Cisco AnyConnect Secure Mobility Client 管理者ガイド リリース 4.2

• AnyConnect VPN プロファイル

• AnyConnect ローカル ポリシー

• ネットワーク アクセス マネージャ プロファイル

• ISE ポスチャ プロファイル エディタ

• 一般的な Web セキュリティの設定

• AMP イネーブラ プロファイル エディタ

• NVM プロファイル エディタ

• カスタマー エクスペリエンス フィードバックの設定

（注）	クライアント プロファイルを作成する前に、まずクライアント イメージをアップロードする必要があります。

プロファイルが AnyConnect の一部としてエンドポイント上の管理者定義のエンド ユーザ要件および認証ポリシーに展開され、これにより、エンド ユーザが設定済みのネットワーク プロファイルを使用できるようになります。1 つ以上のプロファイルを作成および設定するには、プロファイル エディタを使用します。AnyConnect には ASDM の一部であるプロファイル エディタが、スタンドアロン Windows プログラムとして組み込まれています。

新しいクライアント プロファイルを ASDM から ASA に追加するには、次の手順を実行します。

スタンドアロン AnyConnect プロファイル エディタは、AnyConnect の ISO ファイルおよび .pkg ファイルとは別に Windows 実行ファイル（.exe）として配布され、ファイルの命名規則は anyconnect-profileeditor-win-<version>-k9.exe となっています。

セキュリティ上の理由から、スタンドアロン プロファイル エディタ以外でクライアント プロファイル XML ファイルを手動で編集することはできません。スタンドアロン プロファイル エディタ以外で編集されたプロファイル XML ファイルは、ASA によって受け入れられません。

• [Start Before Logon の使用（Use Start Before Logon）] （Windows のみ）：Windows のログイン ダイアログボックスが表示される前に AnyConnect を開始することにより、ユーザを Windows へのログイン前に VPN 接続を介して企業インフラへ強制的に接続させます。認証後、ログイン ダイアログボックスが表示され、ユーザは通常どおりログインします。

• [事前接続メッセージの表示（Show Pre-connect Message）]： 管理者は、ユーザが初めて接続を試行する前にワンタイム メッセージを表示させることができます。たとえば、メッセージを表示して、ユーザにスマート カードをリーダに挿入するよう促すことができます。このメッセージは、AnyConnect メッセージ カタログに表示され、ローカライズされています。

• [証明書ストア（Certificate Store）]： AnyConnect がどの証明書ストアで証明書を保存し、読み取るかを制御します。このデフォルト設定（[すべて（All）]）は、ほとんどの状況に適しています。変更が必要となる特別な理由またはシナリオ要件がある場合を除いて、この設定は変更しないでください。

  • [すべて（All）]：（デフォルト）すべての証明書ストアを使用して証明書を検索するよう AnyConnect クライアントに指示します。

  • [マシン（Machine）]：証明書ルックアップを Windows ローカル マシン証明書ストアに制限するように AnyConnect クライアントに指示します。

  • [ユーザ（User）]：証明書ルックアップをローカル ユーザ証明書ストアに制限するように AnyConnect クライアントに指示します。

• [証明書ストアの上書き（Certificate Store Override）]： ユーザに自分のデバイスに対する管理者権限がない場合、管理者は Windows マシン証明書ストアで証明書を検索するように AnyConnect に指示できます。

  （注）	マシン証明書を使用して Windows に接続するには、このオプションが有効にされている事前展開されたプロファイルが必要です。接続する前に Windows デバイスにこのプロファイルが存在しない場合、証明書はマシン ストアにアクセスできず、接続は失敗します。

• [起動時に自動接続（Auto Connect on Start）]：AnyConnect の起動時に、プロファイルで指定されたセキュア ゲートウェイまたはクライアントが最後に接続していたゲートウェイとの VPN 接続が自動的に確立されます。

• [接続時に最小化（Minimize On Connect）]：VPN 接続の確立後、AnyConnect GUI が最小化されます。

• [ローカル LAN アドレス（Local LAN Access）]： ASA への VPN セッション中にリモート コンピュータへ接続したローカル LAN に対してユーザが無制限にアクセスできるようになります。

  （注）

  ローカル LAN アクセスを有効にすると、パブリック ネットワークからユーザ コンピュータを経由して、社内ネットワークにセキュリティの脆弱性が生じる可能性があります。代替手段として、セキュリティ アプライアンス（バージョン 8.4(1) 以降）で、デフォルト グループ ポリシーに含まれている AnyConnect クライアント ローカル印刷ファイアウォール ルールを使用した SSL クライアント ファイアウォールを展開するように設定することもできます。このファイアウォール ルールを有効にするには、このエディタ [プリファレンス（Part 2）（Preferences (Part 2)）] で [自動 VPN ポリシー（Automatic VPN Policy）]、[常時接続]、および [VPN の接続解除を許可（Allow VPN Disconnect）] も有効にする必要があります。

• [キャプティブポータル検出を無効にする（Disable Captive Portal Detection）]：AnyConnect クライアントが受信する証明書の共通名が、ASA 名と一致しない場合、キャプティブ ポータルが検出されます。この動作により、ユーザによる認証が促されます。自己署名証明書を使用する一部のユーザは、HTTP キャプティブ ポータルで保護されている企業リソースへの接続を有効にすることを望むことがあるため、[キャプティブポータル検出を無効にする（Disable Captive Portal Detection）] チェックボックスをオンにする必要があります。管理者は、このオプションをユーザが設定できるようにするかどうかを判断し、判断に基づいてチェックボックスをオンにすることもできます。ユーザが設定できるようにした場合は、AnyConnect Secure Mobility Client UI の [プリファレンス（Preferences）] タブにチェックボックスが表示されます。

• [自動再接続（Auto Reconnect）]： 接続が解除された場合、AnyConnect により VPN 接続の再確立が試行されます（デフォルトで有効）。[自動再接続（Auto Reconnect）] を有効にすると、接続解除の原因にかかわらず、再接続は試行されません。

  • 自動再接続の動作

    • [DisconnectOnSuspend]（デフォルト）：AnyConnect では、システムの一時停止時に VPN セッションに割り当てられたリソースが解放され、システムの再開後も再接続は試行されません。

    • [ReconnectAfterResume]：接続が解除された場合、AnyConnect により VPN 接続の再確立が試行されます。

• [自動更新（Auto Update）]： オンにすると、クライアントの自動アップデートが有効になります。 [ユーザ制御可（User Controllable）] チェックボックスをオンにすると、クライアントのこの設定を無効にできます。

