管理 - BlackBerry

管理ガイド
BES12
バージョン 12.2
公開： 2015-08-24
SWD-20150824112123827
目次
はじめに........................................................................................................................11
このガイドについて...................................................................................................................................................... 12
BES12 とは？................................................................................................................................................................ 13
BES12 の主な機能.................................................................................................................................................. 13
このガイドの使用方法.................................................................................................................................................. 15
BES12 を管理する手順...........................................................................................................................................15
日常の管理シナリオの例........................................................................................................................................16
BES12 へのログイン......................................................................................................................................................18
BES12 Self-Service について..........................................................................................................................................19
Android 管理オプション................................................................................................ 21
Android デバイスの管理オプション.............................................................................................................................. 22
Android MDM および KNOX MDM について............................................................................................................ 22
Android for Work について.......................................................................................................................................24
KNOX Workspace について..................................................................................................................................... 27
Android デバイス用 Secure Work Space について...................................................................................................30
管理者........................................................................................................................... 35
管理者の設定................................................................................................................................................................. 36
管理者の設定手順.................................................................................................................................................. 36
BES12 が割り当てるロールを選択する方法.......................................................................................................... 36
管理者グループの作成および管理 .........................................................................................................................37
管理者の作成および管理........................................................................................................................................38
ロールの管理 ......................................................................................................................................................... 40
Secure Work Space........................................................................................................ 53
iOS および Android デバイスの Secure Work Space の設定............................................................................................54
エンタープライズ接続とプロキシサーバー........................................................................................................... 54
仕事用領域のあるデバイスの管理......................................................................................................................... 55
仕事用領域アプリのアップグレード......................................................................................................................55
Secure Work Space 接続のテスト........................................................................................................................... 56
Secure Work Space 接続の再作成........................................................................................................................... 56
プロファイルと変数......................................................................................................57
プロファイルの使用...................................................................................................................................................... 58
プロファイルの割り当て........................................................................................................................................58
BES12 が割り当てるプロファイルを選択する方法................................................................................................59
プロファイルの管理...................................................................................................................................................... 61
プロファイルをランク付け.................................................................................................................................... 61
プロファイルの表示............................................................................................................................................... 61
プロファイル設定の変更........................................................................................................................................62
ユーザーアカウントまたはユーザーグループからのプロファイルの削除............................................................ 62
プロファイルを削除する........................................................................................................................................63
変数の使用.................................................................................................................................................................... 64
プロファイルでの変数の使用.................................................................................................................................64
デフォルトの変数.................................................................................................................................................. 64
カスタム変数..........................................................................................................................................................66
証明書........................................................................................................................... 69
プロファイルを使用した証明書の管理......................................................................................................................... 70
デバイスへの証明書の送信........................................................................................................................................... 71
CA 証明書プロファイルの作成............................................................................................................................... 71
SCEP プロファイルの作成......................................................................................................................................72
共有の証明書プロファイルの作成......................................................................................................................... 74
BES12 と組織の Entrust ソフトウェアとの統合............................................................................................................ 75
BES12 と組織の Entrust ソフトウェアを統合する手順.......................................................................................... 75
所属組織の Entrust ソフトウェアに接続を追加..................................................................................................... 76
デバイスに Entrust CA 証明書を送信......................................................................................................................76
デバイスへの Entrust クライアント証明書の提供.................................................................................................. 76
仕事用接続.................................................................................................................... 79
デバイスの仕事用接続の設定........................................................................................................................................80
デバイスの仕事用接続をセットアップする手順....................................................................................................80
プロファイルを使用した仕事用接続の管理........................................................................................................... 80
対策：仕事用接続プロファイルを作成.................................................................................................................. 81
デバイスの仕事用メールの設定............................................................................................................................. 82
デバイスのプロキシ設定のセットアップ...............................................................................................................92
デバイスの仕事用 Wi-Fi ネットワークの設定.........................................................................................................95
デバイスの仕事用 VPN の設定............................................................................................................................... 96
デバイスのエンタープライズ接続を設定する....................................................................................................... 99
デバイスでシングルサインオン認証を設定......................................................................................................... 101
仕事用リソースへセキュリティ保護された接続を行うために BlackBerry Secure Connect Plus を使用..................... 105
BlackBerry Secure Connect Plus を有効にする手順.............................................................................................. 105
サーバーとデバイスの要件.................................................................................................................................. 106
データフロー：BlackBerry Secure Connect Plus はセキュリティで保護された IP トンネルをどのように作成
するか.................................................................................................................................................................. 107
BlackBerry Secure Connect Plus の負荷分散と高可用性.......................................................................................108
BlackBerry Secure Connect Plus の有効化と設定..................................................................................................108
BlackBerry Secure Connect Plus のトラブルシューティング................................................................................111
デバイスの標準........................................................................................................... 115
デバイスの組織の標準の設定......................................................................................................................................116
組織のデバイスの標準を設定する手順................................................................................................................ 116
プロファイルを使用した組織の標準の管理......................................................................................................... 116
デバイスのコンプライアンスルールの強制......................................................................................................... 117
iOS デバイス上での Web コンテンツのフィルター.............................................................................................. 120
デバイスをシングルアプリに制限....................................................................................................................... 122
ユーザーが BlackBerry 10 デバイスにインストールできるソフトウェアリリースを制御する........................... 124
iOS 8 デバイスのメールドメインと Web ドメインの管理.................................................................................... 126
仕事用領域のあるデバイスで許可されたドメインおよび制限されたドメインを設定する................................. 127
BlackBerry 10 デバイスで表示する組織の通知の作成......................................................................................... 128
デバイスでの組織情報の表示 ..............................................................................................................................129
iOS デバイスの Web アイコンの作成....................................................................................................................130
iOS デバイス用位置情報サービスの設定..............................................................................................................131
IT ポリシー.................................................................................................................. 133
IT ポリシーを使用したデバイス機能の制御................................................................................................................ 134
IT ポリシーを管理する手順.................................................................................................................................. 134
デバイス機能の制限または許可........................................................................................................................... 135
BES12 が割り当てる IT ポリシーを選択する方法................................................................................................ 135
IT ポリシーの作成と管理......................................................................................................................................136
IT ポリシーを使用した BlackBerry OS デバイス機能の制御........................................................................................ 140
BlackBerry OS IT ポリシーを管理する手順........................................................................................................... 140
BlackBerry OS デバイス機能の制限または許可....................................................................................................140
事前に設定済みの BlackBerry OS IT ポリシー.......................................................................................................141
BlackBerry OS IT ポリシーの割り当てと IT ポリシーの競合の解決...................................................................... 142
IT ポリシーが適用されていない BlackBerry OS デバイスの無効化...................................................................... 144
BlackBerry OS IT ポリシーの作成と管理.............................................................................................................. 145
アプリ......................................................................................................................... 147
デバイスでのアプリの管理......................................................................................................................................... 148
アプリを管理する手順......................................................................................................................................... 148
使用可能なアプリリストでのアプリの追加および削除....................................................................................... 148
特定の iOS、Android、および Windows Phone アプリのユーザーによるインストールの防止............................ 165
アプリグループの管理......................................................................................................................................... 167
Apple VPP アカウントの管理................................................................................................................................169
アプリを必須にするかオプションにするかの変更.............................................................................................. 170
ユーザーアカウントに割り当てられたアプリおよびアプリグループのステータスの表示................................. 171
ユーザーグループに割り当てられているアプリの表示....................................................................................... 171
使用可能なアプリリストの情報の更新................................................................................................................ 172
Android for Work アプリのアプリケーション権限の更新......................................................................................172
BlackBerry World の組織名の設定.........................................................................................................................173
BlackBerry OS デバイスでのアプリの管理.................................................................................................................. 174
BlackBerry Java Application の配布準備 ............................................................................................................... 174
アプリケーション制御ポリシーの設定................................................................................................................ 176
一覧にないアプリケーションのアプリケーション制御ポリシー.........................................................................179
ソフトウェア設定の作成......................................................................................................................................180
管理コンピューターでの BlackBerry Java Application の BlackBerry OS デバイスへのインストール...................183
BlackBerry OS デバイスに BlackBerry Java Application がインストールされているユーザーの表示................... 184
ソフトウェア設定の競合の調整ルール................................................................................................................ 184
ユーザーとデバイス....................................................................................................191
ユーザーグループおよびユーザーアカウントの管理..................................................................................................192
ユーザーグループとユーザーアカウントを作成する手順................................................................................... 192
ユーザーグループの作成と管理........................................................................................................................... 193
ユーザーアカウントの作成と管理....................................................................................................................... 204
フィルターを使用した［ユーザーとデバイス］表示のカスタマイズ .................................................................220
デバイスグループの管理.............................................................................................................................................221
デバイスグループを作成および管理する手順..................................................................................................... 221
デバイスグループの作成......................................................................................................................................221
デバイスグループの表示......................................................................................................................................224
デバイスグループの名前の変更........................................................................................................................... 225
デバイスグループの削除......................................................................................................................................225
DEP に登録されている iOS デバイスをアクティベーション....................................................................................... 226
前提条件：DEP に登録されているデバイスで BES12 Client を使用する............................................................. 226
DEP に登録されているデバイスをアクティベーションする手順........................................................................ 226
DEP に iOS デバイスを登録し、MDM サーバーに割り当てる..............................................................................227
iOS デバイスに登録設定を割り当てる................................................................................................................. 227
iOS デバイスに割り当てられた登録設定を削除...................................................................................................228
登録設定を管理.................................................................................................................................................... 228
デバイスに割り当てられている登録設定の設定を表示....................................................................................... 229
アクティベーションされたデバイスのユーザーの詳細を表示............................................................................ 230
デバイスのアクティベーション.................................................................................................................................. 231
デバイスをアクティブ化する手順....................................................................................................................... 231
要件：アクティベーション.................................................................................................................................. 231
アクティベーションの種類のライセンス要件..................................................................................................... 232
デフォルトのアクティベーションパスワードの有効期限と長さの管理..............................................................236
BlackBerry Infrastructure でのユーザー登録の無効化.......................................................................................... 237
Android for Work アクティベーションのサポート.................................................................................................238
アクティベーションメールテンプレートの管理..................................................................................................240
アクティベーションプロファイルを使用したデバイスアクティベーション設定の制御.....................................241
アクティベーションパスワードの設定とアクティベーションメールの送信.......................................................248
ユーザーによるアクティベーションパスワードの設定の許可............................................................................ 249
BlackBerry 10 デバイスのアクティベーション.................................................................................................... 249
BlackBerry OS デバイスのアクティベーション....................................................................................................250
iOS デバイスのアクティベーション.....................................................................................................................250
Android デバイスのアクティベーション.............................................................................................................. 251
Windows Phone デバイスのアクティベーション..................................................................................................252
BlackBerry Wired Activation Tool を使用した BlackBerry 10 デバイスのアクティベーション............................... 253
デバイスのアクティベーションに関するトラブルシューティングのヒント.......................................................255
デバイスの管理........................................................................................................................................................... 261
ダッシュボードレポートの使用........................................................................................................................... 261
IT 管理コマンドを使用したデバイスの管理.........................................................................................................262
デバイスレポートの表示と保存........................................................................................................................... 270
デバイスに、仕事用メールおよびオーガナイザーデータへのアクセスが許可されていることの確認............... 271
Exchange ゲートキーピング.................................................................................................................................272
デバイスの無効化................................................................................................................................................ 273
iOS デバイスを検索する.......................................................................................................................................273
保守と監視.................................................................................................................. 275
ログファイルの使用.................................................................................................................................................... 276
BES12 ログファイルの管理..................................................................................................................................276
ログファイルの検索.............................................................................................................................................279
ログファイルの読み取り......................................................................................................................................280
BlackBerry 10 および BlackBerry OS デバイスのアプリアクティビティの監査................................................... 286
デバイスでの操作の表示......................................................................................................................................287
デバイスからのログファイルの取得....................................................................................................................288
BES12 での監査操作....................................................................................................................................................290
監査の設定........................................................................................................................................................... 290
監査ログの表示とフィルター.............................................................................................................................. 291
監査ログの .csv ファイルへのエクスポート.........................................................................................................291
古い監査レコードの削除......................................................................................................................................291
SNMP を使用した BES12 の監視................................................................................................................................. 292
エンタープライズ接続用の SNMP カウンター.....................................................................................................292
BES12 Core 用の SNMP カウンター..................................................................................................................... 314
BlackBerry Secure Connect Plus 用の SNMP カウンター...................................................................................... 318
プロファイル設定....................................................................................................... 321
メールプロファイル設定.............................................................................................................................................322
共通：メールプロファイル設定........................................................................................................................... 322
BlackBerry 10：メールプロファイル設定............................................................................................................ 323
iOS：メールプロファイル設定.............................................................................................................................333
Android：メールプロファイル設定...................................................................................................................... 337
Windows Phone：メールプロファイル設定..........................................................................................................340
IMAP/POP3 メールプロファイルの設定...................................................................................................................... 342
共通：IMAP/POP3 メールプロファイルの設定.................................................................................................... 342
iOS：IMAP/POP3 メールプロファイルの設定...................................................................................................... 343
Android：IMAP/POP3 メールプロファイルの設定............................................................................................... 344
Windows Phone：IMAP/POP3 メールプロファイルの設定................................................................................... 345
SCEP プロファイル設定.............................................................................................................................................. 346
共通：SCEP プロファイル設定............................................................................................................................ 346
BlackBerry 10：SCEP プロファイル設定..............................................................................................................348
iOS：SCEP プロファイル設定.............................................................................................................................. 352
Android：SCEP プロファイル設定....................................................................................................................... 354
Wi-Fi プロファイル設定............................................................................................................................................... 360
共通：Wi-Fi プロファイル設定............................................................................................................................. 360
BlackBerry 10：Wi-Fi プロファイル設定.............................................................................................................. 360
iOS：Wi-Fi プロファイル設定............................................................................................................................... 366
Android：Wi-Fi プロファイル設定........................................................................................................................ 372
Windows Phone：Wi-Fi プロファイル設定............................................................................................................ 377
VPN プロファイル設定................................................................................................................................................ 382
BlackBerry 10：VPN プロファイル設定............................................................................................................... 382
iOS：VPN プロファイル設定................................................................................................................................ 395
Android：VPN プロファイル設定......................................................................................................................... 399
デバイスタイプ別サポートされている機能................................................................405
デバイスタイプ別サポートされている機能................................................................................................................ 406
ポリシーリファレンススプレッドシート................................................................... 413
製品ドキュメント....................................................................................................... 415
用語集......................................................................................................................... 417
商標などに関する情報................................................................................................ 421
はじめに
BES12 およびこのガイドの使用方法について説明します。
はじめに
このガイドについて
1
BES12 は、組織内のデバイスを管理するために役立ちます。このガイドは、管理者の作成から、デバイスユーザーの稼
働、BES12 の維持および監視まで BES12 を管理する方法を説明します。
このガイドは、BES12 を設定し管理する責任を担っているシニアおよびジュニア IT プロフェッショナルを対象としていま
す。このガイドを使用する前に、シニア IT プロフェッショナルは『BES12 設定ガイド』の説明に従い BES12 環境を設定
する必要があります。
12
はじめに
BES12 とは？
2
BES12 は、BlackBerry が提供する EMM ソリューションです。 EMM ソリューションは次のことを実行するために役立ちま
す。
•
ビジネス情報を保護するために組織のモバイルデバイスを管理する
•
モバイルワーカーと彼らが必要とする情報との接続を維持する
•
管理者に効率的なビジネスツールを提供する
BES12 では、次のデバイスタイプを管理できます。
•
BlackBerry 10
•
BlackBerry OS（バージョン 5.0～7.1）
•
iOS
•
Android（Samsung KNOX を含む）
•
Windows Phone
業界をリードするセキュリティを備えた、単一で簡易化された UI からこれらのデバイスを管理できます。
BES12 の主な機能
機能
説明
様々な種類のデバイスの管理
BlackBerry 10、BlackBerry OS（バージョン 5.0～7.1）、iOS、Android、およ
び Windows Phone デバイスを管理できます。
統合された単一 UI
すべてのデバイスを 1 か所に表示し、単一の Web ベースの UI ですべての管
理タスクにアクセスできます。同時に管理コンソールにアクセスできる複
数の管理者と管理責務を共有できます。
信頼された安全なエクスペリエンス
デバイス制御機能により、デバイスがネットワークに接続する方法、有効
にする機能、利用可能にするアプリを詳細に管理できます。これにより、
デバイスの所有者が組織であるかユーザーであるかにかかわらず、組織の
情報を保護できます。
仕事用と個人用のニーズのバランス
BlackBerry Balance と Secure Work Space の技術は、個人用の情報と仕事の
情報をデバイス上で確実に分離してセキュリティ保護するように設計され
ています。デバイスの紛失時や従業員が組織を離れた場合には、デバイス
13
はじめに
機能
説明
から仕事に関連する情報のみを削除するか、すべての情報を削除するかを
選択できます。
BlackBerry Secure Connect Plus
BlackBerry Secure Connect Plus は、BlackBerry 10 の仕事用領域アプリ、
KNOX Workspace、および Android for Work デバイスと、組織のネットワー
クの間にセキュリティ保護された IP トンネルを提供する BES12 コンポー
ネントです。このトンネルは組織のファイアウォールの内部にある仕事用
リソースへのアクセスをユーザーに提供しながら、標準プロトコルとエン
ドツーエンド暗号化を使用して、データのセキュリティを確保します。デ
バイスが仕事用 Wi-Fi ネットワークまたは VPN を使用できない場合（ユー
ザーが外出先にいて、仕事用 Wi-Fi ネットワークの圏外である場合など）
は、サポートされるデバイスは BlackBerry Secure Connect Plus を使用しま
す。
14
はじめに
このガイドの使用方法
3
このガイド内のタスクは、特に、初めて BES12 を管理している場合に、最も効率的な方法で起動し実行できるように特定
の順序で示されています。
必ずしも、これらのタスクをすべて完了する必要はありません。特定のデバイスタイプのアクティブ化、さまざまな方法
での仕事用データと個人用データの分離、またはさまざまなコンプライアンスルール、デバイス機能、および接続の適用
など、必要なタスクを選択できます。
BES12 を管理する手順
BES12 を管理する場合は、次の操作を実行します。
手順
操作
管理負荷を他の IT スタッフと共有する場合は、管理者を設定します。
仕事用接続を設定します（たとえば、メール、Wi-Fi、VPN）。
デバイスの標準を設定します（たとえば、コンプライアンスルール）。
デフォルトの IT ポリシーを更新するか、または新しい IT ポリシーを作成します。
デバイスに送信するアプリを決定します。
ユーザーとグループを作成します。
仕事用接続、デバイスの標準、IT ポリシー、およびアプリをユーザーとグループに割り当てます。
ユーザーがそれぞれのデバイスをアクティブ化できるよう支援します。
BES12 を保守および監視します。
15
はじめに
日常の管理シナリオの例
次のシナリオは、ユーザーごとに異なるデバイスを設定する場合に、選択することのある例を示しています。
シナリオ
推奨されるタスク
仕事用と個人用の BlackBerry 10 デバ
•
証明書のプロファイルを作成する
イスを管理する
•
仕事用ドメインをセキュリティ保護するためシングルサインオンのプ
ロファイルを作成する
•
プロキシサーバーのプロファイルを作成する
•
［仕事用および個人用 - 企業］または［仕事用および個人用 - 規制］ア
クティベーションの種類を選択する
基本管理機能を使用して iOS、Android、
•
仕事用メールまたは仕事用 Wi-Fi のプロファイルを作成する
または Windows Phone デバイスを管理
•
デバイスパスワードを強制するためデフォルトの IT ポリシーを変更す
する
る
•
•
BlackBerry OS（バージョン 5.0～7.1）
•
デバイスを管理する
デバイスに送信する仕事用アプリを選択する
［MDM コントロール］アクティベーションの種類を選択する
デバイスパスワードを強制するためデフォルトの BlackBerry OS IT ポ
リシーを変更する
•
BlackBerry OS IT ポリシーをデバイスに再送信する
iOS または Android デバイスに仕事用
•
データ用の高度なセキュリティを設定
する
転送中のデータのセキュリティを強化するため、エンタープライズ接
続のプロファイルを作成する
•
メールセキュリティを強化するため S/MIME を有効にする
•
コンプライアンスプロファイルを作成して、デバイスで脱獄または
ルート化が行われた場合の仕事用リソースへのアクセスを阻止する
•
デバイスユーザーがアクセスできる Web サイトを制限するため Web
コンテンツフィルタープロファイルを作成する
•
仕事用データを分離しセキュリティ保護するために Secure Work
Space を設定する
•
デバイスに送信するアプリをセキュリティ保護する
仕事専用の BlackBerry 10 デバイスを
•
証明書と VPN のプロファイルを作成する
設定する
•
メールセキュリティを強化するため S/MIME を有効にする
16
はじめに
シナリオ
ソフトウェアのデモ用に 1 つのアプリ
推奨されるタスク
•
デバイスカメラの使用を防ぐため IT ポリシーを作成する
•
［仕事用領域専用］アクティベーションの種類を選択する
•
アプリロックモードプロファイルを追加する
に制限された iOS デバイスを設定する
17
はじめに
BES12 へのログイン
4
管理コンソールで、BES12 によって管理されている組織内のデバイスに対して管理タスクを実行できます。
作業を始める前に:
•
管理コンソールの Web アドレス（たとえば、https://<hostname>/admin/index.jsp?tenant=<tenant>）とログイン情
報を見つけます。情報は、BES12 アカウントに関連付けられているメールアカウントの受信ボックスで検索でき
ます。
•
1.
認証方式とドメインを把握している必要があります（Microsoft Active Directory 認証のみに適用可能）。
ブラウザーで、組織の BES12 管理コンソールの Web アドレスを入力します。
2. ［ユーザー名］フィールドにユーザー名を入力します。
3. ［パスワード］フィールドにパスワードを入力します。
4.
必要に応じて、
［次を使用してサインイン：］ドロップダウンリストで、次のいずれかを実行します。
•
［ダイレクト認証］をクリックします。
•
［LDAP 認証］をクリックします。
•
［Microsoft Active Directory 認証］をクリックします。［ドメイン］フィールドに Microsoft Active Directory
ドメインを入力します。
5. ［サインイン］をクリックします。
終了したら: 管理コンソールの右上にあるユーザーアイコンをクリックすることで、ログインパスワードを変更できます。
18
はじめに
BES12 Self-Service について
5
BES12 Self-Service は、ユーザーがアクティベーションパスワードの作成、デバイスのロック、デバイスからのデータの削
除などの特定のタスクを実行できるように、管理者がユーザーに対して使用可能にする Web アプリケーションです。
ユーザーは、BES12 Self-Service を使用するためにコンピューターにソフトウェアをインストールする必要はありません。
管理者は、ユーザーに BES12 Self-Service ログイン情報を提供する必要があります。この情報はメールで送信することも
できれば、情報を含むアクティベーションメールテンプレートを編集して送信することもできます。また管理者は、
BES12 Self-Service にログインする前に、注意事項通知を読んで同意するようにユーザーに強制することもできます。詳
細については、「ログイン通知の表示」を参照してください。ユーザーには次の情報が必要です。
•
Web アドレス：BES12 Self-Service の Web アドレスは、管理コンソールの［設定］ > ［セルフサービス］に表示
されます。
•
ユーザー名とパスワード：会社のディレクトリユーザーは、組織のユーザー名とパスワードでログインできま
す。ローカルユーザーの場合は、ユーザー名と一時パスワードを作成する必要があります。
•
ドメイン名：ドメイン名は Microsoft Active Directory ユーザーに必要です。
19
Android デバイスを管理するために使用できるオプションについて説明します。
Multiplatform
Android 管理オプ
ション
Android 管理オプション
Android デバイスの管理オプション
6
BES12 には、Android デバイスをアクティベーションおよび管理するために使用できる様々なオプションが含まれていま
す。選択するオプションは、管理する Android デバイスのタイプと、組織のセキュリティ要件に応じます。
BES12 では、次の管理オプションがサポートされています。
管理オプション
説明
Android MDM および KNOX MDM このオプションは、すべての Android デバイスの基本的な管理制御を提供します。
Android for Work
このオプションでは、Android デバイスで個別の仕事用プロファイルを作成します。
KNOX Workspace
このオプションでは、Samsung デバイスで暗号化された KNOX Workspace を作成しま
す。
Secure Work Space
このオプションでは、Android デバイスで暗号化された仕事用領域を作成します
（Secure Work Space は iOS デバイスでもサポートされています）。
選択する管理オプションに関係なく、次の BES12 機能による利点があります。
•
BES12 から BlackBerry Infrastructure を介したデバイス上の BES12 Client へのセキュリティで保護された接続
•
ユーザー情報を同期するための会社のディレクトリとの統合
•
管理者およびユーザー向けの Web ベースの管理コンソール
Android MDM および KNOX MDM について
Android MDM は、Android OS にネイティブな基本管理オプションを使用して、デバイスを管理します。仕事用アプリケー
ションおよびデータの個別で、保護されたコンテナは作成されません。
KNOX MDM は Android MDM と似ていますが、Samsung デバイスのみに適用されます。 KNOX MDM は、拡張機能およびよ
り大きな IT ポリシーセットを提供します。 BES12 は、Samsung デバイスが KNOX MDM をサポートしている場合、同機能
を使用してデバイスを自動的にアクティベーションします。
Android MDM および KNOX MDM を使用するには、MDM コントロールアクティベーションタイプを使用してデバイスをア
クティベーションします。 MDM コントロールには、Silver ライセンスが必要です。ライセンスの詳細については、ライ
センス関連の資料を参照してください。
22
Android 管理オプション
アーキテクチャ：Android MDM および KNOX MDM
コンポーネント
説明
Android デバイス
Android または KNOX MDM 機能を使用するために、Android デバイスは BES12 でアク
ティベーションされます。 KNOX MDM は Samsung デバイスでのみサポートされま
す。
BES12 Client
BES12 Client は BES12 に接続して、管理コマンドを受信します。
仕事用アプリ
仕事用アプリとは、必須またはオプションとして指定するアプリです。
BlackBerry Infrastructure
BlackBerry Infrastructure は、デバイスアクティベーションおよび管理のために、ユー
ザー情報を登録します。 BlackBerry Infrastructure と BES12 間を転送されるすべての
データは、AES-256 暗号化を使用して認証および暗号化されます。
BES12
BES12 は BlackBerry が提供する EMM ソリューションで、Android デバイスを管理す
るために使用できます。
Android MDM および KNOX MDM デバイス用管理機能
次の表に、Android MDM または KNOX MDM を使用するデバイス用管理機能を示します。
機能
説明
IT ポリシー管理
BES12 は、Android デバイスを制御するために使用できるポリシーセットをサポート
しています。 IT ポリシールールを使用して、デバイスを暗号化し、パスワード要件を
設定し、カメラを無効にできます。デバイスをアクティベーションして KNOX MDM
を使用する場合は、拡張 IT ポリシーセット、ブラウザー設定、および接続オプション
を設定できます。
Wi-Fi および VPN プロファイル
BES12 は、組織のネットワークへの接続を設定するために使用できる Wi-Fi プロファ
イルをサポートしています。
VPN プロファイルでは、これらの管理オプションをサポートしていません。
23
Android 管理オプション
機能
説明
メール
仕事用メールやカレンダーへの Exchange ActiveSync、IMAP、または POP3 接続を自
動的に設定するメールプロファイルを設定できます。 KNOX MDM は、Exchange
ActiveSync のみをサポートします。
アプリ管理
Android デバイスで仕事用アプリケーションをインストール、削除、およびアップグ
レードできます。許可されたアプリおよび制限されたアプリのリストを管理するこ
ともできます。
コンプライアンス
デバイスがルート化されている場合に実行する必要がある操作を設定します。必要
なアプリにコンプライアンスを強制できます。
Android MDM デバイスをアクティベーションする場合は、制限されたアプリにコンプ
ライアンスルールを設定することもできます。 KNOX MDM デバイスをアクティベー
ションする場合、制限されたアプリのリストを設定して、該当するアプリが存在する
場合には BES12 Client が自動的に削除したり、またはユーザーがインストールできな
いようにすることができます。
アプリロックモード
KNOX MDM デバイスをアクティベーションする場合、プロファイルを設定して、ト
レーニング目的や販売時点管理（POS）のデモ用に 1 つ以上のアプリを実行するデバ
イスを制限できます。デバイスが実行するアプリを指定することができます。
Android for Work について
Android for Work は Google が開発した機能で、Android デバイスを管理し、Android デバイスでデータやアプリの使用を許
可したい組織のセキュリティを強化します。組織が所有していない Android デバイス上の仕事用および個人用要件を統
合する手段を提供します。たとえば、Android for Work を使用して、個人用デバイスで仕事用メールをセットアップして、
コンテンツを確実に保護できます。
Android for Work では、組織が Google ドメインをセットアップし、ユーザーが仕事用メールのために Google アカウントを
持っていることが必要となります。 Google Play と統合することにより、仕事用プロファイルで仕事用アプリケーションを
管理できるようになります。
Android for Work を使用するには、仕事用および個人用 - ユーザープライバシー（Android for Work）または仕事用および個
人用 - ユーザープライバシー（Android for Work - Premium）アクティベーションタイプでデバイスをアクティベーション
します。仕事用および個人用 - ユーザープライバシー（Android for Work）アクティベーションでは、Silver ライセンスが
必要になります。仕事用および個人用 - ユーザープライバシー（Android for Work - Premium）アクティベーションでは、
Gold ライセンスが必要になります。 BlackBerry Secure Connect Plus を使用する場合は、仕事用および個人用 - ユーザープ
ライバシー（Android for Work - Premium）アクティベーションタイプを使用する必要があります。
ライセンスの詳細については、ライセンス関連の資料を参照してください。 Android for Work の詳細については、https://
www.android.com/work/ を参照してください。
24
Android 管理オプション
アーキテクチャ：Android for Work
コンポーネント
説明
Android for Work デバイス
Android for Work デバイスとは、BES12 でアクティベーションされ、Android for Work
を使用する Android デバイスのことです。
個人用プロファイル
個人用プロファイルには、個人用アプリケーションと Android プラットフォームおよ
びサービス（クリップボードアプリなど）が含まれます。
仕事用および個人用 - フルコントロール（Android for Work）アクティベーションタイ
プを使用してデバイスをアクティベーションする場合は、IT ポリシールールを使用し
て個人用プロファイルのアスペクトを管理できます。
仕事用プロファイル
仕事用プロファイルは、Android for Work アクティベーションタイプを使用して BES12
上でデバイスをアクティベーションする場合に、作成されます。これには次のアプリ
が含まれます。
•
BES12 Client は BES12 に接続して、管理コマンドを受信します。
•
Google Play for Work は組織の Google ドメインに接続して、仕事用アプリケー
ションをダウンロードおよびインストールします。
•
仕事用アプリケーションは組織のネットワークに接続して、データにアクセスし
ます。アプリが個人用プロファイルと仕事用プロファイルの両方で実行できる
場合（Google Chrome など）は、アプリの個別のインスタンスが仕事用プロファ
イルにコピーされます。
Google ドメイン
組織の Google ドメインにより、ユーザーと仕事用アプリケーションの管理が許可され
ます。 Google ドメインには、次の 2 つのタイプがあります。
•
管理対象の Google ドメインは、組織がメールおよびカレンダーなどに Google を
使用する場合に存在します。
25
Android 管理オプション
コンポーネント
説明
•
Google Apps ドメインは、組織がその他のメールソリューション（Microsoft
Exchange など）を使用し、Android for Work デバイスの管理用のみに Google アカ
ウントを必要とする場合に存在します。
BlackBerry Infrastructure
BlackBerry Infrastructure は、デバイスアクティベーションのために、ユーザー情報を
登録します。また、BES12 が組織の Google ディレクトリおよび Google Play for Work
にアクセスできるように、Google ドメインへの接続も提供します。 BlackBerry
Infrastructure と BES12 間を転送されるすべてのデータは、AES-256 暗号化を使用して
認証および暗号化されます。
BES12
BES12 は BlackBerry が提供する EMM ソリューションで、Android for Work デバイスを
管理するために使用できます。
Android for Work デバイスのセキュリティおよび管理機能
次の表に、デバイスをアクティベーションして Android for Work を使用する場合にアクセスできる、管理機能を示します。
機能
説明
IT ポリシー管理
BES12 は、Android for Work デバイスを制御するために使用できるポリシーセットをサ
ポートしています。 IT ポリシールールを使用して、パスワード要件を設定し、カメラ
を無効にできます。
Wi-Fi
BES12 は、組織のネットワークへの接続を設定するために使用できる Wi-Fi プロファ
イルをサポートしています。
VPN プロファイルは Android for Work デバイスではサポートされません。
メール
仕事用メールやカレンダーへの Exchange ActiveSync 接続を設定するメールプロファ
イルを設定できます。
アプリ管理
Android for Work デバイスで仕事用アプリケーションをインストール、削除、および
アップグレードできます。アプリは、組織の Google Play for Work で利用可能なアプリ
である必要があります。許可されたアプリおよび制限されたアプリのリストを管理
することもできます。
アプリの設定
仕事用アプリケーション設定に応じて、仕事用アプリケーションが準拠しなければな
らない制限を設定できます。たとえば、BES12 を使用して、Google Chrome アプリが
仕事用プロファイルで匿名モードを実行するのを禁止することができます。
26
Android 管理オプション
機能
説明
コンプライアンス
デバイスがルート化されている場合、または制限されたアプリが存在する場合に実行
する必要がある操作を設定できます。必要なアプリおよび制限されたアプリのコン
プライアンスを強制することもできます。
プロキシサーバー
Android for Work デバイスを設定して、プロキシサーバーを使用し、組織のネットワー
クの Web サービスにアクセスすることができます。
BlackBerry Secure Connect Plus
Android for Work デバイス用に BlackBerry Secure Connect Plus を設定できます。
BlackBerry Secure Connect Plus は仕事用領域アプリと組織のネットワーク間のセ
キュリティ保護された IP トンネルを提供し、ユーザーは組織のファイアウォール内の
仕事用リソースにアクセスできます。
ホームスクリーンショートカッ Android for Work デバイスのホームスクリーンに表示する必要がある Web ページへの
ト、ブラウザーホームページ、おショートカットリストを設定できます。たとえば、組織の緊急時の手順に関する情報
よびブラウザーブックマーク
を提供する Web ページへのショートカットを作成できます。また、 Google Chrome
アプリ用のホームページやブックマークも設定することができます。
KNOX Workspace について
KNOX Workspace は Samsung デバイス上で暗号化され、パスワードで保護されたコンテナで、仕事用アプリケーションお
よびデータを含んでいます。 Samsung が開発した強化されたセキュリティと管理機能を使用して、組織のアプリおよび
データからユーザーの個人用アプリケーションおよびデータを分離し、アプリとデータを保護します。
KNOX Workspace を使用するには、仕事用および個人用 - フルコントロール（Samsung KNOX）または仕事用領域専用（Samsung KNOX）アクティベーションタイプでデバイスをアクティベーションします。 KNOX Workspace には、Gold ライ
センスが必要です。
ライセンスの詳細については、ライセンス関連の資料を参照してください。 KNOX Workspace の詳細については、https://
www.samsungknox.com/en/products/knox-workspace を参照してください。
27
Android 管理オプション
アーキテクチャ：KNOX Workspace
コンポーネント
説明
Samsung KNOX デバイス
Samsung KNOX デバイスは、KNOX Workspace をサポートし、BES12 を使用してアク
ティベーションする Samsung デバイスです。
個人用領域
Samsung KNOX デバイス上の個人用領域には、個人用アプリケーションおよび
Android OS が含まれます。
仕事用および個人用 - フルコントロール（Samsung KNOX）アクティベーションタイ
プを使用してデバイスをアクティベーションする場合は、IT ポリシールールを使用し
て個人用領域のアスペクトを管理できます。
BES12 Client
BES12 Client は BES12 に接続して、管理コマンドを受信します。
BES12 Client は個人用領域に配置されています。
BES12 Client はまた、デバイス上で KLM Agent アプリに接続して、Samsung KNOX ラ
イセンスを確認します。
仕事用領域
仕事用領域は、Samsung KNOX アクティベーションタイプを使用して BES12 上でデバ
イスをアクティベーションする場合に、作成されます。これには次のアプリが含まれ
ます。
•
メール、連絡先、およびカレンダーアプリは、メールサーバーに接続します。
•
ユーザーが仕事用アプリケーションをダウンロードおよびインストールできる
ように、 Google Play アプリは Google Play ストアに接続します。
•
ユーザーが KNOX Workspace デバイスでのみ利用可能な仕事用アプリケーショ
ンをダウンロードおよびインストールできるように、 Samsung KNOX アプリス
トアは KNOX Marketplace に接続します。
•
仕事用アプリケーションは組織のネットワークに接続して、データにアクセスし
ます。
28
Android 管理オプション
コンポーネント
説明
BlackBerry Infrastructure
BlackBerry Infrastructure は、デバイスアクティベーションおよび管理のために、ユー
ザー情報を登録します。 BlackBerry Infrastructure と BES12 間を転送されるすべての
データは、AES-256 暗号化を使用して認証および暗号化されます。
BES12
BES12 は BlackBerry が提供する EMM ソリューションで、KNOX Workspace デバイス
を管理するために使用できます。
KNOX Workspace のセキュリティおよび管理機能
次の表に、デバイスをアクティベーションして KNOX Workspace を使用する場合にアクセスできる、セキュリティおよび
管理機能の一部を示します。
機能
説明
ハードウェアのセキュリティ
KNOX Workspace をサポートする Samsung デバイスは、デフォルトで次のハードウェ
アおよび OS のセキュリティ対策を使用します。
•
カーネルおよび OS の信頼性を確保する、セキュリティ保護されたブートおよび
信頼済みブート
•
Android 用 SE
カーネルを検証し、変更を監視する TIMA
デフォルトでは、Samsung デバイスは Android 用 SE を使用します。 Android 用 SE は、
OS をセキュリティドメインに分割し、アプリまたはプロセスが許可されていないデー
タおよびリソースにアクセスすることを禁止します。たとえば、KNOX Workspace 外
のアプリは仕事用領域内のアプリデータにアクセスすることを禁止されます。
コンテナ暗号化
デフォルトでは、Samsung は AES-256 暗号化を使用して KNOX Workspace を暗号化し
ます。
IT ポリシー管理
BES12 は、KNOX Workspace を制御するために使用できるポリシーセットをサポート
しています。 IT ポリシールールを使用してパスワード要件を設定し、NIAP、Bluetooth
テクノロジ、および NFC 接続、ツーファクター認証、セキュリティ保護されていない
キーボードの保護などを有効にできます。
Wi-Fi および VPN プロファイル
BES12 は、組織のネットワークへの接続を設定するために使用できる Wi-Fi および
VPN プロファイルをサポートしています。 BES12 は、証明書ベースの認証を実行する
IPSec および SSL VPN をサポートしています。 per-app VPN プロファイルを設定する
こともできます。
29
Android 管理オプション
機能
説明
メール
KNOX Workspace 内の仕事用メールやカレンダーへの Exchange ActiveSync 接続を設
定するメールプロファイルを設定できます。必要に応じて、SCEP を使用した証明書
ベースの認証を設定できます。
BlackBerry Secure Connect Plus
KNOX Workspace デバイス用に BlackBerry Secure Connect Plus を設定できます。
BlackBerry Secure Connect Plus は仕事用領域アプリと組織のネットワーク間のセ
キュリティ保護された IP トンネルを提供し、ユーザーは組織のファイアウォール内の
仕事用リソースにアクセスできます。
アプリ管理
KNOX Workspace でアプリをインストール、削除、およびアップグレードできます。
アプリは、内部アプリまたは Google Play で利用可能な一般のアプリです。 KNOX
Workspace で、許可されたアプリのリストを管理できます。
コンプライアンス
デバイスがルート化されている場合に、実行する必要がある操作を設定できます。必
要なアプリにコンプライアンスを強制することもできます。
Android デバイス用 Secure Work Space につい
て
Secure Work Space は暗号化され、パスワードで保護されたコンテナで、仕事用アプリケーションおよびデータを含んでい
ます。強化されたセキュリティと管理機能を使用して、組織のアプリおよびデータからユーザーの個人用アプリケーショ
ンおよびデータを分離し、アプリとデータを保護します。 Secure Work Space は BlackBerry が開発し、ARM プロセッサを
搭載する Android デバイスまたは iOS デバイスで実行できます。
Secure Work Space を使用するには、仕事用および個人用 - フルコントロール（Secure Work Space）または仕事用および
個人用 - ユーザープライバシー（Secure Work Space）アクティベーションタイプでデバイスをアクティベーションしま
す。 Secure Work Space には、Gold ライセンスが必要です。
Secure Work Space の詳細については、セキュリティ関連の資料を参照してください。
30
Android 管理オプション
アーキテクチャ：Secure Work Space
コンポーネント
説明
Android デバイス
Secure Work Space をサポートし、BES12 を使用してアクティベーションする Android
デバイス。
個人用領域
Secure Work Space デバイス上の個人用領域には、個人用アプリケーションおよび
Android OS が含まれます。
仕事用および個人用 - フルコントロール（Secure Work Space）アクティベーションタ
イプを使用してデバイスをアクティベーションする場合は、IT ポリシールールを使用
して個人用領域のアスペクトを管理できます。
仕事用領域専用（Secure Work Space）アクティベーションタイプを使用してデバイス
をアクティベーションする場合は、個人用領域は存在しません。
BES12 Client
BES12 Client は BES12 に接続して、管理コマンドを受信します。
BES12 Client は個人用領域に配置されています。
Secure Work Space
Secure Work Space は、Secure Work Space アクティベーションタイプを使用して
BES12 上でデバイスをアクティベーションする場合に、作成されます。指定する仕事
用アプリケーションが含まれ、仕事用領域で実行できます。
BlackBerry Infrastructure
BlackBerry Infrastructure は、デバイスアクティベーションおよび管理のために、ユー
ザー情報を登録します。 BlackBerry Infrastructure と BES12 間を転送されるすべての
データは、AES-256 暗号化を使用して認証および暗号化されます。
BES12
BES12 は BlackBerry が提供する EMM ソリューションで、Secure Work Space デバイス
を管理するために使用できます。
31
Android 管理オプション
Secure Work Space のセキュリティおよび管理機能
次の表に、デバイスをアクティベーションして Secure Work Space を使用する場合にアクセスできる、セキュリティおよ
び管理機能の一部を示します。
機能
説明
コンテナ暗号化
デフォルトでは、Secure Work Space は AES-256 暗号化を使用して暗号化されます。
ルート化のステータスの検出
デバイスがルート化された場合、ユーザーはデバイスのオペレーティングシステムへ
のルートアクセス権を保持します。 BES12 は、デバイスがルート化されたかどうかを
検出するように設計されています。ルート化されたソフトウェアをデバイスから削
除するように、ユーザーに通知または要求できます。 Secure Work Space を備えたデ
バイスのユーザーは、デバイスがルート化された場合、仕事用領域にアクセスできま
せん。
IT ポリシー管理
BES12 は、Secure Work Space デバイスを制御するために使用できるポリシーセット
をサポートしています。 IT ポリシールールを使用して、仕事用領域のパスワード要件
を設定し、アクティビティのない期間が過ぎた後、デバイスを無効にし、仕事用ブラ
ウザーオプションを指定できます。
Wi-Fi プロファイル
BES12 は、組織のネットワークへの接続を設定するために使用できる Wi-Fi プロファ
イルをサポートしています。
VPN プロファイルは Secure Work Space デバイスではサポートされません。
メール
仕事用メールおよびカレンダーアプリへの Exchange ActiveSync、IBM Notes Traveler、
または IMAP 接続を自動的にセットアップするメールプロファイルを設定できます。
必要に応じて、SCEP を使用する証明書ベースの認証を設定するか、S/MIME を使用し
てメールセキュリティを強化（Exchange ActiveSync のみ）できます。
アプリ管理
Secure Work Space デバイスで、仕事用アプリケーションおよびセキュリティ保護さ
れたアプリをインストール、削除、およびアップグレードできます。許可されたアプ
リおよび制限されたアプリのリストを管理することもできます。セキュリティ保護
されたアプリは、仕事用領域で実行するように署名および許可されます。
コンプライアンス
デバイスがルート化されている場合、または制限されたアプリが存在する場合に実行
する必要がある操作を設定できます。必須のアプリおよび制限されたアプリのコン
プライアンスを強制することもできます。
プロキシサーバー
Secure Work Space デバイスを設定して、プロキシサーバーを使用し、組織のネット
ワークの Web サービスにアクセスすることができます。
32
Android 管理オプション
機能
説明
エンタープライズ接続
Secure Work Space デバイス用にエンタープライズ接続を設定できます。エンタープ
ライズ接続はすべてのトラフィックを BlackBerry Infrastructure 経由で BES12 へ送信
します。エンタープライズ接続を使用する場合は、組織のファイアウォールの内部か
らインターネットへの直接接続を開くことは避けます。
33
管理者に職責に適した権限を設定します。
Simple
管理者
管理者
管理者の設定
7
管理者は、ユーザーグループまたはユーザーアカウントによって管理ロールに割り当てられているユーザーです。管理者
が実行できる操作は、割り当てられているロールに定義されます。事前設定されたロール、または作成したカスタムロー
ルを割り当てることができます。各ロールには、権限のセットがあり、管理者が表示できる情報、および BES12 管理コ
ンソールで実行できるタスクが指定されます。
ロールは、組織が以下を実行するために役立ちます。
•
すべての管理者にすべての管理オプションを許可することに伴うセキュリティリスクを軽減する
•
職責をより適切に分散するためにさまざまなタイプの管理者を定義する
•
アクセス可能なオプションを職責の範囲に制限することで、管理者の効率を高める
管理者の設定手順
管理社を設定する場合は、次の操作を実行します。
手順
操作
必要に応じて、カスタムロールを作成します。
必要に応じて、ロールをランク付けします。
管理者のユーザーグループを作成します。
管理者のユーザーグループにロールを割り当てます。
メールアドレスを持つユーザーアカウントを作成し、それを管理者グループに追加します。
BES12 が割り当てるロールを選択する方法
各管理者に 1 つのロールのみが割り当てられます。 BES12 は、次のルールを使用して、どのロールを管理者に割り当てる
かを決定します。
36
管理者
•
ユーザーアカウントに直接割り当てられたロールは、ユーザーグループによって間接的に割り当てられたロール
より優先されます。
•
管理者が、ロールの割り当てられた複数のグループに属している場合、BES12 はよりランクの高いロールを割り
当てます。ロールのランキングを指定できます。
管理者グループの作成および管理
管理者グループは、管理者に割り当てられたロールを保持しているユーザーグループです。ディレクトリにリンクされた
グループまたはローカルグループにロールを割り当てることができます。ユーザーは、複数の管理者グループに属するこ
とができますが、1 つのロールのみが割り当てられます。
セキュリティ管理者のみが、ロールが割り当てられているユーザーグループのメンバーを追加または削除できます。
管理者グループの作成
管理者グループを作成する場合は、ロールをユーザーグループに割り当てます。
作業を始める前に:
•
管理者グループを作成するには、セキュリティ管理者である必要があります。
•
管理者のユーザーグループを作成する必要があります。
•
割り当て準備の整ったロールが必要です。
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、
［管理者］を展開します。
3. ［グループ］をクリックします。
4.
5.
をクリックします。
ロールを割り当てるユーザーグループを検索して、選択します。
6. ［ロール］ドロップダウンリストで、割り当てるロールをクリックします。
7. ［保存］をクリックします。
BES12 が、ユーザー名と管理コンソールへのリンクを含むメールをユーザーに送信します。また、 BES12 は、管理コン
ソールのパスワードを含む別のメールも送信します。ユーザーのコンソールパスワードがない場合は、BES12 によって一
時パスワードが生成され、ユーザーに送信されます。
終了したら: 管理者グループにユーザーを追加するには、ロールを割り当てるユーザーグループにそれらを追加します。
詳細については、「ユーザーグループの作成と管理」を参照してください。
関連情報
ユーザーグループの作成と管理, （193 ページ）
37
管理者
管理者グループへの異なるロールの割り当て
作業を始める前に: 管理者グループに異なるロールを割り当てるには、セキュリティ管理者である必要があります。
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、
［管理者］を展開します。
3. ［グループ］をクリックします。
4.
変更するロールを持つ管理者のグループをクリックします。
5. ［ロール］ドロップダウンリストで、割り当てるロールをクリックします。
6. ［保存］をクリックします。
管理者グループからのロールの削除
管理者グループからロールを削除すると、それ以降、そのグループ内のユーザーは管理者ではなくなります（他のロール
が割り当てられていないかぎり）。ユーザーとユーザーグループは引き続き管理コンソールに表示されます。ユーザーの
デバイスには影響はありません。
作業を始める前に: 管理者グループからロールを削除するには、セキュリティ管理者である必要があります。
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、
［管理者］を展開します。
3. ［グループ］をクリックします。
4.
ロールを削除する管理者グループの名前を選択します。
5.
をクリックします。
6. ［削除］をクリックします。
管理者の作成および管理
ロールをユーザーアカウントに割り当てることで、個々の管理者を作成できます。 1 つのロールのみをユーザーアカウン
トに直接割り当てることができます。
管理者の作成
作業を始める前に:
•
管理者を作成するには、セキュリティ管理者である必要があります。
•
メールアドレスを関連付けるユーザーアカウントを作成します。
•
必要に応じて、ロールを作成します。
38
管理者
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、
［管理者］を展開します。
3. ［ユーザー］をクリックします。
4.
5.
をクリックします。
ロールを割り当てるユーザーアカウントを検索して、選択します。
6. ［ロール］ドロップダウンリストで、割り当てるロールをクリックします。
7. ［保存］をクリックします。
BES12 が、ユーザー名と管理コンソールへのリンクを含むメールをユーザーに送信します。また、 BES12 は、管理コン
ソールのパスワードを含む別のメールも送信します。ユーザーのコンソールパスワードがない場合は、BES12 によって一
時パスワードが生成され、ユーザーに送信されます。
管理者への異なるロールの割り当て
別の管理者のロールを変更できます。管理者自身のロールは変更できません。
作業を始める前に: 管理者に異なるロールを割り当てるには、セキュリティ管理者である必要があります。
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、［管理者］を展開します。
3. ［ユーザー］をクリックします。
4.
変更するロールを持つ管理者をクリックします。
5. ［ロール］ドロップダウンリストで、割り当てるロールをクリックします。
6. ［保存］をクリックします。
管理者からのロールの削除
管理者からロールを削除する場合は、ユーザーアカウントに直接割り当てられているロールを削除します。ユーザーグ
ループによって他のロールが割り当てられていない場合、そのユーザーは管理者ではなくなります。ユーザーは引き続き
管理コンソールに表示され、ユーザーのデバイスには影響はありません。
作業を始める前に: 管理者からロールを削除するには、セキュリティ管理者である必要があります。
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、［管理者］を展開します。
3. ［ユーザー］をクリックします。
4.
5.
ロールを削除する管理者の名前を選択します。
をクリックします。
39
管理者
6. ［削除］をクリックします。
ログイン通知の表示
管理者が管理コンソールにアクセスした場合、またはユーザーが BES12 Self-Service にログインした場合には必ずログイ
ン通知を表示するように設定できます。この通知は、管理コンソールまたは BES12 Self-Service の使用にかかわる使用条
件を管理者またはユーザーに知らせます。ログイン通知を表示するように設定した場合は、管理者またはユーザーはログ
インする前に［OK］をクリックする必要があります。
ログイン通知の表示
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、［全般設定］を展開します。
3. ［ログイン通知］をクリックします。
4.
5.
をクリックします。
次のタスクのいずれかを実行します。
タスク
手順
管理コンソールのログイン通知を設［管理コンソールのログイン通知を有効にする］オプションをクリックして、
定する
管理者が管理コンソールにアクセスした場合に表示する情報をテキスト
ボックスに入力します。
BES12 Self-Service のログイン通知を［セルフサービスコンソールのログイン通知を有効にする］オプションをク
リックして、ユーザーが BES12 Self-Service にアクセスした場合に表示する
設定する
情報をテキストボックスに入力します。
6. ［保存］をクリックします。
ロールの管理
ロールを作成して、それらをユーザーアカウントまたはユーザーグループに割り当てることができます。ロールを割り当
てるときに、管理者権限をユーザーまたはユーザーグループに付与します。ロールの作成、表示、変更、ランク付け、ま
たは割り当てを実行するには、セキュリティ管理者である必要があります。
40
管理者
事前設定済みのロール
BES12 のセキュリティ管理者ロールは、管理者ユーザーおよびロールの作成と変更を含め、管理コンソールに対するすべ
ての権限を保持しています。セキュリティ管理者ロールは、編集または削除できません。少なくとも 1 人の管理者をセ
キュリティ管理者にする必要があります。
BES12 には、セキュリティ管理者ロール以外にも、事前設定済みのロールがあります。セキュリティ管理者ロールを除
き、すべてのロールを編集または削除できます。
BES5 からアップグレードした場合、ロール設定は BES5 から BES12 へコピーされます。
BES5 からアップグレードしなかった場合は、次の事前設定済みのロールを使用できます。
ロール
説明
セキュリティ管理者
すべての権限
エンタープライズ管理者
管理者ユーザーおよびロールの作成と変更を除く、すべての権限
シニアヘルプデスク
中間的な管理タスク
ジュニアヘルプデスク
基本的な管理タスク
対策：BES5 からアップグレードした後の各ロールの権限の
確認
BES5 からアップグレードした後に、各ロールの権限を確認します。 BES5 からアップグレードする場合、BES5 のロール
設定は BES12 にコピーされます。ロールは BES12 では異なる方法で動作するため、権限を追加または削除して調整する
必要が生じることがあります。
事前設定済みのロールの権限
次の表は、BES12 の事前設定済みのロールごとに有効な権限を一覧しています。 BES12 におけるセキュリティ管理者ロー
ルは、管理者のユーザーとロールの管理を含め、管理コンソールに対するすべての権限を持っています。
メモ: BES5 からアップグレードする場合、ロール設定は BES5 から BES12 へコピーされます。コピーされるロールは、名
前が似ていても権限が異なる場合があります。
ユーザーとデバイス
権限
エンタープライズ管理者
シニアヘルプデスク
ジュニアヘルプデスク
ユーザーとアクティブ化さ
れたデバイスを表示する
√
√
√
ユーザーを作成する
√
√
ユーザーを編集する
√
√
41
√
管理者
権限
エンタープライズ管理者
シニアヘルプデスク
ユーザーを削除する
√
√
ユーザーリストをエクス
ポートする
√
アクティベーションパス
ワードを生成してメールを
送信する
√
√
√
アクティベーションパス
ワードを指定する
√
√
√
コンソールパスワードを指
定する
√
√
√
デバイスを管理する
√
√
√
仕事用領域を有効化
√
√
√
仕事用領域を無効にする
√
√
√
仕事用領域をロックする
√
√
√
仕事用領域パスワードをリ
セット
√
√
√
デバイスパスワードを指定
する
√
√
√
デバイスをロックしてメッ
セージを設定する
√
√
√
ロック解除してパスワード
をクリアする
√
√
√
仕事用データのみを削除
√
√
√
すべてのデバイスデータを
削除
√
√
√
仕事用パスワードを指定し
てロックする
√
√
√
デバイスの位置情報を表示
する
√
√
デバイスの位置履歴を表示
する
√
Exchange ゲートキーピング
√
設定を表示する
42
ジュニアヘルプデスク
管理者
権限
Apple DEP デバイス情報を表
エンタープライズ管理者
シニアヘルプデスク
√
√
ジュニアヘルプデスク
示する
Apple DEP 設定を割り当てる
√
グループ
権限
エンタープライズ管理者
シニアヘルプデスク
ジュニアヘルプデスク
グループ設定を表示する
√
√
√
ユーザーグループを作成お
よび編集する
√
√
ユーザーグループのユー
ザーを追加または削除する
√
√
ユーザーグループを削除す
る
√
デバイスグループを作成お
よび編集する
√
デバイスグループを削除す
る
√
√
ポリシーとプロファイル
権限
IT ポリシーとプロファイル
エンタープライズ管理者
シニアヘルプデスク
ジュニアヘルプデスク
√
√
√
を表示
IT ポリシーとプロファイル
√
を作成して編集
IT ポリシーとプロファイル
√
を削除
IT ポリシーとプロファイル
√
√
√
√
をユーザーに割り当てる
IT ポリシーとプロファイル
をユーザーグループに割り
当てる
43
管理者
権限
IT ポリシーとプロファイル
エンタープライズ管理者
シニアヘルプデスク
√
√
ジュニアヘルプデスク
をデバイスグループに割り
当てる
IT ポリシーとプロファイル
√
をランク付けする
アプリ
権限
エンタープライズ管理者
シニアヘルプデスク
ジュニアヘルプデスク
アプリとアプリグループを
表示する
√
√
√
アプリとアプリグループを
作成および編集する
√
アプリとアプリグループを
削除する
√
アプリとアプリグループを
ユーザーに割り当てる
√
√
アプリとアプリグループを
ユーザーグループに割り当
てる
√
√
アプリとアプリグループを
デバイスグループに割り当
てる
√
√
アプリライセンスを表示す
る
√
√
アプリライセンスを作成す
る
√
アプリライセンスを編集す
る
√
アプリライセンスを削除す
る
√
アプリライセンスをアプリ
またはアプリグループに割
り当てる
√
√
44
√
管理者
制限付きアプリ
権限
エンタープライズ管理者
シニアヘルプデスク
ジュニアヘルプデスク
制限付きアプリを表示する
√
√
√
制限付きアプリを作成する
√
制限付きアプリを削除する
√
エンタープライズ管理者
シニアヘルプデスク
ジュニアヘルプデスク
全般設定を表示する
√
√
アクティベーションのデ
フォルトを編集する
√
アクティベーションメール
を編集する
√
コンソールパスワード設定
を編集する
√
セルフサービスコンソール
設定を編集する
√
デフォルト変数を編集する
√
ログイン同意を編集する
√
カスタム変数を編集する
√
アプリ管理を表示する
√
仕事用 BlackBerry World を編
√
設定
権限
√
集
内部アプリストレージを編
集する
√
Windows Phone アプリを編
√
集する
外部統合設定を表示する
√
iOS 管理を編集する
√
SMTP サーバー設定を編集
√
Apple Device Enrollment
√
√
Program 設定を編集する
45
√
管理者
権限
エンタープライズ管理者
会社のディレクトリ設定を
編集する
√
Microsoft Exchange ゲート
√
シニアヘルプデスク
キーピング設定を編集する
Android for Work 設定を編集
√
する
認証局設定を編集する
√
管理者ユーザーとロールを
表示する
√
√
ライセンスの概要を表示す
る
√
√
サブスクリプションを管理
する
√
ライセンス設定を編集する
√
移行設定を表示する
√
移行設定を編集する
√
BlackBerry Work Connect
√
√
Notification Service 設定を表
示
BlackBerry Work Connect
√
Notification Service 設定を編
集
インフラストラクチャ設定
を表示する
√
ログ設定を編集する
√
サーバー側のプロキシ設定
を編集する
√
サーバーを表示する
√
サーバーを編集する
√
サーバーを削除する
√
サーバーを管理する
√
√
監査設定を表示する
監査設定を編集してデータ
を消去する
46
ジュニアヘルプデスク
管理者
権限
エンタープライズ管理者
BlackBerry Secure Connect
シニアヘルプデスク
ジュニアヘルプデスク
√
Plus 設定を表示する
BlackBerry Secure Connect
Plus 設定を編集する
サーバー証明書を表示する
√
サーバー証明書を更新する
√
SNMP 設定を編集する
√
Collaboration Service 設定を
√
√
表示する
√
Collaboration Service 設定を
編集する
ダッシュボード
権限
エンタープライズ管理者
シニアヘルプデスク
ジュニアヘルプデスク
√
√
√
エンタープライズ管理者
シニアヘルプデスク
ジュニアヘルプデスク
ダッシュボードを表示する
監査
権限
監査情報を表示する
BlackBerry OS 権限
BES5 からアップグレードする場合は、次の追加の権限を使用できます。
•
BlackBerry OS IT ポリシーを表示
•
BlackBerry OS IT ポリシーを作成して編集
•
BlackBerry OS IT ポリシーを削除
•
ジョブを表示する
•
ジョブを編集する
•
ジョブのデフォルトの配布設定を表示する
•
ジョブのデフォルトの配布設定を編集する
•
ジョブタスクを管理する
•
ジョブタスクの状態を変更
47
管理者
カスタムロール
事前設定済みのロールが組織のニーズを満たしていない場合は、管理者のカスタムロールを作成できます。また、管理タ
スクを定義されたユーザーグループのリストに限定するためにカスタムロールを作成することもできます。たとえば、権
限をトレーニング用のユーザーグループのみに限定した新しい管理者のロールを作成できます。
カスタムロールの作成
作業を始める前に: ロールを作成するには、セキュリティ管理者である必要があります。
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、［管理者］を展開します。
3. ［ロール］をクリックします。
4.
をクリックします。
5.
ロールの名前と説明を入力します。
6.
別のロールから権限をコピーするには、
［ロールからコピーした権限］ドロップダウンリストでロールをクリックし
ます。
7.
次のタスクのいずれかを実行します。
タスク
手順
このロールの管理者に会社の全ディ
レクトリの検索を許可する
1. ［会社の全ディレクトリ］オプションを選択します。
このロールの管理者に選択した会社
のディレクトリの検索を許可する
1. ［会社の選択されたディレクトリのみ］オプションを選択します。
2. ［ディレクトリを選択］をクリックします。
3.
1 つ以上のディレクトリを選択し、をクリックします。
4. ［保存］をクリックします。
8.
次のタスクのいずれかを実行します。
タスク
手順
このロールの管理者にすべてのユー
ザーとグループの管理を許可する
1. ［すべてのグループとユーザー］オプションを選択します。
このロールの管理者に選択したグ
ループの管理を許可する
1. ［選択されたグループのみ］オプションを選択します。
2. ［グループを選択］をクリックします。
3.
1 つ以上のグループを選択し、をクリックします。
48
管理者
タスク
手順
4. ［保存］をクリックします。
9.
このロールの管理者の権限を選択します。
10. ［保存］をクリックします。
終了したら: 必要に応じて、作成したロールのランキングを調整します。
ロールの設定の表示
作業を始める前に: ロールの設定を表示するには、セキュリティ管理者である必要があります。
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、
［管理者］を展開します。
3. ［ロール］をクリックします。
4.
表示するロールをクリックします。
ロールの設定の変更
セキュリティ管理者ロールを除き、すべてのロールの設定を変更できます。
作業を始める前に: ロールの設定を変更するには、セキュリティ管理者である必要があります。
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、
［管理者］を展開します。
3. ［ロール］をクリックします。
4.
変更するロールをクリックします。
5.
をクリックします。
6.
ロールの名前と説明を入力します。
7.
次のタスクのいずれかを実行します。
タスク
手順
このロールの管理者に会社の全ディ
レクトリの検索を許可する
1. ［会社の全ディレクトリ］オプションを選択します。
このロールの管理者に選択した会社
のディレクトリの検索を許可する
1. ［会社の選択されたディレクトリのみ］オプションを選択します。
2. ［ディレクトリを選択］をクリックします。
49
管理者
タスク
手順
3.
1 つ以上のディレクトリを選択し、をクリックします。
4. ［保存］をクリックします。
8.
次のタスクのいずれかを実行します。
タスク
手順
このロールの管理者にすべてのユー
ザーとグループの管理を許可する
1. ［すべてのグループとユーザー］オプションを選択します。
このロールの管理者に選択したグ
ループの管理を許可する
1. ［選択されたグループのみ］オプションを選択します。
2. ［グループを選択］をクリックします。
3.
1 つ以上のグループを選択し、をクリックします。
4. ［保存］をクリックします。
9.
このロールの管理者ユーザーの権限を変更します。
10. ［保存］をクリックします。
ロールを削除
セキュリティ管理者ロールを除き、すべてのロールを削除できます。
作業を始める前に:
•
ロールを削除するには、セキュリティ管理者である必要があります。
•
削除するロールからすべての管理者と管理者グループを削除する必要があります。
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、［管理者］を展開します。
3. ［ロール］をクリックします。
4.
5.
削除するロールをクリックします。
をクリックします。
ロールのランク付け
管理者が複数の管理者グループに属する場合は、ランクがより高いロールがその管理者に割り当てられます。たとえば、
管理者が取締役とスーパーバイザーの両方の管理者グループに属しており、取締役ロールの方がランクが高い場合は、そ
の管理者に取締役ロールが割り当てられます。
50
管理者
カスタムロールを作成した後、デフォルトでは、そのロールは最低ランクに位置付けられます。 BES12 がどのロールを割
り当てるか選択できるようにロールのランキングを調整できます。
ロールのランク付け
作業を始める前に: ロールをランク付けするには、セキュリティ管理者である必要があります。
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、［管理者］を展開します。
3. ［ロール］をクリックします。
4.
矢印を使用して、ロールを上下に移動してランキングします。
5. ［保存］をクリックします。
51
iOS および Android デバイスで仕事用データと個人用データを分離します。
Secure
Secure Work Space
Secure Work Space
iOS および Android デバイスの Secure
Work Space の設定
8
Secure Work Space は、iOS および Android デバイスで仕事用データのセキュリティを強化するためのオプションです。
Secure Work Space は、BlackBerry 10 デバイスの BlackBerry Balance 機能に似ています。
Secure Work Space は、コンテナ化とアプリラッピングを使用して、デバイス上に個人用領域と仕事用領域を作成すること
で、個人用の情報と仕事用の情報を分離します。デバイス全体またはユーザーのデバイス上の仕事用領域のみのいずれを
管理制御するか選択できます。
ユーザーが仕事用領域のあるデバイスをアクティブ化できるように Secure Work Space を設定するには、次のタスクを完
了する必要があります。
•
Gold - Secure Work Space ライセンスを購入する
•
適切なアクティベーションの種類でアクティベーションプロファイルを作成し、それをユーザーまたはグループ
に割り当てる
•
アクティベーション情報をユーザーに送信する
ユーザーがデバイスをアクティブ化すると、仕事用領域を設定し、仕事用領域パスワードを作成して、デフォルトの仕事
用領域アプリをインストールするように要求されます。ユーザーがデフォルトの仕事用領域アプリをインストールした
後、ユーザーはセキュリティで保護されたアプリをインストールできます。セキュリティ保護されたアプリは、特に、
Secure Work Space を備えた iOS および Android デバイスの仕事用領域で稼働するように準備されます。 Secure Work
Space のセットアップが完了する前に、ユーザーがセキュリティで保護されたアプリをインストールした場合、これらの
アプリは起動されません。またユーザーはアプリをアンインストールする必要があります。
エンタープライズ接続とプロキシサーバー
iOS および Android デバイスの仕事用領域にあるアプリが組織のリソースに接続する方法は、エンタープライズ接続プロ
ファイルを使用して制御できます。エンタープライズ接続はすべてのトラフィックを BlackBerry Infrastructure 経由で
BES12 へ送信します。仕事用領域のアプリでプロキシを使用してインターネットの Web サービスや仕事用ネットワーク
にアクセスする場合、プロキシプロファイルとエンタープライズ接続プロファイルを関連付ける必要があります。
エンタープライズ接続はデフォルトで有効になっています。エンタープライズ接続を無効にすると、iOS または Android
デバイスの仕事用領域にあるアプリは、内部 Wi-Fi ネットワーク、またはデバイスに設定された VPN 接続を使用して、組
織のリソースに接続します。
54
Secure Work Space
仕事用領域のあるデバイスの管理
ドバイスに仕事用領域を設けると、仕事関連の情報を隔離して安全に保持でき、デバイスで仕事用データを管理できます。
仕事用領域内のデータは安全に保存され、仕事用領域の外部からはアクセスできません。
仕事用領域のセキュリティの詳細については、セキュリティ関連の資料を参照してください。
ユーザーがデバイスのアクティベーションを行うと、仕事用領域がデバイスにインストールされ、ユーザーは仕事用領域
のパスワードを作成するように要求されます。仕事用領域のセットアップを完了するために、ユーザーは次のアプリをデ
バイスにダウンロードする必要があります。
デバイスの種類
iOS
Android
アプリ
•
Work Connect：メール、カレンダー、連絡先、メモ、タスク用
•
仕事用ブラウザー：閲覧用
•
Documents To Go：仕事用ドキュメントの安全な表示および編集用
•
仕事用領域マネージャー：他の仕事用領域アプリをデバイス上で実行するた
めに必要
•
Secure Work Space：メール、カレンダー、連絡先、閲覧用
•
Documents To Go：仕事用ドキュメントの安全な表示および編集用
仕事用領域では、次の機能を利用できます。
•
組織の内部アプリを、仕事用領域にインストールして実行できるセキュリティ保護されたアプリに変換するか、
App Store または Google Play からセキュリティ保護されたアプリを取得します。アプリリストとアプリグルー
プを使用して、セキュリティ保護されたアプリをインストールして管理します。
•
IT ポリシーをユーザーアカウントに割り当てることで、パスワード要件や接続設定などのデバイス上の仕事用領
域の特定の動作を制御します。
•
IT 管理コマンドを使用して、仕事用領域のパスワードをリセットしたり、デバイスの仕事用領域を削除したりし
ます。
仕事用領域アプリのアップグレード
新機能とより多くのオペレーティングシステムをサポートするために、BlackBerry は新バージョンの仕事用領域アプリを
App Store と Google Play に投入しました。
ユーザーは新バージョンが入手可能になった時点で仕事用領域アプリをアップグレードする必要があります。デバイス
のオペレーティングシステムをアップグレードし、仕事用領域アプリを最新バージョンにアップグレードしないと、仕事
用領域が予想どおりに機能しないことがあります。
55
Secure Work Space
サポートされているデバイスオペレーティングシステムの詳細については、help.blackberry.com/detectLang/bes12/
current/compatibility-matrix-pdf/ で「互換性一覧表」をダウンロードしてください。
Secure Work Space 接続のテスト
いつでも、BES12 と Secure Work Space インフラストラクチャの間の接続をテストし、Secure Work Space が有効であるこ
とを確認できます。
1.
メニューバーで［設定］をクリックします。
2.
左ペインの［外部統合］セクションで、［Secure Work Space］をクリックします。
3.
Secure Work Space が有効で、Secure Work Space インフラストラクチャへの接続が［成功］になっていることを確認
します。
4.
オプションで、［接続をテスト］をクリックして、仕事用領域の接続をテストします。
Secure Work Space 接続の再作成
BlackBerry Infrastructure への Secure Work Space 接続が無効な場合は、接続を再度作成する必要があります。
次の例を参考にしてください。SRP ID を使用して、仮想コンピューター、BES12 インスタンス、Secure Work Space、お
よび BES12 データベースを含むテスト環境を作成します。次に、テスト環境をアンインストールし、同じ SRP ID を使用
して実稼働環境を作成します。テスト環境で SRP ID を使用した Secure Work Space 接続は引き続き BlackBerry
Infrastructure 内に存在するため、実稼働環境は BlackBerry Infrastructure に接続できません。この場合は、Secure Work
Space 接続を再作成する必要があります。
Secure Work Space 接続の再作成
1.
メニューバーで［設定］をクリックします。
2.
左ペインの［外部統合］セクションで、［Secure Work Space］をクリックします。
3. ［Secure Work Space のテナントを再作成］をクリックします。
［Secure Work Space 接続を再作成］ウィンドウで、Secure Work Space 接続を再度作成したときに再アクティベーショ
ンが必要となるデバイス数が通知されます。
4. ［再作成］をクリックします。
5.
その Secure Work Space が有効であることを確認します。
終了したら: ユーザーが、Secure Work Space を使用する iOS および Android デバイスを再度アクティブ化したことを確認
します。
56
証明書、仕事用の接続、デバイスの標準などをセットアップする場合は、プロファイルや変数の操作
方法を確認してください。
Multiplatform
プロファイルと変数
プロファイルと変数
プロファイルの使用
9
プロファイルにはデバイスの設定情報が含まれます。プロファイルは種類ごとに特定の設定、たとえば、証明書、仕事用
の接続設定、デバイスに特定の標準を強制するための設定などをサポートしています。同一のプロファイルで、BlackBerry
10、iOS、Android、および Windows Phone デバイスの設定を指定してから、そのプロファイルをユーザーアカウント、
ユーザーグループ、またはデバイスグループに割り当てることで、設定情報をデバイスに配布できます。
組織でデバイスを設定するにはプロファイルの使用が効率的です。多数の設定を指定したり、大量のデバイスを設定した
りする必要がある場合は、プロファイルを使って、具体的な構成に必要な設定をすべて 1 か所に保存しておいて、適切な
デバイスに設定をすばやく配布することができます。
プロファイルの割り当て
プロファイルはユーザーアカウント、ユーザーグループ、およびデバイスグループに割り当てることができます。一部の
プロファイルの種類は、ランキングを使用して、どのプロファイルをデバイスに送信するかを決定する場合があります。
•
ランク付けされたプロファイルの種類：1 つのプロファイルを 1 人のユーザーに割り当てることもできれば、1
つのプロファイルをユーザーが属する複数のグループに割り当てることもできます。BES12 は、割り当てられた
プロファイルのうち 1 つだけをユーザーのデバイスに送信します。
•
ランク付けされていないプロファイルの種類：複数のプロファイルを 1 人のユーザーに割り当てることもできれ
ば、複数のプロファイルをユーザーが属する複数のグループに割り当てることもできます。BES12 は割り当てら
れたすべてのプロファイルをユーザーのデバイスに送信します。
メモ: アクティベーションプロファイルをデバイスグループに割り当てることはできません。
ユーザーまたはグループの割り当て
プロファイルの種類
種類ごとに 1 つのプロファイルを割り BES12 では次のランク付けされたプロファイルの種類を使用できます。
当てることができます。
•
アクティベーション
•
アプリロックモード
•
証明書の取得
•
コンプライアンス
•
CRL
•
デバイス
•
デバイス SR 要件
•
メール
•
エンタープライズ接続
58
プロファイルと変数
ユーザーまたはグループの割り当て
種類ごとに複数のプロファイルを割り
当てることができます。
プロファイルの種類
•
位置情報サービス
•
OCSP
•
プロキシ
•
シングルサインオン
BES12 では次のランク付けされていないプロファイルの種類を使用できます。
•
CA 証明書
•
IMAP/POP3 メール
•
管理されているドメイン
•
SCEP
•
共有証明書
•
ユーザー資格情報
•
VPN
•
Web コンテンツフィルター
•
Web アイコン
•
Wi-Fi
関連情報
ユーザーグループへのプロファイルの割り当て, （198 ページ）
ユーザーアカウントへのプロファイルの割り当て, （213 ページ）
プロファイルをランク付け, （61 ページ）
BES12 が割り当てるプロファイルを選択する
方法
ランク付けされたプロファイルの種類の場合、BES12 は種類ごとに 1 つのプロファイルのみをデバイスに送信し、事前定
義されたルールを使用して、ユーザーとユーザーがアクティブ化するデバイスにどのプロファイルを割り当てるかを決定
します。
割り当て先
ルール
ユーザーアカウント
1.
（［ユーザーの概要］タブの表示）
ユーザーアカウントに直接割り当てられたプロファイルは、ユーザーグ
ループによって間接的に割り当てられた同じ種類のプロファイルより優先
されます。
59
プロファイルと変数
割り当て先
ルール
2.
ユーザーが、同じ種類の異なるプロファイルを持つ複数のユーザーグルー
プのメンバーである場合、BES12 はランキングが最高のプロファイルを割
り当てます。
3.
プロファイルが直接、またはユーザーグループメンバーシップを通じて
ユーザーアカウントに割り当てられていない場合、適用可能であれば、事
前設定されたデフォルトプロファイルが割り当てられます。
メモ: BES12 には、デバイスの種類ごとに設定が事前設定された、デフォルトの
エンタープライズ接続プロファイル、デフォルトのコンプライアンスプロファ
イル、およびデフォルトのアクティベーションプロファイルが含まれます。
デバイス
（デバイスタブの表示）
デフォルトでは、デバイスは BES12 がデバイスをアクティブ化したユーザーに
割り当てたプロファイルを継承します。デバイスがデバイスグループに属する
場合は、次のルールが適用されます。
1.
デバイスグループに割り当てられたプロファイルは、BES12 がユーザーア
カウントに割り当てた同じ種類のプロファイルより優先されます。
2.
デバイスが、同じ種類の異なるプロファイルを持つ複数のデバイスグルー
プのメンバーである場合、BES12 はランキングが最高のプロファイルを割
り当てます。
次のいずれかの操作を実行した場合、 BES12 で競合するプロファイルを解決する必要が生じる場合があります。
•
プロファイルをユーザーアカウント、ユーザーグループ、またはデバイスグループに割り当てる
•
プロファイルをユーザーアカウント、ユーザーグループ、またはデバイスグループから削除する
•
プロファイルのランキングを変更する
•
プロファイルを削除する
•
ユーザーグループメンバーシップを変更する（ユーザーアカウントとネストされたグループ）
•
デバイス属性を変更する
•
デバイスグループメンバーシップを変更する
•
ユーザーグループまたはデバイスグループを削除する
関連情報
ユーザーグループへのプロファイルの割り当て, （198 ページ）
ユーザーアカウントへのプロファイルの割り当て, （213 ページ）
プロファイルをランク付け, （61 ページ）
60
プロファイルと変数
プロファイルの管理
10
ポリシーとプロファイルライブラリで、組織が使用するプロファイルを管理できます。プロファイルのランク付け、プロ
ファイルに関する情報の表示、プロファイル設定の変更、ユーザーアカウントまたはユーザーグループからのプロファイ
ルの削除、またはプロファイルの削除を実行できます。
プロファイルをランク付け
ランキングは、次のシナリオで、BES12 がデバイスに送信するプロファイルを決定するために使用されます。
•
ユーザーが、同じ種類の異なるプロファイルを持つ複数のユーザーグループのメンバーである。
•
デバイスが、同じ種類の異なるプロファイルを持つ複数のデバイスグループのメンバーである。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2.
左ペインで、プロファイルの種類を展開します。
3. ［プロファイルのランク付け］<profile_type> をクリックします。
4.
矢印を使用して、プロファイルを上下に移動してランキングします。
5. ［保存］をクリックします。
関連情報
プロファイルの割り当て, （58 ページ）
BES12 が割り当てるプロファイルを選択する方法, （59 ページ）
プロファイルの表示
プロファイルに関する次の情報を表示できます。
•
すべてのデバイスタイプに共通の設定および各デバイスタイプに固有の設定
•
プロファイルが割り当てられている（直接および間接）ユーザーアカウントのリストと数
•
プロファイルが割り当てられている（直接）ユーザーグループのリストと数
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2.
左ペインで、プロファイルの種類を展開します。
3.
表示するプロファイルの名前をクリックします。
61
プロファイルと変数
プロファイル設定の変更
アクティベーションプロファイルを更新すると、新しいプロファイル設定は、ユーザーがアクティブ化した追加のデバイ
スのみに適用されます。アクティブ化済みのデバイスは、ユーザーがそれらを再度アクティブ化するまで、新しいプロ
ファイル設定を使用しません。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2.
左ペインで、プロファイルの種類を展開します。
3.
変更するプロファイルの名前をクリックします。
4.
をクリックします。
5.
共通の設定に変更を加えます。
6.
各デバイスタイプの適切なタブで変更を加えます。
7. ［保存］をクリックします。
終了したら: 必要に応じて、プロファイルのランキングを変更します。
ユーザーアカウントまたはユーザーグループ
からのプロファイルの削除
プロファイルがユーザーアカウントまたはユーザーグループに直接割り当てられている場合は、ユーザーまたはグループ
からプロファイルを削除できます。プロファイルがユーザーグループによって間接的に割り当てられている場合は、グ
ループからプロファイルを削除するか、またはグループからユーザーアカウントを削除することができます。ユーザーグ
ループからプロファイルを削除すると、プロファイルは選択したグループに属する各ユーザーから削除されます。
メモ: デフォルトのエンタープライズ接続プロファイル、デフォルトのコンプライアンスプロファイル、およびデフォル
トのアクティベーションプロファイルは、ユーザーに直接割り当てられている場合に、ユーザーアカウントからのみ削除
できます。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2.
左ペインで、プロファイルの種類を展開します。
3.
ユーザーアカウントまたはユーザーグループから削除するプロファイルの名前をクリックします。
4.
次のタスクのいずれかを実行します。
タスク
手順
ユーザーアカウントからプロファイ
ルを削除する
1. ［ユーザーに割り当てられています］タブをクリックします。
2.
必要に応じて、ユーザーアカウントを検索します。
3.
プロファイルを削除するユーザーアカウントを選択します。
62
プロファイルと変数
タスク
手順
4.
ユーザーグループからプロファイル
を削除する
をクリックします。
1. ［グループに割り当て済み］タブをクリックします。
2.
必要に応じて、ユーザーグループを検索します。
3.
プロファイルを削除するユーザーグループを選択します。
4.
をクリックします。
関連情報
BES12 が割り当てるプロファイルを選択する方法, （59 ページ）
プロファイルを削除する
プロファイルを削除すると、BES12 は、それに関連付けられているユーザーとデバイスからプロファイルを削除します。
他のプロファイルに関連付けられたプロファイルを削除するには、最初にすべての既存の関連付けを削除する必要があり
ます。たとえば、VPN プロファイルと Wi-Fi プロファイルに関連付けられたプロキシプロファイルを削除するには、事前
に、VPN プロファイルと Wi-Fi プロファイルの両方で関連付けられたプロキシプロファイルの値を変更する必要がありま
す。
メモ: デフォルトのエンタープライズプロファイル、デフォルトのコンプライアンスプロファイル、またはデフォルトの
アクティベーションプロファイルは削除できません。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2.
左ペインで、プロファイルの種類を展開します。
3.
削除するプロファイルの名前をクリックします。
4.
をクリックします。
5. ［削除］をクリックします。
関連情報
BES12 が割り当てるプロファイルを選択する方法, （59 ページ）
63
プロファイルと変数
変数の使用
11
BES12 はデフォルト変数とカスタム変数をサポートしています。デフォルト変数は、標準アカウント属性（たとえば、
ユーザー名）とその他の事前定義された属性（たとえば、デバイスのアクティベーションに使用されるサーバーアドレス）
を表します。カスタム変数を使用して、追加の属性を定義できます。
変数は、プロファイル内で使用できます。また、コンプライアンス通知とアクティベーションメールをカスタマイズする
ために使用できます。実際の値を指定する代わりに、変数を使用して値を参照できます。プロファイル、コンプライアン
ス通知、またはアクティベーションメールがデバイスに送信されたときに、変数はそれらが表す値で置き換えられます。
メモ: IT ポリシーは変数をサポートしていません。
プロファイルでの変数の使用
プロファイル内で変数を使用すると、組織内のユーザーのプロファイルを効率的に管理できます。変数によって、プロ
ファイルの柔軟性が高まり、プロファイルの種類ごとに必要なプロファイル数を限定することができます。たとえば、実
際のユーザー名の値を指定するユーザーごとに個別の VPN プロファイルを作成する代わりに、%UserName% 変数を指定
する複数のユーザーに対応した単一の VPN プロファイルを作成できます。
変数は、
［名前］および［説明］フィールドを除く任意のテキストフィールドで使用できます。たとえば、メールプロファ
イルの［メールアドレス］フィールドに「%UserName%@example.com」を指定できます。
コンプライアンスプロファイルでは、変数を使用して、BES12 がユーザーに送信するコンプライアンス通知をカスタマイ
ズできます。
デフォルトの変数
BES12 では次のデフォルトの変数を使用できます。
変数名
説明
使用する場所
%ActivationPassword%
自動的に生成されたか、管理者がユーザー用にアクティベーションメール
設定したアクティベーションパスワード
%ActivationPasswordExpiry%
アクティベーションパスワードの期限切れ日時アクティベーションメール
%ActivationURL%
アクティベーション要求を受信するサーバーのアクティベーションメール
Web アドレス
%ActivationUserName%
アクティベーション要求のユーザー名
64
アクティベーションメール
プロファイルと変数
変数名
説明
使用する場所
%UserEmailAddress%（ユーザーに対して使用可
能な場合）または SRP ID\%UserName% と同等
%AdminPortalURL%
BES12 管理コンソールの Web アドレス
%ComplianceApplicationList%
コンプライアンスルールに違反するアプリのリコンプライアンス通知
スト（割り当てられていないアプリがインス
トールされている、必須アプリがインストール
されていない、または制限されたアプリがイン
ストールされている）
%ComplianceEnforcementAction%
デバイスが非準拠の場合に、BES12 が実行するコンプライアンス通知
管理者アクセスメール（カスタマイ
ズ不可）
強制アクション
%ComplianceEnforcementActionWit デバイスが非準拠の場合に、BES12 が実行するコンプライアンス通知
hDescription%
強制アクション。強制アクションの説明を含む
%ComplianceRuleViolated%
デバイスが違反したコンプライアンスルール
コンプライアンス通知
%DeviceIMEI%
デバイスの国際移動体装置識別番号
プロファイル
%DeviceModel%
デバイスのモデル番号
コンプライアンス通知
%SSLCertName%
セキュリティ保護された通信の証明書の共通名アクティベーションメール
%SSLCertSHA%
セキュリティ保護された通信の証明書の指紋
アクティベーションメール
%UserDisplayName%
ユーザーの表示名
アクティベーションメール
%UserDistinguishedName%
ディレクトリユーザーの識別名
プロファイル
ローカルユーザーの場合は、%UserName% と同
等
%UserDomain%
ディレクトリユーザーが属している Microsoft
プロファイル
Active Directory ドメイン
%UserEmailAddress%
ユーザーのメールアドレス
アクティベーションメール、プロ
ファイル
%UserName%
ユーザーのユーザー名
アクティベーションメール、プロ
ファイル
65
プロファイルと変数
変数名
説明
使用する場所
%UserPrincipalName%
ディレクトリユーザーのプリンシパル名
プロファイル
ローカルユーザーの場合
は、%UserEmailAddress% と同等
%UserSelfServicePortalURL%
BES12 Self-Service の Web アドレス
アクティベーションメール
BES12 ドメインで管理コンソールの高可用性を設定する場合、変数 %AdminPortalURL% と %UserSelfServicePortalURL% を
更新するといいでしょう。詳細については、設定関連の資料を参照してください。
カスタム変数
ラベルを使用して、カスタム変数が表す属性とパスワードを定義します。たとえば、%custom_pswd1% 変数のラベルと
して「VPN パスワード」を指定できます。ユーザーアカウントを作成または更新する場合に、ラベルはフィールド名とし
て使用され、管理者は組織が使用するカスタム変数の適切な値を指定します。管理者ユーザーアカウントを含め、すべて
のユーザーアカウントがカスタム変数をサポートしています。
カスタム変数はテキスト値またはマスク付きテキスト値をサポートします。セキュリティの理由から、パスワードを表す
には、マスク付きテキスト値をサポートするカスタム変数を使用する必要があります。
BES12 では次のカスタム変数を使用できます。
変数名
説明
%custom1%、%custom2%、%custom3% 定義する属性（テキスト値）用に、最大 5 つの異なる変数を使用できます。
、%custom4%、%custom5%
%custom_pswd1%、%custom_pswd2% 定義するパスワード（マスク付きテキスト値）用に、最大 5 つの異なる変数を
、%custom_pswd3%、%custom_pswd4% 使用できます。
、%custom_pswd5%
カスタム変数の定義
カスタム変数を使用する前に、それらを定義する必要があります。ユーザーアカウントを作成または更新する場合は、ラ
ベル付けされたカスタム変数のみが表示されます。
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、
［全般設定］を展開します。
3. ［カスタム変数］をクリックします。
4. ［ユーザーを追加または編集するときにカスタム変数を表示］チェックボックスをオンにします。
66
プロファイルと変数
5.
使用予定の各カスタム変数のラベルを指定します。ラベルは、ユーザーアカウントを作成または更新する場合に、
［カスタム変数］セクションのフィールド名として使用されます。
6. ［保存］をクリックします。
カスタム変数の使用
カスタム変数を定義した後、ユーザーアカウントの作成または更新時に適切な値を指定する必要があります。その後、カ
スタム変数をデフォルト変数と同様に使用できます。プロファイルを作成するとき、またはコンプライアンス通知とアク
ティベーションメールをカスタマイズするときに、変数名を指定します。
例：固有の VPN パスワードを持つ複数のユーザーに対して同じ VPN プロファイルを使用する
次の例では、
「VPN パスワード」が %custom_pswd1% 変数に指定したラベルで、ユーザーアカウントの更
新時に、これが［カスタム変数］セクションでフィールド名として使用されます。
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2.
ユーザーアカウントを検索します。
3.
検索結果で、ユーザーアカウントの名前をクリックします。
4. ［ユーザーの概要］タブの［ユーザーの詳細］セクションで
をクリックします。
5. ［カスタム変数］を展開します。
6. ［VPN パスワード］フィールドにユーザーの VPN パスワードを入力します。
7. ［保存］をクリックします。
8.
VPN プロファイルを使用するユーザーごとに手順 2～7 を繰り返します。
9.
VPN プロファイルを作成する場合は、
［パスワード］フィールドに %custom_pswd1% と入力します。
67
必須の証明書をデバイスに送信します。
Simple
証明書
証明書
プロファイルを使用した証明書の管理
12
ポリシーおよびプロファイルライブラリで利用可能なプロファイルを使用して、証明書を管理できます。
デバイスの機能やアクティベーションタイプによって異なりますが、次のプロファイルを使用して証明書をデバイスに送
信できます。
プロファイル
説明
CA 証明書
CA 証明書プロファイルは、デバイスが仕事用ネットワークまたはサーバーとの
信頼を確立するために使用できる CA 証明書を指定します。
SCEP
SCEP プロファイルは、デバイスが、仕事用ネットワークまたはメールサーバー
認証に使用する証明書を、SCEP サービスを使用している組織の CA から取得す
る方法を指定します。
ユーザー資格情報プロファイル
組織で Entrust ソフトウェアを使用して PKI サービスを実装する場合、証明書を
デバイスに提供する手段をユーザー資格情報プロファイルで指定します。
共有証明書
共有の証明書プロファイルは、iOS および Android デバイスが仕事用ネットワー
クまたはサーバーとのユーザー認証に使用できるクライアント証明書を指定し
ます。 BES12 は、プロファイルが割り当てられている各ユーザーに同一のクラ
イアント証明書を送信します。
70
証明書
デバイスへの証明書の送信
13
証明書は、CA 証明書サブジェクトの ID を確認し、その ID を公開鍵にバインドする CA によって発行されたデジタル文書
です。各証明書には、証明書とは別に保存された、対応する秘密鍵があります。公開鍵と秘密鍵は非対称キーペアを形成
し、それをデータの暗号化および ID の認証に使用できます。 CA は、CA を信頼するエンティティがその証明書も信頼で
きることを実証するために証明書に署名します。
デバイスの機能とアクティベーションタイプによっては、デバイスは証明書を使って次のことを実行できます。
•
HTTPS を使用する Web ページに接続するときに、SSL/TLS を使用して認証する
•
仕事用メールサーバーで認証する
•
仕事用 Wi-Fi ネットワークまたは VPN で認証を受ける
•
S/MIME 保護を使用してメールを暗号化して署名する
1 台のデバイスに、さまざまな目的で使用されている多数の証明書を保存できます。証明書プロファイルを使用して、CA
証明書とクライアント証明書をデバイスに送信できます。
関連情報
ユーザーアカウントへのクライアント証明書の追加, （214 ページ）
CA 証明書プロファイルの作成
組織が S/MIME を使用している場合、またはデバイスが証明書に基づく認証を使用して組織の環境内のネットワークまた
はサーバーに接続している場合は、CA 証明書をデバイスに配布する必要が生じることがあります。
CA 証明書をデバイスに送信すると、デバイスは CA によって署名されたクライアント証明書またはサーバー証明書に関連
付けられた ID を信頼します。組織のネットワーク証明書およびサーバー証明書に署名した CA の証明書がデバイスに保
存されている場合、デバイスは、セキュリティ保護された接続を確立する際に、ネットワークとサーバーを信頼できます。
組織の S/MIME 証明書に署名した CA の証明書がデバイスに保存されている場合、デバイスは、セキュリティ保護された
メールの受信時に送信者の証明書を信頼できます。
1 台のデバイスに、さまざまな目的で使用されている多数の CA 証明書を保存できます。 CA 証明書プロファイルを使用す
ると、デバイスに CA 証明書を送信できます。
CA 証明書プロファイルの作成
作業を始める前に: デバイスに送信する CA 証明書ファイルを取得する必要があります。ファイル名拡張子は、.der である
必要があります。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2. ［CA 証明書］の横の
をクリックします。
71
証明書
3.
