こんにちは。 SB C&S の市島です。
私は VMware 製品のプリセールスエンジニアチームに所属しており、VMware EUC製品を担当しております。
日本時間の2021年10月6日〜10月7日にVMware社の年に一度の大イベントであるVMworldが開催されました。
昨年に引き続き、今年もオンラインでのデジタルイベントとしての開催でしたが、例年どおり様々な製品・ジャンルにおいて新製品やアップデート、開発プロジェクトが発表されました。
VMworld 2021開催中の速報レポートは、弊社熊谷より別ブログ記事でお伝えしておりますので、まだご覧になっていない方は是非以下URLからご覧下さい。
・VMworld 2021 速報レポート
https://licensecounter.jp/engineer-voice/blog/articles/20211006_vmworld_2021.html
本ブログ記事では、VMware のEUC (End User Computing)製品であるVMware HorizonとVMware Workspace ONEのアップデートを中心に、VMworld 2021で発表された内容や、合わせてお伝えしたい最近のアップデート情報をピックアップしてお届けします。
※可能な限り正確な情報を掲載するよう努めていますが、必ずしも正確性を保証するものではありません。また、今後のリリースを予定していると発表されている製品・機能の紹介も含んでおり、今後内容が変更される可能性もありますのであらかじめご了承ください。
まず、VMware Horizonに関する情報からお伝え致します。
マルチクラウドのHorizonを統合管理
今年のVMworldの大きなテーマは「マルチクラウド」です。マルチクラウドを実現するための新たな戦略として「VMware Cross-Cloud Services」が発表され、あらゆるクラウド上でVMwareによって統合された様々なサービス群をユーザーに提供していくと発表されました。
このサービス郡の1つに、もちろんVMware Horizonも含まれております。
現在のHorizonは、「オンプレミスのvSphere(プライベートクラウド)」だけではなく、「VMware Cloud on AWS」「Azure VMware Solution」「Google Cloud VMware Engine」「IBM Cloud (Horizon Cloud on IBM Cloud)」「Azure(Horizon Cloud on Microsoft Azure)」といった様々なクラウド環境で構成することが可能です。
お客様の自社インフラ環境に適したクラウド環境に仮想デスクトップを準備できますし、マルチクラウドに構成された、複数のHorizon環境を統合的に管理する「Horizon Universal Console」というクラウドサービスも現在提供されています。例えば、災害対策や一時的なユーザー増に対応するため、プライベートクラウド環境とパブリッククラウド環境をハイブリッドに活用した仮想デスクトップ環境を構築・統合管理することができます。
Horizon + VMwareソリューション
今回のVMworldの発表では、HorizonとVMwareソリューションの連携強化が多く発表されました。3つのソリューションとの連携についてご紹介致します。
・Horizon + Carbon Black Cloud
次世代アンチウイルス・EDRといった、エンドポイントに対して高度なセキュリティ機能を提供するCarbon Blackですが、もちろんHorizonで構成された仮想デスクトップでも利用が可能です。
Horizonのインスタントクローン仮想デスクトップをCarbon Blackで保護したい場合、仮想デスクトップのゴールドイメージにCB Sensor(Carbon Blackのエージェント)をインストールします。CB Sensorインストール後、仮想デスクトッププールとしてクローン展開する前に、ゴールドイメージの仮想マシンに対して「Carbon Blackのバックグラウンドスキャン」「アンチウイルスシグネチャの更新作業」が推奨されています。
このように、HorizonとCarbon Blackの特徴を把握したゴールドイメージ準備作業が必要となりますので、作業忘れ・設定ミスが懸念されますが、今後Horizonの管理コンソールであるHorizon Consoleで、ゴールドイメージに適用したCarbon Blackの準備作業がチェックできるようになります。
「チェック機能のみ」と捉えると些細な機能拡張ではありますが、以前私がHorizon とCarbon Blackの連携構成を検証した際、ゴールドイメージの事前準備作業は苦労したポイントでした。仮想デスクトップ環境を準備・運用する担当の方からすると、この連携は便利な機能になるのではないかと思っています。
・Horizon + Workspace ONE Assist
Workspace ONE Assistは、Workspace ONEが提供しているデバイスのリモートサポートソリューションです。社外にいるユーザーのPC・スマートフォンの画面を、IT管理者の方がWorkspace ONE UEMの管理コンソールから同時に閲覧し、コントロールをすることができます。
