デバイス設定の管理

デバイスを管理するために、Security Cloud Control は、デバイスの設定のコピーを独自のデータベースに保存する必要があります。Security Cloud Control は、管理対象デバイスから設定を「読み取る」とき、デバイス設定のコピーを作成し、それを保存します。Security Cloud Control が最初にデバイスの設定のコピーを読み取って保存するのは、デバイスが導入準備されたときです。以下 の選択肢のように、さまざまな目的に応じて設定を読み取ります。

  • [変更の破棄(Discard Changes)]:このアクションは、デバイスの設定ステータスが「未同期」の場合に使用できます。未同期の状態では、デバイスの設定に対する変更が Security Cloud Control で保留中になっています。このオプションを使用すると、保留中のすべての変更を取り消すことができます。保留中の変更は削除され、Security Cloud Control は設定のコピーをデバイスに保存されている設定のコピーで上書きします。

  • [変更の確認(Check for Changes)]:このアクションは、デバイスの設定ステータスが同期済みの場合に使用できます。[変更の確認(Checking for Changes)] をクリックすると、Security Cloud Control は、デバイスの設定のコピーを、デバイスに保存されている設定のコピーと比較するように指示します。違いがある場合、Security Cloud Control はデバイスに保存されているコピーでそのデバイスの設定のコピーをすぐに上書きします。

  • [競合の確認(Review Conflict)] と [レビューなしで承認(Accept Without Review)]:デバイスで [競合検出(Conflict Detection)] を有効にすると、Security Cloud Control はデバイスに加えられた設定の変更を 10 分ごとにチェックします。https://docs.defenseorchestrator.com/Welcome_to_Cisco_Defense_Orchestrator/Basics_of_Cisco_Defense_Orchestrator/Synchronizing_Configurations_Between_Defense_Orchestrator_and_Device/0010_Conflict_Detectionデバイスに保存されている設定のコピーが変更された場合、Security Cloud Control は「競合が検出されました」という設定ステータスを表示して通知します。

    • [競合の確認(Review Conflict)]:[競合の確認(Review Conflict)] をクリックすると、デバイスで直接行われた変更を確認し、それらを受け入れるか拒否するかを選択できます。

    • [レビューなしで承認(Accept Without Review)]:このアクションにより、Security Cloud Control がもつ、デバイスの構成のコピーが、デバイスに保存されている構成の最新のコピーで上書きされます。Security Cloud Control では、上書きアクションを実行する前に、構成の 2 つのコピーの違いを確認するよう求められません。

[すべて読み取り(Read All)] :これは一括操作です。任意の状態にある複数のデバイスを選択し、[すべて読み取り(Read All)] をクリックして、Security Cloud Control に保存されているすべてのデバイスの設定を、デバイスに保存されている設定で上書きできます。

  • [変更の展開(Deploy Changes)]:デバイスの設定に変更を加えると、Security Cloud Control では、加えた変更が独自のコピーに保存されます。これらの変更は、デバイスに展開されるまで Security Cloud Control で「保留」されています。デバイスの設定に変更があり、それがデバイスに展開されていない場合、デバイスは未同期構成状態になります。

    保留中の設定変更は、デバイスを通過するネットワークトラフィックには影響しません。変更は、Security Cloud Control がデバイスに展開した後にのみ影響を及ぼします。Security Cloud Control がデバイスの設定に変更を展開すると、変更された設定の要素のみが上書きされます。デバイスに保存されている構成ファイル全体を上書きすることはありません。展開は、1 つのデバイスに対して開始することも、複数のデバイスに対して同時に開始することもできます。

  • [すべて破棄(Discard All)] は、[プレビューして展開...(Preview and Deploy..)] をクリックした後にのみ使用できるオプションです。 。[プレビューして展開(Preview and Deploy)] をクリックすると、Security Cloud Control で保留中の変更のプレビューが Security Cloud Control に表示されます。[すべて破棄(Discard All)] をクリックすると、保留中のすべての変更が Security Cloud Control から削除され、選択したデバイスには何も展開されません。上述の [変更の破棄(Discard Changes)] とは異なり、保留中の変更を削除すると操作が終了します。


(注)  

展開や繰り返しの展開をスケジュールできます。詳細については、「自動展開のスケジュール」を参照してください。

設定変更の読み取り、破棄、および展開

すべてのデバイス設定の読み取り

Security Cloud Control の外部にあるデバイスの設定が変更された場合、Security Cloud Control に保存されているデバイスの設定と、当該デバイスの設定のローカルコピーは同じではなくなります。多くの場合、Security Cloud Control にあるデバイスの設定のコピーをデバイスに保存されている設定で上書きして、設定を再び同じにしたいと考えます。[すべて読み取り(Read All)] リンクを使用して、多くのデバイスでこのタスクを同時に実行できます。

Security Cloud Control によるデバイス設定の 2 つのコピーの管理方法の詳細については、「設定変更の読み取り、破棄、チェック、および展開」を参照してください。

[すべて読み取り(Read All)] をクリックした場合に、Security Cloud Control にあるデバイスの設定のコピーがデバイスの設定のコピーで上書きされる 3 つの設定ステータスを次に示します。

  • [競合検出(Conflict Detected)]:競合検出が有効になっている場合、Security Cloud Control は、設定に加えられた変更について、管理するデバイスを 10 分ごとにポーリングします。Security Cloud Control がデバイスの設定が変更されたことを検出した場合、Security Cloud Control はデバイスの [競合検出(Conflict Detected)] 設定ステータスを表示します。

  • [同期(Synced)]:デバイスが [同期(Synced)] 状態の場合に、[すべて読み取り(Read All)] をクリックすると、Security Cloud Control はすぐにデバイスをチェックして、設定に直接変更が加えられているかどうかを判断します。[すべて読み取り(Read All)] をクリックすると、Security Cloud Control はデバイスの設定のコピーを上書きすることを確認し、その後 Security Cloud Control が上書きを実行します。

  • [未同期(Not Synced)]:デバイスが [未同期(Not Synced)] 状態の場合に、[すべて読み取り(Read All)] をクリックすると、Security Cloud Control は、Security Cloud Control を使用したデバイスの設定に対する保留中の変更があること、および [すべて読み取り(Read All)] 操作を続行すると保留中の変更が削除されてから、Security Cloud Control にある設定のコピーがデバイス上の設定で上書きされることを警告します。この [すべて読み取り(Read All)] は、[変更の破棄(Discard Changes)] と同様に機能します。設定変更の破棄

