はじめに
このドキュメントでは、Umbrellaモジュールを使用してCisco Secure Client Unified Endpoint Agentに移行する方法について説明します。
目的
Umbrellaの進化に伴い、ローミングコンピュータの保護方法も強化されました。継続的なイノベーションへの取り組みとして、シスコはAnyConnectを基盤とし、シスコの次世代のユニファイドエンドポイントエージェントであるCisco Secure Clientを導入しました。この新しいクライアントは、Umbrella Roaming Clientのすべての利点を含み、一連のセキュリティサービスモジュール、優れたパフォーマンス、および拡張された互換性を含む、より高度なセキュリティソリューションを提供します。最新バージョンのUmbrellaモジュールやその他の多くのモジュールを統合します。
シスコは2023年にCisco AnyConnectのサポート終了を、2024年にUmbrellaローミングクライアントのサポート終了を発表しました。多くのUmbrellaユーザはすでにCisco Secure Clientへの移行の恩恵を受けており、より良いローミング体験を得るにはできるだけ早く移行を開始することをお勧めします。
有効なライセンスと有効なUmbrellaサポート契約を持つすべてのお客様は、Cisco Secure Clientに移行してUmbrellaモジュールの権限を取得できます。これには、Umbrella Roaming Client機能と同じ機能が無料で含まれています。
この記事では、移行プロセスと、Cisco Secure Clientに関する質問について説明します。
Cisco Secure Clientへのアップグレード
このセクションでは、Cisco Secure Clientに移行する方法について説明します。
AnyConnectからの移行
Cisco Secure Clientには、既存のAnyConnectのインストールを自動的に検出して設定を収集し、それらの設定をCisco Secure Clientに移行してから、古いAnyConnectクライアントをアンインストールするメカニズムがあります。ただし、このプロセスが失敗するエッジケースもあるため、Cisco Secure Clientをインストールする前にAnyConnectクライアントをアンインストールすることを推奨するお客様もいます。
注:古いバージョンのAnyConnectが再インストールされないようにするには、エンドポイント管理ソフトウェアでAnyConnectのインストールタスクをすべて無効にします。
Umbrella Roamingクライアントからの移行
注:有効なライセンスがあり、Umbrellaローミングクライアントから移行する有効なUmbrellaサポート契約を持つお客様は、Umbrellaモジュールの権限のみのシスコセキュアクライアントに移行する資格があります。
Cisco Secure Clientには、既存のUmbrella Roaming Clientのインストールを自動的に検出して設定を収集し、それらの設定をCisco Secure Clientに移行してから、古いUmbrella Roaming Clientをアンインストールするメカニズムがあります。ただし、このプロセスが失敗するエッジケースもあるため、Cisco Secure Clientをインストールする前にUmbrella Roamingクライアントをアンインストールすることを推奨するお客様もいます。
注:Roaming Clientが再インストールされないようにするには、エンドポイント管理ソフトウェアですべてのUmbrella Roaming Clientインストールタスクを無効にします。
Cisco Secure Clientのインストール
1. Cisco Secure Clientのダウンロード
方法1:Umbrellaダッシュボード
Umbrellaダッシュボードにログインし、Deployments > Roaming Computersの順に選択します。右上のRoaming Clientダウンロードアイコンをクリックして、オペレーティングシステムに適した導入前パッケージをダウンロードします。
方法2:Software.cisco.com
software.cisco.comにログインし、Secure Client 5 sectionに移動します。ご使用のオペレーティングシステムに適した導入前パッケージをダウンロードします。
2. セットアップファイルアプリケーションをダブルクリックします
次のウィンドウが表示されます。
17890872895892
を選択します。 UmbrellaおよびDiagnostic と Reporting Toolオプションのみを選択します。
Lock down Computer Servicesはオプションの選択であり、ユーザと管理者がデバイス上のCisco Secure Clientのサービスの状態を変更できないようにします。
注:「Core & AnyConnect VPN」モジュールは、必須のコアモジュールとしてインストールされます。「Core & AnyConnect VPN」オプションのチェックを外すと、VPNがGUIに表示されなくなります。VPNサービス(csc_vpnagent)はバックグラウンドで実行されていますが、VPNはGUIに表示されません。
4. [選択した項目のインストール]をクリックして、モジュールをインストールします。
Cisco Secure Clientを起動すると、次のウィンドウが表示されます。
27072090674324
5. この時点で、Cisco Secure ClientはUmbrella Roaming Clientを検出してアンインストールします。この処理が完了するまで、しばらく時間をおいてください。
