Store Password on Client System

ローカル システムにパスワードを格納することをユーザに許可するかどうかを指定します。この機能は、ローカル システムがセキュアなサイトに存在する場合にだけイネーブルにしてください。

Enable IPsec over UDP

UDP ポート（UDP Port）

NAT を実行しているセキュリティ アプライアンスへの UDP を使用した接続を Cisco VPN Client またはハードウェア クライアントに許可するかどうかを指定します。

このオプションを選択した場合は、4001 ～ 49151 の範囲の UDP ポート番号を指定します。IPsec ネゴシエーションでは、セキュリティ アプライアンスは、設定されたポートでリッスンし、他のフィルタ ルールによって UDP トラフィックがドロップされた場合でもこのポートの UDP トラフィックを転送します。

IPsec Backup Servers

Servers List

バックアップ サーバの設定を指定します。

• [クライアント設定を保持（Keep Client Configuration）]：セキュリティアプライアンスは、クライアントにバックアップサーバー情報を送信しません。クライアントは、独自のバックアップ サーバー リストを使用します（設定されている場合）。これはデフォルトです。

• [クライアント設定をクリア（Clear Client Configuration）]：クライアントは、バックアップサーバーを使用しません。セキュリティ アプライアンスは、ヌルのサーバ リストをプッシュします。

• [指定されたバックアップサーバーを使用（Use Specified Backup Servers）]：サーバーリストで指定したバックアップサーバーが使用されます。サーバの IP アドレス、またはネットワーク/ホスト オブジェクトの名前を入力します。[選択（Select）] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成します。

バックアップ サーバは、クライアント上またはプライマリ セキュリティ アプライアンス上で設定できます。セキュリティ アプライアンス上でバックアップ サーバを設定すると、セキュリティ アプライアンスは、バックアップ サーバ ポリシーをグループ内のクライアントにプッシュし、クライアント上でバックアップ サーバ リストが設定されている場合はそのリストを置き換えます。

ファイアウォールモード

グループのクライアント システムのファイアウォール要件：

• [ファイアウォールなし（No Firewall）]：ファイアウォールを使用しません。このページ上の他のオプションは設定できません。

• [ファイアウォールは必要（Firewall Required）]：グループ内のすべてのユーザーが、指定されたファイアウォールを使用する必要があります。セキュリティ アプライアンスは、指定されたファイアウォールがインストールされ、稼働していないと、接続を試行するセッションをすべてドロップします。この場合、セキュリティ アプライアンスは、ファイアウォール設定が一致していないことを VPN クライアントに通知します。

• [ファイアウォールは任意（Firewall Optional）]：ユーザーはファイアウォールを使用できますが、必須ではありません。このオプションによって、グループ内のすべてのユーザが接続できます。ファイアウォールに対応しているユーザーは、ファイアウォールを使用できます。ファイアウォールなしで接続するユーザーには、警告メッセージが表示されます。この設定は、一部のユーザだけがファイアウォールに対応しているグループを作成するときに役立ちます。たとえば、Microsoft Windows が実行されないシステムを持つクライアントが存在する場合や、一部のクライアントにファイアウォール ソフトウェアがインストールされていない場合などが当てはまります。

Firewall Type

必須または任意にするファイアウォールのタイプ。このリストには、Cisco、Network ICE、Sygate、および Zone Labs など、サポートされているすべてのファイアウォール ソフトウェアが示されます。

• [Custom Firewall] を選択した場合は、[Custom Firewall] グループのフィールドに入力する必要があります。ポリシー ソースを設定する必要もあります。ベンダーによってサポートされているオプションだけを選択します。

• 一部のファイアウォール タイプでは、ファイアウォールによって実装されているポリシー ソースを指定する必要があります。

Policy Source

一部のタイプのファイアウォールでは、クライアント ファイアウォールがポリシーを取得する場所を設定できます。

• [Get Policy From Remote Firewall]：ポリシーは、クライアント ファイアウォール アプリケーションで設定されます。大半のクライアント ファイアウォールがこの方法で動作します。

• [Use Specified Policy]：指定したポリシーが、クライアント ファイアウォールにプッシュされます。独自のポリシーを使用する必要があります。

[着信トラフィックポリシー（Inbound Traffic Policy）] フィールドと [発信トラフィックポリシー（Outbound Traffic Policy）] フィールドの両方で、拡張アクセス コントロール リスト ポリシー オブジェクトまたは統合 ACL の名前を入力するか、[選択（Select）] をクリックしてリストから選択するか、または新しいオブジェクトを作成する必要があります。統合 ACL は、ASA バージョン 9.0 以降でサポートされています。

カスタム ファイアウォール

カスタム ファイアウォールをファイアウォール タイプとして選択した場合に、必須または任意のファイアウォールを定義する属性：

• [Vendor ID]：カスタム ファイアウォールのベンダーを指定する番号。値は 1 ～ 255 です。

• [Product ID]：カスタム ファイアウォールの製品またはモデルを指定する番号。値は 1 ～ 32 または 255 です。複数の範囲を指定できます（4-12, 24-32 など）。サポートされているすべての製品を指定する場合は 255 を使用します。

• [Description]：ベンダーや製品の名前など、カスタム ファイアウォールに関する任意の説明。

Require Interactive Client Authentication

セキュア ユニット認証をイネーブルにするかどうかを指定します。セキュア ユニット認証では、クライアントがトンネルを開始するたびに、ユーザ名とパスワードを使用した認証を実行するように VPN ハードウェア クライアントに求めることによって、セキュリティを高めます。ハードウェア クライアントには、ユーザ名およびパスワードは保存されません。

Require Individual User Authentication

ハードウェア クライアントの背後の個々のユーザが、このトンネル経由でネットワークにアクセスする場合に認証される必要があるかどうかを指定します。個々のユーザーは、設定した認証サーバーの順序に従って認証されます。

このオプションを選択しない場合、セキュリティ アプライアンスでは、別のグループ ポリシーからユーザ認証の値を継承できます。

Enable Cisco IP Phone Bypass

ハードウェア クライアントの背後の IP 電話が、ユーザ認証プロセスなしで接続できるかどうかを指定します。セキュア ユニット認証は、他のユーザに関しては引き続き有効です。

Enable LEAP Bypass

VPN ハードウェア クライアントの背後のワイヤレス デバイスからの Lightweight Extensible Authentication Protocol（LEAP）パケットが、ユーザ認証の前に、VPN トンネルを通過できるかどうかを指定します。このアクションによって、Cisco ワイヤレス アクセス ポイント デバイスを使用するワークステーションは、LEAP 認証を確立し、その後ユーザ認証ごとに認証を再度実行できます。

Allow Network Extension Mode

ハードウェア クライアントのネットワーク拡張モードをイネーブルにするかどうかを指定します。

ネットワーク拡張モードを使用すると、ハードウェア クライアントは、単一のルーティング可能なネットワークを VPN トンネルを介してリモート プライベート ネットワークに提供できます。IPsec によって、ハードウェア クライアントの背後のプライベート ネットワークからセキュリティ アプライアンスの背後のネットワークまでのすべてのトラフィックがカプセル化されます。PAT は適用されません。セキュリティ アプライアンスの背後のデバイスは、ハードウェア クライアントの背後のプライベート ネットワーク上のデバイスには、トンネルを介してだけ直接アクセスできます。またその逆も可能です。トンネルはハードウェア クライアントによって開始される必要がありますが、トンネルがアップ状態になったあとは、いずれの側もデータ交換を開始できます。

Idle Timeout Mode

個々のクライアントの非アクティブ期間を処理する方法：

• [期間指定によるタイムアウト（Specified Timeout）]：指定した期間、ハードウェアクライアントの背後のユーザーによる通信アクティビティがない場合、セキュリティアプライアンスはそのクライアントのアクセスを終了します。値は 1 ～ 35791394 分です。

• [Unlimited Timeout]：ユーザ セッションは、非アクティブが原因で終了されることはありません。

Enable Re-Authentication on IKE Re-Key

セキュリティ アプライアンスが、最初のフェーズ 1 IKE ネゴシエーション中にユーザに対してユーザ名とパスワードの入力を求めるかどうか、およびセキュリティを高めるために、IKE キーの再生成が発生するたびにユーザ認証を求めるかどうかを指定します。接続の反対側にユーザがいない場合、再認証は失敗します。

Enable IPsec Compression

モデムで接続しているリモート ダイヤルイン ユーザの伝送レートを上げるデータ圧縮をイネーブルにするかどうかを指定します。

Enable Perfect Forward Secrecy (PFS)

暗号化された各交換で一意のセッション キーを生成および使用するために、Perfect Forward Secrecy（PFS; 完全転送秘密）の使用をイネーブルにするかどうかを指定します。IPsec ネゴシエーションでは、PFS によって、新しい各暗号キーが以前のいずれのキーとも関連しないことが保証されます。

Tunnel Group Lock

トンネル グループのロックでは、VPN クライアントで設定されているグループが、ユーザが割り当てられているトンネル グループと同じであるかどうかを確認することによって、ユーザを制限します。同じでない場合、セキュリティ アプライアンスによって、そのユーザの接続が防止されます。

トンネル名を指定しない場合、セキュリティ アプライアンスは、割り当てられているグループに関係なくユーザを認証します。グループのロックは、デフォルトではディセーブルになっています。

[Client Access Rules] テーブル

クライアントのアクセス ルール。これらのルールによって、アクセスを拒否されるクライアントのタイプが制御されます（ある場合）。最大で 25 のルールを定義し、結合できます。ルールは 255 文字に制限されます。

最小の整数値を持つルールは、プライオリティが最も高くなります。したがって、クライアント タイプまたはバージョンと一致する最小の整数値を持つルールが適用されます。プライオリティの低いルールが矛盾する場合、セキュリティ アプライアンスはそのルールを無視します。

• ルールを追加するには、[行の追加（Add Row）] ボタンをクリックして、[Add Client Access Rules]/[Edit Client Access Rules] ダイアログボックスを開きます。

• ルールを編集するには、ルールを選択し、[行の編集（Edit Row）] ボタンをクリックします。

• ルールを削除するには、ルールを選択し、[削除（Delete）] ボタンをクリックします。

Portal Page Websites

ポータル ページ上に表示する Web サイト URL が含まれる SSL VPN ブックマーク ポリシー オブジェクトの名前。これらの Web サイトを使用すると、ユーザは目的のリソースにアクセスできます。オブジェクトの名前を入力するか、[選択（Select）] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。

Allow Users to Enter Websites

ブラウザへの Web サイト URL の直接入力をリモート ユーザに許可するかどうかを指定します。このオプションを選択しない場合、ユーザはポータルに表示されている URL だけにアクセスできます。

Enable File Server Browsing

CIFS ファイル サーバ上のファイル共有の参照をリモート ユーザに許可するかどうかを指定します。

Enable File Server Entry

ファイル共有名の入力による CIFS ファイル サーバ上のファイル共有の検索をリモート ユーザに許可するかどうかを指定します。

Enable Hidden Shares

非表示の CIFS 共有を表示することでユーザがアクセスできるようにするかどうかを指定します。

HTTP プロキシ

セキュリティ アプライアンスが HTTP 接続を転送する外部 HTTP プロキシ サーバに許可するアクセスのタイプ。アクセスをイネーブルにするか、アクセスをディセーブルにするか、またはユーザのログイン時にプロキシを自動的に起動する [Auto Start] を選択できます。

Filter ACL

ユーザによる SSL VPN へのアクセスを制限するために使用する、Web タイプのアクセス コントロール リスト ポリシー オブジェクトの名前。オブジェクトの名前を入力するか、[選択（Select）] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。バージョン 4.10 以降では、Web タイプ ACL に IPv6 値を入力できます。

Enable ActiveX Relay

ActiveX リレーをイネーブルにするかどうかを指定します。ActiveX リレーによって、ユーザはポータル ページから ActiveX プログラムを起動できます。これにより、ユーザは Web ブラウザから Microsoft Office アプリケーションを起動し、Office 文書をアップロードおよびダウンロードできます。

