Workspace ONE (VMware AirWatch) テクニカルガイドのMAM編です。

1. Workspace ONE テクニカルガイド
AirWatch MAM 機能について V1.3

2. 改訂履歴
2
日付 バージョン 変更点 担当者
2016/6/21 1.0 初版作成 Shinji Sagawa
2016/9/9 1.1 細部の修正 Shinji Sagawa
2017/3/28 1.2 細部の修正 Shinji Sagawa
2017/9/14 1.3 Workspace ONE 9.2に対応 Tomonori Takaki

3. MAM(Mobile Application Management)とは
アプリの配信
アプリのセキュア化と
情報漏えい対策
アプリ単位での
企業ネットワーク接続

4. アプリの配信

5. AirWatch から展開できるアプリの種類
• 社内アプリ
– 公式アプリストアに載せることを必要としない
貴社組織によって開発したアプリ
– Win32アプリ
• パブリックアプリ
– デバイスのパブリックストアで公開されているアプリ
• 購入済みアプリ
– Apple 社の Volume Purchase Program（VPP）を使用して購入したアプリ
• ウェブアプリ（ウェブリンク）
– 特定の URLへのショートカット
• SaaSアプリ
– VMware Identity Managerと連携
– 高度なSSOやアクセス制御を提供

6. AirWatch から展開できるアプリの種類
パブリックアプリ 購入済みアプリ
Apple App Store, Microsoft Store,
Google Playとの統合
iOS/Macへパブリックアプリや
iBook、カスタムB2Bアプリを
まとめて購入するための
Apple Volume Purchase Program
(VPP) と統合
社内で開発されたモバイルアプリや
Windows アプリ
社内アプリ

7. AirWatch から展開できるアプリの種類
特定のURLへのウェブリンク 仮想デスクトップ、RDSHやXenAppを含む仮想アプリ
のサポート（VMware Identity Manager連携時）
ウェブアプリ 仮想アプリ

8. AirWatch ユースケース(MAM)
– 業務で使用する様々なアプリをカタログ化し、配布にかかる工数を削減
課題：
モバイルデバイスのキッティング時に業務で利
用するアプリの配信が面倒
業務アプリのインストール方法の問い合わせが多い
解決策：AirWatchで業務アプリをカタログ化する
・AppCatalog機能で様々な業務アプリをカタログへ登録
・カタログから選択すればインストール可
アプリインストール方法の問い合わせの削減に成功
必要な業務アプリをApp Catalog
からインストール可能になり問い
合わせ件数が減少 管理者が割り当てたアプリの一覧が表示される
App Catalog
社内開発アプリ
パブリックアプリ
購入済みアプリ
ウェブリンク
・様々な種類のアプリのサポート
・SaaSアーキテクチャのため導入が容易
・ワールドワイドでの豊富な実績
・幅広いサポートOS

9. App Store の禁止
エンドユーザーによる App Storeの利用の制限を
制限事項プロファイルより設定することが可能
パブリックアプリのインストールを許可
チェックを外すと、アプリのインストールを一切禁止する。
デバイスから App Storeのアイコンが消え、AirWatch からの
アプリ配布も、Apple Configurator を使用してもインストール
できない
＊デバイスは監視対象に設定されている必要あり
ホーム画面でApp Storeを許可
チェックを外すとデバイスから App Storeのアイコンが消える。App Catalog経由
であればアプリはインストール可能
＊デバイスは監視対象に設定されている必要あり

10. iOSのデフォルトアプリの制限
デバイスプロファイルでSafariなどiOSに当初からインストールされているアプリを禁止することが可能
適用例：Safariを無効化し、VMware Browserのみをユーザーに使わせたい。

11. アプリの非表示化
前項の「iOSデフォルトアプリの制限」では対応できないアプリも
ここへを登録することで、アプリを非表示にし利用不可にすることができる
アプリの非表示化機能を使用することにより多くのアプリを利用不可にすることが可能

