Upload
tomonori-takaki
View
13
Download
1
Embed Size (px)
Citation preview
© 2017 VMware Inc. All rights reserved.
AirWatchフリートライアルガイド〜 ゲートウェイ連携編 〜 V2.1
改訂履歴
2
⽇付 バージョン 変更点 担当者2015/11/16 1.0 初版作成 佐川2015/11/27 1.1 MAG for Win追加 佐川2015/12/08 1.2 SEG追加 佐川2015/12/16 1.3 MAG for Lin追加 佐川2017/03/16 2.0 AirWatch 9に対応
AirWatch Tunnelに対応Content Gatewayに対応SEG V2に対応
⾼⽊
2017/3/21 2.1 Unified Access Gateway(旧 Access Point)に対応
佐川
内容
• 事前準備• 企業内のActive Directoryを利⽤するには• 企業内のWebサーバーへVMware Browserからアクセスするには(1)• 企業内のWebサーバーへVMware Browserからアクセスするには(2)• 企業内のファイルサーバーへContent Lockerからアクセスするには (1)• 企業内のファイルサーバーへContent Lockerからアクセスするには (2)• 企業のEメールを保護するには• サードパーティ製のアプリでPerApp VPNを利⽤するには• Appendix : 仮想アプライアンスを使⽤したAirWatch Tunnel の構築⽅法• Appendix : 公的証明書のIISへのバインド
本資料の位置づけ• 本資料は、VMwareが提供する正式な製品マニュアルではございません。• 利⽤者の⽅が、簡易かつ素早くAirWatchをご利⽤いただくための参考
資料です。• 内容については、適宜変更 / 更新される可能性があります。• 記載内容およびその動作については保証対象外です。
Preparation - Environment事前準備 – 環境設定
⽤意するもの• 管理コンソールURL / 管理ユーザー・パスワード / グループID
Ø AirWatchより、お申込者に⾃動送信されます。
• 管理対象のモバイルデバイスØ iPhone / iPad, Android, Windows 10Ø インターネット接続可能なこと (LTE/3G, WiFi)
• iOS(iPhone/iPad等) を管理する場合Ø 企業⽤Apple ID ひとつØ Apple Push Nortification Services(APNs)に⽤います。Ø https://appleid.apple.com/jp/ にて作成
企業内のActive Directoryを利⽤するにはAirWatch Could Connector(ACC)
この章で実現すること
8
社内のActive DirectoryのユーザアカウントをAirWatchで使⽤する
Active Directory
社内社外
システム構成図
9
443
ACCシステム要件OS: Windows Server 2008 R2
Windows Server 2012Windows Server 2012 R2
*英語OSのみサポート
CPU: 2コア以上メモリ:4GB以上
ドメイン参加必須
10
*上記は要件の全てを網羅しておりません。ACCのシステム要件の詳細はMyAirWatchのAirwatch Cloud Connector (ACC) Guide for SaaS Customersを参照ください。
外部ネットワーク要件ACC→AirWatch
HTTPS:443
作業前の事前確認qACCサーバがドメイン参加しているqACCサーバ上のブラウザでAirWatch管理コンソールにアクセスできる
11
AirWatch Cloud Connector - 構成の追加
12
ACCサーバでの作業(AirWatchコンソールの操作)
[Cloud Connectorを有効化]にチェック
[保存]を押す
システム / エンタープライズ統合 / Cloud Connector にて設定を追加。
AirWatch Cloud Connector - 構成の追加
13
[エンタープライズサービス]の中の[ディレクトリサービス]が有効になっていることを確認
ACCサーバでの作業(AirWatchコンソールの操作)
システム / エンタープライズ統合 / Cloud Connector にて設定を追加。
AirWatch Cloud Connector - インストール
14
ACCサーバでの作業(AirWatchコンソールの操作)
ダウンロード⽤のパスワードを設定
インストーラフィルをダウンロード。
ACCサーバ上で[Cloud Connector インストーラをダウンロード]をクリック
AirWatch Cloud Connector - インストール
15
ダウンロードしたファイルを実⾏する実⾏前に.NET Frameworkのインストールを求めてきたらインストールを⾏う再起動を促されたらそれに従う
ACCサーバでの作業(インストーラの実⾏)
インストーラフィルを実⾏し、インストールを実施。
AirWatch Cloud Connector - インストール
16
ダウンロード時に設定したパスワードを⼊⼒
ACCがプロキシ経由でインターネットに接続する場合、プロキシの情報を⼊⼒
ACCサーバでの作業(インストーラの実⾏)
ウィザードに従ってインストールを実施。
AirWatch Cloud Connector - ディレクトリ設定
17
[ウィザードをスキップし⼿動で構成]を選択
ADサーバの情報を⼊⼒
AD認証できるユーザ名およびパスワード(⼀般ユーザ)
ドメイン名およびサーバーのアドレス
AirWatchコンソール上での作業
システム / エンタープライズ統合 / ディレクトリサービス でAD情報を登録。
18
ベースDNの設定
[保存]および[接続のテスト]をクリックテスト成功の旨が表⽰されれば構成完了です。
[ユーザ]および[グループ]タブ両⽅で実施
AirWatch Cloud Connector - ディレクトリ設定AirWatchコンソール上での作業
システム / エンタープライズ統合 / ディレクトリサービス でAD情報を登録。
19
AirWatch Cloud Connector - ディレクトリ設定
[ディレクトリ]を有効化して保存を実⾏
AirWatchコンソール上での作業
デバイスとユーザ / 全般 / 加⼊ でディレクトリユーザを有効化。
