AnyConnect は、組み込みブラウザの SAML 認証を使用した DNS ロードバランシングをサポートしています。Secure Firewall ASA、Secure Firewall Threat Defense、またはその他のヘッドエンドと外部ブラウザまたはネイティブブラウザを使用すると、VPN ヘッドエンドの DNS ロードバランシングはサポートされません。これは、オペレーティングシステムの制限により、Cisco Secure Client が必要な基本条件を制御する機能が制限されるためです。

現時点では、macOS 13 の Continuity Camera はアクティブな VPN 接続中は機能していません。

AnyConnect VPN は、他のクライアント VPN（ユニバーサル Windows プラットフォーム用の AnyConnect セキュア モビリティ クライアント のようなシスコソフトウェア、またはサードパーティの VPN のいずれか）と同時にアクティブにできません。

macOS 12.x で AnyConnect を実行している場合、DNS（名前解決）が失われ、復元のために再起動が必要になる場合があります。この問題の原因は macOS のバグとして特定されており、macOS 12.3（FB9803355）で解決されています。

グローバル DNS 設定の Searchlist と UseDomainNameDevolution は、VPN 接続の DNS サフィックス検索リストを作成するために AnyConnect で使用されます。ローカルグループポリシーを使用して設定されたオーバーライドはすべて無視されます。

暗号化されたドメインネームシステム（DNS）の解決は、AnyConnect セキュア モビリティ クライアント の機能に影響します。具体的に言うと、暗号化された DNS を介して解決される FQDN をターゲットとするネットワークフローは、AnyConnect セキュア モビリティ クライアント の次の機能により、回避されるか、適切に処理されません：Cisco Umbrella DNS の保護、Cisco Umbrella Web の保護（名前ベースのリダイレクトルールが使用されている場合）、VPN（ダイナミック スプリット トンネリングと名前ベースの例外のある常時接続）、Network Visibility（ピア FQDN のレポート）。このような影響を軽減するには、AnyConnect セキュア モビリティ クライアント ユーザーに関連するブラウザ設定で暗号化された DNS を無効にする必要があります。

追加の軽減策として、AnyConnect セキュア モビリティ クライアント は、ローカルポリシー設定を介した Windows DNS クライアントの DNS over HTTPS（DoH）名前解決（DNS over HTTP（DoH）名前解決の設定（[コンピュータの設定（Computer Configuration）] > [管理テンプレート（Administrative Templates）] > [ネットワーク（Network）] > [DNSクライアント（DNS Client）]））を禁止します。この変更は、Windows 11 以降のバージョンに該当するものであり、VPN、Cisco Umbrella ローミングセキュリティ、または Network Visibility のいずれかのモジュールがアクティブなときに適用されます。（ドメイン GPO 設定などの）優先順位の高い競合設定が検出された場合、AnyConnect セキュア モビリティ クライアント はこのポリシー設定を変更しません。

RPM/DEB インストーラを使用して、スクリプトによってインストールされたバージョンからアップグレードする場合、次の制限があります。

• ヘッドエンドからの自動クライアント更新はサポートされていません。システム パッケージ マネージャを使用して、アウトオブバンドで更新を行う必要があります。

• RPM および DEB インストーラでサポートされる AnyConnect モジュールは、VPN と DART のみです。

• RPM または DEB インストーラの使用に切り替える前に、（すべてのモジュールを含む）現在の既存の AnyConnect をアンインストールする必要があります。既知の問題の回避策については、CSCwa16755 を参照してください。

• スクリプトインストーラを使用して、既存の RPM または DEB のインストールを更新することはできません。

ルート認証局（CA）が公的に信頼されている場合、その CA はすでにファイル証明書ストアにあります。ただし、シスコではファイル証明書ストアでの OCSP チェックのみをサポートしているため、Firefox NSS ストアが同時に有効になっていると、OCSP チェックがバイパスされる可能性があります。こうしたバイパスを防ぐには、ローカルポリシーファイルで ExcludeFirefoxNSSCertStore を true に設定して Firefox NSS ストアを無効にします。

信頼ネットワーク検出を使用している場合、システムルートテーブルにデフォルトルートが含まれていなければ、TND ポリシーに従って自動 VPN 接続が開始されないことがあります。

Web 展開を使用して 4.9.01095 より前のバージョンから AnyConnect または HostScan 4.10 にアップグレードすると、エラーが発生する可能性があります。バージョン 4.9.01095 よりも前の AnyConnect にはシステム CA ストアを解析する能力がなく、ユーザーのプロファイルディレクトリで正しい NSS 証明書ストアのパスを特定できないため、アップグレードが失敗します。4.9.01095 より前のリリースから AnyConnect 4.10 にアップグレードする場合は、エンドポイントで AnyConnect をアップグレードする前に、ルート証明書（DigiCertAssuredIDRootCA.pem）を /opt/.cisco/certificates/ca にコピーします。

（カーネルバージョンが 5.4 の）Ubuntu 20.04 を使用している場合は、AnyConnect 4.8 以降を使用する必要があります。そうしないと Network Visibility Module のインストールに失敗します。

ローカルやネットワークのプロキシ（Web HTTP/HTTPS インスペクションや復号の機能を含む、Fiddler、Charles Proxy、またはサードパーティ製マルウェア対策/セキュリティソフトウェアなどのソフトウェア/セキュリティ アプリケーション）は、AnyConnect と互換性がありません。

