Ishii_IT_Garden’s blog

VMware EUC(HorizonやWorkspace ONE)で気になったことを検証して記載しています。

なぜWorkspace ONEにMTDが必要なのか

今回は、Workspace ONEMoblie Threst Defenseが必要なのかといったところをまとめて行こうかと思います。

 

Moblie Threst Defenseとは

Mobile Threst Defenseは、モバイルデバイス向けのセキュリティ機能です。

マルウェアやフィッシングなどのサイバー攻撃からモバイルデバイスを防御する目的で導入します。

 

なぜMobile Threst Defenseが必要なのか

従業員が利用するデバイスは、今までWorkspace ONEのようなデバイスを管理する製品で一括管理していました。

Workspace ONEのプロファイル機能によって業務に関係ない設定を制限したり、順守ポリシーを使用することでデバイスが企業の求めている状態でない場合、アプリケーションへのアクセスを制限することでセキュリティを守っていました。また、デバイスを紛失してしまった場合、Workspace ONEの管理コンソールからリモートワイプをすることで、デバイスの情報を削除して、企業情報をデバイスから削除するといったことも可能です。

ただし、メールやSMSを利用したフィッシングなどのサイバー攻撃などをWorkspace ONE UEMを使用して防御することはできません。また、実際にデバイスの順守状態がわかっても、そのデバイスがどのような脅威があるのか正確にはわかりません。

Workspace ONEMTDを導入することで、Workspace ONEだけでは対応できなかったモバイルデバイスの脅威対策をすることができます。

つまりMDM製品だけ導入・MTD製品だけ導入というわけでなく、今後はMDMMTDでモバイルデバイスを守っていく必要があります。

 

Workspace ONE Mobile Threst Defense

Workspace ONEには、アドオン機能にはなりますがこのMTD機能を提供するWorkspace ONE Mobile Threst Defenseがあります。このMobile Threst Defenseは、市場のリーダーでもあるLookoutを基盤としています。他のMTD製品と比較した際に大きな特徴としてあるのが、セキュリティアプリケーションをインストールする必要がないことです。Workspace ONE Intelligent Hubに内包されているため、Workspace ONEを利用しているユーザーは、何も意識することなく利用することが可能です。

 

Workspace ONE×Mobile Threst Defense

Workspace ONEを使用しながら、Mobile Threst Defenseを使用することにより、Mobile Threat Defenseで検知したリスクを元に、自動化アクション等を実行することができます。

 

例えば、Mobile Threat Defenseで低リスクの脅威を検知された場合は、デバイスタグ付けされます。そのデバイスタグを元にWorkspace ONE Intelligenceで自動化フローを作成することができます。

 

まとめ

昨今、在宅勤務等によりPCなどにセキュリティ製品を導入するケースが増えてきたかと思います。ただし、業務で利用するデバイスPCだけではなくなってきました。PCと同様にモバイルデバイスにもセキュリティ製品を導入し防御する必要があるかと思います。

Workspace ONEを1から学び直す ~ Part5 タグ~

この記事はWorkspace ONEを1から学び直すシリーズの第5回です。

第5回はWorkspace ONE UEMのタグについて紹介します。

 

タグ

Workspace ONEのタグを使用することで、Workspace ONE UEMに加入しているデバイスにタグをつけて管理することが可能です。このタグを使用することでデバイスのリスト表示でタグによるフィルタリングをしたり、スマートグループの章でも紹介した通りタグをスマートグループに定義することも可能です。また、Workspace ONE Intelligenceを使用することでタグの付与を自動化の選択肢として持たすことも可能です。

 

タグの作成方法

タグの作成方法を良く忘れるので、備忘録としても上げておきます。

[グループと設定]→[すべての設定]の順にクリックする。

 

 

[デバイスとユーザー]→[高度な設定]→[タグ]の順にクリックする。

 

[タグを作成]をクリックすることでタグが作成できる。何個かデフォルトで用意されているタグは削除できないので注意してください。

 

 

まとめ

今回は短いですがここまで。タグを使いこなすことができると管理も楽になるかと思うので是非!!ちなみに私は使いこなせていない....

次回は、Workspace ONE Intelligent Hubについて紹介します。

SAMLについて調べてみた

業務でVMware Workspace ONE取り扱っていますが、Workspace ONEでも使用されるSAMLについてちゃんと理解できいていないと思ったので備忘録として調べた内容をまとめます。

 

SAMLとは

Security Assertion Markup Language(SAML)は、ドメイン間でのユーザー認証を行うためのXMLベースの標準規格です。このSAMLを使用することでシングルサインオンの仕組みを利用することが可能です。

 

 

SAML認証について

従来の認証では、サービスを利用する際などに自分自身のユーザーIDやパスワードといった情報を入力してサービスにログインしていたかと思います。

SAML認証では、AMLアサーションと呼ばれるユーザーの認証情報や属性、権限の情報を記述されたXMLをやり取りすることで認証を実現します。

 

 

SAML認証時の登場要素

SAML認証のフローを説明する上で重要になってくる3つの要素について説明します。

  • ユーザー
    サービスを利用するユーザーのこと
  • Identify Provider(IdP)
    認証情報を提供するシステムやサービス(Workspace ONE Access等)
  • Service Provider(SP)
    利用するサービスのこと(Microsoft 365やZoomなどのアプリケーション)

 

 

SAML認証のフロー

では実際にSAML認証時のフローについて説明していきます。SAMLには、SPを起点とした認証とIdPを起点とした認証の2つがありますので一つ一つ見ていきます。

 

SPを起点とした認証(SP Initiate)

  1. SPにアクセス
    SP InitiateはSPを起点とした認証のため、ユーザーはSPにアクセスしに行きます。
  2. SAML認証要求を作成
    SAMLの認証に必要な認証要求を作成します。
  3. IdPへリダイレクト
    作成した認証要求を持ってIdPへリダイレクトします。
  4. IdPの認証画面が表示
    IdPの認証画面が表示されます。
  5. 認証要求
    IdPにログインしていないとここでユーザーに認証要求を求めます。
  6. IdPの認証
    ユーザーはIdPの認証情報をもとにログインします。
  7. SAMLアサーションの準備
    ユーザーの属性や認証情報をSAMLアサーションとして準備します。
  8. SPへリダイレクト
    SAMLアサーションを持ってSPへリダイレクトします。
  9. SAMLアサーションを元にアクセス可否
    IdPから送られてきたSAMLアサーションを元にアクセス可否を判断し、ユーザーに通知します。
  10. ログイン
    ユーザーはSPにアクセスしてサービスの利用が可能になります。

 

 

IdPを起点とした認証(IdP Initiate)

  1. IdPへアクセス
    IdP InitiateはIdPを起点とした認証のため、ユーザーはIdPにアクセスしに行きます。
  2. IdPの認証画面が表示
    IdPの認証画面が表示されます。
  3. 認証要求
    IdPの認証に必要な要素をユーザーに要求します。
  4. IdPの認証
    ユーザーはIdPの認証情報をもとにログインします。
  5. SAMLアサーションの準備
    ユーザーの属性や認証情報をSAMLアサーションとして準備します。
  6. ユーザーに送信
    IdPはユーザーにSAMLアサーションの情報を送信します。
  7. SAMLアサーションを持ってSPにアクセス
    ユーザーは対象のSPにアクセスをする際、SAMLアサーションをもってアクセスしに行きます。
  8. SAMLアサーションを元にアクセス可否
    送られてきたSAMLアサーションを元にアクセス可否を判断し、ユーザーに通知します。
  9. ログイン
    ユーザーはSPにアクセスしてサービスの利用が可能になります。

 

 

SAML認証を行うための事前準備

SAML認証をするためにはIdPとSP間で信頼関係を結ぶ必要があります。その際に必要なのがメタデータです。SPはIdPのメタデータを登録し、IdPはSPのメタデータを登録することで事前準備が完了します。

メタデータとして登録する情報はアクセス先のURLや証明書などになります。

 

まとめ

今回は、SAMLについて簡単に調べてみました。まだまだSAMLメタデータの中身などは全然読み解けないのでもう少しキャッチアップしていきます....

