Table of Contents
AnyConnect Secure Mobility Client リリー ス 4.7 の機能、ライセンス、および OS
サポートされるオペレーティング システム
ライセンス オプション
AnyConnect Plus および Apex ライセンス
機能マトリクス
AnyConnect の導入および設定
AnyConnect のコア VPN クライアント
コア機能
接続機能および切断機能
認証および暗号化機能
インターフェイス
AnyConnect ネットワーク アクセス マネージャ
AnyConnect Secure Mobility のモジュール
Hostscan およびポスチャ アセスメント
ISE ポスチャ
Web セキュリティ
AMP イネーブラ
ネットワーク可視性モジュール
Umbrella ローミング セキュリティ モジュール
レポート モジュールおよびトラブルシューティング モジュール
カスタマー エクスペリエンスのフィードバック
Diagnostic and Reporting Tool(DART)
AnyConnect Secure Mobility Client リリース 4.7 の機能、ライセンス、および OS
このマニュアルでは、AnyConnect Release 4.7 の機能、ライセンス要件、および AnyConnect 機能がサポートするエンドポイント オペレーティング システムについて説明します。
サポートされるオペレーティング システム
AnyConnect Secure Mobility Client 4.7 は、次のオペレーティング システムをサポートします。
Windows
現在の Microsoft Windows 10 x86 (32 ビット) と x64 (64 ビット) のバージョンのサポート
Windows 8.1 x86(32 ビット)および x64(64 ビット)
Windows 8 x86(32 ビット)および x64(64 ビット)
Windows 7 SP1 x86(32 ビット)および x64(64 ビット)
macOS
macOS 10.12、10.13*、および 10.14 (64 ビット)
Linux
Red Hat 6 および 7(64 ビット)
Ubuntu 16.04(LTS)および 18.04(LTS)(すべて 64 ビット)
* macOS 10.13(High Sierra)で AnyConnect を使用するには、手動のプロセスに従って AnyConnect の完全な機能を活用する必要があります。AnyConnect 4.5.02033 では、手順を案内するために警告が表示されます。AnyConnect 4.5.02033 のインストール時には、このカーネル拡張を有効にする場合はセキュリティとプライバシーのシステム設定を開く必要があるという、「システム拡張機能がブロックされました(System Extension Blocked)」のメッセージが表示されます。このメッセージで [OK] をクリックすると、ウィンドウがポップアップで開き、システム拡張を有効にするために必要な注意についての詳細が示されます。このウィンドウでは、[設定を開く(Open Preferences)]
を実行し、[セキュリティとプライバシー(Security & Privacy)] 画面でシスコのシステム ソフトウェアを [許可(Allow)]
することが求められます。
macOS 10.12 では、AnyConnect リリース 4.3.3086 および 4.2.6014 以降のリリースが必要です。
(注 ) シスコでは、現在 Windows XP 用の AnyConnect リリースをサポートしていません。
OS の要件およびサポート ノートについては、『Release Notes for Cisco AnyConnect Secure Mobility Client』を参照してください。ライセンス契約条件については、『Supplemental End User Agreement (SEULA)』を参照してください。発注の詳細と各種ライセンスに特有の契約条件については、『Cisco AnyConnect Ordering Guide』を参照してください。
AnyConnect モジュールおよび機能に適用されるライセンス情報およびオペレーティング システムの制限については、下記の機能マトリクスを参照してください。
