Workspace ONE UEM Console でのネットワークトラフィックルールの構成

Workspace ONE Tunnel クライアントが Android デバイス用の Web プロキシにトラフィックをルーティングするようにネットワークトラフィックルールを構成します。

アプリケーション単位の VPN オプションで構成される Android アプリケーションをトラフィックルールにリストし、プロキシサーバアドレスとターゲットのホスト名を構成します。

指定されたアプリケーションからのトラフィックをデバイスがどのように処理するかを制御するデバイストラフィックルールを構成します。デバイストラフィックルールに従って、Workspace ONE Tunnel アプリケーションは、トンネル経由でトラフィックを送信する、特定ドメインへのトラフィックをすべてブロックする、内部ネットワークを直接インターネットにバイパスする、あるいは Web プロキシサイトにトラフィックを送信するなどの操作を実行します。

対応するドメインを持つ使用可能な Workspace ONE Access SaaS 環境のリストについては、VMware ナレッジベースの記事「ネットワーク構成に使用される Workspace ONE Access および Hub Services SaaS の IP アドレス範囲 (KB68035)」を参照してください。

ネットワークトラフィックルールの作成の詳細については、『VMware Tunnel ガイド』を参照してください。

前提条件

VMware Tunnel はアクティベーションされたアプリケーション単位のトンネルコンポーネントで構成されています。
Android モバイル SSO でデバイストラフィックルールを使用するように構成された Microsoft Intune Company Portal アプリケーション。
Android VPN プロファイルが作成されている。
ネットワークトラフィックルールに追加された個々の Android アプリケーションのためにアプリケーション単位の VPN が有効化されている。

手順

Workspace ONE UEM コンソールで、[システム] > [エンタープライズ統合] > [VMware Tunnel] > [ネットワークトラフィックルール] の順に移動します。

[デバイストラフィックルール] タブで、『VMware Tunnel ガイド』の説明に従ってデバイストラフィックルールの設定を構成します。特に Android 版のモバイル SSO では、次を構成します。

既定のアクション。このルールは自動的に構成され、Safari 以外のすべてのアプリケーションに適用されます。既定のアクションは、常に最後に適用されます。

オプション	説明
トンネル	Android 版のモバイル SSO に VPN アクセスが必要な場合は、アクションを [トンネル] に設定します。アプリケーション単位の VPN が構成されたデバイス上の Safari 以外のすべてのアプリは、トンネル経由でネットワークトラフィックを送信します。
バイパス	VPN アクセスが Android 版モバイル SSO のために必要でない場合は、[バイパス]するアクションを設定します。アプリケーション単位の VPN が構成されたデバイス上の Safari 以外のすべてのアプリは、トンネル経由でインターネットに直接接続します。重要：この実装では、トンネルクライアントがシングルサインオンにのみ使用される場合、トラフィックはトンネルサーバに送信されません。

オプション

説明

トンネル

Android 版のモバイル SSO に VPN アクセスが必要な場合は、アクションを [トンネル] に設定します。アプリケーション単位の VPN が構成されたデバイス上の Safari 以外のすべてのアプリは、トンネル経由でネットワークトラフィックを送信します。

バイパス

VPN アクセスが Android 版モバイル SSO のために必要でない場合は、[バイパス]するアクションを設定します。アプリケーション単位の VPN が構成されたデバイス上の Safari 以外のすべてのアプリは、トンネル経由でインターネットに直接接続します。

重要：この実装では、トンネルクライアントがシングルサインオンにのみ使用される場合、トラフィックはトンネルサーバに送信されません。

デフォルトのルールが更新されてアクションが [バイパス]に設定された後、ネットワークトラフィックルールが追加され、Android シングルサインオン用に構成されます。

必要に応じて、[追加] を選択して追加ルールを作成します。
上下の矢印を選択し、ネットワークトラフィックルールの順位を並べ替えます。デフォルトのルールは、順番で最後のルールです。
[アプリケーション] 列で、アプリケーション単位の VPN プロファイルが構成されている Android アプリを追加します。

注： Microsoft Office 365 が Microsoft Intune Company Portal アプリケーションを使用して展開されている場合は、デバイストラフィックルールのアプリケーションのリストに Microsoft Company Portal アプリケーションを必ず追加してください。
クラウド内でホストされたテナントの場合、[操作] 列で、[プロキシ] を選択し、Web プロキシ情報を指定します。「certproxy.domain」と入力します。たとえば、「certproxy.workspaceoneaccess.com:5262」と入力します。
[接続先のホスト名] 列に、接続先の Workspace ONE Access ホスト名を入力します。「 <tenant>.workspaceoneaccess.com」と入力します。たとえば、「 myco.workspaceoneaccess.com」と入力します。 VMware Tunnel クライアントは、 Workspace ONE Access ホスト名から HTTPS プロキシにトラフィックをルーティングします。
オンプレミスの場合、[操作] 列で、プロキシを選択し、Web プロキシ情報を指定します。Workspace ONE Access ホスト名とポートを入力します。たとえば、login.example.com:5262 のように入力します。

注：オンプレミスの展開で Workspace ONE Access ホストに外部アクセスを提供する場合、インターネット上のデバイスと Workspace ONE Access ホストの間でファイアウォールのポート 5262（構成可能）が開かれていて、ロードバランサまたはリバースプロキシ上でレイヤー 4 TCP SSL パススルーが可能な状態になっている必要があります。

[保存] をクリックします。

次のタスク

これらのルールを公開します。ルールが公開されると、デバイスは更新された VPN プロファイルを受け取り、SSO が有効になるように Workspace ONE Tunnel アプリケーションが構成されます。

Workspace ONE Access コンソールに移動し、組み込み ID プロバイダのページで Android 版モバイル SSO を構成します。