Windows 10モダンマネジメントガイド 第6回 順守ポリシーの構成

はじめに

この連載では、VMware Workspace ONEを用いてクラウドからWindows 10を管理、ゼロトラスト セキュリティを実現する「最新の管理(モダンマネジメント)」の体験をご紹介します。

前回の作業ではWindows 10をVMware Workspace ONE UEMに加入しました。またBitLocker、Windows Defender、Windows Update、制限などの様々な構成をWindows 10へ配信しました。

今回の作業では順守ポリシーを構成し、エンドユーザーへの通知などを自動化します。また無効化されたファイアウォールの復旧アクションを自動化する順守プロファイルを作成、適用します。

 

順守ポリシー

順守ポリシーにより、管理者が定義したポリシーをすべてのデバイスが順守していることを保証します。ポリシーにはアンチウィルスやファイアウォールの状態、デバイス暗号化状態などがあります。
デバイスが非順守状態であると判断されると、順守違反を正すようユーザーにメッセージを送信します。それでも非順守状態が是正されない場合の対応措置を段階的に設定し、自動で実行することもできます。

順守ポリシー
https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/UEM_Managing_Devices/GUID-AWT-COMPLIANCEPOLICIESOVERVIEW.html

 

順守ポリシーの作成

この作業では、デバイスが順守すべき基本的なポリシーを作成します。デバイスのWindows Defender，BitLocker，Windows Defenderファイアウォールの状態の確認、およびWindows 10バージョン1909以上であることをチェックし、いずれかの状態が不良であれば順守違反となるよう構成します。

また自動化アクションでは順守違反デバイスのユーザーに対してEメールで通知を送り、改善されなければ3日後にVPNプロファイルなどをブロック、5日後には企業リソースに一切アクセスできないようワイプを実行するよう構成します。

Workspace ONE UEMコンソール トップページを表示します。

画面上部[組織グループ] > [jpnawafw] を選択します。[追加] > [順守ポリシー]を選択します。

 

Windowsを選択します。Windowsデスクトップを選択します。

1. ルール を構成します。

• 任意に合致する
• ウィルス対策ソフト: が次に該当しない: 良好
• 暗号化: 暗号化されていない
• ファイアウォール状態: が次に該当しない: 良好
• OSバージョン: 次の値以下: 10.0.18362 (※バージョン1903以下)

[次へ]をクリックします。

 

2. アクション を構成します。

[さらに強い対応措置を追加]をクリックします。

• 通知: Eメールをユーザーに送信

が追加されます。

[さらに強い対応措置を追加]をクリックし、次のように構成します。

• 次の日数後: 3日
• プロファイル: すべてのプロファイルをブロック

[さらに強い対応措置を追加]をクリックし、次のように構成します。

• 次の日数後: 5日
• コマンド: 企業情報ワイプ

[次へ]をクリックします。

 

3. 割り当て を構成します。

• スマート グループ: All Corporate Dedicated Devices

[次へ]をクリックします。

 

4. 概要を確認します。ポリシー名や説明を入力します。[完了してアクティブ化]をクリックします。

 

[デバイス] > [順守ポリシー] > [リスト表示]を選択します。順守ポリシーが追加されていることを確認します。

 

Workspace ONE UEMコンソール トップページに戻ります。

[デバイス] > [リスト表示] > 該当デバイスを選択します。加入済みのWindows 10がセキュリティポリシーを満たしている際には、順守違反のない旨の表示となります。

 

 

順守ポリシーで修復を自動化

この作業では、自動修復のための順守ポリシーおよび順守プロファイルを構成します。Windows 10デバイスのWindows Defenderファイアウォールの状態をチェックし、エンドユーザーによる無効化=状態不良であれば順守プロファイルをインストールすることで、Windows Defenderファイアウォールを有効化状態に復旧します。

 

順守プロファイルの作成

Workspace ONE UEMコンソール トップページを表示します。

画面上部[組織グループ] > [jpnawafw] を選択します。[追加] > [プロファイル] > [Windows] > [Windowsデスクトップ] > [デバイスプロファイル]を選択します。

全般ペイロード

ファイアウォールペイロード
Domain / Private / Public 各項目を以下のように設定

 

[保存して公開]をクリックします。

 

順守ポリシーの追加

Workspace ONE UEM コンソール トップページを表示します。

画面上部[組織グループ] > [jpnawafw] を選択します。[追加] > [順守ポリシー]を選択します。Windows を選択します。Windowsデスクトップを選択します。

1. ルール を構成します。

ファイアウォール状態: が次に該当しない: 良好

[次へ]をクリックします。

 

2. アクション を構成します。

プロファイル: 順守プロファイルをインストールする: Win-Firewall

[次へ]をクリックします。

 

3. 割り当て を構成します。

スマート グループ: All Corporate Dedicated Devices

[次へ]をクリックします。

 

4. 概要を確認します。[完了してアクティブ化]をクリックします。

 

[デバイス] > [順守ポリシー] > [リスト表示]を選択します。順守ポリシーが追加されていることを確認します。

 

 

Windows 10での動作確認

Windows 10で[ファイアウォールの状態の確認]を開きます。[Windows Defenderファイアウォールの有効化または無効化]をクリックします。

ドメイン/プライベート/パブリック各範囲の[Windows Defenderファイアウォールを無効化します (推奨されません)]を選択し、[OK]をクリックします。

 

Workspace ONE UEMコンソール トップページに戻ります。

[デバイス] > [リスト表示] > [該当デバイス]を選択します。コマンド[クエリ]をクリックし実行します。数分待ってブラウザをリロードすると順守違反状態に変化します。

 

5分ほど待つと順守ポリシーに従いアクションが実行されます。[Win-Firewall]順守プロファイルがインストールされ、Windows Defenderファイアウォールが有効化状態に戻ります。

 

 

今回の作業では順守ポリシーを構成しました。また順守プロファイルを作成し、無効化されたファイアウォールの復旧アクションを自動化しました。

 

次回はベースラインを構成します。