Home > Blogs > VMware Japan End-User Computing Blog

Android 端末の管理方法は今後Android Enterprise (旧称 Android for Work)が前提になります

Workspace ONE 統合エンドポイント管理 (旧称 AirWatch。以下、Workspace ONE UEM) によるAndroid端末の管理をお考えの方、あるいはすでに管理中の方にとっては、非常に重要な変更点となります。
Google社の方針を受け、Workspace ONE UEMとしても今後のAndroid端末管理手法は全て、旧来の Device Administrator から Android Enterprise へと推奨が切り替わっていきます。本エントリでは、こちらのAndroid管理手法の変更についてご説明していきます。

ところで、Android for Workの名前がAndroid Enterpriseに変わっていたり、AirWatchの名前がWorkspace ONE UEMに変わっていたり、すこし分かりにくいですよね…すみませんが慣れてください。

 

・Device Administratorとは
2010年リリースのAndroid 2.2から実装されているAndroid管理手法で、明示的にAndroid Enterpriseを設定せずにAndroid端末をMDM管理している方は基本的にこちらを利用しています。この管理方法は、2017年リリースの Android 8.0 (Oreo) では引き続きGoogleにサポートされていますが、2018年リリース予定の Android 9.0 (Pie)では多くの機能がドロップされ、2019年にリリース予定の Android Qでは完全に利用できなくなる予定となっています。

こちらの手法は対象機種によって制御できる項目/できない項目が存在していました。例えば、Samsunの端末ではスクリーンキャプチャをMDMから無効化することができるが、富士通の端末ではこの制御ができない、というようにデバイス依存の強い管理手法となっていました。

 

・Android Enterpriseとは
旧称Android for Work。Android 5.0 (Lollipop)から一部端末に実装され、Android 6.0 (Marshmallow) で標準の機能となったAndroid 端末の管理手法で、今後のAndroid端末管理のスタンダードです。
Android Enterpriseの中にも、BYODに最適な、端末の中に個人領域を作る[Work profile]というコンフィグレーションや、社給端末向けに細かな制御設定を可能にする[Work Managed]というコンフィグレーションなどが存在します。
こちらは端末がAndroid Enterpriseにさえ対応していれば、基本的には一律で同じ制御項目が適用できるため、機種依存の少ない管理手法となっています。BYODでさまざまなデバイスが加入するようなケースでも、BYOD利用の条件を [Android Enterpriseに対応している機種であること] と定義しておけば、様々な機種で同レベルのセキュリティを担保することが可能です。
Googleが開示しているAndroid Enterprise対応端末一覧はこちら
#ちなみに、VMware はGoogleからAndroid のEMM パートナーとして推奨されている8社のうちの1社です。

 

ということで、今後、新規にAndroid端末を加入させる場合は、基本的にはAndroid Enterpriseのご利用が前提になります。

ここから重要なポイントですが、Device Administratorで管理中の既存端末をAndroid Enterprise の Work Managedベースの管理に切り替える場合には、端末の初期化及びWorkspace ONE UEMへの再加入が必要となります。
Android Enterprise Work Profileへの切り替えには初期化は必要ないのですが、Work ProfileはBYOD用途で主に使われるコンフィグレーションなので、社給端末の場合は基本的にDevice Administratorの切り替え先はWork Managedとなるケースが多いです。

Android Enterpriseへの移行を、既存端末含めて一斉に実施するとなると、利用中の端末を全て初期化していくオペレーションが発生しますので、これはちょっと現実的ではありませんよね。

ということで、現在Device Administratorベースで端末を管理中の方は、社内でAndroid Enterpriseへの移行を計画し、今後新規に増えるAndroid端末は基本的にAndroid Enterpriseで加入させるといった対応に今からでも切り替えていくことを推奨します。

既にDevice Administratorで管理中の方も、新規端末はAndroid Enterpriseベースの加入/管理を、既存の端末も入れ替えタイミング等でAndroid Enterpriseベースの加入/管理への切り替えをお願いします。

 

Workspace ONE UEMでAndroid端末にプロファイルを設定する場合の変更点

管理手法の切り替えに伴い、Workspace ONE UEM の管理コンソールにも変更が加えられています。

9.1までは下図の様に、[プロファイルの作成] → [Android] を選択した際に、(事前に対象組織グループでAndroid Enterpriseの初期設定が済んでいる場合は) [Device] もしくは [Android for Work] といった選択肢が表示されていました。

こちらでDeviceを選択するとDevice administratorベースのプロファイル作成、Android for Workを選択するとAndroid Enterpriseベースのプロファイル作成に進むようになっていました。

Workspave ONE UEM 9.2以降では、プロファイル作成画面で[Android]とだけ表示されている項目がAndroid Enterpriseを指しており、旧来のDevice Administratorベースのプロファイルは[Android Legacy]と表示されています。

あまりいらっしゃらないかとは思いますが、これから新規にDevice Administratorベースの管理を実施されたい方は、Workspace ONE UEMコンソール上で明示的に[Googleへの登録なしでAndroidを展開する]を有効にする必要がありますのでご注意ください。

設定箇所は、[グループと設定]→[全ての設定]→[デバイスとユーザー]→[Android]→[Android EMM登録]です。

同じ設定画面から、[加入制限]のタブを選択すると、同一の組織グループ内でAndroidの加入をAndroid Enterpriseのみとするか、Android Legacyのみとするか、グループ単位で使い分けるかを設定可能です。

ということで重要なポイントをおさらいします。

  • 2019年リリース予定のAndroid Qでは、旧来のDevice Administratorベースの管理は利用できなくなる
  • Device Administratorベースで管理されている端末をAndroid Enterprise の Work Managedに切り替えるには、端末の初期化が必要となるため、今後新規に端末を加入させる場合はAndroid Enterpriseベースでの加入を推奨
  • Workspace ONE UEM上でただ[Android]と記載されている箇所は、今後説明が無くとも基本的にAndroid Enterpriseを指しており、Device Administratorを指す場合は[Android Legacy]という記載となっている

Android Enterpriseが基本になり、今後は機種依存の制御項目を気にしなくて良くなるのは嬉しいポイントですね!
皆様是非Android Enterpriseを積極的にご活用ください。

App Volumes 2.14 What’s New

皆様こんにちは。今回のEUC Blogでは、5月のVMware Horizon 7.5リリースに含まれているVMware App Volumes 2.14の新機能について紹介させていただきます。

 

App Volumes 概要

App VolumesはVDI環境に自由度とセキュリティの両立を提供するJMPテクノロジーのうちの一つでOSとアプリケーションを疎結合させます。そのことにより適材適所にアプリケーションをVDIやRDSH上に配布し、マスタOSイメージ数を最小にしながらユーザーが利用したいアプリケーションを柔軟に提供することが可能となります。

 

 

 

App Volumes 2.14 新機能

App Volumes 2.14の主な新機能を以下に紹介いたします。

 

・役割ベースのアクセス制御(RBAC):

App Volumes の管理コンソールであるApp Volumes Managerの包括的なRBAC (Role Based Access Control)事前定義ロールとカスタムロールが使用可能になります。従来は、Administrator権限のロールしかありませんでしたが、きめ細かいロール設定が可能になりました。

 

・共有データストアのサポート:

App Volumes Managerは、複数のvCenter Server間の共有データストアを認識し、共有データストア上のアプリケーションパッケージであるAppStacksは単一ロケーションとして表示されます。このことにより複数vCenter Server環境でもシンプルにAppStacksを管理できます。

 

・Writable Volumesの移動、バックアップ、およびリストア:

ユーザーが個別にインストールする領域などを保存するWritable Volumesを別のフォルダや他のデータストアに移動可能となりました。また、バックアップおよびリストアも可能となりました。これらの新機能によりデータストアのバランスをとることで、ストレージの使用率向上Writable Volumes管理機能の改善に役立ちます。

 

・OutlookおよびWindows Searchインデックス作成の永続性:

従来、Windows Searchインデックスは通常システムのネイティブディレクトリに格納されてましたが、Searchインデックスは自動的にUser Writable Volumesにリダイレクトされるようになりました。また、OutlookのOSTファイルもUser Writable Volumesにリダイレクトされるようになりました。これにより、ノンパーシステントVDIのOutlookおよび検索パフォーマンスの向上が期待されます。

 

・非同期マウント/ vCenterスロットリング:

従来、AppStacksの同期マウントではvCenterのパフォーマンスをフルに利用できませんでした。AppStacksのアタッチレートを向上させるために非同期マウントが導入されましたが、vCenterをオーバーランさせてボトルネックを引き起こす懸念がありました。

この新機能では、ボリュームアタッチレートが高い場合にvCenterへの要求を自動的に抑制し、vCenterのオーバーランを回避しながら、ログオンストーム時や vCenterが大量のボリューム接続要求を処理しているときのログオン時間が改善されます。

 

・vSphereバージョン自動検出 – AVM_PROTECT_VOLUMES:

AVM_PROTECT_VOLUMES環境変数がApp Volumes 2.10で導入されました。管理者は vSphereのバージョンに基づいてボリューム保護設定を最適化し、Writable VolumesとAppStacksが接続されたときにvMotionを有効にすることができます。この新機能ではvSphereのバージョンを検出し、ボリューム保護の設定を動的に構成します。これによりApp Volumes Managerの管理の簡素化が可能です。

 

・Windows 10 SAC アライメント:

App Volumes 2.14より Windows 10 Ver 1709と1803をサポートしました。

Microsoftの Windows SAC 版リリースにApp Volumes のサポートも連動する予定です。

App VolumesはHorizonサポートモデルと一致します。

詳細については、 Windows 10 Guest OS support FAQ for Horizon 7.x and 6.x をご覧ください。

 

いかがでしたでしょうか?

今回ご紹介したApp Volumes 2.14の新機能や詳細については、VMware App Volumes 2.14 Release Notesをご覧ください。

VDI環境の利便性と管理性を向上させる機能App Volumesは常に進化しております。これまで、App Volumesを利用してなかった方はこれを機にご利用を検討いただき、すでにご利用なされている方は最新の機能に触れていただければ幸いです。

 

[Horizon 7.5 新機能] DaaSとは一味違う!? Horizon 7 on VMware Cloud on AWSとは

皆様こんにちは。今回のEUC Blogでは、5月のVMware Horizon 7.5リリース時に簡単に紹介させていただきましたVMware Cloud on AWS上でのHorizon 7サポートについて、改めてその特徴と機能そしてユースケースなどをまじえながらお届けさせていただきたいと思います。

 

提供モデルの違いについて

AWSクラウド上へSDDCを拡張できるVMware Cloud on AWS上においてHorizon 7展開のサポートが海外リージョンでは開始されたことは既にお伝えした通りですが、AWS米国東部・西部および欧州2拠点に加え、待望の日本リージョン開設も今年の後半を予定とさせていただいております。多くの方がご存知のようにこれまでにもVMwareからはHorizon Cloud として、IBM Cloud上もしくはMicrosoft Azure上のインフラをDaaSとして利用可能にするサービスを提供しておりました。

これらのサービスとの比較にて大きなポイントとなるのは、その提供モデルの違いがあげられます。従来のHorizon Cloudサービスは、VMwareが運用・提供するマネージドインフラを利用するかMicrosoftが提供する既存Azureインフラを利用するかの違いはありますが、ともにHorizonインフラ自体についてはVMwareがホストするサービスとしての提供となります。

一方Horizon 7 on VMC on AWSでは、Horizon 7ソフトウェアスタック自体のインストールから構成/設定および運用まで、管理者自身がおこなう必要がありますが、それらはオンプレミスへのHorizon 7インフラの展開と同一となるものです。つまりオンプレミスのHorizon 7の運用に慣れていれば、これまでに培った既存のスキルセットやツール群、制御性や管理性といった使い勝手も含めた運用上の一貫性を維持しつつ、そのままクラウドインフラストラクチャの特長のひとつであるリソースの柔軟な消費を実現することが出来てしまいます。

 

VMware Cloud on AWS上でのHorizon 7ユースケース

ではどのような利用が想定されているのでしょうか?以下の通り様々なユースケースがありますが、主だったものをいくつか紹介してゆきたいと思います。

データセンターの拡張
オンプレミス環境にてHorizon環境を利用している場合、管理者にとって悩ましいのはリソース不足にともなう拡張を行う際に要するコストと時間の問題です。ただでさえこのようなハードウェアリソースの調達には、ベンダー選定から購入そして構築作業まで一般的には数週間から数カ月にわたるリードタイムを考える必要があり、ましてや設置先となるデータセンター自体の電力・空調・設置場所そのものなどのキャパシティー不足がある際には、より長い時間とコストを要することは言うまでもありません。VMware Cloud on AWS環境上のHorizonであれば、IaaSサービスならではの迅速性により、必要となるHorizonインフラ用のITリソース確保を圧倒的なスピード感にて実現できます。

 

一過性なデスクトップおよびアプリ環境の提供
プロジェクト期間といった単位やアウトソーシングによる外部委託を行う際のような一時的なデスクトップおよびアプリ環境の提供基盤として、VMware Cloud on AWSを利用することができます。なによりオンプレミス環境では一般的には3~5年間の運用を視野に入れた保守サービスを含めた購入を実施する必要がありますが、VMC on AWSであればクラウド上のリソースならではでのライフサイクル管理が可能となり、例えば使わなくなったリソースは柔軟に開放することが出来ます。

 

オンプレミス環境へのBCP/DR対策
BCP(事業継続計画)/DR(災害復旧)実現の一環として、メインサイトとは別にリモートサイトを構築しておくというのは、デスクトップおよびアプリケーション仮想化の分野においても非常に重要になることは言うまでもありません。これまでオンプレミスHorizonのサイトレベルでのディザスタ リカバリ用環境の準備となると、そのリソース受け入れに新たなデータセンターの準備から必要となっておりましたが、新たな選択肢としてVMC on AWSを選ぶことが出来ます。また副次的なメリットとしては、Horizonの新しいサブスクリプションライセンスを購入しメインサイトで利用していた場合には、災害発生時の切り替えの際に当該ライセンスがVMware Cloud上でそのまま利用可能となります。

 

上記以外のユースケースの例としては、「インターネット分離」目的のためオンプレミスのHorizon環境とは分けてインターネットアクセス用の公開アプリケーション環境をVMC上に構築する、といった用途や接続先ごとにオンプレミスとVMC on AWSを使い分けるなどの使い方も考えられると思います。

 

 

ハイブリッド環境の管理を容易にするクラウド ポッド アーキテクチャ

Horizon 7 on VMC on AWSを特徴づける点として、オンプレミスデータセンターとクラウドデータセンター両者をまたがった、ハイブリッド環境でのHorizonの運用管理の実現があげられます。またハイブリッドクラウド運用を可能とするため、従来からオンプレミス環境で提供されてきたクラウド ポッド アーキテクチャ(CPA)構成をサポートしています。

