EUC Man

  前回、WS1 UEM加入時に同時にADドメイン参加も行うという内容をアップしましたが、その際「UEM加入時にドメイン参加も行うことはインターネット経由でできても、初回認証時にはどうしてもオンプレNWに接続する必要がある点は考慮が必要である」と記載しました。 今回は、Tunnel機能を利用して初回認証もインターネット経由で行うことにより行う、ということを実現してみたいと思います。 具体的には、AD認証を行う際に動作するプロセスの通信をTunnel経由とすることで、オンプレNWに接続することなくインターネットからADアカウントでログインする、という内容です。 前提としてWin10でTunnel機能が利用できる状態であることとします。 大まかな流れは以下の通りです。      1．デバイストラフィック規則設定      2．VPNプロファイル配信設定      3．ドメイン参加直後のPCでADアカウントでログイン 1．デバイストラフィック規則設定 以下のプロセスのトラフィックルールを設定します。 UEMの管理コンソールにログインし、グループと設定 > すべての設定 > システム > エンタープライズ統合 > VMware Tunnel に進みます。 「デバイス トラフィック規則」セクションの「編集」をクリックします。 「デフォルト」をクリックします。 「アプリケーションの管理」をクリックします。 [追加]をクリックします。 アプリケーションの追加画面で、前述の3つのプロセスを追加します。 　・System 　・lsass.exe 　・svchost.exe プラットフォーム:Windows フレンドリ名:任意の値 アプリタイプ:デスクトップアプリ アプリ識別子:アプリのフルパス [ルールを追加する]をクリック後、以下のルールを設定し、[保存して公開]をクリックします。 　-アプリケーション：System、lsass、svchost 　-アクション：TUNNEL 　-ターゲット：*.ad.domain,ad.domain 　　　　　　　 ※[ad.domain]の部分は実際のドメインに応じて変更 2．VPNプロファイル配信設定 VPNプロファイルについては「カスタム構成」以外は特別な部分はありません。 Win10用のデバイスプロファイルを作成しま

Workspace ONE UEMではWindows10デバイスを管理することができますが、オンプレ側の管理基盤としてActive Directoryを利用するケースも非常に多いと思います。 昨今ゼロタッチデプロイの仕組みも普及してきていると思いますが、オンプレADへの参加をしないといけない場合は一度社内NWに接続してドメイン参加させる、という工程を踏む必要があるケースも多く、なかなか完全な「ゼロタッチ」を成立させることが難しい部分もあるかと思います。 WS1 UEMではデバイスの加入時に同時にADに参加させるという機能が存在します。 いわゆるオフラインドメイン参加という仕組みを利用するのですが、実際にどのような動きになるのか見てみる意味もこめて、動作を確認してみました。 大まかな流れは以下の通りです。      1．UEMで「ドメイン参加」構成を有効化      2．ACCサービスの実行アカウントをADアカウントに変更      3．動作確認 1．UEMで「ドメイン参加」構成を有効化 UEMの「構成」ページで「ドメイン参加」をクリックします。 ドメイン参加構成の一覧が表示されるので「追加」をクリックします。 各種設定を入力し、「保存して割り当て」をクリックします。 【補足】 「マシン名の形式」ですが、この構成を利用してドメイン参加したマシンは ここで指定した値に基づいてドメイン参加時にホスト名が更新 されます。画像の例だと、「 ランダムな9文字の文字列 」でホスト名が自動的に設定されることとなります。 割り当ての各種設定を入力していきます。 「組織ユニット」は文字列を入力すると、ADに対して検索が実行され、該当するOUが候補として表示されるため、選択します。「割り当てグループ」はこの構成を割り当てる対象のUEM上のスマートグループを選択します。 設定ができたら「作成」をクリックします。 設定内容を確認し、「保存」をクリックします。 2．ACCサービスの実行アカウントをADアカウントに変更 WS1 UEMによるドメイン参加を利用するためには、ACCサービスの実行アカウントをADアカウントにする必要があります。これはACCサービスがAD上にコンピュータアカウントを作成するためです。 細かく言うと必要な最小限の権限があるのですが、ここでは動作確認のためDomain Ad

