Hitachi

JP1 Version 13 JP1/IT Desktop Management 2 運用ガイド

15.8.4 MDMシステムと連携するための情報を設定する手順

MDMシステムからスマートデバイスの情報を取得してJP1/IT Desktop Management 2で管理するためには、MDMシステムとの接続情報や情報の取得スケジュールなどを設定する必要があります。

重要

MDM連携の設定は、1台のMDMサーバにつき1つとしてください。1台のMDMサーバに対して複数の設定があると、JP1/IT Desktop Management 2からスマートデバイスを制御できないことがあります。

JP1/IT Desktop Management 2 - Smart Device Managerと連携するための情報を設定するには:

  1. JP1/IT Desktop Management 2の設定画面を表示します。

  2. メニューエリアで[他システムとの接続]−[MDM連携の設定]を選択します。

  3. インフォメーションエリアの[MDM連携の設定]で、[追加]ボタンをクリックします。

  4. 表示されるダイアログで、次のように設定します。

    MDMシステム

    「JP1/ITDM2 - SD Manager」を選択します。

    MDMサーバのホスト名およびポート番号

    JP1/IT Desktop Management 2 - Smart Device Managerのスマートデバイスマネージャーをインストールしたマシンのホスト名を設定します。IPアドレスは指定しないでください。ポート番号には、JP1/IT Desktop Management 2との連携用(SSL通信用) のポート番号を指定してください。デフォルトのポート番号は、26055です。

    URL

    次の形式でURLを設定します。

    http://ホスト名:ポート番号/jp1itdm2sdm/jp1itdm2sdm-login.htm

    ホスト名には、JP1/IT Desktop Management 2 - Smart Device Managerのスマートデバイスマネージャーをインストールしたマシンのホスト名を設定してください。ポート番号には、JP1/IT Desktop Management 2 - Smart Device Managerの 管理画面用ポート番号を指定してください。デフォルトのポート番号は26080です。

    例:http://SDMServer:26080/jp1itdm2sdm/jp1itdm2sdm-login.htm

    ユーザーIDおよびパスワード

    JP1/IT Desktop Management 2 - Smart Device Managerの管理画面で作成したユーザーアカウントおよびパスワードを設定します。ユーザーIDは、次のフォーマットに従ってください。

    ユーザーID:JP1MDMYYYXX@server01.jp1mdm.hitachi.jp

    YYY:001〜999の数値、XX:01〜05の数値

    権限:システム管理者権限

  5. [接続テスト]ボタンをクリックして、JP1/IT Desktop Management 2 - Smart Device Managerに接続できるかどうかを確認します。

  6. [取得スケジュール]を編集します。

    スケジュールを決めて定期的にスマートデバイスの情報を更新する場合に、スケジュールを設定してください。

  7. [OK]ボタンをクリックします。

  8. インフォメーションエリアの[発見した機器への操作]で、[編集]ボタンをクリックします。

  9. 表示されるダイアログで、発見されたスマートデバイスを自動的に管理対象にするかどうかを設定します。

MDMシステムと連携するための情報を設定するには:

MDMシステムとしてMicrosoft Intuneを使用する場合には、#1〜#3の手順は不要です。代わりに、下記の「MDMシステムとしてMicrosoft Intuneを使用する場合の追加設定」にあるルートCA証明書のJavaキーストアへの登録の手順を実施してください。

  1. MDM製品のルート証明書を入手します。

    1. WebブラウザでMDM製品のポータル画面にアクセスします。

    2. ルート証明書をファイルにエクスポートします。

    Internet Explorerの場合

    (i)画面上で右クリックして[プロパティ]−[証明書]−[詳細]−[ファイルにコピー]を選択します。

    (ii)証明書のエクスポートウィザードで、証明書を「DER encoded binary X.509」形式でエクスポートします。

    Firefoxの場合

    (i)画面上で右クリックして[ページの情報を表示]−[セキュリティ]−[証明書を表示]−[詳細]−[エクスポート]を選択します。

    (ii)証明書の保存ダイアログで、証明書を「X.509証明書(DER)」形式で保存します。

  2. 手順1.で入手したルート証明書を管理用サーバにコピーします。

  3. ルート証明書を管理用サーバにインポートします。

    管理用サーバのコマンドプロンプトで次のコマンドを実行してください。

    JP1/IT Desktop Management 2 - Managerのインストール先フォルダ¥mgr¥uCPSB¥jdk¥jre¥bin¥keytool.exe -import -keystore JP1/IT Desktop Management 2 - Managerのインストール先フォルダ¥mgr¥uCPSB¥jdk¥jre¥lib¥security¥cacerts -file ルート証明書のパス -alias ルート証明書の別名

