Product Documentation

VPNデバイスポリシー

2018年4月17日

XenMobileでデバイスポリシーを追加して、VPN(Virtual Private Network:仮想プライベートネットワーク)の設定を構成し、ユーザーのデバイスが社内リソースに安全に接続できるようにすることができます。次のプラットフォームでVPNポリシーを構成できます。プラットフォームごとに必要な値が異なります。これらの値について詳しくは、ここで説明しています。

このポリシーを追加したり構成したりするには、[構成]>[デバイスポリシー] に移動します。詳しくは、「デバイスポリシー」を参照してください。

iOS 設定

デバイスポリシー構成画面の画像

  • 接続名: 接続名を入力します。
  • 接続の種類: 一覧から、この接続において使用するプロトコルを選択します。デフォルトは[L2TP]です。
    • L2TP: レイヤー2トンネリングプロトコルと事前共有キー認証。
    • PPTP: Point-to-Pointトンネリング。
    • IPSec: 社内VPN接続。
    • Cisco Legacy AnyConnect: この接続の種類では、従来のCisco AnyConnect VPNクライアントがユーザーデバイスにインストールされている必要があります。Ciscoは、廃止されたVPNフレームワークに基づいていた従来のCisco AnyConnectクライアントを段階的に廃止しています。詳しくは、XenMobileの言語サポートの記事(https://support.citrix.com/article/CTX227708)を参照してください。

      現在のCisco AnyConnectクライアントを使用するには、接続の種類カスタムSSLを使用します。必要な設定については、このセクションの「カスタムSSLプロトコルの構成」を参照してください。

    • Juniper SSL: Juniper Networks SSL VPNクライアント
    • F5 SSL: F5 Networks SSL VPNクライアント
    • SonicWALL Mobile Connect: iOS用Dell統合VPNクライアント
    • Ariba VIA: Aruba Networks仮想インターネットアクセスクライアント
    • IKEv2(iOS only): iOS専用インターネットキー交換バージョン2
    • Citrix VPN: iOS用Citrix VPNクライアント
    • カスタムSSL: カスタムSSL(Secure Socket Layer)この接続の種類は、バンドルIDがcom.cisco.anyconnectのCisco AnyConnectクライアントに必要です。Cisco AnyConnect接続名を指定します。また、VPNポリシーを展開して、iOSデバイス用のネットワークアクセス制御(NAC)フィルターを有効にすることもできます。このフィルターで、非準拠のアプリがインストールされているデバイスのVPN接続をブロックできます。この構成では、iOS VPNポリシーの特定の設定が必要です(下記のiOSセクションを参照)。NACフィルターを有効にするために必要なその他の設定の詳細については、「ネットワークアクセス制御」を参照してください。

次のセクションは、上記の接続の種類ごとに、構成オプションを示しています。

iOS向けL2TPプロトコルの設定

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • パスワード認証] または [RSA SecureID認証] をクリックします。
  • 共有シークレット: IPSec共有シークレットキーを入力します。
  • すべてのトラフィックを送信: VPN経由ですべてのトラフィックを送信するかどうかを選択します。デフォルトは、[Off]です。

iOS向けPPTPプロトコルの設定

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • パスワード認証] または [RSA SecureID認証] をクリックします。
  • 暗号化レベル: 一覧から、暗号化レベルを選択します。デフォルトは [なし] です。
    • なし: 暗号化を使用しません。
    • 自動: サーバーでサポートされている最も強力な暗号化レベルを使用します。
    • Maximum (128-bit): 常に128ビットの暗号化を使用します。
  • すべてのトラフィックを送信: VPN経由ですべてのトラフィックを送信するかどうかを選択します。デフォルトは、[Off]です。

iOS向けIPSecプロトコルの構成

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • 接続の認証の種類: 一覧から、この接続の認証の種類として、[共有シークレット] または [証明書] を選択します。デフォルトは[Shared Secret]です。
  • 共有シークレット] を有効にした場合は、次の設定を構成します。
    • グループ名: 任意で、グループ名を入力します。
    • 共有シークレット: 任意で、共有シークレットキーを入力します。
    • ハイブリッド認証を使用: ハイブリッド認証を使用するかどうかを選択します。ハイブリッド認証では、まずサーバーがクライアントに対する認証を行い、次にクライアントがサーバーに対する認証を行います。デフォルトは、[Off]です。
    • パスワードの入力を要求: ネットワークへの接続時にユーザーにパスワードの入力を求めるかどうかを選択します。デフォルトは、[Off]です。
  • Certificate]を有効にした場合は、次の設定を構成します。
    • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
    • 接続時にPINを要求: ネットワークへの接続時にユーザーによるPINの入力を必須とするかどうかを選択します。デフォルトは、[Off]です。
    • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは、[Off]です。[iOS向け] が [ON] であるときの設定の構成について詳しくは、「[iOS向け]オプションの構成」を参照してください。
  • Per-App VPNの有効化: アプリケーションごとのVPNを有効にするかどうかを選択します。デフォルトは、[Off]です。iOS 9.0以降でのみ利用できます。
  • オンデマンドマッチアプリが有効: アプリケーションごとのVPNサービスにリンクされているアプリケーションがネットワーク通信を開始したときに、アプリケーションごとのVPN接続が自動的にトリガーされるようにするかどうかを選択します。デフォルトは、[Off]です。
  • Safariドメイン:[追加] をクリックして、Safariドメイン名を追加します。

従来のiOS向けCisco AnyConnectプロトコルの構成

従来のCisco AnyConnectクライアントから新しいCisco AnyConnectクライアントに移行するには、カスタムSSLプロトコルを使用します。

  • プロバイダーのバンドル識別子: 従来のAnyConnectクライアントの場合、バンドルIDはcom.cisco.anyconnect.guiです。
  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • グループ: 任意で、グループ名を入力します。
  • 接続の認証の種類: 一覧で、この接続の認証の種類に [パスワード] か [証明書] のどちらを使用するかを選択します。デフォルトは[Password]です。
    • Password]を有効にした場合は、[Auth password]フィールドに任意の認証パスワードを入力します。
    • Certificate]を有効にした場合は、次の設定を構成します。
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーにPINの入力を求めるかどうかを選択します。デフォルトは、[Off]です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは、[Off]です。[オンデマンドにVPNを有効化] が [オン] であるときの設定の構成について詳しくは、「iOS向け[オンデマンドにVPNを有効化]オプションの構成」を参照してください。
  • Per-app VPN: アプリケーションごとのVPNを有効にするかどうかを選択します。デフォルトは、[Off]です。iOS 7.0以降でのみ使用できます。このオプションを有効にした場合は、次の設定を構成します。
    • オンデマンドマッチが有効: アプリケーションごとのVPNサービスにリンクされているアプリケーションがネットワーク通信を開始したときに、アプリケーションごとのVPN接続が自動的にトリガーされるようにするかどうかを選択します。デフォルトは、[Off]です。
    • Safariドメイン: アプリケーションごとのVPN接続をトリガーできる、追加するSafariドメインごとに、[追加] をクリックして以下の操作を行います。
      • ドメイン: 追加するドメインを入力します。
      • Save]をクリックしてドメインを保存するか、[Cancel]をクリックして操作を取り消します。

iOS向けJuniper SSLプロトコルの構成

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • 範囲: オプションの領域名を入力します。
  • 役割: オプションの役割名を入力します。
  • 接続の認証の種類: 一覧で、この接続の認証の種類に [パスワード] か [証明書] のどちらを使用するかを選択します。デフォルトは[Password]です。
    • Password]を有効にした場合は、[Auth password]フィールドに任意の認証パスワードを入力します。
    • Certificate]を有効にした場合は、次の設定を構成します。
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーにPINの入力を求めるかどうかを選択します。デフォルトは、[Off]です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは、[Off]です。[オンデマンドにVPNを有効化] が [ON] であるときの設定の構成について詳しくは、「iOS向け[オンデマンドにVPNを有効化]オプションの構成」を参照してください。
  • Per-app VPN: アプリケーションごとのVPNを有効にするかどうかを選択します。デフォルトは、[Off]です。iOS 7.0以降でのみ使用できます。このオプションを有効にした場合は、次の設定を構成します。
    • オンデマンドマッチが有効: アプリケーションごとのVPNサービスにリンクされているアプリケーションがネットワーク通信を開始したときに、アプリケーションごとのVPN接続が自動的にトリガーされるようにするかどうかを選択します。デフォルトは、[Off]です。
    • Safariドメイン: アプリケーションごとのVPN接続をトリガーできる、追加するSafariドメインごとに、[追加] をクリックして以下の操作を行います。
      • ドメイン: 追加するドメインを入力します。
      • Save]をクリックしてドメインを保存するか、[Cancel]をクリックして操作を取り消します。

iOS向けF5 SSLプロトコルの構成

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • 接続の認証の種類: 一覧で、この接続の認証の種類に [パスワード] か [証明書] のどちらを使用するかを選択します。デフォルトは[Password]です。
    • Password]を有効にした場合は、[Auth password]フィールドに任意の認証パスワードを入力します。
    • Certificate]を有効にした場合は、次の設定を構成します。
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーにPINの入力を求めるかどうかを選択します。デフォルトは、[Off]です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは、[Off]です。[オンデマンドにVPNを有効化] が [ON] であるときの設定の構成について詳しくは、「iOS向け[オンデマンドにVPNを有効化]オプションの構成」を参照してください。
  • Per-app VPN: アプリケーションごとのVPNを有効にするかどうかを選択します。デフォルトは、[Off]です。iOS 7.0以降でのみ使用できます。このオプションを有効にした場合は、次の設定を構成します。
    • オンデマンドマッチが有効: アプリケーションごとのVPNサービスにリンクされているアプリケーションがネットワーク通信を開始したときに、アプリケーションごとのVPN接続が自動的にトリガーされるようにするかどうかを選択します。
    • Safariドメイン: アプリケーションごとのVPN接続をトリガーできる、追加するSafariドメインごとに、[追加] をクリックして以下の操作を行います。
      • ドメイン: 追加するドメインを入力します。
      • Save]をクリックしてドメインを保存するか、[Cancel]をクリックして操作を取り消します。

iOS向けSonicWALLプロトコルの構成

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • ログオングループまたはドメイン: 任意で、ログオングループまたはドメインを入力します。
  • 接続の認証の種類: 一覧で、この接続の認証の種類に [パスワード] か [証明書] のどちらを使用するかを選択します。デフォルトは[Password]です。
    • Password]を有効にした場合は、[Auth password]フィールドに任意の認証パスワードを入力します。
    • Certificate]を有効にした場合は、次の設定を構成します。
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーにPINの入力を求めるかどうかを選択します。デフォルトは、[Off]です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは、[Off]です。[オンデマンドにVPNを有効化] が [オン] であるときの設定の構成について詳しくは、「iOS向け[オンデマンドにVPNを有効化]オプションの構成」を参照してください。
  • Per-app VPN: アプリケーションごとのVPNを有効にするかどうかを選択します。デフォルトは、[Off]です。iOS 7.0以降でのみ使用できます。このオプションを[ON]に設定した場合は、次の設定を構成します。
    • オンデマンドマッチが有効: アプリケーションごとのVPNサービスにリンクされているアプリケーションがネットワーク通信を開始したときに、アプリケーションごとのVPN接続が自動的にトリガーされるようにするかどうかを選択します。
    • Safariドメイン: アプリケーションごとのVPN接続をトリガーできる、追加するSafariドメインごとに、[追加] をクリックして以下の操作を行います。
      • ドメイン: 追加するドメインを入力します。
      • Save]をクリックしてドメインを保存するか、[Cancel]をクリックして操作を取り消します。

iOS向けAriba VIAプロトコルの構成

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • 接続の認証の種類: 一覧で、この接続の認証の種類に [パスワード] か [証明書] のどちらを使用するかを選択します。デフォルトは[Password]です。
    • Password]を有効にした場合は、[Auth password]フィールドに任意の認証パスワードを入力します。
    • Certificate]を有効にした場合は、次の設定を構成します。
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーにPINの入力を求めるかどうかを選択します。デフォルトは、[Off]です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは、[Off]です。[オンデマンドにVPNを有効化] が [オン] であるときの設定の構成について詳しくは、「iOS向け[オンデマンドにVPNを有効化]オプションの構成」を参照してください。
  • Per-app VPN: アプリケーションごとのVPNを有効にするかどうかを選択します。デフォルトは、[Off]です。iOS 7.0以降でのみ使用できます。このオプションを有効にした場合は、次の設定を構成します。
    • オンデマンドマッチが有効: アプリケーションごとのVPNサービスにリンクされているアプリケーションがネットワーク通信を開始したときに、アプリケーションごとのVPN接続が自動的にトリガーされるようにするかどうかを選択します。
    • Safariドメイン: アプリケーションごとのVPN接続をトリガーできる、追加するSafariドメインごとに、[追加] をクリックして以下の操作を行います。
      • ドメイン: 追加するドメインを入力します。
      • Save]をクリックしてドメインを保存するか、[Cancel]をクリックして操作を取り消します。

iOS向けIKEv2プロトコルの構成

このセクションには、IKEv2、AlwaysOn IKEv2、AlwaysOn IKEv2のデュアル構成プロトコルで使用する設定が含まれます。

  • 自動接続の無効化をユーザーに許可: AlwaysOnプロトコルが対象です。デバイスでネットワークへの自動接続をオフにすることをユーザーに許可するかどうかを選択します。デフォルトは、[Off]です。

