Apple iOS モバイルデバイス 向け Cisco Secure Client

iOS モバイルデバイス向け Cisco Secure Client(AnyConnect を含む)は、リモートの iOS ユーザーに、Cisco Secure Firewall ASA およびその他のシスコがサポートするヘッドエンドデバイスへのセキュアな VPN 接続を提供します。このクライアントは、エンタープライズ ネットワークへのシームレスかつセキュアなリモートアクセスを提供し、インストールしたアプリケーションは、エンタープライズ ネットワークに直接接続されているかのように通信できます。Cisco Secure Client は、IPv4 または IPv6 トンネルを介した IPv4 および IPv6 リソースへの接続をサポートします。

Cisco Secure Client および Cisco Secure Firewall ASA のシステム管理者向けに作成されたこのドキュメントには、Apple iOS デバイス上で動作する Secure Client のリリースに固有の情報が記載されています。

Cisco Secure Client アプリケーションは、Apple iTunes App Store でのみ入手できます。 Cisco Secure Firewall ASA からモバイルアプリを展開することはできません。このモバイルリリースがサポートされている間は、ASA からデスクトップデバイス用の他の Cisco Secure Client リリースを展開できます。

Cisco Secure Client のモバイルサポートポリシー

シスコでは、現在 App Store で入手可能な Cisco Secure Client バージョンをサポートしていますが、修正プログラムと拡張機能は、最新のリリースバージョンでのみ提供されます。

Cisco Secure Client のライセンス

Cisco Secure Firewall ASA ヘッドエンドに接続するには、Advantage または Premier ライセンスが必要です。トライアルライセンスを使用できます。 Cisco Secure Client Ordering Guide

最新のエンドユーザーライセンス契約書については、Cisco End User License Agreement、Cisco Secure Client [英語] を参照してください。

オープンソースライセンス通知については、『Open Source Software Used in Cisco Secure Client for Mobile』 [英語] を参照してください。

TestFlight による Cisco Secure Client のベータテスト

TestFlight でのリリース前のテストには、Cisco Secure Client のベータビルドを利用します。TestFlight でのテストに参加するには、https://testflight.apple.com/join/N0QLSq2c の手順に従います。

この TestFlight のリンクで後からオプトアウトすることも可能です。オプトアウトしたらベータビルドをアンインストールして、ベータ版ではない最新の Cisco Secure Client を再インストールする必要があります。

ベータ テスト中に問題が見つかった場合は、シスコ(ac-mobile-feedback@cisco.com)に電子メールで速やかに報告してください。Cisco Technical Assistance Center(TAC)は、Cisco Secure Client のベータ版で見つかった問題には対処しません。

Apple iOS 向けの Cisco Secure Client バージョン

Cisco Secure Client 5 は、Apple iOS で利用可能な最新の推奨バージョンです。常に最新の Apple iOS のバグ修正を受けられるように、最新バージョンにアップグレードしてください。

このバージョンは、Apple iOS 10.3 以降で使用することを推奨します。このバージョンは、iOS が提供する新しい拡張フレームワークを使用して、VPN とそのすべての機能を実装しています。Per-App VPN トンネリングは完全にサポートされている機能であり、新しい拡張フレームワークでは TCP と UDP の両方のアプリケーションをサポートできます。今後、すべての機能強化とバグ修正は、Cisco Secure Client 5 バージョンの一部として提供されます。

このバージョンは、Apple iOS 13.0 以降で使用することを推奨します。このバージョンは、iOS が提供する新しい拡張フレームワークを使用して、VPN とそのすべての機能を実装しています。Per-App VPN トンネリングは完全にサポートされている機能であり、新しい拡張フレームワークでは TCP と UDP の両方のアプリケーションをサポートできます。今後、すべての機能強化とバグ修正は、Cisco Secure Client 5 バージョンの一部として提供されます。

Apple iOS 対応デバイス

最新の Apple iOS 13.0 以降を実行するすべての iPhone、iPad、および iPod Touch デバイスで利用可能な最新の推奨バージョンは Cisco Secure Client 5 です。

