この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco Unified Communications Manager 用の Expressway for Mobile and Remote Access を使用することで、ユーザは VPN クライアントを使用しなくても、企業のファイアウォールの外からコラボレーション ツールにアクセスできます。シスコのコラボレーション ゲートウェイを使用して、クライアントは公衆 Wi-Fi ネットワークやモバイル データ ネットワークなどのリモート ロケーションから社内ネットワークに安全に接続できます。
Cisco Expressway E およびシスコ Expressway-C を使用して Expressway for Mobile and Remote Access をサポートするサーバをセットアップします。*
* 現在 Cisco TelePresence Video Communications Server (VCS) 環境が導入されている場合は、Expressway for Mobile and Remote Access をセットアップできます。詳細については、『Cisco VCS Basic Configuration (Control with Expressway) Deployment Guide』および『Mobile and Remote Access via Cisco VCS Deployment Guide』を参照してください。
関係するサーバをすべて Cisco Expressway-C サーバのホワイトリストに追加して、クライアントが社内ネットワーク内に位置するサービスに確実にアクセスできるようにします。
サーバを Cisco Expressway-C ホワイトリストに追加するには、[HTTP サーバ許可(HTTP server allow)] 設定を使用します。
このリストには、ボイス メールや連絡先の写真をホストするサーバを含めることができます。
クライアントが Expressway for Mobile and Remote Access サーバを検索できるように、_collab-edge DNS SRV レコードを含む外部 DNS サーバを設定します。
IM and Presence サーバのドメインが音声サーバのドメインと異なるハイブリッド クラウド ベース アーキテクチャを展開する場合、音声サービス ドメインを設定するようにします。
音声サービス ドメインによって、クライアントは _collab-edge レコードを含む DNS サーバを検索できます。
Cisco AnyConnect セキュア モビリティ クライアントをデバイスにダウンロードした後で、ASA はこのアプリケーションに対してコンフィギュレーション プロファイルをプロビジョニングする必要があります。
Cisco AnyConnect セキュア モビリティ クライアントのコンフィギュレーション プロファイルには、会社の ASA VPN ゲートウェイ、接続プロトコル(IPSec または SSL)、オンデマンド ポリシーなどの VPN ポリシー情報が含まれています。
次のいずれかの方法で、Cisco Jabber for iPhone and iPad のアプリケーション プロファイルをプロビジョニングすることができます。
ASA Device Manager(ASDM)のプロファイル エディタを使用して、Cisco AnyConnect セキュア モビリティ クライアントの VPN プロファイルを定義することをお勧めします。
この方法を使用すると、Cisco AnyConnect セキュア モビリティ クライアントが初めて VPN 接続を確立した以降は、VPN プロファイルが自動的にそのクライアントにダウンロードされます。この方法は、すべてのデバイスおよび OS タイプに使用でき、VPN プロファイルを ASA で集中管理できます。
詳細については、ご使用のリリースの『Cisco AnyConnect Secure Mobility Client Administrator Guide』の「Creating and Editing an AnyConnect Profile」のトピックを参照してください。
iPhone Configuration Utility(iPCU)を使用して作成する Apple コンフィギュレーション プロファイルを使用して iOS デバイスをプロビジョニングできます。Apple コンフィギュレーション プロファイルは、デバイスのセキュリティ ポリシー、VPN コンフィギュレーション情報、および Wi-Fi、メール、カレンダーの各種設定などの情報が含まれた XML ファイルです。
サード パーティの Mobile Device Management(MDM)ソフトウェアを使用して作成する Apple コンフィギュレーション プロファイルを使用して iOS デバイスをプロビジョニングできます。Apple コンフィギュレーション プロファイルは、デバイスのセキュリティ ポリシー、VPN コンフィギュレーション情報、および Wi-Fi、メール、カレンダーの各種設定などの情報が含まれた XML ファイルです。
