Androidでの Cisco Secure Client のフルサポートは、Android 4.0（Ice Cream Sandwich）から最新の Android リリースを搭載するデバイスで提供されます。

Android 用の Cisco Secure Client Umbrella モジュールを使用するには、Android 6.0 以降が必要です。

Kindle Fire HD 用の Cisco Secure Client は、Amazon から Kindle Fire HD デバイスおよび新しい Kindle Fire 用に入手できます。Secure Client for Kindle は Secure Client for Android パッケージと機能的に同等です。

現在のすべての Chromebook では、Cisco Secure Client for Android が公式にサポートされており、ChromeOS で最適な Cisco Secure Client エクスペリエンスを実現するために強く推奨されています。ネイティブ ChromeOS クライアントは、Android アプリケーションを実行できないレガシー Chromebook 専用です。

Per-App VPN は、管理型環境および非管理型環境でサポートされています。Samsung KNOX MDM を使用する管理型環境では、Android 4.3 以降で Samsung Knox 2.0 を実行する Samsung デバイスが必要です。非管理型環境で Per App を使用する場合は、一般的な Android のメソッドが使用されます。

Network Visibility Module（NVM）機能に関しては、Android 7.0 以降を必要とする Samsung Knox 2.8 以降（3.3 を含む）を実行する Samsung デバイスが必要です。NVM の設定には、Secure Client 4.4.3 以降の Cisco Secure Client プロファイルエディタも必要です。それより前のリリースでは、モバイル NVM の設定はサポートされていません。

リリース 4.8.03645（以降）では、Cisco Secure Client for Android 6.0.1 以降のデバイス用の Cisco Umbrella モジュールが Android から提供されます。この管理対象および管理対象外 Android デバイス用のローミングクライアントは DNS レイヤ保護を提供します。この保護は、ワークプロファイルでカバーされるアプリケーションとブラウジングの両方に拡張されます。

モバイルデバイス管理システム (MDM) は、このクライアントを Android デバイスに展開し、Umbrella 設定を Android デバイスにプッシュするために必要です。サポートされている MDM およびその他の前提条件のリストについては、「Android OS で Cisco Secure Client の Umbrella モジュールを展開するための前提条件」を参照してください。

機能によっては、次のような機能が制限されることがあります。

• アプリケーションごとの VPN は、OS の制限により、Umbrella モジュールでは機能しません。リモートアクセス VPN がアクティブな場合、Umbrella による保護は、VPN トンネルによって代行受信された DNS トラフィックにのみ適用されます。アプリケーションごとの VPN に対してリモートアクセスが設定されている場合は、トンネル化されたアプリケーションの DNS トラフィックに対してのみ、Umbrella による保護が適用されます。

• Umbrella による保護を使用する場合、常時接続 VPN は、ロックダウン（フェールクローズ）オプションとともに使用しないでください。これは、VPN サーバーに到達できない場合にユーザーのインターネットアクセスが停止されるためです。常時接続がオンになっている場合にロックダウン設定をオフにするには、MDM ガイドを参照してください。

Umbrella 完全機能セットの説明については、「Umbrella Module for AnyConnect (Android OS)」を参照してください。

Android OS での Google による制限により、Umbrella Cisco Secure Client モジュールを有効にすると、Google Play ストアでのアプリケーションのダウンロードが失敗する場合があります。この問題を回避するには、Umbrella モジュールを有効にする前にアプリケーションをダウンロードします。Google は Android OS「Q」でこの動作を修正しました。詳細については、「Google Issue Tracker」を参照してください。

次の表に、Cisco Secure Client on Android でサポートされるリモートアクセス機能を示します。

次の機能を使用するには、Cisco Secure Firewall ASA の最小リリースが必要です。

（注）	現在の Cisco Secure Client モバイルリリースにおけるこれらの機能の可用性については、お使いのプラットフォームの機能マトリックスを参照してください。

• SAML 認証：Cisco Secure Firewall ASA 9.7.1.24、9.8.2.28、9.9.2.1 以降。クライアントとサーバー両方のバージョンが最新であることを確認してください。

