Freestyle Orchestrator
Intelligence 上の Freestyle (別称:ワークフロー) を使用して、Intelligence に統合および登録したサードパーティのサービスおよびコネクタからのアクションを自動化します。ワークフローを使用するには、サービスまたはコネクタを登録してから、特定のトリガとアクションを使用してワークフローを構成します。
フリースタイル オーケストレータとは何ですか?
Freestyle Orchestrator on Intelligence (旧称 Intelligence Automation) は、低コードで、IT 管理者がトリガに基づいてタスクを順序付けすることで複雑なビジネス ユースケースを自動化するのに役立つコード ワークフロー プラットフォームではありません。トリガは、スケジュールに沿って手動で、または複数のコネクタ (Workspace ONE またはサードパーティ サービス) からのイベントによって自動的に開始されます。
Freestyle を使用する前に、すべてのデータ ソースとワークフロー コネクタを設定して、Workspace ONE インスタンスが完全に構成されていることを確認します。統合 セクションで、Workspace ONE およびサードパーティ製コネクタを認証します。
ワークフロー コンポーネント
ワークフロー エクスペリエンスを最大限に活用するには、ワークフロー内の構成要素を理解しておくことが重要です。ワークフローは、Workspace ONE または統合されたサードパーティ サービスを介して一連のアクションを開始する状態の変更またはトレンドによって引き起こされるトリガで構成されます。
Freestyle Orchestrator システムの技術的なアーキテクチャの詳細については、この Tech Zone のブログ をお読みください。
トリガ
Workspace ONE Intelligence の Freestyle 機能は、ワークフローをトリガする受信データと既存のデータを監視します。ワークフローをカスタマイズして、Workspace ONE 環境およびサードパーティ サービスの固有のシナリオに対応させることができます。トリガは、設定を保存した直後に反映される状態に対して動作します。次に、ワークフローはデータを監視して状態変更を検出することができ、構成どおりに動作します。
アクション
ワークフローは、Workspace ONE およびサードパーティ製品全体の毎日の IT タスク、展開、コンプライアンスに関連する問題を解決するのに役立つ多くのアクションを提供します。ワークフロー エンジンは、ワークフロー キャンバス内の構成に基づいて順番にアクションを実行します。
条件
ワークフローは条件を使用して、ワークフローの途中でさらなる評価と代替実行パスを追加します。
グループ
ワークフローは、ワークフロー アクションをグループに編成できるように、グループ分けを行います。ワークフロー エンジンは、グループ内のアクションを順次ではなく並行して実行します。各グループは一意の名前を取得します。これは、ログのフィルタリングに便利です。1 つのグループに最大 5 個のアクションを設定できます。
グループでの 1 つのアクションの失敗は、グループ内の他のアクションには影響しません。ただし、ワークフロー エンジンは、アクションの失敗を含むグループの外部および失敗後に定義されたアクションをキャンセルします。
ワークフローの制限
- 最大 10 個のアクションをワークフローに追加できます。10 個を超えるアクションを追加すると、エラーが表示され、ワークフローを保存して使用することはできません。
- 組織内で最大 50 個のワークフローを設定できます。
自動トリガ設定を使用する利点
自動トリガ設定は、時系列データとスナップショット データの両方で動作する場合に有効です。次の表に、スケジュール トリガ設定で自動トリガ設定を使用する利点を示します。自動トリガ設定を使用するワークフローは、すべてのデバイスの 1 つの通知をすぐに取得します。ただし、スケジュール トリガ設定を使用するワークフローは、ワークフローの実行時に通知を受け取ります。
トリガ設定 |
トリガ ルール |
操作 |
ワークフローの動作 |
自動 |
[ファイアウォールのステータス] > [等しい] > [無効] |
Slack メッセージの送信 |
報告されたファイアウォールのステータスが無効になると、ワークフロー エンジンは影響を受けるすべてのデバイスの 1 つの Slack メッセージをすぐに管理者またはチャンネルに送信します。 |
