設定ウィザードを使用して、VMware Tunnel プロキシを設定します。ウィザードで設定したオプションはインストーラにパッケージされており、これは Workspace ONE UEM コンソールからダウンロードして、トンネル サーバに移動できます。
[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [VMware Tunnel] > [プロキシ] の順に選択して、UEM Console の VMware Tunnel プロキシを設定します。ウィザードでは、インストーラ設定の手順について説明します。ウィザードで設定したオプションはインストーラにパッケージされており、これは Workspace ONE UEM コンソールからダウンロードして、トンネル サーバに移動できます。このウィザードで詳細を変更するには、VMware Tunnel を再インストールして新しく設定する必要があります。
手順
- [グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [VMware Tunnel] > [プロキシ] の順に移動します。
- VMware Tunnel を初めて構成する場合は、[構成] を選択し、構成ウィザードの画面に従ってください。
- VMware Tunnel を初めて構成する場合は、[オーバーライド] を選択し、[有効] [VMware Tunnel] 切り替えスイッチを選択して、[構成] を選択します。
注: VMware Tunnel プロキシ設定をオーバーライドしても VMware Tunnel 構成はオーバーライドされません。
- [展開の種類]画面で、[プロキシ (Windows と Linux)] を[有効化]切り替えスイッチを選択してから、[プロキシ構成タイプ] ドロップダウン メニューを使用して設定するコンポーネントを選択します。
- 表示されるドロップダウン メニューで、[リレー - エンドポイント] を設定するか、または [プロキシ構成タイプ] のデプロイを設定するかを選択します。選択したタイプの例を表示するには、情報アイコンを選択します。
- [次へ] を選択します。
- [詳細] 画面で、次の設定を行います。[詳細] 画面に表示されるオプションは、[プロキシ構成タイプ] ドロップダウン メニューで選択した構成タイプによって異なります。
- [基本] [プロキシ構成タイプ] で、次の情報を入力します。
設定 説明 ホスト名 トンネル サーバのパブリック ホスト名の FQDN を入力します(例:tunnel.acmemdm.com)。このホスト名は、デバイスがインターネットから接続する DNS であるため、一般公開されている必要があります。 リレー ポート このポートにはプロキシ サービスがインストールされています。デバイスは、VMware Tunnel のプロキシ機能を使用するために <relayhostname>:<port> に接続します。デフォルト値は 2020 です。 リレー ホスト名 (リレー エンドポイントのみ)。トンネル リレー サーバのパブリック ホスト名の FQDN を入力します(例:tunnel.acmemdm.com)。このホスト名は、デバイスがインターネットから接続する DNS であるため、一般公開されている必要があります。 SSL オフロードを有効にする SSL オフロードを使用して、VMware Tunnel サーバからのトラフィックの暗号化と復号化の負担を軽減するには、このチェック ボックスを選択します。 Kerberos プロキシを使用 ターゲット バックエンド Web サービスに対して Kerberos 認証へのアクセスを許可するには、Kerberos プロキシ サポートを選択します。この機能は現在 Kerberos の制約付き委任 (KCD) をサポートしていません。詳細については、Kerberos プロキシの設定を参照してください。
Kerberos プロキシが KDC と正常に通信するには、エンドポイント サーバが KDC と同じドメインにある必要があります。
- [リレー エンドポイント] [プロキシ設定タイプ] を選択した場合は、次の情報を入力します。
設定 説明 リレー ホスト名 (リレー エンドポイントのみ)。トンネル リレー サーバのパブリック ホスト名の FQDN を入力します(例:tunnel.acmemdm.com)。このホスト名は、デバイスがインターネットから接続する DNS であるため、一般公開されている必要があります。 エンドポイント ホスト名 トンネル エンドポイント サーバの内部 DNS。この値は、リレー エンドポイント ポートでリレー サーバが接続するホスト名です。SSL をオフロードしたサーバに VMware Tunnel をインストールする場合は、[ホスト名] の代わりにそのサーバの名前を入力します。
[ホスト名] を入力する時は、http://、https:// などのプロトコルを含めないでください。
リレー ポート このポートにはプロキシ サービスがインストールされています。デバイスは、VMware Tunnel のプロキシ機能を使用するために <relayhostname>:<port> に接続します。デフォルト値は 2020 です。 エンドポイント ポート (リレー エンドポイントのみ)。この値は、VMware Tunnel リレーと VMware Tunnel エンドポイント間の通信に使用されるポートです。デフォルト値は 2010 です。
プロキシとアプリケーション単位のトンネルの組み合わせを使用している場合、リレー エンドポイントはカスケード モード用のフロントエンド サーバの一部としてインストールされます。ポートは異なる値を使用する必要があります。