  • サーバーのホスト名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。

  • ローカル識別子: IKEv2クライアントのFQDNまたはIPアドレスを入力します。このフィールドは必須です。

  • リモート識別子: VPNサーバーのFQDNまたはIPアドレスを入力します。このフィールドは必須です。

  • マシン認証: この接続の認証の種類として、[共有シークレット] または [証明書] を選択します。デフォルトは[Shared Secret]です。

    • 共有シークレット: 任意で、共有シークレットキーを入力します。

    • 証明書] を選択した場合は、[ID資格情報] の使用を選択します。デフォルトは[None]です。

  • 拡張認証が有効: 拡張認証プロトコル(EAP)を有効にするかどうかを選択します。[オン] を選択した場合は、ユーザーアカウント認証パスワードを入力します(iOS 8.0以降)。

  • 停止ピア検出間隔: ピアデバイスが到達可能であるかを確認するための問い合わせ頻度を選択します。デフォルトは [なし] です。オプションは次の通りです(iOS 8.0以降)。

    • なし: 使用不能なピアの検出を無効にします。

    • 低: 30分ごとにピアに問い合わせます。

    • 中: 10分ごとにピアに問い合わせます。

    • 高: 1分ごとにピアに問い合わせます。

  • モビリティおよびマルチホーミングを無効化: この機能を無効にするかどうかを選択します(iOS 9.0以降)。

  • IPv4/IPv6内部サブネット属性の使用: この機能を有効にするかどうかを選択します(iOS 9.0以降)。

  • リダイレクトを無効化: リダイレクトを無効にするかどうかを選択します(iOS 9.0以降)。

  • デバイスのスリープ中NATキープアライブを有効化: AlwaysOnプロトコルが対象です。キープアライブパケットはIKEv2接続のNATマッピングを維持するために使用されます。このパケットは、デバイスがオンになっているとチップによって定期的な間隔で送信されます。設定を[オン]にすると、デバイスがスリープ中でもキープアライブパケットはチップで送信されます。デフォルト間隔は、WiFi経由で20秒、携帯経由で110秒です。この間隔は、NATキープアライブ間隔のパラメーターを使用して変更できます(iOS 9.0以降)。

  • NATキープアライブ間隔(秒): デフォルトでは20秒です(iOS 9.0以降)。

  • Perfect Forward Secrecyを有効化: この機能を有効にするかどうかを選択します(iOS 9.0以降)。

  • DNS サーバーの IP アドレス: オプション。DNSサーバーのIPアドレス文字列の一覧です。これらのIPアドレスには、IPv4アドレスとIPv6アドレスを混在させることができます。[追加] をクリックしてアドレスを入力します。

  • ドメイン名: オプション。トンネルのプライマリドメインです(iOS 10.0以降)。

  • 検索ドメイン: オプション。単一ラベルホスト名の完全修飾に使用されるドメインの一覧です。

  • 補足マッチドメインをリゾルバー一覧に追加する: オプション。補足マッチドメイン一覧のドメインを、リゾルバーの検索ドメインに追加するかどうかを決定します。0は追加を意味し、1は追加しないことを意味します。デフォルト値は0です。

  • 補足マッチドメイン: オプション。どのDNSクエリがDNSサーバーアドレスに含まれるDNSリゾルバー設定を使用するかを判別するドメイン文字列の一覧です。このキーは、特定のドメインのホストのみがトンネルのDNSリゾルバーを使用して解決される、分割DNS設定を作成するために使用されます。この一覧のドメインにないホストは、システムのデフォルトのリゾルバーを使用して解決されます。

このパラメーターに空の文字列が含まれる場合は、この文字列がデフォルトのドメインとして使用されます。これにより、分割トンネルの設定によって、すべてのDNSクエリをプライマリDNSサーバーの前にまずVPN DNSサーバーに振り分けることができます。VPNトンネルがネットワークのデフォルトルートになると、 一覧に追加されたDNSサーバーはデフォルトのリゾルバーになります。この場合、補足マッチドメインの一覧は無視されます。

  • IKE SA ParametersおよびChild SA Parameters:Security Association(SA)パラメーターオプションごとに、次の設定を構成します。

    • 暗号化アルゴリズム: 一覧から、使用するIKE暗号化アルゴリズムを選択します。デフォルトは3DESです。

    • 整合性アルゴリズム: 一覧から、使用する整合性アルゴリズムを選択します。デフォルトはSHA1-96です。

    • Diffie Hellmanグループ: 一覧から、Diffie Hellmanグループ番号を選択します。デフォルトは2です。

    • 有効期間(分): SAの有効期間(キー更新間隔)を表す10~1440の整数を入力します。デフォルトは1440分です。

  • サービスの例外: AlwaysOnプロトコルが対象です。サービスの例外とは、Always On VPNから除外されたシステムサービスです。次のサービス例外設定を構成します

    • ボイスメール: 一覧から、ボイスメールの例外を処理する方法を選択します。デフォルトは [トンネル経由のトラフィックを許可] です。

    • AirPrint: 一覧から、AirPrintの例外を処理する方法を選択します。デフォルトは [トンネル経由のトラフィックを許可] です。

    • Allow traffic from captive web sheet outside the VPN tunnel:ユーザーがVPNトンネルの外側にある公衆ホットスポットに接続するのを許可するかどうかを選択します。デフォルトは、[Off]です。

    • Allow traffic from all captive networking apps outside the VPN tunnel:VPNトンネルの外側にあるすべてのホットスポットネットワーキングアプリケーションを許可するかどうかを選択します。デフォルトは、[Off]です。

    • キャプティブ ネットワーク アプリのバンドルID: ユーザーによるアクセスが許可されているホットスポットネットワーキングのアプリバンドルIDごとに、[追加] をクリックしてホットスポットネットワーキングのアプリバンドルIDを入力します。[保存] をクリックしてアプリバンドルIDを保存します。

  • アプリ単位のVPN。次の設定をIKEv2の接続の種類用に構成します。

    • Per-App VPNの有効化: アプリケーションごとのVPNを有効にするかどうかを選択します。デフォルトは、[Off]です。iOS 9.0以降でのみ利用できます。
    • オンデマンドマッチアプリが有効: アプリケーションごとのVPNサービスにリンクされているアプリケーションがネットワーク通信を開始したときに、アプリケーションごとのVPN接続が自動的にトリガーされるようにするかどうかを選択します。デフォルトは、[Off]です。
    • Safariドメイン:[追加] をクリックして、Safariドメイン名を追加します。
  • プロキシ構成: プロキシサーバー経由でのVPN接続のルーティング方法を選択します。デフォルトは [なし] です。

iOS向けCitrix VPNプロトコルの構成

Citrix VPNクライアントは、Apple Store(こちら)で入手することができます。

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • 接続の認証の種類: 一覧で、この接続の認証の種類に [パスワード] か [証明書] のどちらを使用するかを選択します。デフォルトは[Password]です。
    • Password]を有効にした場合は、[Auth password]フィールドに任意の認証パスワードを入力します。
    • Certificate]を有効にした場合は、次の設定を構成します。
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは[None]です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーにPINの入力を求めるかどうかを選択します。デフォルトは[OFF]です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは[OFF]です。[オンデマンドにVPNを有効化] が [オン] であるときの設定の構成について詳しくは、「iOS向け[オンデマンドにVPNを有効化]オプションの構成」を参照してください。
  • Per-app VPN: アプリケーションごとのVPNを有効にするかどうかを選択します。デフォルトは、[Off]です。iOS 7.0以降でのみ使用できます。このオプションを[ON]に設定した場合は、次の設定を構成します。
    • オンデマンドマッチが有効: アプリケーションごとのVPNサービスにリンクされているアプリケーションがネットワーク通信を開始したときに、アプリケーションごとのVPN接続が自動的にトリガーされるようにするかどうかを選択します。
    • Safariドメイン: アプリケーションごとのVPN接続をトリガーできる、追加するSafariドメインごとに、[追加] をクリックして以下の操作を行います。
      • ドメイン: 追加するドメインを入力します。
      • Save]をクリックしてドメインを保存するか、[Cancel]をクリックして操作を取り消します。
  • カスタムXML: 追加するカスタムXMLパラメーターごとに、[追加] をクリックしてキーと値のペアを指定します。使用できるパラメーターは次のとおりです。
    • disableL3: システムレベルのVPNを無効化します。アプリごとのVPNのみ許容します。は不要です。
    • useragent: このデバイスポリシーに、VPNプラグインクライアントを対象とする任意のNetScalerポリシーを関連付けます。このキーのは、プラグインによって開始される要求に対応して、VPNプラグインに自動的に追加されます。

iOS向けカスタムSSLプロトコルの構成

従来のCisco AnyConnectクライアントからCisco AnyConnectクライアントに移行するには:

  1. カスタムSSLプロトコルを使用してVPNデバイスポリシーを構成します。iOSデバイスにポリシーを展開します。
  2. https://itunes.apple.com/us/app/cisco-anyconnect/id1135064690?mt=8からCisco AnyConnectクライアントをアップロードし、XenMobile Serverにアプリを追加してから、iOSデバイスにアプリを展開します。
  3. iOSデバイスから古いVPNデバイスポリシーを削除します。

オプション:

  • カスタムSSL識別子(リバースDNS形式): バンドルIDに設定します。Cisco AnyConnectクライアントの場合は、com.cisco.anyconnectを使用します。
  • プロバイダーのバンドル識別子:[カスタムSSL識別子] で指定したアプリに同じ種類(アプリプロキシまたはパケットトンネル)のVPNプロバイダーが複数設定されている場合、このバンドルIDを指定します。Cisco AnyConnectクライアントの場合は、com.cisco.anyconnectを使用します。
  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • 接続の認証の種類: 一覧で、この接続の認証の種類に [パスワード] か [証明書] のどちらを使用するかを選択します。デフォルトは[Password]です。
    • Password]を有効にした場合は、[Auth password]フィールドに任意の認証パスワードを入力します。
    • Certificate]を有効にした場合は、次の設定を構成します。
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは[None]です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーにPINの入力を求めるかどうかを選択します。デフォルトは[OFF]です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは[OFF]です。[iOS向け] が [オン] であるときの設定の構成について詳しくは、「[iOS向け]オプションの構成」を参照してください。
  • Per-app VPN: アプリケーションごとのVPNを有効にするかどうかを選択します。デフォルトは、[Off]です。iOS 7.0以降でのみ使用できます。このオプションを[ON]に設定した場合は、次の設定を構成します。
    • オンデマンドマッチが有効: アプリケーションごとのVPNサービスにリンクされているアプリケーションがネットワーク通信を開始したときに、アプリケーションごとのVPN接続が自動的にトリガーされるようにするかどうかを選択します。
    • プロバイダーの種類: プロバイダーの種類では、プロバイダーがVPNサービスとプロキシサービスのどちらであるかを指定します。VPNサービスの場合は [パケットトンネル] を選択します。プロキシサービスの場合は [アプリプロキシ] を選択します。Cisco AnyConnectクライアントの場合は、[パケットトンネル] を選択します。
    • Safariドメイン: アプリケーションごとのVPN接続をトリガーできる、追加するSafariドメインごとに、[追加] をクリックして以下の操作を行います。
      • ドメイン: 追加するドメインを入力します。
      • Save]をクリックしてドメインを保存するか、[Cancel]をクリックして操作を取り消します。
  • カスタムXML: 追加するカスタムXMLパラメーターごとに、[追加] をクリックして以下の操作を行います。
    • パラメーター名: 追加するパラメーターの名前を入力します。
    • 値:[パラメーター名] に関連付ける値を入力します。
    • Save]をクリックしてパラメーターを保存するか、[Cancel]をクリックして操作を取り消します。

NACをサポートするようにVPNデバイスポリシーを設定するには

  1. NACフィルターを設定するには、カスタムSSL接続の種類が必要です。
  2. VPN接続名を指定します。
  3. カスタムSSL識別子] に、「com.citrix.NetScalerGateway.ios.app」と入力します。
  4. プロバイダーのバンドル識別子] に、「com.citrix.NetScalerGateway.ios.app.vpnplugin」と入力します。

