Meraki System Managerを使用したiOS用Anyconnect PerApp VPNの設定

ダウンロード オプション

  • PDF     (3.7 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (3.2 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (1.7 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2023 年 2 月 28 日
Document ID:220259

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    このドキュメントでは、Meraki Mobile Device Manager(MDM)、System Manager(SM)で管理されているApple iOSデバイスでPerApp VPNを設定する方法について説明します。

    前提条件

    要件

    • AnyConnect v4.0 PlusまたはApexライセンス。
    • Per App VPNをサポートするためのASA 9.3.1以降。
    • Cisco Enterprise Application SelectorツールはCisco.comから入手できます。

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアのバージョンに基づいています。

    • ASA 5506W-Xバージョン9.15(1)10
    • iPad iOSバージョン15.1

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    このドキュメントには、次に示すプロセスは含まれません。

    • クライアント証明書を生成するためのシステムマネージャでのSCEP CAの設定
    • iOSクライアント用のPKCS12クライアント証明書の生成

    設定

    ステップ 1:Cisco Meraki Systems ManagerへのiOSデバイスの登録

    1.1. [Systems Manager] > [Add Devices] に移動します。

    SM - Dashboard

    1.2. [iOS] オプションをクリックして登録を開始します。

    Device enrollment type

    1.3.インターネットブラウザ経由でデバイスを登録するか、カメラでQRコードをスキャンします。このドキュメントでは、登録プロセスにカメラを使用しました。

    Enrollment menu for iOS device

    1.4.カメラがQRコードを認識したら、ポップアップ表示されるSafariで「meraki.com」を開く通知を選択します。

    Enrollment menu view from iPad

    1.5.プロンプトが表示されたら、Registerを選択します。

    Enrollment process

    1.6. [Allow] を選択して、デバイスがMDMプロファイルをダウンロードできるようにします。

    Enrollment process to grant access to download

    1.7. [Close] を選択してダウンロードを完了します。

    Enrollment process - download complete

    1.8. iOS Settings Appに移動し、左側のペインでProfile Downloadedオプションを見つけて、Meraki Managementセクションを選択します。

    Enrollment process - profile selection

    1.9. [Install] オプションを選択して、MDMプロファイルをインストールします。

    Enrollment process - profile installation

    1.10. SMアプリケーションをインストールするためのアクセス権を付与する必要があります。

    SM approval

    1.11.ホーム画面にある最近ダウンロードしたMeraki MDMというアプリケーションを開きます。

    SM view from iOS main menu

    1.12.すべてのステータスに、登録が完了したことを示す緑色のチェックマークが付いていることを確認します。

    SM compliance

    ステップ 2:管理対象アプリのセットアップ

    このドキュメントの後半でPerApp用のトンネルアプリをセットアップするには、SMを介してこれらの同じアプリケーションを管理する必要があります。この設定例では、FirefoxはPer Appを介してトンネリングされることを意図しているため、管理対象アプリに追加されます。

    2.1. [Systems Manager] > [Manage] > [Apps] に移動し、管理対象アプリケーションを追加します。

    SM device configuration

    2.2. [Add app] オプションを選択します。

    SM add managed apps

    2.3.アプリケーションの種類(App Storeアプリ、カスタム、B2B)をアプリの保存場所に基づいて選択します。選択したら、[Next] を選択します。

    この例では、アプリケーションはApp Storeにパブリックに保存されます。

    SM add managed app

    2.4.プロンプトが表示されたら、目的のアプリケーションを検索し、アプリケーションのダウンロード元のリージョンを選択します。アプリを選択したら、[Save] を選択します。

    :国がAppleアカウントの地域と一致しない場合は、アプリケーションで問題が発生する可能性があります。

    SM select managed ap

    2.5.目的のアプリケーションをすべて選択したら、[Save] をクリックします。

    ステップ 3:PerApp VPNプロファイルの設定

    3.1. [システムマネージャ(Systems Manager)] > [管理(Manage)] > [設定(Settings)] に移動します

    SM - add new device

    3.2. [Add profile] オプションを選択します。

    SM - policy add new device

    3.3. [Device profile (default)] を選択し、[Continue]をクリックします。

    SM - search for type of policy

    3.4. [Profile Configuration] メニューが表示されたら、[Name] を入力し、[Scope] でターゲットデバイスを選択します。

    Configure scope of perapp policy

    3.5. [Add settings] を選択し、プロファイルのタイプを[iOS Per App VPN] でフィルタリングして、次に示すオプションを選択します。