 

 

 

 

Workspace ONE・Okta LDAP連携

Workspace ONEはLDAPの連携に対応しています。Active DirectoryLDAP連携をするのが一般的かと思いますが、Workspace ONEはOktaともLDAP連携をすることが可能です。
今回は、Workspace ONEとOktaのLDAP連携方法をご紹介していきます。

 

今回の環境

今回の構成イメージは下図の通りです。Workspace ONE UEMとOktaの基本的な部分は構築済みです。また、Okta側でユーザー及びグループを作成済みであることを前提として紹介させていただきます。

 

まず、Workspace ONEとOkta間のLDAP連携をします。その後、Oktaのユーザー情報及びグループ情報をWorkspace ONE UEMに同期し、同期したOktaユーザーでデバイスを登録します。

 

Workspace ONE UEMとOktaのLDAP連携

それでは、Workspace ONE UEMとOktaのLDAP連携手順を紹介します。

 

まずは、Workspace ONE UEMのディレクトリ サービスに入力する値を確認します。Oktaの管理コンソールにアクセスし、[Directory]→[Directory Integrations] の順にクリックします。画面右の [LDAP Interface] をクリックし設定を確認します。

 

 

[Host]、[BaseDN]、[User base DN]、[Group base DN]値を、後ほどWorkspace ONE UEM上に入力するため、確認しておきます。

 

 

Oktaのディレクトリ情報を入力するためWorkspace ONE UEMの管理コンソールにアクセスします。[グループと設定]→[すべての設定] の順にクリックします。

 

 

[システム]→[エンタープライズ統合]→[ディレクトリ サービス] の順にクリックします。画面右のディレクトリ サービス設定画面で、[ウィザードをスキップして手動構成] をクリックします。

 

 

まずは、サーバの情報を入力します。[サーバ] タブをクリックし、下記の表を参考に必要な情報を入力します。

入力欄 設定値
②現在の設定 オーバーライド
ディレクトリタイプ LDAP – 他のLDAP
④サーバ Oktaの環境で確認した [Host] の値
⑤暗号化タイプ SSL
⑥バインド認証タイプ ベーシック
⑦バインドユーザー名 uid=(Oktaのユーザー名),dc=(Oktaのホスト名),dc=okta,dc=okta

※ご使用のOkta環境によっては、[dc=okta]の部分が、[dc=oktapreview]もしくは[dc=okta-emea] になる可能性があります。入力する際は、Oktaのドメイン名をよく確認してから入力してください。



続いてユーザーの情報を入力します。[ユーザー] タブをクリックし、[高度] >マークをクリックします。下記の表を参考に必用な情報を入力します。

入力欄 設定値
③ベースDN Oktaの環境で確認した [User base DN] の値
④ユーザー オブジェクトクラス inetOrgPerson
⑤ユーザー検索フィルタ ($(mail={EnrollmentUser}))
⑥オブジェクト識別子 uniqueIdentifier

 

 

続いてグループ情報を入力します。[グループ] タブをクリックし、[高度な設定] >マークをクリックします。下記の表を参考に必要情報を入力します。

入力欄 設定値
ベースDN Oktaの環境で確認した [Group base DN] の値
グループ オブジェクトクラス groupofUniqueNames
組織ユニット オブジェクトクラス organizationalUnit
グループ検索フィルタ (&(objectClass=groupofUniqueNames))

 

 

下にスクロールし、下記の表を参考に属性情報を入力します。[接続のテスト] をクリックして、状態を確認します。

入力欄 設定値
①オブジェクト識別子 uniqueIdentifier
②名前 cn

 

 

Oktaに正常に接続されたことを確認し、× で閉じます。

 

 

