สวัสดีครับ สำหรับ feature นี้ทางลูกค้าของผมก็รอกันมานานเหมือนกันครับ เวลานี้หลายๆ องค์กรได้มีการใช้ Azure AD Conditional Access กันมากมาย จนคิดว่า Microsoft รองรับ device conditional access ที่เป็น Microsoft อย่างเดียว เช่น Intune – MS Endpoint – SCCM จริงๆแล้วไม่ถูกต้อง นะครับ

เมื่อปลายปีที่แล้ว ตอนที่ Microsoft ออก Microsoft Endpoint ออกมา มีส่วนหนึ่งในการทำ 3 party conditional access ทาง Microsoft เปิดโอกาสให้ 3rd party เข้ามาใช้งานได้ด้วย เช่น Workspace ONE (Airwatch)

Concept ภาพรวมง่ายๆ คือ เราสามารถส่ง Device information – Device Compliance (Signal) จาก Workspace ONE (Airwatch) ไปให้ทาง Azure AD ได้รู้จัก Workspace ONE โดยเป็นส่วนหนึ่งของ Signal ที่ส่งมา

เชื่อมต่อเสร็จแล้วก็ทำการ สร้าง Decision Rule กำหนดเงื่อนไขในการใช้งาน แบบ Device ที่เข้ามาใช้งาน โดยไม่ต้องเปลี่ยนไปใช้ Microsoft Endpoint ก็ได้ เรายังสามารถใช้ Use case ของ Workspace ONE ได้เหมือนเดิมเช่น deploy app , unified app catalog , remote support , bitlocker life cycle management , Per app or Full Device VPN , UEM , …มากมาย

Requirements
1.Workspace ONE UEM – On premise (2010 – above) or Cloud
Note :WS1 Intelligence needs to be enabled (for on premise WS1 intelligence /ETL connector needs to be installed) –

> no license needed, but make sure you did the opt in under Monitor > Intelligence.
สำหรับ ลูกค้า On Premise ขอให้ติดต่อ Partner – Distri ก่อนที่จะลงมือทำนะครับ

2.Azure AD side
Intune – manage partner complaince policy
Microsoft Graph

3.Device side
Workspace ONE Hub
Microsoft App ( Office) เพื่อที่จะเปิด app แล้วให้ไป register ไปที่ AAD (Azure AD)
Microsoft Authenticator
or เแบบ เก่าใช้ Web Link เพื่อทำการ Register ตัวเองไปที่ AAD โดยทำ web link ที่ Workspace ONE UEM


ในครั้งนี้ผมทดสอบกับ น้อง Pahn (IBM) ใช้ หา Reference การ implement โดยมีเอกสารจาก VMware และ Blog จากเพื่อนร่วมงานของ ผม โดย Reference มาจาก สอง blog +VMware Doc เป็นส่วนใหญ่ครับ

https://www.kluenter.net/azure-ad-conditional-access-with-3rd-party-mdm-solutions/

https://mobile-jon.com/2020/09/21/workspace-one-and-intune-integration-is-finally-coming/

https://docs.vmware.com/en/VMware-Workspace-ONE-UEM/services/Directory_Service_Integration/GUID-800FB831-AA66-4094-8F5A-FA5899A3C70C.html

เสริม
https://digitalworkspace.one/2020/05/12/compliance-api-msft/
https://bloggerz.cloud/2021/03/31/vmware-workspace-one-compliance-partnership-with-intune-and-azure-ad-conditional-access/

ผมคุยกับน้องคิดว่าจะใช้ Cloud แบบ Trial ทั้งของ O365 และ Workspace ONE เพื่อไม่ต้องไปทำที่ Production ของลูกค้า

1.มาใช้ Workspace ONE กัน และให้ได้หน้าจอ Admin Console พร้อมสำหรับการ Enroll device

2.ของ Microsoft ผมขอใช้แบบ E5 (จริงๆ แล้ว E3 ก็เพียงพอแล้วครับ ) – กดรุ่นทดลองใช้ฟรี ได้เลย

