セキュリティ : Cisco AnyConnect セキュア モビリティ クライアント

iPad 用 Cisco AnyConnect セキュア モビリ ティ クライアント ユーザ ガイド(リリース 2.5.4038)

iPad 用 Cisco AnyConnect セキュア モビリティ クライアント ユーザ ガイド(リリース 2.5.4038)
発行日;2012/03/29 | 英語版ドキュメント(2012/03/16 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

iPad 用 Cisco AnyConnect セキュア モビリティ クライアント ユーザ ガイド(リリース 2.5.4038)

内容

概要

Cisco AnyConnect 2.5.4038 でサポートされる Apple iOS デバイス

AnyConnect 2.5.4038 の新機能

Mobile Posture

AnyConnect VPN クライアント プロファイルへのモバイル特有の追加

ユーザ インターフェイスとメッセージのローカリゼーション

自動証明書選択

追加の URI ハンドラ コマンド

ユーザ インターフェイスの改善点

AnyConnect 機能の一覧

AnyConnect の設定前の準備

インストール

AnyConnect 2.4 から Apple iOS デバイス向け AnyConnect 2.5 へのアップグレード

クライアント ユーザ インターフェイス

使用開始

VPN 接続エントリの追加

モバイル デバイスへの証明書のインストール

電子メール添付の証明書のインポートとインストール

ハイパーリンクによる証明書のインポートとインストール

SCEP で設定された接続エイリアスによる証明書のインポートとインストール

手動による証明書のインポートとインストール

証明書の自動的なインポートとインストール

接続エントリへの証明書の関連付け

前提条件

手順の詳細

Connect-On-Demand 規則の設定

VPN 接続エントリの変更

接続エントリの削除

ユーザが追加した接続エントリの削除

自動的に追加された接続エントリの削除

外部制御の設定

VPN への接続

オンライン ヘルプを表示する

VPN 接続統計の概要の表示

詳細な統計情報の表示

ログ メッセージの表示および管理

証明書の表示と管理

テーマの変更

AnyConnect のバージョンおよびライセンスの詳細の表示

「Another Application has requested that AnyConnect...Do you want to allow this?」への対処

トラブルシューティング

AnyConnect の削除

オープン ソフトウェア ライセンスに関する通知

iPad 用 Cisco AnyConnect セキュア モビリティ クライアント ユーザ ガイド(リリース 2.5.4038)

更新日:2011 年 11 月 15 日

 

内容

このマニュアルでは、Apple iOS 向け Cisco AnyConnect セキュア モビリティ クライアント 2.5.4038 について説明します。このマニュアルの構成は、次のとおりです。

概要

Cisco AnyConnect 2.5.4038 でサポートされる Apple iOS デバイス

AnyConnect 機能の一覧

AnyConnect の設定前の準備

インストール

使用開始

AnyConnect 2.4 から Apple iOS デバイス向け AnyConnect 2.5 へのアップグレード

VPN 接続エントリの追加

Connect-On-Demand 規則の設定

VPN 接続エントリの変更

接続エントリの削除

VPN への接続

VPN 接続統計の概要の表示

詳細な統計情報の表示

ログ メッセージの表示および管理

テーマの変更

AnyConnect のバージョンおよびライセンスの詳細の表示

「Another Application has requested that AnyConnect...Do you want to allow this?」への対処

トラブルシューティング

AnyConnect の削除

オープン ソフトウェア ライセンスに関する通知

概要

Apple iOS 向け Cisco AnyConnect セキュア モビリティ クライアントは、エンタープライズ ネットワークに対するシームレスでセキュアなリモート アクセスを実現します。このクライアントを使用すると、インストールされているすべてのアプリケーションで、エンタープライズ ネットワークに直接接続されているかのように通信できます。

App Store でインストール アプリケーションおよびすべての更新が提供されます。Cisco 適応型セキュリティ アプライアンス(ASA)は、VPN へのアクセスを許容するセキュア ゲートウェイですが、Apple iOS 向け AnyConnect の更新はサポートしません。

Apple iOS 向け AnyConnect は、Windows、Mac OS X、および Linux 向け AnyConnect と同様のものです。Apple iOS で AnyConnect を使用する際の追加資料がお客様の組織から提供されることがあります。

Cisco AnyConnect 2.5.4038 でサポートされる Apple iOS デバイス

このリリースでは、次の Apple デバイスがサポートされます。

 

デバイス
必要な Apple iOS リリース

iPad WiFi および 3G

4.2.1 以降

iPad 2 WiFi および 3G

4.2.1 以降

iPhone 3G

4.1 以降

iPhone 3GS

4.1 以降

iPhone 4

4.1 以降

iPhone 4S

5.0 以降

iPod touch(第 2 世代以降)

4.1 以降

AnyConnect 2.5.4038 の新機能

Mobile Posture

モバイル デバイスへの VPN 接続の許可または拒否、グループ単位でのモバイル デバイス アクセスの有効化または無効化、およびモバイル デバイスのポスチャ データに基づいた接続モバイル デバイスに関する情報の収集を実行するように ASA を設定できるようになりました。

ライセンス要件

リモート アクセス コントロールの適用およびモバイル デバイスからのポスチャ データの収集には、AnyConnect Mobile ライセンスと、AnyConnect Premium ライセンスまたは AnyConnect Essentials ライセンスのいずれかが ASA にインストールされている必要があります。インストールしたライセンスに基づいて、次の機能を使用できます。

AnyConnect Premium ライセンス機能

AnyConnect Premium ライセンスは、AnyConnect Essentials ライセンスが提供するすべての機能を提供します。さらに、AnyConnect Premium ライセンスをインストールする企業は、Mobile Posture 属性および他の既存のエンドポイント属性に基づいて、iOS 向け AnyConnect(リリース 2.5.4038)で DAP ポリシーを適用できます。これには、モバイル デバイスからのリモート アクセスの許可または拒否が含まれます。