最新のApple iOS 10.3 以降を実行するすべての iPhone、iPad、および iPod Touch デバイスで利用可能な最新の推奨バージョンは Cisco Secure Client 5 です。

Cisco Secure Client とは別にアプリケーションのダウンロードとして使用可能な Zero Trust Access 機能については、iOS /iPadOS 17.2(またはそれ以降)を実行しているデバイスが必要です。


(注)  


iPod Touch 上の Cisco Secure Client は、iPhone 上と同様に表示され、動作します。


Apple iOS での Cisco Secure Client のアップグレード

Cisco Secure Client へのアップグレードは、Apple App Store を使用して管理されます。Cisco Secure Client のアップグレードが利用可能なことを示す通知を Apple App Store から受信したら、次の手順に従います。


(注)  


新しいバージョンをインストールする前に、Apple iOS 向けの Cisco Secure Client バージョンを参照してください。


始める前に

デバイスをアップグレードする前に、AnyConnect VPN セッションが確立されている場合はセッションを切断し、Cisco Secure Client アプリケーションが開いている場合は閉じる必要があります。この手順を実行しなかった場合、Cisco Secure Client の新しいバージョンを使用する前に、デバイスを再起動する必要があります。

手順


ステップ 1

iOS のホームページで、[App Store(App Store)] アイコンをタップします。

ステップ 2

[Cisco Secure Clientアップグレード通知(Cisco Secure Client upgrade notice)] をタップします。

ステップ 3

新機能を確認します。

ステップ 4

[更新(Update)] をクリックします。

ステップ 5

[Apple IDパスワード(Apple ID Password)] を入力します。

ステップ 6

[OK(OK)] をタップします。

Cisco Secure Client の更新が実行されます。


新機能

Cisco Zero Trust Access 5.1.4.46500 for iOS Mobile リリースの新機能

Cisco Zero Trust Access のこのメンテナンスリリースでは、Apple iOS 用 Cisco Secure Client 5.1.4.46500 で解決された問題 に記載されているバグ修正を提供しています。

Cisco Zero Trust Access は Apple App Store から入手できます。デバイスで iOS/iPadOS 17.2(またはそれ以降)を実行している必要があります。

iOS の初回使用および登録手順については、『Get Started with Cisco Secure Client』を参照してください。Zero Trust の詳細と操作については 、『Cisco Secure Client Administrator Guide, Release 5.1』 の「Zero Trust Access Module」を参照してください。

Apple リレーのため、ステップアップ認証はサポートされていません。

既知の問題:

CSCwj61835—ZTA iOS:証明書が取り消されたときにクライアント証明書が更新されない

Cisco Zero Trust Access 5.1.4.6420 for iOS Mobile リリースの新機能

このバージョンには、iOS 用の追加の Cisco Secure Client モジュールとして、新しい Cisco Zero Trust Access サービスが含まれています。

Cisco Zero Trust Access は Apple App Store から入手できます。デバイスで iOS/iPadOS 17.2(またはそれ以降)を実行している必要があります。

iOS の初回使用および登録手順については、『Get Started with Cisco Secure Client』を参照してください。Zero Trust の詳細と操作については 、『Cisco Secure Client Administrator Guide, Release 5.1』 の「Zero Trust Access Module」を参照してください。

Apple リレーのため、ステップアップ認証はサポートされていません。

既知の問題:

CSCwj61835—ZTA iOS:証明書が取り消されたときにクライアント証明書が更新されない

CSCwk07978—ZTA iOS:ユーザーが ZTA を離れて再度開くと、Webview が消えている

iOS モバイルリリース向け Cisco Secure Client 5.0.05203 の新機能

Cisco Secure Client のこのメンテナンスリリースでは、必要な更新を提供しています。

iOS モバイルリリース向け Cisco Secure Client 5.0.02602 の新機能

Cisco Secure Client のこのメンテナンスリリースでは、必要な更新を提供しています。

iOS モバイルリリース向け Cisco Secure Client 5.0.02530 の新機能

Cisco Secure Client のこのメンテナンスリリースでは、ユーザーインターフェイスが改善され、次の既知の制限があります。

既知の問題:

