vmware workspace one uem€¦ · apple ibeacon の概要 74 ios デバイス用に ibeacon...

iOS デバイスの管理

VMware Workspace ONE UEM

最新の技術ドキュメントは、 VMware の Web サイト（https://docs.vmware.com/jp/）

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

ヴイエムウェア株式会社105-0013　東京都港区浜松町 1-30-5浜松町スクエア 13Fwww.vmware.com/jp

Copyright ©

2020 VMware, Inc. All rights reserved. 著作権および商標情報。


VMware, Inc. 2

https://docs.vmware.com/jp/

http://pubs.vmware.com/copyright-trademark.html

目次

1 iOS デバイスの管理の概要 7iOS 管理作業における前提条件 7

2 iOS デバイス加入の概要 8iOS デバイスを加入させるための要件 10

iOS デバイスにおける加入タイプ別の利用可能な機能一覧 10

Workspace ONE Intelligent Hub を使用した iOS デバイスの加入処理 12

Safari ブラウザを使用した iOS デバイスの加入処理 13

Apple Configurator を使用した iOS デバイスの一括加入 14

Apple Business Manager のデバイス登録プログラム (DEP) を使用したデバイス加入 15

ユーザー加入 15

ユーザー加入を使用して iOS デバイスを加入させる 16

ユーザー加入デバイスでのアプリ管理 17

3 デバイスプロファイル 18デバイスパスコードプロファイル 20

デバイスパスコードプロファイルを構成する 21

デバイス制限プロファイル 22

制限事項プロファイルの構成 22

デバイス制限事項プロファイルを構成する 27

Wi-Fi プロファイルを構成する 28

仮想プライベートネットワーク (VPN) プロファイルを構成する 29

Forcepoint コンテンツフィルタプロファイルを構成する 31

Blue Coat コンテンツフィルタプロファイルを構成する 32

オンデマンド VPN プロファイルを構成する 33

アプリベースの VPN プロファイルを構成する 35

アプリベースプロファイルを使用するようパブリックアプリを構成する 36

アプリベースプロファイルを使用するよう社内アプリを構成する 36

E メールアカウントプロファイルを構成する 36

iOS デバイスの Exchange ActiveSync (EAS) メール 38

ネイティブメールクライアントの EAS メールプロファイルの構成 38

通知プロファイルを構成する 40

LDAP 設定プロファイルを構成する 41

CalDAV または CardDAV プロファイルを構成する 41

定期配信カレンダープロファイルを構成する 42

Web クリッププロファイルを構成する 42

SCEP/資格情報プロファイルを構成する 43

グローバル HTTP プロキシプロファイルを構成する 44

VMware, Inc. 3

シングルアプリモードプロファイルを構成する 45

シングルアプリモードで実行されているデバイスを再起動する 46

iOS デバイスのシングルアプリモードを終了する 46

デバイス管理者がデバイス上でシングルアプリモードを終了できるようにする 47

Web コンテンツフィルタプロファイルを構成する 47

ビルトイン：ウェブサイトを許可 48

ビルトイン：ウェブサイトをブロック 48

プラグイン 48

管理ドメインプロファイルを構成する 49

ネットワーク使用量規則プロファイルを構成する 50

macOS サーバアカウントプロファイルを構成する 51

シングルサインオンプロファイルを構成する 51

SSO 拡張機能プロファイルを構成する 53

AirPlay ホワイトリストプロファイルを構成する 54

AirPrint プロファイルを構成する 56

AirPrint プリンタ情報の取得 56

セルラー設定プロファイルを構成する 57

ホーム画面レイアウトプロファイルを構成する (iOS の監視モード) 57

ロック画面メッセージプロファイルを作成する 58

Google アカウントサポートプロファイルを構成する (iOS) 58

カスタム設定プロファイルを構成する 59

4 順守ポリシー 62

5 iOS のアプリ 63iOS 向け Workspace ONE Intelligent Hub 63

iOS デバイスの Workspace ONE Intelligent Hub 設定を構成する 65

iOS 向け Workspace ONE Intelligent Hub Mobile Application 66

VMware Workspace ONE Content 67

VMware Workspace ONE Web 67

VMware Workspace ONE Boxer 67

iOS 向け AirWatch Container 68

シングルサインオンパスコードをアプリケーションレベルで適用する 68

Apple Configurator の概要 69

署名付きの Apple Configurator プロファイルを UEM Console にアップロードする 69

6 iOS デバイスの構成 71Apple の業種別テンプレート 71

Apple の業種別テンプレートを作成する 73

Apple の業種別テンプレートのアプリケーションリストを編集する 74

Apple の業種別テンプレートを削除する 75


VMware, Inc. 4

Apple iBeacon の概要 75

iOS デバイス用に iBeacon を有効にする 76

iBeacon グループをデバイスプロファイルに割り当てる 77

iBeacon グループに順守ポリシーを追加する 77

アクティベーションロックの概要 77

iOS デバイスのアクティベーションロックを有効にする 78

アクティベーションロックの状態を表示する 78

iOS デバイスのアクティベーションロックを解除する 79

iOS デバイス用に AirPlay を要求する 81

リモート表示 82

リモート表示で UEM Console を構成する 83

エンドユーザーデバイスの構成 83

リモート表示セッションを開始する 84

iOS デバイスの管理設定を構成する 85

既定のローミングの設定を上書きする (iOS) 85

既定の壁紙を設定する 86

既定の組織情報を設定する 86

iOS デバイスにフォントをインストールする 86

iOS アプリケーションに対する Cisco QoS のマーキング 87

7 Apple プッシュ通知サービス (APNs) 88Apple プッシュ通知サービスのワークフロー 89

8 デバイス管理 90デバイスダッシュボード 90

デバイスリスト表示 91

iOS デバイスでのデバイス詳細画面の使用 94

デバイス管理のためのカスタムコマンドを構成して展開する 100

OS 更新の管理 100

iOS 更新管理の前提条件 101

使用可能な iOS 更新の表示 101

iOS 更新の割り当てと公開 102

iOS 更新の一時停止と一時停止解除 103

iOS 更新の割り当ての監視 104

個々のデバイスでの iOS 更新の管理 104

iOS 更新の延期 105

監視対象の iOS デバイスのデバイス名を設定する 106

AppleCare GSX 106

AppleCare GSX を統合するための Apple 証明書を取得する 107

UEM コンソールで AppleCare GSX を構成する 107


VMware, Inc. 5

9 共有デバイス 109共有デバイスの階層を定義する 110

共有デバイスを構成する 111

共有 iOS デバイスのログイン/ログアウト 113

10 iOS 機能マトリックス: 監視対象と非監視対象 115


VMware, Inc. 6

iOS デバイスの管理の概要 1Workspace ONE UEM powered by AirWatch は、iOS デバイスの展開時にデバイス加入、セキュリティ保

護、構成、および管理を行うための、堅牢なモビリティ管理ソリューションです。

Workspace ONE UEM Console を通じて、以下のことができます。

n 企業所有デバイスおよび従業員デバイスのライフサイクル全体を管理する

n エンドユーザーがさまざまなタスクを自分で実行できるようにする (例: セルフサービスポータル (SSP) での

加入プロセス)

n 社内の特定のグループおよび従業員にプロファイルを適用し、デバイスの順守状態とセキュリティを維持する

n 既存の企業アプリケーションと Workspace ONE UEM ソフトウェア開発キット (SDK) を組み合わせて使

用し、アプリケーションの機能を強化する

n レポート作成ツール、および検索とカスタマイズが可能なダッシュボードを使用し、デバイス全体の継続的なメ

ンテナンスと管理を行う

サポートする iOS デバイス

Workspace ONE UEM でサポートされているデバイスは、iOS 5.0 以降を搭載している iPhone、iPad、および

iPod Touch です。Workspace ONE UEM と iOS の一部の機能には、新しいバージョンのソフトウェアが必要

です。これらの追加要件は、該当する場合、ドキュメンテーションに記載されています。

この章には、次のトピックが含まれています。

n iOS 管理作業における前提条件

iOS 管理作業における前提条件

作業の多くを実行するには、次の情報が必要です。管理作業を行う前にこれらのものを用意してください。

n [UEM console] – UEM console に管理者権限でアクセスできる必要があります。これにより、プロファイル

とポリシーを作成することや、Workspace ONE UEM 環境内のデバイスを管理することができます。

n [資格情報] – このユーザー名とパスワードを使用することによって、UEM コンソール環境にアクセスできます。

資格情報は、ネットワークディレクトリサービスの資格情報と同じ場合も、UEM コンソールで一意に定義され

ている場合もあります。

n [Apple プッシュ通知サービス (APNs) 証明書] – この証明書は組織に対して発行されるものであり、Apple のクラウドメッセージングサービスの利用を許可するものです。

VMware, Inc. 7

iOS デバイス加入の概要 2組織の展開に配置されている各デバイスが Workspace ONE UEM と通信して組織内のコンテンツと機能にアク

セスするには、モバイルデバイス管理 (MDM) を使用して、組織の環境に加入する必要があります。iOS デバイス

は、ネイティブ OS に組み込まれている MDM 機能を使用して加入を行います。

加入要件

iOS デバイスを加入させるには、管理者またはエンドユーザーが特定の情報を収集する必要があります。エンドユー

ザーが必要とする情報は、管理者が自動検出を行うために E メールドメインを貴社環境に関連付けているかどうか

によって異なります。

貴社の E メールドメインを AirWatch 環境に関連付けるには、エンドユーザーが E メールアドレスと資格情報を

入力する (場合によってはリストからグループ ID を選択する) 必要があります。これらはエンドユーザーにとって

既知の情報なので、簡単に加入を行うことができます。

加入の際に E メールドメインを設定しない場合は、加入の URL とグループ ID も入力を要求されます。これらは、

管理者がエンドユーザーに提供します。

加入要件の詳細については、iOS デバイスを加入させるための要件を参照してください。

1 台のデバイスの加入

加入したデバイスに対して実行できるデバイス管理機能は、選択した加入タイプによって異なります。Workspace ONE UEM では、Hub ベースの加入方法と Agent なしの加入方法のそれぞれにおいて利用可能な機能を示したマ

トリックスが用意されています。貴社のニーズを満たす加入方法を選ぶ際に、このマトリックスをお役立てください。

Hub ベースの加入とブラウザベースの加入の比較マトリックスについては、iOS デバイスにおける加入タイプ別の

利用可能な機能一覧を参照してください。

Hub ベースの加入

Workspace ONE Intelligent Hub アプリを使用した Hub ベースの加入処理を実行すると、iOS デバイスと

Workspace ONE UEM 環境の間の接続が確立されます。Workspace ONE Intelligent Hub アプリケーショ

ンを使用することで加入プロセスを簡素化することができます。また、デバイスをリアルタイムで管理したりデバイ

ス情報にアクセスしたりすることもできます。Hub ベースの加入は、ユーザーが使用可能な Apple ID を持ってい

る場合に適しています。この場合、ユーザーは App Store から Workspace ONE Intelligent Hub をダウンロ

ードします。

VMware, Inc. 8

ハブベースの加入の詳細については iOS 向け Workspace ONE Intelligent Hub および Workspace ONE Intelligent Hub を使用した iOS デバイスの加入処理を参照してください。

ブラウザベースの加入

iOS デバイスに搭載されている Safari ブラウザを使用することにより、ウェブベースの加入プロセスを実行してデ

バイスを加入させることもできます。ユーザーが Apple ID を持っていないために Workspace ONE Intelligent Hub をダウンロードできない場合は、この加入方法が最適です。

ブラウザベースの加入の詳細については、Safari ブラウザを使用した iOS デバイスの加入処理を参照してくださ

い。

デバイスの一括加入

展開タイプとデバイスの所有権モデルに応じて、デバイスを一括加入することができます。Workspace ONE UEM は、Apple Configurator 2 および Apple Business Manager のデバイス登録プログラム (DEP) を使用

した一括加入機能を備えています。

Apple Configurator 2 による一括加入

Workspace ONE UEM では、Apple Configurator 2 独自のセットアップ機能を業務に活かすことができます。

たとえば、iOS のバージョン管理機能やバックアップを完全に防止する機能などです。macOS コンピュータ上で

Apple Configurator 2 を使用して、USB 接続を通じてデバイスの一括加入処理を実行することができます。

Apple Configurator を使用した一括加入の詳細については、Apple Configurator を使用した iOS デバイスの

一括加入を参照してください。

Apple デバイス登録プログラム (DEP) による一括加入

Apple デバイス登録プログラム (DEP) による一括加入を展開すると、削除不可能な MDM プロファイルをデバイ

スにインストールできます。エンドユーザーは、このプロファイルをデバイスから削除することはできません。また、

デバイスを監視モードでプロビジョニングして、追加のセキュリティ設定および構成設定にアクセスできます。

Apple Business Manager を使用した加入の詳細については、Apple Business Manager のデバイス登録プロ

グラム (DEP) を使用したデバイス加入を参照してください。


n iOS デバイスを加入させるための要件

n iOS デバイスにおける加入タイプ別の利用可能な機能一覧

n Workspace ONE Intelligent Hub を使用した iOS デバイスの加入処理

n Safari ブラウザを使用した iOS デバイスの加入処理

n Apple Configurator を使用した iOS デバイスの一括加入

n Apple Business Manager のデバイス登録プログラム (DEP) を使用したデバイス加入


VMware, Inc. 9

n ユーザー加入

iOS デバイスを加入させるための要件

iOS デバイスを加入させるには、貴社または貴社のエンドユーザーは特定の情報が必要になります。この情報は、自

動検出の一部として環境に E メールドメインを関連付けるかどうかに依存しています。

Eメールドメインが貴社環境に関連付けられている場合に必要な情報

n [E メールアドレス] – 貴社に関連付けられている E メールアドレス。例: [email protected]

n [QR コード] – エンドユーザーは、UEM コンソールで生成され E メールで送信された QR コードをスキャン

できます。

n [Apple ID] – Hub ベースの加入処理を行うユーザーごとに必要です。

E メールドメインが貴社環境に関連付けられていない場合

E メールドメインが貴社環境に関連付けられていない場合、エンドユーザーは E メールアドレスを入力するよう要

求されます。また、自動検出機能が無効になっているので、さらに次の情報を入力するよう要求されます。

n [加入 URL] – この URL は貴社の加入環境に一意に割り当てられます。エンドユーザーはこの URL をクリッ

クして、加入画面を直接開くことができます。例：[https://<環境名>] - [.com/enroll].

n [グループ ID] – グループ ID は、エンドユーザーのデバイスを企業内役割と関連付けるものです。グループ ID は、UEM Console で、特定の組織グループに対応するように定義されます。カーソルを組織グループのドロッ

プダウンメニューに置いて、現在のグループのグループ ID を確認することができます。

n [Apple ID] – Hub ベースの加入処理を行うユーザーごとに必要です。

iOS デバイスにおける加入タイプ別の利用可能な機能一覧

次のマトリックスは、Hub ベースの加入方法と Agent なしの加入方法のそれぞれにおいて利用可能な機能を示した

ものです。貴社のニーズを満たす加入方法を選ぶ際に、このマトリックスをお役立てください。

機能 Hub ベース AirWatch Agent を使用しない加入方法

加入

Apple ID 必須オプション

利用規約の承諾が必要はいはい

Active Directory/LDAP/SAML との統合はいはい

二要素認証はいはい

個人所有デバイスの持ち込み (BYOD) はいはい

デバイスの代理セットアップはい⁰ はい

ブランディング部分的に可能はい

構成プロファイルの管理

プロファイルの表示および管理はいはい


VMware, Inc. 10


セキュリティ設定 (例: データ暗号化、パスワードポリシー) はいはい

デバイス制限事項はいはい

証明書の管理はいはい

E メールと Exchange ActiveSync 管理はいはい

デバイス情報

デバイス情報 (例: モデル、シリアル番号、IMEI 番号) はいはい

GPS 追跡はいいいえ

電話番号はいはい

メモリ情報はいはい

バッテリ情報はいはい

UDID はいはい

侵害状態およびジェイルブレイクの検出はいはい†

アクティベーションロックの状態はいはい

"iPhone を探す" 機能の状態はいはい

iCloud バックアップの状態はいはい

最終バックアップ日時はいはい

ネットワーク情報

セルラー情報 (例: MCC/MNC、SIM カード情報) はいはい

テレコムローミング情報はいはい

テレコム使用量情報はいはい†

IP アドレスの取得はいはい†

Bluetooth 接続時の MAC アドレスはいはい

Wi-Fi 接続時の MAC アドレスはいはい

管理コマンド

フルデバイスワイプはいはい

企業情報ワイプはいはい

デバイスロックはいはい

パスコードを消去はいはい

E メールメッセージングはいはい

SMS メッセージングはいはい

APNs プッシュメッセージングはいはい†

リモート表示はいいいえ

デバイス名の設定はいはい

制限事項パスコードの消去はいはい

アプリケーション管理


VMware, Inc. 11


アプリケーションの表示および管理はいはい

Volume Purchase Program (VPP) はいはい

アプリケーションリストはいはい

アプリのアップデートがリリースされていることを示すバッジの表示はいはい†

コンテンツ管理

コンテンツ管理はい* はい*

⁰ エンドユーザーは、初回同期時に購入情報を転送する必要があります。

† Workspace ONE UEM SDK が埋め込まれたアプリがデバイス上に存在している必要があります。

* iTunes から VMware Content Locker アプリをダウンロードし、インストールする必要があります。

Workspace ONE Intelligent Hub を使用した iOS デバイスの加入処理

Hub ベースの加入プロセスを実行すると、iOS デバイスと Workspace ONE UEM 環境の間の接続がセキュリテ

ィ保護されます。Workspace ONE Intelligent Hub アプリケーションを使用することで加入プロセスを簡素化

することができます。また、デバイスをリアルタイムで管理したりデバイス情報にアクセスしたりすることもできま

す。

Workspace ONE Intelligent Hub のすべての機能を使用し、それと同時に Web 経由の加入プロセスも許可した

い場合には、ユーザーに Workspace ONE Intelligent Hub 経由で加入することを許可できます。この設定では、

Workspace ONE Intelligent Hub をダウンロードしていないエンドユーザーは加入できません。

[グループと設定] - [すべての設定] - [デバイスとユーザー] - [全般] - [加入] - [認証] の順に進み、[iOS の Hub の加入を必須とする] を選択します。

Workspace ONE Intelligent Hub を使用して iOS デバイスを加入させるには、以下の手順を実行します。

手順

1 Safari ブラウザで [getwsone.com] を開きます。Workspace ONE UEM により、エンドユーザーは

App Store にアクセスして Workspace ONE Intelligent Hub アプリケーションをダウンロードするよう

に自動的に促されます。ダウンロードプロンプトに従います。iTunes Store から Workspace ONE Intelligent Hub をダウンロードするには、Apple ID が必要です。

2 Workspace ONE Intelligent Hub アプリケーションを選択し、次のいずれかの認証方法を選択します。

a [E メールアドレス] – 貴社の環境で自動検出機能が構成されている場合、この認証方法を選択します。ドロ

ップダウンメニューからグループを選択するよう要求されることもあります。

b [サーバ詳細] – サーバ URL を使用して加入を行う場合はこれを選択します。このサーバ URL は、貴社の

Workspace ONE UEM およびデバイスに関連付けられているグループのグループ ID が存在するネット

ワーク上の場所です。

c [QR コード] – [E メール] タブまたは [サポート] タブを通じて受信した QR コードをデバイスでスキャン

して使用する場合はこれを選択します。


VMware, Inc. 12

3 資格情報を入力し、デバイスを認証させます。資格情報は、[ユーザー名] と [パスワード] の組み合わせ、[トー

クン]、ユーザー名/パスワードとトークンの組み合わせ、のいずれかです。

a 資格情報を誤って入力すると、CAPTCHA コードが表示されます。表示されている CAPTCHA コードを

入力し、認証を完了させます。

4 管理者によって決められた次のプロセスフローを実行します。各ページでの設定が完了したら、[次へ] を選択し

ます。

a 必要に応じて、[デバイス所有形態] タイプを選択します。

b 必要に応じて、社内 [利用規約] に同意します。

c 必要に応じて、デバイス [アセット番号] を入力します。

5 プライバシー収集情報を確認したら、[次へ] を選択します。

6 Safari webview にリダイレクトされると、MDM プロファイルをダウンロードするよう求められます。次のメ

ッセージが表示されます。

この Web サイトは構成ファイルをダウンロードしようとしています。これを許可しますか?

7 [許可] をタップし、ダウンロードが完了したら [閉じる] をタップします。

a iOS デバイス 12.2 以降の場合は、[続行] をタップして Hub を開き、画面の指示に従って MDM プロファ

イルをインストールし、MDM 警告メッセージが表示されたら、[インストール] を選択します。

b iOS 12.2 より前のデバイスの場合、MDM プロファイルのインストールを要求された場合、インストール

します。MDM 警告メッセージが表示されるので、[インストール] を選択します。

8 [許可] を選択して、MDM プロファイルをダウンロードします。

9 MDM プロファイルをインストールします。必要に応じて、信頼に関するプロンプトを受け入れます。

10 MDM プロファイルがインストールされたら、Hub に戻ります。

11 [完了] をタップし、加入を完了させます。成功したことを示すメッセージが表示されます。これで、

Workspace ONE UEM への加入が完了しました。

a プロンプトが表示された場合、共有デバイス用の [パスコード] をセットアップするか、または共有デバイス

用の資格情報を追加で入力します。セルフサービスポータルにログインし、手順に従ってパスコードをセッ

トアップします。

b [開く] を選択すると、Workspace ONE Intelligent Hub の詳細が表示されます（オプション）。

Safari ブラウザを使用した iOS デバイスの加入処理

iOS デバイスに搭載されている Safari ブラウザを使用することにより、ウェブベースの加入プロセスを実行してデ

バイスを加入させることができます。ユーザーが Apple ID を持っていないために Workspace ONE Intelligent Hub をダウンロードできない場合は、この加入方法が最適です。

Web ベースの加入プロセスを使用して iOS デバイスを加入させるには、以下の手順を実行します。

手順

1 iOS デバイス上で Safari ブラウザを開きます。


VMware, Inc. 13

2 [https://<Environment_URL>.com/enroll] を開きます。

3 （環境に自動検出が設定されている場合）[グループ ID] または [メールアドレス] を選択して、iOS デバイスを

加入させます。[次へ] を選択します。

4 資格情報を入力し、デバイスを認証させます。資格情報は、[ユーザー名] と [パスワード] の組み合わせ、[トー

クン]、ユーザー名/パスワードとトークンの組み合わせ、のいずれかです。

a 資格情報を誤って入力すると、CAPTCHA コードが表示されます。表示されている CAPTCHA コードを

入力し、認証を完了させます。

5 管理者によって決められた次のプロセスフローを実行します。各ページでの設定が完了したら、[次へ] を選択し

ます。

a 必要に応じて、[デバイス所有形態] タイプを選択します。

b 必要に応じて、デバイス [アセット番号] を入力します。

c 必要に応じて、組織の [利用規約] に同意します。

6 プロンプトが表示されたら、MDM プロファイルをダウンロードします。次のメッセージが表示されます。

この Web サイトは構成ファイルをダウンロードしようとしています。許可しますか?

7 [許可] をタップし、ダウンロードが完了したら [閉じる] をタップします。

プロファイルのインストールが正常に完了しました。[設定] でプロファイルを確認して、インストールを続行で

きます。

8 MDM プロファイルをダウンロードし、インストールします。必要に応じて、信頼に関するプロンプトを受け入

れます。

n iOS 12.2 より前のデバイスの場合、MDM プロファイルのインストールを要求された場合、インストール

します。MDM 警告メッセージが表示されるので、[インストール] を選択します。

n iOS 12.2 以降のデバイスの場合は、画面の指示に従って、MDM プロファイルをインストールし、MDM 警告メッセージが表示されたら、[インストール] を選択します。

注： Web ベースの加入では、Workspace ONE Intelligent Hub を使用せずに、エージェントなしの加入

を実行することもできます。エージェントなしの加入を実行するには、[グループと設定] - [すべての設定] - [デバイスとユーザー] - [全般] に進み、[iOS の Hub の加入を必須とする] チェックボックスにチェックが入って

いないことを確認します。

Apple Configurator を使用した iOS デバイスの一括加入

macOS コンピュータ上で Apple Configurator を使用してデバイスの一括加入処理を実行し、iOS デバイスを構

成し展開することができます。Apple Configurator と Workspace ONE UEM を組み合わせて使用した場合、

デバイス管理における可視性を維持し、バックアップ防止を徹底的に実施し、初期構成だけでなくライフサイクル全

体を管理することができます。

Apple Configurator を使用して以下を行うことができます。

n 一元管理された一つのバックアップ｢イメージ｣を準備し、すべてのデバイスをまったく同じように構成する


VMware, Inc. 14

n 構成の一環として Workspace ONE UEM MDM をインストールし、デバイスを加入/管理する

n Apple Configurator でデバイスを加入する前に、UEM コンソール上で登録済みデバイス詳細情報 (シリアル

番号、IMEI など) をユーザーの登録済みデバイスに追加し、デバイスを特定のユーザーに割り当てる

n Workspace ONE UEM でワイヤレス接続を使用して企業デバイスの設定とアプリを構成/更新する

Apple Configurator と Workspace ONE UEM を組み合わせて使用するための手順または詳細情報は、

「[VMware Workspace ONE UEM][ Integration with Apple Configurator]」ドキュメント。

Apple Business Manager のデバイス登録プログラム (DEP) を使用したデバイス加入

Device Enrollment Program (DEP) は、モバイルデバイス管理 (MDM) に加入済みの Apple デバイスのメリ

ットを最大化します。

DEP により、次の操作を実行できます。

n 削除不可能な MDM プロファイルをデバイスにインストールできます。このプロファイルは、エンドユーザー

が削除することはできません。

n デバイスを監視モードでプロビジョニングします（iOS のみ）。監視モードのデバイスでは、追加のセキュリテ

ィ設定および構成設定にアクセスできます。

n すべてのエンドユーザーに対して加入を強制できます。

n 加入プロセスをカスタマイズして効率化することにより、貴社のニーズに合わせることができます。

n DEP プロファイルの生成時に、ユーザーが各自の Apple ID を使用してサインインできないようにすることで、

iCloud バックアップを禁止できます。

n すべてのエンドユーザーに iOS の更新を強制できます。

詳細は、次のトピックを参照してください:

n Introduction to Apple Business Manager の「Apple Business Manager - Device Enrollment Program」。

n Apple の Business Support Portal。

n Apple の『Device Enrollment Program Guide』を参照するか、Apple の担当者にお問い合わせください。

ユーザー加入

ユーザー加入は、iOS 13 以降のデバイス向けの新しい加入方法で、ユーザーのプライバシーと個人データを保護し

ながら、設定、アプリケーション、および企業データを効果的に管理できます。ユーザー加入を使用すると、デバイ

ス全体ではなく、デバイス上の管理対象ユーザーコンテナのみを対象として、アプリケーションのインストール、プ

ロファイルの構成、およびコマンドの発行を行うことができるようになります。


VMware, Inc. 15

https://www.apple.com/support/business/dep/

https://www.apple.com/business/site/docs/Apple_Business_Manager_Getting_Started_Guide.pdf

ユーザー加入は、MDM を通じて実現されます。この MDM によって、管理対象 Apple ID というユーザーコンテ

キストが、加入時にデバイスにインストールされる MDM プロファイルで提供されます。このユーザーコンテキス

トは、MDM プロファイルをインストールするために、管理対象 Apple ID の資格情報をユーザーに求めるようにデ

バイスに指示します。加入後、管理対象データのための特定の Apple File System (APFS) ボリュームが作成され

ます。管理対象ボリュームから個人ボリューム内のデータにはアクセスできず、ユーザーデータのプライバシーが保

たれます。

データの新しい管理対象ボリュームが作成されるため、プライバシーの目的から使用できない既存の管理機能がいく

つかあります。たとえば、ユーザーが App Store からアプリを手動でインストールした場合、そのアプリは個人用

とみなされ、MDM では管理できません。ユーザーがインストールしたこのようなアプリを管理するには、いったん

そのアプリをアンインストールしてから、Workspace ONE UEM で再インストールする必要があります。

この理由から、Workspace ONE では、Intelligent Hub アプリを使用したユーザー加入を許可していません。

Intelligent Hub がすでにユーザーによってインストールされている場合は、Hub をアンインストールしてから、

MDM を通じて再インストールします。これによって、他の Workspace ONE SDK 対応アプリからこのアプリの

データにアクセスできるようになります。

ユーザー加入設定

iOS デバイスのユーザー加入オプションを有効にするには、Workspace ONE UEM Console の加入設定ページ

（[グループと設定] - [すべての設定] - [デバイスとユーザー] - [全般] - [加入]）にアクセスします。オプションを有

効にすると、サポートされている iOS 13 以降のデバイスを、Apple のユーザー加入方法を使用して組織グループに

加入させることができるようになります。ユーザー加入では、デバイスが加入するのがいずれのユーザーかを識別す

るために、加入ユーザー名ではなく、ユーザーの管理対象 Apple ID が使用されます。管理対象 Apple ID は、

Workspace ONE UEM でのユーザーのメールアドレスに一致する必要があります。

ユーザー加入を使用して iOS デバイスを加入させる

Azure AD と連携した Apple Business Manager の管理対象 Apple ID を使用して、iOS 13 以降のデバイスを

加入させます。ユーザー加入デバイスでは、管理対象データを個人データから分離し、その一方でアプリのインスト

ール、Wi-Fi の構成、パスコードの要求など、中核となる管理機能も引き続き提供することで、ユーザーのプライバ

シー重視を強化できます。

iOS デバイスを加入させるには、次の手順を実行します。

前提条件

ユーザー加入の前に、次の前提条件を備えていることを確認してください。

n Azure AD と連携した Apple Business Manager

n Azure AD

n iOS 13 以降の監視対象外デバイス

n Apple Business Manager の管理対象 Apple ID と一致するメールアドレスを持つ加入ユーザー (1 人の

み)。


VMware, Inc. 16

手順

1 iOS 13 以降のデバイスで Safari ブラウザを開き、貴社環境のユーザー加入 URL に移動します。この URL は、

デバイスサービスホスト名に /enroll/user パスを追加したものです。

例:

https://ds22.awmdm.com/enroll/user

2 管理対象 Apple ID と一致する、加入ユーザーのメールアドレスを入力します。

必要に応じて、加入ユーザーの組織グループまたはその配下のサブ組織グループのグループ ID を入力します。

入力しない場合、ユーザーの加入組織グループが使用されます。

3 ユーザー加入 MDM プロファイルのダウンロードを確認します。

4 アプリの [設定] に移動し、[{Your Company} に加入] をタップします。

5 認証プロンプトおよび条件付きアクセスプロンプトについて、表示されるプロンプトを順にタップして Azure AD にリダイレクトします。

プロンプトのタイプと数は、Azure AD の構成、ユーザーの種類、デバイス、または組織によって決まります。

結果

これで、ユーザー加入が完了しました。デバイスが UEM Console からのコマンドを受信し始めます。

ユーザー加入デバイスでのアプリ管理

Workspace ONE UEM によってユーザー加入デバイスにインストールされたアプリケーションは管理され、管理

対象 Apple ID に関連付けられます。管理対象 Apple ID は、デバイスの加入に使用されます。ユーザーが App Store を通じてインストールしたあらゆるアプリケーションは、ユーザーの個人用の Apple ID に関連付けられ、管

理できません。

ユーザー加入では、管理アプリケーションを管理対象 Apple ID に関連付ける必要があるので、Apple Business Manager で購入したユーザーベースライセンスを使用した管理対象の配布のみがサポートされています。たとえ

ば、UEM console の[リソース] - [アプリ]ページの [パブリック] タブを通じて割り当てられたアプリケーション

は、ユーザー加入デバイスではサポートされません。デバイス加入と比較して、ユーザー加入でのユーザーベースライセンスの管理には違いはありません。ユーザー加入デバイスにアプリケーションが割り当てられると、デバイスに

