はじめに
この連載では、VMware Workspace ONEを用いてクラウドからWindows 10を管理、ゼロトラスト セキュリティを実現する「最新の管理(モダンマネジメント)」の体験をご紹介します。
前回の作業では今回の作業ではSAML連携ウェブアプリケーションへのシングルサインオンを構成しました。
今回の作業ではデバイス順守(デバイスコンプライアンス)を構成し、SAML連携ウェブアプリケーションの利用時にデバイスの順守状態をチェックします。デバイスが非順守状態の場合、SAML連携ウェブアプリの利用ができないことを確認します。
デバイスコンプライアンスの構成
今回の作業ではVMware Workspace ONE Accessで認証方法としてデバイス順守を有効化します。次にデバイス順守状態をチェックする新たなポリシーを作成し、セルフサービスポータルに適用します。最後にWindows 10を非順守状態とする順守ポリシーを構成し、セルフサービスポータルへアクセス拒否されることを確認します。
Enabling Compliance Checking for Workspace ONE UEM Managed Devices
https://docs.vmware.com/en/VMware-Workspace-ONE-Access/3.3/idm-administrator/GUID-EF834B6D-C3EC-48BA-B38D-1574F7E4B773.html
デバイス順守の有効化
Workspace ONE Access 管理コンソールにログインします。[IDとアクセス管理] > [セットアップ] > [VMware Workspace ONE UEM]を選択します。
下方にスクロールし、[コンプライアンスチェック]を有効化します。[保存]をクリックします。
[IDとアクセス管理] > [管理] > [認証方法] を選択します。[Workspace ONE UEMとのデバイス順守]が[有効]であることを確認します。
[IDとアクセス管理] > [管理] > [IDプロバイダ] を選択します。[Built-In]をクリックします。
[認証方法]の[Workspace ONE UEMとのデバイス順守]にチェックを入れます。下方にスクロールし[保存]をクリックします。
[IDとアクセス管理] > [管理] > [ポリシー] を選択します。[ポリシーを追加]をクリックします。
[1 定義]ではポリシー名および説明を入力します。[適用先]では[セルフサービスポータル]を選択します。
[次へ]をクリックします。
[2 構成]では[ポリシールールを追加]をクリックします。
以下のようにポリシールールを構成します。
[ユーザーは次を使用して認証することができます: 証明書 (クラウドデプロイ)]の右の⊕をクリックすると[および]が追加され、[Workspace ONE UEMとのデバイス順守]を選択することができます。
下方にスクロールし[高度なプロパティ]をクリックします。カスタムメッセージ欄に任意のメッセージを入力します。
(例)「Workspace ONEに加入しておらず管理されていない または デバイスが正しい状態にない(非順守状態)」
[保存]をクリックします。
[次へ]をクリックします。
[3 サマリ]では[保存]をクリックします。
留意点: 本番の運用環境では、セルフサービスポータルへのデバイスコンプライアンスポリシー適用は行いません。あくまで本演習での設定例とお考えください。
デバイスコンプライアンス動作確認
非順守状態のWindows 10でセルフサービスポータルの利用を試みます。
既存の順守ポリシーの無効化
Workspace ONE UEMコンソール トップページを表示します。画面上部[組織グループ]> [jpnawafw] を選択します。[デバイス] > [順守ポリシー] > [リスト表示] を選択します。
[セキュリティポリシー] 左の緑●をクリックし無効化します。
[ファイアウォール状態] 左の緑●をクリックし無効化します。
[状態]を[すべて]に変更し、既存の順守ポリシーが赤●となっていることを確認します。
一時的な順守ポリシーの作成
デバイスを[非順守]扱いにするための一時的な順守ポリシーを作成します。
画面上部[組織グループ]> [jpnawafw] を選択します。[追加] > [順守ポリシー]を選択します。Windowsを選択します。Windowsデスクトップを選択します。
[1. ルール] を構成します。
- OSバージョン: 次の値以下: 10.0.19042 (※バージョン20H2以下)
[次へ]をクリックします。
[2. アクション] は既定のまま変更せず[次へ]をクリックします。
[3. 割り当て] を構成します。
- スマート グループ: All Corporate Dedicated Devices
[次へ]をクリックします。
[4. 概要] は既定のまま変更せず[完了してアクティブ化]をクリックします。順守ポリシーが追加されていることを確認します。
[デバイス] > [リスト表示] を選択します。
加入済みのWindows 10が[非順守状態]となっていることを確認します。まだ[非順守状態]ではない場合、5分ほど待ってからブラウザをリロードします。
非順守状態のWindows 10でセルフサービスポータルを利用
Windows 10デバイスでVMware Workspace ONE Intelligent Hubを起動します。[セルフサービスポータル]をクリックします。
既定のウェブブラウザが起動しますが「アクセスは拒否されました」が表示され、セルフサービスポータルが利用できないこと、なぜアクセスが拒否されたか、エンドユーザーに分かりやすいエラーメッセージが表示されることを確認します。
順守ポリシーを元に戻す
デバイスを[非順守]扱いにするための一時的な順守ポリシーの、左の緑●をクリックし無効化します。
既存の順守ポリシーの、右の鉛筆アイコンをクリックします。[4 概要]を選択して[完了してアクティブ化]をクリックします。
Windows 10デバイスが[順守状態]であることを確認します。
Windows 10デバイスでHubアプリカタログのセルフサービスポータルをクリックします。デバイスが順守状態に戻れば正常にアクセスできることを確認します。
振り返り
今回の作業ではデバイス順守を構成し、SAML連携ウェブアプリケーションの利用時にデバイスの順守状態をチェックしました。デバイスが非順守状態の場合、SAML連携ウェブアプリの利用ができないことを確認しました。
まとめ
本連載で例示したように、Workspace ONE AccessとOffice 365やSalesforceなどの企業SaaSアプリケーションをSAML連携し、証明書認証とデバイスコンプライアンスを構成することで、
- Workspace ONEに加入している(管理されている)
- ユーザー証明書が配布されている
- 順守状態である
といった条件を満たすWindows 10デバイスだけが企業SaaSアプリケーションを安全に利用することができる、ゼロトラスト セキュリティを実現することができます。内勤職が利用する会社内のデスクトップPCから、営業職やフィールドエンジニアが外出先で利用するラップトップPCまで、すべての企業ユースケースに対応することができます。
本連載は以上となります。皆様のWindows 10管理をオンプレミス依存のレガシーPCLMから脱却させ、最新の管理(モダンマネジメント)へ移行する一助となれば幸いです。
