Workspace ONEについて

-

VMware といえば、 vSphere 製品が最もメジャーであり、それを中核とする周辺のネットワーク仮想化(NSX)、ストレージ仮想化(vSAN)、デスクトップ仮想化(Horizon)と、その他多数の主に仮想化製品を取り扱う企業のイメージだと思います。


Workspace ONE は、そんな仮想化製品とはことなり、エンドユーザーが使用するデバイス管理を中心として、Webアプリケーションの認証などを行うSaaS、というやや異種な製品です。
(もちろん、VMware社がこのWorkspace ONEを構成するSaaS側の各種サーバーを運用しているのは仮想環境です。)


Workspace ONE とは| 場所の制約を受けない最新のワークスペース プラットフォーム | VMware | JP
https://www.vmware.com/jp/products/workspace-one.html


Workspace ONEは、大きな2つのコンポーネントで構成されており、その2つの周辺、アドオンとして、様々な機能が提供されています。

  • Workspace ONE UEM (UEM)

デバイス管理を行う製品。管理しているデバイスへ、アプリやコンテンツの配信、個人ごとのEメールアカウントの配信等が行えます。

    連携する主なコンポーネントとして以下があります。

    • AirWatch Cloud Connector (ACC):オンプレミスの既存コンポーネントを連携するためのコネクタ
    • Unified Access Gateway (UAG):オンプレミス上のリソースへデバイスから接続するためのゲートウェイサーバー。仮想アプライアンスとして提供。
      UAGでは下記のコンポーネント機能を内包しています。
      • Content Gateway:オンプレミス上のファイルサーバー等を社外から安全に接続する仕組み。VPNは使用しない。
      • Workspace ONE Tunnel:デバイス上の特定のアプリや、特定の宛先だけを対象としてVPN接続を行う仕組み。

    アドオンとして以下があります。

    • Workspace ONE Intelligence:収集した情報を元にアクションの自動化など
    • Workspace ONE Assist:ユーザーサポートとして遠隔での画面確認機能など

  • Workspace ONE Access (WS1A)

Webアプリケーションなどと連携を行い、認証部分を行うIDP製品。


    連携する主なコンポーネントとして以下があります。

  • Workspace ONE Access Connector (WS1AC):オンプレミスのADとの同期や、ADへの認証既存コンポーネントを連携するためのコネクタ。
    仮想アプリケーションの連携や、オンプレミスでのKerberos認証機能も提供。

    Webアプリケーションの連携では、以下のようなアプリケーションと連携が可能です。
  • Office 365:Microsoft製のワークスペース製品。
  • SAML連携可能なWebアプリケーション:SalesforceやBoxなど、SAMLのサービスプロバイダ機能を持ち、任意のIDPとの連携が可能な製品。

    仮想アプリケーションの連携では、下記のコンポーネントとの連携が可能です。

  • VMware Horizon:仮想デスクトップや仮想アプリケーションを提供する製品。
    VPNを用いずUAGを接続ポイントとして利用することで通信負荷を減らしながらも、認証をWS1Aで行うことにより、ID・パスワード以外の強固な認証を必須とすることが可能。
  • VMware Horizon Cloud:DaaS版Horizon。実現することはオンプレミス版と同等。
  • Citrix:Citrix Virtual Apps/Desktops, XenApp, XenDesktop との連携。
    こちらもHorizonと同様に、認証をWS1Aで行うことにより、多要素認証などを実現することが可能。

  • UEMとWS1Aの連携

UEMとWS1A間でも連携を行うことが可能です。連携により、以下のような機能が利用できるようになります。

  • UEMで管理されたデバイスのみ、WS1Aでの認証を許可
    • WS1Aに連携されたWebアプリケーションなどの利用を特定のデバイスのみに制限することが可能
  • UEM上でデバイスの状態が適切ではない(順守違反)場合に認証を拒否
  • UEM上で各デバイスへ発行した証明書による認証を実施


ここまで上げた製品を連携することで、下記のようなことが実現できます。

  • 各SaaSへのログイン、仮想デスクトップや仮想アプリケーションへの接続をすべてWS1Aでの認証を行う構成とする
  • WS1AのアクセスはUEMで管理され適切な状態である必要がある

  • 最後に

2020年に発生した世界情勢で急なリモートワークが始まったものの、以下のような課題でリモートワークを断念してしまう企業もあると思います。

  • VPNの接続がボトルネックとなり動作が重い
  • 多要素認証が簡単に行えずセキュリティが課題
  • VPNの接続や各種SaaSの利用でそれぞれ異なるパスワードが必要で煩雑
Workspace ONEではそういった課題を解決することが出来るかもしれません。
このブログでは、そういった課題を解決するためのお手伝いが出来たらうれしいなと思います。


コメント

コメントを投稿

このブログの人気の投稿

Mac 上の Boot Camp Windows 環境を VMware Fusion へインポートしてみる

-
Mac 上の Boot Camp Windows 環境を VMware Fusion へインポートしてみる Mac デバイスにて Windows OS をネイティブに起動するための仕組みとして Boot Camp があります。 筆者は5年前に購入した Mac mini (2018) を利用していましたが、米 Apple 社が Intel Mac の製造を終了したこともあり Windows デバイスへ戻ることとしました。 その際に Boot Camp Windows 環境を仮想マシンとして移動させたいと思い実施したので、その流れを紹介していきます。
Read more »

【自宅ラボ】vSphere の USB NIC を自動認識させてみる

-
【自宅ラボ】vSphere の USB NIC を自動認識させてみる 前回導入した " USB Network Native Driver for ESXi " ですが、ドキュメント上にも記載されているとおり、導入のみでは起動時の処理の都合上、仮想スイッチとの紐付けが毎回解除されてしまいます。 対処方法は手順はドキュメントに記載されておりますが、細かな情報無しに読み解く必要がある状況でしたので、設定方法を解説してみます。
Read more »

Androidデバイスの画面をリアルタイムで投影する方法

-
Androidデバイスの画面をリアルタイムで投影する方法 製品のデモや操作内容の共有のために、Android デバイスの画面をリアルタイムでモニターやプロジェクターで投影したい場合、外部製品が必要となります。 iPhone の場合は専用の HDMI アダプターや、 iPhone 15 Pro 以降であれば UDB-C to HDMI ケーブルを用いることで相性問題等はなく表示できますが、 Android の場合はデバイスにより実現可否が異なります。 デバイスによっては使用できない方法や、出先での利用が難しいものなどもあるので、今回はメジャーな方式について整理してみたいと思います。
Read more »

【自宅ラボ】VCSA のリストアを実施してみる (vSphere 8)

-
【自宅ラボ】VCSA のリストアを実施してみる (vSphere 8) vSphere 環境において、vCenter Server は全 ESXi の管理や、vCenter Server 上で管理している情報等、重要な情報が多数格納されており、バックアップの取得が推奨されています。 バックアップしたものは復元が行えることを確認しておかなければいざというときに復元できない事態となる恐れもあるため、今回は 前回取得したバックアップ を用いてリストアを実施した結果を紹介します。
Read more »