Android Windows または OS 用の AnyConnect Umbrella モジュール
Umbrella ローミング クライアントと Umbrella ローミング セキュリティ モジュールの非互換性
Umbrella ローミング セキュリティ モジュールと Umbrella ローミング クライアントは互換性がありません。Umbrella ローミング セキュリティ モジュールを展開している場合は、ローミング セキュリティ モジュールのインストール中に Umbrella ローミング クライアントのすべての既存のインストールが検出され、競合を防ぐために自動的に削除されます。Umbrella ローミング クライアントの既存インストールを Umbrella サービス サブスクリプションに関連付けている場合は、OrgInfo.json ファイルを AnyConnect インストーラと同じ場所に配置して Umbrella モジュールのディレクトリで Web 展開または事前展開を設定していない限り、Umbrella ローミング セキュリティ モジュールに自動的に移行されます。Umbrella ローミング セキュリティ モジュールを展開する前に、手動で Umbrella ローミング クライアントをアンインストールすることもできます。
Cisco Umbrella アカウントの取得
Umbrella ダッシュボード(http://dashboard.umbrella.com/)は、展開に含める AnyConnect Umbrella ローミング セキュリティ モジュールのプロファイル(OrgInfo.json)を取得できるログイン ページです。このページでは、ローミング クライアントのアクティビティのポリシーとレポートを制御することもできます。
ダッシュボードからの OrgInfo ファイルのダウンロード
OrgInfo.json ファイルは、ローミング セキュリティ モジュールにレポートの送信先と適用するポリシーを知らせる、Umbrella ダッシュボード インスタンスについての詳細情報です。
Umbrella ローミング セキュリティ モジュールの導入準備を行うには、Umbrella ダッシュボード(https://dashboard.umbrella.com)から、OrgInfo.json ファイルを取得する必要があります。
[ID(Identities)] メニュー ストラクチャで [ローミング コンピュータ(Roaming Computers)] をクリックし、続いて、ページ左上隅の [+] 記号をクリックします。AnyConnect Umbrella ローミング セキュリティ モジュールまでスクロールし、[モジュール プロファイル(Module Profile)] をクリックします。特定のインストール/展開手順と特定のパッケージおよびファイルについては、「AnyConnect 展開の概要」を参照してください。
(注) |
OrgInfo.json ファイルを初めて展開すると、データ サブディレクトリ(/umbrella/data)にコピーされて、他のいくつかの登録ファイルも作成されます。したがって、OrgInfo.json 置換ファイルを展開する必要がある場合は、このデータ サブディレクトリを削除する必要があります。または、Umbrella ローミング セキュリティ モジュールをアンインストールし(データ サブディレクトリが削除されます)、新しい OrgInfo.json ファイルを再インストールすることもできます。 |
Umbrella ローミング セキュリティの起動と実行
AnyConnect を展開するとき、Umbrella ローミング セキュリティ モジュールは、追加機能を有効にするために含めることができるオプション モジュールの 1 つです。
(注) |
Umbrella ローミング セキュリティ モジュールと Web セキュリティ モジュールを展開している場合は、「Web セキュリティとローミング セキュリティの互換性に必須のホスト例外」と「Web セキュリティと Umbrella ローミング セキュリティ モジュールの互換性に必須の静的な例外」を参照して静的な例外の除外とホスト例外を設定する必要があります。 |
Windows 7 SP1 ユーザは、インストールまたは初回使用前に、Microsoft .NET Framework 4.0 をインストールすることを推奨します。起動時に、Umbrella サービスは .NET Framework 4.0(または以上)がインストールされているかどうかを確認します。検出されない場合は、Umbrella ローミング セキュリティ モジュールはアクティブにならず、メッセージが表示されます。.NET Framework にアクセスし、これをインストールするには、再起動して Umbrella ローミング セキュリティ モジュールを有効にする必要があります。
OrgInfo.json ファイルの設定
OrgInfo.json ファイルには、Umbrella サービスのサブスクリプションについての固有の情報が格納されており、レポート先や適用するポリシーに関する情報をセキュリティ ローミング モジュールに通知します。OrgInfo.json ファイルを展開し、CLI または GUI を使用して ASA または ISE から Umbrella ローミング セキュリティ モジュールを有効にすることができます。次の手順では、最初に ASA から有効にする方法、次に ISE から有効にする方法を示します。
ASA CLI
-
Umbrella ダッシュボード(https://dashboard.umbrella.com)から ASA ファイル システムに取得した OrgInfo.json をアップロードします。
-
設定に応じてグループ ポリシー名を適切に調整して、次のコマンドを実行します。
webvpn anyconnect profiles OrgInfo disk0:/OrgInfo.json group-policy DfltGrpPolicy attribute webvpn anyconnect profiles value OrgInfo type umbrella
