前回、WS1 UEM加入時に同時にADドメイン参加も行うという内容をアップしましたが、その際「UEM加入時にドメイン参加も行うことはインターネット経由でできても、初回認証時にはどうしてもオンプレNWに接続する必要がある点は考慮が必要である」と記載しました。
今回は、Tunnel機能を利用して初回認証もインターネット経由で行うことにより行う、ということを実現してみたいと思います。
具体的には、AD認証を行う際に動作するプロセスの通信をTunnel経由とすることで、オンプレNWに接続することなくインターネットからADアカウントでログインする、という内容です。
前提としてWin10でTunnel機能が利用できる状態であることとします。
大まかな流れは以下の通りです。
1.デバイストラフィック規則設定
2.VPNプロファイル配信設定
3.ドメイン参加直後のPCでADアカウントでログイン
1.デバイストラフィック規則設定
以下のプロセスのトラフィックルールを設定します。
UEMの管理コンソールにログインし、グループと設定 > すべての設定 > システム > エンタープライズ統合 > VMware Tunnel に進みます。
アプリケーションの追加画面で、前述の3つのプロセスを追加します。
・System
・lsass.exe
・svchost.exe
プラットフォーム:Windows
フレンドリ名:任意の値
アプリタイプ:デスクトップアプリ
アプリ識別子:アプリのフルパス
[ルールを追加する]をクリック後、以下のルールを設定し、[保存して公開]をクリックします。
-アプリケーション:System、lsass、svchost
-アクション:TUNNEL
-ターゲット:*.ad.domain,ad.domain
※[ad.domain]の部分は実際のドメインに応じて変更
2.VPNプロファイル配信設定
VPNプロファイルについては「カスタム構成」以外は特別な部分はありません。
Win10用のデバイスプロファイルを作成します。
「全般」は適当に設定し、「VPN」ペイロードをクリック後、「構成」をクリックします。[接続情報]セクションを以下のように設定して、少し下にスクロールします。
-接続名:任意
-接続タイプ:Workspace ONE Tunnel
-サーバ:Tunnel構成を基に自動入力
-デバイストラフィック規則:デフォルト – 既定
-デスクトップクライアント:有効化
[カスタム構成]セクションの[カスタム構成XML]で以下を入力します。
<?xml version='1.0' encoding='utf-16'?>
<CustomConfiguration>
<StartTunnelPreLogon>true</StartTunnelPreLogon>
</CustomConfiguration>
【補足】
この設定はユーザのログイン前にTunnelサービスを起動するという設定で、この設定があることによってログイン前にTunnel接続が確立され、Tunnel経由でAD認証が可能になります。
[Tunnel Gateway経由でDNS解決]の[ドメイン]には以下を入力し、[保存して公開]をクリックします。
*.ad.domain
ad.domain
※[ad.domain]部分は実際のドメインに変更
【補足】
デバイストラフィック規則の[ターゲット]に指定したものと同じです。
3.ドメイン参加直後のPCでADアカウントでログイン
ドメイン参加は前回記事の通りリモートで実施できたとして、初回ログイン時はどう頑張ってもAD通信出来なければいけないワケですが、TunnelプロファイルのPrelogonオプションを有効化したことでログイン前にPer-App VPNのセッションを張ってくれるので、ADにログインすることが可能になっています。
デバイスの状態は前回記事のUEM加入時のAD参加を行い、初回ログイン前の状態とします。
ログイン画面で、ADユーザとパスワードを入力し、ログインを実行します。
【補足】
オフラインドメイン参加が実行されたため、サインイン先がADドメイン名に変わっています。
コメント
コメントを投稿