Home > Blogs > VMware Japan End-User Computing Blog

AirWatchの基礎第16回〜Device Enrollment Program(DEP)の利用〜

AirWatchの基礎 第16回〜Device Enrollment Program(DEP)の利用〜

皆さん　こんにちは。

モバイルデバイスを企業で利用する際に、AirWatchを利用したEMMの必要性についてはこれまでのブログ記事でご理解されたのではないでしょうか？一旦、AirWatchへ登録してしまえば以降の作業は、AirWatch経由で行う事が出来て運用の簡素化を行う事が出来ますが、初期設定作業やキッティングについては、企業側でどのように行うか検討する必要があります。ここでいう初期設定作業やキッティングは、デバイスを梱包から空けて、初めて電源をいれた際の初期設定（言語設定/Wi-Fi接続/各種デバイス設定項目等）とその後、AirWatchまで登録（キッティング）を行い、利用出来る状態にする作業も含まれます。導入ベンダーに初期設定からキッティングをお願いする事が一般的かもしれませんが、自社ですべて実装する事を検討されている場合は、Apple Device Enrollment Program(DEP)を利用する事をご検討されてはいかがでしょうか？

このブログでは、AirWatchでApple社が提供の Apple Device Enrollment Program(DEP)を利用し、初期設定からキッティングの連携についてご紹介いたします。

Apple Device Enrollment Program(DEP)とは

iOSおよびmac OSデバイスを企業で利用する際に、Apple社から直接購入もしくはApple社正規販売店や通信事業者から購入する事で、デバイスを企業IDに紐づけ、管理された状態で出荷させる事が出来ます。これはApple Device Enrollment Program(DEP)と呼ばれており、ユーザは利用開始前にデバイスの直接操作を最小化し、自動的にデバイスをEMM(MDM)に登録させ、デバイスの管理を行う事が出来ます。AirWatchではDEPをサポートしており、ユーザの初期設定作業やキッティング作業工数を大幅に削減する事が出来ます。また、AirWatchのDEPに事前設定により、次の機能を有効化する事も出来ます。以下の設定は、DEPの利用でのみ提供出来る機能となります。

監視対象 (Apple configuratorもしくはDEPで設定可能)
MDMプロファイルロック(DEPでのみ設定可能)
OS更新(監視対象が有効でかつDEPでのみ設定可能)

DEPの詳細は、Apple社サイトを参照ください。なお、以下内容は、対象をiOSのDEPについて言及して記載致します。

Apple Device Enrollment Program(DEP)とAirWatchの連携

まず、Apple DEPサイト(http://deploy.apple.com/)で企業登録を行い、Customer IDの取得する必要があります。その際、企業に関連するメールアドレスでプログラムエージェントアカウント（企業の代表アカウント）を作成します。このメールアドレスは、DEPへサインインする時のApple IDとして利用されます。企業登録の詳細は、Apple DEP Guideを参照ください。

DEPサイトへのサインイン

登録したApple IDでサインイン

本人確認にために確認コードを発行(２要素認証)

スマートフォンにSMSで配信された確認コードを入力

ログイン後、Device Enrollment Programのサイトへ

AirWatchとDEPの統合

統合とは、AirWatchの組織グループとDEPを公開キーとトークンの受け渡しを行い、関連付けを行う事です。統合が終了した後にDEPデバイスを登録すると、対象の組織グループのデバイス＞ライフサイクル＞加入状態に、登録デバイスがリストされます。これにより、登録されたデバイスが起動した際に、予め設定された内容を元に、自動的にAirWatchの指定の組織グループへ加入処理が行われます。統合は、管理を簡素化させる為に顧客組織グループに一つにする事を推奨しています。

重要!!　統合作業は、AirWatchコンソールとDEPサイトの両方で作業を行います。AirWatchコンソールでDEPウィザードの設定を開始したら、ブラウザのセッションを開いたまま、別タブでそれぞれ作業を進める必要があります。1つのブラウザのセッションで構成全体を終了させないと、統合の保存をさせる事が出来ません。

[AirWatchコンソール]:統合する組織グループへ移動
[AirWatchコンソール]:グループと設定>すべての設定>デバイスとユーザ>Apple>デバイス登録プログラムより、構成を選択しDEPウィザードを開始
[AirWatchコンソール]:公開キーのダウンロードから、キーのダウンロードファイル名 MDM_DEP_PublicKey-<組織グループ名>.pem

[Apple DEPサイト]:サーバ管理からMDMサーバ追加を選択
[Apple DEPサイト]: MDMサーバ名を(任意)に入力し、次へ
[Apple DEPサイト]:ファイルを選択から公開キーのアップロードし、次へ
[Apple DEPサイト]:サーバトークンをクリックし、ダウンロードファイル名 <MDMサーバ名> _Token_<DATE>_smime.p7m

[AirWatchコンソール]:アプロードを選択して、サーバトークンをアップロードし、次へ
[AirWatchコンソール]: 認証を「オン」にし、デバイス所有形態や組織グループを設定し、次へ
[AirWatchコンソール]: プロファイル名、部門、御社内のサポート担当者連絡先に値を入力

加入用プロファイルを適宜設定

冒頭に記載した、監視対象やMDMプロファイルロックはこの設定を有効にする事で設定されます。

[AirWatchコンソール]:iOSデバイスの初期セットアップ時にユーザに手動で設定させる項目を選択
[AirWatchコンソール]: 設定内容を確認して保存
[AirWatchコンソール]:統合がされた事を確認

DEPデバイスをサーバ構成に登録

DEPの統合を行っても、どのデバイスがどのAirWatchの組織グループへ参加するか指定する必要があります。その操作の為に、Apple DEPサイトのデバイス管理から、購入済みのDEPデバイスをサーバ構成に割り当てを行う必要があります。割り当てにはシリアル番号の他に注文番号やcsvで作成されたファイルのアップロードも可能となります。

AirWatchコンソールから割り当てされたデバイスの同期

対象の組織グループのデバイス＞ライフサイクル＞加入状態を開き、追加よりデバイスの同期を実行すると、追加したデバイスがリストに追加されます。

加入状態からデバイスの同期

DEPと同期

同期後のデバイスリスト

加入前準備

DEPデバイスを登録した組織グループにユーザ・プロファイルおよびアプリ等の設定を行ってください。DEP環境だからといって特別な設定は必要ありません。

加入処理

デバイスの電源を初めて入れ、次の手順となります。

⑥までは、通常のiOSのセットアップ作業となり、⑦で統合されたAirWatchの組織グループへリダイレクトされます。

⑧でAirWatchの認証が行えれば、加入処理が行われ、以降は、DEPプロファイルで定義したiOSのセットアップ（例　パスコード/Touch ID/Siriなど）が続きます。iOSのセットアップが終了すると、AirWatchで設定したプロファイルおよびアプリケーションが配信され作業は終了となります。

運用でのヒント

追加でデバイスを購入した場合は、既設のサーバ構成にデバイスを登録し同期を取れば、加入状態にリストされます。但し、DEPデバイスがリストされた組織グループに、DEPデバイス以外のデバイスが加入しようとすると、加入が拒否されます。これは、この組織グループがホワイトリストとして登録されているデバイスとなる為、登録されていないデバイスが加入拒否される事は、正しい動作となります。リストされていないデバイスをDEPの組織グループへ加入させたい場合、手動でホワイトリストを作成しデバイスの追加が必要になります。
登録されたデバイスを別の組織グループへ加入させたい場合は、DEPのプロファイルの追加で別な組織グループを指定し、そのプロファイルにデバイスを移動（割り当て）させる事で実現出来ます。

プロファイルの追加

プロファイルの構成

*設定項目は、統合と同様ですので割愛させて頂きます。

なお、AirWatchの基礎第3回〜AirWatchへの初めてのログイン〜で投稿させて頂いた組織グループの階層の権限で、下部には移動（割り当て）できますが同一階層や上部には移動（割り当て）できませんのでご注意ください。また、加入ユーザも同様に、上部で登録されているデバイスに下部で登録されてユーザでは、加入出来ません。

