Android ぜ㌲㜰尳㔱ぜ㌰㌰尳ぜ㌲㔰尲㔱ぜ㌷㐰尳 …Android のネットワーク要件エンドユーザーデバイスがアプリケーションとサービスにアクセスするには、特定のエンドポイントに到達できる必

Android プラットフォームVMware Workspace ONE UEM 1902

Android プラットフォーム

VMware, Inc. 2

VMware Web サイトで最新の技術ドキュメントをご確認いただけます。

https://docs.vmware.com/jp/

VMware の Web サイトでは、最新の製品アップデートを提供しています。

本書に関するご意見、ご要望をお寄せください。フィードバック送信先：

[email protected]

Copyright © 2019 VMware, Inc. All rights reserved. 著作権および商標.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

ヴイエムウェア株式会社

105-0013　東京都港区浜松町 1-30-5浜松町スクエア 13Fwww.vmware.com/jp

https://docs.vmware.com/jp/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

内容

1 概要 6

Workspace ONE UEM と Android の統合 6

Android の展開要件 6

Android のネットワーク要件 8

Android の加入制限事項 9

Android で使用される重要な用語 9

Android デバイスのモードの概要 10

2 Workspace ONE UEM への Android の登録 13

管理対象の Google Play アカウントを使用して Android EMM を登録する 14

管理対象 Google ドメインを使用して Android EMM を登録する（G Suite ユーザー） 14

Google サービスアカウントのセットアップ 15

Google 管理者コンソールのセットアップ 16

EMM トークンの生成 17

EMM トークンのアップロード 17

ユーザーセットアップ 18

AirWatch からのドメインのバインド解除 20

3 Android デバイス加入の概要 21

デバイスとユーザー/Android/Android EMM 登録 21

Android デバイスのデバイス保護 22

自動検出による加入 23

サブ組織グループからの自動検出加入を構成する 23

メイン組織グループからの自動検出加入を構成する 23

Work 管理対象デバイスの加入を構成する 24

AirWatch Relay を使用した Work 管理対象デバイスの加入 27

AirWatch 識別子を使用した Android デバイスの加入 37

QR コードを使用した Android デバイスモードの加入 37

ゼロタッチポータルを使用した Android デバイスの加入 39

企業が所有し、個人に対応の加入を構成する 43

Work プロファイルモードへの Android デバイスの加入 45

Zebra Stage Now 46

4 Android プロファイルの概要 49

パスコードプロファイル (Android) 51

パスコード設定の適用 (Android ) 51

ロック画面オーバーレイを構成する (Android) 53

VMware, Inc. 3

Chrome ブラウザ設定の適用 (Android) 54

Chrome ブラウザ設定マトリックス (Android) 56

制限事項プロファイル (Android) 59

制限事項の適用 (Android) 59

Exchange ActiveSync (EAS) の有効化 (Android) 60

プロファイルを自動更新する 61

資格情報 (Android) 62

資格情報を展開する (Android) 62

カスタムメッセージを作成する 62

アプリケーション制御 (Android) 63

アプリケーション制御を構成する (Android) 63

プロキシ設定を構成する (Android) 64

システム更新の有効化 (Android) 64

Wi-Fi プロファイル (Android) 65

Wi-Fi アクセスを構成する (Android) 65

VPN を構成する (Android) 66

アプリベース VPN を構成する (Android) 67

権限の設定 (Android) 68

シングルアプリモードを構成する (Android) 69

シングルアプリモードのベストプラクティス (Android) 69

日付/時刻を設定する 70

AirWatch Launcher プロファイルを作成する (Android) 71

ファイアウォールルールを構成する (Android) 72

APN プロファイルを構成する 73

エンタープライズ工場出荷状態リセット保護 74

エンタープライズ工場出荷状態へリセットの保護を構成する (Android) 74

Zebra MX プロファイルの構成 (Android) 74

カスタム設定の使用 (Android) 76

5 共有デバイス 78

共有デバイス機能を使用するために Android を構成する 80

共有デバイスを構成する 81

共有デバイスの階層を定義する 81

共有 Android デバイスのログイン/ログアウト 82

6 Android 用のアプリケーション管理 84

Android 向け Workspace ONE Intelligent Hub 85

Android で使用する内部アプリ 87

Android 用パブリックアプリケーションを追加する 87

Android 用アプリケーションの割り当て 88

Google Play を有効化 90

統合機能 90


VMware, Inc. 4

Android での Samsung ネイティブ E メール 90

Samsung E メール用のアプリ構成をセットアップする 91

7 Android デバイス管理の概要 93

デバイス管理コマンド (Android) 93

｢デバイスの詳細アプリ｣タブ 94

SafetyNet の構成証明 94

SafetyNet の構成証明を有効にする 94

Android 固有のプロファイルの機能 95

Android 固有の制限事項 97


VMware, Inc. 5

概要 1

この章には、次のトピックが含まれています。

n Workspace ONE UEM と Android の統合

n Android の展開要件

n Android のネットワーク要件

n Android の加入制限事項

n Android で使用される重要な用語

n Android デバイスのモードの概要

Workspace ONE UEM と Android の統合VMware Workspace ONE UEM™ は、Android デバイスの展開時にデバイス加入、セキュリティ保護、構成、および管理を行うための、堅牢なモビリティ管理ソリューションセットです。Workspace ONE UEM コンソールには、企業所有デバイスと個人所有デバイスのライフサイクル全体を管理するための、自在に使えるいくつものツールと機

能が用意されています。

このガイドでは、Workspace ONE UEM を Enterprise Mobility Manager (EMM) として Android デバイスと統合する方法について説明します。

Android for Work は、企業での Android デバイス導入を促進するため、2015 年に発表されました。Google は、ほとんどの Android デバイスで使用可能な Android for Work 機能の実装に努めてきました。Workspace ONE UEMコンソールリリース v9.4 以降、Workspace ONE UEM は、単純な命名規則を採用しています。Android for Workという名前は Android に変更され、新規加入時の既定の展開方法になっています。このガイドでは、この展開方法について説明します。VMware AirWatch の既存のお客様は、大量のデバイスを管理するために Android (Legacy)を使用した Android 展開を引き続きご利用いただけます。Android (Legacy) 管理については、『VMware AirWatchAndroid(Legacy) プラットフォームガイド』を参照してください。

Android の展開要件Android デバイスを展開する前に、次に示す前提条件、加入要件、サポート資料、および AirWatch チームからの注意事項を確認してください。

VMware, Inc. 6

サポートされる OS

Android 5.X.X (Lollipop)

注: Workspace ONE UEM は、Android 4.1 以降のデバイスでの製品のプロビジョニングをサポートします。詳細については、「VMware AirWatch Product Provisioning for Android Guide」を参照してください。

Android 6.X.X

Android 7.X.X

Android 8.X.X

Android 9.X.X

Android デバイスは、Google Play ストアと通信できる必要があります。デバイスが Google Play 統合をサポートしていない場合は、Android (Legacy) の展開を参照してください。

加入要件

貴社で展開しているそれぞれの Android デバイスと AirWatch 間の通信を確立し、Android デバイス上で貴社のコンテンツや機能を利用できるようにするには、はじめに Android デバイスを AirWatch に加入する必要があります。デバイスを加入するには以下の情報が必要になります。

E メールドメインが貴社環境に関連付けられている場合 – 自動検出を使用する場合

n [E メールアドレス] – 貴社に関連付けられている E メールアドレス。例: [[email protected]]

n [資格情報] – この [ユーザー名] と [パスワード] を使用して AirWatch 環境にアクセスします。資格情報は、ネットワークディレクトリサービスの資格情報と同じ場合も、Workspace ONE UEM コンソールで一意に定義されている場合もあります。

E メールドメインが貴社環境に関連付けられている場合 – 自動検出を使用しない場合

ドメインが貴社環境と関連付けられていない場合は、E メールアドレスの入力を求められます。自動検出機能が無効になっているため、以下の情報を入力するよう要求されます。

n [加入 URL] – この URL はお客様の加入環境に一意に割り当てられます。この URL をクリックして加入画面を直接開くことができます。例: [mdm.acme.com/enroll]

n [グループ ID] – このグループ ID は各デバイスを企業内役割と関連付けます。これは Workspace ONE UEM コンソールで定義されます。

n [資格情報] – この一意のユーザー名とパスワードのペアを使用して AirWatch 環境にアクセスします。資格情報は、ネットワークディレクトリサービスの資格情報と同じ場合も、Workspace ONE UEM コンソールで一意に定義されている場合もあります。

Workspace ONE Intelligent Hub をダウンロードして Android デバイスを加入するには以下の情報が必要になります。

n [加入 URL] – 加入 URL は AWAgent.com で、これは AirWatch に加入するすべてのユーザー、組織、デバイスに共通です。


VMware, Inc. 7

Android のネットワーク要件エンドユーザーデバイスがアプリケーションとサービスにアクセスするには、特定のエンドポイントに到達できる必要があります。Android のネットワーク要件は、エンタープライズ管理 API の現在および過去のバージョンの既知のエンドポイントのリストです。

表 1‑1. ファイアウォールルール

送信先ホストポートこのガイドの目的

play.google.com、android.com、google-analytics.com、googleusercontent.com、*gstatic.com、*gvt1.com*、*ggpht.com、dl.google.com、dl-ssl.google.com

TCP/443TCP、UDP/5228-5230 Google Play およびアップデート

gstatic.com、

googleusercontent.com - ユーザーにより生成されたコンテンツ（ストア内のアプリアイコンなど）を含みます。

*gvt1.com、*.ggpht、dl.google.com、dl-ssl.google.com、android.clients.google.com - アプリケーションおよびアップデート、PlayStore API をダウンロードします。

* googleapis.com TCP/443 EMM/Google API/PlayStore API

accounts.google.com、accounts.google.[country]

TCP/443 認証。accounts.google.[country] の場合、[country] のローカル最上位ドメインを使用します。たとえば、オーストラリアには

accounts.google.com.au を、英国にはaccounts.google.co.uk を使用します。

gcm-http.googleapis.com、gcm-xmpp.googleapis.com、android.googleapis.com

TCP/443、5228-5230、5235、5236 Google Cloud Messaging（構成のプッシュのような、EMM コンソールと DPC の間の通信など）

fcm.googleapis.com、fcm-xmpp.googleapis.com

TCP/443、5228-5230 Firebase Cloud Messaging（構成のプッシュのような、マイデバイスを探す、EMM コンソールと DPC の間の通信など）

pki.google.com、clients1.google.com TCP/443 証明書失効リストによる、Google 発行の証明書の確認

clients2.google.com、clients3.google.comclients4.google.com、clients5.google.com、clients6.google.com

TCP/443 クラッシュレポート、Chrome ブックマーク同期、時間同期 (tlsdate) など、さまざまなGoogle バックエンドサービスで共有されているドメイン

omahaproxy.appspot.com TCP/443 Chrome のアップデート


VMware, Inc. 8

表 1‑1. ファイアウォールルール (続き)

送信先ホストポートこのガイドの目的

android.clients.google.com TCP/443 NFC プロビジョニングで使用されるCloudDPC ダウンロード URL

connectivitycheck.android.comwww.google.com

TCP/443 CloudDPC v470 Android 接続チェック前のN MR1 で開始される接続チェックでは、https://www.google.com/generate _204が到達可能であるか、特定の WiFi ネットワークが到達可能な PAC ファイルを指し示している必要があります。

このリストは一例にすぎず、変更される可能性があります。

Android の加入制限事項加入制限事項により、既知のユーザー、ユーザーグループ、許可される加入デバイスの数などの制限を設定した加入をプロビジョニングできます。

Android の製造元およびモデルに基づく加入制限事項を作成し、承認されたデバイスのみ許可されるようにすることができます。

これらのオプションを有効にするには、[グループと設定] - [すべての設定] - [デバイスとユーザー] - [全般] - [加入] の順に進み、[制限] を選択します。[制限] タブを選択すると、加入制限事項ポリシーを組織グループやユーザーグループのロール別にカスタマイズできます。

Android で使用される重要な用語Android に関連付けられるこれらの重要な用語は、ユーザーに対する設定を構成および展開する方法を理解するのに役立ちます。

n [Work プロファイル] – プロファイル所有者とも呼ばれる、Work プロファイルモードは、デバイスにビジネスアプリケーションとコンテンツのみの専用コンテナを作成します。Work プロファイルモードは、組織がビジネスのデータとアプリケーションを管理し、ユーザーの個人データとアプリにはアクセスできないようにします。

Android アプリは、ブリーフケースアイコンで表示され、個人アプリと区別できます。詳細は、「「Android デバイスのモードの概要」」を参照してください。

n [Work 管理対象デバイス] – Work 管理対象デバイスモードは、デバイス所有者とも呼ばれ、範囲はデバイス全体です。デバイスに個人の部分はなく、Workspace ONE Intelligent Hub からプッシュされた API がデバイス全体に適用されます。Work 管理対象デバイスモードは、プロビジョニングされていない状態で開始するデバイスに適用され、別のプロビジョニングプロセスを介して Workspace ONE Intelligent Hub をインストールしてデバイス全体の Workspace ONE Intelligent Hub の完全な制御を許可します。詳細は、「「Android デバイスのモードの概要」」を参照してください。

n [企業所有の個人利用] – 企業所有の個人利用 (COPE) は、企業が所有するデバイスを表しており、Work 管理対象デバイスと似ていますが、個人と企業の両方の使用に対応する Work プロファイルがプロビジョンされます。詳細は、「Android デバイスのモードの概要」を参照してください。


VMware, Inc. 9

n [管理対象の Google アカウント] – Android に使用するデバイスに登録した Google アカウントを参照して、Google Play から Android アプリの管理を提供します。このアカウントは、Android 構成を管理するドメインによって管理されます。

n [Google サービスアカウント] – Google サービスアカウントは、G Suite のお客様向けに推奨される GoogleAPI にアクセスするアプリケーションによって使用される特別な Google アカウントです。

n [EMM トークン] – 管理対象の Google アカウントに Workspace ONE UEM コンソールを接続するためにWorkspace ONE UEM が使用する一意の ID です。

n [管理対象 Google ドメイン] – エンタープライズに関連付けられている Android を有効にするために要求されるドメインです。

n [Google ドメインのセットアップ] – 管理対象の Google ドメインを要求するための Google プロセスです。

n [G Suite] – クラウドコンピューティング、生産性およびコラボレーションツール、Google によって開発されたソフトウェアおよびプロダクトのプッシュ元となる Google のブランドです。

n [AirWatch Relay] – 管理者が Workspace ONE UEM に Android デバイスを一括加入するために使用する、Workspace ONE UEM アプリケーションです。

n [NFC バンプ] – これは、AirWatch Relay アプリを使用して、子デバイスに親デバイスから情報を渡す間に行われます。

Android デバイスのモードの概要IT 管理者は、Android の組み込み管理機能を利用して、業務専用に使用されるデバイスを詳細に管理できます。

組織内で使用されているデバイスの所有形態に応じて、Android には 2 つのモードが用意されています。[Work プロファイル] (プロファイル所有者とも呼ばれる) は、デバイスに業務アプリケーションとデータのみの専用領域を作成します。これは、個人デバイスの業務利用 (BYOD) アプリケーションに最適な展開です。[Work 管理対象デバイス] モードを使用すると、Workspace ONE UEM および IT 管理者はデバイス全体を制御し、Work プロファイルには利用できない幅広いポリシー制御を適用できますが、デバイスは企業の使用にのみ制限されます。[企業が所有し、個人に対応 (COPE)] モードは企業が所有するデバイスを表しており、Work 管理対象デバイスと似ていますが、個人と企業の両方の使用に対応する Work プロファイルがプロビジョンされます。

Work プロファイルモードの機能

Work プロファイル内のアプリケーションは、赤色のブリーフケースアイコンによって区別され、バッジアプリとも呼ばれます。ユーザーの個人用アプリと統合されたランチャー内に表示されます。たとえばデバイスに GoogleChrome の個人用アイコンと、バッジで区別される Work Chrome 用のアイコンの両方が表示されます。エンドユーザーからは 2 つの異なるアプリケーションのように見えますが、アプリのインストールは 1 回だけで、ビジネスデータと個人データが別々に格納されています。

Workspace ONE Intelligent Hub はバッジ付きであり、Work プロファイルデータ領域内のみに存在します。個人用アプリは制御できず、Workspace ONE Intelligent Hub には個人情報へのアクセス権がありません。

Work Chrome、Google Play、Google 設定、連絡先、カメラなど、既定で Work プロファイルに含まれているシステムアプリケーションは多数ありますが、制限事項プロファイルを使用して非表示にできます。


VMware, Inc. 10

一部の設定は、個人用と業務用の構成の間に区切りが表示されます。次の設定で別々の構成が表示されます。

n [資格情報]：管理対象デバイスへのユーザー認証用の社内証明書を表示します。

n [アカウント]：Work プロファイルに関連付けられている管理 Google アカウント。

n [アプリケーション]：デバイスにインストールされているすべてのアプリケーションを一覧表示します。

n [セキュリティ]：デバイスの暗号化ステータスを表示します。

Work 管理対象デバイスモードの機能

Work 管理対象デバイスのモードでデバイスが加入すると、真の企業所有モードが作成されます。Workspace ONEUEM がデバイス全体を制御し、業務データと個人データの区切りがありません。

Work 管理対象モードで注意すべき重要な点は次のとおりです。

n ホーム画面には、Work プロファイルモードのようなバッジアプリケーションは表示されません。

n ユーザーは、デバイスのアクティベーション時に事前ロードされていたさまざまなアプリケーションにアクセス

できます。追加のアプリケーションは、Workspace ONE UEM コンソールを通じてのみ承認および追加できます。

n Workspace ONE Intelligent Hub は、セキュリティ設定でデバイス管理者として設定され、無効にできません。

n Work 管理対象モードのデバイスを加入解除すると、デバイスの工場出荷状態リセットを要求されます。

企業所有の個人利用 (COPE) モード

COPE モードを使用してデバイスを加入する場合、引き続きデバイス全体を制御します。COPE モードに独自の機能は、デバイス用と Work プロファイルの内部用に 2 つの別個のポリシーのセット（制限など）を適用できることです。

COPE モードは、Android 8.0 以降のデバイスでのみ使用可能です。Android 8.0 より前の Android デバイスを加入する場合、Work 管理対象デバイスとして自動的に加入します。

デバイスを COPE モードに加入する際に考慮すべき事項があります。

n SDK を使用した PIN ベースの暗号化と AirWatch シングルサインオンは、企業所有の個人利用デバイスではサポートされていません。Work アプリケーションを使用するときに必ずパスコードを使用するために、Work パスコードを適用することができます。

n シングルユーザーの代理セットアップおよびマルチユーザーの代理セットアップは、COPE 加入にはサポートされていません。

n （AirWatch でホストされている）内部アプリケーションおよび COPE デバイスに展開されているパブリックアプリケーションは、Work プロファイル内のアプリケーションのカタログに表示されます。

n Work プロファイルのみの加入と同様に、企業所有の個人利用デバイスには、たとえばユーザーが休暇中の場合などにWork プロファイルを無効にするオプションがあります。Work プロファイルが無効になっていると、Work アプリケーションは通知を表示しなくなり、起動できません。Work プロファイルの状態（有効または無効）が、管理者に対して [デバイス詳細] ページに表示されます。Work プロファイルが無効になっている場合、最新のアプリケーションとプロファイル情報を Work プロファイルから取得できません。


VMware, Inc. 11

n Workspace ONE Hub は、企業所有の個人利用デバイスの [Work 管理対象] および [Work プロファイル] セクションにあります。Workspace ONE Hub が Work プロファイルの内部と外部の両方にあることで、管理ポリシーを Work プロファイル内とデバイス全体に適用できます。ただし、Workspace ONE Hub は Work プロファイル内にのみ表示されます。

n デバイスにプッシュ通知が送信されると、Work プロファイルの外部の Workspace ONE Hub は一時的に使用可能になり、ユーザーはメッセージを表示できます。これにより、Work プロファイルが一時的に無効になっている場合でも、重要なメッセージがユーザーに送信されます。

n 割り当てられたプロファイルは、Work プロファイルで Workspace ONE Hub を使用して表示できます。

n アプリケーション管理（アプリケーションのブロック/削除など）の順守ポリシーは、Work プロファイル内のアプリケーションにのみサポートされます。アプリケーションは、アプリケーション制御プロファイルを使用して

（Work プロファイルの外部で）デバイスにブラックリスト登録することができます。

n 企業情報ワイプを実行すると、企業所有の個人利用デバイスは工場出荷状態にリセットされます。


VMware, Inc. 12

Workspace ONE UEM への Android の登録 2Android デバイスの管理を開始するには、Workspace ONE UEM を貴社のエンタープライズモビリティ管理 (EMM)プロバイダとして Google に登録する必要があります。Workspace ONE UEM コンソールの「はじめに」画面では、デバイス全体をセキュリティで保護し、管理するために必要なエンタープライズ管理ツールの構成に役立つステッ

プバイステップソリューションを提供します。

Android を構成する 2 つの方法、管理対象 Google Play アカウントを使用する (推奨) または管理対象 Google ドメインを使用する (Google 推奨 G Suite のお客様向け) があります。管理対象 Google Play アカウントは、企業が GSuite を使用しない場合に使用するもので、個人用 Google アカウントを使用して組織内で Android を複数構成することが可能になります。Workspace ONE UEM は、このアカウントを管理し、Active Directory の同期や Google検証は必要ありません。

管理対象 Google ドメイン (G Suite) を使用した Android 設定では、貴社が Google ドメインを設定し、ドメインを所有していることを証明するための検証プロセスに従う必要があります。このドメインは 1 つの検証済み EMM アカウントのみにリンクできます。セットアップには、Google サービスアカウントの作成と、EMM プロバイダとして Workspace ONE UEM の構成が含まれます。既存の Google アカウントと競合しないよう、組織で使用するAndroid 専用の Google アカウントを作成することを検討してください。

Google サービスアカウントは特別な Google アカウントです。Google API にアクセスするアプリケーションで使用し、貴社のビジネスに対して管理対象 Google ドメイン方法を使用する Android を設定するときに必要です。Google サービスアカウント認証情報は、Android アカウントを構成するとき、または管理対象 Google Play アカウントを使用して登録するときに自動的に入力されます。Android アカウントの設定中にエラーが発生した場合、Workspace ONE UEM コンソールの設定を消去し、もう一度試すか、アカウントを手動で作成します。Google アカウントの場合は、いずれかのセットアップ方法の前に、Google サービスアカウントの作成を検討してください。

Google アカウントを変更または管理者設定に変更を加えるには、Workspace ONE UEM コンソールからアカウントのバインドを解除する必要があります。

重要: Android の設定には、VMware AirWatch によって管理されていないサードパーティツールの統合が含まれます。このガイドでの Google 管理者コンソールと Google 開発者コンソールの詳細については、2018 年 1 月時点で入手可能なバージョンがドキュメント化されています。サードパーティ製品との統合は、サードバーティソリューションが適切に機能することに依存するため、保証されていません。


n 管理対象の Google Play アカウントを使用して Android EMM を登録する

n 管理対象 Google ドメインを使用して Android EMM を登録する（G Suite ユーザー）

VMware, Inc. 13

n AirWatch からのドメインのバインド解除

管理対象の Google Play アカウントを使用して Android EMM を登録する

Workspace ONE UEM コンソールを使用して、シンプルなセットアッププロセスを完了し、UEM コンソールを EMMプロバイダとして Google にバインドすることができます。

前提条件

「Android EMM 登録」ページがブロックされている場合は、内部および外部のエンドポイントと通信するネットワークアーキテクチャで Google URL が有効になっていることを確認します。詳細については、推奨するアーキテクチャガイドを参照してください。

手順

1 [はじめに] - [Workspace ONE] - [Android EMM 登録] の順に進みます。

2 [構成] を選択すると、「Android EMM 登録」ページにリダイレクトされます。

3 [Google に登録する] を選択します。Google 資格情報を使用してすでにサインインしている場合は、WorkspaceONE コンソールにリダイレクトされます。

4 まだサインインしていない場合は [サインイン] を選択して、Google 認証情報を入力して、[開始] を選択します。

5 [組織名] を入力します。エンタープライズモビリティ管理 (EMM) プロバイダフィールドには AirWatch として自動的に入力されます。

6 [確認] - [登録を完了] を選択します。Workspace ONE コンソールにリダイレクトされます。Google サービスアカウント認証情報が自動的に入力されます。

7 [保存] - [テスト接続] を選択して、サービスアカウントがセットアップされて正常に接続されていることを確認します。

次のステップ

UEM Console で設定が消去されている場合、Google の登録に移動すると、セットアップを完了するように求めるメッセージが表示されます。セットアップを完了するために Workspace ONE Console にリダイレクトされます。

管理対象 Google ドメインを使用して Android EMM を登録する（GSuite ユーザー）Google を使用するドメイン所有権の検証、EMM トークンの取得、このタイプのセットアップを使用するエンタープライズサービスアカウントの作成など、いくつかの手動タスクを完了します。

前提条件

管理対象 Google ドメインを使用してアカウントを設定するには、すでに使用していない場合は、Google ドメインを設定するための組織が必要です。


VMware, Inc. 14

手順

1 [はじめに] - [Workspace ONE] - [Android EMM 登録] の順に進みます。

2 [登録] を選択して Android セットアップウィザードにリダイレクトし、次の 3 つの手順を完了します。

a トークンを生成：貴社のドメインを Google に登録して、エンタープライズトークンを取得します。

b トークンをアップロード：Android セットアップウィザードに、EMM トークンを入力します。

c ユーザーセットアップ：貴社全体で使用するユーザーを作成する方法を構成します。

3 [Google に移動] を選択します。G Suite サイトにリダイレクトされます。

4 貴社を登録し、ドメインを確認します。

Google サービスアカウントのセットアップ

Google サービスアカウントは、アプリケーションが Google API にアクセスするために使用する特別な Google アカウントです。一度にすべての情報をアップロードできるように、EMM トークンを生成した後でこのアカウントを作成する必要があります。Android を展開するために Google アカウント方法を使用している場合のみ、このアカウントが必要です。

