Home > Blogs > VMware Japan End-User Computing Blog

楽天コミュニケーションズ様の「あんしんステイIoT」にVMware AirWatchを採用いただきました!!

みなさま

こんにちは。VMwareの本田です。

今日のブログは、製品や技術情報ではなく、VMware AirWatchの国内における新たなユースケースをご紹介します。

既にご存知の方も多くいらっしゃるかと思いますが、楽天コミュニケーションズ様が2月1日に民泊を中心とする宿泊事業運営者向けサービス「あんしんステイIoT」を発表されました。「あんしんステイIoT」は、最良のユーザー体験とセキュリティの強化を実現するため、タブレットを用いてチェックイン時の運営を遠隔で行ったり、スマートロックを用いて解錠することでチェックインを無人化したりするなどして宿泊事業における運用業務を大幅に効率化できるサービスです。そして、このサービスで利用するモバイル アプリケーションと端末の管理にVMware AirWatchを採用いただきました。

今回の採用では、AirWatchの提供する「キオスクモード」と呼ばれる機能を主に活用いただいています。この「キオスクモード」は、一般的なモバイル端末をキオスク端末として活用することで、コストの削減やセキュリティの強化などを実現することが可能なのです。では、具体的にどのようなメリットが得られるのでしょうか。主なメリットは以下の通りとなります。

  • 「キオスクモード」により、当該サービス以外のタブレット操作を制限。宿泊者の個人情報を安全に管理
  • 一般的なタブレット端末を情報サービス専用端末として利用できるため、専用端末を導入する必要がなく、設備投資にかかるコストを削減
  • モバイル アプリケーションのバージョン管理や再インストールなどをリアルタイムかつリモートで管理可能。さまざまな場所に導入されたモバイル アプリケーションを常に最新の状態で運用することでセキュリティを強化

いかがでしょうか?

私としてはこれまでにない、非常に興味深いAirWatchのユースケースという印象を持ちました。

今後は、製品情報はもちろんのこと、国内外のAirWatchのユースケースや使用例を紹介していきたいと考えていますので、ぜひ参考にしていただければと存じます。

ちょっとした技術的な TIPs のご紹介 (2018.01)

みなさん、こんにちは。VMwareでパートナー様を担当させて頂いております SE の北村です。

今年最初のブログは、End User Computing Blog への投稿となります。

1. GPU (Graphics Processing Unit) カードの認定について
2. Unified Access Gateway for Hyper-V?

では、それぞれについて記載していきます。

 

1. GPU (Graphics Processing Unit) カードの認定について

VMware として認定作業はしていませんが、サーバIOデバイスなどと同様に以下の HCL が存在しています。この HCLも、他の HCL 同様に、グラフィックボード・ベンダー様が認定テストをされた結果を弊社にご連絡頂き、HCL に掲載しています。

Shared Pass-Through Graphics (いわゆる vGPU の事)
Virtual Dedicated Graphics Accerarator (いわゆる vDGAの事)
Virtual Shared Graphics Accerarator (いわゆる vSGAの事)

Horizon (View) 7 v7.3 の製品マニュアルだと、以下が該当する節 (章は ”デスクトップ プールの構成”) になります。

デスクトップ用の 3D レンダリングの構成

また、vSphere 6.5 の新機能として、vSphere HA で NVIDIA GRID vGPU が構成された仮想マシンのサポートがされるようになりましたが、現時点 (本ブログ公開時点:2018/01/31) で、NVIDIA GRID vGPU が構成された仮想マシンでのvMotion はサポートされていませんので、ご注意ください (将来的に対応を予定しています)。

参考情報
VMware vSphere 6.5 の新機能 テクニカル ホ ワイト ペーパー
What’s New in VMware vSphere 6.5 TECHNICAL WHITE PAPER

 

2. Unified Access Gateway for Hyper-V?

Horizon (旧 View) で提供されていた Security Server (以下、SS)、現在も提供されていますが、それと並行して、Horizon 6 バージョン 6.2 から SS の代わりに Unified Access Gateway (以下、UAG) という同等の機能を提供する製品をリリースしています(以前は、Access Point という名称でしたが、バージョン 2.9 から UAG に名称変更しています)。

SS や UAG は、いずれも、DMZ に配置し、外部ネットワークから内部ネットワークへの接続に対してプロキシの役割を提供します。それぞれの製品のインストールや構成については、該当するバージョンの製品マニュアルをご参照ください。

VMware Horizon 7 のマニュアル・ページ
Unified Access Gateway のマニュアル・ページ

 

今回お伝えしたいのは、UAG 3.0 から、UAG のインストール先として ”Hyper-V のサポート” を表明している点です。

UAG 3.0 はリリースノートに;

=== UAG 3.0 のリリースノートより抜粋 ===
Hyper-V のサポート
vSphere の代替ハイパーバイザーとして Microsoft Hyper-V をサポートすることで、Unified Access Gateway のデプロイの柔軟性を高めます。現在 Hyper-V は、VMware Tunnel の使用事例に対してのみサポートされています。
==================================

UAG 3.1 と UAG 3.2 は製品ドキュメントの「Unified Access Gateway システムとネットワークの要件 (UAG 3.1UAG 3.2)」に;

=== UAG 3.1 と 3.2 の製品ドキュメントより抜粋 ===
Windows Hyper-V Server を使用する場合のハードウェア要件
Unified Access Gateway を AirWatch アプリケーション単位のトンネル デプロイに使用する場合、Unified Access Gateway アプライアンスを Microsoft Hyper-V Server にインストールすることができます。

サポートされる Microsoft サーバは Windows Server 2012 R2 と Windows Server 2016 です。
==================================

