Ishii_IT_Garden’s blog

VMware EUC(HorizonやWorkspace ONE)で気になったことを検証して記載しています。

Workspace ONE モバイルSSO(Apple版)を試してみる

今回は、Workspace ONE のモバイルSSOで生体認証を使った認証を試してみようと思います。

このモバイルSSO(Apple版)を行うには、iOS 13以降のOSが必要なためご注意ください。

参考ドキュメントはこちら

https://docs.vmware.com/jp/VMware-Workspace-ONE-Access/services/ws1_access_authentication_cloud/GUID-C119014F-10A5-45DF-AE94-241AF36C0B50.html?hWord=N4IghgNiBc4A5wgUwASHGGQCwyBKGQnQyFiowHiiQBfIA



認証方法の設定

まず、Workspace ONE Accessの管理コンソールにアクセスし、[統合]-[認証方法]の順に移動し、[モバイルSS(Apple版)]の構成をします。

 

 

[証明書アダプタを有効にする]のトグルボタンをオンにします。

次に、[ルートおよび中華CA証明書]をアップロードします。今回は、Workspace ONE UEMの証明書をアップロードしています。[ユーザーIDの検索順序]は、"UPN | サブジェクト"を選択します。
※Workspace ONE UEMの証明書を使用する場合は、UPN | サブジェクトにする必要があります。

 

 

[デバイス認証タイプ]にて"生体認証"を選択し、[保存]をクリックします。

 

 

モバイルSSO(Apple版)の状態が有効になりました。

 

ID プロバイダに、認証方法を追加します。[統合]-[ID プロバイダ]の順に移動し、任意のID プロバイダを編集します。



 

[モバイルSSO(Apple版)]を選択し、[保存]をクリックします。

 

以上で認証方法の設定は終了です。

 

アクセスポリシー設定

作成した認証方法をアクセスポリシーに設定していきます。

今回は事前に用意してあるWebアプリケーションとして、動作テストに使用できるRSA SAML TESTを事前に用意してあります。

 

 

アクセスポリシーを作成していきます。[リソース]-[ポリシー]の順に移動し、[ポリシーを追加]をクリックします。

 

 

任意の[ポリシー名]を入力します。[適用先]にRSA SAML TESTを選択し、[次へ]をクリックします。

 

 

[ポリシー ルールを追加]をクリックして、アクセスポリシーの構成をします。

[ユーザーは次を使用して認証することができます]にて"モバイルSSO(Apple版)"を選択し、[保存]をクリックします。



 

 

[次へ]をクリックします。

 

 

設定した内容を確認し[保存]をクリックします。

 

 

以上でアクセスポリシーの設定は完了です。

 

 

プロファイルの構成

Workspace ONE UEMの管理コンソールからデバイスに割り当てるプロファイルを構成します。

[リソース]-[プロファイル&ベースライン]-[プロファイル]の順に移動し、[追加]-[プロファイルの追加]の順にクリックします。

 

 

 

[Apple iOS]をクリックします。

 

 

[デバイス プロファイル]をクリックします。

 

 

任意のプロファイル名を入力し、SCEP右横にある[追加]をクリックします。

 

SCEPの設定をします。

資格情報ソース:AirWatch 認証局

認証局:AirWatch Certificate Authority

証明書テンプレート:Single Sign-On

 

 

シングル サインオン拡張機能横の[追加]をクリックし、拡張機能を構成します。構成後、画面右下の[次へ]をクリックします。

機能拡張タイプ:WS1 Access

ホスト:WS1 AccessFQDN

 

 

このプロファイルの割り当て設定をして[保存して公開]をクリックします。

 

 

以上でプロファイルの構成は完了です。

 

 

アクセス確認

対象のデバイスからアクセス確認をします。

Intelligent hubにあるRSA SAML TESTをタップします。

認証でTouch IDが使用されていることが確認できます。

 

 

Touch IDを使用すると無事RSA SAML TESTにアクセスできたことが確認できます。

 

