Home > Blogs > VMware Japan End-User Computing Blog > Monthly Archives: February 2017

Monthly Archives: February 2017

AirWatchの基礎 第15回〜コンテンツの管理〜

AirWatchの基礎 15回〜コンテンツの管理〜

皆さん こんにちは。

AirWatchでMDM(デバイス)/MAM(アプリ)/MEM(Eメール)の管理を行う事で、管理者にとってはよりセキュアで安全な管理が行え、従業員の方々は利便性が向上し満足度もあがってきているのではないでしょうか?そんな中、より利便性を向上させる為には社内のリソースへのアクセスも不可欠となります。ここでいう社内リソースとは、業務で必要なコンテンツやファイルになります。通常社内リソースへのアクセスは、外出先から会社支給PCを起動し、VPN接続を行って社内のファイルサーバへアクセスする流れだと思われます。但し、単に確認の為に、いちいちPCを開いて作業をするのは面倒な為、モバイルから簡単にファイル閲覧をしたいとの要望も多いのではないでしょうか?

AirWatchでは、社内リソースへモバイルからセキュアにアクセスする事が出来るコンテンツ管理 (MCM=Mobile Content Management)の機能もご提供させて頂いております。

MCMとは

MCMとは、業務に必要な社内リソース(コンテンツやファイル)を安全にかつ簡単に利用させることです。エンドユーザは許可された範囲で自由にコンテンツが利用でき、管理者はセキュリティレベルに合わせてポリシーを適応して管理出来ることになります。

01

AirWatchでのMCM構成

AirWatchでは、以下は3つの領域を利用する事が出来ます。

1, AirWatchコンテンツとして標準で5GBの領域を利用する事が出来ます。このAirWatchコンテンツは全社共通でシェアするようなコンテンツの配置が可能です。但し、この領域は、企業で利用する社内アプリケーションの配置領域や個人用コンテンツ領域としても利用されます。

2, 社内のファイルサーバやSharePointをContent Gateway経由でアクセスさせる事が可能です。

3, サードパーティのクラウドストレージもAirWatch経由でセキュアにアクセスさせる事が可能です。

Content Gatewayの要件や設定およびクラウドストレージの接続方法は、myAirWatchよりMobile Content Management Guide を参照ください。

02

また、それぞれの利用用途や設定項目等は次の表となります。

03

コンテンツへのアクセス方法

様々なリポジトリ(保存先)にコンテンツが保存されていますが、デバイスの種類や利用用途にあわせ、4つのアクセス方法を準備しております。

  • AirWatch Content Locker (iOS, Android, Windows)
  • AirWatch Content Locker Sync (Windows, Mac)
  • AirWatch Content Locker Outlook アドイン (Windows)
  • セルフサービスポータル

AirWatch Content Lockerアプリからの接続

ホーム画面では、「必須」や「特集」と分割して、コンテンツがリストされます。また、接続されているリポジトリがリストされ、ドリルダウンで対象のコンテンツにアクセスする事が出来ます。

04

コンテンツの操作

コンテンツは、管理者または利用者によってそれぞれのリポジトリにアップロードしますが、その際にアクセス方法や展開方法などを設定する事が出来ます。主な操作方法をご紹介します。

  • アクセスコントロール
    • オフライン状態での閲覧を許可: ネットワーク接続されていなくてもコンテンツ閲覧が可能、コンテンツはデバイスにダウンロードされる
    • オンラインの閲覧のみを許可:ネットワーク接続されている時のみコンテンツ閲覧が可能、コンテンツはデバイスにダウンロードされておらずストリーミングで閲覧

05

  • 展開方法:アクセスコントロールで「オフライン状態での閲覧」を設定している場合
    • 自動:Content Lockerを起動したタイミングで、自動的にデバイスにダウンロードがされる
    • オンデマンド:利用者がオンデマンドでダウンロードを行う

06

  • その他の操作
    • コンテンツのプッシュ配信:割り当てされたコンテンツを管理者がプッシュで配信する事が可能

07

  • 必須ドキュメント:操作マニュアル等で必須ドキュメントとすることでエンドユーザーにドキュメントを読むことを強制することが可能

08

  • コンテンツのバージョン管理:コンテンツのバージョン管理が可能

09

コンテンツのセキュリティ

コンテンツ単位で、様々なセキュリティ設定を行う事が出来ます。Content Lockerでは、標準で他のアプリケーションへの開封許可を禁止しております。この事で、データ漏洩を未然に防ぐことが出来るようになっています。セキュリティ設定は、次の通りです。

