BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM...

74
BlackBerry UEM アーキテクチャとデータフローリファレ ンスガイド 12.10

Transcript of BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM...

Page 1: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

BlackBerry UEMアーキテクチャとデータフローリファレ

ンスガイド

12.10

Page 2: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

2019-02-08Z

 |  | 2

Page 3: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

目次

BlackBerry UEM アーキテクチャとデータフロー............................................... 5アーキテクチャ:BlackBerry UEM ソリューション............................................................................................ 5

BlackBerry UEM コンポーネント....................................................................... 7

BlackBerry UEM の分散インストール.............................................................. 10

BlackBerry UEM 地域での導入.........................................................................14

BlackBerry OS デバイスを管理するために使用されるコンポーネント..............18

デバイスのアクティベーション....................................................................... 22データフロー:BlackBerry 10 デバイスのアクティベーション....................................................................... 22データフロー:MDM 用 Android デバイスのアクティベーション.................................................................. 25データフロー:Google ドメインで Android Enterprise デバイスをアクティブ化する.................................. 27データフロー:管理対象 Google Play アカウントを使用して Android Enterprise デバイスをアクティブ

化する...............................................................................................................................................................28データフロー:Google ドメインで仕事用プロファイルのみを持つように Android デバイスをアクティ

ブ化する...........................................................................................................................................................30データフロー:管理対象 Google Play アカウントを使用して、仕事用プロファイルのみを持つように

Android デバイスをアクティブ化する.......................................................................................................... 32データフロー:デバイスをアクティブ化して KNOX Workspace を使用する................................................ 33データフロー:iOS デバイスのアクティベーション.........................................................................................35データフロー:macOS デバイスのアクティベーション.................................................................................. 38データフロー:Windows 10 デバイスのアクティベーション..........................................................................39データフロー:BlackBerry OS デバイスのアクティベーション...................................................................... 41

仕事用データの送受信..................................................................................... 43BlackBerry Infrastructure の使用による仕事用データの送受信....................................................................... 45

データフロー:BlackBerry 10 デバイスからアプリケーションサーバーまたはコンテンツサー

バーへのアクセス................................................................................................................................ 46データフロー:BlackBerry 10 デバイスからのメールの送信............................................................... 47データフロー:BlackBerry 10 デバイスでのメールの受信................................................................... 48データフロー:BlackBerry 10 デバイスでのエンタープライズプッシュ更新の受信..........................49データフロー:iOS を使用した BlackBerry Secure Gateway デバイスからのメールの送信.............. 49データフロー:iOS を使用した BlackBerry Secure Gateway デバイスでのメールの受信..................50

 |  | iii

Page 4: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

データフロー:BlackBerry Secure Connect Plus を使用するアプリケーションサーバーまたはコ

ンテンツサーバーへのアクセス......................................................................................................... 51データフロー:BlackBerry Dynamics アプリから仕事用データを送受信する.................................... 53データフロー:BlackBerry Dynamics Direct Connect を使用して BlackBerry Dynamics アプリか

ら仕事用データを送受信する............................................................................................................. 53データフロー:BlackBerry Secure Connect Plus を使用する Android デバイスで BlackBerry

Dynamics アプリから仕事用データを送受信する............................................................................ 54VPN または仕事用 Wi-Fi ネットワークの使用による仕事用データの送受信..................................................56

データフロー:VPN または仕事用 Wi-Fi ネットワークを使用してデバイスからメールを送信す

る...........................................................................................................................................................57データフロー:VPN または仕事用 Wi-Fi ネットワークを使用してデバイスでメールを受信する.....58データフロー:VPN または仕事用 Wi-Fi ネットワークを使用したアプリケーションサーバーま

たはコンテンツサーバーへのアクセス.............................................................................................. 59

デバイス設定の更新の受信.............................................................................. 60データフロー:BlackBerry Dynamics アプリのアクティベーション...............................................................61データフロー:BlackBerry Secure Connect Plus が有効になっているときに Samsung KNOX

Workspace デバイスで BlackBerry Dynamics アプリをアクティブ化する................................................63データフロー:BlackBerry 10 デバイスでの設定更新の受信...........................................................................65データフロー:Android デバイスでの設定更新の受信..................................................................................... 66データフロー:iOS デバイスでの設定更新の受信............................................................................................ 67データフロー:macOS デバイスでの設定更新の受信...................................................................................... 68データフロー:Windows 10 デバイスでの設定更新の受信............................................................................. 69

用語集............................................................................................................. 70

商標などに関する情報..................................................................................... 73

 |  | iv

Page 5: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

BlackBerry UEM アーキテクチャとデータフロー

BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

バー、ユーザーデバイス間でデータを転送するための、セキュリティ保護されたリンクを提供します。

アーキテクチャ:BlackBerry UEM ソリューション

 

 

コンポーネント 説明

BlackBerry UEM BlackBerry UEM は、統合エンドポイント管理ソリューションです。このソリュー

ションでは、セキュリティと接続が統合されており、マルチプラットフォームデ

バイス、アプリケーション、およびコンテンツを包括的に管理することができま

す。

BlackBerry Infrastructure BlackBerry Infrastructure は、デバイスのアクティベーションのためにユーザー

情報を登録し、BlackBerry UEM のライセンス情報を検証し、強力な暗号化され

た、相互認証に基づいて組織とすべてのユーザーの間に信頼されたパスを提供し

ます。

BlackBerry UEM は BlackBerry Infrastructure への一定の接続を維持します。つま

り、組織は、ユーザーにデータを送信するために、信頼された IP アドレスへの

単一のアウトバウンド接続のみを必要とします。ファイアウォール外部のデバイ

ス用に組織へのセキュリティ保護されたチャネルを提供するために、BlackBerryInfrastructure と BlackBerry UEM の間で移動するすべてのデータが認証され暗号

化されます。

 | BlackBerry UEM アーキテクチャとデータフロー | 5

Page 6: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

コンポーネント 説明

BlackBerry DynamicsNOC

BlackBerry Dynamics NOC とは、デバイスおよび BlackBerry UEM と BlackBerryEnterprise Mobility Server で BlackBerry Dynamics アプリ間のセキュリティ保護さ

れた通信を提供するネットワークオペレーションセンターです。

デバイス BlackBerry UEM は、BlackBerry 10、iOS、macOS、Android、Windows、および

BlackBerry OS(バージョン 5.0~7.1)のデバイスをサポートします。

通知サービス BlackBerry UEM は、通知をデバイスに送信して更新のために BlackBerry UEM と接続したり、組織のデバイスインベントリ用の情報をレポートしたりできます。

これらの通知は BlackBerry Infrastructure に送信され、そこで適切な通知サービス

を使用してデバイスへ送信されます。

• APN は、Apple および iOS デバイスに通知を送信するために、macOS が提供

するサービスです。 • GCM は、Google が提供する、Android デバイスに通知を送信するためのサー

ビスです。 • Windows プッシュ通知サービス(WNS)は、Microsoft が提供す

る、Windows デバイスに通知を送信するためのサービスです。 

ルーティングコンポーネ

ント

デフォルトでは、BlackBerry UEM はポート 3101 および 443 を介して BlackBerryInfrastructure への直接接続を確立するため、追加のルーティングコンポーネント

をインストールする必要はありません。ただし、組織のセキュリティポリシーに

よって、内部システムがインターネットへの直接接続を確立できないようにする

ことが要求される場合は、BlackBerry Router またはプロキシサーバーを使用でき

ます。

 BlackBerry Router は、BlackBerry UEM とすべてのデバイスの間の BlackBerryInfrastructure を経由する接続のプロキシサーバーとして機能します。BlackBerryRouter は、認証なしの SOCKS v5 をサポートしています。

組織に既に TCP プロキシサーバーがインストールされているか、またはネット

ワーク要件を満たすために TCP プロキシサーバーが必要な場合は、BlackBerryRouter の代わりに TCP プロキシサーバーを使用できます。TCP プロキシサー

バー は、認証なしの SOCKS v5 をサポートしています。

BlackBerry UEM Core および BlackBerry Proxy は、HTTP プロキシサーバーを使用

して、BlackBerry Dynamics NOC への接続をサポートします。

サードパーティーアプリ

ケーションおよびコンテ

ンツサーバー

会社のディレクトリ、メールサーバー、認証局などを含む、組織の環境内の追加

のコンテンツサーバーおよびアプリケーションサーバー。

BEMS および BlackBerryプラグイン

BlackBerry UEM は、BlackBerry Enterprise Identity、BlackBerry 2FA、BlackBerryWorkspaces、および BlackBerry WorkLife などのその他の BlackBerry エンタープ

ライズ製品と連携して、組織内で UEM 機能を拡張できるようにします。

BlackBerry Enterprise Mobility Server は、BlackBerry Dynamics アプリとの間で仕

事用データを送信するために使用される複数のサービスを提供します。

 | BlackBerry UEM アーキテクチャとデータフロー | 6

Page 7: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

BlackBerry UEM コンポーネント

この図は、すべてのコンポーネントが製品の最もシンプルな設定でいっしょにインストールされていると

き、BlackBerry UEM コンポーネントが接続する方法を示しています。

コンポーネント間の接続に使用されるポートについては、インストールおよびアップグレード関連の資料の

「ポートを設定する」を参照してください。

コンポーネント名 説明

BlackBerry UEM Core BlackBerry UEM Core は BlackBerry UEM アーキテクチャの中心的なコンポーネン

トです。これは、以下を担当するいくつかのサブコンポーネントで構成されてい

ます。

• ログ、監視、レポート、および管理機能

• 認証および認証サービス

• コマンド、IT ポリシー、およびプロファイルのスケジュールとデバイスへの送

• ユーザー、ポリシー、およびその他の設定データをデバイス上の BlackBerryDynamics アプリに送信

 | BlackBerry UEM コンポーネント | 7

Page 8: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

コンポーネント名 説明

BlackBerry UEM データ

ベース

BlackBerry UEM データベースは、BlackBerry UEM がデバイスと BlackBerryDynamics アプリを管理するために使用するユーザーアカウント情報と設定情報

が格納されたリレーショナルデータベースです。

BlackBerry MDSConnection Service

BlackBerry MDS Connection Service は、BlackBerry 10 デバイスが仕事用 Wi-Fiネットワークに接続していないか、VPN 接続を使用していない場合に、そのデバ

イスと組織のネットワークとの間にセキュリティ保護された接続を提供します。

BlackBerry Dispatcher BlackBerry Dispatcher は BlackBerry 10 IPPP を使用してデバイス用のセキュリ

ティ保護された接続を提供します。

BlackBerry AffinityManager

BlackBerry Affinity Manager は、デバイスが BlackBerry 10 を使用していないとき

に、BlackBerry Infrastructure デバイスと BlackBerry Secure Connect Plus の間で

アクティブな SRP 接続を維持する責任を担います。

BlackBerry Proxy BlackBerry Proxy は、組織と BlackBerry Dynamics NOC との間のセキュリティ保

護された接続を維持します。また、アプリデータが BlackBerry Dynamics をバイ

パスすることを許可する、BlackBerry Dynamics NOC Direct Connect をサポート

します。

BlackBerry SecureConnect Plus

BlackBerry Secure Connect Plus は、デバイス上の仕事用アプリと組織のネッ

トワークとの間にセキュリティ保護された IP トンネルを提供します。標準

IPv4(TCP および UDP)データをサポートする 1 つのトンネルが、BlackBerryInfrastructure を介して各デバイス用に確立されます。

BlackBerry SecureGateway

BlackBerry Secure Gateway は、BlackBerry Infrastructure および BlackBerry UEMを介して、iOS デバイスに対し、組織のメールサーバーへのセキュリティ保護さ

れた接続を提供します。

BlackBerry GatekeepingService

BlackBerry Gatekeeping Service は、デバイスが Exchange ActiveSync でアクティ

ブになった時点でデバイスを許可リストに追加するように、BlackBerry UEM にコマンドを送信します。組織のメールサーバーへの接続を試行する管理されてい

ないデバイスは、BlackBerry UEM 管理コンソールを使用して、管理者によって調

査、確認され、ブロックまたは許可されます。

管理コンソールとBlackBerry UEM Self-Service

管理コンソールと BlackBerry UEM Self-Service は、BlackBerry UEM への管理者お

よびユーザーアクセス用の Web ベースのユーザーインターフェイスを提供しま

す。

管理コンソールを使用して、システム設定、ユーザー、デバイス、およびアプリ

を管理します。

ユーザーは、BlackBerry UEM Self-Service を使用して、アクティベーションパス

ワードを設定して、パスワードを設定、デバイスをロック、デバイスデータを削

除などのコマンドをデバイスに送信できます。

 | BlackBerry UEM コンポーネント | 8

Page 9: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

コンポーネント名 説明

BlackBerry EnterpriseMobility Server

BEMS は、BlackBerry Dynamics、BlackBerry Push Notifications、BlackBerryConnect、BlackBerry Presence などの BlackBerry Docs アプリとの間で仕事用

データを送信するために使用する複数のサービスを統合します。

BlackBerry EnterpriseMobility Server データ

ベース

BEMS データベースには、ユーザー、アプリ、ポリシー、および設定情報が保存

されます。

BlackBerry PushNotifications

BlackBerry Push Notifications は、iOS と Android デバイスからのプッシュ登録要

求を受け入れ、Microsoft Exchange と通信して、ユーザーの仕事用メールアカウ

ントの変更を監視します。

BlackBerry Connect BlackBerry Connect は、安全なインスタントメッセージ、社内ディレクトリ検

索、およびユーザープレゼンス情報を iOS および Android デバイスに提供しま

す。

BlackBerry Presence BlackBerry Presence は、リアルタイムプレゼンスステータスを BlackBerryDynamics アプリに提供します。

BlackBerry Docs BlackBerry Docs では、VPN ソフトウェア、ファイアウォールの再設定、また

は重複したデータの保存を必要とせずに、BlackBerry Dynamics アプリユーザー

が、仕事用ファイルサーバー、SharePoint、Box、および CMIS をサポートするコ

ンテンツ管理システムを使用して、ドキュメントにアクセス、同期、および共有

することができます。

BlackBerry Router およ

び/またはプロキシサー

バー

デフォルトでは、BlackBerry UEM はポート 3101 および 443 を経由する

BlackBerry Infrastructure への直接接続を作成します。組織のセキュリティポリ

シーで、内部システムがインターネットに直接接続しないことが要求される場

合、BlackBerry Router をインストールするか、認証なしで SOCKs v5 をサポート

するサードパーティ製 TCP プロキシサーバーを使用することができます。

BlackBerry UEM Core および BlackBerry Proxy は、BlackBerry Dynamics NOC に接

続するためにサードパーティ製 HTTP プロキシサーバーを使用することをサポー

トします。

BlackBerryInfrastructure およ

び BlackBerry DynamicsNOC

BlackBerry Infrastructure は、デバイスのアクティベーションのためにユーザー

情報を登録し、BlackBerry UEM のライセンス情報を検証し、強力な暗号化され

た、相互認証に基づいて組織とすべてのユーザーの間に信頼されたパスを提供し

ます。

BlackBerry Dynamics NOC は、デバイス上の BlackBerry Dynamics アプリと

BlackBerry UEM Core、BlackBerry Proxy および BlackBerry Enterprise MobilityServer 間のセキュリティ保護された通信を提供する、別個に配置された NOC です。

 | BlackBerry UEM コンポーネント | 9

Page 10: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

BlackBerry UEM の分散インストール

この図は、BlackBerry Connectivity Node とユーザーインターフェイスが両方ともプライマリ BlackBerry UEM コンポーネントと別にインストールされている場合に、BlackBerry UEM コンポーネントがどのように接続されるか

を示しています。

コンポーネント間の接続に使用されるポートについては、インストールおよびアップグレード関連の資料の

「ポートを設定する」を参照してください。

コンポーネント名 説明

プライマリ BlackBerryUEM コンポーネント

プライマリ BlackBerry UEM コンポーネントには、BlackBerry UEM Core と同じ

サーバーにインストールされているすべてのコンポーネントが含まれます。

 | BlackBerry UEM の分散インストール | 10

Page 11: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

コンポーネント名 説明

BlackBerry UEM Core BlackBerry UEM Core は BlackBerry UEM アーキテクチャの中心的なコンポーネン

トです。これは、以下を担当するいくつかのサブコンポーネントで構成されてい

ます。

• ログ、監視、レポート、および管理機能

• 認証および認証サービス

• コマンド、IT ポリシー、およびプロファイルのスケジュールとデバイスへの送

• ユーザー、ポリシー、およびその他の設定データをデバイス上の BlackBerryDynamics アプリに送信

BlackBerry UEM データ

ベース

BlackBerry UEM データベースは、BlackBerry UEM がデバイスと BlackBerryDynamics アプリを管理するために使用するユーザーアカウント情報と設定情報

が格納されたリレーショナルデータベースです。

BlackBerry MDSConnection Service

BlackBerry MDS Connection Service は、BlackBerry 10 デバイスが仕事用 Wi-Fiネットワークに接続していないか、VPN 接続を使用していない場合に、そのデバ

イスと組織のネットワークとの間にセキュリティ保護された接続を提供します。

BlackBerry CollaborationService

BlackBerry Collaboration Service は、組織のインスタントメッセージングサー

バーと Enterprise IM デバイスの BlackBerry 10 アプリ間の暗号化された接続を提

供します。

BlackBerry Dispatcher BlackBerry Dispatcher は BlackBerry 10 IPPP を使用してデバイス用のセキュリ

ティ保護された接続を提供します。

BlackBerry AffinityManager

BlackBerry Affinity Manager は、デバイスが BlackBerry 10 を使用していないとき

に、BlackBerry Infrastructure デバイスと BlackBerry Secure Connect Plus の間で

アクティブな SRP 接続を維持する責任を担います。

BlackBerry GatekeepingService (プライマリ)

BlackBerry Gatekeeping Service は、デバイスが BlackBerry UEM でアクティブに

なった時点でデバイスを許可リストに追加するように、Exchange ActiveSync にコマンドを送信します。組織のメールサーバーへの接続を試行する管理されてい

ないデバイスは、BlackBerry UEM 管理コンソールを通じて、管理者によって調

査、確認され、ブロックまたは許可されます。

管理コンソールとBlackBerry UEM Self-Service

管理コンソールと BlackBerry UEM Self-Service は、BlackBerry UEM への管理者お

よびユーザーアクセス用の Web ベースのユーザーインターフェイスを提供しま

す。他の BlackBerry UEM コンポーネントとは別にインストールすることができ

ます。

管理コンソールを使用して、システム設定、ユーザー、デバイス、およびアプリ

を管理します。

ユーザーは、BlackBerry UEM Self-Service にアクセスし、アクティベーションパ

スワードを設定して、パスワードを設定、デバイスをロック、デバイスデータを

削除などのコマンドをデバイスに送信できます。

 | BlackBerry UEM の分散インストール | 11

Page 12: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

コンポーネント名 説明

BlackBerry ConnectivityNode

BlackBerry Connectivity Node は BlackBerry UEM とは異なるサーバー上の組織の

ドメインに BlackBerry UEM Core デバイス接続コンポーネントのインスタンスを

インストールします。各 BlackBerry Connectivity Node には、以下のコンポーネ

ントが含まれています。

• BlackBerry Cloud Connector• BlackBerry Proxy• BlackBerry Secure Connect Plus• BlackBerry Secure Gateway• BlackBerry Gatekeeping Service

