Product Documentation

VPNデバイスポリシー

Oct 25, 2016

XenMobileでデバイスポリシーを追加して、VPN(Virtual Private Network:仮想プライベートネットワーク)の設定を構成し、ユーザーのデバイスが社内リソースに安全に接続できるようにすることができます。 VPNポリシーは、iOS、Android(Android for Work対応デバイスを含む)、Samsung SAFE、Samsung KNOX、Windowsタブレット、Windows Phone、Amazonの各プラットフォームに対して構成できます。 プラットフォームごとに必要な値が異なります。これらの値について詳しくは、ここで説明しています。 

iOSの設定

Mac OS Xの設定

Androidの設定

Samsung SAFEの設定

Samsung KNOXの設定

Windows Phoneの設定

Windowsタブレットの設定

Amazonの設定

1.XenMobileコンソールで、[Configure]の[Device Policies]をクリックします。 [Device Policies]ページが開きます。

2.[Add]をクリックします。 [Add a New Policy]ダイアログボックスが開きます。 

3. [VPN]をクリックします。 [VPN Policy]ページが開きます。

localized image

4. [Policy Information]ペインで、以下の情報を入力します。

  • Policy Name:ポリシーの説明的な名前を入力します。
  • Description:任意で、ポリシーの説明を入力します。

5.[Next]をクリックします。 [Policy Platforms]ページが開きます。 [Policy Platforms]ページが開いたときはすべてのプラットフォームがオンになっており、最初はiOSプラットフォームが表示されます。

6. [Platforms]の下で、追加するプラットフォームをオンにします。 構成しないプラットフォームをオフにします。

1つのプラットフォームの設定の構成が完了したら、手順7.を参照してプラットフォームの展開規則を設定します。 

iOSの設定の構成

localized image

次の設定を構成します。

  • Connection name:接続の名前を入力します。
  • Connection type:一覧から、この接続において使用するプロトコルを選択します。 デフォルトは[L2TP]です。
    • L2TP:レイヤー2トンネリングプロトコルと事前共有キー認証
    • PPTP:Point-to-Pointトンネリング
    • IPSec:社内VPN接続
    • Cisco AnyConnect:Cisco AnyConnect VPNクライアント
    • Juniper SSL:Juniper Networks SSL VPNクライアント
    • F5 SSL:F5 Networks SSL VPNクライアント
    • SonicWALL Mobile Connect:iOS用Dell統合VPNクライアント
    • Ariba VIA:Aruba Networks仮想インターネットアクセスクライアント
    • IKEv2(iOS only):iOS専用インターネットキー交換バージョン2
    • Citrix VPN:iOS用Citrix VPNクライアント
    • Custom SSL:カスタムSSL(Secure Socket Layer)

次のセクションは、上記の接続の種類ごとに、構成オプションを示しています。 

L2TPプロトコルの構成
PPTPプロトコルの構成
IPSecプロトコルの構成
Cisco AnyConnectプロトコルの構成
Juniper SSLプロトコルの構成
F5 SSLプロトコルの設定
SonicWALLプロトコルの構成
Ariba VIAプロトコルの構成
IKEv2プロトコルの構成
Citrix VPNプロトコルの構成
カスタムSSLプロトコルの構成
[Enable VPN on demand]オプションの構成
  • プロキシDHCP
    • Proxy configuration:一覧から、VPN接続のプロキシサーバーのルーティング方法を選択します。 デフォルトは[None]です。
      • [Manual]を有効にした場合は、次の設定を構成します。
        • Host name or IP address for the proxy server:プロキシサーバーのホスト名またはIPアドレスを入力します。 このフィールドは必須です。
        • Port for the proxy server:プロキシサーバーのポート番号を入力します。 このフィールドは必須です。
        • User name:任意で、プロキシサーバーのユーザー名を入力します。
        • Password:任意で、プロキシサーバーのパスワードを入力します。
      • [Automatic]を選択した場合は、次の設定を構成します。
        • Proxy server URL:プロキシサーバーのURLを入力します。 このフィールドは必須です。
  • ポリシー設定
    • [Policy Settings]の下の[Remove policy]の横にある、[Select date]または[Duration until removal (in days)]をクリックします。
    • [Select date]をクリックした場合、カレンダーをクリックして削除を実行する特定の日付を選択します。
    • [Allow user to remove policy]の一覧で、[Always][Password required][Never]のいずれかを選択します。
    • [Password required]を選択した場合、[Removal password]の横に必要なパスワードを入力します。 

