パスキー認証のサポート

Workspace ONE Access での認証にパスキーを利用できるようになりました。

パスキーは、WebAuthn 標準で構築された検出可能な FIDO 認証情報です。パスキーを使用すると、パスワードを使用せずに認証を行うことができるようになり、あらゆるデバイスで、より迅速かつ簡単に、より安全なログイン エクスペリエンスをユーザーに提供できます。パスキーは業界の広範なサポートを受け、フィッシングに耐性があり、パスワードに代わる実行可能な代替手段を提供します。

パスキーは、ユーザーのデバイス間で FIDO 登録情報を同期することで、FIDO2 認証を簡素化します。パスキーは、iOS、Mac、Windows、Android、およびすべての主要ブラウザを含むあらゆるデバイスでサポートされています。管理者は引き続き FIDO2 を Workspace ONE Access の認証方法として構成し、パスキーのメリットを活用できます。

パスキーは、パブリック キー暗号化を使用し、ユーザーがログインしているサーバのパブリック キーと、デバイス上の対応するプライベート キーの 2 つの部分を有します。パブリック キーは、Chrome ブラウザのプロファイルや Apple ID など、共通のログインを共有するデバイス間で同期されます。ユーザーがログインすると、Workspace ONE Access は webauthn フローを開始し、デバイスの生体認証または PIN をトリガしてユーザーの ID を検証し、ユーザーのパブリック キーがプライベート キーと一致するかどうかを確認します。ユーザー エクスペリエンスは、ユーザーが使い慣れた一般的なデバイス ロック解除と同じです。ユーザーはアカウントにログインしますが、プライベート キーとその生体認証はデバイス上に安全なまま残り、共有されることはありません。

PKCE および OAuth 2.0 パブリック クライアントのサポート

PKCE (Proof Key for Code Exchange) は、OAuth 2.0 認証コード フローの拡張機能で、CSRF およびコード インジェクション攻撃から OAuth トークンを保護するのに役立ちます。認証コード付与を使用する OAuth 2.0 パブリック クライアントは、認証コードの傍受攻撃の影響を受けやすくなります。TLS で保護されていない通信パスは、この攻撃の影響を受けやすく、攻撃者が認証コードにアクセスし、それを使用してアクセス トークンを取得する可能性があります。

PKCE 拡張機能は、動的に作成された暗号ランダム キーを使用して、クライアントが所有していることを証明します。Workspace ONE Access では、OAuth 2.0 パブリック クライアントおよび認証コード フローに参加しているクライアントの PKCE の有効化をサポートしています。PKCE のサポートに加えて、Workspace ONE Access は OAuth 2.0 パブリック クライアントの作成をサポートするようになりました。パブリック クライアントは、登録済みのクライアント シークレットを安全に保つことができないブラウザやモバイル デバイスで実行されているアプリケーションに役立ちます。

PKCE はデフォルトで有効になっており、Workspace ONE Access で作成されたすべてのパブリック クライアントで必須です。

ユーザーによる認証の選択

Workspace ONE Access において、ユーザーによる認証の選択機能が利用可能になりました。この新機能により、ユーザーは 2 要素認証用に提示される一連の認証オプションから柔軟に選択できます。

この機能は、ユーザーが第 2 の要素認証オプション（プッシュ通知を受信するためのスマートフォンなど）を利用できない場合に特に役立ちます。このような場合、ユーザーは提示された選択肢から代替手段をシームレスに選択して、ログインシーケンスを正常に完了できます。

管理者は、ポリシーを構成して、特定の認証要件に対してさまざまな認証の選択肢を利用できるように制御します。さらに、ネットワーク範囲、デバイス仕様、デバイス管理状態、ユーザー グループなどの条件付きのアクセス パラメータを構成して、エンド ユーザーの認証エクスペリエンスを保護およびカスタマイズできます。

この機能は、Workspace ONE Access SaaS でのみ使用できます。 

Duo Universal Prompt を使用した Duo v4 SDK のサポート

Workspace ONE Access は Duo v4 SDK をサポートするようになりました。Duo v4 は新しい Duo Universal Prompt をサポートし、Web ベースのアプリケーションに対して簡素化された、アクセス可能な Duo ログイン エクスペリエンスを提供し、セキュリティと操作性を強化した、再設計されたビジュアル インターフェイスを提供します。Workspace ONE Access ユーザーは、このサポートがロールアウトされると、従来の Duo プロンプトから Duo Universal Prompt に自動的に移行されます。この変更を有効にするために管理者の操作は不要です。

