというタイトルの列の数値のハイパーリンクをクリックすると表示されます。

状態ドロップダウンメニューから選択して、上記の4つの状態のリストにフィルタを適用します。割り当て状態は、順

守、非順守、保留中状態の合計です。

状態カラムには以下の3つのデバイス状態のいずれかが表示されます。

l 順守状態 –デバイスが、割り当てられた順守ポリシーにより順守状態であると判断された状態

l 非順守状態 –デバイスが、割り当てられた順守ポリシーにより非順守状態であると判断された状態

l 保留中 –新しい加入デバイスへの順守ポリシー割り当てがスケジュールされている状態

また、デバイスのC/E/S (所有形態)、プラットフォーム/OS/モデル、組織グループ、最終順守チェック日、次回順守チェッ

ク日、対応措置を確認できます。「対応措置」カラムには、非順守状態のデバイスに対する対応措置が表示されま

す。

特定デバイスの順守状態を再確認することもできます。順守エンジンを使用し、順守の再評価 ()を選択して順守状

態を再報告します。


163



プラットフォーム別の順守ポリシールール

すべての順守ポリシールールがすべてのプラットフォームで利用できるわけではありません。順守ポリシーの追加画面は

プラットフォームごとに異なるので、貴社のデバイスに適用される順守ポリシールールとアクションだけが表示されます。

以下の表を参考に、貴社デバイスにどのルールが適用できるのかを判断してください。

順守ポリシー Android Apple iOS Apple macOS Chrome OS QNXWindows

耐久性端末

Windows7

Windows電話番号

Windowsデスクトップ

アプリケーションリスト ✓ ✓ ✓

ウィルス対策状態 ✓

セルラーデータ使用量 ✓ ✓

セルラーメッセージ使用量 ✓

セルラー通話使用量 ✓

順守属性 ✓

侵害状態 ✓ ✓ ✓

デバイス最終検出日 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

デバイスのメーカー ✓

暗号化 ✓ ✓ ✓ ✓ ✓ ✓

ファイアウォール状態 ✓ ✓

空きディスク容量 ✓

iBeaconエリア ✓

対話型証明書プロファイルの

有効期限✓ ✓

最後の侵害状況スキャン ✓ ✓

MDM利用規約の承諾 ✓ ✓ ✓ ✓ ✓ ✓ ✓

モデル ✓ ✓ ✓ ✓

OSバージョン ✓ ✓ ✓ ✓ ✓ ✓ ✓

パスコード ✓ ✓ ✓ ✓ ✓

ローミング* ✓ ✓ ✓

ローミングセルラーデータ使用

量 *✓ ✓

セキュリティパッチバージョン ✓

SIMカード変更 * ✓ ✓ ✓

Windows自動更新状態 ✓

Windows正規品の検証 ✓

*注 :利用できるのは、テレコムの高度な設定を有効にしているユーザーのみです。


164



順守ポリシールールの説明

順守ポリシールールは、ポリシーの構成部分として、貴社のポリシーの基盤を構築します。これらのルールの上に、アク

ション、対応措置とそれに続く割り当てを構築します。

設定説明

アプリ

ケーショ

ンリスト

ブラックリスト設定された特定のアプリがデバイスにインストールされた場合を検知します。または、ホワイト

リストに設定されていないすべてのアプリを検知します。ソーシャルメディアアプリ、ベンダーによってブラック

リスト設定されたアプリ等、アプリを特定して禁止することができます。あるいは、指定したアプリだけを許

可することもできます。さらに、アプリの最低バージョン番号を指定することもできます。

ウィルス

対策状

態

ウィルス対策アプリが作動しているか検知します。順守ポリシーエンジンは、デバイスのアクションセンターを

チェックし、ウィルス対策が実行されていることを確認します。貴社で使用しているサードパーティソリュー

ションがアクションセンターに表示されない場合は、｢モニターされていません｣とレポートされます。

セルデー

タ/メッセージ/通話使

用

エンドユーザーのデバイスに割り当てられたテレコムプランに基づき、データ使用量が指定されたしきい値

を超えたときにそれを検知します。このポリシーを有効にするには、テレコムが構成されている必要がありま

す。

コンプライ

アンス属

性***

デバイス内の属性キーをサードパーティ製のエンドポイントセキュリティと比較します。デバイスの順守状態

を示すブール値が表示されます。

侵害状

態

デバイスが侵害状態にあるかを検知します。AirWatchに加入済みのデバイスのうち、ジェイルブレイク状

態またはルート化されたデバイスの使用をブロックします。

ジェイルブレイク状態またはルート化されたデバイスは、主要なセキュリティのレイヤーを剥ぎ取り、貴社の

ネットワーク、ひいては貴社の企業リソースへマルウェアの侵入をもたらす可能性があります。デバイスが侵

害されていないかモニタリングすることは、従業員が様々なOSバージョンの多様なデバイスを使用する

BYOD環境で特に重要です。

VMware AirWatchによる侵害状態デバイス検出の詳細は、以下のナレッジベース資料を参照し

てください。https://support.air-watch.com/articles/115001662748およびhttps://support.air-watch.com/articles/115001662508

デバイス

最終検

出日

決められた時間内にチェックインを行っていないデバイスを検出します。

デバイス

のメー

カー

デバイス製造元を検知し、特定のAndroidデバイスを識別できるようにします。特定の製造元だけをブ

ロックしたり、特定の製造元だけを許可したりすることもできます。

暗号化暗号化が有効に設定されていないデバイスを検出します。

ファイア

ウォール

状態

ファイアウォールアプリが作動しているか検知します。順守ポリシーエンジンは、デバイスのアクションセン

ターをチェックし、ファイアウォールが機能しているか確認します。貴社で使用しているサードパーティソ

リューションがアクションセンターに表示されない場合は、｢モニターされていません｣とレポートされます。


165






設定説明

空きディ

スク容量

デバイスの空きディスク容量を検出します。

iBeaconエリア

貴社の iOSデバイスが iBeaconグループエリア内にあるか検出します。詳細は、214ページの他の文書を

入手するから利用可能な、VMware AirWatch Apple iOS プラットフォームガイドの｢iBeaconを構成す

る｣を参照してください。

対話型

証明書

プロファイ

ルの有効

期限

デバイスにインストールされたプロファイルの有効期限が一定期間内に切れる場合を検出します。

最後の

侵害状

況スキャ

ン

決められたスケジュールに基づいて侵害状態をレポートしないデバイスを検出します。

MDM 利

用規約

の承諾

エンドユーザーが最新のMDM利用規約を決められた時間内に承諾していない場合を検出します。

モデルデバイスモデルを検知します。特定の製造元だけをブロックしたり、特定の製造元だけを許可したりする

こともできます。

OS バー

ジョン

デバイスOSバージョンを検知します。特定のOSバージョンだけをブロックしたり、特定のOSバージョンだけ

を許可したりすることができます。

パスコー

ド

デバイスにパスコードが存在するかを検知します。

ローミン

グ*デバイスがローミング状態かどうかを検知します。

ローミン

グ時セル

ラーデー

タ使用

量*

静的なデータ量と対照させて、ローミングセルラーデータの使用量を検出します (MBまたはGBで測定)。

セキュリ

ティパッ

チバー

ジョン**

Androidデバイス上の最新のGoogleセキュリティパッチの日付を検知します。

SIM カー

ド変更*SIMカードが交換されたデバイスを検出します。

Windows自動更

新状態

Windows自動更新がアクティブであるか検知します。順守ポリシーエンジンは、デバイスのアクションセン

ターをチェックし、更新プログラムが実行されているか確認します。貴社で使用しているサードパーティソ

リューションがアクションセンターに表示されない場合は、｢モニターされていません｣とレポートされます。


166



設定説明

Windows正規品

の検証

デバイスに搭載されているWindowsが正規版か検知します。

*利用できるのはテレコムの高度な設定を有効にしているユーザーのみです。

**利用できるのはAndroidバージョン6.0以降のみです。

***利用できるのはWindowsデスクトップデバイスのみです。

プラットフォーム別順守ポリシーアクション

以下は、各プラットフォームがサポートする、順守ポリシーが適用できるアクションの一覧です。

順守ポリシーアクション Android Apple iOS Apple macOS Chrome OS QNXWindows

耐久性端末

Windows7

Windows電話番号


アプリケーション

管理アプリをブロック/削除

✓ ✓ ✓

すべてのアプリをブロック/削除

✓ ✓ ✓

コマンド

ローミング設定を変更す

る✓

(iOS 5以降)

企業情報ワイプ ✓ ✓ ✓ ✓ ✓ ✓ ✓

企業情報リセット ✓ ✓

OS更新 ✓

(DEPのみ)

デバイスチェックインを要

求✓ ✓ ✓

Azureトークンを失効* ✓ ✓

Eメール

Eメールをブロック ✓ ✓

通知

Eメールをユーザーに送

信**✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

SMSをデバイスに送信 ✓ ✓ ✓ ✓

プッシュ通知をデバイスに

送信✓ ✓ ✓ ✓ ✓ ✓ ✓

Eメールを管理者に送信 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

プロファイル

順守プロファイルをインス

トール✓ ✓ ✓ ✓


167



順守ポリシーアクション Android Apple iOS Apple macOS Chrome OS QNXWindows

耐久性端末

Windows7

Windows電話番号


プロファイルをブロック/削除

✓ ✓ ✓ ✓ ✓

プロファイルタイプをブロッ

ク/削除✓ ✓ ✓

すべてのプロファイルをブ

ロック/削除✓ ✓ ✓ ✓ ✓

*指定したユーザーのすべてのデバイスに影響します。設定 > システム > エンタープライズ統合 > ディレクトリサービス> 高度な設定の順に選択し、｢IDサービス

にAzure ADを使用｣を有効にする必要があります。

**オプションでユーザーの上司をCCに含めることができます。

順守ポリシーを追加する

順守ポリシーの追加プロセスは、4つのセグメント(ルール、アクション、割り当て、概要)で構成されています。ただし、こ

のガイドで説明されるすべての機能やオプションが、すべてのプラットフォームで利用できるわけではありませんのでご注

意ください。AirWatchコンソールでは、最初のプラットフォーム選択に基づいて利用可能なオプションがすべて表示され

るため、対象デバイスで使用できないオプションは、コンソールに表示されません。

注 :Windows耐久性端末の順守機能はMotorolaデバイスでのみサポートされます (順守機能を適用するには企

業情報リセットを行う必要があります)。

プロファイルおよびさらに強い対応措置の自動適用を使用して順守エンジンを構成するため、順守ポリシーに関するタ

ブのフィールド値を指定します。

1. デバイス> 順守ポリシー > リスト表示と進み、追加を選択します。

2. 順守ポリシーを追加画面から、順守ポリシーの対象となるプラットフォームを選択します。

3. ルールのいずれかまたはすべてを合致させ、ルールタブを構成して状態を検出します。

l ルールを追加 –ルールとパラメータを追加する場合に選択します。詳細は、「164ページのプラットフォーム別の

順守ポリシールール」または「165ページの順守ポリシールールの説明」を参照してください。

l 前へと次へ– 1つ前のステップに戻る際と次のステップに進む際に選択します。

4. 貴社のポリシーを順守しない場合の対応措置を定義するため、アクションタブのフィールド値を指定します。利用

できるアクションはプラットフォームにより異なります。詳細は、167ページのプラットフォーム別順守ポリシーアクション


5. アクションタブでさらに強い対応措置を定義/追加します。さらに強い対応措置とは、ユーザーにデバイスを順守

状態にさせるために実行する是正アクションによって、必要な効果が得られなかった場合に実行される自動的な

操作です。

実行するアクションのオプションとタイプを選択します。


168



設定説明

アクションとさらに強い対応措置

非順

守状

態と

して

マーク

チェッ

クボッ

クス

このボックスを使用して、デバイスを非順守状態とマークせずにアクションを実行することができます。順守

エンジンは以下のようなルールに従ってこの処理を行います。

l 新しくアクションを追加すると、｢非順守状態としてマーク｣チェックボックスには既定でチェックが入っています。

l あるアクションの｢非順守状態としてマーク｣オプションが有効な (チェックが入っている)場合、次のアクションや

さらに強い対応措置にも｢非順守状態としてマーク｣設定が適用されます。これらのチェックボックスの値は変

更できません。

l あるアクションの｢非順守状態としてマーク｣オプションが無効な (チェックがない)場合、次のアクションやさらに

強い対応措置には既定設定で｢非順守としてマーク｣オプションが有効になって (チェックが入って)います。こ

のチェックボックスの値は変更できません。

l アクションとさらに強い対応措置の｢非順守状態としてマーク｣オプションが無効で、デバイスが順守ルールに

従っていない場合、デバイスは正式に「順守」となります。次に、上記のアクションを実行します。

l アクションとさらに強い対応装置の｢非順守状態としてマーク｣オプションが有効にならない限り、デバイスの状

態は「順守」のままです。そのアクションまたは対応措置が実行されたときにのみ、デバイスは非順守状態であ

ると見なされます。

アプリ

ケー

ション

管理アプリケーションをブロック/削除します。

ホワイトリスト、ブラックリストあるいは必須アプリケーションリストを作成し、アプリケーション順守を強制す

ることもできます。強固なモバイルアプリケーション管理 (MAM)プランを作成する方法の詳細は、214ペー

ジの他の文書を入手するで入手可能なVMware AirWatch MAM ガイドを参照してください。

コマン

ド

デバイスのチェックインの要求や、企業情報ワイプを行います。

Eメール

ユーザーのEメールアクセスをブロックします。

モバイルEメール管理をEメール順守エンジンと一緒に使用している場合は、「Eメールをブロック」アクション

が適用されます。このオプションを表示するには、Eメール > 順守ポリシー > Eメールポリシーと進みます。こ

のアクションにより、アプリのブラックリスト設定のような｢デバイス順守｣ポリシーを、構成した任意の｢Eメー

ル順守エンジン｣ポリシーと併用できます。このアクションを選択すると、デバイスポリシー違反が1つでも

発生し、デバイスが非順守になると、Eメール順守がトリガされます。


169



設定説明

通知通知順守違反をしようとしているユーザーがいます。

次のオプションから選択して通知を送信します。

l Eメールをユーザーに送信

l SMSをデバイスに送信

l プッシュ通知をデバイスに送信

l Eメールを管理者に送信

CC欄には複数のEメールを入力することができます。その際はコンマで区切ってください。また、参照値を

挿入してユーザーの上司をCCに加えることができます。次に、CC欄の横にある+マークをクリックして、ド

ロップダウンリストから{UsersManager}を選択します。

すべての「通知」アクションに、メッセージテンプレートを使用するオプションが含まれています。既定のテン

プレートチェックボックスをオフにしてこのオプションを使用すると、ドロップダウンメニューが表示されてメッ

セージテンプレートが選択できるようになります。

また、リンクを選択するとメッセージテンプレート画面が新しいウィンドウで表示されます。この画面で、貴

社独自のメッセージテンプレートを作成できます。

プロ

ファイ

ル

デバイスプロファイル、デバイスプロファイルタイプ、または順守プロファイルを指定し、インストール/削除/ブロックします。

順守プロファイルは、自動/オプションデバイスプロファイルと同様の手順で作成し保存します。デバイス>プロファイルとリソース> プロファイルと進み、追加を選択し、プロファイルを追加を選択します。プラット