CSCwf44072:信頼できないサーバープロンプトの [設定の変更(Change Settings)] ボタンを押しても [設定(Settings)] ページが開かない

iOS モバイルリリース向け Cisco Secure Client 5.0.01241 の新機能

Cisco Secure Client のこのメンテナンスリリースには、次の新機能が含まれており、Apple iOS 用 Cisco Secure Client 5.0.00246 で解決された問題 に記載されているバグ修正が含まれています。

  • VPN 接続を暗号化するための TLS バージョン 1.3 のサポート。次の追加の暗号スイートが含まれる:TLS_AES_128_GCM_SHA256 および TLS_AES_256_GCM_SHA384


    (注)  


    セキュアクライアント TLS 1.3 接続には、TLS 1.3 をサポートするセキュアゲートウェイも必要です。ASA のリリース 9.19(1) では、このサポートが利用できます。接続は、ヘッドエンドがサポートする TLS バージョンにフォールバックします。

    DTLS 1.3 はまだサポートされていません。

    UI のトンネル統計では、データトンネルプロトコルが表示されます。したがって、DTLS がネゴシエートされている場合、最初の TLS 接続が TLS 1.3 であっても、DTLS が表示されます。


  • ベンダーデータを介して VPN xml プロファイルをインポートする機能

既知の問題:

CSCwd93529:VPN ショートカットへの iOS Siri 接続が動作していない

CSCwc01260:AnyConnect 接続を数日間実行した後、原因不明の切断が生じることがある

iOS モバイルリリース向け Cisco Secure Client 5.0.00230 の新機能

5.0.00230 バージョンでは、iOS 用の新しい Cisco Secure Client(AnyConnect を含む)が導入されています。

Apple iOS Cisco Secure Client 機能マトリックス

次の機能は、Apple iOS デバイス向け Cisco Secure Client でサポートされています。
カテゴリ:機能 Apple iOS

Zero Trust Access

対応

展開および設定:

アプリケーションストアからのインストールまたはアップグレード 対応
Cisco VPN プロファイルのサポート(手動インポート) 対応
Cisco VPN プロファイルのサポート(接続中のインポート) 対応
MDM 設定の接続エントリ 対応
ユーザー設定の接続エントリ 対応

トンネリング:

TLS 対応

TLS 1.3

対応

データグラム TLS(DTLS) 対応
IPsec IKEv2 NAT-T 対応
IKEv2 - raw ESP 非対応
Suite B(IPSec のみ) 対応
TLS 圧縮 対応(32 ビットデバイスのみ)
デッド ピア検出 対応
トンネル キープアライブ 対応
複数のアクティブ ネットワーク インターフェイス 非対応
アプリケーションごとのトンネリング 対応(Cisco Secure Client 4.0.09xxx および iOS 10.3 以降が必要)
フルトンネル(OS は、アプリケーションストアへのトラフィックなど、一部のトラフィックに対して例外を発生させる可能性がある) 対応
スプリットトンネル(スプリットを含む) 対応
ローカル LAN(スプリットを含まない)* 対応
Split-DNS 対応
自動再接続/ネットワークローミング 対応
オンデマンド VPN(宛先により起動) 対応(オンデマンドでApple iOS Connect と互換性があります)
オンデマンド VPN(アプリケーションによって起動) 対応(アプリケーションごとの VPN モードでのみ動作する場合)。
キー再生成 対応
IPv4 パブリック トランスポート 対応
IPv6 パブリック トランスポート 対応
IPv4 over IPv4 トンネル 対応
IPv6 over IPv4 トンネル 対応
IPv6 over IPv4 トンネル 対応
IPv6 over IPv6トンネル 対応
デフォルト ドメイン 対応
DNS サーバーの設定 対応
プライベート側プロキシ サポート 対応
プロキシ例外 対応(ただし、ワイルドカードの仕様はサポートされていません)
パブリック側プロキシ サポート 非対応
ログイン前バナー 対応
ログイン後バナー 対応
DSCP の保存 非対応

接続と切断:

VPN ロード バランシング 対応
バックアップ サーバー リスト 対応
最適ゲートウェイ選択 非対応

認証:

