Home > Blogs > VMware Japan End-User Computing Blog

ちょっとした技術的な TIPs のご紹介 (2017.07)

みなさん、こんにちは。VMwareでパートナー様を担当させて頂いてますSEの北村です。

今回も前回に引き続き、Horizon に関連した次の 2点について、End User Computing Blog に投稿したいと思います。

1. Horizon 7 Agent をインストールすると RDP 接続できなくなる?
2. View Storage Accelerator (ホスト キャッシュ機能) とは?

では、それぞれについて記載していきます。

 

1. Horizon 7 Agent をインストールすると RDP 接続できなくなる?

Horizon 7 から TLS v1.0 がデフォルトで無効になるため、Horizon 7 Agent をインストールすると RDP 接続が出来なくなるという事象が発生します。以下の Microsoft の Hotfix を適用することで RDP 接続が出来るようになります。この、Microsoft の Hotfix は、Horizon Agent をインストールする OS と、Horizon Client を使用する OS の両方に適用する必要があります。

Windows 7 または Windows Server 2008 R2 で TLS 1.1 および TLS 1.2 の RDS サポートを追加するのに更新します

この件に関しては、以下の KB (Knowledge Base) が公開されているので、ご存知の方も多いのではないかと思いましたが、地味にハマるポイントな気がしたので、今回のブログでピックアップしました。

Cannot connect to view desktop using RDP Client (KB 2145313)

また、Horizon Client for Linux で xfreerdp を使っている場合の KB (英語と日本語がありました) も公開されていましたので、該当する方は KB を参考に対処頂ければ、RDP 接続が出来るようになります。

Unable to connect to Horizon 7 desktops from Horizon Client for Linux using xfreerdp (KB 2144852)
xfreerdp を使用して Linux 版 Horizon Client から Horizon 7 デスクトップに接続することができない (KB 2145526)

 

2. View Storage Accelerator (ホスト キャッシュ機能) とは?

View 5.1 から提供されている View Storage Accelerator (ホスト キャッシュ機能)、vSphere上に搭載されるメモリに共通でアクセスされるデータをキャッシュする事で、複数の仮想デスクトップが同時に起動する際などのピーク時の IOPS を削減する仕組みなのですが、この機能は、vSphere 5.0 (厳密には vSphere 5.0 Update1) から内部的に実装している ESXi ホストの CBRC (Content Based Read Cache) を使用しています。

この CBRC は、vSphere 側の機能なのですが、この機能を利用出来るのは、Horizon (View 含む) のみの為、vSphere 側の情報 (ドキュメントなど) としては特に説明されていません。それもあり Hidden Feature (隠し機能) と表現される場合もありますが、図1のように ESXi ホストのシステムの詳細設定で、関連する設定項目を確認する事ができます。

図1:システムの詳細設定

そう言えば、CBRCですが、ESXi側で認識されるライセンス名は ”vSphere View Accelerator” です。しかし、同じ機能の事なのに色々な名前があると言うのも考え物ですね (笑)。これには、開発コード名、機能名、製品名など、その機能が世に出るまでに内部で使われるな呼称が複数あるので致し方ない事なのですが。。。

では、CBRCはvSphereのどのエディションでも有効な (隠し) 機能なのでしょうか?

この答えは、Web Client でライセンスに付与される製品機能を表示する画面で確認できます。図2 (vSphere Standard) と、図3 (vSphere Enterprise Plus) は、それぞれのエディションで、該当する Web Client の画面をキャプチャーして、見やすく加工したもので、”vSphere View Accelerator” を赤枠で囲ってみました。

図2:vSphere Standard ライセンス       図3:vSphere Enterprise Plus ライセンス

図を見てわかる通り、”vSphere View Accelerator” は、vSphere Enterprise Plusにのみ付与されています。

Horizonとしてライセンスを購入した際は、vSphere Enterprise Plus の機能が使える vSphere for Desktop (仮想デスクトップ専用のvSphere Enterprise Plus のライセンス) が付与されていますので、View Storage Accelerator も利用可能という事になります。

参考情報
テクニカル ホワイトペーパー:
View Storage Accelerator in VMware View 5.1 – Leveraging the Content-Based Read Cache in VMware vSphere™ 5.0 within VMware View 5.1 –
Horizon 7 v7.2 ドキュメント:
Configure View Storage Accelerator for vCenter Server

 

文中でも触れましたが、今回、お伝えした内容も、日々の活動の中で、広くお伝えした方がいいかなと思う点を今回もピックアップしてブログにさせて頂きました。

最後まで読んで頂きありがとうございます。今回は以上となります。またの機会をお楽しみに。

VMware が Gartner のエンタープライズ モビリティ管理(EMM)の マジック クアドラントでリーダーの評価を獲得

みなさま、こんにちは。VMwareの本田です。

本日は、みなさまにお知らせがあります。すでにご存知の方もいらっしゃるかと思いますが、2017年6月6日に発表されたGartner社の「Magic Quadrant for Enterprise Mobility Management Suite」において、2年連続で実行能力とビジョンの完全性の両方でリーダーに認定されました。

以下、US本社のAirWatchブログの翻訳です。どうぞご一読ください。

 

VMware Gartner のエンタープライズ モビリティ管理(EMM)の
マジック クアドラントでリーダーの評価を獲得

2 年連続で実行能力とビジョンの完全性の両方でリーダーに認定

Gartner はVMwareをエンタープライズ モビリティ管理 (EMM) の  2017 年ガートナー マジック クアドラントのリーダーとして7 年連続で を認定しました。

[レポートのダウンロード: 2017 年のエンタープライズ モビリティ管理のガートナー マジック クアドラント]

独立調査会社であるガートナーのマジック クアドラント マーケット レポートでは、EMM ベンダーをリーダー、チャレンジャー、概念先行型、特定市場指向型の 4 つのクアドラントで評価します。ベンダーは、実行能力とビジョンの完全性の 2 つの軸の評価に基づいて、4つのクアドラント(象限)のいずれかに分類されます。

VMware は 2 年連続で両方の軸で最高の評価を受けました。VMwareでエンド ユーザー コンピューティング部門担当上級副社長を務める スミット・ダーワン (Sumit Dhawan) は高評価の理由として、AirWatch が EMM の包括的な一連の機能を広範なプラットフォームとデバイスに対してWorkspace ONE の一部として提供し、デジタル トランスフォーメーションの進展に寄与していることを挙げています。

スミット・ダーワン (Sumit Dhawan) はまた、次のようにコメントしています。「EMM の展望は過去 7 年間で大きく変化しました。弊社は急速なイノベーションのペースを維持し、お客様が次世代のデジタル トランスフォーメーションに備えるお手伝いをしてきました。弊社の AirWatch EMM を VMware Workspace ONE (セキュアなデジタル ワークスペースを提供するプラットフォーム) の基盤として使用すれば、EMM、統合エンドポイント管理 (UEM)、デジタル ワークスペース戦略など、お客様のニーズに合わせてデジタル トランスフォーメーションのどの段階からでも、定評があるこのソリューションをご利用いただけます。」

