2020年12月20日日曜日

プロビジョニングパッケージを使ったWorkspace ONE UEM代理加入(+Azure AD Join)


突然ですがMicrosoftのプロビジョニングパッケージをご存知でしょうか?

プロビジョニングパッケージはWindows10のセットアップを行う機能です。「Windowsイメージングおよび構成デザイナー(Windows ICD)」を使用してセットアップを行いたい内容を設定し、プロビジョニングパッケージ(PPKG)ファイルを生成します。作成したPPKGファイルをクライアントデバイスで適用することで簡単にセットアップが実行できます。

・Windows 10 のプロビジョニング パッケージ
https://docs.microsoft.com/ja-jp/windows/configuration/provisioning-packages/provisioning-packages


実は、Workspace ONE UEMにもプロビジョニングパッケージを生成する機能があります。

この機能のメインの使い方はFactory Provisioning(旧名:Dell provisioning)と呼ばれるPCのゼロタッチプロビジョニングを実現するWorkspace ONE 独自機能で利用するものですが、今回のブログではこのWorkspace ONE UEMで生成したプロビジョニングパッケージを使って”Factory Provisioningではない” デバイスキッティングをやってみたいと思います。


■検証時の環境イメージ・流れ

【構成イメージ】

  • Windows 10 はAzure AD Joinで運用(オンプレADなし)
  • Workspace ONE UEMとAzure ADのID/PW管理は別々
    ※Workspace ONE UEM側のIDはCSVインポート機能などで運用するイメージ


【PCセットアップの流れ】

<管理者の作業>

  1. Workspace ONE UEMでプロビジョニングパッケージ(PPKGファイル)を作成
  2. PPKGファイルを初回起動状態(OOBE)のWindows 10に適用
  3. キッティング完了後Windows 10をパワーオフ
  4. ユーザーにWindows 10 のPCを配布


<ユーザーの作業>

  1. PCをパワーオン
  2. Azure ADのアカウントでログイン(Azure AD Join)
  3. (自動処理)Workspace ONE UEMに自動で代理加入
  4. Workspace ONE UEMのアカウントでログインし、ユーザー割り当て


ゼロタッチプロビジョニングは難しそうなので、管理者のワンタッチプロビジョニングを実現してみます。



■プロビジョニングパッケージ(PPKGファイル)を作成

Workspace ONE UEMの管理コンソールを開き、[デバイス]-[ライフサイクル]-[代理セットアップ]-[Windows]を開きます。
[新規]をクリックします。


プロビジョニングパッケージの名前を入力し、[次へ]をクリックします。



[暗号化されたパッケージ]を選択し、PPKGファイルのパスワードを入力します。このパスワードは、PPKGファイルの適用時に必要になります。[次へ]をクリックします。



Active Directoryのタイプを選択します。今回は[Azure Active Directory – プレミアムなし]を選択します。
次に、デバイスの構成を選択していきます。今回はほぼデフォルト設定ですが、例えば”OOBEの構成”ではWindows 10の初回起動時のセットアップ画面で表示される項目の表示/非表示を選択できます。



下部にスクロールし、"管理者アカウントを有効にする"を[はい]にし、パスワードを入力します。


下部にスクロールし、Workspace ONE UEMへの代理加入情報を入力します。
代理加入に必要な情報は、Workspace ONE UEM管理コンソールの[グループと設定]-[すべての設定]-[デバイスとユーザー]-[Windows]-[Windowsデスクトップ]-[代理セットアップアップとプロビジョニング]に情報があります。
加入組織グループは、組織グループのIDを入力します


プロビジョニングパッケージに組み込むアプリケーションを選択し、[次へ]をクリックします。


<補足>
ここで表示されるアプリケーションはWorkspace ONE UEMに登録済みのWin32アプリケーションです。
選択したアプリケーションは、PPKGファイル適用時にインストールされます。アプリケーションのインストール自体は、Workspace ONE UEM加入後にクラウドからインストールさせることもできますが、PPKGファイルに組み込むことでダウンロードトラフィックを削減できます。


設定を確認し、[保存してエクスポート]をクリックします。



プロビジョニングパッケージが生成されるので、[暗号化されたパッケージをダウンロード]をクリックしてPPKGファイルをダウンロードします。



これでプロビジョニングパッケージ(PPKGファイル)の作成は完了です。
ダウンロードしたPPKGファイルをUSBメモリに保存します。(USBメモリのドライブ直下に保存)