UNIX Authentication Group ID

UNIX 認証グループ ID。

UNIX Authentication User ID

UNIX 認証ユーザ ID。

Smart Tunnel

このグループに割り当てるスマート トンネル リスト ポリシー オブジェクトの名前。[選択（Select）] をクリックしてリストからオブジェクトを選択するか、または新しいオブジェクトを作成します。

スマート トンネルとは、Winsock 2 の TCP ベース アプリケーションとプライベート サイトとの間の接続です。この接続では、セキュリティ アプライアンスをパスウェイおよびプロキシ サーバとして使用して、クライアントレス（ブラウザベース）SSL VPN セッションを使用します。このため、スマート トンネルでは、ユーザは管理者権限を持つ必要はありません。詳細については、ASA デバイスの SSL VPN スマート トンネルの設定を参照してください。

Auto Start Smart Tunnel

ユーザのログイン時に、スマート トンネル アクセスを自動的に開始するかどうかを指定します。このオプションを選択しない場合、ユーザは、ポータル ページ上のアプリケーション アクセス ツールを使用して手動でトンネルを開始する必要があります。

自動サインオンでは、Microsoft Windows オペレーティング システム上の Microsoft WININET ライブラリを使用する HTTP および HTTPS を使用するアプリケーションだけがサポートされています。たとえば、Microsoft Internet Explorer では、WININET ダイナミック リンク ライブラリを使用して、Web サーバーと通信します。

[スマート トンネル ネットワーク リスト（Smart Tunnel Network List）]

次のオプションから選択して、スマートトンネルを使用するホストまたはネットワークのリストを選択します。選択を有効にするには、最初にスマート トンネル ネットワーク リストのエントリを作成する必要があります。詳細については、[スマートトンネルネットワークリストエントリの追加および編集（Add and Edit A Smart Tunnel Network List Entry] ダイアログボックスを参照してください。この機能は ASA ソフトウェアバージョン 8.3(1) 以降を実行しているデバイスでサポートされていることに注意してください。

• [なし（None）]：このオプションを選択すると、グループポリシーはデフォルトのグループ ポリシーから値を継承します。このオプションは、デフォルトで有効です。

• [すべてをトンネル（Tunnel All）]：すべてのネットワークトラフィックにスマートトンネルを使用する場合は、このオプションを選択します。

• [含める（Include）]：特定のネットワークにスマートトンネルを使用する場合は、このオプションを選択します。次に、[選択（Select）] をクリックして、[スマート トンネル ネットワーク リスト セレクタ（Smart Tunnel Network List Selector）] ダイアログボックスを開きます。利用可能なエントリから選択するか、エントリを追加することができます。スマート トンネル ネットワーク リスト エントリを追加するには、[スマートトンネルネットワークリストエントリの追加および編集（Add and Edit A Smart Tunnel Network List Entry] ダイアログボックスを参照してください。

• [Exclude（除く）]：特定のネットワークにスマートトンネルを使用しない場合は、このオプションを選択します。次に、[選択（Select）] をクリックして、[スマート トンネル ネットワーク リスト セレクタ（Smart Tunnel Network List Selector）] ダイアログボックスを開きます。利用可能なエントリから選択するか、エントリを追加することができます。スマート トンネル ネットワーク リスト エントリを追加するには、[スマートトンネルネットワークリストエントリの追加および編集（Add and Edit A Smart Tunnel Network List Entry] ダイアログボックスを参照してください。

Smart Tunnel Auto Signon Server List

このグループに割り当てるスマート トンネル自動サインオン リスト ポリシー オブジェクトの名前。[選択（Select）] をクリックしてリストからオブジェクトを選択するか、または新しいオブジェクトを作成します。

[ドメイン名（Domain Name）]（任意）

一般的な命名ルール（ドメイン\ユーザ名）が認証に必要な場合に、自動サインオン時にユーザ名に追加する Windows ドメイン。たとえば、ユーザ名 qa_team の認証を行う場合、CISCO と入力して CISCO\qa_team を指定します。自動サインオン サーバ リストで関連エントリを設定する場合は、[Use Domain] オプションも選択する必要があります。

Port Forwarding List

このグループに割り当てるポート転送リスト ポリシー オブジェクトの名前。ポート転送リストには、クライアントレス SSL VPN セッションのユーザが転送先 TCP ポートを介してアクセスできるアプリケーションのセットが含まれます。オブジェクトの名前を入力するか、[選択（Select）] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。

Auto Start Port Forwarding

ユーザのログイン時に、ポート転送を自動的に開始するかどうかを指定します。

Port Forwarding Applet Name

ポータル上の [Port Forwarding Java] アプレット画面に表示されるアプリケーション名または短い説明。最大 64 文字です。これは、ユーザがダウンロードするアプレットの名前です。このアプレットは、SSL VPN ゲートウェイで設定したサービス用の TCP プロキシとしてクライアント マシン上で動作します。

[VDI サーバーリスト（VDI Servers List）] テーブル

仮想デスクトップ インフラストラクチャを構成する Citrix XenApp または XenDesktop サーバー。

• VDI サーバーを追加するには、[行の追加（Add Row）] ボタンをクリックして、[VDIサーバーの追加または編集（Add or Edit VDI Server）] ダイアログボックスを開きます。

• ルールを編集するには、ルールを選択し、[行の編集（Edit Row）] ボタンをクリックします。

• ルールを削除するには、ルールを選択し、[削除（Delete）] ボタンをクリックします。

Enable Full Client

フル クライアント モードをイネーブルにするかどうかを指定します。

[モード（Mode）]

SSL VPN が動作するモード：

• [AnyConnectクライアントのダウンロードに失敗した場合に他のアクセスモードを使用する（Use Other Access Modes if AnyConnect Client Download Fails）]：フルクライアントをリモートユーザーにダウンロードできなかった場合、ユーザーに VPN へのクライアントレスまたはシンクライアントアクセスを許可します。

• [フルクライアントのみ（Full Client Only）]：クライアントレスまたはシンクライアントアクセスを禁止します。ユーザは、フル クライアントをインストールし、VPN への接続に使用できるようにしておく必要があります。

Keep AnyConnect Client on Client System

クライアントの切断後も、AnyConnect クライアントをクライアント システムにインストールしておくかどうかを指定します。クライアントをインストールしたままにしておかない場合、ユーザは、ゲートウェイに接続するたびにクライアントをダウンロードする必要があります。

Enable Keepalive Messages

トンネルでのデータ送受信にピアを使用できることを示すために、ピア間でキープアライブ メッセージを交換するかどうかを指定します。キープアライブ メッセージは、設定された間隔で送信され、その間隔で切断が発生すると、バックアップ デバイスを使用して新しいトンネルが作成されます。

このオプションを選択した場合は、リモートクライアントが IKE キープアライブパケットの送信を待機する時間間隔（秒単位）を [間隔（Interval）] フィールドに入力します。

SSL圧縮（SSL Compression）

データ圧縮を有効にするかどうかを指定します。有効にする場合は、使用するデータ圧縮の方法（[なし（None）]、[デフレート（Deflate）] または [LZS]）を選択します。データ圧縮を使用すると、モデムで接続するリモート ダイヤルイン ユーザーの転送速度が向上します。

Client Dead Peer Detection Timeout (sec)

パケットが SSL VPN トンネルを介してリモート ユーザから受信されるたびに、Dead-Peer Detection（DPD）タイマーがリセットされる時間間隔（秒数）。

DPD は、着信トラフィックが受信されなくても発信トラフィックを送信する必要がある場合にだけピア デバイス間でキープアライブ メッセージを送信するために使用されます。

Gateway Dead Peer Detection Timeout (sec)

パケットが SSL VPN トンネルを介してゲートウェイから受信されるたびに、Dead-Peer Detection（DPD）タイマーがリセットされる時間間隔（秒数）。

Key Renegotiation Method

リモート ユーザ グループ クライアントのトンネル キーをリフレッシュする方法は、次のとおりです。

• [無効（Disabled）]：トンネルキーの更新を無効にします。

• [既存のトンネルを使用（Use Existing Tunnel）]：SSL トンネル接続を再ネゴシエートします。

• [新規トンネルの作成（Create New Tunnel）]：新しいトンネル接続を開始します。

トンネルの更新サイクルの時間間隔（分単位）を [間隔（Interval）] フィールドに入力します。

Enable Datagram Transport Layer Security

グループの Datagram Transport Layer Security（DTLS）接続をイネーブルにするかどうかを指定します。

DTLS をイネーブルにすると、AnyConnect クライアントは、SSL VPN 接続を確立して 2 つのトンネル（SSL トンネルと DTLS トンネル）を同時に使用できます。DTLS によって、一部の SSL 接続に関連する遅延および帯域幅の問題が回避され、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスが向上します。

Datagram Transport Layer Security圧縮（Datagram Transport Layer Security Compression）

グループの Datagram Transport Layer Security（DTLS）接続を圧縮するかどうかを指定します。圧縮する場合は、使用するデータ圧縮の方法（[なし（None）]、[デフォルト（Default）]、または [LZS]）を選択します。

Don't Fragment（DF）ビットを無視（Ignore Don’t Fragment (DF) bit）

フラグメント化が必要なパケットの DF ビットを無視するかどうかを指定します。この機能では、DF ビットが設定されているパケットを強制的にフラグメント化して、トンネルを通過させることができます。使用例として、TCP MSS ネゴシエーションに適切に応答しないネットワークのサーバーに対する使用などがあります。

AnyConnect Module

AnyConnect クライアントがオプションの機能を有効にするために必要なモジュール。[選択（Select）] をクリックして、[AnyConnectモジュールの追加（Add AnyConnect Module）] ダイアログボックスから該当するモジュールを選択します。

• [AnyConnect DART]：AnyConnect Diagnostics and Reporting Tool（DART）を有効にするには、このモジュールを選択します。DART を使用すると、指定したログファイルとクライアント接続の分析とデバッグに使用できる診断情報が結び付けられます。

• [AnyConnect Network Access Manager]：Network Access Manager を有効にするには、このモジュールを選択します。Network Access Manager を使用すると、管理上定義されたエンドユーザーポリシーおよび認証ポリシーを適用して、エンドユーザーが事前設定されたネットワークプロファイルを利用できるようになります。

• [AnyConnect SBL]：Start Before Logon（SBL）を有効にするには、このモジュールを選択します。SBL を使用すると、Windows のログインダイアログボックスが表示される前に AnyConnect を開始することで、ユーザーは Windows にログインする前に VPN 接続を介して企業インフラストラクチャに強制的に接続されます。ASA に認証されると、Windows ログインダイアログが表示されるので、ユーザーは通常どおりにログインします。SBL は Windows でのみ使用可能で、ログイン スクリプト、パスワードのキャッシュ、ネットワーク ドライブからローカル ドライブへのマッピングなどの使用を制御できます。

• [AnyConnect Webセキュリティモジュール（AnyConnect Web Security Module）]：AnyConnect Web セキュリティモジュールを有効にするには、このモジュールを選択します。AnyConnect Web セキュリティモジュールは、HTTP トラフィックを ScanSafe スキャニングプロキシにルーティングするエンドポイントコンポーネントです。トラフィックは、プロキシ上で ScanSafe Web スキャニングサービスによって評価されます。

• [AnyConnectテレメトリモジュール（AnyConnect Telemetry Module）]：AnyConnect セキュア モビリティ クライアント用の AnyConnect テレメトリモジュールを有効にするには、このモジュールを選択します。このモジュールは、悪意のあるコンテンツの発信元に関する情報を Cisco IronPort Web セキュリティアプライアンス（WSA）の Web フィルタリング インフラストラクチャに送信します。この Web フィルタリング インフラストラクチャでは、Web セキュリティ スキャニング アルゴリズムの強化、URL カテゴリと Web レピュテーション データベースの精度の向上、最終的な URL フィルタリング ルールの改良のために、このデータを使用します。

• [AnyConnect ISE Network Setup Assistant]：AnyConnect ISE Network Setup Assistant モジュールを有効にするには、このモジュールを選択します。

• [AnyConnect ISEポスチャ（AnyConnect ISE Posture）]：AnyConnect ISE ポスチャモジュールを有効にするには、このモジュールを選択します。

