Unified Access Gateway アプライアンスを使用して VMware Tunnel をデプロイすると、個々のアプリケーションが安全で効率的な方法で社内リソースにアクセスできます。Unified Access Gateway 3.0 は、ESXi または Microsoft Hyper-V のいずれかの環境でのデプロイをサポートします。

VMware Tunnel は、トンネル プロキシとアプリケーション単位のトンネルという 2 つの独立したコンポーネントから構成されます。単層または多層のネットワーク アーキテクチャ モデルを使用して VMware Tunnel をデプロイします。

トンネル プロキシとアプリケーション単位のトンネルのデプロイ モデルは両方とも、UAG アプライアンス上の多層ネットワークで使用できます。このデプロイは、DMZ にデプロイされているフロントエンド Unified Access Gateway サーバと内部ネットワークにデプロイされているバックエンド サーバで構成されます。

トンネル プロキシのコンポーネントは、AirWatch からデプロイされた VMware Browser またはあらゆる AirWatch SDK 対応のアプリケーションを介した、エンド ユーザーのデバイスと Web サイト間のネットワーク トラフィックのセキュリティを保護します。このモバイル アプリケーションは、トンネル プロキシ サーバと安全な HTTPS 接続を確立して、機密データを保護します。AirWatch 管理者コンソールで構成されているように、デバイスは、SDK を介して発行された証明書で、トンネル プロキシに認証されます。通常、このコンポーネントが、内部リソースへのセキュアなアクセスが必要とする管理対象外のデバイスに対して使用されます。

完全に登録されたデバイスの場合は、アプリケーション単位のトンネル コンポーネントにより、デバイスは AirWatch SDK を必要とせずに内部リソースに接続できるようになります。このコンポーネントは、iOS、Android、Windows 10、および macOS オペレーティング システムのネイティブ アプリケーション単位の VPN 機能を活用します。これらのプラットフォームと VMware Tunnel コンポーネントの機能の詳細については、https://resources.air-watch.com/view/yr8n5s2b9d6qqbcfjbrw/en で『VMware Tunnel ガイド』を参照してください。

AirWatch 環境用の VMware Tunnel のデプロイでは、最初のハードウェアのセットアップ、AirWatch 管理者コンソールでの VMware Tunnel のホスト名とポート情報の構成、Unified Access Gateway OVF テンプレートのダウンロードとデプロイ、VMware Tunnel の手動構成が行われます。詳細については、Workspace ONE UEM の VMware Tunnel の設定を参照してください。

図 1. VMware Tunnel の多層のデプロイ:プロキシ トンネルおよびアプリケーション単位のトンネル

AirWatch v9.1 以降では、カスケード モードを VMware Tunnel の多層のデプロイ モデルとしてサポートされます。カスケード モードでは、インターネットからフロントエンドのトンネル サーバまでのトンネル コンポーネントごとに専用の受信ポートが必要です。フロントエンド サーバとバックエンド サーバの両方が、AirWatch API および AWCM サーバと通信できる必要があります。VMware Tunnel のカスケード モードは、アプリケーション単位のトンネル コンポーネントの多層アーキテクチャをサポートします。

詳細については、トンネル プロキシのコンポーネントで使用するリレー エンドポイントのデプロイに関する詳細も含めて、https://resources.air-watch.com/view/yr8n5s2b9d6qqbcfjbrw/enにある VMware Tunnel のドキュメントを参照してください。