はじめに
この連載では、VMware Workspace ONEを用いてクラウドからWindows 10を管理、ゼロトラスト セキュリティを実現する「最新の管理(モダンマネジメント)」の体験をご紹介します。
前回の作業ではActive Directoryとの連携を行い、ユーザーやグループの連携設定を行いました。
今回の作業ではオンプレミスActive DirectoryのドメインユーザーをVMware Workspace ONE UEMのディレクトリユーザーとして追加します。またActive Directoryの組織ユニット(OU)を、Workspace ONE UEMのユーザーグループとして追加します。最後にWorkspace ONE UEMのディレクトリユーザーやユーザーグループを、VMware Workspace ONE Accessに連携します。
ドメインユーザーの属性
Active DirectoryのドメインユーザーをWorkspace ONE UEMのディレクトリユーザーとして追加する際、[姓、名、電子メール]が必須の属性となります。属性がないと、ディレクトリユーザーとして追加に失敗する場合があります。
ディレクトリユーザーの追加
Active DirectoryのユーザーをWorkspace ONE UEMへユーザーとして追加します。Workspace ONE UEMにデバイス加入する際のユーザーアカウントとして利用されます。
Workspace ONE UEMコンソール トップページを表示します。[追加] > [ユーザー] を選択します。
セキュリティタイプで[ディレクトリ]をクリックします。ユーザー名にActive Directoryに存在するユーザー名を入力し[ユーザーを確認]をクリックします。Active Directoryユーザーがルックアップされるので[保存]をクリックします。
Workspace ONE UEMコンソールで [アカウント] > [ユーザー] > [リスト表示]を選択します。
Active DirectoryユーザーがWorkspace ONE UEMのディレクトリユーザーとして追加されていること、またユーザー名をクリックしユーザー詳細などを確認します。
ここまでの作業で、Active DirectoryのユーザーをWorkspace ONE UEMのディレクトリユーザーとして追加しました。
ユーザーグループの追加
Active Directoryの組織ユニット(OU)またはセキュリティグループをWorkspace ONE UEMのユーザーグループとして追加します。
この連載では、Active DirectoryにHRおよびREWという組織グループ(OU)が存在し、それぞれにユーザーが位置していることを前提として作業を進めます。お手元の検証用Active Directoryの状態に合わせ、適宜読み替えてください。
Workspace ONE UEMコンソール トップページに戻ります。[アカウント] > [ユーザーグループ] > [リスト表示] を選択します。[追加] > [ユーザーグループを追加] を選択します。
タイプ: ディレクトリ
外部タイプ: 組織ユニット
テキスト検索: hr (ここでは既存のActive Directory OUを入力します)
[検索]をクリック
グループベースDNやグループ名がルックアップされるので[保存]をクリックします。
同様の手順でREWもユーザーグループとして追加します。
Active Directory Basic同期の確認
Workspace ONE Accessコンソールにログインします。[ID とアクセス管理] > [管理] > [ディレクトリ] を選択します。タイプ[他のディレクトリ]としてディレクトリが登録されていることを確認します。
ユーザーとグループを選択します。ディレクトリユーザーが追加されていること、またユーザー名をクリックしユーザー詳細などを確認します。
グループをクリックします。ユーザーグループが連携されていること、またユーザーグループ名をクリックし詳細などを確認します。
ここまでの作業で、Active DirectoryからWorkspace ONE UEMに追加されるディレクトリユーザーやユーザーグループを、Workspace ONE Accessにも連携しました。
Workspace ONE Accessでの認証ポリシーの構成
ディレクトリユーザーが、パスワードを用いてWorkspace ONE Accessにログインできるよう設定します。Workspace ONE UEMのウィザードでモバイルシングルサインオンを構成した際に、Workspace ONE Accessの認証ポリシーも自動構成されていますので、これを修正します。
Workspace ONE Accessコンソールにログインします。[IDとアクセス管理] > [セットアップ] > [VMware Workspace ONE UEM]を選択します。下方にスクロールし[Workspace ONE UEMを介したユーザーパスワード認証]で[有効]を選択し、[保存]をクリックします。
[IDとアクセス管理] > [管理] > [Built-In]を選択します。
[認証方法]セクションの[Workspace ONE UEMでのパスワード]にチェックを入れ、[保存]をクリックします。
[IDとアクセス管理] > [管理] > [ポリシー]を選択します。
[default_access_policy_set]をクリックします。[ポリシーの編集]ウィンドウが表示されます。[編集]をクリックします。
[2 構成]をクリックします。[デバイス タイプ: Windows 10]左の[ALL RANGES]をクリックします。
[ポリシー ルールの編集]ウィンドウが表示されます。[先の方法が失敗するか適用できない場合、次を実行]でドロップダウンメニューから[Workspace ONE UEMでのパスワード]を選択します。[保存]をクリックします。
[ポリシーの編集]ウィンドウに戻ります。[次へ]をクリックします。[保存]をクリックします。[3 サマリ]が表示されます。[保存]をクリックします。
今回の作業ではActive DirectoryのドメインユーザーをWorkspace ONE UEMのディレクトリユーザーとして追加しました。またActive Directoryの組織ユニット(OU)をWorkspace ONE UEMのユーザーグループとして追加しました。そしてWorkspace ONE UEMのディレクトリユーザーやユーザーグループをWorkspace ONE Accessに連携しました。
次回は、Workspace ONE UEMの特徴のひとつである階層構造を用いた管理を構成します。