BlackBerry CloudConnector

BlackBerry Cloud Connector は、BlackBerry Connectivity Node コンポーネントが

BlackBerry UEM Core と通信することを許可します。BlackBerry Cloud Connectorと BlackBerry UEM Core の間のすべての通信は BlackBerry Infrastructure を通過し

ます。

BlackBerry Proxy BlackBerry Proxy は、組織と BlackBerry Dynamics NOC との間のセキュリティ保

護された接続を維持します。また、アプリデータが BlackBerry Dynamics をバイ

パスすることを許可する、BlackBerry Dynamics NOC Direct Connect をサポート

します。

BlackBerry SecureConnect Plus

BlackBerry Secure Connect Plus は、デバイス上の仕事用アプリと組織のネッ

トワークとの間にセキュリティ保護された IP トンネルを提供します。標準

IPv4(TCP および UDP)データをサポートする 1 つのトンネルが、BlackBerryInfrastructure を介して各デバイス用に確立されます。

BlackBerry SecureGateway

BlackBerry Secure Gateway は、BlackBerry Infrastructure および BlackBerry UEMを介して、iOS デバイスに対し、組織のメールサーバーへのセキュリティ保護さ

れた接続を提供します。

BlackBerry GatekeepingService (BlackBerryConnectivity Node)

BlackBerry UEM は、BlackBerry Connectivity Node とインストールされている

BlackBerry Gatekeeping Service のインスタンスを使用して、メールサーバーの

ゲートキーピングを管理できます。各インスタンスは、組織のゲートキーピング

サーバーにアクセスできる必要があります。

 プライマリ BlackBerry Gatekeeping Service コンポーネントにインストールされ

ている BlackBerry UEM によってのみ、ゲートキーピングデータを管理する場合

は、各 BlackBerry Gatekeeping Service の BlackBerry Connectivity Node を無効に

することができます。

BlackBerry EnterpriseMobility Server

BEMS は、BlackBerry Push Notifications、BlackBerry Connect、BlackBerryPresence、BlackBerry Docs などの BlackBerry Dynamics アプリとの間で仕事用

データを送信するために使用する複数のサービスを統合します。

BlackBerry EnterpriseMobility Server データ

ベース

BEMS データベースには、ユーザー、アプリ、ポリシー、および設定情報が保存

されます。

 | BlackBerry UEM の分散インストール | 12

Page 13: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

コンポーネント名 説明

BlackBerryInfrastructure およ

び BlackBerry DynamicsNOC

BlackBerry Infrastructure は、デバイスのアクティベーションのためにユーザー

情報を登録し、BlackBerry UEM のライセンス情報を検証し、強力な暗号化され

た、相互認証に基づいて組織とすべてのユーザーの間に信頼されたパスを提供し

ます。

BlackBerry Dynamics NOC は、デバイス上の BlackBerry Dynamics アプリと

BlackBerry UEM Core、BlackBerry Proxy および BlackBerry Enterprise MobilityServer 間のセキュリティ保護された通信を提供する、別個に配置された NOC です。

 | BlackBerry UEM の分散インストール | 13

Page 14: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

BlackBerry UEM 地域での導入

この図は、BlackBerry Connectivity Node の 1 つまたは複数のインスタンスが別の場所にインストールされてい

る場合、BlackBerry UEM コンポーネントがどのように接続されるかを示しています。サーバーグループを使用し

て、デバイスの接続先の BlackBerry Connectivity Node の地域インスタンスを指定することができます。

コンポーネント間の接続に使用されるポートについては、インストールおよびアップグレード関連の資料の

「ポートを設定する」を参照してください。

コンポーネント名 説明

プライマリ BlackBerryUEM コンポーネント

プライマリ BlackBerry UEM コンポーネントには、BlackBerry UEM Core と同じ

サーバーにインストールされているすべてのコンポーネントが含まれます。

 | BlackBerry UEM 地域での導入 | 14

Page 15: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

コンポーネント名 説明

BlackBerry UEM Core BlackBerry UEM Core は BlackBerry UEM アーキテクチャの中心的なコンポーネン

トです。これは、以下を担当するいくつかのサブコンポーネントで構成されてい

ます。

• ログ、監視、レポート、および管理機能

• 認証および認証サービス

• コマンド、IT ポリシー、およびプロファイルのスケジュールとデバイスへの送

• ユーザー、ポリシー、およびその他の設定データをデバイス上の BlackBerryDynamics アプリに送信

BlackBerry UEM データ

ベース

BlackBerry UEM データベースは、BlackBerry UEM がデバイスと BlackBerryDynamics アプリを管理するために使用するユーザーアカウント情報と設定情報

が格納されたリレーショナルデータベースです。

BlackBerry MDSConnection Service

BlackBerry MDS Connection Service は、BlackBerry 10 デバイスが仕事用 Wi-Fiネットワークに接続していないか、VPN 接続を使用していない場合に、そのデバ

イスと組織のネットワークとの間にセキュリティ保護された接続を提供します。

BlackBerry Dispatcher BlackBerry Dispatcher は BlackBerry 10 IPPP を使用してデバイス用のセキュリ

ティ保護された接続を提供します。

BlackBerry AffinityManager

BlackBerry Affinity Manager は、デバイスが BlackBerry 10 を使用していないとき

に、BlackBerry Infrastructure デバイスと BlackBerry Secure Connect Plus の間で

アクティブな SRP 接続を維持する責任を担います。

BlackBerry GatekeepingService (プライマリ)

BlackBerry Gatekeeping Service は、デバイスが BlackBerry UEM でアクティブに

なった時点でデバイスを許可リストに追加するように、Exchange ActiveSync にコマンドを送信します。組織のメールサーバーへの接続を試行する管理されてい

ないデバイスは、BlackBerry UEM 管理コンソールを通じて、管理者によって調

査、確認され、ブロックまたは許可されます。

管理コンソールとBlackBerry UEM Self-Service

管理コンソールと BlackBerry UEM Self-Service は、BlackBerry UEM への管理者お

よびユーザーアクセス用の Web ベースのユーザーインターフェイスを提供しま

す。他の BlackBerry UEM コンポーネントとは別にインストールすることができ

ます。

管理コンソールを使用して、システム設定、ユーザー、デバイス、およびアプリ

を管理します。

ユーザーは、BlackBerry UEM Self-Service にアクセスし、アクティベーションパ

スワードを設定して、パスワードを設定、デバイスをロック、デバイスデータを

削除などのコマンドをデバイスに送信できます。

 | BlackBerry UEM 地域での導入 | 15

Page 16: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

コンポーネント名 説明

BlackBerry ConnectivityNode

BlackBerry Connectivity Node は BlackBerry UEM とは異なるサーバー上の組織の

ドメインに BlackBerry UEM Core デバイス接続コンポーネントのインスタンスを

インストールします。各 BlackBerry Connectivity Node には、以下のコンポーネ

ントが含まれています。

• BlackBerry Cloud Connector• BlackBerry Proxy• BlackBerry Secure Connect Plus• BlackBerry Secure Gateway• BlackBerry Gatekeeping Service

BlackBerry Connectivity Node の地域での導入がある場合、BlackBerry UEM Coreとその地域 BlackBerry Connectivity Node を含むサーバーグループとの間の接続

を設定する必要があります。

BlackBerry CloudConnector

BlackBerry Cloud Connector は、BlackBerry Connectivity Node コンポーネントが

BlackBerry UEM Core と通信することを許可します。BlackBerry Cloud Connectorと BlackBerry UEM Core の間のすべての通信は BlackBerry Infrastructure を通過し

ます。

BlackBerry Proxy BlackBerry Proxy は、組織と BlackBerry Dynamics NOC との間のセキュリティ保

護された接続を維持します。また、アプリデータが BlackBerry Dynamics をバイ

パスすることを許可する、BlackBerry Dynamics NOC Direct Connect をサポート

します。

BlackBerry SecureConnect Plus

BlackBerry Secure Connect Plus は、デバイス上の仕事用アプリと組織のネッ

トワークとの間にセキュリティ保護された IP トンネルを提供します。標準

IPv4(TCP および UDP)データをサポートする 1 つのトンネルが、BlackBerryInfrastructure を介して各デバイス用に確立されます。

BlackBerry SecureGateway

BlackBerry Secure Gateway は、BlackBerry Infrastructure および BlackBerry UEMを介して、iOS デバイスに対し、組織のメールサーバーへのセキュリティ保護さ

れた接続を提供します。

BlackBerry GatekeepingService (BlackBerryConnectivity Node)

BlackBerry UEM は、BlackBerry Connectivity Node とインストールされている

BlackBerry Gatekeeping Service のインスタンスを使用して、メールサーバーの

ゲートキーピングを管理できます。各インスタンスは、組織のゲートキーピング

サーバーにアクセスできる必要があります。

 プライマリ BlackBerry Gatekeeping Service コンポーネントにインストールされ

ている BlackBerry UEM によってのみ、ゲートキーピングデータを管理する場合

は、各 BlackBerry Gatekeeping Service の BlackBerry Connectivity Node を無効に

することができます。

BlackBerry EnterpriseMobility Server

BEMS は、BlackBerry Push Notifications、BlackBerry Connect、BlackBerryPresence、BlackBerry Docs などの BlackBerry Dynamics アプリとの間で仕事用

データを送信するために使用する複数のサービスを統合します。

 | BlackBerry UEM 地域での導入 | 16

Page 17: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

コンポーネント名 説明

BlackBerry EnterpriseMobility Server データ

ベース

BEMS データベースには、ユーザー、アプリ、ポリシー、および設定情報が保存

されます。

BlackBerryInfrastructure およ

び BlackBerry DynamicsNOC

BlackBerry Infrastructure は、デバイスのアクティベーションのためにユーザー

情報を登録し、BlackBerry UEM のライセンス情報を検証し、強力な暗号化され

た、相互認証に基づいて組織とすべてのユーザーの間に信頼されたパスを提供し

ます。

BlackBerry Dynamics NOC は、デバイス上の BlackBerry Dynamics アプリと

BlackBerry UEM Core、BlackBerry Proxy および BlackBerry Enterprise MobilityServer 間のセキュリティ保護された通信を提供する、別個に配置された NOC です。

 | BlackBerry UEM 地域での導入 | 17

Page 18: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

BlackBerry OS デバイスを管理するために使用されるコンポーネント

一部の BlackBerry UEM コンポーネントは、BlackBerry OS(バージョン 5.0~7.1)デバイスを管理するためにだ

け使用されます。この図は、BlackBerry UEM OS デバイスを管理するために使用される BlackBerry コンポーネン

トを示しています。

 

 

コンポーネント名 説明

BlackBerry UEM Core BlackBerry UEM Core は BlackBerry UEM アーキテクチャの中心となるコンポーネ

ントで、以下を担当するいくつかのサブコンポーネントで構成されています。

• ログ、監視、レポート、および管理機能

• BlackBerry UEM Core ローカルディレクトリと会社のディレクトリの認証およ

び認証サービス

• コマンド、IT ポリシー、およびプロファイルのスケジュールとデバイスへの

送信

 ドメイン内に複数の BlackBerry UEM インスタンスがある場合は、すべて

の BlackBerry UEM Core インスタンスがアクティブで、各インスタンスが

BlackBerry Infrastructure に接続してトラフィックを処理できます。コン

ピューターに BlackBerry UEM をインストールして後、別のコンピューターに

BlackBerry UEM Core をインストールできます。

 | BlackBerry OS デバイスを管理するために使用されるコンポーネント | 18

Page 19: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

コンポーネント名 説明

BlackBerry UEM データ

ベース

BlackBerry UEM データベースは、BlackBerry UEM がデバイスを管理するために

使用するユーザーアカウント情報と設定情報が格納されたリレーショナルデー

タベースです。BlackBerry UEM データベースは、BlackBerry UEM インスタンス

と同じコンピューターにインストールすることもできれば、別のコンピューター

にインストールすることもできます。冗長性とビジネスの継続性を確保するため

に、データベースミラーリングを設定できます。

BlackBerry AdministrationService

 BlackBerry Administration Service を使用して、BlackBerry OS デバイスのソフト

ウェア更新、および BlackBerry OS(バージョン 5.0~7.1)デバイスの VPN プロ

ファイルと Wi-Fi プロファイルを設定できます。 

BlackBerry Administration Service は、BlackBerry UEM データベースに接続しま

す。また、BlackBerry OS デバイスを管理できるように、管理コンソール用の接

続サービスを提供します。

BlackBerry AttachmentService

BlackBerry Attachment Service は、サポートされている添付ファイル

を、BlackBerry OS デバイスで表示できる形式に変換します。BlackBerryAttachment Service は、BlackBerry Messaging Agent、BlackBerry MDSConnection Service for BlackBerry OS、および BlackBerry Collaboration Serviceの添付ファイルを変換します。

BlackBerry OS 用BlackBerry CollaborationService

BlackBerry OS 用 BlackBerry Collaboration Service は、組織のインスタントメッ

セージサーバーと BlackBerry OS デバイスのコラボレーションクライアント間の

接続を提供するオプションのコンポーネントです。

BlackBerry Controller BlackBerry Controller は、BlackBerry OS デバイスを管理するために使用されてい

るコンポーネントを監視し、これらのコンポーネントが応答を停止した場合にそ

れらを再起動します。

BlackBerry OS 用BlackBerry Dispatcher

BlackBerry OS 用 BlackBerry Dispatcher は、次の機能を実行します。

• BlackBerry OS デバイスを管理するために使用されるコンポーネント間での

データの転送 • BlackBerry OS デバイスに送信されるデータの圧縮と暗号化

• BlackBerry OS デバイスから受信したデータの復号化と圧縮解除

• BlackBerry OS 管理コンポーネントのヘルスの監視と通知

• BlackBerry Messaging Agent 上での BlackBerry OS デバイスユーザーの処理の

開始

BlackBerry Mail StoreService

BlackBerry Mail Store Service は、組織の環境内にあるメールサーバーに接続し

て、BlackBerry Administration Service によるメールサーバー上のユーザーアカウ

ントの検索に必要な連絡先情報を取得します。

BlackBerry OS 用BlackBerry MDSConnection Service

BlackBerry OS 用の BlackBerry MDS Connection Service によって、BlackBerry OSデバイスのアプリケーションは組織のアプリケーションまたはコンテンツサー

バーに接続して、アプリケーションデータや更新を取得できるようになります。

 | BlackBerry OS デバイスを管理するために使用されるコンポーネント | 19

Page 20: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

コンポーネント名 説明

BlackBerry MessagingAgent

BlackBerry Messaging Agent は、次の機能を実行します。

• メールサーバーに接続し、BlackBerry OS デバイス向けに、メッセージング

サービス、カレンダー管理、連絡先の検索、添付ファイルの表示、および添

付ファイルの取得を行います。

• BlackBerry Synchronization Service によるメールサーバー上のオーガナイザー

データへのアクセスを許可します。

• BlackBerry UEM データベースと、メールサーバー上の BlackBerry OS デバイ

スユーザーのメールボックスとの間で設定データを同期します。

BlackBerry Policy Service BlackBerry Policy Service は、ワイヤレスネットワーク経由で BlackBerry OS デバ

イス用の管理サービス(IT ポリシー、デバイスコマンド、サービスブックの送信

など)を実行します。

BlackBerry Router BlackBerry Router は、BlackBerry Infrastructure とすべてのデバイスの間

の BlackBerry UEM を経由する接続のプロキシサーバーとして機能しま

す。BlackBerry OS(バージョン 5.0~7.1)デバイスの場合、BlackBerry Routerは、仕事用 Wi-Fi ネットワークまたは BlackBerry Device Manager を備えたコン

ピューターに接続されたデバイスとの間でデータを直接送信したり、受信したり

します。

BES5 バージョン 5.0.4 MR10 から BlackBerry UEM にアップグレードした場

合、BlackBerry Router と一緒に本来インストールされた BES5 は、BlackBerryOS デバイスを管理するために使用されるコンポーネントに対してのみ動作しま

す。BlackBerry Router と一緒に BlackBerry UEM の新しいインスタンスをインス

トールした場合は、それをすべてのコンポーネントと連携動作するように設定で

きます。

BlackBerry Router の代わりに既存の TCP プロキシサーバーを使用する場合

は、仕事用 Wi-Fi ネットワークまたは BlackBerry Device Manager がインストー

ルされたコンピューターに接続された BlackBerry OS デバイスは、BlackBerryInfrastructure をバイパスして組織のネットワークに接続することはできませ

ん。

BlackBerrySynchronization Service

BlackBerry Synchronization Service は、BlackBerry Messaging Agent を使用し

て、BlackBerry OS デバイスと組織のメールサーバーとの間でオーガナイザー

データを同期します。また、BlackBerry Synchronization Service は BlackBerryOS デバイスユーザーのデータと BlackBerry UEM データベースを同期します。

BlackBerry Web DesktopManager

BlackBerry OS デバイスは BlackBerry Web Desktop Manager にアクセスして、ア

クティベーションパスワードの設定、デバイスをコンピューターに接続すること

によるデバイスのアクティブ化、デバイスソフトウェアの更新やデバイスコマン

ドの送信などの BlackBerry OS デバイス用のその他のデバイス管理機能の実行を

行うことができます。

 | BlackBerry OS デバイスを管理するために使用されるコンポーネント | 20

Page 21: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

コンポーネント名 説明

管理コンソール 管理コンソールは、次の目的で使用される Web ベースのコンソールです。

• インストール後の設定の完了

• ユーザー、デバイス、ポリシー、プロファイル、およびアプリの表示と管理

• アクティベーションメールのカスタマイズや APN 証明書の追加を含む、シス

テム設定の表示と管理

• IT ポリシー、プロファイル、グループ、およびユーザーの BlackBerry UEM への移動

また、管理コンソールは BlackBerry UEM Self-Service へのアクセスを提供

し、iOS デバイスユーザーに[仕事用アプリケーション]アイコンを使用したア

プリの管理を許可します。コンピューターに BlackBerry UEM をインストールし

てから、別のコンピューターに管理コンソールをインストールできます。

 | BlackBerry OS デバイスを管理するために使用されるコンポーネント | 21

Page 22: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

デバイスのアクティベーション

指定するデバイスのタイプとアクティベーションのタイプにより、デバイスと BlackBerry UEM は、設定および

仕事用データをデバイスに送信する前に、アクティベーションプロセス中に複数の手順を完了して、相互に認証

し、通信チャンネルをセキュリティ保護し、必要な場合には、仕事用領域を作成するか、またはデバイスを暗号

化する必要があります。デバイスを有効にする手順は、管理関連の資料の「デバイスのアクティベーション」を

参照してください。

デバイスアクティベーションによって、すべてのデータに対するフルコントロール権限から仕事用データのみ

の特定の制御権限まで、デバイス上の仕事用データと個人用データを制御できる度合いは異なります。アクティ

ベーションの種類の詳細については、管理関連の資料の「アクティベーションプロファイルの作成」を参照して

ください。

データフロー:BlackBerry 10 デバイスのアクティベーション

 

