この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、ネットワーク アクセス マネージャ設定の概要について、ならびにユーザ ポリシーおよびネットワーク プロファイルの追加と設定の手順について説明します。
ネットワーク アクセス マネージャは、ポリシーに従ってセキュアなレイヤ 2 ネットワークを提供するクライアント ソフトウェアです。最適なレイヤ 2 アクセス ネットワークを検出して選択し、有線ネットワークとワイヤレス ネットワークの両方へのアクセスに対してデバイス認証を実行します。ネットワーク アクセス マネージャは、セキュアなアクセスに必要なユーザおよびデバイス アイデンティティならびにネットワーク アクセス プロトコルを管理します。管理者定義のポリシーに違反する接続をエンド ユーザが確立しないように、インテリジェントに動作します。
ネットワーク アクセス マネージャは、単一ホーム(一度に 1 つのネットワーク接続を許可する)になるよう設計されています。また、有線接続がワイヤレス接続によりも優先されます。そのため、有線接続を使用してネットワークに接続した場合、ワイヤレス アダプタは IP アドレスを失い無効になります。
(注) |
ネットワーク アクセス マネージャは Mac OS X または Linux には対応していません。AnyConnect ISE ポスチャでサポートされ、AnyConnect ISE ポスチャが起動する前にインストールされている必要があります。 |
Cisco AnyConnect Secure Mobility Client のネットワーク アクセス マネージャ コンポーネントは、次の主要な機能に対応しています。
ACS および ISE は Suite B には対応していませんが、OpenSSL 1.x 搭載の FreeRADIUS 2.x は対応しています。Microsoft NPS 2008 は Suite B に一部対応しています(NPS の証明書は RSA でなければなりません)。
802.1X/EAP は、Suite B の遷移プロファイルのみをサポートします(RFC 5430 の定義どおり)。TLS 1.2 はサポートされていません。
Elliptic Curve Diffie-Hellman(ECDH)キー交換は Windows 7 でサポートされています。
ネットワーク プロファイルの(PEM エンコードされた)ECDSA CA 証明書は Windows 7 でサポートされています。
Microsoft Windows では複数のユーザが同時にログインできますが、Cisco AnyConnect ネットワーク アクセス マネージャではシングル ユーザにネットワーク認証を制限します。AnyConnect ネットワーク アクセス マネージャは、ログインしているユーザの数に関係なく、デスクトップまたはサーバ当たり 1 人のユーザをアクティブにできます。シングル ユーザ ログインの適用は、いつでもシステムにログインできるユーザは 1 人のみで、管理者は現在ログインしているユーザを強制的にログオフできないことを示しています。
ネットワーク アクセス マネージャ クライアント モジュールが Windows デスクトップにインストールされている場合、デフォルト動作はシングル ユーザ ログインを適用することです。サーバにインストールされている場合、デフォルト動作はシングル ユーザ ログインの適用を緩和することです。いずれの場合も、デフォルトの動作を変更するようにレジストリを変更または追加できます。
Windows ワークステーションまたはサーバで複数のユーザを処理する方法を変更するには、レジストリの EnforceSingleLogon の値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{B12744B8-5BB7-463a-B85E-BB7627E73002}
1 つまたは複数のユーザ ログインを設定するには、EnforceSingleLogon という名前の DWORD を追加し、1 または 0 の値を指定します。
ネットワーク アクセス マネージャは AnyConnect の一部として展開されます。AnyConnect をネットワーク アクセス マネージャやその他のモジュールとともにインストールする方法については、「AnyConnect 展開の概要」を参照してください。
Windows のネットワーク ステータス タスク トレイ アイコンの混同:ネットワーク アクセス マネージャは、Windows のネットワーク管理より優先します。したがって、ネットワーク アクセス マネージャのインストール後、ネットワークに接続するためにネットワーク ステータスのアイコンを使用できません。
推奨アクション:Windows グループ ポリシーの [ネットワーク アイコンを削除する(Remove the networking icon)] を設定することで、タスク トレイから Windows ネットワーク アイコンを削除します。この設定は、トレイ アイコンだけに影響します。ユーザは、コントロール パネルを使用してネイティブのワイヤレス ネットワークを確立できます。
Windows 7 の非表示のネットワークおよびネットワークの選択:ネットワーク アクセス マネージャは、ネットワーク アクセス マネージャのネットワーク スキャン リストで設定されたネットワークだけに接続を試みます。
Windows 7 では、ネットワーク アクセス マネージャは非表示 SSID をプローブします。最初の非表示 SSID が見つかると、検索を中止します。複数の非表示ネットワークが設定されている場合、ネットワーク アクセス マネージャは次のように SSID を選択します。
ネットワークの接続性または長い接続時間の瞬時的な喪失:ネットワーク アクセス マネージャをインストールする前に Windows でネットワークが定義済みである場合、Windows の接続マネージャがそのネットワークに接続を試みる場合があります。
推奨アクション:ネットワークが圏内にある場合、すべての Windows 定義ネットワークに対して [自動的に接続する(Connect Automatically)] をオフにするか、Windows 定義ネットワークをすべて削除します。
オープン
静的 WEP
WPA/WPA2 Personal
非 GPO ネイティブ Wi-Fi ユーザ ネットワーク プロファイルだけが変換されます。
プロファイルの変換中は、WLAN サービスがシステムで実行している必要があります。
変換は、ネットワーク アクセス マネージャ XML コンフィギュレーション ファイルがすでに存在する場合(userConfiguration.xml)は実行されません。
ISE ポスチャが開始する前にネットワーク アクセス マネージャをインストールする必要があります。ISE ポスチャは、ネットワーク アクセス マネージャ プラグインを使用して、ネットワーク変更ベントおよび 802.1x WiFi を検出します。
ネットワーク アクセス マネージャ プロファイルは、ネットワーク アクセス マネージャ プロファイル エディタで設定されます。このエディタは ASDM でスタンドアロン Windows アプリケーションとして使用できます。
[クライアントポリシー(Client Policy)] ウィンドウでは、クライアント ポリシー オプションを設定できます。この項では次のトピックについて説明します。