以上でモバイルSSOで生体認証を使った認証は終了です。

SSOで生体認証がしようできるのはより一層便利に利用できるようになるので良いアップデートだなと思いました。

ユーザー状態移行ツール(USMT)を試してみる

今回は、ユーザー状態移行ツール(USMT)を使用して、Windows 10からWindows 11へのユーザープロファイルの移行を試してみようかと思います。

 

移行手順

今回実施したUSMTの移行手順です。

まず、Windows 10およびWindows 11の端末にWindows ADKおよびUSMTをインストールします。

次に、Windows 10上からscandate.exeを実行し、プロファイルを保存します。

その後、loadstate.exeを実行し、プロファイルをデバイスに適用します。

 

Windows ADK/USMTのインストール

USMTは、Windows ADK 機能の一部です。そのため、まずはWindows ADKをダウンロードします。
Windows ADKのダウンロード

 

ダウンロードしたadksetupを実行します。

 

Windows ADKをインストールする場所を設定します。



分析情報収集の有無を選択します。

 

使用許諾契約に同意します。

 

User State Migration Tool(USMT)を選択し、インストールします。

 

インストールが完了しました。

 

インストール時に指定したファイルの場所\Assessment and Deployment Kit\User State Migration Tool\amd64の中に「scanstate」と「loadstate」があることを確認します。

 

以上で、Windows ADK/USMTのインストールは完了です。

 

ユーザープロファイルの保存

続いて、scanstate.exeを実行し、ユーザープロファイルを保存します。

 

まず、ユーザープロファイル移動確認の際に使用するtestフォルダをデスクトップ上に作成しておきます。


その後、管理者としてコマンドプロンプトを実行し、scanstate.exeがあるフォルダへ移動します。

 

以下のコマンドを入力します。

scanstate.exe "ユーザープロファイルを保存する場所を指定" /i:MigApp.xml /i:Miguser.xml /o

 

 

実行するとプログラムが実行されます。


コマンドで保存した場所にファイルが保存されていることを確認します。

 

 

以上で、ユーザープロファイルの保存は完了です。

 

Windows 11でユーザープロファイルを適用

続いてWindows 11をインストールした新しいデバイスでユーザープロファイルを適用します。

 

管理者としてコマンドプロンプトを実行し、loadstate.exeがあるフォルダへ移動します。

 

以下のコマンドを入力します。

loadstate.exe "ユーザープロファイルを保存した場所を指定" /i:MigApp.xml /i:Miguser.xml

 

 

Windows 11上でWindows 10の時に作成したtestフォルダがあることが確認できます。



以上でUSMTについては完了です。

 

 

 

Microsoft Intune Win32アプリ配信

今回は、Microsoft IntuneでWin32アプリを配信する手順を紹介します。Google Chromeアプリを配信してみようと思います。あらかじめ、Chromemsiファイルを用意しておきます。

 

アプリの変換

まず、Win32アプリを配信する際には、ファイルの拡張子を.intunewinにする必要があります。そのため、事前にMicrosoft Win32準備ツールをダウンロードしておきます。
Microsoft-Win32-Content-Prep-Tool

https://github.com/microsoft/Microsoft-Win32-Content-Prep-Tool/blob/master/IntuneWinAppUtil.exe

 

ダウンロード後、管理者としてPowershellを実行します。TLS1.2の有効化コマンドを入力します。
TLS1.2有効化コマンド

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

 

有効化されたかどうか確認します。

[Net.ServicePointManager]::SecurityProtocol 

 

以下のように「Tls12」と表示されていれば有効化に成功です。


次に、先ほどダウンロードしたMicrosoft Win32準備ツールを実行します。

実行するとまず、ソースフォルダの指定(Please Specify the Socrce folder)を指示されます。ChromeMSIファイルを保存したフォルダを指定します。

次に、対象のファイルの指定(Please specify the setup file)を指示されます。ダウンロードしたChromeファイル名を入力します。

最後に出力先のフォルダの指定(Please specify the output folder)を指示されます。任意の出力先を入力します。

カタログフォルダの指定(Do you want to specify catalog folder)はNを入力します。

 

100% Done!!と表示されたことを確認します。

PS C:\Apps> .\IntuneWinAppUtil.exe
Please specify the source folder: C:\Apps\Chrome
Please specify the setup file: googlechromestandaloneenterprise64.msi
Please specify the output folder: C:\Apps\Chrome
Do you want to specify catalog folder (Y/N)?N
INFO   Validating parameters
INFO   Validated parameters within 11 milliseconds

~~~~~~~~~~~~~~~~~~~~~~~~


INFO   File 'C:\Apps\Chrome\googlechromestandaloneenterprise64.intunewin' has been generated successfully


[=================================================]   100%                                                                                                  INFO   Done!!!

 

指定した出力先にChromeの.intunewinがあることを確認します。



 

以上でアプリの変換を終了します。

 

アプリをIntuneにアップロード

Microsoft Intune管理センターにアクセスします。[アプリ]-[すべてのアプリ]-[追加]の順にクリックします。

 

アプリの種類で[Windows アプリ(Win32)]を選択し、[選択]をクリックします。



[ファイルの選択]で先ほど準備した拡張子が.intunewinの7zipを選択します。[名前]や[説明]等に任意の文字を入力し[次へ]をクリックします。

 

[インストール コマンド]、[アンインストール コマンド]が入力されていることを確認し、[次へ]をクリックします。



必要条件を選択します。[オペレーティング システムのアーキテクチャ]、[最小限のオペレーティング システム]を選択し、[次へ]をクリックします。

 

検出規則を設定します。[規則の形式]で"検出規則を手動で構成する"を選択します。[追加]をクリックします。[規則の種類]で"MSI"を選択します。[OK]-[次へ]の順にクリックします。

 

依存関係はデフォルトのまま[次へ]をクリックします。



置き換えもデフォルトのまま[次へ]をクリックします。

 

割り当てを選択します。必須の[グループ追加]をクリックし、対象のグループを選択します。[次へ]をクリックします。

 

設定した内容を確認し、[作成]をクリックします。

 

アプリがアップロードされたことを確認します。

 

以上でアプリの配信設定は終了です。アプリ変換に手間がかかりますが、慣れてしまえば簡単に行えると思いました。

Microsoft Entra ID 証明書を使った条件付きアクセス

今回は、VMwareでは全くないですがMicrosoftのEntra IDの条件付きアクセスについて確認したので備忘録としてあげて行こうかと思います。

 

前提として証明書機関としてAD CSを準備し、クライアント端末にユーザー証明書をインストールしていることを前提としています。

 

まず、エクスポートした証明書ファイルのアップロードをするため、Microsoft Entra 管理センターにアクセスします。

画面上部の真ん中にある検索窓で"証明書"と入力し、サービスを起動します。証明機関のサービスで[アップロード]をクリックします。

 

 

対象の証明書をアップロードし、「証明書失効リストのURL」と「デルタ証明書失効リストのURL」を入力し、[追加]をクリックします。

※URLは入力しなくても追加できますが、失効させた証明書を使用してもアクセスできてしまいます

 

 

続いて証明書認証を有効化します。[保護]-[認証方法]-[証明書ベースの認証]の順にクリックします。

 

 

