はじめに
この連載では、VMware Workspace ONEを用いてクラウドからWindows 10を管理、ゼロトラスト セキュリティを実現する「最新の管理(モダンマネジメント)」の体験をご紹介します。
この連載を実践することで、以下を体験することができます。
- VMware Workspace ONEとオンプレミスActive Directoryを連携
- 階層構造を用いたデバイス管理
- Windows 10を加入
- 構成プロファイルを配信し様々な設定をリモート構成
- 順守ポリシーでデバイス状態をチェック
- 順守ポリシーで非順守デバイスの復旧アクションを自動化
- ベースラインで企業デバイスのセキュリティを強化
- Win32 アプリケーションを配信
- SAML対応ウェブアプリケーションへシングルサインオン
- 証明書認証およびデバイスコンプライアンスを構成
- アプリケーション単位のトンネル Per-App VPN
デジタルワークスペースプラットフォーム VMware Workspace ONE のご紹介
昨今の社会情勢により、企業は”New Normal”な働き方への移行が求められています。出社を前提とした働き方、コミュニケーション、評価などの旧来の組織から、テレワーク/リモートワークを前提とした分散された業務環境を実現する、物理的に制限のない組織への移行が必要となっています。
VMware Workspace ONEは場所を問わずクラウドからWindows 10を管理、ゼロトラストセキュリティでデバイスやアプリをセキュアに保ちエンドユーザーの生産性を向上させる、デジタルワークスペースプラットフォームです。最新のエンドユーザー・コンピューティングに必要なすべてのものをまとめて提供し、ゼロトラスト・セキュリティ・モデルを実現するのに十分なサービスセットを提供します。
ユーザーが状況に応じて様々なデバイスを使い分けて業務を遂行する現在、デバイスプラットフォーム毎のばらばらな管理ソリューションではなく、ユーザーを基点としてユーザーが利用する複数種類のデバイスを同一プラットフォームで管理できる、VMware Workspace ONEの利用が最適です。
VMware Workspace ONEは、VMware Workspace ONE UEMによる統合エンドポイント管理、VMware Workspace ONE Accessによるアプリケーションアクセス管理、Workspace ONE BoxerやWorkspace ONE Webなどのモバイルプロダクティビティアプリ群、そしてデジタルワークスペース全体における統合されたインサイト、アプリケーションの分析、オートメーションを実現するVMware Workspace ONE Intelligenceにより構成される、従業員の利用体験を最適化するインテリジェンス ベースのデジタルワークスペース プラットフォームです。
VMware Workspace ONEはモバイル化が進む最新の環境に合わせて、最新のデスクトップ管理によりWindows 10のライフサイクル管理を最適化します。
概要
今回の作業ではWorkspace ONEの要件を確認し、フリートライアル版の申込みを行います。送付されるアクティベーションメールの情報を用いてWorkspace ONE UEMおよびWorkspace ONE Accessコンソールにログインします。
前提条件
この連載を実践する前に、以下の要件を満たす必要があります。
- クラウドWorkspace ONE Access テナント
- クラウドWorkspace ONE UEM テナント
※ Workspace ONE無償評価版のほか、弊社パートナー様経由で入手いただけるVMware Testdrive Sandbox環境もご利用いただけます - オンプレミスActive Directory
- AirWatch Cloud Connectorインストール用 Windows Serverマシン
- Windows 10マシン (加入用)
- ————————————————————————————–
- Workspace ONE UEM 管理者アカウント
- Workspace ONE Access管理者アカウント
- オンプレミスActive Directory管理者アカウント
- Windows Serverマシン管理者アカウント
- Windows 10マシン管理者アカウント
- Active Directoryドメインユーザーが「姓、名、電子メール」属性を持つ
お使いの環境がネットワーク要件を満たしていることを確認します。
URLは貴社のお手元の環境にあわせ、読み替えてください。
{tenant} にはフリートライアルにより割り当てられたテナント名が入ります。
(例) https://m766683443.vmwareidentity.asia
本連載の作業において、AirWatch Cloud ConnectorをインストールするWindows ServerはActive Directoryドメイン参加していなくても構いませんが、Active Directoryドメイン名やドメインコントローラー名を名前解決できる必要があります。
本ドキュメントにおけるWorkspace ONE要件
Active Directoryドメイン機能レベル
- Windows Server 2008, 2012, 2016
本連載用の検証用Active Directoryをご用意、ご利用ください。現運用環境のものは推奨いたしません。
詳細は以下のドキュメントを参照ください。
Introduction to Integrating Workspace ONE UEM with your Directory Services
https://docs.vmware.com/en/VMware-Workspace-ONE-UEM/services/Directory_Service_Integration/GUID-AWT-DIRECTORYSERVICESOVERVIEW.html
最新バージョンのウェブブラウザ
- Internet Explorer 11 for Windows
- Microsoft Edge for Windows
- Google Chrome for Windows/macOS
- Mozilla Firefox for Windows/macOS
- Safari for macOS
詳細は以下のドキュメントを参照ください。
Console Basics
