SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

Workspace ONE ブログ 〜Workspace ONE のご紹介〜

VMware
    2019.06.12

    こんにちは。 SB C&S の市島です。
    私は VMware 製品のプリセールスエンジニアチームに所属しており、主に Workspace ONE を担当しております。
    本ブログでは、Workspace ONE の各種機能や関連する製品の情報を発信していきます。

    2016年に発表された Workspace ONE ですが、最近は製品名をご存知の方も多くなり、日本国内にもだいぶ定着してきたのではないでしょうか。

    ですが、Workspace ONE が「デジタルワークスペースを提供する製品」「シングルサインオンができる製品」「デバイス管理ができる製品」などの概要的な製品イメージはご存知でも、具体的にどのようなコンポーネントで構成されていてるかはよくわからない、という方も少なくないと思います。

    そこで、今回は Workspace ONE のご紹介と題しまして、Workspace ONE コンポーネント視点で機能概要をご紹介します。

    ●Workspace ONE のコンポーネント

    Workspace ONE は Software Suite 製品(複数のソフトウェアをセットにしたもの)です。主に3つの製品で構成されます。

    ws1_v1_img1.png

    1つ目は、統合エンドポイント管理を行う「 Workspace ONE UEM ( Unified Endpoint Management ) 」です。様々な種類のデバイスを管理・制御することができます。
    ※以前は AirWatch という名称の製品でしたが2018年に現在の名称に変更されました。

    2つ目は、 " IDaaS ( Identity as a Service ) " の機能を提供する「 Identity Manager 」です。条件に基づいたアプリケーションのアクセス コントロール、シングルサインオンを実現します。

    3つ目は、仮想デスクトップインフラ(VDI)・リモートデスクトップサービス(RDS)を管理・提供する「 Horizon 」です。

    これらの製品が連携し、デバイスの種類・環境を問わずに「セキュアに」「簡単に」企業アプリケーションやデータにアクセスできるデジタルワークスペース環境を実現するのが Workspace ONE です。

    それでは次に、各製品の機能についてご紹介します。

    ●Workspace ONE UEM

    Workspace ONE UEM は企業で使用するパソコン・スマートフォン等のデバイスを、デバイスの使用場所を問わずにどこからでも安全に利用できるように統合管理するツールです。
    管理対象のデバイスを Workspace ONE UEM に登録することで、以下のような管理コンソールから管理ができます。

    ws1_v1_img2.png

    Workspace ONE UEM は様々な種類のデバイス管理に対応しており、Windows クライアント OS 、iPad や iPhone 等の Apple iOS 、Apple macOS 、Google Android 、Google ChromeOS などの企業で一般的に使用されるデバイスの管理が可能です。

    また、他にも Apple tvOS 、Google Glass 、Linux Device などのIoTデバイスやウェアラブルデバイスの管理にも対応しており、モバイルデバイスの管理だけではなく「 Unified Endpoint Management (統合エンドポイント管理 ) 」ができる製品となっています。


    Workspace ONE UEM に登録されたデバイスは、以下のような管理機能により制御することができます。
    ・MDM ( Mobile Device Management ) :設定やセキュリティポリシーを適用、遠隔ワイプ
    ・MAM ( Mobile Application Management ):企業アプリケーションの配信と管理
    ・MCM ( Mobile Contents Management ):業務データ(コンテンツ)へのモバイルアクセスと保護
    ・MEM ( Mobile E-mail Management ):E-mailの設定配信/データ保護/アクセス制御
    こういった、モバイルデバイスの統合的な管理を行えるツールを EMM ( Enterprise Mobility Management ) と呼びます。

    このような管理機能により Workspace ONE UEM は様々な種類のデバイスに対し、企業で求められるセキュリティを確保しながら業務アプリケーション・コンテンツ(データ)・メールにアクセスできる環境を提供することができます。

    Workspace ONE UEM はクラウドサービス( SaaS )として導入するのが一般的ですが、お客様のオンプレミス環境に自前で構築・運用することも可能です。

    ●Identity Manager

    Workspace ONE といえば以下のようなポータル画面のイメージが強いのではないでしょうか?

    ws1_v1_img3.png

    このアプリケーションポータルを提供しているのが Identity Manager です。

    管理者は Identity Manager にクラウドサービス・WEB アプリケーション・Horizon 仮想アプリケーションを登録し、ユーザー(グループ)に割り当てます。
    ユーザーがアプリケーションポータル( Identity Manager )にログインすると、そのユーザーが業務に利用するアプリケーションが表示されます。