CPAではHorizon Administrator毎に作成するローカル資格に代わり、複数ポッドにわたるグローバル資格を作成することにより、複数のデスクトップおよびアプリケーションに対してユーザーもしくはグループに資格を付与することが出来ます。つまりオンプレミスおよびVMC on AWSを問わず、複数拠点のデータセンターもまたがってポッド連携を構成し、ユーザーとデスクトップのグローバルなマッピングを定義することが出来ます。これにより複数拠点間において各ユーザーに最適なポッドへの接続の管理や、万が一の災害対策にも対応できるようになるのです。

 

Horizon 7 on VMCの主な機能

次に現時点で最新バージョンであるHorizon 7.5とVMware Cloud on AWSの組み合わせにおける機能サポート状況について確認しておきたいと思います。
こちらの最新スナップショットをご確認ください。

まだ一部の機能サポートにとどまっておりますが、今後Horizon製品の新バージョンリリースに合わせ、VMC on AWS上にて利用可能となるHorizonの機能も続々と追加されてゆく予定となっています。

 

いかがでしたでしょうか?オンプレミス vSphere ベースのサーバーワークロード移行をVMC on AWSに本格検討中であるユーザーにとっても、Horizon 7製品の稼働サポートが加わったことは十分に魅力的な選択肢になるのではないでしょうか。次回以降はより詳細な情報を発信していく予定にしていますのでご期待ください。

VMware Workspace ONEとMicrosoft Graph

先般Workspace ONE のMicrosoft Graph への対応を発表させていただきましたが、「それで何をするの?」と思われている方が少なくないのではないでしょうか。

Microsoft Office 365 アプリケーションをモバイル上で使⽤されることが多くなってきているのではないかと思いますが、企業のセキュリティポリシーによってはメール本文のコピー・ペースト禁止、個人のクラウドストレージへのデータ持ち出し禁止、アプリ起動時のPINコード入力の強制などOffice 365 アプリケーションのセキュリティ機能をMDM から制御しなければならないケースがあります。

Graph はMicrosoft Office 365 やMicrosoft Enterprise Mobility + Security などのMicrosoft 製品と同社製品もしくはサードパーティ製品とが安全に連携するためのAPI のことですが、今回はWorkspace ONE 統合エンドポイント管理(WorkspaceONE UEM、従来のVMware AirWatch)とMicrosoft Intune アプリ保護ポリシーを連携し、Office 365 アプリケーションのセキュリティ機能を制御する方法に関して説明していきます。

 

Workspace ONE UEM とGraph 統合のユースケース

Workspace ONE UEM の既存のお客様もしくは検討中のお客様のうち、モバイル端末でOffice 365 アプリケーションをセキュアな状態で使⽤したいといったユースケースでご利⽤いただける機能となっております。

はじめにおさらいとしてモバイルアプリケーション管理(MAM)の領域でWorkspace ONE UEM はこれまで⼤きく4 つの⽅式を提供してきました。

  • OS レベルのMAM

OS が提供するベーシックなMAM 機能(アプリケーション間でのファイル受け渡し可否の制御など)を使⽤する⽅式です。

  • MDM ベンダーが提供する独⾃SDK(AirWatch SDK など)によるMAM

MDM ベンダーが提供する独⾃SDK をアプリケーションに組み込む⽅式です。

MDM から設定や各種制限を細かく制御することができるようになる反⾯、アプリケーション開発者はMDM ベンダー毎のSDK を組み込んだアプリケーションを開発する必要があります。

  • アプリケーションラッピングによるMAM

独⾃SDK ⽅式で対応できる設定や各種制限のうち⼀部の機能の組み込みを⾃動化することでアプリケーションの再開発を不要にした⽅式です。この⽅式は⾃社開発アプリにのみ対応しておりパブリックアプリには使⽤できませんし機能⾯では独⾃SDK ⽅式に劣ります。

  • オープンな共通フレームワークによるMAM

AppConfig Community(AppConfig)によるMDM 業界共通のフレームワークを使⽤したMAM の⽅式で、現在VMware、MobileIron、IBM、Citrix をはじめとする多くのベンダーが推進しています。こちらの⽅式ではMDM から設定や制限を細かく制御することができるようになるのに加え、アプリケーション開発者はこの共通フレームワークに沿って開発するだけで多くのMDM に対応することができます。

 

 

 

ではOffice 365 アプリケーションはどうでしょうか。Office 365 アプリケーションはAppConfig アプリケーションではありませんし、もちろんAirWatch SDK 組み込みアプリケーションでもないため、セキュリティを維持するための制限などをフル活⽤するためにはIntune アプリ保護ポリシーが必要となります。そのためWorkspace ONE UEM を使⽤したいが、Office 365 アプリケーションもセキュアに使いたいというユースケースでは両⽅の管理コンソール上でそれぞれ管理する必要がありました。

Workspace ONE UEM 9.4 以降ではGraph に対応したことによりWorkspace ONE UEMコンソールからIntune アプリ保護ポリシーの設定を制御することができるようになりましたので、シンプルに管理をすることができるようになりました。

 

セキュリティ制限の設定

Workspace ONE UEM 9.4 以降ではOffice 365 アプリケーションのセキュリティ制限を設定するための項⽬( すべての設定 / アプリ / Office 365 の設定 )が追加されています。

「 データ漏洩防⽌ 」の項⽬がOffice 365 アプリケーションへの各種制限設定になっていますので、ここで設定を実施します。この設定項⽬はIntune アプリ保護ポリシーの項⽬と同じものになっていますのでWorkspace ONE UEM コンソールで設定した項⽬がIntune アプリ保護ポリシーへ同期されアプリケーションへ適⽤されます。

 

設定内容の説明や実際の動作のデモを動画でご確認ください。

 

最後まで読んでいただきありがとうございました!!

 

VMware Horizon 7.5新機能 HorizonコンソールとJMP(Just-In-Time Management Platform)統合ワークフロー

皆様こんにちは。今回のEUC Blogでは、5/29にリリースされましたVMware Horizon 7.5(以下Horizon 7.5)で新しく登場したHorizonコンソール、およびJMP(Just-In-Time Management Platform)統合ワークフローについてご紹介させていただきます。

 

Horizonコンソール概要

5/29にリリースされたHorizon 7.5から、新しい管理インターフェイスであるHorizonコンソールが提供されました。このHorizonコンソールは接続サーバー上で動作するHTML5ベースの新しいWebインターフェイスで、従来Horizon Administratorで実施していた仮想デスクトップ、公開デスクトップ、公開アプリケーションの展開を、よりシンプルに実行することが可能になります。またHorizonコンソールにJMP統合ワークフローおよびヘルプデスクツールが統合され、Horizonの管理が今まで以上に容易になりました。Horizon 7.5の時点では、まだ一部の機能のみの実装となっていますが、今後のバージョンアップで更なる機能強化が予定されています。既存でご利用いただいていたHorizon Administratorについては、今までと同様に継続して利用可能です。

<図 Horizonコンソール初期画面>

 

JMP統合ワークフロー概要

JMP統合ワークフローは、新しいHorizonコンソール上でデスクトップワークスペースの定義やユーザまたはユーザグループの割り当てを容易に実行できる、管理者のための新機能です。仮想デスクトッププール、App Volumes で作成した App Stack および User Environment Manager で定義したユーザ設定を、特定のユーザやユーザグループに割り当てるためには、これまで従来のHorizon Administratorや、App Volumes および User Environment Manager の各管理コンソールで個別に設定する必要がありました。JMP統合ワークフローにより、Horizon コンソール上で一括して定義することができます。これにより驚くほど簡単にワークスペースの定義や変更を行うことが可能になります。このJMP統合ワークフローは前述のHorizonコンソールから機能を呼び出す形で利用することができます。JMP統合ワークフローを利用するためには、事前に専用のJMPサーバーを構築する必要があります。