手順

1 Google Cloud Platform の Google Developers Console に移動します。

2 Google 資格情報でサインインします。

Google 管理者の資格情報は、ビジネスドメインと関連付ける必要はありません。既存の Google アカウントと競合しないよう、組織で使用する Android 専用の Google アカウントを作成することを検討してください。

3 「プロジェクトを選択」メニューのドロップダウンメニューを使用して、[プロジェクトを作成] を選択します。

4 「新しいプロジェクト」ウィンドウで、[プロジェクト名] を入力し、API プロジェクトを作成します。命名規則として Android EMM-CompanyName という形式の使用を検討してください。

5 利用条件に同意し、[作成] を選択します。

プロジェクトが生成され、Google Developer Console が API マネージャページにリダイレクトします。

6 Android の [API とサービス] ダッシュボードから [API とサービスの有効化] を選択します。

7 次の API を検索して有効にします：[Google EMM API] および [Admin SDK API]。

プロジェクトを作成して API を有効にしたら、Google Developer's Console でサービスアカウントを作成します。

8 [API とサービス] - [資格情報] - [資格情報を作成] - [サービスアカウントキー] - [新しいサービスアカウント] に進みます。

9 サービスアカウントの [サービスアカウント名] を定義します。Android の命名規則に従うことを検討してください。また、以後の手順で必要になるため、選択した名前をメモしてください。

10 ドロップダウンメニューを使用して、[役割] - [Project] で [オーナー] を選択します。

11 [キーのタイプ] に [P12] を選択します。


VMware, Inc. 15

https://console.developers.google.com/

12 [作成] を選択します。ID 証明書が自動的に作成され、ローカルドライブにダウンロードされます。証明書をWorkspace ONE UEM Console にアップロードするときに備えて、ID 証明書とパスワードを必ず保存してください。

13 [サービスアカウントキー] リストから [サービスアカウントの管理] を選択し、「サービスアカウント」ページを開きます。

14 サービスアカウントの横にあるメニューボタン (縦に並んだ 3 つのドット) を選択し、[編集] を選択します。

15 [G Suite ドメイン全体の委任を有効にする] を選択します。

16 G Suite ドメインの順序変更設定で [製品名] を入力します。命名規則として AndroidEMM-CompanyName という形式の使用を検討してください。

17 [[保存]] を選択します。

18 [オプション] フィールドで [クライアント ID を表示] を選択します。サービスアカウントの詳細が表示されます。ここで Developer Console から離れ、Google 管理者コンソールに資格情報を入力します。

Developer's Console から離れる前に、クライアント ID を必ず保存してください。これらの資格情報は、EMMトークンをアップロードするときに Workspace ONE UEM コンソールで使用します。詳細については、「「EMMトークンのアップロード」」を参照してください。

次のステップ

Google 管理コンソールを構成する手順については、「「Google 管理者コンソールのセットアップ」」を参照してください。

Google 管理者コンソールのセットアップ

Google 管理者コンソールは、管理者が組織内のユーザーの Google サービスを管理する場所です。AirWatch では、Android および Chrome OS との統合に Google 管理者コンソールを使用します。

管理 API クライアントアクセスのページでは、カスタム内部アプリケーションおよびサポートされている GoogleAPI (スコープ) へのサードパーティアプリケーションによるアクセスを制御できます。

手順

1 Google 管理者コンソールにログインして、[セキュリティ] - [設定] - [高度な設定] - [API クライアントアクセスの管理] に移動します。

2 以下の詳細情報を入力します。

設定説明

クライアント名 AirWatch から取得したクライアント ID を入力します。

サービスアカウントの ID を貼り付けます。

1 つ以上の API のスコープ次の Android 用 Google API のスコープをコピーして貼り付けます。

[Android：]

https://www.googleapis.com/auth/admin.directory.user

3 [承認] を選択します。


VMware, Inc. 16

EMM トークンの生成

一意の EMM トークンが、Android 管理用のドメインを AirWatch にバインドします。前のタスクから [Google に移動] を選択して開始すると、G Suite セットアップサイトにリダイレクトされます。

手順

1 次の欄に入力します。

a [ユーザー情報] – 管理者連絡先情報を入力します。

b [会社情報] – 会社の情報を記入します。

c [Google 管理者アカウント] – Google 管理者アカウントを作成します。

d [最終登録] – セキュリティの検証データを入力します。

2 Google によって設定された規約を読んで同意した後に [同意とアカウントの作成] を選択します。

3 [ドメインの所有形態を検証] して [プロバイダに接続] するには、残りのプロンプトに従います。検証後、これが管理対象の Google ドメインになります。

ドメインの所有形態を確認するには、次のオプションを使用できます：[ホームページにメタタグを追加]、[ドメインホストレコードを追加]、または [ドメインサイトに HTML ファイルをアップロード]。使用可能なオプションの設定を構成します。

4 [検証] を選択して続行します。このプロセスが成功した場合、[プロバイダに接続] セクションに EMM トークンが表示されます。このトークンの有効期間は 30 日間です。この手順の実行中に問題が発生した場合は、リストに表示されている番号と一意の PIN を使用して Google サポートに問い合わせてください。

5 生成された EMM トークンをコピーし、[完了] を選択します。

次のステップ

Workspace ONE UEM コンソールに戻る前に Google サービスアカウントを作成して EMM トークンをアップロードし、すべての資格情報を一度にアップロードできるようすることをお勧めします。

EMM トークンのアップロード

Google 管理者コンソールと Google 開発者コンソールですべてのタスクを完了すると、G Suite ドメインと AndroidEMM の AirWatch のバインドを完了するために Workspace ONE UEM Console にリダイレクトされます。

手順

1 [はじめに] - [Workspace ONE] - [Android EMM 登録] の順に移動します。ウィンドウを閉じている場合はAirWatch には自動的にリダイレクトされません。

2 Android のセットアップウィザードから [トークンをアップロード] を選択します。


VMware, Inc. 17

3 次の欄に入力します。

設定説明

ドメイン会社に関連付けられている Android を有効にするために要求されるドメインです。

重要: ドメインがすでに EMM の別のプロバイダに登録されている場合は、新しい EMMトークンをアップロードすることはできません。

エンタープライズトークン G Suite 構成に AirWatch をリンクしている一意の識別子です。

Google 管理者 Eメールアドレス Google 管理者コンソールで作成された管理者の E メールです。E メールアドレスはサービスアカウントを作成した場所の View Client ID から表示されます。

4 必要に応じて、[ディレクトリアクセス資格情報] を入力します。ユーザーを自動的に作成する予定の場合は、必要なのはこれを構成することだけです。手動で作成する場合、これらの認証情報を入力する必要はありません。

5 Google サービスアカウントから取得した [Google 開発者コンソールの設定]のアップロードを続行します。

ユーザーセットアップ

Android を使用する会社内のすべてのユーザーは、デバイスに接続するために Google アカウントを作成する必要があります。Android EMM 登録ウィザードの最終ステップでは、ユーザーの作成用に選択するセットアップ方法を決定できます。

管理者には、Android でユーザーを作成するために次の 2 つのオプションがあります。

n Google 管理者コンソールにログインして、または Google Active Directory 同期ツール (GADS) を使用して、手動でユーザーを作成する。

n AirWatch が加入時に自動的に Google アカウントを作成できるようにする。

ユーザー名の形式は、username@<your_enterprise_domain>.com です。

手順

1 [加入済みユーザーの Eメールアドレスに基づいて加入時にアカウントを作成する] というプロンプトで、[はい]または [いいえ] を選択します。[はい] の場合、次のプロンプトで、アカウントの認証に SAML を使用するかどうかが尋ねられます。[いいえ] の場合、Google Active Directory 同期ツールまたは Google 管理者コンソールによる Google アカウント作成の代替方法が Workspace ONE UEM Console に示されます。

2 [完了] を選択します。

Android 加入ユーザーの自動作成

AirWatch は、加入中に Android のユーザーを自動的に作成するように勧めます。Android セットアップウィザードを使用すると、加入中にユーザーアカウントを自動的に作成するかどうかを指定できます。指定した場合は、SAMLを使用してアカウントを認証します。以前に SAML を設定していない場合、ウィザードは、設定を構成するためのリンクを表示します。


VMware, Inc. 18

手順

1 [はい] を選択して、[ユーザーの E メールに基づいて加入時にアカウントを作成]します。

「はい」を選択した場合、セットアップウィザードでディレクトリアクセスの認証情報設定を構成する必要があります。ディレクトリアクセス証明書をアップロードし、サービスアカウント E メールアドレスおよび管理者E メールアドレスを入力して、これらの設定を構成します。

2 [はい] を選択して、[SAML エンドポイントを使用してアカウントを認証]します。

SAML をセットアップしていない場合、ウィザードは SAML 認証の設定を構成するようにプロンプトを表示します。

3 [完了] を選択して、Android のセットアップを完了します。

Android 加入ユーザーの手動作成

Google Cloud ディレクトリの同期 (GCDS) ツールまたは Google 管理者コンソールのいずれかを使用して、Workspace ONE UEM Console 外で会社全体のユーザーアカウントを手動で作成することができます。Google 管理者コンソールにアクセスするには、セットアップウィザードで提供されるリンクをクリックします。コンソールを使用する方法の詳細については、Google に連絡する必要があります。

GCDS 方法には、AirWatch ディレクトリサービスと同様の設定を使用する必要があります。[グループと設定 > すべての設定 > システム > エンタープライズ統合 > ディレクトリサービス] に移動して、ディレクトリサービス設定にアクセスします。

セットアップウィザードでポストされたリンクをクリックして、または Google サポートページから、お使いのコンピュータに直接ツールをダウンロードして、GCDS ツールにアクセスすることができます。

GADS ツールを使用すると、1 回の一括作成で、会社内のすべての従業員の Google アカウントを手動で作成できます。アカウントは、AirWatch ディレクトリサービスからの情報と同期することによって作成されます。

注: ここで説明する情報は、2017 年 3 月の最新バージョン GCDS v4.4.0 の時点のものです。

手順

1 セットアップウィザードからのリンクを選択するか、Google から直接 GADS ツールをダウンロードします。

2 デスクトップでツールを開き、[ユーザーアカウント] と [グループ] を選択して同期します。

3 [Google アプリの構成] タブを選択して、以下を入力します。

a [プライマリドメイン名] を入力します。

b [（ユーザーとグループの）LDAP E メールアドレスのドメイン名をこのドメイン名に置き換える] ために選択します。これにより、すべてのユーザーの E メールアドレスがドメイン名と一致するようになります。

4 [今すぐ承認] ボタンを選択します。


VMware, Inc. 19

https://support.google.com/a/answer/106368?hl=en

https://support.google.com/a/answer/106368?hl=en

5 [Google アプリディレクトリの同期を承認] ダイアログが表示されたら、手順に従って承認プロセスを続行します。

a Android 管理者アカウントにサインインします。

b E メールで受信した認証を入力します。

c [検証] を選択して、これらの設定を確認します。

6 [LDAP 構成] タブを選択して、AirWatch ディレクトリサービスと Google を同期するための接続設定を入力します。ここから、このツールと同期する AirWatch ディレクトリサービス内に保存されている同じ設定を入力できます。これらの設定にアクセスするには、[グループと設定 > すべての設定 > システム > エンタープライズ統合 > ディレクトリサービス] に移動します。

7 [テスト接続] を選択します。同期が成功した場合は、リンクされた Active Directory アカウントと Google の会社の Google アカウントが自動作成されます。

セットアップウィザードに戻って、セットアップを終了します。

AirWatch からのドメインのバインド解除Google アカウントを変更する必要があるイベントで、Workspace ONE UEM コンソールの Android 管理者アカウントのバインドを解除できます。

手順

1 [デバイス] - [デバイス設定] - [デバイスとユーザー] - [Android] - [Android EMM 登録] の順に移動します。

2 「Android EMM 登録」画面から [設定を消去する] を選択します。


VMware, Inc. 20

Android デバイス加入の概要 3貴社で展開しているそれぞれの Android デバイスと Workspace ONE UEM Console 間の通信を確立し、Androidデバイス上で貴社のコンテンツや機能を利用できるようにするには、はじめに Android デバイスの加入が必要です。

Workspace ONE Intelligent Hub は、デバイス加入時に使用するだけではなく、その後もデバイスと接続に関する情報を提供するリソースとなります。Hub ベースの加入では、以下が可能になります。

n 基本サービスまたはディレクトリサービス (例：AD/LDAP/Domino、SAML、トークン、プロキシ) を使用したユーザー認証

n デバイスの一括登録、またはユーザー自身による登録

n 承認済みの OS バージョン、モデル、およびユーザーあたりのデバイス数の上限を設定

Android には 3 つの加入オプションがあります。Work 管理対象デバイス、Work プロファイル、および企業が所有し、個人に対応の加入の 3 つで、各モードには固有の加入オプションがあります。

Android (Legacy) 展開では、Google 登録を使用しないことを選択した場合、Android デバイスをWorkspace ONE Intelligent Hub にデバイス管理者として加入させることができます。Android (Legacy) 展開を使用したデバイスの加入については、Workspace ONE Android (Legacy) のドキュメントで「Android(Legacy) Enrollment Overview」を参照してください。


n デバイスとユーザー/Android/Android EMM 登録

n Android デバイスのデバイス保護

n 自動検出による加入

n Work 管理対象デバイスの加入を構成する

n 企業が所有し、個人に対応の加入を構成する

n Work プロファイルモードへの Android デバイスの加入

n Zebra Stage Now

デバイスとユーザー/Android/Android EMM 登録「Android EMM 登録」では、Android と統合するためのさまざまなオプションを構成できます。この画面では、ウィザードを使用してデバイスの統合を設定できます。加入を開始する前にこれらの設定を有効にしてください。

VMware, Inc. 21

構成

[構成] ページは、Android EMM 登録に成功した後に Google 管理者コンソール設定および Google API 設定を表示します。

加入設定

設定説明

Work 管理対象加入タイプ（G Suite 以外のみ）

デバイスを加入ユーザーまたはデバイスに関連付けるかどうかを選択します。

有料アプリを使用するときは、ライセンス割り当てを最適化する場合やほとんどの BYOD ユースケースで「ユーザーベース」をお勧めします。単一のユーザーをデバイスに関連付けられない場合は (キオスクなど)、「デバイスベース」が適しています。

完全管理対象デバイ

スの加入

加入したデバイスが [Work 管理対象デバイス] モードと[企業が所有し、個人に対応]モードのどちらを使用しているかを選択します。

n [Work 管理対象デバイス]は、従業員に Google Play ストアから企業アプリへのアクセスのみ提供し、個人アプリへのアクセスを提供しないことによってロックダウンされる完全管理対象デバイスです。

n [企業が所有し、個人に対応] では完全なデバイス管理のメリットをすべて活用できます。また従業員は Work プロファイルを受け取って企業アプリにアクセスしながら、Work プロファイルの外部から個人の Google Play ストアにもアクセスできます。この加入タイプは、Android 8.0 以降でのみ使用可能です。

Android デバイスのモードの詳細については、「「Android デバイスのモードの概要」」を参照してください

加入制限事項

設定説明

この組織グループ

の加入方法を定義

します。

[常に Android を使用]、[常に Android (Legacy) を使用]、または [Android を使用する割り当てグループを定義] を選択します。

[Android を使用する割り当てグループを定義] を選択する場合、すべての未割り当てデバイスは既定で Android (Legacy)を使用します。

割り当てグループドロップダウンメニューからスマートグループを選択します。

スマートグループを選択すると、そのグループに属していないデバイスまたはユーザーは、Android Legacy 加入 (デバイス管理者) に進みます。スマートグループに属するデバイスは、Work プロファイルまたは Work 管理対象をサポートする場合はこれらの加入モードで加入します。

スマートグループの詳細については、Mobile Device Management (MDM) のドキュメントで「Smart GroupsOverview」を参照してください。

Android デバイスのデバイス保護Android OS 5.1 以降にはデバイス保護と呼ばれる機能が搭載されていて、デバイスをリセットする前後に Google資格情報の入力を要求できます。デバイスを Android の Work 管理対象デバイスとして加入する準備ができたら、デバイスの工場出荷状態リセットを実行する必要があります。

既存の Google アカウントはすべてデバイスから削除する必要があります。また、加入時にWorkspace ONE Intelligent Hub をインストールできるように、セキュアロック画面を無効にして、デバイス保護のトリガを回避する必要があります。工場出荷状態リセットの状態からデバイスを使用することで、新しいユーザー

がデバイスからロックされることも防止します。


VMware, Inc. 22

以前の所有者が Google アカウントのパスワードを変更していた場合は、明示的に Android デバイス保護を無効にした場合を除き、3 日待ってから Android 5.1 以降のデバイスを工場出荷状態にリセットして加入させる必要があります。3 日を待たずにいずれかの Android デバイスを工場出荷状態にリセットした後、自分の Google アカウントでデバイスにサインインしようとすると、パスワードリセットが発生してから 72 時間が経過するまでは、エラーメッセージが表示され、どのアカウントでもデバイスにログインできません。

自動検出による加入

Workspace ONE UEM では、ユーザーのメールアドレスを使用してデバイスを適切な環境と組織グループに加入することができます。自動検出機能を使用するこの加入はとてもシンプルです。エンドユーザーが Eメールアドレスを使用してセルフサービスポータル (SSP) への認証を行う際にも自動検出機能を使用することができます。

注: オンプレミス環境で自動検出を有効にする場合は、お使いの環境が Workspace ONE UEM 自動検出サーバと通信できることを確認してから行ってください。

自動検出加入のための登録

サーバで Eメールドメインの一意性を検証します。1 つのドメインは 1 つの環境の 1 つの組織グループにおいてのみ登録できます。自動検出サーバによってこのような検査が行われるので、Eメールドメインは、貴社の最上位の組織グループで登録してください。

自動検出は、SaaS 環境の新しいお客様向けには自動で構成されています。

サブ組織グループからの自動検出加入を構成する

加入組織グループの下位のサブ組織グループで、自動検出加入を構成できます。この方法で自動検出加入を有効にす

るには、加入時にユーザーにグループ ID を選択させる必要があります。

加入中にグループ ID を選択するように、ユーザーに強制します。

手順

1 [デバイス] - [デバイス設定] - [全般] - [加入] の順に進み、[グループ化] タブを選択します。

2 [ユーザーがグループ ID を選択するようプロンプト表示する] を選択します。


メイン組織グループからの自動検出加入を構成する

自動検出加入は、エンドユーザーの Eメールアドレスを使用してデバイスを意図する環境と組織グループに加入するため、加入プロセスを簡素化することができます。

メイン組織グループで自動検出加入を構成するには、次の手順を実行します。


VMware, Inc. 23

手順

1 [グループと設定] - [すべての設定] - [管理者] - [クラウドサービス] の順に移動して、[自動検出] 設定を有効にします。[自動検出 AirWatch ID] にログイン用 E メールアドレスを入力して、[ID を設定する] を選択します。

a 必要に応じて、https://my.workspaceone.com/set-discovery-password にアクセスして、自動検出サービス用のパスワードを設定します。登録して [ID を設定する] をクリックすると、[HMAC トークン] が自動入力されます。[接続のテスト] をクリックし、接続が正常に行われたことを確認します。

2 [自動検出証明書ピン留め] オプションを有効にして、各自の証明書をアップロードして自動検出機能にピン留めします。既存の証明書の有効期限やその他の情報を確認できます。また、これらの既存の証明書を[置換]および[消去]することもできます。

3 [証明書を追加する] を選択すると、[名前] と [証明書] の各設定が表示されます。アップロードする証明書の名前を入力し、[[アップロード]] ボタンを選択して、デバイスの証明書を指定します。

4 [保存] をクリックし、自動検出機能のセットアップ処理を完了します。

次のステップ

加入するエンドユーザーに、環境 URL とグループ ID を入力するのではなく、認証用 Eメールアドレスを使用するオプションを選択するよう、指示します。ユーザーが Eメールアドレスを使用してデバイスを加入させると、関連付けられているユーザーアカウントの [加入組織グループ] として設定された同じ組織グループに加入します。

Work 管理対象デバイスの加入を構成するAndroid の Work 管理対象デバイスモードでは、Workspace ONE UEM を使用してデバイス全体を制御できます。工場出荷状態リセットを使用すると、デバイスを個人使用向けに設定されていない状態にできます。

Work 管理対象デバイスを加入させるにはいくつかの方法があります。

n AirWatch Relay を使用して NFC バンプを実行する

n 一意識別子またはトークンコードを使用する

n QR コードをスキャンする

n ゼロタッチ加入を使用する

ビジネス要件によって、使用する加入方法が決まります。Android EMM 登録が完了するまでは、デバイスを加入させることができません。登録を完了するには、章 2 「Workspace ONE UEM への Android の登録」を参照してください。

使用している Android デバイスがクローズドネットワーク上にあって Google Play と通信できない場合、またはAndroid 5.0 以前のバージョンを実行している場合は、「VMware AirWatch Android (Legacy) プラットフォームガイド」に記載の Legacy 加入方法を使用して Android を加入させます。


VMware, Inc. 24

https://my.workspaceone.com/set-discovery-password

AirWatch Relay を使用して加入する

AirWatch Relay は、Android を使用して Workspace ONE UEM に加入しているすべての子デバイスへ親デバイスから情報を渡すアプリケーションです。このプロセスは NFC バンプを通じて実行され、子デバイスをプロビジョニングして次の処理を実行します。

n 親デバイスに接続して、Wi-Fi ネットワークおよび地域 (デバイスの日付、時刻、および場所を含む) を設定します。

n 最新バージョンの Android 向け Workspace ONE Intelligent Hub をダウンロードします。

n Workspace ONE Intelligent Hub をデバイス管理者としてサイレント設定します。

n Workspace ONE UEM に自動的に加入します。

AirWatch Relay を使用すると、エンドユーザーへの展開前にすべての子デバイスを一括加入させることができるため、エンドユーザーが自分のデバイスを加入させる必要がなくなります。Android の Work 管理対象デバイスとして加入させるには、すべての子デバイスを工場出荷状態リセットモードにし、既定で NFC を有効にする必要があります。

NFC バンププロセスは、Android OS によって異なります。Android 6.0 以降を実行するデバイスでは、バンプを 1回実行すれば子デバイスの接続と加入を一度に済ませることができます。v5.0 から v6.0 までの間の Android OSバージョンを実行するデバイスでは、NFC バンプを 2 回実行します。最初のバンプでは、親デバイスに接続して Wi-Fi ネットワークおよび地域の設定（デバイスの日付、時刻、場所など）を取得し、Workspace ONE Intelligent Hubをダウンロードします。2 回目の NFC バンプでは、エンドユーザーへの展開前にすべての子デバイスを加入させます。

AirWatch Relay 加入については、「「AirWatch Relay を使用した Work 管理対象デバイスの加入」」を参照してください。

AirWatch 識別子を使用して加入する

AirWatch 識別子加入方法は、Android 6.0 以降のデバイスで Work 管理対象デバイスの加入アプローチをシンプルにしたものです。工場出荷状態リセットデバイスに単純な識別子 (ハッシュ値) を入力します。識別子を入力すると自動的に加入し、Workspace ONE Intelligent Hub がプッシュされます。ユーザーは、サーバの詳細、ユーザー名、およびパスワードを入力するだけです。AirWatch 識別子による加入については、「「AirWatch 識別子を使用したAndroid デバイスの加入」」を参照してください。

識別子を使用すると、シングルユーザーデバイスの代理セットアップを実行して、エンドユーザーの代わりに加入することもできます。この方法は、チーム全員または特定メンバーが各自でデバイスの加入手続きを行うのではなく、

管理者が代理で複数デバイスをセットアップしたい場合に便利です。そうすることで、エンドユーザーが自分のデバイスを加入する時間と手間を省くことができます。

シングルユーザーデバイスの代理セットアップの詳細については、Mobile Device Management (MDM) のドキュメントで「シングルユーザーデバイスを代理セットアップする」を参照してください。

QR コードを使用して加入する

タブレットなどのデバイスは NFC をサポートしていないため、Android 7.0 以降のデバイスでは NFC バンプが必要な AirWatch Relay による加入方法を使用できません。


VMware, Inc. 25

QR コードプロビジョニングにより、NFC や NFC バンプをサポートしていないデバイスの加入が容易になります。QR コードには、キー/値ペアのペイロードと、デバイスの加入に必要なすべての情報が含まれています。QR コードによる加入には、管理 Google ドメインまたは Google アカウントが必要ありません。加入を開始する前に、QRコードを作成します。Web Toolkit Online などの任意のオンライン QR コードジェネレータを使用して、一意の QRコードを作成できます。QR コードには、サーバ URL とグループ ID の情報が含まれます。ユーザー名とパスワードを含めることも、ユーザーが自分の資格情報を入力することもできます。

ジェネレータへ貼り付けるテキストの形式は次のとおりです。

{

"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":

"com.airwatch.androidagent/com.airwatch.agent.DeviceAdministratorReceiver",

"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":

"6kyqxDOjgS30jvQuzh4uvHPk-0bmAD-1QU7vtW7i_o8=\n",

"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION":

