VMware per-App-Tunnel kann anhand eines der beiden folgenden Konfigurationsmodelle konfiguriert werden:

  • Einfach (eine Ebene) mit einem VMware per-App-Tunnel-Endpoint

  • Mehrstufig (mehrere Ebenen) mit einem VMware per-App-Tunnel-Front-End und einem VMware per-App-Tunnel-Back-End

Tabelle 1. Portanforderungen für eine Konfiguration mit einem einfachen VMware per-App-Tunnel-Endpoint

Quelle

Ziel

Protokoll

Port

Verifizierung

Hinweise

Geräte (aus Internet und WLAN-Verbindung)

Einfacher VMware per-App-Tunnel-Endpoint

TCP, UDP

8443*

Führen Sie den folgenden Befehl nach der Installation aus: netstat -tlpn | grep [Port]

Geräte stellen über den angegebenen Port eine Verbindung mit dem für VMware Tunnel konfigurierten öffentlichen DNS her. Wenn 443 verwendet wird, überwacht die Per-App-Tunnel-Komponente Port 8443.

Einfacher VMware per-App-Tunnel-Endpoint

AirWatch Cloud Messaging Server

HTTPS

SaaS: 443

Lokal: 2001*

Zum Verifizieren senden Sie wget an https://<AWCM URL>:<port>/awcm/status und stellen Sie sicher, dass Sie die Antwort HTTP 200 erhalten.

Damit der VMware per-App-Tunnel die Workspace ONE UEM Console zu Konformitäts- und Nachverfolgungszwecken abfragen kann. Mindestens TLS 1.2 muss unterstützt werden.

Einfacher VMware per-App-Tunnel-Endpoint

Interne Websites/Webanwendungen/Ressourcen

HTTP, HTTPS oder TCP

80, 443, alle erforderlichen TCP-Ports

Für Anwendungen, die mithilfe von VMware per-App-Tunnel auf interne Ressourcen zugreifen. Die genauen Endpoints oder Ports werden durch den Standort dieser Ressourcen bestimmt.

Einfacher VMware per-App-Tunnel-Endpoint

UEM-REST-API

  • SaaS‡: https://asXXX.awmdm.com oder https://asXXX.airwatchportals.com

  • Lokal†: Meistens Gerätedienste oder Konsolenserver

HTTP oder HTTPS

80 oder 443

curl -Ivv https://<API URL>/api/mdm/ping Die erwartete Antwort ist HTTP 401 unauthorized

Der VMware per-App-Tunnel muss mit der UEM-REST-API zur Initialisierung kommunizieren. Wechseln Sie in der Workspace ONE UEM Console zu Gruppen und Einstellungen > Alle Einstellungen > System > Erweitert > Website-URLs, um die REST-API-URL festzulegen. Diese Seite ist für Workspace ONE UEM-SaaS-Kunden nicht verfügbar. Für Workspace ONE UEM-SaaS-Kunden entspricht die REST-API-URL am häufigsten der Console-URL oder der Gerätedienst-URL.

Tabelle 2. Portanforderungen für eine mehrstufige VMware per-App-Tunnel-Konfiguration

Quelle

Ziel

Protokoll

Port

Verifizierung

Hinweise

Geräte (aus Internet und WLAN-Verbindung)

VMware per-App-Tunnel-Front-End

TCP, UDP

8443*

Führen Sie den folgenden Befehl nach der Installation aus: netstat -tlpn | grep [Port]

Geräte stellen über den angegebenen Port eine Verbindung mit dem für VMware Tunnel konfigurierten öffentlichen DNS her. Wenn 443 verwendet wird, überwacht die Per-App-Tunnel-Komponente Port 8443.

VMware per-App-Tunnel-Front-End

AirWatch Cloud Messaging Server

HTTPS

SaaS: 443

Lokal: 2001*

Zum Verifizieren senden Sie wget an https://<AWCM URL>:<port>/awcm/status und stellen Sie sicher, dass Sie die Antwort HTTP 200 erhalten.

