この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
Cisco Jabber for iPhone and iPad を展開するためのオプションについて説明します。
オンプレミス展開とは、社内ネットワークのすべてのサービスをセットアップ、管理、保守する展開です。
デフォルトの製品モードは、ユーザのプライマリ認証がプレゼンス サーバに対して行われるモードです。
少なくとも、Cisco Jabber for iPhone and iPad ユーザはインスタント メッセージとプレゼンス機能を利用できます。 また、ユーザは音声、ビデオ、ボイスメール、会議を利用することも可能です。
次のモードでクライアントを展開できます。
フル UC モードで展開するには、インスタント メッセージとプレゼンス機能を有効にします。 その後、ボイスメールと会議の機能に加えて、音声とビデオ用のデバイスをユーザにプロビジョニングします。
IM 専用モードで展開するには、インスタント メッセージとプレゼンス機能を有効にします。 デバイスをユーザにプロビジョニングしません。
フル UC 機能のオンプレミス展開のアーキテクチャ図を確認してください。
フル UC および IM 専用の展開は、どちらもユーザのプライマリ認証ソースとしてプレゼンス サーバを必要とします。 ただし、IM 専用の展開はインスタント メッセージとプレゼンス機能だけを必要とします。 IM 専用の展開では、デバイスをユーザにプロビジョニングする必要はありません。
このトピックでは、Cisco Unified Presence リリース 8.6 について述べます。
次の図は、Cisco Unified Presence を含むオンプレミス展開のアーキテクチャを図示したものです。
以下は、オンプレミス展開で使用できるサービスです。
Cisco Unified Presence を介してユーザはアベイラビリティを公開し、他のユーザのアベイラビリティを登録できます。
Cisco Unified Presence を介してユーザはインスタント メッセージを送受信できます。
Cisco Unified Communications Manager を介してユーザはモバイル デバイス経由で音声通話を発信できます。
Cisco Unified Communications Manager を介してユーザはビデオ通話を発信できます。
Cisco Unity Connection を介してユーザはボイス メッセージを送受信できます。
次のいずれかと統合します。
ホステッド会議機能を実現します。
社内会議機能を提供します。
オンプレミス展開における連絡先ソースの詳細については、「連絡先ソース」のトピックを参照してください。
このトピックは、Cisco Unified Communications Manager IM and Presence リリース 9.0 以降に該当します。
次の図は、Cisco Unified Communications Manager IM and Presence を含むオンプレミス展開のアーキテクチャを図示したものです。
以下は、オンプレミス展開で使用できるサービスです。
Cisco Unified Communications Manager IM and Presence を介してユーザはアベイラビリティを公開し、他のユーザのアベイラビリティを登録できます。
Cisco Unified Communications Manager IM and Presence を介してユーザはインスタント メッセージを送受信できます。
Cisco Unified Communications Manager を介してユーザはモバイル デバイス経由で音声通話を発信できます。
Cisco Unified Communications Manager を介してユーザはビデオ通話を発信できます。
Cisco Unity Connection を介してユーザはボイス メッセージを送受信できます。
次のいずれかと統合します。
ホステッド会議機能を提供します。
社内会議機能を提供します。
オンプレミス展開における連絡先ソースの詳細については、「連絡先ソース」のトピックを参照してください。
クラウドベース展開は、Cisco WebEx がサービスをホストする展開の 1 つです。 クラウドベース展開の管理およびモニタは Cisco WebEx 管理ツール を使用して行います。
以下は、クラウドベース展開で使用できるサービスです。
Cisco WebEx Messenger サービスは、連絡先を解決します。
Cisco WebEx Messenger サービスは、ユーザがアベイラビリティを公開し、他のユーザのアベイラビリティを登録できるようにします。
Cisco WebEx Messenger サービスは、ユーザがインスタント メッセージを送受信できるようにします。
Cisco WebEx Meeting Center は、ホステッド会議機能を提供します。
以下は、ハイブリッド クラウドベース展開で使用できるサービスです。
Cisco WebEx Messenger サービスは、連絡先を解決します。
Cisco WebEx Messenger サービスは、ユーザがアベイラビリティを公開し、他のユーザのアベイラビリティを登録できるようにします。
Cisco WebEx Messenger サービスは、ユーザがインスタント メッセージを送受信できるようにします。
Cisco WebEx Meeting Center は、ホステッド会議機能を提供します。
Cisco Unified Communications Manager を介してユーザはモバイル デバイス経由で音声通話を発信できます。
Cisco Unified Communications Manager を介してユーザはビデオ通話を発信できます。
Cisco Unity Connection を介してユーザはボイス メッセージを送受信できます。
サービスに接続するために必要な情報をクライアントに提供するために使用するべき方式は、展開タイプ、サーバのバージョン、製品モードによって異なります。
製品モード | サーバのバージョン | 検出方法 |
---|---|---|
フル UC(デフォルト モード) |
|
_cisco-uds .<domain> に対する DNS SRV 要求 |
フル UC(デフォルト モード) |
|
_cuplogin.<domain> に対する DNS SRV 要求 |
IM 専用(デフォルト モード) |
|
_cisco-uds .<domain> に対する DNS SRV 要求 |
IM 専用(デフォルト モード) |
|
_cuplogin .<domain> に対する DNS SRV 要求 |
(注) |
Cisco Unified Communications Manager バージョン 9 以降は、_cuplogin DNS SRV 要求を使用してフル Unified Communications およびインスタント メッセージ専用のサービスを検出できますが、_cisco-uds 要求が存在する場合はこの要求が優先されます。 |
サーバのバージョン | 接続方式 |
---|---|
|
http://loginp.webexconnect.com/cas/FederatedSSO?org=<domain> に対する HTTPS 要求 |
展開タイプ | 接続方式 |
---|---|
シングル サインオン(SSO)で有効 | Cisco WebEx 管理ツール |
SSO で無効 | Cisco WebEx 管理ツール |
認証ソースまたはオーセンティケータは、ユーザがクライアントにサインインできるようにします。
インストール後の最初の起動時に、Cisco Jabber はデフォルトの製品モードで開始されます。 その後、クライアントはオーセンティケータを取得し、ユーザをサインインさせます。 サインイン後、クライアントは製品モードを特定します。
次の図は、初回起動シーケンスを図示したものです。
クライアントがオーセンティケータを取得できない場合、クライアント ユーザ インターフェイスで認証ソースを手動で選択するようユーザに求めます。
サービス ディスカバリを使用すると、クライアントが、企業ネットワーク内のサービスを自動的に検索して検出できます。 クライアントは、ドメイン ネーム サーバのクエリーを実行して、サーバの場所を提供するサービス(SRV)レコードを取得します。
Cisco Unified Presence 8.x から Cisco Unified Communications IM and Presence 9.0 以降に移行できます。
Cisco Unified Communications Manager の移行された UC サービスで Cisco Unified Presence サーバの FQDN を指定する必要があります。 [Cisco Unified CM の管理(Cisco Unified Communications Manager Administration)] インターフェイスを開きます。 を選択します。