スケジュール
毎日午後 4 時 |
[ファイアウォールのステータス] > [等しい] > [無効] |
Slack メッセージの送信 |
毎日午後 4 時に、ワークフロー エンジンは Slack メッセージを管理者またはチャンネルに送信します。デバイスごとに E メールが送信され、そのデバイスのファイアウォール ステータスは午後 4 時に非アクティブと報告されます。 |
ワークフローの作成
ワークフローを作成するには、使用するサービスとコネクタが Intelligence に登録されていることを確認します。次に、登録済みのサービスとコネクタを使用してワークフローを設定します。
ステップ 1: サービスとコネクタの登録
サードパーティのサービス、管理対象コネクタ、またはカスタム コネクタを追加して、ワークフローでアクションを使用できるようにします。コネクタの登録方法については、該当するトピックを参照してください。
コネクタ |
UI で使用可能 |
データ ソース
Workspace ONE Hub サービス Workspace ONE Intelligence Workspace ONE Mobile Threat Defense Workspace ONE UEM BETTER Mobile Carbon Black Check Point Employee Experience (DEEM) Horizon Lookout Netskope Pradeo Wandera Zimperium |
|
ワークフロー コネクタ
カスタム コネクタ Workspace ONE Hub サービス Workspace ONE UEM ServiceNow Slack Web API |
|
ステップ 2: ワークフローの設定
ワークフロー キャンバスを使用してワークフローを設定し、IT 環境の自動化を開始します。
- Workspace ONE Intelligence で、[ワークスペース] > [Freestyle] > [ワークフローを追加] の順に移動します。
- ワークフローの名前を入力します。
- 目的のデータ ソースを使用してトリガを設定するか、新たなアイデアを得るためにテンプレートを確認します。
- テンプレートから開始する場合は、フィルタまたは検索を使用して、ユースケースに基づいてテンプレートを絞り込みます。
- たとえば、[デバイス] > [バッテリ] オプションを選択し、リストされたテンプレートから選択できます。
- [トリガ設定] を選択します。
重要:手動またはスケジュールのトリガ タイプを使用すると、[実行] ボタンが表示され、必要に応じて手動で実行できます。スロットル制限のため、同じワークフローに対して 1 時間に 2 回以上このアクションを実行できません。
- 自動:受信イベントがトリガ ルールに一致した場合に、ワークフローを自動的に実行します。既存のデータを保存する場合、または新しい受信データの場合にのみ、このトリガを実行するかどうかを選択します。
- このメニュー項目は、すべての統合タイプでサポートされています。
- 自動トリガは、選択したデータ ソースから受信されるリアルタイム イベント データに対して機能します。
- このトリガ設定のメリットの詳細については、「自動トリガ設定を使用するメリット」セクションを参照してください。
- スケジュール: ワークフローの実行タイミングを定義します。
- レポート データ ウェアハウスのデータは、スケジュール設定されたワークフローを設定するときに Freestyle のスナップショットおよび履歴データを提供します。
- 手動:ワークフローをオンデマンドで実行します(1 回限りのアクションに適切)。
- レポート データ ウェアハウスのデータは、手動の 1 回限りのワークフローを設定するときに Freestyle のスナップショットおよび履歴データを提供します。
- 目的の属性を使用してトリガ ルールを構成します。この手順は、ワークフローが選択したデータ ソースとデータ フィルタに基づいてデータ セットをターゲットとするため、重要です。
- 左側のコンポーネントから [アクション] アイコンをドラッグ アンド ドロップするか、キャンバスの [+ 手順を追加] アイコンを使用してアクションを追加します。
- ワークフローは、トリガを識別するときにこのアクションを実行します。
- 最大 10 個のアクションを追加できます。
- また、ワークフローの実行方法に応じて条件とグループを追加することもできます。
