Tag Archives: MDM

AirWatchの基礎 第16回〜Device Enrollment Program(DEP)の利用〜

AirWatchの基礎 16回〜Device Enrollment Program(DEP)の利用〜

皆さん こんにちは。

モバイルデバイスを企業で利用する際に、AirWatchを利用したEMMの必要性についてはこれまでのブログ記事でご理解されたのではないでしょうか?一旦、AirWatchへ登録してしまえば以降の作業は、AirWatch経由で行う事が出来て運用の簡素化を行う事が出来ますが、初期設定作業やキッティングについては、企業側でどのように行うか検討する必要があります。ここでいう初期設定作業やキッティングは、デバイスを梱包から空けて、初めて電源をいれた際の初期設定(言語設定/Wi-Fi接続/各種デバイス設定項目等)とその後、AirWatchまで登録(キッティング)を行い、利用出来る状態にする作業も含まれます。導入ベンダーに初期設定からキッティングをお願いする事が一般的かもしれませんが、自社ですべて実装する事を検討されている場合は、Apple Device Enrollment Program(DEP)を利用する事をご検討されてはいかがでしょうか?

このブログでは、AirWatchでApple社が提供の Apple Device Enrollment Program(DEP)を利用し、初期設定からキッティングの連携についてご紹介いたします。

Apple Device Enrollment Program(DEP)とは

iOSおよびmac OSデバイスを企業で利用する際に、Apple社から直接購入もしくはApple社正規販売店や通信事業者から購入する事で、デバイスを企業IDに紐づけ、管理された状態で出荷させる事が出来ます。これはApple Device Enrollment Program(DEP)と呼ばれており、ユーザは利用開始前にデバイスの直接操作を最小化し、自動的にデバイスをEMM(MDM)に登録させ、デバイスの管理を行う事が出来ます。AirWatchではDEPをサポートしており、ユーザの初期設定作業やキッティング作業工数を大幅に削減する事が出来ます。また、AirWatchのDEPに事前設定により、次の機能を有効化する事も出来ます。以下の設定は、DEPの利用でのみ提供出来る機能となります。

  • 監視対象 (Apple configuratorもしくはDEPで設定可能)
  • MDMプロファイルロック(DEPでのみ設定可能)
  • OS更新(監視対象が有効でかつDEPでのみ設定可能)

DEPの詳細は、Apple社サイトを参照ください。なお、以下内容は、対象をiOSのDEPについて言及して記載致します。

Apple Device Enrollment Program(DEP)AirWatchの連携

まず、Apple DEPサイト(http://deploy.apple.com/)で企業登録を行い、Customer IDの取得する必要があります。その際、企業に関連するメールアドレスでプログラムエージェントアカウント(企業の代表アカウント)を作成します。このメールアドレスは、DEPへサインインする時のApple IDとして利用されます。企業登録の詳細は、Apple DEP Guideを参照ください。

DEPサイトへのサインイン

登録したApple IDでサインイン

1

本人確認にために確認コードを発行(2要素認証)

2

スマートフォンにSMSで配信された確認コードを入力

3

ログイン後、Device Enrollment Programのサイトへ

4

AirWatchDEPの統合

統合とは、AirWatchの組織グループとDEPを公開キーとトークンの受け渡しを行い、関連付けを行う事です。統合が終了した後にDEPデバイスを登録すると、対象の組織グループのデバイス>ライフサイクル>加入状態に、登録デバイスがリストされます。これにより、登録されたデバイスが起動した際に、予め設定された内容を元に、自動的にAirWatchの指定の組織グループへ加入処理が行われます。統合は、管理を簡素化させる為に顧客組織グループに一つにする事を推奨しています。

重要!! 統合作業は、AirWatchコンソールとDEPサイトの両方で作業を行います。AirWatchコンソールでDEPウィザードの設定を開始したら、ブラウザのセッションを開いたまま、別タブでそれぞれ作業を進める必要があります。1つのブラウザのセッションで構成全体を終了させないと、統合の保存をさせる事が出来ません。

  1. [AirWatchコンソール]:統合する組織グループへ移動
  2. [AirWatchコンソール]:グループと設定>すべての設定>デバイスとユーザ>Apple>デバイス登録プログラムより、構成を選択しDEPウィザードを開始5
  3. [AirWatchコンソール]:公開キーのダウンロードから、キーのダウンロード ファイル名 MDM_DEP_PublicKey-<組織グループ名>.pem6
  1. [Apple DEPサイト]:サーバ管理からMDMサーバ追加を選択7
  2. [Apple DEPサイト]: MDMサーバ名を(任意)に入力し、次へ8
  3. [Apple DEPサイト]:ファイルを選択から公開キーのアップロードし、次へ9
  4. [Apple DEPサイト]:サーバトークンをクリックし、ダウンロード   ファイル名 <MDMサーバ名> _Token_<DATE>_smime.p7m10
  1. [AirWatchコンソール]:アプロードを選択して、サーバトークンをアップロードし、次へ11
  2. [AirWatchコンソール]: 認証を「オン」にし、デバイス所有形態や組織グループを設定し、次へ12
  3. [AirWatchコンソール]: プロファイル名、部門、御社内のサポート担当者連絡先に値を入力

加入用プロファイルを適宜設定

冒頭に記載した、監視対象やMDMプロファイルロックはこの設定を有効にする事で設定されます。

13

  1. [AirWatchコンソール]:iOSデバイスの初期セットアップ時にユーザに手動で設定させる項目を選択14
  2. [AirWatchコンソール]: 設定内容を確認して保存15
  3. [AirWatchコンソール]:統合がされた事を確認16

DEPデバイスをサーバ構成に登録

DEPの統合を行っても、どのデバイスがどのAirWatchの組織グループへ参加するか指定する必要があります。その操作の為に、Apple DEPサイトのデバイス管理から、購入済みのDEPデバイスをサーバ構成に割り当てを行う必要があります。割り当てにはシリアル番号の他に注文番号やcsvで作成されたファイルのアップロードも可能となります。

