GlobalProtect Administrator`s Guide

Palo Alto Networks
®
GlobalProtect 管理者ガイド
バージョン 6.1
連絡先情報
本社 :
Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/
このガイドについて
このガイドでは、GlobalProtect インフラストラクチャの設定と管理方法ついて説明します。詳細は、以
下のリソースを参照してください。

追加の機能およびファイアウォールの機能の設定方法の詳細
（https://www.paloaltonetworks.com/documentation）

ナレッジベース、ドキュメントセット一式、ディスカッションフォーラム、および動画
（https://live.paloaltonetworks.com）

サポート窓口、サポートプログラムの詳細、アカウントまたはデバイスの管理
（https://support.paloaltonetworks.com）

最新のリリースノート（https://support.paloaltonetworks.com/Updates/SoftwareUpdates のソフトウェア
のダウンロードページ）
ドキュメントのフィードバックは、[email protected] までご送付ください。
Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2015 Palo Alto Networks. All rights reserved.
Palo Alto Networks および PAN-OS は Palo Alto Networks, Inc. の登録商標です。
改定日 : 2015 年 6 月 18 日
ii
目次
GlobalProtect の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
GlobalProtect コンポーネントについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
GlobalProtect ポータル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
GlobalProtect ゲートウェイ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
GlobalProtect クライアント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
GlobalProtect Mobile Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
GlobalProtect でサポートされているクライアント OS バージョン . . . . . . . . . . . . . . . . . . . . . . . . . . 6
GlobalProtect ライセンスの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
GlobalProtect インフラストラクチャのセットアップ . . . . . . . . . . . . . . . . . . .9
GlobalProtect のインターフェイスおよびゾーンの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
GlobalProtect コンポーネント間の SSL の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
GlobalProtect 証明書のデプロイメントについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
GlobalProtect 証明書のベストプラクティス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
GlobalProtect コンポーネントへのサーバー証明書のデプロイ . . . . . . . . . . . . . . . . . . . . . . . . . 18
GlobalProtect ユーザー認証のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
GlobalProtect ユーザー認証について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
外部認証のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
クライアント証明書認証のセットアップ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2 要素認証のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
strongSwan Ubuntu および CentOS クライアントの認証のセットアップ. . . . . . . . . . . . . . . . . 38
グループマッピングの有効化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
GlobalProtect ゲートウェイの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
GlobalProtect ゲートウェイを設定するための前提条件となるタスク. . . . . . . . . . . . . . . . . . . 45
GlobalProtect ゲートウェイの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
GlobalProtect ポータルの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
GlobalProtect ポータルを設定するための前提条件となるタスク . . . . . . . . . . . . . . . . . . . . . . . 51
GlobalProtect ポータルへのアクセスのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
GlobalProtect クライアント設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
GlobalProtect エージェントのカスタマイズ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
GlobalProtect ポータルログイン、ウェルカムページ、
およびヘルプページのカスタマイズ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
GlobalProtect クライアントソフトウェアのデプロイ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
GlobalProtect エージェントソフトウェアのデプロイ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
GlobalProtect モバイルアプリケーションのダウンロードおよびインストール . . . . . . . . . 72
エージェントの設定の透過的なデプロイ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
カスタマイズ可能なエージェントの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Windows クライアントへのエージェント設定のデプロイ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Mac クライアントへのエージェント設定のデプロイ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
GlobalProtect 管理者ガイド iii
GlobalProtect iOS アプリケーションとサードパーティ MDM の併用 . . . . . . . . . . . . . . . . . . . . . . . 84
GlobalProtect iOS アプリケーションのデバイスレベルの VPN 設定 . . . . . . . . . . . . . . . . . . . . 85
GlobalProtect iOS アプリケーションのアプリケーションレベルの VPN 設定 . . . . . . . . . . . 86
リファレンス : GlobalProtect エージェントの暗号化機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
GlobalProtect Mobile Security Manager のセットアップ . . . . . . . . . . . . . . . 89
Mobile Security Manager デプロイメントのベストプラクティス. . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Mobile Security Manager への管理アクセスのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Mobile Security Manager の登録、ライセンスの取得、更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
GP-100 アプライアンスの登録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ライセンスのアクティベーション / 取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
コンテンツ更新およびソフトウェア更新のインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . .
96
96
97
99
デバイス管理のための Mobile Security Manager のセットアップ. . . . . . . . . . . . . . . . . . . . . . . . . . . 101
デバイスチェックインのための Mobile Security Manager の設定 . . . . . . . . . . . . . . . . . . . . . . 101
登録のための Mobile Security Manager の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Mobile Security Manager へのゲートウェイアクセスの有効化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
デプロイメントポリシーの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mobile Security Manager ポリシーのデプロイメントについて . . . . . . . . . . . . . . . . . . . . . . . . .
Mobile Security Manager ポリシーのベストプラクティス . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mobile Security Manager と LDAP ディレクトリの統合. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HIP オブジェクトおよび HIP プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
設定プロファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
デプロイメントポリシーの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
116
116
120
123
124
128
147
Mobile Security Manager 設定の検証. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Mobile Security Manager への管理アクセスのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
管理認証のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
管理アカウントの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
モバイルデバイスの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
デバイスのタグ別のグループ化によるデバイス管理の簡略化 . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
手動によるデバイスへのタグ付け. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
デバイスへの事前タグ付け . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
モバイルデバイスのモニター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
リモートデバイスの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
デバイスの操作. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
紛失または盗難にあったデバイスに対するアクションの実行 . . . . . . . . . . . . . . . . . . . . . . .
デバイスの削除. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
170
170
171
172
モバイルデバイスのトラフィック規制用のセキュリティポリシーの作成 . . . . . . . . . . . . . . . 173
iv
GlobalProtect 管理者ガイド
エンタープライズアプリケーションストアでのビジネス
アプリケーションおよびデータの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
エンタープライズアプリケーションストアの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
エンタープライズアプリケーションストアの概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
管理対象アプリケーション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
必須アプリケーションと省略可能アプリケーション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
Apple Volume Purchase Program（VPP） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
管理対象アプリケーションの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
エンタープライズアプリケーションの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Google Play または Apple アプリケーションの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
VPP アプリケーションの管理対象アプリケーションとしての追加 . . . . . . . . . . . . . . . . . . . 185
アプリケーションストアのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
アプリケーションの管理およびモニター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
ビジネストラフィックの分離. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
ビジネスデータの分離 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
単一アプリケーションモードの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
ポリシー適用におけるホスト情報の使用. . . . . . . . . . . . . . . . . . . . . . . . . . .205
ホスト情報について. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
GlobalProtect エージェントが収集するデータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
ゲートウェイがポリシー適用でホスト情報を使用する方法 . . . . . . . . . . . . . . . . . . . . . . . . . 209
システムの準拠を確認する方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
エンドクライアントの状態の表示方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
HIP ベースのポリシー適用の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
クライアントからのアプリケーションおよびプロセスデータの収集 . . . . . . . . . . . . . . . . . . . . 220
GlobalProtect クイック設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
リモートアクセス VPN（認証プロファイル） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
リモートアクセス VPN（証明書プロファイル） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
2 要素認証を使用したリモートアクセス VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
常時オンの VPN 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
pre-logon を使用したリモートアクセス VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
GlobalProtect 複数ゲートウェイ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
内部 HIP チェックとユーザーベースのアクセス用の GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . 251
内部ゲートウェイと外部ゲートウェイの混合設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
GlobalProtect 管理者ガイド
v
vi
GlobalProtect 管理者ガイド
GlobalProtect の概要
自宅での電子メールチェック、または空港での会社のドキュメント更新など、今日の従業員の
多くは社外で作業を行っています。こうした労働者のモビリティの向上により、生産性や柔軟
性は高まりますが、同時に重大なセキュリティリスクを招きます。ユーザーがノートパソコン
やモバイルデバイスを社外に持ち出すたびに、企業ファイアウォール、およびユーザーとネッ
トワークの両方を保護するように設計されている関連ポリシーがバイパスされます。
GlobalProtect では、どこにいるかに関わらずすべてのユーザーに対して、物理的ペリメータ内
で適用されるポリシーと同じ次世代ファイアウォールベースのポリシーを拡張することで、
ローミングユーザーのセキュリティ上の課題を解決します。
以下のセクションでは、Palo Alto Networks GlobalProtect の提供内容に関する概念情報を提供し、
GlobalProtect のコンポーネントとさまざまなデプロイメントシナリオについて説明します。

GlobalProtect コンポーネントについて

GlobalProtect でサポートされているクライアント OS バージョン

GlobalProtect ライセンスの概要
GlobalProtect 管理者ガイド
1
GlobalProtect コンポーネントについて
GlobalProtect の概要
GlobalProtect コンポーネントについて
GlobalProtect はモバイルユーザーを管理する完全なインフラストラクチャを提供し、使用して
いるデバイスや場所に関わらず、すべてのユーザーが安全にアクセスできるようにします。こ
のインフラストラクチャには、以下のコンポーネントが含まれています。

GlobalProtect ポータル

GlobalProtect ゲートウェイ

GlobalProtect クライアント

GlobalProtect Mobile Security Manager
GlobalProtect ポータル
GlobalProtect ポータルは、GlobalProtect インフラストラクチャの管理機能を提供します。GlobalProtect
ネットワークに参加するすべてのクライアントシステムは、ポータルから設定情報を受信しま
す。これには、使用可能なゲートウェイ、GlobalProtect ゲートウェイや Mobile Security Manager
への接続に必要になる可能性のあるクライアント証明書などの情報が含まれます。さらに、
ポータルは、Mac と Windows 両方のノートパソコンに対する GlobalProtect エージェントソフト
ウェアの動作と配布を制御します（モバイルデバイスの場合、GlobalProtect アプリケーション
は、iOS デバイスへは Apple App Store、Android デバイスへは Google Play から配布されます）。
ホスト情報プロファイル（HIP）機能を使用している場合、必要なすべてのカスタム情報な
ど、ホストから収集する情報もポータルで定義します。GlobalProtect ポータルの設定は、任意
の Palo Alto Networks 次世代ファイアウォールのインターフェイスで行います。
GlobalProtect ゲートウェイ
GlobalProtect ゲートウェイは、GlobalProtect エージェント / アプリケーションからのトラフィッ
クに対するセキュリティ処理を提供します。さらに、HIP 機能が有効になっている場合、ゲー
トウェイはクライアントが送信した生ホストデータから HIP レポートを生成し、この情報をポ
リシーの適用に使用できます。

外部ゲートウェイ — リモートユーザーのセキュリティ処理や仮想プライベートネットワーク
（VPN）アクセスを提供します。

内部ゲートウェイ — 内部リソースへのアクセスに対するセキュリティポリシーを適用する、
GlobalProtect ゲートウェイとして設定された内部ネットワークのインターフェイス。内部
ゲートウェイを User-ID や HIP チェックと併用すると、ユーザーやデバイス状態別にトラ
フィックを識別して制御することができます。内部ゲートウェイは、重要なリソースへの認
証済みアクセスが必要な機密環境で役立ちます。内部ゲートウェイは、トンネルモードまた
は非トンネルモードのいずれかで設定できます。
GlobalProtect ゲートウェイの設定は、任意の Palo Alto Networks 次世代ファイアウォールのイン
ターフェイスで行います。同じファイアウォールでゲートウェイとポータルの両方を実行で
きます。または、企業全体で複数の分散ゲートウェイを設定することも可能です。
2
GlobalProtect 管理者ガイド
GlobalProtect の概要
GlobalProtect コンポーネントについて
GlobalProtect クライアント
GlobalProtect クライアントソフトウェアはエンドユーザーシステムで実行され、デプロイした
GlobalProtect ポータルとゲートウェイを介してネットワークリソースにアクセスできます。以
下の 2 つのタイプの GlobalProtect クライアントがあります。

GlobalProtect エージェント — Windows および Mac OS システムで実行され、GlobalProtect ポー
タルからデプロイされます。ポータルで定義するクライアント設定を使用し、ユーザーにど
のタブを表示するか、ユーザーがエージェントをアンインストールできるかどうか、などの
エージェントの動作を設定します。詳細は、「GlobalProtect クライアント設定の定義」、
「GlobalProtect エージェントのカスタマイズ」、および「GlobalProtect エージェントソフト
ウェアのデプロイ」を参照してください。
GlobalProtect アプリケーション — iOS および Android デバイスで実行されます。ユーザーは、
Apple App Store（iOS の場合）または Google Play（Android の場合）から GlobalProtect アプリ
ケーションを入手する必要があります。
詳細は、「GlobalProtect でサポートされているクライアント OS バージョン」を参照してください。
以下の図は、GlobalProtect ポータル、ゲートウェイ、およびエージェント / アプリケーションが
連携し、使用するデバイスや場所に関わらず、すべてのユーザーに安全なアクセスを提供する
方法を示しています。

GlobalProtect 管理者ガイド
3
GlobalProtect コンポーネントについて
GlobalProtect の概要
GlobalProtect Mobile Security Manager
GlobalProtect Mobile Security Manager は、ネットワーク上の企業のプロビジョニングモバイルデバ
イスまたは従業員所有のモバイルデバイスに対する管理、可視性、および自動化された設定の
デプロイメントを提供します。Mobile Security Manager は統合された GlobalProtect モバイルソ
リューションの一部であるため、GlobalProtect ゲートウェイで管理対象デバイスの情報を利用
し、Mobile Security Manager によって収集された拡張ホスト情報を使用して、管理対象デバイス
に対するセキュリティポリシーの適用を強化できます。ゲートウェイは Mobile Security Manager
から拡張 HIP プロファイルを取得し、その情報を使用してネットワークに接続するデバイスに
セキュリティポリシーを適用します。GlobalProtect Mobile Security Manager ではモバイルデバイス
のセキュリティが拡張されており、ユーザーは、自分のデバイスでビジネスアプリケーション
に安全にアクセスして使用することができます。ビジネスデータをモバイルデバイスのビジネ
スアプリケーションとアカウントに格納し、一方で本来のユーザーエクスペリエンスを維持
し、ユーザーの個人データを隔離してプライバシーを守ります。

Mobile Security Manager で作成するデプロイメントポリシーは、モバイルデバイスユーザーの
企業アプリケーション（電子メールや VPN 設定など）へのアクセスに対するアカウントプ
ロビジョニングを簡略化できます。また、デバイスのロック、デバイスを見つけるためのア
ラームの発生、侵入されたデバイスのワイプなど、特定のアクションも実行できます。

デバイスと通信するため、Mobile Security Manager は OTA（Over-The-Air）でプッシュ通知を送
信します。iOS デバイスでは Apple プッシュ通知サービス（APNs）を介してプッシュ通知を
送信し、Android デバイスでは Google クラウドメッセージング（GCM）を使用して送信しま
す。プッシュ通知を受信したデバイスは、Mobile Security Manager のデバイスチェックインイ
ンターフェイスへの HTTPS 接続を確立してチェックインします。

ユーザーが自分のモバイルデバイスでビジネス用のアプリケーションを使用することを承認
します。管理対象アプリケーションとして承認し、Mobile Security Manager に追加するアプリ
ケーションは、ポリシーデプロイメントによってユーザーにプッシュできます。ユーザー
は、GlobalProtect アプリケーションの企業アプリケーションストアから、自分に割り当てら
れているアプリケーションを参照してインストールすることができます。

Mobile Security Manager を使用して管理対象アプリケーションのセキュリティ設定を有効にし、
ビジネスデータがモバイルデバイス上の管理対象アプリケーションとアカウントにのみ
格納されるようにするとともに、管理対象アプリケーションのトラフィックが企業 VPN を
介してルーティングされるようにします（モバイルデバイスでの個人のトラフィックは除き
ます）。

デバイスは、Mobile Security Manager でチェックインするときに、GlobalProtect ゲートウェイで
は収集されない追加情報を含むホスト情報を送信します。この追加情報には、インストール
されている管理対象アプリケーションのリスト、インストールされている管理対象外のアプ
リケーションのリスト（これは無効にできます）、チェックイン時点でのデバイスのロケー
ション（これは無効にできます）、デバイスにパスコードが設定されているかどうか、root
化/jailbreak されているかどうかなどが含まれます。さらに、Mobile Security Manager に WildFire
サブスクリプションがある場合、デバイスにマルウェアがあるかどうかを検出できます
（Android デバイスのみ）。
4
GlobalProtect 管理者ガイド
GlobalProtect の概要

GlobalProtect コンポーネントについて
Mobile Security Manager が収集する拡張 HIP データを利用することで、GlobalProtect ゲートウェ
イでモバイルデバイスユーザーに対する非常にきめ細かいセキュリティポリシーを作成で
きます。
詳細は「GlobalProtect Mobile Security Manager のセットアップ」を参照してください。
GlobalProtect 管理者ガイド
5
GlobalProtect でサポートされているクライアント OS バージョン
GlobalProtect の概要
GlobalProtect でサポートされているクライアント OS
バージョン
以下の表に、サポートされている GlobalProtect のデスクトップ、ノートパソコン、およびモバイ
ルデバイスのオペレーティングシステム、およびそれぞれのオペレーティングシステムをサ
ポートするために必要とされる PAN-OS と GlobalProtect エージェント / アプリケーションの最小
バージョンの概要を示します。
サポートされているクライアント OS バージョン
最小エージェント / アプリ
ケーションバージョン
最小 PAN-OS バージョン
Apple Mac OS 10.6
1.1
4.1.0 以降
Apple Mac OS 10.7
1.1
Apple Mac OS 10.8
1.1.6
Apple Mac OS 10.9
1.2
Apple Mac OS 10.10
2.1
Windows XP（32 ビット）
1.0
Windows Vista（32 ビットおよび 64 ビット）
1.0
Windows 7（32 ビットおよび 64 ビット）
1.0
Windows 8（32 ビットおよび 64 ビット）
1.2
Windows 8.1（32 ビットおよび 64 ビット）
1.2
Windows Surface Pro
1.2
Apple iOS 6.0*
1.3 アプリケーション
Apple iOS 7.0*
1.3 アプリケーション
Apple iOS 8.0*
2.1 アプリケーション
Google Android 4.0.3 以降 *
1.3 アプリケーション
4.1.6 以降
サードパーティの X-Auth IPsec クライアント
なし
5.0 以降
なし
6.1 以降
4.0 以降
4.1.0 以降
• iOS 内蔵 IPsec クライアント
• Android 内蔵 IPsec クライアント
• Ubuntu Linux 10.04 および CentOS 6 の VPNC
• Ubuntu Linux および CentOS の strongSwan**
* デバイスを GlobalProtect Mobile Security Manager で管理する場合は、2.x アプリケーションが必要で、
ファイアウォールでは PAN-OS 6.0 以降が実行されている必要があります。
** strongSwan および CentOS クライアントを有効にして GlobalProtect VPN にアクセスできるようにする
場合は、「strongSwan Ubuntu および CentOS クライアントの認証のセットアップ」を参照してください。
ユーザーは、Apple App Store（iOS の場合）または Google Play（Android の場合）から GlobalProtect
アプリケーションを入手する必要があります。GlobalProtect エージェントの配布方法の詳細
は、「GlobalProtect エージェントソフトウェアのデプロイ」を参照してください。
6
GlobalProtect 管理者ガイド
GlobalProtect の概要
GlobalProtect ライセンスの概要
GlobalProtect ライセンスの概要
GlobalProtect を安全なリモートアクセスまたは 1 つの外部ゲートウェイを介した仮想プライ
ベートネットワーク（VPN）ソリューションの提供のみに使用する場合、GlobalProtect ライセ
ンスは必要ありません。ただし、複数ゲートウェイ、モバイルアプリケーション、モバイルセ
キュリティ管理、ホスト情報のチェック、内部ゲートウェイなど、より高度な機能を使用する
には、以下のライセンスの 1 つ以上が必要な場合があります。

ポータルライセンス — 1 回限りの永続ライセンス。内部ゲートウェイサポート、複数ゲート
ウェイ（内部または外部）、HIP チェックなどを有効にするポータルを実行しているファイ
アウォールにインストールする必要があります。

ゲートウェイサブスクリプション — HIP チェックおよび関連付けられたコンテンツ更新が可
能な年間サブスクリプション。このライセンスは、HIP チェックを実行するゲートウェイを
実行している各ファイアウォールにインストールする必要があります。さらに、ゲートウェ
イライセンスでは、iOS および Android 用 GlobalProtect モバイルアプリケーションもサポー
トされます。

GP-100 アプライアンスでの GlobalProtect Mobile Security Manager 容量ライセンス — 管理する
モバイルデバイス数に基づく Mobile Security Manager の 1 回限りの永続ライセンス。このライ
センスは、500 台を超えるモバイルデバイスを管理する場合にのみ必要です。永続ライセン
スは、最大 1,000、2,000、5,000、10,000、25,000、50,000、または 100,000 台までのモバイルデ
バイスに使用できます。

GP-100 アプライアンスでの GlobalProtect Mobile Security Manager WildFire サブスクリプション —
管理対象 Android デバイスの APK マルウェアを検出するために GlobalProtect Mobile Security
Manager で使用されます。マルウェア検出を GlobalProtect Mobile Security Manager で使用できる
ようにするには、GlobalProtect Mobile Security Manager ライセンスの容量と一致する WildFire サ
ブスクリプションを購入する必要があります。
GlobalProtect 管理者ガイド
7
GlobalProtect ライセンスの概要
GlobalProtect の概要
ファイアウォールでのラインセンスのインストールの詳細は、「ライセンスのアクティベーショ
ン」を参照してください。Mobile Security Manager でのラインセンスのインストールの詳細は、
「ライセンスのアクティベーション / 取得」を参照してください。
8
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャ
のセットアップ
GlobalProtect を動作させるために、すべてのコンポーネントの通信を可能にする必要最小限の
インフラストラクチャをセットアップする必要があります。基本レベルでは、これは、ポータ
ルおよびゲートウェイにアクセスするために GlobalProtect エンドユーザーが接続するインター
フェイスおよびゾーンのセットアップを意味します。GlobalProtect コンポーネントが安全な
チャネルを経由して通信するため、さまざまなコンポーネントの必要なすべての SSL 証明書を
取得しデプロイする必要があります。以下のセクションでは、GlobalProtect インフラストラク
チャをセットアップする基本手順について説明します。

GlobalProtect のインターフェイスおよびゾーンの作成

GlobalProtect コンポーネント間の SSL の有効化

GlobalProtect ユーザー認証のセットアップ

グループマッピングの有効化

GlobalProtect ゲートウェイの設定

GlobalProtect ポータルの設定

GlobalProtect クライアントソフトウェアのデプロイ

エージェントの設定の透過的なデプロイ

GlobalProtect iOS アプリケーションとサードパーティ MDM の併用

リファレンス : GlobalProtect エージェントの暗号化機能
GlobalProtect 管理者ガイド
9
GlobalProtect のインターフェイスおよびゾーンの作成
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect のインターフェイスおよびゾーンの作成
GlobalProtect インフラストラクチャに以下のインターフェイスおよびゾーンを設定する必要があ
ります。

GlobalProtect ポータル — GlobalProtect クライアントが接続するレイヤー 3 またはループバッ
クインターフェイスが必要になります。ポータルおよびゲートウェイが同じファイアウォー
ルにある場合、同一のインターフェイスを使用することができます。ポータルは、untrust な
どの、ネットワークの外部からアクセス可能なゾーンにある必要があります。

GlobalProtect ゲートウェイ — ゲートウェイのインターフェイスおよびゾーンの要件は、以下
のように、外部ゲートウェイまたは内部ゲートウェイのどちらを設定しているかによって異
なります。
–
外部ゲートウェイ — VPN トンネルを確立するためにクライアントが接続する、レイヤー
3 またはループバックインターフェイスと、論理トンネルインターフェイスが必要にな
ります。レイヤー 3 またはループバックインターフェイスは、untrust などの外部ゾーン
にある必要があります。トンネルインターフェイスは、trust などの内部リソースに接続
しているインターフェイスと同じゾーンに配置できます。また、セキュリティの強化お
よび可視性の向上のために corp-vpn などの別のゾーンを作成することもできます。トン
ネルインターフェイスに別のゾーンを作成する場合は、トラフィックが VPN ゾーンと
信頼されたゾーンの間を通過できるセキュリティポリシーを作成する必要があります。
–
内部ゲートウェイ — 信頼されたゾーンにレイヤー 3 またはループバックインターフェイ
スが必要になります。内部ゲートウェイにアクセスするためのトンネルインターフェイ
スを作成することもできますが、必須ではありません。
さまざまなポートとアドレスの GlobalProtect へのアクセスを可能にするループバックインター
フェイスの使用方法に関するヒントとして、「Can GlobalProtect Portal Page be Configured to
be Accessed on any Port?（GlobalProtect ポータルページをどのポートからもアクセスできるよ
うに設定できますか？）」を参照してください。
ポータルおよびゲートウェイについての詳細は、「GlobalProtect コンポーネントについて」を
参照してください。
10
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect のインターフェイスおよびゾーンの作成
GlobalProtect のインターフェイスおよびゾーンのセットアップ
ステップ 1
デプロイする予定の各ポータル 1.
やゲートウェイのレイヤー 3 イ
ンターフェイスを設定します。
ゲートウェイおよびポー
タルが同じファイア
ウォールにある場合、両 2.
方に対して 1 つのイン
ターフェイスを使用でき 3.
ます。
[Network] > [インターフェイス] > [Ethernet] または
[Network] > [インターフェイス] > [ループバック] の順
に選択し、GlobalProtect を設定する必要があるイン
ターフェイスを選択します。この例では、ethernet1/1
をポータルインターフェイスとして設定します。
（Ethernet のみ）[インターフェイスタイプ] ドロップ
ダウンリストから [レイヤー3] を選択します。
以下のように、[ 設定 ] タブで、ポータルまたはゲート
ウェイインターフェイスが属するゾーンを選択します。
• l3-untrust など、ネットワークの外部のホストからア
クセスできるように、信頼されていないゾーンに
ポータルおよび外部ゲートウェイを配置します。
ベストプラクティスとし
て、ポータルおよびゲー
トウェイには静的 IP アド
レスを使用します。
• l3-trust などの内部ゾーンに内部ゲートウェイを配置
します。
• ゾーンをまだ作成していない場合は、[ セキュリティ
ゾーン] ドロップダウンリストから [新規ゾーン] を選
択します。[ゾーン] ダイアログの [名前] で名前をつけ
て新しいゾーンを定義し、[OK] をクリックします。
GlobalProtect 管理者ガイド
4.
[仮想ルーター] ドロップダウンリストで、[デフォルト]
を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、[IPv4]
タブを選択してから IP セクションで [追加] をクリッ
クし、インターフェイスに割り当てる IP アドレスと
ネットマスク（例: 208.80.56.100/24）を入力します。
6.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
11
GlobalProtect のインターフェイスおよびゾーンの作成
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect のインターフェイスおよびゾーンのセットアップ（続き）
ステップ 2
GlobalProtect ゲートウェイをホ 1.
ストしているファイアウォー
ルで、GlobalProtect エージェン 2.
トによって確立された VPN ト
ンネルの終端となる論理トン
3.
ネルインターフェイスを設定
します。
動的ルーティングの必要が
ない場合、IP アドレスはト
ンネルインターフェイス
で必須ではありません。な
お、トンネルインター
フェイスに IP アドレスを
割り当てると、接続の問題
のトラブルシューティング 4.
に利用できます。
ステップ 3
12
[Network] > [インターフェイス] > [トンネル] の順に選
択し、[追加] をクリックします。
[インターフェイス名] フィールドで、「.2」などの数値
のサフィックスを指定します。
[設定] タブで、[セキュリティゾーン] ドロップダウン
リストを展開して以下のようにゾーンを定義します。
• トンネルの終端点として Trust ゾーンを使用するには、
ドロップダウンリストからゾーンを選択します。
• （推奨）VPN トンネルの終端のゾーンを作成するに
は、[新規ゾーン] をクリックします。ゾーンダイア
ログで、[名前] に新しいゾーンの名前を定義し
（vpn-corp など）、[ユーザー ID の有効化] チェック
ボックスをオンにして、[OK] をクリックします。
[仮想ルーター] ドロップダウンリストで、[デフォルト]
を選択します。
VPN トンネルの終端とな 5.
るゾーンで必ず User-ID を
有効にしてください。
（任意）IP アドレスをトンネルインターフェイスに割
り当てる必要がある場合は、[IPv4] タブを選択してか
ら [IP] セクションで [追加] をクリックし、インター
フェイスに割り当てる IP アドレスとネットマスク（例:
10.31.32.1/32）を入力します。
6.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
VPN 接続のトンネルの終端のたとえば、以下のポリシールールは、corp-vpn ゾーンと
ために別のゾーンを作成した l3-trust ゾーンの間のトラフィックを有効にします。
場合、VPN ゾーンと信頼され
たゾーンの間をトラフィック
が通過できるセキュリティポ
リシーを作成します。
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect のインターフェイスおよびゾーンの作成
GlobalProtect のインターフェイスおよびゾーンのセットアップ（続き）
ステップ 4
設定を保存します。
[Commit] をクリックします。
ポータルをホストしてい
るインターフェイスへの
管理アクセスを有効にした場
合、URL に「:4443」を追加す
る必要があります。たとえ
ば、この例で設定されたポー
タルの Web インターフェイス
にアクセスするには、以下の
ように入力します。
https://208.80.56.100:4443
または、gp.acme.com などの、
FQDN の DNS レコードを設定
した場合は、以下のように入
力できます。
https://gp.acme.com:4443
GlobalProtect 管理者ガイド
13
GlobalProtect コンポーネント間の SSL の有効化
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect コンポーネント間の SSL の有効化
GlobalProtect コンポーネント間のすべての相互作用は SSL 接続を介して行われます。そのた
め、設定で適切な証明書を参照できるように、各コンポーネントを設定する前に、必要な証明
書の生成やインストールを行う必要があります。以下のセクションでは、サポートされる証明
書のデプロイ方法、説明、さまざまな GlobalProtect 証明書のベストプラクティスガイドライン
について説明し、必要な証明書を生成してデプロイする手順を紹介します。

GlobalProtect 証明書のデプロイメントについて

GlobalProtect 証明書のベストプラクティス

GlobalProtect コンポーネントへのサーバー証明書のデプロイ
GlobalProtect 証明書のデプロイメントについて
GlobalProtect コンポーネントへのサーバー証明書のデプロイを行うには、基本的な方法が 3 つあり
ます。

（推奨）サードパーティ証明書および自己署名証明書の組み合わせ — エンドクライアントは、
GlobalProtect 設定の前にポータルにアクセスするため、HTTPS 接続を確立するために、証明
書を信頼する必要があります。同様に、GlobalProtect Mobile Security Manager を使用している
場合、登録のために Mobile Security Manager にアクセスするモバイルデバイスでも同じことが
言えます。そこで、推奨される方法は、証明書エラーを回避するために、多くのエンドクラ
イアントがすでに信頼しているポータルサーバー証明書と、Mobile Security Manager デバイス
チェックインインターフェイスのサーバー証明書を信頼された認証局から購入することで
す。クライアントが正常に接続した後に、ポータルは、その他の必要な証明書（たとえば、
ゲートウェイのルート CA 証明書）をエンドクライアントにプッシュできます。

エンタープライズ認証局 — 独自のエンタープライズ認証局がすでにある場合は、この内部 CA
を使用して、各 GlobalProtect コンポーネントの証明書を発行し、ポータルおよびゲートウェ
イをホストしているファイアウォールと Mobile Security Manager にインポートできます。この
場合はまた、エンドユーザーシステムやモバイルデバイスが、接続対象の GlobalProtect
サービスの証明書の発行に使用されるルート CA 証明書を信頼していることを確認する必要
もあります。

自己署名証明書 — ポータルで自己署名 CA 証明書を生成し、これを使用してすべての GlobalProtect
コンポーネントの証明書を発行できます。ただし、このソリューションはその他のオプショ
ンほど安全でないため、お勧めできません。万が一このオプションを選択した場合、エンド
ユーザーが初めてポータルに接続すると証明書エラーが表示されます。これを防ぐには、手
動で、または Active Directory のグループポリシーオブジェクト（GPO）などの中央管理さ
れたデプロイメントを使用して、自己署名ルート CA 証明書をすべてのエンドユーザーのシ
ステムにデプロイします。
14
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect コンポーネント間の SSL の有効化
GlobalProtect 証明書のベストプラクティス
以下の表に、使用する機能に応じて必要となる SSL の概要を示します。
表 : GlobalProtect 証明書の要件
証明書
用途
発行プロセス / ベストプラクティス
CA 証明書
GlobalProtect コンポーネン自己署名証明書を使用する場合、ベストプラクティスと
トに対して発行された証明して、ポータルで CA 証明書を生成してから、その証明
書の署名に使用します。
書を使用して必要な GlobalProtect 証明書を発行します。
ポータルサーバー
証明書
GlobalProtect エージェント / • ベストプラクティスとして、一般的なサードパーティ
CA によって発行された証明書を使用します。これ
アプリケーションでポータ
は最も安全な方法で、ルート CA 証明書をデプロイ
ルとの HTTPS 接続を確立
することなく、エンドクライアントが確実にポータ
できるようにします。
ルとの信頼関係を確立できます。
証明書のコモンネーム
（CN）フィールドと、該 • 一般的なパブリック CA を使用しない場合、GlobalProtect
当する場合は、サブジェク
を実行するすべてのクライアントシステムへのポー
ト代替名（SAN）フィール
タルサーバー証明書の生成に使用される CA 証明書
ドが、ポータルをホストす
をエクスポートし、最初のポータル接続時にエンド
るインターフェイスの IP ア
ユーザーに証明書警告が表示されないようにする必
ドレスまたは完全修飾ドメ
要があります。
イン名（FQDN）と完全に
• 基本的な VPN アクセス用に同じインターフェイス /IP
一致する必要があります。
アドレスの単一ゲートウェイとポータルをデプロイ
している場合、両方のコンポーネントに対して 1 つ
のサーバー証明書を使用する必要があります。
ゲートウェイ
サーバー証明書
GlobalProtect エージェント / • 各ゲートウェイに独自のサーバー証明書が必要です。
アプリケーションでゲート • ベストプラクティスとして、ポータルで CA 証明書
ウェイとの HTTPS 接続を
を生成し、その CA 証明書を使用してすべてのゲー
確立できるようにします。
トウェイ証明書を生成します。
証明書のコモンネーム
• ポータルはクライアント設定でゲートウェイのルー
（CN）フィールドと、該
ト CA 証明書をエージェントに配布するため、ゲー
当する場合は、サブジェク
トウェイ証明書がパブリック CA によって発行され
ト代替名（SAN）フィール
る必要はありません。
ドが、ゲートウェイを設定
するインターフェイスの • クライアント設定で GlobalProtect ゲートウェイのルー
ト CA 証明書をデプロイしない場合、エージェント /
FQDN または IP アドレスと
アプリケーションは接続時に証明書チェックを実行
完全に一致する必要があり
しません。そのため、接続が中間者攻撃に対して無
ます。
防備になります。
• 基本的な VPN アクセス用に同じインターフェイス /IP
アドレスの単一ゲートウェイとポータルをデプロイ
している場合、両方のコンポーネントに対して 1 つ
のサーバー証明書を使用する必要があります。ベス
トプラクティスとして、パブリック CA によって発
行された証明書を使用します。
GlobalProtect 管理者ガイド
15
GlobalProtect コンポーネント間の SSL の有効化
証明書
用途
GlobalProtect インフラストラクチャのセットアップ
発行プロセス / ベストプラクティス
（任意）クライアント GlobalProtect エージェント • クライアント証明書のデプロイメントを簡略化する
証明書
ため、エージェントがログインに成功したときにク
とゲートウェイ/ポータル間
の相互認証を可能にするた
めに使用します。
ライアント証明書をデプロイするようにポータルを
設定します。この設定では、1 つのクライアント証
明書が同じ設定ですべての GlobalProtect エージェン
ト間で共有されます。この証明書の目的は、組織内
のクライアントのみに接続を許可することです。
クライアントとポータル /
ゲートウェイ間の HTTPS
セッションの確立で相互認
証を可能にするだけでな • エンドユーザーの認証に使用する各クライアントシ
く、クライアント証明書を
ステムに一意のクライアント証明書をデプロイする
使用してエンドユーザーを
には、他のメカニズムを使用します。
認証することもできます。
• 最初にクライアント証明書なしで設定をテストし、そ
の他すべての設定が正しいことを確認してからクライ
アント証明書を追加することを検討してください。
pre-logon 機能を使用する場合、GlobalProtect へのアク
セスを許可する前に、独自の PKI インフラストラク
チャを使用して各クライアントシステムにマシン証明
書をデプロイする必要があります。詳細は、「pre-logon
を使用したリモートアクセス VPN」を参照してくだ
さい。
（任意）マシン
証明書
信頼されたマシンのみが
GlobalProtect に接続できる
ようにします。また、マシ
ン証明書は、ユーザーがロ
グインする前に VPN トン
ネルを確立できる pre-logon
接続方式を使用する場合に
必須です。
Mobile Security
Manager サーバー
証明書
• モバイルデバイスが登録 • 登録を行うにはモバイルデバイスが Mobile Security
Manager を信頼する必要があるため、ベストプラク
とチェックインに Mobile
ティスとして、一般的で信頼された CA から Mobile
Security Manager との HTTPS
Security Manager のデバイスチェックインインター
セッションを確立できる
フェイス用の証明書を購入します。Mobile Security
ようにします。
Manager のデバイスチェックインインターフェイス
• ゲートウェイで Mobile
用の証明書の発行に信頼された CA を使用しない場
Security Manager に接続を
合、ポータル設定を介して Mobile Security Manager
し、管理対象モバイルデ
ルート CA 証明書をデプロイする必要があります
バイスの HIP レポートを取
（登録でデバイスが Mobile Security Manager との SSL
得できるようにします。
接続を確立できるようにするため）。
• 証明書のコモンネーム
• ゲートウェイが HIP を取得するために接続するイン
（CN）フィールドと、
ターフェイスとは異なるインターフェイス上にデバ
該当する場合は、サブ
イスチェックインインターフェイスがある場合、各
ジェクト代替名（SAN）
インターフェイスに対して個別のサーバー証明書が
フィールドが、インター
必要になります。
フェイスの IP アドレス
または完全修飾ドメイン詳細な手順は、「GlobalProtect Mobile Security Manager の
名（FQDN）と完全に一セットアップ」を参照してください。
致する必要があります。
16
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect コンポーネント間の SSL の有効化
証明書
用途
発行プロセス / ベストプラクティス
Apple プッシュ通知
サービス（APNs）
Mobile Security
Manager 証明書
Mobile Security Manager が管理 • Mobile Security Manager でこの証明書に対する証明書
署名要求（CSR）を生成し、Apple iOS プロビジョニ
対象 iOS デバイスへにプッ
ングポータル（ログインが必要）に送信して署名を
シュ通知を送信できるよう
得る必要があります。
にします。
• Apple は SHA 1 メッセージダイジェストおよび 2048
ビットキーを使用して署名された CSR のみをサポー
トしています。
このセットアップ方法の詳細は、「デバイスチェックイ
ンのための Mobile Security Manager の設定」を参照してく
ださい。
ID 証明書
Mobile Security Manager および
必要に応じてゲートウェイ
で、モバイルデバイスとの
相互認証 SSL セッションを
確立できるようにします。
Mobile Security Manager で、管理対象デバイス用の ID 証
明書のデプロイメントを管理します。このセットアッ
プ方法の詳細は、「登録のための Mobile Security Manager
の設定」を参照してください。
GlobalProtect エージェント、ポータル、ゲートウェイ間の安全な通信を確立するために使用する
キーのタイプの詳細は、「リファレンス : GlobalProtect エージェントの暗号化機能」を参照してく
ださい。
GlobalProtect 管理者ガイド
17
GlobalProtect コンポーネント間の SSL の有効化
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect コンポーネントへのサーバー証明書のデプロイ
以下のワークフローは、GlobalProtect コンポーネントに SSL 証明書をデプロイする手順のベスト
プラクティスを示しています。
GlobalProtect コンポーネントへの SSL サーバー証明書のデプロイ
• 一般的なサードパーティ CA からサーバーパブリック CA から証明書と秘密鍵をインポートするに
は、証明書とキーファイルが管理システムからアクセス可
証明書をインポートします。
能で、秘密鍵を復号するパスフレーズを持っていることを
GlobalProtect ポータルおよび Mobile
確認してから、以下の手順を実行します。
Security Manager に対して、一般的な
サードパーティ CA によって発行さ 1. [Device] > [証明書の管理] > [証明書] > [デバイス証明書]
の順に選択します。
れたサーバー証明書を使用します。
これにより、エンドクライアントが 2.
証明書の警告なしに HTTPS 接続を 3.
確立できます。
証明書のコモンネーム（CN）フィー
ルドと、該当する場合は、サブジェク
ト代替名（SAN）フィールドが、ポー
タル、または Mobile Security Manager
のデバイスチェックインインター
フェイスを設定するインターフェイ
スの完全修飾ドメイン名（FQDN）
または IP アドレスと完全に一致す
る必要があります。ワイルドカード
一致がサポートされています。
[インポート] をクリックして、[証明書名] を入力します。
[証明書ファイル] に CA から受信したファイルのパスと
名前を入力するか、[参照] でファイルを見つけます。
4.
[ファイルフォーマット] に [暗号化された秘密鍵と証明
書 (PKCS12)] を選択します。
5.
[秘密鍵のインポート] チェックボックスをオンにします。
6.
[キーファイル] に PKCS#12 ファイルのパスと名前を入
力するか、[参照] でファイルを見つけます。
7.
秘密鍵の暗号化に使用した [パスフレーズ] を 2 回入力
した後に、[OK] をクリックして証明書と秘密鍵をイン
ポートします。
• GlobalProtect コンポーネントの自己署名証自己署名証明書を作成するには、以下の手順に従い、
明書を発行するためのルート CA 証明書 GlobalProtect の証明書を署名するために使用されるルート
CA 証明書を最初に作成する必要があります。
を作成します。
ポータルでルート CA 証明書を作成 1. ルート CA 証明書を作成するには、[Device] > [証明書
の管理] > [証明書] > [デバイス証明書] の順に選択し、
し、その証明書を使用して、ゲート
[生成] をクリックします。
ウェイおよび必要に応じてクライア
18
ントに対してサーバー証明書を発行 2.
します。
[証明書名 ] に「GlobalProtect_CA」などの名前を入力しま
す。証明書名にスペースを含めることはできません。
3.
[署名者] フィールドの値を選択すると、その証明書が自
己署名証明書であることを示すため、この値は選択し
ないでください。
4.
[認証局] チェックボックスをオンにしてから [OK] をク
リックすると、証明書が生成されます。
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect コンポーネント間の SSL の有効化
GlobalProtect コンポーネントへの SSL サーバー証明書のデプロイ（続き）
• 自己署名サーバー証明書を生成します。
1.
ポータルでルート CA を使用して、
デプロイする各ゲートウェイおよび 2.
必要に応じて Mobile Security Manager
管理インターフェイス（ゲートウェ 3.
イが HIP レポートの取得にこのイン
ターフェイスを使用する場合）に対
するサーバー証明書を生成します。 4.
ゲートウェイサーバー証明書では、
証明書のコモンネーム（CN）フィー 5.
ルドとサブジェクト代替名（SAN）
フィールドの値が同一である必要があ
ります。同一でない場合、GlobalProtect
が信頼の証明書チェーンをチェック
するときに不一致が検出され、その
証明書は信頼されません。証明書の 6.
ホスト名属性を追加した場合、自己 7.
署名証明書には SAN フィールドの
みが含まれます。
[Device] > [証明書の管理] > [証明書] > [デバイス証明書] の
順に選択し、[生成] をクリックします。
[証明書名] を入力します。証明書名にスペースを含める
ことはできません。
[コモンネーム] フィールドに、ゲートウェイを設定する
インターフェイスの FQDN（推奨）または IP アドレス
を入力します。
[署名者] フィールドで、以前に作成した GlobalProtect_CA
を選択します。
[証明書の属性] セクションで、[追加] をクリックして
ゲートウェイを一意に識別する属性を定義します。[ホ
スト名] 属性（証明書の SAN フィールドに入力され
る）を追加する場合、この値は [コモンネーム] に定義
した値と完全に一致する必要があります。
[OK] をクリックして証明書を生成します。
変更をコミットします。
1.
ポータルで、[Device] > [証明書の管理] > [証明書] > [デ
バイス証明書] の順に選択し、デプロイするゲートウェ
イ証明書を選択して [エクスポート] をクリックします。
2.
• ポータルでルート CA によって発行
された自己署名サーバー証明書をエ
クスポートし、それをゲートウェイ 3.
にインポートします。
[ファイルフォーマット] ドロップダウンリストから [暗
号化された秘密鍵と証明書 (PKCS12)] を選択します。
• 自己署名サーバー証明書をデプロイし
ます。
ベストプラクティス :
• 各ゲートウェイに対して一意の
4.
サーバー証明書を発行します。
• 自己署名証明書を使用する場合、
ポータルのクライアント設定でエン
5.
ドクライアントにルート CA 証明書
6.
を配布します。
[パスフレーズ] に入力（および再入力）して秘密鍵を暗
号化し、[OK] をクリックしてコンピュータに PKCS12
ファイルをダウンロードします。
ゲートウェイで、[Device] > [証明書の管理] > [証明書] >
[デバイス証明書] の順に選択し、[インポート] をクリッ
クします。
[証明書名] を入力します。
[証明書ファイル] にポータルからダウンロードしたファ
イルのパスと名前を入力するか、[参照] をクリックし
てファイルを探します。
7.
[ファイルフォーマット] に [暗号化された秘密鍵と証
明書 (PKCS12)] を選択します。
8.
[キーファイル] に PKCS12 ファイルのパスと名前を入力
するか、[参照] でファイルを見つけます。
9.
ポータルからエクスポートしたときに秘密鍵の暗号化
に使用した [パスフレーズ] を 2 回入力した後に、[OK]
をクリックして証明書と秘密鍵をインポートします。
10. [Commit] をクリックして変更内容をゲートウェイにコ
ミットします。
GlobalProtect 管理者ガイド
19
GlobalProtect ユーザー認証のセットアップ
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect ユーザー認証のセットアップ
ポータル / ゲートウェイでは、GlobalProtect エージェント / アプリケーションが GlobalProtect リ
ソースにアクセスする前にエンドユーザー認証情報が必要です。ポータル/ゲートウェイ設定で
は使用する認証メカニズムを指定する必要があるため、ポータル/ゲートウェイのセットアップ
を続行する前に認証を設定する必要があります。以下のセクションでは、サポートされている
認証メカニズムおよびその設定方法について説明します。