このWorkspace ONE Assistが、仮想デスクトップに対しても利用できるようになる「Workspace ONE Assist for Horizon」がリリースされました。
Horizon Universal Consoleにビルトインされるため、従来のHorizon環境管理・サポート機能とほぼ変わらない操作感で利用できます。ユーザーからの問い合わせを受けたITサポートの方は、Horizon Universal Consoleでユーザー名を検索し、ユーザーが利用している仮想デスクトップの[Workspace ONE Assist]をクリックするだけで、ユーザーの仮想デスクトップ画面を同時に閲覧できるようになります。
仮想デスクトップの利用者から不具合や問い合わせがあった際のサポート作業を、ログの解析、RDP接続、サードパーティ製品で対応していたものが、Workspace ONE Assist for Horizonで効率的にサポートできるようになると思います。
・Horizon + Workspace ONE Intelligence
HorizonとVMwareソリューションの連携強化として、最後にご紹介するのが「Workspace ONE Intelligence」との連携です。
Workspace ONE Intelligenceは、Workspace ONE UEMで管理しているPC・スマートフォンの情報や、Workspace ONE Accessで認証されたユーザーのクラウドサービス利用情報など、様々な情報を収集しダッシュボード表示・レポート・自動化を行うWorkspace ONEのコンポーネントです。
このWorkspace ONE Intelligenceに、Horizonが連携できるようになる「Workspace ONE Intelligence for Horizon」が発表されました。
Workspace ONE Intelligenceの高度なモニタリング・自動化機能をVMware Horizonに対しても利用できるようになります。HorizonのPodの情報を収集し、健全性やリソース消費状況、ユーザーセッションなどを可視化します。また、Workspace ONE Intelligenceの機能である、Digital Employee Experience Management (DEEM)使用し、仮想デスクトップへのログイン時間、リソース使用率、ディスクレイテンシ、アプリのパフォーマンスなど、仮想デスクトップ利用者のユーザーエクスペリエンス情報も可視化できるようになると紹介されています。
Workspace ONE Intelligence for Horizonは、2022年中のリリースが予定されているとのことです。
次世代のHorizonアーキテクチャの発表
今回のVMworldで、Horizon環境の新しいアーキテクチャが発表されました。「Horizon Next-Generation Hybrid DaaS Architecture」という名称で発表され、クラウドを主体とした次世代のHorizonアーキテクチャです。
発表されたアーキテクチャ情報を元に、構成イメージに表した図が以下です。
現在のHorizonアーキテクチャは上記イメージ図の左側です。中央にある、Horizon接続サーバー(Connection Server)が中心となり、Horizon環境のほぼ全ての管理機能を担っています。また、Horizonのイベント情報を保存するデータベースサーバーが別途必要です。
次世代のHorizonアーキテクチャは、上記イメージ図の右側です。Horizon接続サーバー(Connection Server)が行っていた管理機能と、データベースサーバーの役割がすべてクラウド上に準備されたHorizon Control Planeで管理されるようになるアーキテクチャです。オンプレミスに従来あった接続サーバーの代わりにHorizon Edge Gatewayという新しいサーバーを構成し、このサーバーを経由してクラウドからオンプレミスのHorizon環境を管理する、といった仕組みが予定されているようです。
オンプレミス側のPodに準備しなければならなかったサーバーが削減され、クラウドを中心とした管理にシフトして行くのは、現代のITインフラ環境の変化に即した進化だと思います。新しいHorizonのアーキテクチャは、現在はロードマップとしての紹介ですので、具体的な実装時期は公開されていません。今後のアップデートを引き続きチェックしていきたいと思います。
VMware Horizonに関する情報は以上です。
次に、VMware Workspace ONEに関する情報をお伝え致します。
Workspace ONE UEM + Intel vPro プラットフォーム
Workspace ONE UEM はWindows 10, iOS, macOS, Androidといった、様々なOSデバイスを管理することができます。各OSに搭載されたデバイス管理機能を使って管理するため、基本的にリモート管理を行うためにはOS自体が起動している必要があります。
