この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco AnyConnect Secure Mobility Client ソフトウェア パッケージには、すべてのオペレーティング システム用のプロファイル エディタが含まれています。AnyConnect クライアント イメージを ASA にロードすると、ASDM はプロファイル エディタをアクティブ化します。ローカルまたはフラッシュからクライアント プロファイルをアップロードできます。
複数の AnyConnect パッケージをロードした場合は、最新の AnyConnect パッケージのクライアント プロファイル エディタがアクティブ化されます。これによりエディタには、旧バージョンのクライアントで使用される機能に加え、ロードされた最新の AnyConnect で使用される機能が表示されます。
(注) |
クライアント プロファイルを作成する前に、まずクライアント イメージをアップロードする必要があります。 |
プロファイルが AnyConnect の一部としてエンドポイント上の管理者定義のエンド ユーザ要件および認証ポリシーに展開され、これにより、エンド ユーザが設定済みのネットワーク プロファイルを使用できるようになります。1 つ以上のプロファイルを作成および設定するには、プロファイル エディタを使用します。AnyConnect には ASDM の一部であるプロファイル エディタが、スタンドアロン Windows プログラムとして組み込まれています。
新しいクライアント プロファイルを ASDM から ASA に追加するには、次の手順を実行します。
ASDM のプロファイル エディタに加えて、Windows のプロファイル エディタのスタンドアロン バージョンを使用できます。クライアントを事前展開する場合は、ソフトウェア管理システムを使用してコンピュータに展開する、VPN サービス用のプロファイルおよびその他のモジュールを、スタンドアロン プロファイル エディタを使用して作成します。
[プログラムの追加と削除(Add or Remove Programs)] を使用して、スタンドアロンの Cisco AnyConnect Profile Editor のインストールを変更したり、VPN やその他のプロファイル エディタをアンインストールしたりできます。
Java:最低でも JRE 1.6 がプロファイル エディタの前提条件ですが、管理者は自分でこれを展開する必要があります。
(注) |
スタンドアロン プロファイル エディタをアンインストールするときに、JRE 1.6 は自動的にアンインストールされません。別途自分でアンインストールする必要があります。 |
サポートされるオペレーティング システム:このアプリケーションは、Windows 7 でテスト済みです。MSI は、Windows 上だけで実行されます。
サポートされるブラウザ:このアプリケーションに含まれているヘルプ ファイルは、Firefox および Internet Explorer でサポートされています。その他のブラウザではテストされていません。
必要なハード ドライブ容量:Cisco AnyConnect プロファイル エディタ アプリケーションは、最大 5 MB のハード ドライブ容量を必要とします。JRE 1.6 は、最大 100 MB のハード ドライブ容量を必要とします。
最初の接続に関するユーザ制御可能なすべての設定をクライアント GUI に表示するには、VPN プロファイルのサーバ リストに ASA を含める必要があります。ASA のアドレスまたは FQDN をホスト エントリとしてプロファイルに追加していない場合、フィルタがセッションに適用されません。たとえば、証明書照合を作成し、証明書が基準と適切に一致した場合でも、プロファイルに ASA をホスト エントリとして追加しなかった場合、この証明書照合は無視されます。
スタンドアロン AnyConnect プロファイル エディタは、AnyConnect の ISO ファイルおよび .pkg ファイルとは別に Windows 実行ファイル(.exe)として配布され、ファイルの命名規則は anyconnect-profileeditor-win-<version>-k9.exe となっています。
セキュリティ上の理由から、スタンドアロン プロファイル エディタ以外でクライアント プロファイル XML ファイルを手動で編集することはできません。スタンドアロン プロファイル エディタ以外で編集されたプロファイル XML ファイルは、ASA によって受け入れられません。
Cisco AnyConnect Secure Mobility Client 機能は、AnyConnect プロファイルで有効になります。これらのプロファイルには、コア クライアント VPN 機能とオプション クライアント モジュールであるネットワーク アクセス マネージャ、ISE ポスチャ、カスタマー エクスペリエンス フィードバック、Web セキュリティの構成設定が含まれています。ASA は、AnyConnect のインストールと更新中にプロファイルを展開します。ユーザがプロファイルの管理や修正を行うことはできません。
ASA または ISE は、すべての AnyConnect ユーザにグローバルにプロファイルを展開するか、ユーザのグループ ポリシーに基づいて展開するように設定できます。通常、ユーザは、インストールされている AnyConnect モジュールごとに 1 つのプロファイル ファイルを持ちます。1 人のユーザに複数の VPN プロファイルを割り当てる必要があることがあります。複数の場所で作業するユーザは、複数の VPN プロファイルを必要とすることがあります。
また一部のプロファイル設定は、ユーザのコンピュータ上のユーザ プリファレンス ファイルまたはグローバル プリファレンス ファイルにローカルに保存されます。ユーザ ファイルには、AnyConnect クライアントが、クライアント GUI の [プリファレンス(Preferences)] タブにユーザ制御可能設定を表示するうえで必要となる情報、およびユーザ、グループ、ホストなど、直近の接続に関する情報が保存されます。
グローバル ファイルには、ユーザ制御可能設定に関する情報が保存されます。これにより、ログイン前でも(ユーザがいなくても)それらの設定を適用できます。たとえば、クライアントでは Start Before Logon や起動時自動接続が有効になっているかどうかをログイン前に認識する必要があります。