GlobalProtect ユーザー認証について

外部認証のセットアップ

クライアント証明書認証のセットアップ

2 要素認証のセットアップ

strongSwan Ubuntu および CentOS クライアントの認証のセットアップ
GlobalProtect ユーザー認証について
初めて GlobalProtect エージェント / アプリケーションがポータルに接続するときに、ユーザーは
GlobalProtect 設定をダウンロードするためにポータルへの認証を求められます。この設定に
は、エージェントが接続できるゲートウェイのリスト、Mobile Security Manager の場所、および
必要に応じて、ゲートウェイに接続するためのクライアント証明書が含まれます。設定が正常
にダウンロードされてキャッシュされたら、エージェント/アプリケーションは設定で指定され
たゲートウェイのいずれか、または指定された Mobile Security Manager への接続を試みます。こ
れらのコンポーネントはネットワークリソースおよび設定へのアクセスを提供するため、エン
ドユーザーが認証する必要があります。
ポータル、Mobile Security Manager、およびゲートウェイ（ゲートウェイ間を含む）で必要なセキュ
リティレベルは、それぞれが保護するリソースの機密性によって異なります。GlobalProtect は、
各コンポーネントに適切な認証プロファイルや証明書プロファイルを選択できる、柔軟な認証
フレームワークを提供します。
以下のセクションでは、ポータルおよびゲートウェイで使用可能な認証機能について説明しま
す。Mobile Security Manager での認証のセットアップ方法の詳細は、「登録のための Mobile
Security Manager の設定」を参照してください。
20
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect ユーザー認証のセットアップ
サポートされている GlobalProtect 認証方法
認証方法
内容
ローカル認証
ユーザーアカウント認証情報と認証メカニズムの両方がファイアウォールに対
してローカルです。この認証メカニズムは、すべての GlobalProtect エンドユー
ザーに対するアカウントが必要であるためスケーラブルではありません。その
ため、非常に小規模のデプロイメントのみにお勧めします。
外部認証
ユーザー認証機能の負荷は、既存の LDAP、Kerberos、または RADIUS サービス
（1 回限りのパスワード（OTP）認証などの 2 要素トークンベースの認証サ
ポートを含む）に割り振られます。外部認証を有効にするには、最初に外部認
証サービスのアクセス設定を定義するサーバープロファイルを作成してから、
そのサーバープロファイルを参照する認証プロファイルを作成する必要があり
ます。次に、ポータル、ゲートウェイ、または Mobile Security Manager 設定でそ
の認証プロファイルを参照します。GlobalProtect コンポーネントごとに異なる
認証プロファイルを使用できます。このセットアップの手順は、「外部認証の
セットアップ」を参照してください。設定例は、「リモートアクセス VPN（認
証プロファイル）」を参照してください。
クライアント証明書認証
ポータルまたはゲートウェイはクライアント証明書を使用してユーザー名を取得
し、システムへのアクセス権を付与する前にユーザーを認証します。このタイプ
の認証では、各エンドユーザーに対してクライアント証明書を発行する必要が
あります。発行する証明書には、いずれかの証明書フィールド（サブジェクト名
フィールドなど）にユーザー名を含める必要があります。証明書プロファイルが
GlobalProtect ポータルで設定されている場合、クライアントは接続時に証明書を
提示する必要があります。つまり、ポータルに最初に接続する前に、証明書がエ
ンドクライアントに事前にデプロイされている必要があります。
さらに、証明書プロファイルでユーザー名の取得元となる証明書フィールドを
指定します。証明書プロファイルの [ ユーザー名フィールド ] で [ サブジェクト ]
が指定されている場合、クライアントが接続するには、提示する証明書にコモ
ンネームが含まれている必要があります。証明書プロファイルで [ ユーザー名
フィールド ] として [ サブジェクト代替名 ] に [ 電子メール ] または [ プリンシパ
ル名 ] が指定されている場合、クライアントが提示する証明書には対応する
フィールドが含まれている必要があります。このフィールドは、GlobalProtect
エージェントがポータルまたはゲートウェイに対して認証するときにユーザー
名として使用されます。
GlobalProtect は、証明書プロファイルに依存する共通アクセスカード（CAC）
およびスマートカードベースの認証もサポートしています。この場合、スマー
トカード /CAC の証明書を発行したルート CA 証明書が証明書プロファイルに
含まれている必要があります。
クライアント証明書認証を使用している場合、エンドユーザーの接続時にクラ
イアントシステムが証明書を提供するため、ポータル設定でクライアント証明
書を設定しないでください。クライアント証明書認証の設定方法の例は、「リ
モートアクセス VPN（証明書プロファイル）」を参照してください。
GlobalProtect 管理者ガイド
21
GlobalProtect ユーザー認証のセットアップ
GlobalProtect インフラストラクチャのセットアップ
認証方法
内容
2 要素認証
2 要素認証を有効にするには、証明書プロファイルと認証プロファイルを設定
し、その両方をポータル / ゲートウェイ設定に追加します。2 要素認証では、シ
ステムにアクセスするクライアントは両方のメカニズムでの認証に成功する必
要があります。
さらに、証明書からユーザー名を取得する [ ユーザー名フィールド ] を証明書プ
ロファイルで指定した場合、認証プロファイルで指定された外部認証サービス
への認証にそのユーザー名が自動的に使用されます。たとえば、証明書プロ
ファイルの [ ユーザー名フィールド ] が [ サブジェクト ] に設定されている場合、
ユーザーが認証サーバーへの認証を行うときに、デフォルトで証明書のコモン
ネームフィールドの値がユーザー名として使用されます。ユーザーに証明書か
らのユーザー名での認証を強制しない場合、証明書プロファイルの [ ユーザー
名フィールド ] が [None] に設定されていることを確認してください。設定例
は、「2 要素認証を使用したリモートアクセス VPN」を参照してください。
エージェントがポータルおよびゲートウェイに提供する証明書を識別する仕組み
デフォルトでは、GlobalProtect エージェントはポータルログインに使用したものと同じログイ
ン認証情報をゲートウェイに使用しようとします。ゲートウェイとポータルが同じ認証プロ
ファイルや証明書プロファイルを使用している最も単純な状況では、エージェントは透過的に
ゲートウェイに接続します。ただし、ポータルとゲートウェイが異なる認証情報（一意の OTP
など）を要求する場合、デフォルトの動作では、ゲートウェイはエージェントによって提供さ
れたポータル認証情報を使用して認証を試み、失敗するまでユーザーに認証を要求しないた
め、ゲートウェイへの接続で遅延が発生します。
クライアントごとの設定に基づいてデフォルトのエージェント認証動作を変更する方法は 2 つ
あります。

22
ポータルでの Cookie 認証 — すでにキャッシュされた設定を更新するときに、エージェントは
暗号化された Cookie を使用してポータルに対して認証します（初期設定をダウンロードする
場合および Cookie の有効期限が切れた場合は、常にユーザーの認証が要求されます）。これ
により、エンドユーザーがポータルとゲートウェイの両方に立て続けにログインしたり、そ
れぞれの認証に複数の OTP を入力したりする必要がなくなるため、認証プロセスが簡略化
されます。また、一時的なパスワードを使用して、パスワードの有効期限が切れた後に VPN
アクセスを再度有効にすることもできます。
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ

GlobalProtect ユーザー認証のセットアップ
一部またはすべてのゲートウェイへの認証情報の転送の無効化 — エージェントはゲートウェ
イのログインにポータル認証情報を使用せず、ゲートウェイから直ちに独自の認証情報セッ
トの入力が求められます。この方法では、ポータルとゲートウェイで異なる認証情報が必要
な場合（OTP が異なる場合またはログイン認証情報が完全に異なる場合）、認証プロセスが
高速化されます。または、手動ゲートウェイのみで異なるパスワードを使用することもでき
ます。この方法では、エージェントが認証情報を自動ゲートウェイに転送しますが、手動
ゲートウェイには転送しません。そのため、ポータルと自動ゲートウェイのセキュリティは
同じになりますが、最も機密性の高いリソースへのアクセスを提供するゲートウェイへのア
クセスには 2 番目の要素 OTP または異なるパスワードが必要になります。
これらのオプションの使用方法の例は、「1 回限りのパスワード（OTP）を使用した 2 要素認証の
有効化」を参照してください。
外部認証のセットアップ
以下のワークフローは、既存の認証サービスに対してユーザーを認証するポータル/ゲートウェ
イのセットアップ方法を示しています。GlobalProtect は、LDAP、Kerberos、または RADIUS を
使用した外部認証をサポートしています。
GlobalProtect はローカル認証もサポートしています。この認証方法を使用するには、VPN へ
のアクセスを許可するユーザーとグループを含むローカルユーザーデータベースを作成し
（[Device] > [ローカルユーザーデータベース]）、それを認証プロファイルで参照します。
詳細は、「サポートされている GlobalProtect 認証方法」を参照するか、動画をご覧ください。
GlobalProtect 管理者ガイド
23
GlobalProtect ユーザー認証のセットアップ
GlobalProtect インフラストラクチャのセットアップ
外部ユーザー認証のセットアップ
ステップ 1
サーバープロファイルを作成 1.
します。
サーバープロファイルによっ
て、外部認証サービスに接続 2.
してユーザーの認証情報にア
クセスする方法がファイア 3.
ウォールに指示されます。
Active Directory（AD）への 4.
接続に LDAP を使用して
いる場合、すべての AD
ドメインに対して個別の
LDAP サーバープロファ 5.
イルを作成する必要があ
ります。
[Device] > [ サーバープロファイル ] の順に選択し、プ
ロファイルタイプ（[LDAP]、[Kerberos]、または
[RADIUS]）を選択します。
[ 追加 ] をクリックし、プロファイルの [ 名前 ] に
「GP-User-Auth」などのプロファイル名を入力します。
（LDAP のみ）[ タイプ ] フィールドで接続先となる LDAP
サーバーを選択します。
[サーバー] セクションで [追加] をクリックし、認証サー
ビスへの接続に必要な情報（[ 名前 ]、[LDAP サーバ ]
（IP アドレスまたは FQDN）、および [ ポート ]）を入
力します。
（RADIUS および LDAP のみ）ファイアウォールで認
証サービスに対して認証できるようにする設定を以下
のように指定します。
• RADIUS — [ シークレット ] にサーバーエントリ追加
時の共有シークレットを入力します。
• LDAP — [ バンド DN] および [ バインドパスワード ] に
入力します。
6.
（LDAP および Kerberos のみ）ディレクトリサービス
でユーザーを検索する場所を指定します。
• LDAP — [ ベース ] DN で、LDAP ツリーがユーザーと
グループの検索を開始する場所を指定します。この
フィールドは、サーバーアドレスおよびポートを入
力するときに自動的に入力されます。入力されない
場合、LDAP サーバーまでのサービスルートを確認
してください。
• Kerberos — [ レルム ] に Kerberos のレルム名を入力し
ます。
24
7.
[ ドメイン ] にドメイン名をドットなしで指定します。た
とえば acme.com ではなく acme と指定します。この値
は、User-ID に対する IP アドレス - ユーザー名間マッピ
ングでのユーザー名に追加されます。
8.
[OK] をクリックしてサーバープロファイルを保存し
ます。
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect ユーザー認証のセットアップ
外部ユーザー認証のセットアップ（続き）
ステップ 2
1.
[Device] > [ 認証プロファル ] の順に選択し、[ 追加 ] を
クリックして新しいプロファイルを追加します。
認証プロファイルによって、 2.
ユーザーの認証に使用する
サーバープロファイルが指定
されます。認証プロファイル 3.
は、ポータルまたはゲート
ウェイ設定に関連付けること 4.
ができます。
[ 名前 ] にプロファイル名を入力し、[ 認証 ] で認証タイ
プ（[LDAP]、[Kerberos]、または [RADIUS]）を選択
します。
認証プロファイルを作成し
ます。
ベストプラクティス :
5.
•管理者の操作なしに、
ユーザーが接続して、有
効期限の切れた自分のパ
スワードを変更できるよ
うにするには、pre-logon 接
続方式を使用することを
検討してください。詳細
は、「pre-logon を使用した 6.
リモートアクセス VPN」
を参照してください。
•ユーザーがパスワードを
期限切れにしてしまった
場合、一時的な LDAP パ
スワードを割り当てて、
ユーザーが VPN にログイ
ンできるようにすること
も可能です。この場合、
一時的なパスワードを使
用してポータルに対する
認証を行うことはできま
すが、一時的なパスワー
ドを再利用することはで
きないため、ゲートウェ
イのログインに失敗する
可能性があります。これ
を回避するには、ポータ
ル設定（[Network] >
[GlobalProtect] > [ ポータ
ル ]）で [ 認証修飾子 ] を
[設定更新のための Cookie
認証 ] に設定し、エージェ
ントが Cookie を使用して
ポータルに対する認証を
行い、一時的なパスワード
を使用してゲートウェイに
対する認証を行うことがで
きるようにします。
GlobalProtect 管理者ガイド
[サーバープロファイル] で、ステップ 1 で作成したプ
ロファイルを選択します。
（LDAP AD）[ログイン属性] に「sAMAccountName」
と入力します。
（LDAP）[ パスワード失効の警告 ] を設定します。これ
は、パスワードの有効期限が切れる何日前にユーザー
への通知が行われるのかを示します。デフォルトで
は、パスワードの有効期限が切れる 7 日前にユーザー
への通知が行われます。VPN に継続的にアクセスする
には、ユーザーは有効期限が切れる前にパスワードを
変更する必要があるため、利用者に適した通知期間を
設定してください。
[OK] をクリックします。
25
GlobalProtect ユーザー認証のセットアップ
GlobalProtect インフラストラクチャのセットアップ
外部ユーザー認証のセットアップ（続き）
ステップ 3
設定を保存します。
[Commit] をクリックします。
クライアント証明書認証のセットアップ
クライアント証明書認証では、GlobalProtect ポータル / ゲートウェイに接続するエージェント / ア
プリケーションはクライアント証明書を提示する必要があります。以下のワークフローは、こ
の設定のセットアップ方法を示しています。詳細は、「GlobalProtect ユーザー認証について」
を参照してください。設定例は、「リモートアクセス VPN（証明書プロファイル）」を参照し
てください。
26
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect ユーザー認証のセットアップ
クライアント証明書認証のセットアップ
ステップ 1
GlobalProtect ユーザー/ マシン個々のクライアントまたはマシンに対して一意の証明書を
に対してクライアント証明書発行するには、エンタープライズ CA またはパブリック CA
を使用します。ただし、ユーザーが組織に属するかどうか
を発行します。
を検証するためにクライアント証明書を使用する場合は、
クライアント証明書の発行方
以下の手順で自己署名クライアント証明書を生成します。
法は、クライアント認証の使
1. GlobalProtect コンポーネントの自己署名証明書を発行す
用方法によって異なります。
るためのルート CA 証明書を作成します。
• 個々のユーザーの認証 — 各
2. [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明
GlobalProtect ユーザーに対し
書 ] の順に選択し、[ 生成 ] をクリックします。
て一意のクライアント証明書
を発行し、GlobalProtect を有 3. [ 証明書名 ] を入力します。証明書名にスペースを含め
ることはできません。
効にする前にその証明書をク
ライアントシステムにデプ 4.
ロイする必要があります。
• クライアントシステムが組
織に属するかどうかの検証
— 独自の公開鍵インフラス
トラクチャ（PKI）を使用し
て、各クライアントシステ 5.
ムに対してマシン証明書を
発行および配布する（推
奨）か、エクスポート用の
自己署名マシン証明書を生
6.
成します。これは pre-logon
の場合に必要です。この方 7.
法では、ユーザーを認証す
るために認証プロファイル
も設定する必要がありま
す。「2 要素認証」を参照し
てください。
[ 共通名 ] フィールドで、エージェントの証明書として
この証明書を識別する名前を入力します。たとえば、
「GP_Windows_clients」と入力します。この証明書が
同じ設定を使用してすべてのエージェントにデプロイ
されるため、特定のエンドユーザーまたはシステムを
一意に識別する必要はありません。
（任意）セキュリティ要件の一部として必要な場合、
[ 証明書の属性 ] セクションで [ 追加 ] をクリックし、
組織に属する GlobalProtect クライアントを識別する属
性を定義します。
[ 署名者 ] フィールドで、ルート CA を選択します。
[OK] をクリックして証明書を生成します。
• ユーザーが組織に属するか
どうかの検証 — この場合、
すべてのエージェントに対
して 1 つのクライアント証
明書を使用するか、特定の
クライアント設定を使用し
てデプロイする個別の証明
書を生成します。この目的
で自己署名クライアント証
明書を発行するには、この
ステップの手順に従ってく
ださい。
GlobalProtect 管理者ガイド
27
GlobalProtect ユーザー認証のセットアップ
GlobalProtect インフラストラクチャのセットアップ
クライアント証明書認証のセットアップ（続き）
ステップ 2
28
クライアントシステムの個人たとえば、Microsoft 管理コンソールを使用して Windows シ
用証明書ストアに証明書をイステムに証明書をインストールするには、以下の手順を実
行します。
ンストールします。
1. コマンドプロンプトから、「mmc」と入力してコンソー
一意のユーザー証明書または
ルを起動します。
マシン証明書を使用している
2. [ ファイル ] > [ スナップインの追加と削除 ] の順に選択
場合、ポータル / ゲートウェイ
します。
に最初に接続する前に、クラ
3. [ 証明書 ] を選択して [ 追加 ] をクリックし、インポー
イアントシステムの個人用証
トする証明書のタイプに応じて以下のいずれかを選択
明書ストアに各証明書をイン
します。
ストールしておく必要があり
• コンピュータアカウント — マシン証明書をインポー
ます。マシン証明書を Windows
トする場合はこのオプションを選択します。
のローカルコンピュータの証
• ユーザーアカウント — ユーザー証明書をインポート
明書ストアおよび Mac OS のシ
する場合はこのオプションを選択します。
ステムキーチェーンにインス
トールします。ユーザー証明
書を Windows の現在のユー
ザーの証明書ストアおよび Mac
OS の個人用キーチェーンにイ
ンストールします。
4.
[ 証明書 ] を展開して [ 個人 ] を選択してから [ 操作 ] 列
で [ 個人 ] > [ 他の操作 ] > [ すべてのタスク ] > [ インポー
ト ] の順に選択し、証明書のインポートウィザードの手
順に従って CA から取得した PKCS ファイルをイン
ポートします。
5.
インポートする .p12 証明書ファイル参照し（参照する
ファイルタイプとして [Personal Information Exchange]
を選択）、[ パスワード ] に秘密鍵の暗号化に使用したパ
スワードを入力します。[ 証明書ストア ] で [ 個人 ] を選
択します。
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect ユーザー認証のセットアップ
クライアント証明書認証のセットアップ（続き）
ステップ 3
証明書が個人用証明書ストアにインストールした証明書があることを確認します。
追加されたことを確認します。
ステップ 4
クライアント証明書の発行に使 1.
用されたルート CA 証明書を
ファイアウォールにインポート 2.
します。
このステップは、パブリック
CA やエンタープライズ PKI CA
などの外部 CA によってクライ
アント証明書が発行された場
合にのみ必要です。自己署名
証明書を使用している場合、
ルート CA はポータル / ゲート
ウェイによってすでに信頼さ
れています。
クライアント証明書の発行に使用されたルート CA 証明
書（Base64 形式）をダウンロードします。
クライアント証明書を生成した CA からファイアウォー
ルに、ルート CA 証明書をインポートします。
a. [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス
証明書 ] の順に選択し、[ インポート ] をクリックし
ます。
b. [ 証明書名 ] フィールドに、クライアント CA 証明書で
あることを識別できる名前を入力します。
c. [Browse] をクリックして、CA からダウンロードし
た証明書ファイルを選択します。
d. [Base64 エンコード済み証明書 (PEM)] を [ ファイル
フォーマット ] フィールドで選択し、[OK] をクリッ
クします。
e. [ デバイス証明書 ] タブで、先ほどインポートした証
明書を選択して開きます。
f. [ 信頼されたルート CA] を選択して [OK] をクリック
します。
GlobalProtect 管理者ガイド
29
GlobalProtect ユーザー認証のセットアップ
GlobalProtect インフラストラクチャのセットアップ
クライアント証明書認証のセットアップ（続き）
ステップ 5
クライアント証明書プロファ 1.
イルを作成します。
ポータル/ゲートウェイで
2 要素認証をセットアッ 2.
プしている場合、外部認
証サービスへのユーザー 3.
の認証時に、クライアン
ト証明書からのユーザー
名がユーザー名として使
用されます。これによ
り、ログインしている
ユーザーは確実に証明書
が発行されているユー
ザーになります。
ステップ 6
設定を保存します。
[Device] > [ 証明書 ] > [ 証明書の管理 ] > [ 証明書プロファ
イル ] の順に選択し、[ 追加 ] をクリックして [ 名前 ]
フィールドにプロファイル名を入力します。
[ユーザー名フィールド] の値を選択し、ユーザーの ID
情報が含まれる証明書内のフィールドを指定します。
[CA 証明書] フィールドで [追加] をクリックし、ステッ
プ 4 でインポートした「信頼されたルート CA」の証明
書を選択してから [OK] をクリックします。
[Commit] をクリックします。
2 要素認証のセットアップ
機密リソースの保護や規制上の要件（PCI、SDX、HIPAA など）への準拠を目的として強力な
認証が必要な場合、1 回限りのパスワード（OTP）、トークン、スマートカード、または外部
認証とクライアント証明書認証の組み合わせなど、2 要素認証スキームの認証サービスを使用
するように GlobalProtect を設定します。2 要素認証スキームでは、エンドユーザーが把握して
いるもの（暗証番号やパスワードなど）と、エンドユーザーが所有しているもの（ハードウェ
アまたはソフトウェアトークン /OTP、スマートカード、証明書など）の 2 つが必要です。
以下のセクションでは、GlobalProtect に 2 要素認証をセットアップする方法の例を紹介します。

2 要素認証の有効化

1 回限りのパスワード（OTP）を使用した 2 要素認証の有効化

スマートカードを使用した 2 要素認証の有効化
30
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect ユーザー認証のセットアップ
2 要素認証の有効化
以下のワークフローは、証明書プロファイルと認証プロファイルの両方に対してユーザーの認
証が必要となる、GlobalProtect クライアント認証の設定方法を示しています。ユーザーがポー
タル/ゲートウェイに接続するには、両方の方法を使用して認証に成功する必要があります。こ
の設定の詳細は、「2 要素認証を使用したリモートアクセス VPN」を参照してください。
2 要素認証の有効化
ステップ 1
サーバープロファイルを作成 1.
します。
サーバープロファイルによっ
て、外部認証サービスに接続 2.
してユーザーの認証情報にア
クセスする方法がファイア 3.
ウォールに指示されます。
Active Directory（AD）への 4.
接続に LDAP を使用して
いる場合、すべての AD
ドメインに対して個別の
LDAP サーバープロファ 5.
イルを作成する必要があ
ります。
[Device] > [ サーバープロファイル ] の順に選択し、プ
ロファイルタイプ（[LDAP]、[Kerberos]、または
[RADIUS]）を選択します。
[ 追加 ] をクリックし、プロファイルの [ 名前 ] に
「GP-User-Auth」などのプロファイル名を入力します。
（LDAP のみ）[ タイプ ] フィールドで接続先となる LDAP
サーバーを選択します。
[サーバー] セクションで [追加] をクリックし、認証サー
ビスへの接続に必要な情報（[名前]、[LDAP サーバ]（IP
アドレスまたは FQDN）、および [ ポート ]）を入力し
ます。
（RADIUS および LDAP のみ）ファイアウォールで認
証サービスに対して認証できるようにする設定を以下
のように指定します。
• RADIUS — [ シークレット ] にサーバーエントリ追加
時の共有シークレットを入力します。
• LDAP — [ バンド DN] および [ バインドパスワード ]
に入力します。
6.
（LDAP および Kerberos のみ）ディレクトリサービス
でユーザーを検索する場所を指定します。
• LDAP — [ ベース ] DN で、LDAP ツリーがユーザー
とグループの検索を開始する場所を指定します。こ
のフィールドは、サーバーアドレスおよびポートを
入力するときに自動的に入力されます。入力されな
い場合、LDAP サーバーまでのサービスルートを確
認してください。
• Kerberos — [ レルム ] に Kerberos のレルム名を入力し
ます。
GlobalProtect 管理者ガイド
7.
[ ドメイン ] にドメイン名をドットなしで指定します。た
とえば acme.com ではなく acme と指定します。この値
は、User-ID に対する IP アドレス - ユーザー名間マッピ
ングでのユーザー名に追加されます。
8.
[OK] をクリックしてサーバープロファイルを保存し
ます。
31
GlobalProtect ユーザー認証のセットアップ
GlobalProtect インフラストラクチャのセットアップ
2 要素認証の有効化（続き）
ステップ 2
1.
[Device] > [ 認証プロファル ] の順に選択し、[ 追加 ] を
クリックして新しいプロファイルを追加します。
認証プロファイルによって、 2.
ユーザーの認証に使用する
サーバープロファイルが指定
されます。認証プロファイル 3.
は、ポータルまたはゲート
ウェイ設定に関連付けること 4.
ができます。
[ 名前 ] にプロファイル名を入力し、[ 認証 ] で認証タイ
プ（[LDAP]、[Kerberos]、または [RADIUS]）を選択
します。
認証プロファイルを作成し
ます。
5.
ステップ 3
クライアント証明書プロファ 1.
イルを作成します。
ポータル / ゲートウェイで
2 要素認証をセットアップ 2.
していてクライアント証
明書にユーザー名フィー
ルドが含まれている場
合、外部認証サービスへ
のユーザーの認証時に、
証明書からのユーザー名
の値がユーザー名として
使用されます。これによ
り、ログインしている
ユーザーは確実に証明書
が発行されているユー 3.
ザーになります。
ステップ 4
ステップ 5
32
[サーバープロファイル] で、ステップ 1 で作成したプ
ロファイルを選択します。
（LDAP AD）[ログイン属性] に「sAMAccountName」
と入力します。
[OK] をクリックします。
[Device] > [ 証明書 ] > [ 証明書の管理 ] > [ 証明書プロ
ファイル ] の順に選択し、[ 追加 ] をクリックして [ 名
前 ] フィールドにプロファイル名を入力します。
[ ユーザー名フィールド ] の値を選択します。
• ポータルからクライアント証明書をデプロイしてい
る場合、このフィールドは [None] のままにします。
• pre-logon で使用する証明書プロファイルをセットアッ
プしている場合、このフィールドは [None] のままに
します。
• 個々のユーザー（スマートカードユーザーを含む）
の認証にクライアント証明書を使用している場合、
ユーザーの ID 情報を含める証明書フィールドを選択
します。
[CA 証明書 ] フィールドで [ 追加 ] をクリックし、イン
ポートした「信頼されたルート CA」の証明書を選択
してから [OK] をクリックします。
（任意）GlobalProtect ユーザー/ 1.
マシンに対してクライアント証
明書を発行します。
エンタープライズ PKI またはパブリック CA を使用し
て、一意のクライアント証明書を各 GlobalProtect ユー
ザーに発行します。
2.
クライアントシステムの個人用証明書ストアに証明書
をインストールします。
GlobalProtect の設定を保存し
ます。
[Commit] をクリックします。
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect ユーザー認証のセットアップ
1 回限りのパスワード（OTP）を使用した 2 要素認証の有効化
ファイアウォールでの 2 要素認証サービスに対するアクセスのセットアッププロセスは、その
他の認証タイプのセットアップと似ています。サーバープロファイル（通常は RADIUS サー
バー）を作成し、そのサーバープロファイルを認証プロファイルに追加してから、認証を適用
するデバイス（この場合は GlobalProtect ポータル /ゲートウェイ）の設定でその認証プロファイ
ルを参照します。
デフォルトでは、エージェントはポータルおよびゲートウェイへのログインに使用されたもの
と同じ認証情報を提供します。OTP 認証の場合、この動作によってゲートウェイでの最初の認
証に失敗し、ユーザーへのログイン要求に遅延が発生するため、ユーザーの OTP が期限切れに
なる可能性があります。これを回避するため、ポータルでクライアントごとの設定に基づいて
この動作を変更できます。動作を変更するには、暗号化された Cookie を使用した認証を許可す
るか、エージェントがポータル/ゲートウェイで使用されたものと同じ認証情報を使用できない
ようにします。これらの方法ではゲートウェイが直ちに適切な認証情報の入力を求めるため、
この問題が解決されます。
OTP サポートの有効化
ステップ 1
ファイアウォールとやりとり具体的な手順は、RADIUS サーバーのドキュメントを参照
する RADIUS サーバーをセッしてください。ほとんどの場合、RADIUS サーバーに認証
エージェントおよびクライアント設定をセットアップし、
トアップします。
ファイアウォールと RADIUS サーバー間の通信を有効にす
この手順は、RADIUS サーバー
る必要があります。さらに、ファイアウォールと RADIUS
ですでに OTP またはトークン
サーバー間のセッションの暗号化に使用される共有シーク
ベースの認証が設定され、必
レットを定義します。
要なデバイス（ハードウェア
トークンなど）がユーザーに
デプロイされていることを前
提としています。
ステップ 2
ゲートウェイ / ポータルとして 1.
動作するファイアウォール
で、RADIUS サーバープロ
ファイルを作成します。
2.
[Device] > [ サーバープロファイル ] > [RADIUS] の順に
選択して [ 追加 ] をクリックし、[ 名前 ] にプロファイ
ル名を入力します。
3.
RADIUS サーバーエントリを追加するには、[ サーバー]
セクションで [ 追加 ] をクリックし、以下の情報を入力
します。
ベストプラクティス :
RADIUS サーバープロファイ
ルを作成する場合、常にドメ
イン名を入力します。ユー
ザーがログイン時に User-ID を
入力しない場合、このドメイ
ン名が User-ID マッピングのデ
フォルトドメインとして使用
されます。
[ ドメイン ] に RADIUS ドメイン名を入力します。
• サーバー — この RADIUS サーバーを識別できる名前
• IP アドレス — RADIUS サーバーの IP アドレス
• シークレット — ファイアウォールと RADIUS サーバー
間のセッションの暗号化に使用される共有シーク
レット
• ポート — RADIUS サーバーが認証要求をリッスンす
るポート番号（デフォルトは 1812）
4.
GlobalProtect 管理者ガイド
[OK] をクリックしてプロファイルを保存します。
33
GlobalProtect ユーザー認証のセットアップ
GlobalProtect インフラストラクチャのセットアップ
OTP サポートの有効化（続き）
ステップ 3
ステップ 4
ステップ 5
1.
[Device] > [ 認証プロファイル ] の順に選択して [ 追加 ]
をクリックし、[名前] にプロファイル名を入力します。
認証プロファイル名にスペースを含めることはできま
せん。
2.
[ 認証 ] ドロップダウンリストから [RADIUS] を選択し
ます。
3.
[ サーバープロファイル ] で、RADIUS サーバーへのア
クセス用に作成したプロファイルを選択します。
4.
[OK] をクリックして認証プロファイルを保存します。
認証プロファイルを GlobalProtect 1.
ゲートウェイ / ポータルに割り
当てます。
[Network] > [GlobalProtect] > [ ゲートウェイ ] または
[ ポータル ] の順に選択し、設定を選択するか、[ 追加 ]
をクリックします。
このセクションでは、ゲート 2.
ウェイまたはポータル設定へ
の認証プロファイルの追加方
法のみを説明します。これら 3.
のコンポーネントのセットアッ
プ方法の詳細は、「GlobalProtect 4.
ゲートウェイの設定」および
「GlobalProtect ポータルの設定」
を参照してください。
[ 全般 ] タブ（ゲートウェイ）または [ ポータル設定 ] タ
ブ（ポータル）の [ 認証プロファイル ] で、作成したプ
ロファイルを選択します。
（任意）ポータルでのデフォル 1.
トの認証動作を変更します。
[Network] > [GlobalProtect] > [ ゲートウェイ ] または
[ ポータル ] の順に選択し、設定を選択するか、[ 追加 ]
をクリックします。
認証プロファイルを作成し
ます。
このセクションでは、ポータ
ルの認証動作の変更方法のみ 2.
を説明します。詳細は、
「GlobalProtect クライアント設定 3.
の定義」を参照してください。
[ 認証メッセージ ] に、使用する認証情報をユーザーに
指示するメッセージを入力します。
[OK] をクリックして設定を保存します。
[ クライアントの設定 ] タブを選択し、クライアント設
定を選択するか [ 追加 ] をクリックします。
[ 全般 ] タブの [ 認証修飾子 ] フィールドから、以下の
いずれかの値を選択します。
• 設定更新のための Cookie 認証 — ユーザーが複数の
OTP や認証情報を入力しないで済むように、ポータ
ルでユーザーの認証に暗号化された Cookie を使用で
きるようにします。
• 外部ゲートウェイ用の別のパスワード — OTP 認証の
失敗を回避するため、エージェントがポータル認証
に使用されたユーザー認証情報をゲートウェイに転
送できないようにします。
4.
ステップ 6
34
設定を保存します。
[OK] を 2 回クリックして設定を保存します。
[Commit] をクリックします。
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect ユーザー認証のセットアップ
OTP サポートの有効化（続き）
ステップ 7
GlobalProtect エージェントを実行しているクライアントシ
ステムから、OTP 認証を有効にしたゲートウェイまたは
このステップは、ゲートウェイ
ポータルへの接続を試みます。以下のような 2 つのプロン
とポータルがすでに設定されて
プトが表示されます。
いることを前提としています。
これらのコンポーネントのセッ最初のプロンプトは、暗証番号（ユーザー定義またはシス
トアップ方法の詳細は、テム生成暗証番号）の入力を求めます。
「GlobalProtect ゲートウェイの
設定」および「GlobalProtect
ポータルの設定」を参照してく
ださい。
設定を確認します。
2 番目のプロンプトは、トークンまたは OTP の入力を求め
ます。
GlobalProtect 管理者ガイド
35
GlobalProtect ユーザー認証のセットアップ
GlobalProtect インフラストラクチャのセットアップ
スマートカードを使用した 2 要素認証の有効化
エンドユーザーがスマートカードまたは共通アクセスカード（CAC）を使用して認証できるよ
うにするには、エンドユーザーの CAC/スマートカードに含まれる証明書を発行したルート CA
証明書をポータル / ゲートウェイにインポートする必要があります。次に、そのルート CA を含
む証明書プロファイルを作成してポータル / ゲートウェイ設定に適用し、認証プロセスでのス
マートカードの使用を有効にします。
スマートカード認証の有効化
ステップ 1
スマートカードインフラストラ具体的な手順は、ユーザー認証プロバイダソフトウェアの
クチャをセットアップします。ドキュメントを参照してください。ほとんどの場合、ス
マートカードインフラストラクチャのセットアップで
この手順は、エンドユーザー
は、システムに参加するエンドユーザーおよびサーバー
にスマートカードおよびス
（この場合は GlobalProtect ポータル / ゲートウェイ）に対
マートカードリーダーをデプ
して証明書を生成する必要があります。ユーザーおよび
ロイ済みであることを前提と
ポータル / ゲートウェイの証明書は、すべて同じルート CA
しています。
によって発行される必要があります。
ステップ 2
エンドユーザーのスマートカー
ドに含まれるクライアント証
明書を発行したルート CA 証明
書をインポートします。
36
証明書とキーファイルが管理システムからアクセス可能
で、秘密鍵を復号するパスフレーズを持っていることを確
認してから、以下の手順を実行します。
1. [Device] > [証明書の管理] > [証明書] > [デバイス証明書]
の順に選択します。
2.
[インポート] をクリックして、[証明書名] を入力し
ます。
3.
[証明書ファイル] に CA から受信したファイルのパスと
名前を入力するか、[参照] でファイルを見つけます。
4.
[ファイルフォーマット] に [暗号化された秘密鍵と証
明書 (PKCS12)] を選択します。
5.
[秘密鍵のインポート] チェックボックスをオンにし
ます。
6.
[キーファイル] に PKCS#12 ファイルのパスと名前を入
力するか、[参照] でファイルを見つけます。
7.
秘密鍵の暗号化に使用した [パスフレーズ] を 2 回入力
した後に、[OK] をクリックして証明書と秘密鍵をイン
ポートします。
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect ユーザー認証のセットアップ
スマートカード認証の有効化（続き）
ステップ 3
CAC/ スマートカード認証を使用する各ポータル / ゲート
ウェイで証明書プロファイルを作成します。
1. [Device] > [証明書の管理] > [証明書プロファイル] の順
CRL と OCSP のどちらを
に選択して [追加] をクリックし、[名前] フィールドに
使用するかなど、その他
プロファイル名を入力します。
の証明書プロファイル
フィールドの詳細は、オ 2. [ユーザー名フィールド] が [None] に設定されている
ことを確認します。
ンラインヘルプを参照し
証明書プロファイルを作成し
ます。
3.
[CA 証明書] フィールドで [追加] をクリックし、[CA 証
明書] ドロップダウンリストからステップ 2 でイン
ポートした信頼されたルート CA 証明書選択して [OK]
をクリックします。
4.
[OK] をクリックして証明書プロファイルを保存します。
1.
[Network] > [GlobalProtect] > [ゲートウェイ] または
[ポータル] の順に選択し、設定を選択するか、[追加]
をクリックします。
このセクションでは、ゲート 2.
ウェイまたはポータル設定への
証明書プロファイルの追加方法
のみを説明します。これらのコ 3.
ンポーネントのセットアップ方
法の詳細は、「GlobalProtect 4.
ゲートウェイの設定」および
「GlobalProtect ポータルの設定」
を参照してください。
[全般] タブ（ゲートウェイ）または [ポータル設定] タ
ブ（ポータル）の [証明書プロファイル] で、作成した
プロファイルを選択します。
てください。
ステップ 4
証明書プロファイルを
GlobalProtect ゲートウェイ /
ポータルに割り当てます。
[認証メッセージ] に、使用する認証情報をユーザーに
指示するメッセージを入力します。
[OK] をクリックして設定を保存します。
ステップ 5
設定を保存します。
[Commit] をクリックします。
ステップ 6
設定を確認します。
GlobalProtect エージェントを実行しているクライアントシ
ステムから、スマートカード対応の認証をセットアップし
たゲートウェイまたはポータルへの接続を試みます。プロ
ンプトが表示されたら、スマートカードを挿入して正常に
GlobalProtect に対して認証できることを確認します。
GlobalProtect 管理者ガイド
37
GlobalProtect ユーザー認証のセットアップ
GlobalProtect インフラストラクチャのセットアップ
strongSwan Ubuntu および CentOS クライアントの認証のセットアップ
GlobalProtect VPN リモートアクセスのサポートを拡張して、strongSwan Ubuntu および CentOS ク
ライアントに対応できるようにするには、strongSwan クライアントの認証をセットアップしま
す。strongSwan クライアント設定をセットアップするには、以下の推奨設定を使用します。
strongSwan クライアントが GlobalProtect に接続できるようにするには、証明書、認証サーバー、
または両方（2 要素認証）のいずれかを使用して strongSwan クライアントを認証します。
Ubuntu Linux および CentOS の strongSwan をサポートする最小 GlobalProtect リリースバージョ
ンを確認するには、「GlobalProtect でサポートされているクライアント OS バージョン」を参照
してください。
strongSwan Ubuntu および CentOS クライアントの認証の有効化
ステップ 1
strongSwan IPsec サービスを開始し
ます。
Ubuntu クライアント :
ipsec start
CentOS クライアント :
strongswan start
ステップ 2
strongSwan クライアントが GlobalProtect Ubuntu クライアント :
ゲートウェイに対する認証に使用する ipsec up <name>
IPsec トンネルに接続します。
CentOS クライアント :
変数を使用して、セット strongswan up <name>
アップまたは変更するトンネル設定の
名前を付けます。
config name
ステップ 3
ipsec.conf
IPsec トンネル設定ファイル
（/etc/ipsec.conf）のデフォルト接 conn %default
ikelifetime=20
続設定が ipsec.conf ファイルの conn
reauth=yes
%default セクションで正しく定義され
rekey=yes
ていることを確認します。
keylife=10m
rekeymargin=3m
rekeyfuzz=0%
keyingtries=1
type=tunnel
ステップ 4
38
strongSwan クライアントが証明書プロ
ファイル、認証プロファイル、または
2 要素認証（証明書プロファイルと認
証プロファイルの両方）を使用して認
証を行うことができるようにします。
以下の 3 つの認証オプションのいずれ
かをセットアップして続行します。
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect ユーザー認証のセットアップ
strongSwan Ubuntu および CentOS クライアントの認証の有効化（続き）
ステップ 4
（オプション 1）証明書プロファイルを ipsec.conf
conn <certificate name>
使用する。
証明書プロファイルをセットアップし
て、GlobalProtect の strongSwan クライ
アント認証を定義します。証明書プロ
ファイルでは、認証に使用する証明
書、証明書の失効状態の検証方法、お
よび状態により GlobalProtect へのアク
セスを判断する方法を指定します。
この認証方式では、strongSwan クライ
アントのユーザー名を証明書の共通名
として使用します。
keyexchange=ikev1
authby-rsasig
ike=aes-sha1-modp1024,aes256#esp=aes-sha1
left=<strongSwan/Linux client IP address>
leftcert=<client certificate with the
strongSwan client username used as the
certificate’s common name>
leftsourceip=%config
leftauth2=xauth
right=<GlobalProtect IP address>
rightid=<GlobalProtect gateway IP address>
rightsubnet=0.0.0.0/0
auto=add
この手順では、IPsec 設定ファイル
（ipsec.conf）と strongSwan クライア
ipsec.secrets
ントの IPsec パスワードファイル
（ipsec.secrets）の両方の設定を :RSA <private key file>
セットアップまたは変更する必要があ
ります。
ステップ 4
（オプション 2）認証プロファイルを ipsec.conf
conn <server name>
使用する。
認証プロファイルをセットアップし
て、strongSwan クライアントの認証に
使用するサーバープロファイルを指定
します。
この手順では、IPsec 設定ファイル
（ipsec.conf）と strongSwan クライア
ントの IPsec パスワードファイル
（ipsec.secrets）の両方の設定を
セットアップまたは変更する必要があ
ります。
keyexchange=ikev1
ikelifetime=1440m
keylife=60m
aggressive=yes
ike=aes-sha1-modp1024,aes256
esp=aes-sha1
xauth=client
left=<strongSwan/Linux client IP address>
leftid=@#<groupname>
leftsourceip=%modeconfig
leftauth=psk
rightauth=psk
leftauth2=xauth
right=<GlobalProtect gateway IP address>
rightsubnet=0.0.0.0/0
xauth_identity=<LDAP username>
auto=add
ipsec.secrets
:PSK <secret>
<username> :XAUTH <password>
GlobalProtect 管理者ガイド
39
GlobalProtect ユーザー認証のセットアップ
GlobalProtect インフラストラクチャのセットアップ
strongSwan Ubuntu および CentOS クライアントの認証の有効化（続き）
ステップ 4
（オプション 3）2 要素認証を使用
する。
2 要素認証では、GlobalProtect ポータル
およびゲートウェイに接続するため
に、strongSwan クライアントは証明書プ
ロファイルと認証プロファイルの両方
を使用した認証に成功する必要があり
ます。
ipsec.conf
conn certldap
keyexchange=ikev1
authby=xauthrsasig
ike=aes-sha1-modp1024
esp=aes-sha1
xauth=client
left=<strongswan/linux client IP address>
この手順では、IPsec 設定ファイル
leftcert=<client certificate without any
（ipsec.conf）と strongSwan クライア passwords>
leftsourceip=%config
ントの IPsec パスワードファイル
right=<GlobalProtect gateway IP address>
（ipsec.secrets）の両方の設定を
rightid=%any
セットアップまたは変更する必要があ
rightsubnet=0.0.0.0/0
ります。
leftauth2=xauth
xauth_identity=<LDAP username>
auto=add
ipsec.secrets
<username> :XAUTH <password>
ステップ 5
（任意）引き続き strongSwan クライア
ントのその他の設定を追加または変更
します。
• アクセスルートや、GlobalProtect ゲー strongSwan 設定ファイルで以下の設定を更新して
トウェイで設定されたルートを yes にします。
strongSwan クライアントにプッシュ charon.cisco_unity = yes
します。このオプションを使用し
てスプリットトンネル設定を許可
し、VPN トンネルを経由しなくて
もクライアントがインターネット
にアクセスできるようにします。
すべての要求がトンネルを介して
ルーティングされ、ファイア
ウォールを通過するようにする場
合、このオプションはスキップし
ます。
strongSwan 設定ファイルは、
/etc/strongswan.d/charon.conf
にあります。
40
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect ユーザー認証のセットアップ
strongSwan Ubuntu および CentOS クライアントの認証の有効化（続き）
• strongSwan クライアントの証明書お Ubuntu クライアント :
よび秘密鍵を見つけます。
.CRT および .PEM ファイル :
/etc/ipsec.d/certs
認証局（CA）証明書 :
/etc/ipsec.d/cacerts
クライアント証明書のキーファイル :
/etc/ipsec.d/private
CentOS クライアント :
.CRT および .PEM ファイル :
/etc/strongswan/ipsec.d/certs
認証局（CA）証明書 :
/etc/strongswan/ipsec.d/cacerts
クライアント証明書のキーファイル :
/etc/strongswan/ipsec.d/private
• 特定の接続の詳細な状態情報（接 Ubuntu クライアント :
続名を指定）やすべての接続の状 ipsec statusall [<connection name>]
態情報を確認します。
CentOS クライアント :
strongswan statusall [<connection name>]
• strongSwan IPsec サービスを停止し Ubuntu クライアント :
ipsec stop
ます。
CentOS クライアント :
strongswan stop
• strongSwan IPsec トンネルへの接続 Ubuntu クライアント :
ipsec down <connection name>
を終了します。
CentOS クライアント :
strongswan down <connection name>
GlobalProtect 管理者ガイド
41
グループマッピングの有効化
GlobalProtect インフラストラクチャのセットアップ
グループマッピングの有効化
エンドユーザーのシステムで実行しているエージェントまたはアプリケーションでは、
GlobalProtect にアクセスするにはユーザーが認証に成功する必要があるため、各 GlobalProtect
ユーザーの ID は把握されています。ただし、グループメンバーシップに基づいて GlobalProtect
設定またはセキュリティポリシーを定義する場合、ファイアウォールがディレクトリサーバー
からグループのリストおよび対応するメンバーのリストを取得する必要があります。これは
「グループマッピング」と呼ばれます。
この機能を有効にするには、LDAP サーバープロファイルを作成する必要があります。このプ
ロファイルからファイアウォールに対して、ディレクトリサーバーへの接続および認証方法
と、ディレクトリでユーザーおよびグループの情報を検索する方法に関する命令が行われま
す。ファイアウォールがグループマッピングを取得する LDAP サーバーに正常に接続された
ら、クライアント設定およびセキュリティポリシーを定義するときにグループを選択できるよ
うになります。ファイアウォールは、Microsoft Active Directory（AD）、Novell eDirectory、Sun
ONE Directory Server を含む、さまざまな LDAP ディレクトリサーバーをサポートしています。
以下の手順により LDAP ディレクトリに接続し、ファイアウォールでユーザー対グループの
マッピング情報を取得できるようにします。
42
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
グループマッピングの有効化
ユーザー対グループのマッピング
ステップ 1
LDAP サーバープロファイル 1.
を作成し、ファイアウォール
がグループマッピング情報の 2.
取得に使用するディレクトリ
サーバーへの接続方法を指定 3.
します。
4.
5.
6.
7.
8.
9.
GlobalProtect 管理者ガイド
[Device] > [サーバープロファイル] > [LDAP] の順に選
択します。
[追加] をクリックし、プロファイルの [名前] を入力し
ます。
（任意）[場所] ドロップダウンリストから、このプロ
ファイルの適用先となる仮想システムを選択します。
[追加] をクリックして新しい LDAP サーバーのエント
リを追加し、[サーバー] フィールドにサーバーを識別
できる名前（1-31 文字）を入力し、IP アドレスを [ア
ドレス] フィールドに、ポート番号を [ポート] フィー
ルドにそれぞれ入力します。ファイアウォールでは、
これらの情報を使用して LDAP サーバーに接続します
（LDAP のデフォルトのポート番号は 389、LDAP over
SSL は 636 です）。プロファイルに追加できる LDAP
サーバーは最大 4 つですが、プロファイルに追加する
サーバーは、すべて同じタイプのものでなければなり
ません。冗長性を確保するために、2 つ以上のサー
バーを追加することをお勧めします。
LDAP のドメイン名を [ドメイン] フィールドに入力する
と、サーバーから取得したすべてのオブジェクトの先
頭にこのドメイン名が追加されます。ここで入力する
値は、デプロイメントタイプにより異なります。
• Active Directory を使用している場合は、FQDN では
なく NetBIOS のドメイン名（例 : acme.com ではなく
acme）を入力する必要があります。データを複数のド
メインから収集する必要がある場合は、各ドメインに
個別のサーバープロファイルを作成する必要があり
ます。ドメイン名は自動的に決定することもできます
が、できるだけ手動で入力することをお勧めします。
• グローバルカタログサーバーを使用している場合、
このフィールドは空白のままにしておきます。
[タイプ] フィールドで接続先となる LDAP サーバーを
選択します。選択したタイプに基づき、グループマッ
ピングの値が自動的に入力されます。ただし、LDAP
スキーマをカスタマイズしている場合、デフォルトの
設定を変更する必要があります。
[ベース] フィールドで、ファイアウォールが LDAP ツ
リー内でユーザーおよびグループの情報検索を開始す
るポイントを指定します。
LDAP ツリーにバインドする認証情報を、[バインド
DN]、[バインドパスワード]、[再入力バインドパス
ワード] の各フィールドに入力します。バインド DN
は、ユーザープリンシパル名（UPN）形式（例:
[email protected]）または LDAP の完全修飾名
（例: cn=administrator,cn=users,dc=acme,dc=local）
のどちらかになります。
ファイアウォールから安全な接続を介して LDAP サー
バーとの通信を行う場合は、[SSL] チェックボックス
をオンにします。[SSL] を有効にする場合は、適切な
ポート番号が指定されていることを確認する必要があ
ります。
43
グループマッピングの有効化
GlobalProtect インフラストラクチャのセットアップ
ユーザー対グループのマッピング（続き）
ステップ 2
ステップ 3
44
LDAP サーバープロファイルを 1.
User-ID のグループマッピング
設定に追加します。
設定を保存します。
[Device] > [User-ID] > [グループマッピング設定] の順
に選択し、[追加] をクリックします。
2.
[名前] に設定名を入力します。
3.
作成した [サーバープロファイル] を選択します。
4.
[有効] チェックボックスがオンになっていることを確
認します。
5.
（オプション）セキュリティポリシー内で表示するグ
ループを制限する場合、[許可リストのグループ化] タ
ブを選択し、LDAP ツリーを参照してポリシー内で使
用できるグループを特定します。含める各グループを
[使用可能なグループ] リストで選択し、追加アイコ
ンをクリックして [含まれたグループ] リストに移動し
ます。ポリシーで使用可能にするグループごとに、こ
の手順を繰り返します。
6.
[OK] をクリックして設定を保存します。
[Commit] をクリックします。
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect ゲートウェイの設定
GlobalProtect ゲートウェイの設定
ポータルがエージェントに配信する GlobalProtect 設定にはクライアントが接続できるゲート
ウェイのリストが含まれるため、ポータルを設定する前にゲートウェイを設定することをお勧
めします。
GlobalProtect ゲートウェイは、以下の 2 つのメイン機能を提供するように設定できます。