• [RSA セキュア ID 連携（RSA Secure ID Integration）]（Windows のみ）：ユーザが RSA とどのように対話するかを制御します。デフォルトでは、AnyConnect が RSA の適切な対話方法を決定します（自動設定：ソフトウェア トークンとハードウェア トークンの両方を受け入れます）。

• [Windows ログインの強制（Windows Logon Enforcement）]： Remote Desktop Protocol（RDP）セッションから VPN セッションを確立することを許可します。スプリット トンネリングはグループ ポリシーで設定する必要があります。VPN 接続を確立したユーザがログオフすると、その VPN 接続は AnyConnect により解除されます。接続がリモート ユーザによって確立されていた場合、そのリモート ユーザがログオフすると、VPN 接続は終了します。

  • [シングル ローカル ログイン（Single Local Logon）]（デフォルト）：VPN 接続全体で、ログインできるローカル ユーザは 1 人だけです。また、クライアント PC に複数のリモート ユーザがログインしている場合でも、ローカル ユーザが VPN 接続を確立することはできます。この設定は、VPN 接続を介した企業ネットワークからのリモート ユーザ ログインに対しては影響を与えません。

    （注）	VPN 接続が排他的トンネリング用に設定されている場合、VPN 接続用のクライアント PC のルーティング テーブルが変更されるため、リモート ログインは接続解除されます。VPN 接続がスプリット トンネリング用に設定されている場合、リモート ログインが接続解除されるかどうかは、VPN 接続のルーティング設定によって異なります。

  • [シングル ログイン（Single Logon）]：VPN 接続全体で、ログインできるユーザは 1 人だけです。VPN 接続の確立時に、ローカルまたはリモートで複数のユーザがログインしている場合、接続は許可されません。VPN 接続中にローカルまたはリモートで第 2 のユーザがログインすると、VPN 接続が終了します。VPN 接続中の追加のログインは許可されません。そのため、VPN 接続によるリモート ログインは行えません。

    （注）	複数同時ログオンはサポートされません。

• [Windows VPN 確立（Windows VPN Establishment）]： クライアント PC にリモート ログインしたユーザが VPN 接続を確立した場合の AnyConnect の動作を決定します。設定可能な値は次のとおりです。

  • [ローカルユーザのみ（Local Users Only）]（デフォルト）：リモート ログインしたユーザは、VPN 接続を確立できません。これは、以前のバージョンの AnyConnect と同じ機能です。

  • [リモートユーザを許可（Allow Remote Users）]：リモート ユーザは VPN 接続を確立できます。ただし、設定された VPN 接続ルーティングによってリモート ユーザが接続解除された場合は、リモート ユーザがクライアント PC に再アクセスできるように、VPN 接続が終了します。リモート ユーザが VPN 接続を終了せずにリモート ログイン セッションを接続解除するには、VPN を確立した後、90 秒間待つ必要があります。

• スマートカードのピンのクリア（Clear SmartCard PIN）

• [サポートされている IP プロトコル（IP Protocol Supported）]： IPv4 アドレスおよび IPv6 アドレスの両方で AnyConnect を使用して ASA に接続しようとしているクライアントの場合、AnyConnect は接続の開始に際してどの IP プロトコルを使用するか決定する必要があります。デフォルトで、AnyConnect は最初に IPv4 を使用して接続しようとします。接続が成功しない場合、IPv6 を使用して接続を開始しようとします。

  このフィールドでは、最初の IP プロトコルとフォールバックの順序を設定します。

  • [IPv4]：ASA に対して IPv4 接続のみ可能です。

  • [IPv6]：ASA に対して IPv6 接続のみ可能です。

  • [IPv4, IPv6]：最初に ASA に IPv4 接続しようとします。クライアントが IPv4 を使用して接続できない場合、IPv6 接続をしようとします。

  • [IPv6, IPv4]：最初に ASA に IPv6 接続しようとします。クライアントが IPv6 を使用して接続できない場合、IPv4 接続をしようとします。

    （注）	IPv4 から IPv6、IPv6 から IPv4 プロトコルへのフェールオーバーも VPN セッション中に行うことができます。プライマリ IP プロトコルが失われると、可能な場合に、セカンダリ IP プロトコルを介して VPN セッションが再確立されます。

• [自動証明書選択の無効化（Disable Automatic Certificate Selection）]（Windows のみ）： クライアントによる自動証明書選択を無効にし、ユーザに対して認証証明書を選択するためのプロンプトを表示します。

  関連項目：証明書選択の設定

• [プロキシ設定（Proxy Settings）]： プロキシ サーバへのクライアント アクセスを制御するために AnyConnect プロファイルにポリシーを指定します。これは、プロキシ設定によってユーザが社内ネットワークの外からトンネルを確立できない場合に使用します。トンネルの確立後にグループ ポリシーに次のプロキシ設定を設定できます。

  • [ネイティブ（Native）]：クライアントは、AnyConnect によって以前に設定されたプロキシ設定とブラウザに設定されたプロキシ設定の両方を使用します。グローバル ユーザ プリファレンスに設定されたプロキシ設定は、ブラウザのプロキシ設定に追加されます。

  • [プロキシを無視（IgnoreProxy）]：ユーザのコンピュータのブラウザのプロキシ設定を無視します。ASA に到達可能なプロキシには影響しません。

  • [上書き（Override）]：パブリック プロキシ サーバのアドレスを手動で設定します。パブリック プロキシは、Linux でサポートされている唯一のプロキシです。Windows も、パブリック プロキシをサポートしています。[ユーザ制御可（User Controllable）] になるようにパブリック プロキシ アドレスを設定できます。

• [ローカルプロキシ接続を許可（Allow Local Proxy Connections）]：デフォルトでは、Windows ユーザは AnyConnect でローカル PC 上のトランスペアレントまたは非トランスペアレントのプロキシ サービスを介して VPN セッションを確立するようになっています。ローカル プロキシ接続のサポートを無効にする場合は、このパラメータをオフにします。トランスペアレント プロキシ サービスを提供する要素の例として、一部のワイヤレス データ カードによって提供されるアクセラレーション ソフトウェアや、一部のアンチウイルス ソフトウェアに備えられたネットワーク コンポーネントなどがあります。

