ソフトウェアをインストールせずにリモートアクセス：ブラウザベースのWindowsアクセス

紹介

ソフトウェアをインストールせずにリモートアクセスを実現することは、ハイブリッドワーク、契約者、BYODユーザーにとって実用的な目標です。重要なのは、アーキテクチャからすべてのソフトウェアを削除することではなく、エンドポイントからクライアントの展開を削除することです。HTML5リモートアクセスポータルを使用すると、ユーザーは安全なブラウザセッションを開いて、公開されたWindowsアプリケーションやデスクトップにアクセスします。

ソフトウェアをインストールせずにリモートアクセスとは何ですか？

ソフトウェアをインストールせずにリモートアクセスを行うことは、どこにもソフトウェアがないことを意味するわけではありません。リモートアクセスには、セッションブローカー、認証、表示トランスポート、暗号化、アクセス制御が依然として必要です。本当の問題は、そのソフトウェアがどこで実行されるかです。

従来の リモートデスクトッププロトコル (RDP) 展開では、すべてのエンドポイントにネイティブRDPクライアント、VPNクライアント、リモートサポートツール、またはカスタムランチャーが必要になる場合があります。このモデルは、ユーザーが管理されていないノートパソコン、個人デバイス、タブレット、または制限されたマシンから接続する際に摩擦を生じさせます。

ブラウザベースのモデルでは、リモートアクセススタックが集中化されています。ユーザーは安全なURLを開き、サインインしてブラウザ内でWindowsアプリケーションまたはデスクトップを起動します。Microsoft Learnは次のように説明しています。 リモートデスクトップウェブクライアント 管理者が公開したリモートアプリやデスクトップに互換性のあるブラウザを通じてアクセスする方法として。

ITチームにとって、実用的な定義は明確です：ユーザーエンドポイントにリモートアクセスクライアントは展開されていません。

なぜITチームはクライアントレスリモートアクセスを選ぶのか？

クライアントレスのリモートアクセスは、ユーザーの利便性の問題以上のものを解決します。エンドポイントの依存を減らし、オンボーディングを簡素化し、管理者にWindowsリソースを公開するためのより制御された方法を提供します。

最初の利点はデバイスの柔軟性です。ユーザーは、ブラウザとアクセスポリシーがサポートされている場合、Windows、macOS、Linux、ChromeOS、またはタブレットから接続できます。これは、契約者、外部パートナー、一時的なスタッフ、および自分のデバイスを持ち込む環境にとって便利です。

二つ目の利点は、サポートのオーバーヘッドが低くなることです。ネイティブクライアントは、バージョンのずれ、オペレーティングシステムの互換性の問題、ローカルファイアウォールの問題、更新の失敗、設定エラーを引き起こします。ブラウザポータルは、ユーザーに一つの予測可能なアクセスパスを提供します。

第三の利点はセキュリティ設計です。広範なVPNアクセスを通じて管理されていないエンドポイントを内部ネットワークに配置する代わりに、ITチームはユーザーが必要とするアプリケーションやデスクトップのみを公開できます。 NIST SP 800-46 Rev. 2 リモートアクセス、テレワーク、BYODをセキュリティに敏感な領域として位置付け、明確なポリシーと技術的コントロールを必要とします。

クライアントインストールなしでWindowsにリモートアクセスする主な方法

いくつかの技術はローカルインストール作業を削減できますが、同じ問題を解決するわけではありません。適切なオプションは、組織が管理、ヘルプデスクサポート、またはビジネスアプリケーションへの定期的なアクセスを必要とするかどうかによって異なります。