フォームを選択し、全般プロファイルタブの割り当てタイプドロップダウンメニューで｢順守｣を選択しま

す。順守プロファイルが適用されるのは、順守ポリシーを追加画面で、エンドユーザーが順守ポリシーに

違反した際に適用するようアクションタブで設定した場合です。ドロップダウンメニューで順守プロファイ

ルをインストールを選択し、保存した順守プロファイルを選択します。

さらに強い対応措置

さらに

強い

対応

措置

を追

加ボ

タン

さらに強い対応措置を追加します。対応措置を追加する場合は、それぞれの措置に応じてセキュリティ

も段階的に強化することをベストプラクティスとして推奨します。

指定

した

期間

後に

操作

を実

行

いつ｢さらに強い対応措置｣を実行するのか、分、時間、または日単位で指定します。


170



設定説明

...次に定

義す

る処

理を

行う

繰り返し–このボックスにチェックを入れると、次にスケジュールされたアクションを実行する前に、該当の対

応措置を指定された回数繰り返します。

macOSでは、以下のアクションのみを実行することができます。

ヒント:非順守状態の iOS 7以降のデバイスをクエリすることで、ユーザーがデバイスを順守状態にした時刻と

AirWatchがそのことを検知した時刻の差を短縮できます。グループと設定 > すべての設定 > デバイスとユーザー

> Apple > MDM サンプルスケジュールと進み、非順守状態デバイスサンプルを設定してこのサンプルを設定し

ます。

6. 順守ポリシーの適用対象デバイスと除外対象デバイスを決めるため、｢順守ポリシーを追加｣画面の割り当てタブ

と概要タブのフィールド値を指定します。

概要タブでポリシーに名前を付け、最終確認し、アクティブ化します。

設定説明

管理元この順守ポリシーを管理する組織グループを選択します。

割り当てるグ

ループ

このポリシーを1つ以上のグループに割り当てます。詳細は、66ページの割り当てグループ概要


除外グループを除外したい場合、はいを選択します。次に、除外するグループでグループを選択しま

す。詳細は、73ページのプロファイルやポリシーからスマートグループを除外するを参照してくださ

い。

デバイス割り

当て表示ボ

タン

この順守ポリシー割り当てによって影響を受けるデバイス一覧が表示されます。

プラットフォームはスマートグループの抽出条件の1つですが、デバイスプロファイルや順守ポリシーにおいて構成さ

れるプラットフォーム条件が、スマートグループのプラットフォーム条件より常に優先されます。例えば、あるデバイス

プロファイルが iOSプラットフォームに対して作成されている場合、スマートグループにAndroidデバイスが含まれてい

ても、そのプロファイルは iOSデバイスのみに割り当てられます。

7. ポリシーの割り当て設定完了後、次へを選択します。概要タブが表示されます。


171



l 順守ポリシーの名前とわかりやすい説明を入力します。

l 以下のいずれかを行います。

o 完了 –順守ポリシーを保存します。割り当てられたデバイスへのアクティブ化は行いません。

o 完了してアクティブ化 –順守ポリシーを保存し、割り当て対象デバイスすべてにポリシーを適用します。

デバイス割り当て表示

順守ポリシー構成中に、割り当てタブにあるデバイス割り当て表示ボタンを選択すると、デバイス割り当て表示画面

が表示されます。この画面で、影響を受けるデバイスと影響を受けないデバイスを確認できます。

割り当て状態カラムには、リスト上のデバイスの割り当て状態が以下のように表示されます。

l 追加済み –順守ポリシーがリスト上のデバイスに追加されていることを表します。

l 削除済み –順守ポリシーがデバイスから削除されていることを表します。

l 変更なし–デバイスが順守ポリシーの変更の影響を受けていないことを表します。

変更を完了するには、必要に応じて順守ポリシーを再公開するために公開をクリックします。


172



第 12章:デバイスタグ

デバイスタグの概要 174

タグでデバイスを抽出する 174

新しいタグを作成する 174

タグを追加する 175

タグの管理 176

173



デバイスタグの概要

デバイスタグを使用すると、デバイスプロファイル、スマートグループ、順守ポリシーおよびメモの作成を必要とすることな

く、特定のデバイスを識別できます。

例えば、バッテリに欠陥があったり、スクリーンが破損したりしているデバイスをAirWatchコンソールから特定したい場合

にタグを使用することができます。別の使い方としては、モデル番号や説明に基づいてデバイスを識別する代わりに、

ハードウェアの違いをより区別しやすくしたい場合などが挙げられます。

例えば、同一モデル番号の2台のラップトップでも、CPUが若干異なったり、メモリの量がカスタマイズされていたりするこ

とがあります。拡張されたハードウェアをタグ付けすることで、デバイスを簡単に区別することができます。

タグとスマートグループ

タグの機能とスマートグループを統合することができます。つまり、タグでスマートグループを定義することができます。

例えば、外観上傷のあるすべてのデバイスにタグ付けし、これらのデバイスから成るスマートグループを作成できます。そ

して、貴社の訪問客が一時的に使用するデバイスからこのスマートグループを除外することができます。

あるいは、性能の悪いデバイスにタグを付けることもできます。そのようなタグの付けられたデバイスから成るスマートグ

ループを作成し、重要なプロジェクトにはそれらのデバイスを使わないようにする、といった使用例が考えられます。

タグでデバイスを抽出する

｢デバイスリスト表示｣のフィルタ機能を使用して、特定のタグが付けられたデバイスのみを表示します。

1. デバイス> リスト表示と進み、フィルタをクリックするとデバイスリストの左側にフィルタカラムが表示されます。

2. フィルタカテゴリのリストから高度な設定を選択し、タグを選択します。

3. 「検索」テキストボックスの任意の場所をクリックし、表示されるデバイスタグのリストから選択します。チェックのない

タグの付いたデバイスは、リストからフィルタで除外されます。デバイスリスト表示は、最初のタグが選択されるとすぐ

に自動的に更新されます。

新しいタグを作成する

フレンドリ名、デバイスプロファイル、スマートグループや順守ポリシーよりもわかりやすくデバイスを区別するために、タグ

を作成することができます。タグは｢デバイスリスト表示｣画面で作成します。

1. デバイス> リスト表示と進みます。

2. リスト上のデバイスの左にあるボックスにチェックを入れて選択します。

3. さらにボタンをクリックし、ドロップダウンメニューからタグを追加を選択します。タグ割り当て画面が表示されます。

4. 新しいタグを選択します。

5. 新しいタグの名前を入力しカラーを選択します。

6. 追加を選択してタグを保存します。

第 12章 :デバイスタグ

174



あるいは、グループと設定に進んでタグを作成することもできます。

1. グループと設定 > すべての設定 > デバイスとユーザー > 高度な設定 > タグと進みます。

2. タグを適用したい組織グループを選択し、追加をクリックします。

3. ｢タグを追加｣画面でタグの名前を入力します。

4. 追加したいタグのタイプを全般またはデバイスから選択します。


タグを追加する

タグを追加することで、メモ、プロファイル、ポリシーを使わずに、あるいは特別なフレンドリ名をつけずにデバイスを特定

することができます。

1台のデバイスにタグを追加する

1台のデバイスのタグを簡単に調整したいときは、以下の手順に従い、1つ以上のタグを追加します。

1. デバイス> リスト表示と進み、タグ付けしたいデバイスを選択します。以下の2つの方法のいずれかでデバイスを選

択すると、送信またはその他のアクションボタンが表示されます。

l リストでデバイスを選択し、詳細表示を表示する

l デバイスの横のボックスにチェックを入れる

2. その他のアクションボタンをクリックし、タグを追加を選択します。タグ割り当て画面に、選択したデバイスに適用で

きるタグの一覧が表示されます。

3. デバイスに割り当てたいタグをそれぞれ選択します。複数のタグを選択することができます。

4. 保存を選択し、1つ以上のタグをデバイスに適用します。

複数のデバイスにタグを追加する

1つまたは複数のタグを1つ以上のデバイスに追加できます。複数のタグを複数のデバイスに追加することで、時間を

節約できます。

1. デバイス> リスト表示と進みます。

2. タグを付けたいデバイスのボックスにチェックを入れます。

3. その他のアクションをクリックし、タグを追加を選択します。タグ割り当て画面が、選択したデバイスに適用できるタ

グの一覧を表示します。

4. 選択したデバイスのすべてに割り当てたいタグを選択します。複数のタグを選択することができます。

5. 保存を選択し、1つ以上のタグをデバイスに適用します。


175



タグの管理

デバイスタグが複数ある場合、既存のタグを編集し、デバイスからタグを削除したり、使用されていないタグを削除した

りすることができます。

タグを編集する

既存のタグを編集し、別名で保存したり、タイプやマーカーカラーを変更したりすることができます。

1. グループと設定 > すべての設定 > デバイスとユーザー > 高度な設定 > タグと進み、編集ボタン( )を選択するか、

編集したいタグの名前をクリックします。編集が可能なのは、サブ組織グループに含まれるタグと、現在選択してい

る組織グループのタグのみです。

2. 必要に応じて名前とタイプを変更します。


タグを外す

割り当てられたタグをデバイスに適用する必要がなくなった場合は、デバイスからタグを外す (タグ付けを解除する)ことができます。

1. 該当するデバイスの詳細表示へ進みます。

2. 概要タブを選択してデバイス情報画面の下までスクロールすると、デバイスに現在割り当てられているすべてのタ

グが表示されます。

3. 解除したい各タグの隣の削除マーク(X)を選択します。

重要 :デバイスからタグを外すこと(デバイスのタグ付けを解除すること)はタグを削除することとは異なります。

タグを削除する

どのデバイスにも適用されていないタグがあり、今後も使用する予定がない場合は削除します。

1. グループと設定 > すべての設定 > デバイスとユーザー > 高度な設定 > タグと進みます。

2. 削除したい各タグの隣の削除マーク(X)を選択します。


176



第 13章:デバイスを管理する

デバイスを管理する 178

デバイスダッシュボード 178

デバイスリスト表示 179

デバイス詳細 184

プラットフォーム別デバイスアクション 187

加入状態 193

ワイプ保護 195

AirWatchハブ 197

レポートと分析機能 199

177



デバイスを管理する

AirWatch管理者コンソールのさまざまな画面で、社内のデバイスフリートを管理すること、および、特定のデバイスセッ

トに対して機能を実行することができます。

ハブを使用してデータフローを調査できます。また、デバイスダッシュボードで貴社の展開の詳細を確認できます。デ

バイスをグループ化し、デバイスリスト表示を使用してカスタマイズされたリストを作成することも可能です。

また、レポートを生成し、タグが適用されているデバイスを簡単に識別することができます。さらに、セルフサービスポー

タル (SSP)をセットアップして、エンドユーザーが自分自身でデバイスを管理できるようにすることで、ヘルプデスク担当

者の負担を軽減できます。

デバイスダッシュボード

デバイスを加入させている場合、AirWatchデバイスダッシュボードでそれらのデバイスを管理できます。デバイスダッシュ

ボードでは、デバイスフリート全体の概要情報を確認できます。また、個別のデバイスにすばやく処理を実行すること

ができます。

所有形態タイプや順守状況、プラットフォーム、OSの内訳といった、貴社デバイスに関連する統計情報をグラフで表

示します。デバイスダッシュボードから使用可能なデータビューを選択すると、示されているカテゴリに属する各デバイス

セットにアクセスできます。

このリスト表示から、メッセージ送信、デバイスロック、デバイス削除や、デバイスに関連付けられているグループの変更

といった様々な管理操作を行います。

l セキュリティ–主要なセキュリティ上の問題に関して、貴社デバイスの状況を表示します。ドーナツグラフを選択す

ると、そのセキュリティ上の問題に基づいたフィルタを適用したデバイスリストが表示されます。セキュリティ上の問題

があるデバイスに対し対応措置を取るような順守ポリシーを構成することができます (プラットフォームがサポート対

象に含まれる場合)。

o 侵害状態 –貴社展開における侵害状態 (ジェイルブレイク状態またはルート化)デバイスの数と割合を表示し

ます。

o パスコードなし–セキュリティのためのパスコードが構成されていないデバイスの数と割合を表示します。

o 暗号化なし–セキュリティのための暗号化が行われていないデバイスの数と割合を表示します。レポートされて

いる数には、Android SDカードの暗号化は含まれていません。このドーナツグラフに含まれるのはディスク暗号

化されていないAndroidのみです。

l 所有形態 –デバイス数を所有形態カテゴリ別に表示します。棒グラフの一部を選択すると、所有形態に基づいた

フィルタを適用したデバイスリストを表示します。

l 最後に確認された概要/最後に確認された内訳 – AirWatch MDMサーバと最近通信を行ったデバイス数と割合を

表示します。たとえば、いくつかのデバイスを30日間以上確認できない場合、対応する棒グラフを選択してそれら

のデバイスだけを表示します。次に、それらのデバイスをすべて選択し、チェックインを求めるメッセージをそれらのデ

バイスに送信することがします。

l プラットフォーム–デバイスプラットフォームカテゴリごとにデバイス数の合計を表示します。いずれかのグラフを選択

すると、選択したプラットフォームに基づいたフィルタを適用したデバイスリストが表示されます。

第 13章 :デバイスを管理する

178



l 加入 –加入カテゴリごとにデバイス数の合計を表示します。いずれかのグラフを選択すると、選択した加入状態に

基づいたフィルタを適用したデバイスリストが表示されます。

l OS 詳細 –貴社の全デバイスのOSによる内訳を表示します。Apple iOS、Android、Windows PhoneとWindows耐久性端末が別のグラフで表示されています。いずれかのグラフを選択すると、選択したバージョンのOSに基づいた