[有効にする]のトグルボタンをオンにします。今回は一部のグループにだけ有効化したいため、ターゲットを[グループの選択]にし、対象のグループを選択しています。

 

 

[構成]タブに移動します。[規則の追加]をクリックします。

 

 

[証明書の発行者]にチェックを入れ、対象の証明書の発行者識別子を選択します。[認証強度]や[アフィニティ バインド]を任意の値で設定し、[追加]をクリックします。その後、証明書ベースの設定画面で[保存]をクリックします。

 

 

無事証明書ベースの認証が有効化されたことを確認します。

 

 

続いて認証強度の設定をします。[保護]-[認証方法]-[認証強度]の順にクリックします。[新しい認証強度]をクリックします。

 

任意の[名前]を入力します。今回は、証明書による単一での認証をさせたいため[証明書ベースの認証(単一要素)]にチェックを入れ、[次へ]をクリックします。

 

[作成]をクリックします。

 

 

続いて条件付きアクセスの設定をします。[保護]-[条件付きアクセス]の順にクリックします。[新しいポリシーを作成する]をクリックします。

 

[割り当て]で対象の割り当てを選択します。今回はMicrosoft 365にWindowsバイスでアクセスするユーザーに対して設定をしています。

その後[許可]下の青字をクリックします。

 

 

[認証強度が必要]を選択し、先ほど作成した認証強度を選択します。[選択]をクリックします。

 

[ポリシーの有効化]をオンにし、[作成]をクリックします。

 

 

以上で設定は完了です。

これからアクセス制御の確認をしていきます。まず、ユーザー証明書をインストールしてある対象の端末から確認します。

Microsoft 365のログインページにてユーザー名を入力し、[次へ]をクリックします。

 

 

[証明書またはスマートカードを使用する]をクリックします。

 

 

画面上部に証明書選択画面が表示されるため選択し、[OK]をクリックします。

 

 

ログイン出来ました!

証明書をインストールしていないデバイスからアクセスしようとするとこのように失敗します。




以上で、証明書を使った条件付きアクセスを終了します。

Horizon Edgeを構成してみた

Horizonをサブスクリプションライセンスで利用する場合は、ライセンスキーが発行されず、Horizon Control Planeと通信をしてライセンスをアクティベーションする必要があります。Horizon Cloud Service Next-gen(V2)が発表されたことにより、従来型のHorizon Cloud(V1)でHorizon Control Planeと通信を行っていたHorizon Cloud Connectorが廃止されました。Horizon Cloud Service Next-gen(V2)から新しくHorizon Edgeと呼ばれる仮想アプライアンスを構成する必要があります。

 

今回は、Horizon Edgeを構成してみたので手順を紹介しようかと思います。

 

構築手順

まず、構築する前に要件チェックリストがあるので満たしてか確認します。

https://docs.vmware.com/jp/VMware-Horizon-Cloud-Service---next-gen/services/hzncloud.nextgen/GUID-426266B3-C91F-42AB-9799-A7A972078679.html#GUID-426266B3-C91F-42AB-9799-A7A972078679

 

ここから構築手順を紹介します。

まず、Horizon Universal Consoleにアクセスします。ホームタブから[Horizon 8]をクリックします。

 

 

新しくポップアップが表示されるため[デプロイ]の開始をクリックします。

 

 

要件を見たいしているか確認をして、チェックボックスにチェックをします。その後[次へ]をクリックします。

 

任意の[Horizon Edge 名]を入力し、[次へ]をクリックします。

 

[場所]にデータセンターの場所を入力し、[次へ]をクリックします。

 

[FQDN]にHorizon Edge GatewayFQDNを入力し、[次へ]をクリックします。

 

[ダウンロード]をクリックしてOVAファイルをダウンロードします。その後、[次へ]をクリックします。

 

後ほどペアリングコードを使用するため、コピーしておきます。

 

vSphere Clientに移動し、Horizon Edge Gatewayをデプロイします。対象のESXiホストを右クリックし、[OVFテンプレートのデプロイ]をクリックします。

 