[IM and Presence] タイプの UC サーバの場合は、Cisco Unified Presence 8.x から Cisco Unified Communications IM and Presence に移行すると、[ホスト名/IP アドレス(Host Name/ IP Address)] フィールドにドメイン名が入力されるため、このドメイン名を Cisco Unified Presence サーバの FQDN に変更する必要があります。
ただし、Cisco Jabber は、さまざまなサーバが存在することと、さまざまなサービスを利用できることをクライアントに示す、さまざまな SRV レコードを取得できます。 これにより、クライアントは、各 SRV レコードを取得するときに、環境に関する特定の情報を得ることができます。
次の表は、展開できる SRV レコードを示し、各レコードの目的と利点について説明しています。
SRV レコード | 目的 | 展開する理由 |
---|---|---|
_cisco-uds | Cisco Unified Communications Manager バージョン 9.0 以降の場所を提供します。 クライアントは、Cisco Unified Communications Manager からサービス プロファイルを取得してオーセンティケータを特定できます。 |
|
_cuplogin | Cisco Unified Presence の場所を提供します。 Cisco Unified Presence をオーセンティケータとして設定します。 |
(注) |
URL 設定によりユーザは、サービス ディスカバリのために電子メール形式のアドレスを手動で入力することなく、リンクをタップして Cisco Jabber を相互起動することができます。 サービス ディスカバリのために Cisco Jabber に必要なドメインを含む URL 設定リンクを作成できます。 必要に応じて、Cisco Unified Communications Manager に接続して電話機サービスを利用するための情報も含めることができます。 その後、電子メールまたは Web サイトを使用してユーザにリンクを提供できます。 リンクは、ciscojabber://provision?ServicesDomain=<domain_for_service_discovery>&VoiceServicesDomain=<domain_for_voice_services> の形式で作成します。 |
クライアントは、次回起動時にロードされるように、DNS クエリーの結果をキャッシュします。
社内 DNS 構造への SRV レコードの展開に関する詳細については、『Cisco Jabber DNS Configuration Guide』を参照してください。 『Cisco Jabber DNS Configuration Guide』では、クライアントが SRV レコードを取得および使用する方法についての詳細情報を提供し、内部および外部の DNS ネーム サーバに SRV レコードを展開する方法について詳しく説明しています。
利用できるサービスを探すために SRV レコードのネーム サーバのクエリーを実行するほか、Cisco Jabber は Cisco WebEx Messenger サービスのために CAS URL に HTTP クエリーを送信します。 この要求は、クライアントがクラウドベース展開を判定し、ユーザが Cisco WebEx Messenger サービスの認証を受けられるようにします。
http://loginp.webexconnect.com/cas/FederatedSSO?org=
http://loginp.webexconnect.com/cas/FederatedSSO?org=example.com
クエリーは、ドメインが有効な Cisco WebEx ドメインであるかどうかをクライアントが判定するために使用する XML 応答を返します。
クライアントは、ドメインが有効な Cisco WebEx ドメインであるかどうかを判定し、Cisco WebEx のクレデンシャルを入力するようにユーザに要求します。 その後、クライアントは Cisco WebEx Messenger サービスの認証を受けます。
ドメインが有効な Cisco WebEx ドメインではないとクライアントが判定した場合、クライアントは使用できるサービスを検出するためにネーム サーバのクエリー結果を使用します。
(注) |
クライアントは CAS URL に HTTP 要求を送信する際に、設定済みの任意のシステム プロキシを使用します。 この要求のプロキシのサポートには、次の制約事項があります。 |
Cisco Unified Communications Manager バージョン 9 以降の展開では、Cisco Jabber は自動的に _cisco-uds SRV レコードでサービスと設定を自動的に検出できます。
次の図は、クライアントが _cisco-uds SRV レコードをどのように使用するかを示します。
(注) |
複数の Cisco Unified Communications Manager クラスタを使用した環境では、クラスタ間検索サービス(ILS)を設定する必要があります。 ILS は、クライアントがユーザのホーム クラスタを検出できるようにします。 ILS を設定する方法については、適切なバージョンの『Cisco Unified Communications Manager Features and Services Guide』を参照してください。 |
Cisco Jabber は、_cuplogin SRV レコードを使用して Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence を自動的に検出して接続できます。
次の図は、クライアントが _cuplogin SRV レコードをどのように使用するかを示します。
(注) |
_cuplogin SRV レコードは、[手動設定とサインイン(Manual setup and sign in)] 画面のデフォルトのサーバ アドレスも設定します。 |
Cisco Jabber の起動時に、 [手動設定とサインイン(Manual setup and sign in)] 画面でオーセンティケータとサーバ アドレスを指定できます。 クライアントは、次回起動時にロードするローカル アプリケーションの設定にサーバ アドレスをキャッシュします。
ユーザが [手動設定とサインイン(Manual setup and sign in)] 画面に入力した設定は、SRV レコードを含め、その他のソースよりも優先されます。
ユーザは Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence をオーセンティケータとして設定し、[手動設定とサインイン(Manual setup and sign in)] 画面でサーバ アドレスを指定できます。
_cuplogin SRV レコードを使用して、デフォルトのサーバ アドレスを自動的に設定することもできます。
次の図は、クライアントがオンプレミス展開で手動接続設定をどのように使用するかを示します。
ユーザは Cisco WebEx Messenger サービスをオーセンティケータとして設定し、[手動設定とサインイン(Manual setup and sign in)] 画面へのログインに CAS URL を指定できます。
次の図は、クライアントがクラウドベース展開で手動接続設定をどのように使用するかを示します。
オンプレミス展開でクライアントがサービスを検出し、接続する方法について説明します。
デフォルトでは、クライアントはユーザを認証してサービス プロファイルを取得するためにプレゼンス サーバに接続します。 クライアントは、プレゼンス サーバを自動的に検出できます。
クライアントは、DNS SRV を使用したサーバの自動検出をサポートしています。 ユーザがサインイン時にプレゼンス サーバのアドレスを指定しなかった場合、クライアントは Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence を自動的に検出します。
プレゼンス サーバを検出するため、クライアントは最初にドメインを決定する必要があります。 クライアントは、この情報をユーザから収集します。ユーザはクライアントへのサインイン時にユーザ名とドメインを入力する必要があります。
ドメインを見つけると、クライアントはドメイン ネーム サーバ(DNS)からプレゼンス サーバのアドレスを取得します。
プレゼンス サーバのアドレスを取得すると、クライアントはプレゼンス サーバに接続し、プレゼンス サーバのアドレスをキャッシュします。
クラスタ内の別のサーバへのリダイレクトが発生すると、クライアントはリダイレクト前のサーバのアドレスではなく、接続先のプレゼンス サーバのアドレスをキャッシュします。
クライアントはドメイン ネーム サーバ(DNS)から _cuplogin._tcp SRV レコードを取得し、Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence のいずれかを検索します。
