バンドルされたUmbrellaプロファイルによる自動導入について(Windows)

はじめに

このドキュメントでは、Cisco Secure Client(Windows)にバンドルされているUmbrellaプロファイルを使用した自動導入チュートリアルについて説明します。

概要

Cisco Secure Client(CSC)（以前のAnyConnect）with Umbrellaモジュールの導入には、次のコンポーネントが含まれます。

• CSC Core VPN Moduleのインストール 
• Umbrella Roamingセキュリティモジュールのインストール
• Umbrellaプロファイル(OrgInfo.json)のインストール
• Diagnostic and Reporting Tool(DART)モジュールのインストール（オプション）

この記事では、これらのコンポーネントを（Windows上で）プログラムによってインストールする方法のチュートリアルを提供します。  Umbrellaプロファイルは、共有フォルダからのインストールに適したインストールパッケージに組み込まれています。

配置前パッケージの作成

次の手順では、Umbrellaモジュールを導入します。Cisco VPN機能は完全に無効になっていることに注意してください。ただし、コアVPNモジュールは、DNSトラフィックの基盤となる代行受信に使用されるため、インストールする必要があります。

展開パッケージをビルドしています

1. 1. UmbrellaダッシュボードからUmbrella移動セキュリティモジュールプロファイルをダウンロードします。Deployments > Roaming Computers > Roaming Clientsの順に選択します。
      • ダウンロードされるモジュールプロファイルのファイル名はOrginfo.jsonです。
   2. Windows用のUmbrella Roamingセキュリティモジュールの「導入前」パッケージを次のいずれかの場所からダウンロードします。
      • :software.cisco.com
      • Umbrellaリリースノート
   3. ダウンロードしたAnyConnect Clientを解凍し、バージョン番号を見つけます。  展開したパッケージのファイル名とバージョン番号を書き留めます
      
      27073502800788
      
      
   4. インストーラと同じディレクトリにある「Profiles\Umbrella」*フォルダ内に、OrgInfo.jsonファイルを追加します。  この手順は、インストール後にCisco Umbrellaモジュールを自動的に登録するために重要です。フォルダ構造は次のようになります。

      cisco-secure-client-win-X.X.XXXXX-core-vpn-predeploy-k9.msicisco-secure-client-win-win-X.X.XXXXX-umbrella-predeploy-k9.msicisco-secure-client-win-X.X.XXXXX-dart-predeploy-k9.msi\Profiles\umbrella\OrgInfo.json         

MSIファイルが存在しない場合は、MSIファイルの横に\Profiles\Umbrellaサブフォルダを作成します。

パッケージのホスト

パッケージは、'Profiles\Umbrella'サブフォルダを持つエンドユーザーに配布する必要があります。  これは、次の方法で実現できます。

• 共有ネットワークフォルダ
• マルチファイルインストールパッケージの構成をサポートするエンドポイント管理ソフトウェア

パッケージの展開

MSIファイルは、エンドポイント管理ソフトウェアまたは「msiexec」を使用して簡単に導入できます。

MSIコマンド

msiexec /package cisco-secure-client-win-X.X.XXXXX-core-vpn-predeploy-k9.msi PRE_DEPLOY_DISABLE_VPN=1 /norestart /passive /lvx* vpninstall.log 
msiexec /package cisco-secure-client-win-X.X.XXXXX-umbrella-predeploy-k9.msi PRE_DEPLOY_DISABLE_VPN=1 /norestart /passive /lvx* umbrellainstall.log
msiexec /package cisco-secure-client-win-X.X.XXXXX-dart-predeploy-k9.msi /norestart /passive /lvx* dartinstall.log

重要: X.X.XXXXXを、ご使用のMSIファイル名に一致する正しいバージョン番号に置き換えてください。

VPN機能を無効にするには、インストール引数にPRE_DEPLOY_DISABLE_VPN=1オプションが追加されていることを確認します。または、この引数を省略してVPN機能を有効にします。

インストール時の追加のMSIプロパティ

シスコのインストールパッケージでは、インストール中に変更できる複数のMSIプロパティがサポートされています。  Cisco Umbrellaでよく使用されるプロパティは次のとおりです。

• LOCKDOWN =説明されているとおり、サービスは手動で無効にできません。
• ARPSYSTEMCOMPONENT =プログラムをWindowsの「プログラムと機能」リストから非表示にします。
  

インストール時にこれらを設定するには、同じインストール手順を使用しますが、msiexecコマンドに追加のプロパティを渡します。

ロックダウンの有効化

msiexec /package <MSI> /passive LOCKDOWN=1 /lvx* 

プログラムと機能から隠す

msiexec /package <MSI> /passive ARPSYSTEMCOMPONENT=1 /lvx* 

または、カスタマイズされたインストーラトランスフォームファイル（.mstファイル）を指定して、これらのMSI設定を構成することもできます。 詳細については、「AnyConnectロックダウンの設定」を参照してください。

Umbrellaプロファイルの展開（インストール後）

一般的なエラー「Profile is missing」は、Cisco Umbrellaモジュールはインストールされているがプロファイル(OrgInfo.json)がインストールされていないことを示します。つまり、Cisco UmbrellaモジュールをCisco Umbrellaに登録できず、保護を有効にすることもできません。

この問題は、インストールパッケージにプロファイルが正しく組み込まれている場合は発生しません。

4435402655892

インストールパッケージにプロファイルを埋め込むことができない場合は、インストールタスクまたはスクリプトを使用してエンドポイントに個別にコピーできます。  プロファイルは次の場所に展開する必要があります。

%PROGRAMDATA%\Cisco\Cisco Secure Client\Umbrella\OrgInfo.json

PowerShellスクリプトは、ポストインストールタスクとしてOrgInfo.jsonをプログラムで作成する方法の例を示します。  ORG_ID、FINGERPRINT、およびUSER_IDのプレースホルダをプロファイルの関連する値に置き換えます。

$org_file = "%PROGRAMDATA%\Cisco\Cisco Secure Client\Umbrella\OrgInfo.json" 
$data=@" 
{ 
    "organizationId" : "ORG_ID", 
    "fingerprint" : "FINGERPRINT", 
    "userId" : "USER_ID" 
} 
"@ 

if(-not(Test-Path -Path $org_file)) 
{ 

$data > $org_file 
} 

VPN機能の無効化（インストール後）

導入時にVPN機能を無効にしていなかった場合は、特別なVPNプロファイルをデバイスに導入することで、後で無効にすることができます。  https://support.umbrella.com/hc/en-us/articles/18211951038740-How-to-hide-the-VPN-module-in-Cisco-Secure-Client-Windows を参照してください。

シスコルートCAの導入

エラーのないブロックページとHTTPSブラウジングの場合、すべてのエンドポイントに対してCisco UmbrellaルートCAを信頼する必要があります。  認証局を一元的に展開する方法の詳細については、エンドポイント管理ソフトウェアを参照してください。