YubiKey

対応

SAML 2.0 対応
クライアント証明書認証 対応
オンライン証明書ステータス プロトコル(OCSP) 非対応
手動によるユーザー証明書の管理 対応
手動によるサーバー証明書の管理 対応
レガシー SCEP の登録 非対応
SCEP プロキシの登録 対応
自動証明書選択 対応
手動による証明書の選択 対応
スマート カードのサポート 非対応
ユーザー名およびパスワード 対応
トークン/課題 対応
二重認証 対応
グループ URL(サーバー アドレスで指定) 対応
グループの選択(ドロップダウン選択) 対応
ユーザー証明書からのクレデンシャルの事前入力 対応
パスワードの保存 非対応

ユーザー インターフェイス:

スタンドアロン GUI 対応
ネイティブ OS GUI 対応(機能制限があります)
API/URI ハンドラ(以下を参照) 対応
UI のカスタマイゼーション 非対応
UI のローカリゼーション 対応(アプリケーションには事前にパッケージ化された言語が含まれています)
ユーザー設定 対応
ワンクリック VPN アクセス用のホーム画面のウィジェット 非対応
Cisco Secure Client に固有のステータスアイコン 非対応

モバイル ポスチャ:(AnyConnect Identity Extension(ACIDex))

シリアル番号または固有 ID のチェック 対応
ヘッドエンドと共有される OS および Cisco Secure Client のバージョン 対応

Cisco Secure Client Network Visibility Module のサポート

非対応

URI の処理:

接続エントリの追加 対応
VPN への接続 対応
接続時のクレデンシャルの事前入力 対応
VPN の解除 対応
証明書のインポート 対応
ローカリゼーション データのインポート 対応
XML クライアント プロファイルのインポート 対応
URI コマンドの外部(ユーザー)制御 対応

レポートおよびトラブルシューティング:

統計 対応
ロギング/診断情報(DART) 対応

認定:

FIPS 140-2 レベル 1 対応

* オペレーティングシステムの実装による Cisco Secure Firewall ASA の設定に関係なく、iOS デバイスに対してローカル LAN アクセスが有効になります。

Cisco Secure Firewall ASA の要件

次の機能を使用するには、Cisco Secure Firewall ASA の最小リリースが必要です。


(注)  


現在の Cisco Secure Client モバイルリリースにおけるこれらの機能の可用性については、お使いのプラットフォームの機能マトリックスを参照してください。


  • SAML 認証:Cisco Secure Firewall ASA 9.7.1.24、9.8.2.28、9.9.2.1 以降。クライアントとサーバー両方のバージョンが最新であることを確認してください。

  • TLS 1.3:Secure Firewall ASA 9.19.1 以降。

  • TLS 1.2:Cisco Secure Firewall ASA 9.3.2 以降。

  • Per-App VPN トンネリングモード:Cisco Secure Firewall ASA 9.3.2 以降。

  • IPsec IKEv2 VPN、Suite B 暗号化、SCEP プロキシ、またはモバイルポスチャ:Cisco Secure Firewall ASA 9.0。

その他のシスコ ヘッドエンドのサポート

Cisco Secure Client SSL 接続は、Cisco IOS 15.3(3)M 以降/15.2(4)M 以降でサポートされています。

Cisco Secure Client IKEv2 接続は、Cisco ISR g2 15.2(4)M 以降でサポートされています。

Cisco Secure Client SSL および IKEv2 は、Cisco Secure Firewall Threat Defense リリース 6.2.1 以降でサポートされています。

Apple iOS での Cisco Secure Client の注意事項と制約事項

  • (iOS での Cisco Zero Trust Access):iOS ではサービスプロセスをサポートしていないため、プッシュ通知を使用して設定の同期をトリガーします。したがって、他のプラットフォームのように約 10 分ごとに設定の同期が行われるのではなく、最大で 4 時間かかる場合があります。

  • (iOS 14.0.x 以上):トンネル DNS サーバーがスプリット DNS ドメイン名を指定せずに設定されている場合、トンネル DNS サーバーでアドレスを解決できなくても、デバイスのパブリック DNS サーバーにフォールバックしません。iOS の変更により、この異なる動作が発生しました。