    注※ ルート証明書のパスとは、手順2.でコピーしたルート証明書のパスです。ルート証明書の別名とは、インポートするルート証明書の別名称のことで、任意の名前を設定できます。

    コマンドを実行するとルート証明書をインポートするためのパスワードを要求されます。パスワードを入力してください。デフォルトのパスワードは「changeit」です。

  4. JP1/IT Desktop Management 2の設定画面を表示します。

  5. メニューエリアで[他システムとの接続]−[MDM連携の設定]を選択します。

  6. インフォメーションエリアの[MDM連携の設定]で、[追加]ボタンをクリックします。

  7. 表示されるダイアログで、接続するMDMシステムの情報を設定します。

  8. [接続テスト]ボタンをクリックして、設定したMDMシステムに接続できるかどうかを確認します。

  9. [取得スケジュール]を編集します。

    スケジュールを決めて定期的にスマートデバイスの情報を更新する場合に、スケジュールを設定してください。

  10. [OK]ボタンをクリックします。

  11. インフォメーションエリアの[発見した機器への操作]で、[編集]ボタンをクリックします。

  12. 表示されるダイアログで、発見されたスマートデバイスを自動的に管理対象にするかどうかを設定します。

[MDM連携の設定]で設定したスケジュールに従って、MDMシステムからスマートデバイスの情報が取得されます。

なお、MobileIronと連携する場合、[MDM連携の設定]で指定したユーザーIDに対して、MobileIronで「API」権限を割り当てる必要があります。

MDMシステムとしてMicrosoft Intuneを使用する場合の追加設定:

Microsoft Intuneと連携する場合、次のルートCA証明書をJP1/IT Desktop Management 2 - ManagerがインストールされたPCのJavaキーストアに登録する必要があります。Javaキーストアに登録後、JP1/IT Desktop Management 2のサービスを再起動してください。

Microsoft Intuneと連携する場合、次のルートCA証明書をJP1/IT Desktop Management 2 - ManagerがインストールされたPCのJavaキーストアに登録する必要があります。

MDMシステムとしてGoogle Workspaceを使用する場合の追加設定:

Google Workspaceと連携する場合、次のルートCA証明書をJP1/IT Desktop Management 2 - ManagerがインストールされたPCのJavaキーストアに登録する必要があります。Javaキーストアに登録後、JP1/IT Desktop Management 2のサービスを再起動してください。

JavaキーストアにこのルートCA証明書が登録されていない場合は、DigiCert社のWebサイトからルートCA証明書ファイルをダウンロードして、次のコマンドをコマンドプロンプトで実行してください。

JP1/IT Desktop Management 2 - Managerのインストールフォルダ¥mgr¥uCPSB¥jdk¥jre¥bin¥keytool.exe -import -file DigiCertGlobalRootCA.crtのパス -alias DigiCertGlobalRootCA -keystore JP1/IT Desktop Management 2 - Managerのインストールフォルダ¥mgr¥uCPSB¥jdk¥jre¥lib¥security¥cacerts

コマンドを実行するとルート証明書をインポートするためのパスワードを要求されます。パスワードを入力してください。デフォルトのパスワードは「changeit」です。

そして、次に示す手順で設定してください。

  1. Google Workspaceでドメインの所有権の証明が完了しているかを確認します。 ドメインの所有権の証明ができていない場合、Google Workspaceで手続きを実施してください。

  2. 次のルートCA証明書をJP1/IT Desktop Management 2 - ManagerがインストールされたPCのJavaキーストアに登録します。Javaキーストアに登録後、JP1/IT Desktop Management 2のサービスを再起動してください。

    • GTS Root R1

      JavaキーストアにこのルートCA証明書が登録されていない場合は、次のルートCA証明書ファイルをダウンロードします。

      ダウンロードサイト

      Google Trust Services

      https://pki.goog/repository/

      証明機関

      GTS Root R1

      証明書の種類

      Certificate (DER)

      ファイル名:r1.crt

      次のコマンドをコマンドプロンプトで実行してください。

      JP1/IT Desktop Management 2 - Managerのインストールフォルダ¥mgr¥uCPSB¥jdk¥jre¥bin¥keytool.exe -import -file r1.crtのパス -alias GTSRootR1 -keystore JP1/IT Desktop Management 2 - Managerのインストールフォルダ¥mgr¥uCPSB¥jdk¥jre¥lib¥security¥cacerts