接続される GlobalProtect エージェントおよびアプリケーションのセキュリティポリシーを適
用する。また、セキュリティポリシーをより詳細に設定するため、ゲートウェイで HIP 収
集を有効にすることもできます。HIP チェックの有効化の詳細は、「ポリシー適用における
ホスト情報の使用」を参照してください。

内部ネットワークに仮想プライベートネットワーク（VPN）アクセスを提供する。VPN ア
クセスは、ゲートウェイファイアウォールでのクライアントとトンネルインターフェイス
間の IPSec または SSL トンネルを介して提供されます。
AWS クラウドにデプロイされた VM-Series ファイアウォールで GlobalProtect ゲートウェイを
設定することもできます。通常、各自のリソースを使用してこのインフラストラクチャをセッ
トアップする場合、コストや IT 機器の負担が生じますが、VM-Series ファイアウォールを
AWS クラウドにデプロイすると、このような負担を負うことなく、GlobalProtect ゲートウェ
イを任意の領域にすばやく簡単にデプロイできます。「ユースケース : AWS の GlobalProtect
ゲートウェイとしての VM-Series ファイアウォール」を参照してください。
GlobalProtect ゲートウェイを設定するための前提条件となるタスク
GlobalProtect ゲートウェイを設定する前に、以下のタスクを完了している必要があります。

各ゲートウェイを設定するインターフェイス用のインターフェイス（およびゾーン）を作
成している。トンネル接続が必要なゲートウェイの場合、物理インターフェイスと仮想ト
ンネルインターフェイスの両方を設定する必要があります。「GlobalProtect のインター
フェイスおよびゾーンの作成」を参照してください。

GlobalProtect エージェントがゲートウェイとの SSL 接続を確立するために必要なゲートウェイ
サーバー証明書をセットアップしている。「GlobalProtect コンポーネント間の SSL の有効化」
を参照してください。

GlobalProtect ユーザーの認証に使用される認証プロファイル / 証明書プロファイルを定義し
ておきます。「GlobalProtect ユーザー認証のセットアップ」を参照してください。
GlobalProtect 管理者ガイド
45
GlobalProtect ゲートウェイの設定
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect ゲートウェイの設定
前提条件となるタスクを完了した後に、以下のように GlobalProtect ゲートウェイを設定します。
ゲートウェイの設定
ステップ 1
ステップ 2
ステップ 3
1.
[Network] > [GlobalProtect] > [ゲートウェイ] の順に
選択し、[追加] をクリックします。
2.
[全般] タブで、[名前] フィールドにゲートウェイ名を入
力します。ゲートウェイ名にスペースを含めることは
できません。ベストプラクティスとして、ユーザーや
他の管理者がゲートウェイを識別できるように、場所
や説明的情報を含めます。
3.
（任意）[場所] フィールドから、このゲートウェイが属
する仮想システムを選択します。
エージェントがゲートウェイ 1.
への接続に使用するネット
ワーク情報を指定します。
[インターフェイス] で、エージェントがゲートウェイへ
の入力アクセスで使用するインターフェイスを選択し
ます。
ゲートウェイ用のネットワーク 2.
インターフェイスをまだ作成し
ていない場合は、「GlobalProtect 3.
のインターフェイスおよびゾー
ンの作成」の手順を参照してく
ださい。ゲートウェイ用のサー
バー証明書をまだ作成してい
ない場合は、「GlobalProtect コ
ンポーネントへのサーバー証
明書のデプロイ」を参照して
ください。
[IP アドレス] で、ゲートウェイ Web サービスの IP ア
ドレスを選択します。
ゲートウェイを追加します。
[サーバー証明書] ドロップダウンリストから、ゲート
ウェイのサーバー証明書を選択します。
証明書の [共通名]（CN）フィールドと、該当する
場合は、[サブジェクト代替名]（SAN）フィールド
が、ゲートウェイを設定するインターフェイスの
IP アドレスまたは完全修飾ドメイン名（FQDN）
と完全に一致する必要があります。
ゲートウェイがエンドユーザー • ローカルユーザーデータベース、または LDAP、Kerberos、
RADIUS などの外部認証サービス（OTP を含む）を使用
を認証する方法を指定します。
してユーザーを認証する場合、[認証プロファイル] フィー
認証プロファイル / 証明書プロ
ルドで対応するプロファイルを選択します。
ファイルをまだセットアップし
ていない場合は、「GlobalProtect • ユーザーが提供すべきログイン認証情報のタイプを説明
するメッセージを [認証メッセージ] に入力します。
ユーザー認証のセットアップ」
の手順を参照してください。
• クライアント証明書またはスマートカードに基づいて
ユーザーを認証するには、[証明書プロファイル] フィー
ルドで対応するプロファイルを選択します。
• 2 要素認証を使用するには、認証プロファイルと証明書プ
ロファイルの両方を選択します。ユーザーがアクセス権を
付与されるには、両方の認証に成功する必要があります。
46
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect ゲートウェイの設定
ゲートウェイの設定（続き）
ステップ 4
トンネルパラメータを設定して 1.
トンネルを有効にします。
[GlobalProtect ゲートウェイ] ダイアログで、[クライア
ントの設定] > [トンネル設定] の順に選択します。
外部ゲートウェイをセット 2.
アップする場合、トンネルパ
ラメータは必須です。内部 3.
ゲートウェイを設定する場
合、トンネルパラメータはオ
プションです。
4.
[トンネルモード] チェックボックスをオンにしてトン
ネルを有効にします。
SSL-VPN トンネルモード
の使用を強制する場合、
[IPSec の有効化] チェッ
クボックスをオンにしま
す。デフォルトでは、
SSL-VPN はクライアント
が IPSec トンネルの確立
に失敗した場合にのみ
使用されます。Extended
Authentication（X-Auth）
は、IPSec トンネルのみで
サポートされています。
[トンネルインターフェイス] で、「GlobalProtect のイ
ンターフェイスおよびゾーンの作成」のステップ 2 で
定義したトンネルインターフェイスを選択します。
（任意）Linux で実行している VPNC など、サードパー
ティ VPN クライアントを使用してゲートウェイに接続
する必要があるエンドクライアントがある場合、
[X-Auth サポートの有効化] チェックボックスをオン
にします。X-Auth を有効にした場合、クライアントで
要求される場合は [グループ名] と [グループパスワー
ド] も入力する必要があります。
X-Auth アクセスは iOS および Android デバイスでサ
ポートされていますが、利用できる GlobalProtect
機能は制限されています。代わりに GlobalProtect
アプリケーションを使用することで、GlobalProtect
が iOS および Android デバイスに提供するセキュ
リティ機能セットすべてへのアクセスを簡略化す
ることを検討してください。iOS 向け GlobalProtect
アプリケーションは Apple App Store から、Android
向け GlobalProtect アプリケーションは Google Play
から入手可能です。
5.
（任意）GlobalProtect クライアントのデフォルトのタイ
ムアウト設定を変更します。
• 1 回のゲートウェイログインセッションの [ログイン
ライフタイム] を変更します。デフォルトのログイン
ライフタイムは 30 日です。30 日が経過すると、ログ
インセッションが自動的にログアウトされます。
• 不通信状態のセッションが自動的にログアウトされ
るまでの時間を変更します。[アイドルタイムアウト]
のデフォルト期間は 3 時間です。設定された時間内
にクライアントからゲートウェイが HIP チェックを
受信しなかった場合、クライアントは GlobalProtect
からログアウトされます。
• アイドル状態のユーザーが GlobalProtect からログア
ウトされるまでの分数を変更します。[アイドル状態
で切断] のデフォルト期間は 180 分です。設定された
時間内に GlobalProtect アプリケーションが VPN トン
ネルを介してトラフィックをルーティングしなかっ
た場合、クライアントは GlobalProtect からログアウ
トされます。
GlobalProtect 管理者ガイド
47
GlobalProtect ゲートウェイの設定
GlobalProtect インフラストラクチャのセットアップ
ゲートウェイの設定（続き）
ステップ 5
（トンネルモードのみ）エー 1.
ジェントがゲートウェイとの
トンネルを確立するときに、 2.
クライアントの仮想ネット
ワークアダプタを割り当てる
ためのネットワーク設定を指
定します。
[GlobalProtect ゲートウェイ] ダイアログで、[クライアン
トの設定] > [ネットワーク設定] の順に選択します。
非トンネルモードの内部
ゲートウェイ設定では、
エージェントは物理ネッ
トワークアダプタに割り
当てられたネットワーク
設定を使用するため、こ
のネットワーク設定は不 3.
要です。
• DHCP クライアントとして設定されたインターフェイ
スがファイアウォールにある場合、[継承ソース] を
そのインターフェイスに設定することで、DHCP ク
ライアントで受信したものと同じ設定が
GlobalProtect エージェントに割り当てられます。
4.
以下のいずれかの方法で、クライアントのネットワー
ク設定を指定します。
• 対応するフィールドに入力することで、DNS サーバー
とサフィックス、および WINS サーバーを手動で割
り当てることができます。
クライアント IP アドレスの割り当てに使用する [IP プー
ル] を指定するには、[追加] をクリックして使用する
IP アドレス範囲を指定します。ベストプラクティスと
して、ゲートウェイに戻るルーティングが適切に機能
するように、LAN に物理的に接続されているクライア
ントに割り当てられたものとは異なる IP アドレス範囲
を使用します。
トンネルを経由してルーティングする宛先サブネット
を定義するには、[アクセスルート] 領域で [追加] をク
リックして以下のようにルートを入力します。
• GlobalProtect（フルトンネル設定）を介してすべての
クライアントトラフィックをルーティングするに
は、[ アクセスルート ] に「0.0.0.0/0」を入力します。
次に、どのゾーン（信頼されていないゾーンを含
む）にクライアントがアクセスできるかを定義する
のにセキュリティポリシーを使用する必要がありま
す。この設定の利点は、すべてのクライアントトラ
フィックが可視化されることと、LAN に物理的に接
続されていないときでも、ポリシーに従ってクライ
アントを確実に保護できることです。この設定で
は、ローカルサブネット宛てのトラフィックは、
ゲートウェイにトンネリングされずに、物理アダプ
タを通過します。
• GlobalProtect（スプリットトンネル設定）に一部のト
ラフィックのみ（LAN を宛先にしているトラフィッ
クなど）をルーティングするには、トンネルの対象
となる宛先サブネットを指定します。この場合、指
定されたアクセスルートを宛先としていないトラ
フィックは、仮想アダプタ（トンネル）ではなく、
クライアントの物理アダプタを介してルーティング
されます。
ファイアウォールでは、最大 100 個のアクセス
ルートがサポートされています。
48
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect ゲートウェイの設定
ゲートウェイの設定（続き）
ステップ 6
ステップ 7
（任意）ホスト情報プロファイ 1.
ル（HIP）を含むセキュリティ
ルールが適用されるときにエ 2.
ンドユーザーに表示される通
知メッセージを定義します。
3.
このステップは、ホスト情報
プロファイルを作成して、セ
キュリティポリシーに追加し
た場合にのみ適用されます。
HIP 機能の設定の詳細および
HIP 通知メッセージの作成に関
する詳細情報は、「ポリシー適 4.
用におけるホスト情報の使用」
を参照してください。
ゲートウェイの設定を保存し
ます。
GlobalProtect 管理者ガイド
[クライアントの設定] > [HIP 通知] タブで、[追加] をク
リックします。
ドロップダウンから、このメッセージを適用する [HIP
プロファイル] を選択します。
ポリシー内の対応する HIP プロファイルが一致すると
きにメッセージを表示するのか、一致しないときに
メッセージを表示するのかに応じて、[メッセージが一
致] または [一致しないメッセージ] を選択します。場
合によっては、照合するオブジェクトおよびポリシー
の対象に応じて、一致する場合と一致しない場合の両
方でメッセージの作成が必要になることがあります。
[有効化] チェックボックスをオンにし、メッセージを
[ポップアップメッセージ] として表示するか、[システ
ムトレイバルーン] として表示するかを選択します。
5.
[テンプレート] テキストボックスにメッセージのテキ
ストを入力し、次に [OK] をクリックします。
6.
定義する各メッセージについて、ここでの手順を繰り
返します。
[OK] をクリックして設定を保存し、[GlobalProtect ゲート
ウェイ] ダイアログを閉じます。
49
GlobalProtect ゲートウェイの設定
GlobalProtect インフラストラクチャのセットアップ
ゲートウェイの設定（続き）
ステップ 8
（任意）Mobile Security Manager 1.
へのアクセスをセットアップ
します。
2.
[Network] > [GlobalProtect] > [MDM] の順に選択し、[追
加] をクリックします。
3.
（任意）[場所] フィールドから、この Mobile Security
Manager 設定が属する仮想システムを選択します。
4.
ゲートウェイが HIP レポートを取得するために接続す
る、Mobile Security Manager サーバーインターフェイス
の IP アドレスまたは FQDN を入力します。
5.
（任意）Mobile Security Manager が HIP 取得要求をリス
ンする接続ポートを設定します。この値は Mobile
Security Manager に設定された値に一致する必要があり
ます。デフォルトでは、このポートは 5008 に設定され
ています。GlobalProtect Mobile Security Manager はこの
ポートでリスンします。
6.
Mobile Security Manager が、HTTPS 接続を確立するため
に証明書の提示をゲートウェイに要求する場合、使用
するクライアント証明書を選択します。
7.
ゲートウェイが、接続先のインターフェイスの Mobile
Security Manager 証明書を信頼していない場合、[信頼さ
れたルート CA] セクションで [追加] をクリックし、
Mobile Security Manager サーバー証明書の発行に使用され
たルート CA 証明書を選択またはインポートします。
8.
[OK] をクリックして Mobile Security Manager の設定を保
存します。
この手順は、GlobalProtect Mobile
Security Manager を使用してエン
ドユーザーデバイスを管理し
ていて、HIP が有効なポリシー
適用を使用している場合に必
要です。この設定により、
ゲートウェイは Mobile Security
Manager と通信して、管理対象
モバイルデバイスの HIP レ
ポートを取得することができ
ます。詳細は、「Mobile Security
Manager へのゲートウェイアク
セスの有効化」を参照してく
ださい。
ステップ 9
50
設定を保存します。
[名前] に、Mobile Security Manager の名前を入力します。
変更をコミットします。
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect ポータルの設定
GlobalProtect ポータルの設定
GlobalProtect ポータルは、GlobalProtect インフラストラクチャの管理機能を提供します。
GlobalProtect ネットワークに参加するすべてのクライアントシステムは、ポータルから設定情
報を受信します。これには、使用可能なゲートウェイ、ゲートウェイへの接続に必要になる可
能性のあるクライアント証明書などの情報が含まれます。さらに、ポータルは、Mac と Windows
両方のノートパソコンに対する GlobalProtect エージェントソフトウェアの動作と配布を制御し
ます。
ポータルは、モバイルデバイスで使用する GlobalProtect アプリケーションを配布しません。
iOS 用の GlobalProtect アプリケーションを取得するには、エンドユーザーは App Store から
アプリケーションをダウンロードする必要があります。Android 用の GlobalProtect アプリケー
ションを取得するには、エンドユーザーは Google Play からアプリケーションをダウンロード
する必要があります。ただし、モバイルデバイスがアクセスするのはどのゲートウェイかと、
モバイルデバイスは GlobalProtect Mobile Security Manager に登録される必要かあるかどうか
を制御するのは、モバイルアプリケーションユーザーにデプロイされるクライアント設定で
す。サポートされているバージョンの詳細は、「GlobalProtect でサポートされているクライ
アント OS バージョン」を参照してください。
以下のセクションでは、ポータルのセットアップの手順について説明します。

GlobalProtect ポータルを設定するための前提条件となるタスク

GlobalProtect ポータルへのアクセスのセットアップ

GlobalProtect クライアント設定の定義

GlobalProtect エージェントのカスタマイズ

GlobalProtect ポータルログイン、ウェルカムページ、およびヘルプページのカスタマイズ
GlobalProtect ポータルを設定するための前提条件となるタスク
GlobalProtect ポータルを設定する前に、以下のタスクを完了している必要があります。

ポータルを設定する予定のファイアウォールインターフェイスのためのインターフェイス（お
よびゾーン）を作成しておきます。「GlobalProtect のインターフェイスおよびゾーンの作
成」を参照してください。

ポータルサーバー証明書、ゲートウェイサーバー証明書、必要に応じて、GlobalProtect サー
ビスとの相互 SSL 接続を可能にする、エンドユーザーにデプロイされるクライアント証明
書をセットアップします。「GlobalProtect コンポーネント間の SSL の有効化」を参照してく
ださい。

GlobalProtect ユーザーの認証に使用される認証プロファイル / 証明書プロファイルを定義し
ておきます。「GlobalProtect ユーザー認証のセットアップ」を参照してください。

GlobalProtect ゲートウェイを設定しておきます。「GlobalProtect ゲートウェイの設定」を参
照してください。
GlobalProtect 管理者ガイド
51
GlobalProtect ポータルの設定
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect ポータルへのアクセスのセットアップ
前提条件となるタスクを完了した後に、以下のように GlobalProtect ポータルを設定します。
ポータルへのアクセスのセットアップ
ステップ 1
ステップ 2
ステップ 3
1.
[Network] > [GlobalProtect] > [ポータル] の順に選択
し、[追加] をクリックします。
2.
[ポータル設定] タブで、ポータルの [名前] を入力しま
す。ポータル名にスペースを含めることはできません。
3.
（任意）[場所] フィールドから、このポータルが属する
仮想システムを選択します。
エージェントがポータルに接 1.
続できるように、ネットワー
ク情報を指定します。
2.
エージェントがポータルのアクセスに使用する [インター
フェイス] を選択します。
ポータルのネットワークイン 3.
ターフェイスをまだ作成して
いない場合、作成手順は、
「GlobalProtect のインターフェ
イスおよびゾーンの作成」を
参照してください。ポータル
のサーバー証明書の作成と
ゲートウェイ証明書の発行が
まだの場合は、「GlobalProtect
コンポーネントへのサーバー
証明書のデプロイ」を参照し
てください。
ドロップダウンリストから、ポータルの [サーバー証
明書] を選択します。
ポータルを追加します。
ポータル Web サービスの [IP アドレス] を選択します。
証明書のコモンネーム（CN）フィールドと、該当
する場合は、サブジェクトの別名（SAN）フィー
ルドが、ポータルを設定するインターフェイスの
IP アドレスまたは完全修飾ドメイン名（FQDN）
と完全に一致する必要があります。一致しない場
合、ポータルへの HTTPS 接続を確立できなくな
ります。
ポータルがエンドユーザーを • ローカルユーザーデータベースまたは外部認証サービス
（OTP 認証を含む）を使用してユーザーを認証するに
認証する方法を指定します。
は、対応する [認証プロファイル] を選択します。
認証プロファイル / 証明書プロ
ファイルをまだセットアップし • [認証メッセージ] に、使用する認証情報をユーザーに指示
するメッセージを入力します。
ていない場合は、「GlobalProtect
ユーザー認証のセットアップ」 • クライアント証明書またはスマートカード/CAC に基づ
の手順を参照してください。
いてユーザーを認証するには、対応する [証明書プロ
ファイル] を選択します。
• 2 要素認証を使用するには、認証プロファイルと証明書プ
ロファイルの両方を選択します。ユーザーがアクセス権を
付与されるには、両方の認証に成功する必要があります。
ステップ 4
ポータルの設定を保存します。 1.
2.
52
[OK] をクリックして設定を保存し、[GlobalProtect ゲート
ウェイ] ダイアログを閉じます。
変更をコミットします。
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect ポータルの設定
GlobalProtect クライアント設定の定義
GlobalProtect エージェント / アプリケーションが接続され、GlobalProtect ポータルに認証される
と、GlobalProtect ポータルは、定義された設定に基づいて、GlobalProtect クライアント設定をその
エージェント / アプリケーションに配信します。別のクラスのユーザーに異なる設定が必要な場
合は、それぞれに対して別個にクライアント設定を作成できます。ポータルは、ユーザー名 / グ
ループ名やクライアントの OS を使用して、デプロイするクライアント設定を判別します。セ
キュリティルール評価によって、ポータルはリストの先頭から一致を検索します。一致が見つか
ると、ポータルは対応する設定をエージェント / アプリケーションに配信します。
設定には以下の情報を含めることができます。

エージェント / アプリケーションから接続可能なゲートウェイのリスト、およびユーザーが
これらのゲートウェイとの手動接続を確立できるかどうか。

エージェント / アプリケーションが GlobalProtect ゲートウェイや Mobile Security Manager との
SSL 接続を確立できるようにするために必要なルート CA 証明書。