Mac OS Xの設定の構成

localized image

次の設定を構成します。

  • Connection name:接続の名前を入力します。
  • Connection type:一覧から、この接続において使用するプロトコルを選択します。 デフォルトは[L2TP]です。
    • L2TP:レイヤー2トンネリングプロトコルと事前共有キー認証
    • PPTP:Point-to-Pointトンネリング
    • IPSec:社内VPN接続
    • Cisco AnyConnect:Cisco AnyConnect VPNクライアント
    • Juniper SSL:Juniper Networks SSL VPNクライアント
    • F5 SSL:F5 Networks SSL VPNクライアント
    • SonicWALL Mobile Connect:iOS用Dell統合VPNクライアント
    • Ariba VIA:Aruba Networks仮想インターネットアクセスクライアント
    • Citrix VPN:Citrix VPNクライアント
    • Custom SSL:カスタムSSL(Secure Socket Layer)

次のセクションは、上記の接続の種類ごとに、構成オプションを示しています。 

L2TPプロトコルの構成
PPTPプロトコルの構成
IPSecプロトコルの構成
Cisco AnyConnectプロトコルの構成
Juniper SSLプロトコルの構成
F5 SSLプロトコルの構成
SonicWALLプロトコルの構成
Ariba VIAプロトコルの構成
Citrix VPNプロトコルの構成
カスタムSSLプロトコルの構成
[Enable VPN on demand]オプションの構成
  • プロキシDHCP
    • Proxy configuration:一覧から、VPN接続のプロキシサーバーのルーティング方法を選択します。 デフォルトは[None]です。
      • [Manual]を有効にした場合は、次の設定を構成します。
        • Host name or IP address for the proxy server:プロキシサーバーのホスト名またはIPアドレスを入力します。 このフィールドは必須です。
        • Port for the proxy server:プロキシサーバーのポート番号を入力します。 このフィールドは必須です。
        • User name:任意で、プロキシサーバーのユーザー名を入力します。
        • Password:任意で、プロキシサーバーのパスワードを入力します。
      • [Automatic]を選択した場合は、次の設定を構成します。
        • Proxy server URL:プロキシサーバーのURLを入力します。 このフィールドは必須です。
  • ポリシー設定
    • [Policy Settings]の下の[Remove policy]の横にある、[Select date]または[Duration until removal (in days)]をクリックします。
    • [Select date]をクリックした場合、カレンダーをクリックして削除を実行する特定の日付を選択します。
    • [Allow user to remove policy]の一覧で、[Always][Password required][Never]のいずれかを選択します。
    • [Password required]を選択した場合、[Removal password]の横に必要なパスワードを入力します。
    • [Profile scope]の横にある、[User]または[System]を選択します。 デフォルトは[User]です。 このオプションはOS X 10.7以降でのみ使用できます。

