Download pdf - VMware AirWatch Windows デスクトッププラットフォーム …...ガイドでは、弊社のデバイスプロファイルを使用して、貴社のWindowsデバイスを適切に構成し、セキュア化する方法を説明

VMware AirWatch Windows デスクトッププラットフォームガイドWindows デスクトップデバイスを展開し管理するAirWatch 9.2

ご意見・ご感想をお寄せください。support.air-watch.com からサポートウィザードを使用して文書のフィードバックサポートチケットを送信することができます。Copyright © 2017 VMware, Inc. 無断複写・複製・転載を禁ず。この製品は、米国およびその他の国、ならびに国際条約において、著作権法および知的財産法によって保護されています。VMware 製品は、http://www.vmware.com/go/patents のリストに表示されている 1 件または複数の特許対象です。

VMware は、米国およびその他の地域における VMware, Inc. の登録商標または商標です。他のすべての名称ならびに製品についての商標は、それぞれの所有者の商標または登録商標です。

VMware AirWatch Windows デスクトッププラットフォームガイド | v.2017.10 | 10月 2017Copyright © 2017 VMware, Inc. 無断複写・複製・転載を禁ず。

1

http://support.air-watch.com/

改訂履歴以下の表は AirWatch 9.2 リリース以降のこのガイドの改訂履歴です。

日付理由

2017 年 9 月初回アップロード

2


目次第 1章:概要 6

AirWatch 9.2 における Windows デスクトップ向けの新機能 7Windows デスクトップの概要 7Windows デスクトップの加入の要件 7サポートする Windows デスクトップデバイス 8

第 2章:Windows デスクトップデバイスの加入プロセス 13Windows デスクトップの加入の概要 14Windows デスクトップと Windows 7 デバイス 15Windows 加入用の AirWatch Agent 16Windows デスクトップのネイティブ MDM加入 17デバイスの代理加入 24Windows 10 Provisioning Service by VMware AirWatch 28Azure AD 統合経由の加入プロセス 30一括プロビジョニングと加入 41加入用の AirWatch Protection Agent 43

第 3章:Windows デスクトップデバイスプロファイル 45Windows デスクトッププロファイル概要 47パスコードプロファイルを構成する (Windows デスクトップ) 48Wi-Fiプロファイルを構成する (Windows デスクトップ) 50VPN プロファイル (Windows デスクトップ) 52資格情報プロファイル (Windows デスクトップ) 58制限事項ペイロードを構成する (Windows デスクトップ) 60データ保護プロファイル (Windows デスクトップ) 67Passport for Work プロファイル (Windows デスクトップ) 70ファイアウォールプロファイルを構成する (Windows デスクトップ) 72シングルアプリモードプロファイルを構成する (Windows デスクトップ) 73ウイルス対策プロファイルを構成する (Windows デスクトップ) 74暗号化プロファイル (Windows デスクトップ) 77

3


Windows 更新プログラムプロファイルを構成する (Windows デスクトップ) 81Web クリッププロファイルを構成する (Windows デスクトップ) 87Exchange ActiveSync プロファイル (Windows デスクトップ) 88SCEPプロファイル (Windows デスクトップ) 93アプリケーション制御プロファイル (Windows デスクトップ) 95Exchange Web Service プロファイルを構成する (Windows デスクトップ) 97Windows ライセンスプロファイルを作成する (Windows デスクトップ) 97BIOS プロファイルを構成する (Windows デスクトップ) 98カスタム設定を使用する (Windows デスクトップ) 99

第 4章:順守ポリシー 101順守ポリシーの概要 102正常性認証サービスによる侵害デバイスの検出 102

第 5章:Windows デスクトップデバイス向けのアプリ 105Windows デスクトップアプリケーション概要 106Windows デスクトップ用VMware Workspace ONE 106Windows デスクトップデバイスの AirWatch Agent を構成する 106Windows デスクトップデバイス用VMware Content Locker 108Windows デスクトップ用VMware Browser 108

第 6章:Dell Command | Monitor の統合 109Dell Command | Monitor の統合 110Dell Command | Monitor の AirWatch への追加 110

第 7章:Windows デスクトップデバイス向けのプロダクトプロビジョニング 112プロダクトプロビジョニングの概要 113

第 8章:Windows デスクトップデバイスを管理する 114Windows デスクトップデバイス管理の概要 115デバイスダッシュボード 115デバイスリスト表示 115Windows デスクトップデバイス詳細画面 116

4


リモート管理 117

他の文書を入手する 118

5


第 1 章:概要

AirWatch 9.2 における Windows デスクトップ向けの新機能 7Windows デスクトップの概要 7Windows デスクトップの加入の要件 7サポートする Windows デスクトップデバイス 8

6


AirWatch 9.2 における Windows デスクトップ向けの新機能AirWatch 9.2 では、Windows デスクトップ向けに新機能が追加されました。以下は、追加された新機能と該当するセクションとページ番号です。

l Windows Update から機能更新プログラムおよび品質更新プログラムが Windows デスクトップデバイスにインストールされるタイミングを制御できます。AirWatch で、日数を指定して、更新プログラムがデバイスにインストールされるタイミングを遅らせることができるようになりました。また、この機能強化には、デバイスのアクティブな時間を作成する機能も含まれています。このアクティブな時間の間は、更新プログラムのインストールのためにデバイスが再起動されることはありません。詳細については、「81 ページの Windows 更新プログラムプロファイルを構成する (Windows デスクトップ)」を参照してください。

l インストールするためにデバイスに送信する前に、各 Windows 更新プログラムを承認します。新しい Windows Update画面からすべての Windows 更新プログラムを承認する機能が AirWatch でサポートされました。ライフサイクル >Windows 更新プログラムと進むと、利用できるすべての Windows 更新プログラムの一覧を確認できます。詳細については、「86 ページの Windows 更新プログラム」を参照してください。

l 機能が強化された暗号化プロファイルを使用して、自動的にローテーションで変更される BitLocker パスワードを作成すること、および指定した期間は BitLocker の暗号化を一時停止することができます。AirWatch で、一定の期間を置いて自動的にローテーションで変更されるパスワードの作成ができるようになりました。また、古いパスワードの猶予期間を構成することもできます。この機能強化には、指定した時間の間は、BitLocker の暗号化を一時停止する機能が含まれています。この機能を使用して暗号化を一時停止すると、デバイスを更新する際にデバイスの再起動が必要になっても、エンドユーザーがその場にいてデバイスをアンロックする必要がなくなります。詳細については、「77 ページの暗号化プロファイル(Windows デスクトップ)」を参照してください。

l Dell Command | Monitor との統合により、Dell の社内デバイスをセキュリティ保護できます。AirWatch で、DellCommand | Monitor の AirWatch コンソールへの追加、および Dell の社内デバイスの追加情報を収集するアプリケーションの使用がサポートされるようになりました。詳細については、「110 ページの Dell Command | Monitor の統合」を参照してください。

Windows デスクトップの概要AirWatch は、貴社の Windows 8.1/Windows 10 デバイス展開におけるデバイス加入、セキュア化、構成および管理に対し、堅牢なモビリティ管理ソリューションを提供します。AirWatch コンソールには、企業所有デバイスと個人所有デバイスのライフサイクル全体を管理するための、いくつものツールと機能が用意されています。また、セルフサービスポータルを使用して、エンドユーザー自身がタスクを実行したり、ユーザー自身で加入手続きを行ったりすることもできます。そうすることで、管理者の貴重な時間とリソースをより有効に活用することができます。AirWatch は、企業デバイスと従業員の個人デバイスの双方を構成し、貴社企業データとコンテンツをセキュア化します。このガイドでは、弊社のデバイスプロファイルを使用して、貴社の Windows デバイスを適切に構成し、セキュア化する方法を説明します。順守エンジンを使用して、セキュリティ侵害のあったデバイスを検出し、企業リソースへのアクセスを削除します。デバイスを AirWatch に加入させることで、必要に応じたデバイスのセキュリティ保護と構成が可能になります。

Windows デスクトップの加入の要件Windows Desktop デバイスの加入を行う前に、以下の要件を満たしていることを確認してください。この要件には、個人所有のデバイスを加入させるエンドユーザーに提供する必要がある重要な情報が含まれています。

第 1 章:概要

7


要件l アクティブな環境 – 貴社のアクティブな AirWatch 環境です。ここから AirWatch コンソールにアクセスします。

l 適切な管理者権限 – AirWatch コンソール内でプロファイルを作成し、ポリシーを決定し、デバイスを管理するには、このタイプの管理者権限が必要です。

l 加入 URL – この URL はお客様の加入環境に一意に割り当てられます。この URL をクリックして加入画面を直接開くことができます。例:mdm.example.com

l グループ ID – グループ ID は、各デバイスを企業内役割と関連付けるものです。グループ ID は AirWatch コンソールで定義されます。

重要:加入サーバをプロキシの背後に配置している場合、ネットワーク設定を構成する際、Windows サービスWINHTTP をプロキシを使用するように構成する必要があります。

サポートする Windows デスクトップデバイスWindows デスクトップでサポートされている Windows オペレーティングシステムのバージョンは、Windows 8.0 ～Windows 10 の各エディションです。

サポートするプラットフォームとデバイスサポート対象は以下の OS を搭載するデバイスです。

Windows 8.1 RT Windows 10 Home

Windows 8.1 Core Windows 10 Pro

Windows 8.1 Pro Windows 10 Enterprise

Windows 8.1 Enterprise Windows 10 Education

Windows デスクトップの機能マトリックス以下のマトリックスは、Windows 8.0/RT、Windows 8.1/RT、Windows 10 OS で利用できる AirWatch 機能の一覧です。AirWatch は Windows 8.0 以降のすべてのバージョンをサポートしますが、OS によって利用できる機能が異なります。

機能マトリックス

機能 Windows 8.0/RT Windows 8.1/RT Windows 10アクティブ化と加入

ネイティブクライアント加入 ✓ ✓

Agent ベースの加入 ✓

Windows アカウント ID が必要 ✓

利用規約の承諾が必要 ✓ ✓ ✓

第 1 章:概要

8


機能 Windows 8.0/RT Windows 8.1/RT Windows 10加入時のオプションプロンプトのサポート ✓ ✓ ✓

Active Directory/LDAP ✓ ✓ ✓

クラウドドメイン参加による加入 ✓

OOBE (Out of Box Experience) 加入

✓

一括プロビジョニングによる加入 ✓

デバイス代理セットアップ ✓

アーキテクチャ

SMS ✓ ✓ ✓

Eメールメッセージ ✓ ✓ ✓

セキュリティポリシーと順守状態のモニタリング

パスワードポリシー ✓1 ✓3 ✓

企業情報ワイプ ✓1 ✓ ✓

フルワイプ ✓

ワイヤレスプロビジョニング

Eメールと Exchange ActiveSync ✓2 ✓

Wi-Fi ✓ ✓

VPN ✓ ✓

証明書の管理 ✓ ✓

デバイス制限と設定 ✓ ✓

Passport for Work ✓

暗号化 ✓ ✓

アプリケーション制御 (AppLocker) ✓4

正常性構成証明 ✓

アプリケーション管理

アプリケーション管理 ✓ ✓ ✓

AirWatch アプリケーション

VMware Browser ✓ ✓

VMware Content Locker ✓ ✓

アセット追跡

アセット追跡 ✓ ✓ ✓

第 1 章:概要

9


機能 Windows 8.0/RT Windows 8.1/RT Windows 10デバイスステータス ✓ ✓ ✓

IP アドレス ✓

場所 ✓ ✓ ✓

ネットワーク ✓ ✓ ✓

リモート管理サポート

サポートメッセージ送信 (Eメールと SMSのみ)

✓ ✓ ✓

1 – PowerShell 統合が必要です。2 – AirWatch Inbox を使用する必要があります。3 – Windows 8.1/RT デバイスでは、パスコードがすでに作成されていない場合はパスコードの使用を強制することはできません。パスコードプロファイルがデバイスにプッシュされる前にパスコードが使用されていた場合は、継続して使用するよう強制することができます。4 – この機能を利用できるのは Windows 10 の Enterprise と Education エディションのみです。

Windows 10 エディションの比較以下の表では Windows 10 OS の各エディションで利用できる MDM 機能を比較しています。AirWatch では Windows10 OS のすべてのエディションと機能をサポートしています。Windows 10 各エディション (Home、Professional、Enterprise、Education) ではそれぞれ利用できる機能が異なります。Windows 10 Home エディションは、Windows 10 OS で利用できるようになった高度な機能をサポートしていません。そのため AirWatch は、機能を十分に活かせる Enterprise または Education エディションの使用をお勧めします。

機能Windows 10 OS エディション

HOME Professional Enterprise 1 教育

アクティブ化と加入

ネイティブクライアント加入 ✓ ✓ ✓ ✓

Agent ベースの加入

Windows アカウント ID が必要

利用規約の承諾が必要 ✓ ✓ ✓ ✓

加入時のオプションプロンプトのサポート ✓ ✓ ✓ ✓

Active Directory/LDAP ✓ ✓ ✓ ✓

クラウドドメイン参加による加入 ✓ ✓ ✓

OOBE (Out of Box Experience) 加入 ✓ ✓ ✓

一括プロビジョニングによる加入 ✓ ✓ ✓

デバイス代理セットアップ ✓ ✓ ✓ ✓

第 1 章:概要

10




アーキテクチャ

SMS

Eメールメッセージ ✓ ✓ ✓

セキュリティポリシーと順守状態のモニタリング

パスワードポリシー ✓ ✓ ✓ ✓

企業情報ワイプ ✓ ✓ ✓ ✓

フルデバイスワイプ ✓ ✓ ✓ ✓

ワイヤレスプロビジョニング

Eメールと Exchange ActiveSync ✓ ✓ ✓ ✓

Wi-Fi ✓ ✓ ✓ ✓

VPN ✓ ✓ ✓ ✓

証明書の管理 ✓ ✓ ✓ ✓

デバイス制限と設定 ✓ ✓ ✓ ✓

Passport for Work ✓3 ✓ ✓ ✓

暗号化 ✓4 ✓ ✓ ✓

アプリケーション制御 (AppLocker) ✓ ✓

正常性構成証明 ✓ ✓ ✓ ✓

Windows Update for Business ✓ ✓ ✓

割り当てられたアクセス ✓ ✓

アプリケーション管理

アプリケーション管理 ✓ ✓ ✓

AirWatch アプリケーション

VMware Browser ✓4 ✓ ✓ ✓

VMware Content Locker ✓4 ✓ ✓ ✓

アセット追跡

アセット追跡 ✓ ✓ ✓

デバイスステータス ✓ ✓ ✓

IP アドレス

場所 ✓5 ✓5 ✓5 ✓5

ネットワーク ✓ ✓ ✓

第 1 章:概要

11




リモート管理サポート

サポートメッセージ送信 (Eメールと SMS のみ) ✓ ✓ ✓

1 – Enterprise には IoT Enterprise と LTSB (Long-Term Servicing Branch) も含まれています。LTSB は、Windows 10 Enterprise の別のイメージの 1 つで、Microsoft Edge、Cortana、Windows ストア等の多くのネイティブアプリが削除されています。これらの機能を使用する一部の AirWatch 機能はサポートされません。2 – Microsoft Passport には TPM 1.2 または 2.0 ハードウェアベースの資格情報/キーの保護が必要です。TPM がない場合や構成されていない場合は、資格情報/キーの保護は OS ベースになります。3 – Home のデバイス暗号化には BitLocker 暗号化は含まれません。4 – ダウンロードできるのは Windows ストアからのみです。Windows 10 Home エディションは社内アプリのプッシュ配信をサポートしていません。5 – Windows ストアから AirWatch Agent をダウンロードする必要があります。

第 1 章:概要

12


第 2 章:Windows デスクトップデバイスの加入プロセス

Windows デスクトップの加入の概要 14Windows デスクトップと Windows 7 デバイス 15Windows 加入用の AirWatch Agent 16Windows デスクトップのネイティブ MDM加入 17デバイスの代理加入 24Windows 10 Provisioning Service by VMware AirWatch 28Azure AD 統合経由の加入プロセス 30一括プロビジョニングと加入 41加入用の AirWatch Protection Agent 43

13


Windows デスクトップの加入の概要デバイスの加入によって AirWatch との初期通信が確立され、モバイルデバイス管理 (MDM) が可能になります。Windowsデスクトップデバイスは、Windows OS に組み込まれている MDM 機能を使用して加入を行います。

加入の基本Windows デスクトップデバイスの加入方法は、利用する AirWatch 展開、エンタープライズ統合、デバイスのオペレーティングシステムによって異なります。Windows デスクトッププラットフォームは、さまざまな OS バージョンおよび Windows デバイスのSKU をサポートします。詳細については、「8 ページのサポートする Windows デスクトップデバイス」を参照してください。デバイスの加入を行う前に、必要な加入情報がそろっていることを確認してください。詳細については、「7 ページの Windowsデスクトップの加入の要件」を参照してください。AirWatch 環境で Windows 自動検出サービス (WADS) を設定することで、エンドユーザーの加入処理を簡易化できます。WADS は、オンプレミスソリューションおよびクラウドベースの WADS をサポートします。この加入方法では、Windows オペレーティングシステムのネイティブの MDM 機能、Windows 用の AirWatch Agent、または Azure AD 統合のいずれかを使用します。

SCCM の管理下にある Windows デバイスを、AirWatch を使用して管理するには、VMware AirWatch SCCMIntegration Client をダウンロードする必要があります。このアプリケーションを使用して、SCCM の管理下にあるデバイスを AirWatch に加入させます。詳細は、ナレッジベースの記事｢VMware AirWatch SCCM IntegrationClient｣を参照してください。https://support.air-watch.com/articles/115001664948。

Windows 加入用の AirWatch Agent最もシンプルな加入のワークフローは、Windows 用の AirWatch Agent を使用してデバイスを加入することです。エンドユーザーは、Windows ストアから AirWatch Agent をダウンロードして、プロンプトに従って加入するだけです。Agent ベースの加入についての詳細は、「16 ページの Windows 加入用の AirWatch Agent」を参照してください。

ネイティブ MDM による加入AirWatch は、ネイティブ MDM による加入ワークフローを使用した Windows デスクトップデバイスの加入をサポートしています。ネイティブ MDM ソリューションの名称は、Windows のバージョンによって異なります。この加入のフローは、Windows のバージョンおよび WADS を使用するかどうかによって異なります。詳細については、「17 ページの Windows デスクトップのネイティブ MDM 加入」を参照してください。

デバイス代理セットアップエンドユーザーにデバイスを配布する前に、Windows 10 デバイスでデバイス管理を更新したい場合は、Windows デスクトップのデバイス代理セットアップを使用することを検討してください。この加入ワークフローでは、AirWatch Agent を使用してデバイスの加入を行い、デバイスレベルのプロファイルをインストールしてから、そのデバイスをエンドユーザーに配布することができます。デバイス代理セットアップには、手動インストールと、コマンドラインでのインストールの 2 つの方法があります。手動インストールでは、デバイスが Azure AD 統合のドメインに参加している必要があります。コマンドラインでのインストールは、すべてのWindows 10 デバイスに使用できます。詳細については、「24 ページのデバイスの代理加入」を参照してください。


14


https://support.air-watch.com/articles/115001664948

Windows デスクトップの自動加入Dell から購入した特定の Windows デスクトップデバイスを AirWatch に自動加入させることができます。自動加入機能を利用した場合、OOBE (Out-of-Box-Experience) 後に登録済みデバイスを自動加入させることができるので、加入プロセスが簡素化されます。Windows 10 Provisioning Service by VMware AirWatch は、正しい Windows 10 イメージがインストールされている一部の Dell Enterprise デバイスにのみ適用されます。自動加入機能は、Dell からデバイスを購入する際に併せて購入する必要があります。詳細は、｢28 ページの Windows 10 Provisioning Service by VMware AirWatch ｣を参照してください。

Azure AD 統合による加入Microsoft Azure Active Directory を統合することで、エンドユーザー側の対応を最小限に抑えて Windows デバイスをAirWatch に加入させることができます。Azure AD 統合による加入は、エンドユーザーにとっても管理者にとっても、よりシンプルなプロセスです。Azure AD 統合経由の加入には、三種類の異なる加入フローがあります。Azure AD に参加する、OOBE(Out-Of-Box Experience) 加入、Office 365 加入です。いずれにおいても Azure AD を AirWatch と統合する必要があります。Azure AD 統合を通してデバイスを加入する前に、AirWatch と Azure AD を構成します。詳細については、「30 ページのSaaS 環境において Azure AD アイデンティティサービスを構成する」を参照してください。Azure AD 統合ワークフロー経由で加入するには、「30 ページの Azure AD 統合経由の加入プロセス」を参照してください。

一括プロビジョニングと加入一括プロビジョニングは事前構成済みのパッケージを作成し、Windows 10 デバイスを代理セットアップして AirWatch に加入します。一括プロビジョニングを使用するには、Microsoft アセスメント・デプロイメントキット (Assessment andDeployment Kit) をダウンロードし、Windows イメージングおよび構成デザイナー (ICD) ツールをインストールする必要があります。このツールは、デバイスのイメージングに使用するプロビジョニングパッケージを作成します。一括プロビジョニングのワークフローでは、AirWatch 設定をプロビジョニングパッケージに含めることで、最初の OOBE (Out-Of-Box Experience) 中に、プロビジョニング対象のデバイスの加入が自動的に行われます。詳細については、「41 ページの一括プロビジョニングと加入」を参照してください。

AirWatch Protection AgentAirWatch Protection Agent はエンドポイント保護を追加し、貴社の Windows デスクトップデバイスのセキュリティを維持します。AirWatch Protection Agent を有効にすると、AirWatch でデバイスのセキュリティ保護のために Windows 機能の構成および使用が可能になります。暗号化、ファイアウォール、Windows 更新プログラムのプロファイルでは、デバイスをプロビジョニングするために AirWatch Protection Agent が必要です。詳細については、「43 ページの加入用の AirWatchProtection Agent」を参照してください。

Windows デスクトップと Windows 7 デバイスWindows デバイスは、以下の 2 つのプラットフォームのいずれかに加入できます。加入先プラットフォームによって、そのWindows デバイスで利用可能なデバイス管理機能が決まります。


15


Windows デスクトッププラットフォームは Windows 8.1 と Windows 10 デバイスをサポートし、ネイティブ MDM 加入方法を使用します。Windows 7 プラットフォームは Windows 7、Windows 8 と Windows 10 デバイスをサポートし、加入の際に Windows 向けの AirWatch Agent を使用します。以下の表は、加入方法の違いをまとめたものです。Windows 8 と Windows 10 デバイスはネイティブ MDM 加入方法を使って加入することをお勧めします。そのほうが利用できるデバイス管理機能が多くなるためです。

機能 Windows 7 Windows デスクトップ

ネイティブ MDM による加入 ✓

AirWatch Agent による加入 ✓

AirWatch Protection Agent サポート ✓ ✓

Windows 10 機能の完全なサポート ✓

SCCM で管理されているデバイスのサポート ✓ ✓

Windows 7 デバイスのサポート ✓

Windows 加入用の AirWatch AgentWindows ストアから入手できる AirWatch Agent を使用すると、デバイス加入処理を一元化することや、デバイスとAirWatch コンソールの間の通信を容易にすることができます。AirWatch Agent を使用することで、加入を簡素化し、MDM の全機能を有効にすることができます。Windows 10 デバイスを加入する際は、最もシンプルな加入フローを貴社ユーザーに提供するためにも、Windows 向けAirWatch Agent の使用をご検討ください。AirWatch Agent を使用することで、貴社の Windows デスクトップデバイスに、ロケーションサービスなどの機能を追加することができます。さらに、Windows 自動検出を使用することで、エンドユーザーの加入プロセスを簡素化することができます。Windows 自動検出により、エンドユーザーが Eメールアドレスを入力するだけで、加入資格情報が自動で入力されます。自動検出の詳細は｢VMware AirWatch Windows Auto-Discovery Installation Guide｣と｢MobileDevice Management ガイド｣を参照してください。これらの文書は AirWatch Resources から入手することができます。

VMware AirWatch Agent を使用する加入プロセスAirWatch Agent を使用して貴社の Windows デスクトップデバイスの加入を行います。AirWatch Agent はエンドユーザーの操作を簡素化するので、加入を短時間で行うことができます。以下の手順に従い、AirWatch Agent を使用して Windows 10 デバイスの加入を行います。

