~SeiyaのWorkspace ONEスペシャリストへの道~

Workspace ONEに関する経験と知識を発信します

Workspace ONE と macOS アプリ配信

皆さんお疲れさまです。Seiyaです。

 

これまでわたしはWindowsiOSを主に管理していましたが、macOS端末へアプリを配信する機会があったのでZoomアプリを例に手順を紹介しようと思います。

 

macOSへアプリを配信する場合はWindows用のexeファイルやmsiファイルをUEMへアップロードするのと同じように、macOSで使用されるdmgファイルやpkgファイルをUEMへアップロードすることでアプリを配信できるようになります。

 

また、macOS用のアプリにはplistというファイル形式のメタデータをアプリのファイルと一緒にアップロードする必要があります。

 

plistファイルは以下のURLから「Workspace ONE Admin Assistant」をmacOS端末へインストールすることでアプリファイルから取り出すことができます。

アプリ配信の設定をUEM対して行う端末には事前に「Workspace ONE Admin Assistant」をインストールしておいてください。

https://getwsone.com/AdminAssistant/VMwareWorkspaceONEAdminAssistant.dmg

 

また、今回は「Zoom」をインストールするため、以下のリンクより「zoomusInstallerFull.pkg」をダウンロードしています。

https://zoom.us/client/5.13.6.14918/zoomusInstallerFull.pkg?archType=arm64

 

続いて、「Zoom」のplistファイルを取得するために「Workspace ONE Admin Assistant」を起動し、「zoomusInstallerFull.pkg」をアップロードします。

 

ファイル選択画面が表示されたら、ダウンロードした「zoomusInstallerFull.pkg」を選択します。

ファイルの解析が終わると「Finder で表示」をクリックし、「Workspace ONE Admin Assistant」フォルダの中にplistファイルとpkgファイルが格納されていることを確認します。

plistファイル作成

 

準備が終わったらアプリ設定をUEMに対して行なっていきます。

 

UEMからアプリ配信設定を行うためには「リソース」>「アプリ」>「ネイティブ」から「追加」>「アプリケーションファイル」をクリックします。

 

アプリ追加

 

「Workspace ONE Admin Assistant」フォルダの中からpkgファイルをアップロードし、「続行」をクリックします。

pkgファイルアップロード

 

「Workspace ONE Admin Assistant」フォルダの中からplistファイルをアップロードし、「続行」をクリックします。

plistファイルアップロード


今回はインストールスクリプトやアイコンファイルの指定はせず、デフォルトでインストールするため、特に設定は行わずに「保存して割り当て」をクリックします。

アプリ設定保存


割り当て設定はプロファイルなど他の割り当て設定と同様に行います。

割り当て

 

割り当て後、オンデマンドの場合はデバイス詳細画面やIntelligent Hubアプリからインストールを実施したタイミング、自動の場合は「展開の開始」に設定されている時刻になったら自動的にアプリ配信が開始されます。

 

「Zoom」がインストールされるとポップアップが表示されます。

Zoomインストール

 

以上でmacOS端末に対するアプリ配信設定は終了です。

 

インストールスクリプトを活用することで、企業コードの入力が必要なアプリや初期設定が必要なアプリに対してコマンドを流しこむことが可能なので、アプリ配信の設定を行うときに使用することができるコマンドを確認し、設定の自動化を行うなど柔軟なアプリ配信ができると思いますので、ぜひ活用してみてください。

 

これからも Workspace ONE に関する情報などを発信していこうと思うので、ご愛読よろしくお願いいたします。

vExpert -2023-

皆さんお疲れさまです。Seiyaです。

 

2023年度のvExperプログラムの申請が始まっているので、改めてvExpertについて情報共有させていただこうと思います。

 

まずvExpertプログラムとは全世界に対してVMwareを広めていくために企業ではなく、個人としての活動を支援していくためのプログラムです。

 

vExpertになるためにはSNSやブログ、Youtubeなどのコンテンツ、ウェビナーや講演会の企画、登壇など形に関わらず、VMwareの情報を発信するような活動が評価されます。

 

vExpertは一年ごとに更新されるため、活動を継続し、毎年申請を提出する必要があります。

vExpertの申請は以下のサイトからアカウントを作成し、行うことができます。

vexpert.vmware.com

 

vExpertに認定されるとさまざまな特典を利用できるようになります。

ESXiやvCenterのisoファイルをダウンロードしたり、一年間有効なライセンスを使うことができるようになります。

 

その他にvExpert限定で参加することができるセミナーやslackのスペースへ参加することができます。

 