AirWatch は、EMM プラットフォームのリーダーとして、引き続きお客様やパートナー様のご支持をいただいています。昨年からの1年間で次のような機能強化を発表しており、AirWatch も引き続き高い評価をいただいています。

  • 統合エンドポイント管理(UEM) の提供:モバイルやデスクトップから IoTデバイス まで、組織内のすべてのエンドポイントを管理する包括的でユーザー中心のアプローチを実現する新しいソリューションです。
  • エンタープライズ セキュリティの拡張:モバイル、デスクトップ、耐衝撃デバイス、IoT デバイスで、Windows 10 を含むクロスプラットフォームをサポートし、IT およびエンドユーザーの使用感を改善、簡素化しています。
  • スマート グラスなどウェアラブルデバイス管理の追加。AirWatch UEM はウェアラブルデバイス向けに機能拡張された最初のソリューションです。既存のデスクトップやモバイル エンドポイントとともにスマート グラスなども管理できます。

2017年ガートナー マジック クアドラント レポートはここからダウンロードできます。 (英語)

出展: Gartner社、「Magic Quadrant for Enterprise Mobility Management Suites」、ロブ・スミス (Rob Smith) 他、2017 年 6 月 6 日。

 

ガートナーの免責条項

ガートナーは、ガートナー・リサーチの発行物に掲載された特定のベンダー、製品またはサービスを推奨するものではありません。また、最高のレーティング又はその他の評価を得たベンダーのみを選択するように助言するものではありません。ガートナー・リサーチの発行物は、ガートナー・リサーチの見解を表したものであり、事実を表現したものではありません。ガートナーは、明示または黙示を問わず、本リサーチの商品性や特定目的への適合性を含め、一切の保証を行うものではありません。

ちょっとした技術的な TIPs のご紹介 (2017.06)

みなさん、こんにちは。VMwareでパートナー様を担当させて頂いてますSEの北村です。

今回は、Horizon に関連した 2点について、End User Computing Blog に投稿したいと思います。

1. Horizon 環境で NVIDIA GRID で vGPU を利用する際にサポートされる Direct X について
2. Horizon で仮想デスクトップの画面サイズを固定する方法について

では、それぞれについて記載していきます。

 

1. Horizon 環境で NVIDIA GRID で vGPU を利用する際にサポートされる Direct X について

Horizon の仮想デスクトップでは、3D グラフィックス レンダリングを構成できますが、Virtual Shared Graphics Acceleration (vSGA)、Virtual Dedicated Graphics Acceleration (vDGA)、または、共有 GPU ハードウェア アクセラレーション (NVIDIA GRID vGPU) などを活用できます。

それらでサポートされる Direct X のバージョンには若干の違いがあります。vSGA や Soft 3D では DirectX 9 のみのサポートとなりますが、vGPU や vDGA は、NVIDIA社のドライバをゲストOS にインストールして使用しますので、DirectX のフル機能は使え、サポートされるバージョンは DirectX 9/10/11 です。

上記は NVIDIA 社のホームページから入手できる 「NVIDIA GRID VGPU DEPLOYMENT GUIDE FOR VMWARE HORIZON 6.1」 ドキュメントの P.10 の 「2.5 SUPPORTED GRAPHICS PROTOCOLS」 に 「Full DirectX 9/10/11」 との記載で確認頂けます。

上記、NVIDIA 社のドキュメントは以下のNVIDIA社のサイトで必要事項を入力して入手する事ができます。

GRID vGPU Deployment Guide

 

2. Horizon で仮想デスクトップの画面サイズを固定する方法について

Horizon で仮想デスクトップへ接続すると、通常、画面サイズはアクセスしたクライアントのモニター・サイズに合わせて自動的にサイズ調整が行われます。

これは、これで、Horizon の便利な機能の1つではあるのですが、使用する状況によっては 「画面サイズを固定したい」 と言う場合もあるかと思います。

Horizon では、少し限定的となりますが、画面転送プロトコルで PCoIP を使用して、Windows 版 Horizon Client からアクセスする場合、Horizon Client の GPO にある “Locked Guest Size” を設定する事で、仮想デスクトップの画面解像度を設定 (固定) できます。

詳細は以下のドキュメントの P.46 の 「表 3 4. VMware Horizon Client 構成テンプレート:スクリプトの定義 (続き)」 に記載されていますので、ご確認ください。

VMware Horizon Client for Windows の使用 Horizon Client 4.4

上記は、最新の Horizon Client の日本語ドキュメントですが、この GPO を利用するには、Horizon Client のバージョンは 3.1 以降である必要がありますので、ご注意ください。

参考情報:
以下は弊社のサイトで公開している情報ではないので、あくまでも参考情報となりますが、上記、GPO に関連した Registry について記載しています。

Group Policy Administrative Templates

 

今回、情報量としては少なめでしたが、End-User Computing Blog に久しぶりに投稿させて頂きました。お伝えした内容は、日々の活動の中で、広くお伝えした方がいいかなと思う点を今回もピックアップしてブログにさせて頂きました。

最後まで読んで頂きありがとうございます。今回は以上となります。またの機会をお楽しみに。

AirWatchの基礎 第16回〜Device Enrollment Program(DEP)の利用〜

AirWatchの基礎 16回〜Device Enrollment Program(DEP)の利用〜

皆さん こんにちは。

モバイルデバイスを企業で利用する際に、AirWatchを利用したEMMの必要性についてはこれまでのブログ記事でご理解されたのではないでしょうか?一旦、AirWatchへ登録してしまえば以降の作業は、AirWatch経由で行う事が出来て運用の簡素化を行う事が出来ますが、初期設定作業やキッティングについては、企業側でどのように行うか検討する必要があります。ここでいう初期設定作業やキッティングは、デバイスを梱包から空けて、初めて電源をいれた際の初期設定(言語設定/Wi-Fi接続/各種デバイス設定項目等)とその後、AirWatchまで登録(キッティング)を行い、利用出来る状態にする作業も含まれます。導入ベンダーに初期設定からキッティングをお願いする事が一般的かもしれませんが、自社ですべて実装する事を検討されている場合は、Apple Device Enrollment Program(DEP)を利用する事をご検討されてはいかがでしょうか?

