vmwareairwatchandroid プラットフォームガイド ·...

VMware AirWatch Android プラットフォームガイドWorkspace ONE UEMを使用したAndroidデバイスの展開および管理WorkspaceONE UEM v1810

ご意見・ご感想をお寄せください。support.air-watch.comからサポートウィザードを使用して文書のフィードバックサポートチケットを送信することができます。

Copyright ©2018 VMware, Inc. All rights reserved.この製品は、米国およびその他の国における著作権および知的財産権法および国際条約によって保護されていま

す。VMware製品は、以下のリストに表示されている1件または複数の特許対象です。http://www.vmware.com/go/patents.

VMwareは、米国およびその他の地域におけるVMware, Inc.の登録商標または商標です。他のすべての名称ならびに製品についての商標は、それぞれの所有者の商標

または登録商標です。

VMware AirWatch Androidプラットフォームガイド | v.2018.10| 2018年 10月

Copyright © 2018 VMware, Inc. All rights reserved.

1

http://support.air-watch.com/

目次

第 1章 :概要 4Workspace ONE UEMとAndroidの統合の概要 5

Androidの名称変更 5

Androidを展開するための要件 5

Androidの加入制限事項 6

Androidで使用される重要な用語 6

Androidデバイスのモードの概要 6

第 2章 :Android EMM登録 8管理対象のGoogle Playアカウントを使用してAndroid EMMを登録する 8

管理対象 Googleドメインを使用してAndroid EMMを登録する( G Suiteユーザー) 9

AirWatchからのドメインのバインド解除 13

第 3章 :Androidの加入 14Work管理対象デバイスの加入 14

Workプロファイルの加入 14

企業が所有し、個人に対応の加入 14

加入設定 14

デバイスの保護 14

自動検出による加入 15

デバイスとユーザー/Android/Android EMM登録 15

Androidデバイスのデバイス保護 15

自動検出による加入 16

Work管理対象デバイスの加入 17

企業が所有し、個人に対応の加入 30

WorkプロファイルモードへのAndroidデバイスの加入 32

第 4章 :Androidプロファイル 33概要 33

AndroidプロファイルおよびAndroid (Legacy)プロファイル 33

WorkプロファイルとWork管理対象デバイスモード 33

デバイスへのアクセス 33

デバイスセキュリティ 34

デバイスの構成 34

パスコードプロファイル 35

Chromeブラウザ設定の適用 39

制限事項プロファイル 39

Exchange ActiveSyncの有効化 40

資格情報 41

アプリケーション制御 42

プロキシ設定を構成する 42

システム更新の有効化 43

2



Wi-Fiプロファイル 43

VPNの構成 44

権限の設定 46

シングルアプリモードを構成する 46

日付/時刻を設定する 47

AirWatch Launcherプロファイルを作成する 48

ファイアウォールルールを構成する (Android) 48

APNプロファイルを構成する 49

エンタープライズ工場出荷状態へリセットの保護を構成する 50

Zebra MXプロファイルの構成 50

カスタム設定の使用 53

第 5章 :共有デバイス 54共有デバイス機能を使用するためにAndroidを構成する 55

共有 Androidデバイスのログイン/ログアウト 55

第 6章 :Android用のアプリケーション管理 56Androidデバイス用のWebリンク 56

Android向けWorkspace ONE Intelligent Hub 56

Androidで使用する内部アプリ 58

Android用パブリックアプリケーションの追加 58

Android用アプリケーションの割り当て 59

Google Play forWorkの有効化 61

統合機能 61

第 7章 :Androidデバイス管理の概要 62デバイス管理コマンド 62

｢デバイスの詳細アプリ｣タブ 62

Android固有のプロファイルの機能 62

Android固有の制限事項 65

3



第 1章:概要

Workspace ONE UEMとAndroidの統合の概要 5

Androidの名称変更 5

Androidを展開するための要件 5

Androidの加入制限事項 6

Androidで使用される重要な用語 6

Androidデバイスのモードの概要 6

4



Workspace ONE UEM とAndroid の統合の概要

VMwareWorkspaceONEUEM™は、Androidデバイスの展開時にデバイス加入、セキュリティ保護、構成、および管理を行うための、堅牢なモビリティ管理ソ

リューションセットです。WorkspaceONEUEMコンソールには、企業所有デバイスと個人所有デバイスのライフサイクル全体を管理するための、自在に使えるい

くつものツールと機能が用意されています。

このガイドでは、WorkspaceONEUEMをEnterpriseMobilityManager (EMM)としてAndroidデバイスと統合する方法について説明します。

Android の名称変更

Android for Workは、企業でのAndroidデバイス導入を促進するため、2015年に発表されました。Googleは、ほとんどのAndroidデバイスで使用可能な

Android for Work機能の実装に努めてきました。WorkspaceONEUEMコンソールリリースv9.4以降、WorkspaceONEUEMは、単純な命名規則を採用し

ています。Android for Workという名前はAndroidに変更され、新規加入時の既定の展開方法になっています。このガイドでは、この展開方法について説明し

ます。VMware AirWatchの既存のお客様は、大量のデバイスを管理するためにAndroid (Legacy)を使用したAndroid展開を引き続きご利用いただけます。

Android (Legacy)管理については、『VMware AirWatch Android(Legacy) PlatformGuide』を参照してください。

Android を展開するための要件

Androidデバイスを展開する前に、次に示す前提条件、加入要件、サポート資料、およびAirWatchチームからの注意事項を確認してください。

サポートされる OSAndroid 5.X.X (Lollipop)

注 : WorkspaceONEUEMは、Android 4.1以降のデバイスでの製品のプロビジョニングをサポートします。詳細については、「VMware AirWatch ProductProvisioning for Android Guide」を参照してください。

Android 6.X.X (Marshmallow)

Android 7.X.X (Nougat)

Android 8.X.X (Oreo)

Androidデバイスは、Google Playストアと通信できる必要があります。デバイスがGoogle Play統合をサポートしていない場合は、Android (Legacy)の展開を参

照してください。

加入要件

貴社で展開しているそれぞれのAndroidデバイスとAirWatch間の通信を確立し、Androidデバイス上で貴社のコンテンツや機能を利用できるようにするには、

はじめにAndroidデバイスをAirWatchに加入する必要があります。デバイスを加入するには以下の情報が必要になります。

E メールドメインが貴社環境に関連付けられている場合 –自動検出を使用する場合

l E メールアドレス –貴社に関連付けられているEメールアドレス。例 : [email protected]

l 資格情報 –このユーザー名とパスワードを使用してAirWatch環境にアクセスします。資格情報は、ネットワークディレクトリサービスの資格情報と同じ場

合も、WorkspaceONEUEMコンソールで一意に定義されている場合もあります。

E メールドメインが貴社環境に関連付けられていない場合 –自動検出を使用しない場合

ドメインが貴社環境と関連付けられていない場合は、Eメールアドレスの入力を求められます。自動検出機能が無効になっているため、以下の情報を入力す

るよう要求されます。

l 加入 URL –このURLはお客様の加入環境に一意に割り当てられます。このURLをクリックして加入画面を直接開くことができます。例 :mdm.acme.com/enroll

l グループ ID –このグループ IDは各デバイスを企業内役割と関連付けます。これはWorkspaceONEUEMコンソールで定義されます。

l 資格情報 –この一意のユーザー名とパスワードのペアを使用してAirWatch環境にアクセスします。資格情報は、ネットワークディレクトリサービスの資格

情報と同じ場合も、WorkspaceONEUEMコンソールで一意に定義されている場合もあります。

WorkspaceONE Intelligent HubをダウンロードしてAndroidデバイスを加入するには以下の情報が必要になります。

l 加入 URL –加入 URLはAWAgent.comで、これはAirWatchに加入するすべてのユーザー、組織、デバイスに共通です。

第 1章 :概要

5



Android の加入制限事項

加入制限事項により、既知のユーザー、ユーザーグループ、および許可される加入デバイスの数など、加入に対する制限を設定できます。

Androidの製造元およびモデルに基づく加入制限事項を作成し、承認されたデバイスのみ許可されるようにすることができます。

これらのオプションを有効にするには、[グループと設定 ] > [すべての設定 ] > [デバイスとユーザー] > [全般 ] > [加入 ]の順に進み、[制限 ]を選択します。[制限 ]タブを選択すると、加入制限事項ポリシーを組織グループやユーザーグループのロール別にカスタマイズできます。

Android で使用される重要な用語

Androidに関連付けられるこれらの重要な用語は、ユーザーに対する設定を構成および展開する方法を理解するのに役立ちます。

l Work プロファイル –プロファイル所有者とも呼ばれる、Workプロファイルモードは、デバイスにビジネスアプリケーションとコンテンツのみの専用コンテナを作成

します。Workプロファイルモードは、組織がビジネスのデータとアプリケーションを管理し、ユーザーの個人データとアプリにはアクセスできないようにします。

Androidアプリは、ブリーフケースアイコンで表示され、個人アプリと区別できます。詳細については、「Workプロファイルモードの機能 ( 6ページ) 」を参照し

てください。

l Work 管理対象デバイス –Work管理対象デバイスモードは、デバイス所有者とも呼ばれ、範囲はデバイス全体です。デバイスに個人の部分はなく、

WorkspaceONE Intelligent HubからプッシュされたAPIがデバイス全体に適用されます。Work管理対象デバイスモードは、プロビジョニングされていない状

態で開始するデバイスに適用され、別のプロビジョニングプロセスを介してWorkspaceONE Intelligent Hubをインストールしてデバイス全体のWorkspaceONE Intelligent Hubの完全な制御を許可します。詳細については、「Androidデバイスのモードの概要 ( 6ページ) 」を参照してください。

l 企業が所有し、個人に対応 –企業が所有し、個人に対応 (COPE)は、企業が所有するデバイスを表しており、Work管理対象デバイスと似ていますが、

個人と企業の両方の使用に対応するWorkプロファイルがプロビジョンされます。詳細については、「Androidデバイスのモードの概要 ( 6ページ) 」を参照し

てください。

l 管理対象のGoogle アカウント – Androidに使用するデバイスに登録したGoogleアカウントを参照して、Google PlayからAndroidアプリの管理を提供しま

す。このアカウントは、Android構成を管理するドメインによって管理されます。

l Google サービスアカウント – Googleサービスアカウントは、GSuiteのお客様向けに推奨されるGoogle APIにアクセスするアプリケーションによって使用され

る特別なGoogleアカウントです。

l EMM トークン –管理対象のGoogleアカウントにWorkspaceONEUEMコンソールを接続するためにWorkspaceONEUEMが使用する一意の IDです。

l 管理対象 Google ドメイン –エンタープライズに関連付けられているAndroidを有効にするために要求されるドメインです。

l Google ドメインのセットアップ –管理対象のGoogleドメインを要求するためのGoogleプロセスです。

l G Suite –クラウドコンピューティング、生産性およびコラボレーションツール、Googleによって開発されたソフトウェアおよびプロダクトのプッシュ元となる

Googleのブランドです。

l AirWatch Relay –管理者がWorkspaceONEUEMにAndroidデバイスを一括加入するために使用する、WorkspaceONEUEMアプリケーションです。

l NFC バンプ –これは、AirWatch Relayアプリを使用して、子デバイスに親デバイスから情報を渡す間に行われます。

Android デバイスのモードの概要

IT管理者は、Androidの組み込み管理機能を利用して、業務専用に使用されるデバイスを詳細に管理できます。

組織内で使用されているデバイスの所有形態に応じて、Androidには2つのモードが用意されています。Work プロファイル (プロファイル所有者とも呼ばれる)は、デバイスに業務アプリケーションとデータのみの専用領域を作成します。これは、個人デバイスの業務利用 (BYOD)アプリケーションに最適な展開です。

Work 管理対象デバイスモードを使用すると、WorkspaceONEUEMおよび IT管理者はデバイス全体を制御し、Workプロファイルには利用できない幅広いポ

リシー制御を適用できますが、デバイスは企業の使用にのみ制限されます。企業が所有し、個人に対応 (COPE)モードは企業が所有するデバイスを表してお

り、Work管理対象デバイスと似ていますが、個人と企業の両方の使用に対応するWorkプロファイルがプロビジョンされます。

Workプロファイルモードの機能

Workプロファイル内のアプリケーションは、赤色のブリーフケースアイコンによって区別され、バッジアプリとも呼ばれます。ユーザーの個人用アプリと統合されたラン

チャー内に表示されます。たとえばデバイスにGoogle Chromeの個人用アイコンと、バッジで区別されるWorkChrome用のアイコンの両方が表示されます。エン

ドユーザーからは2つの異なるアプリケーションのように見えますが、アプリのインストールは1回だけで、ビジネスデータと個人データが別々に格納されています。

WorkspaceONE Intelligent Hubはバッジ付きであり、Workプロファイルデータ領域内のみに存在します。個人用アプリは制御できず、WorkspaceONEIntelligent Hubには個人情報へのアクセス権がありません。

第 1章 :概要

6



WorkChrome、Google Play、Google設定、連絡先、カメラなど、既定でWorkプロファイルに含まれているシステムアプリケーションは多数ありますが、制限事

項プロファイルを使用して非表示にできます。

一部の設定は、個人用と業務用の構成の間に区切りが表示されます。次の設定で別々の構成が表示されます。

l 資格情報：管理対象デバイスへのユーザー認証用の社内証明書を表示します。

l アカウント：Workプロファイルに関連付けられている管理 Googleアカウント。

l アプリケーション：デバイスにインストールされているすべてのアプリケーションを一覧表示します。

l セキュリティ：デバイスの暗号化ステータスを表示します。

Work管理対象デバイスモードの機能

Work管理対象デバイスのモードでデバイスが加入すると、真の企業所有モードが作成されます。WorkspaceONEUEMがデバイス全体を制御し、業務データ

と個人データの区切りがありません。

Work管理対象モードで注意すべき重要な点は次のとおりです。

l ホーム画面には、Workプロファイルモードのようなバッジアプリケーションは表示されません。

l ユーザーは、デバイスのアクティベーション時に事前ロードされていたさまざまなアプリケーションにアクセスできます。追加のアプリケーションは、WorkspaceONEUEMコンソールを通じてのみ承認および追加できます。

l WorkspaceONE Intelligent Hubは、セキュリティ設定でデバイス管理者として設定され、無効にできません。

l Work管理対象モードのデバイスを加入解除すると、デバイスの工場出荷状態リセットを要求されます。

企業が所有し、個人に対応 (COPE)モード

COPEモードを使用してデバイスを加入する場合、引き続きデバイス全体を制御します。COPEモードに独自の機能は、デバイス用とWorkプロファイルの内部

用に2つの別個のポリシーのセット (制限など)を適用できることです。

COPE モードは、Android 8.0以降のデバイスでのみ使用可能です。Android 8.0より前のAndroidデバイスを加入する場合、Work管理対象デバイスとして自

動的に加入します。

デバイスをCOPEモードに加入する際に考慮すべき事項があります。

l SDKを使用したPINベースの暗号化とAirWatchシングルサインオンは、企業が所有し、個人に対応のデバイスではサポートされていません。Workアプリ

ケーションを使用するときに必ずパスコードを使用するために、Workパスコードを適用することができます。

l シングルユーザーの代理セットアップおよびマルチユーザーの代理セットアップは、COPE加入にはサポートされていません。

l ( AirWatchでホストされている)内部アプリケーションおよびCOPEデバイスに展開されているパブリックアプリケーションは、Workプロファイル内のアプリケー

ションのカタログに表示されます。

l Workプロファイルのみの加入と同様に、企業が所有し、個人に対応のデバイスには、(たとえば、ユーザーが休暇中の場合などに) Workプロファイルを無

効にするオプションがあります。Workプロファイルが無効になっていると、Workアプリケーションは通知を表示しなくなり、起動できません。Workプロファイル

の状態 (有効または無効 )が、管理者に対して [デバイス詳細 ]ページに表示されます。Workプロファイルが無効になっている場合、最新のアプリケーション

とプロファイル情報をWorkプロファイルから取得できません。

l WorkspaceONEHubは、企業が所有し、個人に対応のデバイスの [Work管理対象 ]および [Workプロファイル]セクションにあります。WorkspaceONEHubがWorkプロファイルの内部と外部の両方にあることで、管理ポリシーをWorkプロファイル内とデバイス全体に適用できます。ただし、WorkspaceONEHubはWorkプロファイル内にのみ表示されます。

l デバイスにプッシュ通知が送信されると、Workプロファイルの外部のWorkspaceONEHubは一時的に使用可能になり、ユーザーはメッセージを表示でき

ます。これにより、Workプロファイルが一時的に無効になっている場合でも、重要なメッセージがユーザーに送信されます。

l 割り当てられたプロファイルは、WorkプロファイルでWorkspaceONEHubを使用して表示できます。

l アプリケーション管理 (アプリケーションのブロック/削除など)の順守ポリシーは、Workプロファイル内のアプリケーションにのみサポートされます。アプリケーショ

ンは、アプリケーション制御プロファイルを使用して( Workプロファイルの外部で)デバイスにブラックリスト登録することができます。

l 企業情報ワイプを実行すると、企業が所有し、個人に対応のデバイスは工場出荷状態にリセットされます。

第 1章 :概要

7



第 2章:AndroidEMM登録Androidデバイスの管理を開始するには、WorkspaceONEUEMを貴社のエンタープライズモビリティ管理 (EMM)プロバイダとしてGoogleに登録する必要があり

ます。WorkspaceONEUEMコンソールの「はじめに」画面では、デバイス全体をセキュリティで保護し、管理するために必要なエンタープライズ管理ツールの構

成に役立つステップバイステップソリューションを提供します。

Androidを構成する 2つの方法、管理対象 Google Playアカウントを使用する (推奨 )または管理対象 Googleドメインを使用する (Google推奨 GSuiteのお

客様向け)があります。管理対象 Google Playアカウントは、企業がGSuiteを使用しない場合に使用するもので、個人用 Googleアカウントを使用して組織

内で Androidを複数構成することが可能になります。WorkspaceONEUEMは、このアカウントを管理し、Active Directoryの同期やGoogle検証は必要ありま

せん。

管理対象 Googleドメイン (GSuite)を使用したAndroid設定では、貴社がGoogleドメインを設定し、ドメインを所有していることを証明するための検証プロセス

に従う必要があります。このドメインは1つの検証済みEMMアカウントのみにリンクできます。セットアップには、Googleサービスアカウントの作成と、EMMプロバイ

ダとしてWorkspaceONEUEMの構成が含まれます。既存のGoogleアカウントと競合しないよう、組織で使用するAndroid専用のGoogleアカウントを作成す

ることを検討してください。

Googleサービスアカウントは特別なGoogleアカウントです。Google APIにアクセスするアプリケーションで使用し、貴社のビジネスに対して管理対象 Googleドメイン方法を使用するAndroidを設定するときに必要です。Googleサービスアカウント認証情報は、Androidアカウントを構成するとき、または管理対象 GooglePlayアカウントを使用して登録するときに自動的に入力されます。Androidアカウントの設定中にエラーが発生した場合、WorkspaceONEUEMコンソールの設

定を消去し、もう一度試すか、アカウントを手動で作成します。Googleアカウントの場合は、いずれかのセットアップ方法の前に、Googleサービスアカウントの作

成を検討してください。

Googleアカウントを変更または管理者設定に変更を加えるには、WorkspaceONEUEMコンソールからアカウントのバインドを解除する必要があります。

重要：Androidの設定には、VMware AirWatchによって管理されていないサードパーティツールの統合が含まれます。このガイドでのGoogle管理者コン

ソールとGoogle開発者コンソールの詳細については、2018年 1月時点で入手可能なバージョンがドキュメント化されています。サードパーティ製品との統

合は、サードバーティソリューションが適切に機能することに依存するため、保証されていません。

管理対象のGoogle Playアカウントを使用してAndroid EMM を登録する

WorkspaceONEUEMコンソールを使用して、シンプルなセットアッププロセスを完了し、UEMコンソールをEMMプロバイダとしてGoogleにバインドすることができ

ます。

UEMコンソールで Androidセットアップを開始するには、次の手順を完了します。

1. [はじめに] > [Workspace ONE] > [Android EMM 登録 ]の順に移動します。

2. [構成 ]を選択すると、「Android EMM登録」ページにリダイレクトされます。

注：何らかの理由で、「Android EMM登録」ページがブロックされている場合は、内部および外部のエンドポイントと通信するネットワークアーキテク

チャでGoogle URLが有効になっていることを確認します。詳細については、推奨するアーキテクチャガイドを参照してください。

3. Google に登録するを選択します。Google資格情報を使用してすでにサインインしている場合は、WorkspaceONEコンソールにリダイレクトされます。

4. まだサインインしていない場合はサインインを選択して、Google認証情報を入力して、開始を選択します。

5. 組織名を入力します。エンタープライズモビリティ管理 (EMM)プロバイダフィールドにはAirWatchとして自動的に入力されます。

8



6. 確認 >登録を完了を選択します。WorkspaceONEコンソールにリダイレクトされます。Googleサービスアカウント認証情報が自動的に入力されます。

7. 保存 >テスト接続を選択して、サービスアカウントがセットアップされて正常に接続されていることを確認します。

注：UEMコンソールで設定が消去されている場合、Googleの登録に移動すると、セットアップを完了するように求めるメッセージが表示されます。セットアッ

プを完了するためにWorkspaceONEコンソールにリダイレクトされます。

管理対象 Google ドメインを使用してAndroid EMM を登録する( G Suite ユーザー)管理対象 Googleドメインを使用してアカウントを設定するには、すでに使用していない場合は、Googleドメインを設定するための組織が必要です。