プロファイルの名前と説明を入力します。各 CA 証明書プロファイルに固有の名前を付ける必要があります。いく
つかの名前（たとえば、ca_1）は予約されています。
4. ［証明書ファイル］フィールドで、［参照］をクリックして証明書ファイルを見つけます。
5.
CA 証明書を BlackBerry デバイスに送信する場合は、証明書をデバイスに送信するために次の証明書ストアを 1 つ以
上指定します。
•
ブラウザー証明書ストア
•
VPN 証明書ストア
•
Wi-Fi 証明書ストア
•
エンタープライズ証明書ストア
6. ［追加］をクリックします。
BlackBerry 10 デバイスの CA 証明書ストア
BlackBerry 10 デバイスに送信された CA 証明書は、証明書の目的に応じて異なる証明書ストアに保存できます。
ストア
説明
ブラウザー証明書ストア
BlackBerry 10 デバイスの仕事用ブラウザーは、このストア内の証明書を使用して、組織の環
境内のサーバーとの SSL 接続を確立します。
VPN 証明書ストア
BlackBerry 10 デバイスは、VPN 接続用にこのストア内の証明書を使用します。仕事用 VPN
接続にこのストア内の証明書を使用するには、VPN プロファイル内の［信頼済みの証明書ソー
ス］を［信頼済み証明書ストア］に設定する必要があります。
Wi-Fi 証明書ストア
BlackBerry 10 デバイスは、Wi-Fi 接続用にこのストア内の証明書を使用します。仕事用 Wi-Fi
接続にこのストア内の証明書を使用するには、Wi-Fi プロファイル内の［信頼済みの証明書ソー
ス］を［信頼済み証明書ストア］に設定する必要があります。
エンタープライズ証明書
ストア
BlackBerry 10 デバイスはこのストア内の証明書を使用して、受信した S/MIME 保護された
メールを認証します。
SCEP プロファイルの作成
SCEP プロファイルを使用して、BlackBerry 10 デバイス、iOS デバイス、および［Secure Work Space］、
［Android for Work］、
［KNOX MDM］などのアクティベーションの Android デバイスが SCEP サービスを通じて組織の CA か
［KNOX Workspace］、
ら証明書を取得する方法を指定できます。 SCEP は、各証明書の発行で管理者による入力や承認を要求することなく、多
数のデバイスに証明書を登録するプロセスを簡略化する IETF プロトコルです。デバイスは SCEP を使用して、組織で使用
されている SCEP 準拠の CA に対してクライアント証明書を要求し、取得できます。使用する CA は、チャレンジパスワー
72
証明書
ドをサポートする必要があります。 CA はチャレンジパスワードを使用して、証明書要求を送信する権限がデバイスにあ
ることを確認します。
デバイスの機能やアクティベーションタイプによって異なりますが、デバイスは SCEP を使用して取得した証明書を、ブ
ラウザーからの証明書ベースの認証のために使用できます。また、仕事用 Wi-Fi ネットワーク、仕事用 VPN、または仕事
用メールサーバーへの接続にこの証明書を使用できます。
［Secure Work Space］アクティベーションの iOS および Android デバイスでは、デバイスにプッシュするために、SCEP プ
ロファイルをメールプロファイルまたは Wi-Fi プロファイルと関連付ける必要があります。 Android for Work デバイスの
場合、SCEP プロファイルを使用して作成した証明書は、仕事用 Wi-Fi ネットワークまたは仕事用メールサーバーでの証明
書ベースの認証に使用できません。
Windows Phone デバイスは、SCEP をサポートしていません。
SCEP プロファイルの作成
必要となるプロファイルの設定は、各デバイスタイプと組織環境内の SCEP サービス設定に応じて異なります。
作業を始める前に: SCEP プロファイルを使用して Entrust クライアント証明書をデバイスに提供する場合は、
「BES12 と組
織の Entrust ソフトウェアとの統合」の手順に従います。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2. ［SCEP］の横の
3.
をクリックします。
プロファイルの名前と説明を入力します。
4. ［URL］フィールドに、SCEP サービスの URL を入力します。 URL には、プロトコル、FQDN、ポート番号、SCEP パ
スを含める必要があります。
5. ［インスタンス名］フィールドに CA のインスタンス名を入力します。
6. ［認証局との接続］ドロップダウンリストで、次の操作のいずれかを実行します。
•
設定した Entrust 接続を使用するには、適切な接続をクリックします。［プロファイル］ドロップダウンリ
ストで、特定のデジタル ID プロファイルをクリックします。デジタル ID プロファイルの値を指定します。
•
別の認証局を使用するには、
［汎用］をクリックします。［SCEP チャレンジの種類］リストで、
［静的］ま
たは［動的］を選択してから、チャレンジの種類の必須設定を指定します。
7.
オプションで、プロファイルを設定しないデバイスタイプのチェックボックスをオフにします。
8.
次の操作を実行します。
9.
a.
デバイスタイプのタブをクリックします。
b.
各プロファイル設定には、組織の環境内の SCEP サービス設定に一致する適切な値を設定します。
組織内のデバイスタイプごとに手順 8 を繰り返します。
10. ［追加］をクリックします。
73
証明書
終了したら: デバイスが証明書を使用して仕事用 Wi-Fi ネットワーク、仕事用 VPN、または仕事用メールサーバーを認証す
る場合は、SCEP プロファイルに Wi-Fi、VPN、またはメールプロファイルを関連付けます。
関連情報
SCEP プロファイル設定, （346 ページ）
BES12 と組織の Entrust ソフトウェアとの統合, （75 ページ）
共有の証明書プロファイルの作成
組織の環境で、ネットワークまたはサーバーに接続するために証明書に基づく認証を使用している場合は、BES12 を使用
して、クライアント証明書をデバイスに送信する必要があります。
共有証明書プロファイルは、［MDM コントロール］アクティベーションの iOS および Android デバイスにクライアント証
明書を送信し、［KNOX Workspace］または［Android for Work］アクティベーションの Android デバイスにクライアント証
明書を送信します。デバイスは、組織の環境内のネットワークまたはサーバーでの認証用にクライアント証明書を提示で
きます。共有の証明書プロファイルは、複数のユーザーにクライアント証明書の共有を許可する場合にのみ、使用しま
す。
組織に SCEP サービスが導入されている場合は、SCEP プロファイルを使用して、BlackBerry 10 デバイス、iOS デバイス、
および Secure Work Space、KNOX Workspace、KNOX MDM でアクティベーションを行った Android デバイスにクライアン
ト証明書を登録することもできます。
ユーザーごとに異なるクライアント証明書を指定するには、
［ユーザーの概要］タブでユーザーアカウントにクライアント
証明書を追加します。BES12 によって、ユーザーの iOS および Android デバイスに証明書が送信されます。詳細について
は、「ユーザーアカウントへのクライアント証明書の追加」を参照してください。
関連情報
ユーザーアカウントへのクライアント証明書の追加, （214 ページ）
共有の証明書プロファイルの作成
作業を始める前に: デバイスに送信するクライアント証明書ファイルを取得する必要があります。ファイル名拡張子
は、.pfx または .p12 である必要があります。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2. ［共有証明書］の横の
3.
をクリックします。
プロファイルの名前と説明を入力します。各共有の証明書プロファイルに固有の名前を付ける必要があります。い
くつかの名前（たとえば、ca_1）は予約されています。
4. ［パスワード］フィールドに、共有の証明書プロファイルのパスワードを入力します。
5. ［証明書ファイル］フィールドで、［参照］をクリックして証明書ファイルを見つけます。
6. ［追加］をクリックします。
74
証明書
BES12 と組織の Entrust ソフトウェアと
の統合
14
所属組織が PKI サービスの提供に Entrust ソフトウェアを使用している場合、Entrust 証明書に基づく認証を BES12 で管理
しているデバイスに延長できます。
Entrust IdentityGuard や Entrust Authority Administration Services プロビジョニングクライアント証明書などの Entrust 製
品。 BES12 を使用して、所属組織の Entrust 製品との接続を設定し、複数のプロファイルを使って、Entrust CA 証明書や
クライアント証明書をデバイスに提供することができます。デバイスは、Web ページとの SSL 接続、仕事用メールサー
バー、Wi-Fi ネットワーク、または VPN との認証、および S/MIME を使用するメールの暗号化と署名にクライアント証明書
を使用できます。
BES12 と組織の Entrust ソフトウェアを統合す
る手順
BES12 と組織の Entrust ソフトウェアを統合するには、次の手順を実行します。
手順
操作
BES12 と組織の Entrust ソフトウェアを接続します。
必要に応じて、CA 証明書プロファイルを使って、Entrust CA 証明書をデバイスに送信します。
Entrust クライアント証明書をデバイスに提供するプロファイルを設定します。プロファイルのタ
イプ（SCEP またはユーザー資格情報）は所属組織による Entrust ソフトウェアの使用方法、および
その組織がサポートしているデバイスのタイプによって異なります。
必要に応じて、SCEP またはユーザー資格情報プロファイルを Wi-Fi、VPN、またはメールプロファイ
ルに追加します。
プロファイルをユーザーグループおよびユーザーアカウントに割り当てます。
75
証明書
所属組織の Entrust ソフトウェアに接続を追加
BES12 と所属組織の Entrust ソフトウェアを統合するには、Entrust IdentityGuard または Entrust Authority Administration
Services に接続を追加する必要があります。
作業を始める前に: 所属組織の Entrust 管理者に連絡して、BES12 と Entrust ソフトウェアの接続に必要な Entrust MDM
Web Service の URL と Entrust 管理者アカウントのログイン情報を教えてもらってください。
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、［外部統合］ > ［認証局］をクリックします。
3. ［Entrust 接続を追加］をクリックします。
4. ［接続名］フィールドに、接続の名前を入力します。
5. ［URL］フィールドに、Entrust MDM Web Service の URL を入力します。
6. ［ユーザー名］フィールドに、Entrust 管理者アカウントの名前を入力します。
7. ［パスワード］フィールドに、Entrust 管理者アカウントのパスワードを入力します。
8. ［テスト接続］をクリックします。
9. ［保存］をクリックします。
終了したら:
•
接続を編集するには、接続名をクリックします。
•
接続を削除するには、をクリックします。
デバイスに Entrust CA 証明書を送信
仕事用ネットワークの認証、Web ページとの SSL 接続などのために、所属組織にあるユーザーのデバイスに Entrust CA 証
明書が必要になった場合は、CA 証明書プロファイルを使用して、デバイスに Entrust CA 証明書を送ることができます。
所属組織の Entrust 管理者に連絡して、Entrust CA 証明書を取得します。 CA 証明書プロファイル作成の詳細については、
「CA 証明書プロファイルの作成」を参照してください。
デバイスへの Entrust クライアント証明書の提
供
さまざまなタイプのプロファイルを使用して、デバイスに Entrust クライアント証明書を提供できます。選択するプロ
ファイルのタイプは、所属組織による Entrust ソフトウェアの使用方法、その組織がサポートしているデバイスのタイプ、
および証明書の管理方法によって異なります。
76
証明書
複数のオプションが記載されている場合は、プロファイルタイプの 1 つのみを使用してください。
デバイス
メールサーバー認証
（Exchange
メッセージ署名および Wi-Fi 認証
暗号化（S/MIME）
VPN 認証
ActiveSync）
BlackBerry 10*
•
SCEP プロファ
ユーザーによる設定
•
イル
iOS
Android
•
ユーザー資格情
報プロファイル
•
SCEP プロファ
•
イル
•
SCEP プロファ
イル
ユーザー資格情
報プロファイル
•
ユーザー資格情
報プロファイル
SCEP プロファイ •
SCEP プロファ
•
SCEP プロファ
イル
ル
イル
•
ユーザー資格情 •
報プロファイル
ユーザー資格情
報プロファイル
•
SCEP プロファ
•
サポート対象外
イル**
KNOX Workspace を使用
するデバイス
SCEP プロファ
•
ユーザー資格情
報プロファイル
•
SCEP プロファ
サポート対象外
•
ユーザー資格情
報プロファイル
•
•
SCEP
サポート対象外
•
ユーザー資格情
報プロファイル
•
SCEP プロファ
イル
•
KNOX MDM を使用するデ •
バイス
•
•
イル
ユーザー資格情
報プロファイル
SCEP プロファ
イル
サポート対象外
ユーザー資格情
報プロファイル
SCEP プロファ
イル
•
ユーザー資格情
報プロファイル
•
•
SCEP プロファ
サポート対象外
イル
ユーザー資格情
報プロファイル
イル
•
ユーザー資格情
報プロファイル
ユーザー資格情
報プロファイル
Windows Phone
サポート対象外
サポート対象外
サポート対象外
サポート対象外
Android for Work
サポート対象外
サポート対象外
サポート対象外
サポート対象外
*ユーザー資格情報プロファイルには、BlackBerry 10 OS バージョン 10.3.1 以降が必要です。 BlackBerry 10 デバイスは
メッセージの署名および暗号化に S/MIME を使用できますが、この機能はデバイスのユーザーが有効化および設定する必
要があります（必要な証明書をデバイスに送信できます）。
**SCEP プロファイルは Secure Work Space を持つ Android デバイス、および KNOX Workspace または KNOX MDM を使用し
ているデバイスでサポートされています。Secure Work Space を持つ Android が SCEP プロファイルをサポートするには、
このプロファイルがメールプロファイルに関連付けられている場合のみです。
77
証明書
ユーザー資格情報プロファイルにより、デバイスは Entrust CA からクライアント証明書を取得できるようになります。
SCEP プロファイルにも同じ機能がありますが、Entrust CA とデバイスの通信に使用できるオプションの種類がさらに豊富
です。ユーザー資格情報プロファイルと SCEP プロファイルにより、デバイスはクライアント証明書の有効期限が切れる
前に、自動的に証明書を更新できます。
関連情報
ユーザー資格情報プロファイルを作成, （78 ページ）
ユーザー資格情報プロファイルを作成
作業を始める前に:
•
所属組織の Entrust 管理者に問い合わせて、デバイスに送信すべきデジタル ID プロファイルを確認します。
BES12 は、Entrust 管理者の設定に基づいて、デジタル ID プロファイルのリストを提供します。
•
ユーザー資格情報プロファイルは、S/MIME の署名キーと暗号化キーの両方を持つデジタル ID プロファイルをサ
ポートしていません。 Entrust 管理者は、署名用と暗号化用の 2 つのデジタル ID プロファイルを個別に設定する
必要があります。
•
指定すべきデジタル ID 値については、Entrust 管理者にお問い合わせください。たとえば、デバイスの種類
（devicetype）、Entrust IdentityGuard グループ（iggroup）、Entrust IdentityGuard username（igusername）などが必
要です。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2.
左ペインで、
［ユーザー資格情報］の横の
3.
プロファイルの名前と説明を入力します。
をクリックします。
4. ［認証局との接続］ドロップダウンリストで、設定した Entrust 接続をクリックします。
5. ［プロファイル］ドロップダウンリストで、適切なデジタル ID プロファイルをクリックします。
6.
目的のデジタル ID プロファイルの値を指定します。
7.
デバイスがこのクライアント証明書を使って S/MIME でメールを暗号化しているときに、期限の切れた証明書へのア
クセスをデバイスでそのまま保持しておいて、これらの証明書を使って暗号化された古いメールをユーザーが開ける
ようにするには、［証明書履歴を含める］をオンにします。
8. ［追加］をクリックします。
終了したら:
•
プロファイルをユーザーアカウントまたはユーザーグループに割り当てます。 Android ユーザーは、プロファイ
ルを受信したときに、パスワードの入力を求められます（パスワードは画面上に表示されます）。
•
デバイスが Entrust クライアント証明書を使用して、Wi-Fi ネットワーク、VPN、またはメールサーバーを認証す
る場合は、ユーザー資格情報プロファイルに Wi-Fi、VPN、またはメールプロファイルを関連付けます。
78
メールサーバー、Wi-Fi ネットワーク、および VPN への接続など、デバイスに対して仕事用の接続を
セットアップします。
Multiplatform
仕事用接続
仕事用接続
デバイスの仕事用接続の設定
15
プロファイルを使用して、組織内のデバイスの仕事用接続をセットアップし管理することができます。仕事用接続は、
メールサーバーやプロキシサーバー、Wi-Fi ネットワーク、VPN など組織の環境内の仕事用リソースとデバイスの接続方法
を設定します。同一のプロファイルで、BlackBerry 10、iOS、Android、および Windows Phone デバイスの設定を指定して
から、そのプロファイルをユーザーアカウント、ユーザーグループ、またはデバイスグループに割り当てることができま
す。
デバイスの仕事用接続をセットアップする手
順
デバイスの仕事用接続をセットアップする場合は、次の操作を実行します。
手順
操作
デバイスが仕事用リソースに接続する方法を設定するプロファイルを作成します。
必要に応じて、プロファイルをランク付けします。
プロファイルをユーザーアカウント、ユーザーグループ、またはデバイスグループに割り当てます。
プロファイルを使用した仕事用接続の管理
ポリシーおよびプロファイルライブラリで使用可能なプロファイルを使用して、仕事用接続を管理できます。
次のプロファイルを使用して、デバイスが仕事用リソースに接続する方法を設定します。
プロファイル
説明
メール
メールプロファイルは、デバイスを仕事用メールサーバーに接続し、Exchange
ActiveSync や IBM Notes Traveler を使ってメールやカレンダーエントリ、オーガ
ナイザーデータを同期する方法を指定します。
IMAP/POP3 メール
IMAP/POP3 メールプロファイルは、デバイスを IMAP または POP3 メールサー
バーに接続し、メールを同期する方法を指定します。
80
仕事用接続
プロファイル
説明
証明書の取得
証明書の取得プロファイルは、デバイスが証明書を LDAP サーバーから取得する
方法を指定します。
OCSP
OCSP プロファイルは、profile specifies the OCSP responders that BlackBerry 10
デバイスが証明書のステータスを確認するために使用できる OCSP レスポン
ダーを指定します。
CRL
CRL プロファイルは、BES12 が証明書のステータスを確認するために使用でき
る CRL 設定を指定します。
プロキシ
プロキシプロファイルは、デバイスがプロキシサーバーを使用してインター
ネットまたは仕事用ネットワーク上の Web サービスにアクセスする方法を指定
します。
VPN
VPN プロファイルは、デバイスが仕事用 VPN に接続する方法を指定します。
Wi-Fi
Wi-Fi プロファイルは、デバイスが仕事用 Wi-Fi ネットワークに接続する方法を
指定します。
エンタープライズ接続
エンタープライズ接続プロファイルは、Secure Work Space を備えた iOS および
Android デバイス上のセキュリティ保護されたアプリが、BlackBerry
Infrastructure 経由で仕事用ネットワークに接続する必要があるかどうかを指定
します。仕事用 VPN または Wi-Fi 接続が使用できない場合、BlackBerry 10 デバ
イス上の仕事用アプリは BlackBerry Infrastructure を使用します。また、このプ
ロファイルは、BlackBerry 10、KNOX Workspace、および Android for Work デバ
イスが仕事用 VPN または Wi-Fi 接続を使用できない場合に、ファイアウォール内
部にある仕事用リソースへセキュリティ保護された接続をするために、
BlackBerry Secure Connect Plus を使用できるかどうかも指定します。
BES12 には、デフォルトのエンタープライズ接続プロファイルが含まれます。
シングルサインオン
シングルサインオンプロファイルは、ユーザーがユーザー名とパスワードを初
めて入力した後に、デバイスがセキュリティ保護されたドメインでの認証を自
動的に実行する方法を指定します。
対策：仕事用接続プロファイルを作成
一部の仕事用接続プロファイルには 1 つ以上の関連付けられたプロファイルを含めることができます。関連付けられた
プロファイルを使用する場合は、既存のプロファイルを仕事用接続プロファイルにリンクします。デバイスは、仕事用接
続プロファイルを使用する際に、関連付けられたプロファイルを使用する必要があります。
81
仕事用接続
次のガイドラインを参考にしてください。
•
組織内のデバイスにどの仕事用接続が必要か決定します。
•
他のプロファイルに関連付けできるプロファイルを作成してから、それらを使用する仕事用接続プロファイルを
作成します。
•
適切な場所で変数を使用します。
証明書プロファイルとプロキシプロファイルをさまざまな仕事用接続プロファイルと関連付けることができます。プロ
ファイルは次の順番で作成する必要があります。
1.
証明書プロファイル
2.
プロキシプロファイル
3.
仕事用接続プロファイル（メール、VPN、Wi-Fi など）
たとえば、Wi-Fi プロファイルを最初に作成する場合は、プロキシプロファイルの作成時に、それを Wi-Fi プロファイルに
関連付けることはできません。プロキシプロファイルの作成後に、Wi-Fi プロファイルを変更してから、プロキシプロファ
イルをそれに関連付ける必要があります。
関連情報
プロファイルでの変数の使用, （64 ページ）
デバイスの仕事用メールの設定
メールプロファイルを使用すると、デバイスが組織のメールサーバーに接続し、Exchange ActiveSync または IBM Notes
Traveler を使用してメール、カレンダーエントリ、およびオーガナイザーデータを同期する方法を指定できます。
Exchange ActiveSync を使用する場合は、次の点に注意する必要があります。
•
拡張メールセキュリティの場合は、iOS デバイスおよび Android デバイスの S/MIME を有効にすることができま
す。 BlackBerry 10 デバイスに対して S/MIME または PGP を有効にできます。 PGP は、BlackBerry 10 OS バー
ジョン 10.3.1 以降でサポートされています。
•
S/MIME を有効にすると、追加のプロファイルを使用して、デバイスが自動的に S/MIME 証明書を取得して、証明
書のステータスをチェックできるように指定できます。
Notes Traveler を使用する場合は、次の点に注意する必要があります。
•
iOS または Android デバイスで Notes Traveler を使用するには、Secure Work Space を有効にする必要があります。
•
BlackBerry 10 または Windows Phone デバイスで Notes Traveler を使用するには、メールプロファイル内の適切な
設定を指定する必要があります。
•
To Do データの同期は BlackBerry 10 デバイスでのみサポートされています。それは、Notes Traveler サーバーで
SyncML 通信プロトコルを使用します。
•
BlackBerry 10 デバイスで強化されたメールセキュリティの場合は、IBM Notes 暗号化のみがサポートされます
（S/MIME はサポートされません）。
82
仕事用接続
また IMAP/POP3 メールプロファイルを使用して、iOS、Android、および Windows Phone デバイスが IMAP または POP3
メールサーバーに接続して、メールメッセージを同期する方法を指定できます。 KNOX MDM を使用するようにアクティ
ベーションを行ったデバイスは、IMAP または POP3 をサポートしません。
メールプロファイルの作成
必要となるプロファイルの設定は、各デバイスタイプと組織の環境で使用されるメールサーバーに応じて異なります。
作業を始める前に:
•
デバイスとメールサーバーの間で証明書ベースの認証を使用する場合、CA 証明書プロファイルを作成して、ユー
ザーに割り当てる必要があります。またデバイスに信頼済みクライアント証明書があることを確認する必要が
あります。証明書プロファイルを作成して、このプロファイルとメールプロファイルを関連付けて、クライアン
ト証明書をデバイスに送信できます。 BlackBerry 10 デバイスは、SCEP プロファイルおよびユーザー資格情報プ
ロファイルをサポートしています。［MDM コントロール］アクティベーションの iOS デバイスと［KNOX
Workspace］アクティベーションの Android デバイスは、SCEP プロファイル、ユーザー資格情報プロファイル、
および共有証明書プロファイルをサポートしています。［Secure Work Space］アクティベーションの iOS および
Android デバイスは SCEP プロファイルをサポートしています。 Android for Work デバイスは、ユーザー資格情報
プロファイルと共有証明書プロファイルをサポートしています。
•
メールプロファイルを Android デバイスに自動的に適用するには、デバイスが以下の条件のいずれかに適合して
いる必要があります。デバイスがこれらのいずれかの条件に適合していない場合、BES12 は引き続きメールプロ
ファイルを Android デバイスに送信しますが、ユーザーは手動でメールサーバーへの接続を設定する必要があり
ます。
◦
Secure Work Space を搭載したデバイス
◦
Android for Work デバイス
◦
Android 4.4.2 以降を実行している Samsung デバイス（Samsung KNOX を含む）
◦
Motorola デバイス
◦
TouchDown アプリがインストールされたデバイス。 TouchDown アプリの詳細については、
nitrodesk.com をご覧ください。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2. ［メール］の横の
をクリックします。
3.
プロファイルの名前と説明を入力します。
4.
必要に応じて、メールサーバーのドメイン名を入力します。プロファイルが、異なる Microsoft Active Directory ドメ
インに属する複数のユーザーに対応している場合は、%UserDomain% 変数を使用できます。
5. ［メールアドレス］フィールドで、次の操作のいずれかを実行します。
•
プロファイルが 1 人のユーザーに対応している場合は、ユーザーのメールアドレスを入力します。
83
仕事用接続
•
6.
プロファイルが複数のユーザーに対応している場合は、%UserEmailAddress% を入力します。
メールサーバーのホスト名または IP アドレスを入力します。
7. ［ユーザー名］フィールドで、次の操作のいずれかを実行します。
•
プロファイルが 1 人のユーザーに対応している場合、ユーザー名を入力します。
•
プロファイルが複数のユーザーに対応している場合は、%UserName% を入力します。
•
プロファイルが IBM Notes Traveler 環境の複数のユーザーに対応している場合は、%UserDisplayName% を
入力します。
8.
自動ゲートキーピングを使用している場合は、［サーバを選択］をクリックし、使用可能なサーバーのリストから適
切な Microsoft Exchange サーバーを選択して、［保存］をクリックします。
9.
組織内の各デバイスタイプのタブをクリックして、各プロファイル設定に適切な値を設定します。
10. ［追加］をクリックします。
終了したら: 複数のメールプロファイルを作成する場合、プロファイルをランク付けします。
関連情報
メールプロファイル設定, （322 ページ）
BES12 と組織の Entrust ソフトウェアとの統合, （75 ページ）
IMAP/POP3 メールプロファイルを作成
必要となるプロファイルの設定は、各デバイスタイプと選択する設定に応じて異なります。
メモ: BES12 はメールプロファイルを Android デバイスに送信しますが、ユーザーは手動でメールサーバーへの接続を設定
する必要があります。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2. ［IMAP/POP3 メール］の横の
3.
をクリックします。
プロファイルの名前と説明を入力します。
4. ［メールの種類］フィールドで、メールプロトコルの種類を選択します。
5. ［メールアドレス］フィールドで、次の操作のいずれかを実行します。
•
プロファイルが 1 人のユーザーに対応している場合は、ユーザーのメールアドレスを入力します。
•
プロファイルが複数のユーザーに対応している場合は、%UserEmailAddress% を入力します。
6. ［受信メール設定］セクションには、受信メール用メールサーバーのホスト名または IP アドレスを入力します。
7.
必要に応じて、受信メールのポートを入力します。
8. ［ユーザー名］フィールドで、次の操作のいずれかを実行します。
84
仕事用接続
•
プロファイルが 1 人のユーザーに対応している場合、ユーザー名を入力します。
•
プロファイルが複数のユーザーに対応している場合は、%UserName% を入力します。
9. ［送信メール設定］セクションには、送信メール用メールサーバーのホスト名または IP アドレスを入力します。
10. 必要に応じて、送信メールのポートを入力します。
11. 必要に応じて、［送信メールに必要な認証］を選択し、送信メールに使用する資格情報を指定します。
12. 組織内の各デバイスタイプのタブをクリックして、各プロファイル設定に適切な値を設定します。
13. ［追加］をクリックします。
S/MIME を使用したメールセキュリティの強化
S/MIME を有効にすることで、BlackBerry 10、iOS、および Android デバイスユーザーのメールセキュリティを強化できま
す。 S/MIME は、メールを暗号化し署名する標準的な方法を提供します。ユーザーは、デバイス上の S/MIME で保護され
たメッセージをサポートする仕事用メールアカウントを使用している場合に、S/MIME 保護を使用して、メールの暗号化、
署名、暗号化、または暗号化と署名の両方を実行できます。 S/MIME は、個人用メールアドレスに対しては有効化できま
せん。
ユーザーは、受信者の S/MIME 証明書をデバイスに保存できます。ユーザーは自身の秘密鍵をデバイスまたはスマート
カードに保存できます。
ユーザー向けの S/MIME はメールプロファイルで有効にします。 BlackBerry 10 デバイスユーザーには S/MIME の使用を
強制できますが、iOS または Android デバイスユーザーには強制できません。 S/MIME の使用がオプションの場合、ユー
ザーはデバイスで S/MIME を有効にし、メールの暗号化、署名、または暗号化と署名の両方のいずれを使用するかを指定
できます。
S/MIME 設定は、PGP 設定より優先されます。 S/MIME のサポートが［必須］に設定されている場合、PGP 設定は無視され
ます。
S/MIME の詳細については、セキュリティ関連の資料を参照してください。
S/MIME 証明書の取得
証明書の取得プロファイルを使用して、LDAP 証明書サーバーを対象に、デバイスによる受信者の S/MIME 証明書の検索お
よび取得を許可できます。必要な S/MIME 証明書がデバイスの証明書ストアにまだない場合は、デバイスは自動的にサー
バーからそれを取得し、証明書ストアにインポートします。
デバイスの種類
説明
BlackBerry 10
デバイスは、プロファイルに指定された各 LDAP 証明書サーバーを検索し、S/
MIME 証明書を取得します。複数の S/MIME 証明書があり、デバイスが優先され
る証明書を判別できない場合は、ユーザーが使用する証明書を選択できるよう
に、すべての S/MIME 証明書が表示されます。
85
仕事用接続
デバイスの種類
説明
管理者は、デバイスが単純な認証または Kerberos 認証のいずれかを使用して
LDAP 証明書サーバーでの認証を実行するように要求することができます。デ
バイスが単純な認証を使用するように要求する場合は、デバイスが自動的に
LDAP 証明書サーバーでの認証を実行できるように、必要な認証資格情報を証明
書の取得プロファイルに含めることができます。デバイスが Kerberos 認証を
使用するように要求する場合は、10.3.1 より後のバージョンの BlackBerry 10 OS
を実行するデバイスが自動的に LDAP 証明書サーバーでの認証を実行できるよ
うに、必要な認証資格情報を証明書の取得プロファイルに含めることができま
す。それ以外の場合は、デバイスが LDAP 証明書サーバーでの認証を初めて試
行する際に、ユーザーが必要な認証資格情報を入力するように求められます。
バージョン 10.2.1～10.3 の BlackBerry 10 OS を実行するデバイスでは、デバイ
スが LDAP 証明書サーバーでの認証を初めて試行する際に、ユーザーが必要な認
証資格情報を入力するように求められます。
iOS および Android
デバイスは、プロファイルに指定された LDAP 証明書サーバーを検索し、S/MIME
証明書を取得します。
デバイスは LDAP 証明書サーバーを使って認証するために、パスワード認証を使
用します。必須パスワードを証明書取得プロファイルに含めることにより、デ
バイスが LDAP 証明書サーバーを使って自動的に認証できるようになります。
管理者が証明書の取得プロファイルを作成して、それをユーザーアカウント、ユーザーグループ、またはデバイスグルー
プに割り当てない場合は、ユーザーが手動で仕事用メールの添付ファイルまたはコンピューターから S/MIME 証明書をイ
ンポートする必要があります。
証明書の取得プロファイルの作成
作業を始める前に: デバイスがセキュリティ保護された接続を確立する際に LDAP 証明書サーバーを信頼できるようにす
るために、CA 証明書をデバイスに配布しなければならない場合があります。必要に応じて、CA 証明書プロファイルを作
成し、それらをユーザーアカウント、ユーザーグループ、またはデバイスグループに割り当てます。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2. ［証明書の取得］の横の
をクリックします。
3.
証明書の取得プロファイルの名前と説明を入力します。
4.
次のタスクを実行します。
タスク
手順
BlackBerry 10 に LDAP を使用す 1.
表で、
をクリックします。
るには
86
仕事用接続
タスク
手順
2. ［サービス URL］フィールドに、ldap://<fqdn>:<port> 形式を使用して、LDAP
証明書サーバーの FQDN を入力します（ldap://server01.example.com:389 な
ど）。
3. ［検索ベース］フィールドに、LDAP 証明書サーバー検索の起点となるベース
DN を入力します。
4. ［検索範囲］ドロップダウンリストで、次の操作のいずれかを実行します。
•
ベースオブジェクトのみ（ベース DN）を検索するには、
［ベース］
をクリックします。このオプションは、デフォルト値です。
•
ベースオブジェクトの 1 レベル下を検索するが、ベースオブジェク
ト自体は検索しない場合は、［1 レベル］をクリックします。
•
•
5.
ベースオブジェクトとその下のすべてのレベルを検索するには、
［サブツリー］をクリックします。
ベースオブジェクトの下のすべてのレベルを検索するが、ベースオ
ブジェクト自体は検索しない場合は、
［子］をクリックします。
認証が必要な場合は、次の操作を実行します。
a
［認証の種類］ドロップダウンリストで、
［簡易］または［Kerberos］を
クリックします。
b
［LDAP ユーザー ID］フィールドに、LDAP 証明書サーバーの検索権限を
持つアカウントの DN を入力します（cn=admin、dc=example、dc=com
など）。
c
［LDAP パスワード］フィールドに、LDAP 証明書サーバーの検索権限を
持つアカウントのパスワードを入力します。
6.
必要に応じて、［セキュリティ保護された接続を使用する］チェックボック
スをオンにします。
7. ［接続のタイムアウト］フィールドに、デバイスが LDAP 証明書サーバーの応
答を待機する時間（秒単位）を入力します。
8. ［追加］をクリックします。
9.
iOS および Android デバイスで
LDAP 証明書サーバーごとに手順 4.2～4.8 を繰り返します。
1. ［LDAP を使用］を選択します。
LDAP を使用するには
87
仕事用接続
タスク
手順
2. ［サービス URL］フィールドに、ldap://<fqdn>:<port> 形式を使用して、LDAP
証明書サーバーの FQDN を入力します（ldap://server01.example.com:389 な
ど）。
3. ［ベース DN］フィールドにデバイス検索の行われるディレクトリのルート
DN を入力します（ou=users,de=example,dc=com など）。
4. ［バインド DN］フィールドに、LDAP 証明書サーバーの検索権限を持つアカ
ウントの DN を入力します（cn=admin,dc=example,dc=com など）。
5. ［LDAP パスワード］フィールドに、バインド DN のパスワードを入力しま
す。
6.
iOS および Android デバイスで
必要に応じて、［セキュリティ保護された接続を使用する］チェックボック
スをオンにします。
1. ［Exchange ActiveSync を使用］を選択します。
Exchange ActiveSync を使用す
るには
5. ［追加］をクリックします。
終了したら:
•
BlackBerry 10 デバイスが証明書ステータスをチェックできるようにするには、OCSP または CRL プロファイルを
作成します。
•
複数の証明書取得プロファイルを作成する場合は、プロファイルをランク付けします。
デバイスでの S/MIME 証明書のステータスの判別
OCSP プロファイルおよび CRL プロファイルを使用して、BlackBerry 10 デバイスに S/MIME 証明書のステータスの確認を
許可できます。 OCSP プロファイルと CRL プロファイルは、ユーザーアカウント、ユーザーグループ、またはデバイスグ
ループに割り当てることができます。
BlackBerry 10 デバイスは、OCSP プロファイルに指定された各 OCSP レスポンダーを検索し、S/MIME 証明書のステータス
を取得します。 10.3.1 より後のバージョンの BlackBerry 10 OS を実行するデバイスは、証明書ステータス要求を BES12
に送信できます。管理者は CRL プロファイルで、BES12 が HTTP、HTTPS、または LDAP を使用して S/MIME 証明書のス
テータスを検索するように設定できます。
証明書の取得に Exchange ActiveSync を使用する場合、iOS および Android デバイスは Exchange ActiveSync を使用して、S/
MIME 証明書のステータスをチェックします。証明書の取得に LDAP を使用する場合、iOS および Android デバイスは
OCSP を使用して、証明書のステータスをチェックします。 iOS および Android デバイスは、OCSP プロファイルを使用し
ません。デバイスは証明書内の OCSP レスポンダーをチェックします。
88
仕事用接続
証明書ステータス表示の詳細については、デバイスのユーザーガイドのセキュリティ保護されたメールアイコンに関する
説明を参照してください。
OCSP プロファイルの作成
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2. ［OCSP］の横の
をクリックします。
3.
OCSP プロファイルの名前と説明を入力します。
4.
次の操作を実行します。
a.
表で、
をクリックします。
b. ［サービス URL］フィールドに、OCSP レスポンダーの Web アドレスを入力します。
c.
［接続のタイムアウト］フィールドに、デバイスが OCSP の応答を待機する時間（秒単位）を入力します。
d. ［追加］をクリックします。
5.
OCSP レスポンダーごとに手順 4 を繰り返します。
6. ［追加］をクリックします。
終了したら: 複数の OCSP プロファイルを作成する場合は、プロファイルをランク付けします。
CRL プロファイルの作成
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2. ［CRL］の横の
をクリックします。
3.
CRL プロファイルの名前と説明を入力します。
4.
デバイスに証明書に定義されたレスポンダー URL の使用を許可するには、［証明書拡張レスポンダーを使用する］
チェックボックスをオンにします。
5.
次のタスクを実行します。
タスク
手順
HTTP CRL 設定を指定する
1. ［HTTP for CRL］セクションで
2.
をクリックします。
HTTP CRL 設定の名前と説明を入力します。
3. ［サービス URL］フィールドに、HTTP サーバーまたは HTTPS サーバー
の Web アドレスを入力します。
4. ［追加］をクリックします。
5.
HTTP サーバーまたは HTTPS サーバーごとに手順 1～4 を繰り返しま
す。
89
仕事用接続
タスク
手順
LDAP CRL 設定を指定する
1. ［LDAP for CRL］セクションで
2.
をクリックします。
LDAP CRL 設定の名前と説明を入力します。
3. ［サービス URL］フィールドに、ldap://<fqdn>:<port> 形式を使用して、
LDAP サーバーの FQDN を入力します（たとえば、ldap://
server01.example.com:389）。セキュリティ保護された接続の場合は、
ldaps://<fqdn>:<port> 形式を使用します。
4. ［検索ベース］フィールドに、LDAP サーバー検索の起点となるベース
DN を入力します。
5.
必要に応じて、
［セキュリティ保護された接続を使用する］チェックボッ
クスをオンにします。
6. ［LDAP ユーザー ID］フィールドに、LDAP サーバーの検索権限を持つ
アカウントの DN を入力します（たとえば、cn=admin、dc=example、
dc=com）。
7. ［LDAP パスワード］フィールドに、LDAP サーバーの検索権限を持つア
カウントのパスワードを入力します。
8. ［追加］をクリックします。
9.
LDAP サーバーごとに手順 1～8 を繰り返します。
6. ［追加］をクリックします。
終了したら: 複数の CRL プロファイルを作成する場合は、プロファイルをランク付けします。
PGP を使用したメールセキュリティの強化
BlackBerry 10 OS のバージョン 10.3.1 以降を実行しているデバイスでは、PGP を有効にすることで、デバイスユーザーの
メールセキュリティを強化できます。 PGP は、OpenPGP 形式を使用してデバイスのメールを保護します。ユーザーは、
仕事用メールアドレスの使用時に、PGP 保護を使用して署名、暗号化、または署名と暗号化の両方でメールを保護できま
す。 PGP は、個人用メールアドレスに対しては有効化できません。
ユーザー向けの PGP はメールプロファイルで有効にします。 BlackBerry 10 デバイスユーザーに PGP の使用を強制する
こともできれば、PGP の使用を許可しないことも、またはそれをオプションにすることもできます。 PGP の使用がオプ
ションの場合（デフォルト設定）、ユーザーはデバイスで PGP を有効にし、メールで暗号化、署名、または暗号化と署名
の両方のいずれを使用するかを指定できます。
メールに署名して暗号化するには、受信者ごとの PGP キーをデバイスに保存しておく必要があります。ユーザーは、仕
事用メールからファイルをインポートすることで PGP キーを保存できます。
適切なメールプロファイル設定を使用して PGP を設定できます。
90
仕事用接続
PGP の詳細については、セキュリティ関連の資料を参照してください。
関連情報
BlackBerry 10：メールプロファイル設定, （323 ページ）
メッセージ分類を使用したセキュリティ保護されたメールの
強制
メッセージを分類することにより、組織はセキュリティ保護されたメールポリシーを指定して強制し、BlackBerry 10 デバ
イス上のメールに目で見てわかるマークを追加できるようになります。 BES12 を使用して、BlackBerry 10 デバイスユー
ザーへ同様のメッセージ分類用オプションを提供し、これらのユーザーのコンピュータメールアプリケーションでこのオ
プションを使用可能にすることができます。次のルールを定義し、メッセージの分類に基づいて送信メッセージに適用で
きます。
•
メッセージ分類を特定するラベルを追加する（例：社外秘）
•
件名の末尾に目で見てわかるマーカーを追加する（例：[C]）
•
メール本文の先頭または末尾にテキストを追加する（例：このメッセージは社外秘です）
•
S/MIME または PGP オプションを設定する（例：署名と暗号化）
•
分類のデフォルト値を設定する
10.3.1 以降のバージョンの BlackBerry 10 OS を実行するデバイスでは、メッセージ分類を使用して、ユーザーが各自のデ
バイスから送信するメールに対する署名、暗号化、またはメールへの視覚的マーカーの追加を要求できます。ユーザーの
デバイスに送信するメッセージ分類設定ファイル（拡張子 .json）の指定には、メールプロファイルを使用します。ユー
ザーがメッセージ分類の設定されているメールに返信、またはセキュリティで保護されたメールを作成すると、メッセー
ジ分類の設定に基づいて、デバイスにより送信メッセージに強制される分類ルールが決められます。
デバイスのメッセージ保護オプションは、デバイスで許可されている種類の暗号化およびデジタル署名に制限されます。
ユーザーがデバイス上のメールにメッセージ分類を適用する場合は、メッセージ分類により許可されている 1 つの種類の
メッセージ保護を選択するか、またはデフォルトのメッセージ保護を承諾する必要があります。ユーザーが、署名、暗号
化、またはその両方を要求するメッセージ分類を選択したが、デバイスで S/MIME または PGP が設定されていない場合、
そのユーザーはメールを送信できません。
S/MIME および PGP 設定は、メッセージ分類より優先されます。ユーザーは使用しているデバイスでメッセージ分類のレ
ベルを上げられますが、下げることはできません。メッセージ分類のレベルは、個々の分類で設定されているセキュリ
ティ保護されたメールのルールにより決定されます。
メッセージ分類が有効化されている場合、ユーザーはデバイスからメールを送信するときに BlackBerry Assistant を使用で
きません。
適切なメールプロファイル設定を使用して、メッセージ分類を設定できます。
メッセージ分類設定ファイルの作成方法の詳細については、blackberry.com/go/kbhelp の記事 KB36736 を参照してくださ
い。
関連情報
91
仕事用接続
BlackBerry 10：メールプロファイル設定, （323 ページ）
デバイスのプロキシ設定のセットアップ
プロキシプロファイルを使用して、デバイスがプロキシサーバーを使用してインターネットまたは仕事用ネットワーク上
の Web サービスにアクセスする方法を指定できます。
デバイス
プロキシプロファイルの割り当て
BlackBerry 10
プロキシプロファイルを使用するには、このファイルを所属組織の使用してい
るプロファイルに関連付ける必要があります。後者には次の情報が含まれてい
ます。
iOS
•
Wi-Fi
•
VPN
•
エンタープライズ接続
プロキシプロファイルを使用するには、このファイルを所属組織の使用してい
るプロファイルに関連付ける必要があります。後者には次の情報が含まれてい
ます。
•
Wi-Fi
•
VPN
•
エンタープライズ接続（Secure Work Space を使ってデバイスを管理してい
て、エンタープライズ接続が有効化されている場合）
また、プロキシプロファイルは、ユーザーアカウント、ユーザーグループ、ま
たはデバイスグループに割り当てることもできます。
メモ: ユーザーアカウント、ユーザーグループ、またはデバイスグループに割り
当てられるプロキシプロファイルは、管理されたデバイスの場合のみグローバ
ルプロキシで、Wi-Fi または VPN プロファイルに関連付けられたプロキシプロ
ファイルより優先されます。エンタープライズ接続が有効な場合、セキュリ
ティ保護されたアプリはエンタープライズ接続プロファイルに関連付けられた
プロキシ設定を使用し、仕事用アプリと個人用アプリはグローバルプロキシ設
定を使用します。それ以外の場合、管理されたデバイスはすべての HTTP 接続
でグローバルプロキシ設定を使用します。
Secure Work Space を備えた Android
エンタープライズ接続が有効化されている場合、プロキシプロファイルを使用
するには、このプロキシファイルをエンタープライズ接続プロファイルと関連
付ける必要があります。
92
仕事用接続
デバイス
プロキシプロファイルの割り当て
Android for Work
プロキシプロファイルを使用するには、このプロファイルを Wi-Fi プロファイル
と関連付ける必要があります。
Samsung KNOX を使用するデバイス
プロキシプロファイルを使用するには、このプロファイルを Wi-Fi プロファイル
と関連付ける必要があります。
Samsung KNOX を使用するデバイスは、マニュアルプロキシ設定のみサポート
します。
プロキシプロファイルの作成
組織が PAC ファイルを使用してプロキシルールを定義している場合は、PAC 設定を選択して、指定した PAC ファイル内の
プロキシサーバー設定を使用できます。それ以外の場合は、手動での設定を選択して、プロキシサーバー設定を直接プロ
ファイルに指定できます。プロキシプロファイルは、基本認証を使用しているか、認証を使用していないプロキシサー
バーをサポートします。 Secure Work Space を備えた iOS および Android デバイスの場合、エンタープライズ接続プロファ
イルに関連付けられたプロキシプロファイルが、基本認証または NTLM 認証を使用しているか、認証を使用していないプ
ロキシサーバーをサポートします。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2. ［プロキシ］の横にある
をクリックします。
3.
プロキシプロファイルの名前と説明を入力します。
4.
デバイスタイプのタブをクリックします。
5.
次のタスクのいずれかを実行します。
タスク
手順
PAC 設定を指定する
1. ［種類］ドロップダウンリストで、
［PAC 設定］オプションが選択され
ていることを確認します。
2. ［PAC URL］フィールドで、PAC ファイルをホストする Web サーバーの
URL を、PAC ファイル名まで含めて入力します（たとえば、http://
www.example.com/PACfile.pac）。
3. ［BlackBerry］タブで、次の操作を実行します。
a
組織によって、プロキシサーバーに接続するためにユーザーが
ユーザー名とパスワードを入力することが義務付けられており、
プロファイルが複数のユーザーに対応している場合は、
［ユーザー
名］フィールドに %UserName% と入力します。プロキシサー
93
仕事用接続
タスク
手順
バーが認証用のドメイン名を要求する場合は、<domain>
\<username> 形式を使用します。
b
［ユーザーが編集可能］ドロップダウンリストで、BlackBerry 10 デ
バイスユーザーが変更できるプロキシ設定をクリックします。デ
フォルト設定は、
［読み取り専用］です。
手動設定を指定する
1. ［種類］ドロップダウンリストで、
［手動設定］をクリックします。
2. ［ホスト］フィールドに、プロキシサーバーの FQDN または IP アドレス
を入力します。
3. ［ポート］フィールドに、プロキシサーバーのポート番号を入力します。
4.
組織によって、プロキシサーバーに接続するためにユーザーがユーザー
名とパスワードを入力することが義務付けられており、プロファイルが
複数のユーザーに対応している場合は、［ユーザー名］フィールド
に %UserName% と入力します。プロキシサーバーが認証用のドメイ
ン名を要求する場合は、<domain>\<username> 形式を使用します。
5. ［BlackBerry］タブで、次の操作を実行します。
a
［ユーザーが編集可能］ドロップダウンリストで、BlackBerry 10 デ
バイスユーザーが変更できるプロキシ設定をクリックします。デ
フォルト設定は、［読み取り専用］です。
b
オプションで、ユーザーがプロキシサーバーを使用せずに
BlackBerry 10 デバイスから直接アクセスできるアドレスのリス
トを指定できます。［除外リスト］フィールドでは、アドレス
（FQDN または IP）を入力し、セミコロン（;）を使用してリスト内
の値を区切ります。
6.
組織内のデバイスタイプごとに手順 4 と 5 を繰り返します。
7. ［追加］をクリックします。
終了したら:
•
プロキシプロファイルを Wi-Fi、VPN、またはエンタープライズ接続プロファイルに関連付けます。
•
複数のプロキシプロファイルを作成する場合は、プロファイルをランク付けします。指定したランキングは、プ
ロキシプロファイルをユーザーグループまたはデバイスグループに割り当てた場合のみ適用されます。
94
仕事用接続
デバイスの仕事用 Wi-Fi ネットワークの設定
Wi-Fi プロファイルを使用して、ファイアウォール内部の仕事用 Wi-Fi ネットワークにデバイスを接続する方法を指定でき
ます。 Wi-Fi プロファイルは、ユーザーアカウント、ユーザーグループ、またはデバイスグループに割り当てることがで
きます。
デバイス
アプリとネットワーク接続
BlackBerry 10
デフォルトでは、仕事用アプリケーションと個人用アプリの両方とも、デバイ
スに保存された Wi-Fi プロファイルを使用して、組織のネットワークに接続でき
ます。仕事用アプリケーションは、組織のネットワークへの接続にも
BlackBerry Infrastructure を使用できます。組織のセキュリティ基準が個人用ア
プリに組織のネットワークへのアクセスを許可していない場合、または仕事用
アプリケーションの接続オプションを制限したい場合は、接続オプションを制
限できます。詳細については、セキュリティ関連の資料を参照してください。
iOS
次のアプリはデバイスに保存された Wi-Fi プロファイルを使用して、組織のネッ
トワークに接続できます。
Android
•
仕事用および個人用アプリ
•
セキュリティ保護されたアプリ（Secure Work Space を持つデバイスの）
次のアプリはデバイスに保存された Wi-Fi プロファイルを使用して、組織のネッ
トワークに接続できます。
Windows Phone
•
仕事用および個人用アプリ
•
セキュリティ保護されたアプリ（Secure Work Space を持つデバイスの）
仕事用アプリおよび個人用アプリはデバイスに保存された Wi-Fi プロファイル
を使用して、組織のネットワークに接続できます。
Wi-Fi プロファイルの作成
必要となるプロファイルの設定は、各デバイスタイプと選択する Wi-Fi セキュリティタイプおよび認証プロトコルに応じ
て異なります。
作業を始める前に:
•
デバイスが仕事用 Wi-Fi 接続に対して証明書に基づく認証を使用している場合は、CA 証明書プロファイルを作成
して、それをユーザーアカウント、ユーザーグループ、またはデバイスグループに割り当てます。デバイスにク
ライアント証明書を送信するには、SCEP プロファイル、共有証明書プロファイル、またはユーザー資格情報プ
ロファイルを作成し、それを Wi-Fi プロファイルに関連付けます。
95
仕事用接続
•
BlackBerry 10、iOS、Android for Work デバイスの場合、または Samsung KNOX を使用して、仕事用 Wi-Fi 接続で
プロキシサーバーを使用しているデバイスの場合、プロキシプロファイルを作成し、それを Wi-Fi プロファイル
に関連付けます。
•
BlackBerry 10 デバイスが仕事用 Wi-Fi 接続で VPN を使用している場合は、VPN プロファイルを作成して Wi-Fi プ
ロファイルに関連付けます。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2. ［Wi-Fi］の横の
3.
をクリックします。
Wi-Fi プロファイルの名前と説明を入力します。この情報はデバイスに表示されます。
4. ［SSID］フィールドに Wi-Fi ネットワークのネットワーク名を入力します。
5.
Wi-Fi ネットワークが SSID をブロードキャストしない場合は、
［非表示のネットワーク］チェックボックスをオンに
します。
6.
オプションで、プロファイルを設定しないデバイスタイプのチェックボックスをオフにします。
7.
次の操作を実行します。
a.
デバイスタイプのタブをクリックします。
b.
各プロファイル設定には、組織の環境内の Wi-Fi 設定に一致する適切な値を設定します。組織によって、Wi-Fi
ネットワークに接続するためにユーザーがユーザー名とパスワードを入力することが義務付けられており、プ
ロファイルが複数のユーザーに対応している場合は、
［ユーザー名］フィールドに %UserName% と入力します。
8.
組織内のデバイスタイプごとに手順 7 を繰り返します。
9. ［追加］をクリックします。
関連情報
プロファイルを使用した証明書の管理, （70 ページ）
Wi-Fi プロファイル設定, （360 ページ）
BES12 と組織の Entrust ソフトウェアとの統合, （75 ページ）
デバイスの仕事用 VPN の設定
VPN プロファイルを使用して、BlackBerry 10、iOS、および KNOX Workspace デバイスを仕事用の VPN に接続する方法を
指定できます。 VPN プロファイルは、ユーザーアカウント、ユーザーグループ、またはデバイスグループに割り当てるこ
とができます。 BlackBerry 10 デバイスの場合は、VPN プロファイルを Wi-Fi プロファイルに関連付けることもできます。
仕事用 VPN に接続するには、Android および Windows Phone デバイスユーザーは、自分のデバイスに VPN プロファイルを
手動で設定する必要があります。
96
仕事用接続
デバイス
アプリとネットワーク接続
BlackBerry 10
•
デフォルトでは、仕事用アプリケーションと個人用アプリケーションの両
方がデバイスに保存された VPN プロファイルを使用して、組織のネット
ワークに接続します。仕事用アプリケーションは、組織のネットワークへ
の接続にも BlackBerry Infrastructure を使用できます。組織のセキュリ
ティ基準が個人用アプリに組織のネットワークへのアクセスを許可してい
ない場合、または仕事用アプリケーションの接続オプションを制限したい
場合は、接続オプションを制限できます。詳細については、セキュリティ
関連の資料を参照してください。
iOS
•
仕事用アプリケーションおよび個人用アプリはデバイスに保存された
VPN プロファイルを使用して、組織のネットワークに接続できます。 VPN
プロファイルの per-app VPN を有効化して、このプロファイルを指定した
仕事用アプリケーションに制限することができます。
•
Secure Work Space を持つデバイス上のセキュリティ保護されたアプリは、
デフォルトではエンタープライズ接続を使用して、組織のネットワークに
接続します。エンタープライズ接続を無効にすると、セキュリティ保護さ
れたアプリはデバイスで使用可能な接続を使えるようになります。
KNOX Workspace
•
仕事用アプリケーションおよび個人用アプリはデバイスに保存された
VPN プロファイルを使用して、組織のネットワークに接続できます。
•
VPN プロファイルを使用できるようにするには、ユーザーは適切な VPN ク
ライアントアプリをデバイスにインストールする必要があります。サ
ポートされている VPN クライアントアプリは Cisco AnyConnect と Juniper
です。
メモ: Juniper アプリがサポートしているのは SSL VPN のみです。
VPN プロファイルの作成
必要となるプロファイルの設定は、各デバイスタイプと選択する VPN 接続タイプおよび認証タイプに応じて異なります。
メモ: 一部のデバイスでは、xAuth パスワードを保存できない場合があります。詳細については、www.blackberry.com/go/
kbhelp にアクセスし、KB30353 を参照してください。
作業を始める前に:
•
デバイスが仕事用 VPN 接続に対して証明書に基づく認証を使用している場合は、CA 証明書プロファイルを作成
して、それをユーザーアカウント、ユーザーグループ、またはデバイスグループに割り当てます。デバイスにク
ライアント証明書を送信するには、SCEP プロファイル、共有証明書プロファイル、またはユーザー資格情報プ
ロファイルを作成し、それを VPN プロファイルに関連付けます。
97
仕事用接続
•
デバイスが仕事用 VPN 接続のためにプロキシサーバーを使用している場合は、プロキシプロファイルを作成して
VPN プロファイルに関連付けます。
•
KNOX Workspace デバイスの場合、適切な VPN クライアントアプリをアプリリストに追加し、それらをユーザー
アカウント、ユーザーグループ、またはデバイスグループに割り当てます。サポートされている VPN クライア
ントアプリは Cisco AnyConnect と Juniper です。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2. ［VPN］の横の
をクリックします。
3.
VPN プロファイルの名前と説明を入力します。この情報はデバイスに表示されます。
4.
オプションで、プロファイルを設定しないデバイスタイプのチェックボックスをオフにします。
5.
次の操作を実行します。
a.
デバイスタイプのタブをクリックします。
b.
各プロファイル設定には、組織の環境内の VPN 設定に一致する適切な値を設定します。組織によって、VPN に
接続するためにユーザーがユーザー名とパスワードを入力することが義務付けられており、プロファイルが複
数のユーザーに対応している場合は、
［ユーザー名］フィールドに %UserName% と入力します。
6.
組織内のデバイスタイプごとに手順 5 を繰り返します。
7. ［追加］をクリックします。
関連情報
プロファイルを使用した証明書の管理, （70 ページ）
VPN プロファイル設定, （382 ページ）
BES12 と組織の Entrust ソフトウェアとの統合, （75 ページ）
iOS デバイスでの VPN オンデマンドの有効化
VPN オンデマンドによって、iOS デバイスが特定のドメイン内の VPN に自動的に接続するかどうかを指定できます。
SCEP または共有証明書などの証明書は、特定のドメインにアクセスする場合にユーザーのデバイスに認証を提供しま
す。たとえば、組織のドメインを指定して、ユーザーが VPN オンデマンドを使用してイントラネットのコンテンツにア
クセスすることを許可できます。
関連情報
iOS：VPN プロファイル設定, （395 ページ）
iOS アプリの per-app VPN の有効化
per-app VPN を使用して、デバイスで、どの仕事用アプリケーションとセキュリティ保護されたアプリがデータ転送に VPN
を使用する必要があるかを指定できます。 per-app VPN は、特定の仕事用トラフィック（たとえば、ファイアウォール内
のアプリケーションサーバーまたは Web ページへのアクセス）のみが VPN を使用できるようにすることで、組織の VPN
98
仕事用接続
の負荷の軽減を促進します。この機能は、ユーザーのプライバシもサポートし、VPN 経由で個人用トラフィックを送信し
ないため、個人用アプリの接続速度も高めます。
その後、VPN プロファイルをアプリまたはアプリグループに割り当てて、アプリと per-app VPN を関連付けます。
関連情報
iOS：VPN プロファイル設定, （395 ページ）
BES12 が割り当てる per-app VPN 設定を選択する方法
1 つの VPN プロファイルのみをアプリまたはアプリグループに割り当てることができます。 BES12 は、次のルールを使用
して、どの per-app VPN 設定をアプリに割り当てるかを決定します。
•
アプリに直接関連付けられた per-app VPN 設定は、アプリグループによって間接的に関連付けられた per-app
VPN 設定より優先されます。
•
ユーザーに直接関連付けられた per-app VPN 設定は、ユーザーグループによって間接的に関連付けられた perapp VPN 設定より優先されます。
•
必須のアプリに割り当てられた per-app VPN 設定は、同じアプリのオプションのインスタンスに割り当てられた
per-app VPN 設定より優先されます。
•
次の条件が満たされる場合は、アルファベット順のリストで先に現れるユーザーグループ名に関連付けられた
per-app VPN 設定が優先されます。
◦
アプリが複数のユーザーグループに割り当てられている
◦
同じアプリがユーザーグループ内に表示される
◦
アプリが同じ方法で割り当てられている（単一のアプリとして、またはアプリグループとして）
◦
アプリがすべての割り当てで同じ種別である（必須またはオプション）
たとえば、Cisco WebEx Meetings をオプションアプリとしてユーザーグループの Development および Marketing
に割り当てます。ユーザーが両方のグループに属する場合、Development グループの per-app VPN 設定がその
ユーザーの WebEx Meetings アプリに適用されます。
per-app VPN プロファイルがデバイスグループに割り当てられている場合は、デバイスグループに属するデバイスのユー
ザーアカウントに割り当てられている per-app VPN プロファイルより優先されます。
デバイスのエンタープライズ接続を設定する
エンタープライズ接続プロファイルを使用して、BlackBerry 10 デバイスと、Secure Work Space を備えた iOS および
Android デバイスを組織のリソースに接続する方法を制御できます。エンタープライズ接続が有効な場合は、デバイス管
理や、メールサーバー、認証局、その他の Web サーバーまたはコンテンツサーバーなどのサードパーティアプリケーショ
ン用に、組織のファイアウォールの内部からインターネットへの直接接続を開くことは避けます。エンタープライズ接続
はすべてのトラフィックを BlackBerry Infrastructure 経由で BES12 へ送信します。
99
仕事用接続
BlackBerry 10 用 BlackBerry Secure Connect Plus、KNOX Workspace、および Android for Work デバイスを有効にする場合
も、エンタープライズ接続プロファイルを使用します。 BlackBerry Secure Connect Plus の詳細については、
「仕事用リソー
スへセキュリティ保護された接続を行うために BlackBerry Secure Connect Plus を使用」を参照してください。
エンタープライズ接続プロファイルをユーザーまたはグループに割り当てない場合は、デフォルトのエンタープライズ接
続プロファイルが割り当てられます。エンタープライズ接続および BlackBerry Secure Connect Plus は、すべてのサポー
トされるデバイスのデフォルトのエンタープライズ接続プロファイルで有効になっています。デフォルトのエンタープ
ライズ接続プロファイルは編集できますが、削除は実行できません。
エンタープライズ接続が無効な場合、Secure Work Space を備えた iOS または Android デバイス上のアプリは、内部 Wi-Fi
ネットワークまたはデバイスに設定された VPN 接続を使用して組織のリソースに接続します。
BlackBerry 10 デバイスでは、エンタープライズ接続は常に有効です。これらのデバイスは、ネットワークの可用性に基
づいて最も効率的なパスを選択します。
エンタープライズ接続を有効にした各デバイスタイプにプロキシプロファイルを割り当てることができます。
エンタープライズ接続プロファイルの作成
デフォルトでは、BES12 はデフォルトのエンタープライズ接続プロファイルをすべてのユーザーに割り当てます。デフォ
ルトのプロファイルを編集したり、または新しいエンタープライズ接続プロファイルを作成できます。次のデバイスがエ
ンタープライズ接続を使用します。
•
BlackBerry 10
•
Secure Work Space を搭載した iOS
•
Secure Work Space を搭載した Android
BlackBerry 10 用 BlackBerry Secure Connect Plus、KNOX Workspace、および Android for Work デバイスを有効にする場合
も、エンタープライズ接続プロファイルを使用します。 BlackBerry Secure Connect Plus の詳細については、
「仕事用リソー
スへセキュリティ保護された接続を行うために BlackBerry Secure Connect Plus を使用」を参照してください。
作業を始める前に: 必要に応じて、プロキシプロファイルを作成します。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2. ［エンタープライズ接続］の横の
をクリックします。
3.
プロファイルの名前と説明を入力します。エンタープライズ接続プロファイルごとに固有の名前が必要です。
4.
次の操作を実行します。
a.
デバイスタイプのタブをクリックします。
b.
iOS または Android デバイスにエンタープライズ接続を使用させたくない場合は、デバイスのエンタープライズ
接続を無効にします。
c.
エンタープライズ接続が有効になっていて、プロキシを使用する場合は、プロキシプロファイルを選択します。
100
仕事用接続
d.
BlackBerry 10 用 BlackBerry Secure Connect Plus、KNOX Workspace、または Android for Work デバイスを有効に
する場合は、
［BlackBerry Secure Connect Plus を有効化］チェックボックスがオンであることを確認します。
5.
組織内のデバイスタイプごとに手順 4 を繰り返します。
6. ［追加］をクリックします。
終了したら: プロファイルをランク付けします。
関連情報
仕事用リソースへセキュリティ保護された接続を行うために BlackBerry Secure Connect Plus を使用, （105 ページ）
デバイスでシングルサインオン認証を設定
シングルサインオンプロファイルを使用して、BlackBerry 10 デバイスと特定の iOS デバイスを有効にして、組織のネット
ワーク内のドメインおよび Web サービスでの認証を自動的に実行できます。シングルサインオンプロファイルを割り当
てると、ユーザーは、指定したセキュリティ保護されたドメインに初めてアクセスを試行したときに、ユーザー名とパス
ワードの入力が求められます。ログイン情報はユーザーのデバイスに保存され、ユーザーがプロファイルに指定されたセ
キュリティ保護されたドメインにアクセスを試行すると自動的に使用されます。ユーザーがパスワードを変更した場合
は、セキュリティ保護されたドメインへの次回アクセス試行時に、パスワードの入力が求められます。
SCEP プロファイルを使用して BlackBerry 10 デバイスに送信する証明書に信頼済みドメインを指定するために、シングル
サインオンプロファイルを使用することもできます。信頼済みドメインを指定しておくと、BlackBerry 10 ユーザーは信
頼済みドメインにアクセスするときに、必要な証明書を選択できるようになります。
シングルサインオンプロファイルは、次の認証の種類をサポートしています。
認証の種類
•
Kerberos
•
NTLM
•
SCEP 証明書の信頼
デバイス OS
適用先
iOS
•
ブラウザーとアプリ
•
どのアプリがプロファイルを使用できるかを制限
できる
BlackBerry 10 OS
•
仕事用領域内のブラウザーとアプリ
BlackBerry 10 OS
•
仕事用領域内のブラウザーとアプリ
済みドメインを指
定
101
仕事用接続
前提条件：BlackBerry 10 デバイスで Kerberos 認証を使用す
る
特定のドメインに対して Kerberos 認証を設定するために、組織の Kerberos 設定ファイル（krb5.conf）をアップロードで
きます。 BES12 は、Kerberos の Heimdal 実装をサポートします。
設定ファイルが次の要件を満たしていることを確認します。
•
Kerberos 設定はデフォルトでは、UDP ではなく TCP を使用する必要があります。 KDC ホストのプレフィックス
tcp/ を使用します。
•
組織が VPN を使用している場合は、VPN ゲートウェイで KDC へのトラフィックを許可する必要があります。
iOS 8 以降での証明書に基づく認証
iOS 8.0 以降を実行するデバイスの場合、証明書を使用して、組織のネットワーク内のドメインおよび Web サービスに対
して iOS デバイスを認証できます。既存の共有の証明書プロファイル、SCEP プロファイル、またはユーザー資格情報プ
ロファイルをシングルサインオンプロファイルに追加できます。 iOS デバイス上のブラウザーまたはアプリが証明書に基
づくシングルサインオンを使用する場合、ユーザーは自動的に認証され（証明書が有効なかぎり）、指定されたセキュリ
ティ保護されたドメインにアクセスするときにログイン情報を入力する必要はありません。
シングルサインオンプロファイルの作成
作業を始める前に:
•
BlackBerry 10 デバイスの Kerberos 認証を設定する場合は、組織の Kerberos 設定ファイル（krb5.conf）を検索し
ます。
•
iOS 8.0 以降を実行するデバイスに対して証明書に基づく認証を使用する場合は、必須の共有の証明書プロファイ
ルまたは SCEP プロファイルを作成します。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2. ［シングルサインオン］の横の
をクリックします。
3.
プロファイルの名前と説明を入力します。
4.
次のタスクを実行します。
タスク
手順
iOS デバイスの Kerberos 認証を 1. ［iOS］タブをクリックします。
設定する
2. ［Kerberos］の下のをクリックします。
3. ［名前］フィールドに、設定の名前を入力します。
102
仕事用接続
タスク
手順
4. ［プリンシパル名］フィールドに、<primary>/<instance>@<realm> 形式で
Kerberos プリンシパルの名前を入力します（たとえば、user/
[email protected]）。
5. ［領域］フィールドで、Kerberos 領域を大文字で入力します（たとえば、
EXAMPLE.COM）。
6. ［URL プレフィックス］フィールドで、デバイスでの認証を実行するサイト
の URL プレフィックスを入力します。プレフィックスは、http:// または
https:// で始める必要があり、ワイルドカード値（*）を含めることができま
す（たとえば、https://www.blackberry.example.com/*）。
7.
さらに URL プレフィックスを指定するには、をクリックして、フィールド
を追加します。
8.
設定を特定のアプリに制限する場合は、［アプリ ID］の横の
をクリックし
ます。アプリバンドル ID を入力します。 ID を複数のアプリと一致させるた
めに、ワイルドカード値（*）を使用できます（たとえば、com.company.*）。
9.
さらにアプリ ID を指定するには、
をクリックして、フィールドを追加し
ます。
10. iOS 8.0 以降を実行するデバイスで証明書に基づく認証を使用する場合は、
［資格情報］ドロップダウンリストで、
［証明書］、
［SCEP］、または［ユーザー
資格情報］をクリックします。証明書のドロップダウンリストで、使用する
証明書プロファイルをクリックします。
11. ［追加］をクリックします。
12. 必要に応じて、手順 2～11 を繰り返して、別の Kerberos 設定を追加します。
BlackBerry 10 デバイスの
1. ［BlackBerry］タブをクリックします。
Kerberos 認証を設定する
2. ［参照］をクリックします。組織の Kerberos 設定ファイル（krb5.conf）に移
動して、選択します。
BlackBerry 10 デバイス用 SCEP 1. ［BlackBerry］タブをクリックします。
証明書での NTLM 認証または信 2.
［信頼済みドメイン］の下のをクリックします。
頼済みドメインの設定
3. ［名前］フィールドに、設定の名前を入力します。
4. ［ドメイン］フィールドに、信頼済みサブドメイン、または自動的に認証す
るためにドメイン資格情報を使用できる個々のホストを入力します。サー
バー名を、FQDN、ホスト名、エイリアス、または IP アドレスとして入力し
ます。 DNS 名には、ワイルドカード（*）を含めることができます。
103
仕事用接続
タスク
手順
5.
さらにサブドメインを指定するには、
をクリックして、フィールドを追加
します。
6. ［追加］をクリックします。
7.
必要に応じて、手順 2～6 を繰り返して、別の信頼済みドメインを追加しま
す。
5. ［追加］をクリックします。
終了したら: 複数のシングルサインオンプロファイルを作成する場合は、プロファイルをランク付けします。
関連情報
共有の証明書プロファイルの作成, （74 ページ）
SCEP プロファイルの作成, （72 ページ）
104
仕事用接続
仕事用リソースへセキュリティ保護され
た接続を行うために BlackBerry Secure
Connect Plus を使用
16
BlackBerry Secure Connect Plus は BES12 コンポーネントで、BlackBerry 10、Samsung KNOX Workspace、および Android
for Work デバイスの仕事用領域アプリと、組織のネットワークの間にセキュリティ保護された IP トンネルを提供します。
このトンネルは組織のファイアウォールの内部にある仕事用リソースへのアクセスをユーザーに提供しながら、標準プロ
トコルとエンドツーエンド暗号化を使用して、データのセキュリティを確保します。
BlackBerry Secure Connect Plus とサポートされているデバイスは、セキュリティで保護された IP トンネルが組織のネット
ワークへの接続に利用可能な最適なオプションである場合に、このトンネルを確立します。 Wi-Fi プロファイル、または
VPN プロファイルの割り当てられているデバイスが仕事用 Wi-Fi ネットワーク、または VPN にアクセスできる場合、この
デバイスはこれらの方法を使って、ネットワークに接続します。これらのオプションが使用できない場合（たとえば、
ユーザーがオフサイトにいて、仕事用 Wi-Fi ネットワークの範囲から外れている場合）、BlackBerry Secure Connect Plus と
このデバイスがセキュリティで保護された IP トンネルを確立します。
サポートされているデバイスは BlackBerry Infrastructure 経由でセキュリティで保護されたトンネルを確立するために
BES12 と通信します。デバイス 1 つにつき、トンネルが 1 つ確立されます。このトンネルは標準の IPv4 プロトコル（TCP
と UDP）をサポートします。トンネルが開いている限り、この仕事用領域にあるアプリはすべて、ネットワークリソース
にアクセスできます。トンネルが必要なくなったら（たとえば、ユーザーが仕事用 Wi-Fi ネットワークの範囲に戻ってき
たら）、トンネルは終了します。
BlackBerry Secure Connect Plus には次のような利点があります。
•
デバイスと BES12 の間でやりとりされる IP トラフィックはエンドツーエンドで暗号化されるため、仕事用デー
タのセキュリティが確保されます。
•
デバイスのユーザーが仕事用 Wi-Fi ネットワークや VPN にアクセスできないときに、 BlackBerry Secure Connect
Plus が安全で信頼性のある接続を仕事用リソースに提供します。
•
BlackBerry Secure Connect Plus は組織のファイアウォール内部にインストールされるので、データは組織のセ
キュリティ標準に準拠している信頼済みゾーンを移動します。
BlackBerry Secure Connect Plus を有効にする
手順
BlackBerry Secure Connect Plus を有効にする場合は、次の操作を実行します。
105
仕事用接続
手順
操作
BlackBerry Secure Connect Plus を使用するために、組織の BES12 ドメインが要件を満たしているこ
とを確認します。
デフォルトのエンタープライズ接続プロファイルまたは作成したカスタムエンタープライズ接続プ
ロファイルで、BlackBerry Secure Connect Plus が有効になっていることを確認します。
オプションで、BES12 Secure Connect Plus アプリの DNS 設定を指定します。
ユーザーにエンタープライズ接続プロファイルを割り当てます。
関連情報
BlackBerry Secure Connect Plus を有効化する, （109 ページ）
BES12 Secure Connect Plus アプリ DNS 設定を指定, （110 ページ）
ユーザーグループへのプロファイルの割り当て, （198 ページ）
ユーザーアカウントへのプロファイルの割り当て, （213 ページ）
サーバーとデバイスの要件, （106 ページ）
サーバーとデバイスの要件
BlackBerry Secure Connect Plus を使用するには、組織の環境が次の要件を満たしていなければなりません。
BES12 ドメインでは：
•
組織のファイアウォールは、ポート 3101 を介した <region>.turnb.bbsecure.com、および <region>.bbsecure.com
へのアウトバウンド接続を許可する必要があります。プロキシサーバーを使用するように BES12 を設定してい
る場合は、ポート 3101 を経由して、これらのサブドメインに接続することをこのプロキシサーバーが許可して
いることを確認します。ファイアウォールで使用するドメインおよび IP アドレスの詳細については、
www.blackberry.com/go/kbhelp にアクセスし、記事 KB36470 を参照してください。
•
個々の BES12 インスタンスで、BlackBerry Secure Connect Plus コンポーネントが実行されていなければなりませ
ん。
サポート対象のデバイスでは：
デバイス
BlackBerry 10
要件
•
BlackBerry 10 OS バージョン 10.3.2 以降
•
次のいずれかのアクティベーションタイプ：
106
仕事用接続
デバイス
Samsung KNOX Workspace
Android for Work
要件
◦
仕事用および個人用 - 会社
◦
仕事用領域専用
◦
仕事用および個人用 - 規制
•
Android OS バージョン 5.0 以降
•
Samsung KNOX MDM 5.0 以降
•
Samsung KNOX 2.1 以降
•
次のいずれかのアクティベーションタイプ：
◦
仕事用領域専用 - Samsung KNOX
◦
仕事用および個人用 - フルコントロール - Samsung KNOX
•
Android OS 5.1 以降
•
仕事用および個人用 - ユーザープライバシー（Android for Work - Premium）
アクティベーションタイプ
アクティベーションタイプに必要なライセンスの詳細については、help.blackberry.com/detectLang/bes12/ にアクセスし、
ライセンス関連の資料を参照してください。
データフロー：BlackBerry Secure Connect Plus
はセキュリティで保護された IP トンネルをど
のように作成するか
1.
BES12 およびデバイスが、仕事用領域と組織のネットワークの接続に使用できる最善の方法はセキュリティで保護さ
れたトンネルであると判断します。
2.
デバイスの発信した信号は TLS トンネルを通過し、ポート 443 を経由して BlackBerry Infrastructure へ送られ、セキュ
リティで保護されたトンネルを仕事用ネットワークにリクエストします。この信号は、デフォルトで FIPS-140 認定
Certicom ライブラリと RSA および ECC キーの暗号化スイートを使用して暗号化されています。シグナリングトン
ネルはエンドツーエンドで暗号化されています。
3.
BlackBerry Secure Connect Plus は、BlackBerry Infrastructure からポート 3101 を経由して信号を受信します。
107
仕事用接続
4.
デバイスおよび BlackBerry Secure Connect Plus はトンネルのパラメータをネゴシエートし、BlackBerry Infrastructure
を経由し TURN 上にセキュリティで保護されたトンネルを確立します。このトンネルは、DTLS を使ってエンドツー
エンドで認証および暗号化されています。
•
デバイス 1 つにつき、トンネルが 1 つ確立されます。仕事用領域にあるアプリケーションはすべて、この
トンネルを使って、仕事用リソースに接続できます。
5.
BlackBerry Secure Connect Plus はネットワークリソースとの間で、IP トラフィック（データパケット）をやり取りし
ます。
•
このトンネルは標準の IPv4 プロトコル（TCP と UDP）をサポートします。
•
BlackBerry Secure Connect Plus は、FIPS-140 認定 Certicom ライブラリと RSA および ECC キーの暗号化ス
イートを使用して、トラフィックの暗号化および復号化を行います。］をクリックします。
6.
トンネルが仕事用領域アプリとネットワークリソースを接続するための最善の方法でなくなると、BlackBerry Secure
Connect Plus はトンネルを終了します。
BlackBerry Secure Connect Plus は 1 回の TURN 割り当てで、BlackBerry Infrastructure に複数のトンネルを作成できます。
トンネルはそれぞれ異なるデバイスにより使用され、独自の ID と DTLS コンテキストを持ちます。
BlackBerry Secure Connect Plus の負荷分散と
高可用性
ドメインに複数の BES12 インスタンスが含まれる場合は、それぞれのインスタンス内の BlackBerry Secure Connect Plus
コンポーネントはデータを実行および処理しています。データはドメイン内のすべての BlackBerry Secure Connect Plus
コンポーネントに負荷分散されています。
高可用性フェールオーバーは、BlackBerry 10、Samsung KNOX Workspace、および Android for Work デバイスで利用できま
す。デバイスがセキュリティ保護されたトンネルを使用しており、現在の BlackBerry Secure Connect Plus コンポーネント
が利用不可能になった場合は、BlackBerry Infrastructure はその他の BES12 インスタンス上の BlackBerry Secure Connect
Plus コンポーネントにデバイスを割り当てます。中断を最小限に抑え、デバイスはセキュリティ保護されたトンネルの使
用を再開します。
BlackBerry Secure Connect Plus の有効化と設
定
デバイスユーザー向けに BlackBerry Secure Connect Plus を有効化して設定するには、このセクションのタスクを完了しま
す。
108
仕事用接続
エンタープライズ接続プロファイルを使用して、BlackBerry Secure Connect Plus を有効にします。 BlackBerry 10 デバイ
スでは、BlackBerry Secure Connect Plus はエンタープライズ接続機能に関連しています。 BlackBerry 10 デバイスでは、
エンタープライズ接続を無効にできません。 Android デバイスでは、エンタープライズ接続機能は Secure Work Space デ
バイスに固有で、BlackBerry Secure Connect Plus は Samsung KNOX Workspace および Android for Work デバイスに固有で
す。
BlackBerry Secure Connect Plus を有効化する
デバイスに BlackBerry Secure Connect Plus の使用を許可する場合は、BlackBerry Secure Connect Plus を有効にしたエン
タープライズ接続プロファイルをユーザーに割り当てる必要があります。デフォルトでは、BlackBerry Secure Connect
Plus は BlackBerry 10 に対して有効化され、Android デバイスをサポートしています。次のいずれかを実行できます。
•
BlackBerry Secure Connect Plus がデフォルトのエンタープライズ接続プロファイルで有効化されていることを
確認します。ユーザーアカウントにエンタープライズ接続プロファイルが直接、またはグループメンバーシップ
経由で割り当てられていない場合、BES12 はデフォルトのプロファイルを割り当てます。
•
次の手順に従って、カスタムのエンタープライズ接続プロファイルを作成し、ユーザーまたはグループに割り当
てます。
アクティベーション後、このエンタープライズ接続プロファイルをデバイスに適用すると、BES12 は、BlackBerry Secure
Connect Plus の使用に必要な SCEP プロファイルと VPN プロファイルをこのデバイスに送信します。また、 BES12 は
BES12 Secure Connect Plus アプリをこのデバイスにインストールします（Android for Work デバイスでは、このアプリは
Google Play から自動的にインストールされます）。 BlackBerry 10 デバイスでは、このアプリは非表示になっていて、ユー
ザーの介入は必要ありません。
1.
管理コンソールのメニューバーで、
［ポリシーとプロファイル］をクリックします。
2.
左ペインで、
［エンタープライズ接続］の横の
3.
次の操作のいずれかを実行します。
•
をクリックします。
［BlackBerry］タブで、［BlackBerry Secure Connect Plus を有効化］チェックボックスをがオンになってい
ることを確認します。
•
［Android］タブで、
［BlackBerry Secure Connect Plus を有効化］チェックボックスをがオンになっているこ
とを確認します。
4.
エンタープライズ接続トラフィックが仕事用ネットワークに到達する前に、このトラフィックをプロキシサーバー経
由で BlackBerry 10 デバイスから BlackBerry Secure Connect Plus へ転送する場合は、
［BlackBerry］タブの［プロキシ
プロファイル］ドロップダウンリストで、該当するプロキシプロファイルを選択します。
［Android］タブでは、このプロキシプロファイル設定は BlackBerry Secure Connect Plus を使用しているデバイスで
はなく、Secure Work Space を使用しているデバイスのエンタープライズ接続にのみ適用されます。
5. ［追加］をクリックします。
6.
プロファイルをグループまたはユーザーアカウントに割り当てます。
109
仕事用接続
終了したら:
•
複数のエンタープライズ接続プロファイルを作成した場合は、プロファイルをランク付けします。
•
Samsung KNOX Workspace および Android for Work デバイスでは、VPN としての実行、およびデバイスのプライ
ベートキーへのアクセスを BES12 Secure Connect Plus アプリに許可することを求めるプロンプトがユーザーに
向けて表示されます。この要求に同意するよう、ユーザーに指示してください。ユーザーはこのアプリケー
ションを開いて、接続ステータスを確認することができます。 BlackBerry Secure Connect Plus を使用するため
に、ユーザーが他に何かする必要はありません。
BES12 Secure Connect Plus アプリ DNS 設定を指定
BlackBerry 10、Samsung KNOX Workspace、および Android for Work デバイスの BES12 Secure Connect Plus アプリにおい
て、セキュリティで保護されたトンネル接続に使用する DNS サーバーを指定できます。また、DNS 検索サフィックスも
指定できます。 DNS 設定を指定しなかった場合、アプリは BlackBerry Secure Connect Plus コンポーネントをホストして
いるコンピューターから DNS アドレスを取得し、デフォルトの検索サフィックスはそのコンピューターの DNS ドメイン
になります。
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、［インフラストラクチャ］ > ［BlackBerry Secure Connect Plus］をクリックします。
3. ［DNS サーバーを手動設定］チェックボックスをオンにし、
をクリックします。
4.
ドット付き 10 進法（例：192.0.2.0）で DNS サーバーアドレスを指定します。［追加］をクリックします。
5.
必要に応じて、手順 3～4 を繰り返して、さらに DNS サーバーを追加します。［DNS サーバー］の表で、
［ランキン
グ］列の矢印をクリックし、DNS サーバーの優先度を設定します。
6.
DNS 検索サフィックスを指定する場合は、次の手順に従って操作します。
a.
b.
7.
［DNS 検索サフィックスの手動管理］チェックボックスをオンにし、
をクリックします。
DNS 検索サフィックス（例：domain.com）を入力します。［追加］をクリックします。
必要に応じて、手順 6 を繰り返して、さらに DNS 検索サフィックスを追加します。［DNS 検索サフィックス］の表
で、
［ランキング］列の矢印をクリックし、DNS サーバーの優先度を設定します。
8. ［保存］をクリックします。
Wi-Fi ネットワークが利用可能な場合に BlackBerry Secure
Connect Plus 経由で BlackBerry 10 の仕事用領域トラフィッ
クを直接実行する
BES12 を使用して Wi-Fi プロファイルを設定し、BlackBerry 10 デバイスに割り当てる場合は、BlackBerry Secure Connect
Plus よりも仕事用 Wi-Fi ネットワークを優先します。仕事用 Wi-Fi ネットワークが利用できない場合は、デバイスに VPN
110
仕事用接続
プロファイルが割り当てられないか、デバイスは BlackBerry Secure Connect Plus を使用します。デバイスが仕事用 Wi-Fi
ネットワークにアクセスできる場合でも、BlackBerry Secure Connect Plus 経由ですべての仕事用領域トラフィックを直接
実行するオプションもあります。組織のセキュリティ基準により、Wi-Fi ネットワーク経由の仕事用リソースへのデバイ
スの接続が禁止されている場合は、このオプションの使用を選択できます。
メモ: この機能を有効にすると、通常仕事用 Wi-Fi ネットワークを使用する、仕事用領域のトラフィックはすべてセキュリ
ティ保護された接続を介して BlackBerry Infrastructure に直接実行されます。この設定は、組織のデータ使用量とネット
ワークコストに影響を与える場合があります。この機能が組織が優先する設定であることを、有効にする前に確認しま
す。
作業を始める前に: BlackBerry 10 デバイスユーザーに割り当てられている IT ポリシーで、［仕事用アプリにネットワーク
アクセス制御を強制する］IT ポリシールールが未選択になっていることを確認します。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2.
左ペインで、
［Wi-Fi］を展開して、BlackBerry 10 デバイスユーザーに割り当てられている Wi-Fi プロファイルをクリッ
クします。
3.
をクリックします。
4. ［BlackBerry］タブの［関連付けられたプロファイル］セクションで、［仕事用データに BlackBerry Secure Connect
Plus 接続とエンタープライズ接続プロファイルを使用します。］チェックボックスをオンにします。
5. ［保存］をクリックします。
終了したら: 複数の Wi-Fi プロファイルを作成および割り当てた場合は、必要に応じてこのタスクを繰り返します。
関連情報
BlackBerry 10：Wi-Fi プロファイル設定, （360 ページ）
BlackBerry Secure Connect Plus のトラブル
シューティング
BlackBerry Secure Connect Plus Adapter が「識別されていな
いネットワーク」状態になり、動作を停止した
原因
この問題は、BES12 をホストするコンピューターを再起動したときに発生することがあります。
解決策 - Windows Server 2008 R2 および Windows Server 2008 R2 SP1
1.
Server Manager で、
［役割］ > ［ネットワークポリシーとアクセスサービス］の順に展開します。［ルーティングと
リモートアクセス］を右クリックし、［ルーティングとリモートアクセスの無効化］をクリックします。
111
仕事用接続
2. ［ルーティングとリモートアクセス］を右クリックし、
［ルーティングとリモートアクセスの構成と有効化］をクリッ
クします。
3.
次のオプションを選択して、セットアップウィザードを完了します。
a
［設定］画面で、［ネットワークアドレス変換（NAT）］を選択します。
b
［NAT インターネット接続］画面で、［インターネットへの接続にパブリックインターフェイスを使用する］を
選択します。ネットワークインターフェイスのリストに BlackBerry Secure Connect Plus が表示されているこ
とを確認します。
4. ［役割］ > ［ネットワークポリシーとアクセスサービス］ > ［ルーティングとリモートアクセス］ > ［IPv4］の順
に展開し、
［NAT］をクリックします。［ローカルエリア接続］プロパティを開き、［インターネットに接続される
パブリックインターフェイス］と［このインターフェイスで NAT を有効にする］をオンにします。［OK］をクリッ
クします。
5. ［BlackBerry Secure Connect Plus］プロパティを開き、
［プライベートネットワークに接続されるプライベートイン
ターフェイス］をオンにします。［OK］をクリックします。
6. ［ルーティングとリモートアクセス］を右クリックし、
［すべてのタスク］ > ［再起動］をクリックします。
7.
Windows Services で、［BES12 – BlackBerry Secure Connect Plus］サービスを再起動します。
Network Connections では、BlackBerry Secure Connect Plus Adapter が正常に接続するまでには、数分間かかることがあり
ます。
Windows KB 記事「NAT functionality fails on a Windows Server 2008 R2 SP1-based RRAS server」のホットフィックスをダウ
ンロードし、インストールします。
解決策 - Windows Server 2012
1.
Server Manager で、
［管理］ > ［役割と機能の追加］をクリックします。［機能］画面が表示されるまで［次へ］を
クリックします。［リモートサーバー管理ツール］ > ［役割管理ツール］の順に展開し、［リモートアクセス管理
ツール］を選択します。ウィザードを実行して、ツールをインストールします。
2. ［ツール］ > ［リモートアクセス管理］の順にクリックします。
3. ［設定］の［DirectAccess と VPN］をクリックします。
4. ［VPN］の［RRAS 管理を開く］をクリックします。
5. ［ルーティングとリモートアクセスサーバー］を右クリックし、
［ルーティングとリモートアクセスの無効化］をク
リックします。
6. ［ルーティングとリモートアクセスサーバー］を右クリックし、
［ルーティングとリモートアクセスの構成と有効化］
をクリックします。
7.