"https://awagent.com/mobileenrollment/airwatchagent.apk",

"android.app.extra.PROVISIONING_SKIP_ENCRYPTION": false,

"android.app.extra.PROVISIONING_WIFI_SSID": "Your_SSID",

"android.app.extra.PROVISIONING_WIFI_PASSWORD": "Password",

"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {

"serverurl": "Server URL",

"gid": "Group ID",

"un":"Username",

"pw":"Password"

}

QR コードによる加入については、「「QR コードを使用した Android デバイスモードの加入」」を参照してください。

ゼロタッチ加入する

ゼロタッチ加入では、Workspace ONE UEM を使用して Android 8.0 以降のデバイスを特別な設定なしにエンタープライズモビリティ管理プロバイダとして構成できます。

デバイスがデバイスセットアップ時にインターネットに接続されている場合は、Workspace ONE Intelligent Hubが自動的にダウンロードされて加入の詳細情報が自動的に渡され、ユーザーの操作なしにデバイスを加入させます。


VMware, Inc. 26

ゼロタッチ加入は、一部のモバイル通信事業者と OEM によってサポートされます。ユーザーは、自身の通信事業者と協力して、完全に自動化されたプロビジョニングがサポートされていることを確認します。サポートされている通

信事業者およびデバイスについては、Google の Web サイトを参照してください。

ゼロタッチ加入の手順については、「「ゼロタッチポータルを使用した Android デバイスの加入」」を参照してください。

注: ゼロタッチ加入は、Android 8.0 (Oreo) デバイス上でのみサポートされます。

AirWatch Relay を使用した Work 管理対象デバイスの加入

AirWatch Relay を使用した Work 管理対象デバイスモードの加入は、Android OS のバージョンによって異なります。

Android 6.0 以降を使用している場合、AirWatch Relay アプリは、Wi-Fi、プロビジョニング、および加入設定を構成する 1 つの NFC バンプオプションを提供します。Android 6.0 以降のデバイスで AirWatch Relay を使用してWork 管理対象デバイスをプロビジョニングするには、「「Android 6.0 以降での AirWatch Relay を使用した Androidデバイスの加入」」を参照してください。

v5.0 から v6.0 までの間の Android OS バージョンを実行しているデバイスでは、Work 管理対象デバイスモードの加入は 2 回の NFC バンプで完了します。1 回目のバンプでは地域、Wi-Fi、およびフリートのすべてのデバイスに適用される高度な設定を構成します。2 回目のバンプでは、加入設定を構成し、加入プロセスを自動化します。「「Android5.0 および Android 6.0 での AirWatch Relay を使用した Work 管理対象デバイスの加入」」を参照してください。

Android 6.0 以降での AirWatch Relay を使用した Android デバイスの加入

Android 6.0 以降、AirWatch Relay アプリには 1 回のバンプオプションで地域、Wi-Fi、プロビジョニング設定、および加入設定を構成できる単一バンプオプションが用意されています。

手順

1 Google Play ストアから AirWatch Relay アプリを親デバイスにダウンロードし、完了したらアプリを起動します。

2 「AirWatch 管理者へ」画面を確認し、[次へ] を選択してウィザードを続行します。

この画面では、セットアップウィザードを表示したりスキップしたりできます。セットアップウィザードでは、アプリの目的の説明および NFC バンプのチュートリアルを表示します。


VMware, Inc. 27

3 1 回のバンプでのプロビジョニングデバイス側 (Android 6.0 以降) で [セットアップ] をタップします。

4 親デバイスで、次の設定を定義します。

設定説明

ローカル時間デバイスをローカル時間で自動的に構成する場合はこのフィールドを有効にします。

タイムゾーンタイムゾーンを選択します。

ロケールデバイスが有効になる場所を選択します。

Wi-Fi ネットワークデバイスが接続する Wi-Fi ネットワークを指定します。

セキュリティタイプ接続の暗号化タイプを決定します。

Wi-Fi パスワード Wi-Fi パスワードを入力します。

デバイスを暗号化このフィールドを有効にすると、Work 管理対象デバイスのプロビジョニングの一部としてデバイス暗号化をスキップできることが示されます。

システムアプリの無効化このフィールドを有効にすると、Workspace ONE Intelligent Hub で設定中にシステムアプリの無効化をスキップします。

サーバサーバの URL またはホスト名を入力します。

グループ ID エンドユーザーがデバイスへのログイン時に使用する組織グループの ID を入力します。

ユーザー名子デバイスが加入するときのユーザーの資格情報を入力します。

パスワード子デバイスが加入するときのユーザーの資格情報を入力します。

5 親デバイスから [準備完了] をタップします。


VMware, Inc. 28

6 親と子のデバイスを連続してタッチして NFC バンプを実行します。デバイスが個人使用向けで使用されないようにするため、子デバイスは工場出荷状態リセットモードにする必要があります。

子デバイスで工場出荷状態リセットを実行する前に (デバイスが特別な設定は不要な新規状態ではない場合)、画面ロックを無効にし、そのデバイス上で構成されている既存 Google アカウントがある場合は削除します。デバイスの保護は、工場出荷状態リセットを実行する前に Google アカウント資格情報を入力するため、使用する必要のある Android 5.1 の機能です。画面ロックを無効にし、既存の Google アカウントを削除した場合、資格情報を要求されず、加入を妨げられなくなります。

7 デバイスを連続してタッチして、親デバイスで [タッチしてビーム] をタップします。

8 デバイスを連続してタッチして、子デバイスで [暗号化] をタップします。

子デバイスでは次の処理が自動的に実行されます。

a AirWatch Relay アプリで定義されている Wi-Fi ネットワークに接続します。

b Workspace ONE Intelligent Hub をダウンロードしてサイレントインストールします。

c Workspace ONE Intelligent Hub をデバイス管理者として設定します。

d デバイスをリセットします。

子デバイスのリセット後、デバイスが Work 管理対象モードでプロビジョニングされます。子デバイスにウェルカム画面が表示されます。子デバイスからこれを確認するには、[デバイス設定] - [セキュリティ] - [デバイス管理者] に進み、デバイス管理者としてリストされている Workspace ONE Intelligent Hub を表示します。エンドユーザーはこの設定を無効化できません。


VMware, Inc. 29

デバイスのホーム画面に、許可されている事前ダウンロード済みのアプリが表示されます。その他のアプリケー

ションは、Workspace ONE UEM コンソールから管理者による承認が必要です。

多数のデバイスの中にデバイスを加入させる場合は、サブデバイスごとに 1 回ずつ NFC バンプを繰り返して、Work 管理対象デバイスモードでプロビジョニングします。

あるいは、子デバイスを手動で加入させ、以下に概説する 2 回目の NFC バンプ手順をスキップすることができます。各デバイスの加入詳細情報を手動で入力する必要があります。追加の加入フローについては、MobileDevice Management (MDM) のドキュメントで「Additional Enrollment Workflows」を参照してください。

加入に成功した場合は、子デバイスに [マイデバイス] ページが表示されます (上図)。すべてのプロファイルおよびアプリケーションが自動的にデバイスへプッシュされ始めます。加入が必要なデバイスごとに、加入ステップを繰り返

します。

Workspace ONE UEM コンソールに、ユーザーデバイス上の Android のステータスが報告されます。[詳細表示]ページを確認して、Android が正常に作成されたことを確認できます。

[デバイス] - [詳細表示] - [概要] に進み、ページの [セキュリティ] セクションを表示してステータスを確認します。緑色のチェックで Android のアクティベーションを確認できます。

Android 5.0 および Android 6.0 での AirWatch Relay を使用した Work 管理対象デバイスの加入

Android v5.0 および Android v6.0 を使用している場合、AirWatch Relay アプリは、地域、Wi-Fi、プロビジョニング設定、および加入設定を構成する 2 バンプオプションを提供します。


VMware, Inc. 30

手順

1 Google Play ストアから AirWatch Relay アプリを親デバイスにダウンロードし、完了したらアプリを起動します。

2 「AirWatch 管理者へ」画面を確認し、[次へ] を選択してウィザードを続行します。

この画面では、セットアップウィザードを表示したりスキップしたりできます。セットアップウィザードでは、アプリの目的の説明および NFC バンプのチュートリアルを表示します。


VMware, Inc. 31

3 目的のオプションの [セットアップ] をタップして、[2 回のバンプでデバイスをプロビジョニング（Android v5.0から Android v6.0 以降）] を選択します。

Android 6.0 以降を使用する場合は、[1 回のバンプでデバイスをプロビジョニング（Android 6.0 以降）] を選択します。Android 6.0 以降のデバイスの場合の手順については、「「Android 6.0 以降での AirWatch Relay を使用した Android デバイスの加入」」を参照してください。

4 親デバイスで、次の設定を定義します。

設定説明

ローカル時間デバイスをローカル時間で自動的に構成する場合はこのフィールドを有効にします。

タイムゾーンタイムゾーンを選択します。

ロケールデバイスが有効になる場所を選択します。

Wi-Fi ネットワークデバイスが接続する Wi-Fi ネットワークを指定します。

セキュリティタイプ接続の暗号化タイプを決定します。

Wi-Fi パスワード Wi-Fi パスワードを入力します。


VMware, Inc. 32

設定説明

プロビジョニングのデバイス暗号化要件をス

キップ

このフィールドを有効にすると、Work 管理対象デバイスのプロビジョニングの一部としてデバイス暗号化をスキップできることが示されます。

プロビジョニング中にシステムアプリを無効化しない

このフィールドを有効にすると、Workspace ONE Intelligent Hub で設定中にシステムアプリの無効化をスキップします。

5 親デバイスで [準備完了] をタップして、1 回目のバンプを実行します。

6 親と子のデバイスを連続してタッチして 1 回目の NFC バンプを実行します。デバイスが個人使用向けで使用されないようにするため、子デバイスは工場出荷状態リセットモードにする必要があります。

子デバイスで工場出荷状態リセットを実行する前に (デバイスが特別な設定は不要な新規状態ではない場合)、画面ロックを無効にし、そのデバイス上で構成されている既存 Google アカウントがある場合は削除します。デバイスの保護は、工場出荷状態リセットを実行する前に Google アカウント資格情報を入力するため、使用する必要のある Android 5.1 の機能です。画面ロックを無効にし、既存の Google アカウントを削除した場合、資格情報を要求されず、加入を妨げられなくなります。

7 デバイスを連続してタッチして、親デバイスで [タッチしてビーム] をタップします。

8 デバイスを連続してタッチして、子デバイスで [暗号化] をタップします。

子デバイスでは次の処理が自動的に実行されます。

n AirWatch Relay アプリで定義されている Wi-Fi ネットワークに接続します。

n Workspace ONE Intelligent Hub をダウンロードしてサイレントインストールします。

n Workspace ONE Intelligent Hub をデバイス管理者として設定します。

n デバイスをリセットします。

子デバイスのリセット後、デバイスが Work 管理対象モードでプロビジョニングされて、1 回目のバンプが完了します。子デバイスにウェルカム画面が表示されます。子デバイスからこれを確認するには、[デバイス設定] -[セキュリティ] - [デバイス管理者] に進み、デバイス管理者としてリストされているWorkspace ONE Intelligent Hub を表示します。エンドユーザーはこの設定を無効化できません。


VMware, Inc. 33

デバイスのホーム画面に、許可されている事前ダウンロード済みのアプリが表示されます。その他のアプリケー

ションは、Workspace ONE UEM コンソールから管理者による承認が必要です。

多数のデバイスの中にデバイスを加入させる場合は、サブデバイスごとに 1 回ずつ NFC バンプを繰り返して、Work 管理対象デバイスモードでプロビジョニングします。そうでない場合は、加入に進みます。

あるいは、子デバイスを手動で加入させ、以下に概説する 2 回目の NFC バンプ手順をスキップすることができます。各デバイスの加入詳細情報を手動で入力する必要があります。追加の加入フローについては、MobileDevice Management (MDM) のドキュメントで「Additional Enrollment Workflows」を参照してください。


VMware, Inc. 34

9 AirWatch Relay アプリに戻り、親デバイスで [加入] をタップします。

10 加入設定を定義します。これらの設定は、子デバイスの加入プロセスを自動化するために使用されます。

設定説明

サーバサーバの URL またはホスト名を入力します。

グループ ID エンドユーザーがデバイスへのログイン時に使用する組織グループの ID を入力します。

11 [準備完了] をタップします。


VMware, Inc. 35

12 親と子のデバイスを連続してタッチして 2 回目の NFC バンプを実行し、子デバイスで [タッチしてビーム] をタップして加入を開始します。2 回目のバンプは、セットアップウィザードが完了した後に実行する必要があります。セットアップウィザードが完了してデバイスのホームページに移動するまで待ってから、2 回目の NFC バンプを実行して Workspace ONE Intelligent Hub を構成します。

13 ユーザーに関連付けられている企業 Google アカウントの資格情報を入力します。Google アカウントのパスワード画面で要求されます。

14 [次へ] をタップして [マイデバイス] ページに進みます (上図)。

次のステップ

加入に成功した場合は、子デバイスに [マイデバイス] ページが表示されます (上図)。すべてのプロファイルおよびアプリケーションが自動的にデバイスへプッシュされ始めます。加入が必要なデバイスごとに、加入ステップを繰り返

します。

[デバイス] - [詳細表示] - [概要] に進み、ページの [セキュリティ] セクションを表示してステータスを確認します。緑色のチェックで Android のアクティベーションを確認できます。


VMware, Inc. 36

AirWatch 識別子を使用した Android デバイスの加入

Work 管理対象デバイスおよび企業所有の個人利用 (COPE) デバイスの加入中、アカウントを追加するように求められたときに、ユーザーは特別な DPC 固有識別子トークンを入力します。トークンの形式は「afw#EMM_Identifier」で、Workspace ONE UEM を EMM プロバイダとして自動的に識別します。

重要: この加入フローは、Android 6.0 (M+) デバイスを使用する Android アカウント専用です。

手順

1 工場出荷状態リセットのデバイスで [開始] をタップします。

2 [Wi-Fi] ネットワークを選択し、資格情報を使用してログインし、デバイスを接続します。

3 Google アカウントを追加するように求められたら、識別子「afw#airwatch」を入力します。セットアップウィザードにより一時的な Google アカウントがデバイスに追加されます。このアカウントは、Google Play から DPC をダウンロードするためにのみに使用され、完了時に削除されます。

4 [インストール] をタップして、デバイスに Workspace ONE Intelligent Hub を構成し始めます。インストールが完了すると、Hub が自動的に開きます。

5 [認証方法] を選択して加入を続行します。

a 自動検出を構成している場合は、[E メールアドレス] を選択します。リストからグループ ID を選択するよう要求されることもあります。

b [サーバの詳細] を選択し、サーバ、グループ ID、およびユーザーの資格情報を入力します。

c UEM Console で QR コードを作成した場合は、[[QR コード]] を選択します。

6 表示される指示に従い加入プロセスを完了します。

7 すべてのプロファイルおよびアプリケーションが自動的にデバイスへプッシュされ始めます。Workspace ONEUEM コンソールに、ユーザーデバイス上の Android のステータスが報告されます。[詳細表示] ページを確認して、Android が正常に作成されたことを確認できます。

8 [デバイス] - [詳細表示] - [概要] に進み、ページの [セキュリティ] セクションを表示してステータスを確認します。Android のアクティベーションを確認する緑色のチェックが表示されます。

QR コードを使用した Android デバイスモードの加入

QR コードによる加入方法では、セットアップウィザードから QR コードをスキャンすることで、Work 管理対象デバイスモードおよび企業所有の個人利用 (COPE) デバイスモードを設定します。この加入フローは、複数のデバイスをユーザーに展開する前に代理セットアップする管理者や、IT 管理者から提供される QR コードを使用して自分のデバイスを加入させるエンドユーザーに最適です。

前提条件

Workspace ONE UEM Console を使用して、加入を開始する前に QR コードを作成します。または、Web ToolkitOnline などの任意のオンライン QR コードジェネレータを使用して、QR コードを作成できます。


VMware, Inc. 37

UEM Console を使用して QR コードを作成するには、[代理セットアップとプロビジョニング] の加入構成ウィザードを参照してください。加入構成ウィザードの詳細については、「加入構成ウィザードを使用して QR コードを生成する」を参照してください。

重要: この加入フローは、管理対象の Google Play ユーザーおよび管理対象 Google ドメインユーザーが使用可能です。この加入フローは、Android 7.0 以降のデバイスでサポートされています。

手順

1 デバイスの電源をオンにします。セットアップウィザードで、ウェルカム画面を 6 回タップするよう求められます。画面上の同じ場所をタップする必要があります。

a Android 8.0 以降のデバイスの場合、QR コードリーダーをダウンロードするには、手順 2 に進みます。

b Android 9.0 以降のデバイスの場合、6 回タップした後、カメラが自動的に開きます。

2 [Wi-Fi] に接続すると、セットアップウィザードにより QR コードリーダーが自動的にダウンロードされます。完了すると、QR コードリーダーアプリが自動的に起動します。

3 QR コードをスキャンします。Android 9.0 以降のデバイスの場合、カメラの QR コードオプションを使用して、スキャンします。Web Toolkit Online などの任意のオンライン QR コードジェネレータを使用して、一意の QRコードを作成できます。詳細は、「Work 管理対象デバイスの加入を構成する」を参照してください。

4 Workspace ONE Intelligent Hub が自動的にダウンロードされます。ここではサーバ URL とグループ ID の情報がすでに構成されている必要があります。

5 ユーザーの資格情報を入力します。

加入に成功した場合は、デバイスに [マイデバイス] ページが表示されます。すべてのプロファイルおよびアプリケーションが自動的にデバイスへプッシュされ始めます。

Workspace ONE UEM コンソールに、ユーザーデバイス上の Android のステータスが報告されます。[詳細表示] ページを確認して、Android が正常に作成されたことを確認できます。

6 [デバイス] - [詳細表示] - [概要] に進み、ページの [セキュリティ] セクションを表示してステータスを確認します。Android のアクティベーションを確認する緑色のチェックが表示されている必要があります。

加入構成ウィザードを使用して QR コードを生成する

デバイスを簡単に代理セットアップするには、加入構成ウィザードで QR コード加入を選択後、Android 7.0 以降のデバイスでスキャンする QR コードを作成します。ウィザードは、代理セットアップの構成処理を簡素化します。

手順

1 前提条件を確認してから、[[構成]] を選択して開始します。

2 Wi-Fi 切り替えを有効にすると、加入前にデバイスを [Wi-Fi] に接続できます。この有効にするアクションで、次のオプションが表示されます。

設定説明

[SSID] サービスセット識別子 (SSID)、より一般には Wi-Fi ネットワークの名前を入力します。

[｢パスワード｣] 入力した SSID Wi-Fi パスワードを入力します。


VMware, Inc. 38

3 [次へ] を選択します。

4 代理セットアップ中にデバイスにプッシュする Workspace ONE Intelligent Hub を選択します。既定では、[最新の Workspace ONE Intelligent Hub を使用] が選択されています。

追加された Workspace ONE Intelligent Hub がない場合、[[外部 URL にホスト]] を選択し、[[URL]] テキストボックスに、外部でホストされる Workspace ONE Intelligent Hub パッケージを指し示すアドレスを入力します。


6 [[加入の詳細]] 設定を設定します。トークンベース認証を使用するには、両方のオプションを無効のままにします。

設定説明

組織グループを構成する

組織グループ QR コード代理セットアップパッケージが使用する組織グループを有効にし、選択します。

ログイン資格情報を構成する

ユーザー名ログイン資格情報の構成を有効にします。Workspace ONE UEM アカウントのユーザー名を入力します。

パスワード対応するパスワードを入力します。


8 [[概要]] ページでは、PDF の [[ファイルをダウンロード]] が可能です。[[PDF を閲覧]] を実行して [[QR コードフォーマット]] の選択内容のプレビューを表示することもできます。

ゼロタッチポータルを使用した Android デバイスの加入

ゼロタッチポータルでは、Workspace ONE Intelligent Hub をダウンロードしたらすぐにデバイスに適用する加入構成を追加します。

注: ゼロタッチ加入は、Android 8.0 (Oreo) デバイス上でのみサポートされます。Sarmsung デバイスの場合は、Knox Mobile Enrollment を使用します。


VMware, Inc. 39

手順

1 [構成] タブに移動し、[+] をクリックします。


VMware, Inc. 40

2 加入の詳細を次のように入力します。

設定説明

構成名この構成の名前を入力します。

EMM DPC [Workspace ONE Intelligent Hub] を選択します。

これによって、Workspace ONE Intelligent Hub が工場出荷時の一部としてダウンロードされます。

DPC 追加項目 Workspace ONE Intelligent Hub で構成される加入資格情報を入力します。WorkspaceONE UEM コンソールサーバの URL、グループ ID、加入ユーザー名、およびパスワードを含めることができます。

エンドユーザーは次のようにデバイスをプロビジョニングします。

このシナリオでは、ユーザー名とパスワードは除外します。ユーザーは、デバイスのセット

アップ時にプロンプトが表示されたらそれらを入力します。

{ "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": { "serverurl": "https://airwatch.console.com", "gid": "groupID"} }

ゼロタッチ加入の場合は、次を実行します。

このシナリオは、すべてのデバイスが 1 人のユーザーに代理セットアップされている場合、または加入ユーザー名とパスワードがわかっている場合にお勧めします。

{ "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": { "serverurl": "https://airwatch.console.com", "gid": "groupID", "un":"username", "pw":"password" } }

勤務先名組織名を入力します。

連絡先 E メールエンドユーザーが問題に遭遇した場合に連絡する E メールを入力します。

連絡先電話番号エンドユーザーが問題に遭遇した場合に連絡する電話番号を入力します。

カスタムメッセージ Workspace ONE Intelligent Hub をダウンロードする前にエンドユーザーに表示するカスタムメッセージを入力します。

3 [適用] を選択します。


VMware, Inc. 41

4 デバイスに適用する加入構成を選択して、[デバイス] タブの下で構成を割り当てます。

自身の通信事業者の協力を得て、デバイスの IMEI とシリアル番号を取得する必要があります。


VMware, Inc. 42

企業が所有し、個人に対応の加入を構成する

Android の企業が所有し、個人に対応 (COPE) モードでは、ユーザーがデバイスを個人用デバイスとして使用するために Work プロファイルをまだ展開している状態で、Workspace ONE UEM によりデバイス全体を制御できます。COPE は、Work プロファイルと Work 管理対象デバイスモードの混合です。

COPE デバイスを加入させるにはいくつかの方法があります。

n AirWatch Relay を使用して NFC バンプを実行する

n 一意識別子またはトークンコードを使用する

n QR コードをスキャンする

n ゼロタッチ加入を使用する

ビジネス要件によって、使用する加入方法が決まります。Android EMM 登録が完了するまでは、デバイスを加入させることができません。登録を完了するには、章 2 「Workspace ONE UEM への Android の登録」を参照してください。

デバイス全体で COPE の展開を使用するには、Android 8.0 以降が必要です。Android 8.0 が実行されていないデバイスを加入しようとすると、そのデバイスは Work 管理対象デバイスとして自動的に加入されます。Work 管理対象デバイスの加入の詳細については、「「Work 管理対象デバイスの加入を構成する」」を参照してください。

使用している Android デバイスがクローズドネットワーク上にあって Google Play と通信できない場合、またはAndroid 7.0 以前を実行している場合は、「VMware AirWatch Android (Legacy) プラットフォームガイド」に記載の Legacy 加入方法を使用して Android を加入させます。

AirWatch Relay を使用して加入する

AirWatch Relay は、Android を使用して Workspace ONE UEM に加入しているすべての子デバイスへ親デバイスから情報を渡すアプリケーションです。このプロセスは NFC バンプを通じて実行され、子デバイスをプロビジョニングして次の処理を実行します。

n 親デバイスに接続して、Wi-Fi ネットワークおよび地域 (デバイスの日付、時刻、および場所を含む) を設定します。

n 最新バージョンの Android 向け Workspace ONE Intelligent Hub をダウンロードします。

n Workspace ONE Intelligent Hub をデバイス管理者としてサイレント設定します。

n Workspace ONE UEM に自動的に加入します。

AirWatch Relay を使用すると、エンドユーザーへの展開前にすべての子デバイスを一括加入させることができるため、エンドユーザーが自分のデバイスを加入させる必要がなくなります。COPE デバイスとして加入させるには、すべての子デバイスを工場出荷状態リセットモードにし、既定で NFC を有効にする必要があります。

NFC バンププロセスは、Android OS バージョンによって異なります。COPE は Android 8.0 以降でのみサポートされているため、AirWatch Relay を使用した加入では、バンプを 1 回実行すれば子デバイスの接続と加入を一度に済ませることができます。

AirWatch Relay 加入については、「「Android 6.0 以降での AirWatch Relay を使用した Android デバイスの加入」」を参照してください。


VMware, Inc. 43

AirWatch 識別子を使用して加入する

AirWatch 識別子による加入方法は、COPE 対応のデバイスの加入処理の簡素化されたアプローチです。工場出荷状態リセットデバイスに単純な識別子 (ハッシュ値) を入力します。識別子を入力すると自動的に加入し、Workspace ONE Intelligent Hub がプッシュされます。ユーザーは、サーバの詳細、ユーザー名、およびパスワードを入力するだけです。AirWatch 識別子による加入については、「「AirWatch 識別子を使用した Android デバイスの加入」」を参照してください。

識別子を使用すると、シングルユーザーデバイスの代理セットアップを実行して、エンドユーザーの代わりに加入することもできます。この方法は、チーム全員または特定メンバーが各自でデバイスの加入手続きを行うのではなく、

