設定ウィザードを使用して、VMware Tunnel プロキシを設定します。ウィザードで設定したオプションはインストーラにパッケージされており、これは Workspace ONE UEM コンソールからダウンロードして、トンネル サーバに移動できます。

[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [VMware Tunnel] > [プロキシ] の順に選択して、UEM Console の VMware Tunnel プロキシを設定します。ウィザードでは、インストーラ設定の手順について説明します。ウィザードで設定したオプションはインストーラにパッケージされており、これは Workspace ONE UEM コンソールからダウンロードして、トンネル サーバに移動できます。このウィザードで詳細を変更するには、VMware Tunnel を再インストールして新しく設定する必要があります。

VMware Tunnel プロキシを設定するには、インストールするサーバの詳細が必要です。設定の前に、デプロイ モデル、1 つ以上のホスト名とポート、実装する VMware Tunnel の機能(アクセス ログの統合、SSL オフロード、エンタープライズ認証局の統合など)を決定します。
注: ウィザードには、選択に基づいて適切なオプションが動的に表示されます。設定画面には、異なるテキスト ボックスとオプションが表示される場合があります。

手順

  1. [グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [VMware Tunnel] > [プロキシ] の順に移動します。
    • VMware Tunnel を初めて設定する場合は、[設定] を選択して、設定ウィザード画面の指示に従ってください。
    • VMwareTunnel を初めて設定するのではない場合は、[オーバーライド] を選択してから [VMware Tunnel][有効] 切り替えスイッチを選択し、[設定] を選択します。
  2. [デプロイ タイプ] 画面で、[プロキシ (Windows & Linux)][有効にする] 切り替えスイッチを選択してから、[プロキシ設定タイプ] ドロップダウン メニュー使用して設定するコンポーネントを選択します。
  3. 表示されるドロップダウン メニューで、[リレー エンドポイント] を設定するか、または [プロキシ設定タイプ] のデプロイを設定するかを選択します。選択したタイプの例を見るには、情報アイコンを選択します。
  4. [次へ] を選択します。
  5. [詳細] 画面で、次の設定を行います。[詳細] 画面に表示されるオプションは、[プロキシ設定タイプ] ドロップダウン メニューで選択した設定タイプによって異なります。
    • [基本] [プロキシ設定タイプ] で、次の情報を入力します。
    設定 説明
    ホスト名 トンネル サーバのパブリック ホスト名の FQDN を入力します(例:tunnel.acmemdm.com)。このホスト名は、デバイスがインターネットから接続する DNS であるため、一般公開されている必要があります。
    リレー ポート このポートにはプロキシ サービスがインストールされています。デバイスは、VMware Tunnel のプロキシ機能を使用するために <relayhostname>:<port> に接続します。デフォルト値は 2020 です。
    リレー ホスト名 (リレー エンドポイントのみ)。トンネル リレー サーバのパブリック ホスト名の FQDN を入力します(例:tunnel.acmemdm.com)。このホスト名は、デバイスがインターネットから接続する DNS であるため、一般公開されている必要があります。
    SSL オフロードを有効にする SSL オフロードを使用して、VMware Tunnel サーバからのトラフィックの暗号化と復号化の負担を軽減するには、このチェック ボックスを選択します。
    Kerberos プロキシを使用

    Kerberos プロキシ サポートを有効にして、ターゲットのバックエンド Web サービスの Kerberos 認証へのアクセスを許可します。この機能は現在 Kerberos の制約付き委任 (KCD) をサポートしていません。詳細については、Kerberos プロキシの設定を参照してください。

    Kerberos プロキシが KDC と正常に通信するには、エンドポイント サーバが KDC と同じドメインにある必要があります。
    • [リレー エンドポイント] [プロキシ設定タイプ] を選択した場合は、次の情報を入力します。
    設定 説明
    リレー ホスト名 (リレー エンドポイントのみ)。トンネル リレー サーバのパブリック ホスト名の FQDN を入力します(例:tunnel.acmemdm.com)。このホスト名は、デバイスがインターネットから接続する DNS であるため、一般公開されている必要があります。
    エンドポイント ホスト名

    トンネル エンドポイント サーバの内部 DNS。この値は、リレー エンドポイント ポートでリレー サーバが接続するホスト名です。SSL をオフロードしたサーバに VMware Tunnel をインストールする場合は、[ホスト名] の代わりにそのサーバの名前を入力します。

    [ホスト名] を入力する時は、http://、https:// などのプロトコルを含めないでください。
    リレー ポート このポートにはプロキシ サービスがインストールされています。デバイスは、VMware Tunnel のプロキシ機能を使用するために <relayhostname>:<port> に接続します。デフォルト値は 2020 です。
    エンドポイント ポート

    (リレー エンドポイントのみ)。この値は、VMware Tunnel リレーと VMware Tunnel エンドポイント間の通信に使用されるポートです。デフォルト値は 2010 です。

    プロキシとアプリケーション単位のトンネルの組み合わせを使用している場合、リレー エンドポイントはカスケード モード用のフロントエンド サーバの一部としてインストールされます。各ポートの値が異なる必要があります。
    SSL オフロードを有効にする SSL オフロードを使用して、VMware Tunnel サーバからのトラフィックの暗号化と復号化の負担を軽減するには、このチェック ボックスを選択します。
    Kerberos プロキシを使用