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

(任意)変更ログでこの一括アクションの結果を簡単に識別できるように、変更リクエストラベルを作成します。

ステップ 5

Security Cloud Control を保存する設定のデバイスを選択します。Security Cloud Control では、選択したすべてのデバイスに適用できるアクションのコマンドボタンのみ提供されることに注意してください。

ステップ 6

[すべて読み取り(Read All)] をクリックします。

ステップ 7

選択したデバイスのいずれかについて、Security Cloud Control で設定変更がステージングされている場合、Security Cloud Control は警告を表示し、設定の一括読み取りアクションを続行するかどうかを尋ねられます。[すべて読み取り(Read All)] をクリックして続行します。

ステップ 8

設定の [すべて読み取り(Read All)] 操作の進行状況については、[通知(notifications)] タブで確認します。一括操作の個々のアクションの成功または失敗に関する詳細を確認する場合は、青色の [レビュー(Review)] リンクをクリックすると、[ジョブ(Jobs)] ページに移動します。 Security Cloud Control でのジョブのモニタリング

ステップ 9

変更リクエストラベルを作成してアクティブ化した場合は、他の設定変更を誤ってこのイベントに関連付けないように、忘れずにラベルをクリアしてください。

FDM-Managed デバイスから Security Cloud Control への設定変更の読み取り

Security Cloud ControlFDM-managed デバイスの設定を読み取る理由

FDM-managed デバイスを管理するため、Security Cloud ControlFDM-managed デバイスの設定のコピーを独自に保存しておく必要があります。Security Cloud Control は、FDM-managed デバイスから設定を読み取るときに FDM-managed デバイスの展開された設定のコピーを取得し、それを独自のデータベースに保存します。Security Cloud Control が最初にデバイスの構成ファイルのコピーを読み取って保存するのは、デバイスがオンボードされたときです。詳細については、「設定変更の読み取り、破棄、チェック、および展開」を参照してください。

保留中および展開済みの変更

Firepower Device Manager(FDM)またはその CLI を介して直接 FDM-managed デバイスに加えられた設定変更は、それらが展開されるまで、FDM-managed デバイスでの段階的な変更と呼ばれます。段階的な変更または保留中の変更は、FDM-managed デバイスを通過するトラフィックに影響を与えることなく編集または削除できます。ただし、保留中の変更が展開されると、それらの変更は FDM-managed デバイスによって適用され、デバイスを通過するトラフィックに影響を与えます。

競合が検出されました

デバイスで [競合検出(Conflict Detection)]競合検出を有効にすると、Security Cloud Control は 10 分ごとに設定の変更をチェックします。デバイスに保存されている設定のコピーが変更された場合、Security Cloud Control は「競合が検出されました」という設定ステータスを表示して通知します。競合検出を有効にしていない場合、または 10 分間の自動ポーリング間隔以内にデバイスの設定に変更が加えられた場合、[変更の確認(Check for Changes)] をクリックすると、Security Cloud Control はデバイス上の設定のコピーと Security Cloud Control に保存された設定のコピーを即時に比較します。[競合の確認(Review Conflict)] を選択してデバイス設定と Security Cloud Control に保存された設定との違いを調べ、その後 [変更の破棄(Discard Changes)] を選択して段階的な変更を削除し、保存された設定に戻すか、変更を確定することができます。[レビューなしで受け入れる(Accept without Review)] を選択することもできます。このオプションを選択すると、設定が取得され、現在 Security Cloud Control に保存されている設定が上書きされます。

変更の破棄手順

FDM-managed デバイスからの設定変更を破棄するには、次の手順に従います。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

構成が [競合が検出されました(Conflict Detected)] に設定されているデバイスを選択すると、[保留中の変更を元に戻す(Revert Pending Changes)] リンクが表示されます。メッセージで、リンクをクリックすると保留中の変更を元に戻すことができること、またはローカルマネージャ FDM を使用してデバイスにログオンし、最初に変更を展開できることが説明されます。

(注)  

 

フィルタを使用して、競合状態にあるデバイスを見つけることができます。

注意    

 

[保留中の変更を元に戻す(Revert Pending Changes)] リンクをクリックすると、FDM-managed デバイスの保留中の変更がすぐに削除されます。最初に変更を確認する機会はありません。

ステップ 5

[保留中の変更を元に戻す(Revert Pending Changes)] をクリックする前に、FDM で変更を確認するには、次の手順を実行します。

  1. ブラウザウィンドウを開き、https://< IP_address_of_the_FTD > と入力します。

  2. FDM で展開アイコンを探します。コンソールにはオレンジ色の円が表示されており、展開する準備が整った変更があることを示しています

  3. アイコンをクリックして、保留中の変更を確認します。

  • 変更を削除しても構わない場合は、Security Cloud Control に戻り、[保留中の変更を元に戻す(Revert Pending Changes)] をクリックします。この時点で、FDM-managed デバイスの構成と Security Cloud Control の構成のコピーは同じである必要があります。これで追加されました。

  • 変更をデバイスに展開する場合は、[今すぐ展開(Deploy Now)] をクリックします。これで、FDM-managed デバイスに展開された構成と Security Cloud Control に保存された構成が同じではなくなりました。Security Cloud Control に戻り、デバイスの変更をポーリングできますSecurity Cloud ControlFDM-managed デバイスに変更があったことを識別し、該当する競合を確認できます。その状態を解決するには、「競合検出 - 競合の確認」を参照してください。

保留中の変更を元に戻すことに失敗した場合

システムデータベースとセキュリティフィードへの変更は、Security Cloud Control によって元に戻すことはできません。Security Cloud Control は保留中の変更があることを認識し、それらを元に戻そうとしますが失敗します。元に戻せなかった原因が、保留中のデータベースの更新やセキュリティフィードの更新なのかどうかを判断するには、デバイスの FDM コンソールにログインします。コンソールにはオレンジ色の円が表示されており、展開する準備が整った変更があることを示しています 。[展開(Deploy)] ボタンをクリックして保留中の変更を確認し、必要に応じて展開または破棄します。

競合の確認手順

FDM-managed からの設定変更を確認するには、次の手順に従います。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