ユーザ ログインの前または後にネットワーク接続しようとするかどうかを定義できます。
[デフォルト接続タイムアウト(Default Connection Timeout)]:ユーザ作成ネットワークの接続タイムアウトとして使用する秒数。デフォルト値は 40 秒です。
[ユーザ ログインの前(Before User Logon)]:ユーザがログインする前にネットワークに接続します。サポートされているユーザ ログインの種類として、ユーザ アカウント(Kerberos)認証、ユーザ GPO のロード、GPO ベースのログイン スクリプト実行があります。[ユーザ ログインの前(Before User Logon)] を選択した場合、[ユーザがログインできるまでに待機する時間(Time to Wait Before Allowing a User to Logon)] も設定できます。
[ユーザがログインできるまでに待機する時間(Time to Wait Before Allowing a User to Logon)]:ネットワーク アクセス マネージャが完全にネットワーク接続するのに待機する最大(最悪のケース)秒数を指定します。この時間内にネットワーク接続が確立できない場合、Windows ログイン プロセスはユーザ ログインにより継続されます。デフォルトは 5 秒です。
[ユーザ ログイン後(After User Logon)]:Windows へのユーザ ログイン後にネットワークに接続します。
ネットワーク アクセス マネージャ クライアントにより制御されるメディアの種類を指定します。
[Wi-Fi(ワイヤレス)メディアの管理(Manage Wi-Fi (wireless) Media)]:Wi-Fi メディアの管理、また任意で WPA/WPA2 ハンドシェイクの検証ができるようになります。
IEEE 802.11i ワイヤレス ネットワーキング標準では、サプリカント(この場合はネットワーク アクセス マネージャ)がアクセス ポイントの RSN IE(堅牢でセキュアなネットワーク情報交換)を検証する必要があることを規定しています。IE は、キー導出時に IEEE 801.X プロトコル パケットの EAPOL キー データに送信され、ビーコン/プローブ応答フレームにあるアクセス ポイントの RSN IE に一致する必要があります。
[WPA/WPA2 ハンドシェイクの検証の有効化(Enable validation of WPA/WPA2 handshake)]:WPA/WPA2 ハンドシェイクを検証します。オフの場合、この任意の検証手順はスキップされます。
(注) |
一部のアダプタでは、アクセス ポイントの RSN IE を常に提供するわけではないため、認証試行に失敗し、クライアントが接続されません。 |
[デフォルトのアソシエーションタイムアウト(秒)(Default Association Timeout (sec))]:WPA/WPA2 ハンドシェイクを有効にした場合は、デフォルトのアソシエーション タイムアウトを指定する必要があります。
[有線(IEEE 802.3)メディアの管理(Manage Wired (IEEE 802.3) Media)]:有線接続の管理を有効にします。
[モバイル ブロードバンド(3G)メディアの管理(Manage Mobile Broadband (3G) Media)]:Windows 7 モバイル ブロードバンド アダプタの管理を有効にします。この機能は、デフォルトではディセーブルになっています。
(注) |
この機能はベータ版に入っています。Cisco TAC は、ベータ版には対応していません。 |
[データ ローミングの有効化(Enable Data Roaming)]:データ ローミングを許可するかどうかを指定します。
[クライアントの無効化(Disable Client)]:ユーザは、AnyConnect UI を使用して、ネットワーク アクセス マネージャによる有線メディアおよびワイヤレス メディアの管理を無効および有効にできます。
[ユーザ グループの表示(Display User Groups)]:管理者定義のグループに対応しない場合でも、ユーザが作成したグループ(CSSC 5.x から作成)を表示して、接続できるようにします。
[接続時に実行するスクリプトまたはアプリケーションの指定(Specify a script or application to run when connected)]:ユーザは、ネットワーク接続時に実行するスクリプトまたはアプリケーションを指定できます。
[自動接続(Auto-connect)]:ユーザが選択しなくても自動的にネットワークに接続します。 デフォルトは自動接続です。
[サービス オペレーション(Service Operation)]:このサービスをオフにすると、このプロファイルを使用しているクライアントはレイヤ 2 接続を確立するために接続できません。
[FIPS モード(FIPS Mode)]:FIPS モードを有効にすると、ネットワーク アクセス マネージャは政府の要件を満たす方法で暗号化操作を行います。
連邦情報処理標準(FIPS 140-2 Level 1)は、暗号化モジュールのセキュリティ要件を指定する米国政府標準規格です。FIPS は、ソフトウェアとハードウェアのタイプに応じて、MACsec または Wi-Fi 用のネットワーク アクセス マネージャでサポートされています。
Intel HW MACsec 対応 NIC の場合、またはハードウェア以外の MACsec を使用している場合に FIPS に準拠しています。 |
|
[認証ポリシー(Authentication Policy)] ウィンドウでは、すべてのネットワーク接続に適用される、アソシエーションおよび認証ネットワーク フィルタを作成できます。アソシエーション モードまたは認証モードのいずれもオンにしない場合、認証 Wi-Fi ネットワークに接続できません。モードのサブセットを選択すると、それらのタイプのネットワークにのみ接続できます。目的のアソシエーション モードまたは認証モードをそれぞれ選択するか、[すべて選択(Select All)] を選択します。
内部方式も特定の認証プロトコルのみに制限される可能性があります。内部方式は、[許可された認証モード(Allowed Authentication Modes)] ペインの外部方式(トンネリング)下にインデントされて表示されます。
認証プロトコル選択のメカニズムは、現在のクライアント認証データベースと統合されています。セキュアなワイヤレス LAN 展開では、ユーザが新しい認証システムを作成する必要はありません。
内部トンネリングに使用できる EAP 方式は、内部方式のクレデンシャル タイプと外部トンネリング方式に基づいています。次のリストで、外部トンネル方式はそれぞれ、各クレデンシャル タイプに対応した内部方式の種類を一覧表示しています。
[ネットワーク(Networks)] ウィンドウでは、企業ユーザの事前定義ネットワークを設定できます。すべてのグループで使用できるネットワークを設定するか、または特定のネットワークで使用するグループを作成できます。[ネットワーク(Networks)] ウィンドウには、既存のウィンドウにペインを追加できるウィザードが表示され、[次へ(Next)] をクリックしてより多くの設定オプションに進むことができます。
グループとは、基本的に、設定された接続(ネットワーク)の集合です。設定された各接続は、グループに属するか、すべてのグループのメンバーである必要があります。