関連付けられている管理対象 Apple ID に VPP ライセンスが割り当てられ、アプリがインストールされます。

詳細については、『Integration with Apple Business Manager』ガイドの「Managed Distribution by Apple IDs」セクションを参照してください。


VMware, Inc. 17

デバイスプロファイル 3プロファイルはデバイス管理の主要な手段です。プロファイルを構成し、iOS デバイスのセキュリティを保護しつ

つ、貴社の設定を適用することができます。プロファイルを順守ポリシーと組み合わせて使用することで、企業の規

則や手順を施行する設定機能として、活用することができます。プロファイルには設定、構成やデバイス上で強制し

たい制限事項が含まれます。

プロファイルは、全般プロファイル設定と具体的なペイロードで構成されます。プロファイルが最適に機能するのは、

単一のペイロードのみが含まれている場合です。

iOS プロファイルは、ユーザーレベルまたはデバイスレベルでデバイスに適用されます。iOS プロファイルを作成

する際に、プロファイルを適用するレベルを選択します。プロファイルによっては、ユーザーレベルまたはデバイス

レベルのいずれかでのみ適用できるものもあります。

プロファイルの監視モードの要件

一部またはすべての iOS デバイスを [監視モード] で展開することができます。監視モードは、管理者に高度な管理

機能と制限機能を提供する、デバイスレベルの設定です。

プロファイル設定のなかには、監視モードのデバイスのみで利用できるものもあります。監視モードでのみ利用でき

る設定にはタグが付けられ、右側に必要な iOS の最小要件を示すアイコンが表示されます。

たとえば、エンドユーザーが AirDrop を使用して他の macOS コンピュータおよび iOS デバイスとファイルを共

有できないようにするには、[AirDrop を許可] の横にあるチェックボックスをオフにします。[iOS 7 + 監視対象] アイコンは、Apple Configurator を使用して監視モードに設定されている iOS 7 デバイスのみが、この制限の影

響を受けることを示します。詳細については、[Integration with Apple Configurator] または [Apple Business Manager] で入手できます。iOS のシステム要件および監視モード設定オプションについては、「10 章

iOS 機能マトリックス: 監視対象と非監視対象」を参照してください。

デバイスへのアクセス

デバイスプロファイルには、iOS デバイスへのアクセス設定を構成するものがあります。このようなプロファイルを

使用することで、デバイスへのアクセスを承認されたユーザーのみに限定できます。

VMware, Inc. 18

たとえば次のようなことが可能です。

n パスコードプロファイルでデバイスを保護できます。詳細は、「デバイスパスコードプロファイルを構成する」

を参照してください。

n シングルアプリモードプロファイルで、単一のアプリケーションのみにデバイスを制限できます。詳細は、「シ

ングルアプリモードプロファイルを構成する」を参照してください。

デバイスセキュリティ

デバイスプロファイルで iOS デバイスのセキュリティを確保できます。iOS のネイティブなセキュリティ機能を構

成するプロファイルもあれば、Workspace ONE UEM を通じてデバイス上に企業のセキュリティ設定を構成する

プロファイルもあります。

デバイスセキュリティプロファイルの例には、次のようなものがあります。

n ネットワークの資格情報をユーザーに送信せずに、加入済みのデバイスを企業の Wi-Fi に接続させるには、Wi-Fi プロファイルを使用します。詳細は、「Wi-Fi プロファイルを構成する」を参照してください。

n 企業アセットをより強固に保護するには、電子証明書を導入します。詳細は、「SCEP/資格情報プロファイルを

構成する」を参照してください。

n デバイスから社内リソースにアクセスできるようにするには、VPN プロファイルを使用します。詳細は、「仮想

プライベートネットワーク (VPN) プロファイルを構成する」を参照してください。

デバイスの構成

構成プロファイルを使用して、iOS デバイスのさまざまな設定を構成できます。このようなプロファイルを使用すれ

ば、企業のニーズに合わせてデバイス設定を構成できます。

デバイスの構成プロファイルの例には、次のようなものがあります。

n Exchange ActiveSync プロファイルを使用して、デバイスで Exchange アカウントをセットアップできま

す。詳細は、「ネイティブメールクライアントの EAS メールプロファイルの構成」を参照してください。

n AirPlay プロファイルを使用して、特定のデバイスセットをホワイトリスト設定することにより、Apple TV ブロードキャスト権限を配信することができます。詳細は、「AirPlay ホワイトリストプロファイルを構成する」


n iOS 更新プロファイルを使用して、デバイスを最新の状態に維持することができます。詳細は、「OS 更新の管

理」を参照してください。


n デバイスパスコードプロファイル

n デバイス制限プロファイル

n Wi-Fi プロファイルを構成する

n 仮想プライベートネットワーク (VPN) プロファイルを構成する

n Forcepoint コンテンツフィルタプロファイルを構成する


VMware, Inc. 19

n Blue Coat コンテンツフィルタプロファイルを構成する

n オンデマンド VPN プロファイルを構成する

n アプリベースの VPN プロファイルを構成する

n E メールアカウントプロファイルを構成する

n iOS デバイスの Exchange ActiveSync (EAS) メール

n 通知プロファイルを構成する

n LDAP 設定プロファイルを構成する

n CalDAV または CardDAV プロファイルを構成する

n 定期配信カレンダープロファイルを構成する

n Web クリッププロファイルを構成する

n SCEP/資格情報プロファイルを構成する

n グローバル HTTP プロキシプロファイルを構成する

n シングルアプリモードプロファイルを構成する

n Web コンテンツフィルタプロファイルを構成する

n 管理ドメインプロファイルを構成する

n ネットワーク使用量規則プロファイルを構成する

n macOS サーバアカウントプロファイルを構成する

n シングルサインオンプロファイルを構成する

n SSO 拡張機能プロファイルを構成する

n AirPlay ホワイトリストプロファイルを構成する

n AirPrint プロファイルを構成する

n セルラー設定プロファイルを構成する

n ホーム画面レイアウトプロファイルを構成する (iOS の監視モード)

n ロック画面メッセージプロファイルを作成する

n Google アカウントサポートプロファイルを構成する (iOS)

n カスタム設定プロファイルを構成する

デバイスパスコードプロファイル

デバイスパスコードプロファイルは、iOS デバイスおよびコンテンツをセキュリティ保護します。ユーザーのニー

ズに応じてセキュリティのレベルを構成します。


VMware, Inc. 20

重要な任務を行う社員には厳格なオプションを設定し、他のデバイスや BYOD プログラムを利用している社員には

より柔軟なオプションを設定します。さらに、iOS デバイスでパスコードが設定されている場合は、デバイスのハー

ドウェア暗号化が提供され、[[デバイス詳細]] ページの [[セキュリティ]] タブに [[データ保護されています]] デバイ

スインジケータも作成されます。

パスコードを作成して、以下の項目を構成します。

n [複雑度] – 簡単な値を使用すると、素早くアクセスできますが、英数字のパスコードを使用すると、セキュリテ

ィを強化できます。パスコードで使用する特殊文字（@、#、&、!、?）の最小文字数を指定することもできま

す。たとえば、機密性の高いコンテンツにアクセスするユーザーには、より厳格なパスコードを使用するよう要

求します。

n [試行失敗回数の上限] – 指定した試行回数を超えた場合にデバイスをワイプまたはロックすることで、不正なア

クセスを防止します。このオプションは、企業の所有するデバイスには適していますが、BYOD プログラムに

おける従業員所有デバイスには不適です。たとえば、デバイスでパスコードの試行回数が 5 回に制限されている

場合に、ユーザーが連続して 5 回誤ったパスコードを入力すると、フルデバイスワイプが自動的に実行されて

しまいます。デバイスをロックするだけの方が好ましい場合は、このオプションを [なし] に設定します。この場

合、パスコードの再試行を無限に行えるようになります。

n [パスコードの有効期間] – 指定した間隔で、パスコードの更新を強制します。パスコードを頻繁に変更すること

で、不正アクセスに対する脆弱性を低減できます。

n [自動ロック (分)] – 一定時間経過後、デバイスを自動的にロックします。ロック機能により、エンドユーザーが

不用意に電話を放置してしまった場合でも、デバイス上のコンテンツが侵害されないようにすることができます。

デバイスパスコードプロファイルを構成する

デバイスパスコードプロファイルは、iOS デバイスおよびコンテンツをセキュリティ保護します。貴社のユーザー

のニーズに応じ、複数の設定をパスコードペイロードとして構成し、デバイスにパスコードポリシーを適用します。

手順

1 [リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進みます。[Apple iOS] を選択

します。

2 プロファイルの [全般] 設定を構成します。

3 リストから [パスコード] ペイロードを選択します。

4 [パスコード] 設定を構成します。

設定説明

デバイスにパスコードを必須とするパスコードによる保護を必須にします。

単純な値を許可エンドユーザーが単純な数字のパスコードを使用することを許可します。

英数字を必須とするエンドユーザーがスペースや英数字以外の文字をパスコードで使用できないように制限しま

す。

最小パスコード長さパスコードで最低限必要な文字数を選択します。

特殊文字の最小文字数パスコードに必要な特殊文字 (#、$、!、@) の最小文字数を指定します。

パスコードの有効期間 (日) パスコードを使用できる最大日数を選択します。


VMware, Inc. 21

設定説明

自動ロック (分) デバイスを操作しない時間がどれだけ続いたら自動的に画面をロックするかを指定します。

パスコード履歴履歴に保存されるパスコードの数を指定します。保存されているパスコードをエンドユーザー

が繰り返して使用することはできません。

デバイスロックの猶予期間 (分) システムによってデバイスがロックされ、エンドユーザーによるパスコードの再入力が必要に

なるまでの時間を分単位で指定します。

試行失敗回数の上限許容される試行回数の上限を指定します。パスコードの入力をこの回数失敗すると、デバイス

が工場出荷状態にリセットされます。

5 [保存して公開] を選択します。

デバイス制限プロファイル

[制限事項プロファイル]を適用した場合、従業員による iOS デバイスの使用方法を制限し、iOS デバイスのネイティ

ブ機能をロックダウンして、データ漏洩防止対策を講じることができます。

[制限事項] プロファイル画面では、一部の制限事項オプションの右にアイコンが表示されています。このアイコン

は、その制限事項を適用する際の最小 iOS バージョンを意味します。たとえば、[AirDrop を許可] チェックボック

スの右には [iOS 7 + Supervised] アイコンが表示されています。これは、監視モードの iOS 7 以降が実行されて

いるデバイスのみにこの制限事項が適用されるということを意味します。なお、iOS 7 を監視モードに設定するに

は、署名付きの Apple Configurator プロファイルを UEM Console にアップロードするまたは Apple 社の

Apple Business Manager のデバイス登録プログラム (DEP) を使用したデバイス加入を使用します。

次に説明する手順では、適用可能な制限事項の一部を例として挙げています。各制限事項を適用できる iOS のバージ

ョンおよび各制限事項の適用時にデバイスを監視モードにする必要があるかどうかについては、｢10 章 iOS 機能マト

リックス: 監視対象と非監視対象｣を参照してください。

制限事項プロファイルの構成

制限事項プロファイルをカスタマイズすることにより、エンドユーザーが利用できるアプリケーション、ハードウェ

ア、および機能を制限できます。これらの制限事項を使用することにより、生産性を向上させること、エンドユーザ

ーとデバイスを保護すること、および個人用データと業務用データを分離することができます。

制限事項プロファイルを作成するには、「デバイス制限事項プロファイルを構成する」を参照してください。

次の制限事項は代表的なものであり、すべての制限事項が網羅されているわけではありません。

OS の制限

OS レベルでソフトウェアの延期を制限します。これにより、指定された日数の間、エンドユーザーから iOS 更新を

非表示にすることができます。


VMware, Inc. 22

設定説明

アップデートを延

期 (日数)このオプションを有効にし、ソフトウェアの更新を延期する日数を指定します。日数は 1 ～ 90 日の範囲です。（iOS 11.3 以降、

監視モードデバイス）日数は、ソフトウェアの更新がリリースされてからの期間です。プロファイルをインストールしてからの

期間ではありません。

デバイス機能に関する制限事項

デバイスレベルの制限事項を適用した場合、デバイスの中核機能（例：カメラ、FaceTime、Siri、アプリ内課金）

を無効化できるので、生産性向上とセキュリティ強化につながります。

n エンドユーザーがデバイスの Bluetooth 設定を修正できないようにする。（iOS 10 以降）

n デバイス画面をキャプチャできないようにする。この制限事項を適用した場合、デバイス上の業務コンテンツが

保護されます。

n デバイスがロックされているときに Siri の使用を無効にする。これにより、パスコードを入力しない限り、E メ

ール機能、電話機能、およびメモ機能を利用できません（iOS 7 以降）。

既定では、デバイスがロックされているときでも、[ホーム] ボタンを長押しすることで Siri を使用できます。つ

まり権限のないユーザーでも、自分の物でないデバイス上で、機密情報へのアクセスや、さまざまな処理の実行

が可能です。社内で厳格なセキュリティ要件を定めている場合、"デバイスがロックされているときでも Siri の使用を無効にする" [制限事項]プロファイルを展開することを、検討してください。

n ローミング時の自動同期処理を禁止する。この制限事項を適用した場合、データ通信料金を削減できます。

n Touch ID によってデバイスがロック解除されることを禁止する（iOS 7 以降）。

n エンドユーザーがデバイスで個人のホットスポット設定を変更できないように制限する（iOS 12.2 以降、監視

モード）。プロファイルでこの制限が有効または無効になっているかどうかにかかわらず、PersonalHotspot 管理設定コマンドを使用して、パーソナルホットスポット設定を無効にすることができます。

n Siri サーバでエンドユーザーのログ要求を制限する。この制限が無効になっていると、Siri は、エンドユーザ

ーのログデータをサーバに記録しません。

n UEM console（iOS 10.3 以降）で [Wi-Fi を強制的にオンにする] を有効にすることで、機内モードをオンま

たはオフに切り替える場合でも、エンドユーザーがデバイスの設定または制御センターで Wi-Fi を切り替えら

れないように制限します。

n [ネットワークドライブアクセスの申請] を無効にして、ユーザーがファイルアプリ（iOS 10.3 以降）でネッ

トワークドライブに接続することを制限します。

iOS 8 で適用可能な、主なデバイス制限事項

n Handoff を無効にする。Handoff を利用した場合、目的のアプリケーションを共有し、あるデバイス上で行っ

ていたやりかけの作業を別のデバイス上で引き継ぐことができます。

n Spotlight でのインターネット検索結果を無効にする。この制限事項を適用した場合、エンドユーザーが

Spotlight を使用して検索したときに、ヒットした Web サイトが表示されません（iOS 8 以降、監視モード）。

n 構成された制限事項設定を無効にする。この制限事項を適用した場合、管理者は、デバイスの｢設定｣メニュー

でエンドユーザーが構成した制限事項を無効にできます（iOS 8 以降、監視モード）。


VMware, Inc. 23

n エンドユーザーがデバイス上のすべてのコンテンツと設定を消去できないようにする。この制限事項により、ユ

ーザーはデバイスのワイプや加入解除ができません（iOS 8 以降、監視モード）。

n 管理対象アプリケーションを iCloud にバックアップすることにより、ローカルにデータを保存する機能を無効

にする。

n Enterprise Books を iCloud にバックアップする機能を無効にする。

n Enterprise Books 内のメモおよびハイライトを iCloud と同期できないようにする。

n Touch ID 情報を追加/削除する機能を無効にする（iOS 8.1.3 以降、監視モード）。

n ポッドキャストを無効にする。この制限事項を適用した場合、エンドユーザーは Apple のポッドキャストアプ

リケーションを使用できません（監視モードのみ）。

iOS 9 で適用可能な、主なデバイス制限事項

n パスコードの編集を無効にする。この制限事項を適用した場合、エンドユーザーはデバイスのパスコードを追

加、変更、および削除できません（監視モードのみ）。

n App Store を非表示にする。この制限事項を適用した場合、App Store が無効化され、App Store アイコン

がホーム画面から削除されます。エンドユーザーは、MDM を使用することにより、引き続きアプリケーション

をインストールまたは更新できます。この場合、アプリケーションの制御はすべて管理者が行います（監視モー

ドのみ）。

n アプリケーションの自動ダウンロードを無効にする。この制限事項を適用した場合、エンドユーザーは、他のデ

バイスで購入したアプリケーションを自動同期できません。この制限事項は、既存のアプリケーションの更新処

理には影響を及ぼしません（監視モードのみ）。

n デバイス名の変更を無効にする。この制限事項を適用した場合、エンドユーザーはデバイス名を変更できません。

共有デバイスおよび代理セットアップされたデバイスを展開する場合、この制限事項を適用することを検討して

ください。

n 壁紙の変更を無効にする。この制限事項を適用した場合、ユーザーはデバイスの壁紙を変更できません（監視モ

ードのみ）。

n AirDrop を管理対象外のドロップ先として設定する。この制限事項を適用した場合、エンドユーザーは、管理

対象アプリケーションから AirDrop に企業データまたは添付ファイルを送信できません。また、この制限事項

を適用する場合、Apple の "管理アプリで開く" 機能に対する制限事項も適用する必要があります。

n キーボードショートカットを無効にする。この制限事項を適用した場合、ユーザーはキーボードショートカッ

トを作成および使用できません（監視モードのみ）。

n News を無効にする。この制限事項を適用した場合、エンドユーザーは Apple の News アプリケーションを

使用できません（監視モードのみ）。

n iCloud フォトライブラリを無効にする。この制限事項を適用した場合、エンドユーザーは、ライブラリから完

全にダウンロードされていない写真をローカル環境に保存できません。

n 外部のエンタープライズアプリの信頼を無効にする。この制限事項を適用した場合、エンドユーザーは、信頼さ

れていない企業によって署名された管理対象外アプリケーションをインストールできません。管理対象である内

製の企業アプリケーションは、暗黙的に信頼されます。


VMware, Inc. 24

n 画面キャプチャを禁止することによってビデオ録画を無効にする。この制限事項を適用した場合、エンドユーザ

ーはデバイス画面をキャプチャできません。

n Music サービスを無効にし、Music アプリのインストールを制限します（iOS 8.3.3 以降、監視モードのみ）。

iOS 9.3 で適用可能な、主なデバイス制限事項

n iTunes Radio を無効にする。この制限事項を適用した場合、エンドユーザーは iTunes Radio アプリケーシ

ョンをインストールできません。Apple Music が制限されていない場合、iTunes Radio サービスは Apple Music アプリケーションに表示されます（監視モードのみ）。

watchOS で適用可能な、主な制限事項

n Apple Watch のペアリングを無効にする。この制限事項を適用した場合、現在ペアリングされている Apple Watch がペアリング解除され、Apple Watch 上のデータが消去されます（iOS 9 以降の監視モードのみ）。

n 手首検出機能を強制的に有効にする。この制限事項を適用した場合、装着されていない状態の Apple Watch はロックされます。

アプリケーションレベルの制限事項

アプリケーションレベルの制限事項を適用した場合、特定のアプリケーション (例: YouTube、iTunes、Safari) やその機能の一部を無効化し、社内ポリシーを順守させることができます。適用可能な制限事項は次のとおりです

n オートフィルを無効にする。この制限事項を適用した場合、一部のフォーム上で機密情報が自動的に表示されて

しまうという問題を回避できます。

n 不正行為アラートの強制実行を有効にする。この制限事項を適用した場合、エンドユーザーが Safari を使用し

て、フィッシングの疑いがある Web サイトにアクセスしたとき、警告が表示されます。

n Safari での Cookie 受け入れを制御する。管理者は、Cookie を一切受け入れないように Safari を設定するこ

とや、特定のサイトの Cookie を受け入れないように Safari を設定することができます。

n Game Center およびマルチプレイヤーゲームサイトへのアクセスを禁止する。この制限事項を適用した場

合、業務中のデバイス使用に関する社内ポリシーを順守させることができます。

n 個々のアプリケーション、ネイティブアプリケーション、およびその他のアプリケーションを、[アプリを表示] または [アプリを非表示にする] セクションに追加して、有効または無効にします。この制限事項を適用すると、

必要に応じて個々のアプリケーションの表示/非表示を切り替えることができます（iOS 9.3 以降、監視モード

のみ）。

n Web クリップをホワイトリストに登録するには、バンドル ID [com.apple.webapp] を [アプリを表

示] テキストボックスに追加します。

iCloud に関する制限事項

iOS 7 以降を搭載しているデバイスの場合、エンドユーザーは、デバイス上のデータを iCloud に保存またはバック

アップすることや、デバイス上のデータを iCloud と同期させることができます。iCloud は Apple が運用している

サーバ群です。iCloud に保存できるデータは、写真、ビデオ、デバイス設定、アプリケーションデータ、メッセー

ジ、ドキュメントなどです。Workspace ONE UEM では、貴社のニーズに応じて iCloud または iCloud 機能を

無効にする制限事項を適用することができます。この機能は、iOS 7 以降を搭載するデバイスで使用できます。


VMware, Inc. 25

Exchange ActiveSync コンテンツ (メール、連絡先、予定表、およびタスク) およびモバイルプロビジョニング

プロファイルは、エンドユーザーの iCloud との間で同期されません。

運用管理におけるニーズ制限事項デバイスへの影響

iCloud 設定の構成の制限 (デバイス機能に関する制限事項)

iCloud にサインインできないようにする、また、

iCloud 設定を構成できないようにする

アカウントの編集を許可

(監視モードのみ)

デバイス設定の｢iCloud｣オプションが無効化される（iOS 7 以降、監視モード）

これにより、その他のアカウント (例: デバイス設定内の E メ

ールアカウント) も編集できなくなります。

iCloud の管理 (iCloud に関するきめ細かい制限事項)

データを iCloud にバックアップできないようにす

る

バックアップを許可 iCloud 設定の｢バックアップ｣オプションが無効化される

(iOS 7 以降)

ドキュメントとデータを iCloud Drive に保存でき

ないようにする

ファイルの同期を許可 iCloud 設定の｢iCloud Drive｣オプションが非表示になる

(iOS 7 以降)

パスワードおよびクレジットカード情報を iCloud に保存できないようにする

キーチェーン同期を許可 iCloud 設定の｢Keychain｣オプションが非表示になる

(iOS 7 以降)

管理対象アプリケーションのドキュメントを

iCloud に保存できないようにする

管理アプリをストアデータ

に許可

管理対象アプリケーションのドキュメントを iCloud Drive に保存する機能が無効化される (iOS 8 以降)

Enterprise Books を iCloud にバックアップで

きないようにする

企業ブックのバックアップを

許可

管理対象 Enterprise Books を iCloud または iTunes を使用してバックアップする機能が無効化される (iOS 8 以降)

Enterprise Books のメモとハイライトを同期さ

せないようにする

企業ブックにメモとハイライ

トマークの同期を許可

iBooks 内で Enterprise Books のメモとハイライトが無

効化される (iOS 8 以降)

写真を iCloud と同期できないようにするフォトストリームを許可、お

よび共有フォトストリーム

を許可

iCloud 設定の｢Photos｣オプションが無効化される (iOS 7 以降)

新しい写真が iCloud デバイスに自動アップロード

および自動送信されないようにする

共有フォトストリームを許

可

iCloud 設定の｢Photos｣の｢My Photo Stream｣が無効

化される (iOS 7 以降)

iCloud へのバックアップが実行されるのは、次の条件がすべて満たされている場合だけです。

n iCloud へのバックアップに関する制限事項が適用されていない。

n デバイス上で [Settings] - [iCloud] - [Backup] の順に選択して、iCloud トグル設定を有効化できます。

n Wi-Fi が有効化されている。

n デバイスが電源に接続されており、かつロックされている。

セキュリティとプライバシーに関する制限事項

セキュリティとプライバシーに関する制限事項では、社内ポリシーに違反するおそれのある処理およびデバイスを侵

害するおそれのある処理を、エンドユーザーに対して禁止します。適用可能な制限事項は次のとおりです

n iOS 11.4.1 以降のデバイスユーザーが、デバイスがロックされているときに USB アクセサリに最初に接続また

は接続を維持するためにパスコードを入力することを許可しません。

n ユーザーに管理外のエンタープライズアプリの信頼を許可しない

n iTunes ストアのパスワード入力の強制を許可しない


VMware, Inc. 26

n 診断データが送信されないようにする。診断データの内容は、位置データおよび使用状況データです。これらの

データは、iOS ソフトウェアの品質向上に役立てる目的で Apple に送信されます。

n エンドユーザーによる信頼できない TLS 証明書の受け入れを防止し、SSL 証明書が無効な Web サイトにアク

セスできないようにします。信頼されていない TLS 証明書を管理者が許可している場合、エンドユーザーに対

して無効な証明書が引き続き通知されますが、エンドユーザーは必要に応じて処理を続行できます。

n ワイヤレス PKI 更新を許可しない

n 暗号化バックアップを義務付ける。この制限事項を適用した場合、個人情報 (例: E メールアカウントのパスワ

ード、連絡先情報) をデバイス上にバックアップまたは保存する際、必ず暗号化されます。

n コンフィギュレータ以外のホストとのペアリングを許可しない

n iOS 10.3 以降のデバイスが未知のネットワークまたは悪意のあるネットワークに接続できないようにします。

この制限事項を適用した場合、デバイスは管理対象の WiFi ネットワークにのみ接続できます。この制限事項を

適用するには、[Force Wi-Fi Whitelisting] を選択します。

メディアコンテンツに関する制限事項

レーティングに基づく制限事項を適用した場合、エンドユーザーは、特定のコンテンツにアクセスできません。レー

ティングは地域ごとに管理されています。適用可能な制限事項は次のとおりです

n 会社所有デバイスから成人向けコンテンツにアクセスできないようにする。この制限事項を適用した場合、社内

ポリシーを順守させることができます。

n 業務時間内に 17 歳以上向けアプリケーションにアクセスできないようにする。

n 会社所有デバイスから、不適切なまたは性的表現が露骨な iBook コンテンツにアクセスできないようにする。

デバイス制限事項プロファイルを構成する

[制限事項プロファイル]を適用した場合、従業員による iOS デバイスの使用方法を制限し、iOS デバイスのネイティ

ブ機能をロックダウンして、データ漏洩防止対策を講じることができます。

手順


します。


3 リストから [制限事項] ペイロードを選択します。1 つの制限事項ペイロードに対して、複数の制限事項を選択す

ることもできます。

4 [制限事項]に関する項目を構成します。制限事項の詳細は、「制限事項プロファイルの構成」を参照してくださ

い。



VMware, Inc. 27

Wi-Fi プロファイルを構成する

Wi-Fi プロファイルを構成し、デバイスから社内ネットワークに接続します。非公開/暗号化/パスワード保護されて

いる場合でも接続できます。このペイロードは、エンドユーザーが出張先で独自のワイヤレスネットワークを使用す

る場合や、オフィス内でデバイスをオンサイトのワイヤレスネットワークに自動的に接続したい場合に便利です。

手順


します。


3 リストで [Wi-Fi] ペイロードを選択します。

4 [Wi-Fi] を構成します。

設定説明

サービスセット識別子 (SSID) デバイスが接続するネットワークの名前を入力します。

非公開のネットワークオープンまたはブロードキャストになっていないネットワークへの接続を入力します。

自動参加デバイスの起動時に自動的にネットワークに接続するかどうかを決定します。デバイスが再起

動されるか、手動で別の接続が選択されない限り、デバイスでアクティブな接続が維持されま

す。

セキュリティタイプ使用するアクセスプロトコルの種類を選択します。[パスワード] を入力するか、Wi-Fi ネッ

トワークに適用する [プロトコル] を選択します。

プロトコルネットワークアクセスのプロトコルを選択します。

n このオプションは、[[WiFi]] と [[セキュリティタイプ]] が [[エンタープライズ]] の選択

肢のいずれかになっている場合に表示されます。このオプションは、[[イーサネット]] が選択されている場合にも表示されます。

Wi-Fi Hotspot 2.0 Wi-Fi Hotspot 2.0 機能を有効にします。この機能は、iOS 7 以降のデバイスでのみ使用で

きます。Hotspot 2.0 は、パブリックアクセス Wi-Fi のタイプの一つで、デバイスが最適

なアクセスポイントをシームレスに特定して接続できるようにします。Hotspot 2.0 が正

常に機能するには、キャリアプランでサポートされている必要があります。

ドメイン名 Passpoint サービスプロバイダのドメイン名を入力します。

ローミングパートナー Passpoint ネットワ

ークへの接続を許可する

パートナーの Passpoint ネットワークへのローミングを可能にします。

表示オペレータ名 Wi-Fi ホットスポットサービスプロバイダの名前を入力します。

ローミングコンソーシアム組織 ID ローミングコンソーシアム組織の識別子を入力します。

ネットワークアクセス ID ネットワークアクセス ID のレルム名を入力します。

MCC/MNC モバイル国番号/モバイルネットワーク構成を、6 桁の数字で入力します。

認証プロトコルごとに異なる[認証]設定を構成します。

ユーザー名アカウントのユーザー名を入力します。

接続時に毎回入力するユーザーパスワード接続中にパスワードを要求し、認証付きで送信します。

パスワード接続用のパスワードを入力します。

ID 証明書認証用の証明書を選択します。


VMware, Inc. 28

設定説明

外部 ID 外部認証の方法を選択します。

TLS 最小バージョン最小の TLS バージョン 1.0、1.1、および 1.2 を選択します。値が選択されていない場合は、

デフォルトの最小の TLS バージョンは 1.0 になります。

注：また最大の TLS バージョンは TLS、TTLS、EAP-Fast、および PEAP プロトコル

タイプに対してのみ構成できます。

TLS 最大バージョン最大の TLS バージョン 1.0、1.1、および 1.2 を選択します。値が選択されていない場合は、

デフォルトの最大の TLS バージョンは 1.2 になります。

信頼された証明書 Wi-Fi ネットワークの信頼されたサーバ証明書です。

信頼されたサーバ証明書名信頼されたサーバ証明書名を入力します。

信頼性に関する例外の許可エンドユーザーが信頼性に関する判断を下すことを許可します。

5 [手動] または [自動] のプロキシタイプについて、[プロキシ] 設定を構成します。

6 Cisco インフラストラクチャを使用している場合、QoS マーキングポリシーを構成します (iOS 11 以降)。

設定説明

Fastlane QoS マーキング必要なマーキング設定を選択します。

QoS マーキングを有効にするこのオプションを有効かした場合、データを優先的に割り当てたいアプリを選択できます。

Apple の通話サービスをホワイトリストに追

加

このオプションを有効にした場合、Apple Wi-Fi Calling が QoS ホワイトリストに追加さ

れます。

マーキングを使用できるよう、アプリをホワイ

トリストに追加

データを優先的に割り当てたいアプリケーションを検索して追加します。

7 （オプション）ポータルをバイパスするには [キャプティブポータル] を構成します。

8 構成完了後、[保存して公開] を選択し、プロファイルをデバイスにプッシュします。

仮想プライベートネットワーク (VPN) プロファイルを構成する

バーチャルプライベートネットワーク (VPN) により、安全で暗号化されたトンネルを使用し、デバイスから社内リ

ソースにアクセスすることができます。VPN プロファイルを作成した場合、各デバイスはオンサイトネットワーク

経由で接続しているかのように機能します。VPN プロファイルを構成することで、エンドユーザーは、E メール、

ファイル、およびコンテンツにシームレスにアクセスできます。

手順


します。


3 [VPN] ペイロードを選択します。


VMware, Inc. 29

4 [接続情報] を構成します。

設定は、選択した [接続タイプ] によって異なる場合があります。Forcepoint または Blue Coat を使用したコ

ンテンツフィルタリングの詳細については、「Forcepoint コンテンツフィルタプロファイルを構成する」お

よび「Blue Coat コンテンツフィルタプロファイルを構成する」を参照してください。

設定説明

接続名デバイス上に表示する接続の名前を入力します。

接続タイプドロップダウンメニューを使用してネットワークの接続方法を選択します。

サーバ接続に使用するサーバのホスト名または IP アドレスを入力します。

アカウント VPN アカウントの名前を入力します。

すべてのトラフィックを送信すべてのトラフィックが指定したネットワークを経由することを強制します。

アイドル状態で切断一定の時間が経過したら、VPN が自動的に切断されるようにします。この値のサポートは、

VPN プロバイダによって異なります。

自動接続 VPN で、次のドメインに自動接続するにはこのオプションを選択します。このオプションは、

[アプリベース VPN 規則] が選択されている場合に表示されます。

n Safari ドメイン

n メールドメイン

n 連絡先ドメイン

n カレンダードメイン

プロバイダタイプ VPN サービスのタイプを選択します。VPN サービスタイプがアプリプロキシの場合、VPN サービスはアプリケーションレベルでトラフィックをトンネリングします。これがパケット