ショートカットからの Horizon Client とアプリ起動のサポート

Workspace ONE Access、起動 URL を使用して Horizon 公開仮想デスクトップとアプリケーションをショートカットから再起動できるようになりました。このリリースより前のリリースでは、Horizon Client またはアプリケーションにリンクするショートカットを起動すると、クライアントまたはアプリケーションの起動をブロックする空白の画面が表示されていました。この更新により、アプリ情報と起動オプションがユーザーに提供されます。 

Workspace ONE Access Connector 23.09

Workspace ONE Access Connector 23.09 は、Workspace ONE Access Cloud、Workspace ONE Access On-premise 23.09 および FedRAMP 向け Workspace ONE Access と互換性があります。

Connector で解決された問題のリストは、次のとおりです。

• HW-180874：Horizon 仮想アプリケーションのコレクションのデフォルトの起動クライアント設定が無視される

• HW-170798：プロキシ経由の接続を使用している場合に、Horizon Enterprise 仮想アプリケーションのコレクションを同期できない

• HW-174051：仮想アプリケーションのコレクションを更新すると、ネットワーク範囲がリセットされる

• HW-172671：Citrix アプリケーションの起動が Firefox で失敗する

• HW-171435：仮想アプリケーションのコレクションの最初のコネクタがダウンすると、Citrix アプリケーションの起動に失敗する

• HW-170576：プロキシ経由の接続を使用している場合に、仮想アプリケーションのコレクションを同期できない

• HW-174269：ドメイン名に「_」文字が含まれていると、Workspace ONE Access Connector 22.09.1 のインストールに失敗する

• HW-181989：Horizon Server がダウンしているときに Horizon 仮想アプリケーションのコレクションを保存または同期すると、既存のメタデータが削除される

• HW-170576：プロキシが構成されている場合、仮想アプリケーション サービスは、Horizon Cloud Service シングルポッド ブローカのセットアップからメタデータを取得できない

Apple デバイス認証のためのモバイル SSO の一般提供のお知らせ

Workspace ONE Access の次世代モバイル SSO 機能である Apple デバイス認証向け Mobile SSO の一般提供についてお知らせします。

iOS 13 SDK および MDM 仕様の一部として、Apple は、標準のフェデレーション プロトコルを使用したネイティブ SSO アプローチを提供する新しいクロスプラットフォーム SSO 拡張機能を導入しました。Workspace ONE Access の Apple デバイスのモバイル SSO は、この Apple のネイティブ SSO 拡張機能 SDK を利用します。

Workspace ONE Access の Apple 用モバイル SSO は、iOS および iPadOS デバイスにシームレスな SSO を提供するだけでなく、構成可能な生体認証を提供します。これにより、アプリケーションにアクセスする前に、プラットフォームに組み込まれている生体認証子（TouchID、FaceID、パスコードなど）を使用して追加の認証を行うことができます。

Apple 認証方法のためのモバイル SSO は、シングル サインオンを選択したアプリケーションに制限する機能を備えています。このソリューションは、Workspace ONE Access に対して証明書ベースの認証を使用し、Workspace ONE 共有 iOS デバイスのチェックイン、チェックアウトのユースケースをサポートします。

注：Workspace ONE Intelligent Hub は、SSO に参加しているデバイスにインストールする必要があります。

Apple 版モバイル SSO は、現在 Workspace ONE Access で利用できる iOS 版モバイル SSO に代わるものです。ただし、どちらのソリューションも移行の構成の一部として共存できます。iOS 版モバイル SSO から Apple 版モバイル SSO への段階的な移行が推奨されます。移行の手順については、こちらを参照してください。

この機能は、Workspace ONE Access クラウド環境でのみ使用できます。

Workspace ONE Access ポリシー ルールでの Windows 11 デバイスのサポート

Workspace ONE Access は、登録および条件付きアクセスで Windows 11 デバイスを認識するようになりました。このサポート以前は、デバイス タイプが Windows 10 に設定されているアクセス ポリシーは、Windows 11 デバイスには適用されませんでした。この更新プログラムでは、Windows 10+ デバイス タイプ ルールは、Windows 10 および Windows 11 デバイスに使用されます。この機能は、デスクトップやモバイル デバイスを含むすべての Windows 11 デバイスでサポートされます。

Workspace ONE Access で FIDO2 がメインの認証器としてサポート対象に

Workspace ONE Access で、FIDO2 認証器をメインの認証器として構成できるようになりました。FIDO2 認証の以前のサポートは、ステップアップ認証に限定されていました。今回のリリースでは、エンド ユーザーは FIDO2 認証器を使用して Workspace ONE Access に対して認証を行うことができます。エンド ユーザーは、FIDO2 認証器を自己登録することもできます。プラットフォーム認証器（FIDO2 をサポートするモバイル デバイス、ノート パソコンなど）とサードパーティの認証器（Yubikey、USB セキュア デバイスなど）の両方がサポートされます。