[Start Before Logon の使用(Use Start Before Logon)] (Windows のみ):Windows のログイン ダイアログボックスが表示される前に AnyConnect を開始することにより、ユーザを Windows へのログイン前に VPN 接続を介して企業インフラへ強制的に接続させます。認証後、ログイン ダイアログボックスが表示され、ユーザは通常どおりログインします。
[事前接続メッセージの表示(Show Pre-connect Message)]: 管理者は、ユーザが初めて接続を試行する前にワンタイム メッセージを表示させることができます。たとえば、メッセージを表示して、ユーザにスマート カードをリーダに挿入するよう促すことができます。このメッセージは、AnyConnect メッセージ カタログに表示され、ローカライズされています。
(注) |
マシン証明書を使用して Windows に接続するには、このオプションが有効にされている事前展開されたプロファイルが必要です。接続する前に Windows デバイスにこのプロファイルが存在しない場合、証明書はマシン ストアにアクセスできず、接続は失敗します。 |
[起動時に自動接続(Auto Connect on Start)]:AnyConnect の起動時に、プロファイルで指定されたセキュア ゲートウェイまたはクライアントが最後に接続していたゲートウェイとの VPN 接続が自動的に確立されます。
[接続時に最小化(Minimize On Connect)]:VPN 接続の確立後、AnyConnect GUI が最小化されます。
[ローカル LAN アドレス(Local LAN Access)]: ASA への VPN セッション中にリモート コンピュータへ接続したローカル LAN に対してユーザが無制限にアクセスできるようになります。
[キャプティブポータル検出を無効にする(Disable Captive Portal Detection)]:AnyConnect クライアントが受信する証明書の共通名が、ASA 名と一致しない場合、キャプティブ ポータルが検出されます。この動作により、ユーザによる認証が促されます。自己署名証明書を使用する一部のユーザは、HTTP キャプティブ ポータルで保護されている企業リソースへの接続を有効にすることを望むことがあるため、[キャプティブポータル検出を無効にする(Disable Captive Portal Detection)] チェックボックスをオンにする必要があります。管理者は、このオプションをユーザが設定できるようにするかどうかを判断し、判断に基づいてチェックボックスをオンにすることもできます。ユーザが設定できるようにした場合は、AnyConnect Secure Mobility Client UI の [プリファレンス(Preferences)] タブにチェックボックスが表示されます。
[自動再接続(Auto Reconnect)]: 接続が解除された場合、AnyConnect により VPN 接続の再確立が試行されます(デフォルトで有効)。[自動再接続(Auto Reconnect)] を有効にすると、接続解除の原因にかかわらず、再接続は試行されません。
[自動更新(Auto Update)]: オンにすると、クライアントの自動アップデートが有効になります。 [ユーザ制御可(User Controllable)] チェックボックスをオンにすると、クライアントのこの設定を無効にできます。
[RSA セキュア ID 連携(RSA Secure ID Integration)](Windows のみ):ユーザが RSA とどのように対話するかを制御します。デフォルトでは、AnyConnect が RSA の適切な対話方法を決定します(自動設定:ソフトウェア トークンとハードウェア トークンの両方を受け入れます)。
[Windows ログインの強制(Windows Logon Enforcement)]: Remote Desktop Protocol(RDP)セッションから VPN セッションを確立することを許可します。スプリット トンネリングはグループ ポリシーで設定する必要があります。VPN 接続を確立したユーザがログオフすると、その VPN 接続は AnyConnect により解除されます。接続がリモート ユーザによって確立されていた場合、そのリモート ユーザがログオフすると、VPN 接続は終了します。
[シングル ローカル ログイン(Single Local Logon)](デフォルト):VPN 接続全体で、ログインできるローカル ユーザは 1 人だけです。また、クライアント PC に複数のリモート ユーザがログインしている場合でも、ローカル ユーザが VPN 接続を確立することはできます。この設定は、VPN 接続を介した企業ネットワークからのリモート ユーザ ログインに対しては影響を与えません。
(注) |
VPN 接続が排他的トンネリング用に設定されている場合、VPN 接続用のクライアント PC のルーティング テーブルが変更されるため、リモート ログインは接続解除されます。VPN 接続がスプリット トンネリング用に設定されている場合、リモート ログインが接続解除されるかどうかは、VPN 接続のルーティング設定によって異なります。 |
[シングル ログイン(Single Logon)]:VPN 接続全体で、ログインできるユーザは 1 人だけです。VPN 接続の確立時に、ローカルまたはリモートで複数のユーザがログインしている場合、接続は許可されません。VPN 接続中にローカルまたはリモートで第 2 のユーザがログインすると、VPN 接続が終了します。VPN 接続中の追加のログインは許可されません。そのため、VPN 接続によるリモート ログインは行えません。
(注) |
複数同時ログオンはサポートされません。 |
[Windows VPN 確立(Windows VPN Establishment)]: クライアント PC にリモート ログインしたユーザが VPN 接続を確立した場合の AnyConnect の動作を決定します。設定可能な値は次のとおりです。
[ローカルユーザのみ(Local Users Only)](デフォルト):リモート ログインしたユーザは、VPN 接続を確立できません。これは、以前のバージョンの AnyConnect と同じ機能です。
[リモートユーザを許可(Allow Remote Users)]:リモート ユーザは VPN 接続を確立できます。ただし、設定された VPN 接続ルーティングによってリモート ユーザが接続解除された場合は、リモート ユーザがクライアント PC に再アクセスできるように、VPN 接続が終了します。リモート ユーザが VPN 接続を終了せずにリモート ログイン セッションを接続解除するには、VPN を確立した後、90 秒間待つ必要があります。