12. AirWatch ユースケース(MAM)
– 会社支給デバイスへの許可されていないアプリのインストール禁止
App Store の利用を禁止 管理者が許可したアプリのみインストールできる
App Store App Catalog
課題：
情報漏えい対策のため会社が許可したアプリの
み利用を許可したい
ユーザーがApp Storeからアプリを勝手にダウン
ロードしてしまう
App Storeを禁止したいが必要なアプリはダウン
ロードさせたい
解決策：AirWatchで管理者が許可したアプリのみを
インストール可能にする
・App Storeを禁止
・ユーザーはApp Catalogからアプリをインストール
管理者の許可したアプリのみがインストールできる
ように制御が可能になった
・要件を満たせるきめ細かいプロファイル機能
・SaaSアーキテクチャのため導入が容易
・ワールドワイドでの豊富な実績

13. アプリケーション管理の重要な概念
• Managed アプリ
– AirWatch から配布されたアプリ
– パブリックアプリ、社内アプリ、購入済みアプリを含む
– AirWatch 管理者がオンデマンドで削除が可能
• Unmanaged アプリ
– ユーザーが手動で AirWatch を経由せずにインストールしたアプリ

14. ManagedアプリとUnmanagedアプリ間のデータ制御を構成
デバイスプロファイルでManagedアプリとUnmanagedアプリ間のデータ授受を制御

15. ManagedアプリとUnManagedアプリ間の制御
管理ソースから管理外デスティネーションへのファイル操作を許可
ポリシーで禁止にするとオープンインができなくなる
管理外ソースから管理下デスティネーションへのファイル操作を許可
パブリックアプリ同士であっても、
データの受け渡しの制御が容易に可能
Managed
Managed
Unmanaged
Unmanaged

16. 管理したいアプリをAirWatchから配信し
Managedアプリとする
企業アプリから個人アプリへ
のオープンインを禁止し、漏
洩リスクの低減に成功
AirWatch ユースケース(MAM)
– アプリレベルで業務データの情報漏洩対策
Managed Unmanaged
課題：
手軽に業務アプリのデータを保護したい
アプリ間でデータの受け渡しがされてしまう
App Storeのアプリ間でのオープンインの制御を
したい
アプリを開発する予算はない
解決策：AirWatchでアプリを管理する
・保護したいアプリをAirWatchから配布
・MDMプロファイルでデータ連携の制御
業務アプリから個人アプリへのデータの受け渡しを
制限できた
・要件を満たせるきめ細かいプロファイル機能
・SaaSアーキテクチャのため導入が容易
・ワールドワイドでの豊富な実績

17. アプリケーションの展開オプション –iOS パブリックアプリ
プッシュモード
アプリのインストールを自動、手動で行うかの指定
加入解除時に削除
デバイスが AirWatchから加入解除した時に、アプリをデバイ
スから削除する
アプリケーションのバックアップを防ぐ
アプリケーションデータの iCloudへのバックアップを禁止する
ユーザーがインストールしたアプリをMDM管理対象にする
ユーザーがApple App Storeからアプリをインストールした場合
でもManagedアプリとして構成する
アプリケーション構成を送信
AppConfigを使用してアプリケーションの設定を制御
アプリケーションはAirWatch SDKを使用
当該アプリに特定のAirWatch SDKプロファイルを割り当てる

18. アプリケーションの展開オプション
「ユーザーがインストールしたアプリをMDM管理対象にする」の動作
App Store
①AirWatch加入前にユーザーが
アプリをインストール
Managed化
②AirWatchへ加入
③自動的に Managedアプリ
に変更される
ユーザーがインストールした場合、
アプリを管理MDMにする
すでにアプリがインストールされてい
る場合に管理対象アプリとする
Managed化