OVFテンプレートの選択画面が表示されます。[ローカル ファイル]のラジオボタンをクリックします。次に、[ファイルのアップロード]をクリックし、先ほどダウンロードしたファイルをアップロードします。アップロードが完了したら[次へ]をクリックします。

 

任意の[仮想マシン名]と[仮想マシンの場所]を選択し、[次へ]をクリックします。

 

任意のリソースを選択して、「次へ」をクリックします。

 

詳細の確認画面が表示されるため、確認し[次へ]をクリックします。

 

使用許諾にチェックをいれて、[次へ]をクリックします。

 

任意のストレージ設定をし、[次へ]をクリックします。

 

任意のネットワークを選択し、[次へ]をクリックします。

 

テンプレートのカスタマイズ画面が表示されます。まず、任意の[Root Password]を入力します。[Connection String]に先ほどコピーしたペアリングコードを貼り付けます。

 

Default GatewayDNSサーバー自身のIPアドレスなどを入力し、[次へ]をクリックします。

 

設定の確認をし、[完了]をクリックします。

 

Horizon Edge Gatewayのデプロイが完了するまで待機します。

 

デプロイが完了したら、マシンの電源を入れます。

 

Horizon Universal Consoleに戻り[ペアリング ステータス]を確認します。[ペアリング ステータス]が成功していることを確認し、[次へ]をクリックします。

 

[Connection Server URL]にConnection ServerのURLを入力します。次に、[ドメイン]にConnection Serverが所属しているドメイン名を入力します。[ユーザー名]と[パスワード]にConnection Serverの管理者アカウント情報を入力し、[終了]をクリックします。

 

Connection Serverの証明書が表示されます。[確認]をクリックします。

 

構成したHorizon Edge Gatewayが構成済みとなっていることを確認します。

 

Horizon Consoleに移動します。ライセンスと使用状況に移動します。現在が、ライセンスキーを入力して管理していることが分かります。[サブスクリプション ライセンスを使用する]をクリックします。

 

ポップアップが表示されるため[OK]をクリックします。



以上で、Horizon Edge Gatewayを構成し、Horizon Universal Console経由でのライセンス管理は終了です。基本的には、Horizon Cloud Connectorと同様に構成しますが、より簡単に構成できることが確認できました。

 

事例をもとにVMware Workspace ONE DEXについて調べてみた(技術組織/医療機関)

前回、VMware Workspace ONE DEXの電気通信事業者の事例を見ていきました。

今回は、技術組織と医療機関の事例を見ていきたいと思います。今回もこちらのセッションを参考にしています。
Digital Employee Experience Decoded: 


技術組織

まず、技術組織の事例ですが、

今回の課題としては以下の4つがあるようです。
・レスポンスタイム
 →チケットの対応に24時間以上かかる
 →従業員やシステムが持っているさまざまなアクセスレベル
・割り当て
 →チーム間でチケットが行き来する
・感情
 →従業員が問題を調査するのに負担がかかる
 



 
 
 
問題を解決するためにメトリクスを集めました。その情報をもとに問題が発生した際にどのようなアラートをするのか、アラートが出たときにどのような行動をするのかといったワークフローを作成します。


 
 
自動化ワークフローでは、CPUの利用率が4時間以上75%を超える場合、Slackにメッセージの送信そして、ServiceNowにチケットを送信させるワークフローを作成します。


 
 
そしてダッシュボードからは、様々な情報を確認して原因を発見することができます。


 
 
これらのようなサードパーティ(今回ではServiceNow)と連携をするためにWorkspace ONEにはITSM Connectorと呼ばれるコンポーネントを使用して連携します。
こちらを使用することで、ServiceNowから直接デバイスへのアクション等を実施させることができます。


 
 
このように、ServiceNowからチケットが発行されたものに対して、Workspace ONEの情報を確認してプロファイル等をServiceNowから配信させることが可能です。


 
 
そして、それでも改善しない場合はServiceNowからWorkspace ONE Assistを実行させることも可能です。

 
 