それぞれ記載されています。

へ~、と思われるかも知れませんが、実は少々トリッキーでして、サポートされるのは、前述の通り、VMware Tunnel  (AirWatch が提供するアプリを安全かつ効率的に企業内ネットワークへ接続させる仕組み) と一緒に使用する場合のみに限定されています (VMware Tunnel の最新版のオンライン・ヘルプはこちらをご参照ください)。

その為、この Hyper-V 上に展開可能な UAG の OVF ファイルは、My VMware (通常、VMware 製品のバイナリは My Vmware から入手頂く事になりますが) ではなく、My AirWatch からの入手となり、バイナリを入手する権限をお持ちである必要があります。

 

最後まで読んで頂きありがとうございます。今回は以上となります。またの機会をお楽しみに。

 

ちょっとした技術的な TIPs のご紹介 (2017.11)

みなさん、こんにちは。VMwareでパートナー様を担当させて頂いてますSEの北村です。

今回も Horizon に関連した次の 2点について、End User Computing Blog に投稿したいと思います。

1. Graphics Acceleration in View Virtual Desktops in Horizon 7 テクニカル ペーパーについて
2. Windows 10 に対する Horizon のサポートに関連するKB (Knowledge Base) について

では、それぞれについて記載していきます。

 

1. Graphics Acceleration in View Virtual Desktops in Horizon 7 テクニカル ペーパーについて

最近、CAD on VDI 関連で、Horizon 7 ベースのテクニカル ペーパーが公開されました。今回のテクニカル ペーパーは、Horizon 6 ベースのテクニカル ペーパーとの入れ替えでの公開をなっています。内容としては、vSGA、vGPU、vDGA といったグラフィック アクセラレーションの種類の説明や、インストール、構成、および、セットアップについての説明、また、トラブルシューティングについても触れていますので、是非、ご参照ください。

Graphics Acceleration in View Virtual Desktops in Horizon 7

 

2. Windows 10 に対する Horizon のサポートに関連するKB (Knowledge Base) について

最近、Horizon での Windows 10 関連のお問い合わせを頂く事が多くなってきたので、その際にもお伝えした KB を4つほど、ご紹介します。

 

1つ目は、Horizon がサポートする Windows 10 オペレーティングシステムと言う事で、以下の KB を公開しています。下記、KB では、Horizon 6 と Horizon 7 (細かなバージョンは KB を参照してください) がサポートしている Windows 10 オペレーティングシステムのサービス オプション (CB や CBB など)、バージョン (1507、1703 など)、および、エディション (Enterprise、Professional など) についてご確認頂けます。 Windows 10 を Horizon の仮想デスクトップのオペレーティングシステムとして選択される際は、是非、参考にして頂きたい KB です。

Supported versions of Windows 10 on Horizon 7 Including All VDI Clones (Full Clones, Linked Clones, Instant Clones) (2149393)

参考情報:Windows 10 のリリース情報

 

2つ目は、Windows 10 の最新サービス オプションへの対応についての KB です。1つ目でご紹介した KB 2149393 内にも Windows 10 1709 ASC の記載はありますが、個別で、こちらの KB も公開しています。

Tech Preview Support for VMware Horizon 7.3.2 and Windows 10 1709 Semi-Annual Channel (SAC) Guest OS (000051518)

 

3つ目ですが、Windows 10 オペレーティングシステムを異なるバージョンへアップグレードする事 (例:1511 CBB から 1607 CBB へ) は出来ますが、その際の推奨事項という事で次の KBを公開しています。Horizon のフル クローン、リンク クローンやインスタント クローンの Windows 10 のマスターVMをアップグレードする必要がある場合は参考にしてください。

Upgrade Requirements for Windows 10 Operating Systems (2148176)

 

4つ目は、Windows 10 のみの情報ではなく、仮想デスクトップとしてサポートされている全てのオペレーティングシステムに対して、Horizon Agent が提供している機能のサポート マトリックスを KB として公開しています。USBや、クライアント ドライブのリダイレクションなど、Horizon Agent でサポートされている機能と、それを利用可能な仮想デスクトップのオペレーティングシステムのマトリックスを確認頂けます。

Feature Support Matrix for Horizon Agent (2150305)

 

最後まで読んで頂きありがとうございます。今回は以上となります。またの機会をお楽しみに。

 

ちょっとした技術的な TIPs のご紹介 (2017.10)

みなさん、こんにちは。VMwareでパートナー様を担当させて頂いてますSEの北村です。

今回も前回に引き続き、Horizon に関連した次の 3点について、End User Computing Blog に投稿したいと思います。

1. Horizon のライセンス混在について
2. Horizon の各コンポーネントがサポートしている上限数について
3. Horizon のネットワーク ポート ダイアグラムについて

では、それぞれについて記載していきます。

 

1. Horizon のライセンス混在について

以前のブログで ”Horizon のライセンス・カウント” について記載した事があります。その中で、CCU (同時接続ユーザー) と Named User (指定ユーザー) のライセンスは同一環境での混在利用が出来ない点について触れさせて頂きましたが、今一度、Horizon のライセンス混在について、今回のブログにてお伝えしたいと思います。

Q. CCU ライセンスと Named User ライセンスを同じ環境に混在させる事はできますか?
A. CCU ライセンスと Named User ライセンスを同じ環境に混在させる事はできません。この場合の同じ環境とは、vSphere (vCenter Server および ESXi) を共有する環境を指しています。CCU ライセンス、Named User ライセンス、それぞれのライセンスを利用する場合、必ず、Connection Server、View Composer (利用する場合)、および、vSphere (vCenter Server および ESXi) は別々の環境を使用する必要があります。