(注)
次は SRV レコードの例です。
_cuplogin._tcp.domain SRV 0 1 8443 cup_server.domain
Cisco Unified Communications Manager IM and Presence バージョン 9 以降または Cisco Unified Communications Manager バージョン 9 以降を使用する場合、サービス プロファイルをセットアップできます。
クライアントはサービス プロファイルを取得したら、使用可能なサービスに接続します。
クラウドベース展開でクライアントがサービスを検出し、接続する方法について説明します。
クライアントが Cisco WebEx Messenger サービスに接続すると、ユーザはインスタント メッセージとプレゼンス機能および連絡先の解決を使用できます。 また、Cisco WebEx Meeting Center でホステッド会議を有効にした場合は、ユーザは会議機能も使用できます。
ハイブリッド クラウドベース展開では、クライアントは社内サービスの接続の詳細を取得します。 接続の詳細は、Cisco WebEx 管理ツール で指定します。
特定の展開シナリオでシングル サインオン(SSO)を有効にできます。
使用可能な SSO 機能を調べて、SSO 展開でクライアント認証がどのように機能するかを理解するためにログイン フローを確認します。
クラウドベース展開では、クライアントは Cisco WebEx Messenger サービスを使用した SSO をサポートします。
次のステップは、ユーザがクライアントを起動した後のクラウドベース SSO のログイン フローについて説明します。
このため、クライアントは Cisco WebEx Messenger サービスで認証されます。
次の図は、クラウドベース SSO のログイン フローを示します。
Cisco AnyConnect は、Wi-Fi ネットワークまたはモバイル データ ネットワークなどのリモート ロケーションから社内ネットワークにクライアントが安全に接続できるサーバクライアント インフラストラクチャを参照します。
Cisco AnyConnect 環境には次のコンポーネントが含まれます。
安全なリモート アクセスにサービスを提供します。
ユーザのデバイスから Cisco Adaptive Security Appliance への安全な接続を確立します。
Cisco Adaptive Security Appliance と Cisco AnyConnect Secure Mobility Client の要件の詳細については、「ソフトウェア要件」のトピックを参照してください。
Cisco Adaptive Security Appliance は、さまざまな導入要件を満たす柔軟なアーキテクチャを提供します。 エンドツーエンドの導入手順の提供は、このマニュアルでは扱いません。 ここでは、Cisco Jabber for iPhone and iPad のために Cisco Adaptive Security Appliance および Cisco AnyConnect Secure Mobility Client を導入するときに考慮する必要のある情報を提供します。
Cisco Adaptive Security Appliance のインストールと設定の作業ベースの情報を取得するには、Cisco Adaptive Security Appliance のコンフィギュレーション ガイドを参照する必要があります。
ユーザが Cisco AnyConnect Secure Mobility Client をデバイスにダウンロードした後、ASA はコンフィギュレーション プロファイルをアプリケーションにプロビジョニングする必要があります。
Cisco AnyConnect Secure Mobility Client のコンフィギュレーション プロファイルには、会社の ASA VPN ゲートウェイ、接続プロトコル(IPSec または SSL)、およびオンデマンド ポリシーなどの VPN ポリシー情報が含まれています。
ASA Device Manager(ASDM)のプロファイル エディタを使用して、Cisco AnyConnect Secure Mobility Client クライアントの VPN プロファイルを定義することを推奨します。
この方法を使用すると、クライアントが初めて VPN 接続を確立した後で、VPN プロファイルが自動的に Cisco AnyConnect Secure Mobility Client にダウンロードされます。 この方法は、すべてのデバイスおよび OS タイプに使用でき、VPN プロファイルを ASA で集中管理できます。
詳細については、ご使用のリリースの『Cisco AnyConnect Secure Mobility Client Administrator Guide』の「Creating and Editing an AnyConnect Profile」のトピックを参照してください。
iPhone Configuration Utility(iPCU)を使用して作成する Apple コンフィギュレーション プロファイルを使用して iOS デバイスをプロビジョニングできます。 Apple コンフィギュレーション プロファイルは、デバイスのセキュリティ ポリシー、VPN コンフィギュレーション情報、および Wi-Fi、メール、カレンダーの各種設定などの情報が含まれた XML ファイルです。
高レベルな手順は次のとおりです。
サード パーティの Mobile Device Management(MDM)ソフトウェアを使用して作成する Apple コンフィギュレーション プロファイルを使用して iOS デバイスをプロビジョニングできます。 Apple コンフィギュレーション プロファイルは、デバイスのセキュリティ ポリシー、VPN コンフィギュレーション情報、および Wi-Fi、メール、カレンダーの各種設定などの情報が含まれた XML ファイルです。
高レベルな手順は次のとおりです。
ユーザが社外の Wi-Fi ネットワークから Cisco Jabber を開く場合、Cisco Jabber は Cisco UC アプリケーション サーバにアクセスするために VPN 接続を必要とします。 Cisco AnyConnect Secure Mobility Client が、バックグラウンドで VPN 接続を自動的に確立できるようにシステムを設定できます。これは、シームレスなユーザ エクスペリエンスの提供に役立ちます。
Apple iOS Connect On Demand 機能は、ユーザのドメインに基づいて VPN 接続を自動化することにより、ユーザ エクスペリエンスを強化します。
ユーザが社内 Wi-Fi ネットワークの中にいる場合、Cisco Jabber は直接 Cisco UC インフラストラクチャに到達できます。 ユーザが社内 Wi-Fi ネットワークの外に出ると、Cisco AnyConnect は、AnyConnect クライアント プロファイルで指定されたドメインに接続されているか自動的に検出します。 その場合、アプリケーションは VPN を開始して、UC インフラストラクチャへの接続を確認します。 Cisco Jabber を含めて、デバイス上のすべてのアプリケーションがこの機能を利用できます。
(注) |
Connect On Demand は、証明書で認証された接続だけをサポートします。 |
この機能では、次のオプションを使用できます。
Apple は近い将来に、[常に接続する(Always Connect)] オプションを削除する予定です。 [常に接続する(Always Connect)] オプションの削除後は、ユーザは [必要に応じて接続する(Connect if Needed)] オプションを選択できます。 場合によっては、Cisco Jabber ユーザが [必要に応じて接続する(Connect if Needed)] オプションを使用すると問題が発生することがあります。 たとえば、Cisco Unified Communications Manager のホスト名が社内ネットワークの外部で解決可能であれば、iOS は VPN 接続をトリガーしません。 ユーザはコールを発信する前に Cisco AnyConnect Secure Mobility Client を手動で起動することによって、この問題を回避できます。
Cisco Adaptive Security Appliance とのセキュアな接続を Cisco AnyConnect Secure Mobility Client からネゴシエートするための証明書ベースの認証を使用することを推奨します。
ASA は、Cisco IOS CA、Microsoft Windows 2003、Windows 2008 R2、Entrust、VeriSign、RSA Keon などの標準認証局(CA)サーバが発行した証明書をサポートします。 ここでは、証明書ベースの認証のために ASA を設定するための高レベルな手順を説明します。 適切な ASA コンフィギュレーション ガイドの順を追った手順については、「Configuring Digital Certificates」のトピックを参照してください。