• [最適なゲートウェイの選択を有効化（Enable Optimal Gateway Selection）]（OGS）、（IPv4 クライアントのみ）： AnyConnect では、ラウンド トリップ時間（RTT）に基づいて接続または再接続に最適なセキュア ゲートウェイが特定され、それが選択されます。これにより、ユーザが介入することなくインターネット トラフィックの遅延を最小限に抑えることができます。OGS はセキュリティ機能ではなく、セキュア ゲートウェイ クラスタ間またはクラスタ内部でのロード バランシングは実行されません。OGS のアクティブ化/非アクティブ化を制御し、エンド ユーザがこの機能そのものを制御できるようにするかどうかを指定します。クライアント GUI の [接続（Connection）] タブにある [接続先（Connect To）] ドロップダウン リストには [自動選択（Automatic Selection）] が表示されます。

  （注）	OGS には次の制約事項があります。 Always-On を設定した状態では動作できません 自動プロキシ検出を設定した状態では動作できません。 プロキシ自動設定（PAC）ファイルを設定した状態では動作できません。 AAA が使用されている場合は、別のセキュア ゲートウェイへの遷移時にユーザがそれぞれのクレデンシャルを再入力しなければならないことがあります。この問題は、証明書を使用すると解消されます。

  • [一時停止時間しきい値（時間）（Suspension Time Threshold (hours)）]： 新しいゲートウェイ選択を呼び出す前に VPN を一時停止しておく必要がある最小時間を（時間単位で）入力します。次の設定可能パラメータ（パフォーマンス向上しきい値（Performance Improvement Threshold））と組み合わせてこの値を最適化することで、最適なゲートウェイの選択と、クレデンシャルの再入力を強制する回数の削減の間の適切なバランスを見つけることができます。

  • [パフォーマンス向上しきい値（%）（Performance Improvement Threshold (%)）]： システムの再開後にクライアントが別のセキュア ゲートウェイに接続する際の基準となるパフォーマンス向上率。特定のネットワークに対してこれらの値を調整すれば、最適なゲートウェイを選択することと、クレデンシャルを強制的に入力させる回数を減らすこととの間で適切なバランスを取ることができます。デフォルトは 20% です。

• [自動 VPN ポリシー（Automatic VPN Policy）]（Windows および Mac のみ）： Trusted Network Detection を有効にして、AnyConnect が信頼されたネットワーク ポリシーと信頼されていないネットワーク ポリシーに従って VPN 接続をいつ開始または停止するかを自動的に管理できるようにします。無効の場合、VPN 接続の開始および停止は手動でのみ行うことができます。[自動 VPN ポリシー（Automatic VPN Policy）] を設定しても、ユーザは VPN 接続を手動で制御できます。

  • [信頼されたネットワーク ポリシー（Trusted Network Policy）]： ユーザが社内ネットワーク（信頼ネットワーク）に存在する場合に AnyConnect が VPN 接続で自動的に実行するアクション。

    • [接続解除（Disconnect）]（デフォルト）：信頼ネットワークが検出されると VPN 接続が解除されます。

    • [接続（Connect）]：信頼ネットワークが検出されると VPN 接続が開始されます。

    • [何もしない（Do Nothing）]：信頼ネットワークでは動作はありません。[信頼されたネットワークポリシー（Trusted Network Policy）] と [信頼されていないネットワークポリシー（Untrusted Network Policy）] の両方を [何もしない（Do Nothing）] に設定すると、Trusted Network Detection は無効となります。

    • [一時停止（Pause）]：ユーザが信頼ネットワークの外で VPN セッションを確立した後に、信頼済みとして設定されたネットワークに入った場合、AnyConnect は VPN セッションを接続解除するのではなく、一時停止します。ユーザが再び信頼ネットワークの外に出ると、そのセッションは AnyConnect により再開されます。この機能を使用すると、信頼ネットワークの外へ移動した後に新しい VPN セッションを確立する必要がなくなるため、ユーザにとっては有用です。

  • [信頼されていないネットワークポリシー（Untrusted Network Policy）]： ユーザが社内ネットワークの外（非信頼ネットワーク）に存在する場合、AnyConnect により VPN 接続が自動的に開始されます。この機能を使用すると、ユーザが信頼ネットワークの外にいるときに VPN 接続を開始することによって、セキュリティ意識を高めることができます。

    • [接続（Connect）]（デフォルト）：非信頼ネットワークが検出されると、VPN 接続が開始されます。

    • [何もしない（Do Nothing）]：信頼ネットワークでは動作はありません。このオプションは、常時接続 VPN を無効にします。[信頼されたネットワークポリシー（Trusted Network Policy）] と [信頼されていないネットワークポリシー（Untrusted Network Policy）] の両方を [何もしない（Do Nothing）] に設定すると、Trusted Network Detection は無効となります。

  • [信頼された DNS ドメイン（Trusted DNS Domains）]：クライアントが信頼ネットワーク内に存在する場合にネットワーク インターフェイスに割り当てることができる DNS サフィックス（カンマ区切りの文字列）。*.cisco.com などがこれに該当します。DNS サフィックスでは、ワイルドカード（*）がサポートされます。

  • [信頼された DNS サーバ（Trusted DNS Servers）]：クライアントが信頼ネットワーク内に存在する場合にネットワーク インターフェイスに割り当てることができる DNS サーバ アドレス（カンマ区切りの文字列）。 
たとえば、192.168.1.2, 2001:DB8::1 です。DNS サーバ アドレスでは、ワイルドカード（*）がサポートされます。

  • Trusted Servers @ https://<server>[:<port>]：信頼できる URL として追加するホスト URL。信頼できる証明書を使用してアクセス可能なセキュア Web サーバが、信頼できるサーバとして見なされる必要があります。[追加（Add）] をクリックすると、URL が追加され、証明書ハッシュに事前にデータが取り込まれます。ハッシュが見つからない場合は、ユーザに対して証明書ハッシュを手動で入力して [設定（Set）] をクリックするように求めるエラー メッセージが表示されます。

    （注）	このパラメータを設定できるのは、信頼された DNS ドメインまたは信頼された DNS サーバを 1 つ以上を定義する場合だけです。信頼された DNS ドメインまたは信頼された DNS サーバが定義されていない場合、このフィールドは無効になります。

