VMware AirWatch の MDM 機能の紹介資料です。

1. AirWatch MDM 機能について

2. 免責事項
• 本資料に記載された内容は情報の提供のみを⽬的としたもので、
正式なVMwareのテストやレビューを受けておりません。
内容についてできる限り正確を期すよう努めてはおりますが、
いかなる明⽰または暗黙の保証も責任も負いかねます。
本資料の情報は、使⽤先の責任において使⽤されるべきものであることを、
あらかじめご了承ください。
• この⽂書に記載された製品の仕様ならびに動作に関しては、
各社ともにこれらを予告なく改変する場合があります。
他のメディア等に無断で転載する事はご遠慮ください。
• 本資料の著作権はヴイエムウェア株式会社 にあります。
⾮営利⽬的の個⼈利⽤の場合において、⾃由に使⽤してもかまいませんが、
営利⽬的の使⽤は禁⽌させていただきます。
• なお、本⽂中にある製品名は各社の商標または登録商標です。
2

3. 改訂履歴
3
⽇付 バージョン 変更点 担当者
2016/6/21 1.0 初版作成 佐川
2016/9/9 1.1 細部の修正 佐川
2017/3/28 1.2 免責事項の追加
Androidのプロファイル、エージェン
トの削除禁⽌⽅法の追加
佐川

4. MDM(Mobile Device Management)とは？
デバイスの管理
設定・セキュリティポリシーの配布
遠隔からの操作

5. デバイスの管理

6. モビリティサービス
セキュアメール
デバイス管理(MDM)
アプリ管理(MAM)
コンテンツ管理(MCM)
セキュアブラウザ
市場の動向
モバイルデバイスの進化とEMM
1999 2007-2008 2010 2012 2015
SAMSUNG SAFEの登場
コンシューマーから
エンタープライズへ
Windows10の登場
PCとモバイルの融合
★iPad登場をきっかけに
国内での企業活⽤が本格化
★モバイル統合管理(EMM)
に注⽬が集まり始める
モバイル環境の
統合管理が
求められる
Blackberryの登場
携帯電話とグループ
ウェアの統合
iPadの登場
新たな企業内
利⽤シーンの拡⼤
iPhone, Androidの登場
スマートフォン時代の到来
A社製品で管理
B社製品で管理
C社製品で管理
D社製品で管理
E社製品で管理
統合管理出来るソリューションが極僅か

7. モバイルアプリケーション管理
(MAM)
モバイルEメール管理
(MEM)
モバイルコンテンツ管理
(MCM)
モバイルデバイス管理
(MDM)
Gartner:Magic Quadrant
• 6 年連続でEMMリーダーとして位置付け
• 4 年連続で実⾏能⼒を最⾼と位置付け
エンタープライズモビリティ管理
(EMM)
AirWatchの概要

8. 2016年度 ガートナー社レポート結果
8実⾏⼒
ビジョン
評価内容
• ⼤規模デプロイメント実績が多
い
• シングルコンソールで使いやす
く、設定もウィザード形式で設
定が可能
• 同⽇サポートも引き続き実現
• WorkSpace ONEのようなユニ
ファイドワークスペースを実現
している
• IoTといった新規分野への拡張
Gartner社 Magic Quadrant for EMM
(2016年6⽉）

9. すべての管理を⼀つのコンソールで実現
使いやすい
単⼀のコンソールで、
世界中のどこからでも
すべての
デバイスを管理
(多⾔語対応)
9

10. 10
ユーザ
&
デバイス
北⽶ IT 部⾨
による管理
ロケーション
ビジネス組織
グローバル企業
ABC
ファイナンシャル
北⽶ アジア
本社 リテール
ウェルス
マネジメント
トレーディング
APAC IT 部⾨
による管理
グローバルレベル
で制御機能管理
APAC
企業システム
北⽶企業システム
ユーザ 1 ユーザ 2 店舗 1 ユーザ 3 ⽀店 2
マルチテナント対応した Saasサービス

11. 国際化対応されたコンソールとアプリケーション
18 の⾔語パッケージから選択
加⼊、アプリケーション、セルフサービスポータル、
Secure Content LockerTM の使⽤時に、リストから⾔語を選
択
編集可能な⽤語・訳語
サポート⾔語
オランダ語
デンマーク語
ポルトガル語
チェコ語
ポーランド語
トルコ語
スウェーデン語
英語
スペイン語
フランス語
ドイツ語
イタリア語
ロシア語
アラビア語
組織全体で使⽤する⾔語パッ
クを管理者が設定
使⽤デバイス/コンピュータは
ユーザ ロケールを⾃動反映
した⾔語設定で表⽰
すべての⾔語で
⽤語をカスタマイズ
既定⽤語
カスタム⽤語
日本語
韓国語
繁体字中国語
簡体字中国語