Q. Horizon Standard、Advanced、および、Enterprise ライセンスを同じ環境に混在させる事はできますか?
A. Horizon Standard、Advanced、および、Enterprise ライセンスを同じ環境に混在させる事はできません。この場合の同じ環境とは、vSphere (vCenter Server および ESXi) を共有する環境を指しています。Horizon Standard、Advanced、および、Enterprise ライセンス、それぞれのライセンスを利用する場合は、必ず、Connection Server、View Composer (利用する場合)、および、vSphere (vCenter Server および ESXi) は別々の環境を使用する必要があります。

どうでしょう。今回お伝えしたかったのは、CCU と Named User と言ったライセンス使用モデルが異なる場合も、Horizon のエディションが異なる場合も、それぞれのライセンスを同じ環境で混在させて利用する事はできない、という事です。Horizonの異なるライセンス種別を混在させて利用する事が可能と思われている方も少なくないと思いますので、ご注意ください。

 

2. Horizon の各コンポーネントがサポートしている上限数について

みなさん、以下の KB (Knowledge Base) はご存知でしょうか?

  • VMware Horizon 7 Sizing Limits and Recommendations (2150348)
  • VMware Horizon 7 のサイズ制限と推奨事項 (2150945)

上記は、Horizon 7 環境においてのサイジングの制限と推奨事項について記載している KB です。この KBでは、ESXi および仮想マシンのストレージ制限、デスクトップ、および、RDSH セッションの制限、接続サーバ (Connection Servers)、Unified Access Gateway という点で、サイジングの参考となる数値について記載していますので、Horizon 7 環境を構築される際は、是非、参考にして頂きたい KB です。

 

3. Horizon のネットワーク ポート ダイアグラムについて

今回は続けて、もう1つ KB をご紹介します。

  • Network port diagram for VMware Horizon View 7.x (2144830)
  • VMware Horizon View 7.x のネットワーク ポート ダイアグラム (2145514)

上記の KB 内で添付されている vmware-horizon-7-view-network-ports-diagram.zip を展開した PDF ファイルは、Horizon 7 の各コンポーネントが使用する通信プロトコル、および、ポート番号が記載されたネットワーク ポートの図解です。外部、DMZ、内部のネットワークで、Horizon の各コンポーネントがどのように通信をしているのかを理解するのにとても参考になると思います。

また、英語のみの提供となりますが、KB より更に詳細な情報が記載されたテクニカルペーパー:Network Ports in Horizon 7 も参考になると思います。

 

注意:
今回もいくつか KB をご紹介させて頂いてますが、これらの KBですが、オリジナルの英語版に更新が入っても、ローカライズ版に更新が反映されなかったり、ローカライズ版の更新が遅れたりする場合が多々ありますので、日本語版 (もローカライズ版の1つになります) は参考情報という扱いでご参照頂きたく存じます。

 

今回お伝えした内容は、ここ最近、立て続けに色んな方面からお問い合わせ頂いたので、広くお伝えした方がいいかなと思いブログにさせて頂きました。

最後まで読んで頂きありがとうございます。今回は以上となります。またの機会をお楽しみに。

 

ちょっとした技術的な TIPs のご紹介 (2017.07)

みなさん、こんにちは。VMwareでパートナー様を担当させて頂いてますSEの北村です。

今回も前回に引き続き、Horizon に関連した次の 2点について、End User Computing Blog に投稿したいと思います。

1. Horizon 7 Agent をインストールすると RDP 接続できなくなる?
2. View Storage Accelerator (ホスト キャッシュ機能) とは?

では、それぞれについて記載していきます。

 

1. Horizon 7 Agent をインストールすると RDP 接続できなくなる?

Horizon 7 から TLS v1.0 がデフォルトで無効になるため、Horizon 7 Agent をインストールすると RDP 接続が出来なくなるという事象が発生します。以下の Microsoft の Hotfix を適用することで RDP 接続が出来るようになります。この、Microsoft の Hotfix は、Horizon Agent をインストールする OS と、Horizon Client を使用する OS の両方に適用する必要があります。

Windows 7 または Windows Server 2008 R2 で TLS 1.1 および TLS 1.2 の RDS サポートを追加するのに更新します

この件に関しては、以下の KB (Knowledge Base) が公開されているので、ご存知の方も多いのではないかと思いましたが、地味にハマるポイントな気がしたので、今回のブログでピックアップしました。

Cannot connect to view desktop using RDP Client (KB 2145313)

また、Horizon Client for Linux で xfreerdp を使っている場合の KB (英語と日本語がありました) も公開されていましたので、該当する方は KB を参考に対処頂ければ、RDP 接続が出来るようになります。

Unable to connect to Horizon 7 desktops from Horizon Client for Linux using xfreerdp (KB 2144852)
xfreerdp を使用して Linux 版 Horizon Client から Horizon 7 デスクトップに接続することができない (KB 2145526)

 

2. View Storage Accelerator (ホスト キャッシュ機能) とは?

View 5.1 から提供されている View Storage Accelerator (ホスト キャッシュ機能)、vSphere上に搭載されるメモリに共通でアクセスされるデータをキャッシュする事で、複数の仮想デスクトップが同時に起動する際などのピーク時の IOPS を削減する仕組みなのですが、この機能は、vSphere 5.0 (厳密には vSphere 5.0 Update1) から内部的に実装している ESXi ホストの CBRC (Content Based Read Cache) を使用しています。

この CBRC は、vSphere 側の機能なのですが、この機能を利用出来るのは、Horizon (View 含む) のみの為、vSphere 側の情報 (ドキュメントなど) としては特に説明されていません。それもあり Hidden Feature (隠し機能) と表現される場合もありますが、図1のように ESXi ホストのシステムの詳細設定で、関連する設定項目を確認する事ができます。

図1:システムの詳細設定

そう言えば、CBRCですが、ESXi側で認識されるライセンス名は ”vSphere View Accelerator” です。しかし、同じ機能の事なのに色々な名前があると言うのも考え物ですね (笑)。これには、開発コード名、機能名、製品名など、その機能が世に出るまでに内部で使われるな呼称が複数あるので致し方ない事なのですが。。。

では、CBRCはvSphereのどのエディションでも有効な (隠し) 機能なのでしょうか?

