VMware Tunnel クライアントが Android デバイス用の Web プロキシにトラフィックをルーティングするようにネットワーク トラフィック ルールを設定します。

アプリケーション単位の VPN オプションで構成される Android アプリをトラフィック ルールにリストし、プロキシ サーバ アドレスとターゲットのホスト名を構成します。

指定されたアプリケーションからのトラフィックをデバイスがどのように処理するかを制御するデバイス トラフィック ルールを構成します。デバイス トラフィック ルールに従って、VMware Tunnel アプリケーションは、トンネル経由でトラフィックを送信する、特定ドメインへのトラフィックをすべてブロックする、内部ネットワークを直接インターネットにバイパスする、あるいは Web プロキシ サイトにトラフィックを送信するなどの操作を実行します。

ネットワーク トラフィック ルールの作成の詳細については、『VMware Tunnel ガイド』を参照してください。

前提条件

  • VMware Tunnel はアクティベーションされたアプリケーション単位のトンネル コンポーネントで構成されています。

  • Android VPN プロファイルが作成されている。

  • ネットワーク トラフィック ルールに追加された個々の Android アプリのためにアプリケーション単位の VPN が有効化されている。

手順

  1. Workspace ONE UEM コンソールで、[システム] > [エンタープライズ統合] > [VMware Tunnel] > [ネットワーク トラフィック ルール] の順に移動します。
  2. [デバイス トラフィック ルール] タブで、『VMware Tunnel Guide』の説明に従ってデバイスのトラフィック ルールを構成します。特に Android 版のモバイル SSO では、次の設定を構成します。
    1. 既定のアクション。このルールは自動的に構成され、Safari 以外のすべてのアプリケーションに適用されます。既定のアクションは、常に最後に適用されます。

      オプション

      説明

      トンネル

      Android 版のモバイル SSO に VPN アクセスが必要な場合は、[トンネル]にアクションを設定します。アプリケーション単位の VPN が構成されたデバイス上の Safari 以外のすべてのアプリは、トンネル経由でネットワーク トラフィックを送信します。

      バイパス

      VPN アクセスが Android 版モバイル SSO のために必要でない場合は、[バイパス]するアクションを設定します。アプリケーション単位の VPN が構成されたデバイス上の Safari 以外のすべてのアプリは、トンネル経由でインターネットに直接接続します。

      重要:

      この実装では、トンネル クライアントがシングル サインオンにのみ使用される場合、トラフィックはトンネル サーバに送信されません。

      デフォルトのルールが更新されてアクションが[バイパス]に設定された後、ネットワーク トラフィック ルールが追加され、Android シングル サインオン用に構成されます。

    2. 必要に応じて、[追加] を選択して追加ルールを作成します。
    3. 上下の矢印を選択し、ネットワーク トラフィック ルールの順位を並べ替えます。デフォルトのルールは、順番で最後のルールです。
    4. [アプリケーション] 列で、アプリケーション単位の VPN プロファイルが構成されている Android アプリを追加します。
    5. クラウド内でホストされたテナントの場合、[操作] 列で、[プロキシ] を選択し、Web プロキシ情報を指定します。たとえば、certproxy.vmwareidentity.<top-leveldomain>: 5262 のように入力します。

      [接続先のホスト名] 列に、接続先の VMware Identity Manager ホスト名を入力します。<tenant>.vmwareidentity.<top-leveldomain> の形式で入力します。たとえば、myco.vmwareidentity.com のようになります。VMware Tunnel クライアントは、VMware Identity Manager ホスト名から HTTPS プロキシにトラフィックをルーティングします。

    6. オンプレミスの場合、[操作] 列で、プロキシを選択し、Web プロキシ情報を指定します。VMware Identity Manager ホスト名とポートを入力します。たとえば、login.example.com:5262 のように入力します。
      注:

      オンプレミスの展開で VMware Identity Manager ホストに外部アクセスを提供する場合、インターネット上のデバイスと VMware Identity Manager ホストの間でファイアウォールのポート 5262(構成可能)が開かれていて、ロード バランサまたはリバース プロキシ上でレイヤー 4 TCP SSL パススルーが可能な状態になっている必要があります。

  3. [保存] をクリックします。

次のタスク

これらのルールを公開します。ルールが公開されると、デバイスは更新された VPN プロファイルを受け取り、SSO が有効になるように VMware Tunnel アプリケーションが構成されます。

VMware Identity Manager コンソールに移動し、組み込み ID プロバイダのページで Android 版モバイル SSO を構成します。