 

1.  次の操作を実行します。

a. ユーザーをローカルユーザーアカウントとして、または会社のディレクトリから取得したアカウント情報

を使用して、BlackBerry UEM に追加する

b. アクティベーションプロファイルをユーザーに割り当てる

c. 次のいずれかのオプションを使用してユーザーにアクティベーションの詳細情報を提供する

• デバイスアクティベーションパスワードを自動生成し、アクティベーションの手順を記載したメールを

送信する

• デバイスアクティベーションパスワードを設定して、ユーザー名とパスワードをユーザーに直接通知す

るか、メールで通知する

• デバイスアクティベーションパスワードを設定せずに、ユーザーが自身でアクティベーションパスワー

ドを設定できるように BlackBerry UEM Self-Service アドレスをユーザーに通知する

2. ユーザーは次の操作を実行します。

a. ユーザー名とアクティベーションパスワードをデバイスに入力します。

b.  「仕事用と個人用 - 制限付き 」または「仕事用領域のみ 」アクティベーションの場合は、ユーザーが同意

する必要のある使用条件を概略した組織の通知を承認します。

 | デバイスのアクティベーション | 22

Page 23: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

3. アクティベーションが「仕事用領域のみ 」の場合、デバイスはすべての既存のデータを削除し、再起動しま

す。その他のアクティベーションタイプの場合、デバイス上の Enterprise Management Agent は、次の操作

を実行します。

a. BlackBerry Infrastructure への接続を確立する

b. BlackBerry Infrastructure にアクティベーション情報を送信する

4. BlackBerry Infrastructure は、次の操作を実行します。

a. ユーザーが有効な登録済みユーザーであることを確認する

b. ユーザーの BlackBerry UEM アドレスを取得する

c. Enterprise Management Agent にアドレスを送信する

5. デバイスが次の処理を実行します。

a. BlackBerry UEM との接続を確立する

b. アクティベーションパスワードと EC-SPEKE を使って、CSR の保護と BlackBerry UEM への応答に使われ

る共有対称キーを生成する c. 次のように暗号化された CSR と HMAC を作成します。

• 証明書のキーペアを生成します。

• キーペアの公開鍵を含む PKCS#10 CSR を作成します。

• 共有対称キーと、PKCS#5 パディングを含む CBC モードの AES-256 を使用して CSR を暗号化します。

• SHA-256 を使用して暗号化された CSR の HMAC を計算し、それを CSR に付加します。

d. 暗号化された CSR と HMAC を BlackBerry UEM に送信する

6. BlackBerry UEM は次の操作を実行します。

a. 暗号化された CSR の HMAC を検証し、共有対称キーを使用して CSR を復号化します。

b. ユーザー名、仕事用領域 ID、および組織の名前を BlackBerry UEM データベースから取得します。

c. 取得した情報とデバイスが送信した CSR を使用してクライアント証明書をパッケージ化します。

d. エンタープライズ管理ルート証明書を使用してクライアント証明書に署名します。

e. 共有対称キーと、PKCS#5 パディングを含む CBC モードの AES-256 を使用して、クライアント証明書、

エンタープライズ管理ルート証明書、および BlackBerry UEM URL を暗号化します。

f. 暗号化されたクライアント証明書、エンタープライズ管理ルート証明書、および BlackBerry UEM URL のHMAC を計算して、それを暗号化されたデータに付加します。

g. 暗号化された データと HMAC をデバイスに送信します。

7. デバイスが次の処理を実行します。

a. HMAC を検証します。

b. BlackBerry UEM から受信したデータを復号化します。

c. クライアント証明書とエンタープライズ管理ルート証明書をキーストアに保存します。

8. BlackBerry UEM は次の操作を実行します。

a. BlackBerry UEM Core は、新しいデバイスをドメイン内の BlackBerry UEM インスタンスに割り当てます。

b. BlackBerry UEM Core は、新しいデバイスが BlackBerry UEM インスタンスに割り当てられたことをアク

ティブな BlackBerry Affinity Manager に通知します。

c. アクティブな BlackBerry Affinity Manager は、その BlackBerry UEM インスタンス上の BlackBerryDispatcher に、新しいデバイスがあることを通知します。

d. BlackBerry UEM Core は、エンタープライズ接続設定を含む設定情報をデバイスに送信します。

9. BlackBerry UEM Core およびデバイスは、ECMQV、および BlackBerry UEM のクライアント証明書とサー

バー証明書から取得した認証済みの長期的な公開鍵を使用して、デバイス転送キーを生成します。このキー

 | デバイスのアクティベーション | 23

Page 24: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

は、BlackBerry Secure Connect Plus を使用していないときに仕事用データを暗号化し、IPPP データにプッ

シュするために使用されます。

10.デバイスは、IT ポリシーとその他の情報を受信して適用し、仕事用領域を作成したことを確認する確認応答

を TLS 経由で BlackBerry UEM に送信します。アクティベーションプロセスは完了です。

 アクティベーションプロセス中に使用される楕円曲線プロトコルは、NIST 推奨の 521 ビット曲線を使用しま

す。

 | デバイスのアクティベーション | 24

Page 25: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

データフロー:MDM 用 Android デバイスのアクティベーション

 

 

1.  次の操作を実行します。

a. ユーザーをローカルユーザーアカウントとして、または会社のディレクトリから取得したアカウント情報

を使用して、BlackBerry UEM に追加する

b. 「MDM 制御 」のアクティベーションの種類を指定するアクティベーションプロファイルがユーザーに割

り当てられていることを確認します

c. 次のいずれかのオプションを使用してユーザーにアクティベーションの詳細情報を提供する

• デバイスアクティベーションパスワードと、オプションとして、QR Code を自動生成して、アクティ

ベーションの手順を記載したメールを送信する

• デバイスアクティベーションパスワードを設定して、ユーザー名とパスワードをユーザーに直接通知す

るか、メールで通知する

• デバイスアクティベーションパスワードを設定せずに、ユーザーが自身でアクティベーションパスワー

ドを設定し BlackBerry UEM Self-Service を表示できるように、QR Code アドレスをユーザーに通知する

2. ユーザーは BlackBerry UEM Client をダウンロードし、デバイスにインストールします。インストール後に、

ユーザーは BlackBerry UEM Client を開き、メールアドレスとアクティベーションパスワードを入力するか QRCode をスキャンします。

3. デバイスの BlackBerry UEM Client が次の操作を実行します。

a. BlackBerry Infrastructure への接続を確立する

b. BlackBerry Infrastructure にアクティベーション情報を送信する

4. BlackBerry Infrastructure は、次の操作を実行します。

a. ユーザーが有効な登録済みユーザーであることを確認する

b. ユーザーの BlackBerry UEM アドレスを取得する

c. BlackBerry UEM Client にアドレスを送信する

5. BlackBerry UEM Client は、ポート 443 経由で HTTP CONNECT コールを使用して BlackBerry UEM との接続を

確立し、BlackBerry UEM にアクティベーション要求を送信します。アクティベーション要求には、ユーザー

名、パスワード、デバイスのオペレーティングシステム、および固有のデバイス ID が含まれます。

6. BlackBerry UEM は次の操作を実行します。

a. 資格情報の有効性を調べる

b. デバイスインスタンスを作成する

 | デバイスのアクティベーション | 25

Page 26: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

c. デバイスインスタンスを、BlackBerry UEM データベース内の指定されたユーザーアカウントに関連付ける

d. 登録セッション ID を HTTP セッションに追加する

e. 正常に認証されたことを示すメッセージをデバイスに送信する

7. BlackBerry UEM Client は BlackBerry UEM から受信した情報を使用して CSR を作成し、HTTPS を介してクラ

イアント証明書要求を BlackBerry UEM へ送信します。

8. BlackBerry UEM は次の操作を実行します。

a. クライアント証明書要求を HTTP セッションの登録セッション ID と照合して検証する

b. ルート証明書を使用してクライアント証明書要求に署名する

c. 署名されたクライアント証明書とルート証明書を BlackBerry UEM Client に返送する

BlackBerry UEM Client と BlackBerry UEM の間に相互に認証された TLS セッションが確立されます。

9. BlackBerry UEM Client は、すべての設定情報を要求し、デバイスおよびソフトウェア情報を BlackBerry UEMに送信します。

10.BlackBerry UEM は、デバイス情報をデータベースに保存し、要求された設定情報をデバイスに送信します。

11.BlackBerry UEM Client は、デバイスが KNOX MDM を使用して、サポートされる MDM バージョンを実行

しているかどうかを判断します。デバイスが KNOX MDM を使用している場合は、デバイスは Samsungインフラストラクチャに接続され、KNOX 管理ライセンスがアクティブ化されます。アクティブ化された

後、BlackBerry UEM Client は BlackBerry UEM から KNOX MDM IT ポリシールールを適用します。

12.デバイスは、設定情報を受信し適用したことを示す確認応答を BlackBerry UEM に送信します。アクティベー

ションプロセスは完了です。

 | デバイスのアクティベーション | 26

Page 27: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

データフロー:Google ドメインで Android Enterprise デバイスを

アクティブ化する

このデータフローは、BlackBerry UEM が Google Cloud または G Suite ドメインに接続されている場合に適用さ

れます。詳細については、設定関連の資料を参照してください。

1. 次の操作を実行します。

a. ユーザーの仕事用メールアドレスに関連付けられている Google アカウントを、ユーザーが所有している

ことを確認します。BlackBerry UEM を設定して、アクティベーションプロセス中にユーザーに Google アカウントを作成することもできます。BlackBerry UEM が Google でユーザー用アカウントを作成する場合

に、ユーザーは Google ドメインから Google アカウントパスワードを含むメールを受信します。 b. ユーザーをローカルユーザーアカウントとして、または会社のディレクトリから取得したアカウント情報

を使用して、BlackBerry UEM に追加します。メールアドレスを指定する際には、ユーザーの Google アカ

ウントに関連付けられたメールアドレスを使用します。

c. 「仕事用と個人用 - ユーザーのプライバシー 」または「仕事用と個人用 - ユーザーのプライバシー (プレ

ミアム)」アクティベーションタイプがユーザーに割り当てられていることを確認します。

d. 次のいずれかのオプションを使用してユーザーにアクティベーションの詳細情報を提供する

• デバイスアクティベーションパスワードと、オプションとして、QR Code を自動生成して、アクティ

ベーションの手順を記載したメールを送信する

• デバイスアクティベーションパスワードを設定して、ユーザー名とパスワードをユーザーに直接通知す

るか、メールで通知する

• デバイスアクティベーションパスワードを設定せずに、ユーザーが自身でアクティベーションパスワー

ドを設定し BlackBerry UEM Self-Service を表示できるように、QR Code アドレスをユーザーに通知する

2. ユーザーは、BlackBerry UEM Client から Google Play をダウンロードして、デバイスにインストールします。

インストール後に、ユーザーは BlackBerry UEM Client を開き、メールアドレスとアクティベーションパス

ワードを入力するか QR Code をスキャンします。

3. デバイスの BlackBerry UEM Client が次の操作を実行します。

a. BlackBerry Infrastructure への接続を確立する

b. BlackBerry Infrastructure にアクティベーション情報を送信する

4. BlackBerry Infrastructure は、次の操作を実行します。

a. ユーザーが有効な登録済みユーザーであることを確認する

b. ユーザーの BlackBerry UEM アドレスを取得する

 | デバイスのアクティベーション | 27

Page 28: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

c. BlackBerry UEM Client にアドレスを送信する

5. BlackBerry UEM Client は、ポート 443 経由で HTTP CONNECT コールを使用して BlackBerry UEM との接続を

確立し、BlackBerry UEM にアクティベーション要求を送信します。アクティベーション要求には、ユーザー

名、パスワード、デバイスのオペレーティングシステム、および固有のデバイス ID が含まれます。

6. BlackBerry UEM は次の操作を実行します。

a. ユーザーアカウントに割り当てられたアクティベーションタイプを決定します。

b. 管理対象の Google ドメインに接続して、ユーザー情報を確認する

c. デバイスインスタンスを作成する

d. デバイスインスタンスを、指定されたユーザーアカウントに関連付けます。

e. 登録セッション ID を HTTP セッションに追加する

f. 正常に認証されたことを示すメッセージをデバイスに送信する

7. デバイスが暗号化されていない場合は、デバイスの暗号化を求めるプロンプトが表示されます。 8. BlackBerry UEM Client は、次の操作を実行します。

a. Google アカウント情報の入力を求めるプロンプトを表示する b. 管理対象の Google ドメインに接続して、ユーザーを認証する

c. BlackBerry UEM から受信した情報を使用して CSR を作成し、HTTPS を介してクライアント証明書要求を

BlackBerry UEM へ送信する

9. BlackBerry UEM は次の操作を実行します。

a. クライアント証明書要求を HTTP セッションの登録セッション ID と照合して検証する

b. ルート証明書を使用してクライアント証明書要求に署名する

c. 署名されたクライアント証明書とルート証明書を BlackBerry UEM Client に返送する

BlackBerry UEM Client と BlackBerry UEM の間に相互に認証された TLS セッションが確立されます。

10.BlackBerry UEM Client は、すべての設定情報を要求し、デバイスおよびソフトウェア情報を BlackBerry UEMに送信します。

11.BlackBerry UEM は、デバイス情報を保存し、要求された設定情報をデバイスに送信します。

12.デバイスは、設定情報を受信し適用したことを示す確認応答を BlackBerry UEM に送信します。アクティベー

ションプロセスは完了です。

データフロー:管理対象 Google Play アカウントを使用し

て Android Enterprise デバイスをアクティブ化する

 | デバイスのアクティベーション | 28

Page 29: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

このデータフローは、BlackBerry UEM に Google Play アカウントの管理を許可する場合に適用されます。詳細に

ついては、設定関連の資料を参照してください。

1. 次の操作を実行します。

a. ユーザーをローカルユーザーアカウントとして、または会社のディレクトリから取得したアカウント情報

を使用して、BlackBerry UEM に追加します。

b. 「仕事用と個人用 - ユーザーのプライバシー 」または「仕事用と個人用 - ユーザーのプライバシー (プレ

ミアム)」アクティベーションタイプがユーザーに割り当てられていることを確認します。

c. 次のいずれかのオプションを使用してユーザーにアクティベーションの詳細情報を提供する

• デバイスアクティベーションパスワードと、オプションとして、QR Code を自動生成して、アクティ

ベーションの手順を記載したメールを送信する

• デバイスアクティベーションパスワードを設定して、ユーザー名とパスワードをユーザーに直接通知す

るか、メールで通知する

• デバイスアクティベーションパスワードを設定せずに、ユーザーが自身でアクティベーションパスワー

ドを設定し BlackBerry UEM Self-Service を表示できるように、QR Code アドレスをユーザーに通知する

2. ユーザーは、BlackBerry UEM Client から Google Play をダウンロードして、デバイスにインストールします。

インストール後に、ユーザーは BlackBerry UEM Client を開き、メールアドレスとアクティベーションパス

ワードを入力するか QR Code をスキャンします。

3. デバイスの BlackBerry UEM Client が次の操作を実行します。

a. BlackBerry Infrastructure への接続を確立する

b. BlackBerry Infrastructure にアクティベーション情報を送信する

4. BlackBerry Infrastructure は、次の操作を実行します。

a. ユーザーが有効な登録済みユーザーであることを確認する

b. ユーザーの BlackBerry UEM アドレスを取得する

c. BlackBerry UEM Client にアドレスを送信する

5. BlackBerry UEM Client は、ポート 443 経由で HTTP CONNECT コールを使用して BlackBerry UEM との接続を

確立し、BlackBerry UEM にアクティベーション要求を送信します。アクティベーション要求には、ユーザー

名、パスワード、デバイスのオペレーティングシステム、および固有のデバイス ID が含まれます。

6. BlackBerry UEM は次の操作を実行します。

a. ユーザーアカウントに割り当てられたアクティベーションタイプを決定します。

b. Google に接続し、管理対象の Google Play ユーザーを作成する

c. デバイスインスタンスを作成する

d. デバイスインスタンスを、指定されたユーザーアカウントに関連付けます。

e. 登録セッション ID を HTTP セッションに追加する

f. ユーザーの管理対象 Google Play アカウント情報と正常な認証メッセージをデバイスに送信する

7. デバイスが暗号化されていない場合は、デバイスの暗号化を求めるプロンプトが表示されます。 8. BlackBerry UEM Client は、次の操作を実行します。

a. Google に接続してユーザーを確認する

b. BlackBerry UEM から受信した情報を使用して CSR を作成し、HTTPS を介してクライアント証明書要求を

BlackBerry UEM へ送信する

9. BlackBerry UEM は次の操作を実行します。

a. クライアント証明書要求を HTTP セッションの登録セッション ID と照合して検証する

b. ルート証明書を使用してクライアント証明書要求に署名する

c. 署名されたクライアント証明書とルート証明書を BlackBerry UEM Client に返送する

 | デバイスのアクティベーション | 29

Page 30: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

BlackBerry UEM Client と BlackBerry UEM の間に相互に認証された TLS セッションが確立されます。

10.BlackBerry UEM Client は、すべての設定情報を要求し、デバイスおよびソフトウェア情報を BlackBerry UEMに送信します。

11.BlackBerry UEM は、デバイス情報をデータベースに保存し、要求された設定情報をデバイスに送信します。

12.デバイスは、設定情報を受信し適用したことを示す確認応答を BlackBerry UEM に送信します。アクティベー

ションプロセスは完了です。

データフロー:Google ドメインで仕事用プロファイルのみを

持つように Android デバイスをアクティブ化する

このデータフローは、BlackBerry UEM が Google Cloud または G Suite ドメインに接続されている場合に適用さ

れます。詳細については、設定関連の資料を参照してください。

1. 次の操作を実行します。

a. ユーザーの仕事用メールアドレスに関連付けられている Google アカウントを、ユーザーが所有している

ことを確認します。BlackBerry UEM を設定して、アクティベーションプロセス中にユーザーに Google アカウントを作成することもできます。BlackBerry UEM が Google でユーザー用アカウントを作成する場合

