Workspace ONE UEM はデバイスの VPN 設定を構成し、エンド ユーザーによる企業のインフラへのセキュアなリモート アクセスを可能にします。VPN プロファイルで、VPN プロバイダを指定した設定やアプリベースの VPN アクセスといった、より詳細な VPN 設定の制御を行う方法を説明します。

重要: [VPN ロックダウン] を有効にする前に、VPN プロファイルの VPN 構成が機能していることを確認します。VPN 構成が正しくないと、インターネットに接続できないために、VPN プロファイルをデバイスから削除できない可能性があります。

手順

  1. [リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] の順に進み、[プロファイルを追加] を選択します。
  2. [Windows] を選択し、次に [Windows デスクトップ] を選択します。
  3. [ユーザー プロファイル] または [デバイス プロファイル] を選択します。
  4. プロファイルの [全般] を構成します。
  5. [VPN] プロファイルを選択します。
  6. [接続情報] 設定を構成します。
    設定 説明
    接続名 VPN 接続名を入力します。
    接続タイプ

    VPN 接続タイプを選択します。

    サーバ VPN サーバホスト名または IP アドレスを入力します。
    ポート VPN サーバが使用するポートを入力します。
    高度な接続設定 デバイスの VPN 接続の高度なルーティング規則を構成するにはこれを有効化します。
    ルーティング アドレス

    [追加] を選択し VPN サーバの IP アドレスとサブネット プレフィックスのサイズを入力します。

    必要に応じてルーティング アドレスをさらに追加できます。

    DNS ルーティング規則

    VPN をいつ使用するかを管理する [ドメイン名] を入力するには 「追加」 を選択します。指定する各ドメインが使用する [DNS サーバ][Web プロキシ サーバ] を入力します。

    ルーティング ポリシー

    [すべてのトラフィックが VPN を経由することを強制する][外部リソースにダイレクトアクセスを許可する] のいずれかを選択します。

    • [すべてのトラフィックが VPN を経由することを強制する](強制トンネル):このトラフィック規則では、すべての IP トラフィックが VPN インターフェイスのみを経由します。

    • [外部リソースにダイレクト アクセスを許可する](分割トンネル):このトラフィック規則では、(ネットワーク スタックによって決定された)VPN インターフェイス経由と設定されたトラフィックのみがインターフェイスを経由します。インターネット トラフィックは他のインターフェイスを経由することができます。

    プロキシ VPN が使用するプロキシ サーバを検出するには [自動検出] を選択します。プロキシ サーバを構成するには、[手動] を選択します。
    サーバ

    プロキシサーバの IP アドレスを入力します。

    この設定は [プロキシ][手動] に設定すると表示されます。

    プロキシサーバ構成 URL

    プロキシ サーバ構成設定の URL を入力します。

    この設定は [プロキシ][手動] に設定すると表示されます。

    ローカルではプロキシを使用しない デバイスがローカルネットワークにある時はプロキシサーバをバイパスするには、これを有効化します。
    プロトコル

    VPN の認証プロトコルを選択します。

    • EAP – 様々な認証方法を許可します
    • コンピュータ証明書 – デバイス証明書ストアのクライアント証明書を検出し、認証に使用します。
    EAP タイプ

    EAP 認証のタイプを選択します。

    • EAP-TLS – スマートカードまたはクライアント証明書認証
    • EAP-MSCHAPv2 – ユーザー名とパスワード
    • EAP-TTLS
    • PEAP
    • カスタム構成 – すべての EAP 構成を許可します。

    この項目は [プロトコル][EAP] に設定すると表示されます。

    資格情報タイプ

    クライアント証明書を使用するには [証明書を使用する] を選択します。認証にスマート カードを使用するには [スマート カードを使用する] を選択します。

    この項目は [EAP タイプ][EAP-TLS] に設定すると表示されます。

    証明書の簡易選択

    この設定を有効にすると、シンプルな証明書リストをユーザーに表示し、選択するように求めます。それぞれのエンティティに対して発行された最近の証明書のみが表示されます。

    この項目は [EAP タイプ][EAP-TLS] に設定すると表示されます。

    Windows のログオン資格情報を使用する

    Windows デバイスと同じ資格情報を使用するにはこれを有効にします。

    この項目は [EAP タイプ][EAP-MSCHAPv2] に設定すると表示されます。

    ID プライバシー

    クライアントがサーバのアイデンティティを認証する前にサーバに送信する値を入力します。

    この項目は [EAP タイプ][EAP-TTLS] に設定すると表示されます。

    内部認証方法

    内部 ID 認証に使用する認証方法を選択します。

    この項目は [EAP タイプ][EAP-TTLS] に設定すると表示されます。

    すばやい再接続を有効にする

    クライアントからの認証リクエストとサーバの応答時間の遅れを減らすにはこれを有効に設定します。

    この項目は [EAP タイプ][PEAP] に設定すると表示されます。

    ID プライバシーを有効にする クライアントとサーバ間の認証が行われるまでユーザー ID を保護するにはこれを有効にします。
    アプリベース VPN 規則 旧式のアプリと最新アプリを指定してトラフィック規則を追加するには [追加] をクリックします。アプリベース VPN の詳細は、「アプリベース VPN を使用する」を参照してください。
    アプリ ID