設定が [競合検出(Conflict Detected)] とマークされているデバイスを選択すると、右側の [競合検出(Conflict Detected)] ペインに [競合の確認(Review Conflict)] へのリンクが表示されます。

ステップ 5

[競合の確認(Review Conflict)] をクリックします。

ステップ 6

提示された 2 つの設定を比較します。

ステップ 7

次のいずれかの操作を行います。

  • [承認(Accept)] をクリックして、Security Cloud Control で最後に認識された設定をデバイスで検出された設定で上書きします。Security Cloud Control に保存されている設定全体が、デバイスで検出された設定によって完全に上書きされます。

  • [拒否(Reject)] をクリックして、デバイスに加えられた変更を拒否し、Security Cloud Control で最後に認識された設定に置き換えます。

  • 削除を中止するには、[キャンセル(Cancel)] をクリックします。

(注)  

 

デバイスが同期状態のときに [変更の確認(Check for Changes)]設定変更の確認をクリックすると、アウトオブバンドの変更についてデバイスをすぐに確認するように Security Cloud Control に指示できます。

レビューなしで承認する手順

FDM-managed デバイスからの設定変更を確認せずに受け入れるには、次の手順に従います。

手順

ステップ 1

左側のペインで Security Devices タブをクリックします。

ステップ 2

適切なデバイスタイプのタブをクリックします。

ステップ 3

設定が [競合検出(Conflict Detected)] とマークされているデバイスを選択すると、右側の [競合検出(Conflict Detected)] ペインに [レビューなしで承認(Accept Without Review)] へのリンクが表示されます。

ステップ 4

[レビューなしで承認(Accept Without Review)] をクリックします。Security Cloud Control は、現在の設定を受け入れて上書きします。

すべてのデバイスの設定変更のプレビューと展開

組織上のデバイスに構成変更を加えたものの、その変更をまだ展開していない場合、Security Cloud Control は展開アイコン にオレンジ色のドットを表示して通知します。これらの変更の影響を受けるデバイスについては、[セキュリティデバイス(Security Devices)] ページに「未同期(Not Synced)」のステータスが表示されます。[展開(Deploy)] をクリックすると、保留中の変更があるデバイスを確認し、それらのデバイスに変更を展開できます。

この展開方法は、サポートされているすべてのデバイスで使用できます。

この展開方法を使用して、単一の構成変更を展開することも、待機して複数の変更を一度に展開することもできます。

手順

ステップ 1

Security Cloud Control のメニューバーで、[展開(Deploy)] ボタン をクリックします。

ステップ 2

展開する変更があるデバイスを選択します。デバイスに黄色の三角の注意マークが付いている場合、そのデバイスに変更を展開することはできません。黄色の三角の注意マークにマウスを合わせると、そのデバイスに変更を展開できない理由を確認できます。

ステップ 3

(オプション)保留中の変更に関する詳細情報を表示する場合は、[詳細な変更ログを表示(View Detailed Changelog)] リンクをクリックして、その変更に関連付けられた変更ログを開きます。[展開(Deploy)] アイコンをクリックして、[保留中の変更があるデバイス(Devices with Pending Changes)] ページに戻ります。

ステップ 4

[今すぐ展開(Deploy Now)] をクリックして、選択したデバイスに今すぐ変更を展開します。[ジョブ(Jobs)] トレイの [アクティブなジョブ(Active jobs)] インジケータに進行状況が表示されます。

ステップ 5

(オプション)展開が完了したら、[プラットフォーム(Platform)] メニューで [ファイアウォール(Firewall)] をクリックし、[イベントとログ(Events & Logs)] > [イベント(Events)] > [ジョブ(Jobs)] の順に選択します。展開の結果を示す最近の「変更の展開(Deploy Changes)」ジョブが表示されます。

Security Cloud Control から FDM-Managed デバイスへの設定変更の展開

Security Cloud ControlFDM-Managed デバイスに変更を展開する理由

Security Cloud Control を使用してデバイスの設定を管理および変更すると、Security Cloud Control により構成ファイルの独自のコピーに加えた変更が保存されます。それらの変更は、デバイスに展開されるまで Security Cloud Control でステージングされたと見なされます。ステージングされた設定変更は、デバイスを通過するネットワークトラフィックには影響しません。変更は、Security Cloud Control がデバイスに展開した後にのみ、デバイスを通過するトラフィックに影響を及ぼします。Security Cloud Control がデバイスの設定に変更を展開すると、変更された設定の要素のみが上書きされます。デバイスに保存されている構成ファイル全体が上書きされることはありません。

Security Cloud Control と同様に、FDM-managed デバイスには保留中の変更と展開された変更の概念があります。FDM-managed デバイスの保留中の変更は、Security Cloud Control のステージングされた変更に相当します。保留中の変更は、FDM-managed デバイスを通過するトラフィックに影響を与えることなく編集または削除できます。ただし、保留中の変更が展開されると、それらの変更は FDM-managed デバイスによって適用され、デバイスを通過するトラフィックに影響を与えます。

FDM 管理対象デバイスの構成ファイルは編集プロセスが 2 段階であるため、Security Cloud Control は、管理する他のデバイスへの展開とは若干異なる方法で FDM-managed デバイスへの変更を展開します。Security Cloud Control は最初に FDM-managed デバイスに変更を展開し、変更は保留状態になります。次に、Security Cloud Control が変更をデバイスに展開すると、変更が有効になります。変更は展開されると適用されるため、FDM-managed デバイスを通過するトラフィックに影響を与えます。これは、スタンドアロンデバイスと高可用性(HA)デバイスの両方に適用されます。

展開は、1 つのデバイスに対して開始することも、複数のデバイスに対して同時に開始することもできます。単一のデバイスに対して、個別の展開や繰り返しの展開をスケジュールできます。

Security Cloud ControlFDM-managed デバイスに変更を展開できない 2 つの要因は次のとおりです。

  • FDM-managed デバイスに段階的な変更がある場合。この状態を解決する方法の詳細については、「競合検出」を参照してください。

  • FDM-managed デバイスに展開されるプロセスに変更がある場合、Security Cloud Control は変更を展開しません。

自動展開のスケジュール

自動展開をスケジュールする保留中の変更を使用して、単一のデバイスへの展開をスケジュールするようにテナントを設定することもできます。

デバイスへの変更の展開

手順

ステップ 1

Security Cloud Control を使用してデバイスの設定を変更して保存すると、その変更はデバイスの設定の Security Cloud Control インスタンスに保存されます。