接続時にエージェントがゲートウェイに提示するクライアント証明書。これは、エージェン
トとゲートウェイの間に相互認証が要求される場合のみ必要になります。

ローカルネットワークまたは外部ネットワークのどちらに接続するかを決定するためにエー
ジェントが使用する設定。

エンドユーザーがどのエージェントのビューを参照できるか、ユーザーが GlobalProtect パス
ワードを保存できるかどうか、ユーザーにエージェントソフトウェアのアップグレードのプ
ロンプトが表示されるかどうかなどの、エージェントの設定。
ポータルがダウンまたは到達不能になっている場合、エージェントは、最後に成功したポータ
ル接続のクライアント設定（キャッシュされたバージョン）を使用して、ゲートウェイの接続
先、ゲートウェイとの安全な通信を確立するために使用するルート CA 証明書、および使用す
る接続方式などの設定を取得します。
GlobalProtect 管理者ガイド
53
GlobalProtect ポータルの設定
GlobalProtect インフラストラクチャのセットアップ
クライアント設定を作成するには、以下の手順を実行します。
GlobalProtect クライアント設定の作成
ステップ 1
1.
GlobalProtect ゲートウェイや
Mobile Security Manager に接続す
るときにエージェント / アプリ
ケーションが証明書チェック
の実行に使用する信頼された
ルート CA 証明書を追加しま
す。信頼されたルート CA 証明
2.
書をクライアント設定に追加
しないと、関連付けられた
エージェント / アプリケーショ
ンは、接続時に証明書チェッ
3.
クを実行しません。
常に信頼されたルート
CA 証明書をクライアン
ト設定にデプロイするこ
とをお勧めします。これ
により、エージェント/
アプリケーションは、接
続を確立する前に証明書
チェックを実行し、ゲー
トウェイの ID を検証し
ます。このようにするこ
とで、エージェント/ア
プリケーションは、中間
者攻撃を受けずに済み
ます。
ステップ 2
クライアントの設定を追加し
ます。
[GlobalProtect ゲートウェイ] ダイアログが表示されてい
る場合、[クライアントの設定] タブを選択します。そ
れ以外の場合は、[Network] > [GlobalProtect] > [ポー
タル] の順に選択し、クライアントの設定の追加対象
となるポータルの設定を選択してから、[クライアント
の設定] タブを選択します。
[信頼されたルート CA] フィールドで、[追加] をクリッ
クし、ゲートウェイサーバー証明書の発行に使用され
た CA 証明書を選択します。すべてのゲートウェイで
同じ発行者を使用することをお勧めします。
（任意）Mobile Security Manager サーバー証明書が、一般
的な CA によって発行されていない場合（すなわち、
登録のために接続する対象となるデバイスによって信
頼されていない場合）、[信頼されたルート CA] フィー
ルドで [ 追加] をクリックし、Mobile Security Manager
サーバー証明書の発行に使用された CA 証明書を選択
します。
ゲートウェイや Mobile Security Manager サーバー証
明書の発行に使用されているルート CA 証明書が
ポータルにない場合、その場でインポートできま
す。SSL のベストプラクティスは、「GlobalProtect
コンポーネント間の SSL の有効化」を参照してく
ださい。
[クライアントの設定] セクションで、[追加] をクリック
し、[名前] にこの設定の名前を入力します。
クライアントの設定によっ複数の設定を作成する予定の場合、それぞれについて分か
て、接続しているエージェンりやすい名前を定義し、区別できるようにしてください。
ト / アプリケーションにデプロ
イする GlobalProtect 設定が指
定されます。少なくとも 1 つの
クライアントの設定を定義す
る必要があります。
54
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect ポータルの設定
GlobalProtect クライアント設定の作成（続き）
ステップ 3
ステップ 4
1.
内部ネットワークで、
GlobalProtect エージェントから 2.
トンネル接続を確立する必要
がない場合、内部ホスト検出 3.
を有効にします。
エージェントが GlobalProtect に 1.
接続する方法を指定します。
ベストプラクティス :
•外部ゲートウェイへの
VPN アクセスに
GlobalProtect を使用して
いる場合は、オンデマン
ドオプションのみを使用
します。
•非表示モードで
GlobalProtect エージェン
トを実行する予定の場合
は、オンデマンドオプ
ションを使用しないでくだ
さい。「GlobalProtect エー
ジェントのカスタマイズ」
を参照してください。
•接続時間を短縮するに
は、SSO を有効にした設
定の内部ホスト検出を使
2.
用します。
[内部ホスト検出] チェックボックスをオンにします。
[IP アドレス] に、内部ネットワークからのみ到達でき
るホストの IP アドレスを入力します。
[ホスト名] に、入力した IP アドレスに対応する DNS
ホスト名を入力します。GlobalProtect との接続を試み
ているエージェントは、指定したアドレスで DNS の逆
引きを試みます。検索に失敗した場合、エージェント
はそのアドレスが外部ネットワークにあると判断し、
リスト上の外部ゲートウェイとのトンネル接続の確立
を試みます。
[接続方式] を選択します。
• オンデマンド — ユーザーは、GlobalProtect に接続す
るために、エージェントを手動で起動する必要があ
ります。外部ゲートウェイのみの場合、この接続方
式を使用します。
• ユーザーログオン — ユーザーがマシン（またはド
メイン）にログインするとすぐに、GlobalProtect が
自動的に接続します。SSO と併用されると（Windows
ユーザーのみ）、GlobalProtect ログインはエンドユー
ザーに透過的になります。
• ログオン前 — ユーザーがマシンにログインする前
に、プリインストールされたマシン証明書を使用し
て、ユーザーを認証し、GlobalProtect ゲートウェイへの
VPN トンネルを確立します。このオプションでは、外
部 PKI ソリューションを使用して各エンドユーザーシ
ステムにマシン証明書をデプロイすることが必要にな
ります。このオプションのセットアップの詳細は、
「pre-logon を使用したリモートアクセス VPN」を参照
してください。
（Windows ユーザーのみの設定）[シングルサインオン
の使用] を選択して、Active Directory へのログイン時に
ユーザーを自動的に認証するために、GlobalProtect が
Windows ログイン認証情報を使用できるようにします。
シングルサインオン（SSO）が有効になっている場
合、GlobalProtect エージェントはユーザーの Windows
ログイン認証情報を使用して、GlobalProtect ポータ
ルおよびゲートウェイに対する認証と接続を自動
的に行います。また、SSO が有効になっている
GlobalProtect の場合、GlobalProtect エージェントは
サードパーティ認証情報をラップすることもでき
ます。これにより、Windows ユーザーは、サード
パーティ認証情報プロバイダを使用して Windows
ログイン認証情報をラップしている場合でも認証
と接続を行うことができます。
GlobalProtect 管理者ガイド
55
GlobalProtect ポータルの設定
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect クライアント設定の作成（続き）
ステップ 5
Mobile Security Manager へのアク 1.
セスのセットアップ。
この手順は、この設定を使用
しているモバイルデバイスが
GlobalProtect Mobile Security Manager
で管理される場合に必要にな
ります。すべてのデバイスが 2.
最初にポータルに接続します。
Mobile Security Manager が、対応
するポータルクライアント設
定で設定されている場合、デバ
イスは登録のためにリダイレク
トされます。詳細は、
「GlobalProtect Mobile Security
Manager のセットアップ」を参
照してください。
56
[Mobile Security Manager] デバイスチェックインイン
ターフェイスの IP アドレスまたは FQDN を入力しま
す。ここに入力する値は、デバイスチェックインイン
ターフェイスに関連付けられた Mobile Security Manager
サーバー証明書の [CN] フィールドの値に厳密に一致す
る必要があります。
Mobile Security Manager が登録要求をリスンするポート
を、[登録ポート] に指定します。この値は Mobile Security
Manager に設定された値と一致する必要があります
（デフォルト=443）。詳細は、「デバイス管理のため
の Mobile Security Manager のセットアップ」を参照して
ください。
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect ポータルの設定
GlobalProtect クライアント設定の作成（続き）
ステップ 6
この設定をデプロイする対象
ユーザーを指定します。設定
をどこが取得するかを指定す
る方法には、ユーザー/ グルー
プ名、エージェントが動作し
ているオペレーティングシス
テムの 2 つがあります。
[ユーザー/ユーザーグループ] タブを選択し、この設定を
適用する必要があるユーザー/ユーザーグループやオペ
レーティングシステムを指定します。
• この設定を特定のユーザーまたはグループに制限するに
は、ウィンドウの [ユーザー/ユーザーグループ] セク
ションの [追加] をクリックし、この設定を受信するユー
ザーまたはグループをドロップダウンリストから選択
します。追加するユーザー/グループごとにこの手順を
ポータルは、指定されている
繰り返します。
ユーザー/ ユーザーグループの
設定を使用して、どの設定を • システムにまだログインしていないユーザーへの設定を
接続する GlobalProtect エージェ
制限するには、[ユーザー/ユーザーグループ] ドロップ
ントに配信するかを決定しま
ダウンリストから [ログオン前] を選択します。
す。そのため、複数の設定が
• この設定を特定のオペレーティングシステムが実行さ
ある場合は、設定を適切な順
れているエージェントやアプリケーションに配信するに
序に並べる必要があります。
は、ウィンドウの [OS] セクションで [追加] をクリック
ポータルが一致を認めるとす
し、この設定が適用される OS（[Android]、[iOS]、
ぐに、設定が配信されます。
[Mac]、または[Windows]）を選択します。
そのため、より具体的な設定
が、一般的な設定よりも優先
される必要があります。クラ
イアントの設定のリストを並
べる手順は、ステップ 11 を参
照してください。
特定のグループへの設定
を制限するには、「グ
ループマッピングの有効
化」で説明されているよ
うに、ユーザーをグルー
プにマッピングする必要
があります。
ステップ 7
この設定が行われたユーザー [エージェント] タブを選択し、目的に合わせてエージェン
の GlobalProtect エージェントのトの設定を変更します。各オプションについての詳細は、
動作をカスタマイズします。
「GlobalProtect エージェントのカスタマイズ」を参照して
ください。
GlobalProtect 管理者ガイド
57
GlobalProtect ポータルの設定
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect クライアント設定の作成（続き）
ステップ 8
この設定が行われたユーザー 1.
が接続できるゲートウェイを
指定します。
ベストプラクティス :
2.
•内部ゲートウェイと外部
ゲートウェイの両方を同
じ設定に追加している場
合、内部ホスト検出を必
ず有効にしてください。
手順は、「GlobalProtect ク
ライアント設定の定義」 3.
のステップ 3 を参照して
ください。
•設定に内部ゲートウェイ
が含まれる場合、接続方式
にオンデマンドを使用しな 4.
いようにしてください。
[ゲートウェイ] タブで、追加しているゲートウェイのタ
イプに応じて [内部ゲートウェイ] セクションまたは
[外部ゲートウェイ] セクションで [追加] をクリックし
ます。
[名前] フィールドに、分かりやすいゲートウェイ名を
入力します。ここに入力する名前は、ゲートウェイを
設定したときに定義した名前と一致する必要があり、
ユーザーが接続しているゲートウェイの場所を知るこ
とができるように分かりやすい名前にする必要があり
ます。
ゲートウェイが設定されているインターフェイスの
FQDN または IP アドレスを [アドレス] フィールドに
入力します。指定するアドレスは、ゲートウェイサー
バー証明書に記載された共通名（CN）と完全に一致す
る必要があります。
（外部ゲートウェイのみ）[優先順位] フィールドをク
リックして値を選択して、ゲートウェイの優先順位を
設定します。
• 1 つの外部ゲートウェイのみを使用している場合、
Highest（デフォルト）に設定しておくことができ
ます。
• 複数の外部ゲートウェイを使用している場合、この
設定が適用される特定のユーザーグループの選択を
指示するために、優先順位の値を変更することがで
きます（Highest から Lowest までの範囲）。たとえ
ば、ローカルゲートウェイよりもユーザーグルー
プ接続を優先する場合、地理的に遠いゲートウェイ
よりも高い優先順位を設定します。優先順位の値
は、エージェントのゲートウェイ選択アルゴリズム
の重みづけに使用されます。
• エージェントがゲートウェイとのトンネル接続を自
動的に確立する必要がない場合、[手動のみ] を選択
します。この設定は、環境のテストに役立ちます。
5.
58
（外部ゲートウェイのみ）ゲートウェイに手動で切り替
えることをユーザーに許可する必要がある場合は、[手
動] チェックボックスをオンにします。
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect ポータルの設定
GlobalProtect クライアント設定の作成（続き）
ステップ 9
（任意）エージェントに収集 • [データ収集] > [カスタムチェック] の順に選択し、この
クライアントの設定を行っているホストから収集するカ
または収集から除外させる必
スタムデータを定義します。詳細は、「HIP ベースのポ
要がある HIP カテゴリのカス
リシー適用の設定」のステップ 2 を参照してください。
タムホスト情報プロファイル
（HIP）データを定義します。
• [データ収集] > [カテゴリの除外] の順に選択し、[追加] を
クリックして、カテゴリ内の特定のカテゴリやベン
この手順は、HIP 機能を使用
ダー、アプリケーション、またはバージョンを除外しま
する予定だが、標準 HIP オブ
す。詳細は、「HIP ベースのポリシー適用の設定」のス
ジェクトを使用して収集でき
テップ 3 を参照してください。
ない情報を収集する必要があ
る場合、または収集と関係の
ない HIP 情報がある場合にの
み適用します。HIP 機能のセッ
トアップおよび使用方法の詳
細は、「ポリシー適用におけ
るホスト情報の使用」を参照
してください。
ステップ 10 クライアントの設定を保存し
ます。
1.
[OK] をクリックして設定を保存し、[ 設定 ] ダイアログ
を閉じます。
2.
別のクライアントの設定を追加する必要がある場合
は、ステップ 2 ～ステップ 10 を繰り返します。
ステップ 11 適切な設定が各エージェントに • 設定のリストの上部にクライアントの設定を移動するに
は、設定を選択し、[ 上へ ] をクリックします。
デプロイされるように、クライ
アントの設定を配置します。
• 設定のリストの下部にクライアントの設定を移動するに
は、設定を選択し、[ 下へ ] をクリックします。
エージェントが接続すると、
ポータルは、パケットの送信
元の情報を、定義したクライ
アントの設定と比較します。
セキュリティルール評価に
よって、ポータルはリストの
先頭から一致を検索します。
一致が見つかると、ポータル
は対応する設定をエージェン
トまたはアプリケーションに
配信します。
ステップ 12 ポータルの設定を保存します。 1.
2.
GlobalProtect 管理者ガイド
[OK] をクリックして設定を保存し、[GlobalProtect ポー
タル ] ダイアログを閉じます。
変更をコミットします。
59
GlobalProtect ポータルの設定
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect エージェントのカスタマイズ
ポータルクライアントの設定により、エンドユーザーが、システムにインストールされている
GlobalProtect エージェントや、モバイルデバイスにインストールされている GlobalProtect アプリ
ケーションとやり取りする方法をカスタマイズできます。作成したさまざまな GlobalProtect クラ
イアント設定ごとに異なるエージェント設定を定義できます。クライアントシステム要件の詳細
は、「GlobalProtect でサポートされているクライアント OS バージョン」を参照してください。
カスタマイズできる内容は以下のとおりです。

どのメニューとビューにユーザーがアクセスできるか。

ユーザーがパスワードをエージェント内に保存できるかどうか。

ユーザーがエージェントを無効にできるかどうか（ユーザーログオン接続方式のみに適用さ
れる）。

正常ログイン時にウェルカムページを表示するかどうか。また、ご使用の環境での GlobalProtect
の使用方法にユーザーを誘導するカスタムウェルカムページおよびヘルプページを作成できま
す。「GlobalProtect ポータルログイン、ウェルカムページ、およびヘルプページのカスタマイ
ズ」を参照してください。

エージェントのアップグレードは自動的に行われるのか、それともユーザーにアップグレー
ドのプロンプトが表示されるのか。
エージェントの設定を Windows レジストリまたはグローバル Mac plist から直接定義することも
できます。Windows クライアントでは、エージェントの設定を Windows インストーラー
（MSIEXEC）から直接定義することもできます。Web インターフェイスのポータルクライアン
トの設定で定義されている設定は、Windows レジストリ /MSIEXEC または Mac plist で定義され
ている設定よりも優先されます。詳細は、「エージェントの設定の透過的なデプロイ」を参照し
てください。
エージェントのカスタマイズ
ステップ 1
60
カスタマイズする必要があるク 1.
ライアントの設定の [エージェ
ント ] タブに移動します。
[Network] > [GlobalProtect] > [ ポータル ] の順に選択
し、クライアントの設定を追加するポータルの設定を
選択します（または、[ 追加 ] をクリックして新しい設
定を追加します）。
2.
[ クライアント設定 ] タブを選択し、変更するクライアン
トの設定を選択します（または、[ 追加 ] をクリックし
て新しい設定を追加します）。
3.
[ エージェント ] タブを選択します。
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect ポータルの設定
エージェントのカスタマイズ（続き）
ステップ 2
この設定のエンドユーザーがデフォルトでは、エージェントの機能は完全に有効になっ
エージェントから実行できるています（すべてのチェックボックスが選択されているこ
とを意味します）。機能を解除するには、以下のオプショ
ことを定義します。
ンの一部またはすべての対応するチェックボックスをオフ
[エージェント] タブの設にします。
定は、Windows レジスト
• ユーザーがアプリケーション内の基本的な状態の情報の
リや Mac plist に設定を追加し
みを参照できるようにする必要がある場合、[詳細ビュー
て、グループポリシーを介し
の有効化 ] チェックボックスをオフにします。デフォル
てエンドクライアントに設定
トでは、詳細ビューが有効になっています。これによ
することもできます。Windows
り、エンドユーザーは、詳細な統計、ホスト、トラブ
システムでは、エージェント
ルシューティング情報を参照し、パスワードの変更など
のタスクを実行できます。
インストール中にコマンドラ
インから MSIEXEC ユーティリ • エンドユーザーのシステムの GlobalProtect エージェントを
ティを使用してこれらを設定
非表示にする必要がある場合、[GlobalProtect アイコンを
表示 ] チェックボックスをオフにします。アイコンを非表
することもできます。ただ
示にすると、ユーザーは、パスワードの変更、ネット
し、Web インターフェイスまた
ワークの再検出、ホスト情報の再送信、トラブルシュー
は CLI で定義されている設定
ティング情報の表示、要求時接続の実行など、他のタス
は、Windows レジストリや plist
クを実行できません。ただし、HIP 通知メッセージ、ログ
の設定よりも優先されます。
インプロンプト、証明書ダイアログは、エンドユーザー
詳細は、「エージェントの設
の操作に必要であれば、引き続き表示されます。
定の透過的なデプロイ」を参
• [ポータルアドレスの変更をユーザーに許可] チェックボッ
照してください。
クスをオフにして、GlobalProtect エージェントの [設定]
Windows SSO に失敗した場
タブの [ポータル] フィールドを無効にします。その場
合、ユーザーは接続先のポータルを指定できなくなるた
合にエージェントがエン
め、デフォルトのポータルアドレスを Windows レジス
ドユーザーに認証情報の
トリ（HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto
プロンプトを表示するか
Networks\GlobalProtect\PanSetup にキー Portal を指定）ま
どうかを指定する別のオ
たは Mac plist（/Library/Preferences/com.
プションを、Windows コマ
paloaltonetworks.GlobalProtect.pansetup.plist のディク
ンドライン（MSIEXEC）
ショナリ PanSetup の下にキー Portal を指定）に指定する
または Windows レジスト
必要があります。詳細は、「エージェントの設定の透過
リのみを介して利用でき
的なデプロイ」を参照してください。
ます。デフォルトで、こ
• ユーザーがパスワードをエージェントに保存できないよ
の Windows レジストリの
うにする必要がある場合（すなわち、ユーザーエージェ
設定（can-prompt-userントを介して透過的に、または接続するごとに手動入力
credential）は yes に設定
でパスワードの入力を強制する必要がある）、[ パスワー
されています。この動作を
ドの保存を許可 ] チェックボックスをオフにします。
変更するには、Windows レ • ユーザーにネットワークを再検出させないようにするに
ジストリまたは MSIEXEC
は、[[ネットワークの再検出] オプションを有効にする]
を介したエージェントイ
チェックボックスをオフにします。
ンストールで値を変更す • ユーザーに HIP データをゲートウェイに手動で再送信さ
る必要があります
せないようにするには、[[ホストプロファイルの再送信]
（msiexec.exe /i
オプションを有効にする] チェックボックスをオフにし
GlobalProtect.msi
ます。このオプションはデフォルトで有効にされてい
て、HIP ベースのセキュリティポリシーでユーザーをリ
CANPROMPTUSERCREDENTIAL=
ソースにアクセスさせない場合に役立ちます。これによ
"no"）。
り、ユーザーがコンピュータのコンプライアンスの問題
を解決し、HIP を再送信することが可能になります。
GlobalProtect 管理者ガイド
61
GlobalProtect ポータルの設定
GlobalProtect インフラストラクチャのセットアップ
エージェントのカスタマイズ（続き）
• ポータル証明書が有効でない場合にエージェントから
ポータルとの接続を確立させる必要がない場合、[ポータ
ルサーバー証明書が無効な場合に続行を許可] チェック
ボックスをオフにします。ポータルが提供するのはエー
ジェント設定のみであることに注意してください。ポー
タルはネットワークアクセスを提供しません。そのた
め、ポータルへのセキュリティはゲートウェイへのセ
キュリティよりも重要ではありません。ただし、ポータ
ルの信頼されたサーバー証明書をデプロイした場合、こ
のオプションをオフにすると中間者攻撃（MITM）の回
避に役立ちます。
ステップ 3
ユーザーが GlobalProtect から • ユーザーログオンモードのユーザーを切断させないよう
にするには、[エージェントユーザーオーバーライド] ド
切断できるかどうかを指定し
ロップダウンリストから [ 無効化 ] を選択します。
ます。
• ユーザーがパスコードを入力する場合に切断を許可する
これは、接続方式（[全般] タ
には、[ エージェントユーザーオーバーライド ] ドロップ
ブ）が[ユーザーログオン] に設
ダウンリストから [パスコード付き] を選択し、[パスコー
定されているクライアント設定
ド ] にエンドユーザーが入力する必要があるパスコード
のみに適用されます。ユーザー
を入力（および確認）します。
ログオンモードでは、ユー
• ユーザーがチケットを入力する場合に切断を許可するに
ザーがシステムにログインする
は、[ エージェントユーザーオーバーライド ] ドロップダ
とすぐに、エージェントが
ウンリストから [ チケット付き ] を選択します。この場
GlobalProtect に自動的に接続さ
合、切断アクションが、要求番号を生成するエージェン
れます。このモードは、「常時
トをトリガーします。エンドユーザーは、要求番号を管
理者に通知する必要があります。管理者は、[Network] >
オン」と呼ばれることがありま
[GlobalProtect] > [ ポータル ] ページで [ チケットの生成 ]
す。その理由は、ユーザーは、
をクリックし、エンド
ユーザーから通知された要求番号
切断するためにこの動作をオー
を入力してチケットを生成します。管理者はチケットを
バーライドする必要があるから
エンドユーザーに提供します。エンドユーザーはこのチ
です。
ケットを [Disable GlobalProtect] ダイアログに入力して、
エージェントの切断を有効にします。
デフォルトでは、ユーザーロ
グオンモードのユーザーに、
切断するためのコメントの入
力プロンプトが表示されます
（[ エージェントユーザーオー
バーライド ] が [ コメント付き ]
に設定されている）。
エージェントアイコンが
表示されない場合、ユー
ザーは切断することがで • ユーザーが切断してもよい時間の長さを制限するには、
[ エージェントユーザーのオーバーライドタイムアウト ]
きません。詳細は、「ス
フィールドに値（分単位）を入力します。値 0（デフォ
テップ 2」を参照してく
ルト）は、ユーザーが切断していてもよい時間の長さが
ださい。
無制限であることを示します。
• ユーザーが切断できる回数を制限するには、[ エージェン
トユーザーオーバーライド ] フィールドに値を入力しま
す。値 0（デフォルト）は、ユーザー切断が無制限である
ことを示します。
62
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect ポータルの設定
エージェントのカスタマイズ（続き）
ステップ 4
デフォルトでは、[ エージェントのアップグレード ] フィー
どのようにして GlobalProtect
エージェントのアップグレールドは、エンドユーザーにアップグレードのプロンプトを
表示するように設定されています。この動作を変更するに
ドを行うかを指定します。
は、以下のいずれかのオプションを選択します。
ユーザーがいつアップグレー
ドできるかを制御する必要が • ユーザーとのやり取りなしでアップグレードを自動的に
行う必要がある場合は、[ 透過 ] を選択します。
ある場合、たとえば、利用者
全体にデプロイする前に、小 • エージェントのアップグレードを回避するには、[ 無効化 ]
規模なユーザーのグループ
を選択します。
で、あるリリースをテストす
• エンドユーザーにエージェントのアップグレードの開
る必要がある場合、各設定を
始を許可するには、[ 手動 ] を選択します。この場合、
基準にしてエージェントアッ
ユーザーは、エージェントの [ バージョンの確認 ] オプ
プグレードの動作をカスタマ
ションを選択して新しいエージェントのバージョンがあ
イズすることができます。こ
るかどうかを判定し、必要に応じてアップグレードしま
の場合、アップグレードとテ
す。エージェントがユーザーに表示されない場合、この
ストを許可する、IT グループ
オプションは動作しません。詳細は、「ステップ 2」を
のユーザーのみに適用する設
参照してください。
定を作成し、他のすべての
ユーザー/ グループの設定では
アップグレードを無効にする
ことができます。新しいバー
ジョンを完全にテストした
後、アップグレードを許可す
るために、残りのユーザーの
エージェントの設定を変更で
きます。
ステップ 5
正常ログイン時にウェルカムデフォルトでは、エージェントが GlobalProtect と正常に接
ページを表示するかどうかを続したことを示すのは、システムトレイ / メニューバーに
指定します。
表示されるバルーンメッセージのみです。以下のように、
正常ログイン時にクライアントブラウザにウェルカム
ウェルカムページは、イント
ページを表示することを選択することもできます。
ラネットやその他の内部サー
バーなどの、GlobalProtect に接 1. [ ウェルカムページの表示 ] チェックボックスをオンに
します。
続されているときのみアクセ
スできる内部リソースにユー 2. ドロップダウンリストから、表示する [ウェルカムペー
ジ ] を選択します。デフォルトでは、[ 出荷時のデフォ
ザーを誘導するときに役立ち
ルト ] という名前のウェルカムページがあります。ただ
ます。
し、（どのポータル設定がデプロイされるかに基づい
て）ユーザーやユーザーの特定のグループ固有の情報
を提供する 1 つ以上のカスタムウェルカムページを定
義することができます。カスタムページの作成の詳細
は、「GlobalProtect ポータルログイン、ウェルカムペー
ジ、およびヘルプページのカスタマイズ」を参照して
ください。
GlobalProtect 管理者ガイド
63
GlobalProtect ポータルの設定
GlobalProtect インフラストラクチャのセットアップ
エージェントのカスタマイズ（続き）
ステップ 6
エージェントの設定を保存し
ます。
1.
クライアントの設定の作成が完了している場合は、
[OK] をクリックして [ 設定 ] ダイアログを閉じます。そ
れ以外の場合、クライアント設定の実行手順は、
「GlobalProtect クライアント設定の定義」を参照して
ください。
2.
ポータルの設定が完了している場合は、[OK] をクリッ
クして [GlobalProtect ポータル ] ダイアログを閉じます。
3.
ポータルの設定が完了したら、変更を [コミット ] し
ます。
GlobalProtect ポータルログイン、ウェルカムページ、およびヘルプペー
ジのカスタマイズ
GlobalProtect は、デフォルトログイン、ウェルカムページやヘルプページを提供します。ただ
し、必要に応じて、コーポレートブランディング、利用規定、内部リソースへのリンクを使用
して独自のカスタムページを作成することもできます。
または、ポータルログインページへのブラウザアクセスを無効にして、GlobalProtect
ポータルに対する認証の不正な試行を防ぐことができます（[Network] > [GlobalProtect] >
[ ポータル ] > [ ポータル設定 ]）。ポータルログインページが無効になっている場合、代わ
りに Microsoft System Center Configuration Manager（SCCM）などのソフトウェア配布ツール
を使用して、ユーザーが GlobalProtect エージェントをダウンロードしてインストールできるよ
うにすることができます。
ポータルログインページのカスタマイズ
ステップ 1
ステップ 2
デフォルトポータルログイン 1.
ページをエクスポートします。 2.
[Device] > [ 応答ページ ] の順に選択します。
[GlobalProtect ポータルログインページ ] のリンクを
選択します。
3.
デフォルトで事前定義されたページを選択し、[エクス
ポート ] をクリックします。
エクスポートしたページを編 1.
集します。
任意の HTML テキストエディタを使用して、ページを
編集します。
2.
表示されるロゴイメージを編集する必要がある場合、
リモート GlobalProtect クライアントからアクセスでき
る新しいロゴイメージを Web サーバーにホストしま
す。たとえば、新しいロゴイメージを指し示すよう
に、HTML の以下の行を編集します。
<img src="http://cdn.slidesharecdn.com/
Acme-logo-96x96.jpg?1382722588"/>
3.
64
編集したページを新しいファイル名で保存します。
ページが UTF-8 エンコーディングのままであることを
確認してください。
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect ポータルの設定
ポータルログインページのカスタマイズ（続き）
ステップ 3
ステップ 4
ステップ 5
新しいログインページをイン 1.
ポートします。
2.
[Device] > [ 応答ページ ] の順に選択します。
[GlobalProtect ポータルログインページ ] のリンクを
選択します。
3.
[インポート] をクリックし、[インポートファイル] フィー
ルドにパスとファイル名を入力するか、[ 参照 ] をク
リックしてファイルを指定します。
4.
（任意）[ 宛先 ] ドロップダウンリストから、このログ
インページが使用される仮想システムを選択するか、
すべての仮想システムから利用できるように共有を選
択します。
5.
[OK] をクリックしてファイルをインポートします。
新しいログインページを使用 1.
するようにポータルを設定し
ます。
[Network ]> [GlobalProtect] > [ ポータル ] の順に選択
し、ログインページを追加する対象のポータルを選択
します。
2.
[ ポータル設定 ] タブで、[ カスタムログインページ ] ド
ロップダウンリストから、新しいページを選択します。
3.
[OK] をクリックしてポータルの設定を保存します。
4.
変更をコミットします。
新しいログインページが表示ブラウザから、ポータルの URL に移動します（「:4443」
されることを検証します。
ポート番号を URL の末尾に追加しないでください。追加す
ると、ファイアウォールの Web インターフェイスに誘導さ
れます）。たとえば、https://myportal:4443 ではなく、
https://myportal を入力します。
ポータルのログインページが表示されます。
GlobalProtect 管理者ガイド
65
GlobalProtect クライアントソフトウェアのデプロイ
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect クライアントソフトウェアのデプロイ
GlobalProtect に接続するには、エンドホストが GlobalProtect クライアントソフトウェアを実行
している必要があります。ソフトウェアのデプロイメント方法は、以下のようにクライアント
のタイプによって異なります。

Mac OS および Microsoft Windows ホスト — GlobalProtect エージェントソフトウェアが必要で
す。このソフトウェアは、GlobalProtect ポータルから配布されます。ソフトウェアの配布を有
効にするには、ネットワーク内のホストで使用するバージョンを、GlobalProtect ポータルをホ
ストしているファイアウォールにダウンロードし、ダウンロードのためにソフトウェアをア
クティベーションする必要があります。ファイアウォールのエージェントソフトウェアのダ
ウンロードおよびアクティベーションの手順は、「GlobalProtect エージェントソフトウェア
のデプロイ」を参照してください。

iOS および Android デバイス — GlobalProtect アプリケーションが必要です。他のモバイルデバ
イスアプリケーションと同様に、エンドユーザーは、GlobalProtect アプリケーションを Apple
AppStore（iOS デバイス）または Google Play（Android デバイス）からダウンロードする必要が
あります。「GlobalProtect モバイルアプリケーションのダウンロードおよびインストール」を
参照してください。
詳細は、「GlobalProtect でサポートされているクライアント OS バージョン」を参照してください。
GlobalProtect エージェントソフトウェアのデプロイ
GlobalProtect エージェントソフトウェアをデプロイする方法はいくつかあります。

ポータルから直接 — エンドユーザーがポータルに接続するときに更新をインストールできる
ように、ポータルをホストしているファイアウォールにエージェントソフトウェアをダウン
ロードし、アクティベーションします。このオプションによって、エンドユーザーは、それ
ぞれのユーザー、グループ、オペレーティングシステムに定義するクライアントの設定に基
づいて更新を受信する方法やタイミングを柔軟に制御することができます。ただし、更新が
必要なエージェントが大量にある場合、ポータルに過剰な負荷がかかる可能性があります。
方法については、「エージェント更新のポータルへのホスト」を参照してください。

Web サーバーから — エージェントを同時にアップグレードする必要があるホストが大量にあ
る場合、ファイアウォールの負荷を軽減するために、エージェント更新を Web サーバーにホ
ストすることを検討してください。方法については、「エージェント更新の Web サーバーへ
のホスト」を参照してください。

コマンドラインから透過的に — Windows クライアントでは、Windows インストーラー
（MSIEXEC）のエージェントの設定を自動的にデプロイできます。ただし、MSIEXEC を使
用して新しいエージェントバージョンにアップグレードするには、既存のエージェントを最
初にアンインストールする必要があります。さらに、MSIEXEC は、Windows レジストリま
たは Mac plist に値を設定することによって、クライアントシステムでエージェントの設定を
直接デプロイすることを可能にします。「エージェントの設定の透過的なデプロイ」を参照
してください。
66
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ

GlobalProtect クライアントソフトウェアのデプロイ
グループポリシールールの使用 — Active Directory 環境で、Active Directory グループポリシー
を使用して、GlobalProtect エージェントをエンドユーザーに配布することもできます。AD グ
ループポリシーは、Windows ホストコンピュータの設定およびソフトウェアを自動的に変更
することを許可します。プログラムをホストコンピュータやユーザーに自動的に配布するた
めにグループポリシーを使用する方法に関する情報は、http://support.microsoft.com/kb/816102
で記事を参照してください。
エージェント更新のポータルへのホスト
GlobalProtect エージェントソフトウェアをデプロイする最も簡単な方法は、新しいエージェント
インストールパッケージを、ポータルをホストしているファイアウォールにダウンロードし、
ポータルに接続しているエージェントにダウンロードするためにソフトウェアをアクティベー
ションします。自動的にこれを行うには、ファイアウォールが、Palo Alto Networks 更新サーバー
へのアクセスを可能にするサービスルートを持つ必要があります。ファイアウォールがインター
ネットにアクセスできない場合、インターネットに接続されたコンピュータを使用して、Palo
Alto Networks ソフトウェア更新サポートサイトからエージェントソフトウェアパッケージを手動
でダウンロードした後に、ファイアウォールに手動でアップロードすることができます。
ポータルに定義しているクライアントの設定で、どのようにエージェントソフトウェア更新がデ
プロイされるか、つまり、エージェントがポータルに接続するときに更新が自動的に行われるの
か、エージェントをアップグレードするプロンプトがユーザーに表示されるのか、エンドユー
ザーが手動でチェックして新しいエージェントバージョンをダウンロードするのかを定義しま
す。クライアントの設定の作成の詳細は、「GlobalProtect クライアント設定の定義」を参照して
ください。
GlobalProtect エージェントのポータルへのホスト
ステップ 1
GlobalProtect ポータルをホスト [Device] > [GlobalProtect クライアント ] の順に選択し
しているファイアウォールでます。
Web インターフェイスを起動
し、GlobalProtect クライアント
ページに移動します。
ステップ 2
新しいエージェントソフトウェ • ファイアウォールが更新サーバーにアクセスできる場
アイメージをチェックします。
合、[今すぐチェック] をクリックし、最新の更新をチェッ
クします。[アクション] 列の値が [ダウンロード] の場
合は、入手可能な更新があることを示します。
• ファイアウォールが更新サーバーにアクセスできない
場合は、Palo Alto Networks ソフトウェア更新サポート
サイトに移動して、ファイルをコンピュータにダウン
ロードします。それからファイアウォールに戻り、
ファイルを手動でアップロードします。
GlobalProtect 管理者ガイド
67
GlobalProtect クライアントソフトウェアのデプロイ
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect エージェントのポータルへのホスト（続き）
ステップ 3
エージェントソフトウェアイ必要なエージェントバージョンを見つけて [ ダウンロード ]
メージをダウンロードします。をクリックします。ダウンロードが完了すると、[アクショ
ン ] 列の値が [ アクティベーション ] になります。
ファイアウォールで管理
ステップ 2 で説明されているように、エージェントソ
ポートからインターネット
フトウェアを手動でアップロードした場合、[アクショ
にアクセスできない場合は、
ン ] 列は更新されません。手動でアップロードされた
Palo AltoNetworks サポートサイト
イメージをアクティベーションするには、次の手順を
(https://support.paloaltonetworks.com)
続行します。
からエージェント更新をダウン
ロードできます。更新をファイ
アウォールに手動でアップロー
ドし、[ ファイルからアクティ
ベーション] をクリックしてアク
ティベーションできます。
ステップ 4
68
エンドユーザーがポータルから • イメージを更新サーバーから自動的にダウンロードし
た場合、[ アクティベーション ] をクリックします。
ダウンロードできるように、
エージェントソフトウェアイ
• イメージをファイアウォールに手動でアップロードした
メージをアクティベーションし
場合、[ファイルからアクティベーション] をクリックし、
ます。
ドロップダウンリストから、アップロードした
[GlobalProtect クライアントファイル ] を選択します。
一度にアクティベーション
[OK] をクリックし、選択したイメージをアクティベー
できるエージェントソフ
ションします。バージョンに [現在アクティベーション済
トウェアイメージのバー
み] と表示するには、画面の更新が必要になる場合があり
ジョンは 1 つのみです。新
ます。
しいバージョンをアクティ
ベーションするが、以前に
アクティベーションされた
バージョンを必要とする
エージェントが別にある場
合、必要なバージョンを再
度ダウンロードできるよう
にするために、アクティ
ベーションする必要があり
ます。
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect クライアントソフトウェアのデプロイ
エージェント更新の Web サーバーへのホスト
GlobalProtect エージェントソフトウェアのインストールや更新が必要なクライアントシステム
が大量にある場合、GlobalProtect エージェントソフトウェアイメージを外部 Web サーバーにホ
ストすることを検討してください。これは、ユーザーがエージェントのダウンロードのために
接続するときのファイアウォールの負荷の軽減に役立ちます。この機能を使用するには、ポー
タルをホストしているファイアウォールで PAN-OS 4.1.7 以降が実行されている必要があります。
GlobalProtect エージェントイメージの Web サーバーへのホスト
ステップ 1
Web サーバーにホストする
GlobalProtect エージェントの
バージョンをファイアウォー
ルにダウンロードし、アク
ティベーションします。
ステップ 2
ブラウザから、Palo Alto Networks ソフトウェア更新サイトに
Web サーバーにホストする
GlobalProtect エージェントイ移動し、ファイルをコンピュータにダウンロードします。
メージをダウンロードします。
ファイアウォールでエージェントソフトウェアをダウン
ロードおよびアクティベーションするには、
「GlobalProtect エージェントのポータルへのホスト」で説
明されている手順を実行します。
ポータルでアクティベーション
したのと同じイメージをダウン
ロードする必要があります。
ステップ 3
ファイルを Web サーバーに公開イメージファイルを Web サーバーにアップロードします。
します。
ステップ 4
エンドユーザーを Web サーバーポータルをホストしているファイアウォールで、CLI にロ
にリダイレクトします。
グインし、以下の操作モードコマンドを入力します。
> set global-protect redirect on
> set global-protect redirect location <path>
ここでは、<path> は、イメージをホストしているフォルダ
への URL で、https://acme/GP などです。
ステップ 5
リダイレクトをテストします。 1.
Web ブラウザを起動し、以下の URL に移動します。
https://<portal address or name>
例 : https://gp.acme.com
2.
GlobalProtect 管理者ガイド
ポータルログインページで、[ 名前 ] と [ パスワード ]
に入力し、[ ログイン ] をクリックします。正常ログイ
ン後に、ポータルがダウンロードのためにリダイレク
トします。
69
GlobalProtect クライアントソフトウェアのデプロイ
GlobalProtect インフラストラクチャのセットアップ
エージェントインストールのテスト
エージェントインストールをテストするには、以下の手順を実行します。
エージェントインストールのテスト
ステップ 1
エージェントインストールをテファイアウォールを管理する責任を担う IT 部門の管理者
ストするためのクライアントなどの小規模なユーザーのグループに制限したクライアン
トの設定を作成することをお勧めします。
の設定を作成します。
1. [Network] > [GlobalProtect] > [ ポータル ] の順に選択
GlobalProtect エージェント
し、編集するポータルの設定を選択します。
ソフトウェアをクライアン
トシステムに最初にイン 2. [ クライアントの設定 ] タブを選択し、既存の設定を選
択するか、[ 追加 ] をクリックして、テストユーザー/
ストールするとき、エンド
グループにデプロイする新しい設定を追加します。
ユーザーは、管理者権限
を持つアカウントを使用 3.
してシステムにログイン
する必要があります。こ
の後のエージェントソフ
トウェア更新では、管理 4.
者権限は不要です。
ステップ 2
[ ユーザー/ ユーザーグループ ] タブで、[ ユーザー/ ユー
ザーグループ ] セクションの [ 追加 ] をクリックし、
エージェントをテストするユーザーまたはグループを
選択します。
[ エージェント ] タブで、[ エージェントアップグレー
ド ] が [ プロンプト ] に設定されていることを確認し、
[OK] をクリックして設定を保存します。
5.
（任意）作成または変更したクライアントの設定を選
択し、これまでに作成した一般的な設定の先頭になる
ように、[ 上へ ] をクリックします。
6.
変更をコミットします。
GlobalProtect ポータルにログイ 1.
ンします。
Web ブラウザを起動し、以下の URL に移動します。
https://<portal address or name>
例 : https://gp.acme.com
2.
70
ポータルログインページで、[ 名前 ] と [ パスワード ]
に入力し、[ ログイン ] をクリックします。
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect クライアントソフトウェアのデプロイ
エージェントインストールのテスト（続き）
ステップ 3
エージェントをダウンロード 1.
します。
コンピュータで実行されているオペレーティングシス
テムに対応するリンクをクリックし、ダウンロードを
開始します。
2.
ソフトウェアの実行または保存のプロンプトが表示さ
れたら、[ 実行 ] をクリックします。
3.
プロンプトが表示されたら、[ 実行 ] をクリックして
GlobalProtect セットアップウィザードを起動します。
GlobalProtect エージェントソフトウェアをクライ
アントシステムに最初にインストールすると
き、エンドユーザーは、管理者権限を持つアカ
ウントを使用してシステムにログインする必要が
あります。この後のエージェントソフトウェア
更新では、管理者権限は不要です。
ステップ 4
GlobalProtect エージェントセッ 1.
トアップの実行。
GlobalProtect セットアップウィザードから、[ 次へ ] を
クリックします。
2.
[ 次へ ] をクリックしてデフォルトのインストールフォ
ルダを受け入れるか
（C:\Program Files\Palo Alto Networks\GlobalProtect）、
[ 参照 ] をクリックして新しい場所を選択し、Next を
2 回クリックします。
3.
インストールが正常に完了したら、[ 閉じる ] をクリッ
クします。GlobalProtect エージェントが自動的に開始
されます。
GlobalProtect 管理者ガイド
71
GlobalProtect クライアントソフトウェアのデプロイ
GlobalProtect インフラストラクチャのセットアップ
エージェントインストールのテスト（続き）
ステップ 5
GlobalProtect にログインし
ます。
プロンプトが表示されたら、[ ユーザー名 ] と [ パスワード ]
に入力し、[適用] をクリックします。認証に成功した場合、
エージェントは GlobalProtect に接続します。エージェント
を使用して、対応するセキュリティポリシーで定義されて
いるように、会社のネットワークのリソースと外部リソー
スにアクセスします。
エージェントをエンドユーザーにデプロイするには、アク
セスを有効にする対象ユーザーグループのクライアントの
設定を作成し、[ エージェントのアップグレード ] の設定を
適切に行い、ポータルのアドレスを通知します。クライア
ントの設定の詳細は、「GlobalProtect クライアント設定の
定義」を参照してください。
GlobalProtect モバイルアプリケーションのダウンロードおよびインス
トール
GlobalProtect アプリケーションを使用すると、企業のセキュリティポリシーをモバイルデバイス
まで容易に拡張することができます。GlobalProtect エージェントを実行している他のリモート
ホストと同様に、モバイルアプリケーションから IPSec や SSL VPN トンネルを介して、会社の
ネットワークに安全にアクセスすることができます。アプリケーションが、エンドユーザーの
現在のロケーションに最も近いゲートウェイに自動的に接続します。さらに、モバイルデバイ
スとの双方向のトラフィックには、会社のネットワーク上にある他のホストと同じセキュリ
ティポリシーが自動的に適用されます。GlobalProtect エージェントのように、アプリケーショ
ンはホストの設定に関する情報を収集し、HIP ベースのセキュリティポリシー適用を拡張する
ためにこの情報を使用することができます。
72
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect クライアントソフトウェアのデプロイ
モバイルデバイスセキュリティのソリューションを完全に使用するには、GlobalProtect Mobile
Security Manger を利用することができます。このサービスは、モバイルデバイス設定、デバイ
スのセキュリティコンプライアンスの徹底、中央管理および可視性の、自動化されたプロビ
ジョニングを、ネットワークにアクセスしているモバイルデバイスに提供します。さらに、
GlobalProtect Mobile Security Manager は、ネットワーク上の他の GlobalProtect サービスとシームレ
スに統合されるため、どのようなロケーションからもネットワークリソースに安全にアクセス
して、HIP プロファイルに基づく詳細なポリシーを適用することが可能になります。詳細は、
「GlobalProtect Mobile Security Manager のセットアップ」を参照してください。
GlobalProtect モバイルアプリケーションをインストールするには、以下の手順を実行します。
アプリケーションのインストールのテスト
ステップ 1
ステップ 2
アプリケーションのインストーファイアウォールを管理する責任を担う IT 部門の管理者
ルをテストするためのクライアなどの小規模なユーザーのグループに制限したクライアン
ントの設定を作成します。
トの設定を作成することをお勧めします。
1. [Network] > [GlobalProtect] > [ ポータル ] の順に選択
し、編集するポータルの設定を選択します。
2.
[ クライアントの設定 ] タブを選択し、既存の設定を選
択するか、[ 追加 ] をクリックして、テストユーザー/
グループにデプロイする新しい設定を追加します。
3.
[ユーザー/ユーザーグループ] タブで、[ユーザー/ユー
ザーグループ ] セクションの [ 追加 ] をクリックし、
エージェントをテストするユーザーまたはグループを
選択します。
4.
[OS] セクションで、テストしているアプリケーション
を選択します（iOS または Android）。
5.
（任意）作成または変更したクライアントの設定を選
択し、これまでに作成した一般的な設定の先頭になる
ように、[ 上へ ] をクリックします。
6.
変更をコミットします。
モバイルデバイスから、プロン • Android デバイスでは、Google Play でアプリケーションを
検索します。
プトに従ってアプリケーショ
ンをダウンロードおよびイン • iOS デバイスでは、App Store でアプリケーションを検索
ストールします。
します。
GlobalProtect 管理者ガイド
73
GlobalProtect クライアントソフトウェアのデプロイ
GlobalProtect インフラストラクチャのセットアップ
アプリケーションのインストールのテスト（続き）
ステップ 3
アプリケーションを起動し
ます。
正常にインストールされると、GlobalProtect アプリケー
ションアイコンがデバイスのホーム画面に表示されます。
アプリケーションを起動するには、このアイコンをタップ
します。GlobalProtect VPN 機能を有効にするプロンプトが
表示されると、[OK] をタップします。
ステップ 4
ポータルに接続します。
1.
プロンプトが表示されると、[ ポータル ] に名前または
アドレスを入力し、[ ユーザー名 ] と [ パスワード ] を入
力します。ポータル名は完全修飾ドメイン名（FQDN）
である必要がありますが、先頭に「https://」を入力し
ないでください。
2.
[Connect] をタップして、アプリケーションが GlobalProtect
との VPN 接続を正常に確立することを検証します。
GlobalProtect Mobile Security Manager が設定されている場
合、アプリケーションから登録プロンプトが表示され
ます。設定の検証の詳細は、「Mobile Security Manager
設定の検証」を参照してください。
74
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
エージェントの設定の透過的なデプロイ
エージェントの設定の透過的なデプロイ
ポータルの設定からエージェントの設定をデプロイする代わりに、Windows レジストリやグロー
バル MAC plist、または MSIEXEC インストーラー（Windows クライアントのみ）から、エージェ
ントの設定を直接定義することができます。この利点は、GlobalProtect ポータルに初めて接続す
る前に、クライアントシステムへの GlobalProtect エージェントの設定のデプロイを有効にできる
ことです。
ポータルの設定で定義されている設定は常に、Windows レジストリや Mac plist で定義されてい
る設定をオーバーライドします。これは、レジストリや plist に設定を定義しているが、ポータ
ルの設定が別の設定を指定している場合、エージェントがポータルから受信する設定で、クラ
イアントで定義されている設定がオーバーライドされることを意味します。これには、オンデ
マンドで接続するのか、SSO を使用するのか、ポータル証明書が無効な場合にエージェントが
接続できるのかなどの、ログイン関連の設定が含まれます。そのため、競合する設定を絶対に
定義しないでください。さらに、ポータルの設定がクライアントシステムにキャッシュされ、
エージェントが再起動される場合またはマシンが再起動される場合に、キャッシュされたこの
設定が使用されます。
以下のセクションでは、使用できるカスタマイズ可能なエージェント設定と、Windows および
Mac クライアントに透過的にこれらの設定をデプロイする方法について説明します。

