Home > Blogs > VMware Japan End-User Computing Blog

AirWatchの基礎 第7回〜MDM管理 基本1 基本操作〜

AirWatchの基本 第7回 〜MDM管理 基本1 基本操作〜

皆様、こんにちは。
前回までのエントリで、デバイスの加入まではOKでしょうか?
今回からは、実際にどのようにデバイスの情報を取得するか、機能制限をかけるか、リモートでロックを実施するか、ワイプを実行するか、アプリケーションを配信するか…といった、実際に利用する部分についてご紹介を実施していきたいと思います。

まずは本エントリで、MDMとしてのベーシックな機能としての
・デバイス情報の取得方法
・リモートロックの方法
・企業情報ワイプ/デバイスワイプの方法
についてご説明します。

 

デバイス情報の確認方法

前回までのエントリの内容で、デバイスの加入に成功していれば、コンソール上で[デバイス]→[リスト表示]と選択していくことで、登録したデバイスが確認できるかと思います。

android8

ここからデバイス名をクリックすると、より詳細なデバイス情報の画面が表れます。

device

画面上部にいくつかタブが並んでいます、ここから様々な情報を確認することができます。
いくつか例としてご紹介すると…

[概要]
デバイスの電話番号や、シリアルNo、デバイスに紐付いているユーザ情報等が表示されます。

[順守]
AirWatchには、指定した条件を満たしていないデバイスに対して、自動的に定義したアクションを実行する順守ポリシーという機能が存在します。順守ポリシーでは[ルール]と、ルールを満たさないデバイスに対する[アクション]を定義可能です。
このタブでは、デバイスが満たさなければいけない順守ポリシーの一覧を確認できます。

順守ポリシーで設定できる項目例
[ルール]:パスコード、暗号化、侵害状態、OSバージョン、アプリケーションブラックリスト等
[アクション]:ユーザーにプッシュ通知、管理者にEメール、管理アプリケーションをブロック、企業情報ワイプ等
%e9%a0%86%e5%ae%88

[アプリ]
デバイスにインストールされているアプリの一覧です。
(管理対象)と付いているものがAirWatchで配布したアプリ、付いていないものがユーザ個人で独自にインストールしたアプリとなります。管理対象アプリに関しては、AirWatchコンソールから自由に削除することも可能です。
%e3%82%a2%e3%83%95%e3%82%9a%e3%83%aa

[ロケーション]
このデバイスがどこにいるか、あるいは過去の特定の期間にどこにいたか、というロケーション情報を表示します。
%e3%83%ad%e3%82%b1%e3%83%bc%e3%82%b7%e3%83%a7%e3%83%b3
これらの情報は、あえて取得しないように設定することも可能です。
例えばBYODで私物のデバイスを使うのに、位置情報を取得されてるのってちょっと嫌ですよね。(社給デバイスでもできればやめてほしいですが) 他にも、個人で勝手にインストールしたアプリケーションまで完全に把握されるのも、ちょっと気持ち悪いという方もいらっしゃるかもしれません。

AirWatchでは、Privacyという名前のアプリ(Webクリップ)をデバイスに配布することで、ユーザが自身のデバイスのどんな情報を取得されているかを把握することができます。

img_0010また、社給デバイスについては全アプリと位置情報も取得するけど、BYODデバイスは管理アプリの情報しか取得しない、といったコントロールも可能です。

リモートロックの方法

デバイス画面右上からロックを選択して
%e3%83%ad%e3%83%83%e3%82%af1
(必要であれば) メッセージや連絡先を入力し、送信。
%e3%83%ad%e3%83%83%e3%82%af2
デバイスがロックされます。
%e3%83%ad%e3%83%83%e3%82%af3

企業情報ワイプ/デバイスワイプの方法

デバイス画面右上の [その他のアクション]配下に、企業情報ワイプやデバイスワイプといったコマンドがあります。
%e3%83%af%e3%82%a4%e3%83%95%e3%82%9a

企業情報ワイプとデバイスワイプの違いは以下となります。

[企業情報ワイプ]
AirWatchから配布しているプロファイル/アプリケーションのみを削除し、AirWatch管理下から外します。個人で入れたアプリケーションやその設定は残ります。
[デバイスワイプ]
デバイス上の全データを削除し、(OSのバージョン以外を)工場出荷状態に戻します。

例えば企業情報ワイプを選択すると、以下の様なウィザードが現れ、コンソール初回ログイン時に設定した4桁の管理コードを入力することで、実際に企業情報ワイプが実行されます。

%e3%83%af%e3%82%a4%e3%83%95%e3%82%9a2

まとめ

今回のエントリでは、以下について解説しました。
・デバイス情報の取得方法
・リモートロックの方法
・企業情報ワイプ/デバイスワイプの方法
次回は、プロファイルの説明と作成方法について解説していきます。お楽しみに!


本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。
また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。 myAirwatchへこちら 

 

AirWatchの基礎 第6回〜Androidデバイス利用の為の初期設定とデバイス加入〜

AirWatchの基礎 第6回〜Androidデバイス利用の為の初期設定とデバイス加入〜

皆様、こんにちは。

前回は、iOSデバイス利用の為の初期設定や加入についてご紹介しましたが、今回はそのAndroidについてご紹介致します。

デバイス管理では、AndroidもiOS同様にプッシュ通知が必要となります。iOSであればAirWatchの基礎 第4回でご紹介した通り、Apple Push Notification Service(以下、APNs)となりますが、AndroidではGoogleが提供するGoogle Cloud Messaging(以下、GCM)を利用する事になります。AirWatchコンソールでは、デフォルトでGCMが有効になっており、APNsのように事前設定は必要ありません。

設定の確認 デバイスとユーザ > Android > エージェント設定 より “無効”である事を確認

01

Androidの場合、GCMの代わりにAirWatchが提供するプッシュ通知のAirWatch Cloud Messaging(以下、AWCM)を利用する事が出来ます。AWCMは、GCMを包括的に置き換えるものとして、リアルタイムのデバイス管理ステータス確認とコマンド配信を提供し、次のような環境で利用する事も出来ます。

・Googleアカウントで設定できないデバイス

・内部ネットワーク通信に限定されたデバイス

・公共のインターネットアクセスのない装置

例えば、ある特定のインハウスアプリケーションを外部と遮断されたインターナルネットワークの中だけで利用する場合、GCMへのアクセスは出来ない為、AWCMを利用して管理する事が出来ます。(AWCMを含む、AirWatch関連コンポーネントをオンプレミスで構成する必要があります。)

Androidデバイスの加入

Android デバイスでも、基本的な加入の概要については前回のiOSでご説明した以下4つに変わりはありません。

①加入手続き

②加入処理

③AirWatchへ加入

④加入後処理

それでは、Androidで最も一般的な加入方法をご紹介させて頂きます。

・加入方法:エージェント

・加入情報:AirWatch接続サーバとグループID情報およびユーザ情報

  1. AirWatch接続サーバのグループID情報の確認

AirWatch接続サーバは、AirWatchコンソールへログインした際のサーバURLとなり、”xxx.awmdm.jp”となります。

グループIDは、AirWatchコンソールの上部のタブにマウスカーソルを配置すると、参照する事が出来ます。*フリートライアルでは、ご登録した会社名をベースに、自動生成されています。