AnyConnect 4.3(およびそれ以降)は Visual Studio(VS)2015 ビルド環境に移行しており、そのネットワーク アクセス マネージャ モジュールが機能するためには VS 再頒布可能ファイルが必要です。これらのファイルは、インストール パッケージの一部としてインストールされます。.msi ファイルを使用して、4.3(またはそれ以降)にネットワーク アクセス マネージャ モジュールをアップグレードできますが、最初に AnyConnect セキュア モビリティ クライアントをアップグレードし、リリース 4.3(またはそれ以降)を実行する必要があります。
また、AnyConnect Umbrella ローミング セキュリティ モジュールの追加には、Microsoft.NET 4.0 が必要です。
ライセンス オプション
AnyConnect セキュア モビリティ クライアント 4.7 を使用するには、AnyConnect Plus ライセンスまたは AnyConnect Apex ライセンスを購入する必要があります。必要なライセンスは、使用する予定の AnyConnect VPN Client および Secure Mobility の機能と、サポートするセッションの数によって異なります。これらのユーザベースのライセンスには、一般的な BYOD のトレンドに合わせたサポートとソフトウェア更新へのアクセスが含まれます。
AnyConnect 4.7 ライセンスは Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス(ASA)、サービス統合型ルータ(ISR)、クラウド サービス ルータ(CSR)、および Aggregated Services Router(ASR)と、Identity Services Engine(ISE)、クラウド Web セキュリティ(CWS)、および Web セキュリティ アプライアンス(WSA)などのその他の非 VPN ヘッドエンドで使用されます。ヘッドエンドに関係なく一貫したモデルが使用されるため、ヘッドエンドの移行が発生した場合も影響はありません。
導入には次の AnyConnect ライセンスが 1 つまたは複数必要になる場合があります。
AnyConnect Plus
PC やモバイル プラットフォーム(AnyConnect および標準ベースの IPsec IKEv2 ソフトウェア クライアント)の VPN 機能、FIPS、基本的なエンドポイント コンテキスト コレクション、802.1x Windows サプリカント、および Web セキュリティ SSL VPN などの基本的な AnyConnect 機能をサポートします。Plus ライセンスは、以前に AnyConnect Essentials ライセンスで提供されていた環境と、ネットワーク アクセス マネージャまたは Web セキュリティ モジュールのユーザに最適です。
AnyConnect Apex
クライアントレス VPN、VPN ポスチャ エージェント、統一されたポスチャ エージェント、次世代暗号化/Suite B、SAML、すべての Plus サービスと Flex ライセンスなどの高度な機能に加えて、すべての基本的な AnyConnect Plus 機能もサポートします。Apex ライセンスは、以前に AnyConnect Premium、Shared、Flex、および Advanced Endpoint Assessment ライセンスで提供されていた環境に最適です。
VPN のみ(永久)
PC およびモバイル プラットフォームのための VPN 機能、ASA でのクライアントレス(ブラウザベース)VPN ターミネーション、ASA にともなう VPN のみのコンプライアンスおよびポスチャ エージェント、FIPS コンプライアンス、ならびに AnyConnect およびサードパーティ IKEv2 VPN クライアントでの次世代暗号化(Suite B)をサポートします。VPN のみのライセンスは、AnyConnect をリモート アクセス VPN サービスのみに使用する必要があるものの、ユーザの総数が多かったり予測不能であったりする環境に最適です。AnyConnect のその他の機能またはサービス(Web セキュリティ モジュール、Cisco Umbrella ローミング、ISE ポスチャ、ネットワーク可視性モジュール、またはネットワーク アクセス マネージャなど)は、このライセンスでは使用できません。