### สำหรับ Microsoft เมื่อได้หน้าจอ Microsoft 365 Admin center แล้วสิ่งที่ผมทำคือ###
1. เข้าไป. configure – Setting Domain – + Add Domain เลือก domain ที่เรามีอยู่แล้วได้เลยครับ ส่วนตัวผมใช้ godaddy.com เพราะว่า สามารถ add ตรงๆ ที่ Domain. ของ Microsoft 365 ได้เลย โดย ไม่ต้องไปสร้าง mx record อะไรเลย (ทำ API Integration กับ M365 ได้เลย)


2.เสร็จแล้วให้สร้าง User โดยให้ assign license ไปที่ user. ด้วยครับ ของจริง น่าจะใช้ แค่ EMS E3 หรือต่ำกว่านั้นก็น่าจะเพียงพอแล้วครับ ให้เช็ค Microsoft ด้วยนะครับ

3.กลับไปที่หน้าจอ Workspace ONE UEM เข้าไป configure Directory Service ให้เลือกตามภาพเลย และเลือก Directory ID ของเราใส่เข้าไป

(Be aware: VMware supports mapping one Azure tenant to one Workspace ONE UEM that must type = Customer OG.)

4. AAD เข้าไปที่ Mobility แล้วเลือก Add Application –> Airwatch by VMware

ผมเลือก ตาม Workspace ONE UEM console ที่ได้ มา บ้างคนอาจจะได้เป็น cn510 , cn801 ไม่เหมือนกันนะครับให้แก้ เอา URL ของเราใส่ไปแทนครับ
https://dsxxxx.awmdm.com/devicemanagement/enrollment
https://dsxxx.awmdm.com/deviceservices/discovery.aws

5. เข้าไปดูหน้าจอ Microsoft Endpoint — https://endpoint.microsoft.com

เข้าไปที่ Tenant admin — > Connectors and tokens –> Partner compliance management

Add – Partner compliance management –VMware Workspace ONE mobile compliance
Refer https://docs.microsoft.com/en-us/mem/intune/protect/device-compliance-partners#add-a-compliance-partner-to-intune

เมื่อเสร็จแล้วจะได้หน้าจอนี้

6.ขั้นตอนนี้อาจจะทำ หรือไม่ทำก็ได้ เพราะว่าข้อมูลใหม่บอกว่า แค่ให้ User เปิด MS Apps ก็สามารถทำการ Register ตัวเองไปที่ AAD ได้ เลยครับ (ทำที่ Workspace ONE UEM) ของ Blog นี้ครับ

https://mobile-jon.com/2020/09/21/workspace-one-and-intune-integration-is-finally-coming/
https://videos.files.wordpress.com/onaY6yRQ/azureadenrollmentflow_dvd.mp4

หรือทำมือ Add ไปก็ได้ครับ ลองทดสอบเบื้องต้นกันก่อนครับ

awagent://com.airwatch.androidagent?component=conditionalaccess&partnertype=microsoft

airwatch://conditionalaccess?partner=microsoft

7.User – Enroll เข้าไปที่ Workspace UEM จะเห็นว่ามี device online

Create Compliance Policies ->เวลาเจอ non compliance จะ show สีแดง ๆ ที่หน้าจอ device (ตัวอย่างเป็นสีเขียว ครับ)

8.เข้าไปที่ AAD – Device ตรวจสอบว่ามี Device อะไรเข้ามาบ้าง

เข้าไปดูจะเห็นประมาณนี้ครับ ไม่ต้องตกใจ ที่เจอว่า MDM = Microsoft Intune ส่วนเรื่อง Complaint – มาจาก Workspace ONE UEM

9.เข้าไปที่ AAD Console -Conditional Access | Policies ลองสร้าง Policies ดูครับ เพื่อดูว่า Device ที่เข้ามาเราสามารถทำ Conditional Access ได้หรือเปล่า

จะรับค่า มาจาก Workspace ONE ได้

10.เสร็จแล้วครับ ไม่ยากเลยครับ แค่มีการเตรียมตัวที่ดี คำถามที่เจอว่า API เวลาคุยกันเร็วแค่ไหน ..ตอนทดสอบ แล้ว เปลี่ยนเป็น Complaint – Red จะใช้เวลา 2-3 วินาทีครับ