このブログでは、AirWatchでApple社が提供の Apple Device Enrollment Program(DEP)を利用し、初期設定からキッティングの連携についてご紹介いたします。

Apple Device Enrollment Program(DEP)とは

iOSおよびmac OSデバイスを企業で利用する際に、Apple社から直接購入もしくはApple社正規販売店や通信事業者から購入する事で、デバイスを企業IDに紐づけ、管理された状態で出荷させる事が出来ます。これはApple Device Enrollment Program(DEP)と呼ばれており、ユーザは利用開始前にデバイスの直接操作を最小化し、自動的にデバイスをEMM(MDM)に登録させ、デバイスの管理を行う事が出来ます。AirWatchではDEPをサポートしており、ユーザの初期設定作業やキッティング作業工数を大幅に削減する事が出来ます。また、AirWatchのDEPに事前設定により、次の機能を有効化する事も出来ます。以下の設定は、DEPの利用でのみ提供出来る機能となります。

  • 監視対象 (Apple configuratorもしくはDEPで設定可能)
  • MDMプロファイルロック(DEPでのみ設定可能)
  • OS更新(監視対象が有効でかつDEPでのみ設定可能)

DEPの詳細は、Apple社サイトを参照ください。なお、以下内容は、対象をiOSのDEPについて言及して記載致します。

Apple Device Enrollment Program(DEP)AirWatchの連携

まず、Apple DEPサイト(http://deploy.apple.com/)で企業登録を行い、Customer IDの取得する必要があります。その際、企業に関連するメールアドレスでプログラムエージェントアカウント(企業の代表アカウント)を作成します。このメールアドレスは、DEPへサインインする時のApple IDとして利用されます。企業登録の詳細は、Apple DEP Guideを参照ください。

DEPサイトへのサインイン

登録したApple IDでサインイン

1

本人確認にために確認コードを発行(2要素認証)

2

スマートフォンにSMSで配信された確認コードを入力

3

ログイン後、Device Enrollment Programのサイトへ

4

AirWatchDEPの統合

統合とは、AirWatchの組織グループとDEPを公開キーとトークンの受け渡しを行い、関連付けを行う事です。統合が終了した後にDEPデバイスを登録すると、対象の組織グループのデバイス>ライフサイクル>加入状態に、登録デバイスがリストされます。これにより、登録されたデバイスが起動した際に、予め設定された内容を元に、自動的にAirWatchの指定の組織グループへ加入処理が行われます。統合は、管理を簡素化させる為に顧客組織グループに一つにする事を推奨しています。

重要!! 統合作業は、AirWatchコンソールとDEPサイトの両方で作業を行います。AirWatchコンソールでDEPウィザードの設定を開始したら、ブラウザのセッションを開いたまま、別タブでそれぞれ作業を進める必要があります。1つのブラウザのセッションで構成全体を終了させないと、統合の保存をさせる事が出来ません。

  1. [AirWatchコンソール]:統合する組織グループへ移動
  2. [AirWatchコンソール]:グループと設定>すべての設定>デバイスとユーザ>Apple>デバイス登録プログラムより、構成を選択しDEPウィザードを開始5
  3. [AirWatchコンソール]:公開キーのダウンロードから、キーのダウンロード ファイル名 MDM_DEP_PublicKey-<組織グループ名>.pem6
  1. [Apple DEPサイト]:サーバ管理からMDMサーバ追加を選択7
  2. [Apple DEPサイト]: MDMサーバ名を(任意)に入力し、次へ8
  3. [Apple DEPサイト]:ファイルを選択から公開キーのアップロードし、次へ9
  4. [Apple DEPサイト]:サーバトークンをクリックし、ダウンロード   ファイル名 <MDMサーバ名> _Token_<DATE>_smime.p7m10
  1. [AirWatchコンソール]:アプロードを選択して、サーバトークンをアップロードし、次へ11
  2. [AirWatchコンソール]: 認証を「オン」にし、デバイス所有形態や組織グループを設定し、次へ12
  3. [AirWatchコンソール]: プロファイル名、部門、御社内のサポート担当者連絡先に値を入力

加入用プロファイルを適宜設定

冒頭に記載した、監視対象やMDMプロファイルロックはこの設定を有効にする事で設定されます。

13

  1. [AirWatchコンソール]:iOSデバイスの初期セットアップ時にユーザに手動で設定させる項目を選択14
  2. [AirWatchコンソール]: 設定内容を確認して保存15
  3. [AirWatchコンソール]:統合がされた事を確認16

DEPデバイスをサーバ構成に登録

DEPの統合を行っても、どのデバイスがどのAirWatchの組織グループへ参加するか指定する必要があります。その操作の為に、Apple DEPサイトのデバイス管理から、購入済みのDEPデバイスをサーバ構成に割り当てを行う必要があります。割り当てにはシリアル番号の他に注文番号やcsvで作成されたファイルのアップロードも可能となります。

17

AirWatchコンソールから割り当てされたデバイスの同期

対象の組織グループのデバイス>ライフサイクル>加入状態を開き、追加よりデバイスの同期を実行すると、追加したデバイスがリストに追加されます。

加入状態からデバイスの同期

18

DEPと同期

19

同期後のデバイスリスト

20

加入前準備

DEPデバイスを登録した組織グループにユーザ・プロファイルおよびアプリ等の設定を行ってください。DEP環境だからといって特別な設定は必要ありません。

加入処理

デバイスの電源を初めて入れ、次の手順となります。

21

⑥までは、通常のiOSのセットアップ作業となり、⑦で統合されたAirWatchの組織グループへリダイレクトされます。

22

⑧でAirWatchの認証が行えれば、加入処理が行われ、以降は、DEPプロファイルで定義したiOSのセットアップ(例 パスコード/Touch ID/Siriなど)が続きます。iOSのセットアップが終了すると、AirWatchで設定したプロファイルおよびアプリケーションが配信され作業は終了となります。

運用でのヒント

  1. 追加でデバイスを購入した場合は、既設のサーバ構成にデバイスを登録し同期を取れば、加入状態にリストされます。但し、DEPデバイスがリストされた組織グループに、DEPデバイス以外のデバイスが加入しようとすると、加入が拒否されます。これは、この組織グループがホワイトリストとして登録されているデバイスとなる為、登録されていないデバイスが加入拒否される事は、正しい動作となります。リストされていないデバイスをDEPの組織グループへ加入させたい場合、手動でホワイトリストを作成しデバイスの追加が必要になります。
  2. 登録されたデバイスを別の組織グループへ加入させたい場合は、DEPのプロファイルの追加で別な組織グループを指定し、そのプロファイルにデバイスを移動(割り当て)させる事で実現出来ます。

プロファイルの追加

23

プロファイルの構成

29

*設定項目は、統合と同様ですので割愛させて頂きます。

なお、AirWatchの基礎 第3回〜AirWatchへの初めてのログイン〜で投稿させて頂いた組織グループの階層の権限で、下部には移動(割り当て)できますが同一階層や上部には移動(割り当て)できませんのでご注意ください。また、加入ユーザも同様に、上部で登録されているデバイスに下部で登録されてユーザでは、加入出来ません。

下部の組織グループでのプロファイルを作成した後、そのプロファイルへデバイスの移動(割り当て)を行いたい場合は、右のアイコンの割り当ての編集から行う事が出来ます。

25

“このバッチタイプ用のテンプレートをダウンロードする”をクリックすると、csvファイルがダウンロードされますのでファイルを編集し、ファイルをアップロードください。csvファイルには、現在リストされているDEPデバイスのシリアル番号がリストされていますので、移動したいデバイスのシリアル番号のみ残し保存し、ファイルの選択からcsvファイルをアップロードしてください。

30

移動(割り当て)を行うと、以下図のように割り当て台数が表示されます。

31

まとめ

モバイルを企業で活用する上で、運用の簡素化は必須となります。DEPを利用する事で、デバイスの初期設定およびキッティング作業が最小化される事が出来ますので、AirWatchをご利用される場合、選択肢の一つとしてご検討してはいかがでしょうか?