AirWatch Cloud Connector - ユーザ追加
20
セキュリティタイプに[ディレクトリ]を選択
AD上のユーザ名を⼊⼒し、[ユーザを確認]をクリック
適宜必要な項⽬を設定して保存を実⾏
AirWatchコンソール上での作業
アカウント / リスト表⽰ でユーザを追加。
AirWatch Cloud Connector - ユーザ追加
21
以上でActive Directory連携は完了追加したユーザで加⼊を実施する
ユーザが追加される
AirWatchコンソール上での作業
アカウント / リスト表⽰ でユーザを追加。
AirWatch Cloud Connector - 動作確認
22
モバイルデバイスで実⾏
加⼊の⼿順は基本的に同じですが、ADユーザで加⼊の場合は”ドメイン名¥ユーザ名”にする必要があります。
モバイルデバイスのMDM加⼊時に追加したディレクトリユーザを使⽤。
(オプション)ADのユーザグループの登録
23
検索語句にグループ名等を⼊⼒し[検索]をクリック
以上でActive Directory連携は完了です。グループ内のユーザを⾃動的に追加したり、各種割り当てにユーザグループを使⽤可能です。
グループが追加される
AirWatchコンソール上での作業
ユーザグループを定義し動的にディレクトリユーザを管理することが可能に。
企業内のWebサーバーへVMware Browserからアクセスするには(1)AirWatch Tunnel for Windows
この章で実現すること
25
社内Webサーバ例: http://cgww/intra
AirWawtch ブラウザを使⽤して社外から社内Webサーバへアクセス
社内社外
システム構成図
26
2020443
AirWatch Tunnel for Windows システム要件OS: Windows Server 2008 R2
Windows Server 2012Windows Server 2012 R2
*英語OSのみサポート
CPU: 2コア以上メモリ:4GB以上
ドメイン参加必須
27
*上記は要件の全てを網羅していないため、その他 AirWatch Tunnel for Windows のシステム要件の詳細はMyAirWatchのAirWatch Tunnel for Windows Installation Guideを参照ください。
外部ネットワーク要件AirWatch Tunnel→AirWatch
HTTPS:443デバイス→AirWatch Tunnel
HTTPS:2020
公的証明書および外部DNS名
グローバルアドレス
作業前の事前確認qAirWatch Tunnelサーバ上のブラウザでAirWatch管理コンソールにアクセス
できるqAirWatch Tunnelサーバ上のブラウザでモバイルデバイスがアクセスする先の
サイトにアクセスできるq社内DNS、社外DNSともにAirWatch TunnelサーバのFQDNを名前解決できるq使⽤する公的証明書はフルチェーンで構成されたPFXファイルである
28
AirWatch Tunnel for Windows - 設定追加
29
AirWatch Tunnelサーバ上にIISを標準インストールします。
システム / エンタープライズ統合 / AirWatchトンネル / 構成 にて設定を追加。
AirWatch TunnelサーバのFQDNを⼊⼒
ポートは既定の2020を指定
AirWatch Tunnelサーバでの作業(AirWatchコンソール)
30
AirWatch TunnelサーバのFQDNに対応した公的証
明書をアップロード
ウィザードに従って設定を実施します。
AirWatch Tunnel for Windows - 設定追加AirWatch Tunnelサーバでの作業(AirWatchコンソール)
31
概要を確認して保存
構成を確認して保存
ウィザードに従って設定を実施し、設定を保存します。
AirWatch Tunnel for Windows - 設定追加AirWatch Tunnelサーバでの作業(AirWatchコンソール)
32
インストーラにパスワードを設定(このパスワードはインストール
時に使⽤)
インストーラをダウンロードします。
AirWatch Tunnel for Windows - インストールAirWatch Tunnelサーバでの作業(AirWatchコンソール)
33
JREのインストールを求められた場合はYesを選択
ダウンロードしたインストーラを実⾏し、ウィザードに従って設定を実施ます。
AirWatch Tunnel for Windows - インストールAirWatch Tunnelサーバでの作業
34
ダウンロード時に設定したパスワードを⼊⼒
ダウンロードしたインストーラを実⾏し、ウィザードに従って設定を実施ます。
AirWatch Tunnel for Windows - インストールAirWatch Tunnelサーバでの作業
実際にモバイルデバイスがアクセスする先の社内サイトを⼊⼒
AirWatchコンソール上で接続テストを実⾏します。
全て緑⾊となれば構築完了
AirWatch Tunnel for Windows - 疎通確認AirWatchコンソール上での作業
AirWatch Tunnelを選択
アプリケーションのセキュリティポリシーを編集し、AirWatchアプリケーションがAirWatch Tunnelを使⽤できるように設定します。
AirWatch Tunnel for Windows - 設定追加AirWatchコンソール上での作業
社内WEBサイトのアドレスを⼊⼒
VMware Browserを起動し、社内WEBサイトへアクセスできることを確認します。
AirWatch Tunnel for Windows - 動作確認モバイルデバイス上で実施
企業内のWebサーバーへVMware Browserからアクセスするには(2)AirWatch Tunnel for Linux
この章で実現すること
39
社内Webサーバ例: http://cgww/intra
AirWawtch ブラウザを使⽤して社外から社内Webサーバへアクセス
社内社外
システム構成 – AirWatch Tunnel for Linux
この章で実現すること
AirWawtch Tunnel for Linuxは後述の「サードパーティ製のアプリでPerApp VPNを利⽤するには」の章のものと同じものとなりますのでご参照ください。
企業内のファイルサーバーへContent Lockerからアクセスするには (1)AirWatch Content Gateway for Windows
