iOS
デバイスの管理
最新の技術ドキュメントは、 VMware の Web サイト(https://docs.vmware.com/jp/) VMware, Inc. 3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com ヴイエムウェア株式会社 105-0013 東京都港区浜松町 1-30-5 浜松町スクエア13F www.vmware.com/jp
1
iOS
デバイスの管理の概要
7
iOS 管理作業における前提条件 7
2
iOS
デバイス加入の概要
8
iOS デバイスを加入させるための要件 10
iOS デバイスにおける加入タイプ別の利用可能な機能一覧 10
Workspace ONE Intelligent Hub を使用した iOS デバイスの加入処理 12 Safari ブラウザを使用した iOS デバイスの加入処理 13
Apple Configurator を使用した iOS デバイスの一括加入 14
Apple Business Manager のデバイス登録プログラム (DEP) を使用したデバイス加入 15
ユーザー加入 15 ユーザー加入を使用して iOS デバイスを加入させる 16 ユーザー加入デバイスでのアプリ管理 17
3
デバイス
プロファイル
18
デバイスパスコードプロファイル 20 デバイスパスコードプロファイルを構成する 21 デバイス制限プロファイル 22 制限事項プロファイルの構成 22 デバイス制限事項プロファイルを構成する 27 Wi-Fi プロファイルを構成する 28 仮想プライベートネットワーク (VPN) プロファイルを構成する 29 Forcepoint コンテンツフィルタプロファイルを構成する 31 Blue Coat コンテンツフィルタプロファイルを構成する 32 オンデマンド VPN プロファイルを構成する 33 アプリベースの VPN プロファイルを構成する 35 アプリベースプロファイルを使用するようパブリックアプリを構成する 36 アプリベースプロファイルを使用するよう社内アプリを構成する 36 E メールアカウントプロファイルを構成する 36iOS デバイスの Exchange ActiveSync (EAS) メール 38
ネイティブメールクライアントの EAS メールプロファイルの構成 38 通知プロファイルを構成する 40 LDAP 設定プロファイルを構成する 41 CalDAV または CardDAV プロファイルを構成する 41 定期配信カレンダープロファイルを構成する 42 Web クリッププロファイルを構成する 42 SCEP/資格情報プロファイルを構成する 43 グローバル HTTP プロキシプロファイルを構成する 44
シングルアプリモードプロファイルを構成する 45 シングルアプリモードで実行されているデバイスを再起動する 46 iOS デバイスのシングルアプリモードを終了する 46 デバイス管理者がデバイス上でシングルアプリモードを終了できるようにする 47 Web コンテンツフィルタプロファイルを構成する 47 ビルトイン:ウェブサイトを許可 48 ビルトイン:ウェブサイトをブロック 48 プラグイン 48 管理ドメインプロファイルを構成する 49 ネットワーク使用量規則プロファイルを構成する 50 macOS サーバアカウントプロファイルを構成する 51 シングルサインオンプロファイルを構成する 51 SSO 拡張機能プロファイルを構成する 53 AirPlay ホワイトリストプロファイルを構成する 54 AirPrint プロファイルを構成する 56 AirPrint プリンタ情報の取得 56 セルラー設定プロファイルを構成する 57 ホーム画面レイアウトプロファイルを構成する (iOS の監視モード) 57 ロック画面メッセージプロファイルを作成する 58 Google アカウントサポートプロファイルを構成する (iOS) 58 カスタム設定プロファイルを構成する 59
4
順守ポリシー
62
5
iOS
のアプリ
63
iOS 向け Workspace ONE Intelligent Hub 63
iOS デバイスの Workspace ONE Intelligent Hub 設定を構成する 65 iOS 向け Workspace ONE Intelligent Hub Mobile Application 66 VMware Workspace ONE Content 67
VMware Workspace ONE Web 67 VMware Workspace ONE Boxer 67 iOS 向け AirWatch Container 68
シングルサインオンパスコードをアプリケーションレベルで適用する 68 Apple Configurator の概要 69
署名付きの Apple Configurator プロファイルを UEM Console にアップロードする 69
6
iOS
デバイスの構成
71
Apple の業種別テンプレート 71
Apple の業種別テンプレートを作成する 73
Apple の業種別テンプレートのアプリケーションリストを編集する 74
Apple iBeacon の概要 75 iOS デバイス用に iBeacon を有効にする 76 iBeacon グループをデバイスプロファイルに割り当てる 77 iBeacon グループに順守ポリシーを追加する 77 アクティベーションロックの概要 77 iOS デバイスのアクティベーションロックを有効にする 78 アクティベーションロックの状態を表示する 78 iOS デバイスのアクティベーションロックを解除する 79 iOS デバイス用に AirPlay を要求する 81 リモート表示 82 リモート表示で UEM Console を構成する 83 エンドユーザーデバイスの構成 83 リモート表示セッションを開始する 84 iOS デバイスの管理設定を構成する 85 既定のローミングの設定を上書きする (iOS) 85 既定の壁紙を設定する 86 既定の組織情報を設定する 86 iOS デバイスにフォントをインストールする 86
iOS アプリケーションに対する Cisco QoS のマーキング 87
7
Apple
プッシュ通知サービス
(APNs) 88
Apple プッシュ通知サービスのワークフロー 898
デバイス管理
90
デバイスダッシュボード 90 デバイスリスト表示 91 iOS デバイスでのデバイス詳細画面の使用 94 デバイス管理のためのカスタムコマンドを構成して展開する 100 OS 更新の管理 100 iOS 更新管理の前提条件 101 使用可能な iOS 更新の表示 101 iOS 更新の割り当てと公開 102 iOS 更新の一時停止と一時停止解除 103 iOS 更新の割り当ての監視 104 個々のデバイスでの iOS 更新の管理 104 iOS 更新の延期 105 監視対象の iOS デバイスのデバイス名を設定する 106 AppleCare GSX 106 AppleCare GSX を統合するための Apple 証明書を取得する 107 UEM コンソールで AppleCare GSX を構成する 1079
共有デバイス
109
共有デバイスの階層を定義する 110
共有デバイスを構成する 111
共有 iOS デバイスのログイン/ログアウト 113
1
Workspace ONE UEM powered by AirWatch
は、iOS
デバイスの展開時にデバイス加入、セキュリティ保 護、構成、および管理を行うための、堅牢なモビリティ管理ソリューションです。Workspace ONE UEM Console
を通じて、以下のことができます。 n 企業所有デバイスおよび従業員デバイスのライフサイクル全体を管理するn エンドユーザーがさまざまなタスクを自分で実行できるようにする
(
例:
セルフサービスポータル(SSP)
での 加入プロセス)
n 社内の特定のグループおよび従業員にプロファイルを適用し、デバイスの順守状態とセキュリティを維持する
n 既存の企業アプリケーションと
Workspace ONE UEM
ソフトウェア開発キット(SDK)
を組み合わせて使 用し、アプリケーションの機能を強化するn レポート作成ツール、および検索とカスタマイズが可能なダッシュボードを使用し、デバイス全体の継続的なメ ンテナンスと管理を行う
