Workspace ONE デジタル ワークスペース

Windows 10モダンマネジメントガイド 番外編 アプリケーション単位のトンネルを用いた社内リソースへのアクセス

はじめに

本コンテンツは、VMware Workspace ONE を用いてクラウドから Windows 10 を管理、ゼロトラスト セキュリティを実現する「最新の管理(モダンマネジメ ント)」連載の番外編です。

アプリケーション単位のトンネル(VMware Workspace ONE Tunnel, Per-App VPN)を構成することで、順守デバイスの指定アプリケーションだけが企業データセンターへ自動接続します。特定アプリケーションだけを安全に利用することができる、ゼロトラスト セキュリティを実現します。

弊社Techzoneに掲載の ”Deploying VMware Workspace ONE Tunnel: VMware Workspace ONE Operational Tutorial (運用チュートリアル: VMware Workspace ONE トンネルの展開)” の理解の一助とすべく、日本語での手順概要とスクリーンショットをご提供いたします。

 

概要

会社のDMZにVMware Unified Access Gatewayを展開し、トンネルエッジサービスを構成します。インターネットにあるデバイスからアプリケーション単位のトンネルを通じて会社内へのリソースアクセスを構成します。

 

VMware vSphere環境へのUnified Access Gatewayの展開については、弊社Techzoneに掲載の” Configuring the VMware Tunnel Edge Service: VMware Workspace ONE Operational Tutorial (運用チュートリアル: Workspace ONE トンネル エッジサービスの構成)”も合わせて参照ください。本ドキュメントではUnified Access Gatewayの展開手順については触れません。

Unified Access Gateway のドキュメント

Unified Access Gateway への VMware Tunnel のデプロイ

 

アプリケーション単位のトンネル機能およびUnified Access GatewayはVMware Workspace ONEの特定のエディションにバンドルされています。

VMware Workspace ONE のエディションの比較

 

 

Unified Access Gatewayトンネルエッジサービスの構成

VMware Workspace ONE UEMでトンネル構成を、またDMZに展開したUnified Access Gatewayでトンネルエッジサービスを構成します。Workspace ONE UEMにてUnified Access Gatewayへの接続テストを行い、トンネルエッジサービスが正しく構成されていることを確認します。

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール 自動的に生成された説明

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール 自動的に生成された説明

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

 

 

Windows 10向けWorkspace ONE Tunnelの展開

Workspace ONE UEMにてデバイストラフィック規則を構成し、[リモートデスクトップ接続]アプリ(mstsc.exe)をアプリケーション単位のトンネルの対象に、また宛先がad01.awafw.localの際にだけトンネル(トラフィックがVPN網を通過)するよう指定します。

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール 自動的に生成された説明

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

グラフィカル ユーザー インターフェイス, Web サイト 自動的に生成された説明

 

 

Windows 10向けWorkspace ONE Tunnelアプリの配信

My Workspace ONEにログインし、Windows 10向けWorkspace ONE Tunnelアプリのexe形式インストーラーを入手します。

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール 自動的に生成された説明

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール 自動的に生成された説明

 

インストールコマンドオプションを得る

exe形式インストーラーの場合、コマンドプロンプトにて /help や /? を付けて実行するとインストールコマンドオプションを表示することができます。アプリケーションのドキュメントに記載されている場合もあります。

グラフィカル ユーザー インターフェイス, テキスト 自動的に生成された説明

 

 

Windows 10向けWorkspace ONE Tunnelアプリのアップロード

Workspace ONE UEMのアプリ配信機能を用いて、Windows 10向けWorkspace ONE Tunnelアプリを加入済みデバイスに配信します。

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明 グラフィカル ユーザー インターフェイス, アプリケーション, Teams 自動的に生成された説明

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション 自動的に生成された説明

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール 自動的に生成された説明

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール 自動的に生成された説明

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール 自動的に生成された説明

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

 

 

Windows 10向けPer-App VPNプロファイルの作成

Windows 10向けPer-App VPNデバイスプロファイルを作成します。UAGでワイルドカードSSL/TLS証明書を用いている際にはカスタム構成XML項目も指定します。

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

グラフィカル ユーザー インターフェイス, テキスト, アプリケーション, メール 自動的に生成された説明

 

 

Windows 10でPer-App VPNトンネルのテスト

Windows 10で、VMware Workspace ONE Intelligent Hubアプリカタログから[VMware Workspace ONE Tunnel]をインストールします。必要に応じてWindows 10を再起動します。

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

 

 

[リモートデスクトップ接続]アプリを起動します。ad01.awafw.localへの接続を試行するとWorkspace ONE Tunnelが自動接続し、リモートデスクトップに成功します。この際、デバイスが順守状態にある際にだけアプリケーション単位のトンネル接続が確立します。

グラフィカル ユーザー インターフェイス 自動的に生成された説明

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

 

振り返り

本コンテンツで例示したようにアプリケーション単位のトンネルを構成することで、以下の条件を満たす際に、指定されたアプリケーションが指定された宛先へ通信を行う際にだけ、アプリケーション単位のトンネルが自動接続します。

  • Workspace ONE に加入している(管理されている) Windows 10である
  • Per-App VPNプロファイルが配布されている
  • 順守状態である

デバイス全体のトラフィックがVPNを通じて企業データセンターへ向かうことなく、特定のアプリケーションだけを安全に利用することができる、ゼロトラスト セキュリティを実現することができます。