Home > Blogs > VMware Japan End-User Computing Blog > タグ別アーカイブ: Workspace ONE

タグ別アーカイブ: Workspace ONE

VMware Workspace ONEとMicrosoft Graph

先般Workspace ONE のMicrosoft Graph への対応を発表させていただきましたが、「それで何をするの?」と思われている方が少なくないのではないでしょうか。

Microsoft Office 365 アプリケーションをモバイル上で使⽤されることが多くなってきているのではないかと思いますが、企業のセキュリティポリシーによってはメール本文のコピー・ペースト禁止、個人のクラウドストレージへのデータ持ち出し禁止、アプリ起動時のPINコード入力の強制などOffice 365 アプリケーションのセキュリティ機能をMDM から制御しなければならないケースがあります。

Graph はMicrosoft Office 365 やMicrosoft Enterprise Mobility + Security などのMicrosoft 製品と同社製品もしくはサードパーティ製品とが安全に連携するためのAPI のことですが、今回はWorkspace ONE 統合エンドポイント管理(WorkspaceONE UEM、従来のVMware AirWatch)とMicrosoft Intune アプリ保護ポリシーを連携し、Office 365 アプリケーションのセキュリティ機能を制御する方法に関して説明していきます。

 

Workspace ONE UEM とGraph 統合のユースケース

Workspace ONE UEM の既存のお客様もしくは検討中のお客様のうち、モバイル端末でOffice 365 アプリケーションをセキュアな状態で使⽤したいといったユースケースでご利⽤いただける機能となっております。

はじめにおさらいとしてモバイルアプリケーション管理(MAM)の領域でWorkspace ONE UEM はこれまで⼤きく4 つの⽅式を提供してきました。

  • OS レベルのMAM

OS が提供するベーシックなMAM 機能(アプリケーション間でのファイル受け渡し可否の制御など)を使⽤する⽅式です。

  • MDM ベンダーが提供する独⾃SDK(AirWatch SDK など)によるMAM

MDM ベンダーが提供する独⾃SDK をアプリケーションに組み込む⽅式です。

MDM から設定や各種制限を細かく制御することができるようになる反⾯、アプリケーション開発者はMDM ベンダー毎のSDK を組み込んだアプリケーションを開発する必要があります。

  • アプリケーションラッピングによるMAM

独⾃SDK ⽅式で対応できる設定や各種制限のうち⼀部の機能の組み込みを⾃動化することでアプリケーションの再開発を不要にした⽅式です。この⽅式は⾃社開発アプリにのみ対応しておりパブリックアプリには使⽤できませんし機能⾯では独⾃SDK ⽅式に劣ります。

  • オープンな共通フレームワークによるMAM

AppConfig Community(AppConfig)によるMDM 業界共通のフレームワークを使⽤したMAM の⽅式で、現在VMware、MobileIron、IBM、Citrix をはじめとする多くのベンダーが推進しています。こちらの⽅式ではMDM から設定や制限を細かく制御することができるようになるのに加え、アプリケーション開発者はこの共通フレームワークに沿って開発するだけで多くのMDM に対応することができます。

 

 

 

ではOffice 365 アプリケーションはどうでしょうか。Office 365 アプリケーションはAppConfig アプリケーションではありませんし、もちろんAirWatch SDK 組み込みアプリケーションでもないため、セキュリティを維持するための制限などをフル活⽤するためにはIntune アプリ保護ポリシーが必要となります。そのためWorkspace ONE UEM を使⽤したいが、Office 365 アプリケーションもセキュアに使いたいというユースケースでは両⽅の管理コンソール上でそれぞれ管理する必要がありました。

Workspace ONE UEM 9.4 以降ではGraph に対応したことによりWorkspace ONE UEMコンソールからIntune アプリ保護ポリシーの設定を制御することができるようになりましたので、シンプルに管理をすることができるようになりました。

 

セキュリティ制限の設定

Workspace ONE UEM 9.4 以降ではOffice 365 アプリケーションのセキュリティ制限を設定するための項⽬( すべての設定 / アプリ / Office 365 の設定 )が追加されています。

「 データ漏洩防⽌ 」の項⽬がOffice 365 アプリケーションへの各種制限設定になっていますので、ここで設定を実施します。この設定項⽬はIntune アプリ保護ポリシーの項⽬と同じものになっていますのでWorkspace ONE UEM コンソールで設定した項⽬がIntune アプリ保護ポリシーへ同期されアプリケーションへ適⽤されます。

 

設定内容の説明や実際の動作のデモを動画でご確認ください。

 

最後まで読んでいただきありがとうございました!!

