今回は、Workspace ONE Tunnel(VMware Tunnel)について解説します。

Workspace ONE Tunnelは、Workspace ONEが提供するVPN機能の一部です。
そもそもVPNとはVirtual Private Networkの略で、「仮想専用通信網」を意味します。
VPNを使ってインターネットに接続すると、物理的な専用回線を使用せずに、共用の回線を仮想的に独立した専用回線のようにします。
VPNの概念は、よく道路として例えられますが、道路自体は全ての人で共有されていますが、車内ではプライバシーやセキュリティが確保されていて、VPNは車内だと考えてください。つまり、VPNを利用することで、物理的な専用回線を引くよりもコストを抑えつつ、共用回線を利用する際の安全性を確保できる技術がVPNです。

VPN機能もWorkspace ONEでは、VPN機能を有効にすることで、高セキュリティなアプリケーション（例：VMware WebのようなVMwareアプリ）のみが社内リソースにアクセスできるように制限することできます。
これにより、企業のポータルサイトやオンプレミスのメールサーバなどの重要な社内リソースへの外部からのアクセスを制御できます。
また、Workspace ONEから配布されていないアプリはWorkspace ONE Tunnelを使用するための認証情報が含まれていないため、社内リソースへのアクセスを制限することも可能です。これにより、セキュリティを強化し、機密性を保護することができます。

---

Workspace ONE Tunnelの種類

Workspace ONE Tunnelには、「アプリケーションベース VPN (Per-App VPN)」と「フルデバイスVPN」の主に2種類のVPN機能を提供します。
アプリケーションベース VPNは、Workspace ONE UEMで許可された一部のアプリのみがVPN通信できる方式です。つまり、特定のアプリケーションのトラフィックだけがVPNを経由して通信します。この方式は、Windows、iOS、macOS、Androidの各OSデバイスで利用可能です。
このアプリケーションベース VPNを使用することで、企業は特定のアプリにセキュアなアクセスを許可し、他のアプリやデバイスからのアクセスを制限することができます。例えば、社内の機密情報へのアクセスを必要とするアプリにのみVPNを適用し、個人用途のアプリからのアクセスを防ぐことができます。
さらに、デバイスのセキュリティを向上させるだけでなく、ネットワークの負荷を軽減する効果もあります。なぜなら、VPN通信が特定のアプリケーションのみ制限されるため、不必要なトラフィックが減少し、ネットワークリソースの効率的な利用が可能になるからです。

2つ目のフルデバイスVPNは、一般的なVPN機能と同様のイメージを持っていただければと思います。
1つ目に紹介したアプリケーションベース VPN (Per-App VPN)とは異なり、アプリケーションを限定することなく、デバイスの全ての通信をWorkspace ONE Tunnel経由の通信として処理します。そのため、Workspace ONE UENで管理を行なっていないアプリケーションからも、Workspace ONE Tunnelを経由させることで社内システムへアクセスすることが可能です。

ここで紹介したVPN方式は、両方併用して使用することも可能です。例えば、営業職に配布しているiPhoneデバイスに対してはアプリケーションベース VPN (Per-App VPN)を設定し、社内配布PCにはフルデバイスVPNなど。管理者が求めるデバイス運用をWorkspace ONE UEMで一括で管理することができます。

Workspace ONE Tunnelを用いる際の構成イメージ

Workspace ONE Tunnelを利用して社内環境にアクセスさせる際は、Unified Access Gateway(UAG)と呼ばれるゲートウェイを構築する必要があります。
UAGは新規で購入することなく、様々な仮想環境に展開可能です。

※詳細はUAGを構成する際の注意点もこちらの記事を参照ください

---

Workspace ONE Tunnelの構成手順・イメージ

UAGはDMZに構成し、UAGを外部公開することでインターネットからの通信をUAG経由で社内環境にアクセスさせることができるようになります。Workspace ONE Tunnelの構成手順・イメージは以下の通りです。

Workspace ONE UEMでのWorkspace ONE Tunnel構成を設定
①UAG上で、Workspace ONE Tunnel機能を有効化
②Workspace ONE UEMでVPNプロファイルを配信
③Workspace ONE UEMでWorkspace ONE TunnelでVPN接続させるアプリケーションを配信する

Workspace ONE UEMでのWorkspace ONE Tunnel構成イメージ
ここで外部公開されているUAGのホスト名やポート番号。認証サーバーの証明書の設定を行います。

また、注意点としてWorkspace ONE Tunnel(VMware Tunnel) の Tunnel Proxy のサポートは2023年1月に終了してます。
そのため、Workspace ONE UEMの管理コンソールではVMware TunnelのTunnel Proxyの設定画面表示は存在するものの、Tunnel Proxyをお使いになっていたお客様は、VMware の Unified Access Gateway（UAG）を構築し、VMware Per-App Tunnelへ変更する必要がございます。
これによって、以前まではWorkspace ONEが独自で提供しているWebアプリなどでTunnel Proxyを用いてVPN接続されていた方も、Tunnel SDK が VMware Tunnel を利用するようになるため、VMware Per-App Tunnelで一本化された形になりました。

最後にVMware Tunnel を活用することで、管理者は、ユーザーが管理対象デバイスや管理対象外デバイスから社内環境にアクセス管理することができるようになります。
また、Workspace ONE UEMの順守ポリシー機能と組み合わせることで、デバイスの健全性に基づいた社内ネットワークへのアクセス制御も実施することができるため、より柔軟に強固なセキュティ環境も実現できるので利用してみてください。
最後まで読んでいただき、ありがとうございました。

（参考文献）
Workspace ONE Tunnelについて

Workspace ONE Tunnelサポート終了について

順守ポリシーについて