管理者が代理で複数デバイスをセットアップしたい場合に便利です。そうすることで、エンドユーザーが自分のデバイスを加入する時間と手間を省くことができます。

シングルユーザーデバイスの代理セットアップの詳細については、「シングルユーザーデバイスを代理セットアップする」を参照してください。

QR コードを使用して加入する

QR コードプロビジョニングにより、NFC や NFC バンプをサポートしていないデバイスの加入が容易になります。QR コードには、キー/値ペアのペイロードと、デバイスの加入に必要なすべての情報が含まれています。QR コードによる加入には、管理 Google ドメインまたは Google アカウントが必要ありません。加入を開始する前に、QRコードを作成します。Workspace ONE UEM Console で加入構成ウィザードを使用して、QR コードを生成することができます。詳細については、「「加入構成ウィザードを使用して QR コードを生成する」」を参照してください。

QR コードには、サーバ URL とグループ ID の情報が含まれます。ユーザー名とパスワードを含めることも、ユーザーが自分の資格情報を入力することもできます。

QR コードジェネレータへ貼り付けるテキストの形式は次のとおりです。

{

"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":

"com.airwatch.androidagent/com.airwatch.agent.DeviceAdministratorReceiver",

"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":

"6kyqxDOjgS30jvQuzh4uvHPk-0bmAD-1QU7vtW7i_o8=\n",

"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION":

"https://awagent.com/mobileenrollment/airwatchagent.apk",

"android.app.extra.PROVISIONING_SKIP_ENCRYPTION": false,

"android.app.extra.PROVISIONING_WIFI_SSID": "Your_SSID",

"android.app.extra.PROVISIONING_WIFI_PASSWORD": "Password",

"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {


VMware, Inc. 44

"serverurl": "Server URL",

"gid": "Group ID",

"un":"Username",

"pw":"Password"

}

}

QR コードによる加入については、「「QR コードを使用した Android デバイスモードの加入」」を参照してください。

ゼロタッチ加入する

ゼロタッチ加入では、Workspace ONE UEM を使用して Android 8.0 以降のデバイスを特別な設定なしにエンタープライズモビリティ管理プロバイダとして構成できます。

デバイスがデバイスセットアップ時にインターネットに接続されている場合は、Workspace ONE Intelligent Hubが自動的にダウンロードされて加入の詳細情報が自動的に渡され、ユーザーの操作なしにデバイスを加入させます。

以下に、考慮すべきいくつかの前提条件を示します。

ゼロタッチ加入は、一部のモバイル通信事業者と OEM のみでサポートされます。ユーザーは、自身の通信事業者と協力して、完全に自動化されたプロビジョニングがサポートされていることを確認する必要があります。サポートさ

れている通信事業者およびデバイスについては、Google の Web サイトを参照してください。

ゼロタッチ加入については、「「ゼロタッチポータルを使用した Android デバイスの加入」」を参照してください。

注: ゼロタッチ加入は、Android 8.0 (Oreo) デバイス上でのみサポートされます。Sarmsung デバイスの場合は、Knox Mobile Enrollment を使用します。

Work プロファイルモードへの Android デバイスの加入デバイスを加入すると、Android デバイスと AirWatch 環境の間の接続が確立されます。Workspace ONE Intelligent Hub を使用することで加入プロセスを簡素化できます。また、デバイスをリアルタイムで管理したり、関連するデバイス情報にアクセスしたりすることもできます。

次の手順を使用して、Workspace ONE Intelligent Hub をインストールし、加入フローに基づいてユーザーを認証します。

手順

1 Google Play ストアから Workspace ONE Intelligent Hub をダウンロードし、インストールします。

2 Workspace ONE Intelligent Hub を起動します。

a E メール自動検出機能を構成済みの場合、Workspace ONE Intelligent Hub から E メールアドレスを入力するように要求されます。リストからグループ ID を選択するよう要求されることもあります。

b E メール自動検出機能を構成していない場合は、希望する加入方法を選択します。

3 [サーバの詳細] をタップし、[サーバ] と [グループ ID] を入力します。


VMware, Inc. 45

4 [ユーザー名] と [パスワード] を入力し、[続行] をタップします。

5 [利用規約]に同意します。

6 (オプション) [暗号化] ボタンをタップし、残りの指示に従って設定を承認します。Workspace ONE Intelligent Hub は、暗号化の設定を承認した後に終了します。Workspace ONE Intelligent Hub に戻って加入プロセスを継続するには、[[暗号化完了]] 通知をタップします。

デバイスを暗号化するためのオプションは、デバイスが実行している Android のバージョンによって異なります。Android Marshmallow を搭載しているデバイスは、既定で暗号化されているため、加入時にこのオプションは表示されません。

7 [設定] をタップして、デバイスに関連付けられる Work プロファイルを構成します。

8 「プライバシーポリシー」で [OK] をタップします。加入の残りの画面は、ユーザーの作成方法によって異なります。Workspace ONE UEM Console のエンタープライズ設定はデバイスにプッシュされます。[これによって、管理対象の Google Play アカウントに対するデバイスの加入が終了します。]

9 Google アカウントの場合のみ、[開始] をタップして、Work プロファイルを作成し、管理対象の Google アカウントをデバイスに接続します。これらの手順は認証方法によって異なります。[ユーザー定義] の加入を続行するには：

a ユーザーの資格情報を使用してパスワードを作成し、[次へ] をタップします。

b 管理対象の Google アカウントの [パスワード] を入力し、[次へ] をタップします。

10 [ディレクトリサービスの同期]を続行するには、次を実行します。

a [パスワード] を入力して [次へ] をタップします。

b [続行] を選択します。

c [終了] を選択します。

11 [SAML] 加入フローに従うには、次を実行します。

a [ユーザー名] と [パスワード] を入力し、[ログイン] をタップします。ユーザーがWorkspace ONE Intelligent Hub にリダイレクトされます。

成功すると、デバイスに適した Work プロファイルが構成され、Workspace ONE Intelligent Hub の設定ページが表示されます。デバイスが Work プロファイルの Android 設定に従って使用できるようになりました。

Zebra Stage NowStage Now 代理セットアップクライアントは、Zebra デバイスを代理セットアップし、本番環境で使用するための準備を行うための、Zebra の次世代の Android ソリューションです。

Workspace ONE UEM では、次の条件および制限の下で Stage Now がサポートされています。

Zebra Mobility の詳細については、「Zebra Mobility Extensions (MX)」および「MX 機能の完全なマトリックス」を参照してください。

Work 管理対象デバイスモードで Stage Now バーコードを使用して Zebra デバイスを加入させることを計画している場合は、次の手順を実行します。


VMware, Inc. 46

https://www.zebra.com/us/en/products/software/mobile-computers/mobility-extensions.html

http://techdocs.zebra.com/mx/

前提条件

n Zebra デバイスでは、MX バージョン 7.1 以降の Android Nougat が実行されている必要があります。

n Zebra デバイスを Stage Now バーコードを使用して加入させる場合は、Android Hub バージョン 8.2 以降をWorkspace ONE Intelligent Hub パッケージとして Console にアップロードしておく必要があります。

n Android Marshmallow 以前を実行している Zebra デバイスでは、Rapid Deployment をデフォルトの代理セットアップクライアントとして引き続き使用する必要があります。

n パッシブモードに設定されたリレーサーバのみがサポートされます。アクティブモードのリレーサーバはサポートされておらず、Stage Now クライアントで機能しません。

n [グループと設定] - [すべての設定] - [システム] - [高度な設定] - [サイト URL] にある [Stage Now URL] 設定が、適切な URL に設定されていることを確認します。

n オンプレミス環境で独自の Stage Now サーバを構成している場合は、このフィールドにカスタム URL を指定します。

n オンプレミス環境で独自の Stage Now サーバを構成していない場合は、ネットワークを開いてここにリストされている URL にアクセスできるようにする必要があります。

n SaaS 環境では、このテキストボックスを変更する必要はありません。

n Work 管理対象モードで Stage Now 加入を試行するときは、デバイスに Google アカウントが存在していないことが必要です。

手順

1 組織グループセレクタを使用して、Android デバイス用に構成する組織グループを選択します。

2 [グループと設定] - [すべての設定] - [デバイスとユーザー] - [Android] - [Android EMM 登録] の順に進み、[加入制限事項] タブを選択します。

3 以下の設定を入力します。

設定説明

現在の設定 [オーバーライド] を選択して、手順 1 で選択した組織グループに変更を適用します。

この組織グループで Android (Legacy) を使用するデバイスを定義します。

この設定によって、この組織グループで Android (Legacy) デバイスを扱う方法が決定されます。次の設定の中から選択します。

[Android (Legacy) を使用しない] – この設定によって、[StageNow バーコードを生成] 画面の [デバイスの所有者モード] スライダが有効になり、編集不可になります。これによって、この組織グループに加入されるすべての Android (Legacy) デバイスは、デバイスの所有者モード（または Work 管理対象デバイスモード）になります。

[常に Android (Legacy) を使用] – この設定によって、[StageNow バーコードを生成] 画面の [デバイスの所有者モード] スライダが無効になり、編集不可になります。これによって、この組織グループに加入されるすべての Android (Legacy) デバイスは、デバイスの管理者モードになります。

[スマートグループを Android (Legacy) から免除] – この設定によって、[StageNow バーコードを生成] 画面の [デバイスの所有者モード] スライダが有効になり、編集可能になります。このスライダで、Android デバイスをデバイスの所有者モード（Work 管理対象デバイスモード）で加入させるか、デバイスの管理者モードで加入させるかを選択できます。


VMware, Inc. 47

4 新しく加入させたデバイスを受け取ったエンドユーザーに、次の手順を実行するように指示します。

a 「工場出荷時設定」の状態からデバイスを起動させます。

b デバイスに Google アカウントがないことを確認します。

c セットアップウィザードを完了するか、または Zebra から提供される「セットアップウィザードをスキップ」バーコードをスキャンします。

d Stage Now アプリを開きます。

e バーコードをスキャンします。

デバイスが自動的に Work 管理対象モードに加入されます。


VMware, Inc. 48

Android プロファイルの概要 4Android プロファイルでは、デバイスを適切に使用し、機密データを保護します。プロファイルの用途は多岐にわたり、社内のルールと手続きを強制的に適用することから、Android の有能なデバイスをその使用形態に合わせて調整することまで、さまざまに利用できます。

Android プロファイルおよび Android (Legacy) プロファイルAndroid のプロファイルの展開に移動するときにプロファイルページに Android および Android (Legacy) という2 つのプラットフォームタイプが表示されます。Android EMM 登録を完了している場合は、Android プロファイルオプションを選択します。EMM 登録をしていない場合は、Android (Legacy) プロファイルを使用できます。AndroidEMM 登録を行わないで Android を選択した場合、設定ページに移動して EMM 登録を完了するか Android (Legacy)プロファイルの展開に進むように求めるエラーメッセージが表示されます。

Android EMM 登録を行うには、「章 2 「Workspace ONE UEM への Android の登録」」を参照してください。

Work プロファイルと Work 管理対象デバイスモードWork プロファイルは、特別なタイプの管理者です。ユーザーは自分のアカウントを使用する個人用デバイスをすでに持っていて、Workspace ONE UEM が Work プロファイルを管理します。Workspace ONE UEM の加入によって Work プロファイルを追加し、そのユーザーのプロファイル所有者として Work プロファイル内にWorkspace ONE Intelligent Hub をインストールします。

Work 管理対象デバイスは、プロビジョニングされていない状態で起動するデバイスに適用され、加入によって Work管理対象デバイスに Workspace ONE Intelligent Hub をインストールします。Workspace ONE Intelligent Hubは、デバイス全体を完全に制御します。一部のプロファイルでは、次のタグが表示されます：Work プロファイルおよび Work 管理対象デバイス。

Work プロファイル用に構成されたプロファイルは、Android バッジアプリにのみ適用され、デバイスレベルでプロファイルを構成しないかぎりはユーザー個人のアプリまたは設定には影響しません。たとえば、一定の制限によっ

て、YouTube、Google Play へのアクセスを無効にします。制限は、Android バッジアプリにのみ影響し、正規Play ストアバージョンには影響しません。または、Work 管理対象デバイスモードのタイプ用に構成したプロファイルは、デバイス全体に適用されます。このセクションで説明した各プロファイルは、プロファイルが影響するデバ

イスタイプを示します。

VMware, Inc. 49

デバイスへのアクセス

デバイスプロファイルには、Android デバイスへのアクセス設定を構成するものがあります。このようなプロファイルを使用することで、デバイスへのアクセスを承認されたユーザーのみに限定できます。

たとえば次のようなことが可能です。

n パスコードプロファイルでデバイスを保護できます。詳細については、「「パスコードプロファイル (Android)」」を参照してください。

n 従業員がいつ、どこで、どのようにデバイスを使用するかを指定し、管理できます。詳細については、「「制限事

項プロファイル (Android)」」を参照してください。

デバイスセキュリティデバイスプロファイルで Android デバイスのセキュリティを確保できます。Android のネイティブなセキュリティ機能を構成するプロファイルもあれば、Workspace ONE UEM を通じてデバイス上に企業のセキュリティ設定を構成するプロファイルもあります。

n E メール、ファイル、コンテンツなどの社内リソースにアクセスできます。詳細については、「「VPN を構成する(Android)」」を参照してください。

n ユーザーが特定のアプリケーションをインストールまたはアンインストールするときに、管理処理を実行できま

す。詳細については、「「アプリケーション制御 (Android)」」を参照してください。

デバイスの構成

構成プロファイルは Android デバイスのさまざまな設定を構成するものです。このようなプロファイルを使用すれば、企業のニーズに合わせてデバイス設定を構成できます。

n デバイスを社内の Wi-Fi に自動的に接続します。詳細については、｢「Wi-Fi プロファイル (Android)」｣を参照してください。

n Android OS の更新通知および実際の更新プログラムが制御される方法を管理します。詳細については、「「システム更新の有効化 (Android)」」を参照してください。

注: 一部のプロファイルでは、次のタグが表示されます：[AFW v1+] および [AFWAPP]。Android アプリ (AFWAPP)は、まもなく使用可能となる Android の Lollipop 以前のソリューションです。


n パスコードプロファイル (Android)

n Chrome ブラウザ設定の適用 (Android)

n 制限事項プロファイル (Android)

n Exchange ActiveSync (EAS) の有効化 (Android)

n プロファイルを自動更新する


VMware, Inc. 50

n 資格情報 (Android)

n カスタムメッセージを作成する

n アプリケーション制御 (Android)

n プロキシ設定を構成する (Android)

n システム更新の有効化 (Android)

n Wi-Fi プロファイル (Android)

n VPN を構成する (Android)

n 権限の設定 (Android)

n シングルアプリモードを構成する (Android)

n 日付/時刻を設定する

n AirWatch Launcher プロファイルを作成する (Android)

n ファイアウォールルールを構成する (Android)

n APN プロファイルを構成する

n エンタープライズ工場出荷状態リセット保護

n Zebra MX プロファイルの構成 (Android)

n カスタム設定の使用 (Android)

パスコードプロファイル (Android)Work パスコードまたはデバイスパスコードとして適用する設定のパスコードプロファイルを設定できます。

Work パスコードは、パスコードポリシーを業務用アプリにのみ適用し、ユーザーが Work プロファイルを設定した加入済みデバイスをロック解除するたびに複雑なパスワードを入力しなくてもよいようにします。Work パスコードを使用することで、エンドユーザーはプライベートアプリに好きな方法でアクセスできる一方で、ラッピングテクノロジーを使用せずに企業アプリのデータを保護します。Work 管理対象デバイスの場合、このパスコードポリシーがデバイスに適用されます。Work パスコードは、Android 7.0 (Nougat) 以降の Work プロファイル加入済みデバイスに使用可能です。

デバイスパスコードは、Work プロファイルを使用して加入したデバイスにパスコードポリシーを適用します。このパスコードは、デバイスのロックが解除されるたびに入力する必要があり、Work パスコードとは別に適用できます。

既定では、新しいプロファイルを作成するときに、Work パスコードのみが有効になります (デバイスパスコードは有効です)。管理者は、デバイスパスコードを手動で有効にする必要があります。

パスコード設定の適用 (Android )

管理者がパスコードポリシーを設定した場合、エンドユーザーはパスコードを入力する必要があります。パスコードは、デバイス上の機密データを守るための最初の防御層です。


VMware, Inc. 51

手順

1 [デバイス] - [プロファイルとリソース] - [プロファイル] - [追加] - [プロファイルを追加] - [Android] の順に進みます。

2 必要に応じて、プロファイルの [全般] を設定します。

3 ペイロードの一覧から [[パスコード]] を選択し、パスコード設定を構成します。

設定説明

Work パスコードポリシーを有効化 Android バッジアプリにのみにパスコードポリシーを適用することができます。

最小パスコード長さパスコードに適度な複雑度を与えるため、最小文字数を設定します。

パスコードのコンテンツパスコードのコンテンツがセキュリティ要件を満たすため、ドロップダウンメニューから

ドロップダウンメニューから、[[任意]]、[[数字]]、[[英数字]]、[[アルファベット]]、[[複雑]]、[[複素数の数値]] または [[弱いバイオメトリック]] のいずれかを選択します。

簡単な値を使用すると、素早くアクセスできますが、英数字のパスコードを使用すると、セ

キュリティを強化できます。パスコードで使用する特殊文字（@、#、&、!、,、?）の最小文字数を指定することもできます。

これにより、顔認証など、セキュリティの低い生体認証によるロック解除を利用することが

できます。

重要: パスワード内の特殊文字の最小数が 4 より大きい場合、少なくとも 1 つの小文字と 1つの大文字が必要です（SAFE v5.2 デバイスのみ）。

試行失敗回数の上限試行失敗回数の上限を指定します。この回数を超えて失敗すると、デバイスがワイプされます。

パスコードの有効期間 (日) パスコードの有効日数を指定します。

パスコード履歴過去に使用したパスコードを再使用したい場合、その前に現在のパスコードを変更しなけれ

ばならない回数を指定します。

デバイスロック猶予時間 (分) デバイスの画面が自動ロックされるまでの無操作時間を指定します。

デバイスパスコードポリシーを有効化 Work プロファイルを使用して加入したデバイスのパスコードポリシーを適用します。このパスコードは、デバイスのロックを解除するために入力する必要があり、Work パスコードに加えて適用することができます。Work 管理対象デバイスの場合、このパスコードポリシーは、デバイスに適用されます。

最小パスコード長さパスコードに適度な複雑度を与えるため、最小文字数を設定します。

パスコードのコンテンツパスコードの内容をセキュリティ要件に合わせるため、ドロップダウンメニューで [任意]、[数字]、[英数字]、[アルファベット]、[複雑]、または [複素数の数値] を選択します。


パスコードの有効期間 (日) パスコードの有効日数を指定します。

パスコード履歴過去に使用したパスコードを再使用したい場合、その前に現在のパスコードを変更しなけれ

ばならない回数を指定します。

デバイスロック猶予時間 (分) デバイスの画面が自動ロックされるまでの無操作時間を指定します。

パスコード可視化入力時の画面でのパスコード表示を有効にします。

指紋によるロック解除を許可このオプションを有効にした場合、ユーザーは指紋を使用してデバイスをロック解除できま

す。また、指紋をメインの認証手段として使用せず、代わりに、プロファイル内で指定され

ているタイプのパスワードを入力させることもできます。

SD カードの暗号化を必須にする SD カードの暗号化を必須にするかどうかを指定します。

文字の繰り返し最大数同一文字を繰り返したパスコード (例: "1111") は、解読されやすくなります。エンドユーザーがこのようなパスコードを入力できないようにするため、同一文字の繰り返し回数の上限値

を指定します。


VMware, Inc. 52

設定説明

連番の最大数連番のパスコード (例: "1234") は、解読されやすくなります。エンドユーザーがこのようなパスコードを入力できないようにするため、連番の最大数を指定します。

虹彩スキャナを許可無効にすると、Samsung デバイスで虹彩スキャナを設定または選択できなくなります。

顔認証によるロックの解除を許可無効にすると、Samsung デバイスで顔認証によるロックの解除を設定または選択できなくなります。

ロック画面オーバーレイ情報をエンドユーザーのデバイスにプッシュしてロック画面上に表示するにはこれを有効に

します。

n [画像オーバーレイ] – 画像をアップロードし、ロック画面上に表示します。プライマリ画像およびセカンダリ画像をアップロードし、また画像の位置と透明度を指定すること

ができます。

n [企業情報] – ロック画面上に表示する企業情報を入力します。この情報は、デバイスを紛失した場合や盗まれた場合に緊急用として使用できます。

｢ロック画面オーバーレイ｣の設定値は、SAFE 5.0 以降のデバイスでのみ有効です。｢ロック画面オーバーレイ｣の設定値は、デバイスの使用中、構成されたままになります。エンドユーザーが変更することはできません。

ロック画面オーバーレイの設定の詳細については、「「ロック画面オーバーレイを構成する

(Android)」」を参照してください。 [パスコードのコンテンツ] テキストボックスで「複雑」を選択した場合、次の設定が適用されます。

設定説明


最小の文字数パスコードに含めることができる文字数を指定します。

最小の小文字数パスコードで許可される小文字の数を指定します。

最小の大文字数パスコードで許可される大文字の数を指定します。

最小の非文字数パスコードで許可される特殊文字の数を指定します。

最小の数字数パスコードで許可される数字の数を指定します。

最小のシンボル数パスコードで許可されるシンボルの数を指定します。

パスコードの有効期間 (日) パスコードを使用できる最大日数を設定します。

4 [保存して公開] をクリックし、プロファイルをデバイスに割り当てます。

ロック画面オーバーレイを構成する (Android)

パスコードプロファイルの [ロック画面オーバーレイ] オプションを使用することにより、画面ロック画像上に情報をオーバーレイ表示できます。これにより、エンドユーザー、またはロックされているデバイスを見つけてくれた人に

情報を伝達できます。ロック画面オーバーレイは、パスコードプロファイルの一部です。

手順


2 加入設定に応じて、[[Android]] または [[Android (Legacy)]] を選択します。


VMware, Inc. 53


ロック画面オーバーレイは Android (Legacy) のネイティブ機能で、複数の OEM において利用可能です。

[Android] プロファイルの [ロック画面オーバーレイ] 設定は、[OEM 設定] フィールドが [有効] に切り替えられ、[OEM の選択] フィールドで [Samsung] が選択された場合にのみ表示されます。[全般] プロファイルの [OEM設定] フィールドは、Android プロファイルにのみ適用され、Android (Legacy) 構成には適用されません。

4 リストで [パスコード] プロファイルを選択します。

5 [ロック画面オーバーレイ] フィールドを有効にします。

6 ロック画面オーバーレイタイプ ([画像オーバーレイ] または [企業情報]) を選択します。

7 ｢画像オーバーレイ｣を選択した場合、必要に応じて次の設定を構成します。

設定説明

画像オーバーレイタイプ [シングル画像] または [複数画像] を選択し、必要なオーバーレイ画像の数を指定します。

プライマリ画像画像ファイルをアップロードします。

プライマリ画像のトップ位置 (%) トップ画像の位置を 0 ～ 90% の範囲で指定します。

プライマリ画像のボトム位置 (%) ボトム画像の位置を 0 ～ 90% の範囲で指定します。

セカンダリ画像必要があれば、セカンダリ画像をアップロードします。このフィールドが表示されるのは、

[画像オーバーレイタイプ] フィールドで｢複数画像｣を選択した場合だけです。

セカンダリ画像の位置 (%) トップ画像の位置を 0 ～ 90% の範囲で指定します。このフィールドが表示されるのは、画像オーバーレイタイプフィールドで｢複数画像｣を選択した場合だけです。

セカンダリ画像のボトム位置 (%) ボトム画像の位置を 0 ～ 90% の範囲で指定します。このフィールドが表示されるのは、画像オーバーレイタイプフィールドで｢複数画像｣を選択した場合だけです。

オーバーレイ画像画像の透明度 ([透明] または [不透明]) を選択します。

8 [企業情報] を選択した場合、必要に応じて次の設定を構成します。

設定説明

勤務先名表示したい会社名を入力します。

会社のロゴ会社のロゴ (画像ファイル) をアップロードします。

企業住所会社の所在地を入力します。

会社電話番号会社の電話番号を入力します。

オーバーレイ画像画像の透明度 ([透明] または [不透明]) を選択します。

9 [保存して公開] を選択します。

Chrome ブラウザ設定の適用 (Android)Chrome ブラウザ設定プロファイルを使用すると、Work Chrome アプリの設定を管理するのに役立ちます。


VMware, Inc. 54

Chrome は、Google の Web ブラウザです。Chrome には、検索、オムニボックス (1 つのボックスで検索と移動が可能 )、自動入力、保存済みパスワードなど数多くの機能があるほか、Google アカウントにサインインしてすべてのデバイス間で最近使用したタブおよび検索に即座にアクセスする機能もあります。Work Chrome アプリは、Chrome の個人バージョンと同じ機能があります。このプロファイルを構成しても、ユーザーの個人用 Chrome アプリには影響がありません。このプロファイルを個別 VPN や資格情報 + Wi-Fi ペイロードと組み合わせてプッシュすることで、エンドユーザーは認証されて社内サイトやシステムにログインできるようになります。これにより、ユー