https://docs.vmware.com/en/VMware-Workspace-ONE-UEM/services/UEM_ConsoleBasics/GUID-AWT-ADMINCONSOLEOVERVIEW.html
AirWatch Cloud Connector をインストールするWindows Server要件
- 2CPUコア, 4GB RAM, 50GB空きディスク容量を持つ物理/仮想マシン
- 英語版Windows Server 2008 R2 SP1, 2012 R2, 2016, 2019 with Desktop Experience
- .NET Framework 4.8
- AirWatch Cloud Connectorは英語版Windows OS上で動作するよう設計されています
詳細は以下のドキュメントを参照ください。
VMware AirWatch Cloud Connector System Requirements (On Premises and SaaS)
https://docs.vmware.com/en/VMware-Workspace-ONE-UEM/services/AirWatch_Cloud_Connector/GUID-AWT-ACC-REQSONPREM.html
本連載におけるWindows 10要件
- Trusted Platform Module (TPM)搭載の物理/仮想マシン
- UEFIセキュアブート有効化
- Windows 10 OS Professional / Enterprise バージョン1909以上
- .NET Framework 4.6.2以上
- Active Directoryドメイン参加済み
- Active Directoryドメインユーザーでログインしている
- ログインユーザーはWindows 10管理者権限を有している
詳細は以下のドキュメントを参照ください。
サポートされている Windows 10 のバージョン
https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/Windows_Desktop_Device_Management/GUID-AWT-WD-SUPPORTEDDEVICES.html
Workspace ONE フリートライアルの申し込み
VMware IT価値創造塾に掲載の「Workspace ONE フリートライアル 申込方法・ 注意事項など」を参考に、Workspace ONE フリートライアルを申し込みます。
お客様の事業継続ニーズを支援するために、ヴイエムウェアはWorkspace ONEの無料トライアルを最大90日間、最大100台に拡大しています。2021年2月1日までのお申し込みに適用されます (ご好評のうちに終了いたしました)。
Workspace ONE フリートライアル申し込みに用いたメールアドレスに、アクティベーションメールが送信されますのでご確認ください。
Workspace ONE Accessコンソールの起動
アクティベーションメール[VMware AirWatch Cloud is now active]内の[ACTIVATE]リンクをクリックして移動します。
ウェブブラウザが起動しWorkspace ONE Accessのパスワード設定画面が表示されます。管理者アカウントのパスワードを設定します。[ログインページに移動します]をクリックします。
通知メール内に記載されたUsernameおよび、先ほど設定したパスワードでログインします。
[ご使用条件]が表示されます。[承認]をクリックします。
Workspace ONE Accessユーザーポータルが表示されます。右上のアイコンをクリックし[管理コンソール]を選択します。
Workspace ONE AccessのTenant Adminコンソールが表示されます。
.NET Framework 4.8のインストール
AirWatch Cloud ConnectorをインストールするWindows Serverに管理者アカウントでログインします。.NET Framework 4.8をインストールします。必要に応じて再起動したのち、作業を続行します。
Workspace ONE UEM コンソールの起動
ここからの作業はAirWatch Cloud ConnectorをインストールするWindows Server上で行います。
ウェブブラウザを起動しWorkspace ONE UEM コンソールhttps://cn1109.awmdm.comに移動します。アクティベーションメールで受け取った資格情報を使用してログインします。
ライセンス契約に同意します。
パスワード回復用の質問の設定、およびセキュリティ暗証番号を設定します。
セキュリティ暗証番号の4桁のPINは、Workspace ONE UEM コンソールでデバイスやユーザーの削除など特定の管理操作を行う際に、誤って直ちに実行されないよう操作を保護するものです。
コンソールの日本語化
Workspace ONE UEMコンソールが表示されます。右上の管理者アカウント右の▼をクリックし[Manage Account Settings]を選択します。
[Time Zone]を[GMT+9:00 Osaka, Sapporo, Tokyo]に変更します。
[Locale]を[Japanese]に変更します。
[SAVE]をクリックします。
トップレベル組織グループの詳細設定
Workspace ONE UEM コンソールで[グループと設定] > [グループ] > [組織グループ] > [詳細]と選択します。以下のように設定します。名前やグループIDは任意のものを設定します。長すぎず、一意であるものが推奨されます。
[保存]をクリックします。
グループIDの取得
Workspace ONE UEMコンソールからグループIDを取得します。グループIDは、デバイスの登録時に必要です。
Workspace ONE UEM コンソールでグループIDを見つけるには、先の[組織グループ] > [詳細]で見ることができます。または画面上部の[組織グループ]タブにマウスを合わせます。グループIDは、[組織グループ] ポップアップの下部に表示されます。
今回の作業ではWorkspace ONEの要件を確認し、フリートライアル版の申込みを行いました。またWorkspace ONE UEMコンソールおよびWorkspace ONE Accessコンソールへのログインを確認しました。
次回はウィザードを用いてオンプレミスActive Directoryとの連携を行います。