• [AnyConnectポスチャモジュール（AnyConnect Posture Module）]：AnyConnect ポスチャモジュールを有効にするには、このモジュールを選択します。このモジュールを使用すると、AnyConnect セキュア モビリティ クライアントがホストにインストールされているオペレーティングシステム、およびウイルス対策、スパイウェア対策、ファイアウォールの各ソフトウェアを識別できます。ホスト スキャン アプリケーションはポスチャ モジュールのコンポーネントに含まれる、こうした情報を収集するアプリケーションです。

AnyConnect MTU

Cisco AnyConnect VPN クライアントによって確立された SSL VPN 接続の最大伝送単位（MTU）サイズ。

AnyConnect Always-On VPN（AnyConnect Always-On VPN）

Always-On VPN を使用すると、システムにログオンした後、AnyConnnect で VPN セッションを自動的に確立できます。VPN セッションは、システムからログオフするまで開いたままになります。

次のオプションのいずれか 1 つを選択します。

• [なし（None）]：AnyConnect サービスプロファイルは変更されません。デフォルトグループポリシーの値を継承します。

• [AnyConnectプロファイル設定（AnyConnect Profile Setting）]：AnyConnect VPN プロファイルで設定されている [Always-On VPN] オプションは、AnyConnect クライアントによって使用されます。

• [無効（Disable）]：[Always-On VPN] オプションを無効にします。

AnyConnect Profile Name

グループに使用する AnyConnect プロファイルの名前。カンマで区切ることで複数のプロファイル名を入力できます。この名前を設定して、[リモートアクセスVPN（Remote Access VPN）] > [SSL VPN] > [その他の設定（Other Settings）] ポリシー内のプロファイルに関連付ける必要があります。

• Webvpn：Anyconnect プロファイル

Prompt User to Choose Client

Time User Has to Choose

Default Location

クライアントのダウンロードをユーザに確認するかどうかを指定します。ユーザーが選択を完了する必要がある秒数を [ユーザーの選択完了時間（Time User Has to Choose）] フィールドに入力します。デフォルトは 120 秒です。

このオプションを選択しない場合、ユーザには即座にデフォルトの場所が示されます。また、選択する時間が期限切れになった場合も、デフォルトの場所がユーザに示されます。

• [Webポータル（Web Portal）]：ポータルページが Web ブラウザにロードされます。

• [AnyConnectクライアント（AnyConnect Client）]：AnyConnect クライアントがダウンロードされます。

セキュリティ グループ タグ（Security Group Tag）

VPN セッションのセキュリティ グループ タギングは、ASA バージョン 9.3(1) 以降でサポートされています。セキュリティ グループ タグ（SGT）は、外部 AAA サーバを利用して VPN セッションに割り当てることができます。また、ローカル ユーザ データベースの設定によって割り当てることも可能です。さらに、レイヤ 2 イーサネット経由で、Cisco TrustSec システムを介してこのタグを伝搬することができます。AAA サーバーが SGT を提供できない場合には、セキュリティ グループ タグをグループ ポリシーで利用したり、ローカル ユーザーが利用したりすることができます。

[デフォルト（Default）] チェックボックスをオンにすると、セキュリティグループタグは割り当てられません。

セキュリティグループタグを指定するには、[デフォルト（Default）] チェックボックスをオフにし、このグループポリシーで接続する VPN ユーザーに割り当てられる SGT タグの数値を [セキュリティグループタグ（Security Group Tag）] フィールドに入力します。有効値は 2 ～ 65519 です。

定期的な証明書の検証（Periodic Certificate Verification）

VPN セッションでクライアント証明書の定期的な検証と失効チェックを有効にするかどうかを指定します。このオプションを選択する場合は、1 ～ 168 の時間間隔を時間単位で入力します。この機能は、ASA ソフトウェアバージョン 9.4(1) 以降を実行しているデバイスでのみサポートされています。

デフォルトでは、定期的な証明書の検証は無効になっています。

AnyConnectファイアウォールクライアントパブリックACL（AnyConnect Firewall-Client Public ACL）

SSL VPN へのユーザーアクセスを制限するために使用する拡張または統合アクセス制御リスト、あるいはポリシーオブジェクトの名前。パブリック ルールは、クライアント上のすべてのインターフェイスに適用されます。オブジェクトの名前を入力するか、[選択（Select）] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。

統合 ACL は、ASA バージョン 9.0 からサポートされています。デフォルトは拡張 ACL です。デバイスのバージョンが ASA 9.0 より後の場合、すべての Anyconnect 値は統合 ACL として検出され、展開中に展開されます。

AnyConnectファイアウォールクライアントプライベートACL（AnyConnect Firewall-Client Private ACL）

SSL VPN へのユーザーアクセスを制限するために使用する拡張または統合アクセス制御リストポリシーオブジェクトの名前。プライベート ルールは、仮想アダプタに適用されます。オブジェクトの名前を入力するか、[選択（Select）] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。

統合 ACL は、ASA バージョン 9.0 からサポートされています。デフォルトは拡張 ACL です。デバイスのバージョンが ASA 9.0 より後の場合、すべての Anyconnect 値は統合 ACL として検出され、展開中に展開されます。

[AnyConnectカスタム属性（AnyConnect Custom Attributes）] テーブル

[AnyConnectカスタム属性（AnyConnect Custom Attributes）] テーブルには、このグループポリシーに割り当てられているカスタム属性、名前、および対応する値が一覧表示されます。[SSL VPNのその他の設定（SSL VPN Other Settings）] ページの [AnyConnectカスタム属性（AnyConnect Custom Attributes）] タブで定義されている AnyConnect カスタム属性がここに一覧表示されます（AnyConnect カスタム属性（ASA）の設定を参照）。バージョン 4.7 以降、Cisco Security Manager では、カスタム属性データを既存のカスタム属性タイプに追加できます。

カスタム属性をグループポリシーに追加するか、グループポリシーから削除し、各属性の値を設定できます。

• カスタム属性と属性の値を追加するには、テーブルの下にある [行の追加（Add Row）] ボタンをクリックし、[AnyConnectカスタム属性の追加（Add AnyConnect Custom Attribute）] ダイアログボックスに入力します。

• カスタム属性と属性の値を編集するには、カスタム属性を選択し、[行の編集（Edit Row）] ボタンをクリックして、[AnyConnectカスタム属性の編集（Edit AnyConnect Custom Attribute）] ダイアログボックスで変更を加えます。

• カスタム属性を削除するには、カスタム属性を選択して [行の削除（Delete Row）] ボタンをクリックします。削除の確認が求められます。

詳細については、[AnyConnectカスタム属性の追加/編集（Add/Edit AnyConnect Custom Attribute）] ダイアログボックスを参照してください。

ホーム ページ

SSL VPN ホーム ページの URL。この URL は自由形式のテキストです。このページは、ユーザが VPN にログインするときに表示されます。URL を入力しないと、ホーム ページは表示されません。

バージョン 4.12 以降、Security Manager は、ソフトウェアバージョン 9.0 以降を実行している ASA デバイスのホームページ URL で IPv6 アドレスをサポートします。IPv6 アドレスのホームページ URL の形式は、http://[IPv6 アドレス]/appname です。ホームページ URL の先頭には http://（または）https:// を付ける必要があります。

Authentication Failure Message

VPN へのログインには成功したが、VPN 権限を持っていないために何も実行できないリモート ユーザに表示するメッセージ。デフォルトのメッセージを次に示します。

「Login was successful, but because certain criteria have not been met or due to some specific group policy, you do not have permission to use any of the VPN features. Contact your IT administrator for more information.」

Minimum Keepalive Object Size (kilobytes)

セキュリティ アプライアンスのキャッシュに格納できる IKE キープアライブ パケットの最小サイズ（KB 単位）。

Single Sign On Server

このグループに使用するサーバを指定する、Single Sign-On（SSO; シングル サインオン）サーバ ポリシー オブジェクトの名前（ある場合）。SSO サーバによって、ユーザは、ユーザ名とパスワードを 1 回入力するだけで、ネットワーク内の他のサーバにアクセスできます。アクセスするたびにログインする必要はありません。SSO サーバを設定する場合は、自動サインオン ルール テーブルも設定します。

オブジェクトの名前を入力するか、[選択（Select）] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。詳細については、[Add Single Sign On Server]/[Edit Single Sign On Server] ダイアログボックスを参照してください。

Enable HTTP Compression

HTTP 圧縮オブジェクトをセキュリティ アプライアンスにキャッシュできるかどうかを指定します。

[Auto Signon Rules] テーブル

シングルサインオンサーバーを設定する場合、自動サインオンルールテーブルには、ユーザーのログイン情報が提供される中間サーバーを決定するルールが含まれています。したがって、ネットワーク内の一部のサーバにはシングル サインオンを提供し、他のサーバには提供しないようにできます。

各ルールは許可ルールであり、サーバを識別する IP アドレス、サブネット、または Uniform Resource Identifier（URI; ユニフォーム リソース識別子）、およびユーザがサーバへのアクセスを試行したときにサーバに送信される認証のタイプ（基本 HTML、NTLM、FTP、またはこれらすべて）を示します。これらのルールは上から下の順に処理され、最初に一致したルールが適用されます。したがって、上下の矢印ボタンを使用してルールを必ず適切な順番に並べてください。

ユーザは、これらのいずれのルールでも識別されなかったサーバにアクセスする場合、そのサーバにログインしてアクセスする必要があります。

• ルールを追加するには、[行の追加（Add Row）] ボタンをクリックして、[Add Auto Signon Rules]/[Edit Auto Signon Rules] ダイアログボックスを開きます。

• ルールを編集するには、ルールを選択し、[行の編集（Edit Row）] ボタンをクリックします。

• ルールを削除するには、ルールを選択し、[行の削除（Delete Row）] ボタンをクリックします。

Portal Page Customization

ポータル Web ページの外観を定義する SSL VPN カスタマイゼーション ポリシー オブジェクトの名前。このポータル ページによって、リモート ユーザは、SSL VPN ネットワークで使用可能すべてのリソースにアクセスできます。オブジェクトを選択しない場合は、デフォルトのページ外観が使用されます。

オブジェクトの名前を入力するか、[選択（Select）] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。詳細については、SSL VPN カスタマイゼーション オブジェクトを使用した ASA ポータル表示の設定を参照してください。

User Storage Location

クライアントレス SSL VPN のセッション間に、ユーザの個人情報が格納される場所。場所を指定しなかった場合、情報はセッション間で格納されません。格納される情報は暗号化されます。

ファイル システムの指定を次の形式で入力します。

protocol://username:password@host:port/path

ここで、protocol はサーバーのプロトコル、username と password はサーバー上の有効なユーザーアカウント、および host はサーバーの名前を示します。また、port はプロトコルのデフォルトを使用しない場合のポート番号、および path は使用するサーバー上の場所のディレクトリパスを示します。次に例を示します。

cifs://newuser:12345678@anyfiler02a/new_share

Storage Key

確認（Confirm）

セッション間で格納されるデータを保護するために使用されるストレージ キー。スペースはサポートされていません。

Post Max Size

ポストするオブジェクトに許可される最大サイズ。指定できる値の範囲は 0 ～ 2147483647（デフォルト）です。[0] を設定すると、ポスティングが防止されます。

Upload Max Size

アップロードするオブジェクトに許可される最大サイズ。指定できる値の範囲は 0 ～ 2147483647（デフォルト）です。[0] を設定すると、アップロードが防止されます。

Download Max Size

ダウンロードするオブジェクトに許可される最大サイズ。指定できる値の範囲は 0 ～ 2147483647（デフォルト）です。[0] を設定すると、ダウンロードが防止されます。

プライマリ IPv4 DNS サーバー

グループのプライマリ DNS サーバーの IPv4 アドレス。ネットワーク/ホストオブジェクトの IPv4 アドレスまたは名前を入力します、または [選択（Select）] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成します。セカンダリ IPv4 DNS サーバーを設定するには、プライマリ IPv4 DNS サーバーアドレスが必須です。

セカンダリ IPv4 DNS サーバー

グループのセカンダリ DNS サーバーの IPv4 アドレス。ネットワーク/ホストオブジェクトの IPv4 アドレスまたは名前を入力します、または [選択（Select）] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成します。