に、ユーザーは Google ドメインから Google アカウントパスワードを含むメールを受信します。

b. Android 6.0 以降のデバイスの場合、Google ドメインの[EMM ポリシーの強制]設定が有効であることを

確認します。この設定は、アクティブ化されたデバイスを BlackBerry UEM などの EMM 事業者が管理する

かを指定します。

c. ユーザーをローカルユーザーアカウントとして、または会社のディレクトリから取得したアカウント情報

を使用して、BlackBerry UEM に追加します。メールアドレスを指定する際には、ユーザーの Google アカ

ウントに関連付けられたメールアドレスを使用します。

d. 「仕事用領域のみ 」または「仕事用領域のみ (プレミアム)」アクティベーションタイプがユーザーに割

り当てられていることを確認します。

e. ユーザーのアクティベーションパスワードを設定します。

2. Android 6.0 以前のバージョンのデバイスの場合、BlackBerry UEM は Google ドメインと通信してユーザーの

アクティベーショントークンを生成します。アクティベーショントークンとユーザーのアクティベーション

パスワードは、仕事用メールアドレスに送信されるアクティベーションメールについて記載されています。

3. ユーザーは、デバイスを工場出荷時のデフォルトの状態にリセットします。 4. デバイスが再起動し、Wi-Fi ネットワークを選択し、アカウントを追加するように求めるプロンプトが表示さ

れます。

 | デバイスのアクティベーション | 30

Page 31: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

5. ユーザーは、次のいずれかの処理を実行します。

• Android 6.0 以前のバージョンのデバイスの場合、[詳細]をタップし、[仕事用デバイスの設定]をタッ

プして、仕事用メールアドレスとアクティベーションメールで受信したアクティベーショントークンを入

力します。

• Android 6.0 以降のデバイスの場合、仕事用メールアドレスとパスワードを入力します。

6. デバイスは、次のいずれかの処理を実行します。

• Android 6.0 以前のバージョンのデバイスの場合、Google ドメインと通信してアクティベーショントーク

ンを確認します。

• Android 6.0 以降のデバイスの場合、Google ドメインと通信して、ユーザーが仕事用ユーザーで、EMM ポリシー設定が有効であることを確認します。

デバイスが適切な検証を実行した後、デバイスは次の処理を実行します。

a. デバイスが暗号化されていない場合は、デバイスを暗号化するように求めるプロンプトを表示して、再起

動します。

b. BlackBerry UEM Client を Google Play からダウンロードして、インストールします。

7. デバイス上の BlackBerry UEM Client により、メールアドレスとアクティベーションパスワードを入力するよ

うに求めるプロンプトが表示されます。

8. ユーザーは、メールアドレスとアクティベーションパスワードを入力するか、または QR Code をスキャンし

ます。

9. デバイスの BlackBerry UEM Client が次の操作を実行します。

a. BlackBerry Infrastructure への接続を確立する

b. BlackBerry Infrastructure にアクティベーション情報を送信する

10.BlackBerry Infrastructure は、次の操作を実行します。

a. ユーザーが有効な登録済みユーザーであることを確認する

b. ユーザーの BlackBerry UEM サーバーアドレスを取得する

c. BlackBerry UEM Client にサーバーアドレスを送信する

11.BlackBerry UEM Client は、ポート 443 経由で HTTP CONNECT コールを使用して BlackBerry UEM との接続を

確立し、BlackBerry UEM にアクティベーション要求を送信します。アクティベーション要求には、ユーザー

名、パスワード、デバイスのオペレーティングシステム、および固有のデバイス ID が含まれます。

12.BlackBerry UEM は次の操作を実行します。

a. ユーザーアカウントに割り当てられたアクティベーションタイプを決定します。

b. Google ドメインに接続して、ユーザー情報を確認します。

c. デバイスインスタンスを作成する

d. デバイスインスタンスを、指定されたユーザーアカウントに関連付けます。

e. 登録セッション ID を HTTP セッションに追加する

f. 正常に認証されたことを示すメッセージをデバイスに送信する

13.BlackBerry UEM Client は、次の操作を実行します。

a. Google アカウント情報の入力を求めるプロンプトを表示する b. Google ドメインに接続して、ユーザーを認証する

c. BlackBerry UEM から受信した情報を使用して CSR を作成し、HTTPS を介してクライアント証明書要求を

BlackBerry UEM へ送信する

14.BlackBerry UEM は次の操作を実行します。

a. クライアント証明書要求を HTTP セッションの登録セッション ID と照合して検証する

 | デバイスのアクティベーション | 31

Page 32: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

b. ルート証明書を使用してクライアント証明書要求に署名する

c. 署名されたクライアント証明書とルート証明書を BlackBerry UEM Client に返送する

BlackBerry UEM Client と BlackBerry UEM の間に相互に認証された TLS セッションが確立されます。

15.BlackBerry UEM Client は、すべての設定情報を要求し、デバイスおよびソフトウェア情報を BlackBerry UEMに送信します。

16.BlackBerry UEM は、デバイス情報を保存し、要求された設定情報をデバイスに送信します。

17.デバイスは、設定情報を受信し適用したことを示す確認応答を BlackBerry UEM に送信します。アクティベー

ションプロセスは完了です。

データフロー:管理対象 Google Play アカウントを使用して、

仕事用プロファイルのみを持つように Android デバイスをアク

ティブ化する

このデータフローは、BlackBerry UEM に Google Play アカウントの管理を許可する場合に適用されます。詳細に

ついては、設定関連の資料を参照してください。

1. 次の操作を実行します。

a. ユーザーをローカルユーザーアカウントとして、または会社のディレクトリから取得したアカウント情報

を使用して、BlackBerry UEM に追加します。

b. 「仕事用領域のみ 」または「仕事用領域のみ (プレミアム)」アクティベーションタイプがユーザーに割

り当てられていることを確認します。

c. ユーザーのアクティベーションパスワードを設定

2. ユーザーは、デバイスを工場出荷時のデフォルトの状態にリセットします。 3. デバイスが再起動し、Wi-Fi ネットワークを選択し、アカウントを追加するように求めるプロンプトが表示さ

れます。

4. ユーザーは、Google ユーザー名の代わりに afw#blackberry を入力します。

5. デバイスが次の処理を実行します。

a. デバイスが暗号化されていない場合は、デバイスを暗号化するように求めるプロンプトを表示して、再起

動します。

b. BlackBerry UEM Client を Google Play からダウンロードして、インストールします。

 | デバイスのアクティベーション | 32

Page 33: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

6. デバイス上の BlackBerry UEM Client により、メールアドレスとアクティベーションパスワードを入力するよ

うに求めるプロンプトが表示されます。

7. ユーザーは、メールアドレスとアクティベーションパスワードを入力するか、または QR Code をスキャンし

ます。

8. BlackBerry UEM Client は、次の操作を実行します。

a. BlackBerry Infrastructure への接続を確立する

b. BlackBerry Infrastructure にアクティベーション情報を送信する

9. BlackBerry Infrastructure は、次の操作を実行します。

a. ユーザーが有効な登録済みユーザーであることを確認する

b. ユーザーの BlackBerry UEM サーバーアドレスを取得する

c. BlackBerry UEM Client にサーバーアドレスを送信する

10.BlackBerry UEM Client は、ポート 443 経由で HTTP CONNECT コールを使用して BlackBerry UEM との接続を

確立し、BlackBerry UEM にアクティベーション要求を送信します。アクティベーション要求には、ユーザー

名、パスワード、デバイスのオペレーティングシステム、および固有のデバイス ID が含まれます。

11.BlackBerry UEM は次の操作を実行します。

a. ユーザーアカウントに割り当てられたアクティベーションタイプを決定します。

b. Google に接続し、管理対象の Google Play ユーザーを作成する

c. デバイスインスタンスを作成する

d. デバイスインスタンスを、指定されたユーザーアカウントに関連付けます。

e. 登録セッション ID を HTTP セッションに追加する

f. ユーザーの管理対象 Google Play アカウント情報と正常な認証メッセージをデバイスに送信する

12.BlackBerry UEM Client は、次の操作を実行します。

a. Google に接続してユーザーを確認する

b. BlackBerry UEM から受信した情報を使用して CSR を作成し、HTTPS を介してクライアント証明書要求を

BlackBerry UEM へ送信する

13.BlackBerry UEM は次の操作を実行します。

a. クライアント証明書要求を HTTP セッションの登録セッション ID と照合して検証する

b. ルート証明書を使用してクライアント証明書要求に署名する

c. 署名されたクライアント証明書とルート証明書を BlackBerry UEM Client に返送する

BlackBerry UEM Client と BlackBerry UEM の間に相互に認証された TLS セッションが確立されます。

14.BlackBerry UEM Client は、すべての設定情報を要求し、デバイスおよびソフトウェア情報を BlackBerry UEMに送信します。

15.BlackBerry UEM は、デバイス情報をデータベースに保存し、要求された設定情報をデバイスに送信します。

16.デバイスは、設定情報を受信し適用したことを示す確認応答を BlackBerry UEM に送信します。アクティベー

ションプロセスは完了です。

データフロー:デバイスをアクティブ化して KNOX Workspaceを使用する

 

 | デバイスのアクティベーション | 33

Page 34: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

 

1.  次の操作を実行します。

a. ユーザーをローカルユーザーアカウントとして、または会社のディレクトリから取得したアカウント情報

を使用して、BlackBerry UEM に追加する

b. 「仕事用と個人用 - フルコントロール (Samsung KNOX)」、「仕事用と個人用 - ユーザーのプライバ

シー (Samsung KNOX)」、または「仕事用領域のみ - (Samsung KNOX)」アクティベーションタイプ

がユーザーに割り当てられていることを確認する

c. 次のいずれかのオプションを使用してユーザーにアクティベーションの詳細情報を提供する

• デバイスアクティベーションパスワードと、オプションとして、QR Code を自動生成して、アクティ

ベーションの手順を記載したメールを送信する

• デバイスアクティベーションパスワードを設定して、ユーザー名とパスワードをユーザーに直接通知す

るか、メールで通知する

• デバイスアクティベーションパスワードを設定せずに、ユーザーが自身でアクティベーションパスワー

ドを設定し BlackBerry UEM Self-Service を表示できるように、QR Code アドレスをユーザーに通知する

2. ユーザーは BlackBerry UEM Client をダウンロードし、デバイスにインストールします。インストール後に、

ユーザーは BlackBerry UEM Client を開き、メールアドレスとアクティベーションパスワードを入力するか QRCode をスキャンします。

3. BlackBerry UEM Client は、次の操作を実行します。

a. BlackBerry Infrastructure への接続を確立する

b. BlackBerry Infrastructure にアクティベーション情報を送信する

4. BlackBerry Infrastructure は、次の操作を実行します。

a. ユーザーが有効な登録済みユーザーであることを確認する

b. ユーザーの BlackBerry UEM アドレスを取得する

c. BlackBerry UEM Client にアドレスを送信する

5. BlackBerry UEM Client は、ポート 443 経由で HTTP CONNECT コールを使用して BlackBerry UEM との接続を

確立し、BlackBerry UEM にアクティベーション要求を送信します。アクティベーション要求には、ユーザー

名、パスワード、デバイスのオペレーティングシステム、および固有のデバイス ID が含まれます。

6. BlackBerry UEM は次の操作を実行します。

a. 資格情報の有効性を調べる

b. デバイスインスタンスを作成する

c. デバイスインスタンスを、BlackBerry UEM データベース内の指定されたユーザーアカウントに関連付ける

d. 登録セッション ID を HTTP セッションに追加する

 | デバイスのアクティベーション | 34

Page 35: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

e. 正常に認証されたことを示すメッセージをデバイスに送信する

7. BlackBerry UEM Client は BlackBerry UEM から受信した情報を使用して CSR を作成し、HTTPS を介してクラ

イアント証明書要求を BlackBerry UEM へ送信します。

8. BlackBerry UEM は次の操作を実行します。

a. クライアント証明書要求を HTTP セッションの登録セッション ID と照合して検証する

b. ルート証明書を使用してクライアント証明書要求に署名する

c. 署名されたクライアント証明書とルート証明書を BlackBerry UEM Client に返送する

BlackBerry UEM Client と BlackBerry UEM の間に相互に認証された TLS セッションが確立されます。

9. BlackBerry UEM Client は、すべての設定情報を要求し、デバイスおよびソフトウェア情報を BlackBerry UEMに送信します。

10.BlackBerry UEM は、デバイス情報をデータベースに保存し、要求された設定情報をデバイスに送信します。

11.BlackBerry UEM Client は、デバイスが KNOX Workspace を使用して、サポート対象バージョンを実行してい

るかどうかを判断します。デバイスが KNOX Workspace を使用している場合は、デバイスは Samsung イン

フラストラクチャに接続し、KNOX 管理ライセンスをアクティブ化します。アクティブ化後、BlackBerry UEMClient は、KNOX MDM および KNOX Workspace IT ポリシールールを適用します。

12.デバイスは、設定情報を受信し適用したことを示す確認応答を BlackBerry UEM に送信します。アクティベー

ションプロセスは完了です。

アクティベーション完了後、KNOX Workspace の仕事用領域のパスワードの作成を求めるプロンプトが表示され

ます。KNOX Workspace 内のデータは、暗号化および、パスワード、PIN、パターン、指紋などの認証方法を使

用して保護されます。

メモ : デバイスが 仕事用領域のみ -(Samsung KNOX)」アクティベーションタイプを使用してアクティブ化さ

れる場合、KNOX Workspace のセットアップ時に個人用領域は削除されます。

データフロー:iOS デバイスのアクティベーション

 

 

1. Apple の Device Enrollment Program を使用する予定の場合は、次の操作を実行します。

a. DEP と同期させるため、BlackBerry UEM が設定されていることを確認します。

b. DEP でデバイスを登録し、MDM サーバーに割り当てます。

c. 登録設定をデバイスに割り当てます。

2.  次の操作を実行します。

 | デバイスのアクティベーション | 35

Page 36: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

a. ユーザーをローカルユーザーアカウントとして、または会社のディレクトリから取得したアカウント情報

を使用して、BlackBerry UEM に追加する

b. アクティベーションプロファイルをユーザーに割り当てる

c. 次のいずれかのオプションを使用してユーザーにアクティベーションの詳細情報を提供する

• デバイスアクティベーションパスワードと、オプションとして、QR Code を自動生成して、アクティ

ベーションの手順を記載したメールを送信する

• デバイスアクティベーションパスワードを設定して、ユーザー名とパスワードをユーザーに直接通知す

るか、メールで通知する

• デバイスアクティベーションパスワードを設定せずに、ユーザーが自身でアクティベーションパスワー

ドを設定し BlackBerry UEM Self-Service を表示できるように、QR Code アドレスをユーザーに通知する

3. デバイスが Apple DEP に登録されている場合には、デバイスは初期セットアップ中に Apple DEP Web サービ

スと通信します。デバイスが BlackBerry UEM Client アプリをインストールするように設定した場合は、デバ

イスはダウンロードおよびインストールを自動的に実行します。

4. デバイスが Apple DEP に登録されていない場合、および BlackBerry UEM Client をインストールするようにデ

バイスを設定していない場合は、ユーザーが手動で BlackBerry UEM Client をデバイスにダウンロードおよび

インストールします。インストール後に、ユーザーは BlackBerry UEM Client を開き、メールアドレスとアク

ティベーションパスワードを入力するか QR Code をスキャンします。

5. BlackBerry UEM Client は、次の操作を実行します。

a. BlackBerry Infrastructure への接続を確立する

b. BlackBerry Infrastructure にアクティベーション情報を送信する

6. BlackBerry Infrastructure は、次の操作を実行します。

a. ユーザーが有効な登録済みユーザーであることを確認する

b. ユーザーの BlackBerry UEM アドレスを取得する

c. BlackBerry UEM Client にアドレスを送信する

7. BlackBerry UEM Client は、ポート 443 経由で HTTP CONNECT コールを使用して BlackBerry UEM との接続を

確立し、BlackBerry UEM にアクティベーション要求を送信します。アクティベーション要求には、ユーザー

名、パスワード、デバイスのオペレーティングシステム、および固有のデバイス ID が含まれます。

8. BlackBerry UEM は次の操作を実行します。

a. 資格情報の有効性を調べる

b. デバイスインスタンスを作成する

c. デバイスインスタンスを、BlackBerry UEM データベース内の指定されたユーザーアカウントに関連付ける

d. 登録セッション ID を HTTP セッションに追加する

e. 正常に認証されたことを示すメッセージをデバイスに送信する

9. BlackBerry UEM Client は BlackBerry UEM から受信した情報を使用して CSR を作成し、HTTPS を介してクラ

イアント証明書要求を送信します。

10.BlackBerry UEM は次の操作を実行します。

a. クライアント証明書要求を HTTP セッションの登録セッション ID と照合して検証する

b. ルート証明書を使用してクライアント証明書要求に署名する

c. 署名されたクライアント証明書とルート証明書を BlackBerry UEM Client に返送する

BlackBerry UEM Client と BlackBerry UEM の間に相互に認証された TLS セッションが確立されます。

11.BlackBerry UEM Client は、アクティベーションを完了するために証明書をインストールする必要がある

ことをユーザーに通知するために、メッセージを表示します。ユーザーは、[OK]をクリックすると、

 | デバイスのアクティベーション | 36

Page 37: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

ネイティブ MDM Daemon アクティベーションのリンクへリダイレクトされます。BlackBerry UEM Clientは、BlackBerry UEM への接続を確立します。

12.BlackBerry UEM は、MDM プロファイルをデバイスに提供します。このプロファイルには、MDM アクティ

ベーション URL とチャレンジが含まれます。MDM プロファイルは、デバイスがプロファイルを検証できる

ように、署名者の完全な証明書チェーンを含む PKCS#7 署名付きメッセージとしてラップされます。これに

よって登録プロセスがトリガーされます。

13.デバイス上のネイティブ MDM Daemon は、顧客 ID、言語、および OS バージョンを含むデバイスプロファイ

ルを BlackBerry UEM に送信します。

14.BlackBerry UEM は、要求が CA によって署名されていることを検証し、ネイティブ MDM Daemon に正常に認

証されたことを示す通知で応答します。

15.ネイティブ MDM Daemon は、CA 証明書、CA 機能情報、およびデバイスが発行した証明書を求める要求を

BlackBerry UEM に送信します。

16.BlackBerry UEM は、CA 証明書、CA 機能情報、およびデバイスが発行した証明書をネイティブ MDMDaemon に送信します。

17.ネイティブ MDM Daemon は、MDM プロファイルをデバイスにインストールします。BlackBerry UEM Clientは、MDM プロファイルと証明書が正常にインストールされたことを BlackBerry UEM に通知し、BlackBerryUEM が MDM アクティベーションの完了を確認するまで、定期的にポーリングします。