1. Windows 10 デバイスから Windows ストアを開き AirWatch Agent を検索します。Agent をダウンロードします。

2. AirWatch Agent をインストールします。インストール完了後、Agent を起動します。

3. 職場または学校アカウントへの接続を選択します。AirWatch Agent がネイティブアプリ、ワークスペースを開きます。


16


4. Eメールアドレスを入力し、次へをクリックします。Windows 自動検出を使用していない場合は、以下の設定を入力します。

l サーバ URL を入力し、次へをクリックします。

l グループ ID を入力し、次へを選択します。

l ユーザー名とパスワードを入力します。

5. 利用規約に同意します。

6. 完了をクリックします。

7. AirWatch Agent を開き、加入プロセスを完了します。

Windows デスクトップのネイティブ MDM 加入Windows デスクトップのすべての加入方式で、ワークプレース/職場のアクセスのネイティブ MDM クライアントが使用されます。ネイティブ MDM 加入を使用することで、企業所有デバイスと BYOD デバイスの双方を同じ加入フローを通して加入することができます。Windows 10 デバイスは｢職場のアクセス｣を使用して加入します。Windows 8.1/RT デバイスは｢ワークプレース｣を使用して加入します。｢職場のアクセス｣は、接続を選択したとき、まず Office 360 または Azure AD に接続しているドメイン向けに Azure ADワークフローを処理し、加入フローを自動的に完了しません。貴社が、Premium ライセンス以外の Office 365 またはAzure AD を使用している場合は、Windows 10 デバイスを加入する際に、ネイティブ MDM 加入ではなく AirWatchAgent を使用することをご検討ください。ネイティブ MDM 加入で加入フローを完了するには、接続を 2 回選択してください。Azure AD Premium ライセンスをご利用の場合は、貴社の Azure インスタンスで管理を必須にするを有効にし、ネイティブMDM 加入を Azure ワークフロー後に完了させることができます。Office 365 あるいは Azure AD を使用していない場合は、ネイティブ MDM 加入フローを問題なくご利用になれます。

Windows 10 Anniversary Update 適用後の加入フローの動作の詳細は、ナレッジベースの記事｢Enrollment changes for Windows devices after Windows Anniversary update｣(https://support.air-watch.com/articles/115001665408) を参照してください。

AirWatch にデバイスを加入し、MDM を有効にするには、デバイスのローカル管理者権限が必要です。ドメイン管理者権限ではデバイスの加入を行うことはできません。標準ユーザーアカウントをもつ Windows 8.1 デバイスを加入するには、代理(EOBO、Enroll on Behalf of Others) 加入を行う必要があります。標準ユーザーアカウントをもつ Windows 10 デバイスを加入するには、一括プロビジョニングを行う必要があります。Windows 自動検出サービスを活用することで、加入の際のユーザー側の作業を減らして貴社エンドユーザーの加入プロセスを簡易化することができます。Windows 自動検出サービスを使用するには、｢VMware AirWatch Windows Auto-Discovery Service Installation Guide｣の手順に従ってください。ドメインに参加しているデバイスは、ネイティブ｢ワークプレース｣を使用して加入を行うこともできます。設定で入力した Eメールアドレスは、Active Directory の UPN 属性を使用して自動入力されます。別の Eメールアドレスを使用したい場合は、エンドユーザーは、オプションの更新をダウンロードする必要があります。


17



Windows 自動検出を使用して職場のアクセス経由で加入する職場のアクセスは、Windows 10 デバイスのネイティブ MDM 加入方法です。職場のアクセス経由で加入を行い、Windows自動検出を使用することで、エンドユーザーの加入プロセスを簡素化することができます。貴社のドメインを AirWatch に登録することで、加入の際にグループ ID の入力が不要になります。詳細は｢VMware AirWatch Windows Auto-Discovery Guide｣を参照してください。この文書は、AirWatchResources から入手することができます。

注:Windows 10 デバイスを加入させる際、ネイティブ MDM 加入フローではなく Windows 版 AirWatch Agent を使用することを検討してください。同じドメイン上で Office 365 または Azure AD を利用している場合、ネイティブ MDM加入フローを使用すると、デバイスが MDM に登録されません。

1. デバイスから設定 >アカウント >職場のアクセスと進み、デバイス管理に加入を選択します。

2. Eメール欄に、管理者がエンドユーザーに提供したユーザー名と環境のドメインを、｢ユーザー名@domain.com｣のようなフォーマットで入力します (例: [email protected])。続行を選択します。

3. グループ ID を入力し、次へをクリックします。

4. ユーザー名とパスワードを入力し、次へをクリックします。これはディレクトリサービスの資格情報である場合も、貴社の AirWatch 環境に固有の資格情報である場合もあります。


18


5. エンドユーザーライセンス同意書を確認し、同意するをクリックします。このステップはオプションです。AirWatch コンソールで有効にされている場合のみ表示されます。

6. (オプション) サインイン情報を保存するにははいを選択します。

次に、デバイスが AirWatch との接続を試みます。接続されると、AirWatch と横に書かれたブリーフケースアイコンが表示されます。このアイコンは AirWatch との接続が正常に行われたことを意味しています。

Windows 自動検出を使用せずに職場のアクセス経由で加入する職場のアクセスは、Windows 10 デバイスのネイティブ MDM 加入方法です。WADS を使用せずに職場のアクセス経由で加入を行う場合は、エンドユーザーの資格情報を手動で入力する必要があります。

注:Windows 10 デバイスを加入させる際、ネイティブ MDM 加入フローではなく Windows 版 AirWatch Agent を使用することを検討してください。同じドメイン上で Office 365 または Azure AD を利用している場合、ネイティブ MDM加入フローを使用すると、デバイスが MDM に登録されません。


19


以下の手順に従い、WADS を使用せずに職場のアクセス経由で加入を行います。

1. デバイスから設定 >アカウント >職場のアクセスと進み、デバイス管理に加入を選択します。

2. Eメール欄に、管理者がエンドユーザーに提供したユーザー名と環境のドメインを、｢ユーザー名@domain.com｣のようなフォーマットで入力します (例: [email protected])。

3. 以下のようにサーバーアドレスを入力します。<DeviceServicesURL>/DeviceServices/Discovery.aws。URL には｢https://｣は付けません。たとえば、ds156.awmdm.com/deviceservices/discovery.aws のように入力してください。

4. 続行を選択します。



7. (オプション) 利用規約を確認し、同意するをクリックします。このステップはオプションです。利用規約が有効に設定されている場合のみ表示されます。

8. (オプション) サインイン情報を保存するにははいを選択します。


20


次に、デバイスが AirWatch との接続を試みます。接続されると、AirWatch と横に書かれたブリーフケースアイコンが表示されます。このアイコンは AirWatch との接続が正常に行われたことを意味しています。

Windows 自動検出を使用してワークプレース経由で加入するワークプレースは、Windows 8.1 デバイスのネイティブ MDM 加入方法です。ワークプレース経由で加入を行い、Windows自動検出を使用することで、エンドユーザーの加入プロセスを簡素化することができます。エンドユーザーの加入プロセスを簡素化することができます。


21


以下の手順に従い、WADS を使用してワークプレース経由で加入を行います。

1. デバイスから設定 > PC 設定の変更 >ネットワーク > ワークプレースと進みます。

2. Eメール欄に、管理者がエンドユーザーに提供したユーザー名と環境のドメインを、｢ユーザー名@domain.com｣のようなフォーマットで入力します (例: [email protected])。ドメインに参加済みのデバイスには、Eメールアドレス欄は表示されません。WADS 構成中に UPN ドメインを登録することで、すべての AD ユーザーの Eメール入力が不要になります。

3. デバイス管理をオンにするのサーバアドレスを自動的に検出するスライダーをオンにします。

4. サーバアドレスを入力する欄は空欄のままにします。

5. オンにするを選択します。

6. グループ ID を入力し、次へをクリックします。貴社のドメインを AirWatch に登録することで、加入の際にグループ ID の入力が不要になります。


8. オンにするを選択します。デバイスが正常に加入されたことの確認として、ボタンの表示がオンにするからオフにするに変わることを確認します。オフにするを選択しないでください。選択すると、デバイスが AirWatch から加入解除されます。


22


Windows 自動検出を使用せずにワークプレース経由で加入するワークプレースは、Windows 8.1 デバイスのネイティブ MDM 加入方法です。WADS を使用せずにワークプレース経由で加入を行う場合は、エンドユーザーの資格情報を手動で入力する必要があります。

重要: この加入方法は Microsoft のオプションの更新を必要とします。この更新の詳細は、http://support.microsoft.com/kb/2955164 を参照してください。

以下の手順に従い、WADS を使用せずにワークプレース経由で加入を行います。

1. デバイスから設定 > PC 設定の変更 >ネットワーク > ワークプレースと進みます。

2. Eメール欄に、管理者がエンドユーザーに提供したユーザー名と環境のドメインを、｢ユーザー名@domain.com｣のようなフォーマットで入力します (例: [email protected])。ドメインに参加済みのデバイスには、Eメールアドレス欄は表示されません。

3. デバイス管理をオンにするのサーバアドレスを自動的に検出するスライダーをオフにします。

4. 以下のようにサーバーアドレスを入力します。<DeviceServicesURL>/DeviceServices/Discovery.aws。URL には｢https://｣は付けません。たとえば、ds156.awmdm.com/deviceservices/discovery.aws のように入力してください。

5. オンにするを選択します。




23


http://support.microsoft.com/kb/2955164

8. デバイスのユーザーに選択権限を与えたい場合にはオプション設定に入力してください。

l デバイス所有形態タイプを従業員所有、企業-専用または企業-共有から選択します。

l 次へを選択します。

l エンドユーザーライセンス同意書を確認し、同意するをクリックします。

l 理解しましたのボックスにチェックを入れ、展開したアプリケーションとサービスのインストールを許可します。

9. オンにするを選択します。デバイスが正常に加入されたことの確認として、ボタンの表示がオンにするからオフにするに変わることを確認します。オフにするを選択しないでください。選択すると、デバイスが AirWatch から加入解除されます。

デバイスの代理加入管理者が、デバイス管理機能を構成してからデバイスをエンドユーザーに配布することを希望する場合があります。デバイス代理加入機能を利用すると、Windows 版 AirWatch Agent を使用してデバイスを加入させ、デバイスレベルのプロファイルをインストールした後、デバイスをエンドユーザーに配布することができます。デバイス代理加入機能を利用すると、Windows 10 デバイスを AirWatch に加入させることができます。この機能を利用するには、Windows 版 AirWatch Agent を起動する必要があります。デバイスを加入させた後、割り当てられているデバイスレベルのプロファイルがデバイスにダウンロードされます。デバイスの加入処理と構成処理が完了したら、デバイスをエンドユーザーに配布できます。エンドユーザーがデバイスにサインインすると、Windows 版 AirWatch Agent によって、AirWatch コンソール内のデバイス記録が更新されます。AirWatch によってデバイスがエンドユーザーに割り当てられ、ユーザーレベルのプロファイルがデバイスにプッシュされます。代理加入には次の 2 つの方法があります。

l 手動インストール – AirWatch Agent をダウンロードしてインストールし、加入資格情報を入力します。この方法を使用する場合、加入処理の前にデバイスがドメインに参加している必要があります。

l コマンドラインインストール – AirWatch Agent をダウンロードしてインストールし、コマンドラインを使用してデバイスを加入させます。

加入処理を完了させるには、ユーザーがドメイン参加デバイスに加入したときに AirWatch コンソールのデバイスレジストリを更新するか、または加入ユーザー名を登録済みシリアル番号のリストと照合します。

デバイスシリアル番号を一括インポートするデバイス代理セットアップで使用するデバイスシリアル番号をインポートすれば、デバイスを AirWatch コンソールに素早く追加できます。一括インポートするには、インポートするすべてのシリアル番号が記述された .csv ファイルが必要です。複数のデバイスを登録するには、次の手順を実行します。

1. アカウント > ユーザー > リスト表示またはデバイス > ライフサイクル >加入状態と進みます。

a. 追加を選択し、バッチインポートを選択して、バッチインポートフォームを開きます。

2. 必須フィールドの値を指定します(バッチ名、バッチの説明、およびバッチタイプ)。

3. バッチファイル (.csv)項目の横にある情報アイコン ( ) を選択し、ユーザーとデバイスインポートのヘルプ画面にアクセスします。この画面には複数の .csv テンプレートとそれぞれの説明が記載されています。


24


4. 適切なこのバッチタイプ用のテンプレートと例をダウンロードを選択して、コンマ区切り値 (.csv) ファイルをアクセス可能な場所に保存します。

5. .csv ファイルを保存した場所からファイルを開き、各デバイスに関してインポートするすべての関連情報をテンプレートに入力します。テンプレートには、各カラムに記入する内容がわかりやすいよう、3 つの入力例が自動入力されています。

重要:数値データはすべて二重引用符で囲んでください (例: "123456")。これにより、データが切り詰められる問題を回避できます。.csv ファイル内でデータが切り詰められた場合、VMware AirWatch MDM によって、デバイスがブラックリスト登録されるおそれがあります。

l デバイスを登録するため、カラム X (ユーザーのみ登録) がいいえに設定されていることを確認します。

l 同じユーザーアカウントにさらにデバイスを登録するには、カラム A からW までの情報が同一であることを確認してください。その他のカラムには、追加する各デバイスに関する情報を入力します。

l 高度な登録情報を保存するには、カラム AF (高度なデバイス情報を保管) をはいに設定します。

6. テンプレートの入力完了後、.csv ファイルとして保存します。AirWatch コンソールに戻り、バッチインポートフォームのファイルを選択を選択し、作成して保存した .csv ファイルへのパスをたどり、そのファイルを選択します。

7. 保存をクリックして、リスト上のすべてのユーザーと対応するデバイスの登録を完了します。

コマンドラインを使用して代理加入させるエンドユーザー加入処理を簡素化するため、Windows のコマンドラインを使用して Windows デスクトップデバイスを代理セットアップします。この加入方法では、デバイスを加入させ、次に、入力されたユーザー資格情報に基づいてデバイスレベルのプロファイルをダウンロードします。

重要: AirWatchAgent.msi ファイルの名前を変更しないでください。変更した場合、代理セットアップコマンドが機能しなくなります。

コマンドラインを使用して代理加入させるには、次の手順を実行します。

1. VMware AirWatch Windows 10 Agent UWP を AirWatch Resources からダウンロードします。AirWatch Agent だけをダウンロードします。実行可能ファイルを起動したり、実行を選択したりしないでください。これらの操作を行うと、標準の加入プロセスが開始してしまい、加入プロセスを自動実行するという目的を果たせなくなります。必要があれば、AirWatch Agent をダウンロードフォルダからローカルフォルダまたはネットワークドライブ上のフォルダに移動します。

2. コマンドラインを開くか BAT ファイルを作成し、「26 ページのサイレント加入のパラメータと値」で示されている情報を使用して、すべての必要なパス、パラメータ、および値を入力します。

3. コマンドを実行します。構文の例については、「27 ページのサイレント加入の例」を参照してください。

コマンドの実行が完了すると、デバイスが AirWatch に加入します。デバイスがドメインに参加している場合、AirWatchAgent によって、AirWatch コンソールのデバイスレジストリが正しいユーザーで更新されます。シリアル番号を一括インポートする場合、AirWatch Agent によって、AirWatch コンソールのデバイスレジストリが更新され、ユーザー資格情報がデバイスのシリアル番号と結び付けられます。


25


手動デバイス代理セットアップを使用して加入させるエンドユーザー加入処理を簡素化するため、Windows 版 AirWatch Agent を使用して、Windows 10 デバイスを代理セットアップします。この加入方法では、デバイスを加入させ、デバイスレベルのプロファイルをダウンロードします。これによりエンドユーザーは、デバイスにログインするだけでデバイスを使い始めることができます。これらのデバイスは、ドメインに参加する必要があります。Windows 10 デバイスを代理セットアップするには、次の手順を実行します。

1. VMware AirWatch Windows 10 Agent UWP を AirWatch Resources からダウンロードします。

2. ダウンロードが完了したら、インストーラを起動します。

3. 実行を選択し、インストールを開始します。

4. AirWatch 自動検出機能を有効にしている場合は、Eメールを選択します。無効にしている場合は、Server Detailを選択します。

5. 選択した認証タイプに基づいて、必要な設定を指定します。

l Eメールアドレスを入力し、サーバ詳細画面のフィールド値を自動入力します。次へを選択し、詳細情報を入力します。

l AirWatch 自動検出機能を利用していない場合、サーバ名とグループ ID を入力します。次へを選択します。

6. 代理セットアップ用のユーザー名およびパスワードを入力し、次へを選択します。

7. 任意指定画面のフィールド値を指定します。

8. 完了を選択し、加入プロセスを完了させます。

AirWatch Agent によって代理セットアップユーザーが検出されると、エージェントリスナーが起動し、次回の Windows ログインを待ち受けます。エンドユーザーがデバイスにログインすると、エージェントリスナーが、デバイスレジストリからユーザーの UPNと Eメールアドレスを読み取ります。これらの情報は AirWatch コンソールに送信されます。また、デバイスレジストリが更新され、デバイスがユーザーに対して登録されます。

サイレント加入のパラメータと値AirWatch Agent をデバイスにダウンロードしインストールする方法を制御するために、サイレント加入ではコマンドラインへの入力または BAT ファイルが必要です。次の表は、コマンドラインまたは BAT ファイルに入力できる、すべての加入パラメータと各パラメータの値の一覧です。青または緑で強調表示されているパラメータは、加入プロセスに最低限必要なパラメータです。青の表示は、イメージのみを指定します。青と緑の表示は、ユーザーの加入を指定します。

加入パラメータパラメータに追加する値

/ENROLL 加入するには、「Y」を選択します。イメージのみの場合、「N」を選択します。

/IMAGE イメージの場合、「Y」を選択します。加入の場合、「N」を選択します。


26


加入パラメータパラメータに追加する値

/SERVER 加入 URL を入力します。

/LGName 組織グループ名を入力します。

/USERNAME 加入するユーザーのユーザー名か、ユーザーに代わってデバイスを代理セットアップする場合は代理セットアップユーザー名を入力します。

/PASSWORD 加入するユーザーのパスワードか、ユーザーに代わってデバイスを代理セットアップする場合は代理セットアップユーザーのパスワードを入力します。

/STAGEUSERNAME 加入ユーザーのユーザー名を入力します。

/SECURITYTYPE 加入プロセス中にユーザーアカウントが AirWatch コンソールに追加される場合、必要です。

l ディレクトリの場合、「D」を選択します。

l 基本ユーザータイプの場合、「B」を選択します。

/STAGEEMAILUSRNAME* 加入するユーザーの E メールユーザー名

/STAGEPASSWORD 加入するユーザーのパスワードを入力します。

/STAGEEMAIL* 加入するユーザーの Eメールアドレスを入力します。

/DEVICEOWNERSHIPTYPE* 企業専用の場合、「CD」を選択します。企業共有の場合、「CS」を選択します。従業員所有の場合、「EO」を選択します。なしの場合、「N」を選択します。

/INSTALLDIR* インストールパスを変更したい場合、ディレクトリパスを入力します。

注: このパラメータがない場合、AirWatch Agentは既定のパスを使用します。C:\Program Files(x86)\AirWatch。

アスタリスク (*) が付いている項目はオプションです。

サイレント加入の例コマンドラインに入力するか BAT ファイルを作成するために使用できる、加入パラメータや値のさまざまな使用例を次に示します。これらの例のいずれかを使用すると、Windows デバイスはサイレントに加入され、ユーザーが承認ボタンを選択するプロンプトは表示されません。


27


加入せず、イメージだけのAgent インストール

加入せず、エージェントをイメージのみインストールする例を次に示します。イメージのみの場合に必要な最低限のパラメータを使用します。AirwatchAgent.msi /quiet ENROLL=N IMAGE=Y

基本的なユーザーの加入

基本的な加入に必要な最低限のパラメータを使用する例を次に示します。AirwatchAgent.msi /quiet ENROLL=YIMAGE=n SERVER=companyURL.comLGName=locationgroupid USERNAME=TestUsr PASSWORD=test

AirWatch Agent を任意の場所にインストールする

別の場所にある AirwatchAgent.msi の例を次に示します。C:\AirwatchAgent.msi /quiet ENROLL=Y IMAGE=n SERVER=companyURL.comLGName=locationgroupid USERNAME=TestUsr PASSWORD=test

ネットワークドライブ上のインストールディレクトリと AirWatch Agent

インストールディレクトリパラメータにネットワークドライブ上の AirWatch Agent を指定する例を次に示します。

重要: パラメータ内にスペースがある場合、INSTALLDIR パラメータには引用符を追加してください。

Q:\AirwatchAgent.msi /quiet INSTALLDIR=\"E:\Install Win32\" ENROLL=Y IMAGE=nSERVER=companyURL.com LGName=locationgroupid USERNAME=TestUsr PASSWORD=test

すべての利用可能なパラメータと値

上の表で示されている、すべての利用可能なパラメータと値を使用する構文の例を次に示します。<AirwatchAgent.msi> /quiet INSTALLDIR=\"<Directory Path>" ENROLL=<Y/N>IMAGE=<Y/N> SERVER=<CompanyURL> LGNAME=<Location Group ID>USERNAME=<Username> PASSWORD=<Username Password> STAGEUSERNAME=<StagerUsername> SECURITYTYPE=<D/B> STAGEEMAILUSRNAME=<User Enrolling>STAGEPASSWORD=<Password for User Enrolling> STAGEEMAIL=<Email Address for UserEnrolling> DEVICEOWNERSHIPTYPE=<CD/CS/EO/N>

Windows 10 Provisioning Service by VMware AirWatchDell から購入した特定の Windows デスクトップデバイスを AirWatch に自動加入させることができます。自動加入機能を利用した場合、OOBE (Out-of-Box-Experience) 後に登録済みデバイスを自動加入させることができるので、加入プロセスが簡素化されます。


28


Windows 10 Provisioning Service by VMware AirWatch は、正しい Windows 10 イメージがインストールされている一部の Dell デバイスにのみ適用されます。自動加入機能は、Dell からデバイスを購入する際に併せて購入する必要があります。AirWatch でサポートされている Windows 10 の SKU は、クラウドプロビジョニングが可能な Pro、Enterprise、および Education です。Windows 10 Provisioning Service by VMware AirWatch は、OOBE 後に、登録済みデバイスをユーザーと照合し、デバイスを自動加入させます。エンドユーザーがデバイスにサインインすると、デバイス上のプロビジョニングエージェントが、そのデバイスとユーザーに割り当てられたプロファイルとアプリを受信します。この機能のしくみは、Apple デバイス登録プログラムに似ています。貴社が Dell デバイスを購入すると、Dell はそのデバイスの詳細情報を AirWatch に提供します。自動加入機能を利用するには、Dell から購入したすべてのデバイスのシリアル番号を登録する必要があります。AirWatch は、貴社が登録したシリアル番号を、Dell から提供されたシリアル番号と照合します。シリアル番号は、AirWatch 自動検出機能と組み合わせて使用されます。管理者は、デバイスをエンドユーザーに渡す前に、デバイスをユーザーアカウントに対して登録する必要があります。

重要:Windows 10 Provisioning Service by VMware AirWatch を使用して加入させたデバイスを、いったん加入解除してから再加入させることはできません。再加入させるには、デバイスを出荷時状態に戻す必要があります。

Windows 10 のプロビジョニングを構成するDell の Windows デスクトップデバイスを自動加入させるよう、Windows 10 Provisioning Service by VMwareAirWatch を構成します。OOBE プロセスの中で、自動加入機能によって登録済みデバイスのシリアル番号が、Dell から提供されたシリアル番号リストと照合され、デバイスが加入します。

加入プロセスのWindows 10 Provisioning Service by VMware AirWatch を構成する際、次の要件を満たしている必要があります。

l Dell からデバイスを購入した際、Windows 10 Provisioning Service by VMware AirWatch を一緒に購入した。

手順Windows 10 Provisioning Service by VMware AirWatch を構成するには、次の手順を実行します。

1. グループと設定 >すべての設定 >デバイスとユーザー >Windows >Windows デスクトップ >自動加入と進みます。

2. 自動加入に関する次の設定を構成します。

設定説明

自動加入 Windows 10 Provisioning Service by VMware AirWatch を使用する場合、有効化を選択します。

同期の間隔 AirWatch プロビジョニングエージェントと AirWatch コンソールの間で実行される同期処理の間隔を選択します。

ログイン前にポリシーを適用

有効化を選択して、ユーザーがデバイスにログインする前にデバイスポリシーを適用します。


29


設定説明

ログインまでの最長時間

OOBE が完了してからユーザーがログインするまでの猶予時間を選択します (単位: 分)。

3. 保存を選択します。

4. デバイスのシリアル番号を AirWatch に登録します。デバイスを登録するためのワークフローは 3 種類あります。

a. アカウント > ユーザー >追加 > ユーザーを追加と進み、ユーザーアカウントを追加します。ユーザーを追加したら、保存してデバイスを追加を選択します。次に、｢デバイスを追加｣の設定情報を指定します。プラットフォームでWindows デスクトップを指定する必要があります。

b. アカウント > ユーザー >追加 >バッチインポートと進みます。ユーザーまたはデバイス (あるいはその両方) に対する CSV テンプレートをダウンロードし、値を入力します。CSV テンプレートをアップロードし、インポートを選択します。テンプレートの値を入力する際、デバイスプラットフォームに Windows デスクトップと入力する必要があります。プラットフォームでWindows デスクトップを指定する必要があります。

c. ｢デバイスのライフサイクル｣ > ｢加入状態｣ > ｢追加｣ > ｢デバイスを登録する｣と進みます。プラットフォームでWindows デスクトップを指定する必要があります。