17

AirWatchコンソールから割り当てされたデバイスの同期

対象の組織グループのデバイス>ライフサイクル>加入状態を開き、追加よりデバイスの同期を実行すると、追加したデバイスがリストに追加されます。

加入状態からデバイスの同期

18

DEPと同期

19

同期後のデバイスリスト

20

加入前準備

DEPデバイスを登録した組織グループにユーザ・プロファイルおよびアプリ等の設定を行ってください。DEP環境だからといって特別な設定は必要ありません。

加入処理

デバイスの電源を初めて入れ、次の手順となります。

21

⑥までは、通常のiOSのセットアップ作業となり、⑦で統合されたAirWatchの組織グループへリダイレクトされます。

22

⑧でAirWatchの認証が行えれば、加入処理が行われ、以降は、DEPプロファイルで定義したiOSのセットアップ(例 パスコード/Touch ID/Siriなど)が続きます。iOSのセットアップが終了すると、AirWatchで設定したプロファイルおよびアプリケーションが配信され作業は終了となります。

運用でのヒント

  1. 追加でデバイスを購入した場合は、既設のサーバ構成にデバイスを登録し同期を取れば、加入状態にリストされます。但し、DEPデバイスがリストされた組織グループに、DEPデバイス以外のデバイスが加入しようとすると、加入が拒否されます。これは、この組織グループがホワイトリストとして登録されているデバイスとなる為、登録されていないデバイスが加入拒否される事は、正しい動作となります。リストされていないデバイスをDEPの組織グループへ加入させたい場合、手動でホワイトリストを作成しデバイスの追加が必要になります。
  2. 登録されたデバイスを別の組織グループへ加入させたい場合は、DEPのプロファイルの追加で別な組織グループを指定し、そのプロファイルにデバイスを移動(割り当て)させる事で実現出来ます。

プロファイルの追加

23

プロファイルの構成

29

*設定項目は、統合と同様ですので割愛させて頂きます。

なお、AirWatchの基礎 第3回〜AirWatchへの初めてのログイン〜で投稿させて頂いた組織グループの階層の権限で、下部には移動(割り当て)できますが同一階層や上部には移動(割り当て)できませんのでご注意ください。また、加入ユーザも同様に、上部で登録されているデバイスに下部で登録されてユーザでは、加入出来ません。

下部の組織グループでのプロファイルを作成した後、そのプロファイルへデバイスの移動(割り当て)を行いたい場合は、右のアイコンの割り当ての編集から行う事が出来ます。

25

“このバッチタイプ用のテンプレートをダウンロードする”をクリックすると、csvファイルがダウンロードされますのでファイルを編集し、ファイルをアップロードください。csvファイルには、現在リストされているDEPデバイスのシリアル番号がリストされていますので、移動したいデバイスのシリアル番号のみ残し保存し、ファイルの選択からcsvファイルをアップロードしてください。

30

移動(割り当て)を行うと、以下図のように割り当て台数が表示されます。

31

まとめ

モバイルを企業で活用する上で、運用の簡素化は必須となります。DEPを利用する事で、デバイスの初期設定およびキッティング作業が最小化される事が出来ますので、AirWatchをご利用される場合、選択肢の一つとしてご検討してはいかがでしょうか?

参考資料

本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。 myAirwatchへこちら

 

AirWatchの基礎 第10回 〜セルフサービスポータル(MDMのみ)〜

AirWatchの基礎 第10回〜セルフサービスポータル(MDMのみ)〜

皆様、こんにちは。

前回までは、主に会社の管理者がどのように利用者に利用していただくかをベースにお話させて頂いておりました。今回は、管理者からの立場ではなく、利用者が自分の端末をAirWatchでどのように管理できるのかについて、ご説明したいと思います。

 

セルフサービスポータル

AirWatchは、利用者が利用者自身の端末管理を行うためのWebサービス画面「セルフサービスポータル」を提供しています。

このWebサービスを使うことにより、ユーザーは管理者を介さずに自分の端末に対して様々な操作を行うことが可能になります。例えば、端末を紛失し一刻も早くデバイスの企業情報を削除したい場合、端末からセルフサービスポータルにアクセスし、「企業情報ワイプ」を行うといった使い方が考えられます。

想定される利用ケース:

  • 手元に見当たらなくなった時、音を鳴らす
  • 紛失後に、紛失した端末をロック
  • 紛失後に、紛失した端末情報を削除
  • パスワードをリセット

次では実際の使用方法を見ていきたいと思います。

 

セルフサービスポータルへのアクセス

https://<airwatchのサーバurl>/MyDevice/となります。

ssp1

グループID、ユーザー名、パスワードを入力しログオンします。場合によっては、文字認証を求められる場合がございますが、その場合は画面の指示に従いログオンします。

 

セルフサービスポータル画面

セルフサービスポータルにログオンすると、以下の画面に遷移します

ssp2

 

左側のボタンは機能の切り替えする機能です。

ssp2a

  • マイデバイス(MDM機能)
  • マイコンテンツ(MCM機能)

今回はMDM機能である、「マイデバイス」の機能についてフォーカスしていきます。
(「マイコンテンツ」は、今回のトピックであるMDMからは大きく外れるため、今回は対象としていませんが、今後のトピックで取り上げていきたいと思います。)

 

マイデバイス

「マイデバイス」の右ペインに注目すると、以下の項目が表示されます。

  • 上部に自分が所有・管理している端末をタブ切り替え
    (複数端末管理している場合は、タブが複数で表示されます)
  • 下部にその端末の情報、およびその端末に対して実施できる操作

ssp2b

 

端末情報の表示

「詳細に進む」をクリックするとその端末情報の詳細が表示されます

ssp3

ここから端末の「概要」「順守状況」「適用プロファイル」「アプリ」「セキュリティ」といった端末の状況を確認することができます。

 