02

AirWatch接続サーバ: xxx.awmdm.jp

グループID:ACORP

ユーザ情報:登録したユーザおよびパスワード

  1. エージェントの入手とインストール

1.Google Play ストア から “AirWatch mdm agent”で検索しダウンロード・インストール

2.次のURLから検索し、Apple Storeへ移動してダウンロード・インストール

https://awagent.com/

android1

  1. 加入手続き

1.エージェントを起動

2.サーバ詳細情報を選択

3.ユーザ情報入力

android2

  1. 加入処理

1.利用規約で、”承認”を選択

2. “続行”を選択

3. “続行”を選択

android3

4. “有効にする”を選択

5.デバイスの設定状況によって提供元不明のアプリの有効化を要求される事がありますが、ステップに従って勧めてください。

6. “続行”を選択

android4

7. OEM Service Kitのインストールが要求され “インストール”を選択
※ OEM Service Kit は、Android デバイスの管理機能を拡張する AirWatch の追加アプリです。
AirWatch は、Android デバイスの各 OEM と連携して、追加の機能を実現しています。
詳細については、最下部に後述するコラムをご覧ください。

8. “有効にする”を選択

9. “続行”を選択

android5

  1. 加入後処理

1. “終了”を選択、予め定義されているプロファイルやアプリケーション等が自動配信の設定をされている場合は、加入後処理されます。(フリートライアル開始直後では、特に設定されていませんので、加入後処理は行われません)

2. エージェントを起動し、状態を確認する事が出来ます。

android6

  1. 加入後のAirWatchコンソールからの確認

左のメニューから“デバイス”>“リスト表示”で加入されたデバイスを参照する事が出来ます。また、該当デバイスをクリックしてドリルダウンすると、デバイスの詳細情報が確認できます。

android8

まとめ

今回は、Androidデバイス利用する為の初期設定についてご説明しましたが、ご覧頂いた通りAndroidでは特に設定は必要なくすぐにご利用頂く事が出来ることがわかりました。次回は、クエリー、ロック、企業情報ワイプ、デバイスワイプ等のMDM基本操作についてご説明致します。ご期待ください。

コラム

最近、日本でも多くの法人のお客さまが社内用デバイスとして、Androidをご採用されるケースが増えてきております。皆様もご存知の通り、Androidは多くのベンターより提供されております。このコラムでは、各ベンダーが提供しているOEM サービスアプリケーションについてご紹介いたします。

通常のAndroidデバイスは、Google社のAndroid OSをベースに開発/製造されており、AirWatchをはじめとするMDMベンダーは、Android OSが提供している標準APIを元に管理を行っております。Androidデバイス製造各社は、他社との差別化の為にデバイスレベルもしくはOSレベルで機能拡張を行っておりますが、拡張された機能は当然標準APIで制御する事が出来ない為、製造元より拡張APIが提供されます。その拡張APIのモジュールをOEMサービスアプリケーションと呼ばれており、多くのベンダーはGoogle Playより入手する事が出来ます。AirWatchの場合、デバイス加入時にGoogle Play経由で自動的にインストールされるベンダーもあります。

主なベンダー(順不同) Samsung,LG,Lenovo,HTC,Moto,MX,Panasonic,Amazon,Nook,Sony,Intel,ASUS,Bluebird

主な拡張機能の例

・Bluetooth/NFC/WiFi/USB/SD等のデバイス管理機能の拡張

・画面構成や標準アプリケーションの制御

・アプリケーションのサイレントインストール

・リモート管理機能の拡張

拡張機能の対応確認は、AirWatchコンソールの各種設定から確認する事が出来ます。

04

詳細は、VMware AirWatch Android Platform Guideを参照ください

本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。 myAirwatchへこちら

 

AirWatchの基礎 第5回〜iOSデバイスの加入〜

AirWatchの基礎 5回〜iOSデバイスの加入〜

皆さん こんにちは。

これまでは、AirWatchを利用する上での最低限の初期設定についてご説明してきましたが、今回からはいよいよデバイス加入し、具体的にどのようにしてデバイスを管理していくかについてご説明いたします。

iOS/Androidの両デバイス共通ですが、加入には4つのステップがあります。

 

09

①加入手続き

AirWatchでは、エージェント(エージェントのインストール)またウエブから加入の2つの加入方法が準備されています。尚、ウェブからの加入の場合は、エージェントレスでの加入をサポートしており、Apple IDやGoogle Play IDが無い場合での加入に便利です。

また、加入情報については、以下の3つが準備されており、利用者の要件に合わせて加入方法を提供する事が出来ます。

・企業のドメインを予め設定する事で加入者のメールアドレスから自動検出する方法

・AirWatch接続サーバとグループID情報をマニュアルで入力

・QRコードから、AirWatch接続サーバのURLとグループID情報を読み込ませる(エージェントのみ)

②加入処理

加入処理の際に、ウェルカムメッセージの表示、デバイス所有形態の選択、利用ユーザに利用規約に同意をさせたりする等、ユーザ所有のデバイスの利用(BYOD:Bring your own device)をサポートするような運用も可能です。

③AirWatchへ加入

上記①および②の手順が終わると、AirWatchへ加入され、デバイスとAirWatch間でネットワーク接続が確立されます。

④加入後処理

加入後は、予めAirWatchコンソールで定義された、プロファイル・アプリケーション・コンテンツ等の設定や情報が配信されます。

 

では、iOSで最も一般的な加入方法をご紹介させて頂きます。

・加入方法:エージェント

・加入情報:AirWatch接続サーバとグループID情報およびユーザ情報

 

  1. AirWatch接続サーバのグループID情報の確認

AirWatch接続サーバは、AirWatchコンソールへログインした際のサーバURLとなり、フリートライアルであれば、通常”cn504.awmdm.jp”となります。

グループIDは、AirWatchコンソールの上部のタブにマウスカーソルを配置すると、参照する事が出来ます。*フリートライアルでは、ご登録した会社名をベースに、自動生成されています。

02

AirWatch接続サーバ: cn504.awmdm.jp

グループID:ACORP

ユーザ情報:登録したユーザおよびパスワード

  1. エージェントの入手とインストール

1.Apple Store から “AirWatch mdm agent”で検索しダウンロード・インストール

2.次のURLから検索し、Apple Storeへ移動してダウンロード・インストール

     https://awagent.com/

 03

  1. 加入手続き

1.エージェントを起動

2.サーバ詳細情報を選択

3.ユーザ情報入力

04

  1. 加入処理

1.利用規約で、”承認”を選択

2. “リダイレクト&有効”を選択

3.プロファイルの”インストール”を選択

05

4.デバイスの環境依存によってパスコード入力要求等ありますが、ステップに従って勧めてください。

5.プロファイル(ワークスペースサービス)のインストール完了し、加入処理は終了となります。

06

  1. 加入後処理

1.予め定義されているプロファイルやアプリケーション等が自動配信の設定をされている場合は、加入後処理されます。(フリートライアル開始直後では、特に設定されていませんので、加入後処理は行われません)

2.最後に認証完了画面が表示され、加入処理が完了となります。

3.加入後、エージェントの通知の送信について確認がありますが、“許可”を選択

4.エージェントを起動し、状態を確認する事が出来ます。

07

  1. 加入後のAirWatchコンソールからの確認

左のメニューから”デバイス”>”リスト表示”より、デバイスを参照する事が出来ます。また、該当デバイスをクリックしてドリルダウンすると、デバイスの詳細情報が確認できます。

