前回、WS1 UEM加入時に同時にADドメイン参加も行うという内容をアップしましたが、その際「UEM加入時にドメイン参加も行うことはインターネット経由でできても、初回認証時にはどうしてもオンプレNWに接続する必要がある点は考慮が必要である」と記載しました。 今回は、Tunnel機能を利用して初回認証もインターネット経由で行うことにより行う、ということを実現してみたいと思います。 具体的には、AD認証を行う際に動作するプロセスの通信をTunnel経由とすることで、オンプレNWに接続することなくインターネットからADアカウントでログインする、という内容です。 前提としてWin10でTunnel機能が利用できる状態であることとします。 大まかな流れは以下の通りです。 1.デバイストラフィック規則設定 2.VPNプロファイル配信設定 3.ドメイン参加直後のPCでADアカウントでログイン 1.デバイストラフィック規則設定 以下のプロセスのトラフィックルールを設定します。 UEMの管理コンソールにログインし、グループと設定 > すべての設定 > システム > エンタープライズ統合 > VMware Tunnel に進みます。 「デバイス トラフィック規則」セクションの「編集」をクリックします。 「デフォルト」をクリックします。 「アプリケーションの管理」をクリックします。 [追加]をクリックします。 アプリケーションの追加画面で、前述の3つのプロセスを追加します。 ・System ・lsass.exe ・svchost.exe プラットフォーム:Windows フレンドリ名:任意の値 アプリタイプ:デスクトップアプリ アプリ識別子:アプリのフルパス [ルールを追加する]をクリック後、以下のルールを設定し、[保存して公開]をクリックします。 -アプリケーション:System、lsass、svchost -アクション:TUNNEL -ターゲット:*.ad.domain,ad.domain ※[ad.domain]の部分は実際のドメインに応じて変更 2.VPNプロファイル配信設定 VPNプロファイルについては「カスタム構成」以外は特別な部分はありません。 Win10用のデバイスプロファイルを作成しま