Googleを使用するドメイン所有権の検証、EMM トークンの取得、このタイプのセットアップを使用するエンタープライズサービスアカウントの作成など、いくつかの

手動タスクを完了します。

管理対象 Googleドメイン方法を使用してWorkspaceONEUEMコンソールで Androidのセットアップを開始するには、次の手順を完了します。

1. [はじめに] > [Workspace ONE] > [Android EMM 登録 ]の順に移動します。

2. 登録を選択してAndroidセットアップウィザードにリダイレクトし、次の3つの手順を完了します。

l トークンを生成：Googleを使用して貴社のドメインを登録して、エンタープライズトークンを取得します。

l トークンをアップロード：Androidセットアップウィザードに、EMM トークンを入力します。

l ユーザーセットアップ；貴社全体で使用するユーザーを作成する方法を構成します。

3. Google に移動を選択します。GSuiteサイトにリダイレクトされます。

4. 貴社を登録し、ドメインを確認します。

Googleサービスアカウントのセットアップ

Googleサービスアカウントは、アプリケーションがGoogle APIにアクセスするために使用する特別なGoogleアカウントです。一度にすべての情報をアップロードで

きるように、EMM トークンを生成した後でこのアカウントを作成する必要があります。Androidを展開するためにGoogleアカウント方法を使用している場合の

み、このアカウントが必要です。

1. Google Cloud PlatformのGoogle DevelopersConsoleに移動します。

2. Google資格情報でサインインします。

注：Google管理者の資格情報は、ビジネスドメインと関連付ける必要はありません。既存のGoogleアカウントと競合しないよう、組織で使用する

Android専用のGoogleアカウントを作成することを検討してください。

3. 「プロジェクトを選択」メニューのドロップダウンメニューを使用して、プロジェクトを作成を選択します。

4. 「新しいプロジェクト」ウィンドウで、プロジェクト名を入力し、APIプロジェクトを作成します。命名規則としてAndroid EMM-CompanyNameという形式の使

用を検討してください。

5. 利用条件に同意し、作成を選択します。

プロジェクトが生成され、Google Developer ConsoleがAPIマネージャページにリダイレクトします。

6. AndroidのAPI とサービスダッシュボードからAPI とサービスの有効化を選択します。

7. 次のAPIを検索して有効にします。Google EMM APIとAdmin SDK API。

プロジェクトを作成してAPIを有効にしたら、Google Developer'sConsoleでサービスアカウントを作成します。

サービスアカウントの作成

Google DevelopersConsoleでサービスアカウントを作成します。

1. API とサービス >認証情報 >認証情報を作成 >サービスアカウントキー >新しいサービスアカウントに進みます。

第 2章 :Android EMM登録

9



https://console.developers.google.com/

2. サービスアカウントのサービスアカウント名を定義します。Androidの命名規則に従うことを検討してください。また、以後の手順で必要になるため、選択し

た名前をメモしてください。

3. ドロップダウンメニューを使用して、役割 > Projectでオーナーを選択します。

4. キーのタイプにP12を選択します。

5. 作成を選択します。ID証明書が自動的に作成され、ローカルドライブにダウンロードされます。

注意 :証明書をWorkspaceONEUEMコンソールにアップロードするときに備えて、ID証明書とパスワードを保存する必要があります。

6. サービスアカウントキーリストからサービスアカウントの管理を選択し、「サービスアカウント」ページを開きます。

7. サービスアカウントの横にあるメニューボタン (縦に並んだ3つのドット )を選択し、編集を選択します。

8. G Suite ドメイン全体の委任を有効にするを選択します。

9. GSuiteドメインの順序変更設定で製品名を入力します。命名規則としてAndroidEMM-CompanyNameという形式の使用を検討してください。

10. [保存 ]を選択します。

11. オプションフィールドでクライアント ID を表示を選択します。サービスアカウントの詳細が表示されます。ここで Developer Consoleから離れ、Google管理

者コンソールに資格情報を入力します。

Developer'sConsoleから離れる前に、クライアント IDを必ず保存してください。これらの資格情報は、EMM トークンをアップロードするときにWorkspaceONEUEMコンソールで使用します。詳細については、EMM トークンのアップロード ( 11ページ) を参照してください。

Google管理コンソールを構成する手順については、Google管理者コンソールのセットアップ ( 10ページ) を参照してください。

Google管理者コンソールのセットアップ

Google管理者コンソールは、管理者が組織内のユーザーのGoogleサービスを管理する場所です。AirWatchでは、AndroidおよびChromeOSとの統合に

Google管理者コンソールを使用します。

管理 APIクライアントアクセスのページでは、カスタム内部アプリケーションおよびサポートされているGoogle API (スコープ)へのサードパーティアプリケーションによ

るアクセスを制御できます。

Google管理者コンソールを設定するには、次の手順を実行します。

1. Google管理者コンソールにログインして、セキュリティ >設定 >高度な設定 > API クライアントアクセスの管理に移動します。

2. 以下の詳細情報を入力します。

設定説明

クライアント名 AirWatchから取得したクライアント IDを入力します。

サービスアカウントの IDを貼り付けます。

1つ以上の API のスコープ次のAndroid用 Google APIのスコープをコピーして貼り付けます。

Android：

https://www.googleapis.com/auth/admin.directory.user

3. 承認を選択します。

EMM トークンの生成

一意のEMM トークンは、Android管理用のドメインをAirWatchにバインドします。前のタスクからGoogle に移動を選択して開始すると、GSuiteセットアップサ

イトにリダイレクトされます。

1. 次の欄に入力します。

l ユーザー情報 –管理者連絡先情報を入力します。

l 会社情報 –会社の情報を記入します。


10



l Google 管理者アカウント – Google管理者アカウントを作成します。

l 最終登録 –セキュリティの検証データを入力します。

2. Googleによって設定された規約を読んで同意した後に同意とアカウントの作成を選択します。

3. ドメインの所有形態を検証してプロバイダに接続するには、残りのプロンプトに従います。検証後、これが管理対象のGoogleドメインになります。

ドメインの所有形態を検証するには、次のオプションを使用できます。ホームページにメタデータタグを追加、ドメインホストレコードを追加、またはドメイ

ンサイトにHTML ファイルをアップロードします。使用可能なオプションの設定を構成します。

4. 検証を選択して続行します。このプロセスが成功した場合、プロバイダに接続セクションにEMM トークンが表示されます。このトークンの有効期間は30日間です。

注：この手順の実行中に問題が発生した場合は、リストに表示されているサポート番号と一意のPINを使用してGoogleサポートを参


5. 生成されたEMM トークンをコピーし、完了を選択します。

WorkspaceONEUEMコンソールに戻る前にGoogleサービスアカウントを作成してEMM トークンをアップロードし、すべての資格情報を一度にアップロードでき

るようすることをお勧めします。

EMM トークンのアップロード

Google管理者コンソールとGoogle開発者コンソールですべてのタスクを完了すると、GSuiteドメインとAndroid EMMのAirWatchのバインドを完了するために

WorkspaceONEUEMコンソールにリダイレクトされます。

1. [はじめに] > [Workspace ONE] > [Android EMM 登録 ]の順に移動します。ウィンドウを閉じている場合はAirWatchには自動的にリダイレクトされません。

2. Androidのセットアップウィザードからトークンをアップロードを選択します。

3. 次の欄に入力します。

設定説明

ドメイン会社に関連付けられているAndroidを有効にするために要求されるドメインです。

重要：ドメインがすでにEMMの別のプロバイダに登録されている場合は、新しい EMMトークンをアップロードすることはで

きません。

エンタープライズトークン G Suite構成にAirWatchをリンクしている一意の識別子です。

Google管理者 Eメール

アドレス

Google管理者コンソールで作成された管理者のEメールです。Eメールアドレスはサービスアカウントを作成した場所の

View Client IDから表示されます。

4. 必要に応じて、ディレクトリアクセス資格情報を入力します。ユーザーを自動的に作成する予定の場合は、必要なのはこれを構成することだけです。手

動で作成する場合、これらの認証情報を入力する必要はありません。

5. Googleサービスアカウントから取得したGoogle 開発者コンソールの設定のアップロードを続行します。

ユーザーセットアップ

Androidを使用して、会社内のすべてのユーザーは、デバイスに接続するためにGoogleアカウントを作成する必要があります。Android EMM 登録ウィザードの

最終ステップでは、ユーザーの作成用に選択するセットアップ方法を決定できます。管理者には、Androidでユーザーを作成するために次の2つのオプションが

あります。

l Google管理者コンソールにログインして、またはGoogle Active Directory同期ツール (GADS)を使用して、手動でユーザーを作成する。

l AirWatchが加入時に自動的にGoogleアカウントを作成できるようにする。

ユーザー名の形式は、username@<your_enterprise_domain>.comです。

これらの設定を構成するには、次の手順を実行します。


11



1. 加入済みユーザーの Eメールアドレスに基づいて加入時にアカウントを作成するというプロンプトで、はいまたはいいえを選択します。

「はい」の場合は、次のプロンプトで、アカウントの認証にSAMLを使用したいかどうかを尋ねられます。

「いいえ」の場合は、WorkspaceONEUEMコンソールからGoogle Active Directory同期ツールまたはGoogle管理者コンソールでGoogleアカウント作成

の代替方法の指示があります。

2. 完了を選択します。

Android 加入ユーザーの自動作成

AirWatchは、加入中にAndroidのユーザーを自動的に作成するように勧めます。Androidセットアップウィザードを使用すると、加入中にユーザーアカウントを

自動的に作成するかどうかを指定できます。指定した場合は、SAMLを使用してアカウントを認証します。以前にSAMLを設定していない場合、ウィザードは、

設定を構成するためのリンクを表示します。

使用する場合は、次のように自動的にユーザーを作成します。

1. はいを選択して、ユーザーの E メールに基づいて加入時にアカウントを作成します。

「はい」を選択した場合、セットアップウィザードでディレクトリアクセスの認証情報設定を構成する必要があります。ディレクトリアクセス証明書をアップ

ロードし、サービスアカウント Eメールアドレスおよび管理者 Eメールアドレスを入力して、これらの設定を構成します。

2. はいを選択して、SAML エンドポイントを使用してアカウントを認証します。

SAMLをセットアップしていない場合、ウィザードはSAML認証の設定を構成するようにプロンプトを表示します。

3. 完了を選択して、Androidのセットアップを完了します。

Android 加入ユーザーの手動作成

Google Cloudディレクトリの同期 (GCDS)ツールまたはGoogle管理者コンソールのいずれかを使用して、WorkspaceONEUEMコンソール外で会社全体の

ユーザーアカウントを手動で作成することができます。Google管理者コンソールにアクセスするには、セットアップウィザードで提供されるリンクをクリックします。コ

ンソールを使用する方法の詳細については、Googleに連絡する必要があります。

GCDS方法には、AirWatchディレクトリサービスと同様の設定を使用する必要があります。グループと設定 >すべての設定 >システム >エンタープライズ統合

>ディレクトリサービスに移動して、ディレクトリサービス設定にアクセスします。

セットアップウィザードでポストされたリンクをクリックして、またはGoogleサポートページから、お使いのコンピュータに直接ツールをダウンロードして、GCDSツール

にアクセスすることができます。

GADSツールを使用すると、1回の一括作成で、会社内のすべての従業員のGoogleアカウントを手動で作成できます。アカウントは、AirWatchディレクトリ

サービスからの情報と同期することによって作成されます。

注：ここで説明する情報は、2017年 3月の最新バージョンGCDSv4.4.0の時点のものです。

この方法を使用してユーザーを作成するには、次の手順を完了します。

1. セットアップウィザードからのリンクを選択するか、Googleから直接 GADSツールをダウンロードします。

2. デスクトップでツールを開き、ユーザーアカウントとグループを選択して同期します。

3. Google アプリの構成タブを選択して、以下を入力します。

a. プライマリドメイン名を入力します。

b. (ユーザーとグループの) LDAP E メールアドレスのドメイン名をこのドメイン名に置き換えるために選択します。これにより、すべてのユーザーのEメー

ルアドレスがドメイン名と一致するようになります。

4. 今すぐ承認ボタンを選択します。

5. Google アプリディレクトリの同期を承認ダイアログが表示されたら、手順に従って承認プロセスを続行します。

a. Android管理者アカウントにサインインします。

b. Eメールで受信した認証を入力します。

c. 検証を選択して、これらの設定を確認します。

6. LDAP構成タブを選択して、AirWatchディレクトリサービスとGoogleを同期するための接続設定を入力します。

ここから、このツールと同期するAirWatchディレクトリサービス内に保存されている同じ設定を入力できます。これらの設定にアクセスするには、グループと

設定 >すべての設定 >システム >エンタープライズ統合 >ディレクトリサービスに移動します。


12



http://admin.google.com/

https://support.google.com/a/answer/106368?hl=en

https://support.google.com/a/answer/106368?hl=en

7. テスト接続を選択します。同期が成功した場合は、リンクされたActive DirectoryアカウントとGoogleの会社のGoogleアカウントが自動作成されます。

セットアップウィザードに戻って、セットアップを終了します。

AirWatch からのドメインのバインド解除

Googleアカウントを変更する必要があるイベントで、WorkspaceONEUEMコンソールのAndroid管理者アカウントのバインドを解除できます。

1. デバイス >デバイス設定 >デバイスとユーザー > Android > Android EMM 登録に移動します。

2. 「Android EMM登録」画面から設定を消去するを選択します。


13



第 3章:Androidの加入貴社で展開しているそれぞれのAndroidデバイスとWorkspaceONEUEM間の通信を確立し、Androidデバイス上で貴社のコンテンツや機能を利用できるよう

にするには、はじめにAndroidデバイスをWorkspaceONEUEMに加入する必要があります。

WorkspaceONE Intelligent Hubは、デバイス加入時に使用するだけではなく、その後もデバイスと接続に関する情報を提供するリソースとなります。Hubベース

の加入では、以下が可能になります。

l 基本サービスまたはディレクトリサービス (例：AD/LDAP/Domino、SAML、トークン、プロキシ)を使用したユーザー認証

l デバイスの一括登録、またはユーザー自身による登録

l 承認済みのOSバージョン、モデル、およびユーザーあたりのデバイス数の上限を設定

Androidには、3つの加入オプションがあります。Work管理対象デバイス、Workプロファイル、および企業が所有し、個人に対応の加入の3つで、各モードには

固有の加入オプションがあります。

Work管理対象デバイスの加入

Work管理対象デバイスモードはデバイス所有者とも呼ばれ、WorkspaceONEUEMでデバイス全体を制御できます。このモードは、メイン代理セットアッププロ

セスを必要とする企業所有デバイスの構成に最適です。詳細については、「Work管理対象デバイスの加入 ( 17ページ) 」を参照してください。

Workプロファイルの加入

Workプロファイルの加入はプロファイル所有者とも呼ばれ、AndroidデバイスとWorkspaceONEUEMConsoleの間の接続をセキュア化するWorkspaceONEIntelligent Hubを利用します。詳細については、「WorkプロファイルモードへのAndroidデバイスの加入 ( 32ページ) 」を参照してください。

企業が所有し、個人に対応の加入

COPEモードを使用してデバイスを加入する場合、引き続きデバイス全体を制御しますが、UEMConsoleを使用してWorkプロファイルがデバイスに展開されま

す。登録手順と詳細については、「企業が所有し、個人に対応の加入 ( 30ページ) 」を参照してください。

加入設定

「Android EMM登録」ページでは、Androidと統合するためのさまざまなオプションを構成できます。この画面では、ウィザードを使用してデバイスの統合を設定

できます。加入を開始する前にこれらの設定を有効にしてください。

デバイスの保護

Android OS5.1以降にはデバイス保護と呼ばれる機能が搭載されていて、デバイスをリセットする前後にGoogle資格情報の入力を要求できます。デバイスを

AndroidのWork管理対象デバイスとして加入する準備ができたら、デバイスの工場出荷状態リセットを実行する必要があります。この機能はAndroidの加入

に影響します。詳細は、｢Androidデバイスのデバイス保護 ( 15ページ) ｣を参照してください。

14



自動検出による加入

WorkspaceONEUEMでは、ユーザーのEメールアドレスを使用してデバイスを適切な環境と組織グループ (OG)に加入することができます。

自動検出機能を使用するこの加入はとてもシンプルです。詳細については、「自動検出による加入 ( 16ページ) 」を参照してください。

デバイスとユーザー/Android/Android EMM登録

Androidの設定ページでは、Androidデバイスを加入させる前にAndroidと統合するためのさまざまなオプションを構成できます。Android構成では、ウィザードを

使用してデバイスの統合を設定できます。

構成

構成ページは、Android EMM登録に成功した後にGoogle管理者コンソール設定およびGoogle API設定を表示します。

加入設定

設定説明

Work 管理対象加

入タイプ( G Suite以

外のみ)

デバイスを加入ユーザーまたはデバイスに関連付けるかどうかを選択します。

有料アプリを使用するときは、ライセンス割り当てを最適化する場合やほとんどのBYODユースケースで「ユーザーベース」をお勧めしま

す。単一のユーザーをデバイスに関連付けられない場合は (キオスクなど)、「デバイスベース」が適しています。

完全管理対象デバ

イスの加入

加入したデバイスがWork 管理対象デバイスモードと企業が所有し、個人に対応モードのどちらを使用しているかを選択します。

l Work 管理対象デバイスは、従業員にGoogle Playストアから企業アプリへのアクセスのみ提供し、個人アプリへのアクセスを提供

しないことによってロックダウンされる完全管理対象デバイスです。

l 企業が所有し、個人に対応は完全なデバイス管理の利点をすべて活用できますが、従業員は企業アプリにアクセスするための

Workプロファイルを受け取りながら、Workプロファイルの外部から個人のGoogle Playストアにもアクセスできます。この加入タイプ

は、Android 8.0以降でのみ使用可能です。

加入制限事項

設定説明

この組織グループの

加入方法を定義し

ます。

常に Android を使用、常に Android (Legacy) を使用、またはAndroid を使用する割り当てグループを定義を選択します。

Android を使用する割り当てグループを定義を選択する場合、すべての未割り当てデバイスは既定で Android (Legacy)を使用しま

す。

割り当てグループドロップダウンメニューからスマートグループを選択します。

スマートグループを選択すると、そのグループに属していないデバイスまたはユーザーは、Android Legacy加入 (デバイス管理者 )に進み

ます。スマートグループに属するデバイスは、WorkプロファイルまたはWork管理対象をサポートする場合はこれらの加入モードで加入

します。

Android デバイスのデバイス保護

Android OS5.1以降にはデバイス保護と呼ばれる機能が搭載されていて、デバイスをリセットする前後にGoogle資格情報の入力を要求できます。デバイスを

AndroidのWork管理対象デバイスとして加入する準備ができたら、デバイスの工場出荷状態リセットを実行する必要があります。

既存のGoogleアカウントはすべてデバイスから削除する必要があります。また、加入時にWorkspaceONE Intelligent Hubをインストールできるように、セキュア

ロック画面を無効にして、デバイス保護のトリガを回避する必要があります。工場出荷状態リセットの状態からデバイスを使用することで、新しいユーザーがデバ

イスからロックされることも防止します。

以前の所有者がGoogleアカウントのパスワードを変更していた場合は、明示的にAndroidデバイス保護を無効にした場合を除き、3日待ってからAndroid 5.1以降のデバイスを工場出荷状態にリセットして加入させる必要があります。3日を待たずにいずれかのAndroidデバイスを工場出荷状態にリセットした後、自分