フィルタを適用したデバイスリストが表示されます。

デバイスリスト表示

デバイス> リスト表示を選択すると、現在選択中の組織グループに属する全デバイスが一覧表示されます。

最終検出カラムには、デバイスがチェックインしてからの経過時間 (単位：分)を示すインジケータが表示されます。この

インジケータは、デバイス非アクティブタイムアウト(分)で指定された分数に応じて、赤または緑で表示されます。この

インジケータを選択するには、グループと設定 > すべての設定 > デバイスとユーザー > 全般 > 高度な設定と進みま

す。

一般情報カラムでデバイスを選択すると、該当するデバイスの詳細画面をいつでも開くことができます。

カラムを並べかえて情報フィルタを構成し、特定の情報を基にデバイスアクティビティを確認します。たとえば、順守状

態カラムにフィルタをかけ、現在順守違反状態であるデバイスのみを抽出し、それらのデバイスだけを対象にすることが

できます。フレンドリ名あるいはユーザー名を使用して全デバイスを検索し、1つのデバイスまたは 1人のユーザーを特

定することもできます。

デバイスリスト表示レイアウトをカスタマイズする

レイアウトボタンを選択して、デバイスリスト表示に配置できるすべてのカラムを一覧表示し、カスタムオプションを選

択します。このビューで、｢デバイスリスト｣のカラムを表示するか非表示にするかを自由に設定できます。

カスタマイズしたカラム配置を、現在の組織グループ、またはそのサブ組織グループのすべての管理者に適用するオプ

ションもあります。例えば、デバイスリスト表示の現在の組織グループとそのサブ組織グループすべてから｢アセット番

号｣を非表示にできます。

カスタマイズ完了後、承諾ボタンを選択して現在の設定を保存すると、新しいカラム表示が適用されます。いつでも

レイアウトボタンをクリックし、カラムの表示形式を変えることができます。

デバイスリスト表示を検索する

ある特定のデバイスを検索して情報に素早くアクセスし、そのデバイスにリモート操作を実行しなければならないような

場合があるかもしれません。

検索を行うには、デバイス> リスト表示と進み、リストを検索バーを選択し、ユーザー名、デバイスフレンドリ名または

他の識別要素を入力します。このアクションにより、現在の組織グループとすべてのサブグループのすべてのデバイスに

検索パラメータを適用して必要なデバイスを検索することができます。

デバイスリスト表示のホバーオーバーポップアップ

一般情報カラムの各デバイスには、デバイスフレンドリ名の横の右上隅にフォルダの形をしたツールチップアイコンが表

示されています。このアイコンをタップするか(モバイルタッチデバイス)、マウスカーソルでホバーオーバー(PCまたはMac)すると、ホバーオーバーポップアップが表示されます。このポップアップ画面には、フレンドリ名、組織グループ、グループ

ID、管理、所有形態などの情報が表示されます。

デバイスリスト表示の加入カラムと順守状態カラムにも同様のツールチップアイコンがあります。これらのツールチップ

アイコンを選択するとホバーオーバーポップアップが開き、それぞれ加入日と順守違反が表示されます。


179



リスト表示のデバイスにフィルタを適用する

デバイスの全カテゴリを対象に、さまざまなフィルタを適用することができます。フィルタを適用することで、必要なデバイス

だけを表示することができます。

l マネジメント

l 所有形態

l スマートグループ

l ユーザーグループ

l デバイスタイプ(プラットフォームと、選択したプラッ

トフォームに応じたOS バージョン)

l セキュリティ(侵害状態、暗号化、パスコード)

l 状態 (加入状態、最終検出日、順守、加入履

歴)

高度な設定

l MACアドレス– デバイスのメディアアクセス制御アドレスでフィルタをかけま

す。

l IP範囲 – デバイスに現在割り当てられている IPアドレスでフィルタをかけま

す。

l タグ– デバイスを、割り当てられているタグ別に表示します。タグは、検索す

ることも、ドロップダウンメニューから選択することもできます。

l トンネル – トンネルに接続しているすべてのデバイスまたは接続していないす

べてのデバイスを表示します。

l コンテンツ順守 – すべてのデバイスを表示、必須ファイルが存在しないデバ

イスのみを表示、必須コンテンツの最新バージョンがないデバイスのみを表

示のいずれかを選択します。

l 紛失モード– すべてのデバイスを表示するか、紛失モードが有効になってい

るデバイスのみを表示します。iOS デバイスのみに適用されます。

すべてのデバイスとユーザーに関連する情報を検索したり、特定のユーザー("山田太郎")やデバイスタイプを検索し

たりすることもできます。

リスト表示からデバイスを追加する

ユーザー割り当て、カスタム属性、タグを含むデバイス情報を追加または登録することができます。デバイスを追加する

には、デバイス> リスト表示またはデバイス> ライフサイクル > 加入状態と進み、以下の手順を実行します。


180



1. デバイスを追加ボタンを選択します。デバイスを追加画面が表示されます。ユーザータブに設定を入力します。

設定説明

ユーザー

テキスト

検索

それぞれのデバイスがユーザーに割り当てられている必要があります。入力欄に検索パラメータを入力

し、ユーザーを検索ボタンをクリックして特定ユーザーを見つけます。検索結果からユーザーを選択す

るか、あるいは新しいユーザーを作成リンクを選択します。

新しいユーザーを作成

セキュリ

ティタイ

プ

ベーシックとディレクトリユーザーのいずれかを選択します。詳細は、36ページのベーシックユーザー認

証および36ページのActive Directory/LDAP認証を参照してください。

ユーザー

名

貴社のAirWatch環境でユーザーを特定するために使用するユーザー名を入力します。

パスワー

ド、パス

ワード再

入力

ユーザー名に対応するパスワードを入力し、確認のために再入力します。

Eメール

アドレス

ユーザーアカウントのEメールアドレスを入力します。

加入組

織グルー

プ

組織グループ(OG)を選択します。デバイスが加入すると、ここで選択された組織グループに加入する

ことになります。

高度な

ユーザー

詳細を

表示

ユーザーの名前、電話番号、上司の名前など、総合的な情報が含まれた高度なユーザー詳細をす

べて表示します。また、オプションで部門、従業員 ID、コストセンターなどの ID設定を含めることもで

きます。

ユーザーを追加する際には既定のユーザー役割を選択します。これはユーザーが接続デバイスを使

用する際にそのユーザーに与えられる権限を決定します。詳細は、58ページのユーザー役割を参照


デバイス

予想さ

れるフレ

ンドリ名

デバイスリスト表示に表示されるデバイスの名前を入力します。参照値を含めることもできます。その

場合、ユーザー、デバイスと展開に特有の変数をフレンドリ名に含めることができます。これらの変数

には、Eメールアドレス、携帯電話番号、デバイスシリアル番号、組織グループなどが含まれます。

組織グ

ループ

デバイスに関連付けたい組織グループをドロップダウンメニューから選択します。

所有形

態

ドロップダウンメニューからデバイスの所有形態を選択します。なし、企業 – 専用、企業 – 共有、従

業員所有のいずれかを選択します。

プラット

フォーム

ドロップダウンメニューからデバイスのプラットフォームを選択します。


181



設定説明

デバイス

情報の

高度な

オプショ

ンを表示

デバイスの高度な情報がすべて表示されます。

デバイス情報の高度な設定

モデルドロップダウンメニューからデバイスのモデルを選択します。このドロップダウンメニューの内容はプラット

フォームドロップダウンメニューの選択により異なります。

OS ドロップダウンメニューからデバイスのOSを選択します。このドロップダウンメニューの内容はプラット

フォームドロップダウンメニューの選択により異なります。

UDID デバイスのUDIDを入力します。

シリアル

番号

デバイスのシリアル番号を入力します。

IMEI デバイスの15桁の IMEI番号を入力します。

SIM デバイスのSIMカード番号を入力します。

アセット

番号

デバイスのアセット番号を入力します。これは貴社内で作成される番号です。この設定はこのデータ

ポイントを入力するためのものです。

メッセージ

メッセー

ジタイプ

AirWatch環境への加入が正常に完了したことを連絡するために送信するメッセージのタイプを選択し

ます (なし、SMS、または Eメール)。

Eメール

アドレス

加入メッセージを送信するEメールアドレスを入力します。

この欄は、メッセージタイプでEメールを選択した場合に表示されます。

Eメール

メッセー

ジテンプ

レート

ドロップダウンメニューからEメールテンプレートを選択します。リンクをクリックするとメッセージテンプレー

ト画面が開きます。ここからEメールメッセージテンプレートを作成することができます。

電話番

号

SMSテキストメッセージを送信する電話番号を入力します。

この欄は、メッセージタイプでSMSを選択した場合に表示されます。

SMS メッ

セージテ

ンプレー

ト

ドロップダウンメニューからSMSテンプレートを選択します。リンクをクリックするとメッセージテンプレート

画面が開きます。ここからSMSメッセージテンプレートを作成することができます。

2. オプションでデバイスにカスタム属性を割り当てることができます。追加ボタンをクリックし、属性とその値を入力し

ます。

3. オプションでデバイスにタグを割り当てることができます。追加ボタンをクリックし、ドロップダウンメニューからタグを選

択します。割り当てたいタグのそれぞれにこの作業を行います。



182



デバイスリスト表示での一括操作

フィルタを適用してデバイスの一部を抽出した後、それらのデバイスに対して一括アクションを実行できます。具体的に

は、デバイスを選択し、アクションボタンを選択します。

詳細は、183ページのデバイスリスト表示でデバイスを選択するを参照してください。

これらのアクションを利用するには、システム設定で｢一括操作｣を有効にする必要があります (グループと設定 > すべ

ての設定 > システム > セキュリティ> 制限された操作)。パスワード保護されている操作を実行するには暗証番号が必

要です。

リスト表示からデバイスを選択すると、選択されたデバイスの数がアクションボタンの横に表示されます。この数字に

は、選択され、フィルタにかけられたデバイスの数も含まれています。

デバイスリスト表示での一括管理操作の上限

管理するデバイスの数が多い場合は、業務をスムーズに行うため、一括操作コマンドを受信するデバイス数に上限を

設定することをご検討ください。

一括管理の上限は、グループと設定 > すべての設定 > デバイスとユーザー > 高度な設定 > 一括管理で変更できま

す。

一括管理上限が設定され、かつ複数のデバイスが選択されている場合は、｢何項目が選択されました｣というメッセー

ジの隣に、一部の操作は一括操作制限のため実行できませんというリンクが表示されます。

デバイスリスト表示でのキューに登録された一括操作に関する警告

一括操作は時間がかかります。AirWatchコンソールで既存の一括操作が処理されているときに、新しい一括操作を

開始すると、次のような警告メッセージが表示されます。

｢現在、前にリクエストされた一括操作を処理しています。このリクエストは前の操作が完了した後に実行されます。現在のリクエストを継続しますか?｣

はいを選択すると、新しい一括操作はキューに追加されます。いいえを選択すると、新しい一括操作はキャンセルさ

れます。

デバイスリスト表示でデバイスを選択する

リスト表示の各デバイスの左側にあるボックスにチェックを入れると、それら個別のデバイスが選択されます。あるいは、

複数のページにわたるデバイスを1つのブロックとして選択することもできます。貴社のデバイス全体を選択することもで

きますが、その場合、制限された操作に対する警告がトリガされる可能性があります。

デバイスを1つのブロックとして選択する

デバイスリストが複数ページにわたる場合でも、デバイスを、連続する1つのブロックとして選択することができます。具

体的には、まず、ブロックの先頭のデバイスのチェックボックスをオンにします。次に、Shiftキーを押しながら、ブロックの末

尾のデバイスのチェックボックスをオンにします。この操作は、WindowsやMacの環境で利用できる、ブロック選択機能

に類似しています。選択したデバイスには操作を一括で適用することができます。


183



すべてのデバイスを選択する

最終検出カラム見出しの左にあるグローバルチェックボックスを使用すると、リスト内のすべてのデバイスを選択または

選択解除できます。リスト表示にフィルタ適用後のデバイスリストが表示されている場合は、グローバルチェックボックス

を使用すると、フィルタ適用後のデバイスすべてを選択/選択解除します。

グローバルチェックボックスに緑のマイナスマーク()があるときは、少なくとも1つのデバイスが選択されていて、すべての

デバイスは選択されていないことを意味します。このアイコンをもう一度選択すると、チェックマーク()に変わります。これ

は、(フィルタをかけていない、あるいはフィルタ適用後の)リスト上のすべてのデバイスが選択されていることを表します。

アイコンをもう一度選択するとボックスのチェックが外れます ()。これは、現在リスト上のどのデバイスも選択されていない

ことを表します。

デバイスの選択と一括操作に関するビデオを視聴するには、https://support.air-watch.com/articles/115001664748にアクセスしてください。

すべてのデバイスを選択した状態での、制限された操作に対する警告

選択した展開において、すべてのデバイスで操作を開始すると、次のような警告メッセージが表示されます。

｢この操作を [選択したデバイス数] 台のデバイスに行おうとしています。この操作はすべてのデバイスに適用されない可能性があります。この操作に関する制限には、加入状態、管理タイプ、デバイスプラットフォーム、モデル、あるいは OS 等が含まれます。｣

