Cisco AnyConnect Secure Mobility Client 管理者ガイドリリース 3.1

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ

このマニュアル内で検索

ご利用いただける言語

Download Options

Book Title

Cisco AnyConnect Secure Mobility Client 管理者ガイドリリース 3.1

Chapter Title

相互運用性のガイドラインおよび要件

PDF - Complete Book (7.13 MB) PDF - This Chapter (262.0 KB)
View with Adobe Reader on a variety of devices

検索結果

Updated:: 2017年6月8日

章のタイトル：相互運用性のガイドラインおよび要件

検疫を使用した非準拠クライアントの制限
- 検疫要件
- 検疫の設定
Microsoft Active Directory を使用して、ドメインユーザの Internet Explorer の信頼済みサイトリストにセキュリティアプライアンスを追加する方法
AnyConnect および Cisco Secure Desktop を CSA と相互運用するための設定方法
AnyConnect およびレガシー VPN クライアントのポート情報
サブネット内でのトラフィックのクライアントスプリットトンネリング動作の違い

相互運用性のガイドラインおよび要件

この章では、次の方法について説明します。

• 「検疫を使用した非準拠クライアントの制限」

• 「Microsoft Active Directory を使用して、ドメインユーザの Internet Explorer の信頼済みサイトリストにセキュリティアプライアンスを追加する方法」

• 「AnyConnect および Cisco Secure Desktop を CSA と相互運用するための設定方法」

• 「AnyConnect およびレガシー VPN クライアントのポート情報」

• 「サブネット内でのトラフィックのクライアントスプリットトンネリング動作の違い」

検疫を使用した非準拠クライアントの制限

検疫の使用により、VPN 接続を開始しようとしている特定のクライアントを制限することができます。ASA は制限付き ACL をセッションに適用し、[Configuration] > [Remote Access VPN] > [Network (Client) Access or Clientless SSL VPN Access] > [Dynamic Access Policies] で設定されたダイナミックアクセスポリシーに基づいて制限付きグループを形成します。エンドポイントが管理面で定義されているポリシーに準拠していない場合でも、ユーザは（アンチウイルスアプリケーションのアップデートなど）サービスにアクセスして修復できますが、ユーザに制限がかけられます。修復後、ユーザは再接続できます。この再接続により、新しいポスチャアセスメントが起動されます。このアセスメントに合格すると、ユーザは制限なしで接続されます。

検疫要件

検疫時には、適応型セキュリティアプライアンスで AnyConnect Premium ライセンスがアクティブになっている必要があります。Advanced Endpoint Assessment は、アンチウイルス、スパイウェア、およびファイアウォールなどのアプリケーションのダイナミックポリシー要件、また関連付けられている任意のアプリケーション定義ファイル要件に準拠しないエンドポイントを修復します。Advanced Endpoint Assessment は Cisco Secure Desktop のホストスキャン機能であるため、AnyConnect では、Windows Mobile も含めて、AnyConnect でサポートされるすべての OS での検疫がサポートされます。

ASA リリース 8.3（1）以降では、ユーザに対して最初に検疫が通知されるときに、AnyConnect GUI にユーザメッセージを表示するダイナミックアクセスポリシーおよびグループポリシーの機能を備えています。その他の検疫メッセージ（「Quarantined - Remediation Required」および「To attempt a normal connection, please reconnect」など）もレポートされますが、これらのメッセージは管理者が定義してユーザに表示することはできません。検疫では ASA をアップグレードする必要はなく、ユーザメッセージでのみ ASA のアップグレードが必要です。

ASA ソフトウェアをアップグレードする場合、新機能を設定できるようにするため ASDM をリリース 6.3（1）以降にアップグレードすることもお勧めします。

AnyConnect は、Windows Mobile など AnyConnect でサポートされているすべての OS での検疫をサポートします。クライアントは、Windows 7、Vista、XP、および Mac OS と Linux で検疫ユーザメッセージをサポートしますが、Windows Mobile ではサポートしません。

検疫の設定

検疫を設定するには、次の手順を実行します。

ステップ 1 （任意）非準拠コンピュータを修復するよう Host Scan を設定するには、[Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Host Scan] > [Advanced Endpoint Assessment] を選択します。

ステップ 2 [Remote Access VPN] > [Network (Client) Access] > [Dynamic Access Policies] を選択して [Add] をクリックし、非準拠コンピュータを識別するエンドポイント属性を使用する DAP を作成します。[Action] タブをクリックし、[Quarantine] をクリックします。