サポートされていない VMware Identity Manager Connector の廃止

Workspace ONE Access Cloud のこのリリースでは、どのような環境でもサポートされていないコネクタですべての機能が停止します。すべての機能を引き続き使用するには、サポートされているバージョンの Workspace ONE Access Connector が使用されている必要があります。

サポートされていないコネクタが実行されている環境では、この変更により次の機能が廃止されます。

1. Active Directory およびその他のサポート対象 LDAP サーバのディレクトリ統合

2. Active Directory ユーザーのパスワード変更

3. コネクタベースの認証方法を使用したユーザー認証

4. 起動を含む仮想アプリケーション コレクションの統合 

詳細については、こちらのVMware ナレッジベースの記事を参照してください。

Workspace ONE Access コンソールでの Workspace ONE Access レポート インターフェイスの更新

Workspace ONE Access のレポート インターフェイスが、管理者ユーザー向けに刷新されました。この新しいデザインは最新で、次のレポートを簡単にナビゲーションできます。

• 最近のアクティビティ

• リソース使用状況

• リソース資格

• リソース アクティビティ

• グループ メンバーシップ

• ユーザー

• デバイス使用状況

• プロビジョニングの状態

• 監査イベント

Workspace ONE Access コンソールの新しい [ロールの構成] ページで、アクションを簡単に再構成できます

ロールを構成するための新しいナビゲーションにより、サービスのすべてのアクションを追加、再構成、および削除できます。ロールは、任意の方法でサービスごとに特定のアクションを使用してカスタマイズできます。管理者ロールを管理できるユーザーは、サービス用に構成されたアクションの一部またはすべてを削除することもできます。

サポートされていない VMware Identity Manager Connector の機能の低下

Workspace ONE Access クラウドの 3 月リリースでは、サポートされていない Connector を使用している環境では、ディレクトリを作成、編集、または削除できなくなりました。すべての機能を引き続き使用するには、サポートされているバージョンの Workspace ONE Access Connector が使用されている必要があります。すべてのユーザーは、できるだけ早く最新の Connector に移行することを強くお勧めします。

既存のディレクトリを同期する機能は、スケジュール設定された同期とオンデマンド同期の両方で引き続き機能します。詳細については、https://kb.vmware.com/s/article/90808 を参照してください。

Workspace ONE Access のナビゲーション ページの更新

Workspace ONE Access コンソールに最新のデザインで更新された新しいナビゲーション ページが追加されました。次のページは、新しい外観になりました。

• [UEM 統合] ページ

• [ディレクトリ] ページ

• [ID プロバイダ] ページ

[自動検出] ページと [利用条件] ページは、EOL に達した Workspace ONE アプリケーションに関連しているため、削除されました。Workspace ONE アプリケーションの EOL の詳細については、2022 年 4 月リリース ノートを参照してください。

ログイン画面にパスワードを表示するための新しいオプション

ログイン画面に新しい切り替えが導入され、ユーザーが Workspace ONE Access サービスを使用したログインおよび認証を求められた際、パスワードを表示することを選択できるようになりました。この新機能は、パスワード認証方法を使用する認証画面で使用できます。

Workspace ONE Access で、モバイル ブラウザでの FIDO2 認証がサポートされるようになりました

Workspace ONE Access で、モバイル ブラウザに FIDO2 認証器を登録して認証に使用できるようになりました。FIDO2 登録と認証の以前のサポートは、デスクトップ ブラウザに限定されていました。このリリースでは、エンド ユーザーはモバイルまたはデスクトップ ブラウザを使用して、FIDO2 認証器（YubiKey、Touch ID、Windows Hello など）を使用して、Workspace ONE Access フェデレーション アプリケーションに対して認証を行うことができます。エンド ユーザーは、FIDO2 認証器を自己登録して、プライマリ認証または 2 要素認証として使用することもできます。

VMware Identity Services の使用開始

Workspace ONE Access と Workspace ONE UEM の新しいユーザーの場合は、ユーザーのプロビジョニングとフェデレーションを容易にするサービスが追加されました。VMware Identity Services を利用して、Workspace ONE クラウド管理コンソールで SCIM 2.0 プロトコルを使用して、ユーザーとグループのプロビジョニングされたディレクトリを構成できるようになりました。VMware Identity Services は、ユーザーとグループ、および認証設定を Workspace ONE UEM および Workspace ONE Access 管理コンソールに自動的にプロビジョニングします。 