 

[Deep Dive] Workspace ONE Intelligence Chapter 1

先日紹介させていただきましたVMware Workspace ONE Intelligence(以下、Workspace ONE Intelligence)に関して、今回は以下の技術的な詳細を説明します。

  • Workspace ONE Intelligenceのアーキテクチャ
  • Workspace ONE Intelligenceを使い始めるには?
  • サードパーティサービスとのAPI連携設定

Workspace ONE Intelligenceとは??はこちらの関連ブログ記事「Workspace ONE Intelligenceってなに?」をご確認ください。

 

Workspace ONE Intelligenceのアーキテクチャ

Workspace ONE IntelligenceはVMware Workspace ONEプラットフォームが収集したデータをリアルタイムに可視化することができます。例えばカスタムレポートで使用しているデータの元はWorkspace ONE 統合エンドポイント管理(Workspace ONE UEM、VMware AirWatch)の収集データ、つまりAirWatchデータベースです。このAirWatchデータベースの情報はWorkspace ONE Intelligenceのデータベースに同期されて使用されます。

Workspace ONE Intelligenceを初めて使用する際には全ての必要なデータが同期され、その後は追加のサンプリングデータなどを逐一差分更新しています。動作としてはAirWatchデータベースキャッシュの差分がWorkspace ONE Intelligenceデータベースに送られます。AirWatchデータベースキャッシュのチェックと送信は10秒に一度実行されています。

また、現在Wokrspace ONE Intelligenceのサービスはアメリカ本土、ドイツ、アイルランド、日本の4つのリージョンのデータセンターで提供しています。日本リージョンのWorkspace ONE UEM SaaSのお客様や日本国内にてオンプレミスのWorkspace ONE UEMを構成されているお客様にも快適にご利用いただくことができるようになっております。

 

利用するには?

  • ライセンス

全ての機能を利用するためにはWorkspace ONE Enterprise SKUの購入が必要となります。詳細はこちらのページの比較表でご確認ください。

 

  • 対応バージョン

Workspace ONE UEM コンソール(AirWatchコンソール) v9.2以降が必要です。既存のお客様でこれよりも低いバージョンのコンソールをご利用の場合はバージョンアップを実施してください。

 

  • コンソールの管理者権限

役割設定(アカウント > 管理者 > 役割)で対象の役割に”Intelligence”権限が割り当てられている必要があります。

 

  • [オンプレミスのお客様のみ] Workspace ONE Intelligence Connector(旧 ETL service)

オンプレミスでWorkspace ONE UEMを構成されているお客様はWorkspace ONE Intelligence Connectorのインストールと構成が必要となります。

 

  • コンソールからの利用開始

Workspace ONE Intelligenceを使い始めるにはWorkspace ONE UEMコンソールからの利用開始操作が必要となります。

  1. Workspace ONE UEMコンソールで ハブ > Intelligence を開き、“使用を開始する”を選択。

 

  1. “申し込む”にチェックを入れて”次へ”を選択。

 

  1. 管理者に関する情報を入力し”承諾”を選択。

 

 

自動化機能に使用するためのサードパーティサービスとのAPI連携設定

Workspace ONE Intelligenceの自動化機能はWorkspace ONEプラットフォームが収集するデータを分析し、意思決定エンジンが様々なアクションを自動的に実行する機能です。また、意思決定エンジンが何らかのアクションを実行する必要がある状態を検知した場合にはAPI連携したサードパーティサービスへアクション実行の指示を出します。今回はWorkspace ONE UEM、Slack、ServiceNowとの連携方法を説明します。

 

  • Workspace ONE UEMとの連携

Workspace ONE Intelligenceコンソールで 設定 > 自動化の接続 > リンクを表示 を開く。

 