この章で実現すること
43
社内ファイルサーバContent Lockerを使⽤して社外から社内ファイルサーバのファイルへアクセス
社内社外
システム構成 – Content Gateway for Windows
443
443
Content Gateway for Windows システム要件OS: Windows Server 2008 R2
Windows Server 2012Windows Server 2012 R2
*英語OSのみサポート
CPU: 2コア以上メモリ:4GB以上
ドメイン参加必須
45
*上記は要件の全てを網羅していないその他 Content Gateway for Windowsのシステム要件の詳細はMyAirWatchのContent Gateway Guide for Windowsを参照のこと
外部ネットワーク要件Content Gateway→AirWatch
HTTPS:443デバイス→Content Gateway
HTTPS:443
公的証明書および外部DNS名
グローバルアドレス
作業前の事前確認qContent Gatewayサーバはドメイン参加しているqContent Gatewayサーバ上のエクスプローラからモバイルデバイスがアクセ
スする先のファイルサーバ(共有フォルダ)にアクセスできるqContent Gatewayサーバ上のブラウザでAirWatchコンソールにアクセスでき
るq社内DNS、社外DNSともにContent GatewayサーバのFQDNを名前解決でき
るq使⽤する公的証明書はフルチェーンで構成されたPFXファイルである
46
47
IISへ公的証明書をバインド- 詳細は「Appendix : 公的証明書のIISへのバインド」をご参照ください。
外部からhttps://AirWatch TunnelのFQDNへアクセスし、スプラッシュページが表⽰できる構成にしておいく
Content Gateway for Windows - 事前準備Content Gatewayサーバでの作業(AirWatchコンソール)
48
外部からアクセス可能なContent GatewayサーバのFQDN (URL)を設定
ポートは規定値の443を指定
[Content Gatewayを有効化]を有効化し、Content Gatewayを追加
コンテンツ / Content Gateway で設定を追加。Content Gateway for Windows - 設定追加
Content Gatewayサーバでの作業(AirWatchコンソール)
49
Content Gateway for Windows - 設定追加Content Gatewayサーバでの作業(AirWatchコンソール)
コンテンツ / Content Gateway で設定を追加。
設定を保存
50
Content Gateway for Windows - 設定追加Content Gatewayサーバでの作業(AirWatchコンソール)
コンテンツ / Content Gateway で設定を追加。
インストーラにパスワードを設定(このパスワードはインストール
時に使⽤)
インストーラ対象のContent Gatewayを選択後ダウンロードを実⾏
51
Content Gateway for Windows - インストールContent Gatewayサーバでの作業
ウィザードに従ってContent Gatewayをインストールする。
52
Content Gateway for Windows - インストールContent Gatewayサーバでの作業
ウィザードに従ってContent Gatewayをインストールする。
ダウンロード時に設定したパスワードを
⼊⼒
53
Content Gateway for Windows - 接続確認AirWatchとContent Gatewayが通信できることを確認。
状態が緑の場合は接続成功
対象のContent Gatewayを選択後接続のテストを実⾏
AirWatchコンソール上での作業
54
Content Gateway for Windows - リポジトリ追加コンテンツ / リポジトリ / 管理リポジトリ でユーザに使⽤を許可するファイルサーバを追加。
Content Lockerに表⽰される名前
[ネットワーク共有]を選択
共有フォルダをUNCで指定
割当先組織グループを指定
接続テストおよびファイル⼀覧管理ユーザを指定認証タイプ: ユーザーユーザー名: (共有フォルダにアクセスできる⼀般ユーザ)パスワード: (上記ユーザのパスワード)
アクセス時に使⽤するContent Gatewayを選択
必要に応じて書き込み権限を付与
[接続のテスト]に成功したら[続⾏]
を実⾏する
AirWatchコンソール上での作業
55
Content Gateway for Windows - 事前準備コンテンツ / リポジトリ / 管理リポジトリ でユーザに使⽤を許可するファイルサーバを追加。
必要に応じてセキュリティ設定を追加
組織グループ(設定必須)とユーザグループ(設定任意)はAND条件となります。
AirWatchコンソール上での作業
56
Content Gateway for Windows - 事前準備コンテンツ / Content Gateway で設定を追加。
リポジトリが追加されたことを確認
AirWatchコンソール上での作業
57
追加したリポジトリが表⽰される
ファイルサーバに保存されているファイルが表⽰される
以上でContent Gateway経由で社内のファイルサーバーへContent Lockerからアクセスできた
デバイス上のContent Lockerを起動
Content Gateway for Windows - 事前準備モバイルデバイス上で動作を確認。
モバイルデバイス上で実施
企業内のファイルサーバーへContent Lockerからアクセスするには (2)AirWatch Content Gateway for Linux
この章で実現すること
59
社内ファイルサーバContent Lockerを使⽤して社外から社内ファイルサーバのファイルへアクセス
社内社外
システム構成 – Content Gateway for Linux
443
443
Content Gateway for Linux システム要件
61
OS: CentOS6.5/6.6/7.0/7.1, 64-bit
RHEL7.2, 64-bit
SLES12
*現在英語OSのみサポート
CPU: 2コア以上メモリ:4GB以上