方法	最適な	エンドユーザーインストール	主な制限
ネイティブリモートデスクトップ接続	管理されたWindows PCからの管理者アクセス	通常はWindowsではありません	管理されていないエンドポイントやアプリの公開には理想的ではありません
リモートデスクトップウェブクライアント	RDSアプリとデスクトップへのブラウザアクセス	ローカルRDPクライアントはありません	RDSの計画とインフラストラクチャが必要です
クイックアシスト	アドホックサポートセッション	Microsoft Storeのインストールが必要な場合があります	日常的なアプリケーション配信には設計されていません
ブラウザ拡張ツール	個人用または軽量リモートコントロール	しばしば拡張またはホストエージェントが必要です	中央集権的IT管理には適していません
HTML5リモートアクセスポータル	ビジネス向けのWindowsアプリとデスクトップへのアクセス	エンドポイントクライアントの展開なし	サーバー側のゲートウェイ設定が必要です

この比較は、「ダウンロード不要」だけでは不十分な理由を示しています。ITチームは、ユーザー向けのアクセス方法だけでなく、アーキテクチャも評価する必要があります。

ネイティブリモートデスクトップ接続

Windowsには、一般にmstsc.exeとして知られるネイティブのリモートデスクトップ接続クライアントが含まれています。これは、管理者、内部サポートチーム、および制御されたWindows環境にとって便利です。

ただし、ネイティブRDPはクライアントレスアクセスの問題を完全には解決しません。外部アクセスには、VPN、RDゲートウェイ、またはファイアウォールの計画が必要なことがよくあります。個々のアプリケーションを公開することは、ユーザーにフルデスクトップを提供するよりも複雑です。

ネイティブRDPは有効な管理ツールですが、ブラウザベースのアプリケーション配信戦略とは異なります。デバイス、ネットワーク、ユーザーがすでにITによって管理されている場合に最も効果的に機能します。

リモートデスクトップウェブクライアント

The リモートデスクトップウェブクライアント アクセス体験をブラウザに移動します。ユーザーはポータルを開き、管理者が公開したリモートアプリやデスクトップを起動できます。Microsoftのドキュメントによると、セットアップ後、ユーザーはクライアントURL、認証情報、およびサポートされているブラウザが必要です。

このモデルは、多くのビジネスが必要とするものに近いです。Windowsアプリケーションまたはデスクトップは中央インフラストラクチャ上で動作し、ブラウザがアクセス層になります。

トレードオフはインフラストラクチャの複雑さです。Microsoft Remote Desktop Servicesの展開には、依然として証明書、RD Gateway、RD Web Access、RD Connection Broker、ライセンス、認証、ブラウザの互換性、セッションホストの容量に関する慎重な作業が必要です。

クイックアシストとリモートサポートツール

Quick Assistはサポートのために構築されており、アプリケーション配信のためではありません。MicrosoftはQuick Assistを、サポートスタッフがユーザーの画面を表示し、注釈を付けたり、トラブルシューティングセッション中に完全な制御を要求したりする方法として説明しています。

そのユースケースは、ホストされたWindowsアプリケーションへの日常的なアクセスとは異なります。Quick Assistは、ヘルパー、ユーザー、およびインタラクティブなサポートセッションに依存しています。これは、多くのユーザーにビジネスアプリケーションを公開するための中央集権的なポータルではありません。

Microsoftのサポートドキュメントでは、Quick AssistがMicrosoft Storeからインストールする必要がある場合があり、管理されたデバイスはポリシーによってそのインストールをブロックする可能性があることも説明されています。

ブラウザ拡張機能と消費者リモートコントロールツール

一部のリモートコントロール製品はダウンロードなしでのアクセスを宣伝していますが、多くは依然としてブラウザ拡張機能、ヘルパーアプリケーション、ホストエージェント、またはアカウントベースの中継サービスに依存しています。これは個人使用や時折のトラブルシューティングには許容されるかもしれません。

ビジネス用途では、ITチームはより強力な回答を必要としています。管理者は、アクセスが中央で取り消せるか、ログが利用可能か、マルチファクター認証が強制できるか、ユーザーをフルマシンではなく特定のアプリケーションに制限できるかを確認する必要があります。

ブラウザ拡張機能はHTML5リモートアクセスポータルとは異なります。エンドポイントの展開を減らし、制御を改善することが目的であれば、基盤となるアーキテクチャが重要です。

