最先端のデジタルワークスペース「VMware Workspace ONE」とは？

最先端のデジタルワークスペース「VMware Workspace ONE」とは？

働き方改革やテレワーク、クラウド活用、セキュリティ対応など、企業は多くの課題に直面しています。こうした課題を1つのプラットフォームで解決するソリューションが「VMware Workspace ONE」です。

Workspace ONEはVMware社のセキュリティソリューション「VMware SASE」においても重要な要素の一つで、デバイス管理、ユーザー管理（ID管理とアクセス権管理）、アプリケーション管理、デスクトップ管理（リモートアプリやVDI）といった機能を統合し、いつどのデバイスから接続しても同じように仕事ができる環境を提供します。

「VMware Workspace ONE」が提供する4つの特徴

人々が働く環境が大きく変わっています。紙の書類やハンコに代表されるアナログな習慣はどんどんデジタル化され、PCやスマホがあればほとんどの業務がこなせるようになってきています。そんな中、人々が仕事をする空間を「デジタルワークスペース」と定義し、快適で安全なデジタルワークスペースの実現を目指しているのがVMwareです。

同社が提供するソリューション「VMware Workspace ONE」（以下、Workspace ONE）は、「デバイス管理」「ユーザー管理（ID管理とアクセス権管理)）「アプリケーション管理」「デスクトップ管理（リモートアプリやVDI)）といった機能を1つのプラットフォームに統合し、いつどのデバイスから接続しても同じように仕事ができる環境を提供します。企業が直面している働き方改革やテレワーク、クラウド活用、セキュリティ対応といった課題に対する優れた解決策になるソリューションです。

Workspace ONEは、エンタープライズモバイル管理（EMM）を行う製品「VMware AirWatch」と、ユーザーやアプリケーションを統合的に管理する統合ワークスペースポータル「VMware Identity Manager」の機能で構成されています。最上位エディションでは、社内アプリケーションや仮想デスクトップをリモートから活用できるようにする「VMware Horizon Enterprise Edition」の機能も利用可能です。

以下、Workspace ONEの特徴である4つの機能を紹介しながら、どのようにユーザーの生産性を高め、企業の課題を解決するのかを見ていきましょう。

Workspace ONEの価値

出典：https://vmware-juku.jp/solutions/about-workspaceone/3/

デバイス管理

ーポリシーでの制御、リモートワイプ、検疫ネットワークなどが可能。

デバイス管理では、VMware AirWatchが提供する機能を活用しながら、PCやスマートフォン、タブレットを高いセキュリティのもとシンプルに管理するための機能を提供します。管理者は、会社支給のPCだけでなく、ユーザーの私用端末（BYOD）やスマートフォンを含めたあらゆるデバイスを一元的に管理できます。

各デバイスは、セキュリティポリシーを適用し、ポリシーに沿って自在に制御することが可能です。例えば、OSのセキュリティパッチが不十分だったり、暗号化機能のBit Lockerが有効でなかったりしたデバイスは、ログオンできないように設定することができます。

また、ユーザーがデバイスを紛失した際は、端末のロック、メッセージの表示、データのワイプなど複数の対策を組み合わせて実行し、セキュリティを確保します。管理者だけでなく、紛失に気付いたユーザーがセルフサービスで対応する設定も可能です。

位置情報（GPS）と連動したポリシーの適用も行えます。例えば、特定エリア内でのみ端末の利用を許可する、オフィスから離れたらカメラの利用を許可するといったことです。デバイスを紛失した場合に位置情報を取得して、デバイスの最新の位置をマップ上に表示したり、時系列で位置情報を確認したりすることもできます。

デバイスを多要素認証の1つとして用いることも可能です。ユーザーが業務アプリにログインする際、パスワードの他にユーザーのスマートフォンやタブレットを2つめの強力な認証トークンとして使用します。