この警告は、デバイスの数が多くなるに従い、デバイスの製造元、OS、機能も多種多様になっている現実の反映とし

て表示されています。これは一括管理上限と、この機能が生成するすべてのメッセージとは無関係な、独立した機能

です。一括管理上限が設定されている場合は、この制限された操作に関する警告メッセージは表示されません。

デバイス詳細

デバイス詳細画面を使用して個別のデバイスの詳細情報を追跡し、ユーザー/デバイス管理操作機能に素早くアクセ

スすることができます。

デバイス詳細画面にアクセスするには、いずれかのダッシュボードからデバイスフレンドリ名を選択するか、あるいは

AirWatchコンソールの検索ツールを利用します。

メイン画面は以下のような主要セクションに分かれています。

l 通知バッジ–選択したデバイスの侵害状態、順守違反、加入日付、最終検出時刻を表示します。

l セキュリティ–どの管理ソフトウェアが使用されているか、パスコードの状態やデータ保護などのセキュリティ設定を表

示します。

l ユーザー情報 –氏名や Eメールなどを含む基本的なユーザー情報を表示します。

l デバイス情報 –組織グループ、位置情報、スマートグループ、シリアル番号、UDID、アセット番号、電源状態、スト

レージ容量、物理メモリ、保証情報など、デバイスの詳細情報を含みます。


184





l プロファイル–インストール済み (アクティブ)と割り当て済み (非アクティブ)、さらに管理外 (サイドローディング)といった

プロファイルを表示します。

l アプリ–自動アプリとオンデマンドアプリを含むすべてのインストール済みアプリを表示します。

l コンテンツ–ユーザーが追加したドキュメントなど、任意のインストール済みのコンテンツを表示します。

l 証明書 –有効期限の近いものも含めすべてのインストール済みの証明書をリストアップします。

デバイス詳細ダッシュボード

ダッシュボードには、デバイスタイプ、デバイスモデル、OSバージョン番号、所有形態タイプ、デバイスアクションボタンの

グループ、｢最近のリスト｣インジケータなどの、基本的なデバイス情報が表示されます。

最近のリストインジケータの>ボタンを選択すると、フィルタ後のリスト表示における位置に基づき、選択されたデバイス

が変わります。

デバイス詳細のアクションボタン

一般的なデバイスアクションを実行するには、アクションボタンを使用します。アクションボタンクラスタには、｢クエリ｣、

｢送信｣、｢ロック｣、｢その他のアクション｣の各ボタンがあります。その他のアクションボタンを選択すると、他のアクションを

実行できます。

利用可能なデバイスアクションは、プラットフォーム/デバイス製造元およびモデル、加入状態、さらにAirWatchコンソー

ルの特定の構成設定により異なります。AirWatchコンソールから管理者が行うことのできるリモートアクションの一覧

は、187ページのプラットフォーム別デバイスアクションを参照してください。

デバイス詳細画面メニュータブ

特定のデバイス情報にアクセスするために使用できるメニュータブは、選択したデバイスプラットフォームにより異なりま

す。

メニュータブ説明

まとめ加入状態、順守、最終検出、GPS利用可否、プラットフォーム/モデル/OS、組織グループ、シリア

ル番号、電源状態、ストレージ容量、物理メモリと仮想メモリ等の全般的な情報を表示します。

順守状態、ポリシー名、前回の順守チェック日と次に予定されている順守チェック日、デバイスに対し既

に行われた処理を表示します。順守タブには、高度なトラブルシューティング機能や以下のような

便利な機能が含まれています。

l 非順守デバイスや順守状態確認中のデバイスにはトラブルシューティング機能を利用すること

ができます。デバイスごとに順守状態を再チェックしたり()、またはデバイスの順守状態に関す

る詳細情報を取得したり()することができます。

l ｢閲覧のみ｣の権限を持つユーザーは、順守タブから直接特定の順守ポリシーを閲覧すること

ができます。管理者アクセスを持つユーザーは、順守ポリシーを編集することができます。

プロファイルデバイス上の、割り当て済み、インストール済みと管理外プロファイルを含むすべてのプロファイルを

閲覧します。


185




アプリケーション現在デバイスに割り当てられ、インストールされているアプリをすべて表示します。

コンテンツデバイスのコンテンツの状態、タイプ、名前、バージョン、優先順位、展開、最終更新日、閲覧日

時、確認済みコンテンツを表示します。このタブには管理目的アクション(コンテンツのインストールま

たは削除)用のツールバーもあります。

場所デバイスの現在位置と過去の位置の履歴を表示します。位置データポイントを検索する期間ま

たは時間の長さを選択します。カスタム期間を使用すると、日にちの範囲および5分区切りの時

間を選択できます。

位置情報データの収集を有効にするには、グループと設定 > すべての設定 > デバイスとユーザー

と進み、プラットフォームごとのAgent 設定ページを選択します。プライバシーに関する位置情報

データの詳細は、26ページのGPS座標のプライバシーのためのベストプラクティスを参照してくださ

い。

収集する位置情報データポイントの数およびポイント間の最低距離を変更するには、グループと

設定 > すべての設定 > インストール > マップと進みます。

ユーザーデバイスのユーザーに関する詳細と、同じユーザーが加入した他のデバイスの状態を閲覧します。

さらに｢さらに｣メニュータブの内容は、デバイスプラットフォームにより異なります。

l ネットワーク–デバイスの現在のネットワーク(セルラー、Wi-Fi、Bluetooth、IMEI)状態を閲覧し

ます。

l セキュリティ–デバイスの現在のセキュリティ状態がセキュリティ設定に基づいて表示されます。

l テレコム–デバイス上での通話時間、データ使用量、および送受信されたメッセージの量が表

示されます。

l メモ–デバイスに関するメモが表示されます。また、メモを入力することもできます。たとえば、デ

バイスの配送状況、デバイスが修理中のため使用不能であるかどうかなどの情報を入力でき

ます。

l 証明書 –デバイス証明書の名前および発行元が表示されます。また、証明書の有効期限も


l プロビジョニング–デバイスにプロビジョンされたすべてのパッケージの全履歴と状態を閲覧しま

す。プロビジョニングエラーもすべて表示されます。

l 利用規約 –加入処理時に同意したエンドユーザーライセンス同意書 (EULA)の一覧が表示さ

れます。


186




さらに表示

(前頁の続き)l アラート–デバイスに関連付けられたすべてのアラートを閲覧します。

l 共有デバイスログ–共有デバイスの履歴 (過去のチェックイン/チェックアウト、現在の状態など)が表示されます。

l 状態履歴 –加入状態に関するデバイスの履歴が表示されます。

l ターゲットログ収集 –コンソール、カタログ、デバイスサービス、デバイス管理、およびセルフサー

ビスポータルのログが表示されます。ターゲットログを構成するためのリンクが用意されています

(すべての設定 > 管理者 > 診断 > ログ収集)。

l トラブルシューティング–イベントログとコマンドのログ情報が表示されます。このページには、エ

クスポートと検索機能が備わっており、ターゲットを絞った検索や分析ができます。

o イベントログ–詳細なデバッグ情報およびサーバのチェックインが表示されます。イベントグ

ループタイプ、日付の範囲、重要度、モジュール、カテゴリによるフィルタが含まれます。

イベントログのリストのイベントデータカラムにハイパーリンク付きテキストが表示されること

があり、ここから特定のイベントに関するより詳細な情報を含む別の画面を開くことができ

ます。この情報を使用して、プロファイルのインストールが失敗した理由を確定するなど、

高度なトラブルシューティングを実行することができます。

o コマンド–デバイスに送信された、保留中、キュー済み、完了済みのコマンドの詳細なリス

トが表示されます。カテゴリ、状態そして特定のコマンドによりデータを抽出できるフィルタ

機能があります。

l 添付ファイル–トラブルシューティングやその他の目的のためのスクリーンショット、ドキュメント、お

よびリンクには、デバイス自体の領域ではなく、サーバ上のこのストレージ領域を使用します。

プラットフォーム別デバイスアクション

AirWatch管理者は、貴社で展開しているデバイスのそれぞれに、または一括で、リモートでコマンドを送信することがで

きます。利用できるアクションはプラットフォームにより異なります。これらのプラットフォームごとのデバイスアクションと定義

は、管理者がAirWatchコンソールから実行できるリモートコマンドを示しています。

詳細は、189ページのデバイスアクションの説明を参照してください。

操作 AndroidAppleiOS

MacOSAppleTV

ChromeOS

IOTデバイス

Linuxデバイス

QNXWindows

耐久性端末Win 7

Windows電話番号


タグを追加 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

AirWatch Agent (クエリ) ✓ ✓✓

(*)

アプリリモート表示 ✓ ✓ ✓

アプリ(クエリ) ✓ ✓ ✓✓

(*)✓ ✓

ブック(クエリ) ✓


187




MacOSAppleTV

ChromeOS

IOTデバイス

Linuxデバイス

QNXWindows


Windows電話番号


証明書 (クエリ) ✓ ✓ ✓ ✓✓

(*)✓ ✓

デバイスパスコード変

更✓ ✓

組織グループを変更 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

所有形態を変更 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

アクティベーションロック

を解除する✓

パスコード消去 (デバイ

ス) ✓ ✓ ✓ ✓

パスコード消去 (コンテ

ナ) ✓

パスコード消去 (制限

設定 ) ✓

パスコード消去 (SSO) ✓ ✓

デバイス削除 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

デバイス情報 (クエリ) ✓ ✓ ✓ ✓ ✓ ✓✓

(*)✓ ✓

デバイスワイプ ✓ ✓ ✓ ✓ ✓ ✓

デバイスを編集 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

紛失モード有効化/無効化

✓

加入 ✓ ✓ ✓ ✓ ✓ ✓

企業情報リセット ✓ ✓

企業情報ワイプ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

ファイルマネージャ ✓ ✓ ✓

デバイス検索 ✓ ✓ ✓

iOS 更新 ✓

場所 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

デバイスロック ✓ ✓ ✓ ✓ ✓ ✓

SSO ロック ✓ ✓

管理設定 ✓

｢妨害しない｣として

マーク✓ ✓

ジョブログレベル上書

き✓


188




MacOSAppleTV

ChromeOS

IOTデバイス

Linuxデバイス

QNXWindows


Windows電話番号


プロファイル (クエリ) ✓ ✓ ✓ ✓✓

(*)

今すぐプロビジョン ✓ ✓ ✓

すべてクエリ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

デバイス再起動 ✓

レジストリマネージャ ✓

リモート操作 ✓ ✓ ✓

リモート管理 ✓ ✓ ✓ ✓ ✓ ✓

リモート表示 ✓

デバイス名を変更 ✓

デバッグログを要求 ✓

デバイスチェックインを

要求✓ ✓ ✓ ✓

デバイス位置情報を要

求✓

AirWatch Agent 再起

動✓

セキュリティ(クエリ) ✓ ✓ ✓✓

(*)✓ ✓

メッセージを送信 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

AirPlay 開始 ✓ ✓

AWCM 開始 ✓ ✓

AWCM 停止 ✓ ✓

デバイスを同期 ✓ ✓ ✓

タスクマネージャ ✓

マニフェストを閲覧 ✓

ウォームブート ✓ ✓ ✓

(*)このWindows 7アクションは｢すべてクエリ｣コマンドを使用して実行することもできます。｢すべてクエリ｣コマンドを使用した場合、個々のクエリコマンドを別々に実行した場合と同じ情報が返されます。

デバイスアクションの説明

コンソールからリモートでデバイスに対し実行できるアクションの詳細な説明を閲覧します。

l タグを追加 –タグをカスタマイズしてデバイスに割り当て、貴社のデバイスのなかの特定デバイスを識別できるように

します。

l AirWatch Agent (クエリ) –クエリコマンドをデバイスのAirWatch Agentに送信し、インストールが完了しており正常に

機能していることを確認します。


189



l アプリリモート表示 –インストールされたアプリケーションの一連のスクリーンショットを撮り、管理者コンソールのリモー

ト表示画面に送信します。スクリーンショットの数とスクリーンショット間の待機時間の長さを秒単位で選択できま

す。

l アプリ(クエリ) –インストール済みアプリのリストを戻すクエリコマンドをデバイスに送信します。

l ブック(クエリ) –インストール済みブックのリストを戻すクエリコマンドをデバイスに送信します。

l 証明書 (クエリ) –インストールされている証明書のリストを戻すクエリコマンドをデバイスに送信します。

l デバイスパスコード変更 –選択したデバイスにアクセスするために使用する既存のデバイスパスコードを新しいパス

コードに置き換えます。

l 組織グループ変更 –デバイスのベース組織グループを、既に存在する他の組織グループに変更します。静的また

は動的な組織グループを選択するオプションもあります。

l 所有形態を変更 –該当する場合、デバイスの所有形態設定を変更します。選択肢は、企業-専用、企業-共有、従業員所有と未定義です。

l アクティベーションロックを解除 – iOSデバイス上のアクティベーションロックを解除します。アクティベーションロックが

有効の場合、｢iPhoneを探す｣を無効にしたり、工場出荷ワイプを実行したり、デバイスを使用するために再度ア

クティブ化したりといった操作を行う時に、ユーザーによるApple IDとパスワードの入力が必要になります。

l パスコード消去 (コンテナ) –コンテナ固有のパスコードを消去します。ユーザーがデバイスコンテナのパスコードを忘

れてしまった場合に使用します。

l パスコード消去 (デバイス) –デバイスパスコードを消去します。ユーザーがデバイスのパスコードを忘れてしまった場

合に使用します。

l パスコード消去 (制限事項設定) –アプリインストール、Safari使用、カメラ使用などのデバイス機能を制限するパ

スコードを消去します。

l パスコード消去 (SSO) –ユーザーがシングルサインオン(SSO)パスコードを忘れてしまった際に消去します。

l デバイスを削除 –デバイスを管理者コンソールから削除し加入解除します。このアクションは、デバイスそのものから

データを削除するものではなく、コンソールの表示を削除するものです。

l デバイス情報 (クエリ) –フレンドリ名、プラットフォーム、モデル、組織グループ、OSバージョンおよび所有形態などデ

バイスの基本的な情報を戻すクエリコマンドをデバイスに送信します。

l デバイスワイプ–デバイスからすべてのデータ、Eメール、プロファイル、MDM機能を完全に削除し、デバイスを工場

出荷状態に戻します。ここにはユーザーのすべての個人情報も含まれます (該当する場合)。この操作は元に戻せ

ません。

l デバイスを編集 –フレンドリ名、アセット番号、デバイス所有形態、デバイスグループおよびデバイスカテゴリといっ

たデバイス情報を編集します。

l 紛失モード有効化/無効化 –この機能を使用してデバイスをロックし、メッセージと電話番号を送信し、ロック画面

にテキストを表示します。紛失モードをユーザーが無効にすることはできません。管理者が紛失モードを無効にした

場合は、デバイスは通常モードに戻ります。ユーザーには、デバイスの位置情報が共有されたことを通知するメッ

セージが送信されます。(iOS 9.3以降の監視モードのみ)

o デバイス位置情報を要求 –紛失モードのデバイスにクエリを送信し、位置情報タブを使用してデバイスを探し

ます。(iOS 9.3以降の監視モードのみ)


