こんにちは。SB C&Sの石井です。
VMware製品のプリセールスSEチームに所属しています。

Workspace ONE UEMは、様々なデバイスを管理する製品です。ユーザーが利用するデバイスをWorkspace ONE UEMに加入させることによって、デバイスの状態確認や設定・アプリケーションの配信といったデバイス管理が可能になります。

Workspace ONE UEMの加入方式は数種類の方法があり、自身のアカウント情報を直接入力する方式や管理者が代理加入させる方式、各メーカーが提供している自動キッティングサービスを利用した加入方式などがあります。

加入方式の種類に関しては、こちらのブログをご確認ください。
第1回：Workspace ONE UEMへの加入方式について ～加入方式の種類～
第2回：Workspace ONE UEMへの加入方式について ～直接加入編～
第3回：Workspace ONE UEMへの加入方式について ～代理加入/自動加入編～

企業がWorkspace ONE UEMにデバイスを加入させる際には、管理者がユーザーの代理となってデバイス加入を行う代理加入を使用するケースが多いです。今回は、Windowsの代理加入を簡単に実施できる方法としてプロビジョニング パッケージを使用した代理加入について紹介します。

　

プロビジョニング パッケージとは

プロビジョニング パッケージはWindowsの設定やアプリケーションをパッケージ化したファイルです。「.ppkg」の拡張子でファイルが作成されます。作成したプロビジョニング パッケージをWindows PCに適用することで、企業PCとしてのキッティングを行うことができます。プロビジョニング パッケージを作成するツールはMicrosoftが無償提供しており、Windows 10以降のPC展開に使用することが可能です。

プロビジョニング パッケージを使用してWindowsを展開する場合は、プリインストールされたPCをベースにプロビジョニングを行います。既存ドライバ等の変更はしないためPCの機種ごとにプロビジョニング パッケージを準備する必要がなく、1つのプロビジョニング パッケージを使用し、異なる機種のPCに適用することが可能です。

展開方法としては、USBメモリやCD/DVDなどのリムーバブルメディアから展開する方法やネットワーク共有・メールに添付してダウンロードさせる方法があります。

プロビジョニング パッケージは、Windows ADK（アセスメント & デプロイメント キット）と呼ばれるIT管理者向けのツールキットに含まれる、「Windows 構成デザイナー」を使用して作成します。この「Windows 構成デザイナー」を使用して、PCのドメインやWi-Fi・デバイス名の設定やインストールするアプリケーションの設定を、ウィザードに従って進めることで簡単に作成することが可能です。

上記画面イメージでご紹介したように、「Windows 構成デザイナー」のウィザードから設定できる内容は限定的になりますが、より詳細にカスタマイズをしたい場合は詳細エディターを使用することでカスタマイズ可能です。構成後、エクスポートを行うことでプロビジョニング パッケージのファイル（拡張子:ppkg）が生成されます。

作成したプロビジョニング パッケージはPCの初回起動時に適用することができます。プロビジョニング パッケージのファイルをUSBメモリ等に保存し、PC初回起動時のセットアップ画面でこのUSBメモリを接続すると、プロビジョニング パッケージを使用したセットアップが始まります。

セットアップが完了しPCにログインすると、IT管理者がプロビジョニング パッケージで適用した設定やアプリケーションがインストールされたデバイスを利用できるようになります。

ただし、プロビジョニング パッケージを使用した展開にはいくつかの注意点があります。プロビジョニング パッケージでカスタマイズできる項目はWidnows PCのすべての設定を網羅しているわけではありません。インストールできるアプリケーションも制限があり、基本的にはサイレントインストールに対応したアプリケーションのみ対応しています。

また、PCの展開は1台ずつ作業する必要があり、各PCを起動してプロビジョニング パッケージのファイルを適用していく必要があります。そのため、何千台といったデバイスの展開には向いておらず、数十台～数百台のデバイス展開に向いています。

　

