2019年12月15日日曜日

Workspace ONE ベースライン で Windows 10 のポリシー管理を検討する

vExperts Advent Calendar 2019 の 12月15日 分の投稿になります。

Workspace ONE で Windows 10 をどのように管理するのでしょうか。

Windows 7 のEOLはもう目の前ですが、単純にアップデートすれば終わりだと思いますが、実は考えなければいけないことは沢山あります。

図1, 管理方法として変更される内容
今回はその中でも重要な、デバイスの管理方法の変更について、Workspace ONE でどのように適用していくかまとめたいと思います。


Windows 7まではActive Directoryに対してデバイスをドメイン参加することで、ドメインのリソースを利用することができました。

一方、Windows 10ではActive Directoryによる管理も可能ですが、持ち出すことを前提としたデバイスの管理のために、MDMサービスへの登録もサポートするようになりました。Windows 10をMDMサービスへ登録した場合、Active Directoryによるグループポリシーは範疇外となります。

もちろんWorkspace ONEはMDMとして、Windows 10の管理はサポートしています。
このとき、グループポリシーの適用をどのようにカバーできるでしょうか。

Workspace ONEのEMM(MDM)であるWorkspace ONE UEMでは、ベースラインというコンポーネントが用意されています。

Microsoft もベースラインを用意しています。
これは、Microsoftによるガイダンスを元にしたポリシー設定です。
これ以外にも、CIS Benchmarks という非営利のセキュリティ促進団体が用意したベースラインも存在しています。
図2, ベースラインの準備

これらのベースラインはあらかじめGPOのように設定に応じてWindows 10を構成します。
図3, ポリシーのカスタマイズ

必要に応じて、Windows 10に搭載されているグループポリシーを追加することも可能です。下図では、レジストリエディタの起動を抑止するポリシーを構成しています。

図4, 追加のポリシー
ベースラインはWorkspace ONE UEMによってクラウドベースで管理、配信されます。
また、配布対象はスマートグループによってグルーピングされた範囲で適用可能です。
図5, スマートグループ
図のようにスマートグループの要素に色々ありますが、メーカー(OEM)で分類するなんておもしろいですよね。

これらを組み合わせて、ポリシー管理をクラウドベースで行うことによって、持ち出しPCのグループポリシーの管理も実現できるのではないでしょうか。

余談ですが、Workspace ONE センサーを利用してログイン時にビープ音でファミ○ーマートを鳴らそうと思ったのですが、Powershellスクリプト上のコンソールが使えないようなので断念しました。どなたか動いた方がいらっしゃったらお知らせください…💁

次はtwtkoさんです!

リアクション:

0 コメント:

コメントを投稿