ステップ 3 （任意指定）検疫されたセッションのユーザに表示するメッセージを入力します。

ダイナミックアクセスポリシーの設定の詳細を知りたい場合は、ASDM ヘルプをご覧ください。

Microsoft Active Directory を使用して、ドメインユーザの Internet Explorer の 信頼済みサイトリストにセキュリティアプライアンスを追加する方法

Active Directory のドメイン管理者は、グループポリシーをドメインユーザにプッシュして、Internet Explorer の信頼済みサイトのリストにセキュリティアプライアンスを追加できます。これは、ユーザが個別に信頼済みサイトのリストにセキュリティアプライアンスを追加する手順とは異なります。この手順は、ドメイン管理者が管理している Windows マシンの Internet Explorer にのみ適用されます。

セキュリティアプライアンスでは、フィルタリングテーブルに格納されているデータを使用して、ドメイン名および IP アドレスパスセグメントなどの URL 要求属性が評価され、ローカルで保持されているデータベースレコードと照合されます。一致が見つかった場合、アクセスポリシー設定によりアクションが決定されて、トラフィックがブロックまたはモニタリングされます。一致が見つからない場合は、プロセスが続行されます。

（注） Windows Vista または Windows 7 を実行していて、WebLaunch を使用する予定のユーザは、セキュリティアプライアンスを Internet Explorer の信頼済みサイトのリストに追加する必要があります。

Active Directory を使用して、グループポリシーによってセキュリティアプライアンスを Internet Explorer の信頼済みサイトセキュリティゾーンに追加するポリシーを作成するには、次の手順を実行します。

ステップ 1 Domain Admins グループのメンバーとしてログインします。

ステップ 2 [Active Directory Users and Computers MMC] スナップインを開きます。

ステップ 3 グループポリシーオブジェクトを作成するドメインまたは組織ユニットを右クリックして、[Properties] をクリックします。

ステップ 4 [Group Policy] タブを選択して、[New] をクリックします。

ステップ 5 新しいグループポリシーオブジェクトの名前を入力して、Enter を押します。

ステップ 6 一部のユーザまたはグループにこの新しいポリシーが適用されないようにするには、[Properties] をクリックします。[Security] タブを選択します。このポリシーを適用 しない ユーザまたはグループを追加し、[Allow] カラムの [Read] チェックボックスと [Apply Group Policy] チェックボックスをオフにします。[OK] をクリックします。

ステップ 7 [Edit] をクリックして、[User Configuration] > [Windows Settings] > [Internet Explorer Maintenance] > [Security] を選択します。

ステップ 8 右側のペインで [Security Zones and Content Ratings] を右クリックし、[Properties] をクリックします。

ステップ 9 [Import the current security zones and privacy settings] を選択します。プロンプトが表示されたら、[Continue] をクリックします。

ステップ 10 [Modify Settings] をクリックし、[Trusted Sites] を選択して、[Sites] をクリックします。

ステップ 11 信頼済みサイトのリストに追加するセキュリティアプライアンスの URL を入力し、[Add] をクリックします。フォーマットは、ホスト名（https://vpn.mycompany.com）または IP アドレス（https://192.168.1.100）です。完全一致（https://vpn.mycompany.com）を使用することも、ワイルドカード（https://*.mycompany.com）を使用することもできます。

ステップ 12 [Close] をクリックし、すべてのダイアログボックスが閉じるまで [OK] をクリックします。

ステップ 13 ドメインまたはフォレスト全体にポリシーが伝搬されるまで待ちます。

ステップ 14 [Internet Options] ウィンドウで [OK] をクリックします。

AnyConnect および Cisco Secure Desktop を CSA と相互運用するための設定方法

リモートユーザに Cisco Security Agent（CSA）がインストールされている場合は、AnyConnect および Cisco Secure Desktop を ASA と相互運用できるように、CSA ポリシーをリモートユーザにインポートする必要があります。

これを実行するには、次のステップを実行します。

ステップ 1

AnyConnect および Cisco Secure Desktop の CSA ポリシーを取得します。次の場所からファイルを取得できます。

• ASAに同梱の CD

• ASA 5500 シリーズ適応型セキュリティアプライアンスのソフトウェアダウンロードページ（http://www.cisco.com/cgi-bin/tablebuild.pl/asa）