(注) |
下位互換性を確保するため、Cisco Secure Services Client で展開された管理者作成のネットワークは、SSID をブロードキャストしない非表示ネットワークとして扱われます。ユーザ ネットワークは、SSID をブロードキャストするネットワークとして扱われます。 |
新しいグループを作成できるのは管理者だけです。設定にグループが定義されていない場合、プロファイル エディタによって自動生成グループが作成されます。自動生成グループには、管理者定義のグループに割り当てられていないネットワークが含まれます。クライアントは、アクティブ グループに定義されている接続を使用してネットワーク接続の確立を試みます。[ネットワーク グループ(Network Groups)] ウィンドウの [ネットワークの作成(Create Networks)] オプションの設定に応じて、エンド ユーザは、ユーザ ネットワークをアクティブ グループに追加するか、アクティブ グループからユーザ ネットワークを削除できます。
定義されているネットワークは、リストの先頭にあるすべてのグループで使用できます。グローバル ネットワーク内にどのネットワークがあるかを制御できるため、ユーザ定義のネットワークが存在する場合も、エンド ユーザが接続できる企業ネットワークを指定できます。エンド ユーザは管理者が設定したネットワークを変更したり、削除したりできません。
(注) |
エンド ユーザは、globalNetworks セクションのネットワークを除き、グループにネットワークを追加できます。これらのネットワークはすべてのグループ内に存在し、プロファイル エディタを使用してしか作成できないためです。 |
企業ネットワークの一般的なエンド ユーザは、このクライアントを使用するためにグループの知識は必要ありません。アクティブ グループは設定内の最初のグループですが、グループが 1 つしか使用できない場合、アクティブ グループは認識されず、表示されません。一方で、複数のグループが存在する場合、UI にはアクティブ グループが選択されたことを示すグループのリストが表示されます。ユーザはアクティブ グループから選択でき、設定はリブート後も保持されます。[ネットワーク グループ(Network Groups)] ウィンドウの [ネットワークの作成(Create Networks)] オプションの設定に応じて、エンド ユーザは、グループを使用せずに自分のネットワークを追加または削除できます。
(注) |
グループ選択はリブート後も持続して、ネットワークは修復されます(そのためには、トレイ アイコンを右クリックしながら [ネットワーク修復(Network Repair)] を選択します)。ネットワーク アクセス マネージャが修復されるか、またはリスタートされると、以前のアクティブなグループが使用されます。 |
[ネットワーク(Networks)] ウィンドウの [メディア タイプ(Media Type)] ページにより、有線ネットワークまたはワイヤレス ネットワークを作成または編集できます。設定は、選択内容によって異なります。
[グループ メンバーシップ(Group Membership)]:このプロファイルが使用できるようにするネットワーク グループ(複数の場合もあり)を選択します。
[ネットワーク メディア(Network Media)]:[有線(Wired)] または [Wi-Fi(ワイヤレス)(Wi-Fi (wireless))] を選択します。[Wi-Fi] を選択すると、次のパラメータも設定できます。
[非表示ネットワーク(Hidden Network)]:SSID をブロードキャストしない場合でも、ネットワークへの接続を許可します。
[社内ネットワーク(Corporate Network)]:[社内(Corporate)] として設定されたネットワークが近接にある場合、まずそのネットワークに強制的に接続します。社内ネットワークが非ブロードキャスト(非表示)SSID を使用し、非表示として設定されている場合、ネットワーク アクセス マネージャは非表示 SSID をアクティブにプローブし、企業 SSID が範囲内にあれば接続を確立します。
[アソシエーション タイムアウト(Association Timeout)]:ネットワーク アクセス マネージャが、使用できるネットワークを再評価するまでに特定のワイヤレス ネットワークとのアソシエーションを待機する時間を入力します。デフォルトのアソシエーション タイムアウトは 5 秒です。
[スクリプトまたはアプリケーション(Script or application)]:ローカル システムで実行するファイルのパスとファイル名を入力するか、フォルダを参照してファイルを選択します。次のルールは、スクリプトおよびアプリケーションに適用されます。
.exe、.bat、または .cmd 拡張子のファイルが受け入れられます。
ユーザは、管理者が作成したネットワークで定義されたスクリプトまたはアプリケーションは変更できません。
プロファイル エディタを使用してパスおよびスクリプトまたはアプリケーションのファイル名のみを指定できます。スクリプトまたはアプリケーションがユーザのマシンに存在しない場合、エラー メッセージが表示されます。ユーザは、スクリプトまたはアプリケーションがマシンにないこと、およびシステム管理者に問い合わせる必要があると通知されます。
アプリケーションがユーザのパスに存在する場合を除いて、実行するアプリケーションのフル パスを指定する必要があります。アプリケーションがユーザのパスに存在する場合は、アプリケーション名またはスクリプト名だけを指定できます。
[接続タイムアウト(Connection Timeout)]:ネットワーク アクセス マネージャが、(接続モードが自動の場合)別のネットワークに接続しようとするか、または別のアダプタを使用するまでにネットワーク接続の確立を待機する秒数を入力します。
(注) |
認証を完了するまでに 60 秒近くかかるスマートカード認証システムもあります。スマートカードを使用している場合、特に、スマートカードが接続に成功するまでにいくつかネットワークに接続しなければならない場合に、[接続タイムアウト(Connection Timeout)] 値を増やす必要があります。 |
[ネットワーク(Networks)] ウィザードの [セキュリティ レベル(Security Level)] ページで、[オープン ネットワーク(Open Network)]、[認証ネットワーク(Authentication Network)]、または(ワイヤレス ネットワーク メディアにのみ表示される)[共有キー ネットワーク(Shared Key Network)] を選択します。これらのネットワーク タイプの設定フローはそれぞれ異なっており、次の項で説明します。
認証ネットワークの設定:企業を安全に保つために推奨されます。
オープン ネットワークの設定:推奨されません。ただし、キャプティブ ポータル環境を介したゲスト アクセスの提供に使用できます。
共有キーのネットワークの設定:小規模オフィスまたはホーム オフィスなどの無線ネットワークに推奨されます。
[セキュリティ レベル(Security Level)] セクションで [認証ネットワーク(Authenticating Network)] を選択した場合、次に説明するペインが追加で表示されます。これらのペインの設定を完了したら、[次へ(Next)] ボタンをクリックするか、[接続タイプ(Connection Type)] タブを選択して [ネットワーク接続タイプ(Network Connection Type)] ダイアログを開きます。