[サポートされている IP プロトコル(IP Protocol Supported)]: IPv4 アドレスおよび IPv6 アドレスの両方で AnyConnect を使用して ASA に接続しようとしているクライアントの場合、AnyConnect は接続の開始に際してどの IP プロトコルを使用するか決定する必要があります。デフォルトで、AnyConnect は最初に IPv4 を使用して接続しようとします。接続が成功しない場合、IPv6 を使用して接続を開始しようとします。
このフィールドでは、最初の IP プロトコルとフォールバックの順序を設定します。
[自動証明書選択の無効化(Disable Automatic Certificate Selection)](Windows のみ): クライアントによる自動証明書選択を無効にし、ユーザに対して認証証明書を選択するためのプロンプトを表示します。
関連項目:証明書選択の設定
[プロキシ設定(Proxy Settings)]: プロキシ サーバへのクライアント アクセスを制御するために AnyConnect プロファイルにポリシーを指定します。これは、プロキシ設定によってユーザが社内ネットワークの外からトンネルを確立できない場合に使用します。トンネルの確立後にグループ ポリシーに次のプロキシ設定を設定できます。
[ネイティブ(Native)]:クライアントは、AnyConnect によって以前に設定されたプロキシ設定とブラウザに設定されたプロキシ設定の両方を使用します。グローバル ユーザ プリファレンスに設定されたプロキシ設定は、ブラウザのプロキシ設定に追加されます。
[プロキシを無視(IgnoreProxy)]:ユーザのコンピュータのブラウザのプロキシ設定を無視します。ASA に到達可能なプロキシには影響しません。
[上書き(Override)]:パブリック プロキシ サーバのアドレスを手動で設定します。パブリック プロキシは、Linux でサポートされている唯一のプロキシです。Windows も、パブリック プロキシをサポートしています。[ユーザ制御可(User Controllable)] になるようにパブリック プロキシ アドレスを設定できます。
[ローカルプロキシ接続を許可(Allow Local Proxy Connections)]:デフォルトでは、Windows ユーザは AnyConnect でローカル PC 上のトランスペアレントまたは非トランスペアレントのプロキシ サービスを介して VPN セッションを確立するようになっています。ローカル プロキシ接続のサポートを無効にする場合は、このパラメータをオフにします。トランスペアレント プロキシ サービスを提供する要素の例として、一部のワイヤレス データ カードによって提供されるアクセラレーション ソフトウェアや、一部のアンチウイルス ソフトウェアに備えられたネットワーク コンポーネントなどがあります。
[最適なゲートウェイの選択を有効化(Enable Optimal Gateway Selection)](OGS)、(IPv4 クライアントのみ): AnyConnect では、ラウンド トリップ時間(RTT)に基づいて接続または再接続に最適なセキュア ゲートウェイが特定され、それが選択されます。これにより、ユーザが介入することなくインターネット トラフィックの遅延を最小限に抑えることができます。OGS はセキュリティ機能ではなく、セキュア ゲートウェイ クラスタ間またはクラスタ内部でのロード バランシングは実行されません。OGS のアクティブ化/非アクティブ化を制御し、エンド ユーザがこの機能そのものを制御できるようにするかどうかを指定します。クライアント GUI の [接続(Connection)] タブにある [接続先(Connect To)] ドロップダウン リストには [自動選択(Automatic Selection)] が表示されます。
(注) |
[一時停止時間しきい値(時間)(Suspension Time Threshold (hours))]: 新しいゲートウェイ選択を呼び出す前に VPN を一時停止しておく必要がある最小時間を(時間単位で)入力します。次の設定可能パラメータ(パフォーマンス向上しきい値(Performance Improvement Threshold))と組み合わせてこの値を最適化することで、最適なゲートウェイの選択と、クレデンシャルの再入力を強制する回数の削減の間の適切なバランスを見つけることができます。
[パフォーマンス向上しきい値(%)(Performance Improvement Threshold (%))]: システムの再開後にクライアントが別のセキュア ゲートウェイに接続する際の基準となるパフォーマンス向上率。特定のネットワークに対してこれらの値を調整すれば、最適なゲートウェイを選択することと、クレデンシャルを強制的に入力させる回数を減らすこととの間で適切なバランスを取ることができます。デフォルトは 20% です。
[自動 VPN ポリシー(Automatic VPN Policy)](Windows および Mac のみ): Trusted Network Detection を有効にして、AnyConnect が信頼されたネットワーク ポリシーと信頼されていないネットワーク ポリシーに従って VPN 接続をいつ開始または停止するかを自動的に管理できるようにします。無効の場合、VPN 接続の開始および停止は手動でのみ行うことができます。[自動 VPN ポリシー(Automatic VPN Policy)] を設定しても、ユーザは VPN 接続を手動で制御できます。
[信頼されたネットワーク ポリシー(Trusted Network Policy)]: ユーザが社内ネットワーク(信頼ネットワーク)に存在する場合に AnyConnect が VPN 接続で自動的に実行するアクション。
[何もしない(Do Nothing)]:信頼ネットワークでは動作はありません。[信頼されたネットワークポリシー(Trusted Network Policy)] と [信頼されていないネットワークポリシー(Untrusted Network Policy)] の両方を [何もしない(Do Nothing)] に設定すると、Trusted Network Detection は無効となります。
[一時停止(Pause)]:ユーザが信頼ネットワークの外で VPN セッションを確立した後に、信頼済みとして設定されたネットワークに入った場合、AnyConnect は VPN セッションを接続解除するのではなく、一時停止します。ユーザが再び信頼ネットワークの外に出ると、そのセッションは AnyConnect により再開されます。この機能を使用すると、信頼ネットワークの外へ移動した後に新しい VPN セッションを確立する必要がなくなるため、ユーザにとっては有用です。