CSCvu65566 の修正とそのデバイス ID 計算の変更により、Linux の特定の展開（特に LVM を使用する展開）では、ヘッドエンドから 4.9.01xxx 以降に更新した直後に 1 回限りの接続試行エラーが発生します。AnyConnect 4.8 以降を実行し、自動更新（Web 展開）を実行するためにヘッドエンドに接続している Linux ユーザーは、次のエラーを受け取る場合があります。「セキュアゲートウェイが接続試行を拒否しました。同じまたは別のセキュアゲートウェイへの新しい接続の試行が必要であり、再認証が必要です。（The secure gateway has rejected the connection attempt. A new connection attempt to the same or another secure gateway is needed, which requires re-authentication.）」正常に接続するには、AnyConnect のアップグレード後に別の VPN 接続を手動で開始します。4.9.01xxx 以降に最初にアップグレードした後は、この問題は発生しません。

ネットワーク アクセス マネージャは、メモリ内の一時プロファイルを使用するのではなく、ワイヤレス LAN プロファイルをディスクに書き込むように改訂されました。Microsoft は OS のバグに対処するためにこの変更を要求しましたが、[ワイヤレスLANデータの使用状況（Wireless LAN Data Usage）] ウィンドウがクラッシュし、最終的に断続的なワイヤレス接続の問題が発生しました。これらの問題を防ぐために、ネットワーク アクセス マネージャを、メモリ内の元の一時的な WLAN プロファイルを使用するように戻しました。ネットワーク アクセス マネージャは、バージョン 4.8MR2 以降にアップグレードするときに、ディスク上のほとんどのワイヤレス LAN プロファイルを削除します。一部のハードプロファイルは、指示されたときに OS WLAN サービスによって削除できませんが、ネットワーク アクセス マネージャがワイヤレスネットワークに接続する機能を妨げるものがあります。4.7MR4 から 4.8MR2 へのアップグレード後にワイヤレスネットワークへの接続に問題が発生した場合は、次の手順を実行します。

1. AnyConnect ネットワーク アクセス マネージャ サービスを停止します。

2. 管理者のコマンドプロンプトから、次のように入力します

   netsh wlan delete profile name=*(AC)

これにより、以前のバージョン（AnyConnect 4.7MR4 〜 4.8MR2）から残りのプロファイルが削除されます。または、名前に AC が追加されたプロファイルを検索し、ネイティブサプリカントから削除することもできます。

macOS 11 では、nslookup コマンドに関連する AnyConnect バージョン 4.8.03036 以降で発生した問題（split-include トンネリング構成で nslookup が VPN トンネルを介して DNS クエリを送信しない問題）が修正されました。この問題は、不具合 CSCvo18938 の修正がそのバージョンに含まれていた場合に AnyConnect 4.8.03036 で発生します。Apple が提案したその不具合の変更により、nslookup の問題動作を引き起こす別の OS の 問題が明らかになりました。

macOS 10.x の回避策として、VPN DNS サーバーをパラメータとして nslookup に渡すことができます（nslookup [name] [ip_dnsServer_vpn]）。

（CSCvu71024）Cisco Secure Firewall ASA ヘッドエンドまたは SAML プロバイダーが AddTrust ルート（またはいずれかの仲介者）によって署名された証明書を使用する場合、2020 年 5 月に期限切れになるため、AnyConnect 認証が失敗する場合があります。期限切れの証明書は、オペレーティングシステムが 2020 年 5 月の有効期限に対応するのに必要な更新を行うまで、AnyConnect の失敗の原因となり、サーバー証明書検証エラーとして表示されます。

Windows 8 以降の Windows DNS クライアント最適化では、スプリット DNS が有効になっている場合に、特定のドメイン名の解決に失敗する可能性があります。回避策は、次のレジストリキーを更新して、このような最適化を無効にすることです。

Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters

Value:DisableParallelAandAAAA

Data: 1

Key: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\DNSClient

Value: DisableSmartNameResolution

Data: 1

macOS 10.15 オペレーティングシステムでは、32 ビットのバイナリがサポートされません。さらに、10.15 にインストールされているすべてのソフトウェアは、デジタル署名によって暗号的に認証されていることが Apple に確認されます。AnyConnect 4.8 以降、macOS 10.15 での操作は 32 ビットコードなしでサポートされます。

次の制限事項に注意してください。

• 4.7.03052 よりも前の AnyConnect バージョンでは、アップグレードにアクティブなインターネット接続が必要な場合があります。

• 4.8.x より前の HostScan バージョンは、macOS 10.15 では機能しません。

• macOS 10.15 で HostScan と システムスキャン を使用する場合、初回起動時に権限ポップアップが表示されます。

4.8.x より前の HostScan パッケージは、macOS Catalina（10.15）では機能しません。4.8.x より前の HostScan パッケージを実行しているエンドユーザーが macOS Catalina から Cisco Secure Firewall ASA ヘッドエンドに接続しようとすると、VPN 接続を正常に完了できず、ポスチャ評価失敗メッセージを受信します。

macOS Big Sur (11.x) 上の AnyConnect 4.10.x クライアントでは、HostScan 4.9.04045 以降を使用する必要があります。

HostScan ユーザが VPN 接続を正常に行えるようにするには、すべての DAP ポリシーと HostScan ポリシーが HostScan 4.8.00175 （以降）に準拠していなければなりません。HostScan 4.3.x から 4.8.x へのポリシー移行に関するその他の情報については、『AnyConnect HostScan Migration 4.3.x to 4.6.x and Later』[英語] を参照してください。

VPN 接続を復元するための回避策として、Cisco Secure Firewall ASA ヘッドエンドに HostScan パッケージを使用するシステムの管理者が HostScan を無効にする方法があります。無効にすると、すべての HostScan のポスチャ機能、およびエンドポイント情報に依存する DAP ポリシーは使用できなくなります。