ネットワーク設定に応じて IEEE 802.1X 設定を調整します。
(注) |
AnyConnect ISE ポスチャがネットワーク アクセス マネージャとともにインストールされた場合、ISE ポスチャはネットワーク アクセス マネージャ プラグインを使用してネットワーク変更イベントと 802.1X WiFi を検出します。 |
[authPeriod (sec)]:認証が開始された場合、認証メッセージの間隔がこの設定を超えるとサプリカントはタイムアウトします。認証を再度開始するには、サプリカントでオーセンティケータが必要です。
[heldPeriod (sec)]:認証が失敗した場合、サプリカントはこの設定で定義された時間だけ待機し、この時間を超えると別の認証が試行されます。
[startPeriod (sec)]:EAPOL-Start メッセージに対する応答をオーセンティケータから受信しない場合に、EAPOL-Start メッセージを再送信する間隔(秒)です。
[maxStart]:サプリカントが、オーセンティケータが存在しないと見なす前に、IEEE 801.X プロトコル パケット、EAPOL Key データ、または EAPoL-Start を送信することで、サプリカントがオーセンティケータの認証を開始する回数です。これが発生した場合は、サプリカントはデータ トラフィックを許可します。
[セキュリティ(Security)] ペインで、次のパラメータの値を選択します。
詳細については、「Identity-Based Networking Services: MAC Security」を参照してください。
[ポート認証例外ポリシー(Port Authentication Exception Policy)] ペインでは、認証プロセス中の IEEE 802.1X サプリカントの動作を変更できます。ポート例外が有効でない場合、サプリカントはその既存の動作を続け、設定が完全に成功した場合のみ(または、この項で前述したように、オーセンティケータからの応答がない状態で maxStarts 数の認証が開始された後に)ポートを開きます。次のいずれかのオプションを選択します。
[認証前にデータ トラフィックを許可(Allow data traffic before authentication)]:認証試行の前にデータ トラフィックが許可されます。
[次の場合でも認証後にデータ トラフィックを許可(Allow data traffic after authentication even if)]:次の場合でもデータ トラフィックが許可されます。
[EAP 失敗(EAP Fails)]:選択すると、EAP が失敗した場合でも、サプリカントは認証を試行します。認証に失敗した場合、サプリカントは認証に失敗したにもかかわらず、データ トラフィックを許可します。
[EAP は成功したがキー管理に失敗(EAP succeeds but key management fails)]:選択すると、EAP は成功してキー管理が失敗した場合、サプリカントはキー サーバとのキーのネゴシエートを試行しますが、何らかの理由によりキー ネゴシエーションに失敗した場合でもデータ トラフィックを許可します。この設定は、キー管理が設定されている場合のみ有効です。キー管理がなしに設定されている場合、このチェックボックスは淡色表示されます。
MACsec には、ACS バージョン 5.1 以降および MACsec 対応スイッチが必要です。ACS またはスイッチの設定については、『Catalyst 3750-X and 3560-X Switch Software Configuration Guide』を参照してください。
オープン ネットワークは、認証や暗号化を使用しません。オープン(非セキュア)ネットワークを作成するには、次の手順を実行します。
ステップ 1 | [セキュリティ レベル(Security Level)] ページで [オープン ネットワーク(Open Network)] を選択します。この選択肢では、最もセキュリティ レベルの低いネットワークが提供されます。これは、ゲスト アクセス ワイヤレス ネットワークに推奨されています。 |
ステップ 2 | [Next] をクリックします。 |
ステップ 3 | 接続タイプを決定します。 |
Wi-Fi ネットワークは、エンドポイントとネットワーク アクセス ポイント間のデータを暗号化する際に使用される暗号キーを導出するために、共有キーを使用することがあります。WPA または WPA2 Personal を備えた共有キーを使用すると、小規模オフィスや自宅オフィスに適した Medium レベルのセキュリティ クラスが実現します。
(注) |
共有キーによるセキュリティは、企業ワイヤレス ネットワークには推奨しません。 |
ここでは、ネットワーク アクセス マネージャ プロファイル エディタの [セキュリティ レベル(Security Level)] に続く、[ネットワーク(Networks)] ウィンドウの [ネットワーク接続タイプ(network connection type)] ペインについて説明します。次のいずれかの接続タイプを選択します。
[マシン接続(Machine Connection)]:Windows Active Directory に保存されているデバイス名が認証に使用されます。マシン接続は通常、接続時にユーザ クレデンシャルが必要ない場合に使用します。ユーザがログオフし、ユーザ クレデンシャルが使用できない場合でも、エンド ステーションがネットワークにログインする必要がある場合にこのオプションを選択します。このオプションは通常、ユーザがアクセスする前に、ドメインに接続し、ネットワークから GPO および他のアップデートを取得する場合に使用します。
(注) |
既知のネットワークが使用できない場合、VPN Start Before Login(SBL)は失敗します。ネットワーク アクセス マネージャを [ユーザがログインする前(Before User Logon)] に、およびマシン接続認証用に設定している場合、ネットワーク アクセス マネージャはユーザにネットワーク情報を要求し、VPN SBL は正常に行われます。 |
[ユーザ接続(User Connection)]:ユーザ クレデンシャルを認証に使用します。
[クライアント ポリシー(Client Policy)] ペインで [ユーザがログインする前(Before User Logon)] が選択されている場合、Windows スタート画面でユーザがログイン クレデンシャルを入力した後、ネットワーク アクセス マネージャはユーザのクレデンシャルを収集します。Windows がユーザの Windows セッションを開始している間に、ネットワーク接続が確立されます。
[クライアント ポリシー(Client Policy)] ペインで [ユーザがログインした後(After User Logon)] が選択されている場合、ユーザが Windows にログインしてから、接続が開始されます。
ユーザがログオフすると、現在のユーザのネットワーク接続は終了します。マシン ネットワーク プロファイルが使用可能な場合、NAM はマシン ネットワークに再接続します。