[信頼されていないネットワークポリシー(Untrusted Network Policy)]: ユーザが社内ネットワークの外(非信頼ネットワーク)に存在する場合、AnyConnect により VPN 接続が自動的に開始されます。この機能を使用すると、ユーザが信頼ネットワークの外にいるときに VPN 接続を開始することによって、セキュリティ意識を高めることができます。
[信頼された DNS ドメイン(Trusted DNS Domains)]:クライアントが信頼ネットワーク内に存在する場合にネットワーク インターフェイスに割り当てることができる DNS サフィックス(カンマ区切りの文字列)。*.cisco.com などがこれに該当します。DNS サフィックスでは、ワイルドカード(*)がサポートされます。
[信頼された DNS サーバ(Trusted DNS Servers)]:クライアントが信頼ネットワーク内に存在する場合にネットワーク インターフェイスに割り当てることができる DNS サーバ アドレス(カンマ区切りの文字列)。 たとえば、192.168.1.2, 2001:DB8::1 です。DNS サーバ アドレスでは、ワイルドカード(*)がサポートされます。
(注) |
このパラメータを設定できるのは、信頼された DNS ドメインまたは信頼された DNS サーバを 1 つ以上を定義する場合だけです。信頼された DNS ドメインまたは信頼された DNS サーバが定義されていない場合、このフィールドは無効になります。 |
[常時接続(Always On)]:対応している Windows または Mac OS X オペレーティング システムのいずれかを実行しているコンピュータにユーザがログインした場合、AnyConnect が VPN へ自動的に接続するかどうかを判断します。コンピュータが信頼ネットワーク内に存在しない場合にはインターネット リソースへのアクセスを制限することによってセキュリティ上の脅威からコンピュータを保護するという企業ポリシーを適用できます。グループ ポリシーおよびダイナミック アクセス ポリシーに常時接続 VPN パラメータを設定し、ポリシーの割り当てに使用される一致基準に基づいて例外を指定することにより、この設定を上書きすることもできます。AnyConnect ポリシーでは常時接続 VPN が有効になっているが、ダイナミック アクセス ポリシーまたはグループ ポリシーでは無効になっている場合、各新規セッションの確立に関するダイナミック アクセス ポリシーまたはグループ ポリシーが基準と一致すれば、クライアントでは現在以降の VPN セッションに対して無効の設定が保持されます。有効にした後に、追加のパラメータを設定できます。
関連項目:常時接続を使用した VPN 接続の要求
[VPN の接続解除を許可(Allow VPN Disconnect)]:AnyConnect で常時接続 VPN セッション用の [接続解除(Disconnect)] ボタンが表示されるようにするかどうかを指定します。VPN セッションの中断後に現在の VPN セッションまたは再接続で問題が発生し、パフォーマンスが低下したなどの理由により、常時接続 VPN セッションのユーザは [接続解除(Disconnect)] をクリックして代替のセキュア ゲートウェイを選択できます。
[接続解除(Disconnect)] ボタンを使用すると、すべてのインターフェイスがロックされます。これにより、データの漏えいを防ぐことができる以外に、VPN セッションの確立には必要のないインターネット アクセスからコンピュータを保護することができます。上述した理由により、[接続解除(Disconnect)] ボタンを無効にすると、VPN アクセスが妨害または阻止されることがあります。
[接続エラー ポリシー(Connect Failure Policy)]:AnyConnect が VPN セッションを確立できない場合(ASA が到達不能の場合など)に、コンピュータがインターネットにアクセスできるようにするかどうかを指定します。このパラメータは、[常時接続] および [VPN の接続解除を許可(Allow VPN Disconnect)] が有効の場合にだけ適用されます。常時接続を選択した場合、フェールオープン ポリシーはネットワーク接続を許可し、フェールクローズ ポリシーはネットワーク接続を無効にします。
[クローズド(Closed)]:VPN が到達不能の場合にネットワーク アクセスを制限します。この設定の目的は、エンドポイントを保護するプライベート ネットワーク内のリソースが使用できない場合に、企業の資産をネットワークに対する脅威から保護することにあります。
関連項目:キャプティブ ポータルについて
[接続エラー ポリシー(Connect Failure Policy)] が [クローズド(Closed)] である場合、次の設定を行うことができます。
[キャプティブポータルの修復を許可(Allow Captive Portal Remediation)]:クライアントによりキャプティブ ポータル(ホットスポット)が検出された場合、クローズ接続障害ポリシーにより適用されるネットワーク アクセスの制限が AnyConnect により解除されます。ホテルや空港では、ユーザがブラウザを開いてインターネット アクセスの許可に必要な条件を満たすことができるようにするため、キャプティブ ポータルを使用するのが一般的です。デフォルトの場合、このパラメータはオフになっており、セキュリティは最高度に設定されます。ただし、クライアントから VPN へ接続する必要があるにもかかわらず、キャプティブ ポータルによりそれが制限されている場合は、このパラメータをオンにする必要があります。
[修復タイムアウト(Remediation Timeout)]:AnyConnect によりネットワーク アクセスの制限が解除されるまでの時間(分)。このパラメータは、[キャプティブポータルの修復を許可(Allow Captive Portal Remediation)] パラメータがオンになっており、かつクライアントによりキャプティブ ポータルが検出された場合に適用されます。キャプティブ ポータルの通常の要求を満たすことができるだけの十分な時間を指定します(5 分など)。
[最新の VPN ローカル リソース ルールを適用(Apply Last VPN Local Resource Rules)]:VPN が到達不能の場合、クライアントでは ASA から受信した最後のクライアント ファイアウォールが適用されます。この中には、ローカル LAN 上のリソースへのアクセスを許可する ACL が含まれている場合もあります。
関連項目:接続障害ポリシーの設定