次のオプションを選択して、セットアップウィザードを完了します。
a
［設定］画面で、［ネットワークアドレス変換（NAT）］を選択します。
112
仕事用接続
b
［NAT インターネット接続］画面で、［インターネットへの接続にパブリックインターフェイスを使用する］を
選択します。ネットワークインターフェイスのリストに BlackBerry Secure Connect Plus が表示されているこ
とを確認します。
8. ［役割］ > ［ネットワークポリシーとアクセスサービス］ > ［ルーティングとリモートアクセス］ > ［IPv4］の順
に展開し、［NAT］をクリックします。［ローカルエリア接続］プロパティを開き、［インターネットに接続される
パブリックインターフェイス］と［このインターフェイスで NAT を有効にする］をオンにします。［OK］をクリッ
クします。
9. ［BlackBerry Secure Connect Plus］プロパティを開き、［プライベートネットワークに接続されるプライベートイン
ターフェイス］をオンにします。［OK］をクリックします。
10. ［ルーティングとリモートアクセスサーバー］を右クリックし、
［すべてのタスク］ > ［再起動］をクリックします。
11. Windows Services で、［BES12 – BlackBerry Secure Connect Plus］サービスを再起動します。
BlackBerry Secure Connect Plus のログファイルを表示
BlackBerry Secure Connect Plus に関するデータは次の 2 つのログファイルに記録されます。
•
BSCP：BlackBerry Secure Connect Plus サーバーコンポーネントに関するデータを記録します
•
BSCP-TS：BES12 Secure Connect Plus アプリとの接続に必要なデータを記録します
これらのログファイルは <drive>:\Program Files\BlackBerry\BES\Logs\<yyyymmdd> にあります。
目的
ログファイル例
BlackBerry Secure Connect
BSCP
2015-01-19T13:17:47.540-0500 - BSCP {TcpClientConnectorNio#2}
logging.feature.bscp.service|logging.component.bscp.pss.bcp [{}] - DEBUG
Received Ping from [id: 0x60bce5a3, /10.90.84.22:28231 =>
stratos.bcp.bblabs.rim.net/206.53.155.152:3101], responding with Pong.
2015-01-19T13:18:22.989-0500 - BSCP {ChannelPinger#1}
logging.feature.bscp.service|logging.component.bscp.pss.bcp [{}] - DEBUG
Sending Ping to [id: 0xb4a1677a, /10.90.84.22:28232 =>
stratos.bcp.bblabs.rim.net/206.53.155.152:3101]
BSCP-TS
Plus がデバイスの BES12
47: [14:13:21.231312][][3][AsioTurnSocket-1] Connected,
host=68-171-243-141.rdns.blackberry.net
Secure Connect Plus アプリ
48: [14:13:21.239312][][3][AsioTurnSocket-1] Creating TURN allocation
Plus が BlackBerry
Infrastructure に接続されて
いるかどうかを確認する
BlackBerry Secure Connect
からコールを受信する準備
ができていることを確認す
る
49: [14:13:21.405121][][3][AsioTurnSocket-1] TURN allocation created
113
仕事用接続
目的
ログファイル例
デバイスがセキュリティ保
護されたトンネルを使用し
ていることを確認する
BSCP-TS
74: [10:39:45.746926][][3][Tunnel-2FFEC51E] Sent: 2130.6 KB (1733),
Received: 201.9 KB (1370), Running: 00:07:00.139249
関連情報
ログファイルの使用, （276 ページ）
114
組織の標準とその他の条件を定義してデバイスに強制します。
Simple
デバイスの標準
デバイスの標準
デバイスの組織の標準の設定
17
プロファイルを使用して、組織内のデバイスに一定の標準を強制できます。異なるプロファイルが、コンプライアンス
ルール、Web コンテンツ制限、またはアプリ制限などの特定の設定をサポートします。同一のプロファイルで、BlackBerry
10、iOS、Android、および Windows Phone デバイスの設定を指定してから、そのプロファイルをユーザーアカウント、
ユーザーグループ、またはデバイスグループに割り当てることができます。
組織のデバイスの標準を設定する手順
組織のデバイスの標準を設定する場合は、次の操作を実行します。
手順
操作
プロファイルを作成して、特定の標準をデバイスに強制します。
必要に応じて、プロファイルをランク付けします。
プロファイルをユーザーアカウント、ユーザーグループ、またはデバイスグループに割り当てます。
プロファイルを使用した組織の標準の管理
ポリシーおよびプロファイルライブラリで使用可能なプロファイルを使用して、デバイスの特定の標準を管理できます。
プロファイル
説明
コンプライアンス
コンプライアンスプロファイルは、組織で許容できないデバイスの条件を定義
し、強制する操作を設定します。
BES12 には、デフォルトのコンプライアンスプロファイルが含まれます。
Web コンテンツフィルター
Web コンテンツフィルターは、管理された iOS デバイス上でユーザーが表示で
きる Web サイトを制限します。
アプリロックモード
アプリのロックモードプロファイルは、監視下の iOS デバイスや KNOX MDM を
使用して管理されているデバイスが、1 つのアプリのみを実行するように設定し
ます（たとえば、トレーニング目的、販売時点管理（POS）のデモ）。
116
デバイスの標準
プロファイル
説明
デバイス SR 要件
デバイス SR 要件プロファイルは、BlackBerry 10 デバイスでインストールされて
いる必要があるソフトウェアのリリースバージョンを指定します。
管理されているドメイン
管理されているドメインプロファイルは、信頼済みドメイン外でのメール送信に
ついてユーザーに通知し、内部ドメインからダウンロードしたドキュメントを表
示できるアプリを制限するように iOS 8 デバイスを設定します。
デバイス
デバイスプロファイルでは、デバイスに表示する情報を設定できます。
Web アイコン
Web アイコンプロファイルでは、iOS デバイスに表示するカスタマイズ済み Web
アイコンを作成できます。
位置情報サービス
位置情報サービスプロファイルは、地図上で iOS デバイスを見つけられるように
します。
デバイスのコンプライアンスルールの強制
コンプライアンスプロファイルを使用して、BlackBerry 10、iOS、Android、および Windows Phone デバイスの使用に関す
る組織の標準に準拠するようにデバイスユーザーを促進することができます。コンプライアンスプロファイルは、組織で
許容できないデバイスの条件を定義します。たとえば、脱獄やルート化が行われたデバイス、またはオペレーティングシ
ステムへの未許可アクセスに起因する整合性に関する通知が発行されたデバイスを許可しないように選択できます。
コンプライアンスプロファイルは次の情報を指定します。
•
デバイスを BES12 非準拠と見なす条件
•
ユーザーがコンプライアンス条件に違反した場合に受信する通知、および問題を修正するために与えられた時間
•
ユーザーが制限されたアプリをインストールした場合に受信する通知、および問題を修正するために与えられた
時間
•
ユーザーが問題を修正しない場合に実行される操作。組織のリソースへのユーザーのアクセスを制限する、デバ
イスから仕事用データを削除する、デバイスからすべてのデータを削除するなどが含まれます。
KNOX MDM を使用する Android デバイスでは、制限付きアプリケーションのリストをコンプライアンスプロファイルに追
加できます。ただし、BES12 はコンプライアンスルールを強制しません。その代わりに、制限付きアプリのリストがデ
バイスに送信され、これらのデバイスがコンプライアンスを強制します。制限付きアプリは一切、インストールできませ
ん。すでにインストールされている場合、無効化されます。制限リストからアプリを削除すると、そのアプリがすでにイ
ンストールされている場合は、再度有効化されます。どの Android デバイスが KNOX MDM をサポートしているか、詳細
については、help.blackberry.com/detectLang/bes12/current/compatibility-matrix-pdf/ から『互換性一覧表』をダウンロード
してください。
BES12 には、デフォルトのコンプライアンスプロファイルが含まれます。デフォルトでは、デフォルトのコンプライアン
スプロファイルは、コンプライアンス条件を強制しません。コンプライアンスルールを強制するために、デフォルトのコ
117
デバイスの標準
ンプライアンスプロファイルの設定を変更するか、またはカスタムコンプライアンスプロファイルを作成して割り当てる
ことができます。カスタムコンプライアンスプロファイルに割り当てられていないユーザーアカウントには、デフォルト
のコンプライアンスプロファイルが割り当てられます。
コンプライアンスプロファイルの作成
作業を始める前に:
•
制限されたアプリのルールを定義する場合は、必要なアプリを制限されたアプリリストに追加します。詳細につ
いては、「制限されたアプリリストへのアプリの追加」を参照してください。
•
コンプライアンスプロファイルで Windows アプリを監視できるようにするには、AET のアップロードが必要で
す。詳細については、「アプリケーション登録トークン（AET）のアップロード」を参照してください。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2. ［コンプライアンス］の横の
をクリックします。
3.
コンプライアンスプロファイルの名前と説明を入力します。
4.
適切なデバイスタイプのタブをクリックして、次の操作のいずれかを実行します。
•
オペレーティングシステム違反のデバイスを非準拠と見なす場合は、［整合性に関する通知］（BlackBerry
10）、［脱獄された OS］（iOS）、または［ルート化された OS］（Android）チェックボックスをオンにしま
す。
•
BlackBerry 10 デバイスでは：デバイス SR 要件プロファイルに含まれる制限付きソフトウェアリリースを使
用するデバイスを非準拠とみなす必要がある場合は、［制限付きソフトウェアリリースがインストールされ
ています］を選択します。この条件は、仕事用および個人用 - 会社アクティベーションタイプのデバイス
には適用されません。
•
iOS または Android デバイスの場合：管理者がインストールしなかったアプリが存在するデバイスを非準拠
［割り当てのないアプリがインストールされています］チェックボックスをオンにします。
と見なす場合は、
この条件は、［仕事用および個人用 - ユーザープライバシー］アクティベーションの種類のデバイスには適
用されません。
•
iOS、Android、および Windows Phone デバイスの場合：
◦
必須のアプリが存在しないデバイスを非準拠と見なす場合は、
［必須アプリがインストールされて
いません］チェックボックスをオンにします。この条件は、
［仕事用および個人用 - ユーザープラ
イバシー］アクティベーションの種類のデバイスには適用されません。 Windows Phone 8.0 デバイ
スの場合、内部の必須アプリのみを監視できます。
◦
制限されたアプリが存在するデバイスを非準拠と見なす場合は、
［制限付きアプリがインストール
されています］チェックボックスをオンにし、制限されたアプリを表に追加します。この条件は、
［仕事用および個人用 - ユーザープライバシー］アクティベーションの種類のデバイスには適用さ
れません。
118
デバイスの標準
5.
KNOX MDM を使用する Android デバイス以外のすべてのデバイス、および手順 4 で選択した各条件について、ユー
ザーのデバイスが非準拠の場合に BES12 に実行させるアクションを選択します。
操作
手順
デバイスが非準拠であることをユーザーに 1. ［強制アクション］ドロップダウンリストで、［コンプライアンス
自動的に通知し、ユーザーが問題を修正し
用のプロンプト］をクリックします。
ない場合は強制アクションを実行する。
2. ［プロンプトの方法］ドロップダウンリストで、ユーザーに送信す
るメッセージの種類をクリックします。
3. ［プロンプトの回数］フィールドに、BES12 が操作を実行する前
に、通知メッセージを送信する回数を入力します。
4. ［プロンプトの間隔］フィールドとドロップダウンリストで、プロ
ンプトの間隔を指定します。
5. ［プロンプトの間隔の満了時のアクション］ドロップダウンリスト
で、プロンプトの期限が切れた場合に BES12 が実行する操作を選
択します。
•
•
操作を強制しない場合は、［なし］を選択します。
ユーザーがデバイスから仕事用リソースおよびアプリ
ケーションにアクセスするのを阻止するには、［検疫］
（BlackBerry 10）または［信頼しない］（iOS または
Android）を選択します。データとアプリケーションは、
デバイスから削除されません。
•
デバイスから仕事用データを削除するには、［仕事用
データのみを削除］を選択します。
•
デバイスからすべてのデータを削除するには、［すべて
のデータを削除する］を選択します。［仕事用および個
人用 - 会社］または［仕事用および個人用 - ユーザープ
ライバシー］でアクティブ化されたデバイスでは、仕事
用データのみが削除されます。
ユーザーがデバイスから仕事用リソースと［強制アクション］ドロップダウンリストで、［検疫］（BlackBerry 10）
アプリケーションにアクセスするのを阻止または［信頼しない］（iOS または Android）をクリックします。
する。データとアプリケーションは、デバ
イスから削除されません。
デバイスから仕事用データを削除する。
［強制アクション］ドロップダウンリストで、［仕事用データのみを削
除］をクリックします。
デバイスからすべてのデータを削除する。［強制アクション］ドロップダウンリストで、［すべてのデータを削除
［仕事用および個人用 - 会社］または［仕事する］をクリックします。
119
デバイスの標準
操作
手順
用および個人用 - ユーザープライバシー］
でアクティブ化されたデバイスでは、仕事
用データのみが削除されます。
6.
コンプライアンス条件を設定する各デバイスタイプについて、手順 4 と 5 を繰り返します。
7.
デバイスが非準拠の場合にユーザーへ通知メッセージを送信するように選択した場合は、次のいずれかの操作を実行
します。
•
メール通知を変更するには、
［違反が検出されたときに送信されるメール通知］を展開します。件名とメッ
セージを変更します。
•
デバイス通知を変更するには、［違反が検出されたときに送信されるデバイス通知］を展開します。メッ
セージを変更します。
変数を使用して、通知にユーザー、デバイス、およびコンプライアンス情報を入力する場合は、「変数の使用」を参
照してください。また、管理コンソールを使用して、専用のカスタム変数を定義して使用することもできます。詳
細については、「カスタム変数」を参照してください。
8. ［追加］をクリックします。
終了したら: コンプライアンスプロファイルをランク付けします。
関連情報
変数の使用, （64 ページ）
カスタム変数, （66 ページ）
iOS デバイス上での Web コンテンツのフィル
ター
Web コンテンツフィルタープロファイルを使用して、ユーザーが iOS デバイス上で Safari または他のブラウザーアプリを
使用して表示できる Web サイトを制限できます。 Secure Work Space を備えた iOS デバイスでは、Web コンテンツフィル
タープロファイルによって、ユーザーが仕事用ブラウザーで表示できる Web コンテンツも制限できます。 Web コンテン
ツフィルタープロファイルはユーザーアカウント、ユーザーグループ、またはデバイスグループに割り当てることができ
ます。
Web コンテンツフィルタープロファイルを作成する場合、モバイルデバイスを使用するための組織の標準をサポートする
［許可された Web サイト］オプションを選択できます。
メモ: このプロファイルは、管理された iOS デバイスにのみ当てはまります。
120
デバイスの標準
許可された Web サイト
説明
特定の Web サイトのみ
このオプションは、指定した Web サイトのみへのアクセスを許可します。許可
された Web サイトごとに、Safari にブックマークが作成されます。
アダルトコンテンツを制限
このオプションは、不適切なコンテンツを特定しブロックするための自動フィ
ルターを有効にします。また、次の設定を使用して、特定の Web サイトを含め
ることもできます。
•
許可された URL：1 つ以上の URL を追加して、特定の Web サイトへのアク
セスを許可することができます。ユーザーは、自動フィルターがアクセス
をブロックするかどうかに関係なく、このリスト内の Web サイトを表示で
きます。
•
ブラックリストに登録された URL：1 つ以上の URL を追加して、特定の
Web サイトへのアクセスを拒否することができます。ユーザーは、自動
フィルターがアクセスを許可するかどうかに関係なく、このリスト内の
Web サイトは表示できません。
Web コンテンツフィルタープロファイルの作成
Web コンテンツフィルタープロファイルを作成する場合は、指定する各 URL を http:// または https:// で始める必要があり
ます。必要に応じて、同じ URL の http:// および https:// バージョンを個別のエントリとして追加します。 DNS 解決は実行
されないため、限定された Web サイトにも引き続きアクセスできてしまう場合があります（たとえば、http://
www.example.com と指定した場合、ユーザーは IP アドレスを使用して Web サイトにアクセスできる可能性があります）。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2. ［Web コンテンツフィルター］の横の
をクリックします。
3.
Web コンテンツフィルタープロファイルの名前と説明を入力します。
4.
次のタスクのいずれかを実行します。
タスク
手順
特定の Web サイトのみへのアクセス 1. ［許可された Web サイト］ドロップダウンリストで、
［特定の Web サイ
を許可する
トのみ］が選択されていることを確認します。
2. ［特定の Web サイトのブックマーク］セクションで
す。
3.
次の操作を実行します。
121
をクリックしま
デバイスの標準
タスク
手順
a
［URL］フィールドでは、アクセスを許可する Web アドレスを入
力します。
b
4.
アダルトコンテンツを制限
オプションで、
［ブックマークのパス］フィールドに、ブックマー
クフォルダーの名前（たとえば、/Work/）を入力します。
c
［タイトル］フィールドに、Web サイトの名前を入力します。
d
［追加］をクリックします。
許可する Web サイトごとに手順 2 と 3 を繰り返します。
1. ［許可された Web サイト］ドロップダウンリストで、［アダルトコンテ
ンツを制限］をクリックして自動フィルターを有効にします。
2.
オプションで、次の操作を実行します。
a
3.
［許可された URL］の横の
をクリックします。
b
アクセスを許可する Web アドレスを入力します。
c
許可する Web サイトごとに手順 2.a～2.b を繰り返します。
オプションで、次の操作を実行します。
a
［ブラックリストに登録された URL］の横の
をクリックします。
b
アクセスを拒否する Web アドレスを入力します。
c
制限する Web サイトごとに手順 3.a～3.b を繰り返します。
5. ［追加］をクリックします。
デバイスをシングルアプリに制限
管理された iOS デバイス、または KNOX MDM を使用して管理された Android デバイスで、アプリロックモードプロファイ
ルを使用して、1 つのアプリのみを実行するようにデバイスを制限できます。たとえば、トレーニング目的や販売時点管
理（POS）のデモ用に、アクセスをシングルアプリに制限することができます。 iOS デバイスでは、デバイスのホームボ
タンは無効になり、ユーザーがデバイスをスリープ解除するか再起動すると、アプリは自動的に開かれます。
122
デバイスの標準
アプリロックモードプロファイルを作成
アプリを指定し、ユーザーに対して有効にするデバイス設定を選択します。 iOS デバイスでは、アプリリストでアプリを
選択するか、アプリのバンドル ID を指定するか、または組み込みのアプリを選択することができます。 KNOX MDM を使
用して管理されている Android デバイスでは、ホームスクリーンとして設定するアプリパッケージ識別子を指定します。
メモ: ユーザーがデバイスにこのアプリをインストールしていない場合は、このユーザーまたはユーザーグループにプロ
ファイルを割り当てるときに、このデバイスはこのアプリケーションに制限されません。
作業を始める前に: iOS デバイスでは、アプリリストを使用してアプリを選択する場合は、このアプリがアプリリストで使
用可能であることを確認します。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2. ［アプリロックモード］の横の
をクリックします。
3.
プロファイルの名前と説明を入力します。
4.
プロファイルが iOS デバイス、Android デバイス、またはその両方のどれに適用されるかを指定します。
5.
次のタスクのいずれかを実行します。
タスク
iOS デバイスで実行するアプリを指
定
手順
［デバイスで実行するアプリを指定］セクションで、次の操作のいずれかを
実行します。
•
［アプリを追加］をクリックして、リスト内のアプリをクリックし
ます。
•
［アプリのバンドル ID を指定］をクリックして、バンドル ID を入
力します（たとえば、<com.company.appname>）。有効な文字は、
大文字、小文字、0～9、ハイフン（-）、およびピリオド（.）です。
•
［組み込みの iOS アプリを選択］をクリックして、ドロップダウン
リストからアプリを選択します。
Android デバイスで実行するアプリを［デバイスで実行するアプリを指定］フィールドに、ホームスクリーンとし
て設定するアプリのアプリパッケージ識別子を入力します。たとえば BBM
指定
Meetings をアプリにする場合は com.blackberry.bbm.meetings と入力しま
す。
6. ［管理者対応の設定］で、アプリの使用時にユーザーに対して有効にするオプションを選択します。
7.
iOS デバイスでは、［ユーザー対応の設定］で、ユーザーが有効にできるオプションを選択します。
8. ［追加］をクリックします。
123
デバイスの標準
ユーザーが BlackBerry 10 デバイスにインス
トールできるソフトウェアリリースを制御す
る
［仕事用および個人用 - 規制］または［仕事用領域専用］でアクティベーションを行った、BlackBerry 10 OS バージョン
10.3.1 以降を実行しているデバイスでは、デバイス SR 制限プロファイルを使用して、BlackBerry 10 デバイスにインストー
ルできるソフトウェアリリースバージョンを制限できます。また特定の機種に対して、グローバル設定に例外を追加する
こともできます。
制限されたソフトウェアリリースバージョンがデバイスにインストールされている場合に、特定の操作を強制実行するに
は、コンプライアンスプロファイルを作成して、そのコンプライアンスプロファイルをユーザー、ユーザーグループ、ま
たはデバイスグループに割り当てる必要があります。コンプライアンスプロファイルは、ユーザーが制限されたソフト
ウェアリリースをデバイスから削除しない場合に実行される操作を指定します。
デバイス SR 要件プロファイルの管理手順
デバイス SR 要件プロファイルを管理する場合は、次の操作を実行します。
手順
操作
プロファイルを作成します。
コンプライアンスプロファイルを作成または編集して、制限されたソフトウェアリリースがデバイ
スにインストールされている場合に実行する操作を指定します。
必要に応じて、プロファイルをランク付けします。
必要に応じて、プロファイルを割り当てます。
デバイス SR 要件プロファイルの作成
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2. ［デバイス SR 要件］の横にある
3.
をクリックします。
BlackBerry 10 デバイスのソフトウェアリリース、対応する通信事業者、機種、ハードウェア ID、ソフトウェアリリー
スバージョン、失効ステータス情報をすべて一覧表示するには、［デバイスソフトウェアのリリースリストを表示］
をクリックします。
4.
プロファイルの名前と説明を入力します。
124
デバイスの標準
5.
プロファイルに定義されたソフトウェアリリースにデバイスを更新するようにユーザーに強制するには、［更新が必
要］チェックボックスをオンにします。
6. ［猶予期間］フィールドに時間を単位として値を入力します。この期間を過ぎると、デバイスを更新する必要があり
ます。ユーザーが猶予期間内にデバイスを更新しない場合、または猶予期間を 0 に設定した場合、ソフトウェア更
新は自動的にデバイスにインストールされます。
7. ［ソフトウェアの最低限必要なリリースバージョン］ドロップダウンリストで、BlackBerry 10 デバイスで実行する必
要がある最低限のソフトウェアバージョンを選択します。
8. ［ソフトウェアの最新のリリースバージョン］ドロップダウンリストで、BlackBerry 10 デバイスで実行する必要があ
る最新のソフトウェアバージョンを選択します。
9.
機種のグローバル設定を上書きするには、以下のタスクを実行します。
a.
［例外］表で、
をクリックします。
b. ［種別］ドロップダウンリストで、許可する、または許可しないソフトウェアリリースバージョンを選択しま
す。機種に許可しない範囲を指定しており、許可する範囲を指定していない場合、2 番目の列が表示され、こ
こに許可する範囲を指定する必要があります。許可する範囲が指定されていない場合、グローバル設定は機種
に適用されなくなり、例外を除いて、すべてのソフトウェアリリースバージョンが自動的に許可されます。
c.
［機種］ドロップダウンリストで、例外を設定する対象の機種を選択します。
d. ［最小］ドロップダウンリストで、許可するまたは許可しない最低限のソフトウェアバージョンを選択します。
e.
［最大］ドロップダウンリストで、許可するまたは許可しない最新のソフトウェアバージョンを選択します。
f.
特定のソフトウェアリリースバージョンを許可しない場合は、許可する最低限のソフトウェアバージョンを選
択します。
g.
特定のソフトウェアリリースバージョンを許可しない場合は、許可する最新のソフトウェアバージョンを選択
します。
10. ［保存］をクリックします。
11. ［追加］をクリックします。
失効したソフトウェアリリースを実行しているユーザーの表
示
失効したソフトウェアリリースを実行しているユーザーを一覧表示することができます。失効したソフトウェアリリー
スとは、通信事業者がサポートしなくなったが、ユーザーのデバイスにまだインストールされている可能性があるソフト
ウェアリリースのことです。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2.
左ペインで、
［デバイス SR 要件］を展開します。
3.
表示するプロファイルの名前をクリックします。
125
デバイスの標準
4. ［x ユーザーが失効した SR を実行中］タブをクリックして、失効したソフトウェアリリースを実行しているユーザー
を一覧表示します。
iOS 8 デバイスのメールドメインと Web ドメ
インの管理
管理されているドメインプロファイルを作成して、iOS 8 以降を実行している iOS デバイスの管理対象のメールドメインお
よび Web ドメインを定義できます。
メモ: デバイスが MDM コントロールアクティベーションタイプでアクティベーションされる場合のみ、デバイスの動作が
このプロファイルによる影響を受けます。
次の表に、このプロファイルにメールおよび Web ドメインを追加する効果を示します。
ドメインの種類
説明
メールドメイン
管理されているドメインプロファイルに一覧されるメールドメインは、組織の
内部として表示されます。ユーザーが、iOS 8 デバイスから、管理対象のドメイ
ンプロファイルにリストされていないメールドメインにメールを送信すると、
デバイスはメールのテキストを赤で表示することにより、受信者が組織の外部
であることを警告します。デバイスは、ユーザーが外部受信者へメールを送信
するのを阻止しません。
Web ドメイン
管理されているドメインプロファイルに一覧される Web ドメインは、組織の内
部として表示されます。管理されている Web ドメイン上に表示されている、ま
たはそこからダウンロードされたドキュメントのみを、管理されているアプリ
を使用して iOS 8 デバイス上で開くことができます。デバイスは、ユーザーが
他の Web ドメインからのドキュメントにアクセスしたり、それを表示したりす
るのを阻止しません。
管理されているドメインプロファイルの作成
作業を始める前に:
•
管理対象のドメインプロファイルは、iOS バージョン 8 以降を実行している iOS デバイスのみに適用されます。
•
管理対象のドメインプロファイルは、MDM コントロールアクティベーションタイプが適用されたデバイスのみ
に適用されます。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2. ［管理されているドメイン］の横の
をクリックします。
3. ［名前］フィールドに、プロファイルの名前を入力します。
126
デバイスの標準
4.
オプションで、［説明］フィールドに、プロファイルの説明を入力します。
5. ［管理されているメールドメイン］セクションで
をクリックします。
6. ［メールドメイン］フィールドにドメイン名を入力します。
最上位のドメイン名のみを含めます。たとえば、example.com/canada ではなく、example.com を使用します。
7. ［追加］をクリックします。
8. ［管理されている Web ドメイン］セクションで
をクリックします。
9. ［Web ドメイン］フィールドにドメイン名を入力します。
10. ［追加］をクリックします。
11. ［追加］をクリックします。
仕事用領域のあるデバイスで許可されたドメ
インおよび制限されたドメインを設定する
データ漏洩を防ぐには、 iOS および Android デバイス上の仕事用領域にあるメール、カレンダー、およびオーガナイザー
データからユーザーがアクセスできるドメインを設定できます。
•
許可されたドメインのリストを設定すると、ユーザーは制限なしに許可されたドメインにアクセスできるように
なります。たとえば、ユーザーはドメインへのリンクをクリックしたり、メールまたはカレンダーの招待を送信
するために、ドメインに受信者のメールアドレスを追加できます。特定のドメインが許可リストに含まれておら
ず、ユーザーがそのドメインにアクセスしようとした場合、アプリに警告メッセージが表示されます。ユーザー
が［OK］をタップした場合は、そのドメインにアクセスすることができます。
•
制限されたドメインのリストを設定した場合、ユーザーはリストに含まれるいずれのドメインにもアクセスする
ことができません。ユーザーがドメインへのリンクをクリックしたり、ドメインに、受信者のメールアドレスを
追加しようとした場合は、アプリにエラーメッセージが表示され、ユーザーはタスクを完了することができませ
ん。ユーザーは、制限リストに含まれていないドメインにはアクセスできます。
メモ: BlackBerry 10 デバイスでは、［外部メールドメイン許可リスト］および［外部メールドメイン制限リスト］IT ポリ
シールールを使用して、許可されたドメインおよび制限されたドメインを設定できます。詳細については、
help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/ から、『ポリシーリファレンススプレッド
シート』をダウンロードしてください。
仕事用領域で許可されたドメインおよび制限されたドメイン
を設定する
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2.
変更するメールプロファイルを選択します。
127
デバイスの標準
3.
をクリックします。
4. ［iOS］タブまたは［Android］タブをクリックします。
5. ［外部メールドメイン］セクションで、許可するドメインと制限するドメインを追加します。詳細は、
「iOS：メール
プロファイル設定」または「Android：メールプロファイル設定」を参照してください。
6. ［保存］をクリックします。
関連情報
iOS：メールプロファイル設定, （333 ページ）
Android：メールプロファイル設定, （337 ページ）
BlackBerry 10 デバイスで表示する組織の通知
の作成
BES12 は、BlackBerry 10 デバイスで組織のカスタム通知を表示するように設定できます。たとえば、アクティベーショ
ン中に、ユーザーが組織のセキュリティ要件に準拠するために従う必要のある条件を表示するように選択できます。ユー
ザーは、続行するために通知を受け入れる必要があります。異なる要件をカバーした複数の通知を作成することもできれ
ば、異なる言語をサポートするために各通知の個別のバージョンを作成することもできます。
バージョン 10.3.1 以降の BlackBerry 10 OS を実行するデバイスでは、ユーザーがデバイスを再起動したときに組織の通知
を表示するように BES12 を設定することもできます。
組織の通知を表示するタイミング
組織の通知の設定方法
アクティベーション時
組織の通知を作成し、それをアクティベーションプロファイルに割り当てま
す。アクティベーション時に表示される通知を変更するには、アクティベー
ションプロファイルを更新してから、デバイスを再度アクティブ化する必要が
あります。
デバイスの再起動時
組織の通知を作成し、それをデバイスプロファイルに割り当てます。［デバイ
スの再起動後に組織の通知を表示する］ IT ポリシールールが選択されているこ
とを確認します。デバイスの再起動時に表示する通知を変更するには、デバイ
スプロファイルを更新する必要があります。
メモ: IT ポリシールールは、バージョン 10.3.1 以降の BlackBerry 10 OS を実行す
るデバイスの［仕事用領域専用］および［仕事用および個人用 - 規制］アクティ
ベーションタイプにのみ適用されます。
組織の通知の作成
1.
メニューバーで［設定］をクリックします。
128
デバイスの標準
2.
左ペインで、
［全般設定］を展開します。
3. ［組織の通知］をクリックします。
4.
画面の右側にある
をクリックします。
5. ［名前］フィールドに、組織の通知の名前を入力します。
6.
オプションで、
［組織の通知からコピーされたテキスト］ドロップダウンリストで既存の組織の通知を選択して、そ
のテキストを再利用できます。
7. ［デバイスの言語］ドロップダウンリストで、組織の通知のデフォルトの言語として使用する言語を選択します。
8. ［組織の通知］フィールドに組織の通知のテキストを入力します。
9.
オプションで、
［追加の言語を追加］を複数回クリックして、組織の通知をより多くの言語で投稿できます。
10. 組織の通知を複数の言語で投稿する場合は［デフォルトの言語］オプションを使用してデフォルトの言語を変更でき
ます。
11. ［保存］をクリックします。
終了したら:
•
アクティベーション時に組織の通知を表示するには、組織の通知をアクティベーションプロファイルに割り当て
ます。
•
デバイスの再起動時に組織の通知を表示するには、組織の通知をデバイスプロファイルに割り当てます。
デバイスでの組織情報の表示
BlackBerry 10、iOS、および Android デバイスで、デバイスプロファイルを作成して、組織に関する情報を表示できます。
デバイスプロファイルを作成できる場合は、BlackBerry 10、iOS、および Android デバイスで、組織情報を表示できます。
BlackBerry 10 デバイスの場合、組織の通知は、ユーザーがデバイスを再起動したときに表示されます。 iOS および Android
デバイスの場合、情報は BES12 Client に表示されます。
BlackBerry 10 デバイスでは、仕事用領域用にカスタム壁紙画像を追加して、ユーザー向けに情報を表示できます。たと
えば、サポート連絡先情報、内部 Web サイト情報、または組織のロゴを含む画像を作成できます。
デバイスプロファイルの作成
作業を始める前に: BlackBerry 10 デバイスの組織の通知を作成します。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2. ［デバイス］の横の
をクリックします。
3.
プロファイルの名前と説明を入力します。デバイスプロファイルごとに固有の名前が必要です。
4.
組織の通知を追加するには、次の操作のいずれかを実行します。
129
デバイスの標準
タスク
手順
デバイスの再起動時に、BlackBerry 10 1. ［BlackBerry］をクリックします。
デバイス上に表示する組織の通知を 2.
［組織の通知を割り当てる］ドロップダウンリストで、デバイス上に表
割り当てる
示する組織の通知を選択します。
iOS または Android デバイスで、
1. ［iOS］または［Android］をクリックします。
BES12 Client に表示する組織情報を
2.
組織の名称、住所、電話番号、メールアドレスを入力します。
定義する
5.
BlackBerry 10 デバイスで仕事用領域に壁紙画像を追加するには、次の操作のいずれかを実行します。
a.
［BlackBerry］をクリックします。
b. ［仕事用領域の壁紙］セクションで、［参照］をクリックします。
c.
壁紙に使用する画像を選択します。
d. ［開く］をクリックします。
6. ［追加］をクリックします。
iOS デバイスの Web アイコンの作成
Web アイコンプロファイルを使用して、ユーザーのデバイスに表示するカスタマイズ済み Web アイコンを作成できます。
たとえば、組織の内部 Web サイトへのショートカットを提供するカスタマイズ済み Web アイコンを作成できます。各
Web アイコンプロファイルでは、以下の属性を設定できます。
•
Web アイコンをタップしたときに開く Web アドレス
•
画像やラベルを含む Web アイコンの外観
•
デバイスからの Web アイコンの削除をユーザーに許可するかどうか
•
ユーザーのデバイスで Web アドレスの表示をフル画面にするかどうか
Web アイコンプロファイルの作成
ユーザーのデバイスに表示する各 Web アイコンに対して、Web アイコンプロファイルを作成する必要があります。ユー
ザーがデバイスから Web アイコンを削除した後、ユーザーがアイコンを復元する場合、管理者が Web アイコンプロファ
イルを削除してユーザーに再び割り当てる必要があります。［Web アイコンをフル画面アプリとして開く］チェックボッ
クスをオフにすると、Web アドレスはブラウザーで開かれます。
メモ: Web アイコンプロファイルは、［仕事用および個人用 - ユーザープライバシー］アクティベーションタイプのデバイ
スではサポートされていません。
130
デバイスの標準
作業を始める前に: Web アイコンに使用する予定の画像が以下の要件に適合していることを確認します。
•
画像の形式は、.png、.jpg、または .jpeg にする必要があります。
•
透過型の要素がある .png 画像は使用しないでください。透過型の要素はデバイス上で黒い要素として表示され
ます。
•
推奨される画像サイズの詳細については、developer.apple.com にアクセスして「アイコンと画像サイズ」を参照
してください。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2.
Web アイコンの横の
3.
Web アイコンプロファイルの名前と説明を入力します。この名前は、Web アイコンのラベルとして使用されます。
をクリックします。
4. ［参照］をクリックします。 Web アイコンの画像を見つけて選択します。サポートされている画像形式
は、.png、.jpg、または .jpeg です。
5. ［URL］フィールドに、ユーザーが Web アイコンをタップしたときに開く Web アドレスを入力します。 Web アドレ
スでは、先頭に http:// または https:// を指定する必要があります。［仕事用および個人用 - フルコントロール］アク
ティベーションタイプのデバイスでは、sec-connect:// または sec-connects:// で始まる Web アドレスを使用して、仕
事用領域のブラウザーで Web サイトを開くことができます。
6.
デバイスのホームスクリーンから Web アイコンを削除する操作をユーザーに許可する場合、
［ユーザーに削除を許可
する］チェックボックスをオンにします。
7.
ユーザーのデバイスで Web アドレスをフル画面で開けるようにするには、
［Web アイコンをフル画面アプリとして開
く］チェックボックスがオンになっていることを確認します。
8. ［追加］をクリックします。
iOS デバイス用位置情報サービスの設定
BES12 で位置情報サービスをセットアップすると、地図上で iOS デバイスを検索できるようになります。
位置情報サービスプロファイルをセットアップする手順
位置情報サービスプロファイルをセットアップする場合は、次の操作を実行します。
手順
操作
位置情報サービスプロファイルを作成または編集します。
位置情報サービスプロファイルをユーザー、ユーザーグループ、またはデバイスグループに割り当
てます。
131
デバイスの標準
位置情報サービスプロファイルを作成する
位置情報サービスプロファイルにより、iOS デバイスユーザーは BES12 Self-Service を使用してデバイスを検索できるよう
になります。デバイスの位置情報は、管理コンソールまたは BES12 Self-Service の地図上に表示されます。
位置情報サービスプロファイルの作成後、ユーザー、ユーザーグループ、またはデバイスグループにプロファイルを割り
当てられます。デフォルトの位置情報サービスプロファイルはありません。
メモ: デバイスの位置情報を管理コンソールまたは BES12 Self-Service に表示する前に、ユーザーは位置情報サービスプロ
ファイルを承諾する必要があります。
位置情報サービスプロファイルの作成
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2.
左ペインで、
［位置情報サービス］の横にある
3.
位置情報サービスプロファイルの名前と説明を入力します。
4.
BES12 Self-Service でユーザーが iOS デバイスを検索することを許可する場合は、
［セルフサービスコンソール内の位
をクリックします。
置情報サービスを有効にする］チェックボックスをオンにします。
5. ［プロファイルを設定するデバイスの種類を表示］チェックボックスをオンにします。
6. ［追加］をクリックします。
終了したら:
•
プロファイルをユーザーアカウント、ユーザーグループ、およびデバイスグループに割り当てます
•
複数の位置情報サービスプロファイルを作成する場合は、プロファイルをランク付けします
位置情報サービスプロファイルの割り当て後、ユーザーは iOS デバイスでロケーショントラッキングを許可するプロンプ
トを受信します。ユーザーがリクエストを承諾しない場合は、地図で iOS デバイスの検索または表示をすることができま
せん。
管理コンソールでユーザー名をクリックし、ユーザーが iOS デバイスで位置情報サービスプロファイルを承諾したかどう
かを確認できます。
132
IT ポリシーを使用して、デバイスのセキュリティと動作を管理します。
Secure
IT ポリシー
IT ポリシー
IT ポリシーを使用したデバイス機能の
制御
18
IT ポリシーを使用して、組織内のデバイスのセキュリティと動作を管理できます。 IT ポリシーは、デバイス上の機能を制
御するルールのセットです。同一の IT ポリシーで、BlackBerry 10、iOS、Android、および Windows Phone デバイスのルー
ルを設定できます。
BES12 には、デフォルトの IT ポリシーと、デバイスタイプごとの事前設定済みのルールが含まれます。 IT ポリシーがユー
ザーアカウント、ユーザーが属するユーザーグループ、またはユーザーのデバイスが属するデバイスグループに割り当て
られていない場合、BES12 はデフォルトの IT ポリシーをユーザーのデバイスに送信します。ユーザーがデバイスをアク
ティブ化した場合、ユーザーが割り当てられた IT ポリシーを更新した場合、または異なる IT ポリシーがユーザーアカウ
ントかデバイスに割り当てられた場合に、 BES12 は IT ポリシーをデバイスに送信します。
BES12 は毎日、ポート 3101 経由で BlackBerry Infrastructure との同期を行い、IT ポリシー情報が更新されていないかどう
かを判断します。更新済みの IT ポリシー情報が使用可能になると、BES12 はこの情報を取得し、更新を BES12 データベー
スに保存します。［IT ポリシーを表示する］および［IT ポリシーを作成および編集する］権限を持っている管理者がログ
インすると、更新に関する通知が表示されます。
IT ポリシーを管理する手順
IT ポリシーを管理する場合は、次の操作を実行します。
手順
操作
デフォルト IT ポリシーを調べ、必要な場合は更新します。
オプションで、カスタム IT ポリシーを作成します。
必要に応じて、IT ポリシーをランク付けします。
カスタム IT ポリシーを作成する場合は、それらをユーザーアカウント、ユーザーグループ、または
デバイスグループに割り当てます。
134
IT ポリシー
デバイス機能の制限または許可
IT ポリシールールを設定すると、デバイス機能を制限または許可することができます。各デバイスタイプで利用可能な IT
ポリシールールは、一般に、デバイス OS とバージョンによって決定されます。 iOS および Android の一部のルールは、
［Secure Work Space］や［KNOX MDM］などのオプションによって決定されます。たとえば、デバイスタイプに応じて、
IT ポリシールールを使用して次のことを実行できます。
•
パスワード要件を強制する
•
ユーザーによるデバイスカメラの使用を防止する
•
Bluetooth ワイヤレステクノロジを使用する接続を制御する
•
特定のアプリの可用性を制御する
IT ポリシールールを使用して、デバイス機能、デバイス上の仕事用領域、またはその両方を制御できます。デバイスのア
クティベーションタイプ、および（該当する場合は）Secure Work Space や KNOX MDM などのオプションによって、デバ
イスに適用される IT ポリシーのルールが決まります。各デバイスタイプの IT ポリシールールの詳細については、
help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/ で『ポリシーリファレンススプレッドシー
ト』をダウンロードしてください。
BES12 が割り当てる IT ポリシーを選択する方
法
BES12 は、1 つの IT プロファイルのみをデバイスに送信し、事前定義されたルールを使用して、ユーザーとユーザーがア
クティブ化するデバイスにどの IT プロファイルを割り当てるかを決定します。
割り当て先
ルール
ユーザーアカウント
1.
ユーザーアカウントに直接割り当てられた IT ポリシーは、ユーザーグルー
プによって間接的に割り当てられた IT ポリシーより優先されます。
（［ユーザーの概要］タブの表示）
2.
ユーザーが、異なる IT ポリシーを持つ複数のユーザーグループのメンバー
である場合、BES12 はランキングが最高の IT ポリシーを割り当てます。
3.
IT ポリシーが直接、またはユーザーグループメンバーシップを通じてユー
ザーアカウントに割り当てられていない場合は、デフォルトの IT ポリシー
が割り当てられます。
デバイス
（デバイスタブの表示）
デフォルトでは、デバイスは BES12 がデバイスをアクティブ化したユーザーに
割り当てた IT ポリシーを継承します。デバイスがデバイスグループに属する
場合は、次のルールが適用されます。
135
IT ポリシー
割り当て先
ルール
1.
デバイスグループに割り当てられた IT ポリシーは、BES12 がユーザーアカ
ウントに割り当てた IT ポリシーより優先されます。
2.
デバイスが、異なる IT ポリシーを持つ複数のデバイスグループのメンバー
である場合、BES12 はランキングが最高の IT ポリシーを割り当てます。
次のいずれかの操作を実行した場合、 BES12 で IT ポリシーの競合を解決する必要が生じる場合があります。
•
IT ポリシーをユーザーアカウント、ユーザーグループ、またはデバイスグループに割り当てる
•
IT ポリシーをユーザーアカウント、ユーザーグループ、またはデバイスグループから削除する
•
IT ポリシーのランキングを変更する
•
IT ポリシーを削除する
•
ユーザーグループメンバーシップを変更する（ユーザーアカウントとネストされたグループ）
•
デバイス属性を変更する
•
デバイスグループメンバーシップを変更する
•
ユーザーグループまたはデバイスグループを削除する
関連情報
IT ポリシーをランク付け, （137 ページ）
IT ポリシーの作成と管理
デフォルトの IT ポリシーを使用するか、カスタム IT ポリシー（たとえば、組織内の異なるユーザーグループまたはデバ
イスグループに IT ポリシールールを指定するため）を作成することができます。デフォルトの IT ポリシーを使用予定の
場合は、それらを見直して、必要に応じて、ルールが組織のセキュリティ標準を確実に満たすように更新する必要があり
ます。
IT ポリシーの作成
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2. ［IT ポリシー］の横の
をクリックします。
3.
IT ポリシーの名前と説明を入力します。
4.
組織内の各デバイスタイプのタブをクリックして、IT ポリシールールの適切な値を設定します。
5. ［追加］をクリックします。
終了したら: IT ポリシーをランク付けします。
136
IT ポリシー
IT ポリシーをコピー
既存の IT ポリシーをコピーして、組織内のさまざまなグループ用にカスタム IT ポリシーをすばやく作成することができ
ます。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2.
左ペインで、
［IT ポリシー］を展開します。
3.
コピーする IT ポリシーの名前をクリックします。
4.
をクリックします。
5.
新しい IT ポリシーの名前と説明を入力します。
6.
各デバイスタイプの適切なタブで変更を加えます。
7. ［追加］をクリックします。
終了したら: IT ポリシーをランク付けします。
IT ポリシーをランク付け
ランキングは、次のシナリオで、BES12 がデバイスに送信する IT ポリシーを決定するために使用されます。
•
ユーザーが、異なる IT ポリシーを持つ複数のユーザーグループのメンバーである。
•
デバイスが、異なる IT ポリシーを持つ複数のデバイスグループのメンバーである。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2.
左ペインで、
［IT ポリシー］を展開します。
3. ［IT ポリシーのランク付け］をクリックします。
4.
矢印を使用して、IT ポリシーを上下に移動してランキングします。
5. ［保存］をクリックします。
関連情報
BES12 が割り当てる IT ポリシーを選択する方法, （135 ページ）
IT ポリシーの表示
IT ポリシーに関する次の情報を表示できます。
•
各デバイスタイプに固有の IT ポリシールール
•
IT ポリシーが割り当てられている（直接および間接）ユーザーアカウントのリストと数
•
IT ポリシーが割り当てられている（直接）ユーザーグループのリストと数
137
IT ポリシー
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2.
左ペインで、
［IT ポリシー］を展開します。
3.
表示する IT ポリシーの名前をクリックします。
IT ポリシーの変更
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2.
左ペインで、［IT ポリシー］を展開します。
3.
変更する IT ポリシーの名前をクリックします。
4.
5.
をクリックします。
各デバイスタイプの適切なタブで変更を加えます。
6. ［保存］をクリックします。
終了したら: 必要に応じて、IT ポリシーのランキングを変更します。
ユーザーアカウントまたはユーザーグループからの IT ポリ
シーの削除
IT ポリシーがユーザーアカウントまたはユーザーグループに直接割り当てられている場合は、ユーザーまたはグループか
ら IT ポリシーを削除できます。 IT ポリシーがユーザーグループによって間接的に割り当てられている場合は、グループ
から IT ポリシーを削除するか、またはグループからユーザーアカウントを削除することができます。ユーザーグループか
ら IT ポリシーを削除すると、IT ポリシーは選択したグループに属する各ユーザーから削除されます。
メモ: デフォルトの IT ポリシーは、ユーザーに直接割り当てられている場合にのみ、ユーザーアカウントから削除できま
す。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2.
左ペインで、
［IT ポリシー］を展開します。
3.
ユーザーアカウントまたはユーザーグループから削除する IT ポリシーの名前をクリックします。
4.
次のタスクのいずれかを実行します。
タスク
手順
ユーザーアカウントから IT ポリシー 1. ［ユーザーに割り当てられています］タブをクリックします。
を削除する
2. 必要に応じて、ユーザーアカウントを検索します。
3.
4.
IT ポリシーを削除するユーザーアカウントを選択します。
をクリックします。
138
IT ポリシー
タスク
手順
ユーザーグループから IT ポリシーを 1. ［グループに割り当て済み］タブをクリックします。
削除する
2. 必要に応じて、ユーザーグループを検索します。
3.
IT ポリシーを削除するユーザーグループを選択します。
4.
をクリックします。
関連情報
BES12 が割り当てる IT ポリシーを選択する方法, （135 ページ）
IT ポリシーを削除する
デフォルトの IT ポリシーは削除できません。カスタム IT ポリシーを削除すると、BES12 は、割り当てられていたユーザー
とデバイスからその IT ポリシーを削除します。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2.
左ペインで、
［IT ポリシー］を展開します。
3.
削除する IT ポリシーの名前をクリックします。
4.
をクリックします。
5. ［削除］をクリックします。
関連情報
BES12 が割り当てる IT ポリシーを選択する方法, （135 ページ）
139
IT ポリシー
IT ポリシーを使用した BlackBerry OS デ
バイス機能の制御
19
BES12 ドメインが BlackBerry OS（バージョン 5.0～7.1）デバイスをサポートする場合は、BlackBerry OS IT ポリシーを使
用して、組織の環境内の BlackBerry OS デバイス、BlackBerry Desktop Software、および BlackBerry Web Desktop Manager
を制御および管理できます。 BlackBerry OS IT ポリシーは、BlackBerry OS デバイスのセキュリティと動作を管理する複数
の IT ポリシールールで構成されています。
BES12 には、BlackBerry OS デバイスまたは BlackBerry Desktop Software のデフォルト動作を示すために設定された IT ポ
リシールールを含むデフォルト IT ポリシーなどの、事前設定された BlackBerry OS IT ポリシーが含まれます。 BlackBerry
OS IT ポリシーが、ユーザーアカウントまたはユーザーが属するユーザーグループに割り当てられていない場合、BES12
はデフォルト IT ポリシーをユーザーの BlackBerry OS デバイスへ送信します。ユーザーがデバイスをアクティブ化した場
合、ユーザーが割り当てられた IT ポリシーを更新した場合、または異なる IT ポリシーがユーザーアカウントに割り当て
られた場合に、 BES12 は BlackBerry OS IT ポリシーをデバイスに送信します。
BlackBerry OS IT ポリシーを管理する手順
BlackBerry OS IT ポリシーを管理する場合は、次の操作を実行します。
手順
操作
デフォルトの IT ポリシーを含め、事前設定された BlackBerry OS IT ポリシーを見直し、必要に応じ
て更新します。
オプションで、カスタム BlackBerry OS IT ポリシーを作成します。
BlackBerry OS IT ポリシーをランク付けします。
事前設定されたか、またはカスタムの BlackBerry OS IT ポリシーをユーザーアカウントまたはユー
ザーグループに割り当てます。
BlackBerry OS デバイス機能の制限または許可
IT ポリシールールを使用して、BlackBerry OS（バージョン 5.0～7.1）デバイスが実行する操作をカスタマイズおよび制御
できます。 BlackBerry OS デバイス上で IT ポリシールールを使用するには、使用している BlackBerry Desktop Software の
140
IT ポリシー
バージョンでその IT ポリシールールがサポートされていることを確認する必要があります。たとえば、BlackBerry
Desktop Software バージョンに応じて、IT ポリシールールを使用して次のことを実行できます。
•
パスワード要件を強制する
•
Bluetooth ワイヤレステクノロジを使用する接続を制御する
•
デバイスのユーザーデータおよびデバイス転送キーを保護する
•
カメラや GPS など、サードパーティアプリケーションから使用できるデバイスリソースを制御する
BlackBerry OS デバイスの IT ポリシールールの詳細については、help.blackberry.com/detectLang/bes12/current/policyreference-spreadsheet-zip/ で『ポリシーリファレンススプレッドシート』をダウンロードしてください。
事前に設定済みの BlackBerry OS IT ポリシー
BES12 ドメインが BlackBerry OS（バージョン 5.0～7.1）デバイスをサポートする場合、BES12 には、組織の要件を満た
すために変更できる事前に設定済みの BlackBerry OS IT ポリシーが含まれます。
事前に設定済みの IT ポリシー
説明
デフォルト
このポリシーには、BES12 で設定されている標準の IT ポリシールールがすべて
含まれています。
個人責任デバイス
このポリシーが適用された場合、デフォルトの IT ポリシーと同様に、BlackBerry
OS デバイスユーザーは、デバイス上のソーシャルネットワーキングアプリケー
ションからオーガナイザーデータにアクセスできません。
このポリシーは、個人のカレンダーサービスおよびメールサービスへのアクセ
ス、組織の外部にあるメソッドを使用した BlackBerry Device Software の更新、
デバイスがロックされているときの発信、テキストの切り取り、コピー、貼り
付けを、ユーザーに対して許可します。ユーザーは、特定のメールサービスか
ら別のサービスにメールを転送できません。
個人でデバイスを購入して、組織の環境にある BES12 インスタンスにそのデバ
イスを接続するユーザーが組織にいる場合、個人責任デバイス IT ポリシーを使
用できます。
基本パスワードセキュリティ
デフォルトの IT ポリシーと同様に、このポリシーでは、ユーザーがデバイスの
ロックを解除するための基本パスワードが必要です。ユーザーはパスワードを
定期的に変更する必要があります。この IT ポリシーには、デバイスをロックす
るパスワードのタイムアウト設定が含まれています。
中パスワードセキュリティ
デフォルトの IT ポリシーと同様に、このポリシーでは、ユーザーがデバイスの
ロックを解除するための複雑なパスワードが必要です。ユーザーはパスワード
141
IT ポリシー
事前に設定済みの IT ポリシー
説明
を定期的に変更する必要があります。このポリシーにはパスワードの最大履歴
が含まれています。また、このポリシーによって、デバイスの Bluetooth テクノ
ロジがオフになります。
中セキュリティ（サードパーティアプ
リケーションをダウンロードしない）
中パスワードセキュリティ IT ポリシーと同様に、このポリシーには、複雑なパ
スワード、セキュリティタイムアウト、およびパスワードの最大履歴が必要で
す。ユーザーは、このパスワードを頻繁に変更する必要があります。このポリ
シーにより、ユーザーは、他の Bluetooth 対応デバイスに対して、デバイスを検
出可能にできなくなります。また、デバイスでサードパーティアプリケーショ
ンをダウンロードできなくなります。
高度なセキュリティ
デフォルトの IT ポリシーと同様に、この IT ポリシーでは、ユーザーが頻繁に変
更する必要がある複雑なパスワード、デバイスをロックするパスワードのタイ
ムアウト、およびパスワードの最大履歴が必要です。このポリシーは、デバイ
スでの Bluetooth の使用を制限し、強力なコンテンツ保護をオンにしたり、USB
マスストレージをオフにしたりするだけでなく、デバイスが外部ファイルシス
テムを暗号化するよう要求します。
高度なセキュリティ（サードパーティ
アプリケーションをダウンロードしな
い）
高度なセキュリティ IT ポリシーと同様に、この IT ポリシーでは、ユーザーが頻
繁に変更する必要がある複雑なパスワード、デバイスをロックするパスワード
のタイムアウト、およびパスワードの最大履歴が必要です。このポリシーは、
デバイスでの Bluetooth テクノロジの使用を制限し、強力なコンテンツ保護をオ
ンにしたり、USB マスストレージをオフにしたりするだけでなく、デバイスが
外部ファイルシステムを暗号化するよう要求します。また、このポリシーに
よって、デバイスでは、サードパーティアプリケーションをダウンロードでき
なくなります。
BlackBerry OS IT ポリシーの割り当てと IT ポリ
シーの競合の解決
BlackBerry OS IT ポリシーがユーザーアカウントに直接、またはユーザーグループメンバーシップを通じて割り当てられて
いない場合には、BES12 はデフォルトの IT ポリシーをユーザーアカウントに適用します。ユーザーアカウントに直接割
り当てられた BlackBerry OS IT ポリシーは、ユーザーグループによって間接的に割り当てられた IT ポリシーより優先され
ます。
ユーザーが異なる BlackBerry OS IT ポリシーを持つ複数のユーザーグループのメンバーである場合、BES12 は、次の方法
のいずれかを使用して、ユーザーアカウントに適用する BlackBerry OS IT ポリシーを決定する必要があります。
142
IT ポリシー
方法
説明
1 つの IT ポリシーをユーザーアカウン BES12 は、ランキングが最高の BlackBerry OS IT ポリシーをユーザーアカウント
トに適用する
に適用します。
複数の IT ポリシーをユーザーアカウン BES12 は、各ユーザーグループに割り当てられた BlackBerry OS IT ポリシーを組
トに適用する
み合わせて 1 つの IT ポリシーにし、それをユーザーアカウントに適用します。
その結果、固有の ID を持つ組み合わされた IT ポリシーが作成されます。
IT ポリシールールが複数の BlackBerry OS IT ポリシーで異なる場合、値に明示的
に設定されているルール設定の方が、空白の IT ポリシールール設定（これらの
設定はデフォルト値に戻る）より優先されます。それ以外の場合、BES12 は、
ランキングが最高の IT ポリシーからルール設定を適用することで、競合する
ルール設定を解決します。
次のいずれかの操作を実行した場合、 BES12 で IT ポリシーまたは IT ポリシールール設定の競合を解決する必要が生じる
場合があります。
•
BlackBerry OS IT ポリシーをユーザーアカウントまたはユーザーグループに割り当てる
•
BlackBerry OS IT ポリシーをユーザーアカウントまたはユーザーグループから削除する
•
BlackBerry OS IT ポリシーのランキングを変更する
•
BlackBerry OS IT ポリシーの変更
•
BlackBerry OS IT ポリシーの削除
•
ユーザーグループメンバーシップを変更する（ユーザーアカウントとネストされたグループ）
•
ユーザーグループを削除する
関連情報
BlackBerry OS IT ポリシーのランク付け, （145 ページ）
BES12 が競合する IT ポリシーの解決に使用する方式の変更
ユーザーが、異なる BlackBerry OS IT ポリシーを持つ複数のユーザーグループに属している場合に、BES12 がユーザーア
カウントに適用する BlackBerry OS IT ポリシーを決定する方式は、管理者が変更できます。管理者が競合する IT ポリシー
または IT ポリシールール設定の解決方式を変更した場合、次回の BlackBerry OS IT ポリシー更新プロセスで、組織の
BES12 環境のパフォーマンスに大きな影響を及ぼす場合があります。この機能の設定は、稼働率の低い時間帯に行うこと
をお勧めします。
1.
メニューバーで［BlackBerry OS 設定］をクリックします。
2. ［サーバーとコンポーネント］メニューで、［BlackBerry Solution トポロジ］ > ［BlackBerry Domain］ > ［コンポー
ネントを表示］を展開します。
3. ［BlackBerry Administration Service］をクリックします。
143
IT ポリシー
4.
ページの下部にある［複数の IT ポリシーの解決方法を切り替える］をクリックします。
5. ［［はい］ - 方法を切り替える］をクリックします。
IT ポリシーが適用されていない BlackBerry OS
デバイスの無効化
IT ポリシーが適用されていない BlackBerry OS（バージョン 5.0～7.1）デバイスが BES12 上でアクティブなまま存続する
のを避けるため、
［IT ポリシーが適用されていないユーザーを無効にする］設定を［TRUE］に設定できます。［ユーザー
無効化の時間制限（時間）］設定は、IT ポリシーが適用されていない BlackBerry OS デバイスが BES12 上でアクティブで
いられる時間を指定します。
［IT ポリシーが適用されていないユーザーを無効にする］設定を［TRUE］に設定した場合、デフォルトでは、デバイスが
IT ポリシーを適用するか、または制限時間が切れるまで、BES12 は BlackBerry OS デバイスに BlackBerry OS IT ポリシーを
30 分ごとに送信します。制限時間が切れると、BES12 は BlackBerry OS デバイスの PIN を無効にします。この設定で使
用できる値の範囲は、0～8760 時間です。 0 時間を指定した場合、IT ポリシーを自動的に適用できないときに BlackBerry
OS デバイスが無効化されます。
IT ポリシーが適用されていない BlackBerry OS デバイスの無
効化
1.
メニューバーで［BlackBerry OS 設定］をクリックします。
2. ［サーバーとコンポーネント］メニューで、［BlackBerry Solution トポロジ］ > ［BlackBerry Domain］ > ［コンポー
ネントを表示］ > ［ポリシー］を展開します。
3.
変更するインスタンスをクリックします。
4. ［インスタンスを編集］をクリックします。
5. ［IT ポリシーが適用されていないユーザーを無効にする］ドロップダウンリストで、［TRUE］をクリックします。
6. ［ユーザー無効化の時間制限（時間）］フィールドで、IT ポリシーが適用されていない BlackBerry OS デバイス用の PIN
が BES12 上で無効になるまでの制限時間を入力します。
7. ［すべて保存］をクリックします。
終了したら: BES12 上で BlackBerry OS デバイスを再度アクティブ化する前に、デバイスの［セキュリティオプション］リ
［デバイスデータを消去］または［セキュリティ消去］をクリックしてデバイス上のデータをすべて削除するよう
ストで、
にユーザーに指示してください。
144
IT ポリシー
BlackBerry OS IT ポリシーの作成と管理
BlackBerry OS（バージョン 5.0～7.1）デバイスの事前設定された IT ポリシーを使用するか、またはカスタム IT ポリシー
を作成できます（それにより、たとえば、組織内の異なるユーザーグループの IT ポリシールールを指定できます）。デフォ
ルトの IT ポリシーを含め、事前設定された BlackBerry OS IT ポリシーを使用予定の場合は、それらを見直して、必要に応
じて、ルールが組織のセキュリティ標準を確実に満たすように更新する必要があります。
BlackBerry OS IT ポリシーの作成
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2. ［IT ポリシー
3.
の横の
をクリックします。
BlackBerry OS IT ポリシーの名前と説明を入力します。
4. ［追加］をクリックします。
5.
BlackBerry OS IT ポリシーを設定するには、次の操作を実行します。
a.
b.
c.
［IT ポリシーを編集］をクリックします。
各ポリシーグループのタブをクリックして、IT ポリシールールの適切な値を設定します。
［すべて保存］をクリックします。
終了したら: BlackBerry OS IT ポリシーをランク付けします。
BlackBerry OS IT ポリシーのランク付け
ユーザーが、異なる BlackBerry OS IT ポリシーを持つ複数のユーザーグループのメンバーである場合、BES12 は管理者が
指定したランキングを使用して、競合する IT ポリシーまたは IT ポリシールール設定を解決します。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2.
左ペインで、
［IT ポリシー］
を展開します。
3. ［IT ポリシーのランク付け］をクリックします。
4.
矢印を使用して、BlackBerry OS IT ポリシーを上下に移動してランキングします。
5. ［保存］をクリックします。
関連情報
BlackBerry OS IT ポリシーの割り当てと IT ポリシーの競合の解決, （142 ページ）
BlackBerry OS IT ポリシーの表示
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
145
IT ポリシー
2.
左ペインで、
［IT ポリシー］
3.
表示する BlackBerry OS IT ポリシーの名前をクリックします。
を展開します。
4. ［すべての IT ポリシーを表示］をクリックします。
BlackBerry OS IT ポリシーの変更
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2.
左ペインで、［IT ポリシー］
3.
変更する BlackBerry OS IT ポリシーの名前をクリックします。
を展開します。
4. ［IT ポリシーを編集］をクリックします。
5.
各ポリシーグループの適切なタブで変更を加えます。
6. ［すべて保存］をクリックします。
終了したら: 必要に応じて、BlackBerry OS IT ポリシーのランキングを変更します。
BlackBerry OS IT ポリシーの削除
デフォルトの IT ポリシーを含め、事前設定された BlackBerry OS IT ポリシーは削除できません。カスタム BlackBerry OS
IT ポリシーを削除すると、BES12 は、割り当てられていたユーザーからその IT ポリシーを削除します。
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2.
左ペインで、
［IT ポリシー］
3.
削除する BlackBerry OS IT ポリシーの名前をクリックします。
4.
を展開します。
をクリックします。
5. ［削除］をクリックします。
関連情報
BlackBerry OS IT ポリシーの割り当てと IT ポリシーの競合の解決, （142 ページ）
146
一般のアプリ、内部アプリ、セキュリティ保護されたアプリをデバイスに配布し管理します。
Multiplatform
アプリ
アプリ
デバイスでのアプリの管理
20
BlackBerry 10、iOS、Android、Windows Phone デバイスで管理および監視するアプリのライブラリを作成できます。アプ
リを管理するため、アプリリストにアプリを追加し、それらをユーザーアカウント、ユーザーグループ、またはデバイス
グループに割り当てることができます。
アプリを管理する手順
アプリを管理する場合は、次の操作を実行します。
手順
操作
管理するアプリをアプリリストに追加します。
アプリグループを作成して、複数のアプリを同時に管理したり、Android for Work デバイスでアプリ
を管理したりします。
アプリまたはアプリグループをユーザーアカウント、ユーザーグループ、またはデバイスグループ
に割り当て、ユーザーがインストールできるようにします。
使用可能なアプリリストでのアプリの追加お
よび削除
使用可能なアプリリストには、ユーザー、ユーザーグループ、およびデバイスグループに割り当てることができるすべて
のアプリが含まれます。鍵アイコンが付いたアプリは、Secure Work Space 搭載の iOS および Android デバイスの仕事用領
域にインストールできるセキュリティ保護されたアプリです。
アプリリストへの一般のアプリの追加
一般のアプリは、BlackBerry World ストア、App Store オンラインストア、Google Play ストア、または Windows Phone Store
から入手可能なアプリです。
アプリリストへの BlackBerry アプリの追加
1.
2.
メニューバーで［アプリ］をクリックします。
をクリックします。
148
アプリ
3. ［BlackBerry World］をクリックします。
4.
検索フィールドで、追加するアプリを検索します。アプリ名、ベンダー、または BlackBerry World URL によって検索
できます。
5.
ドロップダウンリストで、検索対象のストアの国を選択します。
6. ［検索］をクリックします。
7.
検索結果で、
［追加］をクリックしてアプリを追加します。
8.
アプリ情報の画面で、
［追加］をクリックします。
アプリリストへの iOS アプリの追加
作業を始める前に: エンタープライズ接続が有効な場合、App Store で使用可能なセキュリティ保護された一部のアプリで
は、BES12 の特定のポートを開く必要があります。詳細については、アプリベンダーにお問い合わせください。
1.
2.
メニューバーで［アプリ］をクリックします。
をクリックします。
3. ［App Store］をクリックします。
4.
検索フィールドで、追加するアプリを検索します。アプリ名、ベンダー、または App Store URL によって検索できま
す。
5.
ドロップダウンリストで、検索対象のストアの国を選択します。
6. ［検索］をクリックします。
7.
検索結果で、
［追加］をクリックしてアプリを追加します。
8. ［サポートされているデバイスのフォームファクター］ドロップダウンリストで、アプリをインストールできるフォー
ムファクターを選択します。たとえば、iPad では、そのアプリが仕事用アプリケーションで使用されないようにす
ることができます。
9.
デバイスが BES12 から削除されたときに、アプリをデバイスから削除するには、
［BES12 からデバイスが削除された
らアプリをデバイスから削除する］を選択します。このオプションは、必須としてマークされた種別のアプリにの
み適用され、必須アプリのデフォルトのインストールは、プロンプトが 1 回表示されるように設定されます。
10. iOS デバイスのアプリが iCloud オンラインサービスにバックアップされないようにするには［アプリに対する iCloud
バックアップを無効化］を選択します。このオプションは、必須としてマークされた種別のアプリにのみ適用され
ます。アプリの種別は、アプリをユーザーまたはグループに割り当てるときに設定します。
11. ［必須アプリのデフォルトのインストール］ドロップダウンリストで、次のいずれかの操作を実行します。
•
ユーザーに対して、iOS デバイスにアプリをインストールするようにプロンプトを 1 回表示する場合は、
［一
度確認する］を選択します。ユーザーは、このプロンプトを無視しても、後から、BES12 Client の［仕事用
アプリケーション］画面またはデバイスの仕事用アプリケーションアイコンを使用してアプリをインストー
ルできます。
•
ユーザーに対してプロンプトを表示しない場合は、［確認しない］を選択します。
149
アプリ
デフォルトのインストール方法は、必須としてマークされた種別のアプリにのみ適用されます。アプリの種別は、
アプリをユーザーまたはグループに割り当てるときに設定します。
12. ［追加］をクリックします。
アプリリストへの Android アプリの追加
使用可能なアプリリストにアプリのみを追加します。映画、音楽、およびニューススタンドメディアはデバイスに配信で
きません。メディアをユーザーに割り当て、メディアの種別を必須として設定すると、デバイスは、そのデバイス自身に
割り当てられたコンプライアンスプロファイルに定義された強制アクションの対象となります。
作業を始める前に: エンタープライズ接続が有効な場合、Google Play で使用可能なセキュリティ保護された一部のアプリ
では、BES12 の特定のポートを開く必要があります。詳細については、アプリベンダーにお問い合わせください。
1.
2.
メニューバーで［アプリ］をクリックします。
をクリックします。
3. ［Google Play］をクリックします。
4. ［Google Play を開く］をクリックし、追加するアプリを検索します。その後、次の手順で、ダウンロードアイコンと
スクリーンショットも使用して、Google Play から情報をコピーして貼り付けることができます。
5. ［アプリ名］フィールドにアプリ名を入力します。
6. ［アプリの説明］フィールドで、アプリの説明を入力します。
7. ［ベンダー］フィールドに、アプリベンダーの名前を入力します。
8. ［アプリアイコン］フィールドで、［参照］をクリックします。アプリのアイコンを見つけて選択します。サポート
されている形式は、.png、.jpg、.jpeg、または .gif です。 Google Chrome を使用してアイコンをダウンロードしない
でください。互換性のない .webp 画像がダウンロードされてしまうからです。
9. ［Google Play からのアプリの Web アドレス］フィールドで、Google Play 内のアプリの Web アドレスを入力します。
10. アプリのスクリーンショットを追加するには、
［追加］をクリックして、スクリーンショットを参照します。サポー
トされる画像の種類は、.jpg、.jpeg、.png、または.gif です。
11. ［送信先］ドロップダウンリストで、次の操作のいずれかを実行します。
•
アプリをすべての Android デバイスに送信する場合は、［すべての Android デバイス］を選択します。
•
Samsung KNOX Workspace を使用する Android デバイスのみにアプリを送信する場合、［KNOX Workspace
デバイスのみ］を選択します。
12. ［追加］をクリックします。
150
アプリ
BES12 が Google ドメインに接続された場合にアプリリストに Android アプリを追加す
る
Android for Work 接続を設定した場合、Android for Work を使用するデバイスを含めて、すべての Android デバイスでアプリ
を管理できます。 Android for Work のサポートのために BES12 を設定する方法の詳細については、help.blackberry.com/
detectLang/bes12/ にアクセスして、設定関連の資料を参照してください。
1.
2.
メニューバーで［アプリ］をクリックします。
をクリックします。
3. ［Google Play］をクリックします。
4. ［Google Play のアプリの URL］フィールドに、Google Play のアプリの Web アドレスを入力します。
5. ［検索］をクリックします。
6.
検索結果で、
［追加］をクリックしてアプリを追加します。
7.
管理者が［承諾］をクリックすると、ユーザーに代わってアプリケーション権限が承諾されます。必須アプリが
Android for Work デバイスに自動的にインストールされるように、管理者はユーザーに代わってアプリケーション権
限を承諾する必要があります。管理者がユーザーに代わってアプリケーション権限を承諾しない場合、アプリを
BES12 で管理することはできません。
8. ［次へ］をクリックします。
9.
アプリのスクリーンショットを追加するには、
［追加］をクリックして、スクリーンショットを参照します。サポー
トされる画像の種類は、.jpg、.jpeg、.png、または.gif です。
10. ［送信先］ドロップダウンリストで、次の操作のいずれかを実行します。
•
アプリをすべての Android デバイスに送信する場合は、［すべての Android デバイス］を選択します。
•
Samsung KNOX Workspace を使用する Android デバイスのみにアプリを送信する場合、［KNOX Workspace
デバイスのみ］を選択します。
11. アプリの設定が存在する場合にのみ、［アプリの設定］テーブルが表示されます。［アプリの設定］テーブルで
をクリックして、アプリの設定を追加します。
12. 必要に応じて、アプリの設定に名前を入力し、使用する設定を指定します。［保存］をクリックします。
13. ［追加］をクリックします。
終了したら: Android for Work デバイスに特定のアプリをインストールする場合、Android for Work に対して有効にされたア
プリグループに目的のアプリを追加して、このアプリグループを特定のユーザーまたはユーザーグループに割り当てます。
アプリリストへの Windows Phone アプリの追加
1.
2.
メニューバーで［アプリ］をクリックします。
をクリックします。
151
アプリ
3. ［Windows Phone ストア］をクリックします。
4. ［Windows Phone ストアを開く］をクリックし、追加するアプリを検索します。その後、次の手順で Windows Phone
Store から情報をコピーして貼り付けたり、アイコンやスクリーンショットをダウンロードすることもできます。
5. ［アプリ名］フィールドにアプリ名を入力します。
6. ［アプリの説明］フィールドで、アプリの説明を入力します。
7. ［ベンダー］フィールドに、アプリベンダーの名前を入力します。
8. ［アプリアイコン］フィールドで、［参照］をクリックします。アプリのアイコンを見つけて選択します。サポート
されている形式は、.png、.jpg、.jpeg、または .gif です。
9. ［Windows Phone ストアからのアプリの Web アドレス］フィールドに、Windows Phone Store 内のアプリの Web アド
レスを入力します。
10. アプリのスクリーンショットを追加するには、
［追加］をクリックして、スクリーンショットを参照します。サポー
トされる画像の種類は、.jpg、.jpeg、.png、または.gif です。
11. ［追加］をクリックします。
アプリリストへの内部アプリの追加
内部アプリには、組織によって開発された独自のアプリ、または組織が独占的に使用するためのアプリが含まれます。内
部アプリは、一般のアプリストアからは追加されません。
BlackBerry アプリは .bar ファイル、iOS アプリは .ipa ファイル、Android アプリは .apk ファイル、および Windows Phone
アプリは .xap ファイルまたは .appx ファイルである必要があります。内部アプリは、BlackBerry 10 デバイスでは［仕事
用 BlackBerry World］の［会社のアプリ］タブに、iOS、Android、および Windows Phone デバイスでは BES12 Client の割
り当てられた仕事用アプリケーションリストに表示されます。内部アプリは、必ず署名付きで、変更することはできませ
ん。
必須の種別が搭載された Samsung KNOX を使用するデバイス上の BlackBerry 10 アプリ、Windows Phone アプリ、Android
アプリは、割り当てられた該当デバイスに自動的にインストールされます。
アプリリストに内部アプリを追加する手順
内部アプリを追加する場合は、次の操作を実行します。
手順
操作
アプリを保存する共有ネットワークの場所を指定します。
Windows Phone アプリを追加する場合は、AET をアップロードします。
152
アプリ
手順
操作
アプリリストへ内部アプリを追加します。
内部アプリを保存する共有ネットワークの場所の指定
内部アプリを使用可能なアプリリストに追加する前に、アプリソースファイルを保存するための共有ネットワークの場所
を指定する必要があります。内部ネットワークを継続して使用できるように確保するため、このネットワークの場所は高
可用性ソリューションを備え、定期的にバックアップする必要があります。また BES12 のアップグレード時に削除され
てしまうため、BES12 のインストールフォルダー内にはフォルダーを作成しないでください。
作業を始める前に:
•
BES12 をホストするネットワーク上に、共有ネットワークフォルダーを作成し、内部アプリのソースファイルを
保存します。
•
BES12 をホストするコンピューターのサービスアカウントに、共有ネットワークフォルダーへの読み取り権限と
書き込み権限があることを確認します。
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、
［アプリ管理］を展開します。
3. ［内部アプリのストレージ］をクリックします。
4. ［ネットワーク上の場所］フィールドに、次の形式で、共有ネットワークフォルダーのパスを入力します。
\\<computer_name>\<shared_network_folder>
共有ネットワークパスは、UNC 形式で入力する必要があります（例：\\ComputerName\Applications\InternalApps）。
5. ［保存］をクリックします。
アプリケーション登録トークン（AET）のアップロード
ユーザーが内部アプリを Windows Phone デバイスにインストールできるようにするには、事前に AET をアップロードする
必要があります。ユーザーがインストールするアプリは、アップロードした AET と証明書を共有している必要がありま
す。アプリケーション登録トークンの生成方法の詳細については、msdn.microsoft.com にアクセスし、「 Windows Phone
用のアプリケーション登録トークンを生成する方法」を参照してください。またコンプライアンスプロファイルで内部ま
たは一般の Windows アプリを監視するには、AET が必要です。
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、
［アプリ管理］を展開します。
3. ［Windows Phone アプリ］をクリックします。
4. ［参照］をクリックして、アップロードする AET へ移動します。
5. ［保存］をクリックします。
153
アプリ
使用可能なアプリリストへの内部アプリの追加
作業を始める前に:
1.
•
内部アプリを保存する共有ネットワークの場所を指定します。
•
Windows Phone アプリを追加する場合は、AET をアップロードします。
メニューバーで［アプリ］をクリックします。
2.
をクリックします。
3. ［内部アプリ］をクリックします。
4. ［参照］をクリックして、追加または更新するアプリへ移動します。
5. ［開く］をクリックします。
6. ［追加］をクリックします。
7.
オプションで、ベンダー名とアプリの説明を追加します。
8.
アプリのスクリーンショットを追加するには、
［追加］をクリックして、スクリーンショットを参照します。サポー
トされる画像の種類は、.jpg、.jpeg、.png、または.gif です。
9.
iOS アプリを追加する場合は、次の操作を実行します。
a.
［サポートされているデバイスのフォームファクター］ドロップダウンリストで、アプリをインストールできる
フォームファクターを選択します。たとえば、iPad では、そのアプリが仕事用アプリケーションで使用されな
いようにすることができます。
b.
デバイスが BES12 から削除されたときに、アプリをデバイスから削除するには、
［BES12 からデバイスが削除
されたらアプリをデバイスから削除する］を選択します。このオプションは、必須としてマークされた種別の
アプリにのみ適用され、必須アプリのデフォルトのインストールは、プロンプトが 1 回表示されるように設定
されます。
c.
iOS デバイスのアプリが iCloud オンラインサービスにバックアップされないようにするには［アプリに対する
iCloud バックアップを無効化］を選択します。このオプションは、必須としてマークされた種別のアプリにの
み適用されます。アプリの種別は、アプリをユーザーまたはグループに割り当てるときに設定します。
d.
iOS デバイスにアプリをインストールするようにプロンプトを 1 回表示する場合は、［必須アプリのデフォルト
［一度確認する］を選択します。ユーザーは、このプロンプト
のインストール方法］ドロップダウンリストで、
を無視しても、後から、BES12 Client の［仕事用アプリケーション］アプリまたはデバイスの仕事用アプリケー
ションアイコンを使用してアプリをインストールできます。
10. Android アプリを追加する場合は、
［送信先］ドロップダウンリストで、次のいずれかの操作を実行します。
•
アプリをすべての Android デバイスに送信する場合は、
［すべての Android デバイス］を選択します。
•
Samsung KNOX Workspace を使用する Android デバイスのみにアプリを送信する場合、［KNOX Workspace
デバイスのみ］を選択します。
11. ［追加］をクリックします。
154
アプリ
アプリリストへのセキュリティ保護されたアプリの追加
セキュリティ保護されたアプリは、特に、Secure Work Space を備えた iOS および Android デバイスの仕事用領域で稼働す
るように準備されます。セキュリティ保護されたアプリのセキュリティは、BlackBerry 10 デバイスの仕事用領域にイン
ストールされたアプリと同レベルです。 iOS アプリは .ipa ファイル、および Android アプリは .apk ファイルである必要が
あります。セキュリティ保護されたアプリはラップされ署名されている必要があります。
セキュリティ保護されたアプリは、鍵アイコン付きでアプリリストに一覧されます。
アプリリストにセキュリティ保護されたアプリを追加する手順
セキュリティ保護されたアプリを管理する場合は、次の操作を実行します。
手順
操作
iOS または Android デバイスで、セキュリティ保護するカスタムアプリを特定します。
管理コンソールを使用して、仕事領域で使用するアプリをセキュリティ保護します。
アプリをセキュリティ保護した後に、セキュリティ保護されたファイルを管理コンソールからダウ
ンロードします。
開発者にアプリへの再署名を依頼します。
再署名されたアプリを開発者から受け取った後、そのアプリを管理コンソールの使用可能なアプリ
リストに追加します。
アプリをセキュリティで保護
アプリを iOS および Android デバイスの仕事用領域にインストールできるように、管理コンソールを使用してアプリをセ
キュリティ保護することができます。
作業を始める前に:
•
開発者からアプリのバイナリファイル（.apk または .ipa）を取得します。アプリファイルのサイズは、50MB 以
下にする必要があります。
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、
［外部統合］を展開します。
3. ［Secure Work Space］をクリックします。
155
アプリ
4. ［アプリをセキュリティで保護］セクションで、アプリケーションファイル（.apk または .ipa）を参照し、［アップ
ロード］をクリックします。
5.
アプリのステータスを確認します。プロセスには、数分から数時間かかることがあります。
6.
ステータスが［セキュリティ保護が完了］の場合は、［ダウンロード］をクリックして、セキュリティ保護されたア
プリをローカルコンピューターにダウンロードします。
終了したら:
•
開発者にセキュリティ保護されたアプリの再署名を依頼します。
•
使用可能なアプリリストへアプリを追加します。
アプリの再署名
iOS または Android アプリをセキュリティ保護した後、開発者によってアプリに再署名する必要があります。セキュリ
ティ保護され、再署名されたアプリは、配布するために管理者に戻されます。
iOS デバイスのセキュリティ保護されたアプリが特定の iOS リソースにアクセスしたり、特定の動作（たとえば、プッシュ
通知）を実行したりする必要がある場合は、アプリ開発者が権利設定ファイルを作成する必要があります。
詳細については、developer.blackberry.com/devzone にアクセスし、「Re-signing an app」を参照してください。
アプリリストからのアプリの削除
アプリリストからアプリを削除すると、そのアプリは割り当てられていたユーザーまたはグループから割り当て解除され、
それ以降、デバイスの仕事用アプリケーションカタログには表示されません。
1.
メニューバーで［アプリ］をクリックします。
2.
アプリリストから削除するアプリの横にあるチェックボックスをオンにします。
3.
をクリックします。
4. ［削除］をクリックします。
Android デバイスでのアプリの動作
［MDM コントロール］、［仕事用および個人用 - フルコントロール（Secure Work Space）］、および［仕事用および個人用ユーザープライバシー（Secure Work Space）］でアクティベーションを行ったデバイスの場合、以下のような動作になり
ます。
156
アプリ
アプリタイプ
必須の種別になっている一
般のアプリ
アプリがユーザーに割り当
てられるときの動作
アプリがユーザーから割り
当て解除されるときの動作
デバイスが BES12 から削除
•
ユーザーはアプリをイ
ンストールするように
要求されます。
•
ユーザーはアプリを削
除するように要求され
ます。
•
ユーザーはアプリを削
除するように要求され
ます。
•
アプリは BES12 Client
•
アプリは BES12 Client
•
ユーザーはアプリを削
除するように要求され
ます。
•
ユーザーはアプリを削
除するように要求され
ます。
の割り当てられた仕事
用アプリリストに表示
されます。
オプションの種別になって
いる一般のアプリ
の割り当てられた仕事
用アプリリストに表示
されなくなります。
•
コンプライアンスプロ
ファイルを使用して、必
須アプリがインストー
ルされていない場合に
実行する操作を定義で
きます。
•
ユーザーはアプリをイ
ンストールするかどう
かを選択できます。
•
ユーザーはアプリを削
除するように要求され
ます。
•
アプリは BES12 Client
•
アプリは BES12 Client
の割り当てられた仕事
用アプリリストに表示
されます。
必須の種別になっている内
部アプリ
の割り当てられた仕事
用アプリリストに表示
されなくなります。
•
ユーザーはアプリをイ
ンストールするように
要求されます。
•
ユーザーはアプリを削
除するように要求され
ます。
•
アプリは BES12 Client
•
アプリは BES12 Client
の割り当てられた仕事
用アプリリストに表示
されます。
•
されるときの動作
の割り当てられた仕事
用アプリリストに表示
されなくなります。
コンプライアンスプロ
ファイルを使用して、必
須アプリがインストー
ルされていない場合に
実行する操作を定義で
きます。
157
アプリ
アプリタイプ
オプションの種別になって
いる内部アプリ
アプリがユーザーに割り当
てられるときの動作
アプリがユーザーから割り
当て解除されるときの動作
デバイスが BES12 から削除
•
ユーザーはアプリをイ
ンストールするかどう
かを選択できます。
•
ユーザーはアプリを削
除するように要求され
ます。
•
•
アプリは BES12 Client
•
アプリは BES12 Client
の割り当てられた仕事
用アプリリストに表示
されます。
されるときの動作
ユーザーはアプリを削
除するように要求され
ます。
の割り当てられた仕事
用アプリリストに表示
されなくなります。
［MDM コントロール］でアクティベーションを行った Samsung KNOX デバイスの場合、以下のような動作になります。
アプリタイプ
必須の種別になっている一
般のアプリ
アプリがユーザーに割り当
てられるときの動作
アプリがユーザーから割り
当て解除されるときの動作
デバイスが BES12 から削除
•
ユーザーはアプリをイ
ンストールするように
要求されます。
•
ユーザーはアプリをア
ンインストールするよ
うに要求されます。
•
•
割り当てられたアプリ
は BES12 Client に表示
ユーザーは割り当てら
れた仕事用アプリケー
ションをアンインス
トールするように要求
されます。
•
ユーザーはアプリをア
ンインストールするよ
うに要求されます。
•
ユーザーは割り当てら
れた仕事用アプリケー
ションをアンインス
トールするように要求
されます。
されるときの動作
されます。ユーザーが
インストールボタンを
クリックすると、Google
Play が開いて、ここから
アプリがインストール
されます。
オプションの種別になって
いる一般のアプリ
•
コンプライアンスプロ
ファイルを使用して、必
須アプリがインストー
ルされていない場合に
実行する操作を定義で
きます。
•
ユーザーはアプリをイ
ンストールするかどう
かを選択できます。
•
割り当てられたアプリ
は BES12 Client に表示
されます。ユーザーが
158
アプリ
アプリタイプ
アプリがユーザーに割り当
てられるときの動作
アプリがユーザーから割り
当て解除されるときの動作
デバイスが BES12 から削除
されるときの動作
インストールボタンを
クリックすると、Google
Play が開いて、ここから
アプリがインストール
されます。
必須の種別になっている内
部アプリ
•
アプリは自動的にデバ •
イスにインストールさ
れます。ユーザーはア
アプリは自動的にデバ •
イスから削除されます。
アプリは自動的にデバ
イスから削除されます。
アプリは自動的にデバ •
イスから削除されます。
アプリは自動的にデバ
イスから削除されます。
プリをアンインストー
ルできません。
•
割り当てられたアプリ
は BES12 Client からイ
ンストールされます。
オプションの種別になって
いる内部アプリ
•
ユーザーはアプリをイ
ンストールするかどう
かを選択できます。
•
割り当てられたアプリ
は BES12 Client からイ
•
ンストールされます。
仕事用領域専用（Samsung KNOX）でアクティベーションを行った Samsung KNOX デバイスの場合、以下のような動作に
なります。
アプリタイプ
必須の種別になっている一
般のアプリ
アプリがユーザーに割り当
てられるときの動作
アプリがユーザーから割り
当て解除されるときの動作
デバイスが BES12 から削除
•
•
•
仕事用領域とすべての
仕事用アプリケーショ
ンは自動的に削除され
ます。
•
アプリはこれ以降
Google Play 内で自動的
•
すべての一般のアプリ
は、仕事用領域ではデ
フォルトで制限されま
す。
アプリはデバイスから
削除され、Google Play
されるときの動作
からインストールでき
なくなります。
割り当てられたアプリ
は BES12 Client に表示
されますが、Google Play
からインストールする
必要があります。
159
に制限されません。
アプリ
アプリタイプ
アプリがユーザーに割り当
てられるときの動作
•
アプリがユーザーから割り
当て解除されるときの動作
デバイスが BES12 から削除
されるときの動作
Google Play は、ユー
ザーに割り当てられた
IT ポリシーで有効にす
る必要があります。
オプションの種別になって
いる一般のアプリ
•
コンプライアンスプロ
ファイルを使用して、必
須アプリがインストー
ルされていない場合に
実行する操作を定義で
きます。
•
すべてのアプリは、仕事 •
用領域でデフォルトで
制限されます。
•
割り当てられたアプリ
は BES12 Client に表示
アプリはデバイスから
削除され、Google Play
•
仕事用領域とすべての
仕事用アプリケーショ
ンは自動的に削除され
ます。
•
アプリはこれ以降
Google Play 内で自動的
からインストールでき
なくなります。
されますが、Google Play
に制限されません。
からインストールする
必要があります。
•
Google Play は、ユー
ザーに割り当てられた
IT ポリシーで有効にす
る必要があります。
必須の種別になっている内
部アプリ
•
アプリは自動的にデバ •
イスにインストールさ
れます。ユーザーはア
アプリは自動的にデバ •
イスから削除されます。
仕事用領域とすべての
仕事用アプリケーショ
ンは自動的に削除され
ます。
アプリは自動的にデバ •
イスから削除されます。
仕事用領域とすべての
仕事用アプリケーショ
ンは自動的に削除され
ます。
プリをアンインストー
ルできません。
オプションの種別になって
いる内部アプリ
•
ユーザーはアプリをイ
ンストールするかどう
かを選択できます。
•
割り当てられたアプリ
は BES12 Client からイ
•
ンストールされます。
160
アプリ
［仕事用および個人用 - フルコントロール（Samsung KNOX）］でアクティベーションを行ったデバイスの場合、以下のよ
うな動作になります。
アプリタイプ
必須の種別になっている一
般のアプリ
デバイスが BES12 から削除
アプリがユーザーに割り当
てられるときの動作
アプリがユーザーから割り
当て解除されるときの動作
•
すべての一般のアプリ
は、仕事用領域ではデ
フォルトで制限されま
す。
•
アプリは個人用領域に •
残されますが、仕事用領
域から削除されます。
仕事用領域は削除され、
アプリは個人用領域に
残されます。
•
ユーザーはアプリをイ
ンストールするように
要求されます。
•
割り当てられたアプリ
は BES12 Client に表示
•
コンプライアンスプロ
ファイルを使用して、必
須アプリがインストー
ルされていない場合に
実行する操作を定義で
きます。
•
すべてのアプリは、仕事 •
用領域でデフォルトで
制限されます。
アプリは個人用領域に •
残されますが、仕事用領
域から削除されます。
仕事用領域は削除され、
アプリは個人用領域に
残されます。
•
割り当てられたアプリ
は BES12 Client に表示
されるときの動作
されます。ユーザーが
インストールボタンを
クリックすると、Google
Play が開いて、ここから
アプリがインストール
されます。
オプションの種別になって
いる一般のアプリ
されますが、Google Play
からインストールする
必要があります。
•
Google Play は、ユー
ザーに割り当てられた
IT ポリシーで有効にす
る必要があります。
161
アプリ
アプリタイプ
必須の種別になっている内
部アプリ
アプリがユーザーに割り当
てられるときの動作
•
アプリがユーザーから割り
当て解除されるときの動作
アプリは自動的にデバ •
イスにインストールさ
れます。ユーザーはア
デバイスが BES12 から削除
されるときの動作
アプリは自動的にデバ •
イスから削除されます。
仕事用領域は削除され、
アプリは個人用領域に
残されます。
アプリは自動的にデバ •
イスから削除されます。
仕事用領域は削除され、
アプリは個人用領域に
残されます。
プリをアンインストー
ルできません。
オプションの種別になって
いる内部アプリ
•
ユーザーはアプリをイ
ンストールするかどう
かを選択できます。
•
割り当てられたアプリ
は BES12 Client からイ
•
ンストールされます。
［仕事用および個人用 - ユーザープライバシー（Android for Work）］でアクティベーションを行ったデバイスの場合、以下
のような動作になります。
アプリタイプ
必須の種別になっている一
般のアプリ
デバイスが BES12 から削除
アプリがユーザーに割り当
てられるときの動作
アプリがユーザーから割り
当て解除されるときの動作
•
アプリは自動的にイン
ストールされます。
•
アプリは自動的にデバ •
イスから削除されます。
•
割り当てられたアプリ
は BES12 Client からイ
仕事用プロファイルと
割り当てられた仕事用
アプリケーションはデ
バイスから削除されま
す。
•
アプリは自動的にデバ •
イスから削除されます。
仕事用プロファイルと
割り当てられた仕事用
アプリケーションはデ
バイスから削除されま
す。
されるときの動作
ンストールされます。
オプションの種別になって
いる一般のアプリ
•
ユーザーはアプリをイ
ンストールするかどう
かを選択できます。
•
アプリは Google Play for
Work に表示されます。
必須の種別になっている内
部アプリ
•
サポート対象外です。
•
サポート対象外です。
•
サポート対象外です。
オプションの種別になって
いる内部アプリ
•
サポート対象外です。
•
サポート対象外です。
•
サポート対象外です。
162
アプリ
iOS デバイスでのアプリの動作
［MDM コントロール］、［仕事用および個人用 - フルコントロール（Secure Work Space）］、および［仕事用および個人用ユーザープライバシー（Secure Work Space）］でアクティベーションを行ったデバイスの場合、以下のような動作になり
ます。
アプリタイプ
必須の種別になっている一
般のアプリ
アプリがユーザーに割り当
てられるときの動作
•
•
アプリがユーザーから割り
当て解除されるときの動作
アプリの設定によって •
は、ユーザーがアプリの
インストールを要求さ
れることがあります。 •
アプリは、ユーザープラ
イバシーでアクティ
ベーションを行ったデ
バイスで、［仕事用アプ
リケーション］アプリま
たは BES12 Client に表
オプションの種別になって
いる一般のアプリ
コンプライアンスプロ
ファイルを使用して、必
須アプリがインストー
ルされていない場合に
実行する操作を定義で
きます。
•
ユーザーはアプリをイ
ンストールするかどう
かを選択できます。
•
されるときの動作
アプリは自動的にデバ •
イスから削除されま
す。
アプリは、ユーザープ
ライバシーでアクティ
ベーションを行ったデ
バイスで、
［仕事用アプ •
リケーション］アプリ
または BES12 Client に
表示されなくなりま
す。
示されます。
•
デバイスが BES12 から削除
•
アプリは自動的にデバ •
イスから削除されま
す。
アプリは、ユーザープラ •
イバシーでアクティ
ベーションを行ったデ
バイスで、［仕事用アプ
リケーション］アプリま
たは BES12 Client に表
アプリは、ユーザープ
ライバシーでアクティ
ベーションを行ったデ
バイスで、
［仕事用アプ •
リケーション］アプリ
または BES12 Client に
示されます。
表示されなくなりま
す。
163
Secure Work Space を搭
載したデバイスの場合、
仕事用領域とすべての
仕事用アプリケーショ
ンは自動的に削除され
ます。
MDM コントロールでア
クティベーションを
行ったデバイスの場合、
すべての仕事用領域ア
プリが自動的に削除さ
れます。
Secure Work Space を搭
載したデバイスの場合、
仕事用領域とすべての
仕事用アプリケーショ
ンは自動的に削除され
ます。
MDM コントロールでア
クティベーションを
行ったデバイスの場合、
すべての仕事用領域ア
プリが自動的に削除さ
れます。
アプリ
アプリタイプ
必須の種別になっている内
部アプリ
アプリがユーザーに割り当
てられるときの動作
•
•
アプリがユーザーから割り
当て解除されるときの動作
アプリの設定によって •
は、ユーザーがアプリの
インストールを要求さ
れることがあります。 •
アプリは、ユーザープラ
イバシーでアクティ
ベーションを行ったデ
バイスで、［仕事用アプ
リケーション］アプリま
たは BES12 Client に表
オプションの種別になって
いる内部アプリ
コンプライアンスプロ
ファイルを使用して、必
須アプリがインストー
ルされていない場合に
実行する操作を定義で
きます。
•
ユーザーはアプリをイ
ンストールするかどう
かを選択できます。
•
されるときの動作
アプリは自動的にデバ •
イスから削除されま
す。
アプリは、ユーザープ
ライバシーでアクティ
ベーションを行ったデ
バイスで、
［仕事用アプ •
リケーション］アプリ
または BES12 Client に
表示されなくなりま
す。
示されます。
•
デバイスが BES12 から削除
•
アプリは自動的にデバ •
イスから削除されま
す。
アプリは、ユーザープラ •
イバシーでアクティ
ベーションを行ったデ
バイスで、［仕事用アプ
リケーション］アプリま
たは BES12 Client に表
アプリは、ユーザープ
ライバシーでアクティ
ベーションを行ったデ
バイスで、
［仕事用アプ •
リケーション］アプリ
または BES12 Client に
示されます。
表示されなくなりま
す。
Secure Work Space を搭
載したデバイスの場合、
仕事用領域とすべての
仕事用アプリケーショ
ンは自動的に削除され
ます。
MDM コントロールでア
クティベーションを
行ったデバイスの場合、
すべての仕事用領域ア
プリが自動的に削除さ
れます。
Secure Work Space を搭
載したデバイスの場合、
仕事用領域とすべての
仕事用アプリケーショ
ンは自動的に削除され
ます。
MDM コントロールでア
クティベーションを
行ったデバイスの場合、
すべての仕事用領域ア
プリが自動的に削除さ
れます。
BlackBerry デバイスでのアプリの動作
［仕事用および個人用 - 会社（仕事用領域専用）］または［仕事用および個人用 - 規制］でアクティベーションを行った
BlackBerry デバイスの場合、以下のような動作になります。
164
アプリ
アプリタイプ
必須の種別になっている一
般のアプリ
デバイスが BES12 から削除
アプリがユーザーに割り当
てられるときの動作
アプリがユーザーから割り
当て解除されるときの動作
•
ユーザーはアプリをイ
ンストールするように
要求されます。
•
ユーザーはアプリをア •
ンインストールするよ
うに要求されます。
•
アプリは、仕事用
BlackBerry World の［一
仕事用領域とすべての
仕事用アプリケーショ
ンは自動的に削除され
ます。
•
ユーザーはアプリをア •
ンインストールするよ
うに要求されます。
仕事用領域とすべての
仕事用アプリケーショ
ンは自動的に削除され
ます。
•
アプリは自動的にデバ •
イスから削除されま
す。
仕事用領域とすべての
仕事用アプリケーショ
ンは自動的に削除され
ます。
•
アプリは自動的にデバ •
イスから削除されま
す。
仕事用領域とすべての
仕事用アプリケーショ
ンは自動的に削除され
ます。
されるときの動作
般のアプリ］タブに表示
されます。
オプションの種別になって
いる一般のアプリ
•
ユーザーはアプリをイ
ンストールするかどう
かを選択できます。
•
アプリは、仕事用
BlackBerry World の［一
般のアプリ］タブに表示
されます。
必須の種別になっている内
部アプリ
オプションの種別になって
いる内部アプリ
•
アプリは自動的にデバ
イスにインストールさ
れます。
•
ユーザーはアプリをア
ンインストールできま
せん。
•
アプリは自動的にデバ
イスにインストールさ
れます。
•
ユーザーはアプリをア
ンインストールできま
せん。
特定の iOS、Android、および Windows Phone
アプリのユーザーによるインストールの防止
ユーザーがデバイスにインストールするのを回避する iOS、Android、および Windows Phone アプリのリストを作成できま
す。たとえば、大量のリソースを必要とする悪意あるアプリをユーザーがインストールするのを防ぐことができます。
165
アプリ
iOS デバイス、または Samsung KNOX MDM を使用しない Android デバイスに制限されたアプリがインストールされている
場合に、特定の操作を強制実行するには、コンプライアンスプロファイルを作成して、そのコンプライアンスプロファイ
ルをユーザーまたはユーザーグループに割り当てます。コンプライアンスプロファイルは、ユーザーが制限されたアプリ
をデバイスから削除しない場合に実行される操作を指定します。ユーザーが制限されたアプリをインストールした場合
は、準拠していないユーザーのデバイスレポート、制限されたアプリ、アプリがアンインストールされない場合に実行さ
れる操作がコンプライアンスレポートに表示されます。
Windows Phone 8.1 以降の場合、および KNOX MDM を使用する Android デバイスの場合、コンプライアンスプロファイル
にアプリを追加するだけで済みます。コンプライアンスのための操作を指定する必要はありません。これは、コンプライ
アンスプロファイルに追加されたアプリをユーザーがインストールできないからです。ユーザーが制限されたアプリを
インストールしようとすると、アプリが制限されておりインストールできないことを示すメッセージがデバイスに表示さ
れます。
BlackBerry 10 デバイスや、Samsung KNOX Workspace または Android for Work を使用する Android デバイスの場合は、ユー
ザーは許可された仕事領域にしかアプリをインストールできないため、制限されたアプリリストを作成する必要はありま
せん。
ユーザーによるアプリのインストールを防止する手順
ユーザーによるアプリのインストールを防止する場合は、次の操作を実行します。
手順
操作
制限されたアプリリストにアプリを追加します。
制限されたアプリがデバイスにインストールされている場合に実行する操作を指定したコンプラ
イアンスプロファイルを作成または編集します。
コンプライアンスプロファイルをユーザー、ユーザーグループ、またはデバイスグループに割り
当てます。
制限されたアプリリストへのアプリの追加
制限されたアプリリストは、iOS、Android、または Windows Phone デバイスへのユーザーによるインストールを回避した
いアプリのライブラリです。
1.
