デジタル ワークスペース Workspace ONE

Windows 10モダンマネジメントガイド 第5回 Windows 10の加入とプロファイル配信

はじめに

この連載では、VMware Workspace ONEを用いてクラウドからWindows 10を管理、ゼロトラスト セキュリティを実現する「最新の管理(モダンマネジメント)」の体験をご紹介します。

前回の作業ではVMware Workspace ONE UEMの特徴のひとつである階層構造を用いた管理を構成しました。

今回の作業ではVMware Workspace ONE Intelligent Hubを用いてWindows 10をWorkspace ONE UEMに加入します。次にWindows デスクトップ プロファイルを追加し、BitLocker、Windows Defender、Windows Update、制限などの様々な構成をWindows 10へ配信します。

 

Windows 10の加入

Workspace ONE Intelligent Hubを用いてWindows 10をWorkspace ONE UEMに加入します。詳細は以下のドキュメントを参照ください。

VMware Workspace ONE Intelligent Hub を使用して加入させる
https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/Windows_Desktop_Device_Management/GUID-AWT-ENROLL-AGENTCONFIGWD.html

 

Intelligent Hub入手とインストール

Windows 10にドメインユーザーjpnawafw¥hr01でログインします。

jpnawafw¥hr01はログインしたWindows 10の管理者権限を有しているものとします。

Windows 10のウェブブラウザでhttps://getwsone.com/ にアクセスします。[Download Hub for Windows 10]をクリックしIntelligent Hubインストーラーをダウンロードします。https://getwsone.com/ はプラットフォームを問わず同一のURLでアクセスすることができます。iOSやAndroid, macOSなど、アクセスするプラットフォームに応じた最適なバージョンのIntelligent Hubをダウンロードすることができます。

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション 自動的に生成された説明

 

エクスプローラーでダウンロードフォルダーを開きます。インストーラー AirWatchAgent.msiをダブルクリックして実行します。ウィザードに従いインストールを完了します。

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, Word 自動的に生成された説明

 

Windows 10の加入

Intelligent Hubを用いてWindows 10をWorkspace ONE UEMに加入します。加入に用いる資格情報はActive Directoryのユーザー名とパスワードであるため、エンドユーザーが加入作業を行う際にも戸惑うことなく作業をスムースに行えます。加入時のURLはcn1109.awmdm.comではなくds1109.awmdm.comである点に留意ください。

グラフィカル ユーザー インターフェイス, アプリケーション, Web サイト 自動的に生成された説明

 

Workspace ONE Accessにリダイレクトされます。ドメインの選択をSystem Domainからディレクトリ名に切り替えます。[この設定を保存]にチェックを入れ[次へ]をクリックします。

ユーザー名およびパスワードを入力します。

 

ウィザードに従い加入作業を続行します。加入が完了します。

グラフィカル ユーザー インターフェイス, アプリケーション, Word 自動的に生成された説明

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

 

前回の作業で構成した[グループID割り当てモード]の構成により、[HR] OU所属ユーザーの加入デバイスはサブ組織グループafw-hrに配置されていることを確認します。

画面上部で[組織グループ] > [afw-hr]を選択します。先程加入したWindows 10がこのサブ組織グループに配置され、デバイス一覧に表示されることを確認します。

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール 自動的に生成された説明

 

画面上部[組織グループ] > [afw-rew]を選択します。デバイス一覧になにも表示されないことを確認します。デバイスはサブ組織グループafw-hrに配置されているためです。

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション 自動的に生成された説明

 

 

 

Windows デスクトップ プロファイル

プロファイルには、デバイスに適用する設定、構成、および制限などが含まれています。プロファイルあたり単一のペイロードを構成することを推奨します。Windowsデスクトッププロファイルは、ユーザーまたはデバイスのいずれかのレベルに適用されます。
プロファイルは順守ポリシーと組み合わせて、企業のルールと手順を実施するのに役立つ設定やルールと考えることができます。

Windows 用の Workspace ONE UEM プロファイル
https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/Windows_Desktop_Device_Management/GUID-AWT-PROFILE-OVERVIEWWD.html

 

Windows デスクトップ プロファイルの追加

Windows デスクトップ プロファイルを追加し、加入するデバイスに自動的に配信されるよう構成します。

Workspace ONE UEMコンソール トップページを表示します。画面上部[組織グループ] > [jpnawafw]を選択します。[追加] > [プロファイル] > [Windows] > [Windowsデスクトップ] > [デバイスプロファイル]を選択します。

全般ペイロード
テーブル 自動的に生成された説明

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

 

[暗号化] > [構成]をクリックします。

暗号化ペイロード
テーブル 自動的に生成された説明

 

[保存して公開]をクリックします。

モニター画面に映るウェブサイトのスクリーンショット 自動的に生成された説明 グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール 自動的に生成された説明

 

[公開]をクリックします。

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール, Web サイト 自動的に生成された説明

 

プロファイルは[全般]ペイロード(必須)および各ペイロード(=構成情報)を含むことができます。プロファイルには複数のペイロードを含めることができますが、なるべく1プロファイルにつき[全般]および1つのペイロードだけを含めるよう構成することを推奨します。

[デバイス] > [プロファイルとリソース] > [プロファイル]を選択します。Win-BitLockerプロファイルが追加されていることを確認します。

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール 自動的に生成された説明

 

加入済みWindows 10ではWin-BitLockerプロファイルが自動インストールされ、BitLocker暗号化が始まります。プロファイルでは[システムが常に暗号化されたままにする]を有効にしているため、プロファイル削除や加入解除後もBitLocker暗号化は有効なままです。