08

 

まとめ

今回は、iOSデバイスの加入についてご説明いたしました。次回は、Androidデバイスの初期設定と加入についてご説明致します。ご期待ください。

本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。 myAirwatchへこちら

AirWatchの基礎 第4回〜iOSデバイス利用の為の初期設定〜

AirWatchの基礎 第4回〜iOSデバイス利用の為の初期設定

前回は、AirWatchのコンソールにログオンし、必要な初期設定を行う手順をご紹介させて頂きました。今回は、もっとも利用シーンが多いであろうApple iOS(以下、iOS)のデバイス管理方法について記載したいと思います。

 

プッシュ通知とは

AirWatchを始めとしたデバイス管理製品は、管理デバイスに対して直接メッセージを送ることや設定変更を個々のデバイスにダイレクトに送ることはできません。かならずプッシュ通知と呼ばれる仕組みを経由して連携いたします。iOSの場合は、APNs(Apple Push Notification Service)という仕組みを利用します。

この仕組みを利用し、AirWatchは設定変更、アプリケーションの配布などのイベントがあった場合は、直接デバイスにデータを送るのではなく、APNsに一度アップデート情報があることを通知し、その通知を受けたデバイスはAirWatchから新しい情報を取得するというシーケンスになります。

image002

 

APNsを使用するには

APNsを使用するためには、まず、Apple Push Certificates PortalでAPNs証明書を取得する必要があります。APNs証明書はAirWatchとiOSデバイスとのセキュアな通信を可能にし、情報をAirWatchにレポートします。

ただし、APNs証明書の有効期限は1年間となっています。継続利用する場合は、更新手続きを毎年行う必要があります。(有効期限が近づくと、AirWatchコンソール上にその旨の通知があります。)注意点ですが、Apple Push Certificates PortalでAPNs証明書を更新すると、現在の証明書はすぐに失効してしまいます。つまり、新しい証明書をアップロードするまでは、まったくデバイス管理できなくなります。構築後は、すぐに新しい証明書をアップロードするようにしてください。また、本番環境とテスト環境では別々の証明書を使用することをお勧めします。

 

APNs証明書の取得方法

実際にAirWatchからAPNs証明書を取得する手順をご紹介いたします。

 

  1. 新しい証明書を作成

グループと設定 →すべての設定→ デバイスとユーザ → Apple→ MDM用のAPNs に移動します。

apns1

 

  1. AirWatch証明書要求 (MDM_APNsRequest.plist)をダウンロード

Appleのサイトへ遷移します。

apns2

 

  1. Apple Push Certificates Portalにログオン

あらかじめ用意したAppleIDでサインインします。

※ここで使用するAppleIDは、今後もAPNs証明書の更新等で使用します。担当者に依存するのではなく、企業および組織でこのApple IDを管理することをお勧めいたします。

apns3

 

  1. Create Certifateを実行

apns4

 

  1. 約款に同意

“Terms of Use”を確認後に、”I have read …”にチェックを入れ、Acceptをクリックします。

apns5

 

  1. plistファイルのアップロード

“ファイルを選択”を選択し、事前に 作業2で作成した”MDM_APNsRequest.plist”を選択、Uploadをクリックします。

apns6

 

  1. 証明書のダウンロード

“Confirmation”を確認し、Downloadをクリックします。”MDM_AirWatch_Certificate.pem”ファイルがダウンロードできます。

apns7

 

  1. AirWatch管理コンソールへ移動

“Expiration Date”より証明書の有効期間を確認し、AirWatchコンソールに戻ります

apns8

 

  1. MDM証明書をAirWatchにアップロード

先ほどダウンロードした”MDM_AirWatch_Certificate.pem”をAirwatchにアップロードし、保存します。

apns9

 

  1. セキュリティ暗唱番号の入力

AirWatchに大きな設定変更を施すことになるため、セキュリティ暗唱番号が求められます。
4桁(数字)のセキュリティ番号を入力します

apns10

 

  1. 設定完了

完了すると、以下の画面が表示されます。

apns11

 

まとめ

今回は、iOSデバイスを利用する為に必要な設定についてご説明いたしました。次回は、iOSデバイスの加入手順をご紹介いたします。

本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。 myAirwatchへこちら

AirWatchの基礎 第3回〜AirWatchへの初めてのログイン〜

AirWatchの基礎 第3回〜AirWatchへの初めてのログイン〜

前回は、AirWatchのフリートライアルの申込とmyAirWatchサイトへのアクセスについてご紹介させて頂きました。第3回では、フリートライアルを申込された方の次のステップでAirWatchへ初めてログインを行い、必要最低限の初期設定についてご紹介させて頂きます。

まず、前回のブログでありましたフリートライアルのメール情報からAirWatchコンソールへログインからスタートします。

  1. AirWatchコンソールへログイン

15

  1. 利用許諾を確認し、“Accept”をクリック

03

  1. パスワードリセットおよびセキュリ暗証番号

・管理アカウントのパスワードを忘れてしまった際に、自身でパスワードをリカバリーできるよう、秘密の質問を設定します。

・デバイス削除や企業情報ワイプなど、クリティカルな設定を実施する際に要求されるセキュリティピンを設定します。

04

  1. AirWatch 9コンソールのハイライトを参照

次回ログイン時に表示させない場合は、チェックをつけてください。

05

  1. コンソール右上のログインユーザのアカウント設定を管理から、タイムゾーン(GMT +9:00)/ロケール(Japanese)の変更を行い、コンソールのデフォルト画面を日本語にする事が出来ます。

06

新しいAirWatchコンソール

2016/11/08より、最新バージョンであるAirWatch 9.0がリリースされました。AirWatch 9.0では、コンソールUIが大幅に変更されており、より利用における利便性や直感的なUIになっております。

14

  1. 組織グループの定義

組織グループは、AirWatchを管理する上で、管理単位を組織やその他様々なグループで構成する事ができ、運用を簡素化する事が出来ます。

組織グループのメリット

・拡張性:拡張を続ける企業組織に対応し、階層的な管理を実現します。
・分離:独立した環境として機能するグループを作成可能で、マルチテナント環境をサポートします。
・継承:上位の組織グループの構成をサブグループが継承するよう設定可能で、管理の合理化を実現します

組織グループの例

リージョンや部門での階層

A Company = ルートとし、その配下にAsia Pacific/America/UATの3つの組織グループを並列に作成

07

AirWatchコンソールからの表示

08

階層の切り替え

09

組織グループの作成

”A Corporation”の下部に“America”を作成する場合、”A Corporation”からの操作

グループの設定>グループ>組織グループ>組織グループの詳細から“サブ組織グループの追加”を選択

・名前:組織グループ名

・グループ ID :デバイスを加入する時のID

・タイプ:リージョンなど組織グループのカテゴリ

・その他 国/ロケール /カスタマーの業種/タイムゾーン をそれぞれ設定

10

組織グループの階層の権限

11

組織グループの主な権限

・プロファイル                                                                    ・ユーザ

・アプリケーション                                                            ・管理者

・順守ポリシ                                                                        ・利用規約