この答えは、Web Client でライセンスに付与される製品機能を表示する画面で確認できます。図2 (vSphere Standard) と、図3 (vSphere Enterprise Plus) は、それぞれのエディションで、該当する Web Client の画面をキャプチャーして、見やすく加工したもので、”vSphere View Accelerator” を赤枠で囲ってみました。

図2:vSphere Standard ライセンス       図3:vSphere Enterprise Plus ライセンス

図を見てわかる通り、”vSphere View Accelerator” は、vSphere Enterprise Plusにのみ付与されています。

Horizonとしてライセンスを購入した際は、vSphere Enterprise Plus の機能が使える vSphere for Desktop (仮想デスクトップ専用のvSphere Enterprise Plus のライセンス) が付与されていますので、View Storage Accelerator も利用可能という事になります。

参考情報
テクニカル ホワイトペーパー:
View Storage Accelerator in VMware View 5.1 – Leveraging the Content-Based Read Cache in VMware vSphere™ 5.0 within VMware View 5.1 –
Horizon 7 v7.2 ドキュメント:
Configure View Storage Accelerator for vCenter Server

 

文中でも触れましたが、今回、お伝えした内容も、日々の活動の中で、広くお伝えした方がいいかなと思う点を今回もピックアップしてブログにさせて頂きました。

最後まで読んで頂きありがとうございます。今回は以上となります。またの機会をお楽しみに。

VMware が Gartner のエンタープライズ モビリティ管理(EMM)の マジック クアドラントでリーダーの評価を獲得

みなさま、こんにちは。VMwareの本田です。

本日は、みなさまにお知らせがあります。すでにご存知の方もいらっしゃるかと思いますが、2017年6月6日に発表されたGartner社の「Magic Quadrant for Enterprise Mobility Management Suite」において、2年連続で実行能力とビジョンの完全性の両方でリーダーに認定されました。

以下、US本社のAirWatchブログの翻訳です。どうぞご一読ください。

 

VMware Gartner のエンタープライズ モビリティ管理(EMM)の
マジック クアドラントでリーダーの評価を獲得

2 年連続で実行能力とビジョンの完全性の両方でリーダーに認定

Gartner はVMwareをエンタープライズ モビリティ管理 (EMM) の  2017 年ガートナー マジック クアドラントのリーダーとして7 年連続で を認定しました。

[レポートのダウンロード: 2017 年のエンタープライズ モビリティ管理のガートナー マジック クアドラント]

独立調査会社であるガートナーのマジック クアドラント マーケット レポートでは、EMM ベンダーをリーダー、チャレンジャー、概念先行型、特定市場指向型の 4 つのクアドラントで評価します。ベンダーは、実行能力とビジョンの完全性の 2 つの軸の評価に基づいて、4つのクアドラント(象限)のいずれかに分類されます。

VMware は 2 年連続で両方の軸で最高の評価を受けました。VMwareでエンド ユーザー コンピューティング部門担当上級副社長を務める スミット・ダーワン (Sumit Dhawan) は高評価の理由として、AirWatch が EMM の包括的な一連の機能を広範なプラットフォームとデバイスに対してWorkspace ONE の一部として提供し、デジタル トランスフォーメーションの進展に寄与していることを挙げています。

スミット・ダーワン (Sumit Dhawan) はまた、次のようにコメントしています。「EMM の展望は過去 7 年間で大きく変化しました。弊社は急速なイノベーションのペースを維持し、お客様が次世代のデジタル トランスフォーメーションに備えるお手伝いをしてきました。弊社の AirWatch EMM を VMware Workspace ONE (セキュアなデジタル ワークスペースを提供するプラットフォーム) の基盤として使用すれば、EMM、統合エンドポイント管理 (UEM)、デジタル ワークスペース戦略など、お客様のニーズに合わせてデジタル トランスフォーメーションのどの段階からでも、定評があるこのソリューションをご利用いただけます。」

AirWatch は、EMM プラットフォームのリーダーとして、引き続きお客様やパートナー様のご支持をいただいています。昨年からの1年間で次のような機能強化を発表しており、AirWatch も引き続き高い評価をいただいています。

  • 統合エンドポイント管理(UEM) の提供:モバイルやデスクトップから IoTデバイス まで、組織内のすべてのエンドポイントを管理する包括的でユーザー中心のアプローチを実現する新しいソリューションです。
  • エンタープライズ セキュリティの拡張:モバイル、デスクトップ、耐衝撃デバイス、IoT デバイスで、Windows 10 を含むクロスプラットフォームをサポートし、IT およびエンドユーザーの使用感を改善、簡素化しています。
  • スマート グラスなどウェアラブルデバイス管理の追加。AirWatch UEM はウェアラブルデバイス向けに機能拡張された最初のソリューションです。既存のデスクトップやモバイル エンドポイントとともにスマート グラスなども管理できます。

2017年ガートナー マジック クアドラント レポートはここからダウンロードできます。 (英語)

出展: Gartner社、「Magic Quadrant for Enterprise Mobility Management Suites」、ロブ・スミス (Rob Smith) 他、2017 年 6 月 6 日。

 

ガートナーの免責条項

ガートナーは、ガートナー・リサーチの発行物に掲載された特定のベンダー、製品またはサービスを推奨するものではありません。また、最高のレーティング又はその他の評価を得たベンダーのみを選択するように助言するものではありません。ガートナー・リサーチの発行物は、ガートナー・リサーチの見解を表したものであり、事実を表現したものではありません。ガートナーは、明示または黙示を問わず、本リサーチの商品性や特定目的への適合性を含め、一切の保証を行うものではありません。