    Menu to select PerApp policy

    3.6.メニューが表示されたら、次の例に基づいて接続情報を書き込みます。

    Systems Managerでは、これらの接続に対して、SCEPと手動登録という2つの証明書登録がサポートされています。この例では、手動登録が使用されています。

    :このオプションでは証明書ファイルを追加するための新しいメニューが表示されるため、テキストボックスに入力したら[Add credential] を選択します。

    Menu to configure PerApp parameters

    3.7. [クレデンシャルの追加(Add credential)] をクリックして[証明書(Certificate)]メニューにリダイレクトされたら、証明書の[名前(Name)] を入力し、コンピュータを参照して、.pfxファイル(暗号化された証明書ファイル)を保護する[パスワード(Password)] を探します。

    Menu to configure credentials (certificate)

    3.8.証明書が選択されると、証明書ファイル名が表示されます。

    Menu to confirm credentials

    3.9.証明書を選択したら、以前使用していたVPNプロファイルに移動し、最近インポートしたクレデンシャルを選択し、トンネリングされたアプリを選択します(この場合はFirefox)。

    これが完了したら、Saveをクリックします。

    Menu to confirm PerApp parameters prior to deployment

    3.10.プロファイルがターゲットデバイスにインストールされていることを確認する。

    Confirm installation of profile

    ステップ 4:アプリケーションセレクタの設定

    4.1.シスコのWebサイトhttps://software.cisco.com/download/home/286281283/type/282364313/release/AppSelector-2.0からapp selectorをダウンロードする

    注意:Windowsマシンでアプリケーションを実行してください。表示される結果は、MacOSデバイスでツールを使用した場合に予想されるものではありません。

    4.2. Javaアプリケーションを開きます。ドロップダウンメニューからiOSを選択し、わかりやすい名前を追加して、App ID*.*と入力します。

    AppSelector wildcard

    4.3. [Policy] に移動し、[View Policy] を選択します

    AppSelector wildcard - view policy

    4.4.表示された文字列をコピーする。(これは後でVPNヘッドエンド設定で使用されます)。

    AppSelector wildcard - view policy - export value

    ステップ 5:アプリケーションごとのASAのVPN設定例

    conf t
    webvpn
    anyconnect-custom-attr perapp description PerAppVPN
    anyconnect-custom-data perapp wildcard eJyrVnLOLE7Od84vqCzKTM8oUbJSgrMVNJI1FYwMDEwUwGoUgiuLS1Jzi3UUPPOS9ZR0lFxSyzKTU30yi4G6oquh3JDKglSgIYkFBTmpupn5xUB1jgUFcEVA8cwUoLyWnhZQJi0vMRekujwzJyU5sShFqTYWCAFHcjDB


    ip local pool vpnpool 10.204.201.20-10.204.201.30 mask 255.255.255.0

    access-list split standard permit 172.168.0.0 255.255.0.0 
    access-list split standard permit 172.16.0.0 255.255.0.0

    group-policy GP-perapp internal
    group-policy GP-perapp attributes
    vpn-tunnel-protocol ssl-client 
    split-tunnel-policy tunnelspecified
    split-tunnel-network-list value split
    split-tunnel-all-dns disable
    anyconnect-custom perapp value wildcard

    tunnel-group perapp type remote-access
    tunnel-group perapp general-attributes
    address-pool vpnpool
    default-group-policy GP-perapp
    tunnel-group perapp webvpn-attributes
    authentication certificate
    group-alias perapp enable
    group-url https://vpn.cisco.com/perapp enable

    確認

    6. AnyConnectアプリケーションでのプロファイルインストールの確認

    6.1. AnyConnectアプリケーションを開き、左側のペインでConnectionsを選択します。PerApp VPNプロファイルは、PER-APP VPNという名前の新しいセクションに表示される必要があります。

    iを選択すると、詳細設定が表示されます。

    Verify VPN connection profile

    6.2. [Advanced] オプションを選択します。

    Verify VPN advanced parameters

    6.3. [App Rules] オプションを選択します。

    Verify app rules

    6.4.最後に、App Ruleがインストールされていることを確認します。(このドキュメントではMozillaが望ましいトンネル化されたAppであるため、Appのインストールは成功しました)。

    App Rules from perapp

    トラブルシュート

    現在のところ、このドキュメントに固有のトラブルシューティング手順はありません。

    更新履歴

    改定 発行日 コメント
    1.0
    27-Feb-2023
    初版

    提供

    • Hugo Olguin

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています