この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Umbrella ローミング セキュリティ モジュールを展開している場合は、Umbrella ローミング クライアントのすべての既存のインストールが検出され、競合を防ぐために自動的に削除されます。Umbrella ローミング クライアントの既存インストールを Umbrella サービス サブスクリプションに関連付けている場合は、OrgInfo.json ファイルを AnyConnect インストーラと同じ場所に配置して Umbrella モジュールのディレクトリで Web 展開または事前展開を設定していない限り、Umbrella ローミング セキュリティ モジュールに自動的に移行されます。Umbrella ローミング セキュリティ モジュールを展開する前に、手動で Umbrella ローミング クライアントをアンインストールすることができます。
Umbrella ローミング セキュリティ モジュールを使用している場合は、次の前提条件も満たす必要があります。
Umbrella ローミング アカウントを取得する。Umbrella ダッシュボード(http://dashboard2.opendns.com)は、AnyConnect Umbrella ローミング セキュリティ モジュールの操作に必要な情報を取得するログイン ページです。ローミング クライアント アクティビティのレポートを制御するためにもこのサイトを使用します。
ダッシュボードから OrgInfo ファイルをダウンロードする。AnyConnect Umbrella ローミング セキュリティ モジュール展開の準備をするには、
(または、サブスクリプションによっては のみ)の順に参照して Umbrella ダッシュボードから OrgInfo.json ファイルを取得します。ページ右上隅にある +記号をクリックします。AnyConnect 設定ファイルとマークされたセクションまで下にスクロールして [ダウンロード(Download)]をクリックします。orginfo.json ファイルには、ローミング セキュリティ モジュールにレポートの送信先と適用するポリシーを知らせる、Umbrella サービス サブスクリプションについての詳細が含まれています。
AnyConnect の展開は、AnyConnect クライアントと関連ファイルのインストール、設定、アップグレードを意味します。
Cisco AnyConnect Secure Mobility Clientは、次の方法によってリモート ユーザに展開できます。
事前展開:新規インストールとアップグレードは、エンド ユーザによって、または社内のソフトウェア管理システム(SMS)を使用して実行されます。
Web 展開:AnyConnect パッケージは、ヘッドエンド(ASA または ISE サーバ)にロードされます。ユーザが ASA または ISE に接続すると、AnyConnect がクライアントに展開されます。
クラウド更新:Umbrella ローミング セキュリティ モジュールの展開後に、上記およびクラウド更新のいずれかの方法を使用して AnyConnect モジュールを更新できます。クラウド更新では、ソフトウェア アップグレードは Umbrella クラウド インフラストラクチャから自動的に得られます。更新トラックは管理者のアクションではなくこれによって決まります。デフォルトでは、クラウド更新からの自動更新は無効です。
AnyConnect を展開する場合に、追加機能を含めるオプションのモジュール、および VPN やオプション機能を設定するクライアント プロファイルを含めることができます。
ASA、IOS、Microsoft Windows、Linux、および Mac OS X のシステム、管理、およびエンドポイントの要件については、リリース ノート(http://www.cisco.com/c/en/us/support/security/anyconnect-secure-mobility-client/products-release-notes-list.html)を参照してください。
AnyConnect は、ISE 1.3(またはそれ以降)および ASA ヘッドエンドによる Web 展開または事前展開が可能です。
AnyConnect ファイルのアーカイブを手動で配布し、インストール方法に関する指示をユーザに提供します。ファイルのアーカイブ形式は、zip(Windows)、DMG(Mac OS X)、gzip(Linux)です。
システム要件およびライセンスの依存関係の詳細については、『AnyConnect Secure Mobility Client Features, Licenses, and OS』(http://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect44/feature/guide/anyconnect44features.html)を参照してください。
(注) | Mac または Linux プラットフォームでルート権限のアクティビティを実行するために AnyConnect ポスチャ(HostScan)を使用している場合は、AnyConnect ポスチャを事前展開することを推奨します。 |
AnyConnect のためのエンドポイントの準備
一部の 3G カードには、AnyConnect を使用する前に必要な設定手順があります。たとえば、VZAccess Manager には次の 3 種類の設定があります。
[LAN アダプタ自動接続(LAN adapter auto connect)]を選択した場合は、プリファレンスを NDIS モードに設定します。NDIS は、VZAccess Manager が終了されても接続を続行できる、常時接続です。VZAccess Manager では、AnyConnect をインストールする準備が整うと、自動接続 LAN アダプタをデバイス接続のプリファレンスとして表示します。AnyConnect インターフェイスが検出されると、3G マネージャはインターフェイスをドロップし、AnyConnect 接続を許可します。
優先順位の高い接続に移動する場合(有線ネットワークが最も優先順位が高く、次に WiFi、モバイル ブロードバンドの順になります)、AnyConnect は、古い切断を解除する前に新しい接続を確立します。
Active Directory 管理者が Internet Explorer の信頼済みサイトのリストに ASA を追加するには、グループ ポリシーを使用できます。この手順は、ローカル ユーザが Internet Explorer の信頼済みサイトに追加する方法とは異なります。
ある条件下では、AnyConnect によって Internet Explorer の [ツール(Tools )] > [インターネット オプション(Internet Options)] > [接続(Connections)] タブが非表示にされます(ロックされます)。このタブが表示されている場合、ユーザはプロキシ情報を設定できます。このタブを非表示にすると、ユーザが意図的または偶発的にトンネルを迂回することを防止できます。タブのロックダウン設定は、接続を解除するときに反転します。タブのロックダウンは、そのタブに適用されている管理者定義のポリシーによって上書きされます。ロックダウンは、次の場合に適用されます。
AnyConnect は、Windows RDP セッションからの VPN 接続を許可するように設定できます。デフォルトでは、RDP によりコンピュータに接続されているユーザは、Cisco AnyConnect Secure Mobility Clientを使用して VPN 接続を開始できません。次の表に、RDP セッションからの VPN 接続のログインとログアウトのオプションを示します。これらのオプションは、VPN クライアント プロファイルで設定されます。
その他の VPN セッションの接続オプションについては、「AnyConnect VPN 接続オプション」を参照してください。
デフォルトでは、Windows は DES SSL 暗号化をサポートしません。ASA に DES-only を設定した場合、AnyConnect 接続は失敗します。これらのオペレーティング システムの DES 対応設定は難しいため、ASA には、DES-only SSL 暗号化を設定しないことをお勧めします。
AnyConnect は、SMS を使用した手動による事前展開が可能です。この場合、エンド ユーザがインストールできるファイルを配布するか、AnyConnect ファイル アーカイブにユーザが接続できるようにします。
AnyConnect をインストールするためのファイル アーカイブを作成する場合、アーカイブのディレクトリ構造が、クライアントにインストールされるファイルのディレクトリ構造と一致する必要があります。説明は次の項を参照してください。 AnyConnect プロファイルを事前展開する場所
ステップ 1 | AnyConnect 事前展開パッケージをダウンロードします。
事前展開用の AnyConnect ファイルは cisco.com で入手できます。
ネットワーク可視化モジュールと Umbrella ローミング セキュリティ モジュールは Linux オペレーティング システムでは使用できません。 | ||||||||||
ステップ 2 | クライアント プロファイルを作成します。一部のモジュールおよび機能にはクライアント プロファイルが必要です。
クライアント プロファイルを必要とするモジュールは次のとおりです。 AnyConnect クライアント プロファイルを必要としないモジュールは次のとおりです。 ASDM でクライアント プロファイルを作成して、PC にこれらのファイルをコピーできます。または、Windows PC 上のスタンドアロン プロファイル エディタを使用できます。Windows 上のスタンドアロン エディタの詳細については、「プロファイル エディタについて」を参照してください。 | ||||||||||