下部の組織グループでのプロファイルを作成した後、そのプロファイルへデバイスの移動（割り当て）を行いたい場合は、右のアイコンの割り当ての編集から行う事が出来ます。

“このバッチタイプ用のテンプレートをダウンロードする”をクリックすると、csvファイルがダウンロードされますのでファイルを編集し、ファイルをアップロードください。csvファイルには、現在リストされているDEPデバイスのシリアル番号がリストされていますので、移動したいデバイスのシリアル番号のみ残し保存し、ファイルの選択からcsvファイルをアップロードしてください。

移動（割り当て）を行うと、以下図のように割り当て台数が表示されます。

まとめ

モバイルを企業で活用する上で、運用の簡素化は必須となります。DEPを利用する事で、デバイスの初期設定およびキッティング作業が最小化される事が出来ますので、AirWatchをご利用される場合、選択肢の一つとしてご検討してはいかがでしょうか？

参考資料

本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。　myAirwatchへこちら

ちょっとした技術的な TIPs のご紹介 (2017.03)

みなさん、こんにちは。VMwareでパートナー様を担当させて頂いてますSEの北村です。

約1か月ぶりの投稿になります。前回は Cloud Infrastructure Blog にちょっとした技術的な TIPs を投稿しましたが、今回は End-User Computing Blog に以下のTIPs を投稿したいと思います。

1. Horizon がサポートする Active Directory Domain Services (AD DS) ドメイン機能レベルについて
2. Horizonのライセンス・カウント

では、それぞれについて記載していきます。

1. Horizon がサポートする Active Directory Domain Services (AD DS) ドメイン機能レベルについて
前回のブログで、vSphere (vCenter Server と ESXi) がサポート対象としている Active Directory の Domain Function Level について記載している KB が更新され vSphere 6.5 の情報が追記された事をお伝えしましたが、Horizon でも同様の情報を製品ドキュメント内 (Active Directory の準備) で公開しています。

以下が、Horizon がサポートするActive Directory Domain Services (AD DS) ドメイン機能レベルになりますが、以下、ドキュメントからの抜粋になります。

=== ドキュメントからの抜粋 ===
■ Windows Server 2003
■ Windows Server 2008
■ Windows Server 2008 R2
■ Windows Server 2012
■ Windows Server 2012 R2
=== ドキュメントからの抜粋 ===

マイクロソフトさんのサイト (How to raise Active Directory domain and forest functional levels) を見ると、上記以外にも Windows Server 2003 interim (Windows Server 2003 中間) と言ったドメイン機能レベルもありますが、Horizon でサポート対象となるのは、前述のドキュメントからの抜粋の情報の通りとなります

この情報は常に意識しておく必要があるという類の物ではありませんが、Horizon のバージョンアップや新規インストールの際には必要な情報の1つだと思いますので、製品ドキュメントに記載がある事を覚えておいて頂けると幸いです。

2. Horizonのライセンス・カウント
Horizon のライセンスには、CCU (Concurrent User) と Named User (指定ユーザー) のライセンス使用モデルが用意されいます。CCU は同時接続ユーザー、Named User は指定ユーザーのライセンス形態になりますが、それぞれでどのようにライセンスのカウントがされているのかについて説明します。

Named User (指定ユーザー) は；

Horizon 環境にアクセスした一意のユーザーの数をカウント
複数の単一ユーザーデスクトップ、RDS デスクトップ、および、リモートアプリケーションを実行している場合、そのユーザーは 1 回だけカウント
Horizon Administrator (Horizon 管理UI) の [View構成] → [製品のライセンスと使用状況] の [現在] に View を最初にデプロイ/構成した以降のユーザー数、または、 [指定ユーザー数] を最後にリセットした以降のユーザー数を表示 ([最高] は、Named User には該当しない)

セッションあたりの単一ユーザーデスクトップ接続数をカウント
複数の単一ユーザーデスクトップを実行している場合、接続された各デスクトップセッションを個別にカウント
RDS デスクトップ、および、アプリケーションの接続数は、ユーザーごとにカウント
複数の RDS デスクトップセッション、および、アプリケーションを実行している場合、そのユーザーは 1 回だけカウント
単一ユーザーデスクトップと、追加で RDS デスクトップ、および、アプリケーションを実行している場合、そのユーザーは 1 回だけカウント
Horizon Administrator (Horizon 管理UI) の [View構成] → [製品のライセンスと使用状況] の [最大] には、View を最初にデプロイ/構成した以降、または、 [最大数] を最後にリセットした以降の同時デスクトップセッション、ならびに RDS デスクトップ、および、アプリケーションユーザーの最大数を表示

上記は製品マニュアル (製品ライセンスの使用状況の監視) にも記載がありますので、時間がある時に参照頂けると幸いです。

どうでしょうか。ライセンス使用モデルが違う事で、ライセンスのカウントに違いがある事がご理解頂けたと思います。また、CCUとNamed User ライセンスは同一環境での混在利用できませんので、ご注意ください。

最後まで読んで頂きありがとうございます。今回は以上となります。またの機会をお楽しみに。

AirWatchの基礎第15回〜コンテンツの管理〜

AirWatchの基礎 第15回〜コンテンツの管理〜

皆さん　こんにちは。

AirWatchでMDM(デバイス)/MAM(アプリ)/MEM(Eメール)の管理を行う事で、管理者にとってはよりセキュアで安全な管理が行え、従業員の方々は利便性が向上し満足度もあがってきているのではないでしょうか？そんな中、より利便性を向上させる為には社内のリソースへのアクセスも不可欠となります。ここでいう社内リソースとは、業務で必要なコンテンツやファイルになります。通常社内リソースへのアクセスは、外出先から会社支給PCを起動し、VPN接続を行って社内のファイルサーバへアクセスする流れだと思われます。但し、単に確認の為に、いちいちPCを開いて作業をするのは面倒な為、モバイルから簡単にファイル閲覧をしたいとの要望も多いのではないでしょうか？

AirWatchでは、社内リソースへモバイルからセキュアにアクセスする事が出来るコンテンツ管理 (MCM=Mobile Content Management)の機能もご提供させて頂いております。

MCMとは

MCMとは、業務に必要な社内リソース（コンテンツやファイル）を安全にかつ簡単に利用させることです。エンドユーザは許可された範囲で自由にコンテンツが利用でき、管理者はセキュリティレベルに合わせてポリシーを適応して管理出来ることになります。

AirWatchでのMCM構成

AirWatchでは、以下は3つの領域を利用する事が出来ます。

1, AirWatchコンテンツとして標準で5GBの領域を利用する事が出来ます。このAirWatchコンテンツは全社共通でシェアするようなコンテンツの配置が可能です。但し、この領域は、企業で利用する社内アプリケーションの配置領域や個人用コンテンツ領域としても利用されます。

2, 社内のファイルサーバやSharePointをContent Gateway経由でアクセスさせる事が可能です。

3, サードパーティのクラウドストレージもAirWatch経由でセキュアにアクセスさせる事が可能です。

Content Gatewayの要件や設定およびクラウドストレージの接続方法は、myAirWatchよりMobile Content Management Guide を参照ください。

また、それぞれの利用用途や設定項目等は次の表となります。

コンテンツへのアクセス方法

様々なリポジトリ（保存先）にコンテンツが保存されていますが、デバイスの種類や利用用途にあわせ、4つのアクセス方法を準備しております。

AirWatch Content Locker (iOS, Android, Windows)
AirWatch Content Locker Sync (Windows, Mac)
AirWatch Content Locker Outlook アドイン (Windows)
セルフサービスポータル

AirWatch Content Lockerアプリからの接続

ホーム画面では、「必須」や「特集」と分割して、コンテンツがリストされます。また、接続されているリポジトリがリストされ、ドリルダウンで対象のコンテンツにアクセスする事が出来ます。

コンテンツの操作

コンテンツは、管理者または利用者によってそれぞれのリポジトリにアップロードしますが、その際にアクセス方法や展開方法などを設定する事が出来ます。主な操作方法をご紹介します。

アクセスコントロール
- オフライン状態での閲覧を許可：ネットワーク接続されていなくてもコンテンツ閲覧が可能、コンテンツはデバイスにダウンロードされる
- オンラインの閲覧のみを許可：ネットワーク接続されている時のみコンテンツ閲覧が可能、コンテンツはデバイスにダウンロードされておらずストリーミングで閲覧

