■ひっそりとWorkspace ONE UEMを解説する(4)：順守ポリシーってなんだ？

 この投稿は、『vExperts Advent Calendar 2020』の4日目の投稿です。

 本記事ではWorkspace ONE UEM の機能のうちのひとつ、順守ポリシーについてご紹介します。

順守ポリシーは、デバイスが企業や組織で利用するうえで定めたルールを守っているかどうかを判別し、守っていないルールの内容に応じて管理者が定めたアクションを実行する機能です。例えば、以下のようなことが可能になります。

• 会社で定めたバージョンのOSで動作しないデバイスに対して、OS更新を行うよう促す
• ローミング状態のデバイスにWifi設定用のプロファイルをインストールさせる
•  パスコードがないデバイスやディスクが暗号化されていないデバイスを管理者にメールで通知する、などなど。。

ルールとアクションはUEM上で設定可能なものであれば、自由に組み合わせることが可能です。

アクションの中にはUEMから配信したプロファイルやアプリを削除したり、デバイスをUEMの管理から外したり等、実際に業務で利用するデバイスに対して実行されると即座に業務影響が出かねない、いわば最終手段のようなアクションもあります。そのため、例えば条件違反をして１日そのままだったら、ユーザーに通知をだす。３日そのままだったら、管理者にメールを出す。1週間そのままだったら、デバイス上の特定アプリを使わせなくする。等、段階的に強くしていく構成が可能です（いきなりデバイスの機能に対して実効力を持つアクションを実行する設定にすると、ユーザーが混乱し、かえって管理者への問い合わせが増えて仕事が増加する恐れもあります。。）。

ユーザーが違反したことに気づかない状態で業務に影響が出るような
アクションが実行されると、ユーザーの混乱を招くことも

事前に通知を入れるなどのワンクッション置くことで
デバイスに指定の条件を順守させるよう促し、ユーザーの混乱を回避することが可能

この順守ポリシーはWorkspace ONE UEM がAirWatchだったころから存在していた機能ですが、VMware Identity Manager(現Workspace ONE Access)と組み合わせて使うようになったころから、Workspace ONE Accessに統合したWebアプリケーションなどへの条件付きアクセスを提供する際に使用可能になりました。

Workspace ONE Access は、企業で利用が増えつつあるSaaSサービスや、VMware Horizonなどの仮想デスクトップのアクセスリンクをひとつのカタログとしてポータルページにまとめ、ユーザーにワンストップで各サービスへのアクセス窓口を提供する製品です。

Workspace ONE Accessはただアクセス窓口を提供するだけでなく、登録されたサービスへのアクセス許可をさまざまな要素で判定します。ユーザー名/パスワードはもちろん、ワンタイムパスワードを用いた2要素認証も可能ですし、Workspace ONE UEM からプロファイルとして配布された クライアント証明書などを使うことも可能です。
※多要素認証を行うときの要素同士の組み合わせには決まりがあるので、少し注意が必要です。この辺りはWorkspace ONE Accessのご紹介の際に、記載したいと思います。

Workspace ONE UEM の順守ポリシーの順守状態も条件のひとつとして利用可能で、順守違反をしているデバイスについては登録したサービスへのアクセスを拒否することが可能です。

また、最近ではAzure Active Directoryにおいても、Workspace ONE UEM の順守ポリシーの順守状態を条件付きアクセスの要素として利用可能になりつつあります(2020年12月4日時点ではパブリックプレビューです)。

• Intune でサードパーティのデバイス コンプライアンス パートナーをサポートする 

上記のMicrosoft社のドキュメントでは、iOSとAndroidについての「コンプライアンスの状態データ」を利用可能とあります。この二つで、実際にどのようなルールで判定できるのかを、ちょっと覗いてみましょう。

●iOS

 iOSは、16種類の項目を組み合わせてルールを作成可能です。以下図の赤枠で囲んだ部分がその項目です。デバイス上のアプリケーションのリストやSIMカード変更、OSバージョンや暗号化(iOSの場合はパスコードの有無として判定)等がルールの作成要素などの要素がポピュラーな条件として使われている印象があります。

●Android 

Androidは、iOSよりも多い18項目を使ってルールを作成することが可能です。iOSもAndroidも、プルダウンから項目を選択して条件を指定しルールを作成していきます。
細かいルールを設定したいときは、画面右側の[+]ボタンをクリックして項目数を増やし、新たに条件を追加可能です。

また、順守ポリシーの条件に違反していたとしても、どのタイミングで「順守違反」と識別するかも選択することが可能です。

以下のスクリーンショットでは、順守ポリシーの条件に違反してから2日後に「順守違反」と識別されるように設定したときの画面になります。

私はAzure Active Directoryの条件付きアクセスとの連携について知った時、「順守違反」と判定されればAzure Active Directoryから即座にアクセスをブロックされてしまう(＝気づかず順守違反したユーザーにとっては混乱の種になってしまう)のでは、と危惧していたのですが、この「順守違反」判定のタイミングをずらす機能を使えば、Azure Active Directoryから即座にアクセスをブロックされて混乱するユーザーが出る。。。なんてことも未然に防ぎ、ユーザーに順守ポリシーの条件を守るよう促すことが出来るのではないか、と想像しています(未検証なので、この機能についてはゆくゆくどこかで試したいです。。)。