18.BlackBerry UEM は、MDM アクティベーションが完了したことを確認します。

19.BlackBerry UEM Client は、すべての設定情報を要求し、デバイスおよびソフトウェア情報を BlackBerry UEMに送信します。

20.BlackBerry UEM は、デバイス情報をデータベースに保存し、設定情報をデバイスに送信します。

21.デバイスは、設定更新を受信し適用したことを示す確認応答を BlackBerry UEM に送信します。アクティベー

ションプロセスは完了です。

 | デバイスのアクティベーション | 37

Page 38: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

データフロー:macOS デバイスのアクティベーション

 

 

1.  管理者は、ユーザーが BlackBerry UEM ユーザーアカウントと、以下を含む BlackBerry UEM Self-Service への

ログイン情報を持っていることを確認します。

• BlackBerry UEM Self-Service の Web アドレス

• ユーザー名とパスワード

• ドメイン名

2. ユーザーは自分の BlackBerry UEM Self-Service デバイスで macOS にログインし、デバイスをアクティブ化し

ます。

3. デバイスがポート 443 で BlackBerry UEM アクティベーション要求を送信します。

4. BlackBerry UEM は、MDM プロファイルをデバイスに提供します。このプロファイルには、MDM アクティ

ベーション URL とチャレンジが含まれます。MDM プロファイルは、デバイスがプロファイルを検証できる

ように、署名者の完全な証明書チェーンを含む PKCS#7 署名付きメッセージとしてラップされます。これに

よって登録プロセスがトリガーされます。

5. デバイス上のネイティブ MDM Daemon は、顧客 ID、言語、および OS バージョンを含むデバイスプロファイ

ルを BlackBerry UEM に送信します。

6. BlackBerry UEM は、要求が CA によって署名されていることを検証し、ネイティブ MDM Daemon に正常に認

証されたことを示す通知で応答します。

7. ネイティブ MDM Daemon は、CA 証明書、CA 機能情報、およびデバイスが発行した証明書を求める要求を

BlackBerry UEM に送信します。

8. BlackBerry UEM は、CA 証明書、CA 機能情報、およびデバイスが発行した証明書をネイティブ MDMDaemon に送信します。

9. ネイティブ MDM Daemon は、MDM プロファイルをデバイスにインストールします。

10.BlackBerry UEM は、MDM アクティベーションが完了したことを確認します。

11.デバイスはすべての設定情報を要求します。

12.BlackBerry UEM は、デバイス情報をデータベースに保存し、設定情報をデバイスに送信します。

13.デバイスは、設定情報を受信し適用したことを示す確認応答を BlackBerry UEM に送信します。アクティベー

ションプロセスは完了です。

 | デバイスのアクティベーション | 38

Page 39: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

データフロー:Windows 10 デバイスのアクティベーション

1.  次の操作を実行します。

a. Windows 10 アクティベーションを簡易化するために検出サービスを設定します。

b. ユーザーをローカルユーザーアカウントとして、または会社のディレクトリから取得したアカウント情報

を使用して、BlackBerry UEM に追加する

c. 次のいずれかのオプションを使用してユーザーにアクティベーションの詳細情報を提供する

• デバイスアクティベーションパスワードを自動生成し、アクティベーションの手順を記載したメールを

送信する

• デバイスアクティベーションパスワードを設定し、メールでユーザーにアクティベーション情報を送信

するオプションを選択する

• デバイスアクティベーションパスワードを設定せずに、ユーザーが自身でアクティベーションパスワー

ドを設定しサーバーアドレスを表示できるように、BlackBerry UEM Self-Service アドレスをユーザーに

通知する

d. デバイスをインストールするために BlackBerry UEM により生成される CA 証明書をユーザーに提供しま

す。

2. ユーザーは、デバイスで以下のアクションを完了します。

a. デバイスでインターネットがポート 443 で接続していることを確認します。

b. 証明書を開き、インストールします。

c. [設定] > [アカウント] > [職場のアクセス]に移動して、[接続]をタップします。

d. プロンプトが表示されたら、アクティベーションメールで受信したメールアドレスとアクティベーション

パスワードを入力します。

3. デバイスが、組織での Windows 10 アクティベーションを簡易化するために設定した検出サービスとの接続を

確立します。

4. 検出サービスが、BlackBerry UEM サーバーの SRP ID が有効であることを確認し、デバイスを BlackBerryUEM にリダイレクトします。

5. デバイスがポート 443 で BlackBerry UEM アクティベーション要求を送信します。アクティベーション要求に

は、ユーザー名、パスワード、デバイスのオペレーティングシステム、および固有のデバイス ID が含まれま

す。

6. BlackBerry UEM は次の操作を実行します。

a. 資格情報の有効性を調べる

b. デバイスインスタンスを作成する

 | デバイスのアクティベーション | 39

Page 40: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

c. デバイスインスタンスを、BlackBerry UEM データベース内の指定されたユーザーアカウントに関連付ける

d. 登録セッション ID を HTTP セッションに追加する

e. 正常に認証されたことを示すメッセージをデバイスに送信する

7. デバイスが CSR を作成し、HTTPS 経由で BlackBerry UEM に送信します。CSR にはユーザー名とアクティ

ベーションパスワードが含まれています。 8. BlackBerry UEM はユーザー名とパスワードを検証し、さらに CSR を検証して、クライアント証明書と CA 証

明書をデバイスに返します。

これで、デバイスと BlackBerry UEM 間のすべての通信が、これらの証明書を使用した、相互認証されたエン

ドツーエンドの通信となります。

9. デバイスはすべての設定情報を要求します。

10.BlackBerry UEM は、デバイス情報をデータベースに保存し、設定情報をデバイスに送信します。

11.デバイスは、設定情報を受信し適用したことを示す確認応答を BlackBerry UEM に送信します。アクティベー

ションプロセスは完了です。

 | デバイスのアクティベーション | 40

Page 41: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

データフロー:BlackBerry OS デバイスのアクティベーション

 

 

1. 管理コンソールを使用して新しいユーザーアカウントを作成し、次のオプションのいずれかを使用して、

ユーザーにアクティベーションの詳細を提供します。

• デバイスアクティベーションパスワードを自動生成し、アクティベーションの手順を記載したメールを送

信する

• デバイスアクティベーションパスワードを設定して、ユーザー名とパスワードをユーザーに直接通知する

か、メールで通知する

• デバイスアクティベーションパスワードを設定せずに、ユーザーが自身でアクティベーションパスワード

を設定できるように BlackBerry Web Desktop Manager アドレスをユーザーに通知する

BlackBerry UEM データベースに保存されたデバイスユーザーリストは、新しいデバイスユーザー名、メール

アドレス、メールボックス情報、アクティベーションパスワード、アクティベーションステータス、および

その他の情報で更新されます。

2. BlackBerry OS 用 BlackBerry Dispatcher は、新しいユーザーを BlackBerry Messaging Agent に割り当てま

す。BlackBerry Messaging Agent はメールサーバー上でユーザーのメールボックスに新規メールがないかど

うか監視を開始します。etp.dat 添付フィルを含むメールは、アクティベーションプロセスを続行するために

必須です。

3. デバイスユーザーは、BlackBerry OS(バージョン 5.0~7.1)デバイスで[エンタープライズアクティベー

ション]画面に移動し、メールアドレスとアクティベーションパスワードを入力します。デバイスユーザー

はメニューを開き、[アクティブ化]をクリックします。デバイスに、[アクティブにしています]と表示

されます。

4. デバイスは、ユーザーが入力したエンタープライズアクティベーションパスワードに基づいて、メールアド

レス、デバイス PIN、および公開鍵認証情報を含むアクティベーション要求メールを作成します。デバイス

は、SPEKE を使用してメールを圧縮し、それを BlackBerry Infrastructure に送信します。

 | デバイスのアクティベーション | 41

Page 42: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

5. BlackBerry Infrastructure は、アクティベーション要求メールを受信すると、それをアクティベーション要

求として識別します。BlackBerry Infrastructure は、SMTP を使用して、ユーザーが[エンタープライズアク

ティベーション]画面で入力したメールアドレスへメールを転送します。

6. アクティベーション要求メールがユーザーのメールボックスに到着すると、BlackBerry Messaging Agent がそれを識別し、ユーザーのメールボックスから削除します。BlackBerry Messaging Agent は、アクティベー

ション要求メール内の etp.dat 添付ファイルを認識し、認証プロセスを開始します。

7. BlackBerry Messaging Agent は、アクティベーション要求メールで受信した認証キーと、アクティベーショ

ンパスワードから生成され BlackBerry UEM データベースに保存された認証キーを比較します。認証キーが一

致する場合、BlackBerry Messaging Agent は BlackBerry OS デバイスに、アクティベーション要求が受信され

たことを通知します。 8. BlackBerry UEM および BlackBerry OS デバイスは、暗号化キーを確立し、暗号化キーに関する知識を相互に

確認します。

BlackBerry OS デバイスに、「暗号を検証しました。サービスを待機しています。」と表示されます。

これ以降、BlackBerry OS デバイスと BlackBerry UEM の間で送信されるすべてのデータは圧縮され、この暗

号化キーを使用して暗号化され、デバイスは管理コンソールから管理できます。

9. BlackBerry Messaging Agent は要求を BlackBerry Policy Service に転送して、サービスブックを生成

します。BlackBerry Policy Service は、要求を受信し、キューに入れます。BlackBerry Policy Serviceは、BlackBerry UEM ドメインが IT ポリシーデータに署名するために使用する固有の認証キーを追加し、その

後、IT ポリシーを BlackBerry OS 用の BlackBerry Dispatcher 経由でデバイスに転送します。BlackBerry PolicyService は、IT ポリシーが正常に適用されたことを示す、デバイスからの確認を待機します。

10.BlackBerry OS デバイスは、IT ポリシーを適用し、確認を BlackBerry UEM に送信します。これで、BlackBerryOS デバイスに適用された IT ポリシーは、読み取り専用状態になり、同じ BlackBerry UEM ドメインから送信

された更新によってのみ変更可能です。

11.BlackBerry Policy Service が、IT ポリシーが正常に適用されたことを示す確認を受信した後、BlackBerryPolicy Service はサービスブックを生成して、BlackBerry OS デバイスに送信します。

12.BlackBerry OS デバイスは、サービスブックを受信します。デバイスユーザーには、メールアドレスがアク

ティブ化されていることが通知されます。

BlackBerry OS デバイスに、「サービスを受信しました。メールアドレス、<username>@<domain>.com が有効

になりました。」と表示されます。 

これで、デバイスユーザーは、BlackBerry OS デバイスでメールを送受信できます。

13.Slow Synchronization プロセスが開始します。BlackBerry OS デバイスは、BlackBerry Synchronization Serviceからの同期設定情報を要求します。設定情報は、BlackBerry UEM でワイヤレスデータ同期がオンになってい

るかどうかと、どのオーガナイザーデータベースが同期可能であるかを示します。また、この設定情報は、

データベース同期の種類(一方向または双方向)と競合解決の設定も提供します。

14.BlackBerry Synchronization Service が設定情報を返し、その情報を使用して BlackBerry OS デバイス上のデー

タベースを同期します。

BlackBerry OS デバイスと BlackBerry UEM は、初回同期プロセス中にレコードを削除することはありませ

ん。

15.Slow Synchronization プロセスは、BlackBerry OS デバイスと BlackBerry UEM の間ですべてのデータベースが

同期されると完了です。

アクティベーションプロセスは、BlackBerry OS デバイスに「アクティベーションが完了しました。」と表示

され、管理コンソールまたは BlackBerry Administration Service のデバイスユーザーアカウントのステータス

が「完了しました」と表示されると完了です。

 | デバイスのアクティベーション | 42

Page 43: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

仕事用データの送受信

BlackBerry UEM 上でアクティブなデバイスが仕事用データを送受信する場合、これらのデバイスは組織のメー

ル、アプリケーション、またはコンテンツサーバーに接続されます。たとえば、仕事用メールアプリまたはカレ

ンダーアプリを使用している場合、デバイスは組織のメールサーバーへの接続を確立します。仕事用ブラウザー

を使用してイントラネット内を移動している場合、デバイスは組織内の Web サーバーとの接続を確立します。

デバイスタイプ、アクティベーションタイプ、ライセンスの種類および設定に応じて、デバイスは次のパスを使

用して組織のサーバーへの接続を確立することがあります。

データパス 説明

仕事用 Wi-Fi ネットワー

デバイスが仕事用 BlackBerry UEM ネットワークを使用して組織のリソースに接

続できるように、管理者が Wi-Fi を使用してデバイスに Wi-Fi プロファイルを設定

することができます。

VPN デバイスが VPN を使用して組織のリソースに接続できるように、管理者が

BlackBerry UEM を使用してデバイスに VPN プロファイルを設定するか、ユー

ザーが自分のデバイスに VPN プロファイルを設定することができます。

 | 仕事用データの送受信 | 43

Page 44: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

データパス 説明

BlackBerry UEM およびBlackBerry Infrastructureまたは BlackBerryDynamics NOC

デバイス、アクティベーション、ライセンスの種類、および BlackBerryDynamics アプリの存在に応じて、デバイスが、BlackBerry UEM および

BlackBerry Infrastructure を通じて組織のリソースと通信するためにエンタープラ

イズ接続を使用できる可能性があります。

• BlackBerry 10 デバイスは、すべての仕事用データにエンタープライズ接続を

使用できます。エンタープライズ接続は、すべての仕事用データを暗号化し

て認証し、BlackBerry UEM および BlackBerry Infrastructure を介して送信しま

す。エンタープライズ接続は、組織の外部ファイアウォールで開き必要のある

ポート数を、単一ポートの 3101 に限定します。

• iOS デバイスの場合、デバイスに適切なライセンスがあれば、BlackBerrySecure Gateway を有効にして、BlackBerry Infrastructure および BlackBerryUEM を介して、デバイスを仕事用メールサーバーに接続できます。BlackBerrySecure Gateway を使用する場合、iOS を使用するユーザーが組織の VPN また

は仕事用 Wi-Fi ネットワークに接続していないときに Microsoft Exchange に接

続できるようにするために、メールサーバーをファイアウォールの外側に公開

する必要はありません。

• BlackBerry 10 と iOS デバイス、および仕事用プロファイルを持つため、また

は Samsung KNOX Workspace を使用するためにアクティブ化された Androidデバイスの場合、デバイスに適切なライセンスがある場合は、BlackBerrySecure Connect Plus を有効化することによりエンタープライズ接続を使用で

きます。デバイスが BlackBerry Secure Connect Plus を使用する場合、仕事

用データは、BlackBerry Infrastructure を介してデバイス上のアプリと組織の

ネットワーク間で確立された、安全な IP トンネル内で転送されます。

• デバイスにインストールされている BlackBerry Dynamics アプリは BlackBerryProxy と通信します。データは BlackBerry Dynamics NOC を通過して移動でき

るか、または BlackBerry Dynamics Direct Connect を使用して、NOC をバイパ

スできます。

• BlackBerry OS(バージョン 5.0~7.1)デバイスは、仕事用データを送受信す

るために常に BlackBerry UEM に接続します。その後、BlackBerry UEM は、デ

バイスとの間で仕事用データを送受信する組織のメールサーバー、アプリケー

ションサーバーまたはコンテンツサーバーへの接続を確立します。BlackBerryOS(バージョン 5.0~7.1)デバイスのデータフローの詳細については、BES5機能および技術概要を参照してください。

 | 仕事用データの送受信 | 44

Page 45: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

BlackBerry Infrastructure の使用による仕事用データの送受信

デバイスは、エンタープライズ接続または BlackBerry UEM を使用して、設定の更新を取得し、仕事用データを

送受信するために、BlackBerry Infrastructure 経由で BlackBerry Secure Gateway に接続します。次の図は、デバ

イスが BlackBerry UEM を経由して BlackBerry Infrastructure および組織のリソースに接続する方法を示していま

す。

 

 

次の表は、デバイスが BlackBerry UEM を経由して BlackBerry Infrastructure および組織のネットワークに接続す

る場合の状況を示しています。

デバイスタイプ 説明

すべてのデバイス すべてのデバイスがこの通信パスを使用して、デバイスコマンド、ポリシー

とプロファイルの更新、送信デバイス情報、アクティビティレポートなど

の設定データを送受信します。詳細については、「デバイス設定の更新の受

信」を参照してください。

BlackBerry 10 デバイス  BlackBerry 10 デバイスは、この通信パスが使用可能な中で最も直接的でコス

ト効率が高いルートである場合に、このパスを使用して仕事用アプリのデー

タを送受信します。 

iOS デバイス BlackBerry Secure Gateway を有効化すると、iOS デバイスが BlackBerryInfrastructure および BlackBerry UEM を介して仕事用メールサーバーに接続

できるようになります。BlackBerry Secure Gateway を使用する場合、ユー

ザーが組織の VPN または仕事用 Wi-Fi ネットワークに接続していないとき

に仕事用メールを受信できるようにするために、メールサーバーをファイア

ウォールの外側に公開する必要はありません。

 | 仕事用データの送受信 | 45

Page 46: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

デバイスタイプ 説明

仕事用プロファイルまたはSamsung KNOX Workspaceがある BlackBerry 10 デバイ

ス、iOS デバイス、および

Android デバイス

BlackBerry Secure Connect Plus を使用するように設定されているエン

タープライズ接続プロファイルが割り当てられたデバイスは、BlackBerryInfrastructure を介してセキュリティ保護された IP トンネルを使用して、アプ

リと組織のネットワーク間でデータを転送できます。

仕事用プロファイルがある BlackBerry 10 および Android デバイスの場

合、BlackBerry Secure Connect Plus は仕事用領域アプリと組織のネットワー

クの間に、セキュリティ保護されたトンネルを提供します。

Samsung KNOX Workspace デバイスの場合、BlackBerry Secure Connect Plusは組織のネットワークとすべての仕事用アプリまたは指定した仕事用アプリ

のみの間に、セキュリティ保護されたトンネルを提供できます。

iOS デバイスの場合、BlackBerry Secure Connect Plus は組織のネットワーク

とすべてのアプリまたは指定したアプリのみの間に、セキュリティ保護され

たトンネルを提供できます。

BlackBerry Dynamics アプリ

がインストールされている

iOS および Android デバイス

BlackBerry Dynamics アプリのエンタープライズ接続では BlackBerryInfrastructure を使用しません。その代わりに、BlackBerry Dynamics アプリ

と BlackBerry Proxy の間で転送されるデータは BlackBerry Dynamics NOC を通過して移動できるか、または BlackBerry Dynamics Direct Connect を使用し