現在の申請期間は期限が延長されて1/27までとなっておりますので、期限に注意してください。

 

vExpertになるとさまざまなコンテンツを利用できるようになるので、さらに発信できる情報を増やすことができるので一度vExpertへなった人は継続してvExpertになる人が多いように感じます。

 

vExpertは企業単位ではなく、個人で評価されるものになるので本人のやる気次第で誰でもなることができるものになっています。

 

vExpertの申請は毎年受け付けているので申請時期を確認して、今はまだ活動ができていない人でもぜひ目指してみてもらえたらと思います。

 

以上でvExpertについての紹介は終わりにしようと思います。

 

これからもWorkspace ONEを中心にVMwareについても情報を発信していこうと思いますので、ご愛読よろしくお願いします。

 

VMware Explore 2022 US

皆さんお疲れさまです。Seiyaです。

 

少し時期が遅れてしまいましたが、VMware Explore 2022 USへ参加させていただいたのでブログを書こうと思います。

 

VMware Explore 2022はこれまでVMWorldという名前のイベントとして開催されていました。

今年からVMwareはオンプレからクラウドへ、クラウドからこれからの新しい技術へ探究を続けていくという考えからイベントタイトルを変更しました。

VMware Explore会場の様子

 

「General Session」ではVMwareのビジョンや様々な新しいテクノロジーが紹介されました。

 

VMwareは現在多くの企業でマルチクラウド化が進んでいる一方で、異なる製品ごとにそれぞれ管理をしなくてはいけない現在の状況を「Cloud Chaos」と呼び問題視していました。

これからはこれらの「Cloud Chaos」の状況を改善し、「Cloud Smart」な状態を目指すと発表しました。

 

また、多くのテクノロジーについて発表がありましたが、私は「Anywhere Worksapce」の中で紹介された「Workspace ONE」の「Freestyle Orchestrator」という新機能が気になりました。

Freestyle Orchestrator

 

「Freestyle Orchestrator」の概要としてはワーフフローを事前に作成することによって、端末の状態ごとにアプリやプロファイルを自動的に配布することで自動的に端末を最適な状態に保つことができるようになるという機能です。

 

今後、このブログでも機能検証を行い、結果を共有したいと考えています。

 

他にも「VMware vSphere 8」や「VMware Tanzu」、「VMware Aria」など多くの紹介がありました。

 

「General Session」以外にも個別のプロダクトのセッションや企業ブースがありました。

個別セッション

企業ブースの様子

 

企業ブースでは軽食やドリンクが配布されており、日本で出展されるような企業紹介とは違ってラフな印象を受けました。

 

USの他にVMware Explore 2022 Japanも開催されますので、興味のある方は参加されてはいかがでしょうか。

VMware Explore 2022 Japan | 2022年11月15日(火) - 16日(水) | ザ・プリンス パークタワー東京/オンライン同時開催

 

今回はVMware Explore 2022について紹介させていただきました。

新しいテクノロジーの紹介や見たことのない土地を見るのはとても新鮮でとても楽しかったです。

 

これからもブログを続けていこうと思うので、引き続き、ご愛読よろしくお願いします。

Workspace ONEとVMware Tunnel

皆さんお疲れさまです。Seiyaです。

 

今回はWorkspace ONEのVMware Tunnelについて紹介しようと思います。

 

VMware TunnelというのはWorkspace ONEで利用可能なVPN機能です。

この機能を有効にすることでBoxer - Workspace ONEのような機密性の高いアプリのみ社内リソースへアクセスを許可することが可能になります。

 

例えば企業のイントラサイトのような社内にしか公開していないWebサイトやオンプレミスに構築されているメールサーバのような社内リソースを外部公開せずに利用することが可能になります。

 

また、Workspace ONEから配布していないアプリにはVMware Tunnelを利用するための認証情報が含まれていないため、社内リソースへのアクセスはできません。

f:id:uenoseiy:20220319194232p:plain

構成図

UAGを外部公開することでインターネットからの通信はUAGを経由し、社内リソースへ到達します。

UAGはHorizon機能を利用する際にも構築されますが、HorizonとVMware Tunnel機能はどちらも利用頻度の多いサービスになるため、それぞれのサービスごとに独立したUAGを構築した方が良いと考えています。

 

実際にVMware Tunnelを利用するには、以下の設定が必要です。

  • Workspace ONE UEMでTunnel構成を設定
  • UAGでVMware Tunnelサービスを有効化
  • Workspace ONE UEMでVPNプロファイルを配信
  • Workspace ONE UEMでTunnel - Workspace ONEアプリとVPN接続を許可するアプリを配信

UEMのTunnel構成は以下のように設定します。

f:id:uenoseiy:20220319192943p:plain

Tunnel構成

 