Microsoft Windows Server の Simple Certificate Enrollment Protocol(SCEP)を使用して、クライアント認証のための証明書を安全に発行し、更新できます。
SCEP を使用して証明書を配布するには、Microsoft Windows Server に SCEP モジュールをインストールする必要があります。 詳細については、次のトピックを参照してください。
証明書を含むモバイル コンフィギュレーション ファイルを作成するには、次の手順を実行します。 このファイルを使用して、証明書をユーザに配布できます。
セキュア接続のパフォーマンスを向上するために ASA セッション パラメータを設定できます。 最良のユーザ エクスペリエンスを得るために、次の ASA セッション パラメータを設定する必要があります。
DTLS は遅延およびデータ損失を防止するデータ パスを提供する SSL プロトコルです。
自動再接続(またはセッションの持続性)により、Cisco AnyConnect Secure Mobility Client はセッションの中断から回復し、セッションを再確立します。
このパラメータを使用すると、VPN セッションをサービスの中断から回復し、接続を再確立できます。
アイドル タイムアウトは、通信アクティビティがない場合に、ASA がセキュアな接続を切断するまでの期間を定義します。
DTD によって、ASA および Cisco AnyConnect Secure Mobility Client が接続障害をすばやく検出できます。
Cisco AnyConnect Secure Mobility Client のエンド ユーザのユーザ エクスペリエンスを最適化するために、次のように ASA セッション パラメータを設定することを推奨します。
グループ ポリシー、クライアント プロファイル、および接続プロファイルを作成するために、ASA デバイス マネージャ(ASDM)を使用する必要があります。 最初にグループ ポリシーを作成し、次にそのポリシーをプロファイルに適用します。 ASDM を使用してプロファイルを作成すると、Cisco AnyConnect Secure Mobility Client が ASA への接続を初めて確立した後にプロファイルがダウンロードされます。 ASDM では、中央のロケーションでプロファイルとポリシーを管理および維持することができます。
ASDM でポリシーとプロファイルを作成する方法の手順については、『Cisco AnyConnect Secure Mobility Client Administrator Guide』を参照してください。
Trusted Network Detection は、ユーザ ロケーションに基づいてセキュア接続を自動化する機能です。 ユーザが企業ネットワークを離れると、Cisco AnyConnect Secure Mobility Client は信頼ネットワークの外部であることを自動的に検出し、セキュアなアクセスを開始します。
クライアント プロファイルの一部として ASA に Trusted Network Detection を設定します。 詳細については、ご使用のリリースの『Cisco AnyConnect Secure Mobility Client Administrator Guide』の「Trusted Network Detection」のトピックを参照してください。
トンネル ポリシーは、Cisco AnyConnect Secure Mobility Client がセキュアな接続を介してトラフィックを方向付ける方法を設定します。次が含まれます。
ASA ゲートウェイへのセキュア接続を介してすべてのトラフィックを送信できます。
宛先 IP アドレスに基づいてセキュア接続を制限できます。 たとえば、オンプレミス展開で、Cisco Unified Communications Manager、Cisco Unified Presence、TFTP サーバ、その他のサーバに対して IP アドレスを指定して、クライアントのトラフィックにだけセキュア接続を制限することができます。
セキュア接続から特定のトラフィックを除外できます。 セキュア接続を介したクライアントのトラフィックを許可し、特定の宛先サブネットからトラフィックを除外できます。
目次
- 展開オプション
- オンプレミス展開
- 製品モード
- フル UC の図
- Cisco Unified Presence の図
- Cisco Unified Communications IM and Presence の図
- クラウドベース展開
- クラウドベースの図
- ハイブリッド クラウドベースの図
- クライアントがサービスに接続する方法
- 推奨される接続方式
- 認証ソース
- 初回起動シーケンス
- クライアントのオーセンティケータの取得方法
- サービス ディスカバリ
- クライアントがサービスを検出する方法
- クライアントによる HTTP クエリーの発行
- Cisco UDS SRV レコード
- CUP ログイン SRV レコード
- 手動接続設定
- オンプレミス展開の手動接続設定
- クラウドベース展開の手動接続設定
- 社内サービス接続
- フル UC および IM 専用の展開
- プレゼンス サーバの検出
- DNS SRV レコード
- 使用可能なサービスへの接続
- クラウドベース サービスの接続
- 使用可能なサービスへの接続
- シングル サインオン(SSO)展開
- クラウドベース SSO
- Cisco AnyConnect の展開
- Cisco AnyConnect 導入に関する考慮事項
- アプリケーション プロファイル
- VPN 接続の自動化
- Connect On Demand VPN の設定
- Cisco Unified Communications Manager での自動 VPN アクセスの設定
- 証明書ベースの認証の設定
- SCEP を使用した証明書の配布
- Mobileconfig ファイルを使用したクライアント証明書の配布
- セッション パラメータ
- ASA セッション パラメータの設定
- グループ ポリシーおよびプロファイル
- Trusted Network Detection
- トンネル ポリシー
Cisco Jabber for iPhone and iPad を展開するためのオプションについて説明します。
- オンプレミス展開
- クラウドベース展開
- クライアントがサービスに接続する方法
- 社内サービス接続
- クラウドベース サービスの接続
- シングル サインオン(SSO)展開
- Cisco AnyConnect の展開
オンプレミス展開
製品モード
デフォルトの製品モードは、ユーザのプライマリ認証がプレゼンス サーバに対して行われるモードです。
少なくとも、Cisco Jabber for iPhone and iPad ユーザはインスタント メッセージとプレゼンス機能を利用できます。 また、ユーザは音声、ビデオ、ボイスメール、会議を利用することも可能です。
次のモードでクライアントを展開できます。
- フル UC
フル UC モードで展開するには、インスタント メッセージとプレゼンス機能を有効にします。 その後、ボイスメールと会議の機能に加えて、音声とビデオ用のデバイスをユーザにプロビジョニングします。
- IM 専用
IM 専用モードで展開するには、インスタント メッセージとプレゼンス機能を有効にします。 デバイスをユーザにプロビジョニングしません。
フル UC の図
Cisco Unified Presence の図
図 1. 社内アーキテクチャ.このトピックでは、Cisco Unified Presence リリース 8.6 について述べます。
次の図は、Cisco Unified Presence を含むオンプレミス展開のアーキテクチャを図示したものです。
以下は、オンプレミス展開で使用できるサービスです。
- プレゼンス
Cisco Unified Presence を介してユーザはアベイラビリティを公開し、他のユーザのアベイラビリティを登録できます。
- チャット/IM
Cisco Unified Presence を介してユーザはインスタント メッセージを送受信できます。
- 音声通話
Cisco Unified Communications Manager を介してユーザはモバイル デバイス経由で音声通話を発信できます。
- ビデオ
Cisco Unified Communications Manager を介してユーザはビデオ通話を発信できます。
- ボイスメール
Cisco Unity Connection を介してユーザはボイス メッセージを送受信できます。
- 会議
次のいずれかと統合します。
- Cisco WebEx Meeting Center
ホステッド会議機能を実現します。
