Workspace ONEとVMware Tunnel
皆さんお疲れさまです。Seiyaです。
今回はWorkspace ONEのVMware Tunnelについて紹介しようと思います。
VMware TunnelというのはWorkspace ONEで利用可能なVPN機能です。
この機能を有効にすることでBoxer - Workspace ONEのような機密性の高いアプリのみ社内リソースへアクセスを許可することが可能になります。
例えば企業のイントラサイトのような社内にしか公開していないWebサイトやオンプレミスに構築されているメールサーバのような社内リソースを外部公開せずに利用することが可能になります。
また、Workspace ONEから配布していないアプリにはVMware Tunnelを利用するための認証情報が含まれていないため、社内リソースへのアクセスはできません。
UAGを外部公開することでインターネットからの通信はUAGを経由し、社内リソースへ到達します。
UAGはHorizon機能を利用する際にも構築されますが、HorizonとVMware Tunnel機能はどちらも利用頻度の多いサービスになるため、それぞれのサービスごとに独立したUAGを構築した方が良いと考えています。
実際にVMware Tunnelを利用するには、以下の設定が必要です。
- Workspace ONE UEMでTunnel構成を設定
- UAGでVMware Tunnelサービスを有効化
- Workspace ONE UEMでVPNプロファイルを配信
- Workspace ONE UEMでTunnel - Workspace ONEアプリとVPN接続を許可するアプリを配信
UEMのTunnel構成は以下のように設定します。
UAGの仮想アプライアンスをデプロイした後に以下の設定を行います。
この時、APIの権限を持つユーザーとしてWorkspace ONE UEMのベーシックユーザーを使用すると、パスワードの有効期限が切れたタイミングでサービスが機能しなくなることに注意してください。
VPNプロファイルはVPNペイロードを以下のように設定します。
上記の設定をすべて実施した後にTunnel - Workspace ONEアプリとVPN接続を許可するアプリを配信しますが、VPN接続を許可するアプリについては割り当て設定時に以下のように設定します。
VMware Tunnelを利用するための準備は以上です。
実際に社内リソースへ接続することができることを確認してみてください。
社内リソースを外部公開することは攻撃に対するリスクが高めてしまいます。
しかし、Tunnel機能を有効にすることでセキュリティを高いレベルに保ちつつテレワークなどの業務に対応することが可能になります。
UAGにはContent Gatewayサービスという社内のファイルを安全に閲覧するためのサービスなども備えているので、合わせて利用を検討してみてください。
以上でVMware Tunnelの紹介は終わります。
引き続き、Workspace ONEについて役に立つ情報を発信していこうと思いますので、ご愛読よろしくお願いします。