*上記は要件の全てを網羅していません。その他 システム要件の詳細はMyAirWatchのVMware AirWatch Content Gateway Guide for Linuxを参照ください。
外部ネットワーク要件デバイス→Content GatewayAirWatch →Content Gateway
HTTPS:443
公的証明書および外部DNS名
グローバルアドレス
作業前の事前確認qContent GatewayサーバからTELNETなどによりモバイルデバイスがアクセス
する先のファイルサーバにアクセスし反応がある例
qContent GatewayサーバからTELNETなどによりAirWatchコンソール(Port 443)にアクセスし反応がある
例
q社内DNS、社外DNSともにContent GatewayサーバのFQDNを名前解決できるq使⽤する公的証明書はフルチェーンで構成されたPFXファイルである
62
63
AirWatchコンソール上での作業Content Gateway for Linux – 構成の追加
外部からアクセス可能なContent GatewayサーバのFQDN (URL)を設定
ポートは規定値の443を指定
[Content Gatewayを有効化]を有効化し、Content Gatewayを追加
コンテンツ / Content Gateway で設定を追加。
Content GatewayサーバのFQDN に対応する公的証明書をアップロード
構成を保存
64
AirWatchコンソール上での作業Content Gateway for Linux - 構成の追加
コンテンツ / Content Gateway で設定を追加。
設定を保存
65
AirWatchコンソール上での作業Content Gateway for Linux - 構成の追加
コンテンツ / Content Gateway で設定を追加。
インストーラにパスワードを設定(このパスワードはインストール
時に使⽤)
インストール対象のContent Gatewayを選択後ダウンロードを実⾏
ダウンロードしたインストーラはSCPなどでContent Gateway上へ
保存してください。
66
Content Gatewayサーバでの作業Content Gateway for Linux - インストール
Content Gatewayサーバ上でインストールを実⾏。1. インストーラを解凍
2. インストーラを実⾏
3. <Enter>キーで続⾏
4. <y>キーで続⾏
5. <Enter>キーで続⾏
6. ダウンロード時に設定したパスワードを⼊⼒
7. <n>キーで続⾏(SSL Offload構成ではない)
8. <Enter>キーで続⾏(既定のポート443を使⽤)
67
Content Gatewayサーバでの作業Content Gateway for Linux - インストール
9. <Enter>キーで続⾏
10. <Enter>キーで続⾏
11. <Enter>キーで終了 インストールが成功した旨のメッセージを確認
68
Content Gateway for Linux - 接続確認
状態が緑の場合は接続成功
対象のContent Gatewayを選択後接続のテストを実⾏
AirWatchコンソール上での作業
AirWatchとContent Gatewayが通信できることを確認。
Content Gateway for Linux - リポジトリ追加コンテンツ / リポジトリ / 管理リポジトリ でユーザに使⽤を許可するファイルサーバを追加。
AirWatchコンソール上での作業
69
Content Lockerに表⽰される名前
[ネットワーク共有]を選択
共有フォルダをUNCで指定
割当先組織グループを指定
接続テストおよびファイル⼀覧管理ユーザを指定認証タイプ: ユーザーユーザー名: (共有フォルダにアクセスできる⼀般ユーザ)パスワード: (上記ユーザのパスワード)
アクセス時に使⽤するContent Gatewayを選択
必要に応じて書き込み権限を付与
[接続のテスト]に成功したら[続⾏]
を実⾏する
70
Content Gateway for Linux - リポジトリ追加コンテンツ / リポジトリ / 管理リポジトリ でユーザに使⽤を許可するファイルサーバを追加。
必要に応じてセキュリティ設定を追加
組織グループ(設定必須)とユーザグループ(設定任意)はAND条件となります。
AirWatchコンソール上での作業
71
Content Gateway for Linux - リポジトリ追加コンテンツ / Content Gateway で設定を追加。
リポジトリが追加されたことを確認
AirWatchコンソール上での作業
72
追加したリポジトリが表⽰される
ファイルサーバに保存されているファイルが表⽰される
以上でContent Gateway経由で社内のファイルサーバーへContent Lockerからアクセスできた
デバイス上のContent Lockerを起動
Content Gateway for Linux - 動作確認モバイルデバイス上で動作を確認。
モバイルデバイス上で実施
企業のEメールを保護するにはSecure Email Gateway V2
この章で実現すること
74
社内社外
ゲートウェイ
VMware Boxerではメール受信可能、それ以外のメーラからは受信不可能な構成にする
このガイドではO365を使⽤していますが、メールサーバの設定は各環境の情報に置き換えてご利⽤ください。
Boxer
ネイティブメール
システム構成 – Secure Email Gateway (SEG)
O365
443
Secure Email Gateway (SEG)システム要件OS: Windows Server 2008 R2
Windows Server 2012Windows Server 2012 R2
*現在英語OSのみサポート
CPU: 2コア以上メモリ:4GB以上
AirWatch 9.0.3以降をサポート
76
*上記は要件の全てを網羅していません。その他 SEGのシステム要件の詳細はMyAirWatchのSecure Email Gateway (SEG) Guideを参照ください。
外部ネットワーク要件SEG→AirWatch
HTTPS:443デバイス→SEG
HTTPS:443SEG→メールサーバ
HTTP:80 or HTTPS:443
公的証明書および外部DNS名必須
作業前の事前確認q SEGサーバ上のブラウザからActivesync URLにアクセスできる
例 (https://ExchangeHostname/Microsoft-Server-ActiveSync)