- Cisco WebEx Meetings Server
社内会議機能を提供します。
オンプレミス展開における連絡先ソースの詳細については、「連絡先ソース」のトピックを参照してください。
関連コンセプト
Cisco Unified Communications IM and Presence の図
図 2. 社内アーキテクチャ.このトピックは、Cisco Unified Communications Manager IM and Presence リリース 9.0 以降に該当します。
次の図は、Cisco Unified Communications Manager IM and Presence を含むオンプレミス展開のアーキテクチャを図示したものです。
以下は、オンプレミス展開で使用できるサービスです。
- プレゼンス
Cisco Unified Communications Manager IM and Presence を介してユーザはアベイラビリティを公開し、他のユーザのアベイラビリティを登録できます。
- チャット/IM
Cisco Unified Communications Manager IM and Presence を介してユーザはインスタント メッセージを送受信できます。
- 音声通話
Cisco Unified Communications Manager を介してユーザはモバイル デバイス経由で音声通話を発信できます。
- ビデオ
Cisco Unified Communications Manager を介してユーザはビデオ通話を発信できます。
- ボイスメール
Cisco Unity Connection を介してユーザはボイス メッセージを送受信できます。
- 会議
次のいずれかと統合します。
- Cisco WebEx Meeting Center
ホステッド会議機能を提供します。
- Cisco WebEx Meetings Server
社内会議機能を提供します。
オンプレミス展開における連絡先ソースの詳細については、「連絡先ソース」のトピックを参照してください。
関連コンセプト
クラウドベース展開
クラウドベースの図
ハイブリッド クラウドベースの図
以下は、ハイブリッド クラウドベース展開で使用できるサービスです。
- 連絡先ソース
Cisco WebEx Messenger サービスは、連絡先を解決します。
- プレゼンス
Cisco WebEx Messenger サービスは、ユーザがアベイラビリティを公開し、他のユーザのアベイラビリティを登録できるようにします。
- チャット/IM
Cisco WebEx Messenger サービスは、ユーザがインスタント メッセージを送受信できるようにします。
- 会議
Cisco WebEx Meeting Center は、ホステッド会議機能を提供します。
- 音声通話
Cisco Unified Communications Manager を介してユーザはモバイル デバイス経由で音声通話を発信できます。
- ビデオ
Cisco Unified Communications Manager を介してユーザはビデオ通話を発信できます。
- ボイスメール
Cisco Unity Connection を介してユーザはボイス メッセージを送受信できます。
クライアントがサービスに接続する方法
次の方法で、この情報をクライアントに提供できます。
- サービス ディスカバリ
- クライアントはサービスを自動的に検出して接続します。
- 手動接続設定
- ユーザは、クライアント ユーザ インターフェイスで接続設定を手動で入力します。
推奨される接続方式
オンプレミス展開
製品モード サーバのバージョン 検出方法 フル UC(デフォルト モード) _cisco-uds .<domain> に対する DNS SRV 要求
フル UC(デフォルト モード) _cuplogin.<domain> に対する DNS SRV 要求
IM 専用(デフォルト モード) バージョン 9 以降:
- Cisco Unified Communications Manager IM and Presence
_cisco-uds .<domain> に対する DNS SRV 要求
IM 専用(デフォルト モード) バージョン 8.x:
- Cisco Unified Presence
_cuplogin .<domain> に対する DNS SRV 要求
(注)
Cisco Unified Communications Manager バージョン 9 以降は、_cuplogin DNS SRV 要求を使用してフル Unified Communications およびインスタント メッセージ専用のサービスを検出できますが、_cisco-uds 要求が存在する場合はこの要求が優先されます。認証ソース
認証ソースまたはオーセンティケータは、ユーザがクライアントにサインインできるようにします。
使用できる認証ソースには、次が含まれます。
- Cisco Unified Presence
- フル UC または IM 専用のいずれかでのオンプレミス展開。
- Cisco WebEx Messenger サービス
- クラウドベースまたはハイブリッド クラウドベース展開。
初回起動シーケンス
インストール後の最初の起動時に、Cisco Jabber はデフォルトの製品モードで開始されます。 その後、クライアントはオーセンティケータを取得し、ユーザをサインインさせます。 サインイン後、クライアントは製品モードを特定します。
次の図は、初回起動シーケンスを図示したものです。
クライアントのオーセンティケータの取得方法
Cisco Jabber は次のようにオーセンティケータを探します。
- クライアントはキャッシュの手動設定をチェックします。 ユーザはクライアント ユーザ インターフェイスを介してオーセンティケータを手動で入力できます。
- クライアントはユーザのドメインが WebEx 組織であるかどうかを検出するためにキャッシュをチェックします。 クライアントはオーセンティケータとして WebEx を選択します。
- クライアントはユーザのドメイン設定が WebEx 組織であるかどうかを検出するために WebEx クラウド サービスの HTTP 要求を行います。 クライアントはオーセンティケータとして WebEx を選択します。
- クライアントはキャッシュのサービス ディスカバリをチェックします。 クライアントは以前のサービス(SRV)レコードのクエリーから設定をロードします。
- クライアントは SRV レコードのクエリーを行います。 クライアントはサービスを探すために SRV レコードの DNS ネーム サーバのクエリーを行います。 クライアントは _cisco-uds SRV レコードが見つけたら、サービス プロファイルからオーセンティケータを取得できます。
クライアントがオーセンティケータを取得できない場合、クライアント ユーザ インターフェイスで認証ソースを手動で選択するようユーザに求めます。
サービス ディスカバリ
サービス ディスカバリを使用すると、クライアントが、企業ネットワーク内のサービスを自動的に検索して検出できます。 クライアントは、ドメイン ネーム サーバのクエリーを実行して、サーバの場所を提供するサービス(SRV)レコードを取得します。
重要:Cisco Unified Presence 8.x から Cisco Unified Communications IM and Presence 9.0 以降に移行できます。
Cisco Unified Communications Manager の移行された UC サービスで Cisco Unified Presence サーバの FQDN を指定する必要があります。 [Cisco Unified CM の管理(Cisco Unified Communications Manager Administration)] インターフェイスを開きます。 を選択します。
[IM and Presence] タイプの UC サーバの場合は、Cisco Unified Presence 8.x から Cisco Unified Communications IM and Presence に移行すると、[ホスト名/IP アドレス(Host Name/ IP Address)] フィールドにドメイン名が入力されるため、このドメイン名を Cisco Unified Presence サーバの FQDN に変更する必要があります。
ただし、Cisco Jabber は、さまざまなサーバが存在することと、さまざまなサービスを利用できることをクライアントに示す、さまざまな SRV レコードを取得できます。 これにより、クライアントは、各 SRV レコードを取得するときに、環境に関する特定の情報を得ることができます。
次の表は、展開できる SRV レコードを示し、各レコードの目的と利点について説明しています。
SRV レコード 目的 展開する理由 _cisco-uds Cisco Unified Communications Manager バージョン 9.0 以降の場所を提供します。
