DMZ ベースの Unified Access Gateway アプライアンスには、フロントエンド ファイアウォールとバックエンド ファイアウォールに関する特定のファイアウォール ルールが必要です。インストール中、Unified Access Gateway サービスは、デフォルトで特定のネットワーク ポートをリッスンするように設定されます。

通常、DMZ ベースの Unified Access Gateway アプライアンスのデプロイには、2 つのファイアウォールが含まれます。

  • DMZ と内部ネットワークの両方を保護するために、外部ネットワークに接しているフロント エンド ファイアウォールが必要です。外部からのネットワーク トラフィックが DMZ に到達できるように、このファイアウォールを構成します。
  • 2 つ目のセキュリティの層を提供するために、DMZ と内部ネットワークの間のバック エンド ファイアウォールが必要です。DMZ 内のサービスから送信されたトラフィックだけを受け入れるように、このファイアウォールを構成します。

ファイアウォール ポリシーによって DMZ サービスからのインバウンド通信が厳格に制御されるため、内部ネットワークが侵害されるリスクが大幅に軽減されます。

次の表は、 Unified Access Gateway 内のさまざまなサービスのポート要件を一覧表示したものです。
注: すべての UDP ポートでは、転送データグラムと応答データグラムを有効にする必要があります。 Unified Access Gateway サービスは DNS を使用してホスト名を解決します。DNS サーバの IP アドレスは構成可能です。DNS 要求は UDP ポート 53 で行われるため、外部ファイアウォールがこれらの要求または応答をブロックしないことが重要です。
表 1. Secure Email Gateway のポート要件
ポート プロトコル Source ターゲット/宛先 説明
443*、または 1024 より大きい任意のポート HTTPS デバイス(インターネットおよび Wi-Fi から)

Unified Access Gateway

Secure Email Gateway のエンドポイント

Secure Email Gateway はポート 11443 で待機します。443 またはその他のポートが構成されている場合、Unified Access Gateway は内部で SEG トラフィックを 11443 にルーティングします。
443*、または 1024 より大きい任意のポート HTTPS Workspace ONE UEM Console

Unified Access Gateway

Secure Email Gateway のエンドポイント

Secure Email Gateway はポート 11443 で待機します。443 またはその他のポートが構成されている場合、Unified Access Gateway は内部で SEG トラフィックを 11443 にルーティングします。
443*、または 1024 より大きい任意のポート HTTPS Email Notification Service(有効な場合)