のGoogleアカウントでデバイスにサインインしようとすると、パスワードリセットが発生してから72時間が経過するまでは、エラーメッセージが表示され、どのアカウ

ントでもデバイスにログインできません。

第 3章 :Androidの加入

15




WorkspaceONE™UEMでは、ユーザーのEメールアドレスを使用してデバイスを適切な環境と組織グループに加入させることができます。自動検出機能を使

用するこの加入はとてもシンプルです。エンドユーザーがEメールアドレスを使用してセルフサービスポータル (SSP)への認証を行う際にも自動検出機能を使用

することができます。

注：オンプレミス環境での自動検出の有効化は、貴社環境がWorkspaceONEUEM自動検出サーバと通信できることを確認してから行ってください。

自動検出加入のための登録

サーバで Eメールドメインの一意性を検証します。1つのドメインは1つの環境の1つの組織グループにおいてのみ登録できます。自動検出サーバによってこのよ

うな検査が行われるので、Eメールドメインは、貴社の最上位の組織グループで登録してください。

自動検出は、SaaS環境の新しいお客様向けには自動で構成されています。


WorkspaceONE™UEMでは、ユーザーのEメールアドレスを使用してデバイスを適切な環境と組織グループに加入させることができます。自動検出機能を使

用するこの加入はとてもシンプルです。エンドユーザーがEメールアドレスを使用してセルフサービスポータル (SSP)への認証を行う際にも自動検出機能を使用

することができます。

注：オンプレミス環境での自動検出の有効化は、貴社環境がWorkspaceONEUEM自動検出サーバと通信できることを確認してから行ってください。

自動検出加入のための登録

サーバで Eメールドメインの一意性を検証します。1つのドメインは1つの環境の1つの組織グループにおいてのみ登録できます。自動検出サーバによってこのよ

うな検査が行われるので、Eメールドメインは、貴社の最上位の組織グループで登録してください。

自動検出は、SaaS環境の新しいお客様向けには自動で構成されています。

サブ組織グループからの自動検出加入を構成する

加入組織グループの下位のサブ組織グループで、自動検出加入を構成できます。この方法で自動検出加入を有効にするには、加入時にユーザーにグルー

プ IDを選択させる必要があります。

1. デバイス >デバイス設定 >全般 >加入と進み、グループ化タブを選択します。

2. ユーザーがグループ ID を選択するようプロンプト表示するを選択します。


メイン組織グループからの自動検出加入を構成する

自動検出加入は、エンドユーザーのEメールアドレスを使用してデバイスを意図する環境と組織グループに加入するため、加入プロセスを簡素化することがで

きます。

メイン組織グループで自動検出加入を構成するには、次の手順を実行します。

1. [グループと設定 ] > [すべての設定 ] > [管理者 ] > [クラウドサービス]の順に移動して、[自動検出 ]設定を有効にします。自動検出 AirWatch IDにログイ

ン用 Eメールアドレスを入力して、ID を設定するを選択します。

a. 必要に応じて、https://my.workspaceone.com/set-discovery-passwordにアクセスして、自動検出サービス用のパスワードを設定します。登録して

ID を設定するをクリックすると、HMAC トークンが自動入力されます。接続のテストをクリックし、接続が正常に行われたことを確認します。

2. 自動検出証明書ピン留めオプションを有効にして、各自の証明書をアップロードして自動検出機能にピン留めします。

既存の証明書の有効期限やその他の情報を確認できます。また、これらの既存の証明書を置換および消去することもできます。

証明書を追加するを選択すると、名前と証明書の各設定が表示されます。アップロードする証明書の名前を入力し、[アップロード ]ボタンを選択して、

デバイスの証明書を指定します。

3. 保存をクリックし、自動検出機能のセットアップ処理を完了します。


16



https://my.workspaceone.com/set-discovery-password

加入するエンドユーザーに、環境 URLとグループ IDを入力するのではなく、認証用 Eメールアドレスを使用するオプションを選択するよう、指示します。ユー

ザーがEメールアドレスを使用してデバイスを加入させると、関連付けられているユーザーアカウントの加入組織グループとして設定された同じ組織グループに

加入します。

Work管理対象デバイスの加入

AndroidのWork管理対象デバイスモードでは、WorkspaceONEUEMを使用してデバイス全体を制御できます。工場出荷状態リセットを使用すると、デバイ

スを個人使用向けに設定されていない状態にできます。

Work管理対象デバイスを加入させるにはいくつかの方法があります。

l AirWatch Relayを使用してNFCバンプを実行する

l 一意識別子またはトークンコードを使用する

l QRコードをスキャンする

l 完全に自動化された加入を使用する

ビジネス要件によって、使用する加入方法が決まります。Android EMM登録が完了するまでは、デバイスを加入させることができません。登録を完了するには、

｢Android EMM登録｣を参照してください。

使用しているAndroidデバイスがクローズドネットワーク上にあってGoogle Playと通信できない場合、またはAndroid 5.0以前のバージョンを実行している場合

は、「VMware AirWatch Android (Legacy)プラットフォームガイド」に記載のLegacy加入方法を使用してAndroidを加入させます。

加入設定

「Android EMM登録」では、Androidと統合するためのさまざまなオプションを構成できます。この画面では、ウィザードを使用してデバイスの統合を設定できま

す。加入を開始する前にこれらの設定を有効にしてください。

AirWatch RelayAirWatch Relayは、Androidを使用してWorkspaceONEUEMに加入しているすべての子デバイスへ親デバイスから情報を渡すアプリケーションです。このプロセ

スはNFCバンプを通じて実行され、子デバイスをプロビジョニングして次の処理を実行します。

l 親デバイスに接続して、Wi-Fiネットワークおよび地域の設定 (デバイスの日付、時刻、および場所を含む)を得ます。

l 最新バージョンのAndroid向けWorkspaceONE Intelligent Hubをダウンロードします。

l WorkspaceONE Intelligent Hubをデバイス管理者としてサイレント設定します。

l WorkspaceONEUEMに自動的に加入します。

AirWatch Relayを使用すると、エンドユーザーへの展開前にすべての子デバイスを一括加入させることができるため、エンドユーザーが自分のデバイスを加入さ

せる必要がなくなります。AndroidのWork管理対象デバイスとして加入させるには、すべての子デバイスを工場出荷状態リセットモードにし、既定で NFCを有

効にする必要があります。

NFCバンププロセスは、Android OSによって異なります。Android 6.0以降を実行するデバイスでは、バンプを 1回実行すれば子デバイスの接続と加入を一度

に済ませることができます。v5.0からv6.0までの間のAndroid OSバージョンを実行するデバイスでは、NFCバンプを 2回実行します。最初のバンプでは、親デバ

イスに接続してWi-Fiネットワークおよび地域の設定 (デバイスの日付、時刻、場所など)を取得し、WorkspaceONE Intelligent Hubをダウンロードします。2回目のNFCバンプでは、エンドユーザーへの展開前にすべての子デバイスを加入させます。

AirWatch Relay加入については、「AirWatch Relayを使用したWork管理対象デバイスの加入 ( 18ページ) 」を参照してください。

AirWatch識別子

AirWatch識別子加入方法は、Android 6.0以降のデバイスでWork管理対象デバイスの加入アプローチをシンプルにしたものです。工場出荷状態リセットデ

バイスに単純な識別子 (ハッシュ値 )を入力します。識別子を入力すると自動的に加入し、WorkspaceONE Intelligent Hubがプッシュされます。ユーザーは、

サーバの詳細、ユーザー名、およびパスワードを入力するだけです。AirWatch識別子による加入については、「AirWatch識別子を使用したAndroidデバイスの

加入 ( 26ページ) 」を参照してください。

識別子を使用すると、シングルユーザーデバイスの代理セットアップを実行して、エンドユーザーの代わりに加入することもできます。この方法は、チーム全員また

は特定メンバーが各自でデバイスの加入手続きを行うのではなく、管理者が代理で複数デバイスをセットアップしたい場合に便利です。そうすることで、エンド

ユーザーが自分のデバイスを加入する時間と手間を省くことができます。


17



QR コード

タブレットなどのデバイスはNFCをサポートしていないため、Android 7.0以降のデバイスではNFCバンプが必要な AirWatch Relayによる加入方法を使用でき

ません。

QRコードプロビジョニングにより、NFCやNFCバンプをサポートしていないデバイスの加入が容易になります。QRコードには、キー/値ペアのペイロードと、デバイス

の加入に必要なすべての情報が含まれています。QRコードによる加入には、管理 GoogleドメインまたはGoogleアカウントが必要ありません。加入を開始する

前に、QRコードを作成します。Web Toolkit Onlineなどの任意のオンラインQRコードジェネレータを使用して、一意のQRコードを作成できます。QRコードに

は、サーバURLとグループ IDの情報が含まれます。ユーザー名とパスワードを含めることも、ユーザーが自分の資格情報を入力することもできます。

ジェネレータへ貼り付けるテキストの形式は次のとおりです。

{"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.airwatch.androidagent/com.airwatch.agent.DeviceAdministratorReceiver",

"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"6kyqxDOjgS30jvQuzh4uvHPk-0bmAD-1QU7vtW7i_o8=\n",

"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION":"https://awagent.com/mobileenrollment/airwatchagent.apk","android.app.extra.PROVISIONING_SKIP_ENCRYPTION": false,

"android.app.extra.PROVISIONING_WIFI_SSID": "Your_SSID",

"android.app.extra.PROVISIONING_WIFI_PASSWORD": "Password",

"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {"serverurl": "Server URL",

"gid": "Group ID","un":"Username","pw":"Password"

}

QRコードによる加入については、「QRコードを使用したAndroidデバイスモードの加入 ( 27ページ) 」を参照してください。

完全に自動化された加入

完全に自動化された加入では、WorkspaceONEUEMを使用してAndroid 8.0以降のデバイスを特別な設定なしにエンタープライズモビリティ管理プロバイダと

して構成できます。

デバイスがデバイスセットアップ時にインターネットに接続されている場合は、WorkspaceONE Intelligent Hubが自動的にダウンロードされて加入の詳細情報が

自動的に渡され、ユーザーの操作なしにデバイスを加入します。

前提条件

完全に自動化された加入は、一部のモバイル通信事業者とOEMによってサポートされます。ユーザーは、自身の通信事業者と協力して、完全に自動化され

たプロビジョニングがサポートされていることを確認します。サポートされている通信事業者およびデバイスについては、GoogleのWebサイトを参照してください。

ゼロタッチ加入の手順については、1ページの「ゼロタッチを使用したWork管理対象デバイスの加入」を参照してください。

注：完全に自動化された加入は、Android 8.0 (Oreo)デバイス上でのみサポートされます。

AirWatch Relayを使用したWork管理対象デバイスの加入

AirWatch Relayを使用したWork管理対象デバイスモードの加入は、Android OSのバージョンによって異なります。

Android 6.0以降を使用している場合、AirWatch Relayアプリは、Wi-Fi、プロビジョニング、および加入設定を構成する 1つのNFCバンプオプションを提供しま

す。Android 6.0以降のデバイスで AirWatch Relayを使用してWork管理対象デバイスをプロビジョニングするには、「Android 6.0以降でのAirWatch Relayを使用したAndroidデバイスのプロビジョニング( 18ページ) 」を参照してください。

v5.0からv6.0までの間のAndroid OSバージョンを実行しているデバイスでは、Work管理対象デバイスモードの加入は2回のNFCバンプで完了します。1回目のバンプでは地域、Wi-Fi、およびフリートのすべてのデバイスに適用される高度な設定を構成します。2回目のバンプでは、加入設定を構成し、加入プロセ

スを自動化します。「Android v5.0およびAndroid v6.0でのAirWatch Relayを使用したWork管理対象デバイスの加入 ( 21ページ) 」を参照してください。

Android 6.0 以降での AirWatch Relay を使用した Android デバイスのプロビジョニング

Android 6.0以降、AirWatch Relayアプリには1回のバンプオプションで地域、Wi-Fi、プロビジョニング設定、および加入設定を構成できる単一バンプオプショ

ンが用意されています。

AirWatch Relayを使用して、Work管理デバイスおよび企業が所有し、個人に対応 (COPE)デバイスをプロビジョンする場合：


18



1. Google PlayストアからAirWatch Relayアプリを親デバイスにダウンロードし、完了したらアプリを起動します。

2. 「AirWatch管理者へ」画面を確認し、次へを選択してウィザードを続行します。

この画面では、セットアップウィザードを表示したりスキップしたりできます。セットアップウィザードでは、アプリの目的の説明およびNFCバンプのチュートリア

ルを表示します。

3. 1回のバンプでのプロビジョニングデバイス側 (Android 6.0以降 )でセットアップをタップします。

4. 親デバイスで、次の設定を定義します。

設定説明

地域

ローカル時間デバイスをローカル時間で自動的に構成する場合はこのフィールドを有効にします。

タイムゾーンタイムゾーンを選択します。

ロケールデバイスが有効になる場所を選択します。

Wi-Fi

Wi-Fi ネットワークデバイスが接続するWi-Fiネットワークを指定します。

セキュリティタイプ接続の暗号化タイプを決定します。

Wi-Fi パスワード Wi-Fiパスワードを入力します。

プロビジョニング (高度な設定 )

デバイスを暗号化このフィールドを有効にすると、Work管理対象デバイスのプロビジョニングの一部としてデバイス暗号化をスキップできることが示

されます。

システムアプリの無効

化

このフィールドを有効にすると、WorkspaceONE Intelligent Hubで設定中にシステムアプリの無効化をスキップします。

加入設定

サーバサーバのURLまたはホスト名を入力します。


19



設定説明

グループ ID エンドユーザーがデバイスへのログイン時に使用する組織グループの IDを入力します。

ユーザー名子デバイスが加入するときのユーザーの資格情報を入力します。

パスワード子デバイスが加入するときのユーザーの資格情報を入力します。

5. 親デバイスから準備完了をタップします。

6. 親と子のデバイスを連続してタッチしてNFCバンプを実行します。デバイスが個人使用向けで使用されないようにするため、子デバイスは工場出荷状態リ

セットモードにする必要があります。

7. デバイスを連続してタッチして、親デバイスでタッチしてビームをタップします。

8. デバイスを連続してタッチして、子デバイスで暗号化をタップします。

子デバイスでは次の処理が自動的に実行されます。

a. AirWatch Relayアプリで定義されているWi-Fiネットワークに接続します。

b. WorkspaceONE Intelligent Hubをダウンロードしてサイレントインストールします。

c. WorkspaceONE Intelligent Hubをデバイス管理者として設定します。

d. デバイスをリセットします。

子デバイスのリセット後、デバイスがWork管理対象モードでプロビジョニングされます。子デバイスにウェルカム画面が表示されます。子デバイスからこれを

確認するには、[デバイス設定 ] > [セキュリティ] > [デバイス管理者 ]に進み、デバイス管理者としてリストされているWorkspaceONE Intelligent Hubを表示

します。エンドユーザーはこの設定を無効化できません。


20



デバイスのホーム画面に、許可されている事前ダウンロード済みのアプリが表示されます。その他のアプリケーションは、WorkspaceONEUEMコンソールか

ら管理者による承認が必要です。

多数のデバイスの中にデバイスを加入させる場合は、サブデバイスごとに1回ずつNFCバンプを繰り返して、Work管理対象デバイスモードでプロビジョニン

グします。

加入に成功した場合は、子デバイスにマイデバイスページが表示されます (上図 )。すべてのプロファイルおよびアプリケーションが自動的にデバイスへプッシュさ

れ始めます。加入が必要なデバイスごとに、加入ステップを繰り返します。

WorkspaceONEUEMコンソールに、ユーザーデバイス上のAndroidのステータスが報告されます。詳細表示ページを確認して、Androidが正常に作成された

ことを確認できます。

デバイス >詳細表示 >概要に進み、ページのセキュリティセクションを表示してステータスを確認します。緑色のチェックで Androidのアクティベーションを確認

できます。

Android v5.0 および Android v6.0 での AirWatch Relay を使用したWork 管理対象デバイスの加入

手順

1. Google PlayストアからAirWatch Relayアプリを親デバイスにダウンロードし、完了したらアプリを起動します。

2. 「AirWatch管理者へ」画面を確認し、次へを選択してウィザードを続行します。


21



この画面では、セットアップウィザードを表示したりスキップしたりできます。セットアップウィザードでは、アプリの目的の説明およびNFCバンプのチュートリア

ルを表示します。

3. 目的のオプションのセットアップをタップして、2 回のバンプでデバイスをプロビジョニング (Android v 5.0 から Android v6.0 以降 )を選択します。

Android 6.0以降を使用する場合は、1 回のバンプでデバイスをプロビジョニング (Android 6.0 以降 )を選択します。Android 6.0以降のデバイスの場合の

手順については、「Android 6.0以降でのAirWatch Relayを使用したAndroidデバイスのプロビジョニング( 18ページ) 」を参照してください。


22



4. 親デバイスで、次の設定を定義します。

設定説明

地域

ローカル時間デバイスをローカル時間で自動的に構成する場合はこのフィールドを有効にします。

タイムゾーンタイムゾーンを選択します。

ロケールデバイスが有効になる場所を選択します。

Wi-Fi

Wi-Fi ネットワークデバイスが接続するWi-Fiネットワークを指定します。

セキュリティタイプ接続の暗号化タイプを決定します。

Wi-Fi パスワード Wi-Fiパスワードを入力します。

プロビジョニングの設定

プロビジョニングのデバイス暗号化要件

をスキップ

このフィールドを有効にすると、Work管理対象デバイスのプロビジョニングの一部としてデバイス暗号化をス

キップできることが示されます。

プロビジョニング中にシステムアプリを無

効化しない

このフィールドを有効にすると、WorkspaceONE Intelligent Hubで設定中にシステムアプリの無効化をスキップ

します。

5. 親デバイスで準備完了をタップして、1回目のバンプを実行します。


23



6. 親と子のデバイスを連続してタッチして1回目のNFCバンプを実行します。デバイスが個人使用向けで使用されないようにするため、子デバイスは工場出

荷状態リセットモードにする必要があります。

重要：子デバイスで工場出荷状態リセットを実行する前に(デバイスが特別な設定は不要な新規状態ではない場合 )、画面ロックを無効にし、その

デバイス上で構成されている既存 Googleアカウントがある場合は削除します。デバイスの保護は、工場出荷状態リセットを実行する前にGoogleアカウント資格情報を入力するため、使用する必要のあるAndroid 5.1の機能です。画面ロックを無効にし、既存のGoogleアカウントを削除した場

合、資格情報を要求されず、加入を妨げられなくなります。

7. デバイスを連続してタッチして、親デバイスでタッチしてビームをタップします。

8. デバイスを連続してタッチして、子デバイスで暗号化をタップします。

子デバイスでは次の処理が自動的に実行されます。

l AirWatch Relayアプリで定義されているWi-Fiネットワークに接続します。

l WorkspaceONE Intelligent Hubをダウンロードしてサイレントインストールします。

l WorkspaceONE Intelligent Hubをデバイス管理者として設定します。

l デバイスをリセットします。

子デバイスのリセット後、デバイスがWork管理対象モードでプロビジョニングされて、1回目のバンプが完了します。子デバイスにウェルカム画面が表示され

ます。子デバイスからこれを確認するには、[デバイス設定 ] > [セキュリティ] > [デバイス管理者 ]に進み、デバイス管理者としてリストされているWorkspaceONE Intelligent Hubを表示します。エンドユーザーはこの設定を無効化できません。


24



デバイスのホーム画面に、許可されている事前ダウンロード済みのアプリが表示されます。その他のアプリケーションは、WorkspaceONEUEMコンソールか

ら管理者による承認が必要です。

多数のデバイスの中にデバイスを加入させる場合は、サブデバイスごとに1回ずつNFCバンプを繰り返して、Work管理対象デバイスモードでプロビジョニン

グします。そうでない場合は、加入に進みます。

9. AirWatch Relayアプリに戻り、親デバイスで加入をタップします。

10. 加入設定を定義します。これらの設定は、子デバイスの加入プロセスを自動化するために使用されます。


25



設定説明

サーバサーバのURLまたはホスト名を入力します。

グループ ID エンドユーザーがデバイスへのログイン時に使用する組織グループの IDを入力します。

親のユーザー子デバイスが加入するときのユーザーの資格情報を入力します。

親のパスワード子デバイスが加入するときのユーザーの資格情報を入力します。

11. 準備完了をタップします。

12. 親と子のデバイスを連続してタッチして2回目のNFCバンプを実行し、子デバイスでタッチしてビームをタップして加入を開始します。2回目のバンプは、

セットアップウィザードが完了した後に実行する必要があります。セットアップウィザードが完了してデバイスのホームページに移動するまで待ってから、2回目のNFCバンプを実行してWorkspaceONE Intelligent Hubを構成します。

13. ユーザーに関連付けられている企業 Googleアカウントの資格情報を入力します。Googleアカウントのパスワード画面で要求されます。

14. 次へをタップしてマイデバイスページに進みます (上図 )。

加入に成功した場合は、子デバイスにマイデバイスページが表示されます (上図 )。すべてのプロファイルおよびアプリケーションが自動的にデバイスへプッシュさ

れ始めます。加入が必要なデバイスごとに、加入ステップを繰り返します。

デバイス >詳細表示 >概要に進み、ページのセキュリティセクションを表示してステータスを確認します。緑色のチェックで Androidのアクティベーションを確認

できます。

AirWatch識別子を使用したAndroidデバイスの加入

Work管理対象デバイスおよび企業が所有し、個人に対応 (COPE)の加入中、アカウントを追加するように求められたときに、ユーザーは特別な DPC固有識

別子トークンを入力します。トークンの形式は「afw #EMM_Identifier」で、WorkspaceONEUEMをEMMプロバイダとして自動的に識別します。

重要：この加入フローは、Android 6.0 (M+)デバイスを使用するAndroidアカウント専用です。

AirWatch識別子を使用して加入するには：


26



1. 工場出荷状態リセットのデバイスで開始をタップします。

2. Wi-Fiネットワークを選択し、資格情報を使用してログインし、デバイスを接続します。

3. Googleアカウントを追加するように求められたら、識別子「afw#airwatch」を入力します。セットアップウィザードにより一時的なGoogleアカウントがデバイ

スに追加されます。このアカウントは、Google PlayからDPCをダウンロードするためにのみに使用され、完了時に削除されます。

4. [インストール]をタップして、デバイスにWorkspaceONE Intelligent Hubを構成し始めます。インストールが完了すると、Hubが自動的に開きます。