“Workspace ONE UEM API”  で ”承認” を選択し、Workspace ONE UEMのSaaSのURL( 例: https://cn504.awmdm.jp )、Workspace ONE UEMのテナントへAPIを発行できる管理者アカウントのユーザー名とパスワード、APIキーを入力して”接続”を選択。

これでWorkspace ONE IntelligenceからWorkspace ONE UEMに対し自動化機能による様々なアクションが実行できるようになりました。

 

・ServiceNowとの連携

Workspace ONE Intelligenceコンソールで 設定 > 自動化の接続 > リンクを表示 を開く。

 

“ServiceNow API”  で ”承認” を選択し、ServiceNowのテナントのURL、APIを発行できる管理者ユーザーの情報を入力入力して ”接続” を選択。

  • “snc_platform_rest_api_access”ロールが必要です。

これでWorkspace ONE IntelligenceからServiceNowに対し自動化機能による様々なアクションが実行できるようになりました。

 

・Slackとの連携

Slackとの連携にはIncoming WebHookを使用します。予め通知先にIncoming WebHookを構成し、Webhook URLを取得してください。

Workspace ONE Intelligenceコンソールで 設定 > 自動化の接続 > リンクを表示 を開く。

 

“Slack API”  で ”承認” を選択し、予め通知先に構成しておいたIncoming WebHookのWebhook URLを入力して ”接続” を選択。

 

これでWorkspace ONE Intelligenceの自動化機能による通知をSlackへ送ることができるようになりました。

こちらは管理していたデバイスが何らかの理由で管理下から外れた際のSlackへの通知を試したときの画面です。

 

ちなみに・・・

テスト環境はWebHookの名前をみんなが変えずに使ってしまっているので、このテストをしているときに間違えて他人のWebHookをいじってしまい怒られました (- -;)

 

最後まで読んでいただきありがとうございました!!

 

 

Workspace ONE Intelligenceってなに?

モバイルでの外出先での業務や在宅勤務など働き方の多様化が進むなか、従業員の方々が様々な場所やネットワークからアプリケーションやリソースにアクセスする機会が爆発的に増えてきているのではないでしょうか。

また業務に使用するアプリケーションやリソースも多様化してきており、PCやモバイルデバイスのローカルにインストールして使用するアプリケーションもあればクラウド上のアプリケーションなどもありますし、リソースも社内ネットワーク内に限らずクラウド上のものを利用することもあると思います。

多様な働き方を提供できている反面、管理者のかたにとってはどうなんでしょうか?

 

従来は全ての管理対象は基本的に社内ネットワークの中にありました。それらをオンプレミスのセキュリティ製品で監視し、検知したものへの対処をとるなどの方法でセキュリティを担保してきたはずです。昨今の人やデバイスだけでなくアプリやリソースまでもが様々な場所に存在する環境においても、これまで通り、もしくはこれまで以上のレベルでの管理を継続する必要が出てきているのではないかと思います。つまり管理する対象や範囲がこれまで以上に増えているわけですから気づいて対処するまでのプロセスの効率化とスピードの向上が求められることになります。

VMware Workspace ONE Intelligence(以下、Workspace ONE Intelligence)はVMware Workspace ONEプラットフォームが収集する様々なデータを集約し迅速に可視化する機能を提供します。加えて、そのデータは各種プロセスの自動化にも利用されます。あらかじめ管理者が条件と対処プロセスを指定しておくことで意思決定エンジンが自動的に検知し対処を行なう自動化機能も提供します。

Workspace ONE Intelligenceの可視化ツール

Workspace ONE Intelligenceの可視化ツールを紹介します。本ブログ執筆時点では大きく2つの可視化ツールが実装されております。

まずはデバイスやアプリケーションの利用状況や状態などの全体像を把握するために役立つマイダッシュボード機能です。マイダッシュボードには様々なデータをグラフ化したものや数値化したものがウィジェット形式で並びます。いくつかのウィジェットはプリセットされていますが管理者のかたが管理しやすいように自由にカスタマイズすることができます。各ウィジェットはサイズ変更や配置変更ができますし、把握したいデータのウィジェットを追加したり不要なウィジェットを削除することもできます。例えば、企業内のWindows 10 PCのなかで適用されていない更新(KB)のトップ10をグラフ化して配置する、など。非常に自由度の高い可視化ツールとなっていると思います。

