モバイル デバイスでの AnyConnect の動作およびオプション
AnyConnect Mobile VPN 接続について
このリリースの AnyConnect Secure Mobility Client は、次のモバイル プラットフォームに対応しています。
-
Android
-
Apple iOS
-
Chromebook
-
Windows Phone
Cisco AnyConnect は、サポートされている各プラットフォームのアプリストアに用意されています。www.cisco.com では入手できません。また、セキュリティで保護されたゲートウェイから配布されていません。
AnyConnect モバイルアプリには、コア VPN クライアントのみが含まれています。ネットワーク アクセス マネージャ、ポスチャ、Web セキュリティなどの他の AnyConnect モジュールは含まれていません。VPN が接続中の場合は、モバイル ポスチャと呼ばれるポスチャ情報が、AnyConnect Identify Extensions(ACIDex)を使用してヘッドエンドに提供されます。
AnyConnect VPN 接続は、次のいずれかの方法で確立できます。
-
ユーザが手動で確立する。
-
ユーザが管理者により提供された自動接続アクションをクリックする際に手動で確立する(Android および Apple iOS のみ)。
-
自動:Connect on-Demand 機能により確立される(Apple iOS のみ)。
モバイル デバイスでの AnyConnect VPN 接続エントリ
接続エントリは、セキュア ゲートウェイのアドレスを完全修飾ドメイン名または IP アドレス(必要に応じてトンネル グループ URL を含む)で識別します。また、他の接続属性を含めることもできます。
AnyConnect では、1 台のモバイル デバイス上の複数の接続エントリをサポートすることで、異なるセキュア ゲートウェイや VPN トンネル グループに対応します。複数の接続エントリが設定されている場合は、VPN 接続を開始するためにユーザがどれを使用するかを理解することが重要です。接続エントリは次の方法のいずれかで設定されます。
-
ユーザが手動で設定します。モバイル デバイスの接続エントリを設定する手順については、該当するプラットフォームのユーザ ガイドを参照してください。
-
ユーザが管理者により提供されたリンクをクリックした後で追加し、接続エントリを設定します。
ユーザにこの種の接続エントリ設定を提供するには、「VPN 接続エントリの生成」を参照してください。
-
Anyconnect VPN クライアント プロファイルで定義されます。
AnyConnect VPN クライアント プロファイルでは、クライアント動作を指定し、VPN 接続エントリを定義します。詳細については、「AnyConnect VPN プロファイルでのモバイル デバイス接続の設定」を参照してください。
トンネリング モード
AnyConnect は、マネージド BYOD またはアンマネージド BYOD 環境で動作可能です。これらの環境での VPN トンネリングは、次のいずれかのモードでのみ動作します。
-
システム トンネリング モード:VPN 接続が、すべてのデータをトンネリングするために(完全トンネリング)、または特定のドメインまたはアドレスとの間で送受信されるデータのみをトンネリングするために(スプリット トンネリング)使用されます。このモードは、すべてのモバイル プラットフォームで使用できます。
-
アプリケーションごとの VPN モード:VPN 接続は、モバイルデバイス(Android と Apple iOS のみ)上の特定のアプリケーションセットで使用されます。
AnyConnect では、管理者によってヘッドエンドで定義されているアプリケーションのセットを使用できます。このリストを定義するには、ASA のカスタム属性のメカニズムを使用します。このリストは AnyConnect クライアントに送信され、デバイスで適用されます。他のすべてのアプリケーションに対しては、データはトンネルを介さずに、または暗号化されずに送信されます。
Apple iOS でこのモードで実行するには、マネージド環境が必要です。Android では、マネージドとアンマネージドの両方の環境がサポートされます。いずれのプラットフォームでも、マネージド環境では、AnyConnect でトンネリングするように設定されている一連のアプリケーションと同じアプリケーションをトンネリングするように Mobile Device Manager でデバイスを設定する必要があります。