19. AirWatch ユースケース(MAM)
– 業務アプリを自動配信
プッシュモード[自動]で
管理者がアプリを登録
社内開発アプリ
パブリックアプリ
購入済みアプリ
ウェブリンク
課題：
業務で利用するアプリを自動配信したい
ユーザーが業務アプリをインストールし忘れる
インストール方法の問い合わせが多い
必ず利用するアプリは自動配信できないか
解決策：AirWatchでアプリを自動配信する
・必ず使用するアプリは自動配信するように構成
・別のアプリはオンデマンド配信に構成
必ず使用するアプリはAirWatch加入時に自動で配信
されるようにできた
・社内アプリ、パブリックアプリ、購入済みアプリ、ウェブアプリの
自動配信が可能
・SaaSアーキテクチャのため導入が容易
・ワールドワイドでの豊富な実績
管理者が指定したアプリの自動配信

20. Apple VPP
VPP によりアプリの一括購入、配布、管理が可能となる
以下の二つの方式をサポート
• 引き換えコード方式
– 引き換えコードを使用しコンテンツをデバイスに配布する
– 引き換えコードが引き換えられた後のコードの再利用不可
– AirWatch は引き換えコードを使用して購入したコンテンツをデバイスから削除できない
– iOS 7よりも古いデバイスはこの方法のみ利用可能
• 管理配布方式
– サービストークン(sトークン) ファイルを使用して、アプリケーション割り当ての認証を行う
– デバイスにコンテンツを配布するためのライセンスコードを割り当てる
– ライセンスコードの取り消しや再利用をサポート
– ユーザーへの割り当てとデバイスへの割り当ての２種類あり

21. Apple VPP
OS 無料
パブリックアプリ
有償
パブリックアプリ
無料
カスタムアプリ
有料
カスタムアプリ
iOS 5 - 6 引き換えコード 引き換えコード 引き換えコード 引き換えコード
iOS 7.x – 8.x 引き換えコード
管理配布
引き換えコード
管理配布
引き換えコード
管理配布
引き換えコード
管理配布
iOS 9+ 引き換えコード
管理配布
デバイスベースの場合、
Apple ID不要でアプリインス
トール可能
引き換えコード
管理配布
デバイスベースの場合、
Apple ID不要でアプリインス
トール可能
引き換えコード
管理配布
引き換えコード
管理配布
Mac OS X 10.9 – 10.10 管理配布 管理配布 n/a n/a
Mac OS X 10.11+ 管理配布
引き換えコード
管理配布
引き換えコード
n/a n/a

22. AirWatch ユースケース(MAM)
– Apple IDなしでアプリの配信
購入済みアプリ
iOS 9以降
課題：
Apple ID不要でユーザーがアプリをインストー
ルできるようにしたい
ユーザーごとにApple IDを作成するのが面倒
Apple IDの作成方法の問い合わせが多い
解決策：AirWatchでVPPアプリとして配信する
・AirWatchと VPPを連携させ、Apple IDなしでアプリ
のインストールが可能
・有料アプリ、無料アプリどちらでも可能
ユーザーごとにApple IDを作成することなく、アプ
リのインストールが可能に
・社内アプリ、パブリックアプリ、購入済みアプリ、ウェブアプリの自動配信が可能
・SaaSアーキテクチャのため導入が容易
・ワールドワイドでの豊富な実績
購入済みアプリとして
管理者がアプリを公開
Apple IDを求められることなく
アプリのインストールが可能

23. アプリのサイレントインストール
• iOSを監視モードにしておくことで、
アプリインストール時にユーザーのアクション
なしでアプリのインストール可能になる
• iOSを監視モードにするには、Apple
Configurator もしくは DEPを使用する
ユーザーはアプリインストールのために
[インストール]をタップする必要がある
DEP Apple Configurator 2

24. AirWatch ユースケース(MAM)
– 業務アプリのサイレントインストール
管理者がアプリを公開
社内開発アプリ
パブリックアプリ
購入済みアプリ
ウェブリンク
課題：
業務アプリをサイレントインストールさせたい
アプリを自動配信しているが、ユーザーによる
操作待ちで、インストールできていないケース
がある
ユーザー操作不要でアプリをインストールした
い
解決策：監視モードのiOSをAirWatchで管理する
・監視対象にしたiOSをAirWatchで管理する
・アプリのサイレントインストールが可能
ユーザーによる操作不要でアプリインストールが可
能になった
・SaaSアーキテクチャのため導入が容易
・ワールドワイドでの豊富な実績
・各OSの同日サポート
監視モード
エンドユーザーが操作することなく
アプリをインストール
（サイレントインストール）可能