ちょっとした技術的な TIPs のご紹介 (2017.06)

みなさん、こんにちは。VMwareでパートナー様を担当させて頂いてますSEの北村です。

今回は、Horizon に関連した 2点について、End User Computing Blog に投稿したいと思います。

1. Horizon 環境で NVIDIA GRID で vGPU を利用する際にサポートされる Direct X について
2. Horizon で仮想デスクトップの画面サイズを固定する方法について

では、それぞれについて記載していきます。

 

1. Horizon 環境で NVIDIA GRID で vGPU を利用する際にサポートされる Direct X について

Horizon の仮想デスクトップでは、3D グラフィックス レンダリングを構成できますが、Virtual Shared Graphics Acceleration (vSGA)、Virtual Dedicated Graphics Acceleration (vDGA)、または、共有 GPU ハードウェア アクセラレーション (NVIDIA GRID vGPU) などを活用できます。

それらでサポートされる Direct X のバージョンには若干の違いがあります。vSGA や Soft 3D では DirectX 9 のみのサポートとなりますが、vGPU や vDGA は、NVIDIA社のドライバをゲストOS にインストールして使用しますので、DirectX のフル機能は使え、サポートされるバージョンは DirectX 9/10/11 です。

上記は NVIDIA 社のホームページから入手できる 「NVIDIA GRID VGPU DEPLOYMENT GUIDE FOR VMWARE HORIZON 6.1」 ドキュメントの P.10 の 「2.5 SUPPORTED GRAPHICS PROTOCOLS」 に 「Full DirectX 9/10/11」 との記載で確認頂けます。

上記、NVIDIA 社のドキュメントは以下のNVIDIA社のサイトで必要事項を入力して入手する事ができます。

GRID vGPU Deployment Guide

 

2. Horizon で仮想デスクトップの画面サイズを固定する方法について

Horizon で仮想デスクトップへ接続すると、通常、画面サイズはアクセスしたクライアントのモニター・サイズに合わせて自動的にサイズ調整が行われます。

これは、これで、Horizon の便利な機能の1つではあるのですが、使用する状況によっては 「画面サイズを固定したい」 と言う場合もあるかと思います。

Horizon では、少し限定的となりますが、画面転送プロトコルで PCoIP を使用して、Windows 版 Horizon Client からアクセスする場合、Horizon Client の GPO にある “Locked Guest Size” を設定する事で、仮想デスクトップの画面解像度を設定 (固定) できます。

詳細は以下のドキュメントの P.46 の 「表 3 4. VMware Horizon Client 構成テンプレート:スクリプトの定義 (続き)」 に記載されていますので、ご確認ください。

VMware Horizon Client for Windows の使用 Horizon Client 4.4

上記は、最新の Horizon Client の日本語ドキュメントですが、この GPO を利用するには、Horizon Client のバージョンは 3.1 以降である必要がありますので、ご注意ください。

参考情報:
以下は弊社のサイトで公開している情報ではないので、あくまでも参考情報となりますが、上記、GPO に関連した Registry について記載しています。

Group Policy Administrative Templates

 

今回、情報量としては少なめでしたが、End-User Computing Blog に久しぶりに投稿させて頂きました。お伝えした内容は、日々の活動の中で、広くお伝えした方がいいかなと思う点を今回もピックアップしてブログにさせて頂きました。

最後まで読んで頂きありがとうございます。今回は以上となります。またの機会をお楽しみに。

AirWatchの基礎 第16回〜Device Enrollment Program(DEP)の利用〜

AirWatchの基礎 16回〜Device Enrollment Program(DEP)の利用〜

皆さん こんにちは。

モバイルデバイスを企業で利用する際に、AirWatchを利用したEMMの必要性についてはこれまでのブログ記事でご理解されたのではないでしょうか?一旦、AirWatchへ登録してしまえば以降の作業は、AirWatch経由で行う事が出来て運用の簡素化を行う事が出来ますが、初期設定作業やキッティングについては、企業側でどのように行うか検討する必要があります。ここでいう初期設定作業やキッティングは、デバイスを梱包から空けて、初めて電源をいれた際の初期設定(言語設定/Wi-Fi接続/各種デバイス設定項目等)とその後、AirWatchまで登録(キッティング)を行い、利用出来る状態にする作業も含まれます。導入ベンダーに初期設定からキッティングをお願いする事が一般的かもしれませんが、自社ですべて実装する事を検討されている場合は、Apple Device Enrollment Program(DEP)を利用する事をご検討されてはいかがでしょうか?

このブログでは、AirWatchでApple社が提供の Apple Device Enrollment Program(DEP)を利用し、初期設定からキッティングの連携についてご紹介いたします。

Apple Device Enrollment Program(DEP)とは

iOSおよびmac OSデバイスを企業で利用する際に、Apple社から直接購入もしくはApple社正規販売店や通信事業者から購入する事で、デバイスを企業IDに紐づけ、管理された状態で出荷させる事が出来ます。これはApple Device Enrollment Program(DEP)と呼ばれており、ユーザは利用開始前にデバイスの直接操作を最小化し、自動的にデバイスをEMM(MDM)に登録させ、デバイスの管理を行う事が出来ます。AirWatchではDEPをサポートしており、ユーザの初期設定作業やキッティング作業工数を大幅に削減する事が出来ます。また、AirWatchのDEPに事前設定により、次の機能を有効化する事も出来ます。以下の設定は、DEPの利用でのみ提供出来る機能となります。

