iOS/Android 向け Workspace ONE アプリでの SSO および認証の動作の変更

概要

iOS および Android 向けの Workspace ONE アプリの最新バージョン (一部のアプリについては次期バージョン) では、SDK プロファイルで認証および SSO が有効になっている場合、アプリの動作が変わります。この記事では、変更後のアプリの動作について詳述します。

 

該当する構成 - iOS

  • アプリのセキュリティ ポリシーで [認証タイプ] が [パスコード] または [ユーザー名とパスワード] に、[シングル サインオン] が [有効] に設定されている場合、その環境で使用している Workspace ONE SDK アプリの動作が、以下に示すように変わります。アプリのセキュリティ ポリシーは、Workspace ONE UEM コンソールの [設定] > [アプリ] > [設定とポリシー] > [セキュリティ ポリシー] で設定します。
  • iOS デバイス構成の場合、これ以外の Workspace ONE UEM コンソール設定は、この動作変更に関連しません。上記の設定を利用しているすべての環境で、下記の動作変更が発生します。

該当する iOS アプリ

この動作変更が生じるアプリとそのバージョンを以下に示します。

Workspace ONE アプリ バージョン
VMware Workspace ONE Intelligent Hub
(VMware AirWatch Agent)
5.4+
VMware AirWatch Container 2.4+
VMware Workspace ONE Web
(VMware AirWatch Browser)
5.12+
VMware Workspace ONE Content
(VMware AirWatch Content Locker)
3.12+
VMware AirWatch Inbox 2.12+
VMware AirWatch Video 1.12+
VMware Workspace ONE (AirWatch) SDK を使用するアプリ 5.9.3+

 

iOS アプリでの主な動作変更

Workspace ONE アプリ全般

  • Workspace ONE アプリが終了すると、そのアプリの SSO セッション (認証セッション) は失効します。他の Workspace ONE アプリで SSO セッションや有効なセッションが残っている場合でも、ユーザーはアプリのパスコードを再入力するか、Touch ID による認証を行う必要があります。この状態のアプリは「App のバックグラウンド更新」に応答しません。アプリが終了するのは、アプリがクラッシュした場合、ユーザーがアプリの切り替え画面でそのアプリを上にスワイプした場合、メモリの逼迫により OS がフォアグラウンドにいないアプリを停止した場合、などです
  • SSO セッション中、アプリを頻繁に使用している途中で認証のタイムアウトが発生した場合、認証を求めるプロンプトはすぐには表示されません。その SSO セッションのアプリが次回、起動されたとき、またはアクティブ状態になったときに、プロンプトが表示されます。
  • SDK プロファイルで認証とシングル サインオン (SSO) を有効にしている場合でも、上記のアプリ表に記載された新しいバージョンのアプリと、以前のバージョンのアプリとの間で SSO セッションは共有されません。以前のバージョンのアプリ間では、セッションが共有されます。

Workspace ONE Content

ドキュメント拡張機能を介して Workspace ONE Content を使用する場合、認証タイプによっては動作の変更が生じます。

  • 認証を有効にしている場合、サードパーティ アプリで開くことを許可された Workspace ONE Content ファイルは拡張機能を介して、単にファイルをインポートするだけのアプリ (Import モードまたは ExportToService モードでファイルにアクセスするアプリ) からアクセス可能です。E メール クライアントや読み込み機能しか持たないアプリがこれに相当します。Word などの編集機能を持つアプリ (Open モードまたは MoveToService モードでファイルにアクセスするアプリ) は、拡張機能を介したアクセスが制限されます。
  • 認証を無効にしている場合、Workspace ONE Content のドキュメント拡張機能に関して動作の変更はありません。Workspace ONE Content は拡張機能を介してサードパーティ アプリからアクセスでき、サードパーティ アプリではインポート、編集、保存が可能です。このようなアプリとして、Microsoft アプリ、E メール クライアント、他の生産性向上アプリなどが挙げられます。

既知の問題など

  • アプリを上記の表に記載された新しいバージョンに更新した後、パスコードを変更すると、以前のバージョンのアプリでは Touch ID による認証ができなくなります。
  • SDK プロファイルでパスコードの複雑度の要件を変更しても、アプリでパスコードを使用して認証を行うまで、(新しい要件での) パスコードの再作成は要求されません。Touch ID による認証はパスコード作成のトリガとはなりません。この問題は将来のバージョンで解決される予定です。