-
の順に移動します。
-
[追加(Add)] を選択します。
-
プロファイルの名前を入力します。
-
[プロファイルの使用(Profile Usage)] ドロップダウン メニューから Umbrella セキュリティ ローミング クライアント タイプを選択します。OrgInfo.json ファイルが、[プロファイルの場所(Profile Location)] フィールドに入力されます。
-
[アップロード(Upload)] をクリックして、ダッシュボードからダウンロードした OrgInfo.json ファイルの場所を参照します。
-
[グループ ポリシー(Group Policy)] ドロップダウン メニューで DfltGrpPolicy に関連付けます。グループ ポリシーで新しいモジュール名を指定するには、「追加の AnyConnect モジュールの有効化」を参照してください。
ISE からイネーブルにするには、以下の手順に従います。
-
Umbrella ダッシュボード(https://dashboard.umbrella.com)から OrgInfo.json をアップロードします。
-
ファイル OrgInfo.xml の名前を変更します。
-
「AnyConnect を展開するための ISE の設定」の手順に従います。
クラウド最新情報
Umbrella ローミング セキュリティ モジュールは、Umbrella クラウド インフラストラクチャからインストールされたすべての AnyConnect モジュールの自動更新を提供できます。クラウド更新では、ソフトウェア アップグレードは Umbrella クラウド インフラストラクチャから自動的に得られます。更新トラックは管理者のアクションではなくこれによって決まります。
デフォルトでは、クラウド更新からの自動更新は無効です。Umbrella ローミング セキュリティとその他の AnyConnect のクラウド更新を有効にするには、Umbrella ダッシュボードにログインします。
設定アイコン(歯車アイコン)の下で、[新しいバージョンがリリースされたら常に、VPN モジュールを含む AnyConnect を自動的に更新する(Automatically update AnyConnect, including VPN module, whenever new versions are released)] をオンにします。更新は VPN が有効である間は実行されません。デフォルトでは、このオプションは選択されていません。クラウド更新に関して以下を検討してください。
-
現在インストールされているソフトウェア モジュールのみが更新されます。
-
カスタマイズ、ローカリゼーション、およびその他の展開タイプはサポートされません。
-
更新は、デスクトップにログインしたときにのみ実行され、VPN が確立されているときは実行されません。
-
更新を無効にすると、最新のソフトウェア機能と更新を利用できません。
-
クラウド更新を無効にしても、他の更新メカニズムや設定(Web 展開、遅延更新など)には影響しません。
-
クラウド更新は、AnyConnect のより新しいバージョンや未公開バージョン(暫定リリース、修繕公開されたバージョンなど)を持つデバイスを無視します。
セキュリティ ポリシーの設定とレポートの確認
保護を受信し、レポート情報を表示し、ポリシーを設定するには、Cisco Umbrella ローミング アカウントが必要です。詳細な説明については、https://docs.umbrella.com/product/umbrella/ または https://support.umbrella.com にアクセスして追加情報を参照してください。
インストール後 90 分から 2 時間以内に、ローミング コンピュータが Umbrella ダッシュボードに表示されます。https://dashboard.umbrella.com に移動して認証し、 の順にアクセスすると、ローミング クライアントのリスト(アクティブ クライアントと非アクティブクライアントの両方)とインストールされている各クライアントの詳細が表示されます。
最初は、セキュリティ フィルタリングが基本レベルのデフォルトのポリシーがローミング コンピュータに適用されています。このデフォルトのポリシーは、ダッシュボードの [ポリシー(Policies)] セクション(または [設定(Configuration)] > [Cisco Umbrella アカウントのポリシー(Policy for Cisco Umbrella accounts)])にあります。
ローミング クライアントのレポートは、[レポート(Reports)] セクションにあります。Umbrella ローミング セキュリティ モジュールがインストールされ VPN がオフにされているコンピュータからの DNS トラフィックを確認するには、アクティビティ検索レポートをチェックします。
エンドポイントに表示される UI の変更内容解説
AnyConnect UI では、Umbrella ローミング セキュリティ モジュールのタイルに現在のステータスが表示されます。
状態 |
アイコンの色 |
説明 |
条件 |
||
---|---|---|---|---|---|
予約済(Reserved) |
オレンジ(Orange) |
接続状況をチェック中です。Umbrella モジュールは保護状態をまだ確認していません。 |
この動作ステータスは次の条件で発生します。
|
||
オープン(Open) |
黄 |
現在、Umbrella によって保護されていません。Umbrella リゾルバとの接続の問題が原因で、ローカル Umbrella モジュールの DNS 保護がアクティブになっていません。少なくとも 1 つのアクティブなネットワーク接続が存在します。ただし、ローミング クライアントは、アクティブな接続の Umbrella サービスに接続できません。 システムの DNS 設定は元の設定(DHCP または固定)に戻ります。 |