190



l 加入 –デバイスユーザーにデバイスを加入するよう伝えるメッセージを送信します。オプションで、ステップごとの手順

や役立つリンクなどの加入情報を含む、メッセージテンプレートを使用することもできます。この操作は未加入のデ

バイスでのみ利用できます。

l 企業情報リセット–デバイスを工場出荷状態に戻し、VMware AirWatch加入だけを残した状態に企業情報リセッ

トします。

l 企業情報ワイプ–デバイスの加入を解除し、アプリケーションやプロファイルを含む、すべての管理企業リソースを削

除します。この操作は元に戻すことができず、このデバイスを再度管理するには、VMware AirWatchへの再加入が

必要になります。今後の再加入をブロックするオプションと、アクションに関する詳しい情報を入力するためのメモ説

明欄を使用するオプションがあります。

o クラウドドメイン参加デバイスでは、企業情報ワイプはサポートされていません。

l ファイルマネージャ– AirWatchコンソールの中でファイルマネージャを起動します。デバイスのコンテンツ閲覧、フォル

ダの追加、検索の実行やファイルのアップロードを行うことができます。

l デバイスを探す –該当するVMware AirWatchアプリケーションにリングトーンを伴うテキストメッセージを送信しま

す。リングトーンの繰り返し回数や再生までの待ち時間 (秒単位)を構成できます。このリングトーンで、紛失した

デバイスをより容易に見つけることができます。

l iOS 更新 – 1台または複数台の iOS デバイスにOS更新をプッシュします。iOSバージョン9以降を搭載する、監視

モードでDEPに登録されたデバイスのみが対象です。詳細は、｢VMware AirWatch iOS プラットフォームガイド｣を

参照してください。この文書はAirWatch Resourcesで入手できます。

l 位置情報 –デバイスのGPS機能を使用して地図上にデバイスの位置を表示します。

l デバイスをロック–選択したデバイスの画面をロックし、ロックが解除されるまで使用できない状態にします。カスタマ

イズできるメッセージと電話番号そしてメモ説明というオプション入力欄があります。

l SSO ロック– VMware AirWatch Containerとすべての関連アプリから対象デバイスユーザーをロックアウトします。

l 管理設定 –通話ローミング、データローミング、パーソナルホットスポットを有効または無効に設定します。

l ｢妨害しない｣としてマーク–デバイスを｢妨害しない｣としてマークすることで、メッセージ、Eメール、プロファイルその

他を受信することによる作業の中断を防止します。アクティブに｢妨害しない｣としてマークされているデバイスに

は、｢妨害しない｣モードを解除が表示されます。この機能を使用し、制限を解除します。

l ジョブログレベル上書き–選択したデバイスのジョブイベントログ収集の現在指定されているレベルを上書きしま

す。このアクションは、プロダクトプロビジョニングからプッシュされるジョブのログ収集の詳細レベルを設定し、AndroidAgent設定で構成されている現行のログレベルを上書きします。ジョブログレベル上書きは、アクション画面のドロッ

プダウンメニューにある既定設定にリセットを選択するか、Android Agent設定のプロダクトプロビジョニングカテゴリ

の下にあるジョブログレベルを変更することで消去できます。

l プロファイル (クエリ) –インストール済みのデバイスプロファイルのリストを戻すクエリコマンドをデバイスに送信します。

l 今すぐプロビジョンを実行 –デバイスにプロダクトをプロビジョンします。プロビジョニングとは、ファイル、アクション、プロ

ファイルそしてアプリケーションを1つのプロダクトにまとめてデバイスにプッシュし、適切な順序でインストールできるよ

うにする機能です。

l すべてクエリ–インストール済みアプリ(該当する場合はVMware AirWatch Agentを含む)、ブック、証明書、デバイス

情報、プロファイルとセキュリティ対策のリストを戻すクエリコマンドをデバイスに送信します。

l デバイスの再起動 –電源をオフにし再度オンにする操作を行い、デバイスをリモートで再起動します。


191



l レジストリマネージャ– AirWatchコンソールの中でレジストリマネージャを起動します。デバイスのOSレジストリのリ

モート表示、キーの追加、検索の実行やプロパティの追加を行うことができます。

l リモート制御 –このアクションを使用してサポートするデバイスを遠隔から制御します。コンソールアプリケーションを

起動し、デバイスにサポートやトラブルシューティングを実行できます。

l リモート管理 –このアクションを使用してサポートするデバイスを遠隔から制御します。コンソールアプリケーションを

起動し、デバイスにサポートやトラブルシューティングを実行できます。

l リモート表示 –デバイスアウトプットのアクティブストリームを指定出力先 (IPアドレス、ポート、オーディオポート、パ

スワードとスキャン時間を含む)に出力し、デバイスの操作中にユーザーが見ている画面をリモートから見ることがで

きます。

l デバイス名変更 – AirWatchコンソールでデバイスのフレンドリ名を変更します。

l デバッグログ要求 –選択したデバイスのデバッグログを要求します。ログを確認するにはさらにタブを選択して添

付ファイル > ドキュメントと進みます。ログはトラブルシューティングとサポート目的で使用され、テキストファイルで配

信されます。

l デバイスチェックインを要求 –選択したデバイスがAirWatchコンソールにチェックインすることをリクエストします。この

アクションにより最終検出カラムの状態が更新されます。

l AirWatch Agent を再起動する– VMware AirWatch Agentを再起動します。加入処理やサブモジュールのインス

トール処理が中断された場合のトラブルシューティングに使用します。

l セキュリティ(クエリ) –アクティブなセキュリティ対策 (デバイスマネージャ、暗号化、パスコード、証明書など)のリスト

を戻すクエリコマンドをデバイスに送信します。

l メッセージを送信 –選択したデバイスのユーザーにメッセージを送信します。Eメール、プッシュ通知、SMSから選択

できます。

l AirPlay を開始 –デバイスからのオーディオビジュアルコンテンツをAirWatchコンソールに、Apple社のプロプラエタリの

ワイヤレスストリーミングプロトコルを使用してストリーミングします。MAC アドレス(メディアアクセスコントロール)と秒単位のスキャン時間を指定する必要があります。iOS 4.2以上が必要です。

l AWCM を開始/停止 –選択したデバイスのAirWatchクラウドメッセージングサービスを開始/停止します。AirWatchクラウドメッセージング(AWCM)は、エンドユーザーがパブリックインターネットにアクセスしたり、Google IDなどのコン