・コンテンツ

  1. ユーザの作成

デバイスの使用者・所有者としてユーザを管理する必要があり、ユーザ登録には以下2種類の方法があります。

・ベーシックユーザ:AirWatchに手動作成されるユーザ

・ディレクトリユーザ:Active Directoryなどディレクトリサービスと連携してAirWatchに自動作成・管理されるユーザ

ディレクトリユーザを利用する場合は、別途AirWatch Cloud Connector(ACC)を構成する必要があります。本ブログでは、シンプルなユーザ管理の手法であるベーシックユーザの作成方法をご紹介します。

コンソール右上の追加ボタンよりユーザを選択

12

組織グループとユーザ作成のベストプラクティスのヒント

割り当てされたテナントの最上位(ルート)でも、ユーザやデバイス管理は行う事が出来ますが、今後の環境の拡張や運用の変更等で構成が変更される事を考慮すると、ルートの配下に少なくとも1つ階層(組織グループ)を作成し、その配下で構成頂く事をお勧め致します。これにより、テナントのデフォルト設定を直接編集する必要がなくなります。また、ベーシックユーザの場合、各組織グループに合わせて利用ユーザを作成する事が一般的な方法ですが、例えば構成した組織グループ間でのユーザ移動が発生する場合は、一つ上の組織グループにユーザ作成する事で、ユーザの移動を簡単に行う事が出来ます。

まとめ

今回は、初めてのログインから最低限の初期設定についてご説明いたしました。次回は、初期設定の続きで、iOS/Androidデバイス利用の為に必要な初期設定についてご紹介いたします。

本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。 myAirwatchへこちら

 

AirWatch の基本 第2回 〜フリートライアルの申し込みとmyAirwatch の登録〜

AirWatch の基本 第2回 〜フリートライアルの申し込みとmyAirwatch の登録〜

皆様、こんにちは。
AirWatch の基本 第2回 は、AirWatch をご購入頂く前に、実際に体感・体験して頂くためのフリートライアルの申し込み方法と様々な情報や資料が提供されている myAirwatch サイトへログインするための登録方法をご説明させて頂きます。

◯ AirWatch フリートライアルの申し込み
フリートライアルは、AirWatch クラウドを無料で30日間、合計100デバイスまで利用することが可能になります。
aw_freetrial-01

お申込みの際には、以下の項目が必要となります。
・姓、名
・企業様メールアドレス
・役職
・電話
・郵便番号
・会社名
・業界
・国

ご興味頂いているソリューション「モビリティ管理」、「コンテンツ共同作業」、「Identity Management」3つの中から選択が可能です。複数選択も可能となっております。

例えば、AirWatch Blue をご検討頂いている場合には、「モビリティ管理」と「Identity Management」を選択します。

ソリューションの詳細は以下となります。

「モビリティ管理」
・Mobile Device Management:複数種類のデバイスを一元化された管理コンソールから構成・管理できます
・Container:デバイス上の企業データと個人データを隔離します。
・Catalog:ウェブ/モバイル/デスクトップアプリなどをユーザーが簡単にインストールできるようになります。
・Inbox:企業用メールクライアント。Eメール、スケジュール、連絡先をシームレスに連携できます。
・App Wrapping:既存の内製モバイルアプリケーションをラッピングし、セキュリティを強化します。
・Browser:セキュアなブラウジングを実施できます。
・Content Locker:セキュアなアクセス方法で、社外秘コンテンツを保護しながら、共同作業を可能にします。
・Telecom Management:管理コンソール上で、デバイスのデータ/通話/ローミング使用量をモニタリングできます。

「コンテンツの共同作業」
・Content Locker:セキュアなアクセス方法で、社外秘コンテンツを保護しながら、共同作業を可能にします。
・Video:企業内の動画の配信/管理をセキュアに行います。
・Socialcast by Vmware:企業内SNSで、ユーザー/資料/プロジェクトを繋ぐことができます。

「アイデンティティ管理」
・VMware Identity Manager:様々なプラットフォーム、デバイスからアプリケーションの簡易アクセスポータルを提供します。

 

◯フリートライアル申し込み手順

  1. 必要事項を入力、ご興味のあるソリューションを選択(複数可)し、規約同意書の同意のチェックを付け、AirWatchに関するメールの受信を希望される場合はチェックはそのまま、[フリートライアルを開始する]をクリックします。
    aw_freetraial-02
  2. フリートライアルお申し込み完了ページが表示されます。
    aw_freetrial-03
  3. このあと、VMware 営業から登録頂いたお客様のメールアドレス宛に問い合わせのメールが送付されます。
    登録頂いたお客様にて応対された後、フリートライアル環境の払い出し準備が整います。
  4. フリートライアルへようこそのメールが届きますので、その中に表示されている情報を利用し、体験して頂けます。

※注意
フリートライアルの登録は、同じドメイン(サブドメイン含む)では1度のみ申請が可能となっております。1度お申し込み頂くと再申請はできませんので、ご注意下さい。

◯myAirWatch とは

VMware AirWatch が提供するポータルサイトです。各機能のマトリックスやプロダクトリリースノート、各種管理者ガイド、リファレンス、Knowledge Base を有しており、ダウンロード、参照することが可能です。
フリートライアル中の問い合わせなど、サポートチケットを発行する場合にも必要になります。

◯ myAirWatch の申し込み
myAirWatch を利用するためには、AirWatch ID を作成する必要があります。
aw_myairwatch_register-02

AirWatch ID を作成の際に、以下の情報が必要になります。
・姓、名
・企業様メールアドレス
・業界
・会社名
・組織名
・国

◯ myAirWatch 登録の手順

  1. 必要な事項を入力し、[Register] を押下します。
    ※VMware Partner の場合、「I am a VMware Partner」のチェックを入れ、VMware Partner IDを入力下さい。
    aw_myairwatch_register-02-1
  2. 登録されたメールアドレスに対して、確認のメールが送信されます。
    aw_myairwatch_register-03
  3. 送信されたメールに記載されている Activation Code を入力するもしくは、リンクを開きます。ここでは Activation Code を入力した場合とします。
    aw_myairwatch_register-04
  4. パスワードの要件をクリアするように、任意のパスワードを入力します。
    aw_myairwatch_register-06
  5. Activation が完了しました。[LOGIN] を押下します。
    aw_myairwatch_register-07
  6. 利用規約を承諾するため、全てのチェックボックスにチェックを入れます。
    aw_myairwatch_register-09
  7. myAirwatch のポータルにログイン完了です。
    この中で様々な情報やコンテンツを確認することができます。
    aw_myairwatch_register-10
    ※表示されるメニューはお客様、パトーナー様によって表示される範囲が変わります。

次回は、AirWatchの基礎 第3回 は 〜AirWatchへの初めてのログイン〜 です。お楽しみに。

本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。
また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。

AirWatchの基本 第1回 〜AirWatchのご紹介〜

AirWatchの基本 第1回 〜AirWatchのご紹介〜

皆様はAirWatchという会社をご存じでしょうか?
VMwareが買収したこの会社、実はモバイルデバイス(スマホ、タブレット)の管理という領域で、世界トップクラスのサービスを持っています。

%e7%ae%a1%e7%90%86%e7%94%bb%e9%9d%a2

AirWatchサービス画面

本エントリではこちらのAirWatchについての概要をご紹介し、次回以降でフリートライアルの始め方や、実際の使い方についてのエントリをポストしていきます。

 