サポートする
iOS
デバイス
Workspace ONE UEM
でサポートされているデバイスは、iOS 5.0
以降を搭載しているiPhone
、iPad
、およびiPod Touch
です。Workspace ONE UEM
とiOS
の一部の機能には、新しいバージョンのソフトウェアが必要 です。これらの追加要件は、該当する場合、ドキュメンテーションに記載されています。この章には、次のトピックが含まれています。
n
iOS
管理作業における前提条件iOS
管理作業における前提条件
作業の多くを実行するには、次の情報が必要です。管理作業を行う前にこれらのものを用意してください。
n
[UEM console] – UEM console
に管理者権限でアクセスできる必要があります。これにより、プロファイル とポリシーを作成することや、Workspace ONE UEM
環境内のデバイスを管理することができます。 n[
資格情報] –
このユーザー名とパスワードを使用することによって、UEM
コンソール環境にアクセスできます。資格情報は、ネットワークディレクトリサービスの資格情報と同じ場合も、
UEM
コンソールで一意に定義され ている場合もあります。n
[Apple
プッシュ通知サービス(APNs)
証明書] –
この証明書は組織に対して発行されるものであり、Apple
の クラウドメッセージングサービスの利用を許可するものです。2
組織の展開に配置されている各デバイスが
Workspace ONE UEM
と通信して組織内のコンテンツと機能にアク セスするには、モバイルデバイス管理(MDM)
を使用して、組織の環境に加入する必要があります。iOS
デバイス は、ネイティブOS
に組み込まれているMDM
機能を使用して加入を行います。加入要件
iOS
デバイスを加入させるには、管理者またはエンドユーザーが特定の情報を収集する必要があります。エンドユー ザーが必要とする情報は、管理者が自動検出を行うためにE
メールドメインを貴社環境に関連付けているかどうか によって異なります。 貴社のE
メールドメインをAirWatch
環境に関連付けるには、エンドユーザーがE
メールアドレスと資格情報を 入力する(
場合によってはリストからグループID
を選択する)
必要があります。これらはエンドユーザーにとって 既知の情報なので、簡単に加入を行うことができます。 加入の際にE
メールドメインを設定しない場合は、加入のURL
とグループID
も入力を要求されます。これらは、 管理者がエンドユーザーに提供します。 加入要件の詳細については、iOS
デバイスを加入させるための要件を参照してください。1
台のデバイスの加入
加入したデバイスに対して実行できるデバイス管理機能は、選択した加入タイプによって異なります。Workspace
ONE UEM
では、Hub
ベースの加入方法とAgent
なしの加入方法のそれぞれにおいて利用可能な機能を示したマ トリックスが用意されています。貴社のニーズを満たす加入方法を選ぶ際に、このマトリックスをお役立てください。Hub
ベースの加入とブラウザベースの加入の比較マトリックスについては、iOS
デバイスにおける加入タイプ別の利用可能な機能一覧を参照してください。
Hub
ベースの加入
Workspace ONE Intelligent Hub
アプリを使用したHub
ベースの加入処理を実行すると、iOS
デバイスとWorkspace ONE UEM
環境の間の接続が確立されます。Workspace ONE Intelligent Hub
アプリケーショ ンを使用することで加入プロセスを簡素化することができます。また、デバイスをリアルタイムで管理したりデバイ ス情報にアクセスしたりすることもできます。Hub
ベースの加入は、ユーザーが使用可能なApple ID
を持ってい る場合に適しています。この場合、ユーザーはApp Store
からWorkspace ONE Intelligent Hub
をダウンロ ードします。ハブベースの加入の詳細については
iOS
向けWorkspace ONE Intelligent Hub
およびWorkspace ONE
Intelligent Hub
を使用したiOS
デバイスの加入処理を参照してください。ブラウザベースの加入
iOS
デバイスに搭載されているSafari
ブラウザを使用することにより、ウェブベースの加入プロセスを実行してデ バイスを加入させることもできます。ユーザーがApple ID
を持っていないためにWorkspace ONE Intelligent
Hub
をダウンロードできない場合は、この加入方法が最適です。ブラウザベースの加入の詳細については、
Safari
ブラウザを使用したiOS
デバイスの加入処理を参照してくださ い。デバイスの一括加入
展開タイプとデバイスの所有権モデルに応じて、デバイスを一括加入することができます。
Workspace ONE
UEM
は、Apple Configurator 2
およびApple Business Manager
のデバイス登録プログラム(DEP)
を使用 した一括加入機能を備えています。Apple Configurator 2
による一括加入
Workspace ONE UEM
では、Apple Configurator 2
独自のセットアップ機能を業務に活かすことができます。 たとえば、iOS
のバージョン管理機能やバックアップを完全に防止する機能などです。macOS
コンピュータ上でApple Configurator 2
を使用して、USB
接続を通じてデバイスの一括加入処理を実行することができます。Apple Configurator
を使用した一括加入の詳細については、Apple Configurator
を使用したiOS
デバイスの 一括加入を参照してください。Apple
デバイス登録プログラム
(DEP)
による一括加入
Apple
デバイス登録プログラム(DEP)
による一括加入を展開すると、削除不可能なMDM
プロファイルをデバイ スにインストールできます。エンドユーザーは、このプロファイルをデバイスから削除することはできません。また、 デバイスを監視モードでプロビジョニングして、追加のセキュリティ設定および構成設定にアクセスできます。Apple Business Manager
を使用した加入の詳細については、Apple Business Manager
のデバイス登録プログラム
(DEP)
を使用したデバイス加入を参照してください。この章には、次のトピックが含まれています。
n
iOS
デバイスを加入させるための要件n
iOS
デバイスにおける加入タイプ別の利用可能な機能一覧n
Workspace ONE Intelligent Hub
を使用したiOS
デバイスの加入処理 nSafari
ブラウザを使用したiOS
デバイスの加入処理n
Apple Configurator
を使用したiOS
デバイスの一括加入n ユーザー加入
iOS
デバイスを加入させるための要件
iOS
デバイスを加入させるには、貴社または貴社のエンドユーザーは特定の情報が必要になります。この情報は、自 動検出の一部として環境にE
メールドメインを関連付けるかどうかに依存しています。E
メール
ドメインが貴社環境に関連付けられている場合に必要な情報
n[E
メールアドレス] –
貴社に関連付けられているE
メールアドレス。例: [email protected]
n[QR
コード] –
エンドユーザーは、UEM
コンソールで生成されE
メールで送信されたQR
コードをスキャン できます。n
[Apple ID] – Hub
ベースの加入処理を行うユーザーごとに必要です。E
メール
ドメインが貴社環境に関連付けられていない場合
E
メールドメインが貴社環境に関連付けられていない場合、エンドユーザーはE
メールアドレスを入力するよう要 求されます。また、自動検出機能が無効になっているので、さらに次の情報を入力するよう要求されます。n
[
加入URL] –
このURL
は貴社の加入環境に一意に割り当てられます。エンドユーザーはこのURL
をクリッ クして、加入画面を直接開くことができます。例:[https://<
環境名>] - [.com/enroll].