Azure AD 統合経由の加入プロセスMicrosoft Azure Active Directory を統合することで、エンドユーザー側の対応を最小限に抑えて Windows デバイスをAirWatch に加入させることができます。Azure AD 統合による加入は、エンドユーザーにとっても管理者にとっても、よりシンプルなプロセスです。Azure AD 統合を通してデバイスを加入する前に、AirWatch と Azure AD を構成します。この構成を行うためには、貴社のAzure AD と AirWatch 展開に必要な情報を入力し、通信がスムーズに行われるようにする必要があります。Azure AD 統合経由の加入には、三種類の異なる加入フローがあります。Azure AD に参加する、OOBE (Out-Of-BoxExperience) 加入、Office 365 加入です。いずれにおいても Azure AD を AirWatch と統合する必要があります。Active Directory の構成全般の詳細は、｢Directory Services Guide｣を参照してください。この文書は、AirWatchResources から入手することができます。

重要: Azure AD 統合を通して加入を行うには、Windows 10 と Azure Active Directory Premium のライセンスが必要です。

SaaS 環境において Azure AD アイデンティティサービスを構成するAzure AD を使用して貴社の Windows デバイスを加入させる前に、Azure AD をアイデンティティサービスとして使用するよう AirWatch を構成する必要があります。Azure AD を有効にするには 2 つのステップから成るプロセスを実行する必要があり、その際には MDM 加入詳細情報を Azure に追加する必要があります。この詳細情報を追加することにより、AirWatchと Azure が同期するために必要なテナント ID と名前が提供されます。


30


前提条件SaaS 専用またはオンプレミス用の加入 URL から加入を行う場合は、ドメインを AirWatch Azure アプリケーションに登録する必要があります。そのためには、貴社のドメインサービスプロバイダが記載された DNS レコードを作成する必要があります。貴社ドメインを登録するには、AirWatch プロフェッショナルサービスの担当者までご連絡ください。Azure AD を AirWatch と統合するには、Azure AD Premium サブスクリプションが必要になります。Azure AD とAirWatch との統合は、(LDAP のような) Active Directory が構成されるテナントで構成される必要があります。

重要: ディレクトリサービスシステム設定画面で現在の設定を上書きしようとしている場合は、Azure AD をアイデンティティサービスとして有効化する前に、LDAP 設定を構成し保存する必要があります。

手順以下の手順に従い、アイデンティティサービス向けに Azure AD を構成します。

1. グループと設定 >すべての設定 > システム > エンタープライズ統合 >ディレクトリサービスと進みます。

2. 高度な設定オプションの ID サービスに Azure AD を使用を有効にします。有効にした後、MDM 加入 URL と MDM 利用規約 URL をメモしておいてください。Azure ディレクトリを構成する際に必要になります。

3. 貴社の Microsoft アカウントまたは組織アカウントを使用して Azure 管理ポータルにログインします。

4. 貴社のディレクトリを選択し、アプリケーションタブに進みます。

5. 追加を選択します。

6. ギャラリーからアプリケーションを追加しますを選択します。


31


7. 左側のモバイルデバイス管理を選択し、AirWatch by VMware を探します。画面の右下隅のチェックマークを選択します。

8. AirWatch by VMware アプリを構成するため、AirWatch コンソールで MDM加入 URL とMDM利用規約 URLを入力し、次に、貴社組織のルールに基づいてこれらのユーザー設定に対するデバイスを管理するを構成します。保存を選択して続行します。


32


9. Azure の｢アプリケーション｣タブに戻り、貴社ディレクトリのテナント ID とテナント名を探します。Azure のテナント ID は、貴社の Azure AD ディレクトリインスタンスの URL 文字列内に含まれています。Azure のテナント名は、貴社の Azure ディレクトリの名前です。この名前はドメインタブに表示されます。

10. AirWatch コンソールに戻り、ID サービスに Azure AD を使用を選択し、Azure AD 統合を構成します。

11. テナント ID とテナント名を入力します。

12. 保存を選択し、プロセスを完了させます。

オンプレミス環境において Azure AD アイデンティティサービスを構成するAzure AD を使用して貴社の Windows デバイスを加入させる前に、Azure AD をアイデンティティサービスとして使用するよう AirWatch を構成する必要があります。Azure AD を有効にするには 2 つのステップから成るプロセスを実行する必要があり、その際には MDM 加入詳細情報を Azure に追加する必要があります。オンプレミス環境を使用している場合は、この手順を実行する必要があります。

前提条件SaaS 専用またはオンプレミス用の加入 URL から加入を行う場合は、ドメインを AirWatch Azure アプリケーションに登録する必要があります。そのためには、貴社のドメインサービスプロバイダが記載された DNS レコードを作成する必要があります。貴社ドメインを登録するには、AirWatch プロフェッショナルサービスの担当者までご連絡ください。Azure AD を AirWatch と統合するには、Azure AD Premium サブスクリプションが必要になります。Azure AD とAirWatch との統合は、(LDAP のような) Active Directory が構成されるテナントで構成される必要があります。

重要: ディレクトリサービスシステム設定画面で現在の設定を上書きしようとしている場合は、Azure AD をアイデンティティサービスとして有効化する前に、LDAP 設定を構成し保存する必要があります。


33


手順以下の手順に従い、アイデンティティサービス向けに Azure AD を構成します。

1. グループと設定 >すべての設定 > システム > エンタープライズ統合 >ディレクトリサービスと進みます。

2. 高度な設定オプションの ID サービスに Azure AD を使用を有効にします。有効にした後、MDM 加入 URL と MDM 利用規約 URL をメモしておいてください。Azure ディレクトリを構成する際に必要になります。

3. 貴社の Microsoft アカウントまたは組織アカウントを使用して Azure 管理ポータルにログインします。

4. 貴社のディレクトリを選択し、アプリケーションタブに進みます。


6. ギャラリーからアプリケーションを追加しますを選択します。


34


7. 左側のモバイルデバイス管理を選択し、AirWatch by VMware を探します。画面の右下隅のチェックマークを選択します。On Premises MDM application を見つけて、追加します。

8. ｢AirWatch by VMware application｣は、既定の設定のままにします。Manage devices for these usersettings を None に変更します。

9. AirWatch コンソールでメモした MDM Enrollment URL とMDM Terms of Use URL を入力し、｢OnPremises MDM application｣を構成します。

10. アクセス権限を次のように変更します。

l Application Permissions

o Read and write directory data を選択します。

o Read and write devices を選択します。

l Delegated Permissions

o Access the directory as the signed-in user を選択します。

o Read directory data を選択します。

o Sign in and read user profile を選択します。

11. Single-sign on設定を設定し、デバイスサービス URL を APP ID URL テキストボックスに入力します。フォーマット例: https://<MDM DS SERVER>


35


12. Manage devices for these users settings を All に設定します。保存を選択して続行します。

13. Azure の｢アプリケーション｣タブに戻り、貴社ディレクトリのテナント ID とテナント名を探します。Azure のテナント ID は、貴社の Azure AD ディレクトリインスタンスの URL 文字列内に含まれています。Azure のテナント名は、貴社の Azure ディレクトリの名前です。この名前はドメインタブに表示されます。

14. AirWatch コンソールに戻り、ID サービスに Azure AD を使用を選択し、Azure AD 統合を構成します。

15. テナント ID とテナント名を入力します。

16. 保存を選択し、プロセスを完了させます。

Azure AD を使用してデバイスを加入するAzure AD 統合を使用し、デバイスを AirWatch の適切な組織グループに自動的に加入することができます。Azure AD を使用して加入したデバイスは、デバイス全体がドメインに参加します。つまり、デバイスのすべてのユーザーがドメインに参加することになります。この加入フローは、まだ Azure AD に加入していないデバイス用です。Azure AD 管理対象デバイスの加入についての詳細は、「37 ページの Azure AD 管理対象デバイスを AirWatch に加入させる」を参照してください。以下の手順に従い、クラウドドメイン参加でデバイスを加入します。

1. Windows 10 デバイスから設定 >アカウント >職場のアクセス > Azure AD への参加または脱退 > Azure ADに参加すると進みます。続行を選択します。

2. ユーザーの Eメールアドレスとパスワードを入力します。サインインを選択します。

3. ｢AirWatch へようこそ｣画面が表示されることを確認します。続行を選択します。

4. 利用規約が有効に設定されている場合は承諾を選択します。

5. AirWatch に加入する場合は参加を選択します。

6. 完了をクリックすると、デバイスの AirWatch 加入が完了します。必要なポリシーとプロファイルがデバイスにダウンロードされます。


36


Azure AD 管理対象デバイスを AirWatch に加入させるAzure AD に参加しているデバイスの加入フローは、Azure AD 統合を使用する加入フローとは異なります。この加入フローは、すでに Azure AD に参加しているデバイスを AirWatch に加入させる際に使用します。

要件

l オペレーティングシステムが Windows 10 ビルド 14393.82 以降。

l 更新プログラム KB3176934 がインストールされている。

l 貴社の Azure AD 管理ポータルに MDM アプリケーションがインストールされていない。

l デバイス上で Azure AD アカウントが構成されている。

手順

1. デバイス上で、設定 >アカウント >職場または学校にアクセスすると進み、Enroll only in devicemanagement を選択します。Windows 版 AirWatch Agent を使用して加入させることもできます。

2. 加入プロセスを完了させます。貴社の Azure AD アカウントとは異なるドメインに属する、Eメールアドレスを入力する必要があります。Windows 自動検出を利用している場合は、1 ページの｢18 ページの Windows 自動検出を使用して職場のアクセス経由で加入する｣を参照してください。Windows 自動検出を利用していない場合は、1 ページの｢18 ページの Windows 自動検出を使用して職場のアクセス経由で加入する｣を参照してください。


37


3. 設定 >アカウント >職場または学校にアクセスすると進み、Azure AD アカウントおよび AirWatch MDM アカウントが追加されていることを確認します。

OOBE (Out-Of-Box Experience) 加入OOBE (Out of Box Experience) 加入では、Windows 10 デバイスの初期セットアップ/構成の一環として、デバイスを適切な組織グループに自動的に加入します。


38


以下の手順に従い、OOBE 加入を行います。

1. デバイスの電源を入れ、接続方法を選択画面が表示されるまで Windows を構成します。

2. Azure AD に参加するを選択します。続行を選択します。

3. 職場または学校のアカウントに貴社の Azure AD/AirWatch Eメールアカウントを入力します。

4. パスワードを入力します。サインインを選択します。


39


5. AirWatch へようこそ画面が表示されることを確認します。続行を選択します。




Office 365 アプリ経由での加入Office 365 を使用し、さらに Azure AD 統合を行っている場合は、エンドユーザーによる Office 365 アプリの初回起動時にそのデバイスを加入することができます。以下の手順に従って、Office 365 アプリ経由での加入を行います。

1. Office 365 アプリを初めて起動する際に職場のアカウントを追加を選択します。

2. ユーザーの Eメールアドレスとパスワードを入力します。サインインを選択します。

3. ｢AirWatch へようこそ｣画面が表示されることを確認します。続行を選択します。





40


一括プロビジョニングと加入一括プロビジョニングは事前構成済みのパッケージを作成し、Windows 10 デバイスを代理セットアップして AirWatch に加入します。一括プロビジョニングで、標準ユーザーアカウントを使用することで多数のデバイスの加入と構成を短時間で行うことができます。この加入フローは、標準ユーザーアカウントをもつデバイスを加入する唯一の方法です。事前構成されたパッケージを実行するには、管理者権限が必要になります。一括プロビジョニングを使用するには、Microsoft アセスメント・デプロイメントキット (Assessment and Deployment Kit)をダウンロードし、Windows イメージングおよび構成デザイナー (ICD) ツールをインストールします。ICD は、デバイスのイメージングに使用するプロビジョニングパッケージを作成します。プロビジョニングパッケージの一部として、AirWatch 構成設定を含めることで、OOBE (Out-Of-Box Experience) 中にデバイスがプロビジョンされ、自動的に AirWatch に加入します。デバイスを正しいユーザーに自動でマッピングするには、プロビジョニングパッケージを作成する前に、ユーザーごと、あるいは一括インポートを使用してデバイスを登録します。

一括プロビジョニングにより加入するMicrosoft イメージングおよび構成デザイナー (Imaging and Configuration Designer) ツールを使用してプロビジョニングパッケージを作成し、複数の Windows 10 デバイスを素早く簡単に AirWatch に加入させることができます。パッケージをインストールすると、デバイスは自動的に AirWatch に加入します。以下の手順に従ってプロビジョニングパッケージを作成します。

1. Windows 10 対応の Microsoft アセスメント・デプロイメントキット (Assessment and Deployment Kit) をダウンロードし、Windows イメージングおよび構成デザイナー (ICD) ツールをインストールします。

2. Windows ICD を開き、New Provisioning Package を選択します。

3. Project Name を入力し、閲覧/構成したい設定を選択します。通常は Common to all Windows desktop editions オプションを選択します。

4. 以前のパッケージの設定に基づき新しいプロビジョニングパッケージを作成したい場合はプロビジョニングパッケージをインポートします (任意)。

5. Runtime Settings >Workplace > Enrollments と進みます。

6. AirWatch 管理者コンソールから、グループと設定 >すべての設定 >デバイスとユーザー >Windows >Windows デスクトップ >代理セットアップとプロビジョニングと進みます。この設定画面に進むと、代理セットアップユーザーが作成され、作成された代理セットアップユーザーに関連する URL が表示されます。一括プロビジョニングで使用する代理セットアップユーザーを管理者自身が作成することもできますが、この設定画面に表示される設定は、作成されたいかなるユーザーにも適用されません。

7. UPN をコピーし、ICD のUPN欄に貼り付けます。


41


8. Available Customizations ウィンドウの Enrollments の横にある下向き矢印を選択します。

9. 以下の設定を構成します。

l AuthPolicy を選択し、AirWatch コンソール上に表示されている値を選択します。

l DiscoveryServiceFullURL を選択し、AirWatch コンソール上に表示されている URL をコピーします。

l EnrollmentServiceFullURL を選択し、AirWatch コンソール上に表示されている URL をコピーします。

l PolicyServiceFullURL を選択し、AirWatch コンソール上に表示されている URL をコピーします。

l Secret を選択し、AirWatch コンソール上に表示されている値をコピーします。

10. File > Save と選択し、プロジェクトを保存します。

11. Export > Provisioning Package と選択し、一括プロビジョニングで使用するパッケージを作成します。Next をクリックします。

12. パッケージの暗号化を選択する場合は、後ほど使用するために Encryption password を保存します。Next をクリックします。

13. パッケージを USB ドライブに保存し、プロビジョンするそれぞれのデバイスに読み込みます。パッケージをデバイスに Eメールで送信することもできます。

14. Build を選択してパッケージを作成します。


42


次のステップ次に、一括プロビジョニングパッケージをインストールする必要があります。詳細については、「43 ページの一括プロビジョニングパッケージをインストールする」を参照してください。

一括プロビジョニングパッケージをインストールするMicrosoft イメージングおよび構成デザイナー (Imaging and Configuration Designer) ツールを使用してプロビジョニングパッケージを作成した後は、そのプロビジョニングパッケージをエンドユーザーのデバイスにインストールする必要があります。以下の手順に従ってプロビジョニングパッケージをインストールします。

1. プロビジョンするデバイスから、設定 >アカウント >職場のアカウントと進み、職場または学校用のパッケージを追加または削除するを選択します。パッケージを Eメールで送信した場合は、メールクライアントからパッケージを起動します。

2. パッケージを追加をクリックし、パッケージを追加する方法の選択肢から、リムーバブルメディアを選択します。

3. 表示される一覧から適切なパッケージを選択します。

プロビジョニングの前に、AirWatch コンソールでデバイスをユーザーアカウントに追加した場合、デバイスは加入と同時に割り当てられます。

加入用の AirWatch Protection AgentAirWatch Protection Agent はエンドポイント保護を追加し、貴社の Windows デスクトップデバイスのセキュリティを維持します。Agent を使用することで、AirWatch は、ネイティブ Windows 機能を取り入れてデバイスのセキュリティ強化に活用することができます。AirWatch Protection Agent を使用して、デバイスプロファイルを作成し特定の設定や基本設定に合わせてネイティブBitLocker、Windows ファイアウォール、Windows の自動更新を構成することができます。

重要: AirWatch Protection Agent は RT デバイスをサポートしません。RT デバイスには ARM プロセッサが搭載されており、レガシーアプリケーションをサポートしないためです。AirWatch Protection Agent に関連する機能を使用できるのは、Windows 8.1 または Windows 10 デバイスのみです。

AirWatch Protection Agent をインストールするデバイスが AirWatch に加入すると、AirWatch Protection Agent がデバイスにサイレントにインストールされます (有効化されている場合)。このインストールは自動的に行われます。エンドユーザー側の対応は不要です。Windows 8.1 および Windows 10 Home デバイスを使用している場合、AirWatch Protection Agent を手動でインストールする必要があります。デバイスのデスクトップに表示される Web クリップをエンドユーザーがクリックすると、インストールが開始します。この Web クリップが表示されるのは、AirWatch Protection Agent が有効化されている場合のみです。

｢Agent 保留中｣状態デバイスが｢Agent 保留中｣状態にあるときは、いかなるプロファイル、アプリケーション、コンテンツもデバイスにプッシュされません。デバイスにすでに展開されているプロファイルを削除することもできません。デバイスは、いわば検疫中の状態にあります。AirWatch Protection Agent がダウンロードされ、状態が｢加入済み｣に変わると、プロファイルその他のコンテンツの機能も再開します。


43


AirWatch クラウドメッセージングAirWatch クラウドメッセージング (AWCM) を使用することで AirWatch Protection Agent へのポリシーとコマンドのリアルタイムでの配信が可能になります。AWCM を使用しない場合は、AirWatch Protection Agent は、AirWatch コンソールで設定された通常のチェックイン間隔中のみ、ポリシーとコマンドを受信することができます。AirWatch では、AWCM を活用して Windows 8.1 と Windows 10 デバイスにポリシーとコマンドをリアルタイムで配信することをお勧めしています。

AirWatch Protection Agent の設定AirWatch Protection Agent では構成可能な設定は 1 か所のみです。設定できる項目は｢データサンプル間隔｣です。この設定項目では、AirWatch Protection Agent がチェックインして AirWatch コンソールにポリシー違反を照会する頻度を制御できます。グループと設定 >すべての設定 >デバイスとユーザー >Windows >Windows デスクトップ > エージェントアプリケーションと進み、設定を変更します。

AirWatch Protection Agent を有効にするAirWatch Protection Agent は、Windows デスクトップデバイスに追加のセキュリティ機能を提供します。AirWatch のセキュリティ保護機能を十分に活用するためにも、Windows デスクトップデバイスを加入する前に、AirWatch ProtectionAgent を有効にしてください。以下の手順に従い、AirWatch Protection Agent を有効にします。

1. グループと設定 >すべての設定 >デバイスとユーザー >Windows >Windows デスクトップ > エージェントアプリケーションと進みます。

2. AirWatch Protection Agent を公開を有効にします。最新版の AirWatch Protection Agent が使用されるようにするには、Protection Agent 自動更新を有効にします。AirWatch Protection Agent の新しいバージョンが AirWatch コンソールで利用できるようになっている場合は、エンドユーザーのデバイスは最新バージョンへの更新を自動で行います。

3. 必要に応じ、AirWatch Protection を適用したいデバイス所有形態タイプを選択します。



44


第 3 章:Windows デスクトップデバイスプロファイル

Windows デスクトッププロファイル概要 47パスコードプロファイルを構成する (Windows デスクトップ) 48Wi-Fiプロファイルを構成する (Windows デスクトップ) 50VPN プロファイル (Windows デスクトップ) 52資格情報プロファイル (Windows デスクトップ) 58制限事項ペイロードを構成する (Windows デスクトップ) 60データ保護プロファイル (Windows デスクトップ) 67Passport for Work プロファイル (Windows デスクトップ) 70ファイアウォールプロファイルを構成する (Windows デスクトップ) 72シングルアプリモードプロファイルを構成する (Windows デスクトップ) 73ウイルス対策プロファイルを構成する (Windows デスクトップ) 74暗号化プロファイル (Windows デスクトップ) 77Windows 更新プログラムプロファイルを構成する (Windows デスクトップ) 81Web クリッププロファイルを構成する (Windows デスクトップ) 87Exchange ActiveSync プロファイル (Windows デスクトップ) 88SCEPプロファイル (Windows デスクトップ) 93アプリケーション制御プロファイル (Windows デスクトップ) 95Exchange Web Service プロファイルを構成する (Windows デスクトップ) 97Windows ライセンスプロファイルを作成する (Windows デスクトップ) 97BIOS プロファイルを構成する (Windows デスクトップ) 98カスタム設定を使用する (Windows デスクトップ) 99

45



46


Windows デスクトッププロファイル概要プロファイルはデバイス管理の主要な手段です。プロファイルを構成し、Windows デスクトップデバイスのセキュリティを保護しつつ、貴社の設定を適用することができます。

概要プロファイルを順守ポリシーと組み合わせて使用することで、企業の規則や手順を施行する設定機能として、活用することができます。プロファイルには設定、構成やデバイス上で強制したい制限事項が含まれます。プロファイルは、全般プロファイル設定と具体的なペイロードで構成されます。プロファイルが最適に機能するのは、単一のペイロードのみが含まれている場合です。Windows デスクトッププロファイルは、ユーザーレベルまたはデバイスレベルでデバイスに適用されます。Windows デスクトッププロファイルを作成する際に、プロファイルを適用するレベルを選択します。プロファイルによっては、ユーザーレベルまたはデバイスレベルのいずれかでのみ適用できるものもあります。

デバイスへのアクセスデバイスプロファイルには、Windows デスクトップデバイスへのアクセス設定を構成するものがあります。このようなプロファイルを使用することで、デバイスへのアクセスを承認されたユーザーのみに限定できます。たとえば次のようなことが可能です。

l パスコードプロファイルでデバイスを保護できます。詳細については、「48 ページのパスコードプロファイルを構成する(Windows デスクトップ)」を参照してください。

l ネイティブの Passport 機能を構成できます。詳細については、「70 ページの Passport for Work プロファイル(Windows デスクトップ)」を参照してください。

l シングルアプリモードプロファイルで、単一のアプリケーションのみにデバイスを制限できます。詳細については、「73 ページのシングルアプリモードプロファイルを構成する (Windows デスクトップ)」を参照してください。

デバイスセキュリティデバイスプロファイルで Windows デスクトップデバイスのセキュリティを確保できます。Windows のネイティブなセキュリティ機能を構成するプロファイルもあれば、AirWatch を通じてデバイス上に企業のセキュリティ設定を構成するプロファイルもあります。デバイスセキュリティプロファイルの例には、次のようなものがあります。

l ネットワークの資格情報をユーザーに送信せずに、加入済みのデバイスを企業の Wi-Fi に接続させるには、Wi-Fi プロファイルを使用します。詳細については、「50 ページの Wi-Fi プロファイルを構成する (Windows デスクトップ)」を参照してください。

l データ保護プロファイルを使用して、企業データをセキュリティ保護することができます。詳細については、「67 ページのデータ保護プロファイル (Windows デスクトップ)」を参照してください。

l デバイスから社内リソースにアクセスできるようにするには、VPN プロファイルを使用します。詳細については、「52 ページのVPN プロファイル (Windows デスクトップ)」を参照してください。


47


デバイスの構成構成プロファイルを使用して、Windows デスクトップデバイスのさまざまな設定を構成できます。このようなプロファイルを使用すれば、企業のニーズに合わせてデバイス設定を構成できます。デバイスの構成プロファイルの例には、次のようなものがあります。

l Exchange ActiveSync プロファイルを使用して、デバイスで Exchange アカウントをセットアップできます。詳細については、「88 ページの Exchange ActiveSync プロファイル (Windows デスクトップ)」を参照してください。

l アプリケーション制御プロファイルを使用して、デバイスにインストールできるアプリケーションを制限できます。詳細については、「95 ページのアプリケーション制御プロファイル (Windows デスクトップ)」を参照してください。

l Windows 更新プログラムプロファイルを使用して、デバイスを最新の状態に維持することができます。詳細については、「81 ページの Windows 更新プログラムプロファイルを構成する (Windows デスクトップ)」を参照してください。

