AnyConnect のインストール動作の変更
ガイドライン
-
Web 展開では、クライアントレス SSL ポータルの一部である AnyConnect Web 起動を使用します。クライアントレス SSL ポータルはカスタマイズできますが、このポータルの AnyConnect 部分はカスタマイズできません。たとえば、[AnyConnect の起動(Start AnyConnect)] ボタンはカスタマイズできません。
カスタマー エクスペリエンス フィードバックの無効化
カスタマー エクスペリエンス フィードバック モジュールは、デフォルトで有効になっています。このモジュールは、カスタマーがどの機能およびモジュールを有効にし、使用しているかという匿名の情報をシスコに提供します。この情報によりユーザ エクスペリエンスを把握できるため、シスコは品質、信頼性、パフォーマンス、ユーザ エクスペリエンスを継続して改善できます。
カスタマー エクスペリエンス フィードバック モジュールを手動で無効にするには、スタンドアロン プロファイル エディタを使用して CustomerExperience_Feedback.xml ファイルを作成します。AnyConnect サービスを停止し、ファイルの名前を CustomerExperience_Feedback.xml にし、C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\CustomerExperienceFeedback\ ディレクトリにそのファイルを配置する必要があります。ファイルが無効フラグを設定して作成されると、AnyConnect に手動で展開できます。結果を確認するには、[AnyConnectについて(AnyConnect About)] メニューを開き、カスタマー エクスペリエンス フィードバック モジュールが [インストール済みモジュール(Installed Module)] セクションにリストされていないことを確認します。
カスタマー エクスペリエンス フィードバックは、次を使用して無効にできます。
-
カスタマー エクスペリエンス フィードバック モジュールのクライアント プロファイル:[カスタマー エクスペリエンス フィードバック サービスの有効化(Enable Customer Experience Feedback Service)] をオフにして、プロファイルを配布します。
-
MST ファイル:anyconnect-vpn-transforms-X.X.xxxxx.zip から、anyconnect-win-disable-customer-experience-feedback.mst を抽出します。
インストール動作の変更、Windows
AnyConnect のインストール動作を変更するには、以下の Windows インストーラのプロパティを使用します。ISO イメージでは、インストーラプログラム setup.hta は HTML であり、編集可能です。
-
コマンド ライン パラメータ:1 つ以上のプロパティが、コマンド ライン インストーラ msiexec のパラメータとして渡されます。この方法は、事前展開に使用します。Web 展開ではサポートされません。
-
インストーラ トランスフォーム:トランスフォームを使用して、インストーラのプロパティ テーブルを変更できます。トランスフォームの作成には、いくつかのツールを使用できます。一般的なツールの 1 つが Microsoft Orca です。Orca ツールは、Microsoft Windows Installer Software Development Kit(SDK)の一部で、Microsoft Windows SDK に同梱されています。Windows SDK を入手するには、http://msdn.microsoft.com を参照し、使用している Windows のバージョンに対応する SDK を探します。
トランスフォームは、事前展開のみに使用できます。(ダウンローダがインストーラを呼び出したときに、シスコによって署名されたトランスフォームのみが Web 展開を実行します。)アウトオブバンドの方法で、自分のトランスフォームを適用できますが、詳細は、このガイドの範囲外です。
制限事項
AnyConnect アンインストールプロンプトはカスタマイズできません。
クライアント インストールをカスタマイズする Windows インストーラ プロパティ
次の Windows インストーラプロパティで、AnyConnect インストールをカスタマイズします。他にも Microsoft によってサポートされる数多くの Windows インストーラ プロパティがあることに留意してください。
-
システム MTU のリセット:VPN インストーラ プロパティ(RESET_ADAPTER_MTU)が 1 に設定されている場合、すべての Windows ネットワーク アダプタの MTU 設定がデフォルト値にリセットされます。変更を有効にするには、システムをリブートする必要があります。
-
Windows ロックダウンの設定:デバイスの AnyConnect Secure Mobility Client に対するエンド ユーザのアクセス権は制限することを推奨します。エンドユーザーに追加の権限を与える場合、インストーラでは、AnyConnect サービスをユーザーとローカル管理者がオフにしたり停止したりできないようにするロックダウン機能を提供できます。また、サービス パスワードを使用して、コマンド プロンプトからサービスを停止できます。