展開方法：アクセスコントロールで「オフライン状態での閲覧」を設定している場合
- 自動：Content Lockerを起動したタイミングで、自動的にデバイスにダウンロードがされる
- オンデマンド：利用者がオンデマンドでダウンロードを行う

その他の操作
- コンテンツのプッシュ配信：割り当てされたコンテンツを管理者がプッシュで配信する事が可能

必須ドキュメント：操作マニュアル等で必須ドキュメントとすることでエンドユーザーにドキュメントを読むことを強制することが可能

コンテンツのバージョン管理：コンテンツのバージョン管理が可能

コンテンツのセキュリティ

コンテンツ単位で、様々なセキュリティ設定を行う事が出来ます。Content Lockerでは、標準で他のアプリケーションへの開封許可を禁止しております。この事で、データ漏洩を未然に防ぐことが出来るようになっています。セキュリティ設定は、次の通りです。

但し、コンテンツの取扱制限を厳密に行っても、他のデバイスから写真撮影される事の制限をかけることは出来ません。Content Lockerでは、電子透かしを入れる事で情報漏えいの追跡に役立てるることが出来ます。

コンテンツの活用

前項では、コンテンツに対してのセキュリティについてご紹介いたしましたが、セキュリティを担保できることで様々な利用シーンでコンテンツを安全かつ便利に利用することが出来ます。利用者は複数のデバイスから常に最新のコンテンツにアクセスしたり、メール添付を許可させる事でコンテンツを社内外の方にメール送信する事も出来ます。また、ダウンロードリンクを作成してメールにアドレスを貼り付けでファイルのシェアを行う事もできます。

レポーティング

レポートテンプレートを使用して、コンテンツの利用状態や順守状態等をレポート出来ます。また、スケジュール設定をする事で、自動実行で管理者にレポートを通知する事も可能です。レポートは、CSVファイルで出力されます。

レポートの例

まとめ

社内リソースへセキュアにアクセス出来る事で、エンドユーザーの利便性が大幅に向上して様々な利用方法が出来る事をご理解頂けたのではないでしょうか？モバイルの業務での活用は、今後必須となってくる事が予想される中、利便性とセキュアな管理と相反した事を両立させる為には、AirWatch の提供するEMMソリューション全体を検討する必要があります。

AirWatchの基礎第14回〜Eメールへのアクセスと管理〜

AirWatchの基礎 第14回〜Eメールへのアクセスと管理〜

皆さん　こんにちは。

モバイルの活用において、必ず検討される要件としてEメールアクセスがあります。ご存知の通りEメールは、社内外のコミュニケーションツールとしては重要な位置づけとなっておりますが、情報漏えいやセキュリティ等で考慮すべきポイントが多数あり、どの企業でも管理については苦労されているのではないでしょうか？その為、基本会社支給PCからのアクセスのみ許可しており、モバイルや個人所有PCからアクセスを禁止している企業も少なくありません。業務効率の向上や利便性から、モバイルからのアクセスの許可を従業員の皆さんから強く要望があがってきている中、どのようにセキュリティにアクセスさせるかを考える必要があります。

AirWatchでは、デバイス(MDM)やアプリケーション(MAM)の管理だけでなく、Eメールの管理(MEM=Mobile E-Mail Management)も提供させて頂いております。

まず、モバイル環境でのEメールにアクセス方法について考えてみましょう。アクセス方法は、WEBブラウザとアプリケーションの２種類がありますが、モバイルでのWEBブラウザアクセスは、管理や制御およびUIの利便性が低い為、本内容からは除外させて頂きます。また、3rd Partyが提供しているメールアプリケーションもAirWatchから直接コントロールできない為、同様に除外させて頂きます。

AirWatchが提供するEメールクライアントの種類

ネイティブメールクライアント
- OS標準搭載のメールクライアント
- Exchange ActiveSyncプロトコルに対応
- デバイスレベルの DLP （データ漏洩防止）機能
- 追加コストなし、サードパーティ製アプリ不要
- デバイスプロファイルからの配布の為、企業情報ワイプで削除が可能
VMware Boxer
- VMwareが提供するメールクライアント
- Exchange ActiveSyncプロトコルに対応
- 直感的なネイティブクライアント同様のエクスペリエンス
- デバイスレベルの DLP （データ漏洩防止）機能
- メール本文のコピーアンドペーストをはじめとした、より高度なアプリレベルでのDLP（データ漏洩防止）機能
  - メール本文のコピー/貼り付け制御
  - ハイパーリンクをAirWatch Browser(セキュアプラウザ)で開くよう強制
  - メールの添付ファイルをContent Locker(セキュアファイラ・ビューワ)で開くよう強制
- AirWatchによるアプリ配信の為、企業情報ワイプで削除が可能
- アプリ起動時にパスコードでの起動制限が可能

メール設定と配布–ネイティブクライアント(図はiOSの場合)

Exchange Active SyncもしくはPOP/IMAPでの設定配布をデバイスプロファイルから可能
{EmailDomain}, {EmailUserName}等のルックアップ値を利用が可能

注意 Androidの場合、製造元および機種によって設定や制限出来る事が異なる事があります。

メール設定と配布-VMware Boxer

VMware Boxer は、AppConfig Community対応アプリの為、Eメールの設定はデバイスプロファイルを使用せず、AirWatchからアプリケーション配布時に構成する事が出来ます。

{EmailDomain}, {EmailUserName}等のルックアップ値を利用が可能
Eメール/カレンダーの同期期間の指定
認証タイプ：Eメールアクセスの際の、認証方法を指定
- ベーシック（ユーザー名・パスワードによる認証）
- 証明書
- 両方（ベーシックと証明書の両方）

パスコード：VMware Boxer起動時にパスコードやTouch ID(iOSの場合)の指定が可能
コピー/貼り付け：メール本文からのコピー/貼り付けの制御が可能
ハイパーリンク：本文内のハイパーリンクをAirWatch Browserでのみアクセスを強制
共有：メールの添付ファイルの扱いの制御
- プレビューのみ：他のアプリではオープンできない
- ホワイトリスト：指定したアプリのみオープンできる
- 制限なし：すべてのアプリでオープンできる
個人アカウント/個人連絡先：ユーザーによる個人アカウントや連絡際の追加の制御

以上の事から、VMware Boxerの利用が、よりセキュアにアクセスする事が出来ることがお分かり頂いたのではないでしょうか？

さて、これまではデバイスもしくはアプリレベルといったエンドポイントでのDLP （データ漏洩防止）を見てきましたが、AirWatchではさらに一歩踏み込んだ制御でセキュリティを確保するためのアクセスコントロールを行う事が出来ます。

Eメールのアクセスコントロール

アクセスコントロールは、エンドポイント以外にメールサーバ側にチェックポイントを持つことでよりセキュアにアクセスさせる事が出来ます。アクセスコントロールは、以下２つの方法を準備しております。

プロキシモデル

プロキシモデルは、SEG(Secure Email Gateway)を別途構成し、モバイルに送られるすべてのE メールトラフィックについてプロキシとして機能します。SEGは、AirWatch コンソールで定義された設定に基づき、管理するモバイルのそれぞれに対して許可または禁止を制御します。

直接統合

直接統合は、Microsoft Exchange 2010、2013、2016、またはOffice 365向けにはPowerShellで連携、Google Gmail向けにはAirWatchサーバが直接接続し制御します。いずれも、AirWatch コンソールで定義された設定に基づき、管理するモバイルのそれぞれに対して許可または禁止を制御し、別途プロキシサーバを構成する必要はございません。

それぞれのモデルの主な機能は以下の表を参照ください。

Eメール順守ポリシー

アクセスコントロールはEメール順守ポリシーを使用し適応する事ができ、セキュアで順守状態にあるデバイスのみに貴社のメールインフラへのアクセスを許可します。

E メール順守ポリシーを使用すると、非順守状態のデバイス、暗号化されていないデバイス、非アクティブなデバイス、または管理外のデバイスに対するE メールアクセスを制限することによって、セキュリティを強化できます。これらのポリシーを使用することで、必要かつ承認済みのデバイスのみにE メールアクセスを提供できるようになります。E メールポリシーでは、デバイスモデルおよびOS に基づいてE メールアクセスを制限することもできます。