プライマリ IPv6 DNS サーバー

グループのプライマリ DNS サーバーの IPv6 アドレス。ネットワーク/ホストオブジェクトの IPv6 アドレスまたは名前を入力します、または [選択（Select）] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成します。バージョン 4.12 以降、Security Manager は ASA デバイス 9.0 以降の IPv6 アドレスをサポートします。プライマリ IPv6 DNS サーバーアドレスは、セカンダリ IPv6 DNS サーバーを設定するために必須です。

セカンダリ IPv6 DNS サーバー

グループのセカンダリ DNS サーバーの IPv6 アドレス。ネットワーク/ホストオブジェクトの IPv6 アドレスまたは名前を入力します、または [選択（Select）] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成します。バージョン 4.12 以降、Security Manager は ASA デバイス 9.0 以降の IPv6 アドレスをサポートします。

プライマリ WINS サーバ（Primary WINS Server）

グループのプライマリ WINS サーバの IP アドレス。ネットワーク/ホストオブジェクトの IP アドレスまたは名前を入力するか [選択（Select）] をクリックしてリストからオブジェクトを選択します。または、新しいオブジェクトを作成します。

セカンダリ WINS サーバ（Secondary WINS Server）

グループのプライマリ WINS サーバの IP アドレス。ネットワーク/ホストオブジェクトの IP アドレスまたは名前を入力するか [選択（Select）] をクリックしてリストからオブジェクトを選択します。または、新しいオブジェクトを作成します。

DHCP Network Scope

グループの DHCP ネットワークのスコープ。ネットワーク/ホスト オブジェクトの IP ネットワークアドレスまたは名前を入力します。または [選択（Select）] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成します。

デフォルト ドメイン

グループのデフォルト ドメイン名。デフォルトは空白、つまりなしです。

DNS Names

スプリット トンネルを介して解決されるドメイン名のリスト。他のすべての名前は、パブリック DNS サーバを使用して解決されます。リストを入力しない場合は、デフォルトのポリシー グループからリストが継承されます。

複数のエントリは、スペースまたはカンマで区切ります。文字列全体で最大 255 文字を使用できます。

トンネルを介してすべての DNS トラフィックを送信する

AnyConnect クライアントが、VPN トンネル（SSL または IPsec/IKEv2）を経由するすべての DNS アドレスを解決するかどうかを指定します。トンネルを介した DNS 解決に失敗すると、アドレスは未解決のまま残り、AnyConnect クライアントは、パブリック DNS サーバを介したアドレスの解決を試行しません。

このオプションを選択しない場合、クライアントは、トンネルオプションの設定で指定されたスプリットトンネルポリシーに従って、トンネルを介して DNS クエリを送信します。

Tunnel Option

イネーブルにする、スプリット トンネリングのポリシー：

• [Disabled]（デフォルト）：トラフィックは、暗号化されずに送信されることがないか、またはセキュリティ アプライアンス以外の宛先には送信されません。リモート ユーザは企業ネットワーク経由でネットワークに接続し、ローカル ネットワークにはアクセスできません。

• [Tunnel Specified Traffic]：ネットワーク ACL で許可されているネットワークとの間のすべてのトラフィックをトンネルします。その他すべてのアドレスへのトラフィックは、暗号化されずに送信され、リモートユーザのインターネット サービス プロバイダーによってルーティングされます。

• [Exclude Specified Traffic]：ネットワーク ACL で許可されたネットワークとの間でトラフィックが暗号化されずに送信されます。これは、トンネル経由で企業ネットワークに接続しているリモート ユーザがプリンタなどのローカル ネットワーク上のデバイスにアクセスする場合に役立ちます。このオプションは、Cisco VPN Client だけに適用されます。

IPv6 トンネルオプション

バージョン 4.10 以降、Security Manager は、ASA バージョン 9.0 からのスプリットトンネリングに対して IPv6 トラフィックのサポートを提供します。

イネーブルにする、スプリット トンネリングのポリシー：

• [Disabled]（デフォルト）：トラフィックは、暗号化されずに送信されることがないか、またはセキュリティ アプライアンス以外の宛先には送信されません。リモート ユーザは企業ネットワーク経由でネットワークに接続し、ローカル ネットワークにはアクセスできません。

• [Tunnel Specified Traffic]：ネットワーク ACL で許可されているネットワークとの間のすべてのトラフィックをトンネルします。その他すべてのアドレスへのトラフィックは、暗号化されずに送信され、リモートユーザのインターネット サービス プロバイダーによってルーティングされます。

• [Exclude Specified Traffic]：ネットワーク ACL で許可されたネットワークとの間でトラフィックが暗号化されずに送信されます。これは、トンネル経由で企業ネットワークに接続しているリモート ユーザがプリンタなどのローカル ネットワーク上のデバイスにアクセスする場合に役立ちます。このオプションは、Cisco VPN Client だけに適用されます。

ネットワーク

トラフィックがトンネルを通過する必要があるネットワーク、およびトンネリングを必要としないネットワークを識別する、標準、拡張、または統合アクセス制御リストのポリシーオブジェクトの名前。統合 ACL は、ASA バージョン 9.0 からサポートされています。許可および拒否する方法は、[トンネルオプション（Tunnel Option）] での選択に応じて解釈されます。

オブジェクトの名前を入力するか、[選択（Select）] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。ACL を指定しない場合、ネットワーク リストは、デフォルト グループ ポリシーから継承されます。

Filter ACL

VPN 接続でトラフィックをフィルタリングするために使用する拡張アクセスコントロールリスト（ACL）ポリシーオブジェクトの名前。ACL は、許可または拒否するトラフィックを決定します。オブジェクトの名前を入力するか、[選択（Select）] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。バージョン 4.10 および ASA バージョン 9.0 以降では、標準、拡張、または統合 ACL オブジェクトのリストから選択できます。

この ACL は、クライアントレス SSL VPN 接続には適用されません。

バナー テキスト（Banner Text）

リモート クライアントが VPN に接続したときに、リモート クライアント上に表示されるバナー、つまり初期テキスト。

• バージョン 4.9 以降、Security Manager は、バージョン 9.5(1) 以降の ASA デバイスのバナーテキストで、最大 4000 文字をサポートします。

• 9.5(1) より前の ASA バージョンの場合、Security Manager では、バナーテキストに最大 500 文字を入力できます。

IPv4アドレスプール（IPv4 Address Pools）

このグループポリシーで使用する 1 つ以上の IPv4 アドレスプールの名前を指定します。IPv4 アドレスプールオブジェクトの名前をカンマで区切って入力するか、[選択（Select）] をクリックしてリストからオブジェクトを選択するか新しいオブジェクトを作成します。

IPv6 アドレス プール（IPv6 Address Pools）

このグループポリシーで使用する 1 つ以上の IPv6 アドレスプールの名前を指定します。IPv6 アドレスプールオブジェクトの名前をカンマで区切って入力するか、[選択（Select）] をクリックしてリストからオブジェクトを選択するか新しいオブジェクトを作成します。バージョン 4.12 以降、Security Manager は ASA デバイス 9.0 以降の IPv6 アドレスプールをサポートします。

Access hours

VPN へのアクセスをユーザに許可する時間を指定する、時間範囲ポリシー オブジェクトの名前。時間範囲を指定しない場合、ユーザはいつでも VPN にアクセスできます。ネットワークへのアクセスを特定の時間（通常の就業時間や自分の組織での就業時間など）に制限する場合は、時間範囲を指定します。

オブジェクトの名前を入力するか、[選択（Select）] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。詳細については、時間範囲オブジェクトの設定を参照してください。

Max Simultaneous Logins

1 人のユーザに許可する同時ログイン数。値は、0 ～ 2147483647 です。デフォルトは 3 です。[0] を指定すると、ログインがディセーブルになり、ユーザはアクセスできなくなります。

Max Connection Time

ユーザが VPN への接続を継続できる最大時間。次のいずれかを選択します。

• [Specified Connection time]：入力した最大時間値が使用されます。値は 1 ～ 4473924 分です。この時間を超えると、セキュリティ アプライアンスによって接続が閉じられます。

• [Unlimited Connection time]：セキュリティ アプライアンスは、接続時間に基づいて接続を閉じることはありません。

アイドル タイムアウト

接続がアイドル状態である、つまり通信アクティビティがない場合に、ユーザが VPN への接続を継続できる合計時間。次のいずれかを選択します。

• [Specified Timeout]：入力したタイムアウト値が使用されます。値は 1 ～ 35791394 分です。このアイドル時間を超えると、セキュリティ アプライアンスによって接続が閉じられます。デフォルトは 30 分です。

• [Unlimited Timeout]：セキュリティ アプライアンスによってアイドル接続が閉じられることはありません。

VLAN マッピング

VLAN ID（Admin. VLAN ID）

VLAN ID の値は 1 ～ 4094 で、ASA の VLAN インターフェイスに対応している必要があります。

ASA の VLAN マッピング機能により、VPN 接続からのトラフィックを指定された VLAN インターフェイスに送信できます。

Cisco Security Manager バージョン 4.10 および ASA バージョン 9.5(1) 以降では、IPv6 アドレスをリモートユーザに割り当てることができます。

Cisco Security Manager バージョン 4.17 以降、ASA 9.9(2) 以降のマルチコンテキストデバイスで VLAN を設定できます。

イメージリポジトリ

ファイルオブジェクトの定義に使用できる利用可能なファイルを一覧表示します。使用可能なファイルは、Image Manager を使用して管理されます。詳細については、Image Manager でサポートされるイメージタイプを参照してください。

[選択されているファイル（File selected）]

現在選択されているファイルオブジェクトを表示します。

[以下のタイプのファイル（Files of Type）]

ファイルのリストをフィルタリングします。次のオプションがあります。

• Cisco Secure Desktop Package

• Plug-In：ブラウザ プラグイン ファイル用。

• AnyConnect Image

• Hostscan Image

• すべて

Local TCP Port

ローカル アプリケーションがマッピングされるポート番号（1 ～ 65535）。

リモート サーバ（Remote Server）

IPv4/IPv6アドレス（IPv4/IPv6 Address）

名前

リモートサーバーの IPv4 または IPv6 アドレス、または完全修飾ドメイン名。エントリのタイプを選択し、IP アドレスまたは名前を入力します。

バージョン 4.12 以降、Security Manager は、ソフトウェアバージョン 9.0 以降を実行している ASA デバイスの IPv6 アドレスをサポートします。

IP アドレスの場合は、リモートサーバーの IP アドレスを指定するネットワーク/ホストオブジェクトの名前を入力します。または、[選択（Select）] をクリックしてリストからネットワーク/ホスト オブジェクトを選択するか、新しいオブジェクトを作成できます。

Remote TCP Port

ポート転送が設定されるアプリケーションのポート番号（1 ～ 65535）。

説明

ポート転送エントリの説明。この情報は、Cisco IOS デバイスの場合は必須です。

Bookmark Option

新しい SSL VPN ブックマーク エントリを定義するか、または既存のオブジェクトのエントリを使用するかを選択します。

• [ブックマークの入力（Enter Bookmark）]：ブックマークエントリを定義します。

• [既存のブックマークを含める（Include Existing Bookmarks）]：既存の SSL VPN ブックマークオブジェクトで定義されているブックマークエントリを含めます。オブジェクトの名前を入力するか、[選択（Select）] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。

• [事前定義されたアプリケーションテンプレート（Predefined Application Templates）]：適切に定義された特定のアプリケーションに必要な値が事前に入力されている、事前定義されたテンプレートを使用します。

[自動サインオンアプリケーションを選択（Select Auto sign-on Application）]

[ブックマークオプション（Bookmark Option）] として [定義済みのアプリケーションテンプレート（Predefined Application Templates）] を選択した場合は、使用するテンプレートを含む自動サインオンアプリケーションを選択します。