VPN、Network Access Manager、Network Visibility Module、および Umbrella ローミング セキュリティ モジュールの MSI インストーラは、共通のプロパティ(LOCKDOWN)をサポートします。LOCKDOWN が 0 以外の値に設定されている場合、インストーラに関連付けられた Windows サービスをエンドポイント デバイスでユーザまたはローカル管理者が制御することはできません。サンプルのトランスフォームを使用して、このプロパティを設定し、ロックダウンした各 MSI インストーラにトランスフォームを適用することを推奨します。サンプルのトランスフォームは、AnyConnect Secure Mobility Client ソフトウェア ダウンロード ページからダウンロードできます。
1 つ以上のオプション モジュールに加えてコア クライアントを展開する場合、LOCKDOWN プロパティを各インストーラに適用する必要があります。この操作は片方向のみであり、製品を再インストールしない限り削除できません。
(注)
AMP イネーブラ インストーラには、VPN インストーラが組み合わされています。
-
ActiveX コントロールの有効化:AnyConnect 事前展開 VPN パッケージの以前のバージョンでは、VPN WebLaunch ActiveX コントロールがデフォルトでインストールされていました。設定の安全性ため、VPN ActiveX コントロールのインストールはデフォルトでオフになっています。
AnyConnect クライアントとオプション モジュールを事前展開する際、VPN ActiveX コントロールを AnyConnect でインストールする必要がある場合には、msiexec またはトランスフォームとともに NOINSTALLACTIVEX=0 オプションを使用する必要があります。
-
[プログラムの追加と削除(Add/Remove Program List)] リストでの AnyConnect の非表示:インストールした AnyConnect モジュールをユーザーの Windows コントロールパネルの [プログラムの追加と削除(Add/Remove Program List)] リストに表示されないようにすることができます。インストーラに ARPSYSTEMCOMPONENT=1 を渡すと、そのモジュールはインストール済みプログラムのリストに表示されなくなります。
サンプルのトランスフォームを使用して、このプロパティを設定し、非表示にする各モジュールの MSI インストーラごとにトランスフォームを適用することを推奨します。サンプルのトランスフォームは、AnyConnect ソフトウェア ダウンロード ページからダウンロードできます。
AnyConnect モジュール用の Windows インストーラプロパティ
次の表に、MSI インストール コマンド ライン コールの例およびプロファイルの展開先を示します。
インストールされるモジュール |
コマンドおよびログ ファイル |
---|---|
VPN 機能なしの AnyConnect (スタンドアロン モジュールのインストール時に使用) |
msiexec /package anyconnect-win-version-predeploy-k9.msi /norestart /passive PRE_DEPLOY_DISABLE_VPN=1 /lvx* anyconnect-win-version-predeploy-k9-install-datetimestamp.log |
VPN 機能付きの AnyConnect |
msiexec /package anyconnect-win-version-predeploy-k9.msi /norestart /passive /lvx* anyconnect-win-version-predeploy-k9-install-datetimestamp.log |
カスタマー エクスペリエンスのフィードバック |
msiexec /package anyconnect-win-version-predeploy-k9.msi /norestart /passive DISABLE_CUSTOMER_EXPERIENCE_FEEDBACK=1 /lvx* anyconnect-win-version-predeploy-k9-install-datetimestamp.log |
Diagnostic and Reporting Tool(DART) |
msiexec /package anyconnect-win-version-dart-predeploy-k9.msi /norestart /passive /lvx* anyconnect-win-version-dart-predeploy-k9-install-datetimestamp.log |
SBL |
msiexec /package anyconnect-win-version-gina-predeploy-k9.msi /norestart /passive /lvx* anyconnect-win-version-gina-predeploy-k9-install-datetimestamp.log |