MDM(Mobile Device Management)

AirWatchの話に入る前に、少し企業へのモバイルデバイス導入について考えてみたいと思います。
実際にモバイルデバイスの導入を検討する際には、それに付随するセキュリティリスクの増大にも目を向けなければいけません。

旧来のガラケーと比べると、モバイルデバイスは

  • メール
  • 高性能なカメラ
  • 社内情報へのアクセス手段
  • その他さまざまなアプリ(DropboXや、Evernoteのようなクラウドサービス含)

といった、ダイレクトにセキュリティ事故に繋がりかねない機能を持つことができてしまいます。
これらのセキュリティリスクに対する、企業の一般的なアプローチはMDM(Mobile Device Management)製品を導入する、というものです。MDMについては、国産/外国産を問わず、様々なメーカーの様々な製品が出ていますが、基本的な機能としては、以下の3つとなります。

盗難/紛失対策

  • 遠隔でデバイスをロックしたり、データをワイプする機能

機能制限/設定の配布

  • カメラを無効にする等、デバイスの機能に制限をかけたり、パスコードのポリシーを定義したり、企業メールやWi-Fiの設定をリモートで配信する機能

利用状況の把握

  • そのデバイスがどこにあるか、どんなアプリがインストールされているのか等を把握する機能

 

MDMの主な機能は上記3つですが、これらのMDM制御をかけることで、モバイルデバイスを業務に活用できるベースは整うのでしょうか?
実はこれだけでは、実際にモバイルデバイスを業務利用するうえで、こんな課題が出てきます。

  • 業務に使うアプリは、どうやって利用させますか?そのアプリのセキュリティは?
  • 社員がDropboxを使用するのを、どうやって禁止しますか?
  • 禁止しないのであれば、どうやって企業情報のセキュリティを担保しますか?
  • 端末の標準メーラーで、本文や添付ファイルのセキュリティは大丈夫ですか?
  • メールができるだけで、モバイルデバイスを導入した効果は十分ですか?
  • ファイルサーバへのアクセスや、社内システムのアクセスはどうやって実現しますか?

実はMDMを導入しただけでは最低限の紛失対策はできますが、モバイルデバイス上で使用するアプリ、モバイルデバイスからアクセスする社内システムや社内データ、企業メールといった、実際に業務に利用する部分のセキュリティを担保できないのです。かといって、これらの機能を一概に禁止してしまっては、せっかくモバイルデバイスを導入する意味がありません。非常に悩ましい問題ですね。

モバイルデバイスを既に導入している企業でも、とりあえずMDMは入れているけれど、上記のような課題に直面して、結局ガチガチに制限をかけてしまい、せっかくのモバイルデバイスが有効活用できていない、というケースは非常に多いです。

そこで登場したのがEMM(Enterprise Mobility Management)と呼ばれるサービスです。

AirWatchはこのEMMにカテゴライズされる製品となりますが、このEMMがどのような特徴を持っているのか、以下にご紹介していきたいと思います。

 

EMM (Enterprise Mobility Management)

EMMという単語自体は聞き慣れない方も多いかと思いますが、一言で表すと
モバイルデバイスを”活用”するために必要な機能を取りそろえた製品
となります。

とりあえずモバイルデバイスを配布するだけであれば、MDMによる最低限のセキュリティ担保と、端末に厳しく制限をかける、という運用でも良いかもしれません。

しかし、積極的に業務で”活用”したいと考えた時に、上記の通り様々な課題が出てきます。
それらの課題も踏まえて、モバイルデバイスを”活用”するための機能を包括的に持っているのが、AirWatch等のEMMソリューションとなります。

いくつか簡単に機能を紹介しますと、

  • 利用アプリケーションのコントロール

AirWatchが持っている、AppCatalogという機能を使用すれば、App StoreやGoogle Play上で公開されているアプリケーションを直接インストールさせるのではなく、管理者が許可したアプリケーションのみを利用できる状態にしておいたり、プッシュで端末にアプリを配信することが可能です。
また、ストアに載らないような自社開発アプリケーションに関しても、自由に配布/アップデートができるようになります。

appcatalog01

appcatalog02

 

 

 

 

 

 

 

 

 

 

 

  • 社内データへのアクセス

Content Lockerというアプリを使うことで、PDFやオフィス系のデータ、写真、動画といった様々なコンテンツを、暗号化/コピペ禁止/他のアプリへのデータ引き渡し禁止、等のセキュリティを掛けた状態で、デバイスに配信することができます。また、参照だけでなくOfficeファイルの直接編集もContent Lockerアプリ内で実施することができます。
アクセスできるデータの領域も、社内のファイルサーバはもちろんのこと、クラウドサービスのOne DriveやSharePoint Online、Google Driveなど、多くのファイルストレージに対応しています。

cintent01

content02

 

 

 

 

 

 

 

 

 

 

 

  • 企業メールの利用

AirWatchはBoxerというメールクライアントアプリを提供しています。
Boxerを利用すれば、データを暗号化したり、本文のコピペを制御したり、添付ファイルをContents Lockerにしか渡せないように制御する等、セキュアなメール利用が可能です。
このBoxerは元々はコンシューマ向けに評価が高かったメールクライアントですので、AirWatchが企業向けにハイレベルなセキュリティを追加実装したことで、使いやすさとセキュリティの両立に成功しています。

mail01

 

 

 

 

 

 

 

 

 

  • 社内システムへのアクセス

AirWatchのSecure Browserを利用すれば、面倒なVPN接続やパスワード入力を実施することなく、社内のWebシステムにワンタッチでアクセスできます。
ブラウザ内データのコピペ禁止や、DLしたデータを後述のContent Lockerにしか渡せないように設定しておけばセキュリティも万全。フィルタリングやプロキシの設定も可能です。

%e3%83%95%e3%82%99%e3%83%a9%e3%82%a6%e3%82%b5%e3%82%99

block

 

 

 

 

 

 

 

 

 

 

 

  • それらを一元的に管理する、包括的なコンソール

実は、上記のようなアプリケーション管理や、コンテンツ管理の機能を単体でもっている製品はAirWatch以外にも存在します。しかし、それらを単一のコンソールで全て管理できる製品はほとんどありません。AirWatchはシンプルな単一コンソールでこれら全ての機能を管理することができます。
また、AirWatchはiOSやAndroidだけでなく、WindowsデスクトップやWindows Phone、MacやChrome Bookに対しても上記の機能と管理を提供することができます。

%e3%82%b3%e3%83%b3%e3%82%bd%e3%83%bc%e3%83%ab01 %e3%82%b3%e3%83%b3%e3%82%bd%e3%83%bc%e3%83%ab02

 

 

 

 

 

 

 

 

まとめ

企業へのモバイルデバイス導入は近年急速に加速しており、かつ今後もますます増加していくことが確実視されています。それに伴い、モバイルデバイス導入の”失敗事例”も数多く出てくるようになりました。失敗の原因の多くは、モバイルデバイスの導入そのものが目的化してしまい、どのように”活用”するか、どのように業務利用のベースを作っていくか、そしてどのように運用していくか、という視点での検討が十分でないことが挙げられます。

最近は、モバイルデバイスの活用は、[クラウド]と並んでビジネスを拡大するための重要なキーワードとなっています。是非AirWatchでモバイルデバイスの”活用”を実現しましょう!