関連する Field Notice については、https://www.cisco.com/c/en/us/support/docs/field-notices/704/fn70445.html [英語] を参照してください。

macOS 10.15（およびそれ以降）では、デスクトップ、ドキュメント、ダウンロード、およびネットワークボリュームの各フォルダにアクセスするためのユーザー権限をアプリケーションが取得する必要があります。このアクセス権を付与するにあたり、HostScan の初回起動時にシステムスキャン（ネットワークで ISE ポスチャが有効になっている場合）、または DART（ISE ポスチャまたは AnyConnect がインストールされている場合）のポップアップが表示されることがあります。ISE ポスチャと HostScan はエンドポイントのポスチャアセスメントに OPSWAT を使用し、設定された製品とポリシーに基づいてポスチャがこれらのフォルダのアクセス権を確認します。

このようなポップアップでは、[OK] をクリックしてこれらのフォルダへのアクセスを許可し、ポスチャ フローを続行する必要があります。[許可しない（Don't Allow）] をクリックした場合、エンドポイントが準拠しなくなり、これらのフォルダにアクセスせずにポスチャ評価および修復が失敗することがあります。

[許可しない（Don't Allow）] の選択を修復するには

権限ポップアップの再表示に続いてポスチャが開始され、ユーザーが [OK] をクリックするとアクセス権を付与できます。

macOS での GUI リソースのカスタマイズは現在サポートされていません。

AnyConnect Umbrella モジュールは、SentinelOne エンドポイント セキュリティ ソフトウェアと互換性がありません。

macOS 10.15 の使用時に、ISE ポスチャがデフォルトのパッチ管理を検出できませんでした。この状況を解決するには、OPSWAT フィックスが必要です。

Windows では、ネットワーク アクセス マネージャで PMK ベースのローミングを使用できません。

システムセキュリティの制約により、DART でログを収集するには、macOS、Ubuntu、および Red Hat の管理者権限が必要になりました。

AnyConnect リリース 4.6.2 および 4.6.3 には、IPsec 接続の問題がありました。AnyConnect リリース 4.7 以降で IPsec 接続（CSCvm87884）を復元する場合、FIPS モードの Diffie-Hellman グループ 2 および 5 がサポートされなくなります。そのため、FIPS モードの AnyConnect は、リリース 9.6 より古い Cisco Secure Firewall ASA および DH グループ 2 または 5 を指定するように設定された Cisco Secure Firewall ASA に接続できなくなっています。

（58 より前のバージョンの Firefox を使用しているユーザーにのみ影響）Firefox 58 以降、NSS 証明書ストア DB 形式が変更されたため、AnyConnect も新しい証明書 DB を使用するように変更されました。58 より前のバージョンの Firefox を使用している場合は、Firefox と AnyConnect が同じ DB ファイルにアクセスできるように、NSS_DEFAULT_DB_TYPE="sql" 環境変数を 58 に設定してください。

有線またはワイヤレスネットワーク設定や特定の SSID が Windows グループポリシーからプッシュされた場合、それらはネットワーク アクセス マネージャの適切な動作と競合する可能性があります。ネットワーク アクセス マネージャがインストールされている場合、ワイヤレス設定のグループポリシーはサポートされません。

Windows 10 バージョン 1703 では、WLAN の動作が変更されたため、ネットワーク アクセス マネージャがワイヤレスネットワーク SSID をスキャンするときに中断が発生していました。Microsoft が調査中の Windows コードのバグのために、ネットワーク アクセス マネージャの非表示ネットワークへのアクセスの試みが影響を受けます。最適なユーザーエクスペリエンスを提供するために、ネットワーク アクセス マネージャのインストール時に 2 つのレジストリキーを設定し、アンインストール時にそれらを削除することによって、Microsoft の新機能を無効化しています。

AnyConnect 4.5.02XXX 以降では、macOS の [システム環境設定（Preferences）] > [セキュリティとプライバシー（Security & Privacy）] ペインで Secure Client（旧 AnyConnect） ソフトウェア拡張機能を有効にすることにより、全機能を活用するのに必要な手順をガイドする追加機能と警告が提供されます。ソフトウェア拡張機能を手動で有効にする必要があることが、macOS 10.13（High Sierra）の新しいオペレーティングシステム要件です。さらに、ユーザーのシステムを macOS 10.13 以降にアップグレードする前に AnyConnect をアップグレードすると、AnyConnect ソフトウェア拡張機能は自動的に有効になります。

ユーザーのシステムが macOS 10.13（以降）である場合、4.5.02XXX より前のバージョンを使用しているときは、macOS の [システム環境設定（Preferences）] > [セキュリティとプライバシー（Security ＆ Privacy）] ペインで Secure Client（旧 AnyConnect）ソフトウェア拡張機能を有効にする必要があります。拡張機能を有効にした後は、手動での再起動が必要になる場合があります。

macOS システム管理者は User Approved Kernel Extension Loading を無効にする追加機能を利用できる場合があります（https://support.apple.com/en-gb/HT208019 [英語] を参照）。これは現在サポートされているバージョンの AnyConnect で有効です。

ネットワークの変更または電源イベントが発生した場合、中断されたポスチャプロセスは正常に完了しません。ネットワークまたは電力の変更により、AnyConnect ダウンローダーエラーが発生します。ユーザーがこれを確認しないと、プロセスを続行できません。