12. 幅広いプラットフォームのサポート
12

13. AirWatch ユースケース(MDM)
–モバイルデバイスの管理ツールの集約
課題：MDM管理ツールを集約したい
・プラットフォームごとに異なる製品を利⽤
・管理ツールが異なるため操作の習得が⾯倒
・管理上⾮効率なため、幅広いOSをサポートした
ツールが必要
解決策：AirWatchで複数プラットフォームを管理
・AirWatchで複数のプラットフォームを統合管理
・管理コンソールも⼀つに集約
混在していたデバイス管理ツールの集約に成功
AirWatch を選択した理由： ・幅広いサポートOS
・SaaSアーキテクチャのため導⼊が容易
・ワールドワイドでの豊富な実績
・各OSの同⽇サポート
AirWatchでデバイスを
⼀元管理できるようになった
管理コンソールも⼀つになり
管理者も集約
管理⼯数の削減に成功
A社 B社 C社
AirWatchで⼀元管理
これまで AirWatch導⼊後
プラットフォーム、
⽤途ごとにツールが
混在していた
管理者も別だった

14. デバイスの管理に関する本⽇の主な内容
加⼊・キッティング
レポート

15. レポート

16. AirWatchハブ – 概要
デバイスの管理状態を⼀望できるダッシュボードを提供
確認したい項⽬をクリックするとその情報の詳細表⽰画⾯へリダイレクトされる
AirWatchハブの情報をPDF形式でエクスポートが可能
クリックするとその情報に
フィルタされたページへ遷移する

17. AirWatchハブ – 管理者パネル
AirWatchライセンスの概要や、AirWatchコンポーネントの展開の概要を表⽰
アクティブプロダクト
ライセンス、有効期限をレポート
展開済みのコンポーネント
・AirWatchクラウドコネクタ
・AirWatch Tunnel
・セキュアEメールゲートウェイ
の接続情報を表⽰

18. AirWatchレポート
デバイス、アプリ、コンテンツ、位置情報など⾮常に多岐にわたる情報からレポートを作成可能
表示: レポートのパラメータを設定し、レポート機能を実行
サンプル: レポートの用途を確認するためにレポートのサンプルを表示
定期受信: 指定された間隔と指定されたパラメータでレポート機能を実行
マイレポートに追加: スムーズにアクセスできるよう、
現在のレポートを マイレポート タブに追加

19. AirWatchレポート – 定期受信
特定のレポートを定期的に受信する仕組みを提供
PDF, CSV, Excel形式に対応
繰り返し
レポートを⽣成する頻度の設定
範囲
繰り返しが有効な期間

20. イベントログ
デバイスのイベントログ
AirWatchとデバイス間の通信履歴を確認可能
コンソールのイベントログ
コンソール上でのイベントを確認可能
「⽇付の範囲」「重要度」「カテゴリ」「モジュール」
でフィルタリング可能
AirWatchで発⽣したイベント情報を確認する機能の提供

21. Syslog連携
連携するSyslogサーバーの情報を⼊⼒
⾼度な設定では
Syslogサーバーへ⾶ばす
デバイスイベント、コンソールイベントを
カスタマイズ可能
AirWatchで発⽣したイベント情報を確認する機能の提供
社内のSyslogサーバーへはACC経由で通信

22. 加⼊・キッティング

23. デバイスの加⼊
ユーザーが加⼊
ユーザーが
利⽤規約に同意
1 2
3
デバイスが
AirWatch に加⼊
4
デバイスが⾃動的に設
定される
経過時間： 1 分
加⼊によりデバイスと
AirWatch の間で接続が
確⽴される
エンド ユーザーの
デバイス
管理者コンソール
エージェント URL
E メール SMS
プロファイル アプリケーション コンテンツ
QR コード
加⼊とはモバイルデバイスをAirWatchの管理下に置くことで
AirWatchの管理機能を利⽤可能にすること

24. 主な加⼊の主なパターン
AirWatchへの加⼊に必要な情報
• AirWatchのサーバー情報
• グループID
• ユーザー資格情報
加⼊操作の実施者 加⼊⽅法
サーバー詳細情報
（全て⼿⼊⼒）
Eメールアドレス
QRコード
エンドユーザー
管理者
による代理セットアップ

25. サーバー詳細情報（全て⼿⼊⼒）の加⼊の流れ
AirWatchの情報の⼊⼒
サーバURL
グループID
アカウント情報の⼊⼒
ユーザー名
パスワード
App Storeより AirWatchエージェント
のインストール

26. Eメールアドレスでの加⼊の流れ
App Storeより AirWatchエージェント
のインストール
Eメールアドレスの⼊⼒
アカウント情報の⼊⼒
ユーザー名
パスワード

27. ⾃動検出の設定
Eメールアドレスで加⼊させるには、管理コンソールにて⾃動検出の設定が必要
すべての設定/デバイスとユーザー/全般/加⼊ より実施
Eメールドメインを追加
⾃動検出に使⽤するドメイン情報を⼊⼒する
組織グループ
企業Eメールドメイン
確認⽤Eメールアドレス
を⼊⼒し保存
確認⽤Eメールアドレスへメールが届くため
リンクをクリックし承認