[マシンおよびユーザ接続(Machine and User Connection)]:[セキュリティ レベル(Security Level)] ペインで選択したように、[認証ネットワーク(Authenticating Network)] を設定している場合にのみ指定できます。マシン ID とユーザ クレデンシャルの両方を使用しますが、マシン部分はユーザがデバイスにログインしていない場合のみ有効です。2 つの部分の設定は同じですが、マシン接続の認証タイプとクレデンシャルは、ユーザ接続の認証タイプとクレデンシャルと異なる場合があります。
マシン接続を使用していてユーザがログインしていないとき、およびユーザ接続を使用していてユーザがログインしているときにネットワークに PC を常時接続するには、このオプションを選択します。
EAP-FAST が(次のペインで)EAP 方式として設定されている場合、EAP チェーンがサポートされています。つまり、ネットワーク アクセス マネージャによって、マシンおよびユーザが既知のエンティティであり、企業によって管理されていることが検証されます。
このネットワーク接続タイプを選択すると、[ネットワーク(Networks)] ダイアログに追加のタブが表示されます。これらのタブでは、選択されたネットワーク接続タイプの EAP 方式とクレデンシャルを設定できます。
ネットワーク接続タイプを選択した後、それらの接続タイプの認証方式を選択します。認証方式を選択した後、選択した方式に対応するように表示が更新され、追加情報を提供するように要求されます。
(注) |
MACsec を有効にした場合は、PEAP、EAP-TLS、または EAP-FAST などの MSK キー派生をサポートする EAP 方式を必ず選択します。また、MACsec が有効でない場合にも、ネットワーク アクセス マネージャを使用すると、MACsec を考慮して MTU が 1500 から 1468 に削減されます。 |
EAP は、認証プロトコルを伝送するトランスポート プロトコルから認証プロトコルをデカップリングするための要件を示した IETF RFC です。このデカップリングによって、トランスポート プロトコル(IEEE 802.1X、UDP、または RADIUS など)は、認証プロトコルを変更せずに EAP プロトコルを伝送できます。
基本的な EAP プロトコルは、次の 4 つのパケット タイプから構成されます。
EAP 要求:オーセンティケータは、要求パケットをサプリカントに送信します。各要求には type フィールドがあり、要求されている内容を示します。これには、使用するサプリカント アイデンティティや EAP タイプなどが含まれます。シーケンス番号により、オーセンティケータおよびピアは、各 EAP 要求に対応する EAP 応答を一致できます。
EAP 応答:サプリカントは応答パケットをオーセンティケータに送信し、シーケンス番号を使用して元の EAP 要求と照合します。EAP 応答のタイプは、通常 EAP 要求と一致しますが、応答が負(NAK)の場合は除きます。
EAP が IEEE 802.11X システムで使用中の場合、アクセス ポイントは EAP パススルー モードで動作します。このモードでは、アクセス ポイントはコード、識別子、および長さのフィールドを確認して、サプリカントから受信した EAP パケットを AAA サーバに転送します。AAA サーバ オーセンティケータから受信したパケットは、サプリカントに転送されます。
EAP-GTC は、単純なユーザ名とパスワード認証に基づく EAP 認証方式です。チャレンジ/レスポンス方式を使用せずに、ユーザ名とパスワードの両方がクリア テキストで渡されます。この方式は、トンネリング EAP 方式の内部で使用(次のトンネリング EAP 方式を参照)、またはワンタイム パスワード(OTP)を使用する場合に推奨されます。
EAP-GTC は、相互認証を提供しません。クライアントのみ認証するため、不正なサーバがユーザのクレデンシャルを取得するおそれがあります。相互認証が必要な場合、EAP-GTC はトンネリング EAP 方式の内部で使用され、サーバ認証を提供します。
EAP-GTC によりキー関連情報は提供されないため、MACsec ではこの方式は使用できません。さらなるトラフィック暗号化のためにキー関連情報が必要な場合、EAP-GTC はトンネリング EAP 方式の内部で使用され、キー関連情報(および必要に応じて内部および外部の EAP 方式の暗号化バインド)を提供します。
パスワード ソース オプションには、次の 2 つがあります。
[パスワードを使った認証(Authenticate using a Password)]:十分に保護された有線環境にのみ適しています。
[トークンを使った認証(Authenticate using a Token)]:トークン コードまたは OTP のライフタイムが短い(通常約 10 秒)ため、より高いセキュリティを備えています
EAP-Transport Layer Security(EAP-TLS)は、TLS プロトコル(RFC 2246)に基づく IEEE 802.1X EAP 認証アルゴリズムです。TLS は、X.509 デジタル証明書に基づく相互認証を使用します。EAP-TLS メッセージ交換は、相互認証、暗号スイート ネゴシエーション、キー交換、クライアントと認証サーバ間の検証、およびトラフィック暗号化に使用できるキー関連情報を提供します。
次のリストに、EAP-TLS クライアント証明書が有線およびワイヤレス接続に強固な認証を提供できる主な理由を示します。
EAP-Tunneled Transport Layer Security(EAP-TTLS)は、EAP-TLS 機能を拡張する 2 フェーズのプロトコルです。フェーズ 1 では、完全な TLS セッションを実行して、フェーズ 2 で使用するセッション キーを導出し、サーバとクライアント間で属性を安全にトンネリングします。フェーズ 2 中では、トンネリングされた属性を使用して、多数のさまざまなメカニズムを使用する追加認証を実行できます。
ネットワーク アクセス マネージャは、EAP-TTLS 認証中に使用する内部および外部方式の暗号化バインドをサポートしません。暗号化バインドが必要な場合は、EAP-FAST を使用する必要があります。暗号化バインドは、クレデンシャルを知らなくても攻撃者がユーザの接続をハイジャックできる中間者攻撃の特殊クラスからの保護を提供します。
フェーズ 2 で使用できる認証メカニズムには、次のプロトコルが含まれます。
PAP(パスワード認証プロトコル):ピアが 2 ウェイ ハンドシェイクを使用してそのアイデンティティを証明する単純な方式を提供します。ID/パスワード ペアは、認証が認められるか失敗するまで、ピアからオーセンティケータに繰り返し送信されます。相互認証が必要な場合は、EAP-TTLS を設定して、フェーズ 1 でサーバの証明書を検証する必要があります。
パスワードがオーセンティケータに渡されるため、ハッシュ化パスワードを使用するデータベースに対しての認証でこのプロトコルを使用できます。データベースがリークしている可能性がある場合は、この方式をお勧めします。
(注) |
EAP-TTLS PAP は、トークンおよび OTP ベースの認証で使用できます。 |
CHAP(チャレンジ ハンドシェイク認証プロトコル):3 ウェイ ハンドシェイクを使用してピアのアイデンティティを検証します。相互認証が必要な場合は、EAP-TTLS を設定して、フェーズ 1 でサーバの証明書を検証する必要があります。このチャレンジ/レスポンス方式を使用する場合、オーセンティケータのデータベースにクリア テキスト パスワードを保存する必要があります。