参考資料

本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。 myAirwatchへこちら

 

ちょっとした技術的な TIPs のご紹介 (2017.03)

みなさん、こんにちは。VMwareでパートナー様を担当させて頂いてますSEの北村です。

約1か月ぶりの投稿になります。前回は Cloud Infrastructure Blog にちょっとした技術的な TIPs を投稿しましたが、今回は End-User Computing Blog に以下のTIPs を投稿したいと思います。

 

1. Horizon がサポートする Active Directory Domain Services (AD DS) ドメイン機能レベルについて
2. Horizonのライセンス・カウント

 

では、それぞれについて記載していきます。

 

1. Horizon がサポートする Active Directory Domain Services (AD DS) ドメイン機能レベルについて
前回のブログで、vSphere (vCenter Server と ESXi) がサポート対象としている Active Directory の Domain Function Level について記載している KB が更新され vSphere 6.5 の情報が追記された事をお伝えしましたが、Horizon でも同様の情報を製品ドキュメント内 (Active Directory の準備) で公開しています。

以下が、Horizon がサポートするActive Directory Domain Services (AD DS) ドメイン機能レベルになりますが、以下、ドキュメントからの抜粋になります。

=== ドキュメントからの抜粋 ===
■ Windows Server 2003
■ Windows Server 2008
■ Windows Server 2008 R2
■ Windows Server 2012
■ Windows Server 2012 R2
=== ドキュメントからの抜粋 ===

マイクロソフトさんのサイト (How to raise Active Directory domain and forest functional levels) を見ると、上記以外にも  Windows Server 2003 interim (Windows Server 2003 中間) と言ったドメイン機能レベルもありますが、Horizon でサポート対象となるのは、前述のドキュメントからの抜粋の情報の通りとなります

この情報は常に意識しておく必要があるという類の物ではありませんが、Horizon のバージョンアップや新規インストールの際には必要な情報の1つだと思いますので、製品ドキュメントに記載がある事を覚えておいて頂けると幸いです。

 

2. Horizonのライセンス・カウント
Horizon のライセンスには、CCU (Concurrent User) と Named User (指定ユーザー) のライセンス使用モデルが用意されいます。CCU は同時接続ユーザー、Named User は指定ユーザーのライセンス形態になりますが、それぞれでどのようにライセンスのカウントがされているのかについて説明します。

      Named User (指定ユーザー) は;
  • Horizon 環境にアクセスした一意のユーザーの数をカウント
  • 複数の単一ユーザー デスクトップ、RDS デスクトップ、および、リモート アプリケーションを実行している場合、そのユーザーは 1 回だけカウント
  • Horizon Administrator (Horizon 管理UI) の [View構成] → [製品のライセンスと使用状況] の [現在] に View を最初にデプロイ/構成した以降のユーザー数、または、 [指定ユーザー数] を最後にリセットした以降のユーザー数を表示 ([最高] は、Named User には該当しない)

ViewAdministrator-NU

      CCU (同時接続ユーザー) は;

    • セッションあたりの単一ユーザー デスクトップ接続数をカウント
    • 複数の単一ユーザー デスクトップを実行している場合、接続された各デスクトップ セッションを個別にカウント
    • RDS デスクトップ、および、アプリケーションの接続数は、ユーザーごとにカウント
    • 複数の RDS デスクトップ セッション、および、アプリケーションを実行している場合、そのユーザーは 1 回だけカウント
    • 単一ユーザー デスクトップと、追加で RDS デスクトップ、および、アプリケーションを実行している場合、そのユーザーは 1 回だけカウント
    • Horizon Administrator (Horizon 管理UI) の [View構成] → [製品のライセンスと使用状況] の [最大] には、View を最初にデプロイ/構成した以降、または、 [最大数] を最後にリセットした以降の同時デスクトップ セッション、ならびに RDS デスクトップ、および、アプリケーション ユーザーの最大数を表示

ViewAdministrator-CCU

上記は製品マニュアル (製品ライセンスの使用状況の監視) にも記載がありますので、時間がある時に参照頂けると幸いです。

 

どうでしょうか。ライセンス使用モデルが違う事で、ライセンスのカウントに違いがある事がご理解頂けたと思います。また、CCUとNamed User ライセンスは同一環境での混在利用できませんので、ご注意ください。

最後まで読んで頂きありがとうございます。今回は以上となります。またの機会をお楽しみに。

AirWatchの基礎 第15回〜コンテンツの管理〜

AirWatchの基礎 15回〜コンテンツの管理〜

皆さん こんにちは。

AirWatchでMDM(デバイス)/MAM(アプリ)/MEM(Eメール)の管理を行う事で、管理者にとってはよりセキュアで安全な管理が行え、従業員の方々は利便性が向上し満足度もあがってきているのではないでしょうか?そんな中、より利便性を向上させる為には社内のリソースへのアクセスも不可欠となります。ここでいう社内リソースとは、業務で必要なコンテンツやファイルになります。通常社内リソースへのアクセスは、外出先から会社支給PCを起動し、VPN接続を行って社内のファイルサーバへアクセスする流れだと思われます。但し、単に確認の為に、いちいちPCを開いて作業をするのは面倒な為、モバイルから簡単にファイル閲覧をしたいとの要望も多いのではないでしょうか?

AirWatchでは、社内リソースへモバイルからセキュアにアクセスする事が出来るコンテンツ管理 (MCM=Mobile Content Management)の機能もご提供させて頂いております。

MCMとは

MCMとは、業務に必要な社内リソース(コンテンツやファイル)を安全にかつ簡単に利用させることです。エンドユーザは許可された範囲で自由にコンテンツが利用でき、管理者はセキュリティレベルに合わせてポリシーを適応して管理出来ることになります。

01

AirWatchでのMCM構成

AirWatchでは、以下は3つの領域を利用する事が出来ます。

1, AirWatchコンテンツとして標準で5GBの領域を利用する事が出来ます。このAirWatchコンテンツは全社共通でシェアするようなコンテンツの配置が可能です。但し、この領域は、企業で利用する社内アプリケーションの配置領域や個人用コンテンツ領域としても利用されます。

2, 社内のファイルサーバやSharePointをContent Gateway経由でアクセスさせる事が可能です。

3, サードパーティのクラウドストレージもAirWatch経由でセキュアにアクセスさせる事が可能です。

Content Gatewayの要件や設定およびクラウドストレージの接続方法は、myAirWatchよりMobile Content Management Guide を参照ください。