注意　モバイルのOSの種類等で、動作が違う可能性がありますので、MEMの詳細な構成や設定はMy AirWatchのVMware AirWatch Mobile Email Management Guideを参照ください。

まとめ

冒頭に記載した通り、Eメールアクセスはモバイル活用において重要な位置づけとなります。AirWatchでは、メールクライアントでのエンドポイントでセキュリティを向上させる仕組みを持っているだけでなく、メールサーバ側と連携する事で、順守されたデバイスや状態でのみアクセス許可を与えるなど、高度なセキュリティを提供する事も出来ます。企業のセキュリティポリシーと照らし合わせながら、適切な手法をご選択ください。

AirWatchの基礎第13回〜AirWatchのユーザ管理〜

AirWatchの基礎 第13回〜AirWatchのユーザ管理〜

皆さん　こんにちは。

これまで、AirWatchの基本的な利用方法や設定をお知らせしてきましたが、今回はAirWatchのユーザ管理についてご紹介させて頂きます。すでに簡単なユーザ管理は、”AirWatchの基礎第3回〜AirWatchへの初めてのログイン〜”の中でご紹介しております。

AirWatchでのユーザ管理は、以下２つのパターン

ベーシックユーザ：AirWatchに手動作成されるユーザ
ディレクトリユーザ：Active Directoryと連携してAirWatchに自動作成・管理されるユーザ

ベーシックユーザの特徴

メリット
- シンプルな管理
- CSVファイルでまとめてインポートが可能
デメリット
- ユーザやパスワード情報は、AirWatchコンソールで持つ為、管理者の運用工数が高い
- AirWatchコンソール側で情報を持つことで、セキュリティレベルが低い

ディレクトリユーザ

メリット
- 一般企業が利用されている、Active Directory(AD)とユーザ管理統合が可能となり、ADが持つ階層（フォレスト、OU等）とAirWatchが持つ組織グループ構造をあわせる事で、ユーザ管理が容易になる
- パスワード情報はAirWatchコンソール側では管理せずにあくまでもAD管理となる為、セキュリティレベルが高い
- AD統合だけでなく企業でご利用の認証局(例 Active Directory証明書サービス)と連携が可能となり、社内へのEメール、WiFi、VPNなどの社内アクセスをセキュアする事が可能
デメリット
- 組織グループ構造やADのフォレストやOU構造を理解して設計する必要がある
- AD連携には、別途AirWatch Cloud Connector(ACC)の構築が必要となる

ベーシックユーザのバッチインポート

ベーシックユーザは、手動で登録が可能ですが、バッチインポートで複数ユーザをまとめて登録する事が出来ます。インポートには、まずCSVファイルでユーザリストを作成する必要があります。CSVファイルに入手方法は、アカウント > ユーザ > リスト表示 > 追加 > バッチインポートから“！”から行えます。

“！”をクリックすると、別途ブラウザが起動し、２つのパターンでファイルの入手が可能です。

シンプルなテンプレート：ユーザ情報入力が最小
高度なテンプレート：ユーザ情報だけでなく、様々な情報の入力が可能

注意：* がついているカラムは必須項目となります。

作成した、CSVファイルをバッチファイルとしてアップロードして、インポートする事が出来ます。

ディレクトリユーザの構成

ディレクトリユーザを利用する場合、AirWatch Cloud Connector(ACC)を構成する必要があります。

ACCは、社内ネットワークに配置し、AirWatchサーバへアウトバウンド HTTPS:443の通信のみできれば問題ありません。

ACCの最小システム要件

CPUコア:2個以上

メモリ: 4GB

ストレージ:50GB

OS: Windows Server 2008 R2 / Windows Server 2012 / Windows Server 2012 R2(現在英語OSのみサポート)

*詳細はMy AirWatchのAirWatch Cloud Connector (ACC) Guide for SaaS Customersを参照ください。

ACCのインストール

以下作業は、ACCをインストールするWindows端末からAirWatchコンソールへブラウザアクセスして行ってください。

1, コンソールからCloud Connector設定画面を開く

2, 高度な設定より

3, ACCのダウンロード

*パスワードは６文字以上で任意で入力ください。

4, ダウンロード後、Windowsサーバへインストール

5, ディレクトリサービスの設定-サーバ

6, ディレクトリサービスの設定-ユーザ

7, ユーザの追加

アカウント > ユーザ > リスト表示 > ユーザ > ユーザの追加から、ディレクトリを指定する事でディレクトリユーザの追加が可能となります。

まとめ

適切なユーザ管理を行う事で、AirWatch管理を簡素化させる事が出来ます。特に大規模環境においては、ディレクトリユーザを利用する事で、部門異動などあった場合はAD側でユーザ設定変更すればAirWatch側には自動的に反映され便利です。また、社内の様々なりソース（例　Eメールやファイルサーバやアプリケーション等）の管理の多くは、ADと連携されているケースが多い為、今後のモバイル活用の拡充を行う際にAD連携を行っておく事で、SSO（シングルサインオン）でアクセスを行う事も出来ます。AirWatchをご利用される際には、是非ディレクトリユーザの選択をご検討ください。

AirWatchの基礎第12回〜アプリケーションの割り当てと配信 Android版〜

AirWatchの基礎 第12回〜アプリケーションの割り当てと配信 Android版〜

皆さん　こんにちは。

前回は、iOSでのアプリケーション管理についてご紹介しましたが、今回はAndroidのアプリケーション管理についてご紹介します。ご存知の通り、iOS/Androidではアプリケーション管理の仕組みは異なり、またAndroidの提供ベンダーにより動作が違う事があります。今回は、一般的なAndroidでのアプリケーション管理についてご紹介します。

AndroidもiOS同様に、アプリケーションカタログ（App Catalog）を構成し、組織グループやユーザグループ等のグループに対して割り当てを行い、アプリケーション配信をする事が出来ます。

一般的なAndroidでのアプリケーション管理は、アプリケーションID(識別子)を事前に調べて登録して管理することになりますが、AirWatchではGoogle Playに公開されているアプリケーションの検索をコンソール内から行う事が出来るため、事前に準備する必要がありません。これは、iOSも同様で便利な機能です。

例えば、VMware Boxer（メールクライアント）のアプリケーションIDは、「com.boxer.email」となりますが、このIDを調べるには、Google Playで該当アプリを参照し、そのURLから確認することが出来ます。　VMware Boxer 　https://play.google.com/store/apps/details?id=com.boxer.email&hl=ja すなわち、Google Play URLにアプリケーションIDが含まれている事になります。

では、実際にAndroidのアプリケーション管理を見てみましょう。

AndroidでのAirWatch から展開できるアプリケーションの種類

社内アプリケーション（企業がAndroid向けに開発したアプリケーション）

apkの拡張子ファイルを、AirWatchコンソールへインポートし、配信する事が出来ます。

パブリックアプリケーション（Google Playに登録されているアプリケーション）
ウェブアプリケーション（特定の URLへのショートカット）

*iOSの場合の購入済みアプリケーションは、Androidでは対象外となります。

アプリケーション管理の重要な概念

アプリケーションの配信の動作

Androidでパブリックアプリケーションをカタログに登録し配信する場合、配信モードや加入状態により動作が違い、以下４つのパターンに分類されます。iOSとの大きな違いは、アプリケーションの配信を行っても、メッセージ通知は行いますが、ポップアップされませんので注意が必要です。

1, 加入状態：加入時　配信モード：自動

加入プロセスの途中に対象アプリケーションがリストされ、利用者が手動でインストールボタンを押すとGoogle Playに移動してインストールを実行する事が出来ます。

利用者がスキップを行う事もでき、加入処理終了後に、Android OSのメッセージで“AirWatch 新しいインストール”と通知され、App Catalogでは処理中状態となっており、クリックでインストールを手動で行う必要があります。

2, 加入状態：加入後　配信モード：自動

Android OSのメッセージで“AirWatch 新しいインストール”と通知され、App Catalogでは処理中状態となっており、クリックでインストールを手動で行う必要があります。