AnyConnect は、ASA ヘッドエンドから受信した設定情報で決定したモードで動作します。具体的には、接続に関連付けられたグループ ポリシーまたはダイナミック アクセス ポリシー(DAP)内に、アプリケーション単位 VPN のリストがあるかどうかに基づきます。アプリケーション単位 VPN のリストが存在する場合、AnyConnect はアプリケーション単位 VPN モードで動作し、存在しない場合は AnyConnect はシステム トンネリング モードで動作します。
モバイル デバイスでのセキュア ゲートウェイ認証
信頼されていないサーバのブロック
VPN 接続を確立するときに、AnyConnect はセキュア ゲートウェイから受信したデジタル証明書を使用してサーバの身元を確認します。サーバ証明書が無効な場合(期限切れか無効な日付、キーの誤用、名前の不一致により証明書エラーがある)、または信頼できない場合(認証局が確認できない)場合、接続はブロックされます。ブロッキング メッセージが表示されるため、ユーザは処理を選択する必要があります。
[信頼されていないサーバをブロック(Block Untrusted Servers)] アプリケーション設定は、セキュア ゲートウェイを識別できない場合、AnyConnect がどのように反応するかを決定します。この保護はデフォルトではオンです。ユーザはオフにできますが、これは推奨されません。
[信頼されていないサーバをブロック(Block Untrusted Servers)] がオンの場合、信頼できない VPN サーバをブロックするという通知によって、ユーザにセキュリティ上の脅威が警告されます。ユーザは以下を選択できます。
-
[安全を確保(Keep Me Safe)] を選択して、この接続を終わらせ、安全にしておきます。
-
[設定の変更(Change Settings)] を選択して、[信頼されていないサーバをブロック(Block Untrusted Servers)] アプリケーション プリファレンスをオフにします。ただし、これは推奨されません。ユーザがこのセキュリティ保護を無効にすると、VPN 接続を再起動しなくてはなりません。
[信頼されていないサーバをブロック(Block Untrusted Servers)] がオフの場合、信頼できない VPN サーバをブロックしないという通知によって、ユーザにセキュリティ上の脅威が警告されます。ユーザは以下を選択できます。
-
[キャンセル(Cancel)] を選択して、接続をキャンセルし、安全にしておきます。
-
[続行(Continue)] を選択して、接続を続行します。ただし、これは推奨されません。
-
[詳細の表示(View Details)] を選択して、証明書の詳細を表示して受け入れるかどうかを判断します。
ユーザが確認している証明書が有効であるが信頼できない場合、ユーザは次のことを実行できます。
-
再使用できるようにサーバ証明書を AnyConnect 証明書ストアにインポートし、[インポートおよび継続(Import and Continue)] を選択して接続を継続します。
AnyConnect ストアにこの証明書がインポートされると、このデジタル証明書を使用しているそのサーバに対する後続の接続は自動的に受け入れられます。
-
前の画面に戻り、[キャンセル(Cancel)] または [続行(Continue)] を選択します。
証明書が無効な場合、または何らかの理由で、ユーザが前の画面にだけ戻ることができる場合、[キャンセル(Cancel)] または [続行(Continue)] を選択します。
-
VPN 接続の最も安全な設定では、[信頼されていないサーバをブロック(Block Untrusted Servers)] の設定をオン(デフォルト設定)のままにし、自身のセキュア ゲートウェイで設定された(有効で信頼できる)サーバ証明書を所有し、モバイル ユーザには常に [安全を確保(Keep Me Safe)] を選択させる必要があります。
(注) |
[厳格な証明書トラスト(Strict Certificate Trust)] はこの設定を上書きします(以下の説明を参照)。 |
OCSP 失効