25. AirWatch ユースケース(MDM,MAM)
– キッティングの自動化
①箱からデバイスを取り
出し、Wifiの設定をする ②Appleデバイスのアクティベーション時に
連携済みのAirWatchへ強制的に加入
③プロファイル、アプリ等が配布される
課題：
iOSのキッティング工数を削減したい
Apple Configuratorによる監視対象設定に膨
大な工数がかかる
エンドユーザーでできないか
AirWatchの加入も自動化したい
解決策：AirWatchとDEPを使用する
・Apple DEPとAirWatchを連携設定
・デバイス初期セットアップ時に、iOSの監視対象
の設定が可能に
・連携先のAirWatchからプロファイル、アプリの
配布
iOSのキッティング工数の大幅削減に成功
・DEPとの連携のサポート
・SaaSアーキテクチャのため導入が容易
・ワールドワイドでの豊富な実績
・各OSの同日サポート
監視モード
デバイス初期設定、監視モード設定、プロファイル、
アプリ配布をほぼ自動で

26. アプリのセキュア化による情報漏えい対策

27. アプリの種類とセキュリティ
• 前述の通り、AirWatch では Managed アプリと Unmanagedアプリ間のデータ連携制御は可
能
• 多くのエンタープライズのお客様では上記の制御だけでは要件を満たせず、アプリレベルでの
制御が求められる
– （例）
– アプリレベルでテキストのコピー、ペーストの禁止
– 特定のアプリでのカメラの利用禁止
– オフラインでのアクセス
– 印刷の許可
• AirWatchでは上記機能を提供しており、SDK、ラッピングという二つの手法を用意している

28. AirWatch SDKとラッピング
SDK(Software Development Kit)
• SDK機能をソースコードレベルで追加
• 自社アプリをSDKを使用してアプリを開発
することでSDK機能を利用可能になる
• AirWatchの提供するアプリはSDKで開発し
たアプリ
• 最も豊富な機能を利用可能
• ラッピング
• アプリファイルをラッピングエンジンへ渡す
ことでセキュリティ機能を有効にする方法
• アプリのソースコードへは手を加えない
• すべてのアプリがラッピングに成功するとい
う保証はない
• SDKの一部の機能を利用可能
アプリラッピング
エンジン
SDKを使用して開発
社内
アプリ
AirWath
SDK
社内
アプリ
社内
アプリ
社内
アプリ
ラッピング

29. AirWatch SDK アプリ
AirWatch 提供のアプリは SDKを使用して
開発されたアプリであり、
規定では、
アプリ/設定とポリシー/セキュリティポリシー
が適用される
iOS Default Settings

30. セキュリティプロファイル
前項の設定はアプリごとに個別の値にすることが可能
その場合は手動で SDKプロファイルを作成する
全ての設定/アプリ/設定とポリシー/プロファイルから
SDKプロファイルを追加することで可能
SDKプロファイル1 SDKプロファイル2
SDKプロファイル作成画面

31. AirWatch ユースケース(MAM)
– アプリの特性ごとに異なるポリシー設定を実現
セキュリティ
プロファイル１
• Touch IDを使用した認証
• オフラインアクセス許可
• カメラ禁止
• テキストのコピーアンドペースト禁止
• Wifi接続時のみ許可
• 認証なし
• オフラインアクセス禁止
• カメラ禁止
• テキストのコピーアンドペースト禁止
• セルラー接続での使用許可
セキュリティ
プロファイル2
アプリごとに異なるポリシー適用を実現
課題：
アプリごとに異なるポリシを定義したい
アプリごとに特性を考えて異なるポリシーを適
用したい
通信料を抑えるため、Content Lockerは Wifi接続
のみ許可するなど
解決策：アプリごとにSDKプロファイルを定義
・アプリごとに異なるセキュリティポリシーを設定
できる
アプリの特性に応じたセキュリティポリシーを実現
できた
・アプリごとにきめ細かなDLP機能の制御が可能
・SaaSアーキテクチャのため導入が容易
・ワールドワイドでの豊富な実績