n
[
グループID] –
グループID
は、エンドユーザーのデバイスを企業内役割と関連付けるものです。グループID
は、
UEM Console
で、特定の組織グループに対応するように定義されます。カーソルを組織グループのドロッ プダウンメニューに置いて、現在のグループのグループID
を確認することができます。n
[Apple ID] – Hub
ベースの加入処理を行うユーザーごとに必要です。iOS
デバイスにおける加入タイプ別の利用可能な機能一覧
次のマトリックスは、
Hub
ベースの加入方法とAgent
なしの加入方法のそれぞれにおいて利用可能な機能を示した ものです。貴社のニーズを満たす加入方法を選ぶ際に、このマトリックスをお役立てください。機能 Hub ベース AirWatch Agent を使用しない加入方法
加入 Apple ID 必須 オプション 利用規約の承諾が必要 はい はい Active Directory/LDAP/SAML との統合 はい はい 二要素認証 はい はい 個人所有デバイスの持ち込み (BYOD) はい はい デバイスの代理セットアップ はい⁰ はい ブランディング 部分的に可能 はい 構成プロファイルの管理 プロファイルの表示および管理 はい はい
機能 Hub ベース AirWatch Agent を使用しない加入方法 セキュリティ設定 (例: データ暗号化、パスワード ポリシー) はい はい デバイス制限事項 はい はい 証明書の管理 はい はい Eメールと Exchange ActiveSync 管理 はい はい デバイス情報 デバイス情報 (例: モデル、シリアル番号、IMEI 番号) はい はい GPS 追跡 はい いいえ 電話番号 はい はい メモリ情報 はい はい バッテリ情報 はい はい UDID はい はい 侵害状態およびジェイルブレイクの検出 はい はい† アクティベーション ロックの状態 はい はい "iPhone を探す" 機能の状態 はい はい iCloud バックアップの状態 はい はい 最終バックアップ日時 はい はい ネットワーク情報 セルラー情報 (例: MCC/MNC、SIM カード情報) はい はい テレコム ローミング情報 はい はい テレコム使用量情報 はい はい† IP アドレスの取得 はい はい† Bluetooth 接続時の MAC アドレス はい はい Wi-Fi 接続時の MAC アドレス はい はい 管理コマンド フルデバイス ワイプ はい はい 企業情報ワイプ はい はい デバイス ロック はい はい パスコードを消去 はい はい E メール メッセージング はい はい SMS メッセージング はい はい APNs プッシュ メッセージング はい はい† リモート表示 はい いいえ デバイス名の設定 はい はい 制限事項パスコードの消去 はい はい アプリケーション管理
機能 Hub ベース AirWatch Agent を使用しない加入方法
アプリケーションの表示および管理 はい はい
Volume Purchase Program (VPP) はい はい
アプリケーション リスト はい はい
アプリのアップデートがリリースされていることを示すバッジの表示 はい はい† コンテンツ管理
コンテンツ管理 はい* はい*
⁰
エンドユーザーは、初回同期時に購入情報を転送する必要があります。† Workspace ONE UEM SDK
が埋め込まれたアプリがデバイス上に存在している必要があります。* iTunes
からVMware Content Locker
アプリをダウンロードし、インストールする必要があります。Workspace ONE Intelligent Hub
を使用した
iOS
デバイスの加入
処理
Hub
ベースの加入プロセスを実行すると、iOS
デバイスとWorkspace ONE UEM
環境の間の接続がセキュリテ ィ保護されます。Workspace ONE Intelligent Hub
アプリケーションを使用することで加入プロセスを簡素化 することができます。また、デバイスをリアルタイムで管理したりデバイス情報にアクセスしたりすることもできま す。Workspace ONE Intelligent Hub
のすべての機能を使用し、それと同時にWeb
経由の加入プロセスも許可した い場合には、ユーザーにWorkspace ONE Intelligent Hub
経由で加入することを許可できます。この設定では、Workspace ONE Intelligent Hub
をダウンロードしていないエンドユーザーは加入できません。[
グループと設定] - [
すべての設定] - [
デバイスとユーザー] - [
全般] - [
加入] - [
認証]
の順に進み、[iOS
のHub
の 加入を必須とする]
を選択します。Workspace ONE Intelligent Hub
を使用してiOS
デバイスを加入させるには、以下の手順を実行します。手順
1
Safari
ブラウザで[getwsone.com]
を開きます。Workspace ONE UEM
により、エンドユーザーはApp Store
にアクセスしてWorkspace ONE Intelligent Hub
アプリケーションをダウンロードするよう に自動的に促されます。ダウンロードプロンプトに従います。iTunes Store
からWorkspace ONE
Intelligent Hub
をダウンロードするには、Apple ID
が必要です。2
Workspace ONE Intelligent Hub
アプリケーションを選択し、次のいずれかの認証方法を選択します。a
[E
メールアドレス] –
貴社の環境で自動検出機能が構成されている場合、この認証方法を選択します。ドロ ップダウンメニューからグループを選択するよう要求されることもあります。b
[
サーバ詳細] –
サーバURL
を使用して加入を行う場合はこれを選択します。このサーバURL
は、貴社のWorkspace ONE UEM
およびデバイスに関連付けられているグループのグループID
が存在するネット ワーク上の場所です。c
[QR
コード] – [E
メール]
タブまたは[
サポート]
タブを通じて受信したQR
コードをデバイスでスキャン して使用する場合はこれを選択します。3
資格情報を入力し、デバイスを認証させます。資格情報は、[
ユーザー名]
と[
パスワード]
の組み合わせ、[
トー クン]
、ユーザー名/
パスワードとトークンの組み合わせ、のいずれかです。a
資格情報を誤って入力すると、CAPTCHA
コードが表示されます。表示されているCAPTCHA
コードを 入力し、認証を完了させます。4
管理者によって決められた次のプロセスフローを実行します。各ページでの設定が完了したら、[
次へ]
を選択し ます。a
必要に応じて、[
デバイス所有形態]
タイプを選択します。b
必要に応じて、社内[
利用規約]
に同意します。c
必要に応じて、デバイス[
アセット番号]
を入力します。5
プライバシー収集情報を確認したら、[
次へ]
を選択します。6
Safari webview
にリダイレクトされると、MDM
プロファイルをダウンロードするよう求められます。次のメ ッセージが表示されます。 このWeb
サイトは構成ファイルをダウンロードしようとしています。これを許可しますか?