ザーが業務で Work Chrome アプリを必ず使用するようにします。

手順



3 [Chrome ブラウザ設定] ペイロードを選択し、必要に応じて設定を構成します。

設定説明

Cookie を許可ブラウザの Cookie 設定を決定する場合に有効にします。

このサイトの Cookie を許可 Cookie の設定が許可される URL を指定します。

このサイトの Cookie をブロック Cookie の設定が許可されない URL を指定します。

このサイトのセッションの Cookie を許可セッションの Cookie の設定が許可されるサイトを指定します。

画像を許可画像が許可されるサイトを決定する場合に有効にします。

このサイトの画像を許可画像の表示が許可される URL のリストを指定します。

このサイトの画像をブロック画像の表示が許可されない URL のリストを指定します。

Java Scriptを許可 JavaScript ブラウザ設定を有効にします。

このサイトの JavaScript を許可 JavaScript の実行が許可されるサイトを指定します。

このサイトの JavaScript をブロック JavaScript の実行が許可されないサイトを指定します。

ポップアップを許可ポップアップブラウザの設定を有効にします。

このサイトのポップアップ画面を許可ポップアップ画面を開くことが許可されるサイトを指定します。

このサイトのポップアップ画面をブロックポップアップ画面を開くことが許可されないサイトを指定します。

位置情報追跡を許可 Web サイトによるユーザーの物理的位置情報の追跡が許可されるかどうかを設定します。

プロキシモード Google Chrome で使用されるプロキシサーバを指定し、ユーザーがプロキシ設定を変更できないようにします。

プロキシサーバ URL プロキシサーバの URL を指定します。

プロキシ PAC ファイル URL URL をプロキシ .pac ファイルに指定します。

プロキシバイパスルールバイパスするプロキシ設定を指定します。このポリシーは、手動プロキシ設定を選択した場

合にのみ有効です。

Google セーフサーチを強制有効にすると、Google Web 検索での検索クエリがセーフサーチで実行されます。

検索にタッチを有効にする Google Chrome のコンテンツビューでの「検索にタッチ」の使用を有効にします。

既定の検索プロバイダを有効化既定の検索プロバイダを指定します。

既定の検索プロバイダ名既定の検索プロバイダの名前を指定します。

既定の検索プロバイダキーワード既定の検索プロバイダのキーワード検索を指定します。

既定検索プロバイダ　検索 URL 既定の検索を実行するときに使用される検索エンジンの URL を指定します。

既定検索プロバイダ候補 URL 検索候補を提供するために使用される検索エンジンの URL を指定します。


VMware, Inc. 55

設定説明

既定検索プロバイダアイコン既定の検索プロバイダのお気に入りアイコンの URL を指定します。

既定検索プロバイダエンコーディング検索プロバイダによってサポートされている文字エンコーディングを指定します。エンコー

ディングは、UTF-8、GB2312、ISO-8859-1 などのコードページ名です。設定されていない場合、既定の UTF-8 が使用されます。

既定の検索プロバイダの代替 URLリスト検索エンジンからの検索用語の抽出に使用できる代替 URL のリストを指定します。

検索プロバイダ画像 URL 画像検索を提供するために使用される検索エンジンの URL を指定します。

新規タブの URL 検索エンジンが新しいタブページを提供するために使用する URL を指定します。

POST URL 検索パラメータ POST の URL を検索するときに使用されるパラメータを指定します。

POST 候補検索パラメータ POST の画像検索を行うときに使用されるパラメータを指定します。

POST 画像検索パラメータ POST の画像検索を行うときに使用されるパラメータを指定します。

パスワードマネージャを有効化パスワードをパスワードマネージャに保存できるようにします。

エラーページの場合の代替ページを有効にする有効にすると、Google Chrome に組み込まれている代替エラーページが使用されます（「ページが見つかりません」など）。

オートフィルを有効にする住所やクレジットカード情報などの以前に保存された情報を使用して、ユーザーが Webフォームに自動入力できるようにします。

印刷を有効にする有効にすると、Google Chrome での印刷が許可されます。

セーフブラウジングを有効にする有効にすると、Google Chrome のセーフブラウジングがアクティブになります。

ブラウザ履歴の保存を無効にする有効にすると、Google Chrome でのブラウザ履歴の保存が使用不可になります。

セーフブラウジングの警告の後の続行をブロッ

クする

有効にすると、ユーザーが警告ページから悪意のあるサイトに進むことができなくなります。

ネットワーク予測を有効にする Google Chrome でのネットワーク予測を有効にします。

古い Web プラットフォームの機能を一時的に有効化する

一時的に有効にする、古い Web プラットフォーム機能のリストを指定します。

シークレットモードの可用性ユーザーが Google Chrome のシークレットモードでページを開くことができるかどうかを指定します。

検索候補を有効にする Google Chrome のオムニボックスで検索候補を有効にします。

翻訳を有効にする Google Chrome に統合された Google 翻訳サービスを有効にします。

ブックマークの編集を有効化/無効化有効にすると、ブックマークの追加、削除、および変更が許可されます。

管理ブックマーク管理ブックマークのリストを指定します。

リストアップされた URLへのアクセスをブロックする

ユーザーがブラックリストに登録された URL から Web ページをロードするのを防ぐためのURL を入力します。

URL のブロック対象リストに対する例外ブロックリスト例外 URL を入力します。

有効な SSL 最小バージョンドロップダウンメニューから SSL 最小バージョンを選択します。

フォールバックする SSL の最小バージョンドロップダウンメニューからフォールバック対象の SSL 最小バージョンを選択します。


Chrome ブラウザ設定マトリックス (Android)

Chrome ブラウザ設定プロファイルを使用すると、Work Chrome アプリの設定を管理するのに役立ちます。このプロファイルを構成しても、ユーザーの個人用 Chrome アプリには影響がありません。このプロファイルを個別 VPNや資格情報 + Wi-Fi ペイロードと組み合わせてプッシュすることで、エンドユーザーは認証されて社内サイトやシステムにログインできるようになります。


VMware, Inc. 56

このマトリックスでは、Chrome ブラウザのプロファイルで使用可能な設定について説明します。

設定説明

コンテンツ設定

[Cookie を許可] 任意の Web サイトがその Web サイトに関する Cookie をデバイス上に保存することを許可または防止するために、ネイティブ Android ブラウザに適用されます。

[このサイトの Cookie を許可] Cookie の設定が許可されるサイトを指定する URL パターンのリストを設定できます。

[このサイトの Cookie をブロック] Cookie の設定が許可されないサイトを指定する URL パターンのリストを設定できます。

[このサイトのセッションの Cookie を許可] セッションの Cookie の設定が許可されるサイトを指定する URL パターンのリストを設定できます。

[画像を許可] 画像の表示が Web サイトに許可されるかどうかを設定できます。

[このサイトの画像を許可] 画像の表示が許可されるサイトを指定する URL パターンのリストを設定できます。

[このサイトの画像をブロック] 画像の表示が許可されないサイトを指定する URL パターンのリストを設定できます。

[Java Script を許可] Web サイトの JavaScript コードをブラウザが実行することを許可または防止するために、ネイティブ Android ブラウザに適用されます。

[このサイトの JavaScript を許可] JavaScript の実行が許可されるサイトを指定する URL パターンのリストを設定できます。

[このサイトの JavaScript をブロック] JavaScript の実行が許可されないサイトを指定する URL パターンのリストを設定できます。

[ポップアップを許可] ユーザーが Web サイトにアクセスしたときに Web サイトが新しいブラウザウィンドウをポップアップする（その Web サイトがそのようなアクションを呼び出す場合）ことを許可または防止するための、ポップアップブラウザの設定。

[このサイトのポップアップを許可] ポップアップを開くことが許可されるサイトを指定する URL パターンのリストを設定できます。

[位置情報追跡を許可] Web サイトによるユーザーの物理的位置情報の追跡が許可されるかどうかを設定できます。

プロキシ設定

プロキシモード希望するプロキシのフロー方法を選択します。

プロキシサーバ URL URL をプロキシ .pac ファイルに指定します。

プロキシ PACファイル URL プロキシ PAC ファイル URL を入力します（該当する場合）。

プロキシバイパスルール特定のクライアントからの要求またはプロキシの周囲の特定の発信元サーバへの要求のルーティン

グに適用されるバイパスルールを入力します。

検索設定

Google セーフサーチを強制

YouTube セーフモードを強制

検索にタッチを有効にする

[既定の検索プロバイダを有効化] 有効にすると、ブラウザの既定の検索プロバイダが設定されます。

[既定の検索プロバイダ名] 既定の検索プロバイダの名前を指定します。

[既定の検索プロバイダキーワード] キーワードを指定します。これは、このプロバイダでの検索をトリガするためにアドレスバーで使

用されるショートカットになります。

[既定検索プロバイダ検索 URL] 既定の検索を実行するときに使用される検索エンジンの URL を指定します。

[既定検索プロバイダ候補 URL] 検索候補を提供するために使用される検索エンジンの URL を指定します。

[既定検索プロバイダアイコン] 既定の検索プロバイダのお気に入りアイコンの URL を指定します。

[既定検索プロバイダエンコーディング] 検索プロバイダによってサポートされている文字エンコーディングを指定します。


VMware, Inc. 57

設定説明

[既定の検索プロバイダの代替 URL リスト] 検索エンジンからの検索用語の抽出に使用できる代替 URL のリストを指定します。

[検索用語置換キー] URL の代わりに表示される検索用語を入力します。

[検索プロバイダ画像 URL] 画像検索を提供するために使用される検索エンジンの URL を指定します。

[新規タブの URL] 検索エンジンが新しいタブページを提供するために使用する URL を指定します。

[POST URL 検索パラメータ] POST の URL を検索するときに使用されるパラメータを指定します。

[POST 候補検索パラメータ] POST の候補検索を行うときに使用されるパラメータを指定します。

[POST 画像検索パラメータ] POST の画像検索を行うときに使用されるパラメータを指定します。

パスワードマネージャ

[パスワードマネージャを有効化] 有効にすると、Web フォームによるパスワードの保存が許可されます。

スタートアップページ

[エラーページの場合の代替ページを有効にする]

「ページが見つかりません」などで Web アドレスに接続できないときに、ユーザーがアクセスしようとしているページの候補をブラウザが表示するかどうかを制御します。

オートフィルを有効化有効にすると、ブラウザが保存されている情報を使用してオンラインフォームに自動的に入力することが許可されます。

他の設定

印刷を有効にする有効にすると、デバイスからの印刷が許可されます。

[データ圧縮プロキシ機能を有効にする] Web ページがページを圧縮してデータ使用量を削減できるようにします。

[セーフブラウジングを有効にする] Chrome のセーフブラウジング機能を削除できるようにします

[ブラウザ履歴の保存を無効にする] 選択すると、ブラウザ履歴が保存されないようになります

[セーフブラウジングの警告の後の続行をブロックする]

有効にすると、ユーザーが警告ページの後で悪意のあるサイトに進むことができなくなります。

[SPDY プロトコルを無効にする] 有効にすると、Web ページのロード遅延の削減と Web セキュリティの改善という特定の目的で、HTTP トラフィックを操作する SPDY プロトコルが無効になります。

[古い Web プラットフォームの機能を一時的に有効化する]

一時的に有効にする、承認されていない Web プラットフォーム機能のリストを指定します。

[セーフサーチを強制する] SafeSearch をアクティブに設定して実行するすべての Google Web 検索に対して有効にします。

[シークレットモードの可用性] ユーザーが Chrome のシークレットモードでページを開くことができるかどうかを指定します。

[Chromium へのサインインを許可する] 有効にすると、Chromium へのサインインがユーザーに許可されます。

[検索候補を有効にする] Chrome のアドレスバーで検索候補を許可します。

[翻訳を有効にする] Google 翻訳を Chrome に統合して、必要に応じてユーザーに対してページが翻訳されるように設定します。

ブックマークの編集を有効化/無効化ブックマークエディタの使用を制限するには、このフィールドを設定します。

管理ブックマークブラウザから管理される該当 URL を入力します。管理ブックマークを使用すると、管理者は固定された一連のブックマークをすべてのユーザーにプッシュできます。

[リストアップされた URL へのアクセスを許可する]

デバイスからアクセスできる、ホワイトリストに登録された URL のリストを指定します。

[リストアップされた URL へのアクセスをブロックする]

ブラックリストに登録された URL のリストを指定します。


VMware, Inc. 58

設定説明

有効な SSL 最小バージョン Secure Socket Layer の最小バージョンを設定します。

フォールバックする SSL の最小バージョンブラウザが戻る対象の Secure Socket Layer の最小バージョンを設定します。

制限事項プロファイル (Android)制限事項プロファイルを使用し、デバイス上のデータ保護を強化できます。具体的には、従業員が自分のデバイスを

いつどこでどのように使用するかを管理者が指定し制御できるようになります。

制限事項プロファイルは、Android デバイスのネイティブ機能をロックし、デバイスの加入方法によって異なります。制限事項プロファイルには、[Work 管理対象デバイス] と [Work プロファイル] というモードのラベルが付いたタグが表示されます。

[制限事項]プロファイルには、選択した制限が Work プロファイルと Work 管理対象デバイスのいずれかまたはその両方に適用されるかどうかを示すタグが表示されます。ただし、Work プロファイルデバイスの場合、影響を受けるのは Android バッジアプリのみです。たとえば、Work プロファイルの制限を構成するときに、Work カメラへのアクセスを無効にできます。これは、Android バッジカメラのみに影響があり、ユーザーの個人用カメラには影響がありません。

Work Chrome、Google Play、Google 設定、連絡先、カメラなど、既定で Work プロファイルに含まれているシステムアプリは多数ありますが、制限事項プロファイルを使用して非表示にでき、ユーザーの個人用カメラには影響しません。

制限事項の適用 (Android)

制限事項ペイロードを Android デバイスに展開してセキュリティを強化します。制限事項ペイロードのデバイスでは、エンドユーザーのデバイス機能へのアクセスを無効にし、デバイスの改ざんを防ぐことができます。

手順



3 [制限事項] プロファイルを選択して以下のような設定を構成します。

設定説明

デバイス機能デバイスレベルの制限事項を適用した場合、デバイスの中核機能 (例: カメラ、画面キャプチャ、出荷時状態へのリセット) を無効化できるので、生産性向上とセキュリティ強化につながります。たとえば、カメラ機能を無効にした場合、機密データが撮影されて社外に送信さ

れるのを防止できます。また、画面キャプチャ機能を無効にした場合、デバイス上の社内コ

ンテンツの機密性を確保しやすくなります。

アプリケーションアプリケーションレベルの制限事項を適用した場合、特定のアプリケーション (例:YouTube、Google Play ストア、ネイティブブラウザ) を無効にできます。これにより、デバイス使用に関する社内ポリシーを適用できます。


VMware, Inc. 59

設定説明

同期とストレージデータをデバイスに保存する方法を制御することにより、生産性とセキュリティのバランス

をとることができます。たとえば、Google バックアップ機能または USB バックアップ機能を無効にした場合、管理対象デバイス上の社内モバイルデータを悪意のある者から守ることができます。

ネットワークデバイスでの Wi-Fi 接続およびデータ接続を無効にした場合、エンドユーザーは、安全でない接続を使用して機密データを表示することができなくなります。

仕事用と個人用個人用コンテナと仕事用コンテナの間で情報のアクセス方法または共有方法を決定します。

これらの設定は、Work プロファイルモードのみに適用されます。

位置情報サービス Work 管理対象デバイスにのみ位置情報サービス設定を構成します。

Samsung Knox Samsung Knox を実行している Android デバイス向けの制限を有効にすることができます。このセクションの設定は、[全般] プロファイルの [[OEM 設定]] フィールドが [有効] に切り替えられ、[[OEM の選択]] が [Samsung] に設定されている場合にのみ適用されます。

このセクションは、[全般] プロファイルの [OEM 設定] フィールドが有効であり、[OEM の選択] フィールドで Samsung が選択された場合にのみ使用できます。

4 [保存して公開] をクリックし、プロファイルを関連するデバイスに割り当てます。

Exchange ActiveSync (EAS) の有効化 (Android)AirWatch は、Android で Exchange ActiveSync (EAS) プロファイルを使用して、AirWatch Inbox、Gmail、Divideなどのメールクライアントタイプを使用した社内の E メール、カレンダー、連絡先に対するセキュアな接続を保証します。たとえば、Work プロファイルにおける構成済みの EAS メール設定は、AirWatch App Catalog からダウンロードされたバッジ付きアイコンの E メールアプリに影響を及ぼしますが、ユーザーの個人用 E メールには影響しません。

前提条件

各ユーザーにメールアドレスとユーザー名が存在する状態であれば、EAS プロファイルを作成できます。

注: EAS プロファイルは、Work プロファイルと Work 管理対象デバイスモードのタイプに対して適用されます。

手順



3 [Exchange ActiveSync] プロファイルを選択し、次の設定を構成します。

設定説明

メールクライアントタイプドロップダウンメニューを使用して、ユーザーデバイスにプッシュされるメールクライアントを選択します。

ホスト企業の ActiveSync サーバの外部 URL を指定します。

サーバタイプ [Exchange] と [Lotus] から選択します。

SSL 使用有効にした場合、EAS データを暗号化します。

SSL 証明書の検証チェックを有効にする有効にした場合、Secure Socket Layer 証明書を許可します。


VMware, Inc. 60

設定説明

S/MIME 有効にした場合、[資格情報]ペイロードでユーザー証明書として関連付ける S/MIME 証明書を選択します。

n [S/MIME 署名証明書]：メッセージの署名用に S/MIME 証明書をクライアントへプロビジョニングすることを許可するための証明書を選択します。

n [S/MIME 暗号化証明書]：メッセージの暗号化用に S/MIME 証明書をクライアントへプロビジョニングすることを許可するための証明書を選択します。

ドメイン参照値を使用してデバイス固有の値を使用します。

ユーザー名参照値を使用してデバイス固有の値を使用します。

メールアドレス参照値を使用してデバイス固有の値を使用します。

パスワード空白にすると、エンドユーザーが自分のパスワードを設定できます。

ログイン証明書ドロップダウンメニューから使用可能な証明書を選択します。

既定の署名新しいメッセージを表示するための既定の E メール署名を指定します。

添付ファイルの最大サイズ (MB) ユーザーが送信できる添付ファイルの最大サイズを入力します。

連絡先とカレンダーの同期を許可する有効にした場合、連絡先とカレンダーをデバイスと同期できます。

4 [保存して公開] をクリックし、プロファイルを関連するデバイスに割り当てます。

プロファイルを自動更新する

自動更新プロファイルを使用すると、管理者はパブリック Android アプリの自動更新とメンテナンス時間枠のスケジュールを設定できます。

自動更新ポリシーを構成するには：

手順

1 [デバイス] > [プロファイルとリソース] > [プロファイル] > [追加] > [プロファイルを追加] > [Android] の順に進みます。

2 必要に応じて、プロファイルの全般設定を構成します。これらの設定では、プロファイルの展開方法およびプロ

ファイルの受信者を指定します。

3 ペイロードの一覧から [自動更新] を選択し、更新設定を構成します。

n 公開アプリの自動更新ポリシー：Google Play で自動更新が許可されている場合に指定します。[Allow userto configure]、[Always auto update]、[Update on Wi-Fi only]、または [Never auto upate] を選択します。

既定では [Allow user to configure] が選択されています。

n [開始時間]：フォアグラウンドのアプリケーションを毎日自動更新するローカル時間を構成します。00:30～23:30 の時間を選択します。

n [終了時間]：フォアグラウンドのアプリケーションを毎日自動更新するローカル時間を構成します。30 分～24 時間の間で時間を選択します。

4 [保存して公開] を選択して、プロファイルを関連するデバイスに割り当てます。


VMware, Inc. 61

アプリケーションは設定時間に基づき、指定した開始時間と終了時間の間にのみ自動更新します。たとえば、キオス

クの使用を中断しないように、営業時間外にのみ更新するようにキオスクデバイスを設定します。

資格情報 (Android)セキュリティレベルを上げ、企業アセットをより強固に保護するには、電子証明書の導入が効果的です。そのためには、まず認証局を指定し、次に、Exchange ActiveSync (EAS) ペイロード、Wi-Fi ペイロード、または VPN ペイロードに加えて資格情報ペイロードを構成する必要があります。

各ペイロードには、資格情報ペイロードで定義された認証局を関連付けるための設定項目があります。資格情報プロ

ファイルを構成することにより、ユーザー認証用の社内証明書を管理対象デバイスに展開できます。このプロファイ

ルの設定は、デバイス所有形態タイプによって異なります。[資格情報]プロファイルは、Work プロファイルと Work管理対象デバイスモードのタイプに対して適用されます。

デバイスには、Workspace ONE UEM が秘密キーを使用して ID 証明書をインストールする前にデバイス PIN コードを構成する必要があります。

資格情報を展開する (Android)

資格情報プロファイルを構成することにより、ユーザー認証用の社内証明書を管理対象デバイスに展開できます。こ

のプロファイルの設定は、デバイス所有形態タイプによって異なります。[資格情報]プロファイルは、Work プロファイルと Work 管理対象デバイスモードのタイプに対して適用されます。

手順



3 [資格情報] プロファイルを選択し、[構成] を選択します。

4 ドロップダウンメニューを使用して、[資格情報ソース] に [アップロード] または [定義済み認証局] のいずれかを選択します。ここで選択するソースにより、表示されるプロファイルオプションが変わります。[アップロード] を選択した場合、[認証情報名] を入力し、新しい証明書をアップロードする必要があります。[定義済み認証局] を選択する場合は、定義済みの[認証局] と [テンプレート] を選択する必要があります。


カスタムメッセージを作成するカスタムメッセージプロファイルを使用して、重要な情報をユーザーに伝達する必要があるときにデバイスのホーム画面に表示するメッセージを構成できます。

カスタムメッセージプロファイルでは、ロック画面メッセージ、ブロックされている設定をユーザーが実行しようとしたときに表示するメッセージ、またはデバイスユーザー設定で表示するメッセージを設定できます。


VMware, Inc. 62

手順

1 [デバイス] > [プロファイルとリソース] > [プロファイル] > [追加] > [プロファイルを追加] > [Android] の順に進みます。

2 [Android] を選択します。

3 必要に応じて、プロファイルの全般設定を構成します。

4 [カスタムメッセージ] プロファイルを選択し、以下のメッセージ設定を構成します。

Options Description

ロック画面メッセージを設定デバイスがロックされているときにデバイスのホーム画面に表示するメッセージを入力しま

す。これは、紛失したデバイスまたは盗難にあったデバイスにユーザーの連絡先情報を表示

するのに便利です。

ブロックされた設定のメッセージを設定ブロックされているデバイスでユーザーがアクションを実行しようとしたときに表示するメッ

セージを入力します。カスタムメッセージを使用して、機能がブロックされている理由を説明します。

設定でユーザーに表示するメッセージを設定ユーザーは、[設定] > [セキュリティ] > [デバイス] でこの設定を確認できます。

5 [保存して公開] をクリックし、プロファイルを関連するデバイスに割り当てます

アプリケーション制御 (Android)アプリケーション制御プロファイルによって、特定のアプリケーションをホワイトリストまたはブラックリスト設定

することができます。ユーザが該当するアプリケーションをインストールまたはアンインストールする際に、順守エ

ンジンは警告を送信し管理処理を行いますが、アプリケーション制御はこのような変更をブロックします。

たとえば、Workspace ONE Intelligent Hub はバッジアプリとしてデバイスに自動的にプッシュされます。[必須アプリのアンインストールを防ぐ] オプションを有効にした場合、Workspace ONE Intelligent Hub とアプリケーショングループで構成されているその他の必須アプリのアンインストールを防止できます。ホワイトリスト設定では、管理者のみが Work プロファイルにアプリを追加できるため、既定で有効になっています。

アプリケーショングループの詳細については、Mobile Application Management のドキュメントを参照してください。

アプリケーション制御を構成する (Android)

Android デバイスによるアプリへのアクセスを制限するには、アプリケーション制御プロファイルを使用してブラックリストとホワイトリストのアプリケーションのプロファイルを作成します。

手順



3 [アプリケーション制御] ペイロードを選択します。


VMware, Inc. 63

4 貴社のアプリケーション展開に必要な制御レベルに応じて以下の項目を有効または無効に設定します。

設定説明

ブラックリストアプリへのアクセスを無効にするアプリケーショングループで定義されているブラックリストと見なされるアプリケーションへのアクセスを無効にすることができます。

有効にした場合、このオプションでは、デバイスからアプリケーションをアンインストール

しません。

必須アプリのアンインストールを防ぐこのオプションを有効にした場合、アプリグループで定義されている必須アプリのアンインストールを防止できます。

Android 内部のシステムアプリを有効にするアプリケーショングループのホワイトリストアプリで定義されている、Work プロファイル内の事前インストールしたアプリケーションを非表示にすることができます。


プロキシ設定を構成する (Android)グローバルプロキシ設定を構成した場合、すべての HTTP および HTTPS ネットワークトラフィックが必ずグローバルプロキシを経由します。これにより、すべての個人データおよび企業データがグローバルプロキシプロファイルに基づいてフィルタリングされるため、データセキュリティが確保されます。

手順



3 [プロキシ設定] プロファイルを選択します。

4 次のようにプロキシ設定を構成します。

設定説明

プロキシモード希望するプロキシタイプを選択します。

プロキシ PACの URL URL をプロキシ .pac ファイルに指定します。

プロキシサーバプロキシサーバのホスト名または IP アドレスを入力します。

除外リストホスト名を追加して、プロキシ経由ルーティングの対象から除外します。


システム更新の有効化 (Android)AirWatch は OS の更新通知および実際の更新プログラムが制御される方法を管理します。3 通りの方法でこのプロファイルでの OS 更新プログラムを制御できます。

手順


2 必要に応じて、プロファイルの [全般] 設定を構成します。


VMware, Inc. 64

3 [システム更新] プロファイルを選択します。

4 [自動更新] フィールドのドロップダウンメニューを使用して、更新ポリシーを選択します。

設定説明

更新を自動的にインストール使用可能になったときに、更新プログラムを自動的にインストールします。

アップデート通知の延期すべての更新プログラムを延期します。最大 30 日間の期間で OS 更新プログラムをブロックするポリシーを送信します。

更新ウィンドウの設定デバイスを更新するための時間帯を設定します。


Wi-Fi プロファイル (Android)Wi-Fi プロファイルを構成することにより、デバイスから社内ネットワークに接続できます。非公開/暗号化/保護されている場合でも接続できます。

