Hub サービスを使用した VMware Workspace ONE …Workspace ONE Intelligent Hub from AirWatch Agent への移行 57 Intelligent Hub アプリケーションのモバイルデバイス管理設定

Hub サービスを使用した VMwareWorkspace ONE Intelligent Hub アプリケーションのロールアウト

2019 年 6 月

VMware Workspace ONE

最新の技術ドキュメントは、 VMware の Web サイト（https://docs.vmware.com/jp/）でご確認いただけます。このドキュメ

ントに関するご意見およびご感想は、[email protected] までお送りください。

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

ヴイエムウェア株式会社

105-0013　東京都港区浜松町 1-30-5浜松町スクエア 13Fwww.vmware.com/jp

Copyright ©

2018、2019 VMware, Inc. All rights reserved. 著作権および商標情報。

Hub サービスを使用した VMware Workspace ONE Intelligent Hub アプリケーションのロールアウト

VMware, Inc. 2

https://docs.vmware.com/jp/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

目次

Hub サービスを使用した Workspace ONE Intelligent Hub アプリケーションのロールアウト6

1 Hub サービスと Intelligent Hub アプリケーションの操作の概要 7Hub サービスを使用したクラウドホスト型の展開のシステム要件 7

Workspace ONE UEM および VMware Identity Manager を使用した Hub サービスの管理 8

2 Workspace ONE Hub サービスのアクティベーション 10Hub サービスのアクティベーション方法 10

Hub サービスのアクティベーション（既存の UEM ユーザー向け） 11

クラウドテナントの要求 12

Workspace ONE アプリケーション用に構成されたものとは異なる Hub サービスクラウドインスタンスの使用13

3 組織の Hub サービスの設定 14VMware Identity Manager を有効にせずに Hub サービスを使用する 14

Hub サービスに更新する Workspace ONE ユーザーの Hub カタログを有効にする 15

Hub カタログビューのカスタマイズ 16

カタログビューへの [プロモーション] セクションの追加 17

カタログビューに推奨するカテゴリをセクションとして追加 17

カスタムタブの追加 18

小さい画面での仮想アプリケーションの表示 19

Intelligent Hub アプリケーションのブランディングのカスタマイズ 19

VMware Identity Manager が統合されている場合の Hub サービス 20

Workspace ONE UEM と VMware Identity Manager が統合されている場合の Hub サービスの使用 21

Intelligent Hub Web ブラウザエクスペリエンスの有効化 22

Intelligent Hub アプリケーションの People サービスの有効化 22

Hub 通知サービスの使用 23

4 Workspace ONE 構成の管理 27Workspace ONE UEM Console からの統合の構成の管理 27

VMware Identity Manager Console での Workspace ONE の構成の表示 28

自動検出用のメールドメインの登録 29

VMware Identity Manager での自動検出の設定 29

5 シングルサインオン認証のための VMware Identity Manager の構成の概要 30コネクタのインストールの概要 30

VMware Identity Manager ディレクトリへのユーザーの同期 31

VMware, Inc. 3

ディレクトリサービスからのユーザーアカウントの同期 31

ローカルのベーシックユーザーアカウントの同期 33

Workspace ONE UEM での複数の組織グループへの VMware Identity Manager ドメインのマッピング 34

VMware Identity Manager ドメインへの Workspace ONE UEM の組織グループのマッピング 35

複数の Workspace ONE UEM 組織グループを設定するための展開戦略 36

Workspace ONE での認証方法の適用 40

組み込み ID プロバイダの使用 40

組み込み ID プロバイダの構成 41

カタログ内のアプリケーションへのユーザーアクセスの管理 41

6 モバイルシングルサインオンの構成 47Google での Workspace ONE UEM エンタープライズモビリティ管理の設定（Android 向け） 48

7 カタログでのアプリケーションの管理 50カタログでのアプリケーションの追加 50

組織のカタログへの Web アプリケーションの追加 51

カテゴリへのアプリケーションのグループ化 51

Workspace ONE UEM の Hub カタログの有効化 52

8 Workspace ONE Intelligent Hub アプリケーションの展開 53iOS および Android 用の Workspace ONE Intelligent Hub アプリケーションの配布 53

エンタープライズキーと値のペアに関する Workspace ONE UEM アプリケーションの構成 54

macOS 用 Workspace ONE Intelligent Hub アプリケーションの展開 56

Web ブラウザからユーザーポータルにアクセスする方法 56

9 VMware Workspace ONE Intelligent Hub での MDM 登録について 57Workspace ONE Intelligent Hub from AirWatch Agent への移行 57

Intelligent Hub アプリケーションのモバイルデバイス管理設定 58

Intelligent Hub のデバイス登録と認証モードの有効化 59

iOS デバイスの管理対象外の登録の有効化 60

パブリックアプリケーションおよび社内アプリケーション用のデバイス管理オプション 60

アプリケーションへのアクセスの管理 62

10 Workspace ONE Intelligent Hub アプリケーションのユーザーエクスペリエンス 63デバイスへの Intelligent Hub アプリケーションのインストールと設定 64

Workspace ONE Intelligent Hub アプリケーションのパスコードの設定 64

Intelligent Hub アプリケーションからアプリケーションにアクセスする場合のユーザーエクスペリエンス 65

Intelligent Hub アプリケーションのアカウント設定 66

Hub アプリケーションでの People 機能の使用 66

通知の受信 66

ネイティブアプリケーションへのアクセス 69


VMware, Inc. 4

Web ブラウザでアプリケーションにアクセスする際のユーザーエクスペリエンス 69

Web ブラウザのビューで使用可能なアカウント設定 70

11 その他のドキュメントへのアクセス 71


VMware, Inc. 5

Hub サービスを使用した Workspace ONEIntelligent Hub アプリケーションのロールアウト

『Hub サービスを使用した Workspace ONE® Intelligent Hub アプリケーションのロールアウト』ガイドには、Workspace ONE のクラウド展開のための Workspace ONE Hub サービスのアクティブ化と構成、およびWorkspace ONE Intelligent Hub アプリケーションのロールアウトに関する情報が記載されています。

対象者

この情報は、Workspace ONE UEM サービスと VMware Identity Manager サービスの両方に精通するテナント管理者を対象としています。

VMware, Inc. 6

Hub サービスと Intelligent Hub アプリケーションの操作の概要 1VMware Workspace ONE® Intelligent Hub アプリケーションは、iOS、Android、および macOS デバイス間で統合されたオンボーディングエクスペリエンス、企業リソースのカタログ、およびオプションの Hub サービス統合を提供します。Hub サービスは、完全なデジタルワークスペースエクスペリエンスのための統合カタログ、従業員に対する実行可能な通知、および People ディレクトリを提供します。

Workspace ONE UEM を使用して Intelligent Hub アプリケーションを展開し、デバイスを登録および管理できます。Intelligent Hub アプリケーションを使用すると、登録が容易になり、デバイス情報のリアルタイム管理とアクセスが可能になります。

VMware Identity Manager と統合しない場合、Hub サービスは Workspace ONE UEM でのみ動作できます。HubServices Console にアクセスするには、クラウド内に VMware Identity Manager テナントが必要です。Hub カタログを構成して、UEM および Web アプリケーションへのアクセスを許可したり、カスタムタブを作成したり、Workspace ONE Intelligent Hub アプリケーションをブランディングして会社のロゴと色のプロファイルを追加したりできます。

Hub サービスのすべての機能を使用するには、クラウド内に VMware Identity Manager テナントが必要で、VMware Identity Manager と Workspace ONE UEM を統合する必要があります。さらに、Hub サービスでのWeb ブラウザエクスペリエンスは、Workspace ONE UEM と統合しているかどうかに関わらず、VMware IdentityManager で使用できます。

この章には、次のトピックが含まれています。

n Hub サービスを使用したクラウドホスト型の展開のシステム要件

n Workspace ONE UEM および VMware Identity Manager を使用した Hub サービスの管理

Hub サービスを使用したクラウドホスト型の展開のシステム要件以下のシステム要件を満たしていることを確認してから Hub サービスを展開します。

n Intelligent Hub サービスとコンテナモードを使用する場合は VMware Workspace ONE UEM 1810。

n macOS 用 Intelligent Hub サービスを使用する場合は VMware Workspace ONE UEM 1904 以降。

Hub Console とエンドユーザーアクセスでサポートされる Web ブラウザ

n Windows 用 Internet Explorer 11

n Google Chrome 42.0 以降

n Mozilla Firefox (最新版)

VMware, Inc. 7

n Safari 6.2.8 以降

n Microsoft Edge (最新版)

サポートされるデバイスのバージョン

n iOS デバイス 9.0 以降

n Android デバイス 4.4 以降

n Windows 10、バージョン 1709

n macOS 10.12 以降

Workspace ONE UEM および VMware Identity Manager を使用したHub サービスの管理3 つの管理コンソールを使用して Workspace ONE Intelligent Hub エクスペリエンスを管理します。IntelligentHub エクスペリエンスを構成して管理するには、これらのコンソール間の移動が必要になる場合があります。

UEM Console から 3 つのコンソールをすばやく切り替えることができます。UEM Console で、右隅の 3x3 アイコンをクリックしてコンソールを切り替えます。それ以外の場合は、ブラウザに URL アドレスを入力して各コンソールにログインします。

図 1-1. Workspace ONE UEM Console からのコンソールの切り替え

Hub Services Console には、VMware Identity Manager Console の [カタログ] > [Hub の構成] タブ、またはWorkspace ONE UEM Console の [グループと設定] > [構成] > [Intelligent Hub] リンクからアクセスすることもできます。

サービスの構成の詳細については、該当するドキュメントライブラリを参照してください。11 章その他のドキュメントへのアクセスを参照してください。このガイドは、Workspace ONE UEM および VMware Identity Managerの構成と管理の方法について説明するものではありません。


VMware, Inc. 8

表 1-1. 各管理サービスで実行される主要な Intelligent Hub タスク

Workspace ONE UEM VMware Identity Manager Hub サービス

Hub サービスをアクティベーションして Hubサービス機能を有効にします。

2 章 Workspace ONE Hub サービスのアクティベーションを参照してください。

信頼関係を設定するときに構成される内容を確

認するには、VMware Identity ManagerConsole での Workspace ONE の構成の表示を参照してください。

Workspace ONE UEM との信頼関係を構築するように構成された [ID とアクセス管理AirWatch] タブで変更を管理します。

4 章 Workspace ONE 構成の管理を参照してください。

アプリケーションが Hub カタログでどのように表示されるかをカスタマイズし、アプリケーシ

ョンの評価機能を有効にします。評価レポート

を確認します。

Hub カタログビューのカスタマイズを参照してください。

VMware Workspace ONE Intelligent Hubアプリケーションへのシングルサインオンを使用するデバイスのデバイス登録と管理ルールを

設定します。

9 章 VMware Workspace ONE IntelligentHub での MDM 登録についてを参照してください。

デバイスの管理については、Workspace ONEUEM のドキュメントも参照してください。

シングルサインオンに使用する認証方法を構成します。

Workspace ONE での認証方法の適用を参照してください。

[カスタム] タブを有効にして、URL を構成します。

カスタムタブの追加を参照してください。

Hub サービス機能にアクセスする UEM ユーザーアカウントを作成および管理します。

これには、Workspace ONE のローカルベーシックユーザーアカウントの有効化が含まれます。

VMware Identity Manager ディレクトリへのユーザーの同期を参照してください。

リソースへのアクセスを制御するための条件

付きアクセスポリシーを作成します。

カタログ内のアプリケーションへのユーザー

アクセスの管理を参照してください。

小さいデバイスでの仮想アプリケーションの表

示方法を管理します。

小さい画面での仮想アプリケーションの表示を

参照してください。

Hub カタログを有効にします。

Hub サービスに更新する Workspace ONE ユーザーの Hub カタログを有効にするを参照してください。

コンプライアンスチェック機能を有効にして、Workspace ONE UEM のコンプライアンスポリシーを管理対象デバイスが遵守している

か確認します。

Workspace ONE UEM で管理されているデバイスのコンプライアンスチェックの有効化を参照してください。

UEM が VMware Identity Manager と統合されている場合に、People を有効にします。

#unique_18を参照してください。

Identity Manager ドメインを WorkspaceONE UEM の組織グループにマッピングします。

Workspace ONE UEM での複数の組織グループへの VMware Identity Manager ドメインのマッピングを参照してください。

Hub の外観や操作性を構成し、組織のブランドを組み込みます。

Intelligent Hub アプリケーションのブランディングのカスタマイズを参照してください。

通知を無効にします。

Hub 通知サービスの使用を参照してください。


VMware, Inc. 9

https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/1905/UEM_Managing_Devices/GUID-AWT-ENROLLADEVICEWITHAWAGENT.html

Workspace ONE Hub サービスのアクティベーション 2Workspace ONE の Hub サービスコンポーネントは VMware Identity Manager と同じ場所に配置され、Workspace ONE のクラウド展開環境でのみ使用できます。Hub サービスの機能には、堅牢なカタログ、PeopleSearch、通知、カスタムタブを作成するオプションなどがあります。Intelligent Hub アプリケーション内で Hubサービスの機能を有効にするには、Hub サービスをアクティベーションする必要があります。

Hub サービスは、Hub サービス機能のサブセット（UEM アプリケーションのカタログとカスタムタブ）を提供する Workspace ONE UEM だけで動作できます。統合カタログの People や通知などのエンゲージメント機能を備えた完全なワークスペースエクスペリエンスは、VMware Identity Manager を統合している場合に可能になります。


n Hub サービスのアクティベーション方法

n Hub サービスのアクティベーション（既存の UEM ユーザー向け）

n クラウドテナントの要求

n Workspace ONE アプリケーション用に構成されたものとは異なる Hub サービスクラウドインスタンスの使用

Hub サービスのアクティベーション方法Hub サービスのアクティベーションフローは、新規ユーザーであるか既存のユーザーであるかによって異なります。

Workspace ONE の新規ユーザー

2019 年 1 月以降に Workspace ONE を購入した新規のクラウドユーザーは、インスタンスのプロビジョニングプロセスの一環として自動的に Hub サービスがアクティベーションされます。Workspace ONE UEM、VMwareIdentity Manager、および Hub Services Console は相互に接続され、Intelligent Hub アプリケーションでは Hubカタログが有効になります。

クラウド Workspace ONE UEM の既存ユーザー

Workspace ONE UEM の既存ユーザーの場合、VMware Identity Manager クラウドテナントへのリンクを含む Eメールが届いている場合があります。Workspace ONE UEM Console の [グループと設定] > [Intelligent Hub] ページで、クラウドテナント URL、およびテナント管理者ユーザーの名前とパスワードを追加して、Hub サービスをアクティベーションします。Hub サービスのアクティベーション（既存の UEM ユーザー向け）を参照してください。

VMware, Inc. 10

VMware Identity Manager のクラウドテナントがない場合は、Workspace ONE UEM Console の [IntelligentHub] ページから要求できます。クラウドテナントの要求を参照してください。

Hub サービスがアクティベーションされたら、次に、Hub Services Console に移動してカタログビューを構成し、ロゴと企業ブランディングの色を追加し、その他の機能を有効にします。

Hub カタログが有効になっており、正しい認証方法が構成されていることを確認してください。3 章組織の Hub サービスの設定および Hub サービスに更新する Workspace ONE ユーザーの Hub カタログを有効にするを参照してください。

VMware Identity Manager クラウドホスト型の既存および新規ユーザー

クラウドで VMware Identity Manager を使用しているユーザーは、Workspace ONE UEM と統合せずに Web ブラウザで Hub サービス機能を使用できます。その他のセットアップは必要ありません。VMware IdentityManager Console の [カタログ] > [Hub の構成] ページから Hub Services Console に移動して、カタログのレイアウトを構成し、ロゴと企業ブランディングを追加し、その他の機能を有効にします。3 章組織の Hub サービスの設定を参照してください。

Intelligent Hub アプリケーションを使用するには、VMware Identity Manager を Workspace ONE UEM と統合する必要があります。4 章 Workspace ONE 構成の管理を参照してください。

Hub サービスのアクティベーション（既存の UEM ユーザー向け）Hub サービスを使用する既存の Workspace ONE UEM ユーザーは、Hub サービスをアクティベーションするために、VMware Identity Manager クラウドテナントの URL および管理者名とパスワードを入力する必要があります。

クラウドテナントがない場合は、Workspace ONE UEM Console から要求できます。現在、このオプションはクラウド UEM ユーザーのみが使用できます。クラウドテナントの要求を参照してください。

前提条件

テナントにアクセスするための VMware Identity Manager クラウドテナント URL および管理者名とパスワード。クラウドテナントの URL が E メールで送信されたはずです。割り当てられた URL が不明の場合は、サポートチケットを提出できます。

手順

1 Workspace ONE UEM Console の [グループと設定] ページで、[構成] > [Intelligent Hub] を選択し、[開始する] をクリックします。

2 [Hub サービスのアクティブ化] ページで、クラウドテナント URL https://myco.vmware.com を入力しま

す。このテナントにアクセスできる管理者ユーザーの名前とパスワードを入力します。

3 [テスト接続] をクリックして、Workspace ONE UEM と VMware Identity Manager が安全に通信していることを確認します。