3, 加入状態：加入時　配信モード：オンデマンド

加入プロセスの途中ではリストされない為、加入処理終了後に、利用者が手動でApp Catalogにアクセスし、”インストール”をクリックする必要があります。

4, 加入状態：加入後　配信モード：オンデマンド

App Catalogに追加はされますが、Android OSのメッセージ通知はありません。利用者が手動でApp Catalogにアクセスし、”インストール”をクリックする必要があります。

サイレントインストール

Androidで、アプリケーションをサイレントインストールしたい場合、Google社が提供するAndroid for Workの機能を利用する必要があります。Android for Workは、会社支給のデバイス全体を管理するWork Managedと個人所有のデバイスをBYOD（Bring your own device）として、デバイスの一部を会社領域として利用するWork Profileの２つのモードがあります。このAndroid for Workを利用する事で、Google Playから社内アプリケーション*1およびパブリックアプリケーションをサイレントインストールする事が出来ます。Android for Workの詳細は、Google社サイトでご確認ください。

または、社内アプリケーションについては、AirWatchの基礎第6回〜Androidデバイス利用の為の初期設定とデバイス加入〜のコラムで紹介した、サービスアプリケーションに対応したデバイスであれば、可能となります。

*1 Google Play for workに社内アプリケーションを登録し、利用管理者が認証する事で、パブリックアプリケーションと同様にアプリケーションのサイレントインストールが可能となります。詳細は、myAirwatchサイトにありますVMware AirWatch Integration with Android for Workドキュメントを参照ください。

パブリックアプリケーションをApp Catalogへの登録

アプリケーションの登録には、アプリとブック>アプリケーション＞リスト表示＞パブリックから、”アプリケーションの追加”で行う事が出来ます。

プラットフォーム：Android

ソース：アプリストアを検索

名前：検索キーワード

として、次へを選択すると、Google Playから候補のアプリケーションがリストされます。

今回のケースの場合は、「VMware Browser」を”選択”します。

”アプリケーションを追加” の ”詳細”から、必要項目を変更

“割り当て”の項目より、割り当てするグループの指定

アプリ配信方法の“自動”または“オンデマンド”の選択

必要に応じて、データ保護防止機能を有効にする事が出来ます。

“保存して公開”を選択して、アプリケーションを配信します。

まとめ

Androidのアプリケーション管理および動作は、加入状態や管理モード等によって違いますので、利用用途や目的にあった選択が必要となります。また、提供ベンダーによって動作が違う場合がありますので、まずはフリートライアルで採用予定のデバイスで事前に検証頂く事をお勧めいたします。

AirWatchの基礎第11回〜アプリケーションの割り当てと配信 iOS版〜

AirWatchの基礎第11回〜アプリケーションの割り当てと配信 iOS版〜

皆さん　こんにちは。

これまでは、MDM管理についてご説明していましたが、今回からは管理されたデバイスからどのようにしてアプリケーションを管理できるかご説明いたします。

AirWatchではアプリカタログを配備することにより、モバイルデバイスのキッティング時に業務で利用するアプリケーションの配信を自動化し、ユーザーはインストールの手間が減り、管理者はインストールに対する問い合わせを削減する事ができます。

アプリケーション管理で実装されている機能は、iOS/Androidで動作が異なります。今回は、iOSに関してご説明します。Androidをご検討中の方は次回のブログをご覧頂けますでしょうか。

AirWatchのアプリケーション管理は、以下の管理者コンソールにてアプリケーションをカタログに登録し、アプリケーションを管理します。

登録できるアプリケーションは、App Store や Google Playストアに登録されているものや、独自に自社で開発されたアプリケーションも管理可能です。

カタログにiOSのアプリケーションを登録すると、ユーザーは自身が必要としているアプリケーションを以下にあるようなAirWatchのアプリケーションカタログからインストールする事ができます。

また、ユーザーがインストールできるアプリケーションを制限したい場合は、iOSのApp Storeを使用禁止にして、AirWatchのアプリケーションカタログからインストールできるようにするといった設定も可能です。

それではAirWatchのアプリケーション管理の詳細について、以下3つをご説明します。

AirWatch から展開できるアプリケーションの種類
アプリケーション管理の重要な概念
アプリケーション配信の手順概要

AirWatch から展開できるアプリケーションの種類

AirWatchでは、以下のアプリケーションを管理することができます。

社内アプリケーション

公式アプリケーションストアに載せることを必要としない自社組織によって開発したアプリケーション

パブリックアプリケーション

デバイスのパブリックストアで公開されているアプリケーション

※Apple App Store、Microsoftストア、Google Playストアとの統合

購入済みアプリケーション

Apple 社の Volume Purchase Program（VPP）を使用して購入したアプリケーション

※iOSなどへ、パブリックアプリ、iBook、カスタムB2Bアプリをまとめて購入するためのApple Volume Purchase Program (VPP) との統合

ウェブアプリケーション

特定の URLへのショートカット

アプリケーション管理の重要な概念

管理アプリと管理外アプリ

AirWatchはアプリケーションを管理対象と管理対象外にカテゴリ分けします。

管理外アプリに対しては実行できない特定のタスクを、管理アプリに対しては実行することができます。

管理アプリ

AirWatch から配布されたアプリ（パブリックアプリ、社内アプリ、購入済みアプリを含む）

AirWatch 管理者がオンデマンドで削除が可能

管理外アプリ

ユーザーが手動で AirWatch を経由せずにインストールしたアプリ

AirWatch 管理者は削除が不可能

管理アプリと管理外アプリ間の制御

これら管理アプリの制御により業務アプリから個人アプリへのデータの受け渡しを制限することができます。

※アプリケーションの詳細なセキュリティポリシー制御にはAirWatch SDKまたはAirWatch アプリラッピング、AppConfigなどの対応アプリケーションが必要です。詳細はVMware AirWatch Mobile Application Management (MAM) ガイドをご参照下さい。

Apple Volume Purchase Program （以下VPP）

VPP によりアプリの一括購入、配布、管理が可能になります。

AirWatchとVPPを連携させ、Apple IDなしでアプリのインストールが可能になります。

iOSでデバイスベースのVPPとしてアプリを配布する場合には、インストール確認のポップアップは上がりますがApple IDを要求されません。

※VPPの詳細はApple社の「ビジネス向けのApple Program。」をご参照下さい。

http://www.apple.com/jp/business/programs/

プッシュモード（アプリの展開方式）

アプリを展開する方法はプッシュモードと呼ばれ、以下2種類を使い分けることができます。

社内で必ず使用するアプリは自動配信するように構成でき、ユーザーごとに任意で必要なアプリはオンデマンドを選択します。

自動：アプリは自動でインストールされます(iOSのみ)。

デフォルトでは「Appのインストール」ダイヤログが表示され、Apple IDのパスワードを入力するとインストールが開始されます。

オンデマンド：ユーザーはデバイスのアプリカタログを開き、入手したいアプリを好みに応じてインストールします。

アプリのサイレントインストール

AirWatchからのアプリインストールは、管理者から強制できるとは限りません。

パブリックアプリは、原則Apple Store経由となるため、インストール承認での各ストアのパスワード入力の作業が必要となります。※社内アプリは例外あり。

iOSでアプリ配信をするとポップアップ通知され、インストールを促されます。

アプリインストール時にユーザーのアクションなしでアプリのインストールをするには、iOSを「監視モード」にしておくことでサイレントインストールが可能になります。

iOSを監視モードにするには、Apple ConfiguratorもしくはApple Device Enrollment Programを使用します。

Apple Device Enrollment Program（以下DEP）

DEPは、ユーザーのデバイス利用開始前に、デバイスを直接操作したり準備したりせずに、設定作業を自動化するプログラムです。

DEPにより購入したデバイスを箱から出して、初めて電源を入れて立ち上がってきた時点でAirWatch の管理下に置くことが可能となります。

例えばネットワークの設定以降、完全無入力でデバイスの設定やアプリケーションのインストール等、セットアップを自動で完了させることができます。

また MDM の設定プロファイルも削除できないように設定できる為、確実にデバイスを管理する事が可能となります。

※Apple ConfiguratorとDEPの詳細は、AirWatch and Configurator Guide および AirWatch Guide for the Apple Device Enrollment Programを参照してください。