Umbrellaプロファイルのインストール
Umbrellaプロファイル(OrgInfo.json)は、以前のRoaming ClientまたはAnyConnectのインストールから自動的に検出され、Secure Clientにインポートされます。
ただし、新規インストールの場合は、Umbrellaプロファイル(OrgInfo.json)をエンドポイントに展開することが重要です。 このファイルはUmbrella組織を一意に識別し、クライアントがUmbrellaクラウドに登録できるようにします。 この手順は、Cisco AnyConnectを使用しないデバイスにインストールする場合、またはUmbrellaローミングクライアントから移行する場合に必要です。
- Deployments > Core Identities > Roaming Computers > Roaming Clientの順に選択してダッシュボードからOrgInfo.jsonモジュールプロファイルをダウンロードし、右上隅のDownloadをクリックします。
- Download Module Profileを選択します。
- ダウンロードしたら、Orginfo.jsonファイルを次に示す場所にコピーします。
C:\ProgramData\Cisco\Cisco Secure Client\Umbrella\OrgInfo.json (Windows/opt/cisco/secureclient/umbrella/OrgInfo.json (OSX)
大規模導入
セキュアクライアント(Umbrellaモジュールとプロファイルを含む)は、エンドポイント管理ツール(UEM、MDM、RMMなど)を使用して一括導入できます。 次の記事を参照してください。
- コマンドラインインストールとRMMリファレンス(Windows)
Customization
ディレクトリ構造
Cisco Secure Clientを使用すると、ディレクトリの場所が変更されます。
Cisco Secure Clientディレクトリ
Windows
Executable
C:\Program Files (x86)\Cisco\Cisco Secure Client
包括データディレクトリ
C:\ProgramData\Cisco\Cisco Secure Client\Umbrella\
MacOS
Executable
/Applications/Cisco/Cisco Secure Client.app
包括データディレクトリ
/opt/cisco/secureclient/umbrella/
よく寄せられる質問(FAQ)
Q:Umbrella Roamingクライアントを続行できますか。
A:Umbrella Roamingクライアントのサポート終了日は2024年4月2日です。この期限を過ぎても引き続き使用できます。シスコは、2025年4月2日まで1年間、重大な問題と脆弱性のサポートと修正を継続して提供します。ただし、新しい拡張機能と革新機能はすべてCisco Secure Clientでのみ提供されます。2025年4月2日以降、Umbrella Roamingクライアントの新しいデバイス登録はすべて制限されます。その時点でUmbrella Roamingクライアントを使用しているお客様は、サポートやアップデートを受けられなくなります。
Q: UmbrellaモジュールはRoamingセキュリティモジュールと同じものですか。
A:はい。Umbrellaモジュールは、Roamingセキュリティモジュールの新しい簡素化された名前です。
Q:すでにサードパーティのVPNエージェントがあります。VPNモジュールをインストールしません。これはオプションですか。
A:VPNモジュールはコアモジュールとしてインストールされています。ただし、VPNモジュールの設定や使用はまったく必要ありません。ただし、GUIからVPNモジュールを非表示にするオプションもあります。インストール中に「Core & AnyConnect VPN」オプションのチェックを外すと、GUIからVPNが隠れます。VPNサービス(csc_vpnagent)は引き続きバックグラウンドで実行されていますが、VPNはGUIに表示されません。VPNモジュールを非表示にする方法の詳細については、サポート技術情報の記事を参照してください。https://support.umbrella.com/hc/en-us/articles/18211951038740-How-to-hide-the-VPN-module-in-Cisco-Secure-Client-Windows
Q:必要なのはDNS層のセキュリティだけです。アップグレードは必要ですか。
A:はい。新しいCisco Secure ClientおよびUmbrellaモジュールでも、DNSのみのサブスクリプションを使用できます。すべてのお客様は、Cisco Secure ClientのUmbrellaモジュールを利用できます。VPNモジュールはコアモジュールであり、インストールされていますが、使用する必要はなく、UIで非表示にするオプションがあります。
Q:Cisco Security Clientのコピーはどこで入手できますか。
A:
方法1:Umbrellaダッシュボード
Umbrellaダッシュボードにログインし、Deployments > Roaming Computersの順に選択します。右上のRoaming Clientダウンロードアイコンをクリックして、オペレーティングシステムに適した導入前パッケージをダウンロードします。
方法2:Software.cisco.com
software.cisco.comにログインし、Secure Client 5 sectionに移動します。ご使用のオペレーティングシステムに適した導入前パッケージをダウンロードします。
