Citrix Endpoint Management

VPNデバイスポリシー

VPNデバイスポリシーでは、VPN(Virtual Private Network:仮想プライベートネットワーク)の設定を構成し、ユーザーデバイスが社内リソースに安全に接続できるようにすることができます。次のプラットフォームでVPNデバイスポリシーを構成できます。プラットフォームごとに必要な値が異なります。これらの値について詳しくは、この記事で説明しています。

このポリシーを追加または構成するには、[構成]>[デバイスポリシー] の順に選択します。詳しくは、「デバイスポリシー」を参照してください。

Per-App VPNの要件

VPNポリシーを使用して、次のプラットフォームのPer-App VPN機能を構成します。

  • iOS
  • macOS
  • Android(従来のデバイス管理者)
  • Samsung SAFE
  • Samsung Knox

Android Enterpriseの場合、管理対象構成デバイスポリシーを使用して、VPNプロファイルを構成します。

Per-App VPNオプションは、特定の接続の種類で使用できます。次の表は、Per-App VPNオプションが利用できる条件を示しています。

プラットフォーム 接続の種類 注釈
iOS Cisco Legacy AnyConnect、Juniper SSL、F5 SSL、SonicWALL Mobile Connect、Ariba VIA、Citrix SSO、またはカスタムSSL。  
macOS Cisco AnyConnect、Juniper SSL、F5 SSL、SonicWALL Mobile Connect、Ariba VIA、またはカスタムSSL。  
Android(従来のデバイス管理者) Citrix SSO  
Samsung SAFE IPSEC、SSL VPNの種類を汎用に設定
Samsung Knox IPSEC、SSL VPNの種類を汎用に設定

Citrix SSOアプリを使用してiOSおよびAndroid(従来のデバイス管理者)デバイス用のPer-App VPNを作成するには、VPNポリシーの構成に加えて、追加の手順を実行する必要があります。また、次の前提条件が満たされていることを確認する必要があります:

  • オンプレミスのCitrix Gateway
  • 次のアプリケーションがデバイスにインストールされています:
    • Citrix SSO
    • Citrix Secure Hub

Citrix SSOアプリを使用して、iOSおよびAndroidデバイスのPer-App VPNを構成するための一般的なワークフローは次のとおりです:

  1. この記事の説明に従って、VPNデバイスポリシーを構成します。

  2. Per-App VPNからのトラフィックを受け入れるようにCitrix ADCを構成します。詳しくは、「Citrix Gatewayでの完全VPNのセットアップ」を参照してください。

iOSの設定

iOS用のVPNデバイスポリシーのCitrix VPN接続タイプは、iOS 12をサポートしていません。VPNデバイスポリシーを削除し、Citrix SSO接続の種類でVPNデバイスポリシーを作成するには、以下の手順に従います:

  1. iOSのVPNデバイスポリシーを削除します。
  2. 次の設定で、iOSのVPNデバイスポリシーを追加します:
    • 接続の種類: Citrix SSO
    • Per-App VPNを有効にする: オン
    • プロバイダーの種類: パケットトンネル
  3. iOSのアプリ属性デバイスポリシーを追加します。[Per-App VPN識別子]iOS_VPNを選択します。

デバイスポリシー構成画面

  • 接続名: 接続名を入力します。
  • 接続の種類: 一覧から、この接続において使用するプロトコルを選択します。デフォルトは [L2TP] です。
    • L2TP: レイヤー2トンネリングプロトコルと事前共有キー認証。
    • PPTP: Point-to-Pointトンネリング。
    • IPSec: 社内VPN接続
    • Cisco Legacy AnyConnect: この接続の種類では、従来のCisco AnyConnect VPNクライアントがユーザーデバイスにインストールされている必要があります。Ciscoは、廃止されたVPNフレームワークに基づいていた従来のCisco AnyConnectクライアントを段階的に廃止しています。

      現在のCisco AnyConnectクライアントを使用するには、接続の種類カスタムSSLを使用します。必要な設定については、このセクションの「カスタムSSLプロトコルの構成」を参照してください。

    • Juniper SSL: Juniper Networks SSL VPNクライアント
    • F5 SSL: F5 Networks SSL VPNクライアント
    • SonicWALL Mobile Connect: iOS用Dell統合VPNクライアント
    • Ariba VIA: Aruba Networks仮想インターネットアクセスクライアント
    • IKEv2(iOS only): iOS専用インターネットキー交換バージョン2
    • AlwaysOn IKEv2: IKEv2を使用した常時アクセス。
    • AlwaysOn IKEv2デュアル構成: IKEv2デュアル構成を使用した常時アクセス。
    • Citrix SSO: iOS 12以降のCitrix SSOクライアント。
    • カスタムSSL: カスタムSSL(Secure Socket Layer)この接続の種類は、バンドルIDがcom.cisco.anyconnectのCisco AnyConnectクライアントに必要です。Cisco AnyConnect接続名を指定します。また、VPNポリシーを展開して、iOSデバイス用のネットワークアクセス制御(NAC)フィルターを有効にすることもできます。このフィルターで、非準拠のアプリがインストールされているデバイスのVPN接続をブロックできます。この構成では、iOS VPNポリシーの特定の設定が必要です(下記のiOSセクションを参照)。NACフィルターを有効にするために必要なその他の設定の詳細については、「ネットワークアクセス制御」を参照してください。

次のセクションは、上記の接続の種類ごとに、構成オプションを示しています。

iOS向けL2TPプロトコルの設定

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • [パスワード認証] または [RSA SecurID認証] をクリックします。
  • 共有シークレット: IPsec共有シークレットキーを入力します。
  • すべてのトラフィックを送信: VPN経由ですべてのトラフィックを送信するかどうかを選択します。デフォルトは [オフ] です。

iOS向けPPTPプロトコルの設定

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • [パスワード認証] または [RSA SecurID認証] をクリックします。
  • 暗号化レベル: 一覧から、暗号化レベルを選択します。デフォルトは [なし] です。
    • なし: 暗号化を使用しません。
    • 自動: サーバーでサポートされている最も強力な暗号化レベルを使用します。
    • 最大(128ビット): 常に128ビットの暗号化を使用します。
  • すべてのトラフィックを送信: VPN経由ですべてのトラフィックを送信するかどうかを選択します。デフォルトは [オフ] です。

iOS向けIPsecプロトコルの構成

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • 接続の認証の種類: 一覧から、この接続の認証の種類として、[共有シークレット] または [証明書] を選択します。デフォルトは [共有シークレット] です。
  • [共有シークレット] を有効にした場合は、次の設定を構成します:
    • グループ名: 任意で、グループ名を入力します。
    • 共有シークレット: 任意で、共有シークレットキーを入力します。
    • ハイブリッド認証を使用: ハイブリッド認証を使用するかどうかを選択します。ハイブリッド認証では、まずサーバーがクライアントに対する認証を行い、次にクライアントがサーバーに対する認証を行います。デフォルトは [オフ] です。
    • パスワードの入力を要求: ネットワークへの接続時にユーザーにパスワードの入力を求めるかどうかを選択します。デフォルトは [オフ] です。
  • [証明書] を有効にした場合は、次の設定を構成します:
    • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
    • 接続時にPINを要求: ネットワークへの接続時にユーザーによるPINの入力を必須とするかどうかを選択します。デフォルトは [オフ] です。
    • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは [オフ] です。[オンデマンドにVPNを有効化][オン] であるときの設定の構成について詳しくは、「iOS向け[オンデマンドにVPNを有効化]オプションの構成」を参照してください。
  • Per-App VPNの有効化: アプリごとのVPNを有効にするかどうかを選択します。デフォルトは [オフ] です。
  • オンデマンドマッチアプリが有効: Per-App VPNサービスにリンクされているアプリがネットワーク通信を開始したときに、Per-App VPN接続が自動的にトリガーされるようにするかどうかを選択します。デフォルトは [オフ] です。
  • Safariドメイン:[追加] をクリックして、Safariドメイン名を追加します。

従来のiOS向けCisco AnyConnectプロトコルの構成

従来のCisco AnyConnectクライアントから新しいCisco AnyConnectクライアントに移行するには、カスタムSSLプロトコルを使用します。

  • プロバイダーのバンドル識別子: 従来のAnyConnectクライアントの場合、バンドルIDはcom.cisco.anyconnect.guiです。
  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • グループ: 任意で、グループ名を入力します。
  • 接続の認証の種類: 一覧で、この接続の認証の種類に [パスワード][証明書] のどちらを使用するかを選択します。デフォルトは [パスワード] です。
    • [パスワード] を有効にした場合は、[認証パスワード] フィールドに任意の認証パスワードを入力します。
    • [証明書] を有効にした場合は、次の設定を構成します:
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーにPINの入力を求めるかどうかを選択します。デフォルトは [オフ] です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは [オフ] です。[オンデマンドにVPNを有効化][オン] であるときの設定の構成について詳しくは、「iOS向け[オンデマンドにVPNを有効化]オプションの構成」を参照してください。
  • すべてのネットワークを含める: すべてのネットワークにこの接続の使用を許可するかを選択します。デフォルトは [オフ] です。
  • ローカルネットワークを除外する: ローカルネットワークを接続での使用から除外するか、ネットワークを許可するかを選択できます。デフォルトは [オフ] です。
  • Per-App VPNの有効化: アプリごとのVPNを有効にするかどうかを選択します。デフォルトは [オフ] です。このオプションを有効にした場合は、次の設定を構成します:
    • オンデマンドマッチアプリが有効: Per-App VPNサービスにリンクされているアプリがネットワーク通信を開始したときに、Per-App VPN接続が自動的にトリガーされるようにするかどうかを選択します。デフォルトは [オフ] です。
    • プロバイダーの種類: Per-App VPNが [アプリプロキシ] で提供されるか、[パケットトンネル] で提供されるかを選択します。デフォルトは [アプリプロキシ] です。
    • Safariドメイン: Per-App VPN接続をトリガーできる、追加するSafariドメインごとに、[追加] をクリックして以下の操作を行います:
      • ドメイン: 追加するドメインを入力します。
      • [保存] をクリックしてドメインを保存するか、[キャンセル] をクリックして操作を取り消します。

iOS向けJuniper SSLプロトコルの構成

  • プロバイダーのバンドル識別子: Per-App VPNプロファイルに同じ種類の複数のVPNプロバイダーがあるアプリのバンドル識別子が含まれている場合、使用するプロバイダーをこのフィールドで指定します。
  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • 領域: オプションの領域名を入力します。
  • 役割: オプションの役割名を入力します。
  • 接続の認証の種類: 一覧で、この接続の認証の種類に [パスワード][証明書] のどちらを使用するかを選択します。デフォルトは [パスワード] です。
    • [パスワード] を有効にした場合は、[認証パスワード] フィールドに任意の認証パスワードを入力します。
    • [証明書] を有効にした場合は、次の設定を構成します:
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーにPINの入力を求めるかどうかを選択します。デフォルトは [オフ] です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは [オフ] です。[オンデマンドにVPNを有効化][オン] であるときの設定の構成について詳しくは、「iOS向け[オンデマンドにVPNを有効化]オプションの構成」を参照してください。
  • Per-App VPNの有効化: アプリごとのVPNを有効にするかどうかを選択します。デフォルトは [オフ] です。このオプションを有効にした場合は、次の設定を構成します:
    • オンデマンドマッチアプリが有効: Per-App VPNサービスにリンクされているアプリがネットワーク通信を開始したときに、Per-App VPN接続が自動的にトリガーされるようにするかどうかを選択します。デフォルトは [オフ] です。
    • プロバイダーの種類: Per-App VPNが [アプリプロキシ] で提供されるか、[パケットトンネル] で提供されるかを選択します。デフォルトは [アプリプロキシ] です。
    • Safariドメイン: Per-App VPN接続をトリガーできる、追加するSafariドメインごとに、[追加] をクリックして以下の操作を行います:
      • ドメイン: 追加するドメインを入力します。
      • [保存] をクリックしてドメインを保存するか、[キャンセル] をクリックして操作を取り消します。

iOS向けF5 SSLプロトコルの構成

  • プロバイダーのバンドル識別子: Per-App VPNプロファイルに同じ種類の複数のVPNプロバイダーがあるアプリのバンドル識別子が含まれている場合、使用するプロバイダーをこのフィールドで指定します。
  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • 接続の認証の種類: 一覧で、この接続の認証の種類に [パスワード][証明書] のどちらを使用するかを選択します。デフォルトは [パスワード] です。
    • [パスワード] を有効にした場合は、[認証パスワード] フィールドに任意の認証パスワードを入力します。
    • [証明書] を有効にした場合は、次の設定を構成します:
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーにPINの入力を求めるかどうかを選択します。デフォルトは [オフ] です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは [オフ] です。[オンデマンドにVPNを有効化][オン] であるときの設定の構成について詳しくは、「iOS向け[オンデマンドにVPNを有効化]オプションの構成」を参照してください。
  • Per-App VPNの有効化: アプリごとのVPNを有効にするかどうかを選択します。デフォルトは [オフ] です。このオプションを有効にした場合は、次の設定を構成します:
    • オンデマンドマッチアプリが有効: Per-App VPNサービスにリンクされているアプリがネットワーク通信を開始したときに、Per-App VPN接続が自動的にトリガーされるようにするかどうかを選択します。
    • プロバイダーの種類: Per-App VPNが [アプリプロキシ] で提供されるか、[パケットトンネル] で提供されるかを選択します。デフォルトは [アプリプロキシ] です。
    • Safariドメイン: Per-App VPN接続をトリガーできる、追加するSafariドメインごとに、[追加] をクリックして以下の操作を行います:
      • ドメイン: 追加するドメインを入力します。
      • [保存] をクリックしてドメインを保存するか、[キャンセル] をクリックして操作を取り消します。