シューマアカウントを使用したりする必要性を減らすことで、管理者コンソールからのメッセージやコマンドの配信を

効率化します。

l デバイスを同期する–選択したデバイスをAirWatchコンソールと同期させ、最終検出状態が同じになるようにしま

す。

l タスクマネージャ– AirWatchコンソールの中でタスクマネージャを起動し、デバイスの現在実行中のタスクをリモート

表示します。タスクの名前、プロセス IDと実行できるアクションが含まれます。

l マニフェストを表示 –デバイスのXML形式のパッケージマニフェストをAirWatchコンソールから閲覧します。

Windows耐久性デバイスのマニフェストは、ウィジェットとアプリのメタデータをリストアップします。

l ウォームブート– Power-on self test (POST)処理を実行せずオペレーティングシステムを再起動します。


192



加入状態

加入状態画面で、各デバイスの加入状態情報を調べること、デバイスの一括インポートと登録を行うこと、デバイスを

ホワイトリスト/ブラックリストに登録すること、および、デバイストークンを無効化/リセットすることができます。

デバイス> ライフサイクル > 加入状態と進み、現在選択されている組織グループに加入しているすべてのデバイスの

一覧を閲覧することができます。

カラムを並べかえて情報フィルタを構成し、特定の情報を基にデバイスアクティビティを確認します。例えば、フィルタか

らトークンの状態を選択し、登録状態が不適切なデバイスのみを表示して、それらのデバイスに対してのみ操作を行

うことができます。フレンドリ名あるいはユーザー名を使用して全デバイスを検索し、1つのデバイスまたは 1人のユー

ザーを特定することもできます。

設定説明

フィルタデバイスカテゴリ全体に対してフィルタを適用し、関心があるデバイスだけを表示することができます。

l 加入状態

l プラットフォーム

l 所有形態

l トークンの状態

l トークンのタイプ

l ソース

l 最初の検出

追加 l デバイスを登録する–加入させるデバイスを個別に登録または追加します。

l デバイスのホワイトリスト/ブラックリスト設定 –ホワイトリスト設定したデバイスのみに加入を許可しま

す。または、ブラックリスト設定したデバイスの加入をブロックします。

l バッチインポート– ｢バッチインポート｣画面で複数のデバイスまたは複数のユーザーをインポートし

ます。

詳細は、180ページのリスト表示からデバイスを追加する、115ページのブラックリストまたはホワイトリスト

にデバイスを追加する、および49ページのユーザーまたはデバイスをバッチインポートするを参照してくだ

さい。

メッセージ

を再送信

する

セルフサービスポータルURL、グループID、ログイン資格情報を含むメッセージをユーザーに再送信しま

す。

その他のア

クション

組織グ

ループを変

更

希望する組織グループに選択したデバイスを移動します。

所有形態

を変更

選択したデバイスの所有形態タイプを変更します。

削除選択したデバイスの登録情報を恒久的に削除します。これにより、ユーザーが加入するには再登録が

必要になります。デバイス登録情報を削除する前に、トークンを取り消す必要がある場合があります。


193



設定説明

トークンリ

セット

取り消されたトークンまたは期限切れトークンの状態をリセットします。

トークン取

り消し

特定デバイスの登録トークン状態を期限切れにすることで、望まないユーザーまたはデバイスのアクセス

をブロックします。

トークンをリセットするとトークンを取り消すアクションに関しては、ユーザーに通知設定を無効にし、既

定設定のEメール通知を送信しないこともできます。

複数のデ

バイスを選

択する

個別のデバイスにアクションを実行することも、デバイスの横のボックスにチェックを入れて複数のデバイス

にアクションを実行することもできます。

フィルタを適用して複数のデバイスを抽出した後、それらのデバイスに対して一括アクションを実行できま

す。具体的には、デバイスを選択し、メッセージを再送信ボタンおよびその他のアクションボタンを使用

してアクションを選択します。

個々のチェックボックスをオンにすることができます。また、チェックボックスカラムの上にあるグローバル

チェックボックスをオンにして、抽出したデバイスすべてを選択することもできます。

1つ以上のデバイスに対し実行したいアクションを選択すると、確認画面が表示され、アクションを保存

またはキャンセルすることができます。

レイアウトカスタムオプションを選択して、表示可能なカラムをすべて表示するか、表示または非表示にするカラ

ムを自由に設定します。

カスタマイズしたカラム配置を、現在の組織グループ、またはそのサブ組織グループのすべての管理者に

適用するオプションもあります。

いつでもレイアウトボタンをクリックし、カラムの表示形式を変えることができます。

加入状態の詳細表示

全般情報カラムのデバイスフレンドリ名を選択し、該当するデバイスの詳細表示をいつでも開くことができます。

詳細表示からメッセージを再送信ボタンを選択し、加入メッセージを再送信することができます。さらに、登録を編集

ボタンを選択し、高度なデバイス情報セクションに入力してデバイスの登録情報を編集することもできます。

詳細表示には以下のようなタブがあり、そのデバイスに関連する加入情報が記載されています。

l 概要 –登録日、デバイスの最初の検出日以降の経過日数、デバイスとユーザーの基本的な情報を閲覧します。

l ユーザー–ユーザーの詳細情報を閲覧します。

l メッセージ–デバイスアクティブ化に関する送信 Eメールを閲覧します。ここには資格情報とQRコードが含まれてい

ます。｢ユーザー登録メッセージ｣と名付けられたリソースを利用することもできます。これを使用し、AirWatch管理

者は、デバイスが正常に加入を完了した後はメッセージタブを非表示にすることができます。

l カスタム属性 –デバイスに関連したカスタム属性を閲覧します。詳細は、214ページの他の文書を入手するから

入手可能なVMware AirWatch Product Provisioning and Staging ガイドを参照してください。

l タグ–デバイスに関連付けられたタグを閲覧します。詳細は、174ページのデバイスタグの概要を参照してくださ

い。

l オフライン加入 –このタブを使用し、オフライン状態でデバイスを加入することができます (利用できる場合)。この機

能は、旅行中など、デバイスが利用不可状態のときに、デバイスのスケジュールされた時間を有効活用したい場

合などに役に立ちます。


194



ワイプ保護

特権の必要な企業コンテンツをデバイスからリモートワイプすることは、企業情報ワイプと呼ばれ、デバイスが紛失また

は盗難にあった場合に実行されます。これは、企業コンテンツが競合の手に渡ることを防ぐための保護手段です。

ただし、順守エンジンやその他の自動化された命令など、スケジュールされたプロセスを複数のデバイスにワイプする状

況があります。管理者は、そのような命令のスケジュールが設定された場合には通知を受けて、必要に応じて介入す

る余地が必要です。

ワイプの保護設定を構成して、一定の時間内にワイプできるデバイスの最小台数のしきい値を定義できます。例え

ば、20分以内に10台以上のデバイスがワイプされる場合、管理者がワイプコマンドを確認するまで、その後のワイプを

すべて保留にすることができます。

管理者は、ワイプログから、デバイスがいつどのような理由でワイプされたか確認することができます。情報を確認した

後、保留状態にあるワイプコマンドを承認あるいは拒否し、システムを解除してデバイスしきい値のカウンターをリセット

します。

管理対象デバイスに対するワイプ保護設定を構成する

管理デバイスのワイプのしきい値を設定すると、しきい値に達したときに管理者にEメールで通知が届きます。この設定

は、グローバルレベルまたはカスタマーレベルの組織グループにおいてのみ構成が可能です。

1. デバイス> ライフサイクル > 設定 > 管理デバイスのワイプ保護と進みます。

2. 以下の設定を構成します。

設定説明

ワイプ

された

デバイ

ス数

ワイプされたデバイスの台数を入力します。この値がデバイスワイプ保護機能をトリガするしきい値になり

ます。

以内

(分)ここで設定する時間内にしきい値以上の回数ワイプが発生すると、ワイプ保護がトリガされます。値を

以内 (分)で入力します。

Eメール

管理者に送信するEメールのメッセージテンプレートを選択します。

ワイプ保護用のメッセージテンプレートを作成するには、デバイスとユーザー > 全般 > メッセージテンプ

レートと進みます。次に、新しいテンプレートを追加し、カテゴリとしてデバイスのライフサイクルを、タイプ

としてワイプ保護通知を選択します。メッセージテンプレートの一部として、以下の参照値を使用するこ

とができます。

l {EnterpriseWipeInterval} –設定ページの以内 (分)の値

l {WipeLogConsolePage} –ワイプログページへのリンク

宛先この通知メッセージを受け取る管理者のEメールアドレスを入力します。ワイプログページにアクセスのあ

る管理者のみに通知を行います。


管理対象外デバイスに対するワイプ保護設定を構成する

非常に稀なケースですが、自動的な企業情報ワイプのコマンドが管理対象外デバイスに送信されることがあります。ワ

イプしきい値の設定には、管理デバイスと同じものを使用します。しきい値に達すると、入力したEメールアドレス宛て


195



に通知が送信され、それ以降のすべての企業情報ワイプコマンドが保留になります。この設定は、グローバルレベルま

たはカスタマーレベルの組織グループにおいてのみ構成が可能です。

1. グループと設定 > すべての設定 > デバイスとユーザー > 高度な設定 > 非管理対象デバイスのワイプ保護と進みま

す。

2. 以下の設定を構成します。

設定説明

ワイプさ

れたデ

バイス

数

ワイプされたデバイスの台数を入力します。この値がデバイスワイプ保護機能をトリガするしきい値にな

ります。

以内

(分)ここで設定する時間内にしきい値以上の回数ワイプが発生すると、ワイプ保護がトリガされます。値を

以内 (分)で入力します。

Eメール管理者に送信するEメールのメッセージテンプレートを選択します。

ワイプ保護用のメッセージテンプレートを作成するには、デバイスとユーザー > 全般 > メッセージテンプ

レートと進みます。次に、新しいテンプレートを追加し、カテゴリとしてデバイスのライフサイクルを、タイ

プとしてワイプ保護通知を選択します。メッセージテンプレートの一部として、以下の参照値を使用す


l {EnterpriseWipeInterval} –設定ページの以内 (分)の値

l {WipeLogConsolePage} –ワイプログページへのリンク

宛先この通知メッセージを受け取る管理者のEメールアドレスを入力します。ワイプログページにアクセスの

ある管理者のみに通知を行います。

企業情

報ワイ

プを許

可する

管理対象外デバイスの企業情報ワイプを有効にします。既定の設定では、有効になっています。


ワイプログを閲覧する

ワイプログ画面でデバイスがいつどのような理由でワイプされたか確認することができます。情報を確認した後、保留

状態にあるワイプコマンドを承認あるいは拒否し、システムを解除してデバイスしきい値のカウンターをリセットします。

システムがロックされた場合、画面の一番上にその旨を表示するバナーが現れます。

1. デバイス> ライフサイクル > ワイプログと進みます。この画面へのアクセスはデバイスワイプログレポートリソースで

管理され、既定設定ではシステム管理者、SaaS管理者、およびAirWatch管理者が利用できるようになっていま

す。管理者役割を作成画面を使用し、任意のカスタム管理者役割にこのリソースを追加することができます。

詳細は、61ページの管理者役割を作成するを参照してください。


196



2. ワイプログには以下のようなフィルタを適用することができます。

l 日付の範囲

l ワイプのタイプ

l 状態

l ソース

l 所有形態

3. デバイスのリストを閲覧し、表示されるデバイスのワイプが妥当であるかどうかを確認します。アクションが保留中の

デバイスの状態は、｢保留中｣と表示されます。保護のしきい値に到達する前にワイプされたデバイスは、｢処理

済｣と表示されます。

a. ワイプが妥当である場合、各デバイスを選択し、コマンドリストからワイプを承認するを選択します。状態は

｢承認済み｣に変わります。

b. ワイプが妥当でない場合、各デバイスを選択し、コマンドリストからワイプを却下するを選択します。状態は

｢却下｣に変わります。

4. デバイスしきい値のカウンターをリセットし、システムをロック解除するを選択してワイプコマンドの通過を許可しま

す。この時点では、しきい値が再び制限を超過するまでシステムで自動化されたワイプコマンドが許可されます。

この操作は、グローバルレベルまたはカスタマーレベルの組織グループにおいてのみ実行可能です。

AirWatchハブ

AirWatchハブは、重要な情報に素早くアクセスするための中心的なポータルです。重要な問題を素早く特定し、

AirWatchコンソールから迅速に対策を採ることができます。

この画面上の任意の棒グラフまたはドーナツグラフを選択すると、デバイスリスト表示が表示されます。このリスト表示

には、選択したメトリックに関連するすべてのデバイスが表示されます。この画面で各種のアクション(例 :それらのデバイ

スにメッセージを送信する)を実行できます。

たとえば、｢ウイルス対策ソフトの状態｣ドーナツグラフを選択したとします。すぐにデバイスリスト表示画面が表示され

ます。この画面には、ウイルス対策ソフトウェアがインストールされていないためポリシー違反状態になっているデバイス

が、一覧表示されます。リスト内のデバイスをすべて選択するには、各デバイスの行の左端にあるチェックボックスをオン

にします。デバイスを追加ボタンの下にある｢すべて選択｣チェックボックスをオンにして選択することもできます。リストの

上にアクションボタンクラスタがあります。選択したデバイスのユーザーにメッセージを送信するには、送信を選択しま

す。送信できるものは、Eメール、プッシュ通知、およびSMSテキストメッセージです。

AirWatchハブの構成要素

ハブからは概要グラフと詳細表示にアクセスすることができます。

l デバイス–以下のようなデバイスの正確な数を表示します。

o 登録済み、加入済み、企業情報ワイプ保留中、デバイスワイプ保留中、加入解除といった状態別の内訳

o Linuxや IOTデバイスなど、AirWatchに加入しているデバイスのプラットフォームごとの内訳


197



o 過去 1日、1週間、1か月間の加入履歴

l 順守 –どのデバイスが順守ポリシーに違反しているのかを確認します。

o デバイスが現在違反している、アプリ/セキュリティ設定/地理位置情報/その他の順守ポリシー

o 設定されたすべてのタイプの順守ポリシーのうち、順守違反が多い順守ポリシー

o ブラックリスト設定アプリと、デバイスにインストールされているすべてのブラックリストアプリ(違反件数が多い順に

リストアップ)

o ユーザーのためにインストールしたいアプリがまだインストールされていないデバイス

l プロファイル–期限切れのプロファイルを表示します。

o 最新のプロファイルバージョンと、各プロファイルの旧バージョンがインストールされているデバイス一覧

l アプリ–どのアプリケーションがデバイスに関連付けられているのかを表示します。

o 最新のアプリケーションバージョンと、各アプリケーションの旧バージョンがインストールされているデバイス一覧

o インストール頻度が高いアプリを、現在インストールされているデバイス数の順に表示

l コンテンツ–期限切れのコンテンツを持っているデバイスを表示します。

o 最新のコンテンツバージョンと、期限切れのファイルを数が多い順に表示

l Eメール–現在 Eメールを受信できないデバイスを表示します。

o 既定設定によりEメールを受信できないデバイス、ブラックリスト設定されているデバイス、加入解除したデバイ

ス等を表示

l 証明書 –有効期限切れが間近に迫っている証明書を表示します。

o 1か月以内に失効する証明書、1～ 3か月以内に失効する証明書、3～ 6か月以内に失効する証明書、6～ 12か月以内に失効する証明書、有効期限が12か月以上ある証明書。すでに有効期限の切れた証明

書も閲覧することができます。

表示されるデバイス情報は、サブ組織グループのデバイスも含まれるため、選択する組織グループに応じて変化しま

す。組織グループドロップダウンメニューを使用し、下位の組織グループに表示を切り替えると、デバイスリストは自動

的に該当組織グループのものに更新されます。

リスト表示アイコンまたはグラフ表示アイコンをクリックして表示を切り替えます。任意のメトリックを選択し、そのデバ

イスセットに対する｢デバイスリスト表示｣画面を開きます。この画面で各種のアクション(例 :それらのデバイスにメッ

セージを送信する)を実行できます。

表示項目アイコンを選択して、ハブをカスタマイズします。表示可能セクション(デバイス、順守、プロファイルなど)を示すチェックボックスをオンまたはオフにし、保存を選択し、ハブの外観をカスタマイズします。

エクスポートアイコンを選択してハブデータをPDFファイルとしてエクスポートすることができます。PDFにエクスポートする

機能は、貴社のモバイルデバイス展開の現在の状況に関する日ごと、週ごと、月ごとのレポートを配信するのに役立

ちます。


198



管理者パネルダッシュボード

管理者パネルには、モジュールライセンス情報および展開されたAirWatchコンポーネントの概要が表示されます。管

理者パネルはAirWatchライセンスの概要をアクティブプロダクトと展開済みのコンポーネントという2つのセクションにま

とめて表示します。

管理者パネルには、ハブ> 管理者パネルと進んでアクセスします。管理者パネルは、カスタマー組織グループでのみ使

用できます。詳細は、70ページの組織グループタイプの機能を参照してください。

管理者パネルのアクティブプロダクト

アクティブプロダクトセクションでは、貴社の展開に含まれる各機能 (例 : Browser、Container、Mobile DeviceManagement、App Catalog)のライセンスの有効性を確認できます。各機能のライセンス合計数、ライセンスモデル、お

よびライセンスタイプを確認できます。

管理者パネルの展開済みのコンポーネント

展開済みコンポーネントセクションにはカスタマー組織グループで有効化されたすべてのコンポーネントに対応するセク

ションがあり、接続状態をレポートします。

l VMware Enterprise Systems Connector

l AirWatch Secure Email Gateway

l VMware Tunnel

更新ボタン()を選択すると、有効化されている各コンポーネントの接続状態が更新されます。

また、設定ボタン()を選択すると、有効化されているコンポーネントに対応するシステム設定画面が表示されます。

iOS向けの業種別テンプレート

業種別テンプレートを使用してさまざまなモバイルアプリとデバイスプロファイルにアクセスできます。これらを貴社デバイ

スにプッシュすることで、展開プロセスを大幅に短縮することができます。ヘルスケア、小売業等、該当するテンプレート

を選択します。テンプレートは必要に応じて編集することができます。

業種別テンプレートの詳細は 214ページの他の文書を入手するから入手可能なVMware AirWatch iOS プラットフォー

ムガイドを参照してください。

レポートと分析機能

AirWatchは、デバイス全体に関する実行可能で結果主導型の統計を管理者に提供する、広範なレポート機能とイ

ベントログ収集機能を備えています。

管理者は、事前定義されたレポートを活用したり、特定デバイス、ユーザーグループ、期間、使用するファイル形式等

に基づいてカスタムレポートを作成したりすることができます。レポートを参照するには、ハブ> レポート& 分析 > レポー

ト> リスト表示からレポート画面に進みます。追加されたレポートには、レポート画面上部のマイレポートタブから素

早くアクセスすることができます。

詳細は、214ページの他の文書を入手するでVMware AirWatch Reports & Analytics ガイドを参照してください。


199



第 14章:証明書の管理

証明書管理概要 201

デジタル証明書のリスト表示 201

証明書統合に関するリソース 201

200



証明書管理概要

モバイルデバイスから社外秘情報を含むコンテンツに日常的にどこからでもアクセスできるようになった現在、承認外ア

クセスと悪意ある脅威の可能性はますます増大しています。強力なパスワードを使用して企業 EメールやWi-Fi、仮想

プライベートネットワーク(VPN)を保護したとしても、インフラストラクチャの脆弱性は消えません。インフラストラクチャは、

総当たり攻撃、辞書攻撃、そして従業員によるミスには弱いものです。

貴社の企業資産をセキュアにし、保護を強化するためにも、デジタル証明書の導入をご検討ください。証明書は、パ

スワードとは比較にならないレベルの安定性、セキュリティと高度な認証を提供することができます。VMware AirWatchによるモバイル証明書管理は、デバイスのライフサイクル全体にわたるセキュリティを提供し、上記のような問題を解決

