Workspace ONE には「順守ポリシー」という機能があります。
今回は順守ポリシーを設定して動きを確認してみます。
【順守ポリシーとは】
デバイスが守るべきルール(ポリシー)を設定し、守っていない場合に通知したり、ワイプなどのアクションを行うことができます。
例えば、パスコードが設定されていないデバイスがあった場合に管理者へ通知したり、OSバージョンが古いデバイスにアップデートを促すメッセージを送ることができます。
https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/services/managing-devices/GUID-CompliancePolicies.html
順守ポリシーで設定できるルールにはOSの脱獄やroot化をチェックする「侵害状態」や、パスコードの設定状態をチェックする「パスコード」などがあります。
設定できるルール、アクションは以下VMwareドキュメントに記載があります。
https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/2302/UEM_Managing_Devices/GUID-CompliancePolicyRulesAndActions.html
それでは実際に設定してみます!
【順守ポリシーの作成】
パスコードの設定有無をチェックする順守ポリシーを作成してみます。
①デバイス > 順守ポリシー > リスト表示 を選択し、「追加」をクリックします。
②プラットフォームを選択します。今回はAndroidを選択します。
③順守ポリシーのルールを設定します。
設定の右や下部にある+をクリックすると複数条件を設定できます。
条件は And / Or どちらも設定可能です。
今回はパスコードをルールとして指定します。
④ルール違反を検知した際のアクションを設定します。
「非順守状態としてマーク」することで、UEM Console上からデバイスがルール違反しているかを確認することができます。
マークしないと、デバイスの一覧等からルール違反しているかの確認ができません。
また、非順守状態としてマークすることでWorkspace ONE Access の認証や Tunnel の接続をブロックできます。
特に理由がないのであればこのチェックは外す必要がないかと思います。
設定の右や下部にある+をクリックすると複数アクションを設定できます。
今回は管理者へのメール通知をアクションとして指定します。
⑤順守ポリシーを適用するスマートグループを指定します。
⑥順守ポリシーの名前、説明はデフォルトで入力されるので、適宜修正して「完了してアクティブ化」をクリックします。
⑦リストの一覧に作成した順守ポリシーが表示されます。
【順守ポリシーの動作確認】
作成した順守ポリシーを違反した場合の動きを見てみます。
順守ポリシー違反デバイスの確認
順守ポリシーの一覧より、非順守状態のデバイス数を確認できます。
数字をクリックすると、デバイスを一覧で確認できます。
フレンドリ名をクリックすると、デバイスの詳細ページが表示されます。
デバイスの一覧からも、非順守状態であることが確認できます。
順守ポリシー再評価
今回の場合、デバイス側でパスコードを設定してしばらくすると自動的に順守状態となります。
すぐにUEMコンソールに反映させたい場合は、以下どちらかの画面で再評価を実行します。
■ポリシー一覧
【まとめ】
順守ポリシーを利用することで、セキュリティチェックや対処の自動化が期待できます。
また、Workspace ONE Access などの製品と組み合わせることでよりセキュリティを高めたり、いろいろな活用が考えられる機能でもあります。
運用上の注意点として、キッティング最中にはパスコード設定前に評価がされてしまうことがあります。
パスコードだけではないのですが、キッティング中は順守ポリシーの評価が意図したものと違うことが考えられるため、順守ポリシー適用のタイミングや確認などをどのように行うかの考慮も必要です。
