Android デバイスを Workspace ONE UEM に加入させる様々な方法

-

Android デバイスを Workspace ONE UEM へ加入させる方法の紹介

以前 Workspace ONEにデバイスを加入してみる(Android編) にて、Android デバイスを Workspace ONE UEM に加入させる流れを記載しました。

実は、Android デバイスではいくつかの方法で加入をさせることが出来ます。

それぞれの方式と、利用出来る条件を紹介していきたいと思います。

利用出来る加入方法の種類

Workspace ONE UEM では、以下の方法にて Android デバイスを加入させることが出来ます。

  • 識別子加入
  • AirWatch Relay (NFC) 加入
  • QR コード加入
  • ゼロタッチ加入
  • Work プロファイルとしての Intelligent Hub 加入

それぞれの方式について、以下に記載していきます。

なお、『Work管理対象』と『企業所有の個人利用(Company Owned, Personally Enabled : COPE)』の場合は、必ずデバイスが初期化された状態である必要があるため、注意してください。

識別子加入

この方式は、Android デバイスで通常通りセットアップを進め、Google アカウントのログイン画面にて識別子『afw#hub』を入力するものとなります。

この手順は、以前の記事 にて記載した内容となります。

前提条件は下記の通りです。

  • 利用可能方式
    • Work管理対象、企業所有の個人利用(COPE)
  • デバイス要件
    • Android 6.0 以降を搭載したデバイス
  • 準備が必要なもの
    • 特になし

Intelligent Hub がダウンロードされ、個別に Workspace ONE UEM のサーバー URL 、または、連携設定が行われている場合、企業のメールアドレスの入力をセットアップ実施者が主導で行う必要がある方式です。

【参考】
VMware Workspace ONE Intelligent Hub 識別子を使用して Android デバイスを加入させる
https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/Android_Platform/GUID-AndroidEnrollmentEnrollUsingHubIdentifier.html

AirWatch Relay (NFC) 加入

この方式は、セットアップを指示する親デバイスから、セットアップを開始したい子デバイスに対して、NFC 機能を用いて情報を送信することで、セットアップを行うものとなります。

この方式は Android Beam を利用した仕組みであるため、当該機能が廃止された Android 10 以降では利用することが出来ません。

そのため、2022年5月時点では Android 12 が提供されている状況であるため、今後利用することは無い方式であると思われます。

    前提条件は下記の通りです。

    • 利用可能方式
      • Work管理対象、企業所有の個人利用(COPE)
    • デバイス要件
      • Android 5.0 以降を搭載したデバイス
        • ただし、Android 10 以降では利用不可
      • NFC 機能を有するデバイス
    • 準備が必要なもの
      • セットアップ用の情報を送信するための NFC 機能を有するデバイス

    以下のような情報を NFC 経由で送信するため、管理者によるセットアップを行う場合は負担を軽減させるものでした。

    • セットアップ用 Wi-Fi 接続情報
    • Workspace ONE UEM コンソール URL
    • セットアップ用ユーザー認証情報

    【参考】
    AirWatch Relay を使用した Work 管理対象デバイスの加入
    https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/Android_Platform/GUID-AndroidEnrollmentWorkManagedWithRelay.html

    QR コード加入

    この方式は、Android デバイスのセットアップ時に、EMM 加入専用の QR コードリーダーを起動させ、セットアップ用の情報が含まれた QR コードを読み込ませることでセットアップを行う方式となります。

    使い勝手が良いため、もっとも利用する機会が多いと個人的には感じでいます。

      前提条件は下記の通りです。

      • 利用可能方式
        • Work管理対象、企業所有の個人利用(COPE)
      • デバイス要件
        • Android 7.0 以降を搭載したデバイス
        • カメラ機能を有するデバイス (通常のカメラ機能でOK)
      • 準備が必要なもの
        • インターネットへアクセス可能な Wi-Fi ネットワーク 
          • Android 9 以降は必須
        • 加入用 QR コード

      以下のような情報が QR コードに含まれているため、セットアップを行う場合の負担を軽減することが出来ます。

      • セットアップ用 Wi-Fi 接続情報
      • Workspace ONE UEM コンソール URL
      • セットアップ用ユーザー認証情報

      【参考】
      QR コードを使用したワーク管理対象デバイスの加入
      https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/Android_Platform/GUID-AndroidEnrollmentEnrollWithQRCode.html

      ゼロタッチ加入

      この方式は、Android デバイスで通常通りセットアップを開始すると、ネットワークに接続したタイミングで、自動的に管理者があらかじめ指定した EMM への登録画面が表示されるものとなります。

      なお、『ゼロタッチ』と称されておりますが、実際にはネットワークへの接続、加入開始画面の同意など、まったくの『0タッチ』とはなりません。

      また、デバイスを認定リセラーから購入を行い、その際に Zero Touch Portal へ登録を依頼する必要があるため、任意のデバイスで自由に利用することは出来ません。

