順守プロファイルの挙動について誤解していたこと


彼岸花(2024/09/28撮影)
英語ではこの花のことをCluster amaryllisやRed spider lilyと呼ぶそうです。
この花は秋分の日に咲きます。日本では春分と秋分にヒガンと呼ばれる仏教の法要があります。この花はヒガンの季節に咲くので「ヒガンバナ」と呼ばれます。

久しぶりの投稿となってしまいましたが、今回は順守プロファイルの注意すべき挙動について記載したいと思います。

●順守プロファイルって何だ?

順守プロファイルとは、順守ポリシーのアクションでデバイスに配信することのできるプロファイルのことを指します。

作り方は通常のプロファイルとほぼ同じなのですが、プロファイル作成時の「全般」タブにおいて、「Assignment Type」を「Compliance」に設定します。

Complianceにする操作は既存のプロファイルに対しても行うことができますが、
既存の値がComplianceとなっているプロファイルをAutoやOptionalにできないようなので注意しましょう

このようにしておくことで、順守ポリシーの中でアクションを定義するときにこのプロファイルを指定できるようになります。

上記で設定したプロファイルを赤い線で囲った中で指定しています

このように設定しておくと、順守ポリシーを満たさないデバイスに対して、順守プロファイルを強制的にインストールさせることができます。

●私はどのような挙動を誤解していたのか

私はこの機能を見たときに、「この機能を使えば、ある要件を満たさないデバイスに、その要件を満たすように設定したプロファイルを配布することで、デバイスを強制的に順守ポリシーのルールに合致するように設定できるのではないか」と考えました。私には順守プロファイルが、非順守状態のデバイスを順守状態にするための治療法のように思えたのですが、それは誤解でした。

なぜなら、順守プロファイルは非順守状態のデバイスに適用されたのち、デバイスが順守状態になれば、適用が外れるからです。

その挙動を示す例として、以下KBがあります。

このKBはBitLockerで暗号化されていないWindowsデバイスに対して、順守プロファイルを用いて暗号化プロファイルを配布し、BitLocker暗号化を行うように設定した場合の動作について記載されています。

私ははじめ、上記のような設定を行えば、BitLockerの暗号化がおこなわれていないWindowsデバイスに対してもれなくBitLockerの暗号化を強制できるものと考えていました。

しかしながら、上記のKBのCause欄を見てみると以下の流れであることがわかります。

  1. 暗号化されていない非順守のデバイスに順守プロファイルとしてBitLockerの暗号化プロファイルが配布される
  2. デバイスが暗号化される
  3. デバイスが順守状態となる
  4. デバイスが順守状態となったため、BitLockerの暗号化プロファイルがデバイス上から消える
  5. デバイスの暗号化が解除される
  6. デバイスが非順守状態になる(そして1に戻り、無限の暗号化と復号のループが起こる

当初私は「順守プロファイルが、非順守状態のデバイスを順守状態にするための治療法」ととらえていましたが、どうやら順守プロファイルはそのような用途を意図しては設計されていないようです。

そもそも順守ポリシーは多くの場合において、非順守状態のデバイスのユーザーに対して順守するようにメッセージを飛ばして順守状態となるよう行動を促したり、非順守状態のデバイスから、指定したアプリやプロファイルを削除したりするなど、ルール違反をしたデバイスやユーザーに対してペナルティとなる動作をします。そしてこのペナルティは一度デバイスが順守状態となれば解除されます(デバイスワイプのようなアクションが指定されていなければ)。

順守プロファイルも、順守ポリシーの他のアクション同様、ルール違反をしたデバイスに対するペナルティです。そのため、一度順守状態となったデバイスからは削除されます。ルールを順守するように変わったデバイスにペナルティは不要ですから、考えてみれば当然の動作といえるでしょう。

現在私は、我々がルールを順守していないデバイスを自動的に検知して、自動的にルールに従うようデバイスに強制したい場合は、FreeStyle Orchestratorやスクリプト、プロダクトプロビジョニングなどの機能で対応した方がよさそうだと考えています。