接続に失敗した場合は、Intelligent Hub の認証ソースが VMware Identity Manager であることを確認します。

n [構成] > [Intelligent Hub] ページに移動して、[Intelligent Hub] をクリックします。

n [認証ソース] というラベルのセクションまでスクロールし、[構成] をクリックします。


VMware, Inc. 11

n [デバイスとユーザー] > [全般] > [登録] ページで、[Intelligent Hub の認証ソース] までスクロールし、[VMware Identity Manager] が選択されていることを確認します。

n [保存] をクリックします。

n 接続を再テストします。

4 [保存] をクリックします。

Hub サービスがアクティベーションされ、VMware Identity Manager と Workspace ONE UEM がリンクされます。[Intelligent Hub] ページが更新され、Hub サービス URL が表示されます。これで、このページから HubServices Console を起動できるようになりました。

次のステップ

Hub サービスを構成します。[ブランディング] ページで、Hub サービスの機能をカスタマイズし、Intelligent Hubの外観や操作性を構成できます。3 章組織の Hub サービスの設定を参照してください。

クラウドテナントの要求Hub サービスを使用する場合、新しいクラウドテナントを要求できます（持っていない場合）。

手順

1 Workspace ONE UEM Console の [グループと設定] ページで、[構成] > [Intelligent Hub] を選択し、[開始する] をクリックします。

2 [Hub サービスのアクティブ化] ページで、[クラウドテナントのリクエスト] をクリックします。

3 利用規約に同意して、[次へ] をクリックします。

4 [管理者の詳細] ページには、URL、ユーザー名、およびパスワードがあらかじめ入力されています。情報が正しいことを確認して、[次へ] をクリックします。

5 [データセンターの場所を選択] ページで、組織に最も近いデータセンターを選択し、[次へ] をクリックします。

テナント名が自動的に作成されます。特定の名前を要求することはできません。


Hub サービスがアクティベーションされ、VMware Identity Manager と Workspace ONE UEM がリンクされます。[Intelligent Hub] ページが更新され、URL が表示されて、[VMware Identity Manager] ページが更新されます。これで、Intelligent Hub の構成ページから Hub Services Console を起動できるようになりました。

次のステップ

Hub サービスを構成するには、[Hub の構成] ページに戻ります。Hub サービスのアクティベーション（既存の UEMユーザー向け）を参照してください。


VMware, Inc. 12

Workspace ONE アプリケーション用に構成されたものとは異なるHub サービスクラウドインスタンスの使用Hub サービスをアクティベーションするときに、Workspace ONE に使用される VMware Identity Manager クラウドインスタンスとは異なるクラウドインスタンスを使用すると、Workspace ONE の構成設定の一部がIntelligent Hub で動作しません。新しいクラウドインスタンスで Hub サービスをアクティベーションしたら、Workspace ONE UEM Console でいくつかのコンポーネントを再構成する必要があります。

再構成が必要なコンポーネントは次のとおりです。

表 2-1. 再構成する VMware Identity Manager コンポーネント

コンポーネント説明詳細

ディレクトリサービス Active Directory は無効になるようにリセットされます。Active Directory Basic を再度有効にする必要があります。ユーザーマッピングがデフォルト値にリセットされます。マ

ッピングするユーザー属性を再構成する必要

があります。

VMware Identity Manager ディレクトリへのユーザーの同期

ベーシックユーザー同期を使用したディレクトリサービス

以前にローカルベーシックユーザーの同期を構成した場合は、ベーシックユーザーの同期を再度有効にする必要があります。

ローカルのベーシックユーザーアカウントの同期

アクセスポリシーシングルサインオンを管理するアクセスポリシーは使用できなくなりました。デフォルト

のアクセスポリシーを再構成する必要があります。

デフォルトのアクセスポリシーを編集する

Workspace ONE UEM Console での ActiveDirectory Basic、SaaS および仮想アプリケーションのサポート。

UEM Console からは Web アプリケーションと仮想アプリケーションにアクセスできま

せん。デフォルトのアクセスポリシーおよび特定の Web アプリケーション用に作成されたその他のポリシーを再構成する必要があり

ます。

VMware Identity Manager Console で、AirWatch の設定を更新する必要がある場合があります。VMware Identity ManagerConsole の [AirWatch 設定] ページを確認します。

VMware Workspace ONE UEM ドキュメントセンターの『ディレクトリサービス統合』ガイドを参照してください。


VMware, Inc. 13

https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/index.html

組織の Hub サービスの設定 3Hub サービスは従業員に対して、企業のリソース、チーム、およびワークフローにアクセス、検出、接続するための単一のターゲットを提供します。ユーザーは、VMware Workspace ONE Intelligent Hub アプリケーションを使用して、iOS、Android、および macOS デバイスからアプリケーションにアクセスできます。

Hub サービスコンポーネントは VMware Identity Manager と同じ場所にあり、共有サービスについて VMwareIdentity Manager に依存しています。UEM アプリケーションの Hub カタログとカスタムタブは、デバイス上のIntelligent Hub に対して有効にすることができます。

VMware Identity Manager が構成され、Workspace ONE UEM と統合されている場合、People と通知を Hub サービスで有効にすることができます。コネクタのインストールの概要を参照してください。Hub Web ブラウザのエクスペリエンスは VMware Identity Manager が統合されている場合にも使用できます。

注: Intelligent Hub アプリケーションを使用すると、Workspace ONE UEM 展開環境の従来の MDM ユースケースで MDM 登録が容易になります。MDM 設定は、Workspace ONE UEM Console の [デバイスとユーザー] > [<デバイスタイプ> Intelligent Hub 設定] ページから構成します。9 章 VMware Workspace ONE Intelligent Hubでの MDM 登録についてを参照してください。

VMware Workspace ONE Intelligent Hub アプリケーションは iOS、Android、および macOS デバイスにインストールされ、デバイスを登録し、アプリケーションへのユーザーアクセスを管理します。デフォルトでは、IntelligentHub アプリケーションはデバイス管理モードで実行されます。ユーザーが最初に Intelligent Hub アプリケーションを起動するときに、会社の資格情報を入力して自分のデバイスをセルフアクティベーションします。


n VMware Identity Manager を有効にせずに Hub サービスを使用する

n VMware Identity Manager が統合されている場合の Hub サービス

VMware Identity Manager を有効にせずに Hub サービスを使用するクラウドテナントの Hub サービスをアクティベーションすると、Workspace ONE UEM でサポートされているHub サービス機能を構成できます。

Hub サービスでは、Hub カタログのレイアウトをカスタマイズしたり、カタログに表示するカスタムタブを追加したり、アプリケーションブランディングを変更して会社のロゴと色を組み込んだりすることができます。

Workspace ONE UEM サービスは、デバイスの登録、アプリケーションの配布、および公開アプリケーションストアから入手できるモバイルアプリケーションを提供します。

VMware, Inc. 14

図 3-1. Hub サービスを使用した Workspace ONE UEM

Hub サービス

ユーザーディレクトリ

アクセスポリシー

セットアップ Web/仮想アプリケーション

認証方法

Horizon 統合

VMware Workspace ONE UEM

デバイスプロファイル

E メール統合

コンテンツ統合

データ損失の防止

社内ディレクトリ統合

モバイルアプリケーションの

セットアップ

Workspace ONEIntelligent Hub

ユーザーおよびデバイス

VMwareIdentity

Manager

People および通知

カスタムタブ

カタログ

ブランディング

パブリックアプリケーションストア

Hub サービスに更新する Workspace ONE ユーザーの Hub カタログを有効にする

UEM Console で Hub サービスをアクティベーションした後、カタログ設定を構成して、iOS、Android、およびmacOS デバイスの Hub カタログを有効にすることができます。

注: 新しいクラウドテナントユーザーに対しては、Hub カタログが自動的に有効になります。

手順

1 Workspace ONE UEM Console で、[グローバル] > [カスタマーレベルの組織グループ] を選択し、[グループと設定] > [すべての設定] > [アプリケーション] > [Workspace ONE] > [AirWatch Catalog] > [全般] ページに移動します。

2 [公開] をクリックします。現在の設定が [オーバーライド] であることを確認します。[プラットフォーム] セクションで、[Intelligent Hub カタログ (iOS)]、[Intelligent Hub カタログ (Android)]、および [ Intelligent Hubカタログ (macOS)] オプションを有効にして、これらのデバイスに Hub カタログを公開します。

このページでは、その他の変更は必要ありません。

3 （オプション）iOS、Android、および macOS のレガシーカタログを無効にして、AirWatch レガシーカタログをデコミッションします。


VMware, Inc. 15


Hub カタログが有効になります。

次のステップ

[構成] > [Intelligent Hub] ページに移動して、カタログページの表示をカスタマイズし、[プロモーション]、[お気に入り]、[新しいアプリ] などの新しいセクションを追加します。Hub カタログビューのカスタマイズを参照してください。

Hub カタログビューのカスタマイズ

Hub カタログページのレイアウトを調整して、アプリケーションを検索しやすくすることができます。[カテゴリ]や [お気に入り] などのセクションを追加してアプリケーションを整理できます。また、アプリケーションの評価を有効にして、ユーザーがサムアップまたはサムダウンのアイコンをクリックしてアプリケーションを評価できるように

することができます。

次のセクションは、Intelligent Hub アプリケーションのカタログビューまたはユーザーポータルアプリケーションのカタログビューに追加できます。デフォルトのビューには、カタログビューの [お気に入り]、[新しいアプリ]、[推奨]、[カテゴリ] の各セクションが表示されます。これらのセクションは、表示から削除できます。

セクション説明

お気に入りユーザーがアプリケーションをお気に入りとしてマークすると、アプリケーションが [お気に入り] セクションに表示され、アプリケーションを見つけやすくなります。

新しいアプ

リ

[新しいアプリ] セクションには、カタログに追加されたアプリケーションが 30 日間表示されます。アプリケーションの新しいバージョンも、[新しいアプリ] セクションに表示されます。

推奨カタログで推奨として分類した優先アプリケーションが [推奨] セクションに表示されます。

カテゴリリスト

このセクションには、アプリケーションリソースを編成するために作成したすべてのカテゴリの一覧が表示されます。カテゴリは、デフォルトでアルファベット順に表示されます。最も重要なアプリケーションカテゴリをリストの一番上に移動し、これらのカテゴリの順序を選択することができます。

プロモーシ

ョン

ユーザーにプロモートするアプリケーションを表示するには、[プロモーション] セクションを追加します。[プロモーション] セクションは常にカタログページの最上部に表示されます。

カスタム Intelligent Hub アプリケーションまたはユーザーポータルにアプリケーションを表示するカスタムカテゴリのセクションを作成できます。

前提条件

Hub サービスがアクティベーションされ、Hub カタログが有効であること。

手順

1 Hub Services Console の [構成] ページに移動します。

2 [起動] をクリックして、[カスタマイズ] ページに移動します。

3 [アプリケーションカタログ] セクションで、[新しいセクション] をクリックし、表示するセクションを選択します。

4 [お気に入り] の後に [新しいアプリ]、[推奨]、および [カスタムカテゴリ] セクションが表示される順序を変更できます。行をクリックして、別の位置にドラッグします。


VMware, Inc. 16

5 （オプション）[アプリケーション評価] を有効にして、使用するアプリケーションをユーザーが評価できるようにします。

[アプリケーション評価] が有効になっていると、アプリケーションの詳細ページの [ユーザー評価] セクションに、サムアップおよびサムダウンのアイコンが表示されます。


変更を保存した後、ユーザーデバイスでカタログビューが更新されるまでに約 8 時間かかることがあります。新しいレイアウトを表示するには、Intelligent Hub セッションの更新が必要になる場合があります。

カタログビューへの [プロモーション] セクションの追加

Intelligent Hub アプリケーションまたはユーザーポータルのカタログビューの上部に、推奨するアプリケーションを表示するための [プロモーション] セクションを追加できます。

手順



3 [アプリケーションカタログ] セクションで、[新しいセクション] をクリックし、[プロモーション] を選択します。

[プロモーション] は、[アプリケーションカタログ] テーブルの [お気に入り] の前に表示されます。

4 [プロモーション] 行で、[>] をクリックして行を展開します。

a Intelligent Hub アプリケーションまたは Web ブラウザのいずれかのビューにプロモーションを表示するように選択します。デフォルトでは、両方のビューにプロモーションが表示されます。

b アプリケーションをプロモートするか、特定のカタログカテゴリをプロモートするかを選択します。

c [アプリケーション/カテゴリ名] セクションで、プロモートする名前を検索します。

名前を追加できます。


カタログビューに推奨するカテゴリをセクションとして追加

定義したカテゴリに基づいて、アプリケーションカタログビューにカスタムセクションを作成できます。カスタムカテゴリのセクションには、[新規] および [推奨] セクションが表示されるのと同じように、アプリケーションカタログページのアプリケーションが表示されます。

前提条件

アプリケーションカテゴリが、Workspace ONE UEM Console、または VMware Identity Manager と統合されている場合は VMware Identity Manager Console のいずれかに追加されていることを確認します。カテゴリへのアプリケーションのグループ化を参照してください。

手順



VMware, Inc. 17


3 [アプリケーションカタログ] セクションで、[新しいセクション] を選択します。

4 [カスタム] を選択し、[カテゴリを検索] テキストボックスに、推奨するカテゴリ名を入力します。カテゴリが表示されたら、それを選択します。

5 別のカテゴリを追加するには、[新しいセクション > カスタム] を再度選択し、別のカテゴリを選択します。

カテゴリは、[カテゴリリスト] セクションの上のセクションとして表示されます。[お気に入り] セクションの後に、[新規]、[推奨]、および [カテゴリ] セクションが表示される順序を変更できます。行をクリックして、別の位置にドラッグします。


推奨するアプリケーションカテゴリが Workspace ONE UEM Console または VMware Identity ManagerConsole のいずれかから削除されると、そのカテゴリはコンソールのリストおよびアプリケーションカタログのユーザービューから削除されます。

カスタムタブの追加

VMware Workspace ONE Intelligent Hub アプリケーションの画面にカスタムタブを追加して、会社の Web サイトまたはユーザーと共有したい他のリソースにリンクすることができます。

前提条件

Hub サービスがアクティベーションされていること。

注: カスタムタブはブラウザビューには表示されません。

手順



3 [カスタム] を有効にして、カタログページにカスタムタブを追加します。

4 [ラベル] テキストボックスに、タブに表示する名前を入力します。デフォルトのラベルは [ホーム] です。

ベストプラクティスは、6 文字以内のラベルを作成することです。6 文字以内であれば、ほとんどのタイプのデバイスで正しく表示されます。

5 ユーザーがこのタブをクリックしたときに開くページの URL アドレスを入力します。https://company.com と入力します。

6 カスタムラベルをナビゲーションバーの最初に表示するか最後に表示するかを選択します。


カスタムタブの構成を保存した後、ユーザーデバイスにタブが表示されるまでに約 8 時間かかることがあります。タブを表示するには、Intelligent Hub セッションの更新が必要になる場合があります。


VMware, Inc. 18

小さい画面での仮想アプリケーションの表示

小さい画面のデバイスでは、Horizon や Citrix アプリケーションなどの仮想アプリケーションが正しく表示されない場合があります。ユーザーが仮想アプリケーションを使用するときに最高のエクスペリエンスを得られるようにする

ため、画面のサイズが 9 インチより小さいデバイスでは仮想アプリケーションを表示する機能を無効にできます。

手順



3 ページの最後に移動し、[デバイス上の仮想アプリケーションを表示] の選択を解除します。


Intelligent Hub アプリケーションのブランディングのカスタマイズ

Intelligent Hub ビューに表示されるロゴ、文字の色、背景色をカスタマイズできます。

これらのページをカスタマイズしない場合は、VMware によって指定された Hub のロゴと背景色が使用されます。

手順


2 [起動] をクリックして、[ブランディング] ページに移動します。

3 必要に応じて、[ブランディング] ページの設定を編集します。

オプション説明

組織名 Web ブラウザのタブに表示されるタイトルとして使用する組織名を入力します。デフォルトは VMware です。

製品名 Web ブラウザのタブで、組織名の後に表示されるテキストを入力します。デフォルトはIntelligent Hub です。

会社のロゴログイン画面に表示される現在の Intelligent Hub ロゴを置き換えるには、[アップロード] をクリックします。

ロゴイメージの最大サイズは 200 × 80 ピクセルです。有効なフォーマットは JPEG、PNG または GIF です。

お気に入りアイコンお気に入りアイコンは、ブラウザのタブに表示される、URL に関連付けられるアイコンです。お気に入りアイコンの最大サイズは 16 × 16 ピクセルです。有効なフォーマットは JPEG、PNG または GIF です。[アップロード] をクリックし、新しいイメージをアップロードして現在のお気に入りアイコンを置き換えます。

ナビゲーションバー [背景色]。デフォルトは白 (#FFFFFF) です。既存の色コードの上に 6 桁の 16 進数の色コードを入力して、ナビゲーションバーの背景色を変更します。

[タイプとアイコンの色]。背景色に応じて、テキストの色に [黒] または [白] のいずれかを選択します。


VMware, Inc. 19


本文/コンテンツ [対話型の色（濃淡）]。デフォルトは #1393C7 です。既存の色コードの上に 6 桁の 16 進数の色コードを入力して、アプリケーションのアイコンの周囲に表示される色を変更します。

