🐥

VMware Workspace ONEのデバイス管理あれこれ

2021/09/11に公開

VMwareの製品であるWorkspace ONE(長いので以下WSO)について、主にデバイス管理機能で他の競合製品と異なったり、特徴的な部分をツラツラと書きます。
そのためあまり網羅的になってないのでご容赦願います。

Workspace ONEの概要

https://www.vmware.com/jp/products/workspace-one.html
一口にWSOと言っても機能が色々あるため、上記のHP見ても全然ワカランとなるので主要な機能を簡単に説明します。

UEM 統合デバイス管理

今回は取り上げるのはこちら。旧AirWatchにあたるもの。
管理できるデバイスはWindows,Mac,Android,iOSなど主要なところから、珍しいものだと物流倉庫などで使われているZebra製デバイスや最近だとOculusなんかも対応。
Linux、ChromeOSも一部対応謳っていますがプロファイルによる制御は無いので基本的には最初に挙げた主要なOSの管理になると思います。

Access 各種認証

SAMLによるシングルサインオンや各種認証方法が提供されています。
UEM管理されている製品に対するSaaSアプリへの認証方法を設定したり、Access側だけユーザー作成し認証方法は別などもできます。

あまりAccessはアップデートされてこなかった記憶があるんですが久々にみたらえらい認証方法増えてる・・・

HUB Service

管理デバイスにはIntelligent Hubというアプリをインストールしそれがエージェントになり、ユーザーから見るとアプリカタログ機能程度だったのですが、カスタマイズしたメッセージの送信や従業員のポータルサイト的な機能を持ち始めています。

入社時にオンボーディングサポート
ただ実際にこれをやるとなると裏側でIBM watsonが必要なので注意

また、Accessの認証設定次第ですが、2要素認証のアプリとしても機能させることができるので、MFAアプリを別途インストール〜設定が要らなくなるのは便利

MAM/MCM

モバイルデバイス上でメールやファイルなどをWSO関連のアプリを通して利用させることで、データの持ち出しを防ぐ機能
実際私は運用はしていないので詳細判りませんが、グループウェア側の仕様変更の影響や本来ある機能が使えないなど、この機能使うとなるとそれなりの覚悟いるかも

Intelligence

UEMやAccessの情報を基にリスク分析や制御、サードパーティのセキュリティ製品と連携した可視化など
機能が頻繁にアップデートされているので少し前に発表されたときどだいぶ変わってきた模様。
最上位プランでないと使えないので試せず

Assist

リモート操作ができるツール。詳細はこちら
ヘルプデスクの対応や遠隔操作が必要なデバイスに対して操作ができます。
Win/Macに対してはWSOとAssistのエージェントをインストールすることによって実現できますが、Assist自体はアドオンのため別途購入が必要。

類似した製品は他にもありますが、導入していないようであればWSOで揃えるのもいいかもしれません。

細かく書くと他にもありますが一旦ここまで。


デバイス管理あれこれ

本題です。UEM機能面をいくつか紹介します。

グループ

画像の5つとスマートグループの計6つあります。
このグループに対してデバイスの設定やアプリの割り当てを行なっていきます。
ここが最初の設計・設定の取っ付きにくいところでもあるので組織グループとスマートグループについて簡単に説明します。

組織グループ

ADで言うOUに近いもの
WSOの管理下に置かれたデバイスは必ず組織グループに入るため、基本的にはこの画面を見ることになります。


画像のように階層化できますが、安易に組織図や拠点をそのまま当てはめて構成するよりもデバイス管理目線で構成した方がいいと思います。
そもそも拠点が少ないのであればOSやデバイス単位で組織グループを作った方が管理しやすいと思います。

またこの階層単位で管理者や設定をすることもできるので、例えばグループ会社の組織グループをトップ下に作成しそこから下はグループ会社のシステム管理者に運用を任せるといったことができます。

スマートグループ

条件に合致するとそのデバイスはこのグループに加わる動的なグループ

特定の「OSのバージョン以下」に対して○○したい、と言った時にこのスマートグループを作成してポリシーを割り当てます。

特定のユーザーだけや組織グループ、ユーザーグループ、後述のタグなど複数の条件を組み合わせを簡単に指定してグループを作れるのがメリット。

タグ

デバイスを一覧表示させたときにステータスを判りやすくするもの
スマートグループの条件にもすることも可能
文字数が多いと見切れます

アプリの配布

iOS VPP
Android Android Enterprise
Windows .exe、.msi、.zipのファイルをそのままアップロードが可能
Mac .dmg、.pkg、.mpkg

がそれぞれ対応
MacはOS側の仕様変更もあり配布自動化はJamfと比べるとナレッジも少なくしんどい

アプリやプロファイルの配布

グループに対してアプリや各種設定のプロファイルを当てることになりますが、割り当て後に再度プッシュしたいケースがあるかと思います。

配布しているアプリやプロファイルはデバイスを選択し個別にプッシュが可能です。
MDMによっては、Windowsだとここの配信が遅くなるケースがあると思いますが、WSOは直ぐにデバイスに届きます。

アンインストールはアプリ配布の設定時に定義が必要、.msiであれば特に設定要らず。

スクリプトの配布

プロビジョニング > コンポーネントのファイル/アクションとプロダクトリストからスクリプトを配布し実行させることができます。
ただし配布した時点で完了になってしまうので、実行結果を正確に把握するには他の手段が必要。Intelligenceの機能にあるセンサーなら出来るかも???

位置情報

業務で使用するデバイスの位置情報をどこまで取るか。組織の考え方によって違うと思いますが、WSOだと個人デバイス、共有デバイス、BYODに対してそれぞれ全て収集、収集するが表示しない、収集しないといった定義ができます。

iOSに関してはエージェントアプリにあたるHUBアプリが収集することになりますが、HUBアプリの位置情報をオフにされると定期的な取得はできません。
その場合は監視モード(ADE、旧称DEPデバイス)で紛失モードにする必要があるのは他のMDMと変わりがありません。

登録されたデバイスのみの加入

一般的にMDMの加入用エージェントは誰でも落とせる形式で公開されているため、私物でエージェントをインストールし勝手に加入してくるユーザーが出てくることがあります。

MDMの加入から各種認証の設定まで行っていると、私物の加入=業務アプリの認証まで出来てしまうことになりリスクが懸念されます。

WSOではデバイス加入モードを「登録されたデバイスのみ」にすることで、事前に登録されたシリアル番号のデバイスのみWSOへの加入させ、管理外デバイスでの加入を防ぐことができます。


以上となります。
複数のMDMなど触った経験から他と違う箇所を思いつくまま書いたのであとから追記するかもしれません。

Discussion