カスタマイズ可能なエージェントの設定

Windows クライアントへのエージェント設定のデプロイ

Mac クライアントへのエージェント設定のデプロイ
Windows レジストリおよび Mac plist を使用して GlobalProtect エージェント設定をデプロイする
だけでなく、GlobalProtect エージェントがクライアントから特定の Windows レジストリまたは
Mac plist 情報（クライアントにインストールされたアプリケーション、クライアントで実行され
ているプロセス、これらのアプリケーションやプロセスの属性またはプロパティに関するデータ
など）を収集できるようにすることも可能です。その後、データをモニターして、一致条件とし
てセキュリティルールに追加できます。定義した特定のレジストリ設定に一致するデバイスト
ラフィックは、セキュリティルールに従って規制できます。カスタムチェックをセットアップ
して、クライアントからのアプリケーションおよびプロセスデータの収集を行います。
カスタマイズ可能なエージェントの設定
ポータルアドレスの事前のデプロイに加えて、エージェントの設定も定義できます。「表 : カ
スタマイズ可能なエージェントの設定」に、カスタマイズ可能なエージェントの設定が説明さ
れています。GlobalProtect ポータルクライアントの設定で定義されている設定は、Windows レ
ジストリや Mac plist で定義されている設定よりも優先されます。
シングルサインオン（SSO）を有効にする設定を除き、その他の SSO 設定は、対応するポー
タル設定が Web インターフェイスにないため、Windows レジストリまたは MSIEXEC を使用
して設定する必要があります。これらの SSO 設定には、can-prompt-user-credential、
wrap-cp-guid、および filter-non-gpcp が含まれます。
GlobalProtect 管理者ガイド
75
エージェントの設定の透過的なデプロイ
GlobalProtect インフラストラクチャのセットアップ
表 : カスタマイズ可能なエージェントの設定
ポータルのクライアントの設定 Windows レジストリ/ Mac plist MSIEXEC パラメータ
デフォルト
詳細ビューの有効化
enable-advanced-view yes | no
ENABLEADVANCEDVIEW=”yes|no”
yes
GlobalProtect アイコンを表示
show-agent-icon yes | no
SHOWAGENTICON=”yes|no”
yes
ポータルアドレスの変更を
ユーザーに許可
can-change-portal yes | no
CANCHANGEPORTAL=”yes|no”
yes
パスワードの保存を許可
can-save-password yes | no
CANSAVEPASSWORD=”yes|no”
yes
[ネットワークの再検出]
オプションを有効にする
rediscover-network yes | no
REDISCOVERNETWORK=”yes|no”
yes
[ホストプロファイルの再送
信] オプションを有効にする
resubmit-host-info yes | no
RESUBMITHOSTINFO=”yes|no”
yes
ポータルサーバー証明書が
無効な場合に続行を許可
can-continue-if-portal-certinvalid yes | no
CANCONTINUEIFPORTALCERTINVALID=”y
es|no”
yes
設定の間隔更新（時間）
refresh-config-interval <hours> REFRESHCONFIGINTERVAL=”<hours>”
24
接続方式
connect-method on-demand |
pre-logon | user-logon
CONNECTMETHOD=”on-demand |
pre-logon | user-logon”
ユーザー
ログオン
シングルサインオンの使用
use-sso yes | no
USESSO=”yes|no”
yes
can-prompt-user-credential yes
| no
CANPROMPTUSERCREDENTIAL=”yes |
no”
yes
wrap-cp-guid {third party
credential provider guid}
WRAPCPGUID=”{guid_value]”
FILTERNONGPCP=”yes|no”
no
（Windows のみ）
Windows のみ / ポータルに
はなし
この設定はシングルサイン
オンと併用され、SSO に失敗
した場合に認証情報のプロ
ンプトをユーザーに表示す
るかどうかを示します。
Windows のみ / ポータルに
はなし
この設定により、サードパー
ティ認証情報プロバイダの
タイルが Windows ログオン
ページからフィルタされ、ネ
イティブ Windows タイルの
みが表示されます。*
76
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
エージェントの設定の透過的なデプロイ
ポータルのクライアントの設定 Windows レジストリ/ Mac plist MSIEXEC パラメータ
Windows のみ / ポータルに
ない
デフォルト
filter-non-gpcp no
この設定は wrap-cp-guid 設
定の追加オプションで、ネイ
ティブ Windows ログオンタ
イルだけでなくサードパー
ティ認証情報プロバイダの
タイルも Windows ログオン
ページに表示できるように
します。
*
*Windows レジストリまたは Windows インストーラ（MSIEXEC）を使用してこれらの設定を有効にする詳細な手順は、
「Windows クライアントのサードパーティ認証情報プロバイダの SSO ラッピング」を参照してください。
Windows クライアントへのエージェント設定のデプロイ
Windows レジストリまたは Windows インストーラ（MSIEXEC）を使用して、GlobalProtect エージェ
ントおよび設定を Windows クライアントに透過的にデプロイします。

Windows レジストリでのエージェント設定のデプロイ

エージェントの設定の MSIEXEC からのデプロイ

Windows クライアントのサードパーティ認証情報プロバイダの SSO ラッピング
Windows レジストリでのエージェント設定のデプロイ
GlobalProtect ポータルに初めて接続する前に、Windows レジストリを使用して、Windows クライア
ントシステムへの GlobalProtect エージェント設定のデプロイを有効にできます。以下の表で説明
されているオプションを使用して、Windows レジストリで Windows クライアントのエージェント
設定のカスタマイズを開始します。
Windows レジストリを使用して GlobalProtect エージェント設定をデプロイするだけでなく、
GlobalProtect エージェントが Windows クライアントから特定の Windows レジストリ情報を収
集できるようにすること可能です。その後、データをモニターして、一致条件としてセキュリ
ティルールに追加できます。定義した特定のレジストリ設定に一致するデバイストラフィッ
クは、セキュリティルールに従って規制できます。カスタムチェックをセットアップして、
クライアントからのアプリケーションおよびプロセスデータの収集を行います。
GlobalProtect 管理者ガイド
77
エージェントの設定の透過的なデプロイ
GlobalProtect インフラストラクチャのセットアップ
Windows レジストリを使用した GlobalProtect エージェント設定のデプロイ
• Windows レジストリで、GlobalProtect エー Windows レジストリを開き（コマンドプロンプトで
ジェントのカスタマイズ設定を見つけ
「regedit」と入力する）、以下の場所に移動します。
ます。
HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto
Networks\GlobalProtect\Settings\
• ポータル名を設定します。
初めての接続であっても、ユーザーがポータルアドレスを
手動で入力せずに済むようにする場合、ポータルアドレス
を Windows レジストリ
（HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto
Networks\GlobalProtect\PanSetup with key Portal）を介し
て事前にデプロイします。
• Windows レジストリからさまざまな設定 Windows レジストリを使用してセットアップできるコマン
（GlobalProtect エージェントの接続方式ドおよび値の完全なリストは、「表 : カスタマイズ可能な
の設定やシングルサインオン（SSO）のエージェントの設定」を参照してください。
有効化など）を Windows クライアントに
デプロイします。
• GlobalProtect エージェントが Windows クラ Windows レジストリを使用したサードパーティ認証情報の
イアントのサードパーティ認証情報を SSO ラッピングの有効化。
ラップできるようにします。これによ
り、サードパーティ認証情報プロバイダ
が使用されている場合でも SSO を使用で
きます。
78
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
エージェントの設定の透過的なデプロイ
エージェントの設定の MSIEXEC からのデプロイ
Windows クライアントでは、以下の構文を使用して、Windows インストーラー（MSIEXEC）から
エージェントおよび設定の両方を自動的にデプロイするという選択肢があります。
msiexec.exe /i GlobalProtect.msi <SETTING>="<value>"
たとえば、証明書が有効でない場合に、ユーザーにポータルへ接続させないようにするには、
以下のように設定を変更することができます。
msiexec.exe /i GlobalProtect.msi CANCONTINUEIFPORTALCERTINVALID="no"
すべての設定の一覧および対応するデフォルト値は、「表 : カスタマイズ可能なエージェントの
設定」を参照してください。
MSIEXEC から、Windows クライアントのサードパーティ認証情報をラップするように
GlobalProtect エージェントをセットアップする方法については、「Windows インストーラを
使用したサードパーティ認証情報の SSO ラッピングの有効化」を参照してください。
Windows クライアントのサードパーティ認証情報プロバイダの SSO ラッピング
シングルサインオン（SSO）では、GlobalProtect エージェントはユーザーの Windows ログイン
認証情報をラップして、GlobalProtect ポータルおよびゲートウェイに対する認証と接続を自動
的に行います。このリリースでは SSO が拡張されており、サードパーティ認証情報プロバイダ
を使用してユーザーの Windows ログイン認証情報をラップしている場合、GlobalProtect エー
ジェントはサードパーティ認証情報もラップできます。この機能が有効になっている場合、
Windows ログオン認証情報を使用して Windows システムにログオンすると、ユーザーは Windows、
GlobalProtect、およびサードパーティ認証情報プロバイダに対する認証にワンステップで成功しま
す。この SSO の拡張機能は、Windows 7 および Windows Vista クライアントでサポートされています。
Windows レジストリまたは Windows インストーラを使用して、GlobalProtect がサードパーティ認
証情報をラップできるようにすることができます。

Windows レジストリを使用したサードパーティ認証情報の SSO ラッピングの有効化

Windows インストーラを使用したサードパーティ認証情報の SSO ラッピングの有効化
サードパーティ認証情報プロバイダ（CP）の GlobalProtect SSO ラッピングはサードパーティ
CP 設定に依存しているため、サードパーティ CP の実装で GlobalProtect が CP を正常にラッ
プできるようになっていない場合、GlobalProtect SSO ラッピングが正常に機能しない可能性
があります。
GlobalProtect 管理者ガイド
79
エージェントの設定の透過的なデプロイ
GlobalProtect インフラストラクチャのセットアップ
Windows レジストリを使用したサードパーティ認証情報の SSO ラッピングの有効化
Windows レジストリで以下の手順を実行して、SSO で Windows 7 および Windows Vista クライアン
トのサードパーティ認証情報をラップできるようにすることができます。
Windows レジストリを使用したサードパーティ認証情報の SSO ラッピングの有効化
ステップ 1
Windows レジストリを開いて、 1.
ラップするサードパーティ認
証情報プロバイダのグローバ 2.
ル一意識別子（GUID）を見つ
けます。
3.
80
コマンドプロンプトで、regedit コマンドを入力して、
Windows レジストリを開きます。
以下の場所で、現在インストールされている認証情報
プロバイダを見つけます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Authentication\Credential Providers.
ラップする認証情報プロバイダの GUID キー（GUID の
両端の波かっこ { および } を含む）をコピーします。
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
エージェントの設定の透過的なデプロイ
Windows レジストリを使用したサードパーティ認証情報の SSO ラッピングの有効化（続き）
ステップ 2
wrap-cp-guid 設定を GlobalProtect
1.
設定に追加して、サードパー
ティ認証情報プロバイダの SSO
ラッピングを有効にします。
Windows レジストリの以下の場所に移動します。
HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto Networks\
GlobalProtect\Settings:
2.
新しい [ 文字列値 ] を追加します。
3.
[ 文字列値 ] の値を入力します。
• 名前 : wrap-cp-guid
• 値のデータ : {third party credential provider GUID}
[値のデータ] フィールドに入力する GUID 値は、
波かっこ { および } で囲む必要があります。
以下に、[ 値のデータ ] フィールドのサードパーティ
認証情報プロバイダ GUID の例を示します。
{A1DA9BCC-9720-4921-8373-A8EC5D48450F}
新しい文字列値の場合、文字列値の名前として
wrap-cp-guid、データとして GUID が表示されます。
GlobalProtect 管理者ガイド
81
エージェントの設定の透過的なデプロイ
GlobalProtect インフラストラクチャのセットアップ
Windows レジストリを使用したサードパーティ認証情報の SSO ラッピングの有効化（続き）
次のステップ ...
• 手順 1 と手順 2 が完了すると、サードパーティ認証情報
プロバイダの SSO ラッピングが正常にセットアップされ
ます。このセットアップにより、ネイティブ Windows ロ
グオンタイルがユーザーに表示されます。ユーザーは、
タイルをクリックし、Windows 認証情報を使用してシス
テムにログオンします。1 回のログオンで、Windows、
GlobalProtect、サードパーティ認証情報プロバイダに対
してユーザーを認証します。
• （任意）2 つのタイル（ネイティブ Windows タイルとサー
ドパーティ認証情報プロバイダのタイル）をログオン時
にユーザーに表示する場合、ステップ 3 に進みます。
ステップ 3
（任意）サードパーティ認証 filter-non-gpcp という名前の 2 つ目の [ 文字列値 ] を追加
情報プロバイダのタイルをロして、文字列の [ 値のデータ ] に「no」と入力します。
グオン時にユーザーに表示で
きるようにします。
この文字列値が GlobalProtect 設定に追加されると、Windows
システムにログオンするときにネイティブ Windows タイル
とサードパーティ認証情報プロバイダのタイルの 2 つのロ
グオンオプションがユーザーに表示されます。
Windows インストーラを使用したサードパーティ認証情報の SSO ラッピングの有効化
Windows インストーラ MSIEXEC で以下のオプションを使用して、SSO で Windows 7 および Windows
Vista クライアントのサードパーティ認証情報プロバイダをラップできるようにすることができます。
Windows インストーラを使用したサードパーティ認証情報の SSO ラッピングの有効化
• サードパーティ認証情報をラップして、ログオン時にユーザーにネイティブタイルを表示しま
す。ユーザーは、タイルをクリックし、ネイティブ Windows 認証情報を使用してシステムにロ
グオンします。1 回のログオンで、Windows、GlobalProtect、サードパーティ CP に対してユー
ザーを認証します。
Windows インストーラ（MSIEXEC）で以下の構文を使用します。
msiexec.exe /i GlobalProtect.msi WRAPCPGUID=”{guid_value}” FILTERNONGPCP=”yes”
上記の構文の FILTERNONGPCP パラメータでは、サードパーティ認証情報を使用してシステムに
ログオンするオプションをフィルタし、ユーザーの認証を簡略化します。
• ユーザーがサードパーティ認証情報を使用してログインできるようにするには、MSIEXEC で以
下の構文を使用します。
msiexec.exe /i GlobalProtect.msi WRAPCPGUID=”{guid_value}” FILTERNONGPCP=”no”
サードパーティ認証情報プロバイダのログオンタイルを除外してネイティブタイルのみを表
示する上記の構文の FILTERNONGPCP パラメータは “no” に設定されています。この場合、
Windows システムにログオンするときに、ネイティブ Windows タイルとサードパーティ認証情
報プロバイダのタイルの両方がユーザーに表示されます。
82
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
エージェントの設定の透過的なデプロイ
Mac クライアントへのエージェント設定のデプロイ
Mac グローバル plist（プロパティリスト）ファイルで GlobalProtect エージェントのカスタマイズ
設定を行うことができます。これにより、GlobalProtect ポータルに初めて接続する前に、Mac ク
ライアントシステムへの GlobalProtect エージェントの設定のデプロイが有効になります。
plist ファイルは、Mac システムの /Library/Preferences または ~/Library/Preferences
（チルダ記号 ~ は、現在のユーザーのホームフォルダを示しています）のいずれかにありま
す。Mac クライアントの GlobalProtect エージェントは、最初に /Library/Preferences で、
使用する GlobalProtect plist 設定をチェックします。この場所に plist がない場合、GlobalProtect
エージェントは ~/Library/Preferences で plist 設定を検索します。
Mac plist を使用して GlobalProtect エージェント設定をデプロイするだけでなく、GlobalProtect
エージェントがクライアントから特定の Mac plist 情報を収集できるようにすることも可能で
す。その後、データをモニターして、一致条件としてセキュリティルールに追加できます。定
義した特定のレジストリ設定に一致するデバイストラフィックは、セキュリティルールに従っ
て規制できます。カスタムチェックをセットアップして、クライアントからのアプリケーショ
ンおよびプロセスデータの収集を行います。
Mac Plist を使用した GlobalProtect エージェント設定のデプロイの開始
• Mac プロパティリストで、GlobalProtect Mac グローバル plist ファイルの場所
エージェントのカスタマイズ設定を見つ（/Library/Preferences/com.paloaltonetworks.GlobalProt
けます。
ect.settings.plist）に移動します。
• ポータル名を設定します。
初めての接続であっても、ユーザーがポータルアドレスを
手動で入力せずに済むようにする場合、ポータルアドレス
を Mac plist を介して事前にデプロイします。
/Library/Preferences/com.
paloaltonetworks.GlobalProtect.settings.plist に移動し、
ディクショナリ PanSetup の下にキー Portal を設定します。
• Mac plist からさまざまな設定（GlobalProtect Windows レジストリを使用してセットアップできるコマン
エージェントの接続方式の設定やシングドおよび値の完全なリストは、「表 : カスタマイズ可能な
ルサインオン（SSO）の有効化など）をエージェントの設定」を参照してください。
Mac クライアントにデプロイします。
GlobalProtect 管理者ガイド
83
GlobalProtect iOS アプリケーションとサードパーティ MDM の併用
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect iOS アプリケーションとサードパーティ
MDM の併用
GlobalProtect Mobile Security Manager は、シームレスな境界セキュリティを企業に提供するために
Palo Alto 次世代セキュリティプラットフォームと統合されていますが、iOS 用の GlobalProtect アプ
リケーションは、サードパーティ MDM サービスと併用することもできます。サードパーティ
MDM を使用して iOS App Store から GlobalProtect アプリケーションをデプロイし、次にその MDM
を使用して VPN 設定プロファイルをデプロイし、エンドユーザー用の GlobalProtect アプリケー
ションを自動的にセットアップできます。
以下のトピックには、XML の設定およびペイロードの例が記載されています。これは、サード
パーティ MDM を使用して GlobalProtect アプリケーションを設定し、iOS 用の GlobalProtect アプ
リケーションのデバイスレベルとアプリレベルの両方の VPN 設定を MDM で提供できるように
する場合に役立ちます。

GlobalProtect iOS アプリケーションのデバイスレベルの VPN 設定

GlobalProtect iOS アプリケーションのアプリケーションレベルの VPN 設定
84
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect iOS アプリケーションとサードパーティ MDM の併用
GlobalProtect iOS アプリケーションのデバイスレベルの VPN 設定
例 : デバイスレベルの VPN の設定
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadDescription</key>
<string>Configures VPN settings, including authentication.</string>
<key>PayloadDisplayName</key>
<string>VPN (Sample Device Level VPN)</string>
<key>PayloadIdentifier</key>
<string>Sample Device Level VPN.vpn</string>
<key>PayloadOrganization</key>
<string>Palo Alto Networks</string>
<key>PayloadType</key>
<string>com.apple.vpn.managed</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadUUID</key>
<string>5436fc94-205f-7c59-0000-011d</string>
<key>UserDefinedName</key>
<string>Sample Device Level VPN</string>
<key>Proxies</key>
<dict/>
<key>VPNType</key>
<string>VPN</string>
<key>VPNSubType</key>
<string>com.paloaltonetworks.GlobalProtect.vpnplugin</string>
<key>IPv4</key>
<dict>
<key>OverridePrimary</key>
<integer>0</integer>
</dict>
<key>VPN</key>
<dict>
<key>RemoteAddress</key>
<string>cademogp.paloaltonetworks.com</string>
<key>AuthName</key>
<string></string>
<key>DisconnectOnIdle</key>
<integer>0</integer>
<key>OnDemandEnabled</key>
<integer>1</integer>
<key>OnDemandRules</key>
<array>
<dict>
<key>Action</key>
<string>Connect</string>
</dict>
</array>
<key>AuthenticationMethod</key>
<string>Password</string>
</dict>
<key>VendorConfig</key>
<dict>
<key>AllowPortalProfile</key>
<integer>0</integer>
<key>FromAspen</key>
<integer>1</integer>
</dict>
</dict>
</array>
<key>PayloadDisplayName</key>
<string>Sample Device Level VPN</string>
<key>PayloadOrganization</key>
<string>Palo Alto Networks</string>
GlobalProtect 管理者ガイド
85
GlobalProtect iOS アプリケーションとサードパーティ MDM の併用
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect iOS アプリケーションのアプリケーションレベルの VPN 設定
例 : デバイスレベルの VPN の設定
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadDescription</key>
<string>Configures VPN settings, including authentication.</string>
<key>PayloadDisplayName</key>
<string>VPN (Sample App Level VPN)</string>
<key>PayloadIdentifier</key>
<string>Sample App Level VPN.vpn</string>
<key>PayloadOrganization</key>
<string>Palo Alto Networks</string>
<key>PayloadType</key>
<string>com.apple.vpn.managed.applayer</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>VPNUUID</key>
<string>cGFuU2FtcGxlIEFwcCBMZXZlbCBWUE52cG5TYW1wbGUgQXBwIExldmVsIFZQTg==</string>
<key>SafariDomains</key>
<array>
<string>*.paloaltonetworks.com</string>
</array>
<key>PayloadUUID</key>
<string>54370008-205f-7c59-0000-01a1</string>
<key>UserDefinedName</key>
<string>Sample App Level VPN</string>
<key>Proxies</key>
<dict/>
<key>VPNType</key>
<string>VPN</string>
<key>VPNSubType</key>
<string>com.paloaltonetworks.GlobalProtect.vpnplugin</string>
<key>IPv4</key>
<dict>
<key>OverridePrimary</key>
<integer>0</integer>
</dict>
<key>VPN</key>
<dict>
<key>RemoteAddress</key>
<string>cademogp.paloaltonetworks.com</string>
<key>AuthName</key>
<string></string>
<key>OnDemandMatchAppEnabled</key>
<integer>1</integer>
<key>OnDemandEnabled</key>
<integer>1</integer>
<key>DisconnectOnIdle</key>
<integer>0</integer>
<key>AuthenticationMethod</key>
<string>Password</string>
</dict>
<key>VendorConfig</key>
<dict>
<key>OnlyAppLevel</key>
<integer>1</integer>
<key>AllowPortalProfile</key>
<integer>0</integer>
<key>FromAspen</key>
<integer>1</integer>
</dict>
</dict>
</array>
86
GlobalProtect 管理者ガイド
GlobalProtect インフラストラクチャのセットアップ
GlobalProtect iOS アプリケーションとサードパーティ MDM の併用
例 : デバイスレベルの VPN の設定（続き）
<key>PayloadDisplayName</key>
<string>Sample App Level VPN</string>
<key>PayloadOrganization</key>
<string>Palo Alto Networks</string>
<key>PayloadDescription</key>
<string>Profile Description</string>
<key>PayloadIdentifier</key>
<string>Sample App Level VPN</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadUUID</key>
<string>5436fc94-205f-7c59-0000-011c</string>
<key>PayloadRemovalDisallowed</key>
<false/>
</dict>
</plist>
GlobalProtect 管理者ガイド
87
リファレンス : GlobalProtect エージェントの暗号化機能
GlobalProtect インフラストラクチャのセットアップ
リファレンス : GlobalProtect エージェントの暗号化機能
GlobalProtect エージェントは、OpenSSL ライブラリ 0.9.8p を使用して、GlobalProtect ポータルと
GlobalProtect ゲートウェイ間の安全な通信を確立します。以下の表に、暗号化機能を必要とする各
GlobalProtect エージェントの機能と、GlobalProtect エージェントが使用する暗号化キーを示します。
暗号化機能
キー
用途
Winhttp（Windows）および
NSURLConnection（MAC）
AES256-SHA
HTTPS 接続を確立するために
GlobalProtect エージェントと
GlobalProtect ポータル / ゲート
ウェイ間でネゴシエートされ
る動的キー。
GlobalProtect エージェントと
GlobalProtect ポータルおよび
GlobalProtect ゲートウェイ間で認
証用の HTTPS 接続を確立するため
に使用されます。
OpenSSL
AES256-SHA
SSL ハンドシェーク中に
GlobalProtect エージェントと
GlobalProtect ゲートウェイ間で
ネゴシエートされる動的キー。
GlobalProtect エージェントと
GlobalProtect ゲートウェイ間で HIP
レポート送信、SSL トンネルネゴ
シエーション、ネットワーク検出
用の SSL 接続を確立するために使
用されます。
IPsec 暗号化および認証用の
AES128-SHA1
GlobalProtect ゲートウェイから GlobalProtect エージェントと
送信されるセッションキー。 GlobalProtect ゲートウェイ間で
IPsec トンネルを確立するために使
用されます。
88
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager
のセットアップ
モバイルデバイスがより高機能になるにつれ、エンドユーザーがビジネスタスクの実行にデバ
イスを利用する頻度が増えています。企業ネットワークにアクセスするこれらのデバイスは、脅
威や脆弱性に対する保護がない状態でインターネットにも接続しています。GlobalProtect Mobile
Security Manager は、デバイスとアカウントを設定し、紛失または盗難にあったモバイルデバイス
のロックやワイプなどのデバイスアクションを実行するメカニズムを提供しています。さらに、
Mobile Security Manager からデバイスの状態が GlobalProtect ゲートウェイに（HIP レポート形式で）
報告されるため、詳細なアクセスポリシーを作成できます。たとえば、root 化 /jailbreak されたデ
バイスへのアクセスを拒否するポリシーを作成できます。
以下のトピックでは、GlobalProtect Mobile Security Manager サービスについて説明し、Mobile
Security Manager をデバイス管理用にセットアップする基本的な手順を紹介します。

Mobile Security Manager デプロイメントのベストプラクティス

Mobile Security Manager への管理アクセスのセットアップ

Mobile Security Manager の登録、ライセンスの取得、更新

デバイス管理のための Mobile Security Manager のセットアップ

Mobile Security Manager へのゲートウェイアクセスの有効化

デプロイメントポリシーの定義

Mobile Security Manager 設定の検証

Mobile Security Manager への管理アクセスのセットアップ
GlobalProtect 管理者ガイド
89
Mobile Security Manager デプロイメントのベストプラクティス
GlobalProtect Mobile Security Manager のセットアップ
Mobile Security Manager デプロイメントのベストプラク
ティス
GlobalProtect Mobile Security Manager（GP-100 アプライアンス上で実行）は、その他の GlobalProtect
インフラストラクチャと連携動作して完全なモバイルセキュリティソリューションを実現しま
す。Mobile Security Manager デプロイメントでは、以下のコンポーネント間の接続が必要です。

Palo Alto 更新 — Mobile Security Manager は、管理対象 Android デバイスのマルウェアを検出する
ために WildFire シグネチャ更新を取得します。デフォルトでは、MGT インターフェイスを介
して Palo Alto Networks 更新サーバーから WildFire 更新を取得します。ただし、管理ネット
ワークがインターネットへのアクセスを許可していない場合、ethernet1 インターフェイスを
使用する Palo Alto 更新サービスへのサービスルートを変更する必要があります。

GlobalProtect ゲートウェイ — 管理対象デバイスについて HIP ベースのポリシー適用の設定を
行うため、GlobalProtect ゲートウェイは、Mobile Security Manager からモバイルデバイス HIP レ
ポートを取得します。デプロイメントのベストプラクティスでは、ethernet1 で GlobalProtect
ゲートウェイ管理サービスを有効にします。

プッシュ通知サービス — Mobile Security Manager は管理対象モバイルデバイスには直接接続で
きないため、チェックイン要求の送信、メッセージの送信、新規ポリシーのプッシュなど、
デバイスとのやりとりが必要な場合は Apple プッシュ通知サービス（APNs）または Google
クラウドメッセージング（GCM）サービスを介してプッシュ通知を送信する必要がありま
す。ベストプラクティスとして、ethernet1 インターフェイスを使用するプッシュ通知サービ
スルートを設定します。

モバイルデバイス — モバイルデバイスは最初に外部ネットワークから接続して登録し、チェッ
クインしてデプロイメントポリシーを取得します。ベストプラクティスとして、デバイス
の登録とチェックインには ethernet1 の個別のリスニングポートを使用します。エンドユー
ザーに証明書警告が表示されないようにするため、登録にはポート 443（デフォルト）を使
用し、チェックインには異なるポート（7443 または 8443 を設定可能）を使用します。
警告 : デバイスチェックインは登録時にデバイスにプッシュされるため、初期設定後に変更
した場合、Mobile Security Manager を使用してデバイスを再登録する必要があります。
90
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
Mobile Security Manager デプロイメントのベストプラクティス
図 : Mobile Security Manager のベストプラクティスデプロイメント
GlobalProtect 管理者ガイド
91
Mobile Security Manager への管理アクセスのセットアップ
GlobalProtect Mobile Security Manager のセットアップ
Mobile Security Manager への管理アクセスのセットアップ
デフォルトでは、GP-100 アプライアンス（Mobile Security Manager とも呼ばれる）の管理ポート
（MGT）の IP アドレスは 192.168.1.1、ユーザー名 / パスワードは admin/admin です。セキュリ
ティ上の理由により、他の Mobile Security Manager 設定を続行する前に、これらの設定を変更す
る必要があります。これらの初期設定タスクは、アプライアンスへの直接的な物理接続（コン
ソールポートへのシリアル接続または MGT インターフェイスへの RJ-45 接続）を使用して実行
する必要があります。初期設定時に、その後のすべての設定タスクでアプライアンスの Web イ
ンターフェイスに接続可能なネットワーク設定を割り当てます。
GP-100 アプライアンスへのネットワークアクセスのセットアップ
ステップ 1
GP-100 アプライアンスをラック方法については、『GP-100 Appliance Hardware Reference Guide
マウントします。
（GP-100 ハードウェアリファレンスガイド）』を参照して
ください。
ステップ 2
MGT インターフェイスに必要 • MGT ポートの IP アドレス
なネットワーク設定を取得し • ネットマスク
ます。
• デフォルトのゲートウェイ
• DNS サーバーのアドレス
ステップ 3
コンピュータを GP-100 アプライ以下のいずれかの方法でアプライアンスに接続します。
アンスに接続します。
• コンピュータからコンソールポートにシリアルケーブ
ルを接続し、ターミナルエミュレーションソフトウェ
ア（9600-8-N-1）を使用してアプライアンスに接続しま
す。起動シーケンスが完了するまで 2、3 分待ちます。
アプライアンスの準備が完了すると、ログインプロン
プトが表示されます。
• コンピュータからアプライアンスの MGT ポートに RJ-45
Ethernet ケーブルを接続します。ブラウザで、
https://192.168.1.1 に移動します。この URL にアクセスす
るには、必要に応じてコンピュータの IP アドレスを、
192.168.1.0/24 ネットワークでのアドレス（192.168.1.2 な
ど）に変更します。
ステップ 4
92
プロンプトが表示されたら、デフォルトのユーザー名とパスワード（admin/admin）を
アプライアンスにログインし使用してログインします。アプライアンスの初期化が開始
ます。
されます。
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
Mobile Security Manager への管理アクセスのセットアップ
GP-100 アプライアンスへのネットワークアクセスのセットアップ（続き）
ステップ 5
ステップ 6
ステップ 7
MGT インターフェイスで許可す 1.
るネットワーク設定および
サービスを定義します。
[Setup] > [ 設定 ] の順に選択し、[ 管理インターフェイ
ス設定 ] を編集します。MGT インターフェイスでの
ネットワークアクセスを許可する [IP アドレス]、[ネッ
トマスク ]、および [ デフォルトゲートウェイ ] を入力
します。
2.
[ 速度 ] が [auto-negotiate] に設定されていることを確
認します。
3.
インターフェイスで許可する管理サービスを選択しま
す。少なくとも、[HTTPS]、[SSH]、および [Ping] を
選択します。
4.
（任意）Mobile Security Manager の管理アクセスを特定
の IP アドレスに制限するには、[ アクセス許可 IP アド
レス ] を入力します。
5.
[OK] をクリックします。
（任意）全般的なアプライア 1.
ンスの設定を行います。
[Setup] > [ 設定 ] > [ 管理 ] の順に選択し、[ 一般設定 ]
を編集します。
2.
アプライアンスの [ ホスト名 ] を入力し、ネットワーク
の [ ドメイン ] 名を入力します。ドメイン名はラベルに
すぎず、ドメインに参加するために使用されることは
ありません。
3.
ログイン時に管理者に表示する任意の情報テキストを
[ ログインバナー] フィールドに入力します。
4.
NTP を使用しない場合、[ タイムゾーン ] を選択し、[ 日
付 ] と [ 時刻 ] を入力します。
5.
[OK] をクリックします。
DNS を設定し、必要に応じて 1.
NTP サーバーへのアクセスを
セットアップします。
2.
[Setup] > [ 設定 ] > [ サービス ] の順に選択し、[ サービ
ス ] を編集します。
3.
インターネット上のタイムサーバーの仮想クラスタを
使用するには、ホスト名の「ntp.pool.org」を [プライ
マリ NTP サーバー] として入力するか、または [プライ
マリ NTP サーバー] および必要に応じて [セカンダリ
NTP サーバー] の IP アドレスを追加します。
4.
[OK] をクリックします。
GlobalProtect 管理者ガイド
[プライマリ DNS サーバー] および必要に応じて [セカ
ンダリ DNS サーバー] の IP アドレスを入力します。
93
Mobile Security Manager への管理アクセスのセットアップ
GlobalProtect Mobile Security Manager のセットアップ
GP-100 アプライアンスへのネットワークアクセスのセットアップ（続き）
ステップ 8
admin アカウントの安全なパス 1.
ワードを設定します。
2.
管理アカウントの追加手順 3.
の詳細は、「Mobile Security
Manager への管理アクセス 4.
のセットアップ」を参照
してください。
ステップ 9
変更をコミットします。
設定の変更を保存する
と、IP アドレスが変更され
るため、Web インターフェ
イスのアプライアンスへ
の接続が遮断されます。
[Setup] > [ 管理者 ] の順に選択します。
admin ロールを選択します。
現在のデフォルトパスワードと新しいパスワードを入
力します。
[OK] をクリックして、設定を保存します。
[Commit] をクリックします。アプライアンスでの変更の
保存には、最長で 90 秒かかります。
ステップ 10 アプライアンスをネットワー 1.
クに接続します。
2.
コンピュータからアプライアンスを切断します。
RJ-45 Ethernet ケーブルを使用して、MGT ポートを管
理ネットワークのスイッチポートに接続します。アプ
ライアンスからケーブルで接続するスイッチポートが
auto-negotiation に設定されていることを確認します。
ステップ 11 GP-100 アプライアンスへの SSH PuTTY などの端末エミュレーションソフトウェアを使用
管理セッションを開きます。
し、割り当てた新しい IP アドレスを使用してアプライア
ンスへの SSH セッションを開始します。
1. SSH クライアントの MGT ポートに割り当てた IP アド
レスを入力します。
2.
ポート 22 を使用します。
3.
プロンプトが表示されたら、管理アクセス認証情報を
入力します。正常にログインできると、CLI プロンプ
トが操作モードで表示されます。例 :
admin@GP-100>
ステップ 12 Palo Alto Networks 更新サーバー
などの、アプライアンス管理
に必要な外部サービスへの
ネットワークアクセスを確認
します。
CLI から ping ユーティリティを使用して、アプライアンス
と双方向でアクセスできることを確認します。次の例に示
すようにして、デフォルトゲートウェイ、DNS サーバー、
および Palo Alto Networks アップデートサーバーに接続可能
なことを確認してください。
admin@GP-100> ping host updates.paloaltonetworks.com
PING updates.paloaltonetworks.com (67.192.236.252) 56(84)
bytes of data.
64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=40.5 ms
64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=53.6 ms
64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=79.5 ms
接続を確認したら、Ctrl+C を押して ping を停止します。
94
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
Mobile Security Manager への管理アクセスのセットアップ
GP-100 アプライアンスへのネットワークアクセスのセットアップ（続き）
ステップ 13 Mobile Security Manager Web イン 1.
ターフェイスにログインし
ます。
追加の管理アカウントの作
成手順は、「Mobile Security
Manager への管理アクセス
のセットアップ」を参照し
てください。
ブラウザウィンドウを開き、以下の URL に移動します。
https://<IP_Address>
ここでは、<IP_Address> は、MGT インターフェイスに
割り当てたアドレスです。
MGT インターフェイスでデバイスチェックイン
を有効にする場合は、以下のように、Web イン
ターフェイスにアクセスできるように URL に
ポート番号 4443 を追加する必要があります。
https://<IP_Address>:4443
2.
GlobalProtect 管理者ガイド
管理者アカウントに割り当てた新しいパスワードを使
用してログインします。
95
Mobile Security Manager の登録、ライセンスの取得、更新
GlobalProtect Mobile Security Manager のセットアップ
Mobile Security Manager の登録、ライセンスの取得、更新
Mobile Security Manager を使用してモバイルデバイスを管理できるようにするには、GP-100 アプ
ライアンスを登録し、ライセンスを取得する必要があります。500 以上のモバイルデバイスを
管理する場合、管理するモバイルデバイスの数に基づいて、1 回限りの GlobalProtect Mobile
Security Manager 永続ライセンスを購入する必要があります。また、アプライアンスには 90 日間
の無料サポートが付属します。ただし、90 日間が過ぎると、Mobile Security Manager からソフト
ウェア更新およびダイナミックコンテンツ更新を取得するためにサポートライセンスを購入す
る必要があります。以下のセクションでは、登録、ライセンスの取得、更新プロセスについて
説明します。

GP-100 アプライアンスの登録

ライセンスのアクティベーション / 取得

コンテンツ更新およびソフトウェア更新のインストール
GP-100 アプライアンスの登録
Palo Alto Networks から購入したすべてのアセットを管理するには、以下のようにアカウントを
作成し、シリアル番号をアカウントに登録します。
GP-100 アプライアンスの登録
ステップ 1
Mobile Security Manager Web イン Web ブラウザから安全な接続（https）を使用して、初期設
ターフェイスにログインし
定のときに割り当てた IP アドレスとパスワードを使用し
ます。
てログインします（https://<IP address>、デバイスチェッ
クインがインターフェイスで有効な場合は https://<IP
address>:4443）。
ステップ 2
シリアル番号を見つけて、ク GP-100 アプライアンスのシリアル番号は、[Dashboard] に
リップボードにコピーします。表示されます。画面の [ 一般的な情報 ] セクションで [ シリ
アル番号 ] を見つけます。
ステップ 3
Palo Alto Networks サポートサ [Setup] > [ サポート ] > [ リンク ] の順に選択して、[ サポー
イトに移動します。
トページ ] へのリンクをクリックします。
アプライアンスが MGT インターフェイスからインター
ネットに接続できない場合、新しいブラウザのタブま
たはウィンドウで、https://support.paloaltonetworks.com
に移動します。
96
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
Mobile Security Manager の登録、ライセンスの取得、更新
GP-100 アプライアンスの登録（続き）
ステップ 4
GP-100 アプライアンスを登録し • これが登録する最初の Palo Alto Networks アプライアンス
であり、まだログイン情報を登録していない場合は、
ます。登録手順は、サポート
ページの右側にある [ 登録 ] をクリックします。登録する
サイトにすでにログイン情報
には、自分の電子メールアドレスと、Mobile Security
が登録されているかどうかに
Manager のシリアル番号を指定します（クリップボード
応じて異なります。
から貼り付け可能）。メッセージが表示されたら、Palo
Alto Networks サポートコミュニティへのアクセス用に、
ユーザー名とパスワードをセットアップします。
• すでにサポートアカウントを持っている場合は、ログイ
ンしてから [My Devices] をクリックします。画面下部の
[Register Device] セクションまでスクロールし、Mobile
Security Manager のシリアル番号（クリップボードから貼
り付け可能）、市区町村、および郵便番号を入力して、
[Register Device] をクリックします。
ライセンスのアクティベーション / 取得
Mobile Security Manager でソフトウェア更新およびダイナミックコンテンツ更新を取得できるよ
うにするには、有効なサポートライセンスが必要です。アプライアンスには 90 日間の無料サ
ポートが付属しますが、試用期間の後に引き続き更新を受信するには、サポートライセンスを
購入する必要があります。500 以上のモバイルデバイスを管理する場合、GlobalProtect Mobile
Security Manager ライセンスが必要です。この 1 回限りの永続ライセンスにより、1,000、2,000、
5,000、10,000、25,000、50,000、100,000 までのモバイルデバイスを管理できます。
Mobile Security Manager の WildFire サブスクリプションを購入すると、WildFire クラウドによって
行われる分析の結果として作成されるマルウェアシグネチャを含むダイナミック更新を有効に
できます。マルウェア更新を最新の状態に保つことで、マルウェアに感染したアプリケーショ
ンを搭載する管理対象 Android デバイスがネットワークリソースに接続されるのを回避できま
す。Mobile Security Manager ライセンスがサポートする数と同じ数のデバイスをサポートする
WildFire サブスクリプションを購入する必要があります。たとえば、10,000 デバイス用の Mobile
Security Manager 永続ライセンスを所有している場合に最新のマルウェアの検出をサポートする
には、10,000 デバイス用の WildFire サブスクリプションを購入する必要があります。
ライセンスを購入するには、Palo Alto Networks のシステムエンジニアまたはリセラーにお問い
合わせください。ライセンス要件に関する詳細は、「GlobalProtect ライセンスの概要」を参照
してください。
GlobalProtect 管理者ガイド
97
Mobile Security Manager の登録、ライセンスの取得、更新
GlobalProtect Mobile Security Manager のセットアップ
ライセンスを取得したら、[Setup] > [ ライセンス ] に移動し、ライセンスの取得方法に応じて以
下のタスクを実行します。

ライセンスサーバーからライセンスキーを取得 — ライセンスがサポートポータルでアクティ
ベーションされている場合は、このオプションを使用します。

認証コードを使用した機能のアクティベーション — サポートポータルで以前にアクティベー
ションされていないライセンスをアクティベーションするには、認証コードを使用します。