• [常時接続（Always On）]：対応している Windows または Mac OS X オペレーティング システムのいずれかを実行しているコンピュータにユーザがログインした場合、AnyConnect が VPN へ自動的に接続するかどうかを判断します。コンピュータが信頼ネットワーク内に存在しない場合にはインターネット リソースへのアクセスを制限することによってセキュリティ上の脅威からコンピュータを保護するという企業ポリシーを適用できます。グループ ポリシーおよびダイナミック アクセス ポリシーに常時接続 VPN パラメータを設定し、ポリシーの割り当てに使用される一致基準に基づいて例外を指定することにより、この設定を上書きすることもできます。AnyConnect ポリシーでは常時接続 VPN が有効になっているが、ダイナミック アクセス ポリシーまたはグループ ポリシーでは無効になっている場合、各新規セッションの確立に関するダイナミック アクセス ポリシーまたはグループ ポリシーが基準と一致すれば、クライアントでは現在以降の VPN セッションに対して無効の設定が保持されます。有効にした後に、追加のパラメータを設定できます。

  関連項目：常時接続を使用した VPN 接続の要求

  • [VPN の接続解除を許可（Allow VPN Disconnect）]：AnyConnect で常時接続 VPN セッション用の [接続解除（Disconnect）] ボタンが表示されるようにするかどうかを指定します。VPN セッションの中断後に現在の VPN セッションまたは再接続で問題が発生し、パフォーマンスが低下したなどの理由により、常時接続 VPN セッションのユーザは [接続解除（Disconnect）] をクリックして代替のセキュア ゲートウェイを選択できます。

    [接続解除（Disconnect）] ボタンを使用すると、すべてのインターフェイスがロックされます。これにより、データの漏えいを防ぐことができる以外に、VPN セッションの確立には必要のないインターネット アクセスからコンピュータを保護することができます。上述した理由により、[接続解除（Disconnect）] ボタンを無効にすると、VPN アクセスが妨害または阻止されることがあります。

  • [接続エラー ポリシー（Connect Failure Policy）]：AnyConnect が VPN セッションを確立できない場合（ASA が到達不能の場合など）に、コンピュータがインターネットにアクセスできるようにするかどうかを指定します。このパラメータは、[常時接続] および [VPN の接続解除を許可（Allow VPN Disconnect）] が有効の場合にだけ適用されます。常時接続を選択した場合、フェールオープン ポリシーはネットワーク接続を許可し、フェールクローズ ポリシーはネットワーク接続を無効にします。

    • [クローズド（Closed）]：VPN が到達不能の場合にネットワーク アクセスを制限します。この設定の目的は、エンドポイントを保護するプライベート ネットワーク内のリソースが使用できない場合に、企業の資産をネットワークに対する脅威から保護することにあります。

    • [オープン（Open）]：VPN が到達不能の場合でもネットワーク アクセスを許可します。

    注意

    AnyConnect が VPN セッションの確立に失敗した場合は、接続障害クローズド ポリシーによりネットワーク アクセスは制限されます。このポリシーは、主にネットワークに常時アクセス可能なことよりも、セキュリティが持続することを重視する非常にセキュリティの高い組織向きです。このポリシーでは、スプリット トンネリングによって許可され、ACL によって制限されたすべてのプリンタやテザード デバイスなどのローカル リソース以外のネットワーク アクセスを防止します。ユーザが VPN を越えてインターネットにアクセスする必要がある場合に、セキュア ゲートウェイを利用できないときには、このポリシーを適用すると生産性が低下する可能性があります。AnyConnect は、ほとんどのキャプティブ ポータルを検出します。キャプティブ ポータルを検出できない場合、接続障害クローズド ポリシーによりすべてのネットワーク接続は制限されます。 クローズド接続ポリシーの展開は、段階的に行うことを強く推奨します。たとえば、最初に接続障害オープン ポリシーを使用して常時接続 VPN を展開し、ユーザを通じて AnyConnect がシームレスに接続できない頻度を調査します。さらに、新機能に関心を持つユーザを対象に、小規模な接続障害クローズド ポリシーを試験的に展開しそのフィードバックを依頼します。引き続きフィードバックを依頼しながら試験的なプログラムを徐々に拡大したうえで、全面的な展開を検討します。接続障害クローズド ポリシーを展開する場合は必ず、VPN ユーザに対して接続障害クローズド ポリシーのメリットだけでなく、ネットワーク アクセスの制限についても周知してください。

    関連項目：キャプティブ ポータルについて

    [接続エラー ポリシー（Connect Failure Policy）] が [クローズド（Closed）] である場合、次の設定を行うことができます。

    • [キャプティブポータルの修復を許可（Allow Captive Portal Remediation）]：クライアントによりキャプティブ ポータル（ホットスポット）が検出された場合、クローズ接続障害ポリシーにより適用されるネットワーク アクセスの制限が AnyConnect により解除されます。ホテルや空港では、ユーザがブラウザを開いてインターネット アクセスの許可に必要な条件を満たすことができるようにするため、キャプティブ ポータルを使用するのが一般的です。デフォルトの場合、このパラメータはオフになっており、セキュリティは最高度に設定されます。ただし、クライアントから VPN へ接続する必要があるにもかかわらず、キャプティブ ポータルによりそれが制限されている場合は、このパラメータをオンにする必要があります。

    • [修復タイムアウト（Remediation Timeout）]：AnyConnect によりネットワーク アクセスの制限が解除されるまでの時間（分）。このパラメータは、[キャプティブポータルの修復を許可（Allow Captive Portal Remediation）] パラメータがオンになっており、かつクライアントによりキャプティブ ポータルが検出された場合に適用されます。キャプティブ ポータルの通常の要求を満たすことができるだけの十分な時間を指定します（5 分など）。

    • [最新の VPN ローカル リソース ルールを適用（Apply Last VPN Local Resource Rules）]：VPN が到達不能の場合、クライアントでは ASA から受信した最後のクライアント ファイアウォールが適用されます。この中には、ローカル LAN 上のリソースへのアクセスを許可する ACL が含まれている場合もあります。

    関連項目：接続障害ポリシーの設定

• [手動でのホスト入力を許可する（Allow Manual Host Input）]：ユーザが、AnyConnect UI のドロップダウン ボックスにリストされていない VPN アドレスを入力できるようにします。このチェックボックスをオフにすると、VPN 接続の選択項目は、ドロップダウン ボックスに表示されているものに限定され、ユーザによる新しい VPN アドレスの入力が制限されます。