■PCのキッティング

PPKGファイルが保存されたUSBメモリを使ってPCのキッティングを行います。

新規購入、または初期化済みのWindows 10を起動し、下記のようなOut-of-Box Experience (OOBE)の画面でUSBメモリを接続します。


しばらくするとOOBE画面の画面が切り替わります。
[プロビジョニングパッケージのインストール]を選択し[続行]をクリックします。



作成したPPKGファイルを選択し、作成時に指定したパスワードを入力します。
プロビジョニングパッケージファイルが読み込まれ、デバイスのセットアップが開始されます。



プロビジョニングパッケージによるセットアップが実行されているメッセージが表示されます。数分〜数十分放置します。




検証時は、再起動が実施され再度地域の選択画面が表示されましたがそのまましばらく放置します。


しばらくするとセットアップが完了します。

Microsoftアカウント(Azure ADのアカウント)でのサインイン画面が表示されますが、管理者としてのセットアップは完了しているのでここでシャットダウンします。

この画面で[Shift]+[F10]キーを押してコマンドプロンプト画面を表示し、下記コマンドを入力してシャットダウンします。

>shutdown /s /t 0



これで管理者のセットアップは完了です。

運用イメージでは、このUSBメモリ接続によるセットアップ作業を必要台数分行い、セットアップ後にシャットダウンしたWindows 10 PCを利用者に配布します。



■ユーザーのログイン(Azure AD Join & Workspace ONE UEMへの登録)

ユーザーがWindows 10 PCを受け取って初回ログインを行います。
ユーザーのサインイン後にでAzure AD JoinとWorkspace ONE UEMへの登録が自動実行されます。

今回の検証時、ユーザーはAzure ADとWorkspace ONE UEMにそれぞれ登録されている状態です。

●Azure ADのユーザー情報画面


●Workspace ONE UEMのユーザー情報画面



では、管理者によってキッティングされたWindows 10 PCを起動します。

起動後、しばらくするとMicrosoftアカウント(Azure ADのアカウント)でのサインイン画面が表示されます。
ユーザーは自分のAzure ADのアカウントでサインインします。


サインインしたユーザーでAzure AD Joinなどのセットアップが実行されます。環境によってWindows Helloの設定が求められます。



しばらくするとWindows 10のデスクトップ画面が表示されます。プロビジョニングパッケージに組み込んだアプリケーション(今回はChrome)がインストールされていることが確認できます。

また、さらにしばらくするとWorkspace ONE UEMへ代理加入が実施されます。Windows 10の設定で確認すると、Workspace ONE UEMに代理ユーザー(staging)で加入されていること、Azure AD に接続済みになっていることが確認できます。



Workspace ONE UEMの管理コンソールを開くとデバイスが登録されていることが確認できます。この時点では、Workspace ONE UEM上の利用ユーザーは代理ユーザーのため、特定のユーザー(グループ)に割り当てた設定やアプリは適用されていない状態です。


更にしばらくすると、Workspace ONE UEMのIntelligent Hubの画面が開き、代理加入したデバイスをユーザーに割り当てる為の画面が表示されます。
ユーザーはこの画面で、Workspace ONE UEMのユーザーID/パスワードを入力してログインします。


<補足>
検証時は上記画面のようにグループIDの入力も求められていますが、ユーザーのID情報を元にしたグループ割り当ての設定(グループ割り当てモード)を変えればユーザーのサインイン操作のみにできるはずです。


これでデバイスのセットアップの一連の流れは完了です。

Workspace ONE UEM上のデバイス利用者が切り替わっていることを確認できます。このユーザーに割り当てたアプリケーションや設定が適用されます。



Workspace ONE UEMの管理コンソールで確認してもユーザーが切り替わっていることが確認できます。


また、Azure AD JoinをしたのでAzure AD上のデバイス一覧にデバイスが登録されていることが確認できます。


■おわりに

以上で、プロビジョニングパッケージを使ったWorkspace ONE UEM代理加入のご紹介は終わりです。

Factory Provisioningでしか使用できないと思っていたWorkspace ONE UEMでのプロビジョニングパッケージ作成機能が、別の用途にも使えることを確認できたのが良い発見でした。このプロビジョニングパッケージを使うことで、Azure AD PremiumなしでAzure AD Join後の自動MDM加入ができるのも面白い機能ですね。

今回はAzure AD Joinで試しましたがオンプレミスADでもできるようですし、今度違う構成も試してみたいと思います。


■参考URL

・Workspace ONE UEM:OOBE (Out-Of-Box Experience) 中の暗号化された PPKG の追加
https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/Provisioning_WorkspaceONE/GUID-0BA986A7-76EA-475C-86A4-F08156C4C557.html