ステップ 3 | 任意で、AnyConnect クライアントとインストーラのカスタマイズとローカライズを行います。 | ||||||||||
ステップ 4 | 配布用ファイルを準備します。ファイルのディレクトリ構造は、「AnyConnect プロファイルを事前展開する場所」で説明されています。
| ||||||||||
ステップ 5 | AnyConnect インストール用ファイルをすべて作成したら、これらをアーカイブ ファイルで配布するか、クライアントにファイルをコピーできます。同じ AnyConnect ファイルが、接続する予定のヘッドエンド、ASA、および ISE にも存在することを確認します。 |
次の表に、Windows コンピュータに Umbrella ローミング セキュリティ モジュール、ネットワーク アクセス マネージャ、AMP イネーブラ、ISE ポスチャ、Web セキュリティ、およびネットワーク可視性モジュールの各クライアントを事前展開または Web 展開する際のエンドポイント コンピュータ上のファイル名を示します。
ネットワーク アクセス マネージャ |
anyconnect-win-version-nam-webdeploy-k9.msi |
anyconnect-win-version-nam-predeploy-k9.msi |
Web セキュリティ |
anyconnect-win-version-websecurity-webdeploy-k9.exe |
anyconnect-win-version-websecurity-predeploy-k9.msi |
ISE ポスチャ |
anyconnect-win-version-iseposture-webdeploy-k9.msi |
anyconnect-win-version-iseposture-predeploy-k9.msi |
AMP イネーブラ |
anyconnect-win-version-amp-webdeploy-k9.msi |
anyconnect-win-version-amp-predeploy-k9.exe |
ネットワーク可視性モジュール |
anyconnect-win-version-nvm-webdeploy-k9.exe |
anyconnect-win-version-nvm-predeploy-k9.msi |
Umbrella ローミング セキュリティ モジュール |
anyconnect-win-version-umbrella-webdeploy-k9.exe |
anyconnect-win-version-umbrella-predeploy-k9.msi |
AnyConnect 4.3(およびそれ以降)は Visual Studio 2015 ビルド環境に移行しており、そのネットワーク アクセス マネージャ モジュールが機能するためには VS 再頒布可能ファイルが必要です。これらのファイルは、インストール パッケージの一部としてインストールされます。.msi ファイルを使用して、4.3(またはそれ以降)にネットワーク アクセス マネージャ モジュールをアップグレードできますが、最初に AnyConnect セキュア モビリティ クライアントをアップグレードし、リリース 4.3(またはそれ以降)を実行する必要があります。
(注) | Windows 2008R2 サーバが存在する場合、AnyConnect ネットワーク アクセス マネージャをインストールするときに、インストール エラーが発生することがあります。WLAN サービスはサーバのオペレーティング システムにデフォルトではインストールされないため、このソフトウェアをインストールし、PC をリブートする必要があります。 |
クライアント システムにファイルをコピーする場合は、次の表に示す場所にファイルを配置する必要があります。
AnyConnect プロファイル。このファイルは、特定のユーザ タイプに対して設定される機能および属性値を指定します。 |
|
Windows 7 SP1 および 8.x |
%ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\Profile |
||
%ProgramData%\Cisco\ Cisco AnyConnect Secure Mobility Client\NetworkAccessManager\newConfigFiles |
|||
%ProgramData%\Cisco\ Cisco AnyConnect Secure Mobility Client\Web Security |
|||
%ProgramData%\Cisco\ Cisco AnyConnect Secure Mobility Client\CustomerExperienceFeedback |
|||
OPSWAT |
%PROGRAMFILES%\Cisco\Cisco AnyConnect Secure Mobility Client\opswat |
||
ISE ポスチャ |
%ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\ISE Posture |
||
AMP イネーブラ |
%ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\AMP Enabler |
||
ネットワーク可視性モジュール |
%ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\NVM |
||
Umbrella ローミング セキュリティ モジュール |
%ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\Umbrella
|
||
Mac OS X |
|||
バイナリ |
/opt/cisco/anyconnect/bin |
||
OPSWAT |
/opt/cisco/anyconnect/lib/opswat |
||
ライブラリ |
/opt/cisco/anyconnect/lib |
||
UI リソース |
/Applications/Cisco/Cisco AnyConnect Secure Mobility Client.app/Contents/Resources/ |
||
ISE ポスチャ |
/opt/cisco/anyconnect/iseposture/ |
||
AMP イネーブラ |
/opt/cisco/anyconnect/ampenabler/ |
||
ネットワーク可視性モジュール |
/opt/cisco/anyconnect/NVM/ |
||
Umbrella ローミング セキュリティ モジュール |
/opt/cisco/anyconnect/umbrella
|
||
ネットワーク アクセス マネージャ、Web セキュリティ、および Umbrella ローミング セキュリティ モジュールは、スタンドアロン アプリケーションとして実行できます。コア AnyConnect クライアントがインストールされていますが、VPN および AnyConnect UI は使用されません。
ステップ 1 | ソフトウェア管理システム(SMS)を設定して MSI プロパティ PRE_DEPLOY_DISABLE_VPN=1 を設定し、VPN 機能を無効にします。次に例を示します。
msiexec /package anyconnect-win-version-predeploy-k9.msi /norestart /passive PRE_DEPLOY_DISABLE_VPN=1 /lvx* <log_file_name> MSI は、MSI に埋め込まれた VPNDisable_ServiceProfile.xml ファイルを VPN 機能のプロファイルに指定されたディレクトリにコピーします。 |
ステップ 2 | モジュールをインストールします。たとえば、次の CLI コマンドは、Web セキュリティをインストールします。
msiexec /package anyconnect-win-version-websecurity-predeploy-k9.msi /norestart /passive /lvx* c:\test.log |
ステップ 3 | (任意)DART をインストールします。
misexec /package annyconnect-win-version-dart-predeploy-k9.msi /norestart /passive /lvx* c:\test.log |
ステップ 4 | 難解化 クライアント プロファイルのコピーを、正しい Windows フォルダに保存します。 |
ステップ 5 | Cisco AnyConnect サービスを再起動します。 |
AnyConnect のネットワーク アクセス マネージャ、Web セキュリティ、および Umbrella ローミング セキュリティ モジュールは、ユーザ コンピュータ上にスタンドアロン アプリケーションとして展開できます。これらのアプリケーションでは、DART がサポートされます。
VPNDisable_ServiceProfile.xml ファイルは、VPN クライアント プロファイル ディレクトリにある唯一の AnyConnect プロファイルである必要もあります。
zip イメージをユーザが使用できるようにし、それをインストールするように要求する場合は、スタンドアロン モジュールだけをインストールするように指示してください。
(注) | コンピュータ上にネットワーク アクセス マネージャが事前にインストールされていなかった場合、ユーザは、ネットワーク アクセス マネージャのインストールを完了するためにコンピュータをリブートする必要があります。一部のシステム ファイルのアップグレードを必要とする、アップグレード インストールの場合も、ユーザはリブートを必要とします。 |