手順3と手順4の値は、NACのフィルタリングに必要なCitrix SSO 1.0.1インストールの値です。認証パスワードは設定しないでください。NAC機能の使用の詳細については、「ネットワークアクセス制御」を参照してください。

iOS向け[オンデマンドに VPN を有効化]オプションの構成

  • オンデマンドドメイン: 追加するドメインおよびユーザーがドメインに接続したときに実行される関連アクションごとに、[追加] をクリックして以下の操作を行います。
  • ドメイン: 追加するドメインを入力します。
  • アクション: 一覧から、提供されているアクションのいずれかを選択します。
    • 常に確立: ドメインは常にVPN接続をトリガーします。
    • 確立しない: ドメインはVPN接続をトリガーしません。
    • 必要な場合確立: DNSサーバーがドメインを解決できない、別のサーバーにリダイレクトする、またはタイムアウトしたなどドメイン名解決に失敗した場合、ドメインはVPN接続試行をトリガーします。
    • Save]をクリックしてドメインを保存するか、[Cancel]をクリックして操作を取り消します。
  • オンデマンド ルール
    • アクション: 一覧から、実行するアクションを選択します。デフォルトは[EvaluateConnection]です。選択できるアクションは以下のとおりです。
      • 許可: トリガーされたときにVPNオンデマンドで接続できるようにします。
      • 接続: 無条件でVPN接続を開始します。
      • 切断: VPN接続を解除し、規則と一致しない限りオンデマンドの再接続を行いません。
      • EvaluateConnection: 接続ごとに、[ActionParameters]アレイを評価します。
      • 無視: 既存のVPN接続を動作中のままにします。ただし、規則と一致しない限りオンデマンドの再接続を行いません。
    • DNSDomainMatch: デバイスの検索ドメイン一覧と一致する可能性のある、追加するドメインごとに、[追加] をクリックして以下の操作を行います。
      • DNSドメイン: ドメイン名を入力します。ワイルドカード文字「*」をプレフィックスに使用すると、複数のドメインと一致させることができます。たとえば、*.example.comは、mydomain.example.com、yourdomain.example.com、herdomain.example.comと一致します。
      • Save]をクリックしてドメインを保存するか、[Cancel]をクリックして操作を取り消します。
    • DNSServerAddressMatch: ネットワークの指定されたDNSサーバーと一致する可能性のある、追加するIPアドレスごとに、[追加] をクリックして以下の操作を行います。
      • DNSサーバーアドレス: 追加するDNSサーバーアドレスを入力します。ワイルドカード文字「*」をサフィックスに使用すると、複数のDNSサーバーと一致させることができます。たとえば、17.*はクラスAサブネットのすべてのDNSサーバーと一致します。
      • Save]をクリックしてDNSサーバーアドレスを保存するか、[Cancel]をクリックして操作を取り消します。
    • InterfaceTypeMatch: 一覧から、使用中のプライマリネットワークインターフェイスハードウェアの種類を選択します。デフォルトは[Unspecified]です。使用できる値は以下のとおりです。
      • 未指定: あらゆるネットワークインターフェイスハードウェアと一致します。これがデフォルトの設定です。
      • イーサネット: イーサネットネットワークインターフェイスハードウェアのみと一致します。
      • WiFi: WiFiネットワークインターフェイスハードウェアのみと一致します。
      • 携帯ネットワーク: 携帯ネットワークインターフェイスハードウェアのみと一致します。
    • SSIDMatch: 現在のネットワークと照合する、追加するSSIDごとに、[追加] をクリックして以下の操作を行います。
      • SSID: 追加するSSIDを入力します。ネットワークがWiFiネットワークでない場合、またはSSIDが表示されない場合は照合できません。すべてのSSIDと一致させるには、この一覧を空白のままにします。
      • 保存] をクリックしてSSIDを保存するか、[キャンセル] をクリックして操作を取り消します。
    • URLStringProbe: フェッチするURLを入力します。このURLがリダイレクトされず正常にフェッチされた場合は、この規則に一致しています。
    • ActionParameters : Domains: EvaluateConnectionのチェック対象となる、追加するドメインごとに、[追加] をクリックして以下の操作を実行します。
      • ドメイン: 追加するドメインを入力します。
      • 保存] をクリックしてドメインを保存するか、[キャンセル] をクリックして操作を取り消します。
    • ActionParameters : DomainAction: 一覧から、[ActionParameters : Domains] で指定したドメインに対するVPNの動作を選択します。デフォルトは [ConnectIfNeeded] です。選択できるアクションは以下のとおりです。
      • ConnectIfNeeded: DNSサーバーがドメインを解決できない、別のサーバーにリダイレクトする、またはタイムアウトしたなどドメイン名解決に失敗した場合、ドメインはVPN接続試行をトリガーします。
      • NeverConnect: ドメインはVPN接続をトリガーしません。
    • Action Parameters: RequiredDNSServers: 指定したドメインの解決に使用するDNSサーバーのIPアドレスごとに、[追加] をクリックして以下の操作を行います。
      • DNSサーバー:ActionParameters :DomainAction]が [ConnectIfNeeded] の場合にのみ有効です。追加するDNSサーバーを入力します。このサーバーは、デバイスの現在のネットワーク構成に含まれている必要はありません。このDNSサーバーに到達できない場合、対応としてVPN接続が確立されます。このDNSサーバーは、内部DNSサーバーまたは信頼できる外部DNSサーバーである必要があります。
      • 保存] をクリックしてDNSサーバーを保存するか、[キャンセル] をクリックして操作を取り消します。
    • ActionParameters : RequiredURLStringProbe: 任意で、プローブするHTTPまたはHTTPS(推奨)のURLを、GETリクエストを使用して入力します。URLのホスト名を解決できない場合、サーバーに到達できない場合、またはサーバーがHTTP状態コード200で応答しない場合、対応としてVPN接続が確立されます。[ActionParameters : DomainAction]が[ConnectIfNeeded]の場合にのみ有効です。
    • OnDemandRules : XML content: XML構成オンデマンド規則を入力するか、コピーして貼り付けます。
      • Check Dictionary]をクリックし、XMLコードを検証します。XMLが有効な場合は、[XMLコンテンツ]テキストボックスの下に緑色の文字で「Valid XML」と表示されます。XMLが有効でない場合は、エラーを説明するエラーメッセージがオレンジ色の文字で表示されます。
  • プロキシ
    • プロキシ構成: 一覧から、VPN接続のプロキシサーバーのルーティング方法を選択します。デフォルトは [なし] です。
      • Manual]を有効にした場合は、次の設定を構成します。
        • プロキシサーバーのホスト名またはIPアドレス: プロキシサーバーのホスト名またはIPアドレスを入力します。このフィールドは必須です。
        • プロキシサーバーのポート: プロキシサーバーのポート番号を入力します。このフィールドは必須です。
        • ユーザー名: 任意で、プロキシサーバーのユーザー名を入力します。
        • パスワード: 任意で、プロキシサーバーのパスワードを入力します。
      • Automatic]を選択した場合は、次の設定を構成します。
        • プロキシサーバーURL: プロキシサーバーのURLを入力します。このフィールドは必須です。
  • ポリシー設定
    • ポリシー設定] の下の [ポリシーの削除] の横にある、[日付を選択] または [削除までの期間(日)を指定] をクリックします。
    • Select date]をクリックした場合、カレンダーをクリックして削除を実行する特定の日付を選択します。
    • ユーザーにポリシーの削除を許可] の一覧で、[常に]、[パスワードが必要]、[しない] のいずれかを選択します。
    • パスワードが必要] を選択した場合、[パスワードを削除] の横に必要なパスワードを入力します。

Per-App VPNの構成

iOS向けのPer-App VPNオプションは、Cisco AnyConnect、Juniper SSL、F5 SSL、SonicWALL Mobile Connect、Ariba VIA、Citrix VPN、およびカスタムSSLの接続の種類で使用できます。

Per-App VPNを構成するには次の手順に従います。

  1. 構成]>[デバイスポリシー] で、VPNポリシーを作成します。次に例を示します。

    デバイスポリシー構成画面の画像

    デバイスポリシー構成画面の画像

    Secure HubのPer-App VPNポリシーでは、次を設定する必要があります。

    • 接続名: XenMobileに設定します。XenMobileでは、この接続名がローカライズされたVPNプロバイダーの説明として使用されます。Secure HubではローカライズされたVPNの説明により、デバイス全体のプロバイダーとアプリごとのプロバイダーが区別されます。

    • 接続の種類:カスタムSSL] に設定します。

    • カスタムSSL識別子: Secure HubのバンドルIDに設定します。

    • プロバイダーのバンドル識別子: Secure Hubネットワーク拡張のバンドルIDに設定します。このバンドルIDには、[カスタムSSL識別子] で指定したSecure HubのバンドルIDの末尾に .NE を付けたものを指定します。

    • プロバイダーの種類:パケットトンネル] に設定します。

  2. 構成]>[デバイスポリシー] でアプリ属性ポリシーを作成し、アプリをこのPer-App VPNポリシーに関連付けます。[Per-app VPN ID] では、手順1で作成したVPNポリシーの名前を選択します。[管理対象アプリのバンドルID] は、アプリ一覧から選択するか、アプリバンドルIDを入力します(iOSアプリインベントリポリシーを展開している場合は、アプリ一覧にアプリが含まれます)。

    デバイスポリシー構成画面の画像

macOS設定

デバイスポリシー構成画面の画像

  • 接続名: 接続名を入力します。
  • 接続の種類: 一覧から、この接続において使用するプロトコルを選択します。デフォルトは[L2TP]です。
    • L2TP: レイヤー2トンネリングプロトコルと事前共有キー認証。
    • PPTP: Point-to-Pointトンネリング。
    • IPSec: 社内VPN接続
    • Cisco AnyConnect: Cisco AnyConnect VPNクライアント
    • Juniper SSL: Juniper Networks SSL VPNクライアント
    • F5 SSL: F5 Networks SSL VPNクライアント
    • SonicWALL Mobile Connect: iOS用Dell統合VPNクライアント
    • Ariba VIA: Aruba Networks仮想インターネットアクセスクライアント
    • Citrix VPN: Citrix VPNクライアント
    • カスタムSSL: カスタムSSL(Secure Socket Layer)

次のセクションは、上記の接続の種類ごとに、構成オプションを示しています。

macOS向けL2TPプロトコルの設定

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • Password authentication]、[RSA SecureID authentication]、[Kerberos authentication]、[CryptoCard authentication]のいずれかを選択します。デフォルトは[Password authentication]です。
  • 共有シークレット: IPSec共有シークレットキーを入力します。
  • すべてのトラフィックを送信: VPN経由ですべてのトラフィックを送信するかどうかを選択します。デフォルトは、[Off]です。

macOS向けPPTPプロトコルの設定

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • Password authentication]、[RSA SecureID authentication]、[Kerberos authentication]、[CryptoCard authentication]のいずれかを選択します。デフォルトは[Password authentication]です。
  • 暗号化レベル: 必要な暗号化レベルを選択します。デフォルトは [なし] です。
    • なし: 暗号化を使用しません。
    • 自動: サーバーでサポートされている最も強力な暗号化レベルを使用します。
    • Maximum (128-bit):常に128ビットの暗号化を使用します。
  • すべてのトラフィックを送信: VPN経由ですべてのトラフィックを送信するかどうかを選択します。デフォルトは、[Off]です。

macOS向けIPSecプロトコルの構成

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • 接続の認証の種類: 一覧から、この接続の認証の種類として、[共有シークレット] または [証明書] を選択します。デフォルトは[Shared Secret]です。
    • Shared Secret]認証を有効にした場合は、次の設定を構成します。
      • グループ名: 任意で、グループ名を入力します。
      • 共有シークレット: 任意で、共有シークレットキーを入力します。
      • ハイブリッド認証を使用: ハイブリッド認証を使用するかどうかを選択します。ハイブリッド認証では、まずサーバーがクライアントに対する認証を行い、次にクライアントがサーバーに対する認証を行います。デフォルトは、[Off]です。
      • パスワードの入力を要求: ネットワークへの接続時にユーザーにパスワードの入力を求めるかどうかを選択します。デフォルトは、[Off]です。
    • Certificate]認証を有効にした場合は、次の設定を構成します。
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーによるPINの入力を必須とするかどうかを選択します。デフォルトは、[Off]です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは、[Off]です。[オンデマンドにVPNを有効化] が [オン] であるときの設定の構成について詳しくは、「[オンデマンドにVPNを有効化]オプションの構成」を参照してください。

macOS向けCisco AnyConnectプロトコルの構成

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • グループ: 任意で、グループ名を入力します。
  • 接続の認証の種類: 一覧で、この接続の認証の種類に [パスワード] か [証明書] のどちらを使用するかを選択します。デフォルトは[Password]です。
    • Password]を有効にした場合は、[Auth password]フィールドに任意の認証パスワードを入力します。
    • Certificate]を有効にした場合は、次の設定を構成します。
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーにPINの入力を求めるかどうかを選択します。デフォルトは、[Off]です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは、[Off]です。[オンデマンドにVPNを有効化] が [オン] であるときの設定の構成について詳しくは、「[オンデマンドにVPNを有効化]オプションの構成」を参照してください。
    • Per-app VPN: アプリケーションごとのVPNを有効にするかどうかを選択します。デフォルトは、[Off]です。このオプションを有効にした場合は、次の設定を構成します。
      • オンデマンドマッチが有効: アプリケーションごとのVPNサービスにリンクされているアプリケーションがネットワーク通信を開始したときに、アプリケーションごとのVPN接続が自動的にトリガーされるようにするかどうかを選択します。デフォルトは、[Off]です。
      • Safariドメイン: アプリケーションごとのVPN接続をトリガーできる、追加するSafariドメインごとに、[追加] をクリックして以下の操作を行います。
        • ドメイン: 追加するドメインを入力します。
        • Save]をクリックしてドメインを保存するか、[Cancel]をクリックして操作を取り消します。