HTML5リモートアクセスウェブポータル

HTML5リモートアクセスウェブポータルは、通常、ビジネスアプリケーションアクセスに最適です。ITは、中央ホストからWindowsアプリケーションやフルデスクトップを公開し、ユーザーは安全なブラウザポータルを通じて接続します。

エンドポイントはネイティブRDPクライアントを必要としません。リモートセッションはウェブ技術を通じて提供され、アプリケーションはサーバー側にホストされたままです。

このモデルは特に役立ちます。 レガシーWindowsアプリケーション それはSaaSアプリケーションとして書き換えることができません。すべてのエンドポイントにアプリケーションをインストールする代わりに、ITはそれを中央でホストし、ブラウザを通じて提供します。

ビジネス利用にHTML5リモートアクセスポータルが適している理由は何ですか？

HTML5リモートアクセスポータルは、エンドポイントとアプリケーションランタイムを分離します。ユーザーのデバイスはディスプレイ、キーボード、マウスインターフェースとなり、WindowsワークロードはITの管理下に留まります。

そのアプローチは、管理者にいくつかの実用的な利点を提供します。

• 中央集権的なアプリケーションの公開
• サポートされているデバイスからのブラウザベースのアクセス
• VPNクライアントへの依存度の低減
• 一つのURLを通じた一貫したアクセス
• 契約者やBYODユーザーのための簡単なオンボーディング
• 中央集権的な認証とセッション管理
• 管理されていないエンドポイントでのローカルトラブルシューティングが少なくなります

結果は、よりクリーンな運用モデルです。ITはリソースを公開し、内部ネットワーク全体を公開するわけではありません。

ブラウザベースのリモートアクセスのセキュリティ要件

クライアントレスアクセスは自動的に安全なアクセスを意味するわけではありません。アクセスが管理される場所が変わるだけです。ITチームは依然としてアイデンティティ、トランスポート、セッションの露出、および管理制御を確保する必要があります。

まず、すべてのブラウザポータルは有効な証明書を使用してHTTPSを利用する必要があります。ユーザーはブラウザのセキュリティ警告を回避するように訓練されるべきではなく、そのような行動は信頼モデルを弱めるからです。

第二に、組織は生のRDPをインターネットに直接公開することを避けるべきです。CISAは、RDPが一般的なランサムウェア感染ベクターであり、多要素認証が悪意のあるアクセスリスクを減らすために重要であると警告しています。

第三に、管理者は強力な認証を適用する必要があります。生産環境では、多要素認証、アカウントロックポリシー、および最小特権アクセスが基本的な要件であるべきです。

第四に、ITチームはユーザーが必要とするものだけを公開すべきです。多くのユーザーはフルリモートデスクトップではなく、1つのWindowsアプリケーションを必要としています。アプリケーションの公開は、露出を減らし、セッションを使いやすくすることができます。

最後に、中央集権的なアクセスは有用なログを生成する必要があります。ログインイベント、セッション活動、管理者の変更、失敗した認証試行は、監査と調査のために表示されるべきです。

ブラウザベースのリモートアクセスはいつ適切ですか？

ブラウザベース リモートアクセス 組織がユーザーデバイスにソフトウェアをインストールせずにWindowsアプリケーションへの定期的なアクセスを必要とする場合に適しています。

典型的な使用例には次のものが含まれます:

• 内部アプリケーションへの限定的なアクセスが必要な契約者
• BYODユーザーは、企業クライアントをインストールすべきではありません。
• 複数のオペレーティングシステムで働くリモートスタッフ
• ホストされたアプリケーションにアクセスする必要がある外部パートナー
• 薄型クライアントまたはロックダウンデバイスを使用した支店
• ウェブベースの配信が必要なレガシーWindowsアプリケーション
• VPNおよびRDPクライアントサポートチケットを削減しようとしているITチーム