Workspace ONE と組み合わせるメリット

ここまでご紹介したプロビジョニング パッケージは、Workspace ONE UEMへのWindows デバイス加入にも活用可能です。プロビジョニング パッケージを使用することでワンタッチキッティングでデバイスを準備することができ、なおかつWorkspace ONE UEMにも代理加入させることができます。

Workspace ONE UEMを使用してプロビジョニング パッケージを作成する場合、Windows ADKなどのツールは必要ありません。Workspace ONE UEMの管理コンソールからプロビジョニング パッケージを作成することができます。

基本的な設定内容は「Windows 構成デザイナー」と大きく変わりませんが、Workspace ONE UEMからプロビジョニング パッケージを作成する場合、ウィザードにあらかじめWorkspace ONE UEMに代理加入する際に必要な項目が用意されています。MDM加入設定を「Windows 構成デザイナー」から行う場合は、詳細エディターから項目を探す必要がありますが、Workspace ONE UEMの機能では簡単にMDM加入の設定を作成することが可能です。

アプリケーションもWorkspace ONE UEMの管理コンソール上で事前に準備したアプリケーションを選択することができます。そのため、プロビジョニング パッケージ作成時にアプリケーションをさらに追加で設定する必要はありません。

また、PCセットアップ時にアプリケーションをインストールできるメリットがあります。Workspace ONE UEM加入後に大きいサイズのアプリケーションをインストールしようとすると、インターネットからダウンロードが行われるため時間がかかってしまいますし、ネットワーク環境に負荷をかけてしまう可能性もあります。プロビジョニング パッケージを使用し、定型的なアプリをインターネットを介さずに事前にインストールすることで、このような問題も解決することができます。

プロビジョニング パッケージ作成後は前章でご紹介した「Windows 構成デザイナー」を使用するセットアップと変わらず、作成したファイルをUSBメモリ等に保存してPCのセットアップを行います。セットアップ完了後、ユーザーがWindowsへの初回ログイン時にWorkspace ONE UEMのユーザー認証を行うことで、そのユーザー用の追加アプリケーションや設定が適用されます。

このようにWorkspace ONE UEMにデバイスが加入することで、プロビジョニング パッケージだけではできない、セットアップ後の継続的なデバイス管理が可能になります。新しいアプリケーションのインストールや更新、プロファイルやベースラインを使用した追加の設定を配信することが可能です。

設定したプロファイルは、時間やデバイス状態に基づいて配布する、といったより高度な制御も可能になります。例えば、VPNプロファイルを業務時間内だけ配布することで業務時間外には社内システムにアクセスさせないといった制御や、ウイルス対策ソフトが有効になっていることが確認できた場合にのみ社内ネットワークのWi-Fiのプロファイルを配布する、といったことも可能になります。

　

さらにWorkspace ONEでは、このプロビジョニング パッケージを活用した「Drop Ship Provisioning」と呼ばれるWorkspace ONE独自の自動キッティングサービスを提供しています。「Drop Ship Provisioning」を活用すると、IT管理者・キッティング作業者の手を介することなく、メーカーから届いたPCにユーザーがログインするだけでセットアップが完了します。

　

まとめ

今回は、Workspace ONE UEMのWindows代理加入を簡単に実施できる方法としてプロビジョニング パッケージを紹介しました。

手作業で数多くのPCのセットアップやWorkspace ONE UEMへの加入処理を行おうとすると管理者の負担がかかります。また、エンドユーザーに直接オンボーディング作業としてPCセットアップを実施してもらうのは、ユーザーの手間が発生するのと同時に作業ミスのリスクが高くなってしまいます。Workspace ONE UEMとプロビジョニング パッケージを合わせて活用することで、デバイスのセットアップ作業を簡略化しIT管理者の負担を減らすことができます。

Workspace ONE UEMを活用したデバイスセットアップの手段として、本ブログでご紹介した方法をご検討していただければ幸いです。