WWAN/3G/4G/5G へのすべての接続は、ユーザーによって手動でトリガーされる必要があります。有線またはワイヤレス接続を利用できない場合、ネットワーク アクセス マネージャは、これらのネットワークに自動的に接続しません。

macOS では、VPN 接続の開始後にキーチェーン認証プロンプトが表示される場合があります。このプロンプトは、セキュアゲートウェイからのクライアント証明書要求後に、クライアント証明書の秘密キーへのアクセスが必要な場合にのみ表示されます。トンネルグループに証明書認証が設定されていなくても、Cisco Secure Firewall ASA で証明書マッピングが 設定されている可能性があります。その場合、クライアント証明書の秘密キーのアクセス制御設定が [アクセスを許可する前に確認する（Confirm Before Allowing Access）] に設定されているとキーチェーンプロンプトが表示されます。

ログインキーチェーンからクライアント証明書への AnyConnect のアクセスを制限するように AnyConnect プロファイルを設定します（ASDM プロファイルエディタで、[設定（パート1）（Preferences (Part 1)）] > [証明書ストア（Certificate Store）] > [macOS] の [ログイン（Login）] を選択）。キーチェーン認証プロンプトを停止するには、次のいずれかの操作を行います。

• 既知のシステムキーチェーン証明書を除外するようにクライアントプロファイルの証明書一致基準を設定します。

• AnyConnect へのアクセスを許可するようにシステムキーチェーン内のクライアント証明書秘密キーのアクセス制御設定を指定します。

OrgInfo.json ファイルを取得するためのダッシュボードは、https://dashboard.umbrella.com です。そこから [アイデンティティ（Identity）] > [ローミングコンピュータ（Roaming Computers）] の順に移動し、左上にある [+]（追加アイコン）をクリックして、[AnyConnect Umbrellaローミングセキュリティモジュール（AnyConnect Umbrella Roaming Security Module）] セクションの [モジュールプロファイル（Module Profile）] をクリックします。

Microsoft は、ネットワーク アクセス マネージャがインストールされているときに以前のバージョンの Windows への更新をブロックすることを意図していましたが、Windows 10 および Creators Edition（RS2）も誤ってブロックされていました。このエラー（Microsoft Sysdev 11911272）のために、Creators Editor（RS2）にアップグレードには、まずネットワーク アクセス マネージャ モジュールをアンインストールする必要があります。アップグレード後にモジュールを再インストールできます。このエラーに関する Microsoft の修正は、2017 年 6 月に予定されています。

Windows 10 Creator Update (April 2017) にアップグレードすると、AnyConnect アダプタに問題があることを示す Windows Defender メッセージが表示される場合があります。Windows Defender により、[デバイスのパフォーマンスと正常性（Device Performance and Health）] セクションでアダプタを有効にするように指示されます。実際には、使用していないときはアダプタを無効にしてください（手動で操作しないでください）。この誤検知エラーは、Sysdev 番号 11295710 で Microsoft にレポートされています。

AnyConnect 4.4MR1 以降および 4.3MR5 は、Windows 10 Creators Edition（RS2）と互換性があります。

最良の結果を得るために、Windows 7/8/8.1 からのアップグレードではなく Windows 10 システムへの AnyConnect のクリーンインストールをお勧めします。AnyConnect がプレインストールされた Windows 7/8/8.1 からアップグレードする場合は、オペレーティングシステムをアップグレードする前に、必ず、まず AnyConnect をアップグレードしてください。Windows 10 にアップグレードする前に、ネットワーク アクセス マネージャ モジュールをアンインストールする必要があります。システムのアップグレードが完了したら、ネットワーク アクセス マネージャをシステムに再インストールできます。また、Windows 10 へのアップグレード後に、AnyConnect を完全にアンインストールし、サポートされているいずれかのバージョンを再インストールすることもできます。

以前は、スプリット包含ネットワークがローカル サブネットのスーパーネットである場合、ローカルサブネットと完全に一致するスプリット包含ネットワークが設定されていないかぎり、ローカル サブネット トラフィックはトンネリングされませんでした。CSCum90946 の解決により、スプリット包含ネットワークがローカルサブネットのスーパーネットである場合、アクセスリスト（ACE/ACL）でスプリット除外（deny 0.0.0.0/32 or ::/128）も設定されていないかぎり、ローカル サブネット トラフィックはトンネリングされます。

スーパーネットがスプリット包含 で設定されており、かつ、 目的の動作が LocalLan アクセスの許可である場合、次の設定が必要です。

• アクセスリスト（ACE/ACL）には、スーパーネットに関する許可アクションと、0.0.0.0/32 または ::/128 に関する拒否アクションの両方を含める必要があります。

• プロファイルエディタの AnyConnect プロファイル（[設定（パート1）（Preferences (Part 1)）] メニュー）で [ローカルLANアクセス（Local LAN Access）] を有効にします（ユーザー制御可能にするオプションもあります）。

SHA-1 証明書または SHA-1 中間証明書付き証明書を持つセキュアゲートウェイは、2017 年 2 月 14 日以降、Windows Internet Explorer 11/Edge ブラウザまたは Windows AnyConnect エンドポイントによって有効と見なされなくなる可能性があります。2017 年 2 月 14 日以降、Windows エンドポイントは、SHA-1 証明書または中間証明書を持つセキュアゲートウェイを信頼できると見なさなくなる可能性があります。セキュアゲートウェイに SHA-1 アイデンティティ証明書を持たせないことと、中間証明書を SHA-1 ではないものにすることを強くお勧めします。

Microsoft は、当初のレコードの計画とタイミングを変更しました。Microsoft は環境が 2017 年 2 月の変更によって影響を受けるかどうかをテストする方法の詳細を公開しました。シスコでは、SHA-1 セキュアゲートウェイまたは中間証明書を使用しているか古いバージョンの AnyConnect を実行している場合に AnyConnect の正常な動作を保証できません。