macOS向けJuniper SSLプロトコルの構成

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • 範囲: オプションの領域名を入力します。
  • 役割: オプションの役割名を入力します。
  • 接続の認証の種類: 一覧で、この接続の認証の種類に[パスワード] か [証明書] のどちらを使用するかを選択します。デフォルトは[Password]です。
    • Password]を有効にした場合は、[Auth password]フィールドに任意の認証パスワードを入力します。
    • Certificate]を有効にした場合は、次の設定を構成します。
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーにPINの入力を求めるかどうかを選択します。デフォルトは、[Off]です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは、[Off]です。[オンデマンドにVPNを有効化] が [ON] であるときの設定の構成について詳しくは、「[オンデマンドにVPNを有効化]オプションの構成」を参照してください。
  • Per-app VPN: アプリケーションごとのVPNを有効にするかどうかを選択します。デフォルトは、[Off]です。このオプションを有効にした場合は、次の設定を構成します。
    • オンデマンドマッチが有効: アプリケーションごとのVPNサービスにリンクされているアプリケーションがネットワーク通信を開始したときに、アプリケーションごとのVPN接続が自動的にトリガーされるようにするかどうかを選択します。デフォルトは、[Off]です。
    • Safariドメイン: アプリケーションごとのVPN接続をトリガーできる、追加するSafariドメインごとに、[追加] をクリックして以下の操作を行います。
      • ドメイン: 追加するドメインを入力します。
      • Save]をクリックしてドメインを保存するか、[Cancel]をクリックして操作を取り消します。

macOS向けF5 SSLプロトコルの構成

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • 接続の認証の種類: 一覧で、この接続の認証の種類に [パスワード] か [証明書] のどちらを使用するかを選択します。デフォルトは[Password]です。
    • Password]を有効にした場合は、[Auth password]フィールドに任意の認証パスワードを入力します。
    • Certificate]を有効にした場合は、次の設定を構成します。
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーにPINの入力を求めるかどうかを選択します。デフォルトは、[Off]です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは、[Off]です。[オンデマンドにVPNを有効化] が [ON] であるときの設定の構成について詳しくは、「[オンデマンドにVPNを有効化]オプションの構成」を参照してください。
  • Per-app VPN: アプリケーションごとのVPNを有効にするかどうかを選択します。デフォルトは、[Off]です。このオプションを有効にした場合は、次の設定を構成します。
    • オンデマンドマッチが有効: アプリケーションごとのVPNサービスにリンクされているアプリケーションがネットワーク通信を開始したときに、アプリケーションごとのVPN接続が自動的にトリガーされるようにするかどうかを選択します。デフォルトは、[Off]です。
    • Safariドメイン: アプリケーションごとのVPN接続をトリガーできる、追加するSafariドメインごとに、[追加] をクリックして以下の操作を行います。
      • ドメイン: 追加するドメインを入力します。
      • Save]をクリックしてドメインを保存するか、[Cancel]をクリックして操作を取り消します。

macOS向けSonicWALLプロトコルの構成

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • ログオングループまたはドメイン: 任意で、ログオングループまたはドメインを入力します。
  • 接続の認証の種類: 一覧で、この接続の認証の種類に [パスワード] か [証明書] のどちらを使用するかを選択します。デフォルトは[Password]です。
    • Password]を有効にした場合は、[Auth password]フィールドに任意の認証パスワードを入力します。
    • Certificate]を有効にした場合は、次の設定を構成します。
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーにPINの入力を求めるかどうかを選択します。デフォルトは、[Off]です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは、[Off]です。[オンデマンドにVPNを有効化] が [オン] であるときの設定の構成について詳しくは、「[オンデマンドにVPNを有効化]オプションの構成」を参照してください。
  • Per-app VPN: アプリケーションごとのVPNを有効にするかどうかを選択します。デフォルトは、[Off]です。このオプションを有効にした場合は、次の設定を構成します。
    • オンデマンドマッチが有効: アプリケーションごとのVPNサービスにリンクされているアプリケーションがネットワーク通信を開始したときに、アプリケーションごとのVPN接続が自動的にトリガーされるようにするかどうかを選択します。デフォルトは、[Off]です。
    • Safariドメイン: アプリケーションごとのVPN接続をトリガーできる、追加するSafariドメインごとに、[追加] をクリックして以下の操作を行います。
      • ドメイン: 追加するドメインを入力します。
      • Save]をクリックしてドメインを保存するか、[Cancel]をクリックして操作を取り消します。

macOS向けAriba VIAプロトコルの構成

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • 接続の認証の種類: 一覧で、この接続の認証の種類に [パスワード] か [証明書] のどちらを使用するかを選択します。デフォルトは[Password]です。
    • Password]を有効にした場合は、[Auth password]フィールドに任意の認証パスワードを入力します。
    • Certificate]を有効にした場合は、次の設定を構成します。
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーにPINの入力を求めるかどうかを選択します。デフォルトは、[Off]です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは、[Off]です。[オンデマンドにVPNを有効化] が [オン] であるときの設定の構成について詳しくは、「[オンデマンドにVPNを有効化]オプションの構成」を参照してください。
  • Per-app VPN: アプリケーションごとのVPNを有効にするかどうかを選択します。デフォルトは、[Off]です。このオプションを有効にした場合は、次の設定を構成します。
    • オンデマンドマッチが有効: アプリケーションごとのVPNサービスにリンクされているアプリケーションがネットワーク通信を開始したときに、アプリケーションごとのVPN接続が自動的にトリガーされるようにするかどうかを選択します。デフォルトは、[Off]です。
    • Safariドメイン: アプリケーションごとのVPN接続をトリガーできる、追加するSafariドメインごとに、[追加] をクリックして以下の操作を行います。
      • ドメイン: 追加するドメインを入力します。
      • Save]をクリックしてドメインを保存するか、[Cancel]をクリックして操作を取り消します。

macOS向けCitrix VPNプロトコルの構成

Citrix VPNクライアントは、Apple Store(こちら)で入手することができます。

  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
  • 接続の認証の種類: 一覧で、この接続の認証の種類に [パスワード] か [証明書] のどちらを使用するかを選択します。デフォルトは[Password]です。
    • Password]を有効にした場合は、[Auth password]フィールドに任意の認証パスワードを入力します。
    • Certificate]を有効にした場合は、次の設定を構成します。
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは[None]です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーにPINの入力を求めるかどうかを選択します。デフォルトは[OFF]です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは[OFF]です。[オンデマンドにVPNを有効化] が [ON] であるときの設定の構成について詳しくは、「[オンデマンドにVPNを有効化]オプションの構成」を参照してください。
  • Per-app VPN: アプリケーションごとのVPNを有効にするかどうかを選択します。デフォルトは、[Off]です。iOS 7.0以降でのみ使用できます。このオプションを有効にした場合は、次の設定を構成します。
    • オンデマンドマッチが有効: アプリケーションごとのVPNサービスにリンクされているアプリケーションがネットワーク通信を開始したときに、アプリケーションごとのVPN接続が自動的にトリガーされるようにするかどうかを選択します。
    • Safariドメイン: アプリケーションごとのVPN接続をトリガーできる、追加するSafariドメインごとに、[追加] をクリックして以下の操作を行います。
      • ドメイン: 追加するドメインを入力します。
      • Save]をクリックしてドメインを保存するか、[Cancel]をクリックして操作を取り消します。
  • カスタムXML: 追加するカスタムXMLパラメーターごとに、[追加] をクリックしてキーと値のペアを指定します。使用できるパラメーターは次のとおりです。
    • disableL3: システムレベルのVPNを無効化します。アプリごとのVPNのみ許容します。は不要です。
    • useragent: このデバイスポリシーに、VPNプラグインクライアントを対象とする任意のNetScalerポリシーを関連付けます。このキーのは、プラグインによって開始される要求に対応して、VPNプラグインに自動的に追加されます。

macOS向けカスタムSSLプロトコルの構成

  • カスタムSSL識別子(リバースDNS形式): SSL識別子を逆引きDNS形式で入力します。このフィールドは必須です。
  • サーバー名またはIPアドレス: VPNサーバーのサーバー名またはIPアドレスを入力します。このフィールドは必須です。
  • ユーザーアカウント: 任意で、ユーザーアカウントを入力します。
    • 接続の認証の種類: 一覧で、この接続の認証の種類に [パスワード] か [証明書] のどちらを使用するかを選択します。デフォルトは[Password]です。
    • Password]を有効にした場合は、[Auth password]フィールドに任意の認証パスワードを入力します。
    • Certificate]を有効にした場合は、次の設定を構成します。
      • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは[None]です。
      • 接続時にPINを要求: ネットワークへの接続時にユーザーにPINの入力を求めるかどうかを選択します。デフォルトは[OFF]です。
      • オンデマンドにVPNを有効化: ネットワークに接続する時に、VPN接続のトリガーを有効にするかどうかを選択します。デフォルトは[OFF]です。[オンデマンドにVPNを有効化] が [オン] であるときの設定の構成について詳しくは、「[オンデマンドにVPNを有効化]オプションの構成」を参照してください。
    • Per-app VPN: アプリケーションごとのVPNを有効にするかどうかを選択します。デフォルトは、[Off]です。このオプションを有効にした場合は、次の設定を構成します。
      • オンデマンドマッチが有効: アプリケーションごとのVPNサービスにリンクされているアプリケーションがネットワーク通信を開始したときに、アプリケーションごとのVPN接続が自動的にトリガーされるようにするかどうかを選択します。
      • Safariドメイン: アプリケーションごとのVPN接続をトリガーできる、追加するSafariドメインごとに、[追加] をクリックして以下の操作を行います。
        • ドメイン: 追加するドメインを入力します。
        • Save]をクリックしてドメインを保存するか、[Cancel]をクリックして操作を取り消します。
  • カスタムXML: 追加するカスタムXMLパラメーターごとに、[追加] をクリックして以下の操作を行います。
    • パラメーター名: 追加するパラメーターの名前を入力します。
    • 値:[パラメーター名] に関連付ける値を入力します。
    • Save]をクリックしてドメインを保存するか、[Cancel]をクリックして操作を取り消します。