5. 認証方法を選択して加入を続行します。

l 自動検出を構成している場合は、E メールアドレスを選択します。リストからグループ IDを選択するよう要求されることもあります。

l サーバの詳細を選択し、サーバ、グループ ID、およびユーザーの資格情報を入力します。

l UEMConsoleでQRコードを作成した場合は、[QR コード ]を選択します。

6. 表示される指示に従い加入プロセスを完了します。

すべてのプロファイルおよびアプリケーションが自動的にデバイスへプッシュされ始めます。WorkspaceONEUEMコンソールに、ユーザーデバイス上のAndroidのス

テータスが報告されます。詳細表示ページを確認して、Androidが正常に作成されたことを確認できます。

デバイス >詳細表示 >概要に進み、ページのセキュリティセクションを表示してステータスを確認します。Androidのアクティベーションを確認する緑色のチェック

が表示されます。

QR コードを使用したAndroidデバイスモードの加入

QRコードによる加入方法では、セットアップウィザードからQRコードをスキャンすることで、Work管理対象デバイスモードおよび企業が所有し、個人に対応

(COPE)モードを設定および構成します。この加入フローは、複数のデバイスをユーザーに展開する前に代理セットアップする管理者や、IT管理者から提供さ

れるQRコードを使用して自分のデバイスを加入させるエンドユーザーに最適です。WorkspaceONEUEMConsoleを使用して、加入を開始する前にQRコー

ドを作成します。または、Web Toolkit Onlineなどの任意のオンラインQRコードジェネレータを使用して、QRコードを作成できます。

UEMConsoleを使用してQRコードを作成するには、[代理セットアップとプロビジョニング]の加入構成ウィザードを参照してください。加入構成ウィザードの詳細

については、加入構成ウィザードを使用してQRコードを生成する ( 27ページ)を参照してください。

QRコードを作成した後、手順に従いデバイスを加入します。

重要：この加入フローは、管理対象のGoogle Playユーザーおよび管理対象 Googleドメインユーザーが使用可能です。この加入フローは、Android 7.0以降のデバイスでサポートされています。

1. デバイスの電源をオンにします。セットアップウィザードで、ウェルカム画面を 6回タップするよう求められます。画面上の同じ場所をタップする必要がありま

す。

a. Android 8.0以降のデバイスの場合、QRコードリーダーをダウンロードするには、手順 2に進みます。

b. Android 9.0以降のデバイスの場合、6回タップした後、カメラが自動的に開きます。

2. Wi-Fiに接続すると、セットアップウィザードによりQRコードリーダーが自動的にダウンロードされます。完了すると、QRコードリーダーアプリが自動的に起

動します。

3. QRコードをスキャンします。Android 9.0以降のデバイスの場合、カメラのQRコードオプションを使用して、スキャンします。

4. WorkspaceONE Intelligent Hubが自動的にダウンロードされます。ここではサーバURLとグループ IDの情報がすでに構成されている必要があります。

5. ユーザーの資格情報を入力します。

加入に成功した場合は、デバイスにマイデバイスページが表示されます。すべてのプロファイルおよびアプリケーションが自動的にデバイスへプッシュされ始めま

す。

WorkspaceONEUEMコンソールに、ユーザーデバイス上のAndroidのステータスが報告されます。詳細表示ページを確認して、Androidが正常に作成された

ことを確認できます。

デバイス >詳細表示 >概要に進み、ページのセキュリティセクションを表示してステータスを確認します。Androidのアクティベーションを確認する緑色のチェック

が表示されている必要があります。

加入構成ウィザードを使用してQR コードを生成する

デバイスを簡単に代理セットアップするには、加入構成ウィザードでQRコード加入を選択後、Android 7.0以降のデバイスでスキャンするQRコードを作成しま

す。ウィザードは、代理セットアップの構成処理を簡素化します。

ウィザードを使用してQRコードを作成するには以下の操作を実行します。


27



1. 前提条件を確認してから、[構成 ]を選択して開始します。

2. Wi-Fi切り替えを有効にすると、加入前にデバイスをWi-Fiに接続できます。この有効にするアクションで、次のオプションが表示されます。

設定説明

SSID サービスセット識別子 (SSID)、より一般にはWi-Fiネットワークの名前を入力します。

パスワード入力したSSID Wi-Fiパスワードを入力します。

3. 次へを選択します。

4. 代理セットアップ中にデバイスにプッシュするWorkspace ONE Intelligent Hubを選択します。既定では、[最新のWorkspace ONE Intelligent Hub を

使用 ]が選択されています。

追加されたWorkspaceONE Intelligent Hubがない場合、[外部 URL にホスト ]を選択し、[URL]テキストボックスに、外部でホストされるWorkspaceONE Intelligent Hubパッケージを指し示すアドレスを入力します。


6. [加入の詳細 ]設定を設定します。トークンベース認証を使用するには、両方のオプションを無効のままにします。

設定説明

組織グループを構成する

組織グループ QRコード代理セットアップパッケージが使用する組織グループを有効にし、選択します。

ログイン資格情報を構成する

ユーザー名ログイン資格情報の構成を有効にします。WorkspaceONEUEMアカウントのユーザー名を入力します。

パスワード対応するパスワードを入力します。


8. [概要 ]ページでは、PDFの [ファイルをダウンロード ]が可能です。[PDF を閲覧 ]を実行して [QR コードフォーマット ]の選択内容のプレビューを表示するこ

ともできます。

ゼロタッチポータルを使用したAndroidデバイスの加入

ゼロタッチポータルでは、WorkspaceONE Intelligent Hubをダウンロードしたらすぐにデバイスに適用する加入構成を追加します。

注：完全に自動化された加入は、Android 8.0 (Oreo)デバイス上でのみサポートされます。Sarmsungデバイスの場合は、KnoxMobile Enrollmentを使用

します。

ポータルを構成するには、次の手順を実行します。


28



1. 構成タブに移動し、+をクリックします。

2. 加入の詳細を次のように入力します。

設定説明

構成

名

この構成の名前を入力します。

EMM DPC

[WorkspaceONE Intelligent Hub]を選択します。

これによって、WorkspaceONE Intelligent Hubが工場出荷時の一部としてダウンロードされます。

DPC追加

項目

WorkspaceONE Intelligent Hubで構成される加入資格情報を入力します。WorkspaceONEUEMコンソールサーバのURL、グループ ID、加入

ユーザー名、およびパスワードを含めることができます。

エンドユーザーは次のようにデバイスをプロビジョニングします。

このシナリオでは、ユーザー名とパスワードは除外します。ユーザーは、デバイスのセットアップ時にプロンプトが表示されたらそれらを入力します。

{ "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": { "serverurl": "https://airwatch.console.com",

"gid": "groupID"} }

ゼロタッチ加入の場合は、次を実行します。

このシナリオは、すべてのデバイスが1人のユーザーに代理セットアップされている場合、または加入ユーザー名とパスワードがわかっている場合に

お勧めします。

{ "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": { "serverurl": "https://airwatch.console.com",

"gid": "groupID", "un":"username", "pw":"password" } }

勤務

先名

組織名を入力します。


29



設定説明

連絡

先 Eメール

エンドユーザーが問題に遭遇した場合に連絡する Eメールを入力します。

連絡

先電

話番

号

エンドユーザーが問題に遭遇した場合に連絡する電話番号を入力します。

カスタ

ムメッ

セー

ジ

WorkspaceONE Intelligent Hubをダウンロードする前にエンドユーザーに表示するカスタムメッセージを入力します。

3. 適用を選択します。

4. デバイスに適用する加入構成を選択して、デバイスタブの下で構成を割り当てます。

自身の通信事業者の協力を得て、デバイスの IMEIとシリアル番号を取得する必要があります。

企業が所有し、個人に対応の加入

Androidの企業が所有し、個人に対応 (COPE)モードでは、ユーザーがデバイスを個人用デバイスとして使用するためにWorkプロファイルをまだ展開している状

態で、WorkspaceONEUEMによりデバイス全体を制御できます。COPEは、WorkプロファイルとWork管理対象デバイスモードの混合です。

COPEデバイスを加入させるにはいくつかの方法があります。

l AirWatch Relayを使用してNFCバンプを実行する

l 一意識別子またはトークンコードを使用する

l QRコードをスキャンする

l 完全に自動化された加入を使用する

ビジネス要件によって、使用する加入方法が決まります。Android EMM登録が完了するまでは、デバイスを加入させることができません。登録を完了するには、

｢Android EMM登録｣を参照してください。


30



デバイス全体で COPEの展開を使用するには、Android 8.0以降が必要です。Android 8.0が実行されていないデバイスを加入しようとすると、そのデバイスは

Work管理対象デバイスとして自動的に加入されます。Work管理対象デバイスの加入の詳細については、「Work管理対象デバイスの加入 ( 17ページ) 」を参照してください。

使用しているAndroidデバイスがクローズドネットワーク上にあってGoogle Playと通信できない場合、またはAndroid 7.0以前を実行している場合は、

「VMware AirWatch Android (Legacy)プラットフォームガイド」に記載のLegacy加入方法を使用してAndroidを加入させます。

加入設定

「Android EMM登録」ページでは、Androidと統合するためのさまざまなオプションを構成できます。この画面では、ウィザードを使用してデバイスの統合を設定

できます。加入を開始する前にこれらの設定を有効にしてください。

AirWatch RelayAirWatch Relayは、Androidを使用してWorkspaceONEUEMに加入しているすべての子デバイスへ親デバイスから情報を渡すアプリケーションです。このプロセ

スはNFCバンプを通じて実行され、子デバイスをプロビジョニングして次の処理を実行します。

l 親デバイスに接続して、Wi-Fiネットワークおよび地域の設定 (デバイスの日付、時刻、および場所を含む)を得ます。

l 最新バージョンのAndroid向けWorkspaceONE Intelligent Hubをダウンロードします。

l WorkspaceONE Intelligent Hubをデバイス管理者としてサイレント設定します。

l WorkspaceONEUEMに自動的に加入します。

AirWatch Relayを使用すると、エンドユーザーへの展開前にすべての子デバイスを一括加入させることができるため、エンドユーザーが自分のデバイスを加入さ

せる必要がなくなります。COPEデバイスとして加入させるには、すべての子デバイスを工場出荷状態リセットモードにし、既定で NFCを有効にする必要があり

ます。

NFCバンププロセスは、Android OSバージョンによって異なります。COPEはAndroid 8.0以降でのみサポートされているため、AirWatch Relayを使用した加入

では、バンプを 1回実行すれば子デバイスの接続と加入を一度に済ませることができます。

AirWatch Relay加入については、「Android 6.0以降でのAirWatch Relayを使用したAndroidデバイスのプロビジョニング( 18ページ) 」を参照してください。

AirWatch識別子

AirWatch識別子による加入方法は、COPE対応のデバイスの加入処理の簡素化されたアプローチです。工場出荷状態リセットデバイスに単純な識別子

(ハッシュ値 )を入力します。識別子を入力すると自動的に加入し、WorkspaceONE Intelligent Hubがプッシュされます。ユーザーは、サーバの詳細、ユーザー

名、およびパスワードを入力するだけです。AirWatch識別子による加入については、「AirWatch識別子を使用したAndroidデバイスの加入 ( 26ページ) 」を参


識別子を使用すると、シングルユーザーデバイスの代理セットアップを実行して、エンドユーザーの代わりに加入することもできます。この方法は、チーム全員また

は特定メンバーが各自でデバイスの加入手続きを行うのではなく、管理者が代理で複数デバイスをセットアップしたい場合に便利です。そうすることで、エンド

ユーザーが自分のデバイスを加入する時間と手間を省くことができます。

QR コード

QRコードプロビジョニングにより、NFCやNFCバンプをサポートしていないデバイスの加入が容易になります。QRコードには、キー/値ペアのペイロードと、デバイス

の加入に必要なすべての情報が含まれています。QRコードによる加入には、管理 GoogleドメインまたはGoogleアカウントが必要ありません。加入を開始する

前に、QRコードを作成します。WorkspaceONE UEMConsoleで加入構成ウィザードを使用して、QRコードを生成することができます。

QRコードには、サーバURLとグループ IDの情報が含まれます。ユーザー名とパスワードを含めることも、ユーザーが自分の資格情報を入力することもできます。

QR コードジェネレータへ貼り付けるテキストの形式は次のとおりです。

{"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.airwatch.androidagent/com.airwatch.agent.DeviceAdministratorReceiver",

"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"6kyqxDOjgS30jvQuzh4uvHPk-0bmAD-1QU7vtW7i_o8=\n",

"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION":"https://awagent.com/mobileenrollment/airwatchagent.apk","android.app.extra.PROVISIONING_SKIP_ENCRYPTION": false,

"android.app.extra.PROVISIONING_WIFI_SSID": "Your_SSID",

"android.app.extra.PROVISIONING_WIFI_PASSWORD": "Password",

"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {"serverurl": "Server URL",


31



"gid": "Group ID","un":"Username","pw":"Password"

}}

QRコードによる加入については、「QRコードを使用したAndroidデバイスモードの加入 ( 27ページ) 」を参照してください。

完全に自動化された加入

完全に自動化された加入では、WorkspaceONEUEMを使用してAndroid 8.0以降のデバイスを特別な設定なしにエンタープライズモビリティ管理プロバイダと

して構成できます。

デバイスがデバイスセットアップ時にインターネットに接続されている場合は、WorkspaceONE Intelligent Hubが自動的にダウンロードされて加入の詳細情報が

自動的に渡され、ユーザーの操作なしにデバイスを加入させます。

前提条件

完全に自動化された加入は、一部のモバイル通信事業者とOEMのみでサポートされます。ユーザーは、自身の通信事業者と協力して、完全に自動化され

たプロビジョニングがサポートされていることを確認する必要があります。サポートされている通信事業者およびデバイスについては、GoogleのWebサイトを参照し

てください。

完全に自動化された加入については、「ゼロタッチポータルを使用したAndroidデバイスの加入 ( 28ページ) 」を参照してください。

注：完全に自動化された加入は、Android 8.0 (Oreo)デバイス上でのみサポートされます。Sarmsungデバイスの場合は、KnoxMobile Enrollmentを使用

します。

WorkプロファイルモードへのAndroid デバイスの加入

デバイスを加入すると、AndroidデバイスとAirWatch環境の間の接続が確立されます。WorkspaceONE Intelligent Hubを使用することで加入プロセスを簡素

化できます。また、デバイスをリアルタイムで管理したり、関連するデバイス情報にアクセスしたりすることもできます。

次の手順を使用して、WorkspaceONE Intelligent Hubをインストールし、加入フローに基づいてユーザーを認証します。

1. Google PlayストアからWorkspaceONE Intelligent Hubをダウンロードし、インストールします。

2. WorkspaceONE Intelligent Hubを起動します。

l Eメール自動検出機能を構成済みの場合、WorkspaceONE Intelligent HubからEメールアドレスを入力するように要求されます。リストからグルー

プ IDを選択するよう要求されることもあります。

l Eメール自動検出機能を構成していない場合は、希望する加入方法を選択します。

3. サーバの詳細をタップし、サーバとグループ IDを入力します。

4. ユーザー名とパスワードを入力し、続行をタップします。

5. 利用規約に同意します。

6. (オプション)暗号化ボタンをタップし、残りの指示に従って設定を承認します。WorkspaceONE Intelligent Hubは、暗号化の設定を承認した後に終了し

ます。WorkspaceONE Intelligent Hubに戻って加入プロセスを継続するには、[暗号化完了 ]通知をタップします。

注：デバイスを暗号化するためのオプションは、デバイスが実行しているAndroidのバージョンによって異なります。AndroidMarshmallowを搭載してい

るデバイスは、既定で暗号化されているため、加入時にこのオプションは表示されません。

7. 設定をタップして、デバイスに関連付けられるWorkプロファイルを構成します。

8. 「プライバシーポリシー」でOKをタップします。ユーザーが作成されている方法に応じて、加入の残りの画面が異なります。

WorkspaceONEUEMコンソールからのエンタープライズ設定は、デバイスにプッシュされます。これによって、管理対象のGoogle Play アカウントに対する

デバイスの加入が終了します。

9. Googleアカウントの場合のみ、開始をタップして、Workプロファイルを作成し、管理対象のGoogleアカウントをデバイスに接続します。これらの手順は、次

のように認証方法によって異なります。

ユーザー定義の加入を続行するには、次を実行します。


32



a. ユーザーの資格情報を使用してパスワードを作成し、次へをタップします。

b. 管理対象のGoogleアカウントのパスワードを入力し、次へをタップします。

ディレクトリサービスの同期を続行するには、次を実行します。

a. パスワードを入力して次へをタップします。

b. 続行を選択します。

c. 終了を選択します。

SAML加入フローに従うには、次を実行します。

a. ユーザー名とパスワードを入力し、ログインをタップします。ユーザーがWorkspaceONE Intelligent Hubにリダイレクトされます。

成功すると、デバイスに適したWorkプロファイルが構成され、WorkspaceONE Intelligent Hubの設定ページが表示されます。デバイスがWorkプロファイルの

Android設定に従って使用できるようになりました。

第 4章:Androidプロファイル

概要

Androidプロファイルでは、デバイスを適切に使用し、秘密データを保護します。プロファイルの用途は多岐にわたり、社内のルールと手続きを強制的に適用する

ことから、Androidの有能なデバイスをその使用形態に合わせて調整することまで、さまざまに利用できます。

Android プロファイルおよびAndroid (Legacy) プロファイル

Androidのプロファイルの展開に移動するときにプロファイルページに2つのプラットフォームタイプ、「Android」と「Android (Legacy)」が表示されます。AndroidEMM登録を完了している場合は、Androidプロファイルオプションを選択します。EMM登録をしていない場合は、Android (Legacy)プロファイルを使用できま

す。Android EMM登録を行わないで Androidを選択した場合、設定ページに移動してEMM登録を完了するかAndroid (Legacy)プロファイルの展開に進むよ

うに求めるエラーメッセージが表示されます。

Android EMM登録を行うには、「Android EMM登録 ( 8ページ) 」を参照してください。

WorkプロファイルとWork管理対象デバイスモード

Workプロファイルは、特別なタイプの管理者です。ユーザーは自分のアカウントを使用する個人用デバイスをすでに持っていて、WorkspaceONEUEMがWorkプロファイルを管理します。WorkspaceONEUEMの加入によってWorkプロファイルを追加し、そのユーザーのプロファイル所有者としてWorkプロファイル内に

WorkspaceONE Intelligent Hubをインストールします。

Work管理対象デバイスは、プロビジョニングされていない状態で起動するデバイスに適用され、加入によってWork管理対象デバイスにWorkspaceONEIntelligent Hubをインストールします。WorkspaceONE Intelligent Hubは、デバイス全体を完全に制御します。一部のプロファイルには「Workプロファイル」と

「Work管理対象デバイス」というタグが表示されます。

Workプロファイル用に構成されたプロファイルは、Androidバッジアプリにのみ適用され、デバイスレベルでプロファイルを構成しないかぎりはユーザー個人のアプリ

または設定には影響しません。たとえば、一定の制限によって、YouTube、Google Playへのアクセスを無効にします。制限は、Androidバッジアプリにのみ影響

し、正規 Playストアバージョンには影響しません。または、Work管理対象デバイスモードのタイプ用に構成したプロファイルは、デバイス全体に適用されます。こ

のセクションで説明した各プロファイルは、プロファイルが影響するデバイスタイプを示します。

デバイスへのアクセス

デバイスプロファイルには、Androidデバイスへのアクセス設定を構成するものがあります。このようなプロファイルを使用することで、デバイスへのアクセスを承認され

たユーザーのみに限定できます。

たとえば次のようなことが可能です。

第 4章 :Android プロファイル

33



l パスコードプロファイルでデバイスを保護できます。詳細については、「パスコードプロファイル ( 35ページ) 」を参照してください。

l 従業員がいつ、どこで、どのようにデバイスを使用するかを指定し、管理できます。詳細については、「制限事項プロファイル ( 39ページ) 」を参照してくださ

い。

デバイスセキュリティ

デバイスプロファイルで Androidデバイスのセキュリティを確保できます。Androidのネイティブなセキュリティ機能を構成するプロファイルもあれば、WorkspaceONEUEMを通じてデバイス上に企業のセキュリティ設定を構成するプロファイルもあります。

l Eメール、ファイル、コンテンツなどの社内リソースにアクセスできます。詳細については、「VPNの構成 ( 44ページ) 」を参照してください。

l ユーザーが特定のアプリケーションをインストールまたはアンインストールするときに、管理処理を実行できます。詳細については、「アプリケーション制御 ( 42ページ) 」を参照してください。

