AppTunnelの設定

AppTunnelは、各アプリコンテナと企業ネットワーク間のアプリごとのセッションセキュリティを提供することにより、アプリデータを保護します。

このセクションは以下のトピックを含みます。

Sentryが証明書でAppTunnelを使用するよう設定する

前提条件

  • AppTunnelは、対応しているSentryの最新版に依存しています。 AppTunnelの設定タスクを開始する前に、Sentryのインストールを完了してください。
  • SCEP IDを使用したい場合:
    • ローカルまたは外部の認証機関を追加します。 Connectorのインストールが必要です。
    • アプリID証明書構成を追加します。 これが、AppTunnelを構成する際に使用する動的配布です。

認証にX.509証明書を使用するActiveSyncまたはAppTunnel、またはその両方が、プロファイルに割り当てられているSentryサーバーを使用するように構成できます。

手順

  1. [管理] > [Sentry] を開きます。
  2. [+ Sentryプロファイルを追加] をクリックします。
  3. [証明書によるActiveSync/App Tunnel認証] をクリックします。
  4. [次へ] をクリックします。
  5. 次の表のガイドラインを使用し、[グローバル設定] ページを完了します。

    表:[管理] > [Sentry] のグローバル設定

    設定

    操作内容

    [名前]

    このプロファイルを識別する名前を入力します。

    説明

    このプロファイルの目的を明示する説明を入力します。

    外部ホスト名とポートSentryのホスト名とポートを入力します。
    デバイス認証モード
    1つの証明書を2要素認証に使用認証に1枚の証明書を使用する場合にこれを選択します。 まだ証明書をアップロードしていない場合は、選択したオプションの下に表示されるエリアでアップロードできます。

    証明書を選択

    デバイス認証に必要なグループ証明書をアップロードするには:

    1. [Add] をクリックします。[証明書を追加] ウィンドウが表示されます。
    2. [証明書名] フィールドに証明書の名前を入力します。
    3. PKCS12ファイルを保護するパスワードを入力します。
    4. [ファイルを選択] をクリックしてグループ証明書をアップロードします。ファイル形式が、.p7b、.p12、.pfx、.pem、.der、.crt、.cerのいずれかであることを確認してください。
    証明書失効リスト(CRL)を有効化デバイスが提示する証明書をCAが発行するCRL(証明書失効リスト)に照らして検証する場合に選択します。
    非管理デバイス動作のデフォルト設定
    非マネージドデバイスによるメール/データ受信を許可Ivanti Neurons for MDMによって管理されていないデバイスへのデータアクセスをブロックする必要がないかどうかを選択します。
  6. [次へ] をクリックします。
  7. [Sentryサーバー構成] ページで、以下のフィールドを構成します。

    8. 表:[管理] > [Sentry] のSentryサーバー構成

    設定

    操作内容

    リスナープロトコル

    以下のいずれかのプロトコルを選択します。

    • HTTPSのみ
    • HTTPのみ
    • HTTPSおよびHTTP

    Httpsポート

    Httpsポート番号を入力します。 リスナープロトコルに「HTTPのみ」が選択されている場合、このフィールドは表示されません。

    Httpポート

    Httpポート番号を入力します。 リスナープロトコルに「HTTPSのみ」が選択されている場合、このフィールドは表示されません。
    Sentry TLSサーバー証明書/キー
    Sentryの自己署名証明書を使用

    Ivanti Neurons for MDM サービスによって作成された自己署名証明書を使用し、このプロファイルの一部としてSentryに送信する場合に選択します。 この証明書は、Sentryとモバイルデバイスとの間の通信のために使用されます。

    追加

    認証に必要な自身の証明書をアップロードするには:

    1. [Add] をクリックします。[証明書を追加] ウィンドウが表示されます。

      [Sentryの自己署名証明書を使用] の選択を解除した場合のみ、このオプションが表示されます。

    2. [証明書名] フィールドに証明書の名前を入力します。
    3. PKCS12ファイルを保護するパスワードを入力します。
    4. [ファイルを選択] をクリックし、証明書をアップロードします。ファイル形式が、.p7b、.p12、.pfx、.pem、.der、.crt、.cerのいずれかであることを確認してください。
    5. [追加] をクリックします。

    アップロードしたTLSサーバー証明書(Sentryのメインページや他のプロファイルからアップロードした証明書を含む)はすべてSentry TLSサーバー証明書/キーセクションに表示されます。 認証に必要なTLS証明書を選択するには、証明書の隣のラジオボタンをクリックします。