Cisco Jabber for Android のアプリケーション プロファイルをプロビジョニングするには、ASA Device Manager(ASDM)のプロファイル エディタを使用して、Cisco AnyConnect セキュア モビリティ クライアントの VPN プロファイルを定義します。Cisco AnyConnect セキュア モビリティ クライアントが初めて VPN 接続を確立した以降は、VPN プロファイルが自動的にそのクライアントにダウンロードされます。この方法は、すべてのデバイスおよび OS タイプに使用でき、VPN プロファイルを ASA で集中管理できます。詳細については、ご使用のリリースの『Cisco AnyConnect Secure Mobility Client Administrator Guide』の「Creating and Editing an AnyConnect Profile」のトピックを参照してください。
ユーザが企業の Wi-Fi ネットワーク外から Cisco Jabber を開く場合、Cisco Jabber には、Cisco UC アプリケーション サーバにアクセスするための VPN 接続が必要です。Cisco AnyConnect Secure Mobility Client が、バックグラウンドで VPN 接続を自動的に確立できるようにシステムを設定できます。これは、シームレスなユーザ エクスペリエンスの提供に役立ちます。
(注) | VPN が自動接続に設定されていても、Expressway for Mobile and Remote Access の方が接続優先順位が高いため、VPN は起動されません。 |
Trusted Network Detection 機能は、ユーザの場所を基にして VPN 接続を自動化することによって、ユーザの体感品質を向上させます。ユーザが社内 Wi-Fi ネットワークの中にいる場合、Cisco Jabber は直接 Cisco UC インフラストラクチャに到達できます。ユーザが社内 Wi-Fi ネットワークを離れると、Cisco Jabber が自動的に信頼ネットワークの外側にいることを検出します。この状況が発生すると、Cisco AnyConnect セキュア モビリティ クライアントは UC インフラストラクチャへの接続を確保するため VPN を開始します。
(注) | Trusted Network Detection 機能には、証明書ベース認証およびパスワード ベース認証の両方を使用できます。ただし、証明書ベース認証の方が、よりシームレスな体感を与えることができます。 |
Apple iOS Connect On Demand 機能は、ユーザのドメインに基づいて VPN 接続を自動化することにより、ユーザ エクスペリエンスを強化します。
ユーザが社内 Wi-Fi ネットワークの中にいる場合、Cisco Jabber は直接 Cisco UC インフラストラクチャに到達できます。ユーザが企業の Wi-Fi ネットワーク外に出ると、Cisco AnyConnect は、AnyConnect クライアント プロファイルで指定されたドメインに接続されているか自動的に検出します。その場合、アプリケーションは VPN を開始して、UC インフラストラクチャへの接続を確認します。Cisco Jabber を含めて、デバイス上のすべてのアプリケーションがこの機能を利用できます。
(注) | Connect On Demand は、証明書で認証された接続だけをサポートします。 |
この機能では、次のオプションを使用できます。
[常に接続(Always Connect)]:Apple iOS は、常にこのリスト内のドメインへの VPN 接続を開始しようとします。
[必要に応じて接続(Connect If Needed)]:Apple iOS は、DNS を使用してアドレスを解決できない場合のみ、このリスト内のドメインへの VPN 接続を開始しようとします。
[接続しない(Never Connect)]:Apple iOS は、このリスト内のドメインへの VPN 接続を開始しようとしません。
Apple は近い将来に、[常に接続する(Always Connect)] オプションを削除する予定です。[常に接続する(Always Connect)] オプションの削除後は、ユーザは [必要に応じて接続する(Connect if Needed)] オプションを選択できます。Cisco Jabber ユーザが [必要に応じて接続(Connect if Needed)] オプションを使用したときに問題が発生する場合があります。たとえば、Cisco Unified Communications Manager のホスト名が社内ネットワークの外部で解決可能な場合は、iOS が VPN 接続をトリガーしません。ユーザは、コールを発信する前に、手動で Cisco AnyConnect セキュア モビリティ クライアントを起動することによって、この問題を回避できます。