iOS向けSonicWALLプロトコルの構成

  • プロバイダーのバンドル識別子: Per-App VPNプロファイルに同じ種類の複数のVPNプロバイダーがあるアプリのバンドル識別子が含まれている場合、使用するプロバイダーをこのフィールドで指定します。
  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • ログオングループまたはドメイン: 任意で、ログオングループまたはドメインを入力します。
  • 接続の認証の種類: 一覧で、この接続の認証の種類に [パスワード][証明書] のどちらを使用するかを選択します。デフォルトは [パスワード] です。
    • [パスワード] を有効にした場合は、[認証パスワード] フィールドに任意の認証パスワードを入力します。
    • [証明書] を有効にした場合は、次の設定を構成します:
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーにPINの入力を求めるかどうかを選択します。デフォルトは [オフ] です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは [オフ] です。[オンデマンドにVPNを有効化][オン] であるときの設定の構成について詳しくは、「iOS向け[オンデマンドにVPNを有効化]オプションの構成」を参照してください。
  • Per-App VPNの有効化: アプリごとのVPNを有効にするかどうかを選択します。デフォルトは [オフ] です。このオプションを[オン]に設定した場合は、次の設定を構成します:
    • オンデマンドマッチアプリが有効: Per-App VPNサービスにリンクされているアプリがネットワーク通信を開始したときに、Per-App VPN接続が自動的にトリガーされるようにするかどうかを選択します。
    • プロバイダーの種類: Per-App VPNが [アプリプロキシ] で提供されるか、[パケットトンネル] で提供されるかを選択します。デフォルトは [アプリプロキシ] です。
    • Safariドメイン: Per-App VPN接続をトリガーできる、追加するSafariドメインごとに、[追加] をクリックして以下の操作を行います:
      • ドメイン: 追加するドメインを入力します。
      • [保存] をクリックしてドメインを保存するか、[キャンセル] をクリックして操作を取り消します。

iOS向けAriba VIAプロトコルの構成

  • プロバイダーのバンドル識別子: Per-App VPNプロファイルに同じ種類の複数のVPNプロバイダーがあるアプリのバンドル識別子が含まれている場合、使用するプロバイダーをこのフィールドで指定します。
  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • 接続の認証の種類: 一覧で、この接続の認証の種類に [パスワード][証明書] のどちらを使用するかを選択します。デフォルトは [パスワード] です。
    • [パスワード] を有効にした場合は、[認証パスワード] フィールドに任意の認証パスワードを入力します。
    • [証明書] を有効にした場合は、次の設定を構成します:
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーにPINの入力を求めるかどうかを選択します。デフォルトは [オフ] です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは [オフ] です。[オンデマンドにVPNを有効化][オン] であるときの設定の構成について詳しくは、「iOS向け[オンデマンドにVPNを有効化]オプションの構成」を参照してください。
  • Per-App VPNの有効化: アプリごとのVPNを有効にするかどうかを選択します。デフォルトは [オフ] です。このオプションを有効にした場合は、次の設定を構成します:
    • オンデマンドマッチアプリが有効: Per-App VPNサービスにリンクされているアプリがネットワーク通信を開始したときに、Per-App VPN接続が自動的にトリガーされるようにするかどうかを選択します。
    • Safariドメイン: Per-App VPN接続をトリガーできる、追加するSafariドメインごとに、[追加] をクリックして以下の操作を行います:
      • ドメイン: 追加するドメインを入力します。
      • [保存] をクリックしてドメインを保存するか、[キャンセル] をクリックして操作を取り消します。

iOS向けIKEv2プロトコルの構成

このセクションには、IKEv2、Always On IKEv2、Always On IKEv2のデュアル構成プロトコルで使用する設定が含まれます。Always On IKEv2デュアル構成プロトコルの場合は、携帯電話ネットワークとWi-Fiネットワークの両方でこれらの設定をすべて構成します。

  • 自動接続の無効化をユーザーに許可: Always Onプロトコルが対象です。デバイスでネットワークへの自動接続を無効にすることをユーザーに許可するかどうかを選択します。デフォルトは [オフ] です。

  • サーバーのホスト名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。

  • ローカル識別子: IKEv2クライアントのFQDNまたはIPアドレスを入力します。このフィールドは必須です。

  • リモート識別子: VPNサーバーのFQDNまたはIPアドレスを入力します。このフィールドは必須です。

  • デバイス認証: この接続の認証の種類として、[共有シークレット][証明書] または [デバイス識別子ベースのデバイス証明書] を選択します。デフォルトは [共有シークレット] です。

    • 共有シークレット: 任意で、共有シークレットキーを入力します。

    • [証明書] を選択した場合は、[ID資格情報] の使用を選択します。デフォルトは [なし] です。

    • [デバイス識別子ベースのデバイス証明書] を選択した場合は、[デバイスIDの種類]を選択します。デフォルトは [IMEI] です。このオプションを使用するには、REST APIを使用して証明書を一括インポートします。「REST APIを使用した証明書の一括アップロード」を参照してください。[Always On IKEv2] を選択した場合にのみ使用できます。

  • 拡張認証が有効: 拡張認証プロトコル(EAP)を有効にするかどうかを選択します。[オン] にした場合は、ユーザーアカウント認証パスワードを入力します。

  • 停止ピア検出間隔: ピアデバイスが到達可能であるかを確認するための問い合わせ頻度を選択します。デフォルトは [なし] です。次のオプションがあります:

    • なし: 使用不能なピアの検出を無効にします。

    • 低: 30分ごとにピアに問い合わせます。

    • 中: 10分ごとにピアに問い合わせます。

    • 高: 1分ごとにピアに問い合わせます。

  • モビリティおよびマルチホーミングを無効化: この機能を無効にするかどうかを選択します。

  • IPv4/IPv6内部サブネット属性の使用: この機能を有効にするかどうかを選択します。

  • リダイレクトを無効化: リダイレクトを無効にするかどうかを選択します。

  • フォールバックを有効にする: この設定を有効にすると、Wi-Fiアシストの対象でVPNが必要なトラフィックを携帯データネットワーク経由のトンネルで伝送できます。デフォルトは [オフ] です。

  • デバイスのスリープ中NATキープアライブを有効化: Always Onプロトコルが対象です。キープアライブパケットはIKEv2接続のNATマッピングを維持するために使用されます。このパケットは、デバイスがオンになっているとチップによって定期的な間隔で送信されます。設定を[オン]にすると、デバイスがスリープ中でもキープアライブパケットはチップで送信されます。デフォルト間隔は、Wi-Fi経由で20秒、携帯経由で110秒です。この間隔は、NATキープアライブ間隔のパラメーターを使用して変更できます。

  • NATキープアライブ間隔(秒): デフォルトでは20秒です。

  • Perfect Forward Secrecyを有効化: この機能を有効にするかどうかを選択します。

  • DNSサーバーのIPアドレス: オプション。DNSサーバーのIPアドレス文字列の一覧です。これらのIPアドレスには、IPv4アドレスとIPv6アドレスを混在させることができます。[追加] をクリックしてアドレスを入力します。

  • ドメイン名: オプション。トンネルのプライマリドメインです。

  • 検索ドメイン: オプション。単一ラベルホスト名の完全修飾に使用されるドメインの一覧です。

  • 補足マッチドメインをリゾルバー一覧に追加する: オプション。補足マッチドメイン一覧を、リゾルバーの検索ドメイン一覧に追加するかどうかを決定します。デフォルトは [オン] です。

  • 補足マッチドメイン: オプション。どのDNSクエリがDNSサーバーアドレスに含まれるDNSリゾルバー設定を使用するかを判別するドメイン文字列の一覧です。このキーは、特定のドメインのホストのみがトンネルのDNSリゾルバーを使用して解決される、分割DNS設定を作成するために使用されます。この一覧のドメインにないホストは、システムのデフォルトのリゾルバーを使用して解決されます。

このパラメーターに空の文字列が含まれる場合は、この文字列がデフォルトのドメインです。これにより、分割トンネルの設定によって、すべてのDNSクエリをプライマリDNSサーバーの前にまずVPN DNSサーバーに振り分けることができます。VPNトンネルがネットワークのデフォルトルートである場合、一覧に追加されたDNSサーバーはデフォルトのリゾルバーになります。この場合、補足マッチドメインの一覧は無視されます。

  • IKE SAパラメーターおよび 子SAパラメーター: Security Association(SA)パラメーターオプションごとに、次の設定を構成します:

    • 暗号化アルゴリズム: 一覧から、使用するIKE暗号化アルゴリズムを選択します。デフォルトは3DESです。

    • 整合性アルゴリズム: 一覧から、使用する整合性アルゴリズムを選択します。デフォルトはSHA-256です。

    • Diffie Hellmanグループ: 一覧から、Diffie Hellmanグループ番号を選択します。デフォルトは2です。

    • ike有効期間(分): SAの有効期間(キー更新間隔)を表す10~1440の整数を入力します。デフォルトは1440分です。

  • サービスの例外: Always Onプロトコルが対象です。サービスの例外とは、Always On VPNから除外されたシステムサービスです。次のサービス例外設定を構成します

    • ボイスメール: 一覧から、ボイスメールの例外を処理する方法を選択します。デフォルトは [トンネル経由のトラフィックを許可] です。

    • AirPrint: 一覧から、AirPrintの例外を処理する方法を選択します。デフォルトは [トンネル経由のトラフィックを許可] です。

    • VPNトンネル外のキャプティブWebシートからのトラフィックを許可: ユーザーがVPNトンネルの外側にある公衆ホットスポットに接続するのを許可するかどうかを選択します。デフォルトは [オフ] です。

    • VPNトンネル外のすべてのキャプティブネットワークアプリからのトラフィックを許可: VPNトンネルの外側にあるすべてのホットスポットネットワーキングアプリを許可するかどうかを選択します。デフォルトは [オフ] です。

    • キャプティブネットワークアプリのバンドルID: ユーザーによるアクセスが許可されているホットスポットネットワーキングのアプリバンドルIDごとに、[追加] をクリックしてホットスポットネットワーキングのアプリバンドルIDを入力します。[保存] をクリックしてアプリバンドルIDを保存します。

  • Per-app VPN: 次の設定をIKEv2の接続の種類用に構成します。

    • Per-App VPNの有効化: アプリごとのVPNを有効にするかどうかを選択します。デフォルトは [オフ] です。
    • オンデマンドマッチアプリが有効: Per-App VPNサービスにリンクされているアプリがネットワーク通信を開始したときに、Per-App VPN接続が自動的にトリガーされるようにするかどうかを選択します。デフォルトは [オフ] です。
    • Safariドメイン:[追加] をクリックして、Safariドメイン名を追加します。
  • プロキシ構成: プロキシサーバー経由でのVPN接続のルーティング方法を選択します。デフォルトは [なし] です。

iOS向けCitrix SSOプロトコルの構成

Citrix SSOクライアントは、Apple Storeで入手することができます。

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • 接続の認証の種類: 一覧で、この接続の認証の種類に [パスワード][証明書] のどちらを使用するかを選択します。デフォルトは [パスワード] です。
    • [パスワード] を有効にした場合は、[認証パスワード] フィールドに任意の認証パスワードを入力します。
    • [証明書] を有効にした場合は、次の設定を構成します:
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーにPINの入力を求めるかどうかを選択します。デフォルトは [オフ] です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは [オフ] です。[オンデマンドにVPNを有効化][オン] であるときの設定の構成について詳しくは、「iOS向け[オンデマンドにVPNを有効化]オプションの構成」を参照してください。
  • Per-App VPNの有効化: アプリごとのVPNを有効にするかどうかを選択します。デフォルトは [オフ] です。このオプションを[オン]に設定した場合は、次の設定を構成します:
    • オンデマンドマッチアプリが有効: Per-App VPNサービスにリンクされているアプリがネットワーク通信を開始したときに、Per-App VPN接続が自動的にトリガーされるようにするかどうかを選択します。
    • プロバイダーの種類: Per-App VPNが [アプリプロキシ] で提供されるか、[パケットトンネル] で提供されるかを選択します。デフォルトは [アプリプロキシ] です。
    • プロバイダーの種類: [パケットトンネル] に設定します。
    • Safariドメイン: Per-App VPN接続をトリガーできる、追加するSafariドメインごとに、[追加] をクリックして以下の操作を行います:
      • ドメイン: 追加するドメインを入力します。
      • [保存] をクリックしてドメインを保存するか、[キャンセル] をクリックして操作を取り消します。
  • カスタムXML: 追加するカスタムXMLパラメーターごとに、[追加] をクリックしてキーと値のペアを指定します。使用できるパラメーターは次のとおりです:
    • disableL3: システムレベルのVPNを無効化します。アプリごとのVPNのみ許容します。は不要です。
    • user agent: このデバイスポリシーに、VPNプラグインクライアントを対象とする任意のCitrix Gatewayポリシーを関連付けます。このキーのは、プラグインによって開始される要求に対応して、VPNプラグインに自動的に追加されます。

iOS向けカスタムSSLプロトコルの構成

従来のCisco AnyConnectクライアントからCisco AnyConnectクライアントに移行するには:

  1. カスタムSSLプロトコルを使用してVPNデバイスポリシーを構成します。iOSデバイスにポリシーを展開します。
  2. Cisco AnyConnectクライアントをhttps://apps.apple.com/us/app/cisco-anyconnect/id1135064690からアップロードし、このアプリをEndpoint Managementに追加してからiOSデバイスに展開します。
  3. iOSデバイスから古いVPNデバイスポリシーを削除します。

設定:

  • カスタムSSL識別子(リバースDNS形式): バンドルIDに設定します。Cisco AnyConnectクライアントの場合は、com.cisco.anyconnectを使用します。
  • プロバイダーのバンドル識別子: [カスタムSSL識別子] で指定したアプリに同じ種類(アプリプロキシまたはパケットトンネル)のVPNプロバイダーが複数設定されている場合、このバンドルIDを指定します。Cisco AnyConnectクライアントの場合は、com.cisco.anyconnectを使用します。
  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • 接続の認証の種類: 一覧で、この接続の認証の種類に [パスワード][証明書] のどちらを使用するかを選択します。デフォルトは [パスワード] です。
    • [パスワード] を有効にした場合は、[認証パスワード] フィールドに任意の認証パスワードを入力します。
    • [証明書] を有効にした場合は、次の設定を構成します:
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーにPINの入力を求めるかどうかを選択します。デフォルトは [オフ] です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは [オフ] です。[オンデマンドにVPNを有効化][オン] であるときの設定の構成について詳しくは、「iOS向け[オンデマンドにVPNを有効化]オプションの構成」を参照してください。
  • すべてのネットワークを含める: すべてのネットワークにこの接続の使用を許可するかを選択します。デフォルトは [オフ] です。
  • ローカルネットワークを除外する: ローカルネットワークを接続での使用から除外するか、ネットワークを許可するかを選択できます。デフォルトは [オフ] です。
  • Per-App VPNの有効化: アプリごとのVPNを有効にするかどうかを選択します。デフォルトは [オフ] です。このオプションを[オン]に設定した場合は、次の設定を構成します:
    • オンデマンドマッチアプリが有効: Per-App VPNサービスにリンクされているアプリがネットワーク通信を開始したときに、Per-App VPN接続が自動的にトリガーされるようにするかどうかを選択します。
    • プロバイダーの種類: プロバイダーの種類では、プロバイダーがVPNサービスとプロキシサービスのどちらであるかを指定します。VPNサービスの場合は [パケットトンネル] を選択します。プロキシサービスの場合は [アプリプロキシ] を選択します。Cisco AnyConnectクライアントの場合は、[パケットトンネル] を選択します。
    • Safariドメイン: Per-App VPN接続をトリガーできる、追加するSafariドメインごとに、[追加] をクリックして以下の操作を行います:
      • ドメイン: 追加するドメインを入力します。
      • [保存] をクリックしてドメインを保存するか、[キャンセル] をクリックして操作を取り消します。
  • カスタムXML: 追加するカスタムXMLパラメーターごとに、[追加] をクリックして以下の操作を行います。
    • パラメーター名: 追加するパラメーターの名前を入力します。
    • 値: [パラメーター名] に関連付ける値を入力します。
    • [保存] をクリックしてパラメーターを保存するか、[キャンセル] をクリックして操作を取り消します。

NACをサポートするようにVPNデバイスポリシーを構成する

  1. NACフィルターを設定するには、カスタムSSL接続の種類が必要です。
  2. VPN[接続名] を指定します。
  3. [カスタムSSL識別子]に、「com.citrix.NetScalerGateway.ios.app」と入力します。
  4. [プロバイダーのバンドル識別子] に、「com.citrix.NetScalerGateway.ios.app.vpnplugin」と入力します。

手順3と手順4の値は、NACのフィルタリングに必要なCitrix SSOインストールの値です。認証パスワードは設定しないでください。NAC機能の使用の詳細については、「ネットワークアクセス制御」を参照してください。

iOS向け[オンデマンドにVPNを有効化]オプションの構成

  • オンデマンドドメイン: ドメインごと、およびユーザーがドメインに接続したときに実行される関連アクションごとに、[追加] をクリックして以下の操作を行います:
  • ドメイン: 追加するドメインを入力します。
  • アクション: 一覧から、提供されているアクションのいずれかを選択します:
    • 常に確立: ドメインは常にVPN接続をトリガーします。
    • 確立しない: ドメインはVPN接続をトリガーしません。
    • 必要な場合確立: ドメイン名解決に失敗した場合、ドメインはVPN接続試行をトリガーします。ドメイン名解決に失敗するのは、DNSサーバーがドメインを解決できない、別のサーバーにリダイレクトする、またはタイムアウトした場合です。
    • [保存] をクリックしてドメインを保存するか、[キャンセル] をクリックして操作を取り消します。
  • オンデマンドルール
    • アクション: 一覧から、実行するアクションを選択します。デフォルトは [EvaluateConnection] です。選択できるアクションは以下のとおりです:
      • 許可: トリガーされたときにVPNオンデマンドで接続できるようにします。
      • 接続: 無条件でVPN接続を開始します。
      • 切断: VPN接続を解除し、規則と一致しない限りオンデマンドの再接続を行いません。
      • EvaluateConnection: 接続ごとに、ActionParameters配列を評価します。
      • 無視: 既存のVPN接続を動作中のままにします。ただし、規則と一致しない限りオンデマンドの再接続を行いません。
    • DNSDomainMatch: デバイスの検索ドメイン一覧と一致する可能性のある、追加するドメインごとに、[追加] をクリックして以下の操作を行います:
      • DNSドメイン: ドメイン名を入力します。ワイルドカード文字「*」をプレフィックスに使用すると、複数のドメインと一致させることができます。たとえば、*.example.comは、mydomain.example.com、yourdomain.example.com、herdomain.example.comと一致します。
      • [保存] をクリックしてドメインを保存するか、[キャンセル] をクリックして操作を取り消します。
    • DNSServerAddressMatch: ネットワークの指定されたDNSサーバーと一致する可能性のある、追加するIPアドレスごとに、[追加] をクリックして以下の操作を行います。
      • DNSサーバーアドレス: 追加するDNSサーバーアドレスを入力します。ワイルドカード文字「*」をサフィックスに使用すると、複数のDNSサーバーと一致させることができます。たとえば、17.*はクラスAサブネットのすべてのDNSサーバーと一致します。
      • [保存] をクリックしてDNSサーバーアドレスを保存するか、[キャンセル] をクリックして操作を取り消します。
    • InterfaceTypeMatch: 一覧から、使用中のプライマリネットワークインターフェイスハードウェアの種類を選択します。デフォルトは [未指定] です。使用できる値は以下のとおりです:
      • 未指定: あらゆるネットワークインターフェイスハードウェアと一致します。このオプションがデフォルトです。
      • イーサネット: イーサネットネットワークインターフェイスハードウェアのみと一致します。
      • Wi-Fi: Wi-Fiネットワークインターフェイスハードウェアのみと一致します。
      • 携帯ネットワーク: 携帯ネットワークインターフェイスハードウェアのみと一致します。
    • SSIDMatch: 現在のネットワークと照合する、追加するSSIDごとに、[追加] をクリックして以下の操作を行います。
      • SSID: 追加するSSIDを入力します。ネットワークがWi-Fiネットワークでない場合、またはSSIDが表示されない場合は照合できません。すべてのSSIDと一致させるには、この一覧を空白のままにします。
      • [保存] をクリックしてSSIDを保存するか、[キャンセル] をクリックして操作を取り消します。
    • URLStringProbe: フェッチするURLを入力します。このURLがリダイレクトされず正常にフェッチされた場合は、この規則に一致しています。
    • ActionParameters:Domains: EvaluateConnectionのチェック対象となる、追加するドメインごとに、[追加] をクリックして以下の操作を実行します:
      • ドメイン: 追加するドメインを入力します。
      • [保存] をクリックしてドメインを保存するか、[キャンセル] をクリックして操作を取り消します。
    • ActionParameters : DomainAction: 一覧から、ActionParameters : Domains で指定したドメインに対するVPNの動作を選択します。デフォルトは [ConnectIfNeeded] です。選択できるアクションは以下のとおりです:
      • ConnectIfNeeded: ドメイン名解決に失敗した場合、ドメインはVPN接続試行をトリガーします。ドメイン名解決に失敗するのは、DNSサーバーがドメインを解決できない、別のサーバーにリダイレクトする、またはタイムアウトした場合です。
      • NeverConnect: ドメインはVPN接続をトリガーしません。
    • Action Parameters:RequiredDNSServers:指定したドメインの解決に使用するDNSサーバーごとに、[追加] をクリックして以下の操作を行います:
      • DNSサーバー: ActionParameters :DomainActionConnectIfNeededの場合にのみ有効です。DNSサーバーのIPアドレスを入力します。このサーバーは、デバイスの現在のネットワーク構成外に配置できます。このDNSサーバーに到達できない場合、対応としてVPN接続が確立されます。このDNSサーバーが、内部DNSサーバーまたは信頼できる外部DNSサーバーであることを確認します。
      • [保存] をクリックしてDNSサーバーを保存するか、[キャンセル] をクリックして操作を取り消します。
    • ActionParameters : RequiredURLStringProbe: 任意で、プローブするHTTPまたはHTTPS(推奨)のURLを、GETリクエストを使用して入力します。URLのホスト名を解決できない場合、サーバーに到達できない場合、またはサーバーが応答しない場合、対応としてVPN接続が確立されます。ActionParameters : DomainActionConnectIfNeededの場合にのみ有効です。
    • OnDemandRules : XML content:XML構成オンデマンド規則を入力するか、コピーして貼り付けます。
      • [ディクショナリをチェック] をクリックし、XMLコードを検証します。XMLが有効な場合は、[XMLコンテンツ] テキストボックスの下に「有効なXML」と表示されます。有効でない場合は、エラーを説明するエラーメッセージが表示されます。
  • プロキシ
    • プロキシ構成: 一覧から、VPN接続のプロキシサーバーのルーティング方法を選択します。デフォルトは [なし] です。
      • [手動] を有効にした場合は、次の設定を構成します:
        • プロキシサーバーのホスト名またはIPアドレス: プロキシサーバーのホスト名またはIPアドレスを入力します。このフィールドは必須です。
        • プロキシサーバーのポート: プロキシサーバーのポート番号を入力します。このフィールドは必須です。
        • ユーザー名: 任意で、プロキシサーバーのユーザー名を入力します。
        • パスワード: 任意で、プロキシサーバーのパスワードを入力します。
      • [自動] を選択した場合は、次の設定を構成します:
        • プロキシサーバーURL: プロキシサーバーのURLを入力します。このフィールドは必須です。
  • ポリシー設定
    • ポリシーの削除: ポリシーの削除をスケジュール設定する方法を選択します。利用可能なオプションは、[日付を選択][削除までの期間(時間)を指定] です。
      • 日付を選択: カレンダーをクリックして削除を実行する特定の日付を選択します。
      • 削除までの期間(時間)を指定: ポリシーが削除されるまでの時間単位の数値を入力します。iOS 6.0以降でのみ使用できます。

Per-App VPNの構成

iOS向けのPer-App VPNオプションは、Cisco Legacy AnyConnect、Juniper SSL、F5 SSL、SonicWALL Mobile Connect、Ariba VIA、Citrix SSO、およびカスタムSSLの接続の種類で使用できます。

Per-App VPNを構成するには次の手順に従います。

  1. [構成]>[デバイスポリシー] で、VPNポリシーを作成します。次に例を示します:

    デバイスポリシー構成画面

    デバイスポリシー構成画面

  2. [構成]>[デバイスポリシー] でアプリ属性ポリシーを作成し、アプリをこのPer-App VPNポリシーに関連付けます。[Per-app VPN識別子] では、手順1で作成したVPNポリシーの名前を選択します。[管理対象アプリのバンドルID] は、アプリ一覧から選択するか、アプリバンドルIDを入力します(iOSアプリインベントリポリシーを展開している場合は、アプリ一覧にアプリが含まれます)。

    デバイスポリシー構成画面

macOS設定

デバイスポリシー構成画面

  • 接続名: 接続名を入力します。
  • 接続の種類: 一覧から、この接続において使用するプロトコルを選択します。デフォルトは [L2TP] です。
    • L2TP: レイヤー2トンネリングプロトコルと事前共有キー認証。
    • PPTP: Point-to-Pointトンネリング。
    • IPSec: 社内VPN接続
    • Cisco AnyConnect: Cisco AnyConnect VPNクライアント
    • Juniper SSL: Juniper Networks SSL VPNクライアント
    • F5 SSL: F5 Networks SSL VPNクライアント
    • SonicWALL Mobile Connect: iOS用Dell統合VPNクライアント
    • Ariba VIA: Aruba Networks仮想インターネットアクセスクライアント
    • Citrix VPN: Citrix VPNクライアント
    • カスタムSSL: カスタムSSL(Secure Socket Layer)