Network Access Manager |
msiexec /package anyconnect-win-version-nam-predeploy-k9.msi /norestart /passive /lvx* anyconnect-win-version-nam-predeploy-k9-install-datetimestamp.log |
VPN ポスチャ |
msiexec /package anyconnect-win-version-posture-predeploy-k9.msi /norestart/passive /lvx* anyconnect-win-version-posture-predeploy-k9-install-datetimestamp.log |
ISE ポスチャ |
msiexec /package anyconnect-win-version-iseposture-predeploy-k9.msi /norestart/passive /lvx* anyconnect-win-version-iseposture-predeploy-k9-install-datetimestamp.log |
AMP |
msiexec /package anyconnect-win-version-amp-predeploy-k9.msi /norestart/ passive /lvx* anyconnect-win-version-amp-predeploy-k9-install-datetimestamp.log |
ネットワーク可視性モジュール |
msiexec /package anyconnect-win-version-nvm-predeploy-k9.msi /norestart/ passive /lvx* anyconnect-win-version-nvm-predeploy-k9-install-datetimestamp.log |
Umbrella ローミング セキュリティ モジュール |
msiexec /package anyconnect-win-version-umbrella-predeploy-k9.msi/norestart/ passive /lvx* anyconnect-win-version-predeploy-k9-install-datetimestamp.log |
Cisco Secure Firewall 適応型セキュリティアプライアンスへのカスタマイズされたインストーラトランスフォームのインポート
シスコが提供する Windows トランスフォームを Cisco Secure Firewall ASA にインポートすると、Web 展開に使用できます。
手順
ステップ 1 |
ASDM で、 に移動します。 |
ステップ 2 |
[インポート(Import)] をクリックします。 [AnyConnect カスタマイゼーション オブジェクトのインポート(Import AnyConnect Customization Objects)] ウィンドウが表示されます。 |
ステップ 3 |
インポートするファイルの名前を入力します。トランスフォームファイルの名前によって、インストーラ トランスフォーム ファイルが適用されるモジュールが決まります。次の構文を使用して、トランスフォームをグローバルに適用することも、モジュールごとに適用することもできます。
|
ステップ 4 |
プラットフォームを選択し、インポートするファイルを指定します。[今すぐインポート(Import Now)] をクリックします。インストーラ トランスフォームのテーブルにファイルが表示されます。 |
AnyConnect インストーラ画面のローカライズ
AnyConnect インストーラに表示されるメッセージを翻訳できます。Cisco Secure Firewall ASA はトランスフォームを使用して、インストーラに表示されるメッセージを翻訳します。トランスフォームによってインストレーションが変更されますが、元のセキュリティ署名 MSI は変化しません。これらのトランスフォームではインストーラ画面だけが翻訳され、クライアント GUI 画面は翻訳されません。
(注) |
AnyConnect のすべてのリリースには、ローカライズされたトランスフォームが含まれています。このトランスフォームは、管理者が新しいソフトウェアを含む AnyConnect パッケージをアップロードすると、必ず Cisco Secure Firewall ASA にアップロードできます。ローカリゼーション トランスフォームを使用している場合は、新しい AnyConnect パッケージをアップロードする際に、必ず cisco.com の最新リリースでローカリゼーション トランスフォームをアップデートしてください。 |
現時点では、30 の言語に対応するトランスフォームが用意されています。これらのトランスフォームは、cisco.com の AnyConnect ソフトウェア ダウンロード ページから、次の .zip ファイルで入手できます。
anyconnect-win-<VERSION>-webdeploy-k9-lang.zip
このファイルの <VERSION> は、AnyConnect のリリースバージョンを表します。