• TLS 1.3：Secure Firewall ASA 9.19.1 以降。

• TLS 1.2：Cisco Secure Firewall ASA 9.3.2 以降。

• Per-App VPN トンネリングモード：Cisco Secure Firewall ASA 9.3.2 以降。

• IPsec IKEv2 VPN、Suite B 暗号化、SCEP プロキシ、またはモバイルポスチャ：Cisco Secure Firewall ASA 9.0。

シスコでは、すべてのユーザーに、Google Play ストアで入手できる Android リリースの最新バージョンを使用することを強くお勧めします。さらに、.apk バージョンは、最新バージョン用のもののみ Cisco.com で入手できます。Google Play ストアを利用できない場合、Cisco Secure Client ソフトウェア ダウンロード ページにアクセスできる管理者は、このバージョンを入手できます。

• Android 10 の VPN トンネルで接続の問題が発生している場合は、Android 10 のプライベート DNS 機能を無効にしてみてください。

• パブリック インターフェイスとプライベート インターフェイスにおける IPv6。

  IPv6 は、Cisco Secure Client 4.05015 以降を使用するプライベートおよびパブリックトランスポートの両方でサポートされており、Android 5 以降で対応しています。この組み合わせにより、IPv6 トンネルを介した IPv4 および IPv6 トンネルを介した IPv6 が可能になります。

  以前のバージョンの Cisco Secure Client と Android リリースで使用できたトンネル設定（IPv4 トンネルを介した IPv4、および IPv4 トンネルを介した IPv6）も引き続き使用できます。

  （注）	Android に存在する既知の問題（Issue #65572）が原因で、IPv6 over IPv4 は Android 4.4 上で機能しません。Android 5 以降を使用する必要があります。

• バッテリセーバーおよび Cisco Secure Client：

  • Android 5.0 では、デバイスでのバックグラウンド ネットワーク接続をブロックするバッテリ セーバー機能が導入されました。バッテリセーバーを有効にすると、Cisco Secure Client はバックグラウンドで実行している場合、一時停止状態に移行します。Android 5.0 でこれを回避するには、デバイス設定でバッテリ セーバーをオフにすることができます（[設定（Settings）] -> [バッテリ（Battery）] -> [バッテリ セーバー（Battery saver）] または通知バーから）。

  • Android 6.0 以降では、バッテリセーバーが原因で Cisco Secure Client が一時停止状態に移行すると、Cisco Secure Client の部分をバッテリセーバーモードから許可リストに登録するオプションを選択できるポップアップが表示されます。Cisco Secure Client の部分を許可リストに登録すると、バックグラウンドで実行する機能に影響を与えずにバッテリを節約できます。

  • バッテリセーバーが原因で Cisco Secure Client が一時停止した場合、バッテリセーバーをオフにするか、Secure Client を許可リストに追加するかに関係なく、Cisco Secure Client を一時停止状態から戻すには手動で再起動する必要があります。

• スプリット DNS は、Android 4.4 デバイスでは機能しません。また、Samsung 製の Android 5.x デバイスでも機能しません。Samsung デバイスの場合、唯一の回避策は、スプリット DNS を無効にしてグループに接続することです。その他のデバイスでは、Android 5.x にアップグレードして、この問題の修正を入手する必要があります。

  これは、Android 4.4 に存在する既知の問題（ Issue #64819）によるもので、Android 5.x で修正されましたが、Samsung 製の Android 5.x デバイスには組み込まれませんでした。

• Android 5.x のバグ（Google Issue #85758、Cisco Issue # CSCus38925）により、Secure Client アプリケーションを [最近利用したアプリケーション（Recent Apps）] 画面から閉じると、正しく動作しない場合があります。正常な動作を復元するには、[設定（Settings）] で Secure Client を終了してから、再起動します。

• Samsung モバイルデバイスでは、[設定（Settings）] > [Wi-Fi] > [スマート ネットワーク スイッチ（Smart network switch）] で、安定したインターネット接続を維持するために Wi-Fi から LTE に切り替えることができます（Wi-Fi 接続が最適でない場合）。この場合も、アクティブな VPN トンネルが一時停止し、再接続します。何度も繰り返し再接続することになるため、この機能を無効にすることをお勧めします。