AnyConnect クライアントは OCSP(Online Certificate Status Protocol)をサポートします。これにより、OCSP レスポンダに要求を行い OCSP 応答を解析して証明書のステータスを取得することで、クライアントはリアルタイムで個々の証明書のステータスを照会できます。OCSP は、証明書チェーン全体を確認するために使用されます。OCSP レスポンダにアクセスする際、証明書ごとに 5 秒のタイムアウト間隔があります。
ユーザは Anyconnect 設定アクティビティで OCSP 検証を有効または無効にすることができます。詳細については、『 Cisco AnyConnect Secure Mobility Client の Android 向けユーザガイド リリース 4.6』を参照してください。MDM 管理者がリモートでこの機能を制御するために使用できる新しい API がフレームワークに追加されました。現在、Samsung と Google MDM がサポートされています。
厳格な証明書トラスト
ユーザーによって有効にされた場合、リモート セキュリティ ゲートウェイの認証時に AnyConnect は確認できない証明書を許可しません。これらの証明書を受け入れるようユーザにプロンプトを表示するのではなく、クライアントはセキュリティ ゲートウェイへの接続に失敗します。
(注) |
この設定は、[信頼されていないサーバをブロック(Block Untrusted Servers)] よりも優先されます。 |
オフにすると、クライアントはユーザに証明書を受け入れるように求めます。これはデフォルトの動作です。
以下の理由があるため、AnyConnect クライアントに対する厳格な証明書トラストを有効にすることを、強くお勧めします。
-
明確な悪意を持った攻撃が増えているため、ローカル ポリシーで厳格な証明書トラストを有効にすると、パブリック アクセス ネットワークなどの非信頼ネットワークからユーザが接続している場合に「中間者」攻撃を防ぐために役立ちます。
-
完全に検証可能で信頼できる証明書を使用する場合でも、AnyConnect クライアントは、デフォルトでは、未検証の証明書の受け入れをエンド ユーザに許可します。エンド ユーザが中間者攻撃の対象になった場合は、悪意のある証明書を受け入れるようエンド ユーザに求めます。エンド ユーザによるこの判断を回避するには、厳格な証明書トラストを有効にします。
モバイル デバイスでのクライアント認証
VPN 接続を完了するには、ユーザはユーザ名とパスワード、もしくはデジタル証明書、またはその両方の形式でクレデンシャルを提供して認証する必要があります。管理者は、トンネル グループの認証方式を定義します。モバイル デバイスでの最適なユーザ エクスペリエンスを達成するために、認証設定に応じて複数の AnyConnect 接続プロファイルを使用することをお勧めします。ユーザ エクスペリエンスとセキュリティのバランスを最適に保つ方法を決める必要があります。推奨事項は次のとおりです。
-
モバイル デバイスの AAA 対応認証トンネル グループについては、クライアントを再接続状態にし、ユーザが再認証しなくても済むよう、グループ ポリシーは 24 時間など非常に長時間のアイドル タイムアウトが必要になります。
-
最もトランスペアレントなユーザ エクスペリエンスを達成するには、証明書のみの認証を使用します。デジタル証明書を使用すると、VPN 接続は、ユーザとの対話なしで確立されます。
証明書を使用してセキュア ゲートウェイにモバイル デバイスを認証するため、エンド ユーザは、デバイスに証明書をインポートする必要があります。インポートすると、この証明書が自動証明書選択の対象として有効になり、特定の接続エントリに手動で関連付けることもできるようになります。証明書は、次の方法を使用してインポートされます。
SAML を使用した VPN 認証
最初のセッション認証に ASA リリース 9.7.1 と統合された SAML 2.0 を使用できます。AnyConnect 4.6 では、組み込みブラウザとの SAML 統合が拡張され、これが以前のリリースからのネイティブ(外部)ブラウザ統合に置き換わります。SAML 認証用に設定されたトンネル グループに接続するときに、AnyConnect は組み込みブラウザ ウィンドウを開いて認証プロセスを完了します。SAML 試行のたびに新しいブラウザ セッションが使用され、ブラウザ セッションは AnyConnect に固有のものとなります(セッション状態は、他のどのブラウザとも共有されません)。各 SAML 認証試行はセッション状態なしで始まりますが、試行間で永続クッキーが保持されます。