• [PPP 除外（PPP Exclusion）]：PPP 接続上の VPN トンネルの場合、除外ルートを決定するかどうかとその方法を指定します。クライアントでは、セキュア ゲートウェイより先を宛先としてトンネリングされたトラフィックから、このセキュア ゲートウェイを宛先とするトラフィックを除外できます。除外ルートは、セキュアでないルートとして AnyConnect GUI の [ルートの詳細（Route Details）] 画面に表示されます。この機能をユーザ設定可能にした場合、ユーザは PPP 除外設定の読み取りや変更を行うことができます。

  • [自動（Automatic）]：PPP 除外を有効にします。AnyConnect は、PPP サーバの IP アドレスを自動的に使用します。この値は、自動検出による IP アドレスの取得に失敗した場合にのみ変更するよう、ユーザに指示してください。

  • [無効（Disabled）]：PPP 除外は適用されません。

  • [上書き（Override）]：同様に PPP 除外を有効にします。自動検出による PPP サーバの IP アドレスの取得に失敗し、PPP 除外をユーザ制御可能として設定した場合に選択します。

  [PPP 除外（PPP Exclusion）] を有効にした場合は、次も設定します。

  • [PPP 除外サーバ IP（PPP Exclusion Server IP）]：PPP 除外に使用されるセキュリティ ゲートウェイの IP アドレス。

  関連項目：ユーザに対する PPP 除外上書きの指示

• [スクリプトの有効化（Enable Scripting）]：OnConnect スクリプトおよび OnDisconnect スクリプトがセキュリティ アプライアンスのフラッシュ メモリに存在する場合はそれらを起動します。

  • [次のイベント時にスクリプトを終了する（Terminate Script On Next Event）]：スクリプト処理可能な別のイベントへの遷移が発生した場合に、実行中のスクリプト プロセスを終了します。たとえば、VPN セッションが終了すると、AnyConnect では実行中の OnConnect スクリプトが終了し、クライアントで新しい VPN セッションが開始すると、実行中の OnDisconnect スクリプトが終了します。Microsoft Windows 上のクライアントでは OnConnect スクリプトまたは OnDisconnect スクリプトによって起動した任意のスクリプト、およびその従属スクリプトもすべて終了します。Mac OS および Linux 上のクライアントでは、OnConnect スクリプトまたは OnDisconnect スクリプトのみ終了し、子スクリプトは終了しません。

  • [Post SBL OnConnect スクリプトを有効にする（Enable Post SBL On Connect Script）]：SBL で VPN セッションが確立された場合に OnConnect スクリプトが（存在すれば）起動されるようにします（VPN エンドポイントで Microsoft Windows を実行している場合にのみサポート）。

• [ログオフ時に VPN を保持（Retain VPN On Logoff）]：ユーザが Windows OS からログオフした場合に、VPN セッションを維持するかどうかを指定します。

  • [ユーザの強制設定（User Enforcement）]：別のユーザがログインした場合に VPN セッションを終了するかどうかを指定します。このパラメータが適用されるのは、[ログオフ時に VPN を保持（Retain VPN On Logoff）] がオンになっており、かつ VPN セッションが確立されている間に元のユーザが Windows からログオフした場合のみです。

• [認証タイムアウト値（Authentication Timeout Values）]：デフォルトでは、AnyConnect は接続試行を終了するまでに、セキュア ゲートウェイからの認証を最大 12 秒間待ちます。その時間が経過すると、認証がタイムアウトになったことを示すメッセージが表示されます。0 ～ 120 の範囲で秒数を入力します。

ユーザが選択したサーバで障害が発生した場合にクライアントが使用するバックアップ サーバのリストを設定できます。ユーザが選択したサーバで障害が発生した場合、クライアントはリストの先頭にある最適なサーバのバックアップに接続しようとします。それが失敗した場合、クライアントは選択結果の順序に従って [最適なゲートウェイの選択（Optimal Gateway Selection）] リストの残りの各サーバを試します。

[ホスト アドレス（Host Address）]：バックアップ サーバ リストに表示する IP アドレスまたは完全修飾ドメイン名（FQDN）を指定します。

• [追加（Add）]：バックアップ サーバ リストにホスト アドレスを追加します。

• [上に移動（Move Up）]：選択したバックアップ サーバをリストの上方向に移動します。ユーザが選択したサーバで障害が発生した場合、クライアントではまずリストの先頭にあるバックアップ サーバに対して接続が試行され、必要に応じてリストを下方向へ移動します。

• [下に移動（Move Down）]：選択したバックアップ サーバをリストの下方向に移動します。

• [削除（Delete）]：サーバ リストからバックアップ サーバを削除します。

このペインでは、クライアント証明書の自動選択の詳細設定に使用できるさまざまな属性の定義を有効にします。

仕様に一致する任意の条件がプロファイルで作成される場合、プロファイルに明記されない限り、上記一致ルールのいずれも適用されません。

• [キーの使用状況（Key Usage）]：受け入れ可能なクライアント証明書を選択する場合は、次のような証明書キー属性を使用できます。

  • Decipher_Only：データを復号化します。他のビットは設定されません（Key_Agreement は除く）。

  • Encipher_Only：データを暗号化します。他のビットは設定されません（Key_Agreement は除く）。

  • CRL_Sign：CRL の CA 署名を確認します。

  • Key_Cert_Sign：証明書の CA 署名を確認します。

  • Key_Agreement：キー共有。

  • Data_Encipherment：Key_Encipherment 以外のデータを暗号化します。

  • Key_Encipherment：キーを暗号化します。

  • Non_Repudiation：一部のアクションを誤って拒否しないように、Key_Cert_sign および CRL_Sign 以外のデジタル署名を確認します。

  • Digital_Signature：Non_Repudiation、Key_Cert_Sign、および CRL_Sign 以外のデジタル署名を確認します。

• [拡張キーの使用状況（Extended Key Usage）]：次の拡張キーの使用状況設定を使用します。OID は丸カッコ内に記載してあります。

  • ServerAuth（1.3.6.1.5.5.7.3.1）

  • ClientAuth（1.3.6.1.5.5.7.3.2）

  • CodeSign（1.3.6.1.5.5.7.3.3）

  • EmailProtect（1.3.6.1.5.5.7.3.4）

  • IPSecEndSystem（1.3.6.1.5.5.7.3.5）

  • IPSecTunnel（1.3.6.1.5.5.7.3.6）

  • IPSecUser（1.3.6.1.5.5.7.3.7）

  • TimeStamp（1.3.6.1.5.5.7.3.8）

  • OCSPSign（1.3.6.1.5.5.7.3.9）

  • DVCS（1.3.6.1.5.5.7.3.10）

  • IKE Intermediate

• [カスタム拡張照合キー（最大 10）（Custom Extended Match Key (Max 10)）]：カスタム拡張照合キー（もしあれば）を指定します（最大 10 個）。証明書は入力したすべての指定キーに一致する必要があります。OID 形式でキーを入力します（1.3.6.1.5.5.7.3.11 など）。

