LinuxでOmnissa Workspace ONE Tunnelを利用してみる (UEM設定編)

Omnissa Workspace ONE UEM では、 SSL-VPN でオンプレミスリソースへ安全にアクセスするための機能として、 Omnissa Workspace ONE Tunnel が提供されています。

Omnissa Workspace ONE Tunnel クライアントは各プラットフォーム毎にリリースされおり、Linux向けにも用意されています。

今回は Ubuntu 24.04.1 LTS 環境で Omnissa Workspace ONE Tunnel を利用する方法を紹介します。

なお、分量が多くなるため、今回はサポート状況と Omnissa Workspace ONE UEM 上の設定までについてを記載して、次回にクライアントデバイスのセットアップを記載します。

サポート状況

最小要件

Workspace ONE Tunnel for Linux の最小要件は、リリースノートに記載されています。

• OS 要件
• CentOS 7 以降
• Ubuntu 18.04 以降
• Omnissa Workspace ONE UEM コンソール要件
• バージョン 2306 以降
• 機能フラグ有効化
• TunnelStandaloneProfileSupportForLinuxFeatureFlag
• 2406環境ではフラグがなくても利用できました
• Omnissa Unified Access Gateway 要件
• バージョン 2212 以降

サポートされるアーキテクチャ

製品ドキュメントでは言及がありませんが、執筆時点の2025年2月時点では提供されているバイナリファイルの名前に『amd64』と含まれているため『x86_64』アーキテクチャ上でのみ利用可能と思われます。

ファイル名：

ws1tunclient_installer_24.12.0b64.sha.a5d6bae_amd64.run 

サポートされる機能

2025年2月時点では、他のプラットフォームのように加入しているデバイスへプロファイルを配信して接続される機能は実装されていません。

公式ドキュメントに『Support for Managed enrollment is on our roadmap.』との表記がありますので今後実装される計画はあるようです。

そのため、2025年2月時点では下記の制限があります。

• スタンドアローンモードのみサポート
• プロファイルによる接続先切り替え機能の利用不可
• デバイスコンプライアンス状態による制御の利用不可

なお、スタンドアローンモードでの利用となるため Omnissa Workspace ONE Intelligent Hub を用いたデバイス加入は不要です。

トンネル環境のセットアップ

前提条件

以下の準備が事前に行われていることを前提とします。これらは他のプラットフォームと共通の内容となります。

• Omnissa Workspace ONE UEM コンソールでのトンネル構成の追加
• Omnissa Unified Access Gateway を用いたトンネルのセットアップ

また、今回のクライアントは下記の環境で実施しています。

• マシン種別
• VMware Workstation Pro 17.6.2 上の仮想マシン
• アーキテクチャ
• amd64 (x86_64)
• OS
• Ubuntu 24.04.1 LTS

トンネル対象アプリの登録

デスクトッププラットフォーム向け OS では Per-App VPN を利用する場合に、アプリ配信設定でのトンネル有効化ではなく、アプリ識別子を指定したアプリ登録が必要となります。

1. [グループと設定] > [構成] > [トンネル] へ進み [アプリ] の [アプリケーションの管理] を選択
   
   
   
   
   
2. [追加] を選択
   
   
   
   
3. 追加するアプリケーションとして下記のように指定を行い [保存] を選択
   
   
   
   
• プラットフォーム
• Linux
• フレンドリ名
• 任意の名称、デバイストラフィック規則での指定に利用
• アプリ識別名
• 対象のアプリケーションバイナリ名
• 例：firefox
  
  
4. 他に追加するアプリケーションがある場合は 2, 3 の手順を繰り返し、無ければポップアップ右上の [X] で閉じる
   
   
   
   

デバイス トラフィック規則の作成

他のプラットフォーム向けと同じく、デバイスに適用するデバイス トラフィック規則を作成します。

デバイス トラフィック規則は複数作成することが可能であり、プラットフォームや用途毎に分けることができます。

Linux クライアント向けでも選択可能であるため、今回は新規に作成を行います。

1. [グループと設定] > [構成] > [トンネル] へ進み [デバイス トラフィック規則] の [編集] を選択
   ※上位階層で構成しており、下位階層で新規に設定する場合は [オーバーライド] を選択
   
   
   
   
2. [追加] を選択
   
   
   
   
3. 他のプラットフォームと同様にデバイス トラフィック規則の指定を行い [保存] を選択
   
   

   
   
• 割り当て名
• 任意の名称、スタンドアローン用プロファイルでの指定に使用
• Tunnel モード
• 以下のいずれかを指定
• アプリケーション ベース
• アプリ登録を行っている場合に選択
• フル デバイス
• 全てのアプリケーションの通信を対象とする場合に選択
• ルールを追加する
• ランク 1 へルールを表記する枠を追加
• アプリケーション
• アプリケーション ベースのみ
• アプリ登録したアプリケーションを指定
• アクション
• 指定のアプリケーションとターゲットに対しての動作を指定を行い [保存] を選択
  以下のいずれかを指定
• トンネル
• SSL-VPN を行う
• バイパス
• 通常のトラフィックとして扱う
• ブロック
• 接続を遮断する
• プロキシ
• 通常は利用しない
• モバイル SSO (Android) で利用
• ターゲット
• 宛先の FQDN, IP アドレスを指定
• ワイルドカードの指定、 IP アドレス レンジの指定も可能
  
  
4. ポップアップで [OK] を選択
   
   
   
   
5. [閉じる] を選択
   
   

スタンドアローンモード用プロファイルの作成

デバイスプロファイルを用いた管理が行えないため、スタンドアローンモード用のトンネルプロファイルを作成します。

1. [グループと設定] > [構成] > [トンネル] へ進み [プロファイル] の [使用を開始する] を選択
   
   
   
   
2. 表示されたポップアップにして [作成] を選択
   
   
   
   
3. スタンドアローン用プロファイルで利用する構成の指定を行い [保存] を選択
   
   
   
   
• プラットフォーム
• Linux を選択
• 接続名
• 任意の名称、管理のみで利用
• Tunnel 構成
• 登録済みで使用する登録を選択
• デバイス トラフィック規則
• 作成したデバイス トラフィック規則を選択
• 多要素認証
• 筆者環境では利用不可
• カスタム設定
• メーカーサポート等からの指示がある場合に利用
  
  
4. Tunnel 構成画面に戻り、 Linux 向けのプロファイルが増加したことを確認
   
   

おわりに

今回は Omnissa Workspace ONE Tunnel の Linux 向け構成を設定していきました。

大半のユースケースでは管理対象のデバイスに対するデバイスプロファイルとしての制御であるため、スタンドアローンモードは他のプラットフォームも含め初めての利用でした。

公式ドキュメントが見つけづらく、またアプリケーション登録についての記載がされていない等情報が少ないため、 Linux デバイスで Omnissa Workspace ONE Tunnel を利用した検証を行う方に、この記事が参考になればと思います。

次回のクライアントデバイスのセットアップも是非参考にしてください。