します。

デジタル証明書のリスト表示

証明書の発行後、AirWatchコンソールの証明書リスト表示を使用して、展開されたデジタル証明書を管理します。

管理者は、デバイス/証明機関/ユーザー/プロファイル/発効日その他による証明書のリストを閲覧することができます。

デバイス> 証明書 > リスト表示と進みます。

デジタル証明書の取り消しと更新

｢証明書リスト表示｣では、展開された証明書の概要を表示すること、および、証明書の更新や取り消しを行うことが

できます。個別操作と一括操作が可能です。アクティブではなくなったユーザー/デバイスに対するすべてのデジタル証

明書を特定し、失効させることができます。また、順守規則に基づく失効日の前に、Wi-Fi認証証明書を更新/交換

できます。

デバイス> 証明書 > リスト表示と進み、プロセスを開始します。

1. 更新したい、または取り消したいデジタル証明書のボックスにチェックを入れます。複数のボックスにチェックを入れる

こともできます。

2. 実行したい操作のアクションボタンを選択します。選択した証明書の更新または取り消しを行います。

証明書統合に関するリソース

証明書管理文書の一覧は、214ページの他の文書を入手するにあります。

l AirWatch Certificate EOBO with ADCS via DCOM (DCOM によるADCSを使用したAirWatch証明書 EOBO) – DCMSプロトコル

を介してADCSを使用して加入エージェントの署名証明書をセットアップし、Microsoftの｢他のユーザーの代理で証明書を

登録 (EOBO)｣機能を利用します。

l AirWatch Certificate Authentication for Cisco AnyConnect (Cisco AnyConnect 接続のためのAirWatch証明書認証 ) – CiscoASA ファイアウォールをAirWatchとセットアップし、AnyConnect VPN を外部 CA 認証で自動で展開 /構成します。

l AirWatch Certificate Authentication for Cisco IPSec VPN (Cisco IPSec VPN接続のためのAirWatch証明書認証 ) – Cisco ASAファイアウォールをAirWatchとセットアップし、IPSec VPN を外部 CA 認証で自動で展開 /構成します。

l AirWatch Certificate Authentication for EAS with ADCS (ADCSを使用したEASのためのAirWatch証明書認証 ) – 貴社ディレ

クトリサービス、証明機関、そしてCAS以外のEメールサーバの間で信頼を確立します。

第 14章 :証明書の管理

201



l AirWatch Certificate Authentication for EAS with NDES-MSCEP (NDES-MSCEPを使用したEASのためのAirWatch証明書認

証 ) – Microsoft Exchange クライアントアクセスサーバ (CAS)とAirWatchが、デバイスが認証に証明書を使用してMicrosoftExchange ActiveSync (EAS)に接続できるようにします。

l AirWatch Certificate Authentication for EAS with SEG (SEGを使用したEAS接続のためのAirWatch証明書認証 ) –Kerberos委任を行い、セキュアEメールゲートウェイとのEAS証明書認証を有効にします。

l AirWatch Integration with Entrust IdentityGuard (AirWatchとEntrust IdentityGuardの統合 ) – Entrust IdentityGuardサービス

と統合します。

l AirWatch Integration with GlobalSign Guide (AirWatchとGlobalSignの統合ガイド) – 証明書を発行するためにGlobalSignの

サービスとの統合を行う方法を説明します。

l AirWatch Integration with JCCH Guide (AirWatchとJCCHの統合ガイド) – 証明書を発行するために JCCHのサービスとの統合

を行う方法を説明します。

l AirWatch Integration with Microsoft ADCS via DCOM (DCOM を介したAirWatchとMicrosoft ADCSの統合 ) – DCOMプロトコ

ルでの直接 CA 用にMS認証局をセットアップします。モバイルデバイスへの発行、更新、失効プロセスを自動化し、デジタル

証明書を活用できるようになります。

l AirWatch Integration with Microsoft NDES via SCEP (SCEPを使用したMicrosoft 社 NDESとのAirWatch統合 ) –NDES/SCEP/MSECPプロトコルを使用しAirWatchとの直接 CA 統合を行うために、Microsoft証明機関を設定します。

l AirWatch Integration with OpenTrust CMSMobile 2 (AirWatchとOpenTrust CMSMobile 2の統合 ) – OpenTrust CMS Mobileサービスとの統合を行う方法を説明します。

l AirWatch Integration with RSA PKI Guide (AirWatchとRSA PKI の統合ガイド) – 証明書を発行するためにRSA PKIサービスと

の統合を行う方法を説明します。

l AirWatch Integration with SCEP (AirWatchとSCEPの統合 ) – 貴社 AirWatch展開の一部として証明書を活用するために

SCEPを使用します。

l AirWatch Integration with SecureAuth PKI Guide (AirWatchとSecureAuth PKI の統合ガイド) – 証明書を発行するために

SecureAuth PKIサービスとの統合を行う方法を説明します。

l AirWatch Integration with Symantec MPKI Guide (AirWatchとSymantec MPKI の統合ガイド) – Symantec のMPKIサービスと

の統合を行う方法を説明します。

l AirWatch Certificate Authentication for EAS with SEG and TMG (SEGとTMGを使用したEASのためのAirWatch証明書認

証 ) – TMGからEASへのサーバーと、TMGからSEGを経由したEASへのサーバーの2つの構成について説明し、証明書認証

をセットアップするために必要な構成を定義します。

214ページの他の文書を入手するから、次の文書を参照することもできます。

l AirWatch Securing Mobile Devices with Certificates (AirWatch-証明書を使用したモバイルデバイスの保護 ) – モバイル環境

で、デジタル証明書が社内のコンテンツのセキュリティ保護手段以上の役割を果たしていることがわかります。

l AirWatch Selecting Microsoft CA Deployment Models Overview (AirWatch-Microsoft CA展開モデルを選択する–概要 ) – さま

ざまなMicrosoft CA 展開モデルの概要を説明し、貴社にとって最適な展開モデルの選択をサポートします。

第 14章 :証明書の管理

202



https://resources.air-watch.com/view/83w2y945m5p37zjshp6t/en

https://resources.air-watch.com/view/8yx7fm65s6vv3nprn4yh/en

第 15章:カスタム属性

カスタム属性の概要 204

カスタム属性を作成する 204

カスタム属性のインポート 205

カスタム属性を使用して組織グループを割り当てる 206

203



カスタム属性の概要

カスタム属性により、管理者は、管理デバイスから特定の値を抽出してAirWatchコンソールに値を返すことができま

す。属性値をデバイスに割り当て、プロダクトプロビジョニングで、またはデバイス参照値として使用することもできます。

これらの属性により、プロダクトプロビジョニングを使用してプロダクトを作成する際に、ルールジェネレータを活用できる

ようになります。

注 :カスタム属性 (とルールジェネレータ)は、カスタマーレベルの組織グループでのみ構成/使用可能です。

カスタム属性データベース

カスタム属性は、デバイス上にXMLファイルとして保管されるか、あるいはAirWatchコンソールサーバ上のカスタム属性

データベースに保管されます。データベース使用時には、キーと値のペアのアセット追跡のためにカスタム属性が

AirWatchにサンプルとして定期的に送信されます。デバイスデータベースのレコードの｢Create Attribute (属性を作成)｣が｢TRUE｣と構成されているときは、｢名前｣と｢値｣はAirWatch Agentにより自動的に取得され、カスタム属性サンプル

とともに送信されます。キーと値のペアはデバイス詳細画面の｢カスタム属性｣タブに表示されます。

カスタム属性を作成する

カスタム属性を作成し、値をデバイスにプッシュします。属性と値を関連付けます。詳細は、204ページのカスタム属性

を作成するを参照してください。

カスタム属性をインポートする

カスタム属性のバッチインポート機能を使用し、カスタム属性と対応する値をシステムに一括で読み込むことができま

す。提供されているテンプレートでは、各カラムが1つの属性に対応し、各行がカスタム属性の異なるパラメータに対応

します。詳細は、205ページのカスタム属性のインポートを参照してください。

プラットフォーム固有のカスタム属性のプロビジョニング

XMLプロビジョニングを使用してカスタム属性をデバイスにプッシュできます。XMLプロビジョニングは、高度なプロダクトプ

ロビジョニング機能と併用できます。XMLデータをプッシュする方法は、デバイスプラットフォームごとに異なります。

カスタム属性を作成する

カスタム属性を作成し、値をデバイスにプッシュします。これらの属性と値は、プロダクト規則がどのように作用し、どのよ

うにして一部デバイスに対し参照値として機能するかを制御します。

1. デバイス> カスタム属性 > 代理セットアップとプロビジョニング> リスト表示と進みます。

2. 追加をクリックし、属性を追加を選択します。

3. 設定タブで、属性名を入力します。

4. この属性が何を識別するためのものなのか、説明を入力します (任意)。

5. 属性を収集するアプリケーション名を入力します。

第 15章 :カスタム属性

204



6. ルールジェネレータのドロップダウンメニューから属性値が利用できるようにするには、ルールジェネレータのための値

を収集するを選択します。

7. 属性をルールジェネレータで使用するには、ルールジェネレータで使用を選択します。

8. 管理者またはAPI呼び出しが明示的にカスタム属性の削除を行わない限り、AirWatchコンソールから削除を行え

ないようにするには、維持するを選択します。選択しない場合は、属性は通常通り削除することができます。

デバイスからAirWatchコンソールにレポートされたカスタム属性を削除した場合、｢維持する｣を選択したカスタム

属性はAirWatchコンソールに残ります。

カスタム属性を維持する機能は、AndroidとWindows耐久性デバイスのみで利用できます。

9. カスタム属性をAirWatchコンソールの任意の場所で参照値として使用するには、参照値として使用を選択しま

す。

例えば、デバイスの名称設定を簡単にするために、カスタム属性をデバイスフレンドリ名の一部として使用すること

ができます。

10. 値タブを選択します。

11. 値を追加を選択してカスタム属性に値を追加し、保存を選択します。

カスタム属性のインポート

カスタム属性のバッチインポート機能を使用し、カスタム属性と対応する値をシステムに一括で読み込むことができま

す。提供されているテンプレートでは、各カラムが1つの属性に対応し、各行がカスタム属性の異なるパラメータに対応

します。

これらのテンプレートを使用し、異なる方法で、異なる情報を含むカスタム属性をインポートすることができます。

注意 :各テンプレートの先頭カラムのシンタックスは、正確に複製する必要があります。適切なシンタックスを使用し

ないと、データベースのエラーを引き起こし、データが失われる可能性があります。

テンプレートタイプ

l カスタム属性テンプレート–カスタム属性とその設定を定義します。

l カスタム属性値テンプレート–事前定義されたカスタム属性値を定義します。

l デバイスカスタム属性値 –クロスリファレンス(Xref)に基づき、個別のデバイスの事前定義されたカスタム属性値を

定義します。Xref値は、各カスタム属性の値を受け取る個別のデバイスを決定します。

o 1 –デバイスID (デバイス加入時にAirWatchによって割り当てられたデバイスID)

o 2 –シリアル番号


205



o 3 – UDID

o 4 –MACアドレス

o 5 – IMEI番号

ファイルをインポートする前に、CSV形式で保存します。

カスタム属性を使用して組織グループを割り当てる

加入後のデバイスをどのように組織グループに割り当てるかを制御するルールを構成します。作成できるのは、管理す

る各組織グループごとに1つのカスタム属性のみです。

以下の手順に従って、割り当てルールを作成します。

1. グループと設定 > すべての設定 > デバイスとユーザー > 全般 > 高度な設定と進みます。

2. デバイス割り当てルールを有効化するの有効を選択します。

3. タイプからカスタム属性による組織グループを選択します。


5. カスタム属性をまだ作成していない場合は、デバイス> 代理セットアップとプロビジョニング> カスタム属性 > リスト表

示 > 追加 > 属性を追加すると進み、カスタム属性を作成します。詳細は、204ページのカスタム属性を作成する


6. デバイス> 代理セットアップとプロビジョニング> カスタム属性 > カスタム属性割り当てルール > ルールを追加すると

進みます。

7. ルールによるデバイスの割り当て先の組織グループを選択します。

8. ルールを追加するを選択して、ルールのロジックを構成します。

設定説明

属性/アプリケーショ

ン

これは、対応する値をもったカスタム属性で、デバイス割り当てを決定します。

オペレータこのオペレータは、デバイスがプロダクトの要件を満たすか確認するために属性と値を比

較します。

ルール内で1つ以上のオペレータを使用する場合は、各オペレータの間に必ずロジカルオ

ペレータを入れてください。

付加価値これはカスタム属性の値です。ルールに関して選択された属性が当てはまる、全デバイス

のすべての値がここに一覧表示されます。

論理演算子を追

加する

AND、OR、NOTのような論理演算子のドロップダウンメニューを表示します。これらを使用し

てより複雑なルールを作成することができます。

9. ルールのロジックを構成し、保存を選択します。

割り当てられた属性を持つデバイスが加入すると、ルールにより、デバイスが構成された組織グループに割り当てられま

す。


206



第 16章:セルフサービスポータル

セルフサービスポータル概要 208

SSPの既定のログイン画面を構成する 208

SSPのマイデバイス画面 208

SSPのリモート操作 210

セルフサービスポータルから利用できる操作一覧 212

VMware Content Lockerオプション 213

207



セルフサービスポータル概要

AirWatchセルフサービスポータル(SSP)は、リモートでのデバイスのモニタリングと管理を可能にするオンラインツールで

す。デバイス管理において発生する｢見えないコスト｣の削減に貢献します。デバイスユーザーに、基本的なデバイス

管理タスクの実行、問題の調査、および問題の解決に関する権限を与え、その手順を指示することで、貴社のヘルプ

デスクのチケット数を低減し、サポート担当者の負荷を軽減できます。

セルフサービスポータルにデバイスからアクセスする

エンドユーザーは、ワークステーションやデバイスから、https://<AirWatch環境>/MyDeviceに移動して、セルフサービス

ポータル(SSP)にアクセスすることができます。エンドユーザーがWebクリップまたはブックマークをサポートするデバイスを

使用している場合は、管理者は、SSPに直接アクセスできるよう、ショートカットを提供することができます。

セルフサービスポータル (SSP)のカスタマイズ

最大でブランディング設定を構成することにより、既定のログイン画面の背景を変更できます。

グループと設定 > すべての設定 > システム > ブランディングと進み、セルフサービスポータルログインページの背景で

アップロードボタンを選択します。カスタム背景画像を選択します。推奨サイズは 1024x768ピクセルです。

SSPの既定のログイン画面を構成する

貴社のニーズとユーザーのニーズに応じて、セルフサービスポータルに表示される既定の認証方法を設定することができ

ます。

注 :この設定にはオンプレミスでご利用のお客様のグローバルレベルからのみアクセスできます。

この設定を構成するにはグループと設定 > すべての設定 > インストール > 高度な設定 > その他と進み、SSP 認証タイ

プを以下のように設定します。

l Eメール–自動検出機能がセットアップされている場合、ユーザーにEメールアドレスのみを入力するようプロンプトが


l レガシ–ユーザーにグループIDと資格情報 (ユーザー名/パスワード)を入力するようプロンプトが表示されます。

l 専用 –ユーザーには資格情報 (ユーザー名/パスワード)のみを入力するようプロンプトが表示されます。このオプショ

ンは、単一のカスタマー環境でグループIDが1つしかない場合の既定のオプションです。

SSPのマイデバイス画面

セルフサービスポータルのマイデバイスページから、デバイスの詳細情報にアクセスしたり、多様な操作を実行したりす


閲覧可能なタブと実行可能な操作は、デバイスプラットフォームにより異なる場合があります。該当する｢VMwareAirWatch プラットフォームガイド｣を参照してください。この文書はAirWatch Resourcesで入手できます。

