スキップしてメイン コンテンツに移動

投稿

Workspace ONE AccessにTouch IDでログイン

WS1 Accessにはちょくちょく新しい認証方法が追加されており、 FIDO2認証 や TOTP認証 などはここ数年で追加された認証方法です。 今回試す新たな認証方法は モバイルSSO(Apple版) というもので、これまでもモバイルSSO(Android版)、モバイルSSO(iOS版)というものがありましたが、それに近しい何かを感じますね。 題名の「Touch IDでログイン」というのは、 モバイルSSO(Apple版) では追加の認証方法としてTouch IDを利用することができるため、今回はそれを試すことで モバイルSSO(Apple版) の設定に必要な操作や使用感などを確かめてみたいと思います。 ちなみに「Touch IDでログイン」とは言ったものの、実際にはTouch IDと同時に証明書認証も行われているため、パスワードレスでありつつセキュアな認証方法であると言えます。 大まかな流れは以下の通りです。      1.WS1 UEMのルート証明書を取得      2.WS1 AccessでモバイルSSO(Apple版)の設定     3 .モバイルSSO用のプロファイル配信     4 .動作確認(モバイルSSO(Apple版)でログイン) 1.WS1 UEMのルート証明書を取得 WS1 UEMの管理コンソールにログイン後、「すべての設定」>「システム」>「エンタープライズ統合」>「Workspace ONE Access」>「構成」をクリックし、その後証明書の「エクスポート」をクリックします。 2.WS1 AccessでモバイルSSO(Apple版)の設定 WS1 Accessの管理コンソールにログイン後、「統合」>「認証方法」をクリックし、「モバイルSSO(Apple版)」にチェックを入れ、「構成」をクリックします。 「証明書アダプタを有効にする」をオンにします。 ルートおよび中間CA証明書には、前の手順で取得したWS1 UEMのルート証明書をアップロードします。そして「Device Auth Type」は今回はTouch IDのみを追加認証方法として使うため「biometric」を選択しておきます。 IDプロバイダ設定でも忘...
コメントを投稿
続きを読む

Workspace ONE AccessのAPIをいじり倒す

Workspace ONE関連のコンポーネントではAPIでいろいろとできることがありますが、Workspace ONE AccessでもAPIで出来ることがいくつかあります。 サポートされているAPIは以下で公開されています。 https://developer.vmware.com/apis/57 上記以外にもAPIで実施できることはあるようでして、以下のページでは上記に記載の無いAPI実行の手段が記載されています。 https://techzone.vmware.com/blog/lets-git-committed-resources-getting-started-workspace-one-access-apis ただ、上記ページにも記載されている通りサポートされているのは「 https://developer.vmware.com/apis/57 」に記載されているものですので、ここに記載の無いものについては、使うことはできるものの 利用は自己責任 ということになると思います。 APIを使うことができれば何らかの運用操作を機械的に実施できる可能性が広がると思いますので、あくまで自己責任の範囲で利用することでよりWS1 Accessを使いこなせるのではないか、ということで今回はWS1 AccessのAPIを使い倒して設定を行ってみます。 大まかな流れは以下の通りです。      1.WS1 AccessをGUI操作してAPIの情報を取得      2.Postmanの設定     3 .動作確認          3 .1.ディレクトリ設定を取得          3 .2.ディレクトリ設定の更新を実行 1.WS1 AccessをGUI操作してAPIの情報を取得 まずはWebブラウザを使用して管理コンソールをGUI操作することによって裏で動いているAPIなどの情報をかき集めます。今回の目的はディレクトリ設定をAPIで行うことなので、GUIでディレクトリ設定周りを見ていきます。 WebブラウザでWorkspace ONE Accessの管理コンソールにログインして[統合]>[デ...
コメントを投稿
続きを読む

Workspace ONE UEMのスクリプト機能でWin10デバイスの設定を自動化

Workspace ONE UEMの機能にScriptsというものがあります。 名が体を表している機能で、PCにスクリプトを配信してそれを実行することができるという機能で、例えばWindows10であれば特定のレジストリをゴリっと変更したりなど、標準的な機能では実施できない設定変更なども行うことができます。 また、実行コンテキストの指定ができるため、利用者のアカウントに管理者権限が無い環境においてもシステム権限でスクリプトを動作させることができるため、非常に便利な機能です。 今回はScripts機能で設定を実施するのにどのような設定が必要か確認します。 例として、「ユーザーはPCの管理者権限を持たない環境で管理者権限が必要な設定を行う」ということをやってみます。 なお、日本語での機能名が一般的な用語である「スクリプト」であり、一般的な名詞としてのスクリプトなのか機能名としてのスクリプトなのか紛らわしくなるので、この投稿内では一般的な名詞の方を「スクリプト」、機能名の方を「Scripts」(英語での機能名)と記載することにします。 大まかな流れは以下の通りです。      1.スクリプトの作成      2.Scriptsの作成と配信設定     3 .動作確認(デバイス側操作でScriptsを実行) 1.スクリプトの作成 まずはScripts機能で実施したい設定変更を行うためのスクリプトを作成します。(この一文を書いた後紛らわしくなったので冒頭部分に呼称の注意書きの文章を入れました。笑) 今回は「ユーザーはPCの管理者権限を持たない環境で管理者権限が必要な設定を行う」ということをテーマにしてますので、ユーザー側の操作でリモートデスクトップの有効/無効を切り替える、ということをやってみます。(実際にそういうことをするシーンがあるかどうかは置いておきます...) まずはスクリプトを書いてみて、管理者権限を有する環境においてローカルで実行してみてキチンとRDPの有効化や無効化で出来ることを確認します。調べてみると以下のレジストリを変更することでRDPの有効/無効を切り替えられるようです。  -キー:HKLM:\SYSTEM\CurrentControlSet\Control\Terminal S...
コメントを投稿
続きを読む