トンネルの場合、VPN サービスは IP レイヤーでトラフィックをトンネリングします。

アプリベース VPN 規則デバイスに対してアプリベース VPN を有効にします。詳細は、｢アプリベースの VPN プロ

ファイルを構成する｣を参照してください。

認証エンドユーザーの認証に使用する方法を選択します。表示される指示に従って、VPN アクセ

スのためのエンドユーザーの認証に使用する [ID 証明書]をアップロードするか、[パスワード] 情報を入力するか、[共有秘密] キーを指定します。

オンデマンド VPN を有効化このオプションを有効した場合、証明書を使用して VPN 接続を自動的に確立させることがで

きます。詳細は、アプリベースの VPN プロファイルを構成するを参照してください。

プロキシこの VPN 接続で構成するプロキシタイプとして、[手動] または [自動] のいずれかを選択し

ます。

サーバプロキシサーバの URL を入力します。

ポートプロキシとの通信に使用するポートを入力します。

ユーザー名プロキシサーバへの接続に使用するユーザー名を入力します。

パスワード認証に使用するパスワードを入力します。

ベンダーキーベンダー構成辞書にアクセスするためのカスタムキーを作成するにはこのオプションを選択

します。

キーベンダーから提供された固有のキーを入力します。

付加価値各キーの VPN 値を入力します。


VMware, Inc. 30

設定説明

ローカルネットワークを除外すべてのネットワークを含めるオプションを有効にして、ネットワークトラフィックを VPN 外でルーティングできるようにします。

すべてのネットワークを含めるすべてのネットワークを含めるオプションを有効にして、ネットワークトラフィックを VPN 経由でルーティングできるようにします。

注：タイプとして IKEv2 を選択した場合、VPN 接続で最小および最大の TLS バージョンを入力する権限が

あります。ただし、TLS バージョンを入力する前に [[EAP を有効にする]] チェックボックスを有効にします。

5 [保存して公開] を選択します。これで、許可されたサイトにエンドユーザーがアクセスできます。

Forcepoint コンテンツフィルタプロファイルを構成する

Workspace ONE UEM を Forcepoint を統合すると、Forcepoint 内の既存のコンテンツフィルタリングカテゴリを使用でき、それらを UEM コンソールで管理しているデバイスに適用できます。

Forcepoint で構成したウェブサイトに従ってウェブサイトへのアクセスを許可またはブロックし、続いて VPN ペイロードを展開してデバイスにこれらのルールを適用します。Workspace ONE UEM に加入しているディレクト

リユーザーは、Forcepoint に対して検証されます。これにより、個々のエンドユーザーに適用するコンテンツフィルタリングルールが決まります。

Forcepoint のコンテンツフィルタリングルールは、次のいずれかの方法で適用します。

n 1 つは、このトピックに記載されているように [VPN] プロファイルを使用する方法です。VPN プロファイルを

使用したコンテンツフィルタリングの適用は、VMware Browser 以外のブラウザを使用しているすべてのウ

ェブトラフィックに適用できます。

n もう 1 つは、[設定とポリシー] ページを構成する方法です。この画面の設定は、VMware Browser 以外のブ

ラウザを使用しているすべてのウェブトラフィックに適用されます。[設定とポリシー] を構成する方法の詳細

は、「[VMware Browser Guide]」を参照してください。。

手順

1 [リソース] > [プロファイルとベースライン] > [ プロファイル] > [追加] の順に進みます。[Apple iOS] を選

択します。



4 [接続タイプ] で [Websense (Forcepoint)] を選択します。

5 [接続情報] を構成します。

設定説明

接続名接続名として表示される名前を入力します。


パスワード接続に使用するパスワードを入力します。


VMware, Inc. 31

6 （オプション） [接続のテスト] を選択することもできます。

7 [ベンダー構成] 設定を構成します。

設定説明

ベンダーキーカスタムキーを作成し、ベンダー構成辞書に追加します。



8 [保存して公開] を選択します。ディレクトリベースのエンドユーザーは、Forcepoint のカテゴリに基づいて、

許可されたサイトにアクセスできるようになります。

Blue Coat コンテンツフィルタプロファイルを構成する

Workspace ONE UEM と Blue Coat を統合することで、Blue Coat の既存のコンテンツフィルタリングルー

ルを活用できます。

Blue Coat で構成したルールに従ってウェブサイトへのアクセスを許可またはブロックし、続いて VPN ペイロー

ドを展開してデバイスにこれらのルールを適用します。

手順


します。



4 [接続タイプ] から [Blue Coat] を選択します。

設定説明

Blue Coat カスタマー ID この ID を入手するには、Blue Coat ウェブサイトにログインし、API トークンおよびキー

のセクションにアクセスします。MDM パートナーを追加すると ID を入手できます。詳細情

報やサポートについては、Blue Coat までお問い合わせください。

アプリベースの VPN オプションでアプリベースの VPN を有効にすることができます。詳細は、｢アプリベースの

VPN プロファイルを構成する｣を参照してください。

5 オプションで [接続のテスト] を選択することもできます。

6 [ベンダー構成] を構成します。

設定説明

ベンダーキーベンダー構成辞書に追加するカスタムキーを作成するにはこのオプションを選択します。




VMware, Inc. 32

7 [保存して公開] を選択します。これで、エンドユーザーが Blue Coat コンテンツフィルタリングルールに基

づいて許可されたサイトにアクセスできるようになりました。

オンデマンド VPN プロファイルを構成する

オンデマンド VPN は、特定のドメインに対して VPN 接続を自動的に確立するプロセスです。セキュリティを強化

しより使いやすくするために、オンデマンド VPN では、認証にシンプルなパスコードではなく、証明書を使用しま

す。

前提条件

証明書を配布するには、証明書認証局および証明書テンプレートが Workspace ONE UEM で適切に構成されてい

ることを確認します。選択したサードパーティの VPN アプリケーションをエンドユーザーが使用できるようにし

ます。そのためには、そのアプリケーションをデバイスにプッシュするか、企業 App Catalog で推奨します。

手順

1 [リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[iOS] を選択します。

2 リストで [VPN] ペイロードを選択します。

3 仮想プライベートネットワーク (VPN) プロファイルを構成するを適宜、構成します。

4 [ユーザー認証] ドロップダウンメニューから [証明書] を選択します。[資格情報] ペイロードを選択します。

a [資格情報ソース] ドロップダウンメニューから、[定義済み認証局] を選択します。

b それぞれのドロップダウンメニューで [証明書認証局] および [証明書テンプレート] を選択します。

c [VPN] ペイロードに戻ります。

5 証明書による認証を VPN プロファイルに適用する場合は、[資格情報] ペイロードの指定に従って、[ID 証明

書] を選択します。

6 [オンデマンド VPN を有効化] チェックボックスを選択します。

7 指定されたいずれかのドメインにエンドユーザーがアクセスするときに、VPN 接続を有効にするには、[新しい

オンデマンドキーを使用 (iOS 7)] を構成します。

設定説明

新しいオンデマンドキーを使用（iOS 7 以降）よりきめ細かい VPN ルールの指定が可能な、新しい構文を使用するには、これを選択します。

オンデマンドルール/アクション定義された条件に基づき、VPN 接続に適用される VPN の動作を定義する [アクション] を選

択します。条件を満たす場合、指定したアクションが実行されます。

n [接続を評価]: ネットワーク設定および各接続の特性に応じて、VPN トンネル接続を自動

的に確立します。ウェブサイトへの VPN 接続のたびに評価が行われます。

n [接続]: ネットワークの条件を満たしている場合、次回のネットワーク接続試行時に VPN トンネル接続を自動的に確立します。

n [切断]: ネットワークの条件を満たしている場合、VPN トンネル接続を自動的に無効に

し、オンデマンドでの再接続を行いません。

n [無視する]: ネットワークの条件を満たしている場合、既存の VPN 接続はそのままです

が、オンデマンドでの再接続は行いません。


VMware, Inc. 33

設定説明

アクションパラメータ DNS サーバでドメインが解決できない、別のサーバにリダイレクトされて応答が返される、

または応答が返されない (タイムアウト) など、ドメイン名の解決が失敗した場合に VPN 接続

の試行をトリガするために、指定したドメインの [アクションパラメータ] を構成します。

[接続を評価] を選択すると、次のオプションが表示されます。

n [必要であれば接続する/決して接続しない] を選択し、追加情報を入力します。

n [ドメイン] – この評価が適用されるドメインを入力します。

n [URL プローブ] – GET 要求を使用してプローブを実行する HTTP または

HTTPS (推奨) の URL を入力します。この URL のホスト名が解決できない場合、

サーバに到達不可能な場合、または 200 HTTP ステータスコードが返されてサーバ

が応答しない場合は、VPN 接続が確立されます。

n [DNS サーバ] – 指定したドメインの解決に使用する DNS サーバの IP アドレスの

アレイを入力します。これらのサーバは、デバイスの現在のネットワーク構成に含ま

れているものである必要はありません。これらの DNS サーバに到達不可能な場合、

VPN 接続が確立されます。これらの DNS サーバは、社内 DNS サーバまたは信頼

されている外部の DNS サーバである必要があります。(オプション)

パラメータの条件/値 n [インターフェース一致] – デバイスの現在のネットワークアダプタに対応する接続のタ

イプを選択します。使用できる値は、[任意]、[Wi-Fi]、[イーサネット]、および [セルラ

ー] です。

n [URL プローブ] – 条件を確認する URL を入力します。条件を満たしている場合、200 HTTP ステータスコードが返されます。このフォーマットには、プロトコル (https) が含まれます。

n [SSID 一致] – デバイスの現在のネットワーク ID を入力します。条件を満たすには、ア

レイの中の少なくとも 1 つの値と一致する必要があります。

n 必要に応じて、複数の SSID を入力するには、[+] アイコンを使用します。

n [DNS ドメイン一致] – デバイスの現在のネットワーク検索ドメインを入力します。ワイ

ルドカードがサポートされています (*.example.com)。

n [DNS アドレス一致] – デバイスの現在の DNS サーバの IP アドレスと一致する DNS アドレスを入力します。条件を満たすには、デバイスで指定されているすべての IP アド

レスが入力されている必要があります。単一のワイルドカードの使用がサポートされてい

ます (17.*)。

8 または、レガシの [オンデマンド VPN] を選択します。

設定説明

ドメインまたはホストが一致するオンデマンドアクション

n [必要に応じて確立] または [常に確立]– 指定されたページに直接到達できない場合にの

み、VPN 接続を確立します。

n [確立不可]– 指定されたドメインに該当するアドレスについては、VPN 接続を確立しま

せん。ただし、VPN 接続が既にアクティブな場合は、それを使用できます。

9 必要に応じて、追加の [ルール] および [アクションパラメータ] を追加するには、[+] アイコンを使用します。

10 [プロキシ] タイプを選択します。

設定説明

プロキシこの VPN 接続で構成するプロキシタイプとして、[手動] または [自動] のいずれかを選択し

ます。

サーバプロキシサーバの URL を入力します。


VMware, Inc. 34

設定説明

ポートプロキシとの通信に使用するポートを入力します。


パスワード認証に使用するパスワードを入力します。

11 [ベンダー構成] を構成します。この値は、VPN プロバイダごとに異なります。

設定説明

ベンダーキーベンダー構成辞書に追加するカスタムキーを作成するにはこのオプションを選択します。



12 [保存して公開] をクリックします。プロファイルがユーザーのデバイスにインストールされると、SharePoint

など、VPN 接続が要求されるサイトにユーザーがアクセスするときに、VPN 接続のプロンプトが自動的に表示

されるようになります。

アプリベースの VPN プロファイルを構成する

iOS 7 以降のデバイスでは、選択したアプリケーションの接続に企業 VPN が使用されるように強制することができ

ます。VPN プロバイダでこの機能がサポートされている必要があり、また、管理アプリケーションとしてアプリを

公開する必要があります。

手順


2 リストで [VPN] ペイロードを選択します。

3 仮想プライベートネットワーク (VPN) プロファイルを構成するを適宜、構成します。

4 [アプリベース VPN] を選択して、現在の VPN プロファイル設定に対する VPN UUID を生成します。VPN UUID は、この VPN 構成に対する一意の識別子です。

5 [自動接続] を選択すると、[Safari ドメイン] 用の入力欄が表示されます。これは、VPN の自動接続をトリガす

る社内サイトです。

6 [プロバイダータイプ] を選択して、トラフィックをトンネルする方法を指定します (アプリケーションレイヤー

と IP レイヤーのどちらを使用するか)。


この手順を既存の VPN プロファイルに対する更新として保存すると、このプロファイルを現在使用しているす

べての既存のデバイス/アプリケーションが更新されます。また、VPN UUID を使用していなかったデバイス/アプリケーションは、VPN プロファイルを使用するように更新されます。


VMware, Inc. 35

アプリベースプロファイルを使用するようパブリックアプリを構成する

アプリベーストンネルプロファイルを作成した後、アプリケーション構成画面でそのプロファイルを特定のアプリ

ケーションに割り当てることができます。これにより、アプリケーションは、接続を確立する際、割り当てられた

VPN プロファイルを使用します。

手順

1 [リソース] > [アプリ] > [ネイティブ] の順に進みます。

2 [パブリック] タブを選択します。

3 [アプリケーションを追加] を選択してアプリを追加するか、[編集] を選択して既存のアプリを編集します。

4 ｢展開｣タブで [VPN 使用] を選択し、続いて、作成したプロファイルを選択します。

5 [保存] を選択し、変更を公開します。

次のステップ

アプリの追加または編集の詳細については、『[モバイルアプリケーション管理]』ガイドを参照してください。

アプリベースプロファイルを使用するよう社内アプリを構成する

アプリベーストンネルプロファイルを作成した後、アプリケーション構成画面でそのプロファイルを特定のアプリ

ケーションに割り当てることができます。これにより、アプリケーションは、接続を確立する際、割り当てられた

VPN プロファイルを使用します。

手順

1 [リソース] > [アプリ] > [ネイティブ] の順に進みます。

2 [社内] タブを選択します。

3 [アプリケーションを追加] を選択して、アプリを追加します。

4 [保存して割り当て] を選択して、割り当てページに移動します。

5 [割り当ての追加] を選択し、[高度な設定] の [アプリベース VPN プロファイル] を選択します。

6 アプリを [保存して公開] します。

次のステップ

アプリの追加または編集の詳細は、[モバイルアプリケーション管理] ガイドを参照してください。このドキュメント

は VMware AirWatch documentation で入手できます。

E メールアカウントプロファイルを構成する

iOS デバイスの E メール設定プロファイルを構成し、デバイスの E メール設定を構成します。

手順

1 [リソース] > [プロファイルとベースライン] > [プロファイル] の順に進み、[追加] を選択します。[Apple iOS] を選択します。


VMware, Inc. 36

https://docs.vmware.com/jp/VMware-AirWatch/index.html


3 [E メール] ペイロードを選択します。

4 E メールアカウント設定を構成します。

設定説明

アカウントの説明 E メールアカウントの簡単な説明を入力します。

アカウントタイプドロップダウンメニューで｢IMAP｣または｢POP｣を選択します。

パスのプレフィックス E メールアカウントに対するルートフォルダの名前を入力します (IMAP の場合のみ)。

ユーザー表示名エンドユーザーの名前を入力します。

メールアドレス E メールアカウントのアドレスを入力します。

メッセージの移動を禁止するこのオプションを有効にした場合、ユーザーは、E メールメッセージを転送したり E メール

メッセージをサードパーティアプリで開いたりすることができません。

最近のアドレス同期を無効にするこのオプションを有効にした場合、ユーザーは、E メール連絡先を個人用デバイスと同期させ

ることができません。

サードパーティアプリでの使用を禁止このオプションを有効にした場合、ユーザーは、企業 E メールメッセージを他の E メールクライアントアプリに移動できません。

Mail Drop を禁止このオプションを有効にした場合、ユーザーは、Apple の Mail Drop 機能を利用できませ

ん。

S/MIME を使用する追加の暗号化証明書を使用する場合、このオプションを有効にします。

ホスト名 E メールサーバの名前を入力します。

ポート受信メールトラフィックに割り当てられているポート番号を入力します。

ユーザー名 E メールアカウントのユーザー名を入力します。

認証タイプドロップダウンメニューで、E メールアカウント所有者を認証する方法を選択します。

パスワードエンドユーザーを認証する際に必要となるパスワードを入力します。

SSL 使用このオプションを有効にした場合、受信 E メールトラフィックに対して SSL (Secure Sockets Layer) が使用されます。

ホスト名 E メールサーバの名前を入力します。

ポート送信メールトラフィックに割り当てられているポート番号を入力します。

ユーザー名 E メールアカウントのユーザー名を入力します。

認証タイプドロップダウンメニューで、E メールアカウント所有者を認証する方法を選択します。

送信パスワードは受信と同じこのオプションを有効にした場合、｢パスワード｣欄の値が自動入力されます。

パスワードエンドユーザーを認証する際に必要となるパスワードを入力します。

SSL 使用このオプションを有効にした場合、送信 E メールトラフィックに対して SSL (Secure Sockets Layer) が使用されます。


VMware, Inc. 37

iOS デバイスの Exchange ActiveSync (EAS) メール

[Exchange ActiveSync (EAS)] は、モバイルデバイス上で E メールを同期させるための業界標準プロトコルで

す。EAS プロファイルを使用し、メールサーバにチェックインして E メール、カレンダー、および連絡先を同期す

るようデバイスをリモート構成します。

EAS プロファイルでは、各ユーザーの情報 (例: ユーザー名、E メールアドレス、パスワード) が使用されます。

Workspace ONE UEM と Active Directory サービスを統合した場合、このユーザー情報は自動で入力されま

す。EAS プロファイルで参照値を使用することで入力されるユーザー情報を指定することができます。

複数ユーザーに対する汎用 EAS プロファイルの作成

EAS プロファイルを作成し、デバイス上でメールサーバからデータを自動プルできるようにするには、事前にエン

ドユーザーのユーザーアカウントレコードに適切な情報を格納しておく必要があります。[ディレクトリユーザー] の場合、この情報は加入時に自動的に入力されます。ディレクトリユーザーとは、ディレクトリ資格情報（例：

Active Directory 資格情報）を使用して加入しているユーザーのことです。一方、[ベーシックユーザー] の場合、

この情報は自動的に入力されないので、次のいずれかの方法で入力する必要があります。

n 各ユーザーレコードを編集し、[E メールアドレス] 欄と [E メールのユーザー名] 欄の値を入力します。

n 加入時にこの情報を入力するよう、ユーザーに要求します。具体的には、[デバイス] - [デバイス設定] - [全般] - [加入] の順に選択し、[オプションのメッセージ表示] タブで [加入 E メールのプロンプトを有効化] チェックボ

ックスを選択します。

ネイティブメールクライアントの EAS メールプロファイルの構成

iOS デバイスのネイティブメールクライアント用の E メール構成プロファイルを作成します。

手順

1 [リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に選択します。[Apple iOS] を選

択します。


3 [Exchange ActiveSync] ペイロードを選択します。

4 [メールクライアント] から [ネイティブメールクライアント] を選択します。[アカウント名] 欄に、このメー

ルアカウントの説明を入力します。[Exchange ActiveSync ホスト] フィールドに、貴社の ActiveSync サーバの外部 URL を入力します。

ActiveSync サーバには、ActiveSync プロトコルを実装している任意のメールサーバ (例: Lotus Notes Traveler、Novell Data Synchronizer、Microsoft Exchange) を使用できます。セキュア E メールゲート

ウェイ (SEG) 展開の場合、E メールサーバ URL ではなく SEG URL を使用します。

5 [SSL を使用] チェックボックスを選択して、受信 E メールトラフィックの Secure Socket Layer の使用を

有効にします。


VMware, Inc. 38

6 追加の暗号化証明書を使用する場合は [S/MIME] ボックスにチェックを入れます。このオプションを有効にす

る前に、[資格情報] プロファイル設定の下に必要な証明書がアップロードされていることを確認してください。

a E メールメッセージに署名するには、[S/MIME 証明書] を選択します。

b E メールメッセージの署名と暗号化の双方を行うには、[S/MIME 暗号化証明書] を選択します。

c エンドユーザーが個別の E メールメッセージごとにネイティブ iOS メールクライアントを使用して署名と

暗号化を行うかを選択できるようにするには、[メッセージごとに切り替える] にチェックを入れます (iOS 8+ の監視対象デバイスのみ).

7 [OAuth を使用] チェックボックスを選択して、ログインとトークンの URL を含めます。

a [OAuth サインイン URL] - OAuth のログイン URL を入力します。

b [OAuth トークン URL] - OAuth のトークン URL を入力します。

8 参照値機能を用いて、[ドメイン名、ユーザー名と E メールアドレス] を含む [ログイン情報] を入力します。参

照値は、ユーザーアカウントレコードのデータを直接取得します。参照値 {EmailDomain}、{EmailUserName}、 {EmailAddress} を使用するには、Workspace ONE UEM ユーザーアカウントに E メールアドレスと E メールユーザー名が定義されていることを確認してください。

9 [パスワード] 欄は、ユーザ自身が入力するようプロンプトを表示するのであれば、空欄のままにしてください。

10 [資格情報] ペイロードに証明書を追加した後に、[ペイロード証明書] を選択し、証明書ベースの認証に使用する

証明書を定義します。

11 必要に応じて以下の [設定とセキュリティ] のオプション設定を構成します。

a [メールの同期を取りに遡る日数] – ダウンロードするメールの量を定義します。遡る日数が多いほど、メー

ルをダウンロードする間のデバイスのデータ消費量が大きくなるのでご注意ください。

b [メッセージの移動を禁止する] – Exchange メールボックスからデバイス上の他のメールボックスにメー

ルを移動できないようにします。

c [サードパーティ製アプリでの使用を禁止する] – 他のアプリが Exchange メールボックスを使ってメッセ

ージを送信することを禁止します。

d [最近のアドレスの同期を禁止する] – Exchange でメールを送信する際の連絡先提案機能を無効にしま

す。

e [Mail Drop を禁止する] – Apple 社の Mail Drop 機能の使用を禁止します。

f （iOS 13）[Enable Mail] – Exchange アカウント用に別のメールアプリを構成できるようにします。

g （iOS 13）[メールの切り替えを許可] – これを無効にすると、ユーザーによるメールのオン/オフ切り替えが

できなくなります。

h （iOS 13）[連絡先を有効にする] – Exchange アカウント用に別の連絡先アプリを構成できるようにしま

す。

i （iOS 13）[連絡先の切り替えを許可] – これを無効にすると、ユーザーによる連絡先のオン/オフ切り替えが

できなくなります。

j （iOS 13）[カレンダーを有効にする] – Exchange アカウント用に別のカレンダーアプリを構成できるよ

うにします。


VMware, Inc. 39

k （iOS 13）[カレンダーの切り替えを許可] – これを無効にすると、ユーザーによるカレンダーのオン/オフ切

り替えができなくなります。

l [メモを有効にする] – Exchange アカウント用に別のメモアプリを構成できるようにします。

m （iOS 13）[ メモの切り替えを許可] – これを無効にすると、ユーザーによるメモのオン/オフ切り替えがで

きなくなります。

n （iOS 13）[リマインダーを有効にする] – Exchange アカウント用に別のリマインダーアプリを構成でき

るようにします。

o （iOS 13）[リマインダーの切り替えを許可] – これを無効にすると、ユーザーによるリマインダーのオン/オフ切り替えができなくなります。

12 [既定の音声通話アプリ] で、E メールメッセージに記載されている電話番号を選択したときにネイティブ EAS アカウントによって使用される既定の音声通話アプリケーションを割り当てます。

13 [保存して公開] を選択すると、利用可能なデバイスにプロファイルがプッシュされます。

通知プロファイルを構成する

デバイスがロックされていても、指定したアプリの通知がホーム画面上に表示されるようにするには、このプロファ

イルを使用します。

いつ、どのように通知を表示するかを制御することができます。このプロファイルは iOS 9.3 以降の監視モードデバイスに適用されます。

手順

1 [リソース] > [プロファイルとベースライン] > [プロファイル] > [リスト表示] > [追加] の順に進みます。

[Apple iOS] を選択します。


3 リストから [通知] ペイロードを選択します。

4 [アプリを選択] をクリックします。新しいウィンドウが開きます。

設定説明

アプリを選択構成するアプリを選択します。

通知を許可任意の通知を許可する場合はこれを選択します。

通知センターに表示通知センターに通知が表示されるようにするにはこれを選択します。

ロック画面に表示ロック画面に通知が表示されるようにするにはこれを選択します。

サウンドを許可サウンドで通知を知らせるにはこれを選択します。

バッジを許可アプリアイコンにバッジが表示されるようにするにはこれを選択します。

ロック解除時のアラートスタイルロック解除時の通知スタイルを選択します。

n [バナー] - ホーム画面のバナーでユーザーにアラートを表示します。

n [モーダルアラート] - ホーム画面にウィンドウを表示します。操作を続行するにはユー

ザーによる対応が必要です。


VMware, Inc. 40

5 [保存] を選択し、ペイロードをデバイスにプッシュします。

LDAP 設定プロファイルを構成するLDAP プロファイルを構成し、エンドユーザーが企業 LDAPv3 ディレクトリ情報を利用できるようにします。

手順



3 [LDAP] ペイロードを選択します。

4 LDAP 設定を構成します。

設定説明

アカウントの説明 LDAP アカウントの簡単な説明を入力します。

アカウントホスト名 Active Directory 用サーバの名前を入力します。既に指定されている場合は、その値が表示

されます。

アカウントユーザー名 Active Directory アカウントのユーザー名を入力します。

アカウントパスワード Active Directory アカウントのパスワードを入力します。

SSL 使用このチェックボックスを選択した場合、SSL (Secure Sockets Layer) が使用されます。

検索設定デバイスから実行される Active Directory 検索に関する設定を入力します。


CalDAV または CardDAV プロファイルを構成する

エンドユーザーが企業のカレンダー項目を同期させられるようにするには、CalDAV プロファイルを展開します。

エンドユーザーが企業の連絡先を同期させられるようにするには、CardDAV プロファイルを展開します。

手順



3 [CalDAV または CardDAV] ペイロードを選択します。

4 [CalDAV] または [CardDAV] 設定を構成します。

設定説明

アカウントの説明アカウントの簡単な説明を入力します。

アカウントホスト名 CalDAV 用サーバの名前を入力します。既に指定されている場合は、その値が表示されます。

ポート CalDAV サーバとの通信用に割り当てられているポート番号を入力します。


VMware, Inc. 41

設定説明

プリンシパル URL CalDAV サーバの URL を入力します。

アカウントユーザー名 Active Directory アカウントのユーザー名を入力します。

アカウントパスワード Active Directory アカウントのパスワードを入力します。

SSL 使用このチェックボックスを選択した場合、SSL (Secure Sockets Layer) が使用されます。


定期配信カレンダープロファイルを構成する

このペイロードを構成することにより、macOS ネイティブのカレンダーアプリを使用して iOS デバイスにカレン

ダー定期配信をプッシュできます。

手順



3 [定期配信カレンダー] ペイロードを選択します。

4 カレンダー設定を構成します。

設定説明

説明定期配信カレンダーの簡単な説明を入力します。

URL 定期受信を行うカレンダーの URL を入力します。

ユーザー名認証に使用するエンドユーザーのパスワードを入力します。

パスワード認証に使用するエンドユーザーのパスワードを入力します。

SSL 使用 SSL を使用してすべてのトラフィックを送信する場合は、チェックを入れます。


Web クリッププロファイルを構成する

Web クリップとは、デバイスにプッシュできる Web ブックマークであり、デバイスのスプリングボードまたはア

プリカタログにアイコンとして表示されます。

手順


します。


3 リストで [Web クリップ] ペイロードを選択します。


VMware, Inc. 42

4 [Web クリップ] を構成します。

設定説明

ラベルエンドユーザーのデバイス上で Web クリップアイコンの下に表示されるテキストを入力し

ます。たとえば、｢AirWatch セルフサービスポータル｣などです。

URL Web クリップの URL を入力します。Workspace ONE UEM ページのいくつかの例を

示します。

n SSP の場合は、次を使用します：https://<AirWatch 環境>/mydevice/

n App Catalog の場合は、次を使用します：https://<環境>/Catalog/ViewCatalog/{SecureDeviceUdid}/{DevicePlatform}

n ブックカタログの場合は、次を使用します：https://<環境>/Catalog/BookCatalog?uid={DeviceUUID}

削除可能デバイスユーザーが長押し機能を使用して、Web クリップをデバイスから削除できるように

します。

アイコン Web クリップのアイコンとしてアップロードするには、このオプションを選択します。アプ

リに対するカスタムアイコンとして、.gif ファイル、.jpg ファイル、または .png ファイル

をアップロードします。各辺が 400 ピクセル未満で未圧縮状態のサイズが 1 MB 以下の、正

方形の画像の使用を推奨します。画像の収縮率は自動で調整され、トリミングされ、必要に応

じて .png 形式に変換されます。Web クリップアイコンは、Retina ディスプレイのデバイ

スでは 104 x 104 ピクセル、その他のデバイスでは 57 x 57 ピクセルで表示されます。

合成済みアイコン視覚効果なしでアイコンを表示するには、このオプションを選択します。

全画面表示ウェブページを全画面モードで開くには、このオプションを選択します。


SCEP/資格情報プロファイルを構成する

貴社の E メール、Wi-Fi、VPN その他のネットワーク接続を複雑なパスコード要請やその他の制限で保護しても、

総当り攻撃、辞書攻撃や従業員のエラーなど、インフラの弱点をすべてカバーすることはできません。セキュリティ

レベルを上げ、企業アセットをより強固に保護するには、電子証明書の導入が効果的です。

証明書を割り当てるには、まず認証局を定義します。次に、[資格情報] ペイロードと、貴社の [Exchange ActiveSync (EAS)]、[Wi-Fi] あるいは [VPN] ペイロードを構成します。EAS ペイロード、Wi-Fi ペイロード、