ディレクトリ サービスの情報を保存します。[保存] をクリックします。

 

 

以上で、Workspace ONE UEMとOktaのLDAP連携設定を終了します。

 

 

ユーザー・グループ同期

LDAP連携設定が完了したら、OktaユーザーとグループをWorkspace ONE UEMに同期します。同期方法は他のLDAP同期方法と変わらず、[アカウント] タブから [ユーザー] および [ユーザー グループ] のリスト画面を表示し、追加をします。今回は、ユーザーの同期を例に手順を紹介します。

 

 

ユーザーの追加画面で [ディレクトリ] をクリックします。[ディレクトリ名] に登録したOktaのディレクトリが表示されていることを確認します。[ユーザー名] に対象のOktaユーザーを入力して、[ユーザーを確認] をクリックします。



 

[氏名] や [メールアドレス] が自動的に表示されるため、そのまま [保存] をクリックします。

 

 

 

同様にユーザー グループも同期し、ユーザーとグループがWorkspace ONE UEMに追加されたことを確認します。

 

 

 

なお、グループメンバーの自動同期ですが、ユーザー グループの編集画面にて[グループメンバーを自動で追加]を有効にしたところOktaとのLDAP連携では対応していないようでした。そのため、ユーザーは手動で追加する必要がありそうです。

 

 

 

Oktaユーザーでデバイス登録

それでは、追加した [ws1user01@test.local] のユーザーアカウントを使用してWorkspace ONE UEMにデバイス加入をします。
従来通りの手順で、Workspace ONE Intelligent Hubを起動し、Oktaのユーザー名とパスワードを入力します。その後、ウィザードに従い進めることでデバイスに加入できます。

 

 

 

Workspace ONE UEMの管理コンソールから確認しても、Oktaユーザーでデバイスへ加入できたことが確認できます。

 

 

以上、Oktaユーザーでのデバイス登録になります。

 

 

まとめ

今回は、Workspace ONE UEMとOktaのLDAP連携方法についてご紹介しました。

Oktaと連携することにより既存のOktaユーザーアカウントのままWorspace ONEに加入することができます。そして、OktaとSAML連携した様々なSaaSアプリにシングルサインオンでアクセスできる環境が利用可能になります。

ただし、ユーザーの自動追加ができないため実運用で使用する際はOktaからWorkspace ONE AccessへのIDプロビジョニングで連携する方が現実的かと思いました。

VMware Horizon 最新情報 ~VMware EXPLORE Japan ~

このブログでは、VMware EXPLORE Japan 2022で発表されたHorzizonの最新情報の中でも私が気になった機能等を中心にまとめていきます。

 

インスタントクローンのフォレンジック(一般提供済み)

VMware Horizonのインスタントクローンの特徴として、ユーザーがVDIを利用した後ログオフをすることで仮想マシンがリフレッシュする特徴を持ちます。

ただし、フォレンジック目的でデータを収集しようとしてもユーザーがログオフすることでリフレッシュされてしまうので端末内のデータ等を収集することができなくなります。

新しくリリースされた機能を使用することにより、対象のインスタントクローン仮想マシンも一時的に保存された状態にし、デスクトップの更新や削除をさせなくするように制御が可能になります。

新しく追加された「フォレンジック管理者」権限を使用してAPIを使用して実行することができるようです。現在はAPIでの利用になりますが、将来的にはGUIでもサポート予定と発表されていました。

 

インスタントクローンマルチコンピュートプロファイル(一般提供済み)

従来のインスタントクローンでは、異なるリソースのVDIを使用したい場合は異なるイメージを作成して展開する必要があります。Horizon 2206からインスタントクローンのプールを作成する際に、既存のスナップショットデフォルトのプロファイルを使用するかオーバーライドして新しいプロファイルを作成するか選択できるようになりました。

これによりゴールドイメージ数を改善できるようになるのではないでしょうか

 

Horizon Azure AD Join サポート(一般提供済み)

