vExperts Advent Calendar 2019 の 12月15日 分の投稿になります。
Workspace ONE で Windows 10 をどのように管理するのでしょうか。
Windows 7 のEOLはもう目の前ですが、単純にアップデートすれば終わりだと思いますが、実は考えなければいけないことは沢山あります。
 |
| 図1, 管理方法として変更される内容 |
Windows 7まではActive Directoryに対してデバイスをドメイン参加することで、ドメインのリソースを利用することができました。
一方、Windows 10ではActive Directoryによる管理も可能ですが、持ち出すことを前提としたデバイスの管理のために、MDMサービスへの登録もサポートするようになりました。Windows 10をMDMサービスへ登録した場合、Active Directoryによるグループポリシーは範疇外となります。
もちろんWorkspace ONEはMDMとして、Windows 10の管理はサポートしています。
このとき、グループポリシーの適用をどのようにカバーできるでしょうか。
Workspace ONEのEMM(MDM)であるWorkspace ONE UEMでは、ベースラインというコンポーネントが用意されています。
Microsoft もベースラインを用意しています。
これは、Microsoftによるガイダンスを元にしたポリシー設定です。
これ以外にも、CIS Benchmarks という非営利のセキュリティ促進団体が用意したベースラインも存在しています。
 |
| 図2, ベースラインの準備 |
これらのベースラインはあらかじめGPOのように設定に応じてWindows 10を構成します。
 |
| 図3, ポリシーのカスタマイズ |
必要に応じて、Windows 10に搭載されているグループポリシーを追加することも可能です。下図では、レジストリエディタの起動を抑止するポリシーを構成しています。
 |
| 図4, 追加のポリシー |
また、配布対象はスマートグループによってグルーピングされた範囲で適用可能です。
 |
| 図5, スマートグループ |
これらを組み合わせて、ポリシー管理をクラウドベースで行うことによって、持ち出しPCのグループポリシーの管理も実現できるのではないでしょうか。
余談ですが、Workspace ONE センサーを利用してログイン時にビープ音でファミ○ーマートを鳴らそうと思ったのですが、Powershellスクリプト上のコンソールが使えないようなので断念しました。どなたか動いた方がいらっしゃったらお知らせください…💁
次はtwtkoさんです!
0 コメント:
コメントを投稿