基本操作

「基本操作」のタブを選択すると、選択した端末に対してユーザーが実施できる操作内容が表示されます。(内容はユーザーの権限とOSプラットフォームの種類により自動的に変化します。)

ssp5

ユーザーが実施できる操作(一部):

  • デバイスクエリ:デバイスから更新情報をリクエストする
  • デバイスを同期する:更新した企業設定とデータをこのデバイスに送信する
  • デバイスの位置を確認:デバイスの最新位置情報を探す
  • 音を出す:デバイスを見つけるためにベルを鳴らす
  • メッセージを送信する:このデバイスにEメール、プッシュ通知またはテキストメッセージを送信する
  • デバイスを削除:デバイスをセルフサービスポータルから削除する
  • パスコードを削除:デバイスから現在のパスコードを消去
  • デバイスをロック:デバイスをリモートロックする
  • 企業情報ワイプ:企業設定とデータをデバイスから削除する
  • デバイスワイプ:全てのデータ

実際の操作については、管理者が実施する内容と同じです。

 

高度な操作

「高度な操作」タブを選択すると、選択した端末に対してユーザーが実施できる高度な操作内容が表示されます。(内容はユーザーの権限とOSプラットフォームの種類により自動的に変化します。)

ssp6

ユーザーが実施できる操作(一部):

  • アプリトークン生成:セキュアアプリにアクセスするためのトークンを生成する
  • トークンを取り消す:生成したトークンを取り消します
  • S/MIME証明書アップロード:Eメールアカウント用S/MIME証明書をアップロードします
  • 利用規約確認:このアカウントの過去の利用規約を確認

詳しい内容についてはマニュアルをご確認ください。

 

まとめ

従来のMDM製品だと、有事の際は「管理者に連絡し、ロック処理・ワイプ処理を依頼する」という流れだったと思います。AirWatchでは、このセルフサービスポータルによりこれらの操作がユーザーだけで完結することから、利便性ならびに管理者の負荷を軽減させることができます。AirWatchの隠れた良い機能の一つと考えております。

次回は、MAM管理(アプリケーションの配信と割り当て)について、取り上げていきたいと思います。

本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。 myAirwatchへこちら

AirWatchの基礎 第9回 ~ジオフェンス/スケジュール/順守ポリシー~

AirWatchの基礎 第9回 ~ジオフェンス/スケジュール/順守ポリシー~

皆様、こんにちは。

今回は少し高度なプロファイル設定の、
ジオフェンス
タイムスケジュール
と、ルールを定義し、そのルールに違反しているデバイスに対するアクションを定義する、
順守ポリシー
についてご説明します。

ジオフェンス
AirWatch は、ジオフェンスでプロファイルを定義する事で、オフィス、学校の構内、工場の建物内等、特定のエリアにデバイスの使用を制限します。例えば、オフィスの半径1km をジオフェンスとして適用したり、より半径の広いジオフェンスを、1つの行政区域全体をカバーするために使用するといった事もできます。ジオフェンスを定義し、プロファイル、SDK アプリケーション、AirWatch Content Locker 等の AirWatch アプリ、その他に適用することができます。

ジオフェンスを有効にするには 次の2つのステップを実施します。
1. ジオフェンスエリアの追加
2. ジオフェンスをデバイスプロファイルに適用

1. ジオフェンスエリアの追加
ジオフェンスエリアを定義します。

1-1. デバイス → プロファイルとリソース → プロファイル設定 → エリアと進み、
9-geo-1

追加でジオフェンスエリアを選択します。
9-geo-2

1-2. 今回は以下を入力して 「保存」 をクリックします (皆さんがテストされる環境に応じて変更して下さい)。
アドレス:東京駅 (入力後に 「クリックして検索」 をクリックすると地図が東京駅周辺を表示します)
半径:1 km (半径の最小は 800mです)
エリアネーム:東京駅周辺1km
9-geo-3

1-3. ジオフェンスエリアが追加されたのを確認して、右上の 「X」 をクリックします。
9-geo-4

2. ジオフェンスをデバイスプロファイルに適用
ジオフェンスの定義後、プロファイルに適用します。

2-1. デバイス → プロファイルと進み、ジオフェンスを適用するプロファイル名をクリックして編集画面を開きます (ここでは既存の “iOS デバイスでカメラを無効化する制限事項が設定されているプロファイル” を選択していますが、新たにプロファイルを追加して、ジオフェンスを適用する事も可能です)。
9-geo-5

2-2. 全般タブで 「バージョン追加」 をクリックします。
9-geo-6

2-3. 次に、全般タブの “追加の割り当て条件” で “選択したエリア内のデバイスにのみインストール” をチェックして、表示された “割り当てられたジオフェンスエリア ” ボックスで、先ほど登録したエリアネーム (東京駅周辺1km) を選択して、「保存して公開」 をクリックします。
9-geo-7

タイムスケジュール
タイムスケジュールを構成/適用して、プロファイルがデバイス上でアクティブになる時間帯を限定することができます。例えば、従業員が指定された日の指定された時間帯以外は企業リソースにアクセスできないようにしたり、勤務時間内に個人コンテンツへのアクセスを制限することができます。

次の2つのステップを実施し、タイムスケジュールを有効にします。
1. タイムスケジュールを定義
2. タイムスケジュールをプロファイルに適用

1. タイムスケジュールを定義
タイムスケジュールを定義します。
1-1. デバイス → プロファイルとリソース → プロファイル設定 → タイムスケジュールと進み、
9-ts-1
スケジュールを追加を選択します。
9-ts-2

1-2. 今回は以下を入力して 「保存」 をクリックします (皆さんがテストされる環境に応じて変更して下さい)。
スケジュール名:勤務時間内
タイムゾーン:”(GMT+09:00) 日本” を選択
曜日:月曜日から金曜日 (「+スケジュールを追加」  リンクをクリックして行を追加します)
開始時間:9:00
終了時間:17:00
9-ts-3

