メニュー:クライアント設定
概要
『Secure Accessクライアント』に適用する設定を管理するメニューです。その環境での共通デフォルト設定として適用される「グローバル」のほか、特定のデバイス、ユーザ、及びグループに対して個別に設定できます。
設定の反映
反映される設定はデバイス及びVPN接続時のユーザによって決まります。優先度が高い条件から順に個別の設定が登録されているかを確認し、確認できたものを『Secure Accessクライアント』に反映します。個別の設定が登録されていない場合はグローバルの設定を反映します。
「クライアント設定」で設定した内容はVPN接続時に反映されます。そのため、設定変更時点でVPN接続済みであるデバイスに対しては変更が反映されません。VPN接続済みであるデバイスに対して変更を反映するには、利用者が能動的にVPNを再接続するか、管理者がデバイスの再接続を強制する必要があります。再接続の強制については「2:VPN接続中のデバイスに再接続を強制する」をご覧ください。
構成要素
「クライアント設定」画面は3つの要素で構成されます。
左側:適用対象
設定の適用対象を指定するカラムです。
グローバルな設定を変更する場合は、「グローバルクライアント設定」を選択します。デバイスグループ、またはユーザグループに対する設定を変更する場合は、「デバイス設定」または「ユーザー設定」を展開し、表示された各グループ名を選択します。デバイス、及びユーザに対する設定を変更する場合は、枠外上部の「デバイス|ユーザー」のリンクから、個別設定を行う対象を選択します。その後、選んだデバイス、またはユーザがツリーに表示されます。ツリー上のデバイス、またはユーザを選択します。
中央:設定項目
設定項目を指定するカラムです。
項目を選択すると、画面の右側にその項目の説明、及び現在設定されている値が表示されます。
製品のデフォルト値から値が変更されている項目には、項目名の左側に歯車アイコンが表示されます。
- 濃色の歯車アイコン:選択中の適応対象で該当の設定を上書き指定されています。
- 淡色の歯車アイコン:より広範囲の(優先度としては低い)適用対象で、該当の設定が上書き指定されています。
設定変更可能な項目は、以下のとおりです。各項目で設定可能な値は『Mobilityコンソール』上の記載をご覧ください。
下記に記載がない項目の設定は変更できません。変更の依頼や項目自体の説明などに対するお問い合わせはサポート対象外です。
一部のクライアント設定は、環境によって未提供のものがあります。バージョンの項目に「○○以上」と表記されていない場合は、サービスのバージョンアップの完了をお待ちください。ご利用いただいている環境のバージョンは、『Mobilityコンソール』のダッシュボード上で確認できます。
| # | カテゴリ | 設定項目 | 説明 | 対応OS | バージョン |
|---|---|---|---|---|---|
| 1 | DNS | 暗号化された DNS を無効にする | DNS暗号化技術(DNS over HTTPS、DNS over TLS など)が有効な場合、ポリシー管理及びデータ可視化の機能が想定どおり働かない場合があります。本設定ではDNS暗号化技術を無効化することを試みます。無効化を保証する機能ではありません |
| 12.51以上 |
| 2 | Per-App VPN | 許可しないアプリケーション | VPNトンネル通信を行わないアプリケーションを指定します | | - |
| 3 | Web レピュテーション※1 | 要求のタイムアウト | レピュテーション機能によるトラフィック判定の最大待ち時間を設定します |
| - |
| 4 | 要求のタイムアウトアクション | レピュテーションデータベースの応答が確認できなかった場合の挙動を設定します |
| - | |
| 5 | イベントログのアーカイブ | 最大サイズ | 『Secure Accessクライアント』が記録するログの最大サイズを指定します。不具合調査の際に一時的な増量をお願いする場合があります |
| - |
| 6 | キャプティブポータルの検知 | Web アドレス | キャプティブポータルの存在を検知するために使用する宛先アドレスを設定します |
| - |
| 7 | Web プロキシ | キャプティブポータルの検知時にプロキシサーバの設定を無視するか否か設定します |
| - | |
| 8 | オン/オフ | キャプティブポータルの検知を行うか否か設定します |
| - | |