[手動でのホスト入力を許可する(Allow Manual Host Input)]:ユーザが、AnyConnect UI のドロップダウン ボックスにリストされていない VPN アドレスを入力できるようにします。このチェックボックスをオフにすると、VPN 接続の選択項目は、ドロップダウン ボックスに表示されているものに限定され、ユーザによる新しい VPN アドレスの入力が制限されます。
[PPP 除外(PPP Exclusion)]:PPP 接続上の VPN トンネルの場合、除外ルートを決定するかどうかとその方法を指定します。クライアントでは、セキュア ゲートウェイより先を宛先としてトンネリングされたトラフィックから、このセキュア ゲートウェイを宛先とするトラフィックを除外できます。除外ルートは、セキュアでないルートとして AnyConnect GUI の [ルートの詳細(Route Details)] 画面に表示されます。この機能をユーザ設定可能にした場合、ユーザは PPP 除外設定の読み取りや変更を行うことができます。
[自動(Automatic)]:PPP 除外を有効にします。AnyConnect は、PPP サーバの IP アドレスを自動的に使用します。この値は、自動検出による IP アドレスの取得に失敗した場合にのみ変更するよう、ユーザに指示してください。
[上書き(Override)]:同様に PPP 除外を有効にします。自動検出による PPP サーバの IP アドレスの取得に失敗し、PPP 除外をユーザ制御可能として設定した場合に選択します。
[PPP 除外(PPP Exclusion)] を有効にした場合は、次も設定します。
関連項目:ユーザに対する PPP 除外上書きの指示
[スクリプトの有効化(Enable Scripting)]:OnConnect スクリプトおよび OnDisconnect スクリプトがセキュリティ アプライアンスのフラッシュ メモリに存在する場合はそれらを起動します。
[次のイベント時にスクリプトを終了する(Terminate Script On Next Event)]:スクリプト処理可能な別のイベントへの遷移が発生した場合に、実行中のスクリプト プロセスを終了します。たとえば、VPN セッションが終了すると、AnyConnect では実行中の OnConnect スクリプトが終了し、クライアントで新しい VPN セッションが開始すると、実行中の OnDisconnect スクリプトが終了します。Microsoft Windows 上のクライアントでは OnConnect スクリプトまたは OnDisconnect スクリプトによって起動した任意のスクリプト、およびその従属スクリプトもすべて終了します。Mac OS および Linux 上のクライアントでは、OnConnect スクリプトまたは OnDisconnect スクリプトのみ終了し、子スクリプトは終了しません。
[Post SBL OnConnect スクリプトを有効にする(Enable Post SBL On Connect Script)]:SBL で VPN セッションが確立された場合に OnConnect スクリプトが(存在すれば)起動されるようにします(VPN エンドポイントで Microsoft Windows を実行している場合にのみサポート)。
[ログオフ時に VPN を保持(Retain VPN On Logoff)]:ユーザが Windows OS からログオフした場合に、VPN セッションを維持するかどうかを指定します。
[認証タイムアウト値(Authentication Timeout Values)]:デフォルトでは、AnyConnect は接続試行を終了するまでに、セキュア ゲートウェイからの認証を最大 12 秒間待ちます。その時間が経過すると、認証がタイムアウトになったことを示すメッセージが表示されます。0 ~ 120 の範囲で秒数を入力します。
ユーザが選択したサーバで障害が発生した場合にクライアントが使用するバックアップ サーバのリストを設定できます。ユーザが選択したサーバで障害が発生した場合、クライアントはリストの先頭にある最適なサーバのバックアップに接続しようとします。それが失敗した場合、クライアントは選択結果の順序に従って [最適なゲートウェイの選択(Optimal Gateway Selection)] リストの残りの各サーバを試します。
[ホスト アドレス(Host Address)]:バックアップ サーバ リストに表示する IP アドレスまたは完全修飾ドメイン名(FQDN)を指定します。
このペインでは、クライアント証明書の自動選択の詳細設定に使用できるさまざまな属性の定義を有効にします。
仕様に一致する任意の条件がプロファイルで作成される場合、プロファイルに明記されない限り、上記一致ルールのいずれも適用されません。
[キーの使用状況(Key Usage)]:受け入れ可能なクライアント証明書を選択する場合は、次のような証明書キー属性を使用できます。
[拡張キーの使用状況(Extended Key Usage)]:次の拡張キーの使用状況設定を使用します。OID は丸カッコ内に記載してあります。
[カスタム拡張照合キー(最大 10)(Custom Extended Match Key (Max 10))]:カスタム拡張照合キー(もしあれば)を指定します(最大 10 個)。証明書は入力したすべての指定キーに一致する必要があります。OID 形式でキーを入力します(1.3.6.1.5.5.7.3.11 など)。
[識別名(最大 10)(Distinguished Name (Max 10))]:受け入れ可能なクライアント証明書を選択する際に完全一致基準として使用する識別名(DN)を指定します。
[パターン(Pattern)]:照合する文字列を指定します。 照合するパターンには、目的の文字列部分のみ含まれている必要があります。パターン照合構文や正規表現構文を入力する必要はありません。入力した場合、その構文は検索対象の文字列の一部と見なされます。
abc.cisco.com という文字列を例とした場合、cisco.com で照合するためには、入力するパターンを cisco.com とする必要があります。
[ワイルドカード(Wildcard)]:[有効(Enabled)] を指定するとワイルドカード パターン照合が含まれます。ワイルドカードが有効であれば、パターンは文字列内のどの場所でも使用できます。
証明書登録により、AnyConnect は Simple Certificate Enrollment Protocol(SCEP)を使用してクライアント認証のために証明書をプロビジョニングし、更新できます。
[証明書失効しきい値(Certificate Expiration Threshold)]:AnyConnect が、証明書の有効期限の何日前にユーザに対して証明書の失効が近づいていることを警告する日数(RADIUS パスワード管理ではサポートされません)。デフォルトは 0(警告は表示しない)です。値の範囲は 0 ~ 180 日です。