次のセクションは、上記の接続の種類ごとに、構成オプションを示しています。

macOS向けL2TPプロトコルの設定

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • [パスワード認証][RSA SecurID認証][Kerberos認証][CryptoCard認証] のいずれかを選択します。デフォルトは [パスワード認証] です。
  • 共有シークレット: IPsec共有シークレットキーを入力します。
  • すべてのトラフィックを送信: VPN経由ですべてのトラフィックを送信するかどうかを選択します。デフォルトは [オフ] です。

macOS向けPPTPプロトコルの設定

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • [パスワード認証][RSA SecurID認証][Kerberos認証][CryptoCard認証] のいずれかを選択します。デフォルトは [パスワード認証] です。
  • 暗号化レベル: 必要な暗号化レベルを選択します。デフォルトは [なし] です。
    • なし: 暗号化を使用しません。
    • 自動: サーバーでサポートされている最も強力な暗号化レベルを使用します。
    • 最大(128ビット):常に128ビットの暗号化を使用します。
  • すべてのトラフィックを送信: VPN経由ですべてのトラフィックを送信するかどうかを選択します。デフォルトは [オフ] です。

macOS向けIPsecプロトコルの構成

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • 接続の認証の種類: 一覧から、この接続の認証の種類として、[共有シークレット] または [証明書] を選択します。デフォルトは [共有シークレット] です。
    • [共有シークレット] 認証を有効にした場合は、次の設定を構成します。
      • グループ名: 任意で、グループ名を入力します。
      • 共有シークレット: 任意で、共有シークレットキーを入力します。
      • ハイブリッド認証を使用: ハイブリッド認証を使用するかどうかを選択します。ハイブリッド認証では、まずサーバーがクライアントに対する認証を行い、次にクライアントがサーバーに対する認証を行います。デフォルトは [オフ] です。
      • パスワードの入力を要求: ネットワークへの接続時にユーザーにパスワードの入力を求めるかどうかを選択します。デフォルトは [オフ] です。
    • [証明書] 認証を有効にした場合は、次の設定を構成します。
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーによるPINの入力を必須とするかどうかを選択します。デフォルトは [オフ] です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは [オフ] です。[オンデマンドにVPNを有効化][オン] であるときの設定の構成について詳しくは、「[オンデマンドにVPNを有効化]オプションの構成」を参照してください。

macOS向けCisco AnyConnectプロトコルの構成

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • グループ: 任意で、グループ名を入力します。
  • 接続の認証の種類: 一覧で、この接続の認証の種類に [パスワード][証明書] のどちらを使用するかを選択します。デフォルトは [パスワード] です。
    • [パスワード] を有効にした場合は、[認証パスワード] フィールドに任意の認証パスワードを入力します。
    • [証明書] を有効にした場合は、次の設定を構成します:
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーにPINの入力を求めるかどうかを選択します。デフォルトは [オフ] です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは [オフ] です。[オンデマンドにVPNを有効化][オン] であるときの設定の構成について詳しくは、「[オンデマンドにVPNを有効化]オプションの構成」を参照してください。
    • Per-App VPNの有効化: アプリごとのVPNを有効にするかどうかを選択します。デフォルトは [オフ] です。このオプションを有効にした場合は、次の設定を構成します:
      • プロバイダーのバンドル識別子: Per-App VPNプロファイルに同じ種類の複数のVPNプロバイダーがあるアプリのバンドル識別子が含まれている場合、使用するプロバイダーをこのフィールドで指定します。デフォルトは [オフ] です。
      • Safariドメイン: Per-App VPN接続をトリガーできる、追加するSafariドメインごとに、[追加] をクリックして以下の操作を行います:
        • ドメイン: 追加するドメインを入力します。
        • [保存] をクリックしてドメインを保存するか、[キャンセル] をクリックして操作を取り消します。

macOS向けJuniper SSLプロトコルの構成

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • 領域: オプションの領域名を入力します。
  • 役割: オプションの役割名を入力します。
  • 接続の認証の種類: 一覧で、この接続の認証の種類に [パスワード][証明書] のどちらを使用するかを選択します。デフォルトは [パスワード] です。
    • [パスワード] を有効にした場合は、[認証パスワード] フィールドに任意の認証パスワードを入力します。
    • [証明書] を有効にした場合は、次の設定を構成します:
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーにPINの入力を求めるかどうかを選択します。デフォルトは [オフ] です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは [オフ] です。[オンデマンドにVPNを有効化][オン] であるときの設定の構成について詳しくは、「[オンデマンドにVPNを有効化]オプションの構成」を参照してください。
  • Per-App VPNの有効化: アプリごとのVPNを有効にするかどうかを選択します。デフォルトは [オフ] です。このオプションを有効にした場合は、次の設定を構成します。
    • プロバイダーのバンドル識別子: Per-App VPNプロファイルに同じ種類の複数のVPNプロバイダーがあるアプリのバンドル識別子が含まれている場合、使用するプロバイダーをこのフィールドで指定します。デフォルトは [オフ] です。
    • Safariドメイン: Per-App VPN接続をトリガーできる、追加するSafariドメインごとに、[追加] をクリックして以下の操作を行います:
      • ドメイン: 追加するドメインを入力します。
      • [保存] をクリックしてドメインを保存するか、[キャンセル] をクリックして操作を取り消します。

macOS向けF5 SSLプロトコルの構成

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • 接続の認証の種類: 一覧で、この接続の認証の種類に [パスワード][証明書] のどちらを使用するかを選択します。デフォルトは [パスワード] です。
    • [パスワード] を有効にした場合は、[認証パスワード] フィールドに任意の認証パスワードを入力します。
    • [証明書] を有効にした場合は、次の設定を構成します:
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーにPINの入力を求めるかどうかを選択します。デフォルトは [オフ] です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは [オフ] です。[オンデマンドにVPNを有効化][オン] であるときの設定の構成について詳しくは、「[オンデマンドにVPNを有効化]オプションの構成」を参照してください。
  • Per-App VPNの有効化: アプリごとのVPNを有効にするかどうかを選択します。デフォルトは [オフ] です。このオプションを有効にした場合は、次の設定を構成します:
    • プロバイダーのバンドル識別子: Per-App VPNプロファイルに同じ種類の複数のVPNプロバイダーがあるアプリのバンドル識別子が含まれている場合、使用するプロバイダーをこのフィールドで指定します。デフォルトは [オフ] です。
    • Safariドメイン: Per-App VPN接続をトリガーできる、追加するSafariドメインごとに、[追加] をクリックして以下の操作を行います:
      • ドメイン: 追加するドメインを入力します。
      • [保存] をクリックしてドメインを保存するか、[キャンセル] をクリックして操作を取り消します。

macOS向けSonicWALL Mobile Connectプロトコルの構成

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • ログオングループまたはドメイン: 任意で、ログオングループまたはドメインを入力します。
  • 接続の認証の種類: 一覧で、この接続の認証の種類に [パスワード][証明書] のどちらを使用するかを選択します。デフォルトは [パスワード] です。
    • [パスワード] を有効にした場合は、[認証パスワード] フィールドに任意の認証パスワードを入力します。
    • [証明書] を有効にした場合は、次の設定を構成します:
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーにPINの入力を求めるかどうかを選択します。デフォルトは [オフ] です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは [オフ] です。[オンデマンドにVPNを有効化][オン] であるときの設定の構成について詳しくは、「[オンデマンドにVPNを有効化]オプションの構成」を参照してください。
  • Per-App VPNの有効化: アプリごとのVPNを有効にするかどうかを選択します。デフォルトは [オフ] です。このオプションを有効にした場合は、次の設定を構成します:
    • プロバイダーのバンドル識別子: Per-App VPNプロファイルに同じ種類の複数のVPNプロバイダーがあるアプリのバンドル識別子が含まれている場合、使用するプロバイダーをこのフィールドで指定します。デフォルトは [オフ] です。
    • Safariドメイン: Per-App VPN接続をトリガーできる、追加するSafariドメインごとに、[追加] をクリックして以下の操作を行います:
      • ドメイン: 追加するドメインを入力します。
      • [保存] をクリックしてドメインを保存するか、[キャンセル] をクリックして操作を取り消します。

macOS向けAriba VIAプロトコルの構成

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • 接続の認証の種類: 一覧で、この接続の認証の種類に [パスワード][証明書] のどちらを使用するかを選択します。デフォルトは [パスワード] です。
    • [パスワード] を有効にした場合は、[認証パスワード] フィールドに任意の認証パスワードを入力します。
    • [証明書] を有効にした場合は、次の設定を構成します:
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーにPINの入力を求めるかどうかを選択します。デフォルトは [オフ] です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは [オフ] です。[オンデマンドにVPNを有効化][オン] であるときの設定の構成について詳しくは、「[オンデマンドにVPNを有効化]オプションの構成」を参照してください。
  • Per-App VPNの有効化: アプリごとのVPNを有効にするかどうかを選択します。デフォルトは [オフ] です。このオプションを有効にした場合は、次の設定を構成します:
    • プロバイダーのバンドル識別子: Per-App VPNプロファイルに同じ種類の複数のVPNプロバイダーがあるアプリのバンドル識別子が含まれている場合、使用するプロバイダーをこのフィールドで指定します。デフォルトは [オフ] です。
    • Safariドメイン: Per-App VPN接続をトリガーできる、追加するSafariドメインごとに、[追加] をクリックして以下の操作を行います:
      • ドメイン: 追加するドメインを入力します。
      • [保存] をクリックしてドメインを保存するか、[キャンセル] をクリックして操作を取り消します。

macOS向けカスタムSSLプロトコルの構成

  • カスタムSSL識別子(リバースDNS形式): SSL識別子を逆引きDNS形式で入力します。このフィールドは必須です。
  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。このフィールドは必須です。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
    • 接続の認証の種類: 一覧で、この接続の認証の種類に [パスワード][証明書] のどちらを使用するかを選択します。デフォルトは [パスワード] です。
    • [パスワード] を有効にした場合は、[認証パスワード] フィールドに任意の認証パスワードを入力します。
    • [証明書] を有効にした場合は、次の設定を構成します:
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーにPINの入力を求めるかどうかを選択します。デフォルトは [オフ] です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは [オフ] です。[オンデマンドにVPNを有効化][オン] であるときの設定の構成について詳しくは、「[オンデマンドにVPNを有効化]オプションの構成」を参照してください。
    • Per-app VPN: アプリごとのVPNを有効にするかどうかを選択します。デフォルトは [オフ] です。このオプションを有効にした場合は、次の設定を構成します:
      • オンデマンドマッチアプリが有効: Per-App VPNサービスにリンクされているアプリがネットワーク通信を開始したときに、Per-App VPN接続が自動的にトリガーされるようにするかどうかを選択します。
      • Safariドメイン: Per-App VPN接続をトリガーできる、追加するSafariドメインごとに、[追加] をクリックして以下の操作を行います:
        • ドメイン: 追加するドメインを入力します。
        • [保存] をクリックしてドメインを保存するか、[キャンセル] をクリックして操作を取り消します。
  • カスタムXML: 追加するカスタムXMLパラメーターごとに、[追加] をクリックして以下の操作を行います。
    • パラメーター名: 追加するパラメーターの名前を入力します。
    • 値:[パラメーター名] に関連付ける値を入力します。
    • [保存] をクリックしてドメインを保存するか、[キャンセル] をクリックして操作を取り消します。

[オンデマンドにVPNを有効化]オプションの構成

  • オンデマンドドメイン: 追加するドメインおよびユーザーがドメインに接続したときに実行される関連アクションごとに、[追加] をクリックして以下の操作を行います:
    • ドメイン: 追加するドメインを入力します。
    • アクション: 一覧から、提供されているアクションのいずれかを選択します:
      • 常に確立: ドメインは常にVPN接続をトリガーします。
      • 確立しない: ドメインはVPN接続をトリガーしません。
      • 必要な場合確立: ドメイン名解決に失敗した場合、ドメインはVPN接続試行をトリガーします。ドメイン名解決に失敗するのは、DNSサーバーがドメインを解決できない、別のサーバーにリダイレクトする、またはタイムアウトした場合です。
    • [保存] をクリックしてドメインを保存するか、[キャンセル] をクリックして操作を取り消します。
  • オンデマンドルール
    • アクション: 一覧から、実行するアクションを選択します。デフォルトは [EvaluateConnection] です。選択できるアクションは以下のとおりです:
      • 許可: トリガーされたときにVPNオンデマンドで接続できるようにします。
      • 接続: 無条件でVPN接続を開始します。
      • 切断: VPN接続を解除し、規則と一致しない限りオンデマンドの再接続を行いません。
      • EvaluateConnection: 接続ごとに、ActionParameters配列を評価します。
      • 無視: 既存のVPN接続を動作中のままにします。ただし、規則と一致しない限りオンデマンドの再接続を行いません。
    • DNSDomainMatch:デバイスの検索ドメイン一覧と一致する可能性のあるドメインの [追加] をクリックして以下の操作を行います:
      • DNSドメイン: ドメイン名を入力します。ワイルドカード文字「*」をプレフィックスに使用すると、複数のドメインと一致させることができます。たとえば、*.example.comは、mydomain.example.com、yourdomain.example.com、herdomain.example.comと一致します。
      • [保存] をクリックしてドメインを保存するか、[キャンセル] をクリックして操作を取り消します。
    • DNSServerAddressMatch: ネットワークの指定されたDNSサーバーと一致する可能性のある、追加するIPアドレスごとに、[追加] をクリックして以下の操作を行います。
      • DNSサーバーアドレス: 追加するDNSサーバーアドレスを入力します。ワイルドカード文字「*」をサフィックスに使用すると、複数のDNSサーバーと一致させることができます。たとえば、17.*はクラスAサブネットのすべてのDNSサーバーと一致します。
      • [保存] をクリックしてDNSサーバーアドレスを保存するか、[キャンセル] をクリックして操作を取り消します。
    • InterfaceTypeMatch: 一覧から、使用中のプライマリネットワークインターフェイスハードウェアの種類を選択します。デフォルトは [未指定] です。使用できる値は以下のとおりです:
      • 未指定: あらゆるネットワークインターフェイスハードウェアと一致します。このオプションがデフォルトです。
      • イーサネット: イーサネットネットワークインターフェイスハードウェアのみと一致します。
      • Wi-Fi: Wi-Fiネットワークインターフェイスハードウェアのみと一致します。
      • 携帯ネットワーク: 携帯ネットワークインターフェイスハードウェアのみと一致します。
    • SSIDMatch: 現在のネットワークと照合する、追加するSSIDごとに、[追加] をクリックして以下の操作を行います。
      • SSID: 追加するSSIDを入力します。ネットワークがWi-Fiネットワークでない場合、またはSSIDが表示されない場合は照合できません。すべてのSSIDと一致させるには、この一覧を空白のままにします。
      • [保存] をクリックしてSSIDを保存するか、[キャンセル] をクリックして操作を取り消します。
    • URLStringProbe: フェッチするURLを入力します。このURLがリダイレクトされず正常にフェッチされた場合は、この規則に一致しています。
    • ActionParameters:Domains: EvaluateConnectionのチェック対象となる、追加するドメインごとに、[追加] をクリックして以下の操作を実行します:
      • ドメイン: 追加するドメインを入力します。
      • [保存] をクリックしてドメインを保存するか、[キャンセル] をクリックして操作を取り消します。
    • ActionParameters : DomainAction: 一覧から、ActionParameters : Domains で指定したドメインに対するVPNの動作を選択します。デフォルトは [ConnectIfNeeded] です。選択できるアクションは以下のとおりです:
      • ConnectIfNeeded: ドメイン名解決に失敗した場合、ドメインはVPN接続試行をトリガーします。ドメイン名解決に失敗するのは、DNSサーバーがドメインを解決できない、別のサーバーにリダイレクトする、またはタイムアウトした場合です。
      • NeverConnect: ドメインはVPN接続をトリガーしません。
    • Action Parameters:RequiredDNSServers:指定したドメインの解決に使用するDNSサーバーごとに、[追加] をクリックして以下の操作を行います:
      • DNSサーバー: ActionParameters :DomainActionConnectIfNeededの場合にのみ有効です。追加するDNSサーバーのIPアドレスを入力します。このサーバーは、デバイスの現在のネットワーク構成外に配置できます。このDNSサーバーに到達できない場合、対応としてVPN接続が確立されます。このDNSサーバーは、内部DNSサーバーまたは信頼できる外部DNSサーバーである必要があります。
      • [保存] をクリックしてDNSサーバーを保存するか、[キャンセル] をクリックして操作を取り消します。
    • ActionParameters : RequiredURLStringProbe: 任意で、プローブするHTTPまたはHTTPS(推奨)のURLを、GETリクエストを使用して入力します。URLのホスト名を解決できない場合、サーバーに到達できない場合、またはサーバーが応答しない場合、対応としてVPN接続が確立されます。ActionParameters : DomainActionConnectIfNeededの場合にのみ有効です。
    • OnDemandRules : XML content:XML構成オンデマンド規則を入力するか、コピーして貼り付けます。
      • [ディクショナリをチェック] をクリックし、XMLコードを検証します。XMLが有効な場合は、[XMLコンテンツ] テキストボックスの下に「有効なXML」と表示されます。有効でない場合は、エラーを説明するエラーメッセージが表示されます。
  • プロキシ
    • プロキシ構成: 一覧から、VPN接続のプロキシサーバーのルーティング方法を選択します。デフォルトは [なし] です。
      • [手動] を有効にした場合は、次の設定を構成します:
        • プロキシサーバーのホスト名またはIPアドレス: プロキシサーバーのホスト名またはIPアドレスを入力します。このフィールドは必須です。
        • プロキシサーバーのポート: プロキシサーバーのポート番号を入力します。このフィールドは必須です。
        • ユーザー名: 任意で、プロキシサーバーのユーザー名を入力します。
        • パスワード: 任意で、プロキシサーバーのパスワードを入力します。
      • [自動] を選択した場合は、次の設定を構成します:
        • プロキシサーバーURL: プロキシサーバーのURLを入力します。このフィールドは必須です。
  • ポリシー設定
    • ポリシーの削除: ポリシーの削除をスケジュール設定する方法を選択します。利用可能なオプションは、[日付を選択][削除までの期間(時間)を指定] です。
      • 日付を選択: カレンダーをクリックして削除を実行する特定の日付を選択します。
      • 削除までの期間(時間)を指定: ポリシーが削除されるまでの時間単位の数値を入力します。
    • ユーザーにポリシーの削除を許可: ユーザーがデバイスからポリシーを削除できるタイミングを選択できます。メニューで [常に][パスコードが必要です] または [許可しない] を選択します。[パスコードが必要です] を選択する場合、[削除のパスコード] フィールドに入力します
    • プロファイル対策: このポリシーを [ユーザー] または [システム] 全体に適用するかを選択します。デフォルトは [ユーザー] です。このオプションはmacOS 10.7以降でのみ使用できます。