て、NOC をバイパスできます。

BlackBerry OS(バージョン

5.0~7.1)デバイス BlackBerry OS(バージョン 5.0~7.1)デバイスは、この通信パスが使用可能

な中で最も直接的でコスト効率が高いルートである場合に、このパスを使用

してメール、オーガナイザー、およびアプリのデータ更新を送受信します。

関連概念

VPN または仕事用 Wi-Fi ネットワークの使用による仕事用データの送受信

データフロー:BlackBerry 10 デバイスからアプリケーションサーバーまたはコンテンツサー

バーへのアクセス

このデータフローは、BlackBerry Secure Connect Plus が有効でない場合、BlackBerry 10 デバイス上の仕事用ア

プリが、組織のアプリケーションサーバーまたはコンテンツサーバーにアクセスする際に、データが移動する仕

組みを説明しています。 

 

 | 仕事用データの送受信 | 46

Page 47: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

 

1. ユーザーは、仕事用アプリを開いて、仕事用データを表示します。たとえば、仕事用ブラウザーを開いて、

イントラネットを使用するか、または BlackBerry Work Drives を使用して、ネットワークドライブ上のファイ

ルにアクセスできます。 2. アプリは、アプリケーションまたはコンテンツサーバーとの接続を確立して、データを取得します。要求

は BlackBerry Infrastructure、BlackBerry Affinity Manager、BlackBerry Dispatcher、および BlackBerry MDSConnection Service を経由してアプリケーションサーバーまたはコンテンツサーバーへ移動します。 

3. アプリケーションまたはコンテンツサーバーは、仕事用データで応答します。仕事用データは、BlackBerryMDS Connection Service、BlackBerry Dispatcher、BlackBerry Affinity Manager、および BlackBerryInfrastructure を経由してデバイスに移動します。

4. アプリはデータを受信し、デバイス上に表示します。 

関連概念

データフロー:BlackBerry Secure Connect Plus を使用するアプリケーションサーバーまたはコンテンツサー

バーへのアクセス

データフロー:VPN または仕事用 Wi-Fi ネットワークを使用したアプリケーションサーバーまたはコンテンツ

サーバーへのアクセス

データフロー:BlackBerry 10 デバイスからのメールの送信

このデータフローは、BlackBerry Secure Connect Plus が有効でない場合に、BlackBerry 10 デバイスから

Exchange ActiveSync サーバーに仕事用メールとカレンダーデータが移動する仕組みを説明しています。

 

 | 仕事用データの送受信 | 47

Page 48: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

 

1. ユーザーは、仕事用領域内でメールを作成するか、オーガナイザーアイテムを更新します。

2. デバイスは、BlackBerry Infrastructure、BlackBerry Affinity Manager、BlackBerry Dispatcher、および

BlackBerry MDS Connection Service を経由して、新規または変更されたアイテムをメールサーバーに送信し

ます。

3. メールサーバーは、ユーザーのメールボックスのオーガナイザーデータを更新するか、メールアイテムを受

信者に送信して、デバイスに確認を送信します。

関連概念

データフロー:iOS を使用した BlackBerry Secure Gateway デバイスからのメールの送信

データフロー:VPN または仕事用 Wi-Fi ネットワークを使用してデバイスからメールを送信する

データフロー:BlackBerry 10 デバイスでのメールの受信

このデータフローは、BlackBerry Secure Connect Plus が有効になっていない場合に、BlackBerry 10 デバイス上

の Exchange ActiveSync サーバーから仕事用メールを受信する方法について説明しています。

 

 

1. デバイス上のネイティブのメールクライアントは BlackBerry Infrastructure、BlackBerry AffinityManager、BlackBerry Dispatcher、および BlackBerry MDS Connection Service を通じて、暗号化された認証

されたチャネルを介してメールサーバーとの永続的な接続を維持し、メールサーバーで同期用に設定された

フォルダーの変更を検出します。

 | 仕事用データの送受信 | 48

Page 49: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

2. 新規メールや更新されたカレンダーエントリなど、デバイスに新規または変更されたアイテムがある

場合、メールサーバーは、Exchange ActiveSync プロトコルを使用し、BlackBerry MDS ConnectionService、BlackBerry Dispatcher、BlackBerry Affinity Manager、および BlackBerry Infrastructure の間のセキュ

リティ保護されたチャネルを経由して、デバイスのメールアプリやオーガナイザーアプリに更新を送信しま

す。

関連概念

データフロー:iOS を使用した BlackBerry Secure Gateway デバイスでのメールの受信

データフロー:VPN または仕事用 Wi-Fi ネットワークを使用してデバイスでメールを受信する

データフロー:BlackBerry 10 デバイスでのエンタープライズプッシュ更新の受信

このデータフローは、BlackBerry Secure Connect Plus が有効でない場合に、仕事用データがアプリケーション

サーバーから BlackBerry 10 デバイスの仕事用領域にある適切なアプリに移動する仕組みを説明しています。 

 

 

1. BlackBerry 10 デバイスの仕事用アプリに新しいまたは更新されたデータがある場合は、アプリケーション

またはコンテンツサーバーが HTTP または HTTPS 要求を使用して、データを BlackBerry MDS ConnectionService にプッシュします。 

2. BlackBerry MDS Connection Service は、プッシュされたデータをファイアウォールのポート 3101 経由で

BlackBerry Dispatcher、BlackBerry Affinity Manager、および BlackBerry Infrastructure へ送信します。

3. BlackBerry Infrastructure は、データを BlackBerry 10 デバイスへ送信します。

4. BlackBerry 10 デバイスは、配信確認を BlackBerry Infrastructure へ送信します。デバイスのアプリは、受信コ

ンテンツを検出し、ユーザーがアプリを開いたときにコンテンツを表示します。

5. BlackBerry Infrastructure は、BlackBerry Affinity Manager と BlackBerry Dispatcher を介して BlackBerry MDSConnection Service に配信確認を送信します。

6. そうするように設定されている場合は、BlackBerry MDS Connection Service が HTTP 要求を使用して、配信

確認をプッシュイニシエーターに送信します。 

データフロー:iOS を使用した BlackBerry Secure Gateway デバイスからのメールの送信

このデータフローは、仕事用メールとカレンダーデータが、BlackBerry Secure Gateway を使用して、iOS デバイ

スから Exchange ActiveSync サーバーへ移動する仕組みを説明しています。

 

 | 仕事用データの送受信 | 49

Page 50: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

 

1. ユーザーは、仕事用領域内でメールを作成するか、オーガナイザーアイテムを更新します。

2. デバイスは、BlackBerry Infrastructure と BlackBerry Secure Gateway を経由して、新規または変更されたアイ

テムをメールサーバーに送信します。

3. メールサーバーは、ユーザーのメールボックスのオーガナイザーデータを更新するか、メールアイテムを受

信者に送信して、デバイスに確認を送信します。

関連概念

データフロー:BlackBerry 10 デバイスからのメールの送信

データフロー:VPN または仕事用 Wi-Fi ネットワークを使用してデバイスからメールを送信する

データフロー:iOS を使用した BlackBerry Secure Gateway デバイスでのメールの受信

このデータフローは、仕事用メールとカレンダーデータが、BlackBerry Secure Gateway を使用して、iOS デバイ

スと Exchange ActiveSync サーバー間で移動する仕組みを説明しています。

 

 | 仕事用データの送受信 | 50

Page 51: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

1. iOS 上のネイティブのメールクライアントは、BlackBerry Infrastructure と BlackBerry Secure Gateway の間に

ある暗号化された認証されたチャネルを介してメールサーバーとの永続的な接続を維持し、メールサーバー

で同期用に設定されたフォルダーの変更を検出します。

2. 新規メールや更新されたカレンダーエントリなど、デバイスに新規または変更されたアイテムがある場合、

メールサーバーは、Exchange ActiveSync プロトコルを使用し、BlackBerry Secure Gateway と BlackBerryInfrastructure の間のセキュリティ保護されたチャネルを経由して、デバイスのメールアプリやオーガナイ

ザーアプリに更新を送信します。

関連概念

データフロー:BlackBerry 10 デバイスでのメールの受信

データフロー:VPN または仕事用 Wi-Fi ネットワークを使用してデバイスでメールを受信する

データフロー:BlackBerry Secure Connect Plus を使用するアプリケーションサーバーまたはコ

ンテンツサーバーへのアクセス

このデータフローは、BlackBerry Secure Connect Plus を使用するように設定されているデバイス上のアプリ

が、組織のアプリケーションサーバーまたはコンテンツサーバーにアクセスする場合にデータが移動する仕組み

を説明しています。

このデータフローは、仕事用プロファイルまたは Samsung KNOX Workspace デバイスのある Android デバイス

の仕事用領域にある BlackBerry Dynamics アプリには適用されません。詳細については、次を参照してくださ

い データフロー:BlackBerry Secure Connect Plus を使用する Android デバイスで BlackBerry Dynamics アプリ

から仕事用データを送受信する

 

 | 仕事用データの送受信 | 51

Page 52: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

 

1. ユーザーは、組織のファイアウォール内のコンテンツサーバーまたはアプリケーションサーバーからアプリ

を開いて、仕事用データにアクセスします。

• 仕事用プロファイルのある BlackBerry 10 デバイスと Android デバイスの場合、すべての仕事用領域アプ

リが BlackBerry Secure Connect Plus を使用します。

• iOS デバイスの場合、すべてのアプリが BlackBerry Secure Connect Plus を使用するか、指定したアプリの

みが使用するかを指定します。

• 仕事用プロファイルのある Android デバイスの場合、制限するように選択したアプリを除き、すべての仕

事用領域アプリが BlackBerry Secure Connect Plus を使用します。

• Samsung KNOX Workspace デバイスの場合、すべての仕事用領域アプリが BlackBerry Secure ConnectPlus を使用するか、指定した仕事用アプリのみが使用するかを指定します。

2. デバイスが、TLS トンネルを介してポート 443 で BlackBerry Infrastructure に要求を送信し、仕事用ネット

ワークへのセキュリティ保護されたトンネルを要求します。信号は、FIPS-140 認定 Certicom ライブラリを

使って、デフォルトで暗号化されます。信号トンネルはエンドツーエンドで暗号化されます。

3. BlackBerry Secure Connect Plus は、ポート 3101 を介して BlackBerry Infrastructure から要求を受信します。

4. デバイスと BlackBerry Secure Connect Plus は トンネルパラメーターのネゴシエーションを行い、BlackBerryInfrastructure を介してデバイスのセキュリティ保護されたトンネルを確立します。トンネルは認証さ

れ、DTLS を使ってエンドツーエンドで暗号化されます。 5. アプリは、標準 IPv4 プロトコル(TCP および UDP)を使用して、トンネル経由でアプリケーションサーバー

またはコンテンツサーバーに接続します。

6. BlackBerry Secure Connect Plus は、組織のネットワークと IP データ転送のやり取りを行います。BlackBerrySecure Connect Plus は、FIPS-140 認定 Certicom ライブラリを使用して、トラフィックの暗号化および復号

化を行います。

7. アプリはデータを受信し、デバイス上に表示します。 8. トンネルが開いている限り、サポートされているアプリはトンネルを使用してネットワークリソースにアク

セスできます。組織のネットワークに接続するために使用可能な方法の中で、トンネルが最適な方法ではな

くなった場合、BlackBerry Secure Connect Plus は接続を終了します。

 | 仕事用データの送受信 | 52

Page 53: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

関連概念

データフロー:BlackBerry 10 デバイスからアプリケーションサーバーまたはコンテンツサーバーへのアクセス

データフロー:VPN または仕事用 Wi-Fi ネットワークを使用したアプリケーションサーバーまたはコンテンツ

サーバーへのアクセス

データフロー:BlackBerry Dynamics アプリから仕事用データを送受信する

このデータフローは、BlackBerry Dynamics アプリが BlackBerry UEM を通じて組織のアプリケーションサーバー

またはコンテンツサーバーにアクセスするときにデータが移動する仕組みを説明しています。 

 

 

1. ユーザーは、BlackBerry Dynamics アプリを開いて、仕事用データにアクセスします。

2. BlackBerry Dynamics アプリは、BlackBerry Dynamics NOC への接続を確立します。接続は、アプリがアク

ティブ化されたときに作成されたマスターリンクキーで認証されます。

3. BlackBerry Dynamics NOC は、事前に確立されたセキュリティ保護された接続を介して BlackBerry Proxy と通

信し、BlackBerry Dynamics アプリと仕事用データを伝送する BlackBerry Proxy との間でエンドツーエンドの

接続を確立します。仕事用データは、BlackBerry Dynamics NOC に知られていないセッションキーで暗号化さ

れます。

4. セキュアなエンドツーエンド接続が確立されると、仕事用データは、BlackBerry Proxy を介してファイア

ウォールの背後にあるデバイスとアプリケーションサーバーまたはコンテンツサーバーの間を移動すること

ができます。

データフロー:BlackBerry Dynamics Direct Connect を使用して BlackBerry Dynamics アプリから仕

事用データを送受信する

このデータフローは、BlackBerry Dynamics アプリが BlackBerry Dynamics Direct Connect および BlackBerryUEM を通じて組織のアプリケーションサーバーまたはコンテンツサーバーにアクセスするときにデータが移動す

る仕組みを説明しています。 

 

 | 仕事用データの送受信 | 53

Page 54: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

 

1. ユーザーは、BlackBerry Dynamics アプリを開いて、仕事用データにアクセスします。

2. BlackBerry Dynamics アプリは、BlackBerry Proxy への TLS 接続を確立します。

3. BlackBerry Proxy は BlackBerry Dynamics アプリで認証します。BlackBerry Proxy は、サーバー証明書を使用

して、アプリで認証します。BlackBerry Proxy は、BlackBerry Proxy とアプリにのみ知られているセッション

キーでキーが付けられた MAC を使用して、アプリを検証します。

4. セキュアなエンドツーエンド接続が確立されると、仕事用データは、BlackBerry Proxy を介してファイア

ウォールの背後にあるデバイスとアプリケーションサーバーまたはコンテンツサーバーの間を移動すること

ができます。

データフロー:BlackBerry Secure Connect Plus を使用する Android デバイスで BlackBerryDynamics アプリから仕事用データを送受信する

このデータフローは、Android Enterprise または Samsung KNOX Workspace デバイス上の BlackBerryDynamics アプリが BlackBerry Secure Connect Plus を使用するときにデータが移動する仕組みについて説明して

います。

Android Enterprise デバイス上で BlackBerry Secure Connect Plus を BlackBerry Dynamics アプリで使用している

場合、ネットワークの遅延を回避するために、BlackBerry Dynamics アプリが BlackBerry Secure Connect Plus を使用するのを制限することをお勧めします。Samsung KNOX Workspace デバイス上で特定のアプリを制限する

ことはできません。

Android Enterprise デバイスまたは Samsung KNOX Workspace デバイス上で BlackBerry Secure Connect Plus をBlackBerry Dynamics アプリで使用している場合、ネットワークの遅延を軽減するために、BlackBerry UEM がBlackBerry Dynamics NOC を通して BlackBerry Dynamics アプリデータを送信しないように設定することをお勧

めします。

 

 | 仕事用データの送受信 | 54

Page 55: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

 

1. ユーザーは、BlackBerry Dynamics アプリを開いて、仕事用データにアクセスします。

2. デバイスが、TLS トンネルを介してポート 443 で BlackBerry Infrastructure に要求を送信し、仕事用ネット

ワークへのセキュリティ保護されたトンネルを要求します。信号は、FIPS-140 認定 Certicom ライブラリを

使って、デフォルトで暗号化されます。信号トンネルはエンドツーエンドで暗号化されます。

3. BlackBerry Secure Connect Plus は、ポート 3101 を介して BlackBerry Infrastructure から要求を受信します。

4. デバイスと BlackBerry Secure Connect Plus は トンネルパラメーターのネゴシエーションを行い、BlackBerryInfrastructure を介してデバイスのセキュリティ保護されたトンネルを確立します。トンネルは認証さ

れ、DTLS を使ってエンドツーエンドで暗号化されます。 5. BlackBerry Secure Connect Plus は、BlackBerry Proxy との接続を確立します。

6. BlackBerry Dynamics アプリは、BlackBerry Secure Connect Plus トンネルを使用して BlackBerry Proxy への

接続を確立します。

7. BlackBerry Proxy は、サーバー証明書を使用して、BlackBerry Dynamics アプリで認証します。BlackBerryProxy は、BlackBerry Proxy とアプリにのみ知られているセッションキーでキーが付けられた MAC を使用し

て、アプリを検証します。

8. BlackBerry Proxy とアプリの間でセキュリティ保護された接続が確立されている場合、仕事用データ

は、BlackBerry Proxy への BlackBerry Secure Connect Plus トンネルを使用して、ファイアウォールの背後

でデバイスとアプリケーションサーバーまたはコンテンツサーバー間で移動できます。BlackBerry SecureConnect Plus は、FIPS-140 認定 Certicom ライブラリを使用して、トラフィックの暗号化および復号化を行い

ます。

 | 仕事用データの送受信 | 55

Page 56: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

VPN または仕事用 Wi-Fi ネットワークの使用による仕事用デー

タの送受信

管理者またはユーザーによって VPN プロファイルまたは Wi-Fi プロファイルが設定されているデバイスは、

組織の VPN または仕事用 Wi-Fi ネットワークを使用して組織のリソースにアクセスできる場合があります。組

織の VPN を使用するには、仕事用プロファイルがない Android デバイスを使用します。そのようにしない場

合、Samsung KNOX Workspace はデバイス上で VPN プロファイルを手動で設定する必要があります。

この図は、BlackBerry 10、iOS、Android、Windows、または macOS デバイスが組織の VPN または仕事用 Wi-Fiネットワークを使用して組織のリソースに接続している場合に、データが移動する仕組みを示しています。

 

 

この図は、BlackBerry OS(バージョン 5.0~7.1)デバイスが組織の VPN または仕事用 Wi-Fi ネットワークを使

用して組織のリソースに接続している場合に、データが移動する仕組みを示しています。

 

 