 

iOS デバイスのための推奨構成

  • アプリでの認証を利用する場合は、SDK プロファイルで Touch ID を有効にしてください。また、ユーザーにはデバイスに指紋を登録するように勧めてください。
  • 利便性向上のために、可能であればシングル サインオンを有効にして Workspace ONE アプリ間でパスコードを共有してください。
  • Touch ID を有効にする場合は、OS が提供する最新のセキュリティを活用できるように、各デバイスの OS を iOS 9 以降にしてください。
  • 最適なユーザー エクスペリエンスのために、エンドユーザーにすべてのアプリを上記の表に記載したバージョンに更新してもらうことをお勧めします。これらのアプリの新しいバージョンと以前のバージョンとの混用は避けてください。

 

該当する構成 - Android

  • アプリのセキュリティ ポリシーで [認証タイプ] が [パスコード] または [ユーザー名とパスワード] に、[シングル サインオン] が [有効] に設定されている場合、その環境で使用している Workspace ONE SDK アプリの動作が、以下に示すように変わります。アプリのセキュリティ ポリシーは、Workspace ONE UEM コンソールの [設定] > [アプリ] > [設定とポリシー] > [セキュリティ ポリシー] で設定します。
  • Workspace ONE Intelligent Hub for Android を使用して加入した Android デバイスでは、Workspace ONE UEM (AirWatch コンソール) 9.0.1 で利用可能な [ユーザー入力によるキーの暗号化] が有効になっている場合、以下の動作変更が生じます。この設定には、[設定] > [デバイスとユーザー] > [Android] > [セキュリティ] からアクセスできます。

 

該当する Android アプリ

この動作変更が生じるアプリとそのバージョンを以下に示します。

Workspace ONE アプリ バージョン
VMware Workspace ONE 2.2+
Workspace ONE Intelligent Hub
(VMware AirWatch Agent)
7.0+ 
VMware AirWatch Container 3.3+
Workspace ONE Web
(VMware AirWatch Browser)
5.12+
Workspace ONE Content
(VMware AirWatch Content Locker)
2.12+
VMware AirWatch Inbox 2.12+
VMware AirWatch Video 1.12+
VMware Workspace ONE (AirWatch) SDK を使用するアプリ 16.10+

デバイス管理の構成内容によっては、この変更がバックグラウンドで実行される Workspace ONE Intelligent Hub for Android の重要な処理に影響を与える場合もあります。たとえば、順守ポリシーの変更やプロファイルの設定は、ユーザーがデバイスを再起動して Intelligent Hub にアプリのパスコードを入力するまで反映されません。詳細については、後述の「主な動作変更」を参照してください。

また、バージョン 5.3 以降の App Wrapping Engine でラッピングされたアプリでも、下記の動作変更が生じます。

:VMware Workspace ONE Boxer アプリは、Workspace ONE UEM との統合時点 (v3.9) から、この認証プロセスに対応しています。現在のバージョンの Workspace ONE Boxer は、他の Workspace ONE アプリとの SSO をサポートしていません。他の Workspace ONE アプリを上記のバージョンに更新しても、SSO は利用できません。また、Workspace ONE UEM (AirWatch コンソール) 9.0.1 での設定 (上記の「該当する構成」) に当てはまる場合でも、Workspace ONE Boxer の動作は変わりません。しかし、将来のバージョンでは、他の Workspace ONE アプリとの SSO に対応する予定です。

 

Android アプリでの主な動作変更

シングル サインオン (SSO) を有効にしたアプリ

  • SSO を有効にした Workspace ONE アプリがすべて「強制終了」された場合、ユーザーがアプリのパスコードを入力するまで、アプリのバックグラウンド同期は制限されます。
  • 上記のアプリ表に記載されたものよりも前のバージョンのアプリでは、管理者が Workspace ONE Intelligent Hub for Android を 7.0 以上に更新するまで、新しいバージョンのアプリとの間で SSO セッションは共有されません。
  • 認証タイプを「パスコード」に設定している場合、アプリを新しいバージョンに更新して起動すると、以前のパスコードを入力して新しいパスコードを作成するように求められます。新しいバージョンでは、パスコードの有効期間と履歴はリセットされます。一度パスコードを作成すれば、その後 SSO を有効にした他のアプリを更新しても、パスコードの作成を求められることはありません。
  • デバイスが再起動された場合、SSO を有効にしたアプリのいずれかでユーザーがパスコードを入力するまで、アプリのバックグラウンド同期は制限されます。