プラットフォーム固有の要件
-
Windows:Windows 7(またはそれ以降)、Internet Explorer 11(またはそれ以降)
-
macOS:macOS 10.10(またはそれ以降)(AnyConnect は、macOS 10.11 以降を公式にサポートしています)
-
Linux:WebKitGTK+ 2.1x(それ以降)、Red Hat 7.4(それ以降)および Ubuntu 16.04(それ以降)の公式パッケージ
アップグレード プロセス
ネイティブ(外部)ブラウザ搭載の SAML 2.0 は、AnyConnect 4.4 と AnyConnect 4.5、および ASA リリース 9.7.x、9.8.x、および 9.9.1 で使用できます。組み込みブラウザを搭載した新しい拡張バージョンを使用するには、AnyConnect 4.6 および ASA 9.7.1.24(またはそれ以降)、9.8.2.28(またはそれ以降)、または 9.9.2.1(またはそれ以降)へのアップグレードが必要です。
組み込みブラウザ SAML 統合を備えたヘッドエンドまたはクライアント デバイスをアップグレードまたは展開するときには、次のシナリオに注意してください。
-
AnyConnect 4.6 を最初に展開した場合は、他に何も操作しなくても、ネイティブ(外部)ブラウザと組み込みブラウザの両方の SAML 統合が想定どおりに機能します。AnyConnect を最初に展開するときでも、AnyConnect 4.6 は既存の ASA バージョンも更新された ASA バージョンもサポートします。
-
更新された ASA バージョン(組み込みブラウザ SAML 統合を搭載)を最初に展開する場合は、続いて AnyConnect をアップグレードする必要があります。デフォルトでは、更新された ASA リリースは、AnyConnect 4.6 よりも前のリリースのネイティブ(外部)ブラウザ SAML 統合と後方互換性がないためです。認証後に既存の AnyConnect 4.4 または 4.5 クライアントのアップグレードが発生し、このアップグレードを行うためには、トンネル グループ設定で saml external-browser コマンドを有効にする必要があります。
SAML を使用する場合は、次の注意事項に従ってください。
-
フェールオーバー モードで常時接続の VPN を使用している場合、外部 SAML IdP はサポートされていません(ただし、内部 SAML IdP を使用すると、ASA はすべてのトラフィックを IdP にプロキシします。また、ASA はサポートされています)。
-
信頼できないサーバ証明書は、組み込みブラウザでは許可されません。
-
組み込みブラウザ SAML 統合は、CLI モードまたは SBL モードではサポートされません。
-
(モバイルのみ)単一ログアウトはサポートされていません。
-
Web ブラウザに確立された SAML 認証は AnyConnect と共有されず、その逆も同じです。
-
設定に応じて、組み込みブラウザ搭載のヘッドエンドに接続するときに、さまざまな方法が使用されます。たとえば、AnyConnect では IPv6 接続よりも IPv4 接続の方が好ましく、組み込みブラウザでは IPv6 の方が好ましい場合もあります。あるいは、その逆もあります。同じく、プロキシを試して障害が発生したのに AnyConnect がどのプロキシにもフォールバックしない場合もあれば、プロキシを試して障害が発生した後で組み込みブラウザがナビゲーションを停止する場合もあります。
-
SAML 機能を使用するためには、ASA の Network Time Protocol(NTP)サーバを IdP NTP サーバと同期する必要があります。
-
ASDM の VPN ウィザードは現在、SAML 設定をサポートしていません。
-
SAML IdP NameID 属性は、ユーザのユーザ名を特定し、認証、アカウンティング、および VPN セッション データベースに使用されます。
-
ユーザが SAML 経由で VPN セッションを確立するたびにアイデンティティ プロバイダー(IdP)による再認証を行う場合は、AnyConnect プロファイル エディタ、プリファレンス(Part 1)で [自動再接続(Auto Reconnect)] を ReconnectAfterResume に設定する必要があります。