2. タイムスケジュールをプロファイルに適用
タイムスケジュールを定義後、プロファイルに適用します。

2-1. デバイス → プロファイルと進み、タイムスケジュールを適用するプロファイル名をクリックして編集画面を開きます (ここでは既存の “iOS デバイスでカメラを無効化する制限事項が設定されているプロファイル” を選択していますが、ここで新たにプロファイルを追加し、新たに制限事項 (例えば、YouTube コンテンツへのアクセスをブロックしたり、特定アプリを非表示にしたり) を追加して、タイムスケジュールを適用する事も可能です)。
9-ts-4

2-2. 全般タブで 「バージョン追加」 をクリックします。
9-ts-5

2-3. 次に、全般タブで “追加の割り当て条件” で “スケジュールを有効にし、選択した時間帯のみインストール” をチェックして、表示された “割り当てるスケジュール” ボックスで、先ほど登録したスケジュール名 (勤務時間内) を選択して、「保存して公開」 をクリックします。
9-ts-6

順守ポリシー
AirWatch では、順守ポリシーを利用する事で、デバイスが指定された条件に違反している場合、自動で定義したアクションを実行する事ができます。順守ポリシーでは「ルール」と「ルール」に違反しているデバイスに対する「アクション」を定義します。

順守ポリシーの追加方法は次のようになります。

1. デバイス → 順守ポリシー → リスト表示、と進み (順守ポリシーが定義されている場合は、ここに表示されます)、「追加」 をクリックします。
9-cp-1

2. 今回は、”プラットフォームを選択” で、iOS を選択します (皆さんがテストされる環境に応じて変更して下さい)。
9-cp-2

3. ①ルールではそれぞれ以下の項目を選択して、「次へ」 をクリックします (皆さんがテストされる項目に応じて変更して下さい)。また、以下の画面コピーでは、それぞれの項目でどのような選択肢があるのか理解頂くために、各項目のプルダウンメニューを貼り付けています。
9-cp-3

4. ②アクションではそれぞれ以下の項目を選択し、Eメールの送付先アドレスを入力して、「次へ」 をクリックします (皆さんがテストされる項目に応じて変更して下さい)。また、以下の画面コピーでは、それぞれの項目でどのような選択肢があるのか理解頂くために、各項目のプルダウンメニューを貼り付けています。
9-cp-4

5. ③割り当てでは、割り当てグループを選択して 「次へ」 をクリックします。
9-cp-5

6. ④概要では、必要に応じて、”名前” と “説明” を入力して、「完了してアクティブ化する」 をクリックします。
9-cp-6

まとめ

今回のエントリでは、以下についてご説明しました。
ジオフェンス
タイムスケジュール
順守ポリシー

次回は、セルフサービスポータル(MDMのみ) について解説していきます。お楽しみに!

本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。 myAirwatchへこちら

AirWatch の基礎 第8回 〜MDM管理 基本2 プロファイル作成および適用〜

AirWatchの基本 第8回 〜MDM管理 基本2 プロファイル作成および適用〜

皆様、こんにちは。
前回、第7回ではデバイス情報の取得、リモートロックの方法、企業情報ワイプ/デバイスワイプの情報をご紹介させて頂きました。
今回、第8回ではMDM 管理の基本2として、各種プラットフォームに対するプロファイルの作成と適用について、ご紹介させて頂きます。
プロファイルは単一のOSプラットフォームはもちろん、複数のOSプラットフォームに跨って適用することができるようになっています。
ここでは、まず以下の一般的な設定項目について、ご説明します。

・パスコードの必須設定
・カメラの禁止

◯プロファイルの作成
1. Airwatch コンソールへログインをします。(AirWatch の基礎 第3回で掲載済み)
aw_profile-01

2.左ペインより「デバイス」を選択し、「プロファイルとリソース」- 「プロファイル」を選択します。
aw_profile-02

3.「追加」をポイントし、「プロファイルの追加」を選択します。
aw_profile-03

4.表示されたプラットフォームから該当するプラットフォームをクリックします。今回はiOS を選択します。
aw_profile-04

5.全般タブで、名前欄に任意のプロフィル名を入力します。割り当てタイプを全てのデバイスに自動で展開されるように「自動」を選択し、既にスマートグループが作成されていれば、そのスマートグループを選択します。
aw_profile-05

6.パスコードタブで、「デバイスにパスコードを必須にする」にチェックします。
aw_profile-06

7.パスコード設定における詳細が表示されます。デフォルトでは「単純な値を許可」にチェックが入っています。お客様のセキュリティポリシーの要件に従い、パスコードに英数字を利用するのか、パスコードの桁数、有効期限、自動ロックまでの時間、パスコードの履歴等が設定することが可能です。
aw_profile-07

8.次に制限事項タブにおいて、カメラの禁止等を構成します。「構成」をクリックします。
aw_profile-08

aw_profile-09

9.「カメラの使用を許可」のチェックを外します。カメラの使用が完全に禁止され、ホームリストからアイコンが削除されます。ユーザーが撮影・録画、FaceTime等による利用が禁止されます。
aw_profile-10

10.「保存して公開」をクリックします。
aw_profile-11

11.スマートグループを割り当てていない場合には、以下のメッセージが表示されます。続行するには、「OK」をクリックします。
aw_profile-12

12.スマートグループが割り当てられていないため、「割り当てなし」と表示されます。
aw_profile-13

13.作成したプロファイルを編集します。「編集ボタン(鉛筆マーク)」をクリックします。
aw_profile-14

14.プロファイル編集の画面が表示されます。
aw_profile-15

15.割り当てグループにスマートグループを割り当てます。[保存して公開]をクリックします。
aw_profile-16

16.割り当てグループが表示されます。
aw_profile-17

この一連の手順を実施することで、スマートグループに所属するデバイスに対して、本プロファイルが適用されることになります。

今回は、新規でプロファイルを作成し、パスコードの必須設定、カメラの禁止設定を特定スマートグループへ割り当て、公開する手順についてご説明しました。
次回は、ジオフェンス/スケジュール/順守ポリシーについて解説していきます。