AnyConnect Essentials ライセンス機能

AnyConnect Essentials ライセンスをインストールする企業は、次の操作を実行できます。

ASDM を使用してグループ単位でのモバイル デバイス アクセスを有効または無効にして、この機能を設定します。

CLI または ASDM を使用して接続モバイル デバイスに関する情報を表示します(ただし、DAP ポリシーを適用したり、これらのモバイル デバイスへのリモート アクセスを拒否/許可したりする機能はありません)。

AnyConnect VPN クライアント プロファイルへのモバイル特有の追加

Apple iOS 向け AnyConnect のこれまでのリリースでは、接続名およびサーバ アドレスに加えて、次の属性を使用してモバイル デバイスで VPN 接続を設定できました。

ネットワーク ローミング プリファレンス

証明書認証方式

Connect on Demand プリファレンス

リリース 2.5.4038 以降では、ユーザによる VPN 接続のローカル設定に加えて、AnyConnect 管理者は、AnyConnect VPN クライアント プロファイルの一部としてこれらの属性を設定し、モバイル デバイスにプロファイル ファイルを配布することができます。管理者がこれらのプロファイルを作成して配布した場合、エンド ユーザは変更できません。ただし、エンド ユーザは、自身でローカルに作成する接続エントリを変更することはできます。

AnyConnect VPN クライアント ユーザ プロファイルは、エンドポイントにアクセスできるセキュア ゲートウェイ(セキュリティ アプライアンス)の一覧を識別可能にする XML ファイルです。さらに、VPN クライアント プロファイルでは、追加の接続属性および制約が伝搬されます。

AnyConnect プロファイル エディタを使用してプロファイル内でクライアント機能を設定してから、Apple iOS デバイスがセキュア ゲートウェイへの VPN 接続を作成するときにこのファイルがアップロードされるようにセキュリティ アプライアンスを設定します。


) AnyConnect では、Apple iOS デバイスで維持できるのは一度に 1 つの VPN クライアント プロファイルだけですが、1 つのプロファイルを複数の接続エントリで構成できます。



) これらの機能を使用して AnyConnect VPN クライアント プロファイルを設定するには、AnyConnect VPN プロファイル エディタ(リリース 3.0.1047 以降)が必要です。


ユーザ インターフェイスとメッセージのローカリゼーション

リリース 2.5.4038 以降では、Apple iOS 5.0 以降を実行するデバイス向けのローカリゼーション サポートが追加されます。

シスコでは、ローカライズ可能な AnyConnect 文字列をすべて含む anyconnect.po ファイルを Cisco.com の製品ダウンロード センターで提供しています。AnyConnect 管理者は、anyconnect.po ファイルをダウンロードし、使用可能な文字列を翻訳してから、ASA に anyconnect.po ファイルをアップロードできます。

本リリースで提供される anyconnect.po ファイルには、新たに翻訳されたメッセージおよび UI 文字列が含まれています。AnyConnect 管理者は、anyconnect.po ファイルを ASA にインストールしたあと、この更新バージョンをダウンロードしてください。

AnyConnect ユーザ インターフェイスおよびメッセージは、初期状態では英語(米国)で表示されます。エンドユーザが初めて ASA への接続を確立すると、AnyConnect では、デバイスの優先言語([Settings] > [General] > [International] > [Language] で Apple iOS デバイスに設定)と、ASA で使用可能なローカリゼーション言語が比較されます。一致するローカリゼーション ファイルが検索されると、ローカライズされたファイルがデバイスにダウンロードされます。ダウンロードが完了すると、翻訳された文字列でユーザ インターフェイスおよびユーザ メッセージが表示されます。文字列が翻訳されていない場合、AnyConnect ではデフォルトの文字列が表示されます。

自動証明書選択

AnyConnect では、認証で使用されるクライアント証明書が自動的に選択されます。自動証明書選択では、インストールされているすべての証明書が確認されて期限切れの証明書が無視され、VPN クライアント プロファイルに定義された基準に一致する証明書が適用されます。次に、基準に一致する証明書を使用して認証されます。これは、ユーザが VPN 接続の確立を試行するたびに実行されます。

自動証明書選択は、Windows および Mac OS X 向け AnyConnect と同様の方法で、このリリースのモバイル デバイス向け AnyConnect で機能します。

追加の URI ハンドラ コマンド

Apple でサポートされる URI ハンドラにより、アプリケーションは、Universal Resource Indicator(URI)の形式でアクション要求を渡すことができます。URI を使用して、VPN 接続エントリの生成、VPN への接続または VPN 接続の切断、AnyConnect ユーザ インターフェイスおよびメッセージ用にローカライズされた文字列のインポートを実行できます。

URI を Web ページやアプリケーションに挿入できます。AnyConnect 2.5.4038 リリースは、次の追加の URI ハンドラ機能を提供します。

資格情報の事前入力 :URI ハンドラの connect コマンドを使用して、接続アクション用の名前およびホスト パラメータに加えて事前入力されたユーザ名および事前入力されたパスワードを指定できます。

PKCS12 証明書のインポート :URI ハンドラの import コマンドを使用して、PKCS12 符号化証明書のバンドルをエンドポイントにインポートできます。AnyConnect クライアントは、エンドポイントにインストールされた PKCS12 符号化証明書を使用して、ASA に対して自身を認証できます。

ローカリゼーション翻訳のインポート :この URI ハンドラの import コマンドを使用して、AnyConnect クライアントにローカリゼーション ファイルを配布できます。この URI では、お使いのモバイル デバイスに Apple iOS 5 以降がインストールされている必要があります。

デフォルトでは、URI 処理は 無効 になっています。


) エンドユーザは、この機能を外部制御と認識します。モバイル デバイスでこの機能を有効にするには、[Settings] > [AnyConnect] > [External Control] の順に選択し、[Enable] または [Prompt] を選択します。


ユーザ インターフェイスの改善点

新アイコン

AnyConnect VPN Client が AnyConnect セキュア モビリティ クライアントにリブランドされたことを反映して、AnyConnect アイコンが変更されました。

旧アイコン
新アイコン

 

 

新しい診断画面

[Statistics] 画面で [Graphs] をタップすると、帯域幅使用状況のグラフが表示されます。

 