Unified Access Gateway

Secure Email Gateway のエンドポイント

Secure Email Gateway はポート 11443 で待機します。443 またはその他のポートが構成されている場合、Unified Access Gateway は内部で SEG トラフィックを 11443 にルーティングします。
5701 TCP Secure Email Gateway Secure Email Gateway Hazelcast 分散キャッシュに使用されます。
41232 TLS/TCP Secure Email Gateway Secure Email Gateway Vertx クラスタ管理に使用されます。
44444 HTTPS Secure Email Gateway Secure Email Gateway 診断および管理機能に使用されます。
任意 HTTPS Secure Email Gateway メール サーバ SEG はメール サーバのリスナー ポート(通常は 443)に接続し、E メール トラフィックを処理します。
任意 HTTPS Secure Email Gateway Workspace ONE UEM API サーバ SEG は Workspace ONE から構成とポリシー データを取得します。ポートは通常 443 です。
88 TCP Secure Email Gateway KDC サーバ/Active Directory サーバ KCD 認証が有効な場合に Kerberos 認証トークンを取得するために使用されます。
注: Unified Access Gateway では Secure Email Gateway (SEG) サービスが非 root ユーザーとして実行されるため、SEG はシステム ポートでは実行できません。したがって、カスタム ポートは 1024 よりも大きい必要があります。
表 2. Horizon のポート要件
ポート プロトコル Source 送信先 説明
443 TCP インターネット Unified Access Gateway Web トラフィック、Horizon Client XML - API、Horizon Tunnel、および Blast Extreme の場合
443 UDP インターネット Unified Access Gateway UDP 443 は、Unified Access Gateway の UDP トンネル サーバ サービスの UDP 9443 に内部転送されます。
8443 UDP インターネット Unified Access Gateway Blast Extreme(オプション)
8443 TCP インターネット Unified Access Gateway Blast Extreme(オプション)
4172 TCP と UDP インターネット Unified Access Gateway PCoIP(オプション)
443 TCP Unified Access Gateway Horizon 接続サーバ Horizon Client XML-API、Blast Extreme HTML Access
22443 TCP と UDP Unified Access Gateway デスクトップと RDS ホスト Blast Extreme
4172 TCP と UDP Unified Access Gateway デスクトップと RDS ホスト PCoIP(オプション)
32111 TCP Unified Access Gateway デスクトップと RDS ホスト USB リダイレクトのフレームワーク チャンネルの場合
3389 TCP Unified Access Gateway デスクトップと RDS ホスト Horizon Client で RDP プロトコルを使用する場合にのみ必要です。
9427 TCP Unified Access Gateway デスクトップと RDS ホスト MMR、CDR、および HTML5 機能(Microsoft Teams の最適化、ブラウザのリダイレクトなど)。
注: 外部クライアント デバイスが DMZ 内の Unified Access Gateway アプライアンスに接続できるようにするには、フロントエンド ファイアウォールで、特定のポートのトラフィックを許可する必要があります。デフォルトでは、外部のクライアント デバイスと外部の Web クライアント (HTML Access) は、DMZ にある Unified Access Gateway アプライアンスに TCP ポート 443 で接続します。Blast プロトコルを使用する場合は、ファイアウォールでポート 8443 を開く必要があります。TCP ポート 443 を介して Blast を使用する場合、ファイアウォールで TCP 8443 を開く必要はありません。
表 3. Workspace ONE Intelligence 構成のポート要件
ポート プロトコル Source 送信先 説明
443 HTTPS Unified Access Gateway Workspace ONE Intelligence Server curl -ILvv https://<api_server_hostname>/v1/device/risk_score

curl -ILvv https://<event_server_hostname>/api/v2/protocol/event/a/uag

curl -ILvv https://<auth_server_hostname>/oauth/token?grant_type=client_credentials