SSL オフロードを有効にする SSL オフロードを使用して、VMware Tunnel サーバからのトラフィックの暗号化と復号化の負担を軽減するには、このチェック ボックスを選択します。 Kerberos プロキシを使用 ターゲット バックエンド Web サービスに対して Kerberos 認証へのアクセスを許可するには、Kerberos プロキシ サポートを選択します。この機能は現在 Kerberos の制約付き委任 (KCD) をサポートしていません。詳細については、Kerberos プロキシの設定を参照してください。
Kerberos プロキシが KDC と正常に通信するには、エンドポイント サーバが KDC と同じドメインにある必要があります。
[レルム] テキスト ボックスに、KDC サーバのレルムを入力します。
- [次へ] を選択します。
- [SSL] 画面で、デバイス上の有効なアプリケーションから VMware Tunnel へのクライアント サーバ通信を保護するパブリック SSL 証明書を設定できます。デフォルトでは、この設定では、安全なサーバ クライアント通信のために、AirWatch 証明書を使用します。
- Workspace ONE Web または SDK 対応のアプリケーションと VMware Tunnel サーバ間の暗号化にサードパーティの SSL 証明書を使用したい場合は、[パブリック SSL 証明書を使用] オプションを選択します。
- [アップロード]を選択して、.PFX または .P12 の証明書ファイルをアップロードし、パスワードを入力します。このファイルには、パブリック キーとプライベート キーのペアの両方が含まれていなければなりません。CER および CRT ファイルはサポートされていません。
- [次へ] を選択します。
- [認証] 画面で、次の設定を行って、デバイスが VMware Tunnel への認証に使用する証明書を選択します。
デフォルトでは、すべてのコンポーネントは、AirWatch で発行された証明書を使用します。クライアント サーバ認証にエンタープライズ認証局証明書を使用するには、 [エンタープライズ認証局] オプションを選択します。
- AirWatch で発行された証明書を使用するには、[デフォルト] を選択します。AirWatch で発行されたデフォルトのクライアント証明書は自動的には更新されません。これらの証明書を更新するには、有効期限の近いまたは有効期限が切れたクライアント証明書を持つデバイスに VPN プロファイルを再公開します。デバイスの証明書状態を表示するには、[デバイス] > [デバイス詳細] > [詳細] > [証明書] の順に移動します。
- Workspace ONE Web、アプリケーション単位のトンネル対応アプリケーション、または SDK 対応アプリケーションと、VMware Tunnel の設定前に Workspace ONE UEM 環境で認証局と証明書テンプレートをセットアップしなければならない VMware Tunnel 間の認証には、AirWatch で発行された証明書の代わりに [エンタープライズ認証局] を選択します。
- CA からの証明書要求に使用される [認証局] と [証明書テンプレート] を選択します。
- [アップロード] を選択して、認証局のパブリック キーの全体チェーンを設定ウィザードにアップロードします。
CA テンプレートのサブジェクト名に CN=UDID が含まれている必要があります。サポートされている CA は、ADCS、RSA、および SCEP です。
証明書は、CA テンプレートの設定に基づいて自動更新されます。
- [追加] をクリックして中間証明書を追加します。
- [次へ] を選択します。
- [その他] 画面で、プロキシまたはアプリケーション単位のトンネル コンポーネントのアクセス ログを使用できます。[アクセス ログ] 切り替えスイッチを有効にして、機能を設定します。
後でこの機能を有効にするには、トンネルを再設定してインストーラを再実行しなければならないため、この機能を使用する場合は、この機能を設定の一部として設定してください。これらの設定の詳細については、「アクセス ログと Syslog の統合」および「VMware Tunnel の詳細設定」を参照してください。
- [Syslog ホスト名] フィールドに Syslog ホストの URL を入力します。この設定は、アクセス ログを有効にした後に表示されます。
- [UDP ポート] フィールドに、Syslog ホストとの通信に使用するポートを入力します。
- [次へ] を選択し、設定のサマリを確認します。すべてのホスト名、ポート、および設定が正しいことを確認して、[保存] を選択します。
これで、 VMware Tunnel [設定] 画面でインストーラがダウンロードを行えるようになりました。
- [設定] 画面で、[全般] タブを選択します。[全般] タブでは、次の操作を実行できます。
- [接続のテスト] を選択して、接続を確認できます。
- [XML 構成ファイルをダウンロード] を選択して、既存の VMware Tunnel インスタンス構成を XML ファイルとして取得できます。
- [Unified Access Gateway をダウンロード] ハイパーリンクを選択できます。このボタンを押すと、非 FIPS OVA ファイルをダウンロードします。ダウンロード ファイルには、PowerShell 展開方法の PowerShell スクリプトおよび .ini テンプレート ファイルも含まれています。My Workspace ONE から VHDX または FIPS OVA をダウンロードする必要があります。
- 以前のインストーラの場合は、[Windows インストーラをダウンロード] を選択できます。
このボタンを押すと、 VMware Tunnel サーバのデプロイに使用される単一の BIN ファイルをダウンロードします。インストールに必要な設定 XML ファイルは、証明書のパスワードを確認した後、 Workspace ONE UEM コンソールからダウンロードできます。
- [保存] を選択します。