こんにちは、VMwareの岩永です。
本日のEUC Blogでは、2018年に開催されたvFORUMで行われたセッションの中からVMwareのプロフェッショナルサービス部門のコンサルタントが実施した「VMware Workspace ONE UEMの最新ユースケースと設計ポイント」について、当日の内容を書き起こしたものをご紹介させていただきます。
会場で聞き逃してしまった方も、もう一度おさらいしたい方にもおすすめです!
エンドポイント管理に戦略を!
VMware Workspace ONE UEMの最新ユースケースと設計ポイント
モバイルPCやスマートフォンなどひとりのユーザーが複数のデバイスを使って、働き方を選ぶ時代がやってきています。その中で複数デバイスでのリモートワークにおけるデバイス管理が難しくなるなど解決しなければならない課題も多く存在します。VMware Workspace ONEを用いた最新のエンドポイント管理をユースケースと設計ポイントをまじえて解説します。
■ 4つのStepに分けて、段階的、計画的に導入を進めていく
VMwareのエンドポイント管理はこの10年余りでMDM(モバイルデバイス管理)からEMM(エンタープライズモビリティ管理)、そしてUEM(統合エンドポイント管理)へと進化してきました。現在提供中のVMware Workspace ONEは旧AirWatchであるVMware Workspace ONE UEMと、アクセス管理を行うVMware Identity Manager、VMware Horizonの3つの主要コンポーネントで構成され、運用中のログから分析まで行うことができます。製品をフル活用できた場合、利便性とセキュリティを両立させたセキュアなデジタルワークスペースの実現と、モバイル端末、VDIをフル活用した働き方改革を推進するツールとして大きな価値が生まれます(図1)。
図1.Workspace ONEとそれを取り巻くビジネス変化のイメージ図
その導入はアプリケーションまで含めた大きなプロジェクトになるため、段階的、かつ計画的にプロジェクトを進めることが重要です。企画・計画段階から本番運用までをフェーズ分けし、各フェーズで決められたことを実行していくのです。具体的にはフェーズ1が方針の検討でプロジェクトの分割、フェーズ2が要件定義で各プロジェクトでのターゲットの確定、フェーズ3が基本設計、構成設計でプロトタイプベースでの取り組み、フェーズ4が環境構築、展開方式策定でスモールスタートでの実施、になります。
フェーズ1の方針の検討では、どこから始めるか、どう進めていくかを決めます。例えばモバイルは営業職など移動が多い職種に対するすき間時間の効率化が多く、PCはしっかり時間を取る業務に対しての働く場所の改善と働き方の選択肢を与えることが目的です。そこで端末の利用用途を調整した後に、働いている人の属性と働き方に合わせて、誰のどの業務をモバイル化するか、PC化するか、もしくはVDI化するかを整理していきます。
実際の進め方は千里の道も一歩からの考え方が重要です。例えばスマートフォンの一部業務から始めて、PCとその業務も管理するようにして、徐々に場所/時間を問わず、できる業務を増やしていくのです。
■ プロジェクトを分割し、それぞれのターゲットを明確化する
フェーズ2の要件定義では、ユーザー視点に立って、まず作ってみるという発想で進めることです。既存の業務/既存のシステムを置き換えるものと違い、働き方改革をこれから実施していく中でのシステム導入となることが多いため、明確な要件がほとんどないことが一般的です。そこでポイントになるのはプロジェクトで実施するかどうかを決めることと、初期導入時に連携するシステムの範囲を決めることです。
スマートフォンの場合、初期導入時に多くは望まず、連携はスモールスタートで計画、全体の8割以上の人が使うシステムとの連携のみをターゲットにする方が良いです。そこで必要なのは利用者目線とセキュリティです。最初から連携するアプリケーションが多いとユーザーが混乱しやすいので、導入後に利用できるアプリケーションを徐々に増やしていきます。アプリケーションはユーザー目線で使い方を定義、隙間時間の活用などスマートフォンを活用する事で業務の効率化ができるものを精査します。
コンテンツやメールも同じようにどの情報が隙間時間に見えると業務が効率化されるかを精査しターゲットを決めていきます。そして、利用したいアプリケーション/連携したいコンテンツやメールを一覧としてまとめ、その中でセキュリティカテゴリを精査、セキュリティレベルに合わせてDLP制御や暗号化、管理アプリケーションという形でアクションを決めていきます。
一方、PCの場合、長期にわたって使っているのでやることが明確になっている場合が多いです。そのため、現状を整理して、設定を棚卸した後、まずは最低限必要な設定に抑え、その後、あるべき姿とのギャップを徐々に埋めていきます。初期導入時のターゲットとしては、調達の統制によるコストカットとライセンスの適正管理を行います。具体的には組織全体でキッティングラインが何本あるか、それぞれでどのような設定をしているかを分析し、例えばアプリケーションであれば社内ポータル、Windows 10など会社共通のもの、BIやERPなど部署共通のもの、労務管理や連結決算システムなどその他という形で分けて行きます。それに今後取り組みたい内容を加えて行きます。その上で、洗い出した物の実装の仕方を決めていきます。プロファイルやアプリケーション側で実装できるものが増えるごとに管理するマスターイメージが減り、運用時の設定変更、メンテナンスが容易になります。
■ ユーザーとデバイスのライフサイクルを意識し、他システムとの連携を確認