アプリケーション配信の手順概要

必ず使用するアプリは自動配信するように構成でき、ユーザーごとに任意で必要なアプリはオンデマンド配信に構成します。ここではアプリケーション配信の手順概要をご説明します。

アプリケーションカタログへの登録

iPhoneに配信するアプリケーションを登録します。
パブリックアプリを追加します。

アプリケーション登録

・AirWatchでは日本語キーワードからアプリを検索し、候補からインストールしたいアプリを選択することができます。

「割り当て」で、対象となるiPhoneのスマートグループを指定し、「保存して公開」します。

「公開」すると、iPhoneへのプッシュインストールが開始されます。

今回は、MAM管理（アプリケーションの割り当てと配信） iOS版についてご説明いたしました。次回は、Android版についてご説明致します。ご期待ください。

AirWatch コラム　〜Vuzix スマートグラスとAirWatchの連携〜

AirWatch コラム　〜Vuzix スマートグラスとAirWatchの連携〜

皆様、こんにちは。

2016年10月4日（米国時間）にVMware Inc.が発表した「スマートグラス対応のVMware AirWatch統合ソリューション」の内容についてご紹介させて頂きます。

VMwareが考えている統合エンドポイント管理（Unified Endpoint Management:UEM）ソリューションの管理対象としてウェアラブルデバイスが含まれ、スマートグラスも管理できるように支援することを発表し、合わせてAPX Labs社、Atheer社、Intel社、ODG社、Vuzix社の5社と協業も発表しました。

ニュースリリース(日本語訳)

VMware拡張現実（AR）と複合現実（MR）の両体験の管理を可能にする業界初、スマートグラス対応のVMware AirWatch統合ソリューションを発表

日本においては、スマートグラスのトレンドはまだ先だと思っておりましたが、最近先進的なお客さまやパートナーさまの中では、採用を検討されているようなケースが増えてきております。スマートグラスを企業の業務で活用する上での目的は、生産性およびサービスクォリティの向上や特別なスキルを持った方のナレッジシェアの活用など上げられます。また、ハンドフリーになることで、様々な業務の効率性を上げる事が出来ます。例えば、これまで紙ベースやタブレットのマニュアルを参照しながら作業していた事が、スマートグラスに表示させる事で場所や状況にとらわれず作業を行う事が出来ます。ある米国のアナリストの発表では、「2025年に1400万人以上の米国人労働者がスマートグラスを使用し、2025年までに300億ドル以上をスマートグラスのハードウェアに費やすことになります。」という予想もありました。今後のスマートグラスの市場の盛り上がりを期待してみてはいかがでしょうか？

さて今回は、協業を発表した5社の中で、Vuzix社のスマートグラスで動作確認した内容を皆さんにご紹介させて頂きます。

まず、Vuzix社のスマートグラスですが、AR（Augmented Reality : 拡張現実）の技術を利用しております。ARは、現実空間に付加情報を表示させ、現実世界を拡張する技術で、皆さんの身近なところでは、ポケモンGOの中で使われている技術だといえば分かりやすいと思います。

Vuzix社はこちら

では、スマートグラスが企業の業務の中でどのように活用されるかのユースケースを考えてみましょう。ユースケースは、業種業界問わず利用する事が出来ると考えられております。

ユースケースの例

機械メンテナンス
リモート作業支援（工場、データセンター、など）
物流等で物品のピッキングや仕分け作業
水道・ガスでの点検
保険　事故現場の検証立会いのリモート支援
金融店舗での接客対応（窓口業務の簡素化）
リモート店舗販売支援
医療業界や教育期間で、MR(Mixed Reality:複合現実)を活用した研修

様々なユースケースが想定される中で、スマートグラスを企業で利用していく上で次の事を考慮する必要があります。

スマートグラスからの企業ネットワークへの直接アクセスが発生するため、エンドポイントとしての管理が必要になる
スマートグラスではアプリをどのように利用していくか？が成功の秘訣となり、社内の様々な基幹システムや業務システムへアクセスし連携して動作させる事が予想される
社給デバイスとして管理区分されることが見込まれるため、IT部門でのアセット管理やキッティング義務が発生することも予測される

私も、Vuzix社のカンファレンスの中でスマートグラスを活用したアプリケーション開発のベンダー様と会話しましたが、セキュリティ面での懸念からスマートグラスの管理の必要性と、スマートグラスの操作は小さなモニタから細かな設定を行う事は困難であるため、キッティングや管理の簡素化が必要であるという意見を多く頂きました。

そこでVMwareでは、これらの考慮点をAirWatchの技術によって解決し、次の機能を提供致します。

シンプルなキッティング方法の提供
1. 専用インストールパッケージ（ステージングパッケージ）によるAirWatchへの加入
2. ユーザ・パスワードなしでのシンプルな加入プロセス
リモート管理の提供
1. プロファイルによる構成管理
2. アプリケーションの配信・アップデート・削除

これらの機能の提供により、スマートグラスを活用する上で必要な運用をシンプルにする事やAirWatchが元々持っている高いセキュリティを担保する事が可能となります。

それでは、動作確認について実際の内容をご紹介いたします。

（本ドキュメントでの手順は、AirWatchをご存知の方を前提としており、一部作業を省略している部分がございますので、予めご了承ください。また、本内容のベースは、myAirwatchサイトにあるVMware AirWatch Integration with Smart Glassesドキュメントとなります。）

環境

Vuzix M100 (Firmware Version : 2.7/Android OS 4.0.4ベース)

AirWatch 9.0
Mac OS X（もしくはWindows PC）で、サイドロードするためにAndroid Debug Bridge(ADB)がセットアップ済み（ADBについて https://developer.android.com/studio/command-line/adb.html）

事前準備

AirWatchにスマートグラスを加入するための組織グループを作成し、事前設定を行う必要があります。以下、作業はすべて、作成した組織グループでの設定となります。

組織グループ:Smart Group

グループID: SmartG

1, 自動加入の為に加入規約を無効にする

グループと設定>すべての設定>デバイスとユーザー>全般>加入>利用規約より”加入利用規約への同意を必須とする”のチェックボックスを外す（チェックがついている場合は、オーバライドして外す）

2, 自動加入の為のすべてのプロンプト処理を無効にする

同様にグループと設定>すべての設定>デバイスとユーザー>全般>加入>プロンプト表示(オプション)より、すべてのチェックボックスを外す（チェックがついている場合は、オーバライドして外す）

3, 通知サービスをAirWatch Cloud Message(AWCM)に変更する

グループと設定>すべての設定>デバイスとユーザー>Android>エージェント設定から、“AWCM を C2DM/GCM の代わりにプッシュ通知サービスとして使用”を有効に選択（無効の場合は、オーバライドして外す）

4, 侵害対策検知を無効化する

グループと設定>すべての設定>アプリ>設定とポリシー>セキュティポリシーから”侵害対策”を無効に選択（有効の場合は、オーバライドして外す）

APFファイルの入手

APFファイルは、AirWatchへシンプルな加入を行う為のファイルで、以下に内容が含まれております。

AirWatch MDM Agent
Vuzixサービスアプリケーション（機能拡張の為に、拡張APIが含まれたアプリケーション）
加入に必要なスクリプト

Vuzix スマートグラス用APFファイル（AirWatchAgent_<version番号>.apf）は、myAirwatchから入手する事が出来ます。

APFファイルをAirWatchコンソールへのアップロード

APFファイルをAirWatchコンソールへのアップロードには、“カスタマー“タイプの組織グループから行う必要があります。AirWatch SaaSで準備された環境の最上位（ルート）の組織グループタイプは“カスタマー“タイプの為、通常はルートからのアップロードを行います。

アップロードプロセスは、デバイス>代理加入セットアップとプロビジョニング>コンポーネント>エージェントパッケージから行います。

1, 上位の”エージェントパッケージの追加”を選択

2, “Android”を選択

3, “アップロード”からファイルを指定

4, “保存”を選択

リストから確認

加入ユーザーの作成

事前準備と同様に作業は、作成した組織グループ（今回は組織グループ:Smart Group , グループID: SmartGとして構成）の階層で設定を行ってください。