28. QRコードでの加⼊の流れ
・App Storeより AirWatch
エージェントのインストール
・QRコードを選択し、
カメラでスキャンする
加⼊⽤の情報を含む
Eメールが送られてくる
加⼊完了

29. 加⼊⽤メッセージの送信
CSVにてユーザー情報を
⼀括でインポート可能
メッセージタイプ：メッセージを送る⽅法を選択
メッセージテンプレート：送るメッセージの内容を選択。
カスタムメッセージを作成することが可能
ユーザーをCSVファイルからバッチインポートする場合、
“User Message Type”フィールドに
“Email”と⼊⼒することで
インポート時にメールが送信される
CSVのサンプルはAirWatch管理コンソールからダウンロード可能
QRコードは加⼊⽤のメッセージとして事前に送信しておく必要がある。
AirWatchへのユーザー登録時に加⼊⽤メッセージを送信する事が可能

30. 加⼊制限
デフォルトでは加⼊に必要な情報を知っていれば、AirWatchへの加⼊が可能
加⼊させる対象を制限したい場合は、加⼊制限の設定を⾏うことで制限が可能
すべての設定/デバイスとユーザー/全般/加⼊ 制限事項タブより設定
⼤きく２つの⽅法で加⼊を制限する
• ユーザーに関する情報で制限
• デバイスに関する情報で制限

31. ユーザーに関する情報での加⼊制限
加⼊を既知のユーザーのみに制限
AirWatchの管理コンソールに明⽰的に登録されたユーザーのみ加⼊を許可する
加⼊を構成済みのグループのみに制限
[選択されたグループ]を選択すると、
指定されたグループに所属するユーザーののみが加⼊を許可される
明⽰的に登録されていないユーザーで加⼊しようとする
とエラーで加⼊ができない

32. デバイスに関する情報での加⼊制限 – 加⼊制限ポリシー
ユーザーあたりのデバイス数上限
１ユーザーが加⼊できるデバイス数の制限
許可されたデバイスタイプ
有効にするとデバイスタイプを詳細に設定
できる。ブラックリスト、ホワイトリスト
どちらも可能
この例では、すべてのiOSのデバイス
（iPhone, iPad, iPod Touch ）がiOS 9.0.0より
⼤きければ加⼊ができるという条件を設定
している

33. デバイスに関する情報での加⼊制限 –加⼊時のエラー
加⼊条件より古いOSのデバイスで加⼊
しようとしている場合のエラー
許可されている台数以上のデバイスを
加⼊しようとしている場合のエラー

34. デバイスに関する情報での加⼊制限 – デバイス加⼊モード
ホワイトリストに登録されていないため
加⼊不可
• OSの種類、バージョンといったデバイスタイプではな
く、事前に明⽰的にAirWatchへ登録したデバイスのみ
加⼊可能に指定することも可能（ホワイトリスト、ブ
ラックリストに対応）
• すべての設定/デバイスとユーザー/全般/加⼊
の[認証]タブよりデバイス加⼊モードを[登録済みデバ
イスのみ]に設定する

35. デバイスに関する情報での加⼊制限 –ホワイトリスト登録
①デバイス/ライフサイクル/加⼊状態
よりデバイスを登録
②加⼊を許可するデバイスを登録
IMEI/シリアル番号/UDID
から登録可能
③管理コンソール上に登録された。ホワイトリストに登録されたデバイスでは加⼊が可能となる

36. デバイスに関する情報での加⼊制限 – トークンの利⽤
登録トークンを要求する
加⼊時にトークンを利⽤する
登録トークンのタイプ
単⼀要素：トークンのみで加⼊可能
⼆要素：ユーザー情報＋トークンで加⼊
デバイスの追加
紐付けられたユーザーに対して、
メールでトークン情報が送られる

37. デバイスに関する情報での加⼊制限 – トークンの利⽤
トークン情報を含んだ
メールが事前に送られてくる
加⼊時にトークンを求められる
⼀要素の場合、
トークン情報のみを⼊⼒すれば加⼊が可能
⼆要素の場合、
トークン+ユーザー認証

38. AirWatch ユースケース(MDM)
– 会社の⽀給するデバイスのみAirWatch管理下に置くことを許可したい
課題：会社⽀給のデバイスだけ管理下に置きた
い
・個⼈所有のデバイスをAirWatchに加⼊させ、社内
リソースへアクセスされるのを防ぎたい
解決策：加⼊を許可するデバイスを明⽰的に制限
・管理者が許可したデバイスのみ加⼊を許可する
・加⼊するデバイスはシリアル番号で指定するため厳密に
制御可能
AirWatch加⼊に加⼊できるデバイスを厳密に制御し、個⼈
所有デバイスの業務利⽤を禁⽌できた
AirWatch を選択した理由：
・厳密に加⼊制限をかけることのできる機能を保持
・SaaSアーキテクチャのため導⼊が容易
・ワールドワイドでの豊富な実績
会社⽀給デバイス 個⼈所有デバイス
加⼊を許可するデバイスを管理者が事前に定義
・IMEI/シリアル番号/UDID
・OSのバージョン等
管理下に置くデバイスを厳密に制限
会社⽀給デバイスのみ加⼊及び、
業務利⽤を許可することに成功
登録されていないデバイスからは加⼊不可