アーカイブには使用可能な翻訳用のトランスフォーム(.mst ファイル)が含まれています。用意されている 30 以外の言語をリモートユーザーに表示する必要がある場合は、独自のトランスフォームを作成し、それを新しい言語として Cisco Secure Firewall ASA にインポートすることができます。Microsoft のデータベース エディタ Orca を使用して、既存のインストレーションおよび新規ファイルを修正できます。Orca は、Microsoft Windows Installer Software Development Kit(SDK)の一部で、Microsoft Windows SDK に同梱されています。
Cisco Secure Firewall ASA へのローカライズされたインストーラ トランスフォームのインポート
ここでは、ASDM を使用してトランスフォームを Cisco Secure Firewall ASA にインポートする方法について説明します。
手順
ステップ 1 |
ASDM で、 に移動します。 |
ステップ 2 |
[インポート(Import)] をクリックします。[MST 言語ローカライズのインポート(Import MST Language Localization)] ウィンドウが表示されます。 |
ステップ 3 |
[言語(Language)] ドロップダウン リストをクリックして、このトランスフォーム用の言語(および業界で認められている略称)を選択します。手動で略称を入力する場合は、ブラウザおよびオペレーティング システムが認識できる略称を使用してください。 |
ステップ 4 |
[今すぐインポート(Import Now)] をクリックします。 |
ステップ 5 |
[適用(Apply)] をクリックして変更を保存します。 |
この手順では、言語にスペイン語(es)を指定しました。次の図は、AnyConnect の言語リストのスペイン語の新しいトランスフォームを示しています。
インストール動作の変更、macOS
AnyConnect インストーラーはローカライズできません。インストーラによって使用される文字列は、macOS インストーラ アプリケーションから取得され、AnyConnect インストーラからは取得されません。
(注) |
インストーラ UI でユーザに表示されるオプションのモジュール選択を操作することはできません。インストーラ UI でデフォルトのオプションモジュールの選択を変更するには、インストーラを編集する必要があります。これにより署名が無効になります。 |
ACTransforms.xml による macOS でのインストーラ動作のカスタマイズ
macOS については .pkg の動作をカスタマイズする標準の方法が提供されていないため、ACTransforms.xml を作成しました。この XML ファイルをインストーラとともに配置すると、インストーラはインストールを実行する前にこのファイルを読み取ります。ファイルをインストーラからの特定の相対パスに配置する必要があります。インストーラは、次の場所で変更が見つかるかどうかこの順序で検索します。
- .pkg インストーラ ファイルと同じディレクトリにある「Profile」ディレクトリ内。
- マウント済みディスク イメージ ボリュームのルートにある「Profile」ディレクトリ内。
- マウント済みディスク イメージ ボリュームのルートにある「Profile」ディレクトリ内。
XML ファイルの形式は次のとおりです。
<ACTransforms>
<PropertyName1>Value</PropertyName1>
<PropertyName2>Value</PropertyName2>
</ACTransforms>
たとえば、macOS ACTransforms.xml プロパティは、Network Visibility Module の「スタンドアロン」展開を作成する場合 DisableVPN です。ACTransforms.xml は、DMG ファイルの Profiles ディレクトリ内にあります。
カスタマー エクスペリエンス フィードバック モジュールの無効化
カスタマー エクスペリエンス フィードバック モジュールは、デフォルトで有効になっています。macOS でこの機能をオフにするには、次の手順を実行します。
手順
ステップ 1 |
ディスク ユーティリティまたは hdiutil を使用して、dmg パッケージを読み取り専用から読み取り/書き込みに変換します。次に例を示します。
|
ステップ 2 |
まだ設定されていない場合は、ACTransforms.xml を編集し、次の値を設定または追加します。
|
インストール動作の変更、Linux
ACTransform.xml による Linux でのインストーラ動作のカスタマイズ
-
.pkg インストーラ ファイルと同じディレクトリにある「Profile」ディレクトリ内
-
マウント済みディスク イメージ ボリュームのルートにある「Profile」ディレクトリ内
-
.dmg ファイルと同じディレクトリにある「Profile」ディレクトリ内
事前展開パッケージ内の Profiles ディレクトリの XML ファイルである ACTransforms.xml の形式は次のとおりです。
<ACTransforms>
<PropertyName1>Value</PropertyName1>
<PropertyName2>Value</PropertyName2>
</ACTransforms>