ライセンスキーの手動アップロード — GP-100 MGT インターフェイスが Palo Alto Networks 更新
サーバーに接続されていない場合は、このオプションを使用します。この場合、まずインター
ネットに接続されたコンピュータでサポートサイトからライセンスキーをダウンロードし、
次にアプライアンスにアップロードします。
ライセンスのアクティベーション
ステップ 1
購入した製品 / サブスクリプ購入したライセンスに関連付けられている認証コードが記
ションの認証コードを見つけ載された、Palo Alto Networks カスタマーサポートから受信
ます。
したメールを見つけます。この電子メールが見つからない
場合は、カスタマーサポートに連絡し、認証コードを入手
してから次に進んでください。
ステップ 2
ライセンスをアクティベー 1.
ションします。
Mobile Security Manager で 500 以
上のモバイルデバイスを管理 2.
する場合、GlobalProtect Mobile
Security Manager 永続ライセン
3.
スが必要です。
Mobile Security Manager の
管理ポート（MGT）から
インターネットにアクセ
スできない場合は、ライ
センスファイルをサポー
トサイトから手動でダウ
4.
ンロードし、[ライセンス
キーの手動アップロード]
オプションを使用してア 5.
プライアンスにアップ
ロードします。
6.
98
サポートサブスクリプションをアクティベーションす
るには（90 日後に必要）、[Setup] > [ サポート ] の順
に選択します。
[ 認証コードを使用した機能のアクティベーション ] を
オンにします。[ 認証コード ] を入力し、[OK] をクリッ
クします。
サブスクリプションが正常にアクティベーションされ
たことを確認します。
[Setup] > [ ライセンス ] タブで、[ 認証コードを使用し
た機能のアクティベーション ] を選択します。
プロンプトが表示されたら、Mobile Security Manager ラ
イセンスの [ 認証コード ] を入力し、[OK] をクリック
します。
ライセンスが正常にアクティベーションされ、適切な
デバイス数のサポートが表示されていることを確認し
ます。
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
Mobile Security Manager の登録、ライセンスの取得、更新
ライセンスのアクティベーション（続き）
ステップ 3
（手順 2 を完了した場合は不サポートポータルでライセンスキーをアクティベーショ
要）ライセンスサーバーからランした場合は、[ ライセンスサーバーからライセンスキー
イセンスキーを取得します。
を取得 ] オプションを使用します。
[Setup] > [ サポート ] の順に選択し、[ ライセンスサーバー
からライセンスキーを取得 ] を選択します。
コンテンツ更新およびソフトウェア更新のインストール
最新の Android パッケージ（APK）マルウェア更新のダウンロードや Mobile Security Manager ソフト
ウェアのアップグレードを行うには、以下の手順を実行します。APK 更新を最新の状態に保つこ
とで、マルウェアに感染したアプリケーションを搭載する管理対象 Android デバイスがネット
ワークリソースに接続されるのを回避できます。
ソフトウェア更新およびコンテンツ更新の取得
ステップ 1
Mobile Security Manager Web イン 1.
ターフェイスを起動し、[ ダイ
ナミック更新 ] ページに移動し
ます。
ソフトウェアを更新する前
に、リリースでサポートされ 2.
ている最新のダイナミック更
新をインストールします。
ステップ 2
最新の Mobile Security Manager コ 1.
ンテンツ更新の確認、ダウン
ロード、インストールを行い
ます。
2.
Mobile Security Manager コンテン
ツ更新には、WildFire が検出し 3.
た新しいマルウェアを含むす
べての Android アプリケーショ
ンパッケージ（APK）マルウェ
アシグネチャが含まれます。
ステップ 3
ソフトウェア更新があるかど 1.
うか確認します。
2.
GlobalProtect 管理者ガイド
Web ブラウザから安全な接続（https）を使用して、初期
設定のときに割り当てた IP アドレスとパスワードを使
用してログインします（https://<IP address>、デバイ
スチェックインがインターフェイスで有効な場合は
https://<IP address>:4443）。
[Setup] > [ ダイナミック更新 ] の順に選択します。
[ 今すぐチェック ] をクリックして最新の更新があるか
どうか確認します。[ アクション ] 列の値が [ ダウンロー
ド ] の場合は、入手可能な更新があることを示します。
[ ダウンロード ] をクリックして、目的のバージョンを
入手します。
[ アクション ] 列の [ インストール ] リンクをクリックし
ます。インストールが完了すると、[ 現在インストール
済み ] 列にチェックマークが表示されます。
[Setup] > [ ソフトウェア ] の順に選択します。
[ 今すぐチェック ] をクリックして最新の更新があるか
どうか確認します。[アクション] 列の値が [ダウンロー
ド ] の場合は、入手可能な更新があることを示します。
99
Mobile Security Manager の登録、ライセンスの取得、更新
GlobalProtect Mobile Security Manager のセットアップ
ソフトウェア更新およびコンテンツ更新の取得（続き）
ステップ 4
更新をダウンロードします。
ステップ 5
更新をインストールします。
アップグレードするバージョンを見つけ、[ダウンロード]
をクリックします。ダウンロードが完了すると、[アクショ
Mobile Security Manager の管
ン] 列の値が [インストール] になります。
理ポートからインター
ネットにアクセスできな
い場合は、Palo Alto Networks
サポートサイトからソフ
トウェア更新をダウン
ロードできます。その
後、Mobile Security Manager
に手動で [ アップロード ]
できます。
1.
[ インストール ] をクリックします。
2.
アプライアンスを再起動します。
• 再起動のプロンプトが表示されたら、[はい] をクリッ
クします。
• 再起動のプロンプトが表示されない場合は、
[Setup] > [ 設定 ] > [ 操作 ] の順に選択し、画面の [ デ
バイスの操作 ] セクションの [ デバイスの再起動 ] を
クリックします。
100
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
デバイス管理のための Mobile Security Manager のセットアップ
デバイス管理のための Mobile Security Manager のセット
アップ
Mobile Security Manager を使用してモバイルデバイスを管理できるようにするには、デバイス管
理インフラストラクチャをセットアップする必要があります。これには、デバイスチェックイ
ンのためのインターフェイスの設定、Mobile Security Manager から OTA（Over-The-Air）でデバイ
スにプッシュ通知を送信するのに必要な証明書の取得、登録の前に必要なユーザーやデバイス
を認証する方法および各デバイスに ID 証明書を発行する方法の定義が含まれます。

デバイスチェックインのための Mobile Security Manager の設定

登録のための Mobile Security Manager の設定
デバイスチェックインのための Mobile Security Manager の設定
毎時間（デフォルト）、Mobile Security Manager は、チェックインの要求を管理するデバイスに
通知メッセージを送信します。これらのメッセージ（「プッシュ通知」と呼ばれる）を送信す
るために、Mobile Security Manager を OTA（Over-The-Air）でデバイスに接続する必要がありま
す。iOS デバイスにプッシュ通知を送信するには、Mobile Security Manager が Apple プッシュ通知
サービス（APNs）を使用する必要があります。Android デバイスの場合は、Google クラウド
メッセージング（GCM）サービスを使用する必要があります。
ベストプラクティスとして、モバイルデバイスおよびゲートウェイアクセスの外向きのインター
フェイスとして Mobile Security Manager に ethernet1 インターフェイスを設定します。したがって、デ
バイスチェックインのために Mobile Security Manager を設定するには、ethernet1 インターフェイスを
設定し、デバイスチェックインで利用できるようにする必要があります。さらに、APNs や GCM
を経由してプッシュ通知を送信するには Mobile Security Manager を設定する必要があります。
GlobalProtect 管理者ガイド
101
デバイス管理のための Mobile Security Manager のセットアップ
GlobalProtect Mobile Security Manager のセットアップ
以下の手順に、この推奨設定のセットアップ方法が詳細に説明されています。
デバイスチェックインのための Mobile Security Manager のセットアップ
ステップ 1
デバイスチェックインイン 1.
ターフェイスを設定します。
デバイスチェックインに
MGT インターフェイスを 2.
使用することもできます
が、別のインターフェイ
スを設定することによ 3.
り、管理トラフィックを
データトラフィックと分
離できます。デバイス
チェックインに MGT イ
ンターフェイスを使用し 4.
ている場合は、ステッ
プ 4 に進んでください。
5.
ステップ 2
102
[Setup] > [ネットワーク] > [ethernet1] の順に選択し、
ネットワークインターフェイス設定ダイアログを開き
ます。
[IP アドレス]、[ネットマスク]、[デフォルトゲートウェ
イ ] などの、インターフェイスのネットワークアクセス
設定を定義します。
対応するチェックボックスをオンにして、このイン
ターフェイスで許可するサービスを有効にします。少
なくとも、[ モバイルデバイスチェックイン ] をオンに
してください。また、[Ping] をオンにすると、接続テ
ストに利用できます。
インターフェイス設定を保存するには、[OK] をクリッ
クします。
RJ-45 Ethernet ケーブルを使用して、ethernet1 ポート（ア
プライアンスの正面パネルにある「1」のラベルが付け
られたポート）をネットワークに接続します。インター
フェイスからケーブルで接続するスイッチポートが
auto-negotiation に設定されていることを確認します。
6.
（任意）DNS 「A」レコードを DNS サーバーに追加し
て、このインターフェイスの IP アドレスをホスト名に
関連付けます。
（任意）デバイスチェックイン 1.
設定を変更します。
[Setup] > [ 設定 ] > [ サーバー] の順に選択し、[ デバイ
スチェックイン設定 ] を編集します。
デフォルトでは、Mobile Security 2.
Manager は登録要求およびチェッ
クイン要求の両方をポート 443
でリスンします。ベストプラク
ティスとして、登録ポートを
443 に設定したままにして、デ
バイスチェックインに別のポー
ト番号を使用します。登録では 3.
必要ありませんが、デバイス
チェックインプロセスでは、
SSL セッションを確立するため
に、クライアント証明書が必要
です。両方のサービスが同じ 4.
ポートで実行されている場合、
登録プロセスの途中にモバイル
デバイスが誤って証明書の入力
プロンプトを表示し、エンド
ユーザーを混乱させる可能性が
あります。
Mobile Security Manager がデバイスチェックイン要求を
リスンするチェックインポートを、[ チェックインポー
ト ] に設定します。デフォルトでは、このポートは 443
に設定されています。ただし、ベストプラクティスと
して、デバイスチェックインポートを 7443 または 8443
に変更し、登録時にユーザーにクライアント証明書の
入力プロンプトが表示されないようにします。
デフォルトでは、Mobile Security Manager は、チェック
インを要求するプッシュ通知を管理対象デバイスに
60 分ごとに送信します。この間隔を変更するには、新
しい [ デバイスチェックインの通知間隔 ] を入力します
（30 分～ 1440 分の範囲）。
[OK] をクリックして設定を保存します。
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
デバイス管理のための Mobile Security Manager のセットアップ
デバイスチェックインのための Mobile Security Manager のセットアップ（続き）
ステップ 3
（任意）Mobile Security Manager の 1.
MGT ポートからインターネッ
トにアクセスできない場合 2.
は、プッシュ通知を送信する
3.
ために、デバイスチェックイ
ンインターフェイスから Apple
プッシュ通知サービス
（APNs）および Google クラウ
ドメッセージング（GCM）
サービスなどの必要な外部リ
ソースにアクセスできるよう
に、サービスルートを設定し
ます。
GlobalProtect 管理者ガイド
[Setup] > [ 設定 ] > [ サービス ] > [ サービスルートの設
定 ] の順に選択します。
[ 選択 ] ラジオボタンをクリックします。
サービスルートを変更する必要があるサービスに対応す
る [インターフェイス ] 列をクリックし、次に ethernet1 イ
ンターフェイスを選択します。
4.
変更する各サービスについて、ここでの手順を繰り返
します。デバイスチェックインに使用する ethernet1 イ
ンターフェイスをセットアップするために、プッシュ
通知のサービスルートを変更する必要があります。
MGT インターフェイスからインターネットにアクセス
できない場合は、このインターフェイスへのすべての
サービスルートを変更する必要があります。
5.
[OK] をクリックして設定を保存します。
103
デバイス管理のための Mobile Security Manager のセットアップ
GlobalProtect Mobile Security Manager のセットアップ
デバイスチェックインのための Mobile Security Manager のセットアップ（続き）
ステップ 4
104
Mobile Security Manager デバイス
チェックインインターフェイ
スのサーバー証明書をイン
ポートします。
証明書および秘密鍵をインポートするには、CA から証明
書およびキーファイルをダウンロードして、管理システム
からアクセス可能であることと、秘密鍵を復号化するパス
フレーズを所有していることを確認します。次に、Mobile
Security Manager で以下の手順を実行します。
Mobile Security Manager 証明書の、
1. [Setup] > [証明書の管理] > [証明書] > [デバイス証明書]
コモンネーム（CN）フィールド
の順に選択します。
と、該当する場合はサブジェク
ト代替名（SAN）フィールド 2. [インポート] をクリックして、[証明書名] を入力し
ます。
が、デバイスチェックインイン
ターフェイスの IP アドレスまた 3.
は完全修飾ドメイン名
（FQDN）と完全に一致する必 4.
要があります（ワイルドカード
証明書がサポートされていま
5.
す）。
[証明書ファイル] に CA から受信したファイルのパスと
名前を入力するか、[参照] でファイルを見つけます。
Mobile Security Manager デバイス 6.
チェックインインターフェイ
スのために自己署名サーバー
7.
証明書を生成できますが
（[Setup] > [ 証明書の管理 ] >
[ 証明書 ] > [ 生成 ]）、エンド
デバイスを登録するときに確 8.
実に接続できるように、
VeriSign や Go Daddy などのパ
ブリック CA から取得した証明
書を使用することをお勧めし
ます。デバイスで信頼されて
いる証明書を使用していない
場合は、「GlobalProtect クライ
アント設定の定義」で説明さ
れているように、ポータルか
らデバイスに証明書をデプロ
イできるように、ルート CA 証
明書を Mobile Security Manager
設定および対応するポータル
クライアント設定の両方に追
加する必要があります。
[キーファイル] に PKCS#12 ファイルのパスと名前を
入力するか、[参照] でファイルを見つけます。
[ファイルフォーマット] に [暗号化された秘密鍵と証
明書 (PKCS12)] を選択します。
[秘密鍵のインポート] チェックボックスをオンにし
ます。
秘密鍵の暗号化に使用した [パスフレーズ] を 2 回入力
した後に、[OK] をクリックして証明書と秘密鍵をイン
ポートします。
Mobile Security Manager を設定するには、デバイスチェッ
クインのこの証明書を使用します。
a. [Setup] > [設定] > [サーバー] の順に選択し、[SSL
サーバー設定] を編集します。
b. [MDM サーバー証明書] ドロップダウンリストから、
インポートした証明書を選択します。
c. （任意）一般的な CA で発行された証明書でない場
合、[認証局] ドロップダウンリストから発行者の
ルート CA 証明書を選択するか、発行者のルート
CA 証明書をその場で [インポート] します。
d. [OK] をクリックして設定を保存します。
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
デバイス管理のための Mobile Security Manager のセットアップ
デバイスチェックインのための Mobile Security Manager のセットアップ（続き）
ステップ 5
Apple プッシュ通知サービス
（APNs）の証明書を取得し
ます。
APNs 証明書は、Mobile Security
Manager が、管理対象の iOS デ
バイスにプッシュ通知を送信
できるようにするために必要
です。証明書を取得するに
は、Mobile Security Manager で証
明書署名要求（CSR）を作成
し、Palo Alto Networks 署名サー
バーに送信してから、Apple に
その証明書署名要求を送信す
る必要があります。
組織が常に証明書にアク
セスできるように、共有
Apple ID を作成します。
CSR を作成するには、[Setup] > [ 証明書の管理 ] > [ 証
明書 ] の順に選択し、[ 生成 ] をクリックします。
2. [ 証明書名 ] と、組織を識別する [ コモンネーム ] を入
力します。
3. [ ビット数 ] フィールドで、[2048] を選択します。
4. [ 署名者 ] フィールドで、[ 外部認証局 (CSR)] を選択し
ます。
5. [ ダイジェスト ] に [sha1] を選択し、次に [ 生成 ] をク
リックします。
6. 証明書リストから該当する CSR を選択し、[ エクスポー
ト ] をクリックします。
7. [CSR をエクスポート ] ダイアログで、[ ファイルフォー
マット ] ドロップダウンリストから [Apple プッシュ通
知サービス用に CSR に署名 ] を選択し、次に [OK] をク
リックします。Mobile Security Manager が Palo Alto Networks
署名サーバーに CSR を自動的に送信します。サーバー
から返された署名済みの CSR（.csr）をローカルディ
スクに保存する必要があります。
8. 新しいブラウザウィンドウを開き、以下の URL の Apple
Push Certificates Portal に移動します。
https://identity.apple.com/pushcert
9. 自分の Apple ID とパスワードを使用して [Sign in] し、
次に [Create a Certificate] をクリックします。初めて
ログインする場合は、[Accept] を選択して、証明書を
作成する前に利用規約に承諾する必要があります。
10. [Choose File] をクリックして、生成した CSR の場所を
指定し、次に [Upload] をクリックします。証明書が生
成されると、確認のメッセージが表示されます。
11. [ ダウンロード ] をクリックしてローカルコンピュータ
に証明書を保存します。
1.
12. Mobile Security Manager で、[Setup] > [ 証明書の管理 ] >
[証明書] > [デバイス証明書] の順に選択し、[インポー
ト ] をクリックします。
13. [ 証明書名 ] フィールドに、CSR を作成したときに使用
した証明書名を入力します。
14. [ 証明書ファイル ] フィールドに、Apple からダウンロー
ドした証明書（.pem）のパスと名前を入力するか、[ 参
照 ] でファイルを見つけます。
15. [Base64 エンコード済み証明書 (PEM)] を [ファイルフォー
マット ] フィールドで選択し、[OK] をクリックします。
証明書リストの CSR エントリが、発行者が Apple アプ
リケーション統合認証局の、有効な状態の証明書に変
わります。
GlobalProtect 管理者ガイド
105
デバイス管理のための Mobile Security Manager のセットアップ
GlobalProtect Mobile Security Manager のセットアップ
デバイスチェックインのための Mobile Security Manager のセットアップ（続き）
ステップ 6
Google クラウドメッセージング 1.
（GCM）サービスのキーおよ
び Sender ID を取得します。
新しいブラウザウィンドウを開いて、以下の URL の
Google APIs Console に移動します。
https://cloud.google.com/console
GCM キーおよび Sender ID は、 2.
Mobile Security Manager で管理対
象の Android デバイスにプッ 3.
シュ通知を送信するために必
要です。
[CREATE PROJECT] をクリックします。[New Project]
ページが表示されます。
4.
ページの左側にあるメニューから [APIs & auth] を選択
します。
5.
APIs ページで、[Google Cloud Messaging for Android]
までスクロールし、設定を [ON] に切り替えます。
6.
左側にある [APIs & auth] メニューから [Credentials] を
選択します。
7.
ページの [Public API access] セクションで、[CREATE
NEW KEY] をクリックします。
8.
[Create a new key] ダイアログで、[Server key] をクリッ
クします。
9.
[Accept requests from these server IP addresses] テ
キストボックスで、Mobile Security Manager のデバイス
チェックインインターフェイスの IP アドレスを入力
し、次に [Create] をクリックします。新しい API key
が表示されます。これは、ご使用の Mobile Security
Manager アプリケーションを識別するキーです。Mobile
Security Manager でプッシュ通知を設定するときにこの
キーが必要になります。
[Project name] と [Project ID] に入力し、次に [Create]
をクリックします。これが初めてのプロジェクトであ
る場合は、プロジェクトを作成する前に APIs サービス
利用規約に同意する必要があります。
10. Sender ID を取得するには、画面の左側にあるメニュー
から [Overview] を選択します。Sender ID は、また、
[Project Number] として表示されます。Mobile Security
Manager でプッシュ通知を設定するときにこの ID が必
要になります。
106
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
デバイス管理のための Mobile Security Manager のセットアップ
デバイスチェックインのための Mobile Security Manager のセットアップ（続き）
ステップ 7
ステップ 8
Mobile Security Manager にプッ 1.
シュ通知設定を行います。
[Setup] > [ 設定 ] > [ サーバー] の順に選択し、[ プッシュ
通知設定 ] を編集します。
2.
iOS デバイスのプッシュ通知を有効にするには、ステッ
プ 5 で生成した [iOS APNs 証明書 ] を選択します。
3.
GCM プッシュ通知を有効にするには、[Google クラウ
ドメッセージング ] チェックボックスをオンにし、次
にステップ 6 で取得した [Android GCM API Key] と
[Android GCM Sender ID] を入力します。
4.
[OK] をクリックして設定を保存します。
設定を保存します。
[Commit] をクリックします。
登録のための Mobile Security Manager の設定
モバイルデバイスを GlobalProtect Mobile Security Manager で管理するために、そのモバイルデバ
イスをサービスに登録する必要があります。登録は 2 つのフェーズで構成されます。

認証 — モバイルデバイスを登録する前に、User-ID を判定して組織に属するかどうかを確認
できるように、デバイスユーザーが Mobile Security Manager に認証される必要があります。
GlobalProtect Mobile Security Manager は他の GlobalProtect コンポーネント（ローカル認証、既存
の LDAP、Kerberos、RADIUS サービスに対する外部認証）でサポートされているのと同じ認
証方法をサポートします（2 要素 OTP 認証のサポートを含む）。詳細は、「GlobalProtect
ユーザー認証について」を参照してください。

ID 証明書の生成 — エンドユーザーの認証が終了すると、Mobile Security Manager が、デバイ
スに ID 証明書を発行します。Mobile Security Manager が ID 証明書を発行できるようにするに
は、署名に使用する自己署名 CA 証明書を生成します。また、Microsoft SCEP サーバーなどの
企業向けの SCEP（Simple Certificate Enrollment Protocol）サーバーを使用している場合は、
Mobile Security Manager を設定し、SCEP サーバーを使用して iOS デバイスの証明書を発行でき
ます。登録後、Mobile Security Manager は ID 証明書を使用して、チェックインのときにモバイ
ルデバイスを認証します。
Android デバイスが Mobile Security Manager からプッシュ通知を受信するためには、ファイア
ウォールと GCM サービスの間の接続を確保することも必要です。Palo Alto Networks ファイ
アウォールを使用する場合は、google-cloud-messaging アプリケーションのトラフィックを許
可するようにセキュリティポリシーを設定します（ファイアウォールで、[Policies] > [ セ
キュリティ] の順に設定します）。ポート管理でファイアウォールを使用する場合は、使用
する GCM のファイアウォールのポート 5228、5229、および 5230 を開き、さらに Google の
ASN 15169 リストにある IP ブロックに含まれるすべての IP アドレスへの発信接続を受け入れ
るようにファイアウォールを設定します。詳細は、「Google Cloud Messaging for Android」を
参照してください。
GlobalProtect 管理者ガイド
107
デバイス管理のための Mobile Security Manager のセットアップ
GlobalProtect Mobile Security Manager のセットアップ
Mobile Security Manager のインフラストラクチャの登録をセットアップするには、以下の手順を
実行します。
登録のための Mobile Security Manager のセットアップ
ステップ 1
1.
登録のために Mobile Security
Manager に接続するときに、デ
バイスユーザーを認証する認
証プロファイルを作成します。
電子メールおよび Wi-Fi などの
企業のリソースにアクセスする
エンドユーザーの認証に使用
されているサービスと同じ認証
サービスを使用することをお勧
めします。これにより、Mobile
Security Manager は、デバイスに
デプロイされる設定プロファ
イルで使用する認証情報を取
得できます。たとえば、Mobile
Security Manager は、電子メール
2.
および Wi-Fi などの企業のリ
ソースにデバイスからアクセ
スするために必要な認証情報
を含む設定を、自動的にデプ
ロイできます。
ステップ 2
108
認証情報にアクセスするために、使用する予定の認証
サービスと接続できるように Mobile Security Manager を
設定します。
• LDAP、Kerberos または RADIUS を使用して認証を行
う予定の場合、サービスに接続する方法と、ユー
ザーの認証情報にアクセスする方法を Mobile Security
Manager に指示するサーバープロファイルを作成す
る必要があります。[Setup] > [ サーバープロファイ
ル] の順に選択し、アクセスの対象となる特定のサー
ビスの新しいプロファイルを追加します。
• ローカルデータベース認証を使用する場合、まずロー
カルデータベースを作成する必要があります。
[Setup] > [ ユーザーデータベース ] > [ ローカルユー
ザー] の順に選択し、認証するユーザーを追加します。
サーバープロファイルまたは先ほど作成したローカル
ユーザーデータベースを参照する認証プロファイルを
作成します。[Setup] > [ 認証プロファイル ] の順に選択
し、新しいプロファイルを追加します。認証プロファ
イル名にスペースを含めることはできません。
デバイスの登録に認証プロ 1.
ファイルを使用するために
Mobile Security Manager を設定し 2.
ます。
[Setup] > [ 設定 ] > [ サーバー] の順に選択し、[ 認証設
定 ] を編集します。
3.
（任意）モバイルデバイスユーザーが認証時に入力す
るパスワードを Mobile Security Manager に保存する必要
がある場合、[ ユーザーパスワードをサーバーに保存 ]
チェックボックスがオンになっていることを確認して
ください。パスワードの保存を選択すると、Mobile
Security Manager は、デバイスへブッシュされる設定に
ユーザー認証情報を自動的に設定できるようになりま
す。たとえば、エンドユーザーが手動で設定する必要
をなくすために、保存された認証情報を使用して
（ユーザー名が常にサーバーに保存される）、デバイ
スへプッシュされる電子メールプロファイルを自動的
に設定できます。
ドロップダウンリストから [ 認証プロファイル ] を選択
します。
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
デバイス管理のための Mobile Security Manager のセットアップ
登録のための Mobile Security Manager のセットアップ（続き）
ステップ 3
ID 証明書の発行のための Mobile Mobile Security Manager が Android デバイスへの ID 証明書の
Security Manager のセットアップ発行に使用する CA ルート証明書を定義します。SCEP を使
用しない場合は、iOS デバイスが対象です。エンタープラ
Mobile Security Manager は
イズ CA を使用している場合は、ルート CA 証明書および
すべての認証済みモバイ
関連する秘密鍵をインポートします（[Setup] > [ 証明書の
ルデバイスに ID 証明書
管理 ] > [ 証明書 ] > [ インポート ]）。それ以外の場合は、
を発行できますが、以下
自己署名ルート CA 証明書を発行します。
の手順で説明されている
1. Mobile Security Manager で自己署名ルート CA 証明書を作
ように、既存の SCEP サー
成するには、[Setup] > [ 証明書の管理 ] > [ 証明書 ] > [ デ
バーを利用して iOS デバイ
バイス証明書] の順に選択し、[生成] をクリックします。
スの ID 証明書を発行する
こともできます。Android 2. [証明書名] に「Mobility_CA」などの名前を入力します。
証明書名にスペースを含めることはできません。
デバイスは SCEP を使用
できないため、すべての 3.
Android デバイスに ID 証
明書を発行できるよう
に、Mobile Security Manager 4.
を設定する必要があり
ます。
ステップ 4
[ 署名者 ] フィールドの値を選択すると、その証明書が
自己署名証明書であることを示すため、この値は選択
しないでください。
[ 認証局 ] チェックボックスをオンにしてから [OK] をク
リックすると、証明書が生成されます。Mobile Security
Manager は自動的にこの署名証明書を使用して、登録
時にデバイスの ID 証明書を発行します。
（任意）iOS デバイスに ID 証明 1.
書を発行できるように、既存の
企業向けの SCEP サーバーと統
合する Mobile Security Manager を
設定します。
2.
「SCEP 設定のセットアップ」で説明されているように、
SCEP サーバーにアクセスできるように Mobile Security
Manager を設定し、ID 証明書を発行するときに使用する
証明書プロパティを定義します。
SCEP の利点は、秘密鍵がモバ
イルデバイスに設定されたま
まになることです。
a. [Setup] > [ 設定 ] > [ サーバー] の順に選択し、[SCEP
設定 ] を編集します。
SCEP を使用して ID 証明
書を発行する予定の場
合、SCEP サーバーと接続
を確立できるように、登
録する iOS デバイスが適
切な CA ルート証明書を所
有していることを確認し
てください。
Mobile Security Manager で SCEP を有効にします。
b. SCEP を有効にするには、[SCEP] チェックボックス
をオンにします。
c. [ 登録 ] ドロップダウンリストから、作成した SCEP
の設定を選択します。
d. （任意）登録プロセスを実行する前に、SCEP サーバー
がデバイスに発行したクライアント証明書を Mobile
Security Manager で検証する必要がある場合、SCEP サー
バーのルート CA 証明書をインポートし、対応する
[ 証明書プロファイル ] を作成する必要があります。
e. [OK] をクリックして設定を保存します。
GlobalProtect 管理者ガイド
109
デバイス管理のための Mobile Security Manager のセットアップ
GlobalProtect Mobile Security Manager のセットアップ
登録のための Mobile Security Manager のセットアップ（続き）
ステップ 5
ステップ 6
登録の設定を行います。
1.
[Setup] > [ 設定 ] > [ サーバー] の順に選択し、[ 登録設
定 ] を編集します。
2.
[ ホスト名 ] に、デバイスチェックインインターフェイ
スのホスト名を入力します（FQDN または IP アドレ
ス。デバイスチェックインインターフェイスに関連す
る Mobile Security Manager 証明書の [CN] フィールドの値
と一致する必要があります）。
3.
（任意）Mobile Security Manager が登録要求をリスンす
る [登録ポート] を設定します。デフォルトで、登録ポー
トは 443 に設定されているため、この値のままにして
おき、デバイスチェックインポートに別のポート番号
を使用することをお勧めします。
4.
[ 組織識別子 ] と、必要に応じて、Mobile Security Manager
からデバイスへプッシュされる設定プロファイルに表
示される [ 組織名 ] を入力します。
5.
（任意）デバイス管理サービスに登録していることを
ユーザーに知らせる [ 同意メッセージ ] を入力します。
なお、このメッセージは、iOS 5.1 を実行しているデバ
イスには表示されません。
6.
[ 認証局 ] ドロップダウンリストから、Mobile Security
Manager で証明書の発行に使用される CA 証明書を選択
し、必要に応じて [ID 証明書有効期限 ] の値を変更しま
す（デフォルトは 365 日間、60 ～ 3650 日間の範囲に対
応）。
7.
[OK] をクリックして設定を保存します。
（任意）ID 証明書の失効時に、証明書の失効時にモバイルデバイスユーザーに強制的に
デバイスユーザーに強制的に再登録させるには、以下の手順を実行します。
再登録させます。
1. [Setup] > [ 設定 ] > [ サーバー] の順に選択し、[ 登録の
更新設定 ] を編集します。
デフォルトでは、ID 証明書の
失効時にモバイルデバイス 2. [ 再登録が必要 ] チェックボックスをオンにします。
ユーザーが手動で再登録する 3.
必要はありません。Mobile
Security Manager から ID 証明書
が自動的に再発行されて、デ
バイスが再登録されます。
4.
ステップ 7
110
設定を保存します。
（任意）Mobile Security Manager デバイス管理サービス
を使用し続けるには、証明書が失効する前に登録を解
除して再登録する必要があることをエンドユーザーに
警告するために、モバイルデバイスに表示される [ 更新
メッセージ ] をカスタマイズします。メッセージがデバ
イスに送信されるとき、{DAYS} 変数は証明書が失効す
るまでの実際の日数に置き換えられます。
[OK] をクリックして更新の設定を保存します。
[Commit] をクリックします。
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
デバイス管理のための Mobile Security Manager のセットアップ
登録のための Mobile Security Manager のセットアップ（続き）
ステップ 8
GlobalProtect ポータルを設定し、 GlobalProtect ポータルをホストしているファイアウォール
登録を行うために Mobile Security で以下の手順を実行します。
Manager にモバイルデバイスを 1. [Network] > [GlobalProtect] > [ ポータル ] の順に選択
リダイレクトします。
し、ポータルの設定を選択して変更します。
手順の詳細は、「GlobalProtect 2.
ポータルの設定」を参照して
ください。
3.
GlobalProtect 管理者ガイド
[ クライアント設定 ] タブを選択し、Mobile Security
Management を有効にするクライアント設定を選択し
ます。
[ 全般 ] タブで、GlobalProtect MDM Mobile Security Manager
のデバイスチェックインインターフェイスの IP アド
レスまたは FQDN を入力します。
4.
（任意）Mobile Security Manager が登録要求をリスンす
るポートを、[GlobalProtect MDM 登録ポート ] に設定
します。この値は Mobile Security Manager に設定された
値に一致する必要があります。
5.
[OK] を 2 回クリックしてポータルの設定を保存します。
6.
変更をコミットします。
111
Mobile Security Manager へのゲートウェイアクセスの有効化
GlobalProtect Mobile Security Manager のセットアップ
Mobile Security Manager へのゲートウェイアクセスの有
効化
ファイアウォールで HIP ベースのポリシー適用の設定を行う場合、Mobile Security Manager が管理
するモバイルデバイスの HIP レポートを取得するように、GlobalProtect ゲートウェイを設定でき
ます。
ゲートウェイが Mobile Security Manager から HIP レポートを取得できるようにするには、以下のよ
うに、あるインターフェイスをゲートウェイからアクセス可能にして、そのインターフェイス
に接続できるようにゲートウェイを設定します。
Mobile Security Manager へのゲートウェイアクセスの有効化
ステップ 1
• （推奨）ゲートウェイアクセスのために ethernet1 イン
HIP の取得に使用する Mobile
ターフェイスを使用するには、[Setup] > [ ネットワーク ] >
Security Manager インターフェ
[ethernet1] の順に選択します。[GlobalProtect ゲートウェ
イスを決定し、このインター
イ ] チェックボックスをオンにしてから [OK] をクリックし
フェイスのゲートウェイサー
ます。
ビスを有効にします。
ゲートウェイは、MGT インター • ゲートウェイへのアクセスで MGT インターフェイスを
使用するには、[Setup] > [ 設定 ] > [ 管理 ] の順に選択し、
フェイスと ethernet1 インター
[管理インターフェイス設定] を編集します。[GlobalProtect
フェイスのどちらとも接続す
ゲートウェイ ] チェックボックスをオンにしてから [OK] を
るように設定できますが、ベ
クリックします。
ストプラクティスとして、リ
モートゲートウェイがアプラ
このインターフェイスがまだ設定されていない場合
イアンスに確実にアクセスで
は、ネットワーク設定（IP アドレス、ネットマス
きるように、ethernet1 インター
ク、デフォルトゲートウェイ）を入力し、Ethernet
フェイスの使用を検討してく
ポートをネットワークに物理的に接続する必要があ
ださい。
ります。詳細は、「デバイスチェックインのための
Mobile Security Manager の設定」を参照してください。
112
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
Mobile Security Manager へのゲートウェイアクセスの有効化
Mobile Security Manager へのゲートウェイアクセスの有効化（続き）
ステップ 2
ステップ 3
（任意）GlobalProtect ゲートウェ
イを Mobile Security Manager MGT
インターフェイスに接続でき
るように、このインターフェ
イスのサーバー証明書をイン
ポートします。HIP の取得のた
めに、ethernet1 ではなく MGT
インターフェイスにゲート
ウェイを接続する場合のみ、
この証明書が必要です。
ベストプラクティスとして、自己署名証明書の発行に使用
されたのと同じ CA 証明書を他の GlobalProtect コンポーネ
ントに使用します。推奨ワークフローの詳細は、
「GlobalProtect コンポーネントへのサーバー証明書のデプ
ロイ」を参照してください。
2.
[ 証明書名 ] を入力します。
Mobile Security Manager 証明書
の、コモンネーム（CN）
フィールドと、該当する場合は
サブジェクト代替名（SAN）
フィールドが、インターフェイ
スの IP アドレスまたは完全修
飾ドメイン名（FQDN）と完全
に一致する必要があります（ワ
イルドカード証明書がサポート
されています）。
3.
[ 証明書ファイル ] にファイルのパスと名前を入力する
か、[ 参照 ] でファイルを見つけます。
4.
[ ファイルフォーマット ] に [ 暗号化された秘密鍵と証
明書 (PKCS12)] を選択します。
5.
[ キーファイル ] に PKCS12 ファイルのパスと名前を入
力するか、[ 参照 ] でファイルを見つけます。
6.
ポータルからエクスポートしたときに秘密鍵の暗号化
に使用した [ パスフレーズ ] を 2 回入力した後に、[OK]
をクリックして証明書と秘密鍵をインポートします。
Mobile Security Manager のサーバー証明書が生成された後
に、以下の手順でインポートします。
1. [Setup] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明
書 ] の順に選択し、[ インポート ] をクリックします。
HIP の取得のためにゲートウェ 1.
イが HTTPS 接続を確立すると
きに Mobile Security Manager が使 2.
用するサーバー証明書を指定
します。
3.
GlobalProtect 管理者ガイド
[Setup] > [ 設定 ] > [ サーバー] の順に選択し、
[GlobalProtect ゲートウェイ設定 ] を編集します。
[HIP レポートの取得 ] チェックボックスをオンにし、
ゲートウェイが Mobile Security Manager にアクセスでき
るようにします。
[MDM サーバー証明書 ] ドロップダウンリストから、イ
ンポートした証明書を選択し、次に [OK] をクリック
します。
113
Mobile Security Manager へのゲートウェイアクセスの有効化
GlobalProtect Mobile Security Manager のセットアップ
Mobile Security Manager へのゲートウェイアクセスの有効化（続き）
ステップ 4
（任意）HIP レポートを取得す
るために、ゲートウェイが
Mobile Security Manager との SSL
相互接続を確立できるように、
Mobile Security Manager で証明書
プロファイルを作成します。
ゲートウェイと Mobile Security Manager の相互認証を有効に
するには、ゲートウェイのクライアント証明書を作成し、
Mobile Security Manager にクライアント証明書を発行した
ルート CA をインポートします。Mobile Security Manager に
クライアント証明書をインポートし、証明書プロファイル
を定義するには、以下の手順を実行します。
1. ゲートウェイ証明書の生成に使用した CA 証明書をダ
ウンロードします（推奨ワークフローでは、CA 証明
書はポータルにあります）。
a. [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス
証明書 ] の順に選択します。
b. [CA 証明書] を選択して [エクスポート] をクリックし
ます。
c. [ ファイルフォーマット ] ドロップダウンリストから
[Base64 エンコード済み証明書 (PEM)] を選択し、
[OK] をクリックして証明書をダウンロードします。
（秘密鍵をエクスポートする必要はありません）
2.
Mobile Security Manager で、[Device] > [ 証明書の管理 ] >
[ 証明書 ] > [ デバイス証明書 ] の順に選択して、[ イン
ポート ] をクリックし、ダウンロードした証明書を指定
します。[OK] をクリックして、証明書をインポートし
ます。
3.
[Device] > [ 証明書 ] > [ 証明書の管理 ] > [ 証明書プロ
ファイル ] の順に選択して、[ 追加 ] をクリックし、
GPgateways などの、プロファイルを一意に識別できる
[ 名前 ] を入力します。
4.
[CA 証明書 ] フィールドで [ 追加 ] をクリックし、イン
ポートした CA 証明書を選択してから [OK] をクリック
します。
5.
[OK] をクリックしてプロファイルを保存します。
6.
この証明書プロファイルを使用してゲートウェイとの
HTTPS 接続を確立できるように、Mobile Security Manager
を設定します。
a. [Setup] > [ 設定 ] > [ サーバー] の順に選択し、
[GlobalProtect ゲートウェイ設定 ] を編集します。
b. [ 証明書プロファイル ] ドロップダウンリストから、
作成した証明書プロファイルを選択します。
c. [OK] をクリックして設定を保存します。
7.
114
Mobile Security Manager に対する変更をコミットします。
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
Mobile Security Manager へのゲートウェイアクセスの有効化
Mobile Security Manager へのゲートウェイアクセスの有効化（続き）
ステップ 5
Mobile Security Manager にアクセ GlobalProtect ゲートウェイをホストしている各ファイア
スするためにゲートウェイをウォールから、以下の手順を実行します。
設定します。
1. [Network] > [GlobalProtect] > [MDM] の順に選択し、
次に [ 追加 ] をクリックして Mobile Security Manager を追
加します。
GlobalProtect 管理者ガイド
2.
[ 名前 ] に Mobile Security Manager の名前を入力し、[ 場
所 ] フィールドから、Mobile Security Manager が属してい
る仮想システムを指定します（該当する場合）。
3.
[ サーバー] に、ゲートウェイが HIP レポートを取得す
るために接続する Mobile Security Manager のインター
フェイスのサーバーの IP アドレスまたは FQDN を入
力します。この値は、インターフェイスに関連する
Mobile Security Manager 証明書の [CN] フィールドと（該
当する場合は [SAN] フィールドと）一致する必要があ
ります。
4.
（任意）ゲートウェイと Mobile Security Manager の間に
相互認証を使用する必要がある場合、Mobile Security
Manager との接続を確立するときにゲートウェイが提
示する [ クライアント証明書 ] を選択します。
5.
[信頼されたルート CA] フィールドで、[追加] をクリッ
クし、HIP レポートを取得するためにゲートウェイが接
続するインターフェイスの Mobile Security Manager 証明書
の発行に使用されたルート CA 証明書を選択します。
6.
[OK] をクリックして設定を保存し、変更を [Commit]
します。
115
デプロイメントポリシーの定義
GlobalProtect Mobile Security Manager のセットアップ
デプロイメントポリシーの定義
モバイルデバイスは、GlobalProtect Mobile Security Manager に正常に登録されると、Mobile
Security Manager にチェックインして、定期的な間隔でホストデータを送信します（デフォルト
では毎時間）。Mobile Security Manager は、定義されたデプロイメントポリシールールを使用し
て、どの設定プロファイルをデバイスにプッシュするかを決定します。これにより、デバイス
にデプロイまたはデバイスから削除する設定プロファイル（存在する場合）を詳細に制御でき
ます。たとえば、アクセスの必要性の違いに応じてさまざまなユーザーグループにさまざまな
設定を作成できます。または、セキュリティに準拠しているデバイスにのみ、設定をプッシュ
することを許可するポリシールールを作成できます。
以下のセクションでは、Mobile Security Management 戦略を計画する方法およびポリシーとプロ
ファイルのセットアップ手順に関する情報について説明します。