Androidの設定の構成

localized image

次の設定を構成します。

  • Cisco AnyConnect VPN
    • Connection name:Cisco AnyConnect VPN接続の名前を入力します。 このフィールドは必須です。
    • Server name or IP address:VPNサーバーの名前またはIPアドレスを入力します。 このフィールドは必須です。
    • Backup VPN server:バックアップVPNサーバー情報を入力します。
    • User group:ユーザーグループ情報を入力します。
    • Identity credential:一覧から、ID資格情報を選択します。
  • Trusted Networks
    • Automatic VPN policy:このオプションをオンまたはオフにして、信頼できるネットワークおよび信頼できないネットワークに対するVPNの動作方法を設定します。 有効にした場合は、次の設定を構成します。
      • Trusted network policy:一覧から、目的のポリシーを選択します。 デフォルトは[Disconnect]です。 選択できるオプションは以下のとおりです。
        • Disconnect:クライアントにより、信頼できるネットワーク圏内のVPN接続が終了されます。 これがデフォルトの設定です。
        • Connect:クライアントにより、信頼できるネットワーク圏内のVPN接続が開始されます。
        • Do Nothing:クライアントによるアクションはありません。
        • Pause:信頼できるネットワーク圏外でVPNセッションが確立された後、信頼済みとして構成されたネットワークにユーザーがアクセスすると、VPNセッションが(切断ではなく)一時停止されます。 ユーザーが信頼できるネットワークから離れると、セッションが再開されます。 これにより、信頼できるネットワークを離れた後に新しいVPNセッションを確立する手間が省かれます。
      • Untrusted network policy:一覧から、目的のポリシーを選択します。 デフォルトは[Connect]です。 選択できるオプションは以下のとおりです。
        • Connect:クライアントにより、信頼できないネットワーク圏内でVPN接続が開始されます。
        • Do Nothing:クライアントにより、信頼できないネットワーク圏内でVPN接続が開始されます。 このオプションにより、[Always-on VPN]が無効化されます。
    • Trusted domains:クライアントが信頼できるネットワーク圏内にある場合にネットワークインターフェイスに設定することができるドメインサフィックスごとに、[Add]をクリックして以下の操作を行います。
      • Domain:追加するドメインを入力します。
      • [Save]をクリックしてドメインを保存するか、[Cancel]をクリックして操作を取り消します。
    • Trusted servers:クライアントが信頼できるネットワーク圏内にある場合にネットワークインターフェイスに設定することができるサーバーアドレスごとに、[Add]をクリックして以下の操作を行います。
      • Servers:追加するサーバーを入力します。
      • [Save]をクリックしてサーバーを保存するか、[Cancel]をクリックして操作を取り消します。

注:既存のサーバーを削除するには、項目が含まれる行の上にマウスポインターを置き、右側のごみ箱アイコンをクリックします。 確認ダイアログボックスが開きます。 項目を削除するには[Delete]をクリックし、項目をそのままにするには[Cancel]をクリックします。

既存のサーバーを編集するには、項目が含まれる行の上にマウスポインターを置き、右側のペンアイコンをクリックします。 項目を変更し、[Save]をクリックして変更した項目を保存するか、[Cancel]をクリックして項目を変更せずそのままにします。

Samsung SAFEの設定の構成

localized image

次の設定を構成します。 

  • Connection name:接続の名前を入力します。
  • Vpn Type:一覧から、この接続で使用するプロトコルを選択します。 デフォルトは[L2TP with pre-shared key]です。 選択できるオプションは以下のとおりです。
    • L2TP with pre-shared key:レイヤー2トンネリングプロトコルと事前共有キー認証。 これがデフォルトの設定です。
    • L2TP with certificate:レイヤー2トンネリングプロトコルと証明書。
    • PPTP:Point-to-Pointトンネリング。
    • Enterprise:社内VPN接続。 バージョン2.0よりも前のSAFEに適用可能です。
    • Generic:一般的なVPN接続。 バージョン2.0以降のSAFEに適用可能です。

以下のセクションでは、上記のVPNの種類ごとに構成オプションを示します。 

[L2TP with pre-shared key]プロトコルの構成
[L2TP with certificate]プロトコルの構成
[PPTP]プロトコルの構成
[Enterprise]プロトコルの構成
[Generic]プロトコルの構成

