はじめに
本コンテンツは、VMware Workspace ONE を用いてクラウドから Windows 10 を管理、ゼロトラスト セキュリティを実現する「最新の管理(モダンマネジメ ント)」連載の番外編です。
アプリケーション単位のトンネル(VMware Workspace ONE Tunnel, Per-App VPN)を構成することで、順守デバイスの指定アプリケーションだけが企業データセンターへ自動接続します。特定アプリケーションだけを安全に利用することができる、ゼロトラスト セキュリティを実現します。
弊社Techzoneに掲載の ”Deploying VMware Workspace ONE Tunnel: VMware Workspace ONE Operational Tutorial (運用チュートリアル: VMware Workspace ONE トンネルの展開)” の理解の一助とすべく、日本語での手順概要とスクリーンショットをご提供いたします。
概要
会社のDMZにVMware Unified Access Gatewayを展開し、トンネルエッジサービスを構成します。インターネットにあるデバイスからアプリケーション単位のトンネルを通じて会社内へのリソースアクセスを構成します。
VMware vSphere環境へのUnified Access Gatewayの展開については、弊社Techzoneに掲載の” Configuring the VMware Tunnel Edge Service: VMware Workspace ONE Operational Tutorial (運用チュートリアル: Workspace ONE トンネル エッジサービスの構成)”も合わせて参照ください。本ドキュメントではUnified Access Gatewayの展開手順については触れません。
Unified Access Gateway のドキュメント
Unified Access Gateway への VMware Tunnel のデプロイ
アプリケーション単位のトンネル機能およびUnified Access GatewayはVMware Workspace ONEの特定のエディションにバンドルされています。
VMware Workspace ONE のエディションの比較
Unified Access Gatewayトンネルエッジサービスの構成
VMware Workspace ONE UEMでトンネル構成を、またDMZに展開したUnified Access Gatewayでトンネルエッジサービスを構成します。Workspace ONE UEMにてUnified Access Gatewayへの接続テストを行い、トンネルエッジサービスが正しく構成されていることを確認します。
Windows 10向けWorkspace ONE Tunnelの展開
Workspace ONE UEMにてデバイストラフィック規則を構成し、[リモートデスクトップ接続]アプリ(mstsc.exe)をアプリケーション単位のトンネルの対象に、また宛先がad01.awafw.localの際にだけトンネル(トラフィックがVPN網を通過)するよう指定します。
Windows 10向けWorkspace ONE Tunnelアプリの配信
My Workspace ONEにログインし、Windows 10向けWorkspace ONE Tunnelアプリのexe形式インストーラーを入手します。
インストールコマンドオプションを得る
exe形式インストーラーの場合、コマンドプロンプトにて /help や /? を付けて実行するとインストールコマンドオプションを表示することができます。アプリケーションのドキュメントに記載されている場合もあります。
Windows 10向けWorkspace ONE Tunnelアプリのアップロード
Workspace ONE UEMのアプリ配信機能を用いて、Windows 10向けWorkspace ONE Tunnelアプリを加入済みデバイスに配信します。
Windows 10向けPer-App VPNプロファイルの作成
Windows 10向けPer-App VPNデバイスプロファイルを作成します。UAGでワイルドカードSSL/TLS証明書を用いている際にはカスタム構成XML項目も指定します。
Windows 10でPer-App VPNトンネルのテスト
Windows 10で、VMware Workspace ONE Intelligent Hubアプリカタログから[VMware Workspace ONE Tunnel]をインストールします。必要に応じてWindows 10を再起動します。
[リモートデスクトップ接続]アプリを起動します。ad01.awafw.localへの接続を試行するとWorkspace ONE Tunnelが自動接続し、リモートデスクトップに成功します。この際、デバイスが順守状態にある際にだけアプリケーション単位のトンネル接続が確立します。
振り返り
本コンテンツで例示したようにアプリケーション単位のトンネルを構成することで、以下の条件を満たす際に、指定されたアプリケーションが指定された宛先へ通信を行う際にだけ、アプリケーション単位のトンネルが自動接続します。
- Workspace ONE に加入している(管理されている) Windows 10である
- Per-App VPNプロファイルが配布されている
- 順守状態である
デバイス全体のトラフィックがVPNを通じて企業データセンターへ向かうことなく、特定のアプリケーションだけを安全に利用することができる、ゼロトラスト セキュリティを実現することができます。