本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。
また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。myAirwatchへこちら

AirWatchの基礎 第7回〜MDM管理 基本1 基本操作〜

AirWatchの基本 第7回 〜MDM管理 基本1 基本操作〜

皆様、こんにちは。
前回までのエントリで、デバイスの加入まではOKでしょうか?
今回からは、実際にどのようにデバイスの情報を取得するか、機能制限をかけるか、リモートでロックを実施するか、ワイプを実行するか、アプリケーションを配信するか…といった、実際に利用する部分についてご紹介を実施していきたいと思います。

まずは本エントリで、MDMとしてのベーシックな機能としての
・デバイス情報の取得方法
・リモートロックの方法
・企業情報ワイプ/デバイスワイプの方法
についてご説明します。

 

デバイス情報の確認方法

前回までのエントリの内容で、デバイスの加入に成功していれば、コンソール上で[デバイス]→[リスト表示]と選択していくことで、登録したデバイスが確認できるかと思います。

android8

ここからデバイス名をクリックすると、より詳細なデバイス情報の画面が表れます。

device

画面上部にいくつかタブが並んでいます、ここから様々な情報を確認することができます。
いくつか例としてご紹介すると…

[概要]
デバイスの電話番号や、シリアルNo、デバイスに紐付いているユーザ情報等が表示されます。

[順守]
AirWatchには、指定した条件を満たしていないデバイスに対して、自動的に定義したアクションを実行する順守ポリシーという機能が存在します。順守ポリシーでは[ルール]と、ルールを満たさないデバイスに対する[アクション]を定義可能です。
このタブでは、デバイスが満たさなければいけない順守ポリシーの一覧を確認できます。

順守ポリシーで設定できる項目例
[ルール]:パスコード、暗号化、侵害状態、OSバージョン、アプリケーションブラックリスト等
[アクション]:ユーザーにプッシュ通知、管理者にEメール、管理アプリケーションをブロック、企業情報ワイプ等
%e9%a0%86%e5%ae%88

[アプリ]
デバイスにインストールされているアプリの一覧です。
(管理対象)と付いているものがAirWatchで配布したアプリ、付いていないものがユーザ個人で独自にインストールしたアプリとなります。管理対象アプリに関しては、AirWatchコンソールから自由に削除することも可能です。
%e3%82%a2%e3%83%95%e3%82%9a%e3%83%aa

[ロケーション]
このデバイスがどこにいるか、あるいは過去の特定の期間にどこにいたか、というロケーション情報を表示します。
%e3%83%ad%e3%82%b1%e3%83%bc%e3%82%b7%e3%83%a7%e3%83%b3
これらの情報は、あえて取得しないように設定することも可能です。
例えばBYODで私物のデバイスを使うのに、位置情報を取得されてるのってちょっと嫌ですよね。(社給デバイスでもできればやめてほしいですが) 他にも、個人で勝手にインストールしたアプリケーションまで完全に把握されるのも、ちょっと気持ち悪いという方もいらっしゃるかもしれません。

AirWatchでは、Privacyという名前のアプリ(Webクリップ)をデバイスに配布することで、ユーザが自身のデバイスのどんな情報を取得されているかを把握することができます。

img_0010また、社給デバイスについては全アプリと位置情報も取得するけど、BYODデバイスは管理アプリの情報しか取得しない、といったコントロールも可能です。

リモートロックの方法

デバイス画面右上からロックを選択して
%e3%83%ad%e3%83%83%e3%82%af1
(必要であれば) メッセージや連絡先を入力し、送信。
%e3%83%ad%e3%83%83%e3%82%af2
デバイスがロックされます。
%e3%83%ad%e3%83%83%e3%82%af3

企業情報ワイプ/デバイスワイプの方法

デバイス画面右上の [その他のアクション]配下に、企業情報ワイプやデバイスワイプといったコマンドがあります。

%e3%83%af%e3%82%a4%e3%83%95%e3%82%9a

企業情報ワイプとデバイスワイプの違いは以下となります。

[企業情報ワイプ]
AirWatchから配布しているプロファイル/アプリケーションのみを削除し、AirWatch管理下から外します。個人で入れたアプリケーションやその設定は残ります。
[デバイスワイプ]
デバイス上の全データを削除し、(OSのバージョン以外を)工場出荷状態に戻します。

例えば企業情報ワイプを選択すると、以下の様なウィザードが現れ、コンソール初回ログイン時に設定した4桁の管理コードを入力することで、実際に企業情報ワイプが実行されます。

%e3%83%af%e3%82%a4%e3%83%95%e3%82%9a2

まとめ

今回のエントリでは、以下について解説しました。
・デバイス情報の取得方法
・リモートロックの方法
・企業情報ワイプ/デバイスワイプの方法
次回は、プロファイルの説明と作成方法について解説していきます。お楽しみに!


本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。
また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。 myAirwatchへこちら 

 

AirWatchの基礎 第6回〜Androidデバイス利用の為の初期設定とデバイス加入〜

AirWatchの基礎 第6回〜Androidデバイス利用の為の初期設定とデバイス加入〜

皆様、こんにちは。

前回は、iOSデバイス利用の為の初期設定や加入についてご紹介しましたが、今回はそのAndroidについてご紹介致します。

デバイス管理では、AndroidもiOS同様にプッシュ通知が必要となります。iOSであればAirWatchの基礎 第4回でご紹介した通り、Apple Push Notification Service(以下、APNs)となりますが、AndroidではGoogleが提供するGoogle Cloud Messaging(以下、GCM)を利用する事になります。AirWatchコンソールでは、デフォルトでGCMが有効になっており、APNsのように事前設定は必要ありません。