Android(従来のデバイス管理者)の設定

デバイスポリシー構成画面

Android向けCisco AnyConnect VPNプロトコルの構成

  • 接続名: Cisco AnyConnect VPN接続の名前を入力します。このフィールドは必須です。
  • サーバー名またはIPアドレス: VPNサーバーの名前またはIPアドレスを入力します。このフィールドは必須です。
  • ID資格情報: 一覧から、ID資格情報を選択します。
  • バックアップVPNサーバー: バックアップVPNサーバー情報を入力します。
  • ユーザーグループ: ユーザーグループ情報を入力します。
  • 信頼されたネットワーク
    • 自動VPNポリシー: このオプションをオンまたはオフにして、信頼できるネットワークおよび信頼できないネットワークに対するVPNの動作方法を設定します。有効にした場合は、次の設定を構成します。
      • 信頼されたネットワークポリシー: 一覧から、目的のポリシーを選択します。デフォルトは [切断] です。選択できるオプションは以下のとおりです:
        • 切断: クライアントにより、信頼できるネットワーク圏内のVPN接続が終了されます。この設定がデフォルトです。
        • 接続: クライアントにより、信頼できるネットワーク圏内のVPN接続が開始されます。
        • 何もしない: クライアントによるアクションはありません。
        • 一時停止: 信頼できるネットワーク圏外でVPNセッションが確立された後、信頼済みとして構成されたネットワークにユーザーがアクセスすると、VPNセッションが一時停止されます。ユーザーが信頼できるネットワークから離れると、セッションが再開されます。この設定により、信頼できるネットワークを離れた後に新しいVPNセッションを確立する手間が省かれます。
      • 信頼されていないネットワークポリシー: 一覧から、目的のポリシーを選択します。デフォルトは [接続] です。選択できるオプションは以下のとおりです:
        • 接続: クライアントにより、信頼できないネットワーク圏内でVPN接続が開始されます。
        • 何もしない: クライアントにより、信頼できないネットワーク圏内でVPN接続が開始されます。このオプションにより、[常時VPNに接続]が無効化されます。
    • 信頼されたドメイン: クライアントが信頼できるネットワーク圏内にある場合にネットワークインターフェイスに設定することができるドメインサフィックスごとに、[追加] をクリックして以下の操作を行います:
      • ドメイン: 追加するドメインを入力します。
      • [保存] をクリックしてドメインを保存するか、[キャンセル] をクリックして操作を取り消します。
    • 信頼されたサーバー: クライアントが信頼できるネットワーク圏内にある場合、ネットワークインターフェイスに設定することができるサーバーアドレスごとに、[追加] をクリックして以下の操作を行います。
      • サーバー: 追加するサーバーを入力します。
      • [保存] をクリックしてサーバーを保存するか、[キャンセル] をクリックして操作を取り消します。

Android向けCitrix SSOプロトコルを構成する

  • 接続名: VPN接続名を入力します。このフィールドは必須です。

  • サーバー名またはIPアドレス: Citrix GatewayのFQDNまたはIPアドレスを入力します。

  • 接続の認証の種類: 認証の種類を選択し、選択した種類に応じて表示される次のフィールドに入力します。

    • [ユーザー名][パスワード]認証の種類[パスワード] または [パスワードおよび証明書] を選択した場合に、VPN資格情報を入力します。オプションです。VPN資格情報を入力しない場合は、Citrix VPNアプリによってユーザー名とパスワードの入力が求められます。

    • ID資格情報: 認証の種類[証明書] または [パスワードおよび証明書] の場合に表示されます。一覧で、ID資格情報を選択します。

  • Per-App VPNの有効化: アプリごとのVPNを有効にするかどうかを選択します。Per-App VPNを有効にしない場合は、すべてのトラフィックがCitrix VPNトンネルを経由します。Per-App VPNを有効にした場合は、次の設定を指定します。デフォルトは [オフ] です。

    • 許可リストまたは禁止リスト[許可リスト] の場合は、許可リストに登録されたすべてのアプリがこのVPNを経由します。[禁止リスト] の場合は、禁止リストに登録されたアプリ以外のすべてのアプリがこのVPNを経由します。
    • アプリケーションリスト: 許可リストまたは禁止リストに登録されているアプリ。[追加] をクリックし、アプリのパッケージ名のコンマ区切りの一覧を入力します。
  • カスタムXML:[追加] をクリックし、カスタムパラメーターを入力します。Endpoint Managementでは、Citrix VPNについて次のパラメーターがサポートされます。

    • DisableUserProfiles: オプションです。このパラメーターを有効にするには、[値]「Yes」 と入力します。有効にした場合、ユーザーが追加したVPN接続がEndpoint Managementに表示されなくなり、ユーザーは接続を追加できなくなります。この設定はグローバルな制限で、すべてのVPNプロファイルに適用されます。
    • userAgent: 文字列値です。各HTTP要求で送信する任意のユーザーエージェント文字列を指定できます。指定したユーザーエージェント文字列は、Citrix VPNの既存のユーザーエージェントの末尾に追加されます。

NACをサポートするようにVPNを構成する

  1. NACフィルターを構成するには、カスタムSSL接続の種類を使用します。
  2. VPN[接続名] を指定します。
  3. [カスタムXML] で、[追加] をクリックし、次の操作を行います:
    • パラメーター名: XenMobileDeviceIdを入力します。このフィールドは、Endpoint Managementでのデバイス登録に基づくNACチェックに使用するデバイスIDです。デバイスがEndpoint Managementで登録および管理されている場合、VPN接続は許可されます。登録および管理されていない場合、認証はVPNの確立時に拒否されます。
    • 値: 「DeviceID_$ {device.id}」 と入力します。これは、パラメーターXenMobileDeviceIdの値です。
    • [保存] をクリックしてパラメーターを保存します。

Android Enterpriseに対するVPNの構成

Android Enterpriseデバイスに対してVPNを構成するには、Citrix SSOアプリに対するAndroid Enterprise管理対象の構成デバイスポリシーを作成します。「Android Enterpriseに対するVPNプロファイルの構成」を参照してください。

Android Enterpriseの設定

デバイスポリシー構成画面

  • VPN常時接続を有効にする: VPNを常にオンにするかどうかを選択します。デフォルトは [オフ] です。有効にすると、ユーザーが手動で切断するまで、VPN接続はオンのままです。
  • VPNパッケージ: デバイスが使用するVPNアプリのパッケージ名を入力します。
  • ロックダウンを有効にする: 無効にすると、VPN接続が存在しない場合、アプリはネットワークにアクセスできません。有効にすると、VPN接続が存在しない場合でも、次の設定で構成したアプリがネットワークにアクセスできます。Android 10以降のデバイスで使用できます。
  • ロックダウンから除外されたアプリケーション: [追加] をクリックして、ロックダウン設定をバイパスするアプリのパッケージ名を入力します。

Samsung SAFEの設定

デバイスポリシー構成画面

  • 接続名: 接続名を入力します。
  • VPNの種類: 一覧から、この接続において使用するプロトコルを選択します。デフォルトはL2TP with pre-shared keyです。選択できるオプションは以下のとおりです:
    • 事前共有キーを使用するL2TP: レイヤー2トンネリングプロトコルと事前共有キー認証。この設定がデフォルトです。
    • 証明書を使用するL2TP: レイヤー2トンネリングプロトコルと証明書。
    • PPTP: Point-to-Pointトンネリング。
    • エンタープライズ: 社内VPN接続。Version 2.0よりも前のSAFEバージョンに適用されます。
    • 汎用: 一般的なVPN接続。Version 2.0以降のSAFEバージョンに適用されます。

Samsung SAFE向け[事前共有キーを使用するL2TP]プロトコルの構成

  • ホスト名: VPNホストの名前を入力します。このオプションは必須です。
  • ユーザー名: 任意で、ユーザー名を入力します。
  • パスワード: 任意で、パスワードを入力します。
  • 事前共有キー: 事前共有キーを入力します。このオプションは必須です。

Samsung SAFE向け証明書プロトコルによるL2TPの設定

  • ホスト名: VPNホストの名前を入力します。このオプションは必須です。
  • ユーザー名: 任意で、ユーザー名を入力します。
  • パスワード: 任意で、パスワードを入力します。
  • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。

Samsung SAFE向けPPTPプロトコルの設定

  • ホスト名: VPNホストの名前を入力します。このオプションは必須です。
  • ユーザー名: 任意で、ユーザー名を入力します。
  • パスワード: 任意で、パスワードを入力します。
  • 暗号化を有効化: VPN接続で暗号化を有効にするかどうかを選択します。

Samsung SAFE向けエンタープライズプロトコルの構成

  • ホスト名: VPNホストの名前を入力します。このオプションは必須です。
  • バックアップサーバーを有効化:バックアップVPNサーバーを有効にした場合は、バックアップVPNサーバーのFQDNまたはIPアドレスを入力します。
  • ユーザー認証を有効化: ユーザー認証を必須とするかどうかを選択します。有効にした場合は、次の設定を構成します:
    • ユーザー名: ユーザー名を入力します。
    • パスワード: ユーザーパスワードを入力します。
  • グループ名: 任意で、グループ名を入力します。
  • 認証方法: 一覧から、使用する認証方法を選択します。選択できるオプションは以下のとおりです:
    • 証明書: 証明書認証を使用します。この設定がデフォルトです。このオプションを選択した場合は、[ID資格情報] ボックスの一覧から、使用する資格情報を選択します。デフォルトは [なし] です。
    • 事前共有キー: 事前共有キーを使用します。このオプションを選択した場合は、[事前共有キー] フィールドに、共有シークレットキーを入力します。
    • ハイブリッドRSA: RSA証明書を使用するハイブリッド認証を使用します。
    • EAP MD5: EAPピアからEAPサーバーまでの認証を行います。ただし、相互認証は行いません。
    • EAP MSCHAPv2:相互認証にMicrosoftのチャレンジハンドシェイク認証プロトコルを使用します。
  • CA証明書: 一覧から、使用する証明書を選択します。デフォルトは [なし] です。
  • デフォルトルートを有効化: VPNサーバーへのデフォルトルートを有効にするかどうかを選択します。デフォルトは [オフ] です。
  • スマートカード認証を有効化: ユーザーにスマートカードを使用した認証を許可するかどうかを選択します。デフォルトは [オフ] です。
  • モバイルオプションを有効化:デフォルトは [オフ] です。
  • Diffie-Hellmanグループ値(キーの強度): 一覧から、使用するキー強度を選択します。デフォルトは0です。
  • 分割トンネルの種類: 一覧から、使用する分割トンネリングの種類を選択します。デフォルトは [自動] です。選択できるオプションは以下のとおりです:
    • 自動: 分割トンネリングが自動的に使用されます。
    • 手動: 分割トンネリングがVPNサーバーで指定したIPアドレスおよびポートを介して使用されます。
    • 無効: 分割トンネリングは使用されません。
  • SuiteBの種類: 一覧から、使用するNSA Suite B暗号化のレベルを選択します。デフォルトは [GCM-128] です。選択できるオプションは以下のとおりです:
    • GCM-128: 128ビットのAES-GCM暗号化を使用します。
    • GCM-256: 256ビットのAES-GCM暗号化を使用します。
    • GMAC-128: 128ビットのAES-GMAC暗号化を使用します。
    • GMAC-256: 256ビットのAES-GMAC暗号化を使用します。
    • なし: 暗号化を使用しません。
  • 転送ルート: 社内VPNサーバーが転送ルートをサポートしている場合は、使用する転送ルートごとに、[追加] をクリックして以下の操作を行います。
    • 転送ルート: 転送ルートのIPアドレスを入力します。
    • [保存] をクリックしてルートを保存するか、[キャンセル] をクリックして操作を取り消します。