7
[
許可]
をタップし、ダウンロードが完了したら[
閉じる]
をタップします。a
iOS
デバイス12.2
以降の場合は、[
続行]
をタップしてHub
を開き、画面の指示に従ってMDM
プロファ イルをインストールし、MDM
警告メッセージが表示されたら、[
インストール]
を選択します。b
iOS 12.2
より前のデバイスの場合、MDM
プロファイルのインストールを要求された場合、インストール します。MDM
警告メッセージが表示されるので、[
インストール]
を選択します。8
[
許可]
を選択して、MDM
プロファイルをダウンロードします。9
MDM
プロファイルをインストールします。必要に応じて、信頼に関するプロンプトを受け入れます。10
MDM
プロファイルがインストールされたら、Hub
に戻ります。11
[
完了]
をタップし、加入を完了させます。成功したことを示すメッセージが表示されます。これで、Workspace ONE UEM
への加入が完了しました。a
プロンプトが表示された場合、共有デバイス用の[
パスコード]
をセットアップするか、または共有デバイス 用の資格情報を追加で入力します。セルフサービスポータルにログインし、手順に従ってパスコードをセッ トアップします。b
[
開く]
を選択すると、Workspace ONE Intelligent Hub
の詳細が表示されます(オプション)。Safari
ブラウザを使用した
iOS
デバイスの加入処理
iOS
デバイスに搭載されているSafari
ブラウザを使用することにより、ウェブベースの加入プロセスを実行してデ バイスを加入させることができます。ユーザーがApple ID
を持っていないためにWorkspace ONE Intelligent
Hub
をダウンロードできない場合は、この加入方法が最適です。Web
ベースの加入プロセスを使用してiOS
デバイスを加入させるには、以下の手順を実行します。手順
2
[https://<Environment_URL>.com/enroll]
を開きます。3
(環境に自動検出が設定されている場合)[
グループID]
または[
メールアドレス]
を選択して、iOS
デバイスを 加入させます。[
次へ]
を選択します。4
資格情報を入力し、デバイスを認証させます。資格情報は、[
ユーザー名]
と[
パスワード]
の組み合わせ、[
トー クン]
、ユーザー名/
パスワードとトークンの組み合わせ、のいずれかです。a
資格情報を誤って入力すると、CAPTCHA
コードが表示されます。表示されているCAPTCHA
コードを 入力し、認証を完了させます。5
管理者によって決められた次のプロセスフローを実行します。各ページでの設定が完了したら、[
次へ]
を選択し ます。a
必要に応じて、[
デバイス所有形態]
タイプを選択します。b
必要に応じて、デバイス[
アセット番号]
を入力します。c
必要に応じて、組織の[
利用規約]
に同意します。6
プロンプトが表示されたら、MDM
プロファイルをダウンロードします。次のメッセージが表示されます。 このWeb
サイトは構成ファイルをダウンロードしようとしています。許可しますか?
7
[
許可]
をタップし、ダウンロードが完了したら[
閉じる]
をタップします。 プロファイルのインストールが正常に完了しました。[
設定]
でプロファイルを確認して、インストールを続行で きます。8
MDM
プロファイルをダウンロードし、インストールします。必要に応じて、信頼に関するプロンプトを受け入 れます。 niOS 12.2
より前のデバイスの場合、MDM
プロファイルのインストールを要求された場合、インストール します。MDM
警告メッセージが表示されるので、[
インストール]
を選択します。 niOS 12.2
以降のデバイスの場合は、画面の指示に従って、MDM
プロファイルをインストールし、MDM
警告メッセージが表示されたら、[
インストール]
を選択します。注:
Web
ベースの加入では、Workspace ONE Intelligent Hub
を使用せずに、エージェントなしの加入 を実行することもできます。エージェントなしの加入を実行するには、[
グループと設定] - [
すべての設定] - [
デ バイスとユーザー] - [
全般]
に進み、[iOS
のHub
の加入を必須とする]
チェックボックスにチェックが入って いないことを確認します。Apple Configurator
を使用した
iOS
デバイスの一括加入
macOS
コンピュータ上でApple Configurator
を使用してデバイスの一括加入処理を実行し、iOS
デバイスを構 成し展開することができます。Apple Configurator
とWorkspace ONE UEM
を組み合わせて使用した場合、 デバイス管理における可視性を維持し、バックアップ防止を徹底的に実施し、初期構成だけでなくライフサイクル全 体を管理することができます。Apple Configurator
を使用して以下を行うことができます。n 構成の一環として
Workspace ONE UEM MDM
をインストールし、デバイスを加入/
管理するn
Apple Configurator
でデバイスを加入する前に、UEM
コンソール上で登録済みデバイス詳細情報(
シリアル 番号、IMEI
など)
をユーザーの登録済みデバイスに追加し、デバイスを特定のユーザーに割り当てるn
Workspace ONE UEM
でワイヤレス接続を使用して企業デバイスの設定とアプリを構成/
更新するApple Configurator
とWorkspace ONE UEM
を組み合わせて使用するための手順または詳細情報は、 「[VMware Workspace ONE UEM][ Integration with Apple Configurator]
」ドキュメント。Apple Business Manager
のデバイス登録プログラム
(DEP)
を使
用したデバイス加入
Device Enrollment Program (DEP)
は、モバイルデバイス管理(MDM)
に加入済みのApple
デバイスのメリ ットを最大化します。DEP
により、次の操作を実行できます。 n 削除不可能なMDM
プロファイルをデバイスにインストールできます。このプロファイルは、エンドユーザー が削除することはできません。 n デバイスを監視モードでプロビジョニングします(iOS
のみ)。監視モードのデバイスでは、追加のセキュリテ ィ設定および構成設定にアクセスできます。 n すべてのエンドユーザーに対して加入を強制できます。 n 加入プロセスをカスタマイズして効率化することにより、貴社のニーズに合わせることができます。 nDEP
プロファイルの生成時に、ユーザーが各自のApple ID
を使用してサインインできないようにすることで、iCloud
バックアップを禁止できます。 n すべてのエンドユーザーにiOS
の更新を強制できます。 詳細は、次のトピックを参照してください:
n
Introduction to Apple Business Manager
の「Apple Business Manager - Device Enrollment