MS-CHAP(Microsoft CHAP):3 ウェイ ハンドシェイクを使用してピアのアイデンティティを検証します。相互認証が必要な場合は、EAP-TTLS を設定して、フェーズ 1 でサーバの証明書を検証する必要があります。パスワードの NT-hash に基づいてこのチャレンジ/レスポンス方式を使用する場合は、オーセンティケータのデータベースにクリア テキスト パスワード、または最低でもパスワードの NT-hash のいずれかを保存しておく必要があります。
MS-CHAPv2:応答パケット内にピア チャレンジおよび成功パケット内にオーセンティケータ応答を含めることによって、ピア間の相互認証を提供します。サーバの前に、クライアントが認証されます。(ディクショナリ攻撃を防ぐために)サーバをクライアントの前に認証する必要がある場合、EAP-TTLS を設定してフェーズ 1 でサーバの証明書を検証する必要があります。パスワードの NT-hash に基づいてこのチャレンジ/レスポンス方式を使用する場合は、オーセンティケータのデータベースにクリア テキスト パスワード、または最低でもパスワードの NT-hash のいずれかを保存しておく必要があります。
EAP-MD5(EAP Message Digest 5):3 ウェイ ハンドシェイクを使用してピアのアイデンティティを検証します(CHAP と類似)。このチャレンジ/レスポンス方式を使用する場合、オーセンティケータのデータベースにクリア テキスト パスワードを保存する必要があります。
EAP-MSCHAPv2:3 ウェイ ハンドシェイクを使用してピアのアイデンティティを確認します。サーバの前に、クライアントが認証されます。(ディクショナリ攻撃の防止のためなどで)サーバをクライアントの前に認証する必要がある場合、EAP-TTLS を設定してフェーズ 1 でサーバの証明書を検証する必要があります。パスワードの NT-hash に基づいてこのチャレンジ/レスポンス方式を使用して、オーセンティケータのデータベースにクリア テキスト パスワード、または最低でもパスワードの NT-hash のいずれかを保存しておく必要があります。
[サーバ ID の検証(Validate Server Identity)]:サーバ証明書の検証を有効にします。
(注) |
これを有効にする場合は、RADIUS サーバにインストールされたサーバ証明書にサーバ認証の拡張キーの使用状況(EKU)が含まれていることを確認します。RADIUS サーバでは、認証時にクライアントにその設定済みの証明書を送信するとき、ネットワーク アクセスおよび認証のためにこのサーバ認証設定が必要です。 |
[高速再接続を有効にする(Enable Fast Reconnect)]:内部認証が省略されるかどうか、またはオーセンティケータによって制御されているかどうかに関係なく、外部 TLS セッション再開のみを有効にします。
(注) |
[スマート カードを使用するときは無効にする(Disable When Using a Smart Card)] は、マシン接続認証では使用できません。 |
[内部方式(Inner Methods)]:TLS トンネルが作成された後で内部方式の使用を指定します。Wi-Fi メディア タイプにのみ使用できます。
Protected EAP(PEAP)は、トンネリング TLS ベースの EAP 方式です。PEAP は、内部認証方式の暗号化に対するクライアント認証の前に、サーバ認証に TLS を使用します。内部認証は、信頼される暗号保護されたトンネル内部で実行され、証明書、トークン、およびパスワードを含む、さまざまな内部認証方式をサポートします。ネットワーク アクセス マネージャは、PEAP 認証中に使用する内部および外部方式の暗号化バインドをサポートしません。暗号化バインドが必要な場合は、EAP-FAST を使用する必要があります。暗号化バインドは、クレデンシャルを知らなくても攻撃者がユーザの接続をハイジャックできる中間者攻撃の特殊クラスからの保護を提供します。
PEAP は、次のサービスを提供することによって EAP 方式を保護します。
EAP-MSCHAPv2:3 ウェイ ハンドシェイクを使用してピアのアイデンティティを確認します。サーバの前に、クライアントが認証されます。(ディクショナリ攻撃の防止のためなどで)サーバをクライアントの前に認証する必要がある場合、PEAP を設定してサーバの証明書を検証する必要があります。パスワードの NT-hash に基づいてチャレンジ/レスポンス方式を使用して、オーセンティケータのデータベースにクリア テキスト パスワード、または最低でもパスワードの NT-hash のいずれかを保存しておく必要があります。
EAP-GTC(EAP Generic Token Card):ユーザ名とパスワードを伝送するために EAP エンベロープを定義します。相互認証が必要な場合は、PEAP を設定してサーバの証明書を検証する必要があります。パスワードがクリア テキストでオーセンティケータに渡されるため、ハッシュ化パスワードを使用するデータベースに対しての認証でこのプロトコルを使用できます。この方式は、データベースがリークしている可能性がある場合に推奨されます。
[サーバ ID の検証(Validate Server Identity)]:サーバ証明書の検証を有効にします。
(注) |
これを有効にする場合は、RADIUS サーバにインストールされたサーバ証明書にサーバ認証の拡張キーの使用状況(EKU)が含まれていることを確認します。RADIUS サーバでは、認証時にクライアントにその設定済みの証明書を送信するとき、ネットワーク アクセスおよび認証のためにこのサーバ認証設定が必要です。 |
[高速再接続を有効にする(Enable Fast Reconnect)]:外部 TLS セッション再開のみを有効にします。オーセンティケータは、内部認証を省略するかどうかを制御します。
[スマート カードを使用するときは無効にする(Disable When Using a Smart Card)]:スマート カードを使用して認証する場合に高速再接続を使用しません。スマート カードは、ユーザ接続にのみ適用されます。
[トークンおよび EAP-GTC を使用して認証する(Authenticate using a token and EAP-GTC)]:マシン認証には使用できません。
EAP-FAST は、IEEE 802.1X 認証タイプで、柔軟性があり、展開や管理も容易です。EAP-FAST は、さまざまなユーザおよびパスワード データベース タイプ、サーバ主導のパスワードの失効と変更、およびデジタル証明書(任意)をサポートします。
EAP-FAST は、証明書を使用せず、ディクショナリ攻撃からの保護を提供する IEEE 802.1X EAP タイプを展開するお客様向けに開発されました。
AnyConnect 3.1 の時点では、マシン接続とユーザ接続の両方が設定されている場合、EAP チェーンがサポートされています。これは、ネットワーク アクセス マネージャが、マシンおよびユーザが既知のエンティティであり、企業によって管理されていること検証することを意味し、社内ネットワークに接続しているユーザ所有資産を制御するのに便利です。EAP チェーンの詳細については、RFC 3748 を参照してください。