-
組み込みブラウザ搭載の AnyConnect は VPN 試行のたびに新しいブラウザ セッションを使用するため、IDP が HTTP セッション クッキーを使用してログオン状態を追跡している場合には、毎回ユーザの再認証が必要になります。この場合、
の [強制再認証(Force Re-Authentication)] は、AnyConnect が開始した SAML 認証には影響しません。
設定の詳細については、適切なリリース(9.7 以降)の『Cisco ASA Series VPN Configuration Guide』の「SSO Using SAML 2.0」の項を参照してください。
モバイル デバイスでのローカリゼーション
Android および Apple iOS 用 AnyConnect Secure Mobility Client は、ローカリゼーションをサポートし、AnyConnect ユーザ インターフェイスやメッセージをユーザのロケールに適用しています。
パッケージ済みのローカリゼーション
AnyConnect Android および Apple iOS アプリには、次の言語訳が含まれます。
-
カナダ フランス語(fr-ca)
-
中国語(台湾)(zh-tw)
-
チェコ語(cs-cz)
-
オランダ語(nl-nl)
-
フランス語(fr-fr)
-
ドイツ語(de-de)
-
ハンガリー語(hu-hu)
-
イタリア語(it-it)
-
日本語(ja-jp)
-
韓国語(ko-kr)
-
中南米スペイン語(es-co)
-
ポーランド語(pl-pl)
-
ポルトガル語(ブラジル)(pt-br)
-
ロシア語(ru-ru)
-
簡体字中国語(zh-cn)
-
スペイン語(es-es)
AnyConnect のインストール時には、これらの言語のローカリゼーション データがモバイル デバイスにインストールされます。モバイル デバイスで指定されている地域に従って、表示される言語が決定します。AnyConnect は最適なものを判断するため、言語仕様を使用してから、リージョン仕様を使用します。たとえば、インストール後にロケール設定をスイス フランス語(fr-ch)にすると、カナダ フランス語(fr-ca)表示になります。AnyConnect の UI とメッセージは、AnyConnect の起動時に変換されます。
ダウンロードされたローカリゼーション
AnyConnect パッケージにはない言語に関して、管理者は、AnyConnect VPN 接続のデバイスにダウンロードされるローカライズ データを ASA に追加します。
シスコでは、ローカライズ可能な AnyConnect 文字列をすべて含む anyconnect.po ファイルを Cisco.com の製品ダウンロード センターで提供しています。AnyConnect 管理者は、anyconnect.po ファイルをダウンロードし、使用可能な文字列を翻訳してから、ASA にファイルをアップロードします。anyconnect.po ファイルを ASA にすでにインストールしている AnyConnect 管理者は、この更新バージョンをダウンロードしてください。
初期状態では、AnyConnect ユーザ インターフェイスおよびメッセージがインストールした言語でユーザに表示されます。デバイス ユーザが ASA への初めての接続を確立すると、AnyConnect では、デバイスの優先言語と ASA 上で使用可能なローカリゼーション言語が比較されます。一致するローカリゼーション ファイルが検索されると、ローカライズされたファイルがダウンロードされます。ダウンロードが完了すると、AnyConnect は anyconnect.po ファイルに追加された変換文字列を使用してユーザ インターフェイスおよびユーザ メッセージを表示します。文字列が翻訳されていない場合、AnyConnect ではデフォルトの英語文字列が表示されます。
ASA でのローカリゼーションの設定手順については、「適応型セキュリティ アプライアンスへの変換テーブルのインポート」を参照してください。ASA にデバイスのロケールのローカリゼーション データが含まれていない場合、AnyConnect アプリケーション パッケージにプリインストールされたローカリゼーション データを引き続き使用します。
モバイル デバイスにローカリゼーションを提供するその他の方法