39. iOS 管理の課題
MDMプロファイルの削除 ⼀部機能は監視対象モードを必要とする
（例）
・アプリのサイレントインストール
・監視対象と書かれたプロファイル
監視モードの設定にはApple Configurator を使
⽤するが、Apple Configuratorで全台数を監視
モードに設定するのは⾮常に⼯数がかかる
MDMに加⼊したのはいいが
MDMプロファイルの削除ができてしまう
Apple Configurator
監視対象と記載のあるプロファイルは
監視対象モードのiOSのみで利⽤可能

40. Apple DEP への対応
40
Apple により提供される、キッティングにかかる⼯数を⼤幅に削減できる⽅法。
デバイスのデバイスのアクティベーション時にモバイルデバイス管理 (MDM) への登録や監視
モードの設定の⾃動化が可能
• キッティングのリモート化
による⼯数削減
• エンドユーザのための
加⼊ステップの簡略化
• 企業の認証情報を使⽤して認証
リモートから監視モードの設定が可能
❌
MDMプロファイルの削除が
不可能に出来る
※DEPだけが可能
削除不可

41. iOS DEPの設定 – MDM機能
MDM加⼊を必須にする
デバイスの初期セットアップ時にMDMに加⼊
することを必須にする
監視対象
デバイスの初期セットアップ時に監視対象
モードにする
MDMプロファイルロック
MDMプロファイルを削除できないようにする

42. iOS DEPの設定 – セットアップアシスタント
初期セットアップアシスタントで、初期セットアップ時に
ユーザーに設定を求める項⽬を指定する
右の例ではWIFI設定後、
ロケーションサービスの設定のみユーザーに聞いてくる
スキップする項⽬を増やすことで、初期セットアップを簡
易に済ませることができる
DEPの詳細な設定⽅法は
VMware AirWatch Guide for the Apple Device
Enrollment (DEP) Program
を参照のこと

43. （参考）Andorid におけるプロファイル削除の禁⽌⽅法
削除を許可
[なし]を選択することで、
プロファイルの削除を禁⽌できる

44. （参考）Andorid におけるエージェントのアンインストールの禁⽌
- 必須アプリのアンインストール禁⽌
必須アプリのアンインストールを防ぐ
有効にする
対応したプラットーフォームは
[さらに]をクリックして確認

45. （参考）Andorid におけるエージェントのアンインストールの禁⽌
- 必須アプリの登録
[グループと設定]→[グループ]→[アプリグループ]→[グループを追加の順にクリック]
タイプに
[必須]を選択
タイプに
[必須]を選択
管理名を⼊⼒
必須アプリとしたいアプリを登録する
アプリケーション名にキーワードを⼊れ、検索アイコンをクリックすれば検索可能
これにより ユーザーによるAndroid エージェントを禁⽌することができる

46. AirWatch ユースケース(MDM)
– キッティング⼯数の削減
課題：iOSのキッティング⼯数を削減したい
・Apple Configuratorによる監視対象設定に膨⼤な⼯
数がかかる
・Apple Configuratorなしでできないか
・AirWatchの加⼊も⾃動化したい
・MDMプロファイルが削除されないようにしたい
解決策：AirWatchとDEPを使⽤する
・Apple DEPとAirWatchを連携設定
・デバイス初期セットアップ時に、iOSの監視対象の設定
が可能に
エンドユーザーによる初期設定が容易になり、iOSのキッ
ティング⼯数の⼤幅削減に成功
AirWatch を選択した理由：
①箱からデバイスを取り
出し、Wifiの設定をする ②Appleのサイトへ
アクティベションへ⾏く
③指定された
AirWatchへ加⼊
④プロファイル、
アプリ等が配布される
・DEPとの連携のサポート
・SaaSアーキテクチャのため導⼊が容易
・ワールドワイドでの豊富な実績
・各OSの同⽇サポート
エンドユーザーによるセット
アップが可能になり、管理者の
⼯数を⼤幅削減できた
監視モード

47. 管理者による代理セットアップ
AirWatchへの加⼊に必要な情報
• AirWatchのサーバー情報
• グループID
• ユーザー資格情報
加⼊操作の実施者 加⼊⽅法
サーバー詳細情報
（全て⼿⼊⼒）
Eメールアドレス
QRコード
エンドユーザー
管理者
による代理セットアップ
この部分

48. 代理セットアップ
• エンドユーザーの代わりに管理者が加⼊を済ませておく⽅法
• 代理加⼊するユーザーでは代理セットアップオプションを有効にしておく
• 代理セットアップには⼤きく⼆つの種類がある
– シングルユーザーモード
– マルチユーザーモード（共有デバイス）
デバイスの代理セットアップを有効にする
有効にすると代理セットアップが可能になる
シングルユーザーデバイス
⼀⼈のユーザーが利⽤する場合
マルチユーザーデバイス
複数のユーザーで共有する場合

49. 代理セットアップ流れ – シングルユーザーモード
①代理セットアップユーザーを使⽤して
管理者がデバイスを加⼊
③ログイン成功
④ユーザー情報が更新され、ユーザーに割り当てら
れたプロファイル、アプリが配布される
②ユーザーはエージェントを起動するとログイン情報が
求められるので、⾃⾝のアカウントでログイン