Wi-Fi アクセスが便利な場面としては、独自のワイヤレスネットワークを構築している他のオフィスにエンドユーザーが出張する場合や、オフィス内で適切なワイヤレスネットワークに接続するようデバイスを自動構成する場合などが考えられます。

Android 6.0 以降を搭載しているデバイスに Wi-Fi プロファイルをプッシュする際は、デバイスが Wi-Fi ネットワークに接続するようユーザーによりすでに手動でセットアップされている場合、Workspace ONE UEM は Wi-Fi 構成を変更することはできません。たとえば、デバイス上で Wi-Fi パスワードがすでに変更されており、かつ最新のプロファイルを加入済みデバイスにプッシュした場合、ユーザーは、新しいパスワードを使用してデバイスを手動更新し

なければならないことがあります。

Wi-Fi アクセスを構成する (Android)

Wi-Fi プロファイルを構成することにより、デバイスから社内ネットワークに接続できます。非公開/暗号化/パスワード保護されている場合でも接続できます。

手順



3 [Wi-Fi] ペイロードを選択します。

4 [Wi-Fi] の設定を次のとおりに構成します。

設定> 説明

サービスセット識別子 (SSID) デバイスから接続するネットワークの名前を入力します。

非公開のネットワーク Wi-Fi ネットワークが非公開であるかどうかを指定します。

アクティブなネットワークとして設定エンドユーザーによる操作なしにデバイスをネットワークに接続するかどうかを指定します。


VMware, Inc. 65

設定> 説明

セキュリティタイプ使用するアクセスプロトコルと、証明書を必須とするかどうかを指定します。

選択したセキュリティタイプによって必須項目が決まります。[｢なし｣、｢WEP｣、｢WPA/WPA2｣、または「任意 (個人)」] を選択した場合、[パスワード] フィールドが表示されます。[WPA/WPA2 エンタープライズ] を選択した場合、｢プロトコル｣フィールドおよび｢認証｣フィールドが表示されます。

n [プロトコル]

n ｢2 要素認証を使用｣

n ｢SFA の種類｣

n [認証]

n ｢ID｣

n ｢匿名 ID｣

n ユーザー名

n パスワード

n ID 証明書

n ｢ルート証明書｣

パスワードデバイスからネットワークに接続するために必要な資格情報を入力します。｢パスワード｣

フィールドが表示されるのは、[セキュリティタイプ] フィールドで [｢WEP｣、｢WPA/WPA2｣、｢任意 (個人)｣、または｢WPA/WPA2 エンタープライズ｣] を選択した場合です。

プロキシのタイプ Wi-Fi プロキシ設定を構成する場合に有効にします。

注: アプリベース VPN を使用する場合、Wi-Fi プロキシ自動構成はサポートされません。

プロキシサーバプロキシサーバのホスト名または IP アドレスを入力します。

プロキシサーバポートプロキシサーバのポートを入力します。

除外リストプロキシから除外するホスト名を入力します。

ここで入力したホスト名は、プロキシ経由でルーティングされません。

ドメインのワイルドカードとして * を使用できます。例：*.air-watch.com または *air-watch.com。


VPN を構成する (Android)バーチャルプライベートネットワーク (VPN) を構築した場合、安全で暗号化されたトンネルを使用して、デバイスから社内リソース (例：E メール、ファイル、コンテンツ) にアクセスすることができます。VPN プロファイルにより、各デバイスはオンサイトネットワーク経由で接続しているかのように機能します。

接続タイプと認証方法によっては、参照値を使用してユーザー名情報を自動入力し、ログインプロセスを効率化できます。

注: VPN プロファイルは、Work プロファイルと Work 管理対象デバイスモードの両方のタイプに対して適用されます。

手順



VMware, Inc. 66


3 [VPN] を選択してプロファイルを編集します。

4 [VPN] 設定を構成します。次の表では、VPN クライアントごとに構成可能なすべての設定を記載しています。

設定説明

接続タイプ VPN セッションを簡単にするために使用するプロトコルを選択します。

接続名プロファイルによって作成された接続に割り当てられた名前を入力します。

サーバ VPN 接続の使用するサーバの名前またはアドレスを入力します。

アカウント接続を認証するためのユーザーアカウントを入力します。

常時 VPNに接続有効にした場合、仕事用アプリのすべてのトラフィックが VPN 経由でトンネルされるようになります。

アクティブに設定有効にした場合、デバイスにプロファイルを適用した後で VPN をオンにします。

アプリベース VPN 規則アプリベース VPN を有効にした場合、アプリごとに VPN トラフィック規則を構成できます。このテキストボックスは、サポート対象の VPN ベンダーに対してのみ表示されます。


ユーザー認証 VPN セッションを認証するために必要な方法を選択します。

パスワードエンドユーザーが VPN を利用する際に必要となる資格情報を入力します。

クライアント証明書ドロップダウンを使用してクライアント証明書を選択します。これらは「資格情報を展開す

る (Android)」プロファイルで構成されます。

証明書失効有効にした場合、証明書失効がオンになります。

AnyConnect プロファイル AnyConnect プロファイル名を入力します。

FIPS モード有効にした場合、FIPS モードがオンになります。

厳密モード有効にした場合、厳密モードがオンになります。

ベンダーキーベンダー構成辞書にアクセスするためのカスタムキーを作成します。

キーベンダーから提供された固有のキーを入力します。

付加価値各キーの VPN 値を入力します。


[Cisco AnyConnect] 接続および [Juniper Junos Pulse] 接続の場合、VPN プロファイルを展開する前に、各デバイスに特定のアプリケーションをインストールしておく必要があります。これらのアプリケーションは、[AppCatalog] 内に[推奨アプリ]として含めることができます。このようにすれば簡単にアクセスできます。

アプリベース VPN を構成する (Android)

選択したアプリケーションは社内 VPN 経由で接続を強制することができます。VPN プロバイダでこの機能がサポートされている必要があり、また、管理アプリケーションとしてアプリを公開する必要があります。

注: アプリベース VPN は内部アプリをサポートしてません。



VMware, Inc. 67

手順


2 [Android] を選択して設定を構成します。

3 リストで [VPN] ペイロードを選択します。

4 [接続タイプ] フィールドから、VPN ベンダーを選択します。

5 VPN プロファイルを設定します。

6 [アプリベース VPN] を選択して、現在の VPN プロファイル設定に対する VPN UUID を生成します。VPN UUIDは、この VPN 構成に対する一意の識別子です。


この手順を既存の VPN プロファイルに対する更新処理として実行した場合、このプロファイルを現在使用している既存のデバイス/アプリケーションが更新されます。また、VPN UUID を使用していなかったデバイス/アプリケーションは、VPN プロファイルを使用するよう更新されます。

次のステップ

アプリベース VPN プロファイルを使用するパブリックアプリを構成するには、「「Android 用パブリックアプリケーションを追加する」」を参照してください。

権限の設定 (Android)Workspace ONE UEM コンソールによって、管理者は、アプリで使用しているすべての権限のリストを表示し、アプリのランタイム時に既定の操作を設定できるようになります。権限プロファイルは、Work 管理対象デバイスモードを使用する Android 6.0 以降のデバイスで使用できます。

各 Android バッジアプリのランタイム権限ポリシーを設定できます。個々のアプリレベルでアプリを構成するときに、最新の権限が取得されます。権限は、すべての Android バッジアプリに適用されます。

注: アプリで使用されるすべての権限は、例外リストからアプリを選択すると表示されます。ただし、WorkspaceONE UEM コンソールからの権限ポリシーは Google が危険と判断した権限にのみ適用されます。危険な権限は、ユーザーの個人情報を含むデータ、またはユーザーが保存したデータに影響を及ぼす可能性があるデータをアプリが

要求する領域も対象とします。詳細については、Android 開発者の Web サイトを参照してください。

手順




VMware, Inc. 68

3 次を含む権限設定を構成します。

設定説明

権限ポリシーすべての Work アプリに対して、[ユーザーに権限のプロンプトを表示する]、[すべての権限を付与する]、または[すべての権限を拒否する]かどうかを選択します。

例外すでに AirWatch に追加されている (アプリを承認した Android のみを含めた) アプリを検索して、アプリの権限ポリシーに例外を作成します。

4 [保存して公開] をクリックし、プロファイルをデバイスに割り当てます。

シングルアプリモードを構成する (Android)シングルアプリモードにすると、内部およびパブリックアプリケーションがサポートされているホワイトリスト設定によって、キオスクモードなどのある目的のために Android デバイスを使用できるようになります。

注: サポートされているアプリケーションの詳細については、Workspace ONE UEM コンソールでシングルアプリモードプロファイル内のリンクを参照してください。このリンクから該当する Google Developer サイトに移動します。

注: AirWatch アプリケーションは現在、シングルアプリモードをサポートしていません。

シングルアプリモードの最適な使用方法およびベストプラクティスについては、「「シングルアプリモードのベストプラクティス (Android)」」を参照してください。

手順



3 シングルアプリモード設定を構成するには、次を実行します。

設定説明

ホワイトリストアプリ目的のアプリを選択して、デバイスをシングルアプリモードにロックします。

アプリは、[アプリとブック] でホワイトリストに登録されます。詳細については、「「Android用パブリックアプリケーションを追加する」」を参照してください

シングルアプリモードのベストプラクティス (Android)

シングルアプリモードのポリシーを使用して、ある目的のために最適なエクスペリエンスとメンテナンスができるようにこれらのポリシーと制限事項を適用することを検討してください。キオスクのデバイスのシングルアプリモードプロファイルと、エンドユーザーがデバイスに関連付けられていないデジタルサイネージユースケースを展開している場合は、これらの推奨事項が役立ちます。


VMware, Inc. 69

「制限事項」プロファイルを作成し、プロファイル内で次を構成します。

n [デバイス機能] の下で、次のオプションを無効にします。

n [ステータスバーを許可] - デバイスがシングルアプリにロックされるときに効果があります。

n [キーガードを許可] - デバイスがロックされなくなります。

n [デバイス機能] の下で、次のオプションを有効にします。n AC 充電ケーブルが接続されているときは画面を常にオンにする

n USB 充電ケーブルが接続されているときは画面を常にオンにする

n ワイヤレス充電を行っているときは画面を常にオンにする

これらのオプションは、デバイスの画面が相互作用のために常にオンになっているようにします。

システム更新ポリシープロファイルを展開して、デバイスが手動での介入を最小限に抑えて最新の修正を受け取れるようにします。

日付/時刻を設定する日付と時刻およびその表示形式を設定し、地域に合った形式で日付と時刻が表示されるようにします。

手順


2 プロファイルをデバイスに展開するには、[デバイス] を選択します。

3 プロファイルの [全般] 設定を構成します。[[日付と時刻]] プロファイルは、[[OEM 設定]] フィールドを [[有効]]に切り替えた場合にのみ表示されます。

4 [日付と時刻] ペイロードを選択します。


VMware, Inc. 70

5 ｢日付と時刻｣で設定を構成します。

設定説明

日付のフォーマット [月]、[日]、および[年]の表示順序を変更できます。

時刻のフォーマット [12 時間] または [24 時間] を選択します。

日付/時刻デバイス上で日付と時刻の設定をどのデータソースから取得するかを指定します。

n [自動] – デバイスのネイティブ設定に基づいて日付と時刻が設定されます。

n [サーバ上の時間] – Workspace ONE UEM コンソールのサーバ時刻に基づいて、日付/時刻が設定されます。

n [タイムゾーン] – タイムゾーンを指定します。

n [HTTP URL] – URL に基づいて日付と時刻が設定されます。任意の URL を使用できます。例: www.google.com。

n [URL] – 日付と時刻情報を配信している Web アドレスを入力します。

n [周期的な同期を有効にする] – このオプションを有効にした場合、デバイス上で日付と時刻が数日間隔で定期的に検査されます。

n [時間帯を設定] – タイムゾーンを指定します。

n [SNTP サーバ]

n [URL] – 日付と時刻情報を配信している Web アドレスを入力します。例:time.nist.gov。



AirWatch Launcher プロファイルを作成する (Android)AirWatch Launcher は、個々のユースケースの Android デバイスをロックダウンし、管理対象 Android デバイスの外観と動作をカスタマイズすることができるアプリランチャーです。AirWatch Launcher アプリは、特注のランチャーを使用したデバイスインターフェイスをビジネスニーズに置き換えます。

Android 6.0 Marshmallow および以降のデバイスを、企業所有の特定業務専用 (COSU) モードで構成できます。COSU モードにすると、内部およびパブリックアプリケーションがサポートされるホワイトリスト設定によって、キオスクモードなどのある目的のためにデバイスを構成できるようになります。シングルアプリモード、マルチアプリモード、およびテンプレートモードでは、COSU モードがサポートされています。COSU モードでの AirWatchLauncher プロファイルの展開の詳細については、「AirWatch Launcher ガイド」を参照してください。

手順


2 プロファイルの [全般] 設定を構成します。

これらの設定では、プロファイルの展開方法およびプロファイルの受信者を指定します。

3 [Launcher] プロファイルを選択します。


VMware, Inc. 71

4 アプリモードを選択します。

設定説明

シングルアプリこの項目を選択した場合、デバイスがモバイルキオスクビューに固定され、1 つのアプリしか使用できなくなります。

マルチアプリこの項目を選択した場合、デバイス上で使用できるアプリが限定されます。

テンプレートこの項目を選択した場合、画像、テキスト、およびアプリを使用してデバイスのホーム画面

をカスタマイズできます。

5 選択したアプリモードを構成します。

6 プロファイルを Workspace ONE UEM コンソールに追加するには、[保存] を選択します。プロファイルを追加し、すぐに適切な Android デバイスに展開するには、[保存して公開] を選択します。

ファイアウォールルールを構成する (Android)管理者は [ファイアウォール] ペイロードを使用して Android デバイスのファイアウォールルールを構成することができます。各ファイアウォールルールタイプに対して、複数のルールを追加できます。

注: ファイアウォールペイロードは、SAFE 2.0 以降のデバイスにのみ適用されます。

手順

1 [デバイス] - [プロファイルとリソース] - [プロファイル] - [追加] - [プロファイルを追加] - [Android] または[Android (Legacy)] の順に進みます。


3 プロファイルの [全般] を設定します。[ファイアウォール] プロファイルは、[OEM 設定] フィールドが有効になり、Samsung が [OEM の選択] フィールドから選択された場合にのみ、[Android] プロファイルに対して表示されます。[全般] プロファイルの [OEM 設定] フィールドは、Android プロファイルにのみ適用され、Android(Legacy) 構成には適用されません。

[全般] 設定は、プロファイルの展開方法と展開対象となるユーザーを指定するためのものです。

4 [ファイアウォール] プロファイルを選択します。

5 目的のルールの下にある [追加] ボタンを選択し、設定を構成します。

設定説明

許可ルールこのオプションを有効にした場合、デバイスは特定のネットワークの場所で送受信を行うこ

とができます。

拒否ルールこのオプションを有効にした場合、デバイスは特定のネットワークの場所で送受信を行うこ

とができません。

経路変更ルールこのオプションを有効にした場合、トラフィックは特定のネットワークの場所から代替ネッ

トワークにリダイレクトされます。許可されたウェブサイトを別の URL にリダイレクトする場合は、リダイレクト先の URL もすべて許可ルールセクションに追加し、アクセスできるようにしてください。

Redirecaccessed.ion このオプションを有効にした場合、トラフィックはリダイレクトされません。


VMware, Inc. 72


ファイアウォール構成が IP アドレスベースのツールの場合は、ホスト名を追加することによる設定は、IP アドレスによる設定のようにうまく機能しない場合があります。Google や Amazon によるサービスは常に静的 IPアドレスを維持するとは限らないため、ホスト名の使用をお勧めしていますが、その結果、パフォーマンスにば

らつきが出ることがあります。

APN プロファイルを構成するAndroid デバイスのアクセスポイント名 (APN) 設定を構成することにより、多数のデバイスのキャリア設定を統一することや、構成ミスを修正することができます。

手順



3 プロファイルの [全般] 設定を構成します。APN プロファイルは、[[OEM 設定]] フィールドを [[有効]] に切り替えられ、[[OEM の選択]] フィールドで Samsung が選択された場合にのみ表示されます。

[全般] プロファイル設定は、プロファイルの展開方法と展開対象となるユーザーを指定するためのものです。

4 [[APN]] ペイロードを選択します。

5 次を含む、[[APN]] の設定を構成します。

設定説明

表示名わかりやすいアクセス名を入力します。

アクセスポイント名 (APN) キャリアから提示された APN を入力します（例：come.moto.cellular）。

モバイル国コード (MCC) 3 桁の国コードを入力します。この値に基づいて、デバイスがここで入力したキャリアと異なるキャリア上でローミングしているかどうかが検査されます。

モバイル国番号は、モバイルネットワークコード (MNC) と組み合わせて使用されます。これにより、GSM (GSM-R を含む)、UMTS、LTE の各モバイルネットワークを使用しているモバイルネットワーク事業者 (キャリア) を一意に識別できます。

モバイルネットワークコード (MNC) 3 桁のネットワークコードを入力します。この値に基づいて、デバイスがここで入力したキャリアと異なるキャリア上でローミングしているかどうかが検査されます。モバイルネットワークコードは、モバイル国番号 (MCC) と組み合わせて使用されます。これにより、GSM (GSM-R を含む)、UMTS、LTE の各モバイルネットワークを使用しているモバイルネットワーク事業者 (キャリア) を一意に識別できます。

MMS サーバ (MMSC) サーバのアドレスを入力します。

MMS プロキシサーバ MMS のポート番号を入力します。

MMS プロキシサーバポートプロキシサーバのターゲットポートを入力します。

サーバ接続に使用するサーバのホスト名または IP アドレスを入力します。

プロキシサーバプロキシサーバの詳細情報を入力します。

プロキシサーバポートすべてのトラフィックに対して使用するプロキシサーバポートを入力します。[追加] を選択し、このプロセスを続行します。

アクセスポイントユーザー名アクセスポイントに接続する際に使用するユーザー名を入力します。


VMware, Inc. 73

設定説明

アクセスポイントパスワードアクセスポイントで認証を受けるパスワードを入力します。

認証タイプ認証プロトコルを選択します。

優先 APN として設定するこのオプションを有効にした場合、すべてのデバイスに同じ APN 設定が適用されます。また、デバイスまたはキャリアによる変更を防止できます。


エンタープライズ工場出荷状態リセット保護

工場出荷状態の保護 (FRP) は、デバイスが紛失したか盗まれた場合に、誰かがそれをワイプして工場出荷状態にリセットできないようにするためのセキュリティメソッドです。

工場出荷状態にリセットするには、デバイスの元の Google アカウント（セットアップに使用したアカウント）を使用してサインインする必要があります。元の Google アカウントでサインインすると、デバイスが返却されたときにユーザーが FRP を有効にしている場合、問題が管理者に提示されます。デバイスが組織に返却されたときに（ユーザーが会社を辞めるなど）、管理者はデバイスを再度セットアップすることができません。

エンタープライズ工場出荷状態へリセットの保護を構成する (Android)

[エンタープライズ工場出荷状態へリセットの保護] プロファイルを使用すると、デバイスを設定またはリセットを完了するための Google ユーザー ID を作成できます。この Google ユーザー ID を使用すると、元の Google アカウントがなくてもデバイスをリセットできます。プロファイルを構成するには、People:get API を使用して、Googleユーザー ID を取得します。

また、デバイス管理コマンドからデバイスに対するデバイスワイプを実行するときに、FRP を削除できます。デバイス管理の詳細については、「「デバイス管理コマンド (Android)」」を参照してください。

手順



3 [[エンタープライズ工場出荷状態へリセットの保護]] ペイロードを選択します。

4 貴社のアプリケーション展開に必要な制御レベルに応じて以下の項目を構成します。

設定説明

Google ユーザー ID Google People:get から取得した Google ユーザー ID を入力します。


Zebra MX プロファイルの構成 (Android)Zebra MX プロファイルによって、Android デバイスの Zebra MX サービスアプリで提供される追加機能を利用できるようになります。Zebra MX サービスアプリは、Google Play と AirWatch Resources からプッシュし、Workspace ONE UEM Console でこのプロファイルとともに内部アプリとして配布できます。


VMware, Inc. 74

手順


2 必要に応じて、プロファイルの [全般] を設定します。[[OEM 設定] ]フィールドを有効にし、[[OEM を選択] ]フィールドからの Zebra を選択して、Zebra MX プロファイルを有効にします。

3 Zebra MX プロファイル設定を構成するには、次を実行します。

設定説明

Fusion 設定を含めるこのオプションを有効にした場合、Fusion オプションを拡張し、Motorola デバイス用 Fusionアダプタと組み合わせて使用することができます。

Fusion 802.11d を設定するこのオプションを有効にした場合、Fusion 802.11d を使用できます。また、Fusion 802.11dに関する情報を設定できます。

802.11d を有効にするこのオプションを有効にした場合、802.11d ワイヤレス規格を利用して、他の制御ドメイン内でデバイスを使用することができます。

国別コードを設定するこのオプションを有効にした場合、国別コードを設定し、802.11d 規格を利用してデバイスを使用することができます。

周波数帯を設定するこのオプションを有効にした場合、2.4 GHz、5 GHz、またはその両方の周波数帯を選択できます。また、適切なチャネルマスクも選択できます。

機内モードを許可機内モードの設定画面へのアクセスを許可します。

疑似ロケーションを許可疑似ロケーションを有効化/無効化できます (｢設定｣ > ｢開発者オプション｣)。

バックグラウンドデータを許可バックグラウンドデータを有効化/無効化できます。

スリープモードで Wi-Fi 切断を許可する [常にオン] －デバイスがスリープモードに移行しても、Wi-Fi は有効化されたままです。

[プラグ接続時のみ] －デバイスが充電中の場合のみ、デバイスがスリープモードに移行しても、Wi-Fi は有効化されたままです。

[オンにしない] －デバイスがスリープモードに移行すると、Wi-Fi は無効になります。

ローミング中のデータ使用ローミング中にデータ接続を許可します。

Wi-Fi を強制的にオンにするユーザーがオフにできないように Wi-Fi を強制的に有効にします。

Bluetooth を許可 Bluetooth の使用を許可します。

クリップボードを許可コピー/貼り付けを許可します。

ネットワーク監視通知を許可ネットワーク監視警告通知を有効にします。この通知は通常、証明書をインストールした後

に表示されます。

日付/時刻設定を有効化日付/時刻設定を有効にします。

日付のフォーマット月、日、および年を表示する順序を決定します。

時刻のフォーマット 12 または 24 時間を選択します。


VMware, Inc. 75

設定説明

日付/時刻デバイス上で日付と時刻の設定をどのデータソースから取得するかを指定します。

n [自動] – デバイスのネイティブ設定に基づいて日付と時刻が設定されます。

n [サーバ上の時間] – Workspace ONE UEM コンソールのサーバ時刻に基づいて、日付/時刻が設定されます。

n [タイムゾーン] – タイムゾーンを指定します。

n [HTTP URL] – URL に基づいて日付と時刻が設定されます。任意の URL を使用できます。例: www.google.com。

n [URL] – 日付と時刻情報を配信している Web アドレスを入力します。


n [時間帯を設定] – タイムゾーンを指定します。

n [SNTP サーバ]

n [URL] – 日付と時刻情報を配信している Web アドレスを入力します。例:time.nist.gov。


ミュージック、動画、ゲーム、その他のメディアデバイス上で固定したいボリュームレベルにスライダを設定します。

着信音と通知デバイス上で固定したいボリュームレベルにスライダを設定します。

通話デバイス上で固定したいボリュームレベルにスライダを設定します。

デフォルト通知を有効にするこのオプションを有効にした場合、デバイスに既定の通知が表示されたときに音が鳴ります。

ダイアルパッドタッチトーンを有効にするこのオプションを有効にした場合、ダイアルパッドのタッチトーンが鳴ります。

タッチトーンを有効にするこのオプションを有効にした場合、タッチトーンが鳴ります。

画面ロック音を有効にするこのオプションを有効にした場合、デバイスがロックされたときに音が鳴ります。

｢タッチ操作時にバイブレート｣を有効にするこのオプションを有効にした場合、バイブレート設定が有効化されます。

表示設定を有効化表示設定を有効にします。

ディスプレイの明るさデバイス上で固定したい明るさにスライダを設定します。

スクリーンの自動回転を有効にするこのオプションを有効にした場合、画面表示が自動回転します。

スリープ設定デバイスがスリープモードになるまでの無操作時間を指定します。


カスタム設定の使用 (Android)AirWatch がネイティブペイロードで現在サポートしていない Android の新機能がリリースされた場合は、[カスタム設定] ペイロードを使用します。[カスタム設定] ペイロードと XML コードを使用して、特定の設定を手動で有効または無効にします。

手順


2 プロファイルの [全般] 設定を構成します。


VMware, Inc. 76

3 該当するペイロード (例: 制限事項、パスコード) を構成します。

"test" 組織グループに保存されている、お客様のプロファイルのコピーを使用できます。これにより、ユーザーへの影響を回避しつつ、保存して公開する準備を行うことができます。

4 プロファイルを公開せずに [保存] します。

5 [プロファイルリスト表示]で、カスタマイズしたいプロファイルの行に対するラジオボタンを選択します。

6 上端の [XML] ボタンを選択し、プロファイル XML を表示します。

7 制限事項やパスコードなど、以前構成したテキストの中の、<characteristic> ... <characteristic> で囲まれた部分を探します。このセクションには、その目的を示す構成タイプ (例: 制限事項) が含まれています。