デバッグ タスクは、診断画面に集約されます。

 

AnyConnect 機能の一覧

このリリースの Apple iOS モバイル デバイス向け AnyConnect で使用可能な機能の一覧については、『 Release Notes for Cisco AnyConnect Secure Mobility Client 2.5.x, for Apple iOS 』を参照してください。

AnyConnect の設定前の準備

AnyConnect を設定して VPN セッションを確立するには、ネットワーク要件に応じて、システム管理者から次の情報を 1 つまたは複数取得する必要があります。

サーバ アドレス:VPN セキュア ゲートウェイとして使用する Cisco 適応型セキュリティ アプライアンスのドメイン名、IP アドレス、またはグループ URL。

ユーザ名およびパスワード:VPN へのアクセスに必要な資格情報。

または、システム管理者が社内ネットワークのリンクを提供することがあります。リンクをタップして iPad に必要な接続エントリを追加できます。

Apple iOS Connect On Demand 機能を使用すると、デバイス上のアプリケーションでの必要に応じた自動 VPN 接続がサポートされます。ただし、最初にデジタル証明書をデバイスにインストールする必要があります。この証明書は、セキュア ゲートウェイで受け付けられるものである必要があります。セキュア ゲートウェイが各グループ URL についてどの証明書を受け付けるかは、システム管理者が決定します。

次の方法を使用して、1 つまたは複数の証明書をインストールできます。

Apple iOS デバイスの構成プロファイル(iPhone 構成ユーティリティ経由でインストールしたもの)を使用します。

システム管理者からの指示に従い、AnyConnect を使用して証明書をインポートします。

証明書のインストール方法については、「モバイル デバイスへの証明書のインストール」を参照してください。

他の形態の認証をまったく使用しない場合は、システム管理者が提供するグループ URL を使用するのが最善です。

インストール

次の手順で Apple App Store から Apple iOS 向け Cisco AnyConnect セキュア モビリティ クライアントをインストールできます。


ステップ 1 App Store を開きます。

ステップ 2 [Search] を選択します。

ステップ 3 検索ボックスに anyconnect と入力し、[Suggestions] リストにある [cisco anyconnect] をタップします。

ステップ 4 [AnyConnect] をタップします。

ステップ 5 [Free]、[INSTALL APP] の順にタップします。

ステップ 6 [Install] を選択します。


 

AnyConnect 2.4 から Apple iOS デバイス向け AnyConnect 2.5 へのアップグレード

AnyConnect 2.4 から AnyConnect 2.5 へのアップグレードは、Apple App Store を使用して管理します。

前提条件

AnyConnect VPN セッションを確立している場合は、セッションを切断します。

AnyConnect アプリケーションが開いている場合は、アプリケーションを閉じます。

手順の詳細

AnyConnect のアップグレードが利用可能であることを示す通知を Apple App Store から受けたら、次の手順に従います。


ステップ 1 iOS のホームページで、[App Store] アイコンをタップします。

ステップ 2 [AnyConnect upgrade notice] をタップします。

ステップ 3 新機能を確認します。

ステップ 4 [Update] をクリックします。

ステップ 5 Apple ID のパスワード を入力します。

ステップ 6 [OK] をタップします。

ステップ 7 AnyConnect のアップグレードが実行されます。


 

クライアント ユーザ インターフェイス

Apple iOS 向けの AnyConnect ユーザ インターフェイスは、Apple iOS のルック アンド フィールと密接に連携するように設計されています。

iPhone または iPad のデスクトップで AnyConnect アイコンをタップすると、ホーム ウィンドウが開きます。図 1 に、AnyConnect 2.5.4038 で導入された新アイコンを示します。図 2 に、iPhone のホーム ウィンドウを示します。図 3 に、iPad のホーム ウィンドウを示します。

図 1 AnyConnect 2.5.4038 の新アイコン

 

図 2 iPhone の AnyConnect ホーム ウィンドウ

 

ホーム ウィンドウには、デバイスに保存されている VPN 接続エントリの名前のリストが表示され、新しい VPN 接続エントリを追加できます。最上部付近のスライダ スイッチでは、チェック マークが付いている接続エントリを使用して VPN 接続を確立できます。[Status] パラメータには、VPN 接続の状態が表示されます。

各 iPhone ディスプレイの下部にあるタブ バーには、[Home]、[Statistics]、[Diagnostics]、および [About] の各ウィンドウのナビゲーション アイコンが表示されます。iPad のホーム ウィンドウでは、これらの機能が 1 つの大きいウィンドウに統合されています。

図 3 iPad の AnyConnect ホーム ウィンドウ

 

表 1 に iPhone 向け AnyConnect と iPad 向け AnyConnect の相違点を示します。

 

表 1 iPhone と iPad の AnyConnect UI の相違点

機能
iPhone
iPad

[Home]:AnyConnect アイコンをタップすると開きます。

VPN 接続コントロールが表示されます。

AnyConnect ウィンドウの下部にある [Home] アイコンをタップしてもアクセスできます。

VPN 接続コントロールは、AnyConnect のホーム ウィンドウの左上にあります。

このウィンドウは、画面上に表示されたままになります。

[Statistics]:接続ステータスの概要

iPhone の AnyConnect ウィンドウの下部にある [Statistics] アイコンをタップします。

AnyConnect のホーム ウィンドウの左下の [Status Overview] パネル。

[Statistics] > [Details]

[Statistics] ウィンドウの [Details] をタップします。

AnyConnect のホーム ウィンドウの [Status Overview] パネルで [Details] をタップします。

Diagnostics

タブ バーで [Diagnostics] アイコンをタップして、お使いのデバイスに保存されているすべての証明書の表示または削除、デバッグのロギング、AnyConnect ログの表示と管理を実行します。

AnyConnect のホームページで [Diagnostics] ボタンをタップして、デバイスに保存されているすべての証明書の表示または削除、デバッグのロギング、AnyConnect ログの表示と管理を実行します。

