Microsoft Tunnel 概要
?Download as PPTX, PDF?
0 likes?1,531 views
Microsoft 365 Virtual Marathon (2021) での発表資料です。
![m365virtualmarathon.com #M365VM
Microsoft エンドポイント マネージャー (MEM) 管理センターでの設定
? Microsoft エンドポイント マネージャー管理センターにアクセスします。
https://endpoint.microsoft.com/
? [テナント管理] > [Microsoft Tunnel ゲートウェイ (プレビュー)]](https://image.slidesharecdn.com/microsofttunneloverview-210427094237/85/Microsoft-Tunnel-36-320.jpg)
![m365virtualmarathon.com #M365VM
Microsoft Tunnel - サーバー構成
? [サーバーの構成] > [新規作成]](https://image.slidesharecdn.com/microsofttunneloverview-210427094237/85/Microsoft-Tunnel-37-320.jpg)
Microsoft Tunnel 概要
- 1. April, 26. – 28. 2021 MICROSOFT 365 VIRTUAL MARATHON 2021 m365virtualmarathon.com #M365VM Microsoft Tunnel 概要 Yutaro Tamai Twitter : @tamai_pc Blog : sccm.jp
- 2. MICROSOFT 365 VIRTUAL MARATHON 2021 スポンサー
- 3. m365virtualmarathon.com #M365VM AGENDA ? 自己紹介、諸注意 ? Microsoft Tunnel 概要、要件 ? デモ (スクリーン ショットを使った説明) ? まとめ ? Q&A
- 4. m365virtualmarathon.com #M365VM Who are you? ?名前 玉井 裕太郎 ?趣味 自宅サーバー (TDC : Tamai Data Center) にて、 Hyper-V を用いて、Configuration Manager や Microsoft 365 等の検証をすること ?所属 SCUGJ (Windows Server & Cloud User Group Japan) コアメンバー Japan EMS Users Group スタッフ ?仕事 保険会社の IT 部門の社員 ?Blog https://sccm.jp/ ?Award Microsoft MVP (Enterprise Mobility) @tamai_pc
- 5. m365virtualmarathon.com #M365VM My home lab environment
- 6. m365virtualmarathon.com #M365VM My home lab environment
- 7. m365virtualmarathon.com #M365VM 紹介する環境、情報について ?2021/04/25 時点の情報になります。 ?Microsoft Tunnel は現在、パブリック プレビュー 中です。 ?Microsoft Endpoint Manager (Microsoft Intune) サービス リリース 2103
- 8. April, 26. – 28. 2021 MICROSOFT 365 VIRTUAL MARATHON 2021 m365virtualmarathon.com #M365VM Microsoft Tunnel 概要、要件
- 9. m365virtualmarathon.com #M365VM Microsoft Tunnel とは? ? Microsoft Tunnel とは、Android や iOS/iPadOS デバイス向けに提供される VPN ゲートウェイ サービスです。 ? Android や iOS/iPadOS デバイスからオンプレミス (社内環境) へ安全に接続 できるサービスとなります。
- 10. m365virtualmarathon.com #M365VM Microsoft Tunnel の面白いポイント ? Microsoft Tunnel のオンプレミス (社内環境) に導入するゲートウェイとなる サーバー環境は、Linux サーバー上で実行される Docker コンテナーに インストールされます。 ? Microsoft のソリューションですが、Windows Server 上に構築するのでは なく、Linux 環境に構築する点がポイントの一つになります。 ? 条件付きアクセスを構成している場合、条件付きアクセス ポリシーを使 用し、Microsoft Tunnel ゲートウェイへのアクセスを許可できます。
- 11. m365virtualmarathon.com #M365VM Microsoft Tunnel のアーキテクチャ
- 12. m365virtualmarathon.com #M365VM Microsoft Tunnel 構築の前提条件 ? Azure サブスクリプション ? Intune のサブスクリプション ? Docker を実行する Linux サーバー このサーバーは、オンプレミスまたはクラウドで実行できます ? デバイスから Tunnel Gateway サーバーへの接続をセキュリティで保護する ための Linux サーバー用のトランスポート層セキュリティ (TLS) 証明書 自己署名証明書または DigiCert 等の公的機関の発行する証明書 ? Android または iOS/iPadOS を実行するデバイス https://docs.microsoft.com/ja-jp/mem/intune/protect/microsoft-tunnel-prerequisites
- 13. m365virtualmarathon.com #M365VM Microsoft Tunnel 構築の前提条件 (Linux サーバー) ? サポートされる Linux のディストリビューション ? CentOS 7.4 以降 (CentOS 8 以降はサポートされていません) ? Red Hat (RHEL) 7.4 以降 ? Red Hat (RHEL) 8 ? Ubuntu 18.04 ? Ubuntu 20.04 https://docs.microsoft.com/ja-jp/mem/intune/protect/microsoft-tunnel-prerequisites#linux-server
- 14. m365virtualmarathon.com #M365VM Microsoft Tunnel 構築の前提条件 (証明書) ? 使用する TLS 証明書のサブジェクト代替名 (SAN) は、Tunnel Gateway サーバーの IP アドレスまたは FQDN と一致している必要があります。 ? TLS 証明書の有効期限を 2 年より長くすることはできません。 2 年より長い日付は、iOS デバイスで受け 付けられません。 ? ワイルドカードの使用は限定的にサポートされています。 たとえば、 *.contoso.com はサポートされてい ます。 cont*.com はサポートされていません。 ? Tunnel Gateway サーバーのインストール中に、信頼された証明書チェーン全体を Linux サーバーにコピー する必要があります。 インストール スクリプトにより、証明書ファイルをコピーする場所が提供され、そ のためのメッセージが表示されます。 ? 公的に信頼されていない TLS 証明書を使用する場合は、Intune の "信頼された証明書" プロファイルを使用 して、信頼チェーン全体をデバイスにプッシュする必要があります。 ? TLS 証明書は PEM または pfx 形式にすることができます。 ? TLS のバージョン:既定では、Microsoft Tunnel クライアントとサーバー間の接続では TLS 1.3 が使用されま す。 TLS 1.3 を利用できない場合、接続は TLS 1.2 を使用するようにフォールバック可能です。 https://docs.microsoft.com/ja-jp/mem/intune/protect/microsoft-tunnel-prerequisites#linux-server
- 15. m365virtualmarathon.com #M365VM Microsoft Tunnel 構築の前提条件 (ネットワーク) ? パフォーマンスを向上させるために、サーバーに 2 つのワーク インターフェイス コントローラー (NIC) を 使用することをお勧めします。 ただし、2 つを使用することはオプションなので、必須要件ではありません。 ? NIC 1 : 外部からアクセスを受けるネットワーク (外部ネットワーク用) ? NIC 2 : オンプレミスのリソースへアクセスするネットワーク (内部ネットワーク用) https://docs.microsoft.com/ja-jp/mem/intune/protect/microsoft-tunnel-prerequisites#network
- 16. m365virtualmarathon.com #M365VM Microsoft Tunnel 構築の前提条件 (ファイアウォール) ? 既定で下記のポートが使用されます。 ? 受信ポート ? TCP 443 : Microsoft Tunnel に必須 ? UDP 443 : Microsoft Tunnel に必須 ? TCP 22 : Linux サーバーへ SSH を行う場合必要 ※ 既定の 443 ポートから変更することは可能です。 ? 送信ポート ? TCP 443 : Intune サービスへのアクセスに必要 Docker がイメージをプルするために必要 ? TCP 80 : Intune サービスへのアクセスに必要 https://docs.microsoft.com/ja-jp/mem/intune/protect/microsoft-tunnel-prerequisites#firewall
- 17. April, 26. – 28. 2021 MICROSOFT 365 VIRTUAL MARATHON 2021 m365virtualmarathon.com #M365VM Demo
- 18. m365virtualmarathon.com #M365VM 今回のデモ環境のご紹介 Microsoft Tunnel Gateway サーバー (オンプレミス環境下に置くサーバー) Red Hat Enterprise Linux 8.3 (Hyper-V 上の仮想マシン) 作業用 Windows Server (証明書取得の際に利用) Windows Server 2016 TLS 証明書 DigiCert 発行のワイルドカード証明書 (*.sccm.jp) モバイル デバイス Android デバイス (Xperia XZ Premium) (Android version 9)
- 19. m365virtualmarathon.com #M365VM 今回使用する Red Hat Enterprise Linux について ? 今回の環境は、Red Hat Developer Program を使用して Red Hat Enterprise Linux のライセンスを取得して います。 ? 16 システムまで無料で Red Hat Enterprise Linux が利用できる。 https://developers.redhat.com/
- 21. m365virtualmarathon.com #M365VM Red Hat Enterprise Linux 8.3 のインストール
- 22. m365virtualmarathon.com #M365VM Red Hat Enterprise Linux 8.3 のインストールが終わったら ? デスクトップにログインしたら、 とりあえず、yum コマンドでアップデート がないか確認しましょう。 ? > yum update
- 23. m365virtualmarathon.com #M365VM サーバー証明書の取得 - CSR 作成 ? 作業用の Windows Server を用意して、インターネット インフォメーション サービス (IIS) マネージャーを 使って CSR (Certificate Signing Request) を作成します。
- 24. m365virtualmarathon.com #M365VM サーバー証明書の取得 - CSR 作成 ? CSR ファイルが正しく作成されているか、メモ帳で確認します。
- 25. m365virtualmarathon.com #M365VM サーバー証明書の取得 - DigiCert ? DigiCert のサイトにて、CSR を提出します。
- 26. m365virtualmarathon.com #M365VM サーバー証明書の取得 - CER 受け取り ? IIS マネージャー側で証明書の要求を完了します。
- 27. m365virtualmarathon.com #M365VM サーバー証明書のエクスポート ? Microsoft Tunnel では、PFX か PEM 形式の証明書が必要なので、先ほど操作した Windows Server から 証明書を PFX 形式でエクスポートします。 ? (注意) IIS マネージャーを利用して、証明書のエクスポートをすると正しく証明書チェーンが利用できな い問題が発生したので、MMC の証明書スナップインからエクスポートすることをお勧めします。
- 28. m365virtualmarathon.com #M365VM サーバー証明書のエクスポート ? PFX 形式でエクスポートします。
- 31. m365virtualmarathon.com #M365VM Red Hat Enterprise Linux 8.3 に Docker をインストール ? Install Docker Engine on CentOS https://docs.docker.com/engine/install/centos/ # sudo yum install -y yum-utils # sudo yum-config-manager –add-repo https://download.docker.com/linux/centos/docker-ce.repo
- 32. m365virtualmarathon.com #M365VM Red Hat Enterprise Linux 8.3 に Docker をインストール # sudo yum install docker-ce docker-ce-cli containerd.io 依存関係でエラーが発生する
- 33. m365virtualmarathon.com #M365VM Red Hat Enterprise Linux 8.3 に Docker をインストール まずは、依存関係のあるパッケージを削除 # yum erase podman buildah
- 34. m365virtualmarathon.com #M365VM Red Hat Enterprise Linux 8.3 に Docker をインストール 再度インストールを実施 # sudo yum install docker-ce docker-ce-cli containerd.io
- 35. m365virtualmarathon.com #M365VM Red Hat Enterprise Linux 8.3 に Docker をインストール # sudo systemctl start docker # sudo docker run hello-world
- 36. m365virtualmarathon.com #M365VM Microsoft エンドポイント マネージャー (MEM) 管理センターでの設定 ? Microsoft エンドポイント マネージャー管理センターにアクセスします。 https://endpoint.microsoft.com/ ? [テナント管理] > [Microsoft Tunnel ゲートウェイ (プレビュー)]
- 37. m365virtualmarathon.com #M365VM Microsoft Tunnel - サーバー構成 ? [サーバーの構成] > [新規作成]
- 38. m365virtualmarathon.com #M365VM Microsoft Tunnel - サーバー構成 ? IP アドレス範囲 : オンプレミスのネットワーク レンジ 例 : 192.168.0.0/24 ? サーバー ポート : Microsoft Tunnel ゲートウェイのオンプレミス サーバーへ外部からアクセスする際の ポート番号 例 : 443 ? DNS サーバー : 内部の DNS サーバーのアドレス 例 : 192.168.0.101 ? DNS サフィックス検索 : 内部の DNS サフィックス 例 : corp.contoso.com ? 分割トンネリングの規則: スプリット トンネルの設定
