システムマネージャー向けファイアウォールルール情報
こちらのドキュメントは英語版を 2022 年 11 月 24 日付けで翻訳したものです。
最新の内容は英語版をご参照ください。
Cisco Meraki Systems Manager (以後SM) はアプリケーションや設定ペイロードをモバイル端末やデスクトップ機器に配信(プッシュ)したり、ダッシュボード からモニタリング情報を表示する機能を提供しています。これらが正しく機能するためには、管理対象のデバイスはは Meraki Cloud と通信する必要があり、また、デバイスによってはその他の宛先への接続が必要になります。 例えば、Android と iOS デバイスは、適切なデバイス管理を促進するために Google と Apple サーバーと直接通信する必要があります。
このドキュメントでは、SM 固有のファイアウォール設定について、特にエンドユーザーデバイス向けに特化して記載しています。ダッシュボードおよびその他の製品に必要なファイアウォール情報についてはこちらのドキュメントをご参照ください。
ファイアウォールルール情報
以下の表示記載されている通信はすべて外向けです。
| 宛先 IP | ポート番号 | プロトコル | 説明 |
|---|---|---|---|
| ios.meraki.com | 443 | TCP | iOS クライアント通信 |
| *.meraki.com | 443 | TCP | Meraki でホストしているコンテンツの配信 |
| [IP address]*/32 [Subnet A]*/24 [Subnet B]* 209.206.48.0/20 |
443 | TCP | SM エージェント通信, iOS クライアント通信、 iOS MDM Apps 通信 |
| 993 | TCP |
SM エージェント通信 (Mac/Win10) |
|
| 60000-61000 | TCP | SM エージェントによるリモートデスクトップ (Mac/Win10) | |
| 17.0.0.0/8 | 443 | TCP | iOS 接続モニタリング, App ストア接続 |
| 2195-2196 | TCP | iOS クライアント通信 | |
| 5223 | TCP | iOS APNS 通信 | |
| Any | 443 | TCP | Android 接続モニタリング** |
| 5228-5230 | TCP | Google Play ストア 通信** | |
| 80, 443 | TCP | iOS/Android バックパックファイルストレージ*** | |
| iOS Web クリップ*** | |||
| ソフトウェアインストーラーのダウンロード*** |
*これらの IP アドレスはアカウントがホストされているダッシュボードの第1、第2、第3 IP アドレス/サブネットです。
**Google は Play ストアで使用されている CDNs に関する情報をこちらで公開していますが、すべての IP および ドメインを網羅していません。そのため、ルールが厳正に設定されている場合には完全な接続は保証されません。
*** これらの機能で使用される URL はユーザー側で指定するため、事前に公開することができません。設定したサーバーへのアクセスを制限しないように留意してください。
****ios.meraki.com は高度の負荷分散されており、IP アドレスはクライアントの位置などによって変動します。
ファイアウォールルールの節約
ファイアウォールのホワイトリストルールの数を減らすことを目的とする組織では、登録されたデバイスミックスに基づいて、ポート/IPの範囲をクローズアップすることができます。
- 993 および 60000 ポートは、SM エージェントがインストールされた Mac および Windows 端末でのみ使用されます。
- 同様に、 5228-5230 ポートは Android 端末での未使用されます。
- ポート 80 はウェブクリップやソフトウェア、バックアップファイル等が HTTPs サイトでホストされていない場合には禁止して構いません。
- 17.0.0.0/8サブネットはAppleのメガプロキシに到達するために必要で、APNSは特にAppleデバイスを起動し通信するために使用されます。
Meraki と Apple ドメインの 443 を制限することは推奨されません、デバイスと Dashboard の機能に重大な支障をきたすかもしれません。meraki.com ドメインは動的な IP アドレスのリストを使用しており、個別の IP 範囲に分割することはできません。ios.meraki.com と *.meraki.com (または少なくとも n#.meraki.com) のドメインベースのホワイトリストを使っている場合、ブロックされる可能性のある SM 接続を開くために追加の IP をホールパンチする用意をしてください。