Mobile Security Manager ポリシーのデプロイメントについて

Mobile Security Manager ポリシーのベストプラクティス

Mobile Security Manager と LDAP ディレクトリの統合

HIP オブジェクトおよび HIP プロファイルの定義

設定プロファイルの作成

デプロイメントポリシーの作成
Mobile Security Manager ポリシーのデプロイメントについて
モバイルデバイスは、GlobalProtect Mobile Security Manager に登録された後に、Mobile Security Manager
に定期的な間隔でチェックインします。チェックインプロセスは 4 つの部分で構成されます。

認証 — チェックインのために Mobile Security Manager に接続するときに、モバイルデバイスは
登録中に発行された ID 証明書を提示します。LDAP サーバーへのアクセスを有効にした場
合、Mobile Security Manager は認証されたユーザー名を使用して、ユーザーまたはグループメ
ンバーシップに基づいてポリシーの一致を判定します。「Mobile Security Manager と LDAP ディ
レクトリの統合」を参照してください。

デバイスデータの収集 — モバイルデバイスから HIP データが提供されます。デバイスの完
全な HIP レポートを作成するために、Mobile Security Manager はこのデータを処理します。HIP
レポートは、デバイスに関する識別情報、デバイスの状態に関する情報（jailbreak/root 化され
ているか、暗号化が有効か、パスコードが設定されているかなど）、デバイスにインストー
ルされているすべてのアプリケーションのリストを提供します。Android デバイスでは、
Mobile Security Manager は各アプリケーションのハッシュ計算をして、このデータを使用し、イ
ンストールされたいずれかのアプリケーションに既知のマルウェアが含まれているかを最新
の APK コンテンツ更新に基づいて判定します。HIP データ収集についての詳細は、「デバイ
スデータの収集」を参照してください。
116
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ


デプロイメントポリシーの定義
ポリシーデプロイメント — Mobile Security Manager ポリシールールは、一致条件および設定の
2 つの部分で構成されます。デバイスがチェックインするとき、Mobile Security Manager は、
デバイスに関連付けられたユーザー情報およびデバイスから収集された HIP データを、一致
条件と比較します。最初に一致するルールが見つかると、対応する設定をデバイスにプッ
シュします。
–
一致条件 — Mobile Security Manager は、デバイスユーザーのユーザー名の使用や HIP の
照合によって、ポリシーの一致を判定します。ユーザー名を使用することにより、グ
ループメンバーシップに基づいてポリシーをデプロイできます。「ユーザーおよびグ
ループ照合について」を参照してください。HIP 照合により、デバイスのセキュリティ
コンプライアンスや、OS バージョン、タグ、デバイスモデルなどの、デバイスを識別
するその他の特性を使用して、デプロイメントポリシーをプッシュできます。「HIP 照
合について」を参照してください。
–
設定 — 対応するポリシールールに一致するデバイスにプッシュする、設定、証明書、プ
ロビジョニングプロファイル（iOS のみ）、デバイス制限が含まれます。iOS および
Android オペレーティングシステムはさまざまな設定をサポートし、さまざまな構文を使
用するため、各 OS にプッシュするために個別に設定を行う必要があります。iOS および
Android 設定の両方を同じポリシールールに関連付けると、Mobile Security Manager は正し
い設定をデバイスに自動的にプッシュします。設定の作成方法の詳細は、「設定プロ
ファイルの作成」を参照してください。
非準拠の通知 — 場合によっては、非準拠のために、デバイスが、定義されたポリシールール
に全く一致しないことがあります。たとえば、セキュリティに準拠している（すなわち、暗
号化されていて、root 化 /jailbreak されていない）デバイスのみに一致する HIP プロファイル
を作成し、デプロイメントポリシールールに関連付けるとします。この場合、設定がプッ
シュされるのは、HIP プロファイルに一致するデバイスに対してのみです。設定を受信して
いない理由を特定して、そのプロファイルに一致しないデバイスに送信する HIP 通知メッ
セージを定義できます。詳細は、「HIP 通知について」を参照してください。
GlobalProtect 管理者ガイド
117
デプロイメントポリシーの定義
GlobalProtect Mobile Security Manager のセットアップ
デバイスデータの収集
Mobile Security Manager は、モバイルデバイスがチェックインするたびに以下の情報（該当する
場合）を収集します。
カテゴリ
収集されるデータ
ホスト情報
デバイス自体の情報。OS と OS バージョン、GlobalProtect アプリケーション
バージョン、デバイス名とモデル、および電話番号、IMEI（International Mobile
Equipment Identity）番号、シリアル番号などの識別情報が含まれます。さらに、
デバイスにタグが割り当てられている場合、そのタグの情報も報告されます。
設定
デバイスのセキュリティ状態に関する情報。root 化 /jailbreak されてるかどう
か、デバイスデータが暗号化されているかどうか、およびユーザーがデバイス
にパスコードを設定しているかどうかが含まれます。
アプリケーション
デバイスにインストールされているすべてのアプリケーションパッケージのリ
スト、デバイスに既知のマルウェアアプリケーションが含まれているかどうか
（Android デバイスのみ）、および必要に応じてデバイスの GPS ロケーション
が含まれます。Mobile Security Manager によって管理されない、デバイスにイン
ストールされているアプリケーションのリストを収集するか、または除外する
かを選択できます。
GPS ロケーション
ロケーションサービスが有効になっている場合、デバイスの GPS ロケーション
が含まれます。ただし、プライバシー上の理由により、この情報の収集を除外
するように Mobile Security Manager を設定することもできます。
ユーザーおよびグループ照合について
ユーザーまたはグループに基づいてモバイルデバイスのデプロイメントポリシーを定義するに
は、Mobile Security Manager でディレクトリサーバーからグループのリストおよび対応するメン
バーのリストを取得する必要があります。この機能を有効にするには、LDAP サーバープロ
ファイルを作成する必要があります。このプロファイルから Mobile Security Manager に対して、
LDAP サーバーへの接続および認証方法と、ディレクトリでユーザーおよびグループの情報を
検索する方法に関する命令が行われます。Mobile Security Manager がディレクトリサーバーと正
常に統合されると、モバイルデバイスのデプロイメントポリシーを定義するときにユーザーま
たはグループを選択できます。Mobile Security Manager は、Microsoft Active Directory（AD）、
Novell eDirectory、Sun ONE Directory Server を含む、さまざまな LDAP ディレクトリサーバーを
サポートしています。ユーザーおよびグループ照合の設定手順は、「Mobile Security Manager と
LDAP ディレクトリの統合」を参照してください。
118
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
デプロイメントポリシーの定義
HIP 照合について
ポリシーのデプロイメントでモニター/ 使用するデバイス属性を定義するには、Mobile Security
Manager で HIP オブジェクトと HIP プロファイルを作成します。

HIP オブジェクト — 一致条件によって関心のあるホスト情報のみを抽出し、ポリシーを適用
するために使用します。たとえば、脆弱性のあるデバイスを識別する場合、脆弱性があると
見なす各デバイス状態に一致する HIP オブジェクトを作成できます。または、jailbreak/root
化されているデバイス、暗号化されていないデバイス、およびマルウェアが含まれるデバイ
スに一致する 3 つの HIP オブジェクトを作成することもできます。

HIP プロファイル — HIP オブジェクトのコレクション。Boolean ロジックを使用してまとめて
評価されます。このロジックでは、HIP プロファイルに対して HIP データが一致するかどう
かが評価されます。たとえば、脆弱性のないデバイスのみに設定プロファイルをデプロイす
る場合、デバイスが root 化 /jailbreak されておらず、暗号化されていて、マルウェアが存在し
ない場合にのみ一致するポリシーに関連付けられた HIP プロファイルを作成できます。
HIP 照合の設定手順は、「HIP オブジェクトおよび HIP プロファイルの定義」を参照してくだ
さい。
HIP 通知について
デフォルトでは、HIP 対応のデプロイメントポリシーの適用によって決定されたポリシーに関
する情報は、エンドユーザーには通知されません。ただし、特定の HIP プロファイルが一致す
るときまたは一致しないときに HIP 通知メッセージが表示されるように定義して、この機能を
実現できます。
メッセージをいつ表示するか（デバイスがポリシーの HIP プロファイルに一致した場合に表示
するか、一致しない場合に表示するか）は、そのポリシー、および HIP の一致（または不一
致）がユーザーにどう影響するかによって異なります。つまり、一致することによって、対応
する設定プロファイルがデバイスにプッシュされる場合もあれば、要件に準拠するまでデバイ
スが設定プロファイルを受信できない場合もあります。
たとえば、以下のシナリオを検討します。

デバイスの OS バージョンが特定のバージョン番号以上である場合に一致する HIP プロファ
イルを作成します。この場合、HIP プロファイルに一致しないデバイスに対して、デバイス
ユーザーが企業設定プロファイルを受信するにはデバイスの OS をアップグレードする必要
があることを示す、HIP 通知メッセージを作成します。

デバイスの OS バージョンが特定のバージョン番号未満である場合に一致する HIP プロファ
イルを作成します。この場合、そのプロファイルに一致するデバイス向けのメッセージを作
成します。
デプロイする Mobile Security Manager ポリシーによって、ネットワークにアクセスするデバイス
を利用規定とセキュリティポリシーに準拠させることができます。さらに、企業リソースへの
アクセスに必要な設定、証明書、およびプロビジョニングプロファイルのデプロイメントを
プッシュするだけでなく、簡略化できるメカニズムが提供されます。
GlobalProtect 管理者ガイド
119
デプロイメントポリシーの定義
GlobalProtect Mobile Security Manager のセットアップ
モバイルデバイスの管理および設定を選択する方法は、企業固有の要件、および設定でアクセ
スが許可されるリソースの機密性によって異なります。HIP 通知メッセージの設定の詳細は、
「HIP オブジェクトおよび HIP プロファイルの定義」を参照してください。
Mobile Security Manager ポリシーのベストプラクティス
設定プロファイル、プロビジョニングプロファイル、およびデバイス制限を定義して管理対象
デバイスにプッシュする前に、以下のベストプラクティスを考慮してください。

120
デバイスの脆弱性
をチェックするデ
フォルトのポリ
シールールを作
成する — モバイ
ルデバイスはそ
の有用性のため、
企業所有のデバイ
スであっても、さ
まざまな業務以外の目的で使用されます。そのため、脆弱性や盗難の危険性にさらされる可
能性があります。ネットワークにアクセスするノートパソコンやデスクトップを適切に管理
および保護する場合と同様に、企業システムにアクセスするモバイルデバイスを既知の脆弱
性から保護する必要があります。定義した標準に対するデバイスの準拠性をチェックする
HIP プロファイルを使用することで、デバイスに既知の脆弱性があるかどうか（jailbreak/root
化されているかどうか、既知のマルウェアアプリケーションが含まれているかどうかなど）
のみに基づいて、企業リソースへのアクセスを許可する設定プロファイルをプッシュできま
す。これを実行する最適な方法は、HIP マッチに基づき、脆弱性が含まれるデバイスに一致
するデフォルトポリシールールを作成することです。デバイスがルールに一致する場合、
ポリシーによって、空のプロファイルが配信される（どのプロファイルも関連付けられな
い）か、パスワード要件のみを含むプロファイルが配信されるようにします（脆弱性のある
デバイスが企業データを含んでいるか、企業システムにアクセス可能な場合）。この場合、
アカウント設定が送信されない理由をユーザーに知らせる HIP マッチ通知も作成することを
お勧めします。
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ

デプロイメントポリシーの定義
複雑なパスコードとデータの暗号化を要求する —
モバイルデバイスはポータブルであるため、紛
失や盗難にあいやすくなっています。パスコー
ドのないデバイスが悪意のある人物の手に渡る
と、デバイスからアクセスできる企業システム
が危険にさらされます。そのため、管理するデバイスでは常にパスコードを要求する必要が
あります。さらに、iOS デバイスとは異なり、Android デバイスではパスコードの設定時に
データが自動的に暗号化されないため、管理対象 Android デバイスは常にデータの暗号化を
有効にする必要があります。これらの要件の実施方法はいくつかありますが、最も簡単な方
法は、プッシュするすべての設定プロファイルにパスコードと暗号化の要件を含めることで
す。電子メール、VPN、Wi-Fi などの企業リソースへのアクセスを許可する設定プロファイ
ル内にデバイス要件を含めることで、要件に合ったパスコードを設定し、プロファイルがイ
ンストールされる前にデータの暗号化を有効にすることをモバイルデバイスユーザーに強
制します。デバイスが要件に準拠するまで、エンドユーザーは対応するアカウントにアクセ
スできなくなります。
GlobalProtect
VPN 設定プロファイルをプッシュして
デプロイメントを簡略化する — 管理する iOS デバイ
スへの GlobalProtect エージェント設定のデプロイメン
トを簡略化するには、対応するポリシーのデプロイメ
ント時にデバイスが GlobalProtect VPN に自動的に接続
できるように、iOS 設定プロファイルを作成して VPN
を設定します。

異なるアカウントへのアクセス用
に個別の設定プロファイルを作成
する — 複数アカウントの設定を
プッシュする設定プロファイルを
作成することもできますが、単に
管理を簡略化してユーザビリティ
を高めるには、サービスごとに個
別の設定プロファイルを作成しま
す。これにより、ユーザーは不要
なアカウントのプロファイルを削
除できます。同様に、特定のサー
ビスへのユーザーのアクセスニーズが変更された場合、単にポリシーのデプロイメント設定
を変更することで、ユーザーのデバイス内のプロファイルが必要に応じて自動的に削除また
は追加されます。さらに、アカウント設定を個別のファイルに分離することで、ユーザーグ
ループのアクセスニーズに合わせたポリシーをより簡単に作成できます。
GlobalProtect 管理者ガイド
121
デプロイメントポリシーの定義

122
GlobalProtect Mobile Security Manager のセットアップ
iOS プロビジョニングプロファイルを使用して企業アプリケーションのデプロイメントを簡略
化する — プロビジョニングプロファイルでは、内部で開発された企業アプリケーションを
ネットワーク上の管理対象 iOS デバイスに配布するための、便利で自動化された方法を使用
できます。Mobile Security Manager は多数のモバイルデバイスに対するプロビジョニングプロ
ファイルのデプロイメントを簡略化できますが、いくつかの考慮すべきセキュリティ要素が
あります。プロビジョニングプロファイルを介して有効にされたアプリケーションへのアク
セスを無効にすると、Mobile Security Manager ポリシーでプロファイルを削除しても、デバイ
スの電源を入れ直すまでそのアプリケーションは実行され続けます。さらに、プロビジョニ
ングプロファイルは iTunes と同期されるため、次回エンドユーザーがデバイスと iTunes を
同期させたときに、プロファイルが再インストールされる可能性があります。以下の推奨さ
れるベストプラクティスを検討してください。
–
アプリケーションを使用するための認証を要求します。これにより、アプリケーション
の使用許可が取り消されたものの、デバイスにプロビジョニングプロファイルがインス
トールされたままのユーザーのアクセスが防止されます。
–
未承認ユーザーがアクセスできる可能性のある iCloud や iTunes に企業アプリケーション
データがバックアップされないようにするため、内部で開発したアプリケーションはア
プリケーションの Caches フォルダにデータを保存するようにします。このフォルダは
バックアップから除外されます。
–
アプリケーションに対するユーザーのアクセス権を削除する場合、Mobile Security Manager
ポリシーからプロビジョニングプロファイルを削除するだけでなく、内部サーバーで
ユーザーのアカウントを無効にします。
–
アプリケーションへのユーザーアクセスが削除されたときに、モバイルデバイスのロー
カルアプリケーションデータを消去できるようにします。
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
デプロイメントポリシーの定義
Mobile Security Manager と LDAP ディレクトリの統合
以下の手順により LDAP ディレクトリに接続し、Mobile Security Manager でユーザーおよびグルー
プ情報を取得できるようにします。
ディレクトリサーバーとの統合
ステップ 1
LDAP サーバープロファイルを作成し、Mobile Security Manager がユーザーおよびグループ
情報の取得に使用する、ディレクトリサーバーへの接続方法を指定します。
1. [Setup] > [ サーバープ
ロファイル ] > [LDAP]
の順に選択します。
2. [追加] をクリックし、プ
ロファイルの [ 名前 ] を
入力します。
3. [ 追加 ] をクリックして
新しい LDAP サーバー
のエントリを追加し、
[サーバー] フィールド
にサーバーを識別でき
る名前（1-31 文字）を
入力し、IP アドレスを
[ アドレス ] フィールド
に、ポート番号を [ ポート ] フィールドにそれぞれ入力します。ファイアウォールでは、
これらの情報を使用して LDAP サーバーに接続します（LDAP のデフォルトのポート番
号は 389、LDAP over SSL は 636 です）。プロファイルに追加できる LDAP サーバーは最大
4 つですが、プロファイルに追加するサーバーは、すべて同じタイプのものでなければなり
ません。冗長性を確保するために、2 つ以上のサーバーを追加することをお勧めします。
4. LDAP のドメイン名を [ ドメイン ] フィールドに入力すると、サーバーから取得したすべ
てのオブジェクトの先頭にこのドメイン名が追加されます。ここで入力する値は、デプ
ロイメントタイプにより異なります。
• Active Directory を使用している場合は、FQDN ではなく NetBIOS のドメイン名（例 :
acme.com ではなく acme）を入力する必要があります。データを複数のドメインから収
集する必要がある場合は、サーバープロファイルを個別に作成する必要があります。
ドメイン名は自動的に決定することもできますが、できるだけ手動で入力することを
お勧めします。
• グローバルカタログサーバーを使用している場合、このフィールドは空白のままにし
ておきます。
5. [タイプ] フィールドで接続先となる LDAP サーバーを選択します。選択したタイプに基
づき、グループマッピングの値が自動的に入力されます。ただし、LDAP スキーマをカ
スタマイズしている場合、デフォルトの設定を変更する必要があります。
6. [ベース] フィールドで、Mobile Security Manager が LDAP ツリー内でユーザーおよびグルー
プの情報検索を開始するポイントを指定します。
7. LDAP ツリーにバインドする認証情報を、[バインド DN]、[バインドパスワード]、[再
入力バインドパスワード] の各フィールドに入力します。バインド DN には、ユーザー
プリンシパル名（UPN）の形式
（[email protected] など）または完全修飾 LDAP 名
（cn=administrator,cn=users,dc=acme,dc=local など）を指定できます。
8. Mobile Security Manager から安全な接続を介して LDAP サーバーとの通信を行う場合は、
[SSL] チェックボックスをオンにします。[SSL] を有効にする場合は、適切なポート番号
が指定されていることを確認する必要があります。
GlobalProtect 管理者ガイド
123
デプロイメントポリシーの定義
GlobalProtect Mobile Security Manager のセットアップ
ディレクトリサーバーとの統合（続き）
ステップ 2
LDAP サーバープロファイルをディレクトリ統合設定に追加します。
1. [Setup] > [ ユーザーデータベース ] >
[ディレクトリ統合] の順に選択し、
[ 追加 ] をクリックします。
2. 作成した [ サーバープロファイル ]
を選択します。
3. [ 有効 ] チェックボックスがオンに
なっていることを確認します。
4. （任意）デプロイメントポリシー
内で表示するグループを制限する
場合、[許可リストのグループ化] タ
ブを選択し、LDAP ツリーを参照
してポリシー内で使用できるグ
ループを特定します。含める各グ
ループを [ 使用可能なグループ ] リ
ストで選択し、追加
アイコンをクリックして [ 含まれたグループ ] リストに移動しま
す。ポリシーで使用可能にするグループごとに、この手順を繰り返します。
5. [OK] をクリックして設定を保存します。
ステップ 3
設定を保存するには [Commit] をクリックします。
HIP オブジェクトおよび HIP プロファイルの定義
Mobile Security Manager ポリシー内の HIP プロファイルを使用することで、設定の詳細なデプロ
イメントが可能になり、企業リソースへのアクセスを許可する設定プロファイル受信用の企業
セキュリティ要件にモバイルデバイスを準拠させることができます。たとえば、企業システム
へのアクセスを許可する設定をプッシュする前に、デバイスデータが暗号化されていて、デバ
イスが jailbreak/root 化されていないことを確認する必要が生じる可能性があります。これを行
うには、この基準を満たすデバイスに一致する HIP プロファイルを作成し、デプロイメントポ
リシールールに関連付けます。
124
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
デプロイメントポリシーの定義
HIP オブジェクトおよび HIP プロファイルの作成
ステップ 1
デバイスによって報告された 1.
データをフィルタする HIP オ
ブジェクトを作成します。
2.
タグ機能によって、管理
するデバイスを簡単にグ
3.
ループ化するためのカス
タムラベルを作成できま
す。たとえば、個人用デ
バイスと企業のプロビ
ジョニングデバイスを区
別するタグを作成できま
す。さらに、特定のタグ
を照合する HIP オブジェ
クトを作成することで、
設定のデプロイメント時
にあらゆる方法で管理対
象デバイスをグループ化
できます。タグの作成方法
の詳細は、「デバイスのタ
グ別のグループ化によるデ
バイス管理の簡略化」を
参照してください。
特定の HIP オブジェクト
フィールドについての詳
細は、オンラインヘルプ
を参照してください。
[Policies] > [ ホスト情報 ] > [HIP オブジェクト ] の順に
選択し、[ 追加 ] をクリックします。
[ 全般 ] タブで、[ 名前 ] フィールドに名前を入力し、必
要に応じて [ 内容 ] フィールドにオブジェクトの説明を
入力します。
HIP オブジェクトの一致条件を以下のように定義します。
• OS、GlobalProtect アプリケーションバージョン、電
話番号などの識別情報で照合するには、[ ホスト情報 ]
チェックボックスをオンにし、照合する値を設定し
ます。照合する各項目に対して、指定した値と入力
または選択した値の関係が [ である ]、[ ではない ]、
[ 含む ] のいずれの演算子に一致するかをドロップダ
ウンから選択します。たとえば、このオブジェクト
を使用して iOS デバイスにデプロイされるポリシー
内で使用するプロファイルを作成するには、[OS]
フィールドのドロップダウンリストから [ である ] と
[iOS] を選択します。
• jailbreak/root 化されているかどうか、パスコードが
設定されているかどうかなど、デバイスの状態で照
合するには、[ 設定 ] タブを選択してから、[ はい ] ま
たは [ いいえ ] を選択して設定の照合方法を決定しま
す。たとえば、パスコードの設定されていないデバ
イスにオブジェクトを一致させる場合、[ パスコード ]
フィールドで [ いいえ ] を選択します。
• デバイスにインストールされている特定のアプリ
ケーションに基づいて照合するには、[ アプリケー
ション ] > [ 包含 ] の順に選択し、[ 追加 ] をクリック
して照合する 1 つ以上のアプリケーションパッケージ
を指定します。定義するアプリケーションリスト
は、オブジェクトに一致する HIP プロファイルの設定
方法に応じて、ブラックリストまたはホワイトリス
トにすることができます。たとえば、アプリケーショ
ンのブラックリストを作成するには、ここでアプリ
ケーションのリストを作成してから、HIP プロファイ
ルでオブジェクトの一致条件を [NOT] に設定します。
HIP マッチは、リスト内
のいずれかのアプリケー
ションがデバイスにイン
ストールされている場合
に行われます。
• （Android デバイスのみ）マルウェアに感染している
アプリケーションがデバイスにインストールされて
いるかどうかを照合するには、[ アプリケーション ] >
[ 基準 ] の順に選択し、[ マルウェアあり ] ドロップダ
ウンリストから値を選択します。または、WildFire
でマルウェアが含まれると判断された特定のアプリ
ケーションを許可するには、[はい] をクリックしてか
ら [ 追加 ] をクリックし、マルウェアのリストから除
外するアプリケーションパッケージを指定します。
GlobalProtect 管理者ガイド
4.
[OK] をクリックして HIP オブジェクトを保存します。
5.
必要な追加 HIP オブジェクトを作成するには、各オブ
ジェクトでこれらの手順を繰り返します。
125
デプロイメントポリシーの定義
GlobalProtect Mobile Security Manager のセットアップ
HIP オブジェクトおよび HIP プロファイルの作成（続き）
ステップ 2
ステップ 3
126
ポリシーで使用する HIP プロ 1.
ファイルを作成します。
[Policies] > [ ホスト情報 ] > [HIP プロファイル ] の順に
選択し、[ 追加 ] をクリックします。
HIP プロファイルを作成する 2.
と、Boolean ロジックを使用し
て、以前に作成した HIP オブ 3.
ジェクト（と他の HIP プロファ
イル）を組み合わせることが 4.
できます。たとえば、作成し
た HIP プロファイルに対して
トラフィックフローを評価
し、一致か不一致かを判定す
ることができます。一致があ
れば、対応するポリシールー
ルが適用されます。一致がな
ければ、他のポリシー照合条件
と同様に、フローは次のルール
に対して評価されます。
[ 名前 ] に分かりやすいプロファイル名を入力し、必要
に応じて [ 内容 ] を入力します。
[ 条件の追加 ] をクリックして、[HIP オブジェクト / プ
ロファイルビルダー] を開きます。
一致条件として使用する最初の HIP オブジェクトまた
はプロファイルを選択し、次に [ 追加 ] をクリックし
て、[HIP プロファイル ] ダイアログの [ 一致 ] テキスト
ボックスに移動させます。オブジェクトの条件がフ
ローに当てはまらない場合にのみ HIP プロファイルで
オブジェクトを一致として評価する場合、オブジェク
トを追加する前に、[NOT] チェックボックスをオンに
します。
5.
続けて、作成するプロファイルに必要なだけ一致条件
を追加して、追加した条件の間に適切な Boolean 演算
子ラジオボタン（[AND] または [OR]）を選択します
（ここでも必要に応じて [NOT] チェックボックスを使
用します）。
6.
複雑な Boolean 式を作成する場合は、[ 一致 ] テキスト
ボックス内の適切な位置に手動でかっこを追加して、
HIP プロファイルが意図したロジックを使用して評価
されるようにします。
7.
一致条件の追加が完了したら、[OK] をクリックしてプ
ロファイルを保存します。
8.
以上の手順を繰り返して、必要な HIP プロファイルを
それぞれ追加します。
（任意）プライバシー上の理由 1.
により、デフォルトではモバイ
ルデバイスの GPS ロケーショ 2.
ンはアプリケーションで報告さ
れる HIP データには含まれませ
ん。ただし、ポリシーデプロ
イメントでこの情報が必要な場
合は、GPS ロケーションの収集
を有効にできます。
[Policies] > [ ホスト情報 ] > [ データ収集 ] の順に選択
し、[ データ収集 ] セクションを編集します。
[GPS ロケーションを除外 ] チェックボックスをオンに
してから [OK] をクリックします。
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
デプロイメントポリシーの定義
HIP オブジェクトおよび HIP プロファイルの作成（続き）
[Monitor] > [ ログ ] > [HIP マッチ ] の順に選択します。この
ログには、定義された HIP オブジェクトおよび HIP プロ
ファイルに対してアプリケーションで報告されたデバイス
データを評価したときに、Mobile Security Manager で識別さ
れたすべての一致が表示されます。
ステップ 4
作成した HIP オブジェクトおよ
び HIP プロファイルが正しい
管理対象デバイスに一致して
いることを確認します。
ステップ 5
HIP プロファイルを含むポリ 1.
シールールの適用時にデバイ
スユーザーに表示される、通 2.
知メッセージを定義します。
メッセージが表示されるタイ
ミング（すなわち、ユーザー
の設定がポリシーの HIP プロ
ファイルに一致するときに表
示されるのか、一致しないと
きに表示されるのか）に関す
る決定は、ポリシーおよび
HIP の一致（または不一致）
の意味に大いに依存します。
つまり、一致することは、
ネットワークリソースへのフ
ルアクセス権限が付与されて
いることを意味するのでしょ
うか。それとも、遵守してい
ないことが原因で、アクセス
が制限されたことを意味する
のでしょうか。
HIP 設定を保存します。
GlobalProtect 管理者ガイド
ドロップダウンから、このメッセージを適用する [HIP
プロファイル ] を選択します。
3.
ポリシー内の対応する HIP プロファイルが一致すると
きにメッセージを表示するのか、一致しないときに
メッセージを表示するのかに応じて、[メッセージが一
致 ] または [ 一致しないメッセージ ] を選択します。場
合によっては、照合するオブジェクトおよびポリシー
の対象に応じて、一致する場合と一致しない場合の両
方でメッセージの作成が必要になることがあります。
4.
（一致メッセージのみ）[ アプリケーションリストを含
める] チェックボックスをオンにし、HIP マッチをトリ
ガーしたアプリケーションを通知メッセージ内に含め
ます。
5.
[ 有効化 ] チェックボックスをオンにし、[ テンプレー
ト ] テキストボックスにメッセージのテキストを入力
します。
6.
[OK] をクリックして HIP 通知メッセージを保存し
ます。
たとえば、デバイスデータが 7.
企業ポリシーの要求に従って
暗号化されていない場合に一
致する HIP プロファイルを作
成したとします。この場合、
HIP プロファイルに一致する
ユーザーに対して、企業リ
ソースにアクセスできる設定
プロファイルを受信するには
ディスクの暗号化を有効にす
る必要があることを示す、HIP
通知を作成すると役立ちま
す。または、HIP プロファイ
ルがディスクの暗号化が有効
なデバイスに一致する場合、
代わりにプロファイルに一致
しないユーザーに対するメッ
セージを作成します。
ステップ 6
[Policies] > [ ホスト情報 ] > [ 通知 ] の順に選択し、[ 追
加 ] をクリックします。
定義するメッセージごとにこの手順を繰り返します。
[Commit] をクリックします。
127
デプロイメントポリシーの定義
GlobalProtect Mobile Security Manager のセットアップ
設定プロファイルの作成
Mobile Security Manager 設定プロファイルにより、設定、制限、およびアプリケーションを管理
対象デバイスのグループにプッシュするための簡略化されたメカニズムを実現します。定義す
る設定プロファイルはポリシーの一致に基づいてモバイルデバイスにプッシュされるため、非
常に具体的または広範囲の設定を定義し、特定のユーザーおよびグループにデプロイしたり、
デバイスの状態とその企業セキュリティ要件への準拠性に基づいてデプロイしたりできます。
さらに、設定プロファイルを使用して、デバイスまたはデバイスにインストールされているア
プリケーションに、パスコードを使用するよう強制したり、デバイスの機能（カメラの使用な
ど）を制限したり、iOS アプリケーションによる iCloud や iTunes へのデータのバックアップを
無効にしたりするなど、セキュリティ上の制限を適用することができます。

Web クリップアイコン — Web クリップをデプロイして Web サイトまたは Web ベースのアプリ
ケーションにショートカットを提供する場合、対応する設定ポリシーを作成する前に、関連
付けられた Web クリップアイコンをインポートする必要があります。「Web クリップアイ
コンのインポート」を参照してください。

設定プロファイル — チェックイン時に管理対象デバイスにプッシュされる設定、制限、アプ
リケーション、および Web クリップが含まれます。OS の機能は異なるため、iOS デバイスと
Android デバイスに個別の設定プロファイルを作成する必要があります。プロファイルの作
成方法の詳細は、「Android 設定プロファイルの作成」および「iOS 設定プロファイルの作
成」を参照してください。また、設定プロファイルを使用して、GlobalProtect VPN に接続す
るモバイルデバイスの設定プロセスを自動化することもできます。この設定手順の詳細は、
「GlobalProtect VPN 設定の定義」を参照してください。

iOS プロビジョニングプロファイル — 内部で開発された企業アプリケーションを iOS ユーザー
が起動できるようにするには、プロビジョニングプロファイルをデプロイする必要がありま
す。自動的にプロビジョニングプロファイルをデバイスにデプロイ可能な設定を作成できま
す（詳細は「iOS プロビジョニングプロファイルのインポート」を参照）。

SCEP 設定 — iOS デバイスで SCEP（Simple Certificate Enrollment Protocol）を使用し、Microsoft
SCEP サーバーなどの SCEP 対応 CA から証明書を取得可能な設定。SCEP は、Mobile Security
Manager で必要な ID 証明書の発行、またはデバイスで必要なその他のサービス用の証明書の
発行に使用できます。詳細は、「SCEP 設定のセットアップ」を参照してください。
Mobile Security Manager で管理するデバイスに必要な設定プロファイルを作成したら、適切なデ
バイスに設定がプッシュされるデプロイメントポリシーを作成する必要があります。詳細は、
「デプロイメントポリシーの作成」を参照してください。
128
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
デプロイメントポリシーの定義
Web クリップアイコンのインポート
Web クリップは、Web サイトまたは Web ベースのアプリケーションにショートカットを提供し
ます。ユーザーが Web クリップアイコンをタップすると、関連付けられた URL が自動的に開
きます。Mobile Security Manager では、自動的に Web クリップを管理対象デバイスにデプロイ
し、内部バグ追跡データベース、イントラネット、HR システムなどの内部システムにユー
ザーがすばやくアクセスできるショートカットを提供できます。デプロイする設定に Web ク
リップを含める場合、ホーム画面に表示される関連付けられたアイコンを作成することをお勧
めします。
Web クリップを含む設定プロファイルを作成する前に、以下の手順で Mobile Security Manager に
Web クリップアイコンをインポートする必要があります。アイコンを Web クリップに関連付け
ない場合、代わりに空白の四角が表示されます。
Web クリップアイコンの作成
ステップ 1
Web クリップアイコンとして使 Android アイコンガイドライン
用するイメージファイルを作透明度用のアルファチャネル付き 32 ビット PNG ファイル
成します。
を使用します。以下のように画面の密度ごとに異なるサイ
Web クリップで使用するズを使用します。
ために作成するアイコン
は、OS で適切に表示されるよ
うに特定のイメージおよび命名
基準を満たしている必要があり
ます。Android デバイス用のア
イコン作成のベストプラクティ
スは、Android Developers サイト
の『Icon Design Guidelines（アイ
コンデザインガイドライン）』
を参照してください。iOS デバ
イス用の Web クリップアイコン
作成のベストプラクティスは、
iOS Developer Library の『Custom
Icon and Image Creation Guidelines
（カスタムアイコンおよびカス
タム画像の作成ガイドライ
ン）』を参照してください。
ステップ 2
ステップ 3
• 低密度 36x36 px
• 中密度 48x48 px
• 高密度 72x72 px
• 超高密度 96x96 px
イメージが 96 px よりも大きい場合、デバイスで自動
的に 96x96 px に縮小されます。
iOS アイコンガイドライン
非インターレース PNG ファイル iOS で標準効果（角丸、
影付き、および反射光）を追加する場合、イメージの角が
90 度で、輝きや光沢がないことを確認します。以下のよう
に、各 iOS プラットフォームのサイズごとに異なるイメー
ジを作成します。
• iPhone および iPod touch: 57x57 px（高解像度の場合は
114x114 px）
• iPad: 72x72 px（高解像度の場合は 144x144 px）
Mobile Security Manager に各 Web 1.
クリップアイコンをインポー
トします。
2.
[Policies] > [ 設定 ] > [Web クリップアイコン ] の順に
選択し、[ 追加 ] をクリックします。
3.
[ 参照 ] をクリックして Web クリップアイコンの場所を
指定し、[ 開く ] をクリックします。[ ファイル ] フィー
ルドにパスとファイル名が表示されます。
4.
[OK] をクリックします。
変更を保存します。
GlobalProtect 管理者ガイド
[ 名前 ] フィールドに名前を入力し、[ 内容 ] フィールド
にアイコンの説明を入力します。
[Commit] をクリックします。
129
デプロイメントポリシーの定義
GlobalProtect Mobile Security Manager のセットアップ
iOS 設定プロファイルの作成
iOS 設定プロファイルには、iOS デバイスの特定グループにプッシュする設定、証明書、Web ク
リップ、および制限が含まれます。さまざまなサービスへのアクセスまたは異なるレベルの制
限が必要な iOS デバイスユーザーグループがある場合、各グループに対して個別の iOS 設定プ
ロファイルを作成する必要があります。
iOS 設定プロファイルの作成
ステップ 1
設定プロファイルを追加し
ます。
1.
[Policies] > [ 設定 ] > [iOS] の順に選択し、[ 追加 ] をク
リックします。
ステップ 2
設定の識別情報を入力し
ます。
1.
[ 全般 ] タブの [ 名前 ] フィールドに、Mobile Security
Manager Web インターフェイスに表示される設定名を
入力します。
2.
[ 表示名 ] フィールドに、モバイルデバイスの [ 詳細 ]/[ プ
ロファイル ] 画面およびデバイスの HIP レポートに表
示される名前を入力します。
3.
[ 識別子 ] フィールドに、逆引き DNS 形式で設定の識別
子を入力します。たとえば、このプロファイルが基本
iOS 設定をデバイスにプッシュするために使用される
場合、設定に「com.acme.iosprofile」のような名前を
付けます。
4.
（任意）[ 内容 ] フィールドに、モバイルデバイスの
[ 詳細 ] 画面に表示される設定の説明を入力します。
（任意）プロファイルをどの 1.
ように変更できるかを定義し
ます。
デフォルトでは、ユーザーがデバイスから設定プロファ
イルを削除できます。ユーザーがこの設定を削除できな
いようにするには、[ ユーザーはプロファイルを削除で
きる ] ドロップダウンリストから [ 一度もない ] を選択
します。削除時にパスワードを要求するには、[ 認証を
使用 ] を選択して [ 認証パスワード ] を設定します。
2.
（iOS 6.0 以降）デフォルトでは、プロファイルは自動
的に削除されません。ただし、指定日数の経過後また
は指定日にプロファイルが自動的に削除されるよう
に、[プロファイルを自動削除] ドロップダウンリスト
から値を選択することができます。
デバイスのパスコード要件を 1.
指定します。
デバイスユーザーにこの設定を送信してデバイスでの
パスコードの使用を強制する場合、[ パスコード ] タブ
を選択し、[パスコード] チェックボックスをオンにし
てこの制限を有効にします。単にこのフィールドを有
効にするだけで、追加要件を課すことなく 4 文字以上
のパスコードの使用が強制されます。
ステップ 3
ステップ 4
パスコード要件を指定した場
合、デバイスユーザーは定義
されたパスコード設定を順守
する必要があります。
2.
130
（任意）長さや複雑性、ユーザーによるパスコードの
変更が必要な頻度、または指定期間（分）後にデバイ
スを自動的にロックするかどうかなど、適用する追加
パスコード要件を指定します。
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
デプロイメントポリシーの定義
iOS 設定プロファイルの作成（続き）
ステップ 5
（任意）管理対象アプリケー [ アプリケーション ] タブを選択し、Mobile Security Manager
ションをデバイスにプッシュに追加した管理対象アプリケーションの選択ドロップダウ
ンから、デバイスにプッシュするアプリケーションを [ 追加 ]
します。
します。
Mobile Security Manager への管理
対象アプリケーションの追デバイスにプッシュする新しいアプリケーションを追加す
加、およびモバイルデバイスるか、デバイスにインストールされている既存のアプリ
のビジネスアプリケーションケーションを変更する場合は、そのアプリケーションがデ
への企業セキュリティの拡張バイスで [ 必須 ] または [ 省略可能 ] かどうかなどのアプリ
についての詳細は、「エンケーション設定を追加したり、トラフィックのルーティン
タープライズアプリケーショグに使用するアプリケーションの VPN 設定を選択したり
ンストアでのビジネスアプリすることができます。
ケーションおよびデータの管
理」を参照してください。
ステップ 6
（任意）管理対象アプリケー • [ アプリケーションデータ制限 ] タブを選択し、対応する
チェックボックスをオンにします。次に、アプリケー
ション、アカウント、または
ションおよびモバイル電子メールで使用可能な [ 次で開
Web ドメインからビジネスデー
く ] 機能を制御するためのオプションの一方または両方
タを開くために使用可能な、
デバイス上のアプリケーショ
を選択します。[ 次で開く ] 機能によりユーザーは、モバ
ンおよびアカウントに対して
イルデバイス上の任意のアプリケーションまたはアカウ
制限を設定します。
ントのドキュメントまたは添付ファイルを、別のアプリ
ケーションまたはアカウントで開くことができます。
モバイルデバイス上のアプリ
ケーション、アカウント、およ • [ ドメイン ] タブを選択し、[ 管理対象ドメイン ] を有効に
します。次に、モバイルデバイスの Safari ブラウザで指
び Web ドメイン、およびそれら
定したドメインから開かれるドキュメントが、管理対象
の設定のセットアップ方法の詳
アプリケーションまたは管理対象アカウントでのみ開か
細は、「ビジネスデータの分
れるようにします。電子メールアプリケーションを有効
離」を参照してください。
にして、ネットワーク外の電子メール連絡先を強調表示
し、モバイルユーザーに対して、企業ドメインに属して
いない連絡先への電子メールを作成していることを示す
こともできます。
ステップ 7
ユーザーがデバイスで何を実行 1.
できるかの制限を設定します。
[ 制限 ] タブを選択し、[ 制限 ] チェックボックスをオン
にしてユーザーがモバイルデバイスで何を実行できる
かを制御できるようにします。
2.
[ デバイス機能 ]、[ アプリケーション ]、[iCloud]、[ セ
キュリティおよびプライバシー]、[ コンテンツ評価 ] タ
ブにあるチェックボックスをオンまたはオフにし、目
的のデバイス制限を定義します。たとえば、ユーザー
によるカメラの使用を禁止するには、[ カメラの使用を
許可 ] チェックボックスをオフにします。
GlobalProtect 管理者ガイド
131
デプロイメントポリシーの定義
GlobalProtect Mobile Security Manager のセットアップ
iOS 設定プロファイルの作成（続き）
ステップ 8
以下のサービスの 1 つ以上に対特定のリソースタイプの設定を有効にするには、以下の
してデバイスアクセスを許可手順を実行します。
する設定を指定します。
1. タブを選択してから対応するチェックボックスをオン
• Wi-Fi
にし、設定を有効にします。たとえば、Wi-Fi 設定を
有効にするには、[Wi-Fi] タブを選択してから [Wi-Fi]
• VPN（GlobalProtect）
チェックボックスをオンにします。
• 電子メール
2. [ 追加 ] をクリックして設定ダイアログを開きます。
• Exchange ActiveSync
• LDAP
3.
この設定プロファイルで設定を
プッシュする各サービスに対し
て、この手順を繰り返します。
4.
複数の Wi-Fi ネットワークを使
用できる設定をプッシュする場
合など、同じサービスタイプ
に対して複数の設定を定義する
こともできます。GlobalProtect
VPN 設定の作成方法の詳細は、
「GlobalProtect VPN 設定の定 5.
義」を参照してください。
サービスへのモバイルデバイスのアクセスを許可する
ために必要なフィールドに入力します（黄色の背景の
フィールドは必須）。特定のフィールドの入力内容の
詳細は、オンラインヘルプを参照してください。
[ ユーザー名 ] が必須の設定の場合、デフォルトでは、
登録時に Mobile Security Manager への認証でエンドユー
ザーが指定したユーザー名が使用されます（[ 保存され
た情報を使用 ]）。別のユーザー名を指定するには、
[固定] を選択し、テキストボックスにユーザー名を入
力します。
[ パスワード ] が必須の設定の場合、デフォルトでは、
ユーザーがモバイルデバイスで設定したパスワードが
使用されます（[ デバイスで設定 ]）。登録時に Mobile
Security Manager への認証でエンドユーザーが指定した
パスワードを使用するには、[ 保存された情報を使用 ]
を選択します。または、別のパスワードを指定するに
は [ 固定 ] を選択し、テキストボックスにパスワード
を入力します。
Wi-Fi 設定では、デバイスユーザーがネットワー
クに再接続するときにパスワードの入力を要求す
る追加パスワード設定（[ 接続ごとに設定 ]）があ
ります。
132
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
デプロイメントポリシーの定義
iOS 設定プロファイルの作成（続き）
ステップ 9
Web サイトまたは Web ベースの 1.
アプリケーションへのショー
トカット（Web クリップ）を作 2.
成し、デバイスのホーム画面
に表示します。
3.
Web クリップは、イントラネッ
トや内部バグ追跡システムな 4.
ど、モバイルユーザーがアク
セスする必要があるサイトに
5.
すばやくアクセスできるよう
にする場合に便利です。Web
クリップを含む設定を作成す
る前に、デバイスの画面に表
示する関連付けられたアイコン 6.
をインポートする必要がありま
す。方法については、「Web ク
リップアイコンのインポー 7.
ト」を参照してください。
既知の iOS のバグにより、
設定内の Web クリップを 8.
変更または削除すると、
デバイスを次に再起動す 9.
るまでホーム画面にアー
ティファクトが表示され
たままになります。
ステップ 10 モバイルデバイスにプッシュす 1.
る証明書を追加します。Mobile 2.
Security Manager で生成した証明
書、または別の CA からイン
ポートした証明書を追加でき
3.
ます。デバイスが内部アプリ
ケーションおよびサービスに接
続するために必要なすべての証
明書をプッシュできます。
ステップ 11 使用するネットワーク接続タ 1.
イプを識別するために通信事
業者に提示するモバイルデバ 2.
イスのアクセスポイント名
（APN）を設定します。
GlobalProtect 管理者ガイド
[Web クリップ ] タブを選択して [ 追加 ] をクリックし
ます。
[ 名前 ] フィールドに、Mobile Security Manager 内で使用
される Web クリップ名を入力します。
[ ラベル ] フィールドに、ホーム画面に表示される Web
クリップのラベルを入力します。
[URL] フィールドに、ユーザーが Web クリップをタッ
プしたときにロードする URL を入力します。
[ アイコン ] フィールドで以前にインポートしたアイコ
ンを選択するか、ドロップダウンメニューから [ アイ
コン ] をクリックしてアイコンをここでインポートし
ます。
ユーザーがホーム画面から Web クリップを削除できな
いようにするには、[削除可能] チェックボックスをオ
フにします。
iOS でアイコンへの標準効果（角丸、影付き、および
反射光）が追加されないようにするには、[ 合成済み ]
チェックボックスをオンにします。
Safari を起動してコンテンツを表示する代わりに、Web
ページを全画面表示するには、[全画面] を選択します。
[OK] をクリックして Web クリップ保存します。
[ 証明書 ] タブを選択して [ 追加 ] をクリックします。
リストから既存の証明書を選択するか、[インポート] を
選択して別の CA で生成された証明書をインポートし
ます。
証明書に秘密鍵が含まれる場合、[ パスワード ] フィー
ルドに鍵の復号に使用するパスワードを入力する必要
があります。
[APN] タブを選択し、[APN] チェックボックスをオン
にして管理対象デバイスのサービスを有効にします。
[ アクセスポイント名 ] フィールドに、パケットデータ
ネットワーク（PDN）、またはワイヤレスアプリケー
ションプロトコル（WAP）サーバーやマルチメディア
メッセージングサービス（MMS）などの他のサービス
用の APN を入力し、モバイルデバイスで通信できる
ようにします。
133
デプロイメントポリシーの定義
GlobalProtect Mobile Security Manager のセットアップ
iOS 設定プロファイルの作成（続き）
ステップ 12 設定プロファイルを保存し
ます。
1.
[OK] をクリックして定義した設定を保存し、[iOS 設定 ]
ダイアログを閉じます。
2.
変更をコミットします。
GlobalProtect VPN 設定の定義
GlobalProtect Mobile Security Manager は企業リソースへのアクセスを許可する設定をプッシュ可能
で、デバイスの制限を適用するメカニズムを提供しますが、モバイルデバイスとサービス間の
接続は保護しません。クライアントが安全なトンネル接続を確立できるようにするには、デバ
イスで VPN サポートを有効にする必要があります。iOS および Android デバイスの GlobalProtect
VPN セットアップを簡略化するため、以下のセクションの説明に従って、設定プロファイルで
デバイスに GlobalProtect VPN 設定をプッシュできます。