  • 監視対象 (Apple configuratorもしくはDEPで設定可能)
  • MDMプロファイルロック(DEPでのみ設定可能)
  • OS更新(監視対象が有効でかつDEPでのみ設定可能)

DEPの詳細は、Apple社サイトを参照ください。なお、以下内容は、対象をiOSのDEPについて言及して記載致します。

Apple Device Enrollment Program(DEP)AirWatchの連携

まず、Apple DEPサイト(http://deploy.apple.com/)で企業登録を行い、Customer IDの取得する必要があります。その際、企業に関連するメールアドレスでプログラムエージェントアカウント(企業の代表アカウント)を作成します。このメールアドレスは、DEPへサインインする時のApple IDとして利用されます。企業登録の詳細は、Apple DEP Guideを参照ください。

DEPサイトへのサインイン

登録したApple IDでサインイン

1

本人確認にために確認コードを発行(2要素認証)

2

スマートフォンにSMSで配信された確認コードを入力

3

ログイン後、Device Enrollment Programのサイトへ

4

AirWatchDEPの統合

統合とは、AirWatchの組織グループとDEPを公開キーとトークンの受け渡しを行い、関連付けを行う事です。統合が終了した後にDEPデバイスを登録すると、対象の組織グループのデバイス>ライフサイクル>加入状態に、登録デバイスがリストされます。これにより、登録されたデバイスが起動した際に、予め設定された内容を元に、自動的にAirWatchの指定の組織グループへ加入処理が行われます。統合は、管理を簡素化させる為に顧客組織グループに一つにする事を推奨しています。

重要!! 統合作業は、AirWatchコンソールとDEPサイトの両方で作業を行います。AirWatchコンソールでDEPウィザードの設定を開始したら、ブラウザのセッションを開いたまま、別タブでそれぞれ作業を進める必要があります。1つのブラウザのセッションで構成全体を終了させないと、統合の保存をさせる事が出来ません。

  1. [AirWatchコンソール]:統合する組織グループへ移動
  2. [AirWatchコンソール]:グループと設定>すべての設定>デバイスとユーザ>Apple>デバイス登録プログラムより、構成を選択しDEPウィザードを開始5
  3. [AirWatchコンソール]:公開キーのダウンロードから、キーのダウンロード ファイル名 MDM_DEP_PublicKey-<組織グループ名>.pem6
  1. [Apple DEPサイト]:サーバ管理からMDMサーバ追加を選択7
  2. [Apple DEPサイト]: MDMサーバ名を(任意)に入力し、次へ8
  3. [Apple DEPサイト]:ファイルを選択から公開キーのアップロードし、次へ9
  4. [Apple DEPサイト]:サーバトークンをクリックし、ダウンロード   ファイル名 <MDMサーバ名> _Token_<DATE>_smime.p7m10
  1. [AirWatchコンソール]:アプロードを選択して、サーバトークンをアップロードし、次へ11
  2. [AirWatchコンソール]: 認証を「オン」にし、デバイス所有形態や組織グループを設定し、次へ12
  3. [AirWatchコンソール]: プロファイル名、部門、御社内のサポート担当者連絡先に値を入力

加入用プロファイルを適宜設定

冒頭に記載した、監視対象やMDMプロファイルロックはこの設定を有効にする事で設定されます。

13

  1. [AirWatchコンソール]:iOSデバイスの初期セットアップ時にユーザに手動で設定させる項目を選択14
  2. [AirWatchコンソール]: 設定内容を確認して保存15
  3. [AirWatchコンソール]:統合がされた事を確認16

DEPデバイスをサーバ構成に登録

DEPの統合を行っても、どのデバイスがどのAirWatchの組織グループへ参加するか指定する必要があります。その操作の為に、Apple DEPサイトのデバイス管理から、購入済みのDEPデバイスをサーバ構成に割り当てを行う必要があります。割り当てにはシリアル番号の他に注文番号やcsvで作成されたファイルのアップロードも可能となります。

17

AirWatchコンソールから割り当てされたデバイスの同期

対象の組織グループのデバイス>ライフサイクル>加入状態を開き、追加よりデバイスの同期を実行すると、追加したデバイスがリストに追加されます。

加入状態からデバイスの同期

18

DEPと同期

19

同期後のデバイスリスト

20

加入前準備

DEPデバイスを登録した組織グループにユーザ・プロファイルおよびアプリ等の設定を行ってください。DEP環境だからといって特別な設定は必要ありません。

加入処理

デバイスの電源を初めて入れ、次の手順となります。

21

⑥までは、通常のiOSのセットアップ作業となり、⑦で統合されたAirWatchの組織グループへリダイレクトされます。

22

⑧でAirWatchの認証が行えれば、加入処理が行われ、以降は、DEPプロファイルで定義したiOSのセットアップ(例 パスコード/Touch ID/Siriなど)が続きます。iOSのセットアップが終了すると、AirWatchで設定したプロファイルおよびアプリケーションが配信され作業は終了となります。

運用でのヒント

  1. 追加でデバイスを購入した場合は、既設のサーバ構成にデバイスを登録し同期を取れば、加入状態にリストされます。但し、DEPデバイスがリストされた組織グループに、DEPデバイス以外のデバイスが加入しようとすると、加入が拒否されます。これは、この組織グループがホワイトリストとして登録されているデバイスとなる為、登録されていないデバイスが加入拒否される事は、正しい動作となります。リストされていないデバイスをDEPの組織グループへ加入させたい場合、手動でホワイトリストを作成しデバイスの追加が必要になります。
  2. 登録されたデバイスを別の組織グループへ加入させたい場合は、DEPのプロファイルの追加で別な組織グループを指定し、そのプロファイルにデバイスを移動(割り当て)させる事で実現出来ます。