[Enable VPN on demand]オプションの構成

  • オンデマンドドメイン: 追加するドメインおよびユーザーがドメインに接続したときに実行される関連アクションごとに、[追加] をクリックして以下の操作を行います。
    • ドメイン: 追加するドメインを入力します。
    • アクション: 一覧から、提供されているアクションのいずれかを選択します。
      • 常に確立: ドメインは常にVPN接続をトリガーします。
      • 確立しない: ドメインはVPN接続をトリガーしません。
      • 必要な場合確立: DNSサーバーがドメインを解決できない、別のサーバーにリダイレクトする、またはタイムアウトしたなどドメイン名解決に失敗した場合、ドメインはVPN接続試行をトリガーします。
    • Save]をクリックしてドメインを保存するか、[Cancel]をクリックして操作を取り消します。
  • オンデマンド ルール
    • アクション: 一覧から、実行するアクションを選択します。デフォルトは[EvaluateConnection]です。選択できるアクションは以下のとおりです。
      • 許可: トリガーされたときにVPNオンデマンドで接続できるようにします。
      • 接続: 無条件でVPN接続を開始します。
      • 切断: VPN接続を解除し、規則と一致しない限りオンデマンドの再接続を行いません。
      • EvaluateConnection: 接続ごとに、[ActionParameters] アレイを評価します。
      • 無視: 既存のVPN接続を動作中のままにします。ただし、規則と一致しない限りオンデマンドの再接続を行いません。
    • DNSDomainMatch: ユーザーデバイスの検索ドメイン一覧と一致する可能性のある、追加するドメインごとに、[追加] をクリックして以下の操作を行います。
      • DNSドメイン: ドメイン名を入力します。ワイルドカード文字「*」をプレフィックスに使用すると、複数のドメインと一致させることができます。たとえば、*.example.comは、mydomain.example.com、yourdomain.example.com、herdomain.example.comと一致します。
      • Save]をクリックしてドメインを保存するか、[Cancel]をクリックして操作を取り消します。
    • DNSServerAddressMatch: ネットワークの指定されたDNSサーバーと一致する可能性のある、追加するIPアドレスごとに、[追加] をクリックして以下の操作を行います。
      • DNSサーバーアドレス: 追加するDNSサーバーアドレスを入力します。ワイルドカード文字「*」をサフィックスに使用すると、複数のDNSサーバーと一致させることができます。たとえば、17.*はクラスAサブネットのすべてのDNSサーバーと一致します。
      • Save]をクリックしてDNSサーバーアドレスを保存するか、[Cancel]をクリックして操作を取り消します。
    • InterfaceTypeMatch: 一覧から、使用中のプライマリネットワークインターフェイスハードウェアの種類を選択します。デフォルトは[Unspecified]です。使用できる値は以下のとおりです。
      • 未指定: あらゆるネットワークインターフェイスハードウェアと一致します。これがデフォルトの設定です。
      • イーサネット: イーサネットネットワークインターフェイスハードウェアのみと一致します。
      • WiFi: WiFiネットワークインターフェイスハードウェアのみと一致します。
      • 携帯ネットワーク: 携帯ネットワークインターフェイスハードウェアのみと一致します。
    • SSIDMatch: 現在のネットワークと照合する、追加するSSIDごとに、[追加] をクリックして以下の操作を行います。
      • SSID: 追加するSSIDを入力します。ネットワークがWiFiネットワークでない場合、またはSSIDが表示されない場合は照合できません。すべてのSSIDと一致させるには、この一覧を空白のままにします。
      • 保存] をクリックしてSSIDを保存するか、[キャンセル] をクリックして操作を取り消します。
    • URLStringProbe: フェッチするURLを入力します。このURLがリダイレクトされず正常にフェッチされた場合は、この規則に一致しています。
    • ActionParameters : Domains: EvaluateConnectionのチェック対象となる、追加するドメインごとに、[追加] をクリックして以下の操作を実行します。
      • ドメイン: 追加するドメインを入力します。
      • 保存] をクリックしてドメインを保存するか、[キャンセル] をクリックして操作を取り消します。
    • ActionParameters : DomainAction: 一覧から、[ActionParameters : Domains] で指定したドメインに対するVPNの動作を選択します。デフォルトは[ConnectIfNeeded]です。選択できるアクションは以下のとおりです。
      • ConnectIfNeeded: DNSサーバーがドメインを解決できない、別のサーバーにリダイレクトする、またはタイムアウトしたなどドメイン名解決に失敗した場合、ドメインはVPN接続試行をトリガーします。
      • NeverConnect: ドメインはVPN接続をトリガーしません。
    • Action Parameters: RequiredDNSServers: 指定したドメインの解決に使用するDNSサーバーのIPアドレスごとに、[追加] をクリックして以下の操作を行います。
      • DNSサーバー:ActionParameters :DomainAction]が [ConnectIfNeeded] の場合にのみ有効です。追加するDNSサーバーを入力します。このサーバーは、デバイスの現在のネットワーク構成に含まれている必要はありません。このDNSサーバーに到達できない場合、対応としてVPN接続が確立されます。このDNSサーバーは、内部DNSサーバーまたは信頼できる外部DNSサーバーである必要があります。
      • 保存] をクリックしてDNSサーバーを保存するか、[キャンセル] をクリックして操作を取り消します。
    • ActionParameters : RequiredURLStringProbe: 任意で、プローブするHTTPまたはHTTPS(推奨)のURLを、GETリクエストを使用して入力します。URLのホスト名を解決できない場合、サーバーに到達できない場合、またはサーバーがHTTP状態コード200で応答しない場合、対応としてVPN接続が確立されます。[ActionParameters : DomainAction]が[ConnectIfNeeded]の場合にのみ有効です。
    • OnDemandRules : XML content: XML構成オンデマンド規則を入力するか、コピーして貼り付けます。
      • Check Dictionary]をクリックし、XMLコードを検証します。XMLが有効な場合は、[XMLコンテンツ]テキストボックスの下に緑色の文字で「Valid XML」と表示されます。XMLが有効でない場合は、エラーを説明するエラーメッセージがオレンジ色の文字で表示されます。
  • プロキシ
    • プロキシ構成: 一覧から、VPN接続のプロキシサーバーのルーティング方法を選択します。デフォルトは [なし] です。
      • Manual]を有効にした場合は、次の設定を構成します。
        • プロキシサーバーのホスト名またはIPアドレス: プロキシサーバーのホスト名またはIPアドレスを入力します。このフィールドは必須です。
        • プロキシサーバーのポート: プロキシサーバーのポート番号を入力します。このフィールドは必須です。
        • ユーザー名: 任意で、プロキシサーバーのユーザー名を入力します。
        • パスワード: 任意で、プロキシサーバーのパスワードを入力します。
      • Automatic]を選択した場合は、次の設定を構成します。
        • プロキシサーバーURL: プロキシサーバーのURLを入力します。このフィールドは必須です。

Androidの設定

デバイスポリシー構成画面の画像

Android向けCitrix VPNプロトコルの構成

  • 接続名: VPN接続名を入力します。このフィールドは必須です。

  • サーバー名またはIPアドレス: NetScaler GatewayのFQDNまたはIPアドレスを入力します。

  • 接続の認証の種類: 認証の種類を選択し、選択した種類に応じて表示される次のフィールドに入力します。

    • ユーザー名] と [パスワード]:認証の種類 で [パスワード] または [パスワードおよび証明書] を選択した場合に、VPN資格情報を入力します。オプションです。VPN資格情報を入力しない場合は、Citrix VPNアプリによってユーザー名とパスワードの入力が求められます。

    • ID資格情報: 認証の種類 が [証明書] または [パスワードおよび証明書] の場合に表示されます。

  • Per-App VPNの有効化: アプリケーションごとのVPNを有効にするかどうかを選択します。Per-App VPNを有効にしない場合は、すべてのトラフィックがCitrix VPNトンネルを経由します。Per-App VPNを有効にした場合は、次の設定を指定します。デフォルトは、[Off]です。

    • ホワイトリスト] または [ブラックリスト]:設定を選択します。[ホワイトリスト] の場合は、ホワイトリストに登録されたすべてのアプリがこのVPNを経由します。[ブラックリスト] の場合は、ブラックリストに登録されたアプリ以外のすべてのアプリがこのVPNを経由します。

    • アプリケーション一覧: ホワイトリストまたはブラックリストに登録するアプリを指定します。[追加] をクリックし、アプリのパッケージ名のコンマ区切りの一覧を入力します。

  • カスタムXML:[追加] をクリックし、カスタムパラメーターを入力します。XenMobileでは、Citrix VPNについて次のパラメーターがサポートされます。

    • disableL3Mode: 省略可能です。このパラメーターを有効にするには、[] に 「Yes」 と入力します。有効にした場合、ユーザーが追加したVPN接続がXenMobileに表示されなくなり、ユーザーは新しい接続を追加できなくなります。これはグローバルな制限で、すべてのVPNプロファイルに適用されます。

    • userAgent: 文字列値です。各HTTP要求で送信する任意のユーザーエージェント文字列を指定できます。指定したユーザーエージェント文字列は、Citrix VPNの既存のユーザーエージェントの末尾に追加されます。

Android向けCisco AnyConnect VPNプロトコルの構成

  • 接続名: Cisco AnyConnect VPN接続の名前を入力します。このフィールドは必須です。
  • サーバー名またはIPアドレス: VPNサーバーの名前またはIPアドレスを入力します。このフィールドは必須です。
  • バックアップVPNサーバー: バックアップVPNサーバー情報を入力します。
  • ユーザーグループ: ユーザーグループ情報を入力します。
  • ID資格情報: 一覧から、ID資格情報を選択します。
  • 信頼されたネットワーク
    • 自動VPNポリシー: このオプションをオンまたはオフにして、信頼できるネットワークおよび信頼できないネットワークに対するVPNの動作方法を設定します。有効にした場合は、次の設定を構成します。
      • 信頼されたネットワークポリシー: 一覧から、目的のポリシーを選択します。デフォルトは[Disconnect]です。選択できるオプションは以下のとおりです。
        • 切断: クライアントにより、信頼できるネットワーク圏内のVPN接続が終了されます。これがデフォルトの設定です。
        • 接続: クライアントにより、信頼できるネットワーク圏内のVPN接続が開始されます。
        • 何もしない: クライアントによるアクションはありません。
        • 一時停止: 信頼できるネットワーク圏外でVPNセッションが確立された後、信頼済みとして構成されたネットワークにユーザーがアクセスすると、VPNセッションが(切断ではなく)一時停止されます。ユーザーが信頼できるネットワークから離れると、セッションが再開されます。これにより、信頼できるネットワークを離れた後に新しいVPNセッションを確立する手間が省かれます。
      • 信頼されていないネットワークポリシー: 一覧から、目的のポリシーを選択します。デフォルトは[Connect]です。選択できるオプションは以下のとおりです。
        • 接続: クライアントにより、信頼できないネットワーク圏内でVPN接続が開始されます。
        • 何もしない: クライアントにより、信頼できないネットワーク圏内でVPN接続が開始されます。このオプションにより、[Always-on VPN]が無効化されます。
    • 信頼されたドメイン: クライアントが信頼できるネットワーク圏内にある場合にネットワークインターフェイスに設定することができるドメインサフィックスごとに、[追加] をクリックして以下の操作を行います。
      • ドメイン: 追加するドメインを入力します。
      • Save]をクリックしてドメインを保存するか、[Cancel]をクリックして操作を取り消します。
    • 信頼されたサーバー: クライアントが信頼できるネットワーク圏内にある場合にネットワークインターフェイスに設定することができるサーバーアドレスごとに、[追加] をクリックして以下の操作を行います。
      • サーバー: 追加するサーバーを入力します。
      • 保存] をクリックしてサーバーを保存するか、[キャンセル] をクリックして操作を取り消します。

Samsung SAFEの設定の構成

デバイスポリシー構成画面の画像

  • 接続名: 接続名を入力します。
  • VPNの種類: 一覧から、この接続において使用するプロトコルを選択します。デフォルトはL2TP with pre-shared keyです。選択できるオプションは以下のとおりです。
    • 事前共有キーを使用するL2TP: レイヤー2トンネリングプロトコルと事前共有キー認証。これがデフォルトの設定です。
    • 証明書を使用するL2TP: レイヤー2トンネリングプロトコルと証明書。
    • PPTP: Point-to-Pointトンネリング。
    • エンタープライズ: 社内VPN接続。Version 2.0よりも前のSAFEバージョンに適用されます。
    • 汎用: 一般的なVPN接続。Version 2.0以降のSAFEバージョンに適用されます。

Samsung SAFE向け[事前共有キーを使用するL2TP]プロトコルの構成

  • ホスト名: VPNホストの名前を入力します。このオプションは必須です。
  • ユーザー名: 任意で、ユーザー名を入力します。
  • パスワード: 任意で、パスワードを入力します。
  • 事前共有キー: 事前共有キーを入力します。このオプションは必須です。

Samsung SAFE向け証明書プロトコルによるL2TPの設定

  • ホスト名: VPNホストの名前を入力します。このオプションは必須です。
  • ユーザー名: 任意で、ユーザー名を入力します。
  • パスワード: 任意で、パスワードを入力します。
  • Identity credential:ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。

Samsung SAFE向けPPTPプロトコルの設定

  • ホスト名: VPNホストの名前を入力します。このオプションは必須です。
  • ユーザー名: 任意で、ユーザー名を入力します。
  • パスワード: 任意で、パスワードを入力します。
  • 暗号化を有効化: VPN接続で暗号化を有効にするかどうかを選択します。

Samsung SAFE向けエンタープライズプロトコルの構成

  • ホスト名: VPNホストの名前を入力します。このオプションは必須です。
  • バックアップサーバーを有効化: バックアップVPNサーバーを有効にするかどうかを選択します。有効にした場合は、[Backup VPN server]ボックスに、バックアップVPNサーバーのFQDNまたはIPアドレスを入力します。
  • Enable user authentication:ユーザー認証を必須とするかどうかを選択します。有効にした場合は、次の設定を構成します。
    • ユーザー名: ユーザー名を入力します。
    • パスワード: ユーザーパスワードを入力します。
  • グループ名: 任意で、グループ名を入力します。
  • 認証方法: 一覧から、使用する認証方法を選択します。選択できるオプションは以下のとおりです。
    • 証明書: 証明書認証を使用します。これがデフォルトの設定です。このオプションを選択した場合は、[Identity credential]ボックスの一覧から、使用する資格情報を選択します。デフォルトは [なし] です。
    • 事前共有キー: 事前共有キーを使用します。このオプションを選択した場合は、[事前共有キー]フィールドに、共有秘密キーを入力します。
    • ハイブリッドRSA: RSA証明書を使用するハイブリッド認証を使用します。
    • EAP MD5: EAPピアからEAPサーバーまでの認証を行います。ただし、相互認証は行いません。
    • EAP MSCHAPv2: 相互認証にMicrosoftのチャレンジハンドシェイク認証を使用します。
  • CA証明書: ボックスの一覧で、使用する証明書を選択します。デフォルトは [なし] です。
  • デフォルトルートを有効化: VPNサーバーへのデフォルトルートを有効にするかどうかを選択します。デフォルトは、[Off]です。
  • スマートカード認証を有効化: ユーザーにスマートカードを使用した認証を許可するかどうかを選択します。デフォルトは、[Off]です。
  • モバイルオプションを有効化: モバイルオプションを有効にするかどうかを選択します。デフォルトは、[Off]です。
  • Diffie-Hellmanグループ値(キーの強度): 一覧から、使用するキー強度を選択します。デフォルト値は0です。
  • 分割トンネルの種類: 一覧から、使用する分割トンネリングの種類を選択します。デフォルトは[Auto]です。選択できるオプションは以下のとおりです。
    • 自動: 分割トンネリングが自動的に使用されます。
    • 手動: 分割トンネリングがVPNサーバーで指定したIPアドレスおよびポートを介して使用されます。
    • 無効: 分割トンネリングは使用されません。
  • SuiteBの種類: 一覧から、使用するNSA Suite B暗号化のレベルを選択します。デフォルトは[GCM-128]です。選択できるオプションは以下のとおりです。
    • GCM-128: 128ビットのAES-GCM暗号化を使用します。
    • GMAC-128: 128ビットのAES-GMAC暗号化を使用します。
    • GMAC-256: 256ビットのAES-GMAC暗号化を使用します。
    • なし: 暗号化を使用しません。
  • 転送ルート: 社内VPNサーバーが転送ルートをサポートしている場合は、使用する転送ルートごとに、[追加] をクリックして以下の操作を行います。
    • 転送ルート: 転送ルートのIPアドレスを入力します。
    • Save]をクリックしてルートを保存するか、[Cancel]をクリックして操作を取り消します。