利用可能な修正をすべて確実に適用するために、AnyConnect の現在のメンテナンスリリースで常に最新の状態に保つことをお勧めします。AnyConnect 4.x 以降の最新バージョンは、アクティブな AnyConnect Plus、Apex、および VPN Only の契約期間がある場合に Cisco.com Software Center で入手できます。AnyConnect バージョン 3.x はすでに積極的なメンテナンスが行われなくなっているため、どの展開にも使用しないでください。

（注）	シスコでは、Microsoft が SHA-1 の廃止を進めても、AnyConnect 4.3 および 4.4 以降のリリースは正常に動作しつづけることを確認しました。Microsoft ではあらゆる状況において Windows 全体で SHA-1 の信用を廃止する長期的な計画を持っていますが、Microsoft の現在のアドバイザリでは、これに関する詳細やタイミングは提供されていません。その廃止の正確な日付によっては、いつでも AnyConnect の古いバージョンの多くが動作しなくなる可能性があります。詳細については、Microsoft のアドバイザリを参照してください。

（バージョン 4.9.03047 以前の AnyConnect を実行している Windows 7、8、および 8.1 ユーザーの場合）クライアントが認証に SHA512 証明書を使用すると、証明書が使用されていることがクライアントログに記録されていても認証は失敗します。ASA ログには、AnyConnect によって証明書が送信されていないことが正しく示されます。これらのバージョンの Windows では、TLS 1.2 で SHA512 証明書のサポートを有効にする必要があります。これはデフォルトではサポートされていません。これらの SHA512 証明書のサポートの有効化については https://support.microsoft.com/en-us/kb/2973337 を参照してください。4.9.03049

OpenSSL 規格開発チームがいくつかの暗号スイートをセキュリティ侵害を受けたものとしてマークしたため、それらは AnyConnect 3.1.05187 以降ではサポートされなくなりました。サポートされない暗号スイートには DES-CBC-SHA、RC4-SHA、および RC4-MD5 が含まれます。

同様に、シスコの暗号ツールキットでは RC4 暗号がサポートされなくなりました。そのため、それらのシスコのサポートは、リリース 3.1.13011 および 4.2.01035 以降では中止されています。

新規インストールが完了すると、予期どおりの動作として、ISE ポスチャ ログ トレース メッセージが表示されます。ただし、ISE ポスチャ プロファイル エディタを開いて [エージェントログトレースファイルの有効化（Enable Agent Log Trace file）] を 0（無効）に変更する場合は、期待どおりの結果を得るために AnyConnect のサービスを再起動する必要があります。

macOS 10.9 以降を使用しており、ISE ポスチャを使用する場合は、問題を回避するために次の作業を行う必要があります。

• ポスチャアセスメント時に「ポリシーサーバーへの接続の失敗」というエラーが発生することを回避するには、証明書の検証を無効にします。

• キャプティブ ポータル アプリケーションを無効にします。無効にしない場合は、検出プローブがブロックされ、アプリケーションはポスチャ前の ACL 状態のままになります。

macOS 上の Firefox 証明書ストアは、任意のユーザーによるストアの内容の変更を許可するアクセス権を使用して保存されます。これにより、未認可のユーザーまたはプロセスが不正な CA を信頼されたルートストアに追加することが可能になります。AnyConnect は、サーバー検証またはクライアント証明書に Firefox ストアを使用しなくなりました。

必要に応じて、AnyConnect 証明書を Firefox の証明書ストアからエクスポートする方法とそれらを macOS キーチェーンにインポートする方法をユーザーに指示してください。一例として、AnyConnect ユーザーに次のような手順を伝えます。

1. Firefox の [オプション（Preferences）] > [プライバシーとセキュリティ（Privacy & Security）] > [詳細設定（Advanced）] の [証明書（Certificates）] タブに移動し、[証明書を表示（View Certificates）] をクリックします。

2. AnyConnect に使用する証明書を選択し、[エクスポート（Export）] をクリックします。

   多くの場合、AnyConnect 証明書は [認証局証明書（Authorities）] カテゴリにあります。目的の証明書は別のカテゴリ（[あなたの証明書（Your Certificates）] または [サーバー証明書（Servers）]）に含まれている可能性があるため、証明書管理者に確認してください。

3. 証明書を保存する場所（デスクトップ上のフォルダなど）を選択します。

4. [ファイルの種類（Format）] プルダウンメニューで、[X.509 証明書（DER）（X.509 Certificate (DER)）] を選択します。必要に応じて、証明書名に .der 拡張子を追加します。

   

   （注）	複数の AnyConnect 証明書または秘密キー（あるいはその両方）が使用される場合や必要な場合は、証明書ごとに上記のプロセスを繰り返してください。

5. KeyChain を起動します。[ファイル（File）] > [アイテムのインポート...（Import Items…）] に移動し、Firefox からエクスポートした証明書を選択します。

   [宛先キーチェーン:（Destination Keychain:）] で目的のキーチェーンを選択します。この例で使用されているログインキーチェーンは、ユーザーの会社で使用されているものと異なる場合があります。証明書をインポートする必要があるキーチェーンについては、証明書管理者に問い合わせてください。

6. [宛先キーチェーン:（Destination Keychain:）] で目的のキーチェーンを選択します。この例で使用されているログインキーチェーンは、ユーザーの会社で使用されているものと異なる場合があります。証明書をインポートする必要があるキーチェーンについては、証明書管理者に問い合わせてください。

   
   

   