予想される応答は HTTP 401 unauthorized です。

表 4. Web リバース プロキシのポート要件
ポート プロトコル Source 送信先 説明
443 TCP インターネット Unified Access Gateway Web トラフィック向け
任意 TCP Unified Access Gateway イントラネット サイト イントラネットが待機している設定済みのカスタム ポート。たとえば、80、443、8080 のようになります。
88 TCP Unified Access Gateway KDC サーバ/Active Directory サーバ Kerberos に対する SAML/Kerberos に対する証明書が構成されている場合、ID ブリッジが Active Directory にアクセスするために必要です。
88 UDP Unified Access Gateway KDC サーバ/Active Directory サーバ Kerberos に対する SAML/Kerberos に対する証明書が構成されている場合、ID ブリッジが Active Directory にアクセスするために必要です。
表 5. 管理ユーザー インターフェイスのポート要件
ポート プロトコル Source 送信先 説明
9443 TCP 管理ユーザー インターフェイス Unified Access Gateway 管理インターフェイス
表 6. Content Gateway の基本エンドポイント構成のポート要件
ポート プロトコル Source 送信先 説明
任意のポート > 1024 または 443* HTTPS デバイス(インターネットおよび Wi-Fi から) Unified Access Gateway Content Gateway エンドポイント 443 を使用すると、Content Gateway は ポート 10443 で待機します。
任意のポート > 1024 または 443* HTTPS Workspace ONE UEM デバイス サービス Unified Access Gateway Content Gateway エンドポイント
任意のポート > 1024 または 443* HTTPS Workspace ONE UEM コンソール Unified Access Gateway Content Gateway エンドポイント 443 を使用すると、Content Gateway は ポート 10443 で待機します。
任意のポート > 1024 または 443* HTTPS Unified Access Gateway Content Gateway エンドポイント Workspace ONE UEM API サーバ
リポジトリが待機しているポート。 HTTP または HTTPS Unified Access Gateway Content Gateway エンドポイント SharePoint/WebDAV/CMIS などの Web ベースのコンテンツ リポジトリ イントラネット サイトが待機している設定済みのカスタム ポート。
137 – 139 および 445 CIFS または SMB Unified Access Gateway Content Gateway エンドポイント ネットワーク共有ベースのリポジトリ(Windows ファイル共有) SMB ベースのリポジトリ(分散ファイル システム、NFS、NetApp OnTap、Ninix 共有、IBM 共有ドライブ)
表 7. Content Gateway のリレー エンドポイント構成のポート要件
ポート プロトコル Source ターゲット/宛先 説明
任意のポート > 1024 または 443* HTTP/HTTPS Unified Access Gateway リレー サーバ(Content Gateway リレー) Unified Access Gateway Content Gateway エンドポイント *443 を使用すると、Content Gateway はポート 10443 で待機します。
任意のポート > 1024 または 443* HTTPS デバイス(インターネットおよび Wi-Fi から) Unified Access Gateway リレー サーバ(Content Gateway リレー) *443 を使用すると、Content Gateway はポート 10443 で待機します。
任意のポート > 1024 または 443* TCP Workspace ONE UEM デバイス サービス Unified Access Gateway リレー サーバ(Content Gateway リレー) *443 を使用すると、Content Gateway はポート 10443 で待機します。
任意のポート > 1024 または 443* HTTPS Workspace ONE UEM コンソール Unified Access Gateway リレー サーバ(Content Gateway リレー) *443 を使用すると、Content Gateway はポート 10443 で待機します。
任意のポート > 1024 または 443* HTTPS Unified Access Gateway Content Gateway リレー Workspace ONE UEM API サーバ *443 を使用すると、Content Gateway はポート 10443 で待機します。
任意のポート > 1024 または 443* HTTPS Unified Access Gateway Content Gateway エンドポイント Workspace ONE UEM API サーバ *443 を使用すると、Content Gateway はポート 10443 で待機します。
リポジトリが待機しているポート。 HTTP または HTTPS Unified Access Gateway Content Gateway エンドポイント SharePoint/WebDAV/CMIS などの Web ベースのコンテンツ リポジトリ イントラネット サイトが待機している設定済みのカスタム ポート。
任意のポート > 1024 または 443* HTTPS Unified Access GatewayContent Gateway リレー) Unified Access Gateway Content Gateway エンドポイント *443 を使用すると、Content Gateway はポート 10443 で待機します。
137 – 139 および 445 CIFS または SMB Unified Access Gateway Content Gateway エンドポイント ネットワーク共有ベースのリポジトリ(Windows ファイル共有) SMB ベースのリポジトリ(分散ファイル システム、NFS、NetApp OnTap、Ninix 共有、IBM 共有ドライブ)
注: Unified Access Gateway では Content Gateway サービスが非 root ユーザーとして実行されるため、 Content Gateway はシステム ポートでは実行できません。したがって、カスタム ポートは 1024 よりも大きい必要があります。
表 8. VMware Tunnel のポート要件
ポート プロトコル Source ターゲット/宛先 確認 注(ページの下部にある「注」セクションを参照してください)
8443 * TCP、UDP デバイス(インターネットおよび Wi-Fi から) VMware Tunnel アプリケーション単位のトンネル インストール後に、次のコマンドを実行します:netstat -tlpn | grep [Port] 1
表 9. VMware Tunnel の基本エンドポイント構成
ポート プロトコル Source ターゲット/宛先 確認 注(ページの下部にある「注」セクションを参照してください)
SaaS:443

: 2001 *

HTTPS VMware Tunnel AirWatch Cloud Messaging サーバ curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping
予想される応答は
HTTP 200 OK
です。
2
SaaS:443

オンプレミス:80 または 443

HTTP または HTTPS VMware Tunnel Workspace ONE UEM の REST API エンドポイント
  • SaaS:https://asXXX.awmdm. com または https://asXXX. airwatchportals.com
  • オンプレミス:通常は DS またはコンソール サーバ
curl -Ivv https://<API URL>/api/mdm/ping

予想される応答は HTTP 401 unauthorized です。

5
80、443、任意の TCP HTTP、HTTPS、または TCP VMware Tunnel 内部リソース VMware Tunnel が必要なポートを介して内部リソースにアクセスできることを確認します。 4
514 * UDP VMware Tunnel Syslog サーバ
表 10. VMware Tunnel のカスケード構成
ポート プロトコル Source ターゲット/宛先 確認 注(ページの下部にある「注」セクションを参照してください)
SaaS:443