デバイスの構成

構成プロファイルはAndroidデバイスのさまざまな設定を構成するものです。このようなプロファイルを使用すれば、企業のニーズに合わせてデバイス設定を構成

できます。

l デバイスを社内のWi-Fiに自動的に接続します。詳細については、｢Wi-Fiプロファイル ( 43ページ) ｣を参照してください。

l Android OSの更新通知および実際の更新プログラムが制御される方法を管理します。詳細については、「システム更新の有効化 ( 43ページ) 」を参照

してください。


34



パスコードプロファイル

Workパスコードまたはデバイスパスコードとして適用する設定のパスコードプロファイルを設定できます。

Workパスコードは、パスコードポリシーを業務用アプリにのみ適用し、ユーザーがWorkプロファイルを設定した加入済みデバイスをロック解除するたびに複雑な

パスワードを入力しなくてもよいようにします。Workパスコードを使用することで、エンドユーザーはプライベートアプリに好きな方法でアクセスできる一方で、ラッピ

ングテクノロジーを使用せずに企業アプリのデータを保護します。Work管理対象デバイスの場合、このパスコードポリシーがデバイスに適用されます。Workパス

コードは、Android 7.0 (Nougat)以降のWorkプロファイル加入済みデバイスに使用可能です。

デバイスパスコードは、Workプロファイルを使用して加入したデバイスにパスコードポリシーを適用します。このパスコードは、デバイスのロックが解除されるたびに入

力する必要があり、Workパスコードとは別に適用できます。

既定では、新しいプロファイルを作成するときに、Workパスコードのみが有効になります (デバイスパスコードは有効です)。管理者は、デバイスパスコードを手動

で有効にする必要があります。


35



パスコード設定の適用

管理者がパスコードポリシーを設定した場合、エンドユーザーはパスコードを入力する必要があります。パスコードは、デバイス上の機密データを守るための最初

の防御層です。

デバイスパスコードプロファイルを作成するには、次の手順を実行します。

1. デバイス >プロファイルとリソース >プロファイル >追加 >プロファイルを追加 > Androidの順に進みます。

2. 必要に応じて、プロファイルの全般設定を構成します。


36



3. ペイロードの一覧から [パスコード ]を選択し、パスコード設定を構成します。

設定説明

Work パスコード

Work パスコードポリシーを有効

化

Androidバッジアプリにのみにパスコードポリシーを適用することができます。

最小パスコード長さパスコードに適度な複雑度を与えるため、最小文字数を設定します。

パスコードのコンテンツパスコードのコンテンツがセキュリティ要件を満たすため、ドロップダウンメニューから

ドロップダウンメニューから、[任意 ]、[数字 ]、[英数字 ]、[アルファベット ]、[複雑 ]、[複素数の数値 ]または [弱いバイ

オメトリック]のいずれかを選択します。

簡単な値を使用すると、素早くアクセスできますが、英数字のパスコードを使用すると、セキュリティを強化できま

す。パスコードで使用する特殊文字 (@、#、&、!、、? )の最小文字数を指定することもできます。

弱いバイオメトリックパスコードのコンテンツでは、顔認識などの低セキュリティのバイオメトリックロック解除の方法が

可能になります。

試行失敗回数の上限試行失敗回数の上限を指定します。この回数を超えて失敗すると、デバイスがワイプされます。

パスコードの有効期間 (日 ) パスコードの有効日数を指定します。

パスコード履歴過去に使用したパスコードを再使用したい場合、その前に現在のパスコードを変更しなければならない回数を指

定します。

デバイスロック猶予時間 (分 ) デバイスの画面が自動ロックされるまでの無操作時間を指定します。

デバイスパスコード

デバイスパスコードポリシーを有

効化

Workプロファイルを使用して加入したデバイスのパスコードポリシーを適用します。このパスコードは、デバイスのロッ

クを解除するために入力する必要があり、Workパスコードに加えて適用することができます。Work管理対象デバ

イスの場合、このパスコードポリシーは、デバイスに適用されます。

最小パスコード長さパスコードに適度な複雑度を与えるため、最小文字数を設定します。

パスコードのコンテンツパスコードの内容をセキュリティ要件に合わせるため、ドロップダウンメニューで任意、数字、英数字、アルファベッ

ト、複雑、または複素数の数値を選択します。


パスコードの有効期間 (日 ) パスコードの有効日数を指定します。

パスコード履歴過去に使用したパスコードを再使用したい場合、その前に現在のパスコードを変更しなければならない回数を指

定します。

デバイスロック猶予時間 (分 ) デバイスの画面が自動ロックされるまでの無操作時間を指定します。

Samsung Knox

このセクションは、[全般 ] プロファイルの [OEM 設定 ] フィールドが有効であり、[OEM の選択 ] フィールドで Samsung が選択された場合にのみ使用

できます。

パスコード可視化入力時の画面でのパスコード表示を有効にします。

指紋によるロック解除を許可このオプションを有効にした場合、ユーザーは指紋を使用してデバイスをロック解除できます。また、指紋をメインの

認証手段として使用せず、代わりに、プロファイル内で指定されているタイプのパスワードを入力させることもできま

す。

SD カードの暗号化を必須にする SDカードの暗号化を必須にするかどうかを指定します。

文字の繰り返し最大数同一文字を繰り返したパスコード (例 : "1111")は、解読されやすくなります。エンドユーザーがこのようなパスコードを

入力できないようにするため、同一文字の繰り返し回数の上限値を指定します。

連番の最大数連番のパスコード (例 : "1234")は、解読されやすくなります。エンドユーザーがこのようなパスコードを入力できないよ

うにするため、連番の最大数を指定します。

虹彩スキャナを許可無効にすると、Samsungデバイスで虹彩スキャナを設定または選択できなくなります。


37



設定説明

顔認証によるロックの解除を許

可

無効にすると、Samsungデバイスで顔認証によるロックの解除を設定または選択できなくなります。

ロック画面オーバーレイ情報をエンドユーザーのデバイスにプッシュしてロック画面上に表示するにはこれを有効にします。

l 画像オーバーレイ –画像をアップロードし、ロック画面上に表示します。プライマリ画像およびセカンダリ画像

をアップロードし、また画像の位置と透明度を指定することができます。

l 企業情報 –ロック画面上に表示する企業情報を入力します。この情報は、デバイスを紛失した場合や盗ま

れた場合に緊急用として使用できます。

｢ロック画面オーバーレイ｣の設定値は、SAFE 5.0以降のデバイスでのみ有効です。｢ロック画面オーバーレイ｣の設

定値は、デバイスの使用中、構成されたままになります。エンドユーザーが変更することはできません。

ロック画面オーバーレイの設定の詳細については、「ロック画面オーバーレイを構成する (Android) ( 38ページ) 」を参照してください。

パスコードのコンテンツテキストボックスで「複雑」を選択した場合、次の設定が適用されます。

設定説明


最小の文字数パスコードに含めることができる文字数を指定します。

最小の小文字数パスコードで許可される小文字の数を指定します。

最小の大文字数パスコードで許可される大文字の数を指定します。

最小の非文字数パスコードで許可される特殊文字の数を指定します。

最小の数字数パスコードで許可される数字の数を指定します。

最小のシンボル数パスコードで許可されるシンボルの数を指定します。

パスコードの有効期間 (日 ) パスコードを使用できる最大日数を設定します。

4. 保存して公開をクリックし、プロファイルをデバイスに割り当てます。

ロック画面オーバーレイを構成する (Android)パスコードプロファイルのロック画面オーバーレイオプションを使用することにより、画面ロック画像上に情報をオーバーレイ表示できます。これにより、エンドユー

ザー、またはロックされているデバイスを見つけてくれた人に情報を伝達できます。ロック画面オーバーレイは、パスコードプロファイルの一部です。

ロック画面オーバーレイを構成するには、次の手順を実行します。

1. デバイス >プロファイルとリソース >プロファイル >追加 >プロファイルを追加 > Androidと進みます。

2. 加入設定に応じて、[Android]または [Android (Legacy)]を選択します。


ロック画面オーバーレイはAndroid (Legacy)のネイティブ機能で、複数のOEMにおいて利用可能です。

Androidプロファイルの [ロック画面オーバーレイ]設定は、[OEM 設定 ]フィールドが [有効 ]に切り替えられ、[OEM の選択 ]フィールドで [Samsung]が選択

された場合にのみ表示されます。[全般 ]プロファイルの [OEM設定 ]フィールドは、Androidプロファイルにのみ適用され、Android (Legacy)構成には適用さ

れません。

4. リストでパスコードプロファイルを選択します。

5. ロック画面オーバーレイフィールドを有効にします。

6. ロック画面オーバーレイタイプ(画像オーバーレイまたは企業情報 )を選択します。

7. ｢画像オーバーレイ｣を選択した場合、必要に応じて次の設定を構成します。


38



設定説明

画像オーバーレイタイプシングル画像または複数画像を選択し、必要なオーバーレイ画像の数を指定します。

プライマリ画像画像ファイルをアップロードします。

プライマリ画像のトップ

位置 (%)トップ画像の位置を 0～ 90%の範囲で指定します。

プライマリ画像のボトム

位置 (%)ボトム画像の位置を 0～ 90%の範囲で指定します。

セカンダリ画像必要があれば、セカンダリ画像をアップロードします。このフィールドが表示されるのは、画像オーバーレイタイプフィールドで

｢複数画像｣を選択した場合だけです。

セカンダリ画像の位置

(%)トップ画像の位置を 0～ 90%の範囲で指定します。このフィールドが表示されるのは、画像オーバーレイタイプフィールドで


セカンダリ画像のボトム

位置 (%)ボトム画像の位置を 0～ 90%の範囲で指定します。このフィールドが表示されるのは、画像オーバーレイタイプフィールドで


オーバーレイ画像画像の透明度 (透明または不透明 )を選択します。

8. 企業情報を選択した場合、必要に応じて次の設定を構成します。

設定説明

勤務先名表示したい会社名を入力します。

会社のロゴ会社のロゴ (画像ファイル)をアップロードします。

会社住所会社の所在地を入力します。

会社電話番号会社の電話番号を入力します。

オーバーレイ画像画像の透明度 (透明または不透明 )を選択します。

9. 保存して公開を選択します。

Chrome ブラウザ設定の適用

Chromeブラウザ設定プロファイルを使用すると、WorkChromeアプリの設定を管理するのに役立ちます。

Chromeは、GoogleのWebブラウザです。Chromeには、検索、オムニボックス (1つのボックスで検索と移動が可能 )、自動入力、保存済みパスワードなど数

多くの機能があるほか、Googleアカウントにサインインしてすべてのデバイス間で最近使用したタブおよび検索に即座にアクセスする機能もあります。WorkChromeアプリは、Chromeの個人バージョンと同じ機能があります。このプロファイルを構成しても、ユーザーの個人用 Chromeアプリには影響がありません。こ

のプロファイルを個別 VPNや資格情報 +Wi-Fiペイロードと組み合わせてプッシュすることで、エンドユーザーは認証されて社内サイトやシステムにログインできるよ

うになります。これにより、ユーザーが業務でWorkChromeアプリを必ず使用するようにします。

Chrome ブラウザの制限を構成するには：



3. Chrome ブラウザ設定ペイロードを選択し、必要に応じて設定を構成します。


制限事項プロファイル

制限事項プロファイルを使用し、デバイス上のデータ保護を強化できます。具体的には、従業員が自分のデバイスをいつどこでどのように使用するかを管理者

が指定し制御できるようになります。


39



制限事項プロファイルは、Androidデバイスのネイティブ機能をロックし、デバイスの加入方法によって異なります。制限事項プロファイルには、Work 管理対象デ

バイスとWork プロファイルというモードのラベルが付いたタグが表示されます。

制限事項プロファイルには、選択した制限がWorkプロファイルとWork管理対象デバイスのいずれかまたはその両方に適用されるかどうかを示すタグが表示され

ます。ただし、Workプロファイルデバイスの場合、影響を受けるのはAndroidバッジアプリのみです。たとえば、Workプロファイルの制限を構成するときに、Workカメラへのアクセスを無効にできます。これは、Androidバッジカメラのみに影響があり、ユーザーの個人用カメラには影響がありません。

WorkChrome、Google Play、Google設定、連絡先、カメラなど、既定でWorkプロファイルに含まれているシステムアプリは多数ありますが、制限事項プロファ

イルを使用して非表示にでき、ユーザーの個人用カメラには影響しません。

制限の適用

制限事項ペイロードをAndroidデバイスに展開してセキュリティを強化します。制限事項ペイロードのデバイスでは、エンドユーザーのデバイス機能へのアクセスを

無効にし、デバイスの改ざんを防ぐことができます。

制限事項プロファイルを作成するには、次の手順を実行します。



3. 制限事項プロファイルを選択して以下のような設定を構成します。

設定説明

デバイス機能デバイスレベルの制限事項を適用した場合、デバイスの中核機能 (例 :カメラ、画面キャプチャ、出荷

時状態へのリセット )を無効化できるので、生産性向上とセキュリティ強化につながります。たとえば、カメ

ラ機能を無効にした場合、機密データが撮影されて社外に送信されるのを防止できます。また、画面

キャプチャ機能を無効にした場合、デバイス上の社内コンテンツの機密性を確保しやすくなります。

アプリケーションアプリケーションレベルの制限事項を適用した場合、特定のアプリケーション (例 : YouTube、Google Playストア、ネイティブブラウザ)を無効化できます。これにより、デバイス使用に関する社内ポリシーを適用で

きます。

同期とストレージデータをデバイスに保存する方法を制御することにより、生産性とセキュリティのバランスをとることができ

ます。たとえば、Googleバックアップ機能またはUSBバックアップ機能を無効にした場合、管理対象デバ

イス上の社内モバイルデータを悪意のある者から守ることができます。

ネットワークデバイスでのWi-Fi接続およびデータ接続を無効にした場合、エンドユーザーは、安全でない接続を使

用して機密データを表示することができなくなります。

仕事用と個人用個人用コンテナと仕事用コンテナの間で情報のアクセス方法または共有方法を決定します。これらの設

定は、Workプロファイルモードのみに適用されます。

位置情報サービス Work管理対象デバイスにのみ位置情報サービス設定を構成します。

Samsung Knox Samsung Knoxを実行しているAndroidデバイス向けの制限を有効にすることができます。このセクション

の設定は、[全般 ]プロファイルの [OEM 設定 ]フィールドが [有効 ]に切り替えられ、[OEM の選択 ]が[Samsung]に設定されている場合にのみ適用されます。

このセクションは、[全般 ]プロファイルの [OEM設定 ]フィールドが有効であり、[OEMの選択 ]フィールドで

Samsungが選択された場合にのみ使用できます。


Exchange ActiveSyncの有効化

AirWatchは、Androidで Exchange ActiveSync (EAS)プロファイルを使用して、AirWatch Inbox、Gmail、Divideなどのメールクライアントタイプを使用した社内の

Eメール、カレンダー、連絡先に対するセキュアな接続を保証します。たとえば、Workプロファイルにおける構成済みのEASメール設定は、AirWatch AppCatalogからダウンロードされたバッジ付きアイコンのEメールアプリに影響を及ぼしますが、ユーザーの個人用 Eメールには影響しません。

各ユーザーにEメールアドレスとユーザー名が存在する状態で、以下の手順に従ってEASプロファイルを作成します。




40



3. Exchange ActiveSyncプロファイルを選択し、次の設定を構成します。

設定説明

メールクライアントタイプドロップダウンメニューを使用して、ユーザーデバイスにプッシュされるメールクライアントを選択します。

ホスト企業のActiveSyncサーバの外部 URLを指定します。

サーバタイプ ExchangeとLotusから選択します。

SSL 使用有効にした場合、EASデータを暗号化します。

SSL 証明書の検証チェックを有

効にする

有効にした場合、Secure Socket Layer証明書を許可します。

S/MIME 有効にした場合、資格情報ペイロードでユーザー証明書として関連付ける S/MIME証明書を選択します。

l S/MIME 署名証明書：メッセージの署名用にS/MIME証明書をクライアントへプロビジョニングすることを許可する

ための証明書を選択します。

l S/MIME 暗号化証明書：メッセージの暗号化用にS/MIME証明書をクライアントへプロビジョニングすることを許

可するための証明書を選択します。

ログイン情報

ドメイン参照値を使用してデバイス固有の値を使用します。

ユーザー名参照値を使用してデバイス固有の値を使用します。

E メールアドレス参照値を使用してデバイス固有の値を使用します。

パスワード空白にすると、エンドユーザーが自分のパスワードを設定できます。

ログイン証明書ドロップダウンメニューから使用可能な証明書を選択します。

設定

既定の署名新しいメッセージを表示するための既定のEメール署名を指定します。

添付ファイルの最大サイズ

(MB)ユーザーが送信できる添付ファイルの最大サイズを入力します。

制限

連絡先とカレンダーの同期を許

可する

有効にした場合、連絡先とカレンダーをデバイスと同期できます。

4. 保存して公開をクリックし、プロファイルを関連するデバイスに割り当てます。

資格情報

セキュリティレベルを上げ、企業アセットをより強固に保護するには、電子証明書の導入が効果的です。そのためには、まず認証局を指定し、次に、ExchangeActiveSync (EAS)ペイロード、Wi-Fiペイロード、またはVPNペイロードに加えて資格情報ペイロードを構成する必要があります。

各ペイロードには、資格情報ペイロードで定義された認証局を関連付けるための設定項目があります。資格情報プロファイルを構成することにより、ユーザー認

証用の社内証明書を管理対象デバイスに展開できます。このプロファイルの設定は、デバイス所有形態タイプによって異なります。資格情報プロファイルは、

WorkプロファイルとWork管理対象デバイスモードのタイプに対して適用されます。

デバイスには、WorkspaceONEUEMが秘密キーを使用して ID証明書をインストールする前にデバイスPINコードを構成する必要があります。

資格情報の展開

資格情報プロファイルを構成することにより、ユーザー認証用の社内証明書を管理対象デバイスに展開できます。このプロファイルの設定は、デバイス所有形

態タイプによって異なります。資格情報プロファイルは、WorkプロファイルとWork管理対象デバイスモードのタイプに対して適用されます。

認証情報を適用するために次のオプションを構成します。




41



3. 資格情報プロファイルを選択し、構成を選択します。

4. ドロップダウンメニューを使用して、資格情報ソースにアップロードまたは定義済み認証局のいずれかを選択します。ここで選択するソースにより、表示さ

れるプロファイルオプションが変わります。アップロードを選択した場合、認証情報名を入力し、新しい証明書をアップロードする必要があります。定義済

み認証局を選択する場合は、定義済みの認証局とテンプレートを選択する必要があります。


アプリケーション制御

アプリケーション制御プロファイルによって、特定のアプリケーションをホワイトリストまたはブラックリスト設定することができます。ユーザが該当するアプリケーションを

インストールまたはアンインストールする際に、順守エンジンは警告を送信し管理処理を行いますが、アプリケーション制御はこのような変更をブロックします。

たとえば、WorkspaceONE Intelligent Hubはバッジアプリとしてデバイスに自動的にプッシュされます。[必須アプリのアンインストールを防ぐ]オプションを有効にした

場合、WorkspaceONE Intelligent Hubとアプリケーショングループで構成されているその他の必須アプリのアンインストールを防止できます。ホワイトリスト設定

では、管理者のみがWorkプロファイルにアプリを追加できるため、既定で有効になっています。

アプリケーション制御を構成する

Androidデバイスによるアプリへのアクセスを制限するには、アプリケーション制御プロファイルを使用してブラックリストとホワイトリストのアプリケーションのプロファイル

を作成します。

アプリケーション制御の設定を構成するには、次の手順を実行します。



3. アプリケーション制御ペイロードを選択します。

4. 貴社のアプリケーション展開に必要な制御レベルに応じて以下の項目を有効または無効に設定します。

設定説明

ブラックリストアプリへのアクセスを

無効にする

アプリケーショングループで定義されているブラックリストと見なされるアプリケーションへのアクセスを無効にすることがで

きます。

有効にした場合、このオプションでは、デバイスからアプリケーションをアンインストールしません。

必須アプリのアンインストールを

防ぐ

このオプションを有効にした場合、アプリグループで定義されている必須アプリのアンインストールを防止できます。

Android 内部のシステムアプリを

有効にする

アプリケーショングループのホワイトリストアプリで定義されている、Workプロファイル内の事前インストールしたアプリ

ケーションを非表示にすることができます。


プロキシ設定を構成する

グローバルプロキシ設定を構成した場合、すべてのHTTPおよびHTTPSネットワークトラフィックが必ずグローバルプロキシを経由します。これにより、すべての

個人データおよび企業データがグローバルプロキシプロファイルに基づいてフィルタリングされるため、データセキュリティが確保されます。

これらの設定を構成するには、次の手順を実行します。



3. プロキシ設定プロファイルを選択します。


42



4. 次のようにプロキシ設定を構成します。

設定説明

プロキシモード希望するプロキシタイプを選択します。

プロキシPACのURL URLをプロキシ .pacファイルに指定します。

プロキシサーバプロキシサーバのホスト名または IPアドレスを入力します。

除外リストホスト名を追加して、プロキシ経由ルーティングの対象から除外します。


システム更新の有効化

AirWatchはOSの更新通知および実際の更新プログラムが制御される方法を管理します。3通りの方法でこのプロファイルでのOS更新プログラムを制御でき

ます。

システム更新ポリシーを作成するには、次の手順を実行します。



3. システム更新プロファイルを選択します。

4. 自動更新フィールドのドロップダウンメニューを使用して、更新ポリシーを選択します。

設定説明

更新を自動的にイン

ストール

使用可能になったときに、更新プログラムを自動的にインストールします。

アップデート通知の延

期

すべての更新プログラムを延期します。最大 30日間の期間で OS更新プログラムをブロックするポリ

シーを送信します。

更新ウィンドウの設

定

デバイスを更新するための時間帯を設定します。


Wi-Fi プロファイル

Wi-Fiプロファイルを構成することにより、デバイスから社内ネットワークに接続できます。非公開 /暗号化 /保護されている場合でも接続できます。Wi-Fiアクセス