Samsung SAFE向け汎用プロトコルの設定

  • ホスト名: VPNホストの名前を入力します。このオプションは必須です。
  • Enable user authentication:ユーザー認証を必須とするかどうかを選択します。有効にした場合は、[Password]ボックスにユーザーパスワードを入力します。
  • ユーザー名: ユーザー名を入力します。
  • パッケージ名エージェントVPN: デバイスにインストールされたVPNのパッケージ名またはIDです(例:MocanaまたはPulse Secure)。
  • Vpn Connection type: 一覧から、使用する接続の種類として [IPSEC] または [SSL] を選択します。デフォルトは[IPSEC]です。次のセクションでは、接続の種類ごとに、構成設定について説明します。

Samsung SAFE向け[IPSEC]接続の種類の設定の構成

  • ID: 任意で、この構成のIDを入力します。
  • IPsecグループIDの種類: 一覧から、使用するIPsecグループIDの種類を選択します。デフォルトは[Default]です。選択できるオプションは以下のとおりです。
    • デフォルト
    • IPv4 アドレス
    • 完全修飾ドメイン名 (FQDN)
    • ユーザー FQDN
    • IKE キー ID
  • IKEのバージョン: 一覧から、使用するインターネットキー交換バージョンを選択します。デフォルトは [IKEv1] です。
  • 認証方法: 一覧から、使用する認証方法を選択します。デフォルトは[Certificate]です。選択できるオプションは以下のとおりです。
    • 証明書: 証明書認証を使用します。このオプションを選択した場合は、[Identity credential]ボックスの一覧から、使用する資格情報を選択します。デフォルトは [なし] です。
    • 事前共有キー: 事前共有キーを使用します。このオプション選択した場合は、[Pre-shared key]フィールドに、共有秘密キーを入力します。
    • ハイブリッドRSA: RSA証明書を使用するハイブリッド認証を使用します。
    • EAP MD5: EAPピアからEAPサーバーまでの認証を行います。ただし、相互認証は行いません。
    • EAP MSCHAPv2: 相互認証にMicrosoftのチャレンジハンドシェイク認証を使用します。
    • CAC based Authentication::認証にCommon Access Card(CAC)を使用します。
  • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。デフォルトは [なし] です。
  • CA証明書: ボックスの一覧で、使用する証明書を選択します。
  • 停止ピア検出を有効化: ピアが有効であるか確認するためにピアに問い合わせるかどうかを選択します。デフォルトは、[Off]です。
  • デフォルトルートを有効化: VPNサーバーへのデフォルトルートを有効にするかどうかを選択します。
  • モバイルオプションを有効化: モバイルオプションを有効にするかどうかを選択します。
  • Ike有効期間(分): VPN接続が再確立されるまでの時間を分単位で入力します。デフォルトは1440分(24時間)です。
  • Diffie-Hellmanグループ値(キーの強度): 一覧から、使用するキー強度を選択します。デフォルト値は0です。
  • IKEフェーズ1のキー交換モード: IKEフェーズ1のネゴシエーションモードとして、[メイン] または [アグレッシブ] を選択します。デフォルトは[Main]です。
    • メイン: ネゴシエーション時に情報が潜在的な攻撃者にさらされることはありませんが、[アグレッシブ] モードより低速です。
    • アグレッシブ: ネゴシエーション時に一部の情報(ネゴシエーションを行うピアのIDなど)が潜在的な攻撃者にさらされますが、[メイン] モードより高速です。
  • Perfect Forward Secrecy(PFS)値: 接続の再ネゴシエーションに新しいキー交換を必要とするPFSを使用するかどうかを選択します。
  • 分割トンネルの種類: 一覧から、使用する分割トンネリングの種類を選択します。選択できるオプションは以下のとおりです。
    • 自動: 分割トンネリングが自動的に使用されます。
    • 手動: 分割トンネリングがVPNサーバーで指定したIPアドレスおよびポートを介して使用されます。
    • 無効: 分割トンネリングは使用されません。
  • IPSEC暗号化アルゴリズム: IPSecプロトコルが使用するVPN構成です。
  • IKE暗号化アルゴリズム: IPSecプロトコルが使用するVPN構成です。
  • IKE整合性アルゴリズム: IPSecプロトコルが使用するVPN構成です。
  • ベンダー: KNOX APIと通信する汎用エージェントの個人用プロファイルです。
  • 転送ルート: 社内VPNサーバーが転送ルートをサポートしている場合は、使用する転送ルートごとに、[追加] をクリックして以下の操作を行います。
    • 転送ルート: 転送ルートのIPアドレスを入力します。
    • Save]をクリックしてルートを保存するか、[Cancel]をクリックして操作を取り消します。
  • アプリ単位のVPN: 追加する各アプリケーションごとのVPNについて、[追加] をクリックして以下の操作を行います。
    • アプリ単位のVPN: アプリケーションが通信に使用するVPN構成です。
    • Save]をクリックしてアプリケーションごとのVPNを保存するか、[Cancel]をクリックして操作を取り消します。

Samsung SAFE向けSSL接続の種類の設定の構成

  • 認証方法: 一覧から、使用する認証方法を選択します。デフォルトは[Not Applicable]です。選択できるオプションは以下のとおりです。
    • 適用できません
    • 証明書: 証明書認証を使用します。このオプションを選択した場合は、[Identity credential]ボックスの一覧から、使用する資格情報を選択します。デフォルトは [なし] です。
    • CAC based Authentication::認証にCommon Access Card(CAC)を使用します。
  • CA証明書: ボックスの一覧で、使用する証明書を選択します。
  • デフォルトルートを有効化: VPNサーバーへのデフォルトルートを有効にするかどうかを選択します。
  • モバイルオプションを有効化: モバイルオプションを有効にするかどうかを選択します。
  • 分割トンネルの種類: 一覧から、使用する分割トンネリングの種類を選択します。選択できるオプションは以下のとおりです。
    • 自動: 分割トンネリングが自動的に使用されます。
    • 手動: 分割トンネリングがVPNサーバーで指定したIPアドレスおよびポートを介して使用されます。
    • 無効: 分割トンネリングは使用されません。
  • SSLアルゴリズム: クライアントとサーバー間のネゴシエーションに使用するSSLアルゴリズムを入力します。
  • ベンダー: KNOX APIと通信する汎用エージェントの個人用プロファイルです。
  • 転送ルート: 社内VPNサーバーが転送ルートをサポートしている場合は、使用する転送ルートごとに、[追加] をクリックして以下の操作を行います。
    • 転送ルート: 転送ルートのIPアドレスを入力します。
    • Save]をクリックしてルートを保存するか、[Cancel]をクリックして操作を取り消します。
  • アプリ単位のVPN: 追加する各アプリケーションごとのVPNについて、[追加] をクリックして以下の操作を行います。
    • アプリ単位のVPN: アプリケーションが通信に使用するVPN構成です。
    • Save]をクリックしてアプリケーションごとのVPNを保存するか、[Cancel]をクリックして操作を取り消します。

Samsung KNOXの設定の構成

デバイスポリシー構成画面の画像

Samsung KNOXのポリシーを構成した場合、ポリシーはSamsung KNOXコンテナーにのみ適用されます。

  • VPNの種類: 一覧で、構成するVPN接続の種類として、[エンタープライズ](Version 2.0より前のKNOXバージョンに適用)または [汎用](Version 2.0以降のKNOXバージョンに適用)をクリックします。デフォルトは[Enterprise]です。

次のセクションは、上記の接続の種類ごとに、構成オプションを示しています。

Samsung KNOX向けエンタープライズプロトコルの構成

  • 接続名: 接続名を入力します。このフィールドは必須です。
  • ホスト名: VPNホストの名前を入力します。このオプションは必須です。
  • バックアップサーバーを有効化: バックアップVPNサーバーを有効にするかどうかを選択します。有効にした場合は、[Backup VPN server]ボックスに、バックアップVPNサーバーのFQDNまたはIPアドレスを入力します。
  • Enable user authentication:ユーザー認証を必須とするかどうかを選択します。有効にした場合は、次の設定を構成します。
    • ユーザー名: ユーザー名を入力します。
    • パスワード: ユーザーパスワードを入力します。
  • グループ名: 任意で、グループ名を入力します。
  • 認証方法: 一覧から、使用する認証方法を選択します。選択できるオプションは以下のとおりです。
    • 証明書: 証明書認証を使用します。これがデフォルトの設定です。このオプションを選択した場合は、[Identity credential]ボックスの一覧から、使用する資格情報を選択します。デフォルトは、Noneです。
    • 事前共有キー: 事前共有キーを使用します。このオプションを選択した場合は、[事前共有キー]フィールドに、共有秘密キーを入力します。
    • ハイブリッドRSA: RSA証明書を使用するハイブリッド認証を使用します。
    • EAP MD5: EAPピアからEAPサーバーまでの認証を行います。ただし、相互認証は行いません。
    • EAP MSCHAPv2: 相互認証にMicrosoftのチャレンジハンドシェイク認証を使用します。
  • CA証明書: ボックスの一覧で、使用する証明書を選択します。
  • デフォルトルートを有効化: VPNサーバーへのデフォルトルートを有効にするかどうかを選択します。
  • スマートカード認証を有効化: ユーザーにスマートカードを使用した認証を許可するかどうかを選択します。デフォルトは、[Off]です。
  • モバイルオプションを有効化: モバイルオプションを有効にするかどうかを選択します。
  • Diffie-Hellmanグループ値(キーの強度): 一覧から、使用するキー強度を選択します。デフォルト値は0です。
  • 分割トンネルの種類: 一覧から、使用する分割トンネリングの種類を選択します。選択できるオプションは以下のとおりです。
    • 自動: 分割トンネリングが自動的に使用されます。
    • 手動: 分割トンネリングがVPNサーバーで指定したIPアドレスおよびポートを介して使用されます。
    • 無効: 分割トンネリングは使用されません。
  • SuiteBの種類: 一覧から、使用するNSA Suite B暗号化のレベルを選択します。選択できるオプションは以下のとおりです。
    • GCM-128: 128ビットのAES-GCM暗号化を使用します。 これがデフォルトの設定です。
    • GCM-256: 256ビットのAES-GCM暗号化を使用します。
    • GMAC-128: 128ビットのAES-GMAC暗号化を使用します。
    • GMAC-256: 256ビットのAES-GMAC暗号化を使用します。
    • なし: 暗号化を使用しません。
  • 転送ルート: 社内VPNサーバーが複数のルートテーブルをサポートしている場合は、[追加] をクリックし、任意で転送ルートを追加します。