設定の確認 デバイスとユーザ > Android > エージェント設定 より “無効”である事を確認

01

Androidの場合、GCMの代わりにAirWatchが提供するプッシュ通知のAirWatch Cloud Messaging(以下、AWCM)を利用する事が出来ます。AWCMは、GCMを包括的に置き換えるものとして、リアルタイムのデバイス管理ステータス確認とコマンド配信を提供し、次のような環境で利用する事も出来ます。

・Googleアカウントで設定できないデバイス

・内部ネットワーク通信に限定されたデバイス

・公共のインターネットアクセスのない装置

例えば、ある特定のインハウスアプリケーションを外部と遮断されたインターナルネットワークの中だけで利用する場合、GCMへのアクセスは出来ない為、AWCMを利用して管理する事が出来ます。(AWCMを含む、AirWatch関連コンポーネントをオンプレミスで構成する必要があります。)

Androidデバイスの加入

Android デバイスでも、基本的な加入の概要については前回のiOSでご説明した以下4つに変わりはありません。

①加入手続き

②加入処理

③AirWatchへ加入

④加入後処理

それでは、Androidで最も一般的な加入方法をご紹介させて頂きます。

・加入方法:エージェント

・加入情報:AirWatch接続サーバとグループID情報およびユーザ情報

  1. AirWatch接続サーバのグループID情報の確認

AirWatch接続サーバは、AirWatchコンソールへログインした際のサーバURLとなり、”xxx.awmdm.jp”となります。

グループIDは、AirWatchコンソールの上部のタブにマウスカーソルを配置すると、参照する事が出来ます。*フリートライアルでは、ご登録した会社名をベースに、自動生成されています。

02

AirWatch接続サーバ: xxx.awmdm.jp

グループID:ACORP

ユーザ情報:登録したユーザおよびパスワード

  1. エージェントの入手とインストール

1.Google Play ストア から “AirWatch mdm agent”で検索しダウンロード・インストール

2.次のURLから検索し、Apple Storeへ移動してダウンロード・インストール

https://awagent.com/

android1

  1. 加入手続き

1.エージェントを起動

2.サーバ詳細情報を選択

3.ユーザ情報入力

android2

  1. 加入処理

1.利用規約で、”承認”を選択

2. “続行”を選択

3. “続行”を選択

android3

4. “有効にする”を選択

5.デバイスの設定状況によって提供元不明のアプリの有効化を要求される事がありますが、ステップに従って勧めてください。

6. “続行”を選択

android4

7. OEM Service Kitのインストールが要求され “インストール”を選択
※ OEM Service Kit は、Android デバイスの管理機能を拡張する AirWatch の追加アプリです。
AirWatch は、Android デバイスの各 OEM と連携して、追加の機能を実現しています。
詳細については、最下部に後述するコラムをご覧ください。

8. “有効にする”を選択

9. “続行”を選択

android5

  1. 加入後処理

1. “終了”を選択、予め定義されているプロファイルやアプリケーション等が自動配信の設定をされている場合は、加入後処理されます。(フリートライアル開始直後では、特に設定されていませんので、加入後処理は行われません)

2. エージェントを起動し、状態を確認する事が出来ます。

android6

  1. 加入後のAirWatchコンソールからの確認

左のメニューから“デバイス”>“リスト表示”で加入されたデバイスを参照する事が出来ます。また、該当デバイスをクリックしてドリルダウンすると、デバイスの詳細情報が確認できます。

android8

まとめ

今回は、Androidデバイス利用する為の初期設定についてご説明しましたが、ご覧頂いた通りAndroidでは特に設定は必要なくすぐにご利用頂く事が出来ることがわかりました。次回は、クエリー、ロック、企業情報ワイプ、デバイスワイプ等のMDM基本操作についてご説明致します。ご期待ください。

コラム

最近、日本でも多くの法人のお客さまが社内用デバイスとして、Androidをご採用されるケースが増えてきております。皆様もご存知の通り、Androidは多くのベンターより提供されております。このコラムでは、各ベンダーが提供しているOEM サービスアプリケーションについてご紹介いたします。

通常のAndroidデバイスは、Google社のAndroid OSをベースに開発/製造されており、AirWatchをはじめとするMDMベンダーは、Android OSが提供している標準APIを元に管理を行っております。Androidデバイス製造各社は、他社との差別化の為にデバイスレベルもしくはOSレベルで機能拡張を行っておりますが、拡張された機能は当然標準APIで制御する事が出来ない為、製造元より拡張APIが提供されます。その拡張APIのモジュールをOEMサービスアプリケーションと呼ばれており、多くのベンダーはGoogle Playより入手する事が出来ます。AirWatchの場合、デバイス加入時にGoogle Play経由で自動的にインストールされるベンダーもあります。

主なベンダー(順不同) Samsung,LG,Lenovo,HTC,Moto,MX,Panasonic,Amazon,Nook,Sony,Intel,ASUS,Bluebird

主な拡張機能の例

・Bluetooth/NFC/WiFi/USB/SD等のデバイス管理機能の拡張

・画面構成や標準アプリケーションの制御

・アプリケーションのサイレントインストール

・リモート管理機能の拡張

拡張機能の対応確認は、AirWatchコンソールの各種設定から確認する事が出来ます。

04

詳細は、VMware AirWatch Android Platform Guideを参照ください

本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。 myAirwatchへこちら

 

AirWatchの基礎 第5回〜iOSデバイスの加入〜

AirWatchの基礎 5回〜iOSデバイスの加入〜

皆さん こんにちは。

これまでは、AirWatchを利用する上での最低限の初期設定についてご説明してきましたが、今回からはいよいよデバイス加入し、具体的にどのようにしてデバイスを管理していくかについてご説明いたします。

iOS/Androidの両デバイス共通ですが、加入には4つのステップがあります。

 

09

①加入手続き

AirWatchでは、エージェント(エージェントのインストール)またウエブから加入の2つの加入方法が準備されています。尚、ウェブからの加入の場合は、エージェントレスでの加入をサポートしており、Apple IDやGoogle Play IDが無い場合での加入に便利です。