注:ダウンロードを完了するには、有効なシスコアカウントを使用してログインする必要があります。
Q:Umbrellaサブスクリプションを所有していますが、Cisco Secure Clientライセンスがありません。Cisco Secure Clientにアップグレードできますか。
A:有効なライセンスがあり、有効なUmbrellaサポート契約を結んでいるすべてのお客様は、Umbrellaモジュールの使用権を得るためにCisco Secure Clientに移行できます。これには、Umbrella Roaming Clientのすべての機能が含まれています。無料です。
Q:クライアント間のアーキテクチャ上の違いは何ですか。
A:
Umbrella Roaming Clientアプローチ
Umbrella Roamingクライアントは、コンピュータのネットワークアダプタのDNS設定で指定されたDNSサーバに送信されるすべての要求を検査するために、ループバックアダプタを使用します。このためには、ローミングクライアントがすべてのアダプタのDNSサーバをリセットして、localhostループバックアドレスの127.0.0.1を使用する必要があります。
この方法の欠点は、一部のVPNクライアントがこの設定と競合することです。これは、設定が管理者によって設定されたものと一致するように強制するか、またはDNSリゾルバが127.0.0.1で動作しないようにすることです。
また、一部のVPNクライアントは、アダプタのDNS設定をVPN値で上書きし、ローミングするクライアントのDNSサーバアドレスを元の値ではなく127.0.0.1で上書きします。これにより、Umbrella Roaming Clientと競合するソフトウェアパッケージが設計どおりに機能しなくなったり、接続または切断の際に設定済みのDNS設定が失われるという、完全なDNS障害シナリオが発生したりする可能性があります。
Cisco Secure Clientアプローチ
Cisco Secure Clientでは、Umbrellaはインストール可能なモジュールです。このモジュールは、インターフェイスのDNS設定を変更せずにアダプタを制御できるため、DNS変更の競合を回避できます。Cisco Secure Clientはカーネルドライバを使用します。このドライバは、オペレーティングシステムのかなり低いレベルでDNS要求を代行受信します。この高度なメカニズムには、すべてのアダプタのトラフィックがループバックアドレスを通過する必要がないという利点があるため、元のDNS設定が維持されます。このアーキテクチャの違いは、Umbrellaローミングクライアントと比較して、Umbrellaモジュールが他のソフトウェアとの互換性を非常に高く維持できることを意味します。
Q: Cisco Secure Client用のUmbrellaモジュールには、既知の互換性の問題がありますか。
A:Cisco Secure ClientはAnyConnectアーキテクチャを基盤として構築されており、レガシーのUmbrellaローミングクライアントよりもはるかに幅広い互換性があります。まれに、Umbrellaモジュールをサードパーティ製ソフトウェアと連動させるために、追加の操作が必要になる場合があります。詳細については、次の記事を参照してください。
ソフトウェアの互換性:Cisco Secure Client(およびレガシーAnyConnect)用のUmbrellaモジュール
Q:AnyConnectとUmbrella Roamingのクライアントはすでにインストールされています。両方を手動でアンインストールし、Cisco Secure ClientをAnyConnectおよびUmbrellaモジュールとともにインストールする必要がありますか。
A:いいえ。Secure Clientのインストールプロセスは、シームレスなアップグレードプロセスで設計されています。インストーラは自動的にOrginfo.jsonをSecure Clientフォルダに移動し、同時にAnyConnectとUmbrella Roamingクライアントをアンインストールします。AnyConnectのVPN機能を使用していた場合は、自動的にAnyConnect VPNモジュールに引き継がれます。
Q:インストール後にCisco Secure Client UIが表示されません。動作を確認する方法
Umbrellaモジュールを使用したCisco Secure Clientが機能していることを確認するには、ブラウザでhttps://policy-debug.checkumbrella.comにアクセスするか、次のコマンドを実行します。
nslookup -q=txt debug.opendns.com1
出力には、OrgIDなど、Umbrella組織に固有の関連情報が含まれます。
Q:特定のMDMまたはRMMツールを使用した導入に関するサポートドキュメントはどのようにして入手できますか。
A:サードパーティのRMMおよびMDMは、Cisco Umbrellaでは正式にサポートされていません。参考までに、https://support.umbrella.com/hc/en-us/articles/18584514390932のKBページで例をいくつか紹介します。ただし、これらはサポートされておらず、「現状のまま」提供されます。導入の妥当性や適合性について質問や懸念がある場合は、RMMまたはMDMベンダーにお問い合わせください。
Q:Cisco Secure ClientとUmbrellaモジュールを導入した後、どうすれば最新の状態に保つことができますか。自動更新は行われますか。
A:Cisco Secure ClientおよびUmbrellaモジュールを最新の状態に保つ方法の詳細については、次のサポート技術情報の記事を参照してください。
Cisco Secure Clientを最新に保つ
フィードバック