[証明書インポート ストア(Certificate Import Store)]:どの Windows 証明書ストアに登録証明書を保存するかを選択します。
[自動 SECP ホスト(Automatic SCEP Host)]:レガシー SCEP のために、証明書取得が設定されている ASA のホスト名および接続プロファイル(トンネル グループ)を指定します。ASA の完全修飾ドメイン名(FQDN)または接続プロファイル名を入力してください(ホスト名 asa.cisco.com、接続プロファイル名 scep_eng など)。
[CA URL]:レガシー SCEP の場合、SCEP CA サーバを特定します。CA サーバの FQDN または IP アドレスを入力してください。たとえば、http://ca01.cisco.com など。
[チャレンジ PW のプロンプト(Prompt For Challenge PW)]:有効にすると、証明書をユーザが手動で要求できるようになります。ユーザが [証明書を取得(Get Certificate)] をクリックすると、クライアントではユーザに対してユーザ名および 1 回限定利用のパスワードに関するプロンプトが表示されます。
[サムプリント(Thumbprint)]:CA の証明書サムプリント。SHA1 ハッシュまたは MD5 ハッシュを使用します。
(注) |
CA URL およびサムプリントを用意することができるのは CA サーバ管理者です。サムプリントは、発行したサーバ証明書の「fingerprint」属性フィールドや「thumbprint」属性フィールドではなく、サーバから直接取得する必要があります。 |
[証明書取得ボタンを表示(Display Get Certificate Button)]:次の条件下で AnyConnect GUI が [証明書を取得(Get Certificate)] ボタンを表示できるようにします。
AnyConnect のバージョン 3.0 以降では、Windows Mobile デバイスをサポートしません。Windows Mobile デバイスに関する情報は、『Cisco AnyConnect Secure Mobility Client 管理者ガイド リリース 2.5』を参照してください。
クライアント GUI に表示されるサーバ リストの設定を行うことができます。ユーザは、VPN 接続を確立する際、このリストでサーバを選択することができます。
[サーバ リスト(Server List)] テーブルの列は次のとおりです。
[ホスト名(Hostname)]:ホスト、IP アドレス、または完全修飾ドメイン名(FQDN)を参照する際に使用するエイリアス。
[ユーザ グループ(User Group)]:[ホスト アドレス(Host Address)] と組み合わせて使用することによりグループ ベースの URL が構成されます。
[自動 SCEP ホスト(Automatic SCEP Host)]:クライアント認証に使用する証明書のプロビジョニング用および更新用として指定された Simple Certificate Enrollment Protocol。
[追加/編集(Add/Edit)]:上記のサーバのパラメータを指定できる [サーバ リスト エントリ(Server List Entry)] ダイアログを起動します。
[ホスト表示名(Host Display Name)]:ホスト、IP アドレス、または完全修飾ドメイン名(FQDN)を参照する際に使用するエイリアスを入力します。
[ホスト アドレス(Host Address)] フィールドに IP アドレスまたは FQDN を指定すると、[ホスト名(Host Name)] フィールドのエントリが AnyConnect Client トレイ フライアウト内の接続ドロップダウン リストに表示されるサーバのラベルになります。
[ホスト名(Hostname)] フィールドで FQDN のみを指定し、[ホスト アドレス(Host Address)] フィールドでは IP アドレスを指定しない場合、[ホスト名(Hostname)] フィールドの FQDN が DNS サーバによって解決されます。
IP アドレスを入力する場合、セキュア ゲートウェイのパブリック IPv4 アドレスまたはグローバル IPv6 アドレスを使用します。リンクローカル セキュア ゲートウェイ アドレスの使用はサポートしていません。
[ユーザ グループ(User Group)]:ユーザ グループを指定します。
このユーザ グループとホスト アドレスを組み合わせてグループ ベースの URL が構成されます。プライマリ プロトコルを IPsec として指定した場合、ユーザ グループは接続プロファイル(トンネル グループ)の正確な名前である必要があります。SSL の場合、ユーザ グループは接続プロファイルの group-url または group-alias です。
[モバイル専用追加設定(Additional mobile-only settings)]:Apple iOS および Android モバイル デバイスを設定する場合に選択します。
ユーザが選択したサーバで障害が発生した場合にクライアントが使用するバックアップ サーバのリストを設定できます。サーバで障害が発生した場合、クライアントではまずリストの先頭にあるサーバに対して接続が試行され、必要に応じてリストを下方向へ移動します。
このサーバ リスト エントリのホストがセキュリティ アプライアンスのロード バランシング クラスタであり、かつ常時接続機能が有効になっている場合は、このリストでクラスタのバックアップ デバイスを指定します。指定しなかった場合、ロード バランシング クラスタ内にあるバックアップ デバイスへのアクセスは常時接続機能によりブロックされます。
[プライマリ プロトコル(Primary Protocol)]:このサーバも接続するプロトコル(SSL または IKEv2 を使用した IPsec)を指定します。デフォルトは SSL です。
(注) |
このサーバが ASA である場合、認証方式を独自の AnyConnect EAP から標準ベースの方式に変更すると、ASA でセッション タイムアウト、アイドル タイムアウト、接続解除タイムアウト、スプリット トンネリング、スプリット DNS、MSIE プロキシ設定、およびその他の機能を設定できなくなります。 |
[IKE ネゴシエーション中の認証方式(Auth Method During IKE Negotiation)]:標準ベースの認証方式の 1 つを選択します。
[自動 SCEP ホスト(Automatic SCEP Host)]:このホストは、レガシー SCEP に使用されます。