<図 HorizonコンソールJMP新機能説明画面>

 

JMPサーバー要件

JMPサーバーの各種要件は以下の通りです。

<図 JMPサーバー必要スペック>

JMPサーバーは、これらの要件を満たす専用の仮想マシン等を準備して導入する必要があります。

またJMPサーバー導入後にJMP統合ワークフロー機能を利用するためには、連携に必要な以下バージョンのVMware製品が事前に構築されている必要があります。

  • VMware Horizon 7.5以降
  • VMware App Volumes 2.13以降(オプション)
  • VMware User Environment Manager 9.2.1以降(オプション)
  • VMware Identity Manager 2.9.2以降(オプション VMware Workspace ONEとの統合用)

詳細については以下URLに記載されているガイドを参照ください。

VMware Horizon JMP Server Installation and Setup Guide

 

Horizonコンソール 接続方法

Horizonコンソールは、従来から利用されているHorizon Administrator Webインターフェイスにログインし、画面上部に配置されているHorizonコンソール へのリンクをクリックすることで容易に呼び出すことができます。また、Webブラウザ上で「https://<接続サーバーのホストネームまたはIPアドレス>/newadmin」と入力することで直接Horizonコンソールにログインすることも可能です。

<図 Horizonコンソール接続>

 

JMP統合ワークフロー の利用

JMP統合ワークフローを利用するためには、まずHorizonコンソールへアクセスして 「Horizonコンソールの設定(JMP)」を選択します。必要な初期設定(JMPサーバー情報、Horizon 7関連サーバーの情報、Active Directory情報等の登録)を実施後、デスクトップワークスペースであるJMP割り当てを定義し、管理することができます。JMP 割り当ての定義では、ユーザやユーザグループに割り当てるデスクトッププール、App Stackおよびユーザ設定を指定します。このJMP割り当てを実行することで、JMPオートメーションエンジンが Horizon 7、App Volumes、User Environment Managerシステムとそれぞれ通信して、一括してデスクトップ、アプリケーション、ユーザ設定に資格を与えることができます。

<図 JMP統合ワークフロー設定>

 

いかがでしたでしょうか? 今回はHorizon 7.5における機能強化のポイントであるHorizonコンソール、およびJMP(Just-In-Time Management Platform) 統合ワークフローについてご紹介させていただきました。EUC BlogのHorizonシリーズでは、今後もより詳細かつ技術的な情報を発信していく予定にしています。次回のブログもご期待ください。

[Deep Dive] Workspace ONE Intelligence Chapter 1

先日紹介させていただきましたVMware Workspace ONE Intelligence(以下、Workspace ONE Intelligence)に関して、今回は以下の技術的な詳細を説明します。

  • Workspace ONE Intelligenceのアーキテクチャ
  • Workspace ONE Intelligenceを使い始めるには?
  • サードパーティサービスとのAPI連携設定

Workspace ONE Intelligenceとは??はこちらの関連ブログ記事「Workspace ONE Intelligenceってなに?」をご確認ください。

 

Workspace ONE Intelligenceのアーキテクチャ

Workspace ONE IntelligenceはVMware Workspace ONEプラットフォームが収集したデータをリアルタイムに可視化することができます。例えばカスタムレポートで使用しているデータの元はWorkspace ONE 統合エンドポイント管理(Workspace ONE UEM、VMware AirWatch)の収集データ、つまりAirWatchデータベースです。このAirWatchデータベースの情報はWorkspace ONE Intelligenceのデータベースに同期されて使用されます。

Workspace ONE Intelligenceを初めて使用する際には全ての必要なデータが同期され、その後は追加のサンプリングデータなどを逐一差分更新しています。動作としてはAirWatchデータベースキャッシュの差分がWorkspace ONE Intelligenceデータベースに送られます。AirWatchデータベースキャッシュのチェックと送信は10秒に一度実行されています。

また、現在Wokrspace ONE Intelligenceのサービスはアメリカ本土、ドイツ、アイルランド、日本の4つのリージョンのデータセンターで提供しています。日本リージョンのWorkspace ONE UEM SaaSのお客様や日本国内にてオンプレミスのWorkspace ONE UEMを構成されているお客様にも快適にご利用いただくことができるようになっております。

 

利用するには?

  • ライセンス

全ての機能を利用するためにはWorkspace ONE Enterprise SKUの購入が必要となります。詳細はこちらのページの比較表でご確認ください。

 

  • 対応バージョン

Workspace ONE UEM コンソール(AirWatchコンソール) v9.2以降が必要です。既存のお客様でこれよりも低いバージョンのコンソールをご利用の場合はバージョンアップを実施してください。

 

  • コンソールの管理者権限

役割設定(アカウント > 管理者 > 役割)で対象の役割に”Intelligence”権限が割り当てられている必要があります。

 

  • [オンプレミスのお客様のみ] Workspace ONE Intelligence Connector(旧 ETL service)

オンプレミスでWorkspace ONE UEMを構成されているお客様はWorkspace ONE Intelligence Connectorのインストールと構成が必要となります。

 

  • コンソールからの利用開始

Workspace ONE Intelligenceを使い始めるにはWorkspace ONE UEMコンソールからの利用開始操作が必要となります。

  1. Workspace ONE UEMコンソールで ハブ > Intelligence を開き、“使用を開始する”を選択。

 

  1. “申し込む”にチェックを入れて”次へ”を選択。

 

  1. 管理者に関する情報を入力し”承諾”を選択。

 

 

自動化機能に使用するためのサードパーティサービスとのAPI連携設定

Workspace ONE Intelligenceの自動化機能はWorkspace ONEプラットフォームが収集するデータを分析し、意思決定エンジンが様々なアクションを自動的に実行する機能です。また、意思決定エンジンが何らかのアクションを実行する必要がある状態を検知した場合にはAPI連携したサードパーティサービスへアクション実行の指示を出します。今回はWorkspace ONE UEM、Slack、ServiceNowとの連携方法を説明します。

 

  • Workspace ONE UEMとの連携

Workspace ONE Intelligenceコンソールで 設定 > 自動化の接続 > リンクを表示 を開く。

 

“Workspace ONE UEM API”  で ”承認” を選択し、Workspace ONE UEMのSaaSのURL( 例: https://cn504.awmdm.jp )、Workspace ONE UEMのテナントへAPIを発行できる管理者アカウントのユーザー名とパスワード、APIキーを入力して”接続”を選択。

これでWorkspace ONE IntelligenceからWorkspace ONE UEMに対し自動化機能による様々なアクションが実行できるようになりました。

 

・ServiceNowとの連携

Workspace ONE Intelligenceコンソールで 設定 > 自動化の接続 > リンクを表示 を開く。

 

“ServiceNow API”  で ”承認” を選択し、ServiceNowのテナントのURL、APIを発行できる管理者ユーザーの情報を入力入力して ”接続” を選択。

  • “snc_platform_rest_api_access”ロールが必要です。

これでWorkspace ONE IntelligenceからServiceNowに対し自動化機能による様々なアクションが実行できるようになりました。

 

・Slackとの連携

Slackとの連携にはIncoming WebHookを使用します。予め通知先にIncoming WebHookを構成し、Webhook URLを取得してください。

Workspace ONE Intelligenceコンソールで 設定 > 自動化の接続 > リンクを表示 を開く。

 

“Slack API”  で ”承認” を選択し、予め通知先に構成しておいたIncoming WebHookのWebhook URLを入力して ”接続” を選択。

 

これでWorkspace ONE Intelligenceの自動化機能による通知をSlackへ送ることができるようになりました。

こちらは管理していたデバイスが何らかの理由で管理下から外れた際のSlackへの通知を試したときの画面です。

 

ちなみに・・・

テスト環境はWebHookの名前をみんなが変えずに使ってしまっているので、このテストをしているときに間違えて他人のWebHookをいじってしまい怒られました (- -;)

 

最後まで読んでいただきありがとうございました!!