| 9 | グループの割り当て | Active Directory 別 | ユーザグループの自動振り分けを有効にするか否か設定します |
| - |
| 10 | ドメイン別 | 初めて接続するユーザを、ADドメインにもとづいてユーザグループに振り分けるか否か設定します |
| - | |
| 11 | セキュリティ | CNSA/Suite B 準拠 | CNSA/Suite B暗号化の準拠を必須とするか否か設定します |
| 12.51以上 |
| 12 | Suite B 準拠 | Suite B暗号化の準拠を必須とするか否か設定します |
| 12.51未満 | |
| 13 | クライアントの旧バージョンを切断 | 特定バージョン以前の『Secure Accessクライアント』が使用されている場合に、VPN切断またはトラフィックのブロックをするか否か設定します |
| - | |
| 14 | デバイス登録 | 特定/不特定ユーザに対して、デバイス一覧に存在しないデバイスの利用制限を設定します |
| - | |
| 15 | 暗号化タイプ | 暗号化タイプが変更できます |
| - | |
| 16 | 承認済みデバイス | 特定/不特定ユーザに対して、利用可能なデバイスを制限します。本設定で可能なデバイスはデバイス一覧に登録済みのデバイスに限定されます |
| - | |
| 17 | その他 | デバイス ID の保持 | デバイスIDを用いたデバイス認証を行うか否かを設定します 【注意】本サービスは非常に厳密なデバイス識別を行うため、OSの構成情報などに変更が加わった際に、異なる新規のデバイスとして認識する場合があります。本設定は、大型WindowsUpdateなどのイベント時に、多くのデバイスのデバイスIDが変更になる恐れがある際の、一時的回避策として用意されています。 『Secure Accessクライアント』のデバイスIDを検証しなくなり、理論上デバイスIDの詐称が容易になるため、恒久的な設定は推奨しません。 |
| - |
| 18 | タイムアウト | 非アクティブなアプリケーション | 通信が発生していないアプリケーションセッションを維持する期間を設定します。基本的には『到達不能』になったデバイスが残したセッションにより消費されているリソース解放の目的で設定します |
| - |
| 19 | 非アクティブなリンク | 『到達不能』デバイスのVPNセッションを維持する期間を設定します |
| - | |
| 20 | ネットワーク診断レポート※2 | PING タイムアウト | ネットワーク診断におけるping応答の最大待機時間を設定します |
| - |
| 21 | カスタムテストプロファイル | ネットワーク診断時に実行するカスタムテストを設定します |
| - | |
| 22 | スケジューリング | ネットワーク診断を定期的に自動実行させる場合に設定します |
| - | |
| 23 | ユーザーがネットワークの問題を診断できるように許可する | デバイス利用者が『Secure Accessクライアント』の「ネットワーク診断」を実行可能か否か設定します |
| - | |
| 24 | 組み込みテストのオーバーライド | ネットワーク診断の『標準テスト』を実行するか否か設定します |
| - | |
| 25 | フェイルオーバー | タイムアウト(初期) | VPN接続時に『Secure Accessクライアント』が『Mobilityサーバ』の応答がないと判断する時間を設定します |
| - |
| 26 | 接続のタイムアウト | VPN接続中に『Moblityサーバ』の応答が確認できなくなった際に、『Secure Accessクライアント』が応答を待つ時間を設定します。設定した時間経過後、別の『Mobilityサーバ』に接続を試みます |
| - | |
| 27 | ログオフ | 接続モード | ユーザがログオフした状態のデバイスの通信をブロックするか否か設定します |
| - |
| 28 | ログオン | Windowsの資格情報を試行 | Windowsログオン時に入力した資格情報を用いたVPNのシングルサインオンを試みるか否か設定します。SAML認証の場合は効果がありません |
| - |
| 29 | デフォルト資格情報 | ユーザ認証時に、直前に利用したユーザ名とドメイン名をプリセットするか否か設定します。Windowsの場合は、Windowsログオンユーザとドメインをプリセットさせる選択が可能です。デバイスにパスワードが保存されている場合は資格情報入力が省略されるため、本設定の効果を受けません。SAML認証の場合は効果がありません |