EAP-FAST は、TLS メッセージを EAP 内にカプセル化します。また、次の 3 つのプロトコル フェーズから構成されます。
Authenticated Diffie-Hellman Protocol(ADHP)を使用して Protected Access Credential(PAC)と呼ばれる共有秘密クレデンシャルを持つクライアントをプロビジョニングするプロビジョニング フェーズ。
他のトンネリング EAP 方式とは異なり、EAP-FAST は内部および外部方式間に暗号化バインドを提供して、攻撃者が有効なユーザの接続をハイジャックする特殊な中間者攻撃を防止します。
[サーバ ID の検証(Validate Server Identity)]:サーバ証明書の検証を有効にします。これを有効にすると、管理ユーティリティに 2 つの追加のダイアログが導入されて、ネットワーク アクセス マネージャ プロファイル エディタのタスク リストに [証明書(Certificate)] ペインがさらに追加されます。
(注) |
これを有効にする場合は、RADIUS サーバにインストールされたサーバ証明書にサーバ認証の拡張キーの使用状況(EKU)が含まれていることを確認します。RADIUS サーバでは、認証時にクライアントにその設定済みの証明書を送信するとき、ネットワーク アクセスおよび認証のためにこのサーバ認証設定が必要です。 |
[高速再接続を有効にする(Enable Fast Reconnect)]:セッション再開を有効にします。EAP-FAST で認証セッションを再開する 2 つのメカニズムには、内部認証を再開するユーザ認可 PAC と、短縮化した外部 TLS ハンドシェイクができる TLS セッション再開があります。この [高速再接続を有効にする(Enable Fast Reconnect)] パラメータは、両方のメカニズムを有効または無効にします。オーセンティケータがいずれを使用するかを決定します。
(注) |
マシン PAC は、短縮化した TLS ハンドシェイクを提供し、内部認証を省きます。この制御は、PAC パラメータを有効/無効にすることによって処理します。 |
(注) |
[スマート カードを使用するときは無効にする(Disable When Using a Smart Card)] オプションは、ユーザ接続認証にのみ使用できます。 |
[クレデンシャル ソースに基づく内部方式(Inner methods based on Credentials Source)]:パスワードまたは証明書を使用する認証ができます。
[パスワードを使用した認証(Authenticate using a password)]:[EAP-MSCHAPv2] または [EAP-GTC]。EAP-MSCHAPv2 は、相互認証を提供しますが、サーバを認証する前にクライアントを認証します。サーバを最初に認証する相互認証を使用する場合は、EAP-FAST を認証付きプロビジョニングのみに設定して、サーバの証明書を検証します。パスワードの NT-hash に基づいてこのチャレンジ/レスポンス方式を使用して、EAP-MSCHAPv2 を使用する場合は、オーセンティケータのデータベースにクリア テキスト パスワード、または最低でもパスワードの NT-hash のいずれかを保存しておく必要があります。パスワードは EAP-GTC 内でクリア テキストでオーセンティケータに渡されるため、データベースに対する認証でこのプロトコルを使用できます。
パスワード ベースの内部方式を使用している場合、認証されていない PAC プロビジョニングを許可する追加オプションが使用できます。
[証明書を使用した認証(Authenticate using a certificate)]:証明書を使用する認証に対しての基準を、要求された場合にクライアント証明書を暗号化しないで送信、トンネル内でのみクライアント証明書を送信、またはトンネル内で EAP-TLS を使用してクライアント証明書を送信から決定します。
[PAC を使用する(Use PACs)]:EAP-FAST 認証での PAC の使用を指定できます。PAC は、ネットワーク認証を最適化するためにクライアントに配布されるクレデンシャルです。
LEAP(Lightweight EAP)はワイヤレス ネットワークに対応しています。拡張認証プロトコル(EAP)フレームワークに基づき、WEP よりセキュアなプロトコルを作成するためシスコにより開発されました。
(注) |
強力なパスワードおよび定期的に失効するパスワードを使用しない限り、LEAP はディクショナリ攻撃を受ける場合があります。認証方式がディクショナリ攻撃の被害を受けにくい EAP-FAST、PEAP、または EAP-TLS を使用することをお勧めします。 |
詳細については、「Dictionary Attack on Cisco LEAP Vulnerability」を参照してください。
[ネットワーク(Networks)] > [クレデンシャル(Credentials)] ペインで、ユーザ クレデンシャルまたはマシン クレデンシャルのいずれを使用するか指定し、信頼サーバ検証ルールを設定します。
EAP カンバセーションには、複数の EAP 認証方式が含まれ、その各認証で要求されるアイデンティティが異なる場合があります(マシン認証の次にユーザ認証が行われるなど)。たとえば、ピアでは最初に nouser@cisco.com のアイデンティティを要求して認証要求を cisco.com EAP サーバにルーティングする場合があります。しかし、いったん TLS セッションがネゴシエートされると、そのピアは johndoe@cisco.com のアイデンティティを要求する場合があります。そのため、ユーザのアイデンティティにより保護が提供される場合でも、カンバセーションがローカル認証サーバで終端しない限り、宛先領域は必ずしも一致しません。
ユーザ接続で、プレースホルダ [username] および [domain] を使用する場合、次の条件が当てはまります。
認証にクライアント証明書を使用する場合:さまざまな X509 証明書プロパティから [username] および [password] のプレースホルダ値を取得します。プロパティは最初の一致に応じて次の順序で解析されます。たとえば、ユーザ認証のアイデンティティが userA@example.com(ユーザ名 =userA、ドメイン =example.com)、マシン認証のアイデンティティが hostA.example.com(ユーザ名 =hostA、ドメイン =example.com)の場合、次のプロパティが解析されます。
[クレデンシャル(Credentials)] ペインでは、目的のクレデンシャルを関連付けられたネットワークの認証で使用するために指定できます。
EAP カンバセーションには、複数の EAP 認証方式が含まれ、その各認証で要求されるアイデンティティが異なる場合があります(マシン認証の次にユーザ認証が行われるなど)。たとえば、ピアでは最初に nouser@example.com のアイデンティティを要求して認証要求を cisco.com EAP サーバにルーティングする場合があります。しかし、いったん TLS セッションがネゴシエートされると、そのピアは johndoe@example.com のアイデンティティを要求する場合があります。そのため、ユーザのアイデンティティにより保護が提供される場合でも、カンバセーションがローカル認証サーバで終端しない限り、宛先領域は必ずしも一致しません。