ステップ 1 | ユーザに AnyConnect ネットワーク アクセス マネージャ、AnyConnect Web セキュリティ モジュール、または Umbrella ローミング セキュリティ モジュールを確認するように指示します。 |
ステップ 2 | [Cisco AnyConnect VPN モジュール(Cisco AnyConnect VPN Module)]チェックボックスをオフにするようユーザに指示します。
このようにすると、コア クライアントの VPN 機能が無効になり、ネットワーク アクセス マネージャ、Web セキュリティ、または Umbrella ローミング セキュリティ モジュールが、インストール ユーティリティによって、VPN 機能なしのスタンドアロン アプリケーションとしてインストールされます。 |
ステップ 3 | (任意)[ロックダウン コンポーネント サービス(Lock Down Component Services)]チェックボックスをオンにします。ロックダウン コンポーネント サービスによって、ユーザは、Windows サービスを無効または停止できなくなります。 |
ステップ 4 | オプション モジュール用のインストーラを実行するようにユーザに指示します。このインストーラでは、VPN サービスなしで AnyConnect GUI を使用できます。ユーザが [選択してインストール(Install Selected)] ボタンをクリックすると、次の処理が行われます。
|
Windows への事前展開
この zip パッケージ ファイルは、インストール ユーティリティ、個々のコンポーネント インストーラを起動するセレクタ メニュー プログラム、AnyConnect のコア モジュールとオプション モジュール用の MSI を含みます。zip パッケージ ファイルをユーザに対して使用可能にすると、ユーザはセットアップ プログラム(setup.exe)を実行します。このプログラムでは、インストール ユーティリティ メニューが表示されます。このメニューから、ユーザはインストールする AnyConnect モジュールを選択します。多くの場合、ロードするモジュールをユーザが選択しないようにする必要があります。したがって、zip ファイルを使用して配布する場合は、zip を編集し、使用されないようにするモジュールを除外して、HTA ファイルを編集します。
ISO を配布する 1 つの方法は、SlySoft や PowerIS などの仮想 CD マウント ソフトウェアを使用することです。
目的 | |
---|---|
GUI.ico | AnyConnect アイコン イメージ。 |
Setup.exe | インストール ユーティリティを起動します。 |
anyconnect-win-version-dart-predeploy-k9.msi |
DART モジュール用 MSI インストーラ ファイル。 |
anyconnect-win-version-gina-predeploy-k9.msi |
SBL モジュール用 MSI インストーラ ファイル。 |
anyconnect-win-version-iseposture-predeploy-k9.msi |
ISE ポスチャ モジュール用 MSI インストーラ。 |
anyconnect-win-version-amp-predeploy-k9.exe |
AMP イネーブラ用 MSI インストーラ ファイル。 |
anyconnect-win-version-nvm-predeploy-k9.msi |
ネットワーク可視性モジュール用 MSI インストーラ ファイル。 |
anyconnect-win-version-umbrella-predeploy-k9.msi |
Umbrella ローミング セキュリティ モジュール用 MSI インストーラ ファイル。 |
anyconnect-win-version-nam-predeploy-k9.msi |
ネットワーク アクセス マネージャ モジュール用 MSI インストーラ ファイル。 |
anyconnect-win-version-posture-predeploy-k9.msi |
ポスチャ モジュール用 MSI インストーラ ファイル。 |
anyconnect-win-version-websecurity-predeploy-k9.msi |
Web セキュリティ モジュール用 MSI インストーラ ファイル。 |
anyconnect-win-version-core-vpn-predeploy-k9.msi |
AnyConnect コア クライアント用 MSI インストーラ ファイル。 |
autorun.inf | setup.exe の情報ファイル。 |
eula.html | Acceptable Use Policy(アクセプタブル ユース ポリシー)の略。 |
setup.hta | サイトに合わせてカスタマイズできる、インストール ユーティリティ HTML アプリケーション(HTA)。 |
展開するモジュールのインストーラ(*.msi)を zip イメージから抽出した後で、これらを手動で配布できます。
AnyConnect を Windows にインストールする場合、AlwaysInstallElevated または Windows User Account Control(UAC)グループ ポリシー設定のいずれかを無効にする必要があります。無効にしないと、AnyConnect インストーラはインストールに必要な一部のディレクトリにアクセスできない場合があります。
Microsoft Internet Explorer(MSIE)ユーザは、信頼済みサイト リストにヘッドエンドを追加するか、Java をインストールする必要があります。信頼済みサイトのリストへの追加により、最低限のユーザ操作で ActiveX コントロールによるインストールが可能になります。
VPN なしの AnyConnect コア クライアント機能。 スタンドアロン ネットワーク アクセス マネージャまたは Web セキュリティ モジュールをインストールするときに使用します。 |
msiexec /package anyconnect-win-version-core-vpn-predeploy-k9.msi /norestart /passive PRE_DEPLOY_DISABLE_VPN=1 /lvx* anyconnect-win-version-core-vpn-predeploy-k9-install-datetimestamp.log |
msiexec /package anyconnect-win-version-core-vpn-predeploy-k9.msi /norestart /passive /lvx* anyconnect-win-version-core-vpn-predeploy-k9-install-datetimestamp.log |
|
msiexec /package anyconnect-win-version-core-vpn-predeploy-k9.msi /norestart /passive DISABLE_CUSTOMER_EXPERIENCE_FEEDBACK=1 /lvx* anyconnect-win-version-core-vpn-predeploy-k9-install-datetimestamp.log |
|
msiexec /package anyconnect-win-version-dart-predeploy-k9.msi /norestart /passive /lvx* anyconnect-win-version-dart-predeploy-k9-install-datetimestamp.log |
|
msiexec /package anyconnect-win-version-gina-predeploy-k9.msi /norestart /passive /lvx* anyconnect-win-version-gina-predeploy-k9-install-datetimestamp.log |
|
msiexec /package anyconnect-win-version-nam-predeploy-k9.msi /norestart /passive /lvx* anyconnect-win-version-nam-predeploy-k9-install-datetimestamp.log |
|
msiexec /package anyconnect-win-version-websecurity-predeploy-k9.msi /norestart/passive /lvx* anyconnect-win-version-websecurity-predeploy-k9-install-datetimestamp.log |
|
msiexec /package anyconnect-win-version-posture-predeploy-k9.msi /norestart/passive /lvx* anyconnect-win-version-posture-predeploy-k9-install-datetimestamp.log |
|
ISE ポスチャ |
msiexec /package anyconnect-win-version-iseposture-predeploy-k9.msi /norestart/passive /lvx* anyconnect-win-version-iseposture-predeploy-k9-install-datetimestamp.log |
AMP イネーブラ |
