Workspace ONE グローバルサポート デジタル ワークスペース

[GS Newsletter] Workspace ONE UEM におけるデバイス加入の基本とトラブルシューティング

こんにちは。VMware グローバルサポート Newsletter 担当者です。
6月から、Newsletter の配信以外に、Blog へも Post させていただくことになりました。
Newsletter 内のケーススタディを中心に2ヶ月に1回のペースで行っていきます。

第一弾は、Newsletter 6月号のケーススタディから「Workspace ONE UEM におけるデバイス加入の基本とトラブルシューティング 」です。


Workspace ONE 統合エンドポイント管理(UEM) においてデバイス管理をする際にまず何よりも重要なことはデバイスを正常に加入させることにあります。今回はデバイスを加入させるための基礎知識およびデバイス加入時に表示されるいくつかのエラーメッセージを例にトラブルシューティングを行う方法を解説します。

1. はじめに
デバイスの加入のためには以下に示す 4 つの重要な項目が存在します。

1) デバイスサービス URL
最も重要なのがデバイスサービス URL です。管理コンソールで使用する URL と同等と思われがちですが厳密には異なる URL を使用する必要があります。管理コンソールから [すべての設定] > [システム] > [高度な設定] > [サイトURL] の順に開き、「デバイス サービス URL」で表示されてる URL の完全修飾ドメイン名を利用するようにしてください。

典型的な URL のフォーマット

デバイスサービス
ds<環境番号>.awmdm.com
管理コンソール
cn<環境番号>.awmdm.com

※ 専有環境をご利用の場合は独自の完全修飾ドメイン名が設定されていることもあります。

管理コンソールとデバイスサービス URL を取り違えることで加入に失敗するケースもありえます。例えば、企業によっては社内ネットワークから外部へのアクセスにホスト名の指定をルールとしている場合が多くあります。この時に本来はデバイスサービス URL が登録されるべきところ、管理コンソール URL が登録されていると、加入プロセスに必要な通信ができないためデバイスの加入に失敗します。

2) 組織グループ ID
組織グループ ID は管理コンソール画面上段に表示される表示名とは異なるもので、組織グループを厳密に特定できる情報です。そのため、環境全体でそれぞれ一意の値である必要があり、特に共有環境の場合、指定したい組織グループ ID が他の環境で既に利用されている場合がある点に注意してください。 また、この項目は組織グループを作成する際に、表示名とは異なり必須の項目ではないため入力し忘れていないか注意してください。

3) 加入ユーザー名・パスワード
加入時の注意点は特にありませんが、目的が何であれデバイスを加入させるには少なくとも 1 件ユーザーを登録する必要があります。

4) プラットフォームごとに必要な設定
上述の加入情報に加え、デバイスプラットフォームごとに必要な設定があります。

  • Apple (iOS / macOS): MDM の APNs

Apple デバイスを管理するためには、Apple のプッシュ通知サービス (APNs) 証明書が必要です。


  • Android: Android EMM 登録

Android デバイスの管理を開始するには、Workspace ONE UEM を自社のエンタープライズ モビリティ管理 (EMM) プロバイダとして Google に登録する必要があります。


  • Windows

お客様側で事前に必要な登録はありません。


なお必要な設定を完了しないまま加入を進めようとすると次のようなエラーに遭遇することがあります。

エラーメッセージ例 1)

この組織グループには APNs 証明書が割り当てられていません。有効な APNs 証明書が含まれている MDM 設定を確認してください。

タイミング: 組織グループ指定直後
発生するプラットフォーム: iOS / macOS
理由: MDM の APNs 証明書が未登録であるため
対処: 以下のドキュメントを参考にMDM の APNs 証明書を登録します

APNs 証明書
https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/UEM_ConsoleBasics/GUID-AWT-APNSCERTS.html

エラーメッセージ例 2)

ご使用のデバイスで Android 10 (またはそれ以降のバージョン)が実行されているため、加入には Android Enterprise が必要になります。
Android Enterprise を有効にする方法については、IT 管理者までお問い合わせください。

タイミング: 加入ユーザー名・パスワード指定直後
発生するプラットフォーム: Android 10 以降
理由: Android EMM が未登録であるため
対処: 以下のドキュメントを参考に Android の EMM 登録を実施します

Workspace ONE UEM への Android の登録
https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/Android_Platform/GUID-AndroidRegistrationRegisterAndroidwithWorkspaceONE.html