パスコードプロファイルを構成する (Windows デスクトップ)パスコードプロファイルは、デバイスをアイドル状態から復帰させる際にユーザーにパスコード入力を要求し、デバイスを保護します。パスコードにより管理デバイス上の企業の社外秘情報をより確実に保護することができます。このペイロードは、既存のパスコードよりも設定要件が厳しい場合のみに効力を発揮します。たとえば、既存の Microsoft アカウントが、パスコードペイロードの構成よりも厳しいパスコード要件を設定している場合は、デバイスには Microsoft アカウントのパスコード要件が適用されます。

重要: パスコードペイロードはドメイン参加デバイスには適用されません。

以下の手順に従ってパスコードプロファイルを構成します。

1. デバイス > プロファイル > リスト表示 >追加と進み、プロファイルを追加を選択します。

2. Windows を選択し、次に Windows デスクトップを選択します。

3. デバイスプロファイルを選択します。

4. プロファイルの全般設定を構成します。｢全般｣設定では、プロファイルの展開方法およびプロファイルの受信者を指定します。｢全般｣設定の詳細は、「VMware AirWatch Mobile Device Management ガイド」を参照してください。この文書は AirWatchResources で入手できます。

5. パスコードプロファイルを選択します。

6. パスコード設定を構成します。

設定説明

パスワードの複雑度必要に応じ、パスワードの複雑度をシンプルか複雑に設定します。

英数字を必須にするパスコードに英字と数字の使用を必須にするにはこれを有効にします。


48


設定説明

パスワードの最小文字数パスワードの最小文字数を入力します。

パスワードの有効期間 (日) パスコードの有効期間の最大日数を入力します。期限切れが近づくと、エンドユーザーにパスワード変更を求めます。

パスワードの変更禁止期間 (日) エンドユーザーがパスワードを変更できるまでに経過する必要がある日数を入力します。

デバイスロック猶予時間 (分) デバイスが自動ロックされるまでの時間を分単位で設定します。自動ロックを解除するには、パスコードを再入力する必要があります。

試行失敗回数の上限エンドユーザーが入力を試行できる回数の上限です。これを超えるとデバイスは再起動します。

パスワード履歴 (回数) パスワードを過去何回分まで記憶するかを設定します。記憶されているパスワードと同一のものは再利用できません。たとえば、12 と指定した場合、過去に使用した 12 個のパスワードが履歴に残り、エンドユーザーはそれらを再利用できなくなります。

暗号化を元に戻せる状態でパスワードを保存する

OS が暗号化を元に戻せる状態でパスワードを保存するようにするにはこれを有効化します。暗号化を元に戻せる状態でパスワードを保存するということは、実質的にパスワードをプレーンテキストで保存するのと同じことです。このため、パスワード情報の保護よりもアプリケーションの要件が優先される場合以外は、このポリシーを有効にしないでください。

Windows 10 デバイスにProtection Agent を使用する

AirWatch Protection Agent を使用して、ネイティブ DM 機能ではなくパスワードプロファイル設定を実施するにはこれを有効化します。ネイティブ DM 機能の使用に問題がある場合はこの設定を有効化します。

Windows 8.0 パスワードポリシー従来の Windows 8.0 パスワードポリシーを使用するには、これを有効化します。1 ページの「49 ページの Windows 8.0 パスワードポリシー」を参照してください。

パスワードを失効させるデバイス上の既存のパスワードを失効させ、新しいパスワードを作成するよう要求するには、これを有効化します。AirWatch Protection Agent がデバイスにインストールされている必要があります。

7. 保存して公開を選択し、プロファイルをデバイスにプッシュします。

Windows 8.0 パスワードポリシーWindows 8.0 Pパスワードポリシーを有効にする場合は以下の設定を構成します。


49


注:貴社の Windows デスクトップデバイスを Windows 8.1 にアップグレードすることを検討してください。この無料アップグレードにより、より多くの MDM 機能が利用できるようになります。

設定説明

単純な値を許可エンドユーザーにシンプルなパスコードを許可するにはこれを有効にします。無効にすると、貴社の複雑度要件を満たすパスコードを設定するよう強制します。

英数字を必須にするエンドユーザーがパスコードの最小文字数要件と文字の組み合わせ要件を満たすよう要求します。

特殊文字の最小使用数

パスコードの特殊文字 (小文字、大文字、記号、数字) の最小使用数を入力します。

パスワードの最小文字数

パスコードの最小文字数を入力します。

パスコードの有効期間(日)

パスコードの有効期間の最大日数を入力します。期限切れが近づくと、エンドユーザーにパスワードの変更を求めます。

試行失敗回数の上限エンドユーザーが入力を試行できる回数の上限です。これを超えるとデバイスは再起動します。

デバイスロック猶予時間 (分)

デバイスが自動ロックされるまでの時間を分単位で設定します。自動ロックを解除するには、パスコードを再入力する必要があります。

パスコード履歴パスワードを過去何回分まで記憶するかを設定します。記憶されているパスワードと同一のものの再利用は許可されません。たとえば、12 と指定した場合、過去に使用した 12 個のパスワードが履歴に残り、エンドユーザーはそれらを再利用できなくなります。

Wi-Fi プロファイルを構成する (Windows デスクトップ)Wi-Fi プロファイルを作成し、非表示、暗号化された、またはパスワード保護された企業ネットワークにデバイスが接続できるようにします。Wi-Fi プロファイルは、複数のネットワークに接続する必要があるエンドユーザーや、適切なワイヤレスネットワークにデバイスが自動で接続するよう構成する際などに特に役に立ちます。

証明書ベースの EAP 認証を VPN と Wi-Fi プロファイルで使用する場合は、ナレッジベースの記事https://support.air-watch.com/articles/115001664448 を参照してください。

以下の手順に従い、Wi-Fi ペイロードを構成します。





50




5. Wi-Fi プロファイルを選択します。

6. 全般設定を構成します。

設定説明

サービスセット識別子(SSID)

Wi-Fi ネットワークの名前に関連付けられた識別子を入力しますSSID にスペースを含めることはできません。

非公開のネットワークネットワークがブロードキャストに公開されていない場合はこれを有効にします。

自動参加デバイスがネットワークに自動で参加するようにするには、この設定を有効にします。

セキュリティタイプドロップダウンメニューを使用し、Wi-Fi ネットワークのセキュリティタイプを、WPA2-パーソナルなどから選択します。

暗号化ドロップダウンメニューを使用して暗号化のタイプを選択します。このフィールドは、セキュリティタイプに基づいて表示されます。

パスワード静的なパスワードを使用するネットワークには、Wi-Fi ネットワーク接続に必要なパスワードを入力します。文字を表示チェックボックスを選択すると、この欄の非表示になっている文字が表示されます。このフィールドは、セキュリティタイプに基づいて表示されます。

プロキシ

プロキシ Wi-Fi 接続のプロキシ設定を構成するにはこれを有効化します。

URL プロキシの URL を入力します。

ポートプロキシのポートを入力します。

プロトコル

プロトコル使用するプロトコルのタイプを選択します。

l 証明書 l PEAP-MsChapv2

l EAP-TTLS l カスタム

このセクションは、セキュリティタイプが WPA エンタープライズまたは WPA2 エンタープライズに設定されている場合に表示されます。


51


設定説明

認証

内部 ID EAP-TTLS から認証方法を選択します。

l ユーザー名/パスワード

l 証明書

このセクションは、プロトコルが EAP-TTLS または PEAP-MsChapv2 に設定されている場合に表示されます。

暗号化バインドを必須にする

双方の認証に暗号化バインドを必須にするにはこれを有効化します。これにより MITM (man-in-the-middle) 攻撃を制限することができます。

Windows のログオン資格情報を使用する

Windows のログイン資格情報 (ユーザー名/パスワード) を認証に使用するにはこれを有効にします。この項目はユーザー名/パスワードが内部 ID に設定されている場合に表示されます。

ID 証明書 ID 証明書を選択します。これは資格情報ペイロードを使用して構成することができます。詳細については、1 ページの「58 ページの資格情報プロファイル (Windows デスクトップ)」を参照してください。この項目は証明書が内部 ID に設定されている場合に表示されます。

信頼

信頼された証明書 Wi-Fi プロファイルに信頼された証明書を追加するには追加を選択します。このセクションは、セキュリティタイプが WPA エンタープライズまたは WPA2 エンタープライズに設定されている場合に表示されます。

信頼性に関する例外の許可

ダイアログボックスを通して信頼性に関する判断をユーザーが下すことを許可するにはこれを有効にします。

7. 構成完了後、保存して公開を選択し、プロファイルをデバイスにプッシュします。

VPN プロファイル (Windows デスクトップ)AirWatch はデバイスの VPN 設定を構成し、エンドユーザーによる企業のインフラへのセキュアなリモートアクセスを可能にします。VPN プロファイルでは、VPN プロバイダを指定した設定やアプリベースの VPN アクセスといった、より詳細な VPN 設定の制御を行います。AirWatch は、以下のようなさまざまなサードパーティ VPN プロバイダに対応する VPN 接続タイプをサポートしています。

l IKEv2 l Juniper Pulse

l L2TP l Sonic Wall MobileConnect

l PPTP l 自動


52


l Check PointMobile l VMware Tunnel

l F5 Edge Client

アプリベース VPNアプリベース VPN を使用した場合、アプリケーションごとに VPN トラフィック規則を構成できます。この機能により、指定したアプリの起動時に VPN を自動接続したり、そのアプリケーショントラフィックを VPN 経由で送信し、他のアプリケーションはブロックしたりすることができます。アプリベース VPN の柔軟な制御で、デバイスのインターネット全体へのアクセスを制限することなく、データを確実にセキュリティ保護することができます。

アプリベース VPN を使用するように Windows VPN プロファイルを構成する方法については、次のチュートリアルビデオを参照してください。https://support.air-watch.com/articles/115001664668

アプリベース VPN 規則セクションの各規則グループは OR (論理和) 演算子を使用します。つまり、トラフィックが一連のポリシーのいずれかに合致する場合は、VPN を経由することを許可されます。


53



アプリベース VPN トラフィック規則は、EXE ファイルのようなレガシ Windows アプリにも、Windows ストアからダウンロードされた、モダンアプリにも適用可能です。指定したアプリケーションを起動すると VPN 接続が使用されるように設定すると、それらのアプリのトラフィックのみが VPN 接続を使用します。こうすることで、VPN 経由の帯域幅を効率的に使用しながら、貴社の企業データをセキュアに保つことができます。VPN の制約を減らすためには、アプリベース VPN 接続に DNS ルーティング規則を設定することができます。これらのルーティング規則により、規則に合致しないトラフィックは VPN を経由できないように制限を課すことができます。これらの規則は、AND(論理積) 演算子を使用します。従って、IP アドレス、ポート、IP プロトコルを設定した場合は、そのトラフィックが VPN を経由するには、これらのフィルタのすべての条件を満たす必要があります。アプリベース VPN を使用した場合、VPN 接続をアプリ単位できめ細かく制御できます。

VPN プロファイルを構成する (Windows デスクトップ)デバイス VPN 設定を構成し、企業インフラに安全にリモートアクセスできるようにします。アプリベースで VPN 接続を構成し、VPN を経由できるトラフィックを指定したアプリだけに限定したり、指定したアプリが起動した際に自動で VPN 接続するように設定したりすることもできます。

証明書ベースの EAP 認証を VPN と Wi-Fi プロファイルで使用する場合は、次のナレッジベース記事を参照してください。https://support.air-watch.com/articles/115001664448

以下の手順に従い、VPN プロファイルを作成します。



3. ユーザープロファイルまたはデバイスプロファイルを選択します。


5. VPN プロファイルを選択します。

6. 接続情報設定を構成します。

設定説明

接続名 VPN 接続名を入力します。

接続タイプ VPN 接続タイプを選択します。

サーバ VPN サーバホスト名または IP アドレスを入力します。

ポート VPN サーバが使用するポートを入力します。

高度な接続設定デバイスの VPN 接続の高度なルーティング規則を構成するにはこれを有効化します。


54



設定説明

ルーティングアドレス追加を選択し VPN サーバの IP アドレスとサブネットプレフィックスのサイズを入力します。必要に応じてルーティングアドレスを追加します。

DNS ルーティング規則 VPN をいつ使用するかを管理するドメイン名を入力するには｢追加｣を選択します。指定する各ドメインが使用する DNS サーバとWeb プロキシサーバを入力します。

ルーティングポリシーすべてのトラフィックが VPN を経由することを強制するか外部リソースにダイレクトアクセスを許可するのいずれかを選択します。

l すべてのトラフィックが VPN を経由することを強制する (強制トンネリング): このトラフィック規則では、すべての IP トラフィックが VPN インターフェイスのみを経由します。

l 外部リソースにダイレクトアクセスを許可する (分割トンネリング): このトラフィック規則では、(ネットワークスタックによって決定された) VPN インターフェイス経由と設定されたトラフィックのみがインターフェイスを経由します。インターネットトラフィックは他のインターフェイスを経由することができます。

プロキシ VPN が使用するプロキシサーバを自動で検出するには自動検出を選択します。プロキシサーバを構成するには、手動を選択します。

サーバプロキシサーバの IP アドレスを入力します。この設定はプロキシを手動に設定すると表示されます。

プロキシサーバ構成URL

プロキシサーバ構成設定の URL を入力します。この設定はプロキシを手動に設定すると表示されます。

ローカルではプロキシを使用しない

デバイスがローカルネットワークにある時はプロキシサーバをバイパスするには、これを有効化します。

認証

プロトコル VPN の認証プロトコルを選択します。

l EAP – 様々な認証方法を許可します

l コンピュータ証明書 – デバイス証明書ストアのクライアント証明書を検出し、認証に使用します。

EAP タイプ EAP 認証のタイプを選択します。

l EAP-TLS – スマートカードまたはクライアント証明書認証 l PEAP

l EAP-MSCHAPv2 – ユーザー名とパスワード

l カスタム構成 – すべての EAP 構成を許可します。

l EAP-TTLS

この項目はプロトコルを EAP に設定すると表示されます。


55


設定説明

資格情報タイプクライアント証明書を使用するには証明書を使用するを選択します。認証にスマートカードを使用するにはスマートカードを使用するを選択します。この項目は EAP タイプを EAP-TLS に設定すると表示されます。

証明書の簡易選択この設定を有効にすると、シンプルな証明書リストをユーザーに表示し、選択するように求めます。それぞれのエンティティに対して発行された最近の証明書のみが表示されます。この項目は EAP タイプを EAP-TLS に設定すると表示されます。

Windows のログオン資格情報を使用する

Windows デバイスと同じ資格情報を使用するにはこれを有効にします。この項目は EAP タイプを EAP-MSCHAPv2 に設定すると表示されます。

ID プライバシークライアントがサーバのアイデンティティを認証する前にサーバに送信する値を入力します。この項目は EAP タイプを EAP-TTLS に設定すると表示されます。

内部認証方法内部 ID 認証に使用する認証方法を選択します。この項目は EAP タイプを EAP-TTLS に設定すると表示されます。

すばやい再接続を有効にする

クライアントからの認証リクエストとサーバの応答時間の遅れを減らすにはこれを有効に設定します。この項目は EAP タイプを PEAP に設定すると表示されます。

ID プライバシーを有効にする

クライアントとサーバ間の認証が行われるまでユーザー ID を保護するにはこれを有効にします。

VPN トラフィック規則

アプリベース VPN 規則

旧式のアプリと最新アプリを指定してトラフィック規則を追加するには追加をクリックします。アプリベース VPN の詳細は、1 ページの「53 ページのアプリベース VPN」を参照してください。

アプリ ID まず、アプリがストアアプリなのかデスクトップアプリなのか選択します。次に、デスクトップアプリの場合はアプリケーションのファイルパス、ストアアプリの場合はパッケージのファミリ名を入力し、トラフィック規則が適用されるアプリを指定します。

l ファイルパスの例: %ProgramFiles%/ Internet Explorer/iexplore.exe

l パッケージのファミリ名 (PFN) の例: AirWatchLLC.AirWatchMDMAgent_htcwkw4rx2gx4

PFN 参照機能を使用し、検索アイコンをクリックしてアプリケーションの PFN を検索することができます。表示される画面からアプリを選択し、アプリベース VPN 規則を構成します。PFNが自動入力されます。

VPN オンデマンド特定アプリケーションが起動した際は自動で VPN 接続する場合にはこの設定を有効にします。


56


設定説明

ルーティングポリシーアプリのルーティングポリシーを選択します。

l 外部リソースにダイレクトアクセスを許可する – VPN トラフィックとローカルネットワーク接続経由のトラフィックの両方を許可します。

l すべてのトラフィックが VPN を経由することを強制する – すべてのトラフィックに VPN を経由するよう強制します。

DNS ルーティング規則アプリトラフィックに DNS ルーティング規則を追加するにはこれを有効化します。追加をクリックし、ルーティング規則のフィルタタイプとフィルタ値を追加します。指定されたアプリの中のこれらの規則に合致するトラフィックのみが VPN 経由で送信されます。

l IP アドレス: 許可するリモート IP アドレス範囲を指定する、コンマで値を区切ったリスト。

l ポート: 許可するリモートポート範囲を指定する、コンマで値を区切ったリスト。例: 100-120, 200, 300-320。ポートが有効であるためには、プロトコルが TCP または UDP に設定されている必要があります。

l IP プロトコル: 許可する IP プロトコルを表す 0～255 の数値。例:TCP = 6、UDP = 17

これらのフィルタとポリシーがどのように機能するかと、使用されているロジックに関する詳細は、1ページの「53 ページのアプリベース VPN」を参照してください。

デバイス全体のVPN規則

追加を選択し、デバイス全体を対象とするトラフィック規則を追加します。追加をクリックし、ルーティング規則のフィルタタイプとフィルタ値を追加します。これらの規則に合致するトラフィックのみが VPN 経由で送信されます。

l IP アドレス: 許可するリモート IP アドレス範囲を指定する、コンマで値を区切ったリスト。

l ポート: 許可するリモートポート範囲を指定する、コンマで値を区切ったリスト。例: 100-120, 200, 300-320。ポートが有効であるためには、プロトコルが TCP または UDP に設定されている必要があります。

l IP プロトコル: 許可する IP プロトコルを表す 0～255 の数値。例:TCP = 6、UDP = 17

ポリシー

資格情報を記憶するエンドユーザーのログイン資格情報を記憶するには、これを有効にします。

常にオン VPN 接続を強制的に常時オンにしておくにはこれを有効にします。

VPN ロックダウン VPN 接続を強制的に常時オンにし、接続が決して切断されないようにし、VPN が接続されていないすべてのネットワークアクセスを無効にし、さらに他の VPN プロファイルへの接続を防止するには、この設定を有効化します。VPN ロックダウンを有効にした VPN プロファイルは、新しい VPN プロファイルをデバイスにプッシュする前に削除する必要があります。


57


設定説明

ローカル接続ではバイパス

ローカルのイントラネットトラフィックは VPN 接続をバイパスさせます。

信頼されたネットワークを検出

信頼されたネットワークアドレスをコンマで区切って入力します。信頼されたネットワークが検出された場合には VPN 接続を行いません。

VMware Tunnel サーバ経由でドメイン名を解決

ドメイン新しいドメインの追加を選択し、VMware Tunnel サーバ経由で解決するためのドメインを追加します。トラフィックの発生元となったアプリに関係なく、追加されたドメインはすべて、VMwareTunnel サーバ経由でドメイン名が解決されます。たとえば、www.air-watch.com を追加した場合、構成済みの Chrome アプリからのトラフィックでも、構成されていない Edge アプリからのトラフィックでも、そのドメイン宛てのトラフィックはすべて VMware Tunnel サーバ経由でルーティングされます。このオプションが表示されるのは、VPN プロファイルをユーザープロファイルとして作成する場合だけです。


資格情報プロファイル (Windows デスクトップ)資格情報プロファイルを使用して、ルート/中間/クライアント証明書をプッシュし、公開鍵基盤 (PKI) と証明書認証の任意のユースケースをサポートすることができます。このプロファイルは、構成済みの資格情報を、Windows デスクトップデバイスの適切な資格情報ストアにプッシュします。複雑なパスコードやその他の制限事項を設けても、社内インフラストラクチャの弱点がすべてなくなることはありません。そのため、総当たり攻撃や辞書攻撃、従業員の操作ミスによるリスクは残ります。セキュリティレベルを上げ、企業アセットをより強固に保護するには、電子証明書の導入が効果的です。セキュリティ強化のために証明書を使用するには、まず｢資格情報｣ペイロードを認証局情報で構成し、次に｢Wi-Fi｣と｢VPN｣ペイロードを構成します。これらペイロードには、資格情報ペイロードで定義された認証局を関連付けるための設定項目があります。資格情報プロファイルを使用して、S/MIME 証明書をデバイスにプッシュすることもできます。これらの証明書は各ユーザーアカウントにアップロードされ、資格情報プロファイルにより制御されます。Windows 8.1 デバイスの場合は、個人証明書に SCEP ペイロードを構成し、AirWatch Protection Agent をデバイスにインストールする必要があります。

証明書ベースの EAP 認証を VPN と Wi-Fi プロファイルで使用する場合は、次のナレッジベース記事を参照してください。https://support.air-watch.com/articles/115001664448

資格情報プロファイルを構成する (Windows デスクトップ)資格情報プロファイルでユーザー認証に使用する証明書をデバイスにプッシュします。AirWatch では、個人用、中間証明機関、信頼されたルート証明機関、信頼された発行元、信頼されたユーザー証明書ストア向けに資格情報を構成することができます。


58



以下の手順に従って資格情報ペイロードを構成します。





5. 資格情報ペイロードを選択し、以下の設定を構成します。

設定説明

資格情報ソース

資格情報ソースをアップロード、定義済み認証局またはユーザー証明書から選択します。ここで選択するソースにより、表示されるペイロードオプションが変わります。

l アップロードを選択する場合は、新しい証明書をアップロードする必要があります。

l 定義済み認証局を選択する場合は、定義済みの認証局とテンプレートを選択する必要があります。

l ユーザー証明書を選択する場合は、S/MIME 証明書を使用する必要があります。

アップロードこの項目を選択した場合、希望する資格情報証明書ファイルを探し、AirWatch コンソールにアップロードします。この項目は資格情報ソースからアップロードを選択すると表示されます。

認証局ドロップダウンメニューを使用して定義済みの認証局を選択します。この項目は資格情報ソースから定義済み認証局を選択すると表示されます。

証明書テンプレート

ドロップダウンメニューから、選択した認証局の定義済み証明書テンプレートを選択します。この項目は資格情報ソースから定義済み認証局を選択すると表示されます。

プライベートキーのエクスポート

エンドユーザーが Windows 証明書マネージャを使用して証明書をエクスポートすることを許可する場合は許可を選択します。エンドユーザーによる証明書のエクスポートを禁止する場合は許可しないを選択します。


59


設定説明

キーの位置証明書のプライベートキーの位置を選択します。

l TPM (存在する場合) – デバイスにトラステッドプラットフォームモジュール (TPM) が存在すればTPM に、存在しない場合は OS に、プライベートキーを保管します。

l TPM必須 – プライベートキーをトラステッドプラットフォームモジュール (TPM) に保管する場合はこれを選択します。TPM が存在しない場合は、証明書はインストールされず、デバイスにはエラーが表示されます。

l ソフトウェア – プライベートキーをデバイス OS に保管する場合はこれを選択します。

l Passport – プライベートキーを Microsoft Passport に保管する場合はこれを選択します。このオプションを使用するには Azure AD との統合が必要です。

証明書ストアデバイス上で資格情報を保管する場所として適切な証明書ストアを選択します。

l 個人 – 個人証明書を保管するにはこれを選択します。個人証明書を使用するには、デバイスにAirWatch Protection Agent がインストールされているか、または SCEP ペイロードを使用する必要があります。

l 中間 – 中間認証局の証明書を保管する場合はこれを選択します。

l 信頼されたルート – 信頼されたルート認証局の証明書を保管する場合と、貴社組織とMicrosoft のルート証明書を保管する場合にはこれを選択します。

l 信頼された発行元 – ソフトウェア制限ポリシーにより信頼性を確認された、信頼された認証局の証明書を保管する場合はこれを選択します。

l 信頼されたユーザー – 信頼されたユーザーまたは明示的に信頼された End Entity の証明書を保管するにはこれを選択します。これらは通常自己署名証明書か、Microsoft Outlook のようなアプリケーションで明示的に信頼された証明書です。