Damit der VMware per-App-Tunnel die Workspace ONE UEM Console zu Konformitäts- und Nachverfolgungszwecken abfragen kann. Mindestens TLS 1.2 muss unterstützt werden.

VMware per-App-Tunnel-Front-End

VMware per-App-Tunnel-Back-End

TCP

8443

Telnet von VMware per-App-Tunnel-Front-End zum VMware per-App-Tunnel-Back-End auf Port 8443.

Zum Weiterleiten von Geräteanforderungen vom Front-End- an den Back-End-Server. Mindestens TLS 1.2 muss unterstützt werden.

VMware per-App-Tunnel-Back-End

AirWatch Cloud Messaging Server

HTTPS

SaaS: 443

Lokal: 2001*

Zum Verifizieren senden Sie wget an https://<AWCM URL>:<port>/awcm/status und stellen Sie sicher, dass Sie die Antwort HTTP 200 erhalten.

Damit VMware per-App-Tunnel die Workspace ONE UEM Console zu Konformitäts- und Nachverfolgungszwecken abfragen kann. Mindestens TLS 1.2 muss unterstützt werden.

VMware Tunnel-Back-End

Interne Websites/Webanwendungen/Ressourcen

HTTP, HTTPS oder TCP

80, 443, alle erforderlichen TCP-Ports

Für Anwendungen, die mithilfe von VMware per-App-Tunnel auf interne Ressourcen zugreifen. Die genauen Endpoints oder Ports werden durch den Standort dieser Ressourcen bestimmt.

VMware per-App-Tunnel-Front-End

UEM-REST-API

  • SaaS‡: https://asXXX.awmdm.com oder https://asXXX.airwatchportals.com

  • Lokal†: Meistens Gerätedienste oder Konsolenserver

HTTP oder HTTPS

80 oder 443

curl -Ivv https://<API URL>/api/mdm/ping Die erwartete Antwort ist HTTP 401 unauthorized

Der VMware per-App-Tunnel muss mit der UEM-REST-API zur Initialisierung kommunizieren. Wechseln Sie in der Workspace ONE UEM Console zu Gruppen und Einstellungen > Alle Einstellungen > System > Erweitert > Website-URLs, um die REST-API-URL festzulegen. Diese Seite ist für Workspace ONE UEM-SaaS-Kunden nicht verfügbar. Für Workspace ONE UEM-SaaS-Kunden entspricht die REST-API-URL am häufigsten der Console-URL oder der Gerätedienst-URL.

VMware per-App-Tunnel-Back-End

UEM-REST-API

  • SaaS‡: https://asXXX.awmdm.com oder https://asXXX.airwatchportals.com

  • Lokal†: Meistens Gerätedienste oder Konsolenserver

HTTP oder HTTPS

80 oder 443

curl -Ivv https://<API URL>/api/mdm/ping Die erwartete Antwort ist HTTP 401 unauthorized

Der VMware per-App-Tunnel muss mit der UEM-REST-API zur Initialisierung kommunizieren. Wechseln Sie in der Workspace ONE UEM Console zu Gruppen und Einstellungen > Alle Einstellungen > System > Erweitert > Website-URLs, um die REST-API-URL festzulegen. Diese Seite ist für Workspace ONE UEM-SaaS-Kunden nicht verfügbar. Für Workspace ONE UEM-SaaS-Kunden entspricht die REST-API-URL am häufigsten der Console-URL oder der Gerätedienst-URL.

HINWEISE

  • * Dieser Port kann je nach den Einschränkungen Ihrer Umgebung geändert werden.

  • † Lokal entspricht dem Standort der Workspace ONE UEM Console.

  • ‡ Für SaaS-Kunden, die die ausgehende Kommunikation auf die Whitelist setzen müssen, werden die aktuellen IP-Bereiche im folgenden Artikel der VMware Knowledge Base aufgeführt: https://support.workspaceone.com/articles/115001662168-.

Für SaaS-Kunden, die die ausgehende Kommunikation auf die Whitelist setzen müssen, werden die aktuellen IP-Bereiche von VMware im Artikel VMware AirWatch IP ranges for SaaS data centers der Knowledge Base aufgeführt.