フェーズ3の基本設計、構成設計のポイントは次の3つです。1つ目はユーザーのライフサイクルを意識すること、2つ目はデバイスのライフサイクルを意識すること、3つ目が連携システムとの連携性を確認することです。変化していくデバイスやシステムをユーザーに最適に割り当てるため、まずは構成要素および管理単位を把握しましょう。
まずWorkspace ONEの最も基礎となる管理単位である組織グループを定義します。組織グループを適切に定義することで、管理者・ユーザー・デバイス・連携システムの管理を適切に分割することが可能になります。組織グループはアプリケーションや端末資産の管理主体などを考慮し階層化します。
例えば、1階層目で会社共通、2階層目で国ごとのレベル、3階層目でBYODや会社支給に分ける等です。
管轄している組織やそれぞれの端末に対してのポリシー(利用規約)などが分かれる単位で組織グループを設定し、更に詳細な制御はユーザーグループ、スマートグループでの制御を推奨します。
重要なことは組織全体で利用した場合を想定して初期設計を行うことで、大規模な会社でも4階層位、大体2-3階層位からスタートするのがよいでしょう。
組織グループ設計後は、Active Directoryへのユーザー作成や削除のタイミングを確認しつつ、Workspace ONE UEM上のユーザーライフサイクルとその運用方法を考えていきます。ユーザーには異動、昇進、転勤など人事イベントが発生します。そのライフサイクル、人事イベントの人の流れに合わせて設計することがポイントです。例えばActive DirectoryのグループとWorkspace ONE UEM上のユーザーグループを紐づけActive Directory上でグループが変われば、Workspace ONE UEMでも変わり、それに従ってアプリケーションやプロファイルも動的に割り当てられるようにすることも可能です。
次にデバイスは加入方法を精査し、その後レンタルか購入かに応じて故障時や返却のフローも整えることが大切です。例えばiOSデバイスでは、会社支給ないしCOPE(Corporate Owned, Personally Enabled, 企業が所有する業務用端末を特定の条件の下で社員が私的に利用できること)の場合、Appleとキャリアの連携で自動加入するDEPで代理加入ないし、キッティング時に加入します。BYODは手動で直接加入、会社支給のWindows PCはプロビジョニングパッケージで加入します。その他PC機器故障時や退職等による端末などの端末の扱いも決めていきます。重要なことはレンタル/購入などそれぞれのシーンでキッティングから端末回収までデバイスの一連の流れを考えることです。
組織グループが決定したら、もう一段踏み込んで構成を設計していきます。構成設計は採用する機能・ユーザー規模・耐障害性を考慮した上で、自社のセキュリティポリシーを見極めながら、進めていきます。その際、セキュリティ強化のためにContent GatewayのRelay/Endpoint、TunnelのFront/Backの構成、システム障害対策のためにvIDM ConnectorやAirWatch Cloud Connectorの冗長化も検討しましょう。
■ UAT環境を作成し、それをベースに本番環境を構成、そしてスモールスタート
ここまでで組織グループと構成の設計が完了しました。ここからユーザーの操作にあたる部分の設計に入っていきますが、そこで特に重要なのがUser Acceptance Test(UAT)環境の作成です(図2)。
図2.基本設計、構成設計段階ではUAT環境構築が重要
UAT環境はユーザー目線で動作を確認するために作成する検証環境で、機能設計検討時における実動作の確認を行います。機能設計の検討は採用した機能の基本設計を検討するもので、基本設計は常にUATで動作を確認しながら進めていきます。UAT環境は運用開始から運用終了まで維持し続け、必要に応じて動作の確認を行います。
フェーズ4の環境構築、展開方式では、UAT環境をベースに本番環境を構成、利用開始はスモールスタートを意識します。機能設計が終わり、本番環境を構築し、端末を展開していくフェーズですが、環境構築はすでに出来上がったのも同然です。UAT環境はその都度検証を行い、設計を固めるための環境なので、UAT設定をそのまま投入すれば本番の設定が完了します。
Workspace ONEはデバイス管理やシステム連携を中心とした製品です。ただしデバイスはOSがアップグレードされますし、連携するシステムもバージョンアップや新規採用が考えられます。それらをその都度本番環境で実施するのは困難ですし、Workspace ONE UEMのバージョン自体も上がっていきます。そこで連携システムやUEMのバージョンアップ情報を手に入れ、UAT環境で検証しましょう。UEMのバージョンはUAT環境が先に上げるよう制御ができるので、連携システムもUAT環境で本番環境導入前にチェックします。そしてUATで問題があった場合にはその解決策を本番環境に導入し、トラブルを未然に防いでいきます。
■ 全体を通して
Workspace ONE導入を成功させるためには、アプローチや要件で戦略を考えること、設計から運用までUATを使いこなすこと、展開の段階では現実的なやり方を計画することの3つが重要です。4つのフェーズで段階的に導入することで、セキュアなデジタルワークスペースと働き方改革を推進するツールとしての統合エンドポイント管理を実現することができます。
ヴイエムウェア株式会社 プロフェッショナルサービス統括本部
コンサルタント 宮本 康男
ヴイエムウェア株式会社 プロフェッショナルサービス統括本部
コンサルタント 福田 和広