モバイル デバイスで、証明書ベースの認証での VPN へのオンデマンド アクセスが設定されている必要があります。VPN アクセスの設定については、VPN クライアントおよびヘッド エンドのプロバイダーにお問い合わせください。
Cisco AnyConnect セキュア モビリティ クライアントと Cisco Adaptive Security Appliance の要件については、「ソフトウェア要件」のトピックを参照してください。
Cisco AnyConnect のセットアップ方法については、『Cisco AnyConnect VPN Client Maintain and Operate Guides』を参照してください。
ステップ 1 | クライアントがオンデマンドで VPN を起動する URL を指定します。 |
ステップ 2 | [Cisco Unified CM の管理(Cisco Unified CM Administration)] インターフェイスを開きます。 |
ステップ 3 | ユーザのデバイス ページに移動します。 |
ステップ 4 | [プロダクト固有の設定(Product Specific Configuration Layout)] セクションの [オンデマンドVPNのURL(On-Demand VPN URL)] フィールドに、ステップ 1 で Cisco AnyConnect で特定して使用した URL を入力します。
URL は、ドメイン名だけを含む必要があります。プロトコルやパスを含まないようにしてください。 |
ステップ 5 | [保存(Save)] を選択します。
Cisco Jabber が開くと、URL への DNS クエリを開始します(たとえば、ccm-sjc-111.cisco.com)。この URL が、この手順で定義した On Demand のドメイン リストのエントリ(たとえば、cisco.com)に一致する場合、Cisco Jabber は間接的に AnyConnect VPN 接続を開始します。 |
この機能をテストしてください。
この URL を iOS デバイスのインターネット ブラウザに入力し、VPN が自動的に起動することを確認します。ステータス バーに、VPN アイコンが表示されます。
VPN を使用して、iOS デバイスが社内ネットワークに接続できることを確認します。たとえば、社内イントラネットの Web ページにアクセスしてください。iOS デバイスが接続できない場合は、ご利用の VPN 製品のプロバイダーに問い合わせてください。
VPN が特定のタイプのトラフィックへのアクセスを制限(管理者が電子メールと予定表のトラフィックだけが許可されるようにシステムを設定している場合など)していないことを IT 部門に確認します。
クライアントが、社内ネットワークに直接接続されるように設定されていることを確認します。
証明書ベースの認証を使用して、Cisco AnyConnect セキュア モビリティ クライアントから Cisco Adaptive Security Appliance へのセキュアな接続をネゴシエートすることをお勧めします。
ASA は、Cisco IOS CA、Microsoft Windows 2003、Windows 2008 R2、Entrust、VeriSign、RSA Keon などの標準認証局(CA)サーバが発行した証明書をサポートします。ここでは、証明書ベースの認証のために ASA を設定するための高レベルな手順を説明します。適切な ASA コンフィギュレーション ガイドの順を追った手順については、「Configuring Digital Certificates」のトピックを参照してください。
Microsoft Windows Server の Simple Certificate Enrollment Protocol(SCEP)を使用して、クライアント認証のための証明書を安全に発行し、更新できます。
SCEP を使用して証明書を配布するには、Microsoft Windows Server に SCEP モジュールをインストールする必要があります。詳細については、次のトピックを参照してください。
証明書を含むモバイル コンフィギュレーション ファイルを作成するには、次の手順を実行します。このファイルを使用して、証明書をユーザに配布できます。
[Datagram Transport Layer Security](DTLS):DTLS は、遅延とデータ消失を防ぐデータ パスを提供する SSL プロトコルです。
[自動再接続(Auto Reconnect)]:自動再接続またはセッション永続性を使用すれば、Cisco AnyConnect Secure Mobility Client はセッション中断から回復して、セッションを再確立できます。
[セッション永続性(Session Persistence)]:このパラメータを使用すると、VPN セッションをサービス中断から回復し、接続を再確立できます。