アカウント>ユーザー>リスト表示から、”追加”から”ユーザーの追加”を選択し、必要項目を入れて”保存”を選択

Wi-Fiプロファイルの作成

AirWatchに加入する場合、Wi-Fiの設定を行いネットワーク疎通の後、加入処理を行う必要があります。AirWatchの自動加入には、予めWi-Fiプロファイルを準備し、加入プロセスに含める事が出来ます。

設定は、デバイス>代理加入セットアップとプロビジョニング>コンポーネント>プロファイルから行います。

1, 上位の”プロファイルの追加”を選択

2, “Android”を選択

3, 全般から”名前”を任意に指定

4, “プロファイルスコープ”を”両方”に指定　*”両方”に指定する事で、加入後も利用可能となります。

5, Wi-Fiから”SSID”、”セキュティタイプ”および”パスワード”を入力

6, ”アクティブなネットワークとして設定 ”にチェックをつけて保存する

ステージングパッケージの作成

ステージングパッケージとは、デバイスにサイドロードするためのパッケージです。このステージングパッケージをAirWatchコンソールから作成する事で、スクリプトのキックを1回行うだけで、AirWatchに加入させる事が出来ます。

ステージングパッケージには、以下が含まれています。

AirWatch MDM Agent
Vuzixサービスアプリケーション
加入に必要なスクリプト
加入に必要な構成パラメータ

設定は、デバイス>代理加入セットアップとプロビジョニング>代理セットアップから行います。

1, 上位の”代理セットアップを追加する”を選択

2, “Android”を選択

3, “名前”は任意

4, 所有者は、事前準備で作成した組織グループの“Smart Glasses”を選択

5, 全般より、“加入ユーザー”および“パスワード”は、先程作成したユーザー情報を入れる

6, .“エージェント“は、apfファイルのアップロードしたファイルの選択

7, マニュフェストより、”追加”から先程作成した、Wi-Fiプロファイルを指定し、アクションとして“プロファイルのインストールする”を選択し、保存する。

8, マニュフェストに追加され、ステージングパッケージを保存する

ステージングパッケージのダウンロードと構成

ステージングパッケージのダウンロードは、デバイス>代理加入セットアップとプロビジョニング>代理セットアップから、対象のステージングパッケージを選択し、右側の▼をクリックすると、“ステージングをサイドロード”を選択します。

加入する組織グループを選択し、“ダウンロード“を選択するとダウンロードが開始されます。

ダウンロードされたファイルは、Zipで圧縮されていますので、解凍してください。

Zip解凍後のフォルダ構造

親フォルダ SideLoadStaging_<ステージングパッケージ名>_<グループID>

/Advancestaging/Job.bin Wi-Fiプロファイルの情報

/Agent /AirWatchAgent.apk AirWatch Agent

/Agent /autoenroll.bat Windows用加入スクリプト

/Agent/autoenroll.sh Mac用加入スクリプト

/Agent/VuzixOEMService.apk Vuzixサービスアプリケーション

/Enrollment/credentials.bin 加入情報

スクリプトの修正

Windowsの場合「autoenroll.bat」、Macの場合「autoenroll.sh」のファイルを修正

2行目に”.vuzix”と追加　*アプリパッケージ名が正しくありません。

com.airwatch.admin.awoem/com.airwatch.admin.awoem.PlatformOEMActivity → com.airwatch.admin.awoem.vuzix/com.airwatch.admin.awoem.PlatformOEMActivity

加入処理

加入プロセスは、次の通りとなります。

1, スクリプト起動の前に、M100をサイドロードする為のPC/Macへ接続

2, ターミナルを起動（Macの場合） *Android Debug Bridge(adb)がセットアップされている事が前提

3, デバイスが認識しているか確認

$adb devices

List of devices attached

M001001A3F device ←デバイスが認識

4, スクリプトをキック

/ SideLoadStaging_<ステージングパッケージ名>_<グループID>/Agentより

$./autoenroll.sh

以下、スクリプトの結果です。

[100%] /data/local/tmp/VuzixOEMService.apk

pkg: /data/local/tmp/VuzixOEMService.apk

Success

rm failed for -f, No such file or directory

Starting: Intent { act=android.intent.action.MAIN cmp=com.airwatch.admin.awoem.vuzix/.PlatformOEMActivity (has extras) }

[100%] /data/local/tmp/AirWatchAgent.apk

pkg: /data/local/tmp/AirWatchAgent.apk

Success

rm failed for -f, No such file or directory

Starting: Intent { act=android.intent.action.MAIN cmp=com.airwatch.androidagent/com.airwatch.agent.ui.activity.SplashActivity (has extras) }

[100%] sdcard/./credentials.bin

Broadcasting: Intent { act=com.airwatch.agent.action.IMPORT_CREDENTIAL_XML (has extras) }

Broadcast completed: result=0

[100%] sdcard/./job.bin

Broadcasting: Intent { act=com.airwatch.agent.action.IMPORT_JOB_XML (has extras) }

Broadcast completed: result=0

Broadcasting: Intent { act=com.airwatch.agent.action.AUTO_ENROLL }

Broadcast completed: result=0

加入の確認

デバイス>リスト表示から参照

デバイスの詳細は、ドリルダウンで可能

スマートグラスの画面より、Agent: AirWatch Agent およびAWアイコン：Vuzixサービスアプリケーションがインストールされます。（M100デバイスのコンソールから確認）

AirWatch Agent起動（M100デバイスのコンソールから確認）

加入後は、スマートグラス用に開発されたアプリケーションやデバイスプロファイルの配信をネットワーク経由で行う事で、運用をシンプルにする事が出来ます。なお、アプリケーションのインストールは、サイレントインストールが可能です。

アプリケーションをAirWatchへ登録

アプリケーションはapkファイルを準備。今回は、Vuzix社よりリモート作業支援を行う為のサンプルアプリでWebRTCを登録します。

アプリとブック>アプリケーション＞リスト＞社内から”アプリケーションの追加”を選択

1, “アップロード”からファイルを指定

2, “保存”を選択

3, アプリがアップロードされたら、”続き”を選択

4, アプリ情報を必要に応じて追加ください。

5. アプリのアイコンを必要に応じて、変更出来ます。

6, “保存して割り当て“を選択

7, 割り当ての追加を行い、割り当てグループを指定します。

プッシュモード　自動：自動で配信 / オンデマンド：任意のタイミングで配信

*本記事では、オンデマンドを選択

8, 最後に、”保存して公開”を選択

アプリケーションの配信

M100デバイスのアプリより、先程割り当てしたWebRTCアプリがリストされます。右にあるボタンをクリックする事で、アプリケーションをサイレントインストールする事が出来ます。

WebRTCアプリがインストールされた事、M100デバイスのコンソールから確認

動作確認出来た項目

デバイスワイプおよびエンタープライズワイプ
Agentへのメッセージ通知
アプリケーションのインストール・アップデート・削除
プロファイル（Wi-Fi設定）
通知サービスをAirWatch Cloud Message(AWCM)での運用

*様々なプロファイルに構成管理が出来ますが、スマートグラスの特性上、各設定のユースケースが想像できなかった為、詳細機能確認は行っておりません。

まとめ

今回、Vuzix社のスマートグラスをAirWatchでどのように管理出来るか確認させて頂きました。スマートグラスのユースケースや製品の特性を考慮すると、少なくともデバイス管理の必要性があると皆様もご理解出来たのではと思われます。AirWatchはマルチデバイス・マルチOSをサポートし、管理に必要な様々な機能を提供する事が出来るので、重要な位置づけになるでしょう。

また、冒頭で記載した、統合エンドポイント管理（Unified Endpoint Management:UEM）は、IoTデバイス領域も含まれており、今後のAirWatchの技術の拡張がIoTを含めた様々なデバイスを管理できるようになる事を期待したいと思います。皆様も是非、スマートグラスを含めた様々なデバイスの今後の動向をウォッチしてみてはいかがでしょうか？

AirWatchの基礎第10回〜セルフサービスポータル（MDMのみ)〜

AirWatchの基礎第10回〜セルフサービスポータル(MDMのみ)〜

皆様、こんにちは。

前回までは、主に会社の管理者がどのように利用者に利用していただくかをベースにお話させて頂いておりました。今回は、管理者からの立場ではなく、利用者が自分の端末をAirWatchでどのように管理できるのかについて、ご説明したいと思います。

