こんにちは。tkです。
Workspace ONEはVMware社が提供するUEM製品群の名前で、以下のようなサービスが含まれています。
※2022年3月時点の名称です。製品名はちょくちょく変わっています。
今回はデバイス管理のベースとなるWorkspace ONE UEMを触ってみたいと思います!
【システム構成】
今回はSaaSサービス版Workspace ONE UEMでスマホ(Android)を管理するシンプルな構成で検証してみます。
【Workspace ONE UEMの初期設定】
Workspace ONE UEMにログイン
①以下URLに接続する。https://cnXXX.awmdm.com/AirWatch/Login
※cnXXXは環境によって異なります
②ユーザー名を入力し、「次へ」をクリックする。
<https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/UEM_ConsoleBasics/GUID-AWT-LOGINTOCONSOLE.html>
言語の変更(英語から日本語)
最初は英語表示なので、日本語に変更します。①画面右上のアカウント名をクリックし、「Manage Account Settings」をクリックする。
②Time ZoneとLocaleを日本に変更し、「SAVE」をクリックする。
組織グループ作成
組織グループ(OG)とは、UEMでデバイスを管理する単位です。
Active DirectoryのOUと似たような考え方と思っています。
今回の検証では、デフォルトで用意されている組織グループの下にサブ組織グループをひとつ作成します。
① [グループと設定] > [グループ] > [組織グループ] を選択する。
②「詳細」より「サブ組織グループの追加」を選択する。
③「名前」「グループID」を入力する。
「国」「ロケール」「タイムゾーン」を日本にする。
④「保存」をクリックする。
組織グループについてはまだ別の記事で詳細を書きたいと思います。
APNs登録
Apple Push Notification Service(APNs)は、iPhoneやiPadなど、Apple社のデバイスを管理するのに必要です。
今回はAndroidで検証するためいったんスキップします。
APNs登録については後日記載します。
→こちらへ記載しました。
Android EMM登録
Androidデバイスを管理するために、Workspace ONEとGoogleアカウントを紐づけます。
※注意!!登録を実施した組織グループの配下の階層(サブ組織グループ)では、オーバーライド(上書き)による新たなGoogleアカウントを用いた登録が行えません
①[グループと設定] > [すべての設定] > [デバイスとユーザー] > [Android] > [Android EMM登録]を選択する
②「GOOGLEに登録する」をクリックし、画面表示に従い登録作業を行う
■参考(VMware社マニュアル)
<https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/Android_Platform/GUID-AndroidRegistrationRegisterAndroidwithWorkspaceONE.html>
プロファイル作成
パスコードを強制、カメラやスクリーンショットの禁止などをプロファイルとして配信することができます。
今回の検証ではパスコードを強制するプロファイルを作成します。
①[デバイス] > [プロファイルとリソース] > [プロファイル]を選択し、「追加」ボタン内の「プロファイルを追加」をクリックする
②検証対象のプラットフォームを選択する。(今回はAndroid)
③プロファイルの設定画面が表示されるため、プロファイルに名前を付ける。
(例:Android-Passcode-Profile)
④設定したい項目(今回はパスコード)で「追加」をクリックする。
以下の通り設定し、「次へ」をクリックする。
■Workパスコードポリシーを有効化:OFF
■デバイスパスコードポリシーを有効化:ON
■パスコードのコンテンツ:複素数の数値
■パスコード最小文字数:8
⑤「割り当て」でスマートグループに作成したサブ組織グループを指定し、「保存して公開」をクリックする
アプリ配信
業務で利用するアプリを配信できます。
今回はWorkspace ONEでの管理で利用する「Inteligent Hub」アプリを配信してみます。
①[アプリとブック] > [アプリ] > [ネイティブ] を選択し、「パブリック」で「アプリケーションを追加」をクリックする
②配信先のプラットフォーム(今回はAndroid)を選択し、配信するアプリを検索する。
「次へ」をクリックする。
③検索結果から対象アプリを選択する。
アプリの詳細が表示されるので「選択」をクリックする。
④「アプリケーションの編集」画面で「保存して割り当て」をクリックする。
⑤「配布」で名前や配信方法を設定する。
⑥「制限」で「管理対象のアクセス」をONにし、「作成」をクリックする。
⑦割り当ての一覧が表示されるので「保存」をクリックする。
順守ポリシー
デバイスか管理者の設定した状態になっているか監視し、非順守時にはデータを削除(ワイプ)したりできます。
①[デバイス] > [順守表示] > [リスト表示] を選択し、「追加」をクリックする。
②プラットフォームでAndroidを選択する。
③「ルール」を設定する。
今回の検証では以下の通り設定する。
④アクションを設定する。
今回の検証では以下の通り設定する。
⑥概要にて設定情報を確認し、「完了してアクティブ化」をクリックする。
ベーシックユーザー作成
Workspace ONEで管理するためにデバイスとユーザーを紐づける必要があるため、ユーザーアカウントを作成します。
ActiveDirectoryと連携してアカウントを自動作成することもできます。
今回は手動で作成します。
①[アカウント] > [ユーザー] > [リスト表示] を選択し、「追加」から「ユーザーを追加」をクリックする。
②必須項目を入力して「保存」をクリックする。
加入デバイスの「所有形態」を企業専用にする
Workspace ONEで管理するデバイスの所有形態を設定します。(企業所有のデバイスなのか、BYOD端末なのか)
所有形態が未定のままだとデバイスのパスコード変更、ワイプなど利用できない機能があります。(BYODで自分のスマホを急にデータ消されたりロックされたらたまらないですよね)
①[グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [加入]をクリックし、[グループ化]タブを選択する
②以下設定を変更し、「保存」をクリックする。
現在の設定:●オーバーライド
既定のデバイス所有形態:企業-専用
QRコード作成
AndroidデバイスをUEMに登録する方法は以下2つがあります。
今回の検証ではQRコードによる加入を行うため、加入用のQRコードを作成します。
①[デバイス] > [ライフサイクル] > [代理セットアップ] > [リスト表示] を選択し、「+加入設定」をクリックする。
②「プラットフォーム」でAndroidを選択する。
③「加入」でQRコードを選択する。
④登録構成ウィザードをすべてデフォルトで設定し、「概要」で「ファイルのダウンロード」をクリックする。
加入テスト
デバイスをWorkspace ONE管理下に登録する作業を加入と言います。
先ほど作成したQRコードを使って加入していきます。
※Androidは機種やバージョンで表示や順番等が異なる場合があります。今回はGooglePixel6で検証しています。
①デバイスを初期化した状態(ようこそ画面)にて、「ようこそ」(画面中央上部)を素早く6回タップする。
②QRコードをスキャンする。
③Wi-Fi接続画面にてインターネット接続可能なWi-Fiアクセスポイントへ接続する。
(通信できるSIMがある場合はスキップOK)
④「これは組織が所有するデバイスです」で「次へ」をタップする。
⑤「仕事用のセットアップを準備しています...」が表示されるため切り替わるまで待機する。
⑥Intelligent Hubのログイン画面が表示されるため、下記を入力する。
■サーバ:自動入力されたものでOK
■グループID:加入させる組織グループのグループID(今回は作成した組織グループ)
QRコード作成の際に設定していれば入力不要にできます
■ユーザー名:作成したユーザー名
■パスワード:作成したユーザーのパスワード
⑦「仕事用のデバイスをセットアップしましょう」で「同意して続行」をタップする。
⑧「このデバイスは非公開ではありません」で「次へ」をタップする。
UEMのデバイス一覧からも追加されていることを確認しましょう!