• Citrix XenApp

• Citrix XenDesktop

• Domino Web Access

• Microsoft Outlook Web Access 2010

• Microsoft Outlook Web Access 2013（ASA 9.4(1)+ のみ）

• Microsoft SharePoint 2007

• Microsoft SharePoint 2010

• Microsoft SharePoint 2013（ASA 9.5(1)+ のみ）

• Citrix StoreFront 2.1（ASA 9.3(1)+ のみ）

• Citrix StoreFront 2.5（ASA 9.4(1)+ のみ）

自動サインオンアプリケーションを選択すると、選択したアプリケーションに基づいて [詳細なフォームとURLの設定（Advanced Form and URL Settings）] が入力されます。

タイトル

ユーザに表示される、ブックマークのテキスト ラベル。

URL

ブックマークの Universal Resource Locator アドレス。ブックマークのプロトコルを選択し、編集ボックスに URL の残りの部分を入力します。

設定

これらの設定は、ソフトウェアバージョン 8.x を実行している ASA デバイスでホスティングされている SSL VPN ポータルに対してのみ適用可能です。これらの設定値は、他のデバイスで使用する SSL VPN ブックマーク オブジェクトには設定しないでください。

Subtitle

ブックマーク エントリを説明する、ユーザに表示される追加のタイトル。

Thumbnail

ポータル上のブックマークに関連付けるアイコンを表すファイル オブジェクト。ファイルオブジェクトの名前を入力するか、または [選択（Select）] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成します。

Authentication Access

[Portal] ページ上だけにサムネールを表示するかどうかを指定します。このオプションの選択を解除すると、このサムネールはログイン ページ上にも表示されます。

Enable Favorite URL Option

ポータル ホーム ページ上にブックマーク エントリを表示するかどうかを指定します。アプリケーション ページ上だけにブックマーク エントリを表示する場合は、このチェックボックスをオフにします。

[詳細なフォームとURLの設定（Advanced Form and URL Settings）]

これらの設定は、ソフトウェアバージョン 8.x を実行している ASA デバイスでホスティングされている SSL VPN ポータルに対してのみ適用可能です。これらの設定値は、他のデバイスで使用する SSL VPN ブックマーク オブジェクトには設定しないでください。

URL Method

リストから必要な URL メソッドを選択します。

• [Get]：このオプションは、単純なデータ取得を行う場合に選択します。

• [Post]：このオプションは、データを処理するときにデータ変更を伴う可能性がある場合（データの保存や更新、製品の購入、電子メールの送信など）に選択します。このオプションを選択した場合は、[Post Parameters] テーブルで Post パラメータを設定する必要があります。

• [自動サインオンフォーム（Auto Sign-on Form）]：自動サインオンを使用する場合は、このオプションを選択します。

Enable Smart Tunnel Option

（Get および Post URL メソッドのみ）

セキュリティ アプライアンスとの間でデータを受け渡すスマート トンネル機能を使用する新しいウィンドウでブックマークを開くかどうかを指定します。

ページのプリロードオプション

（Get および Post URL メソッドのみ）

必要に応じて、次のプリロードオプションを設定します。

[プリロードURL（Preload URL）]：ブックマークリンクがロードされる前にロードするページの URL。

[待機時間（Wait Time）]：実際の POST URL に転送される前に、ページのロードに費やすことのできる時間。

[自動サインオン（Auto Sign-on）]（ASA 9.0.1+ のみ）

（自動サインオンフォーム URL メソッドのみ）

自動サインオンフォームが URL メソッドとして選択されている場合は、次のオプションを設定します。

[ログインページのURL（Login Page URL）]：自動サインオンするログインページの URL。

[ランディングページのURL（Landing Page URL）]：ログインに成功した後に読み込まれるページの URL。ASA では、アプリケーションへの正常なログインを検出するために、ランディング ページを設定する必要があります。

[ログイン前のページのURL（Pre-Login Page URL）]：ログインページの前にロードされるページの URL。このページには、ログイン画面に進むためのユーザー インタラクションが必要になります。

[制御ID（Control ID）]：ログインページに進む前にログイン前のページの URL でクリックイベントを取得する制御/タグの ID です。

Post Parameters

ブックマーク エントリの Post パラメータの名前と値のリスト。

• パラメータを追加するには、[Add] ボタンをクリックし、[Add Post Parameter] ダイアログボックスに入力します（[Add Post Parameter]/[Edit Post Parameter] ダイアログボックスを参照）。

• パラメータを編集するには、パラメータを選択し、[Edit] ボタンをクリックします。

• パラメータを削除するには、パラメータを選択し、[Delete] ボタンをクリックします。

[ポストスクリプト（Post Script）]

一部のアプリケーションで必要な javascript を入力するためのオプションのフィールド。Microsoft Outlook Web Access などの一部の Web アプリケーションは、JavaScript を実行して、ログイン フォームを送信する前に、要求パラメータを変更する場合があります。

名前

対応する HTML 形式で定義されているのと厳密に同じ post パラメータの名前。たとえば、 param_name in <input name=“param_name ” value=“param_value ”>。

値

対応する HTML 形式で定義されているのと厳密に同じ post パラメータの値。たとえば、param_value in <input name=“param_name ” value=“param_value ”>。

次のいずれかを選択します。

• CSCO_WEBVPN_USERNAME：SSL VPN ユーザのログイン ID。

• CSCO_WEBVPN_PASSWORD：SSL VPN ユーザのログインパスワード。

• CSCO_WEBVPN_INTERNAL_PASSWORD：SSL VPN ユーザの内部リソースパスワード。キャッシュされた認定証であり、AAA サーバーによって認証されていません。ユーザーがこの値を入力すると、パスワード値の代わりに、これが自動サインオンのパスワードとして使用されます。

• CSCO_WEBVPN_CONNECTION_PROFILE：SSL VPN ユーザー ログイン グループ ドロップダウン、接続プロファイル内のグループ エイリアス

• CSCO_WEBVPN_DYNAMIC_URL1：ユーザのポータルで複数のブックマークリンクを生成できる単一のブックマーク。このマクロはデリミタをオプションで使用します。デリミタは管理者によって提供される文字列です。この文字列の文字を使用して LDAP にマッピングされた文字列を区切り、値のリストにします。マクロの使用ごとに 1 つのデリミタが使用されます。

• CSCO_WEBVPN_DYNAMIC_URL2：ユーザのポータルで複数のブックマークリンクを生成できる単一のブックマーク。このマクロはデリミタをオプションで使用します。デリミタは管理者によって提供される文字列です。この文字列の文字を使用して LDAP にマッピングされた文字列を区切り、値のリストにします。マクロの使用ごとに 1 つのデリミタが使用されます。

• CSCO_WEBVPN_MACRO1：RADIUS-LDAP ベンダー固有属性によって設定。ldap-attribute-map を経由して LDAP からこれをマッピングする場合は、この変数を使用するシスコの属性は WEBVPN-Macro-Substitution-Value1 になります。RADIUS 経由での変数置換は、VSA#223 によって行われます。

• CSCO_WEBVPN_MACRO2：RADIUS-LDAP ベンダー固有属性によって設定。ldap-attribute-map を経由して LDAP からこれをマッピングする場合は、この変数を使用するシスコの属性は WEBVPN-Macro-Substitution-Value2 になります。RADIUS 経由での変数置換は、VSA#224 によって行われます。

• CSCO_WEBVPN_MACROLIST1 および CSCO_WEBVPN_MACROLIST2：静的に設定されたブックマーク。LDAP 属性マップによって提供される任意のサイズのリストを使用できます。

これらのマクロは、次の 3 つのパラメータを使用します。

• デリミタ：デリミタは管理者によって提供される文字列です。この文字列の文字を使用して LDAP にマッピングされた文字列を区切り、値のリストにします。マクロの使用ごとに 1 つのデリミタが使用されます。

• インデックス：インデックスは管理者によって提供される整数で、選択する要素の番号を指定します。値の範囲は 1 ～ 128 です。

• URL エンコーディング：URL エンコーディングは、ASA デバイスの要求に置き換える前に LDAP 文字列に適用する条件選択肢です。次のいずれかの値を選択できます。

• None：バックエンド サーバーへの送信前に、文字列値に対して変換を行いません。

• url-encode：解析された各値はエンコードされた URL になります。ただし、URL で特殊文字列を構成する一連の予約済み文字は除外されます。

• url-encode-data：解析された各値は、URL エンコードで完全に変換されます。

• base64：解析された各値は Base 64 で符号化されます。

• CSCO_WEBVPN_PRIMARY_USERNAME：二重認証が有効で、ログイン ID にプライマリログインユーザー名がある場合のプライマリユーザーログイン ID。

• CSCO_WEBVPN_SECONDARY_USERNAME：二重認証が有効になっている場合のセカンダリユーザのログイン ID。

• CSCO_WEBVPN_PRIMARY_PASSWORD：二重認証用のプライマリユーザのログインパスワード。

• CSCO_WEBVPN_SECONDARY_PASSWORD：二重認証用のセカンダリユーザのログイン ID。

Display Title Panel

タイトル パネルを Web ページ内に表示するかどうかを指定します。デフォルトでは、タイトルは表示されません。このオプションを選択した場合、このページの他のフィールドを使用してタイトルを設定できます。

Gradient

背景色が徐々に変化するかどうかを指定します。

Title Text

タイトル パネルに表示するテキスト。

Font Weight

フォントサイズ

Font Color

タイトル テキストに使用するフォントの特性。太さ、フォント サイズ、および色を選択できます。[選択（Select）] をクリックしてフォントの色を選択します。

背景色（Background Color）

タイトル パネルの背景色。[選択（Select）] をクリックして色を選択します。

Style (CSS)

タイトル パネルのスタイル特性を定義する Cascading Style Sheet（CSS）パラメータ。最大 256 文字を使用できます。

Logo Image

タイトル パネルに含めるロゴ イメージ（ある場合）を識別するファイル ポリシー オブジェクト。ファイルオブジェクトの名前を入力するか、または [選択（Select）] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成します。

ファイル オブジェクトの詳細については、[Add File Object]/[Edit File Object] ダイアログボックスを参照してください。

Automatic Browser Language Selection

このテーブルには、ブラウザ言語自動選択用に Web ページでサポートする言語が示されます。ブラウザ言語自動選択を使用すると、ASA デバイスは、ユーザーの Web ブラウザとネゴシエートして、Web ページで表示する言語を決定できます。ここで指定するすべての言語について、ASA デバイス上で変換テーブルを設定する必要があります。ブラウザ言語自動選択の詳細については、ASA デバイスの SSL VPN Web ページのローカライズを参照してください。

言語は、短縮形でテーブル内に示されます。言語は、一致が検出されるまで、上から下に評価されます。デフォルト言語として示されている言語（テーブルで True として示されている）は、デバイスがブラウザとは異なる言語でネゴシエートできなかった場合に使用されます。デフォルトを指定しない場合、英語がデフォルトになります。

• 言語を追加するには、テーブルの下にある [Add Row] ボタンをクリックします。

• 言語を編集するには、言語を選択し、[Edit Row] ボタンをクリックします。

• 言語を削除するには、言語を選択し、[Delete Row] ボタンをクリックします。

Enable Language Selector

[Logon] ページで [Language Selector] を表示するかどうかを指定します。[Language Selector] によって、ユーザは優先する言語を選択できます。[Language Selector] は、ブラウザ言語自動選択機能を補完します。

Language Selector Prompt

[Language Selector] プロンプトのテキスト ラベル。

Language Table

[Language Selector] ドロップダウン リストに含める言語のリスト。ここで指定するすべての言語について、ASA デバイス上で変換テーブルを設定する必要があります。詳細については、ASA デバイスの SSL VPN Web ページのローカライズを参照してください。

このテーブルには、短縮形による言語および言語タイトル、または言語の共通名が示されます。タイトルは、ドロップダウン リストに表示されるテキストです。言語タイトルは変更できますが、短縮形は変更できません。

• 言語を追加するには、テーブルの下にある [Add Row] ボタンをクリックします。

• 言語を編集するには、言語を選択し、[Edit Row] ボタンをクリックします。

• 言語を削除するには、言語を選択し、[Delete Row] ボタンをクリックします。

Title

ログイン ボックスのタイトルとして表示されるテキスト。

メッセージ

ユーザ名フィールドとパスワード フィールドの上のログイン ボックスに表示されるメッセージ。最大 256 文字を入力できます。

Username Prompt

ユーザ名エントリ フィールドのプロンプトのテキスト。

パスワード プロンプト

パスワード エントリ フィールドのプロンプトのテキスト。

Secondary Username Prompt

Secondary Password Prompt

2 つのログイン クレデンシャルが必要な場合の、2 番めのユーザ名とパスワードのプロンプト。接続プロファイル ポリシーがセカンダリ認証を必要とするように設定されている場合にだけ、セカンダリ認証をイネーブルにできます。