プロファイルの追加

23

プロファイルの構成

29

*設定項目は、統合と同様ですので割愛させて頂きます。

なお、AirWatchの基礎 第3回〜AirWatchへの初めてのログイン〜で投稿させて頂いた組織グループの階層の権限で、下部には移動(割り当て)できますが同一階層や上部には移動(割り当て)できませんのでご注意ください。また、加入ユーザも同様に、上部で登録されているデバイスに下部で登録されてユーザでは、加入出来ません。

下部の組織グループでのプロファイルを作成した後、そのプロファイルへデバイスの移動(割り当て)を行いたい場合は、右のアイコンの割り当ての編集から行う事が出来ます。

25

“このバッチタイプ用のテンプレートをダウンロードする”をクリックすると、csvファイルがダウンロードされますのでファイルを編集し、ファイルをアップロードください。csvファイルには、現在リストされているDEPデバイスのシリアル番号がリストされていますので、移動したいデバイスのシリアル番号のみ残し保存し、ファイルの選択からcsvファイルをアップロードしてください。

30

移動(割り当て)を行うと、以下図のように割り当て台数が表示されます。

31

まとめ

モバイルを企業で活用する上で、運用の簡素化は必須となります。DEPを利用する事で、デバイスの初期設定およびキッティング作業が最小化される事が出来ますので、AirWatchをご利用される場合、選択肢の一つとしてご検討してはいかがでしょうか?

参考資料

本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。 myAirwatchへこちら

 

ちょっとした技術的な TIPs のご紹介 (2017.03)

みなさん、こんにちは。VMwareでパートナー様を担当させて頂いてますSEの北村です。

約1か月ぶりの投稿になります。前回は Cloud Infrastructure Blog にちょっとした技術的な TIPs を投稿しましたが、今回は End-User Computing Blog に以下のTIPs を投稿したいと思います。

 

1. Horizon がサポートする Active Directory Domain Services (AD DS) ドメイン機能レベルについて
2. Horizonのライセンス・カウント

 

では、それぞれについて記載していきます。

 

1. Horizon がサポートする Active Directory Domain Services (AD DS) ドメイン機能レベルについて
前回のブログで、vSphere (vCenter Server と ESXi) がサポート対象としている Active Directory の Domain Function Level について記載している KB が更新され vSphere 6.5 の情報が追記された事をお伝えしましたが、Horizon でも同様の情報を製品ドキュメント内 (Active Directory の準備) で公開しています。

以下が、Horizon がサポートするActive Directory Domain Services (AD DS) ドメイン機能レベルになりますが、以下、ドキュメントからの抜粋になります。

=== ドキュメントからの抜粋 ===
■ Windows Server 2003
■ Windows Server 2008
■ Windows Server 2008 R2
■ Windows Server 2012
■ Windows Server 2012 R2
=== ドキュメントからの抜粋 ===

マイクロソフトさんのサイト (How to raise Active Directory domain and forest functional levels) を見ると、上記以外にも  Windows Server 2003 interim (Windows Server 2003 中間) と言ったドメイン機能レベルもありますが、Horizon でサポート対象となるのは、前述のドキュメントからの抜粋の情報の通りとなります

この情報は常に意識しておく必要があるという類の物ではありませんが、Horizon のバージョンアップや新規インストールの際には必要な情報の1つだと思いますので、製品ドキュメントに記載がある事を覚えておいて頂けると幸いです。

 

2. Horizonのライセンス・カウント
Horizon のライセンスには、CCU (Concurrent User) と Named User (指定ユーザー) のライセンス使用モデルが用意されいます。CCU は同時接続ユーザー、Named User は指定ユーザーのライセンス形態になりますが、それぞれでどのようにライセンスのカウントがされているのかについて説明します。

      Named User (指定ユーザー) は;
  • Horizon 環境にアクセスした一意のユーザーの数をカウント
  • 複数の単一ユーザー デスクトップ、RDS デスクトップ、および、リモート アプリケーションを実行している場合、そのユーザーは 1 回だけカウント
  • Horizon Administrator (Horizon 管理UI) の [View構成] → [製品のライセンスと使用状況] の [現在] に View を最初にデプロイ/構成した以降のユーザー数、または、 [指定ユーザー数] を最後にリセットした以降のユーザー数を表示 ([最高] は、Named User には該当しない)

ViewAdministrator-NU

      CCU (同時接続ユーザー) は;

    • セッションあたりの単一ユーザー デスクトップ接続数をカウント
    • 複数の単一ユーザー デスクトップを実行している場合、接続された各デスクトップ セッションを個別にカウント
    • RDS デスクトップ、および、アプリケーションの接続数は、ユーザーごとにカウント
    • 複数の RDS デスクトップ セッション、および、アプリケーションを実行している場合、そのユーザーは 1 回だけカウント
    • 単一ユーザー デスクトップと、追加で RDS デスクトップ、および、アプリケーションを実行している場合、そのユーザーは 1 回だけカウント
    • Horizon Administrator (Horizon 管理UI) の [View構成] → [製品のライセンスと使用状況] の [最大] には、View を最初にデプロイ/構成した以降、または、 [最大数] を最後にリセットした以降の同時デスクトップ セッション、ならびに RDS デスクトップ、および、アプリケーション ユーザーの最大数を表示

ViewAdministrator-CCU

上記は製品マニュアル (製品ライセンスの使用状況の監視) にも記載がありますので、時間がある時に参照頂けると幸いです。

 

どうでしょうか。ライセンス使用モデルが違う事で、ライセンスのカウントに違いがある事がご理解頂けたと思います。また、CCUとNamed User ライセンスは同一環境での混在利用できませんので、ご注意ください。

最後まで読んで頂きありがとうございます。今回は以上となります。またの機会をお楽しみに。

AirWatchの基礎 第15回〜コンテンツの管理〜

AirWatchの基礎 15回〜コンテンツの管理〜

皆さん こんにちは。

AirWatchでMDM(デバイス)/MAM(アプリ)/MEM(Eメール)の管理を行う事で、管理者にとってはよりセキュアで安全な管理が行え、従業員の方々は利便性が向上し満足度もあがってきているのではないでしょうか?そんな中、より利便性を向上させる為には社内のリソースへのアクセスも不可欠となります。ここでいう社内リソースとは、業務で必要なコンテンツやファイルになります。通常社内リソースへのアクセスは、外出先から会社支給PCを起動し、VPN接続を行って社内のファイルサーバへアクセスする流れだと思われます。但し、単に確認の為に、いちいちPCを開いて作業をするのは面倒な為、モバイルから簡単にファイル閲覧をしたいとの要望も多いのではないでしょうか?