AnyConnect Plus および Apex ライセンス
Cisco Commerce Workspace Web サイトから、サービス階層(Apex または Plus)と期間(1、3、または 5 年)を選択します。必要なライセンスの数は、AnyConnect を使用する一意のユーザまたは許可されたユーザの数に基づきます。AnyConnect 4.7 のライセンスは同時接続に基づいて付与されるものではありません。同じ環境に Apex ライセンスと Plus ライセンスを混在させることができ、ユーザごとに必要なライセンスの数は 1 つのみです。
AnyConnect 4.7 のライセンスをお持ちのお客様は、以前のリリースの AnyConnect もご利用になれます。
機能マトリクス
AnyConnect 4.7 のモジュールおよび機能と、最小リリース要件、ライセンス要件、およびサポートされるオペレーティング システムを次の項に示します。
–コア機能
–接続機能および切断機能
–認証および暗号化機能
–インターフェイス
–Hostscan およびポスチャ アセスメント
–ISE ポスチャ
–カスタマー エクスペリエンスのフィードバック
–Diagnostic and Reporting Tool(DART)
AnyConnect の導入および設定
遅延アップグレード
ASA 9.0
ASDM 7.0
Plus
〇
〇
〇
Windows サービスのロックダウン
ASA 8.0(4)
ASDM 6.4(1)
Plus
〇
×
×
ポリシー、ソフトウェア、プロファイル ロックの更新
ASA 8.0(4)
ASDM 6.4(1)
Plus
〇
〇
〇
自動更新
ASA 8.0(4)
ASDM 6.3(1)
Plus
〇
〇
〇
Web 起動
(32 ビット ブラウザのみ)
ASA 8.0(4)
ASDM 6.3(1)
Plus
〇
〇
〇
事前展開
ASA 8.0(4)
ASDM 6.3(1)
Plus
〇
〇
〇
クライアント プロファイルの自動更新
ASA 8.0(4)
ASDM 6.4(1)
Plus
〇
〇
〇
AnyConnect プロファイル エディタ
ASA 8.4(1)
ASDM 6.4(1)
Plus
〇
〇
〇
ユーザ制御可能な機能
ASA 8.0(4)
ASDM 6.3(1)
Plus
〇
〇
×
AnyConnect のコア VPN クライアント
コア機能
SSL(TLS および DTLS)(アプライアンスごとの VPN を含む)
ASA 8.0(4)
ASDM 6.3(1)
Plus
〇
〇
〇
TLS 圧縮
ASA 8.0(4)
ASDM 6.3(1)
Plus
〇
〇
〇
DTLS の TLS へのフォールバック
ASA 8.4.2.8
ASDM 6.3(1)
Plus
〇
〇
〇
IPsec/IKEv2
ASA 8.4(1)
ASDM 6.4(1)
Plus
〇
〇
〇
スプリット トンネリング
ASA 8.0(x)
ASDM 6.3(1)
Plus
〇
〇
〇
ダイナミック スプリット トンネリング
ASA 9.0
Plus、Apex、または VPN のみ
〇
〇
×
強化されたダイナミック スプリット トンネリング
ASA 9.0
Plus、Apex、または VPN のみ
〇
〇
×
スプリット DNS
ASA 8.0(4)
ASDM 6.3(1)
Plus
〇
〇
×
ブラウザ プロキシの無視
ASA 8.3(1)
ASDM 6.3(1)
Plus
〇
〇
×
Proxy Auto Config(PAC)ファイルの生成
ASA 8.0(4)
ASDM 6.3(1)
Plus
〇
×
×
Internet Explorer の [接続(Connections)] タブのロック
ASA 8.0(4)
ASDM 6.3(1)
Plus
〇
×
×
最適ゲートウェイ選択
ASA 8.0(4)
ASDM 6.3(1)
Plus
〇
〇
×
Global Site Selector(GSS)の互換性
ASA 8.0(4)
ASDM 6.4(1)
Plus
〇
〇
〇
ローカル LAN へのアクセス
ASA 8.0(4)
ASDM 6.3(1)