msiexec /package anyconnect-win-version-amp-predeploy-k9.msi / norestart/passive /lvx* anyconnect-win-version-amp-predeploy-k9-install-datetimestamp.log |
ネットワーク可視性モジュール |
msiexec /package anyconnect-win-version-nvm-predeploy-k9.msi / norestart/passive /lvx* anyconnect-win-version-nvm-predeploy-k9-install-datetimestamp.log |
Umbrella ローミング セキュリティ |
msiexec /package anyconnect-win-version-umbrella-predeploy-k9.msi / norestart/passive /lvx* anyconnect-version-umbrella-predeploy-k9-install-datetimestamp.log |
サンプルの Windows トランスフォームが、その使用方法を説明したドキュメントとともに用意されています。下線文字(_)で始まるトランスフォームは、一般的な Windows トランスフォームで、特定のモジュール インストーラに特定のトランスフォームのみを適用できます。英文字で始まるトランスフォームは VPN トランスフォームです。各トランスフォームには、その使用方法を説明したマニュアルがあります。トランスフォーム ダウンロードは sampleTransforms-x.x.x.zip です。
Cisco AnyConnect Secure Mobility Clientをホストするデバイスでは、エンド ユーザに限定的なアクセス権を与えることを推奨します。エンド ユーザに追加の権限を与える場合、インストーラでは、エンドポイントでロックダウン済みとして設定されている Windows サービスをユーザとローカル管理者がオフにしたり停止したりできないようにするロックダウン機能を提供できます。Web セキュリティ モジュールでは、サービス パスワードを使用してクライアントをバイパス モードにすることができます。また、ユーザが AnyConnect をアンインストールできないようにすることもできます。
各 MSI インストーラでは、共通のプロパティ(LOCKDOWN)がサポートされます。これは、ゼロ以外の値に設定されている場合に、そのインストーラに関連付けられた Windows サービスがエンドポイント デバイスでユーザまたはローカル管理者によって制御されないようにします。インストール時に提供されるサンプルのトランスフォーム(anyconnect-vpn-transforms-X.X.xxxxx.zip)を使用して、このプロパティを設定し、ロックダウンする各 MSI インストーラにトランスフォームを適用することを推奨します。ロックダウン オプションも ISO インストール ユーティリティ内のチェックボックスです。
Windows の [プログラムの追加と削除(Add/Remove Program List)] リストを表示するユーザに対して、インストールされている AnyConnect モジュールを非表示にできます。ARPSYSTEMCOMPONENT=1 を使用して任意のインストーラを起動した場合、そのモジュールは、Windows の [プログラムの追加と削除(Add/Remove Program List)] リストに表示されません。
サンプルのトランスフォーム(anyconnect-vpn-transforms-X.X.xxxxx.zip)を使用して、このプロパティを設定することを推奨します。非表示にするモジュールごとに、各 MSI インストーラにトランスフォームを適用します。
モジュールのインストーラは、インストールを開始する前に、インストーラがコア クライアントと同じバージョンであることを確認します。バージョンが一致しない場合は、モジュールはインストールされず、不一致がユーザに通知されます。インストール ユーティリティを使用する場合は、パッケージ内のモジュールが、まとめてビルドおよびパッケージ化されるため、バージョンは常に一致します。
ステップ 1 | AnyConnect モジュールは次の順番でインストールします。
|
ステップ 2 | AnyConnect モジュールは次の順番でアンインストールします。 |
DART 情報は、万一アンインストール プロセスが失敗した場合に役立ちます。
(注) | 設計上、一部の XML ファイルは AnyConnect のアンインストール後もそのままの状態です。 |
Mac OS X への事前展開
Mac OS X 向け AnyConnect は、すべての AnyConnect モジュールを含む DMG ファイルで配布されます。ユーザが DMG ファイルを開き、AnyConnect.pkg ファイルを実行すると、インストール ダイアログが開始され、インストール方法が手順を追って説明されます。[インストール タイプ(Installation Type)] 画面で、ユーザはインストールするパッケージ(モジュール)を選択できます。
いずれかの AnyConnect モジュールを配布から除外するには、Apple pkgutil ツールを使用し、変更後にパッケージに署名します。ACTransforms.xml を使用してインストーラを変更することもできます。言語と外観をカスタマイズし、その他のインストール アクションを変更できます。これについては、ACTransforms.xml による Mac OS X でのインストーラ動作のカスタマイズのカスタマイズの章で説明されています。
VPN なしで、Web セキュリティ モジュール、ネットワーク可視性モジュール、または Umbrella ローミング セキュリティ モジュールのみをインストールできます。VPN および AnyConnect UI は使用されません。
次の手順では、スタンドアロン プロファイル エディタをインストールして、プロファイルを作成し、そのプロファイルを DMG パッケージに追加することによって、モジュールをカスタマイズする方法について説明します。また、ブート時に自動的に起動するように AnyConnect ユーザ インターフェイスを設定し、モジュールに必要なユーザおよびグループ情報を AnyConnect が提供できるようにします。
ステップ 1 | Cisco.com から Cisco AnyConnect Secure Mobility ClientDMG ファイルをダウンロードします。 |
ステップ 2 | ファイルを開いて、インストーラにアクセスします。ダウンロードしたイメージは読み取り専用ファイルです。
|
ステップ 3 | ディスク ユーティリティを実行するか、次のようにターミナル アプリケーションを使用して、インストーラ イメージを書き込み可能にします。 |
ステップ 4 | Windows オペレーティング システムが実行されているコンピュータにスタンドアロンのプロファイル エディタをインストールします。カスタム インストールまたは完全インストールの一部として、必要な AnyConnect モジュールを選択する必要があります。デフォルトではインストールされていません。 |
ステップ 5 | プロファイル エディタを起動して、プロファイルを作成します。 |
ステップ 6 | セキュアな場所に、WebSecurity_ServiceProfile.xml、NVM_ServiceProfile.xml、または OrgInfo.json(ダッシュボードから取得します)としてプロファイルを適切に保存します。
これらのモジュールについて、プロファイル エディタが Web セキュリティ用に難解化バージョンのプロファイル(WebSecurity_ServiceProfile.wso など)を作成し、Web セキュリティ用のファイル(WebSecurity_ServiceProfile.xml など)を保存したのと同じ場所に保存します。難解化を完了するには、以下のステップに従います。 |
ゲートキーパーは、システムでの実行を許可するアプリケーションを制限します。次からダウンロードされたアプリケーションを許可するか選択できます。
デフォルト設定は Mac App Store and identified developers(署名付きアプリケーション)です。
最新バージョンの AnyConnect は、Apple 証明書を使用した署名付きアプリケーションです。ゲートキーパーが Mac App Store(のみ)に設定されている場合、事前展開されたインストールから AnyConnect をインストールして実行するには、[あらゆる場所(Anywhere)] 設定を選択するか、または Ctrl キーを押しながらクリックして選択した設定をバイパスする必要があります。詳細については、http://www.apple.com/macosx/mountain-lion/security.html を参照してください。
Linux への事前展開
Linux 用の個々のインストーラを取り出して、手動で配布できます。事前展開パッケージ内の各インストーラは、個別に実行できます。tar.gz ファイル内のファイルの表示および解凍には、圧縮ファイル ユーティリティを使用します。
ユーザが AnyConnect をアンインストールする順序は重要です。
DART 情報は、アンインストール プロセスが失敗した場合に役立ちます。
ステップ 1 | ポスチャ モジュールをアンインストールします。 |
ステップ 2 | AnyConnect コア クライアントをアンインストールします。 |
ステップ 3 | DART をアンインストールします。 |
AnyConnect でサーバ証明書を使用する場合は、AnyConnect が証明書にアクセスして信頼済みとして検証できるように、証明書ストアを使用可能にする必要があります。デフォルトでは、AnyConnect は Firefox 証明書ストアを使用します。