が便利な場面としては、独自のワイヤレスネットワークを構築している他のオフィスにエンドユーザーが出張する場合や、オフィス内で適切なワイヤレスネットワー

クに接続するようデバイスを自動構成する場合などが考えられます。

Android 6.0以降を搭載しているデバイスにWi-Fiプロファイルをプッシュする際は、デバイスがWi-Fiネットワークに接続するようユーザーによりすでに手動でセット

アップされている場合、WorkspaceONE UEMはWi-Fi構成を変更することはできません。たとえば、デバイス上でWi-Fiパスワードがすでに変更されており、かつ

最新のプロファイルを加入済みデバイスにプッシュした場合、ユーザーは、新しいパスワードを使用してデバイスを手動更新しなければならないことがあります。

Wi-Fiアクセスの構成

Wi-Fiプロファイルを構成することにより、デバイスから社内ネットワークに接続できます。非公開 /暗号化 /パスワード保護されている場合でも接続できます。

Wi-Fiプロファイルを構成するには、次の手順を実行します。



3. Wi-Fiペイロードを選択します。


43



4. Wi-Fiの設定を次のとおりに構成します。

設定説明

サービスセット識

別子 (SSID)デバイスから接続するネットワークの名前を入力します。

非公開のネット

ワーク

Wi-Fiネットワークが非公開であるかどうかを指定します。

アクティブなネット

ワークとして設定

エンドユーザーによる操作なしにデバイスをネットワークに接続するかどうかを指定します。

セキュリティタイ

プ

使用するアクセスプロトコルと、証明書を必須とするかどうかを指定します。

選択したセキュリティタイプによって必須項目が決まります。｢なし｣、｢WEP｣、｢WPA/WPA2｣、または「任意 (個人 )」を選択した場合、

パスワードフィールドが表示されます。

WPA/WPA2エンタープライズを選択した場合、｢プロトコル｣フィールドおよび｢認証｣フィールドが表示されます。

l プロトコル

o ｢2要素認証を使用｣

o ｢SFAの種類｣

l 認証

o ｢ID｣

o ｢匿名 ID｣

o ｢ユーザー名｣

o ｢パスワード｣

o ｢ID証明書｣

o ｢ルート証明書｣

パスワードデバイスからネットワークに接続するために必要な資格情報を入力します。｢パスワード｣フィールドが表示されるのは、セキュリティタ

イプフィールドで｢WEP｣、｢WPA/WPA2｣、｢任意 (個人 )｣、または｢WPA/WPA2エンタープライズ｣を選択した場合です。


VPN の構成

バーチャルプライベートネットワーク (VPN)を構築した場合、安全で暗号化されたトンネルを使用して、デバイスから社内リソース (例：Eメール、ファイル、コンテ

ンツ)にアクセスすることができます。VPNプロファイルにより、各デバイスはオンサイトネットワーク経由で接続しているかのように機能します。

接続タイプと認証方法によっては、参照値を使用してユーザー名情報を自動入力し、ログインプロセスを効率化できます。

VPNプロファイルを作成するには、次の手順を実行します。



3. VPNを選択してプロファイルを編集します。

4. VPN設定を構成します。次の表では、VPNクライアントごとに構成可能なすべての設定を記載しています。

設定説明

接続情報

接続タイプ VPNセッションを簡単にするために使用するプロトコルを選択します。


44



設定説明

接続名プロファイルによって作成された接続に割り当てられた名前を入力します。

サーバ VPN接続の使用するサーバの名前またはアドレスを入力します。

アカウント接続を認証するためのユーザーアカウントを入力します。

常時VPNに接続有効にした場合、仕事用アプリのすべてのトラフィックがVPN経由でトンネルされるようになります。

アクティブに設定有効にした場合、デバイスにプロファイルを適用した後で VPNをオンにします。

アプリベース VPN規則

アプリベースVPNを有効にした場合、アプリごとにVPN トラフィック規則を構成できます。このテキストボックスは、サポート対象の

VPNベンダーに対してのみ表示されます。

認証

ユーザー認証 VPNセッションを認証するために必要な方法を選択します。

パスワードエンドユーザーがVPNを利用する際に必要となる資格情報を入力します。

クライアント証明

書

ドロップダウンを使用してクライアント証明書を選択します。これらは資格情報プロファイルで構成されます。

証明書失効有効にした場合、証明書失効がオンになります。

Anyconnect プロ

ファイル

AnyConnectプロファイル名を入力します。

FIPS モード有効にした場合、FIPSモードがオンになります。

厳密モード有効にした場合、厳密モードがオンになります。

ベンダ構成

ベンダーキーベンダー構成辞書にアクセスするためのカスタムキーを作成します。

キーベンダーから提供された固有のキーを入力します。

付加価値各キーのVPN値を入力します。


アプリベースVPNの構成

選択したアプリケーションは社内 VPN経由で接続を強制することができます。VPNプロバイダでこの機能がサポートされている必要があり、また、管理アプリケー

ションとしてアプリを公開する必要があります。

注：アプリベースVPNは内部アプリをサポートしてません。


2. Androidを選択して設定を構成します。

3. リストで VPNペイロードを選択します。

4. 接続タイプフィールドから、VPNベンダーを選択します。

5. VPNプロファイルを構成します。

6. アプリベース VPNを選択して、現在のVPNプロファイル設定に対するVPN UUIDを生成します。VPN UUIDは、このVPN構成に対する一意の識別子

です。


この手順を既存のVPNプロファイルに対する更新処理として実行した場合、このプロファイルを現在使用している既存のデバイス/アプリケーションが更新さ

れます。また、VPN UUIDを使用していなかったデバイス/アプリケーションは、VPNプロファイルを使用するよう更新されます。

アプリベースVPNプロファイルを使用するパブリックアプリを構成するには、「Android用パブリックアプリケーションの追加 ( 58ページ) 」を参照してください。


45



権限の設定

WorkspaceONEUEMコンソールによって、管理者は、アプリで使用しているすべての権限のリストを表示し、アプリのランタイム時に既定の操作を設定できるよ

うになります。権限プロファイルは、Work管理対象デバイスモードを使用するAndroid 6.0以降のデバイスで使用できます。

各 Androidバッジアプリのランタイム権限ポリシーを設定できます。個々のアプリレベルでアプリを構成するときに、最新の権限が取得されます。権限は、すべて

のAndroidバッジアプリに適用されます。

注：アプリで使用されるすべての権限は、例外リストからアプリを選択すると表示されます。ただし、WorkspaceONEUEMコンソールからの権限ポリシーは

Googleが危険と判断した権限にのみ適用されます。危険な権限は、ユーザーの個人情報を含むデータ、またはユーザーが保存したデータに影響を及ぼ

す可能性があるデータをアプリが要求する領域も対象とします。詳細については、Android開発者のWebサイトを参照してください。

権限プロファイルを作成するには、次の手順を実行します。



3. 次を含む権限設定を構成します。

設定説明

権限ポリシーすべてのWorkアプリに対して、ユーザーに権限のプロンプトを表示する、すべての権限を付与する、またはすべて

の権限を拒否するかどうかを選択します。

例外すでにAirWatchに追加されている (アプリを承認したAndroidのみを含めた)アプリを検索して、アプリの権限ポリ

シーに例外を作成します。


シングルアプリモードを構成する

シングルアプリモードにすると、内部およびパブリックアプリケーションがサポートされているホワイトリスト設定によって、キオスクモードなどのある目的のために

Androidデバイスを使用できるようになります。

注：サポートされているアプリケーションの詳細については、WorkspaceONE UEM コンソールでシングルアプリモードプロファイル内のリンクを参照してくださ

い。このリンクから該当するGoogle Developerサイトに移動します。

注：AirWatchアプリケーションは、シングルアプリモードを現在サポートしていません。

シングルアプリモードおよびベストプラクティスの最適な使用については、「シングルアプリモードのベストプラクティス ( 46ページ) 」を参照してください。

シングルアプリモードを構成するには、次の手順を実行します。



3. シングルアプリモード設定を構成するには、次を実行します。

設定説明

ホワイトリストアプリ目的のアプリを選択して、デバイスをシングルアプリモードにロックします。

シングルアプリモードのベストプラクティス

シングルアプリモードのポリシーを使用して、ある目的のために最適なエクスペリエンスとメンテナンスができるようにこれらのポリシーと制限事項を適用することを

検討してください。キオスクのデバイスのシングルアプリモードプロファイルと、エンドユーザーがデバイスに関連付けられていないデジタルサイネージユースケース


46



を展開している場合は、これらの推奨事項が役立ちます。

「制限事項」プロファイルを作成し、プロファイル内で次を構成します。

l デバイス機能の下で、次のオプションを無効にします。

o ステータスバーを許可 -デバイスがシングルアプリにロックされるときに効果があります。

o キーガードを許可 -デバイスがロックされなくなります。

l デバイス機能の下で、次のオプションを有効にします。

o AC充電ケーブルが接続されているときは画面を常にオンにする

o USB充電ケーブルが接続されているときは画面を常にオンにする

o ワイヤレス充電を行っているときは画面を常にオンにする

これらのオプションは、デバイスの画面が相互作用のために常にオンになっているようにします。

システム更新ポリシープロファイルを展開して、デバイスが手動での介入を最小限に抑えて最新の修正を受け取れるようにします。

日付 /時刻を設定する

日付と時刻およびその表示形式を設定し、地域に合った形式で日付と時刻が表示されるようにします。


2. プロファイルをデバイスに展開するには、デバイスを選択します。

3. プロファイルの全般設定を構成します。[日付と時刻 ]プロファイルは、[OEM 設定 ]フィールドを [有効 ]に切り替えた場合にのみ表示されます。

4. 日付と時刻ペイロードを選択します。

5. ｢日付と時刻｣で設定を構成します。

設定説明

日付のフォーマット月、日、および年の表示順序を変更できます。

時刻のフォーマット 12時間または24時間を選択します。

日付/時刻デバイス上で日付と時刻の設定をどのデータソースから取得するかを指定します。

l 自動 –デバイスのネイティブ設定に基づいて日付と時刻が設定されます。

l サーバ上の時間 –WorkspaceONEUEMコンソールのサーバ時刻に基づいて、日付 /時刻が設定されます。

o タイムゾーン –タイムゾーンを指定します。

l HTTP URL –URLに基づいて日付と時刻が設定されます。任意のURLを使用できます。例 : www.google.com。

o URL –日付と時刻情報を配信しているWebアドレスを入力します。

o 周期的な同期を有効にする –このオプションを有効にした場合、デバイス上で日付と時刻が数日間隔で定期的に検

査されます。

o 時間帯を設定 –タイムゾーンを指定します。

l SNTP サーバ

o URL –日付と時刻情報を配信しているWebアドレスを入力します。例 : time.nist.gov。

o 周期的な同期を有効にする –このオプションを有効にした場合、デバイス上で日付と時刻が数日間隔で定期的に検

査されます。



47



AirWatch Launcher プロファイルを作成する

AirWatch Launcherは、個々のユースケースのAndroidデバイスをロックダウンし、管理対象 Androidデバイスの外観と動作をカスタマイズすることができるアプリ

ランチャーです。AirWatch Launcherアプリは、特注のランチャーを使用したデバイスインターフェイスをビジネスニーズに置き換えます。

Android 6.0Marshmallowおよび以降のデバイスを、会社所有のシングルユース (COSU)モードとして構成できます。COSUモードにすると、内部およびパブリッ

クアプリケーションがサポートされるホワイトリスト設定によって、キオスクモードなどのある目的のためにデバイスを構成できるようになります。シングルアプリモー

ド、マルチアプリモード、およびテンプレートモードでは、COSUモードがサポートされています。COSUモードでのAirWatch Launcherプロファイルの展開の詳細

については、「AirWatch Launcherガイド」を参照してください。

AirWatch Launcherプロファイルの設定を構成するには、次の手順を実行します。


2. プロファイルの全般設定を構成します。

3. Launcherプロファイルを選択します。

4. アプリモードを選択します。

設定説明

シングルアプリこの項目を選択した場合、デバイスがモバイルキオスクビューに固定され、1つのアプリしか使用できなくなります。

マルチアプリこの項目を選択した場合、デバイス上で使用できるアプリが限定されます。

テンプレートこの項目を選択した場合、画像、テキスト、およびアプリを使用してデバイスのホーム画面をカスタマイズできます。

5. 選択したアプリモードを構成します。

6. プロファイルをWorkspaceONEUEMコンソールに追加するには、保存を選択します。プロファイルを追加し、すぐに適切な Androidデバイスに展開するに

は、保存して公開を選択します。

ファイアウォールルールを構成する (Android)管理者はファイアウォールペイロードを使用してAndroidデバイスのファイアウォールルールを構成することができます。各ファイアウォールルールタイプに対して、

複数のルールを追加できます。

注：ファイアウォールペイロードは、SAFE2.0以降のデバイスにのみ適用されます。

1. [デバイス] > [プロファイルとリソース] > [プロファイル] > [追加 ] > [プロファイルを追加 ] > [Android]または [Android (Legacy)]の順に進みます。


3. プロファイルの全般設定を構成します。ファイアウォールプロファイルは、[OEM 設定 ]フィールドが有効になり、Samsungが [OEM の選択 ]フィールドから選

択された場合にのみ、Androidプロファイルに対して表示されます。[全般 ]プロファイルの [OEM設定 ]フィールドは、Androidプロファイルにのみ適用され、

Android (Legacy)構成には適用されません。

4. ファイアウォールプロファイルを選択します。

5. 目的のルールの下にある追加ボタンを選択し、設定を構成します。

設定説明

許可ルールこのオプションを有効にした場合、デバイスは特定のネットワークの場所で送受信を行うことができます。

拒否ルールこのオプションを有効にした場合、デバイスは特定のネットワークの場所で送受信を行うことができません。

経路変更ルールこのオプションを有効にした場合、トラフィックは特定のネットワークの場所から代替ネットワークにリダイレクトされます。許可された

ウェブサイトを別のURLにリダイレクトする場合は、リダイレクト先のURLもすべて許可ルールセクションに追加し、アクセスできるよう

にしてください。

Redirecaccessed.ion このオプションを有効にした場合、トラフィックはリダイレクトされません。



48



注：ファイアウォール構成が IPアドレスベースのツールの場合は、ホスト名を追加することによる設定は、IPアドレスによる設定のようにうまく機能しない場合

があります。GoogleやAmazonによるサービスは常に静的 IPアドレスを維持するとは限らないため、ホスト名の使用をお勧めしていますが、その結果、パ

フォーマンスにばらつきが出ることがあります。

APN プロファイルを構成する

Androidデバイスのアクセスポイント名 (APN)設定を構成することにより、多数のデバイスのキャリア設定を統一することや、構成ミスを修正することができます。



3. プロファイルの全般設定を構成します。APNプロファイルは、[OEM 設定 ]フィールドを [有効 ]に切り替えられ、[OEM の選択 ]フィールドで Samsungが選

択された場合にのみ表示されます。

4. [APN]ペイロードを選択します。

5. 次を含む、[APN]の設定を構成します。

設定説明

表示名わかりやすいアクセス名を入力します。

アクセスポ

イント名

(APN)

キャリアから提示されたAPNを入力します( 例：come.moto.cellular) 。

モバイル

国コード

(MCC)

3桁の国コードを入力します。この値に基づいて、デバイスがここで入力したキャリアと異なるキャリア上でローミングしているかどうかが検査さ

れます。

モバイル国番号は、モバイルネットワークコード (MNC)と組み合わせて使用されます。これにより、GSM (GSM-Rを含む)、UMTS、LTEの各モバ

イルネットワークを使用しているモバイルネットワーク事業者 (キャリア)を一意に識別できます。

モバイル

ネットワー

クコード

(MNC)

3桁のネットワークコードを入力します。この値に基づいて、デバイスがここで入力したキャリアと異なるキャリア上でローミングしているかどうか

が検査されます。モバイルネットワークコードは、モバイル国番号 (MCC)と組み合わせて使用されます。これにより、GSM (GSM-Rを含む)、UMTS、LTEの各モバイルネットワークを使用しているモバイルネットワーク事業者 (キャリア)を一意に識別できます。

MMS サー

バ (MMSC)サーバのアドレスを入力します。

MMS プロ

キシサー

バ

MMSのポート番号を入力します。

MMS プロ

キシサー

バポート

プロキシサーバのターゲットポートを入力します。

サーバ接続に使用するサーバのホスト名または IPアドレスを入力します。

プロキシ

サーバ

プロキシサーバの詳細情報を入力します。

プロキシ

サーバ

ポート

すべてのトラフィックに対して使用するプロキシサーバポートを入力します。[追加 ]を選択し、このプロセスを続行します。

アクセスポ

イントユー

ザー名

アクセスポイントに接続する際に使用するユーザー名を入力します。


49



設定説明

アクセスポ

イントパス

ワード

アクセスポイントで認証を受けるパスワードを入力します。

認証タイ

プ

認証プロトコルを選択します。

優先 APNとして設定

する

このオプションを有効にした場合、すべてのデバイスに同じAPN設定が適用されます。また、デバイスまたはキャリアによる変更を防止できま

す。


エンタープライズ工場出荷状態へリセットの保護を構成する

工場出荷状態の保護 (FRP)は、デバイスが紛失したか盗まれた場合に、誰かがそれをワイプして工場出荷状態にリセットできないようにするためのセキュリティ

メソッドです。工場出荷状態にリセットするには、デバイスの元のGoogleアカウント (セットアップに使用したアカウント )を使用してサインインする必要があります。

元のGoogleアカウントでサインインすると、デバイスが返却されたときにユーザーがFRPを有効にしている場合、問題が管理者に提示されます。デバイスが組織

に返却されたときに(ユーザーが会社を辞めるなど)、管理者はデバイスを再度セットアップすることができません。

[エンタープライズ工場出荷状態へリセットの保護 ]プロファイルを使用すると、デバイスを設定またはリセットを完了するためのGoogleユーザー IDを作成できま

す。このGoogleユーザー IDを使用すると、元のGoogleアカウントがなくてもデバイスをリセットできます。プロファイルを構成するには、People:get APIを使用し

て、Googleユーザー IDを取得します。

また、デバイス管理コマンドからデバイスに対するデバイスワイプを実行するときに、FRPを削除できます。デバイス管理の詳細については、「デバイス管理コマンド

( 62ページ) 」を参照してください。

アプリケーション制御の設定を構成するには、次の手順を実行します。



3. [エンタープライズ工場出荷状態へリセットの保護 ]ペイロードを選択します。

4. 貴社のアプリケーション展開に必要な制御レベルに応じて以下の項目を構成します。

設定説明

Googleユーザー ID Google People:getから取得したGoogleユーザー IDを入力します。


Zebra MX プロファイルの構成

ZebraMXプロファイルによって、AndroidデバイスのZebraMXサービスアプリで提供される追加機能を利用できるようになります。ZebraMXサービスアプリは、

Google PlayとAirWatch Resourcesからプッシュし、WorkspaceONEUEMConsoleでこのプロファイルとともに内部アプリとして配布できます。

ZebraMXプロファイルをAndroid用に構成するには、次の手順を実行します。


2. 必要に応じて、プロファイルの全般設定を構成します。[OEM 設定 ] フィールドを有効にし、[OEM を選択 ] フィールドからのZebraを選択して、ZebraMXプロファイルを有効にします。

3. ZebraMXプロファイル設定を構成するには、次を実行します。


50



設定説明

Wi-Fi

Fusion 設定を含めるこのオプションを有効にした場合、Fusionオプションを拡張し、Motorolaデバイス用 Fusionアダプタと組み合わせて使用することができます。