50. 代理セットアップ流れ – マルチユーザーモード（共有デバイス）
①代理セットアップユーザーを使⽤して管理者がデバイスを加⼊
②ユーザーはエージェントを起動するとログイン情報が
求められるので、⾃⾝のアカウントでログイン
④別のユーザーがログオンが可能
③エージェントからログアウト

51. AirWatch ユースケース(MDM)
– 管理者による代理加⼊でエンドユーザーの加⼊処理を不要に
課題：エンドユーザーによる加⼊が厳しいケー
スがある
・エンドユーザーによる加⼊が容易ではない
・管理者が代理で加⼊することはできないか
解決策：管理者による代理加⼊を実施
・モバイルデバイスを管理者が事前に代理加⼊しておく
・エンドユーザーによる加⼊⼿続きが不要
モバイルデバイスが届けられた際、エンドユーザーは⾃⾝
のアカウント情報を⼊⼒するだけで利⽤できるようになっ
た
AirWatch を選択した理由：
①管理者が事前に代理加⼊する
・要件を満たせるきめ細かいプロファイル機能
・SaaSアーキテクチャのため導⼊が容易
・ワールドワイドでの豊富な実績
・各OSの同⽇サポート
②加⼊済みデバイスをエンド
ユーザーへ渡す ③⾃⾝のアカウント情報でログイン
④アカウントに割り当てられたプロ
ファイル、アプリ等が利⽤可能エンドユーザーの加⼊処理を不要にするこ
とが成功。

52. AirWatch ユースケース(MDM)
– 複数のユーザーでデバイスを共有
課題：デバイスを複数⼈で共有しコストを削減
したい
・全ユーザーにモバイルデバイスを配布することは
コストの⾯で難しい
・複数⼈でデバイスを共有させることはできないか
解決策：AirWatchの共有デバイス機能の利⽤
・複数名で１台のモバイルデバイスを共有可能
・ユーザーごとに異なるプロファイルの適⽤
複数名でデバイスを共有しながらも、ユーザーごとに異な
るアプリ、プロファイルを適⽤することでセキュリティを
確保しつつコスト削減に成功
AirWatch を選択した理由：
①管理者が事前に代理加⼊する
・要件を満たせるきめ細かいプロファイル機能
・SaaSアーキテクチャのため導⼊が容易
・ワールドワイドでの豊富な実績
・各OSの同⽇サポート
②ユーザーは利⽤時、⾃⾝の
アカウントを⼊⼒しログイン
⑥アカウントに割り当てられたプロ
ファイル、アプリ等が利⽤可能
③アカウントに割り当てられたプロ
ファイル、アプリ等が適⽤される
④利⽤終了後、ログアウト
⑤ユーザーは利⽤時、⾃⾝の
アカウントを⼊⼒しログイン
複数名でデバイスを共有しコストの削減に成功

53. 設定・セキュリティポリシーの配布

54. デバイスの管理に関する本⽇の主な内容
プロファイル
証明書
プライバシー
キオスク

55. プロファイル
デバイスを管理する設定を定義したものであり、プロファイルの設定がデバイスへは適⽤される
設定できる項⽬はプラットフォームごとに異なるためコンソールでの確認が推奨
プロファイルで制御できる項⽬はプラットフォームに依存するため、
MDM製品間でも差が出にくい部分
その中でもAirWatchは
サポートしているプラットフォームの種類が豊富
最新バージョンの同⽇サポートを提供
プロファイルで定義された
様々な設定が適⽤される

56. 設定、ポリシーの配布
構成プロファイル
セキュリティプロファイル
展開タイプ
展開ルール
デバイス所有形態
パスコード 制限事項
メール
VPN
Wi-Fi
カレン
ダー
従業員 企業
位置情報 時間ベース
⾃動
加⼊時
アプリ
コンテン
ツ
共有
オンデマンド
管理者またはユーザに
よるインストール
配布する条件
順守ポリシー 証明書
MDMで制御できる項⽬に差は出にくいため、
如何に柔軟にプロファイルを配布、適⽤できるかが重要

57. ジオフェンス、タイムスケジュールの利⽤で展開にルール付け
・設定、ポリシーを場所、時間、スマートグループ毎に適⽤が可能
57
位置情報での制御
タイムスケジュールでの制御

58. AirWatch ユースケース(MDM)
– ⼯場内でのみポリシーを適⽤したい
課題：⼯場内でのみカメラ利⽤を禁⽌したい
・セキュリティ確保のため⼯場内でのみカメラ利⽤
を禁⽌したい
解決策：ジオフェンスでカメラを制御
・ジオフェンスで特定のエリアのみでカメラを禁⽌
⼯場内でのみカメラ禁⽌のプロファイルを適⽤することで
実現
AirWatch を選択した理由： ・要件を満たせるきめ細かいプロファイル機能
・SaaSアーキテクチャのため導⼊が容易
・ワールドワイドでの豊富な実績
・各OSの同⽇サポート
③デバイスが⼯場街に出るとカメラ
禁⽌のプロファイルは適⽤されない
①デバイスが⼯場内にある時にはカ
メラ禁⽌のプロファイルを配布
同じデバイスでも位置情報に基づいて
異なるセキュリティポリシーの実現に成功
②カメラの利⽤禁⽌ ④カメラの利⽤可能