オンプレミス:2001 *

TLS v1.2 VMware Tunnel フロントエンド AirWatch Cloud Messaging Server https://<AWCM URL>:<port>/awcm/status に対して wget を使用し、HTTP 200 応答を受け取ることで検証します。 2
8443 TLS v1.2 VMware Tunnel フロントエンド VMware Tunnel バック エンド ポートの VMware Tunnel フロントエンドから VMware Tunnel バックエンド サーバへの Telnet 3
SaaS:443

オンプレミス:2001

TLS v1.2 VMware Tunnel バック エンド Workspace ONE UEM Cloud Messaging サーバ https://<AWCM URL>:<port>/awcm/status に対して wget を使用し、HTTP 200 応答を受け取ることで検証します。 2
80 または 443 TCP VMware Tunnel バック エンド 内部 Web サイト/Web アプリケーション 4
80、443、任意の TCP TCP VMware Tunnel バック エンド 内部リソース 4
80 または 443 HTTPS VMware Tunnel フロントエンドおよびバックエンド Workspace ONE UEM の REST API エンドポイント
  • SaaS:https://asXXX.awmdm. com または https://asXXX. airwatchportals.com
  • オンプレミス:通常は DS またはコンソール サーバ
curl -Ivv https://<API URL>/api/mdm/ping

予想される応答は HTTP 401 unauthorized です。

5
表 11. VMware Tunnel フロントエンドおよびバックエンドの設定
ポート プロトコル Source ターゲット/宛先 確認 注(ページの下部にある「注」セクションを参照してください)
SaaS:443

オンプレミス:2001

HTTP または HTTPS VMware Tunnel フロントエンド AirWatch Cloud Messaging Server curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping

予想される応答は HTTP 200 OK です。

2
80 または 443 HTTPS または HTTPS VMware Tunnel バックエンドおよびフロントエンド Workspace ONE UEM の REST API エンドポイント
  • SaaS:https://asXXX.awmdm. com または https://asXXX. airwatchportals.com
  • オンプレミス:通常は DS またはコンソール サーバ
curl -Ivv https://<API URL>/api/mdm/ping

予想される応答は HTTP 401 unauthorized です。

VMware Tunnel エンドポイントでは、初期導入時にのみ REST API エンドポイントへのアクセスが必要です。

5
2010 * HTTPS VMware Tunnel フロントエンド VMware Tunnel バック エンド ポートの VMware Tunnel フロントエンドから VMware Tunnel バックエンド サーバへの Telnet 3
80、443、任意の TCP HTTP、HTTPS、または TCP VMware Tunnel バック エンド 内部リソース VMware Tunnel が必要なポートを介して内部リソースにアクセスできることを確認します。 4
514 * UDP VMware Tunnel Syslog サーバ

以下の点は、VMware Tunnel 要件に対して有効です。

注: * - このポートは、環境の制限に基づき、必要に応じて変更できます
  1. ポート 443 を使用すると、アプリケーション単位のトンネルはポート 8443 で待機します。
    注: 同じアプライアンスで VMware Tunnel および Content Gateway サービスが有効になっていて、TLS ポート共有が有効になっている場合、DNS 名は各サービスごとに一意である必要があります。TLS が有効でない場合、ポートが受信トラフィックを区別するため、両方のサービスに対して 1 つの DNS 名のみを使用できます。( Content Gateway の場合、ポート 443 を使用すると、 Content Gateway は ポート 10443 で待機します。)
  2. VMware Tunnel がコンプライアンスと追跡の目的で Workspace ONE UEM コンソールをクエリする場合。
  3. VMware Tunnel のフロントエンド トポロジがデバイス要求を内部の VMware Tunnel バックエンドにのみ転送する場合。
  4. VMware Tunnel を使用するアプリケーションが内部リソースにアクセスする場合。
  5. VMware Tunnel は、初期化のために API と通信する必要があります。REST API と VMware Tunnel サーバが接続状態であることを確認します。[グループと設定] > [すべての設定] > [システム] > [詳細] > [サイトの URL] に移動して REST API サーバの URL を設定します。このページは SaaS ユーザーには使用できません。ほとんどの場合、SaaS ユーザーの REST API URL は、コンソールまたはデバイス サービス サーバの URL です。