Plus
〇
〇
〇
同期化のためのクライアント ファイアウォール ルールによるテザー デバイスのアクセス
ASA 8.3(1)
ASDM 6.3(1)
Plus
〇
〇
〇
クライアント ファイアウォール ルールによるローカル プリンタのアクセス
ASA 8.3(1)
ASDM 6.3(1)
Plus
〇
〇
〇
IPv6
ASA 9.0
ASDM 7.0
Plus
〇
〇
×
さらなる IPv6 の実装
ASA 9.7.1
ASDM 7.7.1
Plus
〇
〇
〇
証明書のピン留め
依存関係なし
Plus、Apex、または VPN のみ
〇
〇
〇
管理 VPN トンネル
ASA 9.0
ASDM 7.10.1
Apex
〇
〇
×
接続機能および切断機能
クライアントレス接続と AnyConnect 接続の同時使用
ASA8.0(4)
ASDM 6.3(1)
Apex
〇
〇
〇
Start Before Logon(SBL)
ASA 8.0(4)
ASDM 6.3(1)
Plus
〇
×
×
接続時および切断時のスクリプト実行
ASA 8.0(4)
ASDM 6.3(1)
Plus
〇
〇
〇
接続時の最小化
ASA 8.0(4)
ASDM 6.3(1)
Plus
〇
〇
〇
起動時の自動接続
ASA 8.0(4)
ASDM 6.3(1)
Plus
〇
〇
〇
自動再接続(システムの一時停止で切断、システムの再開で再接続)
ASA 8.0(4)
ASDM 6.3(1)
Plus
〇
〇
×
リモート ユーザ VPN 確立(許可または拒否)
ASA 8.0(4)
ASDM 6.3(1)
Plus
〇
×
×
ログオン実行(別のユーザがログインすると、VPN セッションを終了)
ASA 8.0(4)
ASDM 6.3(1)
Plus
〇
×
×
VPN セッションの維持(ユーザがログオフし、その後このユーザまたは別のユーザがログインした場合)
ASA 8.0(4)
ASDM 6.3(1)
Plus
〇
×
×
Trusted Network Detection(TND)
ASA 8.0(4)
ASDM 6.3(1)
Plus
〇
〇
〇
常時オン(ネットワークにアクセスするには、VPN を接続する必要がある)
ASA 8.0(4)
ASDM 6.3(1)
Plus
〇
〇
×
DAP による常時オン除外
ASA 8.3(1)
ASDM 6.3(1)
Plus
〇
〇
×
接続障害ポリシー(VPN 接続に障害が発生した場合、インターネット アクセスを許可または不許可)
ASA 8.0(4)
ASDM 6.3(1)
Plus
〇
〇
×
キャプティブ ポータルの検出
ASA 8.0(4)
ASDM 6.3(1)
Plus
〇
〇
〇
キャプティブ ポータルの修復
ASA 8.0(4)
ASDM 6.3(1)
Plus
〇
〇
×
強化されたキャプティブ ポータル修復
依存関係なし
Plus
〇
×
×
認証および暗号化機能
証明書のみの認証
ASA 8.0(4)
ASDM 6.3(1)
Plus
〇
〇
〇
RSA SecurID/SoftID の統合
Plus
〇
×
×
スマートカードのサポート
Plus
〇
〇
×
SCEP(マシン ID を使用する場合はポスチャ モジュールが必要)
Plus
〇
〇
×
証明書の一覧表示および選択
Plus
〇
×
×
FIPS
Plus
〇
〇
〇
IPsec IKEv2 の SHA-2(デジタル署名、整合性、および PRF)
ASA 8.0(4)
ASDM 6.4(1)
Plus
〇
〇
〇
強力な暗号化(AES-256 およびトリプル DES 168)
Plus
〇
〇
〇
NSA Suite-B(IPsec のみ)
ASA 9.0
ASDM 7.0
Apex
〇
〇
〇
CRL チェックの有効化
適用対象外
Apex
〇
×
×
SAML 2.0 SSO
ASA 9.7.1
ASDM 7.7.1
Apex または VPN のみ
〇
〇
〇
強化された SAML 2.0
ASA 9.7.1.24 ASA 9.8.2.28 ASA 9.9.2.1
Apex または VPN のみ
〇
〇
〇
複数の証明書の認証
ASA 9.7.1
ASDM 7.7.1
Plus、Apex、または VPN のみ
〇
〇
〇
インターフェイス
GUI
ASA 8.0(4)
ASDM 6.3(1)
Plus
〇
〇