8 このセクションをコピーし、XML 表示を閉じます。プロファイルを開きます。

9 [カスタム設定] ペイロードを開き、[構成] をクリックします。コピーした XML をテキストボックスにペーストします。ペーストした XML コードには、<characteristic> から <characteristic> までの完全なコードブロックが含まれている必要があります。

10 構成済みの元のペイロードを削除するため、ベースペイロードセクションを選択し、｢-｣ボタンをクリックします。新機能に対するカスタム XML コードを追加することにより、プロファイルの機能を強化できます。

最新のバージョンにアップグレードされていないデバイスでは、設定した強化機能は無視されます。これはカス

タムコードなので、古いバージョンのデバイスでプロファイルをテストし、期待したとおりに動作するかどうかを検証する必要があります。



VMware, Inc. 77

共有デバイス 5共有デバイス/マルチユーザーデバイス機能を利用すると、個々のエンドユーザーに対して、セキュリティと認証を確実に導入できます。さらに、必要に応じて、機密情報に共有デバイスでアクセスできるエンドユーザーを限定することが可能です。

社内の従業員全員にデバイスを支給した場合、非常にコストがかかる可能性があります。Workspace ONE UEM では、デバイスを共有して、1 つの固定された構成をエンドユーザー全員に適用することも、それぞれのエンドユーザーに固有の構成設定を適用することも可能です。

共有デバイスを導入する場合、エンドユーザーにデバイスを展開する前に、まず該当する設定や制限事項でデバイスをプロビジョンする必要があります。展開後、Workspace ONE UEM は共有デバイスにシンプルなログインまたはログアウトプロセスを使用します。これにより、エンドユーザーが自分のディレクトリサービスまたは専用のログイン資格情報を入力するだけでログインできるようになります。エンドユーザーのロールにより、コンテンツ、機能、

およびアプリケーションなどの企業リソースへのアクセスのレベルが決定されます。このロールにより、ユーザーが

ログイン後に利用する機能やリソースが自動で構成されます。

ログインまたはログアウト機能は Workspace ONE Intelligent Hub 自体に組み込まれています。組み込みの機能であるため、加入状態に影響が及ばないことが保証され、デバイスが使用中であるかどうかにかかわらず、確実に管理

できます。

共有デバイスの機能

複数のユーザー間で共有されるデバイスの機能とセキュリティに関しては、以下のような基本機能を利用することが

できます。これらの機能があることも、コスト効率の高い、エンタープライズモビリティを最大限活用するためのツールとして、共有デバイスをお勧めする理由の 1 つです。

機能

n 企業の設定を維持したまま、エンドユーザーのエクスペリエンスをパーソナライズできます。

n デバイスにログインすると、そのエンドユーザーのロールと組織グループ (OG) に基づいて、企業アクセスと特定の設定、アプリケーション、およびコンテンツが構成されます。

n Workspace ONE Intelligent Hub に組み込まれているログイン/ログアウトプロセスを使用できます。

n エンドユーザーがデバイスからログアウトすると、そのセッションの構成設定がワイプされます。当該のデバイスは、別のエンドユーザーがログインできるようになります。

VMware, Inc. 78

セキュリティ

n デバイスをエンドユーザーに支給する前に、共有デバイス設定を使用してデバイスをプロビジョニング

n Workspace ONE UEM への加入状態を維持したまま、デバイスにログイン/ログアウト

n ログイン中にエンドユーザーをディレクトリサービスまたは専用の Workspace ONE UEM 資格情報で認証

n デバイスがログインしていない間もデバイスを管理

共有デバイスをサポートするプラットフォーム

共有デバイス/マルチユーザーデバイス機能をサポートするのは以下のデバイスです。

n Android 4.3 以降

n iOS デバイス（Workspace ONE Intelligent Hub v4.2 以上）、

n MacOS デバイス（Workspace ONE Intelligent Hub v2.1 以上）。

共有デバイスに独自の組織グループを付与する

シングルユーザーデバイスに見つからないプロファイルおよびポリシーの設定を共有デバイスに含める場合は、共有デバイスに独自の組織グループ付与できます。独自の組織グループを共有デバイスに付与すると、専用のコンテン

ツの配布が簡単にできるようになります。詳細については、「「共有デバイスの階層を定義する」」を参照してください。

共有デバイスの構成

複数のユーザーがデバイスを使用できるようにするには、デバイスを管理者が「代理セットアップ」するか、または、

マルチユーザーデバイスとして構成する必要があります。詳細は、「共有デバイスを構成する」を参照してください。

ログインおよびログアウト

共有デバイスにログインまたは共有デバイスからログアウトする際は、Workspace ONE UEM によってシングルユーザーデバイスとは異なる扱いを受けます。ユーザーのログイン時には、Workspace ONE UEM は即座にそのユーザーロールおよび組織グループに固有のプロファイル、アプリ、およびポリシーをプッシュします。ユーザーのログアウ

ト時には、以前のセッションのすべての設定が消去され、デバイスが別のユーザーによってログインできる状態にな

ります。詳細は、次のトピックを参照してください。


n 共有デバイス機能を使用するために Android を構成する

n 共有デバイスを構成する

n 共有デバイスの階層を定義する

n 共有 Android デバイスのログイン/ログアウト


VMware, Inc. 79

共有デバイス機能を使用するために Android を構成するAndroid デバイス上で共有デバイス機能を利用するには、Workspace ONE Intelligent Hub を使用してデバイスを加入し、AirWatch Launcher を既定のホーム画面として設定してから、Launcher プロファイルを作成して割り当てます。AirWatch Launcher は加入時に自動的にダウンロードされますが、デバイスにプッシュされる Launcherのバージョンを決める必要があります。

手順

1 [デバイス] - [デバイス設定] - [Android] - [サービスアプリケーション] の順に進みます。

2 該当する項目を構成します。

設定説明

Always use the Latest Version of Launcher この設定を有効にすると、AirWatch Launcher の最新バージョンがリリースされたときにデバイスに自動プッシュされます。

Launcher Version 展開したいバージョンをドロップダウンメニューから手動で選択できます。


4 [デバイス] - [プロファイルとリソース] - [プロファイル] - [追加] - [プロファイルを追加] - [Android] - [Launcher]の順に進み、サブ組織グループごとに Launcher プロファイルを構成します。このプロファイルには、該当する組織グループに共通する必須設定がすべて含まれます。

重要: [Persist Admin Passcode If Launcher Profile Is Removed From Device] 設定が有効になっていることを確認してください。この設定が有効になっていると、代理セットアップユーザーも共有デバイスユーザーも、管理者パスコードを入力しない限り Launcher を終了することはできなくなります。

代理セットアップユーザーに Launcher プロファイルを割り当てないでください。

5 代理セットアップユーザーを使用して、加入組織グループにデバイスを加入します。Launcher の .apk がインストールされ、既定でログイン画面が表示されます。

代理セットアップのマニフェストでは、Launcher プロファイルの前に Launcher の .apk をインストールする必要があります。

6 共有デバイスユーザーのグループ ID、名前、ログインパスワードを入力し、デバイスを共有デバイスユーザーと適切なサブ組織グループに割り当てます。Launcher プロファイルがデバイスに適用され、デバイスにログインしているユーザーがコンソールに反映されます。

重要: グループ ID は、共有デバイス設定の組織グループ割り当てモードで [Prompt for Organization Group]を選択した場合のみ入力します。

7 デバイスで Launcher プロファイルからログアウトします。デバイスが代理セットアップユーザーに再度割り当てられ、元の加入組織グループに戻ります。Launcher プロファイルは削除されます。


VMware, Inc. 80

共有デバイスを構成する

シングルユーザーデバイスの代理セットアップと同様、マルチユーザーデバイス（共有デバイス）の代理セットアップの手続きも、複数のユーザーが使用する予定のデバイスを、IT 管理者が代理でプロビジョンできます。

手順

u 必要に応じて、[セキュリティ] セクションで各欄の値を指定します。

設定説明

共有デバイスパスコードを必須にする

このオプションを有効にした場合、ユーザーは、デバイスをチェックアウトするため、セルフサービ

スポータルで共有デバイスパスコードを作成する必要があります。このパスコードは、シングルサインオンパスコードやデバイスレベルのパスコードとは異なります。

特殊文字を必須にするこのオプションを有効にした場合、ユーザーは、共有デバイスパスコード内に特殊文字 (例: @、%、&amp) を含める必要があります。

共有デバイスパスコード最小文字数共有デバイスパスコードの最小文字数を指定します。

共有デバイスパスコード有効期間(日)

共有デバイスパスコードの有効期間 (単位: 日) を指定します。

共有デバイスパスコードを最小時間(日) 保持する

共有デバイスパスコードの継続使用可能期間 (単位: 日) を指定します。この日数に達したら、パスコードを変更する必要があります。

パスコード履歴システムに保持しておく過去のパスコードの数を指定します。過去に使用したパスコードを再使用で

きないようにすると、セキュリティが向上します。

自動ログアウト有効指定時間が経過すると自動ログアウトするように構成します。

以下の時間経過後自動ログアウト [自動ログアウト] するまでの時間を指定します (単位: [分]、[時間]、または [日])。

シングルアプリモード有効化このチェックボックスを選択した場合、シングルアプリモードを構成できます。シングルアプリモードでは、エンドユーザーがデバイスにログインしたときに、1 つのアプリケーションしか使用できません。

シングルアプリモードで iOS デバイスをチェックアウトするには、エンドユーザーが自分の資格情報を使用してログインします。デバイスが再び返却済みになると、シングルアプリモードに戻ります。

シングルアプリモードを有効にすると、デバイスのホームボタンが無効になります。

注: シングルアプリモードは、監視モードの iOS デバイスのみに適用されます。

ログアウト時にデバイスパスコードを消去する (Android のみ)

ユーザーがマルチユーザー共有デバイスからログアウト (チェックイン) したときに現在のデバイスパスコードを消去するかどうかを指定します。

ログアウト時にアプリデータを消去(Android のみ)

ユーザーが共有デバイスからログアウト（共有デバイスをチェックイン）したときに、アプリのデー

タが消去されます。

ログアウト時にアプリを再インストー

ル（Android 仕事用管理対象デバイスおよび Android (Legacy) のみ）

ドロップダウンを使用して、常にユーザー間でアプリを再インストールするか、ユーザー間でアプリ

を再インストールしないかを選択します。Android (Legacy) 展開の場合、Hub がユーザー間でアプリデータをクリアできない場合、アプリの再インストールを選択することができます。

共有デバイスの階層を定義する

貴社のニーズに基づいて 1 つの組織グループの下にサブグループの階層を作成します。


VMware, Inc. 81

Workspace ONE UEM への初回ログイン時には、貴社組織の名前で作成された組織グループが 1 つ表示されます。この組織グループは、最上位の組織グループとなります。この下にサブグループを作成して、貴社の組織構造に沿っ

て階層構造を構築します。

手順

1 [グループと設定] - [グループ] - [組織グループ] - [組織グループ詳細] の順に進みます。

自社を表す組織グループが表示されます。

2 表示される [組織グループ詳細] に間違いがないことを確認してから、利用可能な設定を使用して、必要に応じて変更を加えます。変更を加えた場合は、[保存] を選択します。

3 [[サブ組織グループの追加]] を選択します。

4 最上位組織グループの直下に最初に作成する組織グループに関する、次の設定を入力します。

設定説明

名前表示したいサブ組織グループの名前を入力します。使用できる文字は英数字だけです。それ以外の文字は使用できません。

グループ ID エンドユーザーがデバイスのログイン時に使用する組織グループの ID を入力します。グループ ID は、加入時にデバイスを適切な組織グループに分類するために使用されます。

デバイスを共有するユーザーが、[グループ ID] を受け取っていることを確認してください。共有デバイスの構成によっては、デバイスのログイン時にユーザーによる [グループ ID] 入力が必要になります。

オンプレミス環境ではない場合、グループ ID は、共有 SaaS 環境全体にわたって組織グループを識別します。このため、すべてのグループ ID が一意である必要があります。

タイプサブ組織グループのカテゴリに適合する、事前構成されている組織グループタイプを選択します。

国組織グループが存在する国を選択します。

ロケール選択した国の言語分類を選択します。

カスタマーの

業種

このフィールド値は、[タイプ] の値が｢カスタマー｣である場合にのみ指定できます。｢カスタマーの業種｣のリストから選択します。

タイムゾーン組織グループが属しているタイムゾーンを選択します。


共有 Android デバイスのログイン/ログアウトAndroid デバイス上で共有デバイス機能を利用するには、Workspace ONE Intelligent Hub を使用してデバイスを加入し、Android Launcher を既定のホーム画面として設定する必要があります。AirWatch Launcher は、加入処理時に自動ダウンロードされます。

AirWatch Launcher をインストールし、既定のホーム画面として設定すると、デバイスはチェックイン状態になります。この状態の間、エンドユーザーはこの画面から別の画面に移動することはできず、デバイスをチェックアウト

するよう要求されます。プロファイルを削除し、デバイス全体を再び利用可能にするには、Workspace ONE UEMConsole を使用して、代理セットアップユーザーデバイス上で企業情報ワイプを実行します。


VMware, Inc. 82

手順

1 AirWatch Launcher のログイン画面で、グループ ID、ユーザー名、およびパスワードを入力します。AirWatch管理者コンソールで [ユーザーに組織グループをプロンプト表示する] を有効にした場合、エンドユーザーはログイン時に [グループ ID] を入力するよう要求されます。

2 [ログイン] を選択します。利用規約が表示された場合は、同意します。

デバイスが構成されます。ログインすると、エンドユーザーのスマートグループとユーザーグループの関連付けに基づいて、ユーザープロファイルがプッシュされます。

次のステップ

Android デバイスからログアウトするには、[設定] ボタンを選択し、[ログアウト] を選択します。


VMware, Inc. 83

Android 用のアプリケーション管理 6Workspace ONE UEM を使用して、Android のパブリックおよび内部アプリケーションと Web アプリを Androidデバイスにプッシュします。

このプロセスには、Workspace ONE UEM と Google Play ストア間の統合のためのアプリケーションの追加と承認が含まれます。承認されたら、スマートグループを使用してデバイスにアプリを割り当てます。スマートグループは Workspace ONE UEM の機能の 1 つであり、設定した条件に基づいてデバイスをグループ化できます。最後のステップは、利用規約を割り当てることです。

Workspace ONE UEM と Android の統合を使用してプッシュしたアプリの機能は、Google Play ストアにある対応するアプリと同じです。

ただし、Workspace ONE UEM の機能を使用してアプリケーションにポリシーを適用できます。たとえば、アプリの利便性を高める構成情報を追加することや、アプリの安全性を高める設定を構成することができます。

n 利便性を高めるには、｢アプリケーション構成を送信｣オプションを構成します。アプリの構成情報を使用した場合、サポートされているキー/値ペアを事前構成し、アプリと一緒にデバイスにプッシュすることができます。サポートされている値の例としては、ユーザー名、パスワード、VPN 設定などがあります。サポートされる値は、アプリごとに異なります。

n セキュリティ保護機能を追加するには、Android 用の Workspace ONE UEM プロファイルを使用します。プロファイルを使用した場合、パスコードを設定すること、制約事項を適用すること、および、認証用証明書を使用

することができます。

Workspace ONE UEM コンソールを使用すると、アプリのアルファ、ベータ、または本番バージョンをプッシュできます。アプリのアルファおよびベータバージョンを使用すると、本番環境バージョンをプッシュする前に互換性と安定性をテストできます。テスト用の特定のスマートグループを選択し、柔軟な展開を使用してどのアプリのバージョンをどのユーザーが受け取るかを決定できます。アルファまたはベータバージョンをプッシュするかどうかを選択しない場合、本番バージョンが自動的に割り当てられます。

アプリケーション割り当ての詳細については、「「Android 用アプリケーションの割り当て」」を参照してください。

重要: VMware 生産性アプリ（ブラウザ、Boxer、Content Locker など）は、Knox コンテナのデータ分離における技術的な制約のために、Android（レガシー）Knox コンテナの展開（デュアルペルソナやコンテナ専用モード）ではサポートされませんWorkspace ONE Intelligent Hub は外部からコンテナを管理し、内部のアプリと通信することはできません。Workspace ONE UEM Console と通信するためにアプリは Workspace ONE Intelligent Hubへの直接リンクを必要とするので、アプリをコンテナ内で構成することはできません。Knox で生産性アプリを使用するには、デバイスは Knox 3.x 以上が実行するデバイス上で Android Enterprise を使用して登録する必要があります。

VMware, Inc. 84


n Android 向け Workspace ONE Intelligent Hub

n Android で使用する内部アプリ

n Android 用パブリックアプリケーションを追加する

n Android 用アプリケーションの割り当て

n Google Play を有効化

n 統合機能

n Android での Samsung ネイティブ E メール

Android 向け Workspace ONE Intelligent HubAndroid 向け Workspace ONE Intelligent Hub は、Workspace ONE UEM が接続するネイティブ Android SDKAPI 管理層を有効にするアプリケーションです。

Workspace ONE UEM は Android デバイス上でネイティブ Android SDK API を使用して、管理機能および追跡機能を実現します。[ネイティブ Android SDK API] は、AirWatch Software Development Kit (SDK) を使用している、サードパーティ製アプリケーション、Workspace ONE Intelligent Hub、およびその他のアプリケーションで利用できます。

AirWatch SDK を使用した場合、アプリケーションは次に示す主要な MDM 機能を利用できます。

n 侵害状態のデバイスの検出

n GPS 追跡

n テレコム詳細情報

n ネットワーク詳細情報 (例: IP アドレス)

n バッテリおよびメモリに関する詳細な統計情報

n ネイティブ番号バッジ表示

加入処理が完了したら、Workspace ONE Intelligent Hub を使用してデバイス情報と設定を表示して管理します。デバイス情報を表示するには、デバイス画面の左部にある次のタブを使用します。

n [このデバイス] – 加入済みエンドユーザーの名前、デバイスのフレンドリ名、現在の加入状態、接続方法、および順守状態が表示されます。

n [デバイス状態] – 現在の加入状態が表示されます。n デバイスが現在接続しているサーバ

n デバイスが現在加入している組織グループ

n デバイスが現在接続している Wi-Fi SSID に関する情報を含めた現在のネットワーク状態

n [順守] – 現在デバイスに適用されている順守ポリシーが一覧表示されます。


VMware, Inc. 85

n [プロファイル] – 現在デバイスにインストールされているプロファイルが一覧表示されます。プロファイルリストで、同期していないプロファイルを更新したり、アンインストールしたプロファイルを再適用したりすること

ができます。

n [管理アプリ] – デバイスにインストールされ、Workspace ONE UEM の管理対象となっているアプリが一覧表示されます。また、各アプリのインストール状態も表示されます。

n [関連情報] – デバイスにインストールされている Workspace ONE Intelligent Hub のバージョン番号が表示されます。また、デバイスの加入処理時に同意したプライバシーポリシーへのリンクが表示されます。

基本的なデバイス管理機能を実行するには、画面上端にある Workspace ONE Intelligent Hub メニューを使用します。

n [デバイスを同期する] – 最新のデバイス情報を同期し、IT 管理者から更新を受信します。

n [App Catalog] – Workspace ONE Intelligent Hub またはネイティブウェブブラウザで、アプリケーションカタログを開きます。

その他の機能を利用するには、画面右上隅にあるアプリケーションメニューを使用します。

n [電話番号を編集] – 割り当てられている電話番号を修正します。

n [デバッグログを送信] – デバイスに関するデバッグログを Workspace ONE UEM に送信します。

n [デバイスを削除] – Workspace ONE UEM からデバイスを加入解除します。

Android 6.0 (Marshmallow) 以降を搭載しているデバイスでは、アプリやデバイスがアイドル状態のとき、節電機能が実行されます。ユーザーがデバイスの電源ケーブルを外し、画面を消した状態で一定時間そのままにしておくと、

デバイスが [スリープ] モードに移行し、スリープ状態になります。このとき、ネットワーク処理は実行されません。スリープモードは、Workspace ONE Intelligent Hub が Workspace ONE UEM に情報を報告する方法に影響します。

デバイスがバッテリで動作しており、かつ、画面が消えている状態が一定時間経過した場合、デバイスはスリープ

モードに移行し、一部の制限事項が適用されます。これにより、アプリケーションによるネットワークアクセスが停止され、また、ジョブと同期処理の実行が延期されます。デバイスがスリープモードに入ってから一定時間経過すると、WakeLock、アラーム、GPS、Wi-Fi の各設定に対する残りの制限事項が適用されます。

また、[アプリスタンバイ] モードでは、ユーザーがデバイスを操作していないとき、アプリケーションがアイドル状態であると判断されます。デバイスがいずれかのモードになっている場合、Workspace ONE UEM Console にデバイスの詳細情報は通知されません。ユーザーがデバイスの電源ケーブルを差し込んで充電するか、またはアプリケー

ションを起動すると、デバイスは通常状態に戻り、デバイスにインストールされている AirWatch アプリケーションから Workspace ONE UEM Console への通知処理が再開されます。

Hub および SDK で作成されたアプリケーション

AirWatch は、Android プラットフォーム用に作成するアプリケーションに統合する SDK を提供します。アプリケーションに SDK を統合することにより、アプリケーションで AirWatch の機能を活用できます。これらの機能には、SDK で作成されたアプリケーションへの認証の制御、SDK を使用するアプリケーション間でのシングルサインオンセッションの共有、などがあります。

ただし、[ユーザー入力によるキーの暗号化] を有効にして、Workspace ONE Intelligent Hub がアプリケーションパスコードまたは SSO セッションを他の SDK アプリケーションと共有できるようにする必要があります。


VMware, Inc. 86

AirWatch SDK for Android の詳細については、「AirWatch SDK for Android」というドキュメントを参照してください。

Workspace ONE UEM Console での SDL 機能の詳細については、「MAM Features With SDK Functions」というドキュメントを参照してください。

オプション [ユーザー入力によるキーの暗号化] の詳細については、Workspace ONE UEM のシステム設定に関するドキュメントで「Devices & Users / Android / Security」を参照してください。

Android で使用する内部アプリ内部アプリは、組織で開発する会社固有のアプリです。必ずしもパブリックアプリストアで検索できるようにする必要はなく、ユーザーが自分のデバイスからこのアプリにアクセスできるようにします。

内部アプリケーションを展開するには、次の 2 つのオプションがあります。

n プライベートアプリケーションとして Google Play に追加します。これらのアプリケーションは、Google Playで公開された後、Workspace ONE UEM Console でパブリックアプリケーションとして追加されます。

n アプリケーションの .apk ファイルをローカルファイルとしてホストします。Android 6.0 以降のデバイスの場合のみ。

Work 管理対象デバイス（Android 6.0 以降）の内部アプリのアップロードについては、Mobile ApplicationManagement (MAM) のドキュメントで「ローカルファイルとして内部アプリを追加および展開する」を参照してください。これらのアプリの承認、アップロード、およびユーザーへの割り当てを行うには、このセクショ

ンのすべての指示に従ってください。

Android Work プロファイルデバイス上で社内アプリを展開する場合は、Google Play for Work に社内アプリを追加して、Android の特定ユーザーが使用できるようにします。エンタープライズ資格情報を使用して Google Play開発者コンソールにログインして、アプリをアップロードします。ドメインのユーザーのみが Google Play for Work(バッジの付いたプレイストア) でこのアプリを表示できるようにする制限配布と呼ばれるオプションがあります。開発者のコンソールに内部アプリを追加した場合、これらのアプリは、パブリックアプリケーションとして扱われます。

注: 内部アプリケーションを追加する場合、[アプリベースの VPN プロファイル] トンネルは、現在 Android (Legacy)デバイスのみをサポートしています。ただし、Android Work プロファイルおよび Work 管理対象デバイスは、すべての内部アプリケーションで [[アプリベースの VPN プロファイル]] トンネルをサポートするわけではありません。

Android 用パブリックアプリケーションを追加するWorkspace ONE UEM コンソールから Google Play ストアを直接検索し、Android 統合にアプリを追加します。

手順

1 [アプリとブック] - [パブリック] - [アプリケーションを追加] に進みます。

2 [プラットフォーム] ドロップダウンメニューから [Android] を選択します。

3 [ソース] フィールドから [アプリストアを検索] を選択します。

4 [次へ] を選択するか、統合に追加するアプリケーションの [名前] を入力します。Google Play ストアが WorkspaceONE UEM コンソールから直接開きます。


VMware, Inc. 87

5 [検索] フィールドを使用するかアプリのセクションを参照して、目的のアプリを検索します。

6 [承認] を選択します。アプリケーションの権限を確認し、要求に従って承認を確認します。

アプリケーションが更新されている場合は、Google Play ストアで再承認を取得する必要はありません。

7 [詳細] タブのフィールド値を指定します。

設定説明

名前アプリの名前が表示されます。

App Store での表示アプリをダウンロードしたりそのアプリに関する情報を取得したりできる、アプリに対する

ストアレコードが表示されます。

カテゴリアプリの用途を特定するには、カテゴリを使用します。

カスタムアプリカテゴリを構成することも、そのアプリの事前コーディングされたカテゴリをそのまま使用することもできます。

対応モデルこのアプリを実行したいすべてのデバイスモデルを選択します。

アプリをサイレントインストールのみに指定する

Android

アプリを、Android サイレントアンインストール機能をサポートする Android デバイスに割り当てます。

Workspace ONE UEM は、パブリックアプリケーションをサイレントインストールまたはアンインストールできません。ただし、Android 標準デバイスまたは Android エンタープライズデバイスにどのアプリをプッシュするかを制御できます。Android エンタープライズデバイスは、サイレントアクティビティをサポートします。