[アイドルタイムアウト(Idle Timeout)]:アイドル タイムアウトは、通信アクティビティが発生しない場合に、ASA がセキュア接続を切断するまでの期間を定義します。
[デッドピア検出(Dead Peer Detection)](DTD):DTD は、ASA と Cisco AnyConnect Secure Mobility Client が、障害が発生した接続をすばやく検出できることを保証します。
Cisco AnyConnect Secure Mobility Client のエンドユーザのユーザ エクスペリエンスを最適化するために、次のように ASA セッション パラメータを設定することを推奨します。
ステップ 1 | DTLS を使用するように、Cisco AnyConnect を設定します。 詳細については、『Cisco AnyConnect VPN Client Administrator Guide, Version 2.0』の「Configuring AnyConnect Features Using ASDM」の章の、「Enabling Datagram Transport Layer Security (DTLS) with AnyConnect (SSL) Connections」のトピックを参照してください。 |
ステップ 2 | セッションの永続性(自動再接続)を設定します。
詳細については、ご使用のリリースの『Cisco AnyConnect Secure Mobility Client Administrator Guide』の「Configuring AnyConnect Features」の章(リリース 2.5)または「Configuring VPN Access」の章(リリース 3.0 または 3.1)の「Configuring Auto Reconnect」のトピックを参照してください。 |
ステップ 3 | アイドル タイムアウト値を設定します。
詳細については、ご使用のリリースの『Cisco ASA 5580 Adaptive Security Appliance Command Reference』の「vpn-idle-timeout」のセクションを参照してください。 |
ステップ 4 | Dead Peer Detection(DPD)を設定します。
詳細については、『Cisco ASA 5500 Series Configuration Guide using the CLI, 8.4 and 8.6』の「Configuring VPN」の章の、「Enabling and Adjusting Dead Peer Detection」のトピックを参照してください。 |
グループ ポリシー、クライアント プロファイル、および接続プロファイルを作成するために、ASA デバイス マネージャ(ASDM)を使用する必要があります。最初にグループ ポリシーを作成し、次にそのポリシーをプロファイルに適用します。ASDM を使用してプロファイルを作成すると、Cisco AnyConnect セキュア モビリティ クライアントが初めて ASA への接続を確立した後にプロファイルをダウンロードすることが保証されます。ASDM では、中央のロケーションでプロファイルとポリシーを管理および維持することができます。
ASDM を使用したポリシーとプロファイルの作成手順については、『Cisco AnyConnect Secure Mobility Client Administrator Guide』を参照してください。
Trusted Network Detection は、ユーザ ロケーションに基づいてセキュア接続を自動化する機能です。ユーザが社内ネットワークを離れると、Cisco AnyConnect Secure Mobility Client が信頼ネットワークの外部にいることを自動的に検出して、セキュアなアクセスを開始します。
クライアント プロファイルの一部として ASA に Trusted Network Detection を設定します。詳細については、ご使用のリリースの『Cisco AnyConnect Secure Mobility Client Administrator Guide』の「Trusted Network Detection」のトピックを参照してください。
フル トンネル ポリシー:すべてのトラフィックをセキュアな接続経由で ASA ゲートウェイに送信できるようにします。
ネットワーク ACL を使用したスプリット包含ポリシー:宛先 IP アドレスに基づいてセキュアな接続を制限できるようにします。たとえば、オンプレミス展開で、Cisco Unified Communications Manager、Cisco Unified Presence、TFTP サーバ、およびその他のサーバの IP アドレスを指定して、セキュアな接続をクライアントのトラフィックのみに制限できます。
スプリット除外ポリシー:特定のトラフィックをセキュアな接続から除外できるようにします。セキュア接続を介したクライアントのトラフィックを許可し、特定の宛先サブネットからトラフィックを除外できます。