AnyConnect を Linux デバイスにインストールした後、AnyConnect 接続を初めて試行する前に、Firefox ブラウザを開始します。Firefox を開くと、プロファイルが作成され、そこに証明書ストアが含まれます。
Firefox を使用しない場合、Firefox 証明書ストアを除外するローカル ポリシーを設定し、PEM ストアを設定する必要があります。
1 つ以上のオプション モジュールに加えてコア クライアントを展開する場合、ロックダウン プロパティを各インストーラに適用する必要があります。ロックダウンについては、Windows 事前展開 MSI の例で説明しています。
このアクションは、VPN インストーラ、ネットワーク アクセス マネージャ、Web セキュリティ、ネットワーク可視化モジュール、および Umbrella ローミング セキュリティ モジュールに使用できます。
(注) | VPN インストーラのロックダウンをアクティブにすると、その結果として AMP イネーブラもロックダウンされます。 |
端末から、tar -zxvf <path to tar.gz file including the file name コマンドを使用して tar.gz ファイルを抽出します。
端末から、抽出したフォルダに移動し、sudo ./dart_install.sh コマンドを使用して dart_install.sh を実行します。
(注) | DART のアンインストールには、/opt/cisco/anyconnect/dart/dart_uninstall.sh しか使用できません。 |
Web 展開とは、クライアント システム上の AnyConnect ダウンローダがヘッドエンドから AnyConnect ソフトウェアを取得するか、またはヘッドエンドのポータルを使用して AnyConnect をインストールまたは更新することです。
ASA のクライアントレス ポータルは、AnyConnect を Web 展開します。プロセス フローは次のとおりです。
ユーザがブラウザを開き、ASA のクライアントレス ポータルに接続します。ASA がクライアントとの初期 SSL 接続を確立し、ログイン ページを開きます。ユーザがログインと認証を満たした場合、クライアントレス ポータル ページに [AnyConnect クライアントの起動(Start AnyConnect Client)] ダイアログが表示されます。ユーザが AnyConnect ダウンロードを選択すると、ASA がコンピュータのオペレーティング システムに一致するクライアントをダウンロードします。ダウンロード後、クライアントは自動的にインストールおよび設定され、ASA への IPsec(IKEv2)接続または SSL 接続が確立されます(Web 起動)。ActiveX または Java の問題のために Web 起動が実行できない場合、ユーザは AnyConnect を手動でダウンロードできます。
ASA Web 展開の制限
同じ OS 用の複数の AnyConnect パッケージを ASA にロードすることはサポートされていません。
OPSWAT 定義は、Web 展開時には VPN ポスチャ(HostScan)モジュールに含まれません。OPSWAT 定義をクライアントに配信するには、hostscan モジュールを手動で展開するか、または ASA にロードする必要があります。
ASA にデフォルトの内部フラッシュ メモリ サイズしかない場合、ASA に複数の AnyConnect クライアント パッケージを保存およびロードすると問題が生じる可能性があります。フラッシュ メモリにパッケージ ファイルを保持するために十分な容量がある場合でも、クライアント イメージの unzip とロードのときに ASA のキャッシュ メモリが不足する場合があります。AnyConnect 展開時および ASA メモリのアップグレード時の ASA メモリ要件の詳細については、VPN アプライアンスの最新のリリース ノートを参照してください。
ユーザは IP アドレスまたは DNS を使用して ASA に接続できますが、リンクローカル セキュア ゲートウェイ アドレスはサポートされていません。
Internet Explorer の信頼済みサイトのリストに Web 起動をサポートするセキュリティ アプライアンスの URL を追加する必要があります。これは、「Windows Internet Explorer 信頼済みサイトのリストへの ASA の追加」の説明に従って、グループ ポリシーを使用して行うことができます。
ISE のポリシーでは、AnyConnect クライアントをいつ展開するかを指定します。ユーザがブラウザを開き、ISE によって制御されるリソースに接続すると、ユーザは AnyConnect クライアント ポータルにリダイレクトされます。その ISE ポータルでは、ユーザが AnyConnect をダウンロードし、インストールできます。Internet Explorer では、ActiveX コントロールに従ってインストールを進めます。他のブラウザでは、ポータルによって Network Setup Assistant がダウンロードされ、ユーザがそれを使用して AnyConnect をインストールします。
ISE 展開の制限
ISE と ASA の両方が AnyConnect を Web 展開する場合は、設定が両方のヘッドエンドで一致する必要があります。
ISE サーバが AnyConnect ISE ポスチャ エージェントによって検出されるのは、そのエージェントが ISE クライアント プロビジョニング ポリシーに設定されている場合だけです。ISE 管理者は、[エージェント設定(Agent Configuration)] > [ポリシー(Policy)] > [クライアント プロビジョニング(Client Provisioning)] で NAC Agent または AnyConnect ISE ポスチャ モジュールを設定します。
ASA での Web 展開の設定
オペレーティング システム | ブラウザ |
---|---|
Windows 10 x86(32 ビット)および x64(64 ビット) |
Internet Explorer 11 Firefox 3.51 以降 |
Windows 8.x x86(32 ビット)および x64(64 ビット) |
Internet Explorer 11 Firefox 10.0.10 以降 |
Windows 7 SP1 x86(32 ビット)および x64(64 ビット) |
Internet Explorer 11 Firefox 3.51 以降 |
Mac OS X 10.10、10.11、および 10.12(32 ビットおよび 64 ビット) |
Safari 9.1 |
Red Hat Linux 6(64 ビット) Ubuntu 12.04(LTS)、14.04(LTS)、および 16.04(64 ビット) |
(RHEL 6)Firefox 3 以降 (12.04)Firefox 10.0 以降 (14.04)Firefox 29.0 以降 (16.04)Firefox 29.0 以降 |
(注) | 上記にリストされている以外のバージョンでも機能する可能性がありますが、シスコでは、上記以外のバージョンでは完全テストを実施していません。 |
(注) | IE Edge の ActiveX 問題が原因で、現時点では、IE Edge(Windows 10 のデフォルトのブラウザ)で WebLaunch をサポートしていません。 |
AnyConnect 4.3(およびそれ以降)は Visual Studio(VS)2015 ビルド環境に移行しており、そのネットワーク アクセス マネージャ モジュールが機能するためには VS 再頒布可能ファイルが必要です。これらのファイルは、インストール パッケージの一部としてインストールされます。.msi ファイルを使用して、4.3(およびそれ以降)にネットワーク アクセス マネージャ モジュールをアップグレードできますが、最初に AnyConnect セキュア モビリティ クライアントをアップグレードし、リリース 4.3(およびそれ以降)を実行する必要があります。
また、AnyConnect Umbrella ローミング セキュリティ モジュールの追加には、Microsoft .NET 4.0 が必要です。
Cisco AnyConnect Software Download の Web ページから最新の Cisco AnyConnect Secure Mobility Client パッケージをダウンロードします。
OS |
AnyConnect Web 展開パッケージ名 |
---|---|
Windows |
anyconnect-win-version-webdeploy-k9.pkg |
Mac OS X |
anyconnect-macos-version-webdeploy-k9.pkg |
Linux(64 ビット) |
anyconnect-linux64-version-webdeploy-k9.pkg |
(注) | ASA で同じオペレーティング システムの異なるバージョンを使用してはなりません。 |
追加機能を有効にするには、グループ ポリシーまたはローカル ユーザ設定で新しいモジュール名を指定します。追加モジュールの有効化は、ダウンロード時間に影響することに注意してください。機能を有効にすると、AnyConnect は VPN エンドポイントにそれらのモジュールをダウンロードする必要があります。
(注) | Start Before Logon を選択した場合は、AnyConnect クライアント プロファイルでもこの機能を有効にする必要があります。 |
ステップ 1 | ASDM で、 に移動します。 |