メニューバーで［アプリ］をクリックします。
2. ［制限付きアプリ］をクリックします。
3.
4.
をクリックします。
次のタスクのいずれかを実行します。
166
アプリ
タスク
手順
制限リストへの iOS アプリの追加
1. ［App Store］をクリックします。
2.
検索フィールドで、追加するアプリを検索します。アプリ名、ベン
ダー、または App Store URL によって検索できます。
3. ［検索］をクリックします。
4.
検索結果で、［追加］をクリックしてアプリを追加します。
制限リストへの Android アプリの追
1. ［Google Play］をクリックします。
加
2. ［アプリ名］フィールドにアプリ名を入力します。
3. ［Google Play からのアプリの Web アドレス］フィールドで、Google Play
内のアプリの Web アドレスを入力します。
4. ［追加］をクリックしてアプリを追加するか、
［追加して新規作成］をク
リックして現在のアプリを追加した後に、別のアプリを追加します。
制限リストへの Windows Phone アプ
1. ［Windows Phone ストア］をクリックします。
リの追加
2. ［アプリ名］フィールドにアプリ名を入力します。
3. ［Windows Phone ストアからのアプリの Web アドレス］フィールドに、
Windows Phone Store 内のアプリの Web アドレスを入力します。
4. ［追加］をクリックしてアプリを追加するか、
［追加して新規作成］をク
リックして現在のアプリを追加した後に、別のアプリを追加します。
アプリグループの管理
アプリグループを使用して、ユーザー、ユーザーグループ、またはデバイスグループに割り当てることができるアプリの
集合体を作成できます。アプリをグループ化すると、アプリを管理する際の効率と一貫性を高めることができます。たと
えば、アプリグループを使用して、複数のデバイスタイプ向けに同じアプリをグループ化したり、組織内の同じロールの
ユーザー向けにアプリをグループ化したりできます。
またアプリグループは Android for Work デバイスでのアプリ管理にも使用されます。 Android for Work デバイスでアプリ
を管理するには、Android for Work に対してアプリグループを有効にする必要があります。 Android for Work に対してアプ
リグループを有効にすると、アプリリスト内のグループフォルダーに Android for Work アイコンが表示されます。 Android
for Work に対してアプリグループが有効になった後、これを Android for Work アプリグループとして無効にすることはでき
ません。 Android for Work に対して有効にしたアプリグループは、200 グループまで作成できます。
BES12 では、「おすすめの Android for Work アプリ」という名前で Android for Work アプリグループが既に設定されていま
す。このアプリグループには、Google Chrome ブラウザーと Divide Productivity アプリが含まれていますが、このグループ
にアプリを追加することができます。
167
アプリ
アプリグループの作成
作業を始める前に: 使用可能なアプリリストへのアプリの追加
1.
メニューバーで［アプリ］をクリックします。
2.
をクリックします。
3. ［Android for Work のアプリグループを有効化］オプションを選択して、Android for Work デバイスにインストールで
きるアプリを含めて、アプリのグループを作成します。アプリグループは、Google ドメインにも作成されます。
4.
アプリグループの名前と説明を入力します。
5.
6.
をクリックします。
iOS アプリを追加する場合は、次のタスクのいずれかを実行します。
タスク
手順
VPP アカウントを追加していない場合
1. ［追加］をクリックします。
1 つ以上の VPP アカウントを追加している場合
1. ［次へ］をクリックします。
2.
iOS アプリにライセンスを割り当てる場合は、［は
い］を選択します。ライセンスを割り当てない場
合、または、アプリに割り当てるライセンスがない
場合には、［いいえ］を選択します。
3.
アプリにライセンスが割り当てられている場合に
は、［アプリライセンスを付与］ドロップダウンリ
ストで、アプリに関連付ける VPP アカウントを選択
します。
4. ［追加］をクリックします。
支払い済みのアプリをインストールするには、ユーザー
はデバイスで手順に従って組織の VPP に登録する必要
があります。一度はこのタスクを完了する必要がありま
す。
メモ: 使用可能な数より多くのライセンスにアクセスを
付与した場合は、使用可能なライセンスにアクセスして
いる最初のユーザーがアプリをインストールできます。
7.
アプリグループに追加するアプリを選択します。
8. ［追加］をクリックします。
9. ［追加］をクリックします。
168
アプリ
アプリグループの編集
1.
メニューバーで［アプリ］をクリックします。
2.
編集するアプリグループをクリックします。
3.
必要な編集を加えます。
4. ［保存］をクリックします。
Apple VPP アカウントの管理
Apple Volume Purchase Program（VPP）を使用すると、iOS アプリを一括で購入して配布できます。 VPP アカウントに関
連付けられた iOS アプリの購入済みライセンスを配布できるように、Apple VPP アカウントを BES12 にリンクできます。
Apple VPP アカウントの追加
1.
メニューバーで［アプリ］をクリックします。
2. ［iOS App ライセンス］をクリックします。
3. ［Apple VPP アカウントを追加］をクリックします。
4.
VPP アカウントの名前とアカウント情報を入力します。
5.
.vpp トークンファイルから 64 ビットコードをコピーし［VPP サービストークン］フィールドに貼り付けます。これ
は、VPP ストアからダウンロードした VPP アカウントホルダーのファイルです。
6. ［次へ］をクリックします。
7.
アプリリストに追加するアプリを選択します。アプリが既にアプリリストに追加されている場合は、それを選択で
きず、ステータスは［追加済み］になっています。
8.
アプリが BES12 から削除されたときに、アプリをデバイスから削除するには、
［システムからデバイスが削除された
らアプリをデバイスから削除する］を選択します。
9.
iOS デバイスのアプリが iCloud オンラインサービスにバックアップされないようにするには、そのオプションの
チェックボックスをオンにします。このオプションは、必須としてマークされた種別のアプリにのみ適用されま
す。アプリの種別は、アプリをユーザーまたはグループに割り当てるときに設定します。
10. ［デフォルトのインストール方法］ドロップダウンリストで、次の操作のいずれかを実行します。
•
ユーザーに対して、iOS デバイスにアプリをインストールするようにプロンプトを 1 回表示する場合は、
［一
度確認する］を選択します。ユーザーは、このプロンプトを無視しても、後から、BES12 Client の［仕事用
アプリケーション］画面またはデバイスの仕事用アプリケーションアイコンを使用してアプリをインストー
ルできます。
•
［確認しない］
169
アプリ
デフォルトのインストール方法は、必須としてマークされた種別のアプリにのみ適用されます。アプリの種別は、
アプリをユーザーまたはグループに割り当てるときに設定します。
11. ［追加］をクリックします。
Apple VPP アカウントの編集
1.
メニューバーで［アプリ］をクリックします。
2. ［iOS App ライセンス］をクリックします。
3.
4.
をクリックします。
VPP アカウント情報を編集します。
5. ［保存］をクリックします。
Apple VPP アカウント情報の更新
［アプリライセンス］ページが開かれている場合は、ライセンス情報が Apple VPP サーバーと自動的に同期され、最新情報
が示されます。必要な場合は、BES12 に追加したライセンス情報を手動で更新できます。
1.
メニューバーで［アプリ］をクリックします。
2. ［iOS App ライセンス］をクリックします。
3.
をクリックします。
Apple VPP アカウントの削除
作業を始める前に: VPP アカウントを削除する前に、ライセンスが関連付けられているアプリをユーザーから削除します。
1.
メニューバーで［アプリ］をクリックします。
2. ［iOS App ライセンス］をクリックします。
3.
をクリックします。
4. ［削除］をクリックします。
アプリを必須にするかオプションにするかの
変更
アプリを必須にするかオプションにするかを変更できます。アプリを必須またはオプションに設定したときに実行され
る操作は、アプリ、デバイス、アクティベーションなどのタイプによって異なります。
170
アプリ
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2.
変更するアプリがユーザーアカウントに割り当てられている場合は、検索結果で、ユーザーアカウントの名前をク
リックします。
3.
変更するアプリがグループに割り当てられている場合は、
［グループ］をクリックしてユーザーグループのリストを
展開し、グループの名前をクリックします。
4. ［グループ割り当てアプリとユーザー割り当てアプリ］セクションで、変更するアプリの種別をクリックします。
5.
アプリの［種別］ドロップダウンリストで、［オプション］または［必須］を選択します。
6. ［割り当て］をクリックします。
関連情報
Android デバイスでのアプリの動作, （156 ページ）
iOS デバイスでのアプリの動作, （163 ページ）
BlackBerry デバイスでのアプリの動作, （164 ページ）
ユーザーアカウントに割り当てられたアプリ
およびアプリグループのステータスの表示
1.
メニューバーで［アプリ］をクリックします。
2.
表示するアプリまたはアプリグループの［ユーザーに割り当てられています］の下の数字をクリックします。
3. ［x ユーザーに割り当て済み］をクリックして、このアプリが割り当てられているユーザーアカウントを表示します。
4. ［割り当て基準］列を表示して、アプリまたはアプリグループが直接ユーザーアカウントまたはグループに割り当て
られているかどうかを確認します。
5. ［ステータス］列を表示して、アプリがデバイスにインストールされているかどうかを確認します。以下に考えられ
るステータスを示します。
•
インストールされています：アプリはユーザーのデバイスに正常にインストールされました。
•
インストールされていません：アプリはユーザーのデバイスにまだインストールされていません。
•
インストールできません：アプリはユーザーのデバイスでサポートされていません。
•
サポート対象外：デバイスの OS はこのアプリをサポートしていません。
ユーザーグループに割り当てられているアプ
リの表示
1.
メニューバーで［アプリ］をクリックします。
171
アプリ
2.
表示するアプリの［ユーザーに割り当てられています］の下の数字をクリックします。
3. ［x グループに割り当て済み］をクリックして、このアプリが割り当てられているユーザーグループを表示します。
使用可能なアプリリストの情報の更新
アプリリスト内の BlackBerry 10 および iOS アプリに関する最新情報を確認するために、アプリリストを更新できます。
Android for Work の設定がある場合は、Android アプリのアプリ情報を更新することもできます。 Android for Work の設定前
に Android アプリを既に追加していた場合、またはアプリケーション権限を変更した場合、Android for Work デバイスでこ
れらのアプリを利用できるようにするために、アプリ情報を更新する必要があります。 Android for Work 接続を変更した
場合も、同様に更新が必要になります。
Android for Work 接続および Windows Phone アプリを使用していない場合、Google Play に関する情報は手動で更新する必
要があります。アプリ情報を更新しても、ユーザーのデバイスのアプリが更新されるわけではありません。ユーザーは、
個人用アプリの更新通知を受信するのと同じ方法で、仕事用アプリの更新通知を受信します。
1.
2.
メニューバーで［アプリ］をクリックします。
をクリックします。
Android for Work アプリのアプリケーション権
限の更新
管理者がユーザーに代わってアプリケーション権限を承諾していない場合、Android for Work に対して有効にしたアプリグ
ループにアプリを追加できず、Android for Work デバイスに割り当てることができません。アプリリストにアプリを追加
する場合、アプリケーション権限を承諾する必要があります。また、アプリに対してアプリケーション権限が変更された
場合は、後から再び承諾しなければならない場合があります。
また Google Play for Work コンソールからアプリの承認を解除できますが、アプリはその後も利用可能として BES12 に表示
されます。 Google Play for Work との間でリストを同期する場合、BES12 でアプリ情報を更新する必要があります。
1.
2.
メニューバーで［アプリ］をクリックします。
をクリックします。
3. ［閉じる］をクリックします。
4.
アプリリストでは、権限の変更があったアプリには注意アイコンが表示されます。権限が変更されたアプリをク
リックします。
5. ［アプリの権限を表示］をクリックします。
6. ［承諾］を選択します。
7. ［承諾］をクリックします。
172
アプリ
8. ［保存］をクリックします。
BlackBerry World の組織名の設定
仕事用会社アプリストア向けの組織名を BlackBerry World に追加できます。
1.
メニューバーで［設定］をクリックします。
2. ［アプリ管理］を展開し、［仕事用 BlackBerry World］をクリックします。
3. ［組織］に組織の名前を入力します。
4. ［保存］をクリックします。
173
アプリ
BlackBerry OS デバイスでのアプリの管
理
21
BES12 ドメインが BlackBerry OS（バージョン 5.0～7.1）デバイスをサポートしている場合は、管理コンソールを使用し
て BlackBerry Device Software および BlackBerry Java Application を BlackBerry OS デバイスにインストールし管理するこ
とができます。
BlackBerry Java Application を BlackBerry OS デバイスに送信するには、まずアプリを共有ネットワークフォルダーに追加
する必要があります。共有ネットワークフォルダーを使用して、デバイスでインストール、更新、または削除するすべて
のバージョンの BlackBerry Java Application を格納し管理できます。
管理コンソールでソフトウェア設定を作成し、BlackBerry OS デバイスでインストール、更新、または削除する BlackBerry
Device Software および BlackBerry Java Application のバージョンを指定することができます。また、ソフトウェア設定を
使用して、どのアプリを必須、オプション、不許可にするかを指定できます。また、ソフトウェア設定の作成時に、ソフ
トウェア設定の一覧にないアプリをインストールすることを、ユーザーに許可するかどうかを指定する必要があります。
BlackBerry Java Application をソフトウェア設定に追加するときには、アプリケーション制御ポリシーをアプリに割り当
て、アプリがアクセスできるリソースを指定する必要があります。デフォルトのアプリケーション制御ポリシーを使用す
るか、またはカスタムのアプリケーション制御ポリシーを作成して使用することができます。一覧にないアプリケーショ
ンのインストールをユーザーに許可する場合、一覧にないアプリケーション用のアプリケーション制御ポリシーを作成し、
アプリケーションがアクセスできるリソースを指定する必要があります。
ソフトウェア設定をユーザーグループまたは個々のユーザーアカウントに割り当てる場合、管理コンソールは、BlackBerry
Device Software および BlackBerry Java Application をデバイスへインストールしたり、デバイスへアプリケーション制御ポ
リシーを適用したりする導入ジョブを作成します。
BlackBerry OS デバイスで BlackBerry Device Software のインストールと管理を行う方法の詳細については、『BlackBerry
Device Software 更新ガイド』を help.blackberry.com/detectLang/bes5 からダウンロードしてください。
BlackBerry Java Application の配布準備
BlackBerry Java Application を BlackBerry OS（バージョン 5.0～7.1）デバイスに送信する際に、アプリケーション開発者
は、必要なアプリケーションファイルを含む .zip ファイル、およびアプリに関する情報を含む .alx ファイルを作成する必
要があります。 .alx ファイルにディレクトリ構造が記述されている場合、そのディレクトリ構造を .zip ファイルでも示す
必要があります。
BlackBerry Java Application と .alx ファイルの作成の詳細については、www.blackberry.com/developers にアクセスし、
『 BlackBerry Java Development Environment 開発ガイド』を参照してください。
174
アプリ
BlackBerry Java Application を配布する前に、管理コンソールを使用して、BlackBerry Java Application の共有ネットワーク
フォルダーを指定する必要があります。詳細については、「内部アプリを保存する共有ネットワークの場所の指定」を参
照してください。
アプリを共有ネットワークフォルダーに追加したら、そのアプリをソフトウェア設定に追加し、BlackBerry OS デバイスに
おいてそのアプリを必須、オプション、または不許可のいずれにするかを指定できます。また、アプリケーション制御ポ
リシーをアプリに割り当て、アプリのアクセス権を制御できます。ソフトウェア設定をユーザーアカウントに割り当て、
BlackBerry デバイスで BlackBerry Java Application をインストールまたはアップグレードしたり、BlackBerry OS デバイス
から BlackBerry Java Application を削除したりできます。
共有ネットワークフォルダーへの BlackBerry Java
Application の追加
BlackBerry Java Application を BlackBerry OS（バージョン 5.0～7.1）デバイスに送信するには、まず BlackBerry Java
Application バンドルを共有ネットワークの場所に追加する必要があります。 BlackBerry Java Application の更新バージョ
ンを BlackBerry OS デバイスに送信するには、まず更新されたバンドルをアプリケーションリポジトリに追加する必要が
あります。共有ネットワークフォルダーの設定方法の詳細については、「内部アプリを保存する共有ネットワークの場所
の指定」を参照してください。
1.
メニューバーで［BlackBerry OS 設定］をクリックします。
2. ［アプリケーションを追加または更新］をクリックします。
3. ［アプリケーションの場所］セクションで、［参照］をクリックします。アプリケーションリポジトリに追加する、
またはアプリケーションリポジトリで更新する BlackBerry Java Application バンドルに移動します。
4. ［次へ］をクリックします。
5. ［アプリケーションを追加］をクリックします。
BlackBerry Java Application のキーワードの指定
BlackBerry Java Application に対するキーワードを指定できます。このキーワードを使用して、アプリケーションリポジト
リでアプリケーションを検索することができます。
1.
メニューバーで［BlackBerry OS 設定］をクリックします。
2. ［アプリケーションを管理］をクリックします。
3.
アプリケーションを検索します。
4.
検索結果で、アプリケーションの名前をクリックします。
5. ［アプリケーションを編集］をクリックします。
6. ［アプリケーションのキーワード］フィールドにキーワードを入力します。
7.
追加アイコンをクリックします。
175
アプリ
8.
追加する各キーワードについて手順 6 と 7 を繰り返します。
9. ［すべて保存］をクリックします。
アプリケーション制御ポリシーの設定
BlackBerry OS（バージョン 5.0～7.1）デバイスにアプリをインストールできるように BlackBerry Java Application をソフ
トウェア設定に追加する場合、BlackBerry Java Application に適用するアプリケーション制御ポリシーを指定する必要があ
ります。アプリケーション制御ポリシーは、BlackBerry Java Application が BlackBerry OS デバイス上でアクセスできる
データと API を制御し、さらに BlackBerry Java Application がアクセスできる外部データソースとネットワーク接続を制御
します。
BES12 には、必須、オプション、不許可のいずれかに分類される、BlackBerry Java Application 用の標準的なアプリケー
ション制御ポリシーが含まれています。 BlackBerry Java Application に対しては、標準的なアプリケーション制御ポリシー
のデフォルト設定を変更したり、カスタムのアプリケーション制御ポリシーを作成することができます。
アプリケーション制御ポリシールールの設定方法の詳細については、help.blackberry.com/detectLang/bes5 から『ポリシー
リファレンスガイド』をダウンロードしてください。
標準アプリケーション制御ポリシー
BES12 には、BlackBerry OS（バージョン 5.0～7.1）デバイスに対応する次の標準アプリケーション制御ポリシーが含まれ
ています。
アプリケーション制御ポリシー
説明
標準で必須
このアプリケーション制御ポリシーを BlackBerry Java Application に適用する
と、ルール設定により、BlackBerry Java Application が BlackBerry OS デバイスに
インストールされ、実行が許可されていることが要求されます。 BlackBerry OS
デバイスは、アプリを自動的にインストールします。
標準でオプション
このアプリケーション制御ポリシーを BlackBerry Java Application に適用する
と、ルール設定により、BlackBerry OS デバイスでは BlackBerry Java Application
は省略可能になります。ユーザーは BlackBerry Java Application を BlackBerry
OS デバイスにインストールし、実行することができます。
標準で許可しない
このアプリケーション制御ポリシーを BlackBerry Java Application に適用する
と、ルール設定により、ユーザーは BlackBerry OS デバイスに BlackBerry Java
Application をインストールできなくなります。ユーザーは BlackBerry Java
Application を BlackBerry OS デバイスにインストールし、実行することができま
せん。
176
アプリ
標準的なアプリケーション制御ポリシーの変更
BlackBerry Java Application をソフトウェア設定に追加する場合、アプリケーション制御ポリシーを BlackBerry Java
Application に割り当てる必要があります。組織の環境の要件に基づいて、標準的なアプリケーション制御ポリシーのデ
フォルト設定を変更できます。
1.
メニューバーで［BlackBerry OS 設定］をクリックします。
2. ［デフォルトのアプリケーション制御ポリシーを管理］をクリックします。
3.
変更する標準的なアプリケーション制御ポリシーをクリックします。
4. ［アプリケーション制御ポリシーを編集］をクリックします。
5. ［アクセス設定］タブの［設定］セクションで、標準的なアプリケーション制御ポリシーの設定を変更します。
6. ［すべて保存］をクリックします。
BlackBerry Java Application のカスタムアプリケーション制
御ポリシーの作成
BlackBerry Java Application を共有ネットワークフォルダーに追加してから、標準アプリケーション制御ポリシーを使用す
るようにアプリを設定したり、アプリのカスタムアプリケーション制御ポリシーを作成したりできます。 BlackBerry Java
Application がカスタムアプリケーション制御ポリシーを使用する場合、ソフトウェア設定にアプリを追加する前に、カス
タムアプリケーション制御ポリシーを作成する必要があります。アプリをソフトウェア設定に追加する際に、アプリに適
用するカスタムアプリケーション制御ポリシーを選択することができます。
BlackBerry Java Application を複数のソフトウェア設定に追加し、異なるソフトウェア設定の BlackBerry Java Application に
異なるカスタムアプリケーション制御ポリシーを割り当てる場合、カスタムアプリケーション制御ポリシーの優先度を設
定する必要があります。ユーザーアカウントに複数のソフトウェア設定を割り当てる場合、この優先度によって、
BlackBerry Policy Service が適用するカスタムアプリケーション制御ポリシーが決まります。
1.
メニューバーで［BlackBerry OS 設定］をクリックします。
2. ［アプリケーションを管理］をクリックします。
3.
BlackBerry Java Application を検索します。
4.
検索結果で、BlackBerry Java Application をクリックします。
5. ［アプリケーションのバージョン］セクションで、カスタムアプリケーション制御ポリシーを作成するアプリケーショ
ンのバージョンをクリックします。
6. ［アプリケーションを編集］をクリックします。
7. ［アプリケーション制御ポリシー］タブの［設定］セクションで、
［カスタムアプリケーション制御ポリシーを使用］
オプションを選択します。
8.
次のタスクを実行します。
177
アプリ
タスク
手順
必須 BlackBerry Java Application のア 1. ［必須アプリケーションの名前］フィールドで、アプリケーション制御
ポリシーの名前を入力します。
プリケーション制御ポリシーの作成
2. ［設定］セクションで、アプリケーション制御ポリシーの設定を行いま
す。
3.
追加アイコンをクリックします。
4.
作成する各アプリケーション制御ポリシーについて、手順 a～c を繰り
返します。
オプションの BlackBerry Java
Application のアプリケーション制御
ポリシーの作成
1. ［オプションアプリケーションの名前］フィールドで、アプリケーショ
ン制御ポリシーの名前を入力します。
2. ［設定］セクションで、アプリケーション制御ポリシーの設定を行いま
す。
3.
追加アイコンをクリックします。
4.
作成する各アプリケーション制御ポリシーについて、手順 1～3 を繰り
返します。
Application のアプリケーション制御
1. ［不許可アプリケーションの名前］フィールドで、アプリケーション制
御ポリシーの名前を入力します。
ポリシーを作成します。
2.
許可されていない BlackBerry Java
9.
追加アイコンをクリックします。
必要に応じて、各セクションで、上下の矢印アイコンをクリックして、アプリケーション制御ポリシーの優先度を設
定します。
10. ［すべて保存］をクリックします。
BlackBerry OS デバイスでの IT ポリシールールのランキング
IT ポリシールールの設定は、アプリケーション制御ポリシールールの設定より優先されます。たとえば、BlackBerry OS
（バージョン 5.0～7.1）デバイスの［内部接続を許可する］IT ポリシールールを［いいえ］に変更し、特定のアプリから
の内部接続を許可するアプリケーション制御ポリシーをデバイスに設定した場合は、アプリから内部接続を確立できませ
ん。
アプリケーション制御ポリシーが適用されているアプリの権限がより厳しく制限される場合、デバイスはアプリケーショ
ン制御ポリシーを取り消し、リセットされます。ユーザーはデバイスのアプリ権限をより厳しくすることはできますが、
管理者が指定した権限を緩くすることはできません。
178
アプリ
一覧にないアプリケーションのアプリケー
ション制御ポリシー
BlackBerry Device Software、BlackBerry Java Application、および標準的なアプリケーションに関する設定を BlackBerry OS
（バージョン 5.0～7.1）デバイスに送信するために、ソフトウェア設定を作成し、ユーザーアカウントに割り当てる場合、
ソフトウェア設定に含まれていないアプリ（一覧にないアプリケーションともいう）のインストールと利用をユーザーに
許可するかどうかを、ソフトウェア設定に指定する必要があります。一覧にないアプリケーションの BlackBerry OS デバ
イスでの利用を許可するかどうか（オプション）を設定する場合、一覧にないアプリケーションのアプリケーション制御
ポリシーをソフトウェア設定に割り当てる必要があります。
一覧にないアプリケーションのアプリケーション制御ポリシーによって、一覧にないアプリケーションが BlackBerry OS
デバイス上で実行を許可されている作業や、一覧にないアプリケーションが BlackBerry OS デバイス上でアクセスできる
データが決定されます。一覧にないアプリケーション用に 2 つの標準的なアプリケーション制御ポリシーがあります。1
つはオプションの一覧にないアプリケーション用で、もう 1 つは許可されない一覧にないアプリケーション用です。オプ
ションの一覧にないアプリケーションの場合、標準的なアプリケーション制御ポリシーのデフォルト設定を変更できます。
また、オプションの一覧にないアプリケーションには、独自のアプリケーション制御ポリシーを作成できます。
一覧にないアプリケーション（オプション）の標準アプリケー
ション制御ポリシーの変更
1.
メニューバーで［BlackBerry OS 設定］をクリックします。
2. ［ソフトウェア］を展開します。
3. ［一覧にないアプリケーションのアプリケーション制御ポリシーを管理］をクリックします。
4. ［標準で一覧にないアプリケーションはオプション］アプリケーション制御ポリシーをクリックします。
5. ［アプリケーション制御ポリシーを編集］をクリックします。
6. ［アクセス設定］タブの［設定］セクションで、アプリケーション制御ポリシーを設定します。
7. ［すべて保存］をクリックします。
一覧にないアプリケーションに対してアプリケーション制御
ポリシーを作成
一覧にないアプリケーション用に 2 つのデフォルトアプリケーション制御ポリシーがあります。1 つは BlackBerry OS
（バージョン 5.0～7.1）デバイス上で許可されている一覧にないアプリケーション用で、もう 1 つは BlackBerry OS デバイ
ス上で許可されていない一覧にないアプリケーション用です。オプションの一覧にないアプリケーションのカスタムア
プリケーション制御ポリシーを作成することもできます。
1.
メニューバーで［BlackBerry OS 設定］をクリックします。
179
アプリ
2. ［ソフトウェア］を展開します。
3. ［一覧にないアプリケーションに対してアプリケーション制御ポリシーを作成］をクリックします。
4. ［アプリケーション制御ポリシー情報］セクションの［名前］フィールドで、一覧にないアプリケーションのアプリ
ケーション制御ポリシーの名前を入力します。
5. ［保存］をクリックします。
6. ［BlackBerry Solution 管理］メニューで、
［一覧にないアプリケーションのアプリケーション制御ポリシーを管理］を
クリックします。
7.
作成したアプリケーション制御ポリシーをクリックします。
8. ［アプリケーション制御ポリシーを編集］をクリックします。
9. ［アクセス設定］タブの［設定］セクションで、アプリケーション制御ポリシーを設定します。
10. ［すべて保存］をクリックします。
一覧にないアプリケーションのアプリケーション制御ポリ
シーの優先度設定
複数のソフトウェア設定をユーザーアカウントに割り当てることができます。一覧にないアプリケーションのさまざま
なアプリケーション制御ポリシーをさまざまなソフトウェア設定に割り当てることができます。一覧にないアプリケー
ションに対するさまざまなアプリケーション制御ポリシーの優先度を設定する必要があります。設定することで、ユー
ザーアカウントに複数のソフトウェア設定を割り当てるときに、BlackBerry Policy Service がユーザーアカウントにどのア
プリケーション制御ポリシーを適用するかを決定できます。
1.
メニューバーで［BlackBerry OS 設定］をクリックします。
2. ［ソフトウェア］を展開します。
3. ［一覧にないアプリケーションのアプリケーション制御ポリシーを管理］をクリックします。
4. ［一覧にないアプリケーションのアプリケーション制御ポリシーに優先度を設定］をクリックします。
5.
上矢印アイコンまたは下矢印アイコンをクリックして、一覧にないアプリケーションのアプリケーション制御ポリ
シーの優先度を設定します。
6. ［保存］をクリックします。
ソフトウェア設定の作成
ソフトウェア設定を使用して、BlackBerry OS（バージョン 5.0～7.1）デバイス上で次の操作を実行することができます。
•
アプリケーションの権限およびアプリケーションがアクセスできるデータを制御するために、BlackBerry Java
Application にアプリケーション制御ポリシーを割り当てます。
•
BlackBerry Java Application を許可しないアプリケーションとして指定します。
180
アプリ
•
ソフトウェア設定に含めない BlackBerry Java Application を許可するかどうかを指定します。
•
ソフトウェア設定に含めない BlackBerry Java Application のアクセス権限を設定します。
•
ワイヤレスネットワーク経由または BlackBerry Web Desktop Manager を使用して、BlackBerry Device Software を
インストールまたはアップグレードします。
•
標準アプリケーション設定を指定します。
ソフトウェア設定を作成して割り当てる手順
ソフトウェア設定を作成して割り当てる場合は、次の操作を実行します。
手順
操作
ネットワークフォルダーを作成し共有します。
アプリケーションを追加します。
必要に応じて、カスタムアプリケーション制御ポリシーを作成します。
ソフトウェア設定を作成します。
ソフトウェアをソフトウェア設定に追加します。
ソフトウェア設定をユーザーアカウントまたはユーザーグループに割り当てます。
ソフトウェア設定を作成
1.
メニューバーで［BlackBerry OS 設定］をクリックします。
2. ［ソフトウェア］を展開します。
3. ［ソフトウェア設定を作成］をクリックします。
4. ［設定情報］セクションの［名前］フィールドで、ソフトウェア設定の名前を入力します。
5. ［一覧にないアプリケーションの種別］ドロップダウンリストで、次の操作のいずれかを実行します。
•
BlackBerry OS デバイス上のソフトウェア設定に含まれないアプリケーションをユーザーがインストールで
きるようにするには、［オプション］をクリックします。
181
アプリ
•
BlackBerry OS デバイス上のソフトウェア設定に含まれないアプリケーションをユーザーがインストールで
きないようにするには、［許可しない］をクリックします。
6. ［一覧にないアプリケーションのアプリケーション制御ポリシー］ドロップダウンリストで、ソフトウェア設定に割
り当てる、一覧にないアプリケーションのアプリケーション制御ポリシーをクリックします。
7. ［保存］をクリックします。
終了したら: BlackBerry Device Software 設定および BlackBerry Java Application をソフトウェア設定に追加します。
BlackBerry Java Application のソフトウェア設定への追加
ワイヤレスネットワーク経由で BlackBerry OS（バージョン 5.0～7.1）デバイスに BlackBerry Java Application をインストー
ルするには、ソフトウェア設定に BlackBerry Java Application を追加して、そのソフトウェア設定をユーザーアカウントに
割り当てる必要があります。アプリをアップグレードするには、新しいバージョンのアプリを該当するソフトウェア設定
に追加する必要があります。 BES12 は、BlackBerry OS デバイス上のアプリを新しいバージョンにアップグレードします。
1.
メニューバーで［BlackBerry OS 設定］をクリックします。
2. ［ソフトウェア］を展開します。
3. ［ソフトウェア設定を管理］をクリックします。
4.
BlackBerry Java Application を追加するソフトウェア設定をクリックします。
5. ［ソフトウェア設定を編集］をクリックします。
6. ［アプリケーション］タブで、［アプリケーションをソフトウェア設定に追加］をクリックします。
7.
ソフトウェア設定に追加する BlackBerry Java Application を検索します。
8.
検索結果で、ソフトウェア設定に追加する BlackBerry Java Application を選択します。
9.
BlackBerry Java Application の［種別］ドロップダウンリストで、次の操作のいずれかを実行します。
•
BlackBerry Java Application を BlackBerry OS デバイスに自動的にインストールし、ユーザーがこのアプリ
ケーションを削除できないようにするには、［必須］をクリックします。
•
ユーザーに BlackBerry Java Application のインストールおよび削除を許可するには、
［オプション］をクリッ
クします。
•
ユーザーが BlackBerry Java Application を BlackBerry OS デバイスにインストールできないようにするには、
［許可しない］をクリックします。
10. ［アプリケーションデータ］セクションの［アプリケーション制御ポリシー］ドロップダウンリストで、BlackBerry
Java Application に適用するアプリケーション制御ポリシーをクリックします。
11. 必要に応じて、
［導入］ドロップダウンリストで、次の操作のいずれかを実行します。
•
ワイヤレスネットワーク経由で BlackBerry OS デバイスにアプリケーションをインストールするには、
［ワ
イヤレス］をクリックします。
182
アプリ
•
ユーザーのコンピューターおよび BlackBerry Web Desktop Manager への USB 接続を使用して、BlackBerry
OS デバイスにアプリケーションをインストールするには、
［有線］をクリックします。
12. ソフトウェア設定に追加する各 BlackBerry Java Application について、手順 6～10 を繰り返します。
13. ［ソフトウェア設定に追加］をクリックします。
14. ［すべて保存］をクリックします。
管理コンピューターでの BlackBerry Java
Application の BlackBerry OS デバイスへのイン
ストール
BlackBerry Java Application をワイヤレスネットワーク経由で BlackBerry OS（バージョン 5.0～7.1）デバイスにインストー
ルしたくない場合、およびユーザーに BlackBerry Web Desktop Manager や BlackBerry Desktop Software を使用して
BlackBerry Java Application をインストールさせたくない場合は、BES12 にアクセスできる管理コンピューターに
BlackBerry OS デバイスを接続することで、BlackBerry Java Application を BlackBerry OS デバイスにインストールできま
す。
作業を始める前に:
•
ソフトウェア設定と必要な BlackBerry Java Application を適切なユーザーアカウントに割り当てます。
•
BES12 管理コンソールをホストしているコンピューターへ USB で接続された BlackBerry OS デバイスに、管理コ
ンソールが接続することを許可するには、管理コンソールの Web アドレスを Web ブラウザ内の信頼済み Web サ
イトのリストに追加します。管理コンソールにもう一度ログインします。
1.
•
管理コンピューターが管理コンソールにアクセスできることを確認します。
•
ユーザーアカウントに関連付けられている BlackBerry OS デバイスを管理コンピューターに接続します。
メニューバーで［BlackBerry OS 設定］をクリックします。
2. ［接続されたデバイス］を展開します。
3. ［デバイスソフトウェア］をクリックします。
4. ［BlackBerry デバイスでのアプリケーションの自動インストール］をクリックします。
5.
画面に表示される手順を完了します。
183
アプリ
BlackBerry OS デバイスに BlackBerry Java
Application がインストールされているユー
ザーの表示
1.
メニューバーで［BlackBerry OS 設定］をクリックします。
2. ［ソフトウェア］ > ［アプリケーション］をクリックします。
3. ［アプリケーションを管理］をクリックします。
4.
アプリケーションを検索します。
5.
検索結果で、アプリの名前をクリックします。
6. ［アプリケーションのバージョン］セクションで、アプリのバージョンをクリックします。
7. ［アプリケーションが関連付けられたユーザーを表示］をクリックします。
8.
BlackBerry Java Application がインストールされている BlackBerry OS デバイスに関連付けられているユーザーを検
索します。
ソフトウェア設定の競合の調整ルール
複数のソフトウェア設定をユーザーアカウントまたはユーザーグループに割り当てる場合、ソフトウェア設定間で競合が
発生することがあります。たとえば、ユーザーアカウントに割り当てるソフトウェア設定では、BlackBerry Java
Application が必須なのに、そのユーザーアカウントが属しているグループに割り当てるソフトウェア設定では、同じアプ
リケーションを許可しないように指定されている場合があります。競合が発生する可能性があるのは、BlackBerry Java
Application、アプリケーション制御ポリシー、一覧にないアプリケーションのアプリケーション制御ポリシー、BlackBerry
Device Software、および BlackBerry Device Software 設定での標準アプリケーション設定を複数割り当てる場合です。
BES12 は、複数のソフトウェア設定間の競合を解決し、どのアプリケーション、ソフトウェア、および設定を BlackBerry
OS（バージョン 5.0～7.1）デバイスにインストールまたは適用するかを決定するために、事前定義した調整ルールを使用
します。 BES12 は、設定の競合の解決を非同期のバックグラウンドアクティビティとして行います。調整のアクティビ
ティの結果、調整エラー、および BES12 が BlackBerry OS デバイスにインストールまたは適用したアプリケーション、ソ
フトウェア、および設定を表示できます。
次のいずれかの操作を実行した場合、競合するソフトウェア設定を BES12 で調整する必要が生じることがあります。
•
デバイスのアクティベーション
•
ユーザーへの新しい BlackBerry OS デバイスまたは PIN の割り当て
•
ユーザーアカウントのグループへの追加またはグループからの削除
•
グループの別のグループへの追加または別のグループからの削除
184
アプリ
•
アプリのソフトウェア設定への追加またはソフトウェア設定からの削除
•
ソフトウェア設定でのアプリの設定の変更
•
アプリケーション制御ポリシーの設定の変更
•
アプリケーション制御ポリシーのランキングの変更
•
新しいバージョンの BlackBerry Device Software の BlackBerry OS デバイスへのインストール
•
ソフトウェア設定への BlackBerry Device Software 設定の追加、またはソフトウェア設定からの BlackBerry Device
Software 設定の削除
•
BlackBerry Device Software 設定の変更
•
BlackBerry Device Software 設定での標準アプリケーション設定の変更
調整ルール：BlackBerry Java Application
シナリオ
ルール
複数のソフトウェア設定が、ユーザーアカウントまたは
各ソフトウェア設定の BlackBerry Java Application は、
ユーザーが属しているグループに割り当てられています。 BlackBerry OS（バージョン 5.0～7.1）デバイスにインストー
各ソフトウェア設定には、複数の BlackBerry Java
ルされます。 BlackBerry Device Software が特定の
Application が含まれます。
BlackBerry Java Application をサポートしていない場合は、
そのアプリケーションは BlackBerry OS デバイスにインス
トールされません。
同じ BlackBerry Java Application でバージョンが異なるものユーザーアカウントに割り当てられているソフトウェア設
定に、1 つのアプリの異なるバージョンが複数存在する場合
を含む複数のソフトウェア設定が、ユーザーアカウントま
たはユーザーが属しているグループに割り当てられていま
す。
は、BlackBerry Device Software がサポートしているこのア
プリケーションの最新バージョンが BlackBerry OS デバイ
スにインストールされます。たとえば、ソフトウェア設定
で、あるアプリケーションのバージョン 1.0 がユーザーアカ
ウントに割り当てられていて、別のソフトウェア設定では
そのアプリケーションのバージョン 2.0 がユーザーアカウ
ントに割り当てられている場合は、バージョン 2.0 が
BlackBerry OS デバイスにインストールされます。
ユーザーアカウントに割り当てられているソフトウェア設
定での BlackBerry Java Application のバージョンは、グルー
プに割り当てられているソフトウェア設定での BlackBerry
Java Application のバージョンよりも優先されます。たとえ
ば、ユーザーアカウントに割り当てられているソフトウェ
ア設定ではアプリケーションのバージョン 1.0 が指定され、
ユーザーが属しているグループに割り当てられているソフ
185
アプリ
シナリオ
ルール
トウェア設定ではアプリケーションのバージョン 2.0 が指
定されている場合は、バージョン 1.0 が BlackBerry OS デバ
イスにインストールされます。
同じ BlackBerry Java Application を含む複数のソフトウェアユーザーアカウントに割り当てられたソフトウェア設定で
設定が、ユーザーアカウントまたはユーザーが属しているアプリケーションに指定された種別は、グループに割り当
てられたソフトウェア設定での同じアプリケーションの種
グループに割り当てられています。 BlackBerry Java
Application の種別（必須、オプション、または許可しない）別よりも優先されます。同じレベルで（ユーザーアカウン
は、各ソフトウェア設定で異なります。アプリケーショントまたはグループのどちらかに）割り当てられた複数のソ
の導入方法（有線またはワイヤレスネットワーク経由）は、フトウェア設定でアプリケーションに異なる種別が指定さ
れている場合は、必須の種別がオプションの種別よりも優
各ソフトウェア設定で異なります。
先され、オプションの種別が不許可の種別よりも優先され
ます。
BES12 では、アプリケーションの種別が解決された後で、
導入方法が解決されます。ユーザーアカウントに割り当て
られているソフトウェア設定でアプリに指定された導入方
法は、グループに割り当てられているソフトウェア設定で
の同じアプリケーションの導入方法よりも優先されます。
ワイヤレスの設定は、有線の設定よりも優先されます。
BlackBerry Java App を含む 1 つまたは複数のソフトウェア BES12 は、アプリケーションの競合の解決（たとえば、種
設定がユーザーアカウントまたはユーザーが属しているグ別や導入の設定の競合の解決）の後、BlackBerry Java
ループに割り当てられていますが、BlackBerry OS デバイス Application のインストールの前に、BlackBerry OS デバイス
で利用可能なメモリ容量が限られています。
で利用可能なメモリ容量を確認します。 BlackBerry OS デ
バイスで利用可能なメモリ容量がアプリケーションをサ
ポートするのに十分でない場合は、アプリケーションはイ
ンストールされません。
利用可能なメモリ容量に応じて、アプリケーションは次の
順序でインストールされます。
1.
ワイヤレスで導入されるように設定されている必須の
アプリ
2.
有線で導入されるように設定されている必須のアプリ
3.
ワイヤレスで導入されるように設定されているオプ
ションのアプリ
4.
有線で導入されるように設定されているオプションの
アプリ
186
アプリ
シナリオ
ルール
ソフトウェア設定がユーザーアカウントに割り当てられてソフトウェア設定の BlackBerry Java Application に別のアプ
いて、別の BlackBerry Java Application と依存関係がある
リケーションとの依存関係があり、ユーザーアカウントま
BlackBerry Java Application が含まれています。
たはユーザーが属しているグループに割り当てられている
ソフトウェア設定には依存関係の相手のアプリケーション
が含まれていない場合、このアプリケーションは
BlackBerry OS デバイスにインストールされません。
ソフトウェア設定の BlackBerry Java Application に別のアプ
リとの依存関係があり、依存関係の相手のアプリが、ユー
ザーアカウントまたはユーザーが属しているグループに割
り当てられているソフトウェア設定に含まれている場合、
依存関係の相手のアプリが先にインストールされます。依
存関係の相手のアプリが正常にインストールされると、そ
のアプリケーションと依存関係があるアプリが次にインス
トールされます。
ソフトウェア設定がユーザーアカウントに割り当てられて
いて、別の BlackBerry Java Application と依存関係がある
依存関係の相手のアプリケーションが BlackBerry OS デバ
イスでサポートされていないか、または BlackBerry OS デバ
BlackBerry Java Application が含まれています。依存関係のイスに正常にインストールされなかった場合、そのアプリ
相手のアプリケーションは BlackBerry OS デバイスでサ
ケーションと依存関係があるアプリケーションはユーザー
の BlackBerry OS デバイスにインストールされません。
ポートされません。
複数の BlackBerry Java Application に循環依存（たとえば、複数の BlackBerry Java App が同じアプリケーションバンド
アプリケーション A がアプリケーション B に依存し、アプルに含まれていて循環依存がある場合は、これらのアプリ
リケーション B はアプリケーション C に依存し、さらにアケーションは BlackBerry OS デバイスにインストールされ
プリケーション C はアプリケーション A に依存している関ません。複数のアプリに循環依存がある場合、インストー
係）があり、同じアプリケーションバンドルに含まれます。ルが可能なのは、これらのアプリケーションが別々のアプ
アプリケーションバンドルが、アプリケーションリポジトリケーションバンドルに存在していて、有線での導入を使
用してインストールされる場合のみです。
リに追加されます。アプリはソフトウェア設定に追加さ
れ、ユーザーアカウントまたはユーザーが属しているグ
ループに割り当てられます。
調整ルール：BlackBerry Device Software
シナリオ
ルール
BlackBerry Device Software を含むソフトウェア設定は、
ユーザーアカウントに割り当てられているソフトウェア設
ユーザーアカウントに割り当てられます。ソフトウェア設定の BlackBerry Device Software は、グループに割り当てら
定に異なるバージョンの BlackBerry Device Software が含まれているソフトウェア設定の BlackBerry Device Software よ
りも優先されます。
187
アプリ
シナリオ
ルール
れる場合、そのソフトウェア設定はユーザーアカウントが
属するグループに割り当てられます。
複数のソフトウェア設定に異なるバージョンの BlackBerry
BlackBerry OS（バージョン 5.0～7.1）デバイスおよび通信
Device Software が含まれる場合、それらのソフトウェア設事業者によってサポートされているものの中で、BES12 管
定はユーザーアカウントに割り当てられます。
理コンソールで最上位にランク付けしたバージョンの
BlackBerry Device Software が BlackBerry OS デバイスにイ
ンストールされます。 BES12 では、BlackBerry OS デバイス
に現在インストールされている BlackBerry Device Software
のバージョンよりも低くランク付けされているバージョン
の BlackBerry Device Software はインストールされません。
調整ルール：標準アプリケーション設定
シナリオ
ルール
ソフトウェア設定で、標準アプリケーション設定がユー
ユーザーアカウントに割り当てられているソフトウェア設
ザーアカウントに割り当てられています。ソフトウェア設定での標準アプリケーション設定は、グループに割り当て
定で、別の標準アプリケーション設定が、ユーザーアカウられているソフトウェア設定での標準アプリケーション設
定よりも優先されます。
ントが属しているグループに割り当てられています。
1 つのユーザーアカウントが複数のグループに属していま
ユーザーの BlackBerry OS（バージョン 5.0～7.1）デバイス
す。［カレンダー：初期ビュー］の設定が、グループに割に適用されている［カレンダー：初期ビュー］の設定は、
複数のソフトウェア設定で指定された設定値のうち、最も
り当てられているソフトウェア設定ごとに異なります。
優先度の低い設定値です。
1 つのユーザーアカウントが複数のグループに属していま
ユーザーの BlackBerry OS デバイスに適用されている［カレ
す。［カレンダー：予定を維持］の設定が、グループに割ンダー：予定を維持］の設定は、複数のソフトウェア設定
で指定された設定値のうち、最も優先度の高い設定値です。
り当てられているソフトウェア設定ごとに異なります。
1 つのユーザーアカウントが複数のグループに属していま
ユーザーアカウントが属しているグループに割り当てられ
す。メールの［削除を確認］の設定が、グループに割り当ているソフトウェア設定でメールの［削除を確認］の設定
てられている 1 つまたは複数のソフトウェア設定で［はい］が［はい］になっている場合は、BlackBerry OS デバイスに
になっています。その他のソフトウェア設定では、［いい［はい］の設定が適用されます。
え］になっています。
1 つのユーザーアカウントが複数のグループに属していま
ユーザーアカウントが属しているグループに割り当てられ
す。メールの［送信済みメッセージを非表示］の設定が、ているソフトウェア設定でメールの［送信済みメッセージ
を非表示］の設定が［いいえ］になっている場合は、
グループに割り当てられている 1 つまたは複数のソフト
188
アプリ
シナリオ
ルール
ウェア設定で［はい］になっています。その他のソフトウェ BlackBerry OS デバイスに［いいえ］の設定が適用されま
ア設定では、［いいえ］になっています。
す。
1 つのユーザーアカウントが複数のグループに属していま
ユーザーアカウントが属しているグループに割り当てられ
す。メールの［コピーを送信済みフォルダに保存する］のているソフトウェア設定でメールの［コピーを送信済み
設定が、グループに割り当てられている 1 つまたは複数のフォルダに保存する］の設定が［はい］になっている場合
ソフトウェア設定で［はい］になっています。その他のソは、BlackBerry OS デバイスに［はい］の設定が適用されま
す。
フトウェア設定では、［いいえ］になっています。
1 つのユーザーアカウントが複数のグループに属していま
ユーザーアカウントが属しているグループに割り当てられ
す。［アドレス帳：並べ替え基準］の設定が、グループにているソフトウェア設定で［アドレス帳：並べ替え基準］
［名］の設定が［姓］の設定より優
割り当てられているソフトウェア設定ごとに異なります。の設定が異なる場合は、
先され、［姓］の設定が［会社名］の設定より優先されま
す。
1 つのユーザーアカウントが複数のグループに属していま［ロック済みで表示可能］の設定は、［ロック解除済みで表
す。さまざまな標準アプリケーション設定の属性設定に、示可能］の設定より優先されます。［ロック解除済みで表
［ロック解除済みで非表示］の設定より
グループに割り当てられているソフトウェア設定によって示可能］の設定は、
優先されます。
異なる値が指定されています。
標準アプリケーション設定が、ソフトウェア設定で行われ、標準アプリケーション設定は、BlackBerry Device Software
バージョン 5.0 より前の BlackBerry Device Software が実行バージョン 5.0 以降を実行している BlackBerry OS デバイ
されている BlackBerry OS デバイスのユーザーアカウント
スのみに適用されます。
に割り当てられています。
調整ルール：アプリケーション制御ポリシー
シナリオ
ルール
ユーザーには複数のソフトウェア設定が割り当てられておユーザーアカウントに割り当てられているソフトウェア設
り、それぞれ同じアプリケーションが含まれています。各定内のアプリケーションに対するアプリケーション制御ポ
リシーは、グループに割り当てられているソフトウェア設
ソフトウェア設定のアプリケーションには、別のアプリ
定内の同じアプリケーションに対するアプリケーション制
ケーション制御ポリシーが割り当てられています。
御ポリシーよりも優先されます。必須の設定は、オプショ
ン設定よりも優先されます。オプション設定は、不許可の
設定よりも優先されます。
複数のソフトウェア設定に同じアプリケーションが含ま
れ、各ソフトウェア設定に同じ種別の異なるカスタムアプ
リケーション制御ポリシーが割り当てられている場合（必
189
アプリ
シナリオ
ルール
須のカスタムアプリケーション制御ポリシーが 2 つある場
合など）、BES12 管理コンソールで最上位にランク付けした
アプリケーション制御ポリシーがユーザーの BlackBerry
OS（バージョン 5.0～7.1）デバイスに適用されます。
調整ルール：一覧にないアプリケーションのアプリケーショ
ン制御ポリシー
シナリオ
ルール
一覧にないアプリケーションについて、デフォルトまたは
カスタムのアプリケーション制御ポリシーがソフトウェア
設定に含まれている場合、そのソフトウェア設定はユー
ザーアカウントに割り当てられます。一覧にないアプリ
ユーザーアカウントに割り当てられているソフトウェア設
定内の、一覧にないアプリケーションのアプリケーション
制御ポリシーは、グループに割り当てられているソフト
ウェア設定内の、一覧にないアプリケーションのアプリ
ケーション制御ポリシーよりも優先されます。
ケーションについて、異なるアプリケーション制御ポリ
シーがソフトウェア設定に含まれている場合、そのソフト
ウェア設定は、ユーザーアカウントが属するグループに割
り当てられます。
ソフトウェア設定で一覧にないアプリケーションが不許可ユーザーアカウントに割り当てられているソフトウェア設
として定義されている場合、そのソフトウェア設定はユー定で、一覧にないアプリケーションが不許可として定義さ
ザーアカウントに割り当てられます。ソフトウェア設定でれている場合、BlackBerry OS（バージョン 5.0～7.1）デバ
一覧にないアプリケーションがオプションとして定義されイス上で一覧にないアプリケーションを使用することはで
ている場合も、そのソフトウェア設定はユーザーアカウンきません。
トに割り当てられます。
一覧にないアプリケーションについて、異なるアプリケー
ション制御ポリシーが複数のソフトウェア設定に含まれて
いる場合、それらのソフトウェア設定はユーザーアカウン
トに割り当てられます。
BES12 管理コンソールで最上位にランク付けした、一覧に
ないアプリケーションのアプリケーション制御ポリシーが
BlackBerry OS デバイスに適用されます。
190
プロファイルとデバイスをまとめて管理できるように、ユーザーアカウントを作成して、ユーザーの
グループまたはデバイスグループを設定します。
Secure
ユーザーとデバイス
ユーザーとデバイス
ユーザーグループおよびユーザーアカウ
ントの管理
22
ユーザーアカウントを作成してから、ユーザーグループを作成して、ユーザーやデバイスの効果的な管理をしやすくする
ことができます。
ユーザーグループとユーザーアカウントを作
成する手順
組織のユーザーとデバイスを管理する場合は、次の操作を実行します。
手順
操作
ユーザーグループを作成します。
ユーザーアカウントを作成します。
IT ポリシー、プロファイル、およびアプリをユーザーグループとユーザーアカウントに割り当てま
す。
192
ユーザーとデバイス
ユーザーグループの作成と管理
ユーザーグループは共通のプロパティを共有する関連するユーザーの集合です。グループとしてユーザーを管理した方
が、同時にグループのすべてのメンバーに対してプロパティを追加、変更、または削除できるため、個々のユーザーを管
理するより効率的です。
ユーザーは、一度に複数のグループに所属できます。ユーザーグループの設定を作成または更新する際は、管理コンソー
ルで IT ポリシー、プロファイル、およびアプリを割り当てることができます。 BES12 ドメインが BlackBerry OS（バー
ジョン 5.0～7.1）デバイスをサポートする場合は、BlackBerry OS IT ポリシー、プロファイル、およびソフトウェア設定も
割り当てることができます。
ディレクトリにリンクされたグループとローカルグループの 2 つのタイプのユーザーグループを作成できます。ディレ
クトリにリンクされたグループは、会社のディレクトリ内のグループにリンクします。ディレクトリのユーザーアカウン
トのみがディレクトリにリンクされたグループのメンバーになることができます。ローカルグループは、BES12 で作成お
よび維持され、それらにローカルユーザーアカウントとディレクトリユーザーアカウントを割り当てることができます。
ユーザーグループの作成後、グループを別のグループのメンバーとして定義できます。グループをユーザーグループ内で
ネストする場合、ネストされたグループのメンバーはユーザーグループのプロパティを継承します。 BES12 でネスト構造
を作成および維持します。ディレクトリにリンクされたグループとローカルグループのどちらもそれぞれのタイプのユー
ザーグループ内でネストできます。
ディレクトリにリンクされたグループの作成
会社のディレクトリ内のグループにリンクされたグループを作成できます。 BES12 は、スケジュールされた同期の実行時
に、ディレクトリにリンクされたグループの、それに関連付けられた会社のディレクトリグループへのメンバーシップを
自動的に同期します。たとえば、会社のディレクトリのユーザーアカウントが、BES12 ディレクトにリンクされたグルー
プに関連付けられた会社のディレクトリグループに追加された場合、対応する BES12 ディレクトリのユーザーアカウント
が BES12 ディレクトリにリンクされたグループに追加されます。ディレクトリのユーザーアカウントのみがディレクト
リにリンクされたグループのメンバーになることができます。
同期プロセスは、ディレクトリ接続に設定されたスケジュールに基づいて実行されます。同期が無効な場合は、会社の
ディレクトリ接続を手動で同期して、ディレクトリグループに関連付けられたユーザーアカウントを表示する必要があり
ます。
オンボーディングがディレクトリ接続で無効な場合、BES12 で手動でユーザーを作成する必要があり、ディレクトリにリ
ンクされたグループのユーザーリストにユーザーアカウントを表示するには、事前に同期プロセスを実行する必要があり
ます。
複数の会社のディレクトリグループを 1 つのディレクトリにリンクされたグループにリンクできます。たとえば、2 つの
Microsoft Active Directory インスタンスと 1 つの LDAP インスタンスがある場合、それらの一部またはすべてを BES12 に接
続できます。
ディレクトリにリンクされたグループのみが、単一のディレクトリ接続から会社のディレクトリグループへのリンクを含
んでいます。たとえば、BES12 に 1 つの LDAP ディレクトリ接続と 2 つの Microsoft Active Directory 接続（A および B）が
あり、Microsoft Active Directory 接続 A にリンクされたディレクトリにリンクされたグループを作成する場合は、会社の
193
ユーザーとデバイス
ディレクトリグループのみを、Microsoft Active Directory 接続 A からそのグループへリンクできます。他のすべてのディレ
クトリ接続について、ディレクトリにリンクされたグループを新たに作成する必要があります。
ディレクトリにリンクされたグループにリンクする会社のディレクトリそれぞれについて、ディレクトリにリンクされた
グループのリンク先となるネストされたグループの数の制御を、会社のディレクトリ接続に許可することができます。
ディレクトリにリンクされたグループを有効にする方法の詳細については、設定関連の資料を参照してください。
ディレクトリにリンクされたグループの作成
1.
メニューバーで［グループ］をクリックします。
2.
3.
をクリックします。
グループ名を入力します。
4. ［リンクされたディレクトリグループ］セクションで、次の操作を実行します。
a.
をクリックします。
b.
リンク先となる会社のディレクトリグループの名前または名前の一部を入力します。
c.
複数の会社のディレクトリ接続がある場合は、検索する会社のディレクトリ接続を選択します。この選択を
行った後、ディレクトリにリンクされたグループは、選択したディレクトリ接続のみに、永続的に関連付けら
れます。
d.
e.
f.
をクリックします。
検索結果リストで、会社のディレクトリグループを選択します。
［追加］をクリックします。会社のディレクトリグループがリストに表示され、グループのリンク先の会社の
ディレクトリ接続はセクションタイトルの横に表示されます。
g.
必要に応じて、
［ネストされたグループをリンク］チェックボックスをオンにします。チェックボックスをオフ
のままにして、すべてのネストされたグループへリンクすることもできれば、チェックボックスをオンにして、
ディレクトリ設定によってネストされたグループの数を制御することもできます。
h.
5.
追加のグループをリンクするには、これらの手順を繰り返します。
IT ポリシーまたはプロファイルをディレクトリにリンクされたグループに割り当てるには、次の操作を実行します。
a.
［IT ポリシーおよびプロファイル］セクションで
をクリックします。
b. ［IT ポリシー］またはプロファイルの種類をクリックします。
c.
ドロップダウンリストで、グループに割り当てる IT ポリシーまたはプロファイルの名前をクリックします。
d. ［割り当て］をクリックします。
6.
アプリをディレクトリにリンクされたグループに割り当てるには、
［割り当てられたアプリ］セクションで、
リックします。
7.
アプリを検索します。
8.
検索結果で、アプリを選択します。
194
をク
ユーザーとデバイス
9. ［次へ］をクリックします。
10. アプリの［種別］ドロップダウンリストで、次の操作のいずれかを実行します。
•
アプリをデバイスへ自動的にインストールし、ユーザーがこのアプリを削除できないようにするには、［必
須］を選択します。このオプションは、BlackBerry アプリでは使用できません。
•
ユーザーにアプリのインストールおよび削除を許可するには、［オプション］を選択します。
11. ［割り当て］をクリックします。
12. ［追加］をクリックします。
ローカルグループの作成
1.
メニューバーで［グループ］をクリックします。
2.
をクリックします。
3.
ユーザーグループの名前を入力します。
4.
IT ポリシーまたはプロファイルをローカルグループに割り当てるには、次の操作を実行します。
a.
［IT ポリシーおよびプロファイル］セクションで
をクリックします。
b. ［IT ポリシー］またはプロファイルの種類をクリックします。
c.
ドロップダウンリストで、グループに割り当てる IT ポリシーまたはプロファイルの名前をクリックします。
d. ［割り当て］をクリックします。
5.
アプリをユーザーグループに割り当てるには、
［割り当てられたアプリ］セクションで、
6.
アプリを検索します。
7.
検索結果で、アプリを選択します。
をクリックします。
8. ［次へ］をクリックします。
9.
アプリの［種別］ドロップダウンリストで、次の操作のいずれかを実行します。
•
アプリをデバイスへ自動的にインストールし、ユーザーがこのアプリを削除できないようにするには、
［必
須］を選択します。このオプションは、BlackBerry アプリでは使用できません。
•
ユーザーにアプリのインストールと削除を許可するには、
［オプション］を選択します。
メモ: 同じアプリがユーザーアカウントとユーザーが属するユーザーグループに割り当てられている場合、
ユーザーアカウントに割り当てられているアプリの種別が優先されます。
10. ［割り当て］をクリックします。
11. 必要に応じて、割り当てられたアプリに次の操作のいずれかを実行します。
•
アプリに関する詳細を表示するには、アプリ名をクリックします。
195
ユーザーとデバイス
•
アプリの［種別］を変更するには、次を実行します。
1.
アプリの種別をクリックします。
2.
新しい種別を選択します。
3. ［保存］をクリックします。
• 割り当てられたアプリを削除するには、アプリの横にあるをクリックします。
12. 完了したら、ユーザーグループプロパティを指定して［追加］をクリックします。
ユーザーグループの表示
1.
メニューバーで［グループ］をクリックします。
2.
ユーザーグループを検索します。
3.
検索結果で、ユーザーグループの名前をクリックします。
4.
ユーザーグループのメンバーを表示するには、次の操作を実行します。
5.
a.
割り当て済みのユーザーアカウントを表示するには、［ユーザー］をクリックします。
b.
割り当て済みのネストされたグループを表示するには、［ネストされたグループ］をクリックします。
ユーザーグループに関する次の情報を表示するには、
［設定］をクリックします。
•
リンクされたディレクトリグループ（ディレクトリにリンクされたグループの場合に使用可能）
•
割り当て済みの BlackBerry OS IT ポリシー、プロファイル、およびソフトウェア設定（BES12 ドメインが
BlackBerry OS デバイスをサポートする場合に使用可能）
•
割り当て済みの IT ポリシー、プロファイル、およびアプリ
ユーザーグループの名前の変更
1.
メニューバーで［グループ］をクリックします。
2.
表示するユーザーグループを検索します。
3.
ユーザーグループをクリックします。
4.
5.
をクリックします。
ユーザーグループの名前を変更します。
6. ［保存］をクリックします。
196
ユーザーとデバイス
ユーザーグループを削除する
1.
メニューバーで［グループ］をクリックします。
2.
表示するユーザーグループを検索します。
3.
ユーザーグループをクリックします。
4.
をクリックします。
5. ［削除］をクリックします。
会社のディレクトリグループの既存のディレクトリにリンク
されたグループへの追加
1.
メニューバーで［グループ］をクリックします。
2.
ディレクトリにリンクされたグループをクリックします。
3. ［設定］タブをクリックします。
4.
をクリックします。
5. ［リンクされたディレクトリグループ］セクションで
6.
をクリックします。
会社のディレクトリグループの名前を入力します。
7. ［検索］をクリックします。
8.
検索結果リストで、会社のディレクトリグループを選択します。
9. ［追加］をクリックします。
10. 必要な場合は、
［ネストされたグループをリンク］を選択します。
ユーザーグループへのネストされたグループの追加
1 つのネストされたグループをユーザーグループに追加すると、ネストされたグループに属するすべてのグループも追加
されます。
作業を始める前に: ユーザーグループを作成します。ディレクトリにリンクされたグループまたはローカルグループを作
成できます。
1.
メニューバーで［グループ］をクリックします。
2.
ユーザーグループを検索します。
3.
検索結果で、ユーザーグループの名前をクリックします。
4. ［ネストされたグループ］タブをクリックします。
5.
をクリックします。
197
ユーザーとデバイス
6.
1 つ以上の使用可能なグループを選択します。
7. ［追加］をクリックします。
ユーザーグループからのネストされたグループの削除
ユーザーグループに直接割り当てられたネストされたグループは削除できます。
1.
メニューバーで［グループ］をクリックします。
2.
ユーザーグループを検索します。
3.
検索結果で、ユーザーグループの名前をクリックします。
4. ［ネストされたグループ］タブをクリックします。
5.
削除する各ネストされたグループの横のをクリックします。
ユーザーグループへの IT ポリシーの割り当て
作業を始める前に: IT ポリシーを作成します。
1.
メニューバーで［グループ］をクリックします。
2.
ユーザーグループを検索します。
3.
検索結果で、ユーザーグループの名前をクリックします。
4. ［設定］タブをクリックします。
5. ［IT ポリシーおよびプロファイル］セクションで
をクリックします。
6. ［IT ポリシー］をクリックします。
7.
ドロップダウンリストで、グループに割り当てる IT ポリシーの名前をクリックします。
8.
IT ポリシーが既にグループに直接割り当てられている場合は、
［置換］をクリックします。それ以外の場合は、［割
り当て］をクリックします。
関連情報
BES12 が割り当てる IT ポリシーを選択する方法, （135 ページ）
ユーザーグループへのプロファイルの割り当て
作業を始める前に: プロファイルを作成します。
1.
メニューバーで［グループ］をクリックします。
2.
ユーザーグループを検索します。
3.
検索結果で、ユーザーグループの名前をクリックします。
198
ユーザーとデバイス
4. ［設定］タブをクリックします。
5. ［IT ポリシーおよびプロファイル］セクションで
をクリックします。
6.
プロファイルの種類をクリックします。
7.
ドロップダウンリストで、グループに割り当てるプロファイルの名前をクリックします。
8.
ランク付けされたプロファイルの種類で、既に手順 6 で選択したプロファイルタイプがグループに直接割り当てられ
ている場合は、［置換］をクリックします。それ以外の場合は、
［割り当て］をクリックします。
関連情報
プロファイルの割り当て, （58 ページ）
BES12 が割り当てるプロファイルを選択する方法, （59 ページ）
ユーザーグループへのアプリの割り当て
アプリをユーザーグループに割り当てると、ユーザーグループのメンバーがアクティブ化している任意の適用可能なデバ
イスで、そのアプリを使用できるようになります。また、ユーザーグループのメンバーがアクティブ化していないデバイ
スタイプの場合も、ユーザーグループにアプリを割り当てることができます。これによって、グループのメンバーが将来
異なるデバイスタイプをアクティブ化した場合に、その新しいデバイスでも適切なアプリを使用できるようになります。
Android for Work に対して有効にしたアプリグループ内のアプリのみが、Android for Work デバイスで利用可能になりま
す。 Android for Work デバイスのアプリは、ユーザーアカウントまたはユーザーグループに直接割り当てることはできま
せん。
ユーザーアカウントが、同じアプリまたはアプリグループが割り当てられている複数のユーザーグループのメンバーであ
る場合、アプリまたはアプリグループのインスタンスは、そのユーザーアカウントに割り当てられたアプリのリストに 1
つだけ表示されます。同じアプリをユーザーアカウントに直接割り当てることができます。また、ユーザーグループまた
はデバイスグループから継承することもできます。アプリの設定（たとえば、アプリが必須であるかどうか）は、優先度
に応じて割り当てられます。デバイスグループが最も優先され、次に、ユーザーアカウント、ユーザーグループの順に優
先されます。
作業を始める前に:
•
使用可能なアプリリストへアプリを追加します。
•
オプションでアプリグループへアプリを追加できます。
•
割り当て済みの、セキュリティで保護されたアプリをインストールするには、事前にデバイスで Secure Work
Space をセットアップする必要があります。
1.
メニューバーで［グループ］をクリックします。
2.
グループの名前をクリックします。
3. ［設定］タブの［割り当てられたアプリ］セクションで、
をクリックします。
4.
検索フィールドに、追加するアプリのアプリ名、ベンダー、または URL を入力します。
5.
ユーザーグループに割り当てるアプリまたはアプリグループの横にあるチェックボックスをオンにします。
199
ユーザーとデバイス
6. ［次へ］をクリックします。
7.
アプリの［種別］ドロップダウンリストで、次の操作のいずれかを実行します。
•
アプリのインストールをユーザーに求める場合は、［必須］を選択します。
•
ユーザーにアプリのインストールおよび削除を許可するには、［オプション］を選択します。
メモ: 同じアプリが、ユーザーアカウント、ユーザーが属するユーザーグループ、およびデバイスが属する
デバイスグループに割り当てられている場合、デバイスグループで割り当てられているアプリの種別が優先
されます。
8.
per-app VPN 設定をアプリグループに割り当てる場合は、アプリの［Per app VPN］ドロップダウンリストで、アプ
リグループに関連付けられた設定を選択します。
9.
次のタスクのいずれかを実行します。
タスク
手順
VPP アカウントをまだ追加していない場合、または iOS
1. ［割り当て］をクリックします。
アプリを追加しない場合
iOS アプリを追加する場合で、少なくとも 1 つの VPP ア 1. ［次へ］をクリックします。
カウントを既に追加した場合
2. iOS アプリにライセンスを割り当てる場合は、［は
い］を選択します。ライセンスを割り当てない場
合、または、アプリに割り当てるライセンスがない
場合には、［いいえ］を選択します。
3.
アプリにライセンスが割り当てられている場合に
は、［アプリライセンスを付与］ドロップダウンリ
ストで、アプリに関連付ける VPP アカウントを選択
します。
4. ［割り当て］をクリックします。
支払い済みのアプリをインストールするには、ユーザー
は手順に従ってデバイスで組織の VPP に登録する必要が
あります。一度はこのタスクを完了する必要がありま
す。
メモ: 使用可能な数より多くのライセンスにアクセスを
付与した場合は、使用可能なライセンスにアクセスして
いる最初のユーザーがアプリをインストールできます。
関連情報
Android デバイスでのアプリの動作, （156 ページ）
iOS デバイスでのアプリの動作, （163 ページ）
BlackBerry デバイスでのアプリの動作, （164 ページ）
200
ユーザーとデバイス
ユーザーグループへのアプリグループの割り当て
特定のアプリグループをユーザーグループに割り当てると、ユーザーグループのメンバーがアクティベーションを行った
任意の適用可能なデバイスで、アプリグループ内のアプリが利用可能になります。また、ユーザーグループのメンバーが
アクティブ化していないデバイスタイプの場合も、ユーザーグループにアプリを割り当てることができます。これによっ
て、グループのメンバーが将来異なるデバイスタイプをアクティブ化した場合に、その新しいデバイスでも適切なアプリ
を使用できるようになります。
Android for Work に対して有効にしたアプリグループ内のアプリのみが、Android for Work デバイスで利用可能になりま
す。 Android for Work デバイスのアプリは、ユーザーアカウントまたはユーザーグループに直接割り当てることはできま
せん。
ユーザーアカウントが、同じアプリまたはアプリグループが割り当てられている複数のユーザーグループのメンバーであ
る場合、アプリグループのインスタンスは、そのユーザーアカウントに割り当てられたアプリのリストに 1 つだけ表示さ
れます。同じアプリをユーザーアカウントに直接割り当てることができます。また、ユーザーグループまたはデバイスグ
ループから継承することもできます。アプリの設定（たとえば、アプリが必須であるかどうか）は、優先度に応じて割り
当てられます。デバイスグループが最も優先され、次に、ユーザーアカウント、ユーザーグループの順に優先されます。
作業を始める前に:
•
アプリグループへアプリを追加します。
•
割り当て済みの、セキュリティで保護されたアプリをインストールするには、事前にデバイスで Secure Work
Space をセットアップする必要があります。
1.
メニューバーで［グループ］をクリックします。
2.
グループの名前をクリックします。
3. ［設定］タブの［割り当てられたアプリ］セクションで、
をクリックします。
4.
検索フィールドに、追加するアプリのアプリ名、ベンダー、または URL を入力します。
5.
ユーザーグループに割り当てるアプリまたはアプリグループの横にあるチェックボックスをオンにします。
6. ［次へ］をクリックします。
7.
アプリの［種別］ドロップダウンリストで、次の操作のいずれかを実行します。
•
アプリのインストールをユーザーに求める場合は、［必須］を選択します。
•
ユーザーにアプリのインストールおよび削除を許可するには、［オプション］を選択します。
メモ: 同じアプリが、ユーザーアカウント、ユーザーが属するユーザーグループ、およびデバイスが属する
デバイスグループに割り当てられている場合、デバイスグループで割り当てられているアプリの種別が優先
されます。
8.
per-app VPN 設定をアプリグループに割り当てる場合は、アプリの［Per app VPN］ドロップダウンリストで、アプ
リグループに関連付けられた設定を選択します。
9.
次のタスクのいずれかを実行します。
201
ユーザーとデバイス
タスク
手順
VPP アカウントをまだ追加していない場合、または iOS
1. ［割り当て］をクリックします。
アプリを追加しない場合
iOS アプリを追加する場合で、少なくとも 1 つの VPP ア 1. ［次へ］をクリックします。
カウントを既に追加した場合
2. iOS アプリにライセンスを割り当てる場合は、［は
い］を選択します。ライセンスを割り当てない場
合、または、アプリに割り当てるライセンスがない
場合には、［いいえ］を選択します。
3.
アプリにライセンスが割り当てられている場合に
は、［アプリライセンスを付与］ドロップダウンリ
ストで、アプリに関連付ける VPP アカウントを選択
します。
4. ［割り当て］をクリックします。
支払い済みのアプリをインストールするには、ユーザー
は手順に従ってデバイスで組織の VPP に登録する必要が
あります。一度はこのタスクを完了する必要がありま
す。
メモ: 使用可能な数より多くのライセンスにアクセスを
付与した場合は、使用可能なライセンスにアクセスして
いる最初のユーザーがアプリをインストールできます。
関連情報
Android デバイスでのアプリの動作, （156 ページ）
iOS デバイスでのアプリの動作, （163 ページ）
BlackBerry デバイスでのアプリの動作, （164 ページ）
ユーザーグループに割り当てられている per-app VPN 設定の
変更
アプリまたはアプリグループをユーザーまたはユーザーグループに割り当てた後に、iOS デバイスのアプリまたはアプリ
グループに関連付けられた per-app VPN 設定を変更できます。
1.
メニューバーで［グループ］をクリックします。
2.
ユーザーグループの名前をクリックします。
3. ［設定］タブをクリックします。
4. ［割り当てられたアプリ］セクションで、変更する per-app VPN 設定をクリックします。
202
ユーザーとデバイス
5. ［Per app VPN を編集］ダイアログボックスで、［Per app VPN］ドロップダウンリストをクリックし、ドロップダウ
ンリストから設定を選択します。
6. ［保存］をクリックします。
BlackBerry OS IT ポリシー、プロファイル、またはソフトウェ
ア設定をユーザーグループに割り当てる
作業を始める前に:
•
BlackBerry OS IT ポリシーを作成します。
•
ソフトウェア設定を作成します。
•
BlackBerry OS デバイス対応の Wi-Fi または VPN プロファイルを作成します。詳細については、
help.blackberry.com/detectLang/bes5 から『管理ガイド』をダウンロードしてください。
•
BlackBerry OS デバイスのプッシュまたはプルアクセス制御ルールを作成します。詳細については、
help.blackberry.com/detectLang/bes5 から『管理ガイド』をダウンロードしてください。
1.
メニューバーで［グループ］をクリックします。
2.
ユーザーグループを検索します。
3.
検索結果で、ユーザーグループの名前をクリックします。
4. ［設定］タブをクリックします。
5. ［IT ポリシー、プロファイル、およびソフトウェア設定］セクションで、
をクリックします。
6. ［IT ポリシー］
、
［Wi-Fi］、
［VPN］、
［プッシュアクセス制御ルール］、
［プルアクセス制御ルール］、または［ソフトウェ
ア設定］をクリックします。
7.
ドロップダウンリストで、グループに割り当てる IT ポリシー、プロファイル、アクセス制御ルール、またはソフト
ウェア制御の名前をクリックします。
8. ［割り当て］をクリックします。
関連情報
BlackBerry OS IT ポリシーの割り当てと IT ポリシーの競合の解決, （142 ページ）
203
ユーザーとデバイス
ユーザーアカウントの作成と管理
ユーザーアカウントを直接 BES12 に追加することもできれば、会社のディレクトリからユーザーアカウントを追加するこ
ともできます。
BES12 を会社のディレクトリに接続している場合は、会社のディレクトリから直接ユーザーアカウントを追加できます。
ディレクトリにリンクされたグループを有効にする方法の詳細については、設定関連の資料を参照してください。
また、.csv ファイルを使用して、複数のユーザーアカウントを同時に BES12 へ追加することもできます。
ユーザーアカウントの作成
作業を始める前に: ディレクトリユーザーを追加する場合は、BES12 が会社のディレクトリに接続されていることを確認
します。
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2.
左ペインで、［ユーザーを追加］をクリックします。
3.
次のタスクのいずれかを実行します。
タスク
手順
ディレクトリユーザーの追加
1. ［会社のディレクトリ］タブの検索フィールドに、追加するディレクト
リユーザーの検索条件を指定します。姓、名、表示名、ユーザー名、
またはメールアドレスで検索できます。
2.
3.
ローカルユーザーの追加
をクリックします。
検索結果で、ユーザーアカウントを選択します。
1. ［ローカル］タブをクリックします。
2. ［名］フィールドに、ユーザーアカウントの名を入力します。
3. ［姓］フィールドに、ユーザーアカウントの姓を入力します。
4. ［表示名］フィールドで、必要に応じて変更します。表示名は、指定し
た姓と名で自動的に設定されます。
5. ［ユーザー名］フィールドに、ユーザーアカウント固有のユーザー名を
入力します。
6. ［メールアドレス］フィールドに、ユーザーアカウントの連絡先メール
アドレスを入力します。
4.
ローカルグループが BES12 に既存で、ユーザーアカウントをグループに追加する場合は、
［利用可能なグループ］リ
ストで、1 つ以上のグループを選択し、をクリックします。
204
ユーザーとデバイス
ユーザーアカウントを作成する場合は、BES12 のローカルグループのみに追加できます。ユーザーアカウントが
ディレクトリにリンクされたグループのメンバーである場合は、BES12 と会社のディレクトリとの同期が実行された
ときに、自動的にそのグループに関連付けられます。
管理ロールが割り当てられたユーザーグループにユーザーを追加する場合は、セキュリティ管理者である必要があり
ます。
5.
ローカルユーザーを追加するには、
［コンソールのパスワード］フィールドに BES12 Self-Service のパスワードを入力
します。ユーザーに管理ロールが割り当てられている場合は、パスワードを使用して、管理コンソールにアクセス
できます。
6.
次のタスクのいずれかを実行します。
タスク
手順
デバイスアクティベーションパス
ワードを自動生成し、アクティベー
ションの手順を記載したメールを送
信する
1. ［デバイスアクティベーションパスワードを自動生成し、アクティベー
ションの手順を記載したメールを送信する］オプションを選択します。
2. ［アクティベーションの有効期限］フィールドで、アクティベーション
パスワードが期限切れになるまでに、デバイスをアクティブ化しておく
ことができる分数、時間数、日数を指定します。
3. ［アクティベーションメールテンプレート］ドロップダウンリストで、
ユーザーのアクティベーションメールメッセージに使用するテンプ
レートをクリックします。
デバイスアクティベーションパス
ワードを設定する
1. ［デバイスアクティベーションパスワードを設定］オプションを選択し
ます。
2.
アクティベーションパスワードを入力します。
3. ［アクティベーションの有効期限］フィールドで、アクティベーション
パスワードが期限切れになるまでに、デバイスをアクティブ化しておく
ことができる分数、時間数、日数を指定します。
4.
ユーザーにアクティベーション情報を送信するには、［アクティベー
ションの手順とアクティベーションパスワードを記載したメールを送
信する］チェックボックスがオンであることを確認します。
5. ［アクティベーションメールテンプレート］ドロップダウンリストで、
ユーザーのアクティベーションメールメッセージに使用するテンプ
レートをクリックします。
デバイスアクティベーションパス
ワードを設定しない
1. ［デバイスアクティベーションパスワードを設定しない］オプションを
選択します。アクティベーションパスワードを指定して、アクティ
ベーションの説明を後から送信することができます。
7.
BES12 ドメインが BlackBerry OS（バージョン 5.0～7.1）デバイスをサポートしている場合は、ディレクトリユーザー
の BlackBerry OS デバイスアクティベーションを有効化するために、次の操作を実行します。
205
ユーザーとデバイス
a.
［BlackBerry OS デバイスのアクティベーションをユーザーに許可する］チェックボックスをオンにします。
b. ［BlackBerry OS メールサーバー］ドロップダウンリストで、サーバーの名前をクリックします。
メモ: ディレクトリユーザーが、BlackBerry OS メールサーバーが接続している仕事用メールサーバーに存在している
必要があります。
8.
カスタム変数を使用する場合は、［カスタム変数］を展開し、定義した変数に適した値を指定します。
9.