ユーザ名とパスワードのセカンダリ プロンプトは、これらを設定している場合にだけ表示されます。ユーザ名プロンプトを空白のままにすると、プライマリ ユーザ名が使用され、セカンダリ パスワードはプライマリ ユーザ名と関連付けられている必要があります。

Internal Password Prompt

内部パスワード エントリ フィールドのプロンプトのテキスト。

Show Internal Password First

内部パスワードのプロンプトをパスワード プロンプトの上に配置するかどうかを指定します。内部パスワードは、保護されている内部 Web サイトへのアクセスにクライアントレス SSL VPN を使用する場合に必要です。

Group Selector Prompt

[Group Selector] ドロップダウン リストのプロンプトのテキスト。

Button Text

ユーザが SSL VPN にログインするためにクリックするボタンの名前。

Border Color

ログイン ボックスの枠の色。[選択（Select）] をクリックして色を選択します。

Title Font Color

ログイン ボックス タイトルのフォントの色。[選択（Select）] をクリックして色を選択します。

Title Background Color

ログイン ボックスのタイトル部分の背景色。[選択（Select）] をクリックして色を選択します。

Font Color

ログイン フォームのフォントの色。[選択（Select）] をクリックして色を選択します。

背景色（Background Color）

ログイン フォームの背景色。[選択（Select）] をクリックして色を選択します。

Display Informational Panel

情報パネルを表示するかどうかを指定します。デフォルトでは、情報パネルは表示されません。このオプションを選択した場合、このページの他のフィールドを使用してパネルを設定できます。

Panel Position

情報パネルの位置。[Logon] ボックスの左または右のいずれかです。

テキスト（Text）

情報パネルに表示されるテキスト。最大 256 文字を入力できます。

Logo Image

情報パネルに含めるロゴ イメージ（ある場合）を識別するファイル ポリシー オブジェクト。ファイルオブジェクトの名前を入力するか、または [選択（Select）] をクリックしてリストからオブジェクトを選択するか、または新しいオブジェクトを作成します。

ファイル オブジェクトの詳細については、[Add File Object]/[Edit File Object] ダイアログボックスを参照してください。

Image Position

パネルでのロゴ イメージの位置。テキストの上または下のいずれかです。

Display Copyright Panel

[Copyright] パネルを表示するかどうかを指定します。デフォルトでは、情報パネルは表示されません。このオプションを選択した場合、このページの他のフィールドを使用してパネルを設定できます。

テキスト（Text）

著作権パネルに表示されるテキスト。最大 256 文字を入力できます。

Enable Full Customization

独自のカスタム [Logon] ページを使用するかどうかを指定します。フル カスタマイズをイネーブルにすると、[Logon] ページのその他のすべての設定が無視されます。

Custom Page

カスタム [Logon] ページ。ファイルをここで指定する前に、Security Manager サーバにファイルをコピーする必要があります。[参照（Browse）] をクリックしてファイルを選択します。ファイルの選択の詳細については、Cisco Security Manager でのファイルまたはディレクトリの選択または指定を参照してください。

Display Toolbar

ツールバーを表示するかどうかを指定します。デフォルトでは、ツールバーは表示されません。このオプションを選択した場合、このページの他のフィールドを使用してツールバーを設定できます。

Prompt Box Title

ユーザがターゲット Web ページのプロトコルを選択し、URL を入力するフィールド用のプロンプトのテキスト。

Browse Button Text

ターゲット URL に移動するためにユーザがクリックするボタンの名前。

Logout Prompt

SSL VPN からのログアウト用のプロンプトのテキスト。

ユーザープロンプト（User Prompt）（ASA 9.7.1+ のみ）

現在リモートアクセス VPN にログインしているユーザーに対するプロンプトのテキスト。

番号

[Move Up]/[Move Down] ボタン（テーブルの下）

テーブル内のアプリケーションの連続番号。アプリケーションの並び順を変更するには、アプリケーションを選択し、[Move Up]/[Move down] ボタンをクリックして、目的の位置に移動します。アプリケーションは、ここで示されている順序で [Portal] ページに表示されます。

Application

アプリケーションに関連付けられているグラフィック。

タイトル

アプリケーションの名前。標準のアプリケーションには、[Home]、[Web Applications]、[Browse Networks]、[Application Access]、および [AnyConnect Client] が含まれています。また、SSL VPN グローバル設定値の設定時に作成するブラウザ プラグインもリストされており、このページでの選択に使用することもできます。

タイトルをダブルクリックして編集可能な状態にして、この名前を変更できます。

有効

アプリケーションを [Portal] ページに含めるかどうかを指定します。

ナビゲーションパネルの表示

ポータルページにナビゲーションパネルを表示するかどうか。このオプションの選択を解除すると、アプリケーションのリストはポータルに表示されません。

[Columns] テーブル

[Portal] ページの本体が分割されるカラムのリスト。ページ幅のパーセンテージに基づいてカラムを定義します。パーセンテージは、100 まで追加できます。100 まで追加しない場合、デバイスによってカラム幅が調整されます。

[Portal] ページに表示する、左から右のカラムを作成します。

• カラムを追加するには、テーブルの下にある [Add Row] ボタンをクリックします。

• カラムを編集するには、カラムを選択して [Edit Row] ボタンをクリックします。

• カラムを削除するには、カラムを選択して [Delete Row] ボタンをクリックします。

[Custom Panes] テーブル

[Portal] ページの本体に表示されるカスタム ペイン。このテーブルには、ペインの表示がイネーブルであるかどうか、ペインのタイプ、その特性、およびページ上でペインが表示されるカラムおよび行が示されます。これらのペインには、プレーン テキストを表示するか、または HTML の URL、イメージ、または RSS リンクを含めることができます。

設定の詳細については、[Add Custom Pane]/[Edit Custom Pane] ダイアログボックスを参照してください。

• カスタム ペインを追加するには、テーブルの下にある [Add Row] ボタンをクリックします。

• カスタム ペインを編集するには、カスタム ペインを選択して [Edit Row] ボタンをクリックします。

• カスタム ペインを削除するには、カスタム ペインを選択して [Delete Row] ボタンをクリックします。

Enable Custom Intranet Web Page

カスタム イントラネット Web ページを表示するかどうか（表示すると、URL ブックマークも [Portal] ページに表示されます）を指定します。このオプションを選択した場合、このページの他のフィールドを使用してパネルを設定できます。

URL List Mode

URL リストをホーム ページに表示する方法。URL リストを表示する場合、カスタム ペイン（[Portal Page] > [Custom Panes] で設定）が使用していないカラム セルに表示されます。次のオプションがあります。

• [アプリケーション別グループ（Group By Application）]：ブックマークはアプリケーションタイプ別にグループ化されます。たとえば、Web ブックマーク、ファイル ブックマークです。

• [グループなし（No Group）]：URL リストが別々のペインに表示されます。

• [表示しない（Do Not Display）]：URL リストは表示されません。

Custom Intranet Web Page URL

ホーム ページとしてロードするカスタム Web ページの URL。このページは、[Portal] ページ本体に表示されます。

カスタム ページを指定すると、[Custom Panes] ページの設定は無視され、ブックマーク リストが、[Portal] ページの左側のナビゲーション パネルからアクセスするアプリケーション ページ上に表示されます。

Title

タイトル パネルに表示するテキスト。

テキスト（Text）

[Logout] ページに表示するメッセージ。[Preview] をクリックして、デフォルトのログアウト メッセージを確認します。最大 256 文字を入力できます。

Show Login Button

Login Button Text

[Login] ボタンをページに表示するかどうかを指定します。このボタンを表示すると、ユーザは簡単にポータルにログインし直すことができます。

このボタンをイネーブルにすると、[Login Button Text] フィールドでボタンの名前を指定できます。

Border Color

ログアウト ボックスを囲む枠の色。[選択（Select）] をクリックして色を選択します。

Title Font Color

Title Background Color

ページのタイトル領域のフォントおよび背景の色。[選択（Select）] をクリックして色を選択します。

Font Color

背景色（Background Color）

ログアウト ボックスに表示されるメッセージのフォントおよび背景の色。[選択（Select）] をクリックして色を選択します。

アプリ名

スマート トンネル アクセスを許可するアプリケーションの名前。名前には最大 64 文字を使用できます。スマート トンネル アクセスを複数のバージョンに許可する場合は、アプリケーションのバージョン番号を含めることを検討します。

App Path

アプリケーションのファイル名、およびオプションのパス。このエントリには最大 128 文字を使用できます。次のいずれかを使用します。

• [ファイル名（Filename）]：たとえば、outlook.exe。指定するのはファイル名だけです。ユーザがアプリケーションをインストールしたワークステーション上の場所を指定する必要はありません。ただし、このファイル名は完全に一致する必要があります。

• [フルパスとファイル名（Full path and filename）]：たとえば、C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE。これにより、アプリケーションが指定のディレクトリにインストールされている場合にかぎり、アプリケーションのスマート トンネル アクセスが許可されます。これを、組織標準を適用するために使用できます。

ヒント

• フル パスを指定しており、一定期間動作していたスマート トンネル アプリケーションが動作しなくなった場合は、製品アップグレードによってインストール パスが変更された可能性があります。新しいパスで構成された新しいエントリを追加します。

• コマンドラインから起動されるアプリケーションへのスマートトンネルアクセスを許可する場合は、cmd.exe（Windows コマンドライン）用に 1 つのエントリを作成し、アプリケーション用に別のエントリを作成します。

プラットフォーム

アプリケーションのホスト オペレーティング システムを指定します。

• Windows

• Mac

Hash Value

（任意）アプリケーションのハッシュ値。ハッシュ値を指定することによって、ユーザが、サポートされているファイル名を使用するために別のアプリケーション名を変更し、サポートされていない、望ましくないアプリケーションをスマート トンネル経由で起動することを確実に阻止できます。

ハッシュ値を取得するには、アプリケーションのチェックサム（実行可能ファイルのチェックサム）を、SHA-1 アルゴリズムを使用してハッシュを計算するユーティリティに入力します。このようなユーティリティの例として、Microsoft ファイルチェックサム整合性検証（FCIV）を挙げることができます。このユーティリティは、http://support.microsoft.com/kb/841290/ で入手できます。ハッシュ対象のアプリケーションの一時コピーを、スペースを含まないパス（c:\temp など）に配置し、fciv.exe -sha1 アプリケーションをコマンドラインに入力して（fciv.exe -sha1 c:\msimn.exe など）、SHA-1 ハッシュを表示します。値をコピーしてこのフィールドに貼り付けます。

SHA-1 ハッシュは、常に 16 進数 40 文字です。アプリケーションのスマート トンネル アクセスを認可する前に、クライアントレス SSL VPN は、[App Name] に一致するアプリケーションのハッシュを計算します。結果がハッシュ値と一致すると、アプリケーションのスマート トンネル アクセスが認定されます。

チェックサムはアプリケーションのバージョンやパッチごとに異なるため、入力したハッシュは、リモート ホスト上の 1 つのバージョンまたはパッチとだけ一致します。アプリケーションの複数のバージョンのハッシュを指定する場合は、各ハッシュ値に一意のスマート トンネル エントリを作成します。

ホスト（Host）

スマート トンネル ネットワーク リスト エントリの一部となるホストマスク。

IPアドレス

スマート トンネル ネットワーク リスト エントリの一部となるホストの IP アドレス。バージョン 4.12 以降、Security Manager は IPv6 アドレスをサポートします。

サブネットマスク

指定された IP アドレスのサブネットマスク。

Matching Mode：

• ホスト（Host）

• IPv4/IPv6 アドレス

スマート トンネルの設定時にログイン クレデンシャルの送信を自動化するサーバを指定します。[Host] を使用して、サーバをホスト名またはワイルドカード マスクで指定します。また、[IP Address] を使用して、サーバを IP アドレスおよびネットマスクで指定します。