    まず、アプリがストアアプリなのかデスクトップアプリなのか選択します。次に、デスクトップ アプリの場合はアプリケーションのファイル パスを入力します。また、ストア アプリの場合はパッケージのファミリ名を入力し、トラフィック規則が適用されるアプリを指定できます。

    • ファイル パスの例:%ProgramFiles%/ Internet Explorer/iexplore.exe
    • パッケージ ファミリ名の例: AirWatchLLC.AirWatchMDMAgent_htcwkw4rx2gx4

    PFN 参照機能を使用し、[検索] アイコンをクリックしてアプリケーションの PFN を検索することができます。表示される画面からアプリを選択し、アプリ ベース VPN 規則を構成します。PFN が自動入力されます。

    VPN オンデマンド 特定アプリケーションが起動した際は自動で VPN 接続する場合にはこの設定を有効にします。
    ルーティング ポリシー

    アプリのルーティング ポリシーを選択します。

    • [外部リソースにダイレクト アクセスを許可する] – VPN トラフィックとローカル ネットワーク接続経由のトラフィックの両方を許可します。
    • [すべてのトラフィックが VPN を経由することを強制する] – すべてのトラフィックに VPN を経由するよう強制します。
    DNS ルーティング規則

    アプリトラフィックに DNS ルーティング規則を追加するにはこれを有効化します。

    [追加] をクリックし、ルーティング規則の [フィルタ タイプ][フィルタ値] を追加します。指定されたアプリの中のこれらの規則に合致するトラフィックのみが VPN 経由で送信されます。

    • [IP アドレス]:許可するリモート IP アドレスの範囲を指定する、カンマで値を区切ったリスト。
    • [ポート]:許可するリモート ポートの範囲を指定する、カンマで値を区切ったリスト。例: 100-120, 200, 300-320。ポートが有効であるためには、プロトコルが TCP または UDP に設定されている必要があります。
    • [IP プロトコル]:IP プロトコルで何を許可するかを表す 0 ~ 255 の数値。例: TCP = 6、UDP = 17

    これらのフィルタとポリシーがどのように機能するかと、使用されているロジックに関する詳細は、アプリベース VPN を使用する を参照してください。

    デバイス全体の VPN 規則

    [追加] を選択し、デバイス全体を対象とするトラフィック規則を追加します。

    [追加] をクリックし、ルーティング規則の [フィルタ タイプ][フィルタ値] を追加します。これらの規則に合致するトラフィックのみが VPN 経由で送信されます。

    • [IP アドレス]:許可するリモート IP アドレスの範囲を指定する、カンマで値を区切ったリスト。
    • [ポート]:許可するリモート ポートの範囲を指定する、カンマで値を区切ったリスト。例: 100-120, 200, 300-320。ポートが有効であるためには、プロトコルが TCP または UDP に設定されている必要があります。
    • [IP プロトコル]:IP プロトコルで何を許可するかを表す 0 ~ 255 の数値。例: TCP = 6、UDP = 17すべてのプロトコルの数値のリストについては、https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml を参照してください。
    資格情報を記憶する エンドユーザーのログイン資格情報を記憶するには、これを有効にします。
    常にオン VPN 接続を強制的に常時オンにしておくにはこれを有効にします。
    VPN ロックダウン

    VPN 接続を強制的に常時オンにし、接続が決して切断されないようにし、VPN が接続されていないすべてのネットワーク アクセスを無効にし、さらに他の VPN プロファイルへの接続を防止するには、この設定を有効化します。

    VPN ロックダウンを有効にした VPN プロファイルは、新しい VPN プロファイルをデバイスにプッシュする前に削除する必要があります。

    この機能は、プロファイルがデバイス コンテキストに設定されている場合にのみ表示されます。

    ローカル接続ではバイパス ローカルのイントラネットトラフィックは VPN 接続をバイパスさせます。
    信頼されたネットワークを検出 信頼されたネットワーク アドレスをコンマで区切って入力します。信頼されたネットワーク接続が検出された場合には VPN 接続を行いません。
    ドメイン

    [新しいドメインの追加] を選択し、VMware Tunnel サーバ経由で解決するためのドメインを追加します。

    トラフィックの発生元となったアプリに関係なく、追加されたドメインはすべて、VMware Tunnel サーバ経由でドメイン名が解決されます。たとえば、ホワイトリストに登録された Chrome またはホワイトリストに登録されていない Edge アプリを使用する場合、vmware.com は、VMware Tunnel サーバを介して解決されます。

    このオプションが表示されるのは、VPN プロファイルをユーザー プロファイルとして作成する場合だけです。

  7. 構成完了後、[保存して公開] を選択し、プロファイルをデバイスにプッシュします。