次の操作のいずれかを実行します。
•
ユーザーアカウントを保存するには、［保存］をクリックします。
•
ユーザーアカウントを保存して、別のユーザーアカウントを作成するには、［保存して新規作成］をクリッ
クします。
関連情報
カスタム変数, （66 ページ）
アクティベーションメールテンプレートの管理, （240 ページ）
.csv ファイルからのユーザーアカウントの作成
BES12 の .csv サンプルファイルを使用して手動で .csv ファイルを作成できます。サンプルファイルは、
［ユーザーを追加］
ウィンドウの［インポート］タブからダウンロードして入手できます。
ユーザーアカウントの .csv ファイルについて
複数のユーザーアカウントを 1 つの .csv ファイルで BES12 へインポートして、多数のユーザーアカウントを一度に作成で
きます。要件に応じて、.csv ファイルに次の列を含めることで、ユーザーアカウントのグループメンバーシップやアク
ティベーション設定も指定できます。
列見出し
説明
グループメンバーシップ
1 つ以上のユーザーグループを各ユーザーアカウントに割り当てます。
複数のユーザーグループを区切るには、セミコロン（;）を使用します。
［グループメンバーシップ］列を含めないと、ファイルのインポート時に、
インポートされたすべてのユーザーアカウントを追加するグループを選
択するためのオプションが表示されます。各ユーザーアカウントを特定
のユーザーグループに割り当てる場合は、ファイルをインポートする前に
この列を使用します。
アクティベーションパスワード
アクティベーションパスワードを入力します。
［アクティベーションパスワードの生成］の値が［手動］に設定されてい
る場合、この値は必須です。
206
ユーザーとデバイス
列見出し
説明
アクティベーションパスワードの有効期限
アクティベーションパスワードが期限切れになる前に存続する秒数を入
力します。
アクティベーションパスワードの生成
次のいずれかを入力します。
•
［自動］。アクティベーションパスワードは自動的に作成され、
ユーザーに送信されます。
•
［手動］。アクティベーションパスワードは、
［アクティベーショ
ンパスワード］列に設定されます。
値を空白のままにした場合、デフォルトは［自動］です。
アクティベーションメールを送信
次のいずれかを入力します。
•
［True］。アクティベーションメールがユーザーに送信されま
す。
•
［False］。アクティベーションメールはユーザーに送信されませ
ん。
［アクティベーションパスワードの生成］が［自動］に設定されている場
合は、この列の値に関係なくアクティベーションメールはユーザーに送信
されます。［アクティベーションパスワードの生成］の値が［手動］で、
この値が空の場合、デフォルトは［True］です。
ユーザーの種類
.csv ファイルにローカルユーザーアカウントとディレクトリユーザーア
カウントの両方が含まれる場合、この列は常に必須です。次のいずれか
を入力します。
ディレクトリ UID
•
［L］：ローカルユーザーアカウントの場合
•
［D］：ディレクトリユーザーアカウントの場合
（オプション）ディレクトリユーザーアカウントのメールアドレスを入力
する代わりに使用します。デフォルトでは、ディレクトリユーザーアカ
ウントの検証にはメールアドレスが使用されます。ただし、代わりにディ
レクトリ UID を使用するように指定できます。ユーザーアカウントを
ディレクトリ UID に対して検証できない場合は、エラーがレポートされま
す。
次に .csv ファイルの例を示します。
Username, First name, Last name, Display name, Contact email, Group membership,
Activation password, Activation Password Expiration, Activation Password Generation,
Send activation email, User Type
207
ユーザーとデバイス
JJones1, Justin1,
manual, true, d
JJones2, Justin2,
auto, true, l
JJones3, Justin3,
password, 172800,
JJones4, Justin4,
manual, true, d
Jones, Justin1 Jones, [email protected], Sales, password, 172800,
Jones, Justin2 Jones, [email protected], Sales;Pre Sales, , ,
Jones, Justin3 Jones, [email protected], Sales;Pre Sales,
manual, true, d
Jones, Justin4 Jones, [email protected], Sales, password, 172800,
BES12 でのユーザーアカウントの .csv ファイルの検証方法
BES12 は、ユーザーアカウントの .csv ファイルのロード前、ロード中、およびロード直後に .csv ファイルを検証し、検出
されたエラーをレポートします。
次は、BES12 による .csv ファイルのロードを妨げるエラーの一部です。
•
無効なファイル形式またはファイル拡張子
•
ファイル内にデータがない
•
列数とファイル内の見出し数が一致しない
BES12 はエラーを検出すると、ファイルのロードを停止し、エラーメッセージを表示します。エラーを修正し、.csv ファ
イルを再度ロードする必要があります。
BES12 は、.csv ファイルをロードした後、インポートされるユーザーアカウントのリストを表示し、適用可能な場合は、
インポートされないディレクトリユーザーアカウントをエラーの結果として表示します（たとえば、重複するエントリま
たは無効なメールアドレス）。次のいずれかを実行できます。
•
操作をキャンセルし、エラーを修正して、.csv ファイルを再度ロードします。
•
続行して、有効なユーザーアカウントをロードします。エラーを伴うディレクトリユーザーアカウントはロード
されません。ロードされなかったディレクトリユーザーアカウントは個別の .csv ファイルにコピーして修正す
る必要があります。そうでないと、同じ .csv ファイルを再ロードした結果、正常にロードされたユーザーアカウ
ントの重複エラーが発生します。
BES12 は、ユーザーアカウントを作成する直前に、インポートされたユーザーアカウントの最終検証を実行し、ファイル
がインポートされたときにエラーが生じないことを確認します（たとえば、別の管理者がユーザーアカウントを作成済み
だが、同じユーザーアカウントを含む csv ファイルがインポートされる、など）。
.csv ファイルを使用したユーザーアカウントの作成
作業を始める前に:
•
.csv ファイルにディレクトリユーザーアカウントが含まれる場合は、BES12 が会社のディレクトリに接続されて
いることを確認します。
•
列数と .csv ファイル内の見出し数が一致していることを確認します。
•
必須の列が含まれていることを確認します。
•
列内の情報が正しいことを確認します。
208
ユーザーとデバイス
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2.
左ペインで、
［ユーザーを追加］をクリックします。
3. ［インポート］タブをクリックします。
4. ［参照］をクリックし、追加するユーザーアカウントが含まれる .csv ファイルへ移動します。
5. ［ロード］をクリックします。
6.
エラーがレポートされた場合は、次の操作を実行します。
a.
.csv ファイル内のエラーを修正します。
b. ［参照］をクリックして、.csv ファイルへ移動します。
c.
［ロード］をクリックします。
d.
7.
すべてのエラーが修正されるまで、手順 6 を繰り返します。
.csv ファイルで［グループメンバーシップ］列が使用されていないが、ローカルグループが BES12 に存在し、ユー
ザーアカウントをグループに追加する場合は、次の操作を実行します。
a.
［利用可能なグループ］リストで、1 つ以上のグループを選択し、をクリックします。
b. ［次へ］をクリックします。
.csv ファイルをインポートする場合は、すべてのユーザーアカウントが選択したローカルグループに追加されます。
ユーザーアカウントがディレクトリにリンクされたグループのメンバーである場合は、BES12 と会社のディレクトリ
との同期が実行されたときに、自動的にそのグループに関連付けられます。
8.
ユーザーアカウントのリストを調べ、次のいずれかの操作を実行します。
•
無効なディレクトリユーザーアカウントのエラーを修正するには、［キャンセル］をクリックし、手順 6 に
進みます。
•
有効なユーザーアカウントを追加するには、［インポート］をクリックします。無効なディレクトリユー
ザーアカウントは無視されます。
終了したら: BES12 ドメインが BlackBerry OS（バージョン 5.0～7.1）デバイスをサポートする場合に、ディレクトリユー
ザーアカウントの BlackBerry OS デバイスアクティベーションを有効にするには、ユーザーアカウント情報を編集します。
ユーザーアカウントの表示
［ユーザーの概要］タブでユーザーアカウントに関する情報を表示できます。たとえば、次の情報を表示できます。
•
アクティブ化されたデバイス
•
ユーザーアカウントが属しているユーザーグループ
•
割り当て済みの BlackBerry OS IT ポリシー、プロファイル、およびソフトウェア設定（ユーザーアカウントで
BlackBerry OS デバイスアクティベーションが有効な場合に使用可能）
•
割り当て済みの IT ポリシー、プロファイル、およびアプリ
209
ユーザーとデバイス
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2.
ユーザーアカウントを検索します。
3.
検索結果で、ユーザーアカウントの名前をクリックします。
ユーザーへのメールの送信
メールを、管理コンソールから直接個々のユーザーに送信できます。ユーザーには、アカウントに関連付けられたメール
アドレスが必要です。
メッセージは、SMTP 設定で設定したメールアドレスから送信されます。
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2.
ユーザーアカウントを検索します。
3.
検索結果で、ユーザーアカウントの名前をクリックします。
4.
画面上部のユーザー名の下にある［メッセージを送信］をクリックします。
5.
オプションで、［CC］をクリックし、1 つ以上のメールアドレスを入力して（カンマまたはセミコロンで区切る）管
理者自身と他のユーザーへメールをコピーします。
6.
件名とメッセージを入力します。
7. ［送信］をクリックします。
ユーザーアカウント情報の編集
ディレクトリおよびローカルユーザーアカウントのユーザーグループメンバーシップは編集できますが、ディレクトリに
リンクされたグループへのメンバーシップは変更できません。カスタム変数を使用すると、ディレクトリとローカルユー
ザーアカウントの変数情報も編集できます。ローカルユーザーアカウントの名前、ユーザー名、連絡先メールアドレス、
およびコンソールパスワードを編集できます。
BES12 ドメインが BlackBerry OS（バージョン 5.0～7.1）デバイスをサポートしている場合は、ディレクトリユーザーア
カウントの BlackBerry OS デバイスアクティベーションを有効または無効にすることができます。ユーザーが BlackBerry
OS デバイスをアクティブ化していない場合は、BlackBerry OS デバイスアクティベーションの無効化のみを実行できます。
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2.
ユーザーアカウントを検索します。
3.
検索結果で、ユーザーアカウントの名前をクリックします。
4. ［ユーザーの概要］タブの［ユーザーの詳細］セクションで
5.
ユーザーアカウント情報を編集します。
6. ［保存］をクリックします。
210
をクリックします。
ユーザーとデバイス
ユーザーアカウント情報の更新
会社のディレクトリからユーザーアカウントを追加した場合は、自動同期時刻を待つことなく、ユーザーの情報と会社の
ディレクトリをいつでも手動で同期できます。
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2.
ユーザーアカウントを検索します。
3.
検索結果で、ユーザーアカウントの名前をクリックします。
4.
をクリックします。
BlackBerry OS デバイスユーザーのオーガナイザーデータ同
期とメール設定の変更
［ユーザーの概要］タブの［詳細設定］で、ユーザーアカウントのオーガナイザーデータ同期設定を変更できます。また、
メッセージ転送の管理、ユーザーが BlackBerry OS デバイスと同期できるフォルダーの制御、メールの署名と挿入テキス
トの管理も実行できます。
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2.
ユーザーアカウントを検索します。
3.
検索結果で、ユーザーアカウントの名前をクリックします。
4. ［ユーザーの概要］タブの［IT ポリシー、プロファイル、およびソフトウェア設定］セクションで、
［詳細設定］をク
リックします。
5. ［ユーザーを編集］をクリックします。
6. ［メッセージング設定］セクションで、［デフォルト設定］をクリックします。
7.
適切なタブで変更を加えます。
8. ［ユーザー情報の編集を続行］をクリックします。
9. ［すべて保存］をクリックします。
ユーザーアカウントの削除
ユーザーアカウントを削除する場合は、そのユーザーのすべてのデバイスから仕事用データも削除する必要があります。
作業を始める前に: 削除するユーザーアカウントに関連付けられたアクティブ化されているすべてのデバイスを削除しま
す。
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2.
ユーザーアカウントを検索します。
3.
検索結果で、ユーザーアカウントの名前を選択します。
211
ユーザーとデバイス
4.
をクリックします。
5. ［削除］をクリックします。
ユーザーグループへのユーザーの追加
メモ: 管理ロールが割り当てられるユーザーをユーザーグループに追加するには、セキュリティ管理者である必要があり
ます。
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2.
ユーザーグループに追加するユーザーの横のチェックボックスを選択します。
3.
をクリックします。
4. ［利用可能なグループ］リストで、1 つ以上のグループを選択し、をクリックします。
メモ: ディレクトリにリンクされたグループへのメンバーシップは変更できません。
5. ［保存］をクリックします。
ユーザーの所属先ユーザーグループの変更
メモ: 管理ロールが割り当てられるユーザーのユーザーグループを変更するには、セキュリティ管理者である必要があり
ます。
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2.
ユーザーアカウントを検索します。
3.
検索結果で、ユーザーアカウントの名前をクリックします。
4. ［ユーザーの概要］タブの［グループメンバーシップ］セクションで
5.
をクリックします。
次の操作のいずれかを実行します。
• ユーザーをユーザーグループに追加するには、［利用可能なグループ］リストで、1 つ以上のグループを選
択し、をクリックします。
• ユーザーをユーザーグループから削除するには、［グループのメンバー］リストで、1 つ以上のグループを
選択し、をクリックします。
メモ: ディレクトリにリンクされたグループへのメンバーシップは変更できません。
6. ［保存］をクリックします。
ユーザーグループからのユーザーの削除
ディレクトリにリンクされたグループからはユーザーを削除できません。
212
ユーザーとデバイス
メモ: 管理ロールが割り当てられるユーザーをユーザーグループから削除するには、セキュリティ管理者である必要があ
ります。
1.
メニューバーで［グループ］をクリックします。
2.
編集するユーザーグループを検索します。
3.
ユーザーグループをクリックします。
4.
削除するユーザーを検索します。
5.
ユーザーを選択します。
6.
をクリックします。
ユーザーアカウントへの IT ポリシーの割り当て
作業を始める前に: IT ポリシーを作成します。
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2.
ユーザーアカウントを検索します。
3.
検索結果で、ユーザーアカウントの名前をクリックします。
4. ［ユーザーの概要］タブの［IT ポリシーおよびプロファイル］セクションで、
をクリックします。
5. ［IT ポリシー］をクリックします。
6.
ドロップダウンリストで、ユーザーに割り当てる IT ポリシーの名前をクリックします。
7.
IT ポリシーが既にユーザーに直接割り当てられている場合は、
［置換］をクリックします。それ以外の場合は、［割
り当て］をクリックします。
関連情報
BES12 が割り当てる IT ポリシーを選択する方法, （135 ページ）
ユーザーアカウントへのプロファイルの割り当て
作業を始める前に: プロファイルを作成します。
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2.
ユーザーアカウントを検索します。
3.
検索結果で、ユーザーアカウントの名前をクリックします。
4. ［ユーザーの概要］タブの［IT ポリシーおよびプロファイル］セクションで、
をクリックします。
5.
プロファイルの種類をクリックします。
6.
ドロップダウンリストで、ユーザーに割り当てるプロファイルの名前をクリックします。
213
ユーザーとデバイス
7.
ランク付けされたプロファイルの種類で、既に手順 5 で選択したプロファイルタイプがユーザーに直接割り当てられ
ている場合は、
［置換］をクリックします。それ以外の場合は、
［割り当て］をクリックします。
関連情報
プロファイルの割り当て, （58 ページ）
BES12 が割り当てるプロファイルを選択する方法, （59 ページ）
ユーザーアカウントへのクライアント証明書の追加
デバイスが証明書に基づく認証を使用して組織の環境内のネットワークまたはサーバーに接続している場合は、デバイス
にクライアント証明書を配布する必要が生じる場合があります。デバイスのアクティベーションタイプに応じて、クライ
アント証明書を個々のユーザーアカウントに追加し、その証明書をユーザーの iOS および Android デバイスに送信できま
す。このオプションは、
［MDM コントロール］アクティベーションのデバイス、Samsung KNOX デバイス、および Android
for Work デバイスでサポートされています。
クライアント証明書のファイル名拡張子は、.pfx または .p12 にする必要があります。複数のクライアント証明書をデバイ
スに送信できます。
組織に SCEP サービスが導入されている場合は、SCEP プロファイルを使用して、BlackBerry 10 デバイス、iOS デバイス、
および Secure Work Space、KNOX Workspace、KNOX MDM でアクティベーションを行った Android デバイスにクライアン
ト証明書を登録することもできます。
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2.
ユーザーアカウントを検索します。
3.
検索結果で、ユーザーアカウントの名前をクリックします。
4. ［IT ポリシーおよびプロファイル］セクションで
をクリックします。
5. ［ユーザー証明書］をクリックします。
6.
証明書の名前と説明を入力します。
7. ［パスワード］フィールドに、証明書のパスワードを入力します。
8. ［証明書ファイル］フィールドで、
［参照］をクリックして証明書ファイルを見つけます。
9. ［追加］をクリックします。
関連情報
デバイスへの証明書の送信, （71 ページ）
SCEP プロファイルの作成, （72 ページ）
ユーザーアカウントへのアプリの割り当て
アプリをユーザーレベルで制御する必要がある場合は、アプリまたはアプリグループをユーザーアカウントに割り当てる
ことができます。アプリをユーザーに割り当てると、ユーザーがデバイスタイプに対してアクティブ化している任意のデ
バイスでアプリを使用できるようになり、アプリはそのデバイスの仕事用アプリケーションカタログにリストされます。
214
ユーザーとデバイス
Android for Work に対して有効にしたアプリグループ内のアプリのみが、Android for Work デバイスで利用可能になりま
す。 Android for Work デバイスのアプリをユーザーアカウントに直接割り当てることはできません。
また、アクティブ化されていないデバイスタイプの場合も、アプリをユーザーに割り当てることができます。これによっ
て、ユーザーが将来異なるデバイスタイプをアクティブ化した場合に、その新しいデバイスでも適切なアプリを使用でき
るようになります。
同じアプリをユーザーアカウントに直接割り当てることができます。また、ユーザーグループまたはデバイスグループか
ら継承することもできます。アプリの設定（たとえば、アプリが必須であるかどうか）は、優先度に応じて割り当てられ
ます。デバイスグループが最も優先され、次に、ユーザーアカウント、ユーザーグループの順に優先されます。
作業を始める前に:
•
使用可能なアプリリストへアプリを追加します。
•
オプションでのアプリグループへアプリを追加します。
•
割り当て済みの、セキュリティで保護されたアプリをインストールするには、事前にデバイスで Secure Work
Space をセットアップする必要があります。
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2.
ユーザーアカウントを検索します。
3.
検索結果で、ユーザーアカウントの名前をクリックします。
4. ［グループ割り当てアプリとユーザー割り当てアプリ］セクションで、
5.
をクリックします。
ユーザーアカウントに割り当てるアプリまたはアプリグループの横にあるチェックボックスをオンにします。
6. ［次へ］をクリックします。
7.
アプリの［種別］ドロップダウンリストで、次の操作のいずれかを実行します。
•
アプリのインストールをユーザーに求める場合は、［必須］を選択します。
•
ユーザーにアプリのインストールおよび削除を許可するには、［オプション］を選択します。
メモ: 同じアプリが、ユーザーアカウント、ユーザーが属するユーザーグループ、およびデバイスが属する
デバイスグループに割り当てられている場合、デバイスグループで割り当てられているアプリの種別が優先
されます。
8.
per-app VPN 設定をアプリに割り当てる場合は、アプリの［Per app VPN］ドロップダウンリストで、アプリに関連
付ける設定を選択します。
9.
iOS アプリを追加する場合は、次のタスクのいずれかを実行します。
タスク
手順
VPP アカウントをまだ追加していない場合、または iOS
1. ［割り当て］をクリックします。
アプリを追加しない場合
iOS アプリを追加する場合で、少なくとも 1 つの VPP ア 1. ［次へ］をクリックします。
カウントを既に追加した場合
215
ユーザーとデバイス
タスク
手順
2.
iOS アプリにライセンスを割り当てる場合は、［は
い］を選択します。ライセンスを割り当てない場
合、または、アプリに割り当てるライセンスがない
場合には、［いいえ］を選択します。
3.
アプリにライセンスが割り当てられている場合に
は、［アプリライセンスを付与］ドロップダウンリ
ストで、アプリに関連付ける VPP アカウントを選択
します。
4. ［割り当て］をクリックします。
支払い済みのアプリをインストールするには、ユー
ザーは手順に従ってデバイスで組織の VPP に登録
する必要があります。一度はこのタスクを完了す
る必要があります。
メモ: 使用可能な数より多くのライセンスにアクセスを
付与した場合は、使用可能なライセンスにアクセスして
いる最初のユーザーがアプリをインストールできます。
関連情報
Android デバイスでのアプリの動作, （156 ページ）
iOS デバイスでのアプリの動作, （163 ページ）
BlackBerry デバイスでのアプリの動作, （164 ページ）
ユーザーアカウントへのアプリグループの割り当て
アプリをユーザーレベルで制御する必要がある場合は、アプリまたはアプリグループをユーザーアカウントに割り当てる
ことができます。アプリをユーザーに割り当てると、ユーザーがデバイスタイプに対してアクティブ化している任意のデ
バイスでアプリを使用できるようになり、アプリはそのデバイスの仕事用アプリケーションカタログにリストされます。
Android for Work に対して有効にしたアプリグループ内のアプリのみが、Android for Work デバイスで利用可能になりま
す。 Android for Work デバイスのアプリをユーザーアカウントに直接割り当てることはできません。
また、アクティブ化されていないデバイスタイプの場合も、アプリをユーザーに割り当てることができます。これによっ
て、ユーザーが将来異なるデバイスタイプをアクティブ化した場合に、その新しいデバイスでも適切なアプリを使用でき
るようになります。
同じアプリをユーザーアカウントに直接割り当てることができます。また、ユーザーグループまたはデバイスグループか
ら継承することもできます。アプリの設定（たとえば、アプリが必須であるかどうか）は、優先度に応じて割り当てられ
ます。デバイスグループが最も優先され、次に、ユーザーアカウント、ユーザーグループの順に優先されます。
作業を始める前に:
216
ユーザーとデバイス
•
アプリグループへアプリを追加します。
•
割り当て済みの、セキュリティで保護されたアプリをインストールするには、事前にデバイスで Secure Work
Space をセットアップする必要があります。
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2.
ユーザーアカウントを検索します。
3.
検索結果で、ユーザーアカウントの名前をクリックします。
4. ［グループ割り当てアプリとユーザー割り当てアプリ］セクションで、
5.
をクリックします。
ユーザーアカウントに割り当てるアプリまたはアプリグループの横にあるチェックボックスをオンにします。
6. ［次へ］をクリックします。
7.
アプリの［種別］ドロップダウンリストで、次の操作のいずれかを実行します。
•
アプリのインストールをユーザーに求める場合は、［必須］を選択します。
•
ユーザーにアプリのインストールおよび削除を許可するには、［オプション］を選択します。
メモ: 同じアプリが、ユーザーアカウント、ユーザーが属するユーザーグループ、およびデバイスが属する
デバイスグループに割り当てられている場合、デバイスグループで割り当てられているアプリの種別が優先
されます。
8.
per-app VPN 設定をアプリに割り当てる場合は、アプリの［Per app VPN］ドロップダウンリストで、アプリに関連
付ける設定を選択します。
9.
iOS アプリを追加する場合は、次のタスクのいずれかを実行します。
タスク
手順
VPP アカウントをまだ追加していない場合、または iOS
1. ［割り当て］をクリックします。
アプリを追加しない場合
iOS アプリを追加する場合で、少なくとも 1 つの VPP ア 1. ［次へ］をクリックします。
カウントを既に追加した場合
2. iOS アプリにライセンスを割り当てる場合は、［は
い］を選択します。ライセンスを割り当てない場
合、または、アプリに割り当てるライセンスがない
場合には、［いいえ］を選択します。
3.
アプリにライセンスが割り当てられている場合に
は、［アプリライセンスを付与］ドロップダウンリ
ストで、アプリに関連付ける VPP アカウントを選択
します。
4. ［割り当て］をクリックします。
217
ユーザーとデバイス
タスク
手順
支払い済みのアプリをインストールするには、ユー
ザーは手順に従ってデバイスで組織の VPP に登録
する必要があります。一度はこのタスクを完了す
る必要があります。
メモ: 使用可能な数より多くのライセンスにアクセスを
付与した場合は、使用可能なライセンスにアクセスして
いる最初のユーザーがアプリをインストールできます。
関連情報
Android デバイスでのアプリの動作, （156 ページ）
iOS デバイスでのアプリの動作, （163 ページ）
BlackBerry デバイスでのアプリの動作, （164 ページ）
ユーザーに割り当てられている per-app VPN 設定の変更
アプリまたはアプリグループをユーザーまたはユーザーグループに割り当てた後に、iOS デバイスのアプリまたはアプリ
グループに関連付けられた per-app VPN 設定を変更できます。
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2.
変更する per-app VPN 設定がユーザーアカウントに割り当てられている場合は、検索結果で、ユーザーアカウントの
名前をクリックします。
3. ［グループ割り当てアプリとユーザー割り当てアプリ］セクションで、変更する per-app VPN 設定をクリックします。
4. ［Per app VPN を編集］ダイアログボックスで、［Per app VPN］ドロップダウンリストをクリックし、ドロップダウ
ンリストから設定を選択します。
5. ［保存］をクリックします。
BlackBerry OS IT ポリシー、プロファイル、またはソフトウェ
ア設定をユーザーアカウントに割り当てる
作業を始める前に:
•
ユーザーアカウントの BlackBerry OS デバイスアクティベーションを有効化したことを確認します。
•
BlackBerry OS IT ポリシーを作成します。
•
ソフトウェア設定を作成します。
•
BlackBerry OS デバイス対応の Wi-Fi または VPN プロファイルを作成します。詳細については、
help.blackberry.com/detectLang/bes5 から『管理ガイド』をダウンロードしてください。
218
ユーザーとデバイス
•
BlackBerry OS デバイスのプッシュまたはプルアクセス制御ルールを作成します。詳細については、
help.blackberry.com/detectLang/bes5 から『管理ガイド』をダウンロードしてください。
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2.
ユーザーアカウントを検索します。
3.
検索結果で、ユーザーアカウントの名前をクリックします。
4. ［ユーザーの概要］タブの［IT ポリシー、プロファイル、またはソフトウェア設定］セクションで、
ます。
をクリックし
5. ［IT ポリシー］
、
［Wi-Fi］、
［VPN］、
［プッシュアクセス制御ルール］
、
［プルアクセス制御ルール］、または［ソフトウェ
ア設定］をクリックします。
6.
ドロップダウンリストで、ユーザーに割り当てる IT ポリシー、プロファイル、アクセス制御ルール、またはソフト
ウェア制御の名前をクリックします。
7. ［割り当て］をクリックします。
関連情報
BlackBerry OS IT ポリシーの割り当てと IT ポリシーの競合の解決, （142 ページ）
ユーザーアカウントに割り当てられる解決済み BlackBerry
OS IT ポリシールールの表示
ユーザーが、異なる BlackBerry OS IT ポリシーを持つ複数のユーザーグループのメンバーである場合、BES12 は BlackBerry
OS 設定に指定された更新方法を使用して、競合する IT ポリシーまたは IT ポリシールール設定を解決します。 BlackBerry
OS IT ポリシーの更新結果と、ルールごとに解決された設定は、［ユーザーの概要］タブの［詳細設定］で表示できます。
IT ポリシールールが、ユーザーアカウントに適用された複数の BlackBerry OS IT ポリシーで同一の場合、結果には IT ポリ
シールールは表示されません。
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2.
ユーザーアカウントを検索します。
3.
検索結果で、ユーザーアカウントの名前をクリックします。
4. ［ユーザーの概要］タブの［IT ポリシー、プロファイル、およびソフトウェア設定］セクションで、
［詳細設定］をク
リックします。
5. ［ポリシー］タブをクリックします。
6. ［解決された IT ポリシー名］セクションで、BlackBerry OS IT ポリシーの名前をクリックします。
219
ユーザーとデバイス
フィルターを使用した［ユーザーとデバイス］
表示のカスタマイズ
フィルターを使用すると、タスクに関連するユーザーと情報のみを表示できます。たとえば、グループメンバーシップ
別、割り当てられたポリシー別、コンプライアンス状態別、OS ファミリおよびバージョン別、ハードウェアベンダー別、
通信事業者別、およびローミングステータス別にユーザーをフィルターして表示できます。一度に 1 つのフィルターを選
択してリストをフィルターするか、または複数のフィルターを選択してリストをフィルターするかを選択できます。フィ
ルターを選択するときには、表示結果がゼロになるフィルターは、自動的に各カテゴリから除外されます。
複数選択をオフにすると、各フィルターは選択時に適用され、各カテゴリで選択できるフィルターは 1 つのみになりま
す。
複数選択を有効にすると、複数のフィルターを選択してからそれらを適用でき、各カテゴリで複数のフィルターを選択で
きます。
さらに分析し、レポートする目的で、ユーザーのリストを .csv ファイルにエクスポートできます。
ユーザーとデバイスのフィルター
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2.
左ペインで、
をクリックして、複数選択の有効または無効を切り替えます。
3. ［フィルター］の下で、カテゴリをクリックして展開します。
4.
適用するフィルターを選択します。各フィルターの横に、そのフィルターを適用した場合の結果数が表示されます。
5.
複数選択を有効にした場合は、
［送信］をクリックします。
6.
オプションで、次のいずれかを実行します。
•
フィルターをさらに追加するには、左ペインで手順 3～5 を繰り返します。
• フィルターを削除するには、右ペインで、削除するフィルターの横のをクリックします。
•
すべてのフィルターを削除するには、右ペインで、［すべて削除］をクリックします。
ユーザーリストの .csv ファイルへのエクスポート
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2.
左ペインで、レポートに含める詳細情報をフィルターします。
3.
フィルターされたリストから、レポートに含めるユーザーを選択します。
4.
をクリックして、ファイルを保存します。
220
ユーザーとデバイス
デバイスグループの管理
23
デバイスを定義および作成して、似通ったデバイスを効率的に管理できます。
デバイスグループを作成および管理する手順
デバイスグループを作成して管理する場合は、次の操作を実行します。
手順
操作
オプション：ユーザーグループを選択して、クエリをこれらのグループに制限します。
特定のデバイスセットを定義するためのクエリを作成します。
IT ポリシー、プロファイル、およびアプリを、クエリで定義されたデバイスに割り当てます。
デバイスグループの作成
デバイスグループは、機種と製造元、OS のタイプとバージョン、通信事業者、デバイスが組織所有かユーザー所有かなど
の共通の属性を持つデバイスのグループです。 BES12 は、定義されたデバイスの属性に基づいて、自動的にデバイスをデ
バイスグループに入れたり、出したりして移動します。
デバイスグループを使用して、単一のユーザーに割り当てられたデバイスに、ポリシー、プロファイル、アプリのさまざ
まなセットを適用できます。たとえば、デバイスグループを使用して、特定の IT ポリシーを BlackBerry 10 OS を実行して
いるすべてのデバイスに適用したり、T-Mobile ネットワーク上で Android OS 4.0 以降を実行しているすべての HTC EVO デ
バイスに適用したりすることができます。
デバイスグループに割り当てられたポリシー、プロファイル、およびアプリは、ユーザーまたはユーザーグループに割り
当てられたものより優先されます。ただし、アクティベーションプロファイルまたはユーザー証明書をデバイスグループ
に割り当てることはできません。
デバイスグループには、BlackBerry OS（バージョン 5.0～7.1）デバイスは含まれません。論理的に BlackBerry OS デバイ
スを含むデバイスグループクエリを作成した場合でも、それらはデバイスグループには含まれません。
デバイスグループの作成
1.
メニューバーで［グループ］をクリックします。
221
ユーザーとデバイス
2. ［デバイスグループ］タブをクリックします。
3.
4.
をクリックします。
デバイスグループの名前を入力します。
5. ［ユーザーグループへの領域］セクションで、デバイスグループを適用する 1 つ以上のユーザーグループを選択でき
ます。ユーザーグループを選択しない場合、デバイスグループはすべてのアクティブ化されたデバイスに適用され
ます。
6. ［デバイスクエリ］セクションの最初のドロップダウンリストで、
［次の条件のいずれか］または［すべて］をクリッ
クします。
［すべて］を選択した場合、デバイスは、デバイスグループに含めるように管理者が定義したすべての属性に一致し
ている必要があります。［次の条件のいずれか］を選択した場合、デバイスは、デバイスグループに含めるように
管理者が定義した属性のうち 1 つのみに一致している必要があります。
7. ［デバイスクエリ］セクションで、次の操作を実行します。
•
［属性］ドロップダウンリストで、属性をクリックします。
•
［演算子］ドロップダウンリストで、演算子をクリックします。
•
［値］ドロップダウンリストで、値をクリックするか、入力します。
クエリをフォーカスするため、行を追加または削除できます。
8. ［次へ］をクリックします。
9.
IT ポリシーまたはプロファイルをデバイスグループに割り当てるには、次の操作を実行します。
a.
［IT ポリシーおよびプロファイル］セクションで
をクリックします。
b. ［IT ポリシー］またはプロファイルの種類をクリックします。
c.
ドロップダウンリストで、グループに割り当てる IT ポリシーまたはプロファイルの名前をクリックします。
d. ［割り当て］をクリックします。
10. アプリをデバイスグループに割り当てるには、
［割り当てられたアプリ］セクションで、
をクリックします。
11. アプリを検索します。
12. 検索結果で、アプリを選択します。
13. ［次へ］をクリックします。
14. アプリの［種別］ドロップダウンリストで、次の操作のいずれかを実行します。
•
アプリが iOS または Android アプリの場合：ユーザーに割り当てられたコンプライアンスプロファイルでア
プリ向けに定義された操作に従うことをユーザーに対して要求するには、［必須］を選択します。
•
アプリが Windows Phone アプリである場合：内部アプリを割り当てられたデバイスに自動的にインストー
ルするには、［必須］を選択します。ユーザーが必須の内部アプリをアンインストールする場合は、その
ユーザーに割り当てられたコンプライアンスプロファイルに定義された操作に従う必要があります。
Windows Phone Store から追加されたアプリの場合は、ユーザーが割り当てられたコンプライアンスプロ
222
ユーザーとデバイス
ファイルでアプリ向けに定義された操作に従うように、［必須］を選択します。これは、Windows Phone
バージョン 8.1 以降を実行しているデバイスのみに適用されます。
•
アプリが内部 BlackBerry 10 アプリの場合：内部アプリを割り当てられたデバイスに自動的にインストール
するには、［必須］を選択します。このオプションは、内部 BlackBerry 10 アプリでのみ使用可能です。
BlackBerry World ストアから追加されたアプリは、オプションにのみ指定できます。
•
ユーザーにアプリのインストールと削除を許可するには、［オプション］を選択します。
メモ: 同じアプリを直接ユーザーアカウントに割り当てることもできれば、ユーザーグループまたはデバイ
スグループから継承させることもできます。アプリの設定（たとえば、アプリが必須であるかどうか）は、
優先度に応じて割り当てられます。デバイスグループは、ユーザーアカウントおよびユーザーグループより
も優先されます。
15. ［割り当て］をクリックします。
16. 必要に応じて、割り当てられたアプリに次の操作のいずれかを実行します。
•
アプリに関する詳細を表示するには、アプリ名をクリックします。
•
アプリの［種別］を変更するには、次を実行します。
1.
アプリの種別をクリックします。
2.
新しい種別を選択します。
3. ［保存］をクリックします。
• 割り当てられたアプリを削除するには、アプリの横にあるをクリックします。
17. 完了したら、デバイスグループプロパティを指定して［保存］をクリックします。
デバイスグループのパラメーターの定義
デバイスグループを作成する場合は、1 つ以上の属性ステートメントを含むデバイスクエリを設定します。デバイスがい
ずれかの属性ステートメントに一致した場合に、またはすべての属性ステートメントに一致した場合のみに、デバイスを
デバイスグループに所属させるかどうかを指定できます。各属性ステートメントには、属性、演算子、値が含まれます。
次の表で、これらの各要素を説明します。
属性
演算子
値
通信事業者
•
=
テキストフィールド。 T-Mobile または Bell などの通信事業
•
!=
者の名前を入力します。
•
開始:
223
ユーザーとデバイス
属性
演算子
値
製造者
•
=
テキストフィールド。 Apple または BlackBerry などのデバ
•
!=
イスの製造元の名前を入力します。
•
開始:
•
=
テキストフィールド。 iPhone 5S または BlackBerry Q10 な
•
!=
どの機種の名前を入力します。
•
開始:
•
=
ドロップダウンリスト。 Android、BlackBerry 10、iOS、ま
•
!=
たは Windows Phone を選択します。
•
=
テキストフィールド。 7.1.1 または 10.3 などの OS バー
•
!=
ジョンを入力します。この属性を使用する場合は、OS バー
•
>=
•
<=
•
=
ドロップダウンリスト。［仕事用］、
［個人用］、または［指
•
!=
定なし］を選択します。
モデル
OS
OS バージョン
所有権
ジョンの重複を避けるために OS 属性も指定する必要があ
ります。
デバイスグループの表示
1.
メニューバーで［グループ］をクリックします。
2. ［デバイスグループ］タブをクリックします。
3.
表示するデバイスグループを検索します。
4.
デバイスグループをクリックします。
5.
次の操作のいずれかを実行します。
•
デバイスグループに割り当てられたデバイスを表示するには、［デバイス］タブをクリックします。
•
デバイスグループに割り当てられたユーザーグループ、デバイスクエリ、IT ポリシー、プロファイル、また
はアプリを表示するには、［設定］タブを選択します。
224
ユーザーとデバイス
デバイスグループの名前の変更
1.
メニューバーで［グループ］をクリックします。
2. ［デバイスグループ］タブをクリックします。
3.
表示するデバイスグループを検索します。
4.
デバイスグループをクリックします。
5.
6.
をクリックします。
デバイスグループの名前を変更します。
7. ［次へ］をクリックします。
8. ［保存］をクリックします。
デバイスグループの削除
1.
メニューバーで［グループ］をクリックします。
2. ［デバイスグループ］タブをクリックします。
3.
表示するデバイスグループを検索します。
4.
デバイスグループをクリックします。
5.
をクリックします。
6. ［削除］をクリックします。
225
ユーザーとデバイス
DEP に登録されている iOS デバイスを
アクティベーション
24
Apple の Device Enrollment Program に iOS デバイスを登録し、BES12 管理コンソールを使用して、デバイスに管理設定を
割り当てることができます。登録設定には、
［管理モードを有効にする］など、MDM 登録中にデバイスに割り当てられた
追加のルールが含まれています。
デバイスがアクティベーションされると、BES12 は割り当てられた IT ポリシーとプロファイルをユーザーに送信します。
デバイスが Secure Work Space を使用するように設定するか、またはコンプライアンスプロファイルをユーザーに割り当
てた場合、このユーザーはデバイスをアクティベーションしてから、BES12 Client を開始する必要があります。
前提条件：DEP に登録されているデバイスで
BES12 Client を使用する
•
アプリリストに BES12 Client を追加します。 BES12 Client は App Store から利用できます。
•
BES12 Client をユーザーアカウントまたはユーザーグループに割り当てます。
詳細については、管理関係の資料で「デバイスでのアプリの管理」を参照してください。
DEP に登録されているデバイスをアクティ
ベーションする手順
Apple の Device Enrollment Program に登録された iOS デバイスをアクティベーションするには、次の操作を実行します。
手順
操作
DEP にデバイスを登録し、MDM サーバーに割り当てます。
デバイスに登録設定を割り当てます。
226
ユーザーとデバイス
DEP に iOS デバイスを登録し、MDM サーバー
に割り当てる
デバイスを登録するには、Apple DEP ポータルにデバイスのシリアル番号を入力し、これらのデバイスを MDM サーバー
に割り当てます。シリアル番号は次の方法で入力できます。
•
番号を個別に入力する
•
購入時に Apple によりデバイスに割り当てられた注文番号を選択する
•
シリアル番号が記録された .csv ファイルをアップロードする
作業を始める前に: iOS デバイスを登録する前に、DEP を使用するように BES12 を構成します。 BES12 の設定の詳細につ
いては、設定関係の資料を参照してください。
1.
ブラウザーに deploy.apple.com と入力します。
2.
DEP アカウントにサインインします。
3. ［デバイスを管理］をクリックします。
4.
プロンプトに従って、デバイスのシリアル番号を入力します。
5.
MDM サーバーにシリアル番号を割り当てます。
終了したら: BES12 管理コンソールでデバイスに登録設定を割り当てます。
iOS デバイスに登録設定を割り当てる
登録設定を作成し、［新しいデバイスをこの設定に自動的に割り当てる］を選択した場合、DEP でデバイスを登録したと
きに、BES12 は自動的にこの設定をデバイスに割り当てます。 BES12 が登録設定を自動的に割り当てなかった場合は、登
録設定を割り当てる必要があります。
作業を始める前に: DEP に iOS デバイスを登録し、MDM サーバーに割り当てます。
1.
メニューバーで［ユーザーとデバイス］ > ［Apple DEP デバイス］をクリックします。
2.
登録設定の割り当て先デバイスの横にあるチェックボックスをオンにします。
3.
をクリックします。
4. ［登録設定］ドロップダウンリストで、割り当てる登録設定をクリックします。
5. ［割り当て］をクリックします。
終了したら: アクティベーションのために iOS デバイスへユーザーを分散します。
227
ユーザーとデバイス
iOS デバイスに割り当てられた登録設定を削除
登録設定をデバイスに割り当てたが、適用はまだであるという場合は、デバイスから登録設定を削除できます。
1.
メニューバーで［ユーザーとデバイス］ > ［Apple DEP デバイス］をクリックします。
2.
削除したい登録設定が割り当てられているデバイスの横にあるチェックボックスをオンにします。
3.
をクリックします。
4. ［削除］をクリックします。
終了したら: デバイスに登録設定を割り当てます。
登録設定を管理
Apple の Device Enrollment Program を使用するように BES12 を設定した場合は、登録設定を作成する必要があります。登
録設定の追加や削除、設定の変更をすることができます。
DEP を使用するように BES12 を設定する方法の詳細については、設定関係の資料を参照してください。
登録設定の追加
組織で必要な数の登録設定を作成できます。
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、
［外部統合］ > ［Apple Device Enrollment Program］をクリックします。
3. ［DEP 登録設定］セクションで
4.
をクリックします。
フィールドを入力して、登録設定に含めたい項目のチェックボックスをオンにします。
•
［新しいデバイスをこの設定に自動的に割り当てる］を選択できるのは、登録設定 1 つのみです。この設定
がオンになっている登録設定（たとえば、configuration_1）がすでに存在するときに、同じ設定をオンにし
て登録設定（configuration_2）を作成した場合、BES12 は configuration_1 の設定をクリアします。
•
［新しいデバイスをこの設定に自動的に割り当てる］が選択されている場合、Apple の Device Enrollment
Program で新しいデバイスを登録すると、BES12 は登録設定を iOS デバイスに自動的に割り当てます。
•
以前作成した登録設定で［新しいデバイスをこの設定に自動的に割り当てる］が選択されていて、この登録
設定がデバイスに適用されている場合、BES12 がこれらのデバイスに新しい登録設定を割り当てることは
ありません。
•
新しい登録設定をデバイスに割り当てたいが、アクティベーションが保留であるという場合は、これらのデ
バイスに以前割り当てられた登録設定を削除してから、新しい登録設定を割り当てます。
•
［デバイス設定］セクションで［管理モードを有効にする］または［MDM プロファイルの削除を許可］のい
ずれかを選択しない場合、登録設定を保存する際に、BES12 はいずれかのアイテムの選択を求めるプロン
228
ユーザーとデバイス
プトを表示します。アイテムのいずれかを選択する必要があります。または、両方のアイテムを選択する
こともできます。
5. ［保存］をクリックします。
6. ［新しいデバイスをこの設定に自動的に割り当てる］を選択した場合は、［はい］をクリックします。
終了したら: デバイスに登録設定を割り当てます。
デバイスに割り当てられた登録設定を削除
デバイスに設定を適用するより先にこれらのデバイスに割り当てられていた登録設定を削除した場合、BES12 はデバイス
レコードに割り当てられた登録設定を削除します。
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、
［外部統合］ > ［Apple Device Enrollment Program］をクリックします。
3. ［DEP 登録設定］セクションでをクリックします。
4. ［はい］をクリックします。
終了したら: BES12 がデバイスから登録設定を削除する場合はデバイスに登録設定を割り当てます。
登録設定の設定を変更
デバイスに登録設定を割り当てたが、この設定をデバイスに適用していない場合、変更内容を設定に保存すると、BES12
はこのデバイスに適用された登録設定を更新します。
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、［外部統合］ > ［Apple Device Enrollment Program］をクリックします。
3. ［DEP 登録設定］セクションで、変更する設定の名前をクリックします。
4.
設定を変更します。
5. ［保存］をクリックします。
デバイスに割り当てられている登録設定の設
定を表示
登録設定は iOS デバイスに割り当てられているが、設定が保留されている場合は、登録設定の設定を表示できます。
1.
メニューバーで［ユーザーとデバイス］ > ［Apple DEP デバイス］をクリックします。
2. ［登録設定］列で、登録設定の名前をクリックします。
229
ユーザーとデバイス
アクティベーションされたデバイスのユー
ザーの詳細を表示
デバイスのアクティベーションが正常に行われた後で、ユーザーが割り当てられているグループなど、そのユーザーに関
連付けられている詳細を表示できます。
1.
メニューバーで［ユーザーとデバイス］ > ［Apple DEP デバイス］をクリックします。
2. ［表示名］列で、ユーザーの名前をクリックします。
230
ユーザーとデバイス
デバイスのアクティベーション
25
デバイスをアクティブ化する場合は、管理者がデバイスを管理でき、ユーザーがデバイス上の仕事用データにアクセスで
きるように、デバイスを BES12 に関連付けます。
デバイスがアクティブ化されたら、IT ポリシーとプロファイルを送信して、使用可能な機能を制御し、仕事用データのセ
キュリティを管理できます。ユーザーがインストールするアプリを割り当てることもできます。選択したアクティベー
ションの種類がどの程度の制御を許可するかに応じて、アクセスの特定データへの制限、リモートでのパスワードの設定、
デバイスのロック、またはデータの削除を実行して、デバイスを保護することもできます。
組織が所有するデバイスおよびユーザーが所有するデバイスのそれぞれの要件に適合するようにアクティベーションの種
類を割り当てることができます。アクティベーションの種類によって、すべてのデータに対するフルコントロール権限か
ら仕事用データのみの特定の制御権限まで、デバイス上の仕事用データと個人用データを制御できる度合いは異なります。
デバイスをアクティブ化する手順
デバイスをアクティブ化する場合は、次の操作を実行します。
手順
操作
すべてのアクティベーション要件が満たされていることを確認します。
デフォルトのアクティベーション設定を構成します。
Android for Work のサポートを予定している場合は、必ず追加タスクを完了してください。
アクティベーションメールのテンプレートを更新します。
アクティベーションプロファイルを作成し、それをユーザーアカウントまたはユーザーが属するグ
ループに割り当てます。
ユーザーのアクティベーションパスワードを設定します。
要件：アクティベーション
すべてのデバイス：
231
ユーザーとデバイス
•
使用しているアクティベーションの種類の有効なライセンス
•
動作しているワイヤレス接続
iOS および Windows Phone デバイス：
•
デバイスにインストール済みの BES12 Client
Android デバイス：
•
デバイスにインストール済みの BES12 Client
◦
Android for Work または KNOX Workspace をサポートするには、デバイスのアクティベーションを行う前
に、Google Play から BES12 Client の最新バージョンをインストールします。
•
Android for Work をサポートする場合、Android OS 5.1（Lollipop）
•
KNOX MDM IT ポリシールールをサポートする場合、デバイスにインストール済みの Samsung KNOX MDM 4.0 以
降のソフトウェア
•
KNOX Workspace をサポートする場合、デバイスにインストール済みの Samsung KNOX MDM 5.0 以降および
Samsung KNOX 2.0 以降のソフトウェア
BlackBerry OS（バージョン 5.0～7.1）デバイス：
•
BlackBerry OS メールサーバーが接続している仕事用メールサーバーのディレクトリ内のユーザーアカウント
•
ユーザーアカウントに対して有効な BlackBerry OS デバイスアクティベーション
ライセンスの詳細については、ライセンス関連の資料を参照してください。
アクティベーションの種類のライセンス要件
次の表は、各アクティベーションに必須のライセンスを一覧しています。 BES12 は、一覧された順序で使用可能なライセ
ンスをチェックします。たとえば、BlackBerry 10 デバイスを［仕事用および個人用 - 会社］アクティベーションの種類で
アクティブ化する場合、BES12 で Silver および Gold サーバーライセンスが使用可能であれば、デバイスは Silver ライセン
スを使用します。
デバイスがどの種類のライセンスを使用しているかチェックする場合は、管理コンソールでユーザーのデバイスの詳細を
確認します。
メモ: ユーザーのデバイスの詳細にある［ライセンス情報］セクションには、Gold - Flex が Samsung KNOX Workspace デバ
イスで必要なライセンスとしてリストされます。デバイスに必要な SIM ライセンスが存在しない場合、Gold - KNOX
Workspace サーバーライセンスがあればそれが、存在しない場合は Gold - Flex サーバーライセンスが使用されます。
232
ユーザーとデバイス
BlackBerry 10 デバイス
アクティベーションの種類
説明
必須ライセンス
仕事用および個人用 - 会社
デバイスには個人用領域と仕事用領域があ
ります。管理者は、仕事用領域のみの制御
次のいずれか：
権を保持しています。
仕事用および個人用 - 規制
デバイスには個人用領域と仕事用領域があ
ります。管理者は両方の領域の制御権を保
持しています。
仕事用領域専用
デバイスには仕事用領域のみがあります。
管理者はデバイスのフルコントロール権を
保持しています。
1.
Silver SIM ライセンス
2.
Gold SIM ライセンス
3.
Silver サーバーライセンス
4.
Gold サーバーライセンス
5.
Gold - Flex サーバーライセンス
次のいずれか：
1.
Gold SIM ライセンス
2.
Gold サーバーライセンス
3.
Gold - Flex サーバーライセンス
次のいずれか：
1.
Gold SIM ライセンス
2.
Gold サーバーライセンス
3.
Gold - Flex サーバーライセンス
iOS デバイス
アクティベーションの種類
説明
必須ライセンス
MDM コントロール
個別の仕事用領域はデバイスに作成されま
せん。管理者は、iOS にネイティブのオプ
次のいずれか：
ションを使用する基本的な管理制御権を持
ちます。
1.
Silver SIM ライセンス
2.
Gold SIM ライセンス
3.
Silver サーバーライセンス
4.
Gold - Secure Work Space サーバーライ
センス
233
5.
Gold サーバーライセンス
6.
Gold - Flex サーバーライセンス
ユーザーとデバイス
アクティベーションの種類
説明
必須ライセンス
仕事用および個人用 - フルコ個別の仕事用領域がデバイス上に作成され
ます。管理者はデバイスのフルコントロー
ントロール
ル権を保持しています。
次のいずれか：
1.
Gold SIM ライセンス
2.
Gold - Secure Work Space サーバーライ
センス
仕事用および個人用 - ユー
ザープライバシー
個別の仕事用領域がデバイス上に作成され
ます。管理者は、仕事用領域のみの制御権
を保持しています。
次のいずれか：
1.
Gold SIM ライセンス
2.
Gold - Secure Work Space サーバーライ
センス
Windows Phone デバイス
アクティベーションの種類
説明
必須ライセンス
MDM コントロール
個別の仕事用領域はデバイスに作成されま次のいずれか：
せん。管理者は、Windows Phone OS にネイ
1. Silver SIM ライセンス
ティブのオプションを使用する基本的な管
2. Gold SIM ライセンス
理制御権を持ちます。
3.
Silver サーバーライセンス
4.
Gold - Secure Work Space サーバーライ
センス
5.
Gold サーバーライセンス
6.
Gold - Flex サーバーライセンス
Android デバイス
アクティベーションの種類
説明
必須ライセンス
MDM コントロール
個別の仕事用領域はデバイスに作成されま次のいずれか：
せん。管理者は、Android OS にネイティブ
1. Silver SIM ライセンス
の、または Samsung KNOX により提供され
2. Gold SIM ライセンス
たオプションを使用する基本的な管理制御
権を持ちます。
3.
Silver サーバーライセンス
このアクティベーションの種類は次に適用
されます。
4.
Gold - Secure Work Space サーバーライ
234
センス
ユーザーとデバイス
アクティベーションの種類
説明
•
•
必須ライセンス
Android MDM をサポートする Android
5.
Gold サーバーライセンス
デバイス
6.
Gold - KNOX Workspace サーバーライ
KNOX MDM をサポートする Samsung
センス（Samsung KNOX MDM デバイス
デバイス
のみ）
7.
仕事用および個人用 - フルコ個別の仕事用領域がデバイス上に作成され
ます。管理者はデバイスのフルコントロー
ントロール（Secure Work
Space）
ル権を保持しています。
このアクティベーションの種類は次に適用
されます。
•
Gold - Flex サーバーライセンス
次のいずれか：
1.
Gold SIM ライセンス
2.
Gold - Secure Work Space サーバーライ
センス
Android MDM をサポートする Android
デバイス
•
KNOX MDM をサポートする Samsung
デバイス
仕事用および個人用 - ユー
ザープライバシー（Secure
個別の仕事用領域がデバイス上に作成され
ます。管理者は、仕事用領域のみの制御権
Work Space）
を保持しています。
このアクティベーションの種類は次に適用
されます。
•
次のいずれか：
1.
Gold SIM ライセンス
2.
Gold - Secure Work Space サーバーライ
センス
Android MDM をサポートする Android
デバイス
仕事用および個人用 - フルコ個別の仕事用領域がデバイス上に作成され
ントロール（Samsung KNOX）ます。管理者はデバイスのフルコントロー
ル権を保持しています。
このアクティベーションの種類は次に適用
されます。
•
KNOX Workspace をサポートする
次のいずれか：
1.
Gold SIM ライセンス
2.
Gold - KNOX Workspace サーバーライ
センス
3.
Gold - Flex サーバーライセンス
Samsung デバイス
仕事用領域専用（Samsung
KNOX）
デバイスには仕事用領域のみがあります。
管理者はデバイスのフルコントロール権を
保持しています。
235
次のいずれか：
1.
Gold SIM ライセンス
ユーザーとデバイス
アクティベーションの種類
説明
必須ライセンス
このアクティベーションの種類は次に適用
されます。
2.
•
3.
KNOX Workspace をサポートする
Gold - KNOX Workspace サーバーライ
センス
Gold - Flex サーバーライセンス
Samsung デバイス
仕事用および個人用 - ユー
ザープライバシー（Android
個別の仕事用プロファイルがデバイス上に
作成されます。管理者は、仕事用プロファ
for Work）
イルのみの制御権を保持しています。
このアクティベーションの種類は次に適用
されます。
•
Android for Work をサポートする
ザープライバシー（Android
個別の仕事用プロファイルがデバイス上に
作成されます。管理者は、仕事用プロファ
for Work - Premium）
イルのみの制御権を保持しています。
このアクティベーションの種類は次に適用
されます。
•
1.
Silver SIM ライセンス
2.
Gold SIM ライセンス
3.
Silver サーバーライセンス
4.
Gold - Secure Work Space サーバーライ
センス
Android デバイス
仕事用および個人用 - ユー
次のいずれか：
5.
Gold サーバーライセンス
6.
Gold - Flex サーバーライセンス
次のいずれか：
1.
Gold SIM ライセンス
2.
Gold サーバーライセンス
3.
Gold - Flex サーバーライセンス
Android for Work をサポートする
Android デバイス
Android for Work デバイスで BlackBerry
Secure Connect Plus を使用するには、このア
クティベーションタイプが必須です。
デフォルトのアクティベーションパスワード
の有効期限と長さの管理
アクティベーションパスワードが期限切れになる前に有効のままにするデフォルトの時間を指定できます。また、自動生
成され、クティベーションメールでユーザーに送信されるパスワードのパスワード長を指定できます。さらに、最初のデ
バイスがアクティブ化された後に、アクティベーションの期間を期限切れにするかどうかを指定できます。
236
ユーザーとデバイス
アクティベーションパスワードの有効期限に入力した値は、
［デバイスアクティベーションパスワードを設定］および［ユー
ザーを追加］ウィンドウの［アクティベーションパスワードの有効期限］フィールドにデフォルト設定として表示されま
す。
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、
［全般設定］を展開します。
3. ［アクティベーションのデフォルト］をクリックします。
4. ［アクティベーションパスワードの有効期限］フィールドで、アクティベーションパスワードが期限切れになる前に
有効のままにするデフォルトの時間を入力します。デフォルトの時間には、1 分～ 30 日を指定できます。
5.
必要に応じて、
［最初のデバイスがアクティブになったら、アクティベーションの有効期限が切れる］チェックボッ
クスをオンにします。
6. ［自動生成アクティベーションパスワードの長さ］フィールドで、値を自動生成されるアクティベーションパスワー
ドの長さに変更します。使用できる値は、4～16 です。
7. ［BlackBerry Infrastructure への登録をオンにする］オプションをオンまたはオフにして、ユーザーがモバイルデバイ
スをアクティブ化する方法を変更します。このオプションをオフにした場合、ユーザーがデバイスをアクティベー
ションしようとすると、BES12 のサーバーアドレスの入力を求められます。詳細については、「BlackBerry
Infrastructure でのユーザー登録の無効化」を参照してください。
8. ［保存］をクリックします。
BlackBerry Infrastructure でのユーザー登録の
無効化
BlackBerry Infrastructure に登録すると、ユーザーがモバイルデバイスをアクティブ化する方法が簡単になります。登録が
有効な場合、ユーザーはデバイスをアクティブ化する際にサーバーアドレスを入力する必要がありません。この設定を変
更する場合は、ユーザーがデバイスをアクティブ化する際に実行する手順を記載したアクティベーションメールを更新す
る必要が生じることがあります。
登録はデフォルトで有効になっています。ただし、登録を機能させるには、SSL を使用している BlackBerry Infrastructure
への接続を有効にする必要があります。
BlackBerry OS（バージョン 5.0～7.1）を実行しているデバイスは BlackBerry Infrastructure に接続できないため、ユーザー
登録が有効か無効かに関係なく、これらのデバイスのアクティベーションプロセスは変わりません。
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、［全般設定］を展開します。
3. ［アクティベーションのデフォルト］をクリックします。
4. ［BlackBerry Infrastructure への登録をオンにする］チェックボックスをオフにします。
5. ［保存］をクリックします。
237
ユーザーとデバイス
Android for Work アクティベーションのサポー
ト
Google ドメインのタイプと、Google ドメインで BES12 がユーザーアカウントを作成することを許可するかどうかに応じ
て、デバイスのアクティベーションをサポートするために異なるタスクを実行する必要があります。
•
Google Apps for Work ドメインがある場合は、「Google Apps for Work ドメインを使った Android for Work アクティ
ベーションのサポート」を参照してください。
•
Google for Work ドメインを使用している場合は、「Google for Work ドメインを使った Android for Work アクティ
ベーションのサポート」を参照してください。
関連情報
Google Apps for Work ドメインを使った Android for Work アクティベーションのサポート, （238 ページ）
Google for Work ドメインを使った Android for Work アクティベーションのサポート, （239 ページ）
Google Apps for Work ドメインを使った Android for Work アク
ティベーションのサポート
BES12 を Google Apps for Work ドメインに接続するように設定した場合、Android for Work アクティベーションタイプを使
用して、ユーザーがデバイスをアクティベーションできるようにするには、次のタスクを実行する必要があります。
作業を始める前に:
•
Google Apps for Work ドメインがあることを確認します。 Google Apps for Work ドメインの作成の詳細について
は、https://www.google.com/a/signup をご覧ください。
•
BES12 を設定して、Android for Work をサポートします。 Android for Work をサポートできるように BES12 を設定
する方法の詳細については、help.blackberry.com/detectLang/bes12/ にアクセスし、設定関連の資料を参照してく
ださい。
1.
Google Apps for Work ドメインで、Android for Work ユーザー用にユーザーアカウントを作成します。
2.
BES12 で、Android for Work ユーザー用にローカルユーザーアカウントを作成します。各アカウントのメールアドレ
スは、対応する Google Apps for Work アカウントのメールアドレスと一致しなければなりません。
3.
ユーザーがそれぞれの Google Apps for Work アカウントのパスワードを知っているかどうかを確認してください。
4.
メールプロファイルと［おすすめの Android for Work アプリ］アプリグループを割り当てて、Android for Work ユー
ザーが会社のリソースにアクセスできることを確認してください。
238
ユーザーとデバイス
Google for Work ドメインを使った Android for Work アクティ
ベーションのサポート
Google for Work ドメインに接続するように BES12 を設定するときには、BES12 にその Google for Work ドメインでユー
ザーアカウントの作成を許可するかどうかを決定する必要があります。この選択は、ユーザーが Android for Work アク
ティベーションタイプを使用してデバイスをアクティベーションできるようにするために実行しなければならないタスク
に影響します。
作業を始める前に:
•
Google for Work ドメインがあることを確認します。 Google for Work ドメインの作成の詳細については、https://
www.google.com/a/signup をご覧ください。
•
BES12 を設定して、Android for Work をサポートします。 Android for Work をサポートできるように BES12 を設定
する方法の詳細については、http://help.blackberry.com/detectLang/bes12/ にアクセスし、設定関連の資料を参照
してください。
BES12 が Google for Work ドメインにユーザーアカウントを作成できない場合に必要な
タスク
BES12 に Google for Work ドメインへのユーザーアカウントの作成を許可しない場合は、自分の Google for Work ドメインと
BES12 にユーザーアカウントを作成する必要があります。
1.
BES12 で、Android for Work ユーザー用にディレクトリユーザーアカウントを追加します。
2.
Google for Work ドメインで、Android for Work ユーザー用にユーザーアカウントを作成します。各メールアドレスは、
対応する BES12 ユーザーアカウントのメールアドレスと一致しなければなりません。
a.
必要に応じて、Google Apps Directory Sync ツールを使用し、自分の Google for Work ドメインを会社のディレク
トリと同期します。これを行った場合、Google for Work ドメインにユーザーアカウントを手動で作成する必要
はありません。
3.
Android for Work ユーザーがそれぞれの Google for Work アカウントのパスワードを知っているかどうかを確認してく
ださい。
4.
Android for Work ユーザーが仕事用リソースに確実にアクセスできるようにするために、メールプロファイルと［お
すすめの Android for Work アプリ］アプリグループを割り当てます。
BES12 が Google for Work ドメインにユーザーアカウントを作成できる場合に必要なタ
スク
BES12 に Google for Work ドメインへのユーザーアカウントの作成を許可した場合、BES12 は新しいユーザーがデバイスを
アクティベーションしたときに Google for Work アカウントを作成します。 BES12 は、この新しいアカウントのパスワード
をユーザーのメールアドレスに送信します。このオプションを選択した場合は、Google for Work ドメインに Google サー
ビスアカウントを作成して、BES12 がユーザーアカウントを作成できるようにします。 Google サービスアカウントが
239
ユーザーとデバイス
ユーザーアカウントを作成できるようにする方法の詳細については、http://help.blackberry.com/detectLang/bes12/ にアク
セスし、設定関係の資料を参照してください。
1.
BES12 で、Android for Work ユーザー用にディレクトリユーザーアカウントを追加します。
2.
Android for Work ユーザーが仕事用リソースに確実にアクセスできるようにするために、メールプロファイルと［お
すすめの Android for Work アプリ］アプリグループを割り当てます。
アクティベーションメールテンプレートの管
理
複数のアクティベーションメールテンプレートを作成し、それぞれをカスタマイズして、特定のデバイスの種類やユーザー
グループに適用されるように、各ユーザーアカウントに適切なテンプレートを割り当てることができます。アカウントの
アクティベーションパスワードを設定すると、BES12 は割り当てられたテンプレートに基づいてパーソナライズされたア
クティベーションメールを送信します。変数を使って個々のテンプレートをカスタマイズし、さまざまなテンプレートを
作成してデバイスの種類ごとに詳細なアクティベーションの手順を提供し、2 つのメッセージを使用して、残りのアクティ
ベーション情報とは別にアクティベーションパスワードを保存することができます。
BES12 には、削除できないデフォルトのアクティベーションメールテンプレートが含まれます。デフォルトのテンプレー
トは必要に応じて編集できます。ユーザーアカウントに特定のテンプレートを割り当てなかった場合、BES12 は、その
ユーザーアカウントにアクティベーションメールを送信するときに、デフォルトのテンプレートを使用します。
アクティベーションメールテンプレートを作成
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、［全般設定］を展開します。
3. ［アクティベーションメール］をクリックします。
4.
をクリックします。
5. ［名前］フィールドに、このテンプレートの名前を入力します。
6. ［件名］フィールドのテキストを編集し、最初のアクティベーションメールの件名行をカスタマイズします。
7.
ユーザーに送信するアクティベーションメールの本文テキストをカスタマイズします。異なるユーザー宛てのメッ
セージをカスタマイズするためにしようできるメッセージテキストの例を参照するには、
［提案されるテキスト］を
クリックします。 1 件のアクティベーションメールのみを送信することにした場合は、必ずアクティベーションパス
ワードを含めます。テキスト内で変数を使用して、異なるユーザー宛てのメールをカスタマイズできます。変数の
リストについては、「デフォルト変数」を参照してください。
8.
アクティベーションの手順とは別にアクティベーションパスワードを送信できるように 2 番目のアクティベーショ
［2 つのアクティベーションメールを別々に送信 - 1 番目は詳細な手順、2 番目はパスワー
ンメールを作成するには、
ド］を選択します。
240
ユーザーとデバイス
9. ［件名］フィールドで、2 番目のアクティベーションメールの件名行を入力します。
10. ユーザーに送信する 2 番目のアクティベーションメールの本文テキストをカスタマイズします。必ず、アクティ
ベーションパスワードを含めます。
11. ［保存］をクリックします。
アクティベーションメールテンプレートを編集
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、
［全般設定］を展開します。
3. ［アクティベーションメール］をクリックします。
4. ［デフォルトのアクティベーションメール］をクリックします。
5.
1 番目の［件名］フィールドに 1 番目のアクティベーションメールの件名を入力します。
6.
ユーザーに送信するアクティベーションメールの本文テキストをカスタマイズします。異なるユーザー宛てのメッ
セージをカスタマイズするためにしようできるメッセージテキストの例を参照するには、［提案されるテキスト］を
クリックします。 1 件のアクティベーションメールのみを送信することにした場合は、必ずアクティベーションパス
ワードを含めます。テキスト内で変数を使用して、異なるユーザー宛てのメールをカスタマイズできます。変数の
リストについては、「デフォルト変数」を参照してください。
7.
アクティベーションの手順とは別にアクティベーションパスワードを送信できるように 2 番目のアクティベーショ
ンメールを作成するには、
［2 つのアクティベーションメールを別々に送信 - 1 番目は詳細な手順、2 番目はパスワー
ド］を選択します。
8. ［件名］フィールドで、2 番目のアクティベーションメールの件名行を入力します。
9.
ユーザーに送信する 2 番目のアクティベーションメールの本文テキストをカスタマイズします。必ず、アクティ
ベーションパスワードを含めます。
10. ［保存］をクリックします。
アクティベーションプロファイルを使用した
デバイスアクティベーション設定の制御
アクティベーションプロファイルを使用して、デバイスをアクティブ化し管理する方法を制御できます。アクティベー
ションプロファイルは、ユーザーがアクティブ化できるデバイスの数と種類、デバイスに個別の仕事用領域をインストー
ルするかどうか、デバイス上の仕事用データと個人用データの管理をどのように許可するかを指定します。
割り当てられたプロファイルは、管理者がプロファイルを割り当てた後に、ユーザーがアクティブ化したデバイスのみに
適用されます。既にアクティブ化されているデバイスは、新しいまたは更新されたアクティベーションプロファイルに適
合するように自動的には更新されません。
241
ユーザーとデバイス
ユーザーを BES12 に追加すると、デフォルトのアクティベーションプロファイルがユーザーアカウントに割り当てられま
す。要件に応じてデフォルトのアクティベーションプロファイルを変更することもできれば、カスタムアクティベーショ
ンプロファイルを作成して、ユーザーまたはユーザーグループに割り当てることもできます。
アクティベーションプロファイルは BlackBerry OS（バージョン 5.0～7.1）デバイスには適用されません。
アクティベーションの種類を使用したデバイス制御の設定
アクティベーションの種類を使用して、アクティブ化されたデバイスをどの程度制御できるかを設定できます。この制御
の柔軟性は、ユーザーに支給したデバイスをフルコントロールする場合、またはユーザーが所有し職場でも使用している
デバイスの個人用データを一切制御しないように確保する場合に役立ちます。以下の表に、デバイスで利用可能アクティ
ベーションタイプを示します。
アクティベーションの種類は、BlackBerry OS（バージョン 5.0～7.1）デバイスには適用されません。個人用デバイス IT
ポリシーグループの BlackBerry OS IT ポリシーを使用して、デバイス上の仕事用コンテンツと個人用コンテンツを区別す
ることができます。詳細については、help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/ か
ら、『ポリシーリファレンススプレッドシート』をダウンロードしてください。
BlackBerry 10 デバイス
アクティベーションの種類
仕事用および個人用 - 会社
説明
このアクティベーションの種類は、デバイス上の仕事用データの制御権限を提
供する一方、個人用データのプライバシーを確保します。デバイスがアクティ
ブ化されると、デバイス上に個別の仕事用領域が作成されます。ユーザーは仕
事用領域にアクセスするためのパスワードを作成する必要があります。仕事
用データは、暗号化とパスワード認証によって保護されます。以前のアクティ
ベーションのすべての仕事用データが削除されます。
IT 管理コマンドと IT ポリシーを使用してデバイスの仕事用領域を制御できま
すが、デバイスの個人用領域の側面は制御できません。
仕事用領域専用
このアクティベーションの種類は、デバイスのフルコントロール権限を提供し、
個人用データのための個別の領域は提供しません。デバイスのアクティベー
ションを行うと、以前のアクティベーションから個人用領域とすべての仕事用
データが削除され、仕事用領域がインストールされます。ユーザーはデバイス
にアクセスするためのパスワードを作成する必要があります。仕事用データ
は、暗号化とパスワード認証によって保護されます。
IT 管理コマンドと IT ポリシーを使用してデバイスを制御できます。
仕事用および個人用 - 規制
このアクティベーションの種類は、仕事用と個人用の両方のデータの制御権限
を提供します。デバイスがアクティブ化されると、デバイス上に個別の仕事用
領域が作成されます。ユーザーは仕事用領域にアクセスするためのパスワード
を作成する必要があります。仕事用データは、暗号化とパスワード認証によっ
242
ユーザーとデバイス
アクティベーションの種類
説明
て保護されます。以前のアクティベーションのすべての仕事用データが削除
されます。
IT 管理コマンドと IT ポリシーを使用して仕事用領域と個人用領域の両方を制
御できます。
iOS デバイス
アクティベーションの種類
説明
MDM コントロール
このアクティベーションタイプは、iOS および Windows Phone によって利用
可能なデバイス制御権限を使用して基本的なデバイス管理を提供します。
個別の仕事用領域はデバイスにインストールされず、仕事用データのセキュ
リティも追加されません。
IT 管理コマンドと IT ポリシーを使用してデバイスを制御できます。アク
ティベーションの実行時に、ユーザーはデバイスにモバイルデバイス管理プ
ロファイルをインストールする必要があります。
仕事用および個人用 - フルコントロール
このアクティベーションの種類はデバイスのフルコントロール権限を提供
します。デバイスがアクティブ化されると、デバイス上に個別の仕事用領域
が作成されます。ユーザーは仕事用領域にアクセスするためのパスワード
を作成する必要があります。仕事用データは、暗号化とパスワード認証に
よって保護されます。
IT 管理コマンドと IT ポリシーを使用して、仕事用領域、および個人用領域と
仕事用領域の両方に影響するデバイスの他の一部の側面を制御できます。
アクティベーションの実行時に、ユーザーはモバイルデバイス管理プロファ
イルをインストールする必要があります。
仕事用および個人用 - ユーザープライバ
シー
このアクティベーションの種類は、デバイス上の仕事用データの制御権限を
提供する一方、個人用データのプライバシーを確保します。デバイスがアク
ティブ化されると、デバイス上に個別の仕事用領域が作成されます。ユー
ザーは仕事用領域にアクセスするためのパスワードを作成する必要があり
ます。仕事用データは、暗号化とパスワード認証によって保護されます。
IT 管理コマンドと IT ポリシーを使用してデバイスの仕事用領域を制御でき
ますが、デバイスの個人用領域の側面は制御できません。ユーザーはモバイ
ルデバイス管理プロファイルをインストールする必要はありません。
243
ユーザーとデバイス
Windows Phone デバイス
アクティベーションの種類
説明
MDM コントロール
このアクティベーションタイプは、Windows Phone によって利用可能なデバ
イス制御権限を使用して基本的なデバイス管理を提供します。個別の仕事
用領域はデバイスにインストールされず、仕事用データのセキュリティも追
加されません。
IT 管理コマンドと IT ポリシーを使用してデバイスを制御できます。アク
ティベーションの実行時に、ユーザーは会社の Windows Phone アプリでデバ
イスを登録する必要があります。
Android デバイス
Android デバイスに対してアクティベーションタイプを設定する場合、複数のアクティベーションタイプの選択とランク
付けを行って、BES12 が目的のデバイスに最適なアクティベーションタイプを確実に割り当てるように設定できます。た
とえば、［仕事用領域専用（Samsung KNOX）］を第 1 とランク付けし、［MDM コントロール］を第 2 とランク付けした場
合、KNOX Workspace をサポートするデバイスが第 1 のアクティベーションタイプのデバイスと認識されます。
メモ: KNOX MDM の場合、デバイスはすべての Android デバイスで利用可能な基本的ルールではなく、BES12 で KNOX
MDM IT ポリシールールを使用できます。 KNOX Workspace は、仕事用データとアプリを保持する独自の仕事用領域をデ
バイス上に作成して、個人用のデータやアプリから分離します。
アクティベーションの種類
説明
MDM コントロール
このアクティベーションの種類は次に適用されます。
•
KNOX MDM をサポートする Samsung デバイスを含む、 Android デ
バイス
このアクティベーションタイプでは、IT 管理コマンドと IT ポリシールールを
使用してデバイスを管理できます。デバイスが KNOX MDM をサポートする
場合、このアクティベーションタイプでは KNOX MDM IT ポリシールールが
適用されます。個別の仕事用領域はデバイスにインストールされず、仕事用
データのセキュリティも追加されません。
アクティベーションの実行時に、ユーザーは管理者の権限を BES12 Client に
与える必要があります。
仕事用および個人用 - フルコントロール
（Secure Work Space）
このアクティベーションの種類は次に適用されます。
•
KNOX MDM をサポートする Samsung デバイスを含む、 Android デ
バイス
244
ユーザーとデバイス
アクティベーションの種類
説明
このアクティベーションタイプでは、IT 管理コマンドと IT ポリシールールを
使用してデバイス全体を管理できます。デバイスが KNOX MDM をサポート
する場合、KNOX MDM IT ポリシールールが適用されます。このアクティ
ベーションタイプでは、デバイス上に個別の仕事用領域が作成されます。
ユーザーは仕事用領域にアクセスするためのパスワードを作成する必要が
あります。仕事用領域にあるデータは、暗号化とパスワード認証によって保
護されます。
アクティベーションの実行時に、ユーザーは管理者の権限を BES12 Client に
与える必要があります。
仕事用および個人用 - ユーザープライバ
シー（Secure Work Space）
このアクティベーションの種類は次に適用されます。
•
Android デバイス
このアクティベーションタイプでは、個人用データのプライバシーが保護さ
れますが、IT 管理コマンドと IT ポリシールールを使用して仕事用データを管
理できます。このアクティベーションタイプでは、KNOX MDM IT ポリシー
ルールはサポートされていません。このアクティベーションタイプでは、デ
バイス上に個別の仕事用領域が作成されます。ユーザーは仕事用領域にア
クセスするためのパスワードを作成する必要があります。仕事用領域にあ
るデータは、暗号化とパスワード認証によって保護されます。
ユーザーは管理者の権限を BES12 Client に与える必要はありません。
仕事用および個人用 - フルコントロール
（Samsung KNOX）
このアクティベーションの種類は次に適用されます。
•
KNOX Workspace をサポートする Samsung デバイス
このアクティベーションタイプでは、IT 管理コマンド、KNOX MDM、および
KNOX Workspace IT ポリシールールを使用してデバイス全体を管理できま
す。このアクティベーションタイプでは、デバイス上に個別の仕事用領域が
作成されます。ユーザーは仕事用領域にアクセスするためのパスワードを
作成する必要があります。このアクティベーションタイプでは、デバイス上
に個別の仕事用領域が作成されます。ユーザーは仕事用領域にアクセスす
るためのパスワードを作成する必要があります。
アクティベーションの実行時に、ユーザーは管理者の権限を BES12 Client に
与える必要があります。
仕事用領域専用 - (Samsung KNOX)
このアクティベーションの種類は次に適用されます。
•
KNOX Workspace をサポートする Samsung デバイス
245
ユーザーとデバイス
アクティベーションの種類
説明
このアクティベーションタイプでは、IT 管理コマンド、KNOX MDM、および
KNOX Workspace IT ポリシールールを使用してデバイス全体を管理できま
す。このアクティベーションタイプでは、個人用領域が削除されて、仕事用
領域がインストールされます。ユーザーは、デバイスにアクセスするために
パスワードを作成する必要があります。デバイスにあるすべてのデータは、
暗号化によって保護され、さらにパスワード、PIN、パターン、指紋などの
認証方法によって保護されます。
アクティベーションの実行時に、ユーザーは管理者の権限を BES12 Client に
与える必要があります。
仕事用および個人用 - ユーザープライバ
シー（Android for Work）
このアクティベーションの種類は次に適用されます。
•
Android for Work をサポートする Android デバイス
このアクティベーションタイプでは、個人用データのプライバシーが保護さ
れますが、IT 管理コマンドと IT ポリシールールを使用して仕事用データを管
理できます。このアクティベーションタイプでは、KNOX MDM IT ポリシー
ルールはサポートされていません。このアクティベーションタイプでは、仕
事用データと個人用データを分離する仕事用プロファイルがデバイス上に
作成されます。仕事用データと個人用データは両方とも、暗号化とパスワー
ド認証によって保護されます。
このアクティベーションタイプでは、BlackBerry Secure Connect Plus はサ
ポートされていません。
ユーザーは管理者の権限を BES12 Client に与える必要はありません。
仕事用および個人用 - ユーザープライバ
シー（Android for Work - Premium）
このアクティベーションの種類は次に適用されます。
•
Android for Work をサポートする Android デバイス
このアクティベーションタイプでは、個人用データのプライバシーが保護さ
れますが、IT 管理コマンドと IT ポリシールールを使用して仕事用データを管
理できます。このアクティベーションタイプでは、KNOX MDM IT ポリシー
ルールはサポートされていません。このアクティベーションタイプでは、仕
事用データと個人用データを分離する仕事用プロファイルがデバイス上に
作成されます。仕事用データと個人用データは両方とも、暗号化とパスワー
ド認証によって保護されます。
BlackBerry Secure Connect Plus をサポートする場合は、このアクティベー
ションタイプを使用する必要があります。
ユーザーは管理者の権限を BES12 Client に与える必要はありません。
246
ユーザーとデバイス
アクティベーションプロファイルの作成
1.
メニューバーで［ポリシーとプロファイル］をクリックします。
2. ［アクティベーション］の横の
3.
をクリックします。
プロファイルの名前と説明を入力します。
4. ［ユーザーがアクティブ化できるデバイス数］フィールドで、ユーザーがアクティブ化できるデバイスの最大数を指
定します。
5. ［デバイスの所有］ドロップダウンリストで、次の操作のいずれかを実行します。
•
一部のユーザーが個人用のデバイスをアクティブ化し、別のユーザーが仕事用デバイスをアクティブ化する
場合は、［指定なし］を選択します。
•
ユーザーは通常、仕事用デバイスをアクティベーションするという場合は、［仕事用］を選択します。
•
ユーザーは通常、個人用デバイスをアクティベーションするという場合は、［個人用］を選択します。
6. ［ユーザーがアクティブ化できるデバイスの種類］セクションで、必要に応じて、デバイスの種類を選択または選択
を解除します。選択を解除されたデバイスの種類はアクティベーションプロファイルには含まれません。また、こ
のアクティベーションプロファイルを割り当てられたユーザーはこの種類のデバイスをアクティベーションできま
せん。
7.
アクティベーションプロファイルに含まれるデバイスの種類それぞれについて、次のアクションを実行します。
•
•
デバイスタイプのタブをクリックします。
［デバイスモデルの制限］ドロップダウンリストで、指定されたデバイスのみを許可するか、指定されたデ
バイスのみを制限するか、または制限を一切適用しないかを選択します。［制限なし］以外のオプション
［編集］をクリックし、制限または許可するデバイスを選択してから、
［保存］をクリッ
を選択した場合は、
クします。
•
［許可されたバージョン］ドロップダウンリストで、許可される最低限のバージョンを選択します。
•
［アクティベーションの種類］セクションで、アクティベーションの種類を選択します。
•
必要に応じて、［BlackBerry］タブの［組織の通知を割り当てる］ドロップダウンリストで組織の通知を選
択します。
•
必要に応じて、［Android］タブで、組織の要件に合わせて、アクティベーションタイプをランク付けしま
す。
8. ［追加］をクリックします。
終了したら: プロファイルをランク付けします。
247
ユーザーとデバイス
アクティベーションパスワードの設定とアク
ティベーションメールの送信
アクティベーションパスワードを設定し、BlackBerry OS（バージョン 5.0～7.1）デバイスおよび 1 台以上の BlackBerry
10、iOS、Android、または Windows Phone デバイスをアクティブ化するために必要な情報を含むアクティベーションメー
ルをユーザーに送信できます。
作業を始める前に: アクティベーションメールのテンプレートの更新
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2.
ユーザーアカウントを検索します。
3.
検索結果で、ユーザーアカウントの名前をクリックします。
4. ［ユーザーの詳細］ペインで、［アクティベーションパスワードを設定］をクリックします。
5. ［デバイスアクティベーションパスワードを設定する］ウィンドウで、次のタスクのいずれかを実行します。
タスク
手順
自動的に、ユーザーアカウントのア 1. ［デバイスアクティベーションパスワードを自動生成し、アクティベー
クティベーションパスワードが生
ションの手順を記載したメールを送信する］をクリックします。
成され、アクティベーションメール 2.
［アクティベーションの有効期限］フィールドで、アクティベーションパ
が送信されます。
スワードを有効のままにする時間を選択します。
3. ［アクティベーションメールテンプレート］ドロップダウンリストで、ユー
ザーのアクティベーションメールメッセージに使用するテンプレートを
クリックします。
必要に応じて、ユーザーアカウント 1. ［アクティベーションパスワードの設定］をクリックします。
のアクティベーションパスワード 2.
アクティベーションパスワードを入力します。をクリックして、
［デバ
を設定し、アクティベーションメー
イスアクティベーションパスワード］フィールドにテキストを表示しま
ルを送信します。
す。
3. ［アクティベーションの有効期限］フィールドで、アクティベーションパ
スワードを有効のままにする時間を選択します。
4.
必要に応じて、［アクティベーションの手順とアクティベーションパス
ワードを記載したメールを送信する］チェックボックスをオンにします。
このオプションを選択しない場合は、ユーザーにパスワードを通知するこ
とを忘れないでください。
5. ［アクティベーションメールテンプレート］ドロップダウンリストで、ユー
ザーのアクティベーションメールメッセージに使用するテンプレートを
クリックします。
248
ユーザーとデバイス
6. ［保存］をクリックします。
ユーザーによるアクティベーションパスワー
ドの設定の許可
ユーザーは、アクティベーションパスワードを作成して、ワイヤレスネットワーク経由でデバイスをアクティブ化できま
す。
デバイス
使用するサービス
BlackBerry 10
BES12 Self-Service
iOS
BES12 Self-Service
Android
BES12 Self-Service
Windows Phone
BES12 Self-Service
BlackBerry OS（バージョン 5.0～7.1） BlackBerry Web Desktop Manager
詳細については、help.blackberry.com/detectLang/bes12-self-service/latest/bes12-self-service-pdf で『BES12 Self-Service　ユーザーガイド』をダウンロードしてください。
BlackBerry Web Desktop Manager の詳細については、
『BlackBerry Web Desktop Manager ユーザーガイド』をダウンロード
してください。
BlackBerry 10 デバイスのアクティベーション
次のアクティベーション手順をデバイスユーザーに送信します。
1.
デバイスで、
［設定］に移動します。
2. ［アカウント］をタップします。
3.
このデバイスに既存のアカウントがある場合は、
［アカウントを追加］をタップします。それ以外の場合は、手順 4
に進みます。
4. ［メール、カレンダー、および連絡先］をタップします。
5.
仕事用メールアドレスを入力して、
［次へ］をタップします。
6. ［パスワード］フィールドに受信したアクティベーションパスワードを入力します。［次へ］をタップします。
7.
デバイスが接続情報を参照できないことを示す警告を受信した場合は、次の手順を実行します。
a.
［OK］をタップします。
b. ［詳細］をタップします。
c.
［仕事用アカウント］をタップします。
249
ユーザーとデバイス
d. ［サーバーアドレス］フィールドにサーバーアドレスを入力します。［完了］をタップします。サーバーアド
レスは、受信したアクティベーションメールまたは BES12 Self-Service で検索できます。
8.
画面に表示される手順に従って、アクティベーションプロセスを完了します。
終了したら: アクティベーションプロセスの正常な完了を確認するには、次のいずれかの操作を実行します。
•
デバイスで、BlackBerry Hub に移動し、メールアドレスが存在することを確認します。カレンダーに移動し、予
定が存在することを確認します。
•
BES12 Self-Service で、デバイスがアクティブ化されたデバイスとして一覧に表示されていることを確認しま
す。ユーザーがデバイスをアクティブ化した後、ステータスの更新に最大で 2 分かかることがあります。
BlackBerry OS デバイスのアクティベーション
次のアクティベーション手順をデバイスユーザーに送信します。
1.
デバイスで、
［セットアップ］に移動します。
2. ［メールアカウント］をクリックします。
3. ［エンタープライズアカウント］をクリックします。
4. ［メール］フィールドに仕事用メールアドレスを入力します。
5. ［パスワード］フィールドに受信したアクティベーションパスワードを入力します。
6. ［アクティベーション］をクリックします。
7. ［OK］をクリックします。
終了したら: アクティベーションプロセスの正常な完了を確認するには、次のいずれかの操作を実行します。
•
デバイスで、セットアップアプリに移動し、
［メールアカウント］をクリックします。メールアドレスが存在す
ることを確認します。
•
BlackBerry Web Desktop Manager で、デバイスがアクティブ化されたデバイスとして一覧に表示されていること
を確認します。ユーザーがデバイスをアクティブ化した後、ステータスの更新に最大で 2 分かかることがありま
す。
iOS デバイスのアクティベーション
次のアクティベーション手順をデバイスユーザーに送信します。
メモ: ここで説明する手順は MDM コントロールアクティベーションタイプの割り当てられたデバイスに対応します。デ
バイスにワークスペースをインストールまたはアクティベーションするアクティベーションタイプでは、追加の手順が必
要になることがあります。
1.
デバイスに BES12 Client をインストールします。 App Store から BES12 Client をダウンロードできます。
250
ユーザーとデバイス
2.
デバイスで、［BES12］をタップします。
3.
ライセンス使用許諾契約書を参照して、
［同意する］をタップします。
4.
仕事用メールアドレスを入力して、
［移動］をタップします。
5.
必要に応じて、サーバーアドレスを入力し、
［移動］をタップします。サーバーアドレスは、受信したアクティベー
ションメールまたは BES12 Self-Service で検索できます。
6.
デバイスに表示された証明書の詳細が正しいことを確認し、
［承諾］をタップします。管理者が証明書の詳細を別途
送信した場合は、表示された情報と受信した情報を比較できます。
7.
アクティベーションパスワードを入力し、［デバイスをアクティブ化］をタップします。
8. ［OK］をタップして、必要な証明書をインストールします。
9.
画面に表示される手順に従って、アクティベーションを完了します。
10. メールアカウントのパスワードまたはデバイスのパスコードの入力が求められたら、画面の指示に従います。
終了したら: アクティベーションプロセスの正常な完了を確認するには、次のいずれかの操作を実行します。
•
デバイスで BES12 Client を開いて、［バージョン情報］をタップします。［アクティブ化されたデバイス］およ
び［コンプライアンスステータス］セクションで、デバイス情報とアクティベーションのタイムスタンプが存在
することを確認します。
•
BES12 Self-Service で、デバイスがアクティブ化されたデバイスとして一覧に表示されていることを確認しま
す。ユーザーがデバイスをアクティブ化した後、ステータスの更新に最大で 2 分かかることがあります。
Android デバイスのアクティベーション
次のアクティベーション手順をデバイスユーザーに送信します。
メモ: ここで説明する手順は MDM コントロールアクティベーションタイプの割り当てられたデバイスに対応します。デ
バイスにワークスペースをインストールまたはアクティベーションするアクティベーションタイプでは、追加の手順が必
要になることがあります。
1.
デバイスに BES12 Client をインストールします。 BES12 Client は Google Play からダウンロードできます。
2.
デバイスで、［BES12］をタップします。
3.
ライセンス使用許諾契約書を参照して、［同意する］をタップします。
4.
仕事用メールアドレスを入力して、［次へ］をタップします。
5.
必要に応じて、サーバーアドレスを入力し、
［次へ］をタップします。サーバーアドレスは、受信したアクティベー
ションメールまたは BES12 Self-Service で検索できます。
6.
デバイスに表示された証明書の詳細が正しいことを確認し、
［承諾］をタップします。管理者が証明書の詳細を別途
送信した場合は、表示された情報と受信した情報を比較できます。
7.
アクティベーションパスワードを入力し、［デバイスをアクティブ化］をタップします。
251
ユーザーとデバイス
8. ［次へ］をタップします。
9. ［アクティベーション］をタップします。
終了したら: アクティベーションプロセスの正常な完了を確認するには、次のいずれかの操作を実行します。
•
デバイスで、BES12 Client を開き、［バージョン情報］をタップします。［アクティブ化されたデバイス］セク
ションで、デバイス情報とアクティベーションのタイムスタンプが存在することを確認します。
•
BES12 Self-Service で、デバイスがアクティブ化されたデバイスとして一覧に表示されていることを確認しま
す。ユーザーがデバイスをアクティブ化した後、ステータスの更新に最大で 2 分かかることがあります。
Windows Phone デバイスのアクティベーショ
ン
次のアクティベーション手順をデバイスユーザーに送信します。
1.
デバイスに BES12 Client をインストールします。 Windows Phone Store から BES12 Client をダウンロードできます。
2.
デバイスで、アプリリストに移動し、
［BES12］をタップします。
3.
ライセンス使用許諾契約書を参照して、
［同意する］をタップします。
4.
仕事用メールアドレスを入力して、
［次へ］をタップします。
5.
必要に応じて、サーバーアドレスを入力し、
［次へ］をタップします。サーバーアドレスは、受信したアクティベー
ションメールまたは BES12 Self-Service で検索できます。
6.
アクティベーションメールで受信したか、BES12 Self-Service で設定したアクティベーションパスワードを入力し、
［デバイスをアクティブ化］をタップします。
7. ［コピーして進む］をタップして、表示されたサーバーアドレスをコピーして、Windows Phone 仕事用領域アプリに
進みます。
8. ［アカウントを追加］をタップします。
9.