マシン接続の場合に、[username] および [domain] プレースホルダが使用されたときは、常に次の条件が適用されます。
認証にクライアント証明書を使用する場合:さまざまな X509 証明書プロパティから [username] および [password] のプレースホルダ値を取得します。プロパティは最初の一致に応じて次の順序で解析されます。たとえば、ユーザ認証のアイデンティティが userA@cisco.com(ユーザ名 =userA、ドメイン =cisco.com)、マシン認証のアイデンティティが hostA.cisco.com(ユーザ名 =hostA、ドメイン =cisco.com)の場合、次のプロパティが解析されます。
クライアント証明書が認証に使用されない場合:クレデンシャルをオペレーティング システムから取得し、[username] プレースホルダは割り当てられたマシン名を表します。
ステップ 1 | [保護されているアイデンティティ パターン(Protected Identity Pattern)] でマシン アイデンティティを定義します。ネットワーク アクセス マネージャでは、次のアイデンティティ プレースホルダのパターンがサポートされます。 |
ステップ 2 |
典型的な保護されていないマシン アイデンティティのパターンを定義します。
|
ステップ 3 |
保護されているマシン アイデンティティのパターンを定義します。
|
ステップ 4 | 次のマシン クレデンシャル情報をさらに提供します。 |
クライアント認証時に 2 つの証明書が存在する場合、ネットワーク アクセス マネージャは証明書の属性に基づいて最適な証明書を自動的に選択します。優先する証明書の条件は顧客によって異なるため、次に示す証明書の選択を定義するフィールドを設定し、また証明書選択をオーバーライドするルールを指定する必要があります。
複数の証明書が同一ルールに一致するか、ルールに一致する証明書がない場合は、ACE エンジンが、証明書の優先順位を指定するアルゴリズムを実行し、特定の基準(秘密キーがあるかどうか、マシン ストアからの証明書であるかどうかなど)に基づいて証明書を選択します。複数の証明書の優先順位が同一の場合、ACE エンジンはその優先順位で最初に検出した証明書を選択します。
ステップ 1 | AnyConnect プロファイル エディタから [ネットワーク(Networks)] タブを選択します。 |
ステップ 2 | 編集するネットワークを選択します。 |
ステップ 3 | [マシンクレデンシャル(Machine Credentials)] タブを選択します。 |
ステップ 4 | ページ下部で [証明書一致ルールを使用する(Use Certificate Matching Rule)] を選択します。 |
ステップ 5 | [証明書フィールド(Certificate Field)] ドロップダウン メニューから、検索条件として使用するフィールドを選択します。 |
ステップ 6 | [一致(Match)] ドロップダウン メニューから、検索にフィールドの完全一致([等しい(Equals)])または部分一致([含む(Includes)])を含めるかどうかを指定します。 |
ステップ 7 | [値(Value)] フィールドに、証明書の検索条件を入力します。 |
[サーバ ID の検証(Validate Server Identity)] オプションが [EAP] 方式に設定されている場合、[証明書(Certificate)] パネルが有効になって証明書サーバまたは認証局に対する検証ルールを設定できます。検証の結果によって、証明書サーバまたは認証局が信頼されるかどうかが決定されます。
ステップ 1 | オプション設定が [証明書フィールド(Certificate Field)] および [一致(Match)] カラムに表示されたときに、ドロップダウン矢印をクリックし、目的の設定を選択します。 | ||
ステップ 2 | [値(Value)] フィールドに、値を入力します。 | ||
ステップ 3 | ルールの下で [追加(Add)] をクリックします。 | ||
ステップ 4 |
[証明書信頼済み認証局(Certificate Trusted Authority)] ペインで、次のいずれかのオプションを選択します。
|
[ネットワーク グループ(Network Groups)] ウィンドウで、ネットワーク接続を特定のグループに割り当てます。接続をグループに分類することにより、次の複数の利点がもたらされます。
接続の確立試行時のユーザ エクスペリエンスの向上。複数の非表示ネットワークが設定された場合、接続が正常に確立するまで、クライアントは非表示ネットワークのリストを定義された順序で順を追って調べます。このような場合に、接続を確立するために必要な時間を大幅に短縮するためにグループが使用されます。
設定された接続の管理の簡略化。企業内で複数の役割を持つ(または同じ領域に頻繁にアクセスする)ユーザがグループ内のネットワークを調整して選択可能なネットワークのリストを管理しやすくする場合に、管理者ネットワークをユーザ ネットワークから分離できます。
配布パッケージの一部として定義されたネットワークはロックされています。これは、ユーザが設定を編集することや、ネットワーク プロファイルを削除することを防止するためです。
ネットワークをグローバルとして定義できます。グローバルとして定義すると、ネットワークは [グローバル ネットワーク(Global Networks)] セクションに表示されます。このセクションは、有線とワイヤレス ネットワーク タイプの間で分割されます。このタイプのネットワークに対しては、ソート順序の編集のみを実行できます。
すべての非グローバル ネットワークは、グループ内に存在する必要があります。1 つのグループがデフォルトで作成されています。すべてのネットワークがグローバルの場合にそのグループを削除できます。
ステップ 1 | ドロップダウン リストからグループを選択します。 | ||
ステップ 2 | [ネットワークの作成(Create networks)] を選択して、エンド ユーザがこのグループ内にネットワークを作成できるようにします。これをオフにした場合、展開されたときにネットワーク アクセス マネージャはこのグループからユーザ作成ネットワークをすべて削除します。これにより、ユーザがネットワーク設定を別のグループに再入力する必要が生じることがあります。 | ||
ステップ 3 |
[スキャン リストの表示(See scan list)]
を選択して、AnyConnect GUI を使用してグループがアクティブ グループとして選択されたときに、エンド ユーザがスキャン リストを表示できるようにします。または、このチェックボックスをオフにして、ユーザによるスキャン リストの表示を制限します。たとえば、ユーザが近くのデバイスに誤って接続することを防ぐ必要がある場合に、スキャン リストへのアクセスを制限します。
|
||
ステップ 4 |
右矢印および左矢印を使用して、[グループ(Group)] ドロップダウン リストから選択したグループに対してネットワークを挿入または削除します。ネットワークが現在のグループから移動された場合は、デフォルト グループに配置されます。デフォルト グループを編集する場合、デフォルト グループからネットワークを移動できません([>] ボタンを使用)。
|
||
ステップ 5 | 上矢印および下矢印を使用してグループ内のネットワークの優先順位を変更します。 |