• [識別名（最大 10）（Distinguished Name (Max 10)）]：受け入れ可能なクライアント証明書を選択する際に完全一致基準として使用する識別名（DN）を指定します。

  • [名前（Name）]：照合に使用する識別名（DN）。

    • CN：サブジェクトの一般名

    • C：サブジェクトの国

    • DC：ドメイン コンポーネント

    • DNQ：サブジェクトの DN 修飾子

    • EA：サブジェクトの電子メール アドレス

    • GENQ：サブジェクトの GEN 修飾子

    • GN：サブジェクトの名

    • I：サブジェクトのイニシャル

    • L：サブジェクトの都市

    • N：サブジェクトの非構造体名

    • O：サブジェクトの会社

    • OU：サブジェクトの部署

    • SN：サブジェクトの姓

    • SP：サブジェクトの州

    • ST：サブジェクトの州

    • T：サブジェクトの敬称

    • ISSUER-CN：発行元の一般名

    • ISSUER-DC：発行元のコンポーネント

    • ISSUER-SN：発行元の姓

    • ISSUER-GN：発行元の名

    • ISSUER-N：発行元の非構造体名

    • ISSUER-I：発行元のイニシャル

    • ISSUER-GENQ：発行元の GEN 修飾子

    • ISSUER-DNQ：発行元の DN 修飾子

    • ISSUER-C：発行元の国

    • ISSUER-L：発行元の都市

    • ISSUER-SP：発行元の州

    • ISSUER-ST：発行元の州

    • ISSUER-O：発行元の会社

    • ISSUER-OU：発行元の部署

    • ISSUER-T：発行元の敬称

    • ISSUER-EA：発行元の電子メール アドレス

  • [パターン（Pattern）]：照合する文字列を指定します。 照合するパターンには、目的の文字列部分のみ含まれている必要があります。パターン照合構文や正規表現構文を入力する必要はありません。入力した場合、その構文は検索対象の文字列の一部と見なされます。

    abc.cisco.com という文字列を例とした場合、cisco.com で照合するためには、入力するパターンを cisco.com とする必要があります。

  • [演算子（Operator）]：この DN で照合する場合に使用する演算子です。

    • [等しい（Equal）]：== と同等

    • [等しくない（Not Equal）]：!= と同等

  • [ワイルドカード（Wildcard）]：[有効（Enabled）] を指定するとワイルドカード パターン照合が含まれます。ワイルドカードが有効であれば、パターンは文字列内のどの場所でも使用できます。

  • [大文字と小文字を区別（Match Case）]：大文字と小文字を区別したパターン照合を有効にする場合はオンにします。

証明書登録により、AnyConnect は Simple Certificate Enrollment Protocol（SCEP）を使用してクライアント認証のために証明書をプロビジョニングし、更新できます。

• [証明書失効しきい値（Certificate Expiration Threshold）]：AnyConnect が、証明書の有効期限の何日前にユーザに対して証明書の失効が近づいていることを警告する日数（RADIUS パスワード管理ではサポートされません）。デフォルトは 0（警告は表示しない）です。値の範囲は 0 ～ 180 日です。

• [証明書インポート ストア（Certificate Import Store）]：どの Windows 証明書ストアに登録証明書を保存するかを選択します。

• [自動 SECP ホスト（Automatic SCEP Host）]：レガシー SCEP のために、証明書取得が設定されている ASA のホスト名および接続プロファイル（トンネル グループ）を指定します。ASA の完全修飾ドメイン名（FQDN）または接続プロファイル名を入力してください（ホスト名 asa.cisco.com、接続プロファイル名 scep_eng など）。

• [CA URL]：レガシー SCEP の場合、SCEP CA サーバを特定します。CA サーバの FQDN または IP アドレスを入力してください。たとえば、http://ca01.cisco.com など。

  • [チャレンジ PW のプロンプト（Prompt For Challenge PW）]：有効にすると、証明書をユーザが手動で要求できるようになります。ユーザが [証明書を取得（Get Certificate）] をクリックすると、クライアントではユーザに対してユーザ名および 1 回限定利用のパスワードに関するプロンプトが表示されます。

  • [サムプリント（Thumbprint）]：CA の証明書サムプリント。SHA1 ハッシュまたは MD5 ハッシュを使用します。

  （注）	CA URL およびサムプリントを用意することができるのは CA サーバ管理者です。サムプリントは、発行したサーバ証明書の「fingerprint」属性フィールドや「thumbprint」属性フィールドではなく、サーバから直接取得する必要があります。

• [証明書の内容（Certificate Contents）]：SCEP 登録要求に含める証明書の内容を指定します。

  • Name (CN)：証明書での一般名。

  • Department (OU)：証明書に指定されている部署名。

  • Company (O)：証明書に指定されている会社名。

  • State (ST)：証明書に指定されている州 ID。

  • State (SP)：別の州 ID。

  • Country (C)：証明書に指定されている国 ID。

  • Email (EA)：電子メール アドレス。次の例では、[Email (EA)] は %USER%@cisco.com です。%USER% は、ユーザの ASA ユーザ名ログイン クレデンシャルに対応します。

  • Domain (DC)：ドメイン コンポーネント。次の例では、[Domain (DC)] は cisco.com に設定されています。

  • SurName (SN)：姓または名。

  • GivenName (GN)：通常は名。

  • UnstructName (N)：定義されていない名前。

  • Initials (I)：ユーザのイニシャル。

  • Qualifier (GEN)：ユーザの世代修飾子。たとえば、「Jr.」や「III」です。

  • Qualifier (DN)：完全 DN の修飾子。

  • City (L)：都市 ID。

  • Title (T)：個人の敬称。たとえば、Ms.、Mrs.、Mr. など。

  • CA Domain：SCEP 登録に使用されます。通常は CA ドメイン。

  • Key size：登録する証明書用に生成された RSA キーのサイズ。

• [証明書取得ボタンを表示（Display Get Certificate Button）]：次の条件下で AnyConnect GUI が [証明書を取得（Get Certificate）] ボタンを表示できるようにします。