シングル サインオン (SSO) を無効にしたアプリ

  • Workspace ONE アプリが「強制終了」された場合、ユーザーがそのアプリでパスコードを入力するまで、そのアプリのバックグラウンド同期は制限されます。
  • デバイスが再起動された場合、ユーザーがアプリのパスコードを入力するまで、そのアプリのバックグラウンド同期は制限されます。
  • 認証タイプを「パスコード」に設定している場合、アプリを新しいバージョンに更新して起動すると、以前のパスコードを入力して新しいパスコードを作成するように求められます。新しいバージョンでは、パスコードの有効期間と履歴はリセットされます。

Workspace ONE Content

  • ログアウト機能はロック機能に置き換わります。エンドユーザーは必要に応じてアプリをロックできます。また、SDK プロファイルで指定した認証タイプ (「パスコード」か「ユーザー名とパスワード」) を使用して、再度ログインできます。
  • 管理者が SDK プロファイルの認証タイプを「パスコード」に設定していないと、ユーザーはアプリのパスコードを設定できません。
  • スタンドアローン加入モードの場合、Workspace ONE Content でユーザーを変更するには、アプリ データを消去する必要があります。
  • スタンドアローン加入モードの場合、更新後にアプリを使用するには、ユーザーが各自の資格情報で認証を行う必要があります。
  • Workspace ONE Content の設定画面にアプリの利用規約は表示されません。アプリの利用規約は、ユーザーが最初にアプリにログインする際に表示されます。
  • Workspace ONE Content はブランディング画像をサポートしません。

Android 向け AirWatch Inbox

  • AirWatch Inbox 2.12 は認証にデバイスの HMAC トークンを利用します。Inbox アプリの SSO を無効にしていると、アプリを初めて起動するとき、ユーザーは一度だけ Workspace ONE の資格情報の入力を求められます (ユーザーの E メールの資格情報ではありません)。認証が成功すると、Inbox アプリは HMAC トークンを受け取るので、SDK プロファイルの設定で明示的に指定していない限り、ユーザーはそれ以降、認証のための資格情報を入力する必要はなくなります。SSO を有効にしていると、アップグレード後でも資格情報を求めるプロンプトは表示されません。
  • E メール プロファイルの中で Inbox パスコードを有効にしており、さらに SDK プロファイルでもパスコードを有効にしている場合、Inbox パスコードはアプリの更新時に SDK プロファイルの設定で置き換えられます。
  • E メール プロファイルの中で Inbox パスコードを有効にしていても、SDK プロファイルで認証タイプを「無効」に設定している場合は、引き続きこの Inbox パスコードが使用されます。

既知の問題など

  • 上記の表に記載された新しいバージョンのアプリのいずれかを手動でロックしても、以前のバージョンのアプリのセッションはロックされません。
  • v3.3 よりも前のバージョンの Container を使用して加入している場合、他のアプリでの認証 (「パスコード」または「ユーザー名とパスワード」) が試行失敗回数の上限に達しても、企業情報ワイプは実行されません。
  • Android 向け Workspace ONE アプリでのパスコード作成では、常にインターネット接続が必要になります。

 

Android デバイスのための推奨構成

  • お客様のセキュリティ ポリシーで許容されている場合は、SDK プロファイルでシングル サインオンを有効にしてください。この設定により、パスコードの入力回数を可能な限り減らすことができます。
  • バックグラウンド同期の新たな制限についてユーザーに周知し、再起動後、少なくとも一度はアプリでパスコードを入力するように促してください。
  • SDK プロファイルでシングル サインオンを有効にしている場合は、Intelligent Hub などのアプリを上記のアプリ表に記載されたバージョンに更新してください。
  • 最適なユーザー エクスペリエンスのために、エンドユーザーにすべてのアプリを上記の表に記載したバージョンに更新してもらうことをお勧めします。これらのアプリの新しいバージョンがすべて利用可能になった後では、新しいバージョンと以前のバージョンとの混用は避けてください。

Other Languages: English

免責事項:これは英文の記事「SSO and authentication behavior changes for Workspace ONE apps for iOS and Android」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Have more questions? Submit a request

5 Comments

  • 0
    Avatar
    K. Izumi

    記事を更新しました - 2017-03-10 01:43 UTC

  • 0
    Avatar
    K. Izumi

    記事を更新しました - 2017-03-14 02:08 UTC

  • 0
    Avatar
    K. Izumi

    記事を更新しました - 2017-04-12 06:25 UTC

  • 0
    Avatar
    K. Izumi

    記事を更新しました - 2017-07-21 01:33 UTC

  • 0
    Avatar
    Workspace ONE Support JP
    記事を更新しました - 2019-05-13 11:18 UTC
Article is closed for comments.