こんにちは。tkです。
Workspace ONEでデバイスを管理するためにはUEM上にユーザーアカントが必要なのですが、社員人数分のユーザーを全部作成、更新するのは大変ですよね。
Workspace ONEではcsvによる一括登録などもできるのですが、Active Directoryと連携するのが便利です。
というわけで、今回はWorkspace ONEのActive Directory連携について紹介したいと思います!
【システム構成】
ディレクトリ連携のイメージ図です。
「AirWatch Cloud Connector」という中間サーバが必要になります。
【AirWatch Cloud Connectorとは】
Workspace ONE UEMとオンプレミスADのアカウント同期をする際に必要となる中間サーバです。(略称はACC)
AzureでいうところのAzure AD Connectですね。
ACCサーバのシステム要件がVMware社公開のドキュメントにまとめられています。
<https://docs.vmware.com/en/VMware-Workspace-ONE-UEM/services/AirWatch_Cloud_Connector/GUID-AWT-ACC-REQSONPREM.html>
気を付けたいのは、Windowsサーバの英語OSしか対応していない点です。
ACCとWorkspace ONE間の通信はPort80番か443番なので、FWやプロキシの設定はシンプルかなと思います。
またACCの通信はアウトバウンド(外へ出ていく通信)のみなのも覚えておくとネットワーク設計の際に役立ちそうですね。
【ディレクトリ連携設定手順】
ADサーバ設定
この検証では「binduser」というユーザーIDで作成します。
ACC利用準備
①[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [Cloud Connector] を選択する。
②現在の設定を「オーバーライド」に変更し、AirWatch Cloud Connectorと自動更新を「有効」にして「保存」をクリックする。
③保存後、ダウンロードリンクからACCインストーラを取得する。
④ダウンロードの際にパスワードの設定を行う。
※このパスワードはACCをインストールする際に必要です
ACCインストール
①ACC用Windowsサーバにてダウンロードしたインストーラをを実行し、「Next」をクリックする。
UEM設定
①[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [ディレクトリサービス] を選択し、「ウィザードをスキップして手動で構成」をクリックする。
②ディレクトリサービスの画面の「サーバ」設定にて以下の通り設定する。
③ディレクトリサービスの画面の「ユーザー」設定にて以下の通り設定する。
④ディレクトリサービスの画面の「グループ」設定にて以下の通り設定する。
※想定以上の変更を抑止するための設定です。組織変更等により大きな変更が行われる可能性を考慮し、最大値を設定します。
⑤[グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [加入] を選択し、現在の設定をオーバーライドし、「ディレクトリ」にチェックを入れて保存する。
これでUEM上に作成したベーシックユーザーだけでなく、ディレクトリ同期により作成されたユーザーでもデバイス加入ができるようになる。
⑥[アカウント] > [ユーザーグループ] > [リスト表示] を選択し、[追加] > [ユーザーグループを追加]をクリックする。
⑦タイプ「ディレクトリ」でテキスト検索を行う。同期したいAD上のグループを検索、追加する。
【まとめ】
運用中のオンプレミスADと連携することで、PCと同じアカウントでスマホも管理できるようになります。
ADを運用されている会社では是非使いたい機能ですね。
ディレクトリ連携機能で構築も運用も効率化され、管理者も利用者もWin-Winです。