保管場所ユーザーまたはマシンを選択し、証明書の保管場所を指定します。

S/MIME S/MIME 証明書が暗号用なのか署名用なのかを選択します。

6. 保存して公開をクリックし、プロファイルをデバイスにプッシュします。

制限事項ペイロードを構成する (Windows デスクトップ)制限事項ペイロードを Windows デスクトップデバイスに展開してセキュリティを強化します。制限事項ペイロードにより、エンドユーザーのデバイス機能へのアクセスを無効にし、デバイスの改ざんを防ぐことができます。デバイスに適用される制限事項は、ご使用の Windows のバージョンおよびエディションによって異なります。以下の手順に従って制限事項プロファイル作成します。

1. デバイス > プロファイル > リスト表示と進み、追加を選択します。



60




5. 制限事項プロファイルを選択します。

6. 管理設定を構成します。

設定説明

手動による MDM加入解除を許可する

エンドユーザーが、ワークプレース/職場のアクセスを通して AirWatch から加入解除することを許可します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

セキュリティとプライバシー

プロビジョニングパッケージをインストールするためのランタイム構成エージェント

プロビジョニングパッケージを使用するデバイスの AirWatch 加入を許可するには有効化を選択します (一括プロビジョニング)。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

場所デバイスでロケーションサービスをどのように実行するか選択します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

プロビジョニングパッケージを削除するためのランタイム構成エージェント

プロビジョニングパッケージの削除を許可します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

デバイスに診断と利用統計データの送信を許可する

デバイスが診断と利用統計データを AirWatch コンソールに送信することを許可します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

MDM利用に Microsoft アカウントを必須にする

デバイスがポリシーやアプリケーションを受信するために Microsoft アカウントを必須にするには、これを有効化します。

モダンアプリケーションにはMicrosoft アカウントを必須にする

デバイスがWindows アプリをダウンロードしインストールするために Microsoft アカウントを必須にするには、これを有効化します。


61


設定説明

プロビジョニングパッケージにはデバイスの信頼された機関による署名済み証明書が必要

すべてのプロビジョニングパッケージに信頼された証明書を必須にするにはこれを有効化します (一括プロビジョニング)。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

設定

ユーザーに自動再生設定の変更を許可する

ファイルタイプの自動再生にどのプログラムを使用するかをユーザーが変更できるようにします。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

ユーザーにデータセンサー設定の変更を許可する

ユーザーがデータセンサー設定を変更し、デバイスのデータ使用量を制限できるようにします。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

日付/時刻ユーザーが日付/時刻設定を変更できるようにします。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

言語ユーザーが言語設定を変更できるようにします。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

ユーザーに電源とスリープモード設定の変更を許可する

ユーザーに電源とスリープモード設定の変更を許可します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

地域ユーザーが地域を変更できるようにします。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

ユーザーにサインインオプションの変更を許可する

ユーザーにサインインオプションの変更を許可します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

VPN ユーザーが VPN 設定を変更できるようにします。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

ワークプレース設定の変更をユーザーに許可する

ユーザーは、ワークプレース設定とデバイス上での MDM の動作を変更できます。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。


62


設定説明

ユーザーにアカウント設定の変更を許可する

ユーザーにアカウント設定の変更を許可します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

Bluetooth

Bluetooth ユーザーにデバイス上の Bluetooth の使用を許可します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

デバイスの Bluetooth を使用した広告

デバイスの Bluetooth を使用した広告のブロードキャストを許可します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

Bluetooth を有効にしたデバイスによるデバイスの検出

他の Bluetooth デバイスによる検出を許可します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

デバイス機能

カメラデバイスのカメラ機能へのアクセスを許可します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

Cortana Cortana アプリケーションへのアクセスを許可します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

ロック画面のデバイス検出 UX ロック画面でデバイス検出 UX を使用しプロジェクタやその他の表示を検出します。このオプションを有効化した場合、Windows+P および Windows+K というショートカットキーは機能しません。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

IME ログ収集誤変換のログ収集、自動調整結果のファイルへの保存と、履歴に基づく予測入力のオン/オフ切り替えをユーザーに許可します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

IME ネットワークアクセス｢オープン拡張辞書」をオンにし、インターネット検索を統合させ、入力に対する候補がデバイスのローカルの辞書に見つからない場合にユーザーに候補を提示します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。


63


設定説明

Smart Screen エンドユーザーに Microsoft Smart Screen 機能の使用を許可します。これは、デバイスをロック解除する際にエンドユーザーに画像上に図形を描画するよう要求するセキュリティ機能です。さらにこのオプションは、エンドユーザーがパスコードとして暗証番号 (PIN) を使用することを許可します。

注:無効にした機能を、AirWatch MDM 経由で再度有効にすることはできません。その場合は、デバイスの工場出荷状態リセットを行ってから有効にする必要があります。

この制限事項は、Windows 8.1 デバイスと Windows 10 デバイスの両方に適用されます。ただし、Windows 10 Home エディションデバイスには適用されません。

検索しロケーション情報を利用する

検索を許可し、デバイスのロケーション情報を利用できるようにします。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

ストレージカード SD カードの使用を許可します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

Windows 同期設定ユーザーがデバイス間で Windows 設定を同期できるようにします。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

Windows ヒントユーザーにデバイスの Windows ヒントの使用を許可します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

ユーザーアカウント制御設定 OS 変更の際、デバイス管理者権限が必要な場合に、エンドユーザーに通知を送付するレベルを選択します。

アプリケーション

Windows ストア信頼済みアプリ以外を許可

Windows ストアで信頼されていないアプリのダウンロードとインストールを許可します。この制限事項は、すべての Windows 10 デバイスに適用されます。

アプリストア自動更新 Windows ストアからダウンロードされたアプリの新バージョンが利用可能になった際に自動更新を許可します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。


64


設定説明

開発者によるロック解除を許可する

｢開発者によるロック解除｣設定の使用を許可し、アプリケーションをデバイスにサイドローディングできるようにします。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

DVR とゲームブロードキャスティングを許可する

デバイス上のゲームの録画とブロードキャストを許可するにはこれを有効化します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

同じアプリの複数ユーザー間でデータ共有を許可する

アプリの複数ユーザー間でデータを共有できるようにします。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

アプリデータをシステムボリュームに制限する

アプリデータを、セカンダリボリュームやリムーバブルメディアではなく、OS と同じボリュームに保存するよう制限します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

アプリのインストールをシステムドライブに制限する

アプリを、セカンダリドライブやリムーバブルメディアではなく、システムドライブにインストールするよう制限します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

ネットワーク

Wi-Fi ホットスポットに自動接続デバイスが Wi-Fi センサー機能を使用して Wi-Fi ホットスポットに自動接続することを許可します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

ローミング中のセルラーデータローミング中にセルラーデータの使用を許可します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

インターネット共有デバイス間でのインターネット共有を許可します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

ローミング中のデータ使用ローミング中のエンドユーザーによるデータの転送/受信を許可します。この制限事項は、すべての Windows デバイスに適用されます。

モバイルデータ通信中のVPN モバイルデータ通信中の VPN 使用を許可します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。


65


設定説明

モバイルデータ通信ローミング中のVPN

モバイルデータ通信ローミング中の VPN 使用を許可します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

Edge Browser

自動入力ユーザー情報欄の入力に自動入力機能を使用します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

Cookie Cookie の使用を許可します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

トラッキング拒否トラッキング拒否リクエストの使用を許可します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

パスワードマネージャパスワードマネージャの使用を許可します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

ポップアップブラウザのポップアップを許可します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

アドレスバーの検索候補提示機能

アドレスバーで検索候補を提示します。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

Smart Screen SmartScreen とコンテンツフィルタを使用し悪意あるサイトをブロックします。この制限事項は Windows 10 デバイスにのみ適用されます (Windows 10Home エディションは除く)。

イントラネットトラフィックをInternet Explorer に送信する

イントラネットトラフィックの Internet Explorer 使用を許可します。この制限事項は、すべての Windows 10 デバイスに適用されます。

エンタープライズサイトのURL 一覧

エンタープライズサイトの一覧に追加する URL を入力します。この制限事項は、すべての Windows 10 デバイスに適用されます。



66


データ保護プロファイル (Windows デスクトップ)データ保護プロファイルは、企業アプリケーションが社内の複数のソースからデータにアクセスする方法を制御するためのルールを構成します。データ保護プロファイルを使用した場合、セキュア化された承認済みアプリケーションだけがデータにアクセスできます。1 つのデバイス上にプライベートなデータと業務データがある場合、貴社が制御できないサービスを通して、不注意によりデータが漏洩する可能性があります。AirWatch は｢データ保護｣ペイロードを使用し、貴社の企業データがアプリケーション間をどのように移動するかを制御し、エンドユーザーへのインパクトは最小限に抑えたままでデータ漏洩を防ぎます。AirWatch はMicrosoft Windows 情報保護 (WIP) 機能を使用し、貴社の Windows 10 デバイスを保護します。データ保護は、ホワイトリスト設定された企業アプリケーションに、保護されたネットワークから企業データにアクセスする許可を与えます。エンドユーザーがデータを企業アプリ以外に移動させた場合は、選択した強制ポリシーに基づいた対応を取ることができます。WIP は、データを、個人データとして暗号化せずに扱うか、あるいは、業務データとして暗号化して保護します。データ保護に関してホワイトリスト設定されるアプリケーションは、4 つのタイプに分類されます。これらのタイプにより、アプリが保護されたデータをどのように扱うかが決まります。

l 対応アプリ－これらのアプリは、WIP 機能をフルサポートしています。対応アプリは、個人データと業務データの双方に問題なくアクセスできます。対応アプリでデータを作成した場合、そのデータを、暗号化されていない個人用データまたは暗号化された業務データとして保存できます。ユーザーが、データ保護プロファイルを使用し、対応アプリのデータを個人データとして保存できないようにすることもできます。

l 許可済み (Allowed App) – これらのアプリは WIP-暗号化データをサポートします。許可済みアプリは、個人用データと業務データの両方にアクセスできます。ただし、アクセスしたデータを保存する場合、常に暗号化された業務データとして保存します。許可済みアプリは個人データを業務データとして暗号化して保存します。これらのデータには、WIP-承認済みのアプリ以外からはアクセスできません。データにアクセスできない問題を防ぐためには、許可済みアプリを必要に応じて徐々にホワイトリスト設定して行くやり方をお勧めします。WIP 承認については、ソフトウェアプロバイダに問い合わせてください。

l 適用除外 – データ保護プロファイルを作成する際、WIP ポリシーの適用対象外にするアプリを決めます。WIP 暗号化データをサポートしていないアプリを適用対象外にします。WIP 暗号化をサポートしていないアプリが、暗号化された業務データにアクセスしようとすると、機能しなくなります。WIP ポリシーは、適用除外アプリには適用されません。適用除外アプリは、暗号化されていない個人用データおよび暗号化された業務データにアクセスできます。適用除外アプリは、WIP ポリシーの適用外で業務データにアクセスできるため、適用除外アプリをホワイトリスト設定する際はご注意ください。適用除外アプリは、データ保護における欠陥を生み出し、業務データ漏洩の原因となります。

l 許可外 – これらのアプリは、ホワイトリスト登録されておらず、また、WIP ポリシーの適用対象外にならないので、暗号化された業務データにアクセスできません。許可外アプリは、WIP-保護デバイス上でも、個人データにはアクセスすることができます。

重要: データ保護プロファイルを適用する場合、WIP (Windows Information Protection) が必要です。また、WIPを利用するには、Windows Anniversary Update をインストールしておく必要があります。このプロファイルを本番環境に展開する際、事前にテストすることを検討してください。


67


データ保護プロファイルを構成する (Windows デスクトップ)データ保護 (プレビュー) プロファイルを作成し、Microsoft Windows 情報保護機能を使用してユーザーとアプリケーションが貴社のデータにアクセスする際に、アクセス対象を承認済みのネットワークとアプリケーションのみに制限します。データ保護に関する制御をきめ細かく設定することができます。以下の手順に従い、エンタープライズデータ保護プロファイルを構成します。


2. Windows を選択し、プラットフォームとして Windows デスクトップを選択します。



5. データ保護ペイロードを選択します。

6. エンタープライズデータ保護設定を構成します。

設定説明

追加企業アプリケーションを企業の許可済みリストに追加するにはこれを選択します。ここに追加されたアプリケーションには、企業データを使用することが許可されます。

アプリタイプアプリケーションが従来のデスクトップアプリなのか Windows ストアのアプリなのか選択します。デスクトップアプリまたはストアアプリのアプリ発行元を選択することもできます。発行元を選択すると、その発行元のアプリはすべてホワイトリスト設定されます。

名前アプリ名を入力します。アプリが Windows ストアのアプリの場合は、検索アイコン ( ) をクリックしてパッケージのファミリ名 (PFN) を検索します。

識別子デスクトップアプリケーションの場合はファイルパスを、ストアアプリの場合はパッケージファミリ名を入力します。

例外アプリが完全なデータ保護機能をもっていなくても企業データにアクセスする必要がある場合はこのボックスにチェックを入れます。このオプションを有効にすることで、そのアプリをデータ保護制限対象の例外に設定することができます。データ保護サポートに関してまだ更新されていないレガシアプリに対応するためなどにこの機能を使用します。例外を作成することは、データ保護にギャップを生じさせることになります。そのため、必要な場合以外は例外は作成しないようにしてください。


68


設定説明

保護されたネットワーク

プライマリドメイン貴社企業データが使用するプライマリドメインを入力します。保護されたネットワークのデータには、企業アプリケーションのみがアクセスできます。企業の許可済みリストに載っていないアプリケーションが保護されたネットワークにアクセスしようとすると、強制ポリシーの対応措置が適用されます。ドメイン名には小文字しか使用できません。

エンタープライズの保護されたドメイン名

貴社によってユーザー ID のために使用されるドメインのリスト (プライマリドメイン以外) を入力します。垂直バー (|) でドメインを区切ってください。ドメイン名には小文字しか使用できません。

エンタープライズIP 範囲

エンタープライズネットワーク上の Windows 10 デバイスを定義するエンタープライズ IP 範囲を入力します。範囲内のデバイスのデータはエンタープライズの一部とみなされ、保護されます。これらのロケーションは、エンタープライズデータ共有の際も安全な送信先とみなされます。

エンタープライズネットワークのドメイン名

エンタープライズネットワークの境界のドメインリストを入力します。リスト上のドメインのデータがデバイスに送信される際、これらはエンタープライズデータとみなされ、保護されます。これらのロケーションは、エンタープライズデータ共有の際も安全な送信先とみなされます。

エンタープライズプロキシサーバ

エンタープライズが企業リソースに使用できるプロキシサーバのリストを入力します。

エンタープライズクラウドリソース

クラウドにホストされているエンタープライズリソースドメインのうち、プロキシサーバ (ポート 80) 経由でエンタープライズネットワークを通してルーティングして保護する必要があるものを入力します。あるアプリケーションからあるネットワークリソースへの接続を許可するかどうかを判断できない場合、Windows はその接続を自動的にブロックします。Windows において接続を既定で許可する場合は、/*AppCompat*/ という文字列を設定に追加します。例:

www.air-watch.com | /*AppCompat*/

/*AppCompat*/ を 1 回追加するだけで、既定の設定を変更できます。

強制ポリシー

アプリケーションデータ保護レベル

企業データを保護するための保護と対応措置のレベルを設定します。

EDP アイコン表示このオプションを有効にした場合、保護されたデータにアクセスすると、Web ブラウザ、ファイルエクスプローラ、およびアプリケーションアイコン群に EDP アイコン ( ) が表示されます。このアイコンは、スタートメニュータイルのエンタープライズ用のみのアプリにも表示されます。


69


設定説明

加入解除時に失効デバイスが AirWatch から加入解除された場合は、デバイスのデータ保護キーを取り消す場合は、これを有効にします。

ユーザー復号対応アプリを使用するユーザーがデータの保存方法を選択できるようにするにはこれを有効にします。企業データとして保存と個人用として保存のいずれかを選択できます。このオプションが有効化されていない場合、対応アプリを使用して保存されるすべてのデータは企業データとして保存され、企業の暗号化方式を使用して暗号化されます。

直接メモリアクセスユーザーにデバイスメモリへの直接アクセスを許可します。

データ回復証明書暗号化キーが紛失したりダメージを受けたりした際にファイルを回復する、特殊な暗号化ファイルシステム証明書をアップロードします。詳細については、1 ページの「70 ページの暗号化ファイルシステム証明書を作成する (Windows デスクトップ)」を参照してください。


暗号化ファイルシステム証明書を作成する (Windows デスクトップ)｢データ保護｣プロファイルは、企業データを暗号化し、承認済みのデバイスのみにアクセスを制限します。データ保護プロファイルによって保護される業務データを暗号化するには、暗号化ファイルシステム (EFS) 証明書を作成します。以下の手順に従い、EFS 証明書を作成します。

1. EFS 証明書のないコンピュータ上で、(管理者権限を使用し) コマンドプロンプトを開き、証明書を保管したい証明書ストアを開きます。

2. 以下のコマンドを実行します。

cipher /r:<EFSRA>

<EFSRA> の値は、作成しようとしている.cer と .pfx ファイルの名前です。

3. プロンプトが表示されたら、新しい .pfx ファイルを保護するためのパスワードを入力します。

4. 選択した証明書ストアに .cer と .pfx ファイルが作成されます。

5. .cer 証明書をデータ保護プロファイルの一部としてデバイスにアップロードします。詳細については、1 ページの｢68 ページのデータ保護プロファイルを構成する (Windows デスクトップ)｣を参照してください。

Passport for Work プロファイル (Windows デスクトップ)Microsoft Passport は、パスワードの使用に代わる、別のセキュリティ対策を提供します。Passport for Work プロファイルを作成し、Windows デスクトップデバイスの Microsoft Passport を構成することで、エンドユーザーはパスワードを入力せずに貴社のデータにアクセスできるようになります。


70


デバイスとアカウントをユーザー名とパスワードで保護することにはセキュリティ上の弱点が含まれています。ユーザーがパスワードを忘れたり、パスワードを社外のユーザーに教えたりする可能性があるということは、貴社の企業データがリスクにさらされているということになります。Windows 10 デバイスは、Passport を使用して、パスワードを送信することなくユーザーをアプリケーション/Web サイト/ネットワークにセキュアに認証します。ユーザーがパスワードを記憶する必要はありません。さらに MITM (man-in-the-middle) のような攻撃により貴社セキュリティが侵害されるリスクを軽減することができます。Passport ははじめにユーザーに Windows 10 デバイスの登録を求めます。次に、PIN (暗証番号) または WindowsHello (生体認証) による認証を行います。Passport による認証後すぐに、デバイスから Web サイト、アプリケーション、ネットワークにアクセスできます。

重要: Passport for Work を使用するには Azure AD 統合を行う必要があります。

Passport for Work プロファイルを作成する (Windows デスクトップ)Passport for Work プロファイルを作成し、Windows デバイスの Microsoft Passport を構成することで、エンドユーザーが貴社のアプリケーション、Web サイト、ネットワークに、パスワードを入力せずにアクセスできるようになります。

重要: Passport for Work プロファイルが適用されるのは Azure AD 統合を通して加入したデバイスのみです。

以下の手順に従い、Passport プロファイルを構成します。






71


5. Passport for Work プロファイルを選択し、以下の設定を構成します。

設定説明

バイオメトリックジェスチャ

有効にすると、エンドユーザーがデバイスの生体認証センサーを使用できるようになります。

暗証番号要件

TPM デバイスに TPM (トラステッドプラットフォームモジュール) がインストールされていない場合はPassport の使用を無効にするには、必須とするを選択します。

暗証番号の最小文字数

PIN (暗証番号) の最小文字数を入力します。

暗証番号の最大文字数

PIN (暗証番号) の最大文字数を入力します。

数字 PIN (暗証番号) に数字を使用する許可レベルを設定します。

大文字 PIN (暗証番号) に大文字を使用する許可レベルを設定します。

小文字 PIN (暗証番号) に小文字を使用する許可レベルを設定します。

特殊文字 PIN (暗証番号) に、(! " # $ % & ' ( ) * + , - ./ : ; < = > ? @ [ \ ] ^ _ ` { | } ~のような) 特殊文字を使用する許可レベルを設定します。


ファイアウォールプロファイルを構成する (Windows デスクトップ)Windows デスクトップデバイスの｢ファイアウォール｣プロファイルを使用して、デバイスの Windows ファイアウォール設定を構成します。貴社のすべてのデバイスの Windows ファイアウォールを構成し有効化することで、貴社ネットワークのセキュリティを大幅に強化することができます。

重要: ファイアウォールプロファイルを使用するには、AirWatch Protection Agent がデバイス上にインストールされている必要があります。

以下の手順に従ってファイアウォールプロファイルを構成します。






72


5. ファイアウォールプロファイルを選択し、以下の設定を構成します。

設定説明

Windows 推奨設定を使用する Windows 推奨設定を使用し、このプロファイルで利用可能な他のオプションをすべて無効にするにはこのボックスにチェックを入れます。

プライベートネットワーク

ファイアウォールを有効にするファイアウォールが確実にデバイスで動作するようにします。

許可済みアプリ一覧のアイテムを含む、すべての受信接続をブロックする

送信接続は許可しながらも、受信接続はすべてブロックしたい場合は、このボックスにチェックを入れます。

Windows のファイアウォールが新しいアプリをブロックした場合にユーザーに通知する

有効にすると、Windows のファイアウォールが新しいアプリをブロックした場合に通知を表示します。

パブリックネットワーク

ファイアウォールを有効にするファイアウォールが確実にデバイスで動作するようにします。

許可済みアプリ一覧のアイテムを含む、すべての受信接続をブロックする

送信接続は許可しながらも、受信接続はすべてブロックしたい場合は、このボックスにチェックを入れます。

Windows のファイアウォールが新しいアプリをブロックした場合にユーザーに通知する

有効にすると、Windows のファイアウォールが新しいアプリをブロックした場合に通知を表示します。


シングルアプリモードプロファイルを構成する (Windows デスクトップ)シングルアプリモードプロファイルを使用し、デバイスから 1 つのアプリにしかアクセスできないように制限することができます。シングルアプリモードのデバイスは、このペイロードを削除するまで、1 つのアプリにロックされます。このポリシーはデバイス再起動後に有効になります。

要件シングルアプリモードには以下のような制限があります。

l Windows ユニバーサルアプリとモダンアプリのみが対象です。シングルアプリモードはレガシ .msi/.exe アプリケーションをサポートしません。

l ユーザーはローカル標準ユーザーのみである必要があります。ドメインユーザー、管理者ユーザー、Microsoft アカウント、ゲストを含むことはできません。この標準ユーザーはローカルユーザーである必要があります。ドメインアカウントはサポートされません。

手順以下の手順に従い、シングルアプリモードプロファイルを構成します。




73


3. ユーザープロファイルを選択します。


5. シングルアプリモードプロファイルを選択します。

6. シングルアプリモード設定を構成します。

設定説明

アプリケーション名

アプリケーションのフレンドリ名を入力します。Windows アプリの場合、フレンドリ名はパッケージ名またはパッケージ ID です。PowerShell コマンドを実行し、デバイスにインストールされたアプリのフレンドリ名を取得します。｢Get-AppxPackage｣コマンドを実行すると、アプリケーションのフレンドリ名が｢name｣として返されます。

7. 保存して公開を選択します。

シングルアプリモードをアクティブ化するシングルアプリモードプロファイルを構成した後は、デバイス上でシングルアプリモードをセットアップする必要があります。以下の手順に従い、シングルアプリモードの使用を開始します。

1. シングルアプリモードプロファイルを受信した後、デバイスを再起動します。

2. デバイスを再起動すると、標準ユーザーアカウントにサインインするよう促すプロンプトが表示されます。

サインインすると、ポリシーが適用され、デバイスはシングルアプリモードになります。シングルアプリモードからサインアウトする必要がある場合は、Windows キーを素早く 5 回押すとログイン画面が表示され、別のユーザーとしてログインすることができます。

ウイルス対策プロファイルを構成する (Windows デスクトップ)ウイルス対策プロファイルを作成し、Windows デスクトップデバイスに、ネイティブのウイルス対策プログラムである WindowsDefender を構成します。Windows Defender を貴社の全デバイスを対象に構成し、貴社のエンドユーザーとデバイスを確実に保護します。

重要: ウイルス対策プロファイルを使用するには、AirWatch Protection Agent がデバイス上にインストールされている必要があります。このプロファイルはネイティブの Windows Defender のみを構成します。他のサードパーティ製ウイルス対策を構成することはできません。

以下の手順に従い、ウイルス対策プロファイルを構成します。




74




5. ウイルス対策プロファイルを選択します。

6. ウイルス対策設定を構成します。

設定説明

リアルタイムモニタリング Windows Defender を構成しデバイスをリアルタイムでモニタリングするにはこれを有効にします。

シグネチャ更新間隔を設定 Defender が更新をチェックする日時を設定するには、これを有効にします。

スキャン間隔設定様々なシステムスキャンの間隔を構成します。複数のスキャンタイプを選択し、それぞれに異なるスキャン間隔を設定することができます。チェックを入れて有効化すると、フルスキャン、クイックスキャン、修復スキャン設定が表示されます。