さらにオプションを編集するには、[高度なコンテンツのブランディングオプション] を有効にします。

[背景色]。デフォルトは白 (#FFFFFF) です。既存の色コードの上に 6 桁の 16 進数の色コードを入力して、画面の本文の背景色を変更します。

[タイプとアイコンの色]。背景色に応じて、テキストの色に [黒] または [白] のいずれかを選択します。

タブバー（モバイル） [タイプとアイコンの色]。Hub アプリケーションのテキストとアイコンの色を表示するには、[デフォルトのブランディングを使用] を選択します。ナビゲーションバーに選択されたタイプとアイコンの色を使用するには、[ナビゲーションバーと同じ] を選択します。


ユーザーデバイスに変更が表示されるまで約 8 時間かかることがあります。変更を表示するには、Intelligent Hubセッションの更新が必要になる場合があります。

VMware Identity Manager が統合されている場合の Hub サービスVMware Identity Manager が Workspace ONE UEM と統合されている場合、追加の Hub 機能、People、および通知を使用してユーザーのために完全なデジタルワークスペースエクスペリエンスを作成できます。

また、VMware Identity Manager が統合されている場合、アプリケーションリソースにシングルサインオンするユーザーの認証を含む ID 関連のコンポーネントを使用できます。ネットワークとこれらのリソースへのアクセスを制御するための認証に関連する一連のポリシーを作成します。


VMware, Inc. 20

図 3-2. Intelligent Hub サービスと VMware Identity Manager を備えた Workspace ONE

VMware Workspace ONE UEM

デバイスプロファイル

E メール統合

コンテンツ統合

データ損失の防止

社内ディレクトリ統合

モバイルアプリケーションの

セットアップ

Workspace ONEIntelligent Hub

パブリックアプリケーションストア

SaaS ベースのアプリケーション

ユーザーおよびデバイス

人員

[カスタム] タブ

カタログ

通知

ブランディング

Hub サービス

ユーザーディレクトリ

アクセスポリシー

セットアップ Web/仮想アプリケーション

認証方法

Horizon 統合

VMwareIdentityManager

Workspace ONE UEM と VMware Identity Manager が統合されている場合のHub サービスの使用

Workspace ONE UEM と VMware Identity Manager を統合すると、MDM に登録されたデバイスのユーザーは、複数のパスワードを入力することなく、Intelligent Hub アプリケーションにログインして自分のリソースに安全にアクセスできます。

VMware Identity Manager Connector コンポーネントをインストールして構成し、会社の Active Directory を統合します。Workspace ONE UEM Console で、Hub の認証ソースを VMware Identity Manager に設定します。VMware Identity Manager ディレクトリへのユーザーの同期を参照してください。

VMware Identity Manager を統合すると、追加の Hub サービス機能を構成できます。

n People。VMware Identity Manager Console で People 機能を有効にして構成している場合、ユーザーは自分のデバイスから組織図を表示したり、同僚を直接検索して連絡をとることができます。Hub サービスでPeople にアクセスできるようにするには、People 機能を VMware Identity Manager Console で有効にして構成する必要があります。#unique_18を参照してください。


VMware, Inc. 21

n Notifications。通知機能は、デフォルトで有効になっています。プッシュ通知を含む、各種通知を作成できます。利用可能な新しいアプリケーションに関する通知は自動的にユーザーに送信されます。ユーザーはデバイス

とブラウザビューに通知を表示し、通知を開いて通知ページで直接アクションを実行できます。Hub 通知サービスの使用を参照してください。

さらに、Hub カタログを拡張して、VMware Horizon、VMware Horizon Cloud Service、Citrix 公開アプリケーションなどの仮想アプリケーション、および VMware Identity Manager カタログで構成されたその他の SaaS アプリケーションを含めることができます。

Intelligent Hub Web ブラウザエクスペリエンスの有効化

既存のクラウドテナント Workspace ONE UEM のユーザーや VMware Identity Manager のユーザーが Hub サービスに移動するには、Hub サービスで Web ブラウザエクスペリエンスを有効にする必要があります。

カタログの Web ブラウザビューには、Intelligent Hub アプリケーションで表示されるのと同じアプリケーションのビューがあります。[新しいアプリ]、[お気に入り]、および [プロモーション] ビューが表示されます。People および通知サービスが有効になっている場合、これらの機能は Web ブラウザビューで使用できます。

注: VMware Identity Manager の [ID とアクセス管理] > [カスタムブランディング] ページで設定したカタログページのカスタマイズされたブランディングは、Hub Web ブラウザのページでは使用されません。Hub サービスの[ブランディング] ページから Hub Web ブラウザのビューをカスタマイズできます。Intelligent Hub アプリケーションのブランディングのカスタマイズを参照してください。

手順

1 Hub サービスの [構成] ページに移動して、[起動] をクリックします。

2 [カスタマイズ] をクリックします。

3 [Hub ブラウザエクスペリエンス] を有効にします。


Intelligent Hub アプリケーションの People サービスの有効化

VMware Identity Manager Console で People Search を有効にした後、Hub サービスで Workspace ONEPeople を有効にできます。

前提条件

シングルサインオンおよび ID 管理のための Workspace ONE UEM サービスと VMware Identity Manager サービスが統合されていること。

People Search が有効で、VMware Identity Manager Console で構成されていること。

手順

1 Hub Services Console の [構成] ページに移動して、[起動] をクリックします。

2 [カスタマイズ] ページで、[People] サービスを有効にします。



VMware, Inc. 22

[ユーザー] タブが、Intelligent Hub アプリケーション、ブラウザのユーザーポータルビュー、およびデスクトップビューに追加されます。組織のユーザーは、同僚を検索したり、ユーザーの詳細および組織図を表示したりできます。

Object Missing

This object is not available in the repository.

Hub 通知サービスの使用

Intelligent Hub アプリケーションでは、通知設定はデフォルトで有効になっています。従業員は、ブラウザの Hubポータルおよびデバイスの Intelligent Hub アプリケーションで、プッシュ通知を含む実行可能なリアルタイムメッセージを受信できます。

通知ではユーザー認証が VMware Identity Manager に依存しているため、この機能を使用するには VMwareIdentity Manager を Hub サービスと完全に統合する必要があります。

通知は、開いているアプリケーションページの外側に表示されるメッセージで、常にタイムリーで重要な情報をユーザーに提供しています。次のタイプの通知を作成できます。

通知のタイプ説明

「新しいアプリが使用可

能」通知

使用を許可された新しいアプリケーションについてユーザーに通知するための「新しいアプリ」の通知は、WorkspaceONE Intelligent Hub アプリケーションでそのまま使用できます。

新しいアプリケーションが使用可能であることを知らせる通知メッセージが自動的に生成されます。新しいアプリケー

ションに関するメッセージが 24 時間ごとに生成され、最近追加されたアプリケーションをユーザーに通知します。ユーザーは新しいアプリケーションを選択して、通知メッセージから自分のデバイスに保存することができます。

*新しいアプリケーションの通知メッセージは変更できません。

API を使用して作成されたカスタム通知

カスタム通知は、Workspace ONE の通知 API を使用して作成されます。管理者は、API を使用してカスタム通知を作成し、ユーザーに送信することができます。

作成できるカスタム通知の例を示します。

n リマインダ。行動喚起あり、またはなしでリマインダを通知します。たとえば、ユーザーに福利厚生への登録やパス

ワードの変更を知らせる通知を作成できます。

n アラート。自然災害警告、悪天候情報の更新、システムのダウンタイム、またはその他の緊急メッセージなどの緊急

アラートを生成します。

n アンケート。特定のトピックに関するフィードバックを収集する通知を生成します。

通知を作成する場合、それを優先する通知としてマークすることができます。このタイプの通知は通知リストの一番上に

表示され、優先する通知に既読のマークが付けられるか実行されるまで通知の数は減りません。

通知 API では次の 3 つのアクション通知を使用できます：“action_key”:”OPEN_IN”、“action_key”:”DIRECT”、および“action_key”:”USER_INPUT”。それぞれのアクション通知のタイプについては、「API を使用して作成できるアクション通知のタイプ」を参照してください。

使用可能な API の詳細については、Workspace ONE 通知サービス API ページ (https://code.vmware.com/apis/402#/Notifications) に移動してください。『通知サービスリファレンスガイド』は、[ドキュメント] タブから入手できます。

Workspace ONEMobile Flows を介した通知

Workspace ONE ® Mobile Flows サービスが Workspace ONE UEM 環境で構成されている場合、Hub サービスとのmobile flows 統合を有効にして、Mobile Flows で構成されているビジネスアプリケーションから通知を受け取ることができます。

通知のタイトルとメッセージの内容を表示するプッシュ通知を送信できます。デフォルトでは、タイトルとメッセー

ジが表示されます。Hub Services Console の [通知] ページで [プッシュ通知に説明を表示する] をオフにして、通知が開く前にメッセージの説明が表示されないようにすることができます。


VMware, Inc. 23

https://code.vmware.com/apis/402#/Notifications


ユーザーはデバイスとブラウザビューに通知を表示し、通知を開いて通知ページで直接アクションを実行できます。

注: Workspace ONE UEM Console のプッシュ通知は、Hub の通知サービス経由でルーティングされず、[Intelligent Hub 通知] ページに表示されません。このタイプの通知は、Hub アプリケーションの [ユーザーアカウント] > [このデバイス] > [メッセージ] ページに表示されます。

API を使用して作成できるアクション通知のタイプ

通知 API の呼び出しでは次の 3 つのアクション通知を使用できます：

これらのアクション通知のコードの例を確認するには、Workspace ONE 通知サービス API ページ (https://code.vmware.com/apis/402#/Notifications) のドキュメントタブに移動してください。

n “action_key”:”OPEN_IN”API 呼び出しを行い、システムのデフォルトのブラウザで特定の URL を開きます。たとえば、パスワードの変更アクションをパスワード変更の URL へのリンクとともに含んでいる、パスワードの変更通知を作成します。

n “action_key”:”DIRECT”HTTP メソッドとして、「type」値を持つ特定の URL に対する API 呼び出しを行い、「request」値には API 呼び出しの実行時にペイロードとして送信されるハードコーディングされたフィールドが含まれます。たとえば、[はい] または [いいえ] の回答が必要なアンケートの質問を作成します。ユーザーがクリックして質問に回答すると、応答として [はい] または [いいえ] がリストされた URL に送信されます。

n “action_key”:”USER_INPUT”ペイロードで送信される入力をユーザーが入力する HTTP メソッドとして、「type」値を持つ特定の URL に対する API 呼び出しを行います。たとえば、要求を拒否するときに受信者がコメントを追加することが必要となる、Accept/Deny 通知を作成します。この応答は、指定された URL への API 呼び出しのペイロードとして送信されます。

DIRECT または USER_INPUT をアクションタイプとして使用する場合は、使用する URL にアクセスするための認証が必要でないことを確認してください。認証トークンが必要である場合、API 呼び出しは失敗します。使用する APIコードの例については、通知サービス API のドキュメントを参照してください。

Hub サービスで Workspace ONE Mobile Flows 通知を有効にする

Workspace ONE Mobile Flows サービスは、Salesforce などの他のビジネスアプリケーションからの通知ワークフローを処理し、Workspace ONE Mobile Flows ーに統合されたアプリケーションに配信します。Intelligent Hub内の Mobile Flows が構成されたビジネスシステムからの通知を表示するには、Hub Console で Mobile Flows を有効にする必要があります。

Mobile Flows サービスが Hub サービスに統合されると、ユーザーは Hub ポータルと自分のデバイスの IntelligentHub アプリケーションで通知を受け取ります。ユーザーはポータルまたはアプリケーション内から直接アクションを実行できます。通知に応答するために別のビジネスアプリケーションに移動する必要はありません。

前提条件

n Workspace ONE UEM でプロビジョニングされた Mobile Flows サーバ。『Workspace ONE Mobile Flows 』ガイドを参照してください。

n ビジネスアプリケーションへの Mobile Flows コネクタが構成されていること。Mobile Flows 用の OOTB(Out Of The Box) コネクタの構成を参照してください。

n Hub Console で Hub ブラウザエクスペリエンスが有効になっていること。


VMware, Inc. 24



https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/1904/WS1_mobile_flows/GUID-0BF9B21C-3B45-4C6F-97E3-56B666A51F97.html

n Hub Console で通知が有効になっていること。

手順

1 Hub Services Console に移動します。

2 [通知] をクリックします。

3 [Mobile Flows を有効にする] を選択します。


Mobile Flows ホストの URL が [Hub サービスのシステム設定] ページに追加されます。[設定] ページで、MobileFlows の URL を表示および更新できます。

ユーザーは、Mobile Flows を通じて、構成されたビジネスシステムから Intelligent Hub で通知を受け取ることができます。構成されたビジネスシステムから通知を受け取るために、ユーザー設定は自動的に有効になります。Intelligent Hub アプリケーションのユーザーの [アカウント] > [デバイス] > [基本設定] 画面で、サブスクライブしているビジネスシステムからの通知の受け取りを無効にできます。

注: n Mobile Flows の統合は、一度有効にすると無効にできません。統合を削除し、Mobile Flows を介して通知を受け取らないようにするには、UEM Console で [コンテンツ] > [Mobile Flows] > [マイフロー] に移動し、Intelligent Hub 用に構成されたコネクタを削除または無効にします。

Mobile Flows 用の OOTB (Out Of The Box) コネクタの構成

Hub サービスで Mobile Flows サービスを使用するには、承認ワークフローをサポートする各ビジネスアプリケーション用に Mobile Flows の OOTB (Out Of The Box) コネクタコンポーネントを構成する必要があります。コネクタは、ビジネスシステムからユーザー固有の情報を取得するために使用されます。OOTB (Out Of The Box) コネクタは、事前に構成された情報を持つコネクタテンプレートで、モバイルアプリケーションのワークフローに直接追加できます。

コネクタは、ビジネスシステムからユーザー固有の情報を取得し、Hub ポータルとデバイス上の Intelligent Hubアプリケーションに応答を返します。次の OOTB コネクタを使用できます。

n Salesforce の割引申請の承認

n ServiceNow の請求申請の承認

n Concur の経費申請の承認

n Coupa の請求申請の承認

前提条件

Intelligent Hub OOTB コネクタを使用するための Workspace ONE UEM Console バージョン 1905 以降。Mobile Flows の詳細については、『Workspace ONE Mobile Flows 』ドキュメントを参照してください。

Hub ブラウザを有効にする必要があります。Hub ブラウザ設定が有効になっていない場合は、[カタログ] > [Hub の構成] > [カスタマイズ] ページに移動して Hub ブラウザを有効にします。


VMware, Inc. 25

https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/1904/WS1_mobile_flows/GUID-0BF9B21C-3B45-4C6F-97E3-56B666A51F97.html

手順

1 Workspace ONE UEM Console で、[コンテンツ > Mobile Flows > カタログ] に移動します。

2 構成する OOTB コネクタで [追加] をクリックします。

3 表示されるページで、次の情報を入力します。


ベース URL 構成する SaaS アプリケーション/ビジネスシステムの公開 URL を入力します。

認証タイプユーザー認証タイプを選択します。選択した認証タイプに応じて、対応する構成を定義する必

要があります。


コネクタが [Mobile Flows] ページの [マイフロー] タブに追加されます。Mobile Flows コネクタに対する変更が Hub Services Console に反映されるまで、最大で 15 分かかる場合があります。


VMware, Inc. 26

Workspace ONE 構成の管理 4ユーザーのシングルサインオンと ID 管理のために VMware Identity Manager サービスを使用するデバイスでWorkspace ONE UEM モバイル管理サービスを設定するには、それらのサービスを統合する必要があります。


n Workspace ONE UEM Console からの統合の構成の管理

n VMware Identity Manager Console での Workspace ONE の構成の表示

n 自動検出用のメールドメインの登録

Workspace ONE UEM Console からの統合の構成の管理Workspace ONE UEM サービスと VMware Identity Manager サービスを統合する場合、次の設定が WorkspaceONE UEM Console で自動的に構成され、2 つのサービス間で信頼関係が確立されます。

この構成は、[グローバル] > [カスタマーレベルの組織グループ] レベルから設定されます。

表 4-1. VMware Identity Manager が Workspace ONE UEM と統合されている場合に構成されるコンポーネント。

構成されるコンポーネント説明 [Admin Console の設定] ページ

REST API 管理者キー REST 管理者 API と登録ユーザーのアクセスが有効になります。API キーが生成され、サービス間で通信するために

VMware Identity Manager サービスと共有されます。

UEM Console > [グループと設定] > [すべての設定] > [システム] > [詳細] > [API] > [Rest API]

UEM 管理者ルート証明書のエクスポート

管理者 API キーが作成されると、管理者アカウントが追加され、UEMConsole で証明書認証が設定されます。REST API 証明書ベースの認証では、UEM Console でユーザーレベルの証明書が生成されます。使用する証

明書は、Workspace ONE UEM 管理者ルート証明書から生成された自己署名

Workspace ONE UEM 証明書です。

REST API 呼び出しに使用される UEMp12 証明書がエクスポートされます。

UEM Console > [アカウント] > [管理者] > [リスト表示]

