SD-WAN Orchestrator を使用して VMware Secure Access サービスを展開するには、次の手順を実行します。

前提条件

  • Workspace ONE UEM で必要な設定を完了したことを確認します。詳細については、VMware Secure Access の展開の開始を参照してください。
  • SD-WAN OrchestratorSecure Access の PoP の最大数を設定したことを確認します。最大数は、SD-WAN Orchestrator に展開された VMware SASE PoP の数によって異なります。PoP の最大数を設定するには、[設定 (Configure)] > [カスタマー (Customer)] > [カスタマー設定 (Customer Configuration)] > [サービス アクセス (Service Access)] に移動します。

手順

  1. エンタープライズ ユーザーとして SD-WAN Orchestrator にログインし、[新しい Orchestrator UI を開く (Open New Orchestrator UI)] をクリックします。
  2. 表示される [新しい Orchestrator UI (New Orchestrator UI)] モーダル ポップアップで、[新しい Orchestrator UI を起動 (Launch New Orchestrator UI)] をクリックします。
  3. [エンタープライズ アプリケーション SD-WAN (Enterprise Applications SD-WAN)] ドロップダウン リストから [Secure Access] を選択します。
  4. 表示される [Secure Access] ページで、[+ 新規サービス (+ New Service)] をクリックします。
    [リモート アクセス (Remote Access)] ウィザードが表示されます。
  5. [リモート アクセス (Remote Access)] ウィザードの [UEM 設定 (UEM Configuration)] 画面で、次の設定を完了します。
    1. [DNS 名 (DNS Name)] フィールドに、Workspace ONE UEM トンネルの設定時に指定したホスト名を入力します。VMware Secure Access の展開の開始の手順 4 を参照してください。
    2. [UEM URL] フィールドに、ご利用の UEM 環境に関連した Workspace ONE UEM API URL を入力します。
    3. [UEM 組織グループ ID (UEM Org Group ID)] フィールドに、Workspace ONE UEM の設定時に作成した組織グループ ID を入力します。VMware Secure Access の展開の開始の手順 1 を参照してください。
    4. [WS1 UEM 認証情報 (WS1 UEM Credentials)] セクションに、Workspace ONE UEM Console で管理者アカウントを作成するときに設定したユーザー名とパスワードを入力します。VMware Secure Access の展開の開始の手順 2 を参照してください。
    5. [はい (Yes)] チェック ボックスを選択して、作成した組織グループ内で UEM トンネル ホスト名を設定します。
    6. [チェック (Check)] をクリックします。
      入力した詳細を検証するために、UEM サーバに API 呼び出しが実行されます。検証に成功したら、 [次へ (Next)] をクリックします。
  6. [リモート アクセス (Remote Access)] ウィザードの [エンタープライズとネットワークの設定 (Enterprise and Network settings)] 画面で、次の設定を完了します。
    1. [エンタープライズ DNS サーバ (Enterprise DNS Server)] ドロップダウン リストから、エンタープライズ用に設定されている必要な DNS サーバを選択します。デフォルトは、[Google] または [OpenDNS] です。
    2. [SD-WAN セグメント (SD WAN Segment)] ドロップダウン リストから、[Secure Access] サービスを有効にする必須セグメントを選択します。デフォルトは、[グローバル セグメント (Global Segment)] です。
    3. [エンタープライズ IP 範囲 (Enterprise IP Ranges)] に、次の詳細を入力します。
      • [カスタマー サブネット (Customer Subnet)]:これはカスタマーが所有するサブネットで、ネットワークにアクセスするときにリモート ユーザーが使用します。このカスタマー サブネットはスーパー ネットとして機能し、ユーザーが展開用に設定した数の SASE PoP に分割および配布されます(最大で 5 つの PoP を設定できます)。
      • [サブネット ビット (Subnet Bits)]:1 ~ 3 のサブネット ビットを設定して、カスタマー サブネットを PoP に割り当てることができる個別のサブネットに分割します。
      次の表は、カスタマー サブネットとサブネット ビットの関係を示しています。
      カスタマー サブネット サブネット ビット サブネットの数 PoP あたりのサブネット数
      10.10.1.0/24 1 2
      • 10.10.1.0/25
      • 10.10.1.128/25
      10.10.1.0/24 2 4
      • 10.10.1.0/26
      • 10.10.1.64/26
      • 10.10.1.128/26
      • 10.10.1.192/26
      10.10.1.0/24 3 8
      • 10.10.1.0/27
      • 10.10.1.32/27
      • 10.10.1.64/27
      • 10.10.1.96/27
      • 10.10.1.128/27
      • 10.10.1.160/27
      • 10.10.1.192/27
      • 10.10.1.224/27
      選択したサブネット ビットの数によって、カスタマー サブネットから作成されるサブネットの数が決まります。上記の表で説明したように、設定する場合は次のようになります。
      • 1 つのサブネット ビット:カスタマー サブネットは 2 つのサブネットに分割され、2 つの PoP に割り当てることができます。
      • 2 つのサブネット ビット:カスタマー サブネットは 4 つのサブネットに分割され、4 つの PoP に割り当てることができます。
      • 3 つのサブネット ビット:カスタマー サブネットは 8 つのサブネットに分割され、最大 5 つの PoP に割り当て可能で、3 つのサブネットは未割り当てのままになります。

      次の図は、カスタマー サブネットとサブネット ビットの関係を示しています。

    4. [次へ (Next)] をクリックします。
  7. [リモート アクセス (Remote Access)] ウィザードの [PoP 選択 (PoP Selection)] 画面で、[選択したインスタンス (Selected Instance(s))] ドロップダウン リストから、トンネル サーバがインスタンス化される PoP の場所を選択します。[次へ (Next)] をクリックします。
  8. [リモート アクセス (Remote Access)] ウィザードの [追加のセキュリティ (オプション) (Additional Security (optional))] 画面で、Secure AccessCloud Web Security を有効にすることができます。
    Cloud Web Security が有効になっている場合、SSL (Secure Socket Layer) インスペクションのバイパス/除外ルールが [SSL インスペクション (SSL Inspection)] セクションの [CWS ポリシー (CWS Policy)] で作成されている必要があります。SSL インスペクションのデフォルトの動作では、すべての暗号化されたトラフィックを復号化します。SSL ルールの作成については、『Cloud Web Security 設定ガイド』を参照してください。このルールは、awmdm.com ドメインに送信される宛先トラフィックを対象とし、CWS がこのトラフィックを復号化しないようにします。 [次へ (Next)] をクリックします。
  9. [リモート アクセス (Remote Access)] ウィザードの [名前、説明、タグ (Name, Description, Tags)] 画面で、Secure Access サービスの名前を入力し、必要に応じて任意のタグまたは説明を追加して、[終了 (Finish)] をクリックします。

結果

トンネル サーバをオンラインにし、SASE PoP への接続を確立するには、数分かかる場合があります。プロビジョニングの実行中は、展開の状態が [進行中 (In Progress)] と表示されます。ページを更新して、状態を確認します。トンネル サーバが確立されると、展開の状態は [完了 (Completed)] と表示されます。

次のタスク

デバイスを Workspace ONE Intelligent Hub アプリケーションに加入する必要があります。詳細については、デバイスを Workspace ONE Intelligent Hub に加入させるを参照してください。