  • 証明書は [証明書失効しきい値（Certificate Expiration Threshold）] で定義された期間内に期限が切れるよう設定されている（RADIUS ではサポートされません）。

  • 証明書の期限が切れています。

  • 証明書が存在しません。

  • 証明書を照合できません。

AnyConnect のバージョン 3.0 以降では、Windows Mobile デバイスをサポートしません。Windows Mobile デバイスに関する情報は、『Cisco AnyConnect Secure Mobility Client 管理者ガイド リリース 2.5』を参照してください。

クライアント GUI に表示されるサーバ リストの設定を行うことができます。ユーザは、VPN 接続を確立する際、このリストでサーバを選択することができます。

[サーバ リスト（Server List）] テーブルの列は次のとおりです。

• [ホスト名（Hostname）]：ホスト、IP アドレス、または完全修飾ドメイン名（FQDN）を参照する際に使用するエイリアス。

• [ホスト アドレス（Host Address）]：サーバの IP アドレスまたは FQDN。

• [ユーザ グループ（User Group）]：[ホスト アドレス（Host Address）] と組み合わせて使用することによりグループ ベースの URL が構成されます。

• [自動 SCEP ホスト（Automatic SCEP Host）]：クライアント認証に使用する証明書のプロビジョニング用および更新用として指定された Simple Certificate Enrollment Protocol。

• [CA URL]：このサーバが認証局（CA）へ接続する際に使用する URL。

[追加/編集（Add/Edit）]：上記のサーバのパラメータを指定できる [サーバ リスト エントリ（Server List Entry）] ダイアログを起動します。

[削除（Delete）]：サーバ リストからサーバを削除します。

[詳細（Details）]：サーバのバックアップ サーバまたは CA URL に関する詳細情報を表示します。

次のパラメータは、VPN ローカル ポリシー エディタおよび AnyConnectLocalPolicy.xml ファイル内の要素です。XML 要素は、山カッコで囲んで表示しています。

（注）	ファイルを手動で編集し、ポリシー パラメータを省略した場合、この機能にはデフォルトの動作が適用されます。

• <acversion>

  このファイルのすべてのパラメータを解釈できる AnyConnect クライアントの最小バージョンを指定します。このバージョンよりも古いバージョンの AnyConnect を実行しているクライアントがファイルを読み込むと、イベント ログに警告が記録されます。

  形式は acversion="<version number>" です。

• FIPS モード（FIPS Mode）<FipsMode>

  クライアントの FIPS モードを有効にします。この設定は、FIPS 標準で承認されているアルゴリズムおよびプロトコルだけを使用するようにクライアントに強制します。

• ダウンローダのバイパス（Bypass Downloader）<BypassDownloader>

  オンにすると、ダイナミック コンテンツのローカル バージョンの存在を検出し、アップデートする VPNDownloader.exe モジュールの起動を無効にします。クライアントは、変換、カスタマイズ、オプション モジュール、コア ソフトウェア更新など、ASA のダイナミック コンテンツをチェックしません。

  [ダウンローダのバイパス（Bypass Downloader）] をオンにすると、ASA へのクライアント接続時に、次の 2 つの事態のいずれかが発生します。

  • ASA 上の VPN クライアント プロファイルがクライアント上のものと異なる場合、クライアントは接続の試行を中断します。

  • ASA に VPN クライアント プロファイルが存在しない場合でもクライアントは VPN 接続を行いますが、クライアントにハードコードされた VPN クライアント プロファイル設定を使用します。

  （注）	ASA で VPN クライアント プロファイルを設定する場合は、BypassDownloader を true に設定した ASA に接続する前に、クライアント プロファイルをクライアントにインストールしておく必要があります。プロファイルには管理者が定義したポリシーを含めることができるため、BypassDownloader 設定 true は、ASA を使用してクライアント プロファイルを集中管理しない場合に限りお勧めします。

• CLRチェックの有効化（Enable CRL Check）<EnableCRLCheck>

  この機能は Windows デスクトップでのみ実装されます。SSL 接続と IPsec VPN 接続の両方で、証明書失効リスト（CRL）チェックを実行するオプションがあります。この設定を有効にすると、AnyConnect はチェーン内のすべての証明書を対象とした最新の CRL を取得します。AnyConnect は次に、当該証明書がこれらの信頼できなくなった失効証明書に含まれているかどうかを確認します。認証局（CA）によって失効された証明書であることが判明すると、AnyConnect は接続しません。

  CRL チェックは、デフォルトでは無効です。AnyConnect が CRL チェックを実行するのは、[CLRチェックの有効化（Enable CRL Check）] がオンである場合（有効な場合）だけであるため、エンド ユーザに対し次のような状況が発生することがあります。

  • CRL によって証明書が失効した場合、AnyConnect ローカル ポリシー ファイルで [厳格な証明書トラスト（Strict Certificate Trust）] が無効になっている場合でも、セキュア ゲートウェイへの接続は無条件で失敗します。

  • 到達できない CRL 配布ポイントなどが原因で CRL を取得できない場合、AnyConnect ローカル ポリシー ファイルで [厳格な証明書トラスト（Strict Certificate Trust）] が有効になっていると、セキュア ゲートウェイへの接続は無条件で失敗します。[厳格な証明書トラスト（Strict Certificate Trust）] が無効な場合は、ユーザに対しエラーを無視するように求められることがあります。

  （注）	AnyConnect は、[常時接続（Always On）] が有効な場合は CRL チェックを実行できません。CRL 配布ポイントがパブリックに到達不能な場合、AnyConnect でサービスの中断が発生することがあります。

• Web起動の制限（Restrict Web Launch）<RestrictWebLaunch>

  ユーザは、FIPS 準拠のブラウザを使用して、WebLaunch を開始できません。これを行うためには、AnyConnect トンネルを開始するために使用されるセキュリティ Cookie をクライアントが取得できないようにします。クライアントからユーザに情報メッセージが表示されます。

• 厳格な証明書トラスト（Strict Certificate Trust）<StrictCertificateTrust>

  選択すると、リモート セキュリティ ゲートウェイを認証するときに、AnyConnect は確認できない証明書を許可しません。ユーザにこれらの証明書を受け入れるように求める代わりに、クライアントは自己署名証明書を使用したセキュリティ ゲートウェイの接続に失敗し、「Local policy prohibits the acceptance of untrusted server certificates.A connection will not be established.」を表示します。オフにすると、クライアントはユーザに証明書を受け入れるように求めます。これはデフォルトの動作です。