[About]:AnyConnect のバージョンとライセンスの詳細およびユーザ ガイドへのリンクが表示されます。

AnyConnect ウィンドウの下部にある [About] アイコンをタップします。

AnyConnect のホーム ウィンドウの右上にある [About] をタップします。

帯域幅のグラフ(送受信バイト数)

[Statistics] > [Graphs] の順にタップして、送受信バイト数のグラフを表示します。

ホーム ウィンドウの右上部付近にある [Graphs] をタップします。

使用開始


ステップ 1 [Cisco AnyConnect Secure Mobility Client] アイコンをタップします。

 

デバイスで初めて AnyConnect を起動する場合は、確認ウィンドウが表示されます。

 

ステップ 2 [OK] をタップします。

AnyConnect のホーム ウィンドウに VPN 接続ステータスが表示されます。

 

初めて VPN 接続を確立する前に、 VPN 接続エントリの追加の手順に従います。


 

VPN 接続エントリの追加

AnyConnect 設定に接続エントリを追加するための Web ページのリンクがシステム管理者から提供されている場合、次の手順は不要なことがあります。

VPN 接続の確立を試みる前に、次の手順で VPN 接続エントリを追加し、Cisco セキュア ゲートウェイを識別できるようにします。


ステップ 1 AnyConnect のホーム画面で [Add VPN Connection] をタップします。

[Add VPN Connection] ウィンドウに、VPN 接続のパラメータが表示されます。

ステップ 2 次のようにフィールドに入力します。

[Description]:[Description] フィールドをタップして、AnyConnect のホーム ウィンドウの接続リストに表示される接続エントリの一意の名前を入力します。接続リストに収まるように、半角 24 文字以内にすることを推奨します。キーボードのすべてのアルファベット、空白文字、数字、記号を使用できます。AnyConnect では、ユーザが指定した大文字と小文字が維持されます。次の例を参考にしてください。

Example 1
 

[Server Address]:[Server Address] フィールドをタップして、接続する Cisco 適応型セキュリティ アプライアンスのドメイン名、IP アドレス、またはグループ URL を入力します。次の例を参考にしてください。

vpn.example.com
 

[Network Roaming]:(任意指定)デバイスが起動してから、または接続タイプ(EDGE、3G、Wi-Fi など)を変更してからの再接続にかかる時間を制限するかどうかを決定します。


) このパラメータは、データ ローミングや複数のモバイル サービス プロバイダーの使用には影響しません


このスイッチは、次のようにタップします。

[ON]:(デフォルト)このオプションでは、VPN アクセスが最適化されます。AnyConnect が接続を失った場合、成功するまで新しい接続の確立が試行されます。この設定では、アプリケーションは VPN への持続的な接続に依存します。AnyConnect は、再接続にかかる時間を制限しません。

[OFF]:このオプションでは、バッテリ寿命が最適化されます。AnyConnect が接続を失った場合、新しい接続の確立が 20 秒間試行され、その後試行が停止されます。接続が必要な場合、新しい VPN 接続を開始する必要があります。

ステップ 3 [Certificate]:(任意)[Certificate] フィールドをタップして [Select Certificate] 画面を表示し、この VPN 接続用の証明書の使用法を設定します。

[Automatic]:AnyConnect では、認証で使用されるクライアント証明書が自動的に選択されます。この場合、インストールされているすべての証明書が確認されて期限切れの証明書が無視され、VPN クライアント プロファイルに定義された基準に一致する証明書が適用されます。次に、基準に一致する証明書を使用して認証されます。これは、ユーザが VPN 接続の確立を試行するたびに実行されます。

[Disabled]:(デフォルト)クライアント証明書は、認証に使用されません。

[Certificate Name]:デバイスに証明書をインストール済みの場合、この証明書を選択してこの VPN 接続に関連付けることができます。

 

 


) 認証に証明書を使用しない場合、証明書のフィールドでは操作を行わずに [Save] をクリックします。接続設定では、[Disabled] 証明書設定が維持されます。

認証に証明書を 使用する 場合、証明書のフィールドでは 操作を行わずに [Save] をクリックします。次に、 モバイル デバイスへの証明書のインストールの手順を使用して、接続プロファイルの証明書認証をインポートし、設定します。


 

 

ステップ 4 (任意)接続の値を保持するには、[Save] をタップします。

[Add VPN Connection] ウィンドウが閉じられ、AnyConnect のホーム ウィンドウにエントリが追加されます。


 

モバイル デバイスへの証明書のインストール

証明書を使用して、お使いのデバイスをセキュア ゲートウェイに対して認証するためには、お使いのデバイスに証明書をインポートし、その証明書と接続エントリを関連付ける必要があります。お使いの Apple iOS デバイスに証明書をインポートする方法は、次の 3 つです。

電子メール添付の証明書のインポートとインストール

ハイパーリンクによる証明書のインポートとインストール

SCEP で設定された接続エイリアスによる証明書のインポートとインストール

各手順の最後に、 接続エントリへの証明書の関連付けへのリンクが含まれています。

電子メール添付の証明書のインポートとインストール

管理者は、認証に使用する証明書を電子メールで送信できます。証明書を受信したら、次の手順に従います。


ステップ 1 添付された証明書のアイコンをタップします。

証明書を開いたことが Apple iOS で認識され、インストール ウィザードが開きます。

ステップ 2 [Install] をタップします。

ステップ 3 インストール ウィザードの指示に従います。

ステップ 4 プロンプトが表示されたら、証明書の認証コードを入力します。

ステップ 5 [Next] をタップします。

Apple iOS で証明書がインストールされます。

ステップ 6 接続エントリへの証明書の関連付けに進みます。


 

ハイパーリンクによる証明書のインポートとインストール

管理者は、お使いの iOS デバイスにインストールできる証明書の場所へのハイパーリンクを電子メールで送信します。

前提条件

外部制御を設定してプロンプトを表示するか、AnyConnect 設定内で有効にする必要があります。詳細については、「外部制御の設定」を参照してください。

手順の詳細


ステップ 1 管理者から受け取ったハイパーリンクをタップします。リンクは、電子メールに含まれているか、イントラネットの Web ページに公開されています。

ステップ 2 プロンプトが表示されたら、証明書の認証コードを入力します。

 