〇
コマンド ライン
〇
〇
〇
API
〇
〇
〇
Microsoft コンポーネント オブジェクト モジュール(COM)
〇
×
×
ユーザ メッセージのローカリゼーション
〇
〇
×
カスタム MSI トランスフォーム
〇
×
×
ユーザ定義リソース ファイル
〇
〇
×
クライアント ヘルプ
ASA 9.0
ASDM 7.0
〇
〇
〇
AnyConnect ネットワーク アクセス マネージャ
コア
ASA 8.4(1)
ASDM 6.4(1)
Plus
〇
×
×
IEEE 802.3 の有線サポート
〇
IEEE 802.11 の無線サポート
〇
事前ログオンおよびシングル サインオン認証
〇
IEEE 802.1X
〇
IEEE 802.1AE MACsec
〇
EAP メソッド
〇
FIPS 140-2 レベル 1
〇
モバイル ブロードバンドのサポート
ASA 8.4(1)
ASDM 7.0
〇
IPv6
ASA 9.0
ASDM 7.0
〇
NGE および NSA Suite-B
〇
VPN 接続の TLS 1.2*
適用対象外
〇
×
×
* RADIUS サーバとして ISE を使用する場合は、次のガイドラインに注意してください。
ISE は、リリース 2.0 で TLS 1.2 のサポートを開始しています。TLS 1.2 を使用した AnyConnect 4.7 バージョンと 2.0 より以前の ISE リリースを使用する場合、Network Access Manager と ISE は TLS 1.0 とネゴシエートします。そのため、AnyConnect Network Access Manager を 4.7 にアップグレードし、RADIUS サーバに ISE 2.0(またはそれ以降)を使用した EAP-FAST を使用すると、ISE リリース 2.4p5 にアップグレードする必要があります。
AnyConnect Secure Mobility のモジュール
Hostscan およびポスチャ アセスメント
エンドポイント アセスメント
ASA 8.0(4)
ASDM 6.3(1)
Apex
〇
〇
〇
エンドポイント修復
Apex
〇
〇
〇
検疫
Apex
〇
〇
〇
検疫のステータスおよび中止メッセージ
ASA 8.3(1)
ASDM 6.3(1)
Apex
〇
〇
〇
HostScan パッケージの更新
ASA 8.4(1)
ASDM 6.4(1)
Apex
〇
〇
〇
ホスト エミュレーション検出
Apex
〇
×
×
OPSWAT v4
ASA 9.9(1)
ASDM 7.9(1)
Apex
〇
〇
〇
ISE ポスチャ
認可変更(CoA)
4.0
ASA 9.2.1
ASDM 7.2.1
2.0
Plus
〇
〇
〇
ISE ポスチャ プロファイル エディタ
4.0
ASA 9.2.1
ASDM 7.2.1
適用対象外
Apex
〇
〇
〇
AC Identity Extensions(ACIDex)
4.0
適用対象外
2.0
Plus
〇
〇
〇
ISE ポスチャ モジュール
4.0
適用対象外
2.0
Apex
〇
〇
×
USB 大容量ストレージ デバイス(v4 のみ)の検出
4.3
適用対象外
2.1
Apex
〇
×
×
OPSWAT v4
4.3
適用対象外
2.1
Apex
〇
〇
×
ポスチャのステルス エージェント
4.4
適用対象外
2.2
Apex
〇
〇
×
エンドポイントの継続的モニタリング
4.4
適用対象外
2.2
Apex
〇
〇
×
次世代のプロビジョニングおよびディスカバリ
4.4
適用対象外
2.2
Apex
〇
〇
×
アプリケーションの強制終了およびアンインストール機能
4.4
適用対象外
2.2
Apex
〇
〇
×
Cisco Temporal Agent
4.5
適用対象外
2.3
ISE Apex
〇
〇
×
強化された SCCM アプローチ
4.5
適用対象外
2.3
AC Apex および ISE Apex
〇
×
×
オプション モードのポスチャ ポリシー拡張機能
4.5
適用対象外
2.3
AC Apex および ISE Apex
〇
〇
×
プロファイル エディタでの定期的なプローブの間隔
4.5
適用対象外
2.3
AC Apex および ISE Apex
〇
〇
×
ハードウェア インベントリの可視性
4.5
適用対象外
2.3