UAGの仮想アプライアンスをデプロイした後に以下の設定を行います。

f:id:uenoseiy:20220319190850p:plain

VMware Tunnel設定画面

この時、APIの権限を持つユーザーとしてWorkspace ONE UEMのベーシックユーザーを使用すると、パスワードの有効期限が切れたタイミングでサービスが機能しなくなることに注意してください。

 

VPNプロファイルはVPNペイロードを以下のように設定します。

f:id:uenoseiy:20220319192058p:plain

VPNプロファイル

 

上記の設定をすべて実施した後にTunnel - Workspace ONEアプリとVPN接続を許可するアプリを配信しますが、VPN接続を許可するアプリについては割り当て設定時に以下のように設定します。

f:id:uenoseiy:20220319194336p:plain

割り当て設定

 

VMware Tunnelを利用するための準備は以上です。

実際に社内リソースへ接続することができることを確認してみてください。

 

社内リソースを外部公開することは攻撃に対するリスクが高めてしまいます。

しかし、Tunnel機能を有効にすることでセキュリティを高いレベルに保ちつつテレワークなどの業務に対応することが可能になります。

UAGにはContent Gatewayサービスという社内のファイルを安全に閲覧するためのサービスなども備えているので、合わせて利用を検討してみてください。

 

以上でVMware Tunnelの紹介は終わります。

引き続き、Workspace ONEについて役に立つ情報を発信していこうと思いますので、ご愛読よろしくお願いします。

Workspace ONE とシングルサインオン

皆さんお疲れさまです。Seiyaです。

 

今回はWorkspace ONEのシングルサインオンについて紹介しようと思います。

 

まずシングルサインオンというものについてご説明します。

シングルサインオンとは1度だけアプリにログインすることでログインしたアプリ以外のアプリへアクセスする時に認証が不要になる機能です。

以下の図にはユーザーAがWorkspace ONE Access(Access)へログインし、Office 365などのアプリにシングルサインオンをしていることを表しています。

f:id:uenoseiy:20220211165501p:plain

シングルサインオン

 

シングルサインオンを使うことでユーザーは1度のログインで複数のアプリを利用できるため、利便性が向上します。

また、アプリごとにアカウントやパスワードを管理する必要がないためアカウント管理が容易になります。

一方、デメリットとして1つの認証情報が流出してしまった場合には複数のアプリが利用できてしまうため、2要素認証を利用するなどのセキュリティ対策を行うことを推奨しています。

 

続いてシングルサインオンを導入する場合に必要な前提条件についてご説明します。

 

前提として初めにログインするアプリをIDプロバイダー(IDP)、シングルサインオンする先のアプリをサービスプロバイダー(SP)と呼びます。

シングルサインオンを実現するためには事前にIDPとSPで信頼関係を結ぶ必要があります。

信頼関係を結ぶ方法としてはSAML2.0やWS-Faderationといったが多く使われます。

 

また、IDPとSPには共通のアカウント情報が登録されている必要があります。

これには共通のADからユーザーを連携する方法やジャストインプロビジョニングというIDPに登録されているユーザーをSPへ自動的に登録する方法が利用されています。

 

例として以下にAccessとOffice 365でシングルサインオンを利用する場合のシステム構成を示します。

f:id:uenoseiy:20220211171729p:plain

システム構成

 

以下にAccessとOffice 365を連携させた場合の画面遷移の例を示します。

f:id:uenoseiy:20220211173203p:plain

(1)ユーザー名入力

f:id:uenoseiy:20220211173222p:plain

(2)パスワード入力

f:id:uenoseiy:20220211173302p:plain

(3)Accessアプリカタログ

f:id:uenoseiy:20220211173352p:plain

(4)Officeポータル

上記の画面遷移のようにAccessへログインしたたけで、Office 365へアクセスすることができることがわかると思います。

上記の例はパスワード認証のみとなっておりますが、Accessのポリシーを変更することで証明書認証やVerifyを使った2要素認証を実現することができます。

 

シングルサインオンについての紹介は以上となります。

シングルサインオンはユーザーだけでなく管理者に対するメリットも多いため導入を検討してみてはいかがでしょうか。

 

シングルサインオンと2要素認証の組み合わせは多くの企業でも導入されていると思いますので、今後記事でも紹介できたらと考えています。

引き続き、Workspace ONEについて役に立つ情報を発信していこうと思いますので、ご愛読よろしくお願いします。

vExpert 2022

皆さんお疲れさまです。Seiyaです。

 

vExpertについて記事を書こうと思います。

 

vExpert 2022の申請期間は数回の延長を重ねて2022/1/28となっています

コロナの影響で期間が変更になっているので、今後さらに変更される可能性はありますが、、

 

そろそろ申請期限となっているので、申請をしようと思っている人がいたらお忘れなく!