また、加入情報については、以下の3つが準備されており、利用者の要件に合わせて加入方法を提供する事が出来ます。

・企業のドメインを予め設定する事で加入者のメールアドレスから自動検出する方法

・AirWatch接続サーバとグループID情報をマニュアルで入力

・QRコードから、AirWatch接続サーバのURLとグループID情報を読み込ませる(エージェントのみ)

②加入処理

加入処理の際に、ウェルカムメッセージの表示、デバイス所有形態の選択、利用ユーザに利用規約に同意をさせたりする等、ユーザ所有のデバイスの利用(BYOD:Bring your own device)をサポートするような運用も可能です。

③AirWatchへ加入

上記①および②の手順が終わると、AirWatchへ加入され、デバイスとAirWatch間でネットワーク接続が確立されます。

④加入後処理

加入後は、予めAirWatchコンソールで定義された、プロファイル・アプリケーション・コンテンツ等の設定や情報が配信されます。

 

では、iOSで最も一般的な加入方法をご紹介させて頂きます。

・加入方法:エージェント

・加入情報:AirWatch接続サーバとグループID情報およびユーザ情報

 

  1. AirWatch接続サーバのグループID情報の確認

AirWatch接続サーバは、AirWatchコンソールへログインした際のサーバURLとなり、フリートライアルであれば、通常”cn504.awmdm.jp”となります。

グループIDは、AirWatchコンソールの上部のタブにマウスカーソルを配置すると、参照する事が出来ます。*フリートライアルでは、ご登録した会社名をベースに、自動生成されています。

02

AirWatch接続サーバ: cn504.awmdm.jp

グループID:ACORP

ユーザ情報:登録したユーザおよびパスワード

  1. エージェントの入手とインストール

1.Apple Store から “AirWatch mdm agent”で検索しダウンロード・インストール

2.次のURLから検索し、Apple Storeへ移動してダウンロード・インストール

     https://awagent.com/

 03

  1. 加入手続き

1.エージェントを起動

2.サーバ詳細情報を選択

3.ユーザ情報入力

04

  1. 加入処理

1.利用規約で、”承認”を選択

2. “リダイレクト&有効”を選択

3.プロファイルの”インストール”を選択

05

4.デバイスの環境依存によってパスコード入力要求等ありますが、ステップに従って勧めてください。

5.プロファイル(ワークスペースサービス)のインストール完了し、加入処理は終了となります。

06

  1. 加入後処理

1.予め定義されているプロファイルやアプリケーション等が自動配信の設定をされている場合は、加入後処理されます。(フリートライアル開始直後では、特に設定されていませんので、加入後処理は行われません)

2.最後に認証完了画面が表示され、加入処理が完了となります。

3.加入後、エージェントの通知の送信について確認がありますが、“許可”を選択

4.エージェントを起動し、状態を確認する事が出来ます。

07

  1. 加入後のAirWatchコンソールからの確認

左のメニューから”デバイス”>”リスト表示”より、デバイスを参照する事が出来ます。また、該当デバイスをクリックしてドリルダウンすると、デバイスの詳細情報が確認できます。

08

 

まとめ

今回は、iOSデバイスの加入についてご説明いたしました。次回は、Androidデバイスの初期設定と加入についてご説明致します。ご期待ください。

本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。 myAirwatchへこちら

AirWatchの基礎 第4回〜iOSデバイス利用の為の初期設定〜

AirWatchの基礎 第4回〜iOSデバイス利用の為の初期設定

前回は、AirWatchのコンソールにログオンし、必要な初期設定を行う手順をご紹介させて頂きました。今回は、もっとも利用シーンが多いであろうApple iOS(以下、iOS)のデバイス管理方法について記載したいと思います。

 

プッシュ通知とは

AirWatchを始めとしたデバイス管理製品は、管理デバイスに対して直接メッセージを送ることや設定変更を個々のデバイスにダイレクトに送ることはできません。かならずプッシュ通知と呼ばれる仕組みを経由して連携いたします。iOSの場合は、APNs(Apple Push Notification Service)という仕組みを利用します。

この仕組みを利用し、AirWatchは設定変更、アプリケーションの配布などのイベントがあった場合は、直接デバイスにデータを送るのではなく、APNsに一度アップデート情報があることを通知し、その通知を受けたデバイスはAirWatchから新しい情報を取得するというシーケンスになります。

image002

 

APNsを使用するには

APNsを使用するためには、まず、Apple Push Certificates PortalでAPNs証明書を取得する必要があります。APNs証明書はAirWatchとiOSデバイスとのセキュアな通信を可能にし、情報をAirWatchにレポートします。

ただし、APNs証明書の有効期限は1年間となっています。継続利用する場合は、更新手続きを毎年行う必要があります。(有効期限が近づくと、AirWatchコンソール上にその旨の通知があります。)注意点ですが、Apple Push Certificates PortalでAPNs証明書を更新すると、現在の証明書はすぐに失効してしまいます。つまり、新しい証明書をアップロードするまでは、まったくデバイス管理できなくなります。構築後は、すぐに新しい証明書をアップロードするようにしてください。また、本番環境とテスト環境では別々の証明書を使用することをお勧めします。

 

APNs証明書の取得方法

実際にAirWatchからAPNs証明書を取得する手順をご紹介いたします。

 

  1. 新しい証明書を作成

グループと設定 →すべての設定→ デバイスとユーザ → Apple→ MDM用のAPNs に移動します。

apns1

 

  1. AirWatch証明書要求 (MDM_APNsRequest.plist)をダウンロード

Appleのサイトへ遷移します。

apns2

 

  1. Apple Push Certificates Portalにログオン

あらかじめ用意したAppleIDでサインインします。

※ここで使用するAppleIDは、今後もAPNs証明書の更新等で使用します。担当者に依存するのではなく、企業および組織でこのApple IDを管理することをお勧めいたします。

apns3

 