Program
」。n
Apple
のBusiness Support Portal
。n
Apple
の『Device Enrollment Program Guide
』を参照するか、Apple
の担当者にお問い合わせください。ユーザー加入
ユーザー加入は、
iOS 13
以降のデバイス向けの新しい加入方法で、ユーザーのプライバシーと個人データを保護し ながら、設定、アプリケーション、および企業データを効果的に管理できます。ユーザー加入を使用すると、デバイ ス全体ではなく、デバイス上の管理対象ユーザーコンテナのみを対象として、アプリケーションのインストール、プ ロファイルの構成、およびコマンドの発行を行うことができるようになります。ユーザー加入は、
MDM
を通じて実現されます。このMDM
によって、管理対象Apple ID
というユーザーコンテ キストが、加入時にデバイスにインストールされるMDM
プロファイルで提供されます。このユーザーコンテキス トは、MDM
プロファイルをインストールするために、管理対象Apple ID
の資格情報をユーザーに求めるようにデ バイスに指示します。加入後、管理対象データのための特定のApple File System (APFS)
ボリュームが作成され ます。管理対象ボリュームから個人ボリューム内のデータにはアクセスできず、ユーザーデータのプライバシーが保 たれます。データの新しい管理対象ボリュームが作成されるため、プライバシーの目的から使用できない既存の管理機能がいく つかあります。たとえば、ユーザーが
App Store
からアプリを手動でインストールした場合、そのアプリは個人用 とみなされ、MDM
では管理できません。ユーザーがインストールしたこのようなアプリを管理するには、いったん そのアプリをアンインストールしてから、Workspace ONE UEM
で再インストールする必要があります。 この理由から、Workspace ONE
では、Intelligent Hub
アプリを使用したユーザー加入を許可していません。Intelligent Hub
がすでにユーザーによってインストールされている場合は、Hub
をアンインストールしてから、MDM
を通じて再インストールします。これによって、他のWorkspace ONE SDK
対応アプリからこのアプリの データにアクセスできるようになります。ユーザー加入設定
iOS
デバイスのユーザー加入オプションを有効にするには、Workspace ONE UEM Console
の加入設定ページ ([
グループと設定] - [
すべての設定] - [
デバイスとユーザー] - [
全般] - [
加入]
)にアクセスします。オプションを有 効にすると、サポートされているiOS 13
以降のデバイスを、Apple
のユーザー加入方法を使用して組織グループに 加入させることができるようになります。ユーザー加入では、デバイスが加入するのがいずれのユーザーかを識別す るために、加入ユーザー名ではなく、ユーザーの管理対象Apple ID
が使用されます。管理対象Apple ID
は、Workspace ONE UEM
でのユーザーのメールアドレスに一致する必要があります。ユーザー加入を使用して
iOS
デバイスを加入させる
Azure AD
と連携したApple Business Manager
の管理対象Apple ID
を使用して、iOS 13
以降のデバイスを 加入させます。ユーザー加入デバイスでは、管理対象データを個人データから分離し、その一方でアプリのインスト ール、Wi-Fi
の構成、パスコードの要求など、中核となる管理機能も引き続き提供することで、ユーザーのプライバ シー重視を強化できます。iOS
デバイスを加入させるには、次の手順を実行します。 前提条件 ユーザー加入の前に、次の前提条件を備えていることを確認してください。n
Azure AD
と連携したApple Business Manager
nAzure AD
n
iOS 13
以降の監視対象外デバイスn
Apple Business Manager
の管理対象Apple ID
と一致するメールアドレスを持つ加入ユーザー(1
人の み)
。手順
1
iOS 13
以降のデバイスでSafari
ブラウザを開き、貴社環境のユーザー加入URL
に移動します。このURL
は、 デバイスサービスホスト名に/enroll/userパスを追加したものです。 例:
https://ds22.awmdm.com/enroll/user2
管理対象Apple ID
と一致する、加入ユーザーのメールアドレスを入力します。 必要に応じて、加入ユーザーの組織グループまたはその配下のサブ組織グループのグループID
を入力します。 入力しない場合、ユーザーの加入組織グループが使用されます。3
ユーザー加入MDM
プロファイルのダウンロードを確認します。4
アプリの[
設定]
に移動し、[{Your Company}
に加入]
をタップします。5
認証プロンプトおよび条件付きアクセスプロンプトについて、表示されるプロンプトを順にタップしてAzure
AD
にリダイレクトします。 プロンプトのタイプと数は、Azure AD
の構成、ユーザーの種類、デバイス、または組織によって決まります。 結果 これで、ユーザー加入が完了しました。デバイスがUEM Console
からのコマンドを受信し始めます。ユーザー加入デバイスでのアプリ管理
Workspace ONE UEM
によってユーザー加入デバイスにインストールされたアプリケーションは管理され、管理 対象Apple ID
に関連付けられます。管理対象Apple ID
は、デバイスの加入に使用されます。ユーザーがApp
Store
を通じてインストールしたあらゆるアプリケーションは、ユーザーの個人用のApple ID
に関連付けられ、管 理できません。ユーザー加入では、管理アプリケーションを管理対象
Apple ID
に関連付ける必要があるので、Apple Business
Manager
で購入したユーザーベースライセンスを使用した管理対象の配布のみがサポートされています。たとえ ば、UEM console
の[
リソース] - [
アプリ]
ページの[
パブリック]
タブを通じて割り当てられたアプリケーション は、ユーザー加入デバイスではサポートされません。デバイス加入と比較して、ユーザー加入でのユーザーベースラ イセンスの管理には違いはありません。ユーザー加入デバイスにアプリケーションが割り当てられると、デバイスに 関連付けられている管理対象Apple ID
にVPP
ライセンスが割り当てられ、アプリがインストールされます。 詳細については、『Integration with Apple Business Manager
』ガイドの「Managed Distribution by Apple
IDs
」セクションを参照してください。3
プロファイルはデバイス管理の主要な手段です。プロファイルを構成し、iOS