このブログの人気の投稿

●久々にESXiのカスタムISOをつくってみた

ブログのタイトルに仮想化という言葉がはいっているのですが、ここ2-3年ESXiなどにちゃんと触れていないことに気づき、後ろめたい気持ちがあったので、久々に仮想化について記載いたします。 今回は自作PCをくみ上げ、ESXi 6.7をインストールしてみました。 ※7じゃなくて6.7な理由は、自作パソコンをくみ上げた後にオンボードnicがRealtekさんだったことに気づいたためです。 ESXi 6.7までは有志の方が作ったRealtekのドライバを使うことができたようなのですが、7では使えないらしく、泣く泣くこの選択になりました。。。 参考: Homelab considerations for vSphere 7 そのため、インストールではなく、カスタムイメージの作成から始まります。 ※というかインストールはいろんな人がすでにブログで書いており、現状ほぼ自分も迷わないので、忘備録としてカスタムISOの作成だけを記載します。。汗 普段Workspace ONEに触れている私は、ESXiのカスタムイメージを作成する機会が滅多になく、作成のたびに2時間程度調べて格闘しなければいけなかったので、この機会に忘備録として記載してしまいます。。 なお、必要なイメージやVIBなどは以下を利用しました。 Net55-r8168 - V-Front VIBSDepot Wiki VMware vSphere Hypervisor (ESXi) 6.7U3b(オフラインバンドル) 手順は主に以下を参考にしました。 Using vSphere ESXi Image Builder to create an installable ISO that is not vulnerable to Heartbleed Using the vSphere ESXi Image Builder CLI ●ESXiのカスタムイメージ作成をやる前に、概念をぼんやり思い出そう 今回のESXiカスタムイメージ作成では、以下二つの概念が出てきます。 ソフトウェアデポ これはVIBなどのソフトウェアモジュールをプールしたモノのようです。ESXiのオフラインバンドルや拡張VIBモジュールのzipを入手したら、Add-EsxSoftwareDepotコマンドレットを使用して、とりあえずソフトウェアデポに追加していきます...
Read more »

Microsoft Graph PowerShellモジュールでMicrosoft 365の認証をWorkspace ONE Accessにフェデレーションする

イメージ
耐寒マツバギク(2024/5/18撮影) タンポポに似て、円形に細い花弁を持っていることや、その名前からキクの仲間と思ったところ、調べてみると違う植物の仲間だそうです。 マツバギクという名称なのでなんとなくアジア原産かと思っていたら、南アフリカ原産でした。 New-MgDomainFederationConfiguration コマンドというコマンドがあるそうです。 以下URLを見てみると、 前回のブログエントリ で使用した Set-MsolDomainAuthentication コマンドの後継コマンドだそうです。どうやら、Microsoftは将来的にSet-MsolDomainAuthenticationをはじめとしたコマンドの一式を非サポートとするようです。 Find Azure AD PowerShell and MSOnline cmdlets in Microsoft Graph PowerShell 今回私は、近い将来来る変化に備えて、New-MgDomainFederationConfiguration コマンドを使用してMicrosoft 365の認証をWorkspace ONE Accessに委任する方式を試してみました。 本ブログエントリは2024年5月18日時点で筆者が確認できた情報をもとに作成しております。本ブログエントリを参考に同様の手順を実行する場合、その時々の各製品、サービスの提供元の公式情報をご確認ください。 【2024年12月15日更新: このMicrosoft日本チームのブログ記事 を見ると、2025年3月30日をもってMSOLコマンドのサポートが完全に提供されなくなるようです】 ■目次 Microsoft.Graph.Identity.DirectoryManagement モジュールのインストール Microsoft 365に接続 Microsoft 365に存在するドメインのリスト表示 New-MgDomainFederationConfiguration コマンドによるフェデレーション設定 ログイン確認 その他躓いたこと ①Microsoft.Graph.Identity.DirectoryManagement モジュールのインストール Set-MsolDomainAuthentication コマンドは MSOnlin...
Read more »

■Workspace ONE UEM API Explorerについて

イメージ
この投稿は、 vExperts Advent Calendar 2019 - Adventar の 12日目の記事 です。 今年初めて vExperts Advent Calendar に参加させていただきます。どうぞ宜しくお願い致します。 今回の記事のテーマは、 「Workspace ONE UEM(以下UEM)の持つREST APIの動作確認をしてみること」 です。 VMware製品の持つAPIの多くは、以下のページでどのようなものがあるかを確認することが可能です。 VMware API Explorer ただ、 UEM のAPI については上記ページに記載はなく、UEMホストそのものに同様のページが設けられています。具体的には各UEMホストの、以下のURLに準備されています。 https://<UEMのFQDN>/api/help/#!/apis ※2020/9/25 追記:確認する範囲では <UEMのFQDN>でもAPI Explorerにはアクセス可能ですが、 多くのSaaS共有環境では、API のURLは普段管理コンソールとして利用するcnXXX.awmdm.comの先頭二文字のcnをasに入れ替えた値となります(API ExplorerのFQDNも本来はこちらになります)。 UAGなどでTunnelやContent Gatewayなどの構成要件として APIとの通信が必要な 場合は、 <UEMのFQDN>ではなく、 asXXX.awmdm.comなどのような、API用URL をご確認の上、通信を許可してください。なお 管理者権限にもよりますが、 API用URLについては SaaS共有環境であれば[グループと設定]>[すべての設定]>[システム]>[高度な設定]>[サイトURL]で確認可能です(2020/9/25時点)。    REST API用のURLの確認画面。 ※画像はConsole Administrator権限で確認した際のもの 上記URLにアクセスすると、 Workspace ONE UEM API Explorer が表示されます。 REST APIの動作確認というと、 postmanなどのREST Clientをインストール したり、 FireF...
Read more »