メールアドレスを入力し、
［サインイン］をタップします。
10. ［サーバー］フィールド内にカーソルを合わせ、［貼り付け］アイコンをタップします。
11. ［サインイン］をタップします。
12. 証明書に関する警告を受信した場合は、
［続行］をタップします。
13. ［ユーザー名］および［ドメイン］フィールドは空白のままにしておきます。［パスワード］フィールドに、アク
ティベーションメールで受信したか、BES12 Self-Service で設定したアクティベーションパスワードを入力します。
［サインイン］をタップします。
14. ［完了］をタップします。
15. Windows Phone で［戻る］ボタンを押して、BES12 Client に戻ります。
252
ユーザーとデバイス
16. アクティベーションは自動的に完了します。
終了したら: アクティベーションプロセスの正常な完了を確認するには、次のいずれかの操作を実行します。
•
デバイスで、BES12 Client を開き、右下の［メニュー］アイコン（横並びの 3 つのドット）をタップし、［バー
ジョン情報］をタップします。［アクティブ化されたデバイス］セクションで、デバイス情報とアクティベー
ションのタイムスタンプが存在することを確認します。
•
BES12 Self-Service で、デバイスがアクティブ化されたデバイスとして一覧に表示されていることを確認しま
す。ユーザーがデバイスをアクティブ化した後、ステータスの更新に最大で 2 分かかることがあります。
BlackBerry Wired Activation Tool を使用した
BlackBerry 10 デバイスのアクティベーション
BlackBerry Wired Activation Tool を使用することにより、無線接続の代わりに USB 接続を使用して、複数の BlackBerry 10
デバイスを同時にアクティベーションできます。組織は次のような異なる理由により、この方法を使用できます。
•
一度に複数のデバイスをすばやく、簡単にアクティベーションする
•
管理者の監視の元、アクティベーションプロセスを実行する
•
ユーザーにデバイスを配布または組織のネットワークに接続する前に、デバイスをアクティベーションし、コン
テンツの暗号化要件および VPN プロファイルなどのセキュリティ機能を設定する
BlackBerry Wired Activation Tool を使用して、プロファイルおよびポリシーを割り当てることはできません。 BlackBerry
Wired Activation Tool を使用してデバイスを割り当ておよびアクティベーションする前に、BES12 管理コンソールでプロ
ファイルおよびポリシーをユーザーに割り当てる必要があります。ただし、BlackBerry Wired Activation Tool を使用してデ
バイスを割り当ておよびアクティベーションするために、アクティベーションパスワードを設定する必要はありません。
BlackBerry Wired Activation Tool を使用してデバイスをアクティベーションするには、デバイスで BlackBerry 10 OS バー
ジョン 10.3 以降を実行している必要があります。
BlackBerry Wired Activation Tool のインストール
作業を始める前に:
•
Microsoft Windows 7 以降がコンピューターにインストールされていることを確認します。
BlackBerry Wired Activation Tool をダウンロードおよびインストールするには、次の手順を完了します。
1.
docs.blackberry.com/bes12tools を参照します。
2.
ドロップダウンリストで、［BlackBerry Wired Activation Tool］をクリックします。
3. ［次へ］をクリックします。
4. ［ダウンロード］をクリックします。
253
ユーザーとデバイス
5. ［はい］または［いいえ］オプションを選択して、
［ダウンロード］をクリックします。
6.
コンピューターにインストールファイルを保存します。
7.
コンピューターで、インストールファイルを保存した場所を参照します。
8.
画面に表示される手順に従って、インストールを完了します。
BlackBerry Wired Activation Tool を設定して BES12 インスタ
ンスにログインする
BlackBerry Wired Activation Tool を使ってデバイスをアクティベーションする前に、アクセスする必要がある BES12 インス
タンスの設定を作成する必要があります。設定の作成後、管理者アカウントを使用して、BlackBerry Wired Activation Tool
が BlackBerry Web Services にアクセスするのを許可することも必要になります。
1.
BlackBerry Wired Activation Tool のインストールフォルダーで、BWAT.exe をダブルクリックします。
2. ［BES12 サーバー画面を追加］の［名前］フィールドに、作成している設定を識別するための名前を入力します。た
とえば、2 つの BES12 インスタンスがある場合、それぞれに 1 つの設定を作成して、「Server 1」および「Server 2」
という名前を付けることができます。
3. ［BlackBerry Web Services URL］フィールドに、BlackBerry Web Services コンポーネントのアドレスを入力します。
デフォルトでは、BlackBerry Web Services のアドレスは https://<BES12 web address>:18084 です。
BES12 データベースの tomcat.bws.port 設定を変更して、ポートを変更できます。
4. ［BCP エンドポイント URL］フィールドに、デバイスのアクティベーションに使用するアドレスを入力します。これ
はアクティベーション URL またはサーバー名とも呼ばれています。 %ActivationURL% 変数がアクティベーション
メールテンプレートに含まれていることを確認し、任意の［ユーザーの概要］画面から［アクティベーションメール
を表示］をクリックして、アドレスを検索できます。
必要に応じて、BES12 データベースでホストアドレスとポートを参照することもできます。 def_cfg_setting_dfn
テーブルで、bdmi.enroll.bcp.host および bdmi.enroll.bcp.port の id_setting_definition 値を検索します。次に、
id_setting_definition 値を使用して、obj_global_cfg_setting でこれらの設定の値を参照します。
5. ［送信］をクリックします。
6. ［ログイン］画面のドロップダウンリストから、BES12 設定を選択します。
7. ［ユーザー名］フィールドに、管理者権限を持つ BES12 ユーザーアカウントのユーザー名を入力します。
8. ［パスワード］フィールドに、アカウントのパスワードを入力します。
9. ［ディレクトリ］ドロップダウンリストで、認証方法を選択します。
10. 必要に応じて、
［ドメイン］フィールドに Microsoft Active Directory ドメインを入力します。
11. ［ログイン］をクリックします。
254
ユーザーとデバイス
BlackBerry Wired Activation Tool を使用した BlackBerry 10 デ
バイスのアクティベーション
作業を始める前に:
•
BlackBerry Wired Activation Tool を設定して BES12 インスタンスにログインします。
•
接続されたデバイスをすべてオンにして、すべてのデバイスが初期セットアッププロセスを完了しているか、ま
だ開始していないことを確認します。初期セットアッププロセスが進行中の場合は、デバイスをアクティベー
ションできません。
1.
USB ケーブルを使用して、1 台以上の BlackBerry 10 デバイスをコンピューターに接続します。
2.
それぞれのデバイスの［ステータス］列を確認します。次の操作のいずれかを実行します。
•
［ステータス］列に［パスワードが必要です］と表示される場合は、
［パスワードが必要です］をクリックし
て、デバイスのパスワードを入力します。
•
［ステータス］列に［サポートされていないデバイス］と表示される場合は、デバイスのソフトウェアを
BlackBerry 10 OS バージョン 10.3 以降にアップグレードします。
•
［ステータス］列に［準備完了］と表示される場合は、デバイスをユーザーに割り当てます。
3. ［検索］フィールドで、デバイスを割り当てるユーザーアカウントを検索します。
4.
検索結果のリストで、ユーザーアカウントをクリックします。
5.
画面のメインセクションで、ユーザーアカウント名をクリックし、デバイスを割り当てるユーザー名までドラッグし
ます。この手順を繰り返して、複数のユーザーにデバイスを割り当てます。
6.
アクティベーションするユーザーとデバイスのペアの隣りにあるチェックボックスをオンにします。
7. ［デバイスのアクティブ化］をクリックします。
BlackBerry Wired Activation Tool は、選択されたすべてのデバイスをアクティベーションします。［ステータス］列で、そ
れぞれのデバイスの進行状況と結果を確認します。アクティベーションが完了しない場合は、
［ステータス］列のメッセー
ジをクリックして、エラーの詳細情報を確認します。
デバイスのアクティベーションに関するトラ
ブルシューティングのヒント
デバイスのアクティベーションのトラブルシューティングを実行する場合は、必ず次の内容を確認してください。
•
デバイスタイプが BES12 にサポートされていることを確認します。サポートされるデバイスタイプの詳細につ
いては、『互換性一覧表』を参照してください。
255
ユーザーとデバイス
•
ユーザーがアクティベーションするデバイスタイプに対して利用可能なライセンスと、ユーザーに割り当てられ
ているアクティベーションタイプがあることを確認します。詳細については、ライセンス関連の資料を参照して
ください。
•
デバイスでネットワーク接続を確認します。
◦
モバイルまたは Wi-Fi ネットワークがアクティブで、十分な通信可能範囲があることを確認してくださ
い。
◦
ユーザーが VPN または仕事用 Wi-Fi プロファイルを手動で設定して、組織のファイアウォール内のコン
テンツにアクセスする必要がある場合は、デバイスでユーザーのプロファイルが正しく設定されている
ことを確認してください。
◦
仕事用 Wi-Fi の場合は、デバイスのネットワークパスが利用可能であることを確認してください。
BES12 と機能するようにネットワークのファイアウォールを設定する方法の詳細については、http://
www.blackberry.com/btsc/ にアクセスし、記事 KB36470 を参照してください。
•
ユーザーに割り当てられているアクティベーションプロファイルで、デバイスタイプのアクティベーションが許
可されていることを確認します。
•
デバイスが組織のファイアウォールを介して BES12 または BlackBerry Infrastructure との接続を試みている場合
は、適切なファイアウォールが開いていることを確認します。必須ポートの詳細については、設定関連の資料を
参照してください。
•
デバイスログを取得します。
◦
BlackBerry 10 デバイスログファイルを取得する方法の詳細については、http://www.blackberry.com/btsc/
にアクセスし、記事 KB26038 を参照してください。
メモ: BlackBerry 10 デバイスログは暗号化されます。トラブルシューティングを行う目的で
BlackBerry 10 デバイスログファイルを使用するには、BlackBerry Technical Support Services から発行さ
れたチケットを保持している必要があります。サポートエージェントのみが、ログファイルを複合化で
きます。
◦
iOS デバイスログファイルを取得する方法の詳細については、http://www.blackberry.com/btsc/ にアクセ
スし、記事 KB36986 を参照してください。
◦
Android デバイスログファイルを取得する方法の詳細については、http://www.blackberry.com/btsc/ にア
クセスし、記事 KB32516 を参照してください。
◦
Windows Phone デバイスログファイルを取得する方法の詳細については、http://www.blackberry.com/
btsc/ にアクセスし、記事 KB36984 を参照してください。
KNOX Workspace および Android for Work
Samsung KNOX Workspace を使用する Samsung デバイスのアクティベーションのトラブルシューティングを実行する場
合は、次の内容を確認してください。
256
ユーザーとデバイス
•
デバイスが KNOX Workspace をサポートしていることを確認してください。詳細については、https://
www.samsungknox.com/en/products/knox-supported-devices/knox-workspace にアクセスし、「Samsung KNOX サ
ポートされるデバイス」を参照してください。
•
保証ビットがトリガーされていないことを確認してください。詳細については、https://
www.samsungknox.com/en/faq/what-knox-warranty-bit-and-how-it-triggered にアクセスし、「What is a KNOX
Warranty Bit and how is it triggered?」を参照してください。
•
KNOX のコンテナバージョンがサポートされていることを確認してください。 KNOX Workspace には、KNOX
Container 2.0 以降が必要です。サポートされる Samsung KNOX のバージョンの詳細については、https://
www.samsungknox.com/knoxportal/files/GalaxyDevicesSupportingKNOX.pdf にアクセスしてください。
Android for Work デバイスのアクティベーションのトラブルシューティングを実行する場合は、次の内容を確認してくださ
い。
•
デバイスが Android for Work をサポートしていることを確認してください。詳細については、https://
support.google.com/work/android/answer/6174145 にアクセスし、記事 6174145 を参照してください。
•
利用可能なライセンスがあり、アクティベーションタイプが仕事用および個人用 - ユーザープライバシー
（Android for Work）に設定されていることを確認してください。
•
仕事用および個人用 - ユーザープライバシー（Android for Work）アクティベーションタイプを使用するには、デ
バイスで Android OS バージョン 5.0（Lollipop）以降が実行されている必要があります。
•
BES12 のユーザーアカウントで、Google ドメインと同じメールアドレスが使用されていることを確認してくださ
い。メールアドレスが一致しない場合は、デバイスに「デバイスをアクティブ化できません - サポートされてい
ないアクティベーションタイプです」というエラーが表示されます。コアログファイルで次の内容を探します。
◦
◦
ERROR AfW: Could not find user in Google domain. Aborting user creation
and activation.
ERROR job marked for quarantine due to: Unable to activate device Unsupported activation type
サーバーのライセンス契約がないためデバイスのアクティ
ベーションを完了できません。システム管理者に問い合わ
せてください。
説明
このエラーは、アクティベーション時に、ライセンスが使用できないか、ライセンスが期限切れの場合に、デバイスに表
示されます。
257
ユーザーとデバイス
解決策
BES12 で、次の操作を実行します。
•
アクティベーションをサポートするためのライセンスが使用可能であることを確認します。
•
必要に応じて、ライセンスをアクティブ化するか、追加のライセンスを購入します。
ユーザー名とパスワードを確認して、再度実行してください。
説明
このエラーは、アクティベーション時に、ユーザーが間違ったユーザー名、パスワード、またはその両方を入力すると、
デバイスに表示されます。
解決策
正しいユーザー名とパスワードを入力します。
プロファイルのインストールに失敗しました。証明書
「AutoMDMCert.pfx」をインポートできませんでした。
説明
このエラーは、アクティベーション時に、プロファイルが既に iOS デバイスに存在する場合に、デバイスに表示されます。
解決策
デバイスで［設定］ > ［全般］ > ［プロファイル］の順に選択し、プロファイルが既に存在していることを確認します。
プロファイルを削除して、再度アクティブ化します。問題が存続する場合は、データがキャッシュされている可能性があ
るため、デバイスをリセットする必要が生じることがあります。
エラー 3007：サーバーが使用できません
説明
このエラーは、アクティベーション時に、BES12 が使用する SSL 証明書が iOS デバイスによって信頼されていない場合
に、デバイスに表示されます。
解決策
BES12 の SSL 証明書を作成するために使用されたサーバーの認証局証明書を iOS デバイスにインストールする必要があ
ります。
258
ユーザーとデバイス
サーバーに接続できません。接続またはサーバーアドレスを
確認してください
説明
このエラーは、アクティベーション時に、次のことが原因でデバイスに表示されます。
•
ユーザー名が間違ってデバイスに入力された。
•
デバイスアクティベーションの顧客アドレスが間違ってデバイスに入力された。
メモ: これは、BlackBerry Infrastructure での登録が無効になっている場合のみ必要です。
•
アクティベーションパスワードが設定されていない、またはパスワードが期限切れである。
解決策
解決策は、次のとおりです。
•
ユーザー名とパスワードを確認します。
•
デバイスアクティベーションの顧客アドレスを確認します。
•
BES12 Self-Service を使用して新しいアクティベーションパスワードを設定します。
APN 証明書が無効なため、 iOS デバイスをアクティベーショ
ンできません
考えられる原因
iOS デバイスをアクティベーションできない場合、APN 証明書が正しく登録されていない可能性があります。
解決策
次の操作のいずれかを実行します。
•
管理コンソールのメニューバーで、［設定］ > ［外部統合］ > ［iOS 管理］の順にクリックします。 APN 証明書
のステータスが［インストール済み］であることを確認します。ステータスが正しくない場合は、APN 証明書の
再登録を試みます。
•
BES12 と APN サーバー間の接続をテストするため、
［APN 証明書をテスト］をクリックします。
•
必要に応じて、新しい署名付きの CSR を BlackBerry から取得し、新しい APN 証明書を要求して登録します。
259
ユーザーとデバイス
ユーザーがアクティベーションメールを受信していません
説明
BES12 内の設定はすべて正しいが、ユーザーがアクティベーションメールを受信していません。
解決策
ユーザーがサードパーティのメールサーバーを使用している場合、BES12 からのメールがスパムとしてマークされ、スパ
ムメールフォルダーまたは迷惑メールフォルダーに入れられていることがあります。
ユーザーがスパムメールフォルダーまたは迷惑メールフォルダーでアクティベーションメールがないかチェックしたこと
を確認します。
260
ユーザーとデバイス
デバイスの管理
26
BES12 には、ワイヤレスネットワーク経由でデバイスに送信できるコマンドが含まれています。このコマンドにより、デ
バイス上のデータを保護します。デバイスレポートで、個々のデバイスに関する詳細情報を表示できます。
ダッシュボードレポートの使用
ダッシュボードは、システム上のユーザーとデバイスに関する BES12 サービスからの情報をグラフを使用して提示しま
す。カーソルをデータポイント（たとえば、円グラフの 1 つのスライス）上に重ねると、ユーザーまたはデバイスに関す
る情報を表示できます。
詳細な情報が必要な場合は、グラフからレポートを表示して、ユーザーまたはデバイスに関する詳細情報を表示できます。
レポートの最大レコード数は、2000 です。レポートから .csv ファイルを生成して、さらなる分析や報告目的で、ファイ
ルをエクスポートできます。
ユーザーアカウントを開いて管理するために、レポート内のユーザーまたはデバイスをクリックできます。アカウントで
の操作が終了したら、ページ（ブラウザーではなく）上の［戻る］をクリックしてレポートに戻ります。
次の表は、各ダッシュボードレポートが表示する情報について説明しています。
ダッシュボードレポート
説明
デバイスのローミングとローミ現在ローミング状態のデバイスを携えているユーザーのリスト
ングなし
デバイスのアクティベーション 12 か月間にわたり、デバイスが最初にアクティブ化された時点に基づいて、組織内で
アクティブ化されているデバイス数を月ごとに動的に表示します。数値は、現在アク
ティブ化されているデバイスを反映して変化します。たとえば、8 月にアクティブ化さ
れたデバイスが無効化されると、8 月に表示されるデバイス数が 1 減ります。
インストール済みの管理されて組織によって割り当てられ、デバイスにインストールされている最も一般的な 5 つのア
いるアプリのトップ 5
プリ
プラットフォーム別のデバイスプラットフォーム別の組織内のデバイスのリスト
デバイスコンプライアンス
組織内の BlackBerry 10、iOS、Android、および Windows Phone デバイスで検出された
問題のリスト
最終接続時刻別のデバイス
デバイスが最後にサーバーに接続した以降、経過した日数
通信事業者別のデバイス
組織内の通信事業者別のデバイスのリスト
261
ユーザーとデバイス
ダッシュボードレポート
説明
モバイルデバイスのトップ 5
組織内で最も一般的な 5 つのモバイルデバイスの機種
グラフの種類の変更
情報をグラフ化するために使用されるグラフの種類を変更できます。
グラフの横のをクリックし、ドロップダウンリストからグラフの種類を選択します。
ダッシュボードレポートの .csv ファイルへのエクスポート
1.
レポートを開くには、グラフをクリックします。
2.
選択した列に基づいてレコードを並べ替えるには、列見出しをクリックします。
3. ［エクスポート］をクリックして、ファイルを保存します。
IT 管理コマンドを使用したデバイスの管理
ワイヤレスネットワーク経由でさまざまな IT 管理コマンドを送信して、デバイスをリモートで管理できます。
たとえば、次の環境のいずれかで IT 管理コマンドを使用できます。
•
デバイスが一時的に置き忘れられた場合は、コマンドを送信して、デバイスをロックするか、デバイスから仕事
用データを削除できます。
•
デバイスを組織内の別のユーザーに再配布する場合や、デバイスが紛失または盗難された場合に、コマンドを送
信してデバイス上のすべてのデータを削除できます。
•
従業員が退職する場合は、ユーザーの個人用デバイスにコマンドを送信して、仕事用データのみを削除できま
す。
•
ユーザーが仕事用領域のパスワードを忘れた場合は、コマンドを送信して仕事用領域のパスワードをリセットで
きます。
使用可能な IT 管理コマンドのリストは、デバイスタイプとアクティベーションの種類によって異なります。
IT 管理コマンドのデバイスへの送信
ワイヤレスネットワーク経由でデバイスにさまざまなコマンドを送信できます。
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2.
ユーザーアカウントを検索します。
262
ユーザーとデバイス
3.
検索結果で、ユーザーアカウントの名前をクリックします。
4.
デバイスのタブをクリックします。
5. ［デバイスを管理］ウィンドウで、デバイスに送信するコマンドを選択します。
IT 管理コマンド
次の表は、デバイスタイプ別に使用可能な IT 管理コマンドを一覧しています。
BlackBerry 10
アクティベーションの種類
IT 管理コマンド
説明
デバイスパスワード
の指定、デバイスの
ロック、およびメッ
セージの設定
このコマンドを使用して、デバイスパスワードを作成し、 •
ホーム画面メッセージを設定してデバイスをロックできま
•
す。既存のパスワードルールに準拠したパスワードを作成
•
する必要があります。ユーザーがデバイスのロックを解除
仕事用および個人用 - 会社
仕事用領域専用
仕事用および個人用 - 規制
する際、デバイスには、新しいパスワードを承諾するかど
うかを確認するメッセージが表示されます。
IT ポリシーによりデバイスと仕事用領域で同じパスワード
を使用するように義務付けられている場合は、このコマン
ドによって仕事用領域パスワードも変更されます。
すべてのデバイス
データを削除
このコマンドは、仕事用領域内の情報を含め、デバイスに •
保存されているユーザー情報とアプリデータをすべて削除
•
します。デバイスを工場出荷時のデフォルト設定に戻し、
•
オプションで BES12 からデバイスを削除します。
仕事用および個人用 - 会社
仕事用領域専用
仕事用および個人用 - 規制
このコマンドの送信後、BES12 からデバイスを削除するた
めのオプションが表示されます。デバイスが BES12 に接
続できない場合、BES12 からデバイスを削除できます。削
除後にデバイスが BES12 に接続する場合で、状況が該当す
る場合は、仕事用領域を含めて、仕事用データのみがデバ
イスから削除されます。
仕事用領域パスワー
ドを指定してロック
このコマンドを使用して、デバイスの新しい仕事用領域パ •
スワードを作成し、仕事用領域をロックできます。既存の
•
パスワードルールに準拠したパスワードを作成する必要が
あります。仕事用領域のロックを解除するには、作成した
新しいパスワードを入力する必要があります。
IT ポリシーによりデバイスと仕事用領域で同じパスワード
を使用するように義務付けられている場合は、このコマン
ドによってデバイスパスワードも変更されます。
263
仕事用および個人用 - 会社
仕事用および個人用 - 規制
ユーザーとデバイス
アクティベーションの種類
IT 管理コマンド
説明
仕事用データのみを
削除
このコマンドは、デバイス上の IT ポリシー、アプリ、証明 •
仕事用および個人用 - 会社
書を含め、仕事用データを削除し、オプションで、デバイ •
スを BES12 から削除します。
仕事用および個人用 - 規制
デバイスに仕事用領域がある場合は、仕事用領域の情報が
削除され、仕事用領域はデバイスから削除されます。
このコマンドを送信する場合、ユーザーアカウントは削除
されません。
このコマンドの送信後、BES12 からデバイスを削除するた
めのオプションが表示されます。デバイスが BES12 に接
続できない場合、BES12 からデバイスを削除できます。削
除後にデバイスが BES12 に接続する場合で、状況が該当す
る場合は、仕事用領域を含めて、仕事用データのみがデバ
イスから削除されます。
デバイス情報を更新
このコマンドは更新されたデバイス情報を送受信します。 •
たとえば、新たに更新された IT ポリシールールやプロファ
•
イルをデバイスに送信したり、OS バージョンやバッテリ残
•
量などのデバイスに関する最新情報を受信したりすること
ができます。
仕事用および個人用 - 会社
仕事用領域専用
仕事用および個人用 - 規制
BlackBerry OS（バージョン 5.0～7.1）
IT 管理コマンド
説明
デバイスパスワード
を指定してロック
このコマンドを使用して、デバイスパスワードを作成して、デバイスをロックできます。既存の
パスワードルールに準拠したパスワードを作成する必要があります。管理者またはユーザーが
ツーファクターコンテンツ保護をオンにしている場合、このコマンドを使用することはできませ
ん。
仕事用データのみを
削除
このコマンドは、デバイス上の IT ポリシー、メール、連絡先、仕事用サービスブックを含め、仕
すべてのデバイス
データを削除
このコマンドは、デバイスに保存されているユーザー情報とアプリケーションデータをすべて削
除して、デバイスを工場出荷時のデフォルト設定に戻します。
事用データを削除します。個人用データはすべてデバイスに残されます。
このコマンドは、別のユーザーに配布するデバイスや、ユーザーが紛失したがまだ見つかる可能
性があるデバイスに送信できます。
サービスブックを再
送
このコマンドは、サービスブックをデバイスに再送します。サービスブックは、BlackBerry OS デ
バイスで利用可能なサービスを指定します。
264
ユーザーとデバイス
IT 管理コマンド
説明
IT ポリシーを再送
このコマンドは、割り当てられた BlackBerry OS IT ポリシーをデバイスに再送します。
iOS
アクティベーションの種類
IT 管理コマンド
説明
すべてのデバイス
データを削除
このコマンドは、仕事用領域内の情報を含め、デバイスに •
保存されているユーザー情報とアプリデータをすべて削除
•
します。デバイスを工場出荷時のデフォルト設定に戻し、
オプションで BES12 からデバイスを削除します。
MDM コントロール
仕事用および個人用 - フルコン
トロール
このコマンドの送信後、BES12 からデバイスを削除するた
めのオプションが表示されます。デバイスが BES12 に接
続できない場合、BES12 からデバイスを削除できます。削
除後にデバイスが BES12 に接続する場合で、状況が該当す
る場合は、仕事用領域を含めて、仕事用データのみがデバ
イスから削除されます。
仕事用データのみを
削除
このコマンドは、デバイス上の IT ポリシー、アプリ、証明 •
MDM コントロール
書を含め、仕事用データを削除し、オプションで、デバイ •
スを BES12 から削除します。
仕事用および個人用 - フルコン
デバイスに仕事用領域がある場合は、仕事用領域の情報が •
削除され、仕事用領域はデバイスから削除されます。
トロール
仕事用および個人用 - ユーザー
プライバシー
このコマンドを送信する場合、ユーザーアカウントは削除
されません。
このコマンドの送信後、BES12 からデバイスを削除するた
めのオプションが表示されます。デバイスが BES12 に接
続できない場合、BES12 からデバイスを削除できます。削
除後にデバイスが BES12 に接続する場合で、状況が該当す
る場合は、仕事用領域を含めて、仕事用データのみがデバ
イスから削除されます。
デバイスをロック
このコマンドは、デバイスをロックします。ユーザーは、 •
MDM コントロール
デバイスのロックを解除するために、既存のデバイスパス •
ワードを入力する必要があります。一時的にデバイスが見
仕事用および個人用 - フルコン
つからない場合、このコマンドを使用することができます。
このコマンドを送信すると、既存のデバイスパスワードが
存在する場合に限ってデバイスがロックされます。それ以
外の場合、デバイスでは何の操作も実行されません。
265
トロール
ユーザーとデバイス
アクティベーションの種類
IT 管理コマンド
説明
ロック解除してパス
ワードをクリアする
このコマンドは、デバイスのロックを解除して、既存のパ •
スワードを削除します。ユーザーは、デバイスパスワード
•
を作成するように要求されます。このコマンドは、ユー
ザーがデバイスパスワードを忘れた場合に使用できます。
仕事用領域をロック
する
このコマンドは、デバイスの仕事用領域をロックします。
ユーザーは、既存の仕事用領域パスワードを入力してデバ
イスをロック解除する必要があります。
•
MDM コントロール
仕事用および個人用 - フルコン
トロール
仕事用および個人用 - フルコン
トロール
•
仕事用および個人用 - ユーザー
プライバシー
仕事用領域パスワー
ドをリセット
このコマンドは、現在の仕事用領域パスワードをデバイス •
から削除します。ユーザーが仕事用領域を開くと、新しい
仕事用領域パスワードを設定するように要求されます。
•
仕事用および個人用 - フルコン
トロール
仕事用および個人用 - ユーザー
プライバシー
仕事用領域を無効化/ このコマンドは、デバイス上の仕事用領域アプリへのアク
セスを無効または有効にします。
有効化
•
仕事用および個人用 - フルコン
トロール
•
仕事用および個人用 - ユーザー
プライバシー
デバイス情報を更新
このコマンドは更新されたデバイス情報を送受信します。 •
たとえば、新たに更新された IT ポリシールールやプロファ
•
イルをデバイスに送信したり、OS バージョンやバッテリ残
量などのデバイスに関する最新情報を受信したりすること
ができます。
MDM コントロール
仕事用および個人用 - フルコン
トロール
Android
アクティベーションの種類
IT 管理コマンド
説明
すべてのデバイス
データを削除
このコマンドは、仕事用領域内の情報を含め、デバイスに •
保存されているユーザー情報とアプリデータをすべて削除
•
します。デバイスを工場出荷時のデフォルト設定に戻し、
オプションで BES12 からデバイスを削除します。
このコマンドの送信後、BES12 からデバイスを削除するた
めのオプションが表示されます。デバイスが BES12 に接
続できない場合、BES12 からデバイスを削除できます。削
除後にデバイスが BES12 に接続する場合で、状況が該当す
266
•
MDM コントロール
仕事用および個人用 - フルコン
トロール（Secure Work Space）
仕事用および個人用 - フルコン
トロール（Samsung KNOX）
•
仕事用領域専用 - (Samsung
KNOX)
ユーザーとデバイス
IT 管理コマンド
アクティベーションの種類
説明
る場合は、仕事用領域を含めて、仕事用データのみがデバ
イスから削除されます。
仕事用データのみを
削除
このコマンドは、デバイス上の IT ポリシー、アプリ、証明 •
MDM コントロール
書を含め、仕事用データを削除し、オプションで、デバイ •
スを BES12 から削除します。
仕事用および個人用 - ユーザー
デバイスに仕事用領域がある場合は、仕事用領域の情報が
削除され、仕事用領域はデバイスから削除されます。
このコマンドを送信する場合、ユーザーアカウントは削除
されません。
Space）
•
続できない場合、BES12 からデバイスを削除できます。削
除後にデバイスが BES12 に接続する場合で、状況が該当す
る場合は、仕事用領域を含めて、仕事用データのみがデバ
イスから削除されます。
仕事用および個人用 - フルコン
トロール（Secure Work Space）
•
このコマンドの送信後、BES12 からデバイスを削除するた
めのオプションが表示されます。デバイスが BES12 に接
プライバシー（Secure Work
仕事用および個人用 - フルコン
トロール（Samsung KNOX）
•
仕事用領域専用 - (Samsung
KNOX)
•
仕事用および個人用 - ユーザー
プライバシー（Android for
Work）
•
仕事用および個人用 - ユーザー
プライバシー（Android for Work
- Premium）
デバイスをロック
このコマンドは、デバイスをロックします。ユーザーは、 •
デバイスのロックを解除するために、既存のデバイスパス •
ワードを入力する必要があります。一時的にデバイスが見
つからない場合、このコマンドを使用することができます。
このコマンドを送信すると、既存のデバイスパスワードが
存在する場合に限ってデバイスがロックされます。それ以
外の場合、デバイスでは何の操作も実行されません。
•
MDM コントロール
仕事用および個人用 - フルコン
トロール（Secure Work Space）
仕事用および個人用 - フルコン
トロール（Samsung KNOX）
•
仕事用および個人用 - ユーザー
プライバシー（Android for
Work）
•
仕事用および個人用 - ユーザー
プライバシー（Android for Work
- Premium）
ロック解除してパス
ワードをクリアする
このコマンドは、デバイスのロックを解除して、既存のパ •
スワードを削除します。ユーザーは、デバイスパスワード
•
MDM コントロール
仕事用および個人用 - フルコン
トロール（Secure Work Space）
267
ユーザーとデバイス
IT 管理コマンド
説明
アクティベーションの種類
を作成するように要求されます。このコマンドは、ユー
•
トロール（Samsung KNOX）
ザーがデバイスパスワードを忘れた場合に使用できます。
仕事用領域をロック
する
このコマンドは、デバイスの仕事用領域をロックします。
ユーザーは、既存の仕事用領域パスワードを入力してデバ
イスをロック解除する必要があります。
仕事用および個人用 - フルコン
•
仕事用および個人用 - フルコン
トロール（Secure Work Space）
•
仕事用および個人用 - ユーザー
プライバシー（Secure Work
Space）
仕事用領域パスワー
ドをリセット
このコマンドは、現在の仕事用領域パスワードをデバイス •
から削除します。ユーザーが仕事用領域を開くと、新しい
仕事用領域パスワードを設定するように要求されます。
•
仕事用および個人用 - フルコン
トロール（Secure Work Space）
仕事用および個人用 - ユーザー
プライバシー（Secure Work
Space）
•
仕事用および個人用 - フルコン
トロール（Samsung KNOX）
仕事用領域を無効化/ このコマンドは、デバイス上の仕事用領域アプリへのアク
セスを無効または有効にします。
有効化
•
仕事用領域専用 - (Samsung
KNOX)
•
仕事用および個人用 - フルコン
トロール（Secure Work Space）
•
仕事用および個人用 - ユーザー
プライバシー（Secure Work
Space）
•
仕事用および個人用 - フルコン
トロール（Samsung KNOX）
•
デバイスパスワード
を指定してロック
このコマンドを使用して、デバイスパスワードを作成し、 •
デバイスをロックできます。既存のパスワードルールに準
•
拠したパスワードを作成する必要があります。ユーザーが
デバイスのロックを解除する際、デバイスには、新しいパ
スワードを承諾するかどうかを確認するメッセージが表示 •
されます。
268
仕事用領域専用 - (Samsung
KNOX)
MDM コントロール
仕事用および個人用 - フルコン
トロール（Secure Work Space）
仕事用および個人用 - フルコン
トロール（Samsung KNOX）
ユーザーとデバイス
アクティベーションの種類
IT 管理コマンド
説明
デバイス情報を更新
このコマンドは更新されたデバイス情報を送受信します。 •
たとえば、新たに更新された IT ポリシールールやプロファ
•
イルをデバイスに送信したり、OS バージョンやバッテリ残
量などのデバイスに関する最新情報を受信したりすること
•
ができます。
MDM コントロール
仕事用および個人用 - フルコン
トロール（Secure Work Space）
仕事用および個人用 - フルコン
トロール（Samsung KNOX）
•
仕事用領域専用 - (Samsung
KNOX)
•
仕事用および個人用 - ユーザー
プライバシー（Android for
Work）
•
仕事用および個人用 - ユーザー
プライバシー（Android for Work
- Premium）
Windows Phone
アクティベーションの種類
IT 管理コマンド
説明
デバイスをロック
このコマンドは、デバイスをロックします。ユーザーは、 MDM コントロール
デバイスのロックを解除するために、既存のデバイスパス
ワードを入力する必要があります。一時的にデバイスが見
つからない場合、このコマンドを使用することができます。
このコマンドを送信すると、既存のデバイスパスワードが
存在する場合に限ってデバイスがロックされます。それ以
外の場合、デバイスでは何の操作も実行されません。
このコマンドは、Windows Phone 8.1 以降を実行しているデ
バイスでサポートされています。
デバイスパスワード
を生成してロック
このコマンドでデバイスパスワードが生成され、デバイス
がロックされます。生成されたパスワードは、メールで
ユーザーに送信されます。選択済みのメールアドレスを使
用することも、メールアドレスを指定することもできま
す。生成されるパスワードは、既存のパスワードルールに
準拠しています。
このコマンドは、Windows Phone OS バージョン 8.10.14176
以降を実行しているデバイスでサポートされています。
269
MDM コントロール
ユーザーとデバイス
IT 管理コマンド
仕事用データのみを
削除
アクティベーションの種類
説明
このコマンドは、デバイス上の IT ポリシー、アプリ、証明 MDM コントロール
書を含め、仕事用データを削除し、オプションで、デバイ
スを BES12 から削除します。
このコマンドを送信する場合、ユーザーアカウントは削除
されません。
このコマンドの送信後、BES12 からデバイスを削除するた
めのオプションが表示されます。デバイスが BES12 に接
続できない場合、BES12 からデバイスを削除できます。削
除後にデバイスが BES12 に接続する場合で、状況が該当す
る場合は、仕事用領域を含めて、仕事用データのみがデバ
イスから削除されます。
すべてのデバイス
データを削除
デバイスに保存されているユーザー情報とアプリデータを MDM コントロール
すべて削除します。デバイスを工場出荷時のデフォルト設
定に戻し、オプションで BES12 からデバイスを削除します。
このコマンドの送信後、BES12 からデバイスを削除するた
めのオプションが表示されます。デバイスが BES12 に接
続できない場合、BES12 からデバイスを削除できます。削
除後にデバイスが BES12 に接続する場合で、状況が該当す
る場合は、仕事用領域を含めて、仕事用データのみがデバ
イスから削除されます。
デバイス情報を更新
このコマンドは更新されたデバイス情報を送受信します。 MDM コントロール
たとえば、新たに更新された IT ポリシールールやプロファ
イルをデバイスに送信したり、OS バージョンやバッテリ残
量などのデバイスに関する最新情報を受信したりすること
ができます。
デバイスレポートの表示と保存
デバイスレポートを生成して、BES12 に関連付けられた各デバイスに関する詳細情報を表示できます。
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2.
ユーザーアカウントを検索します。
3.
検索結果で、ユーザーアカウントの名前をクリックします。
4.
デバイスのタブを選択します。
5. ［デバイスレポートを表示］をクリックします。
270
ユーザーとデバイス
6.
コンピューター上でデバイスレポートをファイルに保存するには、必要に応じて［エクスポート］をクリックしま
す。
デバイスに、仕事用メールおよびオーガナイ
ザーデータへのアクセスが許可されているこ
との確認
組織が BlackBerry Gatekeeping Service を使用して、どのデバイスが Exchange ActiveSync から仕事用メールとオーガナイ
ザーデータにアクセスできるか制御している場合は、少なくとも 1 台のゲートキーピングサーバーがメールプロファイル
に設定されています。ゲートキーピングが設定されたメールプロファイルをユーザーアカウントに割り当てると、デバイ
スと Exchange ActiveSync 間の接続のステータスを確認できます。デバイスの詳細ページの［IT ポリリーおよびプロファ
イル］セクションでステータスを検索できます。メールプロファイルの横のデバイスの詳細に次のステータスが表示され
ます。
ステータス
説明
不明
BES12 がデバイスの ID を判別できない場合は、［不明］ステータスが表示され
ます。デバイスは、
［制限されたデバイス］リストに一覧され、手動で許可リス
トに追加する必要があります。
接続が保留中です
BES12 がデバイスの ID を認識しており、デバイスがキュー内で許可リストへの
追加を待機中の場合は、［接続が保留中です］ステータスが表示されます。
接続が許可されています
BES12 がデバイスの ID を認識しており、デバイスが許可リストに入っている場
合は、［接続が許可されています］ステータスが表示されます。
デバイスが許可されていることの確認
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2.
ユーザーアカウントを検索します。
3.
検索結果で、ユーザーアカウントの名前をクリックします。
4.
確認するデバイスのタブを選択します。
5.
デバイスが許可されている場合は、
［IT ポリシーおよびプロファイル］セクションのメールプロファイルの横に、
［接
続が許可されています］と表示されます。
271
ユーザーとデバイス
Exchange ゲートキーピング
組織が BlackBerry Gatekeeping Service を使用してどのデバイスが Exchange ActiveSync にアクセスできるか制御している
場合、Microsoft Exchange のホワイトリストにないデバイスは BES12 の制限された Exchange ActiveSync デバイスリストで
レポートされます。
ユーザーアカウントを追加し、そのユーザーアカウントを BlackBerry Gatekeeping Service が設定されたメールプロファイ
ルに割り当てると、ユーザーアカウントに関連する以前にブロック、隔離、手動で許可されたすべてのデバイスが制限さ
れた Exchange ActiveSync デバイスリストに表示されます。
BES12 がデバイスから Exchange ActiveSync ID を取得できない場合、デバイスは Microsoft Exchange の許可リストには追
加されません。これらのデバイスは、制限された Exchange ActiveSync デバイスリストから許可リストに手動で追加でき
ます。たとえば、Android デバイスが MDM アクティベーションの種類を使用して、Secure Work Space なしでアクティブ
化された場合、BES12 は Exchange ActiveSync ID を取得できないため、制限された Exchange ActiveSync デバイスリスト内
のデバイスは手動でホワイトリストに移動する必要があります。
デバイスによる Microsoft ActiveSync へのアクセスの許可
ユーザーがデバイスで Microsoft Exchange Server からのメールとその他の情報を取得できるように、デバイスの Microsoft
ActiveSync へのアクセスを手動で許可できます。
作業を始める前に: Microsoft Exchange 設定を作成します。
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2. ［Exchange ゲートキーピング］をクリックします。
3.
デバイスを検索します。
4. ［アクション］列で、
をクリックします。
デバイスによる Microsoft ActiveSync へのアクセスのブロッ
ク
以前に許可したデバイスが Microsoft ActiveSync にアクセスするのを手動でブロックできます。デバイスをブロックする
と、ユーザーは Microsoft Exchange Server からのメールとその他の情報をデバイスで取得できなくなります。
作業を始める前に: Microsoft Exchange 設定を作成します。
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2. ［Exchange ゲートキーピング］をクリックします。
3.
デバイスを検索します。
4. ［アクション］列で、
をクリックします。
272
ユーザーとデバイス
デバイスの無効化
管理者またはユーザーがデバイスを無効化すると、BES12 内の、デバイスとユーザーアカウント間の接続は削除されま
す。デバイスは管理できなくなり、管理コンソールに表示されません。ユーザーはデバイス上の仕事用データにアクセス
できません。
管理者は、［仕事用データのみを削除］コマンドを使用してデバイスを無効化できます。
ユーザーは、BES12 Client の［バージョン情報］画面で［デバイスを無効にする］を選択することで、iOS、Android、ま
たは Windows Phone デバイスを無効化できます。
また、BlackBerry 10 デバイスで、
［設定］ > ［BlackBerry Balance］ > ［仕事用領域を削除］を選択することで、仕事用領
域を無効化できます。
KNOX MDM を使用する Android デバイスでは、このデバイスが無効化されている場合、内部アプリはアンインストール
され、必要に応じて、アプリリストからインストールされた一般のアプリでアンインストールオプションが使用できるよ
うになります。
iOS デバイスを検索する
管理コンソールの地図上で、最大 100 台の iOS デバイスの現在位置を表示し、ユーザーが BES12 Self-Service の地図で iOS
デバイスを検索することを許可できます。位置情報サービスプロファイルは、ユーザー、ユーザーグループ、またはデバ
イスグループに割り当てられます。紛失したもしくは盗難された iOS デバイスを検索できます。
デバイスの位置情報をサポートする BES12 Client のバージョンが必要になります。 BES12 Client は iOS デバイスの位置情
報サービスを使用して、BES12 の地図でデバイスの現在位置を表示します。
メモ: デバイスの位置情報を管理コンソールまたは BES12 Self-Service に表示する前に、ユーザーは位置情報サービスプロ
ファイルを承諾する必要があります。
iOS デバイスを検索する
デバイスの位置情報を地図で表示する前に、位置情報サービスプロファイルをユーザーに割り当て、ユーザーは同プロファ
イルを承諾する必要があります。
1.
メニューバーで［ユーザーとデバイス］をクリックします。
2.
検索するそれぞれの iOS デバイスユーザーのチェックボックスをクリックします。一度の最大 100 台の iOS デバイ
スを選択できます。
3.
4.
をクリックします。
次のように、地図でユーザーの iOS デバイスの場所を特定します。
•
アイコンは、BES12 がデバイスから受信した最後の位置情報を示します。このアイコンはまた、位置の
経度と緯度の情報および、デバイスで位置情報が記録された時間も表示します。
273
ユーザーとデバイス
•
アイコンは、デバイスの現在位置を示します。このアイコンはまた、位置の経度と緯度の情報および、
デバイスで位置情報が記録された時間も表示します。
274
BES12 コンポーネントのステータスを監視し、トラブルシューティングにログを使用します。
Simple
保守と監視
保守と監視
ログファイルの使用
27
ログファイルを使用して、組織の環境内の BES12 コンポーネントまたはデバイスの問題を特定し、トラブルシューティン
グできます。 BES12 ログ機能を使用して、次のことを実行できます。
•
サーバーログを使用した BES12 コンポーネントのアクティビティの追跡
•
BES12 ログファイルデータの Syslog サーバーまたはテキストファイルへの送信
•
BlackBerry 10 デバイスからのログファイルの取得
•
BlackBerry 10 デバイスのアプリアクティビティの監査
BES12 ログファイルの管理
ログファイルのサイズは、BES12 環境のユーザーとデバイスの数や、ユーザーアクティビティのレベルによって異なりま
す。ログファイルによって使用されているディスク容量を監視し、管理することをお勧めします。それらが過剰にディス
ク容量を使用するのを避けるために、ログファイルの最大ファイルサイズとデバッグレベルを指定できます。
ログ設定を次のレベルに設定できます。
•
グローバルログ設定：これらの設定は、同じデータベースを共有する、組織内のすべての BES12 インスタンスに
適用されます。これらの設定には、syslog ファイルの場所とログファイルの最大サイズが含まれます。
•
インスタンスのロギング設定：これらの設定は選択した BES12 インスタンスのみに適用され、グローバル設定よ
り優先されます。これらの設定には、ログファイルのローカルな場所のオプションおよびログファイルのロギン
グレベルの有効化が含まれます。
グローバルログ設定の構成
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、［インフラストラクチャ］を展開します。［ログ］をクリックします。
3.
組織の環境の必要に応じて、次のグローバル設定を構成します。
メモ: これらの設定を変更した場合は、システムの再起動が必要です。
設定
手順
システムイベントを Syslog サーバー
1. ［SysLog］チェックボックスをオンにします。デフォルトでは、この
にルーティングするには
チェックボックスはオフです。
2.
BES12 ログイベントのルーティング先にする Syslog サーバーのホスト
名とポートを指定します。
276
保守と監視
設定
手順
BES12 コンポーネントログファイル［最大ログファイルサイズ］フィールドで、各ログファイルが到達できる最
大サイズ（MB 単位）を指定します。
の最大サイズを設定するには
ログファイルが最大サイズに達すると、BES12 はログファイルの新しいイン
スタンスを起動します。
BES12 コンポーネントログファイル［サーバーログファイルの最長保存期間］フィールドで、サーバーログファ
用サーバーログファイルの最長保存イルを削除するまでの最長保存日数を指定します。
期間を設定するには
値を指定しない場合、ログファイルは削除されません。
BlackBerry 10 デバイスログファイル［デバイスログのネットワーク上の場所］フィールドで、管理コンソールを
のネットワーク宛先パスを指定する使用してデバイスから取得したアクティビティログファイルを保存する
UNC パスを指定します。
には
デバイスアプリ監査ログファイルの［デバイスアプリ監査ログファイルの最長保存期間］フィールドで、デバイ
最長保存期間
スアプリ監査ログファイルを削除するまでの最長保存日数を指定します。
値を指定しない場合、ログファイルは削除されません。
4. ［保存］をクリックします。
インスタンスログ設定の構成
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、
［インフラストラクチャ］を展開します。［ログ］をクリックします。
3.
設定するサーバーインスタンスを展開します。
4.
組織の環境の必要に応じて、次の設定を構成します。
設定
手順
BES12 コンポーネントのログファイ
メモ: この設定を変更する前に、グローバルログ設定の［ローカルのファイ
ルが保存される場所を指定するには
ル保存先を有効化］チェックボックスをオンにする必要があります。
1.
サーバーログファイルを保存する場所のパスを入力します。デフォル
トでは、ログファイルは C:\Program Files\BlackBerry\BES\Logs
\yyyymmdd に保存されます。
ログファイルに含める詳細レベルを［ログのデバッグレベル］ドロップダウンリストで、次のいずれかを選択し
設定するには
ます。
277
保守と監視
設定
手順
•
［情報］
：ログファイルに日常のアクティビティ、警告、およびエ
ラーメッセージを書き込みます。
•
［警告］
：ログファイルに警告とエラーメッセージを書き込みます。
警告メッセージは、対応が必要になる可能性がある予期しないイベ
ントです。
•
［エラー］
：ログファイルにすべてのエラーメッセージを書き込みま
す。エラー状態が発生した場合、通常は対応が必要になります。
•
［デバッグ］
：問題のデバッグに必要な情報のみを書き込みます。
•
［トレース］
：開発者がさらなるデバッグに使用できる追加の情報を
書き込みます。
デフォルトでは、デバッグレベルは［情報］に設定されています。
BlackBerry 10 デバイスのアプリ監査［デバイスアプリ監査ログパス］フィールドに、デバイスのアプリ監査ログ
ログファイルのフォルダーを指定すファイルを保存する場所のパスを入力します。
るには
デバイスのアプリ監査ログファイル［最大アプリ監査ログサイズ］フィールドで、デバイスのアプリ監査ログファ
の最大サイズを設定するには
イルが到達できる最大サイズ（MB 単位）を指定します。
ログファイルが最大サイズに達すると、BES12 はログファイルの新しいイン
スタンスを起動します。
5. ［保存］をクリックします。
ログファイルの最長保存期間の変更
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、
［インフラストラクチャ］を展開します。
3. ［ログ］をクリックします。
4. ［グローバルログ設定］を展開します。
5.
サーバーログファイルの最長保存期間を日数で設定します。
6. ［保存］をクリックします。
278
保守と監視
ログファイルの検索
デフォルトでは、BES12 コンポーネントごとにログファイルが作成され、コンポーネントがインストールされているコン
ピューターに毎日保存されます。複数の BES12 インスタンスがインストールされている場合は、各コンピューターがそ
れぞれ専用のログファイルを作成します。 BES12 は、ログファイルに
<server_name>_<component_identifier>_<instance>_<yyyymmdd>_<log_number>.<file extension> 形式で名前を付けます
（たとえば、BBServer01_MDAT_01_20140730_0001.txt）。
次のログファイルは、BES12 ソリューションで使用可能です。
•
BlackBerry 10、iOS、Android、および Windows Phone デバイスを管理するために使用されるコンポーネントのロ
グファイル。
ログファイル：
•
ACCS - Tomcat アクセスログファイル
•
AFMGR - BlackBerry Affinity Manager ログファイル
•
BGS - BlackBerry Gatekeeping Service ログファイル
•
CORE - BES12 Core ログファイル
•
DISP - BlackBerry Dispatcher ログファイル
•
EVNT - BES12 Core イベントログファイル
•
MDAT - BlackBerry MDS Connection Service ログファイル
•
TMCT - Tomcat サーバーログファイル
•
UI - BES12 管理コンソールログファイル
BES12 の初回インストール時に、追加のログファイルが作成されます。
デフォルトでは、これらのログファイルは <drive>:\Program Files\BlackBerry\BES\Logs\<date or folder name> に保
存されます。
•
BlackBerry Secure Connect Plus に使用されるログファイルは、以下になります。
•
BSCP - BlackBerry Secure Connect Plus アプリとの接続に関するデータを記録する BlackBerry Secure
Connect Plus ログファイル
•
BSCP-TS - BlackBerry Secure Connect Plus コンポーネントに関するデータを記録する BlackBerry Secure
Connect Plus コアログファイル
BlackBerry Secure Connect Plus ログファイルは <drive>:\Program Files\BlackBerry\BES\Logs\<yyyymmdd> に保存
されます。
•
BlackBerry Work Connect Notification Service に使用されるログファイルは、以下になります。
•
BWCN - BlackBerry Work Connect Notification Service ログファイル
279
保守と監視
BlackBerry Work Connect Notification Service ログファイルは <drive>:\Program Files\BlackBerry\BES\Logs\BWCN
\<filename> に保存されます。
•
BlackBerry OS（バージョン 5.0～7.1）デバイスを管理するために使用されるコンポーネントのログファイル（適
用可能な場合）
デフォルトでは、これらのログファイルは C:\Program Files\Research In Motion\BlackBerry Enterprise Server\Logs
\<date or folder name> に保存されます。
詳細については、help.blackberry.com/detectlang/bes5 から『管理ガイド』をダウンロードしてください。
•
BBM ログ、電話ログ、 PIN to PIN ログ、SMS/MMS ログ、およびビデオチャットログは、.csv 形式で保存され、
アプリアクティビティの監査に使用されます。
デフォルトでは、BlackBerry 10 デバイスのアプリ監査ログファイルは C:\Program Files\BlackBerry\BES\Logs
\<yyyymmdd> に保存され、BlackBerry OS デバイスのアプリ監査ログファイルは C:\Program Files (x86)\Research
in Motion\BlackBerry Enterprise Server\Logs\<yyyymmdd> に保存されます。
ログファイルの読み取り
BES12 ログファイルは、カンマ区切り値ファイルとテキストファイルの 2 とおりの形式で保存されます。
BlackBerry Gatekeeping Service ログ、BES12 パケットログ、BlackBerry Messenger 連絡先とメッセージ、通話、PIN、
SMS、およびビデオチャットログは CSV 形式で保存されます。
他のすべてのログファイルは TXT 形式で保存されます。
.csv ログファイルの読み取り
カンマ区切りログファイルには、情報の記録対象のコンポーネント、デバイス、またはデバイスアプリに応じて異なる情
報が含まれます。 .csv 形式のログファイルの例としては、BlackBerry Gatekeeping Service ログファイル、BBM や通話ログ
などのデバイスアプリ監査ファイルがあります。
ログの各行にはシンプルで一貫した方法で情報が示されているため、.csv ログファイルに含まれる情報を識別できます。
たとえば、SMS ログファイルの各行は、次の形式で情報を示します。
Name.ID,"Email Address","Type of Message","To","From","Callback Phone
Number","Body","Send/Received Date","Server Log Date","Overall Message
Status","Command","UID"
通話ログファイルの各行は、次の形式で表されます。
Name.ID,"Type of Call","Name","Phone Number","Start Date","Server Log Date","Elapsed
Time","Memo","Command","UID","Phone Line"
280
保守と監視
.txt ログファイルの読み取り
.txt ファイルとして保存されるログファイルには、2 つの基本形式があります。
•
1 つ目の形式は、数値レベルインジケーターで始まり、次の方法で情報を提供します。
Level Date Thread Duration CID Message
例：
<#03>[30000] (09/10 00:00:00.122):{0x520} [DIAG] EVENT=Thread_report,
THREADID=0x1390, THREADNAME="SRPReceiverHandler"
•
2 つ目の形式は、通常日時で始まり、次の方法で情報を提供します。
TimeStamp Hostname AppName ProcessId MessageID [StructuredData] Message
例：
2014-09-10 00:00:02.431-0400 - CORE {scheduler-thread-6}
logging.feature.device.metadata.scheduler|logging.component.default.service
[{{Correlation-Id,703c11c7-acc3-4a09-9564-d94f265ffd59}}] - INFO CORE Version:
5.4.0, Product Version: 3.4.0
記録するコンポーネントまたは機能に応じていくつかのバリエーションがありますが、すべてのログファイルが、次の基
本情報を含む .txt ファイルとしてとして保存されます。
項目
説明
日付またはタイムスタンプ
<Date>T<Time><difference from UTC> 形式のタイムスタンプ。
Date/Time は特定のイベントの日時を示します。
メモ: 日付とタイムスタンプはローカルサーバー時間です。
レベル
イベントレベルは、ログエントリの種類を示します。一般に、イベントは次の
カテゴリのいずれかに適合します。
•
ERR = エラー
•
WARN = 警告
•
INFO = 情報
ENV = 環境
•
DEBUG = デバッグ
•
その他
281
保守と監視
項目
説明
◦
DIAG = 診断
◦
TRAC = トレース
ログファイルによっては、レベルが、次の形式の数値で示されるものがありま
す。
コンポーネント ID またはホスト名
•
[10000] = エラー
•
[20000] = 警告
•
[30000] = 情報
•
[40000] = デバッグ
•
[50000] = その他
コンポーネント ID またはホスト名は、ログファイルが対応するコンポーネント
を示します。場合によって、CORE または MDS-CS などのようにわかりやすい
ものもあれは、数値の ID を使用したわかりづらいものもあります。
スレッド ID
スレッドはイベントを実行したプロセスを指定します。
継続時間
継続時間は、イベントが継続した長さ（通常は、秒単位）を示します。
メッセージ
メッセージは、アクティビティを示し、イベントの性質を説明します。メッセー
ジには、実行中のハードウェアまたはソフトウェア、または発生している問題
に関する情報が含まれます。
ログファイルレベル
レベル
説明
デバッグ
このレベルは、コードの問題のデバッグに役立つ情報を指定します。イベント
には次を含めることができます。
•
エラー状態が疑われるリソースの状態
•
内部コンポーネントと外部コンポーネント間の移行
•
BES12 Core への REST 要求
•
Microsoft Active Directory への要求
282
保守と監視
レベル
説明
エラー
このレベルは、管理者またはサポートスペシャリストが対処する必要のあるエ
ラー状態を指定します。イベントには次を含めることができます。
情報
•
エンコーディングの例外
•
データレベルの例外
•
回復可能なコードの例外
このレベルは、管理者またはサポートスペシャリストが確認したい場合がある
通常のシステムイベントを指定します。
このレベルは、BES12 のデフォルトのログレベルです。
トレース
このレベルは、クラスとメソッドのトレース、メソッドパラメーターなどに使
用される情報を含め、開発者の知識として役立つ情報を指定します。
警告
このレベルは、警告状態、必要となる場合がある操作、発生した可能性のある
予期しないイベントを示します。イベントには次を含めることができます。
•
矛盾するデータ
•
予期しない要求
•
許可エラー
•
認証エラー
トラブルシューティングでのログファイルの使用
コンポーネント
ログを記録するコンポーネント
ID
説明
ACCS
Apache Tomcat サーバーアクセ
Apache Tomcat ACCS ログファイルは、BES12 Web サービスへのアク
スログファイル
セス要求をすべて記録します。
BES12 Web サービスへのアクセス要求が成功したか、失敗したかを
確認する場合に、これらのログファイルを使用できます。
AFMGR
BlackBerry Affinity Manager
BlackBerry Affinity Manager には、機能に関する情報と、組織の環境
内に複数の BlackBerry Affinity Manager がある場合のフェールオー
バーの状態が含まれます。
また、次に関連する問題をトラブルシューティングすることもでき
ます。
283
保守と監視
コンポーネント
ログを記録するコンポーネント
ID
説明
•
BES12 と BlackBerry Infrastructure 間の接続
•
BES12 と BlackBerry 10 デバイス間の接続
•
アクティブな BlackBerry Affinity Manager を変更した結果
生じたヘルス問題
BGS
BlackBerry Gatekeeping Service
次に関する問題をトラブルシューティングする場合に、これらのロ
グファイルを使用できます。
•
BlackBerry Gatekeeping Service を使用中の環境でアクティ
ブ化できないデバイス
•
BlackBerry Gatekeeping Service への接続
•
BES12 と BlackBerry Infrastructure 間の接続
•
BlackBerry 10 アクティベーション、およびポリシーとプロ
ファイルの送信
•
BSCP
BlackBerry Secure Connect Plus
iOS、Android、および Windows Phone 接続
BlackBerry Secure Connect Plus コンポーネントに関するログデー
タ。
これらのログファイルを使用して、BlackBerry Secure Connect Plus
が BlackBerry Infrastructure に接続されていることを確認できます。
例：
2015-01-19T13:17:47.540-0500 - BSCP
{TcpClientConnectorNio#2}
logging.feature.bscp.service|
logging.component.bscp.pss.bcp [{}] - DEBUG
Received Ping from [id: 0x60bce5a3, /
10.90.84.22:28231 => stratos.bcp.bblabs.rim.net/
206.53.155.152:3101], responding with Pong.
2015-01-19T13:18:22.989-0500 - BSCP
{ChannelPinger#1} logging.feature.bscp.service|
logging.component.bscp.pss.bcp [{}] - DEBUG
Sending Ping to [id: 0xb4a1677a, /
10.90.84.22:28232 => stratos.bcp.bblabs.rim.net/
206.53.155.152:3101]
CORE
BES12 Core
次に関する問題をトラブルシューティングする場合に、これらのロ
グファイルを使用できます。
•
コアサービスまたはトランザクション
•
BES10 からのデータ移行
284
保守と監視
コンポーネント
ログを記録するコンポーネント
ID
DISP
EVNT
BlackBerry Dispatcher
BES12 Core
説明
次に関する問題をトラブルシューティングする場合に、これらのロ
グファイルを使用できます。
•
BES12 と BlackBerry Infrastructure 間の接続
•
BES12 と BlackBerry 10 デバイス間の接続
BES12 Core 内の特定のイベントに関する通知を見つけるために、こ
れらのログファイルを使用できます。
MDAT
BSCP-TS
BlackBerry MDS Connection
Service
BlackBerry Secure Connect Plus
コア
次に関する問題をトラブルシューティングする場合に、これらのロ
グファイルを使用できます。
•
BlackBerry 10 デバイスアプリ
•
アプリプッシュ問題
•
アプリプッシュ認証問題
BlackBerry Secure Connect Plus クライアントとの接続に関するログ
データ。
これらのログファイルを使用して、BlackBerry Secure Connect Plus
がデバイス上の BlackBerry Secure Connect Plus クライアントから
コールを受信する準備ができていることを確認できます。例：
47: [14:13:21.231312][][3][AsioTurnSocket-1]
Connected,
host=68-171-243-141.rdns.blackberry.net
48: [14:13:21.239312][][3][AsioTurnSocket-1]
Creating TURN allocation
49: [14:13:21.405121][][3][AsioTurnSocket-1]
TURN allocation created
デバイスがセキュリティ保護されたトンネルを使用していることを
確認するために使用します。例：
74: [10:39:45.746926][][3][Tunnel-2FFEC51E]
Sent: 2130.6 KB (1733), Received: 201.9 KB
(1370), Running: 00:07:00.139249
ROUT
BlackBerry Router
次に関する問題をトラブルシューティングする場合に、これらのロ
グファイルを使用できます。
•
BlackBerry Router のインストール
285
保守と監視
コンポーネント
ログを記録するコンポーネント
ID
説明
•
BES12 と BlackBerry Router 間の接続
•
BES12 と BlackBerry Infrastructure 間の接続
•
BlackBerry Router と BlackBerry Infrastructure 間の接続
•
デバイスと BES12 間の接続
メモ: BlackBerry Router ログファイルは、組織の環境内に BlackBerry
Router がインストールされている場合のみ利用可能です。
TMCT
Apache Tomcat サーバーログ
Apache Tomcat TMCT ログファイルは、Apache Tomcat Web サービス
ファイル
のすべてのアクティビティを記録します。
管理コンソールに関する問題をトラブルシューティングする場合
に、これらのログファイルを使用できます。
UI
管理コンソール
BlackBerry Work Connect
これらのログ
ファイルはプリ Notification Service
フィックスとし
てコンポーネン
ト ID を保持し
管理コンソールに関する問題をトラブルシューティングする場合
に、これらのログファイルを使用できます。
新規または変更されたアイテムの通知を受信していない iOS デバイ
スに関する問題をトラブルシューティングする場合に、これらのロ
グファイルを使用できます。
ていません
BlackBerry 10 および BlackBerry OS デバイス
のアプリアクティビティの監査
デバイスログを使用して、アクティベーションの種類が「［仕事用領域専用］」と「［仕事用および個人用 - 規制］」の
BlackBerry 10 デバイス、および BlackBerry OS（バージョン 5.0～7.1）デバイスのアプリアクティビティを監査できます。
次の IT ポリシールールを設定して、これらのログファイルを生成する必要があります。
BlackBerry 10 の IT ポリシー BlackBerry OS デバイスの IT
ルール
ポリシールール
BBM ログを同期する
BlackBerry Messenger ワイヤこのルールは、デバイスが BlackBerry Messenger からのロ
レス同期を無効にする
グを BES12 と同期するかどうかを指定します。
286
保守と監視
BlackBerry 10 の IT ポリシー BlackBerry OS デバイスの IT
ルール
ポリシールール
通話記録を同期する
通話履歴のワイヤレス同期
を無効にする
このルールは、デバイスが電話アプリの通話ログを BES12
と同期するかどうかを指定します。
PIN と PIN のログを同期す
PIN メッセージのワイヤレスこのルールは、デバイスが PIN メッセージのログを BES12
る
同期を無効にする
と同期するかどうかを指定します。
SMS/MMS のログを同期する SMS メッセージのワイヤレ
このルールは、デバイスが SMS テキストメッセージと MMS
メッセージのログを BES12 と同期するかどうかを指定しま
ス同期を無効にする
す。
ビデオチャットログを同期
する
BlackBerry OS デバイスには
このルールは、BlackBerry 10 デバイスが BBM Video 機能の
適用されません
ログを BES12 と同期するかどうかを指定します。
デフォルトでは、BlackBerry 10 デバイスのアプリ監査ログファイルは C:\Program Files\BlackBerry\BES\Logs\<yyyymmdd>
に保存され、BlackBerry OS デバイスのアプリ監査ログファイルは C:\Program Files (x86)\Research in Motion\BlackBerry
Enterprise Server\Logs\<yyyymmdd> に保存されます。
デバイスでの操作の表示
デバイスのロック、仕事用領域の無効化、デバイスデータの削除などの BES12 管理コンソールから送信したコマンドの結
果として実行された、または実行中の操作を表示できます。
これらのコマンドを使用できるかどうかは、デバイスとアクティベーションの種類によって異なります。
デバイスコマンドのステータスは次のいずれかになります。
•
キャンセルされたコマンド
•
デバイスが完了したコマンド
•
デバイスに配信されたコマンド
•
デバイスに確認されたコマンド配信
•
失敗したコマンド
•
進行中のコマンド
•
デバイスに確認された通知
•
デバイスに送信された通知
•
キューに追加済み
287
保守と監視
デバイスでの操作を表示
1. ［ユーザーとデバイス］ページで、ユーザーアカウントを検索しクリックします。
2.
操作を表示するデバイスのタブをクリックします。
3. ［デバイスでの操作を表示］をクリックします。
デバイスからのログファイルの取得
次の方法を使用して、BlackBerry 10、Android、および Windows Phone デバイスからログファイルを取得できます。
方法
説明
BlackBerry 10 デバイスからのログファ BlackBerry 10 デバイスからログファイルを取得し、トラブルシューティングに
イルの取得
役立てることができます。デバイスのログファイルのスナップショットは、デ
バイスのコマンドを使用して取得するたびに収集されます。ユーザーには、デ
バイスのアクティベーション中に管理者がシステムログファイルを収集できる
ことが通知されます。また、ユーザーには、デバイスの設定によっては、管理
者がコマンドを使用してログファイルを取得する場合に再び通知されることが
あります。
BlackBerry 10 デバイスログファイルのデバイスがログファイルを生成して送信できるかどうかを指定する［BlackBerry
BlackBerry Technical Support Services
にログを送信する］ IT ポリシールールを使用して、BlackBerry 10 デバイスのロ
への送信
グを BlackBerry Technical Support Services に送信することができます。
BES12 Client からのログファイルの送
Android または Windows Phone デバイスのユーザーは、BES12 Client の［ヘル
信
プ］メニューを使用して管理者にデバイスのログファイルをメールで送信でき
ます。
BlackBerry 10 デバイスからのログファイルの取得
BlackBerry 10 デバイスからログファイルを取得するには、次の要件を満たしている必要があります。
•
•
BlackBerry 10 デバイスは、BlackBerry 10 OS バージョン 10.3.1 以降を実行している必要があります。
「仕事用および個人用 - 会社」アクティベーションの種類でアクティブ化された BlackBerry 10 デバイスでは、管
理者がログファイルを取得できるようにデバイスユーザーがリモートログ収集を有効にしている必要がありま
す。リモートログ収集が無効な場合、BES12 管理コンソールで［デバイスログを取得］ボタンを選択できませ
ん。
［仕事用および個人用 - 規制］または［仕事用領域専用］アクティベーションの種類でアクティブ化されたデバイ
スでは、リモートログ収集はデフォルトで有効になっています。
288
保守と監視
デフォルトでは、ジュニアヘルプデスクロールでは、ログファイルを取得できません。
1. ［ユーザーとデバイス］タブで、ログファイルの取得対象のユーザーを選択します。
2.
ログファイルの取得対象のデバイスを選択します。
3. ［デバイスログを取得］をクリックします。
終了したら:
デバイスログファイルを取得します。デフォルトでは、ログファイルは C:\Program Files\BlackBerry\BES\Logs\device_logs
に保存されます。
BlackBerry 10 デバイスログファイルの BlackBerry Technical
Support Services への送信
BlackBerry 10 デバイスがログファイルを BlackBerry Technical Support Services へ送信できるように設定できます。
［BlackBerry にログを送信する］ IT ポリシールールを使用して、デバイスがログファイルを生成して送信できるかどうか
を指定できます。
ユーザーは、BlackBerry Technical Support Services から発行されたチケットを保持しており、デバイスログファイルの送
信時にチケット番号を提示する必要があります。ユーザーが有効なサポートチケット番号、正しいメールアドレス、また
はサポートチケットに関連付けられた PIN 番号を入力しない場合には、デバイスログファイルの送信を試みるとエラーが
表示されます。
BES12 Client からのログファイルの送信
1.
デバイスで、BES12 アイコンをタップします。
2. ［ヘルプ］をタップします。
3. ［詳細］をタップします。
4. ［バグレポート］をタップします。
5.
ログファイルの送信先となるデバイスのメールアカウントを選択します。
6. ［送信］をタップします。
•
Android ログファイルは、.zip ファイルとしてメールに添付されます。
•
Windows Phone デバイスのログファイルはメールの本文に入れられます。
289
保守と監視
BES12 での監査操作
28
BES12 は、問題を調査するために使用できる操作のログファイルを保持します。たとえば、BES12 は、［ユーザーとデバ
イス］メニュー、
［ポリシーとプロファイル］メニュー、
［グループ］メニュー、
［アプリ］メニューで実行されたアクショ
ン、および［設定］メニューで設定に対して行われた変更をログファイルに記録します。操作の詳細は UI に表示され、
監査目的で使用できます。操作のリストをフィルターして、調査に関連するアクションのみを表示できます。
さらに分析し、レポートする目的で、フィルターされたログを .csv ファイルにエクスポートできます。
監査の設定
BES12 では、監査を有効または無効に切り替えることができます。監査が有効な場合は、レコードを保持する期間、表示
する結果数、および古いレコードを削除するタイミングを選択できます。監査が無効な場合は、すべてのレコードが削除
されます。
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、
［インフラストラクチャ］を展開します。
3. ［監査設定］をクリックします。
4.
右ペインで、
をクリックします。
5. ［監査］ドロップダウンリストで、次のいずれかを実行します。
タスク
手順
監査を有効にする
1. ［有効］をクリックします。
2. ［監査レコードの保持］フィールドで、レコードを保持する最大日数を入力します。
3. ［最大レコード数］フィールドで、UI に表示する最大レコード数を入力します。レコー
ド数がこの値を超える場合は、管理者が日付範囲を短くするか、またはカテゴリを選
択して、レコード数を減らす必要があります。
4. ［日次削除時刻（UTC）］フィールドで、古いレコードを削除する時刻を選択します。
監査を無効にし、すべ 1. ［無効］をクリックします。
てのレコードを消去
する
6. ［保存］をクリックします。
終了したら:
•
BES12 インスタンスをホストする各コンピューターで、BES12 Core サービスを再起動します。
290
保守と監視
•
管理コンソールにもう一度ログインします。
監査ログの表示とフィルター
1.
メニューバーで［監査］をクリックします。
2.
左ペインで、［編集］をクリックします。
3.
カテゴリと日付の範囲を選択します。［送信］をクリックします。
4. ［フィルター］の下で、カテゴリをクリックして展開します。
5.
適用するフィルターを選択して、［送信］をクリックします。
6.
オプションで、右ペイン内の列見出しの［+］をクリックします。表示する列を選択します。
7.
必要に応じて、次のいずれかを実行します。
• フィルターを削除するには、削除するフィルターの横のをクリックします。
•
すべてのフィルターを削除するには、［すべて削除］をクリックします。
終了したら: 必要に応じて、監査ログを .csv ファイルにエクスポートします。
監査ログの .csv ファイルへのエクスポート
監査ログを .csv ファイルにエクスポートすると、.csv ファイルにはフィルターしたデータが含まれます。
1.
メニューバーで［監査］をクリックします。
2.
必要に応じて、左ペインで、監査ログをフィルターし、.csv ファイルに含めるデータのみを表示します。
3.
をクリックして、ファイルを保存します。
古い監査レコードの削除
次回の日次削除時刻の前に古い監査レコードを削除することができます。
1.
メニューバーで［設定］をクリックします。
2.