q SEGサーバ上のブラウザからAirWatchコンソールアクセスできるq社内DNS、社外DNSともにSEGサーバのFQDNを名前解決できるq使⽤する公的証明書はフルチェーンで構成されたPFXファイルである
77
7878
[Eメール]→[Eメール設定]→[構成]を実⾏
SEGサーバでの作業(AirWatchコンソール)Secure Email Gateway - 構成の追加
ウィザードに従ってSecure Email Gatewayの構成を追加。
79
SEGサーバでの作業(AirWatchコンソール)Secure Email Gateway - 構成の追加
[プロキシ]を選択
[V2]を選択(AirWatch 9.0.2以前のバージョンの場合は[クラシック]を選択)
接続先のExchangeの種類を選択
ウィザードに従ってSecure Email Gatewayの構成を追加。
80
SEGサーバでの作業(AirWatchコンソール)Secure Email Gateway - 構成の追加
外部からアクセス可能なSEGのFQDNを⼊⼒(FQDN以降のURLは⾃動補完されます)
SEGのFQDNに対応した公的証明書をアップロード
必要に応じて管理名を変更
既定の443を使⽤
ウィザードに従ってSecure Email Gatewayの構成を追加。
81
SEGサーバでの作業(AirWatchコンソール)Secure Email Gateway - 構成の追加
ExchangeサーバのURLとポートを指定
ウィザードに従ってSecure Email Gatewayの構成を追加。
82
SEGサーバでの作業(AirWatchコンソール)Secure Email Gateway - 構成の追加
ウィザードに従ってSecure Email Gatewayの構成を追加。
そのまま次へ
83
設定を確認し、[完了]をクリック
SEGサーバでの作業(AirWatchコンソール)Secure Email Gateway - 構成の追加
ウィザードに従ってSecure Email Gatewayの構成を追加。
84
SEGサーバでの作業(AirWatchコンソール)Secure Email Gateway - インストール
リンクをクリックし、インストーラをダウンロードする
Secure Email Gatewayをインストール。
85
SEGサーバでの作業Secure Email Gateway - インストール
ウィザードに従ってSecure Email Gatewayをインストール。
SEGサーバでの作業Secure Email Gateway - インストール
システム / ⾼度な設定 / サイトURL で[API Server URL]を確認する
Eメール / 構成 で[MEM Config構成のユニークID]を確認する
AirWatch管理者のユーザとパスワードを⼊⼒
ウィザードに従ってSecure Email Gatewayをインストール。
SEGサーバでの作業Secure Email Gateway - インストール
ウィザードに従ってSecure Email Gatewayをインストール。
Secure Email Gateway - 接続確認Eメール / 構成 にて接続確認。
AirWatchコンソール上での作業
全てグリーンなら構築完了
89
VMware Boxerアプリの設定編集画⾯にて[Eメール設定]を編集
[Exchange ActiveSync ホスト]にSEGのFQDN情報を⼊⼒
以上で設定完了デバイスからSEG経由でメールサーバへVMware Boxerからアクセスできることを確認してください。
Secure Email Gateway – VMware Boxer設定この⼿順はVMware Boxerを使⽤する場合の設定例です。
AirWatchコンソール上での作業
90
Exchange Activesyncプロファイルを作成
[Exchange ActiveSync ホスト]にSEGのFQDNを⼊⼒
以上で設定完了デバイスからSEG経由でメールサーバへネイティブメールからアクセスできることを確認してください。
Secure Email Gateway – ネイティブメール設定この⼿順はネイティブメールアプリを使⽤する場合の設定例です。
AirWatchコンソール上での作業
91
[Eメール]→[順守ポリシ]の順にクリック
右の編集ボタンを使ってポリシーの編集が可能
Secure Email Gateway – Eメール順守ポリシーEメール / 順守ポリシー にてEメールに関するセキュリティポリシーを構成することができます。
AirWatchコンソール上での作業
各ポリシーの左横の[アクティブ]の左側のスイッチを使ってON/OFFの設定が可能
Secure Email Gateway – 順守ポリシーの例(メールクライアントをVMware Boxerに制限)
92
[ルールを追加]をクリック メールクライアントの種類と、そのメールクライアントに対するアクションを設定
リストされていないものに対する既定のアクションを設定
AirWatchコンソール上での作業
93
[順守を実⾏]をクリック
誤操作防⽌のため確認画⾯が表⽰されます。画⾯上に表⽰されているコードを⼊⼒してください。
設定したポリシーをアクティブ化(緑:アクティブ、⾚:⾮アクティブ)
Secure Email Gateway – 順守ポリシーの例(メールクライアントをVMware Boxerに制限)
AirWatchコンソール上での作業
サードパーティ製のアプリでPerApp VPNを利⽤するにはAirWatch Tunnel for LinuxAirWatch Tunnel Virtual Appliance
95
本章は、前述の「企業内のWebサーバーへAirwatchBrowserからアクセスするには(2)」の内容を含んでおります。
この章で実現すること
96
社内Windowsサーバ
AirWatch アプリケーション以外のものを含む様々なアプリケーションから社内のリソースにアクセスをおこなう。本章の例ではRemote Desktopクライアントを使⽤して、社内のWindowsへRDP接続を⾏います。
社内社外
システム構成 – AirWatch Tunnel for Linux
VMware Browserを社内に接続する場合にはAirWatchTunnelのTunnel Proxy機能を使⽤(Windows/Linux共通)AirWatch提供以外のアプリも含め社内にアプリ単位のVPN接続をするにはAirWatch Tunnel for LinuxのPer App VPN機能が必要
AirWatch Tunnel Proxy : 2020Per App VPN : 8443