  以下の理由があるため、AnyConnect クライアントに対する厳格な証明書トラストを有効にすることを、強くお勧めします。

  • 明確な悪意を持った攻撃が増えているため、ローカル ポリシーで厳格な証明書トラストを有効にすると、パブリック アクセス ネットワークなどの非信頼ネットワークからユーザが接続している場合に「中間者」攻撃を防ぐために役立ちます。

  • 完全に検証可能で信頼できる証明書を使用する場合でも、AnyConnect クライアントは、デフォルトでは、未検証の証明書の受け入れをエンド ユーザに許可します。エンド ユーザが中間者攻撃の対象になった場合は、悪意のある証明書を受け入れるようエンド ユーザに求めます。エンド ユーザによるこの判断を回避するには、厳格な証明書トラストを有効にします。

• プリファレンス キャッシングの制限（Restrict Preference Caching）<RestrictPreferenceCaching>

  AnyConnect は機密情報をディスクにキャッシュしないように設計されています。このパラメータを有効にすると、AnyConnect プリファレンスに保存されているすべての種類のユーザ情報に、このポリシーが拡張されます。

  • [クレデンシャル（Credentials）]：ユーザ名および第 2 ユーザ名はキャッシュされません。

  • [サムプリント（Thumbprints）]：クライアントおよびサーバ証明書のサムプリントはキャッシュされません。

  • [クレデンシャルとサムプリント（CredentialsAndThumbprints）]：証明書のサムプリントおよびユーザ名はキャッシュされません。

  • [すべて（All）]：自動プリファレンスはいずれもキャッシュされません。

  • [false]：すべてのプリファレンスがディスクに書き込まれます（デフォルト）。

• PEM ファイル証明書ストアの除外（Exclude Pem File Cert Store）（Linux および Mac）
 <ExcludePemFileCertStore>

  サーバ証明書の検証とクライアント証明書の検索にクライアントが PEM ファイル証明書ストアを使用できないようにします。

  FIPS 対応の OpenSSL を使用するストアには、クライアント証明書認証用の証明書の取得場所に関する情報があります。PEM ファイル証明書ストアを許可することで、リモート ユーザは FIPS 準拠の証明書ストアを使用することになります。

• Mac のネイティブ証明書ストアの除外（Exclude Mac Native Cert Store）（Mac のみ）
 <ExcludeMacNativeCertStore>

  サーバ証明書の検証とクライアント証明書の検索にクライアントが Mac ネイティブ（キーチェーン）証明書ストアを使用できないようにします。

• Firefox の NSS 証明書ストアの除外（Exclude Firefox NSS Cert Store）（Linux および Mac）
<ExcludeFirefoxNSSCertStore>

  サーバ証明書の検証とクライアント証明書の検索にクライアントが Firefox NSS 証明書ストアを使用できないようにします。

  ストアには、クライアント証明書認証用の証明書の取得場所に関する情報があります。

• 更新ポリシー（Update Policy）<UpdatePolicy>

  クライアントがどのヘッドエンドからソフトウェア更新またはプロファイル更新を取得できるかを制御します。

  • 任意のサーバからのソフトウェア更新を許可（Allow Software Updates From Any Server）<AllowSoftwareUpdatesFromAnyServer>

    不正なサーバ（[サーバ名（Server Name）] リストに記載されていないもの）からの VPN コア モジュールおよびその他のオプション モジュールのソフトウェア更新を許可または禁止します。

  • 任意のサーバからの VPN プロファイル更新を許可（Allow VPN Profile Updates From AnyServer）<AllowVPNProfileUpdatesFromAnyServer>

    不正なサーバ（[サーバ名（Server Name）] リストに記載されていないもの）からの VPN プロファイル更新を許可または禁止します。

  • 任意のサーバからのサービス プロファイル更新を許可（Allow Service Profile Updates From AnyServer）<AllowServiceProfileUpdatesFromAnyServer>

    不正なサーバ（[サーバ名（Server Name）] リストに記載されていないもの）からのその他のサービス モジュール プロファイル更新を許可または禁止します。

  • 任意のサーバからの ISE ポスチャ プロファイル更新を許可（Allow ISE Posture Profile Updates From Any Server）<AllowISEProfileUpdatesFromAnyServer>

    不正なサーバ（[サーバ名（Server Name）] リストに記載されていないもの）からの ISE ポスチャ プロファイル更新を許可または禁止します。

  • 任意のサーバからのコンプライアンス モジュール更新を許可（Allow Compliance Module Updates From Any Server）<AllowComplianceModuleUpdatesFromAnyServer>

    不正なサーバ（[サーバ名（Server Name）] リストに記載されていないもの）からのコンプライアンス モジュール更新を許可または禁止します。

  • サーバ名（Server Name）<ServerName>

    このリストに認証されたサーバを指定します。これらのヘッドエンドには、VPN 接続時にすべての AnyConnect ソフトウェアとプロファイルの完全な更新が許可されます。ServerName には、FQDN、IP アドレス、ドメイン名、またはワイルドカードを含むドメイン名を使用できます。

  関連項目：更新ポリシーの設定

ローカル ポリシー パラメータを変更するには、MST ファイルを作成します。MST パラメータ名は、AnyConnect ローカル ポリシー ファイル（AnyConnectLocalPolicy.xml）の次のパラメータに対応しています。

• LOCAL_POLICY_BYPASS_DOWNLOADER

• LOCAL_POLICY_FIPS_MODE

• LOCAL_POLICY_RESTRICT_PREFERENCE_CACHING

• LOCAL_POLICY_RESTRICT_TUNNEL_PROTOCOLS

• LOCAL_POLICY_RESTRICT_WEB_LAUNCH

• LOCAL_POLICY_STRICT_CERTIFICATE_TRUST

（注）	AnyConnect インストールは、ユーザ コンピュータ上にある既存のローカル ポリシー ファイルを自動的には上書きしません。クライアント インストーラが新しいポリシー ファイルを作成できるようにするには、その前にユーザ コンピュータ上の既存のポリシー ファイルを削除しておく必要があります。

（注）	ローカル ポリシー ファイルへのすべての変更には、システムのリブートが必要になります。