左ペインで、
［インフラストラクチャ］を展開します。
3. ［監査設定］をクリックします。
4. ［今すぐ削除］をクリックします。
5. ［削除］をクリックします。
291
保守と監視
SNMP を使用した BES12 の監視
29
サードパーティ SNMP ツールを使用して、BES12 のアクティビティを監視できます。
BES12 Core、 BlackBerry Secure Connect Plus、およびその他の BES12 コンポーネントを監視するように SNMP を設定す
る方法の詳細については、設定関連の資料を参照してください。
エンタープライズ接続用の SNMP カウンター
以下の表では、BES12 コンポーネントのパフォーマンスとアクティビティを監視する主要な SNMP カウンターに関して情
報を提供します。
BlackBerry Router
グループ
テーブル
カウンター
routerProcess
routerProcInfoTable
routerProcInfoTablePID
.1.3.6.1.4.1.3530.8.7.35.5
.1.3.6.1.4.1.3530.8.7.35.5.2
.1.3.6.1.4.1.3530.8.7.35.5.2.1.1
PID の変更を監視します。
整数
数値で表したプロセス ID。
routerStatistics
routerBaseStatsTable
routerBaseStatsTableSocksConnections
.1.3.6.1.4.1.3530.8.7.35.20
.1.3.6.1.4.1.3530.8.7.35.20.5
.1.3.6.1.4.1.3530.8.7.35.20.5.1.6
現在 BlackBerry Router で提供されてい
る SOCKS 接続数。
routerEvents
routerEventsServiceStartEvent
.1.3.6.1.4.1.3530.8.7.35.30
.1.3.6.1.4.1.3530.8.7.35.30.2
トラップ
コンポーネントのサービスが開始され
たことを示します。
routerEventsServiceStopEvent
.1.3.6.1.4.1.3530.8.7.35.30.3
トラップ
コンポーネントのサービスが停止され
たことを示します。
292
保守と監視
グループ
テーブル
カウンター
routerSOCKSTrafficStats
routerRouterSOCKSTrafficStatsTable
.1.3.6.1.4.1.3530.8.7.35.45
.1.3.6.1.4.1.3530.8.7.35.45.5
routerRouterSOCKSTrafficStatsTableByt
esReceived
.1.3.6.1.4.1.3530.8.7.35.45.5.1.4
Counter64
SOCKS 接続経由で受信した合計バイト
数。
routerRouterSOCKSTrafficStatsTableByt
esSent
.1.3.6.1.4.1.3530.8.7.35.45.5.1.6
Counter64
SOCKS 接続経由で送信した合計バイト
数。
routerRouterSOCKSTrafficStatsTableRec
eiveTransactions
.1.3.6.1.4.1.3530.8.7.35.45.5.1.8
Counter64
SOCKS 接続経由での受信操作の合計
数。
routerRouterSOCKSTrafficStatsTableSen
dTransactions
.1.3.6.1.4.1.3530.8.7.35.45.5.1.10
Counter64
SOCKS 接続経由での送信操作の合計
数。
routerSOCKSConn
.1.3.6.1.4.1.3530.8.7.35.130
routerSOCKSConnSOCKSConnConfigTa
ble
routerSOCKSConnSOCKSConnConfigTa
bleDownstreamSocksHost
.1.3.6.1.4.1.3530.8.7.35.130.10
.1.3.6.1.4.1.3530.8.7.35.130.10.1.2
オクテット文字列
ダウンストリームエンドポイントのホ
スト名。
293
保守と監視
グループ
テーブル
カウンター
routerSOCKSConnSOCKSConnConfigTa
bleUpstreamSocksHost
.1.3.6.1.4.1.3530.8.7.35.130.10.1.4
オクテット文字列
アップストリームエンドポイントのホ
スト名。
routerSOCKSConnSOCKSConnConfigTa
bleUpstreamSocksPort
.1.3.6.1.4.1.3530.8.7.35.130.10.1.6
整数
アップストリームエンドポイントの
ポート。
routerSOCKSConnSOCKSConnStateTabl routerSOCKSConnSOCKSConnStateTabl
e
eConnected
.1.3.6.1.4.1.3530.8.7.35.130.15
.1.3.6.1.4.1.3530.8.7.35.130.15.1.2
整数
接続が確立されたかどうかを示しま
す。
routerSOCKSConnSOCKSConnStateTabl
eLastConDate
.1.3.6.1.4.1.3530.8.7.35.130.15.1.4
整数
接続が正常に確立された最後の日時。
routerSOCKSConnSOCKSConnEvents
.1.3.6.1.4.1.3530.8.7.35.130.140
routerSOCKSConnSOCKSConnEventsCo
nnectEvent
.1.3.6.1.4.1.3530.8.7.35.130.140.2
トラップ
接続が確立されたことを示します。
routerSOCKSConnSOCKSConnEventsDis
connectEvent
.1.3.6.1.4.1.3530.8.7.35.130.140.3
294
保守と監視
グループ
テーブル
カウンター
トラップ
接続を失ったことを示します。
BlackBerry Affinity Manager
グループ
テーブル
カウンター
affinitymgrProcess
affinitymgrProcInfoTable
次の場所で PID の変更を監視します。
.1.3.6.1.4.1.3530.8.7.145.5
.1.3.6.1.4.1.3530.8.7.145.5.2
affinitymgrProcInfoTablePID
.1.3.6.1.4.1.3530.8.7.145.5.2.1.1
整数
数値で表したプロセス ID。
affinitymgrConfig
.1.3.6.1.4.1.3530.8.7.145.10
affinitymgrFailoverAssignmentConfigTab affinitymgrFailoverAssignmentConfigTab
le
leMinimumDifference
.1.3.6.1.4.1.3530.8.7.145.10.25
.1.3.6.1.4.1.3530.8.7.145.10.25.1.4
負荷分散設定を監視します。
整数
負荷分散装置が介入するまで BES12 イ
ンスタンス間で許容する最小ユーザー
デバイス数の差異。
affinitymgrFailoverAssignmentConfigTab
leMaximumBatchSize
.1.3.6.1.4.1.3530.8.7.145.10.25.1.6
整数
1 つの割り当てでのユーザーデバイス
の最大数。
affinitymgrFailoverAssignmentConfigTab
leMaximumPerServer
.1.3.6.1.4.1.3530.8.7.145.10.25.1.8
整数
BES12 インスタンスに割り当て可能な
ユーザーデバイスの最大数。
295
保守と監視
グループ
テーブル
カウンター
affinitymgrRcpConfigTable
affinitymgrRcpConfigTableNumProcThre
ads
.1.3.6.1.4.1.3530.8.7.145.10.30
.1.3.6.1.4.1.3530.8.7.145.10.30.1.2
整数
RCP 接続を処理するスレッド数。
affinitymgrRCPTrafficStats
affinitymgrRCPStatsTable
affinitymgrRCPStatsTableBytesReceived
.1.3.6.1.4.1.3530.8.7.145.15
.1.3.6.1.4.1.3530.8.7.145.15.5
.1.3.6.1.4.1.3530.8.7.145.15.5.1.4
Counter64
RCP 接続経由で受信した合計バイト
数。
affinitymgrRCPStatsTableBytesSent
.1.3.6.1.4.1.3530.8.7.145.15.5.1.6
Counter64
RCP 接続経由で送信した合計バイト
数。
affinitymgrRCPStatsTableReceiveTransa
ctions
.1.3.6.1.4.1.3530.8.7.145.15.5.1.8
Counter64
RCP 接続経由での受信操作の合計数。
affinitymgrRCPStatsTableSendTransacti
ons
.1.3.6.1.4.1.3530.8.7.145.15.5.1.10
Counter64
RCP 接続経由での送信操作の合計数。
affinitymgrRCPStatsTableExternalRcpCo
nnections
.1.3.6.1.4.1.3530.8.7.145.15.5.1.12
整数
296
保守と監視
グループ
テーブル
カウンター
外部 RCP 接続の合計数。
affinitymgrRCPStatsTableInternalSrvCon
nections
.1.3.6.1.4.1.3530.8.7.145.15.5.1.14
整数
内部サーバー接続の合計数。
affinitymgrHA
affinitymgrHAStatsTable
affinitymgrHAStatsTableHAMode
.1.3.6.1.4.1.3530.8.7.145.20
.1.3.6.1.4.1.3530.8.7.145.20.20
.1.3.6.1.4.1.3530.8.7.145.20.20.1.2
整数
コンポーネントの高可用性モードがプ
ライマリとスタンバイのどちらである
かを示します。 1 はプライマリです。
affinitymgrEvents
affinitymgrEventsServiceStartEvent
.1.3.6.1.4.1.3530.8.7.145.30
.1.3.6.1.4.1.3530.8.7.145.30.2
トラップ
affinitymgrEventsServiceStopEvent
.1.3.6.1.4.1.3530.8.7.145.30.3
トラップ
affinitymgrDatabaseConn
.1.3.6.1.4.1.3530.8.7.145.90
affinitymgrDatabaseConnBaseConfigTab affinitymgrDatabaseConnBaseConfigTab
le
leLastModTime
.1.3.6.1.4.1.3530.8.7.145.90.5
.1.3.6.1.4.1.3530.8.7.145.90.5.1.1
整数
値セットが変更された最後の日時。
affinitymgrDatabaseConnBaseConfigTab
leEndB
.1.3.6.1.4.1.3530.8.7.145.90.5.1.6
オクテット文字列
接続エンドポイント名。
297
保守と監視
グループ
テーブル
カウンター
affinitymgrDatabaseConnConnectionStat affinitymgrDatabaseConnConnectionStat
sTable
sTableConnected
.1.3.6.1.4.1.3530.8.7.145.90.15
.1.3.6.1.4.1.3530.8.7.145.90.15.1.2
整数
接続が確立されたかどうかを示しま
す。
affinitymgrDatabaseConnConnectionStat
sTableLastConDate
.1.3.6.1.4.1.3530.8.7.145.90.15.1.4
整数
BES12 データベースとの接続が正常に
確立された最後の日時。
affinitymgrDatabaseConnConnectionStat
sTableLastErrRsn
.1.3.6.1.4.1.3530.8.7.145.90.15.1.6
オクテット文字列
最後の接続エラーの理由。
affinitymgrDatabaseConnConnectionStat
sTableLastErrCode
.1.3.6.1.4.1.3530.8.7.145.90.15.1.8
整数
BES12 データベース接続で発生した最
後のエラーのエラーコード。詳細につ
いては、ログファイルを確認してくだ
さい。
affinitymgrDatabaseConnConnectionStat
sTableLastErrorTime
.1.3.6.1.4.1.3530.8.7.145.90.15.1.10
整数
接続に失敗した最後の日時。
298
保守と監視
グループ
テーブル
カウンター
affinitymgrDatabaseConnConnectionStat
sTableNumTrans
.1.3.6.1.4.1.3530.8.7.145.90.15.1.12
整数
BES12 データベースに送信された SQL
トランザクション数。
affinitymgrDatabaseConnConnectionStat
sTableAvgRspTime
.1.3.6.1.4.1.3530.8.7.145.90.15.1.14
整数
接続の平均応答時間。
affinitymgrDatabaseConnConnectionStat
sTableErrs
.1.3.6.1.4.1.3530.8.7.145.90.15.1.16
整数
データベース接続で発生したエラー
数。
affinitymgrDatabaseConnEvents
.1.3.6.1.4.1.3530.8.7.145.90.20
affinitymgrDatabaseConnEventsConnect
Event
.1.3.6.1.4.1.3530.8.7.145.90.20.2
トラップ
affinitymgrDatabaseConnEventsDisconn
ectEvent
.1.3.6.1.4.1.3530.8.7.145.90.20.3
トラップ
affinitymgrExternalRcpConn
.1.3.6.1.4.1.3530.8.7.145.100
affinitymgrExternalRcpConnRCPConnSt
atsTable
affinitymgrExternalRcpConnRCPConnSt
atsTableConnected
.1.3.6.1.4.1.3530.8.7.145.100.15
.1.3.6.1.4.1.3530.8.7.145.100.15.1.2
299
保守と監視
グループ
テーブル
カウンター
整数
BES12 データベースへの接続が確立さ
れたかどうかを示します。
affinitymgrExternalRcpConnRCPConnSt
atsTableLastConDate
.1.3.6.1.4.1.3530.8.7.145.100.15.1.4
整数
接続が正常に確立された最後の日時。
affinitymgrExternalRcpConnRCPConnSt
atsTableLastErrCode
.1.3.6.1.4.1.3530.8.7.145.100.15.1.6
整数
最後の接続エラーのエラーコード。詳
細については、ログファイルを確認し
てください。 BlackBerry Infrastructure
への接続に失敗した場合、0 以外の数値
になります。正常に接続すると、カウ
ンターがクリアされて 0 に設定されま
す。
affinitymgrExternalRcpConnRCPConnEv
ents
.1.3.6.1.4.1.3530.8.7.145.100.20
接続を確立したら、この接続を維持す
る必要があります。多くの切断、再接
続イベントを監視して、接続が不安定
になっている理由を調べます。
affinitymgrExternalRcpConnRCPConnEv
entsConnectEvent
.1.3.6.1.4.1.3530.8.7.145.100.20.2
トラップ
affinitymgrExternalRcpConnRCPConnEv
entsDisconnectEvent
300
保守と監視
グループ
テーブル
カウンター
.1.3.6.1.4.1.3530.8.7.145.100.20.3
トラップ
affinitymgrExternalRcpConnRCPConnPr
oxyTable
affinitymgrExternalRcpConnRCPConnPr
oxyTableHost
.1.3.6.1.4.1.3530.8.7.145.100.30
.1.3.6.1.4.1.3530.8.7.145.100.30.1.2
オクテット文字列
アクティブなプロキシコンテンツサー
バー。
affinitymgrServers
affinitymgrServersServerStateTable
.1.3.6.1.4.1.3530.8.7.145.120
.1.3.6.1.4.1.3530.8.7.145.120.30
affinitymgrServersServerStateTableNum
Users
.1.3.6.1.4.1.3530.8.7.145.120.30.1.6
サーバー ID でインデックスが作成され
る各サーバーに割り当てられるユー
ザー数。
整数
BlackBerry MDS Connection Service
グループ
テーブル
カウンター
mdscsProcess
mdscsProcInfoTable
mdscsProcInfoTablePID
.1.3.6.1.4.1.3530.8.7.40.5
.1.3.6.1.4.1.3530.8.7.40.5.2
.1.3.6.1.4.1.3530.8.7.40.5.2.1.1
整数
数値で表したプロセス ID。
mdscsStatistics
mdscsStatsTable
mdscsStatsTableProcQLen
.1.3.6.1.4.1.3530.8.7.40.20
.1.3.6.1.4.1.3530.8.7.40.20.5
.1.3.6.1.4.1.3530.8.7.40.20.5.1.4
Counter64
処理中キューで保留になっているトラ
ンザクション数。
mdscsEvents
mdscsEventsServiceStartEvent
.1.3.6.1.4.1.3530.8.7.40.30
.1.3.6.1.4.1.3530.8.7.40.30.2
トラップ
301
保守と監視
グループ
テーブル
カウンター
mdscsEventsServiceStopEvent
.1.3.6.1.4.1.3530.8.7.40.30.3
トラップ
mdscsMDSStats
mdscsMDSSummaryTable
.1.3.6.1.4.1.3530.8.7.40.40
.1.3.6.1.4.1.3530.8.7.40.40.15
mdscsMDSSummaryTableRefusedPacke
ts
.1.3.6.1.4.1.3530.8.7.40.40.15.1.6
Counter64
BlackBerry Dispatcher が破棄したパ
ケット数。
mdscsMDSSummaryTableInvalidPackets
.1.3.6.1.4.1.3530.8.7.40.40.15.1.8
Counter64
BlackBerry Dispatcher に送信された無
効パケット数。
mdscsMDSSummaryTableExpiredPacket
s
.1.3.6.1.4.1.3530.8.7.40.40.15.1.9
Counter64
期限切れの IPPP パケット数。
mdscsMDSSummaryTableTimedoutCon
nections
.1.3.6.1.4.1.3530.8.7.40.40.15.1.14
Counter64
デフォルトのタイムアウトで配信でき
なかったプッシュ接続数。このカウン
ターは、指定された配信タイムアウト
がないプッシュメッセージに限定して
報告されます。
mdscsMDSSummaryTableRefusedConn
ections
.1.3.6.1.4.1.3530.8.7.40.40.15.1.15
302
保守と監視
グループ
テーブル
カウンター
Counter64
破棄された IPPP 接続数。
mdscsMDSSummaryTableSrpsuccess
.1.3.6.1.4.1.3530.8.7.40.40.15.1.16
Counter64
BlackBerry Dispatcher への正常な SRP
接続数。
mdscsMDSSummaryTableSrpfailure
.1.3.6.1.4.1.3530.8.7.40.40.15.1.18
Counter64
BlackBerry Dispatcher への失敗した
SRP 接続数。
mdscsMDSAdvancedStats
mdscsRatesTable
.1.3.6.1.4.1.3530.8.7.40.70
.1.3.6.1.4.1.3530.8.7.40.70.5
mdscsRatesTableSocketConnectionFaile
dCount
.1.3.6.1.4.1.3530.8.7.40.70.5.1.34
counter64
確立できなかった送信 TCP ソケット接
続数。
mdscsRatesTableMaxSocketConnection
s
.1.3.6.1.4.1.3530.8.7.40.70.5.1.36
Counter64
以前のレポート間隔で確立した/アク
ティブになった送信 TCP ソケット接続
数。
mdscsRatesTableSocketConnectionSucc
essCount
.1.3.6.1.4.1.3530.8.7.40.70.5.1.38
Counter64
303
保守と監視
グループ
テーブル
カウンター
以前のレポート間隔で正常に確立され
た送信 TCP ソケット接続数。
mdscsRatesTableSocketDisconnectionC
ount
.1.3.6.1.4.1.3530.8.7.40.70.5.1.40
Counter64
以前のレポート間隔で正常に切断され
た送信 TCP ソケット接続数。
mdscsRatesTableMessageSentCount
.1.3.6.1.4.1.3530.8.7.40.70.5.1.42
Counter64
送信 TCP ソケット接続で外部サーバー
に送信されたデータパケット数。
mdscsRatesTableMessageReceivedCoun
t
.1.3.6.1.4.1.3530.8.7.40.70.5.1.44
Counter64
送信 TCP ソケット接続で外部サーバー
から受信されたデータパケット数。
mdscsMDSCSExtended
mdscsExtendedRatesTable
mdscsExtendedRatesTableNumActive
.1.3.6.1.4.1.3530.8.7.40.80
.1.3.6.1.4.1.3530.8.7.40.80.5
.1.3.6.1.4.1.3530.8.7.40.80.5.1.2
Counter64
アクティブな IPPP/TCP 接続数。
mdscsExtendedRatesTableBytesIn
.1.3.6.1.4.1.3530.8.7.40.80.5.1.4
Counter64
TCP 接続経由で受信した合計バイト数
（KB）。
mdscsExtendedRatesTableBytesOut
304
保守と監視
グループ
テーブル
カウンター
.1.3.6.1.4.1.3530.8.7.40.80.5.1.6
Counter64
TCP 接続経由で送信した合計バイト数
（KB）。
mdscsExtendedRatesTableConnectionEr
rors
.1.3.6.1.4.1.3530.8.7.40.80.5.1.8
Counter64
ソケット接続エラー数。
mdscsDatabaseConn
mdscsDatabaseConnBaseConfigTable
.1.3.6.1.4.1.3530.8.7.40.90
.1.3.6.1.4.1.3530.8.7.40.90.5
mdscsDatabaseConnBaseConfigTableE
ndB
.1.3.6.1.4.1.3530.8.7.40.90.5.1.6
オクテット文字列
接続エンドポイント名。 BES12 データ
ベースの名前。
mdscsDatabaseConnConfigTable
.1.3.6.1.4.1.3530.8.7.40.90.10
mdscsDatabaseConnConfigTableConnP
arams
.1.3.6.1.4.1.3530.8.7.40.90.10.1.2
オクテット文字列
BES12 データベースへの接続に使用す
るパラメータ。
mdscsDatabaseConnConnectionStatsTa
ble
mdscsDatabaseConnConnectionStatsTa
bleConnected
.1.3.6.1.4.1.3530.8.7.40.90.15
.1.3.6.1.4.1.3530.8.7.40.90.15.1.2
整数
接続が確立されたかどうかを示しま
す。
mdscsDatabaseConnEvents
.1.3.6.1.4.1.3530.8.7.40.90.20
305
保守と監視
グループ
テーブル
カウンター
mdscsDatabaseConnEventsConnectEve
nt
.1.3.6.1.4.1.3530.8.7.40.90.20.2
トラップ
mdscsDatabaseConnEventsDisconnectE
vent
.1.3.6.1.4.1.3530.8.7.40.90.20.3
トラップ
mdscsDispatcherConn
.1.3.6.1.4.1.3530.8.7.40.110
mdscsDispatcherConnConnectionStatsT mdscsDispatcherConnConnectionStatsT
able
ableConnected
.1.3.6.1.4.1.3530.8.7.40.110.10
.1.3.6.1.4.1.3530.8.7.40.110.10.1.2
整数
接続が確立されたかどうかを示しま
す。
mdscsDispatcherConnConnectionStatsT
ableLastConDate
.1.3.6.1.4.1.3530.8.7.40.110.10.1.4
整数
接続が正常に確立された最後の日時。
mdscsDispatcherConnEvents
.1.3.6.1.4.1.3530.8.7.40.110.15
mdscsDispatcherConnEventsConnectEv
ent
.1.3.6.1.4.1.3530.8.7.40.110.15.2
トラップ
mdscsDispatcherConnEventsDisconnect
Event
.1.3.6.1.4.1.3530.8.7.40.110.15.3
トラップ
306
保守と監視
BlackBerry Dispatcher
グループ
テーブル
カウンター
dispatcherProcess
dispatcherProcInfoTable
dispatcherProcInfoTablePID
.1.3.6.1.4.1.3530.8.7.15.5
.1.3.6.1.4.1.3530.8.7.15.5.2
.1.3.6.1.4.1.3530.8.7.15.5.2.1.1
整数
数値で表したプロセス ID。
dispatcherStatistics
dispatcherDispatcherStatsTable
.1.3.6.1.4.1.3530.8.7.15.20
.1.3.6.1.4.1.3530.8.7.15.20.5
dispatcherDispatcherStatsTableProcQLe
n
.1.3.6.1.4.1.3530.8.7.15.20.5.1.4
整数
処理中キューで保留になっているトラ
ンザクション数。
dispatcherDispatcherStatsTableNumUse
rs
.1.3.6.1.4.1.3530.8.7.15.20.5.1.6
整数
サービスに割り当てられるユーザー
数。
dispatcherDispatcherStatsTableBIPPWor
kQueueSize
.1.3.6.1.4.1.3530.8.7.15.20.5.1.8
整数
BlackBerry プロセス間プロトコルエン
ジンキューに格納された作業要求パ
ケット数。
dispatcherTrafficStats
dispatcherTotalTrafficStatsToTable
dispatcherTotalTrafficStatsToTableMTH
.1.3.6.1.4.1.3530.8.7.15.30
.1.3.6.1.4.1.3530.8.7.15.30.33
.1.3.6.1.4.1.3530.8.7.15.30.33.1.2
整数
すべてのデバイスに送信されたメッ
セージの合計数。
307
保守と監視
グループ
テーブル
カウンター
dispatcherTotalTrafficStatsFromTable
dispatcherTotalTrafficStatsFromTableM
FH
.1.3.6.1.4.1.3530.8.7.15.30.34
.1.3.6.1.4.1.3530.8.7.15.30.34.1.2
整数
すべてのデバイスから送信されたメッ
セージの合計数。
dispatcherEvents
dispatcherEventsServiceStartEvent
.1.3.6.1.4.1.3530.8.7.15.40
.1.3.6.1.4.1.3530.8.7.15.40.2
トラップ
dispatcherEventsServiceStopEvent
.1.3.6.1.4.1.3530.8.7.15.40.3
トラップ
dispatcherDatabaseConn
.1.3.6.1.4.1.3530.8.7.15.90
dispatcherDatabaseConnBaseConfigTab dispatcherDatabaseConnBaseConfigTab
le
leEndB
.1.3.6.1.4.1.3530.8.7.15.90.5
.1.3.6.1.4.1.3530.8.7.15.90.5.1.6
オクテット文字列
接続エンドポイント名。
dispatcherDatabaseConnConfigTable
.1.3.6.1.4.1.3530.8.7.15.90.10
dispatcherDatabaseConnConfigTableCo
nnParams
.1.3.6.1.4.1.3530.8.7.15.90.10.1.2
オクテット文字列
BES12 データベースへの接続に使用す
るパラメータ。
dispatcherDatabaseConnConnectionSta dispatcherDatabaseConnConnectionSta
tsTable
tsTableConnected
.1.3.6.1.4.1.3530.8.7.15.90.15
.1.3.6.1.4.1.3530.8.7.15.90.15.1.2
整数
接続が確立されたかどうかを示しま
す。
308
保守と監視
グループ
テーブル
カウンター
dispatcherDatabaseConnConnectionSta
tsTableLastConDate
.1.3.6.1.4.1.3530.8.7.15.90.15.1.4
整数
接続が正常に確立された最後の日時。
dispatcherDatabaseConnConnectionSta
tsTableLastErrCode
.1.3.6.1.4.1.3530.8.7.15.90.15.1.8
整数
最後の接続エラーのエラーコード。詳
細については、ログファイルを確認し
てください。
dispatcherDatabaseConnConnectionSta
tsTableLastErrRsn
.1.3.6.1.4.1.3530.8.7.15.90.15.1.6
オクテット文字列
最後の接続エラーの理由。
dispatcherDatabaseConnConnectionSta
tsTableLastErrorTime
.1.3.6.1.4.1.3530.8.7.15.90.15.1.10
整数
接続に失敗した最後の日時。
dispatcherDatabaseConnConnectionSta
tsTableNumTrans
.1.3.6.1.4.1.3530.8.7.15.90.15.1.12
整数
BlackBerry Configuration Database に送
信されたトランザクション数。
dispatcherDatabaseConnConnectionSta
tsTableAvgRspTime
.1.3.6.1.4.1.3530.8.7.15.90.15.1.14
309
保守と監視
グループ
テーブル
カウンター
整数
接続の平均応答時間。
dispatcherDatabaseConnConnectionSta
tsTableErrs
.1.3.6.1.4.1.3530.8.7.15.90.15.1.16
整数
データベース接続で発生したエラー
数。
dispatcherDatabaseConnEvents
.1.3.6.1.4.1.3530.8.7.15.90.20
dispatcherDatabaseConnEventsConnect
Event
.1.3.6.1.4.1.3530.8.7.15.90.20.2
トラップ
dispatcherDatabaseConnEventsDisconn
ectEvent
.1.3.6.1.4.1.3530.8.7.15.90.20.3
トラップ
dispatcherInternalSrvConn
.1.3.6.1.4.1.3530.8.7.15.110
dispatcherInternalSrvConnRCPConnStat dispatcherInternalSrvConnRCPConnStat
sTable
sTableConnected
.1.3.6.1.4.1.3530.8.7.15.110.15
.1.3.6.1.4.1.3530.8.7.15.110.15.1.2
整数
接続が確立されたかどうかを示しま
す。
dispatcherInternalSrvConnRCPConnStat
sTableTransQLen
.1.3.6.1.4.1.3530.8.7.15.110.15.1.14
整数
転送キューの長さ（送信待ちのトラン
ザクション数）。
310
保守と監視
グループ
テーブル
カウンター
dispatcherInternalSrvConnRCPConnStat
sTableBytesReceived
.1.3.6.1.4.1.3530.8.7.15.110.15.1.16
Counter64
RCP 接続経由での受信バイト数。
dispatcherInternalSrvConnRCPConnStat
sTableBytesSent
.1.3.6.1.4.1.3530.8.7.15.110.15.1.18
Counter64
RCP 接続経由での送信バイト数。
dispatcherInternalSrvConnRCPConnStat
sTableReceiveTransactions
.1.3.6.1.4.1.3530.8.7.15.110.15.1.20
Counter64
RCP 接続経由での受信操作数。
dispatcherInternalSrvConnRCPConnStat
sTableSendTransactions
.1.3.6.1.4.1.3530.8.7.15.110.15.1.22
Counter64
RCP 接続経由での送信操作数。
dispatcherInternalSrvConnRCPConnEve
nts
.1.3.6.1.4.1.3530.8.7.15.110.20
dispatcherInternalSrvConnRCPConnEve
ntsConnectEvent
.1.3.6.1.4.1.3530.8.7.15.110.20.2
トラップ
dispatcherInternalSrvConnRCPConnEve
ntsDisconnectEvent
.1.3.6.1.4.1.3530.8.7.15.110.20.3
311
保守と監視
グループ
テーブル
カウンター
トラップ
dispatcherRcpConn
dispatcherRcpConnRCPConnStatsTable
.1.3.6.1.4.1.3530.8.7.15.120
.1.3.6.1.4.1.3530.8.7.15.120.15
dispatcherRcpConnRCPConnStatsTable
LastModTime
.1.3.6.1.4.1.3530.8.7.15.120.15.1.1
整数
値セットが変更された最後の日時。
dispatcherRcpConnRCPConnStatsTable
Connected
.1.3.6.1.4.1.3530.8.7.15.120.15.1.2
整数
接続が確立されたかどうかを示しま
す。
dispatcherRcpConnRCPConnStatsTable
LastConDate
.1.3.6.1.4.1.3530.8.7.15.120.15.1.4
整数
接続が正常に確立された最後の日時。
dispatcherRcpConnRCPConnStatsTable
LastErrCode
.1.3.6.1.4.1.3530.8.7.15.120.15.1.6
整数
最後の接続エラーのエラーコード。詳
細については、ログファイルを確認し
てください。
dispatcherRcpConnRCPConnStatsTableT
ransQLen
.1.3.6.1.4.1.3530.8.7.15.120.15.1.14
整数
転送キューの長さ（送信待ちのトラン
ザクション数）
。
312
保守と監視
グループ
テーブル
カウンター
dispatcherRcpConnRCPConnStatsTable
BytesReceived
.1.3.6.1.4.1.3530.8.7.15.120.15.1.16
Counter64
RCP 接続経由での受信バイト数。
dispatcherRcpConnRCPConnStatsTable
BytesSent
.1.3.6.1.4.1.3530.8.7.15.120.15.1.18
Counter64
RCP 接続経由での送信バイト数。
dispatcherRcpConnRCPConnStatsTable
ReceiveTransactions
.1.3.6.1.4.1.3530.8.7.15.120.15.1.20
Counter64
RCP 接続経由での受信操作数。
dispatcherRcpConnRCPConnStatsTable
SendTransactions
.1.3.6.1.4.1.3530.8.7.15.120.15.1.22
Counter64
RCP 接続経由での送信操作数。
dispatcherRcpConnRCPConnEvents
.1.3.6.1.4.1.3530.8.7.15.120.20
dispatcherRcpConnRCPConnEventsCon
nectEvent
.1.3.6.1.4.1.3530.8.7.15.120.20.2
トラップ
dispatcherRcpConnRCPConnEventsDisc
onnectEvent
.1.3.6.1.4.1.3530.8.7.15.120.20.3
313
保守と監視
グループ
テーブル
カウンター
トラップ
BES12 Core 用の SNMP カウンター
以下の表では、BES12 Core のパフォーマンスとアクティビティを監視する主要な SNMP カウンターに関して情報を提供し
ます。
監視
グループ
テーブル
カウンター
monitors
reconciliationmonitor
.1.3.6.1.4.1.3530.8.1.1.2
.1.3.6.1.4.1.3530.8.1.1.2.1
reconciliationmonitorReconciliationRequ
estCount
.1.3.6.1.4.1.3530.8.1.1.2.1.1
Unsigned32
更新リクエストの累積数。
reconciliationmonitorReconciliationCurr
entTime
.1.3.6.1.4.1.3530.8.1.1.2.1.4
Gauge32
最後の更新プロセスにかかった時間。
reconciliationmonitorReconciliationTotal
Time
.1.3.6.1.4.1.3530.8.1.1.2.1.5
Unsigned32
すべての更新プロセスにかかった時
間。
coretobcpconnectionmonitor
.1.3.6.1.4.1.3530.8.1.1.2.100
coretobcpconnectionmonitorConnection
Count
.1.3.6.1.4.1.3530.8.1.1.2.100.1
Unsigned32
BES12 Core と BlackBerry Infrastructure
の間の接続数。
314
保守と監視
グループ
テーブル
カウンター
coretobcpconnectionmonitorConnection
FailureCount
.1.3.6.1.4.1.3530.8.1.1.2.100.2
Unsigned32
BES12 Core と BlackBerry Infrastructure
の間で失敗した接続数。
coretobcpconnectionmonitorTotalProces
singTime
.1.3.6.1.4.1.3530.8.1.1.2.100.3
Gauge32
coretobcpconnectionmonitorBytesFrom
Bcp
.1.3.6.1.4.1.3530.8.1.1.2.100.4
Gauge32
BlackBerry Infrastructure から受信した
合計バイト数。
coretobcpconnectionmonitorBytesToBcp
.1.3.6.1.4.1.3530.8.1.1.2.100.5
Gauge32
BlackBerry Infrastructure に送信した合
計バイト数。
ワークフロー
グループ
テーブル
カウンター
wffqueues
androidnotificationqueue
androidnotificationqueueAddOperations
.1.3.6.1.4.1.3530.8.1.1.3
.1.3.6.1.4.1.3530.8.1.1.3.1
.1.3.6.1.4.1.3530.8.1.1.3.1.1
Unsigned32
キューへの追加数。
androidnotificationqueueSize
.1.3.6.1.4.1.3530.8.1.1.3.1.2
315
保守と監視
グループ
テーブル
カウンター
Unsigned32
キューの現在のサイズ。
androidnotificationqueueTakeOperation
s
.1.3.6.1.4.1.3530.8.1.1.3.1.3
Unsigned32
キューからの取得数。
applenotificationqueue
applenotificationqueueAddOperations
.1.3.6.1.4.1.3530.8.1.1.3.2
.1.3.6.1.4.1.3530.8.1.1.3.2.1
Unsigned32
キューへの追加数。
applenotificationqueueSize
.1.3.6.1.4.1.3530.8.1.1.3.2.2
Unsigned32
キューの現在のサイズ。
applenotificationqueueTakeOperations
.1.3.6.1.4.1.3530.8.1.1.3.2.3
Unsigned32
キューからの取得数。
bbnotificationqueue
bbnotificationqueueAddOperations
.1.3.6.1.4.1.3530.8.1.1.3.4
.1.3.6.1.4.1.3530.8.1.1.3.4.1
Unsigned32
キューへの追加数。
bbnotificationqueueSize
.1.3.6.1.4.1.3530.8.1.1.3.4.2
Unsigned32
キューの現在のサイズ。
bbnotificationqueueTakeOperations
316
保守と監視
グループ
テーブル
カウンター
.1.3.6.1.4.1.3530.8.1.1.3.4.3
Unsigned32
キューからの取得数。
devicerestqueue
devicerestqueueAddOperations
.1.3.6.1.4.1.3530.8.1.1.3.7
.1.3.6.1.4.1.3530.8.1.1.3.7.1
Unsigned32
キューへの追加数。
devicerestqueueSize
.1.3.6.1.4.1.3530.8.1.1.3.7.2
Unsigned32
キューの現在のサイズ。
devicerestqueueTakeOperations
.1.3.6.1.4.1.3530.8.1.1.3.7.3
Unsigned32
キューからの取得数。
downloadrestqueue
downloadrestqueueAddOperations
.1.3.6.1.4.1.3530.8.1.1.3.9
.1.3.6.1.4.1.3530.8.1.1.3.9.1
Unsigned32
キューへの追加数。
downloadrestqueueSize
.1.3.6.1.4.1.3530.8.1.1.3.9.2
Unsigned32
キューの現在のサイズ。
downloadrestqueueTakeOperations
.1.3.6.1.4.1.3530.8.1.1.3.9.3
Unsigned32
キューからの取得数。
317
保守と監視
BlackBerry Secure Connect Plus 用の SNMP カ
ウンター
以下の表では、BlackBerry Secure Connect Plus のパフォーマンスとアクティビティを監視する主要な SNMP カウンターに
関して情報を提供します。
監視
グループ
監視ポイント
カウンター
monitors
Ptsservicemonitor
ptsservicemonitorptsTunnelCount
.1.3.6.1.4.1.3530.8.2.1.2
.1.3.6.1.4.1.3530.8.2.1.2.1
.1.3.6.1.4.1.3530.8.2.1.2.1.1
BlackBerry Secure Connect Plus サービ GAUGE32
スの監視ポイント
起動以降の全デバイストンネルの合計
数。
ptsservicemonitorcountOfCurrentPtsTun
nels
.1.3.6.1.4.1.3530.8.2.1.2.1.2
GAUGE32
現在のデバイストンネルの数。
ptsservicemonitorptsBytesSentTotal
.1.3.6.1.4.1.3530.8.2.1.2.1.7
GAUGE32
クライアントに送信された合計 BSCP
バイト数。
ptsservicemonitorptsBytesReceivedTotal
.1.3.6.1.4.1.3530.8.2.1.2.1.8
GAUGE32
クライアントから受信した合計 BSCP
パケット数。
ptsservicemonitorptsBytesDroppedTotal
.1.3.6.1.4.1.3530.8.2.1.2.1.9
GAUGE32
318
保守と監視
グループ
監視ポイント
カウンター
破棄された合計 BSCP バイト数。
ptsservicemonitoractiveTurnAllocations
.1.3.6.1.4.1.3530.8.2.1.2.1.10
GAUGE32
BlackBerry Infrastructure に対して現在
アクティブな接続数。
coretobcpconnectionmonitorBytesFrom
Bcp
.1.3.6.1.4.1.3530.8.1.1.2.100.4
Gauge32
BlackBerry Infrastructure から受信した
合計バイト数。
ptsservicemonitorptsPacketsDroppedTot
al
.1.3.6.1.4.1.3530.8.2.1.2.1.11
GAUGE32
破棄された合計 BSCP パケット数。
319
メール、SCEP、Wi-Fi、および VPN プロファイルを設定する場合、プロファイル設定の詳細な説明を
参照してください。
Multiplatform
プロファイル設定
プロファイル設定
メールプロファイル設定
30
実際の値を指定するのではなく、値を参照するためにテキストフィールドになっているプロファイル設定では、変数を使
用できます。 BES12 は、事前定義されたデフォルトの変数と定義されたカスタム変数をサポートしています。メールプ
ロファイルは、以下のデバイスタイプでサポートされています。
•
BlackBerry 10
•
iOS
•
Android
•
Windows Phone
ときには、設定をサポートするためのデバイス OS の必要最小バージョンが、BES12 によってサポートされていないバー
ジョンである場合があります。サポートされているバージョンの詳細については、インストールおよびアップグレード関
連の資料で『互換性一覧表』を参照してください。
共通：メールプロファイル設定
共通：メールプロファイル設
説明
定
ドメイン名
この設定では、メールサーバーのドメイン名を指定します。
メールアドレス
この設定では、ユーザーのメールアドレスを指定します。プロファイルが複数のユーザー
に対応している場合は、%UserEmailAddress% 変数を使用できます。
ホスト名または IP アドレス
この設定では、メールサーバーのホスト名または IP アドレスを指定します。
ユーザー名
この設定では、ユーザーのユーザー名を指定します。プロファイルが複数のユーザーに対
応している場合は、%UserName% 変数を使用できます。
自動ゲートキーピングサー
バー
この設定では、デバイスで自動ゲートキーピングを使用できる Microsoft Exchange サー
バーを指定します。ユーザーのメールアカウントが指定されたサーバーに存在する場合
は、BlackBerry 10、iOS、Windows Phone デバイスまたはアクティベーションの種類が［仕
事用および個人用 - フルコントロール］または［仕事用および個人用 - ユーザープライバ
シー］の Android デバイスをユーザーがアクティブ化したときに、デバイスが組織のセキュ
リティポリシーを満たしていれば、そのデバイスは自動的に Microsoft Exchange 内の許可
リストに追加されます。これらのデバイスは、割り当てられていないアプリがインストー
ルされた場合、デバイスが割り当てられたコンプライアンスプロファイル設定に違反した
場合、またはデバイスが無効化された場合に、自動的に許可リストから削除されます。
322
プロファイル設定
共通：メールプロファイル設
説明
定
既存のユーザーアカウントの場合は、この機能を実装するために、ゲートキーピングが設
定されたメールプロファイルをユーザーアカウントまたはグループに手動で再割り当て
する必要があります。
ゲートキーピングを設定する場合は、BlackBerry 10 および Windows Phone デバイスの［プ
ロファイルの種類］設定を［Exchange ActiveSync］に設定する必要があります。
BlackBerry 10：メールプロファイル設定
BlackBerry 10：メールプロ
ファイル設定
アカウント名
説明
この設定では、BlackBerry Hub およびデバイス設定に表示される仕事用メールアカウント
名を指定します。 %UserEmailAddress%などの変数を使用できます。
ポート
この設定では、メールサーバーに接続するために使用されるポートを指定します。
配信の設定
プロファイルの種類
この設定では、このプロファイルで Exchange ActiveSync または IBM Notes Traveler をサ
ポートするかどうかを指定します。
使用できる値：
•
Exchange ActiveSync
•
IBM Notes Traveler
デフォルト値は［Exchange ActiveSync］です。
SyncML サーバー
この設定では、BlackBerry 10 デバイスが To Do データを同期するために使用できる IBM
Notes Traveler サーバーの FQDN を指定します。
この設定は、［プロファイルの種類］が［IBM Notes Traveler］に設定されている場合のみ
有効です。
SyncML ポート
この設定では、BlackBerry 10 デバイスが To Do データを同期するために使用できる Notes
Traveler サーバーのポートを指定します。
この設定は、［プロファイルの種類］が［IBM Notes Traveler］に設定されている場合のみ
有効です。
323
プロファイル設定
BlackBerry 10：メールプロ
ファイル設定
説明
SyncML 用に SSL を使用するこの設定では、BlackBerry 10 デバイスが Notes Traveler サーバーへの SSL 接続を確立する
必要があるかどうかを指定します。
この設定は、［プロファイルの種類］が［IBM Notes Traveler］に設定されている場合のみ
有効です。
プッシュ有効化
この設定では、メールサーバーがメールを BlackBerry 10 デバイスにプッシュできるかど
うかを指定します。
同期間隔
この設定では、BlackBerry 10 デバイスがメールサーバーで新しいメールを確認する頻度を
指定します。
この設定は、［プッシュ有効化］設定が選択されていない場合のみ有効です。
使用できる値：
•
手動
•
5分
•
15 分
•
30 分
•
1 時間
•
2 時間
•
4 時間
•
24 時間
デフォルト値は［15 分］です。
同期日数
この設定では、過去何日まで遡って、メールとオーガナイザーデータを BlackBerry 10 デ
バイスに同期するかを指定します。
使用できる値：
•
1日
•
3日
•
7日
•
14 日
•
1 ヶ月
•
無期限
324
プロファイル設定
BlackBerry 10：メールプロ
ファイル設定
説明
デフォルト値は［1 ヶ月］です。
この設定では、ローミング時に、BlackBerry 10 デバイスとメールサーバーの同期をユー
ローミング時に手動同期が
必要
ザーが開始する必要があるかどうかを指定します。
SSL を使用
この設定では、デバイスがメールサーバーに接続するために SSL を使用する必要があるか
どうかを指定します。
カレンダーの同期
この設定では、BlackBerry 10 デバイスがカレンダーエントリとメールサーバーを同期する
かどうかを指定します。
連絡先の同期
この設定では、BlackBerry 10 デバイスが連絡先とメールサーバーを同期するかどうかを指
定します。
メールの同期
この設定では、BlackBerry 10 デバイスがメールとメールサーバーを同期するかどうかを指
定します。
メモの同期
この設定では、BlackBerry 10 デバイスがメモデータとメールサーバーを同期するかどうか
を指定します。
この設定は、［プロファイルの種類］が［Exchange ActiveSync］に設定されている場合の
み有効です。
タスクの同期
この設定では、BlackBerry 10 デバイスがタスクデータとメールサーバーを同期するかどう
かを指定します。
この設定は、［プロファイルの種類］が［Exchange ActiveSync］に設定されている場合の
み有効です。
ToDo の同期
この設定では、BlackBerry 10 デバイスが Notes Traveler を使用して To Do データを同期す
るかどうかを指定します。
この設定は、［プロファイルの種類］が［IBM Notes Traveler］に設定されている場合のみ
有効です。
セキュリティ保護されたメールの設定
送信メッセージに対してデ
フォルトエンコーディング
の候補を表示する
この設定では、BlackBerry 10 デバイスがすべての送信メールに対してデフォルトエンコー
ディングの候補を表示するかどうかを指定します（たとえば、プレーンテキスト、署名、
暗号化、または署名と暗号化）。これが［許可］に設定されている場合は、デバイスがデ
フォルトエンコーディングの候補を表示するか、またはメッセージ履歴に基づいたエン
コーディングを候補として表示するかどうかをユーザーが選択できます。これを［必須］
に設定すると、デバイスはデフォルトエンコーディングの候補を表示します。これを［許
325
プロファイル設定
BlackBerry 10：メールプロ
ファイル設定
説明
可しない］に設定すると、デバイスはメッセージ履歴に基づいたエンコーディングを候補
として表示します。
使用できる値：
•
許可
•
必須
•
許可しない
デフォルト値は［許可］です。
最小要件は、BlackBerry 10 OS バージョン 10.3.1 です。
S/MIME 設定
S/MIME のサポート
この設定では、S/MIME を BlackBerry 10 デバイスで有効にするかどうかを指定します。こ
れが［許可］に設定されている場合、デバイスの S/MIME 保護を有効にするかどうかをユー
ザーが選択できます。これが［必須］に設定されている場合、デバイスの S/MIME 保護は
有効になり、ユーザーはそれを無効にできません。これが［許可しない］に設定されてい
る場合、デバイスの S/MIME 保護は無効になり、ユーザーはそれを有効にできません。
暗号化されたメールを送信するには、デバイスまたはスマートカードに受信者の公開鍵が
存在している必要があります。デジタル署名されたメールを送信するには、デバイスまた
はスマートカードにユーザーの秘密鍵が存在している必要があります。
この設定は、
［デジタル署名済み S/MIME メッセージ］および［暗号化された S/MIME メッ
セージ］の設定より優先されます。
この設定は、［PGP サポート］の設定に影響します。これが［必須］に設定されている場
合は、［PGP サポート］を［許可しない］に設定する必要があります。
使用できる値：
•
許可
•
必須
•
許可しない
デフォルト値は［許可］です。
デジタル署名付き S/MIME
この設定では、BlackBerry 10 デバイスが送信メールをデジタル署名付きで送信するかどう
メッセージ
かを指定します。これが［許可］に設定されている場合、送信メールにデジタル署名する
かどうかは、ユーザーが選択できます。これが［必須］に設定されている場合、ユーザー
は送信メールにデジタル署名する必要があります。これが［許可しない］に設定されてい
る場合、ユーザーは送信メールにデジタル署名できません。
326
プロファイル設定
BlackBerry 10：メールプロ
ファイル設定
説明
デジタル署名されたメールを送信するには、デバイスまたはスマートカードにユーザーの
秘密鍵が存在している必要があります。
この設定は、
［S/MIME サポート］が［許可］または［必須］に設定されている場合のみ有
効です。
［S/MIME サポート］が［必須］に設定されており、この設定と［暗号化された S/MIME メッ
セージ］の両方が［許可しない］に設定されている場合、
［暗号化された S/MIME メッセー
ジ］とこの設定の値は無視され、どちらもデフォルト設定の［許可］が使用されます。
使用できる値：
•
許可
•
必須
•
許可しない
デフォルト値は［許可］です。
暗号化された S/MIME メッ
この設定では、BlackBerry 10 デバイスが送信メールを S/MIME 暗号化を使用して暗号化す
セージ
るかどうかを指定します。これが［許可］に設定されている場合、送信メールを暗号化す
るかどうかは、ユーザーが選択できます。これが［必須］に設定されている場合、ユー
ザーは送信メールを暗号化する必要があります。これが［許可しない］に設定されている
場合、ユーザーは送信メールを暗号化できません。
暗号化されたメールを送信するには、デバイスまたはスマートカードに受信者の公開鍵が
存在している必要があります。
この設定は、
［S/MIME サポート］が［許可］または［必須］に設定されている場合のみ有
効です。
［S/MIME サポート］が［必須］に設定されており、この設定と［デジタル署名済み S/MIME
メッセージ］の両方が［許可しない］に設定されている場合、
［デジタル署名済み S/MIME
メッセージ］とこの設定の値は無視され、どちらもデフォルト設定の［許可］が使用され
ます。
使用できる値：
•
許可
•
必須
•
許可しない
デフォルト値は［許可］です。
327
プロファイル設定
BlackBerry 10：メールプロ
ファイル設定
暗号化アルゴリズム
説明
この設定では、BlackBerry 10 デバイスで S/MIME で保護されたメールの暗号化に使用でき
る暗号化アルゴリズムを指定します。
使用できる値：
•
AES（256 ビット）
•
AES（192 ビット）
•
AES（128 ビット）
•
Triple DES
•
RC2
デフォルト値は NULL 値です。
PGP 設定
PGP サポート
この設定では、PGP 保護を BlackBerry 10 デバイスで有効にするかどうかを指定します。
これが［許可］に設定されている場合、デバイスの PGP 保護を有効にするかどうかをユー
ザーが選択できます。これが［必須］に設定されている場合、デバイスの PGP 保護は有
効になり、ユーザーはそれを無効にできません。これが［許可しない］に設定されている
場合、デバイスの PGP 保護は無効になり、ユーザーはそれを有効にできません。
暗号化されたメールを送信するには、デバイスに受信者の公開鍵が存在している必要があ
ります。デジタル署名されたメールを送信するには、デバイスユーザーの秘密鍵が存在し
ている必要があります。
［S/MIME サポート］の値がこの設定に影響します。［S/MIME サポート］が［必須］に設
定されているか、または［S/MIME サポート］が［許可］に設定されており、
［デジタル署
名済み S/MIME メッセージ］または［暗号化された S/MIME メッセージ］が［必須］に設
定されている場合、この設定は［許可しない］にする必要があります。
使用できる値：
•
許可
•
必須
•
許可しない
デフォルト値は［許可］です。
最小要件は、BlackBerry 10 OS バージョン 10.3.1 です。
328
プロファイル設定
BlackBerry 10：メールプロ
説明
ファイル設定
Symantec Encryption
この設定では、BlackBerry 10 デバイスユーザーがこのサーバーにデバイスを登録して PGP
Management Server アドレスメッセージを送信するために必要となる、組織の Symantec Encryption Management Server
の FQDN または IP アドレスを指定します。
［PGP サポート］の値がこの設定に影響します。［PGP サポート］が［許可］または［必
須］に設定されている場合に、デバイスはこの設定を使用できます。
最小要件は、BlackBerry 10 OS バージョン 10.3.1 です。
Symantec Encryption
この設定では、BlackBerry 10 デバイスユーザーがデバイスを組織の Symantec Encryption
Management Server 登録方法 Management Server に登録するために使用する必要のある方法を指定します。これが
［メール認証］に設定されている場合、デバイスはユーザーにメールアドレスの入力を要
求します。これが［Microsoft Active Directory 認証］に設定されている場合、デバイスは
ユーザーにドメインユーザー名とパスワードの入力を要求します。
［PGP サポート］の値がこの設定に影響します。［PGP サポート］が［許可］または［必
須］に設定されている場合に、デバイスはこの設定を使用できます。
使用できる値：
•
メール認証
•
Microsoft Active Directory 認証
デフォルト値は［メール認証］です。
最小要件は、BlackBerry 10 OS バージョン 10.3.1 です。
関連付けられたプロファイル
認証の種類
この設定では、BlackBerry 10 デバイスがメールサーバーに接続するために使用する認証タ
イプを指定します。
使用できる値：
•
なし
•
SCEP
•
ユーザー資格情報
デフォルト値は［なし］です。
関連付けられた SCEP プロ
この設定では、BlackBerry 10 デバイスがメールサーバー認証に使用するクライアント証明
ファイル
書を登録するために使用する関連付けられた SCEP プロファイルを指定します。
この設定は、［認証の種類］が［SCEP］に設定されている場合のみ有効です。
329
プロファイル設定
BlackBerry 10：メールプロ
ファイル設定
関連付けられたユーザー資
格情報プロファイル
説明
この設定では、BlackBerry 10 デバイスがメールサーバー認証に使用するクライアント証明
書を取得するために使用する、関連付けられたユーザー資格情報プロファイルを指定しま
す。
この設定は、
［認証の種類］が［ユーザー資格情報］に設定されている場合のみ有効です。
最小要件は、BlackBerry 10 OS バージョン 10.3.1 です。
メッセージの分類
メッセージ分類ファイル
(.json)
この設定では、ユーザーのデバイスに送信するメッセージの分類を指定します。
最小要件は、BlackBerry 10 OS バージョン 10.3.1 です。
関連情報
メッセージ分類を使用したセキュリティ保護されたメールの強制, （91 ページ）
S/MIME プロファイルとデバイス設定の依存関係
次の表は、管理者が BES12 で設定できる S/MIME 設定と、ユーザーが BlackBerry 10 デバイスで設定できる S/MIME 設定と
の依存関係を示しています。これらが何に設定されているかに応じて、デバイスの［エンコーディング］ドロップダウン
リスト内のオプションが変わります。デバイスは、優先度の高い設定（たとえば、
［S/MIME サポート］設定）が一部の設
定の値と競合する場合は、その設定の値を無視します。
［S/MIME サポート］設［デジタル署名済み［暗号化された
S/MIME メッセージ］ S/MIME メッ
定
許可する
設定
セージ］設定
許可する
許可する
デバイスの S/MIME 設定
デバイスの［エンコー
ディング］ドロップダウ
ン
ユーザーは S/MIME 保護の有
•
テキスト
効/無効を切り替えることがで
•
署名（S/MIME）
•
暗号化（S/
きます。
MIME）
許可する
S/MIME 保護は有効です。ユー
必須
ザーが無効にすることはできま
せん。
330
•
署名および暗
号化（S/MIME）
•
暗号化（S/
MIME）
•
署名および暗
号化（S/MIME）
プロファイル設定
［S/MIME サポート］設［デジタル署名済み［暗号化された
S/MIME メッセージ］ S/MIME メッ
定
設定
セージ］設定
許可する
許可しない
デバイスの S/MIME 設定
デバイスの［エンコー
ディング］ドロップダウ
ン
ユーザーは S/MIME 保護の有
•
テキスト
効/無効を切り替えることがで
•
署名（S/MIME）
S/MIME 保護は有効です。ユー
•
署名（S/MIME）
ザーが無効にすることはできま
せん。
•
署名および暗
号化（S/MIME）
きます。
必須
必須
許可する
S/MIME 保護は有効です。ユー署名および暗号化（S/
必須
ザーが無効にすることはできま MIME）
せん。
必須
S/MIME 保護は有効です。ユー署名（S/MIME）
許可しない
ザーが無効にすることはできま
せん。
許可しない
許可する
ユーザーは S/MIME 保護の有
•
テキスト
効/無効を切り替えることがで
•
暗号化（S/
きます。
許可しない
MIME）
S/MIME 保護は有効です。ユー暗号化（S/MIME）
必須
ザーが無効にすることはできま
せん。
許可しない
ユーザーは S/MIME 保護の有
許可しない
テキスト
効/無効を切り替えることがで
きますが、必要なプロファイル
が［許可しない］に設定されて
いるため、メッセージに対して
暗号化または署名できません。
必須
許可する
許可する
S/MIME 保護は有効です。ユー
•
署名（S/MIME）
ザーが無効にすることはできま
せん。
•
暗号化（S/
MIME）
•
331
署名および暗
号化（S/MIME）
プロファイル設定
［S/MIME サポート］設［デジタル署名済み［暗号化された
S/MIME メッセージ］ S/MIME メッ
定
設定
セージ］設定
許可する
必須
デバイスの S/MIME 設定
S/MIME 保護は有効です。ユー
ザーが無効にすることはできま
せん。
許可する
デバイスの［エンコー
ディング］ドロップダウ
ン
•
暗号化（S/
MIME）
•
署名および暗
号化（S/MIME）
S/MIME 保護は有効です。ユー署名（S/MIME）
許可しない
ザーが無効にすることはできま
せん。
必須
必須
許可する
S/MIME 保護は有効です。ユー
•
署名（S/MIME）
ザーが無効にすることはできま
せん。
•
署名および暗
号化（S/MIME）
S/MIME 保護は有効です。ユー署名および暗号化（S/
必須
ザーが無効にすることはできま MIME）
せん。
必須
S/MIME 保護は有効です。ユー署名（S/MIME）
許可しない
ザーが無効にすることはできま
せん。
許可しない
S/MIME 保護は有効です。ユー暗号化（S/MIME）
許可する
ザーが無効にすることはできま
せん。
許可しない
S/MIME 保護は有効です。ユー暗号化（S/MIME）
必須
ザーが無効にすることはできま
せん。
許可しない
許可しない
（この設定は無視さ（この設定は無
れます）
視されます）
S/MIME 保護は有効です。ユー
•
署名（S/MIME）
ザーが無効にすることはできま
せん。
•
暗号化（S/
MIME）
•
332
署名および暗
号化（S/MIME）
プロファイル設定
［S/MIME サポート］設［デジタル署名済み［暗号化された
S/MIME メッセージ］ S/MIME メッ
定
設定
許可しない
デバイスの S/MIME 設定
セージ］設定
すべての設定が無視すべての設定
されます
が無視されま
す
デバイスの［エンコー
ディング］ドロップダウ
ン
S/MIME 保護は無効です。ユーテキスト
ザーが有効にすることはできま
せん。
PGP プロファイルとデバイス設定の依存関係
次の表は、管理者が BES12 で設定できる［PGP サポート］設定と、ユーザーが BlackBerry 10 デバイスで設定できる PGP
設定との依存関係を示しています。［PGP サポート］設定が何に設定されているかに応じて、デバイスの［エンコーディ
ング］ドロップダウンリスト内のオプションが変わります。デバイスは、優先度の高い設定（たとえば、
［S/MIME サポー
ト］設定）がこの設定の値と競合する場合は、この設定の値を無視します。
［PGP サポート］設定
許可
デバイスの PGP 設定
デバイスの［エンコーディング］ドロッ
プダウン
ユーザーは PGP 保護の有効/無効を切
•
テキスト
り替えることができます。
•
署名（PGP）
•
暗号化（PGP）
•
署名および暗号化（PGP）
PGP 保護は有効です。ユーザーが無効 •
にすることはできません。
•
必須
•
署名（PGP）
暗号化（PGP）
署名および暗号化（PGP）
PGP 保護は無効です。ユーザーが有効ドロップダウンなし。プレーンテキス
許可しない
にすることはできません。
トが使用されます。
iOS：メールプロファイル設定
iOS：メールプロファイル設
定
説明
配信の設定
メッセージの移動を許可す
る
この設定では、ユーザーがこのアカウントから iOS デバイスに既存の別のメールアカウン
トにメールを移動できるかどうかを指定します。
333
プロファイル設定
iOS：メールプロファイル設
定
説明
最近のアドレスの同期を許
可する
この設定では、iOS デバイスユーザーが最近使用したアドレスをデバイス間で同期できる
メール内でのみ使用する
この設定では、iOS デバイス上のメールアプリ以外のアプリが、このアカウントを使用し
かどうかを指定します。
てメールを送信できるかどうかを指定します。
S/MIME を有効にする
この設定では、iOS デバイスユーザーが S/MIME で保護されたメールを送信できるかどう
かを指定します。
署名資格情報
この設定では、デバイスがメッセージに署名するために必要な証明書を検索する方法を指
定します。
この設定は、［S/MIME を有効にする］設定が選択されている場合のみ有効です。
使用できる値：
•
共有証明書
•
SCEP
•
ユーザー資格情報
使用するプロファイルの種類の選択後、共有証明書、SCEP、またはユーザー資格情報プロ
ファイルを指定します。
署名共有証明書
この設定では、iOS デバイスがメールに署名するために使用するクライアント証明書の共
有の証明書プロファイルを指定します。
この設定は、［S/MIME を有効にする］設定が選択されている場合のみ有効です。
署名 SCEP
この設定では、デバイスが、S/MIME を使用してメールに署名するために必要な証明書を
取得するために使用できる SCEP プロファイルを指定します。
この設定は、［S/MIME を有効にする］設定が選択されている場合のみ有効です。
署名ユーザー資格情報
この設定では、デバイスが、S/MIME を使用してメールに署名するために必要なクライア
ント証明書を取得するために、ユーザーが使用できる資格情報プロファイルを指定しま
す。
この設定は、［S/MIME を有効にする］設定が選択されている場合のみ有効です。
暗号化資格情報
この設定では、デバイスがメッセージを暗号化するために必要な証明書を検索する方法を
指定します。
使用できる値：
334
プロファイル設定
iOS：メールプロファイル設
定
説明
•
共有証明書
•
SCEP
•
ユーザー資格情報
プロファイルの種類の選択後、使用する共有証明書、SCEP、または資格情報プロファイル
を選択します。
この設定は、［S/MIME を有効にする］設定が選択されている場合のみ有効です。
暗号化共有証明書
この設定では、iOS デバイスがメールを暗号化するために使用するクライアント証明書の
共有の証明書プロファイルを指定します。
デバイスは、S/MIME を使用してメッセージを暗号化するために、受信者に適した証明書
を選択します。
この設定は、［S/MIME を有効にする］設定が選択されている場合のみ有効です。
暗号化 SCEP
この設定では、デバイスが、S/MIME を使用してメールを暗号化するために必要な証明書
を取得するために使用できる SCEP プロファイルを指定します。
この設定は、［S/MIME を有効にする］設定が選択されている場合のみ有効になります。
暗号化ユーザー資格情報
この設定では、デバイスが、S/MIME を使用してメールを暗号化するために必要なクライ
アント証明書を取得するために、デバイスが使用できるユーザー資格情報プロファイルを
指定します。
この設定は、［S/MIME を有効にする］設定が選択されている場合のみ有効になります。
メッセージを暗号化
この設定では、送信する前にすべてのメッセージを暗号化する必要があるか、または、
ユーザーが暗号化するメッセージを選択できるかどうかを指定します。デフォルトでは、
［S/MIME を有効にする］設定を選択した場合は、すべてのメッセージを暗号化する必要が
あります。
デフォルト値は［必須］です。
この設定は、［S/MIME を有効にする］設定が選択されている場合のみ有効になります。
最小要件は、iOS バージョン 8.0 です。
同期日数
この設定では、過去何日まで遡って、メールとオーガナイザーデータを iOS デバイスに同
期するかを指定します。
使用できる値：
•
1日
335
プロファイル設定
iOS：メールプロファイル設
定
説明
•
3日
•
7日
•
14 日
•
1 ヶ月
•
無期限
デフォルト値は［7 日］です。
メモ: この設定は、アクティベーションの種類が MDM コントロールの iOS デバイス上の
デフォルトのメールアプリとオーガナイザーアプリにのみ適用されます。デバイスに［仕
事用および個人用 - ユーザープライバシー］または［仕事用および個人用 - フルコントロー
ル］アクティベーションの種類が割り当てられている場合、この設定は、デフォルトの
メールアプリとオーガナイザーアプリ、または Work Connect アプリの同期設定には影響し
ません。
認証の種類
この設定では、iOS デバイスがメールサーバーに接続するために使用する認証タイプを指
定します。
使用できる値：
•
なし
•
共有証明書
•
SCEP
•
ユーザー資格情報
デフォルト値は［なし］です。
共有証明書プロファイル
この設定では、iOS デバイスがメールサーバーに接続するために使用するクライアント証
明書の共有の証明書プロファイルを指定します。
この設定は、［認証の種類］が［共有証明書］に設定されている場合のみ有効です。
関連付けられた SCEP プロ
この設定では、iOS デバイスがメールサーバー認証に使用するクライアント証明書を登録
ファイル
するために使用する関連付けられた SCEP プロファイルを指定します。
この設定は、［認証の種類］が［SCEP］に設定されている場合のみ有効です。
関連付けられたユーザー資
格情報プロファイル
この設定では、iOS デバイスがメールサーバー認証に使用するクライアント証明書を登録
するために使用する、関連付けられた資格情報プロファイルを指定します。
この設定は、
［認証の種類］が［ユーザー資格情報］に設定されている場合のみ有効です。
336
プロファイル設定
iOS：メールプロファイル設
定
資格情報と証明書を使用す
る
説明
この設定では、デバイスがメールサーバーで認証するために、関連付けられた SCEP プロ
ファイルを使用して取得した、資格情報とクライアント証明書を使用するかどうかを指定
します。
この設定は、［認証の種類］が［SCEP］に設定されている場合のみ有効です。
SSL を使用
この設定では、デバイスがメールサーバーに接続するために SSL を使用する必要があるか
どうかを指定します。
すべての SSL 証明書を受け
この設定では、Secure Work Space を備えたデバイスが、メールサーバーからの信頼され
入れる
ない SSL 証明書を受け入れるかどうかを指定します。
この設定は、［SSL を使用］設定が選択されている場合のみ有効です。
外部メールドメイン
外部メールドメイン許可リ
スト
この設定では、ユーザーが仕事用メールまたはカレンダーエントリを送信できるドメイン
のリストを指定します。たとえば、許可されたドメインに含まれるメールアドレスを持つ
受信者をユーザーがメールまたはカレンダーエントリに追加した場合、警告メッセージは
表示されません。この設定は、仕事用領域のみに適用されます。
複数のドメイン名をリストする場合は、ドメイン名をカンマ(,)、セミコロン(;)、またはス
ペースで区切ります。
外部メールドメイン制限付
きリスト
この設定では、ユーザーが仕事用メールまたはカレンダーエントリを送信できないドメイ
ンのリストを指定します。たとえば、制限されたドメインに含まれるメールアドレスを持
つ受信者をユーザーがメールまたはカレンダーの会議出席依頼に追加しようとした場合、
Work Connect アプリはユーザーがこのタスクを完了することを禁止します。この設定は、
仕事用領域のみに適用されます。
複数のドメイン名をリストする場合は、ドメイン名をカンマ(,)、セミコロン(;)、またはス
ペースで区切ります。
Android：メールプロファイル設定
Android：メールプロファイ
ル設定
説明
配信の設定
同期日数
この設定では、過去何日まで遡って、メールとオーガナイザーデータを Android デバイス
に同期するかを指定します。
337
プロファイル設定
Android：メールプロファイ
ル設定
説明
使用できる値：
•
無制限
•
1日
•
3日
•
7日
•
14 日
•
1 ヶ月
デフォルト値は［1 ヶ月］です。
KNOX MDM を使用する Android デバイスは、この値を［無制限］に設定した場合、1 か月
のみが同期されます。
メモ: この設定は、アクティベーションの種類が MDM コントロールの Android デバイス上
のデフォルトのメールアプリとオーガナイザーアプリにのみ適用されます。デバイスに
［仕事用および個人用 - ユーザープライバシー］または［仕事用および個人用 - フルコント
ロール］アクティベーションの種類が割り当てられている場合、この設定は、デフォルト
のメールアプリとオーガナイザーアプリ、または仕事用領域マネージャーアプリの同期
設定には影響しません。
認証の種類
この設定では、Android デバイスがメールサーバーに接続するために使用する認証タイプ
を指定します。
使用できる値：
•
なし
•
共有証明書
•
SCEP
•
ユーザー資格情報
デフォルト値は［なし］です。
関連付けられた SCEP プロ
この設定では、Android デバイスがメールサーバー認証に使用するクライアント証明書を
ファイル
取得するための関連付けられた SCEP プロファイルを指定します。
この設定は、［認証の種類］が［SCEP］に設定されている場合のみ有効です。
資格情報と証明書を使用す
る
この設定では、デバイスがメールサーバーで認証するために、関連付けられた SCEP プロ
ファイルを使用して取得した、資格情報とクライアント証明書を使用するかどうかを指定
します。
338
プロファイル設定
Android：メールプロファイ
ル設定
説明
この設定は、［認証の種類］が［SCEP］に設定されている場合のみ有効です。
共有証明書プロファイル
この設定では、Android デバイスがメールサーバーに接続するために使用するクライアン
ト証明書の共有の証明書プロファイルを指定します。
この設定は、［認証の種類］が［共有証明書］に設定されている場合のみ有効です。
関連付けられたユーザー資
格情報プロファイル
この設定では、Android デバイスがメールサーバーに接続するために使用するクライアン
ト証明書のユーザー資格情報プロファイルを指定します。
この設定は、
［認証の種類］が［ユーザー資格情報］に設定されている場合のみ有効です。
SSL を使用
この設定では、デバイスがメールサーバーに接続するために SSL を使用する必要があるか
どうかを指定します。
すべての SSL 証明書を受け
この設定では、Secure Work Space を備えたデバイスが、メールサーバーからの信頼され
入れる
ない SSL 証明書を受け入れるかどうかを指定します。
この設定は、［SSL を使用］設定が選択されている場合のみ有効です。
S/MIME を有効にする
この設定では、Secure Work Space が搭載された Android デバイスから S/MIME で保護され
たメールを送信できるかどうかを指定します。
メールのスマートカード認
証を要求する
この設定では、Samsung KNOX デバイスがメールサーバーの認証を行うために、スマート
カードが必須であるかどうかを指定します。
外部メールドメイン
外部メールドメイン許可リ
スト
この設定では、ユーザーが仕事用メールまたはカレンダーエントリを送信できるドメイン
のリストを指定します。たとえば、許可されたドメインに含まれるメールアドレスを持つ
受信者をユーザーがメールまたはカレンダーエントリに追加した場合、警告メッセージは
表示されません。この設定は、仕事用領域のみに適用されます。
複数のドメイン名をリストする場合は、ドメイン名をカンマ(,)、セミコロン(;)、またはス
ペースで区切ります。
外部メールドメイン制限付
きリスト
この設定では、ユーザーが仕事用メールまたはカレンダーエントリを送信できないドメイ
ンのリストを指定します。たとえば、制限されたドメインに含まれるメールアドレスを持
つ受信者をユーザーがメールまたはカレンダーの会議出席依頼に追加しようとした場合、
メールアプリまたはカレンダーアプリはユーザーがこのタスクを完了することを禁止し
ます。この設定は、仕事用領域のみに適用されます。
複数のドメイン名をリストする場合は、ドメイン名をカンマ(,)、セミコロン(;)、またはス
ペースで区切ります。
339
プロファイル設定
Windows Phone：メールプロファイル設定
Windows Phone：メールプロ
ファイル設定
説明
配信の設定
プロファイルの種類
この設定では、このプロファイルで Exchange ActiveSync または IBM Notes Traveler をサ
ポートするかどうかを指定します。
アカウント名
この設定では、Windows Phone デバイスに表示される仕事用メールアカウント名を指定し
ます。 %UserEmailAddress%などの変数を使用できます。
同期間隔
この設定では、Windows Phone デバイスがメールサーバーから新しいメールをダウンロー
ドする頻度を指定します。
使用できる値：
•
アイテムの受信時
•
手動
•
15 分毎
•
30 分毎
•
60 分毎
デフォルト値は、［アイテムの受信時］です。
同期日数
この設定では、過去何日まで遡って、メールとオーガナイザーデータを Windows Phone デ
バイスに同期するかを指定します。
使用できる値：
•
無期限
•
3日
•
7日
•
14 日
•
1 ヶ月
デフォルト値は［7 日］です。
SSL を使用
この設定では、Windows Phone デバイスがメールサーバーに接続するために SSL を使用す
る必要があるかどうかを指定します。
同期するコンテンツ
340
プロファイル設定
Windows Phone：メールプロ
ファイル設定
メール
説明
この設定では、Windows Phone デバイスがメールとメールサーバーを同期するかどうかを
指定します。
連絡先
この設定では、Windows Phone デバイスが連絡先とメールサーバーを同期するかどうかを
指定します。
カレンダー
この設定では、Windows Phone デバイスがカレンダーエントリとメールサーバーを同期す
るかどうかを指定します。
タスク
この設定では、Windows Phone デバイスがタスクデータとメールサーバーを同期するかど
うかを指定します。
この設定は、［プロファイルの種類］が［Exchange ActiveSync］に設定されている場合の
み有効です。
341
プロファイル設定
IMAP/POP3 メールプロファイルの設定
31
実際の値を指定するのではなく、値を参照するためにテキストフィールドになっているプロファイル設定では、変数を使
用できます。 BES12 は、事前定義されたデフォルトの変数と定義されたカスタム変数をサポートしています。 IMAP/
POP3 メールプロファイルは、次の種類のデバイスでサポートされています。
•
iOS
•
Android
•
Windows Phone
ときには、設定をサポートするためのデバイス OS の必要最小バージョンが、BES12 によってサポートされていないバー
ジョンである場合があります。サポートされているバージョンの詳細については、インストールおよびアップグレード関
連の資料で『互換性一覧表』を参照してください。
共通：IMAP/POP3 メールプロファイルの設定
共通：IMAP/POP3 メールプ
ロファイルの設定
メールの種類
説明
この設定では、メールサーバーのタイプを指定します。
使用できる値：
•
IMAP
•
POP3
デフォルト値は［IMAP］です。
表示名
このプロパティには、アカウントの表示名を指定します。プロファイルが複数のユーザー
に対応している場合は、%UserDisplayName% 変数を使用できます。
メールアドレス
この設定では、ユーザーのメールアドレスを指定します。プロファイルが複数のユーザー
に対応している場合は、%UserEmailAddress% 変数を使用できます。
受信メール設定
ホスト名または IP アドレス
この設定では、受信メール用メールサーバーのホスト名または IP アドレスを指定します。
ポート
この設定では、受信メール用メールサーバーに接続するために使用されるポートを指定し
ます。
342
プロファイル設定
共通：IMAP/POP3 メールプ
ロファイルの設定
ユーザー名
説明
この設定では、ユーザーのユーザー名を指定します。プロファイルが複数のユーザーに対
応している場合は、%UserName% 変数を使用できます。
受信メールに SSL を使用す
この設定では、受信したメールを取得するためにメールサーバーへ接続するときに、iOS、
る
Android、または Windows Phone デバイスで SSL を使用する必要があるかどうかを指定し
ます。
送信メール設定
ホスト名または IP アドレス
この設定では、送信メール用メールサーバーのホスト名または IP アドレスを指定します。
ポート
この設定では、送信メール用メールサーバーに接続するために使用されるポートを指定し
ます。
送信メールに SSL を使用す
この設定では、送信メールを取得するためにメールサーバーへ接続するときに、iOS、
る
Android、または Windows Phone デバイスで SSL を使用する必要があるかどうかを指定し
ます。
送信メールに必要な認証
この設定では、メールを送信するときに、サーバーでデバイスを認証する必要があるかど
うかを指定します。
受信設定と同じ資格情報を
使用
この設定は、メールサーバーの認証に必要なメールの送信に使用しているのと同じ資格情
報を、iOS、Android、または Windows Phone デバイスでメールの受信に使用するかどうか
を指定します。
メールサーバーの認証に必要なメールの送信に使用しているのと同じ資格情報をデバイ
スでメールの受信に使用しない場合は、デバイスが使用するユーザー名とパスワードを指
定できます。
この設定は、［送信メールに必要な認証］設定が選択されている場合のみ有効です。
iOS：IMAP/POP3 メールプロファイルの設定
iOS：IMAP/POP3 メールプロ
ファイルの設定
IMAP パス接頭辞
説明
ここには必要に応じて、IMAP パスプレフィックスを指定します。
詳細については、必要に応じて、ISP へお問い合わせください。
この設定は、［メールの種類］の値が［IMAP］に設定されている場合のみ有効です。
343
プロファイル設定
iOS：IMAP/POP3 メールプロ
ファイルの設定
説明
メッセージの移動を許可す
る
この設定では、ユーザーがこのアカウントから iOS デバイスにある別のメールアカウント
最近のアドレスの同期を許
可する
この設定では、iOS デバイスユーザーが最近使用したメールアドレスをデバイス間で同期
メール内でのみ使用する
この設定では、iOS デバイス上のメールアプリ以外のアプリが、このアカウントを使用し
へメールを移動できるかどうかを指定します。
できるかどうかを指定します。
てメールを送信できるかどうかを指定します。
Android：IMAP/POP3 メールプロファイルの設
定
Android：IMAP/POP3 メール
プロファイルの設定
IMAP パス接頭辞
説明
ここには必要に応じて、IMAP パスプレフィックスを指定します。
詳細については、必要に応じて、ISP へお問い合わせください。
この設定は、［メールの種類］の値が［IMAP］に設定されている場合のみ有効です。
サーバーからメールを削除
この設定では、メールサーバーからのメールを削除する時期を指定します。
使用できる値：
•
なし
•
受信箱トレイから削除されたとき
デフォルト値は［なし］です。
この設定は、［メールの種類］の値が［POP3］に設定されている場合のみ有効です。
344
プロファイル設定
Windows Phone：IMAP/POP3 メールプロファイ
ルの設定
Windows Phone：IMAP/POP3
メールプロファイルの設定
説明
ドメイン
この設定では、メールサーバーのドメインを指定します。
同期間隔
この設定では、Windows Phone デバイスがメールサーバーから新しいコンテンツをダウン
ロードする頻度を指定します。
使用できる値：
•
手動
•
15 分
•
30 分
•
60 分
•
2 時間
デフォルト値は［15 分］です。
初期取得量
この設定では、過去何日まで遡って、メールとオーガナイザーデータを Windows Phone デ
バイスに同期するかを指定します。
使用できる値：
•
すべて
•
7日
•
14 日
•
30 日
デフォルト値は［7 日］です。
345
プロファイル設定
SCEP プロファイル設定
32
実際の値を指定するのではなく、値を参照するためにテキストフィールドになっているプロファイル設定では、変数を使
用できます。 BES12 は、事前定義されたデフォルトの変数と定義されたカスタム変数をサポートしています。 SCEP プロ
ファイルは、以下のデバイスタイプでサポートされています。
•
BlackBerry 10
•
iOS
•
Secure Work Space を備えた Android、Samsung KNOX、および Android for Work
ときには、設定をサポートするためのデバイス OS の必要最小バージョンが、BES12 によってサポートされていないバー
ジョンである場合があります。サポートされているバージョンの詳細については、インストールおよびアップグレード関
連の資料で『互換性一覧表』を参照してください。
共通：SCEP プロファイル設定
共通：SCEP プロファイル設
定
URL
説明
この設定では、SCEP サービスの URL を指定します。 URL には、プロトコル、FQDN、ポー
ト番号、および SCEP パス（SCEP 仕様で定義される CGI パス）を含める必要があります。
デバイスを正常にアクティブ化するには、この設定に値を指定する必要があります。
SCEP HTTPS URL は、iOS デバイスと BlackBerry 10 OS バージョン 10.3.0 以降でサポート
されています。
インスタンス名
この設定では、CA インスタンスの名前を指定します。
値には、SCEP サービスが理解できる任意の文字列を指定できます。たとえば、
example.org などのドメイン名を指定できます。 CA が複数の CA 証明書を保持している場
合、このフィールドを使用して、必要な証明書を区別できます。
認証局との接続
この設定では、CA が Entrust または別の CA であるかどうかを指定します。組織の Entrust
ソフトウェアに 1 つ以上の接続を設定した場合は、ドロップダウンリストでその接続のう
ちのいずれかを選択できます。その他の CA を使用している場合は、［汎用］を選択しま
す。
Entrust 接続を選択する場合は、適切なデジタル ID プロファイルを選択し、必要な値を指
定する必要があります。利用可能なデジタル ID プロファイルは、Entrust 管理者が設定し
た内容によって異なります。
346
プロファイル設定
共通：SCEP プロファイル設
定
説明
デフォルト値は［汎用］です。
SCEP チャレンジの種類
この設定では、SCEP チャレンジパスワードを動的に生成するか、または静的パスワード
として提供するかどうかを指定します。これを［静的］に設定すると、すべてのデバイス
が同一のチャレンジパスワードを使用します。これを［動的］に設定すると、すべてのデ
バイスが固有のチャレンジパスワードを受信します。
使用できる値：
•
静的
•
動的
デフォルト値は［動的］です。
チャレンジパスワード生成
URL
この設定では、デバイスが動的に生成されたチャレンジパスワードを SCEP サービスから
取得するために使用する URL を指定します。 URL には、プロトコル、ドメイン、ポート、
および SCEP パス（SCEP 仕様で定義される CGI パス）を含める必要があります。動的チャ
レンジパスワードを使用する場合は、BlackBerry 10 デバイスを正常にアクティブ化するた
めの値を設定する必要があります。
この設定は、［SCEP チャレンジの種類］が［動的］に設定されている場合のみ有効です。
認証の種類
この設定では、デバイスが SCEP サービスに接続し、チャレンジパスワードを取得するた
めに使用する認証の種類を指定します。
この設定は、［SCEP チャレンジの種類］が［動的］に設定されている場合のみ有効です。
使用できる値：
•
基本
•
NTLM
デフォルト値は［基本］です。
ドメイン
この設定では、デバイスが SCEP サービスに接続し、チャレンジパスワードを取得すると
きに、NTLM 認証に使用されるドメインを指定します。
この設定は、［認証の種類］が［NTLM］に設定されている場合のみ有効です。
ユーザー名
この設定では、SCEP サービスからチャレンジパスワードを取得するために必要なユー
ザー名を指定します。
この設定は、［SCEP チャレンジの種類］が［動的］に設定されている場合のみ有効です。
347
プロファイル設定
共通：SCEP プロファイル設
定
パスワード
説明
この設定では、SCEP サービスからチャレンジパスワードを取得するために必要なパス
ワードを指定します
この設定は、［SCEP チャレンジの種類］が［動的］に設定されている場合のみ有効です。
チャレンジパスワード
この設定では、デバイスが証明書の登録に使用するチャレンジパスワードを指定します。
動的チャレンジパスワードを使用する場合は、BlackBerry 10 デバイスを正常にアクティブ
化するために、この設定に値を指定する必要があります。
この設定は、［SCEP チャレンジの種類］が［静的］に設定されている場合のみ有効です。
BlackBerry 10：SCEP プロファイル設定
BlackBerry 10：SCEP プロ
ファイル設定
デバイスのデフォルトと
SAN を使用する
説明
この設定では、BlackBerry 10 デバイスが証明書要求のためのサブジェクトとサブジェク
トの別名を生成するかどうかを指定します。この設定が選択されていない場合、サブジェ
クトとサブジェクトの別名のタイプおよび値を指定する必要があります。
件名
この設定では、組織の SCEP 設定で必要な場合に、証明書のサブジェクトを指定します。
サブジェクトは、
「/CN=<common_name>/O=<domain_name>」の形式で入力します。プロ
ファイルが複数のユーザーに対応している場合は、%UserDistinguisedName% また
は %UserPrincipalName% 変数を使用できます。
この設定は、
［デバイスのデフォルトと SAN を使用する］設定が未選択の場合のみ有効で
す。
最小要件は、BlackBerry 10 OS バージョン 10.3.1 です。
SAN
この設定では、証明書のサブジェクトの別名のタイプおよび値を指定します。
この設定は、
［デバイスのデフォルトと SAN を使用する］設定が未選択の場合のみ有効で
す。
最小要件は、BlackBerry 10 OS バージョン 10.3.1 です。
SSL の種類
この設定では、必要な場合に、証明書のサブジェクトの別名のタイプを指定します。
使用できる値：
•
RFC 822 名
348
プロファイル設定
BlackBerry 10：SCEP プロ
ファイル設定
説明
•
URI
•
NT プリンシパル名
•
DNS 名
デフォルト値は［RFC 822 名］です。
SAN 値
この設定では、証明書のサブジェクトの代替表示を指定します。値には、メールアドレ
ス、CA サーバーの DNS 名、サーバーの完全修飾 URL、またはプリンシパル名を指定する
必要があります。
指定に適した値は、［SAN の種類］設定によって決まります。［RFC822 名］に設定した
場合、値は有効なメールアドレスにする必要があります。［URI］に設定した場合、値は
プロトコルと FQDN または IP アドレスを含む有効な URL にする必要があります。［NT
プリンシパル名］に設定した場合、値は有効なプリンシパル名にする必要があります。
［DNS 名］に設定した場合、値は有効な FQDN にする必要があります。
キーのアルゴリズム
この設定では、BlackBerry 10 デバイスがクライアントキーペアを生成するために使用す
るアルゴリズムを指定します。 CA によってサポートされているアルゴリズムを選択する
必要があります。
使用できる値：
•
なし
•
RSA
•
ECC
デフォルト値は［RSA］です。
RSA 強度
この設定では、BlackBerry 10 デバイスがクライアントキーペアを生成するために使用す
る RSA の強度を指定します。 CA によってサポートされているキー強度を選択する必要
があります。
この設定は、［キーアルゴリズム］が［RSA］に設定されている場合のみ有効です。
使用できる値：
•
1024
•
2048
•
4096
•
8192
•
16384
349
プロファイル設定
BlackBerry 10：SCEP プロ
ファイル設定
説明
デフォルト値は［1024］です。
ECC 強度
この設定では、BlackBerry 10 デバイスがクライアントキーペアを生成するために使用す
る楕円曲線を指定します。楕円曲線はクライアントキーペアの強度を定義します。 CA
によってサポートされている楕円曲線を選択する必要があります。
この設定は、［キーアルゴリズム］が［ECC］に設定されている場合のみ有効です。
使用できる値：
•
sect163k1
•
sect283k1
•
secp192r1
•
secp256r1
•
secp384r1
•
secp521r1
デフォルト値は［secp521r1］です。
暗号化アルゴリズム
この設定では、BlackBerry 10 デバイスが証明書登録要求に使用する暗号化アルゴリズム
を指定します。
使用できる値：
•
なし
•
Triple DES
•
AES（128 ビット）
•
AES（196 ビット）
•
AES（256 ビット）
デフォルト値は［Triple DES］です。
ハッシュ関数
この設定では、BlackBerry 10 デバイスが証明書登録要求に使用するハッシュ関数を指定
します。
使用できる値：
•
なし
•
SHA-1
•
SHA-224
350
プロファイル設定
BlackBerry 10：SCEP プロ
ファイル設定
説明
•
SHA-256
•
SHA-384
•
SHA-512
デフォルト値は［SHA-1］です。
証明書の指紋
この設定では、CA のルート証明書の 16 進エンコードされたハッシュを指定します。次の
アルゴリズムを使用してサムプリントを指定できます：MD5、SHA-1、SHA-224、
SHA-256、SHA-384、SHA-512。 BlackBerry 10 デバイスを正常にアクティブ化するには、
この設定に値を指定する必要があります。
自動更新
この設定では、証明書が期限切れになり、証明書の自動更新が実行されるまでの日数を指
定します。
使用できる値は、1～999,999,999 日です。
デフォルト値は［30］です。
キー使用法
この設定では、証明書に含まれるパブリックキーを使用して実行できる暗号化操作を指定
します。
次の中から選択します。
•
デジタル署名
•
否認防止
•
キー暗号化
•
データ暗号化
•
キーの合意
•
キー証明書の署名
•
CRL 署名
•
暗号化のみ
•
解読のみ
デフォルトの選択は、［デジタル署名］、［キー暗号化］、および［キーの合意］です。
最小要件は、BlackBerry 10 OS バージョン 10.3.1 です。
拡張キー使用法
この設定では、証明書に含まれるキーの目的を指定します。
次の中から選択します。
351
プロファイル設定
BlackBerry 10：SCEP プロ
ファイル設定
説明
•
サーバー認証
•
クライアント認証
•
コード署名
•
メール保護
•
タイムスタンプ
•
OCSP 署名
•
Secure Shell クライアント
•
Secure Shell サーバー
デフォルト選択は［クライアント認証］です。
最小要件は、BlackBerry 10 OS バージョン 10.3.1 です。
iOS：SCEP プロファイル設定
iOS：SCEP プロファイル設定説明
SCEP 要求のプロキシとしてこの設定では、デバイスからのすべての SCEP 要求を BES12 経由で送信するかどうかを指
BES12 を使用
定します。 CA がファイアウォールの内部にある場合は、この設定を使用して、CA をファ
イアウォールの外部にさらすことなく、クライアント証明書をデバイスに登録できます。
件名
この設定では、組織の SCEP 設定で必要な場合に、証明書のサブジェクトを指定します。
サブジェクトは、
「/CN=<common_name>/O=<domain_name>」の形式で入力します。プロ
ファイルが複数のユーザーに対応している場合は、%UserDistinguisedName% また
は %UserPrincipalName% 変数を使用できます。
再試行
この設定では、SCEP サービスへの接続試行が失敗した場合に、接続を再試行する回数を
指定します。
使用できる値は 1～999 です。
デフォルト値は［3］です。
再試行の遅延
この設定では、SCEP サービスへの接続を再試行する前に、待機する時間（秒単位）を指
定します。
使用できる値は 1～999 です。
デフォルト値は［10 秒］です。
352
プロファイル設定
iOS：SCEP プロファイル設定説明
キーサイズ
この設定では、証明書のキーサイズを指定します。
使用できる値：
•
1024
•
2048
デフォルト値は［1024］です。
デジタル署名として使用す
る
この設定では、登録済みの証明書をデジタル署名用に使用できるかどうかを指定します。
キー暗号化に使用する
この設定では、登録済みの証明書を暗号化に使用できるかどうかを指定します。
指紋
この設定では、SCEP 証明書を登録するための指紋を指定します。 CA が HTTPS ではなく
HTTP を使用している場合、デバイスは指紋を使用して、登録プロセス中に CA の ID を確
認します。
SSL の種類
この設定では、必要な場合に、証明書のサブジェクトの別名のタイプを指定します。
使用できる値：
•
なし
•
RFC822 名
•
DNS 名
•
Uniform Resource Identifier
デフォルト値は［なし］です。
SAN 値
この設定では、証明書のサブジェクトの代替表示を指定します。値は、メールアドレス、
CA サーバーの DNS 名、またはサーバーの完全修飾 URL にする必要があります。
指定に適した値は、［SAN の種類］設定によって決まります。［RFC822 名］に設定した
場合、値は有効なメールアドレスにする必要があります。［URI］に設定した場合、値は
プロトコルと FQDN または IP アドレスを含む有効な URL にする必要があります。［NT プ
リンシパル名］に設定した場合、値は有効なプリンシパル名にする必要があります。［DNS
名］に設定した場合、値は有効な FQDN にする必要があります。
NT プリンシパル名
この設定では、証明書生成用の NT プリンシパル名を指定します。
この設定は、［SAN の種類］が［なし］以外に設定されている場合のみ有効です。
自動更新
この設定では、証明書が期限切れになり、証明書の自動更新が実行されるまでの日数を指
定します。
353
プロファイル設定
iOS：SCEP プロファイル設定説明
使用できる値は 1～365 です。
デフォルト値は［30 日］です。
暗号化アルゴリズム
この設定では、iOS デバイスが証明書登録要求に使用する暗号化アルゴリズムを指定しま
す。
使用できる値：
•
なし
•
Triple DES
•
AES（128 ビット）
•
AES（196 ビット）
•
AES（256 ビット）
デフォルト値は［Triple DES］です。
ハッシュ関数
この設定では、iOS デバイスが証明書登録要求に使用するハッシュ関数を指定します。
使用できる値：
•
なし
•
SHA-1
•
SHA-224
•
SHA-256
•
SHA-384
•
SHA-512
デフォルト値は［SHA-1］です。
Android：SCEP プロファイル設定
SCEP ［仕事用および個人用 - フルコントロール］または［仕事用および個人用 - ユーザープライバシー］アクティベー
ションタイプを使って、 Android デバイスをアクティベーションする必要があります。
Android：SCEP プロファイル
設定
暗号化アルゴリズム
説明
この設定では、Android デバイスが証明書登録要求に使用する暗号化アルゴリズムを指定
します。
354
プロファイル設定
Android：SCEP プロファイル
設定
説明
使用できる値：
•
なし
•
Triple DES
•
AES（128 ビット）
•
AES（196 ビット）
•
AES（256 ビット）
デフォルト値は［Triple DES］です。
ハッシュ関数
この設定では、Android デバイスが証明書登録要求に使用するハッシュ関数を指定します。
使用できる値：
•
なし
•
SHA-1
•
SHA-224
•
SHA-256
•
SHA-384
•
SHA-512
デフォルト値は［SHA-1］です。
証明書の指紋
この設定では、CA のルート証明書の 16 進エンコードされたハッシュを指定します。サム
プリントの指定には、アルゴリズム SHA-1、SHA-224、SHA-256、SHA-384、および SHA-512
を使用できます。 Android for Work または Samsung KNOX を使用するデバイスをアクティ
ベーションするには、この設定に値を指定する必要があります。
自動更新
この設定では、証明書が期限切れになり、証明書の自動更新が実行されるまでの日数を指
定します。
使用できる値は 1～365 です。
デフォルト値は［30］です。
Android for Work/Samsung KNOX
件名
この設定では、組織の SCEP 設定で必要な場合に、証明書のサブジェクトを指定します。
SSL の種類
この設定では、必要な場合に、証明書のサブジェクトの別名のタイプを指定します。
使用できる値：
355
プロファイル設定
Android：SCEP プロファイル
設定
説明
•
RFC 822 名
•
Uniform Resource Identifier
•
NT プリンシパル名
•
DNS 名
デフォルト値は［RFC 822 名］です。
SAN 値
この設定では、証明書のサブジェクトの代替表示を指定します。値には、メールアドレ
ス、CA サーバーの DNS 名、サーバーの完全修飾 URL、またはプリンシパル名を指定する
必要があります。
指定に適した値は、［SAN の種類］設定によって決まります。［RFC822 名］に設定した
場合、値は有効なメールアドレスにする必要があります。［URI］に設定した場合、値は
プロトコルと FQDN または IP アドレスを含む有効な URL にする必要があります。［NT プ
リンシパル名］に設定した場合、値は有効なプリンシパル名にする必要があります。［DNS
名］に設定した場合、値は有効な FQDN にする必要があります。
キーのアルゴリズム
この設定では、Android for Work または Samsung KNOX を使用しているデバイスがクライ
アントキーペアの生成に使用するアルゴリズムを指定します。 CA によってサポートされ
ているアルゴリズムを選択する必要があります。
使用できる値：
•
なし
•
RSA
•
ECC
デフォルト値は［RSA］です。
RSA 強度
この設定では、Android for Work または Samsung KNOX を使用しているデバイスがクライ
アントキーペアの生成に使用する RSA の強度を指定します。 CA によってサポートされ
ているキー強度を選択する必要があります。
この設定は、［キーアルゴリズム］が［RSA］に設定されている場合のみ有効です。
使用できる値：
•
1024
•
2048
•
4096
356
プロファイル設定
Android：SCEP プロファイル
設定
説明
•
8192
•
16384
デフォルト値は［1024］です。
キー使用法
この設定には、証明書に含まれるパブリックキーを使用して実行できる暗号化操作を指定
します。
次の中から選択します。
•
デジタル署名
•
否認防止
•
キー暗号化
•
データ暗号化
•
キーの合意
•
キー証明書の署名
•
CRL 署名
•
暗号化のみ
•
解読のみ
デフォルトの選択は、［デジタル署名］、［キー暗号化］、および［キーの合意］です。
拡張キー使用法
この設定では、証明書に含まれるキーの目的を指定します。
次の中から選択します。
•
サーバー認証
•
クライアント認証
•
コード署名
•
メール保護
•
タイムスタンプ
•
OCSP 署名
•
Secure Shell クライアント
•
Secure Shell サーバー
デフォルト選択は［クライアント認証］です。
Secure Work Space
357
プロファイル設定
Android：SCEP プロファイル
設定
説明
SCEP 要求のプロキシとしてこの設定では、デバイスからのすべての SCEP 要求を BES12 経由で送信するかどうかを指
BES12 を使用
定します。 CA がファイアウォールの内部にある場合は、この設定を使用して、CA をファ
イアウォールの外部にさらすことなく、クライアント証明書をデバイスに登録できます。
件名（Secure Work Space）
この設定では、組織の SCEP 設定で必要な場合に、証明書のサブジェクトを指定します。
サブジェクトは、
「/CN=<common_name>/O=<domain_name>」の形式で入力します。プロ
ファイルが複数のユーザーに対応している場合は、%UserDistinguisedName% また
は %UserPrincipalName% 変数を使用できます。
再試行
この設定では、SCEP サービスへの接続試行が失敗した場合に、接続を再試行する回数を
指定します。
使用できる値は 1～999 です。
デフォルト値は［3］です。
再試行の遅延
この設定では、SCEP サービスへの接続を再試行する前に、待機する時間（秒単位）を指
定します。
使用できる値は 1～999 です。
デフォルト値は［10 秒］です。
キーサイズ
この設定では、証明書のキーサイズを指定します。
使用できる値：
•
1024
•
2048
•
4096
•
8192
•
16384
デフォルト値は［1024］です。
デジタル署名として使用す
る
この設定では、登録済みの証明書をデジタル署名用に使用できるかどうかを指定します。
キー暗号化に使用する
この設定では、登録済みの証明書を暗号化に使用できるかどうかを指定します。
SSL の種類
この設定では、必要な場合に、証明書のサブジェクトの別名のタイプを指定します。
使用できる値：
358
プロファイル設定
Android：SCEP プロファイル
設定
説明
•
なし
•
RFC 822 名
•
DNS 名
•
Uniform Resource Identifier
デフォルト値は［なし］です。
SAN 値
この設定では、証明書のサブジェクトの代替表示を指定します。値は、メールアドレス、
CA サーバーの DNS 名、またはサーバーの完全修飾 URL にする必要があります。
［サブジェクトの別名］が、この設定に影響します。この設定に適した値は、［SAN の種
類］設定で選択した値に応じて異なります。
NT プリンシパル名
この設定では、証明書生成用の NT プリンシパル名を指定します。
［サブジェクトの別名］が、この設定に影響します。この設定に適した値は、［SAN の種
類］設定で選択した値に応じて異なります。
359
プロファイル設定
Wi-Fi プロファイル設定
33
実際の値を指定するのではなく、値を参照するためにテキストフィールドになっているプロファイル設定では、変数を使
用できます。 BES12 は、事前定義されたデフォルトの変数と定義されたカスタム変数をサポートしています。 Wi-Fi プロ
ファイルは、以下のデバイスタイプでサポートされています。
•
BlackBerry 10
•
iOS
•
Android
•
Windows Phone
ときには、設定をサポートするためのデバイス OS の必要最小バージョンが、BES12 によってサポートされていないバー
ジョンである場合があります。サポートされているバージョンの詳細については、インストールおよびアップグレード関
連の資料で『互換性一覧表』を参照してください。
共通：Wi-Fi プロファイル設定
共通：Wi-Fi プロファイル設
定
SSID
説明
この設定は、Wi-Fi ネットワークのネットワーク名およびそのワイヤレスアクセスポイント