    プロトコル

    必要な受信プロトコルと送信プロトコルを選択します。

    暗号スイート

    暗号はSentryとのSSL暗号化通信に使用されます。 一般に強力な暗号が推奨されます。 旧いデバイスには弱い暗号化が必要となる場合があります。 デフォルトでは強力な暗号が選択されています。 それに加えて使いたい暗号を選択してください。 少なくとも1つの暗号を選択する必要があります。
  8. [次へ] をクリックします。
  9. 表示されるサービスのうち1つ以上を追加します。
  10. [保存] をクリックします。

登録されたSentryは、[未構成Sentryサーバー] セクションの [Sentry] ページに表示されます。 Sentryにプロファイルを割り当てるには、[アクション] カラムの [割り当てる] をクリックします。

Sentry証明書のアップロード

Ivanti Neurons for MDM は、Sentryプロファイルの作成時にTLSサーバー証明書とグループ証明書をアップロードします。 これらの証明書を [Sentry証明書] セクションの [Sentry] ページからアップロードすることもできます。

Ivanti Neurons はアップロード時に Sentry 証明書を検証し、証明書で見つかった条件に応じて次の種類の情報を返します。

条件

情報タイプ

リーフ証明書に認証機関へのチェーンが含まれていない、またはアップロードされたファイルに認証機関が含まれていません。

エラー

利用可能なルート証明機関がありません。

警告

ルート証明機関が、リーフ証明書の中間証明機関をサインオフしていません。

警告

Ivanti Neurons for MDM は、この記事のルールに照らした検証も行います。

手順

  1. [TLSサーバ証明書] セクションで [追加] をクリックします。[証明書を追加] ウィンドウが表示されます。
  2. [証明書名] フィールドに証明書の名前を入力します。
  3. PKCS12ファイルを保護するパスワードを入力します。
  4. [ファイルを選択] をクリックしてグループ証明書をアップロードします。ファイル形式が、.p7b、.p12、.pfx、.pem、.der、.crt、.cerのいずれかあることを確認してください。
  5. [Add] をクリックします。アップロードされた証明書が表に表示されます。
  6. TLSサーバー証明書を削除するには、[アクション] カラムの [削除] アイコンをクリックします。

  • いずれかのSentryプロファイルでTLSサーバー証明書が使用されている場合、TLSサーバー証明書を削除することはできません。 削除しようとするとエラーメッセージが表示されます。

    • グループ証明書を追加するには

    手順

    1. [グループ証明書] セクションで [追加] をクリックします。[証明書を追加] ウィンドウが表示されます。
    2. [証明書名] フィールドに証明書の名前を入力します。
    3. PKCS12ファイルを保護するパスワードを入力します。
    4. [ファイルを選択] をクリックしてグループ証明書をアップロードします。ファイル形式が、.p7b、.p12、.pfx、.pem、.der、.crt、.cerのいずれかあることを確認してください。
    5. [追加] をクリックします。

    アップロードしたグループ証明書を削除するには、[アクション] カラムの [削除] アイコンをクリックします。

    Sentryルート証明書の編集

    管理者は、Sentryルート証明書構成の配布を編集することが可能です。 また、configを他のスペースに委譲することにより、カスタムスペース管理者に編集許可を提供することもできます。

    1. [構成] に進みます。
    2. [Sentryルート証明書] を検索します。
    3. 編集アイコンをクリックします。
    4. 証明書を配布するデバイスまたはデバイスグループに対応するチェックボックスを選択します。 または、デバイスまたはデバイスグループに対応するチェックボックスの選択を解除します。
    5. 適宜、次のオプションのいずれかを [配布の概要] セクションから選択します。
      • 他のスペースに適用しない
      • 他のスペースにあるデバイスに適用する
    6. (任意)チェックボックス [スペース管理者に配布の編集を許可] をクリックします。
    7. [保存] をクリックします。
    8. 警告メッセージが表示されます。 [はい] をクリックして確定します。

    AppTunnelを使用するようアプリを設定する

    Sentryの最新説明書は、製品ドキュメンテーションで [Sentry] をクリックしてください。 使用中のSentryバージョンに対応する説明書を選択します。

    AppTunnelサービス名について

    AppTunnelサービスは、AppConnectアプリのトンネリング先となるバックエンドサービスを定義します。

    最新の使用方法は、製品ドキュメンテーションに公開されています。お使いのSentryおよびAppConnectのバージョンに適切な説明書を選択してください。