ステップ 3 [Next] をタップします。

Apple iOS で、証明書がハイパーリンクで指定された場所からインポートされます。iOS で証明書が正常にインポートされると、証明書の登録メッセージを受信します。

 

ステップ 4 [OK] をタップします。

ステップ 5 接続エントリへの証明書の関連付けに進みます。


 

SCEP で設定された接続エイリアスによる証明書のインポートとインストール

管理者は、SCEP プロトコルを使用して、証明書を配布する接続プロファイルを設定できます。AnyConnect 管理者は、VPN 設定の名前またはその設定を使用する接続プロファイルの名前をユーザに通知する必要があります。

SCEP で設定された接続エイリアスを使用して証明書をインポートし、インストールする方法は、次の 2 つです。

手動による証明書のインポートとインストール

証明書の自動的なインポートとインストール

手動による証明書のインポートとインストール

手順の詳細


ステップ 1 AnyConnect セキュア モビリティ クライアント アプリケーションを開きます。

ステップ 2 [Choose a connection...] 領域で、お使いのモバイル デバイスに証明書をダウンロードできる接続の名前をタップします。

ステップ 3 AnyConnect の [On] ボタンをタップします。

ステップ 4 [Get Certificate] をタップします。

セキュア ゲートウェイによって、証明書がお使いのデバイスにダウンロードされます。

VPN セッションが切断され、認証が正常に登録されたことを伝えるメッセージを受信します。ユーザは、証明書をグループに手動で割り当てる必要があります。

 

ステップ 5 プロンプトが表示されたら、ユーザ名およびパスワードを入力します。

ステップ 6 [OK] をタップします。

ステップ 7 接続エントリへの証明書の関連付けに進みます。


 

証明書の自動的なインポートとインストール

手順の詳細


ステップ 1 AnyConnect セキュア モビリティ クライアント アプリケーションを開きます。

ステップ 2 [Choose a connection...] 領域で、お使いのモバイル デバイスに証明書をダウンロードできる接続の名前をタップします。

ステップ 3 AnyConnect の [On] ボタンをタップします。

ステップ 4 [Authentication] 画面で、お使いのモバイル デバイスに証明書をダウンロードするように設定されたグループを選択してから、[Authentication] 画面に戻ります。

 

ステップ 5 接続プロファイルのユーザ名およびパスワードを入力し、[Connect] をタップします。

セキュア ゲートウェイによって、証明書がお使いのデバイスにダウンロードされます。

VPN セッションが切断され、認証が正常に登録されたことを伝えるメッセージを受信します。ユーザは、証明書をグループに手動で割り当てる必要があります。

 

ステップ 6 [OK] をタップします。

ステップ 7 接続エントリへの証明書の関連付けに進みます。


 

接続エントリへの証明書の関連付け

前提条件

VPN 接続エントリの追加を使用して VPN を作成済みであるか、 VPN 接続エントリの変更を使用して変更できる接続エントリがお使いのデバイスに存在します。

手順の詳細


ステップ 1 [Choose a connection...] 領域で、接続の詳細表示ボタンを選択します。

 

ステップ 2 次に示すように、[Certificate] フィールドの [Disabled] リンクをクリックします。

 

ステップ 3 今インポートした証明書の名前をタップします。

証明書には、選択した証明書であることを示すチェックマークが付けられます。


ヒント [Select Certificate] 画面では、自動証明書選択の [Automatic] をオンにします。お使いのデバイスに複数の証明書がインストールされている場合、認証に使用する適切な証明書の選択が自動的に試行されます。

 

ステップ 4 接続の詳細に戻ります。

ステップ 5 (任意) Connect-On-Demand 規則の設定を使用して、Connect on Demand を設定します。

ステップ 6 [Save] をクリックします。

 

 

ホーム画面で AnyConnect を [ON] にして、VPN 接続を開始できるようになりました。


 

Connect-On-Demand 規則の設定

Apple iOS Connect On Demand 機能を使用すると、Safari などのアプリケーションで VPN 接続を開始できます。AnyConnect では、アプリケーションで要求されたドメインが、選択した接続エントリ(横にチェック マークが付いているエントリ)内のドメイン リストの文字列に対して評価されます。

[Never Connect]:AnyConnect は最初に、ドメイン要求をこのリストの内容に対して評価し、一致するものを探します。このリスト内の文字列がドメインに一致した場合、Apple iOS はドメイン要求を無視します。このリストを使用して、特定のリソースを除外できます。たとえば、公開されている Web サーバ経由では自動 VPN 接続を許可しない場合などが考えられます。値は www.example.com などのように指定します。


) Connect On Demand を有効にすると、AnyConnect で VPN 設定内のセキュア ゲートウェイ アドレスが [Never Connect] リストに追加され、Web ブラウザを使用してセキュア ゲートウェイに接続したときに VPN 接続が開始されなくなります。この規則をそのままにしておいても、Connect on Demand に悪影響はありません。


[Always Connect]:AnyConnect は次に、ドメイン要求をこのリストの内容に対して評価し、一致するものを探します。このリスト内の文字列がドメインに一致した場合、Apple iOS は VPN 接続の確立を試行します。このリストの最も一般的な用途は、内部リソースへの短時間のアクセス権を取得することです。値は email.example.com などのように指定します。

[Connect if Needed]:AnyConnect は、DNS エラーが発生した場合に、ドメイン要求をこのリストに対して評価し、一致するものを探します。このリスト内の文字列がドメインに一致した場合、Apple iOS は VPN 接続の確立を試行します。このリストの最も一般的な用途は、社内ネットワーク内の LAN からはアクセスできない内部リソースに一時的にアクセスできるようにすることです。値は intranet.example.com などのように指定します。