VMware, Inc. 27

VMware Identity Manager Console での Workspace ONE の構成の表示

Workspace ONE UEM Console で設定を構成すると、設定は自動的に VMware Identity Manager サービスの [IDとアクセス管理] > [セットアップ] > [AirWatch] ページに入力されます。サービス間で信頼関係が設定されます。

カタログが有効になり、VMware Identity Manager カタログと Workspace ONE UEM カタログの両方からアプリケーションを取得できます。カタログには、VMware Identity Manager Console で構成された Web アプリケーションと仮想アプリケーション、および UEM Console で構成されたネイティブのアプリケーションと Web リンクが表示されます。

図 4-1. VMware Identity Manager Console に追加された Workspace ONE の構成

VMware Identity Manager Console で AirWatch 構成を直接変更しないでください。[AirWatch 構成] セクションの変更は、Workspace ONE UEM Console で行います。変更を UEM Console に保存すると、AirWatch 構成が更新されます。


VMware, Inc. 28

自動検出用のメールドメインの登録エンドユーザーが Workspace ONE アプリケーションを介してアプリケーションポータルに簡単にアクセスできるように、自動検出サービスにメールドメインを登録できます。エンドユーザーは、組織の URL の代わりにメールアドレスを入力します。

組織のメールドメインが自動検出に登録されている場合、エンドユーザーはログインページにメールアドレスだけを入力してアプリケーションポータルにアクセスできます。たとえば、[email protected] と入力します。

自動検出を使用しない場合、エンドユーザーは初めて Workspace One アプリケーションを開くときに、完全な組織 URL を指定する必要があります。たとえば、myco.vmwareidentity.com と入力します。

VMware Identity Manager での自動検出の設定

ドメインを登録するには、VMware Identity Manager コンソールの [自動検出] ページでメールドメインとメールアドレスを入力します。

アクティベーショントークンが記載されたメールメッセージがドメインのメールアドレスに送信されます。ドメインの登録を有効にするには、[自動検出] ページでトークンを入力し、登録したドメインが自分のドメインであることを確認します。

手順

1 VMware Identity Manager コンソールの [ID とアクセス管理] タブで、[セットアップ] - [自動検出] の順にクリックします。

2 [メールドメイン] テキストボックスに、登録する組織のメールドメインを入力します。

3 [メールアドレスの確認] テキストボックスに、そのメールドメインの、検証トークンを受信するメールアドレスを入力します。

4 [OK] をクリックします。

このメールドメインの登録ステータスが [保留] とマークされます。保留中のメールドメインは一度に 1 つしか追加することができません。

5 E メールに移動し、メッセージに記載されているアクティベーショントークンをコピーします。

6 [ID とアクセス管理] - [自動検出] ページに戻り、[アクティベーショントークン] テキストボックスにトークンを貼り付けます。

7 [検証] をクリックしてドメインを登録します。

メールドメインが登録され、[自動検出] ページの登録済みのメールドメインのリストに追加されます。

これで、エンドユーザーは Intelligent Hub アプリケーションでメールアドレスを入力してアプリケーションポータルにアクセスできるようになりました。

次のステップ

複数のメールドメインがある場合、別のメールドメインを追加して登録します。


VMware, Inc. 29

シングルサインオン認証のためのVMware Identity Manager の構成の概要 5VMware Identity Manager でシングルサインオン認証を構成するには、次のタスクを完了する必要があります。

n ディレクトリ統合、ユーザー認証、および Horizon 7 などのリソースとの統合を提供するため、VMware IdentityManager Connector for Windows をインストールして構成します。

n ディレクトリを作成し、ユーザーとグループを Workspace ONE UEM サービスから VMware IdentityManager サービスに同期します。

n デバイスのシングルサインオンに使用する認証方法を有効にして構成します。

n コンプライアンスチェックを有効にして、管理対象デバイスが Workspace ONE UEM のコンプライアンスポリシーを遵守しているか確認します。

n コンプライアンスチェックルールを含める条件付きアクセスポリシーを設定し、ユーザーのリソースへのアクセスを管理します。

n VMware Identity Manager ドメインを Workspace ONE UEM の複数の組織グループにマッピングします。マルチテナント用に構成された Workspace ONE UEM 環境で、デバイス組織グループ ID と API キーを入力し、複数の組織グループをドメインにマッピングします。

これらのタスクを実行する方法については、VMware Identity Manager ドキュメントのトップページで「VMwareIdentity Manager Cloud Documentation」セクションを参照してください。


n コネクタのインストールの概要

n VMware Identity Manager ディレクトリへのユーザーの同期

n Workspace ONE UEM での複数の組織グループへの VMware Identity Manager ドメインのマッピング

n Workspace ONE での認証方法の適用

コネクタのインストールの概要

VMware Identity Manager Connector は、ディレクトリ統合、ユーザー認証、および Horizon 7 などのリソースとの統合を提供する VMware Identity Manager のオンプレミスコンポーネントです。

コネクタのインストールには、いくつかのタスクが含まれます。

n VMware Identity Manager コンソールでアクティベーションコードを生成します。アクティベーションコードは、VMware Identity Manager サービスとコネクタインスタンス間の通信を確立するために使用されます。

VMware, Inc. 30

https://docs.vmware.com/jp/VMware-Identity-Manager/index.html

n すべての要件を満たす Windows サーバ上で VMware Identity Manager Connector インストーラをダウンロードして実行します。

n コネクタセットアップウィザードを実行してコネクタをアクティベーションし、管理者パスワードを設定して、エンタープライズディレクトリと統合します。

Windows 用の最新の VMware Identity Manager Connector インストーラは、my.vmware.com またはmy.workspaceone.com のポータルからダウンロードできます。

コネクタをインストールして構成するには、VMware Workspace ONE ドキュメントセンターで、最新版の『VMware Identity Manager Connector (Windows) のインストールと構成』ドキュメントを参照してください。

VMware Identity Manager ディレクトリへのユーザーの同期VMware Identity Manager および Workspace ONE UEM サービスが統合されると、UEM Console から VMwareIdentity Manager Console に UEM ユーザーアカウントが同期され、再認証を必要とせずに、Workspace ONEUEM ユーザーによる Intelligent Hub アプリケーションとそのアプリケーションリソースへのシングルサインオンアクセスが可能になります。

Workspace ONE UEM Console では、Active Directory ベースのアカウントアクセスをユーザーアカウントに対して設定するか、またはディレクトリサービスに統合されていないベーシックユーザーアカウントを作成することができます。VMware Identity Manager サービスと統合する場合は、VMware Identity Manager サービスと同期するユーザーアカウントのタイプを選択します。

VMware Identity Manager Console で、ディレクトリを作成し、接続の詳細を指定します。これには、次のタスクが含まれます。

n 必要なユーザー属性を選択し、それらの属性をエンタープライズディレクトリで使用される属性にマッピングします。

n 同期するユーザーとグループを指定します。

n ユーザーとグループをディレクトリと同期します。

VMware Identity Manager サービスでディレクトリを構成する方法の詳細については、『VMware IdentityManager とのディレクトリ統合』ドキュメントを参照してください。

また、Okta や Ping などのサードパーティの ID プロバイダを使用して、Intelligent Hub アプリケーションへのシングルサインオン認証を提供することもできます。詳細については、アプリケーションソースとしてのサードパーティの ID プロバイダを参照してください。

ディレクトリサービスからのユーザーアカウントの同期

ディレクトリベースのアカウントアクセスは、組織の既存のディレクトリサービスが Workspace ONE UEM と統合されている場合に使用されます。ディレクトリベースのユーザーは、VMware Identity Manager ディレクトリと同期されます。

Workspace ONE UEM と VMware Identity Manager 間のディレクトリ情報の同期は、Workspace ONE UEM ディレクトリ同期と同じスケジュールで実行されます。また、管理者が手動でユーザーを追加するか、一括インポート

でユーザーを追加すると、ユーザーは VMware Identity Manager サービスとすぐに同期されます。


VMware, Inc. 31

https://my.vmware.com/web/vmware/info/slug/desktop_end_user_computing/vmware_identity_manager/3_3

https://resources.workspaceone.com/view/9ztc7qc6kfznc64s5qrb/en

https://docs.vmware.com/jp/VMware-Workspace-ONE/index.html

https://docs.vmware.com/jp/VMware-Identity-Manager/services/vidm-dir-integration/GUID-93EF41B0-9BB9-4BDB-A606-D65145EC6228.html

https://docs.vmware.com/jp/VMware-Identity-Manager/services/vidm-dir-integration/GUID-93EF41B0-9BB9-4BDB-A606-D65145EC6228.html

https://docs-staging.vmware.com/en/VMware-Workspace-ONE-UEM/1902/Application_Management/GUID-AWT-SAAS-SETTINGS-APPLICATIONSOURCES.html

https://docs-staging.vmware.com/en/VMware-Workspace-ONE-UEM/1902/Application_Management/GUID-AWT-SAAS-SETTINGS-APPLICATIONSOURCES.html

ユーザー属性マッピングの管理

Workspace ONE UEM ディレクトリと VMware Identity Manager ディレクトリ間のユーザー属性マッピングを構成できます。

VMware Identity Manager, の [ID とアクセス管理] タブの [ユーザー属性] ページには、Workspace ONE UEM ディレクトリ属性にマッピングされるデフォルトのディレクトリ属性が一覧表示されます。必須の属性には、アスタリ

スクが付けられています。プロファイルで必須の属性が指定されていないユーザーは、VMware Identity Managerサービスで同期されません。

表 5-1. デフォルトの Workspace ONE UEM ディレクトリ属性のマッピング

VMware Identity Manager ユーザー属性名 Workspace ONE UEM ユーザー属性へのデフォルトのマッピング

userPrincipalName userPrincipalName

distinguishedName distinguishedName

employeeID employeeID

ドメインドメイン

disabled (external user disabled) disabled

phone telephoneNumber

lastName lastname*

firstName firstname*

email Email*

userName username*

Workspace ONE UEM ディレクトリから VMware Identity Manager ディレクトリへのユーザーとグループの同期

Workspace ONE UEM Console で VMware Identity Manager を設定し、Workspace ONE UEM ディレクトリの組織グループインスタンスと VMware Identity Manager 間の接続を確立します。この接続は、VMware IdentityManager サービスで作成されたディレクトリにユーザーとグループを同期するために使用されます。

ユーザーとグループは、最初に手動で VMware Identity Manager ディレクトリに同期されます。Workspace ONEUEM 同期スケジュールは、ユーザーとグループを VMware Identity Manager ディレクトリといつ同期させるかを決定します。

ユーザーまたはグループが Workspace ONE UEM サーバで追加または削除されると、変更はすぐに VMwareIdentity Manager サービスに反映されます。

前提条件

n VMware Identity Manager のローカル管理者名とパスワード。

n Workspace ONE UEM ディレクトリからマッピングする属性値を特定します。ユーザー属性マッピングの管理を参照してください。


VMware, Inc. 32

手順

1 Workspace ONE UEM Console で、[グループと設定] > [すべての設定] ページの [グローバル] > [カスタマレベルの組織グループ] を選択して、[システム] - [エンタープライズ統合] > [VMware Identity Manager] の順に移動します。

2 [サーバ] セクションで [構成] をクリックします。

注: [構成] ボタンは、同じ組織グループにディレクトリサービスも構成されている場合にのみ使用できます。[構成] ボタンが表示されない場合は、正しい組織グループを選択していません。組織グループは、[グローバル]ドロップダウンメニューで変更できます。

3 VMware Identity Manager 設定を入力します。


URL テナント VMware URL を入力します。たとえば、https://myco.identitymanager.com と

なります。

管理者ユーザー名 VMware Identity Manager のローカル管理者ユーザー名を入力します。

管理者パスワード VMware Identity Manager のローカル管理者ユーザーのパスワードを入力します。

4 [次へ] をクリックします。

5 カスタムマッピングを有効にして、Workspace ONE UEM から VMware Identity Manager サービスへのユーザー属性マッピングを構成します。

6 [接続をテスト] をクリックして、設定が正しいことを検証します。

7 [今すぐ同期] をクリックして、すべてのユーザーとグループを VMware Identity Manager サービスに手動で同期します。

注: システム負荷の制御のため、手動同期は前回の同期から 4 時間経過しないと実行できません。

VMware Identity Manager サービスにディレクトリが作成され、Workspace ONE UEM ユーザーとグループがVMware Identity Manager のディレクトリに同期されます。

次のステップ

VMware Identity Manager Console の [ユーザーとグループ] タブで、ユーザーとグループの名前が同期されていることを確認します。

ローカルのベーシックユーザーアカウントの同期

Intelligent Hub アプリケーションへのシングルサインオンを使用するベーシックユーザーアカウントタイプを設定するには、UEM Console で組織グループに対してローカルベーシックユーザー機能を有効にします。

この機能を有効にすると、VMware Identity Manager サービスへの最初の同期で、VMware Identity Manager サービスに [その他] タイプのディレクトリが作成されます。

ディレクトリ名は UEMLocalDirectory_{groupid} です。選択した UEM 組織グループのすべてのベーシック

ユーザーがそのディレクトリに追加されます。UEM Console でベーシックユーザーアカウントを追加、変更、または削除すると、変更はただちに VMware Identity Manager の UEMLocalDirectory と同期されます。


VMware, Inc. 33

ローカルユーザーを VMware Identity Manager ローカル UEM ディレクトリに追加するためのベーシックユーザー同期の有効化

ベーシックユーザーアカウントを VMware Identity Manager サービスに同期します。ベーシックアカウントが同期されると、ユーザーは、アプリケーションリソースへのシングルサインオンアクセスに Intelligent Hub アプリケーションを使用できます。

手順

1 Workspace ONE UEM Console で、[グループと設定] > [すべての設定] ページの [グローバル] > [カスタマーレベルの組織グループ] を選択して、[システム] - [エンタープライズ統合] > [VMware Identity Manager] の順に移動します。

2 [構成] をクリックします。

[VMware Identity Manager] ページが開き、[サーバ] セクションにテナントの URL と管理者名が表示されます。

3 [ベーシックユーザーの同期] で [有効] を選択します。

4 表示される [属性をマップ] セクションで、VMware Identity Manager ローカル UEM ディレクトリと同期するベーシックユーザー属性を選択します。


VMware Identity Manager サービスで UEMLocalDirectory_{your-groupid} という名前のディレクトリが作成され、ベーシックユーザーがディレクトリと同期されます。

注: VMware Identity Manager サービスとの同期が何らかの理由で失敗した場合は、[今すぐ同期] をクリックして同期を再度開始します。

次のステップ

VMware Identity Manager Console の [ユーザーとグループ] タブで、すべてのベーシックユーザーが同期されていることを確認します。

Workspace ONE UEM での複数の組織グループへの VMwareIdentity Manager ドメインのマッピングWorkspace ONE UEM でユーザーおよびデバイスを設定するときに、Workspace ONE UEM は組織グループ (OG)を使用し、ユーザーを編成してグループ化し、権限を確立します。Workspace ONE UEM が VMware IdentityManager と連携すると、管理および登録ユーザーの REST API キーは、[カスタマ] タイプの Workspace ONE UEM組織グループでのみ構成できます。

マルチテナント用に構成された Workspace ONE UEM の環境では、ユーザーおよびデバイス用に多くの組織グループが作成されます。デバイスが組織グループに登録できるようになります。組織グループは、マルチテナント環境の

固有の構成で設定できます。たとえば地域別、部門別、使用事例別の組織グループです。


VMware, Inc. 34

VMware Identity Manager で構成したドメインを Workspace ONE UEM の特定の組織グループにリンクすると、Intelligent Hub を介してデバイス登録を管理できます。ユーザーが Intelligent Hub アプリケーションにログインすると、VMware Identity Manager 内でデバイス登録のイベントがトリガされます。デバイスの登録中、ユーザーおよびデバイスの組み合わせに資格が付与された任意のアプリケーションを取得するための要求が WorkspaceONE UEM に送信されます。

デバイス組織グループは、Workspace ONE UEM が VMware Identity Manager と統合されるときに特定される必要があります。そうすることで、Identity Manager がユーザーを見つけ、適切な組織グループにデバイスを正常に登録できるようになります。

VMware Identity Manager サービスで Workspace ONE UEM を設定するときは、ドメインに複数の OG をマッピングするために、デバイスの組織グループ ID および API キーを入力できます。ユーザーが自分のデバイスからIntelligent Hub にログインすると、ユーザーのレコードが検証され、そのデバイスが Workspace ONE UEM の適切な組織グループに登録されます。

複数の組織グループを構成する方法の詳細については、複数の Workspace ONE UEM 組織グループを設定するための展開戦略を参照してください。

注: Workspace ONE UEM が VMware Identity Manager に統合され、複数の Workspace ONE UEM 組織グループが構成されている場合、[Active Directory グローバルカタログ] オプションを VMware Identity Manager サービスで使用するように構成することはできません。

VMware Identity Manager ドメインへの Workspace ONE UEM の組織グループのマッピング

VMware Identity Manager サービスで構成されたドメインを Workspace ONE UEM の特定の組織グループにリンクすると、Workspace ONE UEM を介してデバイス登録を管理できます。

ドメインの組織グループを構成するためのさまざまな戦略については、複数の Workspace ONE UEM 組織グループを設定するための展開戦略を参照してください。