Samsung SAFE向け汎用プロトコルの設定

  • ホスト名: VPNホストの名前を入力します。このオプションは必須です。
  • ユーザー認証を有効化: ユーザー認証を必須とするかどうかを選択します。有効にした場合は、[パスワード] ボックスにユーザーパスワードを入力します。
  • ユーザー名: ユーザー名を入力します。
  • パッケージ名エージェントVPN: デバイスにインストールされたVPNのパッケージ名またはIDです(例:MocanaまたはPulse Secure)。
  • VPN接続の種類: 一覧から、使用する接続の種類として [IPSEC] または [SSL] を選択します。デフォルトは [IPSEC] です。次のセクションでは、接続の種類ごとに、構成設定について説明します。

Samsung SAFE向け[IPSEC]接続の種類の設定の構成

  • ID: 任意で、この構成のIDを入力します。
  • IPsecグループIDの種類: 一覧から、使用するIPsecグループIDの種類を選択します。デフォルトは [デフォルト] です。選択できるオプションは以下のとおりです:
    • デフォルト
    • IPv4アドレス
    • 完全修飾ドメイン名(FQDN)
    • ユーザーFQDN
    • IKEキーID
  • IKEのバージョン: 一覧から、使用するインターネットキー交換バージョンを選択します。デフォルトは [IKEv1] です。
  • 認証方法: 一覧から、使用する認証方法を選択します。デフォルトは [証明書] です。選択できるオプションは以下のとおりです:
    • 証明書: 証明書認証を使用します。このオプションを選択した場合は、[ID資格情報] ボックスの一覧から、使用する資格情報を選択します。デフォルトは [なし] です。
    • 事前共有キー: 事前共有キーを使用します。このオプションを選択した場合は、[事前共有キー] フィールドに、共有シークレットキーを入力します。
    • ハイブリッドRSA: RSA証明書を使用するハイブリッド認証を使用します。
    • EAP MD5: EAPピアからEAPサーバーまでの認証を行います。ただし、相互認証は行いません。
    • EAP MSCHAPv2:相互認証にMicrosoftのチャレンジハンドシェイク認証プロトコルを使用します。
    • CACベースの認証: 認証にCommon Access Card(CAC)を使用します。
  • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
  • CA証明書: 一覧から、使用する証明書を選択します。
  • 停止ピア検出を有効化: ピアが有効であるか確認するためにピアに問い合わせるかどうかを選択します。デフォルトは [オフ] です。
  • デフォルトルートを有効化: VPNサーバーへのデフォルトルートを有効にするかどうかを選択します。
  • モバイルオプションを有効化:デフォルトは [オフ] です。
  • ike有効期間(分): VPN接続が再確立されるまでの時間を分単位で入力します。デフォルトは1440分(24時間)です。
  • ipsec有効期間(分): VPN接続が再確立されるまでの時間を分単位で入力します。デフォルトは1440分(24時間)です。
  • Diffie-Hellmanグループ値(キーの強度): 一覧から、使用するキー強度を選択します。デフォルトは0です。
  • IKEフェーズ1のキー交換モード: IKEフェーズ1のネゴシエーションモードとして、[メイン] または [アグレッシブ] を選択します。デフォルトは [メイン] です。
    • メイン: ネゴシエーション時に情報が潜在的な攻撃者にさらされることはありませんが、[アグレッシブ] モードより低速です。
    • アグレッシブ: ネゴシエーション時に一部の情報(ネゴシエーションを行うピアのIDなど)が潜在的な攻撃者にさらされますが、[メイン] モードより高速です。
  • Perfect Forward Secrecy(PFS)値: 接続の再ネゴシエーションに新しいキー交換を必要とするPFSを使用するかどうかを選択します。
  • 分割トンネルの種類: 一覧から、使用する分割トンネリングの種類を選択します。選択できるオプションは以下のとおりです:
    • 自動: 分割トンネリングが自動的に使用されます。
    • 手動: 分割トンネリングがVPNサーバーで指定したIPアドレスおよびポートを介して使用されます。
    • 無効: 分割トンネリングは使用されません。
  • IPSEC暗号化アルゴリズム: IPsecプロトコルが使用するVPN構成です。
  • IKE暗号化アルゴリズム: IPsecプロトコルが使用するVPN構成です。
  • IKE整合性アルゴリズム: IPsecプロトコルが使用するVPN構成です。
  • ベンダー: Knox APIと通信する汎用エージェントの個人用プロファイルです。
  • 転送ルート: 社内VPNサーバーが転送ルートをサポートしている場合は、使用する転送ルートごとに、[追加] をクリックして以下の操作を行います。
    • 転送ルート: 転送ルートのIPアドレスを入力します。
    • [保存] をクリックしてルートを保存するか、[キャンセル] をクリックして操作を取り消します。
  • Per-App VPN: 追加する各アプリごとのVPNについて、[追加] をクリックして以下の操作を行います:
    • Per-App VPN: アプリが通信に使用するVPN構成です。
    • [保存] をクリックしてPer-App VPNを保存するか、[キャンセル] をクリックして操作を取り消します。

Samsung SAFE向けSSL接続の種類の設定の構成

  • 認証方法: 一覧から、使用する認証方法を選択します。デフォルトは [該当なし] です。選択できるオプションは以下のとおりです:
    • 該当なし
    • 証明書: 証明書認証を使用します。このオプションを選択した場合は、[ID資格情報] ボックスの一覧から、使用する資格情報を選択します。デフォルトは [なし] です。
    • CACベースの認証: 認証にCommon Access Card(CAC)を使用します。
  • CA証明書: 一覧から、使用する証明書を選択します。
  • デフォルトルートを有効化: VPNサーバーへのデフォルトルートを有効にするかどうかを選択します。
  • モバイルオプションを有効化:デフォルトは [オフ] です。
  • 分割トンネルの種類: 一覧から、使用する分割トンネリングの種類を選択します。選択できるオプションは以下のとおりです:
    • 自動: 分割トンネリングが自動的に使用されます。
    • 手動: 分割トンネリングがVPNサーバーで指定したIPアドレスおよびポートを介して使用されます。
    • 無効: 分割トンネリングは使用されません。
  • SSLアルゴリズム: クライアントとサーバー間のネゴシエーションに使用するSSLアルゴリズムを入力します。
  • ベンダー: Knox APIと通信する汎用エージェントの個人用プロファイルです。
  • 転送ルート: 社内VPNサーバーが転送ルートをサポートしている場合は、使用する転送ルートごとに、[追加] をクリックして以下の操作を行います。
    • 転送ルート: 転送ルートのIPアドレスを入力します。
    • [保存] をクリックしてルートを保存するか、[キャンセル] をクリックして操作を取り消します。
  • Per-App VPN: 追加する各アプリごとのVPNについて、[追加] をクリックして以下の操作を行います:
    • Per-App VPN: アプリが通信に使用するVPN構成です。
    • [保存] をクリックしてPer-App VPNを保存するか、[キャンセル] をクリックして操作を取り消します。

Samsung Knoxの設定

デバイスポリシー構成画面

Samsung Knoxのポリシーを構成した場合、ポリシーはSamsung Knoxコンテナにのみ適用されます。

  • VPNの種類: 一覧で、構成するVPN接続の種類を選択します。接続は [エンタープライズ](バージョン2.0より前のKnoxバージョンに適用)または [汎用](バージョン2.0以降のKnoxに適用)のいずれかを使用できます。デフォルトは [エンタープライズ] です。

次のセクションは、上記の接続の種類ごとに、構成オプションを示しています。

Samsung Knox向けエンタープライズプロトコルの構成

  • 接続名: 接続名を入力します。このフィールドは必須です。
  • ホスト名: VPNホストの名前を入力します。このオプションは必須です。
  • バックアップサーバーを有効化: バックアップVPNサーバーを有効にするかどうかを選択します。有効にした場合は、[バックアップVPNサーバー] ボックスに、バックアップVPNサーバーのFQDNまたはIPアドレスを入力します。
  • ユーザー認証を有効化: ユーザー認証を必須とするかどうかを選択します。有効にした場合は、次の設定を構成します:
    • ユーザー名: ユーザー名を入力します。
    • パスワード: ユーザーパスワードを入力します。
  • グループ名: 任意で、グループ名を入力します。
  • 認証方法: 一覧から、使用する認証方法を選択します。選択できるオプションは以下のとおりです:
    • 証明書: 証明書認証を使用します。証明書認証を使用するには、[ID資格情報] ボックスの一覧から、使用する資格情報も選択します。
    • 事前共有キー: 事前共有キーを使用します。このオプションを選択した場合は、[事前共有キー] フィールドに、共有シークレットキーを入力します。
    • ハイブリッドRSA: RSA証明書を使用するハイブリッド認証を使用します。
    • EAP MD5: EAPピアからEAPサーバーまでの認証を行います。ただし、相互認証は行いません。
    • EAP MSCHAPv2:相互認証にMicrosoftのチャレンジハンドシェイク認証プロトコルを使用します。
  • CA証明書: 一覧から、使用する証明書を選択します。
  • デフォルトルートを有効化: VPNサーバーへのデフォルトルートを有効にするかどうかを選択します。
  • スマートカード認証を有効化: ユーザーにスマートカードを使用した認証を許可するかどうかを選択します。デフォルトは [オフ] です。
  • モバイルオプションを有効化:デフォルトは [オフ] です。
  • Diffie-Hellmanグループ値(キーの強度): 一覧から、使用するキー強度を選択します。デフォルトは0です。
  • 分割トンネルの種類: 一覧から、使用する分割トンネリングの種類を選択します。選択できるオプションは以下のとおりです:
    • 自動: 分割トンネリングが自動的に使用されます。
    • 手動: 分割トンネリングがVPNサーバーで指定したIPアドレスおよびポートを介して使用されます。
    • 無効: 分割トンネリングは使用されません。
  • SuiteBの種類: 一覧から、使用するNSA Suite B暗号化のレベルを選択します。選択できるオプションは以下のとおりです:
    • GCM-128: 128ビットのAES-GCM暗号化を使用します。これがデフォルトの設定です。
    • GCM-256: 256ビットのAES-GCM暗号化を使用します。
    • GMAC-128: 128ビットのAES-GMAC暗号化を使用します。
    • GMAC-256: 256ビットのAES-GMAC暗号化を使用します。
    • なし: 暗号化を使用しません。
  • 転送ルート: 社内VPNサーバーが複数のルートテーブルをサポートしている場合は、[追加] をクリックし、任意で転送ルートを追加します。