 

 

Horizon Cloud on Microsoft Azure 1.6 リリース

みなさま、こんにちは。VMware 井本玲雄です。今回は、5/29 に新しくリリースされました Horizon Cloud on Microsoft Azure 1.6 についてご紹介させていただきます。

VMware Horizon® Cloud on Microsoft Azure とは?

Microsoft Azure は、Microsoft が提供するIaaS (Infrastructure-as-a-Service)です。そのMicrosoft Azure上で、ヴイエムウェアがオンプレミス製品である VMware Horizon で培ってきた仮想デスクトップ・仮想アプリケーションのテクノロジーを利用できるクラウドサービスがVMware Horizon® Cloud on Microsoft Azure になります。

VMware Horizon® Cloud on Microsoft Azure の特徴は?

VMware Horizon Cloudと Microsoft Azure の連携により、以下を実現しています。

  • 導入の簡素化:VMware Horizon Cloudの管理コンポーネントの導入はすべて自動化されています。さらに Microsoft Azure Marketplaceとの統合により、Windows OS イメージに対するエージェントのインストールの自動化も実現しています。また、面倒な導入作業や更新作業をブラウザ操作だけで実現できます。
  • グローバル展開: Microsoftが全世界で展開する40以上のデータセンターリージョンを活用可能です。ユーザにもっとも近いデータセンターを利用することで、ユーザエクスペリエンスを最大化します。
  • Microsoft Azureキャパシティを時間単位の課金で利用:使用量ベースで課金されるパブリックIaaSと、VMware Horizon Cloudのサービスサブスクリプションを組み合わせて利用することで、使用量に応じた課金体系を実現しています。
  • 優れたアーキテクチャ:デスクトップ環境を管理するクラウド制御プレーンは、ユーザのMicrosoft Azure環境から分離されています。そのため、制御プレーンがダウンしてもユーザの仮想デスクトップ利用には影響しません。ビジネスの継続性を重視したアーキテクチャとなっています。

Horizon Cloud System Architecture

What’s New

こちらが、最新バージョンで追加される新機能です。

What's New

今回のリリースの目玉は、何と言ってもWindows 10 ! 従来までは、配信できる OS として Windows Server OS のみがサポートされていましたが、このバージョンよりWindows 10を正式にサポートします。

Windows 10の仮想デスクトップを展開する方式としては2種類あります。一つ目は”専用”です。ユーザに割り当てられたデスクトップは、そのユーザが永続的に使い続けることができる方式です。もう一つは”フローティング”です。ユーザがログインした時に空いているデスクトップが割り当てられ、ユーザがログアウトすると割り当ては解放されます。ログインするたびに異なるデスクトップが割り当てられるという特徴があります。

Desktop Option

選択できるデスクトップのスペックモデルは、A1v2、A2v2、A4v2、A8v2の4種類になります。ユーザのニーズに応じて、1つのマスターイメージを用いて、複数の異なるスペックのデスクトップ割り当てを作成できます。また、利用するユーザの増減にも台数の設定を変更するだけで柔軟に台数を変更することができます。

また、今回のリリースより、ノードのデプロイがProxy 環境でもサポートされるようになりました。従来のバージョンでは、ノード(Node Manager)及びジャンプボックス(Jumpbox)が、お客様のAzure環境より直接インターネットへ接続できる必要がありました。しかし、今回のリリースよりその制限はなくなりました。これにより、Proxy 経由でインターネットに接続する環境でも、Horizon Cloud on Microsoft Azureをご利用いただけるようになりました。

Proxy Setting

Unified Access Gateway も、デプロイ後の”FQDN”および”証明書”の変更が可能になりました。これにより、組織変更に伴うURLの変更や証明書更新のタイミングにも柔軟に対応できるようになりました。

UAG Day2 MGMT

その他の詳細については、リリースノートをご確認ください。

VMware Horizon 7 および Horizon Cloud 最新アップデート(2018年5月発表)

みなさま、こんにちは。VMware 本田です。

今回のブログでは、VMware Horizon 7 と VMware Horizon Cloudの最新情報をお届けいたします。

昨今、業務用アプリとしてSaaS アプリやモバイル アプリの導入が急速に進んでいますが、かなりの数のWindows をベースとしたレガシー アプリやカスタム アプリが依然として利用されているのが現状です。しかし、Windows 10 の導入とその大量な更新プログラムによって、これらのアプリケーション管理に、今まで以上の時間とコストがかかるようになりました。そこで、特に大規模なデジタル ワークスペース環境における戦略の一環として、このようなレガシー アプリの管理に仮想化テクノロジーが利用されることが多くなってきています。仮想化によって、Web 環境やモバイル環境と同様に、Windows アプリの管理、提供、そして保護ができるようになります。

VMware では、このような Windows ベースのレガシー アプリを費用対効果に優れたシンプルな方法で管理できるよう、引き続きデスクトップおよびアプリケーションの仮想化製品のイノベーションを推進しています。たとえば、VMware Workspace ONE プラットフォームと緊密に連携させることにより、デジタルワークスペースの全体戦略の一環として仮想化テクノロジーを活用いただけるようにしています。また、仮想デスクトップや仮想アプリケーションを、今まで以上に簡単に、オンプレミスだったり、クラウド上、そしてハイブリッド環境に展開いただけるようになります。

さて、前置きはこのくらいにして、本題に入りましょう。既にご存じの方もいらっしゃるかと思いますが、米国時間5月7日にHorizon関連の発表がありました。今回のアップデートは、USのEUC Blogで発表されているのですが、日本のEUC Blogでも同様の情報をみなさまにお届けしたいと思います。今回は、主なアップデートは以下の通りです。

  • VMware Cloud on AWS でのHorizon 7サポート
  • Horizon Cloud on Microsoft Azure VDI
  • Horizon ユニバーサルライセンス
  • Horizon 7.5とJMPの機能強化
  • Horizon 7: Extended Service Branch
  • Workspace ONE IntelligenceでのHorizonおよびHorizon Appsサポート(テックプレビュー)

それでは、1つずつ簡単に紹介していきましょう。

VMware Cloud on AWS でのHorizon 7サポート:

既に日本でも記事に取り上げられているのでご存知の方の多いかと思いますが、AWS クラウド上へSDDCを拡張できるVMware Cloud on AWS。今回このVMware Cloud on AWS上でHorizon 7をサポートすることになりました。

VMware Horizon 7 を VMware Cloud on AWS 上に展開することで、オンプレミスの Horizon 7 の実装をクラウド上へ拡張できます。これによって、オンデマンドのキャパシティ、ディザスタ リカバリ、クラウド コロケーションなど、オンプレミスにインフラを追加することなく、さまざまなユースケースに対応することができるようになるのです。一言で言うと、シームレスに統合されたハイブリッド クラウド上から仮想デスクトップと仮想アプリケーションの配信が可能になります。このハイブリッド クラウドの環境は、オンプレミスと AWS インフラをまたいで Cloud Pod Architecture (CPA)を構築することで実現します。また、CPA は複数の AWS のデータセンターをまたいで展開することも可能なので、広く分散された環境にも対応できるのです。さらに、VMware Cloud on AWS上のvSphereとHorizon 7の管理基盤は、オンプレミス版と同様の操作性を提供しているので、ハイブリッド環境全体にわたり効率良く管理することも可能です。