(このサンプル画面のウィジェットタイトルは英語になっていますがもちろん日本語に書き換えて使っていただけます。)

 

つづいてカスタムレポート機能です。Workspace ONE 統合エンドポイント管理(Workspace ONE UEM、VMware AirWatch)自体にもレポート機能があり、プリセットされたテンプレートを使用してCSV形式のレポートを作成することができます。テンプレートベースの定型的なレポートであったため本当に必要なレポートを作成するにはパワフルなPCでエクセルを使ってデータを編集しているというお客様が少なからずおられるのではないでしょうか。Workspace ONE Intelligenceのカスタムレポートはコンソール上でレポートに含むデータをフィルターしたり、レポートのカラムの選択や並べ替えができるようになっています。

この例はWindows 10 PCの中で更新が適用されていないものを抽出してレポートにしているところです。

 

これらWorkspace ONE Intelligenceの可視化ツールを使用してセキュリティリスクをはじめとする様々な企業内の問題を迅速に把握し、対処することができるようになります。

また、本ブログ執筆時点ではデータのソースはWorkspace ONE UEMのみですが今後は他のデータもソースとして扱う予定があります。こちらはアップデートがありましたらお知らせさせていただく予定です。

 

Workspace ONE Intelligenceの自動化機能

Workspace ONE Intelligenceの自動化機能はWorkspace ONEプラットフォームが収集するデータを分析し、意思決定エンジンが様々なアクションを自動的に実行する機能です。前述のマイダッシュボードやカスタムレポートと同様に本ブログ執筆時点ではWorkspace ONE UEMのデータのみがソースとなっております。また、意思決定エンジンが何らかのアクションを実行する必要がある状態を検知した場合にはAPI連携したアプリケーションへアクション実行の指示を出します。こちらも今後拡張されていく予定ですが現在はWorkspace ONE UEMに加え、Slack、ServiceNowといった外部サービスとAPI連携することができます。

これまでもWorkspace ONE UEMでは順守エンジンを提供してきましたが、大きく異なるのがこのアクション実行の部分になります。順守エンジンではWorkspace ONE UEMが提供するアクションのみが実行可能でした、意思決定エンジンではAPI連携したアプリケーション経由でより高度なアクションを実行することができるようになっていきます。

この自動化機能の使用例として、ユーザーのPCのバッテリーの状態が劣化していることを検知し自動的にServiceNowへ交換用バッテリーの発注申請を上げ、Slackでユーザーへ手配内容を通知する、などといったことが考えられます。

このようにこれまでは管理者やユーザーなどの人手で遂行してきた管理業務を自動化することで管理負荷を低減することができるようになるのではないでしょうか。

 

最後に

今回はWorkspace ONE Intelligenceをご紹介させていただききました。

管理対象の状態や利用状況を分析し、問題を認識し、対処を実施する、というプロセスには管理者の介在が必要なケースが少なからず存在していたのではないでしょうか?

このオートメーション機能を使用することで、このような管理業務の負荷を軽減することもできますし、冒頭でも申し上げましたように今後管理する範囲や管理対象が増加し続け複雑化していくなかでも、これまで通りのスピードで問題の解決やセキュリティの維持をするためには「人手」には限界があり、オートメーション機能が必要となっていくのではないかと考えます。

本日時点ではまだ日本では販売を開始しておりませんので、フル機能をすぐさまお試しいただけないのが残念なのですが、既存のお客様でAirWatch 9.3以降のSaaSをお持ちのほとんどの皆さまはマイダッシュボードとカスタムレポートは既に実装されております。また既存のお客様でWorkspace ONE UEMのUAT環境をご契約のお客様はUAT環境からプレビューサイトをご利用いただくことができます。

ところでWorkspace ONE Intelligenceってどこ??というかたが少なくないと思います。ここからアクセスしていただけますのでぜひお試しください。

