公開
マニュアル一覧へ

ご契約者向け
マニュアル一覧へ

IIJフレックスモビリティサービス/ZTNA 仕様書

制限事項

本サービスをご契約いただくにあたり、下記の事項を守ってください。

ネットワーク
  • 本サービスでネットワークを構築するにあたり、お客様にはRFC 1918で規定されたプライベートIPアドレス空間(10.0.0.0/8、172.16.0.0/12または192.168.0.0/16)から切り出したネットワークアドレスを提供していただきます。グローバルアドレスなどを使用してのサービス構築はできません。
  • 提供していただくネットワークアドレスは、到達可能なすべてのネットワークでIPアドレスが重複しないようにする必要があります。
  • お客様プライベートネットワーク内でグローバルアドレスが付与された機器やサーバを利用している場合、本サービスの利用に制限、または提供できない場合があります。
Active Directory
  • 本サービスにおいて、お客様AD(ドメインコントローラ)はシングルホーム構成であることを前提としています。マルチホーム構成である場合、本サービスの利用に制限、または提供できない場合があります。状況によってはシングルホーム構成への切り替えをお願いする場合があります。
  • 本サービスにおいて、お客様AD(ドメインコントローラ)は Microsoft のサポート対象OSを利用していることを前提としています。サポート対象外のOSを利用している際は、以下の制限が生じます。
    • サポート対象外のOSを利用していることに起因する可能性のある本サービス利用上の問題に対して、弊社はどのような場合でも責任を負わないものとします。
    • 本サービスが実施する作業で追加情報が必要となる場合は、お客様より情報を提供していただきます。
  • 本サービスにおいて、お客様AD(ドメインコントローラ)はGuestアカウントが無効化されていることを前提としています。有効である場合、FXZ ADとの信頼関係構築を行うことができません。
Secure Accessクライアント
  • Secure Accessクライアントはサードパーティ製のVPNソフトウェアとの共存をサポートしていません。サードパーティ製のVPNソフトウェアをインストールしている場合は、Secure Accessクライアントをインストールする前にアンインストールしてください。
お客様に事前に準備していただく設定
  • 提供していただいたネットワークセグメントへの経路確保
    • お客様設備から、FXZサービスセグメントとFXZ境界セグメントに到達できるように、中継するネットワーク設備の経路を確認してください。本サービス設備とPBB間の経路確保は本サービスで実施しますので、PBBまでの経路を確保してください。
  • 各サーバ及びクライアント間のポート開放
    • 各サーバ及びクライアントが通信できるようにポートの開放を行ってください。経路上にFWが存在する場合は、経路上のFWの設定も確認してください。開放が必要なポートの詳細は「通信要件」をご覧ください。
  • お客様AD上の資格情報登録
    • NTLM認証を利用する場合は、本サービスを構築するにあたり、お客様AD上の資格情報が必要です。『ヒアリングシート』に記載していただいたユーザの登録を行ってください。
  • お客様AD上のセキュリティグループ登録

    • 本サービスの各種利用権限はFXZ ADのユーザ及びセキュリティグループに与えられており、NTLM認証を利用するお客様にはこれらの管理権限を渡します。お客様AD上のセキュリティグループに管理権限を委任しますので、下記に示すグループの登録を行ってください。

      グループ名FXZ Admins※1
      グループのスコープグローバル
      グループの種類セキュリティ

      ※1:「FXZ」と「Admins」の間には半角スペースが1つ必要です。

サポートOS

本サービスが「Secure Accessクライアント」を提供するOSは以下のとおりです。利用するデバイスはOSごとの必須要件を満たす必要があります。

  • Secure AccessクライアントはOS種別に応じて以下のサイトまたはアプリストアよりダウンロードできます。
  • Secure Accessクライアントは機能追加や不具合修正を理由に不定期に更新されます。本サービスのサポートを利用する際は、Secure Accessクライアントを最新版へアップグレードすることをお願いする場合があります。お客様が最新版にアップグレードしない場合は、調査などを打ち切ることがあります。
  • サポート言語は日本語、英語、ドイツ語、フランス語、イタリア語、及びスペイン語です。サポート外言語のOSにインストールした場合は英語が選択されます。
OS配布元URL
WindowsAbsolute Secure Access クライアント の ダウンロード(NetMotion Wiki by Absolute Software)https://netmotion.wiki/wiki/?p=758
macOSMac App Storehttps://apps.apple.com/us/app/mobility/id1097637587
iOS/iPadOSApp Storehttps://apps.apple.com/us/app/mobility/id896008986
AndroidGoogle Playhttps://play.google.com/store/apps/details?id=com.nmwco.mobility.client
Windows
64ビット版
OS
  • Windows 11(ProまたはEnterprise Edition※1
  • Windows 10(ProまたはEnterprise Edition※1
プロセッサ

OSがサポートするx64/ARMプロセッサ※2

ストレージ空き領域
  • システム領域:80MB以上
  • データ領域:1GB以上

※1:IoT Enterpriseはサポート対象外です。
※2:Itaniumプロセッサはサポート対象外です。

32ビット版
OS

Windows 10(ProまたはEnterprise Edition※1

プロセッサ

OSがサポートするx86プロセッサ※2

ストレージ空き領域
  • システム領域:80MB以上
  • データ領域:1GB以上

※1:IoT Enterpriseはサポート対象外です。
※2:Itaniumプロセッサはサポート対象外です。

macOS
OS

macOS 10.14以降

iOS/iPadOS
OS
  • iOS 12.1以降
  • iPadOS 13.1以降
Android
OSAndroid 7.0※1以降
ストレージ空き領域アプリ及びデータ領域:20MB以上

※1:製造元またはキャリアによってサポートされたバージョンである必要があります。

データセンター移設の対応

本サービスの設備である東京リージョン、大阪リージョンの各データセンターは、やむを得ない理由により移設することがあります。データセンターを移設する場合の実施方針は、以下のとおりです。

  • 移設先の新データセンターに本サービスの環境を作成し、既存データセンター及び新データセンターの2つを、1ヵ月間、並行して提供します。この期間の新データセンターは、無償で利用できます。
  • 新データセンター稼働の1ヵ月後、既存データセンターの本サービスの環境を廃止します。
  • 新データセンターの環境を提供するため、既存データセンターで利用しているものとは異なるネットワークアドレスが必要です。そのため、『ヒアリングシート』でお伺いした『FXZサービスセグメント』と『FXZ境界セグメント』と同サイズのネットワークアドレス2種類を提供していただきます。
商用製品Absolute Secure Accessの使用条件

  • 本サービスの利用にあたり、お客様は商用製品Absolute Secure Access(旧名称:NetMotion Mobility)のサブスクリプション基本契約(Absolute Master Subscription Agreement)に同意する必要があります。以下の不正行為が行われた場合は、弊社は本サービスの提供を停止できます。

    • ソフトウェアまたはライセンスの複写、修正、改変、及び二次利用。
    • リバースエンジニアリング、逆アセンブルなどの方法によるソフトウェアのソースコードまたはライセンスの解読、譲渡、及び再利用。
  • サブスクリプション基本契約については、「参照必須ドキュメント」をご覧ください。
通信要件

以下の通信について、リーチャビリティを確保する必要があります。また、SAML認証を利用される場合は、Secure AccessクライアントがIDプロバイダで認証できる必要があります。

#送信元送信先待ち受けポート説明
1FXZサーバレンジ※1お客様AD※2右記参照AD間の信頼関係を作成するため、Microsoftが示すポートを開放してください。詳しくは、「Active Directory ドメインと信頼関係のためのファイアウォールを構成する方法」(Windows Server 2008 とそれ以降のバージョン)をご覧ください。また、AD間の通信ではNATがサポートされていません。そのため、経路上でNATが発生しないようにしてください
2お客様AD※2FXZサーバレンジ
3お客様WANFXZサーバレンジ53/TCP/UDPサービス提供インターフェースの名前を解決するために必要です
4443/TCP

下記サービス提供インターフェースにアクセスするために必要です。インターネットからはアクセスすることができません

  • Secure Accessコンソール
  • アクティビティログ アーカイブ
  • Mobile IQダッシュボード
5Secure AccessクライアントFXZエンドポイント※35008/UDPインターネット経由で本サービスに接続する際に必要です
6FXZサーバレンジPBB経由で本サービスに接続する際に必要です
7Amazon S3(s3.amazonaws.com443/TCPソフトウェアの展開機能」を利用する際に必要です

※1:『FXZサーバレンジ』の詳細は「サービス構成」をご覧ください。
※2:ドメインコントローラ、及びドメインコントローラを探索するためのDNSサーバを指します。Active Directory 管理センターなどでドメインコントローラ以外のサーバから作業を行う場合は、作業サーバとFXZサーバレンジ間のリーチャビリティも確保する必要があります。
※3:FQDNに紐づくIPアドレスだけでなく、「エンドポイント」に記載のネットワークアドレスすべてに対してリーチャビリティを確保する必要があります。