2019年6月23日日曜日

Workspace ONE UEM の Windows 10 管理 〜 Windows 10 CSP Policy Builder 〜

こんにちは。
前回のブログでは、作成したプロファイルの中身を確認しプロファイルが構成サービスプロバイダー (CSP) と呼ばれるWindows 10 を構成・設定する仕組みを使用していることを確認しました。

今回はその CSP の記述方法を利用したカスタムプロファイルというものを作成するために「Windows 10 CSP Policy Builder」をご紹介します。


前々回のブログで Workspace ONE UEM の管理コンソールに用意された更新プログラムの設定項目を使用してプロファイルを作成しました。
また、更新プログラムの設定以外にも Wifi やVPN、制限など様々な設定項目が用意されています。

ですが、CSP には Workspace ONE UEM の管理コンソールに用意された設定項目以外にも設定項目が用意されています。
こういった Workspace ONE UEM で標準的に用意されていない CSP の設定項目も「カスタムプロファイル」を使うことで Workspace ONE UEM からデバイスに対して設定を適用することができます。


●カスタム設定を使用する ( Windows デスクトップ)
https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/1905/Windows_Desktop_Device_Management/GUID-AWT-PROFILE-CUSTOMCONFIGWD.html

このカスタムプロファイルですが、プロファイル作成画面の[カスタム設定]から構成します。



それぞれ"インストール設定"と"削除設定"に XML 形式の設定テキストを追加する必要があります。



Windows 10 の CSP の WEB サイトを参考に一から自分で記述してもいいのですが、 VMware は Windows 10 CSP Policy Builderというツールを公開しており、そのツールを使って簡単に XML のテキストを作成することができます。

●Windows 10 CSP Policy Builder
https://vmwarepolicybuilder.com


今回は簡単な例として、Policy CSP でデバイスのカメラ利用を制御するカスタムプロファイルを作成します。
(カメラ制御は Workspace ONE UEM の制限プロファイルに用意されているので、わざわざカスタムプロファイルで設定する必要は無いです。あくまで今回の例として紹介します。)

このツールにアクセスすると下記のような画面が表示されます。MyVMware のアカウントでログインします。



まず画面左上の項目で対象となる Windows 10 のバージョンを選択します。バージョンによってCSPで設定可能な項目が異なるためです。基本的には新しいバージョンであれば設定できる項目が追加されています。
管理デバイスの Windows 10 バージョンによって選択してください。今回はデフォルトのver1709のまま進めます。

設定するCSPの種別を選択します。カメラの利用制御は Policy CSP なので[ Policy ]を検索して選択し、 [ CONFIGURE ]をクリックします。



次の画面で、設定項目を入力していきます。[ Policy ]-[ Device ]-[ Config ]-[ Camera ]の順で展開していき、" Allow Camera "の項目を表示します。
まず"インストール設定"用の内容を作成します。" Allow Camera "の項目で[ REPLACE ]を選択し0を入力します。画面右側に XML のテキストが表示されます。
これを Copy して Workspace ONE UEM のカスタムプロファイルの"インストール設定"に貼り付けます。




今回設定している Allow Camera の項目は0がカメラの利用禁止、1が許可でデフォルト値となっています。こういった必要な記述については Windows 10 の CSP リファレンスを参考に確認します。
●Policy CSP - Camera
https://docs.microsoft.com/ja-jp/windows/client-management/mdm/policy-csp-camera


次に削除設定を作成します。
[ DELETE ]をクリックします。すると画面右側に XML のテキストが少し変更され、削除用の記述になります。
これは Workspace ONE UEM のカスタムプロファイルの"削除設定"に貼り付けます。



これでカスタムプロファイルの作成はほぼ完了です。あとは通常のプロファイルと同じように、保存して対象のデバイスに割り当てます。


カスタムプロファイルの設定方法のご紹介は以上です。

Workspace ONE UEM のプロファイル設定項目に無い制御をしたい場合、Windows 10 の CSP に項目があれば、ご紹介したようにカスタムプロファイルを使って制御が可能です。
今回はこの辺で、ありがとうございました。