    Kerberos プロキシ サポートを有効にして、ターゲットのバックエンド Web サービスの Kerberos 認証へのアクセスを許可します。この機能は現在 Kerberos の制約付き委任 (KCD) をサポートしていません。詳細については、Kerberos プロキシの設定を参照してください。

    Kerberos プロキシが KDC と正常に通信するには、エンドポイント サーバが KDC と同じドメインにある必要があります。

    [レルム] フィールドに、KDC サーバのレルムを入力します。
  6. [次へ] を選択します。
  7. [SSL] 画面で、デバイス上の有効なアプリケーションから VMware Tunnel へのクライアント サーバ通信を保護する公開 SSL 証明書を設定できます。デフォルトでは、この設定では、安全なサーバ クライアント通信のために、AirWatch 証明書を使用します。
    1. Workspace ONE Web または SDK 対応のアプリケーションと VMware Tunnel サーバ間の暗号化にサードパーティの SSL 証明書を使用したい場合は、[公開 SSL 証明書を使用] オプションを選択します。
    2. [アップロード]を選択して、.PFX または .P12 の証明書ファイルをアップロードし、パスワードを入力します。このファイルには、パブリック キーとプライベート キーのペアの両方が含まれていなければなりません。CER および CRT ファイルはサポートされていません。
  8. [次へ] を選択します。
  9. [認証] 画面で、次の設定を行って、デバイスが VMware Tunnel への認証に使用する証明書を選択します。
    デフォルトでは、すべてのコンポーネントは、AirWatch で発行された証明書を使用します。クライアント サーバ認証にエンタープライズ CA 証明書を使用するには、 [エンタープライズ CA] オプションを選択します。
    1. AirWatch で発行された証明書を使用するには、[デフォルト] を選択します。AirWatch で発行されたデフォルトのクライアント証明書は自動的には更新されません。これらの証明書を更新するには、有効期限の近いまたは有効期限が切れたクライアント証明書を持つデバイスに VPN プロファイルを再公開します。デバイスの証明書状態を確認するには、[デバイス] > [デバイスの詳細] > [詳細] > [証明書] の順に移動します。
    2. Workspace ONE Web、アプリケーション単位のトンネル対応アプリケーション、または SDK 対応アプリケーションと、VMware Tunnel の設定前に Workspace ONE UEM 環境で 認証局と証明書テンプレートをセットアップしなければならない VMware Tunnel 間の認証に対しては、AirWatch で発行された証明書の代わりに [エンタープライズ CA] を選択します。
    3. CA に証明書を要求するのに使用される [認証局][証明書テンプレート] を選択します。
    4. [アップロード] を選択して、認証局のパブリック キーの全体チェーンを設定ウィザードにアップロードします。

      CA テンプレートのサブジェクト名に CN=UDID が含まれている必要があります。サポートされている CA は、ADCS、RSA、および SCEP です。

      証明書は、CA テンプレートの設定に基づいて自動更新されます。

  10. [追加] をクリックして中間証明書を追加します。
  11. [次へ] を選択します。
  12. [その他] 画面で、プロキシまたはアプリケーション単位のトンネル コンポーネントのアクセス ログを有効にすることができます。[アクセス ログ] 切り替えスイッチを有効にして、機能を設定します。

    後でこの機能を有効にする時はトンネルを再設定してインストーラを再実行しなければならないため、この機能を使用する場合は、この機能を設定の一部として設定してください。これらの設定の詳細については、#GUID-AWT-ACCESSLOGSと、VMware Tunnel の詳細設定を参照してください。

    1. [Syslog ホスト名] フィールドに Syslog ホストの URL を入力します。この設定は、アクセス ログを有効にした後に表示されます。
    2. [UDP ポート] フィールドに、Syslog ホストとの通信に使用するポートを入力します。
  13. [次へ] を選択し、設定のサマリを確認します。すべてのホスト名、ポート、および設定が正しいことを確認して、[保存] を選択します。
    これで、 VMware Tunnel [設定] 画面でインストーラがダウンロードを行えるようになりました。
  14. [設定] 画面で、[全般] タブを選択します。[全般] タブでは、次の操作を実行できます。
    1. [接続のテスト] を選択して、接続を確認できます。
    2. [設定 XML をダウンロード] を選択して、既存の VMware Tunnel インスタンス設定を XML ファイルとして取得できます。
    3. [Unified Access Gateway をダウンロード] ハイパーリンクを選択できます。このボタンを押すと、非 FIPS OVA ファイルをダウンロードします。ダウンロード ファイルには、PowerShell 展開方法の PowerShell スクリプトおよび .ini テンプレート ファイルも含まれています。My Workspace ONE から VHDX または FIPS OVA をダウンロードする必要があります。
    4. レガシーのインストーラ方法の場合は、[Windows インストーラをダウンロード] を選択できます。
      このボタンを押すと、 VMware Tunnel サーバのデプロイに使用される単一の BIN ファイルをダウンロードします。インストールに必要な設定 XML ファイルは、証明書のパスワードを確認した後、 Workspace ONE UEM コンソールからダウンロードできます。
  15. [保存] を選択します。