Samsung KNOXの設定の構成

localized image

注:Samsung KNOXのポリシーを構成した場合、ポリシーはSamsung KNOXコンテナーにのみ適用されます。

次の設定を構成します。

  • Vpn Type:一覧から、構成するVPN接続の種類として[Enterprise](バージョン2.0よりも前のKNOXに適用可能)または[Generic](バージョン2.0以降のKNOXに適用可能)をクリックします。 デフォルトは[Enterprise]です。 

次のセクションは、上記の接続の種類ごとに、構成オプションを示しています。  

[Enterprise]プロトコルの構成
[Generic]プロトコルの構成

Windows Phoneの設定の構成

localized image

注:これらの設定は、Windows 10以降の監視対象Windows Phoneでのみサポートされます。

次の設定を構成します。

  • Connection name:接続の名前を入力します。 このフィールドは必須です。
  • Profile type:一覧から、[Native]または[Plugin]を選択します。 デフォルトは[Native]です。 次のセクションでは、各オプションの設定について説明します。
  • Configure Native profile type settings:以下の設定は、ユーザーのWindows Phoneに組み込まれているVPNに適用されます。
    • VPN server name:VPNサーバーのFQDNまたはIPアドレスを入力します。 このフィールドは必須です。
    • Tunneling protocol:一覧から、使用するVPNトンネルの種類を選択します。 デフォルトは[L2TP]です。 選択できるオプションは以下のとおりです。
      • L2TP:レイヤー2トンネリングプロトコルと事前共有キー認証
      • PPTP:Point-to-Pointトンネリング
      • IKEv2:インターネットキー交換バージョン2
    • Authentication method:一覧から、使用する認証方法を選択します。 デフォルトは[EAP]です。 選択できるオプションは以下のとおりです。
      • EAP:拡張認証プロトコル。
      • MSChapV2:相互認証にMicrosoftのチャレンジハンドシェイク認証を使用します。 トンネルの種類に[IKEv2]を選択した場合、このオプションは使用できません。 [MSChapV2]を選択すると、[Automatically use Windows credentials]オプションが表示されます。デフォルトは[OFF]です。
    • EAP method:一覧から、使用するEAP方法を選択します。 デフォルトは[TLS]です。 [MSChapV2]認証が有効になっている場合、このフィールドは使用できません。 選択できるオプションは以下のとおりです。
      • TLS:Transport Layer Security
      • PEAP:保護された拡張認証プロトコル
    • DNS Suffix:DNSサフィックスを入力します。
    • Trusted networks:アクセスにVPN接続を必要としないネットワークの一覧をコンマ区切りで入力します。 たとえば、ユーザーが社内ワイヤレスネットワークのメンバーであれば、保護されているリソースに直接アクセスすることができます。
    • Require smart card certificate:スマートカード証明書を必須とするかどうかを選択します。 デフォルトは[OFF]です。
    • Automatically select client certificate:認証に使用するクライアント証明書が自動的に選択されるようにするかどうかを選択します。 デフォルトは[OFF]です。 [Require smart card certificate]が有効になっている場合、このオプションは使用できません。
    • Remember credential:資格情報をキャッシュするかどうかを選択します。 デフォルトは[OFF]です。 有効にすると、可能な場合に資格情報がキャッシュされます。
    • Always on VPN:VPNを常にオンにするかどうかを選択します。 デフォルトは[OFF]です。 有効にすると、ユーザーが手動で切断するまで、VPN接続はオンのままです。
    • Bypass For Local:ローカルリソースによるプロキシサーバーのバイパスを許可するアドレスおよびポート番号を入力します。
  • Configure Plugin protocol type:以下の設定は、Windows Storeから取得し、ユーザーのデバイスにインストールしたVPNプラグインに適用されます。
    • Server address:VPNサーバーのURL、 ホスト名、またはIPアドレスを入力します。
    • Client app ID:VPNプラグインのパッケージファミリ名を入力します。
    • Plugin Profile XML:使用するカスタムVPNプラグインプロファイルの場所に[Browse]をクリックして移動し、ファイルを選択します。 形式などの詳細については、プラグインプロバイダーにお問い合わせください。
    • DNS Suffix:DNSサフィックスを入力します。
    • Trusted networks:アクセスにVPN接続を必要としないネットワークの一覧をコンマ区切りで入力します。 たとえば、ユーザーが社内ワイヤレスネットワークのメンバーであれば、保護されているリソースに直接アクセスすることができます。
    • Remember credential:資格情報をキャッシュするかどうかを選択します。 デフォルトは[OFF]です。 有効にすると、可能な場合に資格情報がキャッシュされます。
    • Always on VPN:VPNを常にオンにするかどうかを選択します。 デフォルトは[OFF]です。 有効にすると、ユーザーが手動で切断するまで、VPN接続はオンのままです。
    • Bypass For Local:ローカルリソースによるプロキシサーバーのバイパスを許可するアドレスおよびポート番号を入力します。