Fusion 802.11d を設定するこのオプションを有効にした場合、Fusion 802.11dを使用できます。また、

Fusion 802.11dに関する情報を設定できます。

802.11d を有効にするこのオプションを有効にした場合、802.11dワイヤレス規格を利用して、他の

制御ドメイン内でデバイスを使用することができます。

国別コードを設定するこのオプションを有効にした場合、国別コードを設定し、802.11d規格を利

用してデバイスを使用することができます。

周波数帯を設定するこのオプションを有効にした場合、2.4GHz、5GHz、またはその両方の周波

数帯を選択できます。また、適切なチャネルマスクも選択できます。

制限

機内モードを許可機内モードの設定画面へのアクセスを許可します。

疑似ロケーションを許可疑似ロケーションを有効化 /無効化できます (｢設定｣ > ｢開発者オプショ

ン｣)。

バックグラウンドデータを許可バックグラウンドデータを有効化 /無効化できます。

スリープモードで Wi-Fi 切断を許可する常にオン－デバイスがスリープモードに移行しても、Wi-Fiは有効化された

ままです。

プラグ接続時のみ－デバイスが充電中の場合のみ、デバイスがスリープ

モードに移行しても、Wi-Fiは有効化されたままです。

オンにしない－デバイスがスリープモードに移行すると、Wi-Fiは無効になり

ます。

ローミング中のデータ使用ローミング中にデータ接続を許可します。

Wi-Fi を強制的にオンにするユーザーがオフにできないようにWi-Fiを強制的に有効にします。

Bluetooth を許可 Bluetoothの使用を許可します。

クリップボードを許可コピー/貼り付けを許可します。

ネットワーク監視通知を許可ネットワーク監視警告通知を有効にします。この通知は通常、証明書を

インストールした後に表示されます。

日付 /時刻

日付/時刻設定を有効化日付 /時刻設定を有効にします。

日付のフォーマット月、日、および年を表示する順序を決定します。

時刻のフォーマット 12または24時間を選択します。


51



設定説明

日付/時刻デバイス上で日付と時刻の設定をどのデータソースから取得するかを指定

します。

l 自動 –デバイスのネイティブ設定に基づいて日付と時刻が設定され

ます。

l サーバ上の時間 –WorkspaceONEUEMコンソールのサーバ時刻に基

づいて、日付 /時刻が設定されます。

o タイムゾーン –タイムゾーンを指定します。

l HTTP URL –URLに基づいて日付と時刻が設定されます。任意のURLを使用できます。例 : www.google.com。

o URL –日付と時刻情報を配信しているWebアドレスを入力しま

す。

o 周期的な同期を有効にする –このオプションを有効にした場

合、デバイス上で日付と時刻が数日間隔で定期的に検査さ

れます。

o 時間帯を設定 –タイムゾーンを指定します。

l SNTP サーバ

o URL –日付と時刻情報を配信しているWebアドレスを入力しま

す。例 : time.nist.gov。

o 周期的な同期を有効にする –このオプションを有効にした場

合、デバイス上で日付と時刻が数日間隔で定期的に検査さ

れます。

ボリューム

ミュージック、動画、ゲーム、その他のメディアデバイス上で固定したいボリュームレベルにスライダを設定します。

着信音と通知デバイス上で固定したいボリュームレベルにスライダを設定します。

通話デバイス上で固定したいボリュームレベルにスライダを設定します。

デフォルト通知を有効にするこのオプションを有効にした場合、デバイスに既定の通知が表示されたとき

に音が鳴ります。

ダイアルパッドタッチトーンを有効にするこのオプションを有効にした場合、ダイアルパッドのタッチトーンが鳴ります。

タッチトーンを有効にするこのオプションを有効にした場合、タッチトーンが鳴ります。

画面ロック音を有効にするこのオプションを有効にした場合、デバイスがロックされたときに音が鳴りま

す。

｢タッチ操作時にバイブレート｣を有効にするこのオプションを有効にした場合、バイブレート設定が有効化されます。

ディスプレイ

表示設定を有効化表示設定を有効にします。

ディスプレイの明るさデバイス上で固定したい明るさにスライダを設定します。

スクリーンの自動回転を有効にするこのオプションを有効にした場合、画面表示が自動回転します。

スリープ設定デバイスがスリープモードになるまでの無操作時間を指定します。



52



カスタム設定の使用

AirWatchがネイティブペイロードで現在サポートしていないAndroidの新機能がリリースされた場合は、カスタム設定ペイロードを使用します。カスタム設定ペイ

ロードとXMLコードを使用して、特定の設定を手動で有効または無効にします。以下の手順に従ってカスタム設定を使用します。


2. プロファイルの全般設定を構成します。

3. 該当するペイロード (例 :制限事項、パスコード)を構成します。

"test"組織グループに保存されている、お客様のプロファイルのコピーを使用できます。これにより、ユーザーへの影響を回避しつつ、保存して公開する準

備を行うことができます。

4. プロファイルを公開せずに保存します。

5. プロファイルリスト表示で、カスタマイズしたいプロファイルの行に対するラジオボタンを選択します。

6. 上端のXMLボタンを選択し、プロファイルXMLを表示します。

7. 以前に設定した<characteristic> ...<characteristic>で始まるテキストの部分 (例 :制限事項、パスコード)を検索します。このセクションには、その目的を

示す構成タイプ (例 :制限事項 )が含まれています。

8. このセクションをコピーし、XML表示を閉じます。プロファイルを開きます。

9. カスタム設定ペイロードを開き、構成をクリックします。コピーしたXMLをテキストボックスにペーストします。ペーストしたXMLコードには、<characteristic>から<characteristic>までの完全なコードブロックが含まれている必要があります。

10. 構成済みの元のペイロードを削除するため、ベースペイロードセクションを選択し、｢-｣ボタンをクリックします。新機能に対するカスタムXMLコードを追加す

ることにより、プロファイルの機能を強化できます。

重要：最新のバージョンにアップグレードされていないデバイスでは、設定した強化機能は無視されます。これはカスタムコードなので、古いバージョン

のデバイスでプロファイルをテストし、期待したとおりに動作するかどうかを検証する必要があります。



53



第 5章:共有デバイス社内の従業員全員にデバイスを支給した場合、非常にコストがかかる可能性があります。WorkspaceONE™UEMでは、デバイスを共有して、1つの固定され

た構成をエンドユーザー全員に適用することも、それぞれのエンドユーザーに固有の構成設定を適用することも可能です。

共有デバイス/マルチユーザーデバイス機能を利用すると、個々のエンドユーザーに対して、セキュリティと認証を確実に導入できます。さらに、必要に応じて、機

密情報に共有デバイスでアクセスできるエンドユーザーを限定することが可能です。

共有デバイスを導入する場合、エンドユーザーにデバイスを展開する前に、まず該当する設定や制限事項でデバイスをプロビジョンする必要があります。展開

後、WorkspaceONEUEMでは共有デバイス用のシンプルなログインまたはログアウトプロセスが使用されます。この際、エンドユーザーは単に自分のディレクトリ

サービスまたは専用のログイン資格情報を入力するだけです。エンドユーザーがどのレベルの企業リソース(コンテンツ、機能、アプリケーションなど)にアクセスで

きるかは、そのエンドユーザーのロールに応じて決まります。このロールにより、ユーザーがログイン後に利用する機能やリソースが自動で構成されます。

ログインまたはログアウト機能はWorkspaceONE Intelligent Hub自体に組み込まれています。組み込みの機能であるため、加入状態に影響が及ばないことが

保証され、デバイスが使用中であるかどうかにかかわらず、確実に管理できます。

共有デバイスの機能

複数のユーザー間で共有されるデバイスの機能とセキュリティに関しては、以下のような基本機能を利用することができます。これらの機能があることも、コスト

効率の高い、エンタープライズモビリティを最大限活用するためのツールとして、共有デバイスをお勧めする理由の1つです。

l 機能

o 企業の設定を維持したまま、エンドユーザーのエクスペリエンスをパーソナライズできます。

o デバイスにログインすると、そのエンドユーザーのロールと組織グループ (OG)に基づいて、企業アクセスと特定の設定、アプリケーション、およびコンテン

ツが構成されます。

o WorkspaceONE Intelligent Hubに組み込まれているログイン/ログアウトプロセスを使用できます。

o エンドユーザーがデバイスからログアウトすると、そのセッションの構成設定がワイプされます。当該のデバイスは、別のエンドユーザーがログインできるよ

うになります。

l セキュリティ

o デバイスをエンドユーザーに支給する前に、共有デバイス設定を使用してデバイスをプロビジョニング

o WorkspaceONEUEM加入状態を維持したまま、デバイスにログインおよびログアウト

o ログイン中にエンドユーザーをディレクトリサービスまたは専用のWorkspaceONEUEM資格情報で認証

o デバイスがログインしていない間もデバイスを管理

共有デバイスをサポートするプラットフォーム

共有デバイス/マルチユーザーデバイス機能をサポートするのは以下のデバイスです。

l Android 4.3以降

l iOSデバイス( WorkspaceONE Intelligent Hub v4.2以上 )、

l MacOSデバイス( WorkspaceONE Intelligent Hub v2.1以上 )。

54



共有デバイス機能を使用するためにAndroid を構成する

Androidデバイス上で共有デバイス機能を利用するには、WorkspaceONE Intelligent Hubを使用してデバイスを加入し、AirWatch Launcherを既定のホーム

画面として設定してから、Launcherプロファイルを作成して割り当てます。AirWatch Launcherは加入時に自動的にダウンロードされますが、デバイスにプッシュさ

れる Launcherのバージョンを決める必要があります。

Launcherのバージョン設定を構成するには、次の手順を実行します。

1. デバイス >デバイス設定 > Android >サービスアプリケーションと進みます。

2. 該当する項目を構成します。

設定説明

Always use the Latest Version ofLauncher

この設定を有効にすると、AirWatch Launcherの最新バージョンがリリースされたときにデバイスに自動プッシュさ

れます。

Launcher Version 展開したいバージョンをドロップダウンメニューから手動で選択できます。


4. デバイス >プロファイルとリソース >プロファイル >追加 >プロファイルを追加 > Android > Launcherと進み、サブ組織グループごとにLauncherプロファイル

を構成します。このプロファイルには、該当する組織グループに共通する必須設定がすべて含まれます。

重要：Persist Admin Passcode If Launcher Profile Is Removed From Device設定が有効になっていることを確認してください。この設定が有効

になっていると、代理セットアップユーザーも共有デバイスユーザーも、管理者パスコードを入力しない限りLauncherを終了することはできなくなりま

す。

5. 代理セットアップユーザーを使用して、加入組織グループにデバイスを加入します。Launcherの .apkがインストールされ、既定でログイン画面が表示され

ます。

6. 共有デバイスユーザーのグループ ID、名前、ログインパスワードを入力し、デバイスを共有デバイスユーザーと適切なサブ組織グループに割り当てます。

Launcherプロファイルがデバイスに適用され、デバイスにログインしているユーザーがコンソールに反映されます。

重要：グループ IDは、共有デバイス設定の組織グループ割り当てモードで Prompt for Organization Groupを選択した場合のみ入力します。

7. デバイスで Launcherプロファイルからログアウトします。デバイスが代理セットアップユーザーに再度割り当てられ、元の加入組織グループに戻ります。

Launcherプロファイルは削除されます。

共有 Android デバイスのログイン/ログアウト

Androidデバイス上で共有デバイス機能を利用するには、WorkspaceONE Intelligent Hubを使用してデバイスを加入し、Android Launcherを既定のホーム画

面として設定する必要があります。AirWatch Launcherは、加入処理時に自動ダウンロードされます。

AirWatch Launcherをインストールし、既定のホーム画面として設定すると、デバイスはチェックイン状態になります。この状態の間、エンドユーザーはこの画面か

ら別の画面に移動することはできず、デバイスをチェックアウトするよう要求されます。プロファイルを削除し、デバイス全体を再び利用可能にするには、

WorkspaceONE™UEMConsoleを使用して、代理セットアップユーザーデバイス上で企業情報ワイプを実行します。

Android デバイスにログインする

1. AirWatch Launcherのログイン画面で、グループ ID、ユーザー名、およびパスワードを入力します。AirWatch管理者コンソールでユーザーに組織グループ

をプロンプト表示するを有効にした場合、エンドユーザーはログイン時にグループ IDを入力するよう要求されます。

2. ログインをタップします。利用規約が表示された場合は、同意します。デバイスが構成されます。

ログインすると、エンドユーザーのスマートグループとユーザーグループの関連付けに基づいて、ユーザープロファイルがプッシュされます。

Android デバイスからログアウトする

1. 設定ボタンをタップします。

2. ログアウトを選択します。

第 5章 :共有デバイス

55



第 6章:Android用のアプリケーション管理WorkspaceONEUEMを使用して、Androidのパブリックおよび内部アプリケーションとWebアプリをAndroidデバイスにプッシュします。このプロセスには、

WorkspaceONEUEMとGoogle Playストア間の統合のためのアプリケーションの追加と承認が含まれます。承認されたら、スマートグループを使用してデバイス

にアプリを割り当てます。スマートグループはWorkspaceONEUEMの機能の1つであり、設定した条件に基づいてデバイスをグループ化できます。最後のステッ

プは、利用規約を割り当てることです。

WorkspaceONEUEMとAndroidの統合を使用してプッシュしたアプリの機能は、Google Playストアにある対応するアプリと同じです。

ただし、WorkspaceONEUEMの機能を使用してアプリケーションにポリシーを適用できます。たとえば、アプリの利便性を高める構成情報を追加することや、ア

プリの安全性を高める設定を構成することができます。

l 利便性を高めるには、｢アプリケーション構成を送信｣オプションを構成します。アプリの構成情報を使用した場合、サポートされているキー/値ペアを事前

構成し、アプリと一緒にデバイスにプッシュすることができます。サポートされている値の例としては、ユーザー名、パスワード、VPN設定などがあります。サ

ポートされる値は、アプリごとに異なります。

l セキュリティ保護機能を追加するには、Android用のWorkspaceONEUEMプロファイルを使用します。プロファイルを使用した場合、パスコードを設定する

こと、制約事項を適用すること、および、認証用証明書を使用することができます。

WorkspaceONEUEMコンソールを使用すると、アプリのアルファ、ベータ、または本番バージョンをプッシュできます。アプリのアルファおよびベータバージョンを使

用すると、本番環境バージョンをプッシュする前に互換性と安定性をテストできます。テスト用の特定のスマートグループを選択し、柔軟な展開を使用してどの

アプリのバージョンをどのユーザーが受け取るかを決定できます。アルファまたはベータバージョンをプッシュするかどうかを選択しない場合、本番バージョンが自

動的に割り当てられます。

アプリケーション割り当ての詳細については、「Android用アプリケーションの割り当て」を参照してください。

Android デバイス用のWeb リンク

Webリンクアプリの機能は、デバイス上のアプリと似ています。Webリンクアプリを使用することで、エンドユーザーは、デバイスのメニューからURLに直接アクセス

できます。エンドユーザーはWebリンクアプリのアイコンとタイトルを閲覧し、アプリを選択して指定 URLに直接移動します。

Webリンクアプリは、URLが多くの文字を含むような場合に特に役に立ちます。Webリンクアプリのアイコンには、スプリングボード上からアクセスできます。エンド

ユーザーはこれらのアイコンを使用して、ブラウザを開いたり長いURLを入力することなく、社内コンテンツリポジトリ、またはログイン画面に接続することができま

す。

WorkspaceONEUEMConsoleの [アプリとブック]セクションで、Webリンクをアプリケーションとして追加できます。

重要：VMware生産性アプリ(ブラウザ、Boxer、Content Lockerなど)は、Knoxコンテナのデータ分離における技術的な制約のために、Android(レガ

シー) Knoxコンテナの展開 (デュアルペルソナやコンテナ専用モード)ではサポートされませんWorkspaceONE Intelligent Hubは外部からコンテナを管理し、

内部のアプリと通信することはできません。WorkspaceONEUEMConsoleと通信するためにアプリはWorkspaceONE Intelligent Hubへの直接リンクを必

要とするので、アプリをコンテナ内で構成することはできません。Knoxで生産性アプリを使用するには、デバイスはKnox3.x以上が実行するデバイス上で

Android Enterpriseを使用して登録する必要があります。

Android 向けWorkspace ONE Intelligent HubAndroid 向け AirWatch Hubは、WorkspaceONEUEMが接続するネイティブAndroid SDKAPI管理層を有効にするアプリケーションです。

56



WorkspaceONEUEMはAndroidデバイス上でネイティブAndroid SDKAPIを使用して、管理機能および追跡機能を実現します。ネイティブ Android SDKAPIは、AirWatch Software Development Kit (SDK)を使用している、サードパーティ製アプリケーション、WorkspaceONE Intelligent Hub、およびその他のアプリ

ケーションで利用できます。

AirWatch SDKを使用した場合、アプリケーションは次に示す主要なMDM機能を利用できます。

l 侵害状態のデバイスの検出

l GPS追跡

l テレコム詳細情報

l ネットワーク詳細情報 (例 : IPアドレス)

l バッテリおよびメモリに関する詳細な統計情報

l ネイティブ番号バッジ表示

加入処理が完了したら、WorkspaceONE Intelligent Hubを使用してデバイス情報と設定を表示して管理します。デバイス情報を表示するには、デバイス画面

の左部にある次のタブを使用します。

l マイデバイス –加入済みエンドユーザーの名前、デバイスのフレンドリ名、現在の加入状態、接続方法、および順守状態が表示されます。

l デバイス状態 –現在の加入状態が表示されます。

o デバイスが現在接続しているサーバ

o デバイスが現在加入している組織グループ

o デバイスが現在接続しているWi-FiSSIDに関する情報を含めた現在のネットワーク状態

l 順守 –現在デバイスに適用されている順守ポリシーが一覧表示されます。

l プロファイル –現在デバイスにインストールされているプロファイルが一覧表示されます。プロファイルリストで、同期していないプロファイルを更新したり、アンイ

ンストールしたプロファイルを再適用したりすることができます。

l 管理アプリ –デバイスにインストールされ、WorkspaceONEUEMの管理対象となっているアプリが一覧表示されます。また、各アプリのインストール状態も

表示されます。

l 関連情報 –デバイスにインストールされているWorkspaceONE Intelligent Hubのバージョン番号が表示されます。また、デバイスの加入処理時に同意した

プライバシーポリシーへのリンクが表示されます。

基本的なデバイス管理機能を実行するには、画面上端にあるWorkspaceONE Intelligent Hubメニューを使用します。

l データ送信 –最新のデバイスデータをWorkspaceONEUEMに送信します。

l 同期 –デバイス上の社内ディレクトリサービスデータおよびリソースを同期させます。

l App Catalog –WorkspaceONE Intelligent Hubまたはネイティブウェブブラウザで、アプリケーションカタログを開きます。

その他の機能を利用するには、画面右上隅にあるアプリケーションメニューを使用します。

l 電話番号を編集 –割り当てられている電話番号を修正します。

l デバッグログを送信 –デバイスに関するデバッグログをWorkspaceONEUEMに送信します。

l 加入解除 –WorkspaceONEUEMからデバイスを加入解除します。

Android 6.0 (Marshmallow)以降を搭載しているデバイスでは、アプリやデバイスがアイドル状態のとき、節電機能が実行されます。ユーザーがデバイスの電源

ケーブルを外し、画面を消した状態で一定時間そのままにしておくと、デバイスがスリープモードに移行し、スリープ状態になります。このとき、ネットワーク処理は

実行されません。スリープモードは、WorkspaceONE Intelligent HubがWorkspaceONEUEMに情報を報告する方法に影響します。

デバイスがバッテリで動作しており、かつ、画面が消えている状態が一定時間経過した場合、デバイスはスリープモードに移行し、一部の制限事項が適用され

ます。これにより、アプリケーションによるネットワークアクセスが停止され、また、ジョブと同期処理の実行が延期されます。デバイスがスリープモードに入ってから

一定時間経過すると、WakeLock、アラーム、GPS、Wi-Fiの各設定に対する残りの制限事項が適用されます。

また、アプリスタンバイモードでは、ユーザーがデバイスを操作していないとき、アプリケーションがアイドル状態であると判断されます。デバイスがいずれかのモード

になっている場合、WorkspaceONEUEMConsoleにデバイスの詳細情報は通知されません。ユーザーがデバイスの電源ケーブルを差し込んで充電するか、ま

たはアプリケーションを起動すると、デバイスは通常状態に戻り、デバイスにインストールされているAirWatchアプリケーションからWorkspaceONEUEMConsoleへの通知処理が再開されます。

第 6章 :Android用のアプリケーション管理

57



Android で使用する内部アプリ

内部アプリは、組織で開発する会社固有のアプリです。必ずしもパブリックアプリストアで検索できるようにする必要はなく、ユーザーが自分のデバイスからこのア

プリにアクセスできるようにします。

Android 6.0以降のデバイスをWork管理対象デバイスとして使用する場合は、これらのアプリをWorkspaceONE UEM コンソールに追加して、Androidの特定

ユーザーが使用できるようにします。UEMコンソールに内部アプリを追加した場合、これらのアプリは、パブリックアプリケーションとして扱われます。

AndroidWorkプロファイルデバイス上で社内アプリを展開する場合は、Google Play for Workに社内アプリを追加して、Androidの特定ユーザーが使用できるよ

うにします。エンタープライズ資格情報を使用してGoogle Play開発者コンソールにログインして、アプリをアップロードします。ドメインのユーザーのみがGooglePlay for Work (バッジの付いたプレイストア)でこのアプリを表示できるようにする制限配布と呼ばれるオプションがあります。開発者のコンソールに内部アプリを追

加した場合、これらのアプリは、パブリックアプリケーションとして扱われます。

注 :内部アプリケーションを追加する場合、[アプリベースの VPN プロファイル]トンネルは、現在 Android(レガシー)デバイスのみをサポートしています。ただ

し、AndroidWorkプロファイルおよびWork管理対象デバイスは、すべての内部アプリケーションで [アプリベースの VPN プロファイル]トンネルをサポートする

わけではありません。

Android 用パブリックアプリケーションの追加

WorkspaceONEUEMコンソールからGoogle Playストアを直接検索し、Android統合にアプリを追加します。

1. アプリとブック >パブリック >アプリケーションを追加に進みます。

2. プラットフォームドロップダウンメニューからAndroidを選択します。

3. ソースフィールドからアプリストアを検索を選択します。

4. 次へを選択するか、統合に追加するアプリケーションの名前を入力します。Google PlayストアがWorkspaceONEUEMコンソールから直接開きます。