クライアントは、Cisco Unified Communications Manager からサービス プロファイルを取得してオーセンティケータを特定できます。
_cuplogin Cisco Unified Presence の場所を提供します。
Cisco Unified Presence をオーセンティケータとして設定します。
クライアントがサービスを検出する方法
次の手順では、クライアントが SRV レコードでサービスを検出する方法について説明します。
- クライアントのデバイスがネットワークに接続します。 クライアントのデバイスは、ネットワークに接続すると、DHCP 設定から DNS ネーム サーバのアドレスも取得できます。
- ユーザは、最初のサインインで次の手順のいずれかを実行して、サービスを検出します。
- ユーザは Cisco Jabber を起動し、初期画面で電子メール形式のアドレスを入力します。
- ユーザは URL 設定リンクをタップします。
(注)
URL 設定によりユーザは、サービス ディスカバリのために電子メール形式のアドレスを手動で入力することなく、リンクをタップして Cisco Jabber を相互起動することができます。 サービス ディスカバリのために Cisco Jabber に必要なドメインを含む URL 設定リンクを作成できます。 必要に応じて、Cisco Unified Communications Manager に接続して電話機サービスを利用するための情報も含めることができます。 その後、電子メールまたは Web サイトを使用してユーザにリンクを提供できます。
リンクは、ciscojabber://provision?ServicesDomain=<domain_for_service_discovery>&VoiceServicesDomain=<domain_for_voice_services> の形式で作成します。
例を示します。- クライアントは、DHCP 設定から DNS ネーム サーバのアドレスを取得します。
クライアントは、次回起動時にロードされるように、DNS クエリーの結果をキャッシュします。
次に示すのは、SRV レコード エントリの例です。社内 DNS 構造への SRV レコードの展開に関する詳細については、『Cisco Jabber DNS Configuration Guide』を参照してください。 『Cisco Jabber DNS Configuration Guide』では、クライアントが SRV レコードを取得および使用する方法についての詳細情報を提供し、内部および外部の DNS ネーム サーバに SRV レコードを展開する方法について詳しく説明しています。
クライアントによる HTTP クエリーの発行
利用できるサービスを探すために SRV レコードのネーム サーバのクエリーを実行するほか、Cisco Jabber は Cisco WebEx Messenger サービスのために CAS URL に HTTP クエリーを送信します。 この要求は、クライアントがクラウドベース展開を判定し、ユーザが Cisco WebEx Messenger サービスの認証を受けられるようにします。
クライアントはユーザからドメインを取得すると、そのドメインに次の HTTP クエリーを追加します。http://loginp.webexconnect.com/cas/FederatedSSO?org=たとえば、クライアントがユーザからドメインとして example.com を取得すると、次の HTTP クエリーを追加します。http://loginp.webexconnect.com/cas/FederatedSSO?org=example.comクエリーは、ドメインが有効な Cisco WebEx ドメインであるかどうかをクライアントが判定するために使用する XML 応答を返します。
クライアントは、ドメインが有効な Cisco WebEx ドメインであるかどうかを判定し、Cisco WebEx のクレデンシャルを入力するようにユーザに要求します。 その後、クライアントは Cisco WebEx Messenger サービスの認証を受けます。
ドメインが有効な Cisco WebEx ドメインではないとクライアントが判定した場合、クライアントは使用できるサービスを検出するためにネーム サーバのクエリー結果を使用します。
(注)
クライアントは CAS URL に HTTP 要求を送信する際に、設定済みの任意のシステム プロキシを使用します。 この要求のプロキシのサポートには、次の制約事項があります。Cisco UDS SRV レコード
Cisco Unified Communications Manager バージョン 9 以降の展開では、Cisco Jabber は自動的に _cisco-uds SRV レコードでサービスと設定を自動的に検出できます。
次の図は、クライアントが _cisco-uds SRV レコードをどのように使用するかを示します。
- クライアントは SRV レコードのドメイン ネーム サーバのクエリーを行います。
- ネーム サーバは、_cisco-uds SRV レコードを返します。
- クライアントは、ユーザのホーム クラスタを検出します。 ユーザのホーム クラスタが自動的に検出されるため、クライアントはユーザのデバイス構成を取得し、テレフォニー サービスを自動的に登録できます。
(注)
複数の Cisco Unified Communications Manager クラスタを使用した環境では、クラスタ間検索サービス(ILS)を設定する必要があります。 ILS は、クライアントがユーザのホーム クラスタを検出できるようにします。
ILS を設定する方法については、適切なバージョンの『Cisco Unified Communications Manager Features and Services Guide』を参照してください。
- クライアントは、ユーザのサービス プロファイルを取得します。 ユーザのサービス プロファイルには、UC サービスのアドレスと設定およびクライアント構成が含まれます。 また、クライアントはサービス プロファイルからオーセンティケータを決定します。
- クライアントは、オーセンティケータにユーザをサインインさせます。
CUP ログイン SRV レコード
Cisco Jabber は、_cuplogin SRV レコードを使用して Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence を自動的に検出して接続できます。
次の図は、クライアントが _cuplogin SRV レコードをどのように使用するかを示します。
- クライアントは SRV レコードのドメイン ネーム サーバのクエリーを行います。
- ネーム サーバは、_cuplogin SRV レコードを返します。 このため、Cisco Jabber はプレゼンス サーバを検出し、その Cisco Unified Presence がオーセンティケータであることを決定できます。
- クライアントはユーザにクレデンシャルを要求し、プレゼンス サーバの認証を受けます。
- クライアントは、プレゼンス サーバからサービス プロファイルを取得します。
(注)
_cuplogin SRV レコードは、[手動設定とサインイン(Manual setup and sign in)] 画面のデフォルトのサーバ アドレスも設定します。
手動接続設定
Cisco Jabber の起動時に、 [手動設定とサインイン(Manual setup and sign in)] 画面でオーセンティケータとサーバ アドレスを指定できます。 クライアントは、次回起動時にロードするローカル アプリケーションの設定にサーバ アドレスをキャッシュします。
Cisco Jabber は、初回起動時に [手動設定とサインイン(Manual setup and sign in)] 画面で次のように設定を入力するようユーザに求めます。
- Cisco Unified Communications Manager バージョン 9.x 以降でのオンプレミス展開
- クライアントがサービス プロファイルからオーセンティケータとサーバ アドレスを取得できなかった場合。
- Cisco Unified Communications Manager バージョン 8.x でのクラウドベース展開またはオンプレミス展開
- クライアントは、SRV レコードでサーバ アドレスを設定しない場合、 [手動設定とサインイン(Manual setup and sign in)] 画面にサーバ アドレスを入力するようユーザに求めます。
ユーザが [手動設定とサインイン(Manual setup and sign in)] 画面に入力した設定は、SRV レコードを含め、その他のソースよりも優先されます。
オンプレミス展開の手動接続設定
ユーザは Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence をオーセンティケータとして設定し、[手動設定とサインイン(Manual setup and sign in)] 画面でサーバ アドレスを指定できます。