第 16章 :セルフサービスポータル

208



SSPの言語を選択する

セルフサービスポータルは、ブラウザの既定言語を使用して表示するように設定されています。ログイン画面の言語を

選択ドロップダウンメニューで既定設定を上書きすることもできます。

SSPにログインする

エンドユーザーは、AirWatchに加入する際に使用したものと同一の資格情報 (グループ ID、ユーザー名、パスワード)を使用してログインします。ランダムに生成されるキャプチャコードを入力するよう求められる場合もあります。

SSPのパスワードを変更する

アカウント画面を使用して、AirWatchアカウントに関連付けられているパスワードを変更します。このパスワードは、デ

バイスの加入およびSSPへのログインに使用されます。

セルフサービスポータル画面の右上にあるアカウントボタンを選択して、パスワードを変更します。ユーザーアカウント

画面で、現在のパスワード項目の横に表示される変更ボタンを選択します。

SSPでデバイスを選択する

SSPにログインすると、アカウントに関連付けられたすべてのデバイスがマイデバイス画面に表示されます。個々の加

入デバイスは、セルフサービスポータル画面上部の各タブに表示されます。閲覧/管理したいデバイスを表示している


デバイス状態は、タブのデバイス名の下に表示されます。デバイス状態には、検出済み、加入済み、加入保留中、

加入解除、そして企業情報ワイプ保留中があります。

デバイスをSSPに追加する

セルフサービスポータルから直接デバイスを追加することができます。

1. マイデバイス画面のデバイスを追加を選択します。

2. 必須項目欄に入力します。フレンドリ名、プラットフォーム、デバイス所有形態、メッセージタイプおよびEメールアド

レスを入力します。

3. 保存をクリックして新しいデバイスをSSPアカウントに追加します。

注 :新しく追加されたデバイスの状態は、完全に加入が行われるまで｢加入保留中｣と設定されます。

SSPでのデバイス情報

ユーザーがSSPにログインすると、主要なデバイスがメインビューアに表示されます。メインの画面には、加入日、最終

検出日、デバイス状態といった基本情報が表示されます。

詳細に進むボタンを選択すると、選択したユーザーアカウントの下に選択したデバイスの関連情報を含むタブが表示

されます。


209



l 概要 –順守、プロファイル、アプリ、コンテンツ、フレンドリ名、アセット番号、UDID番号、Wi-Fi MACアドレスの概要

情報を表示します。

o デバイスのフレンドリ名は、概要タブの画面でフレンドリ名欄の右側にある編集アイコン()を選択して直接編

集することができます。

注 :デバイスの概要のユーザー役割リソースにより、SSPの概要タブで表示される項目が変わります。デバイス

アプリ、デバイス順守またはデバイスプロファイルなどで無効に設定されたリソースの影響で、ユーザーの画面

から一部の情報が非表示になっている場合は、対応する概要タブ上の対応する情報も通常は非表示にな

ります。

ユーザー役割と管理者役割のリソースを制限する方法の詳細は、「ユーザー役割」と「管理者役割」を参照し

てください。

l 順守 –デバイスに適用された順守ポリシーの名前とレベルを含む、デバイスの順守状態に関する情報を表示しま

す。

l プロファイル–ユーザーアカウントの加入デバイスに送信されたすべてのMDMプロファイルを表示します (自動プロ

ファイルを含む)。このタブには各プロファイルの状態も表示されます。

l アプリ–選択したデバイスにインストールされているすべてのアプリケーションを表示し、アプリケーションの基本情報

を提供します。

SSPのリモート操作

AirWatchは、管理者に、管理デバイスに対して実行できるいくつかのリモート操作とオプションを提供しています。他

方、個人所有のデバイスを使用している従業員も、類似の管理ツールにアクセスし、同様の管理を自分で行いたいと

思うかもしれません。AirWatch SSPは、そのような従業員に対し、いくつかの主要なMDMツールを提供します。IT管理

者の対応は不要です。この機能を有効にすると、エンドユーザーはWebブラウザでSSPを開いて、重要なMDMサ

ポートツールにアクセスできます。情報表示機能や SSPからのリモート操作実行機能を有効または無効に設定するこ

ともできます。

選択したデバイスを使用してSSP内で利用可能な操作は、プラットフォームや操作権限により異なります。操作権限

は、貴社管理者により定義されます。実行できる操作は、メインのアクセス画面上で基本操作と高度な操作に分

けられています。

操作の権限は、貴社の管理者によって決定されますので、記述されている操作のすべてが実行できるとは限りませ

ん。該当する｢VMware AirWatch プラットフォームガイド｣を参照してください。この文書はAirWatch Resourcesで入手

できます。

SSPの基本リモート操作

基本リモート操作は、セルフサービスポータルでデバイスを選択すると、基本操作の内部タブに表示されます。利用で

きる操作は、加入状態、デバイスプラットフォーム、操作権限によって異なります。


210



操作説明

パスコード

を変更

選択したデバイスに新しいパスコードを設定します。

SSO パス

コード消

去

選択したデバイスのシングルサインオンパスコードを消去し、新しいパスコード設定のプロンプトを表示し

ます。この機能は、デバイスのパスコードを忘れてしまい、デバイスをロック解除できないときに便利です。

パスコード

を消去

選択したデバイスのパスコードを消去し、新しいパスコード設定のプロンプトを表示します。この機能は、

デバイスのパスコードを忘れてしまい、デバイスをロック解除できないときに便利です。

デバイス

削除

デバイスをセルフサービスポータルから削除します。

登録削除保留状態の加入レコードをセルフサービスポータルから削除します。

デバイス

クエリ

AirWatchサーバに総合的なMDM情報を送信するよう、デバイスに要求します。

デバイス

ワイプ

選択したデバイスから、すべてのデータ、Eメール、プロファイル、MDM機能を含むすべての情報を消去

し、デバイスを工場出荷状態に戻します。

Agent をダ

ウンロード

する

AirWatch AgentをSSPを閲覧するデバイスにダウンロードしインストールします。

企業情報

ワイプ

選択したデバイスからすべての企業データを削除し、デバイスをAirWatch MDMから削除します。MDMプロファイル、ポリシー、内部アプリを含むすべての企業データがデバイスから削除されます。デバイスは、

AirWatch MDMがインストールされる前の状態に戻ります。

デバイスの

位置を確

認

GPS機能をアクティブ化して紛失/盗難デバイスを探します。プライバシー設定により制限されている場

合は、この操作は表示されません。

デバイス/画面ロック

選択したデバイスをロックすることで、承認されていないユーザーによるアクセスをブロックできます。これ

は、デバイスが紛失や盗難にあった場合に役立つ機能です。エンドユーザーはGPS機能を使用してデ

バイスを探すこともできます。

SSO ロックデバイスのアプリのシングルサインオンパスコードをロックします。次にSSOアプリを開く際に、パスコードを

要求するプロンプトを表示します。

音を出すリモートで呼び出し音を鳴らすことで、デバイスを見つけやすくします。

加入メッ

セージを

再送信す

る

最初に加入した際に送信したSMS、QRコード、またはＥメールのコピーを、登録しようとしているデバイス

に再送信します。

メッセージ

を送信

Eメール/SMS/プッシュ通知形式のメッセージをデバイスに送信します。

ローミング

設定

このデバイスのローミング設定を行います。


211



操作説明

デバイスを

同期

デバイスに最新の企業ポリシー、コンテンツとアプリを提供します。

加入メッ

セージを

表示する

加入後最初に送信されるメッセージを含む実際のEメール、SMS、またはQRコードを表示します。

注 :登録と加入操作は、選択したデバイスの加入状態が保留の場合のみ SSPに表示されます。

SSPの高度なリモート操作

高度なリモート操作は、セルフサービスポータルでデバイスを選択すると、高度な操作の内部タブに表示されます。利

用できる操作は、加入状態、デバイスプラットフォーム、操作権限によって異なります。

操作説明

アプリトークン生成セキュアなアプリケーションへのアクセスに使用するトークンを生成します。

Eメールの管理 Eメールアカウントに接続されたデバイスを管理します。

利用規約確認このアカウントの過去の利用規約を確認します。

トークン取り消し選択したアプリケーションのトークンを取り消します。

S/MIME 証明書アップロード企業 Eメールアカウント用のS/MIME証明書をアップロードします。

セルフサービスポータルから利用できる操作一覧

以下の表は、様々な主要プラットフォームでサポートされるSSPの基本的な操作と高度な操作の一覧です。

操作 Android iOSWin

電話番号MacOS

WinMobile

Win 7Win

デスクトップ

基本操作

パスコードを変更 ✓

(SSO)パスコード消去 ✓ ✓ ✓ ✓

デバイス削除 ✓ ✓ ✓ ✓ ✓ ✓ ✓

登録削除 ✓ ✓ ✓ ✓ ✓

デバイスクエリ ✓ ✓ ✓ ✓ ✓

デバイスワイプ ✓ ✓ ✓ ✓ ✓

Agentをダウンロードする ✓ ✓

企業情報ワイプ ✓ ✓ ✓ ✓ ✓ ✓ ✓

デバイスの位置を確認 ✓ ✓ ✓ ✓

デバイス/画面ロック ✓ ✓ ✓ ✓ ✓


212



操作 Android iOSWin

電話番号MacOS

WinMobile

Win 7Win

デスクトップ

SSOロック ✓ ✓

音を出す ✓

加入メッセージを再送信する ✓ ✓ ✓ ✓ ✓

メッセージを送信 ✓ ✓ ✓ ✓ ✓ ✓ ✓

ローミング設定 ✓

デバイスを同期 ✓ ✓

加入メッセージを表示する ✓ ✓ ✓ ✓ ✓

高度な操作

アプリトークン生成 ✓ ✓ ✓ ✓ ✓ ✓ ✓

Eメールの管理 ✓ ✓ ✓

利用規約確認 ✓ ✓ ✓ ✓ ✓ ✓ ✓

トークン取り消し ✓ ✓ ✓ ✓ ✓ ✓ ✓

S/MIME 証明書アップロード ✓ ✓ ✓ ✓ ✓ ✓ ✓

VMware Content Lockerオプション

AirWatchには、組織のコンテンツ管理に役立つエンドユーザー向けの3つの機能が用意されています。AirWatchコン

ソールでコンテンツに対して設定できる豊富な構成や管理のオプションに加え、これらのユーザー向け機能の動作も構

成することができます。

l VMware Content Locker –エンドユーザーは、ファイルのセキュリティを維持したまま、重要なコンテンツにデバイスか

らアクセスできます。VMware Content Lockerを通してアクセスするコンテンツは、このアプリケーション内で開封される

ので、承認がない限り、コピー、保存、共有できません。

l Content Locker Sync –エンドユーザーは、コンピュータ上の共有フォルダにファイルを追加することにより、そのファイ

ルを個人コンテンツリポジトリと同期できます。この機能により、エンドユーザーは、モバイルデバイス上のVMwareContent Lockerアプリケーションやセルフサービスポータルからこれらのファイルにアクセスできるようになります。

注 :これらの機能のダウンロード、インストールおよび使用は、ユーザー依存のアクションです。VMware ContentLockerのダウンロード方法や使用方法に関するエンドユーザー用の説明、およびVMware Content Locker Syncのインストール方法と使用方法に関する説明は、該当するプラットフォームの｢VMware Content Locker エンドユー

ザーガイド｣を参照してください。また、｢Content Apps for Desktop End User Guide｣も参照してください。この文書

は、https://resources.air-watch.com/view/jshgwzqd2fdcby73ryhf/enで入手できます。

これらのガイドはAirWatch Resourcesで入手することができます。

上述の機能の詳細は、貴社のAirWatch管理者にお問い合わせください。


213



https://resources.air-watch.com/view/jshgwzqd2fdcby73ryhf/en

他の文書を入手するこのガイドには含まれていない文書が追加資料として挙げられている場合があります。

特定の文書を最も迅速かつ簡単に探す方法は、https://my.air-watch.com/help/9.2/en/Content/Release_Notes/Doc_List_PDFs.htmにアクセスし、必要な文書を検索することです。各リリース固有の文書には、AirWatchResourcesにあるPDFコピーへのリンクが掲載されています。

myAirWatchのAirWatch Resources (resources.air-watch.com)にアクセスし、文書を検索することもできます。Resourcesで文書を検索するときは、AirWatchの文書を検索するように注意します。フィルタを使用し、PDFファイルタイプと

AirWatch 9.2で並べ替えることができます。

他の文書を入手する

214



https://my.air-watch.com/help/9.2/en/Content/Release_Notes/Doc_List_PDFs.htm

https://my.air-watch.com/help/9.2/en/Content/Release_Notes/Doc_List_PDFs.htm