および VPN ペイロードには、[資格情報]ペイロードで指定した認証局を関連付けるための設定があります。

証明書をデバイスにプッシュするには、EAS 設定、Wi-Fi 設定、または VPN 設定に対して作成したプロファイル

の一部として、[資格情報] ペイロードまたは [SCEP] ペイロードを構成する必要があります。以下の手順に従って、

証明書を有効にしたプロファイルを作成します。

手順

1 [リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、プラットフォームのリスト

から [iOS] を選択します。


3 構成するペイロードとして、[EAS]、[Wi-Fi]、または [VPN] を選択します。選択したペイロードに応じて、

必要な情報を指定します。


VMware, Inc. 43

4 [資格情報] (または [SCEP]) ペイロードを選択します。

5 [資格情報ソース] メニューから一つ選択します。

a 証明書の [アップロード] を選択し、[証明書名] を入力する。

b [定義済み認証局] を選択し、適切な [認証局] と [証明書テンプレート] を選択する。

c [ユーザー証明書] と [S/MIME] 証明書の対象ユーザーを選択します。

d [生成された資格情報] を選択し、証明書の使用方法に応じて適切な [キー使用法] を選択する。「キーの使用

方法」のオプションは、[認証]、[署名]、および [暗号化] です。

6 [EAS] ペイロード、[Wi-Fi] ペイロード、または [VPN] ペイロードに戻ります。

7 ペイロードで ID 証明書を指定します。

a [EAS] – ｢ログイン情報｣の [ペイロード証明書] を選択します。

b [Wi-Fi] – 互換性のある [セキュリティタイプ] (｢WEP エンタープライズ｣、｢WPA/WPA2 エンタープラ

イズ｣、または｢任意 (エンタープライズ)｣) を選択し、｢認証｣で [ID 証明書] を選択します。

c [VPN] – [接続タイプ] で互換性のある接続タイプ（例：「CISCO AnyConnect」、「F5 SSL」）を選択し、

「ユーザー認証」ドロップダウンリストで [証明書] を選択します。次に、[ID 証明書] を選択します。

8 [資格情報] (または [SCEP]) ペイロードに戻ります。

9 その他の設定を指定し、[保存して公開] を選択します。

グローバル HTTP プロキシプロファイルを構成する

すべての Wi-Fi 接続において、iOS 7 以降を搭載した監視モードのデバイスから送信されたトラフィックを指定プ

ロキシサーバにルーティングするには、グローバル HTTP プロキシを構成します。たとえば学校の場合、すべての

ウェブ閲覧トラフィックがその学校のウェブコンテンツフィルタにルーティングされるように、グローバルプロキ

シを構成することができます。

手順

1 [リソース] > [ プロファイルとベースライン] > [プロファイル] > [追加] の順に進みます。[Apple iOS] を選

択します。


3 リストで [グローバル HTTP プロキシ] ペイロードを選択します。

4 プロキシ設定を構成します。

設定説明

プロキシのタイププロキシ構成として、[自動] または [手動] のいずれかを選択します。

プロキシサーバプロキシサーバの URL を入力します。この項目が表示されるのは、[プロキシタイプ] で [手動] を選択した場合です。

プロキシサーバポートプロキシとの通信に使用するポートを入力します。この項目が表示されるのは、[プロキシタイプ] で [手動] を選択した場合です。


VMware, Inc. 44

設定説明

プロキシのユーザー名/パスワードプロキシが資格情報を必要とする場合、参照値を使用して認証方法を定義することができます。

この項目が表示されるのは、[プロキシタイプ] で [手動] を選択した場合です。

キャプティブネットワークにアクセスする際

のプロキシのバイパスを許可する

デバイスがプロキシ設定をバイパスして既知のネットワークにアクセスすることを許可するに

はこのボックスにチェックを入れます。この項目が表示されるのは、[プロキシタイプ] で [手動] を選択した場合です。

プロキシ PAC ファイル URL プロキシ PAC ファイルの URL を入力し、設定を自動で適用します。この項目が表示される

のは、[プロキシタイプ] で [自動] を選択した場合です。

PAC が到達不能な場合、直接接続を許可する PAC ファイルが到達不能な場合は iOS デバイスにプロキシサーバのバイパスを許可するに

はこのオプションを選択します。この項目が表示されるのは、[プロキシタイプ] で [自動] を選択した場合です。

キャプティブネットワークにアクセスする際

のプロキシのバイパスを許可する

デバイスがプロキシ設定をバイパスして既知のネットワークにアクセスすることを許可するに

はこのボックスにチェックを入れます。この項目が表示されるのは、[プロキシタイプ] で [自動] を選択した場合です。


シングルアプリモードプロファイルを構成する

シングルアプリモードを使用してデバイスをプロビジョニングし、指定した 1 つのアプリのみにアクセスできるよ

うにします。シングルアプリモードでは、ホームボタンが無効になり、ユーザーが手動で再起動しようとすると、

デバイスの起動時に指定されたアプリが直接開かれます。

前提条件

この機能により、指定されたアプリケーション以外は使用できなくなり、意図されていない他のアプリやデバイス設

定、インターネットブラウザへのアクセスもブロックされます。この機能は、レストランや小売店で役立ちます。ま

た、教育機関で使用する場合、1 つのゲーム、eBook、または実習だけしか利用できないデバイスを学生に配布でき

ます。

n 監視モードの iOS 7 以降のデバイス。(高度なオプションおよび自動シングルアプリモードには、iOS 7 以降

が必要です。)

手順


択します。


3 [シングルアプリモード] ペイロードを選択します。


VMware, Inc. 45

4 ｢シングルアプリモード｣を構成します。

設定説明

フィルタタイプ [シングルアプリモードにデバイスをロックする] または [自動シングルアプリモード使用

の許可済みアプリ] のいずれかのフィルタを選択します。

n [シングルアプリモードにデバイスをロックする] – このペイロードが設定されたプロフ

ァイルが削除されない限り、デバイスはパブリック、社内、購入済み、またはネイティブ

のいずれかの単一アプリケーションのみを使用するようにロックされます。ホームボタ

ンは無効になり、スリープ状態またはリブートからは必ず、指定したアプリケーションに

戻ります。

n [自動シングルアプリモード使用の許可済みアプリ] – ホワイトリストアプリで、デバイ

ス上でいつシングルアプリモードの有効および無効を切り替えるかを管理するイベント

に基づいて、シングルアプリモードをトリガできるようにします。このアクションは、

アプリの開発者の決定に基づき、アプリの内部で実行されます。

アプリケーションバンドル ID バンドル ID を入力するか、ドロップダウンメニューから選択します。バンドル ID は、アプ

リケーションが UEM コンソールにアップロードされた後に、ドロップダウンメニューに表示

されます。たとえば、[com.air-watch.secure.browser] などです。

オプション設定監視対象の iOS 7 以降のデバイスのオプション設定を選択します。

5 [保存して公開] を選択します。このプロファイルが設定された状態でプロビジョニングされた各デバイスは、シ

ングルアプリモードで実行されます。

シングルアプリモードで実行されているデバイスを再起動する

シングルアプリモードで実行されているデバイスを再起動するには、ハードリセットの手順を使用します。

手順

1 ホームボタンを押しながら、スリープ/起動ボタンを同時に押します。

2 デバイスがシャットダウンされて再起動が始まるまで、両方のボタンを押したままにします。

3 銀色の Apple ロゴが表示されたら、ボタンを放します。デバイスに Apple ロゴが表示されてから、メイン画

面が読み込まれるまでにしばらく時間がかかることがあります。

iOS デバイスのシングルアプリモードを終了する

シングルアプリモードが有効になっている場合、エンドユーザーがアプリケーションを終了することはできません。

Workspace ONE UEM では、シングルアプリモードを終了する方法は、有効にしているシングルアプリモード

に応じて 2 通りあります。

指定されたアプリケーションを新しいバージョンまたはリリースに更新する必要が生じた場合、シングルアプリモードを一時的に無効にできます。次の手順を実行してシングルアプリモードを無効にし、新しいバージョンのアプ

リケーションをインストールしてから、シングルアプリモードを再度有効にします。

手順

1 [リソース] > [プロファイルとベースライン] > [プロファイル] の順に進みます。シングルアプリモードプロ

ファイルの行で、[デバイス表示] アイコンを選択します。

2 設定を削除するデバイスの [プロファイル削除] を選択します。


VMware, Inc. 46

3 アプリケーションを目的のバージョンに更新します。

4 ｢シングルアプリモードプロファイルを構成する｣の手順を実行し、プロファイルを再インストールします。

デバイス管理者がデバイス上でシングルアプリモードを終了できるようにする

デバイス管理者がデバイス上でパスコードを使用してシングルアプリモードを終了できるよう設定できます。この

方法を使用できるのは、シングルアプリモードプロファイルにおいて、自動シングルアプリモードを [フィルタ

タイプ] として有効にしている場合だけです。

手順


択します。


3 [シングルアプリモード] ペイロードを選択します。

4 [自動シングルアプリモード用の許可済みのアプリ] が選択されている場合は、[許可済みのアプリ] での自動シ

ングルアプリモードをサポートするアプリケーションのバンドル ID を入力します。

5 [保存して公開] を選択し、このプロファイルを適用先デバイスにプッシュします。

6 パブリックアプリの場合は、[リソース] > [アプリ] > [ネイティブ] > [パブリック] の順に進み、VPP で管理さ

れているアプリの場合は、[リソース] > [アプリ] > [ネイティブ] > [購入済み] の順に進みます。

7 自動シングルアプリモードのサポートされているアプリケーションを特定して、[割り当てルールを編集] を選

択します。｢アプリケーションの編集｣ウィンドウが開きます。

8 [割り当て] タブを選択し、[ポリシー] セクションを展開表示します。

9 [アプリケーション構成を送信] で [有効] を選択し、[構成キー] に [AdminPasscode] と入力し、[値のタイ

プ] で [文字列] を選択します。

10 [構成値] に、シングルアプリモードを終了するためにデバイス管理者が使用するパスコードを入力します。こ

の値に使用できる文字は英数字だけです。[追加] を選択します。

11 [保存して公開] を選択し、アプリケーション構成をプッシュします。

Web コンテンツフィルタプロファイルを構成する

デバイスに適用するウェブコンテンツフィルタペイロードを構成することにより、エンドユーザーがウェブブラウ

ザを使用して特定の URL にアクセスすることを許可または禁止できます。すべての URL が http:// または

https:// で始まる必要があります。必要に応じて、同じ URL の HTTP バージョンと HTTPS バージョンの両方の

エントリを別々に作成する必要があります。ウェブコンテンツフィルタペイロードを使用するには、iOS 7 以降の

監視モードデバイスが必要です。

手順




VMware, Inc. 47

3 [コンテンツフィルタ] ペイロードを選択します。

4 [フィルタタイプ] ドロップダウンメニューを選択します。

a ビルトイン：ウェブサイトを許可

b ビルトイン：ウェブサイトをブロック

c プラグイン

ビルトイン：ウェブサイトを許可

エンドユーザーがリストで指定されている特定のウェブサイトのみにアクセスできるように許可し、他のすべての

ウェブサイトへのアクセスを禁止するには、URL のホワイトリストを構成します。

手順

1 [フィルタタイプ] ドロップダウンメニューで [ビルトイン: ウェブサイトを許可] を選択して、どのプラグイン

へのアクセスを可能にするかを選択します。

2 [追加] を選択し、許可するウェブサイトのリストを構成します。

設定説明

許可された URL ホワイトリストに登録するサイトの URL。

タイトルブックマークのタイトル。

ブックマークパス Safari でブックマークが追加されるフォルダ。

ビルトイン：ウェブサイトをブロック

指定されているウェブサイトにユーザーがアクセスできないように禁止するための、URL のブラックリストを構成

します。リストに載っていないすべてのウェブサイトには、エンドユーザーはアクセスできます。また、例外が許可

されていない場合、不適切な言葉を含むウェブサイトは自動的にフィルタされます。

手順

u [フィルタタイプ] ドロップダウンメニューで [ビルトイン: ウェブサイトをブロック] を選択して、ウェブサイ

トのブラックリストを構成します。

設定説明

ブラックリスト URL [ブラックリスト URL] を入力します。それぞれを改行、スペースまたはコンマで区切ります。

不適切なウェブサイトを自動でフィルタ成人向けウェブサイトにフィルタを適用するにはこれを選択します。

ブックマークパス Safari でブックマークが追加されるフォルダのパスを入力します。

許可された URL 自動フィルタの例外として許可するウェブサイトを入力します。

プラグイン

このペイロードにより、サードパーティ製のウェブコンテンツフィルタリングのプラグインを Safari に統合するこ

とができます。


VMware, Inc. 48

特に、Forcepoint コンテンツフィルタプロファイルを構成するまたは Blue Coat コンテンツフィルタプロフ

ァイルを構成するのコンテンツフィルタを統合したい場合は、このガイドの対応するセクションを参照してくださ

い。

手順

1 [フィルタタイプ] ドロップダウンメニューで [プラグイン] を選択して、どのプラグインへのアクセスを可能に

するかを選択します。このペイロードが機能するためには、Webkit またはソケットトラフィックのニーズを有

効にする必要があります。

設定説明

フィルタ名デバイス上に表示するフィルタの名前を入力します。

識別子フィルタリングサービスを提供するプラグインの識別子のバンドル ID を入力します。

サービスアドレスサービスのホスト名 IP アドレスまたは URL を入力します。

組織サードパーティのプラグインに渡される組織名の文字列を選択します。

WebKit トラフィックフィルタ Webkit トラフィックをフィルタするかどうかを指定するには、これを選択します。

ソケットトラフィックフィルタ Webkit トラフィックをフィルタするかどうかを指定するには、これを選択します。

2 [認証] 情報を構成します。

設定説明

ユーザー名ユーザーアカウントレコードから直接取得される参照値を使用します。Workspace ONE UEM ユーザーアカウントに対して E メールアドレスおよび E メールのユーザー名が定義

されている必要があります。

パスワードこのアカウントのパスワードを入力します。

ペイロード証明書認証証明書を選択します。

3 サードパーティのフィルタリングサービスで要求されるキーが含まれている、[カスタムデータ] を追加します。

この情報はベンダー構成辞書に追加されます。


管理ドメインプロファイルを構成する

管理ドメインは、Workspace ONE UEM で Apple の iOS 8 デバイスの「次のアプリで開く」セキュリティ機能

を拡張するもう一つの方法です。｢次のアプリで開く｣と管理ドメインを併用すると、Safari を使用して企業ドメイ

ンからダウンロードしたファイルを開くことができるアプリを管理することができ、企業データを保護できます。

URL またはサブドメインを指定して、ファイル、添付ファイル、ブラウザからダウンロードしたファイルを開く方法

を管理できます。また、管理 E メールドメインでは、非管理ドメイン宛てに送信された E メールメッセージに、色

分けされた警告のインジケータが表示されることがあります。これらのツールは、エンドユーザーが、企業アプリで

開くことができるファイルと、個人アプリケーションで開かなければならない個人ファイルを素早く区別するうえで

役立ちます。


VMware, Inc. 49

手順




3 リストから [管理ドメイン] ペイロードを選択します。

設定説明

管理 E メールドメインドメインを入力し、どの E メールアドレスが企業ドメインのものかを指定します。たとえば、

[exchange.acme.com] などです。ここで指定していないアドレス宛てに送信された E メ

ールは、E メールアプリでハイライトされ、そのアドレスが企業ドメインのものでないことが

示されます。

管理ウェブドメインドメインを入力して、特定の URL またはサブドメインを選択すると、それらが管理対象とみ

なされます。たとえば、[sharepoint.acme.com] などです。これらのドメインからのファ

イルや添付ファイルはすべて、管理対象とみなされます。

Safari パスワードドメイン Safari で保存先として指定するドメインのパスワードを入力します。このオプションは、監視

モードデバイスにのみ適用されます。


ネットワーク使用量規則プロファイルを構成する

ネットワーク使用量規則を構成すると、どのアプリケーションおよび SIM カードがデータにアクセスできるかを、

ネットワーク接続タイプや、デバイスがローミング中かどうかに応じて管理することができます。この機能により、

従業員が業務用にデバイスを使用している場合のデータ料金を、管理者が管理しやすくなります。きめ細かい管理を

利用することで、必要に応じてさまざまなアプリおよび SIM にさまざまな規則を適用できます。

手順




3 リストから [ネットワーク使用量規則] ペイロードを選択します。

4 [アプリ使用量規則] で、パブリック、社内、購入済みアプリケーションの [アプリケーション識別子] を入力し

ます。

5 [ローミング中のデータ使用] および [セルラーデータを許可] を有効にします。既定設定では上記のオプション

が既に選択されています。

6 SIM 使用量規則で、SIM カード（物理カードおよび eSIM カード）の [ICCID] を入力し、[Wi-Fi Assist] 機能

のタイプとして [既定] または [無制限のセルラーデータ] のいずれかを指定します。



VMware, Inc. 50

macOS サーバアカウントプロファイルを構成する

UEM コンソールで macOS サーバアカウントを直接追加して、MDM フレームワークの管理に役立てることがで

きます。このプロファイルを使用して資格情報を提供することにより、エンドユーザーは macOS のファイル共有に

アクセスできます。

手順


します。


3 リストで [macOS サーバアカウント] ペイロードを選択します。

設定説明

アカウントの説明アカウントの表示名を入力します。

Hostname サーバアドレスを入力します。

ユーザー名ユーザーのログイン名を入力します。

パスワードユーザーのパスワードを入力します。

ポートサーバに接続する際に使用するポート番号を指定します。


シングルサインオンプロファイルを構成する

企業アプリのシングルサインオンを有効にすると、アプリごとに認証が要求されなくなり、シームレスにアクセスで

きるようになります。このプロファイルをプッシュすると、デバイスにパスワードを保存するのではなく、Kerberos 認証を使用してエンドユーザーを認証できます。シングルサインオン設定の詳細は、「[VMware Workspace ONE UEM Mobile Application Management ガイド]」を参照してください。。

手順

1 [リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[Apple iOS] を選択しま

す。


3 [シングルサインオン] ペイロードを選択します。

4 [接続情報] を入力します。

設定説明

アカウント名デバイス上に表示される名前を入力します。

Kerberos プリンシパル名 Kerberos プリンシパル名を入力します。


VMware, Inc. 51

設定説明

レルム Kerberos ドメインレルムを入力します。このパラメータは、すべて大文字にする必要があり

ます。

更新証明書 iOS 8 以降のデバイスでは、ユーザーのシングルサインオンセッションの有効期限が切れた

ときに、ユーザーの操作なしで、自動的にユーザーを再認証するために使用する証明書を選択

します。SCEP/資格情報プロファイルを構成するペイロードを使用して、更新証明書

（例：.pfx）を構成します。

5 [URL プレフィックス] を入力します。これは、このアカウントが HTTP 経由での Kerberos 認証を受ける場

合に一致する必要があります。たとえば、[http://sharepoint.acme.com/] などです。空白にしておくと、す

べての HTTP および HTTPS の URL が対象となります。

6 [アプリケーションバンドル ID] を入力するか、ドロップダウンメニューから 1 つ選択します。バンドル ID は、

アプリケーションが UEM コンソールにアップロードされた後に、このドロップダウンメニューに表示されま

す。たとえば、[com.air-watch.secure.browser] などです。指定したアプリケーションで、Kerberos 認証

がサポートされている必要があります。



VMware, Inc. 52

例

ウェブブラウザの場合、ペイロードで指定されたウェブサイトにエンドユーザーがアクセスしようとすると、ドメ

インアカウントのパスワードを入力するように求められます。その後は、そのエンドユーザーが、ペイロードで指定

されたどのウェブサイトにアクセスするときにも、資格情報を再度入力する必要はなくなります。

注： n Kerberos 認証を使用する場合、(企業 Wi-Fi または VPN を使用して) デバイスが企業ネットワークに接続さ

れている必要があります。

n DNS サーバには、Kerberos サービス (KDC サーバ) のレコードが必要です。

n モバイルデバイスおよびウェブサイトの両方のアプリケーションで、Kerberos/ネゴシエート認証がサポート

されている必要があります。

SSO 拡張機能プロファイルを構成する

Kerberos 拡張機能を使用したシングルサインオン (SSO) を実行するようにデバイス上のアプリケーションを構

成するには、SSO 拡張機能プロファイルを構成します。SSO 拡張機能プロファイルを使用すると、ユーザーが特定

の URL にアクセスするためにユーザー名とパスワードを入力する必要がなくなります。このプロファイルは、iOS 13 以降のデバイスにのみ適用されます。


VMware, Inc. 53

手順

1 [リソース] > [プロファイルとベースライン] > [プロファイル] の順に進み、[追加] > [Apple iOS] を選択しま

す。


3 [シングルサインオン拡張機能] ペイロードを選択します。

4 プロファイル設定を構成します。

設定説明

機能拡張タイプアプリケーションの SSO 拡張機能のタイプを選択します。[一般] を選択した場合は、指定し

た URL に対して SSO を実行するアプリケーション拡張機能のバンドル ID を、[拡張機能識

別子] フィールドに入力します。[Kerberos] を選択した場合は、Active Directory レルム

およびドメインを入力します。

タイプ拡張機能タイプとして、[資格情報] または [リダイレクト] を選択します。資格情報の拡張機

能は、チャレンジ/応答認証に使用します。リダイレクトの拡張機能では、OpenID Connect、OAuth、および SAML 認証を使用できます。

チーム ID 指定した URL に対して SSO を実行するアプリケーション拡張機能のチーム ID を入力しま

す。

URL アプリケーション拡張機能が SSO を実行する ID プロバイダの URL プレフィックスを 1 つ以上入力します。

追加設定 ExtensionData ノードに追加するプロファイルの追加設定を、XML コードで入力します。

Active Directory レルムこのオプションは、拡張機能タイプとして [Kerberos] を選択した場合にのみ表示されます。

Kerberos レルムの名前を入力します。

ドメインアプリケーション拡張機能を通じて認証できるホスト名またはドメイン名を入力します。

サイト自動検出を使用 Kerberos 拡張機能が LDAP および DNS を自動的に使用して Active Directory サイト

名を特定するオプションを有効にします。

自動ログインを許可パスワードをキーチェーンに保存することを許可するオプションを有効にします。

ユーザーの Touch ID またはパスワードが必

要

キーチェーンエントリにアクセスするための Touch ID、FaceID、またはパスコードをユー

ザーが入力できるようにするオプションを有効にします。

証明書同じ MDM プロファイルにあるデバイスにプッシュする証明書を選択します。

許可済みのバンドル ID Kerberos チケット保証チケット (TGT) へのアクセスを許可するアプリケーションバンド

ル ID のリストを入力します。


AirPlay ホワイトリストプロファイルを構成する

AirPlay ペイロードを構成し、特定のデバイスセットをホワイトリスト設定し、デバイス ID に基づいてストリーム

権限を配信することができます。また、Apple TV への表示アクセスがパスワード保護されている場合、パスワード

を事前入力して接続を確立することができます。承認されていない人に暗証番号が知られることはありません。


VMware, Inc. 54

なお、Apple TV を Workspace ONE UEM に加入させていない場合でも、このペイロードは機能します。tvOS の機能の詳細については、「[tvOS Management] guide」を参照してください。

注：現在のところ、AirPlay 出力先をホワイトリストに登録する機能は、監視モードの iOS 7 デバイスおよび iOS 8 デバイスでのみ利用できます。

手順

1 [リソース] >[ プロファイルとベースライン] > [プロファイル]>[ 追加] の順に進みます。プラットフォームリストで [Apple iOS] を選択します。


3 [AirPlay ミラーリング] ペイロードタブを選択します。

4 iOS 7 デバイスの場合、[パスワード] を構成します。iOS 7 以上の監視モードのデバイスの場合、[ホワイトリ

スト] を構成します。

設定説明

デバイス名 AirPlay 出力先に対するデバイス名を入力します。

パスワード AirPlay 出力先に対するパスワードを入力します。ホワイトリストに登録するデバイスを追

加するには、[追加] を選択します。

表示名出力先ディスプレイの名前を入力します。この名前は、tvOS のデバイス名と同じにする必要

があります。また、大文字/小文字が区別されます。このデバイス名は、tvOS のデバイス設定

で確認できます。(iOS 7 以降の監視モード)

デバイス ID 出力先ディスプレイに対するデバイス ID を入力します。デバイス ID は、形式

XX:XX:XX:XX:XX:XX で表される MAC アドレスまたはイーサネットアドレスです。ホワ

イトリストに登録するデバイスを追加するには、[追加] を選択します。(iOS 7 以降の監視モ

ード)

5 これで、iOS 7 以上を搭載した監視モードのデバイスに対して、AirPlay 出力先ホワイトリストが作成されまし

た。続いて、デバイスコントロールパネルを使用して AirPlay を手動で有効または無効にします。

a [デバイス] - [リスト表示] の順に選択し、AirPlay を使用するデバイスを探し、そのデバイスのフレンドリ

名を選択します。

b [サポート] を選択し、サポートオプションのリストで [AirPlay 開始] を選択します。

c AirPlay プロファイルで作成した [出力先] を選択します。必要に応じて [パスワード] を入力し、[スキャン

時間] を選択します。または、出力先リストで [カスタム] を選択し、このデバイスに対するカスタム出力先

を作成します。

d [保存] を選択し、プロンプトを受け入れて AirPlay を有効にします。

6 デバイス上で AirPlay を手動で無効にするには、デバイスのコントロールパネルに戻り、[サポート] を選択し、

[AirPlay 停止] を選択します。


VMware, Inc. 55

AirPrint プロファイルを構成する

Apple デバイスに対して AirPrint ペイロードを構成すると、デバイスが AirPrint プリンタとは異なるサブネット

上にあっても、コンピュータで AirPrint プリンタを自動的に検出できます。

手順

1 [リソース] > [プロファイルとベースライン] > [プロファイル] > [リスト表示] > [追加] の順に進み、適切なプ

ラットフォームを追加します。Apple macOS を選択した場合は、このプロファイルを、デバイスの加入ユー

ザーのみに適用するか（[ユーザープロファイル]）、デバイス全体に適用するか（[デバイスプロファイル]）を

指定します。


3 [AirPrint] ペイロードタブを選択します。

設定説明

IP アドレス IP アドレスを入力します (XXX.XXX.XXX.XXX)。

リソースパス AirPrint プリンタに関連付けられているリソースパスを入力します (ipp/printer または

printers/Canon_MG5300_series)。プリンタのリソースパスと IP アドレス情報を確認

するには、AirPrint プリンタ情報の取得セクションを参照してください。


AirPrint プリンタ情報の取得

IP アドレスやリソースパスなど、AirPrint プリンタの情報を確認するには、このセクションで説明する手順を実行

します。

1 AirPrint プリンタが配置されているローカルネットワーク（サブネット）に iOS デバイスを接続します。

2 ターミナルウィンドウ（/Applications/Utilities/ にあります）を開き、次のコマンドを入力して、Return キーを押します。

ippfind

注：コマンドを使用して取得されたプリンタ情報を書き留めます。最初の部分はプリンタの名前で、最後の部

分はリソースパスです。

ipp://myprinter.local.:XXX/ipp/portX

3 IP アドレスを取得するには、次のコマンドとプリンタの名前を入力します。

ping myprinter.local.

注：コマンドを使用して取得された IP アドレス情報を書き留めます。

PING myprinter.local (XX.XX.XX.XX)


VMware, Inc. 56

4 手順 2 および 3 で得られた IP アドレス (XX.XX.XX.XX) とリソースパス (/ipp/portX) を AirPrint ペイロ

ードの設定に入力します。

セルラー設定プロファイルを構成する

デバイス上でセルラーネットワーク設定を構成し、キャリアのセルラーデータネットワークへのアクセス方法を指

定するには、セルラーペイロードを構成します。

既定の APN 以外の APN を使用するには、このペイロードをプッシュします。APN 設定が誤っている場合、セル

ラーデータネットワークに接続できなくなる可能性があるため、ご使用のキャリアに合っている APN 設定を確認

してください。セルラー設定の詳細は、Apple のナレッジベースの記事を参照してください。

手順



3 iOS 7 以降を搭載しているデバイスに対する[セルラー]ペイロードを選択します。

4 セルラーペイロード設定を構成します。

設定説明

アクセスポイント名 (APN) キャリアから提示された APN を入力します (例: come.moto.cellular)。

認証タイプ認証プロトコルを選択します。

アクセスポイントユーザー名認証に使用するユーザー名を入力します。

アクセスポイントパスワード認証に使用する APN パスワードを入力します。

アクセスポイント名キャリアから提示された APN を入力します (例: come.moto.cellular)。

アクセスポイントユーザー名認証に使用するユーザー名を入力します。

認証タイプ認証プロトコルを選択します。

パスワード認証に使用する APN パスワードを入力します。

プロキシサーバプロキシサーバの詳細情報を入力します。

プロキシサーバポートすべてのトラフィックに対して使用するプロキシサーバポートを入力します。[追加] を選択

し、このプロセスを続行します。


ホーム画面レイアウトプロファイルを構成する (iOS の監視モード)

このペイロードを使用してホーム画面をカスタマイズします。この機能により、貴社のニーズに合わせてアプリケー

ションをグループ化することができます。

このペイロードをデバイスにプッシュすると、ホーム画面がロックされます。管理者がカスタマイズした画面をユー

ザーが変更することはできません。このペイロードは iOS 9.3 以降の監視モードデバイスに適用されます。


VMware, Inc. 57

http://support.apple.com/kb/ht4839

手順




3 リストから [ホーム画面レイアウト] ペイロードを選択します。

設定説明

Dock Dock に表示するアプリケーションを選択します。

ページデバイスに追加するアプリケーションを選択します。ページを追加し、アプリケーションをグ

ループにして追加することもできます。

フォルダを追加デバイス画面の選択したページに新規フォルダを構成します。

n グレーのバーの [鉛筆アイコン] をクリックし、フォルダ名を入力/変更します。

4 ページを追加したい場合は [ページを追加] をクリックします。

5 [保存して公開] を選択し、プロファイルをデバイスにプッシュします。

ロック画面メッセージプロファイルを作成する

エンドユーザーのデバイスのロック画面をカスタマイズし、紛失したデバイスを回収するのに役立つ情報が表示され


手順


2 プロファイルの [全般] を構成します。

3 ロック画面メッセージを構成します。

設定説明

「紛失デバイスの返却先」メッセージ拾得されたデバイスの返却先の名前または組織を表示します。このフィールドは参照値をサポ

ートします。

アセットタグ情報デバイスのロック画面にデバイスのアセットタグ情報を表示します。このアセットタグは、

重複させたり、デバイスに物理アセットタグが付加されている場合はそれと置き換えたりする

ことができます。このフィールドは参照値をサポートします。


Google アカウントサポートプロファイルを構成する (iOS)

このプロファイルを適用した場合、エンドユーザーは、iOS デバイスのネイティブメールアプリケーションで自分

の Google アカウントを使用できます。Google アカウントは、UEM コンソールで直接追加します。


VMware, Inc. 58

手順

1 [リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進みます。プラットフォームと

して [Apple iOS] を選択します。


3 ユーザーのアカウント情報を構成します。

設定説明

アカウント名 Google アカウントの完全なユーザー名。これは、E メールメッセージ送信時に表示されるユ

ーザー名です。

アカウントの説明 Google アカウントの説明。｢メール｣および｢設定｣に表示されます。

メールアドレスアカウントに対する完全な Google E メールアドレス。

既定の音声通話アプリ構成済み Google アカウントを使用して通話する際の、既定のアプリケーションを検索して選

択します。


カスタム設定プロファイルを構成する

Workspace ONE UEM のネイティブペイロードで現在サポートされていない iOS の新機能がリリースされた場

合、[カスタム設定] ペイロードを使用できます。Workspace ONE UEM の最新リリースを待たずにこれらの設定

を制御したい場合、[カスタム設定] ペイロードと XML コードを使用して、特定の設定を手動で有効化/無効にする

ことができます。

前提条件

n ユーザーへの影響を回避しつつ、保存して公開する準備をしたい場合、貴社のプロファイルをコピーし、「test」組織グループの下に保存することができます。

n XML の表示時に暗号化された値が表示される場合があるため、プロファイルをスマートグループに割り当てな

いでください。

手順

1 [リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] > [プロファイルを追加] > [iOS] の順