Samsung KNOX向け汎用プロトコルの設定

  • 接続名: 接続名を入力します。このフィールドは必須です。
  • パッケージ名エージェントVPN: デバイスにインストールされたVPNのパッケージ名またはIDです(例:MocanaまたはPulse Secure)。
  • ホスト名: VPNホストの名前を入力します。このオプションは必須です。
  • Enable user authentication:ユーザー認証を必須とするかどうかを選択します。有効にした場合は、次の設定を構成します。
    • ユーザー名: ユーザー名を入力します。
    • パスワード: ユーザーパスワードを入力します。
  • ID: 任意で、この構成のIDを入力します。[VPN接続の種類] が[IPSEC]の場合にのみ適用されます。
  • VPN接続の種類: 一覧から、使用する接続の種類として [IPSEC] または[SSL] を選択します。デフォルトは[IPSEC]です。次のセクションでは、接続の種類ごとに、構成設定について説明します。
  • IPSEC]接続の設定の構成
    • ID: 任意で、この構成のIDを入力します。
    • IPsecグループIDの種類: 一覧から、使用するIPsecグループIDの種類を選択します。デフォルトは[Default]です。選択できるオプションは以下のとおりです。
      • デフォルト
      • IPv4 アドレス
      • 完全修飾ドメイン名 (FQDN)
      • ユーザー FQDN
      • IKE キー ID
    • IKEのバージョン: 一覧から、使用するインターネットキー交換バージョンを選択します。デフォルトは [IKEv1] です。
    • 認証方法: 一覧から、使用する認証方法を選択します。デフォルトは[Certificate]です。選択できるオプションは以下のとおりです。
      • 証明書: 証明書認証を使用します。このオプションを選択した場合は、[ID資格情報] ボックスの一覧から、使用する資格情報を選択します。デフォルトは [なし] です。
      • 事前共有キー: 事前共有キーを使用します。このオプション選択した場合は、[Pre-shared key]フィールドに、共有秘密キーを入力します。
      • ハイブリッドRSA: RSA証明書を使用するハイブリッド認証を使用します。
      • EAP MD5: EAPピアからEAPサーバーまでの認証を行います。ただし、相互認証は行いません。
      • EAP MSCHAPv2: 相互認証にMicrosoftのチャレンジハンドシェイク認証を使用します。
      • CAC based Authentication::認証にCommon Access Card(CAC)を使用します。
    • CA証明書: ボックスの一覧で、使用する証明書を選択します。
    • 停止ピア検出を有効化: ピアが有効であるか確認するためにピアに問い合わせるかどうかを選択します。デフォルトは、[Off]です。
    • デフォルトルートを有効化: VPNサーバーへのデフォルトルートを有効にするかどうかを選択します。
    • モバイルオプションを有効化: モバイルオプションを有効にするかどうかを選択します。
    • Ike有効期間(分): VPN接続が再確立されるまでの時間を分単位で入力します。デフォルトは1440分(24時間)です。
    • ipsec有効期間(分): VPN接続が再確立されるまでの時間を分単位で入力します。デフォルトは1440分(24時間)です。
    • Diffie-Hellmanグループ値(キーの強度): 一覧から、使用するキー強度を選択します。デフォルト値は 0 です。
    • IKEフェーズ1のキー交換モード: IKEフェーズ1のネゴシエーションモードとして、[メイン] または [アグレッシブ] を選択します。デフォルトは[Main]です。
      • メイン: ネゴシエーション時に情報が潜在的な攻撃者にさらされることはありませんが、[アグレッシブ] モードより低速です。
      • アグレッシブ: ネゴシエーション時に一部の情報(ネゴシエーションを行うピアのIDなど)が潜在的な攻撃者にさらされますが、[メイン] モードより高速です。
    • Perfect Forward Secrecy(PFS)値: 接続の再ネゴシエーションに新しいキー交換を必要とするPFSを使用するかどうかを選択します。
    • 分割トンネルの種類: 一覧から、使用する分割トンネリングの種類を選択します。選択できるオプションは以下のとおりです。
      • 自動: 分割トンネリングが自動的に使用されます。
      • 手動: 分割トンネリングがVPNサーバーで指定したIPアドレスおよびポートを介して使用されます。
      • 無効: 分割トンネリングは使用されません。
    • SuiteBの種類: 一覧から、使用するNSA Suite B暗号化のレベルを選択します。デフォルトは [GCM-128] です。選択できるオプションは以下のとおりです。
      • GCM-128: 128ビットのAES-GCM暗号化を使用します。
      • GCM-256: 256ビットのAES-GCM暗号化を使用します。
      • GMAC-128: 128ビットのAES-GMAC暗号化を使用します。
      • GMAC-256: 256ビットのAES-GMAC暗号化を使用します。
      • なし: 暗号化を使用しません。
    • IPSEC暗号化アルゴリズム: IPSecプロトコルが使用するVPN構成です。
    • IKE暗号化アルゴリズム: IPSecプロトコルが使用するVPN構成です。
    • IKE Integrity Algorithm: IPSecプロトコルが使用するVPN構成です。
    • Knox: Samsung KNOXのみの構成です。
    • ベンダー: KNOX APIと通信する汎用エージェントの個人用プロファイルです。
    • 転送ルート: 社内VPNサーバーが転送ルートをサポートしている場合は、使用する転送ルートごとに、[追加] をクリックして以下の操作を行います。
      • 転送ルート: 転送ルートのIPアドレスを入力します。
      • 保存] をクリックしてルートを保存するか、[キャンセル] をクリックして操作を取り消します。
    • アプリ単位のVPN: 追加する各アプリケーションごとのVPNについて、[追加] をクリックして以下の操作を行います。
      • アプリ単位のVPN: アプリケーションが通信に使用するVPN構成です。
      • Save]をクリックしてアプリケーションごとのVPNを保存するか、[Cancel]をクリックして操作を取り消します。
  • SSL]接続の設定の構成
    • 認証方法: 一覧から、使用する認証方法を選択します。選択できるオプションは以下のとおりです。
      • 適用できません: 認証方法は適用されません。これがデフォルトの設定です。
      • 証明書: 証明書認証を使用します。これがデフォルトの設定です。このオプションを選択した場合は、[Identity credential]ボックスの一覧から、使用する資格情報を選択します。デフォルトは、Noneです。
      • CAC based Authentication::認証にCommon Access Card(CAC)を使用します。
    • CA証明書: ボックスの一覧で、使用する証明書を選択します。
    • デフォルトルートを有効化: VPNサーバーへのデフォルトルートを有効にするかどうかを選択します。
    • モバイルオプションを有効化: モバイルオプションを有効にするかどうかを選択します。
    • 分割トンネルの種類: 一覧から、使用する分割トンネリングの種類を選択します。選択できるオプションは以下のとおりです。
      • 自動: 分割トンネリングが自動的に使用されます。
      • 手動: 分割トンネリングが指定したIPアドレスおよびポートを介して使用されます。
      • 無効: 分割トンネリングは使用されません。
    • SuiteBの種類: 一覧から、使用するNSA Suite B暗号化のレベルを選択します。デフォルトは[GCM-128]です。選択できるオプションは以下のとおりです。
      • GCM-128: 128ビットのAES-GCM暗号化を使用します。
      • GCM-256: 256ビットのAES-GCM暗号化を使用します。
      • GMAC-128: 128ビットのAES-GMAC暗号化を使用します。
      • GMAC-256: 256ビットのAES-GMAC暗号化を使用します。
      • なし:暗号化を使用しません: クライアントとサーバー間のネゴシエーションに使用するSSLアルゴリズムを入力します。
    • SSLアルゴリズム: クライアントとサーバー間のネゴシエーションに使用するSSLアルゴリズムを入力します。
    • Knox: Samsung KNOXのみの構成です。
    • ベンダー: KNOX APIと通信する汎用エージェントの個人用プロファイルです。
    • 転送ルート: 社内VPNサーバーが転送ルートをサポートしている場合は、使用する転送ルートごとに、[追加] をクリックして以下の操作を行います。
      • 転送ルート: 転送ルートのIPアドレスを入力します。
      • 保存] をクリックしてルートを保存するか、[キャンセル] をクリックして操作を取り消します。
    • アプリ単位のVPN: 追加する各アプリケーションごとのVPNについて、[追加] をクリックして以下の操作を行います。
      • アプリ単位のVPN: アプリケーションが通信に使用するVPN構成です。
      • 保存] をクリックしてアプリケーションごとのVPNを保存するか、[キャンセル] をクリックして操作を取り消します。

Windows Phoneの設定

デバイスポリシー構成画面の画像

これらの設定は、Windows 10以降の監視対象Windows Phoneでのみサポートされます。

  • 接続名: 接続名を入力します。このフィールドは必須です。
  • プロファイルの種類: 一覧から、[ネイティブ] または [プラグイン] を選択します。デフォルトは [ネイティブ] です。次のセクションでは、各オプションの設定について説明します。
  • ネイティブプロファイルタイプ設定の構成: 以下の設定は、ユーザーのWindows Phoneに組み込まれているVPNに適用されます。
    • VPNサーバー名: VPNサーバーのFQDNまたはIPアドレスを入力します。このフィールドは必須です。
    • トンネリングプロトコル: 一覧から、使用するVPNトンネルの種類を選択します。デフォルトは[L2TP]です。選択できるオプションは以下のとおりです。
      • L2TP: レイヤー2トンネリングプロトコルと事前共有キー認証。
      • PPTP: Point-to-Pointトンネリング。
      • IKEv2: インターネットキー交換バージョン2
    • 認証方法: 一覧から、使用する認証方法を選択します。デフォルトは[EAP]です。選択できるオプションは以下のとおりです。
      • EAP: 拡張認証プロトコル。
      • MSChapV2: 相互認証にMicrosoftのチャレンジハンドシェイク認証を使用します。トンネルの種類に[IKEv2]を選択した場合、このオプションは使用できません。[MSChapV2]を選択すると、[Windows資格情報を自動的に使用] オプションが表示されます。デフォルトは [オフ] です。
    • EAPメソッド: 一覧から、使用するEAP方法を選択します。デフォルトは[TLS]です。[MSChapV2]認証が有効になっている場合、このフィールドは使用できません。選択できるオプションは以下のとおりです。
      • TLS: Transport Layer Security
      • PEAP: 保護された拡張認証プロトコル
    • DNSサフィックス: DNSサフィックスを入力します。
    • 信頼できるネットワーク: アクセスにVPN接続を必要としないネットワークの一覧をコンマ区切りで入力します。たとえば、ユーザーが社内ワイヤレスネットワークのメンバーであれば、保護されているリソースに直接アクセスすることができます。
    • スマートカード証明書を要求: スマートカード証明書を必須とするかどうかを選択します。デフォルトは[OFF]です。
    • クライアント証明書を自動的に選択: 認証に使用するクライアント証明書が自動的に選択されるようにするかどうかを選択します。デフォルトは[OFF]です。[Require smart card certificate]が有効になっている場合、このオプションは使用できません。
    • 資格情報を保存: 資格情報をキャッシュするかどうかを選択します。デフォルトは[OFF]です。有効にすると、可能な場合に資格情報がキャッシュされます。
    • 常時VPNに接続: VPNを常にオンにするかどうかを選択します。デフォルトは[OFF]です。有効にすると、ユーザーが手動で切断するまで、VPN接続はオンのままです。
    • ローカル用バイパス: ローカルリソースによるプロキシサーバーのバイパスを許可するアドレスおよびポート番号を入力します。
  • プラグインプロトコルタイプの構成: 以下の設定は、Windows Storeから取得し、ユーザーのデバイスにインストールしたVPNプラグインに適用されます。
    • サーバーアドレス: VPNサーバーのIPアドレスを入力します。
    • Client app ID: VPNプラグインのパッケージファミリ名を入力します。
    • プラグインプロファイルXML: 使用するカスタムVPNプラグインプロファイルの場所に[参照]をクリックして移動し、ファイルを選択します。形式などの詳細については、プラグインプロバイダーにお問い合わせください。
    • DNS Suffix: DNSサフィックスを入力します。
    • 信頼されたネットワーク: アクセスにVPN接続を必要としないネットワークの一覧をコンマ区切りで入力します。たとえば、ユーザーが社内ワイヤレスネットワークのメンバーであれば、保護されているリソースに直接アクセスすることができます。
    • 資格情報を保存: 資格情報をキャッシュするかどうかを選択します。デフォルトは[OFF]です。有効にすると、可能な場合に資格情報がキャッシュされます。
    • 常時VPNに接続: VPNを常にオンにするかどうかを選択します。デフォルトは[OFF]です。有効にすると、ユーザーが手動で切断するまで、VPN接続はオンのままです。
    • ローカル用バイパス: ローカルリソースによるプロキシサーバーのバイパスを許可するアドレスおよびポート番号を入力します。

Windowsデスクトップ/タブレットの設定

デバイスポリシー構成画面の画像

  • 接続名: 接続名を入力します。このフィールドは必須です。
  • プロファイルの種類: 一覧から、[ネイティブ] または [プラグイン] を選択します。デフォルトは[Native]です。
  • ネイティブプロファイルタイプの構成: 以下の設定は、ユーザーのWindowsデバイスに組み込まれているVPNに適用されます。
    • サーバーアドレス: VPNサーバーのIPアドレスを入力します。このフィールドは必須です。
    • 資格情報を保存: 資格情報をキャッシュするかどうかを選択します。デフォルトは、[Off]です。有効にすると、可能な場合に資格情報がキャッシュされます。
    • DNSサフィックス: DNSサフィックスを入力します。
    • トンネルタイプ: 一覧から、使用するVPNトンネルの種類を選択します。デフォルトは[L2TP]です。選択できるオプションは以下のとおりです。
      • L2TP: レイヤー2トンネリングプロトコルと事前共有キー認証。
      • PPTP: Point-to-Pointトンネリング。
      • IKEv2: インターネットキー交換バージョン2
    • 認証方法: 一覧から、使用する認証方法を選択します。デフォルトは[EAP]です。選択できるオプションは以下のとおりです。
      • EAP: 拡張認証プロトコル。
      • MSChapV2: 相互認証にMicrosoftのチャレンジハンドシェイク認証を使用します。トンネルの種類に[IKEv2]を選択した場合、このオプションは使用できません。
    • EAPメソッド: 一覧から、使用するEAP方法を選択します。デフォルトは[TLS]です。[MSChapV2]認証が有効になっている場合、このフィールドは使用できません。選択できるオプションは以下のとおりです。
      • TLS: Transport Layer Security
      • PEAP: 保護された拡張認証プロトコル
    • 信頼できるネットワーク: アクセスにVPN接続を必要としないネットワークの一覧をコンマ区切りで入力します。たとえば、ユーザーが社内ワイヤレスネットワークのメンバーであれば、保護されているリソースに直接アクセスすることができます。
    • スマートカード証明書を要求: スマートカード証明書を必須とするかどうかを選択します。デフォルトは、[Off]です。
    • クライアント証明書を自動的に選択: 認証に使用するクライアント証明書が自動的に選択されるようにするかどうかを選択します。デフォルトは、[Off]です。[Require smart card certificate]が有効な場合、このオプションは使用できません。
    • 常時VPNに接続: VPNを常にオンにするかどうかを選択します。デフォルトは、[Off]です。有効にすると、ユーザーが手動で切断するまで、VPN接続はオンのままです。
    • ローカル用バイパス: ローカルリソースによるプロキシサーバーのバイパスを許可するアドレスおよびポート番号を入力します。
  • プラグインプロファイルタイプの構成: 以下の設定は、Windows Storeから取得し、ユーザーのデバイスにインストールしたVPNプラグインに適用されます。
    • サーバーアドレス: VPNサーバーのIPアドレスを入力します。このフィールドは必須です。
    • 資格情報を保存: 資格情報をキャッシュするかどうかを選択します。デフォルトは、[Off]です。有効にすると、可能な場合に資格情報がキャッシュされます。
    • DNSサフィックス: DNSサフィックスを入力します。
    • クライアントアプリID: VPNプラグインのパッケージファミリ名を入力します。
    • プラグインプロファイルXML: 使用するカスタムVPNプラグインプロファイルの場所に [参照] をクリックして移動し、ファイルを選択します。形式などの詳細については、プラグインプロバイダーにお問い合わせください。
    • 信頼されたネットワーク: アクセスにVPN接続を必要としないネットワークの一覧をコンマ区切りで入力します。たとえば、ユーザーが社内ワイヤレスネットワークのメンバーであれば、保護されているリソースに直接アクセスすることができます。
    • 常時VPNに接続: VPNを常にオンにするかどうかを選択します。デフォルトは、[Off]です。有効にすると、ユーザーが手動で切断するまで、VPN接続はオンのままです。
    • ローカル用バイパス: ローカルリソースによるプロキシサーバーのバイパスを許可するアドレスおよびポート番号を入力します。

