hierarchy
デジタル ワークスペース Workspace ONE

Windows 10モダンマネジメントガイド 第4回 階層構造を用いた管理の構成

はじめに

この連載では、VMware Workspace ONEを用いてクラウドからWindows 10を管理、ゼロトラスト セキュリティを実現する「最新の管理(モダンマネジメント)」の体験をご紹介します。

前回の作業ではActive DirectoryユーザーをVMware Workspace ONE UEMおよびVMware Workspace ONE Accessへユーザーとして追加しました。

今回の作業ではWorkspace ONE UEMの特徴のひとつである階層構造を用いた管理を構成します。サブ組織グループを追加し、サブ組織グループに管理者アカウントを作成します。次にActive Directoryのドメインユーザーを一括してWorkspace ONE UEMへディレクトリユーザーとして追加します。最後に、加入ユーザーの所属ユーザーグループに基づいて、加入デバイスが適切な組織グループに配置されるよう構成します。

 

サブ組織グループの管理

Workspace ONE UEMの特徴のひとつが階層構造を用いた管理です。トップレベル組織グループの下にサブ組織グループを作り、ユーザーやデバイス、プロファイル、順守ポリシー、アプリなどのアイテムを配置します。

またサブ組織グループに管理者アカウントを作成しロール(役割)を割り当てることで、サブ組織グループ配下の各アイテムの管理を委任することができます。

 

組織グループ
https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/UEM_ConsoleBasics/GUID-AWT-OGOVERVIEW.html

hierarchy

 

サブ組織グループの作成

[グループと設定] > [グループ] > [組織グループ] > [詳細] を選択します。[サブ組織グループの追加]をクリックします。名前やグループIDは例示ですので、適宜お手元の環境に合わせて読み替え、設定ください。

[保存]をクリックします。

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

 

作成したサブ組織グループに遷移しますので画面上部の[組織グループ]タブをクリックし、トップレベル組織グループ[jpnawafw]を選択します。

[サブ組織グループの追加]をクリックします。

[保存]をクリックします。

 

画面上部の[組織グループ]タブをクリックし、トップレベル組織グループ[jpnawafw]をクリックします。

これ以降、ユーザーやグループ、デバイス、プロファイル、アプリ、順守ポリシーなどを追加する際には自分がどこの組織グループで作業しているかを意識ください。

グラフィカル ユーザー インターフェイス 自動的に生成された説明

 

ここまでの作業で、トップレベル組織グループの配下にサブ組織グループを作成しました。

ダイアグラム 自動的に生成された説明

管理者アカウントの追加

各サブ組織グループに管理者アカウントを追加します。サブ組織グループに配置された管理者アカウントは、自組織グループとその配下のデバイスなどのアイテムのみを管理することができます。並接する組織グループや上位の組織グループのアイテムは管理することができません。

グローバル企業において地域や国ごとにデバイス管理者を置くことで、組織全体のデバイス管理工数を最適化することができます。

管理者アカウント
https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/UEM_ConsoleBasics/GUID-AWT-ADMINACCOUNTS.html

 

画面上部[組織グループ] > [afw-hr] を選択します。[追加] > [管理者] を選択します。

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

 

ユーザー タイプ: ディレクトリ
ユーザー名: hr01 (既存のActive Directoryユーザーを入力します)
[ユーザーを確認]をクリックするとActive Directoryユーザーがルックアップされます。

[役割]タブをクリックします。

組織グループ: [jpnawafw / afw-hr]
役割: Device Manager

[保存]タブをクリックします。

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, Word 自動的に生成された説明

 

画面上部[組織グループ] > [afw-rew] を選択します。

[追加] > [管理者] を選択します。

ユーザー タイプ: ディレクトリ
ユーザー名: rew01 (既存のActive Directoryユーザーを入力します)

[ユーザーを確認]をクリックするとActive Directoryユーザーがルックアップされます。

[役割]タブをクリックします。

組織グループ: [jpnawafw / afw-rew]
役割: Device Manager

[保存]タブをクリックします。

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, Word 自動的に生成された説明

 

ここまでの作業により、各サブ組織グループに管理者アカウントを追加しました。

ダイアグラム 自動的に生成された説明

ディレクトリユーザーの一括追加

第3回の手順ではActive Directoryドメインユーザーを個々に追加していましたが、この作業ではActive Directory各OU内ドメインユーザーを一括追加します。ディレクトリユーザーはWorkspace ONE UEMにデバイス加入をする際の加入ユーザーアカウントとして利用されます。

画面上部[組織グループ] > [組織グループ: jpnawafw] を選択します。[アカウント] > [ユーザー グループ] > [リスト表示] を選択します。HRの左チェックボックスを入れ、[その他のアクション] > [不明ユーザーを追加] を選択します。

同様にREWのユーザーも追加します。

[アカウント] > [ユーザー] > [リスト表示] を選択します。オンプレミスActive Directoryの[HR]OUおよび[REW]OU内のドメインユーザーがWorkspace ONE UEMディレクトリユーザーとして追加されていることを確認します。

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール 自動的に生成された説明

グラフィカル ユーザー インターフェイス 自動的に生成された説明

 

この作業では、オンプレミスActive DirectoryのドメインユーザーをWorkspace ONE UEMへディレクトリユーザーとして追加しました。

これらの作業により追加されたhr01, rew01は、通常のユーザーとしてデバイスを加入することができるいっぽう、Workspace ONE UEMコンソールにDevice Administrator権限をもつ管理者としてログインすることもできます。

ダイアグラム 自動的に生成された説明

グループ ID 割り当てモードの構成

加入ユーザーの属するユーザーグループに基づいて、加入デバイスが適切な組織グループに配置されるよう構成します。

「グループ化」タブで加入オプションを設定する
https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/UEM_Managing_Devices/GUID-AWT-CONFIGUREENROLLMENTOPTIONSONGROUPINGTAB.html

 

画面上部[組織グループ] > [jpnawafw] を選択します。[グループと設定] > [構成] > [加入] を選択します。[グループ化]タブを選択します。現在の設定:[オーバーライド]を選択します。グループ ID 割り当てモード:[ユーザーグループに基づき自動選択]を選択します。[保存]をクリックします。

[グループの割り当てを編集]をクリックします。各グループ左の鉛筆アイコンをクリックし、組織グループの割り当てを変更します。

  • HR: afw-hr
  • REW: afw-rew

[保存]をクリックします。

テーブル 自動的に生成された説明

 

この設定により、

  • [HR] OU所属ユーザーの加入デバイスはサブ組織グループafw-hrに、
  • [REW] OU所属ユーザーの加入デバイスはサブ組織グループafw-rewに

それぞれ配置されるようになります。

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール 自動的に生成された説明

 

今回の作業ではWorkspace ONE UEMの特徴のひとつである階層構造を用いた管理を構成しました。サブ組織グループを追加し、サブ組織グループに管理者アカウントを作成しました。次にActive Directoryのドメインユーザーを一括してWorkspace ONE UEMへディレクトリユーザーとして追加しました。最後に、加入ユーザーの所属ユーザーグループに基づいて、加入デバイスが適切な組織グループに配置されるよう構成しました。

 

次回はいよいよWindows 10デバイスを加入し、クラウドからのモダンマネジメントを実践します。