Workspace ONEについてキャッチアップしていて、結局パスコード制御はどのくらいできるのか気になったのでまとめてみようかと思います。

なお、本当にあっているのかどうかは自身がないので参考程度で見て頂ければと思います。

パスワードプロファイルの設定内容

• パスワードの複雑性
  [シンプル]と[複雑]の2つのタブから選択できます。[複雑]にすると複雑な文字の最小数を選択することができます。
  複雑な文字の最小数を変更することで、英字、数字、記号など複数の文字列を入れる必要が出てきます。
  

   

  

  
  
  

• 英数字を必須にする
  文字通り、パスワードに英字と数字の使用を必須にする設定です。
  
  
• パスワードの最小文字数
  パスワードの設定に必要な最小文字数を変更します。
  ただし、ローカルアカウントの場合は6字以上、マイクロソフトアカウントの場合は8字以上で設定をする必要があります。
  
  
• パスワードの有効期間（日）
  設定した期間を過ぎてしまうと強制的に、ユーザーにパスワード変更を求めます。
  
  
• パスワードの変更禁止期間（日）
  一つのパスワードを変更可能できる期間です。[1]を入力した場合は、最低1日間はそのパスワードを使い続けなればいけません。
  
  
• Work プロファイルロックタイムアウト
  デバイスロック時のパスコードをロックアウト時間を設定します。
  デフォルトのまま[0のまま]の場合、グループポリシーエディタのデフォルトである30分間になります。
  
  
• デバイス再起動までのパスコード入力施行回数
  一度のパスワード入力で一定回数以上間違えるとデバイスの再起動が発生します。
  
  
• パスワードの履歴
  パスワード履歴の記憶数です。記憶している回数分のパスワード履歴は再利用できません。
  
  
• パスワードを失効する
  デバイス上の既存のパスワードを失効させて新しくパスワードを作成させるには[有効]タブにする必要があります。
  
  
• パスワードの有効期限
  0～730日の間でパスワードの有効期限を設定します。0を入力した場合は、パスワードの有効期限は無制限になります。
  
  
• 暗号化を元に戻せる状態でパスワードを保存する
  暗号化を元に戻せる状態で、パスワードを保存することを有効化します。
  基本的には使用しないことをお勧めします。
  
  
• Windows 10 デバイスに Protection Agentを使用する
  ここを書きたくて、このブログを書き始めたといっても偽りではないです。
  ここのの部分は章を分けて記載します。
  
  

Protection Agent

まず、Protection Agentとは、Workspace ONEのサーバーとデスクトップのプロファイルの適用を担当するWin32アプリケーションです。このアプリケーションにより、パスコードやファイアウォールなど様々なプロファイルの構成をしてくれます。

https://kb.vmware.com/s/article/50122020?lang=en_US


Windows 10 デバイスに Protection Agentを使用するのチェックをオンにすると何ができるのかというと、複数回連続でパスワードを失敗するとアカウントを一定時間ロックすることが可能です。
連続失敗回数の指定は「デバイス再起動までのパスコード入力施行回数」で設定します。

つまり、下図のプロファイルの設定であれば、4回連続でパスワードを間違えた場合再起動ではなくアカウントをロックされます。

何とも複雑ですね....

プロファイルとグループポリシーの関係

Workspace ONEのプロファイルでパスコード制御をせずにもローカルグループポリシーでパスコード制御はできるかと思います。

Workspace ONE のプロファイルは、グループポリシーより要件が厳しい場合のみ効果を発揮します。

つまり、下図の場合だとパスワードの最小文字数は6字以上になります。

まとめ

Windows のパスコードプロファイルだけでもややこしいのでWorkspace ONEは極めることはできるのだろうか？と日々思っていますがコツコツキャッチアップ出来ればと思っています。

ひとまず、アカウントのロックはProtection Agentを有効化するとだけ覚えてもらえればと思います。