ステップ 2

ナビゲーションバーで Security Devices をクリックします。

ステップ 3

[デバイス] タブをクリックします。

ステップ 4

適切なデバイスタイプのタブをクリックします。変更を加えたデバイスの設定ステータスが [非同期(Not Synced)] と表示されます。

ステップ 5

次のいずれかの方法を使用して、変更を展開します。

  • デバイスを選択し、右側の [非同期(Not Synced)] ペインで [プレビューして展開(Preview and Deploy)]をクリックします。 [保留中の変更(Pending Changes)] 画面で、変更を確認します。保留中のバージョンに問題がなければ、[今すぐ展開(Deploy Now)] をクリックします。

    変更が正常に展開されたら、変更ログを表示して、展開の結果を確認できます。

  • 画面右上の [展開(Deploy)] アイコン をクリックします。詳細については、「すべてのデバイスの設定変更のプレビューと展開」を参照してください。

変更をキャンセルする

Security Cloud Control からデバイスに変更を展開するときに [キャンセル(Cancel)] をクリックすると、行った変更はデバイスに展開されません。プロセスはキャンセルされます。行った変更はまだ Security Cloud Control で保留中であり、最終的に FDM-managed デバイスに展開する前に編集を加えることができます。

変更の破棄

変更をプレビューしているときに [すべて破棄(Discard all)] をクリックすると、自分が行った変更と、他のユーザーが行ったもののデバイスに展開しなかったその他の変更が削除されます。Security Cloud Control は、保留中の構成を、変更が行われる前の最後の読み取りまたは展開された構成に戻します。

デバイス設定の一括展開

共有オブジェクトを編集するなどして複数のデバイスに変更を加えた場合、影響を受けるすべてのデバイスにそれらの変更を一度に適用できます。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

Security Cloud Control で設定を変更した、すべてのデバイスを選択します。これらのデバイスは、「未同期」ステータスが表示されているはずです。

ステップ 5

次のいずれかの方法を使用して、変更を展開します。

  • 画面の右上にある ボタンをクリックして、[保留中の変更があるデバイス(Devices with Pending Changes)] ウィンドウを表示します。これにより、選択したデバイス上の保留中の変更を展開する前に確認することができます。変更を展開するには、[今すぐ展開(Deploy Now)] をクリックします。

    (注)  

     

    [保留中の変更があるデバイス(Devices with Pending Changes)] 画面でデバイスの横に黄色の警告三角形が表示されている場合、そのデバイスに変更を展開することはできません。そのデバイスに変更を展開できない理由を確認するには、警告三角形の上にマウスカーソルを置きます。

  • 詳細ペインで [すべて展開(Deploy All)] をクリックします。 すべての警告を確認し、[OK] をクリックします。一括展開は、変更を確認せずにすぐに開始します。

ステップ 6

(任意)ナビゲーションバーの [ジョブ(Jobs)] アイコン をクリックして、一括展開の結果を表示します。

スケジュールされた自動展開について

Security Cloud Control を使用すると、CDO が管理する 1 つ以上のデバイスの構成を変更し、都合のよいタイミングでそれらのデバイスに変更を展開するようにスケジュールできます。

[設定(Settings)] ページの [テナント設定(Tenant Settings)] タブで 自動展開をスケジュールするオプションを有効化 をした場合のみ、展開をスケジュールできます。このオプションを有効にすると、展開スケジュールを作成、編集、削除できます。展開スケジュールによって、Security Cloud Control に保存されたすべてのステージング済みの変更が、設定した日時に展開されます。[ジョブ] ページから、展開スケジュールを表示および削除することもできます。

Security Cloud Control読み取られていないデバイスに直接変更が加えられた場合、その競合が解決されるまで、展開スケジュールはスキップされます。[ジョブ(Jobs)] ページには、スケジュールされた展開が失敗したインスタンスが一覧表示されます。[自動展開をスケジュールするオプションを有効にする(Enable the Option to Schedule Automatic Deployments)] をオフにすると、スケジュールされたすべての展開が削除されます。


注意    

複数のデバイスの新しい展開をスケジュールし、それらのデバイスの一部に展開が既にスケジュールされている場合、既存の展開スケジュールが新しい展開スケジュールで上書きされます。

(注)  

展開スケジュールを作成すると、スケジュールはデバイスのタイムゾーンではなく現地時間で作成されます。展開スケジュールは、サマータイムに合わせて自動的に調整されません

自動展開のスケジュール

展開スケジュールは、単一のイベントまたは繰り返し行われるイベントにすることができます。繰り返し行われる自動展開は、繰り返し行われる展開をメンテナンス期間に合わせるための便利な方法です。次の手順に従って、単一のデバイスに対して 1 回限りまたは繰り返し行われる展開をスケジュールします。


重要

この手順は、Cisco ASAおよび FDM-managed デバイスにのみ適用されます。

[on-premises Firewall Management Center] または [Cloud-Delivered Firewall Management Center] によって管理される [Cisco Secure Firewall Threat Defense] デバイスの展開をスケジュールするには、「スケジュール」を参照してください。


(注)  

既存の展開がスケジュールされているデバイスへの展開をスケジュールすると、新しくスケジュールされた展開によって既存の展開が上書きされます。
手順

ステップ 1

Cisco Security Cloud Control ホームページから、Security Devices を選択します。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

1 つ以上のデバイスを選択します。

ステップ 5

[デバイスの詳細(Device Details)] ペインで、[スケジュールされた展開( Scheduled Deployments)] タブを見つけて、[スケジュール(Schedule)] をクリックします。

ステップ 6

展開をいつ実行するかを選択します。

  • 1 回限りの展開の場合は、[1回限り(Once on)] オプションをクリックして、カレンダーから日付と時刻を選択します。

  • 繰り返し展開する場合は、[定期(Every)] オプションをクリックします。日に 1 回と週に 1 回のいずれかの展開を選択できます。展開を実行する [曜日(Day)] と [時刻(Time)] を選択します。

