メニュー:クライアント設定

概要

『Secure Accessクライアント』に適用する設定を管理するメニューです。その環境での共通デフォルト設定として適用される「グローバル」のほか、特定のデバイス、ユーザ、及びグループに対して個別に設定できます。

設定の反映

反映される設定はデバイス及びVPN接続時のユーザによって決まります。優先度が高い条件から順に個別の設定が登録されているかを確認し、確認できたものを『Secure Accessクライアント』に反映します。個別の設定が登録されていない場合はグローバルの設定を反映します。
「クライアント設定」で設定した内容はVPN接続時に反映されます。そのため、設定変更時点でVPN接続済みであるデバイスに対しては変更が反映されません。VPN接続済みであるデバイスに対して変更を反映するには、利用者が能動的にVPNを再接続するか、管理者がデバイスの再接続を強制する必要があります。再接続の強制については「2:VPN接続中のデバイスに再接続を強制する」をご覧ください。

構成要素

「クライアント設定」画面は3つの要素で構成されます。

左側:適用対象

設定の適用対象を指定するカラムです。

グローバルな設定を変更する場合は、「グローバルクライアント設定」を選択します。デバイスグループ、またはユーザグループに対する設定を変更する場合は、「デバイス設定」または「ユーザー設定」を展開し、表示された各グループ名を選択します。デバイス、及びユーザに対する設定を変更する場合は、枠外上部の「デバイス|ユーザー」のリンクから、個別設定を行う対象を選択します。その後、選んだデバイス、またはユーザがツリーに表示されます。ツリー上のデバイス、またはユーザを選択します。

中央:設定項目

設定項目を指定するカラムです。

項目を選択すると、画面の右側にその項目の説明、及び現在設定されている値が表示されます。
製品のデフォルト値から値が変更されている項目には、項目名の左側に歯車アイコンが表示されます。

  • 濃色の歯車アイコン:選択中の適応対象で該当の設定を上書き指定されています。
  • 淡色の歯車アイコン:より広範囲の(優先度としては低い)適用対象で、該当の設定が上書き指定されています。

設定変更可能な項目は、以下のとおりです。各項目で設定可能な値は『Secure Accessコンソール』上の記載をご覧ください。
下記に記載がない項目の設定は変更できません。変更の依頼や項目自体の説明などに対するお問い合わせはサポート対象外です。


#カテゴリ設定項目説明対応OS
1DNS

ダイナミックDNS※1

DNSに登録されるアドレスの種類(VIP、POP、または両方)を設定します

2暗号化されたDNSを無効にする

DNS暗号化技術(DNS over HTTPS、DNS over TLS など)が有効な場合、ポリシー管理及びデータ可視化の機能が想定どおり働かない場合があります。本設定ではDNS暗号化技術を無効化することを試みます。無効化を保証する機能ではありません

 

3Per-App VPN

許可しないアプリケーション

VPNトンネル通信を行わないアプリケーションを指定します

    

4

Web レピュテーション※2

要求のタイムアウトレピュテーション機能によるトラフィック判定の最大待ち時間を設定します

   

5要求のタイムアウトアクション

レピュテーションデータベースの応答が確認できなかった場合の挙動を設定します

   

6イベントログのアーカイブ最大サイズ

『Secure Accessクライアント』が記録するログの最大サイズを指定します。不具合調査の際に一時的な増量をお願いする場合があります

7

キャプティブポータルの検知

Web アドレスキャプティブポータルの認証後にアクセスするWebページのアドレスを設定します

8Web プロキシキャプティブポータルの検知時にプロキシサーバの設定を無視するか否か設定します

9オン/オフキャプティブポータルの検知を行うか否か設定します

10

グループの割り当て

Active Directory 別

ユーザグループの自動振り分けを有効にするか否か設定します

   

11ドメイン別初めて接続するユーザを、ADドメインにもとづいてユーザグループに振り分けるか否か設定します

   

12

セキュリティ

CNSA/Suite B 準拠CNSA/Suite B暗号化の準拠を必須とするか否か設定します

   

13クライアントの旧バージョンを切断特定バージョン以前の『Secure Accessクライアント』が使用されている場合に、VPN切断またはトラフィックのブロックをするか否か設定します

   

14デバイス登録特定/不特定ユーザに対して、デバイス一覧に存在しないデバイスの利用制限を設定します

   

15暗号化タイプ暗号化タイプが変更できます

   

16承認済みデバイス

特定/不特定ユーザに対して、利用可能なデバイスを制限します。本設定で可能なデバイスはデバイス一覧に登録済みのデバイスに限定されます

   

17その他デバイス ID の保持

デバイスIDを用いたデバイス認証を行うか否かを設定します

【注意】

本サービスは非常に厳密なデバイス識別を行うため、OSの構成情報などに変更が加わった際に、異なる新規のデバイスとして認識する場合があります。本設定は、大型WindowsUpdateなどのイベント時に、多くのデバイスのデバイスIDが変更になる恐れがある際の、一時的回避策として用意されています。

『Secure Accessクライアント』のデバイスIDを検証しなくなり、理論上デバイスIDの詐称が容易になるため、恒久的な設定は推奨しません。

   