ユーザに URI リンクを提供することにより、AnyConnect UI とメッセージのローカライズを実行します。
モバイル デバイスのユーザに、所有するデバイスでのローカリゼーション データの管理を依頼します。次のローカリゼーション アクティビティを実行する手順については、該当するユーザ ガイドを参照してください。
-
指定したサーバからのローカリゼーション データのインポート。ユーザは、ローカリゼーション データのインポートを選択し、セキュア ゲートウェイのアドレスとロケールを指定します。ロケールは ISO 639-1 で指定されており、適用可能な場合には国コードが追加されます(たとえば、en-US、fr-CA、ar-IQ など)。このローカリゼーション データは、インストールされたローカリゼーション データの代わりに使用されます。
-
デフォルトのローカリゼーション データのリストア。AnyConnect パッケージから事前ロードされたローカリゼーション データの使用を復元し、インポートされたローカリゼーション データをすべて削除します。
適応型セキュリティ アプライアンスへの変換テーブルのインポート
手順
ステップ 1 |
www.cisco.com から目的の変換テーブルをダウンロードします。 |
ステップ 2 |
ASDM で、 に移動します。 |
ステップ 3 |
[インポート(Import)] をクリックします。[言語ローカリゼーション エントリのインポート(Import Language Localization Entry)] ウィンドウが表示されます。 |
ステップ 4 |
ドロップダウン リストから適切な言語を選択します。 |
ステップ 5 |
変換テーブルのインポート元を指定します。 |
ステップ 6 |
[今すぐインポート(Import Now)] をクリックします。この変換テーブルが、この優先言語で AnyConnect クライアントに展開されます。ローカリゼーションは、AnyConnect がリスタートし、再接続した後に適用されます。 |
(注) |
非モバイルデバイスで実行される AnyConnect の場合、Cisco Secure Desktop が使用されていない場合でも、ホストスキャンメッセージがローカライズされるためには、適応型セキュリティアプライアンスに Cisco Secure Desktop 変換テーブルもインポートする必要があります。 |
モバイル デバイスでの FIPS および Suite B 暗号化
モバイル デバイス向け AnyConnect には、Cisco Common Cryptographic Module(C3M)が組み込まれています。これは、新世代の暗号化(NGE)アルゴリズムの一部として FIPS 140-2 に準拠した暗号化モジュールや NSA Suite B 暗号化が含まれる Cisco SSL の実装です。Suite-B 暗号化は、IPSec VPN でのみ使用可能です。FIPS 準拠の暗号化は、IPSec VPN および SSL VPN の両方で使用可能です。
暗号化アルゴリズムを使用すると、接続の間、ヘッドエンド ルータとネゴシエートされます。ネゴシエーションは、VPN 接続の両端の機能によって異なります。したがって、セキュア ゲートウェイは、FIPS に準拠する暗号化および Suite B の暗号化をサポートする必要があります。
ユーザは、AnyConnect アプリケーション設定の FIPS モードを有効にすることで、ネゴシエーションにおいて NGE アルゴリズムだけを受け入れるように AnyConnect を設定します。FIPS モードが無効の場合、AnyConnect は VPN 接続の非 FIPS 暗号アルゴリズムも受け入れます。
モバイルのその他のガイドラインと制限事項
-
Apple iOS 5.0 以降が Suite B の暗号化に必要です。これは Suite B で使用される ECDSA の証明書をサポートする Apple iOS の最も低いバージョンです。
-
Android 4.0(Ice Cream Sandwich)以降が Suite B の暗号化に必要です。これは、SuiteB で使用される ECDSA の証明書をサポートする Android の最も低いバージョンです。
-
FIPS モードで動作しているデバイスには、プロキシ方式または従来の方法でデジタル証明書をモバイル ユーザに提供するための SCEP の使用との互換性がありません。状況に応じた展開計画を立ててください。