AirWatchでは、社内リソースへモバイルからセキュアにアクセスする事が出来るコンテンツ管理 (MCM=Mobile Content Management)の機能もご提供させて頂いております。

MCMとは

MCMとは、業務に必要な社内リソース(コンテンツやファイル)を安全にかつ簡単に利用させることです。エンドユーザは許可された範囲で自由にコンテンツが利用でき、管理者はセキュリティレベルに合わせてポリシーを適応して管理出来ることになります。

01

AirWatchでのMCM構成

AirWatchでは、以下は3つの領域を利用する事が出来ます。

1, AirWatchコンテンツとして標準で5GBの領域を利用する事が出来ます。このAirWatchコンテンツは全社共通でシェアするようなコンテンツの配置が可能です。但し、この領域は、企業で利用する社内アプリケーションの配置領域や個人用コンテンツ領域としても利用されます。

2, 社内のファイルサーバやSharePointをContent Gateway経由でアクセスさせる事が可能です。

3, サードパーティのクラウドストレージもAirWatch経由でセキュアにアクセスさせる事が可能です。

Content Gatewayの要件や設定およびクラウドストレージの接続方法は、myAirWatchよりMobile Content Management Guide を参照ください。

02

また、それぞれの利用用途や設定項目等は次の表となります。

03

コンテンツへのアクセス方法

様々なリポジトリ(保存先)にコンテンツが保存されていますが、デバイスの種類や利用用途にあわせ、4つのアクセス方法を準備しております。

  • AirWatch Content Locker (iOS, Android, Windows)
  • AirWatch Content Locker Sync (Windows, Mac)
  • AirWatch Content Locker Outlook アドイン (Windows)
  • セルフサービスポータル

AirWatch Content Lockerアプリからの接続

ホーム画面では、「必須」や「特集」と分割して、コンテンツがリストされます。また、接続されているリポジトリがリストされ、ドリルダウンで対象のコンテンツにアクセスする事が出来ます。

04

コンテンツの操作

コンテンツは、管理者または利用者によってそれぞれのリポジトリにアップロードしますが、その際にアクセス方法や展開方法などを設定する事が出来ます。主な操作方法をご紹介します。

  • アクセスコントロール
    • オフライン状態での閲覧を許可: ネットワーク接続されていなくてもコンテンツ閲覧が可能、コンテンツはデバイスにダウンロードされる
    • オンラインの閲覧のみを許可:ネットワーク接続されている時のみコンテンツ閲覧が可能、コンテンツはデバイスにダウンロードされておらずストリーミングで閲覧

05

  • 展開方法:アクセスコントロールで「オフライン状態での閲覧」を設定している場合
    • 自動:Content Lockerを起動したタイミングで、自動的にデバイスにダウンロードがされる
    • オンデマンド:利用者がオンデマンドでダウンロードを行う

06

  • その他の操作
    • コンテンツのプッシュ配信:割り当てされたコンテンツを管理者がプッシュで配信する事が可能

07

  • 必須ドキュメント:操作マニュアル等で必須ドキュメントとすることでエンドユーザーにドキュメントを読むことを強制することが可能

08

  • コンテンツのバージョン管理:コンテンツのバージョン管理が可能

09

コンテンツのセキュリティ

コンテンツ単位で、様々なセキュリティ設定を行う事が出来ます。Content Lockerでは、標準で他のアプリケーションへの開封許可を禁止しております。この事で、データ漏洩を未然に防ぐことが出来るようになっています。セキュリティ設定は、次の通りです。

10

但し、コンテンツの取扱制限を厳密に行っても、他のデバイスから写真撮影される事の制限をかけることは出来ません。Content Lockerでは、電子透かしを入れる事で情報漏えいの追跡に役立てるることが出来ます。

 11

コンテンツの活用

前項では、コンテンツに対してのセキュリティについてご紹介いたしましたが、セキュリティを担保できることで様々な利用シーンでコンテンツを安全かつ便利に利用することが出来ます。利用者は複数のデバイスから常に最新のコンテンツにアクセスしたり、メール添付を許可させる事でコンテンツを社内外の方にメール送信する事も出来ます。また、ダウンロードリンクを作成してメールにアドレスを貼り付けでファイルのシェアを行う事もできます。

12

レポーティング

レポートテンプレートを使用して、コンテンツの利用状態や順守状態等をレポート出来ます。また、スケジュール設定をする事で、自動実行で管理者にレポートを通知する事も可能です。レポートは、CSVファイルで出力されます。

13

レポートの例

14

まとめ

社内リソースへセキュアにアクセス出来る事で、エンドユーザーの利便性が大幅に向上して様々な利用方法が出来る事をご理解頂けたのではないでしょうか?モバイルの業務での活用は、今後必須となってくる事が予想される中、利便性とセキュアな管理と相反した事を両立させる為には、AirWatch の提供するEMMソリューション全体を検討する必要があります。

本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。 myAirwatchへこちら