    このアプリケーションポータルはデバイスの種類を問わずにアクセスができるので、ユーザーはどのデバイスからでも自分専用のアプリケーションポータルにアクセスができます。
    WEB ブラウザ、または専用の Workspace ONE アプリから利用します。

    また、Identity Manager は SAML 、OpenID Connect 、WS-Federation といったフェデレーション認証プロトコルに対応しており、Office 365 や Salesforce といった企業で利用されるクラウドサービス・WEB アプリケーションへのシングルサインオン( SSO )が可能です。
    これにより、ユーザーはアプリケーションポータルに1度ログインするだけでクラウドサービスへ簡単にアクセスができるようになり、クラウドサービス毎に ID/PW を管理する必要がなくなります。

    ws1_v1_img4.png

    Identity Manager のアプリケーションポータルによりユーザーが簡単にアプリケーションにアクセスできるようになることをご紹介致しましたが、もちろん管理者にもメリットがあります。

    管理者は条件付きアクセスポリシーによりデバイスの種類や、接続しているネットワーク環境(社内・社外)によって、ユーザーのアプリケーションアクセスをコントロールできるようになります。

    例えば、社内のネットワーク環境からはクラウドサービスアプリケーションへのアクセスを許可しますが、社外のネットワークからアクセスすることは禁止する、といった制御がアプリケーション単位で設定可能です。
    上記の例のようにアクセスを禁止するだけではなく、社外からのアクセスは2要素認証を必須にしたり、重要な企業アプリケーションはデバイスにインストールした証明書によるログインを行うなどの柔軟なアクセス制御ができます。


    また、Identity Manager と Workspace ONE UEM を連携させることで、管理しているデバイスの状態を検知したアクセス制御(コンディショナルアクセス)が可能になります。

    一例ですが、以下のようなデバイスのリスク状態を検知し、ユーザーのアプリケーションアクセスを制御できます。
    ・企業デバイスとして Workspace ONE UEM に登録されているか
    ・適切に更新プログラム(セキュリティパッチ)が適用されているか
    ・ウイルス対策ソフトの状態が正常状態か
    ・ディスクが暗号化されているか

    このように企業で求められるセキュリティを確保しながら、様々なアプリケーションに様々なデバイス・環境から、ユーザーが簡単にアクセスできる環境を提供することができます。

    Identity Manager も Workspace ONE UEM と同様にクラウドサービス( SaaS )として導入するのが一般的ですが、お客様のオンプレミス環境に自前で構築・運用することも可能です。


    ●Horizon

    VMware の EUC (End User Computing) 製品としておなじみの Horizon です。仮想デスクトップや RDSH によるアプリケーション配信を提供します。

    Horizon で提供される仮想デスクトップや公開アプリケーションは、Identity Manager にアプリケーションとして登録ができます。ユーザーは Identity Manager のポータルに1度ログインするだけで、クラウドサービスや Web アプリケーションと同様に仮想デスクトップや公開アプリケーションへアクセスできるようになります。

    Workspace ONE では Enterprise ライセンスで RDSHによるアプリケーション配信機能 ( Horizon Apps ) が、Enterprise for VDI ライセンスで Horizon Enterprise 相当の機能が利用できます。また、この Horizon 環境はお客様のオンプレミス環境での利用、または Horizon Cloud での利用を選択することができます。

    ※Horizon Enterprise の一部機能は利用できないので注意が必要です。詳細は当社にご相談ください。


    ●まとめ

    Workspace ONE を構成する3つのコンポーネント「 Workspace ONE UEM 」「 Identity Manager 」「 Horizon 」をご紹介させていただきましたが、全体像を1つの図であらわすと以下のようなイメージになります。

    ws1_v1_img5.png

    各製品は単独で動作するのではなく、連携することで Workspace ONE の特徴である、あらゆるアプリケーションへあらゆるデバイスからシンプルにそしてセキュアにアクセスできる「デジタルワークスペース」が実現されています。

    ●最後に

    今回の記事では Workspace ONE の概要をお伝えさせていただきました。

    概要と言いながら盛りだくさんな機能紹介になってしましたが、実はまだまだ多数の機能が Workspace ONEには 実装されていますし、どんどん機能が追加されています。

    次回以降「 Workspace ONE ブログ」では今回ご紹介しきれなかったサービスや活用術などを発信していきたいと思います。

    Workspace ONE の紹介資料はこちらからダウンロード

    著者紹介

    SB C&S株式会社
    技術統括部 第1技術部 3課
    市島 拓弥