02

また、それぞれの利用用途や設定項目等は次の表となります。

03

コンテンツへのアクセス方法

様々なリポジトリ(保存先)にコンテンツが保存されていますが、デバイスの種類や利用用途にあわせ、4つのアクセス方法を準備しております。

  • AirWatch Content Locker (iOS, Android, Windows)
  • AirWatch Content Locker Sync (Windows, Mac)
  • AirWatch Content Locker Outlook アドイン (Windows)
  • セルフサービスポータル

AirWatch Content Lockerアプリからの接続

ホーム画面では、「必須」や「特集」と分割して、コンテンツがリストされます。また、接続されているリポジトリがリストされ、ドリルダウンで対象のコンテンツにアクセスする事が出来ます。

04

コンテンツの操作

コンテンツは、管理者または利用者によってそれぞれのリポジトリにアップロードしますが、その際にアクセス方法や展開方法などを設定する事が出来ます。主な操作方法をご紹介します。

  • アクセスコントロール
    • オフライン状態での閲覧を許可: ネットワーク接続されていなくてもコンテンツ閲覧が可能、コンテンツはデバイスにダウンロードされる
    • オンラインの閲覧のみを許可:ネットワーク接続されている時のみコンテンツ閲覧が可能、コンテンツはデバイスにダウンロードされておらずストリーミングで閲覧

05

  • 展開方法:アクセスコントロールで「オフライン状態での閲覧」を設定している場合
    • 自動:Content Lockerを起動したタイミングで、自動的にデバイスにダウンロードがされる
    • オンデマンド:利用者がオンデマンドでダウンロードを行う

06

  • その他の操作
    • コンテンツのプッシュ配信:割り当てされたコンテンツを管理者がプッシュで配信する事が可能

07

  • 必須ドキュメント:操作マニュアル等で必須ドキュメントとすることでエンドユーザーにドキュメントを読むことを強制することが可能

08

  • コンテンツのバージョン管理:コンテンツのバージョン管理が可能

09

コンテンツのセキュリティ

コンテンツ単位で、様々なセキュリティ設定を行う事が出来ます。Content Lockerでは、標準で他のアプリケーションへの開封許可を禁止しております。この事で、データ漏洩を未然に防ぐことが出来るようになっています。セキュリティ設定は、次の通りです。

10

但し、コンテンツの取扱制限を厳密に行っても、他のデバイスから写真撮影される事の制限をかけることは出来ません。Content Lockerでは、電子透かしを入れる事で情報漏えいの追跡に役立てるることが出来ます。

 11

コンテンツの活用

前項では、コンテンツに対してのセキュリティについてご紹介いたしましたが、セキュリティを担保できることで様々な利用シーンでコンテンツを安全かつ便利に利用することが出来ます。利用者は複数のデバイスから常に最新のコンテンツにアクセスしたり、メール添付を許可させる事でコンテンツを社内外の方にメール送信する事も出来ます。また、ダウンロードリンクを作成してメールにアドレスを貼り付けでファイルのシェアを行う事もできます。

12

レポーティング

レポートテンプレートを使用して、コンテンツの利用状態や順守状態等をレポート出来ます。また、スケジュール設定をする事で、自動実行で管理者にレポートを通知する事も可能です。レポートは、CSVファイルで出力されます。

13

レポートの例

14

まとめ

社内リソースへセキュアにアクセス出来る事で、エンドユーザーの利便性が大幅に向上して様々な利用方法が出来る事をご理解頂けたのではないでしょうか?モバイルの業務での活用は、今後必須となってくる事が予想される中、利便性とセキュアな管理と相反した事を両立させる為には、AirWatch の提供するEMMソリューション全体を検討する必要があります。

本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。 myAirwatchへこちら

 

AirWatchの基礎 第14回〜Eメールへのアクセスと管理〜

AirWatchの基礎 14回〜Eメールへのアクセスと管理〜

皆さん こんにちは。

モバイルの活用において、必ず検討される要件としてEメールアクセスがあります。ご存知の通りEメールは、社内外のコミュニケーションツールとしては重要な位置づけとなっておりますが、情報漏えいやセキュリティ等で考慮すべきポイントが多数あり、どの企業でも管理については苦労されているのではないでしょうか?その為、基本会社支給PCからのアクセスのみ許可しており、モバイルや個人所有PCからアクセスを禁止している企業も少なくありません。業務効率の向上や利便性から、モバイルからのアクセスの許可を従業員の皆さんから強く要望があがってきている中、どのようにセキュリティにアクセスさせるかを考える必要があります。

AirWatchでは、デバイス(MDM)やアプリケーション(MAM)の管理だけでなく、Eメールの管理(MEM=Mobile E-Mail Management)も提供させて頂いております。

まず、モバイル環境でのEメールにアクセス方法について考えてみましょう。アクセス方法は、WEBブラウザとアプリケーションの2種類がありますが、モバイルでのWEBブラウザアクセスは、管理や制御およびUIの利便性が低い為、本内容からは除外させて頂きます。また、3rd Partyが提供しているメールアプリケーションもAirWatchから直接コントロールできない為、同様に除外させて頂きます。

AirWatchが提供するEメールクライアントの種類

  • ネイティブメールクライアント
    • OS標準搭載のメールクライアント
    • Exchange ActiveSyncプロトコルに対応
    • デバイスレベルの DLP (データ漏洩防止)機能
    • 追加コストなし、サードパーティ製アプリ不要
    • デバイスプロファイルからの配布の為、企業情報ワイプで削除が可能
  • VMware Boxer
    • VMwareが提供するメールクライアント
    • Exchange ActiveSyncプロトコルに対応
    • 直感的なネイティブクライアント同様のエクスペリエンス
    • デバイスレベルの DLP (データ漏洩防止)機能
    • メール本文のコピーアンドペーストをはじめとした、より高度なアプリレベルでのDLP(データ漏洩防止)機能
      • メール本文のコピー/貼り付け制御
      • ハイパーリンクをAirWatch Browser(セキュアプラウザ)で開くよう強制
      • メールの添付ファイルをContent Locker(セキュアファイラ・ビューワ)で開くよう強制
    • AirWatchによるアプリ配信の為、企業情報ワイプで削除が可能
    • アプリ起動時にパスコードでの起動制限が可能

メール設定と配布ネイティブクライアント(図はiOSの場合)

  • Exchange Active SyncもしくはPOP/IMAPでの設定配布をデバイスプロファイルから可能
  • {EmailDomain}, {EmailUserName}等のルックアップ値を利用が可能

01

注意 Androidの場合、製造元および機種によって設定や制限出来る事が異なる事があります。

メール設定と配布-VMware Boxer

VMware Boxer は、AppConfig Community対応アプリの為、Eメールの設定はデバイスプロファイルを使用せず、AirWatchからアプリケーション配布時に構成する事が出来ます。