を指定します。 SSID は大文字と小文字を区別し、英数字を含んでいる必要があります。
使用できる値は 32 文字までに制限されています。
非表示のネットワーク
この設定では、Wi-Fi ネットワークで SSID を非表示にするかどうかを指定します。
BlackBerry 10：Wi-Fi プロファイル設定
BlackBerry 10：Wi-Fi プロ
ファイル設定
セキュリティタイプ
説明
この設定では、Wi-Fi ネットワークが使用するセキュリティの種類を指定します。
使用できる値：
•
なし
•
WEP パーソナル
360
プロファイル設定
BlackBerry 10：Wi-Fi プロ
ファイル設定
説明
•
WPA-Personal
•
WPA-Enterprise
•
WPA2-Personal
•
WPA2-Enterprise
デフォルト値は［なし］です。
WEP キー
この設定では、Wi-Fi ネットワークの WEP キーを指定します。 WEP キーは 10 または 26
桁の 16 進数値（0～9、A～F）、もしくは 5 または 13 文字の英数字（0～9、A～Z）にする
必要があります。
16 進数キー値の例は、ABCDEF0123 または ABCDEF0123456789ABCDEF0123 です。英
数字キー値の例は abCD5 や abCDefGHijKL1 です。
この設定は、［セキュリティタイプ］が［WEP パーソナル］に設定されている場合のみ有
効です。
事前共有キーの種類
この設定では、Wi-Fi ネットワークの事前共有キーの種類を指定します。
この設定は、
［セキュリティタイプ］が［WPA-Personal］または［WPA2-Personal］に設定
されている場合のみ有効です。
使用できる値：
•
ASCII
•
HEX
デフォルト値は［ASCII］です。
事前共有キー
この設定では、Wi-Fi ネットワークの事前共有キーを指定します。
この設定は、
［セキュリティタイプ］が［WPA-Personal］または［WPA2-Personal］に設定
されている場合のみ有効です。
使用できる値は 64 文字までに制限されています。
認証プロトコル
この設定では、Wi-Fi ネットワークが使用する EAP 方法を指定します。
この設定は、［セキュリティタイプ］が［WPA-Enterprise］または［WPA2-Enterprise］に
設定されている場合のみ有効です。
使用できる値：
•
PEAP
361
プロファイル設定
BlackBerry 10：Wi-Fi プロ
ファイル設定
説明
•
TTLS
•
EAP-FAST
•
TLS
デフォルト値は［PEAP］です。
内部認証
この設定では、TLS トンネルで使用する内部認証方式を指定します。
内部認証に PAP を使用する場合は、この設定に［自動］を指定します。
この設定は、
［認証プロトコル］が［PEAP］または［TTLS］に設定されている場合のみ有
効です。
使用できる値：
•
自動
•
MS-CHAPv2
•
GTC
デフォルト値は［自動］です。
EAP-FAST プロビジョニングこの設定では、EAP-FAST 認証のプロビジョニング方式を指定します。
方式
この設定は、［認証プロトコル］が［EAP-FAST］に設定されている場合のみ有効です。
使用できる値：
•
匿名
•
認証済み
デフォルト値は［匿名］です。
ユーザー名
この設定では、BlackBerry デバイスが Wi-Fi ネットワーク認証に使用するユーザー名を指
定します。プロファイルが複数のユーザーに対応している場合は、%UserName% 変数を
指定できます。
この設定は、［認証プロトコル］が［PEAP］、［TTLS］、［EAP-FAST］、または［TLS］に設
定されている場合のみ有効です。
パスワード
この設定では、BlackBerry デバイスが Wi-Fi ネットワーク認証に使用するパスワードを指
定します。
この設定は、［認証プロトコル］が［PEAP］、［TTLS］、または［EAP-FAST］に設定されて
いる場合のみ有効です。
362
プロファイル設定
BlackBerry 10：Wi-Fi プロ
ファイル設定
バンドの種類
説明
この設定では、Wi-Fi ネットワークが使用する周波数を指定します。
使用できる値：
•
デュアル
•
2.4 GHz
•
5.0 GHz
デフォルト値は［デュアル］です。
DHCP を有効にする
この設定では、Wi-Fi ネットワークが DHCP を使用するかどうかを指定します。
IP アドレス
この設定では、Wi-Fi ネットワークのホストの IP アドレスを指定します。
この設定は、［DHCP を有効にする］設定が選択されていない場合のみ有効です。
サブネットマスク
この設定では、ドット付き 10 進表記（たとえば、192.0.2.0）でサブネットマスクを指定
します。
この設定は、［DHCP を有効にする］設定が選択されていない場合のみ有効です。
プライマリ DNS
この設定では、ドット付き 10 進表記（たとえば、192.0.2.0）でプライマリ DNS サーバー
を指定します。
この設定は、［DHCP を有効にする］設定が選択されていない場合のみ有効です。
セカンダリ DNS
この設定では、ドット付き 10 進表記（たとえば、192.0.2.0）でセカンダリ DNS サーバー
を指定します。
この設定は、［DHCP を有効にする］設定が選択されていない場合のみ有効です。
デフォルトゲートウェイ
この設定では、ドット付き 10 進表記（たとえば、192.0.2.0）でデフォルトゲートウェイ
を指定します。
この設定は、［DHCP を有効にする］設定が選択されていない場合のみ有効です。
ドメインサフィックス
この設定では、DNS サフィックスの FQDN を指定します。
この設定は、［DHCP を有効にする］設定が選択されていない場合のみ有効です。
IPv6 を有効にする
この設定では、Wi-Fi ネットワークが IPv6 をサポートするかどうかを指定します。
アクセスポイントのハンド
オーバーを有効にする
この設定は、BlackBerry デバイスでワイヤレスアクセスポイント間の Wi-Fi ハンドオー
バーを実行できるようにするかどうかを指定します。
363
プロファイル設定
BlackBerry 10：Wi-Fi プロ
ファイル設定
ユーザーが編集可能
説明
この設定では、BlackBerry デバイスユーザーが変更できる Wi-Fi 設定を指定します。これ
が［読み取り専用］に設定されている場合、ユーザーはどの設定も変更できません。これ
が［資格情報のみ］に設定されている場合、ユーザーはユーザー名とパスワードを変更で
きます。
使用できる値：
•
読み取り専用
•
資格情報のみ
デフォルト値は［読み取り専用］です。
データセキュリティレベル
この設定では、仕事用領域が高度な保存データ保護を使用している場合に、Wi-Fi プロファ
イルが保存される仕事用領域内のドメインを指定します。この設定は、［高度な保存デー
タ保護を強制する］IT ポリシールールが選択されている場合にのみ有効です。これが［常
に使用可能］に設定されている場合、プロファイルは起動（Startup）ドメインに保存さ
れ、仕事用領域がロックされている場合に使用できます。これが［認証後に使用可能］に
設定されている場合、プロファイルは操作（Operational）ドメインに保存され、仕事用領
域がロック解除された後、デバイスが再起動されるまで使用可能です。これが［仕事用領
域がロック解除された場合のみ使用可能］に設定されている場合、プロファイルはロック
（Lock）ドメインに保存され、仕事用領域がロック解除されている場合のみ Wi-Fi 接続用に
使用できます。
使用できる値：
•
常に使用可能
•
認証後に使用可能
•
仕事用領域がロック解除された場合のみ使用可能
デフォルト値は［常に使用可能］です。
最小要件は、BlackBerry 10 OS バージョン 10.3.1 です。
信頼
クライアント証明書のソー
ス
この設定では、BlackBerry 10 デバイスがクライアント証明書を取得可能な方法を指定しま
す。デバイスがクライアント証明書を取得するための 4 つのオプションがあります。
•
［SCEP］を選択した場合は、デバイスがクライアント証明書をダウンロードするため
に使用できる、関連付けられた SCEP プロファイルも指定する必要があります。
364
プロファイル設定
BlackBerry 10：Wi-Fi プロ
ファイル設定
説明
•
［ユーザー資格情報］を選択した場合は、デバイスがクライアント証明書をダウンロー
ドするために使用できる、ユーザー資格情報プロファイルも指定する必要がありま
す。
•
［スマートカード］を選択した場合は、ユーザーはクライアント証明書を含むスマー
トカードとデバイスをペアリングする必要があります。
•
［その他］を選択した場合は、ユーザーが手動でクライアント証明書をデバイスに追
加する必要があります。
スマートカードは、BlackBerry 10 OS バージョン 10.3.1 以降を実行しているデバイスでサ
ポートされています。
使用できる値：
•
スマートカード
•
SCEP
•
ユーザー資格情報
•
その他
デフォルト値は［その他］です。
関連付けられた SCEP プロ
この設定では、BlackBerry 10 デバイスが Wi-Fi ネットワーク認証に使用するクライアント
ファイル
証明書を登録するための関連付けられた SCEP プロファイルを指定します。
この設定は、［クライアント証明書のソース］が［SCEP］に設定されている場合のみ有効
です。
関連付けられたユーザー資
格情報プロファイル
この設定では、BlackBerry 10 デバイスが Wi-Fi ネットワーク認証に使用するクライアント
証明書を登録するための関連付けられたユーザー資格情報プロファイルを指定します。
この設定は、［クライアント証明書のソース］が［ユーザー資格情報］に設定されている
場合のみ有効です。
ユーザー資格情報を使用するための最小要件は、BlackBerry 10 OS バージョン 10.3.1 で
す。
信頼済み証明書のソース
この設定では、信頼済み証明書のソースを指定します。これが［信頼済み証明書ストア］
に設定されている場合、BlackBerry デバイスは Wi-Fi 証明書ストアの証明書を使用してい
る Wi-Fi ネットワークに接続できません。
使用できる値：
•
なし
•
信頼済み証明書ストア
365
プロファイル設定
BlackBerry 10：Wi-Fi プロ
ファイル設定
説明
デフォルト値は［なし］です。
関連付けられたプロファイル
仕事用データに BlackBerry
この設定では、BlackBerry 10 デバイスが仕事用 Wi-Fi ネットワークにアクセスできる場合
Secure Connect Plus 接続と
を含め、すべての仕事用領域のトラフィックが BlackBerry Secure Connect Plus 経由で実行
エンタープライズ接続プロ
ファイルを使用します。
されるかどうかを指定します。この設定が未選択の場合、Wi-Fi プロファイルを設定して、
BlackBerry 10 デバイスに割り当てた場合、デバイスは仕事用領域トラフィックに
BlackBerry Secure Connect Plus よりも、仕事用 Wi-Fi ネットワークを優先します。
この機能を使用する場合は、BlackBerry 10 デバイスユーザーに割り当てられている IT ポ
リシーで、
［仕事用アプリケーションにネットワークアクセス制御を強制する］IT ポリシー
ルールが未選択になっていることを確認します。
この設定は、組織のデータ使用量とネットワークコストに影響を与える場合があります。
この機能が組織が優先する設定であることを、使用する前に確認します。
最小要件は、BlackBerry 10 OS バージョン 10.3.2 です。
関連付けられた VPN プロ
この設定では、BlackBerry デバイスが Wi-Fi ネットワークに接続されている場合に、VPN
ファイル
に接続するために使用する関連付けられている VPN プロファイルを指定します。
関連付けられたプロキシプ
ロファイル
この設定では、BlackBerry デバイスが Wi-Fi ネットワークに接続されている場合に、プロ
キシサーバーに接続するために使用する関連付けられているプロキシプロファイルを指
定します。
iOS：Wi-Fi プロファイル設定
iOS：Wi-Fi プロファイル設定説明
自動的にネットワークへ参
加する
この設定では、iOS デバイスが Wi-Fi ネットワークに自動的に参加できるかどうかを指定し
ます。
この設定では、iOS デバイスが Wi-Fi ネットワークに接続されている場合に、プロキシサー
関連付けられたプロキシプ
ロファイル
バーに接続するために使用する関連付けられているプロキシプロファイルを指定します。
ネットワークの種類
この設定では、Wi-Fi ネットワークの設定を指定します。
Hotspot 設定は iOS デバイスにのみ適用されます。 BlackBerry、Android、および Windows
Phone デバイスに Wi-Fi を設定するには、個別の Wi-Fi プロファイルを作成する必要があり
ます。
366
プロファイル設定
iOS：Wi-Fi プロファイル設定説明
使用できる値：
•
標準
•
レガシーホットスポット
•
Hotspot 2.0
デフォルト値は［標準］です。
表示される事業者名
この設定では、ホットスポット事業者のわかりやすい名前を指定します。
この設定は、［ネットワークタイプ］が［Hotspot 2.0］に設定されている場合のみ有効で
す。
ドメイン名
この設定では、ホットスポット事業者のドメイン名を指定します。
この設定は、［ネットワークタイプ］が［Hotspot 2.0］に設定されている場合のみ有効で
す。
この設定を使用する場合、［SSID］設定は必要ありません。
ローミングコンソーシアム
OI
この設定では、ホットスポット経由でアクセス可能なローミングコンソーシアムと通信事
業者の組織 ID を指定します。
この設定は、［ネットワークタイプ］が［Hotspot 2.0］に設定されている場合のみ有効で
す。
NAI 領域名
この設定では、iOS デバイスを認証できる NAI 領域名を指定します。
この設定は、［ネットワークタイプ］が［Hotspot 2.0］に設定されている場合のみ有効で
す。
MCC/MNC
この設定では、モバイルネットワークオペレーターを識別する MCC/MNC の組み合わせを
指定します。各値には正確に 6 桁を含める必要があります。
この設定は、［ネットワークタイプ］が［Hotspot 2.0］に設定されている場合のみ有効で
す。
ローミングパートナーネッ
トワークへの接続を許可す
る
この設定では、iOS デバイスがホットスポットのローミングパートナーに接続できるかど
うかを指定します。
この設定は、［ネットワークタイプ］が［Hotspot 2.0］に設定されている場合のみ有効で
す。
セキュリティタイプ
この設定では、Wi-Fi ネットワークが使用するセキュリティの種類を指定します。
367
プロファイル設定
iOS：Wi-Fi プロファイル設定説明
［ネットワークタイプ］が［Hotpost 2.0］に設定されている場合は、この設定に［WPA2Enterprise］を指定します。
使用できる値：
•
なし
•
WEP パーソナル
•
WEP エンタープライズ
•
WPA-Personal
•
WPA-Enterprise
•
WPA2-Personal
•
WPA2-Enterprise
デフォルト値は［なし］です。
WEP キー
この設定では、Wi-Fi ネットワークの WEP キーを指定します。 WEP キーは 10 または 26
桁の 16 進数値（0～9、A～F）、もしくは 5 または 13 文字の英数字（0～9、A～Z）にする
必要があります。
16 進数キー値の例は、ABCDEF0123 または ABCDEF0123456789ABCDEF0123 です。英
数字キー値の例は abCD5 や abCDefGHijKL1 です。
この設定は、［セキュリティタイプ］が［WEP パーソナル］に設定されている場合のみ有
効です。
事前共有キー
この設定では、Wi-Fi ネットワークの事前共有キーを指定します。
この設定は、
［セキュリティタイプ］が［WPA-Personal］または［WPA2-Personal］に設定
されている場合のみ有効です。
プロトコル
認証プロトコル
この設定では、Wi-Fi ネットワークがサポートする EAP 方法を指定します。複数の EAP 方
法を選択できます。
この設定は、
［セキュリティタイプ］が［WEP エンタープライズ］、
［WPA-Enterprise］、ま
たは［WPA2-Enterprise］に設定されている場合のみ有効です。
次の中から選択します。
•
TLS
•
TTLS
•
LEAP
368
プロファイル設定
iOS：Wi-Fi プロファイル設定説明
内部認証
•
PEAP
•
EAP-FAST
•
EAP-SIM
この設定では、TTLS で使用する内部認証方式を指定します。
この設定は、［認証プロトコル］が［TTLS］に設定されている場合のみ有効です。
使用できる値：
•
なし
•
PAP
•
CHAP
•
MS-CHAP
•
MS-CHAPv2
デフォルト値は［MS-CHAPv2］です。
PAC を使用する
この設定では、EAP-FAST 方式が Protected Access の資格情報を使用するかどうかを指定
します。
この設定は、［認証プロトコル］が［EAP-FAST］に設定されている場合のみ有効です。
PAC をプロビジョニングす
る
この設定では、EAP-FAST 方式が PAC プロビジョニングを許可するかどうかを指定します。
この設定は、
［認証プロトコル］が［EAP-FAST］に設定され、
［PAC を使用］設定が選択さ
れている場合のみ有効です。
匿名で PAC をプロビジョニ
この設定では、EAP-FAST 方式が匿名の PAC プロビジョニングを許可するかどうかを指定
ングする
します。
この設定は、
［認証プロトコル］が［EAP-FAST］に設定され、
［PAC を使用］設定が選択さ
れ、さらに［PAC をプロビジョニング］設定が選択されている場合のみ有効です。
認証
TTLS、PEAP、および EAP-
この設定では、クリアテキストで送信されるユーザーの外部 ID を指定します。ユーザー
FAST の外部 ID
の実際の ID を非表示にするために匿名のユーザー名（anonymous など）を指定できます。
実際のユーザー名は、Wi-Fi ネットワークでの認証を受けるために暗号化されたトンネルを
使用して送信されます。外部 ID に要求をルーティングするための領域名が含まれる場合
は、ユーザーの実際の領域（[email protected] など）にする必要があります。
369
プロファイル設定
iOS：Wi-Fi プロファイル設定説明
この設定は、［認証プロトコル］が［TTLS］、［PEAP］、または［EAP-FAST］に設定されて
いる場合のみ有効です。
Wi-Fi プロファイルに含まれ
るパスワードを使用
この設定では、Wi-Fi プロファイルに認証用のパスワードを含めるかどうかを指定します。
この設定は、
［セキュリティタイプ］が［WEP エンタープライズ］、
［WPA-Enterprise］、ま
たは［WPA2-Enterprise］に設定されている場合のみ有効です。
パスワード
この設定では、iOS デバイスが Wi-Fi ネットワーク認証に使用するパスワードを指定しま
す。
この設定は、［Wi-Fi プロファイルに含まれるパスワードを使用］設定が選択されている場
合のみ有効です。
ユーザー名
この設定では、iOS デバイスが Wi-Fi ネットワーク認証に使用するユーザー名を指定しま
す。プロファイルが複数のユーザーに対応している場合は、%UserName% 変数を指定で
きます。
この設定は、
［セキュリティタイプ］が［WEP エンタープライズ］、
［WPA-Enterprise］、ま
たは［WPA2-Enterprise］に設定されている場合のみ有効です。
認証の種類
この設定では、iOS デバイスが Wi-Fi ネットワークに接続するために使用する認証タイプを
指定します。
この設定は、
［セキュリティタイプ］が［WEP エンタープライズ］、
［WPA-Enterprise］、ま
たは［WPA2-Enterprise］に設定されている場合のみ有効です。
使用できる値：
•
なし
•
共有証明書
•
SCEP
•
ユーザー資格情報
デフォルト値は［なし］です。
証明書リンクの種類
この設定では、Wi-Fi プロファイルに関連付けられているクライアント証明書のリンクの種
類を指定します。
この設定は、［認証の種類］が［共有証明書］に設定されている場合のみ有効です。
使用できる値：
•
単一参照
•
可変インジェクション
370
プロファイル設定
iOS：Wi-Fi プロファイル設定説明
デフォルト値は［単一参照］です。
共有証明書プロファイル
この設定では、iOS デバイスが Wi-Fi ネットワーク認証に使用するクライアント証明書を含
む共有証明書プロファイルを指定します。
この設定は、
［証明書リンクの種類］が［単一参照］に設定されている場合のみ有効です。
クライアント証明書名
この設定では、iOS デバイスが Wi-Fi ネットワーク認証に使用するクライアント証明書の名
前を指定します。
この設定は、［証明書リンクの種類］が［可変インジェクション］に設定されている場合
のみ有効です。
関連付けられた SCEP プロ
この設定では、iOS デバイスが Wi-Fi ネットワーク認証に使用するクライアント証明書を取
ファイル
得するための関連付けられた SCEP プロファイルを指定します。
この設定は、［認証の種類］が［SCEP］に設定されている場合のみ有効です。
関連付けられたユーザー資
格情報プロファイル
この設定では、iOS デバイスが Wi-Fi ネットワーク認証に使用するクライアント証明書を取
得するための関連付けられたユーザー資格情報プロファイルを指定します。
この設定は、
［認証の種類］が［ユーザー資格情報］に設定されている場合のみ有効です。
信頼
予期される認証サーバーか
らの証明書の共通名
この設定では、認証サーバーがデバイスに送信する証明書の共通名を指定します（たとえ
ば、*.example.com）。
この設定は、
［セキュリティタイプ］が［WEP エンタープライズ］、
［WPA-Enterprise］、ま
たは［WPA2-Enterprise］に設定されている場合のみ有効です。
証明書リンクの種類
この設定では、Wi-Fi プロファイルに関連付けられている信頼済み証明書のリンクの種類を
指定します。
この設定は、
［セキュリティタイプ］が［WEP エンタープライズ］、
［WPA-Enterprise］、ま
たは［WPA2-Enterprise］に設定されている場合のみ有効です。
使用できる値：
•
単一参照
•
可変インジェクション
デフォルト値は［単一参照］です。
CA 証明書プロファイル
この設定では、iOS デバイスが Wi-Fi ネットワークとの信頼を確立するために使用する信頼
済み証明書を備えた CA 証明書プロファイルを指定します。
371
プロファイル設定
iOS：Wi-Fi プロファイル設定説明
この設定は、
［証明書リンクの種類］が［単一参照］に設定されている場合のみ有効です。
信頼済み証明書の名前
この設定では、iOS デバイスが Wi-Fi ネットワークとの信頼を確立するために使用する信頼
済み証明書の名前を指定します。
この設定は、［証明書リンクの種類］が［可変インジェクション］に設定されている場合
のみ有効です。
信頼のユーザー決定
この設定では、iOS デバイスが、信頼チェーンを確立できない場合に、ユーザーにサーバ
を信頼するよう要求するかどうかを指定します。この設定が選択されていない場合は、管
理者が指定した信頼済みサーバーへの接続のみが許可されます。
この設定は、
［セキュリティタイプ］が［WEP エンタープライズ］、
［WPA-Enterprise］、ま
たは［WPA2-Enterprise］に設定されている場合のみ有効です。
Android：Wi-Fi プロファイル設定
Android：Wi-Fi プロファイル
設定
説明
関連付けられたプロキシプ
ロファイル
この設定では、Android for Work デバイスが Wi-Fi ネットワークに接続されている場合に、
BSSID
この設定では、Wi-Fi ネットワーク内のワイヤレスアクセスポイントの MAC アドレスを指
プロキシサーバーに接続するために使用する関連付けられているプロキシプロファイル
を指定します。
定します。
プライマリ DNS
この設定では、ドット付き 10 進表記（たとえば、192.0.2.0）でプライマリ DNS サーバー
を指定します。
この設定は、IP アドレスが組織のネットワークに静的に割り当てられている場合に、
Samsung KNOX を使用するデバイスのみに適用されます。
セカンダリ DNS
この設定では、ドット付き 10 進表記（たとえば、192.0.2.0）でセカンダリ DNS サーバー
を指定します。
この設定は、IP アドレスが組織のネットワークに静的に割り当てられている場合に、
Samsung KNOX を使用するデバイスのみに適用されます。
セキュリティタイプ
この設定では、Wi-Fi ネットワークが使用するセキュリティの種類を指定します。
使用できる値：
372
プロファイル設定
Android：Wi-Fi プロファイル
設定
説明
•
なし
•
パーソナル
•
エンタープライズ
デフォルト値は［なし］です。
個人用セキュリティの種類
この設定では、Wi-Fi ネットワークが使用するパーソナルセキュリティの種類を指定しま
す。
この設定は、［セキュリティタイプ］が［パーソナル］に設定されている場合のみ有効で
す。
使用できる値：
•
なし
•
WEP パーソナル
•
WPA-Personal/WPA2-Personal
デフォルト値は［なし］です。
WEP キー
この設定では、Wi-Fi ネットワークの WEP キーを指定します。 WEP キーは 10 または 26
桁の 16 進数値（0～9、A～F）、もしくは 5 または 13 文字の英数字（0～9、A～Z）にする
必要があります。
16 進数キー値の例は、ABCDEF0123 または ABCDEF0123456789ABCDEF0123 です。英
数字キー値の例は abCD5 や abCDefGHijKL1 です。
この設定は、［パーソナルセキュリティの種類］が［WEP パーソナル］に設定されている
場合のみ有効です。
事前共有キー
この設定では、Wi-Fi ネットワークの事前共有キーを指定します。
この設定は、
［パーソナルセキュリティの種類］が［WPA-Personal/WPA2-Personal］に設定
されている場合のみ有効です。
認証プロトコル
この設定では、Wi-Fi ネットワークが使用する EAP 方法を指定します。
この設定は、［セキュリティタイプ］が［エンタープライズ］に設定されている場合のみ
有効です。
使用できる値：
•
TLS
•
TTLS
373
プロファイル設定
Android：Wi-Fi プロファイル
設定
説明
•
PEAP
•
LEAP*
デフォルト値は［TLS］です。
* 認証プロトコルは、Samsung KNOX を使用するデバイスではサポートされません。
内部認証
この設定では、TTLS で使用する内部認証方式を指定します。
この設定は、［認証プロトコル］が［TTLS］に設定されている場合のみ有効です。
使用できる値：
•
なし
•
PAP
•
CHAP
•
MS-CHAP
•
MS-CHAPv2
•
GTC
デフォルト値は［MS-CHAPv2］です。
* 内部認証方式は、Samsung KNOX を使用するデバイスではサポートされません。
TTLS の外部 ID
この設定では、クリアテキストで送信されるユーザーの外部 ID を指定します。ユーザー
の実際の ID を非表示にするために匿名のユーザー名（anonymous など）を指定できます。
実際のユーザー名は、Wi-Fi ネットワークでの認証を受けるために暗号化されたトンネルを
使用して送信されます。外部 ID に要求をルーティングするための領域名が含まれる場合
は、ユーザーの実際の領域（[email protected] など）にする必要があります。
この設定は、［認証プロトコル］が［TTLS］に設定されている場合のみ有効です。
PEAP の外部 ID
この設定では、クリアテキストで送信されるユーザーの外部 ID を指定します。ユーザー
の実際の ID を非表示にするために匿名のユーザー名（anonymous など）を指定できます。
実際のユーザー名は、Wi-Fi ネットワークでの認証を受けるために暗号化されたトンネルを
使用して送信されます。外部 ID に要求をルーティングするための領域名が含まれる場合
は、ユーザーの実際の領域（[email protected] など）にする必要があります。
この設定は、［認証プロトコル］が［PEAP］に設定されている場合のみ有効です。
374
プロファイル設定
Android：Wi-Fi プロファイル
設定
ユーザー名
説明
この設定では、Android デバイスが Wi-Fi ネットワーク認証に使用するユーザー名を指定し
ます。プロファイルが複数のユーザーに対応している場合は、%UserName% 変数を指定
できます。
この設定は、［セキュリティタイプ］が［エンタープライズ］に設定されている場合のみ
有効です。
Wi-Fi プロファイルに含まれ
るパスワードを使用
パスワード
この設定では、Wi-Fi プロファイルに認証用のパスワードを含めるかどうかを指定します。
この設定は、［セキュリティタイプ］が［エンタープライズ］に設定されている場合のみ
有効です。
この設定では、Android デバイスが Wi-Fi ネットワーク認証に使用するパスワードを指定し
ます。
この設定は、［Wi-Fi プロファイルに含まれるパスワードを使用］設定が選択されている場
合のみ有効です。
認証の種類
この設定では、Android デバイスが Wi-Fi ネットワークに接続するために使用する認証タイ
プを指定します。
この設定は、［セキュリティタイプ］が［エンタープライズ］に設定されている場合のみ
有効です。
使用できる値：
•
なし
•
共有証明書
•
SCEP
•
ユーザー資格情報
デフォルト値は［なし］です。
証明書リンクの種類
この設定では、Wi-Fi プロファイルに関連付けられているクライアント証明書のリンクの種
類を指定します。
この設定は、［認証の種類］が［共有証明書］に設定されている場合のみ有効です。
使用できる値：
•
単一参照
•
可変インジェクション
デフォルト値は［単一参照］です。
375
プロファイル設定
Android：Wi-Fi プロファイル
設定
共有証明書プロファイル
説明
この設定では、Android デバイスが Wi-Fi ネットワーク認証に使用するクライアント証明書
を含む共有証明書プロファイルを指定します。
この設定は、
［証明書リンクの種類］が［単一参照］に設定されている場合のみ有効です。
KNOX Workspace を使用するデバイスの共有証明書プロファイル名は、36 文字未満である
必要があります。
関連付けられた SCEP プロ
この設定では、Android デバイスが Wi-Fi ネットワーク認証に使用するクライアント証明書
ファイル
を取得するための関連付けられた SCEP プロファイルを指定します。
この設定は、［認証の種類］が［SCEP］に設定されている場合のみ有効です。
KNOX Workspace を使用するデバイスの SCEP プロファイル名は、36 文字未満である必要
があります。
関連付けられたユーザー資
格情報プロファイル
この設定では、Android デバイスが Wi-Fi ネットワーク認証に使用するクライアント証明書
を取得するための関連付けられたユーザー資格情報プロファイルを指定します。
この設定は、
［認証の種類］が［ユーザー資格情報］に設定されている場合のみ有効です。
KNOX Workspace を使用するデバイスのユーザー資格情報プロファイル名は、36 文字未満
である必要があります。
クライアント証明書名
この設定では、Android デバイスが Wi-Fi ネットワーク認証に使用するクライアント証明書
の名前を指定します。
この設定は、［証明書リンクの種類］が［可変インジェクション］に設定されている場合
のみ有効です。
予期される認証サーバーか
らの証明書の共通名
この設定では、認証サーバーがデバイスに送信する証明書の共通名を指定します（たとえ
ば、*.example.com）。
この設定は、［セキュリティタイプ］が［エンタープライズ］に設定されている場合のみ
有効です。
証明書リンクの種類
この設定では、Wi-Fi プロファイルに関連付けられている信頼済み証明書のリンクの種類を
指定します。
この設定は、［セキュリティタイプ］が［エンタープライズ］に設定されている場合のみ
有効です。
使用できる値：
•
単一参照
•
可変インジェクション
376
プロファイル設定
Android：Wi-Fi プロファイル
設定
説明
デフォルト値は［単一参照］です。
CA 証明書プロファイル
この設定では、Android デバイスが Wi-Fi ネットワークとの信頼を確立するために使用する
信頼済み証明書を備えた CA 証明書プロファイルを指定します。
この設定は、
［証明書リンクの種類］が［単一参照］に設定されている場合のみ有効です。
信頼済み証明書の名前
この設定では、Android デバイスが Wi-Fi ネットワークとの信頼を確立するために使用する
信頼済み証明書の名前を指定します。
この設定は、［証明書リンクの種類］が［可変インジェクション］に設定されている場合
のみ有効です。
Windows Phone：Wi-Fi プロファイル設定
Windows Phone：Wi-Fi プロ
ファイル設定
セキュリティタイプ
説明
この設定では、Wi-Fi ネットワークが使用するセキュリティの種類を指定します。
使用できる値：
•
オープン
•
WPA-Enterprise
•
WPA-Personal
•
WPA2-Enterprise
•
WPA2-Personal
デフォルト値は［オープン］です。
暗号化の種類
この設定では、Wi-Fi ネットワークが使用する暗号化方式を指定します。
［セキュリティタイプ］によって、サポートされる認証の種類と、この設定のデフォルト
値が決定されます。
使用できる値：
•
なし
•
WEP
•
TKIP
377
プロファイル設定
Windows Phone：Wi-Fi プロ
ファイル設定
説明
•
WEP キー
AES
この設定では、Wi-Fi ネットワークの WEP キーを指定します。 WEP キーは 10 または 26
桁の 16 進数値（0～9、A～F）、もしくは 5 または 13 文字の英数字（0～9、A～Z）にする
必要があります。
16 進数キー値の例は、ABCDEF0123 または ABCDEF0123456789ABCDEF0123 です。英
数字キー値の例は abCD5 や abCDefGHijKL1 です。
この設定は、［暗号化の種類］が［オープン］または［WPA-Personal］に設定されている
場合のみ有効です。
事前共有キー
この設定では、Wi-Fi ネットワークの事前共有キーを指定します。
この設定は、
［セキュリティタイプ］が［WPA-Personal］または［WPA2-Personal］に設定
されている場合、または［セキュリティタイプ］が［オープン］に設定され、［認証の種
類］が［WEP］に設定されている場合にのみ有効です。
キーのインデックス
この設定では、ワイヤレスアクセスポイントに保存されている照合キーの場所を指定しま
す。
使用できる値は、1～4 です。
この設定は、［セキュリティタイプ］が［オープン］に設定され、［認証の種類］が
［WEP］に設定されている場合にのみ有効です。
シングルサインオンを有効
にする
この設定では、Wi-Fi ネットワークがシングルサインオン認証をサポートするかどうかを指
定します。
この設定は、［セキュリティタイプ］が［WPA-Enterprise］または［WPA2-Enterprise］に
設定されている場合のみ有効です。
シングルサインオンの種類
この設定では、シングルサインオン認証を実行するタイミングを指定します。［ユーザー
ログインの直前に実行］に設定すると、ユーザーが組織の Active Directory にログインする
前にシングルサインオンが実行されます。［ユーザーログインの直後に実行］に設定する
と、ユーザーが組織の Active Directory にログインした後にシングルサインオンが実行され
ます。
この設定は、［シングルサインオンを有効にする］を選択した場合のみ有効です。
使用できる値：
•
ユーザーログインの直前に実行
•
ユーザーログインの直後に実行
378
プロファイル設定
Windows Phone：Wi-Fi プロ
ファイル設定
説明
デフォルト値は、［ユーザーログインの直前に実行］です。
接続の最大遅延
この設定では、シングルサインオンの接続試行が失敗するまでの遅延の最大時間（秒単
位）を指定します。
この設定は、［シングルサインオンを有効にする］を選択した場合のみ有効です。
使用できる値は、0～120 秒です。
デフォルト値は 10 です。
シングルサインオン時に追
加のダイアログの表示を許
可する
この設定では、デバイスがログイン画面の域を超えてダイアログボックスを表示できるか
どうかを指定します。たとえば、EAP 認証が、認証時にサーバーから送信された証明書を
確認するようにユーザーに要求する種類の場合、デバイスはダイアログボックスを表示で
きます。
この設定は、［シングルサインオンを有効にする］を選択した場合のみ有効です。
このネットワークではマシ
ンとユーザーの認証用に個
別の仮想 LAN を使用する
この設定では、デバイスが使用する VLAN をユーザーのログイン情報に基づいて変更する
かどうかを指定します。たとえば、デバイスが起動時にある VLAN 上に存在し、その後、
ユーザーのログイン後にユーザー権限に基づいて別の VLAN ネットワークに移行する場合
があります。
この設定は、［シングルサインオンを有効にする］を選択した場合のみ有効です。
サーバー証明書を検証する
この設定では、デバイスが、ワイヤレスアクセスポイントの ID を実証するサーバー証明書
を検証する必要があるかどうかを指定します。
この設定は、［セキュリティタイプ］が［WPA-Enterprise］または［WPA2-Enterprise］に
設定されている場合のみ有効です。
新しいサーバーまたは信頼
済み認証局を許可するため
にユーザープロンプトを表
示しない
CA 証明書プロファイル
この設定では、ユーザーにサーバー証明書を信頼するように要求するかどうかを指定しま
す。
この設定は、［サーバー証明書を検証］を選択した場合のみ有効です。
この設定では、ワイヤレスアクセスポイントが使用するサーバー証明書の信頼の基点
（Root of Trust）を提供する CA 証明書プロファイルを指定します。
この設定は、デバイスが信頼するルート CA を選択された CA に限定します。信頼済み
ルート CA を選択しない場合、デバイスは信頼済みルート認証局ストアに一覧されたすべ
てのルート CA を信頼します。
この設定は、［サーバー証明書を検証］を選択した場合のみ有効です。
379
プロファイル設定
Windows Phone：Wi-Fi プロ
ファイル設定
高速再接続を有効にする
説明
この設定では、Wi-Fi ネットワークが複数のワイヤレスアクセスポイントを対象に PEAP 認
証のための高速再接続をサポートするかどうかを指定します。
この設定は、［セキュリティタイプ］が［WPA-Enterprise］または［WPA2-Enterprise］に
設定されている場合のみ有効です。
NAP を強制する
この設定では、Wi-Fi ネットワークが、ネットワークへの接続を許可する前に、デバイスが
ヘルス要件を満たしていることを確認するために NAP を使用してデバイスのシステムヘ
ルスチェックを実行するかどうかを指定します。
この設定は、［セキュリティタイプ］が［WPA-Enterprise］または［WPA2-Enterprise］に
設定されている場合のみ有効です。
PMK キャッシュを有効にす
この設定では、デバイスが WPA2 高速ローミングを有効にするために PMK をキャッシュ
る
できるかどうかを指定します。高速ローミングでは、デバイスが以前に認証したワイヤレ
スアクセスポイントでの 802.1X 設定をスキップします。
この設定は、
［セキュリティタイプ］が［WPA2-エンタープライズ］に設定されている場合
のみ有効です。
PMK の有効期間
この設定では、デバイスが PMK をキャッシュに保存できる期間（分数）を指定します。
この設定は、［PMK キャッシュを有効にする］を選択した場合のみ有効です。
使用できる値は 5～1440 です。
デフォルト値は［720］です。
PMK キャッシュのエントリ
数
この設定では、デバイスがキャッシュに保存できる PMK エントリの最大数を指定します。
この設定は、［PMK キャッシュを有効にする］を選択した場合のみ有効です。
使用できる値は 1～255 です。
デフォルト値は［128］です。
このネットワークでは事前
認証を使用する
この設定では、アクセスポイントが WPA2 高速ローミングの事前認証をサポートするかど
うかを指定します。
事前認証によって、1 つのワイヤレスアクセスポイントに接続しているデバイスが、その
範囲内の他のワイヤレスアクセスポイントで 802.1X 設定を実行できます。事前認証で
は、PMK と関連付けられた情報が PMK キャッシュに保存されます。デバイスが事前認証
済みのワイヤレスアクセスポイントに接続する場合は、キャッシュされた PMK 情報を使
用して、認証と接続に要する時間を短縮できます。
この設定は、［PMK キャッシュを有効にする］を選択した場合のみ有効です。
380
プロファイル設定
Windows Phone：Wi-Fi プロ
ファイル設定
事前認証の最大試行回数
説明
この設定では、許容される事前認証の最大試行回数を指定します。
この設定は、
［このネットワークでは事前認証を使用する］を選択した場合のみ有効です。
使用できる値は 1～16 です。
デフォルト値は［3］です。
381
プロファイル設定
VPN プロファイル設定
34
実際の値を指定するのではなく、値を参照するためにテキストフィールドになっているプロファイル設定では、変数を使
用できます。 BES12 は、事前定義されたデフォルトの変数と定義されたカスタム変数をサポートしています。 VPN プロ
ファイルは、以下のデバイスタイプでサポートされています。
•
BlackBerry 10
•
iOS
•
KNOX Workspace
ときには、設定をサポートするためのデバイス OS の必要最小バージョンが、BES12 によってサポートされていないバー
ジョンである場合があります。サポートされているバージョンの詳細については、インストールおよびアップグレード関
連の資料で『互換性一覧表』を参照してください。
BlackBerry 10：VPN プロファイル設定
BlackBerry 10：VPN プロ
ファイル設定
説明
サーバーアドレス
この設定では、VPN サーバーの FQDN または IP アドレスを指定します。
ゲートウェイタイプ
この設定は、BlackBerry 10 デバイスの VPN クライアントがエミュレートする VPN クライ
アントの種類を指定します。
使用できる値：
•
Check Point VPN-1
•
Cisco VPN 3000 Series Concentrator
•
Cisco Secure PIX Firewall
•
Cisco IOS Easy VPN
•
Cisco ASA Series
•
Cisco AnyConnect
•
Juniper SRX Series（IPsec VPN）
•
Juniper MAG Series または Juniper SA Series（SSL VPN）
•
Microsoft IKEv2 VPN サーバー
•
汎用 IKEv2 VPN サーバー
デフォルト値は［Check Point VPN-1］です。
382
プロファイル設定
BlackBerry 10：VPN プロ
ファイル設定
認証の種類
説明
この設定では、VPN ゲートウェイの認証の種類を指定します。
［ゲートウェイタイプ］によって、サポートされる認証の種類と、この設定のデフォルト
値が決定されます。
使用できる値：
事前共有キーまたはグルー
プパスワード
•
PSK
•
PKI
•
XAUTH-PSK
•
XAUTH-PKI
•
EAP-TLS
•
EAP-MS-CHAPv2
この設定では、VPN ゲートウェイの事前共有キーまたはグループパスワードを指定しま
す。
この設定は、［認証の種類］が［PSK］または［XAUTH-PSK］に設定されている場合のみ
有効です。
ユーザー名
この設定では、BlackBerry 10 デバイスが VPN ゲートウェイ認証に使用するユーザー名を
指定します。プロファイルが複数のユーザーに対応している場合は、%UserName% 変数
を使用できます。
この設定は、［ゲートウェイタイプ］が［Cisco AnyConnect］に設定されているか、［認証
の種類］が［XAUTH-PSK］または［XAUTH-PKI］に設定されている場合のみ有効です。
ハードウェアトークン
この設定では、ユーザーが VPN ゲートウェイでの認証を受けるためにハードウェアトーク
ンを使用する必要があるかどうかを指定します。
この設定は、［認証の種類］が［XAUTH-PSK］または［XAUTH-PKI］に設定されている場
合のみ有効です。
パスワード
この設定では、BlackBerry 10 デバイスが VPN ゲートウェイ認証に使用するパスワードを
指定します。
この設定は、［ゲートウェイタイプ］が［Cisco AnyConnect］に設定されているか、［認証
の種類］が［XAUTH-PSK］または［XAUTH-PKI］に設定されており、［ハードウェアトー
クン］が未選択である場合のみ有効です。
EAP ID
この設定では、BlackBerry 10 デバイスが VPN ゲートウェイ認証に使用する EAP ID を指定
します。
383
プロファイル設定
BlackBerry 10：VPN プロ
ファイル設定
説明
この設定は、［認証の種類］が［EAP-TLS］に設定されている場合のみ有効です。
MS-CHAPv2 EAP ID
この設定では、BlackBerry 10 デバイスが VPN ゲートウェイ認証に使用する MS-CHAPv2
EAP ID を指定します。
この設定は、［認証の種類］が［EAP-MS-CHAPv2］に設定されている場合のみ有効です。
MS-CHAPv2 ユーザー名
この設定では、BlackBerry 10 デバイスが VPN ゲートウェイ認証に使用する MS-CHAPv2
ユーザー名を指定します。
この設定は、［認証の種類］が［EAP-MS-CHAPv2］に設定されている場合のみ有効です。
MS-CHAPv2 パスワード
この設定では、BlackBerry 10 デバイスが VPN ゲートウェイ認証に使用する MS-CHAPv2
パスワードを指定します。
この設定は、［認証の種類］が［EAP-MS-CHAPv2］に設定されている場合のみ有効です。
認証 ID の種類
この設定は、VPN ゲートウェイの認証 ID の種類を指定します。
この設定は、
［ゲートウェイタイプ］が［Juniper MAG Series または Juniper SA Series（SSL
VPN）］、
［Microsoft IKEv2 VPN サーバー］または［汎用 IKEv2 VPN サーバー］に設定されて
いる場合にのみ有効です。
［ゲートウェイタイプ］によって、サポートされる認証 ID の種類と、この設定のデフォル
ト値が決定されます。
使用できる値：
•
IPv4
•
完全修飾ドメイン名
•
メールアドレス
•
ID 証明書の識別名
•
ID 証明書の一般名
認証 ID またはグループユー
この設定では、VPN ゲートウェイの認証 ID またはグループユーザー名を指定します。
ザー名
この設定は、
［ゲートウェイタイプ］が［Juniper MAG Series または Juniper SA Series（SSL
VPN）］、
［Microsoft IKEv2 VPN サーバー］または［汎用 IKEv2 VPN サーバー］に設定されて
いる場合、または［認証の種類］が［PSK］または［XAUTH-PSK］に設定されている場合
のみ有効です。
ゲートウェイ認証の種類
この設定では、VPN ゲートウェイのゲートウェイ認証の種類を指定します。
384
プロファイル設定
BlackBerry 10：VPN プロ
ファイル設定
説明
この設定は、
［ゲートウェイタイプ］が［Juniper MAG Series または Juniper SA Series（SSL
VPN）］、
［Microsoft IKEv2 VPN サーバー］または［汎用 IKEv2 VPN サーバー］に設定されて
いる場合にのみ有効です。
使用できる値：
•
なし
•
PSK
•
PKI
デフォルト値は［なし］です。
ゲートウェイ事前共有キー
この設定では、VPN ゲートウェイのゲートウェイ事前共有キーを指定します。
この設定は、［ゲートウェイ認証の種類］が［PSK］に設定されている場合のみ有効です。
ゲートウェイ認証 ID の種類
この設定では、VPN ゲートウェイのゲートウェイ認証 ID の種類を指定します。
この設定は、
［ゲートウェイタイプ］が［Juniper MAG Series または Juniper SA Series（SSL
VPN）］、
［Microsoft IKEv2 VPN サーバー］または［汎用 IKEv2 VPN サーバー］に設定されて
いる場合にのみ有効です。
使用できる値：
•
IPv4
•
完全修飾ドメイン名
•
メールアドレス
•
ID 証明書の識別名
•
ID 証明書の一般名
デフォルト値は［IPv4］です。
ゲートウェイ認証 ID
この設定では、VPN ゲートウェイのゲートウェイ認証 ID を指定します。
この設定は、
［ゲートウェイ認証 ID の種類］が［完全修飾ドメイン名］または［メールア
ドレス］に設定されている場合のみ有効です。
セカンダリユーザー名
この設定では、BlackBerry 10 デバイスが VPN ゲートウェイでセカンダリ認証を行うため
に使用するユーザー名を指定します。プロファイルが複数のユーザーに対応している場
合は、%UserName% 変数を使用できます。
この設定は、
［ゲートウェイタイプ］が［Cisco AnyConnect］に設定されている場合のみ有
効です。
385
プロファイル設定
BlackBerry 10：VPN プロ
ファイル設定
説明
最小要件は、BlackBerry 10 OS バージョン 10.3.1 です。
セカンダリパスワード
この設定では、BlackBerry 10 デバイスが VPN ゲートウェイでセカンダリ認証を行うため
に使用するパスワードを指定します。
この設定は、
［ゲートウェイタイプ］が［Cisco AnyConnect］に設定されている場合のみ有
効です。
最小要件は、BlackBerry 10 OS バージョン 10.3.1 です。
グループ名
この設定では、VPN ゲートウェイのグループ名を指定します。
この設定は、
［ゲートウェイタイプ］が［Cisco AnyConnect］に設定されている場合のみ有
効です。
最小要件は、BlackBerry 10 OS バージョン 10.3.1 です。
仕事用ネットワークでの個
人用アプリの使用を許可す
る
この設定では、BlackBerry 10 デバイス上の個人用アプリケーションが VPN 接続を使用で
きるようにするかどうかを指定します。
この設定は、［ゲートウェイタイプ］が［Cisco AnyConnect］に設定されており、［個人用
アプリケーションに仕事用ネットワークの使用を許可する］IT ポリシーが選択されている
場合にのみ有効です。
最小要件は、BlackBerry 10 OS バージョン 10.3.1 です。
自動クライアント証明書プ
ロセスを有効にする
この設定では、VPN 接続が行われる場合に、クライアント証明書を自動的に選択するかど
うかを指定します。
この設定は、
［ゲートウェイタイプ］が［Cisco AnyConnect］に設定されている場合のみ有
効です。
最小要件は、BlackBerry 10 OS バージョン 10.3.1 です。
IPsec 認証を有効にする
この設定では、VPN ゲートウェイが IPsec 認証を使用するかどうかを指定します。
この設定は、
［ゲートウェイタイプ］が［Cisco AnyConnect］に設定されている場合のみ有
効です。
最小要件は、BlackBerry 10 OS バージョン 10.3.1 です。
IPsec 認証の種類
この設定では、IPsec VPN 接続の認証の種類を指定します。
この設定は、［IPsec 認証を有効にする］設定が選択されている場合のみ有効です。
使用できる値：
386
プロファイル設定
BlackBerry 10：VPN プロ
ファイル設定
説明
•
EAP-MS-CHAPv2
•
EAP-MD5
•
EAP-GTC
•
EAP-AnyConnect
•
IKE-RSA
デフォルト値は［EAP-MS-CHAPv2］です。
最小要件は、BlackBerry 10 OS バージョン 10.3.1 です。
EAP 認証 ID
この設定では、BlackBerry 10 デバイスが VPN ゲートウェイ認証に使用する EAP ID を指定
します。
この設定は、［IPsec 認証の種類］が［EAP MSCHAPv2］、［EAP MD5］、または［EAP GTC］
に設定されている場合のみ有効です。
サブネットを除外する
この設定では、VPN 接続の使用から指定されたサブネットを除外するかどうかを指定しま
す。
この設定は、
［ゲートウェイタイプ］が［Cisco AnyConnect］に設定されている場合のみ有
効です。
最小要件は、BlackBerry 10 OS バージョン 10.3.1 です。
除外サブネット
この設定では、VPN 接続を介して送信しないサブネットおよびサブネットマスクを指定し
ます。
この設定は、［サブネットフラグを除外する］設定が選択されている場合のみ有効です。
Cisco AnyConnect 設定ファ
この設定では、BlackBerry 10 デバイスに送信する Cisco AnyConnect 設定ファイルの場所
イル（.xml）
を指定します。
この設定は、
［ゲートウェイタイプ］が［Cisco AnyConnect］に設定されている場合のみ有
効です。
最小要件は、BlackBerry 10 OS バージョン 10.3.1 です。
IP を自動的に決定する
この設定では、BlackBerry 10 デバイスが VPN ゲートウェイの IP 設定を自動的に決定する
かどうかを指定します。
プライベート IP
この設定では、VPN ゲートウェイのプライベート IP を指定します。
この設定は、［IP を自動的に決定］設定が選択されていない場合のみ有効です。
387
プロファイル設定
BlackBerry 10：VPN プロ
ファイル設定
プライベート IP マスク
説明
この設定では、VPN ゲートウェイのプライベート IP マスクを指定します。
この設定は、［IP を自動的に決定］設定が選択されていない場合のみ有効です。
サブネット
この設定では、VPN ゲートウェイのサブネットを指定します。
この設定は、［IP を自動的に決定］設定が選択されていない場合のみ有効です。
サブネットマスク
この設定では、VPN ゲートウェイのサブネットマスクを指定します。
この設定は、［IP を自動的に決定］設定が選択されていない場合のみ有効です。
DNS を自動的に決定する
この設定では、BlackBerry 10 デバイスが VPN ゲートウェイの DNS 設定を自動的に決定す
るかどうかを指定します。
プライマリ DNS
この設定では、ドット付き 10 進表記（たとえば、192.0.2.0）でプライマリ DNS サーバー
を指定します。
この設定は、［DNS を自動的に決定］設定が選択されていない場合のみ有効です。
セカンダリ DNS
この設定では、ドット付き 10 進表記（たとえば、192.0.2.0）でセカンダリ DNS サーバー
を指定します。
この設定は、［DNS を自動的に決定］設定が選択されていない場合のみ有効です。
ドメインサフィックス
この設定では、DNS サフィックスの FQDN を指定します。
この設定は、［DNS を自動的に決定］設定が選択されていない場合のみ有効です。
Perfect Forward Secrecy
この設定では、VPN ネットワークが PFS をサポートするかどうかを指定します。
この設定が選択されている場合は、［IPsec DH グループ］は 0 以外に設定する必要があり
ます。
アルゴリズムの手動選択
この設定では、VPN ゲートウェイの暗号化アルゴリズムを設定する必要があるかどうかを
指定します。
IKE DH グループ
この設定では、BlackBerry 10 デバイスがキーマテリアルを生成するために使用する DH グ
ループを指定します。
この設定は、［アルゴリズムを手動選択］設定が選択されている場合のみ有効です。
使用できる値：
•
1～26（3、4、6 を除く）
•
カスタム 1～カスタム 5
388
プロファイル設定
BlackBerry 10：VPN プロ
ファイル設定
説明
デフォルト値は［1］です。
カスタム IKE DH プロバイ
この設定では、カスタム IKE DH のプロバイダーの名前を指定します。
ダー
この設定は、［IKE DH グループ］がカスタム値のいずれかに設定されている場合のみ有効
です。
MOBIKE を有効にする
この設定では、VPN ゲートウェイが MOBIKE をサポートするかどうかを指定します。
この設定は、
［ゲートウェイタイプ］が［Microsoft IKEv2 VPN サーバー］または［汎用 IKEv2
VPN サーバー］に、
［認証の種類］が［PKI］、
［IKE DH グループ］がカスタム値のいずれか
に設定されている場合のみ有効です。
最小要件は、BlackBerry 10 OS バージョン 10.3.1 です。
IKE 暗号化
この設定では、BlackBerry 10 デバイスが共有の秘密鍵を生成するために使用するアルゴリ
ズムを指定します。
この設定は、［アルゴリズムを手動選択］設定が選択されている場合のみ有効です。
使用できる値：
•
なし
•
DES（56 ビットキー）
•
Triple DES（168 ビットキー）
•
AES（128 ビットキー）
•
AES（192 ビットキー）
•
AES（256 ビットキー）
デフォルト値は［なし］です。
IKE のハッシュ
この設定では、BlackBerry 10 デバイスが IKE とともに使用するハッシュ関数を指定しま
す。
この設定は、［アルゴリズムを手動選択］設定が選択されている場合のみ有効です。
使用できる値：
•
なし
•
MD5
•
AES-XCBC
•
SHA-1
389
プロファイル設定
BlackBerry 10：VPN プロ
ファイル設定
説明
•
SHA-256
•
SHA-384
•
SHA-512
デフォルト値は［なし］です。
IKE PRF
この設定では、BlackBerry 10 デバイスが IKE とともに使用する PRF を指定します。
この設定は、［アルゴリズムを手動選択］設定が選択されている場合のみ有効です。
使用できる値：
•
なし
•
HMAC
•
HMAC-MD5
•
AES-XCBC
•
HMAC-SHA-1
•
HMAC-SHA-256
•
HMAC-SHA-384
•
HMAC-SHA-512
デフォルト値は［なし］です。
IPsec DH グループ
この設定では、BlackBerry 10 デバイスが IPsec とともに使用する DH グループを指定しま
す。
この設定は、［アルゴリズムを手動選択］設定が選択されている場合のみ有効です。
使用できる値は、0～26（3、4、6 を除く）です。
デフォルト値は［0］です。
IPsec 暗号化
この設定では、BlackBerry 10 デバイスが IPsec とともに使用するアルゴリズムを指定しま
す。
この設定は、［アルゴリズムを手動選択］設定が選択されている場合のみ有効です。
使用できる値：
•
なし
•
DES（56 ビットキー）
•
Triple DES（168 ビットキー）
390
プロファイル設定
BlackBerry 10：VPN プロ
ファイル設定
説明
•
AES（128 ビットキー）
•
AES（192 ビットキー）
•
AES（256 ビットキー）
デフォルト値は［なし］です。
IPsec のハッシュ
この設定では、BlackBerry 10 デバイスが IPsec とともに使用するハッシュ関数を指定しま
す。
この設定は、［アルゴリズムを手動選択］設定が選択されている場合のみ有効です。
使用できる値：
•
なし
•
MD5
•
AES-XCBC
•
SHA-1
•
SHA-256
•
SHA-384
•
SHA-512
デフォルト値は［なし］です。
IKE の有効期間
この設定では、IKE 接続のライフタイムを秒単位で指定します。サポートされていない値
または Null 値に設定すると、BlackBerry 10 デバイスのデフォルト値が使用されます。
使用できる値は 1～2,147,483,647 です。
IPsec の有効期間
この設定では、IPsec 接続のライフタイムを秒単位で指定します。サポートされていない
値または Null 値に設定すると、BlackBerry 10 デバイスのデフォルト値が使用されます。
使用できる値は 1～2,147,483,647 です。
NAT キープアライブ
この設定では、デバイスが NAT キープアライブパケットを送信する頻度を指定します。
サポートされていない値または Null 値に設定すると、BlackBerry 10 デバイスのデフォル
ト値が使用されます。
使用できる値は 1～2,147,483,647 です。
DPD の頻度
この設定では、DPD の頻度を秒単位で指定します。 BlackBerry 10 デバイスは最小値とし
て 10 秒をサポートしています。サポートされていない値または Null 値に設定すると、デ
バイスのデフォルト値が使用されます。
391
プロファイル設定
BlackBerry 10：VPN プロ
ファイル設定
説明
使用できる値は 1～2,147,483,647 です。
スプリットトンネリング
この設定では、VPN ゲートウェイがスプリットトンネリングをサポートしている場合、
BlackBerry 10 デバイスがスプリットトンネリングを使用して、VPN ゲートウェイをバイパ
スできるようにするかどうかを指定します。
バナーを無効にする
この設定では、BlackBerry 10 デバイスが VPN バナーをブロックするかどうかを指定しま
す。
ユーザーが編集可能
この設定では、BlackBerry 10 デバイスユーザーが変更できる VPN 設定を指定します。こ
れが［読み取り専用］に設定されている場合、ユーザーはどの設定も変更できません。こ
れが［資格情報のみ］に設定されている場合、ユーザーはユーザー名とパスワードを変更
できます。
使用できる値：
•
読み取り専用
•
資格情報のみ
デフォルト値は［読み取り専用］です。
デバイスに VPN 情報を表示
この設定では、BlackBerry 10 デバイスに VPN 情報を表示するかどうかを指定します。こ
する
の設定が［表示可能］に設定されている場合、VPN プロファイル情報の大半がデバイスに
表示されます。この設定が［非表示］に設定されている場合、プロファイル名のみがデバ
イスに表示されます。この設定が［資格情報のみ］に設定されている場合、プロファイル
名と資格情報フィールドがデバイスに表示されます。
使用できる値：
•
表示
•
非表示
•
資格情報のみ
デフォルト値は［表示可能］です。
クライアント証明書のソー
ス
この設定では、BlackBerry 10 デバイスがクライアント証明書を取得可能な方法を指定しま
す。デバイスがクライアント証明書を取得するための 4 つのオプションがあります。
•
［SCEP］を選択した場合は、デバイスがクライアント証明書をダウンロードするため
に使用できる、関連付けられた SCEP プロファイルも指定する必要があります。
392
プロファイル設定
BlackBerry 10：VPN プロ
ファイル設定
説明
•
［ユーザー資格情報］を選択した場合は、デバイスがクライアント証明書をダウンロー
ドするために使用できる、ユーザー資格情報プロファイルも指定する必要がありま
す。
•
［スマートカード］を選択した場合は、ユーザーはクライアント証明書を含むスマー
トカードとデバイスをペアリングする必要があります。
•
［その他］を選択した場合は、ユーザーが手動でクライアント証明書をデバイスに追
加する必要があります。
スマートカードは、BlackBerry 10 OS バージョン 10.3.1 以降を実行しているデバイスでサ
ポートされています。
この設定は、
［認証の種類］が［PKI］または［XAUTH-PKI］に設定されている場合のみ有
効です。
使用できる値：
•
スマートカード
•
SCEP
•
ユーザー資格情報
•
その他
デフォルト値は［その他］です。
関連付けられた SCEP プロ
この設定では、BlackBerry 10 デバイスが VPN 認証に使用するクライアント証明書を取得
ファイル
するための関連付けられた SCEP プロファイルを指定します。
この設定は、［クライアント証明書のソース］が［SCEP］に設定されている場合のみ有効
です。
関連付けられたユーザー資
格情報プロファイル
この設定では、BlackBerry 10 デバイスが VPN 認証に使用するクライアント証明書を取得
するための関連付けられたユーザー資格情報プロファイルを指定します。
この設定は、［クライアント証明書のソース］が［ユーザー資格情報］に設定されている
場合のみ有効です。
ユーザー資格情報を使用するための最小要件は、BlackBerry 10 OS バージョン 10.3.1 で
す。
信頼されない証明書アク
ション
この設定では、BlackBerry 10 デバイスが信頼されない証明書を受け入れるかどうかを設定
します。［許可］に設定すると、デバイスは信頼されない証明書を自動的に受け入れま
す。［プロンプト］に設定すると、ユーザーは信頼されない証明書を受け入れるかどうか
を選択できます。［許可しない］に設定すると、デバイスは信頼されない証明書を受け入
れません。
393
プロファイル設定
BlackBerry 10：VPN プロ
ファイル設定
説明
［ゲートウェイタイプ］の設定によって、サポートする信頼されない証明書アクションと、
この設定のデフォルト値が決定されます。
使用できる値：
•
許可
•
確認
•
許可しない
最小要件は、BlackBerry 10 OS バージョン 10.3.2 です。
信頼済み証明書のソース
この設定では、信頼済み証明書のソースを指定します。これが［信頼済み証明書ストア］
に設定されている場合、BlackBerry 10 デバイスは VPN 証明書ストアの証明書を使用して
いる VPN に接続できます。
この設定は、
［認証の種類］が［PKI］または［XAUTH-PKI］に設定されている場合のみ有
効です。
使用できる値：
•
なし
•
信頼済み証明書ストア
デフォルト値は［なし］です。
データセキュリティレベル
この設定では、仕事用領域が高度な保存データ保護を使用している場合に、VPN プロファ
イルが保存される仕事用領域内のドメインを指定します。この設定は、［高度な保存デー
タ保護を強制する］IT ポリシールールが選択されている場合にのみ有効です。これが［常
に使用可能］に設定されている場合、プロファイルは起動（Startup）ドメインに保存さ
れ、仕事用領域がロックされている場合に使用できます。これが［認証後に使用可能］に
設定されている場合、プロファイルは操作（Operational）ドメインに保存され、仕事用領
域がロック解除された後、デバイスが再起動されるまで使用可能です。これが［仕事用領
域がロック解除された場合のみ使用可能］に設定されている場合、プロファイルはロック
（Lock）ドメインに保存され、仕事用領域がロック解除されている場合のみ VPN 接続用に
使用できます。
使用できる値：
•
常に使用可能
•
認証後に使用可能
•
仕事用領域がロック解除された場合のみ使用可能
デフォルト値は［常に使用可能］です。
394
プロファイル設定
BlackBerry 10：VPN プロ
ファイル設定
説明
最小要件は、BlackBerry 10 OS バージョン 10.3.1 です。
関連付けられたプロキシプ
ロファイル
この設定では、BlackBerry 10 デバイスが VPN に接続されている場合に、プロキシサーバー
に接続するために使用する関連付けられているプロキシプロファイルを指定します。
iOS：VPN プロファイル設定
iOS：VPN プロファイル設定
説明
接続タイプ
この設定では、iOS デバイスが VPN ゲートウェイ用に使用する接続タイプを指定しま
す。一部の接続タイプでは、ユーザーが適切な VPN アプリをデバイスにインストールす
る必要があります。
使用できる値：
•
L2TP
•
PPTP
•
IPSec
•
Cisco AnyConnect
•
Juniper
•
F5
•
SonicWALL Mobile Connect
•
Aruba VIA
•
Check Point Mobile
•
OpenVPN
•
カスタム
デフォルト値は［L2TP］です。
VPN バンドル ID
この設定では、カスタム SSL VPN に対応する VPN アプリのバンドル ID を指定します。
バンドル ID はリバース DNS 形式（com.example.VPNapp など）です。
この設定は、［接続タイプ］が［カスタム］に設定されている場合のみ有効です。
サーバー
この設定では、VPN サーバーの FQDN または IP アドレスを指定します。
395
プロファイル設定
iOS：VPN プロファイル設定
説明
ユーザー名
この設定では、iOS デバイスが VPN ゲートウェイ認証に使用するユーザー名を指定しま
す。プロファイルが複数のユーザーに対応している場合は、%UserName% 変数を指定で
きます。
カスタムキー値ペア
この設定では、カスタム SSL VPN 用のキーと関連付けられている値を指定します。設定
情報は、ベンダーの VPN アプリに固有です。
この設定は、［接続タイプ］が［カスタム］に設定されている場合のみ有効です。
ログイングループまたはドメ
イン
この設定では、VPN ゲートウェイが iOS デバイスを認証するために使用するログイング
ループまたはドメインを指定します。
この設定は、［接続タイプ］が［SonicWALL Mobile Connect］に設定されている場合のみ
有効です。
領域
この設定では、VPN ゲートウェイが iOS デバイスを認証するために使用する認証領域の
名前を指定します。
この設定は、［接続タイプ］が［Juniper］に設定されている場合のみ有効です。
ロール
この設定では、VPN ゲートウェイが iOS デバイスによるアクセスが可能なネットワーク
リソースを確認するためにユーザーロールの名前を指定します。
この設定は、［接続タイプ］が［Juniper］に設定されている場合のみ有効です。
認証の種類
この設定では、VPN ゲートウェイの認証の種類を指定します。
［接続タイプ］によって、サポートされる認証の種類と、この設定のデフォルト値が決定
されます。
使用できる値：
パスワード
•
パスワード
•
RSA SecurID
•
共有の秘密/グループ名
•
共有証明書
•
SCEP
•
ユーザー資格情報
この設定では、iOS デバイスが VPN ゲートウェイ認証に使用するパスワードを指定しま
す。
この設定は、［認証の種類］が［パスワード］に設定されている場合のみ有効です。
396
プロファイル設定
iOS：VPN プロファイル設定
説明
グループ名
この設定では、VPN ゲートウェイのグループ名を指定します。
この設定は、［接続タイプ］が［Cisco AnyConnect］に設定されている場合、または［接
続タイプ］が［IPsec］に設定され、［認証の種類］が［共有の秘密/グループ名］に設定
されている場合にのみ有効です。
共有秘密
この設定では、VPN ゲートウェイの共有の秘密を指定します。
この設定は、
［接続タイプ］が［L2TP］に設定されている場合、または［接続タイプ］が
［認証の種類］が［共有の秘密/グループ名］に設定されている場合
［IPsec］に設定され、
にのみ有効です。
共有証明書プロファイル
この設定では、iOS デバイスが VPN ゲートウェイ認証に使用するクライアント証明書を
含む共有証明書プロファイルを指定します。
この設定は、［認証の種類］が［共有証明書］に設定されている場合のみ有効です。
関連付けられた SCEP プロ
この設定では、iOS デバイスが VPN 認証に使用するクライアント証明書を取得するため
ファイル
の関連付けられた SCEP プロファイルを指定します。
この設定は、［認証の種類］が［SCEP］に設定されている場合のみ有効です。
関連付けられたユーザー資格
情報プロファイル
この設定では、iOS デバイスが VPN 認証に使用するクライアント証明書を取得するため
の関連付けられたユーザー資格情報プロファイルを指定します。
この設定は、［認証の種類］が［ユーザー資格情報］に設定されている場合のみ有効で
す。
暗号化レベル
この設定では、VPN 接続のデータ暗号化レベルを指定します。これが［自動］に設定さ
れている場合は、使用可能な暗号化強度がすべて許可されます。これが［最大］に設定
されている場合は、最大の暗号化強度のみが許可されます。
この設定は、［接続タイプ］が［PPTP］に設定されている場合のみ有効です。
使用できる値：
•
なし
•
自動
•
最大
デフォルト値は［なし］です。
VPN 経由でネットワークトラこの設定では、すべてのネットワークトラフィックを VPN 接続経由で送信するかどうか
フィックをルーティングする
を指定します。
397
プロファイル設定
iOS：VPN プロファイル設定
説明
この設定は、［接続タイプ］が［L2TP］または［PPTP］に設定されている場合のみ有効
です。
ハイブリッド認証を使用する
この設定では、認証にサーバー側の証明書を使用するかどうかを指定します。
この設定は、［接続タイプ］が［IPsec］、［認証の種類］が［共有の秘密/グループ名］に
設定されている場合にのみ有効です。
パスワードの入力を求める
この設定では、iOS デバイスがユーザーにパスワードの入力を求めるプロンプトを表示す
るかどうかを指定します。
この設定は、［接続タイプ］が［IPsec］、［認証の種類］が［共有の秘密/グループ名］に
設定されている場合にのみ有効です。
ユーザー PIN の入力を求めるこの設定では、iOS デバイスがユーザーに PIN の入力を求めるプロンプトを表示するかど
うかを指定します。
この設定は、
［接続タイプ］が［IPsec］、
［認証の種類］が［共有証明書］、
［SCEP］、また
は［ユーザー資格情報］に設定されている場合にのみ有効です。
VPN オンデマンドを有効にすこの設定では、デバイスが特定のドメインにアクセスしたときに、VPN 接続を自動的に
る
開始できるようにするかどうかを指定します。
この設定は、仕事用アプリケーションに適用されます。
この設定は、
［接続タイプ］が［IPsec］、
［Cisco AnyConnect］、
［Juniper］、
［F5］、
［SonicWALL
Mobile Connect］、［Aruba VIA］、［Check Point Mobile］、［OpenVPN］、または［カスタム］
に設定され、
［認証の種類］が［共有証明書］または［ユーザー資格情報］に設定されて
いる場合にのみ有効です。
VPN オンデマンドを使用できこの設定では、VPN オンデマンド対応のドメインおよび関連付けられているアクション
るドメインまたはホスト名
を指定します。
この設定は、［VPN オンデマンドを有効にする］設定が選択されている場合のみ有効で
す。
［オンデマンドアクション］に使用できる値：
•
常に確立
•
必要に応じて確立
•
確立しない
iOS 7.0 以降の VPN オンデマ
この設定では、VPN オンデマンドの接続要件を指定します。ペイロード形式の例の中か
ンドルール
ら 1 つ以上のキーを使用する必要があります。
398
プロファイル設定
iOS：VPN プロファイル設定
説明
この設定は、
［VPN オンデマンドを使用できるドメインまたはホスト名］の設定を無効に
します。
この設定は、［VPN オンデマンドを有効にする］設定が選択されている場合のみ有効で
す。
per-app VPN を有効にする
この設定では、VPN ゲートウェイが per-app VPN をサポートするかどうかを指定しま
す。この機能は、組織の VPN の負荷を軽減するために役立ちます。たとえば、ファイア
ウォールの内部にあるアプリケーションサーバーや Web ページへのアクセスなど、特定
の仕事用トラフィックのみが VPN を使用できるように指定できます。
この設定は、
［接続タイプ］が［Cisco AnyConnect］、
［Juniper］、
［F5］、
［SonicWALL Mobile
Connect］、
［Aruba VIA］、
［Check Point Mobile］、
［OpenVPN］、または［カスタム］に設定
されている場合のみ有効です。
Safari ドメイン
この設定では、Safari 内で VPN 接続を開始できるドメインを指定します。
この設定は、［per-app VPN を有効にする］設定が選択されている場合のみ有効です。
アプリの自動接続を許可する
この設定では、per-app VPN に関連付けられたアプリが VPN 接続を自動的に開始できる
ようにするかどうかを指定します。
この設定は、［per-app VPN を有効にする］設定が選択されている場合のみ有効です。
関連付けられたプロキシプロ
ファイル
この設定では、iOS デバイスが VPN に接続されている場合に、プロキシサーバーに接続
するために使用する関連付けられているプロキシプロファイルを指定します。
Android：VPN プロファイル設定
VPN プロファイルは Samsung KNOX Workspace デバイスでのみサポートされています。
VPN プロファイルを使用するには、［仕事用および個人用 - フルコントロール（Samsung KNOX）］または［仕事用領域専
用（Samsung KNOX）］のアクティベーションタイプで、デバイスのアクティベーションを行う必要があります。
Android：VPN プロファイル設
定
説明
サーバーアドレス
この設定では、VPN サーバーの FQDN または IP アドレスを指定します。
VPN の種類
この設定では、デバイスによる VPN サーバーへの接続に IPsec と SSL のどちらを使用す
るかを指定します。
使用できる値：
399
プロファイル設定
Android：VPN プロファイル設
定
説明
•
IPSec
•
SSL
デフォルト値は［IPsec］です。
Juniper VPN アプリは［SSL］のみをサポートしています。
必要なユーザー認証
この設定では、VPN サーバーに接続するためにデバイスユーザーがユーザー名とパス
ワードを指定する必要があるかどうかを指定します。
ユーザー名
この設定では、デバイスが VPN ゲートウェイ認証に使用するユーザー名を指定します。
プロファイルが複数のユーザーに対応している場合は、%UserName% 変数を使用できま
す。
この設定は、［必要なユーザー認証］設定が選択されている場合のみ有効です。
パスワード
この設定では、デバイスが VPN ゲートウェイ認証に使用するパスワードを指定します。
この設定は、［必要なユーザー認証］設定が選択されている場合のみ有効です。
スプリットトンネルの種類
VPN ゲートウェイがスプリットトンネリングをサポートしている場合、デバイスがスプ
リットトンネリングを使用して VPN ゲートウェイをバイパスできるかどうかは、この設
定により指定されます。
使用できる値：
•
無効
•
手動
•
自動
［VPN の種類］設定が［IPsec］に設定されている場合は、この設定を［無効］に設定す
る必要があります。
デフォルト値は［無効］です。
転送ルート
この設定は、VPN ゲートウェイをバイパスする 1 つ以上のルートを指定します。 1 つ以
上の IP アドレスを指定できます。
この設定は、
［VPN の種類］設定が［SSL］に設定され、
［スプリットトンネルの種類］設
定が［手動］に設定されている場合にのみ有効です。
DPD
この設定では、DPD を有効にするかどうかを指定します。
この設定は、［VPN の種類］が［IPsec］に設定されている場合のみ有効です。
400
プロファイル設定
Android：VPN プロファイル設
定
IKE のバージョン
説明
この設定では、VPN 接続で使用する IKE プロトコルのバージョンを指定します。
使用できる値：
•
IKEv1
•
IKEv2
デフォルト値は［IKEv1］です。
この設定は、［VPN の種類］が［IPsec］に設定されている場合のみ有効です。
IPsec 認証の種類
この設定では、IPsec VPN 接続の認証の種類を指定します。［IKE のバージョン］によっ
て、サポートされる IPsec 認証の種類と、この設定のデフォルト値が決定されます。
使用できる値：
•
証明書
•
事前共有キー
•
ハイブリッド RSA
•
CAC ベース認証
この設定は、［VPN の種類］が［IPsec］に設定されている場合のみ有効です。
IPsec グループ ID の種類
この設定では、VPN 接続の IPsec グループ ID の種類を指定します。［IPsec 認証の種類］
によって、サポートされる IPsec グループ ID の種類と、この設定のデフォルト値が決定
されます。
使用できる値：
•
デフォルト
•
IPv4 アドレス
•
完全修飾ドメイン名
•
ユーザー FQDN
•
IKE キー ID
［IPsec 認証の種類］の設定が［証明書］に設定されている場合は、この設定は自動的に
［デフォルト］に設定されます。
この設定は、［VPN の種類］が［IPsec］に設定されている場合のみ有効です。
IPsec グループ ID
この設定では、VPN 接続の IPsec グループ ID を指定します。
この設定は、［VPN の種類］が［IPsec］に設定されている場合のみ有効です。
401
プロファイル設定
Android：VPN プロファイル設
定
IKE フェーズ 1 キー交換モー
ド
説明
この設定では、VPN 接続の交換モードを指定します。
使用できる値：
•
メインモード
•
アグレッシブモード
デフォルト値は［メインモード］です。
この設定は、［VPN の種類］が［IPsec］に設定されている場合のみ有効です。
IKE の有効期間
この設定では、IKE 接続のライフタイムを秒単位で指定します。サポートされていない
値または Null 値に設定すると、デバイスのデフォルト値が使用されます。
この設定は、［VPN の種類］が［IPsec］に設定されている場合のみ有効です。
IKE 暗号化アルゴリズム
この設定は、［VPN の種類］が［IPsec］に設定されている場合のみ有効です。
IKE 整合性アルゴリズム
この設定は、［VPN の種類］が［IPsec］に設定されている場合のみ有効です。
IPsec DH グループ
この設定では、デバイスがキーマテリアルを生成するために使用する DH グループを指定
します。
使用できる値は、0、1、2、5、および 14～26 です。
デフォルト値は 0 です。
この設定は、［VPN の種類］が［IPsec］に設定されている場合のみ有効です。
IPsec パラメーター
この設定は、［VPN の種類］が［IPsec］に設定されている場合のみ有効です。
Perfect Forward Secrecy
この設定では、VPN ネットワークが PFS をサポートするかどうかを指定します。
この設定は、［VPN の種類］が［IPsec］に設定されている場合のみ有効です。
MOBIKE を有効にする
この設定では、VPN ゲートウェイが MOBIKE をサポートするかどうかを指定します。
この設定は、［VPN の種類］が［IPsec］に設定されている場合のみ有効です。
IPsec の有効期間
この設定では、IPsec 接続のライフタイムを秒単位で指定します。サポートされていない
値または Null 値に設定すると、デバイスのデフォルト値が使用されます。
この設定は、［VPN の種類］が［IPsec］に設定されている場合のみ有効です。
IPsec 暗号化アルゴリズム
この設定は、［VPN の種類］が［IPsec］に設定されている場合のみ有効です。
402
プロファイル設定
Android：VPN プロファイル設
定
説明
IPsec 整合性アルゴリズム
この設定は、［VPN の種類］が［IPsec］に設定されている場合のみ有効です。
認証の種類
この設定では、VPN ゲートウェイの認証の種類を指定します。
使用できる値：
•
なし
•
証明書ベース認証
•
CAC ベース認証
デフォルト値は［なし］です。
この設定は、［VPN の種類］が［SSL］に設定されている場合のみ有効です。
SSL アルゴリズム
この設定では、SSL VPN 接続に必要な暗号化アルゴリズムを指定します。
この設定は、［VPN の種類］が［SSL］に設定されている場合のみ有効です。
UID/PID 情報を追加する
この設定では、VPN クライアントアプリに送信されるパケットに UID および PID 情報を
追加するかどうかを指定します。
この設定は、Cisco AnyConnect VPN アプリに対して選択する必要があります。
サポート連鎖
この設定では、VPN 連鎖のサポート方法を指定します。
使用できる値：
•
サポート連鎖
•
外部トンネル
•
内部トンネル
デフォルト値は［サポート連鎖］です。
ベンダーとキー値ペア
この設定では、VPN 用のキーと関連付けられている値を指定します。設定情報は、ベン
ダーの VPN アプリに固有です。
VPN クライアントパッケージこの設定では、VPN アプリのパッケージ ID を指定します。
ID
エラー後に自動的に接続を再
試行する
この設定では、接続が失われた後に、VPN 接続を自動的に再起動するかどうかを指定し
ます。
403
プロファイル設定
Android：VPN プロファイル設
定
FIPS モードを有効にする
説明
この設定では、FIPS モードを有効にするかどうかを指定します。 FIPS モードを有効にし
た場合、VPN 接続に FIPS 検証済みの暗号化アルゴリズムのみが使用されるようになりま
す。
404
各デバイスタイプでサポートされる機能を比較します。
Multiplatform
デバイスタイプ別サ
ポートされている機
能
デバイスタイプ別サポートされている機能
デバイスタイプ別サポートされている機
能
35
このクイックリファレンスでは、BlackBerry 10、BlackBerry OS（バージョン 5.0～7.1）、iOS、Android、および Windows
Phone の各デバイスについて、BES12 バージョン 12.2 でサポートされている機能を比較します。
BlackBerry OS デバイスのサポートには、BES12 から BES5 へのアップグレードが必要です。
OS の互換性に関する最新情報については、help.blackberry.com/detectLang/bes12/ にアクセスし、インストールおよびアッ
プグレード関連の資料で「互換性一覧表」を参照してください。
デバイス機能
機能
BlackBerry 10
BlackBerry OS
アクティベーション
時にクライアントア
プリケーションまた
はアカウントセット
アップを要求する
iOS
Android
Windows Phone
√
√
√
仕事用データと個人
用データを分離する
√
√
√*
√*
個人用データのユー
ザープライバシーを
保護する
√
√
√*
√*
保存済み仕事用デー
タを暗号化する
√
√
√*
√*
アクティビティなし
の時間が続いた場合
に仕事用データへの
アクセスをロックす
る
√
√
√
√
アクティビティなし
の時間が続いた場合
に仕事用データを削
除する
√
√*
√*
406
√
デバイスタイプ別サポートされている機能
機能
BlackBerry 10
BlackBerry OS
iOS
Android
Windows Phone
√
√
√
√
√
√
√
√
√
√
√
√
IT コマンドを送信し
てデバイスを保護す
る
IT ポリシーを使用し
てデバイス機能を制
御する
メディアカードの暗
号化を強制する
√
* Android for Work を使用していない iOS デバイスと Android デバイスについては、Gold - Secure Work Space サーバーライ
センス、または Gold SIM ライセンスが必要です。
デバイスの詳細の表示
BlackBerry 10
BlackBerry OS
iOS
Android
Windows Phone
デバイスの所有権
√
√
√
√
√
ユーザー名、メール
アドレス、電話番号
√
√
√
√
√
アクティベーション
ステータス、最終接
続
√
√
√
√
√
通信事業者
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
機能
ハードウェアの詳細
（CPU、RAM、利用可
能なメモリおよびス
トレージ）
ネットワークの詳細
（IP、MAC、VPN、WiFi、セキュリティプロ
トコル）
ハードウェアの機能
（Bluetooth バージョ
ン、GPS、カメラ、
407
デバイスタイプ別サポートされている機能
機能
BlackBerry 10
BlackBerry OS
iOS
Android
Windows Phone
√
√
√
√
√
√
√
√
√
√
√
バッテリーレベル、
ジャイロスコープ、
フォームファクタ、
サイズ）
OS のタイプとバー
ジョン
コンプライアンス違
反のステータス
√
デバイスに適用され
たプロファイル
√
メディアカードの有
無と利用可能なスト
レージ
√
√
√
メディアカード暗号
化のステータス
√
√
√
仕事用アプリのイン
ストールのステータ
ス
√
√
√
√
√
√
デバイスの制御と組織のネットワークへのアクセスの設定
BlackBerry 10
BlackBerry OS
iOS
Android
Windows Phone
IT ポリシー
√
√
√
√
√
Exchange ActiveSync
√
√
√*
√
√
√
√
√
機能
メールプロファイル
IMAP/POP3 メールプ
ロファイル
アクティベーション
プロファイル
√
√
√
エンタープライズ接
続プロファイル
√
√
√
408
デバイスタイプ別サポートされている機能
BlackBerry 10
BlackBerry OS
iOS
Android
Windows Phone
Wi-Fi プロファイル
√
√
√
√
√
VPN プロファイル
√
√
√
√ **
プロキシプロファイ
ル
√
√
√
コンプライアンスプ
ロファイル
√
√
√
√
シングルサインオン
プロファイル
√
√
CA 証明書プロファ
√
√
√
√
√
√
機能
イル
共有証明書プロファ
イル
ユーザー資格情報プ
ロファイル
√
√
√
SCEP プロファイル
√
√
√
√ ***
√ ***
アプリロックモード
プロファイル
その他の OS 固有の
•
プロファイル
デバイス SR
要件プロ
ファイル
•
•
証明書取得
プロファイ
ル
•
•
ソフトウェ
ア設定
Web コンテ
ンツフィル
タープロ
ファイル
アクセス制
御ルール
•
Web アイコ
ンプロファ
イル
OCSP プロ
ファイル
•
•
•
位置情報
サービスプ
ロファイル
•
管理ドメイ
ンプロファ
イル
CRL プロ
ファイル
409
デバイスタイプ別サポートされている機能
* TouchDown がインストールされているデバイス、EDM API をサポートしている Motorola デバイス、Android for Work を使
用しているデバイス、または Exchange ActiveSync で Samsung KNOX を使用しているデバイスのみ。
** KNOX Workspace デバイスのみ。
*** MDM コントロールを使用している管理された iOS デバイス、および KNOX MDM を使用している Android デバイスの
み。
紛失または盗難にあったデバイスの保護
BlackBerry 10
BlackBerry OS
デバイスパスワード
を指定する
√
√
デバイスをロックす
る
√
√
機能
iOS
デバイスをロック解
除してパスワードを
クリアする
Android
Windows Phone
√
√
√
√
√
√
√
すべてのデバイス
データを削除
√
√
√
√*
√
仕事用データのみを
削除
√
√
√
√
√
* EDM API をサポートする Motorola デバイスでは、メディアカードの情報も削除されます。 Samsung KNOX Workspace を
使用しているデバイスでは、メディアカードにある情報の削除を選択できます。
ローミングの設定
機能
BlackBerry 10
ローミング中にメー
ルサーバーとの同期
を無効化する
√
ローミング中にデー
タを無効化する
√
BlackBerry OS
iOS
Android
√
√*
√*
* KNOX MDM を使用しているデバイスのみ。
410
Windows Phone
√
デバイスタイプ別サポートされている機能
アプリの管理
機能
ストアから一般のア
プリを配布する
（BlackBerry World、
BlackBerry 10
BlackBerry OS
√
iOS
Android
Windows Phone
√
√
√
App Store、Google
Play、Windows Phone
Store）
仕事用アプリのカタ
ログを管理する
√
√
√
√
√
内部アプリを配布す
る
√
√
√
√*
√
内部アプリのサイレ
ントインストール
√
√
√
√ **
√
* Android for Work を使用しているデバイスを除く Android デバイス。
** Samsung KNOX を使用しているデバイスのみ。
詳細
BES12 の詳細については、help.blackberry.com/detectLang/bes12/ を参照してください。
411
IT ポリシーの詳細については、help.blackberry.com/detectLang/bes12/current/policy-referencespreadsheet-zip/ から『ポリシーリファレンススプレッドシート』をダウンロードしてください。
Secure
ポリシーリファレン
ススプレッドシート
製品ドキュメント
製品ドキュメント
リソース
説明
概要および新機能
•
BES12 およびその機能の紹介
•
ドキュメントの読み進め方を見つける
•
アーキテクチャ
•
BES12 コンポーネントの説明
•
さまざまなデバイスタイプに関するアクティベーション、および設定の更新やメー
ルなどのその他のデータフローの説明
リリースノートおよび注意事
項
•
制限事項と考えられる対処方法の説明
インストールおよびアップグ
レード
•
システム要件
•
インストールまたは BES5 や BES10 からアップグレードするための BES12 導入の
計画
インストールおよび管理
設定
•
インストール上の注意事項
•
アップグレード上の注意事項
•
システム要件
•
インストール上の注意事項
•
BlackBerry Collaboration Service インスタンスの基本的な管理
•
BlackBerry Collaboration Service コンポーネントの説明
•
アーキテクチャ
•
さまざまなタイプのライセンスの説明
•
ライセンスをアクティブ化し管理する手順
•
ユーザーとそのデバイスの管理を開始する前に、サーバーコンポーネントを設定す
る方法に関する説明
•
BES10 データを既存の BES10 データベースから移行する手順
415
製品ドキュメント
リソース
説明
管理
•
BlackBerry 10 デバイス、iOS デバイス、Android デバイス、Windows Phone デバイ
ス、BlackBerry OS（バージョン 5.0～7.1）およびそれ以前のバージョンのデバイス
を含め、サポートされているすべてのデバイスタイプについての基本的な管理と詳
細な管理
•
ユーザーアカウント、グループ、ロール、および管理者アカウントの作成に関する
注意事項
•
デバイスのアクティベーションに関する注意事項
•
IT ポリシーおよびプロファイルの作成および割り当てに関する注意事項
•
デバイスでのアプリの管理に関する注意事項
•
プロファイル設定の説明
•
BlackBerry 10 デバイス、iOS デバイス、Android デバイス、Windows Phone デバイ
ス、BlackBerry OS（バージョン 5.0～7.1）およびそれ以前のバージョンのデバイス
の IT ポリシールールの説明
セキュリティ
•
BES12、BlackBerry Infrastructure、および BlackBerry 10 デバイスが維持し、データ
および接続を保護するセキュリティの説明
•
BlackBerry 10 OS の説明
•
BES12 を使用するとき、BlackBerry 10 デバイスで仕事用データを保護する方法の説
明
•
BES12 でアクティベーションされる BES12、BlackBerry Infrastructure、iOS、
Android、および Windows Phone デバイスで保存データおよび転送データを保護す
るために維持するセキュリティの説明
•
BES12 を使用するとき、仕事用領域対応デバイスで仕事用領域アプリを保護する方
法の説明
416
用語集
用語集
AES
Advanced Encryption Standard（米国政府の次世代標準暗号化方式）
AET
Application Enrollment Token（アプリケーション登録トークン）
APN
Apple プッシュ通知サービス
BES5
BlackBerry Enterprise Server 5
BES10
BlackBerry Enterprise Service 10
BES12
BlackBerry Enterprise Service 12
BES12 インスタンス
BES12 インスタンスとは、個別にインストールされるオプションのコンポーネントである
BlackBerry Router を除き、1 台のコンピューター上にインストールされているすべての BES12
コンポーネントを指しています。 BES12 インスタンスは、「unit of scale（スケールユニット）」
と呼ばれることもあります。
BlackBerry プロセス
BlackBerry プロセス間プロトコルは、BlackBerry 独自のプロトコルであり、BlackBerry Enterprise
間プロトコル
Server や BlackBerry Mobile Voice System など、BlackBerry Enterprise Solution のコンポーネント
が高度に安全な方法で相互に通信するために利用するセッションキーを生成します。
BlackBerry プロセス間プロトコルは、通信パスワードに基づいてセッションキーを生成します。
CA
Certification Authority（認証局）
証明書
証明書は証明書サブジェクトの ID と公開鍵をバインドするデジタル文書です。各証明書には、
証明書とは別に保存された、対応する秘密鍵があります。証明書には、それが本物で信頼でき
るものであることを示すために、認証局が署名します。
CRL
Certificate Revocation List（証明書失効リスト）
DEP
Device Enrollment Program
DNS
Domain Name System（ドメインネームシステム）
DPD
Dead Peer Detection
EAP
Extensible Authentication Protocol（拡張認証プロトコル）
EAP-FAST
Extensible Authentication Protocol Flexible Authentication via Secure Tunneling（拡張認証プロトコ
ル - セキュアトンネル経由の柔軟な認証）
EAP-MS-CHAP
Extensible Authentication Protocol Microsoft® Challenge Handshake Authentication Protocol（拡張
認証プロトコルの Microsoft® チャレンジハンドシェイク認証プロトコル）
EAP-TLS
Extensible Authentication Protocol Transport Layer Security（拡張認証プロトコルトランスポート
レイヤーセキュリティ）
417
用語集
EMM
Enterprise Mobility Management（エンタープライズモビリティ管理）
FQDN
Fully Qualified Domain Name（完全修飾ドメイン名）
GTC
Generic Token Card（汎用トークンカード）
HMAC
Keyed-hash message authentication code（ハッシュベースメッセージ認証コード）
HTTP
Hypertext Transfer Protocol（ハイパーテキスト転送プロトコル）
HTTPS
Hypertext Transfer Protocol over Secure Sockets Layer（HTTP に SSL によるデータ暗号化機能が付
加されたプロトコル）
IKE
Internet Key Exchange（インターネットキー交換）
IMAP
Internet Message Access Protocol（インターネットメッセージアクセスプロトコル）
IP
Internet Protocol
IPSec
Internet Protocol Security（インターネットプロトコルセキュリティ）
IT ポリシー
IT ポリシーは、デバイスのセキュリティ機能と動作を制御する複数のさまざまなルールで構成さ
れています。
LAN
Local Area Network（ローカルエリアネットワーク）
LDAP
Lightweight Directory Access Protocol（TCP/IP ネットワークで、ディレクトリデータベースにア
クセスするためのプロトコル）
MD5
Message-Digest アルゴリズム、バージョン 5
MDM
モバイルデバイス管理
MS-CHAP
Microsoft Challenge-Handshake Authentication Protocol（Microsoft チャレンジハンドシェイク認
証プロトコル）
NAT
Network Address Translation（ネットワークアドレス変換）
NTLM
NT LAN Manager（Microsoft と 3Com が開発したネットワーク OS）
OCSP
Online Certificate Status Protocol（オンライン証明書ステータスプロトコル）
PAC
Proxy Auto-Configuration（プロキシ自動設定）
PFS
Perfect Forward Secrecy（暗号化キーが解読された場合でも、それ以降の新たな暗号化キーによ
る通信の安全性には影響しないという概念）
PKI
Public Key Infrastructure（公開鍵インフラストラクチャ）
PMK
Pairwise Master Key（ペアマスター鍵）
POP
Post Office Protocol（サーバーからメールを受信するためのプロトコル）
PRF
pseudorandom function family（擬似ランダム関数ファミリ）
PSK
Pre-Shared Key（事前共有キー）
418
用語集
SCEP
Simple Certificate Enrollment Protocol
SHA
Secure Hash Algorithm（セキュアハッシュアルゴリズム）
S/MIME
Secure Multipurpose Internet Mail Extensions（メールの暗号化方式の標準）
SNMP
Simple Network Management Protocol（TCP/IP ネットワークにおいて、ネットワークに接続され
た通信機器をネットワーク経由で監視/制御するためのプロトコル）
領域
領域は、さまざまなタイプのデータ、アプリケーション、およびネットワーク接続の分離と管理
が可能なデバイスの区別されたエリアです。領域ごとに、データ保存、アプリケーション権限、
ネットワークルーティングに関する異なるルールを指定できます。領域は、以前はペリメー
ターとして知られていました。
SSL
Secure Sockets Layer（セキュアソケットレイヤー）
管理された iOS デバ
管理されたデバイスは、iOS デバイス機能の追加制御を許可するように設定されます。組織が所
イス
有する iOS デバイスの管理を有効にするために、Apple Configurator またはデバイス登録プログ
ラムを使用できます。
TCP
Transmission Control Protocol（伝送制御プロトコル）
TIMA
ARM TrustZone をベースにした Integrity Measurement Architecture
TLS
Transport Layer Security（トランスポート層セキュリティ）
USB
Universal Serial Bus（ユニバーサルシリアルバス）
VPN
Virtual Private Network（仮想プライベートネットワーク）
xAuth
Extended Authentication（拡張認証）
419
商標などに関する情報
商標などに関する情報
©2015 BlackBerry. すべての権利はその所有者に帰属します。 BlackBerry®、および関連する商標、名称、およびロゴは、
BlackBerry Limited の所有物であり、米国、およびその他の国において登録または使用されています。
Android、Google Chrome、および Google Play は、Google Inc. の商標です。 Apple、App Store、Apple Configurator、iCloud、
および Safari は、Apple Inc. の商標です。 Aruba および VIA は、Aruba Networks, Inc. の商標です。 Bluetooth は、Bluetooth
SIG の商標です。 Check Point および VPN-1 は、Check Point Software Technologies Ltd. の商標です。 Cisco、Cisco
AnyConnect、Cisco IOS、および PIX は、Cisco Systems, Inc. および/または米国およびその他の特定の国における関連会社
の商標です。 F5 is a trademark of F5 Networks, Inc. HTC EVO は、HTC Corporation の商標です。 IBM、Domino、およびメモ
は、International Business Machines Corporation の商標マークであり、世界中の多数の司法管轄地域で登録されています。
iOS は、Cisco Systems, Inc. および/または米国およびその他の特定の国における関連会社の商標です。 iOS® は、Apple Inc.
からライセンスの許諾を受けて使用されます。 Juniper は、Juniper Networks, Inc. の商標です。 Kerberos は、
Massachusetts Institute of Technology の商標です。 Microsoft、Active Directory、ActiveSync、Windows、および Windows
Phone は、米国および/またはその他の国における Microsoft Corporation の登録商標または商標マークです。 OpenVPN は、
OpenVPN Technologies, Inc. の商標です。 PGP は、PGP Corporation の商標です。 RSA は、RSA Security の商標です。
SonicWALL および Mobile Connect は、Dell, Inc. の商標です。 Symantec は、米国およびその他の国における Symantec
Corporation の商標または登録商標です。 T-Mobile は、Deutsche Telekom AG の商標です。 Wi-Fi、WPA、および WPA2 は、
Wi-Fi Alliance の商標です。 Entrust、Entrust IdentityGuard、および Entrust Authority Administration Services は、Entrust, Inc.
の商標です。 KNOX および Samsung KNOX は、Samsung Electronics Co., Ltd. の商標です。その他すべての商標は各社の所
有物です。
本書は、参照用として本書で取り上げるすべての文書（提供される文書または BlackBerry の Web サイトで参照可能な文
書）を含めて「現状のまま」または「参照可能な形で」提供されるか、またはアクセスすることができ、BlackBerry Limited
およびその関連会社（「BlackBerry」）はいかなる条件付け、承認、表明、または保証もしないものとし、BlackBerry は本
書の誤記、技術的な誤りまたはその他の誤り、エラー、遺漏について何ら責任を負いません。 BlackBerry の所有権、機密
情報および/または企業秘密を保護するため、本書では一部の BlackBerry テクノロジの側面を一般化された用語で記述して
いる場合があります。 BlackBerry は、本書に含まれる情報を定期的に変更する権利を留保します。ただし、BlackBerry に
は、本書への変更、更新、拡張、または他の追加を適時ユーザーに提供する義務はないものとします。
本書は、第三者をソースとする情報、ハードウェアまたはソフトウェア、製品またはサービス（コンポーネントや、著作
権保護されたコンテンツなど）、および/または第三者の Web サイト（これらをまとめて「サードパーティ製品およびサー
ビス」という）への参照を含んでいる可能性があります。BlackBerry は、サードパーティ製品およびサービスの内容、正
確性、著作権遵守、互換性、性能、信頼性、適法性、品格、リンク、他の側面などに限定することなく、サードパーティ
製品およびサービスを一切管理することはなく、責任も負いません。本書においてサードパーティ製品およびサービスを
参照することは、BlackBerry がサードパーティ製品およびサービスまたは第三者を保証することを意味するものではあり
ません。
該当する司法管轄地域の適用法で明確に禁じられている場合を除き、本書で参照されているソフトウェア、ハードウェア、
サービス、またはサードパーティ製品およびサービスについて、耐久性、特定の目的または使用に対する適合、商品性、
421
商標などに関する情報
適性品質、権利侵害の不存在、品質満足度、権原、または制定法、慣習法、取引過程、商慣習から生じる、本書またはそ
の使用に関する、または性能または性能の不履行に関する条件付け、承認、表明、保証などに限定することなく、明示的
または黙示的に、いかなる条件付け、承認、表明、または保証も除外されます。ユーザーは、国や地域によって異なる他
の権利を有する場合もあります。一部の司法管轄地域では、黙示的な保証および条件の除外事項または限定事項は禁止さ
れています。法律で認められている範囲で、本書に関連する黙示的な保証または条件は、上記に定めるように除外できな
いが限定できる場合、ユーザーが本書または該当する対象物を初めて入手してから 90 日間に限定されます。
該当する司法管轄地域の適用法で認められている最大限の範囲で、本書またはその使用に関連して、または本書で参照さ
れているソフトウェア、ハードウェア、サービス、またはサードパーティ製品およびサービスの性能または性能の不履行
に関連して、次のような損害を含め、いかなる場合においても、BlackBerry はいかなる損害の責任も負わないものとしま
す。直接的、必然的、典型的、偶発的、間接的、特殊的、懲罰的、または加重的損害、金銭的損失による損害（利益また
は収益の損失、予想される貯蓄の未達成、事業の中断、ビジネス情報の消失、ビジネス機会の喪失、データの破損または
消失、データの送受信の失敗、BlackBerry 製品またはサービスと併用したアプリケーションに関連する問題、ダウンタイ
ムコスト、BlackBerry 製品またはサービスあるいはその一部の使用機会や通信サービスの使用機会の喪失、代替品コスト、
保険料、設備費、保守費、資本コストなど）に限定することなく、損害を予想できたかどうかを問わず、BlackBerry が損
害の可能性について勧告を受けていた場合。
該当する司法管轄地域の適用法で認められている最大限の範囲で、契約、不法行為、またはユーザーに対する過失責任ま
たは厳格責任について、BlackBerry は他のいかなる義務、責務、または責任も負わないものとします。
本書の限定事項、除外事項、および免責事項は、以下に適用されます。
（A）訴訟原因、請求、またはユーザーによる行為
（契約違反、過失、不法行為、厳格責任、その他の法理論など）の性質に関係なく、この契約の基本目的または本書に記載
されている救済策の根本的違反または不履行を免れるため、および（B）BlackBerry およびその関連会社、その後継者、
譲受人、代理業者、納入業者（通信事業者を含む）、認可された BlackBerry 販売業者（通信事業者を含む）およびその取
締役、従業員、および請負業者。
上記に定める限定事項および除外事項に加えて、いかなる場合においても、BlackBerry の取締役、従業員、代理業者、販
売業者、納入業者、請負業者または BlackBerry の関連会社は、本書に起因または関連する責任を負わないものとします。
ユーザーは、サードパーティ製品およびサービスの加入、インストール、または使用前に、通信事業者がサードパーティ
製品およびサービスのすべての機能をサポートすることに同意していることを確認する責任を負います。一部の通信事業
者は、BlackBerry® Internet Service への加入によるインターネット閲覧機能を提供しない場合があります。サービスの利
用、ローミング、サービスプラン、その他の機能については、通信事業者に問い合わせてください。BlackBerry 製品およ
びサービスにおけるサードパーティ製品およびサービスのインストールまたは使用には、第三者の権利を侵害または妨害
しないように、特許、商標、著作権、または他のライセンスが必要になる場合があります。ユーザーは、サードパーティ
製品およびサービスを使用するかどうかを決定し、使用するために第三者のライセンスが必要かどうかを確認する責任を
負います。必要な場合、ユーザーはライセンスを取得する責任を負います。ユーザーは、必要なライセンスをすべて取得
するまで、サードパーティ製品およびサービスをインストールまたは使用してはなりません。BlackBerry 製品およびサー
ビスで提供されるサードパーティ製品およびサービスは、ユーザーの便宜のために「現状のまま」提供され、BlackBerry
は明示的にも黙示的にもいかなる条件付け、承認、表明、または保証もしないものとし、BlackBerry はそれに関連するい
かなる責任も負わないものとします。ユーザーによるサードパーティ製品およびサービスの使用は、ライセンスまたは
BlackBerry との他の契約で明示的に対象になっている場合を除き、個別のライセンスおよび第三者との他の該当契約の条
件に従うものとし、その制約を受けるものとします。
422
商標などに関する情報
BlackBerry 製品またはサービスの使用条件は、個別のライセンスまたは BlackBerry との他の該当契約に定められていま
す。本書の内容は、本書以外に BlackBerry 製品またはサービスの一部に対して BlackBerry が提供した文書による明示的な
契約または保証を破棄するものではありません。
BlackBerry Limited
2200 University Avenue East
Waterloo, Ontario
Canada N2K 0A7
BlackBerry UK Limited
200 Bath Road
Slough, Berkshire SL1 3XE
United Kingdom
Published in Canada
423