ステップ 7

[Save] をクリックします。

スケジュールされた展開の編集

スケジュールされた展開を編集するには、次の手順に従います。

手順

ステップ 1

Security Cloud Control ホームページから、Security Devices を選択します。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

1 つ以上のデバイスを選択します。

ステップ 5

[デバイスの詳細(Device Details)] ペインで、[スケジュールされた展開( Scheduled Deployments)] タブを見つけて、[編集(Edit)] をクリックします。

ステップ 6

スケジュールされた展開の繰り返し回数、日付、または時刻を編集します。

ステップ 7

[Save] をクリックします。

スケジュールされた展開の削除

スケジュールされた展開を削除するには、次の手順に従います。


(注)  

複数のデバイスの展開をスケジュールしてから、一部のデバイスのスケジュールを変更または削除した場合は、残りのデバイスの元のスケジュールされた展開が保持されます。
手順

ステップ 1

Cisco Security Cloud Control ホームページから、Security Devices を選択します。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

1 つ以上のデバイスを選択します。

ステップ 5

[デバイスの詳細(Device Details)] ペインで、[スケジュールされた展開( Scheduled Deployments)] タブを見つけて、[削除(Delete)] をクリックします。
次のタスク

設定変更の確認

[変更の確認(Check for Changes)] をクリックして、デバイスの設定がデバイス上で直接変更されているか、Security Cloud Control に保存されている設定のコピーと異なっているかどうかを確認します。このオプションは、デバイスが [同期(Synced)] 状態のときに表示されます。

変更を確認するには、次の手順を実行します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、Security Devices を選択します。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

設定がデバイス上で直接変更された可能性があるデバイスを選択します。

ステップ 5

右側の [同期(Synced)] ペインで [変更の確認(Check for Changes)] をクリックします。

ステップ 6

次の動作は、デバイスによって若干異なります。

  • FTD デバイスの場合、デバイスの設定に変更があった場合、次のメッセージが表示されます。

    Reading the policy from the device. If there are active deployments on the device, reading will start after they are finished.

    • [OK] をクリックして、先へ進みます。デバイスの設定で、Security Cloud Control に保存されている設定が上書きされます。

    • 操作をキャンセルするには、[キャンセル(Cancel)] をクリックします。

  • デバイスの場合:

  1. 提示された 2 つの設定を比較します。[続行(Continue)] をクリックします。最後に認識されたデバイス設定(Last Known Device Configuration)というラベルの付いた設定は、Security Cloud Control に保存されている設定です。[デバイスで検出(Found on Device)] というラベルの付いた設定は、ASA に保存されている設定です。

  2. 次のいずれかを選択します。

    1. [拒否(Reject)]:アウトオブバンド変更を拒否して、「最後に認識されたデバイス設定(Last Known Device Configuration)」を維持します。

    2. [承認(Accept)]:アウトオブバンド変更を承認して、Security Cloud Control に保存されているデバイスの設定を、デバイスで見つかった設定で上書きします。

  3. [続行(Continue)] をクリックします。

設定変更の破棄

Security Cloud Control を使用してデバイスの構成に加えた、展開されていない構成変更のすべてを「元に戻す」場合は、[変更の破棄(Discard Changes)] をクリックします。[変更の破棄(Discard Changes)] をクリックすると、Security Cloud Control は、デバイスに保存されている構成でデバイスの構成のローカルコピーを完全に上書きします。

[変更の破棄(Discard Changes)] をクリックすると、デバイスの構成ステータスは [未同期(Not Synced)] 状態になります。変更を破棄すると、Security Cloud Control 上の構成のコピーは、デバイス上の構成のコピーと同じになり、Security Cloud Control の構成ステータスは [同期済み(Synced)] に戻ります。

デバイスの展開されていない構成変更のすべてを破棄する(つまり「元に戻す」)には、次の手順を実行します。

手順

ステップ 1

Cisco Security Cloud Control ホームページから、Security Devices を選択します。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

構成変更を実行中のデバイスを選択します。

ステップ 5

右側の [未同期(Not Synced)] ペインで [変更の破棄(Discard Changes)] をクリックします。

  • FDM-managed デバイスの場合は、Security Cloud Control で「Security Cloud Control 上の保留中の変更は破棄され、このデバイスに関する Security Cloud Control 構成は、デバイス上の現在実行中の構成に置き換えられます(Pending changes on CDO will be discarded and the CDO configuration for this device will be replaced with the configuration currently running on the device)」という警告メッセージが表示されます。[続行(Continue)] をクリックして変更を破棄します。

  • Meraki デバイスの場合は、Security Cloud Control で変更がすぐに削除されます。

  • AWS デバイスの場合は、Security Cloud Control で削除しようとしているものが表示されます。[同意する(Accept)] または [キャンセル(Cancel)] をクリックします。

デバイスのアウトオブバンド変更

アウトオブバンド変更とは、Security Cloud Control を使用せずにデバイス上で直接行われた変更を指します。アウトオブバンド変更は、SSH 接続を介してデバイスのコマンド ライン インターフェイスを使用して、または、ASA の場合は Adaptive Security Device Manager(ASDM)、FDM-managed デバイスの場合は FDMOn-Premises Firewall Management Center ユーザーインターフェイス上の On-Premises Firewall Management Center などのローカルマネージャを使用して行うことができます。アウトオブバンド変更により、Security Cloud Control に保存されているデバイスの設定とデバイス自体に保存されている設定との間で競合が発生します。

デバイスでのアウトオブバンド変更の検出

ASA、FDM-managed デバイス、Cisco IOS デバイス、または On-Premises Firewall Management Center に対して競合検出が有効になっている場合、Security Cloud Control は 10 分ごとにデバイスをチェックし、Security Cloud Control の外部でデバイスの設定に直接加えられた新たな変更を検索します。

Security Cloud Control は、Security Cloud Control に保存されていないデバイスの設定に対する変更を検出した場合、そのデバイスの [設定ステータス(Configuration Status)] を [競合検出(Conflict Detected)] 状態に変更します。

Security Cloud Control が競合を検出した場合、次の 2 つの状態が考えられます。

  • Security Cloud Control のデータベースに保存されていない設定変更が、デバイスに直接加えられています。

  • FDM-managed デバイスの場合、FDM-managed デバイスに展開されていない「保留中」の設定変更がある可能性があります。

  • On-Premises Firewall Management Center の場合、たとえば、Security Cloud Control との同期が保留されている Security Cloud Control の外部で行われた変更や、On-Premises Firewall Management Center への展開が保留されている Security Cloud Control で行われた変更がある可能性があります。

