VMware Workspace ONE UEMでWindows 10/11やmacOSデバイスを管理していると、より細かくデバイス情報を収集したくなります。WMIで取得できる情報あれやこれやだったり、レジストリ情報や特定ファイルのハッシュ値、フォルダーサイズなどを収集できると便利ですよね。
Workspace ONE UEMが標準で取得できる情報を超えてデバイス情報を収集するには、Workspace ONE UEMの機能のひとつであるWorkspace ONEセンサーが利用できます。
Workspace ONEセンサーはWindows 10、macOSおよびLinuxデバイスで使用でき、Windows 10/11ならPowerShell、macOSならBash/Zsh/Python 3、LinuxならBashといった具合にスクリプト言語を用いて、デバイスの詳細なデータ収集を自動化できます。
Workspace ONEセンサーはWorkspace ONE Intelligenceのレポート、ダッシュボード、自動化で使用できるほか、Workspace ONE UEMのFreestyle Orchestratorにおいてワークフロー作成時の条件として活用することができ、とても便利な機能です。
センサーサンプルスクリプトの入手
とはいえPowerShellなどのスクリプトをゼロから多数、書き起こすのも骨が折れる作業です。
VMware {code}にてWindows 10/11用およびmacOS用のセンサーサンプルスクリプトが公開されていますのでこれを利用しないテはありません。BIOS情報、OS情報、システム情報、TPM情報、BranchCache情報などをより詳細に収集できるスクリプト群となっています。
サンプルと侮るなかれ、そのまま運用環境で便利に使えるよ! くらいのデキです。
サンプルスクリプトの一括登録
ここからはWindows 10/11向けのスクリプトを一括登録することとして、Windows 10 PC上で作業を進めていきたいと思います。
サンプルスクリプト euc-samples-master.zip をダウンロードし解凍しましょう。展開されたフォルダー群から UEM-Samples¥Sensors¥Windows フォルダーを開きます。ここにはサンプルスクリプトが多数、収録されています。個々のファイル名がセンサーの属性名、収集された情報が属性値となります。
メモ帳などのテキストエディターで README.md を開いて ##Workspace ONE Sensors Importer の項目を見てみると、どうやら import_sensor_samples.ps1 でサンプルスクリプトをまとめてWorkspace ONE UEMへインポート、一括登録ができそうです。
テキストエディターで import_sensor_samples.ps1 を開くと .EXAMPLE がありますのでこれを利用することにします。最低限、以下の情報が必要なようです。UEMコンソールの各項目から必要な情報を採取、コピペしましょう。
- WorkspaceONEServer Workspace ONE UEM APIサーバーのサーバーURL
- WorkspaceONEAdmin 管理者アカウント
- WorkspaceONEAdminPW 管理者アカウントのパスワード
- WorkspaceONEAPIKey REST APIキー
- OrganizationGroupName 組織グループの表示名
- SmartGroupName スマートグループ名
コピペで EXAMPLE を書き換えて適切な値を入力しました。
まずはスクリプト実行準備です。PowerShellを管理者モードで立ち上げてPowerShell実行ポリシーを一時的に変更し、署名されていないスクリプトを実行できる Unrestricted とします。作業が終わったら Restricted なり Allsigned なりに戻すことをお忘れなく。
Set-ExecutionPolicy Unrestricted
サンプルスクリプトフォルダーに移動し、.\import_sensor_samples.ps1 から -LOGIN -LOGOUT までをコピーしPowerShellにペースト、エンターキー押下でスクリプトが実行されます。
** サンプルそのままなのでこれをコピペしても動きません **
.\import_sensor_samples.ps1 `
-WorkspaceONEServer 'https://as###.awmdm.com' `
-WorkspaceONEAdmin "administrator" `
-WorkspaceONEAdminPW 'P@ssw0rd' `
-WorkspaceONEAPIKey '7t5NQg8bGUQdRTGtmDBBu9W+7hnvYGzyCAP+E=' `
-OrganizationGroupName 'Digital Workspace Tech Zone' `
-SmartGroupName 'All Devices' `
-UpdateSensors `
-TriggerType 'EVENT' `
-LOGIN -LOGOUT
have a great day! ということでインポートが完了しました。途中でエラーっぽい赤文字も流れていきましたが、README.md などps1スクリプト以外のものをインポートしようとしてエラーになっているだけなので無視して構いません。セキュリティのためPowerShell実行ポリシーを戻しましょう。
Set-ExecutionPolicy Restricted収集したセンサー値の確認
UEMコンソールでリソース > センサー と移動すると、無事にセンサーが登録されているようです。インポートしたセンサーはスクリプト内で指定したスマートグループに割り当て済みですので、スマートグループに含まれるWindowsデバイスでセンサーの収集が始まっています。
5〜10分ほど待つとデバイスで収集された情報が順次UEMコンソールにアップロードされてきます。UEMコンソールで加入済みWindows 10デバイスの詳細を見てみましょう。センサー値が取得できていることが確認できます。
センサー値をエクスポートしたものを整形してみました。イイ感じに収集できていますね。
このようにWorkspace ONEセンサーを利用することで、Workspace ONE UEMが標準で取得できる情報を超えてデバイス情報を収集することができました。またサンプルとは思えないほど有益、そのまま運用環境で便利に使える情報が収集できています。
Workspace ONE Intelligenceを使えば、センサー値から詳細なダッシュボードやレポートを簡単に作成することができます。
例えばセンサー値 bitlocker_encryption_method を集計して、どのBitLocker暗号化方式を用いたWindows PCが何台あるか、などもこのように視覚化することができます。MSの推奨では “固定ドライブとオペレーティングシステムのドライブの場合は、XTS アルゴリズムを使うことをお勧めします。” とあるのですが、AES128/256を使っているPCも少数あるようですね… みたいな。