  • {EmailDomain}, {EmailUserName}等のルックアップ値を利用が可能
  • Eメール/カレンダーの同期期間の指定
  • 認証タイプ:Eメールアクセスの際の、認証方法を指定
    • ベーシック(ユーザー名・パスワードによる認証)
    • 証明書
    • 両方(ベーシックと証明書の両方)

02

  • パスコード:VMware Boxer起動時にパスコードやTouch ID(iOSの場合)の指定が可能
  • コピー/貼り付け:メール本文からのコピー/貼り付けの制御が可能
  • ハイパーリンク:本文内のハイパーリンクをAirWatch Browserでのみアクセスを強制
  • 共有:メールの添付ファイルの扱いの制御
    • プレビューのみ:他のアプリではオープンできない
    • ホワイトリスト:指定したアプリのみオープンできる
    • 制限なし:すべてのアプリでオープンできる
  • 個人アカウント/個人連絡先:ユーザーによる個人アカウントや連絡際の追加の制御

03

以上の事から、VMware Boxerの利用が、よりセキュアにアクセスする事が出来ることがお分かり頂いたのではないでしょうか?

さて、これまではデバイスもしくはアプリレベルといったエンドポイントでのDLP (データ漏洩防止)を見てきましたが、AirWatchではさらに一歩踏み込んだ制御でセキュリティを確保するためのアクセスコントロールを行う事が出来ます。

Eメールのアクセスコントロール

アクセスコントロールは、エンドポイント以外にメールサーバ側にチェックポイントを持つことでよりセキュアにアクセスさせる事が出来ます。アクセスコントロールは、以下2つの方法を準備しております。

04

プロキシモデル

プロキシモデルは、SEG(Secure Email Gateway)を別途構成し、モバイルに送られるすべてのE メールトラフィックについてプロキシとして機能します。SEGは、AirWatch コンソールで定義された設定に基づき、管理するモバイルのそれぞれに対して許可または禁止を制御します。

直接統合

直接統合は、Microsoft Exchange 2010、2013、2016、またはOffice 365向けにはPowerShellで連携、Google Gmail向けにはAirWatchサーバが直接接続し制御します。いずれも、AirWatch コンソールで定義された設定に基づき、管理するモバイルのそれぞれに対して許可または禁止を制御し、別途プロキシサーバを構成する必要はございません。

それぞれのモデルの主な機能は以下の表を参照ください。

05

Eメール順守ポリシー

アクセスコントロールはEメール順守ポリシーを使用し適応する事ができ、セキュアで順守状態にあるデバイスのみに貴社のメールインフラへのアクセスを許可します。

E メール順守ポリシーを使用すると、非順守状態のデバイス、暗号化されていないデバイス、非アクティブなデバイス、または管理外のデバイスに対するE メールアクセスを制限することによって、セキュリティを強化できます。これらのポリシーを使用することで、必要かつ承認済みのデバイスのみにE メールアクセスを提供できるようになります。E メールポリシーでは、デバイスモデルおよびOS に基づいてE メールアクセスを制限することもできます。

07

注意 モバイルのOSの種類等で、動作が違う可能性がありますので、MEMの詳細な構成や設定はMy AirWatchのVMware AirWatch Mobile Email Management Guideを参照ください。

まとめ

冒頭に記載した通り、Eメールアクセスはモバイル活用において重要な位置づけとなります。AirWatchでは、メールクライアントでのエンドポイントでセキュリティを向上させる仕組みを持っているだけでなく、メールサーバ側と連携する事で、順守されたデバイスや状態でのみアクセス許可を与えるなど、高度なセキュリティを提供する事も出来ます。企業のセキュリティポリシーと照らし合わせながら、適切な手法をご選択ください。

本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。 myAirwatchへこちら

AirWatchの基礎 第13回〜AirWatchのユーザ管理〜

AirWatchの基礎 13回〜AirWatchのユーザ管理〜

皆さん こんにちは。

これまで、AirWatchの基本的な利用方法や設定をお知らせしてきましたが、今回はAirWatchのユーザ管理についてご紹介させて頂きます。すでに簡単なユーザ管理は、”AirWatchの基礎 第3回〜AirWatchへの初めてのログイン〜”の中でご紹介しております。

AirWatchでのユーザ管理は、以下2つのパターン

  • ベーシックユーザ:AirWatchに手動作成されるユーザ
  • ディレクトリユーザ:Active Directoryと連携してAirWatchに自動作成・管理されるユーザ

ベーシックユーザの特徴

  • メリット
    • シンプルな管理
    • CSVファイルでまとめてインポートが可能
  • デメリット
    • ユーザやパスワード情報は、AirWatchコンソールで持つ為、管理者の運用工数が高い
    • AirWatchコンソール側で情報を持つことで、セキュリティレベルが低い

ディレクトリユーザ

  • メリット
    • 一般企業が利用されている、Active Directory(AD)とユーザ管理統合が可能となり、ADが持つ階層(フォレスト、OU等)とAirWatchが持つ組織グループ構造をあわせる事で、ユーザ管理が容易になる
    • パスワード情報はAirWatchコンソール側では管理せずにあくまでもAD管理となる為、セキュリティレベルが高い
    • AD統合だけでなく企業でご利用の認証局(例 Active Directory証明書サービス)と連携が可能となり、社内へのEメール、WiFi、VPNなどの社内アクセスをセキュアする事が可能
  • デメリット
    • 組織グループ構造やADのフォレストやOU構造を理解して設計する必要がある
    • AD連携には、別途AirWatch Cloud Connector(ACC)の構築が必要となる

ベーシックユーザのバッチインポート

ベーシックユーザは、手動で登録が可能ですが、バッチインポートで複数ユーザをまとめて登録する事が出来ます。インポートには、まずCSVファイルでユーザリストを作成する必要があります。CSVファイルに入手方法は、アカウント > ユーザ > リスト表示 > 追加 > バッチインポートから“!”から行えます。

01

“!”をクリックすると、別途ブラウザが起動し、2つのパターンでファイルの入手が可能です。

02

  • シンプルなテンプレート:ユーザ情報入力が最小
  • 高度なテンプレート:ユーザ情報だけでなく、様々な情報の入力が可能

注意:* がついているカラムは必須項目となります。

作成した、CSVファイルをバッチファイルとしてアップロードして、インポートする事が出来ます。

ディレクトリユーザの構成

ディレクトリユーザを利用する場合、AirWatch Cloud Connector(ACC)を構成する必要があります。

ACCは、社内ネットワークに配置し、AirWatchサーバへアウトバウンド HTTPS:443の通信のみできれば問題ありません。

03

  • ACCの最小システム要件

CPUコア:2個以上

メモリ: 4GB

ストレージ:50GB

OS: Windows Server 2008 R2 / Windows Server 2012 / Windows Server 2012 R2(現在英語OSのみサポート)