Apple iOS は、次のすべての条件が満たされた場合にのみ、アプリケーションに代わって VPN 接続を確立します。

VPN 接続がまだ確立されていない。

アプリケーションでは、IP アドレスではなく、完全修飾ドメイン名が使用されて、宛先が指定されている。

接続エントリが有効な証明書を使用するように設定されている。

接続エントリで Connect on Demand が有効化されている。

AnyConnect で、[Never Connect] リスト内にドメイン要求と一致する文字列を見つけられない。

次の どちらか の条件を満たしている。

AnyConnect で、[Always Connect] リスト内にドメイン要求と一致する文字列を見つけている。

DNS ルックアップが失敗し、AnyConnect で、[Connect if Needed] リスト内にドメイン要求と一致する文字列を見つけている。

ドメインリストは Connect-on-Demand 規則を指定します。規則では、ドメイン名のみがサポートされ、IP アドレスはサポートされません。この規則には、ドメイン文字列の一部または全部をドメイン名として指定できます。リスト エントリはカンマで区切ります。AnyConnect は、各リスト エントリのドメイン名形式について次のような柔軟性があります。

 

一致
指示
エントリの例
一致する例
一致しない例

完全なドメイン名の一致。

プレフィクス、ドット、ドメイン名を入力します。

email.example.com

email.example.com

www.example.com

email.1example.com

email.example1.com

email.example.org

最上位ドメインまでの一連の個別サブドメインの完全一致。先頭にドットを付けると、*example.com で終わるホスト(notexample.com など)への接続を防止できます。

ドットに続けて、照合するドメイン名を入力します。

.example.org

anytext.example.org

anytext.example.com

anytext.1example.org

anytext.example1.org

指定したテキストで終わる任意のドメイン名。

照合するドメイン名の最後の部分を入力します。

example.net

anytext.anytext-example.net

anytext.example.net

anytext.example1.net

anytext.example.com

AnyConnect では、リストに含めるドメインの数に制限はありません。

前提条件

接続エントリが、有効な証明書を使用して認証するように設定されています。

接続エントリは、ユーザが作成したエントリです。ユーザは、ASA からダウンロードした接続プロファイルで Connect on Demand を設定できません。

手順の詳細

Connect on Demand を設定するには、次の手順に従います。


ステップ 1 AnyConnect のホーム ウィンドウを開きます。

ステップ 2 [Choose a connection area...] で、Connect on Demand を設定する接続の接続詳細アイコンをタップします。

ステップ 3 [Connect On Demand] の横にある [ON] をタップします。

ステップ 4 [Domain List] をタップします。

[Domains] ウィンドウに、ドメイン リストが表示されます。

 

ステップ 5 次のいずれかを実行します。

表示されたリストに、[Add Domain] をタップしてドメイン文字列を追加します。[Domains] ウィンドウのリストに行が追加され、ドメイン文字列を入力するためのオンスクリーン キーボードが表示されます。

 

ウィンドウの上部にある [Edit] をタップし、ドメイン文字列を追加、編集、または削除します。

 

このウィンドウでは、次の操作が可能です。

リストにドメイン名を追加する。ドメイン名を追加するには、[Add Domain] をタップします。リストに空の行が追加され、リスト エントリを追加するためのオンスクリーン キーボードが表示されます。

ドメイン名をリスト間で移動する。移動するには、ドメイン エントリの右にある 3 本バーにタッチし、移動先のリストのタイトル下にある領域にドラッグします。

ドメイン名を削除する。ドメイン名の左にある赤い円で囲んだ部分をタップしてから、ドメイン名の右にある [Delete] をタップします。

 

ステップ 6 [Save] をタップします。


 

VPN 接続エントリの変更

作成した接続エントリのすべての側面を変更できます。AnyConnect 2.5.4038 以降では、AnyConnect 管理者は、お使いのモバイル デバイスでの VPN 接続エントリのすべての側面を定義する VPN クライアント プロファイルを作成し、ASA からこれらのプロファイルを配布できます。

Apple iOS モバイル デバイスが ASA に接続すると、AnyConnect によってこの VPN クライアント プロファイルがインポートされ、デバイスにインストールされます。ユーザは、AnyConnect 管理者によって定義された VPN クライアント プロファイルのほとんどのフィールドを変更できません。

手順の詳細


ステップ 1 AnyConnect のホーム ウィンドウを開きます。

ステップ 2 VPN 接続エントリの右にある詳細表示ボタンをタップします。

 

AnyConnect に、VPN 接続パラメータが表示されます。

ステップ 3 値を変更するパラメータをタップします。

ステップ 4 オンスクリーン キーボードを使用して、新しい値を入力します。


) AnyConnect VPN プロファイルまたは iPhone 構成ユーティリティの mobileconfig からインポートした接続については、全体の編集はできません。


パラメータの指定については、オンライン ヘルプを使用するか、「 VPN 接続エントリの追加」を参照してください。

ステップ 5 [Save] をタップします。

AnyConnect で、接続パラメータのウィンドウが閉じられます。


 

接続エントリの削除

AnyConnect では、接続エントリの削除の際に、そのエントリがユーザが追加したものかセキュア ゲートウェイで追加されたものかに応じて 2 つの手順を使用できます。

ユーザが追加した接続エントリの削除


ステップ 1 AnyConnect のホーム ウィンドウを開きます。

ステップ 2 削除する接続エントリの右にある、詳細表示ボタンをタップします。

ステップ 3 [Delete VPN Connection] をタップします。

ステップ 4 確認プロンプトが表示されたら [OK] をタップします。

AnyConnect で接続パラメータのウィンドウが閉じられ、AnyConnect のホーム ウィンドウから接続が削除されます。


 

自動的に追加された接続エントリの削除

セキュア ゲートウェイによって追加されたすべての VPN 接続エントリを完全に削除し、その AnyConnect プロファイルを削除するには、次の手順に従います。


ステップ 1 AnyConnect のホーム ウィンドウを開きます。

ステップ 2 [Diagnostics] をタップします。

ステップ 3 [Clear Profile Data] をタップします。


 


) 同じ ASA のドメイン、IP アドレス、またはグループ URL に再接続すると、プロファイルがリロードされ、セキュリティ ポリシーが再度適用されます。


外部制御の設定

外部制御を有効にすると、管理者から送信されたリンクをクリックして、接続の作成または証明書のインポートなどの作業を実行できます。AnyConnect 管理者以外から送信された URI のコマンドに従って Apple iOS を動作させることもできます。