- キャンバスの上部にある [潜在的影響] メニュー項目を更新する場合に選択します。潜在的影響は、現時点でフィルタに一致するすべてのターゲットの数です。潜在的影響の結果は、選択したトリガ設定によって異なります。
- 自動 - 潜在的影響は、すべてのターゲットに表示されますが、ワークフローは前回の実行に含まれていない新しいターゲットに対してのみ実行されます。
- スケジュール - 潜在的影響には、実行時のすべてのターゲットが含まれます。
- 手動 - 表示される潜在的影響の数は、自動化が実行されるターゲットの実際の数です。
- 選択すると潜在的影響の結果が表示され、表示されるターゲットがある場合はターゲットのプレビューが表示されます。
- ターゲットは潜在的影響プレビューに表示されますが、ステータスが変更されトリガ ルールに一致しなくなった場合は、ターゲットではなく、ワークフローの実行時に Intelligence に含まれません。
- グループ化を使用して、Intelligence データ全体のデータ属性別にデータをグループ化します。たとえば、デバイス データまたはアプリ データごとにデータをグループ化できます。
- 矢印を使用して、潜在的影響の結果を閉じます。
- Connector を選択し、そのコネクタから使用可能なアクションを選択します。
- ワークフローを保存します。名前の近くにあるワークフローのアクティベーション切り替えを参照してください。ワークフローはいつでも有効にできます。
- 保存: ワークフローを実行する準備ができたら、このメニュー項目を使用して作業内容を保存します。保存してもワークフロー メカニズムは開始されません。
- ワークフローを有効にする: このメニュー項目を使用して、ワークフローを有効にします。ワークフローはデータをすぐにスキャンし、構成された条件に一致するフィルタに基づいて動作します。その後も、条件のデータ監視を続行し、状況に応じてアクションの実行を続行します。
条件
Workspace ONE Intelligence には、Freestyle Orchestrator で使用する条件が用意されているため、個別のワークフローを作成せずにワークフローの途中でアクション シーケンスを定義できます。
メリット
条件によって、特定のシナリオごとに個別のワークフローを維持するオーバーヘッドが軽減されます。条件があることで、共通のトリガ ルールを使用して、1 つのワークフロー内の異なるシナリオごとに代替実行パスを作成できます。たとえば、条件がない場合、コンプライアンス シナリオごとに必要なアクションごとに個別のワークフローを作成する必要がありました。1 つのワークフローに多数のアクションを含む複数のコンプライアンス シナリオの条件を追加できるようになりました。
条件を使用したワークフローの作成
ワークフロー キャンバスのドラッグ アンド ドロップ オプションとして条件メニュー項目を検索します。
重要:ワークフローの潜在的な影響を確認し、より制限の厳しいフィルタを指定して少数のターゲットでワークフローをテストし、ワークフロー アクションが希望どおりに動作することを確認します。
- Workspace ONE Intelligence で、[ワークスペース] > [Freestyle] > [ワークフローを追加] の順に移動します。
- ワークフローの名前を入力します。
- 目的のデータ ソースを使用してトリガを設定します。
- [トリガ設定] を選択します。
- トリガ ルールを構成します。
- 左側のコンポーネントから [条件] アイコンをドラッグ アンド ドロップするか、キャンバスの [+ 手順を追加] アイコンを使用して条件を追加します。
- Then ブランチまたは Else ブランチのいずれかにアクションを追加する必要があります。
- 条件をネストすることができ、ネストされた条件グループ内の少なくとも 1 つの条件にアクションを追加する必要があります。
- 読みやすくするために条件に名前を付けます。
- この条件のフィルタを [条件] ウィンドウで設定します。
- 条件の If ステートメントを設定します。
- 条件の Then ステートメントを設定します。
- 条件をネストする場合は、ネストされたグループのいずれかの条件にアクションを追加する必要があります。
- 条件の Else ステートメントを設定します。
- Else ステートメントを空白のままにしたり、ワークフローを停止したり、他のアクションを続行したり、条件を追加したりできます。
- キャンバスの上部にある [潜在的影響] メニュー項目を更新する場合に選択します。
- ワークフローが過剰な数のリソースをターゲットにしていないかどうかを確認します。