   
   

7. AnyConnect に使用される（または必要な）追加の証明書について、上記の手順を繰り返します。

（CSCue04930）ASDM で SSLv3 オプションの [SSLv3のみ（SSLv3 only）] または [SSL V3をネゴシエート（Negotiate SSL V3）] が選択されている（[設定（Configuration）] > [リモートアクセスVPN（Remote Access VPN）] > [詳細設定（Advanced）] > [SSL設定（SSL Settings）] > [セキュリティアプライアンスがサーバーとしてネゴシエートするためのSSLバージョン（The SSL version for the security appliance to negotiate as a server）]）場合、HostScan は機能しません。管理者に警告するために、ASDM に警告メッセージが表示されます。

Safari を使用すると WebLaunch で問題が発生します。OS X 10.9（Mavericks）に付属しているバージョンの Safari のデフォルトセキュリティ設定では、AnyConnect Weblaunch は機能しません。WebLaunch が機能するように Safari を設定するには、次のように ASA の URL を「安全でないモード」に編集します。

Safari 9 以前

1. Safari の [環境設定（Preferences）] を開きます。

2. [セキュリティ（Security）] 設定を選択します。

3. [Webサイト設定を管理...（Manage Website Settings...） ] ボタンをクリックします。

4. 左側のオプションリストから [Java] を選択します。

5. 接続を試みる Web サイト「Hostname_or_IP_address」のオプションを [開かない（Block）] から [常に許可（Allow Always）] に変更します。

6. [完了（Done）] をクリックします。

Safari 10 以降

1. Safari の [環境設定（Preferences）] を開きます。

2. [セキュリティ（Security）] 設定を選択します。

3. [インターネットプラグイン:（Internet plug-ins:）] オプションの [プラグインを許可（allow plug-ins）] をオンにします。

4. [プラグイン設定（Plug-ins Settings）] ボタンを選択します。

5. 左側のオプションリストから [Java] を選択します。

6. 接続を試みる「Hostname_or_IP_address」を強調表示します。

7. Alt キー（または Option キー）を押したままドロップダウンメニューをクリックします。[オン（On）] がオンになっていることと [安全なモードで実行（Run in Safe Mode）] がオフになっていることを確認します。

8. [完了（Done）] をクリックします。

ActiveX コントロールに必要な変更を加えない限り、WebLaunch による AnyConnect ソフトウェアの自動アップグレードは、限定的なユーザーアカウントで機能します。

場合によっては、このコントロールが、セキュリティの修正または新しい機能の追加によって変更されます。

限定的なユーザーアカウントからコントロールを起動するときにコントロールのアップグレードが必要な場合、管理者は、AnyConnect プレインストーラ、SMS、GPO、またはその他の管理展開方法を使用してコントロールを展開する必要があります。

Java 7 では、AnyConnect と HostScan で問題が発生する可能性があります。この問題と回避策については、トラブルシューティング テクニカルノートの『ava 7 Issues with AnyConnect, CSD/HostScan, and WebVPN - Troubleshooting Guide』[英語]（[セキュリティ（Security）] > [Cisco HostScan] にあるシスコのドキュメント）を参照してください。

AnyConnect は、すべてのネットワークのトンネルが設定されているときにローカル DHCP トラフィックを暗号化せずに流せるようにするために、AnyConnect の接続時にローカル DHCP サーバーに特殊なルートを追加します。また、このルートでのデータ漏洩を防ぐため、AnyConnect はホストマシンの LAN アダプタに暗黙的なフィルタを適用し、DHCP トラフィックを除く、そのルートのすべてのトラフィックをブロックします。

Bluetooth か USB でテザリングされた携帯電話またはモバイルデータデバイスが提供するネットワーク接続は、シスコによって特に認定されていないため、展開前に AnyConnect で検証する必要があります。

AnyConnect は、次の環境でスマートカードによって提供されるログイン情報に対応します。

• Windows 7、Windows 8、Windows 10 上の Microsoft CAPI 1.0 および CAPI 2.0。

• macOS 上のキーチェーンと macOS 10.12 以降上の CryptoTokenKit。

  （注）	AnyConnect は、Linux または PKCS #11 デバイスではスマートカードをサポートしていません。

シスコは、次の仮想マシン環境を使用して AnyConnect クライアントテストの一部を実行します。

• VM Fusion 7.5.x、10.x、11.5.x

• ESXi ハイパーバイザ 6.0.0、6.5.0、および 6.7.x

• VMware Workstation 15.x

仮想環境での AnyConnect の実行はサポートしませんが、AnyConnect はシスコがテストする VMware 環境で適切に機能すると予測されます。

仮想環境で AnyConnect の問題が発生した場合は、報告してください。シスコが解決に向けて最善を尽くします。

Cisco Secure Firewall ASA 8.4(1) 以降で使用される AnyConnect 3.0 以降で、RADIUS/MSCHAP および LDAP プロトコルを使用して送信されるパスワードの UTF-8 文字がサポートされます。

AnyConnect を実行するクライアントの自動更新が無効になっている場合、Cisco Secure Firewall ASA に同じバージョンかそれ以前のバージョンの AnyConnect がインストールされていないと、クライアントは VPN に接続できません。

この問題を回避するには、Cisco Secure Firewall ASA で同じバージョンかそれ以前のバージョンの AnyConnect パッケージを設定するか、自動更新を有効にしてクライアントを新しいバージョンにアップグレードします。

