Android Plus端末でのVPN設定
端末から社内リソースにアクセスするためのVPNを、Android Plus端末に設定します。
(図1)の「Android Plus 構成プロファイルのメニュー」の画面を表示します。
表示方法は、「Android Plus 端末の 構成プロファイルの作成」を参照ください。
(図1)
(図1)の中の「VPN」をプルダウンすると、(図2)のようにVPNの種類に関するメニューが表示されます。 このメニューの中から、企業/団体で採用しているVPNのタイプを選択します。(図2)VPN設定画面
下記のVPNタイプをクリックください。
説明を開いた状態 説明を閉じた状態
全般
VPN名VPNサーバ/IPアドレス
- VPNの表示用の名前
ドメイン
- VPNサーバのURLまたはIPアドレス
- VPNサーバのドメイン
認証
ユーザ名認証
- 次の4つのタイプから選択。
- UPN
- Domain\Username
- Username
- Prompt User
- 固定文字列
- 端末登録時にADで本人認証をした場合は、下記のマクロを使用すると自動反映されます。
- %EnrolledUser_Upn%
- %EnrolledUser_Domain% \%EnrolledUser_Username%
- %EnrolledUser_Username%
- %PromptUser%
L2TP共有鍵
- 右端をプルダウン。「共有鍵/グループ名」と「証明書」の選択肢。
PSKey
- 認証に「共有鍵/グループ名」を選んだ場合、共有鍵を入力
IPSecユーザ証明書
- 認証に「共有鍵/グループ名」を選んだ場合、PSKey(事前共有鍵)を入力
IPSec CA証明書
- 認証に「証明書」を選んだ場合、右端をプルダウンすると、 証明書が現れる
IDタイプ
- 認証に「共有鍵/グループ名」を選んだ場合、認証局の証明書を入力
IDの値
- 右端をプルダウン。下記から選択
- なし
- Eメールアドレス
- 識別名
- DNS名
- キーID
- IPアドレス
- IDタイプに照応する値を入力
全般
VPN名VPNサーバ/IPアドレス
- VPNの表示用の名前
ドメイン
- VPNサーバのURLまたはIPアドレス
- VPNサーバのドメイン
認証
ユーザ名暗号化を可能にする
- 次の4つのタイプから選択。
- UPN
- Domain\Username
- Username
- Prompt User
- 固定文字列
- 端末登録時にADで本人認証をした場合は、下記のマクロを使用すると自動反映されます。
- %EnrolledUser_Upn%
- %EnrolledUser_Domain%\%EnrolledUser_Username%
- %EnrolledUser_Username%
- %PromptUser%
- 暗号通信を実施する場合は、チェックを入れる。
全般
VPN名VPNサーバのホスト名/IPアドレス
- VPNの表示用の名前
認証
- VPNサーバのURLまたはIPアドレス
CA(証明書による認証方式)を適用端末識別証明書
- 適用する場合にチェックを入れる
- 認証局発行の証明書
全般
VPN名VPNサーバのホスト名/IPアドレス
- VPNの表示用の名前
バックアップサーバを有効にする
- VPNサーバのURLまたはIPアドレス
バックアップサーバ
- プライマリーのVPNサーバが利用できなくなった場合に、バックアップサーバを利用する場合にチェックを入れる。
ユーザ名
- バックアップサーバのURLまたはIPアドレス
パスワード
- VPNサーバに対するユーザ名。ADで端末登録した場合は、%ENROLLEDUSER_UPN%のまま
認証
- ユーザ名に照応するパスワード
IKEバージョンMobikeを適用
- IKE(Internet Key Exchange)のバージョン
認証
- もしIKEバージョン2を適用する場合は、チェックを入れる
- 右端をドロップダウンして認証方式を選択
から選択
- Pre-shared Key
- 証明書
- Hybrid RSA
- EAP MD5
- EAP MSCHAPv2
IPSecユーザ証明書
IPSec CA証明書
- 認証方式に証明書を選んだ場合、IPSecのVPNサーバに対するユーザ証明書
IKE フェーズ1 Exchangeモード
- 認証方式に証明書を選んだ場合、IPSecのVPNサーバに対する認証局発行の証明書
完全フォワード機密を適用
- 右端をドロップダウンして「メインモード」か「アグレッシブモード」を選択
- PFS(Perfect Forward Secrecy)を採用する場合にチェックを入れる
IKE ID VPNグループ名
- IPSecサーバのグループIDタイプ。 右端をドロップダウンして選択
- IKE ID自動
- IPアドレス
- FQDN
- Eメール
- キーID
Suite B Type
- IPSecサーバのグループIDタイプの値
Diffie-Hellmanグループ
- 右端をドロップダウンして選択
- なし
- GCM128
- GCM256
- GMAC128
- GMAC256
スプリット・トンネルタイプ
- Diffie-Hellmanグループの値。右端をドロップダウンして値を選択。
共有アクセスカード(CAC)認証
- 右端をドロップダウンして選択
- 利用禁止機能
- 手動
- 自動
VPNクライアントの設定値
- 適用する場合にチェックを入れる。CACは米国の軍人、国防省職員、軍属が保有するカード
VPNのデッドピアー検出を有効にするデフォルトのルーティングを使う
- 有効にする場合にチェックを入れる
本人認証を適用
- この接続をデフォルトのルートとする場合にチェックを入れる
スマートカードによる認証を適用
- 端末ユーザ名による認証をする場合にチェックを入れる
FIPSモード
- スマートカードによる認証をする場合にチェックを入れる
- FIPSモードによる認証をする場合にチェックを入れる
全般
VPN名VPNサーバのホスト名/IPアドレス
- VPNの表示用の名前
IPSecのID
- VPNサーバのURLまたはIPアドレス
認証
- IPSecのIDを入力
PSKey
- pre-shared-key(事前共有鍵)の入力
全般
VPN名VPNサーバのホスト名/IPアドレス
- VPNの表示用の名前
認証
- VPNサーバのURLまたはIPアドレス
IPSecユーザ証明書IPSec CA証明書
- 右端をプルダウンすると、 証明書が現れる
- 右端をプルダウンすると、認証局の証明書が現われる
全般
VPN名VPNサーバのホスト名/IPアドレス
- VPNの表示用の名前
認証
- VPNサーバのURLまたはIPアドレス
IPSec CA証明書
- 認証に「共有鍵/グループ名」を選んだ場合、認証局の証明書を入力
全般
VPN名VPNサーバのホスト名/IPアドレス
- VPNの表示用の名前
ユーザ名
- VPNサーバのURLまたはIPアドレス
ドメイン
- ユーザ認証のためにユーザ名を指定します。
AD_DSを使ってMobiControlへの端末登録をすると前提とし、 ここでは、%ENROLLEDUSER_UPN% を指定しておくと、AD_DSで認証します。 %ENROLLEDUSER_USERNAME%と指定することもできます。認証
- ユーザが所属するADのドメインを指定します。%ENROLLEDUSER_DOMAIN%と指定することもできます。
認証パスワード
- 右端をプルダウンすると「パスワード」と「証明書」のメニューが現れます。
- 認証で「パスワード」を選択すると、そのパスワードを記入します。
ご留意対象となる端末には、事前に、VPNクライアントアプリを インストールしておく必要があります。構成プロファイルの作成が終わると、「OK」ボタンを押します。
構成プロファイルの作成が終わると、これを対象とする端末グループやAD(Active Directory)の グループに割り当てます。そして、それを当該グループの端末に配布し、インストールします。詳しくは、 「Android Plusの構成プロファイルの作成」 のページの「E. 構成項目の編集または削除」以下を参照ください。