次回以降で、AirWatchのフリートライアルの始め方や、実際の使い方についてのエントリをアップしていきます。こうご期待!

 

本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。 myAirwatchへこちら 

 

VMware、IBMとのパートナーシップを拡張し、IBM Cloud上からVMware Horizon Airを提供

みなさま、こんにちは。VMware でエンドユーザーコンピューティングのプロダクト マーケティングを担当している本田です。

本日のブログでは、2016年6月14日(US時間)に発表されたVMware Horizon Air に関する発表についてご紹介します。発表内容は、日本語の抄訳プレスリリースをvmware.com/jp 上に掲載しておりますが、米国本社の EUC Blogの内容が分かり易いので、今回はその日本語版をみなさまにお届けします。それでは、日本語版ブログをお楽しみください。

By Courtney Burry

近年ますます多くの顧客が、ワークロードやサービスのクラウドへの移行に期待を寄せています。これはビジネスや財務面で理にかなっているだけでなく、全社にサービスを提供する際のスピード感や提供するサービスの範囲を向上できるためです。このため今年は、DaaS(Desktop as a Service)と呼ばれる「サービスとしてのデスクトップおよびアプリケーション」が大きく勢いを増すのは間違いないでしょう。実際のところ、調査会社のIDCは、DaaSの市場規模が2014年の3.76億米ドルから2019年には14億米ドルを超える規模に成長すると予想しています。[1]また、 VMwareでも同様の需要を見込んでいます。

2年程前、VMwareではVMware vCloud Air上でVMware Horizon Airサービスを開始することで、アプリケーション、デスクトップおよびディザスタリカバリ(DR)をクラウド上のホスティング サービスとして利用できるようサポートしてきました。また、すべての地域においてこのサービスの需要拡大を見込んでいます。

今回の発表により、Horizon Airの顧客はまもなくvCloud Airに加えてIBM Cloudを利用し、すべてのWindowsデスクトップ(Windows 10デスクトップを含む)や公開アプリケーションを、幅広いデバイスに配布できるようになります。

vm_ibm

「サビスとしてのデスクトップおよびアプリケーション」を利用しようとする顧客にとって、これは朗報であると考えています。以下に、何点かその理由を挙げます。

  1.  より多くのロケーションからVMware Horizon Airの利用が可能に

このパートナシップにより、今後VMware Horizon Airの顧客は、全世界46ヶ所に広がるIBM Cloudのデータ センターにアクセスできるようになる予定です。これにより、単一またはマルチサイトでの展開時に、Horizon Airの顧客が利用できるロケーションの範囲と領域が拡張されます。

  1. IBM Cloud接続へのアクセス

IBMクラウド データ センター間の10 GBのバックボーン ネットワーク接続により、VMware Horizon Airの顧客は、データ センター間でイメージ、デスクトップおよびアプリケーションの高速移動が可能になり、エンドユーザーの生産性を損なうことがありません。

  1. 従来通りの低費用

今回、VMwareは価格の変更を行いません。したがって、VMware Horizon Airの顧客は、VMwareのStandard、Advanced、Enterpriseエディションのデスクトップおよびアプリケーション サービスを、従来通りの低額な月額または年額でのサブスクリプションで利用できます。

  1. 最高のSLAに基づくアジャイル インフラストラクチャ

IBM Cloudでは、デスクトップ、アプリケーション サービスおよびキャパシティへの高速アクセスがサポートされるので、エンドユーザーは数分から数時間でオンライン接続が可能となります。またIBM Cloudでは、カスタム ハードウェアを使用することで、VMware Horizon Airデスクトップおよびアプリケーションを利用しようとする顧客のニーズに最も合うよう構成されたソリューションが提供されます。

私たちVMwareは、クラウド サービスによりモビリティを実現することが成功への道である、との顧客の声を数多く耳にしてきました。また、その実現のため、選択肢や柔軟性が増すことを希望する、とも顧客は述べています。今回のIBMとのさらなるパートナシップの強化は、まさに顧客にそのようなサービスを提供するためのものです。

[1] Source: International Data Corporation (IDC), Worldwide Virtual Client Computing Desktop as a Service-Enabling Software Forecast, 2015-2019; Robert Young and David Laing

新卒 2 年目 SE が贈る 仮想デスクトップのキソ!第 8.2 回 ~ App Volumes を使ってみよう その2 ~

こんにちは、SEの川崎です。

前回に引き続き、『新卒2年目 SE 社員が贈る 仮想デスクトップのキソ!』シリーズ、スピンオフ版の第2段として、VMware App Volumes ™ (App Volumes)に関する記事をお届けいたします。まだ”その1”をご覧になっていない方はこちらよりご確認ください。

前回は App Volumes がどのような課題を解決するのか、リンククローン×流動割り当ての課題を確認するところからはじめ、App Volumes の全体像、構成要素、おおまかな導入の流れをご紹介しました。今回は、App Volumes の中でも鍵となる AppStack、Writable Volumes という2つの要素に着目しながら、それらが結局どう役立ってくれるのか、というところまでを見ていきます。

§3.AppStack と Writable Volumes とは? – 作成から運用まで –

§3-1.AppStack

この節では AppStack について、もう少し深く見ていきます。内容は次の通りです。

  • テンプレート
  • Provision(AppStackへのアプリケーションインストール)
  • Assign(ユーザとの紐付け)
  • バックアップの方法
  • RDSHでの利用

テンプレートについて

初期構成で設定したデータストア内の指定のパスに AppStack のテンプレートがあります。

AppStack の作成時には、このテンプレートを指定して作成します

図1.AppStack 作成時の画面イメージ、テンプレートを指定

図1.AppStack 作成時の画面イメージ、テンプレートを指定

デフォルトでは 20GB のサイズで作成されますが、容量は手順に従いカスタマイズすることも可能です。

Provision について

AppStack にアプリケーションをインストールする作業を Provision と呼びます。App Volumes Managerの管理コンソールから “Provisioning Computer” を指定して Provision を開始し、いくつかのアプリケーションをインストールします。

図2.provision 開始後の provisioning computer の画面イメージ

図2.provision 開始後の provisioning computer の画面イメージ

なお、一度作成した AppStack を修正したい場合には、Update 作業を行うことにより、一度既存AppStack の複製を作成した上で再度 Provision 作業を行うことが可能です。

Assign について

ユーザ、グループ、またはコンピュータに対して AppStack を Assign (AppStack との紐付け)します。即時または次回のログオンか再起動後にアタッチするよう、指定することが可能です。

図3.AppStack の assign 時の画面イメージ

図3.AppStack の Assign 時の画面イメージ

バックアップについて

Storage Group を構成することにより、複数のデータストア間で AppStack を複製して配置しておくことで冗長化が可能です。また、AppStack は読み取り専用で、管理者が新規に作成したり Update 作業を行ったりした際にしか変更は加わりませんので、変更が入ったタイミングで都度バックアップしておくことを推奨します。バックアップには、AppStack の格納されたデータストアを LUN ごとバックアップする方法や、vSphere Client などで個別にコピーする方法 などが挙げられます。AppStack の種類の数だけバックアップをとればよいので、規模が大きくなければ個別のコピーでもそれほど工数はかかりませんね。