フルスキャンフルシステムスキャンを実行する時間を設定します。曜日と時間を指定してください。

クイックスキャンクイックシステムスキャンを実行する時間を設定します。曜日と時間を指定してください。

修復スキャンエラーを修正するための修復スキャンを実行する時間を設定します。曜日と時間を指定してください。

除外

除外 Windows Defender スキャンから除外したいファイルパスまたはプロセスを選択します。除外を追加するには新規追加をクリックします。


75


設定説明

脅威に対する既定アクション

脅威に対する既定アクション(不明/低/中/高/重大レベル)

スキャンによって検出された脅威のレベル別に既定アクションを設定します。

l 取り除く – 脅威と問題を取り除く場合に選択します。

l 検疫 – 脅威を検疫フォルダに隔離する場合に選択します。

l 削除 – 脅威を貴社システムから削除する場合に選択します。

l 許可 – 脅威に対し何も対策をとらない場合に選択します。

l ユーザー定義 – 脅威に対する対策をユーザーに判断させる場合に選択します。

l アクションなし – 脅威に対し何もアクションをとらない場合に選択します。

l ブロック – 脅威のデバイスへのアクセスをブロックする場合に選択します。

アドバンスト

スキャンの平均 CPU負荷率 Windows Defender がスキャン中に使用できる最大平均 CPU 負荷率をパーセンテージで設定します。

アイドル状態が有効の場合のみスキャン

CPU がアイドル状態の時のみに Windows Defender のスキャンを実行するよう制限するには有効化を選択します。

UI ロックダウン UI を完全にロックダウンし、エンドユーザーが設定を変更できないようにするには、有効化を選択します。

キャッチアップフルスキャンこれを有効にすると、前回のスキャンが中断されたり実行されなかったりした場合にフルスキャンを実行します。キャッチアップスキャンは、スケジュールされたスキャンが実行されなかった場合に行われるスキャンです。スケジュールされた時間にコンピュータの電源がオフになっていたためスキャンが実行されなかった場合に、この機能で遅れを取り戻すことができます。

キャッチアップクイックスキャンこれを有効にすると、前回のスキャンが中断されたり実行されなかったりした場合にクイックスキャンを実行します。キャッチアップスキャンは、スケジュールされたスキャンが実行されなかった場合に行われるスキャンです。スケジュールされた時間にコンピュータの電源がオフになっていたためスキャンが実行されなかった場合に、この機能で遅れを取り戻すことができます。

動作の監視有効にすると、ウイルス対策スキャナーから Microsoft 社にアクティビティログが送信されます。

プライバシーモード有効にすると、管理者以外のユーザーには脅威の履歴を表示しません。


76


設定説明

侵入防止システム有効にすると、既知の脆弱性の悪用に対するネットワーク保護を構成します。このオプションを有効にすると、Windows Defender はネットワーク接続を常時モニタリングし、悪意がある可能性がある動作パターンを特定します。この点において、このソフトウェアは従来のウイルススキャナーと似た機能をもっていますが、これは、ファイルをスキャンするのではなく、ネットワークトラフィックをスキャンします。

Eメールをスキャン Windows Defender に Eメールをスキャンさせるには有効にします。

マッピングされたネットワークドライブをスキャン

Windows Defender にデバイスにマッピングされたネットワークドライブをスキャンさせるには有効にします。

アーカイブをスキャン Windows Defender にアーカイブに保存されたフォルダをスキャンさせるには有効にします。

リムーバブルドライブをスキャン Windows Defender にデバイスに接続されたリムーバブルドライブをスキャンさせるには有効にします。

指定した期間後に検疫されたファイルを削除

ファイルを削除する前に、検疫状態においておく期間を設定します。


暗号化プロファイル (Windows デスクトップ)暗号化プロファイルを使用して、Windows デスクトップデバイス上の業務データをセキュア化します。暗号化プロファイルは、ネイティブの BitLocker 暗号化ポリシーを Windows デスクトップデバイスに適用し、データをセキュアな状態に維持します。BitLocker 暗号化を利用できるのは、Windows 8 Enterprise/Pro デバイスおよび Windows 10Enterprise/Education/Pro デバイスだけです。ラップトップとタブレットは携帯が可能なため、紛失したり盗難にあったりした場合、貴社の企業データが漏洩のリスクにさらされる可能性があります。AirWatch を使用して暗号化ポリシーを適用することにより、ハードディスクドライブ上のデータを保護できます。BitLocker は Windows ネイティブの暗号化機能です。また、Dell Data Protection | Encryption は Dell の暗号化ソリューションです。暗号化プロファイルを有効にした場合、AirWatch Protection Agent によってデバイスの暗号化状態が常時検査されます。デバイスが暗号化されていないことが検出された場合、デバイスが自動的に暗号化されます。BitLocker を使用して暗号化する場合、暗号化時に作成された回復キーが、AirWatch コンソールおよびセルフサービスポータルに保存されます。暗号化プロファイルを使用するには、AirWatch Protection Agent がデバイス上にインストールされている必要があります。

注:暗号化プロファイルを有効にしても、Dell Data Protection | Encryption が構成または有効化されることはありません。暗号化状態は AirWatch コンソールおよびセルフサービスポータルに通知されますが、暗号化はデバイス上で手動で構成する必要があります。


77


注意:Windows 10 では、プリブートオンスクリーンキーボード機能がないデバイスはサポートされません。キーボード機能がない場合、起動用 PIN を入力できません。起動用 PIN は、デバイス上のハードディスクドライブをロック解除してWindows を起動するために必要です。プリブートオンスクリーンキーボード機能がないデバイスに暗号化プロファイルをプッシュすると、デバイスが機能しなくなります。

BitLocker 機能暗号化プロファイルでは、高度な BitLocker 機能を使用して、BitLocker 暗号化の認証と展開を制御します。BitLocker は、デバイスのトラステッドプラットフォームモジュール (TPM) を使用して、マザーボードに接続されたハードドライブの暗号化を解除するための復旧用のパスワードをデバイス上に保存します。ドライブがマザーボードから取り外されると、ドライブの暗号化を解除できなくなります。認証を強化するために、ユーザー認証の確認に暗号化暗証番号を有効にすることができます。また、TPM が利用できない場合の代替手段として、デバイス用のパスワードを必須にすることもできます。

展開の際のデバイス動作Windows ネイティブの BitLocker 暗号化により Windows デスクトップデバイス上のデータをセキュアに保護することができます。暗号化プロファイルを展開する際にはエンドユーザー側の対応が必要になります。

注: BitLocker 暗号化が Windows 8.1 デバイス上で効力を発揮するには、デバイス上で TPM が有効およびアクティブになっている必要があります。TPM を有効にしアクティブ化する具体的なプロセスはシステムにより異なりますが、通常は、デバイスを再起動し、BIOS セキュリティ設定にアクセスして行います。

暗号化済みのデバイス暗号化プロファイルが暗号化済みデバイスにプッシュされ、かつ現在の暗号化設定が暗号化プロファイル設定と一致している場合、AirWatch Protection Agent によって新しい回復キーが追加され、その回復キーが AirWatch コンソールに送信されます。この新しい回復キーは、デバイス上の暗号化されたデータベースにも格納されます。この機能により、ユーザーまたは管理者がデバイスを復号しようとすると、暗号化プロファイルによってデバイスが新しい回復キーで再暗号化されます。この暗号化は、デバイスがオフライン状態の場合でも実行されます。既存の暗号化手段が暗号化プロファイルの認証設定に適合していない場合、その既存の暗号化手段が無効化され、暗号化プロファイルの認証設定に適合する新しい暗号化手段が適用されます。既存の暗号化手段が暗号化プロファイルに適合していない場合、その既存の暗号化手段はそのまま保持され、無効化されません。この機能は、既存の暗号化プロファイルによって管理されているデバイスに新バージョンの暗号化プロファイルを追加する場合にも適用されます。既存の暗号化手段は変更されません。


78


暗号化状態BitLocker が有効化され使用中の時は、以下のエリアに暗号化状態のステータスレポートが表示されます。

l AirWatch ダッシュボード

o デバイス詳細画面が回復キー情報を表示します。

o さらに、BitLocker 保護有効化と表示されます。

l AirWatch セルフサービスポータル

o セルフサービスポータルには｢回復キー｣が保管されていることが表示されますが、回復キーの詳細は表示されません。

o さらに、BitLocker 保護有効化と表示されます。

削除の際のデバイスの動作プロファイルを AirWatch コンソールから削除した場合、暗号化が適用されなくなり、デバイスは自動的に暗号化が解除されます。コントロールパネルで企業ワイプまたは AirWatch Protection Agent の手動アンインストールを実行すると、BitLocker暗号化が無効化されます。BitLocker 暗号化プロセス中にエンドユーザーが加入解除を行っても、暗号化プロセスはコントロールパネルから手動でオフにされるまで継続します。

暗号化プロファイルを構成する (Windows デスクトップ)暗号化プロファイルを作成し、ネイティブ BitLocker 暗号化を使用して Windows デスクトップデバイス上の貴社のデータを保護します。以下の手順に従い、暗号化プロファイルを作成します。






79


5. 暗号化プロファイルを選択し、以下の設定を構成します。

設定説明

暗号化されたボリュームドロップダウンメニューを使用して以下から暗号化のタイプを選択します。

l ハードディスク全体 – OS がインストールされているシステムパーティションを含むデバイスのハードディスク全体を暗号化します。

l システムパーティション – Windows がインストールされ、ブートする場所のパーティションまたはドライブを暗号化します。

初回暗号化中に使用したスペースのみを暗号化してください

BitLocker 暗号化を、暗号化時点でのドライブの使用済みスペースに限定する場合に有効化します。

復旧キー URL エンドユーザーに復旧キーを取得するように伝えるために、ロック画面に表示する URL を入力します。セルフサービスポータルで AirWatch の復旧キーがホストされているため、その URL を入力することをお勧めします。

BitLocker 認証設定

認証モード BitLocker 暗号化デバイスへのアクセスの認証に使用する方法を選択します。

l TPM — デバイスのトラステッドプラットフォームモジュールを使用します。デバイスに TPMが必要です。

l パスワード — パスワードを使用して認証します。

ログイン時に暗号化暗証番号を要求する

デバイスをロック解除する際に暗証番号の入力をユーザーに求めるには、このチェックボックスを選択します。このオプションでは、ユーザーが正しい暗証番号を入力するまで、OS の起動、および中断または休止状態からの自動的な再開がロックされます。

TPMがない場合はパスワードを使用する

TPM を使用できない場合にデバイスの暗号化の代替手段としてパスワードを使用するには、このチェックボックスを選択します。この設定を有効にしていないと、TPM のないデバイスは暗号化されません。

パスワードの最小文字数パスワードの最小文字数を選択します。認証モードがパスワードに設定されているか、TPMがない場合はパスワードを使用するが有効になっている場合に表示されます。

BitLocker 静的リカバリキー設定

静的 BitLocker パスワードを作成する

静的リカバリキーが有効な場合は、チェックボックスを選択します。

BitLocker リカバリパスワード

生成アイコン ( ) を選択すると、新しいリカバリキーが生成されます。

ローテーション期間リカバリキーをローテーションする日数を入力します。


80


設定説明

猶予期間ローテーション後も以前のリカバリキーを使用できる日数を入力します。

BitLocker の一時停止

BitLocker の一時停止を有効化

BitLocker の一時停止を有効にするには、チェックボックスを選択します。この機能では、BitLocker の暗号化を指定した期間一時停止します。更新のスケジュールが設定されているときにこの機能を使用して BitLocker を一時停止しておくと、デバイスの再起動時にエンドユーザーが暗号化暗証番号やパスワードを入力する必要がなくなります。

BitLocker の一時停止のタイプ

一時停止のタイプを選択します。

l スケジュール— BitLocker を一時停止する期間を入力します。さらに、毎日または毎週の繰り返しのスケジュールを設定します。

l カスタム— BitLocker の一時停止を行う開始および終了の日時を入力します。

BitLocker の一時停止の開始時間

BitLocker の一時停止を開始する時間を入力します。

BitLocker の一時停止の終了時間

BitLocker の一時停止を終了する時間を入力します。

スケジュールの繰り返しのタイプ

一時停止のスケジュールの繰り返しを毎日または毎週のいずれかに設定します。毎週を選択する場合は、スケジュールを繰り返す曜日を選択します。


Windows 更新プログラムプロファイルを構成する (Windows デスクトップ)Windows 更新プログラムプロファイルで、Windows デスクトップデバイスの Windows 更新プログラム設定を構成します。このプロファイルを使用して貴社の全デバイスを最新状態に保つことで、デバイスとネットワークのセキュリティを強化することができます。

重要:Windows 更新プログラムプロファイルの高度な設定を使用するには、AirWatch Protection Agent がデバイス上にインストールされている必要があります。

Windows 更新プログラムプロファイルを適用するには、次の手順を実行します。






81


5. Windows 更新プログラムプロファイルを選択します。

6. Windows 更新プログラム設定を構成します。このプロファイルは Windows 8.1 および Windows 10 デバイスをサポートします。設定は、OS によって異なります。Windows 10 デバイスの場合、次の設定を構成します。

設定説明

分岐と延期

Windows 更新ソース Windows 更新プログラムのソースを選択します。

l Microsoft アップデートサービス – 既定の Microsoft 更新サーバを使用するにはこれを選択します。

l 企業 WSUS – 企業サーバを使用するにはこれを選択します。WSUS サーバURL とWSUS グループを入力します。この設定が効力を発揮するには、デバイスが少なくとも一度は WSUS に接続する必要があります。

ソースとして企業 WSUS を選択することで、貴社 IT 管理者が WSUS グループのデバイスにインストールされた更新とデバイス状態を閲覧できるようになります。

更新ブランチ更新プログラムが利用できる際に従う更新ブランチを選択します。

l Current Branch では、Microsoft 社の最新の更新プログラムに受信登録します。

l Current Branch for Business では、新機能やセキュリティ更新の適用を延期することができます。

機能更新プログラムを延期する期間 (日)

機能更新プログラムをデバイスにインストールするまでの延期する日数を選択します。

機能更新プログラムを停止

60 日間または無効化されるまですべての機能更新プログラムを停止するには、これを有効化します。この設定は、機能更新プログラムを延期する期間 (日) の設定を上書きします。通常であれば延期の設定に従ってインストールされる、問題の原因となる更新プログラムの適用を遅らせるには、このオプションを使用します。

品質更新プログラムを延期する期間 (日)

品質更新プログラムをデバイスにインストールするまでの延期する日数を選択します。

品質更新プログラムを停止

60 日間または無効化されるまですべての品質更新プログラムを停止するには、これを有効化します。この設定は、品質更新プログラムを延期する期間 (日) の設定を上書きします。通常であれば延期の設定に従ってインストールされる、問題の原因となる更新プログラムの適用を遅らせるには、このオプションを使用します。


82


設定説明

以前のバージョンのWindows 設定を有効化する

以前のバージョンの Windows に対して延期の設定を有効化するには、これを選択します。次のような設定があります。

l 新機能の使用を延期する期間 (月)

l 更新を延期する期間 (週)

l 延期

更新プログラムのインストール動作

自動更新選択した更新ブランチの更新プログラムの処理方法を設定します。

l 更新プログラムを自動インストールする

l ユーザーのコンピュータスケジュールに基づき更新プログラムをインストールする

l 更新プログラムを自動インストールし、指定された時間にコンピュータを再起動する

l 更新プログラムを自動インストールし、ユーザーによるコントロールパネル設定の変更を禁止する

l 更新プログラムをチェックする。ダウンロード/インストールするかどうかはユーザーの選択に任せる。

l 更新プログラムをチェックしない (推奨しません)

アクティブ時間開始時刻アクティブ時間の開始時刻を入力します。アクティブ時間を設定すると、その時間の間はシステムが再起動されません。

アクティブ時間終了時刻アクティブ時間の終了時刻を入力します。アクティブ時間を設定すると、その時間の間はシステムが再起動されません。

更新ポリシー

更新サービスを許可一般の Windows Update サービスからの更新プログラムを許可します。このサービスを許可しないと、Windows ストアで問題が発生する可能性があります。

Windows 更新プログラムを許可

Microsoft Update の更新プログラムを許可します。

Windows 更新時に他のMicrosoft プロダクトも更新する

Windows 更新時に他の Microsoft プロダクトも更新するにはこの設定を有効化します。

サードパーティ製の署名された更新プログラムをインストールする

承認されたサードパーティ製の更新プログラムのインストールを許可します。

Insider ビルド Windows 10 の Windows Insider ビルドのダウンロードを許可します。


83


設定説明

管理者承認済みの更新

更新の承認が必要このオプションを有効にした場合、更新プログラムをデバイスにダウンロードする前に承認が必要になります。このオプションを有効にした場合、更新プログラムをデバイスにダウンロードする前に、管理者が明示的に承認する必要があります。この承認は、更新グループを使用して、または個別の更新プログラム承認を使用して行われます。このオプションを有効にした場合、更新プログラムをデバイスにプッシュする前に、エンドユーザーの代わりに EULA に同意する必要があります (同意が必要な EULA がある場合)。EULA に同意する必要がある場合、ダイアログボックスが開いて EULA が表示されます。更新プログラムを承認するには、ライフサイクル >Windows 更新プログラムと進みます。詳細については、「87 ページの Windows 更新プログラムを承認する」を参照してください。

自動承認された更新プログラム

エンドユーザーのデバイスへのダウンロードを自動承認する更新グループを設定するには、このオプションを有効にします。このオプションを有効にした場合、更新プログラムをデバイスにプッシュする前に、エンドユーザーの代わりに EULA に同意する必要があります (同意が必要な EULA がある場合)。EULA に同意する必要がある場合、ダイアログボックスが開いて EULA が表示されます。

アプリケーション許可済みに設定した場合、割り当てられたデバイスにダウンロードするすべてのアプリケーション更新プログラムが自動承認されます。自動承認された更新プログラムが有効化されている場合に表示されます。

コネクタ許可済みに設定した場合、対象デバイスにダウンロードするすべての Office 365 コネクタ更新プログラムが自動承認されます。自動承認された更新プログラムが有効化されている場合に表示されます。

重要許可済みに設定した場合、対象デバイスにダウンロードするすべての重要更新プログラムが自動承認されます。自動承認された更新プログラムが有効化されている場合に表示されます。

定義許可済みに設定した場合、割り当てられたデバイスにダウンロードするすべてのWindows Defender 定義の更新が自動承認されます。デバイスを Windows Defender で保護する場合、このオプションを許可済みに設定することを検討してください。このオプションは既定で有効になっています。自動承認された更新プログラムが有効化されている場合に表示されます。

開発者キット許可済みに設定した場合、対象デバイスにダウンロードするすべての開発者キット更新プログラムが自動承認されます。自動承認された更新プログラムが有効化されている場合に表示されます。


84


設定説明

フィーチャーパック許可済みに設定した場合、対象デバイスにダウンロードするすべてのフィーチャーパック更新プログラムが自動承認されます。自動承認された更新プログラムが有効化されている場合に表示されます。

ガイダンス許可済みに設定した場合、対象デバイスにダウンロードするすべてのガイダンス更新プログラムが自動承認されます。

セキュリティ許可済みに設定した場合、対象デバイスにダウンロードするすべてのセキュリティ更新プログラムが自動承認されます。デバイスをセキュアな状態に維持する場合、このオプションを許可済みに設定することを検討してください。このオプションは既定で有効になっています。

サービスパック許可済みに設定した場合、対象デバイスにダウンロードするすべてのサービスパック更新プログラムが自動承認されます。自動承認された更新プログラムが有効化されている場合に表示されます。

ツールの更新許可済みに設定した場合、対象デバイスにダウンロードするすべてのツール更新プログラムが自動承認されます。自動承認された更新プログラムが有効化されている場合に表示されます。

更新のロールアップ許可済みに設定した場合、対象デバイスにダウンロードするすべての更新ロールアップが自動承認されます。自動承認された更新プログラムが有効化されている場合に表示されます。

全般許可済みに設定した場合、対象デバイスにダウンロードするすべての全般更新プログラムが自動承認されます。自動承認された更新プログラムが有効化されている場合に表示されます。

配信最適化

ピアツーピア更新更新プログラムをピアツーピアでダウンロードすることを許可します。

許可するピアツーピア方式

許可するピアツーピア接続方式を選択します。

ピアツーピア方式の使用を同じグループ ID を持つメンバーのみに制限する

ピアツーピア方式のダウンロードを同じ組織グループのメンバーのみに制限します。

各ファイルが配信最適化キャッシュに保管される最長時間 (秒)

各ファイルがデバイスにプッシュされる前、配信最適化キャッシュに保持される時間を秒数で入力します。最適化キャッシュは、デバイスの到達範囲内にある他のピアが更新を短時間でダウンロードできるように更新を保持します。

配信最適化が使用できる最大キャッシュサイズ (%)

配信最適化が使用できるキャッシュサイズをパーセンテージで入力します。


85


設定説明

デバイスが同時アップロードアクティビティで使用できる最大アップロード帯域幅(KB/秒)

デバイスが更新プログラムをピアに送信する際に使用できる最大アップロード帯域幅をKB/秒で入力します。

Windows 8.1 デバイスの場合、次の設定を構成します。

設定説明

Windows 8.1

更新プログラムの管理元 Windows 更新プログラムの設定を構成するには管理者に設定します。ユーザーに設定してもデバイスの設定は上書きされません。

重要な更新プログラムを自動インストールする

重要な自動更新プログラムはすべて自動インストールするように設定します。

推奨される更新プログラムを自動インストールする

推奨される自動更新プログラムはすべて自動インストールするように設定します。

Protection Agent の高度な構成 Windows 自動更新プログラムプロファイルの高度な設定を構成します。

Windows 更新ソース Windows 更新プログラムのソースを選択します。

l Microsoft 既定 – 既定の Microsoft 更新サーバを使用するにはこれを選択します。

l 企業 WSUS – 企業サーバを使用するにはこれを選択します。WSUSサーバ URL とWSUS グループを入力します。この設定が効力を発揮するには、デバイスが少なくとも一度は WSUS に接続する必要があります。

ソースとして企業 WSUS を選択することで、貴社 IT 管理者が WSUS グループのデバイスにインストールされた更新とデバイス状態を閲覧できるようになります。

重要な更新プログラム重要な更新プログラムに適用する規則を選択します。

推奨される更新プログラムを重要な更新プログラムと同じ方法でインストール

推奨される更新プログラムのインストールにも重要な更新プログラムと同じ規則を適用する場合はこの設定を有効にします。

Windows 更新時に他のMicrosoft プロダクトも更新する

Windows 更新時に他の Microsoft プロダクトも更新するにはこの設定を有効化します。


Windows 更新プログラムAirWatch は、Windows 10 デバイス用の更新プログラムの確認と承認をサポートしています。Windows 更新プログラムコンソールページに Windows 10 デバイスで利用できるすべての更新プログラムの一覧が表示されます。


86


この画面から、企業のニーズに合わせて更新プログラムを承認し、更新プログラムを特定のスマートグループに割り当てることができます。コンソールページには、すべての更新プログラムが公開日、プラットフォーム、分類、割り当て先のグループと共に表示されます。新プログラムの名前を選択すると、ウィンドウが開き、詳細情報、更新プログラムの Microsoft KB ページへのリンク、および更新プログラムのインストール状態が表示されます。

更新状態を表示する更新プログラムのインストール状態は、デバイスに更新プログラムが展開されているかどうかを示します。更新プログラムの展開の状態を表示するには、表示を選択します。

状態説明

割り当て更新プログラムは承認され、デバイスに割り当てられています。

承認済み承認された更新プログラムのデバイスへの割り当てが完了しています。

利用可能更新プログラムはデバイス上でインストールできる状態です。

インストール保留中インストールは承認され、利用可能ですが、まだインストールされていません。

リブートを保留中デバイスがリブートされるまでインストールは保留されています。

インストール済み更新プログラムは正常にインストールされています。

失敗更新プログラムのインストールは失敗しています。

Windows 更新プログラムを承認するWindows 10 デバイスにインストールする Windows 更新プログラムを確認し、承認します。この機能により、デバイスを最新の状態に維持しながら、企業のニーズに合わせて更新プログラムの配信を管理できます。