ファイル名は、AnyConnect-CSA.zip および CSD-for-CSA-updates.zip です。

ステップ 2 .zip パッケージファイルから、.export ファイルを展開します。

ステップ 3 インポートする正しいバージョンの .export ファイルを選択します。CSA バージョン 5.2 以降の場合は、バージョン 5.2 のエクスポートファイルです。CSA バージョン 5.0 および 5.1 の場合は、5.x のエクスポートファイルです。

ステップ 4 CSA Management Center の [Maintenance] > [Export/Import] タブを使用して、ファイルをインポートします。

ステップ 5 VPN ポリシーに新しいルールモジュールを追加して、ルールを生成します。

詳細については、CSA のマニュアル『 Using Management Center for Cisco Security Agents 5.2 』を参照してください。ポリシーのエクスポートに関する情報は、「 Exporting and Importing Configurations 」の項にあります。

AnyConnect およびレガシー VPN クライアントのポート情報

表 10-1 および表 10-2 に、レガシー Cisco VPN クライアントから Cisco AnyConnect Secure Mobility Client にユーザを移行する際に役立つポート情報を示します。

表 10-1 AnyConnect Client により使用されるポート

プロトコル	Cisco AnyConnect Client ポート
TLS（SSL）	TCP 443
SSL リダイレクション	TCP 80（任意）
DTLS	UDP 443（任意、ただし強く推奨）
IPsec/IKEv2	UDP 500、UDP 4500

表 10-2 Cisco VPN（IPsec）Client により使用されるポート

プロトコル	Cisco VPN Client（IPsec）ポート
IPsec/NATT	UDP 500、UDP 4500
IPsec/NATT	UDP 500、UDP 4500
IPsec/TCP	TCP（設定可能）
IPsec/UDP	UDP 500、UDP X（設定可能）

サブネット内でのトラフィックのクライアントスプリットトンネリング動作の違い

AnyConnect クライアントおよびレガシー Cisco VPN（IPsec/IKEv1 クライアント）は、ASA によって割り当てられた IP アドレスと同じサブネット内のサイトにトラフィックを渡す場合、動作が異なります。AnyConnect では、クライアントは、設定済みのスプリットトンネリングポリシーで指定されたすべてのサイト、および ASA によって割り当てられた IP アドレスと同じサブネット内に含まれるすべてのサイトにトラフィックを渡します。たとえば、ASA によって割り当てられた IP アドレスが 10.1.1.1、マスクが 255.0.0.0 の場合、エンドポイントデバイスは、スプリットトンネリングポリシーに関係なく、10.0.0.0/8 を宛先とするすべてのトラフィックを渡します。

これとは対照的に、レガシー Cisco VPN Client は、クライアントに割り当てられたサブネットに関係なく、スプリットトンネリングポリシーで指定されたアドレスだけにトラフィックを渡します。

そのため、割り当てられた IP アドレスが、期待されるローカルサブネットを適切に参照するように、ネットマスクを使用します。

このドキュメントは役に立ちましたか?

フィードバック

シスコに問い合わせ

サポートケースをオープン
(シスコサービス契約が必要です。)

Cisco AnyConnect Secure Mobility Client 管理者ガイド リリース 3.1

偏向のない言語

翻訳について

検索結果

章のタイトル： 相互運用性のガイドラインおよび要件

相互運用性のガイドラインおよび要件

検疫を使用した非準拠クライアントの制限

検疫要件

検疫の設定

Microsoft Active Directory を使用して、ドメイン ユーザの Internet Explorer の信頼済みサイト リストにセキュリティ アプライアンスを追加する方法

AnyConnect および Cisco Secure Desktop を CSA と相互運用するための設定方法

AnyConnect およびレガシー VPN クライアントのポート情報

サブネット内でのトラフィックのクライアント スプリット トンネリング動作の違い

このドキュメントは役に立ちましたか?

シスコに問い合わせ

Cisco AnyConnect Secure Mobility Client 管理者ガイドリリース 3.1

章のタイトル：相互運用性のガイドラインおよび要件

Microsoft Active Directory を使用して、ドメインユーザの Internet Explorer の信頼済みサイトリストにセキュリティアプライアンスを追加する方法

サブネット内でのトラフィックのクライアントスプリットトンネリング動作の違い