このサービスを利用する方法については、後述の新しい Horizon のサブスクリプション サービスをご参照ください。また、日本での提供開始については、VMware Cloud on AWSの日本での提供開始まだお待ちください。

Horizon Cloud on Microsoft Azure VDI:

2018年2月に Horizon Cloud on Azure の日本での提供開始を発表いたしましたが、この時は RDS ベースのアプリケーションとデスクトップの提供でした。今回の発表では、Windows 10 ベースの仮想デスクトップもサポートされるようになりました。Horizon Cloud on Microsoft Azure では、Azure のインスタンスと Horizon Cloud の提供する制御プレーンを連携させることで、仮想化された Windows アプリケーションとパーシステントおよびノンパーシステントの Windows 10 デスクトップの迅速な提供が可能になります。また、Azure は、必要なキャパシティを時間単位で利用できることから、デスクトップのコストを抑えることもできます。

Workpsace ONE と Horizon の新しいサブスクリプション ライセンス:

今年3月の発表で新しい Workspace ONE Enterprise のサブスクリプション ライセンスの発表をいたしました。この新しいサブスクリプションでは、Workspace ONE の一部としてHorizon 7 Apps やHorizon 7 Desktops をご利用いただけるようになりました。そして今回、新たに Horizon Cloud または Horizon 7 を一律のライセンス費用でご利用いただける Horizon ユニバーサル サブスクリプション ライセンスを発表いたしました。

今回発表しました新しいライセンスにより、VMware Cloud on AWS 上に Horizon 7 を展開する場合、Workspace ONE Enterprise もしくは Workspace ONE Enterprise for VDI のサブスクリプション ライセンスを利用することで、Workspace ONE 導入の一部として Horizon 7 を展開することができます。また、新しいHorizon のユニバーサル サブスクリプション ライセンスを利用して展開していただくことも可能です。

Horizon 7.5とJMPの機能強化:

昨年8月に開催された VMworldで、JMP(Just-in-Time Management プラットフォーム)による迅速でシームレスなデスクトップの配信を実現する技術プレビューが公開されました。ちなみに、JMPをご存知ではない方のために少々ご説明すると、JMPは以下の3つのテクノロジーを組み合わせることで、各ユーザーのニーズにあわせたステートレスなデスクトップを数秒で構築することが可能となります。

  • Instant Clone テクノロジー:可動している親仮想マシンのクローンを高速で作成するテクノロジー
  • VMware App Volumes:ジャストインタイムでのアプリケーションの配信を実現
  • VMware User Environment Manager:ユーザーのパーソナライズ設定、プロファイル設定、ポリシーなどの管理機能を提供

今回発表のあったHorizon 7.5では、上記JMPテクノロジーを1つの共通ワークフローに統合することで、単一のコンソール画面からユーザー ニーズに基づいたデスクトップ OS、アプリケーション、各種設定の選択が可能な仮想デスクトップ インフラストラクチャ(VDI)を容易に実現します。また、JMP ワークフローエンジンによって、このワークスペース(デスクトップ OS、アプリケーション、各種設定の組み合わせ)へアクセスするために必要な権限が自動的に付与されるので、驚くほど簡単にワークスペースの変更ができるとともに、Windows 10 やアプリケーションのアップデートとそのテストおよび配布が容易になります。

Horizon 7:Extended Service Branch:

Horizon のバージョンを変更することなく、バグの修正やセキュリティ アップデートを適用したいとのご要望が多くありました。今回、そのようなお客様のニーズに応えるべく、Extended Service Branch (ESB) を提供することになりました。この ESB では、Horizon 7 のコア コンポーネントだけではなく、VMware App Volumes および VMware User Environment Manager にも適用されます。この ESB の詳細については、今後のブログでご紹介する予定です。楽しみにお待ちください。

Workspace ONE IntelligenceでのHorizonおよびHorizon Appsサポート(技術プレビュー):

先日の EUC ブログで Workspace ONE Intelligence を紹介いたしました。この Workspace ONE Intelligence は、デジタルワークスペース全体の詳細情報を活用することで、スマートな統合エンドポイント管理を実現するとともに、デジタルワークスペースのための強力な自動化機能を提供する新しいサービスです。今回、技術プレビューとして、この Workspace ONE Intelligence による Horizon および Horizon Apps のサポートを発表いたしました。この技術プレビューにより、単一の管理画面で、物理エンドポイントと仮想エンドポイント双方の詳細情報の可視化が可能になります。したがって、ユーザー、アプリケーション(仮想アプリケーションを含む)、Windows 10 OS などの状態の包括的な可視化を実現します。また、ルールやアラートを活用することで管理タスク全体を簡素化したり、カスタマイズ可能なダッシュボード経由で仮想アプリを監視することで、セキュリティ、コンプライアンス、ユーザーの使用環境なども改善することができます。

いかがでしたでしょうか。冒頭お話をした通り、Windows ベースのレガシーアプリが今日のエンタープライズ環境から消えることはありません。ただ、ご心配は不要です。VMware は、このようなアプリケーションの管理、提供、保護をこれまで以上に簡素化するためのソリューションを提供しています。そして、デジタルワークスペース戦略の一環として、さまざまなユースケース(ディザスタ リカバリやモバイル ワーカーなど)に適切に対応するための支援を提供しています。

EUC ブログでの Horizon シリーズでは、今回の発表内容に関して、より詳細かつ技術的な情報を発信していく予定にしています。ぜひ、次回のブログもご購読ください。

Workspace ONE Intelligenceってなに?

モバイルでの外出先での業務や在宅勤務など働き方の多様化が進むなか、従業員の方々が様々な場所やネットワークからアプリケーションやリソースにアクセスする機会が爆発的に増えてきているのではないでしょうか。

また業務に使用するアプリケーションやリソースも多様化してきており、PCやモバイルデバイスのローカルにインストールして使用するアプリケーションもあればクラウド上のアプリケーションなどもありますし、リソースも社内ネットワーク内に限らずクラウド上のものを利用することもあると思います。

多様な働き方を提供できている反面、管理者のかたにとってはどうなんでしょうか?