次の表は、デバイスがいつ組織の VPN または仕事用 Wi-Fi ネットワークを使用して、組織のネットワークに接続

するのかを示したものです。

デバイスタイプ 説明

仕事用プロファイルがある Androidデバイスと KNOX Workspace デバ

イス

デフォルトでは、仕事用プロファイルがある、または KNOXWorkspace を使用する Android デバイスは、組織の VPN または仕事用

Wi-Fi ネットワークを使用して、BlackBerry Secure Connect Plus が有効

になっていない場合にのみ仕事用データを送受信します。

 | 仕事用データの送受信 | 56

Page 57: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

デバイスタイプ 説明

Windows および macOS デバイ

ス、および MDM 制御 のアクティ

ベーションの種類の Android デバ

イス

Windows および macOS デバイス、および MDM 制御 のアクティベー

ションの種類の Android デバイスは、組織の VPN または仕事用 Wi-Fiネットワークを使用して、仕事用データを送受信します。組織の VPNを使用するために、Android デバイスユーザーは、デバイスに VPN プロファイルを手動で設定する必要があります。

iOS  iOS デバイスは、BlackBerry Secure Gateway が有効でない場合、

組織の VPN または仕事用 Wi-Fi ネットワークを使用して ExchangeActiveSync データを送受信します。他のすべての仕事用データは、組

織の VPN または仕事用の Wi-Fi ネットワークを使用します。

BlackBerry 10 BlackBerry 10 デバイスは、組織の VPN または仕事用 Wi-Fi ネットワー

クが使用可能なルートの中で最も直接的でコスト効率が高い場合にこ

のネットワークを使用して、仕事用データを送受信します。BlackBerry10 デバイスは、仕事用データにアクセスするときに、ユーザーでは

なく、管理者によって設定された VPN プロファイルおよび Wi-Fi プロ

ファイルのみを使用します。

BlackBerry OS  BlackBerry OS(バージョン 5.0~7.1)デバイスは、組織の VPN または

仕事用の Wi-Fi ネットワークを使用して、この通信パスが使用可能な中

で最も直接的でコスト効率が高いルートである場合に、このパスを使用

してメール、オーガナイザー、およびアプリのデータ更新のすべてを送

受信します。

関連概念

BlackBerry Infrastructure の使用による仕事用データの送受信

データフロー:VPN または仕事用 Wi-Fi ネットワークを使用してデバイスからメールを送信す

このデータフローは、Exchange ActiveSync を使用して、組織の VPN または仕事用 Wi-Fi ネットワーク経由でデ

バイスからメールサーバーへ仕事用メールとカレンダーデータが移動する仕組みを説明しています。

 

 

 | 仕事用データの送受信 | 57

Page 58: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

1. ユーザーは、仕事用領域内でメールを作成するか、オーガナイザーアイテムを更新します。

2. デバイスは、組織の VPN または仕事用 Wi-Fi ネットワーク経由で、新規または変更されたアイテムをメール

サーバーへ送信します。

3. メールサーバーは、ユーザーのメールボックスのオーガナイザーデータを更新するか、メールアイテムを受

信者に送信して、デバイスに確認を送信します。

関連概念

データフロー:BlackBerry 10 デバイスからのメールの送信

データフロー:iOS を使用した BlackBerry Secure Gateway デバイスからのメールの送信

データフロー:VPN または仕事用 Wi-Fi ネットワークを使用してデバイスでメールを受信する

このデータフローは、Exchange ActiveSync を使用して、組織の VPN または仕事用 Wi-Fi ネットワーク経由でデ

バイスからメールサーバーへ仕事用メールとカレンダーデータが移動する仕組みを説明しています。

 

 

1. デバイスはメールサーバーに HTTPS 要求を発行し、同期設定されているフォルダー内のアイテムが変更さ

れた場合にメールサーバーがデバイスに通知するよう要求します。要求は、組織の VPN または仕事用 Wi-Fiネットワーク経由でメールサーバーへ移動します。

2. デバイスは待機します。 3. 新規メールや更新されたカレンダーエントリなど、デバイスに新規または変更されたアイテムがある場合、

メールサーバーは更新をデバイスに送信します。新規または変更されたアイテムは、組織の VPN または仕事

用 Wi-Fi ネットワークを経由して、デバイスのメールまたはオーガナイザーデータアプリに移動します。

4. 同期が完了すると、デバイスは別の要求を発行して、プロセスを再度開始します。

5. この期間に新規または変更されたアイテムがない場合、メールサーバーまたはアプリケーションサーバーは

Exchange ActiveSync プロトコルを使用してメッセージをデバイスに送信します。

6. デバイスは、新しい要求を発行して、プロセスを再度開始します。

関連概念

データフロー:BlackBerry 10 デバイスでのメールの受信

データフロー:iOS を使用した BlackBerry Secure Gateway デバイスでのメールの受信

 | 仕事用データの送受信 | 58

Page 59: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

データフロー:VPN または仕事用 Wi-Fi ネットワークを使用したアプリケーションサーバーま

たはコンテンツサーバーへのアクセス

このデータフローは、組織のアプリケーションまたはコンテンツサーバーとデバイス上のアプリとの間で、VPN接続または仕事用 Wi-Fi ネットワークを使用してデータが移動する仕組みを説明しています。

 

 

1. ユーザーは、仕事用アプリを開いて、仕事用データを表示します。たとえば、ユーザーは、仕事用ブラウ

ザーを開き、イントラネット内を移動するか、社内で開発されたアプリを使用して組織の顧客データにアク

セスします。

2. アプリは、アプリケーションまたはコンテンツサーバーとの接続を確立して、データを取得します。要求

は、VPN または仕事用 Wi-Fi ネットワーク経由でアプリケーションまたはコンテンツサーバーへ移動しま

す。 3. アプリケーションまたはコンテンツサーバーは、仕事用データで応答します。仕事用データは、VPN または

仕事用 Wi-Fi ネットワークを通じて、デバイスの仕事用領域のアプリへ移動します。

4. アプリはデータを受信し、デバイス上に表示します。 

関連概念

データフロー:BlackBerry 10 デバイスからアプリケーションサーバーまたはコンテンツサーバーへのアクセス

データフロー:BlackBerry Secure Connect Plus を使用するアプリケーションサーバーまたはコンテンツサー

バーへのアクセス

 | 仕事用データの送受信 | 59

Page 60: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

デバイス設定の更新の受信

管理コンソールを使用して、デバイスをロック、仕事用データを削除などのデバイスコマンドを送信する場合、

または、ポリシー、プロファイル、アプリ設定または割り当てなどの他のデバイス管理タスクを実行する場合に

は、デバイスの設定の更新がトリガーされます。

設定の更新をデバイスに送信する必要がある場合には、BlackBerry UEM は、設定の更新が保留中であることをデ

バイスに通知します。デバイスはまた、デバイスで通知が受信されていない場合に、設定の更新が見逃さないよ

うに、定期的に BlackBerry UEM をポーリングして、デバイス上で実行する必要のある操作を要求します。

BlackBerry 10 デバイスでは、Enterprise Management Agent がすべての設定更新を受信し完了します。

Android デバイスでは、BlackBerry UEM Client がすべての設定更新を受信し完了します。

iOS デバイスでは、BlackBerry UEM Client アプリが、コンプライアンスステータスと、デバイスに割り当てら

れたアプリやポリシーなどのデバイスに関する設定情報を表示します。ただし、デバイス上のネイティブ MDMDaemon は、デバイスに送信されたすべての設定更新を受信して、処理を終了します。

アクティベーションに Windows 10 を要求しない macOS および BlackBerry UEM Client デバイスでは、ネイティ

ブ MDM Daemon は、デバイスに送信されたすべての設定更新を受信して、処理を終了します。

 | デバイス設定の更新の受信 | 60

Page 61: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

データフロー:BlackBerry Dynamics アプリのアクティベーショ

このデータフローは、BlackBerry Dynamics アプリがアクティブ化されるときにデータが移動する仕組みについ

て説明しています。

 

 

1. 管理者は、1 つまたは複数の BlackBerry Dynamics アプリをユーザーに割り当てます。

2. ユーザーはデバイスにアプリをインストールします。

3. デバイスが Samsung KNOX Workspace デバイスではなく、BlackBerry UEM Client がデバイスにインストール

されている場合、BlackBerry Dynamics アプリは次の操作を実行します。

a. デバイス上の BlackBerry UEM Client とセキュアなチャネルを確立します。セキュアチャネルで交換された

データは、AES-CBC 暗号を使用して暗号化されます。

b. BlackBerry UEM Client に、新しい BlackBerry Dynamics アプリのアクセスキーを要求するように依頼しま

す。要求にはランダムに生成されたノンスが含まれます。

4. 次のいずれかのイベントが発生します。

• BlackBerry UEM Client は、アクセスキー要求とランダムに生成されたノンスを BlackBerry UEM Core に送

信します。

• BlackBerry UEM Client がデバイスにインストールされていない場合、またはデバイスが Samsung KNOXWorkspace を使用していて、これがアクティブ化された最初の BlackBerry Dynamics アプリである場

合、管理者はユーザーに送信するアクセスキーを生成するか、または、ユーザーが BlackBerry UEM Self-Service にログインして、アクセスキーを生成します。

• デバイスまたは KNOX Workspace にアクティブ化された BlackBerry Dynamics アプリがすでに含まれてい

る場合、アクティブ化されたアプリはアクセスキー要求とランダムに生成されたノンスを BlackBerry UEMCore に送信します。

5. BlackBerry UEM Core は、要求されたアクセスキーを BlackBerry UEM Client に送信します。

6. BlackBerry UEM Client は、アクセスキーを BlackBerry Dynamics アプリに提供します。

 | デバイス設定の更新の受信 | 61

Page 62: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

7. BlackBerry Dynamics アプリは BlackBerry Dynamics NOC との SSL 接続を確立し、アクセスキーのハッシュを

送信します。

8. BlackBerry Dynamics NOC はアクセスキーを検証し、検証が成功した場合は、マスターリンクキーや接続情報

を含むプロビジョニングデータを BlackBerry Dynamics アプリに送信します。

9. BlackBerry Dynamics アプリは、SSL 接続を経由して BlackBerry Dynamics NOC にセキュアチャネルセット

アップメッセージを送信することによって、BlackBerry UEM Core との共有の秘密を確立するプロセスを開始

します。

セキュアチャネルセットアップメッセージには、送信者を認証し、メッセージの整合性を保証するために、

ユーザー ID(メールアドレス)、短期 ECDH 公開鍵、salt 値、トークン、およびメッセージの MAC が含まれ

ています。

10.BlackBerry Dynamics NOC は、HTTPS 接続を介してセキュアチャネルセットアップメッセージを BlackBerryProxy に転送します。

11.BlackBerry Proxy は、セキュアチャネルセットアップメッセージを BlackBerry UEM Core に転送します。

12. BlackBerry UEM Core は BlackBerry Dynamics アプリに応答します。応答には、新しい短期 ECDH 公開鍵と

メッセージの MAC が含まれています。

13.BlackBerry Dynamics アプリは、BlackBerry UEM Core からプロビジョニングデータを要求します。要求

は、BlackBerry Dynamics NOC と BlackBerry Proxy を通過します。

14.BlackBerry UEM Core は、マスターセッションキー、アプリ設定データ、BlackBerry Proxy インスタンスのリ

ストを含む暗号化されたプロビジョニングデータを BlackBerry Dynamics アプリに送信して、アクティベー

ションを完了します。

 | デバイス設定の更新の受信 | 62

Page 63: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

データフロー:BlackBerry Secure Connect Plus が有効になっ

ているときに Samsung KNOX Workspace デバイスで BlackBerryDynamics アプリをアクティブ化する

このデータフローは、Samsung KNOX Workspace デバイス上の仕事用領域にある BlackBerry Dynamics アプリ

が BlackBerry Secure Connect Plus 接続を介してアクティブ化されるときに、データが移動する仕組みについて

説明しています。

 

 

1. 管理者は、1 つまたは複数の BlackBerry Dynamics アプリをユーザーに割り当てます。

2. ユーザーは Samsung KNOX デバイスにアプリをインストールします。

3. デバイスが Samsung KNOX Workspace デバイスではなく、BlackBerry UEM Client がデバイスにインストール

されている場合、BlackBerry Dynamics アプリは次の操作を実行します。

a. デバイス上の BlackBerry UEM Client とセキュアなチャネルを確立します。セキュアチャネルで交換された

データは、AES-CBC 暗号を使用して暗号化されます。

b. BlackBerry UEM Client に、新しい BlackBerry Dynamics アプリのアクセスキーを要求するように依頼しま

す。要求にはランダムに生成されたノンスが含まれます。

4. デバイスが、TLS トンネルを介してポート 443 で BlackBerry Infrastructure に要求を送信し、仕事用ネット

ワークへのセキュリティ保護されたトンネルを要求します。信号は、FIPS-140 認定 Certicom ライブラリを

使って、デフォルトで暗号化されます。信号トンネルはエンドツーエンドで暗号化されます。

5. BlackBerry Secure Connect Plus は、ポート 3101 を介して BlackBerry Infrastructure から要求を受信します。

6. デバイスと BlackBerry Secure Connect Plus は トンネルパラメーターのネゴシエーションを行い、BlackBerryInfrastructure を介してデバイスのセキュリティ保護されたトンネルを確立します。トンネルは認証さ

れ、DTLS を使ってエンドツーエンドで暗号化されます。 7. BlackBerry UEM Client は、アクセスキー要求とランダムに生成されたノンスを BlackBerry Secure Connect

Plus から BlackBerry UEM Core に送信します。

 | デバイス設定の更新の受信 | 63

Page 64: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

8. BlackBerry UEM Core は、要求されたアクセスキーを BlackBerry Secure Connect Plus から BlackBerry UEMClient に送信します。

9. BlackBerry UEM Client は、アクセスキーを BlackBerry Dynamics アプリに提供します。

10.BlackBerry Dynamics アプリは、BlackBerry Secure Connect Plus を使用して、BlackBerry Dynamics NOC との

接続を確立し、アクセスキーのハッシュを送信します。

11.BlackBerry Dynamics NOC はアクセスキーを検証し、検証が成功した場合は、マスターリンクキーや接続情報

を含むプロビジョニングデータを BlackBerry Secure Connect Plus を使用して BlackBerry Dynamics アプリに

送信します。

12.BlackBerry Dynamics アプリは、BlackBerry Secure Connect Plus を使用して BlackBerry Dynamics NOC にセ

キュアチャネルセットアップメッセージを送信することによって、BlackBerry UEM Core との共有の秘密を確

立するプロセスを開始します。

セキュアチャネルセットアップメッセージには、送信者を認証し、メッセージの整合性を保証するために、

ユーザー ID(メールアドレス)、短期 ECDH 公開鍵、salt 値、トークン、およびメッセージの MAC が含まれ

ています。

13.BlackBerry Dynamics NOC は、HTTPS 接続を介してセキュアチャネルセットアップメッセージを BlackBerryProxy に転送します。

14.BlackBerry Proxy は、セキュアチャネルセットアップメッセージを BlackBerry UEM Core に転送します。

15. BlackBerry UEM Core は、BlackBerry Secure Connect Plus を使用して、BlackBerry Dynamics アプリに応答し

ます。応答には、新しい短期 ECDH 公開鍵とメッセージの MAC が含まれています。

16.BlackBerry Dynamics アプリは、BlackBerry UEM Core からプロビジョニングデータを要求します。要求

は、BlackBerry Secure Connect Plus、BlackBerry Dynamics NOC、および BlackBerry Proxy を通過します。

17.BlackBerry UEM Core は、マスターセッションキー、アプリ設定データ、BlackBerry Proxy インスタンスのリ

ストを含む暗号化されたプロビジョニングデータを BlackBerry Dynamics アプリに送信して、アクティベー

ションを完了します。

 | デバイス設定の更新の受信 | 64

Page 65: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

データフロー:BlackBerry 10 デバイスでの設定更新の受信

 

1. デバイス用の設定更新をトリガーするアクションは、管理コンソール内で実行されます。たとえば、IT ポリ

シーを更新したり、新しいプロファイルまたはアプリをユーザーアカウントへ割り当てたりします。 2. 更新が BlackBerry UEM に適用され、デバイスと共有する必要のあるオブジェクトが識別されます。

3. BlackBerry UEM Core は、デバイス用の更新があることを BlackBerry Infrastructure に通知します。通知

は、BlackBerry Router または TCP プロキシサーバー(インストールされている場合)、および外部ファイア

ウォールのポート 3101 を経由します。

4. BlackBerry Infrastructure は、デバイス上の Enterprise Management Agent に更新があることを通知します。

5. デバイス上の Enterprise Management Agent は、BlackBerry UEM Core にポーリングし、デバイス上で実行す

る必要のある保留中のアクションとコマンドを要求します。このポーリング結果は、BlackBerry UEM Core にBlackBerry Infrastructure と BlackBerry Router(インストールされている場合)経由で渡されます。

6. BlackBerry UEM Core は、BlackBerry Infrastructure および BlackBerry Router または TCP プロキシサーバー

(インストールされている場合)経由で、優先度が最高のアクションで応答します。

優先度は、デバイスデータを削除、デバイスをロックなどの IT 管理コマンドに付与され、次にデバイス情報

のリクエスト、インストール済みアプリなどに付与されます。BlackBerry UEM Core は、一度に 1 つだけコマ

ンドを送信します。必要に応じて、追加情報が応答に含まれます。

7. デバイス上の Enterprise Management Agent が、設定更新を受信し、新しいまたは更新された設定をデバイ

スに適用します。Enterprise Management Agent は、BlackBerry UEM Core 経由で BlackBerry Infrastructure へ応答を送信し、コマンドステータスを更新します。ステータスは、コマンドが正常に実行されたかどうかを

示し、失敗した場合はエラーメッセージを提供します。

8. デバイスに対して保留中のアクションまたはコマンドがまだ残っている場合、BlackBerry UEM Core はBlackBerry Infrastructure 経由で、優先度が一番高いアクションを実行して応答します。デバイスに対して保

留中のアクションまたはコマンドがない場合、BlackBerry UEM Core はアイドルコマンドで応答します。

デバイスで実行する必要のある保留中のアクションまたはコマンドがなくなるまで、手順 6~8 を繰り返しま

す。 

 | デバイス設定の更新の受信 | 65

Page 66: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

データフロー:Android デバイスでの設定更新の受信

 

1. Android デバイス用の設定更新をトリガーするアクションは、管理コンソール内で実行されます。

2. 更新が BlackBerry UEM に適用され、デバイスと共有する必要のあるオブジェクトが識別されます。

3. BlackBerry UEM Core は、BlackBerry Router または TCP プロキシサーバー(インストールされている場

合)、および外部ファイアウォールのポート 3101 を経由して BlackBerry Infrastructure に接続します。

4. BlackBerry Infrastructure は FCM を使用して、保留中の更新があることを Android デバイスに通知します。 5. GCM は通知を BlackBerry UEM Client デバイス上の Android に送信し、BlackBerry UEM Core に接続します。

6. BlackBerry UEM Client は、外部ファイアウォールのポート 3101 で BlackBerry UEM Core に接続し、デバイス

上で実行する必要のある保留中のアクションとコマンドを要求します。

7. BlackBerry UEM Core は、BlackBerry Infrastructure および BlackBerry Router または TCP プロキシサーバー

(インストールされている場合)経由で、優先度が最高のアクションで応答します。

優先度は、デバイスデータを削除、デバイスをロックなどの IT 管理コマンドに付与され、次にデバイス情報

のリクエスト、インストール済みアプリなどに付与されます。BlackBerry UEM Core は、一度に 1 つだけコマ

ンドを送信します。必要に応じて、追加情報が応答に含まれます。 8. BlackBerry UEM Client は、応答を調べ、処理するコマンドをスケジュールして、コマンドの実行を待機しま