メモ:_cuplogin SRV レコードを使用して、デフォルトのサーバ アドレスを自動的に設定することもできます。
次の図は、クライアントがオンプレミス展開で手動接続設定をどのように使用するかを示します。
社内サービス接続
プレゼンス サーバの検出
クライアントは、DNS SRV を使用したサーバの自動検出をサポートしています。 ユーザがサインイン時にプレゼンス サーバのアドレスを指定しなかった場合、クライアントは Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence を自動的に検出します。
プレゼンス サーバを検出するため、クライアントは最初にドメインを決定する必要があります。 クライアントは、この情報をユーザから収集します。ユーザはクライアントへのサインイン時にユーザ名とドメインを入力する必要があります。
ドメインを見つけると、クライアントはドメイン ネーム サーバ(DNS)からプレゼンス サーバのアドレスを取得します。
プレゼンス サーバのアドレスを取得すると、クライアントはプレゼンス サーバに接続し、プレゼンス サーバのアドレスをキャッシュします。
クラスタ内の別のサーバへのリダイレクトが発生すると、クライアントはリダイレクト前のサーバのアドレスではなく、接続先のプレゼンス サーバのアドレスをキャッシュします。
DNS SRV レコード
クライアントはドメイン ネーム サーバ(DNS)から _cuplogin._tcp SRV レコードを取得し、Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence のいずれかを検索します。
(注)
- プレゼンス サーバ ドメインの DNS サーバに、この SRV レコードを追加する必要があります。
- クライアントはポート 8443 を使用し、Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence に接続します。
- クライアントは SRV レコードの重みと優先順位がサポートします。
次は SRV レコードの例です。
_cuplogin._tcp.domain SRV 0 1 8443 cup_server.domainクラウドベース サービスの接続
シングル サインオン(SSO)展開
特定の展開シナリオでシングル サインオン(SSO)を有効にできます。
使用可能な SSO 機能を調べて、SSO 展開でクライアント認証がどのように機能するかを理解するためにログイン フローを確認します。
クラウドベース SSO
クラウドベース展開では、クライアントは Cisco WebEx Messenger サービスを使用した SSO をサポートします。
次のステップは、ユーザがクライアントを起動した後のクラウドベース SSO のログイン フローについて説明します。
- クライアントはログイン要求を Cisco WebEx Messenger サービスに送信します。
- Cisco WebEx Messenger サービスは、アイデンティティ プロバイダーが存在するドメインへクライアントをリダイレクトします。
- クライアントはリダイレクトに従い、アイデンティティ プロバイダーにログイン トークンを要求します。
- アイデンティティ プロバイダーはクライアントにログイン トークンを与えます。
- クライアントは、そのログイン トークンを Cisco WebEx Messenger サービスに渡します。
このため、クライアントは Cisco WebEx Messenger サービスで認証されます。
次の図は、クラウドベース SSO のログイン フローを示します。
Cisco AnyConnect の展開
Cisco AnyConnect は、Wi-Fi ネットワークまたはモバイル データ ネットワークなどのリモート ロケーションから社内ネットワークにクライアントが安全に接続できるサーバクライアント インフラストラクチャを参照します。
Cisco AnyConnect 環境には次のコンポーネントが含まれます。
- Cisco Adaptive Security Appliance
安全なリモート アクセスにサービスを提供します。
- Cisco AnyConnect Secure Mobility Client
ユーザのデバイスから Cisco Adaptive Security Appliance への安全な接続を確立します。
Cisco Adaptive Security Appliance と Cisco AnyConnect Secure Mobility Client の要件の詳細については、「ソフトウェア要件」のトピックを参照してください。
関連資料
Cisco AnyConnect 導入に関する考慮事項
Cisco Adaptive Security Appliance は、さまざまな導入要件を満たす柔軟なアーキテクチャを提供します。 エンドツーエンドの導入手順の提供は、このマニュアルでは扱いません。 ここでは、Cisco Jabber for iPhone and iPad のために Cisco Adaptive Security Appliance および Cisco AnyConnect Secure Mobility Client を導入するときに考慮する必要のある情報を提供します。
Cisco Adaptive Security Appliance のインストールと設定の作業ベースの情報を取得するには、Cisco Adaptive Security Appliance のコンフィギュレーション ガイドを参照する必要があります。
アプリケーション プロファイル
ユーザが Cisco AnyConnect Secure Mobility Client をデバイスにダウンロードした後、ASA はコンフィギュレーション プロファイルをアプリケーションにプロビジョニングする必要があります。
Cisco AnyConnect Secure Mobility Client のコンフィギュレーション プロファイルには、会社の ASA VPN ゲートウェイ、接続プロトコル(IPSec または SSL)、およびオンデマンド ポリシーなどの VPN ポリシー情報が含まれています。
次のいずれかの方法で、 Cisco Jabber for iPhone and iPad のアプリケーション プロファイルをプロビジョニングすることができます。
- ASDM
ASA Device Manager(ASDM)のプロファイル エディタを使用して、Cisco AnyConnect Secure Mobility Client クライアントの VPN プロファイルを定義することを推奨します。
この方法を使用すると、クライアントが初めて VPN 接続を確立した後で、VPN プロファイルが自動的に Cisco AnyConnect Secure Mobility Client にダウンロードされます。 この方法は、すべてのデバイスおよび OS タイプに使用でき、VPN プロファイルを ASA で集中管理できます。
詳細については、ご使用のリリースの『Cisco AnyConnect Secure Mobility Client Administrator Guide』の「Creating and Editing an AnyConnect Profile」のトピックを参照してください。
- iPCU
iPhone Configuration Utility(iPCU)を使用して作成する Apple コンフィギュレーション プロファイルを使用して iOS デバイスをプロビジョニングできます。 Apple コンフィギュレーション プロファイルは、デバイスのセキュリティ ポリシー、VPN コンフィギュレーション情報、および Wi-Fi、メール、カレンダーの各種設定などの情報が含まれた XML ファイルです。
高レベルな手順は次のとおりです。
- MDM
サード パーティの Mobile Device Management(MDM)ソフトウェアを使用して作成する Apple コンフィギュレーション プロファイルを使用して iOS デバイスをプロビジョニングできます。 Apple コンフィギュレーション プロファイルは、デバイスのセキュリティ ポリシー、VPN コンフィギュレーション情報、および Wi-Fi、メール、カレンダーの各種設定などの情報が含まれた XML ファイルです。
高レベルな手順は次のとおりです。
VPN 接続の自動化
ユーザが社外の Wi-Fi ネットワークから Cisco Jabber を開く場合、Cisco Jabber は Cisco UC アプリケーション サーバにアクセスするために VPN 接続を必要とします。 Cisco AnyConnect Secure Mobility Client が、バックグラウンドで VPN 接続を自動的に確立できるようにシステムを設定できます。これは、シームレスなユーザ エクスペリエンスの提供に役立ちます。
Connect On Demand VPN の設定
手順Apple iOS Connect On Demand 機能は、ユーザのドメインに基づいて VPN 接続を自動化することにより、ユーザ エクスペリエンスを強化します。