図4.Storage Group を表示。"iSCSI-01", "iSCSI-02", "iSCSI-03" を要素として "iSCSIs" という Storage Group を構成。

図4.Storage Group を表示。”iSCSI-01″, “iSCSI-02”, “iSCSI-03” を要素として “iSCSIs” という Storage Group を構成。

図5.各データストア内に配置された AppStack

図5.各データストア内に配置された AppStack

RDSH 環境での利用

RDSH に対しても AppStack は利用可能ですが、Writable Volumes は利用できません。要件など詳細はドキュメントをご参照ください。(FAQも参考になります)

 

§3-2.Writable Volumes

この節ではWritable Volumesについて、少し深く見ていきます。内容は次の通りです。

  • テンプレート
  • 作成と割り当て
  • バックアップ

テンプレートについて

初期構成で設定したデータストア内の指定のパスにテンプレートがあります。Writable Volumes については、App Volumes 2.10では下記2通りのプロファイルが提供されています。

  • uia_only (user-installed application)
  • uia_plus_profile (user-installed application plus profile)

作成と割り当て

割り当てるユーザを指定し、テンプレートを選択して作成します。

図6.Writable Volumes の作成。テンプレートを選択。

図6.Writable Volumes の作成。テンプレートを選択。

Writable Volumes のサイズはデフォルトでは 10GB ですが、”Expand” が可能です。

図7.作成された Writable Volumes の一覧。"Expand" も可能。

図7.作成された Writable Volumes の一覧。”Expand” も可能。

バックアップについて

Writable Volumes はユーザがデスクトップ利用中は書き込みが発生している可能性があり、ユーザがログオフしているときがバックアップに望ましいタイミングになります。vmdk ファイルのバックアップは、ユーザログオフ中に LUN 単位でバックアップをとるか、AppStack 同様に個別にコピーする手法を用いることができます。サポートはされていませんが、Flings で提供されているツールが役に立つ場合もあります(弊社ブログでの紹介記事)。また、 Writable Volumes にユーザプロファイル、ユーザデータを保持せず、User-Installed Application のみの利用に絞ることによりバックアップを不要にする構成をとる設計もよく用いられます。その場合はユーザのデータやプロファイルはフォルダリダイレクトや移動ユーザプロファイル、User Environment Manager を利用して保持し、別途ファイルサーバ側をバックアップします。Writable Volumes のバックアップを取得しない場合は User-Installed Application は再構成時にユーザ側で再インストールが必要です。

§4.使い方とメリットを改めてみてみよう

全体像 – ある営業日と翌営業日の仮想デスクトップ利用状況

EUC8_benefit

図8.App Volumes を導入した環境での、ある2日間の仮想デスクトップ利用イメージ

 

§4-1.AppStack のメリット

営業系従業員向けのアプリケーション、技術系従業員向けのアプリケーションをそれぞれ AppStack 化しておくことにより(図9 – ①)、共通のデスクトッププールに接続していても、各ユーザの所属する部署に応じてデスクトップ内で利用できるアプリケーションを変えることが可能です。ユーザのログインに伴ってユーザに割り当てられた AppStack が仮想デスクトップに Attach され(図9 – ②)、ユーザはデスクトップ内でアプリケーションを利用することができます(図9 – ③)。

これにより、ユーザが自分の部署に応じたアプリケーションが利用できる状況を確保しつつ、デスクトッププールのマスターとなる仮想マシンイメージを一つに統一しておくことができます。管理者の方は、マスターのサービスパックアップデートや新しいアプリケーションの AppStack へのインストール作業は一度で済みますが、それにより全ユーザの環境をアップデートできます。

図9.AppStack が割り当て済みの環境での仮想デスクトップ利用イメージ

図9.AppStack が割り当て済みの環境での仮想デスクトップ利用イメージ

 

§4-2.Writable Volumes のメリット

各ユーザに Writable Volumes を割り当てておくことで(図10 – ①)、各ユーザは独自にインストールしたアプリケーションを別のデスクトップに接続しても使い続けることができます。ユーザがログインしたデスクトップには Writable Volumes が Attach され(図10 – ②)、ユーザが新規にインストールしたアプリケーションは Writable Volumes に保存されます(図10 – ③)。ユーザが別の仮想デスクトップにログインした際にも、そのユーザに割り当てられた Writable Volumes が Attach されることで、ユーザはアプリケーションを利用することができます。(図10 – ④)

ユーザには自由にアプリケーションをインストールできる環境が提供されますが、ユーザの総数と同数のデスクトップ用仮想マシンを確保しておく必要がありません。管理者は同時接続数を満たす数をベースにデスクトップの展開数を決定することができます。

図10.Writable Volumes が割り当て済みの環境での仮想デスクトップ利用イメージ

図10.Writable Volumes が割り当て済みの環境での仮想デスクトップ利用イメージ

 

§5.関連動画リンク

  • AppStack の Attach 時の動作イメージ動画

https://www.youtube.com/watch?v=Csn5eT93EFo

  • 構築の流れの動画

https://www.youtube.com/watch?v=yL7Zx2IAEes

おわりに

2回にわたり App Volumes についてお届けして参りましたが、いかがでしたでしょうか。この記事をきっかけに App Volumes について、少しでもイメージを持っていただけたなら幸いです。

 

新卒2年目社員が贈る 仮想デスクトップのキソ!
第1回 仮想デスクトップと Horizon 6 ( with View)
第2回 仮想デスクトップの基本構成
第3回 プール作成と割り当て
第3.5回 View Composer の仕組み
第4回 接続方法と接続元端末
第5回 公開アプリケーションのキソ
第5.5回 ThinAppによるアプリケーション仮想化のキソ
第6回 スケールアウト対応
第7回 完結編、仮想デスクトップと関連ソリューション総まとめ
第 8.1 回 App Volumes を使ってみよう その1
第 8.2 回 App Volumes を使ってみよう その2

新卒 2 年目 SE が贈る 仮想デスクトップのキソ!第 8.1 回 ~ App Volumes を使ってみよう その1 ~

こんにちは、SEの川崎です。

『新卒2年目 SE 社員が贈る 仮想デスクトップのキソ!』シリーズ、スピンオフ版の第2段は、第7回の補足として、VMware App Volumes ™ (App Volumes)に関する記事を2回にわけてお届けいたします。

App Volumes については、以前にも ブログ記事 がありますが、今回はインストール方法なども含めてもう少し具体的に見ていくことで、こんな用途で実際に使えそうだなというイメージをつけていただければと思います。

なお、本記事の内容はバージョン 2.10 をベースとして記載いたしますので、ご了承ください。(バージョン 3.0 のリリースノートにて本番環境での使用に 2.10 を推奨しているため)

§1.App Volumes の用途と利用シーン

§1-1.利用シーン

App Volumes の機能に入る前に、まずは App Volumes がどんな場面で役に立つのか、見ていきましょう。

仮想デスクトップのキソ!ブログの別の回でも扱っておりますが、「リンククローン」や「流動割り当て」という言葉は覚えておいででしょうか。リンククローンは、マスターVMとそのスナップショットからレプリカVMとその差分によって多数の仮想デスクトップを展開する方式で、OSイメージの管理やストレージ容量の削減で効果がありました(図1 – ①)。

流動割り当ては、各ユーザに対して特定のデスクトップを固定して割り当てず、ログオフ後に接続する度に異なるデスクトップ仮想マシンに接続する方式でした。これは、用意する仮想マシンが少なくてすむという利点がありました(図1 – ②)。

図1.リンククローン×流動割り当てイメージ

§1-2.App Volumesで解決される課題とは?