管理元このアプリが属する、貴社の Workspace ONE UEM 組織グループ階層内の組織グループを表示します。

8 (オプション) [利用規約] タブで、アプリに対する [必要とする利用規約] を割り当てます。

利用規約にはアプリを使用するにあたっての注意事項を明記します。貴社がエンドユーザーに対して求める内容を明確にします。アプリがデバイスにプッシュされると、ユーザーに利用規約が表示されます。アプリを使用す

るためには規約に同意する必要があります。同意しない場合、ユーザーは該当アプリにはアクセスできません。

9 [SDK] タブを選択し、既定またはカスタムの [SDK プロファイル] と [アプリのプロファイル] をアプリに割り当てます。SDK プロファイルによって、アプリに高度な管理機能が適用されます。

10 [保存して割り当て] を選択し、アプリに対する｢柔軟な展開｣オプションを構成します。

次のステップ

アプリケーションが承認後にインポートされたことを確認します。コンソールが、割り当てグループを指定する次の

手順に移動します。

利用可能なオプションの詳細は、「「Android 用アプリケーションの割り当て」」を参照してください

Android 用アプリケーションの割り当てGoogle Play ストアからアプリを承認した後は、「割り当て」タブでスマートグループにアプリケーションを割り当てるため、Workspace ONE UEM コンソールにリダイレクトされます。


VMware, Inc. 88

手順

1 [割り当て] タブから、「割り当てを追加」を選択し、次の詳細を構成します。

設定説明

割り当てられたスマートグループ既存のスマートグループを選択するか新規作成します。

デバイス割り当てを表示する割り当てられたスマートグループ内のデバイスが一覧表示されます。

アプリ配信方法アプリのインストールを自動的に行うか (自動)、必要に応じて手動でインストールするか (オンデマンド) を設定します。

n [オンデマンド] －コンテンツがカタログなどの展開エージェントに展開されます。コンテンツをインストールするかどうかの判断、および、コンテンツをインストールするタ

イミングは、デバイスユーザーが決定します。

組織にとってそれほど重要ではないコンテンツにこのオプションの選択をお勧めします。

これは、ユーザーの希望時にアプリをダウンロードすることができるので、帯域幅の節

約と不必要なトラフィックの制限につながります。

n [自動] －デバイス加入処理時に、デバイス上にあるカタログなどの展開 Hub にコンテンツが展開されます。デバイス加入処理が完了した後、デバイスユーザーは、デバイス上のコンテンツをインストールするよう促されます。

組織とそのモバイルユーザーにとって最も重要なコンテンツには、このオプションの選択をお勧めします。

管理アクセス柔軟な管理を有効にし、デバイスがアプリにアクセスできるように AirWatch でデバイスを管理するよう設定します。

アプリトンネルアプリケーションレベルで VPN を構成し、「アプリベースの VPN プロファイル」を選択します。ユーザーは VPN を使用してアプリにアクセスするので、アプリへのアクセスと使用に関して信頼性とセキュリティを確保できます。

Android Legacy このアプリケーションで使用する VPN 構成プロファイルを選択します。このフィールドは、アプリトンネルが有効になっている場合に表示されます。

Android このアプリケーションで使用する VPN 構成プロファイルを選択します。このフィールドは、アプリトンネルが有効になっている場合に表示されます。

プレリリースバージョンアプリのアルファまたはベータ版をプッシュすることを選択します。アプリの本番バージョ

ンを自動的にプッシュしないことを選択します。

アプリケーション構成この機能を有効にすると、特定のアプリのオプションを構成し、その構成をアプリと一緒に

デバイスに自動で送信することができます。ユーザーがデバイス上でこれらの構成値を手動

で構成する必要はありません。

AirWatch SDK を使用するアプリケーションアプリが AirWatch SDK 機能を使用しているかどうか、および SDK 機能を適用するためのプロファイルが必要かどうかを指定します。

この機能はオプションであり、高度な設定を含んでいます。プロファイルの既定の設定の詳

細については、Mobile Application Management (MAM) のドキュメントで、「MAMFunctionality with Settings and Policies and the AirWatch SDK」を参照してください。

n [SDK プロファイル] ドロップダウンメニューでプロファイルを選択します。このプロファイルは、[設定とポリシー] で構成された機能 (既定) 、または [プロファイル] で構成された個々のプロファイルの機能を適用します。

n [アプリケーションプロファイル] ドロップダウンメニューで証明書プロファイルを選択し、アプリと AirWatch がセキュアに通信できるようにします。

例外を追加組織内で生じる通常と異なるユースケースに対しアプリケーションを展開します。

n [ユーザーグループ] と [デバイス所有形態] タイプを [条件] エリアの例外に適用します。

n [上書き値] を選択し、このオプションに特定の例外を作成します。[上書き値] オプションはプラットフォームによって異なります。


VMware, Inc. 89

2 [利用規約] タブで、アプリに対する [必要とする利用規約] を割り当てます。利用規約を必須にする設定はオプションです。利用規約にはアプリを使用するにあたっての注意事項を明記します。貴社がエンドユーザーに対して求める内容を明確にします。アプリがデバイスにプッシュされると、ユーザーに利用規約が表示されます。ア

プリを使用するためには規約に同意する必要があります。同意しない場合、ユーザーは該当アプリにはアクセス

できません。

a [オンデマンド]：デバイスユーザーがアプリカタログからアプリのインストールを選択すると、利用規約が表示されます。

b [自動]：デバイスユーザーがアプリカタログを開くと、利用規約が表示されます。

3 [保存して公開] を選択します。エンドユーザーがこのアプリを利用できるようになります。

Google Play を有効化AirWatch v9.2 以前で Android を構成した場合、割り当てられたデバイスで Work Play ストアにある Android アプリケーションを表示するには、Google Play for Work を有効にする必要があります。Workspace ONE UEMConsole 9.3 以降を展開している場合、このオプションは表示されません。

手順

1 [グループと設定] - [すべての設定] - [デバイスとユーザー] - [Android] - [Android EMM 登録] に進みます。

2 [Play ストアを有効化] を選択します。有効にすると、このオプションは「設定」画面に表示されなくなります。

統合機能

Android と Workspace ONE UEM Mobile Application Management を統合すると、次の機能と動作が提供されます。

デバイス上での Android アプリの識別

ブリーフケースアイコンは、Android のシステムの一部であるアプリケーションを識別します。

Android アプリへのアクセス

管理対象の Google Play から利用できます。

Android での Samsung ネイティブ E メールユーザーは Samsung ネイティブ E メールを使用して、複数の個人用およびビジネス用のメールアカウントをシームレスに管理できます。Samsung ネイティブ Exchange E メールは、Android の完全管理対象デバイス、Work プロファイルデバイス、および Work プロファイルを使用した完全管理対象デバイス（従来の COPE）のアプリケーション構成を使用して設定できます。

Samsung ネイティブ E メールは、証明書ベースの認証を使用して構成することも、使用せずに構成することもできます。


VMware, Inc. 90

Workspace ONE UEM console include: で Samsung ネイティブ E メールを構成する手順

n E メール認証用の資格情報プロファイルを作成します。Android の資格情報の詳細については、「「資格情報を展開する (Android)」」を参照してください。

n Samsung E メールのアプリ構成をセットアップします。Samsung E メールのアプリ構成の詳細については、「「Samsung E メール用のアプリ構成をセットアップする」」を参照してください。

証明書ベースの認証 (CBA) の使用

アプリ構成に証明書を含めるためには、次の 2 つの前提条件を満たす必要があります。

n アプリ構成を配布する前に、証明書を作成し、資格情報プロファイルまたは証明書の手動インストールのいずれ

かによって、デバイスに証明書をインストールする必要があります。

n 証明書のエイリアスを把握しているか、エイリアスの参照変数を使用する必要があります。

注: E メール構成が失敗しないように、次のことを行います。

n 証明書要求テンプレートで、参照値を使用して証明書のサブジェクト名を特定します。これをエイリアスに使用

します。

n Samsung E メールのアプリ構成で、必要な証明書設定に対して、上記で入力したのと同じ参照値を選択します。

Samsung E メール用のアプリ構成をセットアップする

Samsung ネイティブ E メールに適用する動作を定義するデフォルト設定を構成します。アプリケーション独自の動作を定義するには、アプリ固有のシステム設定を構成します。

UEM Console で、Samsung ネイティブ E メールの設定を構成します。

前提条件

アプリ構成をセットアップする前に、資格情報プロファイルを作成する必要があります。詳細は、「資格情報を展開す

る (Android)」を参照してください。

手順

1 [アプリとブック] > [パブリック] > [アプリケーションを追加] の順に進みます。

2 [プラットフォーム] ドロップダウンメニューから [Android] を選択します。

3 [ソース] フィールドから [アプリストアを検索] を選択します。

Google Play ストアが Workspace ONE UEM コンソールから直接開きます。

4 Samsung E メールアプリを選択し、[承認] をクリックします。

5 [保存して割り当て] を選択して続行し、[割り当ての追加] を選択します。

6 [アプリケーション構成] までスクロールダウンし、[有効] を選択して、Exchange または E メールの設定を表示および構成します。

7 参照値を使用して、ユーザー名、メールアドレス、証明書エイリアスなどの動的オプションを構成します。


VMware, Inc. 91

次のステップ


VMware, Inc. 92

Android デバイス管理の概要 7デバイスの加入作業と構成作業が完了したら、Workspace ONE ™ UEM Console を使用してデバイスを管理します。各種の管理ツールおよび管理機能を利用することにより、デバイスを常時監視することや、管理機能をリモートで実

行することができます。

UEM コンソールからすべてのデバイスを管理することができます。ダッシュボードの検索や表示形式はカスタマイズが可能で、フィルタ機能で簡単にデバイスを見つけることができます。指定した条件に当てはまるデバイスを特定

し、管理操作を実行します。デバイスのリスト表示には、現在貴社の Workspace ONE UEM 環境に加入しているすべてのデバイスと、その状態が表示されています。[デバイス詳細] ページには、デバイス固有の情報が表示されます。たとえば、現在デバイスにインストールされている、プロファイル、アプリケーション、

Workspace ONE Intelligent Hub のバージョン、適合 OEM サービスのバージョンなどです。デバイス詳細画面からデバイスに管理操作をリモートで実行することもできます。詳細画面はプラットフォームにより異なる場合があり

ます。


n デバイス管理コマンド (Android)

n ｢デバイスの詳細アプリ｣タブ

n SafetyNet の構成証明

n SafetyNet の構成証明を有効にする

n Android 固有のプロファイルの機能

n Android 固有の制限事項

デバイス管理コマンド (Android)Workspace ONE UEM Console を使用して Android の設定と構成を管理することができます。

管理者は、ロックデバイス、ワイプデバイスを含むワンタイムコマンドを実行し、Workspace ONE UEM コンソールからパスコードを変更することができます。Lollipop デバイスの場合、これらのコマンドは、デバイスの所有形態に応じて Work プロファイルまたは Work 管理対象デバイスのいずれかのレベルで適用されます。

次のコマンドは、このビューから使用できます。

n [ロックデバイス] – 選択したすべてのデバイスをロックし、ユーザーにデバイスのセキュリティ暗証番号を再入力するよう強制します。このオプションは、Work プロファイルと Work 管理対象デバイスに適用されます。

VMware, Inc. 93

n [デバイスワイプ –] 選択したデバイスからデータ、Eメール、プロファイル、MDM 機能を含むすべての情報を消去し、デバイスを工場出荷状態に戻します。この設定は Work 管理対象デバイスタイプにのみ適用されます。[エンタープライズ工場出荷時の保護] が有効になっている場合、ワイプする前に [エンタープライズ工場出荷状態へリセット保護] を無効にするためのプロンプトが表示されます。

n [エンタープライズワイプ] – Android デバイスから、Work プロファイルと Work 管理対象デバイスの機能を削除します。

｢デバイスの詳細アプリ｣タブWorkspace ONE UEM コンソールの [「デバイスの詳細アプリ」] タブには、デバイスでパブリックアプリケーションを制御するための代替オプションが含まれています。

管理者は、インストールステータス、アプリケーションの種類、アプリケーションのバージョン、アプリケーション識別子など、アプリケーションに関する情報を表示できます。

管理者はアクションメニューの [インストール] オプションを使用して、アプリケーションを Google Play for Workアプリにプッシュできます。その後、デバイスユーザーは、デバイスにアプリケーションをインストールできます。アクションメニューの [削除] オプションは、アプリケーションをデバイスからサイレントアンインストールします。

SafetyNet の構成証明SafetyNet の構成証明は Google の API で、デバイスの整合性を検証してデバイスが侵害状態でないことを確認するために使用されます。

SafetyNet はデバイスのソフトウェア情報とハードウェア情報を検証し、そのデバイスのプロファイルを作成します。この構成証明によって、特定のデバイスが改ざんまたは変更されているかどうかを確認することができます。

Workspace ONE UEM Console で SafetyNet Attestation API が実行されて、デバイスが侵害状態であることが報告されると、UEM Console のデバイス詳細画面でそのデバイスが侵害状態であることが報告されます。

SafetyNet の構成証明は、Workspace ONE Intelligent Hub でのみサポートされており、Google Play ストア版のAirWatch Agent または Workspace ONE ではサポートされていません。

注: SafetyNet の構成証明は、Android (Legacy) 展開では使用できません。

SafetyNet の構成証明を有効にするSafetyNet Attestation API を UEM Console で有効にして、デバイスの整合性を検証し、デバイスが侵害状態であるかどうかを判断します。

手順

1 [グループと設定] - [すべての設定] - [アプリ] - [設定とポリシー] - [設定] - [カスタム設定] の順に進みます

2 次のカスタム XML を [カスタム設定] フィールドに貼り付けます：{ "SafetyNetEnabled":true }

3 カスタム XML を保存します。


VMware, Inc. 94

4 UEM Console の [デバイス詳細] 画面の [概要] タブで、SafetyNet を確認します。SafetyNet の構成証明の状態が表示されない場合は、リモートコマンドを送信してデバイスを再起動できます。

デバイスコマンドの詳細については、「章 7 「Android デバイス管理の概要」」を参照してください

Android 固有のプロファイルの機能この章で示す機能マトリックスは、主要な OS 固有機能の概要です。Android 用デバイス管理に利用できる特に重要な機能を挙げています。

機能 Work プロファイル

Work 管理対象

デバイス

[アプリケーション制御]

ブラックリストアプリへのアクセスを無効化 ✓ ✓

必須アプリのアンインストールを防止する ✓ ✓

システム更新ポリシーを有効にする ✓

ランタイム権限管理 ✓ ✓

[Browser]

Cookie を許可 ✓ ✓

画像を許可 ✓ ✓

JavaScript を有効にする ✓ ✓

ポップアップを許可 ✓ ✓

位置情報追跡を許可 ✓ ✓

プロキシ設定を構成する ✓ ✓

Google セーフサーチを強制 ✓ ✓

YouTube セーフモードを強制 ✓ ✓

検索にタッチを有効にする ✓ ✓

既定の検索プロバイダを有効化 ✓ ✓

パスワードマネージャを有効にする ✓ ✓

エラーページの場合の代替ページを有効にする ✓ ✓

オートフィルを有効にする ✓ ✓

印刷を有効にする ✓ ✓

データ圧縮プロキシ機能を有効にする ✓ ✓

セーフブラウジングを有効にする ✓ ✓

ブラウザ履歴の保存を無効にする ✓ ✓

セーフブラウジングの警告の後の続行をブロックする ✓ ✓

SPDYプロトコルを無効にする ✓ ✓

ネットワーク予測を有効にする ✓ ✓

古い Web プラットフォームの機能を一時的に有効にする ✓ ✓


VMware, Inc. 95


Work 管理対象

デバイス

セーフサーチを強制する ✓ ✓

シークレットモードの可用性 ✓ ✓

Chromium へのサインインを許可する ✓ ✓

検索候補を有効にする ✓ ✓

翻訳を有効にする ✓ ✓

ブックマークを許可する ✓ ✓

特定の URL へのアクセスを許可する ✓ ✓

特定の URL へのアクセスをブロックする ✓ ✓

SSL の最小バージョンを設定する ✓ ✓

[パスコードのポリシー]

ユーザーに新しいパスコードを設定させる ✓ ✓

パスワード試行回数の上限 ✓ ✓

簡易なパスコードを許可 ✓ ✓

英数字のパスワードを許可する ✓ ✓

デバイスロック猶予時間 (分) を設定する ✓ ✓

パスコードの最長有効期間を設定する ✓ ✓

パスワード履歴の長さ ✓ ✓

パスワード履歴の長さ ✓ ✓

パスコード最小文字数を設定する ✓ ✓

最小の数字数を設定する ✓ ✓

最小の小文字数を設定する ✓ ✓

最小の大文字数を設定する ✓ ✓

最小の大文字数を設定する ✓ ✓

特殊文字の最小数を設定する ✓ ✓

最小のシンボル数を設定する ✓ ✓

[コマンド]

エンタープライズワイプを許可する ✓ ✓

デバイスワイプを許可する ✓

コンテナまたはプロファイルワイプを許可する ✓

SD カードワイプを許可する ✓

デバイスロック ✓ ✓

ロックコンテナまたはプロファイルを許可する

[Eメール]

ネイティブ E メール構成 ✓ ✓


VMware, Inc. 96


Work 管理対象

デバイス

連絡先とカレンダーの同期を許可する ✓ ✓

ネットワーク

VPN タイプを構成する ✓ ✓

アプリベース VPN を有効にする（特定の VPN クライアントにのみ使用可能） ✓ ✓

認証に Web ログオンを使用する（特定の VPN クライアントにのみ使用可能） ✓ ✓

HTTP グローバルプロキシを設定する ✓ ✓

Wi-Fi へのデータ接続を許可する ✓ ✓

常時 VPN に接続する ✓ ✓

[暗号化]

デバイス全体の暗号化を必須にする ✓ ✓

暗号化ステータスをレポートする

Android 固有の制限事項このマトリックスは、利用可能な制限プロファイルの構成についてデバイス所有形態タイプごとに概要をまとめたも

のです。

機能

Work 管理対象デバイスモード

Work プロファイルモード

[デバイス機能]

工場出荷状態リセットを許可 ✓ ✓

スクリーンキャプチャを許可 ✓ ✓

Google アカウントの追加を許可する ✓ ✓

Android Work アカウントの削除を許可する ✓

発信通話を許可する ✓

SMSの送受信を許可する ✓

資格情報の変更を許可する ✓

すべてのキーガード機能を許可する ✓

キーガード使用中、カメラを許可する ✓

キーガード使用中、通知を許可する ✓

キーガード使用中、指紋センサーを許可する ✓ ✓

キーガード使用中、Trust Hub State を許可する ✓ ✓

キーガード使用中、未編集通知を許可する ✓

AC 充電ケーブルが接続されているときは画面を常にオンにする (Android 6.0 以降) ✓

USB 充電ケーブルが接続されているときは画面を常にオンにする (Android 6.0 以降) ✓

ワイヤレス充電を行っているときは画面を常にオンにする (Android 6.0 以降) ✓


VMware, Inc. 97

機能



壁紙の変更を許可する (Android 7.0 以降) ✓

ステータスバーを許可 ✓

キーガードを許可する (Android 6.0 以降) ✓

ユーザーの追加を許可する

ユーザーの削除を許可する

セーフブートを許可する (Android 6.0 以降) ✓

壁紙の変更を許可する (Android 7.0 以降)

ユーザーアイコンの変更を許可する (Android 7.0 以降) ✓ ✓

アカウントの追加/削除を許可する ✓ ✓

システム UI (トースト、アクティビティ、アラート、エラー、オーバーレイ) の防止 ✓

[アプリケーション]

カメラを許可 ✓ ✓

Google Play を許可 ✓ ✓

Chrome ブラウザを許可する ✓

アプリストア外のアプリケーションのインストールを許可 ✓ ✓

設定でアプリケーション変更を許可する ✓

アプリケーションのインストールを許可する ✓ ✓

アプリケーションのアンインストールを許可する ✓ ✓

アプリケーション認証の無効化を許可する ✓ ✓

ユーザーチュートリアルと導入ヒントをスキップ ✓ ✓

アクセシビリティサービスのホワイトリスト設定を許可する ✓

[同期とストレージ]

USB のデバッグを許可 ✓

USB ストレージを許可**** ✓

物理ストレージメディアのマウントを許可 ✓

USBファイル転送を許可する ✓

バックアップサービスを許可する（Android 8.0 以降）****

[ネットワーク]

Wi-Fi の変更を許可する ✓

Bluetooth のペアリングを許可 ✓

Bluetooth を許可する（Android 8.0 以降） ✓

Bluetooth 連絡先の共有を許可する（Android 8.0 以降）***** ✓

Bluetooth の発信の接続を許可する***** ✓ ✓

すべてのテザリングを許可 ✓


VMware, Inc. 98

機能



VPN変更を許可する ✓

モバイルネットワークの変更を許可する ✓

NFC を許可 ✓

管理対象 Wi-Fi プロファイルの変更を許可する（Android 6.0 以降） ✓

[仕事用と個人用]

業務用と個人用のアプリ間でクリップボードの貼り付けを許可する ✓

業務アプリが個人アプリのファイルにアクセスすることを許可する ✓

個人アプリが業務アプリのファイルへアクセスすることを許可する ✓

個人アプリが業務アプリとファイルを共有することを許可する水

業務アプリが個人アプリとファイルを共有することを許可する

業務用連絡先の発信者 ID を電話画面に表示することを許可する ✓

業務用ウィジェットを個人用ホーム画面に追加することを許可する ✓

個人用連絡先アプリへの業務用連絡先の入力を許可する (Android 7.0 以降)

位置情報サービス

管理対象デバイスのみに適用されます。

｢位置情報へのアクセスを許可しない｣を許可する ✓ ✓

位置情報アクセスを許可する ✓ ✓

GPS 位置情報のみを許可 ✓ ✓

バッテリ節約モードを許可。位置情報更新のみ。 ✓ ✓

精度の高い位置情報のみを許可 ✓ ✓

Samsung Knox

Samsung Knox 設定は、[[OEM 設定]] フィールドが [[有効]] に切り替えられ、[[OEM の選択]] フィールドで [Samsung] が選択された場合にのみ表示されます。

デバイス機能

機内モードを許可 ✓

マイクを許可 ✓

疑似ロケーションを許可 ✓

クリップボードを許可 ✓

電源オフを許可 ✓

Home キーを許可 ✓

マイクが有効設定の場合、音声録音を許可 ✓

カメラが許可されている場合、ビデオ録画を許可 ✓

E メールアカウントの削除を許可 ✓

デバイスがアイドル状態の時、アクティビティの中断を許可 ✓

ユーザーによるバックグラウンドプロセス上限の設定を許可 ✓


VMware, Inc. 99

機能



ヘッドフォンを許可 ✓

同期とストレージ

SD カードの移動を許可 ✓

ワイヤレス更新を許可 ✓

Google アカウント自動同期を許可 ✓

SD カードに書き込みを許可 ✓

USBホストストレージの許可 ✓

アプリケーション

設定の変更を許可 ✓

開発者オプションを許可 ✓

バックグラウンドデータを許可 ✓

音声ダイヤル機能を許可 ✓

Google のクラッシュレポートを許可 ✓

S Beamを許可 ✓

資格情報のプロンプト表示を許可 ✓

S Voiceを許可 ✓

ユーザーがシステム署名のアプリケーションを停止することを許可する ✓

Bluetooth

Bluetooth 経由でのデスクトップの接続を許可 ✓

Bluetooth のデータ転送を許可 ✓

Bluetooth 経由の発信を許可します ✓

Bluetooth の検出モードを許可 ✓

Bluetooth のセキュアモードを許可 ✓

ネットワーク

Wi-Fi を許可 ✓

Wi-Fi プロファイルを許可 ✓

セキュアでない Wi-Fi を許可 ✓

セキュアな VPN接続のみを許可 ✓

VPNを許可 ✓

自動接続 Wi-Fi を許可 ✓

セルラーデータを許可 ✓

Wi-Fi Direct を許可 ✓

ローミング

ローミング時の自動同期を許可 ✓


VMware, Inc. 100

機能



ローミングが無効な場合、すべての自動同期を許可する ✓

ローミング通話を許可 ✓

ローミング中のデータ使用 ✓

ローミング時のプッシュメッセージを許可 ✓

電話とデータ

緊急(警察・救急)以外の通話を許可 ✓

モバイルデータの制限設定をユーザーに許可 ✓

WAPプッシュを許可 ✓

ハードウェア制限

Menu キーを許可 ✓

Back キーを許可 ✓

｢検索｣キーを許可 ✓

タスクマネージャを許可 ✓

システムバーを許可 ✓

｢音量｣キーを許可 ✓

セキュリティ

ロック画面の設定を許可 ✓

ファームウェアリカバリの許可 ✓

テザリング

USB テザリングを許可 ✓

MMS の制限事項

MMS の受信を許可する ✓

MMS の送信を許可する ✓

その他

デバイスのフォントを設定 ✓

デバイスのフォントサイズを設定 ✓

ユーザーにシステム署名済みアプリの使用停止を許可 ✓

セキュアな VPN接続のみを許可 ✓


VMware, Inc. 101

Documents

Android ぜ㌲㜰尳㔱ぜ㌰㌰尳ぜ㌲㔰尲㔱ぜ㌷㐰尳 …Android のネットワーク要件エンドユーザー デバイスがアプリケーションとサービスにアクセスするには、特定のエンドポイントに到達できる必

Android ぜ㌲㜰尳㔱ぜ㌰㌰尳ぜ㌲㔰尲㔱ぜ㌷㐰尳 …Android のネットワーク要件エンドユーザーデバイスがアプリケーションとサービスにアクセスするには、特定のエンドポイントに到達できる必