手順

1 VMware Identity Manager Console の [ID とアクセス管理] タブで、[セットアップ] - [AirWatch] の順にクリックします。

2 [高度な Workspace ONE UEM の構成] セクションに移動します。

3 [ドメインを複数の組織グループにマップ] を有効にします。

4 緑色の [+] の横にあるドロップダウンメニューからドメインを選択します。

5 そのドメインに対する特定の Workspace ONE 組織グループ ID を構成します。組織グループ ID 名、API キー、および Workspace ONE ドメイン名を入力します。

ドメインには複数の組織グループをマッピングできます。



VMware, Inc. 35

複数の Workspace ONE UEM 組織グループを設定するための展開戦略

Workspace ONE UEM は組織グループを使用してユーザーを識別し、アクセス許可を確立します。WorkspaceONE UEM が VMware Identity Manager と連携すると、管理および登録ユーザーの REST API キーは、顧客と呼ばれる Workspace ONE UEM 組織グループタイプで構成されます。

ユーザーがデバイスから Intelligent Hub アプリケーションにログインすると、VMware Identity Manager 内でデバイスの登録のイベントがトリガーされます。ユーザーおよびデバイスの組み合わせに資格が付与された任意のアプ

リケーションを取得するための要求が Workspace ONE UEM に送信されます。Workspace ONE UEM 内でユーザーを特定し、適切な組織グループにデバイスを配置するための要求が REST API を使用して送信されます。

組織グループを管理するには、VMware Identity Manager で 2 つのオプションを構成できます。

n Workspace ONE UEM 自動検出を有効にします。

n Workspace ONE UEM 組織グループを VMware Identity Manager サービス内のドメインにマップします。

これらの 2 つのオプションのどちらも構成されていない場合、Intelligent Hub は REST API キーが作成された組織グループでユーザーを特定しようとします。これは、顧客グループです。

Workspace ONE UEM 自動検出の使用

顧客組織グループへの子グループで 1 つのディレクトリが構成されるとき、または一意の E メールドメインを使用して顧客グループの下に複数のディレクトリが構成されるときに、自動検出を設定します。自動検出用のメールドメインの登録を参照してください。

図 5-1. 例 1

例 1 では、自動検出のために組織の E メールドメインが登録されます。ユーザーは、Intelligent Hub ログインページに自分のメールアドレスのみを入力します。

この例では、NorthAmerica ドメインのユーザーが Intelligent Hub アプリケーションにログインするときに、完全なメールアドレスを [email protected] として入力します。アプリケーションはドメインを検索し、NorthAmerica 組織グループ内にユーザーが存在するか、またはディレクトリ呼び出しを使用してユーザーを作成できるかを確認します。デバイスを登録できます。

VMware Identity Manager ドメインへの Workspace ONE UEM 組織グループマッピングの使用

同じ E メールドメインを使用して複数のディレクトリが構成されている場合、VMware Identity Manager サービスと Workspace ONE UEM 組織グループのマッピングを構成します。VMware Identity Manager コンソールのAirWatch 構成ページで [ドメインを複数の組織グループにマップ] を有効にします。


VMware, Inc. 36

[ドメインを複数の組織グループにマップ] オプションを有効にすると、VMware Identity Manager で構成されているドメインを Workspace ONE UEM 組織グループ ID にマッピングできます。管理者 REST API キーも要求されます。

例 2 では、2 つのドメインが別々の組織グループにマッピングされます。管理者 REST API キーが要求されます。同じ管理 REST API キーが両方の組織グループ ID に使用されます。

図 5-2. 例 2

VMware Identity Manager コンソールの AirWatch 構成ページで、各ドメインの固有の Workspace ONE UEM 組織グループ ID を構成します。

図 5-3. 例 2 組織グループの構成

この構成では、ユーザーが自分のデバイスから Intelligent Hub アプリケーションにログインすると、デバイス登録要求は組織グループ Europe 内の Domain3 のユーザーと、組織グループ AsiaPacific 内の Domain4 のユーザーを見つけようとします。

例 3 では、1 つのドメインが複数の Workspace ONE UEM 組織グループにマッピングされます。両方のディレクトリが E メールドメインを共有します。ドメインは、同じ Workspace ONE UEM 組織グループをポイントします。


VMware, Inc. 37

図 5-4. 例 3

この構成では、ユーザーが Intelligent Hub アプリケーションにログインすると、アプリケーションは、どのグループに登録するかの選択をユーザーに要求します。この例では、ユーザーは Engineering または Accounting のいずれかを選択できます。

図 5-5. ディレクトリが同じドメインを共有する組織グループ

正しい組織グループへのデバイスの配置

ユーザーレコードが正常に配置されると、デバイスが適切な組織グループに追加されます。Workspace ONE UEM登録設定の [グループ ID 割り当てモード] によって、デバイスを配置する組織グループが決まります。この設定は、Workspace ONE UEM Console の [システム設定] > [デバイスとユーザー] > [全般] > [加入] > [グループ化] ページで行います。


VMware, Inc. 38

図 5-6. デバイスの Workspace ONE UEM グループの登録

例 4 では、すべてのユーザーは、Corporate 組織グループレベルにあります。

図 5-7. 例 4

デバイスの配置は、Corporate 組織グループでのグループ ID 割り当てモード用に選択した構成に依存します。

n [デフォルト] が選択されている場合、デバイスはユーザーが配置されているのと同じグループに配置されます。例 4 では、デバイスは Corporate グループに配置されます。

n [ユーザーがグループ ID を選択するようプロンプト表示する] が選択されている場合、自分のデバイスを登録するグループを選択するようユーザーに求められます。例 4 では、Intelligent Hub アプリケーション内にEngineering と Accounting がオプションとして設けられたドロップダウンメニューがユーザーに表示されます。

n [ユーザーグループに基づき自動選択] が選択されている場合、デバイスは、ユーザーグループ割り当てと、Workspace ONE UEM コンソールの対応するマッピングに基づいて、Engineering または Accounting のいずれかに配置されます。

非表示グループの概念について

例 4 では、ユーザーに登録元の組織グループの選択が要求されるときに、ユーザーは Intelligent Hub アプリケーションから提供されたリストに含まれていないグループ ID の値も入力できます。これが非表示グループの概念です。

例 5 では、Corporate 組織グループ構造に North America と Beta が Corporate の下のグループとして構成されています。


VMware, Inc. 39

図 5-8. 例 5

例 5 では、ユーザーは Intelligent Hub アプリケーションにメールアドレスを入力します。認証後、ユーザーに選択肢として Engineering と Accounting が表示されたリストが示されます。Beta は表示されるオプションではありません。ユーザーが組織グループ ID を把握している場合、グループの選択テキストボックスに手動で Beta を入力することで、自分のデバイスを Beta に正常に登録できます。

Workspace ONE での認証方法の適用シングルサインオンでは複数の認証方法をデバイスに適用できます。単一の認証方法を構成し、二要素のチェーン認証を設定することができます。

認証方法は、VMware Identity Manager コンソールの組み込み ID プロバイダで構成されます。

モバイルシングルサインオンが構成されると、以下の認証方法を有効にすることができます。

n モバイル SSO（iOS 版）。iOS デバイス用の Kerberos ベースアダプタ。

n モバイル SSO（Android 版）。Android 版の証明書認証に特化された実装。

n 証明書（クラウドデプロイ）。Web ブラウザとデスクトップデバイス向けの証明書認証サービス。

n パスワード。VMware Identity Manager と Workspace ONE UEM を統合するときに、単一のコネクタでディレクトリパスワードを認証できます。

n デバイスコンプライアンス (Workspace ONE UEM)。管理対象デバイスの健全性を測定し、Workspace ONEUEM で定義された基準に基づいて適格/不適格を判定します。コンプライアンスは、パスワードを除く他の組み込みアダプタと連携できます。

組み込み ID プロバイダの使用を参照してください。

認証方法が構成された後、使用される認証方法をデバイスタイプに応じて指定するアクセスポリシールールを作成します。

組み込み ID プロバイダの使用

組み込み ID プロバイダでは、オンプレミスコネクタを使用する必要のない認証方法を構成することができます。組み込み ID プロバイダは、VMware Identity Manager コンソールの [ID とアクセス管理] > [ID プロバイダ] ページから利用できます。組み込み ID プロバイダを追加で作成できます。

認証方法は、[ID とアクセス管理] > [認証方法] ページから構成することができます。組み込み ID プロバイダを構成するときに、使用する認証方法を組み込み ID プロバイダで関連付けます。


VMware, Inc. 40

また、送信専用接続モードで展開したコネクタ上に構成された認証方法を使用するように組み込み ID プロバイダを構成することもできます。送信専用コネクタでは、ファイアウォールの受信ポート 443 を開く必要はありません。コネクタは (WebSocket を使用して) クラウドサービスとの送信専用接続を確立し、このチャネルで認証リクエストを受信します。送信専用コネクタの展開についての詳細は、『VMware Identity Manager Cloud の展開』ガイドの「展開モデル」を参照してください。

認証方法を組み込み ID プロバイダで関連付けたら、これらの認証方法に適用するアクセスポリシーを作成します。

組み込み ID プロバイダの構成

複数の組み込み ID プロバイダを構成し、[ID とアクセス管理] > [認証方法] ページで構成した認証方法を関連付けることができます。

手順

1 [ID とアクセス管理] タブで、[管理] - [ID プロバイダ] の順に移動します。

2 [ID プロバイダを追加] をクリックして、[組み込み IDP を作成] を選択します。


ID プロバイダ名この組み込み ID プロバイダインスタンスの名前を入力します。

ユーザー認証するユーザーを選択します。構成されたディレクトリがリストされます。

ネットワークサービスに構成されている既存のネットワーク範囲が表示されます。各ユーザーの IP アドレスに基づいて、認証時に ID プロバイダインスタンスが使用するネットワーク範囲を選択します。

認証方法サービスで構成されている認証方法が表示されます。この組み込み ID プロバイダに関連付ける認証方法のチェックボックスを選択します。

[デバイスコンプライアンス (Workspace ONE UEM)] と [パスワード (AirWatchConnector)] オプションについては、[AirWatch の構成] ページで有効になっていることを確認してください。

3 [追加] をクリックします。

次のステップ

デフォルトのアクセスポリシールールを設定して、認証ポリシーをルールに追加します。デフォルトのアクセスポリシーへのルールの追加を参照してください。

カタログ内のアプリケーションへのユーザーアクセスの管理

ユーザーのアプリケーションポータルへの安全なアクセスを提供し、Web アプリケーションとデスクトップアプリケーションを起動するには、アクセスポリシーを設定します。

組み込み ID プロバイダで認証方法を有効にして構成したら、デフォルトのアクセスポリシーでポリシールールを作成して、モバイルデバイスからのアクセスを管理します。

ポリシールールは、要求元の IP アドレスをネットワーク範囲にマッピングし、ユーザーがログインに使用するデバイスのタイプを指定します。また、認証方法および認証の有効期間（時間単位）を定義します。


VMware, Inc. 41

ユーザーがログインを試行するときに、VMware Identity Manager サービスはデフォルトのアクセスポリシーを評価して、適用するポリシー内のルールを選択します。認証方法は、ルールに表示されている順序で適用されます。ル

ールの認証方法とネットワーク範囲の要件と一致する最初の ID プロバイダインスタンスが選択されます。ユーザー認証要求がその ID プロバイダインスタンスに転送され、認証が行われます。認証が失敗すると、ルールで構成されている次の認証方法が適用されます。

ポリシーを作成し、制限されたアクセスを必要とするアプリケーションにポリシーを割り当てることができます。ア

クセスポリシーのセットは、ユーザーがデバイスからログインする際に、Workspace ONE UEM サーバのデバイスのコンプライアンス状態を確認するよう構成することができます。デバイスがコンプライアンスルールに遵守されなくなった場合、コンプライアンスチェックにより、ユーザーがアプリケーションにログインしたり、ユーザーポータルに対してシングルサインオンを使用したりすることを確実に防ぐことができます。デバイスで再度コンプライアンスルールが遵守されるようになったら、再びログインできるようになります。

Workspace ONE UEM で管理されているデバイスのコンプライアンスチェックの有効化

ユーザーがデバイスを登録する場合、コンプライアンスを評価するために使用されるデータを含むサンプルがスケジ

ュールに従って送信されます。このサンプルデータの評価により、デバイスが Workspace ONE UEM Console の管理者によって設定されたコンプライアンスルールを遵守していることを確認できます。デバイスがコンプライアンスルールを遵守していない場合、UEM Console で構成されたアクションが実行されます。

VMware Identity Manager サービスには、ユーザーがデバイスからログインする際に、Workspace ONE UEM サーバを確認してデバイスのコンプライアンスの状態を確認するよう構成できるアクセスポリシーオプションが組み込まれています。デバイスがコンプライアンスルールに遵守されなくなった場合、コンプライアンスチェックにより、ユーザーがアプリケーションにログインしたり、ユーザーポータルに対してシングルサインオンを使用したりすることを確実に防ぐことができます。デバイスで再度コンプライアンスルールが遵守されるようになったら、再びログインできるようになります。

デバイスが危険にさらされている場合、Workspace ONE Intelligent Hub アプリケーションが自動的にログアウトし、アプリケーションへのアクセスをブロックします。デバイスがアダプティブ管理によって登録された場合、UEMConsole を介して発行されたエンタープライズ WIPE コマンドにより、デバイスの登録が解除され、管理対象アプリケーションがデバイスから削除されます。管理対象外のアプリケーションは削除されません。

Workspace ONE UEM コンプライアンスポリシーの詳細については、「VMware Workspace ONE UEM ドキュメント」ページの『VMware Workspace ONE UEM Mobile Device Management Guide』を参照してください。

デフォルトのアクセスポリシーへのルールの追加

ユーザーが Intelligent Hub アプリケーションまたはブラウザのユーザーポータルからアプリケーションにアクセスする際にシングルサインオンで行えるようにするため、デフォルトのアクセスポリシーは、ご使用の環境で使用されている各タイプのデバイス（Android、iOS、および macOS）のルールで構成されます。

各デバイスでのシングルサインオンは、そのデバイスに固有の認証方法によって有効になります。デバイスのコンプライアンスは、管理対象デバイスの健全性を測定するためにデバイス認証方法にチェーンされ、Workspace ONEUEM で定義された基準に基づいて合格または失敗します。

各ルールでは、フォールバック方法はパスワードです。この設定は、デバイスの管理に最適なエクスペリエンスとと

もに、管理対象外デバイスの手動ログインのオプションも提供します。

VMware Identity Manager Console の [ID とアクセス管理] タブで、Workspace ONE へのアクセスに使用できる[各デバイスタイプ]についてのルールを作成します。


VMware, Inc. 42



この例は、デバイスタイプの [iOS] からのアクセスを許可するルールの場合です。

n ネットワーク範囲は、[ALL RANGES] です。

n ユーザーは [iOS] からコンテンツにアクセスできます。

n ポリシールールには、グループは追加されません。[すべてのユーザー] がサポートされます。

n サポートされているすべての認証方法を構成します。

n [モバイル SSO (iOS 版)] と [デバイスコンプライアンス (AirWatch)] を使用して認証します。

n セッションの再認証は [8 時間] 後です。

デフォルトのアクセスポリシーを編集する

VMware Identity Manager で構成した認証方法を選択したり、認証に使用する認証方法の順序を設定したりするには、ポリシールールを編集する必要があります。

前提条件

n 組織がサポートしている、構成され有効になっている認証方法。

n 作成され、ID プロバイダに割り当てられた定義済みの IP アドレスのネットワーク範囲。

パスワード（ローカルディレクトリ）認証方法がシステムディレクトリに適用されます。管理者が VMware IdentityManager Console にログインできるように、デフォルトのアクセスポリシーには、パスワード（ローカルディレクトリ）をフォールバック方法として構成されたポリシールールが含まれています。


VMware, Inc. 43

構成されている各ディレクトリのすべての認証方法に適用されるポリシールールを作成します。ディレクトリがポリシールールで構成されていない認証方法を使用する場合、そのディレクトリ内のユーザーはログインできません。

手順

1 VMware Identity Manager Console の [ID とアクセス管理] タブで、[管理] - [ポリシー] の順に選択します。

2 [デフォルトのポリシーを編集] をクリックします。

3 より具体的なポリシー名に変更することができます。たとえば、会社の基本アクセスポリシーです。

ポリシーは、アプリケーションが Web 固有のアクセスポリシーに割り当てられていない限りカタログにあるすべてのアプリケーションに適用されます。

4 [次へ] をクリックして [構成] ページを開きます。

5 編集するルール名を選択するか、ポリシールールを追加するには [ポリシールールの追加] をクリックします。


ユーザーのネットワーク範囲が次の場合ネットワーク範囲が正しいことを確認します。ルールを追加する場合は、ネットワーク範囲を

選択します。

ユーザーが次からコンテンツにアクセスする

場合

このルールが管理するデバイスタイプを選択します。

また、ユーザーが次のグループに属する場合このアクセスルールが特定のグループに適用される場合は、検索ボックスでグループを検索します。

グループが選択されていない場合、アクセスポリシールールはすべてのユーザーに適用されます。

このアクションを実行します [以下を認証に使用...] を選択します。

ユーザーは次を使用して認証することができ

ます

認証方法の順序を構成します。最初に適用する認証方法を選択します。

デバイスコンプライアンスを要求するには、[+] をクリックし、ドロップダウンメニューで、認証方法として [デバイスコンプライアンス] を選択します。

先の方法が失敗するか適用できない場合、次を

実行

フォールバック認証方法としてパスワードを構成します。

フォールバック方法が構成されていない場合にプライマリ認証が失敗すると、他の認証は試行

されません。

再認証までの待機時間ユーザーによる再認証が必要となるまでのセッション長さを選択します。

6 （オプション）[詳細プロパティ] で、ユーザー認証が失敗した場合に表示する、アクセス拒否のカスタムエラーメッセージを作成します。最大で 4,000 文字（約 650 ワード）を使用できます。ユーザーを別のページに誘導する場合は、[カスタムエラーリンクの URL] テキストボックスで URL リンクのアドレスを入力します。[カスタムエラーリンク] テキストボックスに、カスタムエラーリンクを説明するテキストを入力します。このテキストはリンクです。このテキストボックスを空白のままにした場合は、[続行] という文字がリンクとして表示されます。

7 [次へ] をクリックし、ルールを確認して [保存] をクリックします。

次のステップ

その他のデバイスタイプのルールを作成します。

すべてのルールが作成されたら、ルールを適用する順番に従ってリスト内に並べます。


VMware, Inc. 44

編集したポリシールールは、直ちに反映されます。

図 5-9. デフォルトのアクセスポリシーの構成

アプリケーションへのアクセスを制限するためのポリシーの構成

組織が機密データを含むアプリケーションをデプロイする場合は、これらのアプリケーションへのアクセスを MDM管理対象デバイスのみに制限することができます。

この管理対象の要件をアプリケーションの選択時に強制するには、これらのアプリケーションに対してアプリケーシ

ョン固有のポリシーを作成します。ポリシーを作成するときに、[適用先] セクションでこのポリシーに関連付けるアプリケーションを選択します。

アプリケーション固有のポリシーで、展開環境内の各デバイスタイプのルールを作成します。正しい認証方法を選択します。ただし、管理対象外デバイスはアプリケーションにアクセスできないため、フォールバック認証方法は定義

しないでください。

アプリケーション固有のポリシーの構成

アプリケーション固有のポリシーを作成し、特定の Web およびデスクトップアプリケーションへのユーザーのアクセスを制御できます。

前提条件

サービスへのユーザーアクセスを全体的に制御するためにデフォルトポリシーを編集する場合、アプリケーション固有のポリシーを作成する前に、このポリシーの前にデフォルトポリシーを構成します。

Web およびデスクトップアプリケーションをカタログに追加します。少なくとも 1 つのアプリケーションが [カタログ] ページに表示されていないと、アプリケーション固有のポリシーを追加することはできません。


VMware, Inc. 45

手順

1 VMware Identity Manager コンソールの [ID とアクセス管理] タブで、[管理] - [ポリシー] の順に選択します。

2 [ポリシーの追加] をクリックします。

3 それぞれのテキストボックスにポリシーの名前と説明を追加します。

4 [適用先] セクションで、[検索] テキストボックスにアプリケーションを入力し、このポリシーに関連付けるアプリケーションを選択します。

5 [次へ] をクリックします。

6 [ポリシールールの追加] をクリックして、ルールを追加します。


ユーザーのネットワーク範囲が次の場合ネットワーク範囲が正しいことを確認します。ルールを追加する場合は、ネットワーク範囲を

選択します。

ユーザーが次からコンテンツにアクセスする

場合

このルールが管理するデバイスタイプを選択します。

また、ユーザーが次のグループに属する場合このアクセスルールが特定のグループに適用される場合は、検索ボックスでグループを検索します。

グループが選択されていない場合、アクセスポリシールールはすべてのユーザーに適用されます。

このアクションを実行します [以下を認証に使用...] を選択します。

ユーザーは次を使用して認証することができ

ます

認証方法の順序を構成します。最初に適用する認証方法を選択します。

ユーザーが 2 つの認証方法を使用して認証することを求めるには、[+] をクリックし、ドロップダウンメニューで [デバイスコンプライアンス] などの 2 つ目の認証方法を選択します。

先の方法が失敗するか適用できない場合、次を

実行

フォールバック方法を構成しないでください。

再認証までの待機時間ユーザーによる再認証が必要となるまでのセッション長さを選択します。

7 他のデバイスの追加ルールを構成します。



VMware, Inc. 46

モバイルシングルサインオンの構成 6モバイルシングルサインオン (SSO) を構成して、Workspace ONE UEM に登録したデバイスのユーザーが複数のパスワードを入力することなく有効なアプリケーションに安全にログインできるようにします。

SSO に構成できるデバイスは、iOS および Android デバイスです。

iOS 版のシングルサインオンコンポーネントの構成iOS 版のモバイルシングルサインオンは、証明書転送に PKINIT Kerberos プロトコルを使用しますが、オンプレミスのインフラストラクチャを必要としません。VMware Identity Manager サービスでは、内部ドメインコントローラとのデバイス通信を必要とせずに iOS 認証を処理できる組み込みの Kerberos アダプタを使用できます。さらに、Workspace ONE UEM は ID 証明書をデバイスに配布できるため、オンプレミスの認証局 (CA) を維持するという要件がなくなります。

[サポート対象デバイス]

n iOS バージョン 9 以降

Android 版のシングルサインオンコンポーネントの構成Android 版モバイルシングルサインオン (SSO) は、Workspace ONE UEM により管理される Android デバイス向けの証明書による認証方法の実装です。モバイル SSO により、ユーザーはパスワードを再入力せずに自分のデバイスにログインし、Workspace ONE アプリケーションに安全にアクセスできます。

VMware Tunnel モバイルアプリが Android デバイスにインストールされ、認証フローに証明書とデバイス ID 情報が追加されます。Workspace ONE UEM Console の Tunnel 設定では認証のために VMware Identity Managerサービスにアクセスするように構成されており、このサービスは認証のためにデバイスから証明書を取得します。

[サポート対象デバイス]

n Android 4.4 以降

n アプリケーションは SAML、または別のサポート対象のフェデレーション規格をサポートしている必要があります。

すべての Android デバイスに Intelligent Hub アプリケーションを展開しても、アプリケーションは Android forWork コンテナに自動的に展開されません。Workspace ONE アプリケーションのアダプティブ管理機能を使用するには、Android for Work が必要です。このアプリケーションを Android for Work デバイスに追加する方法、および Workspace ONE UEM MAM の一部として利用可能なその他のオプションの詳細については、『Workspace ONEUEM Integration with Android for Work』ガイドを参照してください。


VMware, Inc. 47

n Google での Workspace ONE UEM エンタープライズモビリティ管理の設定（Android 向け）

Google での Workspace ONE UEM エンタープライズモビリティ管理の設定（Android 向け）Workspace ONE で Android デバイスを管理するには、Workspace ONE UEM をエンタープライズモビリティ管理 (EMM) プロバイダとして Google に登録する必要があります。ウィザードを使用して、Workspace ONE UEMを EMM プロバイダとして登録する手順を実行します。

注: G Suite を展開している場合、構成の詳細については Workspace ONE UEM のドキュメントのトップページの『VMware Workspace ONE UEM Integration with Android for Work ガイド』を参照してください。

前提条件

Google ユーザーアカウント。

手順

1 [グローバル] リストから Workspace ONE の組織グループを選択します。

2 左側のナビゲーションペインで [はじめに] をクリックします。

3 [はじめに] > Workspace ONE セクションで、[はじめにウィザード] をクリックします。

4 [Android EMM 登録] セクションで、[構成] をクリックします。

5 [Google に登録する] をクリックします。

組織名を追加するための Google Play にリダイレクトされます。EMM プロバイダには、Workspace ONEUEM がすでに表示されています。

6 ページでの構成を完了し、[確認] をクリックします。


VMware, Inc. 48


7 [登録を完了] をクリックします。

Workspace ONE UEM Console に戻り、[Android for Work] ページが表示されます。Google AdminConsole と API 設定がページに追加されています。

8 [保存] をクリックし、[接続をテスト] をクリックします。

これで、Android Enterprise を使用して Android デバイスを登録する準備が完了しました。


VMware, Inc. 49

カタログでのアプリケーションの管理 7Workspace ONE UEM が VMware Identity Manager と統合されている場合、ユーザーに使用資格を付与できるすべてのアプリケーションのリポジトリとして Hub カタログを使用できます。ユーザーは、アプリケーションのために確立する設定に基づいて、カタログ内で管理者が管理する企業アプリケーションにアクセスできます。

クラウド、モバイル、および Windows アプリケーションに、カタログからアクセスできます。社内開発またはアプリケーションストアで公開しているネイティブアプリケーションを、ユーザーポータルからエンドユーザーに提供できます。

VMware Identity Manager Console の [カタログ] ページで、次のタスクを実行できます。

n 新規アプリケーションをカタログに追加する。

n 現在ユーザーに使用資格を付与できるアプリケーションを表示する。

n カタログ内の各アプリケーションについての情報にアクセスする。

一部の Web アプリケーションは [カタログ] ページからユーザーのカタログに直接追加できます。他のリソースタイプでは、管理コンソール以外での操作が必要になります。リソースのセットアップに関する情報については、

『VMware Identity Manager でのリソースのセットアップ』ガイドを参照してください。

また、Workspace ONE UEM Console の [アプリとブック] > [アプリケーション] のページからカタログを管理することもできます。Workspace ONE UEM ドキュメントセンターにある『Application Management Life Cycle』ガイドを参照してください。


n カタログでのアプリケーションの追加

n Workspace ONE UEM の Hub カタログの有効化

カタログでのアプリケーションの追加

特定のアプリケーションの使用資格をユーザーに付与できるようにするには、そのアプリケーションをカタログに格

納する必要があります。アプリケーションリソースをカタログに格納する場合に使用する方法は、リソースのタイプによって異なります。

ユーザーへの資格付与と配布のためにカタログ内で定義できるアプリケーションタイプは、Web アプリケーション、Horizon Client デスクトッププールおよび Horizon 仮想アプリケーション、または Citrix ベースアプリケーションです。

VMware, Inc. 50


Horizon Client デスクトッププールおよびアプリケーションプール、または Citrix 公開アプリケーションを統合して有効にするには、[カタログ] タブのドロップダウンメニューにある仮想アプリケーションのコレクション機能を使用します。

これらのアプリケーションリソースの情報、要件、インストールおよび構成については、 VMware Identity Managerを参照してください。

組織のカタログへの Web アプリケーションの追加

Web アプリケーションをカタログに追加するには、クラウドアプリケーションカタログから選択するか、新しいWeb アプリケーションを作成します。

クラウドアプリケーションカタログには、一般に使用されるエンタープライズ Web アプリケーションが含まれています。これらのアプリケーションは部分的に構成されていて、アプリケーションレコードを完成させるには追加情報を提供する必要があります。また、Web アプリケーションのアカウント担当者と連携して、その他の必要なセットアップが必要な場合があります。

クラウドアプリケーションカタログの多くのアプリケーションは、SAML 2.0 または SAML 1.1 を使用して認証および承認データを交換し、Workspace ONE から Web アプリケーションへのシングルサインオンを有効にします。

アプリケーションを作成するときには、アプリケーションのすべての構成情報を入力する必要があります。構成は、

追加するアプリケーションの種類によって異なります。フェデレーションプロトコルを使用しないアプリケーションの場合は、ターゲット URL のみが必要です。

アプリケーションを追加するときには、アプリケーションへのユーザーアクセスを制御するアクセスポリシーも選択します。デフォルトのアクセスポリシーを使用できますが、[ID とアクセス管理] > [管理] > [ポリシー] ページから新しいポリシーを作成することもできます。アクセスポリシーの詳細については、『VMware Identity Manager の管理』を参照してください。

カテゴリへのアプリケーションのグループ化

ユーザーポータルで必要なアプリケーションをユーザーが簡単に突き止めることができるように、アプリケーションを論理的なカテゴリに編成できます。

カテゴリを作成するときには、組織の構造、アプリケーションのジョブ機能、アプリケーションリソースのタイプについて考慮します。アプリケーションには複数のカテゴリを割り当てることができます。たとえば、販売員というカ

テゴリと営業担当リソースという別のカテゴリを作成することができます。カタログ内のすべての営業アプリケーシ

ョンに、販売員を割り当てます。また、営業担当リソースを、販売員のみと共有する特定の営業アプリケーションに

割り当てます。

カテゴリを作成した後、そのカテゴリをカタログ内の任意のアプリケーションに適用できます。同じアプリケーショ

ンに複数のカテゴリを適用できます。

ユーザーが自分のユーザーポータルにログインすると、ユーザーのビュー用に有効にされたカテゴリが表示されます。

『VMware Identity Manager 管理ガイド』でカタログの管理について参照してください。


VMware, Inc. 51

Workspace ONE UEM の Hub カタログの有効化Workspace ONE UEM インスタンスを使用して VMware Identity Manager を構成するときに、Hub カタログを有効にして Workspace ONE UEM カタログからのアプリケーションを含めることができます。エンドユーザーは、使用資格が付与されたすべてのアプリケーションをユーザーポータルで確認できます。

手順

1 VMware Identity Manager Console の [ID とアクセス管理] タブで、[セットアップ] - [AirWatch] の順にクリックし、[Workspace ONE カタログ] セクションに移動します。

2 AirWatch カタログのアプリケーションを Identity Manager カタログのアプリケーションに含めるには、[IDMから取得] と [AirWatch から取得] の両方を有効にします。

VMware Identity Manager サービスが構成されていないモバイルデバイスで Workspace ONE カタログを使用する場合は、[AirWatch から取得] のみを選択してください。

デフォルトでは、[IDM から取得] が有効になっています。


次のステップ

Workspace ONE UEM エンドユーザーに、カタログへアクセスする方法や、ユーザーポータルの表示方法について通知します。


VMware, Inc. 52

Workspace ONE Intelligent Hub アプリケーションの展開 8Intelligent Hub アプリケーションを iOS、Android、macOS、および Windows OS デバイスにインストールして、デバイスを管理し、リソースにアクセスすることができます。Hub サービス機能は現在、iOS、Android、およびmacOS で使用できます。また、Hub サービスを使用した Web ブラウザエクスペリエンスは、Workspace ONEUEM を組み込んでいるかどうかに関わらず、VMware Identity Manager で利用できます。

Hub インターフェイスは、スマートフォン、タブレット、またはデスクトップコンピュータで同じように操作でき、類似するオプションを利用できます。


n iOS および Android 用の Workspace ONE Intelligent Hub アプリケーションの配布

n エンタープライズキーと値のペアに関する Workspace ONE UEM アプリケーションの構成

n macOS 用 Workspace ONE Intelligent Hub アプリケーションの展開

n Web ブラウザからユーザーポータルにアクセスする方法

iOS および Android 用の Workspace ONE Intelligent Hub アプリケーションの配布

ユーザーがデバイスアプリストアから VMware Workspace ONE Intelligent Hub アプリケーションをダウンロードするか、管理者が Workspace ONE UEM を構成して Workspace ONE Intelligent Hub アプリケーションを管理対象アプリケーションとしてデバイスにプッシュすることができます。

Intelligent Hub アプリケーションを Workspace ONE UEM Console から組織内の特定のグループおよびユーザーに展開します。ユーザーがデバイス上で Workspace ONE アプリケーションにログインした後、資格付与されたWeb および SaaS アプリケーションにアクセスすることができます。

次の手順では、Workspace ONE UEM Console から Intelligent Hub アプリケーションを管理対象アプリケーションとしてプッシュします。

注: Workspace ONE UEM での管理対象アプリケーションの構成の詳細については、VMware Workspace ONEUEM ドキュメントセンターの『VMware Workspace ONE UEM アプリケーション管理ガイド』を参照してください。

VMware, Inc. 53



前提条件

Workspace ONE Intelligent Hub アプリケーションを Workspace ONE UEM Console からプッシュするよう計画している場合、アプリケーションの使用資格が付与されたエンドユーザーのスマートグループを準備します。

手順

1 Workspace ONE UEM Console で、[アプリとブック] - [アプリケーション] > [ネイティブ] - [公開] の順に移動して、[アプリケーションを追加] を選択します。

2 プラットフォームを iOS または Android から選択します。

3 [アプリストアを検索] を選択し、[名前] テキストボックスに、アプリケーションストアで VMware WorkspaceONE を検索するためのキーワードとして「Workspace ONE」を入力します。

4 [次へ] を選択し、[選択] を使用して、アプリケーションストアの検索ページから Workspace ONE IntelligentHub アプリケーションをアップロードします。

5 次のタブ設定で、Intelligent Hub ユーザーの割り当てと展開のオプションを構成します。

タブ説明

情報サポートされるデバイスモデル、評価、およびカテゴリなどに関する情報を入力および表示します。

割り当て Workspace ONE Intelligent Hub アプリケーションを、デバイス上でアプリケーションを使用することができるエンドユーザーのスマートグループに割り当てます。

展開該当する場合は、可用性と高度なエンタープライズモビリティ管理 (EMM) 機能を構成します。

管理対象アプリケーションを自動的に構成するには、[アプリケーション構成を送信] を有効にして、エンタープライズ用アプリケーション構成 (ACE) のキー値のペアを入力します。エンタープライズキーと値のペアに関する Workspace ONE UEM アプリケーションの構成を参照してください。

利用条件（オプション）Workspace ONE Intelligent Hub アプリケーションを使用するための [利用条件] を有効にします。

6 [保存と公開] を選択して、ユーザーがアプリケーションを利用できるようにします。

サポートされている各プラットフォームでこれらの手順を完了します。

エンタープライズキーと値のペアに関する Workspace ONE UEM アプリケーションの構成

Workspace ONE UEM で管理対象アプリケーションとして Intelligent Hub アプリケーションを展開し、[アプリケーション構成を送信] を有効にして、Workspace ONE UEM コンソールから Workspace ONE アプリケーションをプッシュします。これにより、ユーザーが Intelligent Hub アプリケーションをインストールおよび起動する際に適用される、Intelligent Hub 設定を事前に構成できます。

アプリケーションが管理対象のモバイルアプリケーションとして Workspace ONE UEM コンソールにアップロードされるときに、VMware Workspace ONE UEM の URL、デバイスの UID 値、および Android デバイスの証明書認証の要件を構成できます。


VMware, Inc. 54

表 8-1. Workspace ONE UEM コンソールの Intelligent Hub 管理対象デバイスの構成オプション

プラットフォーム構成キー値のタイプ構成値説明

すべて AppServiceHost 文字列 <VMware WorkspaceONE UEM Server の

URL>

デバイスで VMwareWorkspace ONEIntelligent Hub のサーバURL を構成します。

iOS deviceUDID 文字列 {DeviceUid} デバイス

UID 値を入力します。

[ルックアップ値の挿入] 機能は使用しないでくださ

い。

VMware IdentityManager 環境への認証に使用されるデバイスを追跡

します。

iOS SkipDiscoveryScreen Boolean true True に設定すると、Intelligent Hub は、メールアドレス/サーバの URL の画面を通過しようとします。

AppServiceHost 構成キー

と一緒に使用した場合、ユー

ザーは認証画面にすぐに移

動します。モバイル SSO も使用されている場合、管理者

は、エンドユーザーがIntelligent Hub を起動することで Intelligent Hubアプリケーションのロード

が即時に開始されるように

し、シームレスな経験を提供

できます。

Android および iOS RemoveAccountSignOu

t

整数 0 - [アカウントの削除] オプションを表示

1 - [アカウントの削除] オプションを表示しない

値が設定されていない場合

は、[アカウントの削除] オプションが表示されます。

値を 1 に設定すると、[アカウントの削除] オプションはユーザーのアプリケーショ

ンの設定ページに表示され

ません。ユーザーは、自分の

デバイスから IntelligentHub アカウントを削除できません。

この値が 0 に設定されている場合、または値が設定され

ていない場合は、[アカウントの削除] オプションが表示されます。ユーザーが [アカウントの削除] をクリックすると、Workspace ONEUEM はデバイスのエンタープライズワイプを実行し、Workspace ONE UEM からデバイスを登録解除しま

す。

rev


VMware, Inc. 55

macOS 用 Workspace ONE Intelligent Hub アプリケーションの展開Intelligent Hub ベースの登録プロセスでは、macOS デバイスと Workspace ONE UEM 環境間の接続が保護されます。Workspace ONE Intelligent Hub アプリケーションをインストールすると、登録が簡単になり、関連するデバイス情報のリアルタイム管理とアクセスが可能になります。

Intelligent Hub アプリケーションをユーザーに紹介する方法は 2 つあります。

登録が完了したらすぐに Intelligent Hub アプリケーションをデバイスに自動的にインストールするように設定を構成できます。

1 Workspace ONE UEM Console で、[設定] - [デバイスとユーザー > Apple > Apple macOS > IntelligentHub 設定] に移動します。

2 ユーザーが Web または DEP を通じて登録するときに Intelligent Hub アプリケーションをデバイスに自動的に展開するには、[登録後に Hub をインストールする] を有効にします。

3 変更を保存します。

登録済みデバイスを持っていないユーザーも Intelligent Hub アプリケーションをインストールできます。アプリケーションは、企業リソースにアクセスする前に、デバイスを登録するようにユーザーに要求します。ユーザーは

[https://getwsone.com] に移動して、Workspace ONE Intelligent Hub アプリケーションのインストーラをデバイスにダウンロードできます。

Workspace ONE UEM で macOS デバイスをインストール、構成、および管理するには、Workspace ONE UEM ドキュメントのトップベージにある『macOS デバイス管理』ガイドを参照してください。

Web ブラウザからユーザーポータルにアクセスする方法ユーザーポータルには、Mozilla Firefox、Google Chrome、Safari、Microsoft Edge、Internet Explorer 11 の最新のブラウザバージョンでアクセスできます。

ユーザーが自分のアプリケーションにアクセスする方法を制限する場合は、アプリケーションを構成するときに、ア

プリケーションを VMware Browser アプリケーションでのみ開くことができるように指定できます。WorkspaceONE UEM のドキュメントサイトで VMware Browser のドキュメントを参照してください。


VMware, Inc. 56


VMware Workspace ONE IntelligentHub での MDM 登録について 9VMware Workspace ONE Intelligent Hub の登録プロセスでは、デバイスと Workspace ONE UEM 環境間の接続が保護されます。Intelligent Hub アプリケーションを使用すると、登録が容易になり、デバイス情報のリアルタイム管理とアクセスが可能になります。

Intelligent Hub アプリケーションを使用してデバイスを登録するには、適切なアプリケーションストアからIntelligent Hub アプリケーションをダウンロードするようにユーザーに依頼します。ユーザーがアプリケーションをダウンロードすると、（構成に応じて）自分のメールアドレス、サーバの URL、およびグループ ID を入力するか、QR コードリーダを使用して Intelligent Hub による登録を開始することができます。

デバイスの登録方法、コンプライアンスを管理するためのプロファイルの作成方法、Workspace ONE UEM Consoleによるデバイスの管理方法など、モバイルデバイス管理に関するドキュメントについては、Workspace ONE UEMドキュメントのトップページにある特定のデバイス管理ガイドを参照してください。


n Workspace ONE Intelligent Hub from AirWatch Agent への移行

n Intelligent Hub アプリケーションのモバイルデバイス管理設定

n Intelligent Hub のデバイス登録と認証モードの有効化

n iOS デバイスの管理対象外の登録の有効化

n パブリックアプリケーションおよび社内アプリケーション用のデバイス管理オプション

n アプリケーションへのアクセスの管理

Workspace ONE Intelligent Hub from AirWatch Agent への移行バージョン 18.10 の Workspace ONE Intelligent Hub アプリケーション以降、このアプリケーションには、AirWatch Agent アプリケーションの更新された拡張バージョンが組み込まれています。

これらのデバイスの AirWatch Agent アプリケーションは、iOS および Android デバイス向けの Intelligent Hubアプリケーションに置き換えられます。ユーザーが AirWatch Agent アプリケーションをアップグレードすると、Agent アプリケーションは Intelligent Hub アプリケーションにアップグレードされます。ユーザーがアップグレードされたアプリケーションを起動すると、Agent が現在 Hub であることを示す通知が表示されます。

アプリケーションは Hub としてラベルされ、新しいアプリケーションアイコンが表示されます。アプリケーションの外観を除いて、登録されたデバイスへの影響はありません。すべての iOS および Android AirWatch Agent のユースケースがサポートされます。Workspace ONE UEM Console の設定を変更する必要はありません。

VMware, Inc. 57


Intelligent Hub アプリケーションは、AirWatch Agent および Workspace ONE アプリケーションの機能を組み合わせます。Hub サービスと Hub カタログを有効にすると、Intelligent Hub アプリケーションを使用してカタログにアクセスします。Workspace ONE UEM カタログは、Hub カタログを有効にした後に無効にすることができます。

Intelligent Hub アプリケーションのモバイルデバイス管理設定Intelligent Hub のモバイルデバイス管理機能を使用すると、登録が容易になり、関連するデバイス情報のリアルタイム管理とアクセスが可能になります。

Intelligent Hub アプリケーションを使用すると、オンプレミスおよび SaaS 展開環境の Workspace ONE UEM に対する従来の MDM ユースケースで MDM 登録が容易になります。各プラットフォームの Intelligent Hub MDM 設定は、Workspace ONE UEM Console の [デバイスとユーザー] > [<デバイスタイプ> Intelligent Hub 設定] ページから構成します。

Intelligent Hub アプリケーションは、デバイス管理モードで実行されます。ユーザーが最初に Intelligent Hub アプリケーションを起動するときに、会社の資格情報を入力して自分のデバイスをセルフアクティベーションします。

次に、デバイス管理のために構成できる Intelligent Hub アプリケーション設定の概要を示します。構成できる正確な設定は、プラットフォームによって異なります。デバイス管理のための VMware Workspace ONE IntelligentHub の構成の詳細については、Workspace ONE UEM ドキュメントセンターの「プラットフォームガイド」セクションの特定のガイドを参照してください。

表 9-1. Intelligent Hub 設定の説明

セクション名設定説明

一般

Intelligent Hub の加入解除オプションを無効化

この設定により、ユーザーが Intelligent Hub から登録解除する機能が許可またはブロックされます。

このボックスをオンにすると、登録解除オプションが無効になります。

設定ラベルが [再登録] に変更され、ユーザーはデバイスを別のユーザーに登録できるようになりますが、MDM プロファイルを削除することはできません。

バックグラウンドアプリの更新この設定により、Intelligent Hub は、iOS デバイスでバックグラウンドで実行しているときに、UEM Console にビーコンデータのサンプルを送信できます。このサンプルは、[最小更新間隔] 設定で指定された期間内に送信されます。

最小更新間隔このドロップダウン設定は、Intelligent Hub がビーコンデータのサンプルを送信するための最小間隔を設定します。たとえば、この設定を 4時間（デフォルト）に設定すると、過去 4 時間以内にビーコンサンプルが送信されなかった場合、UEM Console にサンプルが送信されます。

Wi-Fi 接続時のみ送信可この設定では、すべてのサンプル送信または通信を、携帯ネットワーク

ではなく、Wi-Fi 経由でのみ実行する必要があります。

エリア

位置情報データを収集この設定により、Intelligent Hub は、位置データを追跡する権限をユーザーに要求できます。ユーザーがこの権限を許可すると、IntelligentHub はビーコンサンプルで位置座標を返します。


VMware, Inc. 58


セクション名設定説明

iBeacon エリアを検出するこの設定により、Intelligent Hub は周囲にある iBeacon デバイスを確認し、Intelligent Hub にデバイスを表示できます。

テレコム

セルラーデータ使用量情報を収集この設定により、Intelligent Hub はデバイスからモバイルデータ通信の使用量を収集し、Intelligent Hub に情報を表示できます。

セルフサービス設定

セルフサービス有効化この設定により、Intelligent Hub は、デバイスとユーザーに割り当てられたコンプライアンスポリシーを表示し、各ポリシーのステータスを監視および更新できます。有効にすると、ユーザーはデバイスが準拠し

ているかどうかを表示できます。

SDK プロファイル

SKD プロファイル（レガシー）このドロップダウン設定は、Intelligent Hub に展開する SDK 設定を選択するための廃止されたフィールドで、PIN コード、分析、およびブランディングなどの設定を構成します。

SDK プロファイル V2 このドロップダウン設定は、Intelligent Hub に展開する SDK 設定を選択するためのアクティブなフィールドで、PIN コード、分析、およびIntelligent Hub のカスタムブランディングなどを設定します。

Intelligent Hub のデバイス登録と認証モードの有効化Workspace ONE UEM Console の [デバイスとユーザー] > [全般] > [加入] > [認証] ページから、Intelligent Hubアプリケーションの認証モードを選択し、直接デバイス登録を有効にします。

VMware Identity Manager と統合せずに Intelligent Hub アプリケーションを使用している場合、認証モードはWorkspace ONE UEM です。Hub サービスが統合 VMware Identity Manager サービスを認証に使用するように構成されている場合は、Identity Manager を選択します。

手順

1 Workspace ONE UEM Console で、[グローバル] > [カスタマーレベルの組織グループ] を選択して、[デバイス] > [デバイス設定] > [デバイスとユーザー] > [全般] > [加入] ページに移動します。

2 [認証] タブの [現在の設定] セクションで、[オーバーライド] を選択します。

3 VMware Identity Manager と完全に統合するには、Intelligent Hub の認証ソースで、[Identity Manager] を選択します。

4 デバイス上の Intelligent Hub アプリケーションから直接デバイスを登録するには、[iOS で Intelligent Hub 加入を必須にする]、[macOS で Intelligent Hub 加入を必須にする]、および [Android で Intelligent Hub 加入を必須にする] を有効にします。



VMware, Inc. 59

iOS デバイスの管理対象外の登録の有効化Intelligent Hub アプリケーションを介して登録されたデバイスは、デフォルトで MDM により管理されます。一部の iOS デバイスを MDM 管理なしで登録できるようにするには、スマートグループの管理対象外モードを有効にする必要があります。

使用可能な選択基準は、OS のバージョン、所有権のタイプ、およびユーザーグループです。

管理対象外の登録では、ユーザーは基本レベルのセキュリティを必要とするアプリケーションにアクセスできます。

ユーザーが管理を必要とするアプリケーションにアクセスしようとすると、MDM 登録プロセスに進みます。アダプティブ管理アプリケーションポリシーを使用して、管理なしで登録された iOS デバイスのデバイス管理レベルを制御します。

手順

1 Workspace ONE UEM Console で、管理対象外の登録を有効にする組織グループを選択し、[デバイス] > [デバイス設定] > [デバイスとユーザー] > [全般] > [加入] > [管理モード] ページに移動します。

2 [現在の設定] で、[オーバーライド] をクリックします。

3 iOS の場合は、[有効] を選択します。

4 [スマートグループ] で、管理対象外の登録が有効になっているスマートグループを追加します。


構成されたスマートグループの iOS デバイスを使用しているユーザーには、アプリケーションへの管理対象外のアクセス権が付与されます。ユーザーは、Workspace ONE Intelligent Hub アプリケーションを使用して、デバイスがWorkspace ONE UEM モバイルデバイス管理に登録されていない、基本レベルのセキュリティを必要とするアプリケーションにアクセスできます。

次のステップ

VMware Identity Manager コンソールに移動して、管理なしで登録された iOS デバイスのデバイス管理レベルを制御するための、アダプティブ管理アプリケーションポリシーを構成します。VMware Identity Manager ドキュメントページの『VMware Identity Manager 管理ガイド（クラウド）』のアクセスポリシーの管理を参照してください。

パブリックアプリケーションおよび社内アプリケーション用のデバイス管理オプション

デバイス管理ステータスに基づいて、パブリックアプリケーションおよび社内アプリケーションを展開するように構成できます。任意のデバイスが、オープンアクセスアプリケーションとして構成されているアプリケーションにアクセスできます。VMware Workspace ONE Intelligent Hub アプリケーションを介して権限が付与されたデバイスのみが、管理されたアクセス用に構成されたアプリケーションにアクセスできます。

この表で、管理対象および非管理対象の両方のシナリオの機能について説明します。


VMware, Inc. 60



https://docs.vmware.com/jp/VMware-Identity-Manager/services/IDM_service_administration_cloud/GUID-92481E64-0CFF-43DD-9C0B-458BC3322A6A.html

アクセスの種類機能説明推奨される使用方法

オープンアクセス（非管理対象）

n Web、Horizon、および Citrixリソース用のセルフサービスアプリケーションカタログ。

n シングルサインオン (SSO) での Web/仮想の起動。

n Touch ID/PIN アプリケーション保護。

n デバイスジェイルブレイク検出。

n 認証ポリシーおよびデバイスの

ブロックを含む、VMwareIdentity Manager の条件付きアクセスのサポート

n ネイティブアプリケーションアクセス

n 社内アプリケーションおよび

SDK アプリケーションの配布

ユーザーは、自分のデバイスにアクセス

するための管理者権限を与えなくても、

自分のデバイス上のリソースにアクセ

スします。

オープンアクセスを持つアプリケーションは、アプリケーションの管理対象ス

テータスに関係なく、デバイスから使用

できます。ネイティブアプリケーションがオープンアクセスに設定されているときは、管理者がそれらをシステム的

に削除することはできません。

n 昇格したセキュリティ権限なしで、ログイ

ン時にすぐにエンドユーザーにアプリケ

ーションへのアクセスを提供します。

n アプリケーションをインストールする必

要なく、アプリケーションの使用を推奨し

ます。ユーザーは自分がそうしたいとき

に自分のデバイスにアプリケーションを

インストールできます。

n アプリケーションには、企業の機密データ

は含めず、保護された社内リソースにアク

セスしないようにします。

n Workspace ONE UEM MDM プロファイルなしで、補助の担当者にアプリケーシ

ョンを配布する目的で使用します。

管理対象アクセ

ス

n Web、Horizon、および Citrixリソース用のセルフサービスアプリケーションカタログ。

n シングルサインオン (SSO) での Web/仮想の起動。

n Touch ID/PIN アプリケーション保護。

n デバイスジェイルブレイク検出。

n 認証ポリシーおよびデバイスの

ブロックを含む、VMwareIdentity Manager の条件付きアクセスのサポート

n ネイティブアプリケーションの管理対象およびダイレクトのイ

ンストール。

n 内部アプリケーションおよび

SDK アプリケーションの管理

n アプリケーション構成のサポー

ト。

n アプリごとの VPN

n SAML 対応のネイティブアプリケーション用ワンタッチ

SSO。

n デバイスプロファイル。

n Workspace ONE UEM コンプライアンスエンジン。

ユーザーは、自分のデバイスにアクセス

するための管理者権限を与えるため、自

分のデバイスに管理プロファイルをイ

ンストールします。

管理対象アクセスを持つアプリケーシ

ョンは、Workspace ONE UEM が管理するデバイスから使用できます。

Workspace ONE UEM がデバイスを管理していない場合は、WorkspaceONE はデバイス上のユーザーにWorkspace ONE UEM への登録を求めます。デバイスが登録されている場