  • (iOS 14.0.x のみ)CSCvv50495:ネットワークの変更後、ネットワークを移行、またはネットワークを一時停止して再開すると、トラフィックが停止します。VPN 接続を無効にしてから再度有効にすると、再開できます。この問題は、iOS 14.1 では修正されています。

  • CSCvs82209:SCEP 経由でインポートされ、アクセスに生体認証を要求するクライアント証明書にアクセスしている場合、iOS 13.3.1 以降では「有効な証明書が見つかりません」というエラーが発生します。 iOS 13.3.1 では、アクセスに生体認証(TouchID/FaceID/パスコード)を要求するセキュリティプロパティを持つ SCEP インポート済み証明書を使用する Cisco Secure Client ネットワーク拡張機能が削除されました。この変更に対応するようにクライアントを再設計できるようになるまでは、生体認証オプションを使用せずに SCEP を使用して証明書を展開します。

  • Cisco Secure Client は、ユーザーが手動で設定するか、iPhone 設定ユーティリティ(Mac App Store で入手可能)を使用して生成する Cisco Secure Client VPN プロファイルを使用して、またはエンタープライズ モバイル デバイス マネージャを使用して設定できます。

  • Apple iOS デバイスは 1 つの Cisco Secure Client VPN プロファイルのみサポートします。生成された設定の内容は、必ず最新のプロファイルと一致します。たとえば、ユーザーが vpn.example1.com に接続してから vpn.example2.com に接続すると、vpn.example2.com からインポートされた Cisco Secure Client VPN プロファイルにより、vpn.example1.com からインポートされたプロファイルが置き換えられます。

  • このリリースは、トンネルキープアライブ機能をサポートしていますが、デバイスのバッテリ寿命は短くなります。アップデート間隔の値を増やすことでこの問題は軽減します。

  • DHE の非互換性:導入された DHE 暗号サポートにより、9.2 より前の Cisco Secure Firewall ASA バージョンで非互換性の問題が発生します。9.2 より前の ASA リリースで DHE 暗号を使用している場合は、それらの Cisco Secure Firewall ASA バージョンで DHE 暗号を無効にする必要があります。

    DHE 暗号サポートの導入により、9.2 より前の Cisco Secure Firewall ASA バージョンで非互換性の問題が発生します。9.2 より前の ASA リリースで DHE 暗号を使用している場合は、それらの Cisco Secure Firewall ASA バージョンで DHE 暗号を無効にする必要があります。

Apple iOS Connect On-Demand の注意事項:

  • iOS On-Demand ロジックの結果として自動的に接続され、Disconnect on Suspend(一時停止時に接続解除)が設定されている VPN セッションは、デバイスがスリープすると切断されます。デバイスがスリープ状態から起動すると、必要に応じて On-Demand ロジックが VPN セッションを再接続します。

  • Cisco Secure Client は、UI が起動され、VPN 接続が開始されたときにデバイス情報を収集します。そのため、ユーザーが iOS の Connect On-Demand 機能を使用して初めて接続を確立する場合、またはデバイス情報(OS バージョンなど)が変更された場合、Cisco Secure Client がモバイルポスチャ情報を誤ってレポートすることがあります。

既知の互換性の問題

  • スプリット除外設定で IPv6 のみをトンネリングする場合(IPv4 アドレスが割り当てられていない場合)、Cisco Secure Firewall ASA ヘッドエンドへのスプリットトンネリングは機能しません。

    除外リストエントリを除き、すべてのトラフィックをトンネリングする必要がありますが、スプリット除外リストは適用されません。すべての IPv6 トラフィックは除外されます。詳細については、「CSCvb80768 :IPv6 Split Exclude & IPv4 DropAll がトンネルからのすべての v6 トラフィックを除外」を参照してください(レーダー 29623849)。

  • Cisco Secure Client UI が開いたままの状態で、UI と内部の Cisco Secure Client 拡張機能の間のプロセス間通信(IPC)を iOS が誤って切断した場合、すべての UI アクティビティはエラーまたは不正な応答により失敗します。