これにより、問題に対する時間を削減して結果的にはコストを下げることもできます。
 

医療機関

今回の課題としては以下の4つあるようです。今回はDEX for VMware Horizonの例の用です。
・CPU使用率
 →VDIのパフォーマンス判断が難しく、影響がある
・根本原因の分析
 →問題発生時にどこの問題か判断がしづらいため複数のチームを行き来することになる
・知識共有
 →複数のチームでの知識共有等
・解決
 →ヘルプデスクの方はVDIの管理者たちと手動で変更を調整する必要がある

 
 
DEX Playbooksを使用することで、問題に対しての対策手順を事前に作成することができます。例えば、こちらの例ではCPUの使用率が高いユーザーに対してCPU数を増やすアクションを定義することができます。

 
 
そして、VDIの管理者が確認をして割り当てを行えるようにします。

 
このように、VDIに対してもDEXを使用して従業員体験を向上させることができます。
以上で技術組織および医療機関の事例からDEXについて調べてみるを終了します。

事例をもとにVMware Workspace ONE DEXについて調べてみた(小売企業)

Workspace ONE DEXとは

Workspace ONE Digital Employee Experience(DEX)は、従業員体験を向上させる指標を収集して分析や改善をし従業員体験を向上させるサポートをする機能です。従業員の方のメリットだけでなく、サポートをされている方にもメリットがあります。どのような問題が起きているかデータを分析して表示してくれるので、どのデバイスにどのような問題が起きているか一目で確認することができます。
 
ここからVMware Explore 2023 Las Vegasで視聴したセッションを基にDEXについての備忘録を記載していこうと思います。
視聴したセッションは以下になります。
 
セッションでは、まずヘルプデスクの業務について縦軸に従業員のダウンタイム、横軸にインシデントあたりのコストで表した表について説明がありました。
もちろん大きな問題になるごとにダウンタイムもコストも上がるのでヘルプデスクの業務としてはより影響が出る前に問題を解決する必要があります。
Workspace ONEには、従業員に問題が出るまえに自動的に解決する機能や従業員自身で自ら問題を解決できる機能、リモートでヘルプデスクの方と問題を解決する機能があります。

小売業界

こちらのセッションでは業界に合わせたユースケースについて紹介していました。
まずは、小売り業界です。
小売業界としては主に以下4つの課題に直面しているようです。
・デバイスの紛失
 →盗難や置忘れによる紛失
・デバイスの状態
 →デバイスの状態や在庫が把握できていない
・アプリのインサイト
 →アプリの使用状況等が理解できていない
・Break/Fix
 →デバイスの問題に対して時間をかけて対応しないといけない
まずは、デバイスの紛失についてです。
バイスのチェックイン/チェックアウトを記録して誰がその時使っていたか?といった指標やチェックアウト後にきちんとクレードルにさしているかといった指標を収集することができます。こちらの指標により最後にデバイスを使用していた人等が分かる為デバイスが見当たらない時に即座に対応できます。
続いて、デバイスの状態です。
バイスは使い続けているとバッテリーの劣化がしてきます。バッテリーの詳細を確認して、交換が必要なデバイスを判断することができます。そして、Workspace ONEがServiceNowと連携している場合、バッテリーの劣化を検知して調達のプロセスまで自動化させることも可能です。
 
続いて、アプリのインサイトです。
アプリケーションの可視化はもちろんAndroidのLanucherの使用状況も確認できます。
Laucherにアクセスするまでにかかった平均時間やチェックインやチェックアウトの時間を確認できます。アクセスするまでに時間がかかる場合には対応する際の指標として使用できます。
 
 
最後に、Break/Fixです。
小売業界などの場合、各店舗ごとにヘルプデスクなどのIT管理者が常駐しているわけではありません。デバイスに問題があった場合、店舗のメンバーだけで解決できない問題が発生することもあります。IT管理者がいるオフィスにデバイスを郵送する必要があったり、現地にIT管理者を派遣するケースも少なくないかと思います。Workspace ONEには、Workspace ONE Assistと呼ばれるリモートサポートを提供する機能があります。
こちらを使用することで、リモートでIT管理者がデバイスを確認して画面を基に指示を出したりしてトラブルシュートすることも可能です。
また、デバイスに対して無人アクセスして業務に影響を与えず対応することも可能です。
 
今回はここまで
次回はまた別の業界の事例を見ていきたいと思います。