5. 検索フィールドを使用するかアプリのセクションを参照して、目的のアプリを検索します。

6. 承認を選択します。アプリケーションの権限を確認し、要求に従って承認を確認します。

重要：アプリケーションが更新されている場合は、Google Playストアで再承認を取得する必要はありません。

7. 詳細タブのフィールド値を指定します。

設定説明

名前アプリの名前が表示されます。

App Storeでの表

示

アプリをダウンロードしたりそのアプリに関する情報を取得したりできる、アプリに対するストアレコードが表示されます。

カテゴリアプリの用途を特定するには、カテゴリを使用します。

カスタムアプリカテゴリを構成することも、そのアプリの事前コーディングされたカテゴリをそのまま使用することもできます。

対応モデルこのアプリを実行したいすべてのデバイスモデルを選択します。

アプリをサイレント

インストールのみに

指定する

Android

アプリを、Androidサイレントアンインストール機能をサポートするAndroidデバイスに割り当てます。

WorkspaceONEUEMは、パブリックアプリケーションをサイレントインストールまたはアンインストールできません。ただし、Android標準

デバイスまたはAndroidエンタープライズデバイスにどのアプリをプッシュするかを制御できます。Androidエンタープライズデバイスは、

サイレントアクティビティをサポートします。

管理元このアプリが属する、貴社のWorkspaceONEUEM組織グループ階層内の組織グループを表示します。

8. 利用規約タブで、アプリに対する必要とする利用規約を割り当てます。このフィールド値の指定は任意です。

利用規約にはアプリを使用するにあたっての注意事項を明記します。貴社がエンドユーザーに対して求める内容を明確にします。アプリがデバイスにプッ

シュされると、ユーザーに利用規約が表示されます。アプリを使用するためには規約に同意する必要があります。同意しない場合、ユーザーは該当アプリ

にはアクセスできません。


58



9. SDKタブを選択し、既定またはカスタムのSDK プロファイルとアプリのプロファイルをアプリに割り当てます。SDKプロファイルによって、アプリに高度な管理

機能が適用されます。

10. 保存して割り当てを選択し、アプリに対する｢柔軟な展開｣オプションを構成します。

アプリケーションが承認後にインポートされたことを確認します。コンソールが割り当てグループを指定する次の手順に移動します。

Android 用アプリケーションの割り当て

Google Playストアからアプリを承認した後は、「割り当て」タブでスマートグループにアプリケーションを割り当てるため、WorkspaceONEUEMコンソールにリダイレ

クトされます。


59



1. 割り当てタブから、「割り当てを追加」を選択し、次の詳細を構成します。

設定説明

割り当てられたスマー

トグループ

既存のスマートグループを選択するか新規作成します。

デバイス割り当てを表

示する

割り当てられたスマートグループ内のデバイスが一覧表示されます。

アプリ配信方法アプリのインストールを自動的に行うか (自動 )、必要に応じて手動でインストールするか (オンデマンド)を設定します。

l オンデマンド－コンテンツがカタログなどの展開エージェントに展開されます。コンテンツをインストールするかどうかの判断、

および、コンテンツをインストールするタイミングは、デバイスユーザーが決定します。

組織にとってそれほど重要ではないコンテンツにこのオプションの選択をお勧めします。これは、ユーザーの希望時にアプリ

をダウンロードすることができるので、帯域幅の節約と不必要なトラフィックの制限につながります。

l 自動－デバイス加入処理時に、デバイス上にあるカタログなどの展開 Hubにコンテンツが展開されます。デバイス加入処

理が完了した後、デバイスユーザーは、デバイス上のコンテンツをインストールするよう促されます。

組織とそのモバイルユーザーにとって最も重要なコンテンツには、このオプションの選択をお勧めします。

管理アクセス柔軟な管理を有効にし、デバイスがアプリにアクセスできるようにAirWatchでデバイスを管理するよう設定します。

アプリトンネルアプリケーションレベルで VPNを構成し、「アプリベースのVPNプロファイル」を選択します。ユーザーはVPNを使用してアプリにア

クセスするので、アプリへのアクセスと使用に関して信頼性とセキュリティを確保できます。

Android Legacy このアプリケーションで使用するVPN構成プロファイルを選択します。このフィールドは、アプリトンネルが有効になっている場合に


Android このアプリケーションで使用するVPN構成プロファイルを選択します。このフィールドは、アプリトンネルが有効になっている場合に


プレリリースバージョンアプリのアルファまたはベータ版をプッシュすることを選択します。アプリの本番バージョンを自動的にプッシュしないことを選択しま

す。

アプリケーション構成この機能を有効にすると、特定のアプリのオプションを構成し、その構成をアプリと一緒にデバイスに自動で送信することができ

ます。ユーザーがデバイス上でこれらの構成値を手動で構成する必要はありません。

アプリケーションが

AirWatch SDK を使用

アプリがAirWatch SDK機能を使用しているかどうか、および SDK機能を適用するためのプロファイルが必要かどうかを指定しま

す。

l SDK プロファイルドロップダウンメニューでプロファイルを選択します。このプロファイルは、設定とポリシーで構成された機能

(既定 )、またはプロファイルで構成された個々のプロファイルの機能を適用します。

l アプリケーションプロファイルドロップダウンメニューで証明書プロファイルを選択し、アプリとAirWatchがセキュアに通信でき

るようにします。

例外を追加組織内で生じる通常と異なるユースケースに対しアプリケーションを展開します。

l ユーザーグループとデバイス所有形態タイプを条件エリアの例外に適用します。

l 上書き値を選択し、このオプションに特定の例外を作成します。上書き値オプションはプラットフォームによって異なりま

す。

2. 利用規約タブで、アプリに対する必要とする利用規約を割り当てます。利用規約を必須にする設定はオプションです。利用規約にはアプリを使用するに

あたっての注意事項を明記します。貴社がエンドユーザーに対して求める内容を明確にします。アプリがデバイスにプッシュされると、ユーザーに利用規約

が表示されます。アプリを使用するためには規約に同意する必要があります。同意しない場合、ユーザーは該当アプリにはアクセスできません。

l オンデマンド :デバイスユーザーがアプリカタログからアプリのインストールを選択すると、利用規約が表示されます。

l 自動 :デバイスユーザーがアプリカタログを開くと、利用規約が表示されます。

3. 保存して公開を選択します。エンドユーザーがこのアプリを利用できるようになります。


60



Google Play for Workの有効化

AirWatch v9.0.2の前にAndroidを構成した場合、割り当てられたデバイスでWorkPlayストアにあるAndroidアプリケーションを表示するには、Google Play forWorkを有効にする必要があります。

1. グループと設定 >すべての設定 >デバイスとユーザー > Android > Android EMM 登録に進みます。

2. Play ストアを有効化を選択します。有効にすると、このオプションは「設定」画面に表示されなくなります。

統合機能

AndroidとWorkspaceONEUEMMobile ApplicationManagementを統合すると、次の機能と動作が提供されます。

デバイス上でのAndroidアプリの識別

ブリーフケースアイコンは、Androidのシステムの一部であるアプリケーションを識別します。

Androidアプリへのアクセス

管理対象のGoogle Playから利用できます。


61



第 7章:Androidデバイス管理の概要デバイスの加入作業と構成作業が完了したら、WorkspaceONE™UEMConsoleを使用してデバイスを管理します。各種の管理ツールおよび管理機能を利

用することにより、デバイスを常時監視することや、管理機能をリモートで実行することができます。

UEMコンソールからすべてのデバイスを管理することができます。ダッシュボードの検索や表示形式はカスタマイズが可能で、フィルタ機能で簡単にデバイスを見

つけることができます。指定した条件に当てはまるデバイスを特定し、管理操作を実行します。デバイスのリスト表示には、現在貴社のWorkspaceONEUEM環境に加入しているすべてのデバイスと、その状態が表示されています。[デバイス詳細 ]ページには、デバイス固有の情報が表示されます。たとえば、現在デバ

イスにインストールされている、プロファイル、アプリケーション、WorkspaceONE Intelligent Hubのバージョン、適合 OEMサービスのバージョンなどです。デバイス

詳細画面からデバイスに管理操作をリモートで実行することもできます。詳細画面はプラットフォームにより異なる場合があります。

デバイス管理コマンド

WorkspaceONEUEMコンソールを使用してAndroidの設定と構成を管理することができます。

管理者は、ロックデバイス、ワイプデバイスを含むワンタイムコマンドを実行し、WorkspaceONEUEMコンソールからパスコードを変更することができます。

Lollipopデバイスの場合、これらのコマンドは、デバイスの所有形態に応じてWorkプロファイルまたはWork管理対象デバイスのいずれかのレベルで適用されま

す。

次のコマンドは、このビューから使用できます。

l ロックデバイス –選択したすべてのデバイスをロックし、ユーザーにデバイスのセキュリティ暗証番号を再入力するよう強制します。このオプションは、Workプロ

ファイルとWork管理対象デバイスに適用されます。

l デバイスワイプ –選択したデバイスからデータ、Eメール、プロファイル、MDM機能を含むすべての情報を消去し、デバイスを工場出荷状態に戻します。この

設定は、Work管理対象デバイスタイプにのみ適用されます。

[エンタープライズ工場出荷時の保護 ]が有効になっている場合、ワイプする前に [エンタープライズ工場出荷状態へリセット保護 ]を無効にするためのプロン

プトが表示されます。

l エンタープライズワイプ – Androidデバイスから、WorkプロファイルとWork管理対象デバイスの機能を削除します。

｢デバイスの詳細アプリ｣タブ

WorkspaceONEUEMコンソールの「デバイスの詳細アプリ」タブには、デバイスでパブリックアプリケーションを制御するための代替オプションが含まれています。

管理者は、インストールステータス、アプリケーションの種類、アプリケーションのバージョン、アプリケーション識別子など、アプリケーションに関する情報を表示で

きます。

管理者はアクションメニューのインストールオプションを使用して、アプリケーションをGoogle Play for Workアプリにプッシュできます。その後、デバイスユーザー

は、デバイスにアプリケーションをインストールできます。アクションメニューの削除オプションは、アプリケーションをデバイスからサイレントアンインストールします。

Android 固有のプロファイルの機能

この章で示す機能マトリックスは、主要なOS固有機能の概要です。Android用デバイス管理に利用できる特に重要な機能を挙げています。

62



機能 Work プロファイルWork 管理対象

デバイス

アプリケーション制御

ブラックリストアプリへのアクセスを無効化 ✓ ✓

必須アプリのアンインストールを防止する ✓ ✓

システム更新ポリシーを有効にする ✓

ランタイム権限管理 ✓ ✓

AirWatch Browser

Cookieを許可 ✓ ✓

画像を許可 ✓ ✓

JavaScriptを有効にする ✓ ✓

ポップアップを許可 ✓ ✓

位置情報追跡を許可 ✓ ✓

プロキシ設定を構成する ✓ ✓

Googleセーフサーチを強制 ✓ ✓

YouTubeセーフモードを強制 ✓ ✓

検索にタッチを有効にする ✓ ✓

既定の検索プロバイダを有効化 ✓ ✓

パスワードマネージャを有効にする ✓ ✓

エラーページの場合の代替ページを有効にする ✓ ✓

オートフィルを有効にする ✓ ✓

印刷を有効にする ✓ ✓

データ圧縮プロキシ機能を有効にする ✓ ✓

セーフブラウジングを有効にする ✓ ✓

ブラウザ履歴の保存を無効にする ✓ ✓

セーフブラウジングの警告の後の続行をブロックする ✓ ✓

SPDYプロトコルを無効にする ✓ ✓

ネットワーク予測を有効にする ✓ ✓

古いWebプラットフォームの機能を一時的に有効にする ✓ ✓

セーフサーチを強制する ✓ ✓

シークレットモードの可用性 ✓ ✓

Chromiumへのサインインを許可する ✓ ✓

検索候補を有効にする ✓ ✓

翻訳を有効にする ✓ ✓

ブックマークを許可する ✓ ✓

特定のURLへのアクセスを許可する ✓ ✓

特定のURLへのアクセスをブロックする ✓ ✓

SSLの最小バージョンを設定する ✓ ✓

第 7章 :Androidデバイス管理の概要

63



機能 Work プロファイルWork 管理対象

デバイス

パスコードのポリシー

ユーザーに新しいパスコードを設定させる ✓ ✓

パスワード試行回数の上限 ✓ ✓

簡易なパスコードを許可 ✓ ✓

英数字のパスワードを許可する ✓ ✓

デバイスロック猶予時間 (分 )を設定する ✓ ✓

パスコードの最長有効期間を設定する ✓ ✓

パスワード履歴の長さ ✓ ✓

パスワード履歴の長さ ✓ ✓

パスコード最小文字数を設定する ✓ ✓

最小の数字数を設定する ✓ ✓

最小の小文字数を設定する ✓ ✓

最小の大文字数を設定する ✓ ✓

最小の大文字数を設定する ✓ ✓

特殊文字の最小数を設定する ✓ ✓

最小のシンボル数を設定する ✓ ✓

コマンド

エンタープライズワイプを許可する ✓ ✓

デバイスワイプを許可する ✓

コンテナまたはプロファイルワイプを許可する ✓

SDカードワイプを許可する ✓

デバイスロック ✓ ✓

ロックコンテナまたはプロファイルを許可する

Eメール

ネイティブ Eメール構成 ✓ ✓

連絡先とカレンダーの同期を許可する ✓ ✓

ネットワーク

VPNタイプを構成する ✓ ✓

アプリベースVPNを有効にする( 特定のVPNクライアントにのみ使用可能 ) ✓ ✓

認証にWebログオンを使用する( 特定のVPNクライアントにのみ使用可能 ) ✓ ✓

HTTPグローバルプロキシを設定する ✓ ✓

Wi-Fiへのデータ接続を許可する ✓ ✓

常時 VPNに接続する ✓ ✓

暗号化

デバイス全体の暗号化を必須にする ✓ ✓

暗号化ステータスをレポートする

*


64



Android 固有の制限事項

このマトリックスは、利用可能な制限プロファイルの構成についてデバイス所有形態タイプごとに概要をまとめたものです。

機能

Work 管

理対象

デバイス

モード

Work プロファイルモード

デバイス機能

工場出荷状態リセットを許可 ✓ ✓

スクリーンキャプチャを許可 ✓ ✓

Googleアカウントの追加を許可する ✓ ✓

Android Workアカウントの削除を許可する ✓

発信通話を許可する ✓

SMSの送受信を許可する ✓

資格情報の変更を許可する ✓

すべてのキーガード機能を許可する ✓

キーガード使用中、カメラを許可する ✓

キーガード使用中、通知を許可する ✓

キーガード使用中、指紋センサーを許可する ✓ ✓

キーガード使用中、Trust Hub Stateを許可する ✓ ✓

キーガード使用中、未編集通知を許可する ✓

AC充電ケーブルが接続されているときは画面を常に

オンにする (Android 6.0以降 )✓

USB充電ケーブルが接続されているときは画面を常に

オンにする (Android 6.0以降 )✓

ワイヤレス充電を行っているときは画面を常にオンにす

る (Android 6.0以降 )✓

壁紙の変更を許可する (Android 7.0以降 ) ✓

ステータスバーを許可 ✓

キーガードを許可する (Android 6.0以降 ) ✓

ユーザーの追加を許可する

ユーザーの削除を許可する

セーフブートを許可する (Android 6.0以降 ) ✓

壁紙の変更を許可する (Android 7.0以降 )

ユーザーアイコンの変更を許可する (Android 7.0以降 )

✓ ✓

アカウントの追加 /削除を許可する ✓ ✓

アプリケーション

カメラを許可 ✓ ✓

Google Playを許可 ✓ ✓

Chromeブラウザを許可する ✓


65



機能

Work 管

理対象

デバイス

モード


アプリストア外のアプリケーションのインストールを許可 ✓ ✓

設定でアプリケーション変更を許可する ✓

アプリケーションのインストールを許可する ✓ ✓

アプリケーションのアンインストールを許可する ✓ ✓

アプリケーション認証の無効化を許可する ✓ ✓

アクセシビリティサービスのホワイトリスト設定を許可す

る

✓

同期とストレージ

USBのデバッグを許可 ✓

USBストレージを許可**** ✓

物理ストレージメディアのマウントを許可 ✓

USBファイル転送を許可する ✓

バックアップサービスを許可する( Android 8.0以降 ) ****

ネットワーク

Wi-Fiの変更を許可する ✓

Bluetoothを許可 ✓

Bluetooth連絡先の共有を許可する( Android 8.0以降 ) *****

✓

Bluetoothの発信の接続を許可する***** ✓ ✓

すべてのテザリングを許可 ✓

VPN変更を許可する ✓

モバイルネットワークの変更を許可する ✓

NFCを許可 ✓

管理 Wi-Fiプロファイルの変更を許可する ✓

仕事用と個人用

業務用と個人用のアプリ間でクリップボードの貼り付

けを許可する

✓

業務アプリが個人アプリのファイルにアクセスすることを

許可する

✓

個人アプリが業務アプリのファイルへアクセスすることを

許可する

✓

個人アプリが業務アプリとファイルを共有することを許

可する

水

業務アプリが個人アプリとファイルを共有することを許

可する

業務用連絡先の発信者 IDを電話画面に表示する

ことを許可する

✓


66



機能

Work 管

理対象

デバイス

モード


業務用ウィジェットを個人用ホーム画面に追加するこ

とを許可する

✓

個人用連絡先アプリへの業務用連絡先の入力を

許可する (Android 7.0以降 )

位置情報サービス

管理対象デバイスのみに適用されます。

｢位置情報へのアクセスを許可しない｣を許可する ✓ ✓

位置情報アクセスを許可する ✓ ✓

GPS位置情報のみを許可 ✓ ✓

バッテリ節約モードを許可。位置情報更新のみ。 ✓ ✓

精度の高い位置情報のみを許可 ✓ ✓

Samsung KnoxSamsung Knox 設定は、[OEM 設定 ] フィールドが [有効 ] に切り替えられ、[OEM の選択 ]フィールドで [Samsung] が選択された場合にのみ表示されます。

デバイス機能

機内モードを許可 ✓

マイクを許可 ✓

疑似ロケーションを許可 ✓

クリップボードを許可 ✓

電源オフを許可 ✓

Homeキーを許可 ✓

マイクが有効設定の場合、音声録音を許可 ✓

カメラが許可されている場合、ビデオ録画を許可 ✓

Eメールアカウントの削除を許可 ✓

デバイスがアイドル状態の時、アクティビティの中断を

許可

✓

ユーザーによるバックグラウンドプロセス上限の設定を

許可

✓

ヘッドフォンを許可 ✓

同期とストレージ

SDカードの移動を許可 ✓

ワイヤレス更新を許可 ✓

Googleアカウント自動同期を許可 ✓

SDカードに書き込みを許可 ✓

USBホストストレージの許可 ✓

アプリケーション


67



機能

Work 管

理対象

デバイス

モード


設定の変更を許可 ✓

開発者オプションを許可 ✓

バックグラウンドデータを許可 ✓

音声ダイヤル機能を許可 ✓

Googleのクラッシュレポートを許可 ✓

S Beamを許可 ✓

資格情報のプロンプト表示を許可 ✓

S Voiceを許可 ✓

ユーザーがシステム署名のアプリケーションを停止する

ことを許可する

✓

BluetoothBluetooth経由でのデスクトップの接続を許可 ✓

Bluetoothのデータ転送を許可 ✓

Bluetooth経由の発信を許可します ✓

Bluetoothの検出モードを許可 ✓

Bluetoothのセキュアモードを許可 ✓

ネットワーク

Wi-Fiを許可 ✓

Wi-Fiプロファイルを許可 ✓

セキュアでないWi-Fiを許可 ✓

セキュアなVPN接続のみを許可 ✓

VPNを許可 ✓

自動接続 Wi-Fiを許可 ✓

セルラーデータを許可 ✓

Wi-Fi Directを許可 ✓

ローミング

ローミング時の自動同期を許可 ✓

ローミングが無効な場合、すべての自動同期を許可

する

✓

ローミング通話を許可 ✓

ローミング中のデータ使用 ✓

ローミング時のプッシュメッセージを許可 ✓

電話とデータ

緊急 (警察・救急 )以外の通話を許可 ✓

モバイルデータの制限設定をユーザーに許可 ✓


68



機能

Work 管

理対象

デバイス

モード


WAPプッシュを許可 ✓

ハードウェア制限

Menuキーを許可 ✓

Backキーを許可 ✓

｢検索｣キーを許可 ✓

タスクマネージャを許可 ✓

システムバーを許可 ✓

｢音量｣キーを許可 ✓

セキュリティ

ロック画面の設定を許可 ✓

ファームウェアリカバリの許可 ✓

テザリング

USBテザリングを許可 ✓

MMS の制限事項

MMSの受信を許可する ✓

MMSの送信を許可する ✓

その他

デバイスのフォントを設定 ✓

デバイスのフォントサイズを設定 ✓

ユーザーにシステム署名済みアプリの使用停止を許

可

✓

セキュアなVPN接続のみを許可 ✓


69



vmwareairwatchandroid プラットフォーム ガイド ·...

Documents

vmwareairwatchandroid プラットフォームガイド ·...