 

従来は全ての管理対象は基本的に社内ネットワークの中にありました。それらをオンプレミスのセキュリティ製品で監視し、検知したものへの対処をとるなどの方法でセキュリティを担保してきたはずです。昨今の人やデバイスだけでなくアプリやリソースまでもが様々な場所に存在する環境においても、これまで通り、もしくはこれまで以上のレベルでの管理を継続する必要が出てきているのではないかと思います。つまり管理する対象や範囲がこれまで以上に増えているわけですから気づいて対処するまでのプロセスの効率化とスピードの向上が求められることになります。

VMware Workspace ONE Intelligence(以下、Workspace ONE Intelligence)はVMware Workspace ONEプラットフォームが収集する様々なデータを集約し迅速に可視化する機能を提供します。加えて、そのデータは各種プロセスの自動化にも利用されます。あらかじめ管理者が条件と対処プロセスを指定しておくことで意思決定エンジンが自動的に検知し対処を行なう自動化機能も提供します。

Workspace ONE Intelligenceの可視化ツール

Workspace ONE Intelligenceの可視化ツールを紹介します。本ブログ執筆時点では大きく2つの可視化ツールが実装されております。

まずはデバイスやアプリケーションの利用状況や状態などの全体像を把握するために役立つマイダッシュボード機能です。マイダッシュボードには様々なデータをグラフ化したものや数値化したものがウィジェット形式で並びます。いくつかのウィジェットはプリセットされていますが管理者のかたが管理しやすいように自由にカスタマイズすることができます。各ウィジェットはサイズ変更や配置変更ができますし、把握したいデータのウィジェットを追加したり不要なウィジェットを削除することもできます。例えば、企業内のWindows 10 PCのなかで適用されていない更新(KB)のトップ10をグラフ化して配置する、など。非常に自由度の高い可視化ツールとなっていると思います。

(このサンプル画面のウィジェットタイトルは英語になっていますがもちろん日本語に書き換えて使っていただけます。)

 

つづいてカスタムレポート機能です。Workspace ONE 統合エンドポイント管理(Workspace ONE UEM、VMware AirWatch)自体にもレポート機能があり、プリセットされたテンプレートを使用してCSV形式のレポートを作成することができます。テンプレートベースの定型的なレポートであったため本当に必要なレポートを作成するにはパワフルなPCでエクセルを使ってデータを編集しているというお客様が少なからずおられるのではないでしょうか。Workspace ONE Intelligenceのカスタムレポートはコンソール上でレポートに含むデータをフィルターしたり、レポートのカラムの選択や並べ替えができるようになっています。

この例はWindows 10 PCの中で更新が適用されていないものを抽出してレポートにしているところです。

 

これらWorkspace ONE Intelligenceの可視化ツールを使用してセキュリティリスクをはじめとする様々な企業内の問題を迅速に把握し、対処することができるようになります。

また、本ブログ執筆時点ではデータのソースはWorkspace ONE UEMのみですが今後は他のデータもソースとして扱う予定があります。こちらはアップデートがありましたらお知らせさせていただく予定です。

 

Workspace ONE Intelligenceの自動化機能

Workspace ONE Intelligenceの自動化機能はWorkspace ONEプラットフォームが収集するデータを分析し、意思決定エンジンが様々なアクションを自動的に実行する機能です。前述のマイダッシュボードやカスタムレポートと同様に本ブログ執筆時点ではWorkspace ONE UEMのデータのみがソースとなっております。また、意思決定エンジンが何らかのアクションを実行する必要がある状態を検知した場合にはAPI連携したアプリケーションへアクション実行の指示を出します。こちらも今後拡張されていく予定ですが現在はWorkspace ONE UEMに加え、Slack、ServiceNowといった外部サービスとAPI連携することができます。

これまでもWorkspace ONE UEMでは順守エンジンを提供してきましたが、大きく異なるのがこのアクション実行の部分になります。順守エンジンではWorkspace ONE UEMが提供するアクションのみが実行可能でした、意思決定エンジンではAPI連携したアプリケーション経由でより高度なアクションを実行することができるようになっていきます。

この自動化機能の使用例として、ユーザーのPCのバッテリーの状態が劣化していることを検知し自動的にServiceNowへ交換用バッテリーの発注申請を上げ、Slackでユーザーへ手配内容を通知する、などといったことが考えられます。

このようにこれまでは管理者やユーザーなどの人手で遂行してきた管理業務を自動化することで管理負荷を低減することができるようになるのではないでしょうか。

 

最後に

今回はWorkspace ONE Intelligenceをご紹介させていただききました。

管理対象の状態や利用状況を分析し、問題を認識し、対処を実施する、というプロセスには管理者の介在が必要なケースが少なからず存在していたのではないでしょうか?

このオートメーション機能を使用することで、このような管理業務の負荷を軽減することもできますし、冒頭でも申し上げましたように今後管理する範囲や管理対象が増加し続け複雑化していくなかでも、これまで通りのスピードで問題の解決やセキュリティの維持をするためには「人手」には限界があり、オートメーション機能が必要となっていくのではないかと考えます。

本日時点ではまだ日本では販売を開始しておりませんので、フル機能をすぐさまお試しいただけないのが残念なのですが、既存のお客様でAirWatch 9.3以降のSaaSをお持ちのほとんどの皆さまはマイダッシュボードとカスタムレポートは既に実装されております。また既存のお客様でWorkspace ONE UEMのUAT環境をご契約のお客様はUAT環境からプレビューサイトをご利用いただくことができます。

ところでWorkspace ONE Intelligenceってどこ??というかたが少なくないと思います。ここからアクセスしていただけますのでぜひお試しください。

新たなインテリジェンス ベースのデジタルワークスペース

みなさま、こんにちは。VMware 本田です。

今回は、3月22日に発表いたしましたWorkspace ONEの新機能について数回に分けてお話をしたいと思います。

今日のブログはその第一弾として、先日の発表内容について、その概要をお話したいと思います。既にご存知の方もいらっしゃるかと思いますが、以下のような新製品、テクノロジーを発表いたしました。

  • Workspace ONE Intelligence
  • Workspace ONE Trust Network
  • Workspace ONE AirLift
  • Workspace ONEの機能強化

それでは、簡単にそれぞれの概要を紹介していきましょう。

Workspace ONE Intelligence

日本でも今後「柔軟な働き方」が浸透していくと、場所やデバイスを問わず、必要な時に必要なアプリケーションへアクセスをして業務を遂行する機会が増えていくことでしょう。ただ、この状況は従来のセキュリティへの考え方を大きく変えていきます。ほとんどの業務が社内で完結していた時代では、内部ネットワークと外部ネットワークの「境界」にファイアーウォールやIPSなどのセキュリティ機器を導入しておけば、十分なセキュリティの担保が可能でした。それに引き換え、「柔軟な働き方」が浸透した世界では、内部ネットワークと外部ネットワークの「境界」が曖昧になってしまうことで、今までのセキュリティの考え方では対応が難しくなってしまいます。また、日々高度化するサイバー攻撃への対応も必須です。

このようにセキュリティの要件が目まぐるしく変化する中、現在、数多くのセキュリティ ベンダーが、さまざまなセキュリティ製品を市場に出しています。ただ問題なのは、その数と種類が多岐にわたり、とてもじゃないですが、それらのセキュリティ製品を手作業で組み合わせて、最新の脅威に適切に対応するのはとても難しいと考えています。また、マニュアル作業なのでコストも掛かってしまいます。以下のスライドをご覧いただく通り、世の中には、こんなに多くのセキュリティの分野とその分野のソリューションを出しているベンダーがいるんですね。

結果として何が起きているかと言うと、ユーザーに対して制限を設けることで、セキュリティを担保しようとする傾向が見られます。たとえば、社外で業務をする場合、特定のアプリケーションやデータへのアクセスを禁止するなど、さまざまな制約が課されることでユーザーの利便性が大きく損なわれています。つまり、ユーザーのニーズ/利便性とセキュリティとの間に大きなギャップが生じていると、私たちは考えています。

今回発表しましたWorkspace ONE Intelligenceは、このギャップを埋めることを目的にしています。Workspace ONE プラットフォームをベースとしてデジタル ワークスペースの複雑さとセキュリティの課題に対処する新しいサービスです。このWorkspace ONE Intelligenceでは、ワークスペース全体の情報を集約、関連付けすることによって、ワークスペースの包括的な可視化とワークフローの自動化を実現します。