32. AirWatch iOS SDKとラッピング
設定項目 SDKプロファイル アプリラッピングプロファイル
認証 ◯ ◯
制限事項 ◯ ◯
順守 ◯ ◯
オフラインアクセス ◯ ◯
ブランディング ◯ ◯
分析 ◯
ログ収集 ◯ ◯
ジオフェンス ◯
プロキシ ◯ ◯
ネットワークアクセス ◯ ◯
カスタム設定 ◯
コンテンツフィルタリング ◯
資格情報 ◯ ◯

33. エンタープライズでのアプリ利用時の課題
33
アプリの構成
初回起動時に接続先の入力などの
初期設定が必要
セキュリティとアクセスコントロール
セキュリティ制限の不足
MDMベンダーごとに異なるSDK
パブリックアプリをそのまま使いたい

34. http://www.appconfig.org/members/
アプリのセットアップやセキュリティ制御を遠隔から
モバイルアプリのオープンな共通開発フレームワーク
• アプリの初期設定などの構成やセキュリティ機能をEMMから制御できるしくみを実装するため
の標準化された開発フレームワーク
• EMMベンダー、OEM、ISVによる協業
• ネイティブ MAM APIの実装のベストプラクティスの定義
• ドキュメント化およびソーシャル化
• ISV、開発者、EMMベンダーと使用率を上げるための活動
• サンプルコードと導入リファレンスの提供
• 継続的な機能拡張

35. AppConfigのメリット
アプリ開発者 エンタープライズ企業 EMM ベンダー
アプリ開発にかかる時間とコス
トを削減できる
独自のSDK、ラッピング不要
EMM ベンダーに中立
既存のEMM、VPN、IDソリュー
ションが有効活用できる
ユーザーにネイティブアプリの
操作性を提供可能
アプリの自動構成
アプリの選択肢の増加
SDK、ラッピングに比べてROIの向上
既存のMDM機能を活用可能
より多くの企業アプリのサポートを
提供できる

36. VMware提供のAppConfig対応のアプリ - Boxer
Eメールの設定や制限の設定をAppConfigにて配布

37. VMware提供のAppConfig対応のアプリ – Workspace ONE App
アプリ割り当て画面内のアプリケーション構成より
設定を行う
Workspace One アプリで利用可能な構成キーの例
AppServiceHost
deviceUDID
RequireCertAuth
ManagedAppCertAlias
利用できる構成キーは各アプリベンダー
から提供される
http://www.appconfig.org/members/
にから確認

38. AppConfig対応のパブリックアプリ – Salesforce1
アプリ割り当て画面内のアプリケーション構成より
設定を行う
Salesforce1アプリで利用可能な構成キーの例
AppServiceHost : 接続先テナント
ClearClipboardOnBackground : コピペ制御
利用できる構成キーは各アプリベンダー
から提供される
http://www.appconfig.org/members/
にから確認
Salesforce社の「Salesforce1 Mobile Security Guide」にもMDMからの構成配布に関する記載があります

39. AirWatch ユースケース(MAM)
– ユーザーによるアプリの初期設定不要でアプリを利用可能に
設定を埋め込みアプリを配布
• 接続先のメールサーバー
• 認証情報
• 同期間隔
• セキュリティ設定
• 接続先のサーバー
すぐにアプリを利用可能
初期設定不要
課題：
エンドユーザーによるアプリの初期設定に関す
る問い合わせが多い
接続先のサーバー情報、URLなどアプリの初期
セットアップに関わる問い合わせが多い
初期設定をアプリに設定して配布できないか
解決策：AppConfig対応アプリで自動構成を実現
・アプリに対して必要な設定を埋め込み配信
・アプリへのエンドユーザーの手動構成が不要
アプリ設定に対する問い合わせの削減に成功
・BoxerやWorkspace ONE AppなどAppConfig対応の
アプリの開発及び提供
・EMMベンダーに依存しないアプリケーション開発ができる
のでアプリケーション資産を有効に活用できる

