VMware Tunnel プロキシのポート要件

VMware Tunnel プロキシは次の 2 つの構成モデルのいずれかを使用して構成できます。

VMware Tunnel プロキシエンドポイントを使用した基本エンドポイント（単一層）
VMware Tunnel プロキシリレーと VMware Tunnel プロキシエンドポイントを使用したリレーエンドポイント（複数層）

表 1. VMware Tunnel プロキシの基本エンドポイント構成のポート要件
Source	ターゲットまたは宛先	プロトコル	ポート	確認	注
デバイス（インターネットおよび Wi-Fi から）	VMware Tunnel プロキシエンドポイント	HTTPS	2020*	インストール後に、次のコマンドを実行します： netstat -tlpn \| grep [Port]	デバイスは、指定されたポートを介して VMware Tunnel 用に構成されたパブリック DNS に接続します。
VMware Tunnel プロキシエンドポイント	Workspace ONE UEM Cloud Messaging Server	HTTPS	SaaS: 443 オンプレミス: 2001*	curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping 予想される応答は HTTP 200 OK です。	VMware Tunnel プロキシがコンプライアンスと追跡の目的で Workspace ONE UEM コンソールをクエリする場合。これは最低でも TLS 1.2 をサポートする必要があります。
VMware Tunnel プロキシエンドポイント	UEM REST API SaaS‡: https://asXXX.awmdm.com または https://asXXX.airwatchportals.com オンプレミス†：通常はデバイスサービスまたはコンソールサーバ	HTTP または HTTPS	SaaS: 443 オンプレミス: 2001*	curl -Ivv https://<API URL>/api/mdm/ping 予想される応答は HTTP 401 unauthorized です	VMware Tunnel プロキシは、初期化のために UEM REST API と通信する必要があります。Workspace ONE UEM コンソールで、[グループと設定 > すべての設定 > システム > 詳細 > サイト URL] の順に移動して、[REST API URL] を設定します。Workspace ONE UEM SaaS ユーザーはこの画面を使用できません。Workspace ONE UEM SaaS ユーザーの場合、[REST API URL] は通常 [コンソール URL] または [デバイスサービス URL] です。
VMware Tunnel プロキシエンドポイント	内部リソース	HTTP、HTTPS、または TCP	80、443、任意の TCP	VMware Tunnel プロキシエンドポイントが必要なポートを介して内部リソースにアクセスできることを確認します。	VMware Tunnel プロキシを使用するアプリケーションが内部リソースにアクセスする場合。正確なエンドポイントまたはポートは、これらのリソースが配置されている場所によって決まります。
VMware Tunnel プロキシエンドポイント	Syslog サーバ	UDP	514*
Workspace ONE UEM Console	VMware Tunnel プロキシエンドポイント	HTTPS	2020*	オンプレミス† ユーザーは、telnet コマンドを使用して接続をテストできます：telnet <Tunnel ProxyURL><port>	これは、Workspace ONE UEM Console から VMware Tunnel プロキシエンドポイントへの「テスト接続」を成功させるために必要です。

表 2. VMware Tunnel プロキシのリレーエンドポイント構成のポート要件
Source	ターゲットまたは宛先	プロトコル	ポート	確認	注
デバイス（インターネットおよび Wi-Fi から）	VMware Tunnel プロキシリレー	HTTPS	2020*	インストール後に、次のコマンドを実行します： netstat -tlpn \| grep [Port]	デバイスは、指定されたポートを介して VMware Tunnel 用に構成されたパブリック DNS に接続します。
VMware Tunnel プロキシリレー	Workspace ONE UEM Cloud Messaging Server	HTTP または HTTPS	SaaS: 443 オンプレミス: 2001*	curl -Ivv https://<AWCM URL>:<port>/awcm/status/ping 予想される応答は HTTP 200 OK です。	VMware Tunnel プロキシがコンプライアンスと追跡の目的で Workspace ONE UEM コンソールをクエリする場合。これは最低でも TLS 1.2 をサポートする必要があります。
VMware Tunnel プロキシリレー	UEM REST API SaaS‡: https://asXXX.awmdm.com または https://asXXX.airwatchportals.com オンプレミス†：通常はデバイスサービスまたはコンソールサーバ	HTTP または HTTPS	SaaS: 443 オンプレミス: 2001*	curl -Ivv https://<API URL>/api/mdm/ping 予想される応答は HTTP 401 unauthorized です VMware Tunnel プロキシリレーでは、初期導入時にのみ UEM REST API へのアクセスが必要です。	VMware Tunnel プロキシは、初期化のために UEM REST API と通信する必要があります。Workspace ONE UEM コンソールで、[グループと設定 > すべての設定 > システム > 詳細 > サイト URL] の順に移動して、[REST API URL] を設定します。Workspace ONE UEM SaaS ユーザーはこの画面を使用できません。Workspace ONE UEM SaaS ユーザーの場合、[REST API URL] は通常 [コンソール URL] または [デバイスサービス URL] です。
VMware Tunnel プロキシエンドポイント	UEM REST API SaaS‡: https://asXXX.awmdm.com または https://asXXX.airwatchportals.com オンプレミス†：通常はデバイスサービスまたはコンソールサーバ	HTTP または HTTPS	SaaS: 443 オンプレミス: 2001*	curl -Ivv https://<API URL>/api/mdm/ping 予想される応答は HTTP 401 unauthorized です VMware Tunnel プロキシリレーでは、初期導入時にのみ UEM REST API へのアクセスが必要です。	VMware Tunnel プロキシは、初期化のために UEM REST API と通信する必要があります。Workspace ONE UEM コンソールで、[グループと設定 > すべての設定 > システム > 詳細 > サイト URL] の順に移動して、[REST API URL] を設定します。Workspace ONE UEM SaaS ユーザーはこの画面を使用できません。Workspace ONE UEM SaaS ユーザーの場合、[REST API URL] は通常 [コンソール URL] または [デバイスサービス URL] です。
VMware Tunnel プロキシリレー	VMware Tunnel プロキシエンドポイント	HTTPS	2010*	ポート 2010 で VMware Tunnel プロキシリレーから VMware Tunnel プロキシエンドポイントに Telnet 接続します。	リレーからエンドポイントサーバにデバイス要求を転送します。これは最低でも TLS 1.2 をサポートする必要があります。
VMware Tunnel プロキシエンドポイント	内部リソース	HTTP、HTTPS、または TCP	80、443、任意の TCP	VMware Tunnel プロキシエンドポイントが必要なポートを介して内部リソースにアクセスできることを確認します。	VMware Tunnel プロキシを使用するアプリケーションが内部リソースにアクセスする場合。正確なエンドポイントまたはポートは、これらのリソースが配置されている場所によって決まります。
VMware Tunnel プロキシエンドポイント	Syslog サーバ	UDP	514*
Workspace ONE UEM コンソール	VMware Tunnel プロキシリレー	HTTPS	2020*	オンプレミス† ユーザーは、telnet コマンドを使用して接続をテストできます：telnet <Tunnel ProxyURL><port>	これは、Workspace ONE UEM Console から VMware Tunnel プロキシリレーへの「テスト接続」を成功させるために必要です。

[注]

* このポートは、環境の制限に基づき変更できます。
† オンプレミスとは、Workspace ONE UEM コンソールの場所を意味します。
‡ アウトバウンド通信をホワイトリストに登録する必要がある SaaS ユーザーの場合は、最新の IP アドレス範囲を記載した VMware のナレッジベースの記事を参照してください：https://support.workspaceone.com/articles/115001662168-。