~SeiyaのWorkspace ONEスペシャリストへの道~

Workspace ONEに関する経験と知識を発信します

Workspace ONEとVMware Tunnel

皆さんお疲れさまです。Seiyaです。

 

今回はWorkspace ONEのVMware Tunnelについて紹介しようと思います。

 

VMware TunnelというのはWorkspace ONEで利用可能なVPN機能です。

この機能を有効にすることでBoxer - Workspace ONEのような機密性の高いアプリのみ社内リソースへアクセスを許可することが可能になります。

 

例えば企業のイントラサイトのような社内にしか公開していないWebサイトやオンプレミスに構築されているメールサーバのような社内リソースを外部公開せずに利用することが可能になります。

 

また、Workspace ONEから配布していないアプリにはVMware Tunnelを利用するための認証情報が含まれていないため、社内リソースへのアクセスはできません。

f:id:uenoseiy:20220319194232p:plain

構成図

UAGを外部公開することでインターネットからの通信はUAGを経由し、社内リソースへ到達します。

UAGはHorizon機能を利用する際にも構築されますが、HorizonとVMware Tunnel機能はどちらも利用頻度の多いサービスになるため、それぞれのサービスごとに独立したUAGを構築した方が良いと考えています。

 

実際にVMware Tunnelを利用するには、以下の設定が必要です。

  • Workspace ONE UEMでTunnel構成を設定
  • UAGでVMware Tunnelサービスを有効化
  • Workspace ONE UEMでVPNプロファイルを配信
  • Workspace ONE UEMでTunnel - Workspace ONEアプリとVPN接続を許可するアプリを配信

UEMのTunnel構成は以下のように設定します。

f:id:uenoseiy:20220319192943p:plain

Tunnel構成

 

UAGの仮想アプライアンスをデプロイした後に以下の設定を行います。

f:id:uenoseiy:20220319190850p:plain

VMware Tunnel設定画面

この時、APIの権限を持つユーザーとしてWorkspace ONE UEMのベーシックユーザーを使用すると、パスワードの有効期限が切れたタイミングでサービスが機能しなくなることに注意してください。

 

VPNプロファイルはVPNペイロードを以下のように設定します。

f:id:uenoseiy:20220319192058p:plain

VPNプロファイル

 

上記の設定をすべて実施した後にTunnel - Workspace ONEアプリとVPN接続を許可するアプリを配信しますが、VPN接続を許可するアプリについては割り当て設定時に以下のように設定します。

f:id:uenoseiy:20220319194336p:plain

割り当て設定

 

VMware Tunnelを利用するための準備は以上です。

実際に社内リソースへ接続することができることを確認してみてください。

 

社内リソースを外部公開することは攻撃に対するリスクが高めてしまいます。

しかし、Tunnel機能を有効にすることでセキュリティを高いレベルに保ちつつテレワークなどの業務に対応することが可能になります。

UAGにはContent Gatewayサービスという社内のファイルを安全に閲覧するためのサービスなども備えているので、合わせて利用を検討してみてください。

 

以上でVMware Tunnelの紹介は終わります。

引き続き、Workspace ONEについて役に立つ情報を発信していこうと思いますので、ご愛読よろしくお願いします。