*詳細はMy AirWatchのAirWatch Cloud Connector (ACC) Guide for SaaS Customersを参照ください。

  • ACCのインストール

以下作業は、ACCをインストールするWindows端末からAirWatchコンソールへブラウザアクセスして行ってください。

1, コンソールからCloud Connector設定画面を開く

04

2, 高度な設定より

05

3, ACCのダウンロード

06

*パスワードは6文字以上で任意で入力ください。

4, ダウンロード後、Windowsサーバへインストール

07

08

09

5, ディレクトリサービスの設定-サーバ

10

6, ディレクトリサービスの設定-ユーザ

11

7, ユーザの追加

アカウント > ユーザ > リスト表示 > ユーザ > ユーザの追加から、ディレクトリを指定する事でディレクトリユーザの追加が可能となります。

12

まとめ

適切なユーザ管理を行う事で、AirWatch管理を簡素化させる事が出来ます。特に大規模環境においては、ディレクトリユーザを利用する事で、部門異動などあった場合はAD側でユーザ設定変更すればAirWatch側には自動的に反映され便利です。また、社内の様々なりソース(例 Eメールやファイルサーバやアプリケーション等)の管理の多くは、ADと連携されているケースが多い為、今後のモバイル活用の拡充を行う際にAD連携を行っておく事で、SSO(シングルサインオン)でアクセスを行う事も出来ます。AirWatchをご利用される際には、是非ディレクトリユーザの選択をご検討ください。

本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。 myAirwatchへこちら

 

AirWatchの基礎 第12回〜アプリケーションの割り当てと配信 Android版〜

AirWatchの基礎 12回〜アプリケーションの割り当てと配信 Android版〜

皆さん こんにちは。

前回は、iOSでのアプリケーション管理についてご紹介しましたが、今回はAndroidのアプリケーション管理についてご紹介します。ご存知の通り、iOS/Androidではアプリケーション管理の仕組みは異なり、またAndroidの提供ベンダーにより動作が違う事があります。今回は、一般的なAndroidでのアプリケーション管理についてご紹介します。

AndroidもiOS同様に、アプリケーションカタログ(App Catalog)を構成し、組織グループやユーザグループ等のグループに対して割り当てを行い、アプリケーション配信をする事が出来ます。

01

一般的なAndroidでのアプリケーション管理は、アプリケーションID(識別子)を事前に調べて登録して管理することになりますが、AirWatchではGoogle Playに公開されているアプリケーションの検索をコンソール内から行う事が出来るため、事前に準備する必要がありません。これは、iOSも同様で便利な機能です。

例えば、VMware Boxer(メールクライアント)のアプリケーションIDは、「com.boxer.email」となりますが、このIDを調べるには、Google Playで該当アプリを参照し、そのURLから確認することが出来ます。 VMware Boxer  https://play.google.com/store/apps/details?id=com.boxer.email&hl=ja すなわち、Google Play URLにアプリケーションIDが含まれている事になります。

では、実際にAndroidのアプリケーション管理を見てみましょう。

AndroidでのAirWatch から展開できるアプリケーションの種類

  • 社内アプリケーション(企業がAndroid向けに開発したアプリケーション)

apkの拡張子ファイルを、AirWatchコンソールへインポートし、配信する事が出来ます。

  • パブリックアプリケーション(Google Playに登録されているアプリケーション)
  • ウェブアプリケーション(特定の URLへのショートカット)

*iOSの場合の購入済みアプリケーションは、Androidでは対象外となります。

アプリケーション管理の重要な概念

  • アプリケーションの配信の動作

Androidでパブリックアプリケーションをカタログに登録し配信する場合、配信モードや加入状態により動作が違い、以下4つのパターンに分類されます。iOSとの大きな違いは、アプリケーションの配信を行っても、メッセージ通知は行いますが、ポップアップされませんので注意が必要です。

1, 加入状態:加入時 配信モード:自動

加入プロセスの途中に対象アプリケーションがリストされ、利用者が手動でインストールボタンを押すとGoogle Playに移動してインストールを実行する事が出来ます。

利用者がスキップを行う事もでき、加入処理終了後に、Android OSのメッセージで“AirWatch 新しいインストール”と通知され、App Catalogでは処理中状態となっており、クリックでインストールを手動で行う必要があります。

2, 加入状態:加入後 配信モード:自動

Android OSのメッセージで“AirWatch 新しいインストール”と通知され、App Catalogでは処理中状態となっており、クリックでインストールを手動で行う必要があります。

02

3, 加入状態:加入時 配信モード:オンデマンド

加入プロセスの途中ではリストされない為、加入処理終了後に、利用者が手動でApp Catalogにアクセスし、”インストール”をクリックする必要があります。

4, 加入状態:加入後 配信モード:オンデマンド

App Catalogに追加はされますが、Android OSのメッセージ通知はありません。利用者が手動でApp Catalogにアクセスし、”インストール”をクリックする必要があります。

03

  • サイレントインストール

Androidで、アプリケーションをサイレントインストールしたい場合、Google社が提供するAndroid for Workの機能を利用する必要があります。Android for Workは、会社支給のデバイス全体を管理するWork Managedと個人所有のデバイスをBYOD(Bring your own device)として、デバイスの一部を会社領域として利用するWork Profileの2つのモードがあります。このAndroid for Workを利用する事で、Google Playから社内アプリケーション*1およびパブリックアプリケーションをサイレントインストールする事が出来ます。Android for Workの詳細は、Google社サイトでご確認ください。

または、社内アプリケーションについては、AirWatchの基礎 第6回〜Androidデバイス利用の為の初期設定とデバイス加入〜のコラムで紹介した、サービスアプリケーションに対応したデバイスであれば、可能となります。

*1 Google Play for workに社内アプリケーションを登録し、利用管理者が認証する事で、パブリックアプリケーションと同様にアプリケーションのサイレントインストールが可能となります。詳細は、myAirwatchサイトにありますVMware AirWatch Integration with Android for Workドキュメントを参照ください。

パブリックアプリケーションをApp Catalogへの登録

アプリケーションの登録には、アプリとブック>アプリケーション>リスト表示>パブリックから、”アプリケーションの追加”で行う事が出来ます。

プラットフォーム:Android

ソース:アプリストアを検索

名前:検索キーワード

として、次へを選択すると、Google Playから候補のアプリケーションがリストされます。

今回のケースの場合は、「VMware Browser」を”選択”します。

04

”アプリケーションを追加” の ”詳細”から、必要項目を変更

05

“割り当て”の項目より、割り当てするグループの指定

06

アプリ配信方法の“自動”または“オンデマンド”の選択

07

必要に応じて、データ保護防止機能を有効にする事が出来ます。

08

“保存して公開”を選択して、アプリケーションを配信します。

まとめ

Androidのアプリケーション管理および動作は、加入状態や管理モード等によって違いますので、利用用途や目的にあった選択が必要となります。また、提供ベンダーによって動作が違う場合がありますので、まずはフリートライアルで採用予定のデバイスで事前に検証頂く事をお勧めいたします。