Samsung Knox向け汎用プロトコルの設定

  • 接続名: 接続名を入力します。このフィールドは必須です。
  • パッケージ名エージェントVPN: デバイスにインストールされたVPNのパッケージ名またはIDです(例:MocanaまたはPulse Secure)。
  • ホスト名: VPNホストの名前を入力します。このオプションは必須です。
  • ユーザー認証を有効化: ユーザー認証を必須とするかどうかを選択します。有効にした場合は、次の設定を構成します:
    • ユーザー名: ユーザー名を入力します。
    • パスワード: ユーザーパスワードを入力します。
  • ID: 任意で、この構成のIDを入力します。[VPN接続の種類]が[IPSEC] の場合にのみ適用されます。
  • VPN接続の種類: 一覧から、使用する接続の種類として [IPSEC] または [SSL] を選択します。デフォルトは [IPSEC] です。次のセクションでは、接続の種類ごとに、構成設定について説明します。
  • [IPSEC]接続の設定の構成
    • IPsecグループIDの種類: 一覧から、使用するIPsecグループIDの種類を選択します。デフォルトは [デフォルト] です。選択できるオプションは以下のとおりです:
      • デフォルト
      • IPv4アドレス
      • 完全修飾ドメイン名(FQDN)
      • ユーザーFQDN
      • IKEキーID
    • IKEのバージョン: 一覧から、使用するインターネットキー交換バージョンを選択します。デフォルトは [IKEv1] です。
    • 認証方法: 一覧から、使用する認証方法を選択します。デフォルトは [証明書] です。選択できるオプションは以下のとおりです:
      • 証明書: 証明書認証を使用します。このオプションを選択した場合は、[ID資格情報] ボックスの一覧から、使用する資格情報を選択します。デフォルトは [なし] です。
      • 事前共有キー: 事前共有キーを使用します。このオプションを選択した場合は、[事前共有キー] フィールドに、共有シークレットキーを入力します。
      • ハイブリッドRSA: RSA証明書を使用するハイブリッド認証を使用します。
      • EAP MD5: EAPピアからEAPサーバーまでの認証を行います。ただし、相互認証は行いません。
      • EAP MSCHAPv2:相互認証にMicrosoftのチャレンジハンドシェイク認証プロトコルを使用します。
      • CACベースの認証: 認証にCommon Access Card(CAC)を使用します。
    • CA証明書: 一覧から、使用する証明書を選択します。
    • 停止ピア検出を有効化: ピアが有効であるか確認するためにピアに問い合わせるかどうかを選択します。デフォルトは [オフ] です。
    • デフォルトルートを有効化: VPNサーバーへのデフォルトルートを有効にするかどうかを選択します。
    • モバイルオプションを有効化:デフォルトは [オフ] です。
    • ike有効期間(分): VPN接続が再確立されるまでの時間を分単位で入力します。デフォルトは1440分(24時間)です。
    • ipsec有効期間(分): VPN接続が再確立されるまでの時間を分単位で入力します。デフォルトは1440分(24時間)です。
    • Diffie-Hellmanグループ値(キーの強度): 一覧から、使用するキー強度を選択します。デフォルトは0です。
    • IKEフェーズ1のキー交換モード: IKEフェーズ1のネゴシエーションモードとして、[メイン] または [アグレッシブ] を選択します。デフォルトは [メイン] です。
      • メイン: ネゴシエーション時に情報が潜在的な攻撃者にさらされることはありませんが、[アグレッシブ] モードより低速です。
      • アグレッシブ: ネゴシエーション時に一部の情報(ネゴシエーションを行うピアのIDなど)が潜在的な攻撃者にさらされますが、[メイン] モードより高速です。
    • Perfect Forward Secrecy(PFS)値: 接続の再ネゴシエーションに新しいキー交換を必要とするPFSを使用するかどうかを選択します。
    • 分割トンネルの種類: 一覧から、使用する分割トンネリングの種類を選択します。選択できるオプションは以下のとおりです:
      • 自動: 分割トンネリングが自動的に使用されます。
      • 手動: 分割トンネリングがVPNサーバーで指定したIPアドレスおよびポートを介して使用されます。
      • 無効: 分割トンネリングは使用されません。
    • SuiteBの種類: 一覧から、使用するNSA Suite B暗号化のレベルを選択します。デフォルトは [GCM-128] です。選択できるオプションは以下のとおりです:
      • GCM-128: 128ビットのAES-GCM暗号化を使用します。
      • GCM-256: 256ビットのAES-GCM暗号化を使用します。
      • GMAC-128: 128ビットのAES-GMAC暗号化を使用します。
      • GMAC-256: 256ビットのAES-GMAC暗号化を使用します。
      • なし: 暗号化を使用しません。
    • IPSEC暗号化アルゴリズム: IPsecプロトコルが使用するVPN構成です。
    • IKE暗号化アルゴリズム: IPsecプロトコルが使用するVPN構成です。
    • IKE整合性アルゴリズム: IPsecプロトコルが使用するVPN構成です。
    • Knox: Samsung Knoxのみの構成です。
    • ベンダー: Knox APIと通信する汎用エージェントの個人用プロファイルです。
    • 転送ルート: 社内VPNサーバーが転送ルートをサポートしている場合は、使用する転送ルートごとに、[追加] をクリックして以下の操作を行います。
      • 転送ルート: 転送ルートのIPアドレスを入力します。
      • [保存] をクリックしてルートを保存するか、[キャンセル] をクリックして操作を取り消します。
    • Per-App VPN: 追加する各アプリごとのVPNについて、[追加] をクリックして以下の操作を行います:
      • Per-App VPN: アプリが通信に使用するVPN構成です。
      • [保存] をクリックしてPer-App VPNを保存するか、[キャンセル] をクリックして操作を取り消します。
  • [SSL]接続の設定の構成
    • 認証方法: 一覧から、使用する認証方法を選択します。選択できるオプションは以下のとおりです:
      • 適用できません: 認証方法は適用されません。この設定がデフォルトです。
      • 証明書: 証明書認証を使用します。この設定がデフォルトです。このオプションを選択した場合は、[ID資格情報] ボックスの一覧から、使用する資格情報を選択します。デフォルトは[なし]です。
      • CACベースの認証: 認証にCommon Access Card(CAC)を使用します。
    • CA証明書: 一覧から、使用する証明書を選択します。
    • デフォルトルートを有効化: VPNサーバーへのデフォルトルートを有効にするかどうかを選択します。
    • モバイルオプションを有効化:デフォルトは [オフ] です。
    • 分割トンネルの種類: 一覧から、使用する分割トンネリングの種類を選択します。選択できるオプションは以下のとおりです:
      • 自動: 分割トンネリングが自動的に使用されます。
      • 手動: 分割トンネリングが指定したIPアドレスおよびポートを介して使用されます。
      • 無効: 分割トンネリングは使用されません。
    • SuiteBの種類: 一覧から、使用するNSA Suite B暗号化のレベルを選択します。デフォルトは [GCM-128] です。選択できるオプションは以下のとおりです:
      • GCM-128: 128ビットのAES-GCM暗号化を使用します。
      • GCM-256: 256ビットのAES-GCM暗号化を使用します。
      • GMAC-128: 128ビットのAES-GMAC暗号化を使用します。
      • GMAC-256: 256ビットのAES-GMAC暗号化を使用します。
      • なし:暗号化を使用しません: クライアントとサーバー間のネゴシエーションに使用するSSLアルゴリズムを入力します。
    • SSLアルゴリズム: クライアントとサーバー間のネゴシエーションに使用するSSLアルゴリズムを入力します。
    • Knox: Samsung Knoxのみの構成です。
    • ベンダー: Knox APIと通信する汎用エージェントの個人用プロファイルです。
    • 転送ルート: 社内VPNサーバーが転送ルートをサポートしている場合は、使用する転送ルートごとに、[追加] をクリックして以下の操作を行います。
      • 転送ルート: 転送ルートのIPアドレスを入力します。
      • [保存] をクリックしてルートを保存するか、[キャンセル] をクリックして操作を取り消します。
    • Per-App VPN: 追加する各アプリごとのVPNについて、[追加] をクリックして以下の操作を行います:
      • Per-App VPN: アプリが通信に使用するVPN構成です。
      • [保存] をクリックしてPer-App VPNを保存するか、[キャンセル] をクリックして操作を取り消します。

Windows Phoneの設定

デバイスポリシー構成画面

これらの設定は、Windows 10以降の監視対象Windows Phoneでのみサポートされます。

  • 接続名: 接続名を入力します。このフィールドは必須です。
  • プロファイルの種類: 一覧から、[ネイティブ] または [プラグイン] を選択します。デフォルトは [ネイティブ] です。次のセクションでは、各オプションの設定について説明します。
  • ネイティブプロファイルタイプ設定の構成: 以下の設定は、ユーザーのWindows Phoneに組み込まれているVPNに適用されます。
    • VPNサーバー名: VPNサーバーのFQDNまたはIPアドレスを入力します。このフィールドは必須です。
    • トンネリングプロトコル: 一覧から、使用するVPNトンネルの種類を選択します。デフォルトは [L2TP] です。選択できるオプションは以下のとおりです:
      • L2TP: レイヤー2トンネリングプロトコルと事前共有キー認証。
      • PPTP: Point-to-Pointトンネリング。
      • IKEv2: インターネットキー交換バージョン2
    • 認証方法: 一覧から、使用する認証方法を選択します。デフォルトは [EAP] です。選択できるオプションは以下のとおりです:
      • EAP: 拡張認証プロトコル。
      • MSChapV2:相互認証にMicrosoftのチャレンジハンドシェイク認証プロトコルを使用します。トンネルタイプで [IKEv2] を選択すると、このオプションは使用できません。[MSChapV2]を選択すると、[Windows資格情報を自動的に使用] オプションが表示されます。デフォルトは [オフ] です。
    • EAPメソッド: 一覧から、使用するEAP方法を選択します。デフォルトは [TLS] です。[MSChapV2]認証が有効になっている場合、このフィールドは使用できません。選択できるオプションは以下のとおりです:
      • TLS: Transport Layer Security
      • PEAP: 保護された拡張認証プロトコル
    • DNSサフィックス: DNSサフィックスを入力します。
    • 信頼されたネットワーク: アクセスにVPN接続を必要としないネットワークの一覧をコンマ区切りで入力します。たとえば、ユーザーが社内ワイヤレスネットワークのメンバーであれば、保護されているリソースに直接アクセスすることができます。
    • スマートカード証明書を要求: スマートカード証明書を必須とするかどうかを選択します。デフォルトは [オフ] です。
    • クライアント証明書を自動的に選択: 認証に使用するクライアント証明書が自動的に選択されるようにするかどうかを選択します。デフォルトは [オフ] です。[スマートカード証明書を要求] が有効な場合、このオプションは使用できません。
    • 資格情報を保存: 資格情報をキャッシュするかどうかを選択します。デフォルトは [オフ] です。有効にすると、可能な場合に資格情報がキャッシュされます。
    • 常時VPNに接続: VPNを常にオンにするかどうかを選択します。デフォルトは [オフ] です。有効にすると、ユーザーが手動で切断するまで、VPN接続はオンのままです。
    • ローカル用バイパス: ローカルリソースによるプロキシサーバーのバイパスを許可するアドレスおよびポート番号を入力します。
  • プラグインプロトコルタイプの構成: 以下の設定は、Windows Storeから取得し、ユーザーのデバイスにインストールしたVPNプラグインに適用されます。
    • サーバーアドレス: VPNサーバーのIPアドレスを入力します。
    • クライアントアプリID: VPNプラグインのパッケージファミリ名を入力します。
    • プラグインプロファイルXML: 使用するカスタムVPNプラグインプロファイルの場所に [参照] をクリックして移動し、ファイルを選択します。形式などについて詳しくは、プラグインプロバイダーにお問い合わせください。
    • DNSサフィックス: DNSサフィックスを入力します。
    • 信頼されたネットワーク: アクセスにVPN接続を必要としないネットワークの一覧をコンマ区切りで入力します。たとえば、ユーザーが社内ワイヤレスネットワークのメンバーであれば、保護されているリソースに直接アクセスすることができます。
    • 資格情報を保存: 資格情報をキャッシュするかどうかを選択します。デフォルトは [オフ] です。有効にすると、可能な場合に資格情報がキャッシュされます。
    • 常時VPNに接続: VPNを常にオンにするかどうかを選択します。デフォルトは [オフ] です。有効にすると、ユーザーが手動で切断するまで、VPN接続はオンのままです。
    • ローカル用バイパス: ローカルリソースによるプロキシサーバーのバイパスを許可するアドレスおよびポート番号を入力します。

Windowsデスクトップ/タブレットの設定

デバイスポリシー構成画面

  • 接続名: 接続名を入力します。このフィールドは必須です。
  • プロファイルの種類: 一覧から、[ネイティブ] または [プラグイン] を選択します。デフォルトは [ネイティブ] です。
  • ネイティブプロファイルタイプの構成: 以下の設定は、ユーザーのWindowsデバイスに組み込まれているVPNに適用されます。
    • サーバーアドレス: VPNサーバーのIPアドレスを入力します。このフィールドは必須です。
    • 資格情報を保存: 資格情報をキャッシュするかどうかを選択します。デフォルトは [オフ] です。有効にすると、可能な場合に資格情報がキャッシュされます。
    • DNSサフィックス: DNSサフィックスを入力します。
    • トンネルタイプ: 一覧から、使用するVPNトンネルの種類を選択します。デフォルトは [L2TP] です。選択できるオプションは以下のとおりです:
      • L2TP: レイヤー2トンネリングプロトコルと事前共有キー認証。
      • PPTP: Point-to-Pointトンネリング。
      • IKEv2: インターネットキー交換バージョン2
    • 認証方法: 一覧から、使用する認証方法を選択します。デフォルトは [EAP] です。選択できるオプションは以下のとおりです:
      • EAP: 拡張認証プロトコル。
      • MSChapV2:相互認証にMicrosoftのチャレンジハンドシェイク認証プロトコルを使用します。トンネルタイプで [IKEv2] を選択すると、このオプションは使用できません。
    • EAPメソッド: 一覧から、使用するEAP方法を選択します。デフォルトは [TLS] です。[MSChapV2]認証が有効になっている場合、このフィールドは使用できません。選択できるオプションは以下のとおりです:
      • TLS: Transport Layer Security
      • PEAP: 保護された拡張認証プロトコル
    • 信頼されたネットワーク: アクセスにVPN接続を必要としないネットワークの一覧をコンマ区切りで入力します。たとえば、ユーザーが社内ワイヤレスネットワークのメンバーであれば、保護されているリソースに直接アクセスすることができます。
    • スマートカード証明書を要求: スマートカード証明書を必須とするかどうかを選択します。デフォルトは [オフ] です。
    • クライアント証明書を自動的に選択: 認証に使用するクライアント証明書が自動的に選択されるようにするかどうかを選択します。デフォルトは [オフ] です。[スマートカード証明書を要求] が有効な場合、このオプションは使用できません。
    • 常時VPNに接続: VPNを常にオンにするかどうかを選択します。デフォルトは [オフ] です。有効にすると、ユーザーが手動で切断するまで、VPN接続はオンのままです。
    • ローカル用バイパス: ローカルリソースによるプロキシサーバーのバイパスを許可するアドレスおよびポート番号を入力します。
  • プラグインプロファイルタイプの構成: 以下の設定は、Windows Storeから取得し、ユーザーのデバイスにインストールしたVPNプラグインに適用されます。
    • サーバーアドレス: VPNサーバーのIPアドレスを入力します。このフィールドは必須です。
    • 資格情報を保存: 資格情報をキャッシュするかどうかを選択します。デフォルトは [オフ] です。有効にすると、可能な場合に資格情報がキャッシュされます。
    • DNSサフィックス: DNSサフィックスを入力します。
    • クライアントアプリID: VPNプラグインのパッケージファミリ名を入力します。
    • プラグインプロファイルXML: 使用するカスタムVPNプラグインプロファイルの場所に [参照] をクリックして移動し、ファイルを選択します。形式などについて詳しくは、プラグインプロバイダーにお問い合わせください。
    • 信頼されたネットワーク: アクセスにVPN接続を必要としないネットワークの一覧をコンマ区切りで入力します。たとえば、ユーザーが社内ワイヤレスネットワークのメンバーであれば、保護されているリソースに直接アクセスすることができます。
    • 常時VPNに接続: VPNを常にオンにするかどうかを選択します。デフォルトは [オフ] です。有効にすると、ユーザーが手動で切断するまで、VPN接続はオンのままです。
    • ローカル用バイパス: ローカルリソースによるプロキシサーバーのバイパスを許可するアドレスおよびポート番号を入力します。