- 選択して、潜在的影響の結果を表示します。
- 必要に応じてトリガ ルールまたは条件を修正して、ターゲット リソースの数を減らします。
- ワークフローを保存します。ワークフローはいつでも有効にできます。
条件の例
加入済み Windows デバイスを検索し、デバイスのファイアウォールのステータスを確認し、ステータスが Pass と等しくない場合は、Workspace ONE UEMフ ァイアウォール プロファイルをインストールしてファイアウォールを更新します。
- Workspace ONE Intelligence で、[ワークスペース] > [Freestyle] > [ワークフローを追加] の順に移動します。
- ワークフローの名前を入力します。
- この例では、Windows ファイアウォールの更新を使用できます。
- 目的のデータ ソースを使用してトリガを設定します。
- このシナリオでは、データ ソースとして [Workspace ONE UEM] > [デバイス] を使用します。
- [トリガ設定] を選択します。
- トリガ ルールを構成します。
- このシナリオのトリガ ルールは、[デバイス] > [加入状態] > [等しい] > [加入済み] です。
- 左側のコンポーネントから [条件] アイコンをドラッグ アンド ドロップするか、キャンバスの [+ 手順を追加] アイコンを使用して条件を追加します。
- 読みやすくするために条件に名前を付けます。このシナリオでは、Windows プラットフォームを確認と入力します。
- 条件の If ステートメントを設定します。
- シナリオでは、[デバイス] > [プラットフォーム] > [等しい] > [Windows デスクトップ] を設定します。
- トリガ ルールで使用した属性と同じ属性を条件で使用しています。
- 条件の Then ステートメントを設定します。
- シナリオでは、別の条件をネストして、ファイアウォールのステータスを確認できるようにします。
- 2 番目の条件([ファイアウォール ステータスがパスしない] > [ファイアウォール プロファイルをインストール]) を指定します。
- [デバイス] > [ファイアウォール ステータス] > [等しくない] > [Pass] の順に選択します。
- ネストされた 2 番目の条件に Then ステートメントを設定します。
- アクションを [Workspace ONE UEM] > [プロファイルをインストール] として追加します。
- ワークフロー エンジンは、ファイアウォールのステータスが Pass でないことを確認すると、UEM ファイアウォール プロファイルをインストールしてファイアウォールを更新します。
- ネストされたグループ内の条件の 1 つに、アクションが割り当てられています。
- デバイス ID エントリはデフォルトのままにします。
- プロファイル ID の名前に対して、UEM ファイアウォール プロファイルを選択します。
- 1 番目と 2 番目の条件については、Else ステートメントを空白のままにします。
- キャンバスの上部にある [潜在的影響] メニュー項目を更新する場合に選択します。
- ワークフローが過剰な数のリソースをターゲットにしていないかどうかを確認します。
- 潜在的影響の結果は、選択したトリガ設定によって異なります。
- 自動トリガ設定の場合、潜在的影響はすべてのターゲットに表示されますが、ワークフローは前回の実行に含まれていない新しいターゲットに対してのみ実行されます。
- 選択して、潜在的影響の結果を表示します。
- 必要に応じて、トリガ ルールまたは条件を修正して、ターゲット リソースの数を減らします。
- ワークフローを保存します。ワークフローはいつでも有効にできます。
構成シナリオ
トリガ ルール内のワークフローに必要なすべてのデータを構成する必要があります。条件を使用する場合は、特定の構成 (同じエンティティまたは 1:1 の関係) を使用するか、トリガ ルール内の条件エンティティ (1:N 関係) を参照する必要があります。
エンティティと属性について
トリガ ルールと条件は、エンティティと属性を含むトリガ フィルタで構成されます。スクリーンショットのデバイスはエンティティで、ウイルス対策状態は属性です。
等しいとパスは、[デバイス] > [ウイルス対策状態] entity-attribute ペアの修飾子です。
シナリオ
エラーなしで条件を機能させるには、シナリオ リストに記載されているいずれかの方法を使用して条件を構成します。