VMware AirWatchによるデバイス管理・制御

ユーザー管理

ーSSO、多要素認証、条件付きアクセスなどが可能。

ユーザー管理では、VMware Identity ManagerとVMware AirWatchを利用して、ユーザーのIDとアクセス権を適切に管理する機能を提供します。

ユーザーにはセルフサービス型のアプリケーションポータルが用意されています。ユーザーはシングルサインオン(SSO)を用いてポータルにログインし、ポータルにあるアプリケーションや仮想デスクトップをその都度認証することなく利用できるようになります。

ポータルにアクセスする際には、ユーザーが利用しているデバイスやユーザーの場所といったユーザーの状況（コンディション）を判断して、ログインできないようにしたり、利用できるアプリケーションを制限したりできます（条件付きアクセス）。例えば、社外からのアクセスの際には多要素認証を必須にしたり、海外からのアクセスは自動的にプロックしたりできます。

判断の条件としては、接続元デバイスタイプ、接続元ネットワーク、ポリシーの順守状況などがあります。これらを、条件を用いてコンテンツやアプリケーションへのアクセス制限をかけることができます。例えば、Microsoft 365などを利用する際に、承認されたユーザーと承認されたデバイスのみにアクセス権を付与するといったことが可能です。

認証は、標準で提供される二要素認証「VMware Verify」が利用できるほか、RADIUSベースの二要素認証やRSA SecureIDなどとの連携も可能です。

アプリケーション管理

ーSaaSに対するSSOを実現、ゼロトラストセキュリティも可能

アプリケーション管理では、ユーザーが利用するアプリケーションを管理したり、管理者がユーザーにアプリケーションを配布したりする機能を提供します。

ユーザーのアプリケーション管理では、ポータルサイトから、自分が利用するアプリケーションを自由に選択して利用できます。上述したように、ポータルにログインすれば、Microsoft 365やSalesforceなどSaaSアプリケーションをSSOで利用でき、SaaSごとに固有のIDのパスワードを入力する必要はありません。アプリケーションは、一般消費者向けのアプリストアのように、アプリケーションカタログから、追加ボタンを押すだけで追加できます。

アプリケーションカタログには、SaaSだけでなく、社内で利用しているアプリケーションやモバイルアプリ、Windowsアプリを登録することもできます。

このように、デバイス、ユーザー、アプリケーションを問わない本質的なセキュリティを組み合わせることで、ゼロトラストモデルを採用したアクセス制御を実現します。

認証情報を利用したセキュアなシングルサインオン

デスクトップ管理

ー社内開発アプリや仮想デスクトップの配信も可能。

デスクトップ管理では、Windowsアプリケーションをクラウドアプリとして配信したり、VDIとして利用しているWindowsデスクトップを仮想デスクトップとして配信したりできます。

Windowsアプリケーションの配信には「リモートデスクトップサービスホスト(RDSH)」「Microsoft RemoteApp」「VMware ThinApp」などの技術を利用しています。また、仮想デスクトップには「VMware Horizon」の技術を利用しています。

これにより、一般的なSaaSアプリケーションやモバイルアプリだけでなく、社内開発した業務アプリケーション、モバイルアプリ、DaaSをSSOで利用することができるようになります。

管理者は、アプリケーションカタログ上でのアプリの管理のほか、一般消費者向けアプリストアの利用制限、ブラックリストなどにより、ユーザーが利用するアプリケーションを制御できます。

また、コンテンツについては、専用ビューワー「Content Locker」により、PDFやWordなどのドキュメントをセキュアな環境で利用できます。指定外のストレージへの保存やメール添付を禁止することでデータの漏洩を防ぐこともできます。

Workspace ONEのこうした機能により、時間・場所・デバイスを問わず、さまざまな業務アプリケーションにセキュアにアクセスできるようになります。テレワークが当たり前になりつつある今、安全性と利便性を兼ね備えたWorkspace ONEのようなデジタルワークスペースを構築することが、ビジネスの維持・拡大に大きく貢献するでしょう。