ステップ 2 | グループ ポリシーを選択し、新しいグループ ポリシーの [編集(Edit)]または [追加(Add)] をクリックします。 |
ステップ 3 | ナビゲーション ペインで、で [追加(Add)]をクリックし、このグループ ポリシーに追加する各モジュールを選択します。使用可能なモジュールは、ASA に追加またはアップロードしたモジュールです。 の順に選択します。[ダウンロードするクライアントモジュール(Client Modules to Download)] |
ステップ 4 | [適用(Apply)]をクリックし、変更をグループ ポリシーに保存します。 |
ASA でクライアント プロファイルを作成する前に、AnyConnect Web 展開パッケージを追加する必要があります。
ステップ 1 | に移動します。 |
ステップ 2 | グループと関連付けるクライアント プロファイルを選択し、[グループ ポリシーの変更(Change Group Policy)]をクリックします。 |
ステップ 3 | [プロファイル ポリシー名のポリシーの変更(Change Policy for Profile policy name)] ウィンドウで、[使用可能なグループ ポリシー(Available Group Policies)] フィールドからグループ ポリシーを選択し、右矢印をクリックして [ポリシー(Policies)] フィールドに移動します。 |
ステップ 4 | [OK]をクリックします。 |
ステップ 5 | [AnyConnect クライアント プロファイル(AnyConnect Client Profile)] ページで、[適用(Apply)]をクリックします。 |
ステップ 6 | [保存(Save)]をクリックします。 |
ステップ 7 | 設定が終了したら、[OK]をクリックします。 |
ISE は、ISE のポスチャをサポートするために、AnyConnect コア、ISE ポスチャ モジュール、および OPSWAT(コンプライアンス モジュール)を設定して展開できます。また、ISE は、ASA に接続する場合に使用可能なすべての AnyConnect モジュールおよびリソースを展開できます。ユーザが ISE によって制御されるリソースを参照すると次のようになります。
ISE が ASA の背後にある場合、ユーザは ASA に接続し、AnyConnect をダウンロードし、VPN 接続を確立します。AnyConnect ISE ポスチャが ASA によってインストールされていない場合、ISE ポスチャをインストールするために、ユーザは AnyConnect クライアント ポータルにリダイレクトされます。
ISE が ASA の背後にない場合、ユーザは AnyConnect クライアント ポータルに接続し、ISE 上の AnyConnect 設定で定義された AnyConnect リソースをインストールするように誘導されます。一般的な設定では、ISE ポスチャ ステータスが不明な場合、ブラウザが AnyConnect クライアント プロビジョニング ポータルにリダイレクトされます。
ユーザが ISE 内の AnyConnect クライアント プロビジョニング ポータルに誘導されると次のようになります。
ブラウザが Internet Explorer の場合、ISE は Anyconnect ダウンローダをダウンロードし、ダウンローダが AnyConnect をロードします。
他のすべてのブラウザの場合、ISE はクライアント プロビジョニング リダイレクション ポータルを開きます。ここには、Network Setup Assistant(NSA)ツールをダウンロードするためのリンクが表示されます。ユーザは NSA を実行します。これにより、ISE サーバが検出され、Anyconnect ダウンローダがダウンロードされます。
NSA が Windows での実行を終了した場合、自動的に削除されます。Mac OS X での実行を終了した場合は、手動で削除する必要があります。
ISE のマニュアルでは、次の方法について説明しています。
ISE で AnyConnect 設定プロファイルを作成する
ローカル マシンから ISE に AnyConnect リソースを追加する
リモート サイトから AnyConnect プロビジョニング リソースを追加する
AnyConnect クライアントおよびリソースを展開する
ISE では、次の AnyConnect リソースの設定および展開が可能です。
オペレーティング システムの AnyConnect パッケージ、およびローカル PC に展開する他の AnyConnect リソースをダウンロードします。
(注) | ASA を使用すると、インストールは VPN のダウンローダによって行われます。ダウンロードでは、ISE ポスチャ プロファイルは ASA によってプッシュされ、後続のプロファイルのプロビジョニングに必要なホスト検出が利用可能になってから、ISE ポスチャ モジュールが ISE に接続します。その一方、ISE では、ISE ポスチャ モジュールは ISE が検出された後にのみプロファイルを取得し、これがエラーの原因になることがあります。したがって、VPN に接続するとき ASA を ISE ポスチャ モジュールにプッシュすることを推奨します。 |
展開するモジュールのプロファイルを作成します。最低でも、AnyConnect ISE ポスチャ プロファイルを作成します。
ISE バンドルと呼ばれる ZIP アーカイブにカスタマイズおよびローカリゼーション リソースを統合します。バンドルには次を含めることができます。
AnyConnect ローカリゼーション バンドルには、次を含めることができます。
ISE バンドルの作成については、「ISE 展開のための AnyConnect カスタマイズおよびローカリゼーションの準備」で説明します。
追加の AnyConnect リソースをアップロードして作成する前に、AnyConnect パッケージを ISE にアップロードする必要があります。
(注) | ISE で AnyConnect 設定オブジェクトを設定する場合、[AnyConnect モジュールの選択(AnyConnect Module Selection)] の下にある VPN モジュールの選択を解除しても、展開された、またはプロビジョニングされたクライアントの VPN は無効になりません。AnyConnect GUI の VPN タイルを無効にするには、VPNDisable_ServiceProfile.xml を設定する必要があります。VPNDisable_ServiceProfile.xml は他の AnyConnect ファイルとともに CCO にあります。 |
ISE で、 を表示して、[リソース(Resources)] を選択します。
を選択します。[クライアント プロビジョニング(Client Provisioning)]を展開して [リソース(Resources)]を選択して、AnyConnect パッケージ ファイルをアップロードします。展開を計画しているその他の AnyConnect リソースについて、ローカル ディスクからのエージェント リソースの追加を繰り返して行ってください。
を選択します。この AnyConnect 設定は、次の表に示すように、モジュール、プロファイル、カスタマイズ/言語パッケージ、および OPSWAT パッケージを設定します。
プロンプト | ISE リソース タイプと説明 |
---|---|
AnyConnect パッケージ |
AnyConnectDesktopWindows AnyConnectDesktopOSX AnyConnectWebAgentWindows AnyConnectWebAgentOSX |
コンプライアンス モジュール |
AnyConnectComplianceModuleWindows AnyConnectComplianceModuleOSX |
AnyConnect プロファイル |
AnyConnectProfile ISE により、アップロードされた AnyConnect パッケージで提供される各プロファイルのチェックボックスが表示されます。 |
カスタマイゼーション バンドル |
AnyConnectCustomizationBundle |
ローカリゼーション バンドル |
AnyConnectLocalizationBundle |
ロールまたは OS ベースのクライアント プロビジョニング ポリシーを作成します。AnyConnect および ISE レガシー NAC/MAC エージェントを、クライアント プロビジョニングのポスチャ エージェントに選択できます。各 CP ポリシーは、AnyConnect エージェントまたはレガシー NAC/MAC エージェントのいずれか 1 つのエージェントのみをプロビジョニングできます。AnyConnect エージェントを設定する場合、ステップ 2 で作成した AnyConnect 設定を 1 つ選択します。
AnyConnect クライアント:AnyConnect が ASA に接続する場合、AnyConnect ダウンローダは新しいソフトウェアまたはプロファイルが ASA にロードされたかどうかを確認します。それらの更新はクライアントにダウンロードされ、VPN トンネルが確立されます。
クラウド更新:Umbrella ローミング セキュリティ モジュールは、Umbrella クラウド インフラストラクチャからインストールされたすべての AnyConnect モジュールの自動更新を提供できます。クラウド更新では、ソフトウェア アップグレードは Umbrella クラウド インフラストラクチャから自動的に得られます。更新トラックは管理者のアクションではなくこれによって決まります。デフォルトでは、クラウド更新からの自動更新は無効です。