Security Cloud Control とデバイス間の設定を同期する

設定の競合について

[セキュリティデバイス(Security Devices)] ページで、デバイスまたはサービスのステータスが [同期済み(Synced)]、[未同期(Not Synced)]、または [競合検出(Conflict Detected)] になっていることがあります。Security Cloud Control を使用して管理する On-Premises Firewall Management Center のステータスを確認するには、Administration > Integrations > Firewall Management Center に移動します。

  • デバイスが [同期済み(Synced)] の場合、Security Cloud Control の設定と、デバイスにローカルに保存されている設定は同じです。

  • デバイスが [未同期(Not Synced)] の場合、Security Cloud Control に保存された設定が変更され、デバイスにローカルに保存されている設定とは異なっています。Security Cloud Control からデバイスに変更を展開すると、Security Cloud Control のバージョンに一致するようにデバイスの設定が変更されます。

  • Security Cloud Control の外部でデバイスに加えられた変更は、アウトオブバンドの変更と呼ばれます。デバイスの競合検出が有効になっている場合、アウトオブバンドの変更が行われると、デバイスのステータスが [競合が検出されました(Conflict Detected)] に変わります。アウトオブバンドの変更を受け入れると、Security Cloud Control の設定がデバイスの設定と一致するように変更されます。

競合検出

競合検出が有効になっている場合、Security Cloud Control はデフォルトの間隔でデバイスをポーリングして、Security Cloud Control の外部でデバイスの構成が変更されたかどうかを判断します。変更が行われたことを検出すると、Security Cloud Control はデバイスの構成ステータスを [競合検出(Conflict Detected)] に変更します。Security Cloud Control の外部でデバイスに加えられた変更は、「アウトオブバンドの」変更と呼ばれます。

Security Cloud Control によって管理されているOn-Premises Firewall Management Center で、ステージングされた変更があり、デバイスが [未同期(Not Synced)] 状態の場合、Security Cloud Control はデバイスのポーリングを停止して変更を確認します。Security Cloud Control との同期が保留されている Security Cloud Control の外部で行われた変更と、on-premises Firewall Management Center への展開が保留されている Security Cloud Control で行われた変更がある場合、Security Cloud Controlon-premises Firewall Management Centerが [競合検出(Conflict Detected)] 状態であることを宣言します。

このオプションを有効にすると、デバイスごとに競合または OOB 変更を検出する頻度を設定できます。詳細については、「デバイス変更のポーリングのスケジュール」を参照してください。

競合検出の有効化

競合検出を有効にすると、Security Cloud Control の外部でデバイスに変更が加えられた場合に警告が表示されます。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブを選択します。

ステップ 4

競合検出を有効にする 1 台または複数のデバイスを選択します。

ステップ 5

デバイステーブルの右側にある [競合検出(Conflict Detection)] ボックスで、リストから [有効(Enabled)] を選択します。

デバイスからのアウトオブバンド変更の自動的な受け入れ

変更の自動的な受け入れを有効にすることで、管理対象デバイスに直接加えられた変更を自動的に受け入れるように Security Cloud Control を設定できます。Security Cloud Control を使用せずにデバイスに直接加えられた変更は、アウトオブバンド変更と呼ばれます。アウトオブバンドの変更により、Security Cloud Control に保存されているデバイスの設定とデバイス自体に保存されている設定との間で競合が発生します。

変更の自動受け入れ機能は、競合検出のための強化機能です。デバイスで変更の自動受け入れを有効にしている場合、Security Cloud Control は 10 分ごとに変更をチェックして、デバイスの設定に対してアウトオブバンドの変更が行われたかどうかを確認します。設定が変更されていた場合、Security Cloud Control は、プロンプトを表示することなく、デバイスの設定のローカルバージョンを自動的に更新します。

Security Cloud Control で行われたいずれかの設定変更がデバイスにまだ展開されていない場合、Security Cloud Control は設定変更を自動的に受け入れません画面上のプロンプトに従って、次のアクションを決定します。

変更の自動承認を使用するには、最初に、[セキュリティデバイス(Security Devices)] ページの [競合検出(Conflict Detection)] メニューで自動承認オプションをテナントが表示できるようにします。次に、個々のデバイスでの変更の自動承認を有効にします。

Security Cloud Control でアウトオブバンドの変更を検出するものの、変更を手動で受け入れたり拒否したりするオプションを選択する場合は、代わりに 競合検出 を有効にします。

自動承認変更の設定

手順

ステップ 1

管理者またはネットワーク管理者権限を持つアカウントを使用して Security Cloud Control にログインします。

ステップ 2

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 3

左側のペインで Administration > General Settings をクリックします。

ステップ 4

[テナント設定(Tenant Settings)] エリアで、[デバイスの変更を自動承認するオプションの有効化(Enable the Option to Auto-accept Device Changes)] のトグルをクリックします。[セキュリティデバイス(Security Devices)] ページの [競合検出(Conflict Detection)] メニューに [変更の自動承認(Auto-Accept Changes)] メニューオプションが表示されます。

ステップ 5

左側のペインで Security Devices をクリックして、アウトオブバンドの変更を自動承認するデバイスを選択します。

ステップ 6

[競合の検出(Devices & Services)] メニューで、ドロップダウンメニューから [変更の自動承認(Auto-Accept Changes)] を選択します。

テナント上のすべてのデバイスの自動承認変更の無効化

手順

ステップ 1

[管理者(Admin)] または [ネットワーク管理者(Super Admin)] 権限を持つアカウントを使用して Security Cloud Control にログインします。

ステップ 2

Cisco Security Cloud Control ホームページから、[Products] > [Firewall] を選択します。

ステップ 3

左側のペインで Administration > General Settings をクリックします。

ステップ 4

[テナント設定(Tenant Settings)] 領域で、トグルを左にスライドして灰色の X を表示し、[デバイスの変更を自動承認するオプションを有効にする(Enable the option to auto-accept device changes)] を無効にします。これにより、競合検出メニューの [変更の自動承認(Auto-Accept Changes)] オプションが無効になり、テナント上のすべてのデバイスでこの機能が無効になります。