18タイムアウト非アクティブなアプリケーション

通信が発生していないアプリケーションセッションを維持する期間を設定します。基本的には『到達不能』になったデバイスが残したセッションにより消費されているリソース解放の目的で設定します

   

19非アクティブなリンク『到達不能』デバイスのVPNセッションを維持する期間を設定します

   

20

ネットワーク診断レポート※3

PING タイムアウトネットワーク診断におけるping応答の最大待機時間を設定します

   

21カスタムテストプロファイルネットワーク診断時に実行するカスタムテストを設定します

   

22スケジューリングネットワーク診断を定期的に自動実行させる場合に設定します

   

23ユーザーがネットワークの問題を診断できるように許可デバイス利用者が『Secure Accessクライアント』の「ネットワーク診断」を実行可能か否か設定します

   

24組み込みテストのオーバーライドネットワーク診断の『標準テスト』を実行するか否か設定します

   

25フェイルオーバータイムアウト(初期)VPN接続時に『Secure Accessクライアント』が『Secure Accessサーバ』の応答がないと判断する時間を設定します

   

26接続のタイムアウト

VPN接続中に『Secure Accessサーバ』の応答が確認できなくなった際に、『Secure Accessクライアント』が応答を待つ時間を設定します。設定した時間経過後、別の『Secure Accessサーバ』に接続を試みます

   

27

ログオフ

接続モードユーザがログオフした状態のデバイスの通信をブロックするか否か設定します

28

ログオン

Windowsの資格情報を試行Windowsログオン時に入力した資格情報を用いたVPNのシングルサインオンを試みるか否か設定します。SAML認証の場合は効果がありません

29デフォルト資格情報

ユーザ認証時に、直前に利用したユーザ名とドメイン名をプリセットするか否か設定します。Windowsの場合は、Windowsログオンユーザとドメインをプリセットさせる選択が可能です。デバイスにパスワードが保存されている場合は資格情報入力が省略されるため、本設定の効果を受けません。SAML認証の場合は効果がありません

   

30再開時に再認証スリープから復旧した際に資格情報を再入力させるか否か設定します

31再認証の間隔定期的に再認証させるか否か設定します

   

32常にユーザー資格情報を要求ユーザ認証のたびに資格情報の入力を要求するか否か設定します

   

33接続ダイアログの期間Windowsログオン時に、VPN接続が完了するのを待つ時間を設定します

34接続ダイアログを遅延VPN接続に時間がかかっている場合に、メッセージを表示するまでの待ち時間を設定します

35接続のデフォルト『Secure Accessクライアント』の起動時に自動的にVPN接続を開始するか否か設定します

  

36位置データレポートのオン/オフ『Secure Accessクライアント』に位置情報を送信させるか否か設定します

   

37

位置情報

Fused LocationOSのFused Location機能を使用するか否か設定します

  

38

仮想アドレス

DHCP ユーザークラス※4プロキシ転送を行うか否か設定します

   

39許可アプリケーションによる切断許可のオーバーライド※5『Secure Accessクライアント』内蔵のユーティリティプログラムによるVPN切断を受け付けるか否か設定します

 

40

脅威防御※2

Web レピュテーションリスクに基づいてトラフィックをブロックポリシーに依らず、常にトラフィックをブロックするリスクレベルを設定します

   

41権限クライアント構成を許可利用者がVPN接続先を変更できるか否か設定します

   

42デフォルト資格情報のオーバーライド「デフォルト資格情報」で選択した動作を、利用者がオーバーライドできるか否か設定します

43切断を許可※6利用者によるVPN切断を許可するか否かを設定します

    

44接続のデフォルトのオーバーライド「接続のデフォルト」で選択した動作を、利用者がオーバーライドできるか否か設定します

  

45

接続

バイパスリストポリシーに依らず、常にVPNトンネル外部で通信したい宛先を設定します

   

46

遅延

ドメインコントローラの連絡

Windowsログオン時にWindowsOSがドメインコントローラの応答を待つ時間を設定します

47認証モバイルデバイスでパスワードの保存を許可

ユーザ認証時のパスワード保存を許可するか否か設定します。Windowsはこの設定と関係なく、認証成功した資格情報をOS再起動などが行われるまでの間キャッシュします。SAML認証の場合は効果がありません

    

48生体認証ユーザ認証に加え、デバイスの生態認証を要求するか否か設定します

    

49設定のプロファイルNTLM認証とSAML認証、いずれの認証方法を利用するか設定します

   

※1:変更を希望される場合は、『設定変更オプション』でダイナミックDNS設定権限の変更をお申し込みください。
※2:Completeグレードでのみ表示されます。
※3:ネットワーク診断はCompleteグレードでしか実行できませんが、Core/Starterグレードでも設定することはできます。
※4:プロキシ転送機能を利用する場合にのみ使用します。他の用途はサポートしていません。
※5:本サービスではWindows専用ユーティリティプログラム「tellmes.exe」による一部機能のみをサポートします。スクリプトはサポートしていません。
※6:Android、iOS及びiPadOSでは『Secure Accessクライアント』上での切断に対してのみ制限します。OSのVPN設定画面からの切断を抑止するにはMDM製品等で制御が必要です。

右側:設定内容

設定項目の説明及び現在の設定を確認する画面です。設定変更可能な項目については、設定値の変更及び製品デフォルト値へのリセットなどができます。