この動作ステータスは次の条件で発生します。
|
||
保護済み(Protected) |
グリーン |
Umbrella によって保護されています。DNSクエリーが暗号化されていません。ローカル Umbrella モジュールの DNS 保護がアクティブで、DNS 要求は暗号化されずに Umbrella リゾルバに送信されます。 |
このステータスは、モジュールが最初にアクティブ化されたときか、ネットワーク インターフェイスの変更があるときに発生する可能性があります。 |
||
暗号化 |
グリーン |
Umbrella によって保護されています。DNSクエリーが暗号化されています。ローカル Umbrella モジュールの DNS 保護がアクティブで、DNS 要求は暗号化されて Umbrella リゾルバに送信されます。 |
この動作ステータスは次の条件で発生します。
|
||
保護されたネットワーク(Protected Network) |
グリーン |
Umbrella によってネットワークが保護されています。現在のエンドポイント ネットワークが Umbrella リゾルバを使用して保護されているため、ローカル Umbrella モジュール DNS 保護はアクティブではありません。ローミング クライアントにより、DNS 設定が DHCP 経由または固定設定で設定されていた内容に戻されました。接続は暗号化されていません。 |
|
||
仮想アプライアンスの背後(Behind Virtual Appliance) |
グリーン |
Umbrella仮想アプライアンスによって保護されています。Umbrella 仮想アプライアンスはオンプレミスの DNS リゾルバとして設定されているため、ローカル Umbrella モジュールの DNS 保護はアクティブではありません。ローミング クライアントは無効になり、DNS 設定が DHCP 経由または固定設定で設定されていた内容に戻されました。接続は暗号化されていません。 |
この動作ステータスは、エンドポイントで設定された DNS アドレス(DHCP 経由または固定)が Umbrella VA アドレスであるときに発生します。 |
||
Umbrella 信頼ネットワーク ステータス(Umbrella Trusted Network State) |
グレー |
信頼済みのネットワーク上では無効。現在のエンドポイント ネットワークが Umbrella 信頼ネットワークとして設定されているため、ローカル Umbrella モジュールの DNS 保護はアクティブではありません。 |
この動作ステータスは次の条件で発生します。
|
||
VPN 信頼ネットワーク ステータス(VPN Trusted Network State) |
グレー |
信頼済みのネットワーク上では無効。現在のエンドポイント ネットワークが AnyConnect VPN 信頼ネットワークとして設定されているため、ローカル Umbrella モジュールの DNS 保護はアクティブではありません。 |
この動作ステータスは次の条件で発生します。
|
||
VPN 状態が原因で無効(Disabled Due to VPN State) |
グレー |
VPN がアクティブな間は無効。現在エンドポイントでアクティブな AnyConnect VPN トンネルが確立されているため、ローカル Umbrella モジュールの DNS 保護はアクティブではありません。 |
|
||
OrgInfo.json ステートなし(No OrgInfo.json State) |
赤 |
現在、Umbrella によって保護されていません。プロファイルが見つかりません。現在エンドポイントでアクティブな AnyConnect VPN トンネルが確立されているため、ローカル Umbrella モジュールの DNS 保護はアクティブではありません。 |
この動作ステータスは、OrgInfo.json ファイルが次の適切なディレクトリに配置されていない場合に発生します。 Windows:%ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\Umbrella macOS:opt/cisco/anyconnect/umbrella |
||
エージェント利用不可ステート(Agent Unavailable State) |
赤 |
現在、Umbrella によって保護されていません。サービスは利用できません。Umbrella エージェントが実行されていないため、ローカル Umbrella モジュールの DNS 保護はアクティブではありません。 |
この動作ステータスは、Umbrella エージェント サービスが現在実行していないとき(クラッシュまたは手動によるサービス停止のため)に発生します。 |
||
.NET 依存ステータスが見つからない(Missing .NET Dependency State)(Windows のみ) |
赤 |
現在、Umbrella によって保護されていません。Microsoft 4.0 NET Framework がインストールされていません。ローカルの Umbrella モジュールの DNS 保護がアクティブではありません。Umbrella エージェントが実行されていないためです。.NET ランタイム フレームワークが見つかりません。 |
この動作ステータスは、.NET 4.0 ランタイムが見つからないために Umbrella エージェント サービスが実行していないときに発生します。 |
AnyConnect UI は、Umbrella ローミング セキュリティ モジュールの統計とメッセージ履歴を表示します。
診断の解釈
Cisco Umbrella ローミング セキュリティ モジュールの問題を診断するには、DART レポートを実行する必要があります。Umbrella の問題とトラブルシューティングの詳細については、docs.umbrella.com を参照してください。