• [ホスト（Host）]：[ホスト（Host）] を選択して、ホスト名またはワイルドカードマスクを [ホスト名マスク（Hostname Mask] フィールドに入力します。これにより、スマートトンネルの設定時にログインクレデンシャルの送信を自動化するホストが識別されます。

• [IPv4/IPv6アドレス（IPv4/IPv6 Address）]：[IPアドレス（IP Address）] を選択して、スマートトンネルの設定時にログインクレデンシャルの送信を自動化するホストの IP アドレスおよびネットマスク、またはサブネットワークを入力します。

ポート番号（Port Number）

自動サインオンを実行するポート。Firefox では、ポート番号が指定されていない場合、自動サインオンはデフォルトのポート番号 80 および 443 でそれぞれアクセスされた HTTP および HTTPS に対して実行されます。

認証レルム（Authentication Realm）

認証のレルム。[Authentication Realm] は Web サイトの保護領域に関連付けられ、認証時に認証プロンプトまたは HTTP ヘッダーのいずれかでブラウザに再度渡されます。自動サインオンが設定され、レルムの文字列が指定されたら、ユーザはレルムの文字列を Web アプリケーション（Outlook Web Access など）で設定し、Web アプリケーションにサインオンすることなくアクセスできます。

Use Domain

このオプションを選択して、認証で Windows ドメインが必要な場合に、ユーザ名に Windows ドメインを追加します。このオプションを使用する場合は、スマート トンネル リストを 1 つ以上のグループ ポリシーに割り当てるときにドメイン名を指定してください。

事前共有キー（Preshared Key）

このユーザ グループに関連付けられているクライアントの認証に使用される事前共有キー。

通常の IPsec VPN では、事前共有キーによって、1 つ以上のピアが個別の共有秘密キーを使用して、暗号化されたトンネルを認証できます。事前共有キーは、各参加ピア上で設定する必要があります。参加ピアの 1 つに同じ事前共有キーが設定されていない場合は、IKE SA を確立できません。

Easy VPN 認証では、サーバ/クライアント キーを確実に一致させるために、同じ Easy VPN サーバ キーがスポーク設定に使用されます。

リモート アクセス IPSec VPN 認証では、リモート アクセス VPN サーバとリモート クライアントとの間で VPN 接続をネゴシエートするために、同じキーが使用されます。

IP Address Pool Subnet/Ranges

内部 IP アドレスをクライアントに割り当てるために使用される、ローカル プールの IP アドレス範囲。リモート クライアントは、このプールから割り当てられた IP アドレスです。複数のエントリを指定する場合は、カンマで区切ります。デフォルトは、172.16.0.1 ～ 172.16.4.254 です。

Backup Servers IP Address

Easy VPN またはリモート アクセス IPSec VPN サーバのバックアップとして使用されるサーバの IP アドレス。ルータは、Easy VPN またはリモート アクセス VPN サーバへのプライマリ接続が失敗した場合に、これらのサーバへの接続を試行します。複数のエントリを指定する場合は、カンマで区切ります。

PIX Only Attributes

次の属性は、PIX 6.3 デバイスだけに適用されます。

• [アイドル時間（Idle time）]：VPN 接続のタイムアウト時間（秒単位）。通信がこの接続でこの時間中に発生しなかった場合、デバイスはこの接続を終了します。最小は 60 秒で、最大時間は 35791394 分です。デフォルトは 30 分です。

• [最大時間（Max Time）]：VPN 接続の最大時間（秒単位）。この時間が終了すると、デバイスによって接続が終了されます。最小は 60 秒で、最大は 35791394 分です。デフォルトはありません。

プライマリ DNS サーバ（Primary DNS Server）

グループのプライマリ DNS サーバの IP アドレス。ネットワーク/ホストオブジェクトの IP アドレスまたは名前を入力します。または、 [選択（Select）] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成します。

セカンダリ DNS サーバ（Secondary DNS Server）

グループのセカンダリ DNS サーバの IP アドレス。ネットワーク/ホストオブジェクトの IP アドレスまたは名前を入力します。または、 [選択（Select）] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成します。

ドメイン名

ユーザ グループで設定する DNS サーバのドメイン名。

プライマリ WINS サーバ（Primary WINS Server）

グループのプライマリ WINS サーバの IP アドレス。ネットワーク/ホストオブジェクトの IP アドレスまたは名前を入力します。または、 [選択（Select）] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成します。

セカンダリ WINS サーバ（Secondary WINS Server）

グループのプライマリ WINS サーバの IP アドレス。ネットワーク/ホストオブジェクトの IP アドレスまたは名前を入力します。または、 [選択（Select）] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成します。

スプリット トンネリング（Split Tunneling）

トラフィックをトンネル化するネットワーク。その他すべてのアドレスへのトラフィックは、暗号化されずに送信され、リモートユーザーのインターネット サービス プロバイダーによってルーティングされます。次のいずれかのオプションを使用して、ネットワークを指定できます。

• [保護対象ネットワーク（Protected Networks）]：ネットワークアドレスでネットワークを指定します。アドレスまたはネットワーク/ホストオブジェクトを入力します。あるいは、[選択（Select）] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成します。アドレスの指定については、ポリシー定義中の IP アドレスの指定を参照してください。

• [ACL]：拡張アクセス制御リストポリシーオブジェクトを使用して、ネットワークを指定します。オブジェクトの名前を入力するか、[選択（Select）] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成します。

スプリット DNS

トンネル化される、つまりプライベート ネットワークに解決される必要があるドメイン名のリスト。他のすべての名前は、パブリック DNS サーバを介して解決されます。

複数のドメイン名をカンマで区切って入力できます。

Enable Firewall Are-You-There

（7600 シリーズまたは ASR ルータでは使用できません）

この機能は、VPN クライアントが Black Ice または Zone Alarm パーソナル ファイアウォールを実行している場合に使用できます。

選択した場合、パーソナル ファイアウォールが、接続時および接続中、確実に実行されるようになります。サーバによって要求された場合、Firewall-Are-U-There 属性が Black Ice および Zone Alarm パーソナル ファイアウォールによって送信されます。パーソナル ファイアウォールが動作を停止した場合、接続は終了されます。この機能がイネーブルになっており、かつサーバ上でパーソナル ファイアウォールが稼働していない場合、接続は確立されません。

[モード（Mode）]

サーバ上の Central Policy Push（CPP）ファイアウォール ポリシーに従い、ローカル AAA サーバで必須のファイアウォールがリモート デバイスに備えられているかどうかに基づき、トンネルを許可または拒否します。

[Mode] オプションを使用して、Central Policy Push（CPP）ポリシーが任意であるか必須であるかを次のように指定します。

• [任意（Optional）]：CPP ポリシーが任意であるとして定義され、Easy VPN サーバー設定に含まれている場合、トンネルのセットアップは、定義されたポリシーをクライアントが確認しなくても続行されます。

• [必須（Required）]：CPP ポリシーが必須であるとして定義され、Easy VPN サーバー設定に含まれている場合、トンネルのセットアップは、クライアントがこのポリシーを確認した場合にだけ許可されます。それ以外の場合、トンネルは終了されます。

Firewall Type

必須または任意にするファイアウォールのタイプ。このリストには、Cisco および Zone Labs のソフトウェアなど、サポートされているすべてのファイアウォール ソフトウェアが示されます。

ポリシー タイプ

CPP ファイアウォール ポリシー タイプを指定します。

• [プレゼンスのチェック（Check Presence）]：指定したファイアウォールタイプの存在をチェックするようサーバーに指示します。

• [中央ポリシープッシュ（Central Policy Push）]：指定したクライアント ファイアウォール タイプによって適用される必要がある、入力アクセスリストおよび出力アクセスリストなどの実際のポリシー。次を指定します。

  • 使用するアクセス コントロール リスト。拡張 ACL オブジェクトの名前を入力するか、[選択（Select）] をクリックしてリストからオブジェクトを選択するか、または新しいオブジェクトを作成します。

  • アクセス コントロール リストの方向：着信および発信

Include Local LAN

非スプリット トンネリング接続が、クライアントと同時にローカル LAN にアクセスすることを許可するかどうかを指定します。

Perfect Forward Secrecy

Perfect Forward Secrecy（PFS; 完全転送秘密）をイネーブルにするかどうかを指定します。PFS がイネーブルな場合、サーバは、PFS が IPsec SA に必要であるかどうかを中央サイト ポリシーのクライアントに通知するように設定されています。PFS に提示された Diffie-Hellman（D-H; デフィーヘルマン）グループは、IKE ネゴシエーションのフェーズ 1 でネゴシエートされたグループと同じです。

バナー

Easy VPN トンネルが最初に起動したときの Xauth および Web ベースのアクティベーション中に、Easy VPN リモート クライアントに表示されるバナー テキスト。最大 1024 文字を使用できます。

Maximum Logins Per User

ユーザが同時に確立できる最大接続数。最大値は 10 です。

最大接続数

このグループから Easy VPN サーバへの最大クライアント接続数。グループごとの最大値は 5000 です。

Enable Group-Lock

グループ ロックをイネーブルにするかどうかを指定します。グループ ロックは、ユーザが拡張 Xauth ユーザ名を次のいずれかの形式で入力する場合に必要となります。

• username/groupname

• username\groupname

• username@groupname

• username%groupname

区切り文字のあとに指定されたグループは、次に、IKE アグレッシブ モードで送信されたグループ ID と比較されます。これらのグループは一致する必要があります。一致しない場合、接続が拒否されます。

Enable Save Password

ユーザがユーザの Xauth パスワードをクライアント上でローカルに保存することを許可するかどうかを指定します。以降の認証で、ユーザは、ソフトウェア クライアント上のチェックボックスを使用するか、またはユーザ名とパスワードを Cisco IOS ハードウェア クライアント プロファイルに追加して、パスワードをアクティブ化できます。ユーザがパスワードをアクティブ化すると、ユーザ名とパスワードは Xauth 時にサーバに自動的に送信されます。

このオプションは、ユーザがスタティック パスワード、つまりトークンによって生成されるようなワンタイム パスワードではないパスワードを持っている場合にだけ役立ちます。

User Idle Timeout (sec)

ユーザのアクティビティがなくても VPN トンネルを開いたままにしておける時間（秒数）。値の範囲は 60 ～ 86400 秒です。

User Authentication Server

リモート デバイスがユーザ認証要求を送信する AAA サーバ。サーバーグループの名前を入力するか、[選択（Select）] をクリックしてリストからサーバーグループを選択するか、または新しいグループを作成します。AAA サーバおよびサーバ グループ オブジェクトについてを参照してください。

Enable Device Pass-Through

Media Access Control（MAC; メディア アクセス コントロール）アドレスを使用して、AAA 認証をサポートしていない Cisco IP Phone などのデバイスの認証をバイパスするかどうかを指定します。

MAC ベースの AAA 免除がイネーブルである場合、デバイスは、デバイスの MAC アドレスと（DHCP サーバによって動的に割り当てられた）IP アドレスの両方に一致するトラフィックの AAA サーバをバイパスします。認証をバイパスすると、認可サービスは自動的にディセーブルになります。アカウンティング レコードは引き続き生成されますが（イネーブルになっている場合）、ユーザ名は表示されません。

Enable Secure Unit Authentication

リモート クライアントからデバイスへのアクセスを許可する場合に、セキュリティを強化するかどうかを指定します。

Secure Unit Authentication（SUA）では、ワンタイム パスワード、2 要素認証、および類似の認証スキームを使用して、Extended Authentication（Xauth; 拡張認証）中にリモート デバイスを認証できます。

SUA は、デバイス上の VPN ポリシーで指定され、リモート クライアントにダウンロードされます。これにより、SUA がイネーブルになり、リモート クライアントの接続動作が決まります。

Enable User Authentication

Individual User Authentication（IUA; 個別ユーザ認証）をイネーブルにするかどうかを指定します。IUA を使用すると、各内部クライアントの IP アドレスに基づいて、リモート アクセス VPN の内部ネットワークでクライアントを個別に認証できます。IUA では、スタティックと OTP の両方の認証メカニズムをサポートしています。