59. AirWatch ユースケース(MDM)
–業務時間中のみメールを利⽤可能にしたい
課題：業務時間中のみメール利⽤可能にしたい
・働き⽅改⾰を実現したいが、リモートからの業務
をしたさいの
・業務時間中のみメール利⽤を可能に制限したい
解決策：業務時間中のみメールプロファイルを配信
・タイムスケジュールでメール設定を配信する時間帯を制
御
・時間外はメール利⽤不可
業務時間中のみメール利⽤を可能にすることに成功
AirWatch を選択した理由： ・要件を満たせるきめ細かいプロファイル機能
・SaaSアーキテクチャのため導⼊が容易
・ワールドワイドでの豊富な実績
・各OSの同⽇サポート
③業務時間外は
Active Syncプロファイルを適⽤しない
①業務時間中のみ
Active Syncのプロファイルを配布
同じデバイスでも位置情報に基づいて
異なるセキュリティポリシーの実現に成功
②メール利⽤可能 ④メール利⽤不可

60. スマートグループ（割り当て対象のグルーピング機能）
CONFIDENTIAL 60
• プロファイル、アプリケーション等の割り
当てる対象を柔軟にグルーピング
• 以下の情報を⽤いてグルーピングが可能
– 組織グループ
– ユーザーグループ
– 所有形態
– タグ
– プラットフォームとOS
– モデル
– エンタープライズOEMバージョン
– 追加
– 除外
スマート
グループ
１
セキュリティ
プロファイル 特定のOSのグループ
スマート
グループ2
スマート
グループ3
ADのユーザーグループ
アプリ
順守ポリシー
組織に所属するもの全て

61. タグを使⽤した柔軟な管理
• 管理者が⾃由に作成できる管理情報
• 作成したタグでデバイスを柔軟にグループ化することができる
• タグ情報をもとに、デバイス情報のフィルタ、プロファイルの適⽤が可能
• デフォルは以下のタグが⽤意されている
「ダメージあり」「修理中」「輸送中」「⾼」「中」「低」「ソフトウェア」「その他」
新しいタグ
新しいタグの追加が可能
⾊の選択が可能

62. タグを使⽤した柔軟な管理
タグ情報でデバイスをフィルタリング
該当のタグが割り当てられているデバイスが表⽰される
タグ情報を使⽤してスマートグループを作成できる
作成したスマートグループをプロファイル作成時に利⽤可能

63. AirWatch ユースケース(MDM)
–システムでは取得できない情報でグルーピング
課題：スマートグループでは⽤意されていない
情報でグループ化し管理したい
・管理者が⾃由にグループを作成する機能が欲しい
・スマートグループはデバイス、ユーザーの情報を
中⼼に使うがそれ以外の情報を使いたい
・例）外傷のあるデバイスとそうでないデバイス等
解決策：タグ情報で⾃由にグループ管理
・管理者が⾃由にタグで情報を追加可能
お客様で柔軟にグルーピングすることが可能になり、管理
がより効率的になった
AirWatch を選択した理由： ・⾃由度の⾼いタグ機能
要件を満たせるきめ細かいプロファイル機能
・SaaSアーキテクチャのため導⼊が容易
・ワールドワイドでの豊富な実績
「外傷あり」「修理中」
などシステムでの判断が困難な情報で
グルーピングができるようになった
修理中
外傷あり修理中
外傷あり

64. プライバシー
管理者がデバイスから取得する情報とその扱いを個別に設定できる。
特に、個⼈所有デバイスの業務利⽤(BYOD) 展開において有⽤
AirWatchでは、デバイス所有形態別にプライバシーポリシーを定義する事が可能
– 会社⽀給デバイス（専有・共有）
– 個⼈所有デバイス プライバシーの設定対象
• GPS：位置情報
• テレコム：キャリアや通話・パケット使⽤量などの情報
• アプリケーション：個⼈利⽤のアプリケーションの情報
• プロファイル：AirWatchで管理されていないプロファイルの情報
• コマンド：ワイプやリモート操作の許可の可否
• ユーザ情報：名前や電話番号情報などのユーザ情報
• 妨害しない：お休みモードの有効・無効
• ユーザフレンドリなプライバシー通知：プライバシー通知

65. プライバシー
• 全ての設定/デバイスとユーザー/全般/プライバシー
にて、項⽬ごとにそれぞれの扱いを細かく調整可能
– 通知レベル：GPS/テレコム/アプリケーション/プロファイル
– 操作レベル：コマンド
収集して表⽰– ユーザデータを収集し、AirWatch 管理者コンソールに表⽰する。
収集するが表⽰しない– レポートの使⽤にユーザデータを収集するが、AirWatch 管理者コンソールには表⽰しない。
収集しない– ユーザデータを収集しない。
許可-ユーバの許可が無くても、デバイスへコマンド発⾏出来る。
ユーザ同意で許可-ユーザの許可を得て、デバイスへコマンド発⾏出来る。
許可しない--デバイスへのコマンド発⾏が出来ない。