デバイスのセキュリティを保護しつ つ、貴社の設定を適用することができます。プロファイルを順守ポリシーと組み合わせて使用することで、企業の規 則や手順を施行する設定機能として、活用することができます。プロファイルには設定、構成やデバイス上で強制し たい制限事項が含まれます。 プロファイルは、全般プロファイル設定と具体的なペイロードで構成されます。プロファイルが最適に機能するのは、 単一のペイロードのみが含まれている場合です。iOS
プロファイルは、ユーザーレベルまたはデバイスレベルでデバイスに適用されます。iOS
プロファイルを作成 する際に、プロファイルを適用するレベルを選択します。プロファイルによっては、ユーザーレベルまたはデバイス レベルのいずれかでのみ適用できるものもあります。プロファイルの監視モードの要件
一部またはすべてのiOS
デバイスを[
監視モード]
で展開することができます。監視モードは、管理者に高度な管理 機能と制限機能を提供する、デバイスレベルの設定です。 プロファイル設定のなかには、監視モードのデバイスのみで利用できるものもあります。監視モードでのみ利用でき る設定にはタグが付けられ、右側に必要なiOS
の最小要件を示すアイコンが表示されます。たとえば、エンドユーザーが
AirDrop
を使用して他のmacOS
コンピュータおよびiOS
デバイスとファイルを共 有できないようにするには、[AirDrop
を許可]
の横にあるチェックボックスをオフにします。[iOS 7 +
監視対象]
アイコンは、
Apple Configurator
を使用して監視モードに設定されているiOS 7
デバイスのみが、この制限の影 響を受けることを示します。詳細については、[Integration with Apple Configurator]
または[Apple
Business Manager]
で入手できます。iOS
のシステム要件および監視モード設定オプションについては、「10
章iOS
機能マトリックス:
監視対象と非監視対象」を参照してください。デバイスへのアクセス
デバイスプロファイルには、
iOS
デバイスへのアクセス設定を構成するものがあります。このようなプロファイルを 使用することで、デバイスへのアクセスを承認されたユーザーのみに限定できます。たとえば次のようなことが可能です。 n パスコードプロファイルでデバイスを保護できます。詳細は、「デバイスパスコードプロファイルを構成する」 を参照してください。 n シングルアプリモードプロファイルで、単一のアプリケーションのみにデバイスを制限できます。詳細は、「シ ングルアプリモードプロファイルを構成する」を参照してください。
デバイス
セキュリティ
デバイスプロファイルでiOS
デバイスのセキュリティを確保できます。iOS
のネイティブなセキュリティ機能を構 成するプロファイルもあれば、Workspace ONE UEM
を通じてデバイス上に企業のセキュリティ設定を構成する プロファイルもあります。 デバイスセキュリティプロファイルの例には、次のようなものがあります。 n ネットワークの資格情報をユーザーに送信せずに、加入済みのデバイスを企業のWi-Fi
に接続させるには、Wi-Fi
プロファイルを使用します。詳細は、「Wi-Fi
プロファイルを構成する」を参照してください。 n 企業アセットをより強固に保護するには、電子証明書を導入します。詳細は、「SCEP/
資格情報プロファイルを 構成する」を参照してください。 n デバイスから社内リソースにアクセスできるようにするには、VPN
プロファイルを使用します。詳細は、「仮想 プライベートネットワーク(VPN)
プロファイルを構成する」を参照してください。デバイスの構成
構成プロファイルを使用して、iOS
デバイスのさまざまな設定を構成できます。このようなプロファイルを使用すれ ば、企業のニーズに合わせてデバイス設定を構成できます。 デバイスの構成プロファイルの例には、次のようなものがあります。n
Exchange ActiveSync
プロファイルを使用して、デバイスでExchange
アカウントをセットアップできま す。詳細は、「ネイティブメールクライアントのEAS
メールプロファイルの構成」を参照してください。 nAirPlay
プロファイルを使用して、特定のデバイスセットをホワイトリスト設定することにより、Apple TV
ブロードキャスト権限を配信することができます。詳細は、「AirPlay
ホワイトリストプロファイルを構成する」 を参照してください。 niOS
更新プロファイルを使用して、デバイスを最新の状態に維持することができます。詳細は、「OS
更新の管 理」を参照してください。 この章には、次のトピックが含まれています。 n デバイスパスコードプロファイル n デバイス制限プロファイル nWi-Fi
プロファイルを構成する n 仮想プライベートネットワーク(VPN)
プロファイルを構成する nForcepoint
コンテンツフィルタプロファイルを構成するn
Blue Coat
コンテンツフィルタプロファイルを構成するn オンデマンド
VPN
プロファイルを構成するn アプリベースの
VPN
プロファイルを構成するn
E
メールアカウントプロファイルを構成するn
iOS
デバイスのExchange ActiveSync (EAS)
メールn 通知プロファイルを構成する n
LDAP
設定プロファイルを構成する nCalDAV
またはCardDAV
プロファイルを構成する n 定期配信カレンダープロファイルを構成する nWeb
クリッププロファイルを構成する nSCEP/
資格情報プロファイルを構成する n グローバルHTTP
プロキシプロファイルを構成する n シングルアプリモードプロファイルを構成する nWeb
コンテンツフィルタプロファイルを構成する n 管理ドメインプロファイルを構成する n ネットワーク使用量規則プロファイルを構成する nmacOS
サーバアカウントプロファイルを構成する n シングルサインオンプロファイルを構成する nSSO
拡張機能プロファイルを構成する nAirPlay
ホワイトリストプロファイルを構成する nAirPrint
プロファイルを構成する n セルラー設定プロファイルを構成する n ホーム画面レイアウトプロファイルを構成する(iOS
の監視モード)
n ロック画面メッセージプロファイルを作成する n(iOS)
n カスタム設定プロファイルを構成するデバイス
パスコード
プロファイル
デバイスパスコードプロファイルは、iOS
デバイスおよびコンテンツをセキュリティ保護します。ユーザーのニー ズに応じてセキュリティのレベルを構成します。重要な任務を行う社員には厳格なオプションを設定し、他のデバイスや
BYOD
プログラムを利用している社員には より柔軟なオプションを設定します。さらに、iOS
デバイスでパスコードが設定されている場合は、デバイスのハー ドウェア暗号化が提供され、[[
デバイス詳細]]
ページの[[
セキュリティ]]
タブに[[
データ保護されています]]
デバイ スインジケータも作成されます。 パスコードを作成して、以下の項目を構成します。 n[
複雑度] –
簡単な値を使用すると、素早くアクセスできますが、英数字のパスコードを使用すると、セキュリテ ィを強化できます。パスコードで使用する特殊文字(@
、#
、&
、!
、?
