Windows 10モダンマネジメントガイド第2回オンプレミスActive Directoryとの連携

はじめに

この連載では、VMware Workspace ONEを用いてクラウドからWindows 10を管理、ゼロトラストセキュリティを実現する「最新の管理(モダンマネジメント)」の体験をご紹介します。

前回の作業ではWorkspace ONEの要件を確認し、フリートライアル版の申込みを行いました。

今回の作業ではウィザードを用いてオンプレミスActive Directoryとの連携を行います。Active DirectoryからVMware Workspace ONE UEMへ、更にVMware Workspace ONE Accessへディレクトリユーザーやグループを連携します。

VMware AirWatch Cloud Connectorのインストール

Windows ServerにVMware AirWatch Cloud Connector(ACC)をインストールし、Active DirectoryからWorkspace ONE UEMにディレクトリユーザーやユーザーグループを同期します。

ACCはインターネットへの外部発信のみで機能するため、ACCをDMZに設置する必要もなく、またインバウンドトラフィックを許可するよう企業のファイヤーウォールを構成する必要もありません。

VMware AirWatch Cloud Connector
https://docs.vmware.com/en/VMware-Workspace-ONE-UEM/services/AirWatch_Cloud_Connector/GUID-AWT-ACC-INTRODUCTION.html

Introduction to Integrating Workspace ONE UEM with your Directory Services
https://docs.vmware.com/en/VMware-Workspace-ONE-UEM/services/Directory_Service_Integration/GUID-AWT-DIRECTORYSERVICESOVERVIEW.html

ダイアグラム自動的に生成された説明

Workspace ONE UEMコンソールに管理者アカウントでログインします。トップページから[はじめに] > [Workspace ONE] > [セットアップを開始]を選択します。[ID およびアクセスの管理]セクションの[AirWatch Cloud Connector (ACC) およびディレクトリ] > [構成]を選択します。

グラフィカルユーザーインターフェイス, テキスト, アプリケーション, メール自動的に生成された説明

[概要]ページが表示されます。[続行]をクリックします。

グラフィカルユーザーインターフェイス, アプリケーション自動的に生成された説明

[AirWatch Cloud Connector (ACC)]ページが表示されます。ACCインストーラのダウンロードに際してパスワードを設定します。ACCインストーラは証明書を含んでおり、これを保護するためにパスワードを必要とします。

[AirWatch Cloud Connector (ACC) インストーラをダウンロード]をクリックします。ダウンロードが完了したら[続行]をクリックします。

グラフィカルユーザーインターフェイス自動的に生成された説明

グラフィカルユーザーインターフェイス, アプリケーション自動的に生成された説明

ダウンロードしたACCインストーラを実行します。

(例) AirWatch Cloud Connector 20.8.0.6 Installer.exe

Windows Server 2019でのインストーラ実行時に[Windows protected your PC]ウィンドウが表示される際には、[More Info]をクリックし[Run Anyway]をクリックするとインストールを続行することができます。

コンピューターのスクリーンショット自動的に生成された説明

インストラクションのステップに従ってACCのインストールを完了します。

重要: 最後にWindows Serverの再起動を促す[You must restart your system for the configuration changes made to AirWatch Cloud Connector to take effect. ]メッセージが表示されますが[No]を選択します。これは[AirWatch Cloud Connector (ACC)]ウィザードを完了するために必要な措置です。

グラフィカルユーザーインターフェイス, テキスト, アプリケーション自動的に生成された説明グラフィカルユーザーインターフェイス, アプリケーション自動的に生成された説明

Windows Serverの再起動を促す[You must restart your system for the configuration changes made to AirWatch Cloud Connector to take effect. ]メッセージが表示されますが[No]を選択します。これは[AirWatch Cloud Connector (ACC)]ウィザードを完了するために必要な措置です。