10

但し、コンテンツの取扱制限を厳密に行っても、他のデバイスから写真撮影される事の制限をかけることは出来ません。Content Lockerでは、電子透かしを入れる事で情報漏えいの追跡に役立てるることが出来ます。

 11

コンテンツの活用

前項では、コンテンツに対してのセキュリティについてご紹介いたしましたが、セキュリティを担保できることで様々な利用シーンでコンテンツを安全かつ便利に利用することが出来ます。利用者は複数のデバイスから常に最新のコンテンツにアクセスしたり、メール添付を許可させる事でコンテンツを社内外の方にメール送信する事も出来ます。また、ダウンロードリンクを作成してメールにアドレスを貼り付けでファイルのシェアを行う事もできます。

12

レポーティング

レポートテンプレートを使用して、コンテンツの利用状態や順守状態等をレポート出来ます。また、スケジュール設定をする事で、自動実行で管理者にレポートを通知する事も可能です。レポートは、CSVファイルで出力されます。

13

レポートの例

14

まとめ

社内リソースへセキュアにアクセス出来る事で、エンドユーザーの利便性が大幅に向上して様々な利用方法が出来る事をご理解頂けたのではないでしょうか?モバイルの業務での活用は、今後必須となってくる事が予想される中、利便性とセキュアな管理と相反した事を両立させる為には、AirWatch の提供するEMMソリューション全体を検討する必要があります。

本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。 myAirwatchへこちら

 

AirWatchの基礎 第14回〜Eメールへのアクセスと管理〜

AirWatchの基礎 14回〜Eメールへのアクセスと管理〜

皆さん こんにちは。

モバイルの活用において、必ず検討される要件としてEメールアクセスがあります。ご存知の通りEメールは、社内外のコミュニケーションツールとしては重要な位置づけとなっておりますが、情報漏えいやセキュリティ等で考慮すべきポイントが多数あり、どの企業でも管理については苦労されているのではないでしょうか?その為、基本会社支給PCからのアクセスのみ許可しており、モバイルや個人所有PCからアクセスを禁止している企業も少なくありません。業務効率の向上や利便性から、モバイルからのアクセスの許可を従業員の皆さんから強く要望があがってきている中、どのようにセキュリティにアクセスさせるかを考える必要があります。

AirWatchでは、デバイス(MDM)やアプリケーション(MAM)の管理だけでなく、Eメールの管理(MEM=Mobile E-Mail Management)も提供させて頂いております。

まず、モバイル環境でのEメールにアクセス方法について考えてみましょう。アクセス方法は、WEBブラウザとアプリケーションの2種類がありますが、モバイルでのWEBブラウザアクセスは、管理や制御およびUIの利便性が低い為、本内容からは除外させて頂きます。また、3rd Partyが提供しているメールアプリケーションもAirWatchから直接コントロールできない為、同様に除外させて頂きます。

AirWatchが提供するEメールクライアントの種類

  • ネイティブメールクライアント
    • OS標準搭載のメールクライアント
    • Exchange ActiveSyncプロトコルに対応
    • デバイスレベルの DLP (データ漏洩防止)機能
    • 追加コストなし、サードパーティ製アプリ不要
    • デバイスプロファイルからの配布の為、企業情報ワイプで削除が可能
  • VMware Boxer
    • VMwareが提供するメールクライアント
    • Exchange ActiveSyncプロトコルに対応
    • 直感的なネイティブクライアント同様のエクスペリエンス
    • デバイスレベルの DLP (データ漏洩防止)機能
    • メール本文のコピーアンドペーストをはじめとした、より高度なアプリレベルでのDLP(データ漏洩防止)機能
      • メール本文のコピー/貼り付け制御
      • ハイパーリンクをAirWatch Browser(セキュアプラウザ)で開くよう強制
      • メールの添付ファイルをContent Locker(セキュアファイラ・ビューワ)で開くよう強制
    • AirWatchによるアプリ配信の為、企業情報ワイプで削除が可能
    • アプリ起動時にパスコードでの起動制限が可能

メール設定と配布ネイティブクライアント(図はiOSの場合)

  • Exchange Active SyncもしくはPOP/IMAPでの設定配布をデバイスプロファイルから可能
  • {EmailDomain}, {EmailUserName}等のルックアップ値を利用が可能