本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。 myAirwatchへこちら

 

AirWatchの基礎 第11回〜アプリケーションの割り当てと配信 iOS版〜

AirWatchの基礎 第11回〜アプリケーションの割り当てと配信  iOS版〜

皆さん こんにちは。

これまでは、MDM管理についてご説明していましたが、今回からは管理されたデバイスからどのようにしてアプリケーションを管理できるかご説明いたします。

AirWatchではアプリカタログを配備することにより、モバイルデバイスのキッティング時に業務で利用するアプリケーションの配信を自動化し、ユーザーはインストールの手間が減り、管理者はインストールに対する問い合わせを削減する事ができます。

アプリケーション管理で実装されている機能は、iOS/Androidで動作が異なります。今回は、iOSに関してご説明します。Androidをご検討中の方は次回のブログをご覧頂けますでしょうか。

AirWatchのアプリケーション管理は、以下の管理者コンソールにてアプリケーションをカタログに登録し、アプリケーションを管理します。

01a

登録できるアプリケーションは、App Store や Google Playストアに登録されているものや、独自に自社で開発されたアプリケーションも管理可能です。

カタログにiOSのアプリケーションを登録すると、ユーザーは自身が必要としているアプリケーションを以下にあるようなAirWatchのアプリケーションカタログからインストールする事ができます。

02

また、ユーザーがインストールできるアプリケーションを制限したい場合は、iOSのApp Storeを使用禁止にして、AirWatchのアプリケーションカタログからインストールできるようにするといった設定も可能です。

 

03a

 

それではAirWatchのアプリケーション管理の詳細について、以下3つをご説明します。

  • AirWatch から展開できるアプリケーションの種類
  • アプリケーション管理の重要な概念
  • アプリケーション配信の手順概要

 

  1. AirWatch から展開できるアプリケーションの種類

AirWatchでは、以下のアプリケーションを管理することができます。

 

  • 社内アプリケーション

公式アプリケーションストアに載せることを必要としない自社組織によって開発したアプリケーション

04a

 

  • パブリックアプリケーション

デバイスのパブリックストアで公開されているアプリケーション

05a

※Apple App Store、Microsoftストア、Google Playストアとの統合

 

  • 購入済みアプリケーション

Apple 社の Volume Purchase Program(VPP)を使用して購入したアプリケーション

06a

※iOSなどへ、パブリックアプリ、iBook、カスタムB2Bアプリをまとめて購入するためのApple Volume Purchase Program (VPP) との統合

 

  • ウェブアプリケーション

特定の URLへのショートカット

07a

 

  1. アプリケーション管理の重要な概念
  • 管理アプリと管理外アプリ

AirWatchはアプリケーションを管理対象と管理対象外にカテゴリ分けします。

管理外アプリに対しては実行できない特定のタスクを、管理アプリに対しては実行することができます。

08a

  • 管理アプリ

AirWatch から配布されたアプリ(パブリックアプリ、社内アプリ、購入済みアプリを含む)

AirWatch 管理者がオンデマンドで削除が可能

  • 管理外アプリ

ユーザーが手動で AirWatch を経由せずにインストールしたアプリ

AirWatch 管理者は削除が不可能

  • 管理アプリと管理外アプリ間の制御

これら管理アプリの制御により業務アプリから個人アプリへのデータの受け渡しを制限することができます。

09

アプリケーションの詳細なセキュリティポリシー制御にはAirWatch SDKまたはAirWatch アプリラッピング、AppConfigなどの対応アプリケーションが必要です。詳細はVMware AirWatch Mobile Application Management (MAM) ガイドをご参照下さい。

 

  • Apple Volume Purchase Program (以下VPP)

VPP によりアプリの一括購入、配布、管理が可能になります。

AirWatchとVPPを連携させ、Apple IDなしでアプリのインストールが可能になります。

iOSでデバイスベースのVPPとしてアプリを配布する場合には、インストール確認のポップアップは上がりますがApple IDを要求されません。

10

※VPPの詳細はApple社の「ビジネス向けのApple Program。」をご参照下さい。

http://www.apple.com/jp/business/programs/

 

  • プッシュモード(アプリの展開方式)

アプリを展開する方法はプッシュモードと呼ばれ、以下2種類を使い分けることができます。

社内で必ず使用するアプリは自動配信するように構成でき、ユーザーごとに任意で必要なアプリはオンデマンドを選択します。

  • 自動:アプリは自動でインストールされます(iOSのみ)。

デフォルトでは「Appのインストール」ダイヤログが表示され、Apple IDのパスワードを入力するとインストールが開始されます。

  • オンデマンド:ユーザーはデバイスのアプリカタログを開き、入手したいアプリを好みに応じてインストールします。

 

  • アプリのサイレントインストール

AirWatchからのアプリインストールは、管理者から強制できるとは限りません。

パブリックアプリは、原則Apple Store経由となるため、インストール承認での各ストアのパスワード入力の作業が必要となります。※社内アプリは例外あり。

iOSでアプリ配信をするとポップアップ通知され、インストールを促されます。

アプリインストール時にユーザーのアクションなしでアプリのインストールをするには、iOSを「監視モード」にしておくことでサイレントインストールが可能になります。

iOSを監視モードにするには、Apple ConfiguratorもしくはApple Device Enrollment Programを使用します。

 

  • Apple Device Enrollment Program(以下DEP)

DEPは、ユーザーのデバイス利用開始前に、デバイスを直接操作したり準備したりせずに、設定作業を自動化するプログラムです。

DEPにより購入したデバイスを箱から出して、初めて電源を入れて立ち上がってきた時点でAirWatch の管理下に置くことが可能となります。

例えばネットワークの設定以降、完全無入力でデバイスの設定やアプリケーションのインストール等、セットアップを自動で完了させることができます。

また MDM の設定プロファイルも削除できないように設定できる為、確実にデバイスを管理する事が可能となります。

※Apple ConfiguratorとDEPの詳細は、AirWatch and Configurator Guide および AirWatch Guide for the Apple Device Enrollment Programを参照してください。

 

  1. アプリケーション配信の手順概要

必ず使用するアプリは自動配信するように構成でき、ユーザーごとに任意で必要なアプリはオンデマンド配信に構成します。ここではアプリケーション配信の手順概要をご説明します。

  • アプリケーションカタログへの登録

iPhoneに配信するアプリケーションを登録します。
パブリックアプリを追加します。

11a

  • アプリケーション登録

・AirWatchでは日本語キーワードからアプリを検索し、候補からインストールしたいアプリを選択することができます。

12a

  • 「割り当て」で、対象となるiPhoneのスマートグループを指定し、「保存して公開」します。

13a

  • 「公開」すると、iPhoneへのプッシュインストールが開始されます。

14a

 

今回は、MAM管理(アプリケーションの割り当てと配信) iOS版についてご説明いたしました。次回は、Android版についてご説明致します。ご期待ください。

 

本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。 myAirwatchへこちら