はじめに
この連載では、VMware Workspace ONEを用いてクラウドからWindows 10を管理、ゼロトラスト セキュリティを実現する「最新の管理(モダンマネジメント)」の体験をご紹介します。
前回の作業ではVMware Workspace ONE UEMの特徴のひとつである階層構造を用いた管理を構成しました。
今回の作業ではVMware Workspace ONE Intelligent Hubを用いてWindows 10をWorkspace ONE UEMに加入します。次にWindows デスクトップ プロファイルを追加し、BitLocker、Windows Defender、Windows Update、制限などの様々な構成をWindows 10へ配信します。
Windows 10の加入
Workspace ONE Intelligent Hubを用いてWindows 10をWorkspace ONE UEMに加入します。詳細は以下のドキュメントを参照ください。
VMware Workspace ONE Intelligent Hub を使用して加入させる
https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/Windows_Desktop_Device_Management/GUID-AWT-ENROLL-AGENTCONFIGWD.html
Intelligent Hub入手とインストール
Windows 10にドメインユーザーjpnawafw¥hr01でログインします。
jpnawafw¥hr01はログインしたWindows 10の管理者権限を有しているものとします。
Windows 10のウェブブラウザでhttps://getwsone.com/ にアクセスします。[Download Hub for Windows 10]をクリックしIntelligent Hubインストーラーをダウンロードします。https://getwsone.com/ はプラットフォームを問わず同一のURLでアクセスすることができます。iOSやAndroid, macOSなど、アクセスするプラットフォームに応じた最適なバージョンのIntelligent Hubをダウンロードすることができます。
エクスプローラーでダウンロードフォルダーを開きます。インストーラー AirWatchAgent.msiをダブルクリックして実行します。ウィザードに従いインストールを完了します。
Windows 10の加入
Intelligent Hubを用いてWindows 10をWorkspace ONE UEMに加入します。加入に用いる資格情報はActive Directoryのユーザー名とパスワードであるため、エンドユーザーが加入作業を行う際にも戸惑うことなく作業をスムースに行えます。加入時のURLはcn1109.awmdm.comではなくds1109.awmdm.comである点に留意ください。
Workspace ONE Accessにリダイレクトされます。ドメインの選択をSystem Domainからディレクトリ名に切り替えます。[この設定を保存]にチェックを入れ[次へ]をクリックします。
ユーザー名およびパスワードを入力します。
ウィザードに従い加入作業を続行します。加入が完了します。
前回の作業で構成した[グループID割り当てモード]の構成により、[HR] OU所属ユーザーの加入デバイスはサブ組織グループafw-hrに配置されていることを確認します。
画面上部で[組織グループ] > [afw-hr]を選択します。先程加入したWindows 10がこのサブ組織グループに配置され、デバイス一覧に表示されることを確認します。
画面上部[組織グループ] > [afw-rew]を選択します。デバイス一覧になにも表示されないことを確認します。デバイスはサブ組織グループafw-hrに配置されているためです。
Windows デスクトップ プロファイル
プロファイルには、デバイスに適用する設定、構成、および制限などが含まれています。プロファイルあたり単一のペイロードを構成することを推奨します。Windowsデスクトッププロファイルは、ユーザーまたはデバイスのいずれかのレベルに適用されます。
プロファイルは順守ポリシーと組み合わせて、企業のルールと手順を実施するのに役立つ設定やルールと考えることができます。
Windows 用の Workspace ONE UEM プロファイル
https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/Windows_Desktop_Device_Management/GUID-AWT-PROFILE-OVERVIEWWD.html
Windows デスクトップ プロファイルの追加
Windows デスクトップ プロファイルを追加し、加入するデバイスに自動的に配信されるよう構成します。
Workspace ONE UEMコンソール トップページを表示します。画面上部[組織グループ] > [jpnawafw]を選択します。[追加] > [プロファイル] > [Windows] > [Windowsデスクトップ] > [デバイスプロファイル]を選択します。
全般ペイロード
[暗号化] > [構成]をクリックします。
暗号化ペイロード
[保存して公開]をクリックします。
[公開]をクリックします。
プロファイルは[全般]ペイロード(必須)および各ペイロード(=構成情報)を含むことができます。プロファイルには複数のペイロードを含めることができますが、なるべく1プロファイルにつき[全般]および1つのペイロードだけを含めるよう構成することを推奨します。
[デバイス] > [プロファイルとリソース] > [プロファイル]を選択します。Win-BitLockerプロファイルが追加されていることを確認します。