に進みます。


3 適切なペイロード (例: 制限事項、パスコード) を構成します。


注：手順 1～4 で作成したプロファイルがどのスマートグループにも割り当てられていないことを確認します。

割り当てられていると、xml を表示するときにデータが暗号化される場合があります。

5 プロファイルページに戻り、プロファイル名の横にあるラジオボタンを使用してプロファイルを選択します。

リストの上にメニューオプションが表示されます。


VMware, Inc. 59

6 メニューの [</> XML] を選択します。[プロファイル XML の表示] ウィンドウが開きます。

7 <dict> ～ </dict> で始まる、構成済みのテキストセクション (例: 制限事項、パスコード) を探し、コピーしま

す。このテキストセクションには、その目的を示す構成タイプ (例: 制限事項) が含まれています。この例に示す

ように、PayloadContent 内の単一のディクショナリコンテンツをコピーする必要があります。

<plist version="1.0">

<dict>

<key>PayloadContent</key>

<array>

<dict>

<key>safariAcceptCookies</key>

<real>2</real>

<key>safariAllowAutoFill</key>

<true />

<key>PayloadDisplayName</key>

<string>Restrictions</string>

<key>PayloadDescription</key>

<string>RestrictionSettings</string>

<key>PayloadIdentifier</key>

<string>745714ad-e006-463d-8bc1-495fc99809d5.Restrictions</string>

<key>PayloadOrganization</key>

<string></string>

<key>PayloadType</key>

<string>com.apple.applicationaccess</string>

<key>PayloadUUID</key>

<string>9dd56416-dc94-4904-b60a-5518ae05ccde</string>

<key>PayloadVersion</key>

<integer>1</integer>

</dict>

</array>

<key>PayloadDescription</key>

<string></string>

<key>PayloadDisplayName</key>

<string>Block Camera/V_1</string>

<key>PayloadIdentifier</key>

<string>745714ad-e006-463d-8bc1-495fc99809d5</string>

<key>PayloadOrganization</key>

<string></string>

<key>PayloadRemovalDisallowed</key>

<false />

<key>PayloadType</key>

<string>Configuration</string>

<key>PayloadUUID</key>

<string>86a02489-58ff-44ff-8cd0-faad7942f64a</string>

<key>PayloadVersion</key>

<integer>1</integer>

</dict>

</plist>

XML コードの詳細な例と情報については、ナレッジベースの記事 https://support.workspaceone.com/articles/115012790248 を参照してください。


VMware, Inc. 60

https://support.workspaceone.com/articles/115012790248


8 XML ウィンドウで dict タグの間に暗号化されたテキストが表示されている場合は、プロファイルページの設

定を変更して復号化されたテキストを生成できます。これを行うには、次の手順を実行します。

a [グループと設定] > [すべての設定] > [デバイス] > [ユーザー] > [Apple] > [プロファイル] の順に移動し

ます。

b カスタム設定オプションを無効にします。

c [プロファイルを暗号化] オプションを無効にしてから保存します。

9 [カスタム設定] プロファイルに戻り、コピーした XML コードをテキストボックスに貼り付けます。貼り付けた

XML コードには、<dict> ～ </dict> という完全なコードブロックが含まれています。

10 構成済みの元のペイロードを削除するために、ベースペイロードセクション (例: 制限事項、パスコード) を選

択し、｢-｣ボタンをクリックします。新機能に対するカスタム XML コードを追加することにより、プロファイ

ルの機能を強化できます。



VMware, Inc. 61

順守ポリシー 4順守エンジンは Workspace ONE UEM powered by AirWatch によって自動化されたツールであり、すべての

デバイスがポリシーを順守していることを保証します。これらのポリシーには、パスコードを要求する、デバイスロック期間の下限を設定するなど、基本的なセキュリティ設定を含めることができます。

特定のプラットフォームについては、一定の予防措置を設定し、強制することも可能です。予防措置には、パスワー

ドの強度を設定すること、特定のアプリをブラックリスト設定すること、デバイスのチェックイン間隔を要求するこ

とによって、デバイスが安全に保護され、Workspace ONE UEM と確実に接続された状態にすることが含まれま

す。デバイスが非順守状態であると判断されると、順守エンジンは、デバイスに罰則が適用される前に順守違反を正

すよう、ユーザーに警告を送信します。例えば、デバイスが非順守状態にある場合は順守エンジンからユーザーにメ

ッセージが送信されるように設定することができます。

また、順守状態にないデバイスにはデバイスプロファイルが割り当てられず、そのデバイスにアプリをインストール

することもできません。指定期間内に是正されなければ、デバイスのコンテンツとアプリへのアクセスをブロックし

ます。利用できる順守ポリシーと対応措置はプラットフォームにより異なります。

順守ポリシーの詳細（例：特定のプラットフォームでサポートされているポリシーおよびアクション）は、[デバイス

を管理する] を参照してください。このドキュメントは、docs.vmware.com で入手できます。

VMware, Inc. 62

https://docs.vmware.com

iOS のアプリ 5Workspace ONE UEM MDM 機能を Workspace ONE UEM アプリと組み合わせると、セキュリティと機能を

さらに強化できます。また、UEM コンソールを使用することにより、従業員所有デバイス、会社所有デバイス、お

よび共有デバイスにある Workspace ONE UEM 関連アプリのライフサイクル全体を簡単に管理できます。

Workspace ONE UEM アプリケーションを使用すると、管理者とエンドユーザーは次のことができます。

n VMware Workspace ONE Content を使用して、個人用コンテンツフォルダを同期させる

n インターネット検索をセキュア化するように VMware Workspace ONE Web を構成する

n VMware Workspace ONE Boxer で E メールを構成する

n AirWatch Container を MDM の代わりに使用し、企業ポリシーを維持しながらデバイス上の業務データを個

人データから隔離する

アプリの管理に関する詳細は、[モバイルアプリケーション管理] を参照してください。


n iOS 向け Workspace ONE Intelligent Hub

n VMware Workspace ONE Content

n VMware Workspace ONE Web

n VMware Workspace ONE Boxer

n iOS 向け AirWatch Container

n シングルサインオンパスコードをアプリケーションレベルで適用する

n Apple Configurator の概要

iOS 向け Workspace ONE Intelligent Hub

iOS 向け Workspace ONE Intelligent Hub の役割は、管理対象デバイスの情報を収集し、UEM Console に通

知することです。この情報には機密データが含まれている可能性があるので、Workspace ONE UEM ではさまざ

まな手段によって、この情報が暗号化されていることや、この情報の発生元が信頼されているソースであることが確

認されます。

VMware, Inc. 63

Workspace ONE UEM は、一意の証明書ペアを使用して、iOS 向け Workspace ONE Intelligent Hub とサ

ーバの間で送受信されるすべてのデータに対して、署名と暗号化を行います。サーバではこれらの証明書に基づいて、

Workspace ONE UEM に加入している各デバイスの ID と信頼性が検証されます。このセクションでは、

AirWatch Agent と AirWatch サーバにおけるセキュリティ強化のメリットと必要性について説明します。

証明書の交換

データ転送前に、Workspace ONE Intelligent Hub アプリケーションとサーバの間で、パーソナライズされた証

明書が交換されます。両者の関係が確立されるのは、加入時に iOS 向け Workspace ONE Intelligent Hub が

Workspace ONE UEM サーバに初めてチェックインしたときです。

1 iOS 向け Workspace ONE Intelligent Hub が Workspace ONE UEM サーバにアクセスし、サーバの証

明書パブリックキーを取得します。iOS 向け Workspace ONE Intelligent Hub と Workspace ONE UEM サーバはいずれも、Workspace ONE UEM ルート証明書のパブリックキーを信頼します。ルート証明

書は、加入時に交換されるすべての証明書の信頼性を証明するものです。

2 iOS 向け Workspace ONE Intelligent Hub が、Workspace ONE UEM ルート CA 証明書と照合して、

サーバの証明書を検証します。

3 iOS 向け Workspace ONE Intelligent Hub が、一意の証明書パブリックキーを Workspace ONE UEM サーバに送信します。

4 Workspace ONE UEM サーバが、Workspace ONE Intelligent Hub の証明書をデータベース内のデバイ

スと関連付けます。

転送中データのセキュリティ保護

証明書の初回交換後に UEM コンソールに送信されるデータは、すべて暗号化されます。次の表は、2 種類の証明書

とその役割を示したものです。

Hub 証明書サーバ証明書

Workspace ONE Intelligent Hub データに署名するデータを暗号化する

Workspace ONE UEM サーバデータ送信元を検証するデータを復号する


VMware, Inc. 64

API およびアプリケーション機能

iOS デバイス上で管理と追跡を行う目的で Workspace ONE UEM によって使用される API には、次の 2 つのカ

テゴリがあります。

n [ワイヤレス (OTA) MDM API] は、iOS 向け Workspace ONE Intelligent Hub が使用されているかどう

かにかかわらず、加入プロセスでアクティブ化されます。

n [ネイティブ iOS SDK API] は、Workspace ONE UEM ソフトウェア開発キット (SDK) を使用している、

サードパーティ製アプリケーション、Workspace ONE Intelligent Hub アプリケーション、およびその他の

アプリケーションで利用できます。

iOS 向け Workspace ONE Intelligent Hub は「ブローカーアプリケーション」として、ネイティブ iOS SDK API 管理層と連携します。iOS 向け Workspace ONE Intelligent Hub と iOS 向け Workspace ONE UEM SDK を組み合わせて使用した場合、アプリケーションに対して拡張 MDM 機能を利用できます。この拡張 MDM 機能は、ワイヤレス (OTA) MDM API 層に備わっている機能を拡張したものです。

iOS デバイスの Workspace ONE Intelligent Hub 設定を構成する

UEM Console で Workspace ONE Intelligent Hub 設定をカスタマイズできます。Workspace ONE Intelligent Hub とともに使用するように SDK Profile を指定すれば、Workspace ONE UEM の機能を利用で

きます。

手順

1 [デバイス] - [デバイス設定] - [Apple] - [Apple iOS] - [Hub 設定] の順に進みます。

2 Workspace ONE Intelligent Hub の次の設定を構成します。

表 5-1. 全般

設定説明

[Hub の加入解除オプショ

ンを無効化]このオプションを有効にした場合、ユーザーは Workspace ONE Intelligent Hub を使用して Workspace ONE UEM MDM から加入解除することができません。この設定は、Workspace ONE Intelligent Hub v4.9.2 以降でのみ使用できます。

[背景アプリリフレッシュ] この設定では、Workspace ONE Intelligent Hub に対して、アプリのコンテンツを更新するまでの時間間隔

として許可される最長時間を指定します。アプリケーションによっては、サスペンド状態になるまでの実行時間が

短い場合があります。背景アプリリフレッシュは、アプリケーション自体がこのサスペンド状態から復帰する、

iOS の機能です。このリフレッシュの間、Workspace ONE Intelligent Hub は、侵害の検出、ハードウェア

の詳細、GPS、iBeacon およびテレコムなどの情報を UEM Console にレポートします。Workspace ONE Intelligent Hub がリフレッシュを行う頻度は OS によって管理され、デバイスが電源に接続されている、頻繁

に使用されている、または Wi-Fi に接続されているなど、効率的なときにのみ実行されます。

バックグラウンドアプリの更新機能を活用するには、この設定を UEM Console で有効にする必要があり、

Workspace ONE Intelligent Hub がデバイス上で終了されないようにし、Workspace ONE Intelligent Hub の [設定] - [全般] - [バックグラウンドアプリの更新] で、バックグラウンドアプリの更新がデバイスに対

して有効になっている必要があります。

[最小更新間隔] デバイスが次のアプリケーションコンテンツ更新を実行するまでに経過する必要がある時間を選択します。

[Wi-Fi 接続時のみ送信可] このオプションを有効にした場合、Wi-Fi 接続時にのみ背景がリフレッシュされます。


VMware, Inc. 65

3 UEM console の [設定とポリシー] ページで、Workspace ONE Intelligent Hub に関するその他の構成情

報をカスタマイズします。このガイドのシングルサインオンパスコードをアプリケーションレベルで適用する

に関するページも参照してください。

次のステップ

オフラインアクセス、ブランディングとその他の設定とポリシーの詳細については、「[VMware AirWatch Mobile Application Management ガイド]」を参照してください。で入手できます。

iOS 向け Workspace ONE Intelligent Hub Mobile Application

Workspace ONE Intelligent Hub 加入後は、既定設定で [マイデバイス] 画面が開くようになっています。この

画面で、デバイスに関するリアルタイム情報を表示すること、デバイスを同期させること、デバイスを再加入させる

こと、UEM コンソールから届いたメッセージを表示することができます。

すべての状態情報を表示するには、UEM Console の [[Hub 設定]] で、[[セルフサービス有効化]] チェックボック

スをオンにする必要があります。

注： [[Hub 設定]] で [[Hub の加入解除オプションを無効]] チェックボックスを選択していない場合、

Workspace ONE Intelligent Hub v4.9.2 を使用して再加入する前に、[[デバイスを加入解除する]] を選択して

ください。

マイデバイス機能

n [状態] メニューをタップし、さまざまな状態を確認し、セルフサービス診断オプションを閲覧します。

n [デバイスを同期する] – このオプションをタップした場合、デバイスを UEM コンソールと再同期させるた

めの要求が送信されます。

n [現在の状態] – このメニューを使用し、加入に関する情報を表示したり、デバイスの再加入を行ったりする

ことができます。また、アカウントと順守状態を表示することもできます。

n [[診断]] – このメニューを使用し、接続のテスト、インターネットアクセス状態の表示、接続に関する問題

の閲覧、サーバ情報の確認、Hub とデバイスのログの閲覧と送信などを行います。

n [デバイス詳細] メニューをタップし、以下のような状態を確認します。

n [ネットワーク] – ネットワークアダプタと IP アドレスを閲覧します。

n [高度な設定] – このメニューを使用し、デバイスのバッテリ、メモリ、およびディスクスペースに関する情

報を閲覧します。

n [位置情報]– 現在のデバイスの GPS 座標と、これまでの履歴を表示します。

n [iBeacon] – iBeacon エリア名を表示します。iBeacon が構成されていても位置データが構成されてい

ない場合、iBeacon エリアだけが表示されます。iBeacon と位置データの両方が有効化されている場合、

iBeacon エリアとデバイスの位置を示すマップが表示されます。

n 画面下の [Dock] には次のような追加情報があります。

n [メッセージ] – UEM Console から届いた通知が表示されます。たとえば、メッセージセンターで通知を

受信して必要な順守状態検査を実行し、デバイスがモニタ可能な状態であることを確認することができます。


VMware, Inc. 66

n [[関連情報]] – Workspace ONE Intelligent Hub アプリケーションに関する情報および法的情報を表

示します。

VMware Workspace ONE Content

エンドユーザーは VMware Workspace ONE Content を使用することにより、デバイス上の重要情報にアクセ

スすることや、業務用ファイルの安全性を確保することができます。

エンドユーザーは、UEM Console で管理者がアップロードしたコンテンツ、同期されている社内リポジトリ内の

コンテンツ、および自分自身の個人用コンテンツを Workspace ONE Content で表示することができます。

管理者は UEM コンソールを使用して、コンテンツを追加する作業、リポジトリを同期させる作業、VMware Content Locker で開いたコンテンツに対してエンドユーザーが実行できる操作を構成する作業を行う必要があり

ます。このような構成作業を行うことにより、コンテンツが許可なくコピー、共有、または保存されることを防止で

きます。

MCM および VMware Workspace ONE Content 構成の詳細については、「[VMware Workspace ONE UEM Mobile Content Management Guide]」を参照してください。

VMware Workspace ONE Web

VMware Workspace ONE Web は、ネイティブ Web ブラウザの代わりとなるアプリケーションで、管理性と

セキュリティが高くなっています。アプリレベルで、トンネルで、または Web サイトレベルで Web 閲覧のセキ

ュリティを保護することができます。

管理者は、貴社の業務ニーズに合わせて Workspace ONE Web を構成できます。具体的には、特定の Web サイトにのみアクセスできるようにすることや、モバイル POS 端末用のセキュアなインターネットポータルを用意す

ることができます。複数のタブを開いての Web 閲覧、Javascript ダイアログボックスといった、使い慣れたブラ

ウジングエクスペリエンスをユーザーに提供します。Android および iOS デバイスでのセキュリティを強化する

ため、Workspace ONE Web を展開する際に、ネイティブブラウザをブロックする制限事項プロファイルを一緒

に展開することをお勧めします。

Workspace ONE Web を展開するための準備と構成方法の詳細は、「[VMware Workspace ONE Web Admin Guide]」を参照してください。

VMware Workspace ONE Boxer

VMware Workspace ONE Boxer は、コンシューマのモバイル生産性向上に照準を合わせ、AES 256-ビット暗

号化によるエンタープライズレベルのセキュリティを提供する E メールアプリケーションです。このアプリでは、

仕事用のデータが個人用のデータとは別にコンテナ化されるので、企業所有デバイス上および個人所有デバイス上の、

業務用の E メール、予定表、および連絡先にシームレスにアクセスできます。

ユーザーは、Workspace ONE Boxer のスワイプジェスチャ、連絡先アバター、スマートフォルダやアカウント

カラーのカスタマイズ機能を使用し、それぞれのニーズに合わせてアプリをパーソナライズできます。E メール、カ

レンダーと連絡先を含むこのアプリは、ネイティブガイドラインに倣ったデザインで、直感的なユーザー体験を提供

します。


VMware, Inc. 67

VMware Workspace ONE Boxer の詳細は、『VMware Workspace ONE Boxer 管理者ガイド』を参照して

ください。

iOS 向け AirWatch Container

AirWatch Container は、個人デバイスに安全なワークスペースをプッシュし、個人デバイスの業務利用 (BYOD) への柔軟なアプローチを可能にします。企業は、Workspace ONE UEM アプリケーションおよび社内アプリケー

ションを、従業員がモバイルデバイス上で使用する AirWatch Container に配布できます。

アプリケーションは AirWatch Container の内部でも外部でも表示されますが、社内アプリケーションは、共通の

SDK フレームワークとコンテナパスコードによってセキュリティ保護されています。これらのアプリケーション

は、シングルサインオン認証によってシームレスにやり取りでき、アプリケーショントンネル VPN 経由でインター

ネットにセキュアにアクセスできます。

AirWatch Container の詳細は、[VMware AirWatch][ Container Admin Guide] を参照してください。。

シングルサインオンパスコードをアプリケーションレベルで適用する

エンドユーザーは、シングルサインオン (SSO) 機能を利用し、1 つの SSO パスコードを使用してすべての

Workspace ONE UEM アプリ、ラッピングされたアプリ、および SDK 対応アプリにアクセスできます。アプリ

ごとにログイン資格情報を入力する必要はありません。Workspace ONE Intelligent Hub または AirWatch Container をいわば「ブローカーアプリケーション」として使用することにより、エンドユーザーは、通常の資格

情報または SSO パスコードを 1 回入力するだけで認証を行うことができます。

SSO の有効化は、[セキュリティポリシー] で行います。管理者はこのセキュリティポリシーを、すべての

Workspace ONE UEM アプリ、ラッピングされたアプリ、および既定の SDK プロファイルを使用している SDK 対応アプリに適用されるように構成します。

手順

1 [グループと設定] - [すべての設定] - [アプリ] - [設定とポリシー] - [セキュリティポリシー] の順に進みます。

2 [シングルサインオン] で [有効] を選択します。これによりエンドユーザーは、すべての Workspace ONE UEM アプリケーションにアクセスし、ログイン状態を維持することができます。

3 （オプション） [認証タイプ] で [パスコード] を選択し、[パスコードモード] で [数字] または [英数字] を選択

します。これにより、デバイス上で SSO パスコードの入力が必須になります。SSO を有効にしているが認証タ

イプを有効にしていない場合、エンドユーザーは通常の資格情報 (ディレクトリサービスまたは Workspace ONE UEM のアカウント) を使用して認証を行います。この場合、SSO パスコードは設定されていません。

結果

エンドユーザーは、SSO の対象アプリケーションに認証を行い、セッションを確立します。SDK プロファイルで指

定されている [認証タイムアウト] 時間に達するか、ユーザーがアプリケーションを手動でロックするまで、セッショ

ンはアクティブなまま維持されます。


VMware, Inc. 68

Apple Configurator の概要

Workspace ONE UEM と Apple Configurator を組み合わせて使用することにより、展開されている大量の

iOS デバイスを監視および管理できます。管理者は、構成プロファイルを作成したり、iPhone 構成ユーティリティ

から既存の構成プロファイルをインポートしたり、特定のオペレーティングシステムバージョンをインストールし

たりできます。また、iOS デバイスセキュリティポリシーを適用することもできます。

macOS ノート上で Apple Configurator 2 をインストールして実行し、Workspace ONE UEM コンソールと

組み合わせて使用することにより、多数のデバイスを同時に監視および構成できます。

n 構成時に Workspace ONE UEM MDM プロファイルをインストールすることにより、デバイスを自動加入さ

せることができます。

n 複数ユーザー間で共有されている業務用デバイスを監視できます。

n 構成プロファイルを作成することにより、Wi-Fi ネットワークに関するデバイス設定を修正することや、E メー

ルと Microsoft Exchange の設定を事前構成することができます。

n デバイス上で Apple ID を入力する必要がない、パブリックアプリを配布できます。

n ブループリントを作成することにより、デバイス管理を自動化できます。ブループリントをテンプレートとして

使用することにより、プロファイルとアプリケーションを構成し、デバイスに迅速にプッシュすることができま

す。

n デバイスに監視機能を追加することにより、より多くの管理機能を利用することができます。たとえば、アプリ

ケーションの表示/非表示を切り替えることや、デバイス名、壁紙、パスコード、キーボードショートカットな

どを変更することができます。

n ユーザー設定およびアプリケーションデータ (ユーザーが Apple Configurator を使用して新規に作成したデ

ータを含む) をバックアップできます。

また、Apple Configurator 2 は Apple のデバイス登録プログラム (DEP) と連携し、管理対象ライセンスアプリ

ケーションをデバイスに割り当てることによって、モバイルデバイス管理 (MDM) 加入処理と VPP (Volume Purchase Program) の適用を自動化します。

監視モードデバイスおよび監視対象外デバイスのそれぞれで利用可能な機能については、10 章 iOS 機能マトリック

ス: 監視対象と非監視対象を参照してください。

Apple Configurator を使用して iOS デバイスを加入させる手順については、Apple Configurator を使用した

iOS デバイスの一括加入および [Integration with Apple Configurator] を参照してください。

署名付きの Apple Configurator プロファイルを UEM Console にアップロードする

署名付きプロファイルを Apple Configurator (または IPCU) から UEM コンソールに直接エクスポートできま

す。

手順

1 Apple Configurator (または IPCU) で監視/管理設定を構成します。

2 新規に作成したプロファイルを、コンピュータから簡単にアクセスできる場所にエクスポートして保存します。


VMware, Inc. 69

3 UEM console で [リソース] > [プロファイルとベースライン] > [プロファイル] の順に進み、[アップロード] を選択します。

4 [管理元] グループを入力して [アップロード] をクリックし、Apple Configurator (または IPCU) からエクス

ポートしたプロファイルを探してアップロードします。[続行] をクリックします。

5 プロファイルの概要情報 (例: 名前、説明、割り当てられている組織グループ) を入力します。

6 [保存して公開] を選択し、割り当てられているデバイスにプロファイルを送信します。


VMware, Inc. 70

iOS デバイスの構成 6Workspace ONE UEM を使用すれば、エンドユーザーのデバイス使用環境を管理するための主要要素を構成し、

貴社の目的を達成することができます。このセクションで説明する機能を利用すれば、管理対象デバイスのインター

フェイスとエクスペリエンスをきめ細かく制御できます。

これらの構成の多くは、特定の環境タイプ (例: Apple DEP 環境、Apple School Manager 環境) でのみ利用で

きます。


n Apple の業種別テンプレート

n Apple iBeacon の概要

n アクティベーションロックの概要

n iOS デバイス用に AirPlay を要求する

n リモート表示

n iOS デバイスの管理設定を構成する

n 既定のローミングの設定を上書きする (iOS)

n 既定の壁紙を設定する

n 既定の組織情報を設定する

n iOS デバイスにフォントをインストールする

n iOS アプリケーションに対する Cisco QoS のマーキング

Apple の業種別テンプレート

展開プロセスを迅速に進めるために、適切な業種別テンプレートをご利用ください。

Apple の業種別テンプレートや個々のエンティティは、推奨のモバイルアプリ、プロファイル、および順守ポリシ

ーを自動的にまとめ、必要な組織グループに同時にプッシュできるようにするものです。

n UEM コンソール v8.2.2 で利用できる業界テンプレートには、｢ヘルスケア｣および｢小売業｣があります。

n UEM コンソール v8.3 以降で利用できる業界テンプレートには、｢ヘルスケア｣、｢小売業｣、｢教育｣、｢ホスピタ

リティ｣、および｢フィールドサービス｣があります。

VMware, Inc. 71

テンプレートのタイプ

必要なモバイル構成のタイプに最適なテンプレートおよびイニシアティブを判断するには、次の表を参照してくださ

い。それぞれのテンプレートには、専門家の調査による業界標準およびベストプラクティスを踏まえた、推奨される

アプリケーションおよびセキュリティポリシーがあります。

業界イニシアティブ説明

医療機関向けソ

リューション

臨床共同作業セキュリティを損なうことなく、最適な治療や看

護を行えるように、医療スタッフおよび患者がタ

イムリーにコミュニケーションを取れるように

します。(UEM Console v8.2.2 以降)

モバイル臨床医

ワークフロー

医師、看護師、薬剤師などがリアルタイムにコミュニケーションを取れるよう

にし、自宅や別の医療施設にいる患者にも治療や看護を行えるようにします。

(UEM Console v8.2.2 以降)

患者のケア iPad およびモバイルアプリケーションを使用することで、患者の利便性を高

め、治療効果と患者の満足度を向上させます。(UEM Console v8.2.2 以降)

教育デジタル教室 iPad およびモバイルアプリケーションを使用

して、課題や学生の行動などについて教師、学

生、および保護者がコミュニケーションを取れる

ようにします。(UEM Console v8.3 以降)

楽しみながら学

ぶ

デジタルラーニングや共同作業を通じて、学生が集中して取り組めるように

します。(UEM Console v8.3 以降)

モバイルキャッ

シュレジスタ

従業員の認証を行って、書店や管理事務所など、どこにいても POS 機能を使

用できるようにします。(UEM Console v8.3 以降)

ホスピタリティゲストのエクスペリエンスサービスの予定を設定したり、娯楽を見つけた

り、特典を利用できるようにすることで、利用客

が記憶に残る体験をできるようにし、ロイヤルテ

ィを強化して再訪を促します。(UEM Console v8.3 以降)

ホテル管理予約の管理や、スタッフのスケジュール、シフトの担当、特別な依頼に関する

リアルタイムでの記録や確認ができます。(UEM Console v8.3 以降)

モバイルでの支

払い

モバイルでの支払いソリューションを POS システムに組み込むことで、顧客

がスムーズな支払方法を利用できるようになり、必要に応じて従業員の認証を

行うことで、従業員がどこにいても POS 機能を使用できるようになります。

(UEM Console v8.3 以降)

[小売業] 店舗内でのモバイルエクスペリエンス商品の閲覧、商品情報の提供、価格の確認、販売

を行えるようにすることで、店内のどこにいても

顧客にサービスを提供できるようになります。


モバイルキャッ

シュレジスタ

モバイル販売ポイントを作成することで、商品の設置場所を広げることができ

ます。

(UEM Console v8.2.2 以降)

店長マネージャが、レポート、従業員のスケジュールおよび給与に関する作業を店

内のどこからでも行えるようにします。(UEM Console v8.2.2 以降)


VMware, Inc. 72

業界イニシアティブ説明

フィールドサー

ビス

現場の社員ペーパーレスの優れたサービスやリアルタイム

のデータを顧客に提供することで、営業担当者、

サービスエンジニアなどの効率性を高めます。


フィールドマネ

ージャ

動的なスケジュール管理およびリアルタイムでのレポート機能を実現し、マネ

ージャが、従業員とのコミュニケーション、場所の特定、スケジュールの編

集、タスクの割り当てを行えるようにします。(UEM Console v8.3 以降)

業種別テンプレートのプロファイルおよび順守ポリシーの操作

n [プロファイル] – プロファイルの追加や編集の機能は、UEM コンソールの [リスト表示] ページでのみサポート

されています。[リスト表示] で行った変更は、[ハブ] の下の業種別テンプレートの UI には反映されないことに

注意してください。

n [順守ポリシー] – 業界テンプレート内で利用することができ、表示される順守ポリシーは、UEM コンソール

8.2.2 以降の｢侵害状態｣のみです。プロファイルと同様、順守ポリシーの追加や編集の機能は、[リスト表示] 画面でのみ利用できます。[リスト表示] で行った変更は、[ハブ] の下の業種別テンプレートの UI には反映されな

いことに注意してください。

プロファイルと遵守ポリシーの設定の詳細は、「VMware Workspace ONE UEM Mobile Device Management ガイド」を参照してください。この文書は Workspace ONE UEM Resources から入手できま

す。[]

Apple の業種別テンプレートを作成する

テンプレートを使用して、イニシアティブごとの設定を構成できます。さらに、患者のケアテンプレートを作成し

て、患者にプッシュできます。たとえば、臨床共同作業テンプレートを作成して、医師のユーザーグループおよび看

護師のユーザーグループにプッシュすることができます。

前提条件

この作業を始める前に、ユーザーグループを作成しておくことをお勧めします。

手順

1 [Hub] - [業種別テンプレート] - [リスト表示] - [テンプレート追加] の順に進みます。[テンプレート追加] ウィンドウが表示されます。

2 適切な業界カテゴリを選択します。[業種別テンプレートの使用を始める] ウィンドウが表示されます。

a 別の業種を選択して、別のイニシアティブを使用したい場合は、必要に応じて、ウィンドウの下部にある [別の業種を選択する] を選択すると、現在の業種が上書きされます。

3 構成するビジネスイニシアティブを選択し、[セットアップ] を選択します。

4 テンプレートの概要を確認したら、[次へ] を選択します。新しいウィンドウが表示され、テンプレートをカスタ

マイズできます。

5 [フレンドリ名] を設定します。これは、UEM コンソールに表示される名前です。


VMware, Inc. 73

https://secure.air-watch.com/login

6 アプリの選択や選択解除を行って、ユーザーにプッシュする [アプリケーション] を指定します。すべてのシード

アプリは推奨され、既定で選択されています。別の方法として、[アプリを追加] を選択して、アプリストアでパ

ブリックアプリケーションを選択するか、社内アプリケーションをアップロードすることもできます。

a [その他のオプション] を選択して、[自動] モードまたは [オンデマンド] モードでアプリケーションをプッ

シュし、カスタムの [アプリケーション構成] を作成して、キー値のペアを入力します。

「店舗内でのモバイルエクスペリエンス」テンプレートを選択し、シングルアプリモードの VMware Browser を指定する場合は、テンプレートをデバイスにプッシュする前に URL を構成します。URL を構

成するには、[グループと設定] - [すべての設定] - [アプリ] - [ブラウザ] - [モード] - [ホーム画面 URL] の順に進みます。デバイスは、監視モードに構成されている必要があります。

7 選択したテンプレートに適用される [ポリシー] を確認します。

8 展開する [ユーザー] またはユーザーグループを割り当てるか、ユーザーを作成します。ディレクトリユーザー

を追加するには、ディレクトリサービスがあらかじめ構成されている必要があります。新規ユーザーまたはグル

ープを作成すると、業種別テンプレートが展開済みでなくても、UEM Console の [アカウント] - [リスト表示] ページに表示されます。

9 選択内容を確認した後、[次へ] を選択します。

10 [公開] を選択します。新しいテンプレートによりスマートグループが作成され、そこにすべてのアプリ、プロフ

ァイル、ポリシー、ユーザーおよびユーザーグループが割り当てられます。新しいテンプレートは、[業種別テ

ンプレート] - [リスト表示] に表示されるようになります。

1 つのテンプレートを 1 つのデバイスグループに割り当てることをお勧めします。そうすることで、各デバイス

に、ビジネスイニシアティブが 1 つだけ割り当てられるようになります。1 つのグループに複数のテンプレート

を割り当てた場合、デバイスには、両方のテンプレートのすべてのアプリがインストールされ、最も制限の高い

ポリシーが送信されます。

Apple の業種別テンプレートのアプリケーションリストを編集する

特定のアプリケーション展開構成を使用して作成した業種別テンプレートをカスタマイズできます。

手順

1 パブリックアプリケーションを素早く削除し、更新されたアプリケーションリストを即座にユーザーにプッシ

ュします。

a [Hub] - [業種別テンプレート] - [リスト表示] の順に進みます。

b [鉛筆アイコン] を選択するか、テンプレート名を選択して、テンプレートを編集します。

c アプリケーションの選択を解除します。端のチェックマークが表示されなくなります。

d [次へ] - [公開] を選択して、テンプレートを保存し、再公開します。

2 社内アプリの新しいバージョンをアップロードする場合は、その前に古いバージョンを削除します。

a [鉛筆のボタン] を選択するか、テンプレートのリンクを選択して、テンプレートを編集します。

b [その他のオプション] を選択します。社内アプリケーションにゴミ箱のアイコンが表示されます。

c [削除] を選択し、プロンプトに従って、リストからアプリケーションを削除します。


VMware, Inc. 74

d [アプリを追加] を選択して、更新されたアプリケーションをアップロードします。

e [次へ] - [公開] を選択して、アプリケーションの新しいバージョンを含むテンプレートを保存し、再公開し

ます。

アプリケーションの編集は、業種別テンプレート内で行うことをお勧めします。ただし、UEM console の [リソース] - [アプリ] - [ネイティブ]からアプリケーションを編集することもできます。「ネイティブリスト表示」