01

注意 Androidの場合、製造元および機種によって設定や制限出来る事が異なる事があります。

メール設定と配布-VMware Boxer

VMware Boxer は、AppConfig Community対応アプリの為、Eメールの設定はデバイスプロファイルを使用せず、AirWatchからアプリケーション配布時に構成する事が出来ます。

  • {EmailDomain}, {EmailUserName}等のルックアップ値を利用が可能
  • Eメール/カレンダーの同期期間の指定
  • 認証タイプ:Eメールアクセスの際の、認証方法を指定
    • ベーシック(ユーザー名・パスワードによる認証)
    • 証明書
    • 両方(ベーシックと証明書の両方)

02

  • パスコード:VMware Boxer起動時にパスコードやTouch ID(iOSの場合)の指定が可能
  • コピー/貼り付け:メール本文からのコピー/貼り付けの制御が可能
  • ハイパーリンク:本文内のハイパーリンクをAirWatch Browserでのみアクセスを強制
  • 共有:メールの添付ファイルの扱いの制御
    • プレビューのみ:他のアプリではオープンできない
    • ホワイトリスト:指定したアプリのみオープンできる
    • 制限なし:すべてのアプリでオープンできる
  • 個人アカウント/個人連絡先:ユーザーによる個人アカウントや連絡際の追加の制御

03

以上の事から、VMware Boxerの利用が、よりセキュアにアクセスする事が出来ることがお分かり頂いたのではないでしょうか?

さて、これまではデバイスもしくはアプリレベルといったエンドポイントでのDLP (データ漏洩防止)を見てきましたが、AirWatchではさらに一歩踏み込んだ制御でセキュリティを確保するためのアクセスコントロールを行う事が出来ます。

Eメールのアクセスコントロール

アクセスコントロールは、エンドポイント以外にメールサーバ側にチェックポイントを持つことでよりセキュアにアクセスさせる事が出来ます。アクセスコントロールは、以下2つの方法を準備しております。

04

プロキシモデル

プロキシモデルは、SEG(Secure Email Gateway)を別途構成し、モバイルに送られるすべてのE メールトラフィックについてプロキシとして機能します。SEGは、AirWatch コンソールで定義された設定に基づき、管理するモバイルのそれぞれに対して許可または禁止を制御します。

直接統合

直接統合は、Microsoft Exchange 2010、2013、2016、またはOffice 365向けにはPowerShellで連携、Google Gmail向けにはAirWatchサーバが直接接続し制御します。いずれも、AirWatch コンソールで定義された設定に基づき、管理するモバイルのそれぞれに対して許可または禁止を制御し、別途プロキシサーバを構成する必要はございません。

それぞれのモデルの主な機能は以下の表を参照ください。

05

Eメール順守ポリシー

アクセスコントロールはEメール順守ポリシーを使用し適応する事ができ、セキュアで順守状態にあるデバイスのみに貴社のメールインフラへのアクセスを許可します。

E メール順守ポリシーを使用すると、非順守状態のデバイス、暗号化されていないデバイス、非アクティブなデバイス、または管理外のデバイスに対するE メールアクセスを制限することによって、セキュリティを強化できます。これらのポリシーを使用することで、必要かつ承認済みのデバイスのみにE メールアクセスを提供できるようになります。E メールポリシーでは、デバイスモデルおよびOS に基づいてE メールアクセスを制限することもできます。

07

注意 モバイルのOSの種類等で、動作が違う可能性がありますので、MEMの詳細な構成や設定はMy AirWatchのVMware AirWatch Mobile Email Management Guideを参照ください。

まとめ

冒頭に記載した通り、Eメールアクセスはモバイル活用において重要な位置づけとなります。AirWatchでは、メールクライアントでのエンドポイントでセキュリティを向上させる仕組みを持っているだけでなく、メールサーバ側と連携する事で、順守されたデバイスや状態でのみアクセス許可を与えるなど、高度なセキュリティを提供する事も出来ます。企業のセキュリティポリシーと照らし合わせながら、適切な手法をご選択ください。

本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。 myAirwatchへこちら

AirWatchの基礎 第13回〜AirWatchのユーザ管理〜

AirWatchの基礎 13回〜AirWatchのユーザ管理〜

皆さん こんにちは。

これまで、AirWatchの基本的な利用方法や設定をお知らせしてきましたが、今回はAirWatchのユーザ管理についてご紹介させて頂きます。すでに簡単なユーザ管理は、”AirWatchの基礎 第3回〜AirWatchへの初めてのログイン〜”の中でご紹介しております。