• 複数のアクティブ ユーザーをサポートする Android 5.0（Lollipop）で、VPN 接続はデバイス上のすべてのユーザーではなく、単一のユーザーのデータのみをトンネルします。バックグラウンド データ フローが暗号化されずに発生する可能性があります。

• Android 4.3.1 のバグ（Google Issue #62073）により、Cisco Secure Client ICS+ パッケージを使用するユーザーは、非完全修飾ドメイン名を入力できません。たとえば、「internalhost」とは入力できず、「internalhost.company.com」と入力する必要があります。

• Android 4.3 への HTC One 上の AT&T ファームウェアのアップデート（ソフトウェアバージョン：3.17.502.3）は、「HTC Cisco Secure Client」をサポートしていません。お客様は「HTC Cisco Secure Client」をアンインストールし、「Cisco Secure Client ICS+」をインストールする必要があります（HTC Secure Client は、3.22.1540.1 ソフトウェアバージョンのインターナショナル エディションでは機能します）。デバイスのソフトウェア バージョンは、[設定（Settings）] > [端末情報（About）] > [ソフトウェア情報（Software information）] > [ソフトウェア番号（Software number）] で確認します。

• 管理者が Android トンネルの MTU を 1280 未満に設定した場合に VPN 接続が失敗するという Google Issue #70916 が、Android 5.0（Lollipop）で解決されたことをご報告します。次の問題情報は、参考のために提供します。

  Android 4.4.3 でのバグの再発のため（Google Issue #70916、Cisco CSCup24172）、管理者が Android トンネルの MTU を 1280 以下に設定した場合に、VPN 接続が失敗します。この問題はすでに Google に報告されています。Android 4.4.3 で再発したバグを修正するには、新しいバージョンの OS が必要になります。この問題を回避するために、ヘッドエンドの管理者はトンネル MTU を 1280 未満に設定しないでください。

  問題が発生すると、エンド ユーザーに「System configuration settings could not be applied. A VPN connection will not be established」というメッセージが表示され、Secure Client のデバッグログに以下の内容が表示されます。

  
  E/vpnandroid( 2419): IPCInteractionThread: NCSS: General Exception occured, telling client
  E/vpnandroid( 2419): java.lang.IllegalStateException: command '181 interface fwmark rule add tun0' 
  failed with '400 181 Failed to add fwmark rule (No such process)'
  E/vpnandroid( 2419): at android.os.Parcel.readException(Parcel.java:1473)
  E/vpnandroid( 2419): at android.os.Parcel.readException(Parcel.java:1419)
  E/vpnandroid( 2419): at 
  com.cisco.android.nchs.aidl.IICSSupportService$Stub$Proxy.establish
  (IICSSupportService.java:330)
  E/vpnandroid( 2419): at com.cisco.android.nchs.support.VpnBuilderWrapper.establish
  (VpnBuilderWrapper.java:137)
  E/vpnandroid( 2419): at com.cisco.android.nchs.support.NCSSIPCServer.callServiceMethod
  (NCSSIPCServer.java:233)
  E/vpnandroid( 2419): at 
  com.cisco.android.nchs.ipc.IPCInteractionThread.handleClientInteraction
  (IPCInteractionThread.java:230)
  E/vpnandroid( 2419): at com.cisco.android.nchs.ipc.IPCInteractionThread.run
  (IPCInteractionThread.java:90)
  E/acvpnagent( 2450): Function: ApplyVpnConfiguration 
  File: NcssHelper.cpp Line: 740 failed to establish VPN
  E/acvpnagent( 2450): Function: PluginResult AndroidSNAKSystem::configDeviceForICS() 
  File: AndroidSNAKSystem.cpp Line: 665 failed to apply vpn configuration
  E/acvpnagent( 2450): Function: virtual PluginResult AndroidSNAKSystem::ApplyConfiguration() 
  File: AndroidSNAKSystem.cpp Line: 543 Failed to Configure System for VPN.