セルフサービスポータル

AirWatchは、利用者が利用者自身の端末管理を行うためのWebサービス画面「セルフサービスポータル」を提供しています。

このWebサービスを使うことにより、ユーザーは管理者を介さずに自分の端末に対して様々な操作を行うことが可能になります。例えば、端末を紛失し一刻も早くデバイスの企業情報を削除したい場合、端末からセルフサービスポータルにアクセスし、「企業情報ワイプ」を行うといった使い方が考えられます。

想定される利用ケース：

手元に見当たらなくなった時、音を鳴らす
紛失後に、紛失した端末をロック
紛失後に、紛失した端末情報を削除
パスワードをリセット

次では実際の使用方法を見ていきたいと思います。

セルフサービスポータルへのアクセス

https://<airwatchのサーバurl>/MyDevice/となります。

グループID、ユーザー名、パスワードを入力しログオンします。場合によっては、文字認証を求められる場合がございますが、その場合は画面の指示に従いログオンします。

セルフサービスポータル画面

セルフサービスポータルにログオンすると、以下の画面に遷移します

左側のボタンは機能の切り替えする機能です。

マイデバイス（MDM機能）
マイコンテンツ（MCM機能）

今回はMDM機能である、「マイデバイス」の機能についてフォーカスしていきます。
（「マイコンテンツ」は、今回のトピックであるMDMからは大きく外れるため、今回は対象としていませんが、今後のトピックで取り上げていきたいと思います。）

マイデバイス

「マイデバイス」の右ペインに注目すると、以下の項目が表示されます。

上部に自分が所有・管理している端末をタブ切り替え
（複数端末管理している場合は、タブが複数で表示されます）
下部にその端末の情報、およびその端末に対して実施できる操作

端末情報の表示

「詳細に進む」をクリックするとその端末情報の詳細が表示されます

ここから端末の「概要」「順守状況」「適用プロファイル」「アプリ」「セキュリティ」といった端末の状況を確認することができます。

基本操作

「基本操作」のタブを選択すると、選択した端末に対してユーザーが実施できる操作内容が表示されます。（内容はユーザーの権限とOSプラットフォームの種類により自動的に変化します。）

ユーザーが実施できる操作（一部）：

デバイスクエリ：デバイスから更新情報をリクエストする
デバイスを同期する：更新した企業設定とデータをこのデバイスに送信する
デバイスの位置を確認：デバイスの最新位置情報を探す
音を出す：デバイスを見つけるためにベルを鳴らす
メッセージを送信する：このデバイスにEメール、プッシュ通知またはテキストメッセージを送信する
デバイスを削除：デバイスをセルフサービスポータルから削除する
パスコードを削除：デバイスから現在のパスコードを消去
デバイスをロック：デバイスをリモートロックする
企業情報ワイプ：企業設定とデータをデバイスから削除する
デバイスワイプ：全てのデータ

実際の操作については、管理者が実施する内容と同じです。

高度な操作

「高度な操作」タブを選択すると、選択した端末に対してユーザーが実施できる高度な操作内容が表示されます。（内容はユーザーの権限とOSプラットフォームの種類により自動的に変化します。）

ユーザーが実施できる操作（一部）：

アプリトークン生成：セキュアアプリにアクセスするためのトークンを生成する
トークンを取り消す：生成したトークンを取り消します
S/MIME証明書アップロード：Eメールアカウント用S/MIME証明書をアップロードします
利用規約確認：このアカウントの過去の利用規約を確認

詳しい内容についてはマニュアルをご確認ください。

まとめ

従来のMDM製品だと、有事の際は「管理者に連絡し、ロック処理・ワイプ処理を依頼する」という流れだったと思います。AirWatchでは、このセルフサービスポータルによりこれらの操作がユーザーだけで完結することから、利便性ならびに管理者の負荷を軽減させることができます。AirWatchの隠れた良い機能の一つと考えております。

次回は、MAM管理（アプリケーションの配信と割り当て）について、取り上げていきたいと思います。

AirWatchの基礎第9回～ジオフェンス/スケジュール/順守ポリシー～

AirWatchの基礎第9回～ジオフェンス/スケジュール/順守ポリシー～

皆様、こんにちは。

今回は少し高度なプロファイル設定の、
・ジオフェンス
・タイムスケジュール
と、ルールを定義し、そのルールに違反しているデバイスに対するアクションを定義する、
・順守ポリシー
についてご説明します。

ジオフェンス
AirWatch は、ジオフェンスでプロファイルを定義する事で、オフィス、学校の構内、工場の建物内等、特定のエリアにデバイスの使用を制限します。例えば、オフィスの半径1km をジオフェンスとして適用したり、より半径の広いジオフェンスを、1つの行政区域全体をカバーするために使用するといった事もできます。ジオフェンスを定義し、プロファイル、SDK アプリケーション、AirWatch Content Locker 等の AirWatch アプリ、その他に適用することができます。

ジオフェンスを有効にするには次の2つのステップを実施します。
1. ジオフェンスエリアの追加
2. ジオフェンスをデバイスプロファイルに適用

1. ジオフェンスエリアの追加
ジオフェンスエリアを定義します。

1-1. デバイス → プロファイルとリソース → プロファイル設定 → エリアと進み、

追加でジオフェンスエリアを選択します。

1-2. 今回は以下を入力して「保存」をクリックします (皆さんがテストされる環境に応じて変更して下さい)。
アドレス：東京駅 (入力後に「クリックして検索」をクリックすると地図が東京駅周辺を表示します)
半径：1 km (半径の最小は 800mです)
エリアネーム：東京駅周辺1km

1-3. ジオフェンスエリアが追加されたのを確認して、右上の「X」をクリックします。

2. ジオフェンスをデバイスプロファイルに適用
ジオフェンスの定義後、プロファイルに適用します。

2-1. デバイス → プロファイルと進み、ジオフェンスを適用するプロファイル名をクリックして編集画面を開きます (ここでは既存の “iOS デバイスでカメラを無効化する制限事項が設定されているプロファイル” を選択していますが、新たにプロファイルを追加して、ジオフェンスを適用する事も可能です)。

2-2. 全般タブで「バージョン追加」をクリックします。

2-3. 次に、全般タブの “追加の割り当て条件” で “選択したエリア内のデバイスにのみインストール” をチェックして、表示された “割り当てられたジオフェンスエリア ” ボックスで、先ほど登録したエリアネーム (東京駅周辺1km) を選択して、「保存して公開」をクリックします。

タイムスケジュール
タイムスケジュールを構成/適用して、プロファイルがデバイス上でアクティブになる時間帯を限定することができます。例えば、従業員が指定された日の指定された時間帯以外は企業リソースにアクセスできないようにしたり、勤務時間内に個人コンテンツへのアクセスを制限することができます。

次の2つのステップを実施し、タイムスケジュールを有効にします。
1. タイムスケジュールを定義
2. タイムスケジュールをプロファイルに適用

1. タイムスケジュールを定義
タイムスケジュールを定義します。
1-1. デバイス → プロファイルとリソース → プロファイル設定 → タイムスケジュールと進み、

スケジュールを追加を選択します。

1-2. 今回は以下を入力して「保存」をクリックします (皆さんがテストされる環境に応じて変更して下さい)。
スケジュール名：勤務時間内
タイムゾーン：”(GMT+09:00) 日本” を選択
曜日：月曜日から金曜日 (「+スケジュールを追加」リンクをクリックして行を追加します)
開始時間：9:00
終了時間：17:00

2. タイムスケジュールをプロファイルに適用
タイムスケジュールを定義後、プロファイルに適用します。

2-1. デバイス → プロファイルと進み、タイムスケジュールを適用するプロファイル名をクリックして編集画面を開きます (ここでは既存の “iOS デバイスでカメラを無効化する制限事項が設定されているプロファイル” を選択していますが、ここで新たにプロファイルを追加し、新たに制限事項 (例えば、YouTube コンテンツへのアクセスをブロックしたり、特定アプリを非表示にしたり) を追加して、タイムスケジュールを適用する事も可能です)。