      コマンドを実行するとルート証明書をインポートするためのパスワードが要求されます。パスワードを入力してください。デフォルトのパスワードは「changeit」です。

  3. Google Workspaceで次の設定をします。

    • Google Cloudプロジェクトの作成およびAPIの有効化

    • Admin SDK APIの有効化

    • OAuth同意画面の設定

    • 秘密鍵ファイルを作成可能とするように組織ポリシーを変更

    • サービスアカウントの作成、キーの作成、および秘密鍵ファイルの取得

    • ドメイン全体の権限をサービスアカウントに委任

    Google Workspaceの設定項目および設定値を次の表に示します。

    機能

    設定項目

    設定値

    デフォルト

    Google Cloudプロジェクトの作成

    プロジェクト名

    任意の値を入力

    組織

    任意の組織を選択

    組織なし

    場所

    任意の場所を選択

    Admin SDK APIの有効化

    Admin SDK API

    有効にする

    [有効にする]をクリック

    OAuth同意画面の設定

    ユーザーの種類

    「外部」を選択

    アプリ名

    任意の値を入力

    ユーザー サポートメール

    任意の値を入力

    デベロッパーの連絡先情報

    任意の値を入力

    機密性の高いスコープ

    次の値を設定

    https://www.googleapis.com/auth/admin.directory.device.chromeos.readonly

    サービスアカウントの作成

    サービス アカウント名

    任意の値を入力

    サービス アカウントID

    任意の値を入力

    秘密鍵ファイル

    秘密鍵の作成で「JSON形式」を選択し、秘密鍵ファイルをダウンロード

    ドメイン全体の委任を有効にする

    設定不要

    オン

    ドメイン全体の権限をサービスアカウントに委任

    クライアントID

    サービス アカウントの秘密鍵で取得したクライアントIDを入力

    OAuthスコープ

    次の値を設定

    https://www.googleapis.com/auth/admin.directory.device.chromeos.readonly

    (凡例)−:該当なし

    注※ ダウンロードした秘密鍵ファイルは、[MDMサーバ情報(GWS連携)の追加]画面または[MDMサーバ情報(GWS連携)の編集]画面の[秘密鍵ファイル]に指定します。

重要

サービスアカウントキーの作成は、組織のポリシーでデフォルトでは作成が無効化されています。このため、次の手順で組織ポリシーを変更して、サービスアカウントキーの作成を有効にしてください。

  1. 特権管理者ロールを割り当てたGoogle Workspaceユーザーで、Google Cloudにログインし、次の表に示す内容で秘密鍵ファイルを作成するユーザーに組織のポリシーを管理するためのロールを割り当てる。

    機能

    項目

    設定内容

    リソースを選択

    名前

    作成したGoogle Cloudプロジェクト名

    [IAMと管理]−[IAM]−[アクセス許可]

    プリンシパル

    秘密鍵ファイルを作成する

    Google Cloudユーザー

    権限の編集

    ロール

    次のロールを割り当て

    • 組織の管理者

    • 組織ポリシー管理者

  2. 手順1でロールを割り当てたユーザーでGoogle Cloudにログインし、次の表に示す内容で組織のポリシーを設定する。

    機能

    項目

    設定内容

    リソースを選択

    名前

    ドメインと同じ名前の組織タイプのプロジェクト

    [IAMと管理]−[IAM]−[組織のポリシー]

    ポリシー名

    constraints/iam.disableServiceAccountKeyCreation

    ポリシーのソース

    親のポリシーをオーバーライドする

    ルール

    オフ

    なお、ポリシーが適用されるまで15分程度の時間がかかることがあります。サービスアカウントの秘密鍵ファイルが作成できない場合は、時間をおいてから秘密鍵ファイルの作成を再実行してください。

重要

JP1/IT Desktop Management 2 - Manager 11-01からJP1/IT Desktop Management 2 - Manager 12-50以降にバージョンアップインストールを行う場合、JP1/IT Desktop Management 2 - Manager 12-50以降にバージョンアップ後ルート証明書の再インポートを実施してください。

ヒント

発見されたスマートデバイスは、[発見した機器への操作]の設定に従って管理対象になります。発見された機器を自動的に管理対象にする設定にしていない場合、スマートデバイスを管理するためには、設定画面の[発見した機器]画面で、スマートデバイスを管理対象にする必要があります。

ヒント

MDMシステムから取得したルート証明書を、管理用サーバにインポートしたあとで変更する場合は、変更後のサーバ証明書を再取得し、管理用サーバに再インポートする必要があります。

関連リンク

ページの先頭へ

Copyright (C) 2023, 2025, Hitachi, Ltd.

Copyright (C) 2023, 2025, Hitachi Solutions, Ltd.