ページからアプリケーションに対して加えた変更は、業種別テンプレートの UI には反映されません。

Apple の業種別テンプレートを削除する

テンプレートの編集と削除は、それが作成された組織グループまたはそのメイン組織グループレベルでのみ行うこと

ができます。それより上位の組織グループで作成されたテンプレートは、編集や削除を行うことはできません。参照

のみが可能です。

手順

1 [Hub] - [業種別テンプレート] - [リスト表示] の順に進みます。

2 [ラジオボタン] を選択します。リストの上部に [削除] ボタンが表示されます。

3 [削除] を選択し、プロンプトに従ってテンプレートを削除します。テンプレートを削除すると、対応するアプリ

ケーションおよびポリシーも、割り当てられたデバイスから削除されます。

テンプレートを削除しても、[アプリケーション] - [ネイティブ] からアプリケーションが削除されたり、[グルー

プ] - [リスト表示] からスマートグループが削除されたりすることはありません。

Apple iBeacon の概要

Apple の iBeacon を Workspace ONE Intelligent Hub v5.1 以降と併用することにより、デバイスの位置情報

を管理できます。iBeacon は、BLE (Bluetooth Low Energy) 規格に基づいており、ジオフェンス機能を使用し

た場合よりも効率的にデバイスを追跡できます。

BLE では、デバイスのバッテリがほとんど消費されません。また iBeacon を使用した場合、複数のエリアを同時に

監視できるので、より正確な追跡が可能になります。これにより、エンドユーザーのプライバシー保護が強化されま

す。デバイスは、常時追跡されるのではなく、特定のエリアに入ったときまたは特定のエリアから出たときにのみ追

跡されるためです。

サードパーティ製 iBeacon をセットアップした後、UEM コンソールで iBeacon を構成します。次に、モニタリ

ングする iBeacon エリアを作成します。最後に、iBeacon 機能に対応したデバイスプロファイルをプッシュし、

Workspace ONE Intelligent Hub を使用して構成済みエリア内の iBeacon を管理します。これらのエリアに

入ったデバイスを検出できます。また、デバイスイベントログを使用して、iBeacon エリア内で発生した変化を特

定することができます。

iBeacon の要件

n Workspace ONE UEM コンソール v8.1 以降

n サードパーティ製 iBeacon

n iOS 向け Workspace ONE Intelligent Hub v5.1 以降


VMware, Inc. 75

n デバイスの位置情報サービスを有効にする必要があります

n Bluetooth 機能を有効にする必要があります

n iPhone 4S 以降、iPad mini 以降、iPad 第 3 世代以降、iPod touch 第 5 世代以降

iBeacon の操作の詳細

n 最大 20 個のエリア (ジオフェンスおよび iBeacon グループ) をデバイスに割り当てることができます。これ

は、Apple が許容している最大値です。デバイスに割り当てる iBeacon グループの数が多い場合、デバイスの

バッテリ使用量が増えます。

n Workspace ONE Intelligent Hub は iBeacon の監視のみ行います。デバイスが iBeacon 送信機に接近

していることを検知する技術は使用されていません。

n あるデバイスが iBeacon グループから除外される前に Workspace ONE Intelligent Hub が強制終了され

た場合、Workspace ONE Intelligent Hub が再起動するまでそのデバイスは検出されません。

iOS デバイス用に iBeacon を有効にする

iBeacon を構成するには、まず、ブロードキャストを受信する iBeacon グループを Workspace ONE Intelligent Hub で検出できるようにします。モニタリングするデバイスに対して、iBeacon グループのセットを

追加します。

手順

1 [グループと設定] - [すべての設定] - [デバイスとユーザー] - [Apple] - [Apple iOS] - [Hub 設定] の順に進

みます。

2 スクロールして [エリア] を表示し、[iBeacon エリアを][検知する] を選択し、組織グループに対して iBeacon を有効にします。

3 [[保存]] を選択します。

4 [リソース] > [プロファイルとベースライン] > [設定] > [エリア] の順に進みます。

5 [追加] - [iBeacon グループ] の順に進みます。[追加] - [プロファイルを追加] の順に選択します。またはプロ

ファイルの左部にある鉛筆ボタンを使用して既存のプロファイルを [編集] します。[全般] プロファイル画面が

開きます。

6 [iBeacon グループ] 設定を構成します。

設定説明

グループ名 iBeacon グループの名前を入力します。

iBeacon 名 iBeacon の名前を入力します。

UUID 共有する iBeacon に対する一意の識別子を入力します。

Major 値 iBeacon エリアを細かく分割するための識別子を入力します。

Minor 値 iBeacon エリアを細かく分割するための追加の識別子を入力します。

7 [保存] を選択します。[エリア] に戻り、必要に応じて、左部のメニューボタンを使用して iBeacon グループ

を編集および削除します。


VMware, Inc. 76

iBeacon グループをデバイスプロファイルに割り当てる

iBeacon グループを作成した後、デバイスプロファイルに割り当てます。デバイスプロファイルは、デバイスが

iBeacon グループに属したときにインストールされ、iBeacon グループから除外されるとアンインストールされま

す。

手順

1 [リソース] > [プロファイルとベースライン] > [プロファイル] の順に進みます。[追加] > [プロファイルを追

加] の順に選択します。またはプロファイルの左部にある鉛筆ボタンを使用して既存のプロファイルを編集しま

す。[][全般] プロファイル画面が開きます。

2 [全般] プロファイル画面の [追加の割り当て条件] まで下にスクロールします。

3 [選択したエリア内のデバイスのみにインストール] を選択し、[割り当てられるジオフェンスエリア] で

iBeacon を選択します。

4 必要に応じ、ペイロードの構成を続行します。

5 [保存して公開] を選択します。これで、Workspace ONE Intelligent Hub を使用して iBeacon グループ内

のデバイスを管理できるようになりました。

iBeacon グループに順守ポリシーを追加する

iBeacon グループを作成した後は、デバイスが iBeacon グループに属したとき、または iBeacon グループから除

外されたときに処理を実行する順守ポリシーを追加します。

手順

1 [デバイス] - [順守ポリシー] - [リスト表示] の順に進み、[追加] を選択し、[Apple iOS] を選択します。

2 適用するルールとして、[任意] または [すべて] を選択します。

3 [iBeacon エリア] を選択し、[エリア内/エリア外] のいずれかと iBeacon グループを選択し、[次へ] をクリッ

クします。

4 [アクション] タブを選択し、iBeacon グループ内で実行する処理を選択します。Apple iOS で適用可能なアク

ションの詳細については、『デバイスの管理』ドキュメント内の「プラットフォームでの順守ポリシーのアクショ

ン」のセクションを参照してください。

5 順守ポリシーの構成完了後、[完了してアクティブ化する] を選択します。UEM コンソールのデバイス詳細画面

で、ポリシーが有効になっていることを確認します。

アクティベーションロックの概要

アクティベーションロックは、iOS 7 以降を搭載するデバイスのためのセキュリティ機能で、Apple の｢iPhone を探す｣機能を使用します。この機能を利用すると、紛失したデバイスや盗難にあったデバイスを、承認されていな

い人物が簡単に使用することができなくなります。


VMware, Inc. 77

アクティベーションロックが有効になっている場合、デバイスのロックを解除するには、エンドユーザーの Apple ID とパスワードが要求されるからです。デバイスがワイプされた場合や、DFU モードなどを使用して工場出荷状態

にリセットされた場合でも同様です。iOS の機能であるアクティベーションロックの詳細については、Apple のサ

ポート記事｢｢iPhone を探す｣のアクティベーションロック｣を参照してください。

前提条件

アクティベーションロック機能を使用するには、デバイスが以下の条件を満たしている必要があります。

n 有効な Apple ID とパスワードが割り当てられている

n ｢iPhone を探す｣が有効になっている

監視対象と非監視対象でのアクティベーションロックの違い

アクティベーションロックでデバイスを管理できる範囲は、デバイスが監視対象であるか非監視対象であるかに応じ

て異なります。次の表は、この違いをまとめたものです。

非監視対象監視対象

n エンドユーザーが｢iPhone を探す｣設定を有効にする必要がある。

n 特定のデバイスでアクティベーションロックが有効になっているか

どうかを管理者が表示できる。

n デバイスワイプコマンドの実行時、アクティベーションロックが有

効なデバイスは元の Apple ID とパスワードがないと再アクティブ

化できないことを通知する警告に対して、管理者が承諾する必要があ

る。[*]

n 管理者がアクティベーションロックを有効にすることができる。こ

れによって自動的に｢iPhone を探す｣設定が有効になる。

n 特定のデバイスでアクティベーションロックが有効になっているか

どうかを管理者が表示できる。

n 管理者は、以下に記載されている 3 つの方法のいずれかを使用して

アクティベーションロックを解除できる。

[*]デバイスを再アクティブ化するために以前の所有者の Apple ID を削除する方法については、Apple のサポート記事｢｢iPhone を探す｣のアク

ティベーションロックを無効にする｣を参照してください。

iOS デバイスのアクティベーションロックを有効にする

iOS 7 以降を搭載する監視モードのデバイスについては、アクティベーションロックを構成して、強制的に有効にす

ることができます。

手順

1 [グループと設定] - [すべての設定] - [デバイスとユーザー] - [Apple] - [Apple iOS] - [管理設定] の順に進み

ます。

2 [アクティベーションロック] 設定を選択します。


アクティベーションロックの状態を表示する

iOS 7 以降を実行するデバイスについては、監視対象でも非監視対象でも、そのデバイスでアクティベーションロッ

クが有効になっているかどうかを確認することができます。

手順

1 [デバイス] - [リスト表示] の順に進みます。


VMware, Inc. 78

http://support.apple.com/kb/ht5818

http://support.apple.com/kb/ts4515

http://support.apple.com/kb/ts4515

2 iOS デバイスを選択します。

結果

｢セキュリティ｣セクションに、アクティベーションロックが有効か無効かが表示されます。

iOS デバイスのアクティベーションロックを解除する

iOS 7 以降を実行する監視モードのデバイスの場合、3 種類の方法のいずれかを使用して、アクティベーションロッ

クを解除できます。

手順

1 ｢アクティベーションロックを解除する｣コマンドを使用する。

2 デバイス上で直接、アクティベーションロックのバイパスコードを入力する。

3 「デバイスワイプ」コマンドを実行し、アクティベーションロックをクリアするオプションを選択する。

[アクティベーションロックを解除する] コマンドを使用する

｢アクティベーションロックを解除する｣コマンドを使用することで、デバイスワイプを実行せずに、デバイス上で

アクティベーションロックを解除できます。デバイスの所在がわかっていて、ロックを解除するためにコンテンツを

完全にワイプしたくない場合は、この方法が便利です。

デバイスが Workspace ONE UEM MDM から加入解除されていても、このコマンドは機能します。

手順


2 iOS デバイスを選択します。

3 デバイス詳細画面が表示されます。[さらに] ドロップダウンメニューを選択すると、使用できるリモートコマン

ドのリストが表示されます。

4 [アクティベーションロックを解除する] を選択します。

5 [非アクティブ化] を選択します。

アクティベーションロックのバイパスコードを入力する

デバイスが Workspace ONE UEM MDM から加入解除されていて、｢アクティベーションロックを解除する｣コマンドやデバイスワイプを実行する手段がない場合には、アクティベーションロックのバイパスコードを入力する

方法が便利です。

手順


2 iOS デバイスを選択します。デバイス詳細画面が表示されます。

3 [さらに] ドロップダウンメニューを選択すると、使用できるリモートコマンドのリストが表示されます。

4 [アクティベーションロックを解除する] を選択します。アクティベーションロックのバイパスコードが画面

上に表示されます。


VMware, Inc. 79

次のステップ

MDM を使用して工場出荷状態に戻すワイプを実行したら、デバイスを再アクティブ化します。セットアップアシス

タントで、iPhone をアクティブ化する画面まで進んだら、アクティベーションロックのパスワードとしてバイパス

コードを入力し、Apple ID は空欄のままにします。

デバイスワイプコマンドを実行する

デバイスワイプコマンドを実行するときに、デバイスのアクティベーションロックを解除することもできます。

手順


2 iOS デバイスを選択します。デバイス詳細画面が表示されます。

3 [さらに] ドロップダウンメニューを選択すると、使用できるリモートコマンドのリストが表示されます。

4 [デバイスワイプ] を選択します。デバイスワイプ画面が表示されます。

5 [アクティベーションロックを解除する] を選択します。[セキュリティ暗証番号] を入力すると、デバイスがワ

イプされます。

アクティベーションロック - ワイプコマンドワークフローマトリックス

次のマトリックスは、UEM Console からデバイスにワイプコマンドを発行する前にアクティベーションロックの

バイパスコードを確認するワークフローを示しています。バイパスコードの確認は、[デバイスリスト表示] ページ

または [デバイス詳細] ページから開始できます。


VMware, Inc. 80

表 6-1. アクティベーションロックのバイパスコードチェックマトリックス

コマンドアクティベーションロックのバイパスコードワークフロー

[デバイスリスト表示] [デバイス詳細画面]

[デバイスワイプ] 該当なし 1 アクティベーションロックのバイパスコードを取得するために、デバイスにクエリ

を送信します。

2 UEM Console でデバイスが [デバイス

ワイプ開始済み] とマークされています。

3 デバイスでワイプの保護がオフになってい

る場合、デバイスはバイパスコードを使用

して UEM Console に応答します。

4 UEM Console はデバイスのワイプコマ

ンドをデバイスに送信します。

5 デバイスは、正常なワイプメッセージを

UEM Console に返します。

6 UEM Console でデバイスが [加入解除] とマークされています。

[企業情報ワイプ] 1 アクティベーションロックのバイパス

コードを取得するために、デバイスにクエ

リを送信します。

2 UEM Console でデバイスが [企業情報

ワイプ開始済み] とマークされています。

3 デバイスでワイプの保護がオフになって

いる場合、デバイスはバイパスコードを

使用して UEM Console に応答します。

4 UEM Console はエンタープライズワイプコマンドをデバイスに送信します。



6 UEM Console でデバイスが [加入解

除] とマークされています。

1 アクティベーションロックのバイパスコードを取得するために、デバイスにクエリ

を送信します。

2 UEM Console でデバイスが [企業情報ワ

イプ開始済み] とマークされています。

3 デバイスでワイプの保護がオフになってい

る場合、デバイスはバイパスコードを使用

して UEM Console に応答します。

4 UEM Console はエンタープライズワイ

プコマンドをデバイスに送信します。



6 UEM Console でデバイスが [加入解除] とマークされています。

iOS デバイス用に AirPlay を要求する

AirPlay コマンドを使用することで、管理者は macOS コンピュータから、エンドユーザーの iOS 7 以降のデバイ

スと同じサブネット上にある tvOS に画面をミラー表示することが簡単にできます。

エンドユーザーがサポートを必要としている場合には、UEM コンソールからデバイスに AirPlay 要求を送信して、

自分の画面をエンドユーザーのデバイス上で共有します。

手順

1 [デバイス] - [リスト表示] - [デバイスを選択] - [サポート] - [その他] - [AirPlay 開始] の順に進みます。

[AirPlay] ウィンドウが表示されます。

2 [出力先を追加] を選択して、表示する出力先を追加します。[新しい AirPlay 出力先を追加] ウィンドウが表示

されます。

3 [出力先名称] を入力します。これは、デバイスのフレンドリ名です。


VMware, Inc. 81

4 [出力先アドレス] を入力します。これは、表示するデバイスの MAC アドレスです。

5 出力先の [パスワード] を入力します。

6 [スキャン時間] を指定します。これは、デバイスが出力先を検索する時間の長さです。既定値は 30 秒です。

7 現在の出力先を、既定の出力先にするには、[既定として設定] にチェックを入れます。次に AirPlay を使用す

る際に、既定の出力先が [出力先名称] に表示されます。再度入力する必要がなくなります。

8 [保存して開始] を選択して、AirPlay 要求をデバイスに送信します。

a この出力先は、次回のために [出力先名称] ドロップダウンメニューに保存されます。

9 iOS 7 以降の監視モードデバイスで [AirPlay を停止] するには、UEM コンソールに戻ります。[デバイス] - [リスト表示] - [デバイスを選択] - [サポート] - [その他] - [AirPlay 停止] の順に進みます。

10 [AirPlay 出力先を編集する] には

a [デバイス] - [リスト表示] - [デバイスを選択] - [サポート] - [その他] - [AirPlay] の順に進みます。

[AirPlay] ウィンドウが表示されます。

b ドロップダウンメニューから、編集する [出力先デバイス] を選択します。

c [編集] を選択して、出力先の設定を編集します。[AirPlay 出力先を編集する] ウィンドウが表示されます。

d [保存して開始] を選択して、AirPlay 要求をデバイスに送信します。

リモート表示

リモート表示機能を使用すると、管理者はパートナーシステムと統合されている UEM Console から、MDM 管理

エンドユーザーのデバイスを表示して、トラブルシューティングに簡単に役立てることができます。パートナーシス

テムの UEM Console との統合により、リモート表示機能を含む完全なリモート管理スイートを提供します。

パートナーシステムを UEM Console とともに使用するリモート管理サービスの構成と統合の詳細については、

docs.vmware.com にある[「VMware AirWatch Advanced Remote Management ガイド」]を参照してく

ださい。

リモートビューを開始する前提条件

n 適切なパートナーホスト名と必要なすべての証明書でプロビジョニングされた UEM Console。

n エンドユーザーのデバイスが、Workspace ONE Intelligent Hub によってパートナーに登録されている。

リモートビューデバイスの要件

n デバイスには、Workspace ONE Intelligent Hub v5.8 以降がインストールされている必要があり、リモー

ト表示を実行するときにフォアグラウンドで実行されている必要があります。

n [リモートを表示を開始] コマンドを実行するには、iOS 11 以降のデバイスが必要です。

n 管理者が [リモート表示停止] コマンドを実行するには、iOS 11 以降の監視対象デバイスが必要です。このコマ

ンドは、パートナーコンソールに表示されます。


VMware, Inc. 82

リモート表示で UEM Console を構成する

オンプレミスデプロイメントの場合、[サイト URL] ページで、グローバル組織グループでパートナーシステムに適

切なホスト名を持つサイト URL をプロビジョニングします。

手順

1 [グループと設定] - [すべての設定] - [システム] - [高度な設定] - [サイト URL] の順に進みます。

2 [Workspace ONE Assist] セクションで、リモート管理設定を構成します。

設定説明

コンソール接続ホスト名リモート管理サーバの完全修飾ドメイン名 (FQDN) プラス「/t10」を入力します。

例:

https://rmstage01.awmdm.com/t10

デバイス接続ホスト名 ARM サーバの完全修飾ドメイン名 (FQDN) を入力します。

例:

https://rmstage01.awmdm.com

デバイスホスト名はデバイスの登録に使用される URL のみであり、パートナーがプロビジョ

ニングされると組織グループ内のすべてのデバイスに配信されます。


[サイト URL] ページを保存すると、次のデータとともにサイト URL が Workspace ONE Intelligent Hub の設定プロファイルにプッシュされます。Workspace ONE Intelligent Hub が既に登録されているデバイ

スは、更新された Hub の設定プロファイルの取得を開始します。

n [デバイスホスト名] — UEM コンソールからリモート表示セッションが開始されたときに到達するための

デバイスのホスト名。

n [環境名] — リモート表示のためにデバイスが到達するときに正しい組織グループにデバイスを配置するた

めのパートナーの環境名。

エンドユーザーデバイスの構成

これでコンソールは構成されました。リモートで管理できるようにするには、デバイス上で iOS 固有の Hub をイン

ストールする必要があります。

手順

1 すべてのデバイスエージェントを一覧表示している [My Workspace ONE ™] ページにアクセスしてくださ

い。(https://my.workspaceone.com/products/AirWatch-Agent。

2 ご使用の環境に適した Workspace ONE Intelligent Hub を iOS アプリストアからダウンロードします。

アプリの管理に関する詳細は、[モバイルアプリケーション管理] ガイドを参照してください。この文書は

VMware AirWatch documentation で入手できます。


VMware, Inc. 83

https://my.workspaceone.com/products/AirWatch-Agent

https://docs.vmware.com/jp/VMware-AirWatch/index.html

3 スクリーンブロードキャストを開始するようにコントロールセンターをカスタマイズします。

a [設定] - [コントロールセンター] - [コントロールのカスタマイズ] の順に進みます。

b [[画面収録]] を追加します。

リモート表示セッションを開始する

リモート表示セッションを使用して、UEM コンソールからエンドユーザーのデバイスを表示することによって、問

題のトラブルシューティングを簡単に支援します。

手順

1 [デバイス] - [リスト表示] - [デバイスを選択] - [その他のアクション] - [サポート] - [リモートを表示を開始] の順に選択します

[[リモートサポート]]ウィンドウが表示されます。UEM Console では、ブロードキャストを開始する前に、デ

バイスの機能を確認します。同時に、ブロードキャストを開始するために、Workspace ONE Intelligent Hub を使用してエンドユーザーデバイスにプッシュ通知が送信されます。ユーザーは、デバイスのコントロールセンターにアクセスし、[画面収録] を強くタッチする必要があります。[Hub ブロードキャスト][] - [][ブロード

キャストを開始] の順に選択して、デバイスの画面のブロードキャストを開始します。デバイスが UI のキャプチ

ャを開始し、Advanced Remote Management サーバにリンクされている Workspace ONE Intelligent Hub と共有します。


VMware, Inc. 84

2 [リモートサポート] ウィンドウで、[セッションの開始] を選択して、リモート表示セッションを開始します。

接続が確立されると、リモート管理クライアントがコンソールで開き、ミラーリングされたデバイス画面が表示

されます。

注： UEM コンソールに、デバイスに入力するようお客様に指示する必要がある 4 桁の PIN が表示されます。

このアクションは、デバイスをリモートで管理するためのカスタマー認証を提供します。

3 セッションを終了することが必要な場合は、[[キャンセル]] を選択します。

iOS デバイスの管理設定を構成する

UEM Console の [管理設定] ページでは、Workspace ONE Intelligent Hub および管理している iOS デバイ

スに関する、いくつかの設定を構成することができます。

手順

1 [デバイス] - [デバイス設定] - [デバイスとユーザー] - [Apple] - [Apple iOS] - [管理設定] - [既定の管理設

定] の順に選択します。

2 企業-専用、企業-共有、従業員所有、不明などの所有形態タイプに従って、どのデバイスに設定が適用されるか

を指定します。

3 次のオプションを有効または無効にします。

a 音声通話ローミング (iOS 5 以降)

b データローミング (iOS 5 以降)

c パーソナルホットスポット (iOS 7)

d アクティベーションロック (iOS 7 の監視モード)

e （iOS 11.3+ 以降の監視モード）

4 [保存] を選択し、現在の組織グループのデバイスの設定を保存します。

既定のローミングの設定を上書きする (iOS)

個別の iOS デバイスに対するローミングの権限を編集するために、既定の設定を上書きします。

永続的な制限を必要としないローミング状態を管理する設定を編集します。


VMware, Inc. 85

手順

1 [デバイス] > [リスト表示] の順に進みます。[プラットフォーム] でフィルタをかけて、目的のデバイスを見つけ

ます。[フレンドリ名] を選択して、デバイスコントロールパネルを開きます。

2 [その他] - [管理設定] の順に選択します。

3 [有効化] または [無効化] のラジオボタンを選択して、現在の [ボイスローミングを許可]、[データローミングを

許可]、および [パーソナルホットスポットを許可] の設定を上書きします。[保存] をクリックします。

既定の壁紙を設定する

iOS 7 以降の監視対象デバイスでは、ロック画面またはホームスクリーンの既定の画像を、企業のブランディングポリシーに応じて設定することができます。

手順

1 [デバイス] - [デバイス設定] - [デバイスとユーザー] - [Apple] - [Apple iOS] - [管理設定] の順に進みます。

｢既定の壁紙｣セクションまで、下にスクロールします。

2 [ロック画面の画像] または [ホームスクリーンの画像] をアップロードします。


既定の組織情報を設定する

iOS 7 以降のデバイスで、MDM プロンプトに表示される組織情報をカスタマイズして設定します。

手順

1 [デバイス] - [デバイス設定] - [Apple] - [Apple iOS] - [管理設定] の順に進み、[既定の組織情報] セクション

まで、下にスクロールします。

2 名前、電話番号、E メール等の組織情報を入力します。


iOS デバイスにフォントをインストールする

UEM コンソールで、フォントをアップロードしてデバイスにインストールすることができます。この機能を利用で

きるのは、macOS Yosemite、および iOS 7 以降を搭載したデバイスです。特殊なフォントをインストールする

ことで、標準ではサポートされていないテキストを表示して読むことが可能になります。

互換性のあるファイルタイプは、.ttf または .otf です。デバイスにインストールできるフォントの数に上限はなく、

またフォントはいつでも削除することができます。

手順

u 次の手順に従いフォントをインストールして展開します。

a [デバイス] - [デバイス設定] - [Apple] - [ フォントをインストール] の順に進みます。


VMware, Inc. 86

b 画面上で、サポートされているフォントファイルタイプ（.ttf または .otf）をドラッグアンドドロッ

プします。

c フォントファイルを指定して [保存] を選択し、そのフォントを現在の組織グループに加入しているすべて

のデバイスに送信します。

iOS アプリケーションに対する Cisco QoS のマーキング

Apple と Cisco は、Cisco の QoS ファストレーンネットワークを使用して、企業ネットワーク上の iOS デバイ

スにおけるアプリケーションと音声のエクスペリエンスを向上させる取り組みを共同で進めています。

Workspace ONE UEM を使用することにより、データを優先的に割り当てたいオーディオアプリケーションおよ

びビデオアプリケーションを選択できます。

Workspace ONE UEM MDM では、Cisco インフラストラクチャを使用しているお客様は、次のことができま

す。

n Cisco QoS ファストレーンネットワークの使用を有効化/無効にする。

n アプリケーションをホワイトリスト設定し、L2 マーキングおよび L3 マーキングの利点を活かす。

n Wi-Fi ネットワークに送信される組み込みサービス (例: FaceTime、Wi-Fi 通話) 用トラフィックに対して、

L2 マーキングおよび L3 マーキングを有効にする。

アプリケーションに対して Cisco QoS マーキングを構成する手順については、Wi-Fi プロファイルを構成するを参照してください。


VMware, Inc. 87

Apple プッシュ通知サービス (APNs) 7Apple プッシュ通知サービス (APNs) は、Apple によってデバイスを管理するために作成された MDM プロトコ

ルです。このサービスは、MDM プロバイダに、有効な APNs 証明書を構成することを必要とし、すべてのコマン

ドを Apple の中央クラウドメッセージングサーバを通じてルーティングします。

APNs コマンドを開始すると、次の結果をもたらします。

n iOS デバイスが加入するとき、特定のデバイスに接続される APNs トークンが生成されます。生成されたトー

クンは、Workspace ONE UEM console と APNs サーバの両方に認識されます。

n 加入後、デバイスは常に、アクティブな接続を Apple の APNs サーバに示すようになります (接続が許可する

場合)。

n UEM console でコマンド (プロファイルプッシュやデバイスロックコマンドなど) が開始されると、次の手

順が実行されます。

n UEM データベースのデバイスコマンドキューにエントリが保存されます。エントリには、開始されたコマ

ンドのタイプに接続された特定の ID が含まれています。

n UEM サーバ (コマンドが開始された場所に応じてコンソールまたはデバイスサービスのいずれか) が、そ

の特定のデバイスに関連付けられた APNs トークンを使用して APNs サーバに接触を試みます。

n APNs サーバが、トークンを検証し、コマンドを受信するために MDM サーバに接続するようにデバイスに通

知します。

n デバイスがデバイスサービスサーバに接続します。この接続を確立すると、デバイスが、デバイスコマンドキューから保留中のすべてのコマンドを受信します。

Apple プッシュ通知サービス (APNs) 証明書

iOS デバイスを管理するには、まず、Apple プッシュ通知サービス (APNs) 証明書を取得する必要があります。

APNs 証明書は、UEM Console が Apple デバイスと安全に通信し、UEM Console に情報をレポートできるよ

うにします。

Apple Developer Enterprise Program では、APNs 証明書の有効期間は 1 年間です。その後も継続使用する場

合は、更新手続きを行う必要があります。有効期限が近づくと、UEM console からリマインダが送信されます。

Apple Developer ポータルで証明書を更新すると、現在の証明書は失効します。これにより、新しい証明書をアッ

プロードするまでデバイスを管理できなくなります。証明書が更新されたらすぐにアップロードできるように計画し

てください。また、本番環境とテスト環境を別々に構築している場合、環境ごとに別々の証明書を使用することを検

討してください。

VMware, Inc. 88


n Apple プッシュ通知サービスのワークフロー

Apple プッシュ通知サービスのワークフロー

Apple デバイスで MDM 管理を開始する前に、Apple プッシュ通知サービスのバックエンドワークフローを理解

しておいてください。

手順

1 システム管理者は、UEM console から、デバイスのロック、デバイスパスコードのクリア、デバイスワイプ、

MDM の中断など、MDM アクションをリモートで実行します。

通知は [FastLaneAPNsOutBound] キューに入れられます。その通知は、[Workspace ONE Messaging Service] によって取り出され、APNs サーバに送信されます。後に、コマンドは [AWEventLog] キューに入

れられ、[EntityChangeQueueMonitor] サービスによって取り出されます。このサービスは、そのコマンド

を Workspace ONE データベースサーバのキューに入れます。

2 デバイスは常に、APNs へのアクティブな接続を持っています。APNs とのすべての通信は受信であり、常に

APNs とともにチェックします。サーバは、MDM によってデバイスを待機しているコマンドがあると、デバイ

スに通知します。

3 デバイスは、プッシュ通知を受信すると、Workspace ONE デバイスサービスサーバにチェックインします。

4 デバイスサービスサーバは、（DeviceID に基づいて）そのデバイスについて Workspace ONE データベー

スサーバのキューに入れられたコマンドがあるかどうかをチェックします。

5 デバイスサービスサーバは、Workspace ONE データベースサーバから、そのデバイスについてキューにす

でに入れられているコマンドをプルします。

6 デバイスサービスは、XML を生成し、デバイスに送信します。ネイティブ MDM エージェントは (MDM プロ

ファイルがデバイスにインストールされていれば)、要求されたアクションをデバイスで実行します。


VMware, Inc. 89

デバイス管理 8デバイスの加入作業と構成作業が完了したら、Workspace ONE ™ UEM Console を使用してデバイスを管理し

ます。各種の管理ツールおよび管理機能を利用することにより、デバイスを常時監視することや、管理機能をリモー

トで実行することができます。

UEM コンソールからすべてのデバイスを管理することができます。ダッシュボードの検索や表示形式はカスタマイ

ズが可能で、フィルタ機能で簡単にデバイスを見つけることができます。指定した条件に当てはまるデバイスを特定

し、管理操作を実行します。デバイスのリスト表示には、現在貴社の Workspace ONE UEM 環境に加入している

すべてのデバイスと、その状態が表示されています。[デバイス詳細] ページには、デバイス固有の情報が表示されま

す。たとえば、現在デバイスにインストールされている、プロファイル、アプリケーション、Workspace ONE Intelligent Hub のバージョン、適合 OEM サービスのバージョンなどです。デバイス詳細画面からデバイスに管理