グラフィカルユーザーインターフェイス, テキスト, アプリケーション自動的に生成された説明

Workspace ONE UEMコンソールで、ウィザード画面を下方にスクロールし[続行]をクリックします。

グラフィカルユーザーインターフェイス, アプリケーション自動的に生成された説明

AirWatch Cloud Connector (ACC) 接続テスト

[接続のテスト]をクリックします。[Cloud Connectorに到達しました]旨の表示があれば[続行]をクリックします。

グラフィカルユーザーインターフェイス, アプリケーション自動的に生成された説明

ディレクトリ設定

Active Directoryへの接続情報を入力します。[保存]をクリックします。ドメインコントローラーに接続できない場合、ACCインストールWindows ServerがドメインコントローラーのFQDNを名前解決できること、ドメインコントローラーと通信可能であることを再確認ください。

グラフィカルユーザーインターフェイス, アプリケーション自動的に生成された説明

Active Directory接続テスト

[接続のテスト]をクリックします。[正常に接続されました。]の表示があれば[保存]をクリックします。

グラフィカルユーザーインターフェイス, アプリケーション自動的に生成された説明

[次のステップ（強く推奨）]が表示されますので[キャンセル]を選択します。

この表示はVMware Workspace ONE Access Connectorの構成についての説明です。本連載では省略しますが、別記事にて構成および移行手順を掲載予定です。

グラフィカルユーザーインターフェイス, テキスト, アプリケーション自動的に生成された説明

ここまでの設定でActive Directoryとの連携を行いました。

グラフィカルユーザーインターフェイス, ダイアグラムが含まれている画像自動的に生成された説明

Active Directory Basicの構成

Active Directory Basicを構成し、Workspace ONE UEM経由でディレクトリユーザーやユーザーグループをActive DirectoryからWorkspace ONE Accessに同期します。

本構成は、検証を目的として素早く環境を立ち上げるための簡易構成です。本稼働構成ではWorkspace ONE Access Connectorを用いた構成が強く推奨されます。

AirWatch Cloud Connector を使用した展開モデル
https://docs.vmware.com/jp/VMware-Identity-Manager/services/com.vmware.vidm-cloud-deployment/GUID-A5047E30-CA8F-4CDE-BB92-0168AC4B622C.html

ダイアグラムが含まれている画像自動的に生成された説明

[グループと設定] > [構成]を選択します。[構成に進む]をクリックします。

グラフィカルユーザーインターフェイス, アプリケーション, Teams 自動的に生成された説明

下方にスクロールしてWorkspace ONE Access をクリックします。

グラフィカルユーザーインターフェイス, テキスト, アプリケーション, メール自動的に生成された説明

[構成]をクリックします。Active Directory Basicの[有効]をクリックします。

グラフィカルユーザーインターフェイス, テキスト, アプリケーション, メール自動的に生成された説明

Workspace ONE Access管理者のユーザー名、管理者パスワードを入力します。[接続のテスト]をクリックします。正常に接続された旨の表示があれば[次へ]をクリックします。

グラフィカルユーザーインターフェイス, アプリケーション自動的に生成された説明

ディレクトリ名を入力します。属性マッピング等は既定のまま[保存]をクリックします。[保存]をクリックします。

グラフィカルユーザーインターフェイス, アプリケーション自動的に生成された説明

ディレクトリの同期が正常動作する旨の表示を確認します。

グラフィカルユーザーインターフェイス, テキスト, アプリケーション自動的に生成された説明

モバイルシングルサインオンのセットアップ

ゼロトラストセキュリティのキーコンポーネントのひとつ、加入デバイスからWorkspace ONE Accessへの証明書認証によるシングルサインオンを実現します。SCEPプロファイルによりAirWatch 認証局から発行される証明書をデバイスに配布します。Workspace ONE Accessの認証ポリシーも自動構成されます。

ウィザードの[モバイルシングルサインオン] > [構成]をクリックします。

グラフィカルユーザーインターフェイス, テキスト, アプリケーション自動的に生成された説明