    これを回復するには、IPC を再確立する Cisco Secure Client UI を閉じてから再起動する必要があります。UI が閉じられたときに予期しない IPC 切断が発生した場合、次回 UI を開くときに、再確立されます。詳細については、「CSCvb95722:失敗して一時停止状態になります(レーダー 29313229)」を参照してください。

  • オンデマンド接続の場合は、更新された VPN 接続プロファイルが Cisco Secure Firewall ASA によってクライアントにプッシュされたときに、Cisco Secure Client UI を開く必要があります。UI が開かれていない場合、更新されたプロファイルは同期されないため、変更は使用されません。

  • 管理対象の Per-App の設定では、アプリケーション トラフィックは、アプリケーションごとに設定され、不適切なタイミングでユーザーが作成した(管理対象外の)VPN 接続を通過します。

    詳細については、「CSCvc36024:アプリケーション別:アプリケーションは、非 PAV フルトンネル(レーダー 29513803) を介してトラフィックを渡すことができます。」を参照してください。Apple 社は、これが想定されている動作であることを確認しています。

暗号化のサポート

次の安全性の低い暗号スイートは削除されました。

  • SSL VPN の場合、Cisco Secure Client は TLS と DTLS の両方からの暗号スイート(DHE-RSA-AES256-SHA と DES-CBC3-SHA)をサポートしなくなりました。

  • IKEv2/IPsec の場合、Cisco Secure Client は次のアルゴリズムをサポートしなくなりました。

    • 暗号化アルゴリズム:DES と 3DES

    • 疑似ランダム関数(PRF)アルゴリズム:MD5

    • 整合性アルゴリズム:MD5

    • Diffie-Hellman(DH)グループ:2、5、14、24

未解決および解決済みの Cisco Secure Client の問題

Cisco Bug Search Tool には、このリリースで未解決および解決済みの次の問題に関する詳細情報が含まれています。Bug Search Tool にアクセスするには、シスコアカウントが必要です。シスコアカウントをお持ちでない場合は、https://Cisco.com [英語] で登録を行ってください。

デスクトップリリースノートで定義されている一部のクロスプラットフォームのバグは、モバイルリリースに適用される場合があります。修正済みとして報告されたバグは、Cisco Secure Client のリリース番号が大きいすべてのオペレーティング システム プラットフォーム(モバイル オペレーティング システムを含む)で使用可能になります。プラットフォームに適用される、vpn、core、nvm、および同様のコンポーネントのバグは、後続のモバイルリリースでは重複しません。iOS バージョンの番号が、バグが修正済みと報告されたリリースバージョンよりも大きい場合、たとえば、iOS リリース 4.9.00512 では、デスクトップリリース 4.9.00086 で解決された vpn コンポーネントのバグは表示されません。

Apple iOS 用 Cisco Secure Client 5.1.4.46500 で解決された問題

ID 見出し

CSCwk07978

ZTA iOS:ユーザーが ZTA を離れて再度開くと、Webview が消えている

Apple iOS 用 Cisco Secure Client 5.0.05207 で解決された問題

ID 見出し

CSCwi51652

SAML 認証で VPN に接続できない

Apple iOS 用 Cisco Secure Client 5.0.05206 で解決された問題

ID 見出し

CSCwi39086

Cookie にサブドメインがある場合、組み込み SAML 認証が Cookie のドメインと一致しない

CSCwi40284

URI の外部制御インポートプロファイルがクラッシュして失敗する

Apple iOS 用 Cisco Secure Client 5.0.01256 で解決された問題

ID 見出し

CSCwd94735

ベンダーデータが正しく設定されていない場合、AnyConnect VPN がクラッシュする

CSCwe49458

ISE は AnyConnect VPN を使用して Apple M1 デバイスを正しく識別しない

Apple iOS 用 Cisco Secure Client 5.0.01241 で解決された問題

ID 見出し

CSCwd68196

M1/M2 macOS Ventura 上の AnyConnect iOS アプリが接続時にハングする

Apple iOS 用 Cisco Secure Client 5.0.00246 で解決された問題

ID 見出し

CSCwc01260

iOS 15:オンデマンドでトリガーされた VPN を確立できない