手順の詳細


ステップ 1 Apple iOS のホームページを開きます。

ステップ 2 [Settings] > [AnyConnect] > [External Control] の順に選択します。

ステップ 3 次のオプションのいずれかを選択します。

[Disable]:外部制御は許可されません。電子メール内または Web ページ上の URI をクリックすると、次のエラー メッセージが表示されます。

「The External Control feature is disabled.It can be enabled from the AnyConnect settings.」

[Prompt]:モバイル デバイス ユーザが電子メール内または Web ページ上の URI をクリックすると、リモート サーバへの接続を受け入れるか、拒否するかを尋ねる次のメッセージが表示されます。

「Another application has requested that AnyConnect connect to <asa.example.com>.Do you want to allow this?」

[Enable]:モバイル デバイス ユーザが電子メール内または Web ページ上の URI をクリックすると、ユーザの動作を中断することなく URI に指定されたコマンドが実行されます。


 

VPN への接続

前提条件

LAN 接続またはサービス プロバイダーに接続されていることを確認します。

手順の詳細


ステップ 1 AnyConnect のホーム ウィンドウに移動します。

ステップ 2 使用する接続エントリをタップします。

AnyConnect で、その接続エントリの横にチェック マークが移動され、実行中のすべての VPN 接続が解除されます。

ステップ 3 [AnyConnect VPN] の横にある [ON] をタップします。

ステップ 4 必要に応じて、システム管理者から提供された資格情報を使用してログインします。

ステップ 5 システム管理者から指示があった場合は、[Get Certificate] をタップします。

ステップ 6 必要に応じて、[Connect] をタップします。

[Status] パラメータには、新しい接続の状態が表示されます。

 

ステータス バーには、[VPN] アイコンが表示されます。

 

セキュア ゲートウェイの設定に応じて、AnyConnect は接続エントリを取得し、AnyConnect のホーム ウィンドウにある VPN 接続リストに追加します。


注意 AnyConnect のホーム ウィンドウで別の VPN 接続をタップすると、現在の VPN 接続は解除されます。

オンライン ヘルプを表示する

AnyConnect では、オンライン ヘルプを使用できる場合に、ウィンドウの右下隅に情報アイコン(i)が表示されます。

 

このアイコンをタップし、ヘルプを表示します。

または、[About] をタップして、後で必要な場合に使用する、このガイドにアクセスできるリンクを表示します。

VPN 接続統計の概要の表示

VPN 接続があり、ユーザが [Statistics] ウィンドウを開いている場合、AnyConnect は統計情報を記録します。

現在の VPN 接続についての統計情報を表示するには、次の手順に従います。AnyConnect のホーム ウィンドウを開きます。

 

左下の [Status Overview] パネルに現在の VPN 接続の統計情報が表示されます。

最初は AnyConnect の右側のボックスに「No Data」と表示されますが、順次現在の送受信バイト数のグラフが表示されます。

[Status Overview] パネルには、次の統計情報が表示されます。

Status

Server

Time Connected

Client Address

Bytes Sent

Bytes Received

[Details]:タップすると詳細な統計情報を表示できます(これについては次の項で説明します)。

詳細な統計情報の表示

現在の VPN 接続についての詳細な統計情報を表示するには、次の手順に従います。


ステップ 1 AnyConnect のホーム ウィンドウに移動します。

ステップ 2 [Status Overview] パネルにある [Details] をタップします。

VPN 接続に関する詳細な情報が表示されます。

ステップ 3 すべての統計情報を確認するには、ウィンドウをスクロールします。

 

[Detailed Statistics] ウィンドウには、次の情報が表示されます。

Connection Information

State

Mode

Time Connected

Address Information

Client

Server

Client (IPv6)

Bytes

Sent

Received

Frames

Sent

Received

Control Frames

Sent

Received

Transport Information

Protocol

Cipher

Compression

[Feature Configuration]:[FIPS Mode]

[Secure Routes]:通信相手が 0.0.0.0 かつサブネット マスクが 0.0.0.0 の場合、すべての VPN トラフィックが暗号化され、VPN 接続を通して送受信されることを意味します。

詳細な統計情報を非表示にするには、[Statistics Overview] フレームの任意のフィールドをタップします。


 

ログ メッセージの表示および管理

 

デバイス リソースに対する不要な負荷を避けるために、AnyConnect のデフォルトではメッセージをログ記録しません。トラブルシューティングの場合のみログを有効化してください。

ログ メッセージを有効化、表示、管理するには、次の手順に従います。


ステップ 1 AnyConnect Secure モビリティ クライアントのホームページのメイン ウィンドウで、[Diagnostics] ボタンをタップします。

 

他のメッセージを表示するには、ウィンドウをスクロールします。

ステップ 2 このウィンドウを使用してできる操作は次のとおりです。

[Messages]:タップすると、ログ メッセージが表示されます。他のメッセージを表示するには、ウィンドウをスクロールします。

[Service]:タップすると、サービス デバッグ ログ メッセージが表示されます。他のメッセージを表示するには、ウィンドウをスクロールします。

[App]:タップすると、アプリケーション デバッグ ログ メッセージが表示されます。

[Clear Logs]:ログ メッセージを削除するには、[Clear Logs] をタップします。

[Clear Profile Data]:タップすると、最後のセキュリティ アプライアンス接続で取得されたプロファイルが削除されます。

[Email Logs]:タップすると、電子メール アドレスにログ メッセージが送信されます。電子メール アプリケーションによって、現在のログを含む電子メール メッセージが作成されます。お使いのデバイスに電子メール アカウントが設定されている必要があります。

[Clear Localization Data]:タップすると、ユーザ インターフェイスで使用した、ローカライズされたメッセージおよびラベリングがすべて削除されます。


 