す。BlackBerry UEM Client は、BlackBerry UEM Core 経由で BlackBerry Infrastructure へ応答を送信し、コマ

ンドステータスを更新します。ステータスは、コマンドが正常に実行されたかどうかを示し、失敗した場合

はエラーメッセージを提供します。

9. デバイスに対して保留中のアクションまたはコマンドがまだ残っている場合、BlackBerry UEM Core はBlackBerry Infrastructure 経由で、優先度が一番高いアクションを実行して応答します。デバイスに対して保

留中のアクションまたはコマンドがない場合、BlackBerry UEM Core はアイドルコマンドで応答します。

デバイスで実行する必要のある保留中のアクションまたはコマンドがなくなるまで、手順 7~9 を繰り返しま

す。

 | デバイス設定の更新の受信 | 66

Page 67: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

データフロー:iOS デバイスでの設定更新の受信

1. iOS デバイス用の設定更新をトリガーするアクションは、管理コンソール内で実行されます。たとえば、IT ポリシーを更新したり、新しいプロファイルまたはアプリをユーザーアカウントへ割り当てたりします。 

2. 更新が BlackBerry UEM に適用され、デバイスと共有する必要のあるオブジェクトが識別されます。

3. BlackBerry UEM Core は、次の操作を実行します。

a. BlackBerry Router または TCP プロキシサーバー(インストールされている場合)、および外部ファイア

ウォールのポート 3101 を経由して BlackBerry Infrastructure に接続します。

b. BlackBerry Infrastructure を介して APN に要求を送信し、保留中の更新があることをデバイスに通知しま

す。

4. APN は通知を iOS 上のネイティブ MDM Daemon に送信し、BlackBerry UEM Core に接続します。 5. iOS デバイス上のネイティブ MDM Daemon は、通知を受信すると、BlackBerry Router または TCP プロキシ

サーバー(インストールされている場合)を経由して、外部ファイアウォールのポート 3101 で BlackBerryUEM Core に接続し、保留中のアクションを取得します。

6. BlackBerry UEM Core は、優先度が最高のアクションで応答します。優先度は、デバイスデータを削除、デバ

イスをロックなどのデバイスのアクションに付与されます。BlackBerry UEM Core は、一度に 1 つだけコマン

ドを送信します。必要に応じて、追加情報が応答に含まれます。デバイスに対して保留中のアクションまた

はコマンドがない場合、BlackBerry UEM Core はアイドルコマンドでデバイスに応答します。

7. iOS デバイスのネイティブ MDM Daemon が次の操作を実行します。

a. BlackBerry UEM Core からの応答を調べ、処理するコマンドをスケジュールして、コマンドの実行を待機

します。

b. BlackBerry UEM Core へ応答を送信し、コマンドステータスを更新します。ステータスは、コマンドが正

常に実行されたかどうかを示し、失敗した場合はエラーメッセージを提供します。

デバイスで実行する必要のある保留中のアクションまたはコマンドがなくなるまで、手順 6 と 7 を繰り返し

ます。

 | デバイス設定の更新の受信 | 67

Page 68: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

データフロー:macOS デバイスでの設定更新の受信

1. macOS デバイス用の設定更新をトリガーするアクションは、管理コンソール内で実行されます。たとえ

ば、IT ポリシーを更新したり、新しいプロファイルまたはアプリをユーザーアカウントへ割り当てたりしま

す。 2. 更新が BlackBerry UEM に適用され、デバイスと共有する必要のあるオブジェクトが識別されます。

3. BlackBerry UEM Core は、次の操作を実行します。

a. BlackBerry Router または TCP プロキシサーバー(インストールされている場合)、および外部ファイア

ウォールのポート 3101 を経由して BlackBerry Infrastructure に接続します。

b. BlackBerry Infrastructure を介して APN に要求を送信し、保留中の更新があることをデバイスに通知しま

す。

4. APN は、BlackBerry UEM Core に接続するための通知をデバイスに送信します。 5. デバイスが通知を受信すると、BlackBerry UEM Core に接続し、外部ファイアウォールのポート

3101、BlackBerry Router または TCP プロキシサーバー(インストールされている場合)経由で、保留中のア

クションを取得します。

6. デバイス用の保留中の更新がある場合、BlackBerry UEM Core は優先度が最高のアクションで応答します。

優先度は、デバイスデータを削除、デバイスをロックなどのデバイスのアクションに付与されます。必要

に応じて、追加情報が応答に含まれます。デバイスに対して保留中のアクションまたはコマンドがない場

合、BlackBerry UEM Core は空のメッセージでデバイスに応答します。 7. デバイスが次の処理を実行します。

a. BlackBerry UEM Core からの応答を調べ、処理するコマンドをスケジュールして、コマンドの実行を待機

します。

b. BlackBerry UEM Core へ応答を送信し、コマンドステータスを更新します。ステータスは、コマンドが正

常に実行されたかどうかを示し、失敗した場合はエラーメッセージを提供します。

デバイスで実行する必要のある保留中のアクションまたはコマンドがなくなるまで、手順 6 と 7 を繰り返し

ます。

 | デバイス設定の更新の受信 | 68

Page 69: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

データフロー:Windows 10 デバイスでの設定更新の受信

1. Windows 10 デバイス用の設定更新をトリガーするアクションは、管理コンソール内で実行されます。たとえ

ば、IT ポリシーを更新したり、新しいプロファイルまたはアプリをユーザーアカウントへ割り当てたりしま

す。 2. 更新が BlackBerry UEM に適用され、デバイスと共有する必要のあるオブジェクトが識別されます。

3. BlackBerry UEM Core は、BlackBerry Router または TCP プロキシサーバー(インストールされている場

合)、および外部ファイアウォールのポート 3101 を経由して BlackBerry Infrastructure に接続します。

4. BlackBerry Infrastructure は WNS を使用して、保留中の更新があることをデバイスに通知します。

5. WNS は、BlackBerry UEM Core に接続するための通知をデバイスに送信します。 6. デバイスが通知を受信すると、BlackBerry UEM Core に接続し、外部ファイアウォールのポート

3101、BlackBerry Router または TCP プロキシサーバー(インストールされている場合)経由で、保留中のア

クションを取得します。

7. デバイス用の保留中の更新がある場合、BlackBerry UEM Core は優先度が最高のアクションで応答します。

優先度は、デバイスデータを削除、デバイスをロックなどのデバイスのアクションに付与されます。必要

に応じて、追加情報が応答に含まれます。デバイスに対して保留中のアクションまたはコマンドがない場

合、BlackBerry UEM Core は空のメッセージでデバイスに応答します。 8. デバイスは、応答を調べ、処理するコマンドをスケジュールして、コマンドの実行を待機します。デバイス

は、BlackBerry UEM Core へ応答を送信し、コマンドステータスを更新します。ステータスは、コマンドが正

常に実行されたかどうかを示し、失敗した場合はエラーメッセージを提供します。

デバイスで保留中のアクションまたはコマンドがなくなるまで、手順 7~8 を繰り返します。

 | デバイス設定の更新の受信 | 69

Page 70: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

用語集

AES Advanced Encryption Standard(米国政府の次世代標

準暗号化方式)

APN Apple Push Notification service(Apple プッシュ通知

サービス)

BES5 BlackBerry Enterprise Server 5

CA Certification Authority(認証局)

CBC Cipher Block Chaining(暗号文ブロック連鎖)

CSR Certificate Signing Request(証明書署名要求)

DMZ Demilitarized Zone(境界ネットワーク)。組織の

ファイアウォールの外部に配置された中立なサブネッ

トワークです。DMZ は、信頼できる組織の LAN と、

外部ワイヤレスネットワークや公衆インターネット

などの信頼できないネットワークとの境界に置かれま

す。

DTLS Datagram Transport Layer Security(データグラムト

ランスポートレイヤーキュリティー)

ECDH Elliptic Curve Diffie-Hellman(楕円曲線 Diffie-Hellman)

ECMQV Elliptic Curve Menezes-Qu-Vanstone(楕円曲線

Menezes-Qu-Vanstone)

EMM Enterprise Mobility Management(エンタープライズ

モビリティ管理)

GCM Google Cloud Messaging(Google クラウドメッセー

ジング)

HMAC Keyed-Hash Message Authentication Code(ハッシュ

ベースメッセージ認証コード)

HTTP Hypertext Transfer Protocol(ハイパーテキスト転送

プロトコル)

HTTPS Hypertext Transfer Protocol over Secure SocketsLayer(HTTP に SSL によるデータの暗号化機能を付

加したプロトコル)

IP Internet Protocol

 | 用語集 | 70

Page 71: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

IT ポリシー IT ポリシーは、デバイスのセキュリティ機能と動作

を制御する複数のさまざまなルールで構成されていま

す。

MAC Message Authentication Code(メッセージ認証コー

ド)

MDM Mobile device management(モバイルデバイス管

理)

MTLS Mutual Transport Layer Security(相互トランスポー

トレイヤーセキュリティ)

NOC Network Operations Center(ネットワークオペレー

ションセンター)

PKCS Public Key Cryptography Standards(公開鍵暗号標

準)

SMTP Simple Mail Transfer Protocol(インターネットやイ

ントラネットでメールを送信するためのプロトコル)

SRP Server Routing Protocol(サーバールーティングプロ

トコル)

SSL Secure Sockets Layer(セキュアソケットレイヤー)

TCP Transmission Control Protocol(伝送制御プロトコ

ル)

TCP/IP Transmission Control Protocol/InternetProtocol(TCP/IP)。インターネットなどのネット

ワークを経由したデータの送受信に使用される通信プ

ロトコル一式です。

TLS Transport Layer Security(トランスポートレイヤーセ

キュリティ)

UDP User Datagram Protocol(ユーザーデータグラムプロ

トコル)

UEM Unified Endpoint Manager

BlackBerry UEM domain A BlackBerry UEM domain consists of a BlackBerryUEM database and a BlackBerry Control database andany BlackBerry UEM instances that connect to them.

BlackBerry UEM instance A BlackBerry UEM instance refers to one installationof the BlackBerry UEM Core and all associatedBlackBerry UEM components that communicate withit. The components can be installed on the same

 | 用語集 | 71

Page 72: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

server or multiple servers. There can be more thanone BlackBerry UEM instance in a BlackBerry UEMdomain.

VPN Virtual Private Network(仮想プライベートネット

ワーク)

WNS Windows Push Notification Services(Windows プッ

シュ通知サービス)

 | 用語集 | 72

Page 73: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

商標などに関する情報©2018 BlackBerry Limited.BLACKBERRY、BBM、BES、EMBLEM Design、ATHOC、MOVIRTU、SECUSMART などの商標(ただし、これらに限定されるとは限らない)は BlackBerry Limited、その子会社および関連会社の商

標または登録商標であり、ライセンスに基づいて使用され、当該の商標に対する独占権は明確に留保されていま

す。その他すべての商標は各社の所有物です。

Apple および macOS は、Apple Inc. の商標です。 Google、 Android、および Google Apps は、Google Inc. の商標です。 iOS は、Cisco Systems, Inc. および/または米国およびその他の特定の国における関連会社の商標

です。iOS® は、Apple Inc. からライセンスの許諾を受けて使用されます。 Box is including without limitation,either a trademark, service mark or registered trademark of Box, Inc. KNOX および Samsung KNOX は、SamsungElectronics Co., Ltd. の商標です。 Microsoft、Active Directory、ActiveSync、Lync、SharePoint、Windows、 および Windows Phone は、米国および/またはその他の国における Microsoft Corporation の登録商標または商標

マークです。 Wi-Fi は、Wi-Fi Alliance の商標です。 その他すべての商標は各社の所有物です。

本書は、参照用として本書で取り上げるすべての文書(提供される文書または BlackBerry の Web サイトで参

照可能な文書)を含めて「現状のまま」または「参照可能な形で」提供されるか、またはアクセスすることが

でき、BlackBerry Limited およびその関連会社(「BlackBerry」)はいかなる条件付け、承認、表明、または保

証もしないものとし、BlackBerry は本書の誤記、技術的な誤りまたはその他の誤り、エラー、遺漏について何

ら責任を負いません。BlackBerry の所有権、機密情報および/または企業秘密を保護するため、本書では一部の

BlackBerry テクノロジの側面を一般化された用語で記述している場合があります。BlackBerry は、本書に含まれ

る情報を定期的に変更する権利を留保します。ただし、BlackBerry には、本書への変更、更新、拡張、または他

の追加を適時ユーザーに提供する義務はないものとします。

本書は、第三者をソースとする情報、ハードウェアまたはソフトウェア、製品またはサービス(コンポーネント

や、著作権保護されたコンテンツなど)、および/または第三者の Web サイト(これらをまとめて「サードパー

ティ製品およびサービス」という)への参照を含んでいる可能性があります。BlackBerry は、サードパーティ製

品およびサービスの内容、正確性、著作権遵守、互換性、性能、信頼性、適法性、品格、リンク、他の側面など

に限定することなく、サードパーティ製品およびサービスを一切管理することはなく、責任も負いません。本書

においてサードパーティ製品およびサービスを参照することは、BlackBerry がサードパーティ製品およびサービ

スまたは第三者を保証することを意味するものではありません。

該当する司法管轄地域の適用法で明確に禁じられている場合を除き、本書で参照されているソフトウェア、ハー

ドウェア、サービス、またはサードパーティ製品およびサービスについて、耐久性、特定の目的または使用に対

する適合、商品性、適性品質、権利侵害の不存在、品質満足度、権原、または制定法、慣習法、取引過程、商慣

習から生じる、本書またはその使用に関する、または性能または性能の不履行に関する条件付け、承認、表明、

保証などに限定することなく、明示的または黙示的に、いかなる条件付け、承認、表明、または保証も除外され

ます。 ユーザーは、国や地域によって異なる他の権利を有する場合もあります。 一部の司法管轄地域では、黙

示的な保証および条件の除外事項または限定事項は禁止されています。 法律で認められている範囲で、本書に関

連する黙示的な保証または条件は、上記に定めるように除外できないが限定できる場合、ユーザーが本書または

該当する対象物を初めて入手してから 90 日間に限定されます。

該当する司法管轄地域の適用法で認められている最大限の範囲で、本書またはその使用に関連して、または本

書で参照されているソフトウェア、ハードウェア、サービス、またはサードパーティ製品およびサービスの性能

または性能の不履行に関連して、次のような損害を含め、いかなる場合においても、BlackBerry はいかなる損害

の責任も負わないものとします。直接的、必然的、典型的、偶発的、間接的、特殊的、懲罰的、または加重的損

害、金銭的損失による損害(利益または収益の損失、予想される貯蓄の未達成、事業の中断、ビジネス情報の消

失、ビジネス機会の喪失、データの破損または消失、データの送受信の失敗、BlackBerry 製品またはサービスと

併用したアプリケーションに関連する問題、ダウンタイムコスト、BlackBerry 製品またはサービスあるいはその

一部の使用機会や通信サービスの使用機会の喪失、代替品コスト、保険料、設備費、保守費、資本コストなど)

 | 商標などに関する情報 | 73

Page 74: BlackBerry UEM アーキテクチャとデータフロー...BlackBerry UEM アーキテクチャとデータフロー BlackBerry UEM アーキテクチャは、組織のモバイルデバイスの管理を支援し、組織のメール、コンテンツサー

に限定することなく、損害を予想できたかどうかを問わず、BlackBerry が損害の可能性について勧告を受けてい

た場合。

該当する司法管轄地域の適用法で認められている最大限の範囲で、契約、不法行為、またはユーザーに対する過

失責任または厳格責任について、BlackBerry は他のいかなる義務、責務、または責任も負わないものとします。

本書の限定事項、除外事項、および免責事項は、以下に適用されます。(A)訴訟原因、請求、またはユーザー

による行為(契約違反、過失、不法行為、厳格責任、その他の法理論など)の性質に関係なく、この契約の基本

目的または本書に記載されている救済策の根本的違反または不履行を免れるため、および(B)BlackBerry およ

びその関連会社、その後継者、譲受人、代理業者、納入業者(通信事業者を含む)、認可された BlackBerry 販売

業者(通信事業者を含む)およびその取締役、従業員、および請負業者。

上記に定める限定事項および除外事項に加えて、いかなる場合においても、BlackBerry の取締役、従業員、代理

業者、販売業者、納入業者、請負業者または BlackBerry の関連会社は、本書に起因または関連する責任を負わな

いものとします。

ユーザーは、サードパーティ製品およびサービスの加入、インストール、または使用前に、通信事業者がサー

ドパーティ製品およびサービスのすべての機能をサポートすることに同意していることを確認する責任を負い

ます。一部の通信事業者は、BlackBerry® Internet Service への加入によるインターネット閲覧機能を提供しない

場合があります。サービスの利用、ローミング、サービスプラン、その他の機能については、通信事業者に問

い合わせてください。BlackBerry 製品およびサービスにおけるサードパーティ製品およびサービスのインストー

ルまたは使用には、第三者の権利を侵害または妨害しないように、特許、商標、著作権、または他のライセンス

が必要になる場合があります。ユーザーは、サードパーティ製品およびサービスを使用するかどうかを決定し、

使用するために第三者のライセンスが必要かどうかを確認する責任を負います。必要な場合、ユーザーはライセ

ンスを取得する責任を負います。ユーザーは、必要なライセンスをすべて取得するまで、サードパーティ製品お

よびサービスをインストールまたは使用してはなりません。BlackBerry 製品およびサービスで提供されるサード

パーティ製品およびサービスは、ユーザーの便宜のために「現状のまま」提供され、BlackBerry は明示的にも黙

示的にもいかなる条件付け、承認、表明、または保証もしないものとし、BlackBerry はそれに関連するいかなる

責任も負わないものとします。ユーザーによるサードパーティ製品およびサービスの使用は、ライセンスまたは

BlackBerry との他の契約で明示的に対象になっている場合を除き、個別のライセンスおよび第三者との他の該当

契約の条件に従うものとし、その制約を受けるものとします。

BlackBerry 製品またはサービスの使用条件は、個別のライセンスまたは BlackBerry との他の該当契約に定められ

ています。本書の内容は、本書以外に BlackBerry 製品またはサービスの一部に対して BlackBerry が提供した文

書による明示的な契約または保証を破棄するものではありません。

BlackBerry Enterprise Software には、特定のサードパーティ製ソフトウェアが組み込まれています。このソフト

ウェアに関連するライセンスおよび著作権情報は、http://worldwide.blackberry.com/legal/thirdpartysoftware.jspでご確認いただけます。

BlackBerry Limited2200 University Avenue EastWaterloo, OntarioCanada N2K 0A7

BlackBerry UK Limited200 Bath RoadSlough, Berkshire SL1 3XEUnited Kingdom

Published in Canada

 | 商標などに関する情報 | 74