4.8より前のバージョンのMR2およびADコネクタ用AnyConnect Roamingモジュールの要件の理解
はじめに
このドキュメントでは、バージョン4.8 MR2およびADコネクタよりも前のAnyConnectローミングモジュールを使用するための要件について説明します。
背景説明
2021年1月27日の時点で、すべてのクライアントはTLS 1.2+を使用してUmbrellaクラウドに接続し、同期、登録、更新を行う必要があります。以前のバージョンを使用しているクライアントは、更新せずにUmbrellaクライアントを引き続き使用するために、手動で調整する必要があります。
AnyConnectローミングモジュール
Windows Roaming ClientまたはAnyConnectモジュール
エンドポイントエージェントバージョン:スタンドアロンのUmbrellaローミングクライアントは、現在のバージョンのみをサポートします。古いバージョンはサポートされていません。このバージョンは、.NET 4.6.2+でTLS 1.2をネイティブにサポートします。
次の両方の要件を満たす必要があります。
- A:クライアントのバージョン
- Cisco AnyConnect with Umbrellaローミングモジュール:バージョン4.8.02042+(リンク)
または - Cisco AnyConnect 4.3 MR4+およびconfigure TLS 1.2 use with changes to the Windows Registry to expand TLS support to include TLS 1.2:
- Cisco AnyConnect with Umbrellaローミングモジュール:バージョン4.8.02042+(リンク)
- B: .NET Frameworkのバージョン
- Microsoft .NET Frameworkバージョン: .NET 4.6.2
または - レジストリキーの要件に従った古い.NETバージョン
- Microsoft .NET Frameworkバージョン: .NET 4.6.2
Windowsバージョン:7、8、8.1、10
注:MacOS Roaming ClientまたはAnyConnect Moduleについては、TLS 1.2サポートのシステム要件に変更はありません。
これらの要件を満たしていない場合は、読み続けてください。
技術詳細
以前の.NETバージョンがインストールされているかどうかを確認し、Microsoftの記事に従ってレジストリキーを適用します。
AnyConnect 4.8 MR2より前の古いバージョンのクライアントに必要な手順(2から):
オプションA: schusestrongcrypto
このソリューションは、サポートされているセキュアプロトコルを.NET呼び出しのデフォルトに依存するのではなく、TLS 1.0、TLS 1.1、およびTLS 1.2のセットに明示的に設定します。
次に、手順を追ったガイドを示します。
- Windowsマシンにインストールされている.NET Frameworkのバージョンを確認します。
- .NETバージョン4.6.2 (またはそれ以降)だけがインストールされている場合、最新の.NET Frameworkではより強力な暗号で切り替える必要があります。次のレジストリキーを使用します。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001
SCCM/CLIを使用してこれらの変更を行う例として、PowerShellスクリプトが提供されています。このスクリプトは、そのまま提供されます。
# set strong cryptography on 64 bit .Net Framework (version 4 and above)
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Wow6432Node\Microsoft\.NetFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -Type DWord
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Wow6432Node\Microsoft\.NetFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -Type DWord
# set strong cryptography on 32 bit .Net Framework (version 4 and above)
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NetFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -Type DWord
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NetFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -Type DWord
オプションB:SystemDefaultTlsVersions
古い.NETバージョンの場合、このオプションは古いクライアントで必要です。.NET 4.6.2+の場合、これはschusestrongcryptoに相当する代替手段です。両方のソリューションが必要です。
このソリューションでは、.NET内でTLSバージョンを決定するのではなく、OSにTLSバージョンの選択を保留します。レガシーコールでシステムがサポートするバージョンを使用できるようにします。ほとんどの場合、これにはTLS 1.2が含まれます。
- .NET 4.5.1、4.5.2:https://support.microsoft.com/kb/3156421が必要
- Windows 7の.NET 3.5 SP1:https://support.microsoft.com/kb/3154518が必要です。
- Windows 8.1上の.NET 3.5 SP1:https://support.microsoft.com/kb/3154520が必要です。
- .NET 4.6.2+:追加の要件なし
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
Active Directoryコネクタ
サポートされるプラットフォーム:Windows Server 2012以降。
コネクタがWindows Server 2012以降で実行され、.NETバージョン4.xを実行する場合、コネクタはUmbrellaとの通信時に既定でTLS 1.2を使用する必要があります。
注:Windows Server 2008および2008 R2を実行するコネクタのサポートは、Microsoftが2020年1月にこれらのバージョンのサポート終了を発表して以来、終了しています。コネクタの実行を続行するには、サポートされているWindows Serverのバージョンにアップグレードする必要があります。Windows Serverのバージョンをアップグレードできない場合は、コネクタでTLS 1.2を使用してUmbrellaと通信できるようにするために、このシステムに.NETバージョン4.5をインストールしてください。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
08-Sep-2025
|
初版 |
フィードバック