Portal Page Websites

ポータル ページ上に表示する Web サイト URL が含まれる SSL VPN ブックマーク ポリシー オブジェクトの名前。これらの Web サイトを使用すると、ユーザは目的のリソースにアクセスできます。オブジェクトの名前を入力するか、[選択（Select）] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。

Allow Users to Enter Websites

ブラウザへの Web サイト URL の直接入力をリモート ユーザに許可するかどうかを指定します。このオプションを選択しない場合、ユーザはポータルに表示されている URL だけにアクセスできます。

Enable Common Internet File System (CIFS)

クライアントレス モードでは、リモート クライアントが、Microsoft Windows サーバで作成されたファイルとディレクトリに Web ブラウザ経由でアクセスできます。Common Internet File System（CIFS）をイネーブルにすると、ファイル サーバのリストおよびディレクトリ リンクが、ログイン後にポータル ページに表示されます。

CIFS プロトコルを使用すると、SSL VPN ゲートウェイでの権限をカスタマイズして、次のように、リモート クライアントに対して、共有ファイルへのアクセスまたは変更を許可できます。

• [ファイル参照を有効化（Enable File Browsing）]：CIFS ファイルサーバー上のファイル共有を参照することをリモートユーザーに許可するかどうかを指定します。

• [ファイルエントリの有効化（Enable File Entry）]：ファイル共有の名前を入力して、CIFS ファイルサーバー上のファイル共有を検索することをリモートユーザーに許可するかどうかを指定します。

WINS Server List

WINS サーバ リスト ポリシー オブジェクトの名前。この名前によって、ファイル サーバ名の解決に使用する WINS/NetBIOS サーバが指定されます。CIFS をイネーブルにした場合は、オブジェクトを指定する必要があります。オブジェクトの名前を入力するか、[選択（Select）] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。

Enable Citrix

リモート クライアントが、クライアント ソフトウェアがなくても、アプリケーションがローカルにインストールされているかのように、SSL VPN を介して Citrix 対応アプリケーション（Microsoft Word や Excel など）を実行できるようにするかどうかを指定します。Citrix ソフトウェアは、ルータが到達可能な 1 台以上のサーバにインストールされている必要があります。

Enable Thin Client

SSL VPN へのシン クライアント アクセスを許可するかどうかを指定します。

Port Forward List

このグループに割り当てるポート転送リスト ポリシー オブジェクトの名前。ポート転送リストには、クライアントレス SSL VPN セッションのユーザが転送先 TCP ポートを介してアクセスできるアプリケーションのセットが含まれます。オブジェクトの名前を入力するか、[選択（Select）] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。

Download Port Forwarding Applet on Client Login

ユーザが SSL VPN にログインしたときに、ポート転送 Java アプレットがクライアントに自動的にダウンロードされるかどうかを指定します。アプレットを自動的にダウンロードしない場合、ユーザがログイン後に手動でダウンロードする必要があります。

Enable Full Tunnel

SSL VPN へのフル トンネル クライアント アクセスをイネーブルにするかどうかを指定します。

Use Other Access Modes if SSL VPN Client Download Fails

Full Tunnel Only

問題が発生してユーザのシステム上でクライアントを正常にダウンロード、インストール、および起動できない場合でも、SSL VPN への接続をユーザに許可するかどうかを指定します。

[フルトンネルのみ（Full Tunnel Only）] を選択すると、ダウンロードが失敗し、そのことによってユーザがネットワークからロックアウトされた場合、ユーザは SSL VPN に接続できません。ダウンロードの問題が発生した場合にクライアントレスまたはシンクライアントアクセスを許可するには、[他のアクセスモードを使用（Use Other Access Modes）] を選択します。

Client IP Address Pool

フル トンネル クライアントがログインしたときに取得するアドレス プールの IP アドレス範囲。このアドレスプールは、デバイスのインターフェイス IP アドレスのいずれかと同じサブネットに存在する必要があります。

アドレス範囲を指定する場合は、最初と最後の IP アドレスをハイフンで区切って入力します。たとえば、10.100.10.2-10.100.10.255 です。1 つのアドレスを入力した場合、プールには 1 つのアドレスだけが含まれます。サブネット指定は入力しないでください。

範囲を定義するネットワーク/ホストポリシーオブジェクトの名前を入力します。または、[選択（Select）] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成することもできます。複数の範囲を指定する場合は、カンマで区切ります。

Filter ACL

SSL VPN へのアクセスを制限する、拡張アクセス コントロール リスト（ACL）オブジェクトの名前。オブジェクトの名前を入力するか、[選択（Select）] をクリックしてリストから選択するか、または新しいオブジェクトを作成します。

Keep SSL VPN Client on Client Computer

ユーザが接続を切断したあとも、フルクライアントをユーザのワークステーションにインストールしたままにするかどうかを指定します。クライアントをユーザのシステムに残さないようにすると、ユーザは、SSL VPN ゲートウェイへの接続を確立するたびにクライアントをダウンロードする必要があります。

ホーム ページ URL（Home Page URL）

フル クライアントのログイン ホーム ページの Web アドレス。

Client Dead Peer Detection Timeout

パケットが SSL VPN トンネルを介してリモート ユーザから受信されるたびに、Dead-Peer Detection（DPD）タイマーがリセットされる時間間隔。1 ～ 3600 秒の範囲の値を入力します。

Gateway Dead Peer Detection Timeout

パケットが SSL VPN トンネルを介してゲートウェイから受信されるたびに、Dead-Peer Detection（DPD）タイマーがリセットされる時間間隔。1 ～ 3600 秒の範囲の値を入力します。

Key Renegotiation Method

リモート ユーザ グループ クライアントのトンネル キーをリフレッシュする方法は、次のとおりです。

• [無効（Disabled）]：トンネルキーの更新を無効にします。

• [新規トンネルの作成（Create New Tunnel）]：新しいトンネル接続を開始します。トンネルのリフレッシュサイクルの時間間隔（秒数）を [間隔（Interval）] フィールドに入力します。

Tunnel Option

スプリット トンネリングを許可するかどうかを指定し、許可する場合は、保護するトラフィック、または暗号化されずにパブリック ネットワークを介して送信するトラフィックを指定します。

• [Disabled]（デフォルト）：トラフィックは、暗号化されずに送信されることがないか、またはゲートウェイ以外の宛先には送信されません。リモート ユーザは企業ネットワーク経由でネットワークに接続し、ローカル ネットワークにはアクセスできません。

• [指定されたトラフィックをトンネル化（Tunnel Specified Traffic）]：[宛先（Destinations）] フィールドに示されているアドレスとの間のすべてのトラフィックをトンネル化します。その他すべてのアドレスへのトラフィックは、暗号化されずに送信され、リモートユーザーのインターネット サービス プロバイダーによってルーティングされます。

• [指定されたトラフィックを除外（Exclude Specified Traffic）]：[宛先（Destinations）] フィールドに示されているアドレスとの間をトラフィックが暗号化されずに送信されます。これは、トンネル経由で企業ネットワークに接続しているリモート ユーザがプリンタなどのローカル ネットワーク上のデバイスにアクセスする場合に役立ちます。

宛先

トラフィックがトンネルを介して通過する必要があるネットワーク、およびトンネリングが不要なネットワークを示す、ホストまたはネットワークの IP アドレス。これらのアドレスへのトラフィックが、暗号化されてゲートウェイにトンネリングされるか、または暗号化されずに送信されるかは、[トンネルオプション（Tunnel Option）] での選択によって決まります。

10.100.10.0/24 などのネットワーク アドレスまたは 10.100.10.12 などのホスト アドレスを入力します。ネットワーク/ホストポリシーオブジェクトの名前を入力するか、[選択（Select）] をクリックしてリストからオブジェクトを選択するか、または新しいオブジェクトを作成することもできます。カンマで複数のアドレスを区切ります。

Exclude Local LANs

ローカル LAN を暗号化されたトンネルから除外するかどうかを指定します。このオプションは、[指定されたトラフィックを除外（Exclude Specified Traffic）] トンネルオプションを選択している場合にのみ選択できます。このオプションを選択すると、LAN に接続しているシステム（プリンタなど）との通信をユーザに許可するために、ローカル LAN アドレスを宛先フィールドに入力する必要がなくなります。

選択した場合、この属性によって、クライアントと同時にローカル サブネットワークにアクセスする非スプリット トンネリング接続が許可されなくなります。

Split DNS Names

スプリット トンネルを介してプライベート ネットワークに解決されるドメイン名のリスト。他のすべての名前は、パブリック DNS サーバを使用して解決されます。

ドメインのリストに最大 10 のエントリをカンマで区切って入力します。文字列全体は、255 文字以下である必要があります。

Browser Proxy Option

リモートクライアントのブラウザ上でプロキシ設定値を設定するかどうか、および設定する方法を指定します。

• [Blank]：プロキシ設定値は設定されません。

• [Do Not Use Proxy Server]：プロキシを使用しないようにブラウザを設定します。

• [Automatically Detect Settings]：プロキシ設定を自動的に検出するようにブラウザを設定します。

• [Bypass Proxy Server for Local Addresses]：ユーザによって設定されたプロキシ設定をバイパスするようにブラウザを設定します。

プロキシ サーバ（Proxy Server）

プロキシ サーバのアドレス。

• [IP address]：アドレスを指定するネットワーク/ホスト オブジェクトの IP アドレスまたは名前。[選択（Select）] をクリックして、リストからオブジェクトを選択します。

• [Name]：完全修飾ドメイン名。proxy.example.com などです。

プロキシ サーバのポート（Proxy Server Port）

プロキシ トラフィックに使用される、サーバ上のポート番号。80 などです。1 ～ 65535 の範囲の値を入力します。

Do Not Use Proxy Server for Addresses Beginning With

プロキシを設定した場合、プロキシがバイパスされる特定のホストを指定できます。ユーザがこれらのホストをブラウザで開くと、プロキシは接続で使用されません。

完全な IP アドレスまたは完全修飾ドメイン名を入力します。10.100.10.14、www.cisco.com などです。

アイドル タイムアウト

SSL VPN セッションのアイドル タイムアウト時間。セッションは、指定されたアイドル タイムアウトよりも長い時間クライアントがアイドル状態である場合に切断されます。値の範囲は 0 ～ 3600 秒です。

セッションのタイムアウト（Session Timeout）

SSL VPN セッションのタイムアウト時間。セッションは、ユーザがまだアクティブである場合でもこのタイムアウトに到達すると切断されます。値の範囲は 1 ～ 1209600 秒です。

バナー テキスト（Banner Text）

リモート ユーザが SSL VPN に接続したときに表示される、初期メッセージなどのバナー。

二重引用符または新しい行（Carriage Return（CR; 復帰））をバナー テキストに使用することはできません。ただし、HTML タグを挿入することで、目的のレイアウトを作成できます。

サーバ

Windows ファイル サーバ名を IP アドレスに変換するために使用される WINS サーバの IP アドレス。サーバを指定するネットワーク/ホスト ポリシー オブジェクトの名前を入力することもできます。[選択（Select）] をクリックしてネットワーク/ホストオブジェクトを選択するか、または新しいオブジェクトを作成します。

プライマリブラウザとして設定（Set as Primary Browser）

サーバーをプライマリブラウザとして設定するかどうか。プライマリブラウザは、コンピュータおよび共有リソースのリストを維持します。

タイムアウト（Timeout）

セキュリティ アプライアンスが、WINS クエリーへの応答を待機する時間。この時間を超えると、セキュリティ アプライアンスは、サーバが 1 台だけの場合は同じサーバに再度 WINS クエリーを送信し、サーバが複数存在する場合は次のサーバに送信します。

デフォルトのタイムアウトは 2 秒です。値の範囲は 1 ～ 30 秒です。

Retries

設定されているサーバへの WINS クエリーの送信を再試行する回数。セキュリティ アプライアンスは、エラー メッセージを送信する前に、この回数に達するまでサーバのリストを順に試行します。

デフォルトは 2 です。範囲は 0 ～ 10 です。