VPNの設定

MobiControl v14 Manual

端末から社内リソースにアクセスするためのVPNを、Android Plus端末に設定します。  
(図1)の「Android Plus 構成プロファイルのメニュー」の画面を表示します。  
表示方法は、「Android Plus 端末の 構成プロファイルの作成」を参照ください。 
 

(図1) 

 
(図1)の中の「VPN」をプルダウンすると、(図2)のようにVPNの種類に関するメニューが表示されます。 このメニューの中から、企業/団体で採用しているVPNのタイプを選択します。

(図2)VPN設定画面 

 

下記のVPNタイプをクリックください。 
説明を開いた状態
説明を閉じた状態
 

1. L2TPの設定

  • 全般 
    VPN名
    • VPNの表示用の名前
    VPNサーバ/IPアドレス
    • VPNサーバのURLまたはIPアドレス
    ドメイン
    • VPNサーバのドメイン
     
    認証 
    ユーザ名
    • 次の4つのタイプから選択。
      • UPN
      • Domain\Username
      • Username
      • Prompt User
      • 固定文字列
    • 端末登録時にADで本人認証をした場合は、下記のマクロを使用すると自動反映されます。
      • %EnrolledUser_Upn%
      • %EnrolledUser_Domain% \%EnrolledUser_Username%
      • %EnrolledUser_Username%
      • %PromptUser%
    認証
    • 右端をプルダウン。「共有鍵/グループ名」と「証明書」の選択肢。
    L2TP共有鍵
    • 認証に「共有鍵/グループ名」を選んだ場合、共有鍵を入力
    PSKey
    • 認証に「共有鍵/グループ名」を選んだ場合、PSKey(事前共有鍵)を入力
    IPSecユーザ証明書
    • 認証に「証明書」を選んだ場合、右端をプルダウンすると、 証明書が現れる
    IPSec CA証明書
    • 認証に「共有鍵/グループ名」を選んだ場合、認証局の証明書を入力
    IDタイプ
    • 右端をプルダウン。下記から選択
      • なし
      • Eメールアドレス
      • 識別名
      • DNS名
      • キーID
      • IPアドレス
    IDの値
    • IDタイプに照応する値を入力

2. PPTPの設定

  • 全般 
    VPN名
    • VPNの表示用の名前
    VPNサーバ/IPアドレス
    • VPNサーバのURLまたはIPアドレス
    ドメイン
    • VPNサーバのドメイン
     
    認証 
    ユーザ名
    • 次の4つのタイプから選択。
      • UPN
      • Domain\Username
      • Username
      • Prompt User
      • 固定文字列
    • 端末登録時にADで本人認証をした場合は、下記のマクロを使用すると自動反映されます。
      • %EnrolledUser_Upn%
      • %EnrolledUser_Domain%\%EnrolledUser_Username%
      • %EnrolledUser_Username%
      • %PromptUser%
    暗号化を可能にする
    • 暗号通信を実施する場合は、チェックを入れる。

3. Cisco AnyConnectの設定

  • 全般 
    VPN名
    • VPNの表示用の名前
    VPNサーバのホスト名/IPアドレス
    • VPNサーバのURLまたはIPアドレス
    認証 
    CA(証明書による認証方式)を適用
    • 適用する場合にチェックを入れる
    端末識別証明書
    • 認証局発行の証明書

4. エンタープライズ・プレミアムの設定

  • 全般 
    VPN名
    • VPNの表示用の名前
    VPNサーバのホスト名/IPアドレス
    • VPNサーバのURLまたはIPアドレス
    バックアップサーバを有効にする
    • プライマリーのVPNサーバが利用できなくなった場合に、バックアップサーバを利用する場合にチェックを入れる。
    バックアップサーバ
    • バックアップサーバのURLまたはIPアドレス
    ユーザ名
    • VPNサーバに対するユーザ名。ADで端末登録した場合は、%ENROLLEDUSER_UPN%のまま
    パスワード
    • ユーザ名に照応するパスワード
    認証 
    IKEバージョン
    • IKE(Internet Key Exchange)のバージョン
    Mobikeを適用
    • もしIKEバージョン2を適用する場合は、チェックを入れる
    認証
    • 右端をドロップダウンして認証方式を選択
      • Pre-shared Key
      • 証明書
      • Hybrid RSA
      • EAP MD5
      • EAP MSCHAPv2
      から選択
    IPSecユーザ証明書
    • 認証方式に証明書を選んだ場合、IPSecのVPNサーバに対するユーザ証明書
    IPSec CA証明書
    • 認証方式に証明書を選んだ場合、IPSecのVPNサーバに対する認証局発行の証明書
    IKE フェーズ1 Exchangeモード
    • 右端をドロップダウンして「メインモード」か「アグレッシブモード」を選択
    完全フォワード機密を適用
    • PFS(Perfect Forward Secrecy)を採用する場合にチェックを入れる
     