まとめると事前に必要な情報は以下の通りです

項目 説明
1) デバイスサービス URL “ds”で始まる完全修復ドメイン名 “ds012345.awmdm.com”
2) 組織グループ ID 加入先組織のグループ ID “company001”
3) 加入ユーザー名・パスワード 加入用の ID とパスワード (省略)
4) プラットフォームごとに必要な設定 Apple と Android で必要な登録 Apple: APNs 証明書
Android: EMM 登録

プラットフォームごとに必要な情報や設定は今後仕様変更により変わることが十分に考えられます。そのため例えば以下のような KB を参照して新たに発表される情報を逐次確認することを推奨します。

Apple 2020 秋季リリースに向けての準備 (79996)
https://kb.vmware.com/s/article/79996?lang=ja
Android 12 に向けての準備 (82775)
https://kb.vmware.com/s/article/82775?lang=ja

上記に加え、社内ネットワークから加入を試みる場合、必要なポートが開かれているかどうか確認する必要があります。下記のサイトに記載された Workspace ONE UEM に必要なポート一覧で Source 欄を “Devices (Internet/Wi-Fi)” でフィルタします。右側の注釈を参考にしながら必要なポートの情報を確認してください。

VMware Ports and Protocols
https://ports.vmware.com/home/Workspace-ONE-UEM

例えば Windows の加入を検討している場合、”Windows” で検索すると以下が対象であることが判ります。

接続先 ポート番号 プロトコル
AWCM Server 2001/443 HTTP/ HTTPS
has.spserv.microsoft.com 443 HTTPS
*login.live.com 80 or 443 HTTP/ HTTPS
*notify.live.net 443 HTTPs
wns.windows.com 443 HTTPS
inference.location.live.net 80 or 443 HTTP/HTTPs


2. トラブルシューティング
上記の設定が完了したら準備した情報を使ってデバイスの加入を行います。加入中に何らかの理由により失敗し、メッセージが確認できる場合は以下の KB を参考に解決策が無いか見てましょう。

参考 KB
Workspace ONE でのデバイス加入の問題 (2960930)
https://kb.vmware.com/s/article/2960930?lang=ja
Workspace ONE 加入エラー カタログ (81557)
https://kb.vmware.com/s/article/81557?lang=ja
Workspace ONE への加入時、「加入がブロックされました。」というエラーが発生する (50101102)
https://kb.vmware.com/s/article/50101102?lang=ja
Workspace ONE への加入時に、「加入が拒否されました。承認されていないデバイスです。」エラーが表示される (50101091)
https://kb.vmware.com/s/article/50101091?lang=ja

なおデバイス加入に必須ではありませんが、登録されたデバイスのみ加入を許可するオプションを利用しているケースも多く見受けられます。デバイスが正しく登録されていないと、ほとんどの場合は加入処理中にエラーメッセージを表示して処理が中断されますが、デバイスプラットフォームによっては、加入処理完了後にデバイスが未登録であることが検知され、デバイスの加入が解除されるケースもあります。これはデバイス登録に必要な情報 (例: シリアル番号) が加入処理完了後でないと取得できないなど、デバイスプラットフォーム側の制限によるものですがこのようなケースがある点にも注意が必要です。

エラーメッセージ例 3)

仕事用プロファイルが削除されました
お使いの仕事用プロファイルはこのデバイスで使用できなくなりました


発生するプラットフォーム: Android (ワークプロファイル)

エラーメッセージ例 4)

Workspace ONE は、会社アカウントと、その会社アカウントに関連付けられていたすべての情報 (ビジネス、アプリ、パスワードの要件、その他のポリシーなど) をデバイスから削除しました。


発生するプラットフォーム: Windows

上記 2 つのケースについては以下のドキュメントを参考にデバイスの登録を実施します。
デバイス登録
https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/UEM_Managing_Devices/GUID-AWT-DEVICEREGISTRATION.html

3. 最後に
今回は Workspace ONE モバイル デバイス管理(MDM) を使用したデバイス加入の基本設定と発生するエラーメッセージを中心にご紹介しました。
加入中に発生するエラーメッセージは管理コンソールでの設定内容やユースケースにより多岐に渡ります。また、デバイスプラットフォーム側の仕様変更により必要な設定や前提条件が変わる場合もありますので常に最新の情報が得られるよう当サポートニュースレターや KB サイトをご活用ください。