Azure AD JoinがHorizonでもサポートされました。現在はフルクローンの仮想マシンのみ対応だが、将来的にはインスタントクローンも採用予定のようです。

 

Blastプロトコル パフォーマンス改善(一般提供済み)

CPU使用率の改善や帯域幅消費の急増を最小限に抑制することができます。また、Horizon Clientを最小化もしくは非表示にする際画面更新を停止することで帯域幅の消費を削減できるようになりました。

 

Windows Hello for Business(一般提供済み)

ログイン時のWindows Hello for Businessのサポートが開始されました。Horizon Client、Connection Server、Horizon Agentを2206にアップデートする必要があります。

証明書信頼モデルのみのサポートでキー信頼モデルは非サポートです。

 

 

その他、様々ありましたが今回はこの辺にしようかなと思います。

 

 

Workspace ONEを1から学び直す ~ Part4 スマートグループ~

この記事はWorkspace ONEを1から学び直すシリーズの第4回です。

第4回はWorkspace ONE UEMの組織グループについて紹介します。

 

スマートグループとは

スマートグループとは、アプリケーションやプロファイル、順守ポリシーなどの配布先を柔軟に割り当てる際に使用するグループです。スマートグループには「組織グループ」や「ユーザーグループ」、「OS」、「所有形態」などの様々な条件から作成することができます。

 

スマートグループの活用方法

スマートグループには様々な活用方法がありますが、今回は組織グループと並行して使用する際の利点を紹介します。組織グループは、会社の組織構造と同じように作成することが一般的かと思いますが、同じ部内や課内でも利用するアプリケーションや利用しているデバイスが違うこともあると思います。例えば、部長や課長などの役職の方は、メンバー管理業務の為、違うアプリケーションを利用したり、プロファイルや順守ポリシーも役職が変われば割り当てるものも変わってくるかと思います。その際に、組織グループの中でも一部のメンバーにだけ割り当てたスマートグループを作成することでこのような問題にも対応することが可能です。

 

スマートグループの注意点

スマートグループを編集すると、そのスマートグループに割り当てられているすべてのプロファイルやアプリケーションに影響があります。例えば、特定のデバイスにプロファイルを割り当てていた場合、スマートグループを編集してその特定のデバイスがスマートグループの範囲外になった場合プロファイルの割り当ては削除されます。

また、スマートグループを削除する際はすべての割り当てを解除してから削除する必要があります。

 

まとめ

今回はここまで。スマートグループを有効に活用するととても便利になるので是非使用してみてください。

次回は、スマートグループの条件にもあった「タグ」について紹介します。

Workspace ONEを1から学び直す ~ Part3 組織グループ~

この記事はWorkspace ONEを1から学び直すシリーズの第3回です。

第3回はWorkspace ONE UEMの組織グループについて紹介します。

 

Workspace ONE UEMでは組織構造を階層的に作成することができます。Workspace ONEを契約した際に払い出される大本の組織の下に柔軟に組織を作成することができます。例えば、営業や企画、技術のように部ごとに組織を分けたり、その下でチームごとに組織を分けることが可能です。

 

 

また、その組織グループで柔軟に管理者権限を与えることも可能です。XXXX株式会社全体の管理権限であったり、営業部の管理権限、企画部のデバイスの管理権限のように割り当てることができます。

 

この組織グループごとに異なるプロファイルの設定やアプリケーションの配布をすることも可能です。

 

またWorkspace ONEには「継承」と「オーバーライド」という設定があります。

下図であれば、営業部と技術部の組織グループは「継承」の設定がされているため、XXX株式会社の設定を引き継ぎます。しかし、技術部は「オーバーライド」の設定がされているので、XXX株式会社の設定は引き継がず、技術部で新しく設定した内容が反映されます。

 

 

まとめ

今回はここまで。組織グループはWorkspace ONE UEMの中でも重要になってくるものだと思います。他のMDM製品では組織構造をを階層的に作成するといった機能がない場合もあるので、強みとしても上げられるのではないでしょうか。

次回は、スマートグループについて紹介します。