Cisco AnyConnect Secure Mobility Client 管理者ガイド リリース 4.2

AnyConnect AMP イネーブラは、エンドポイント向けの高度なマルウェア防御（AMP）を導入する手段として使用されます。社内でローカルにホストされているサーバからエンドポイントのサブセットにエンドポイント向け AMP ソフトウェアをプッシュし、既存のユーザ ベースに AMP サービスをインストールします。このアプローチでは、AnyConnect ユーザ ベース管理者が、追加のセキュリティ エージェントを使用できます。このエージェントは、ネットワークで発生する潜在的なマルウェア脅威を検出して排除し、企業を侵害から保護します。ダウンロードにかかる時間と帯域幅を節約し、ポータル側では変更を行う必要がなく、認証クレデンシャルをエンドポイントに送信せずに実行できます。

エンドポイント向け AMP ソフトウェアを適切に配布するには、次のワークフローに従う必要があります。

1. エンドポイント向け AMP ポータルにログインします。
2. エンドポイント向け AMP ポータルで適切なポリシーを設定します。設定したポリシーに応じて、適切なエンドポイント向け AMP ソフトウェア パッケージが作成されます。このソフトウェア パッケージは .exe ファイル（Windows 用）または .pkg ファイル（Mac 用）です。Windows では、再配布可能な .exe を選択できます。
3. 生成されたキット（Windows または Mac）をローカル サーバにダウンロードします。
4. AMP イネーブラ プロファイルを作成して保存するため、ASA または ISE ヘッドエンドにログインします。

   （注）	特に ISE ポスチャを使用する場合は、1 つのヘッドエンド（ASA または ISE のいずれか）に対してのみプロファイルを設定することをお勧めします。

5. ASA または ISE ヘッドエンドで、オプション モジュールのリストから AMP Enable モジュールを選択し、AMP イネーブラ プロファイルを指定します。

   作成したプロファイルは、AnyConnect AMP イネーブラに使用されます。AMP イネーブラとこのプロファイルが ASA または ISE ヘッドエンドからエンドポイントにプッシュされます。

管理者は、AMP イネーブラ プロファイルを作成して ASA にアップロードするために、このスタンドアロン エディタを使用することができます。それ以外の場合は、組み込みの AMP イネーブラ プロファイル エディタが[ポリシー要素（Policy Elements）] 下の ISE UI 内で、または ASDM 内で設定されます。信頼されているローカル Web サーバが AMP プロファイル エディタと連携できるようにするには、keytool コマンドを使用してルート CA 証明書を Java 証明書ストアにインポートする必要があります。

Windows：keytool -import -keystore [JAVA-HOME]/lib/security/cacerts -storepass changeit -trustcacerts -alias root -file [PATH_TO_THE_CERTIFICATE]/certnew.cer

Mac：sudo keytool-import-keystore [JAVA-HOME]/lib/security/cacerts -storepass changeit -trustcacerts -alias root -file [PATH_TO_THE_CERTIFICATE]/certnew.cer

• [名前（Name）]
• 説明
• [エンドポイント向けAMPのインストール（Install AMP for Endpoints）]：エンドポイント向け AMP をインストールするためにこのプロファイルを設定する場合に選択します。
• [エンドポイント向けAMPのアンインストール（Uninstall AMP for Endpoints）]：エンドポイント向け AMP をアンインストールするためにこのプロファイルを設定する場合に選択します。アンインストールを選択した場合、その他のフィールドに入力する必要はありません。
• [Windowsインストーラ（Windows Installer）]：.exe ファイルが存在するローカル ホスティング サーバのアドレスまたは URL を入力します。
• [Macインストーラ（Mac Installer）]：.pkg ファイルが存在するローカル ホスティング サーバのアドレスまたは URL を入力します。
• [チェック（Check）]：URL をチェックしてこの URL が有効であることを確認する場合にクリックします。有効な URL とは、到達可能であり信頼できる証明書が含まれている URL です。サーバが到達可能であり、この URL で接続が確立されたら、プロファイルを保存できます。
• [スタートメニューに追加（Add to Start Menu）]：[スタート（Start）] メニューにショートカットを作成します。
• [デスクトップに追加（Add to Desktop）]：デスクトップ アイコンを作成します。
• [コンテキストメニューに追加（Add to Context Menu）]：このオプションを選択すると、ファイルやフォルダを右クリックし、[今すぐスキャン（Scan Now）] を選択してスキャンを実行できるようになります。

AMP の実際のダウンロードとインストールに関連するメッセージはすべて、AnyConnect UI の [AMP イネーブラ（AMP Enabler）] タイルに部分的なタイルとして表示されます。インストール完了後、すべての AMP 関連メッセージは エンドポイント向け AMP UI に表示されます。たとえば、アンチマルウェア防御のインストール時またはアンインストール時にメッセージがユーザに対して表示され、失敗が示されるか、または再起動が必要なことが示されます。