これらのシナリオは、トリガ ルール内のエンティティと条件内のエンティティ間の関係の例です。
シナリオ 1:同じエンティティ
- 説明
- トリガ ルールと条件は同じエンティティを使用します。
- 例
- データ ソースおよびトリガ ルールは、調査エンティティを使用して
Apps Survey
を参照し、条件には評価用の調査エンティティも含まれています。
- ワークフローにはいくつかの条件を設定できますが、すべての条件で調査エンティティを使用する必要があります。
シナリオ 2:1 対 1 (1:1) の関係
- 説明
- トリガ ルールは 1 つのエンティティを使用し、条件は別のエンティティを使用します。ただし、トリガ ルールと条件内のエンティティには 1 対 1 の関係があります。
- たとえば、トリガ ルールでデバイス エンティティを使用する場合、ワークフロー エンジンは条件内の固有のユーザー エンティティを識別できます。
- もう 1 つの例は、トリガ ルールでデバイス エンティティを使用する場合に、条件内の
device_manufacturer_name
のような特定のセンサー エンティティの値を識別できるワークフロー エンジンです。
- 例
- データ ソースおよびトリガ ルールでデバイス エンティティを使用して、デバイスが加入しているかどうかを確認し、条件でユーザー エンティティを使用して、デバイス ユーザーが HR ユーザー グループに含まれているかどうかを確認します。
- ワークフロー エンジンは特定のユーザー グループに加入した特定のデバイスを識別するため、トリガ ルールと条件は 1:1 のエンティティ関係を使用します。
- これらのワークフローは、各条件エンティティがトリガ ルール エンティティと 1:1 の関係を持つ限り、複数の条件を持つことができます。
シナリオ 3:1 対多 (1:N) の関係
- 説明
- トリガ ルールは 1 つのエンティティを使用し、条件は別のエンティティを使用します。ただし、トリガ ルールと条件のエンティティには 1:N の関係があります。
- たとえば、1 台のデバイスに多数のアプリケーションが割り当てられているか、インストールされています。このシナリオでは、トリガ ルールにデバイス属性があり、条件にアプリケーション属性が含まれます。
- 同様の例は、デバイス エンティティとプロファイル、製品、または OS 更新エンティティの関係です。
- この 1:N の関係は、トリガ ルールからエンティティを使用して、条件からエンティティのインスタンスを一意に識別することを妨げる可能性があります。
- この構成は複雑な場合があり、追加の構成が必要です。
- 例
- トリガ ルールのデバイス エンティティはデバイスの名前を確認しますが、条件内のアプリケーション エンティティは [アプリケーション] > アプリケーションのインストール ステータス] の順に確認し、このデバイスには多くのアプリケーションがインストールされています。
- このワークフローは保存されません。
- この関係を使用したいが、このユーザー インターフェイス エラーが発生した場合に実行できるアクションについては、「追加構成 - 1:N の関係」セクションを参照してください。
追加構成 - 1:N の関係
トリガ ルールと条件の間で 1:N の関係を使用する場合は、条件エンティティを参照する別のトリガ ルールを追加する必要があります。ワークフローが実行されると、トリガールール(元のエンティティ)と条件を参照するエンティティの一致するレコードが対象となります。
条件エンティティを参照するトリガ ルールを追加すると、レコードに一致させる場合にワークフロー エンジンが多数の反復を実行する可能性が高まります。ワークフローがスケジュールに従って実行するように設定されている場合、反復を実行する可能性がさらに高まります。1:N の関係を持つワークフロー内のターゲットは過剰である可能性があるため、潜在的影響を確認してください。
アクション
- 条件で別のエンティティを使用する場合は、条件で導入されたエンティティを参照するトリガ ルールを含める必要があります。
注: 1:1 の関係を使用している場合は、追加のトリガ ルールを含める必要はありません。
- 一致するレコードを検索して結果を表示するには、異なるエンティティのデータを結合する必要があるため、条件エンティティを参照するこのトリガ ルールが必要です。
- シナリオ リストの 1:N の関係の例を再度確認する場合は、トリガ ルールを [アプリケーション名] > [等しい] > [Intelligent Hub] として追加できます。