そでれは、Workspace ONE Intelligenceは、どのような機能を提供しているのか、簡単に見てみましょう。

  • 統合化されたインサイト

Workspace ONE Intelligenceは、デジタル ワークスペース全体の包括的な可視化を実現します。このため、適切な判断を迅速に下すことが可能になります。また、ニーズに合わせてカスタマイズ可能なダッシュボードが提供されるため、重要なデータを容易に把握することも可能です。

  • アプリケーションの分析

アプリケーションのパフォーマンスや導入/利用状況を監視することで、ユーザの使用環境に影響を与える可能性がある問題を迅速に特定、解決するとともに、アプリケーションの使用状況の測定も可能になります。

  • 強力なオートメーション

デジタル ワークスペース全体から取得した豊富なデータに基いて、必要な処理の実行を定義し、そのプロセスを自動化することができます。また、他のサードパーティ サービス(ServiceNowやSlackなど)も含めたコンテキストベースのポリシーを作成することも可能です。これにより、デジタルワークスペース全体をより効率的に管理・運用することができるようになります。

いかがでしょうか。Workspace ONE Intelligenceの機能は、次回以降のブログでもう少し詳細に解説していく予定です。それでは、次の製品を紹介しましょう。

Workspace ONE Trust Network

本ブログの冒頭で紹介しました通り、デジタルワークスペースの進化にともない、さまざまなセキュリティ上の課題が出ています。Workspace ONE Turst Networkは、最新で包括的なセキュリティ アプローチを取ることによって、進化するデジタル ワークスペースに対し、常に変化し続ける脅威からの保護、そしてサイバー攻撃の検出と修正を実現します。これは、Workspace ONE Intelligenceの提供するセキュリティ機能とエコシステム パートナーのセキュリティ ソリューションを連携することで実現します。Workspace ONE Trust Networkの主なユースケースは、以下の通りです。

なお、今回は以下のセキュリティ ベンダーとの連携が発表されました。

  • McAfee
  • Symantec
  • Carbon Black
  • Cylance
  • CrowdStrike
  • Lookout
  • Netskope

上記セキュリティ ベンダーとの連携ソリューションの詳細は、今後発表されていく予定です。発表の際には、どのようなセキュリティ ソリューションなのか、改めて紹介したいと考えています。

Workspace ONE AirLift

Windows 10のリリースと働き方改革へのニーズにより、今日PC管理が大きく変革しようとしています。たとえば、従来のPC管理はLANにつながっているのが前提でした。しかしながら、テレワークなど新しい働き方を実施した場合、業務で使用する全てのPCが必ずしもLANに接続していない状況が発生します。このような場合、従来の方法では、最新のパッチをWindows 10に適用するのが非常に困難になってしまいます。最新のパッチをOSに適用することによって、80%近くのセキュリティ上の脅威は回避できると言われる中、これは非常に危険な状態です。そこで、ヴイエムウェアは従来からのPCの管理方法を最新のクラウドベースでの管理へと、その移行を推進しています。ただ、PCの管理ツールの移行は、さまざまな難しい課題を生み出します。Workspace ONE AirLiftは、最新のWindows 10 管理に迅速かつ容易に移行いただけるようデザインされたツールです。AirLiftは、SCCMとWorkspace ONEが共存する環境でのPC管理を実現することから、以下のような移行ステップを踏むことで、迅速かつ容易に最新のWindows 10管理への移行を可能にします。

  1. 補完:特定のデバイスやユースケースのみ最新の管理手法へ移管
  2. 移行:従来のPCLMツールを併用しつつ、まずは負荷の大きいタスクをクラウドへ移行した後、残り全ての管理対象を段階的に移行
  3. 変革:従来型の管理から最新式の管理へ完全に移行することで、コスト効率を最大化

AirLiftの一般提供開始時期は、今日現在未定です。こちらもスケジュールが明確になりましたら、改めてみなさまへお知らせする予定です。

Workspace ONEの機能強化

今回の発表の中には、上述した新しいサービスや機能の他、Workspace ONE自体の機能強化も含まれています。今後、Windows 10やMacのような最新のプラットフォームに移行する場合、全ての環境においてセキュアで一貫性のあるアプリケーションの配信が求めれられています。そこで、Workspace ONEでは、モバイル端末からPCまで、あらゆるOSプラットフォームに対して、同じレベルのセキュリティ、ライフサイクル管理、そして全てのアプリケーションに対する利便性などを提供しています。今回の発表では、セキュリティとユーザの利便性のギャップをさらに埋める新しい機能が含まれています。それでは、主な新機能に関して、少々解説していきましょう。

  • Win 32 アプリケーションの配信機能の強化

昨今、SaaSアプリケーションのようなOSに依存しないアプリケーションの業務での使用が増えていますが、まだまだWindows アプリケーションも多く利用されています。このような意味で、デジタル ワークスペースの実現には、Windows アプリケーションの管理と配信は避けて通れない課題と考えています。ヴイエムウェアは、この分野を仮想化のテクノロジーを活用することで、コストの削減や管理の簡素化を実現しています。実際、2007年にこの分野に参入して以来、脈々と進化を続け、今日もその進化が続いています。

Horizon Cloud on Microsoft Azure VDIのベータ:  2018年2月に、Horizon Cloud on Microsoft Azureの日本での一般提供開始を発表いたしました。ただ、この時は、公開アプリケーションや共有デスクトップのみのサポートだったのですが、今回仮想デスクトップのベータプログラムの開始が発表されました。ヴイエムウェアの2019年度第二四半期に一般提供開始される予定です。

  • Mac導入の簡素化

次は、macOS搭載のプラットフォームの管理に関しての強化です。Macbook ProなどmacOS搭載のプラットフォームの管理に関しては、他のプラットフォームに比べるとアプリケーションの配信機能などで、若干物足りない点がありました。今回発表された新しいmacOS用のAgentでは、この辺の機能が強化されました。これにより、従来からのiOS、Android、Windows 10、Crome OSを搭載しているプラットフォームと同等の管理がmacOSでも可能になります。

  • Microsoft Office 365 (O365) アプリケーションのセキュリティ強化

既にご存知の方も多いかと思いますが、Graph APIの一般提供開始がマイクロソフトさんより発表されました。ヴイエムウェアでは、Graph APIのベータ版からサポートしていたのですが、今回の一般提供開始を受け、ヴイエムウェアとしてもGraph APIを正式にサポートすることになりました。これにより、Office 365 アプリケーションにおいて、カット/コピー/ペーストを制御できるなど、セキュリティの強化が実現されます。

  • VMware Boxerをベースにしたインテリジェントなワークフローの実現

昨年のVMworldでWorkspace ONE Mobile Flowsの発表がありました。昨年はテックプレビューとしての発表だったのですが、今回の発表では、このMobile Flowsが一般提供開始となります。Mobile Flowsは、モバイル アプリケーション同士を連携することにより、シンプルで効率的なワークフローを実現します。今回は、Mobile Flowsの第一弾として、ヴイエムウェアが提供するメールクライアント、VMware Boxerとの連携が一般提供されます。これによって、他のアプリケーション上で完了させるべきプロセスもBoxer上で完結できるようになります。

以下、Mobile Flowsのユースケースをいくつかご紹介します。

  • Salesforceとの連携例:顧客からメールが送られてきた場合、Salesforce内に保存されている顧客情報の詳細を、Salesforceへ移動することなくBoxerから閲覧したり、新しい連絡先の場合、Boxer上でその連絡先をSalesforceに追加可能
  • Concurとの連携例:Concurへ移動することなく、Boxer上で経費レポートの承認、却下、確認が可能

いかがでしたでしょうか。次回以降、各発表内容に関して、よりテクリカルな観点から解説していきたいと思います。楽しみにお待ち下さい。