66. ユーザーフレンドリなプライバシー通知
ユーザーフレンドリな
プライバシー通知を有効化する
有効にするとデバイス上に
Privacyアプリが配置される
この例では、BYOデバイスではPrivacyアプリを配置
するが、企業所有のデバイスではPrivacyアプリを
配置しない

67. ユーザーフレンドリなプライバシー通知
AirWatchで取得している情報、取得していない情報をエンドユーザーはいつでも
確認が可能できるようにし、プライバシーを保護している

68. AirWatch ユースケース(MDM)
– 適切にプライバシーを保護し、個⼈所有デバイスの利⽤を促進
課題：個⼈所有デバイスの利⽤を促進したいが、
個⼈情報をの扱いに⼼配をするユーザーが多い
・適切な情報公開でユーザーの不安を払拭したい
解決策：AirWatchでデバイスを管理
・デバイスごとにプライバシーポリシーを変更できる
・ユーザーは取得されている情報をいつでも確認が可能
個⼈所有デバイスの利⽤を促進し、デバイス⽀給にかかる
コストを削減に成功した
AirWatch を選択した理由： ・プライバシーの扱いへ取り組む姿勢
・デバイスごとにポリシーを変更できる柔軟性
・SaaSアーキテクチャのため導⼊が容易
・ワールドワイドでの豊富な実績
会社⽀給デバイス 個⼈所有デバイス
GPS
テレコム
アプリケーション
プロファイル
全ての情報を取得
テレコム
プロファイル
のみ情報を取得
デバイスの所有形態に応じて
適切なポリシーの適⽤に成功
ユーザーには取得している情報を明確に通知
プライバシーを適切に保護し、BYODの促進に成功

69. 認証局（CA）との連携機能
ACC 社内CA
加⼊
ユーザーA
ユーザーB
ユーザーBの証明書を発⾏および配布
社内ネットワーク
ユーザーAの証明書を発⾏および配布
• お客様社内のCAとの連携機能を提供
• ユーザーがAirWatchに加⼊した際、⾃動でユーザーごとの証明書の配布が可能

70. 証明書の利⽤⽤途と連携可能な認証局
発⾏ 管理 更新 失効
✓ ✓ ✓
✓ ✓ ✓ ✓
✓ ✓ ✓ ✓
✓ ✓ ✓ ✓
✓ ✓ ✓
✓ ✓ ✓ ✓
✓ ✓ ✓ ✓
✓ ✓ ✓ ✓
✓SCEP
ユース
ケース
利⽤可能な
プラットフォーム
Email iOS Android Mac OS X Windows
Wi-Fi iOS Android Mac OS X Windows
VPN iOS Android Mac OS X Windows
SSL VPN iOS Android
Apps (SDK) iOS Android
S/MIME iOS Android
利⽤⽤途とサポートOS 連携可能な証明機関

71. 証明書の管理
• AirWatch 管理コンソールを使⽤して展開済みの証明書を管理が可能
• 証明書の更新、失効まで管理コンソールから実施可能
更新 失効

72. AirWatch ユースケース(MDM)
– 認証局と連携しユーザーごとの証明書を⾃動で配布することで、配布にかかる⼯数を削減
課題：ユーザーごとの証明書の配布を⼿動で
⾏っていて配布に⼯数がかかる
・MDM導⼊に伴い管理をまとめて⾏いたい
・⾃動で証明書の発⾏を⾏いたい
解決策：AirWatchと社内CAを連携させる
・AirWatchと社内のCAを連携設定
・ユーザーがAirWatch加⼊時、⾃動で証明書が発⾏される
証明書発⾏にかかる⼯数の削減に成功
AirWatch を選択した理由：
・社内のCAと連携する機能の提供
・SaaSアーキテクチャのため導⼊が容易
・ワールドワイドでの豊富な実績
社内CA
①AirWatchへ加⼊ ②CA連携
③ユーザー固有の証明書を⾃動で発⾏
証明書発⾏プロセ
スを⾃動化するこ
とで、⼯数の削減
に成功
④証明書でVPN,メール、WIFI等の認証を
⾏うことで利便性とセキュリティの向上
VPN

73. キオスク利⽤
• 特定のアプリのみを利⽤可能なようにデバイスをロックダウンすることが可能
• ⽬的のアプリを利⽤するように強制可能
• 不要アプリを利⽤させないように制御
アプリケーションバンドルID
許可するアプリケーションを指定
候補から選択が可能なため容易に指定可能
この例では AirWatch Browserのみ利⽤が可能
ホームボタンを押しても効かず、別のアプリへ切り
替えることができない