    IKE ID
    • IPSecサーバのグループIDタイプ。 右端をドロップダウンして選択
      • IKE ID自動
      • IPアドレス
      • FQDN
      • Eメール
      • キーID
    VPNグループ名
    • IPSecサーバのグループIDタイプの値
    Suite B Type
    • 右端をドロップダウンして選択
      • なし
      • GCM128
      • GCM256
      • GMAC128
      • GMAC256
    Diffie-Hellmanグループ
    • Diffie-Hellmanグループの値。右端をドロップダウンして値を選択。
    スプリット・トンネルタイプ
    • 右端をドロップダウンして選択
      • 利用禁止機能
      • 手動
      • 自動
    共有アクセスカード(CAC)認証
    • 適用する場合にチェックを入れる。CACは米国の軍人、国防省職員、軍属が保有するカード
    VPNクライアントの設定値 
    VPNのデッドピアー検出を有効にする
    • 有効にする場合にチェックを入れる
    デフォルトのルーティングを使う
    • この接続をデフォルトのルートとする場合にチェックを入れる
    本人認証を適用
    • 端末ユーザ名による認証をする場合にチェックを入れる
    スマートカードによる認証を適用
    • スマートカードによる認証をする場合にチェックを入れる
    FIPSモード
    • FIPSモードによる認証をする場合にチェックを入れる

5. IPSec Xauth PSKの設定

  • 全般 
    VPN名
    • VPNの表示用の名前
    VPNサーバのホスト名/IPアドレス
    • VPNサーバのURLまたはIPアドレス
    IPSecのID
    • IPSecのIDを入力
    認証 
    PSKey
    • pre-shared-key(事前共有鍵)の入力

6. IPSec Xauth RSAの設定

  • 全般 
    VPN名
    • VPNの表示用の名前
    VPNサーバのホスト名/IPアドレス
    • VPNサーバのURLまたはIPアドレス
    認証 
    IPSecユーザ証明書
    • 右端をプルダウンすると、 証明書が現れる
    IPSec CA証明書
    • 右端をプルダウンすると、認証局の証明書が現われる

7. IPSec Hybrid RSAの設定

  • 全般 
    VPN名
    • VPNの表示用の名前
    VPNサーバのホスト名/IPアドレス
    • VPNサーバのURLまたはIPアドレス
    認証 
    IPSec CA証明書
    • 認証に「共有鍵/グループ名」を選んだ場合、認証局の証明書を入力

8. NetMotionの設定

  • 全般 
    VPN名
    • VPNの表示用の名前
    VPNサーバのホスト名/IPアドレス
    • VPNサーバのURLまたはIPアドレス
    ユーザ名
    • ユーザ認証のためにユーザ名を指定します。 
      AD_DSを使ってMobiControlへの端末登録をすると前提とし、 ここでは、%ENROLLEDUSER_UPN% を指定しておくと、AD_DSで認証します。 %ENROLLEDUSER_USERNAME%と指定することもできます。
    ドメイン
    • ユーザが所属するADのドメインを指定します。%ENROLLEDUSER_DOMAIN%と指定することもできます。
    認証 
    認証
    • 右端をプルダウンすると「パスワード」と「証明書」のメニューが現れます。
    パスワード
    • 認証で「パスワード」を選択すると、そのパスワードを記入します。
 
ご留意
対象となる端末には、事前に、VPNクライアントアプリを インストールしておく必要があります。

 

構成プロファイルの作成が終わると、「OK」ボタンを押します。
構成プロファイルの作成が終わると、これを対象とする端末グループやAD(Active Directory)の グループに割り当てます。そして、それを当該グループの端末に配布し、インストールします。詳しくは、 「Android Plusの構成プロファイルの作成」 のページの「E. 構成項目の編集または削除」以下を参照ください。