今回のVMworldでIntel vProプラットフォームと、Workspace ONE UEMの連携がロードマップとして発表されました。これによって、Intel vPro対応PCであれば電源OFF状態のデバイスであってもWorkspace ONE UEMから管理操作が行えるようになります。
vProはIntelが提供するプラットフォームのブランド名で、ビジネス向けの高度なセキュリティ・管理機能を搭載したPCに与えられるものです。「Intel vPro対応のチップ、CPUが搭載されたPC」といった形で、デバイスメーカーから供給されています。
このvProプラットフォームとWorkspace ONE UEMが連携することで、電源が切れているPCであってもWorkspace ONE UEMの管理コンソールからリモートでパワーオンさせ、管理操作ができるようになります。電源ON、スリープ解除を管理者の任意のタイミングで実施し、OS・セキュリティパッチ・アプリのアップデートを実行できます。また、OSがクラッシュしてしまっていても、リモートKVM機能を使用し、まるで手元にPCがあるかのようにデバイスを修復することができるようになるとのことです。
vPro対応PCが必要になるため、しばらく導入ハードルが少し高いかもしれませんが、OSに依存しないハードウェア/ファームウェアレベルの管理ができるようになるのは、非常に面白い機能かと思います。
デバイス管理・VPN機能のセキュリティ強化
Workspace ONE で実現するゼロトラストセキュリティをさらに強化するため、デバイス管理機能とVPN機能(Workspace ONE Tunnel)のセキュリティ機能強化が発表されました。それぞれポイントをお伝えします。
・順守ポリシーの機能強化+リアルタイム変更検知
Workspace ONE UEMによって管理されたデバイスは、順守ポリシーという機能でデバイスの状態チェックが可能です。例えば、「ウイルス対策ソフトは有効か」「パスコードが正常に設定されているか」「ディスクが暗号化されているか」といった、企業デバイスとして必要なセキュリティ設定が適用されているか定期的にチェックします。
この順守ポリシー機能の機能強化が、ロードマップとして発表されました。
アプリ、ファイル、レジストリ、OS、ハードウェアの状態、Workspace ONE センサーで取得した情報などに基づいて、企業デバイスの望ましい状態を詳細に定義できるようになるとのことです。更に、デバイスの状態変更をリアルタイムに検知できるようになります。
クラウドからリアルタイムにデバイスの健全性チェックができるようになるのは、リモートワークが急激に広まった昨今、非常にメリットのある機能になるのではないでしょうか。
・Workspace ONE Tunnel条件付きアクセス対応
Workspace ONE UEMでは、Workspace ONE Tunnelと呼ばれるクライアントVPN機能を提供しています。(Workspace ONE Tunnelの詳細についてはこちらのブログをご参照ください)
このWorkspace ONE Tunnelは、順守ポリシー違反のデバイスからのVPN接続をブロックすることが可能です。VPN接続を試みたデバイスが「企業デバイスとして管理されているデバイスか?」「セキュリティリスクのあるデバイスではないか?」といったチェックを行い、VPN接続の許可・拒否を判断しています。
さらに、このセキュリティ機能の強化として、Workspace ONE Tunnelに条件付きアクセス制御機能が実装されると発表されました。
「ユーザー」「デバイス」「VPN経由で利用したいアプリケーション」といった、条件に基づいたVPNアクセス制御ができるようになる予定です。例えば、ユーザーがいつもと異なる場所や時間にVPNアクセスを試みた場合に、本人確認を強化するためスマートフォンへ本人確認の通知を送信したり、アクセスをブロックするという制御が可能になります。
ご紹介した、デバイスの健全性をリアルタイムで確認する機能と、Workspace ONE Tunnelの条件付きアクセス制御対応をあわせ、「ユーザー」「デバイス」「アプリケーション」「ネットワーク」といった様々な要素を検証してアクセスをコントロールできるようになります。昨今注目されているゼロトラストセキュリティを、より解像度高く実現するアップデートになるのではないでしょうか。
まとめ
VMware Horizon / Workspace ONEのアップデートをピックアップしてお届けしました。
withコロナ、Afterコロナを見据え、働く場所に依存しない業務環境を実現するため、仮想デスクトップ環境を実現するHorizon、持ち出したデバイスをクラウドから管理するWorkspace ONE、どちらもお客様の注目度の高いソリューションかと思います。今回のVMworldの発表に限らず、継続的に機能アップデートがされている製品でもありますので、今後も引き続き最新の情報収集・発信に努めていきたいと思います。
本ブログでは今後も、VMware製品の情報を発信していきますので引き続きご確認頂けると幸いです。
関連記事はこちら
著者紹介
SB C&S株式会社
ICT事業本部 技術本部 技術統括部
第1技術部 1課
市島 拓弥 - Takuya Ichijima -
VMware vExpert