【休息日】Workspace ONE UEM の REST API をひとつひとつ試していく - 06

前回からずいぶん期間が開いてしまいましたが、今回もREST APIを試したいと思います。

今回試すREST APIは、Windowsのシングルユーザーモードとマルチユーザーモードの切り替えのためのAPIです。

このAPIは、以下で紹介されています。

APIコマンドを試す際のURLとして今回は、Omnissa Workspace ONE UEM API Explorerの「https://asxxxx.awmdm.com/API/help/Docs/Explore?urls.primaryName=MDM%20API%20V3#/DeviceActionsV3/DeviceActionsV3_ExecuteBulkDeviceActionAsync」を使用しました(赤文字の箇所はお使いの環境ごとに異なります)。

APIの実行前に、Workspace ONE UEMに加入したデバイスの情報を確認します。
画面右側の「デバイス情報」欄に、「Windows ユーザー モード」という項目があります。
ここで現在のユーザーモードを確認します。
また、この画面には表示されていませんが、「デバイス UUID」という項目と、「組織グループ UUID」という項目があります。
この二つの値も、押さえておきます。

本ページ上部で示したURLにアクセスします(※ホスト名は適宜読み替えます)。
今回実行するAPIは、以下のフォーマットに則ってPOSTでリクエストすることが求められます。
<組織グループ UUID>、<デバイス UUID>にはデバイスの詳細ページで抑えた値を入力します。
<操作内容>には、デバイスをマルチユーザーモードにするか、シングルユーザーモードにするかを選択可能です。

  • MIGRATE_TO_MULTIUSER:レガシーのシングルユーザーモードのWindows端末を、マルチユーザーモードにするための操作
  • CHANGE_TO_MULTIUSER:シングルユーザーモードで使用していたWindows端末を、マルチユーザーモードにするための操作
  • CHANGE_TO_SINGLEUSER:マルチユーザーモードで使用していたWindows端末を、シングルユーザーモードにするための操作

############################
{
  "filter": {
    "organization_group_uuid": "<組織グループ UUID>",
    "device_uuids": [
      "<デバイス UUID>"
    ]
  },
  "action_name": "<操作内容>"
}
############################

Workspace ONE UEM API Explorerの大まかな使い方は、
こちらの記事をもとに今回思い出しながら実施しました。
なお、今回はマルチユーザーモード→シングルユーザーモードの操作にしました。

実行後、再びデバイスの画面を確認すると、「Windows ユーザー モード」が変わっていることが確認できます。

「ユーザー情報」欄を確認すると、「シングル ユーザー モード - ユーザーの再割り当てが一時停止されました。」と表示されます。

●そもそもマルチユーザーモードとシングルユーザーモードだと何が違うのか?
Windows端末の場合、一つの端末に複数のユーザーが各自のアカウントでOSログインすることがあります。同じPCでも、今日は鈴木さん、明日は田中さん、あさっては佐藤さんといった具合に、使用者が変わります。
従来のWorkspace ONE UEMでは、そんな場合でも、Workspace ONE UEMからWindows端末に配布される設定は最初にWorkspace ONE UEMに加入したユーザーアカウントに基づいて配布されていました。例えば、鈴木さんのアカウントでWorkspace ONE UEMにWindows端末を加入させたら、そのあとOSにログインするユーザーが田中さん、佐藤さんと変わったとしても、ずっと鈴木さんのアカウント向けの設定が、Workpace ONE UEMからWindows端末に配布、適用されたままでした。このモードのことをシングルユーザーモードと呼んでいます。このような場合、利用ケースによっては田中さん、佐藤さんが使うときに不便になってしまうことがあります。
マルチユーザーモードは、そのような問題に対応するために、OSにログインしたアカウントに応じて、Workpace ONE UEMから配布される設定も、変更されるモードです。OSにログインしたアカウントが田中さんなら、田中さん向けの設定が、Workpace ONE UEMから配布、適用されます。翌日佐藤さんがOSにログインしたら、Workpace ONE UEMは佐藤さん向けの設定をそのWindows端末に配布します。

今回試したAPIは、必要に応じて、このマルチユーザーモードと、シングルユーザーモードを切り替えることが可能なAPIです。

Workspace ONE UEMでは、現在モダンスタックと呼ばれる新しいアーキテクチャが導入されつつあります。
モダンスタック化が完了した環境ではWindows端末においてWorkpace ONE UEMのマルチユーザーモードが利用可能になり、Windows端末が加入すると、デフォルトでマルチユーザーモードとなります。ただし利用ケースによっては、シングルユーザーモードの方が適している、という場合もあるため、今回試したAPIを使用して、マルチユーザーモードで発生するユーザー切替動作を一時停止して、シングルユーザーモードの端末として使うことも可能です(「シングル ユーザー モード - ユーザーの再割り当てが一時停止されました。」というメッセージ表示はこのためだと思われます)。