443
AirWatch Tunnel for Linuxシステム要件OS: CentOS
6.5/6.6/6.7/7.0/7.1/7.2, 64-bitRHEL
6.5/6.6/6.7/7.0/7.1/7.2, 64-bit*現在英語OSのみサポート
CPU: 1コア以上メモリ:2GB以上
98
*上記は要件の全てを網羅していません。その他 システム要件の詳細はMyAirWatchのVMware AirWatch Tunnel Guideを参照ください。
外部ネットワーク要件AirWatch Tunnel→AirWatch
HTTPS:443デバイス→AirWatch Tunnel
HTTPS:2020(AirWatch Tunnel)HTTPS:8443(Per App VPN)
公的証明書および外部DNS名
グローバルアドレス
作業前の事前確認qAirWatch Tunnelサーバ上からTELNETによってAirWatch管理コンソール
(Port 443)にアクセスすると応答がある例
qAirWatch Tunnelサーバ上からTELNETなどによりモバイルデバイスがアクセスする先のサイトにアクセスできる
例
q社内DNS、社外DNSともにAirWatch TunnelサーバのFQDNを名前解決できるq使⽤する公的証明書はフルチェーンで構成されたPFXファイルである
99
100
AirWatch Tunnel for Linux - 構成の追加
プロキシ(AirWatch Tunnel Proxy)とアプリベーストンネル(Per App VPN)のうち必要な機能を有効化する
システム / エンタープライズ統合 / AirWatchトンネル で構成を追加
AirWatch TunnelサーバのFQDNとポート番号を⼊⼒
AirWatchコンソール上での作業
101
AirWatch Tunnel for Linux - 構成の追加
AirWatch TunnelサーバのFQDNに対応した公的証明書をアップロード
AirWatch TunnelサーバのFQDNに対応した公的証明書をアップロード
システム / エンタープライズ統合 / AirWatchトンネル で構成を追加
AirWatchコンソール上での作業
102
AirWatch Tunnel for Linux - 構成の追加
ウィザードに従って設定を進める
システム / エンタープライズ統合 / AirWatchトンネル で構成を追加
AirWatchコンソール上での作業
103
AirWatch Tunnel for Linux - 構成の追加
構成を保存する
システム / エンタープライズ統合 / AirWatchトンネル で構成を追加
AirWatchコンソール上での作業
104
AirWatch Tunnel for Linux - 構成の追加インストーラファイルをダウンロード
インストーラにパスワードを設定(このパスワードはインストール
時に使⽤)
ダウンロードしたインストーラはSCPなどでContent Gateway上へ
保存してください。
AirWatchコンソール上での作業
105
AirWatch Tunnelサーバでの作業AirWatch Tunnel for Linux - インストール
インストールを実施1. インストーラを解凍
2. インストーラを実⾏
3. <Enter>キーで続⾏
4. <y>キーで続⾏
5. インストールするものの番号を⼊⼒この例では両⽅インストールしているので<1,2>
6. <Enter>キーで続⾏
106
AirWatch Tunnelサーバでの作業AirWatch Tunnel for Linux - インストール
7. ダウンロード時に設定したパスワードを⼊⼒
8. ダウンロード時に設定したパスワードを⼊⼒
9. <n>で続⾏ (実際の環境に合わせて設定ください)
10. <Enter>キーで続⾏
インストールを実施11. <Enter>キーで続⾏
12. <Enter>キーで続⾏
107
AirWatch Tunnelサーバでの作業AirWatch Tunnel for Linux - インストール
13. <Enter>キーで終了
インストールが成功した旨のメッセージを確認
インストールを実施
108
AirWatch Tunnel for Linux - 接続確認コンソール上で接続確認。
全てグリーンなら構築完了
AirWatchコンソール上での作業
AirWatch Tunnel for Linux – Tunnel Proxyアプリケーションのセキュリティポリシーを編集し、AirWatchアプリケーションがAirWatch Tunnel Proxyを使⽤できるように設定します。
AirWatch Tunnelを選択
AirWatchコンソール上での作業
モバイルデバイスで実⾏AirWatch Tunnel for Linux – Tunnel Proxy
VMware Browserを起動し社内WEBサイトへアクセスできることを確認します。
社内WEBサイトのアドレスを⼊⼒
以上でAirWatch Tunnel経由で社内へのTunnel Proxyが構成できた。続いてPer App VPN編へ
111
[接続タイプ]に[AirWatch Tunnel]を選択
[アプリベースVPNルール]が有効
その他、必要な項⽬があれば設定しプロファイル作成を完了する
[全般]タブ設定後、[VPN]を選択
AirWatch Tunnel for Linux – Per App VPNPer App VPNを使⽤するためにVPNプロファイルを対象デバイスに配布する。
AirWatchコンソール上での作業
112
AirWatch Tunnel for Linux – Per App VPN
アプリを追加
Per App VPNに必要となるAirWatch Tunnelアプリを追加。その他必要なアプリを追加。(この例ではリモートデスクトップアプリを追加)
AirWatchコンソール上での作業
113
AirWatch Tunnel for Linux – Per App VPNPer App VPNを許可するアプリを編集し、VPNプロファイルを割り当てる。
先に設定したVPNプロファイルを選択
AirWatchコンソール上での作業
114
モバイルデバイス上でアプリカタログを起動してインストール
モバイルデバイスで実⾏AirWatch Tunnel for Linux – Per App VPN
モバイルデバイス上で動作を確認。
115
モバイルデバイスで実⾏AirWatch Tunnel for Linux – Per App VPN
パカッ!