操作をリモートで実行することもできます。詳細画面はプラットフォームにより異なる場合があります。


n デバイスダッシュボード

n デバイスリスト表示

n iOS デバイスでのデバイス詳細画面の使用

n デバイス管理のためのカスタムコマンドを構成して展開する

n OS 更新の管理

n 監視対象の iOS デバイスのデバイス名を設定する

n AppleCare GSX

デバイスダッシュボード

デバイスを加入させている場合、Workspace ONE UEM powered by AirWatch の [デバイスダッシュボー

ド] でそれらのデバイスを管理できます。

[デバイスダッシュボード] では、デバイス全体の概要情報を確認できます。また、個別のデバイスにすばやく処理を

実行することができます。

所有形態タイプや順守状況、プラットフォーム、OS の内訳といった、デバイスに関連する統計情報をグラフで表示

します。[デバイスダッシュボード] から使用可能なデータビューを選択すると、示されているカテゴリに属する各

デバイスセットにアクセスできます。

VMware, Inc. 90

この [リスト表示] から、メッセージ送信、デバイスロック、デバイス削除や、デバイスに関連付けられているグル

ープの変更といった様々な管理操作を行います。

n [セキュリティ] – 主要なセキュリティ上の問題に関して、デバイスの状況を表示します。ドーナツグラフを選択

すると、そのセキュリティ上の問題に基づいたフィルタを適用した [デバイスリスト] が表示されます。セキュ

リティ上の問題があるデバイスに対し対応措置を取るような順守ポリシーを構成することができます (プラット

フォームがサポート対象に含まれる場合)。

n [侵害状態] – 貴社展開における侵害状態 (ジェイルブレイク状態またはルート化) デバイスの数と割合を表

示します。

n [パスコードなし] – セキュリティのためのパスコードが構成されていないデバイスの数と割合を表示しま

す。

n [暗号化されていない状態] – セキュリティのための暗号化が行われていないデバイスの数と割合を表示し

ます。レポートされている数には、Android SD カードの暗号化は含まれていません。このドーナツグラフ

に含まれるのはディスク暗号化されていない Android のみです。

[所有形態] – デバイス数を所有形態カテゴリ別に表示します。棒グラフの一部を選択すると、所有形態に基づい

たフィルタを適用した [デバイスリスト] を表示します。

n [最後に検出されたデバイスの概要/内訳] – Workspace ONE UEM MDM サーバと最近通信を行ったデバイ

ス数と割合を表示します。たとえば、いくつかのデバイスを 30 日間以上確認できない場合、対応する棒グラフ

を選択してそれらのデバイスだけを表示します。このようなフィルタリングされたデバイスをすべて選択してク

エリコマンドを送信することで、デバイスがチェックインできるようになります。

n [プラットフォーム] – デバイスプラットフォームカテゴリごとにデバイス数の合計を表示します。いずれかの

グラフを選択すると、選択したプラットフォームに基づいたフィルタを適用した [デバイスリスト] が表示され

ます。

n [加入] – 加入カテゴリごとにデバイス数の合計を表示します。いずれかのグラフを選択すると、選択した加入状

態に基づいたフィルタを適用した [デバイスリスト] が表示されます。

n [OS 詳細] – 貴社の全デバイスの OS による内訳を表示します。サポートされている OS ごとに個別のグラフ

があります。いずれかのグラフを選択すると、選択したバージョンの OS に基づいたフィルタを適用した [デバ

イスリスト] が表示されます。

デバイスリスト表示

Workspace ONE UEM powered by AirWatch のデバイスリスト表示を使用して、現在選択中の組織グループ

に属するデバイスの完全なリストを閲覧します。


VMware, Inc. 91

[最終検出] カラムには、デバイスがチェックインしてからの経過時間 (単位: 分) を示すインジケータが表示されま

す。このインジケータは、デバイスが非アクティブになっている時間に応じて、赤または緑になります。デフォルト

値は 480 分（8 時間）ですが、これはカスタマイズできます。それには、[グループと設定] - [すべての設定] - [デバイスとユーザー] - [全般] - [高度な設定] の順に進み、[デバイス非アクティブタイムアウト（分）] の値を変更しま

す。

[全般情報] カラムのデバイスフレンドリ名を選択して、該当するデバイスの詳細画面をいつでも開くことができま

す。[フレンドリ名] は、同じブランドおよびモデルのデバイスと区別しやすいように、デバイスに割り当てるラベル

です。

カラムを並べかえて情報フィルタを構成して、特定の情報を基にアクティビティを確認します。たとえば、[順守状

態] カラムにフィルタをかけ、現在順守違反状態であるデバイスのみを抽出し、それらのデバイスだけを対象にする

ことができます。フレンドリ名あるいはユーザー名を使用して全デバイスを検索し、1 つのデバイスまたは 1 人のユ

ーザーを特定することもできます。

デバイスリスト表示レイアウトをカスタマイズする

[[レイアウト]] ボタンを選択して、[[デバイスリスト]] 表示に配置できるすべてのカラムを一覧表示し、[[カスタ

ム]] オプションを選択します。このビューで、｢デバイスリスト｣のカラムを表示するか非表示にするかを自由に設

定できます。

カスタマイズしたカラム配置を、現在の組織グループ、またはそのサブ組織グループ (OG) のすべての管理者に適用

するオプションもあります。たとえば、[デバイスリスト] 表示の現在の組織グループとそのサブ組織グループすべて

から「アセット番号」を非表示にできます。

カスタマイズ完了後、[承諾] ボタンを選択して現在の設定を保存すると、新しいカラム表示が適用されます。いつで

も [[レイアウト]] ボタンをクリックし、カラムの表示形式を変えることができます。


VMware, Inc. 92

デバイスリスト表示の主なカスタムレイアウトカラムには、以下のものがあります。

n Android Management

n SSID（サービスセット ID または Wi-Fi ネットワーク名）

n Wi-Fi MAC アドレス

n Wi-Fi IP アドレス

n パブリック IP アドレス

リスト表示のエクスポート

[エクスポート] ボタンを選択して、[デバイスリスト表示] 全体を XLSX または CSV（コンマ区切り値）ファイル

で保存し、MS Excel で表示して分析できるようにします。[デバイスリスト表示] にフィルタを適用している場合

は、エクスポートされるリストもそのフィルタに従います。

デバイスリスト表示を検索する

ある特定のデバイスを検索して情報に素早くアクセスし、そのデバイスにリモート操作を実行しなければならないよ

うな場合があるかもしれません。

検索を行うには、[デバイス] - [リスト表示] の順に進み、[リストを検索] バーを選択し、ユーザー名、デバイスフレ

ンドリ名または他の識別要素を入力します。このアクションにより、現在の組織グループとすべてのサブグループの

すべてのデバイスに検索パラメータを適用して必要なデバイスを検索することができます。

デバイスリスト表示のアクションボタンクラスタ

デバイスリスト表示で 1 つ以上のデバイスを選択すると、アクションボタンクラスタで、クエリ、[メッセージ] 送信、ロック、および [その他のアクション] ボタンを通じてアクセスされる他のアクションなど、よく使われるアクシ

ョンを実行できます。

利用可能なデバイスアクションは、プラットフォーム、デバイス製造元、モデル、加入状態、さらに Workspace ONE UEM Console の特定の構成設定によって異なります。

リモートアシスト

単一の認定デバイス上で [リモートアシスト] セッションを開始し、リモートで画面を表示してデバイスを制御でき

ます。この機能は、社内のデバイスのトラブルシューティングや高度な構成の実行に最適です。

この機能を使用するには、次の要件を満たす必要があります。

n Workspace ONE Assist の有効なライセンスを所有している必要があります。

n 適切な Assist 権限を含む役割が割り当てられた管理者である必要があります。

n デバイスに Assist アプリがインストールされている必要があります。

n サポートされているデバイスプラットフォーム：

n Android


VMware, Inc. 93

n iOS

n macOS

n Windows 10

n Windows Mobile

[デバイスリスト表示] に表示されている認定デバイスの左側にあるチェックボックスを選択すると、[リモートアシ

スト] ボタンが表示されます。このボタンを選択して、リモートアシストセッションを開始します。

詳細については、[Workspace ONE Assist] ガイド（docs.vmware.com で入手可能）を参照してください。

iOS デバイスでのデバイス詳細画面の使用

デバイス詳細画面を使用し、デバイス詳細情報を追跡し、ユーザー/デバイス管理操作機能に素早くアクセスすること

ができます。

デバイス詳細画面を表示するには、[リスト表示] 画面またはいずれかのダッシュボードからデバイスのフレンドリ名

を選択するか、あるいは UEM console 内でいずれかの検索ツールを使用します。

デバイス情報を表示する

デバイス詳細画面の各メニュータブを選択すると、以下のような詳細なデバイス情報が表示されます。

n [サマリ] - 次のような一般的な統計情報を表示します。

n 順守

n 加入状態

n 最終検出

n プラットフォーム/モデル/OS

n マネジメント

n 監視

n アクティベーションロック

n iPhone を探す

n iCloud バックアップ（iCloud バックアップの状態にマウスカーソルを合わせると、最終バックアップの

状態が表示されます）

n データ保護

n 暗号化

n 連絡先

n 組織グループとスマートグループ

n 電話番号（eSIM を含む複数の SIM カードをサポートしている iPhone XS、XR、または XS Max などの

デバイスの場合、デバイスに関連付けられているすべての SIM の電話番号が表示されます）

n シリアル番号、UDID、アセット番号


VMware, Inc. 94


n 電源状態

n ストレージ容量

n 使用可能な OS 更新（iOS 11 以降のデバイス）

n 物理メモリ、仮想メモリ、保証情報

Apple 社の Global Service Exchange 情報にアクセスできる場合は、保証のリンクを選択すると、ステータ

スが最後に更新されたのはいつかを確認できます。さらに、[更新] ボタンを使用すると、最新情報を入手できま

す。

n 企業情報ワイプまたは工場出荷状態ワイプを実行すると、アクティベーションロックのバイパスコードが照

会され、[監視モード] のデバイスがワイプ実行待機中モードになります。

n iOS 7 以降のデバイスで｢iPhone を探す｣のアクティベーションロックオプションが有効になっている

場合、[非監視対象] デバイスでデバイスワイプコマンドを実行するときに、アクティベーションロックが

有効なデバイスは元の Apple ID とパスワードがないと再アクティブ化できないことを通知する警告が表

示されます。これは、完全なデバイスワイプを実行する場合でも同様です。詳細は、アクティベーションロックの概要を参照してください。

n [順守] – 状態、ポリシー名、前回の順守チェック日と次に予定されている順守チェック日、デバイスに対し既に

行われた処理を表示します。

n [プロファイル] – 現在デバイスにインストールされているすべての MDM プロファイルを表示します。

n [アプリ] – アプリの状態、アプリの名前、アプリのタイプ（パブリックまたは社内）、アプリのバージョンと

ID、およびアプリのサイズを表示します。iOS 11.以降のデバイスの場合、UEM console に利用可能なアプリ

更新（インストールされているバージョンが最新バージョンか、または更新が利用可能か）およびアプリソース

（アプリが App Store 経由でインストールされているか、ベータアプリとして配布されているか、エンタープ

ライズアカウントによってアドホックで署名されているか、またはデバイスベースの VPP ライセンスを使用

して管理されているか）が表示されます。

注：アプリケーションの状態が iOS デバイスで報告される方法によっては、アプリケーションはインストール

プロセスが完全に完了した後にのみ [インストール済み] 状態になります。つまり、Workspace ONE UEM console がアプリケーションリストサンプルについてデバイスにクエリを実行するときに、アプリケーション

がダウンロード中の場合、アプリケーションはインストール中という状態を返します。アプリケーションのイン

ストールに成功すると、デバイスはアプリケーションの状態を [インストール済み] として返し、Workspace ONE UEM console でも同様にマークされます。

n [更新] – デバイスで利用可能な iOS 更新を、OS バージョン、プロダクトキー、ビルドバージョン、最終更

新、ダウンロードの割合、進行状況も含めて表示します。

n [コンテンツ] – 状態、タイプ、名前、優先度、展開、最終更新、閲覧日時等を表示します。(コンテンツのインス

トールや削除などの) 管理者操作のためのツールバーがあります。

n [ロケーション] – デバイスの現在位置と過去の位置の履歴を表示します。

n [ユーザー] – デバイスのユーザーに関する詳細と、同じユーザーが加入した他のデバイスの状態を閲覧します。


VMware, Inc. 95

次の各メニュータブを表示するには、デバイス詳細画面のメインページの [その他] をクリックします。

n [ネットワーク] – デバイスの現在のネットワーク（セルラー、Wi-Fi、Bluetooth）状態を表示します。複数の

SIM および eSIM をサポートしている iPhone XS、XR、または XS Max など、iOS 12.1 以降のデバイスの場

合は、UEM console で SIM のネットワーク状態を表示および追跡できます。

n [セキュリティ] – セキュリティ設定に基づいて、デバイスの現在のセキュリティ状態が表示されます。

n [制限事項] – 現在デバイスに適用されている制限のタイプが表示されます。

n [テレコム] – デバイス上での通話時間、データ使用量、および送受信されたメッセージの量が表示されます。

n [メモ] – デバイスに関するメモが表示されます。また、メモを入力することもできます。たとえば、デバイスの

配送状況、デバイスが修理中のため使用不能であるかどうかなどの情報を入力できます。

n [証明書] – デバイス証明書の名前および発行元が表示されます。証明書の有効期限も表示されます。

n [利用規約] – デバイスの加入処理時に同意したエンドユーザーライセンス同意書 (EULA) の一覧が表示されま

す。

n [アラート] – デバイスに関連付けられたすべてのアラートを閲覧します。

n [ブック] – デバイス上のすべての社内ブックが表示されます。

n [共有デバイスログ] – 共有デバイスの履歴 (過去のチェックイン/チェックアウト、現在の状態など) が表示され

ます。

n [制限事項] – 現在デバイスに適用されているすべての制限が表示されます。このタブページには、デバイス、ア

プリ、評価、およびパスコードによる固有の制限事項も表示されます。

n [状態履歴] – 加入状態に関するデバイスの履歴が表示されます。

n [ターゲットログ収集] – コンソール、カタログ、デバイスサービス、デバイス管理、およびセルフサービスポータルのログが表示されます。設定で「ターゲットログ収集」を有効にして、この目的のためのリンクを用意

する必要があります。次に [新しいログを作成] ボタンを選択し、ログの収集時間の長さを選択する必要がありま

す。

n [トラブルシューティング] – [イベントログ] と [コマンド] のログ情報が表示されます。この画面には、エクス

ポートと検索機能が備わっており、ターゲットを絞った検索や分析ができます。

n [イベントログ] – 詳細なデバッグ情報およびサーバのチェックインが表示されます。[イベントグループ

タイプ]、[日付の範囲]、[重要度]、[モジュール]、[カテゴリ] による [フィルタ] が含まれます。

[イベントログ] のリストの [イベントデータ] カラムにハイパーリンク付きテキストが表示されることが

あり、ここから特定のイベントに関するより詳細な情報を含む別の画面を開くことができます。この情報を

使用して、プロファイルのインストールが失敗した理由を確定するなど、高度なトラブルシューティングを

実行することができます。

n [コマンド] – デバイスに送信された、保留中、キュー済み、完了済みのコマンドの詳細なリストが表示され

ます。[カテゴリ]、[状態] そして特定の [コマンド] によりデータを抽出できる [フィルタ] 機能があります。

n [添付ファイル] – トラブルシューティングやその他の目的のためのスクリーンショット、ドキュメント、

Intelligent Hub より送信された Hub ログの表示、およびリンクには、デバイス自体の領域ではなく、サーバ

上のこのストレージ領域を使用します。


VMware, Inc. 96

リモート操作を実行する

デバイス詳細画面の [その他のアクション] ドロップダウンメニューを使用することにより、選択したデバイスに対

してワイヤレスでリモート処理を実行できます。それぞれのリモート操作の詳細は以下を参照してください。次に列

挙する処理は、デバイスのプラットフォーム、UEM コンソールの設定、加入状態などによって異なります。

n [すべてをクエリする] – インストール済みアプリケーション（該当する場合は Workspace ONE Intelligent Hub を含む）、ブック、証明書、デバイス情報、プロファイルとセキュリティ対策のリストを返すクエリコマン

ドをデバイスに送信します。

n [デバイス情報（クエリ）] – フレンドリ名、プラットフォーム、モデル、組織グループ、OS バージョンおよび所

有形態などデバイスの情報を返す MDM クエリコマンドをデバイスに送信します。

n [セキュリティ（クエリ）] – アクティブなセキュリティ対策（デバイスマネージャ、暗号化、パスコード、証明

書など）のリストを返す MDM クエリコマンドをデバイスに送信します。

n [[プロファイル（クエリ）]] – インストール済みのデバイスプロファイルのリストを返す MDM クエリコマンド

をデバイスに送信します。

n [アプリ（クエリ）] – インストール済みアプリケーションのリストを返す MDM クエリコマンドをデバイスに送

信します。

n [[証明書（クエリ）]] – インストールされている証明書のリストを返す MDM クエリコマンドをデバイスに送信

します。

n [パスコードのクリア（制限設定）] – パスコードコマンドをクリアすると、デバイスのログインパスコードがク

リアされます。デバイスは監視する必要があります。

n [ユーザーリスト (クエリ)] – デバイスにログインしたユーザーのリストを戻すクエリコマンドをデバイスに送

信します (共有デバイスのみ)。

n [[デバイスロック]] – 選択したデバイスをロックする MDM コマンドを送信します。デバイスはロック解除さ

れるまで使用できなくなります。

n [SSO ロック] – Workspace ONE UEM Container とすべての関連アプリケーションから対象デバイスユーザーをロックアウトします。

n [企業情報ワイプ] – デバイスの加入を解除し、アプリケーションやプロファイルを含む、すべての管理企業リソ

ースを削除します。この操作は元に戻すことができず、このデバイスを Workspace ONE UEM で再度管理す

るには、再加入が必要になります。このデバイス操作では、今後の再加入を防止するオプションと、操作に関す

る情報を追加するための [メモ内容] テキストボックスが提供されます。

n クラウドドメイン参加デバイスでは、企業情報ワイプはサポートされていません。

n [iOS 更新] – Apple Business Manager 経由で加入しているデバイスに更新プログラムを送信します。個別

のデバイスを選択することも、一括で操作を行うこともできます。

n [管理設定] – 通話ローミング、データローミング、パーソナルホットスポットを有効または無効に設定します。

n [[デバイスワイプ]] – デバイスをワイプしてすべてのデータとオペレーティングシステムを消去する MDM コマンドを送信します。これにより、デバイスは OS を再インストールするためにリカバリパーティションが必

要な状態になります。この操作は元に戻せません。リカバリパーティションは、Mac デバイスでのみ必要とな

っており、iOS デバイスでは不要です。


VMware, Inc. 97

n iOS デバイスワイプに関する考慮事項

n iOS 11 以前のデバイスでは、デバイスワイプコマンドは、デバイスに関連付けられている Apple SIM データもワイプしました。

n iOS 11 以降のデバイスでは、Apple SIM データプランがデバイス上に存在する場合、それを保持する

オプションがあります。これを行うには、デバイスワイプコマンドを送信する前に、[デバイスワイ

プ] ページの [[Preserve Data Plan（データプランを保持）]] チェックボックスをオンにします。

n iOS 11.3 以降のデバイスでは、デバイスワイプコマンドを送信するときに、[[Proximity Setup（近

接セットアップ）]] 画面のスキップを有効または無効にする追加のオプションを使用できます。このオ

プションを有効にしている場合、セットアップアシスタントで [近接設定] 画面がスキップされるため、

デバイスのユーザーには [近接設定] オプションが表示されません。


VMware, Inc. 98

デバイスワイプをトラブルシューティングする方法、関連する権限、およびデバイスワイプ処理が UEM Console に表示されるタイミングについては、Workspace ONE UEM ナレッジベースの記事 (https://support.workspaceone.com/articles/115012396488) を参照してください。

n [iOS 更新スケジュール] – iOS 更新プログラムを DEP 経由で加入していないデバイスにプッシュします。詳

細は、「OS 更新の管理」を参照してください。

n [eSIM を更新] – キャリア eSIM サーバ URL にクエリを送信して、デバイス上のアクティブな eSIM セルラー

プランプロファイルを更新します。

n [メッセージを送信] – 選択したデバイスのユーザーにメッセージを送信します。[E メール]、[プッシュ通知]（AirWatch Cloud Messaging を使用）、および [SMS] の中から選択します。プッシュ通知には、Hub や

Boxer などの AirWatch アプリケーションが必要です。アプリケーションは、少なくとも 1 回は起動する必要

があります。

n [デバイスの検索] – 実行できる Workspace ONE UEM アプリケーションにテキストメッセージを可聴音と

ともに送信して、置き忘れたデバイスをユーザーが見つけやすくします。可聴音のオプションでは、構成可能な

回数および音の間隔（秒単位）で音を再生するように指定できます。

n [デバイスチェックイン要求] – 選択したデバイスに UEM Console へのチェックインを要求し、[最終] カラム

の状態が更新されます。このアクションは、代理セットアップユーザーへのデバイスの加入もリセットします。

n [デバイスを同期する] – 選択したデバイスを UEM コンソールと同期させ、[最終検出] 状態が同じになるように

します。

n [リモート表示] – デバイスの出力を指定の出力先にアクティブストリーミングして、ユーザーがデバイスを操作

しているときに見ている内容を確認できます。出力先のパラメータには、IP アドレス、ポート、オーディオポート、パスワード、スキャン時間が含まれます。

n [組織グループ変更] – デバイスのベース組織グループを、既存の他の組織グループに変更します。静的または動

的な組織グループを選択するオプションもあります。

n 複数のデバイスの組織グループを一度に変更する場合は、（デバイスリスト表示の [最終接続時間] カラム

ヘディングの横にある）[グローバル] チェックボックスではなく（Shift キーを使用した）ブロック選択の

方法を使用して、一括操作のデバイスを選択する必要があります。

n [タグを追加] – タグをカスタマイズしてデバイスに割り当て、貴社のデバイスのなかの特定デバイスを識別でき


n [デバイスを編集] – [フレンドリ名]、[アセット番号]、[デバイス所有形態]、[デバイスグループ]、[デバイスカテゴリ] といったデバイス情報を編集します。

n [デバイスを削除] – デバイスをコンソールから削除し加入解除します。次のチェックイン時にワイプされたデ

バイスに企業情報ワイプコマンドを送信し、コンソールでそのデバイスに [削除中] のマークを付けます。デバ

イスでワイプ保護がオフになっている場合、発行されたコマンドにより直ちに企業情報ワイプが実行され、コン

ソールでデバイスの表示が削除されます。

n [アクティベーションロックを解除] – iOS デバイス上のアクティベーションロックを解除します。アクティベ

ーションロックが有効の場合、[iPhone を探す] を無効にしたり、工場出荷状態ワイプを実行したり、デバイス

を使用するために再度アクティブ化したりといった操作を行う前に、ユーザーによる Apple ID とパスワードの

入力が必要になります。


VMware, Inc. 99



n [デバイス構成] – デバイスが構成待ち状態で応答しなくなってしまった場合にこのコマンドを送信します。

n [紛失モード有効化/無効化] – このデバイス操作を使用してデバイスをロックし、メッセージと電話番号を送信

し、ロック画面にテキストを表示します。デバイスエンドユーザーは、紛失モードを無効にすることはできま

せん。管理者が紛失モードを無効にしたとき、デバイスは通常の機能に戻ります。ユーザーは、デバイスの位置

情報が共有されたことを通知するメッセージを受け取ります。（iOS 9.3 以降の監視モードのみ）

n [デバイス位置情報を要求] – 紛失モードのデバイスにクエリを送信し、位置情報タブを使用してデバイスを

探します。（iOS 9.3 以降の監視モードのみ）

n [ユーザーをログアウトする] – デバイスの現在のユーザーをログアウトさせる必要がある場合に使用します。

デバイス管理のためのカスタムコマンドを構成して展開する

Workspace ONE UEM では、Apple デバイスを管理するためのカスタム XML コマンドを管理者が展開できま

す。カスタムコマンドを使用すると、デバイスをより細かく制御することができます。

カスタムコマンドは、UEM コンソールで現在サポートされていないデバイスアクションをサポートするために使用

します。UEM コンソール内にデバイスアクションとして存在しているコマンドを送信する際、カスタムコマンドを

使用しないでください。カスタムコマンドとして展開できる XML コードのサンプルは、Workspace ONE UEM ナレッジベース (https://kb.vmware.com/s/article/2960669) を参照してください。

重要：誤った形式のコマンド、またはサポートされていないコマンドを使用すると、管理デバイスのユーザビリテ

ィやパフォーマンスに影響する可能性があります。カスタムコマンドは、全体に対して発行する前に 1 台のデバイス

でテストします。

手順

1 UEM Console から、[デバイス] - [表示] の順に進みます。

2 左カラムのチェックボックスを使って、macOS または iOS デバイスを 1 つ以上選択します。

3 [その他のアクション] ドロップダウンをクリックし、[カスタムコマンド] を選択します。｢カスタムコマンド｣

ダイアログボックスが開きます。

4 コマンドをデバイスに展開するには、展開するアクションの XML コードを入力し、[送信] を選択します。

カスタムコマンドの XML コードは、Workspace ONE UEM ナレッジベース (https://kb.vmware.com/s/article/2960669) を参照してください。

カスタムコマンドが正常に実行されない場合は、[デバイス] - [リスト表示] の順に進んでコマンドを削除しま

す。カスタムコマンドを割り当てたデバイスを選択します。[デバイス詳細表示] で、[その他] - [トラブルシュ

ーティング] - [コマンド] の順に進みます。削除するコマンドを選択し、[削除] を選択します。｢削除｣オプショ

ンは、状態が｢保留中｣のカスタムコマンドにのみ使用できます。

OS 更新の管理

管理者は OS 更新の管理システムを使用して、管理対象 iOS デバイスで iOS 更新をブロックして要求し、すべての

デバイスを共通の iOS バージョンに保持して一貫した管理環境を維持することができます。OS を維持することで、


VMware, Inc. 100

https://kb.vmware.com/s/article/2960669



デバイスのセキュリティ問題が iOS のマイナー更新で解決されるため、デバイスが常に最新の状態を保つことができ

ます。

OS 更新の管理は、管理者にとって次のような理想的なソリューションを提供します。

n エンドユーザーデバイスが Apple からリリースされた新しい iOS 更新を検出しないようにします。エンドユ

ーザーをブロックするよう制限プロファイルを構成する方法の詳細については、「制限事項プロファイルの構成」


n デバイスで現在使用可能なパッチ/更新に関する情報を取得することができます。

n エンドユーザーデバイスに iOS 更新を公開します。

iOS 更新の管理機能

使用可能な主な機能は次のとおりです。

n [更新をブロック] – Apple による更新リリース日から最大 90 日間、デバイスが更新を検出しないように構成

します。更新をブロックするよう制限プロファイルを構成する方法の詳細については、「制限事項プロファイルの

構成」を参照してください。

n [利用可能な更新の表示] – Apple からの利用可能なすべての更新を一覧表示し、各更新の対象となるデバイス

を列挙します。

n [OS 更新アクション] – OS 更新アクションを、ダウンロードのみ、インストールのみ、またはダウンロードし

てすぐにインストールのいずれかに定義します。

n [モニタ] – 割り当てられたデバイスの OS 更新の状態を表示します。

iOS 更新管理の前提条件

UEM console から管理対象デバイスで OS 更新管理を開始する前に、このセクションで説明されている最小要件を

確認してください。

サポートするデバイス

n iOS 11.3 以降の監視モード

n デバイスのバッテリ残量は 50% 以上である必要があります

ネットワーク要件

ネットワークアーキテクチャとその要件の詳細については、「Recommended Architecture Guide」を参照して

ください。

使用可能な iOS 更新の表示

すべての管理対象デバイスおよび適格なデバイスについて、Apple から入手可能な最新の iOS 更新、またはアクテ

ィブな iOS 更新のリストのスナップショットを表示します。

[リソース] > [デバイス更新] > [iOS] ページの順に進み、使用可能な OS 更新とその他の関連情報を表示します。

n [更新] – 更新の名前。

n [バージョン ] – 更新のバージョン。


VMware, Inc. 101

n [リリース日] – 更新がリリースされた日付。

n [有効期限] – 更新の期限が切れる日付。

n [更新状態] – iOS 更新の状態（Apple から更新を入手できる、または入手できない状態）。

n [割り当て ] – 更新に適用される割り当ての数。

n [割り当て状態] – 更新に適用される割り当ての状態（[割り当て]、[未割り当て]、[一時停止] など）。

注： iOS 更新の詳細なリストは、指定した間隔（6～24 時間間隔で実行して、Apple からデータを取得する）で

デバイス更新同期スケジューラジョブを使用して Apple から取得されます。

[デバイス更新] > [iOS] ページから OS 更新を選択して、追加情報を表示します。[詳細] セクションには、OS 更新

の詳細（バージョンの詳細、サポート対象のデバイスなど）が表示されます。[詳細] セクションの下に、次のグラフ

が表示されます。

n [デバイスの準備] – 組織グループ以下に加入している更新およびデバイスに関する情報を提供します。これに

は、更新を受信できるデバイス、更新を受信できないデバイス（非監視対象の互換性のないハードウェアなど）、

新しいバージョンのデバイス、または選択済みのバージョンのデバイスが含まれます。

n [デバイス状態] – 割り当てられた適格なデバイスの iOS 更新の状態に関する情報が表示されます。これには、

更新をダウンロードしたデバイス、更新をインストールしたデバイス、または指定したエラーコードが表示され

失敗したデバイスが含まれます。

n [デバイス ] – この表には、割り当てから起動された適格/不適格なデバイスに対する iOS 更新の状態が表示され

ます。

デバイスの更新は [割り当ての管理] を選択して、推奨される展開パラメータを持つスマートグループを使用して割

り当てられます。割り当ての詳細については、「iOS 更新の割り当てと公開」を参照してください。

iOS 更新の割り当てと公開

OS 更新を展開するには、1 つ以上のスマートグループを iOS 更新に割り当てて、デバイスに公開します。

スマートグループを割り当てて、iOS 更新を展開するには、次の手順を実行します。

手順

1 [リソース] > [デバイス更新] > [iOS] ページの順に進みます。

2 対応するラジオボタンを選択して、iOS 更新を選択します。[割り当ての管理] オプションがページの上部に表

示されます。

3 割り当てページを表示するには、[割り当ての管理] を選択します。

4 [割り当て] セクションで [新しい割り当て] を選択します。[割り当てを追加] 画面が表示されます。

5 [定義] タブで、割り当て名を入力し、1 つ以上のスマートグループを選択します。[次へ] を選択します。


VMware, Inc. 102

6 [展開] タブで、展開を開始する日時を入力し、展開方法を 1 つ選択します。使用可能な展開方法は、次のとおり

です。

方法/フォルダ説明

ダウンロードしてインストール iOS 更新がダウンロードされ、デバイスにインストールされます。

ダウンロードのみ iOS 更新はダウンロードされるだけで、デバイスにインストールされません。

インストールのみ iOS 更新は、MDM または手動でダウンロード済みの場合にのみデバイスにインストールされ

ます。

7 [通知] タブで、正常なダウンロードまたはインストール状態に関する通知を有効/無効にして、[プッシュ通知]