ネットワーク アクセス マネージャが動作している場合、ネットワーク アダプタが排他的に制御され、他のソフトウェア接続マネージャ（Windows のネイティブ接続マネージャを含む）による接続確立の試みがブロックされます。そのため、AnyConnect ユーザーにエンドポイントコンピュータ上の他の接続マネージャ（iPassConnect Mobility Manager など）を使用させる場合は、ネットワーク アクセス マネージャ GUI のクライアント無効化オプションを使用するか、ネットワーク アクセス マネージャ サービスを停止することによって、ネットワーク アクセス マネージャを無効にする必要があります。

Intel ワイヤレス ネットワーク インターフェイス カード ドライバ バージョン 12.4.4.5 は、ネットワーク アクセス マネージャと互換性がありません。このドライバがネットワーク アクセス マネージャと同じエンドポイントにインストールされている場合、一貫性のないネットワーク接続や Windows オペレーティングシステムの突然のシャットダウンが発生する可能性があります。

ウイルス対策、マルウェア対策、侵入防御システム（IPS）などのアプリケーションが、AnyConnect セキュア モビリティ クライアント アプリケーションの動作を誤って悪意のあるものと判断する場合があります。そのような誤解釈を避けるために例外を設定できます。AnyConnect のモジュールかパッケージをインストールしたら、AnyConnect のインストールフォルダを許可するか、AnyConnect アプリケーションのセキュリティ例外を指定するようにウイルス対策ソフトウェアを設定します。

IKEv2 はパブリック側プロキシをサポートしていません。この機能のサポートが必要な場合は、SSL を使用してください。プライベート側プロキシは、セキュアゲートウェイから送信される設定の指示に従って、IKEv2 と SSL の両方でサポートされます。IKEv2 はゲートウェイから送信されるプロキシ設定を適用し、それ以降の HTTP トラフィックはそのプロキシ設定の影響を受けます。

AnyConnect は、一部のルータによるパケットフラグメントを受信およびドロップする場合があり、その結果として、一部の Web トラフィックが通過できなくなります。

この問題を回避するには MTU の値を小さくします。推奨値は 1200 です。次に、CLI を使用してこれを実行する例を示します。

hostname# config t
hostname(config)# group-policy DfltGrpPolicy attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# anyconnect mtu 1200

ASDM を使用して MTU を設定するには、[設定（Configuration）] > [ネットワーク（クライアント）アクセス（Network (Client) Access）] > [グループポリシー（Group Policies）] > [追加（Add）] または [編集（Edit）] > [詳細（Advanced）] > [AnyConnectクライアント（AnyConnect Client）] の順に選択します。

DTLS に関してデッドピア検出（DPD）が有効になっている場合、クライアントは自動的にパス MTU を決定します。以前に Cisco Secure Firewall ASA を使用して MTU を減らした場合は、設定をデフォルト値（1406）に復元する必要があります。トンネルの確立時に、クライアントは、特別な DPD パケットを使用して MTU を自動調整します。それでも問題が解決しない場合は、Cisco Secure Firewall ASA での MTU 構成を使用して以前と同様に MTU を制限します。

Windows Active Directory ワイヤレスグループポリシーにより、特定の Active Directory ドメイン内の PC に展開されるワイヤレス設定とワイヤレスネットワークが管理されます。ネットワーク アクセス マネージャをインストールする場合、管理者は、特定のワイヤレス グループ ポリシー オブジェクト（GPO）がネットワーク アクセス マネージャの動作に影響を与える可能性があることに注意する必要があります。完全な GPO 展開を実行する前に、必ず、ネットワーク アクセス マネージャを使用して GPO ポリシー設定をテストしてください。ワイヤレスネットワークに関連する GPO はサポートされていません。

ネットワーク アクセス マネージャを使用するには、FreeRADIUS 設定を調整する必要があります。脆弱性を防ぐために、ECDH 関連の暗号はデフォルトで無効になっています。/etc/raddb/eap.conf で cipher_list の値を変更してください。

Windows 7 以降を実行しているモバイルエンドポイントは、クライアントが同じネットワーク上のアクセスポイント間をローミングするときに、より迅速な PMKID 再アソシエーションを利用する代わりに、完全な EAP 認証を実行する必要があります。その結果、場合によっては、AnyConnect は完全認証のたびにログイン情報を入力するようにユーザーに要求します（アクティブプロファイルによって要求される場合）。

IPv6 アドレス、ドメイン名、アドレス範囲、またはワイルドカードの例外が指定されている場合を除き、IPv6 Web トラフィックはスキャニングプロキシに送信されます。ここで DNS ルックアップが実行され、ユーザーがアクセスしようとしている URL に IPv4 アドレスがあるかどうかが確認されます。IPv4 アドレスが見つかると、スキャニングプロキシはそのアドレスを使用して接続します。IPv4 アドレスが見つからない場合は、接続はドロップされます。

すべての IPv6 トラフィックがスキャニングプロキシをバイパスするように設定する場合は、すべての IPv6 トラフィック ::/0 にこの静的な例外を追加します。これを行うことで、すべての IPv6 トラフィックがすべてのスキャニングプロキシをバイパスします。つまり、この場合は IPv6 トラフィックは Cisco クラウド Web セキュリティで保護されません。

AnyConnect を使用してリモート LAN 上の Windows 7 以降と VPN セッションを確立すると、ユーザーの LAN 内にある他のデバイス上のネットワークブラウザに保護されたリモートネットワーク上のホストの名前が表示されます。ただし、他のデバイスはこれらのホストにアクセスできません。

AnyConnect ホストが（AnyConnect エンドポイントホストの名前を含む）サブネット間でのホスト名の漏洩を確実に防ぐようにするために、そのエンドポイントがプライマリまたはバックアップブラウザにならないように設定してください。