合、ユーザーはデバイスを使用して、

Workspace ONE を介してアプリケーションにアクセスできます。

n ユーザーが組織を離れた、またはデバイス

を失くしたときに、デバイスから社内機密

データを削除する目的で使用します。

n アプリケーションがイントラネットにア

クセスするときに、認証し、内部バックエ

ンドリソースと安全に通信するためにアプリケーショントンネリングを必要とします。

n アプリケーションのシングルサインオンを有効にします。

n アプリケーションのユーザーの導入とイ

ンストールのステータスを追跡します。

n 登録時に自動的にアプリケーションを展

開します。

社内アプリケーション用の管理対象アクセスオプションを構成する場所、または Workspace ONE を介して展開のためにパブリックアプリケーションを追加する方法については、『Workspace ONE UEMモバイルアプリケーション管理ガイド』を参照してください。


VMware, Inc. 61

アプリケーションへのアクセスの管理

1 人のユーザーは、ネイティブアプリケーションへのオープンまたは管理対象のアクセスの混合に資格が付与される場合があります。このアダプティブ管理方法によって、管理を必要とせずに、エンドユーザーにオープンアクセスアプリケーションの使用を許可できます。ユーザーが管理を必要とするネイティブアプリケーションを要求すると、アダプティブ管理は、そのネイティブアプリケーションの管理に必要な追加のセキュリティとコントロールを提供します。

アプリケーションが管理対象の場合、ユーザーは Hub サービスを有効にして、管理対象アプリケーションをインストールして使用する必要があります。Workspace ONE UEM コンソールでアプリケーションをアップロードすると、そのアプリケーションの構成に基づいて、オープンまたは管理対象のいずれかとしてアクセスの状態が表示され

ます。たとえば、[アプリケーション構成の送信]オプションが選択されている場合、アプリケーションは管理を要求するように設定されます。

カタログで、管理が必要なアプリケーションを未管理状態で表示すると、星印のアイコンが表示されます。[アプリケーションを使用するには、ユーザーはアダプティブ管理プロセスを介して Workspace サービスを有効にする必要があります]。ユーザーが、星印のアイコンが表示されたアプリケーションをダウンロードしようとすると、登録することを確認するメッセージがユーザーに表示されます。プライバシー通知リンクをクリックして、アダプティブ管理プ

ロセスの続行を選択した場合の個人情報に対するプライバシーの影響を確認することができます。プライバシー通知

は、登録先の Workspace ONE UEM 環境から自動的に設定をプルします。プライバシー設定情報を確認した後、ユーザーは MDM の有効化に進むか、引き返して、デバイス上で Intelligent Hub アプリケーションを非管理対象として使用し続けるかのいずれかを選択できます。ユーザーのデバイスが MDM にあるときは、すべての管理対象アプリケーションから星印のアイコンが消えます。


VMware, Inc. 62

Workspace ONE Intelligent Hub アプリケーションのユーザーエクスペリエンス 10VMware Workspace ONE® Intelligent Hub アプリケーションは、ユーザーが企業のリソース、チーム、およびワークフローに安全にアクセスし、検出、接続、および操作するための単一のターゲットを提供します。

Intelligent Hub アプリケーションは、企業デバイスと個人デバイスの両方のセキュリティを保護する、シンプルで統合されたオンボーディングエクスペリエンスを提供します。Intelligent Hub アプリケーションを使用すると、組織はビジネスアプリケーションにアクセスするための統合カタログ、従業員に情報を提供するための実行可能な通知、サイロをなくすための People ディレクトリ、および Hub サービスの統合を通じて企業リソースに簡単にアクセスできるカスタムタブなどの機能を使用できます。

Intelligent Hub アプリケーションを iOS、Android、および macOS デバイスにインストールして、会社のリソースへのアクセスを管理することができます。

Intelligent Hub のユーザーインターフェイスは、スマートフォン、テーブル、およびデスクトップで同じように使用できます。カタログページには、ユーザーのリソースとして追加されたアプリケーションが表示されます。ユーザーは、タップまたはクリックし、アプリケーションを検索、追加、お気に入りとしてマークしたり、使用可能なアプ

リケーションのリストを更新できます。


n デバイスへの Intelligent Hub アプリケーションのインストールと設定

n Workspace ONE Intelligent Hub アプリケーションのパスコードの設定

n Intelligent Hub アプリケーションからアプリケーションにアクセスする場合のユーザーエクスペリエンス

n Intelligent Hub アプリケーションのアカウント設定

n Hub アプリケーションでの People 機能の使用

n 通知の受信

n ネイティブアプリケーションへのアクセス

n Web ブラウザでアプリケーションにアクセスする際のユーザーエクスペリエンス

n Web ブラウザのビューで使用可能なアカウント設定

VMware, Inc. 63

デバイスへの Intelligent Hub アプリケーションのインストールと設定

ユーザーがデバイスアプリストアから Intelligent Hub アプリケーションをダウンロードするか、管理者がWorkspace ONE UEM を構成して Intelligent Hub アプリケーションを管理対象アプリケーションとしてデバイスにプッシュすることができます。

ユーザーが最初にアプリケーションをインストールする場合、一連の画面を移動して管理モードでデバイスを設定す

る準備をし、作業用データと個人用データをデバイス上で分離するために使用される Workspace Services プロファイルをインストールして有効にします。

プライバシーとデータ共有

VMware Workspace ONE は、ユーザーの作業用データやアプリケーションへの安全なアクセスを提供するために情報を収集します。ユーザーには、同意が必要なプライバシーとデータ共有に関する通知が表示されます。プライバシ

ーの通知には、次の情報が表示されます。

n Hub によって収集されるデータ - アプリケーションによって収集および処理されたデータのサマリを提供します。このデータの一部は、Workspace ONE UEM の管理コンソールの管理者に表示されます。

n Hub の権限 - デバイスへのプッシュ通知など、製品の機能を有効にするためにアプリケーションに要求されるデバイス権限のサマリを提供します。これらの権限はユーザーのデバイス設定でいつでも変更できますが、変更は

アプリケーションの機能に影響を与える可能性があります。

n 会社のプライバシーポリシー - デフォルトでは、会社に関する詳細情報を入手するためのメッセージがユーザーに表示されます。管理者によって構成されている場合は、[会社のプライバシーポリシー] をタップして、雇用者のプライバシーポリシー情報にアクセスします。

Workspace ONE Intelligent Hub アプリケーションのパスコードの設定

ユーザーは、デバイスでロックアウトパスコード機能を有効にする必要があります。有効でない場合、IntelligentHub アプリケーションの初回起動時にパスコードを作成するように求められます。このパスコードは、ユーザーがデバイスから Intelligent Hub にアクセスするときに毎回入力されます。

パスコードが設定される場所は、プラットフォームによって異なります。Android デバイスでは、パスコードはアプリケーションレベルで設定されます。Window デスクトップデバイスと iOS デバイスでは、パスコードはデバイスレベルで設定されます。

注: iOS デバイスおよび Android デバイスは、Touch ID 指紋認証機能もサポートします。

VMware Workspace ONE Intelligent Hub アプリケーションは、デバイス上で発生する可能性のあるセキュリティ問題を検出できます。ユーザーがデバイス上でパスコードを無効にすると、次回 Intelligent Hub アプリケーションにアクセスするときに、パスコードを設定するように要求されます。アプリケーションレベルのパスコードが有効に

なっている場合、ユーザーはアプリケーションレベルのパスコードを無効にすることはできません。


VMware, Inc. 64

Intelligent Hub アプリケーションからアプリケーションにアクセスする場合のユーザーエクスペリエンスユーザーはアプリケーションにアクセスしたり、使用資格を付与されている Web、モバイル、および仮想アプリケーションをインストールしたりすることができます。Web アプリケーションと仮想アプリケーションは、ユーザーのポータルから直接開くことができます。iOS や Android アプリケーションなどのネイティブアプリケーションは、デバイスのスプリングボードから起動されます。

Hub サービスで構成したカタログページのレイアウトは、ユーザーが Intelligent Hub アプリケーションを開くときに表示されます。プロモーションのために選択したアプリケーションまたはカテゴリが画面の上部に表示されま

す。[新しいアプリ] セクションに新しいアプリケーションが表示されます。アプリケーションが論理カテゴリに編成されると、これらのカテゴリが表示されます。

ユーザーは、[お気に入り] リストに追加するアプリケーションを選択して、アクセスを高速化できます。

図 10-1. デバイス上のカタログビュー


VMware, Inc. 65

Intelligent Hub アプリケーションのアカウント設定ユーザーは、デバイスの画面の右上隅にある写真アイコンをクリックして、Intelligent Hub のアカウント設定にアクセスできます。

n このデバイス。デバイスの登録ステータスが表示されます。登録、コンプライアンス、ネットワーク、メッセー

ジ、および環境設定を表示できます。[基本設定] では、デバイス通知とアプリケーション通知の基本設定を構成できます。

n サポート。[サポート] 画面では、サポートに電話または E メールで連絡し、接続を確認するためのテストを実行できます。デバイスがコンプライアンスを遵守していない場合は、[コンプライアンスを更新] をクリックします。[詳細] セクションは、デバイスのバッテリ、メモリ、およびストレージの詳細を表示するために使用できます。[ログを送信] リンクを使用すると、デバイスから UEM Console にログを送信できます。

n 関連情報。Intelligent Hub アプリケーションのバージョン、法律に関する情報、およびプライバシー情報を表示できます。

n パスワードを変更。[パスワードを変更] が表示されると、ユーザーは Intelligent Hub アプリケーションからアクセスパスワードを変更できます。

Hub アプリケーションでの People 機能の使用Hub サービスで People 機能を有効にすると、従業員は組織の Active Directory を検索して、自分のデバイスから同僚の詳細および組織図を表示できます。

[People] タブは、デバイスの画面下部にあるタブバーにあります。従業員が [People] をクリックすると、レポートの階層が表示されることがあります。検索アイコンをクリックして、組織内のユーザーの名前を入力し、その連絡先

情報を検索できます。

ユーザーが検索結果から連絡先を選択すると、メールアドレス、電話番号、およびオフィスの住所を含む同僚のプロファイルを表示できます。組織リンクをクリックして階層を表示し、組織内の他の同僚に移動できます。

従業員は [プロファイル] ページのリンクをクリックして、クイックメールを送信したり、同僚に電話をかけたりすることができます。

通知の受信

Hub サービスで通知機能を有効にすると、従業員は自分のアプリケーションポータルやデバイスの Intelligent Hubアプリケーションで、プッシュ通知を含む実行可能なリアルタイムのメッセージを受信できます。

通知インジケータベルは、デバイスのタブバーに表示されます。過去 90 日間の未読メッセージの数が表示されます。表示されている通知がない場合は、[すべて正常に実行されました] というメッセージが表示されます。未読の通知または優先する通知がある場合は、タブに通知の数が表示されます。

ほとんどのメッセージは、通常の通知として送信されます。通常の通知は、実行可能な通知または情報目的での通知

であり、ユーザーはメッセージに応答する必要はありません。これらのメッセージは [通知] ページの [保留中] セクションに表示されます。最新の通知が一番上に表示され、確認後に [完了しました] セクションに移動します。


VMware, Inc. 66

API から通知を作成し、ユーザーがタイムリーに確認または応答する必要がある重要な情報の場合は、優先する通知としてマークすることができます。これらのメッセージは、[通知] ページの一番上の [保留中] セクションで、通常の通知の上に表示されます。ユーザーには優先する通知が受信されたことを示すバナーも表示される場合があります。

バナーをクリックすると、[通知] ページに移動できます。通知ベルアイコンの通知カウントは、ユーザーが通知要求に対してアクションを実行するまで、優先する通知の数をカウントします。


VMware, Inc. 67

表 10-1. 受信した通知のタイプ

新しいアプリケーションの可用性管理者が新しいアプリケーションをリソースとして割り当てるたびに、ユ

ーザーに通知が送信されます。ユーザーは通知のリンクをクリックして、

アプリケーションの詳細を確認し、アプリケーションをカタログに追加す

ることができます。

図 10-2. 新しいアプリケーションの通知

承認要求ユーザーは承認通知を承認または拒否できます。

図 10-3. 承認通知

カスタム通知管理者は、カスタム通知を作成できます。

図 10-4. カスタム通知


VMware, Inc. 68

。

ユーザーがアクションボタンをクリックして通知に応答すると、通知は [保留中] から [完了しました] に移動します。通知は 90 日間保管され、その後削除されます。

通知を受信する設定は、Intelligent Hub アプリケーションで有効になっています。ユーザーは、Intelligent Hub アプリケーションの [デバイス] > [基本設定] ページで通知設定を管理できます。また、Mobile Flow を介して通知を生成するその他のビジネスシステムアプリケーションの通知も管理できます。

ネイティブアプリケーションへのアクセスネイティブアプリケーションは、特定のモバイルデバイス向けに開発されたアプリケーションプログラムです。Workspace ONE UEM での使用資格が付与されたネイティブアプリケーションは、カタログページから表示できます。たとえば、iOS デバイスからカタログを表示する場合は、ユーザーに使用資格が付与された iOS アプリケーションのみが表示されます。

カタログページで [インストール] をタップすると、アプリケーションをデバイスにインストールできます。[インストール] をタップするとポップアップウィンドウが表示されるので、次の処理を確認できます。表示される情報は、アプリケーションのタイプとプラットフォームによって異なります。

ネイティブアプリケーションをお気に入りとしてマークし、Intelligent Hub アプリケーションの [お気に入り] セクションに表示できます。

アプリケーションで iOS デバイスが Workspace ONE UEM によって管理されている必要がある場合、エンドユーザーがそのアプリケーションをダウンロードしようとすると、管理が必要というメッセージが表示されます。

Web ブラウザでアプリケーションにアクセスする際のユーザーエクスペリエンス

ユーザーはアプリケーションにアクセスしたり、使用資格を付与されている仮想アプリケーションを含むアプリケー

ションをインストールしたりできます。

ユーザーがブラウザで Hub カタログを開くと、Hub サービスで構成した Web ブラウザカタログページのレイアウトが表示されます。[新しいアプリ] セクションに新しいアプリケーションが表示されます。アプリケーションが論理カテゴリに編成されると、これらのカテゴリが表示されます。

注: モバイルアプリケーションは、デスクトップブラウザからは使用できません。


VMware, Inc. 69

図 10-5. Web ブラウザのビュー

Web ブラウザのビューで使用可能なアカウント設定ユーザーが Intelligent Hub Web ブラウザのビューを表示している場合、右上隅の名前をクリックすると、アカウントの設定が表示され、ログアウトすることができます。

パスワードの変更が構成されている場合は、[パスワードの変更] をクリックしてパスワードを変更できます。

[基本設定] では、ユーザーのデバイスで Horizon リモートアプリケーションを開く方法（Horizon Client で開くかブラウザで開くか）に関するデフォルトの基本設定を指定します。ユーザーは、Intelligent Hub アプリケーションでデフォルトの起動環境を設定できません。


VMware, Inc. 70

その他のドキュメントへのアクセス 11Workspace ONE 統合を構成するときに、以下のドキュメントセンターから追加のドキュメントへのアクセスが必要になる場合があります。

n VMware Workspace ONE ドキュメントセンター

n VMware Identity Manager Connector のインストールと構成

n VMware Workspace ONE Intelligent Hub の展開

n VMware Workspace ONE への Android モバイルシングルサインオン

n VMware Workspace ONE への iOS モバイルシングルサインオン

n VMware Workspace ONE UEM ドキュメントセンター

n AirWatch Cloud Connector

n VMware Workspace ONE UEM モバイルデバイス管理のドキュメント

n VMware Workspace ONE UEM モバイルアプリケーション管理のドキュメント

n VMware Identity Manager ドキュメントセンター

n VMware Identity Manager 管理ガイド (Cloud)

n VMware Identity Manager でのリソースのセットアップ (Cloud)

VMware, Inc. 71




Documents

Hub サービスを使用した VMware Workspace ONE …Workspace ONE Intelligent Hub from AirWatch Agent への移行 57 Intelligent Hub アプリケーションのモバイル デバイス管理設定

Hub サービスを使用した VMware Workspace ONE …Workspace ONE Intelligent Hub from AirWatch Agent への移行 57 Intelligent Hub アプリケーションのモバイルデバイス管理設定