• Android 4.4（KitKat）のバグ Google Issue #61948（Secure Client ユーザーが VPN 接続で大量のパケット損失を経験する/タイムアウトが発生する）が Google の Android 4.4.1 のリリース（Google がソフトウェアアップデートを介して一部のデバイスに配布を開始）で解決されたことをご報告します。次の問題情報は、参考のために提供します。

  Android 4.4 のバグ（Issue #61948、Cisco サポートの更新 [英語] も参照）により、Secure Client ユーザーは VPN 接続で大量のパケット損失を経験します。この問題は、Android 4.4 で Secure Client ICS+ を実行する Google Nexus 5 で確認されています。ユーザーは、特定のネットワーク リソースにアクセスしようとすると、タイムアウトを経験します。また、Cisco Secure Firewall ASA ログには、「大きいパケット 1420 バイト（しきい値 1405 バイト）を送信（Transmitting large packet 1420 (threshold 1405)）」のような syslog メッセージが表示されます。

  Google 社が Android 4.4 用の修正を作成するまで、VPN 管理者は sysopt connection tcpmss <mss size> を設定することにより、Cisco Secure Firewall ASA 上の TCP 接続の最大セグメントサイズを一時的に小さくできます。このパラメータのデフォルトは 1380 バイトです。ASA ログに表示される値の差に応じてこの値を小さくします。上記の例では、差は 15 バイトです。値を 1365 未満にする必要があります。この値を小さくすると、大きなパケットを送信する接続済みの VPN ユーザーのパフォーマンスに悪影響を及ぼします。

• Cisco Secure Client for Android で、464xlat と呼ばれる IPv6 移行メカニズムを使用してモバイルネットワークに接続すると、接続の問題が生じる場合があります。影響を受けることが確認されているデバイスには、T-Mobile US ネットワークに接続している Samsung Galaxy Note III LTE があります。このデバイスは、デフォルトで IPv6 モバイル ネットワーク接続のみを使用します。接続を試行すると、デバイスを再起動するまで、モバイル接続が失われることがあります。

  この問題を防ぐには、Cisco Secure Client ICS+ アプリケーションを使用し、IPv4 ネットワーク接続を取得するか、Wi-Fi ネットワークを使用して接続するようにデバイス設定を変更します。T-Mobile USA ネットワークに接続している Samsung Galaxy Note III LTE の場合、T-Mobile によって提供されている手順 [英語] に従って、デバイスのアクセス ポイント名（APN）を設定します（[APN プロトコル（APN Protocol）] が [IPv4] に設定されていることを確認します）。

• VPN 内のプライベート IP アドレスの範囲がクライアントデバイスの外部インターフェイスの範囲とオーバーラップすると、Cisco Secure Client ICS+ パッケージに問題が発生することがあります。このルートのオーバーラップが発生すると、ユーザーは VPN に正常に接続できますが、実際には何にもアクセスできません。この問題は、NAT（ネットワークアドレス変換）を使用し、アドレスを 10.0.0.0 ～ 10.255.255.255 の範囲内に割り当てている携帯電話ネットワークで確認されています。この問題は、Cisco Secure Client で Android VPN フレームワークのルート制御が制限されていると発生します。ベンダー固有の Android パッケージに完全なルーティング制御があると、このようなシナリオではより良く機能する場合があります。

• Android 4.0（ICS）を実行する Asus タブレットで、TUN ドライバが失われることがあります。失われると、AVF Cisco Secure Client が失敗します。

• Android セキュリティ ルールによって、VPN 接続がアップ状態の間、デバイスのマルチメディア メッセージング サービス（MMS）メッセージの送受信が阻止されます。ほとんどのデバイスとサービス プロバイダでは、VPN 接続がアップ状態の間に MMS メッセージを送信しようとすると通知が表示されます。Android では VPN に接続していないときにメッセージの送受信が許可されます。

• Google Issue 41037 が原因で、クリップボードからテキストを貼り付けるときに、テキストの前にスペースが挿入されます。Cisco Secure Client では、ワンタイムパスワードなどのテキストをコピーする場合、ユーザーが不要な空白文字を削除する必要があります。

詳細については、次のドキュメントを参照してください。

• Cisco Secure Client Release Notes

• Cisco Secure Client Administrator Guides

• Cisco Secure Firewall ASA ドキュメントのランディングページ