      ネットワークへの接続後に表示される同意画面以降は、QRコードで表示される流れとほぼ同一です。

      前提条件は下記の通りです。

      • 利用可能方式
        • Work管理対象、企業所有の個人利用(COPE)
      • デバイス要件
        • Android 9 以降を搭載したデバイス
        • Zero Touch Portal へ登録されたデバイス
          • 認定リセラーから購入されたデバイスのみ登録可能
      • 準備が必要なもの
        • 特になし

      Zero Touch Portal では、EMM情報、補足情報等を定義した構成を作成し、デバイス単位で割り当てを行います。

      補足情報では、以下のような情報を含めることが出来るため、セットアップを行う場合の負担を軽減することが出来ます。

      • Workspace ONE UEM コンソール URL
      • セットアップ用ユーザー認証情報

      また、Zero Touch Portal で登録済みのデバイスは、他の方式にと異なりデバイスワイプが行われた後も有効となり、次回のセットアップ時で利用されます。

      セットアップ時にインターネット接続を行わずゼロタッチ加入をスキップさせた場合でも、ネットワークに接続後1時間程度で自動リセットが行われる仕様があります。


      Work プロファイルとしての Intelligent Hub 加入

      この方式は、主に BYOD 向けの Android デバイスを管理する方式です。

      Work管理対象、企業所有の個人利用(COPE)と比較し、利用出来る機能が大幅に制限されています。
      デバイス全体の制御を行うことは一部を除き行えず、デバイスワイプを行うことも出来ません。

      Work プロファイルのみを削除する企業情報ワイプを実施

      また、Android 側のバージョンアップでプライバシー保護が強化されているため、Android 12 以降は EMM であってもデバイス固有情報(シリアル番号/IMEI 等)の取得が行えなくなりました。

      前提条件は下記の通りです。

      • 利用可能方式
        • Work プロファイル
      • デバイス要件
        • Android 5.1 以降を搭載したデバイス
      • 準備が必要なもの
        • 加入先組織グループにて以下の設定が有効化されている

          すべての設定 > デバイスとユーザー > Android > Android EMM 登録 > 加入制限 > Work プロファイル加入を許可

      セットアップを行いたいデバイスにて、Google Play Store から Intelligent Hub を手動でインストールを行います。

      起動後、 Inteliigent Hub の起動を行い、個別に Workspace ONE UEM のサーバー URL 、または、連携設定が行われている場合、企業のメールアドレスの入力を利用者にて実施していきます。

      Work プロファイルとして加入した場合は、アプリ一覧画面のアイコンにカバンマークが付与されます。
      また、ホームアプリが対応している場合、アプリドロワー内で個人用と業務用のタブが表示され、区別のつきやすい状況となります。


      おわりに

      今回は Android の加入についてを記載しました。

      次回は、QR コード加入の説明と、実際の加入操作を行いたいと思います。

      コメント

      コメントを投稿

      このブログの人気の投稿

      Mac 上の Boot Camp Windows 環境を VMware Fusion へインポートしてみる

      -
      Mac 上の Boot Camp Windows 環境を VMware Fusion へインポートしてみる Mac デバイスにて Windows OS をネイティブに起動するための仕組みとして Boot Camp があります。 筆者は5年前に購入した Mac mini (2018) を利用していましたが、米 Apple 社が Intel Mac の製造を終了したこともあり Windows デバイスへ戻ることとしました。 その際に Boot Camp Windows 環境を仮想マシンとして移動させたいと思い実施したので、その流れを紹介していきます。
      Read more »

      【自宅ラボ】vSphere の USB NIC を自動認識させてみる

      -
      【自宅ラボ】vSphere の USB NIC を自動認識させてみる 前回導入した " USB Network Native Driver for ESXi " ですが、ドキュメント上にも記載されているとおり、導入のみでは起動時の処理の都合上、仮想スイッチとの紐付けが毎回解除されてしまいます。 対処方法は手順はドキュメントに記載されておりますが、細かな情報無しに読み解く必要がある状況でしたので、設定方法を解説してみます。
      Read more »

      Androidデバイスの画面をリアルタイムで投影する方法

      -
      Androidデバイスの画面をリアルタイムで投影する方法 製品のデモや操作内容の共有のために、Android デバイスの画面をリアルタイムでモニターやプロジェクターで投影したい場合、外部製品が必要となります。 iPhone の場合は専用の HDMI アダプターや、 iPhone 15 Pro 以降であれば UDB-C to HDMI ケーブルを用いることで相性問題等はなく表示できますが、 Android の場合はデバイスにより実現可否が異なります。 デバイスによっては使用できない方法や、出先での利用が難しいものなどもあるので、今回はメジャーな方式について整理してみたいと思います。
      Read more »

      【自宅ラボ】VCSA のリストアを実施してみる (vSphere 8)

      -
      【自宅ラボ】VCSA のリストアを実施してみる (vSphere 8) vSphere 環境において、vCenter Server は全 ESXi の管理や、vCenter Server 上で管理している情報等、重要な情報が多数格納されており、バックアップの取得が推奨されています。 バックアップしたものは復元が行えることを確認しておかなければいざというときに復元できない事態となる恐れもあるため、今回は 前回取得したバックアップ を用いてリストアを実施した結果を紹介します。
      Read more »