一見メリットが多いリンククローン×流動割り当てという方式ですが、App Volumes を利用しない、これまでの方法を前提として考えた場合には、いくつか課題がありました。

その主要なものがアプリケーションのインストールに関わる課題です。まず流動割り当てでは、仮にある仮想マシンにアプリケーションをユーザがインストールしても、次のログインで別のマシンにログインしては意味がなくなってしまいますので、専用割り当てにする必要があります。また、リンククローンで展開された仮想マシンは、更新や再構成の操作のたびに差分ディスクがリフレッシュされてしまい、アプリケーションは管理者がマスターイメージにインストールする必要がありました。(**通常ディスクや移動ユーザプロファイル、persona managementを利用してもアプリケーションインストール領域は通常は対象外になります、図2 – ①) しかしながら、ユーザ個別に利用するアプリケーションを全て管理者が代行してインストールすると、マスターイメージが肥大化しますし、管理者の工数も増えてしまいます(図2 – ②)。部署など特定の業務との関連のアプリケーションに絞ったとしても、全社に対してVDIを展開するような場合には、マスターイメージがいくつも存在し、その管理もそれなりに煩雑になってしまいます(図2 – ③)。

図2.リンククローン方式で複数のデスクトッププールを展開

これらの課題がApp Volumesで解決されます。App Volumes を利用した環境では、部署に固有のアプリケーションはAppStack化する(図3 – ①)、ユーザ固有のアプリケーションはWritable Volumesによって保持する(図3 – ②)、といった方法をとることで、マスターイメージは共通の一つのイメージに統一した上で、各ユーザには必要なアプリケーションを提供することができます (図3 – ③)。

図3.リンククローンとApp Volumes を利用した展開イメージ

§2. App Volumes を使おう

§2-1.App Volumes 2.10 の環境構成

はじめに、App Volumes を利用する際の全体像を見てみましょう。今回は VDI 環境の場合を例に、追加される関連コンポーネントを確認します。

図4. App Volumes 環境の全体像

図4. App Volumes 環境の全体像

なお、今回は App Volumes のコンポーネントに注目しているため、View 部分については簡略化しています。また、App Volumes は物理環境に対しても使用可能ですが、今回は扱いませんので詳細は弊社ドキュメントを参照ください。

2-2. 各コンポーネントの役割

EUC8_components_mgr App Volumes Manager (Windows Serverにインストール)
App Volumesの中核コンポーネントとして、管理者向けのWebコンソールを提供し、App Volumes管理、AppStackやWritable VolumesのAssignに利用します。
EUC8_components_db App Volumes Database
AppStack、Writable Volumes、ユーザ、コンピュータ、それらの紐付けなどに関する構成情報を格納するSQLサーバデータベース 
EUC8_components_agent App Volumes Agent
AppStackやWritable Volumesの割り当てを受けるWindows デスクトップにインストールするソフトウェア。
EUC8_components_prov Provisioning Computer
AppStack作成用コンピュータ。AppStackを Attach してアプリケーションをインストールする際に利用します。 
EUC8_components_appstack AppStack
一つまたは複数の仮想デスクトップにAttachされることで、ユーザは仮想マシンにもとからアプリケーションがインストールされていたかのようにアプリケーションを利用することができます。
 EUC8_components_writable Writable Volume:
ユーザごとに用意される、読み書き可能なボリュームです。ユーザのログインに応じて仮想マシンにAttachされ、セッションが変わってもユーザに固有の情報を保持するために使われます。保存内容としては、ユーザのインストールするアプリケーションとその設定情報、アプリケーションのライセンス情報、ユーザとコンピュータのプロファイル、データファイルになります。

 

 

2-3. 構築の大まかな流れ

構築のおおまかな流れとしては下記の5ステップになります。

図5. App Volumes 構築のおおまかな流れ

図5. App Volumes 構築のおおまかな流れ

  • App Volumes Managerをインストール
図6. App Volumes Manager インストール後のイメージ

図6. App Volumes Manager インストール後のイメージ

Windows Server にISOファイルをマウントし、App Volumes Manager をインストールします。

  • App Volumes Managerを構成
図7. App Volumes Manager 初期構成時の画面イメージ

図7. App Volumes Manager 初期構成時の画面イメージ

App VolumesのWebコンソールに接続し、構成作業を行います。

Active Directory、App Volumes の管理者グループ、vCenter Server、AppStack や Writable Volumes のテンプレートを格納するデータストア、などを登録します。

  • App Volumes Agentをインストール
図8. 仮想デスクトップのマスターとなる仮想マシンへ App Volumes Agent をインストール

図8. 仮想デスクトップのマスターとなる仮想マシンへ App Volumes Agent をインストール

仮想デスクトップにISOファイルをマウントして、App Volumes Agentをインストールします。インストールの設定中にApp Volumes Manager を指定します。

  • AppStack を準備
図9. AppStack の作成・割り当て完了時のイメージ

図9. AppStack の作成・割り当て完了時のイメージ

AppStack を作成して、必要とするユーザに割り当てます。詳しくは次回扱います。

  • Writable Volumesを準備
図10. Writable Volumes 作成・割り当て完了後のイメージ

図10. Writable Volumes 作成・割り当て完了後のイメージ

必要とするユーザに対して Writable Volumes を作成します。こちらも詳しくは次回扱います。

 

2-4. 環境ができあがるとどう見えるか

では、できあがった環境を確認してみましょう。

まずはWindows OS 内部から、ディスクの管理でマウントされているボリュームがどう見えるか確認します。

図11. App Volumes 利用時の Windows OS から見たボリュームの状態

図11. AppStack ・ Writable Volumes が Attach された仮想マシン (Windows OS 内から確認したボリュームの状態)

次に vSpehere Web Client から確認します。

図12. AppStack ・ Writable Volumes がAttach された仮想マシン (vSphere Web Client から確認した場合)

図12. AppStack ・ Writable Volumes が Attach された仮想マシン (vSphere Web Client から確認した場合)

おわりに

さて、今回はここまでのご紹介になります。続く”その2”では App Volumes の肝となる AppStack と Writable Volumesについて、作成方法などもう少し詳しいところを確認し、その上でユーザは実際にはどのように便利に利用できるのか、を説明して参ります。次回も楽しみにお待ちください!

 

新卒2年目社員が贈る 仮想デスクトップのキソ!
第1回 仮想デスクトップと Horizon 6 ( with View)
第2回 仮想デスクトップの基本構成
第3回 プール作成と割り当て
第3.5回 View Composer の仕組み
第4回 接続方法と接続元端末
第5回 公開アプリケーションのキソ
第5.5回 ThinAppによるアプリケーション仮想化のキソ
第6回 スケールアウト対応
第7回 完結編、仮想デスクトップと関連ソリューション総まとめ
第 8.1 回 App Volumes を使ってみよう その1
第 8.2 回 App Volumes を使ってみよう その2