はじめに
この連載では、VMware Workspace ONEを用いてクラウドからWindows 10を管理、ゼロトラスト セキュリティを実現する「最新の管理(モダンマネジメント)」の体験をご紹介します。
前回の作業ではActive DirectoryユーザーをVMware Workspace ONE UEMおよびVMware Workspace ONE Accessへユーザーとして追加しました。
今回の作業ではWorkspace ONE UEMの特徴のひとつである階層構造を用いた管理を構成します。サブ組織グループを追加し、サブ組織グループに管理者アカウントを作成します。次にActive Directoryのドメインユーザーを一括してWorkspace ONE UEMへディレクトリユーザーとして追加します。最後に、加入ユーザーの所属ユーザーグループに基づいて、加入デバイスが適切な組織グループに配置されるよう構成します。
サブ組織グループの管理
Workspace ONE UEMの特徴のひとつが階層構造を用いた管理です。トップレベル組織グループの下にサブ組織グループを作り、ユーザーやデバイス、プロファイル、順守ポリシー、アプリなどのアイテムを配置します。
またサブ組織グループに管理者アカウントを作成しロール(役割)を割り当てることで、サブ組織グループ配下の各アイテムの管理を委任することができます。
サブ組織グループの作成
[グループと設定] > [グループ] > [組織グループ] > [詳細] を選択します。[サブ組織グループの追加]をクリックします。名前やグループIDは例示ですので、適宜お手元の環境に合わせて読み替え、設定ください。
[保存]をクリックします。
作成したサブ組織グループに遷移しますので画面上部の[組織グループ]タブをクリックし、トップレベル組織グループ[jpnawafw]を選択します。
[サブ組織グループの追加]をクリックします。
[保存]をクリックします。
画面上部の[組織グループ]タブをクリックし、トップレベル組織グループ[jpnawafw]をクリックします。
これ以降、ユーザーやグループ、デバイス、プロファイル、アプリ、順守ポリシーなどを追加する際には自分がどこの組織グループで作業しているかを意識ください。
ここまでの作業で、トップレベル組織グループの配下にサブ組織グループを作成しました。
管理者アカウントの追加
各サブ組織グループに管理者アカウントを追加します。サブ組織グループに配置された管理者アカウントは、自組織グループとその配下のデバイスなどのアイテムのみを管理することができます。並接する組織グループや上位の組織グループのアイテムは管理することができません。
グローバル企業において地域や国ごとにデバイス管理者を置くことで、組織全体のデバイス管理工数を最適化することができます。
画面上部[組織グループ] > [afw-hr] を選択します。[追加] > [管理者] を選択します。
ユーザー タイプ: ディレクトリ
ユーザー名: hr01 (既存のActive Directoryユーザーを入力します)
[ユーザーを確認]をクリックするとActive Directoryユーザーがルックアップされます。
[役割]タブをクリックします。
組織グループ: [jpnawafw / afw-hr]
役割: Device Manager
[保存]タブをクリックします。
画面上部[組織グループ] > [afw-rew] を選択します。
[追加] > [管理者] を選択します。
ユーザー タイプ: ディレクトリ
ユーザー名: rew01 (既存のActive Directoryユーザーを入力します)
[ユーザーを確認]をクリックするとActive Directoryユーザーがルックアップされます。
[役割]タブをクリックします。
組織グループ: [jpnawafw / afw-rew]
役割: Device Manager
[保存]タブをクリックします。
ここまでの作業により、各サブ組織グループに管理者アカウントを追加しました。
ディレクトリユーザーの一括追加
第3回の手順ではActive Directoryドメインユーザーを個々に追加していましたが、この作業ではActive Directory各OU内ドメインユーザーを一括追加します。ディレクトリユーザーはWorkspace ONE UEMにデバイス加入をする際の加入ユーザーアカウントとして利用されます。
画面上部[組織グループ] > [組織グループ: jpnawafw] を選択します。[アカウント] > [ユーザー グループ] > [リスト表示] を選択します。HRの左チェックボックスを入れ、[その他のアクション] > [不明ユーザーを追加] を選択します。
同様にREWのユーザーも追加します。
[アカウント] > [ユーザー] > [リスト表示] を選択します。オンプレミスActive Directoryの[HR]OUおよび[REW]OU内のドメインユーザーがWorkspace ONE UEMディレクトリユーザーとして追加されていることを確認します。
この作業では、オンプレミスActive DirectoryのドメインユーザーをWorkspace ONE UEMへディレクトリユーザーとして追加しました。
これらの作業により追加されたhr01, rew01は、通常のユーザーとしてデバイスを加入することができるいっぽう、Workspace ONE UEMコンソールにDevice Administrator権限をもつ管理者としてログインすることもできます。
グループ ID 割り当てモードの構成
加入ユーザーの属するユーザーグループに基づいて、加入デバイスが適切な組織グループに配置されるよう構成します。
「グループ化」タブで加入オプションを設定する
https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/UEM_Managing_Devices/GUID-AWT-CONFIGUREENROLLMENTOPTIONSONGROUPINGTAB.html
画面上部[組織グループ] > [jpnawafw] を選択します。[グループと設定] > [構成] > [加入] を選択します。[グループ化]タブを選択します。現在の設定:[オーバーライド]を選択します。グループ ID 割り当てモード:[ユーザーグループに基づき自動選択]を選択します。[保存]をクリックします。
[グループの割り当てを編集]をクリックします。各グループ左の鉛筆アイコンをクリックし、組織グループの割り当てを変更します。
- HR: afw-hr
- REW: afw-rew
[保存]をクリックします。
この設定により、
- [HR] OU所属ユーザーの加入デバイスはサブ組織グループafw-hrに、
- [REW] OU所属ユーザーの加入デバイスはサブ組織グループafw-rewに
それぞれ配置されるようになります。
今回の作業ではWorkspace ONE UEMの特徴のひとつである階層構造を用いた管理を構成しました。サブ組織グループを追加し、サブ組織グループに管理者アカウントを作成しました。次にActive Directoryのドメインユーザーを一括してWorkspace ONE UEMへディレクトリユーザーとして追加しました。最後に、加入ユーザーの所属ユーザーグループに基づいて、加入デバイスが適切な組織グループに配置されるよう構成しました。
次回はいよいよWindows 10デバイスを加入し、クラウドからのモダンマネジメントを実践します。