1. [プログラムとファイルの検索（Search Programs and Files）] テキストボックスに「regedit」と入力します。

2. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Browser\Parameters\ に移動します。

3. [MaintainServerList] をダブルクリックします。

[文字列の編集（Edit String）] ウィンドウが開きます。

1. 「No」と入力します。

2. [OK] をクリックします。

3. [レジストリエディター（Registry Editor）] ウィンドウを閉じます。

配信ポイントが内部的にしかアクセスできない場合に、AnyConnect が LDAP 証明書失効リスト（CRL）の配信ポイントを指定するサーバー証明書を確認しようとすると、認証後に AnyConnect 証明書失効警告ポップアップウィンドウが表示されます。

このポップアップウィンドウが表示されないようにするには、次のいずれかを実行します。

• プライベート CRL 要件を持たない証明書を取得します。

• Internet Explorer でサーバー証明書失効確認を無効にします。

  注意	Internet Explorer でサーバー証明書失効確認を無効にすると、他の OS の使用に関してセキュリティ上の重大な悪影響が生じる可能性があります。

ローカリゼーションファイル内のメッセージの検索を試みると、次の例のように、それらが複数行になる場合があります。

msgid ""
"The service provider in your current location is restricting access to the "
"Secure Gateway. "

macOS 用の AnyConnect が、iOS を実行するゲートウェイへの SSL 接続の確立を試みる場合、または AnyConnect が特定タイプのルータ（Cisco Virtual Office（CVO）ルータなど）の背後から Cisco Secure Firewall ASA への IPsec 接続の確立を試みる場合、一部の Web トラフィックが接続を通過し、その他のトラフィックがドロップされる可能性があります。AnyConnect は MTU を誤って計算する場合があります。

この問題を回避するには、macOS コマンドラインから次のコマンドを使用して、AnyConnect アダプタの MTU の値を手動で減らします。

sudo ifconfig utun0 mtu 1200

Windows コンピュータでは、限定的な権限または標準的な権限を持つユーザーは、それぞれのプログラムデータフォルダに対して書き込みアクセスを実行できる場合があります。これらの権限により、AnyConnect プロファイルを削除することが可能なため、常時接続機能を無効にできます。これを防止するには、C:\ProgramData フォルダ（または少なくとも Cisco サブフォルダ）へのアクセスを制限するようにコンピュータを設定します。

Windows 7 以降の Wireless Hosted Network 機能を使用すると AnyConnect が不安定になる可能性があります。AnyConnect を使用する場合、この機能を有効にしたり、（Connectify または Virtual Router など）この機能を有効にするフロントエンド アプリケーションを実行したりすることはお勧めしません。

AnyConnect では、Cisco Secure Firewall ASA が TLSv1 または TLSv1.2 トラフィックを受け入れ、SSLv3 トラフィックを受け入れないようにする必要があります。SSLv3 キー生成アルゴリズムは、キー生成機能を低下させる可能性がある方法で MD5 と SHA-1 を使用します。SSLv3 の後継規格である TLSv1 を使用すると、SSLv3 に存在するこの問題とその他のセキュリティ上の問題が解決されます。

AnyConnect は、「ssl server-version」の次の Cisco Secure Firewall ASA 設定では接続を確立できません。

ssl server-version sslv3

ssl server-version sslv3-only

デバイスに Trend Micro がインストールされている場合、ドライバが競合するために、ネットワーク アクセス マネージャをインストールできません。Trend Micro をアンインストールするか [Trend Micro共通ファイアウォールドライバ（trend micro common firewall driver）] をオフにすると、この問題を回避できます。

サポートされているマルウェア対策製品およびファイアウォール製品はいずれも、最終スキャン時間情報をレポートしません。HostScan がレポートする情報は、次のとおりです。

• マルウェア対策について

  • 製品の説明

  • 製品のバージョン

  • ファイルシステム保護ステータス（アクティブスキャン）

  • データファイル時間（最終更新日時とタイムスタンプ）

• ファイアウォールについて

  • 製品の説明

  • 製品のバージョン

  • ファイアウォールの有効/無効

IPv6 が有効になっており、プロキシ設定の自動検出が Internet Explorer で有効になっているか現在のネットワーク環境でサポートされていない場合、Windows で再接続に時間がかかることがあります。回避策として、プロキシの自動検出が現在のネットワーク環境でサポートされていない場合は、VPN 接続に使用されない物理ネットワークアダプタを切断するか、IE でプロキシの自動検出を無効にすることができます。

ネットワーク アクセス マネージャは PKC または CCKM キャッシングをサポートしていません。高速ローミングは、すべての Windows プラットフォームで利用できるわけではありません。

AnyConnect セキュア モビリティ クライアント には、独自のクライアントプログラムを構築するユーザー向けのアプリケーション プログラミング インターフェイス（API）が含まれています。

API パッケージには、AnyConnect の C++ インターフェイスに対応するマニュアル、ソースファイル、およびライブラリファイルが含まれています。Windows、Linux、および Mac プラットフォームで構築する際に、ライブラリおよびプログラム例を使用できます。Windows プラットフォーム用の Makefile（またはプロジェクト ファイル）も含まれています。他のプラットフォーム用には、サンプルコードのコンパイル方法を示すプラットフォーム固有スクリプトが含まれています。ネットワーク管理者は、アプリケーション（GUI、CLI、または組み込みアプリケーション）とこれらのファイルやライブラリをリンクできます。

API は Cisco.com からダウンロードできます。

AnyConnect API に関するサポートの問題については、anyconnect-api-support@cisco.com に電子メールでお問い合わせください。