モバイルデバイス上で動作を確認。
接続スイッチを使って接続できることを確認
[接続済み]となれば成功です。接続スイッチをもとに戻してください。
116
社外から社内のサーバへRDP接続ができた
モバイルデバイスで実⾏
以上でAirWatch Tunnel経由で社内へのPer App VPNが構成できた
インストールしたMicrosoft Remote Desktopアプリで、社内のRDPが有効になっているWindowsサーバ、ユーザ名、パスワードを⼊⼒
AirWatch Tunnel for Linux – Per App VPNモバイルデバイス上で動作を確認。
Appendix仮想アプライアンスを使⽤したAirWatch Tunnel の構築⽅法
VMware Unified Access Gateway(旧 Access Point)
この章で実現すること
118
Unified Access Gateway(旧 Access Point)
AirWatch アプリケーション以外のものを含む様々なアプリケーションから社内のリソースにアクセスをおこなう。本章の例ではRemote Desktopクライアントを使⽤して、社内のWindowsへRDP接続を⾏います。
社内社外
システム構成 – Unified Access Gateway
管理コンソール上での AirWatch Tunnelの設定、設定後の動作確認⽅法はAirWatch Tunnel for Linux と同様本書では仮想アプライアンスのデプロイ及び設定⽅法を紹介する
AirWatch Tunnel Proxy : 2020Per App VPN : 8443
443
Unified Access Gatewayシステム要件VMware 製品要件AirWatch: 8.4以降vSphere v5 以降
CPU: 2コア以上メモリ:4GB以上
120
*上記は要件の全てを網羅していません。その他 システム要件の詳細はMyAirWatchのVMware AirWatch Tunnel Guideを参照ください。
外部ネットワーク要件AirWatch Tunnel→AirWatch
HTTPS:443デバイス→AirWatch Tunnel
HTTPS:2020(AirWatch Tunnel)HTTPS:8443(Per App VPN)
公的証明書および外部DNS名
グローバルアドレス
121
AirWatchコンソールでの作業Unified Access Gateway - デプロイ
インストーラファイルをダウンロード
[仮想アプライアンスをダウンロード]をクリック
My AirWatch へリダイレクトされる使⽤許諾書に同意すると
OVAファイルのダウンロードが開始される
122
vSphere Web Clientでの作業Unified Access Gateway - デプロイ
仮想アプライアンスのデプロイ
[Browse]をクリックし、ダウンロードしたファイルを選択し
[Next]をクリック
vSphere Web Clientで[Deploy OVF Template]
をクリック
123
vSphere Web Clientでの作業Unified Access Gateway - デプロイ
仮想アプライアンスのデプロイ
仮想アプライアンスの名前、展開先のデータセンター、フォルダを選択し、
[Next]をクリック
展開先の ESXi ホストを選択し、[Next]をクリック
124
vSphere Web Clientでの作業Unified Access Gateway - デプロイ
仮想アプライアンスのデプロイ
[Next]をクリック
NICの枚数を選択し[Next]をクリック
125
vSphere Web Clientでの作業Unified Access Gateway - デプロイ
仮想アプライアンスのデプロイ
仮想ディスクのフォーマットを選択し[Next]をクリック
126
vSphere Web Clientでの作業Unified Access Gateway - デプロイ
仮想アプライアンスのデプロイ
各仮想NICの接続先のポートグループを選択し[Next]をクリック
127
vSphere Web Clientでの作業Unified Access Gateway - デプロイ
仮想アプライアンスのデプロイ
Global 側の仮想NIC へ設定するDNS, ゲートウェイ, Netmask を⼊⼒
128
vSphere Web Clientでの作業Unified Access Gateway - デプロイ
仮想アプライアンスのデプロイ
本書では NIC を3枚構成にしているNIC 1 : 外部インタフェースNIC 2 : 管理インタフェースNIC 3 : 内部インタフェースへ設定する IPアドレスを⼊⼒
129
vSphere Web Clientでの作業Unified Access Gateway - デプロイ
仮想アプライアンスのデプロイ
admin ユーザーのパスワードroot ユーザーのパスワード
をそれぞれ⼊⼒し[Next]をクリック
130
vSphere Web Clientでの作業Unified Access Gateway - デプロイ
仮想アプライアンスのデプロイ
設定を確認し[Finish]をクリック
131
vSphere Web Clientでの作業Unified Access Gateway - デプロイ
仮想アプライアンスのパワーオン仮想マシンの起動時に
注意マークで起動が完了しない場合[Summary]タブの[Answer Question]
をクリック
[OK]をクリック
132
Unified Access Gatewayコンソールでの作業Unified Access Gateway - デプロイ後の設定
仮想アプライアンスの設定
以下のURLへブラウザから接続https://{管理IP}:9443/admin
admin ユーザーへ設定したパスワードを⼊⼒し[Login]をクリック
133
Unified Access Gateway - デプロイ後の設定仮想アプライアンスの設定
Configure Manually の[Select]をクリック
Unified Access Gatewayコンソールでの作業
134
Unified Access Gateway - デプロイ後の設定仮想アプライアンスの設定
Edge Service Settingsの[Show]をクリック
Edge Service Settingsの[Per App Tunnel and Proxy Settings]をクリック
Unified Access Gatewayコンソールでの作業
135