前提条件Windows 更新プログラムプロファイルは、更新の承認が必要を有効にして公開する必要があります。

手順以下の手順に従い、更新プログラムを承認し、割り当てます。

1. ライフサイクル >Windows 更新プログラムと進みます。

2. 更新プログラムの左のチェックボックスを選択します。割り当てボタンを選択します。

3. 更新プログラムを適用するスマートグループを入力します。


Windows 更新プログラムコンソールページの詳細は、「86 ページの Windows 更新プログラム」を参照してください。

Web クリッププロファイルを構成する (Windows デスクトップ)Web クリッププロファイルを使用した場合、エンドユーザーのデバイスに URL をプッシュし、エンドユーザーが重要な Web サイトにアクセスしやすくすることができます。


87






5. Web クリッププロファイルを選択します。

6. 以下のようなウェブクリップ設定を構成します。

設定説明

ラベルウェブクリップの説明を入力します。

URL URL ウェブクリップのターゲット URL を入力します。

App Catalog に表示ウェブクリップを App Catalog に表示するにはこれを有効にします。


Exchange ActiveSync プロファイル (Windows デスクトップ)Exchange ActiveSync プロファイルによって、Windows デスクトップデバイスから貴社の Exchange ActiveSync サーバにアクセスして E メールとカレンダーを使用できるように構成できます。AirWatch は、信頼できる第三者証明機関によって署名された証明書のみを使用することを強くお勧めします。接続をセキュリティ保護しても、証明書に不備がある場合、"man-in-the-middle" (MITM) 攻撃を招いてしまう可能性があるからです。このような攻撃は製品コンポーネント間で転送されるデータの信頼性と整合性を損ない、攻撃者に転送中のデータを傍受して改変する機会を与える可能性があります。詳細については、1 ページの「58 ページの資格情報プロファイルを構成する(Windows デスクトップ)」を参照してください。Exchange ActiveSync プロファイルは、ネイティブメールクライアントと Windows デスクトップ向けの AirWatch Inbox の双方をサポートします。使用するメールクライアントによって構成が変わります。

重要: ネイティブメールクライアントサポートを利用できるのは Windows 10 デバイスのみです。


88


プロファイル削除または企業情報ワイプを行うプロファイル削除コマンドや順守ポリシー、または企業情報ワイプによってプロファイルが削除されると、以下の項目を含むすべての E メールデータが削除されます。

l ユーザーアカウント/ログイン情報

l E メールメッセージのデータ

l 連絡先とカレンダー情報

l アプリ内ストレージに保存された添付ファイル

ユーザー名とパスワード管理者は、ユーザーが AirWatch Inbox にログインする際に使用するユーザー名を定義することができます。実際の E メールアドレスをユーザー名にすることも、それとは異なる E メールユーザー名を作成することも可能です。AirWatch Inbox プロファイル設定の中で Exchange ActiveSync (EAS) ペイロードを構成する際、ログイン情報の下にユーザー欄があります。この欄では定義済みの参照値を使用できます。E メールユーザー名をユーザーの E メールアドレス以外の値に設定した場合、{EmailUserName}欄を使用できます。この値は、ディレクトリサービス統合時にインポートされた E メールユーザー名に対応しています。E メールユーザー名が E メールアドレスと同じ場合でも、{EmailUserName}欄を使用することをお勧めします。この欄は、ディレクトリサービス統合の際にインポートされた E メールアドレスを使用します。

Exchange ActiveSync プロファイルを構成する (Windows デスクトップ)Exchange ActiveSync プロファイルを作成し、Windows Phone デバイスから貴社の Exchange ActiveSync サーバにアクセスして E メールとカレンダーを使用できるようにします。ネイティブメールクライアント向けに構成プロファイルを作成するには、以下の手順に従ってください。





5. Exchange ActiveSync ペイロードを選択します。

6. Exchange ActiveSync 設定を構成します。

設定説明

メールクライアント

EAS プロファイルで構成するメールクライアントを選択します。AirWatch はネイティブメールクライアントと AirWatch Inbox をサポートします。


89


設定説明

アカウント名 Exchange ActiveSync のアカウント名を入力します。

ExchangeActiveSyncホスト

EAS をホストするサーバの URL または IP アドレスを入力します。

SSL 使用すべての通信を SSL を通して送信するにはこの設定を有効にします。

ログイン情報

ドメイン E メールドメインを入力します。プロファイルでは、参照値を使用して加入ユーザーのログイン情報を自動入力できます。詳細については、1 ページの「88 ページの Exchange ActiveSync プロファイル(Windows デスクトップ)」を参照してください。

ユーザー名 E メールユーザー名を入力します。

E メールアドレス

E メールアドレスを入力します。この欄は必須項目です。

パスワード E メールパスワードを入力します。

ID 証明書 EAS ペイロード用の証明書を選択します。詳細については、 1 ページの「58 ページの資格情報プロファイルを構成する (Windows デスクトップ)」を参照してください。

設定

次の同期間隔 (分)

デバイスが EAS サーバと同期する頻度を分単位で選択します。

メールの同期を取りに遡る日数

過去何日分の E メールをデバイスと同期するかを選択します。

診断ログ収集

トラブルシューティングのためにログを収集する場合はこれを有効にします。

コンテンツタイプ

ロック時のデータ保護を必須にする

デバイスロック時のデータ保護を必須にするにはこれを有効にします。

E メール同期を許可

E メールメッセージの同期を許可します。

連絡先の同期を許可

連絡先の同期を許可します。

カレンダーの同期を許可

カレンダーイベントの同期を許可します。


90


7. 保存を選択して AirWatch コンソールにプロファイルを保存するか、保存して公開を選択してプロファイルをデバイスにプッシュします。

AirWatch Inbox の EAS プロファイルを構成する (Windows デスクトップ)Exchange ActiveSync プロファイルを作成し、Windows Phone デバイスから貴社の Exchange ActiveSync サーバにアクセスして E メールとカレンダーを使用できるようにします。Windows Phone が AirWatch Inbox を E メールクライアントとして使用する際は設定が変わります。以下の手順に従い、AirWatch Inbox に構成プロファイルを作成します。





5. Exchange ActiveSync ペイロードを選択します。既定設定では、メールクライアントドロップダウンメニューからAirWatch Inboxが選択されています。

6. Exchange ActiveSync ホスト欄に EAS サーバ情報を入力します。例: webmail.airwatchmdm.com

設定説明

SSL 使用すべての通信を SSL を通して送信するにはこの設定を有効にします。

S/MIME を使用する

エンドユーザーの S/MIME 証明書を保管するにはこの設定を有効にします。S/MIME を有効化したプロファイルでは、このオプションを有効にする必要があります。

ログイン情報

ドメイン E メールドメインを入力します。

ユーザー E メールユーザー名を入力します。

E メールアドレス E メールアドレスを入力します。この欄は必須項目です。

パスワード E メールパスワードを入力します。

ペイロード証明書 EAS ペイロード用の証明書を選択します。詳細については、 1 ページの「58 ページの資格情報プロファイルを構成する (Windows デスクトップ)」を参照してください。

設定

パスコードが必要 AirWatch Inbox アプリを開く際、エンドユーザーにパスコードの入力を義務付けるにはこの設定を有効にします。


91


設定説明

タイプログイン時に入力を求める資格情報のタイプを選択します。

l パスコード

l ユーザー名とパスワード

複雑度パスコードの複雑度レベルを選択します。

l シンプル

l 英数字

最小文字数パスコードの最小文字数を選択します。

単純な値を許可複雑度要件を満たさないパスコードを許可するにはこの設定を有効にします。


英数字以外の文字が何文字以上必要かを指定します。この設定は複雑度の英数字を選択すると表示されます。

最大日数パスコードを使用できる最大日数を選択します。

履歴何回前のパスコードまで記憶するかを選択します。ユーザーがパスコードを変更する際、履歴に記憶されているパスコードと同じものは拒否されます。

デバイスロック時は自動ロック

デバイスがロックする際に自動的に AirWatch Inbox もロックする場合はこれを有効にします。

猶予期間アプリがロック解除されたまま開いている状態になってから自動ロックされるまでの時間を、分単位で選択します。

試行失敗回数の上限

パスコードの試行失敗回数の上限を設定します。試行回数がこれを超えると、AirWatch Inboxのデータは消去されます。

パスコード

パスコードが必要 AirWatch Inbox アプリを開く際、エンドユーザーにパスコードの入力を義務付けるにはこの設定を有効にします。

タイプログイン時に入力を求める資格情報のタイプを選択します。

l パスコード

l ユーザー名とパスワード

複雑度パスコードの複雑度レベルを選択します。

l シンプル

l 英数字

最小文字数パスコードの最小文字数を選択します。

単純な値を許可複雑度要件を満たさないパスコードを許可するにはこの設定を有効にします。


92


設定説明


英数字以外の文字が何文字以上必要かを指定します。この設定は複雑度の英数字を選択すると表示されます。

最大日数パスコードを使用できる最大日数を選択します。

履歴何回前のパスコードまで記憶するかを選択します。記憶されているパスワードと同一のものは再利用できません。

デバイスロック時は自動ロック

デバイスがロックする際に AirWatch Inbox もロックする場合はこれを有効にします。

猶予期間アプリがロック解除されたまま開いている状態になってから自動ロックされるまでの時間を、分単位で選択します。

試行失敗回数の上限

パスコードの試行失敗回数の上限を設定します。試行回数がこれを超えると、AirWatch Inboxのデータは消去されます。

制限

コピー/貼り付けの無効化

AirWatch Inbox 内でのコピー/貼り付けを制限する場合はこの設定を有効にします。

l E メールテキストを長押ししてクリップボードにコピーする機能を無効にします。

l E メールクライアント外部からのテキストをコピーしてメールメッセージに貼り付ける機能を無効にします。

添付ファイルの無効化

エンドユーザーが AirWatch Inbox アプリ内で添付ファイルを開封できないようにするにはこの設定を有効にします。

添付ファイルの最大サイズ (MB)

受信できる添付ファイルの最大サイズを MB で入力します。

ドメインを制限する E メールのフローを指定されたドメインに制限します。

制限タイプ E メールドメインの制限タイプを選択します。

ドメイン名ドメインをホワイトリストまたはブラックリストに追加するには、追加を選択します。

7. 保存を選択してコンソールにプロファイルを保存するか、保存して公開を選択してプロファイルをデバイスにプッシュします。

SCEP プロファイル (Windows デスクトップ)SCEP (Simple Certificate Enrollment Protocol) プロファイルを使用し、証明書をサイレントにデバイスにインストールすることができます。エンドユーザー側の対応は不要です。複雑なパスコードやその他の制限事項を設けても、社内インフラストラクチャの弱点がすべてなくなることはありません。そのため、総当たり攻撃や辞書攻撃、従業員の操作ミスによるリスクは残ります。セキュリティレベルを上げ、企業アセットをより強固に保護するには、電子証明書の導入が効果的です。SCEP を使用して証明書をデバイスにサイレントインストールするには、まず認証局を定義し、次に SCEP ペイロードを構成し、EAS、Wi-Fi、または VPN ペイロードを構成する必要があります。これらペイロードのそれぞれに、｢SCEP｣ペイロードで定義された認証局を関連付けるための設定項目があります。


93


証明書をデバイスにプッシュするには、EAS、Wi-Fi、VPN 設定用に作成した各プロファイルの一部として SCEP ペイロードを構成します。

SCEP プロファイルを構成する (Windows デスクトップ)SCEP プロファイルはデバイス認証に使用する証明書をデバイスにサイレントにインストールします。以下の手順に従い、SCEP プロファイルを構成します。





5. SCEP プロファイルを選択します。

6. SCEP 設定を構成します。

設定説明

資格情報ソースこのドロップダウンメニューは常に定義済み認証局に設定されています。

認証局使用する認証局を選択します。

証明書テンプレート証明書に利用できるテンプレートを選択します。

発行者証明書の発行者を入力します。発行者 (Issuer) は証明書のサブジェクト欄に記載されています。

保管場所 SCEP をコンピュータのどこに保管するのかを選択します。

l コンテキストユーザー – 特定ユーザーとともに SCEP を保管します。

l コンテキストマシン – すべてのユーザー向けにコンピュータ上に SCEP を保管します。

7. Wi-Fi、VPN または EAS プロファイルを構成します。



94


アプリケーション制御プロファイル (Windows デスクトップ)アプリケーション制御プロファイルを使用し、Windows デスクトップデバイスにインストールできるアプリケーションを制限します。インストールできるアプリケーションを制限することで、貴社のデータを悪意あるアプリから保護し、エンドユーザーが企業デバイスから不要なアプリにアクセスできないようにします。｢アプリケーション制御｣機能を使用し、アプリケーションをホワイトリスト/ブラックリスト設定することで、特定アプリケーションのデバイスへのインストールを許可/ブロックすることができます。ホワイトリスト/ブラックリスト設定されたアプリに関しては、順守エンジンもデバイスをモニタリングする役割を持っていますが、アプリケーション制御は、ユーザーによるアプリケーションの追加あるいは削除の試み自体を防止します。たとえば、一部のゲームアプリのインストールをブロックしたり、あるいは、ホワイトリスト設定した特定のアプリしかインストールできないようにしたりすることができます。ブラックリスト設定されているアプリが、アプリケーション制御ペイロードをプッシュする前にすでにインストールされている場合は、プロファイルをプッシュした後は無効化されます。アプリケーション制御プロファイルを使用すると、デバイス管理コストを削減できます。問題を引き起こす禁止アプリケーションをユーザーが実行しなくなるからです。アプリケーションが問題を引き起こさなければ、サポートスタッフが回答しなければならない問い合わせ件数が減ります。

アプリケーション制御プロファイルを構成する (Windows デスクトップ)アプリケーション制御を有効にして特定のアプリケーションをホワイトリスト/ブラックリスト設定し、デバイス上での使用を許可/ブロックすることができます。｢アプリケーション制御｣は、Microsoft AppLocker 構成を使用して Windows 10 デバイスのアプリ制御を行います。

前提条件XML 構成ファイルを構成するには、デバイスの AppLocker 設定を構成し、プロファイルとともに使用するファイルをエクスポートする必要があります。アプリケーション制御プロファイルを使用するには Windows 10 Enterprise または Education が必要です。

重要な推奨設定

l はじめは｢監査のみ (Audit Only)｣モードを使用してポリシーを作成してください。テストデバイスで｢監査のみ｣バージョンを検証した後、｢強制 (Enforce)｣モードバージョンを作成し、貴社デバイスに適用します。使用前にポリシーのテストを行わない場合、貴社のデバイスが利用できなくなる可能性があります。

l 既定の規則のほかに、貴社のニーズに合わせて任意の規則を作成し、既定構成をロックしてしまったり、デバイス再起動後に不具合が発生する可能性を減らすようにしてください。規則作成の詳細は、AppLocker に関する MicrosoftTechNet 記事を参照してください。

以下の手順に従い、アプリケーション制御プロファイルを構成します。

1. 構成するデバイスのローカルセキュリティポリシーエディタを起動します。


95


2. アプリケーション制御ポリシー > AppLocker と進み、規則の実施の構成を選択します。

3. 規則の実施を選択し、実行可能ファイルの規則、Windows インストーラーの規則、またはスクリプトの規則実施のいずれかまたは複数を有効化します。

4. 右側のフォルダを選択し、右クリックして新しい規則の作成を選択し、実行可能ファイルの規則、Windows インストーラーの規則、またはスクリプトの規則のいずれかまたは複数を作成します。既定の規則を作成し、既定の構成がロックされる可能性やデバイスが機能しなくなる可能性を減らしてください。

5. 必要な規則をすべて作成した後、AppLocker を右クリックし、ポリシーのエクスポートを選択して XML 構成ファイルを保存します。

6. AirWatch コンソールでデバイス > プロファイル > リスト表示 >追加と進み、プロファイルを追加を選択します。




10. アプリケーション制御ペイロードを選択します。

11. サンプルデバイスから構成をインポートするを選択し、アップロードを選択し、ポリシー構成ファイルを追加します。


96



Exchange Web Service プロファイルを構成する (Windows デスクトップ)Exchange Web Service を作成し、エンドユーザーがデバイスから企業 Eメールインフラストラクチャと Microsoft Outlookアカウントにアクセスできるようにします。

重要:初回構成時にはデバイスが内部 Exchange サーバにアクセスできる必要があります。

以下の手順に従って Exchange Web Service を作成します。





5. Exchange Web Service プロファイルを選択し、以下の設定を構成します。

設定説明

ドメインエンドユーザーが属する Eメールドメイン名を入力します。

Eメールサーバ Exchange サーバの名前を入力します。

E メールアドレス Eメールアカウントのアドレスを入力します。


Exchange Web Service プロファイルを削除するとすべての Outlook アカウントがデバイスから削除されます。

Windows ライセンスプロファイルを作成する (Windows デスクトップ)Windows ライセンスプロファイルを構成し、貴社の Windows 10 デバイスに、Windows 10 Enterprise またはWindows 10 Education ライセンスキーを配布します。このプロファイルは、Windows 10 Enterprise エディションではないデバイスをアップグレードする際にも使用します。このアップグレード結果を元に戻すことはできません。このプロファイルを BYOD デバイスに公開すると、MDM 経由でライセンスを取り消すことはできません。Windows 10 をアップグレードする際は、以下のようなアップグレードの流れに従う必要があります。

l Windows 10 Enterprise から Windows 10 Education へ

l Windows 10 Home から Windows 10 Education へ


97


l Windows 10 Pro から Windows 10 Education へ

l Windows 10 Pro から Windows 10 Enterprise へ

以下の手順に従い、Windows ライセンスプロファイルを作成します。





5. Windows ライセンスプロファイルを選択し、以下の設定を構成します。

設定説明

Windows エディション Enterprise または Education エディションを選択します。

有効なライセンスキーを入力使用する Windows エディションに応じ、ライセンスキーを入力します。


BIOS プロファイルを構成する (Windows デスクトップ)BIOS プロファイルを使用すると、選択した Dell の社内デバイスに BIOS 設定を構成できます。このプロファイルを使用するには、Dell Command | Monitor との統合が必要です。Dell Command | Monitor の統合の構成についての詳細は、「110 ページの Dell Command | Monitor の統合」を参照してください。

前提条件サポートされるのは、特定の Dell の社内デバイスのみです。詳細については、「110 ページの Dell Command | Monitor の統合」を参照してください。

手順以下の手順に従い、BIOS プロファイルを構成します。





98



5. BIOS ペイロードを選択し、以下の設定を構成します。

設定説明

BIOS パスワード

デバイスの BIOS のロックを解除するパスワードを入力します。この項目は必須項目です。

TPM チップデバイスのトラステッドプラットフォームモジュール (TPM) チップを有効にするには、有効化を選択します。

CPUの仮想化ハードウェアの仮想化サポートを許可するには、有効化を選択します。

仮想化 I/O 入出力の仮想化を許可するには、有効化を選択します。


カスタム設定を使用する (Windows デスクトップ)AirWatch が現在ネイティブペイロードを使用してサポートしていない Windows デスクトップの機能がある場合、カスタム設定ペイロードでそれを使用できるようにします。新機能を使用したい場合、カスタム設定ペイロードと XML コードを使用して、特定の設定を手動で有効化/無効化することができます。

要件Windows デスクトッププロファイル用に独自の SyncML コードを記述する必要があります。Microsoft は Web サイトで構成サービスプロバイダの参照情報を公開しています。カスタム設定プロファイルにより、コードの先頭および末尾に適切なコードが付加されます。<Add>、<Replace>、<Delete>、または <Get> タグの間に適切なコードを記述する必要があります。プロファイルにコードを追加する前に、XMLコードからすべてのスペースを削除する必要があります。コードの例:

<Replace><CmdID>2</CmdID><Item><Target><LocURI>./Device/Vendor/MSFT/AssignedAccess/KioskModeApp</Lo

cURI></Target><Meta><Format xmlns="syncml:metinf">chr</Format></Meta><Data>

{"Account":"standard","AUMID":"AirWatchLLC.AirWatchBrowser_

htcwkw4rx2gx4!App"}</Data></Item></Replace>

手順以下の手順に従い、カスタムペイロードを構成します。




99




5. 該当するペイロード (例: 制限事項、パスコード) を構成します。"test" 組織グループに保存されている、お客様のプロファイルのコピーを使用できます。これにより、ユーザーへの影響を回避しつつ、保存して公開する準備を行うことができます。

6. カスタム設定ペイロードを開き、構成をクリックします。コピーした XML をテキストボックスにペーストします。ペーストしたXML コードには、<[characteristic]> から </[characteristic]> までの完全なコードブロックが含まれている必要があります。

7. 構成済みの元のペイロードを削除するため、ベースペイロードセクションを選択し、｢-｣ボタンをクリックします。新機能に対するカスタム XML コードを追加することにより、プロファイルの機能を強化できます。

重要:最新のバージョンにアップグレードされていないデバイスでは、設定した強化機能は無視されます。このコードはカスタムなので、古いバージョンのデバイスでこのプロファイルをテストし、期待通りに動作するかどうかを検証する必要があります。



100


第 4 章:順守ポリシー

順守ポリシーの概要 102正常性認証サービスによる侵害デバイスの検出 102

101


順守ポリシーの概要順守エンジンは AirWatch によって自動化されたツールであり、すべてのデバイスがポリシーを順守していることを保証します。これらのポリシーには、パスコードを要求する、デバイスロック期間の下限を設定するなど、基本的なセキュリティ設定を含めることができます。特定のプラットフォームについては、一定の予防措置を設定し、強制することも可能です。予防措置には、パスワードの強度を設定すること、特定のアプリをブラックリスト設定すること、デバイスのチェックイン間隔を要求することによって、デバイスが安全に保護され、AirWatch と確実に接続された状態にすることが含まれます。デバイスが非順守状態であると判断されると、順守エンジンは、デバイスに罰則が適用される前に順守違反を正すよう、ユーザーに警告を送信します。例えば、デバイスが非順守状態にある場合は順守エンジンからユーザーにメッセージが送信されるように設定することができます。また、順守状態にないデバイスにはデバイスプロファイルが割り当てられず、そのデバイスにアプリをインストールすることもできません。指定期間内に是正されなければ、デバイスのコンテンツとアプリへのアクセスをブロックします。利用できる順守ポリシーと対応措置はプラットフォームにより異なります。順守ポリシーの詳細 (例: 特定のプラットフォームでサポートされているポリシーおよびアクション) は、｢VMware AirWatchMobile Device Management ガイド｣を参照してください。この文書は AirWatch Resources で入手できます。

正常性認証サービスによる侵害デバイスの検出正常性認証は、デバイスの起動時にスキャンを行って整合性の欠陥を検知します。正常性認証サービスを使用し、侵害状態にある Windows デスクトップデバイスを検出することができます。企業リソースにアクセスするデバイスの正常性を検証することは、BYOD と企業所有デバイス展開の双方において重要です。Windows の正常性認証サービスは、セキュアな接続を使用してクラウドからデバイスのブート情報にアクセスします。この情報は、測定され、関連データポイントに対して検証され、デバイスのブート状態が正常であること、セキュリティの脆弱性や脅威の対象になっていないことを確認します。セキュアブート、コード整合性、BitLocker、ブートマネージャー等を測定します。AirWatch を使用して、Windows 正常性認証サービスを構成しデバイス順守を確実に行うことができます。有効にしたチェック項目のいずれかで失敗の結果が出ると、AirWatch の順守ポリシーエンジンが、構成済みの順守ポリシーに基づいて対応措置をとります。この機能により、貴社の企業データを、侵害状態にあるデバイスからセキュアに保護することができます。AirWatch は必要な情報を OS ではなくデバイスのハードウェアからプルするので、OS カーネルが侵害されている場合でも侵害状態デバイスを検出することができます。

Windows デスクトップ順守ポリシーの正常性認証を構成するWindows の正常性認証サービスを使用して侵害デバイスを検出し、貴社のデバイスのセキュリティを保護します。このサービスにより、AirWatch は、デバイスを起動する際に整合性を確認し、対応措置を取ることができます。詳細は、正常性認証に関する Microsoft TechNet 記事を参照してください。以下の手順に従い、侵害状態にあるデバイスを検出します。

1. グループと設定 >すべての設定 >デバイスとユーザー >Windows >Windows デスクトップ >Windows 正常性認証と進みます。

2. (任意) オンプレミス環境で、正常性構成証明を実行しているカスタムサーバを使用している場合、カスタムサーバを使用を選択します。サーバ URL フィールドの値を入力します。


102


3. 正常性認証設定を構成します。

設定説明

侵害状態の定義

カスタムサーバを使用正常性構成証明用のカスタムサーバを構成する場合、このオプションを有効にします。このオプションを有効にする場合、Windows Server 2016 以降を実行しているサーバが必要です。このオプションを有効にすると、サーバ URL フィールドが表示されます。