[CA URL]:SCEP CA サーバの URL を指定します。FQDN または IP アドレスを入力します。たとえば、http://ca01.cisco.com など。
[チャレンジ PW のプロンプト(Prompt For Challenge PW)]:有効にすると、証明書をユーザが手動で要求できるようになります。 ユーザが [証明書を取得(Get Certificate)] をクリックすると、クライアントではユーザに対してユーザ名および 1 回限定利用のパスワードに関するプロンプトが表示されます。
[CA サムプリント(CA Thumbprint)]:CA の証明書サムプリント。SHA1 ハッシュまたは MD5 ハッシュを使用します。
(注) |
CA URL およびサムプリントを用意することができるのは CA サーバ管理者です。サムプリントは、発行元の証明書の「fingerprint」属性フィールドや「thumbprint」属性フィールドではなく、サーバから直接取得する必要があります。 |
AnyConnectLocalPolicy.xml は、セキュリティ設定を含む、クライアント上の XML ファイルです。このファイルは、ASA によって展開されません。手動でインストールするか、社内のソフトウェア展開システムを使用してユーザ コンピュータに展開する必要があります。ユーザのシステムで既存のローカル ポリシー ファイルに変更を加えた場合は、そのシステムをリブートする必要があります。
次のパラメータは、VPN ローカル ポリシー エディタおよび AnyConnectLocalPolicy.xml ファイル内の要素です。XML 要素は、山カッコで囲んで表示しています。
(注) |
ファイルを手動で編集し、ポリシー パラメータを省略した場合、この機能にはデフォルトの動作が適用されます。 |
このファイルのすべてのパラメータを解釈できる AnyConnect クライアントの最小バージョンを指定します。このバージョンよりも古いバージョンの AnyConnect を実行しているクライアントがファイルを読み込むと、イベント ログに警告が記録されます。
クライアントの FIPS モードを有効にします。この設定は、FIPS 標準で承認されているアルゴリズムおよびプロトコルだけを使用するようにクライアントに強制します。
ダウンローダのバイパス(Bypass Downloader)<BypassDownloader>
オンにすると、ダイナミック コンテンツのローカル バージョンの存在を検出し、アップデートする VPNDownloader.exe モジュールの起動を無効にします。クライアントは、変換、カスタマイズ、オプション モジュール、コア ソフトウェア更新など、ASA のダイナミック コンテンツをチェックしません。
[ダウンローダのバイパス(Bypass Downloader)] をオンにすると、ASA へのクライアント接続時に、次の 2 つの事態のいずれかが発生します。
ASA 上の VPN クライアント プロファイルがクライアント上のものと異なる場合、クライアントは接続の試行を中断します。
ASA に VPN クライアント プロファイルが存在しない場合でもクライアントは VPN 接続を行いますが、クライアントにハードコードされた VPN クライアント プロファイル設定を使用します。
CLRチェックの有効化(Enable CRL Check)<EnableCRLCheck>
この機能は Windows デスクトップでのみ実装されます。SSL 接続と IPsec VPN 接続の両方で、証明書失効リスト(CRL)チェックを実行するオプションがあります。この設定を有効にすると、AnyConnect はチェーン内のすべての証明書を対象とした最新の CRL を取得します。AnyConnect は次に、当該証明書がこれらの信頼できなくなった失効証明書に含まれているかどうかを確認します。認証局(CA)によって失効された証明書であることが判明すると、AnyConnect は接続しません。
CRL によって証明書が失効した場合、AnyConnect ローカル ポリシー ファイルで [厳格な証明書トラスト(Strict Certificate Trust)] が無効になっている場合でも、セキュア ゲートウェイへの接続は無条件で失敗します。
到達できない CRL 配布ポイントなどが原因で CRL を取得できない場合、AnyConnect ローカル ポリシー ファイルで [厳格な証明書トラスト(Strict Certificate Trust)] が有効になっていると、セキュア ゲートウェイへの接続は無条件で失敗します。[厳格な証明書トラスト(Strict Certificate Trust)] が無効な場合は、ユーザに対しエラーを無視するように求められることがあります。
(注) |
AnyConnect は、[常時接続(Always On)] が有効な場合は CRL チェックを実行できません。CRL 配布ポイントがパブリックに到達不能な場合、AnyConnect でサービスの中断が発生することがあります。 |
Web起動の制限(Restrict Web Launch)<RestrictWebLaunch>
ユーザは、FIPS 準拠のブラウザを使用して、WebLaunch を開始できません。これを行うためには、AnyConnect トンネルを開始するために使用されるセキュリティ Cookie をクライアントが取得できないようにします。クライアントからユーザに情報メッセージが表示されます。
厳格な証明書トラスト(Strict Certificate Trust)<StrictCertificateTrust>
選択すると、リモート セキュリティ ゲートウェイを認証するときに、AnyConnect は確認できない証明書を許可しません。ユーザにこれらの証明書を受け入れるように求める代わりに、クライアントは自己署名証明書を使用したセキュリティ ゲートウェイの接続に失敗し、「Local policy prohibits the acceptance of untrusted server certificates.A connection will not be established.」を表示します。オフにすると、クライアントはユーザに証明書を受け入れるように求めます。これはデフォルトの動作です。
プリファレンス キャッシングの制限(Restrict Preference Caching)<RestrictPreferenceCaching>
AnyConnect は機密情報をディスクにキャッシュしないように設計されています。このパラメータを有効にすると、AnyConnect プリファレンスに保存されているすべての種類のユーザ情報に、このポリシーが拡張されます。