なお、今回試したのはAPIですが、検証の途中で、以下のような画面を見つけました。

...どうやら、一台ずつであれば、GUI画面を使って容易に切り替え操作が行えそうです。

このブログの人気の投稿

Microsoft Graph PowerShellモジュールでMicrosoft 365の認証をWorkspace ONE Accessにフェデレーションする

イメージ
耐寒マツバギク(2024/5/18撮影) タンポポに似て、円形に細い花弁を持っていることや、その名前からキクの仲間と思ったところ、調べてみると違う植物の仲間だそうです。 マツバギクという名称なのでなんとなくアジア原産かと思っていたら、南アフリカ原産でした。 New-MgDomainFederationConfiguration コマンドというコマンドがあるそうです。 以下URLを見てみると、 前回のブログエントリ で使用した Set-MsolDomainAuthentication コマンドの後継コマンドだそうです。どうやら、Microsoftは将来的にSet-MsolDomainAuthenticationをはじめとしたコマンドの一式を非サポートとするようです。 Find Azure AD PowerShell and MSOnline cmdlets in Microsoft Graph PowerShell 今回私は、近い将来来る変化に備えて、New-MgDomainFederationConfiguration コマンドを使用してMicrosoft 365の認証をWorkspace ONE Accessに委任する方式を試してみました。 本ブログエントリは2024年5月18日時点で筆者が確認できた情報をもとに作成しております。本ブログエントリを参考に同様の手順を実行する場合、その時々の各製品、サービスの提供元の公式情報をご確認ください。 【2024年12月15日更新: このMicrosoft日本チームのブログ記事 を見ると、2025年3月30日をもってMSOLコマンドのサポートが完全に提供されなくなるようです】 ■目次 Microsoft.Graph.Identity.DirectoryManagement モジュールのインストール Microsoft 365に接続 Microsoft 365に存在するドメインのリスト表示 New-MgDomainFederationConfiguration コマンドによるフェデレーション設定 ログイン確認 その他躓いたこと ①Microsoft.Graph.Identity.DirectoryManagement モジュールのインストール Set-MsolDomainAuthentication コマンドは MSOnlin...
Read more »

■Workspace ONE UEM API Explorerについて

イメージ
この投稿は、 vExperts Advent Calendar 2019 - Adventar の 12日目の記事 です。 今年初めて vExperts Advent Calendar に参加させていただきます。どうぞ宜しくお願い致します。 今回の記事のテーマは、 「Workspace ONE UEM(以下UEM)の持つREST APIの動作確認をしてみること」 です。 VMware製品の持つAPIの多くは、以下のページでどのようなものがあるかを確認することが可能です。 VMware API Explorer ただ、 UEM のAPI については上記ページに記載はなく、UEMホストそのものに同様のページが設けられています。具体的には各UEMホストの、以下のURLに準備されています。 https://<UEMのFQDN>/api/help/#!/apis ※2020/9/25 追記:確認する範囲では <UEMのFQDN>でもAPI Explorerにはアクセス可能ですが、 多くのSaaS共有環境では、API のURLは普段管理コンソールとして利用するcnXXX.awmdm.comの先頭二文字のcnをasに入れ替えた値となります(API ExplorerのFQDNも本来はこちらになります)。 UAGなどでTunnelやContent Gatewayなどの構成要件として APIとの通信が必要な 場合は、 <UEMのFQDN>ではなく、 asXXX.awmdm.comなどのような、API用URL をご確認の上、通信を許可してください。なお 管理者権限にもよりますが、 API用URLについては SaaS共有環境であれば[グループと設定]>[すべての設定]>[システム]>[高度な設定]>[サイトURL]で確認可能です(2020/9/25時点)。    REST API用のURLの確認画面。 ※画像はConsole Administrator権限で確認した際のもの 上記URLにアクセスすると、 Workspace ONE UEM API Explorer が表示されます。 REST APIの動作確認というと、 postmanなどのREST Clientをインストール したり、 FireF...
Read more »

●久々にESXiのカスタムISOをつくってみた

ブログのタイトルに仮想化という言葉がはいっているのですが、ここ2-3年ESXiなどにちゃんと触れていないことに気づき、後ろめたい気持ちがあったので、久々に仮想化について記載いたします。 今回は自作PCをくみ上げ、ESXi 6.7をインストールしてみました。 ※7じゃなくて6.7な理由は、自作パソコンをくみ上げた後にオンボードnicがRealtekさんだったことに気づいたためです。 ESXi 6.7までは有志の方が作ったRealtekのドライバを使うことができたようなのですが、7では使えないらしく、泣く泣くこの選択になりました。。。 参考: Homelab considerations for vSphere 7 そのため、インストールではなく、カスタムイメージの作成から始まります。 ※というかインストールはいろんな人がすでにブログで書いており、現状ほぼ自分も迷わないので、忘備録としてカスタムISOの作成だけを記載します。。汗 普段Workspace ONEに触れている私は、ESXiのカスタムイメージを作成する機会が滅多になく、作成のたびに2時間程度調べて格闘しなければいけなかったので、この機会に忘備録として記載してしまいます。。 なお、必要なイメージやVIBなどは以下を利用しました。 Net55-r8168 - V-Front VIBSDepot Wiki VMware vSphere Hypervisor (ESXi) 6.7U3b(オフラインバンドル) 手順は主に以下を参考にしました。 Using vSphere ESXi Image Builder to create an installable ISO that is not vulnerable to Heartbleed Using the vSphere ESXi Image Builder CLI ●ESXiのカスタムイメージ作成をやる前に、概念をぼんやり思い出そう 今回のESXiカスタムイメージ作成では、以下二つの概念が出てきます。 ソフトウェアデポ これはVIBなどのソフトウェアモジュールをプールしたモノのようです。ESXiのオフラインバンドルや拡張VIBモジュールのzipを入手したら、Add-EsxSoftwareDepotコマンドレットを使用して、とりあえずソフトウェアデポに追加していきます...
Read more »