ISE:ユーザが ISE に接続すると、ISE は AnyConnect 設定を使用して、更新されたコンポーネントまたは新しいポスチャ要件があるかどうかを確認します。更新を利用できる場合、ユーザは、ASA、ワイヤレス コントローラ、またはスイッチなどのネットワーク アクセス デバイス(NAD)に接続します。認証時、ユーザは NAD によって ISE ポータルにリダイレクトされ、パッケージの抽出とインストールを管理するために、AnyConnect のダウンローダがクライアントにインストールされます。
エンド ユーザに遅延更新を許可することができ、ヘッドエンドに更新をロードしてもクライアントの更新を回避することもできます。
前提条件
ここでの例の前提は次のとおりです。
AnyConnect がクライアントにインストールされている
ユーザが AnyConnect を起動し、クレデンシャルを入力し、[接続(Connect)] をクリックします。
ASA がクライアントとの SSL 接続を開いて認証クレデンシャルを ISE に渡し、ISE がクレデンシャルを検証します。
ISE ポスチャが ASA によってインストールされなかった場合は、次のようになります。
ユーザが任意のサイトを参照し、DACL によって ISE の AnyConnect クライアント プロビジョニング ポータルにリダイレクトされます。
ブラウザが Internet Explorer の場合、ActiveX コントロールが AnyConnect ダウンローダを起動します。その他のブラウザの場合、ユーザが Network Setup Assistant(NSA)をダウンロードして実行し、NSA が AnyConnect ダウンローダをダウンロードして起動します。
AnyConnect ダウンローダが ISE に設定された AnyConnect アップグレード(これには、AnyConnect ISE ポスチャ モジュールが含まれています)を実行します。
クライアントの ISE ポスチャ エージェントがポスチャを起動します。
AnyConnect がインストールされていない
ユーザがサイトを参照して、ASA クライアントレス ポータルへの接続を開始します。
ユーザが認証クレデンシャルを入力し、これが ISE に渡されて検証されます。
AnyConnect ダウンローダが、Internet Explorer では ActiveX コントロールによって起動され、他のブラウザでは Java アプレットによって起動されます。
AnyConnect ダウンローダが ASA に設定されたアップグレードを実行し、VPN トンネルを開始します。ダウンローダが完了します。
ISE ポスチャが ASA によってインストールされなかった場合は、次のようになります。
ユーザがサイトを再度参照し、ISE の AnyConnect クライアント プロビジョニング ポータルにリダイレクトされます。
Internet Explorer では、ActiveX コントロールが AnyConnect ダウンローダを起動します。その他のブラウザの場合、ユーザが Network Setup Assistant をダウンロードして実行し、これが AnyConnect ダウンローダをダウンロードして起動します。
AnyConnect ダウンローダが、既存の VPN トンネルによって ISE に設定されたアップグレード(これには、AnyConnect ISE ポスチャ モジュールの追加が含まれています)を実行します。
ISE ポスチャ エージェントがポスチャ評価を開始します。
クライアント プロファイルを設定し、配布することによって、AnyConnect 自動更新を無効にしたり、制限したりできます。
リモート ユーザに対して Web 展開の開始を求めるプロンプトを表示するように ASA を設定し、ユーザが AnyConnect をダウンロードするか、クライアントレス ポータル ページを表示するかを選択できる期間を設定できます。
ユーザに AnyConnect のダウンロードを求めるプロンプトの表示は、グループ ポリシーまたはユーザ アカウントで設定されます。次の手順は、グループ ポリシーでこの機能を有効にする方法を示しています。
ステップ 1 | ASDM で、 に移動します。 |
ステップ 2 | グループ ポリシーを選択し、新しいグループ ポリシーの [編集(Edit)]または [追加(Add)] をクリックします。 |
ステップ 3 | ナビゲーション ペインで、 を選択します。必要に応じて [継承(Inherit)]チェックボックスをオフにし、[ログイン後の設定(Post Login setting)] を選択します。
ユーザにプロンプトを表示する場合は、タイムアウト時間を指定し、その時間経過後のデフォルト動作を [デフォルトのログイン後選択(Default Post Login Selection)] 領域で選択します。 |
ステップ 4 | [OK]をクリックし、変更をグループ ポリシーに適用して、[保存(Save)] をクリックします。 |
「AnyConnect 自動更新の無効化」の説明に従って AutoUpdate を無効にし、ユーザに AnyConnect の更新の受け入れを強制できます。AutoUpdate はデフォルトでオンになっています。
遅延アップデートを設定して、ユーザがクライアントのアップデートを後で行うことを許可できます。遅延アップデートが設定されている場合に、クライアントのアップデートが利用可能になると、AnyConnect は更新を実行するか延期するかをユーザに尋ねるダイアログを開きます。遅延アップグレードは、すべての Windows、Linux、および OS X でサポートされます。
ASA では、遅延アップデートはカスタム属性を追加し、グループ ポリシーでその属性を参照および設定することで有効になります。遅延アップデートを使用するには、すべてのカスタム属性を作成し、設定する必要があります。
ASA 設定にカスタム属性を追加するための手順は、実行中の ASA/ASDM のリリースによって異なります。カスタム属性の設定手順については、ASA/ASDM の展開リリースに対応した『Cisco ASA Series VPN ASDM Configuration Guide』および『Cisco ASA Series VPN CLI Configuration Guide』を参照してください。
次の属性と値により、ASDM に遅延アップデートを設定します。
DeferredUpdateAllowed | |||
DeferredUpdateMinimumVersion | x.x.x |
アップデートを遅延できるようにインストールする必要がある AnyConnect の最小バージョン。 最小バージョン チェックは、ヘッドエンドで有効になっているすべてのモジュールに適用されます。有効になっているモジュール(VPN を含む)がインストールされていないか、最小バージョンを満たしていない場合、接続は遅延アップデートの対象になりません。 この属性が指定されていない場合、エンドポイントにインストールされているバージョンに関係なく、遅延プロンプトが表示されます(または自動消去されます)。 |
|
DeferredUpdateDismissTimeout | 0 ~ 300(秒) |
遅延アップデート プロンプトが表示され、自動的に消去されるまでの秒数。この属性は、遅延アップデート プロンプトが表示される場合に限り適用されます(最小バージョン属性が最初に評価されます)。 |
|
DeferredUpdateDismissResponse | defer update |
次の図は、更新が可能で、遅延アップデートが設定されている場合に表示される UI を示します。図の右側は [DeferredUpdateDismissTimeout]が設定されている場合の UI を示しています。
AnyConnect ソフトウェアおよびプロファイルの更新は、ヘッドエンドへの接続時に使用可能で、かつクライアントによって許可されている場合に発生します。ヘッドエンドに対して AnyConnect 更新の設定を行うと、更新を使用できるようになります。VPN ローカル ポリシー ファイルの更新ポリシー設定によって、更新が許可されるかどうかが決まります。
更新ポリシーは、ソフトウェア ロックと呼ばれることもあります。複数のヘッドエンドが設定されている場合、更新ポリシーはマルチ ドメイン ポリシーとも呼ばれます。
デフォルトでは、更新ポリシー設定ではすべてのヘッドエンドからのソフトウェアおよびプロファイルの更新を許可します。これを制限するには、次のように更新ポリシー パラメータを設定します。
[サーバ名(Server Name)]リストにヘッドエンドを指定することで、特定のヘッドエンドにすべての AnyConnect ソフトウェアおよびプロファイルの更新を許可(認証)します。
ヘッドエンドのサーバ名は FQDN または IP アドレスで指定できます。また、*.example.com のようにワイルドカードにすることもできます。
更新がどのように発生するかの詳細については、下記の「許可されたサーバ更新ポリシーの動作」を参照してください。
他のすべての無指定または認証されていないヘッドエンドの場合:
[任意のサーバからのソフトウェア更新を許可(Allow Software Updates From Any Server)]オプションを使用して、VPN コア モジュールおよびその他のオプション モジュールのソフトウェア更新を許可または拒否します。
[任意のサーバからのVPNプロファイル更新を許可(Allow VPN Profile Updates From Any Server)]オプションを使用して、VPN プロファイルの更新を許可または拒否します。
[任意のサーバからのサービスプロファイル更新を許可(Allow Service Profile Updates From Any Server)]オプションを使用して、その他のサービス モジュール プロファイルの更新を許可または拒否します。