40. ラッピング
AppConfig
・AirWatch SDKを使用して開
発
・最も豊富な機能を利用できる
Android for Work
とは互換性なし
SDK
概要
・自社開発アプリをラッピング
・SDKの一部の機能を利用可能
・特定の開発環境、ライブラリ
とだけ互換性がある
・サーバ、アプリのバージョン
ごとにラッピングが必要
・短期的なソリューション
・特定の SDK に依存しない
オープンでネイティブな方法
・OS ベースの MDM API を使用
してアプリを実装している
制限なし
MDM加入必須
対象アプリ 開発負荷
Low High
パブリック 社内
（インハウス）
✔✔
パブリック 社内
（インハウス）
✔✔
展開方法
OS システム API を用いて実装。
サンプルコード等は ACE にて
提供されている
社内
（インハウス）
✔
Low High
Low High
40
各手法の概要比較
AW SDK を使用してアプリを
実装する必要あり。
サンプルコード等はサポートを
通して提供
ラッピング検証のみ

41. アプリ単位での企業ネットワーク接続

42. ネットワーク接続 未承認のアプリVPN Gateway
モバイルからの
社内ネットワークへの接続が面倒
デバイス、ユーザー、アプリレベル
でアクセスコントロールができない
端末レベルでVPN接続するため
すべてのアプリが
社内ネットワークへ接続してしまう
?
?
?
?
モバイルデバイスと企業ネットワークの課題

43. 43
アプリベース VPN
アプリケーション単位でのVPN端末全体がVPNを
張る必要がなくセキュア
アプリケーションを起動した際に自動で VPNを
張るため、利便性も向上
デバイスレベル VPN
アプリケーション単位でのリモート接続：VMware Tunnelの使用
社内ネットワーク

44. 管理のシンプルさネットワークセキュリティの
強化
シームレスな
ネットワークアクセス
✔ ✔ ✔
VMware Tunnelを使用することで
• アプリレベルのセキュリティ
デバイス全体ではなくアプリ単位で
社内へ接続
• 他要素認証
認証にユーザー、デバイス、アプリ
の情報を使用
• オンデマンドにVPN接続
ユーザーによるVPN接続不要
アプリ起動時に自動でVPN接続
• OSのネイティブなAPIを使用
ユーザエクスペリエンスの向上
接続の容易さ、安定性
• 複数のOS、アプリのサポート
社内アプリ、パブリックアプリのサ
ポート
• 開発の容易さ
SDK、ラッピングの不要
特定のAPIへ依存しない

45. • VMware Tunnelは AirWatch が提供する、各アプリを安全に効率的に企業内ネットワークへ
接続させる技術で、以下の二つの方式がある
• VMware Tunnel Proxy
– VMware Browserが VMware Tunnelサーバー経由で社内へ接続
– AirWatch SDKで開発されたアプリ、ラッピングされたアプリがVMware Tunnelサーバー経由で社内
へ接続
• VMware Tunnel Per App VPN
– 社内開発アプリ、パブリックアプリが VMware Tunnelサーバー経由で社内へ接続
VMware Tunnelの種類

46. Per App VPN
Proxy
VMware Tunnelで実現できること
社内ネットワーク
App
社内
アプリ
VMware BrowserなどAirWatch SDKを使用したアプリ、ラッピングしたアプリはProxy接続
AirWatch SDKを使用していないパブリックアプリや自社開発などはPer App VPN接続
社内
アプリ
AirWath SDK
VMware Tunnel
Windows/Linux
VMware Tunnel
Linuxのみ
社内
アプリ
App Wrapping

47. VMware Tunnel Proxy
VMware Tunnelのインストール、設定は
[ システム/エンタープライズ統合/AirWawtch トンネル ] で構成
インストール手順など詳細は My AirWatchのドキュメントを参照
（「VMware Tunnel」で検索）
Proxy
社内ネットワーク
App
社内
アプリ
社内
アプリ
AirWath SDK
VMware Tunnel
Windows/Linux
社内
アプリ
App Wrapping
VMware BrowserなどAirWatch SDKを使用したアプリ、ラッピングしたアプリに使用