(注)  

 

[自動承認(Auto-Accept)] を無効にした場合、Security Cloud Control で承認する前に、各デバイスの競合を確認する必要があります。これまで変更の自動承認が設定されていたデバイスも対象になります。

設定の競合の解決

このセクションでは、デバイスで発生する設定の競合の解決に関する情報を提供します。

未同期ステータスの解決

次の手順を使用して、「未同期」の設定ステータスのデバイスを解決します。

手順

ステップ 1

ナビゲーションバーで Security Devices をクリックします。

(注)  

 

On-Premises Firewall Management Center の場合は、Administration > Integrations > Firewall Management Center をクリックして、[未同期(Not Synced)] 状態の FMC を選択し、ステップ 5 から続行します。

ステップ 2

[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

未同期と報告されたデバイスを選択します。

ステップ 5

右側の [未同期(Not synced)] パネルで、次のいずれかを選択します。

  • [プレビューして展開...(Preview and Deploy..)] :設定の変更を Security Cloud Control からデバイスにプッシュする場合は、今行った変更をプレビューして展開するか、待ってから一度に複数の変更を展開します。

  • [変更の破棄(Discard Changes)]:設定の変更を Security Cloud Control からデバイスにプッシュしない場合、または Security Cloud Control で開始した設定の変更を「元に戻す」場合。このオプションは、Security Cloud Control に保存されている設定を、デバイスに保存されている実行構成で上書きします。

競合検出ステータスの解決

Security Cloud Control を使用すると、ライブデバイスごとに競合検出を有効化または無効化できます。競合検出 が有効になっていて、Security Cloud Control を使用せずにデバイスの設定に変更が加えられた場合、デバイスの設定ステータスには [競合検出(Conflict Detected)] と表示されます。

[競合検出(Conflict Detected)] ステータスを解決するには、次の手順に従います。

手順

ステップ 1

ナビゲーションバーで Security Devices をクリックします。

(注)  

 

On-Premises Firewall Management Center の場合は、Administration > Integrations > Firewall Management Center をクリックして、[未同期(Not Synced)] 状態の FMC を選択し、ステップ 5 から続行します。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

競合を報告しているデバイスを選択し、右側の詳細ペインで [競合の確認(Review Conflict)] をクリックします。

ステップ 5

[デバイスの同期(Device Sync)] ページで、強調表示されている相違点を確認して、2 つの設定を比較します。

  • 「最後に認識されたデバイス設定(Last Known Device Configuration)」というラベルの付いたパネルは、Security Cloud Control に保存されているデバイス設定です。

  • [デバイスで検出(Found on Device)] というラベルの付いたパネルは、ASA の実行コンフィギュレーションに保存されている設定です。

ステップ 6

次のいずれかを選択して、競合を解決します。

  • [デバイスの変更を承認(Accept Device changes)]:設定と、Security Cloud Control に保存されている保留中の変更がデバイスの実行コンフィギュレーションで上書きされます。

    (注)  

     

    Security Cloud Control はコマンド ライン インターフェイス以外での Cisco IOS デバイスへの変更の展開をサポートしていないため、競合を解決する際の Cisco IOS デバイスの唯一の選択肢は [レビューなしで承認(Accept Without Review)] です。

  • [デバイスの変更を拒否(Reject Device Changes)]:デバイスに保存されている設定を Security Cloud Control に保存されている設定で上書きします。

(注)  

 

拒否または承認されたすべての設定変更は、変更ログに記録されます。

デバイス変更のポーリングのスケジュール

競合検出 を有効にしている場合、または [設定(Settings)] ページで [デバイスの変更を自動承認するオプションの有効化(Enable the Option to Auto-accept Device Changes)] オプションを有効にしている場合、Security Cloud Control はデフォルトの間隔でデバイスをポーリングして、Security Cloud Control の外部でデバイスの設定に変更が加えられたかどうかを判断します。Security Cloud Control による変更のポーリング間隔は、デバイスごとにカスタマイズできます。ポーリング間隔の変更は、複数のデバイスに適用できます。

デバイスでこの間隔が選択されていない場合は、間隔は「テナントのデフォルト」に自動的に設定されます。


(注)  

[セキュリティデバイス(Security Devices)] ページでデバイスごとの間隔をカスタマイズすると、[一般設定(General Settings)] ページの [デフォルトの競合検出間隔(Default Conflict Detection Interval)] で選択したポーリング間隔がオーバーライドされます。デフォルトの競合検出間隔

[セキュリティデバイス(Security Devices)] ページで [競合検出(Conflict Detection)] を有効にするか、[設定(Settings)] ページで [デバイスの変更を自動承認するオプションの有効化(Enable the Option to Auto-accept Device Changes)] オプションを有効にしたら、次の手順に従い Security Cloud Control によるデバイスのポーリング間隔をスケジュールします。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

競合検出を有効にする 1 台または複数のデバイスを選択します。

ステップ 5

[競合検出(Conflict Detection)] と同じ領域で、[チェック間隔(Check every)] のドロップダウンメニューをクリックし、目的のポーリング間隔を選択します。

セキュリティデータベース更新のスケジュール設定

このセクションでは、デバイスでのセキュリティデータベースの更新スケジュール設定に関する情報を提供します。

セキュリティデータベースの更新スケジュールの作成

次の手順を使用して、FDM-managed デバイスのセキュリティデータベースを確認および更新するスケジュールされたタスクを作成します。

手順

ステップ 1

ナビゲーションバーで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

[FTD] タブをクリックします。

ステップ 4

デバイスを選択します。

ステップ 5

[アクション(Actions)] ペインで、[セキュリティデータベースの更新(Security Database Updates)] セクションを見つけて、追加ボタン [+] をクリックします。

(注)  

 

選択したデバイスに既存のスケジュールされたタスクがある場合は、編集アイコン をクリックして新しいタスクを作成します。新しいタスクを作成すると、既存のタスクが上書きされます。