  1. Create Certifateを実行

apns4

 

  1. 約款に同意

“Terms of Use”を確認後に、”I have read …”にチェックを入れ、Acceptをクリックします。

apns5

 

  1. plistファイルのアップロード

“ファイルを選択”を選択し、事前に 作業2で作成した”MDM_APNsRequest.plist”を選択、Uploadをクリックします。

apns6

 

  1. 証明書のダウンロード

“Confirmation”を確認し、Downloadをクリックします。”MDM_AirWatch_Certificate.pem”ファイルがダウンロードできます。

apns7

 

  1. AirWatch管理コンソールへ移動

“Expiration Date”より証明書の有効期間を確認し、AirWatchコンソールに戻ります

apns8

 

  1. MDM証明書をAirWatchにアップロード

先ほどダウンロードした”MDM_AirWatch_Certificate.pem”をAirwatchにアップロードし、保存します。

apns9

 

  1. セキュリティ暗唱番号の入力

AirWatchに大きな設定変更を施すことになるため、セキュリティ暗唱番号が求められます。
4桁(数字)のセキュリティ番号を入力します

apns10

 

  1. 設定完了

完了すると、以下の画面が表示されます。

apns11

 

まとめ

今回は、iOSデバイスを利用する為に必要な設定についてご説明いたしました。次回は、iOSデバイスの加入手順をご紹介いたします。

本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。 myAirwatchへこちら

AirWatchの基礎 第3回〜AirWatchへの初めてのログイン〜

AirWatchの基礎 第3回〜AirWatchへの初めてのログイン〜

前回は、AirWatchのフリートライアルの申込とmyAirWatchサイトへのアクセスについてご紹介させて頂きました。第3回では、フリートライアルを申込された方の次のステップでAirWatchへ初めてログインを行い、必要最低限の初期設定についてご紹介させて頂きます。

まず、前回のブログでありましたフリートライアルのメール情報からAirWatchコンソールへログインからスタートします。

  1. AirWatchコンソールへログイン

15

  1. 利用許諾を確認し、“Accept”をクリック

03

  1. パスワードリセットおよびセキュリ暗証番号

・管理アカウントのパスワードを忘れてしまった際に、自身でパスワードをリカバリーできるよう、秘密の質問を設定します。

・デバイス削除や企業情報ワイプなど、クリティカルな設定を実施する際に要求されるセキュリティピンを設定します。

04

  1. AirWatch 9コンソールのハイライトを参照

次回ログイン時に表示させない場合は、チェックをつけてください。

05

  1. コンソール右上のログインユーザのアカウント設定を管理から、タイムゾーン(GMT +9:00)/ロケール(Japanese)の変更を行い、コンソールのデフォルト画面を日本語にする事が出来ます。

06

新しいAirWatchコンソール

2016/11/08より、最新バージョンであるAirWatch 9.0がリリースされました。AirWatch 9.0では、コンソールUIが大幅に変更されており、より利用における利便性や直感的なUIになっております。

14

  1. 組織グループの定義

組織グループは、AirWatchを管理する上で、管理単位を組織やその他様々なグループで構成する事ができ、運用を簡素化する事が出来ます。

組織グループのメリット

・拡張性:拡張を続ける企業組織に対応し、階層的な管理を実現します。
・分離:独立した環境として機能するグループを作成可能で、マルチテナント環境をサポートします。
・継承:上位の組織グループの構成をサブグループが継承するよう設定可能で、管理の合理化を実現します

組織グループの例

リージョンや部門での階層

A Company = ルートとし、その配下にAsia Pacific/America/UATの3つの組織グループを並列に作成

07

AirWatchコンソールからの表示

08

階層の切り替え

09

組織グループの作成

”A Corporation”の下部に“America”を作成する場合、”A Corporation”からの操作

グループの設定>グループ>組織グループ>組織グループの詳細から“サブ組織グループの追加”を選択

・名前:組織グループ名

・グループ ID :デバイスを加入する時のID

・タイプ:リージョンなど組織グループのカテゴリ

・その他 国/ロケール /カスタマーの業種/タイムゾーン をそれぞれ設定

10

組織グループの階層の権限

11

組織グループの主な権限

・プロファイル                                                                    ・ユーザ

・アプリケーション                                                            ・管理者

・順守ポリシ                                                                        ・利用規約

・コンテンツ

  1. ユーザの作成

デバイスの使用者・所有者としてユーザを管理する必要があり、ユーザ登録には以下2種類の方法があります。

・ベーシックユーザ:AirWatchに手動作成されるユーザ

・ディレクトリユーザ:Active Directoryなどディレクトリサービスと連携してAirWatchに自動作成・管理されるユーザ

ディレクトリユーザを利用する場合は、別途AirWatch Cloud Connector(ACC)を構成する必要があります。本ブログでは、シンプルなユーザ管理の手法であるベーシックユーザの作成方法をご紹介します。

コンソール右上の追加ボタンよりユーザを選択

12

組織グループとユーザ作成のベストプラクティスのヒント

割り当てされたテナントの最上位(ルート)でも、ユーザやデバイス管理は行う事が出来ますが、今後の環境の拡張や運用の変更等で構成が変更される事を考慮すると、ルートの配下に少なくとも1つ階層(組織グループ)を作成し、その配下で構成頂く事をお勧め致します。これにより、テナントのデフォルト設定を直接編集する必要がなくなります。また、ベーシックユーザの場合、各組織グループに合わせて利用ユーザを作成する事が一般的な方法ですが、例えば構成した組織グループ間でのユーザ移動が発生する場合は、一つ上の組織グループにユーザ作成する事で、ユーザの移動を簡単に行う事が出来ます。

まとめ

今回は、初めてのログインから最低限の初期設定についてご説明いたしました。次回は、初期設定の続きで、iOS/Androidデバイス利用の為に必要な初期設定についてご紹介いたします。

本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。 myAirwatchへこちら