)の最小文字数を指定することもできま す。たとえば、機密性の高いコンテンツにアクセスするユーザーには、より厳格なパスコードを使用するよう要 求します。 n[
試行失敗回数の上限] –
指定した試行回数を超えた場合にデバイスをワイプまたはロックすることで、不正なア クセスを防止します。このオプションは、企業の所有するデバイスには適していますが、BYOD
プログラムに おける従業員所有デバイスには不適です。たとえば、デバイスでパスコードの試行回数が5
回に制限されている 場合に、ユーザーが連続して5
回誤ったパスコードを入力すると、フルデバイスワイプが自動的に実行されて しまいます。デバイスをロックするだけの方が好ましい場合は、このオプションを[
なし]
に設定します。この場 合、パスコードの再試行を無限に行えるようになります。 n[
パスコードの有効期間] –
指定した間隔で、パスコードの更新を強制します。パスコードを頻繁に変更すること で、不正アクセスに対する脆弱性を低減できます。 n[
自動ロック(
分)] –
一定時間経過後、デバイスを自動的にロックします。ロック機能により、エンドユーザーが 不用意に電話を放置してしまった場合でも、デバイス上のコンテンツが侵害されないようにすることができます。デバイス
パスコード
プロファイルを構成する
デバイスパスコードプロファイルは、iOS
デバイスおよびコンテンツをセキュリティ保護します。貴社のユーザー のニーズに応じ、複数の設定をパスコードペイロードとして構成し、デバイスにパスコードポリシーを適用します。 手順1
[
リソース] > [
プロファイルとベースライン] > [
プロファイル] > [
追加]
の順に進みます。[Apple iOS]
を選択 します。2
プロファイルの[
全般]
設定を構成します。3
リストから[
パスコード]
ペイロードを選択します。4
[
パスコード]
設定を構成します。 設定 説明 デバイスにパスコードを必須とする パスコードによる保護を必須にします。 単純な値を許可 エンドユーザーが単純な数字のパスコードを使用することを許可します。 英数字を必須とする エンドユーザーがスペースや英数字以外の文字をパスコードで使用できないように制限しま す。 最小パスコード長さ パスコードで最低限必要な文字数を選択します。 特殊文字の最小文字数 パスコードに必要な特殊文字 (#、$、!、@) の最小文字数を指定します。 パスコードの有効期間 (日) パスコードを使用できる最大日数を選択します。設定 説明 自動ロック (分) デバイスを操作しない時間がどれだけ続いたら自動的に画面をロックするかを指定します。 パスコード履歴 履歴に保存されるパスコードの数を指定します。保存されているパスコードをエンドユーザー が繰り返して使用することはできません。 デバイスロックの猶予期間 (分) システムによってデバイスがロックされ、エンドユーザーによるパスコードの再入力が必要に なるまでの時間を分単位で指定します。 試行失敗回数の上限 許容される試行回数の上限を指定します。パスコードの入力をこの回数失敗すると、デバイス が工場出荷状態にリセットされます。
5
[
保存して公開]
を選択します。デバイス制限プロファイル
[
制限事項プロファイル]
を適用した場合、従業員によるiOS
デバイスの使用方法を制限し、iOS
デバイスのネイティ ブ機能をロックダウンして、データ漏洩防止対策を講じることができます。[
制限事項]
プロファイル画面では、一部の制限事項オプションの右にアイコンが表示されています。このアイコン は、その制限事項を適用する際の最小iOS
バージョンを意味します。たとえば、[AirDrop
を許可]
チェックボック スの右には[iOS 7 + Supervised]
アイコンが表示されています。これは、監視モードのiOS 7
以降が実行されて いるデバイスのみにこの制限事項が適用されるということを意味します。なお、iOS 7
を監視モードに設定するに は、署名付きのApple Configurator
プロファイルをUEM Console
にアップロードする またはApple
社のApple Business Manager
のデバイス登録プログラム(DEP)
を使用したデバイス加入を使用します。次に説明する手順では、適用可能な制限事項の一部を例として挙げています。各制限事項を適用できる
iOS
のバージ ョンおよび各制限事項の適用時にデバイスを監視モードにする必要があるかどうかについては、「10
章iOS
機能マト リックス:
監視対象と非監視対象」を参照してください。制限事項プロファイルの構成
制限事項プロファイルをカスタマイズすることにより、エンドユーザーが利用できるアプリケーション、ハードウェ ア、および機能を制限できます。これらの制限事項を使用することにより、生産性を向上させること、エンドユーザ ーとデバイスを保護すること、および個人用データと業務用データを分離することができます。 制限事項プロファイルを作成するには、「デバイス制限事項プロファイルを構成する」を参照してください。 次の制限事項は代表的なものであり、すべての制限事項が網羅されているわけではありません。OS
の制限
OS
レベルでソフトウェアの延期を制限します。これにより、指定された日数の間、エンドユーザーからiOS
更新を 非表示にすることができます。設定 説明 アップデートを延 期 (日数) このオプションを有効にし、ソフトウェアの更新を延期する日数を指定します。日数は 1 ~ 90 日の範囲です。(iOS 11.3 以降、 監視モード デバイス)日数は、ソフトウェアの更新がリリースされてからの期間です。プロファイルをインストールしてからの 期間ではありません。
デバイス機能に関する制限事項
デバイスレベルの制限事項を適用した場合、デバイスの中核機能(例:カメラ、FaceTime
、Siri
、アプリ内課金) を無効化できるので、生産性向上とセキュリティ強化につながります。 n エンドユーザーがデバイスのBluetooth
設定を修正できないようにする。(iOS 10
以降) n デバイス画面をキャプチャできないようにする。この制限事項を適用した場合、デバイス上の業務コンテンツが 保護されます。 n デバイスがロックされているときにSiri
の使用を無効にする。これにより、パスコードを入力しない限り、E
メ ール機能、電話機能、およびメモ機能を利用できません(iOS 7
以降)。 既定では、デバイスがロックされているときでも、[
ホーム]
ボタンを長押しすることでSiri
を使用できます。つ まり権限のないユーザーでも、自分の物でないデバイス上で、機密情報へのアクセスや、さまざまな処理の実行 が可能です。社内で厳格なセキュリティ要件を定めている場合、"
デバイスがロックされているときでもSiri
の 使用を無効にする" [
制限事項]
プロファイルを展開することを、検討してください。 n ローミング時の自動同期処理を禁止する。この制限事項を適用した場合、データ通信料金を削減できます。 nTouch ID
によってデバイスがロック解除されることを禁止する(iOS 7
以降)。 n エンドユーザーがデバイスで個人のホットスポット設定を変更できないように制限する(iOS 12.2
以降、監視 モード)。プロファイルでこの制限が有効または無効になっているかどうかにかかわらず、PersonalHotspot
管理設定コマンドを使用して、パーソナルホットスポット設定を無効にすることができます。 nSiri