AirWatchでのユーザ管理は、以下2つのパターン

  • ベーシックユーザ:AirWatchに手動作成されるユーザ
  • ディレクトリユーザ:Active Directoryと連携してAirWatchに自動作成・管理されるユーザ

ベーシックユーザの特徴

  • メリット
    • シンプルな管理
    • CSVファイルでまとめてインポートが可能
  • デメリット
    • ユーザやパスワード情報は、AirWatchコンソールで持つ為、管理者の運用工数が高い
    • AirWatchコンソール側で情報を持つことで、セキュリティレベルが低い

ディレクトリユーザ

  • メリット
    • 一般企業が利用されている、Active Directory(AD)とユーザ管理統合が可能となり、ADが持つ階層(フォレスト、OU等)とAirWatchが持つ組織グループ構造をあわせる事で、ユーザ管理が容易になる
    • パスワード情報はAirWatchコンソール側では管理せずにあくまでもAD管理となる為、セキュリティレベルが高い
    • AD統合だけでなく企業でご利用の認証局(例 Active Directory証明書サービス)と連携が可能となり、社内へのEメール、WiFi、VPNなどの社内アクセスをセキュアする事が可能
  • デメリット
    • 組織グループ構造やADのフォレストやOU構造を理解して設計する必要がある
    • AD連携には、別途AirWatch Cloud Connector(ACC)の構築が必要となる

ベーシックユーザのバッチインポート

ベーシックユーザは、手動で登録が可能ですが、バッチインポートで複数ユーザをまとめて登録する事が出来ます。インポートには、まずCSVファイルでユーザリストを作成する必要があります。CSVファイルに入手方法は、アカウント > ユーザ > リスト表示 > 追加 > バッチインポートから“!”から行えます。

01

“!”をクリックすると、別途ブラウザが起動し、2つのパターンでファイルの入手が可能です。

02

  • シンプルなテンプレート:ユーザ情報入力が最小
  • 高度なテンプレート:ユーザ情報だけでなく、様々な情報の入力が可能

注意:* がついているカラムは必須項目となります。

作成した、CSVファイルをバッチファイルとしてアップロードして、インポートする事が出来ます。

ディレクトリユーザの構成

ディレクトリユーザを利用する場合、AirWatch Cloud Connector(ACC)を構成する必要があります。

ACCは、社内ネットワークに配置し、AirWatchサーバへアウトバウンド HTTPS:443の通信のみできれば問題ありません。

03

  • ACCの最小システム要件

CPUコア:2個以上

メモリ: 4GB

ストレージ:50GB

OS: Windows Server 2008 R2 / Windows Server 2012 / Windows Server 2012 R2(現在英語OSのみサポート)

*詳細はMy AirWatchのAirWatch Cloud Connector (ACC) Guide for SaaS Customersを参照ください。

  • ACCのインストール

以下作業は、ACCをインストールするWindows端末からAirWatchコンソールへブラウザアクセスして行ってください。

1, コンソールからCloud Connector設定画面を開く

04

2, 高度な設定より

05

3, ACCのダウンロード

06

*パスワードは6文字以上で任意で入力ください。

4, ダウンロード後、Windowsサーバへインストール

07

08

09

5, ディレクトリサービスの設定-サーバ

10

6, ディレクトリサービスの設定-ユーザ

11

7, ユーザの追加

アカウント > ユーザ > リスト表示 > ユーザ > ユーザの追加から、ディレクトリを指定する事でディレクトリユーザの追加が可能となります。

12

まとめ

適切なユーザ管理を行う事で、AirWatch管理を簡素化させる事が出来ます。特に大規模環境においては、ディレクトリユーザを利用する事で、部門異動などあった場合はAD側でユーザ設定変更すればAirWatch側には自動的に反映され便利です。また、社内の様々なりソース(例 Eメールやファイルサーバやアプリケーション等)の管理の多くは、ADと連携されているケースが多い為、今後のモバイル活用の拡充を行う際にAD連携を行っておく事で、SSO(シングルサインオン)でアクセスを行う事も出来ます。AirWatchをご利用される際には、是非ディレクトリユーザの選択をご検討ください。

本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。 myAirwatchへこちら