このモデルはすべてのワークロードに対してあまり適していません。グラフィックスを多く使用するアプリケーション、高度なUSBリダイレクション、低遅延のマルチメディア、および深いローカルデバイス統合は、依然としてネイティブクライアントまたは専門の仮想化プラットフォームを必要とする場合があります。

ITチームのための実装チェックリスト

ブラウザベースのリモートアクセスを展開する前に、ITチームは運用モデルを定義する必要があります。最初の決定は、ユーザーがフルデスクトップ、個別のアプリケーション、またはその両方を必要とするかどうかです。アプリケーションの公開は、すべてのユーザーにフルデスクトップを提供するよりも、安全でサポートが容易なことがよくあります。

次に、アイデンティティとアクセス制御を定義します。ユーザーがActive Directory、ローカルWindowsアカウント、シングルサインオン、マルチファクター認証、または別のアイデンティティプロバイダーで認証するかどうかを確認します。

次にネットワークの露出を確認します。ウェブポータルの配置、HTTPSの終了方法、公開する必要があるポート、リバースプロキシまたはゲートウェイ層が必要かどうかを決定します。

アプリケーションの検証も重要です。一部のWindowsアプリケーションは、特にシングルユーザーのデスクトップインストール用に設計されている場合、マルチユーザーセッションで異なる動作をします。

最後に、実際のエンドポイントをテストします。ユーザー環境に合ったWindows、macOS、Linux、タブレット、ロックダウンされたデバイスからのアクセスを検証します。

避けるべき一般的な間違い

最初の誤りは、「ダウンロードなし」が「インフラストラクチャなし」を意味するという仮定です。ブラウザベースのリモートアクセスはエンドポイントの複雑さを軽減しますが、サーバー側のプラットフォームは依然として保護され、パッチが適用され、監視され、バックアップされる必要があります。

二つ目の間違いは、アプリケーション配信のためにリモートサポートツールを使用することです。ヘルプデスクの画面共有ツールは、ビジネスアプリケーションのための公開プラットフォームではありません。

3つ目の間違いは、すべてのユーザーにフルデスクトップを提供することです。ユーザーが必要なのは1つのアプリケーションだけの場合もあります。フルデスクトップは時には必要ですが、公開されたアプリケーションはリスクを減らし、使いやすさを向上させることができます。

最終的な間違いはユーザーの旅を無視することです。ユーザーは明確なポータルURL、信頼できる認証、明白なアプリケーションアイコン、予測可能なセッションの動作を必要としています。

TSplus Remote Accessはどのように役立ちますか？

TSplus リモートアクセス 組織がすべてのユーザーエンドポイントにフルリモートデスクトップクライアントを展開することなく、ブラウザベースのWindowsアプリケーションとデスクトップへのアクセスを必要とするために設計されています。当社のソリューションは、HTML5およびRDP互換クライアントをサポートし、フルリモートデスクトップ上の集中管理されたWindowsアプリケーションへのアクセスを提供します。

TSplusを使用すると、管理者はアプリケーションを公開し、それらを特定のユーザーまたはグループに割り当てることができます。TSplusのドキュメントでは、アプリケーションの公開を、ユーザーがアクセスできるアプリケーションとそれらのアプリケーションがどのように起動されるかを制御する方法として説明しています。

中小企業、MSP、およびスリムなITチームにとって、その価値は運用のシンプルさです。ユーザーは安全なウェブポータルにアクセスし、割り当てられたアプリケーションを起動し、ブラウザから作業します。一方、ITはWindowsアプリケーションを集中管理します。

結論

ソフトウェアをインストールせずにリモートアクセスを行うことは、ソフトウェアのないインフラストラクチャとしてではなく、エンドポイントクライアントの展開がないものとして最もよく理解されます。ビジネス環境において、実用的な道は、ITが認証、アプリケーションの公開、セッションの制御、セキュリティポリシーを集中管理しながら、ユーザーがブラウザから公開されたWindowsアプリケーションやフルデスクトップにアクセスできるHTML5リモートアクセスポータルです。