ステップ 6

スケジュールされたタスクを次のように設定します。

  • [頻度(Frequency)]。日次、週次、または 月次から更新の頻度を選択します。

  • [時刻(Time)]。時刻を選択します。時刻は UTC で表示されることに注意してください。

  • [曜日の選択(Select Days)]。更新を実行する曜日を選択します。

ステップ 7

[保存(Save)] をクリックします。

デバイスの [設定ステータス(Configuration Status)] が [データベースの更新中(Updating Databases)] に変わります。

セキュリティデータベースの更新スケジュールの編集

FDM-managed デバイスのセキュリティデータベースの検証および更新を実行する既存のスケジュール済みタスクを編集するには、次の手順を実行します。

手順

ステップ 1

左側のペインで Security Devices をクリックします。

ステップ 2

[デバイス(Devices)] タブをクリックして、デバイスを見つけます。

ステップ 3

[FTD] タブをクリックします。

ステップ 4

デバイスを選択します。

ステップ 5

[アクション(Actions)] ペインで、[セキュリティデータベースの更新(Security Database Updates)] セクションを見つけて、編集アイコン をクリックします。

ステップ 6

次の項目を使用して、スケジュールされたタスクを編集します。

  • [頻度(Frequency)]。日次、週次、または 月次から更新の頻度を選択します。

  • [時刻(Time)]。時刻を選択します。時刻は UTC で表示されることに注意してください。

  • [曜日の選択(Select Days)]。更新を実行する曜日を選択します。

ステップ 7

[保存(Save)] をクリックします。

ステップ 8

デバイスの [設定ステータス(Configuration Status)] が [データベースの更新中(Updating Databases)] に変わります。

FDM-Managed デバイスのセキュリティデータベースの更新

FDM-managed デバイスのセキュリティデータベースを更新することにより、SRU(侵入ルール)、セキュリティ インテリジェンス(SI)、脆弱性データベース(VDB)、地理位置情報データベースが更新されます。Security Cloud Control UI を使用してセキュリティデータベースを更新することを選択した場合、言及されているすべてのデータベースが更新されることに注意してください。更新するデータベースを選択することはできません。

セキュリティデータベースの更新は元に戻せないことに注意してください。


(注)  

セキュリティデータベースを更新すると、一部のパケットがドロップされるか、検査されずに通過する場合があります。メンテナンス期間中に、セキュリティデータベースの更新をスケジュールすることをお勧めします。

導入準備中に FDM-Managed デバイスのセキュリティデータベースを更新する

FDM-managed デバイスを Security Cloud Control にオンボーディングする場合、オンボーディングプロセスの一部を使用して、[データベースのスケジュール済みの定期更新の有効化(Enable scheduled recurring updates for databases)] を実行できます。このオプションは、デフォルトでオンです。有効にすると、Security Cloud Control はすぐにセキュリティの更新を確認して適用し、追加の更新を確認するようにデバイスを自動的にスケジュールします。また、デバイスがオンボードされた後は、スケジュール済みのタスクの日時を変更することもできます。

オンボーディングプロセス中に自動スケジューラを有効にして、セキュリティデータベースの更新を定期的に確認して適用することをお勧めします。この方法により、デバイスが常に最新の状態になります。FDM-managed デバイスの導入準備中にセキュリティデータベースを更新するには、「Onboard an FDM-Managed Device with a Registration Key(登録キーを使用した FDM 管理対象デバイスの導入準備)」を参照してください。


(注)  

登録キー方式でデバイスをオンボーディングする場合、デバイスをスマートライセンスに登録することはできません。 ライセンスを登録するようお勧めします。別の方法として、デバイスのユーザー名、パスワード、および IP アドレスを使用してデバイスをオンボーディングすることができます。

導入準備後に FDM-Managed デバイスのセキュリティデータベースを更新する

FDM-managed デバイスが Security Cloud Control にオンボーディングされた後、更新をスケジュールすることにより、セキュリティデータベースの更新を確認するようにデバイスを設定できます。更新がスケジュールされているデバイスを選択して、スケジュールされたタスクをいつでも変更できます。詳細については、「FTD セキュリティデータベースの更新」を参照してください。

Workflows

デバイスライセンス

ライセンスがない場合、Security Cloud Control はセキュリティデータベースを更新できません。FDM-managed デバイスに少なくとも ライセンスがあることをお勧めします。

ライセンスのないデバイスをオンボーディングしている場合、Security Cloud Control がこのデバイスをオンボーディングすることは禁止されません。代わりに、デバイスには「ライセンスが不足しています(Insufficient Licenses)」という接続ステータスが表示されます。この問題を解決するには、FDM-managed デバイスの UI を使用して正しいライセンスを適用する必要があります。


(注)  

FDM-managed デバイスをオンボーディングして、今後のセキュリティデータベースの更新をスケジュールすることを選択し、デバイスにライセンスが登録されていない場合でも、Security Cloud Control はスケジュールされたタスクを作成しますが、適切なライセンスが適用されてデバイスが正常に同期されるまで、タスクをトリガーしません。

セキュリティデータベースの更新が FDM で保留中

FDM-managed デバイスの UI を使用してセキュリティデータベースを更新し、デバイスで競合検出を有効にしている場合、Security Cloud Control は保留中の更新を競合として検出します。


(注)  

FDM-managed デバイスをオンボーディングし、更新をスケジュールすることを選択した場合、Security Cloud Control は、次回の展開中に、保存された設定に対するその他の保留中の変更と同様に、セキュリティデータベースを自動的に更新します。設定の展開である必要はありません
セキュリティデータベースの更新中に、デバイスに OOB 変更またはステージングされた変更がある

アウトオブバンド(OOB)の変更がある、または展開されていないステージング済みの変更がある FDM-managed デバイスのセキュリティデータベースの更新をスケジュールした場合、Security Cloud Control はセキュリティデータベースのチェックと更新のみを行います。Security Cloud Control は、OOB またはステージングされた変更をデプロイしません

セキュリティデータベースを更新するためのスケジュールされたタスクがデバイスに既に存在する

各デバイスは、スケジュールされたタスクを 1 つだけ持つことができます。セキュリティデータベースを更新するためのスケジュールされたタスクがデバイスに既に存在する場合、新しいタスクを作成すると既存のタスクが上書きされます。これは、Security Cloud Control および FDM-managed デバイスで作成されたタスクの両方に適用されます。

セキュリティデータベースの更新が存在しない

更新が存在しない場合、Security Cloud Control はデバイスに何も展開しません。

FDM-managed 高可用性(HA)ペアのセキュリティデータベースの更新

セキュリティデータベースの更新は、HA ペアのプライマリデバイスにのみ適用されます。