加入済みWindows 10ではWin-BitLockerプロファイルが自動インストールされ、BitLocker暗号化が始まります。プロファイルでは[システムが常に暗号化されたままにする]を有効にしているため、プロファイル削除や加入解除後もBitLocker暗号化は有効なままです。
デバイスは既定で6時間ごとに自身のデバイス情報(デバイスサンプルと呼びます)をUEMコンソールに送信します。
順守ポリシーエンジンは5分間隔で順守状態をチェックしますが、この時点ではまだWindows 10からデバイスサンプルが届いていないため、コンソールでは引き続き[BitLocker 保護: 進行中]や[デバイスは侵害されています][順守違反]等と表示されます。
コマンド[クエリ]を実行すると、該当デバイスに対しデバイスサンプルを要求することができます。[その他] > [トラブルシューティング] > [コマンド] を確認し、キュー済みや保留中のコマンドが無くなればデバイスサンプルの要求が完了しています。
5分ほど待ちブラウザをリロードすると順守違反が改善され[BitLocker 保護:オン]となっていることが確認できます。またリカバリキーも収集されているため、エンドユーザーデバイスでリカバリキーが必要になった際にもすぐに対応することができます。
[デバイスは侵害されています]表示は該当デバイスを再起動し、少し待つことで解消します。既定ではデバイス正常性構成証明で[起動時のBitLocker状態が無効化済み]をチェックしているためです。[その他] > [デバイス正常性構成証明]で確認することができます。
デバイス正常性構成証明
[グループと設定] > [構成] > [Windows正常性構成証明]で、どの項目をチェックするかカスタマイズすることができます。
正常性構成証明による侵害デバイスの検出
https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/Windows_Desktop_Device_Management/GUID-AWT-HEALTHATTESTATION.html
アンチウィルスプロファイルの追加
アンチウィルスプロファイルを追加し、加入デバイスに自動的に配信されるよう構成します。通常であればグループポリシーオブジェクト(GPO)でのみ管理可能な詳細項目も、Active Directoryドメイン参加の有無を問わずリモート設定・管理することができます。
画面上部[組織グループ]> [jpnawafw] を選択します。
[追加] > [プロファイル] > [Windows] > [Windowsデスクトップ] > [デバイスプロファイル]を選択します。
全般ペイロード
[アンチウィルス] > [構成]をクリックします。
アンチウィルスペイロード
[保存して公開]をクリックします。
[公開]をクリックします。
[デバイス] > [プロファイルとリソース] > [プロファイル]を選択します。アンチウィルスプロファイルが追加されていることを確認します。
Windows更新プログラムプロファイルの追加
Windows更新プログラムを追加し、デバイスのWindows Update設定をコントロールします。
画面上部[組織グループ]> [jpnawafw] を選択します。[追加] > [プロファイル] > [Windows] > [Windowsデスクトップ] > [デバイスプロファイル]を選択します。
全般ペイロード
[Windows更新プログラム] > [構成]をクリックします。
Windows更新プログラムペイロード
[保存して公開]をクリックします。[公開]をクリックします。
[デバイス] > [プロファイルとリソース] > [プロファイル]を選択します。Windows更新プログラムプロファイルが追加されていることを確認します。
Windows 10で[スタート] > [設定] > [更新とセキュリティ]を選択します。[一部の設定は組織によって管理されています]が表示され、Windows更新プログラムプロファイルによりWindows Update設定が管理されていることが確認できます。
Workspace ONE UEMでは、機能更新プログラムや品質更新プログラム適用タイミングの異なる[Windows更新プログラムプロファイル]を複数作成し、スマートグループを用いてグルーピングしたWindows 10デバイスに対し適用することで、企業に適したWindows Update展開リングを構成することが可能です。クラウドから管理するため、オンプレミスネットワークに依存する構成管理ツールの必要がなく、それらに接続するためのデバイスVPNも不要です。
制限プロファイルの追加
制限プロファイルを追加し、Windows 10の望ましくない機能を制限します。
画面上部[組織グループ]> [jpnawafw] を選択します。[追加] > [プロファイル] > [Windows] > [Windowsデスクトップ] > [デバイスプロファイル]を選択します。
全般ペイロード
[Windows更新プログラム] > [構成]をクリックします。
制限ペイロード
[保存して公開]をクリックします。[公開]をクリックします。
[デバイス] > [プロファイルとリソース] > [プロファイル]を選択します。制限プロファイルが追加されていることを確認します。
Windows 10で[スタート] > [設定] > [アカウント] > [職場または学校にアクセスする]を選択します。[Workspace ONE UEMに接続済み]の[切断]をクリックすると制限プロファイルにより、ユーザー操作のMDM加入解除がブロックされていることが確認できます。
今回の作業ではWorkspace ONE Intelligent Hubを用いてWindows 10をWorkspace ONE UEMに加入しました。またWindows デスクトップ プロファイルを追加し、BitLocker、Windows Defender、Windows Update、制限などの様々な構成をWindows 10へ配信しました。
次回は順守ポリシーを構成し、デバイスの状態に応じたアクションの自動化を設定します。