証明書の表示と管理


ステップ 1 AnyConnect のホームページで、[Diagnostics] をタップします。

[Diagnostics] ウィンドウが開きます。

ステップ 2 [Manage certificates] をタップします。

デバイスにインストールされている証明書が表示されます。

ステップ 3 このウィンドウを使用して、次の処理のいずれかを実行します。

証明書の詳細表示ボタンをタップして、証明書のプロパティを表示します。

[Edit] ボタンをタップして、証明書を削除します。


 

テーマの変更

AnyConnect では、2 つのテーマを使用できます。

[Cisco Default Theme]:Apple iOS のインターフェイスに似た、カラー コントラストがあり、青系統の影の色を強調したテーマです。

[High Contrast]:シスコのデフォルト テーマに代わるテーマです。このテーマでは、色がいくつか使用されていますが、白と黒が強調されています。視覚障がいを持つユーザ、または明るい場所で表示するときに適しています。

AnyConnect のユーザ インターフェイスのテーマを変更するには、次の手順に従います。


ステップ 1 デバイスのメニュー ボタンを使用して、iPad のホーム ウィンドウに戻ります。

ステップ 2 [Settings] をタップします。

ステップ 3 Apps リストを探し、[AnyConnect] をタップします。

ステップ 4 [Theme] をタップします。

ステップ 5 目的のテーマ([Cisco Default Theme] または [High Contrast])をタップします。

選択したテーマの横に、Apple iOS によってチェック マークが挿入されます。


 

AnyConnect のバージョンおよびライセンスの詳細の表示

AnyConnect のバージョンおよびライセンスの詳細を表示するには、ホーム ウィンドウの右上にある [About] をタップします。

 


ヒント リンクをタップすると、本ガイドの最新の更新バージョンが Safari で開かれます。これらの手順が後で必要になった場合のリソースとして使用できます。

「Another Application has requested that AnyConnect...Do you want to allow this?」への対処

AnyConnect はデバイスを保護するために、別のアプリケーションによって、接続プロファイルの作成、VPN 接続の確立、または VPN からの接続解除が試行されたときにユーザに通知し、許可してよいかどうかの確認を求めるプロンプトを表示します。次の例を参考にしてください。

 

Connect on Demand 機能ではこれらの機能が許可されますが、デバイスおよびデータを保護する観点から、このようなプロンプトで [OK] をタップして承認してよいかどうかをシステム管理者に確認してください。

作成:「Another application has requested that AnyConnect create a new connection to ‘ host '. Do you want to allow this?」

接続:「Another application has requested that AnyConnect connect to ‘ host '. Do you want to allow this?」

接続:「Another application has requested that AnyConnect disconnect the current connection. Do you want to allow this?」


) これらのメッセージが表示されるのは、外部制御が [Prompt] に設定されている場合だけです。お使いのモバイル デバイスのホームページを開いて [Settings] > [AnyConnect] > [External Control] にナビゲートして、お使いのデバイスで外部制御を設定します。


トラブルシューティング

この項では、一般的な問題に対する解決策を説明します。これらの解決策を試みても問題が解決しない場合は、所属する組織の IT サポート部門に問い合わせてください。

一部の接続プロファイルで編集と削除ができません。

AnyConnect 接続プロファイルにインポートしたホスト エントリに影響するポリシーが、システム管理者によって設定されています。これらのプロファイルを削除するには、[Diagnostics] をタップし、[Clear Profile Data] をタップします。

設定を保存または編集しようとするとエラーが発生します。

オペレーティング システムの既知の問題が原因です。Apple は、この問題の解決に取り組んでいます。回避策として、アプリケーションの再起動を試してください。

接続タイムアウトおよび未解決ホスト。

インターネット接続の問題、携帯電話の信号レベルが低い、およびネットワークの輻輳などが原因で、タイムアウトや未解決ホスト エラーを引き起こすことがよくあります。LAN を利用できる場合は、デバイスの Settings app を使用し、最初に LAN との接続の確立を試してください。タイムアウトになったときに、何度か再試行することで、成功することがよくあります。

デバイスがスリープから復帰したときに VPN 接続が再確立されません。

VPN 接続エントリで [Network Roaming] を有効化します。ネットワーク ローミングを有効化しても問題が解決されない場合は、EDGE、3G、または Wi-Fi 接続を確認します。


) この問題は、ユーザが所属する組織での VPN の設定に基づく動作である場合があります。


証明書ベースの認証が機能しません。

該当する証明書を以前は使用できた場合、証明書の有効性と期限を確認します。接続に対して適切な証明書を使用しているかどうかをシステム管理者に確認します。

Apple iOS Connect On Demand 機能が動作しない、または接続できません。

その接続で、[Never Connect] リスト内に競合する規則がないかどうかを確認します。その接続に [Connect If Needed] 規則が存在する場合は、[Always Connect] 規則に置き換えます。

AnyConnect は接続を確立できませんでしたが、エラー メッセージが表示されません。

メッセージは、AnyConnect アプリケーションが開かれている場合にのみ表示されます。

Cisco AnyConnect というプロファイルがありますが削除できません。

アプリケーションの再起動を試してください。

AnyConnect アプリケーションを削除しても、Apple iOS の VPN 設定に VPN 設定が表示されます。

これらのプロファイルを削除するには、AnyConnect を再インストールし、[Diagnostics] をタップして [Clear Profile Data] をタップします。

AnyConnect の削除

デバイスから AnyConnect を削除するには、次の手順に従います。


ステップ 1 AnyConnect を開き、[Diagnostics] をタップし、[Clear Profile Data] をタップして Apple iOS の VPN 設定から AnyConnect を削除します。

ステップ 2 メニュー ボタンを押して iPad のホーム ウィンドウに移動します。

ステップ 3 AnyConnect をフォルダに入れた場合は、そのフォルダを開きます。

ステップ 4 (X)アイコンが AnyConnect アイコンの上に表示されるまで、AnyConnect アイコンをタップしたままにします。

ステップ 5 削除アイコンをタップします。


 

オープン ソフトウェア ライセンスに関する通知

This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit ( http://www.openssl.org/ ).

This product includes cryptographic software written by Eric Young (eay@cryptsoft.com).

This product includes software written by Tim Hudson (tjh@cryptsoft.com).