74. シングルアプリモードの設定
iOSでの設定には
監視モードにした上でシングルアプリモードのプロ
ファイルを作成することでキオスク化される
デバイスを指定した⼀つのアプリに固定
ホームボタンによるアプリ終了をブロック
ウェイク/スリープ、および⾳量ボタンの無効化
デバイス画⾯の回転を防⽌
タッチスクリーンの無効化
等の細かい制御まで柔軟に設定可能
iOSでの設定には
監視モードにした上でシングルアプリモードのプロファイ
ルを作成することでキオスク化される

75. AirWatch ユースケース(MDM)
– 端末をキオスク化し据え置きデバイスとして配置
課題：デバイスを据え置きにし会社情報を表⽰
したい
・来客者⽤の据え置きデバイスにiPadを利⽤し、会
社情報を表⽰したい
・勝⼿に操作され別⽤途で利⽤されてしまっている
・会社情報を常に表⽰できるようにできないあk
解決策：iPadのキオスク化
・Ipadをキオスク化しブラウザのみ利⽤可能にする
・ホームボタンを押しても反応させない
・画⾯の回転も禁⽌可能
来客者へ対して待ち時間に会社が伝えたい情報を⽬にして
いただくようにすることができた
AirWatch を選択した理由：
③ユーザーは許可された
アプリのみを利⽤可能
①指定された
AirWatchへ加⼊
②シングルアプリモードプ
ロファイルの配布
・要件を満たせるきめ細かいプロファイル機能
・SaaSアーキテクチャのため導⼊が容易
・ワールドワイドでの豊富な実績
・各OSの同⽇サポート
来客者へ対して、会社の伝えたい
情報を表⽰するように強制するこ
とができた
・会社のホームページの表⽰
・会社の紹介PVを常に流す
など

76. 遠隔からの操作

77. デバイスへの遠隔操作 – クエリ
AirWatch管理下のデバイスに対して様々な操作が遠隔から可能
クエリ
デバイスの最新情報を送るようにAgentへ通知

78. デバイスへの遠隔操作 – 送信
送信
デバイスへメッセージの送信が可能
Eメール、プッシュ通知、SMSを利⽤可能
AirWatchエージェントへ対しプッシュ通知をした例

79. デバイスへの遠隔操作 – ロック
紛失時等に備えデバイスをロックする機能を提供
デバイスの画⾯をロックし、
管理者が指定したメッセージを表⽰

80. その他のアクション – パスコードを消去
デバイス
デバイスのパスコードを消去
制限事項を設定
iOSの機能制限を設定する際のパスコードを消去
ユーザーがパスコードを忘れた時に備え、パスコードを消去する機能を提供

81. その他のアクション – 管理
ユーザーがデバイスを紛失した時に備えデバイス上のデータを消去する機能を提供
企業情報ワイプ
AirWatchから配布された情報を削除
デバイスワイプ
端末を初期化する
管理設定
通話ローミング、データローミング、パーソナル
スポットの設定を有効または無効に設定

82. その他のアクション – サポート
デバイス探索
デバイスの⾳を鳴らし、デバイスを⾒つけるのを容易にする
メッセージが送信されるのと同時に⾳がなる

83. その他のアクション – 管理者
紛失モードを有効にする
デバイスをロックし、メッセージを画⾯に表⽰する。ロック機能
と異なり、ユーザーは⾃分でロックを解除することはできない
ユーザーは⾃分ではロッックの解除ができ
ないため、管理者へ連絡が必要
再利⽤には
管理者による紛失モードの無効化が必要

84. ロケーション
デバイスの詳細情報のロケーションタブ
にてデバイスの位置情報にアクセス可能
ユーザーがデバイスを紛失した時に備えデバイスの位置を確認する機能を提供
表⽰する期間も指定可能

85. セルフサービスポータル
エンドユーザーに権限を委任する機能を提供
AirWatchのURL/mydevice
へログオンすることで、エンドユーザーは⾃
⾝のデバイスの操作を⾏うことができる
操作を許可する範囲は調整可能

86. AirWatch ユースケース(MDM)
– 端末紛失時の初期化をエンドユーザーがセルフサービスで実施
課題：デバイス紛失時の対応に時間を要する
・多くのユーザーが夜中にデバイスを紛失する
・データの消去対応を管理者が⾏っていたが、翌朝
の対応になるケースが多く、その間の情報漏洩リス
クを軽減したい
解決策：セルフサービスポータルの利⽤
・エンドユーザーが⾃⾝でデバイスのワイプを可能
・データ消去までの時間を短縮でき情報漏洩リスクを軽減
できた・管理者の負担も削減できた
必要な作業をエンドユーザーへ委任することで管理者の負
担の軽減と、情報漏洩リスクの軽減が実現できた
AirWatch を選択した理由：
①夜中にユーザーがデバイス
を紛失してしまった
②⾃宅PCからセルフサービスポータル
へアクセスしデータのワイプを実施
③企業情報ワイプの
実⾏
・効果的なセルフサービスポータル機能
・SaaSアーキテクチャのため導⼊が容易
・ワールドワイドでの豊富な実績
エンドユーザーによるワイプを可能にすることで迅速に情報漏洩
対策ができた。また管理者は夜中にワイプ処理を実施する作業か
ら解放された