 

続いて、良くvExpertのことを良く知らない方のためにvExpertがどのようなものか紹介しようとおもいます。

 

vExpertとはVMwareの製品を宣伝したり、コミュニティで技術共有をすることによってVMwareコミュニティの拡大に貢献した人に送られる認定です。

 

この認定を受けるメリットはたくさんありますが、中でも私が良く使っている特典はVMware製品の無償評価ライセンスです。

vCenterやHorizonなどほとんどのVMwareの製品が1年間無料で使うことができるようになります。

これを利用して新機能の評価やお客さまから来た問い合わせのトラブルシューティングを行っています。

 

その他にもvExpert向けのウェビナーが開催されたり、vExpertのみが所属するSlackチャンネルへ招待されるなど一般向けは公開されていない情報を入手することができるようになります。

 

これらを活用することで自分の専門外の分野であっても、2000人を超える全世界のエキスパートへ対してコンタクトを取ることができます。

 

ただし、これらの特典を継続的に利用するためには毎年vExpertを更新する必要があります。

vExpertを更新するためには以下のサイトから毎年6月または12月ごろから開始される申請を承認される必要があります。

vexpert.vmware.com

 

この申請には申請から過去1年間の実績、例えばウェビナーやブログ、コミュニティへの参加など、VMwareへの貢献度を示す必要があります。

 

審査にはだいたい1ヶ月から2ヶ月程度かかります。

審査が終了し、vExpertに認定されるとvExpertのステータスがアクティブになり、上記の特典を利用することが可能になります。

 

1点注意点として、申請に利用できる言語は英語のみとなっているため、最低限の英語は習得する必要があります。

 

今回の申請については最近の新型コロナウイルスの影響で、昨年から継続して申請を行う人については申請が必須ではないとVMwareからアナウンスされていますが、今年初めて申請する人は頑張ってください!

 

以上でvExpertの紹介は終了となります。

 

私は昨年vExpertになったばかりで☆も少ないですが、このブログについても一層みなさんの役に立てることができればと思います。

 

今後も引き続き、ご愛読よろしくお願いします。

Workspace ONE Intelligenceの機能紹介

皆さんお疲れさまです。Seiyaです。

 

今回はWorkspace ONE Intelligence(以下、Intelligence)について紹介しようと思います。

 

IntelligenceとはWorkspace ONEのライセンスの中でもEnterpriseエディションで利用することができるWorkspace ONEのコンポーネントの1つです。

Intelligenceの持つ機能として自動化、レポート、分析があります。

 

自動化とは事前に設定した条件を満たす場合にプロファイルのインストールやワイプなどのコマンドを自動的に実行させる機能です。

これに似た機能としてWorkspace ONE UEMの順守ポリシーというものがありますが、Intelligenceの自動化ではSlackやServiceNowなどの外部サービスと連携することにより幅広いアクションを自動化することが可能となります。

f:id:uenoseiy:20211230222713p:plain

ジェイルブレーク状態またはルート化されたデバイスが検出されました

 

レポートとは端末のフレンドリ名やシリアルナンバーなどの属性を指定することで柔軟なレポートを作成する機能です。

この機能を使うことによりWorkspace ONE UEMで取得することが可能な規定のレポートに加え、センサーで取得した情報などの様々な情報をレポートとして出力することが可能になります。

f:id:uenoseiy:20211230222836p:plain

CVE 脆弱性を持つすべての Windowsバイス

 

分析とはアプリの起動回数を分析し、人気アプリを表示したり、端末に含まれる脆弱性からリスクの高い端末を表示することが可能になります。

自動化と組み合わせることで、リスクの高い端末を自動的にワイプしたり、レポートと組み合わせることでリスクの高い端末のみをレポート化することが可能です。

f:id:uenoseiy:20211230221448p:plain

既知の脆弱性

 

Intelligenceの機能は管理している端末の台数が多ければ多いほどメリットも大きくなるため、数千から数万台規模で運用を行なっている企業に対してはおすすめです。

 

逆に規模の小さい企業で導入を考えている場合は要件を整理し、StandardまたはAdvanceエディションのライセンスで利用できる機能で要件を実現できないかを検討する方が費用対効果が大きくなるでしょう。

 

IntelligenceはCarbon BlackやNetskopeなどサードパーティのサービスと連携することでセキュリティリスクの分析を行うことも可能となっており、利用している製品と連携を行うことができるのかという点も導入を検討する要因の1つになると思います。

 

もし、端末管理やセキュリティに費用を投資することが可能であればIntelligenceも視野に入れてみてはいかがでしょうか。

 

今後も引き続き、ご愛読よろしくお願いします。