Unified Access Gateway - デプロイ後の設定仮想アプライアンスの設定
AirWatch の API URLを⼊⼒本書は CN504 を利⽤する場合の例
AirWatch の 管理者の情報を⼊⼒
AirWatch の 組織グループ IDを⼊⼒
Unified Access Gateway へ外部からアクセス可能なFQDN を⼊⼒
AirWatch の情報を⼊⼒するわけではないので注意
[Save]をクリック
Unified Access Gatewayコンソールでの作業
136
Unified Access Gateway - 接続確認仮想アプライアンスの設定
AirWatch 管理コンソールで[接続のテスト]をクリック
AirWatchコンソールでの作業
137
Unified Access Gateway - 接続確認仮想アプライアンスの設定
テスト結果がOKであればUnified Access Gateway の設定は完了
AirWatch Tunnel for Linux - 接続確認と同様の⼿順で動作確認を⾏ってください
AirWatchコンソールでの作業
Appendix公的証明書のIISへのバインド
139
Appendix公的証明書のIISへのバインド
MMCを起動し、Certificate snap-inを追加する。
140
Appendix公的証明書のIISへのバインド
Personalフォルダにフルチェーンの公的証明書(PFX)をインポートする。
PFXファイルを指定
141
Appendix公的証明書のIISへのバインド
Personalフォルダにフルチェーンの公的証明書(PFX)をインポートする。
証明書のパスワードを⼊⼒
142
フルチェーンの証明書をインポートすると、サーバ証明書だけでなく中間証明書やルート証明書も共にインポートされます。フルチェーンになっていない場合はフルチェーンのものをご準備ください。
中間証明書とルート証明書は適切なフォルダへ移動してください。
Appendix公的証明書のIISへのバインド
中間証明書とルート証明書を移動する。
143
Appendix公的証明書のIISへのバインド
IISでポート443へバインドする場合の例。
MMCでインポートした証明書が表⽰される。
困ったときは
MyAirWatch• MyAirWatchにチュートリアルやマニュアルがございます
Ø https://my.air-watch.com/Ø 無料のIDを作成ください。
まずはユーザ登録!
ログイン後、マニュアルやガイドで操作を確認
⽇本語リソース• Documentation -> All Documentation に移動• ⾔語を「⽇本語」に変更すると、数多くの和訳ドキュメントも
利⽤可能です。
MyAirWatch
⽇本語KBMyAirWatch• プロファイルの⾔語を「⽇本語」に変更すると、⽇本語KBにもアクセ
スできるようになります。• myAirWatch -> My Profile に移動• EDIT PROFILE -> Language を「⽇本語」 に設定
⽇本語KB(続き)• Knowledge Base -> Knowledge Base Home に移動• 「⽇本語ナレッジベース」にアクセスすると、和訳KBが利⽤可能です。
MyAirWatch
「SUBSCRIBE」すると新たなKBが掲載されるたびにメールで通知を受けることができます。
順次和訳を進めておりますが、すべてのKBが和訳されているわけではありません。英語版も併せてご確認ください。
主なリソースAirWatch⽇本語ガイド• モバイルデバイス管理 (MDM) ガイド v9.0
https://resources.air-watch.com/view/kfwzyhjr35mdn9dzrb6m/ja
• モバイルアプリケーション管理 (MAM) ガイド v9.0https://resources.air-watch.com/view/g8pglf34v28zwvm5644r/ja
• モバイルコンテンツ管理 (MCM) ガイド v9.0https://resources.air-watch.com/view/ksnb7y64hnyb9zvjj8zd/ja
• モバイル Email 管理 (MEM) ガイド v9.0https://resources.air-watch.com/view/6d94kjfjcsb9467mj3fc/ja
本稿作成時点
主なリソース各プラットフォームガイド• iOS プラットフォームガイド v9.0
https://resources.air-watch.com/view/vptfw32z4bw592mzp8xf/ja
• Android プラットフォームガイド v9.0https://resources.air-watch.com/view/p3md9ccw8g5hsd25q24l/ja
• Windows デスクトップ プラットフォーム ガイド v9.0https://resources.air-watch.com/view/y9c5gnhmxnb93vlgpw2j/ja
本稿作成時点
主なリソースエンタープライズ統合• AirWatch クラウドコネクタ (ACC) ガイド v9.0
https://resources.air-watch.com/view/3stm7q7tbf6zbzw7n9mk/en
• セキュアEメールゲートウェイ (SEG) 管理ガイド v9.0https://resources.air-watch.com/view/9smbc6fvy5q629b72w5p/en
• AirWatch Tunnel for Linux インストールガイド v9.0https://resources.air-watch.com/view/2kss3rjp39wn8hh2rvsh/en
• AirWatch Tunnel for Windows インストールガイド v9.0https://resources.air-watch.com/view/zfr3ccqw3z9tygsm3k8b/en
• AirWatch Content Gateway for Linux インストールガイド v9.0https://resources.air-watch.com/view/n5gyv6swtwppwcfxy4rr/en
• AirWatch Content Gateway for Windows インストールガイド v9.0https://resources.air-watch.com/view/pz5v9zcn54p666mbshvs/en
本稿作成時点
フリートライアル中のお問い合わせ製品に関するご質問は、御社担当営業までお願いいたします。