Amazonの設定の構成

デバイスポリシー構成画面の画像

  • 接続名: 接続名を入力します。
  • VPNの種類: 一覧から、接続の種類を選択します。選択できるオプションは以下のとおりです。
    • L2TP PSK: レイヤー2トンネリングプロトコルと事前共有キー認証。これがデフォルトの設定です。
    • L2TP RSA: レイヤー2トンネリングプロトコルとRSA認証。
    • IPSEC拡張認証PSK: インターネットプロトコルセキュリティと事前共有キーおよび拡張認証。
    • IPSECハイブリッドRSA: インターネットプロトコルセキュリティとハイブリッドRSA認証。
    • PPTP: Point-to-Pointトンネリング。

次のセクションは、上記の接続の種類ごとに、構成オプションを示しています。

Amazon向けL2TP PSKの設定の構成

  • サーバーアドレス: VPNサーバーのIPアドレスを入力します。
  • ユーザー名: 任意で、ユーザー名を入力します。
  • パスワード: 任意で、パスワードを入力します。
  • L2TPシークレット: 共有秘密キーを入力します。
  • IPSec識別子: 接続時にユーザーのデバイスに表示されるVPN接続の名前を入力します。
  • IPSec事前共有キー: 秘密キーを入力します。
  • DNS検索ドメイン: ユーザーデバイスの検索ドメインの一覧と照合可能なドメインを入力します。
  • DNSサーバー: 指定したドメインの解決に使用するDNSサーバーのIPアドレスを入力します。
  • 転送ルート: 社内VPNサーバーが転送ルートをサポートしている場合は、使用する転送ルートごとに、[追加] をクリックして以下の操作を行います。
    • 転送ルート: 転送ルートのIPアドレスを入力します。
    • Save]をクリックしてルートを保存するか、[Cancel]をクリックして操作を取り消します。

Amazon向けL2TP RSAの設定の構成

  • サーバーアドレス: VPNサーバーのIPアドレスを入力します。
  • ユーザー名: 任意で、ユーザー名を入力します。
  • パスワード: 任意で、パスワードを入力します。
  • L2TPシークレット: 共有秘密キーを入力します。
  • DNS検索ドメイン: ユーザーデバイスの検索ドメインの一覧と照合可能なドメインを入力します。
  • DNSサーバー: 指定したドメインの解決に使用するDNSサーバーのIPアドレスを入力します。
  • サーバー証明書: 一覧から、使用するサーバー証明書を選択します。
  • CA証明書: 一覧から、使用するCA証明書を選択します。
  • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。
  • 転送ルート: 社内VPNサーバーが転送ルートをサポートしている場合は、使用する転送ルートごとに、[追加] をクリックして以下の操作を行います。
    • 転送ルート: 転送ルートのIPアドレスを入力します。
    • Save]をクリックしてルートを保存するか、[Cancel]をクリックして操作を取り消します。

Amazon向けIPSEC XAUTH PSKの設定の構成

  • サーバーアドレス: VPNサーバーのIPアドレスを入力します。
  • ユーザー名: 任意で、ユーザー名を入力します。
  • パスワード: 任意で、パスワードを入力します。
  • IPSec識別子: 接続時にユーザーのデバイスに表示されるVPN接続の名前を入力します。
  • IPSec事前共有キー: 共有秘密キーを入力します。
  • DNS検索ドメイン: ユーザーデバイスの検索ドメインの一覧と照合可能なドメインを入力します。
  • DNSサーバー: 指定したドメインの解決に使用するDNSサーバーのIPアドレスを入力します。
  • 転送ルート: 社内VPNサーバーが転送ルートをサポートしている場合は、使用する転送ルートごとに、[追加] をクリックして以下の操作を行います。
    • 転送ルート: 転送ルートのIPアドレスを入力します。
    • Save]をクリックしてルートを保存するか、[Cancel]をクリックして操作を取り消します。

Amazon向けIPSEC AUTH RSAの設定の構成

  • サーバーアドレス: VPNサーバーのIPアドレスを入力します。
  • ユーザー名: 任意で、ユーザー名を入力します。
  • パスワード: 任意で、パスワードを入力します。
  • DNS検索ドメイン: ユーザーデバイスの検索ドメインの一覧と照合可能なドメインを入力します。
  • DNSサーバー: 指定したドメインの解決に使用するDNSサーバーのIPアドレスを入力します。
  • サーバー証明書: 一覧から、使用するサーバー証明書を選択します。
  • CA証明書: 一覧から、使用するCA証明書を選択します。
  • ID資格情報: ボックスの一覧で、使用するID資格情報を選択します。
  • 転送ルート: 社内VPNサーバーが転送ルートをサポートしている場合は、使用する転送ルートごとに、[追加] をクリックして以下の操作を行います。
    • 転送ルート: 転送ルートのIPアドレスを入力します。
    • Save]をクリックしてルートを保存するか、[Cancel]をクリックして操作を取り消します。

Amazon向けIPSEC HYBRID RSAの設定の構成

  • サーバーアドレス: VPNサーバーのIPアドレスを入力します。
  • ユーザー名: 任意で、ユーザー名を入力します。
  • パスワード: 任意で、パスワードを入力します。
  • DNS検索ドメイン: ユーザーデバイスの検索ドメインの一覧と照合可能なドメインを入力します。
  • DNSサーバー: 指定したドメインの解決に使用するDNSサーバーのIPアドレスを入力します。
  • サーバー証明書: 一覧から、使用するサーバー証明書を選択します。
  • CA証明書: 一覧から、使用するCA証明書を選択します。
  • 転送ルート: 社内VPNサーバーが転送ルートをサポートしている場合は、使用する転送ルートごとに、[追加] をクリックして以下の操作を行います。
    • 転送ルート: 転送ルートのIPアドレスを入力します。
    • Save]をクリックしてルートを保存するか、[Cancel]をクリックして操作を取り消します。

Amazon向けLPPTPの設定の構成

  • サーバーアドレス: VPNサーバーのIPアドレスを入力します。
  • ユーザー名: 任意で、ユーザー名を入力します。
  • パスワード: 任意で、パスワードを入力します。
  • DNS検索ドメイン: ユーザーデバイスの検索ドメインの一覧と照合可能なドメインを入力します。
  • DNSサーバー: 指定したドメインの解決に使用するDNSサーバーのIPアドレスを入力します。
  • PPP暗号化(MPPE): Microsoft Point-to-Point暗号化(MPPE)によるデータの暗号化を有効にするかどうかを選択します。デフォルトは、[Off]です。
  • 転送ルート: 社内VPNサーバーが転送ルートをサポートしている場合は、使用する転送ルートごとに、[追加] をクリックして以下の操作を行います。
    • 転送ルート: 転送ルートのIPアドレスを入力します。
    • Save]をクリックしてルートを保存するか、[Cancel]をクリックして操作を取り消します。

Chrome OSの設定

デバイスポリシー構成画面の画像

  • VPN接続名: この接続のユーザー向けの説明を入力します。この設定は必須です。
  • このネットワークの優先度: このネットワークに推奨される優先度の値を入力します。整数値を使用します。
  • 接続の種類:リストで、接続の種類として [Open VPN] を選択します。

Open VPN] を選択すると、OpenVPN接続に固有の設定が表示されます。スクロールしてすべての設定を表示します。

デバイスポリシー構成画面の画像

  • ホスト: VPN接続先のサーバーのホスト名またはIPアドレスを入力します。この構成は、OpenVPNに必要です。ここで入力した値がプライマリホストになります。必要に応じて、プライマリホストへの接続失敗時に接続するホストを追加で設定できます。
  • 自動接続: VPNをホストに自動的に接続するかどうかを選択します。この設定が [オン] になっている場合、VPNは自動的にホストに接続します。デフォルトは [オフ] です。
  • ポート: ホストサーバーのポート番号を入力します。デフォルトは1194です。
  • プロトコル: ホストサーバーと通信するときに使用するプロトコルを入力します。デフォルトはUPDです。
  • ユーザー認証の種類: リストで、目的の形式のユーザー認証を選択します。
    • なし: パスワードやワンタイムPINは不要です。
    • パスワード: パスワードのみが求められます。この値は管理者が設定するか、接続時にユーザーに入力させることができます。
    • パスワードとOTP: パスワードとワンタイムPINが求められます。これらの値は管理者が設定するか、接続時にユーザーに入力させることができます。
    • OTP: ワンタイムPINが求められます。この値は管理者が設定するか、接続時にユーザーに入力させることができます。
  • ユーザー名: VPN接続で使用するユーザー名を入力します。指定しない場合、ユーザーが接続時にユーザー名を入力するように求められます。この値は、テキスト文字列展開の対象になります。
    • $ {LOGIN_ID}は、ユーザーのメールアドレスのうち@記号までの部分に展開されます。
    • $ {LOGIN_EMAIL} - ユーザーのメールアドレスに展開されます。
  • パスワード: VPN接続に使用するパスワードをテキスト文字列で入力します。指定されていない場合は、接続時にパスワードの入力が求められます。
  • OTP: VPN接続に使用するワンタイムPINをテキスト文字列で入力します。パスワードのテキスト文字列を指定します。指定されていない場合は、接続時にワンタイムPINを入力するよう求められます。
  • 資格情報の保存: 接続後にユーザー資格情報を保存するかどうかを選択します。[オフ] に設定した場合、ユーザーは接続のたびに資格情報の入力を求められます。
  • メモリへの資格情報のキャッシュ: ユーザーが入力したユーザーパスワードとワンタイムPINを、デバイスのメモリにキャッシュするかどうかを選択します。この設定を [オン] にすると、キャッシュが有効になります。デフォルトは [オフ] です。
  • 認証: 接続の保護に使用する認証アルゴリズムを入力します。デフォルトはSHA-1です。
  • 認証の再試行の種類: リストで、ユーザーの資格情報が無効な場合のVPNの応答方法を選択します。[再試行時にエラーを表示して失敗する]、[認証を要求せずに再試行する]、[毎回認証を要求する] を選択できます。デフォルトは [再試行時にエラーを表示して失敗する] です。
  • 暗号化: セキュリティで保護された接続に使用するアルゴリズムを入力します。デフォルトはBF-CBCです。
  • LZO圧縮: VPNでLZO圧縮を使用するかどうかを選択します。[オン] に設定した場合、VPNではLZO圧縮が使用されますデフォルトは [オフ] です。
  • 連続文字圧縮: VPNで連続文字圧縮を使用するかどうかを選択します。[オン] に設定した場合、VPNでは連続文字圧縮が使用されます。デフォルトは [オフ] です。

デバイスポリシー構成画面の画像

  • 追加のホスト: デバイスがプライマリホストに接続できない場合に順番に接続を試行するホストのリストを構成します。これらの追加ホストの設定は省略可能です。
    1. ホスト名] の右にある [追加] をクリックします。
    2. サーバーのホスト名またはIPアドレスを入力します。
    3. 保存]をクリックします。

    別のホストを追加する場合は、これらの手順を繰り返します。

  • サーバーのポーリングタイムアウト(秒): リストの次のサーバーへ移るまでにこのサーバーへの接続を試行する最長時間を秒数で入力します。
  • デフォルトルートを無視: このホストでVPNゲートウェイを無視するかどうかを選択します。デフォルトでは、デバイスはVPNサーバーによってアドバタイズされたゲートウェイアドレスへの既定のルートを作成します。この設定を[オン]に設定すると、スプリットトンネリングが許可されます。デフォルトは [オフ] です。サーバーがリダイレクト構成フラグをクライアントにプッシュする場合、この設定は無視されます。
  • キー方向: キー方向のテキスト文字列を入力します。キー方向は「–key-direction」として渡されます。
  • ピア証明書の種類:ピア証明書の種類をチェックする場合は「server」と入力します。この設定が設定されていない場合、ピア証明書タイプはチェックされません。
  • ピア情報をプッシュ: ピア証明書情報をこのホストにプッシュするかどうかを選択します。この設定を [オン] にすると、ピア情報がプッシュされます。デフォルトは [オフ] です。
  • ピア証明書の拡張キー使用法: ピア証明書の署名に使用する必要がある、明示的な拡張キー使用法のテキスト文字列をOID表記で入力します。オプションです。