サーバ URL 正常性構成証明用のカスタムサーバの URL を入力します。

セキュアブート無効化デバイス上でセキュアブートが無効になっている場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。セキュアブート機能により、システムは、信頼できる工場出荷時状態で起動します。セキュアブートを有効にする場合、デバイス起動時に使用されるコアコンポーネントに、OEM から信頼された正しい暗号化署名が付いている必要があります。デバイス起動前に、UEFI ファームウェアによって暗号化署名が検証されます。改ざんされたファイルが検出された場合、システムは起動しません。

認証 ID キー (AIK) が存在しない

デバイス上に AIK がない場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。デバイス上に認証 ID キー (AIK) がある場合、そのデバイス上に保証キー (EK) 証明書があることを意味します。そのデバイスは、EK 証明書を持っていないデバイスよりも信頼できます。

データ実行防止 (DEP)ポリシー無効化

デバイス上で DEP が無効になっている場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。データ実行防止 (DEP) ポリシーは、システムレベルで OS に組み込まれたメモリ保護機能です。このポリシーにより、既定のヒープ、スタック、メモリプールなどのデータページからコードが実行されることを禁止できます。DEP は、ハードウェアとソフトウェアの両方で適用されます。

BitLocker 無効化デバイス上で BitLocker 暗号化が無効になっている場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。

コードの整合性チェック無効化

デバイス上でコード整合性チェックが無効になっている場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。コード整合性検査とは、ドライバまたはシステムファイルがメモリに読み込まれるたびに、その整合性を検査するものです。未署名のドライバおよびシステムファイルは、コード整合性検査を受けてから、カーネルに読み込まれます。また、コード整合性検査では、管理者特権を持つユーザーが、悪意のあるソフトウェアによって改ざんされたシステムファイルを実行していないかどうかが検査されます。


103


設定説明

起動時マルウェア対策無効化

デバイス上で起動時マルウェア対策 (ELAM) が無効になっている場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。ELAM を有効にした場合、ネットワーク上のコンピュータが起動した後サードパーティ製ドライバが初期化される前に、コンピュータが保護されます。

コードの整合性バージョンチェック

コードの整合性バージョンチェックで失敗の結果が出た場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。

ブートマネージャバージョンチェック

ブートマネージャバージョンチェックで失敗の結果が出た場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。

ブートアプリセキュリティのバージョン番号

ブートアプリセキュリティのバージョン番号が入力された番号と合致しない場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。

ブートマネージャセキュリティのバージョン番号確認

ブートマネージャセキュリティのバージョン番号が入力された番号と合致しない場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。

高度な設定ソフトウェアバージョン識別子を含む高度な設定を構成します。

ソフトウェアバージョン識別子

コードの整合性ポリシーのハッシュをチェック

コードの整合性ソフトウェアの既知の有効なハッシュ値をホワイトリスト設定するには、これを有効にします。ハッシュ値がホワイトリストにない場合は、正常性認証に関する順守確認で失敗の結果が出ます。

セキュアブート構成ポリシーのハッシュをチェック

セキュアブート構成ソフトウェアの既知の有効なハッシュ値をホワイトリスト設定するには、これを有効にします。ハッシュ値がホワイトリストにない場合は、正常性認証に関する順守確認で失敗の結果が出ます。

PCR0 チェック PCR0 チェックソフトウェアの既知の有効な測定値をホワイトリスト設定するには、これを有効にします。侵害されていないことを確認するため、この測定値によって BIOS の信頼済みコードが検査されます。測定値がホワイトリストにない場合は、正常性認証に関する順守確認で失敗の結果が出ます。



104


第 5 章:Windows デスクトップデバイス向けのアプリ

Windows デスクトップアプリケーション概要 106Windows デスクトップ用VMware Workspace ONE 106Windows デスクトップデバイスの AirWatch Agent を構成する 106Windows デスクトップデバイス用VMware Content Locker 108Windows デスクトップ用VMware Browser 108

105


Windows デスクトップアプリケーション概要AirWatch の MDM 機能に加え、AirWatch アプリケーションを使用することで、デバイスのセキュリティを強化し、デバイスの機能を追加することができます。モバイルデバイス上の企業コンテンツを保護するには VMware Content Locker を使用します。貴社エンドユーザー向けのセキュアな Web 閲覧を実現するには VMware Browser を展開します。Windows 向けの AirWatch Agent をダウンロードし、貴社のデバイスをよりきめ細かくモニタリングします。パブリック、社内、購入済みアプリケーションの展開と App Catalog に関する詳細は、包括的なガイドである｢AirWatchMobile Application Management ガイド｣を参照してください。

重要:Windows デスクトップデバイスに展開されるすべてのパブリックアプリケーションは管理対象外アプリケーションになります。管理対象外のアプリをデバイスにプッシュすることはできません (エンドユーザー自身がアプリをダウンロードする必要があります)。さらに管理対象外アプリは企業情報ワイプによって削除することができません。

Windows デスクトップ用 VMware Workspace ONEWorkspace ONE アプリケーションをデバイスにインストールすると、ユーザーは Workspace ONE にサインインして、組織がそのユーザーに対して有効にしたアプリケーションのカタログに安全にアクセスすることができます。アプリケーションでシングルサインオンが構成されている場合、ユーザーはアプリを起動する際に再度サインインの資格情報を入力する必要はありません。Workspace ONE のユーザーインターフェイスは、スマートフォン、タブレット、デスクトップで同じように機能します。WorkspaceONE を起動すると、ランチャーページが開き、Workspace ONE にプッシュされたリソースが表示されます。ユーザーは、タップまたはクリックして、アプリを検索、追加、更新することができます。アプリを右クリックすると、ページから削除することができ、カタログページに進むと、権限が付与されているリソースを追加することができます。デバイスの加入が必要なアプリの場合、Workspace ONE は柔軟な管理を使用して、エンドユーザーの加入処理を開始します。Workspace ONE の詳細は、VMware Identity Manager ドキュメントセンター(http://pubs.vmware.com/vidm/index.jsp) の｢デバイスでの VMware Workspace ONE アプリケーションのセットアップ｣を参照してください。

Windows デスクトップデバイスの AirWatch Agent を構成するWindows デスクトップデバイス対応の AirWatch Agent は、AirWatch が事前構成したものです。貴社のビジネスニーズに合わせ、必要に応じて AirWatch Agent の設定を変更してください。AirWatch Agent の設定を編集するには、グループと設定 >すべての設定 >デバイスとユーザー >Windows >Windows デスクトップ > エージェント設定と進みます。

l Modern Agent の設定を構成し、AirWatch Agent から AirWatch コンソールに目的のデータが送信されるようにします。

設定説明

ハートビート間隔(分)

AirWatch Agent と AirWatch コンソールが継続的に接続され、同期されているか確認する間隔を定義します。


106


https://www.vmware.com/support/pubs/identitymanager-pubs.html

設定説明

データサンプル間隔(分)

AirWatch Agent がデータのサンプルを取る間隔を定義します。

管理者パスコードデバイスの管理者設定にアクセスするためのパスコードを設定します。

l AirWatch Protection Agent の設定を構成し、デバイスと AirWatch コンソールの間で迅速な通信が行われるようにします。

設定説明

データサンプル間隔 (分) AirWatch Protection Agent がデータのサンプルを取る間隔を定義します。

l リモート管理設定を構成し、AirWatch Agent とリモート管理サーバの通信を有効にします。詳細は｢VMware AirWatch Remote Management Guide｣を参照してください。この文書は、AirWatchResources で入手できます。

設定説明

許可を求めるエンドユーザーにプロンプトを表示し、管理者からのリモート管理リクエストの許可を求める場合はこれを有効にします。

o 許可を求めるメッセージ: リモート管理要求の送信時にエンドユーザーに対して表示されるメッセージを入力します。

o ｢はい｣のキャプション: 許可要求時にエンドユーザーに対して表示される、承諾ボタンのキャプションを入力します。

o ｢いいえ｣のキャプション: 許可要求時にエンドユーザーに対して表示される、拒否ボタンのキャプションを入力します。

アドバンストこのメニューを開くと、高度な構成オプションを指定できます。

リモート管理ポート

エンドユーザーデバイス上でリモート管理エージェントとトンネルエージェントの間の通信に使用されるポートを入力します。このポートでは、デバイス上のさまざまなフレームがキャッシュされます。このポートは、画面共有機能と組み合わせて使用されます。既定のポートは 7775 です。ポート 7775 が社内の他のユーザーによって使用されている場合を除き、この既定値をそのまま使用することをお勧めします。

デバイスログレベル

デバイスログレベルを設定します。これにより、デバイス上のリモート制御アプリケーションに関してどの程度詳細なログを収集するかを制御できます。

ログフォルダパス

リモート制御ログファイルの保存先となる、デバイス上のログフォルダへのパスを指定します。

トレイアイコンを表示

｢トレイアイコンを表示｣を有効にすると、リモート管理アプレットがデバイスに表示されます。

最大セッション数

デバイス上で同時接続可能な最大セッション数を入力します。


107


設定説明

再試行回数試行失敗回数の上限値を入力します。この回数を超えて失敗すると、通信が試行されなくなります。

再試行の間隔 (秒)

通信を試行する間隔を入力します。

ハートビート間隔 (秒)

デバイスから状態更新データを送信する間隔 (単位: 秒) を入力します。

接続が切断された際の再試行間隔(秒)

接続の再確立を試行する間隔 (単位: 秒) を入力します。

Windows デスクトップデバイス用 VMware Content Lockerエンドユーザーは VMware Content Locker を使用することにより、デバイス上の重要情報にアクセスすることや、業務用ファイルの安全性を確保することができます。エンドユーザーは、AirWatch コンソールで管理者がアップロードしたコンテンツ、同期されている社内リポジトリ内のコンテンツ、および自分自身の個人用コンテンツを VMware Content Locker で表示することができます。管理者は AirWatch コンソールを使用して、コンテンツを追加する作業、リポジトリを同期させる作業、VMware ContentLocker で開いたコンテンツに対してエンドユーザーが実行できる操作を構成する作業を行う必要があります。このような構成作業を行うことにより、コンテンツが許可なくコピー、共有、または保存されることを防止できます。VMware Content Locker の構成および展開の詳細は、｢モバイルコンテンツ管理ガイド｣を参照してください。この文書は Resources Portal で入手できます。

Windows デスクトップ用 VMware BrowserVMware Browser は、ネイティブ Web ブラウザの代わりとなるアプリケーションで、管理性とセキュリティが高くなっています。アプリレベルで、トンネルで、または Web サイトレベルで Web 閲覧のセキュリティを保護することができます。管理者は、貴社の業務ニーズに合わせて VMware Browser を構成できます。具体的には、特定の Web サイトにのみアクセスできるようにすることや、モバイル POS 端末用のセキュアなインターネットポータルを用意することができます。複数のタブを開いての Web 閲覧、Javascript ダイアログボックスといった、使い慣れたブラウジングエクスペリエンスをユーザーに提供します。VMware Browser を展開できるよう準備および構成する方法の詳細は、｢VMware AirWatch Browser Guide｣を参照してください。この文書は Resources Portal で入手できます。


108


第 6 章:Dell Command | Monitor の統合

Dell Command | Monitor の統合 110Dell Command | Monitor の AirWatch への追加 110

109


Dell Command | Monitor の統合AirWatch を Dell Command | Monitor と統合することで、加入している Dell の社内デバイスから AirWatch が収集する情報を拡張できます。この統合により、デバイスの BIOS 設定を構成することも可能になります。

基本Dell Command | Monitor との統合により、Dell の社内デバイスのデバイス管理の機能が拡張されます。この統合により、AirWatch でデバイスのバッテリの正常性情報および特定の BIOS 設定が報告されます。

Dell Command | Monitor の統合とセットアッププロセスについて概要を説明している動画をご覧ください。https://support.air-watch.com/articles/115006430568。

サポートするデバイスl Dell OptiPlex™ デスクトップデバイス

l Dell Precision Workstation™ デスクトップおよびラップトップデバイス

l Dell Latitude™ ラップトップデバイス

Dell Command | Monitor の AirWatch への追加Dell Command | Monitor と AirWatch を統合するには、AirWatch コンソールで社内 Win32 アプリケーションとしてプログラムを追加します。詳細については、「110 ページの Dell Command | Monitor の AirWatch への追加」を参照してください。

BIOS プロファイルDell の社内デバイスで特定の BIOS 設定を構成するには、BIOS プロファイルを使用します。この設定により、ハードウェアの仮想化および BIOS のセキュリティを制御できます。詳細については、「98 ページの BIOS プロファイルを構成する (Windowsデスクトップ)」を参照してください。

バッテリの正常性の状態バッテリの全体的な正常性は、デバイスの寿命に影響します。Dell Command | Monitor により、Dell の社内デバイスのバッテリの正常性を監視できます。この正常性情報では、現在のバッテリの充電状態はわかりませんが、電気を保持する能力の状態、完全な充電にかかる時間、およびその他の要素がパーセンテージでわかります。Dell によると、75% を下回る状態のバッテリは交換する必要があります。

Dell Command | Monitor の AirWatch への追加AirWatch コンソールに Dell Command | Monitor を追加して、Dell の社内デバイスの管理を強化することができます。BIOS プロファイルは、デバイスにプッシュする前に、このアプリケーションが必要です。


110



前提条件Dell Command | Monitor をデバイスにプッシュするには、ソフトウェア配布を有効にする必要があります。

手順以下の手順に従い、Dell Command | Monitor を追加します。

1. http://en.community.dell.com/techcenter/enterprise-client/w/wiki/7531.dell-command-monitorにアクセスして、最新バージョンの Dell Command | Monitor をダウンロードします。

2. EXE を開き、Extract を選択します。抽出したファイルをフォルダに保存します。

3. 保存先のフォルダを開き、MSI ファイルを見つけます。

4. AirWatch コンソールで、抽出した MSI ファイルを内部アプリケーションとして追加します。｢サポートされているプロセッサアーキテクチャ｣に、デバイスの OS に応じて 32-ビットまたは 64-ビットが設定されていることを確認します。｢展開オプション｣タブで、管理者特権をはいに設定します。

5. Dell の社内デバイスにアプリケーションの割り当てを追加します。

割り当てられたデバイスにアプリケーションがダウンロードおよびインストールされ、BIOS プロファイルをデバイスにプッシュできるようになります。


111


http://en.community.dell.com/techcenter/enterprise-client/w/wiki/7531.dell-command-monitor

第 7 章:Windows デスクトップデバイス向けのプロダクトプロビジョニング

プロダクトプロビジョニングの概要 113

112


プロダクトプロビジョニングの概要管理者は、プロダクトプロビジョニングを使用して、プロファイル、アプリケーション、または (使用されるプラットフォームによっては)ファイル/アクションを含むプロダクトを AirWatch から作成することができます。これらのプロダクトは、決められた一連の規則、スケジュール、依存関係をガイドラインとして使用し、必要なコンテンツの最新版を貴社のデバイスに届けます。プロダクトプロビジョニングの対象には、リレーサーバも含まれています。これらのリレーサーバは FTP(S) サーバであり、デバイスとAirWatch コンソールを仲介する役割を担っています。このようなサーバを作成して、各店舗や倉庫などでプロダクトのコンテンツをデバイスに配布可能な状態に維持しておくことができます。Windows デスクトップデバイス向けのプロダクトプロビジョニングの詳細は｢Product Provisioning for WindowsDesktop Guide｣を参照してください。この文書は、AirWatch Resources から入手できます。

第 7 章:Windows デスクトップデバイス向けのプロダクトプロビジョニング

113


第 8 章:Windows デスクトップデバイスを管理する

Windows デスクトップデバイス管理の概要 115デバイスダッシュボード 115デバイスリスト表示 115Windows デスクトップデバイス詳細画面 116リモート管理 117

114


Windows デスクトップデバイス管理の概要デバイスの加入作業と構成作業が完了したら、AirWatch コンソールを使用してデバイスを管理します。各種の管理ツールおよび管理機能を利用することにより、デバイスを常時監視することや、管理機能をリモートで実行することができます。VMware AirWatch ダッシュボードから、貴社の全デバイスを管理します。ダッシュボードの検索や表示形式はカスタマイズが可能で、フィルタ機能で簡単にデバイスを見つけることができます。指定した条件に当てはまるデバイスを特定し、管理操作を実行します。デバイスのリスト表示には、現在貴社の AirWatch 環境に加入しているすべてのデバイスと、その状態が表示されています。デバイス詳細情報ページには、デバイス固有の情報が表示されます。たとえば、現在デバイスにインストールされている、プロファイル、アプリケーション、AirWatch Agent のバージョン、適合 OEM サービスのバージョンなどです。デバイス詳細画面からデバイスに管理操作をリモートで実行することもできます。詳細画面はプラットフォームにより異なる場合があります。

デバイスダッシュボードデバイスを加入させている場合、AirWatch デバイスダッシュボードでそれらのデバイスを管理できます。デバイスダッシュボードでは、デバイスフリート全体の概要情報を確認できます。また、個別のデバイスにすばやく処理を実行することができます。所有形態タイプや順守状況、プラットフォーム、OS の内訳といった、貴社デバイスに関連する統計情報をグラフで表示します。デバイスダッシュボードから使用可能なデータビューを選択すると、示されているカテゴリに属する各デバイスセットにアクセスできます。このリスト表示から、メッセージ送信、デバイスロック、デバイス削除や、デバイスに関連付けられているグループの変更といった様々な管理操作を行います。

デバイスリスト表示デバイス > リスト表示を選択すると、すべてのデバイスが一覧表示されます。最終検出カラムには、デバイスがチェックインしてからの経過時間 (単位: 分) を示すインジケータが表示されます。一般情報カラムでデバイスを選択すると、該当するデバイスの詳細画面をいつでも開くことができます。カラムを並べかえて情報フィルタを構成し、特定の情報を基にデバイスアクティビティを確認します。たとえば、順守状態カラムにフィルタをかけ、現在順守違反状態であるデバイスのみを抽出し、それらのデバイスだけを対象にすることができます。フレンドリ名あるいはユーザー名を使用して全デバイスを検索し、1 つのデバイスまたは 1 人のユーザーを特定することもできます。

デバイスリスト表示レイアウトをカスタマイズするレイアウトボタンを選択して、デバイスリスト表示に配置できるすべてのカラムを一覧表示し、カスタムオプションを選択します。このビューで、｢デバイスリスト｣のカラムを表示するか非表示にするかを自由に設定できます。カスタマイズしたカラム配置をすべての管理者に適用するオプションもあります。たとえば、｢アセット番号｣をデバイスリスト表示で非表示にすることができます。カスタマイズ完了後、承諾ボタンを選択して現在の設定を保存すると、新しいカラム表示が適用されます。いつでもレイアウトボタンをクリックし、カラムの表示形式を変えることができます。

デバイスリスト表示を検索するある特定のデバイスを検索して情報に素早くアクセスし、そのデバイスにリモート操作を実行しなければならないような場合があるかもしれません。


115


検索を行うには、デバイス > リスト表示と進み、リストを検索バーを選択し、ユーザー名、デバイスフレンドリ名または他の識別要素を入力します。これにより、入力したパラメータに基づき全デバイスが検索されます。

Windows デスクトップデバイス詳細画面デバイス詳細画面を使用し、デバイス詳細情報を追跡し、ユーザー/デバイス管理操作機能に素早くアクセスすることができます。デバイスリスト画面からデバイスのフレンドリー名を選択するか、あるいは AirWatch 管理者コンソールの検索ツールを使用してデバイス詳細画面にアクセスします。デバイス詳細画面のメニュータブを選び、必要な詳細情報にアクセスすることができます。各タブには、貴社の AirWatch 展開に応じたデバイスの関連情報が含まれています。

リモート操作デバイス詳細画面のその他のアクションドロップダウンメニューを使用することにより、選択したデバイスに対してワイヤレスでリモート処理を実行できます。処理は、デバイスのプラットフォーム、AirWatch コンソールの設定、加入状態などによって異なります。

l タグを追加 – タグをカスタマイズしてデバイスに割り当て、貴社のデバイスのなかの特定デバイスを識別できるようにします。

l アプリ (クエリ) – インストール済みアプリのリストを戻すクエリコマンドをデバイスに送信します。

l 証明書 (クエリ) – インストールされている証明書のリストを戻すクエリコマンドをデバイスに送信します。

l 組織グループ変更 – デバイスのベース組織グループを、既に存在する他の組織グループに変更します。静的または動的な組織グループを選択するオプションもあります。

l デバイスを削除 – デバイスを管理者コンソールから削除し加入解除します。このアクションは、デバイスそのものからデータを削除するものではなく、コンソールの表示を削除するものです。

l デバイス情報 (クエリ) – フレンドリ名、プラットフォーム、モデル、組織グループ、OS バージョンおよび所有形態などデバイスの基本的な情報を戻すクエリコマンドをデバイスに送信します。

l デバイスワイプ – デバイスからすべてのデータ、Eメール、プロファイル、MDM 機能を完全に削除し、デバイスを工場出荷状態に戻します。ここにはユーザーのすべての個人情報も含まれます (該当する場合)。この操作は元に戻せません。

l デバイスを編集 – フレンドリ名、アセット番号、デバイス所有形態、デバイスグループおよびデバイスカテゴリといったデバイス情報を編集します。

l 企業情報ワイプ – デバイスの加入を解除し、アプリケーションやプロファイルを含む、すべての管理企業リソースを削除します。この操作は元に戻すことができず、このデバイスを再度管理するには、VMware AirWatch への再加入が必要になります。今後の再加入をブロックするオプションと、アクションに関する詳しい情報を入力するためのメモ説明欄を使用するオプションがあります。

o クラウドドメイン参加デバイスでは、企業情報ワイプはサポートされていません。

l デバイスをロック – 選択したデバイスの画面をロックし、ロックが解除されるまで使用できない状態にします。カスタマイズできるメッセージと電話番号そしてメモ説明というオプション入力欄があります。


116


重要: デバイスをロックする際にコマンドが処理されるためには、加入ユーザーがデバイスにサインインしている必要があります。ロックコマンドによりデバイスがロックされ、サインインしているすべてのユーザーは再度 Windows の認証を行うように要求されます。加入ユーザーがデバイスにサインインしている場合、デバイスロックコマンドはデバイスをロックします。加入ユーザーがサインインしていない場合は、デバイスロックコマンドは処理されません。

l すべてクエリ – インストール済みアプリ (該当する場合は VMware AirWatch Agent を含む)、ブック、証明書、デバイス情報、プロファイルとセキュリティ対策のリストを戻すクエリコマンドをデバイスに送信します。

l リモート管理 – このアクションを使用してサポートするデバイスを遠隔から制御します。コンソールアプリケーションを起動し、デバイスにサポートやトラブルシューティングを実行できます。

l セキュリティ (クエリ) – アクティブなセキュリティ対策 (デバイスマネージャ、暗号化、パスコード、証明書など) のリストを戻すクエリコマンドをデバイスに送信します。

l メッセージを送信 – 選択したデバイスのユーザーにメッセージを送信します。Eメール、プッシュ通知、SMS から選択できます。

リモート管理Remote Management Service を利用すると、エンドユーザーのデバイスにリモート接続できるので、トラブルシューティングとメンテナンスに役立ちます。Remote Management Service を利用するには、管理者のコンピュータとエンドユーザーのデバイスがリモート管理サーバに接続されている必要があります。これにより、AirWatch コンソールとエンドユーザーデバイスの間の通信が簡単になります。Remote Management Service のインストール、構成と実際の使用法に関する詳細は｢VMware AirWatchRemote Management Guide｣を参照してください。この文書は、AirWatch Resources から入手することができます。


117


他の文書を入手するこのガイドには含まれていない文書が追加資料として挙げられている場合があります。特定の文書を最も迅速かつ簡単に探す方法は、https://my.air-watch.com/help/9.2/en/Content/Release_Notes/Doc_List_PDFs.htm にアクセスし、必要な文書を検索することです。各リリース固有の文書には、AirWatchResources にある PDF コピーへのリンクが掲載されています。myAirWatch の AirWatch Resources (resources.air-watch.com) にアクセスし、文書を検索することもできます。Resources で文書を検索するときは、AirWatch の文書を検索するように注意します。フィルタを使用し、PDF ファイルタイプと AirWatch 9.2 で並べ替えることができます。

他の文書を入手する

118


https://my.air-watch.com/help/9.2/en/Content/Release_Notes/Doc_List_PDFs.htm

https://my.air-watch.com/help/9.2/en/Content/Release_Notes/Doc_List_PDFs.htm

Download pdf - VMware AirWatch Windows デスクトップ プラットフォーム …...ガイドでは、弊社のデバイスプロファイルを使用して、貴社のWindowsデバイスを適切に構成し、セキュア化する方法を説明

Download pdf - VMware AirWatch Windows デスクトッププラットフォーム …...ガイドでは、弊社のデバイスプロファイルを使用して、貴社のWindowsデバイスを適切に構成し、セキュア化する方法を説明