フィールドに通知テキストを入力します。

8 iOS 更新を公開するには [保存] を選択します。

結果

割り当ては、UEM console で選択された iOS 更新用に保存され、チェックインされている割り当てられた対象の

デバイスが、指定された iOS バージョンの更新を受信します。iOS 更新の状態は [割り当て] に変更され、割り当て

られたデバイスの状態は [更新の詳細] ページで監視できます。

注：これらの設定は、更新の公開後にいつでも変更できます。

デバイスに複数の iOS 更新が割り当てられている場合、展開の設定と iOS バージョンは次の優先順位で評価されま

す。

1 最新の iOS バージョン（例：iOS 13.3 は iOS 13.1 より優先される）。

2 デバイスが加入している組織グループ以上に最も近い割り当て (たとえば、デバイスが子組織グループに加入し

ている場合、デバイスは親レベルではなく子組織グループで割り当てを取得します。この場合、同一の iOS バー

ジョンに対する割り当てを想定しています）。

3 割り当て内で最も高い優先度。昇順の優先順位で、最初の 2 つの条件に基づいて選択されます（例：優先順位 1 は、優先順位 2 より高くなる）。

iOS 更新の一時停止と一時停止解除

管理者として、割り当てられているすべての更新を一時停止することもできます。更新が一時停止解除されるまで、

iOS デバイスに送信されていないすべての更新を保留します。

iOS 更新を一時停止するには、次の手順を実行します。

手順

1 [リソース] > [デバイス更新] > [iOS] ページの順に進みます。

2 割り当てられた iOS 更新を選択します。

3 ページの上部にある [一時停止] オプションを選択します。

注：一時停止しても、デバイスですでに処理されている更新（更新がダウンロード済みなど）は停止されませ

ん。一時停止は、割り当てられた今後の更新のダウンロードのみを停止します。


VMware, Inc. 103

iOS 更新の割り当ての監視

デバイスに iOS 更新を割り当てて、公開した後、次の手順で展開を監視します。

展開の状態を表示するには、[リソース] > [デバイス更新] > [iOS] ページから iOS 更新を選択して、追加情報を表

示します。[詳細] セクションには、iOS 更新の詳細（バージョン情報、サポート対象のデバイスなど）が表示されま

す。[詳細] セクションの下にあるグラフは、割り当てられたデバイスでの監視やアクションの実行のために使用しま

す。次のグラフが表示されます。

n [デバイスの準備] – 組織グループ以下に加入している更新およびデバイスに関する情報を提供します。これに

は、更新を受信できるデバイス、更新を受信できないデバイス（非監視対象の互換性のないハードウェアなど）、

新しいバージョンのデバイス、または選択済みのバージョンのデバイスが含まれます。

n [デバイス状態] – 割り当てられた適格なデバイスの iOS 更新の状態に関する情報が表示されます。これには、

更新をダウンロードしたデバイス、更新をインストールしたデバイス、または指定したエラーコードが表示され

失敗したデバイスが含まれます。

n [デバイス ] – この表には、割り当てからトリガされた適格/不適格なデバイスに対する iOS 更新の状態が表示さ

れます。この表の値は次のとおりです。

値説明

最終検出デバイスが最後に Workspace ONE UEM と通信した時刻。

デバイス名デバイスのフレンドリ名です。

ユーザーデバイスに割り当てられた加入ユーザーの氏名。

状態この iOS バージョンの更新に対して受信した最新の状態。

理由障害が発生した場合の更新の状態に関する追加説明。

次回の再試行障害が発生した際に、システムがデバイスに更新の送信を再試行するタイ

ミングの判断。表示されている時間よりも頻度を増やすことができます。

この表は、選択した更新に対してデバイスでアクションを実行するためにも使用されます。次のアクションがありま

す。

n [クエリ] – iOS 更新に関連するデバイスの最新情報を要求します。

n [オーバーライド] – デバイスのダウンロード/インストールコマンドをトリガします。以前デバイスに対して行

われた割り当ては無視されます。

個々のデバイスでの iOS 更新の管理

iOS 更新の管理は、個々のデバイスレベルで実行することができます。この直接的なアプローチにより最新の更新と

その機能が管理対象デバイス全体に適用されるます。[デバイス] - [リスト表示] - [デバイスを選択] - [更新] の順に

移動して、個々のデバイスにこれらの更新を展開して監視できます。

デバイスへの iOS 更新の公開

選択したデバイスに特定の更新を公開するには、次の手順を実行します。

1 [更新] タブを選択して、使用可能な OS 更新の詳細のスナップショットを表示します。

2 OS の更新名を選択して、[公開] を選択します。[更新] ページが表示されます。


VMware, Inc. 104

3 推奨される [デバイスのインストール方法] を選択します。

注：更新の割り当ての [ダウンロード/インストール] オプションを選択すると、デバイス上の OS 更新のステ

ータスに基づいてダウンロードまたはインストールアクションのいずれかが実行されます。

OS アップデートがすでにダウンロードされている場合は、OS 更新がインストールされます。ただし、OS 更新がまだダウンロードされていない場合、代わりにダウンロードがトリガされます。ダウンロードが完了した後、

コマンドを再度送信して、インストールをトリガします。

4 [送信] を選択して、OS 更新をデバイスに公開します。

5 [更新の進行状況をクエリ] を選択して、更新の最新の状態を確認します。

注：これは、デバイスに割り当てられた iOS 更新には影響しません。割り当てられた iOS バージョン以降のバー

ジョンになるまで、すべての割り当ては引き続きデバイスに公開されます。

iOS 更新の状態を追跡する

iOS 更新の状態は、手動で公開するか、更新をデバイスに割り当てることによって、UEM console から更新をスケ

ジュールするまで表示されません。iOS デバイスで更新が手動でダウンロードされた場合、その更新の状態は [更新] リストビューに表示されません。管理者が更新をスケジュールすると、UEM console の状態が更新されます。更新

が手動でインストールされている場合、この更新はデバイスの詳細表示と概要に反映されます。

トラブルシューティング

すべてのコマンドと応答は、イベントデータに表示されます（[デバイスの詳細 > その他 > トラブルシューティン

グ] タブの順に移動）。

iOS 更新の延期

管理者は、設定プロファイルを使用して Apple が更新をリリースしたときから最大 90 日間、iOS の更新を延期さ

せることができます。

iOS 更新を延期するには、次の手順を実行します。

手順

1 [リソース] > [ プロファイルとベースライン] > [プロファイル] > [追加] の順に選択します。

2 [Apple] > [ iOS] の順に選択し、[Restrictions] 設定を構成します。

3 [OS 更新の制限] サブセクションから [アップデートを延期（日数）] を選択します。

4 延期更新を制限し、ソフトウェアの更新を延期する日数を指定します。日数は 1 ～ 90 日の範囲です。日数は、

ソフトウェアの更新がリリースされてからの期間です。プロファイルをインストールしてからの期間ではありま

せん。


VMware, Inc. 105

監視対象の iOS デバイスのデバイス名を設定する

UEM Console のフレンドリ名と一致するように、自動または手動で iOS 8 以降の監視モードのデバイスの名前を

設定します。この機能はデバイスからアセット追跡を行う際に役に立ちます。デバイス名は、そのデバイスが

iTunes に接続されたときに表示されます。iTunes 上で編集することも可能です。

手順

1 [グループと設定] - [すべての設定] - [全般] - [デバイスとユーザー] - [フレンドリ名] の順に選択します。

2 スマートフォンの [カスタムフレンドリ名を有効化] を選択して、デバイス名をフレンドリ名として設定します。

3 [スマートフォンのフレンドリ名の形式] を入力します。これには、加入ユーザー、デバイスモデル、およびデバ

イス OS 情報を入力します。

4 [デバイス名をフレンドリ名に設定] を選択して、フレンドリ名と一致するように、この名前をデバイス名として

設定します。

5 [保存] を選択して、名前を更新します。

AppleCare GSX

管理者は Apple Global Service Exchange (GSX) を利用することにより、表示モデル名、デバイス購入、およ

び保証状態に関するデバイス詳細情報を、UEM コンソールに直接表示できます。

組織グループ内のデバイスでモデル名の表示がないものが存在する場合、デバイス向けに組織グループレベルで構成

された GSX 情報を使用して名前を検索し更新するためにタイムスケジューラを定期的に実行します。

承認された Apple 社の従業員または Apple 社の Self-Servicing Account Program に登録済みの組織のみが、

GSX 情報にアクセスできます。

GSX アカウントを作成する

GSX アカウントを AirWatch 環境に統合するには、事前に Apple GSX アカウントを作成しておく必要がありま

す。GSX アカウントを作成するには、Apple とサービス契約を結ぶ必要があります。Apple の営業担当者に連絡

し、GSX の詳細について理解してください。

GSX アカウントを作成するには、http://www.apple.com/support/programs/ssa/ にアクセスします。

AppleCare GSX を統合するための Apple 証明書を取得する

Workspace ONE UEM 展開に AppleCare GSX を統合するには、まず Apple 証明書を取得した後、.p12 フォ

ーマットに変換する必要があります。

詳細は、｢AppleCare GSX を統合するための Apple 証明書を取得する｣を参照してください。

UEM コンソールで AppleCare を構成する

Apple 証明書を取得して構成したら、UEM コンソールに証明書をアップロードするとともに、AppleCare インス

タンスを構成する必要があります。

詳細は、「UEM コンソールで AppleCare GSX を構成する」を参照してください。


VMware, Inc. 106

http://www.apple.com/support/programs/ssa/

AppleCare GSX を統合するための Apple 証明書を取得する

Workspace ONE UEM 展開に AppleCare GSX を統合するには、まず Apple 証明書を取得した後、.p12 フォ

ーマットに変換する必要があります。

手順

1 OpenSSL または Java Keytool を使用して、証明書署名要求 (CSR) を生成します。

2 CSR と次の GSX アカウント情報を Apple に送信して、Apple 証明書 (.pem ファイル) を受け取ります。

a GSX サービスアカウント番号

b IT 部門の主要連絡先

c IT 部門の主要連絡先のメールアドレス

d IT 部門の主要連絡先の電話番号

e GSX 運用部門に要求を送信するサーバの発信静的 IP アドレス

環境が AW SaaS でホストされている場合は、IP アドレスについて https://support.air-watch.com/articles/115001662168 を参照してください。環境の IP 範囲が記載されていない場合は、サポートチケ

ットを提出してください。VMware のネットワークオペレーション担当部門が対応いたします。

Apple が Apple 証明書 (.pem) を生成し、署名済み証明書およびチェーン証明書を返送します。利便性を

考慮して、ファイルの名前を cert.pem と chain.pem に変更し、以後のステップでの利用に備えます。

「issuer」という名前のファイルも提供される場合がありますが、このプロセスでは必要ありません。

3 Apple 証明書を .p12 フォーマットに変換します。

a プライベートキーと Apple 証明書を使用して、.p12 ファイルを作成します。次のコマンドを実行します。

sudo openssl pkcs12 -export -inkey privatekey.pem -in cert.pem -certfile chain.pem -

out GSX_Cert.p12

b 指定した場所に、証明書が .p12 ファイルとして保存されます。

ファイル名の先頭にパスを付加せずに変換コマンドを実行した場合は、作業ディレクトリに保存されます。

UEM コンソールで AppleCare GSX を構成する

Apple 証明書を取得して構成したら、UEM コンソールに証明書をアップロードするとともに、AppleCare インス

タンスを構成する必要があります。

手順

1 [グループと設定] - [すべての設定] - [デバイスとユーザー] - [Apple] - [AppleCare] の順に進みます。

UEM コンソールで GSX 接続を構成するには、マネージャレベルのアクセス、ウェブサービスへのアクセス、

対象および保証情報へのアクセス権限のある GSX アカウントが必要です。


VMware, Inc. 107

2 [GSX 設定] を入力します。

設定操作

[GSX ユーザー ID] アカウントのユーザー ID を入力します。

[GSX パスワード] アカウントパスワードを入力します。

[サービスアカウント番号] 10 桁のサービスアカウント番号を入力します。このアカウント番号は、ウェブページの下部にある GSX ポータ

ルで見つかります。

[タイムゾーン] ドロップダウンメニューを使用して、適切なタイムゾーンを選択します。

[言語] ドロップダウンメニューを使用して言語を選択します。

3 [保存] を選択して、AppleCare との統合を完了します。

4 UEM コンソールで、[リスト表示] に進み、デバイスを選択し、[さらに] メニューを使用して、[AppleCare] 情報を見つけます。

5 [アカウント] > [管理者] に移動し、[詳細] セクションから情報を取得します。

6 [管理者を追加/編集] ページで GSX ユーザー ID を追加し、[保存] をクリックします。

これで GSX API 呼び出しが実行できるようになりました。


VMware, Inc. 108

共有デバイス 9Workspace ONE UEM powered by AirWatch の共有デバイス/マルチユーザーデバイス機能を利用すると、

個々のエンドユーザーに対して、セキュリティと認証を確実に導入できます。また共有デバイスでは、特定のエンド

ユーザーのみが機密情報にアクセスできるように設定できます。

社内の従業員全員にデバイスを支給した場合、非常にコストがかかる可能性があります。Workspace ONE UEM powered by AirWatch では、デバイスを共有して、1 つの固定された構成をエンドユーザー全員に適用すること

も、それぞれのエンドユーザーに固有の構成設定を適用することも可能です。

共有デバイスを導入する場合、エンドユーザーにデバイスを展開する前に、まず該当する設定や制限事項でデバイス

をプロビジョンする必要があります。展開後、Workspace ONE UEM は共有デバイスにシンプルなログインまた

はログアウトプロセスを使用します。これにより、エンドユーザーが自分のディレクトリサービスまたは専用のロ

グイン資格情報を入力するだけでログインできるようになります。エンドユーザーのロールにより、コンテンツ、機

能、およびアプリケーションなどの企業リソースへのアクセスのレベルが決定されます。このロールにより、ユーザ

ーがログイン後に利用する機能やリソースが自動で構成されます。

ログインまたはログアウト機能は Workspace ONE Intelligent Hub 自体に組み込まれています。組み込みの機

能であるため、加入状態に影響が及ばないことが保証され、デバイスが使用中であるかどうかにかかわらず、確実に

管理できます。

共有デバイスの機能は、Apple Business Manager と統合された Apple iPad でもネイティブサポートされてい

ます。ビジネス向け共有 iPads と呼ばれるこの機能では、ログインのためにユーザーの管理対象 Apple ID を使用

しており、ログインおよびログアウトのために Workspace ONE Intelligent Hub で実行されることはありませ

ん。Apple Business Manager を使用した Shared iPads for Business の構成の詳細と、この機能を実現する

手順については、 docs.vmware.com で提供されている『Introduction to Apple Business Manager Guide』の [Shared iPads for Business] を参照してください。

共有デバイスの機能

複数のユーザー間で共有されるデバイスの機能とセキュリティに関しては、以下のような基本機能を利用することが

できます。これらの機能があることも、コスト効率の高い、エンタープライズモビリティを最大限活用するためのツ

ールとして、共有デバイスをお勧めする理由の 1 つです。

機能

n 企業の設定を維持したまま、エンドユーザーのエクスペリエンスをパーソナライズできます。

VMware, Inc. 109


n デバイスにログインすると、そのエンドユーザーのロールと組織グループ (OG) に基づいて、企業アクセスと特

定の設定、アプリケーション、およびコンテンツが構成されます。

n Workspace ONE Intelligent Hub または Workspace ONE Access に組み込まれているログイン/ログ

アウトプロセスを使用できます。

n エンドユーザーがデバイスからログアウトすると、そのセッションの構成設定がワイプされます。当該のデバイ

スは、別のエンドユーザーがログインできるようになります。

セキュリティ

n デバイスをエンドユーザーに支給する前に、共有デバイス設定を使用してデバイスをプロビジョニング

n Workspace ONE UEM への加入状態を維持したまま、デバイスにログイン/ログアウト

n ログイン中にエンドユーザーをディレクトリサービスまたは専用の Workspace ONE UEM 資格情報で認証

n Workspace ONE Access を使用してエンドユーザーを認証

n デバイスがログインしていない間もデバイスを管理

共有デバイスをサポートするプラットフォーム

共有デバイス/マルチユーザーデバイス機能をサポートするのは以下のデバイスです。

n Android 4.3 以降

n Workspace ONE Intelligent Hub 4.2 以降を搭載した iOS デバイス。

n 共有 iOS デバイスのログインおよびログアウトの詳細については、『[iOS プラットフォームガイド]』（docs.vmware.com で入手可能）の「共有 iOS デバイスのログイン/ログアウト」を参照してください。

n Workspace ONE Intelligent Hub 2.1 以降を搭載した MacOS デバイス。


n 共有デバイスの階層を定義する

n 共有デバイスを構成する

n 共有 iOS デバイスのログイン/ログアウト

共有デバイスの階層を定義する

共有デバイスに固有の組織グループ (OG) の作成は完全にオプションですが、マルチテナントに対応し、デバイス設

定を継承できるため、多くのメリットがあります。

組織の展開に多数の共有デバイスが含まれており、それらをシングルユーザーデバイスとは別に管理する必要があ

る場合は、共有デバイス固有の組織グループを作成できます。組織グループ構造内での共有デバイス階層の作成はオ

プションです。スマートグループやユーザーグループなどの機能があるので、デバイス管理を簡素化するために、

組織グループ階層の設計に厳密に従う必要はありません。


VMware, Inc. 110


ただし、共有デバイス組織グループ（またはネストされている組織グループ）を使用すると、スマートグループまた

はユーザーグループで必要になる処理オーバーヘッドが発生することなく、プロファイル、ポリシー、デバイスの継

承を通じてデバイスの機能を標準化できるため、デバイスの管理が簡素化されます。

手順

1 [グループと設定] - [グループ] - [組織グループ] - [組織グループ詳細] の順に進みます。

自社を表す組織グループが表示されます。

2 表示される [組織グループ詳細] に間違いがないことを確認してから、利用可能な設定を使用して、必要に応じて

変更を加えます。変更を加えた場合は、[保存] を選択します。

3 [[サブ組織グループの追加]] を選択します。

4 最上位組織グループの直下に最初に作成する組織グループに関する、次の設定を入力します。

設定説明

名前表示したいサブ組織グループの名前を入力します。使用できる文字は英数字だけです。それ以外の文字は使用で

きません。

グループ ID エンドユーザーがデバイスのログイン時に使用する組織グループの ID を入力します。グループ ID は、加入時に

デバイスを適切な組織グループに分類するために使用されます。

デバイスを共有するユーザーが、[グループ ID] を受け取っていることを確認してください。共有デバイスの構成

によっては、デバイスのログイン時にユーザーによる [グループ ID] 入力が必要になります。

オンプレミス環境ではない場合、グループ ID は、共有 SaaS 環境全体にわたって組織グループを識別します。こ

のため、すべてのグループ ID が一意である必要があります。

タイプサブ組織グループのカテゴリに適合する、事前構成されている組織グループタイプを選択します。

国組織グループが存在する国を選択します。

ロケール選択した国の言語分類を選択します。

カスタマーの業種このフィールド値は、[タイプ] の値が｢カスタマー｣である場合にのみ指定できます。｢カスタマーの業種｣のリス

トから選択します。

タイムゾーン組織グループが属しているタイムゾーンを選択します。

5 組織グループおよびサブ組織グループを同じように作成して、社内階層構造を構築します。

a [固定組織グループ] を構成する場合、エンドユーザーがログインまたはログアウトするために必要な組織グ

ループを 1 つ作成してあることを確認します。

b [ユーザーに組織グループをプロンプト表示する] を構成する場合、エンドユーザーのロール向けに、ログイ

ンまたはログアウトするための組織グループを複数作成してあることを確認します。詳細は、共有デバイス

を構成するを参照してください。


共有デバイスを構成する

シングルユーザーデバイスの代理セットアップと同様、マルチユーザーデバイス（共有デバイス）の代理セットア

ップの手続きも、複数のユーザーが使用する予定のデバイスを、IT 管理者が代理でプロビジョニングできます。


VMware, Inc. 111

手順

1 [グループと設定] - [すべての設定] - [デバイスとユーザー] - [全般] - [共有デバイス] の順に進みます。

2 [上書き] を選択し、[グループ化] セクションで各欄の値を指定します。

設定説明

[グループ割り当てモード] 次の 3 つの方法のいずれかを使用してデバイスを構成します。

n [ユーザーに組織グループをプロンプト表示する] を選択した場合、エンドユーザーはデバイスにログインす

るたびに、組織グループに対するグループ ID を入力する必要があります。

この方法では、エンドユーザーは、入力されている組織グループの設定、アプリケーション、およびコンテン

ツを自在に利用できます。また、エンドユーザーは、加入先組織グループ以外の設定、アプリケーション、お

よびコンテンツも利用できます。

n [固定組織グループ] を選択した場合、管理対象デバイスでは、1 つの組織グループの設定およびコンテンツし

か利用できません。

デバイスにログインした各エンドユーザーは、同じ設定、アプリケーション、およびコンテンツを利用しま

す。この方法は、小売業に適しています。小売業の従業員は、同じような目的 (例: 在庫の検査) で共有デバイ

スを使用します。

n [ユーザーグループ組織グループ] を選択した場合、社内階層内のユーザーグループと組織グループの両方に

基づいて、機能が有効化されます。

エンドユーザーがデバイスにログインすると、階層内で割り当てられている役割に基づいて、特定の設定、ア

プリケーション、およびコンテンツを利用できます。たとえば、あるエンドユーザーが "Sales" ユーザーグループのメンバーであり、そのユーザーグループが "Standard Access" 組織グループにマッピングされ

ているとします。そのエンドユーザーがデバイスにログインすると、デバイスは、"Standard Access" 組織グループで使用可能な設定、アプリケーション、およびコンテンツを使用して構成されます。

管理者は、UEM コンソールでユーザーグループを組織グループにマッピングできます。[グループと設定] - [すべての設定] - [デバイスとユーザー] - [全般] - [加入] の順に進みます。[グループ化] タブを選択し、必要

な情報を入力します。

[利用規約を常にプロンプ

ト表示]このチェックボックスを選択した場合、デバイスにログインする前に、[利用規約] に同意するよう、エンドユーザ

ーにプロンプトが表示されます。

3 必要に応じて、[セキュリティ] セクションで各欄の値を指定します。

設定説明

共有デバイスパスコード

を必須とする

このオプションを有効にした場合、ユーザーは、デバイスをチェックアウトするため、セルフサービスポータル

で共有デバイスパスコードを作成する必要があります。このパスコードは、シングルサインオンパスコードやデ

バイスレベルのパスコードとは異なります。

特殊文字を必須とするこのオプションを有効にした場合、ユーザーは、共有デバイスパスコード内に特殊文字 (例: @、%、&amp) を含める必要があります。


最小文字数

共有デバイスパスコードの最小文字数を指定します。


有効期間 (日)共有デバイスパスコードの有効期間 (単位: 日) を指定します。


を最小時間 (日) 保持する

共有デバイスパスコードの継続使用可能期間 (単位: 日) を指定します。この日数に達したら、パスコードを変更

する必要があります。


VMware, Inc. 112

設定説明

期限切れになる x (日) 前に共有デバイスのパスコー

ドを変更するようユーザー

にプロンプトを表示します

[(iOS デバイスのみ)] 共有デバイスパスコードが期限切れになる何日前にメッセージを表示するかを設定しま

す。

最適な結果を得るには、有効期限と共有デバイスパスコードを維持できる最小時間の差よりも小さい値を設定し

ます。

パスコード履歴システムに保持しておく過去のパスコードの数を指定します。過去に使用したパスコードを再使用できないよう

にすると、セキュリティが向上します。

自動的にログアウト指定時間が経過すると自動ログアウトするように構成します。

以下の時間経過後自動ログ

アウト

[自動ログアウト] するまでの時間を指定します (単位: [分]、[時間]、または [日])。

iOS シングルアプリモー

ド

このチェックボックスを選択した場合、シングルアプリモードを構成できます。シングルアプリモードでは、

エンドユーザーがデバイスにログインしたときに、1 つのアプリケーションしか使用できません。

シングルアプリモードで iOS デバイスをチェックアウトするには、エンドユーザーが自分の資格情報を使用して

ログインします。デバイスが再び返却済みになると、シングルアプリモードに戻ります。

シングルアプリモードを有効にすると、デバイスのホームボタンが無効になります。

注：シングルアプリモードは、監視モードの iOS デバイスのみに適用されます。

4 必要に応じて、[ログアウト設定] を構成します。

設定説明

Android アプリデータを

クリア

ユーザーが共有デバイスからログアウト（共有デバイスをチェックイン）したときに、アプリのデータが消去され

ます。

Android アプリを再イン

ストール

ドロップダウンを使用して、常にユーザー間でアプリを再インストールするか、ユーザー間でアプリを再インスト

ールしないかを選択します。Android (Legacy) 展開の場合、Hub がユーザー間でアプリデータをクリアでき

ない場合、アプリの再インストールを選択することができます。

Android デバイスパスコ

ードをクリア

ユーザーがマルチユーザー共有デバイスからログアウト（チェックイン）したときに現在の Android デバイス

パスコードを消去するかどうかを指定します。

iOS デバイスパスコード

をクリア

ユーザーがマルチユーザー共有デバイスからログアウト（チェックイン）したときに現在の iOS デバイスパスコ

ードを消去するかどうかを指定します。


次のステップ

シングルユーザーデバイスおよびマルチユーザーデバイスの代理セットアップを目的とした、デバイスのプロビジ

ョニングに関する具体的な情報については、トピックシングルユーザーデバイスを代理セットアップするおよびマル

チユーザーデバイスを代理セットアップするを参照してください。

共有 iOS デバイスのログイン/ログアウト

複数のユーザー間で共有している iOS デバイスにログイン/ログアウトすることができます。

手順

1 Workspace ONE Intelligent Hub をデバイスで実行します。


VMware, Inc. 113

https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/UEM_Managing_Devices/GUID-AWT-STAGEASINGLEUSERDEVICE.html

https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/UEM_Managing_Devices/GUID-AWT-STAGEAMULTIUSERDEVICE.html

https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/UEM_Managing_Devices/GUID-AWT-STAGEAMULTIUSERDEVICE.html

2 エンドユーザーの資格情報を入力します。

デバイスがすでに Workspace ONE Intelligent Hub にログインしている場合、SSO パスコードを入力する

ように求めるプロンプトがユーザーに表示されます。デバイスがログインしていない場合、ユーザー名とパスワ

ードを入力するように求めるプロンプトがユーザーに表示されます。スマートグループとユーザーグループの

関連付けに基づいて、各ユーザーに割り当てられているプロファイルがプッシュされます。

注： [ユーザーに組織グループをプロンプト表示する] を有効にした場合、エンドユーザーはデバイスへのログ

イン時に [グループ ID] を入力するよう要求されます。

3 [ログイン] を選択し、[利用規約] に同意します。

注：パスコードの入力を求めるプロンプトが表示された場合、ユーザーは、セルフサービスポータルでパスコ

ードを作成できます。パスコードには有効期限があります。有効期限が近づくと、Workspace ONE Intelligent Hub により、デバイスのパスコードを変更するように求めるプロンプトがユーザーに表示されます。

有効期限切れになる前にユーザーがパスコードを変更しなかった場合、ユーザーはセルフサービスポータルに

戻って別のパスコードを作成する必要があります。

次のステップ

iOS デバイスからログアウトするには、Workspace ONE Intelligent Hub を実行し、下部にある [ログアウト] を選択します。


VMware, Inc. 114

iOS 機能マトリックス: 監視対象と非監視対象 10次の表は、UEM コンソールで制御できるすべての iOS プロファイル機能と、各機能を利用するために必要な iOS のバージョンを示したものです。

機能監視を必要としない監視モードのみ対象 OS

[パスコード]

パスコード設定 ✓ -

[Wi-Fi]

Wi-Fi 設定 ✓ -

自動参加 ✓ iOS 7

Wi-Fi Hotspot 2.0 設定 ✓ iOS 7

プロキシ設定 ✓ iOS 7

QOS マーキングポリシー ✓ iOS 10 以降

[VPN]

VPN 設定 ✓ -

アプリベースの VPN ✓ iOS 7

自動接続 ✓ iOS 7

[E メール]

E メール設定 ✓ -

メッセージの移動を禁止する ✓ iOS 7

最近の連絡先同期の無効化 ✓ iOS 7

サードパーティアプリでの使用を禁止 ✓ iOS 7

S/MIME を使用する ✓ iOS 7

[Exchange ActiveSync]

EAS 設定 ✓ -

S/MIME を使用する ✓ iOS 7

メッセージごとの S/MIME ✓ iOS 8

メッセージの移動を禁止する ✓ iOS 7

サードパーティアプリでの使用を禁止 ✓ iOS 7

最近の連絡先同期の無効化 ✓ iOS 7

VMware, Inc. 115


Mail Drop を禁止 ✓ iOS 9

既定の通話アプリケーション ✓ iOS 10 以降

LDAP

LDAP 設定 ✓ -

[CalDAV]

CalDAV 設定 ✓ -

定期配信カレンダー

定期配信するカレンダーの設定 ✓ -

[CardDAV]

CardDAV 設定 ✓ -

ウェブクリップ

ウェブクリップ設定 ✓ -

[資格情報]

資格情報証明書の設定 ✓ -

[SCEP]

証明書認証局用の SCEP 設定 ✓ -

[グローバル HTTP プロキシ]

グローバル HTTP プロキシ設定 ✓ iOS 7

[シングルアプリモード]

シングルアプリモード – シングルアプリモードにデバイスをロックす

る

✓ iOS 7

｢シングルアプリモードにデバイスをロックする｣のオプションの設定 ✓ iOS 7

自動シングルアプリモード ✓ iOS 7

[ウェブコンテンツフィルタ]

Web コンテンツフィルタ設定 (ホワイトリスト、ブラックリスト、許可

された URL) ✓ iOS 7

サードパーティプロバイダによるウェブコンテンツフィルタリング ✓ iOS 8

[管理ドメイン]

管理 E メールドメイン ✓ iOS 8

管理ウェブドメイン ✓ iOS 8

管理対象の Safari パスワードドメイン ✓ iOS 9.3

[ネットワーク使用量規則]

ネットワーク使用量規則 ✓ iOS 9

[macOS サーバアカウント]

macOS サーバアカウント ✓ iOS 9

[シングルサインオン]


VMware, Inc. 116


Kerberos 認証を使用するシングルサインオン設定 ✓ iOS 7

更新証明書を使用するシングルサインオン設定 ✓ iOS 8

[AirPrint]

AirPrint 出力先設定 ✓ iOS 7

[AirPlay ミラリング]

AirPlay 出力先設定 (ホワイトリスト) ✓ iOS 7

AirPlay パスワード ✓

[アクセスポイント]

高度なアクセスポイント設定 ✓

[アプリのインストール設定]

サイレントアプリインストール ✓ +VPP

セルラー設定の管理

音声通話ローミング ✓ ✓ iOS 7

データローミング ✓ ✓ iOS 7

パーソナルホットスポット ✓ ✓ iOS 7

[壁紙の設定]

ロック画面の画像設定 ✓ iOS 7

ロック画面のメッセージ設定 ✓ iOS 9.3 以降

ホームスクリーンの画像の設定 ✓ iOS 7

ホームスクリーンのレイアウト設定 ✓ iOS 9.3 以降

[通知]

通知設定 ✓ iOS 9.3 以降

[クエリとコマンド]

監視対象の状態 ✓ iOS 7

パーソナルホットスポットの状態 ✓ iOS 7

アクティベーションロックを解除する ✓ iOS 7

制限事項パスコードの消去 ✓ iOS 8

iOS 更新の構成 ✓ iOS 9

iOS 10.3 より前では、DEP も必要です

iOS 更新の延期 ✓ iOS 11.3 以降

[カスタムフォントとメッセージング]

カスタムフォントのインストール ✓ iOS 7

加入メッセージのカスタマイズ ✓ iOS 7


VMware, Inc. 117


カスタム MDM プロンプト ✓ iOS 7

アクティベーションロックの警告 ✓ iOS 7


VMware, Inc. 118

vmware workspace one uem€¦ · apple ibeacon の概要 74 ios デバイス用に ibeacon...

Documents