Endpoint Central オンプレミス版 ナレッジベース

在宅勤務用コンピューターの管理にEndpoint Centralを導入したいが、DMZ環境を用意できない


質問

リモートワーク(テレワーク)や在宅勤務と出社を組み合わせるハイブリッドワークを導入しています。
在宅勤務中のコンピューターやモバイルデバイスを管理するためにEndpoint Centralオンプレミス版を利用したいのですが、DMZ環境が用意できません。何か代替方法はありますか。

回答

Endpoint Centralオンプレミス版は、管理対象PCとEndpoint Centralサーバーが通信可能である必要がありますが、常時通信可能である必要はありません(お客様の要件に依存します)。

  • 管理対象PCが社内ネットワークにのみ接続していれば、Endpoint Centralサーバーをインターネット側に公開する必要はありません。つまり、自宅勤務中に社内ネットワークとVPN接続をするような場合、DMZ環境は不要です
     
  • 一方で、専用線やVPN接続で社内ネットワークと接続されていない支社/営業所などの拠点や、在宅勤務のPC、社内LANに接続しないモバイルデバイスの管理を行う場合は、インターネット側からアクセス可能な構成にする必要があります。つまり、社内にDMZ環境を用意し、DMZ上にセキュアゲートウェイサーバーを設置して対応します
DMZ環境を用意できる場合の対応
Endpoint Centralオンプレミス版をご利用でDMZ環境を用意できる場合、「セキュアゲートウェイサーバー」をDMZ環境に設置します。セキュアゲートウェイサーバーはリバースプロキシの一種で、インターネット経由のエージェントからの通信を中継します。
※ Endpoint Centralサーバーを直接DMZ上に設置することは、セキュリティ上のリスクが高いことから推奨いたしません。

社内にDMZ環境を用意できない、またはDMZ環境にサーバーを構築するのが難しい場合、以下の対応策が考えられます。

  • 案1. AWSやAzureなどのパブリッククラウド上にEndpoint Centralサーバーを構築(移行)します。
    パブリッククラウド上にサーバーを設置することで、社内にDMZ環境を用意する必要がありません。以下のナレッジをご参照ください。

     

  • 案2. 管理対象とVPN接続で通信します。
    社外の管理対象PCとVPNで通信することで、VPN接続中は社内のEndpoint Centralを使用して管理することが可能です。 管理できるのはVPN接続中のみのため、管理対象は定期的に一定時間VPN接続することが必要になります。
    禁止ソフトウェアやUSBのブロックなどの各機能は、いったん構成を配布してしまえば、Endpoint Centralサーバーと接続できない期間中であっても機能します。
    なおパッチの適用については、パッチファイルのダウンロードをVPNを経由させずに実行する直接ダウンロード機能が利用できます。
     
  • 案3. Endpoint Central Cloud を利用(クラウド版へ移行)します。
    クラウド版を利用することで、社内/社外を問わずに管理できます。以下のナレッジをご覧ください。