SE(しがないエンジニア)のブログ

IT技術ネタ(Azure他MS製品・セキュリティ周り)が中心です!他雑記(お馬さん 他いろいろ)もあり。

リモートワークの環境を検証する(RemoteView 編)

コロナウイルスの影響を受けて

世間は在宅勤務への切替に真っ最中なようです。主なきっかけとしては NTTデータ の件でしょうか。

当社拠点における新型コロナウイルス感染者の発生について | NTTデータ

口火を切ったのは GMO というイメージですが続々と切替が始まり、色々なニュースを見て回っても期間の定めは無いようです。(終息し次第?)

「推奨」ではなく「実施」に踏み切ったところで一番多い人数は一昨日の NEC が一番です。就業規則・セキュリティ・成果の考え方等、色々とぶち当たる壁はあると思うのですが「決断して一歩を踏み出す」というのが重要で運用面含め、まずは最低ラインを抑えつつ後追いで色々と変えていくというのが一番なのではないでしょうか。

NEC 約6万人の社員が一斉にテレワーク実施 | NHKニュース

NECも「一斉」ということで不安点はあったようですがいざ始まってみると各人が自ら考え1日が終了したようです。

インフラ環境とそれに対する取り組みとして

では、良くある環境として幾つか挙げてみます。(制御元:自宅 制御先:会社)

=====

★会社のPCは存在せず自宅PCのみ

➡全社的に社内リソースを持たず SaaS のみのサービスで運用している企業であれば可能。また、作業対象もクラウド上に存在している場合。

➡社内リソースを持つという意味では後述のリンク先が近しい?Azure Active Directory と Intune の組み合わせは今後主流になっていく?

=====

★自宅で利用するのは会社(貸与)PCで会社のPCにVPN経由でアクセスする

➡大企業・中小企業に関わらず最近のルータには VPN 機能が付いていることが多いです。VPN で接続した上で会社のPCにリモートデスクトップでログインするといった形がある。

➡この経由でアクセスした際は GPO をいじっていない場合、コピー&ペーストが出来てしまうので会社のPC側は禁止にする必要があればポリシーを変更しておく必要がある。(※)

➡仮に会社(貸与)PCでないPCにて VPN 情報を作成されて接続された際に想定していない不要な通信を通さないようにする為、ネットワーク環境を見直す必要があるかもしれない。(把握している中小企業向けのルータでは VPN アクセス元の PC で判断して遮断することが出来なかった)

=====

VPN ではなく外部サービスの MagicConnect(よく見るのは USB 型) や CACHATTO、RemoteView のようなリモート管理(+セキュリティ)に特化した外部サービスを利用

➡今回はその中でも RemoteView を紹介

=====

★上記3点と趣向は異なり Azure の Windows Virtual Desktop や AWS の Workspaces のような DaaS を環境として提供する

https://azure.microsoft.com/ja-jp/services/virtual-desktop/

Amazon WorkSpaces(セキュアな仮想デスクトップ(VDI)サービス )| AWS

=====

(※)Active Directory 環境下であれば GPO を書き換えることで対象のPCによるコピー&ペーストは防止できます。ローカル側に管理者権限がある前提で「ローカル グループポリシー エディタ」にて同等の部分を書き換えたところ防止はそのまま、レジストリの対象のキー(「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp」配下)は対象2値とも「0」で防止はそのままでした。

f:id:btsn:20200222162250p:plain

f:id:btsn:20200222162308p:plain

ちなみに、昨今は「ゼロトラスト」というキーワードにも代表される通り、クラウド環境を主としたセキュリティモデルの構築が進んでおります。そのクラウドベンダーであるマイクロソフトが提唱しているゼロトラストセキュリティモデルに関して良い記事が紹介されていたので共有致します。(英語です)

www.microsoft.com

結果として、かけられるリソースとコストに依存しますがどのような形であれ「セキュリティ」は重要なキーワードです。

RemoteView による検証

遠隔ソフトソリューションが強みの RSUPPORT という企業が提供するソリューションです。今回はコロナウイルスに関連して4末まで環境(数に制限はあり)を無償提供してくれるとのことです。太っ腹!

【新型肺炎対策】テレワーク・BCP対策ソリューション無償提供のお申し込み

折り返しの連絡が来て接続出来る環境を構築するまではそこまで時間がかかりませんでした。数に制限がある 10Agent 分程であれば1日もあれば環境を準備できると思います。大まかな流れは下記の通りです。

=====

・受け取った情報を元に導入予定のPCで Agent を入れていく(要管理者権限)

➡Agent 導入時には ID / PASS の設定が必要

 

・管理ユーザとは別でアクセスするユーザ用のアカウントを発行する

➡権限は一般ユーザ側にしておく方が良いです

➡発行した上で割り当てるマシンやコピー&ペースト他のポリシーを決めます

 

・ユーザ側(自宅のPCと見立てた形)で2点目で発行したアカウント情報を元にアクセスし Agent を入れたマシンにアクセスする

=====

なお、接続に際して注意点があります。

=====

・Agent を入れた PC はリモートアシスタンスと同様で制御する際に基本ロック状態になりません。その為、制御するユーザ側のマシンで明示的にロックをする必要があります。

(Agent 側の PC のメインモニタ右下に右記が表示されます→f:id:btsn:20200222180800p:plain

 

・Agent を入れた PC がマルチモニタの場合はユーザ側のマシンの解像度にもよりますがかなり縮小表示になるため、基本的には[画面]➡[遠隔モニター]でアクセスするモニターを制限した方が良さそうです。(画面を制限したモニターに集約する)

 

・(通信)環境にもよりますが、画面のスクロール等はカクつくことがあります。グラフィック関連の重い処理は厳しいかもしれませんので、作業によっては一部割り切る必要が出てくる可能性もありそうです。また、通信量も画面のスクロール時ですが一時的に上がることがあるので 10Agent またはそれ以上に同時多発すると通信がボトルネックになる可能性もあります。

f:id:btsn:20200222181804p:plain

=====

今後も気づいた点があれば追記しますが、ひとまずはこんなところで!

追記(Appendix)

2020/03/19

対象の PC に接続する際、「Webビューアで遠隔接続」で接続すると Web 経由でアクセス可能となります。検証比較した限りではこちらの接続方式の方が転送量が抑えられ、かつ、レスポンスもスムーズです。

「WebViewer方式」と 「プラグイン・アプリケーション方式」の差を教えてください。 – RemoteView Help Center

2020/03/30

3/27(金)に実際 1day のリモートワークトライアルを行い、感想をまとめてみました。

初リモートワークを経験する(1day) - SE(しがないエンジニア)のブログ

この中での気付きなのですが、どうも「Webビューアで遠隔接続」は通常のものよりセッションが切れやすいようでケースによっては即時復帰が出来ないこともあるようです。その為、自社の場合はNGになった場合は「遠隔制御」で接続するよう指示してます。この辺もエラー対処方法が判明したらまた追記します。

2020/04/30

在宅勤務が本格化し早1ヶ月が経過しようとしております。アクセス過多による画面重い問題は時々あるものの RemoteView 全体としては(他プロダクトと比較しても)個人的評価は高いです。最近、「遠隔制御」改版も登場したようでメーカー側の努力も垣間見えます。他方、他プロダクトではこんな障害も発生していようで・・・・。

www.traicy.com

選定段階では挙げていただけにチョイスしなくて良かった、というのが正直な感想。