48. 規定では、
アプリ/設定とポリシー/セキュリティポリシー
のAirWatch App Tunnelで設定を有効化することで使用可能
VMware Browserのアプリケーションプロファイルがカスタムの場合指定しているSDKプロファイルの
[プロキシ]の設定を有効化する
VMware BrowserへのVMware Tunnel Proxyの設定

49. Per App VPN
社内ネットワーク
App
社内
アプリ
社内
アプリ
AirWath SDK
VMware Tunnel
Linuxのみ
社内
アプリ
App Wrapping
VMware Tunnel Per App VPN
VMware Tunnelのインストール、設定は
[ システム/エンタープライズ統合/AirWawtch トンネル ] で構成
インストール手順など詳細は My AirWatchのドキュメントを参照
（「VMware Tunnel」で検索）
AirWatch SDKを使用していないパブリックアプリや自社開発などに使用

50. 対象デバイスにVPNペイロードを設定した
プロファイルを適用
アプリの割り当て設定画面にて、デバイスに
適用済みのPer App VPNプロファイルを指定
アプリへのVMware Tunnel Per App VPNの設定

51. VMware Tunnelの応用：ネットワークトラフィック規則
アプリケーションごとにアクセス先ドメインに対するトラフィックルールを構成可能。
指定可能なアクション
- Block 指定されたドメインへの接続を禁止
- Tunnel 指定されたドメインへはVMware Tunnelを経由して接続
- Bypass 指定されたドメインへは直接接続
- Proxy 指定されたドメインへは指定したプロキシを経由して接続
適用可能な用途の例として
・社内システムのドメインへの接続のみVMware Tunnelを経由して接続
・業務用のアプリは特定のドメインのSaaSに対してのみ接続可能
社内ネットワーク
VMware
Tunnel
インターネット

52. AirWatch ユースケース(MAM)
– ユーザーによる手動での認証なしでイントラへの接続を実現
①専用クライアントから
認証、VPN接続を行う
社内
③アプリを起動し
リソースへ接続
VPN装置
①VMware Browserを起動す
ればイントラ接続できる
②デバイス丸ごと社内
ネットワークへ接続
社内
VMware
Tunnel
これまでの使い方
課題：
イントラ接続のためのVPN接続が面倒で社外か
らの接続をしないユーザーが多い
モバイルからVPN接続の手順が面倒
手順が面倒なため利用率が低い
デバイス丸ごと社内へ接続されるのを防ぎたい
解決策：VMware Tunnel Proxyの導入
・手動でのVPN接続なしでイントラへアクセス可能
・社員の利便性、生産性が大幅に向上
・アプリ単位で接続するためセキュリティの向上
利便性と、セキュリティが向上し、ユーザーの満足
度とシステムの利用率が向上
・低コストで実現可能（専用のVPN機器不要）
・対応アプリが豊富（パブリックアプリでも実現可）
・操作性に優れたアプリ
AirWatchだと

53. AirWatch ユースケース(MAM)
– 外出先からモバイルで承認作業を実現
VMware
Tunnel
アプリを起動するとすぐに承認作業が行
える
対象アプリ起動時にVMware Tunnelへ自
動的に接続（接続操作不要）
パブリックアプリもアプリ単位のVPNで、オン
デマンドに接続できるようになった
課題：
モバイルデバイスで承認作業を行いたいが、シ
ステムが社内にあるため社内接続が面倒
モバイルでは実施せずオフィスに戻りPCで作
業を行っている
モバイルから社外で安全に実施できないか
解決策：VMware Tunnel Per App VPNの利用
・手動でのVPN接続なしでイントラへアクセス可能
・パブリックアプリに対応
社外から安全に承認作業が行えるようになり
移動時間の削減に成功
・低コストで実現可能（専用のVPN機器不要）
・対応アプリが豊富（パブリックアプリでも実現可）