- このフィルタは、条件 ([アプリケーション] > [アプリケーションのインストール ステータス]) で導入されたエンティティ アプリケーション を参照し、デバイスおよびアプリケーション エンティティの参加を完了します。
- トリガ ルールのエンティティは制限が厳しく、ワークフローが繰り返し実行できるマッチング デバイスとアプリケーションのペアを最小化する可能性が高くなります(潜在的影響とも呼ばれる)。
- 条件エンティティを参照するトリガ ルールを追加しないと、ワークフローを保存できず、ユーザー インターフェイスにエラーが表示されます。
- 潜在的影響を確認します。
- 少数のターゲットでワークフローをテストし、より制限の厳しいフィルタを追加して、必要に応じて実行されることを確認します。たとえば、フィルタ ([デバイス GUID] > [等しい] > [テスト デバイスの GUID]) の属性は、特定のデバイス GUID を見つけるため反復処理を制限します。
- 必要に応じて、自動トリガ設定を使用します。
- 別のワークフローを作成することを検討してください。
追加構成 - ステータスの変更
ワークフローは、評価時ではなく、ワークフローの実行開始時に条件の評価に使用されるデータを取得します。
条件の前のアクション (アプリケーションの削除やデバイスの更新など) によって属性のステータスが変更された場合 (true から false など)、ワークフローの最初にこのステータス変更はなく、システムは結果のステータス変更を報告しません。
アクション
- ワークフローの実行中にステータスを変更しない条件で属性を使用します。属性ステータスの変更の例は、購入済みアプリケーションを削除するアクションが原因で、アプリケーションのインストール ステータスが true から false に変わります。
- 別のワークフローを使用して、ステータスの変更後に発生したアクションを実行します。
ワークフローとコンプライアンス エンジンの違いは何ですか?
- ワークフロー - 決定エンジンがデバイスおよびアプリケーションからのトリガに応じで動作し、デジタル ワークスペース環境全体で操作を自動化します。
- サード パーティのサービスに決定エンジンを拡張できます。Freestyle プラットフォームを使用して、バッテリ残量や所有状況などのデバイスカテゴリ シナリオのワークフローを定義し、Workspace ONE 展開にアプリケーションやその他のリソースをインストールします。
- また、Workspace ONE 展開のさまざまな側面を網羅するシナリオでも使用できます。自動化機能は、アプリケーションとプロファイルのインストールまたは削除によるセキュリティ保護、関連チームへのワークフローに関する通知、およびこれらの機能のサードパーティ ソリューションへの拡張に使用します。
- 順守 - エンジンが閉ループ ワークフローに応じて動作し、ユーザーは再度順守状態になったらリソースを戻すことができます。
- 順守は、修正とデバイスの状態に重点を置いたシナリオで使用されます。
- 順守は、デバイスが必須のセキュリティ ポリシーに準拠するように強制するために使用されます。デバイスが順守ルールに準拠して正常動作の状態に戻るまで、リソースを削除します。
FedRAMP の考慮事項
NIST Special Publication 800-47 Rev.1: Managing the Security of Information Exchanges(情報交換のセキュリティの管理)では、システム相互接続を、データおよび他の情報リソースを共有するための 2 つ以上の IT システムの直接接続と定義しています。
IT システムの接続は、お客様が構成する機能です。Workspace ONE Intelligence で IT システムを接続する前に、FedRAMP でない運用認可情報システムを運用認可権限者と接続することのリスクについて説明します。Workspace ONE on AWS GovCloud および Workspace ONE Intelligence は、FedRAMP Moderate の運用認可情報システムです。情報システムを、セキュリティ要件および制御が異なる他のシステムと接続する場合は、リスクを慎重に検討してください。
Federal Support ライン (877-869-2730 OPTION 2) に問い合わせるか、詳細が必要な場合や、他のシステムへの、お客様が制御するサード パーティ接続を有効にする場合は、My Workspace ONE を使用してサポート リクエストを送信してください。