更新がどのように発生するかの詳細については、下記の「不正なサーバ更新ポリシーの動作」を参照してください。
[サーバ名(Server Name)]リストで識別されている、許可されたヘッドエンドに接続する場合は、他の更新ポリシー パラメータは適用されず、次のようになります。
ヘッドエンド上の AnyConnect パッケージのバージョンがクライアント上のバージョンと比較され、ソフトウェアの更新が必要かどうかが判断されます。
ヘッドエンド上の VPN プロファイル、ISE ポスチャ プロファイル、および各サービス プロファイルが、クライアント上の該当プロファイルと比較され、更新が必要かどうかが判断されます。
非正規のヘッドエンドに接続すると、次のような[任意のサーバからの...更新を許可(Allow ... Updates From Any Server)]という各オプションを使用して AnyConnect の更新方法が決定されます。
[任意のサーバからのソフトウェア更新を許可(Allow Software Updates From Any Server)]:
[任意のサーバからの VPN プロファイル更新を許可(Allow VPN Profile Updates From Any Server)]:
[任意のサーバからのサービス プロファイル更新を許可(Allow Service Profile Updates From Any Server)]:
[任意のサーバからの ISE ポスチャ プロファイル更新を許可(Allow ISE Posture Profile Updates From Any Server)]:
[任意のサーバからのコンプライアンス モジュール更新を許可(Allow Compliance Module Updates From Any Server)]:
認証された [サーバ名(Server Name)]リストにサーバの IP アドレスを表示することで、リモート ユーザはヘッドエンドにその対応する IP アドレスを使用して接続できます。ユーザが IP アドレスを使用して接続しようとしたときに、ヘッドエンドが FQDN でリストされている場合、この試行は、認証されていないドメインへの接続として扱われます。
ソフトウェア更新には、カスタマイズ、ローカリゼーション、スクリプト、およびトランスフォームのダウンロードが含まれます。ソフトウェア更新が許可されていない場合、これらの項目はダウンロードされません。一部のクライアントがスクリプトの更新を許可しない場合、ポリシーの適用にスクリプトを使用しないでください。
Always-Onを有効にした状態で VPN プロファイルをダウンロードすると、クライアントの他のすべての VPN プロファイルが削除されます。認証されていない、または社外のヘッドエンドからの VPN プロファイルの更新を許可するかどうかを決定する場合は、このことを考慮してください。
インストールおよび更新ポリシーによって VPN プロファイルがクライアントにダウンロードされない場合、次の機能は使用できません。
サービス無効化 | 信頼されていないネットワーク ポリシー |
証明書ストアの上書き | 信頼できる DNS ドメイン |
事前接続メッセージの表示 | 信頼できる DNS サーバ |
ローカル LAN へのアクセス | Always-On |
ログイン前の起動 | キャプティブ ポータル修復 |
ローカル プロキシ接続 | スクリプティング |
PPP 除外 | ログオフ時の VPN の保持 |
自動 VPN ポリシー | 必要なデバイス ロック |
信頼されたネットワーク ポリシー | 自動サーバ選択 |
ダウンローダは、ダウンロード履歴を記録する個別のテキスト ログ(UpdateHistory.log)を作成します。このログは、更新時刻、クライアントを更新した ASA、更新されたモジュール、インストールされているバージョン(アップグレードの前および後)を含みます。このログ ファイルは、次の場所に保存されます。
%AllUsers%\Application Data\Cisco\Cisco AnyConnect Secure Mobility Client\Logs ディレクトリ。
この例では、クライアントの AnyConnect バージョンがさまざまな ASA ヘッドエンドと異なる場合のクライアントの更新動作を示します。
VPN ローカル ポリシー XML ファイルでの更新ポリシーが次のようになっているとします。
<?xml version="1.0" encoding="UTF-8"?> <AnyConnectLocalPolicy acversion="2.4.140" xmlns=http://schemas.xmlsoap.org/encoding/ xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectLocalPolicy.xsd"> <FipsMode>false</FipsMode> <BypassDownloader>false</BypassDownloader><RestrictWebLaunch>false</RestrictWebLaunch> <StrictCertificateTrust>false</StrictCertificateTrust> <RestrictPreferenceCaching>false</RestrictPreferenceCaching> <RestrictTunnelProtocols>false</RestrictTunnelProtocols> <UpdatePolicy> <AllowSoftwareUpdatesFromAnyServer>true</AllowSoftwareUpdatesFromAnyServer> <AllowVPNProfileUpdatesFromAnyServer>true</AllowVPNProfileUpdatesFromAnyServer> <AllowServiceProfileUpdatesFromAnyServer>true</AllowServiceProfileUpdatesFromAnyServer> <AllowISEProfileUpdatesFromAnyServer>false</AllowISEProfileUpdatesFromAnyServer> <AllowComplianceModuleUpdatesFromAnyServer>true</AllowComplianceModuleUpdatesFromAnyServer> <AuthorizedServerList> <ServerName>seattle.example.com</ServerName> <ServerName>newyork.example.com</ServerName> </AuthorizedServerList> </UpdatePolicy> </AnyConnectLocalPolicy>
次の更新シーケンスは、クライアントが現在 AnyConnect VPN およびネットワーク アクセス マネージャ モジュールを実行している場合に実行可能です。
クライアントは、同じバージョンの AnyConnect が設定された、認証されたサーバである seattle.example.com に接続します。Web セキュリティ プロファイル、および、可能な場合は、Web セキュリティ ソフトウェア モジュールがダウンロードおよびインストールされます。VPN およびネットワーク アクセス マネージャ プロファイルがダウンロード可能で、かつクライアントのものとは異なる場合、それらのプロファイルもダウンロードされます。
次に、クライアントは、AnyConnect の新しいバージョンが設定された、認証された ASA である newyork.example.com に接続します。VPN、ネットワーク アクセス マネージャ、および Web セキュリティ モジュールがダウンロードおよびインストールされます。ダウンロード可能で、かつクライアントのものとは異なるプロファイルもダウンロードされます。
次に、クライアントは、認証されていない ASA である raleigh.example.com に接続します。ソフトウェア更新が許可されるため、VPN、ネットワーク アクセス マネージャ、Web セキュリティ、およびポスチャ モジュールはすべてアップグレードされます。VPN プロファイルとサービス プロファイルの更新は許可されないため、ダウンロードされません。VPN プロファイルが(差異に基づいて)更新可能であった場合、接続は終了します。
AnyConnect 参照情報
AnyConnect は、一部のプロファイル設定をユーザ コンピュータ上のユーザ プリファレンス ファイルおよびグローバル プリファレンス ファイルに保存します。AnyConnect は、ローカル ファイルを使用して、クライアント GUI の [プリファレンス(Preferences)] タブでユーザ制御可能設定を行い、ユーザ、グループ、ホストなど直近の接続に関する情報を表示します。
AnyConnect は、Start Before Logon や起動時自動接続など、ログイン前に実行するアクションにグローバル ファイルを使用します。
次の表に、クライアント コンピュータ上のユーザ プリファレンス ファイルのファイル名およびインストールされたパスを示します。
C:\Users\username\AppData\Local\Cisco\ Cisco AnyConnect VPN Client\preferences.xml |
||
C:\ProgramData\Cisco\Cisco AnyConnect VPN Client\ preferences_global.xml |
||
次の表に、レガシー Cisco VPN Client および Cisco AnyConnect Secure Mobility Clientで使用されるポートをプロトコルごとに示します。