サポートされている ID プロバイダとディレクトリ ソース：

• Azure AD（Microsoft Azure のクラウドベースの ID サービス）

• 汎用 SCIM 2.0 ID ソース（Okta でテスト済み）

詳細については、VMware Identity Services リリース ノートを参照してください。

コンポーネントの互換性

サポートされる Windows Server

Workspace ONE Access Connector 23.09 は次のバージョンをサポートします。

• Windows Server 2022

• Windows Server 2019

• Windows Server 2016

• Windows Server 2012 R2

サポートされる Web ブラウザ

• Mozilla Firefox (最新版)

• Google Chrome (最新版)

• Safari (最新版)

• Microsoft Edge (最新版)

サポートされるディレクトリ サーバ

• Active Directory - Windows Server 2022、Windows Server 2019、Windows Server 2016、または Windows Server 2012 R2。ドメイン機能レベルおよびフォレスト機能レベルは、Windows Server 2003 以降です。

• OpenLDAP - 2.4

• Oracle LDAP - Directory Server Enterprise Edition 11g Release 1 (11.1.1.7.0)

• IBM Tivoli Directory Server 6.3.1

仮想アプリケーションの互換性

Workspace ONE Access 23.09 Connector は、仮想アプリケーション サービスと VMware Horizon、Horizon Cloud Service、Citrix、および ThinApp との統合をサポートします。

Citrix の次のバージョンがサポートされます。Citrix Virtual Apps and Desktops 7 2203、Citrix Virtual Apps and Desktops 7 1912 LTSR、XenApp and XenDesktop 7.15 LTSR、および XenApp and XenDesktop 7.6 LTSR。Citrix Gateway の次のバージョンがサポートされます：12.1-62.27、12.1-65.25、13.1-37.38。コネクタは Citrix StoreFront API をサポートしますが、Citrix Web Interface SDK はサポートしません。

サポートされる Horizon バージョンについては、VMware 製品の相互運用性マトリックス（英語）を参照してください。

互換性マトリックス

VMware 製品の相互運用性マトリックス（英語）には、VMware vCenter Server、VMware ThinApp、および Horizon などの VMware 製品とコンポーネントの現在および過去のバージョンの互換性に関する詳細が記述されています。

VMware Workspace ONE Access Connector 23.09 へのアップグレード (Windows)

Workspace ONE Access Connector 23.09 へのアップグレードは、バージョン 22.09.1.0、22.09.0.0、22.05、21.08.0.1、および 21.08.0.0 からサポートされています。

詳細については、『VMware Workspace ONE Access Connector 23.09 へのアップグレード』ガイドを参照してください。

Workspace ONE Access Connector 23.09 への移行 (Windows)

22.09.0.0 でサポートされているバージョンと同じバージョンから Workspace ONE Access Connector 22.09.1.0 に移行できます

Workspace ONE Access Connector バージョン 19.03.x から、バージョン 22.09 への移行パスを使用できます。このプロセスには、新しい 22.09 Connector のインストールと、既存のディレクトリと仮想アプリケーション コレクションの新しいコネクタへの移行が含まれます。移行は 1 回限りのプロセスであり、ディレクトリと仮想アプリケーションのコレクションを一緒に移行する必要があります。

移行が完了すると、Citrix 統合のための Integration Broker は必要なくなります。必要な機能は、Workspace ONE Access Connector の仮想アプリケーション サービ スコンポーネントの一部になりました。

詳細については、VMware Workspace ONE Access Connector 22.09 への移行ガイドを参照してください。

レガシー コネクタをバージョン 22.09 に移行した後、23.09 にアップグレードできます。

VMware Workspace ONE Access のドキュメントは VMware Workspace ONE Access ドキュメント センターにあります。

VMware Workspace ONE Access は、次の言語で利用できます。

• 英語

• フランス語

• ドイツ語

• スペイン語

• 日本語

• 簡体字中国語

• 韓国語

• 繁体字中国語

• ロシア語

• イタリア語

• ポルトガル語（ブラジル）

• オランダ語

Workspace ONE Access 環境のサポートが必要な場合は、VMware のサポートにお問い合わせください。VMware Customer Connect アカウントを使用するか、電話を使用して、オンラインでサポート リクエストを VMware のサポートに送信できます。

ナレッジベースの記事 VMware Workspace ONE サポートへのアクセス方法 (KB2151511) では、Workspace ONE サポートへの問い合わせ方法について説明しています。