PEM ファイル証明書ストアの除外(Exclude Pem File Cert Store)(Linux および Mac) <ExcludePemFileCertStore>
サーバ証明書の検証とクライアント証明書の検索にクライアントが PEM ファイル証明書ストアを使用できないようにします。
FIPS 対応の OpenSSL を使用するストアには、クライアント証明書認証用の証明書の取得場所に関する情報があります。PEM ファイル証明書ストアを許可することで、リモート ユーザは FIPS 準拠の証明書ストアを使用することになります。
Mac のネイティブ証明書ストアの除外(Exclude Mac Native Cert Store)(Mac のみ) <ExcludeMacNativeCertStore>
サーバ証明書の検証とクライアント証明書の検索にクライアントが Mac ネイティブ(キーチェーン)証明書ストアを使用できないようにします。
Firefox の NSS 証明書ストアの除外(Exclude Firefox NSS Cert Store)(Linux および Mac) <ExcludeFirefoxNSSCertStore>
サーバ証明書の検証とクライアント証明書の検索にクライアントが Firefox NSS 証明書ストアを使用できないようにします。
更新ポリシー(Update Policy)<UpdatePolicy>
クライアントがどのヘッドエンドからソフトウェア更新またはプロファイル更新を取得できるかを制御します。
任意のサーバからのソフトウェア更新を許可(Allow Software Updates From Any Server)<AllowSoftwareUpdatesFromAnyServer>
不正なサーバ([サーバ名(Server Name)] リストに記載されていないもの)からの VPN コア モジュールおよびその他のオプション モジュールのソフトウェア更新を許可または禁止します。
任意のサーバからの VPN プロファイル更新を許可(Allow VPN Profile Updates From AnyServer)<AllowVPNProfileUpdatesFromAnyServer>
不正なサーバ([サーバ名(Server Name)] リストに記載されていないもの)からの VPN プロファイル更新を許可または禁止します。
任意のサーバからのサービス プロファイル更新を許可(Allow Service Profile Updates From AnyServer)<AllowServiceProfileUpdatesFromAnyServer>
不正なサーバ([サーバ名(Server Name)] リストに記載されていないもの)からのその他のサービス モジュール プロファイル更新を許可または禁止します。
任意のサーバからの ISE ポスチャ プロファイル更新を許可(Allow ISE Posture Profile Updates From Any Server)<AllowISEProfileUpdatesFromAnyServer>
不正なサーバ([サーバ名(Server Name)] リストに記載されていないもの)からの ISE ポスチャ プロファイル更新を許可または禁止します。
任意のサーバからのコンプライアンス モジュール更新を許可(Allow Compliance Module Updates From Any Server)<AllowComplianceModuleUpdatesFromAnyServer>
不正なサーバ([サーバ名(Server Name)] リストに記載されていないもの)からのコンプライアンス モジュール更新を許可または禁止します。
このリストに認証されたサーバを指定します。これらのヘッドエンドには、VPN 接続時にすべての AnyConnect ソフトウェアとプロファイルの完全な更新が許可されます。ServerName には、FQDN、IP アドレス、ドメイン名、またはワイルドカードを含むドメイン名を使用できます。
関連項目:更新ポリシーの設定
設定できる説明および値については、「ローカル ポリシー パラメータと値」を参照してください。
ローカル ポリシー パラメータを変更するには、MST ファイルを作成します。MST パラメータ名は、AnyConnect ローカル ポリシー ファイル(AnyConnectLocalPolicy.xml)の次のパラメータに対応しています。
(注) |
AnyConnect インストールは、ユーザ コンピュータ上にある既存のローカル ポリシー ファイルを自動的には上書きしません。クライアント インストーラが新しいポリシー ファイルを作成できるようにするには、その前にユーザ コンピュータ上の既存のポリシー ファイルを削除しておく必要があります。 |
(注) |
ローカル ポリシー ファイルへのすべての変更には、システムのリブートが必要になります。 |
すべてのオペレーティング システムで、シスコの Enable FIPS ツールを使用して、FIPS が有効な AnyConnect ローカル ポリシー ファイルを作成できます。Enable FIPS ツールはコマンド ライン ツールで、実行するには、Windows では管理者権限が必要です。Linux および Mac では、root ユーザとして実行する必要があります。
Enable FIPS ツールのダウンロード元の詳細については、FIPS クライアント用に受け取ったライセンシング情報を参照してください。
Enable FIPS ツールを実行するには、コンピュータのコマンド ラインから EnableFIPS <arguments> コマンドを入力します。Enable FIPS ツールを使用するときは、次のことに注意してください。
引数を何も指定しなかった場合、ツールによって FIPS が有効にされ、vpnagent サービス(Windows)または vpnagent デーモン(Mac および Linux)がリスタートされます。
次に、Windows コンピュータ上で実行する Enable FIPS ツールのコマンド例を示します。
EnableFIPS rwl=false sct=true bd=true fm=false
次に、Linux または Mac コンピュータ上で実行するコマンド例を示します。
./EnableFIPS rwl=false sct=true bd=true fm=false
次の表に、Enable FIPS ツールで設定できるポリシー設定の例を示します。引数は、AnyConnect ローカル ポリシー ファイルのパラメータに対応します。
rpc=[Credentials | Thumbprints | CredentialsAndThumbprints | All | false] |
|