サーバでエンドユーザーのログ要求を制限する。この制限が無効になっていると、Siri
は、エンドユーザ ーのログデータをサーバに記録しません。n
UEM console
(iOS 10.3
以降)で[Wi-Fi
を強制的にオンにする]
を有効にすることで、機内モードをオンま たはオフに切り替える場合でも、エンドユーザーがデバイスの設定または制御センターでWi-Fi
を切り替えら れないように制限します。 n[
ネットワークドライブアクセスの申請]
を無効にして、ユーザーがファイルアプリ(iOS 10.3
以降)でネッ トワークドライブに接続することを制限します。iOS 8
で適用可能な、主なデバイス制限事項
nHandoff
を無効にする。Handoff
を利用した場合、目的のアプリケーションを共有し、あるデバイス上で行っ ていたやりかけの作業を別のデバイス上で引き継ぐことができます。 nSpotlight
でのインターネット検索結果を無効にする。この制限事項を適用した場合、エンドユーザーがSpotlight
を使用して検索したときに、ヒットしたWeb
サイトが表示されません(iOS 8
以降、監視モード)。 n 構成された制限事項設定を無効にする。この制限事項を適用した場合、管理者は、デバイスの「設定」メニューn エンドユーザーがデバイス上のすべてのコンテンツと設定を消去できないようにする。この制限事項により、ユ ーザーはデバイスのワイプや加入解除ができません(
iOS 8
以降、監視モード)。n 管理対象アプリケーションを
iCloud
にバックアップすることにより、ローカルにデータを保存する機能を無効 にする。n
Enterprise Books
をiCloud
にバックアップする機能を無効にする。n
Enterprise Books
内のメモおよびハイライトをiCloud
と同期できないようにする。 nTouch ID
情報を追加/
削除する機能を無効にする(iOS 8.1.3
以降、監視モード)。 n ポッドキャストを無効にする。この制限事項を適用した場合、エンドユーザーはApple
のポッドキャストアプ リケーションを使用できません(監視モードのみ)。iOS 9
で適用可能な、主なデバイス制限事項
n パスコードの編集を無効にする。この制限事項を適用した場合、エンドユーザーはデバイスのパスコードを追 加、変更、および削除できません(監視モードのみ)。n
App Store
を非表示にする。この制限事項を適用した場合、App Store
が無効化され、App Store
アイコン がホーム画面から削除されます。エンドユーザーは、MDM
を使用することにより、引き続きアプリケーション をインストールまたは更新できます。この場合、アプリケーションの制御はすべて管理者が行います(監視モー ドのみ)。 n アプリケーションの自動ダウンロードを無効にする。この制限事項を適用した場合、エンドユーザーは、他のデ バイスで購入したアプリケーションを自動同期できません。この制限事項は、既存のアプリケーションの更新処 理には影響を及ぼしません(監視モードのみ)。 n デバイス名の変更を無効にする。この制限事項を適用した場合、エンドユーザーはデバイス名を変更できません。 共有デバイスおよび代理セットアップされたデバイスを展開する場合、この制限事項を適用することを検討して ください。 n 壁紙の変更を無効にする。この制限事項を適用した場合、ユーザーはデバイスの壁紙を変更できません(監視モ ードのみ)。 nAirDrop
を管理対象外のドロップ先として設定する。この制限事項を適用した場合、エンドユーザーは、管理 対象アプリケーションからAirDrop
に企業データまたは添付ファイルを送信できません。また、この制限事項 を適用する場合、Apple
の"
管理アプリで開く"
機能に対する制限事項も適用する必要があります。 n キーボードショートカットを無効にする。この制限事項を適用した場合、ユーザーはキーボードショートカッ トを作成および使用できません(監視モードのみ)。n
News
を無効にする。この制限事項を適用した場合、エンドユーザーはApple
のNews
アプリケーションを 使用できません(監視モードのみ)。 niCloud
フォトライブラリを無効にする。この制限事項を適用した場合、エンドユーザーは、ライブラリから完 全にダウンロードされていない写真をローカル環境に保存できません。 n 外部のエンタープライズアプリの信頼を無効にする。この制限事項を適用した場合、エンドユーザーは、信頼さ れていない企業によって署名された管理対象外アプリケーションをインストールできません。管理対象である内 製の企業アプリケーションは、暗黙的に信頼されます。n 画面キャプチャを禁止することによってビデオ録画を無効にする。この制限事項を適用した場合、エンドユーザ ーはデバイス画面をキャプチャできません。
n
Music
サービスを無効にし、Music
アプリのインストールを制限します(iOS 8.3.3
以降、監視モードのみ)。iOS 9.3
で適用可能な、主なデバイス制限事項
n
iTunes Radio
を無効にする。この制限事項を適用した場合、エンドユーザーはiTunes Radio
アプリケーシ ョンをインストールできません。Apple Music
が制限されていない場合、iTunes Radio
サービスはApple
Music
アプリケーションに表示されます(監視モードのみ)。watchOS
で適用可能な、主な制限事項
n
Apple Watch
のペアリングを無効にする。この制限事項を適用した場合、現在ペアリングされているApple
Watch
がペアリング解除され、Apple Watch
上のデータが消去されます(iOS 9
以降の監視モードのみ)。 n 手首検出機能を強制的に有効にする。この制限事項を適用した場合、装着されていない状態のApple Watch
はロックされます。
アプリケーションレベルの制限事項
アプリケーションレベルの制限事項を適用した場合、特定のアプリケーション
(
例: YouTube
、iTunes
、Safari)
や その機能の一部を無効化し、社内ポリシーを順守させることができます。適用可能な制限事項は次のとおりですn オートフィルを無効にする。この制限事項を適用した場合、一部のフォーム上で機密情報が自動的に表示されて しまうという問題を回避できます。
n 不正行為アラートの強制実行を有効にする。この制限事項を適用した場合、エンドユーザーが
Safari
を使用し て、フィッシングの疑いがあるWeb
サイトにアクセスしたとき、警告が表示されます。n
![表 6-1. アクティベーション ロックのバイパス コード チェック マトリックス コマンド アクティベーション ロックのバイパス コード ワークフロー [ デバイス リスト表示 ] [ デバイス詳細画面 ] [ デバイス ワイプ ] 該当なし 1 アクティベーション ロックのバイパス コ ードを取得するために、デバイスにクエリ を送信します。 2 UEM Console でデバイスが [ デバイス ワイプ開始済み ] とマークされています。 3 デバイスでワイプの保護がオフになってい る場合、](https://thumb-ap.123doks.com/thumbv2/123deta/9840653.973706/81.891.93.797.108.740/アクティベーションアクティベーションアクティベーション.webp)