- 39. m365virtualmarathon.com #M365VM Microsoft Tunnel - サーバー構成
- 43. m365virtualmarathon.com #M365VM Microsoft Tunnel のインストール ? Red Hat Enterprise Linux 環境に戻ります。 ? ブラウザーにて、下記のサイトにアクセスして、ファイルをダウンロードします。 https://aka.ms/microsofttunneldownload
- 44. m365virtualmarathon.com #M365VM Microsoft Tunnel のインストール
- 45. m365virtualmarathon.com #M365VM Microsoft Tunnel のインストール
- 46. m365virtualmarathon.com #M365VM Microsoft Tunnel のインストール
- 47. m365virtualmarathon.com #M365VM Microsoft Tunnel のインストール
- 48. m365virtualmarathon.com #M365VM Microsoft Tunnel のインストール
- 49. m365virtualmarathon.com #M365VM Microsoft Tunnel のインストール
- 50. m365virtualmarathon.com #M365VM TLS 証明書の確認 - sslchecker.com
- 51. m365virtualmarathon.com #M365VM 接続元のモバイル デバイス ? iOS/iPadOS ? Android Enterprise ? フル マネージド ? 会社所有の仕事用プロファイル ? 個人所有の仕事用プロファイル
- 52. m365virtualmarathon.com #M365VM Android Enterprise - マネージド Google Play
- 53. m365virtualmarathon.com #M365VM Android Enterprise - マネージド Google Play
- 54. m365virtualmarathon.com #M365VM Android Enterprise - マネージド Google Play
- 55. m365virtualmarathon.com #M365VM Android Enterprise - マネージド Google Play
- 56. m365virtualmarathon.com #M365VM Android Enterprise - マネージド Google Play
- 57. m365virtualmarathon.com #M365VM Android Enterprise - 構成プロファイル
- 58. m365virtualmarathon.com #M365VM Android Enterprise - 構成プロファイル
- 59. m365virtualmarathon.com #M365VM Android Enterprise - 構成プロファイル
- 64. m365virtualmarathon.com #M365VM Android Enterprise - Android デバイスでの確認
- 65. m365virtualmarathon.com #M365VM Android Enterprise - Android デバイスでの確認
- 66. April, 26. – 28. 2021 MICROSOFT 365 VIRTUAL MARATHON 2021 m365virtualmarathon.com #M365VM まとめ
- 67. m365virtualmarathon.com #M365VM まとめ ? Microsoft Tunnel はまだ、パブリック プレビュー中ですが、 面白いソリューションだと思いますので、是非、 皆さんトライしてみてください。 ? 今後、Microsoft Defender for Endpoint に統合される 予定です。 ? 詳細はブログ記事にて。 ?Microsoft Tunnel ゲートウェイのご紹介 https://sccm.jp/2020/10/02/post-2619/ ?Microsoft Tunnel ゲートウェイ構築編 https://sccm.jp/2020/10/25/post-2653/
- 69. April, 26. – 28. 2021 MICROSOFT 365 VIRTUAL MARATHON 2021 m365virtualmarathon.com #M365VM Q&A
- 70. April, 26. – 28. 2021 MICROSOFT 365 VIRTUAL MARATHON 2021 m365virtualmarathon.com #M365VM End
Editor's Notes
- #12: A – Microsoft Intune。 B- Azure Active Directory (AD)。 C – Docker を使用している Linux サーバー。 C.1 - Microsoft Tunnel Gateway。 C.2 – 管理エージェント。 C.3 – 認証プラグイン – Azure AD で認証される認証プラグイン。 D – ロード バランサーを表す、Microsoft Tunnel のパブリック IP または FQDN。 E – モバイル デバイス管理 (MDM) に登録済みのデバイス。 F – ファイアウォール G – 内部プロキシ サーバー (オプション)。 H – 企業ネットワーク。 I – 公開インターネット。