AC Apex および ISE Apex
〇
〇
×
非準拠デバイスの猶予期間
4.6
適用対象外
2.4
AC Apex および ISE Apex
〇
〇
×
ポスチャの再スキャン
4.6
適用対象外
2.4
AC Apex および ISE Apex
〇
〇
×
AnyConnect ステルス モード通知
4.6
適用対象外
2.4
AC Apex および ISE Apex
〇
〇
×
UAC プロンプトの無効化
4.6
適用対象外
2.4
AC Apex および ISE Apex
〇
×
×
猶予期間の拡張
4.7
適用対象外
2.6
AC Apex および ISE Apex
〇
〇
×
カスタム通知制御と修復ウィンドウの revamp
4.7
適用対象外
2.6
AC Apex および ISE Apex
〇
〇
×
警告
非互換性警告:2.0 以上を実行している ISE のお客様は、次に進む前にこちらをお読みください。
ISE RADIUS はリリース 2.0 以降 TLS 1.2 をサポートしてきましたが、CSCvm03681 により追跡される TLS 1.2 を使用した EAP-FAST の ISE 導入に不具合が見つかりました。ISE の 2.4p5 リリースで不具合が修正されました。
上記のリリースより以前の TLS 1.2 をサポートする ISE の EAP-FAST を使用して、NAM 4.7 が認証に使用される場合、認証は失敗し、エンドポイントはネットワークにアクセスできません。
Web セキュリティ
コア
ASA 8.4(1)
ASDM 6.4(1)
Plus
〇
〇
〇
×
Cloud-Hosted 設定
セキュアな Trusted Network Detection
ASA 8.4(1)
ASDM 7.0
動的設定要素
フェール クローズ/フェール オープン ポリシー
AMP イネーブラ
AMP イネーブラ
ASDM 7.4.2
ASA 9.4.1
ISE 1.4
Plus
〇
〇
×
ネットワーク可視性モジュール
ネットワーク可視性モジュール
ASDM 7.5.1
ASA 9.5.1
ISE 依存関係なし
Apex
〇
〇
〇
データ送信レートへの調整
ASDM 7.5.1
ASA 9.5.1
ISE 依存関係なし
Apex
〇
〇
〇
NVM タイマーのカスタマイズ
ASDM 7.5.1
ASA 9.5.1
ISE 依存関係なし
Apex
〇
〇
〇
データ収集のブロードキャストおよびマルチキャスト オプション
ASDM 7.5.1
ASA 9.5.1
ISE 依存関係なし
Apex
〇
〇
〇
匿名プロファイルの作成
ASDM 7.5.1
ASA 9.5.1
ISE 依存関係なし
Apex
〇
〇
〇
より広範囲なデータ収集とハッシュによる匿名化
ASDM 7.7.1
ASA 9.7.1
ISE 依存関係なし
Apex
〇
〇
〇
コンテナとしての Java のサポート
ASDM 7.7.1
ASA 9.7.1
ISE 依存関係なし
Apex
〇
〇
〇
カスタマイズするキャッシュの設定
ASDM 7.7.1
ASA 9.7.1
ISE 依存関係なし
Apex
〇
〇
〇
定期的なフロー レポート
ASDM 7.7.1
ASA 9.7.1
ISE 依存関係なし
Apex
〇
〇
〇
フロー フィルタ
適用対象外
ISE 依存関係なし
Apex
〇
〇
〇
レポート モジュールおよびトラブルシューティング モジュール
カスタマー エクスペリエンスのフィードバック
カスタマー エクスペリエンスのフィードバック
ASA 8.4(1)
ASDM 7.0
Plus
〇
〇
×
Diagnostic and Reporting Tool(DART)
VPN
ASA 8.0(4)
ASDM 6.3(1)
Plus
Apex
〇
〇
〇
ネットワーク アクセス マネージャ
ASA 8.4(1)
ASDM 6.4(1)
〇
×
×
ポスチャ アセスメント
〇
〇
〇
Web セキュリティ
〇
〇
×
このマニュアルで使用している IP アドレスと電話番号は、実際のアドレスと電話番号を示すものではありません。マニュアル内の例、コマンド表示出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。
© 2019 Cisco Systems, Inc. All Rights Reserved.