| - | |
| 30 | 再開時に再認証 | スリープから復旧した際に資格情報を再入力させるか否か設定します |
| - | |
| 31 | 再認証の間隔 | 定期的に再認証させるか否か設定します |
| - | |
| 32 | 常にユーザー資格情報を要求 | ユーザ認証のたびに資格情報の入力を要求するか否か設定します |
| - | |
| 33 | 接続ダイアログの期間 | Windowsログオン時に、VPN接続が完了するのを待つ時間を設定します |
| - | |
| 34 | 接続ダイアログを遅延 | VPN接続に時間がかかっている場合に、メッセージを表示するまでの待ち時間を設定します |
| - | |
| 35 | 接続のデフォルト | 『Secure Accessクライアント』の起動時に自動的にVPN接続を開始するか否か設定します |
| - | |
| 36 | 位置 | データレポートのオン/オフ | 『Secure Accessクライアント』に位置情報を送信させるか否か設定します |
| - |
| 37 | 位置情報 | Fused Location | OSのFused Location機能を使用するか否か設定します |
| - |
| 38 | 仮想アドレス | DHCP ユーザークラス※3 | プロキシ転送を行うか否か設定します |
| - |
| 39 | 許可 | アプリケーションによる切断許可のオーバーライド※4 | 『Secure Accessクライアント』内蔵のユーティリティプログラムによるVPN切断を受け付けるか否か設定します |
| 12.51以上 |
| 40 | 脅威防御※1 | Web レピュテーションリスクに基づいてトラフィックをブロック | ポリシーに依らず、常にトラフィックをブロックするリスクレベルを設定します |
| - |
| 41 | 権限 | API 制御を許可※4 | 『Secure Accessクライアント』内蔵のユーティリティプログラムによる制御を受け付けるか否か設定します |
| 12.51未満 |
| 42 | クライアント構成を許可 | 利用者がVPN接続先を変更できるか否か設定します |
| - | |
| 43 | デフォルト資格情報のオーバーライド | 「デフォルト資格情報」で選択した動作を、利用者がオーバーライドできるか否か設定します |
| - | |
| 44 | 切断を許可※5 | 利用者によるVPN切断を許可するか否かを設定します |
| - | |
| 45 | 接続のデフォルトのオーバーライド | 「接続のデフォルト」で選択した動作を、利用者がオーバーライドできるか否か設定します |
| - | |
| 46 | 接続 | バイパスリスト | ポリシーに依らず、常にVPNトンネル外部で通信したい宛先を設定します |
| - |
| 47 | 遅延 | ドメインコントローラの連絡 | Windowsログオン時にWindowsOSがドメインコントローラの応答を待つ時間を設定します |
| - |
| 48 | 認証 | モバイルデバイスでパスワードの保存を許可 | ユーザ認証時のパスワード保存を許可するか否か設定します。Windowsはこの設定と関係なく、認証成功した資格情報をOS再起動などが行われるまでの間キャッシュします。SAML認証の場合は効果がありません | | - |
| 49 | 生体認証 | ユーザ認証に加え、デバイスの生態認証を要求するか否か設定します | | - | |
| 50 | 設定のプロファイル | NTLM認証とSAML認証、いずれの認証方法を利用するか設定します |
| 12.51以上 |
※1:Completeグレードでのみ表示されます。
※2:ネットワーク診断はCompleteグレードでしか実行できませんが、Core/Starterグレードでも設定することはできます。
※3:プロキシ転送機能を利用する場合にのみ使用します。他の用途はサポートしていません。
※4:本サービスではWindows専用ユーティリティプログラム「tellmes.exe」による一部機能のみをサポートします。スクリプトはサポートしていません。
※5:Android、iOS及びiPadOSでは『Secure Accessクライアント』上での切断に対してのみ制限します。OSのVPN設定画面からの切断を抑止するにはMDM製品等で制御が必要です。
右側:設定内容
設定項目の説明及び現在の設定を確認する画面です。設定変更可能な項目については、設定値の変更及び製品デフォルト値へのリセットなどができます。