ユーザが社内 Wi-Fi ネットワークの中にいる場合、Cisco Jabber は直接 Cisco UC インフラストラクチャに到達できます。 ユーザが社内 Wi-Fi ネットワークの外に出ると、Cisco AnyConnect は、AnyConnect クライアント プロファイルで指定されたドメインに接続されているか自動的に検出します。 その場合、アプリケーションは VPN を開始して、UC インフラストラクチャへの接続を確認します。 Cisco Jabber を含めて、デバイス上のすべてのアプリケーションがこの機能を利用できます。
(注)
Connect On Demand は、証明書で認証された接続だけをサポートします。
この機能では、次のオプションを使用できます。
- [必要に応じて接続する(Connect If Needed)]:Apple iOS は、DNS を使用してアドレスを解決できない場合のみ、このリスト内のドメインへの VPN 接続を開始しようとします。
- [接続しない(Never Connect)]:Apple iOS は、このリスト内のドメインへの VPN 接続の開始を試行しません。
注目:Apple は近い将来に、[常に接続する(Always Connect)] オプションを削除する予定です。 [常に接続する(Always Connect)] オプションの削除後は、ユーザは [必要に応じて接続する(Connect if Needed)] オプションを選択できます。 場合によっては、Cisco Jabber ユーザが [必要に応じて接続する(Connect if Needed)] オプションを使用すると問題が発生することがあります。 たとえば、Cisco Unified Communications Manager のホスト名が社内ネットワークの外部で解決可能であれば、iOS は VPN 接続をトリガーしません。 ユーザはコールを発信する前に Cisco AnyConnect Secure Mobility Client を手動で起動することによって、この問題を回避できます。
Cisco Unified Communications Manager での自動 VPN アクセスの設定
はじめる前に手順
- モバイル デバイスで、証明書ベースの認証での VPN へのオンデマンド アクセスが設定されている必要があります。 VPN アクセスの設定については、VPN クライアントおよびヘッド エンドのプロバイダーにお問い合わせください。
- Cisco AnyConnect Secure Mobility Client と Cisco Adaptive Security Appliance の要件については、「ソフトウェア要件」のトピックを参照してください。
- Cisco AnyConnect のセットアップの詳細については、『Cisco AnyConnect VPN Client Maintain and Operate Guides』を参照してください。
次の作業
- この機能をテストしてください。
- この URL を iOS デバイスのインターネット ブラウザに入力し、VPN が自動的に起動することを確認します。 ステータス バーに、VPN アイコンが表示されます。
- VPN を使用して、iOS デバイスが社内ネットワークに接続できることを確認します。 たとえば、社内イントラネットの Web ページにアクセスしてください。 iOS デバイスが接続できない場合は、ご利用の VPN 製品のプロバイダーに問い合わせてください。
- VPN が特定のタイプのトラフィックへのアクセスを制限していないか(たとえば、電子メールとカレンダー操作のトラフィックだけが許可されるように、管理者がシステムを設定している場合など)IT 部門に確認します。
- クライアントが、社内ネットワークに直接接続されるように設定されていることを確認します。
関連資料
証明書ベースの認証の設定
手順Cisco Adaptive Security Appliance とのセキュアな接続を Cisco AnyConnect Secure Mobility Client からネゴシエートするための証明書ベースの認証を使用することを推奨します。
ASA は、Cisco IOS CA、Microsoft Windows 2003、Windows 2008 R2、Entrust、VeriSign、RSA Keon などの標準認証局(CA)サーバが発行した証明書をサポートします。 ここでは、証明書ベースの認証のために ASA を設定するための高レベルな手順を説明します。 適切な ASA コンフィギュレーション ガイドの順を追った手順については、「Configuring Digital Certificates」のトピックを参照してください。
次の作業SCEP を使用した証明書の配布
セッション パラメータ
セキュア接続のパフォーマンスを向上するために ASA セッション パラメータを設定できます。 最良のユーザ エクスペリエンスを得るために、次の ASA セッション パラメータを設定する必要があります。
- Datagram Transport Layer Security(DTLS)
DTLS は遅延およびデータ損失を防止するデータ パスを提供する SSL プロトコルです。
- 自動再接続
自動再接続(またはセッションの持続性)により、Cisco AnyConnect Secure Mobility Client はセッションの中断から回復し、セッションを再確立します。
- セッションの持続性
このパラメータを使用すると、VPN セッションをサービスの中断から回復し、接続を再確立できます。
- アイドル タイムアウト
アイドル タイムアウトは、通信アクティビティがない場合に、ASA がセキュアな接続を切断するまでの期間を定義します。
- Dead Peer Detection(DTD)
DTD によって、ASA および Cisco AnyConnect Secure Mobility Client が接続障害をすばやく検出できます。
ASA セッション パラメータの設定
手順Cisco AnyConnect Secure Mobility Client のエンド ユーザのユーザ エクスペリエンスを最適化するために、次のように ASA セッション パラメータを設定することを推奨します。
グループ ポリシーおよびプロファイル
グループ ポリシー、クライアント プロファイル、および接続プロファイルを作成するために、ASA デバイス マネージャ(ASDM)を使用する必要があります。 最初にグループ ポリシーを作成し、次にそのポリシーをプロファイルに適用します。 ASDM を使用してプロファイルを作成すると、Cisco AnyConnect Secure Mobility Client が ASA への接続を初めて確立した後にプロファイルがダウンロードされます。 ASDM では、中央のロケーションでプロファイルとポリシーを管理および維持することができます。
ASDM でポリシーとプロファイルを作成する方法の手順については、『Cisco AnyConnect Secure Mobility Client Administrator Guide』を参照してください。
関連情報
Trusted Network Detection
Trusted Network Detection は、ユーザ ロケーションに基づいてセキュア接続を自動化する機能です。 ユーザが企業ネットワークを離れると、Cisco AnyConnect Secure Mobility Client は信頼ネットワークの外部であることを自動的に検出し、セキュアなアクセスを開始します。
クライアント プロファイルの一部として ASA に Trusted Network Detection を設定します。 詳細については、ご使用のリリースの『Cisco AnyConnect Secure Mobility Client Administrator Guide』の「Trusted Network Detection」のトピックを参照してください。
トンネル ポリシー
トンネル ポリシーは、Cisco AnyConnect Secure Mobility Client がセキュアな接続を介してトラフィックを方向付ける方法を設定します。次が含まれます。
- Full Tunnel ポリシー
ASA ゲートウェイへのセキュア接続を介してすべてのトラフィックを送信できます。
- ネットワーク ACL での Split Include ポリシー
宛先 IP アドレスに基づいてセキュア接続を制限できます。 たとえば、オンプレミス展開で、Cisco Unified Communications Manager、Cisco Unified Presence、TFTP サーバ、その他のサーバに対して IP アドレスを指定して、クライアントのトラフィックにだけセキュア接続を制限することができます。
- Split Exclude ポリシー
セキュア接続から特定のトラフィックを除外できます。 セキュア接続を介したクライアントのトラフィックを許可し、特定の宛先サブネットからトラフィックを除外できます。