Amazonの設定

デバイスポリシー構成画面

  • 接続名: 接続名を入力します。
  • VPNの種類: 一覧から、接続の種類を選択します。選択できるオプションは以下のとおりです:
    • L2TP PSK: レイヤー2トンネリングプロトコルと事前共有キー認証。この設定がデフォルトです。
    • L2TP RSA: レイヤー2トンネリングプロトコルとRSA認証。
    • IPSEC拡張認証PSK: インターネットプロトコルセキュリティと事前共有キーおよび拡張認証。
    • IPSECハイブリッドRSA: インターネットプロトコルセキュリティとハイブリッドRSA認証。
    • PPTP: Point-to-Pointトンネリング。

次のセクションは、上記の接続の種類ごとに、構成オプションを示しています。

Amazon向けL2TP PSKの設定の構成

  • サーバーアドレス: VPNサーバーのIPアドレスを入力します。
  • ユーザー名: 任意で、ユーザー名を入力します。
  • パスワード: 任意で、パスワードを入力します。
  • L2TPシークレット: 共有シークレットキーを入力します。
  • IPSec識別子: 接続時にユーザーのデバイスに表示されるVPN接続の名前を入力します。
  • IPSec事前共有キー: 秘密キーを入力します。
  • DNS検索ドメイン: ユーザーデバイスの検索ドメインの一覧と照合可能なドメインを入力します。
  • DNSサーバー: 指定したドメインの解決に使用するDNSサーバーのIPアドレスを入力します。
  • 転送ルート: 社内VPNサーバーが転送ルートをサポートしている場合は、使用する転送ルートごとに、[追加] をクリックして以下の操作を行います。
    • 転送ルート: 転送ルートのIPアドレスを入力します。
    • [保存] をクリックしてルートを保存するか、[キャンセル] をクリックして操作を取り消します。

Amazon向けL2TP RSAの設定の構成

  • サーバーアドレス: VPNサーバーのIPアドレスを入力します。
  • ユーザー名: 任意で、ユーザー名を入力します。
  • パスワード: 任意で、パスワードを入力します。
  • L2TPシークレット: 共有シークレットキーを入力します。
  • DNS検索ドメイン: ユーザーデバイスの検索ドメインの一覧と照合可能なドメインを入力します。
  • DNSサーバー: 指定したドメインの解決に使用するDNSサーバーのIPアドレスを入力します。
  • サーバー証明書: 一覧から、使用するサーバー証明書を選択します。
  • CA証明書: 一覧から、使用するCA証明書を選択します。
  • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。
  • 転送ルート: 社内VPNサーバーが転送ルートをサポートしている場合は、使用する転送ルートごとに、[追加] をクリックして以下の操作を行います。
    • 転送ルート: 転送ルートのIPアドレスを入力します。
    • [保存] をクリックしてルートを保存するか、[キャンセル] をクリックして操作を取り消します。

Amazon向けIPSEC XAUTH PSKの設定の構成

  • サーバーアドレス: VPNサーバーのIPアドレスを入力します。
  • ユーザー名: 任意で、ユーザー名を入力します。
  • パスワード: 任意で、パスワードを入力します。
  • IPSec識別子: 接続時にユーザーのデバイスに表示されるVPN接続の名前を入力します。
  • IPSec事前共有キー: 共有シークレットキーを入力します。
  • DNS検索ドメイン: ユーザーデバイスの検索ドメインの一覧と照合可能なドメインを入力します。
  • DNSサーバー: 指定したドメインの解決に使用するDNSサーバーのIPアドレスを入力します。
  • 転送ルート: 社内VPNサーバーが転送ルートをサポートしている場合は、使用する転送ルートごとに、[追加] をクリックして以下の操作を行います。
    • 転送ルート: 転送ルートのIPアドレスを入力します。
    • [保存] をクリックしてルートを保存するか、[キャンセル] をクリックして操作を取り消します。

Amazon向けIPSEC AUTH RSAの設定の構成

  • サーバーアドレス: VPNサーバーのIPアドレスを入力します。
  • ユーザー名: 任意で、ユーザー名を入力します。
  • パスワード: 任意で、パスワードを入力します。
  • DNS検索ドメイン: ユーザーデバイスの検索ドメインの一覧と照合可能なドメインを入力します。
  • DNSサーバー: 指定したドメインの解決に使用するDNSサーバーのIPアドレスを入力します。
  • サーバー証明書: 一覧から、使用するサーバー証明書を選択します。
  • CA証明書: 一覧から、使用するCA証明書を選択します。
  • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。
  • 転送ルート: 社内VPNサーバーが転送ルートをサポートしている場合は、使用する転送ルートごとに、[追加] をクリックして以下の操作を行います。
    • 転送ルート: 転送ルートのIPアドレスを入力します。
    • [保存] をクリックしてルートを保存するか、[キャンセル] をクリックして操作を取り消します。

Amazon向けIPSEC HYBRID RSAの設定の構成

  • サーバーアドレス: VPNサーバーのIPアドレスを入力します。
  • ユーザー名: 任意で、ユーザー名を入力します。
  • パスワード: 任意で、パスワードを入力します。
  • DNS検索ドメイン: ユーザーデバイスの検索ドメインの一覧と照合可能なドメインを入力します。
  • DNSサーバー: 指定したドメインの解決に使用するDNSサーバーのIPアドレスを入力します。
  • サーバー証明書: 一覧から、使用するサーバー証明書を選択します。
  • CA証明書: 一覧から、使用するCA証明書を選択します。
  • 転送ルート: 社内VPNサーバーが転送ルートをサポートしている場合は、使用する転送ルートごとに、[追加] をクリックして以下の操作を行います。
    • 転送ルート: 転送ルートのIPアドレスを入力します。
    • [保存] をクリックしてルートを保存するか、[キャンセル] をクリックして操作を取り消します。

Amazon向けLPPTPの設定の構成

  • サーバーアドレス: VPNサーバーのIPアドレスを入力します。
  • ユーザー名: 任意で、ユーザー名を入力します。
  • パスワード: 任意で、パスワードを入力します。
  • DNS検索ドメイン: ユーザーデバイスの検索ドメインの一覧と照合可能なドメインを入力します。
  • DNSサーバー: 指定したドメインの解決に使用するDNSサーバーのIPアドレスを入力します。
  • PPP暗号化(MPPE): Microsoft Point-to-Point暗号化(MPPE)によるデータの暗号化を有効にするかどうかを選択します。デフォルトは [オフ] です。
  • 転送ルート: 社内VPNサーバーが転送ルートをサポートしている場合は、使用する転送ルートごとに、[追加] をクリックして以下の操作を行います。
    • 転送ルート: 転送ルートのIPアドレスを入力します。
    • [保存] をクリックしてルートを保存するか、[キャンセル] をクリックして操作を取り消します。

Chrome OSの設定

デバイスポリシー構成画面

  • VPN接続名: この接続のユーザー向けの説明を入力します。この設定は必須です。
  • このネットワークの優先度: このネットワークの希望優先度の値を入力します。整数値を使用します。
  • 接続タイプ: リストで、接続タイプとして [OpenVPN] を選択します。

[OpenVPN]を選択すると、OpenVPN接続に固有の設定が表示されます。スクロールしてすべての設定を表示します。

デバイスポリシー構成画面

  • ホスト:VPN接続先のサーバーのホスト名またはIPアドレスを入力します。OpenVPNでは必須です。ここで入力した値がプライマリホストになります。必要に応じて、プライマリホストへの接続失敗時に接続するホストを追加で設定できます。
  • 自動接続: VPNをホストに自動的に接続するかどうかを選択します。この設定が [オン] になっている場合、VPNは自動的にホストに接続します。デフォルトは [オフ] です。
  • ポート: ホストサーバーのポート番号を入力します。デフォルトは1194です。
  • プロトコル: ホストサーバーとの通信に使用するプロトコルを入力します。デフォルトはUPDです。
  • ユーザー認証の種類: リストで、目的の形式のユーザー認証を選択します。
    • なし: パスワードおよびワンタイムPINが不要になります。
    • パスワード: パスワードのみが求められます。この値を設定するか、接続時にユーザーに提供させることができます。
    • パスワードとOTP: パスワードとワンタイムPINが求められます。これらの値は管理者が設定するか、接続時にユーザーに入力させることができます。
    • OTP: ワンタイムPINが求められます。この値を設定するか、接続時にユーザーに提供させることができます。
  • ユーザー名: VPN接続で使用するユーザー名を入力します。指定しない場合、ユーザーがVPN接続時にユーザー名を入力するように求められます。この値は、テキスト文字列展開の対象になります。
    • $ {LOGIN_ID}は、ユーザーのメールアドレスのうち@記号までの部分に展開されます。
    • $ {LOGIN_EMAIL}は、ユーザーのメールアドレスに展開されます。
  • パスワード: VPN接続に使用するパスワードをテキスト文字列で入力します。指定しない場合、ユーザーが接続時にパスワードを入力するように求められます。
  • OTP: VPN接続に使用するワンタイムPINをテキスト文字列で入力します。パスワードのテキスト文字列を指定します。指定しない場合、ユーザーが接続時にワンタイムPINを入力するように求められます。
  • 資格情報の保存: 接続後にユーザーの資格情報を保存するかどうかを選択します。[オフ] に設定した場合、ユーザーは接続のたびに資格情報の入力を求められます。
  • メモリへの資格情報のキャッシュ: ユーザーが入力したユーザーパスワードとワンタイムPINを、デバイスのメモリにキャッシュするかどうかを選択します。この設定を [オン] にすると、キャッシュが有効になります。デフォルトは [オフ] です。
  • 認証: 接続の保護に使用する認証アルゴリズムを入力します。デフォルトはSHA-256です。
  • 認証の再試行の種類: リストで、ユーザーの資格情報が無効な場合のVPNの応答方法を選択します。[再試行時にエラーを表示して失敗する][認証を要求せずに再試行する][毎回認証を要求する] を選択できます。デフォルトは、[再試行時にエラーを表示して失敗する] です。
  • 暗号: 接続の保護に使用する暗号アルゴリズムを入力します。デフォルトはBF-CBCです。
  • LZO圧縮: VPNでLZO圧縮を使用するかどうかを選択します。[オン] に設定した場合、VPNではLZO圧縮が使用されます。デフォルトは [オフ] です。
  • 連続文字圧縮: VPNで連続文字圧縮を使用するかどうかを選択します。[オン] に設定した場合、VPNでは連続文字圧縮が使用されます。デフォルトは [オフ] です。

デバイスポリシー構成画面

  • 追加のホスト: デバイスがプライマリホストに接続できない場合に順番に接続を試行するホストのリストを構成します。これらの追加ホストの設定は省略可能です。
    1. [ホスト名] の右にある [追加] をクリックします。
    2. サーバーのホスト名またはIPアドレスを入力します。
    3. [保存] をクリックします。

    別のホストを追加する場合は、これらの手順を繰り返します。

  • サーバーのポーリングタイムアウト(秒): リストの次のサーバーへ移るまでにこのサーバーへの接続を試行する最長時間を秒数で入力します。
  • デフォルトルートを無視:このホストでVPNゲートウェイを無視するかどうかを選択します。デフォルトでは、デバイスは、VPNサーバーによりアドバタイズされたゲートウェイアドレスへのデフォルトのルートを作成します。[オン]に設定した場合、分割トンネリングが許可されます。デフォルトは [オフ] です。サーバーがリダイレクト構成フラグをクライアントにプッシュする場合、この設定は無視されます。
  • キー方向: キー方向のテキスト文字列を入力します。キーの方向は--key-directionとして渡されます。
  • ピア証明書の種類:ピア証明書の種類をチェックする場合は「server」と入力します。この設定が設定されていない場合、ピア証明書タイプはチェックされません。
  • ピア情報をプッシュ: ピア証明書情報をこのホストにプッシュするかどうかを選択します。この設定を [オン] にすると、ピア情報がプッシュされます。デフォルトは [オフ] です。
  • ピア証明書の拡張キー使用法: 明示的な拡張キー使用法のテキスト文字列をOID表記で入力します。このテキスト文字列でピア証明書に署名します。オプションです。

  • ピア証明書のキー使用法: 必要なキー使用番号を追加します。これらは、16進数でエンコードされた文字列です。
  • ピア証明書のTLS: RFC3280のTLS規則に基づいたピア証明書の署名が必要です。デフォルトは [なし] です。
  • データチャネルキーの再ネゴシエートの猶予期間(秒):データチャネルキーの再ネゴシエートを行うまでの待機秒数を整数で入力します。
  • 帯域幅制限:送信トンネルデータの帯域幅制限(バイト数/秒)を整数で入力します。
  • 静的チャレンジ: 静的チャレンジ応答で使用する文字列を入力します。
  • TLS認証キーの内容: TLSキーの内容をここに入力します。このフィールドが空の場合、TLS認証は使用できません。
  • TLSリモート接続: X.509名または共通名を入力し、この名前を共有するサーバーホストにのみ接続を許可します。
  • TLSの最小バージョン: OpenVPNで使用するTLSプロトコルの最小バージョンを入力します。
  • 詳細レベル: TLSの詳細レベルを整数で入力します。指定されていない場合、OpenVpnのデフォルトの詳細レベルを使用します。
  • 詳細ハッシュ: 設定されている場合、この値は--verify-hash引数としてOpenVPNに渡され、レベル1証明書のSHA-256フィンガープリントを指定します。
  • ホストのX509名を検証: 名前の検証で比較に使用するホストのX.509名を入力します。
  • ホストのX509名の種類を検証: 検証するX.509名の種類を選択します。[名前][名前-接頭辞][サブジェクト] を選択できます。
VPNデバイスポリシー