VMware が Gartner のエンタープライズ モビリティ管理(EMM)の マジック クアドラントでリーダーの評価を獲得

みなさま、こんにちは。VMwareの本田です。

本日は、みなさまにお知らせがあります。すでにご存知の方もいらっしゃるかと思いますが、2017年6月6日に発表されたGartner社の「Magic Quadrant for Enterprise Mobility Management Suite」において、2年連続で実行能力とビジョンの完全性の両方でリーダーに認定されました。

以下、US本社のAirWatchブログの翻訳です。どうぞご一読ください。

 

VMware Gartner のエンタープライズ モビリティ管理(EMM)の
マジック クアドラントでリーダーの評価を獲得

2 年連続で実行能力とビジョンの完全性の両方でリーダーに認定

Gartner はVMwareをエンタープライズ モビリティ管理 (EMM) の  2017 年ガートナー マジック クアドラントのリーダーとして7 年連続で を認定しました。

[レポートのダウンロード: 2017 年のエンタープライズ モビリティ管理のガートナー マジック クアドラント]

独立調査会社であるガートナーのマジック クアドラント マーケット レポートでは、EMM ベンダーをリーダー、チャレンジャー、概念先行型、特定市場指向型の 4 つのクアドラントで評価します。ベンダーは、実行能力とビジョンの完全性の 2 つの軸の評価に基づいて、4つのクアドラント(象限)のいずれかに分類されます。

VMware は 2 年連続で両方の軸で最高の評価を受けました。VMwareでエンド ユーザー コンピューティング部門担当上級副社長を務める スミット・ダーワン (Sumit Dhawan) は高評価の理由として、AirWatch が EMM の包括的な一連の機能を広範なプラットフォームとデバイスに対してWorkspace ONE の一部として提供し、デジタル トランスフォーメーションの進展に寄与していることを挙げています。

スミット・ダーワン (Sumit Dhawan) はまた、次のようにコメントしています。「EMM の展望は過去 7 年間で大きく変化しました。弊社は急速なイノベーションのペースを維持し、お客様が次世代のデジタル トランスフォーメーションに備えるお手伝いをしてきました。弊社の AirWatch EMM を VMware Workspace ONE (セキュアなデジタル ワークスペースを提供するプラットフォーム) の基盤として使用すれば、EMM、統合エンドポイント管理 (UEM)、デジタル ワークスペース戦略など、お客様のニーズに合わせてデジタル トランスフォーメーションのどの段階からでも、定評があるこのソリューションをご利用いただけます。」

AirWatch は、EMM プラットフォームのリーダーとして、引き続きお客様やパートナー様のご支持をいただいています。昨年からの1年間で次のような機能強化を発表しており、AirWatch も引き続き高い評価をいただいています。

  • 統合エンドポイント管理(UEM) の提供:モバイルやデスクトップから IoTデバイス まで、組織内のすべてのエンドポイントを管理する包括的でユーザー中心のアプローチを実現する新しいソリューションです。
  • エンタープライズ セキュリティの拡張:モバイル、デスクトップ、耐衝撃デバイス、IoT デバイスで、Windows 10 を含むクロスプラットフォームをサポートし、IT およびエンドユーザーの使用感を改善、簡素化しています。
  • スマート グラスなどウェアラブルデバイス管理の追加。AirWatch UEM はウェアラブルデバイス向けに機能拡張された最初のソリューションです。既存のデスクトップやモバイル エンドポイントとともにスマート グラスなども管理できます。

2017年ガートナー マジック クアドラント レポートはここからダウンロードできます。 (英語)

出展: Gartner社、「Magic Quadrant for Enterprise Mobility Management Suites」、ロブ・スミス (Rob Smith) 他、2017 年 6 月 6 日。

 

ガートナーの免責条項

ガートナーは、ガートナー・リサーチの発行物に掲載された特定のベンダー、製品またはサービスを推奨するものではありません。また、最高のレーティング又はその他の評価を得たベンダーのみを選択するように助言するものではありません。ガートナー・リサーチの発行物は、ガートナー・リサーチの見解を表したものであり、事実を表現したものではありません。ガートナーは、明示または黙示を問わず、本リサーチの商品性や特定目的への適合性を含め、一切の保証を行うものではありません。