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション 自動的に生成された説明

 

デバイスは既定で6時間ごとに自身のデバイス情報(デバイスサンプルと呼びます)をUEMコンソールに送信します。

順守ポリシーエンジンは5分間隔で順守状態をチェックしますが、この時点ではまだWindows 10からデバイスサンプルが届いていないため、コンソールでは引き続き[BitLocker 保護: 進行中]や[デバイスは侵害されています][順守違反]等と表示されます。

コマンド[クエリ]を実行すると、該当デバイスに対しデバイスサンプルを要求することができます。[その他] > [トラブルシューティング] > [コマンド] を確認し、キュー済みや保留中のコマンドが無くなればデバイスサンプルの要求が完了しています。

5分ほど待ちブラウザをリロードすると順守違反が改善され[BitLocker 保護:オン]となっていることが確認できます。またリカバリキーも収集されているため、エンドユーザーデバイスでリカバリキーが必要になった際にもすぐに対応することができます。

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション 自動的に生成された説明

 

[デバイスは侵害されています]表示は該当デバイスを再起動し、少し待つことで解消します。既定ではデバイス正常性構成証明で[起動時のBitLocker状態が無効化済み]をチェックしているためです。[その他] > [デバイス正常性構成証明]で確認することができます。

 

デバイス正常性構成証明

[グループと設定] > [構成] > [Windows正常性構成証明]で、どの項目をチェックするかカスタマイズすることができます。

正常性構成証明による侵害デバイスの検出
https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/Windows_Desktop_Device_Management/GUID-AWT-HEALTHATTESTATION.html

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール 自動的に生成された説明

 

 

アンチウィルスプロファイルの追加

アンチウィルスプロファイルを追加し、加入デバイスに自動的に配信されるよう構成します。通常であればグループポリシーオブジェクト(GPO)でのみ管理可能な詳細項目も、Active Directoryドメイン参加の有無を問わずリモート設定・管理することができます。

画面上部[組織グループ]> [jpnawafw] を選択します。

[追加] > [プロファイル] > [Windows] > [Windowsデスクトップ] > [デバイスプロファイル]を選択します。

全般ペイロード
テーブル 自動的に生成された説明

 

[アンチウィルス] > [構成]をクリックします。

アンチウィルスペイロード
テーブル 自動的に生成された説明

 

[保存して公開]をクリックします。

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

 

[公開]をクリックします。

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール, Web サイト 自動的に生成された説明

 

[デバイス] > [プロファイルとリソース] > [プロファイル]を選択します。アンチウィルスプロファイルが追加されていることを確認します。

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール 自動的に生成された説明

 

 

Windows更新プログラムプロファイルの追加

Windows更新プログラムを追加し、デバイスのWindows Update設定をコントロールします。

画面上部[組織グループ]> [jpnawafw] を選択します。[追加] > [プロファイル] > [Windows] > [Windowsデスクトップ] > [デバイスプロファイル]を選択します。

全般ペイロード
テーブル 自動的に生成された説明

 

[Windows更新プログラム] > [構成]をクリックします。

Windows更新プログラムペイロード
テーブル 自動的に生成された説明

 

[保存して公開]をクリックします。[公開]をクリックします。

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

 

[デバイス] > [プロファイルとリソース] > [プロファイル]を選択します。Windows更新プログラムプロファイルが追加されていることを確認します。

Windows 10で[スタート] > [設定] > [更新とセキュリティ]を選択します。[一部の設定は組織によって管理されています]が表示され、Windows更新プログラムプロファイルによりWindows Update設定が管理されていることが確認できます。

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

 

Workspace ONE UEMでは、機能更新プログラムや品質更新プログラム適用タイミングの異なる[Windows更新プログラムプロファイル]を複数作成し、スマートグループを用いてグルーピングしたWindows 10デバイスに対し適用することで、企業に適したWindows Update展開リングを構成することが可能です。クラウドから管理するため、オンプレミスネットワークに依存する構成管理ツールの必要がなく、それらに接続するためのデバイスVPNも不要です。

グラフ 自動的に生成された説明

 

制限プロファイルの追加

制限プロファイルを追加し、Windows 10の望ましくない機能を制限します。

画面上部[組織グループ]> [jpnawafw] を選択します。[追加] > [プロファイル] > [Windows] > [Windowsデスクトップ] > [デバイスプロファイル]を選択します。

全般ペイロード
テーブル 自動的に生成された説明

 

[Windows更新プログラム] > [構成]をクリックします。

制限ペイロード

[保存して公開]をクリックします。[公開]をクリックします。

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

 

[デバイス] > [プロファイルとリソース] > [プロファイル]を選択します。制限プロファイルが追加されていることを確認します。

Windows 10で[スタート] > [設定] > [アカウント] > [職場または学校にアクセスする]を選択します。[Workspace ONE UEMに接続済み]の[切断]をクリックすると制限プロファイルにより、ユーザー操作のMDM加入解除がブロックされていることが確認できます。

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

 

今回の作業ではWorkspace ONE Intelligent Hubを用いてWindows 10をWorkspace ONE UEMに加入しました。またWindows デスクトップ プロファイルを追加し、BitLocker、Windows Defender、Windows Update、制限などの様々な構成をWindows 10へ配信しました。

 

次回は順守ポリシーを構成し、デバイスの状態に応じたアクションの自動化を設定します。