Windowsタブレットの設定の構成

localized image

次の設定を構成します。

  • OS Version:一覧から、Windows 8.1の場合は[8.1]を、Windows 10の場合は[10]を選択します。デフォルトは[10]です。
Windows 10の設定の構成
Windows 8.1の設定の構成

Amazonの設定の構成

localized image

次の設定を構成します。

  • Connection name:接続の名前を入力します。
  • Vpn type:一覧から、接続の種類を選択します。 選択できるオプションは以下のとおりです。
    • L2TP PSK:レイヤー2トンネリングプロトコルと事前共有キー認証。 これがデフォルトの設定です。
    • L2TP RSA:レイヤー2トンネリングプロトコルとRSA認証。
    • IPSEC XAUTH PSK:インターネットプロトコルセキュリティと事前共有キーおよび拡張認証。
    • IPSEC HYBRID RSA:インターネットプロトコルセキュリティとハイブリッドRSA認証。
    • PPTP:Point-to-Pointトンネリング

次のセクションは、上記の接続の種類ごとに、構成オプションを示しています。

L2TP PSKの設定の構成
L2TP RSAの設定の構成
IPSEC XAUTH PSKの設定の構成
IPSEC AUTH RSAの設定の構成
IPSEC HYBRID RSAの設定の構成
PPTP設定の構成
7. 展開規則を構成します。

8. [Next]をクリックします。[VPN Policy]割り当てページが開きます。

localized image

9. [Choose delivery groups]の横に、ポリシーを割り当てるデリバリーグループを入力して検索するか、一覧でグループを選択します。 選択したグループが右側の[Delivery groups to receive app assignment]の一覧に表示されます。

10.[Deployment Schedule]を展開して以下の設定を構成します。

  • [Deploy]の横の[ON]をクリックすると展開がスケジュールされ、[OFF]をクリックすると展開が行われません。 デフォルトのオプションは[ON]です。 [OFF]を選択した場合、そのほかのオプションを構成する必要はありません。
  • [Deployment schedule]の横の[Now]または[Later]をクリックします。 デフォルトのオプションは[Now]です。
  • [Later]をクリックした場合は、カレンダーアイコンをクリックして展開日時を選択します。
  • [Deployment condition]の横の[On every connection]をクリックするか、[Only when previous deployment has failed]をクリックします。 デフォルトのオプションは、[On every connection]です。
  • [Deploy for always-on connection]の横の[ON]または[OFF]をクリックします。 デフォルトのオプションは[OFF]です。 このオプションは、[Settings]の[Server Properties]において、バックグラウンドで展開するキーのスケジュールを構成した場合に適用されます。 常時接続オプションは、iOSデバイスでは使用できません。

注:

  • このオプションは、[Settings]の[Server Properties]において、バックグラウンドで展開するキーのスケジュールを構成した場合に適用されます。 常時接続オプションは、iOSデバイスでは使用できません。
  • 構成した展開スケジュールはすべてのプラットフォームについて同一です。 すべてのプラットフォームに変更が適用されます。ただしiOSには、[Deploy for always on connection]は適用されません。

11. [Save]をクリックします。