  Workspace ONE Accessのログイン時の認証として、組み込みのMFA認証がいくつかあります。その一つにVerify(Intelligent Hub)認証と言う認証方法があり、Workspace ONE UEMで管理されているデバイスに認証通知を送信することでMFAを実現することができます。 昔から存在していたVMware Verifyと名前が似ていますが（というかカッコ部分を除けば同じですが...）、VMware Verifyとどう違うのか、どのような使い勝手かも含めて体感してみるために検証してみました。 大まかな流れは以下の通りです。      1．Verify(Intelligent Hub)認証の有効化      2．認証ポリシーにVerify(Intelligent Hub)認証を追加      3．動作確認（Verify(Intelligent Hub)認証でログイン）     Appendix． UEMに加入しているデバイスを持っていないユーザでログイン 1．Verify(Intelligent Hub)認証の有効化 WS1 Accessの管理コンソールにログインし、[IDとアクセス管理]>[認証方法]をクリック後、[Verify (Intelligent Hub)]の編集ボタンをクリックします。 [Verify(Intelligent Hub)を有効にする]にチェックを入れ、[保存]をクリックします。 [IDとアクセス管理]>[IDプロバイダ]をクリックし、組み込みIDPで[Verify(Intelligent Hub)]を有効化します。 2．認証ポリシーにVerify(Intelligent Hub)認証を追加 次は、Verify(Intelligent Hub)認証用のポリシーを設定します。 [IDとアクセス管理]>[ポリシー]をクリック後、デフォルトアクセスポリシーを編集します。 以下の設定にして保存します。 ユーザーは次からコンテンツにアクセスしています：Webブラウザ ユーザーは次を使用して認証することができます：何らかの認証方法（パスワードなど） および：Verify(Intelligent Hub) 【補足】 1要素目の認証方法を設定しないと認証方法のプルダウンにVerify(Intelligent H

以前、Mobile Flowsを利用してServiceNowと連携することによりServiceNowのワークフローをIntelligent Hubで処理するという内容をポストしましたが、今回はMS Plannerと連携するという検証を行ってみました。 MS Plannerはタスク管理なんかを行うことができるツールですが、Mobile FlowによりWS1と連携することで、Planner上で割り当てられたタスクの割り当て通知やタスクの完了としてマーク、コメントの実施などがHub上でできるようになる、という具合です。 ざっくりの流れは以下の通りです。     1．Azure ADで連携用のアプリを登録     2．WS1 UEMでMobile Flows OOTBコネクターを設定     3．動作確認          3.1．Intelligent Hubで通知を有効化          3.2．Plannerでタスクをユーザに割り当て          3.3．Intellligent Hubで通知を確認・タスクを承認 1．Azure ADで連携用のアプリを登録 AzureADの管理コンソールにアクセスし、左ペインから[アプリの登録]をクリックします。 「新規登録」をクリックします。 以下のように設定して保存します。 作成後、左ペインから[認証]をクリックして以下の通り設定を変更後、[保存]をクリックします。 -暗黙の付与 　-アクセストークン：チェックを入れる 　-IDトークン           ：チェックを入れる -既定のクライアントの種類：はい 次に、左ペインから「証明書とシークレット」をクリックし、「新しいクライアント シークレット」をクリックします。 「説明」は適当に入力後、「有効期限」を「なし」に設定し、「追加」をクリックします。 「クライアントシークレット」に値が生成されるので、「クリップボードにコピー」ボタンをクリックして控えておきます。 次に、左ペインから「APIのアクセス許可」をクリック後、「アクセス許可の追加」をクリックします。 API一覧の中から「Microsoft Graph」をクリックします。 「委任されたアクセス許可」をクリックすると検索ボックスが表示されるため、以下の値をそれぞれ入力し、左のチェックボックスにチェックを入れます。 す