iOS デバイス用の GlobalProtect VPN 設定の作成

Android デバイス用の GlobalProtect VPN 設定の作成
iOS デバイス用の GlobalProtect VPN 設定の作成
以下のタスクを使用し、iOS デバイスで GlobalProtect VPN 設定の定義を行います。VPN 設定は、
iOS デバイスの設定プロファイルに追加することができます。一般的な設定プロファイル情報
は、「iOS 設定プロファイルの作成」を参照してください。
iOS デバイス用の GlobalProtect VPN 設定の作成
ステップ 1
134
GlobalProtect VPN 設定を追加す [Policies] > [ 設定 ] > [iOS] の順に選択し、[ 追加 ] をクリッ
る iOS 設定プロファイルを選クするか、VPN 設定を追加する既存の設定を選択します。
択または追加します。
新しい設定プロファイルの場合、プロファイルの識別情報
を入力し、必要に応じてその他の設定と制限を定義しま
す。詳細は、「iOS 設定プロファイルの作成」を参照して
ください。
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
デプロイメントポリシーの定義
iOS デバイス用の GlobalProtect VPN 設定の作成（続き）
ステップ 2
ステップ 3
GlobalProtect VPN 接続設定を定 1.
義します。
[VPN] タブを選択し、[ 追加 ] をクリックして [VPN] ダイ
アログを開きます。
2.
[ 名前 ] フィールドに、Mobile Security Manager でこの設定
を識別する名前を入力します。
3.
[ 接続名 ] フィールドに、デバイスに表示する接続名を入
力します。
4.
[ サーバー] フィールドに、GlobalProtect ポータルの FQDN
または IP アドレスを入力します。入力した値はポータ
ルサーバー証明書の CN フィールドと一致する必要が
あります。
5.
[ 接続タイプ ] が [Palo Alto Networks GlobalProtect] に
設定されていることを確認します。
VPN アカウントのユーザー名と 1.
パスワード設定を指定する方
法を指定します。
[ アカウント ] ドロップダウンリストから値を選択し、
VPN ユーザー名の取得元を指定します。デフォルトで
は、GlobalProtect VPN 設定は [ 保存された情報を使用 ]
に設定され、登録時にデバイスユーザーが指定した
ユーザー名が使用されます。この設定を使用するすべ
てのデバイスに対する [ 固定 ] ユーザー名を指定するこ
ともできます。または、デバイスユーザーがアカウン
トユーザー名を定義可能な [ デバイスで設定 ] を選択し
ます。
2.
デフォルトでは、VPN の [パスワード] はデバイスユー
ザーによる [ デバイスで設定 ] になっています。登録時
の認証でデバイスユーザーが指定したパスワードを使
用する場合は、[保存された情報を使用] を選択します。
または、この設定を使用するすべてのデバイスに対す
る [ 固定 ] パスワードを指定することもできます。
3.
（任意）デフォルトでは、Mobile Security Manager ポリ
シーがモバイルデバイスにプッシュされると、一致す
るポリシールールに関連付けられていない、Mobile
Security Manager で以前にプッシュされたすべてのプロ
ファイルはデバイスから自動的に削除されます。ただ
し、ユーザーが手動でプロファイルを切り替えることが
できるように、Mobile Security Manager では GlobalProtect
ポータルによってデバイスにプッシュされた VPN プロ
ファイルは削除されません。Mobile Security Manager で
既存のすべての GlobalProtect VPN プロファイルを削除
できるようにするには、[ ポータルプロファイルを許可 ]
チェックボックスをオフにします。
GlobalProtect 管理者ガイド
135
デプロイメントポリシーの定義
GlobalProtect Mobile Security Manager のセットアップ
iOS デバイス用の GlobalProtect VPN 設定の作成（続き）
ステップ 4
（任意）VPN トンネルの確立時
に GlobalProtect ゲートウェイへ
の認証に使用するモバイルデ
バイスのクライアント証明書
を指定します。代わりにポー
タルクライアント設定からデ
バイスにクライアント証明書
をプッシュする場合、または
ゲートウェイで証明書認証を
使用していない場合、この手
順はスキップしてください。
この機能は、Mobile Security
Manager で管理していない
デバイスが GlobalProtect VPN
に接続できないようにする場
合に役立ちます。ただし、管
理対象外デバイスからの接続
を拒否すると、そのトラ
フィックの可視性が失われま
す。管理対象外モバイルデバ
イスからのトラフィックを制
御するベストプラクティスと
して、デバイスが管理されて
いるかどうかに基づく HIP プ
ロファイルを作成し、セキュ
リティポリシーに関連付けま
す。HIP 対応セキュリティポ
リシーの作成方法の詳細は、
「ポリシー適用におけるホス
ト情報の使用」を参照してく
ださい。
136
登録時にモバイルデバイスに対して発行された ID 証明書を使用
するには、以下の手順を実行します。
a. [ 認証情報 ] フィールドで [ なし ] を選択します。
企業 SCEP サーバーによって発行されたクライアント証明書を
使用するには、以下の手順を実行します。
a. [ 認証情報 ] フィールドで [SCEP] を選択します。
b. SCEP 設定のセットアップ。
Mobile Security Manager によって発行されたクライアント証明書
を使用するには、以下の手順を実行します。
a. モバイルデバイスにプッシュするクライアント証明
書を Mobile Security Manager にインポートするか、
Mobile Security Manager で自己署名証明書を生成しま
す。この方法は、GlobalProtect ポータルからクライ
アント証明書をデプロイする方法と似ています。こ
の設定では、すべてのモバイルデバイスで使用する
1 つのクライアント証明書を iOS 設定プロファイル
を使用して指定します。
b. [ 証明書 ] を選択し、ドロップダウンリストから使用
するクライアント証明書を選択します。
この設定で [ 認証情報 ] を指定する場合、ポータル
で対応するモバイルデバイスにデプロイするク
ライアント設定にはクライアント証明書が含まれ
ていないことを確認してください。含まれている
場合、ポータル設定内の証明書はここで指定した
証明書でオーバーライドされます。
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
デプロイメントポリシーの定義
iOS デバイス用の GlobalProtect VPN 設定の作成（続き）
ステップ 5
（任意）VPN トンネルを経由す 1.
るデバイストラフィックを指
定します。デフォルトでは、
GlobalProtect アプリケーション 2.
はその対応するポータルクラ
イアント設定の指定に従って
すべてのトラフィックをトンネ
リングします。ただし、Mobile
Security Manager 設定で [VPN オ
ンデマンド ] を定義することに
より、ポータルトンネル設定
をオーバーライドできます。
デバイスレベル VPN は、
すべてのデバイストラ
フィックで確実に VPN が
使用されるようにするた
めに（個人のデバイスで
はなく）企業所有のデバ
イスを管理する環境で役
立ちます。
ステップ 6
ポータル設定で定義されている設定をオーバーライド
するには、[VPN タイプ ] を選択して [ デバイスレベル
VPN] を選択します。
[VPN オンデマンドの有効化 ] チェックボックスをオン
にし、[ 追加 ] をクリックして、以下のように例外を定
義します。
• [ 一致するドメイン ] フィールドに、IP アドレス、ホ
スト名、ドメイン名、またはサブネットを入力し、
トンネルの宛先を指定します。
• 対応する [ アクション ] を選択し、指定した [ ドメイ
ン ] にいつトラフィックをトンネリングするか（[ 常
に ]、[ しない ]、またはエンドユーザーが手動で
VPN を起動する場合は [ オンデマンド ]]）を指定し
ます。
• オーバーライドを作成する各トンネルの宛先に対し
て、この手順を繰り返します。
（任意）管理対象アプリケー
ションからのトラフィックが
VPN トンネルのみを通過する
ように指定します。
[VPN タイプ ] を選択し、以下の設定の中から選択して、モ
バイルデバイス上でビジネストラフィックの分離を行い
ます。
設定プロファイルを保存し
ます。
1.
[OK] をクリックして VPN 設定を保存します。
2.
[OK] をクリックして iOS 設定プロファイルを保存し
ます。
3.
変更をコミットします。
• デバイス上の管理対象アプリケーションがすべてのトラ
フィックを VPN 経由でルーティングできるようにする
アプリケーションごとの
には、[ アプリケーションごとの VPN] を選択します。
VPN は、企業所有のデバ
イスではなく個人のデバ • 管理対象アプリケーションの起動時にその VPN 接続を
イスで、管理対象ビジネ
自動的にトリガーするには、[ アプリケーションごとの
スアプリケーションから
VPN オンデマンドの有効化 ] を選択します。
のトラフィックは VPN
• ドメインで VPN 接続がトリガーされるようにするには、
を通過するが、個人的の
[Safari ブラウザで一致するドメイン ] を追加します。
アプリケーションからの
トラフィックは通過しな
いように管理する環境で
役立ちます。アプリケー
ションごとの VPN につ
いての詳細は、「ビジネ
ストラフィックの分離」
を参照してください。
ステップ 7
GlobalProtect 管理者ガイド
137
デプロイメントポリシーの定義
GlobalProtect Mobile Security Manager のセットアップ
iOS デバイス用の GlobalProtect VPN 設定の作成（続き）
ステップ 8
指定したクライアント証明書各ゲートウェイで以下の手順を実行します。
を使用するゲートウェイを設 1. モバイルデバイス証明書の発行に使用されたルート CA
定し、この設定を使用してモ
証明書（使用しているクライアント証明書タイプに応
バイルデバイスで HTTPS 接続
じて、ID 証明書発行者、SCEP サーバー CA、または
を確立できるようにします。
Mobile Security Manager による自己署名 CA 証明書のいず
れか）をゲートウェイにインポートします。
2.
ゲートウェイ設定で使用される証明書プロファイルに
CA 証明書を追加します。
Android デバイス用の GlobalProtect VPN 設定の作成
以下のタスクを使用し、Android デバイスで GlobalProtect VPN 設定の定義を行います。VPN 設
定は、Android デバイスの設定プロファイルに追加することができます。一般的な設定プロファ
イル情報は、「Android 設定プロファイルの作成」を参照してください。
Android デバイス用の GlobalProtect VPN 設定の作成
ステップ 1
138
GlobalProtect VPN 設定を新規ま [Policies] > [ 設定 ] > [Android] の順に選択し、[ 追加 ] をク
たは既存の Android 設定プロリックするか、または変更する既存の設定を選択します。
ファイルに追加します。
新しい設定プロファイルの場合は、プロファイルの識別情
報を入力し、その他の設定項目と制限を定義します。詳細
は、「Android 設定プロファイルの作成」を参照してくだ
さい。
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
デプロイメントポリシーの定義
Android デバイス用の GlobalProtect VPN 設定の作成（続き）
ステップ 2
GlobalProtect VPN 接続設定を有 1.
効にして定義します。
[VPN] タブを選択し、[VPN] を選択して VPN 接続設定
の定義に進みます。
2.
Android デバイスに表示する [ 接続名 ] を入力します。
3.
[GlobalProtect ポータル ] の FQDN または IP アドレス
を入力します。入力した値はポータルサーバー証明書
の CN フィールドと一致する必要があります。
4.
[ アカウント ] ドロップダウンリストから値を選択し、
VPN ユーザー名の取得元を指定します。デフォルトで
は、GlobalProtect VPN 設定は [ 保存された情報を使用 ]
に設定され、登録時にデバイスユーザーが指定した
ユーザー名が使用されます。この設定を使用するすべ
てのデバイスで使用する [ 固定 ] ユーザー名を指定する
か、デバイスユーザーが [デバイスで設定] を選択し、
アカウントユーザー名を定義できるようにすることも
可能です。
5.
VPN の [ 接続方式 ] を指定します。
• ユーザーログオン — GlobalProtect アプリケーション
は、自動的にネットワークの検出を開始し、接続を
確立します。
• 要求時 — ユーザーが要求に応じて接続を確立できる
ようにします。この場合ユーザーは、VPN へのリ
モート接続を試みるときに、接続を手動で開始する
ことができます。このオプションを選択すると、
GlobalProtect ポータルクライアント設定で定義され
ている接続方式よりも [ 要求時 ] 接続方式が優先され
ます。
Android 設定プロファイルで定義されている
VPN 接続方式は、GlobalProtect ポータルクライ
アント設定で定義されている接続方式よりも優
先されます。
6.
GlobalProtect 管理者ガイド
デフォルトでは、VPN に対して認証するためのユーザー
の [ パスワード ] は、デバイスユーザーによって [ デバ
イスで設定 ] されます。これは、ユーザーが認証で使用
するパスワードを手動で入力する必要があることを意味
します。あるいは、登録時の認証でユーザーが指定した
パスワードが自動的に使用されるようにするには、[保
存された情報を使用 ] を選択するか、この設定を使用す
るすべてのデバイスで使用される [固定] パスワードを設
定します。
139
デプロイメントポリシーの定義
GlobalProtect Mobile Security Manager のセットアップ
Android デバイス用の GlobalProtect VPN 設定の作成（続き）
ステップ 3
（任意）VPN トンネルの確立時
に GlobalProtect ゲートウェイへ
の認証に使用するモバイルデバ
イスのクライアント証明書を指
定します。代わりにポータルク
ライアント設定からデバイスに
クライアント証明書をプッシュ
する場合、またはゲートウェイ
で証明書認証を使用していない
場合、この手順はスキップして
ください。
登録時にモバイルデバイスに対して発行された ID 証明書を使用
するには、以下の手順を実行します。
[ 認証情報 ] フィールドで [ なし ] を選択します。
Mobile Security Manager によって発行されたクライアント証明書
を使用するには、以下の手順を実行します。
1.
この機能は、Mobile Security
Manager で管理していない
デバイスが GlobalProtect VPN
2.
に接続できないようにする場
合に役立ちます。ただし、管
理対象外デバイスからの接続
を拒否すると、そのトラ
フィックの可視性が失われま
す。管理対象外モバイルデバ
イスからのトラフィックを制
御するベストプラクティスと
して、デバイスが管理されて
いるかどうかに基づく HIP プ
ロファイルを作成し、セキュ
リティポリシーに関連付けま
す。HIP 対応セキュリティポ
リシーの作成方法の詳細は、
「ポリシー適用におけるホス
ト情報の使用」を参照してく
ださい。
ステップ 4
ステップ 5
設定プロファイルを保存し
ます。
[ 証明書 ] を選択し、ドロップダウンリストから使用す
るクライアント証明書を選択します。
この設定で [ 認証情報 ] を指定する場合、ポータ
ルで対応するモバイルデバイスにデプロイする
クライアント設定にはクライアント証明書が含ま
れていないことを確認してください。含まれてい
る場合、ポータル設定内の証明書はここで指定し
た証明書でオーバーライドされます。
1.
[OK] をクリックして VPN 設定を保存します。
2.
変更をコミットします。
指定したクライアント証明書各ゲートウェイで以下の手順を実行します。
を使用するゲートウェイを設 1. モバイルデバイス証明書の発行に使用されたルート CA
定し、この設定を使用してモ
証明書（使用しているクライアント証明書タイプに応
バイルデバイスで HTTPS 接続
じて、ID 証明書発行者、SCEP サーバー CA、または
を確立できるようにします。
Mobile Security Manager による自己署名 CA 証明書のいず
れか）をゲートウェイにインポートします。
2.
140
モバイルデバイスにプッシュするクライアント証明書
を Mobile Security Manager にインポートするか、Mobile
Security Manager で自己署名証明書を生成します。この
方法は、GlobalProtect ポータルからクライアント証明
書をデプロイする方法と似ています。この設定では、
すべてのモバイルデバイスで使用する 1 つのクライア
ント証明書を Android 設定プロファイルを使用して指
定します。
ゲートウェイ設定で使用される証明書プロファイルに
CA 証明書を追加します。
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
デプロイメントポリシーの定義
Android 設定プロファイルの作成
Android 設定プロファイルには、Android デバイスの特定グループにプッシュする設定、証明
書、Web クリップ、および制限が含まれます。さまざまなサービスへのアクセスまたは異なる
レベルの制限が必要な Android デバイスユーザーのグループがある場合、各グループに対して
個別の Android 設定プロファイルを作成する必要があります。
Android 設定プロファイルの作成
ステップ 1
設定プロファイルを追加し
ます。
1.
[Policies] > [ 設定 ] > [Android] の順に選択し、[ 追加 ] を
クリックします。
ステップ 2
設定の識別情報を入力し
ます。
1.
[全般] タブの [名前] フィールドに、Mobile Security Manager
Web インターフェイスに表示される設定名を入力し
ます。
2.
[ 表示名 ] フィールドに、モバイルデバイスの [ 詳細 ]/[ プ
ロファイル ] 画面およびデバイスの HIP レポートに表
示される名前を入力します。
3.
[ 識別子 ] フィールドに、逆引き DNS 形式で設定の識別
子を入力します。たとえば、このプロファイルが基本
設定をデバイスにプッシュするために使用される場
合、設定に「com.acme.androidprofile」のような名前
を付けます。
4.
（任意）[ 内容 ] フィールドに、モバイルデバイスの
[ 詳細 ] 画面に表示される設定の説明を入力します。
デバイスのパスコード要件を 1.
指定します。
デバイスユーザーにこの設定を送信してデバイスでの
パスコードの使用を強制する場合、[ パスコード ] タブ
を選択し、[ パスコード ] チェックボックスをオンにし
てこの制限を有効にします。単にこのフィールドを有
効にするだけで、追加要件を課すことなく 4 文字以上
のパスコードの使用が強制されます。
ステップ 3
パスコード要件を指定した場
合、デバイスユーザーは定義
されたパスコード設定を順守
する必要があります。
ステップ 4
2.
（任意）長さの要件、または指定期間（分）後にデバ
イスを自動的にロックするかどうかなど、適用する追
加パスコード要件を指定します。
ユーザーがデバイスで何を実行 1.
できるかの制限を設定します。
[ 制限 ] タブを選択し、[ 制限 ] チェックボックスをオン
にしてユーザーがモバイルデバイスで何を実行できる
かを制御できるようにします。
2.
必要に応じて、デフォルトの制限設定を変更します。
• この設定でユーザーによるカメラの使用を禁止する
には、[ カメラの使用を許可 ] チェックボックスをオ
フにします。
• モバイルデバイスのデータが確実に暗号化されるよ
うにするには、[ 保存されたデータの暗号化が必要 ]
チェックボックスをオンにします。
GlobalProtect 管理者ガイド
141
デプロイメントポリシーの定義
GlobalProtect Mobile Security Manager のセットアップ
Android 設定プロファイルの作成（続き）
ステップ 5
1 つ以上の Wi-Fi ネットワーク 1.
へのデバイスアクセスを許可 2.
する設定を指定します。
[Wi-Fi] タブを選択して [ 追加 ] をクリックします。
各フィールドの詳細は、オン 3.
ラインヘルプを参照してくだ
さい。
無線ネットワークの [ サービスセット識別子 (SSID)] を
入力します。SSID は Wi-Fi ネットワークのブロード
キャスト名です。通常、ユーザーが接続先のネット
ワークを識別できるように分かりやすい名前を指定し
ます。SSID をブロードキャストしない場合、[非公開の
ネットワーク ] チェックボックスをオンにします。
4.
デフォルトでは、この設定が適用されたデバイスが範
囲内にある場合、自動的にネットワークに接続されま
す。この動作を変更するには、[自動接続] チェックボッ
クスをオフにします。
5.
[セキュリティ] タブで、無線ネットワークで使用してい
る [セキュリティタイプ] を選択します。選択したセキュ
リティタイプに応じて、パスワード、プロトコル、使
用する証明書など、接続に必要な設定を指定できる追
加フィールドが表示されます。
6.
エンドユーザー認証情報が必要なセキュリティタイプ
（企業セキュリティタイプ）の場合、以下の設定を選
択します。
[設定] タブの [名前] フィールドに、Mobile Security Manager
でこの Wi-Fi 設定を識別する名前を入力します。
• [ ユーザー名 ] — デフォルトでは、登録時に Mobile
Security Manager への認証でエンドユーザーが指定し
たユーザー名が使用されます（[ 保存された情報を使
用 ]）。別のユーザー名を指定するには、[ 固定 ] を選
択し、テキストボックスにユーザー名を入力します。
• [ パスワード ] — デフォルトでは、ユーザーがモバイ
ルデバイスで設定したパスワードが使用されます
（[デバイスで設定]）。登録時に Mobile Security Manager
への認証でエンドユーザーが指定したパスワード
を使用するには、[ 保存された情報を使用 ] を選択し
ます。または、別のパスワードを指定するには [ 固定 ]
を選択し、テキストボックスにパスワードを入力し
ます。
7.
ステップ 6
142
[OK] をクリックして設定を保存します。
デバイスが VPN にアクセスで [VPN] タブを選択し、対応するチェックボックスをオンに
きるようにする設定項目を指して、GlobalProtect VPN 接続設定の定義を開始します。
定します。
GlobalProtect VPN 設定の作成方法の詳細は、「GlobalProtect
VPN 設定の定義」を参照してください。
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
デプロイメントポリシーの定義
Android 設定プロファイルの作成（続き）
ステップ 7
ステップ 8
Web サイトまたは Web ベースの 1.
アプリケーションへのショー
トカット（Web クリップ）を作 2.
成し、デバイスのホーム画面
に表示します。
3.
Web クリップは、イントラネッ
トや内部バグ追跡システムな 4.
ど、モバイルユーザーがアク
セスする必要があるサイトに
5.
すばやくアクセスできるよう
にする場合に便利です。Web
クリップを含む設定を作成す
る前に、デバイスの画面に表 6.
示する関連付けられたアイコ
ンをインポートする必要があ
ります。方法については、
「Web クリップアイコンのイン
ポート」を参照してください。
設定プロファイルを保存し
ます。
[Web クリップ ] タブを選択して [ 追加 ] をクリックし
ます。
[ 名前 ] フィールドに、Mobile Security Manager 内で使用
される Web クリップ名を入力します。
[ラベル] フィールドに、ホーム画面に表示される Web ク
リップのラベルを入力します。
[URL] フィールドに、ユーザーが Web クリップをタッ
プしたときにロードする URL を入力します。
[ アイコン ] フィールドで以前にインポートしたアイコン
を選択するか、ドロップダウンメニューから [ アイコン ]
をクリックしてアイコンをここでインポートします。
[OK] をクリックして Web クリップ保存します。
1.
[OK] をクリックして定義した設定を保存し、[Android 設
定 ] ダイアログを閉じます。
2.
変更をコミットします。
iOS プロビジョニングプロファイルのインポート
有害な可能性があるアプリケーションの拡散を防ぐため、iOS では App Store 経由で承認された
ソースからのアプリケーションのみをインストールできます。内部で開発されたアプリケー
ションの iOS デバイスへのインストールをユーザーに許可するには、iOS Developer Enterprise
Program（iDEP）からプロビジョニングプロファイルを取得する必要があります。取得したプ
ロビジョニングプロファイルを承認済みエンドデバイスにデプロイし、アプリケーションのイ
ンストールを許可できます。デプロイメントプロファイルの配信プロセスを簡略化するには、
プロファイルを Mobile Security Manager にインポートしてから、ポリシーを使用して管理対象デ
バイスにデプロイします。
Mobile Security Manager は多数のモバイルデバイスに対するプロビジョニングプロファイル
のデプロイメントを簡略化できますが、いくつかの考慮すべきセキュリティ要素があります。
プロビジョニングプロファイルを介して有効にされたアプリケーションへのアクセスを無効に
すると、Mobile Security Manager ポリシーでプロファイルを削除しても、デバイスの電源を入
れ直すまでそのアプリケーションは実行され続けます。さらに、プロビジョニングプロファイ
ルは iTunes と同期されるため、次回エンドユーザーがデバイスと iTunes を同期させたとき
に、プロファイルが再インストールされる可能性があります。
GlobalProtect 管理者ガイド
143
デプロイメントポリシーの定義
GlobalProtect Mobile Security Manager のセットアップ
iOS プロビジョニングプロファイルを Mobile Security Manager にインポートするには、以下の手
順を実行します。
iOS プロビジョニングプロファイルのインポート
ステップ 1
ステップ 2
内部で開発された iOS アプリ
ケーションのインストールを
デバイスユーザーに許可する
ために必要なプロビジョニン
グファイルを取得します。
プロビジョニングプロファイルの作成方法、および内部で
開発されたアプリケーションのデプロイ方法の詳細は、以
下の URL を参照してください。
http://www.apple.com/business/accelerator/deploy/
署名済みプロビジョニングプロ 1.
ファイルが用意できたら、その
プロファイルを Mobile Security 2.
Manager にインポートします。
3.
4.
ステップ 3
変更を保存します。
[Policies] > [ 設定 ] > [iOS プロビジョニングプロファイ
ル ] の順に選択し、[ 追加 ] をクリックします。
プロファイルの [ 名前 ] を入力します。
[ 参照 ] をクリックしてプロビジョニングプロファイルの
場所を指定し、[ 開く ] をクリックします。[ ファイル ]
フィールドにパスとファイル名が表示されます。
[OK] をクリックします。
[Commit] をクリックします。
SCEP 設定のセットアップ
SCEP（Simple Certificate Enrollment Protocol）は、多数の iOS デバイスに証明書を発行するメカニズ
ムを備えています。Mobile Security Manager で、登録プロセス中に SCEP がデバイスに ID 証明書
を発行できるようにできます。また、SCEP を使用して、その他の設定に必要な証明書を取得で
きます。Mobile Security Manager の登録や iOS のその他の設定で使用する目的で SCEP 設定を作成
するには、以下の手順を実行します。
SCEP 設定のセットアップ
ステップ 1
144
iOS デバイスに ID 証明書を発 1.
行できるように、既存の企業向
けの SCEP サーバーと統合する 2.
ために、Mobile Security Manager
を設定します。
[Policies] > [ 設定 ] > [SCEP] の順に選択し、[ 追加 ] をク
リックします。
[名前] に、「Enrollment_CA」などの CA を識別する名前
を入力します。この名前で、この SCEP インスタンス
と、設定プロファイルに使用する可能性がある他のイ
ンスタンスを区別します。
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
デプロイメントポリシーの定義
SCEP 設定のセットアップ（続き）
ステップ 2
使用するチャレンジのタイプ以下のいずれかのSCEP チャレンジオプションを選択します。
を指定します。チャレンジは、 • なし — SCEP サーバーが、OTP なしで証明書を発行し
Mobile Security Manager と SCEP
ます。
サーバーの間で共有される 1 回
• 固定 — Mobile Security Manager が、すべてのモバイルデ
限りのパスワード（OTP）で
バイスに使用される静的な OTP を提供します。SCEP
す。Mobile Security Manager に
サーバーから OTP を取得し、テキストボックスに入力
は、モバイルデバイスに送信
します。また、SCEP サーバーがすべてのクライアント
する SCEP 設定の OTP が含ま
証明書登録に単一のパスワードを使用するように、
れ、モバイルデバイスはこの
SCEP サーバーの [UseSinglePassword] レジストリ値に設
OTP を使用して SCEP サーバー
定する必要があります。
に認証されます。
• ダイナミック — Mobile Security Manager は、2 つのサー
バー間の NTLM チャレンジレスポンス交換を使用し
て、登録中に各モバイルデバイスに対して SCEP サー
バーから一意の OTP を取得します。このオプションを
選択する場合、Mobile Security Manager が SCEP サーバー
に接続できるように [ サーバーパス ] を設定し、ログイ
ンに使用する認証情報を入力する必要があります。さら
に、[SSL] チェックボックスをオンにすると、チャレン
ジ要求のために HTTPS 接続を要求できます。SSL を有効
にする場合、SCEP サーバーのルート [CA 証明書] を選択
する必要があります。必要に応じて、[クライアント証明
書 ] を選択し、SCEP サーバーと Mobile Security Manager の
間の相互 SSL 認証を有効にします。
ステップ 3
SCEP サーバーに接続する方法 1.
を指定します。
モバイルデバイスが SCEP サーバーへの接続に使用す
るサーバー URL を指定します。たとえば、以下のよう
に指定します。
http://<hostname>/certsrv/mscep_admin/mscep.dll
2.
GlobalProtect 管理者ガイド
[CA-IDENT 名 ] フィールドに、SCEP サーバーを識別す
る文字列を入力します（最大長は 255 文字）。
145
デプロイメントポリシーの定義
GlobalProtect Mobile Security Manager のセットアップ
SCEP 設定のセットアップ（続き）
ステップ 4
生成される証明書の属性を指 1.
定します。
[ サブジェクト ] に、SCEP サーバーで生成される証明書
のサブジェクトの名前を入力します。サブジェクトは、
<attribute>=<value> の形式で識別される名前にして、コ
モンネーム（CN）キーを含める必要があります。CN
を指定するには、以下の 2 つの方法があります。
• （推奨）トークンベース CN — サブジェクト名の CN
の部分の代わりに、サポートされているいずれかの
トークンを入力します（$USERNAME または $UDID）。
Mobile Security Manager がデバイスに SCEP 設定を
プッシュすると、サブジェクト名の CN の部分は、
証明書の所有者の実際のユーザー名またはデバイス
の UDID に置き換えられます。この方法により、
SCEP サーバーが生成する各証明書は、特定のユー
ザーまたはデバイスに対して必ず一意になります。
たとえば、O=acme,CN=$USERNAME です。
• スタティック CN — 指定する CN は、SCEP サーバー
で発行されるすべての証明書のサブジェクトとして
使用されます。たとえば、O=acme,CN=acmescep です。
2.
（任意）証明書に含める証明書拡張を定義します。
• サブジェクトの別名のタイプ — サブジェクトの別名
（SAN）を入力する予定の場合、rfc822Name、
dnsName、uniformResourceIdentifier のいずれか
を選択して、SAN の形式を指定します。
• サブジェクトの別名の値 — 証明書に含まれる SAN
値。上記で指定した形式で指定します。
• NT プリンシパル名 — ユーザー証明書とアカウントの
照合に使用できるデバイスのユーザーオブジェクト。
ステップ 5
146
SCEP プロファイルを保存し
ます。
3.
[ 鍵のサイズ ] を設定し、SCEP サーバーの証明書テンプ
レートに定義された鍵のサイズを照合します。
4.
（任意）モバイルデバイスが HTTP を介して証明書を
取得する場合に、SCEP サーバーの認証に使用される、
デバイスの CA 証明書フィンガープリント（SHA1 また
は MD5）を入力します。フィンガープリントは、SCEP
サーバーの指紋の値と照合される必要があります。
1.
[OK] をクリックして定義した設定を保存し、[iOS 設定 ]
ダイアログを閉じます。
2.
変更をコミットします。
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
デプロイメントポリシーの定義
デプロイメントポリシーの作成
デバイスの登録とチェックインが正常に完了すると、Mobile Security Manager はデバイスユーザー
のユーザー名やレポートされた HIP データを使用して、デプロイメントポリシーを照合します。
デプロイメントポリシーの作成
ステップ 1
ステップ 2
新しいポリシールールを作成し 1.
ます。
[Policies] > [ ポリシー] の順に選択し、[ 追加 ] をクリッ
クします。
2.
[ 名前 ] に、ポリシールールを識別する分かりやすい名
前を入力します。
この設定をデプロイする対象 [ユーザー/HIP プロファイル] タブを選択し、このポリシー
となるモバイルデバイスユールールの設定の一致をどのように決定するかを指定します。
ザーを指定します。管理対象 • この設定を特定のユーザーまたはグループにデプロイす
デバイスが、ユーザー/ グルー
るには、ウィンドウの [ ユーザー] セクションの [ 追加 ] を
プ名、HIP の照合、またはその
クリックし、この設定を受信するユーザーまたはグルー
両方のうちのどの方法で設定を
プをドロップダウンリストから選択します。追加する
取得するかを指定するには、以
ユーザー/ グループごとにこの手順を繰り返します。
下の 2 つの方法があります。
• この設定を特定の HIP プロファイルに一致するデバイス
Mobile Security Manager は、指定
にデプロイするには、ウィンドウの [HIP プロファイル ]
されたユーザー/HIP プロファ
セクションで [ 追加 ] をクリックし、次に HIP プロファ
イル設定を使用して、チェッ
イルを選択します。
クイン時にどの設定をデバイ
モバイル利用者全体にプッシュする前に、デプロ
スにデプロイするかを決定し
イメントポリシーをテストすることをお勧めしま
ます。そのため、複数の設定
す。最初に、Mobile Security Manager の登録を許可す
がある場合は、設定を適切な
る設定を作成して、IT グループのユーザーのみに
順序に並べる必要がありま
適用し、デプロイメントポリシーをテストするこ
す。Mobile Security Manager が一
とを検討してください。次に、設定を完全にテス
致を認めるとすぐに、設定が
トした後に、モバイルユーザーにデプロイメント
配信されます。そのため、よ
をプッシュするようにデプロイメントポリシーを
り具体的な設定が、一般的な
変更します。
設定よりも優先される必要が
あります。ルールのリストを
並べる手順は、「ステップ 4」
を参照してください。
設定を特定のユーザーま
たはグループにデプロイ
するポリシールールを作
成するには、「Mobile
Security Manager と LDAP
ディレクトリの統合」で
説明されているように、
ユーザーディレクトリに
アクセスするために
Mobile Security Manager を設
定します。
GlobalProtect 管理者ガイド
147
デプロイメントポリシーの定義
GlobalProtect Mobile Security Manager のセットアップ
デプロイメントポリシーの作成（続き）
ステップ 3
定義したユーザー/HIP プロファ 1.
イルの条件に一致するデバイ
スにデプロイする設定プロ
ファイルを指定します。
設定プロファイルをポリシールールに関連付けます。
ルールが iOS と Android デバイスの両方に一致するよ
うに設計されている場合、以下のように別の設定プロ
ファイルを関連付ける必要があります。
• iOS 設定プロファイルまたは iOS プロビジョニングプ
ロファイルを追加するには、[iOS] セクションで [ 追加 ]
をクリックし、追加するプロファイルを選択します。
このルールに一致するデバイスにデプロイされる iOS
プロファイルごとに、この手順を繰り返します。
• Android 設定プロファイルを追加するには、[Android]
セクションで [ 追加 ] をクリックし、ルールに追加す
るプロファイルを選択します。このルールに一致す
るデバイスへデプロイされる各設定プロファイルに
対して、この手順を繰り返します。
2.
[OK] をクリックしてポリシールールを保存します。
3.
必要な各ポリシールールにステップ 1 ～ステップ 3 を
繰り返します。
ステップ 4
適切な設定がチェックイン時 • ルールのリストの上部にデプロイメントポリシールール
に各デバイスにデプロイされ
を移動するには、ルールを選択し、[ 上へ ] をクリックし
るように、デプロイメントポ
ます。
リシールールを配置します。
• ルールのリストの下部にデプロイメントポリシールール
を移動するには、ルールを選択し、[ 下へ ] をクリックし
デバイスがチェックインする
ます。
と、Mobile Security Manager は、
ユーザー名およびデバイスが
提供した HIP データを、定義
されたポリシーと比較しま
す。ファイアウォールのセ
キュリティルール評価によっ
て、Mobile Security Manager はリ
ストの先頭から一致を検索し
ます。一致が見つかると、対
応する設定がデバイスへプッ
シュされます。
ステップ 5
デプロイメントポリシールー変更をコミットします。
ルを保存します。
148
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
Mobile Security Manager 設定の検証
Mobile Security Manager 設定の検証
Mobile Security Manager のセットアップ（デバイスチェックインインターフェイスの設定、登録
の有効化、設定とデプロイメントプロファイルの定義）およびデバイスチェックインイン
ターフェイスの URL を使用した GlobalProtect ポータルのセットアップが終了したら、デバイス
を正常に登録できることと、Mobile Security Manager プロファイルが正常にインストールされ、
適用されていることを確認する必要があります。
Mobile Security Manager 設定の検証
ステップ 1
ステップ 2
テストユーザーにプッシュする最初は、Mobile Security Manager を管理する責任を担う IT 部
デプロイメントポリシーを門の管理者などの小規模なユーザーのグループにポリシー
セットアップします。
をデプロイすることをお勧めします。
1. [Policies] > [ ポリシー] を選択し、編集するデプロイメ
ントポリシーを選択します。
2.
[ ユーザー/HIP プロファイル ] タブで、[ ユーザー/ ユー
ザーグループ ] セクションの [ 追加 ] をクリックし、ポ
リシーをテストするユーザーまたはグループを選択し
ます。
3.
（任意）作成または変更したデプロイメントポリシー
ルールを選択し、これまでに作成した一般的なルール
の先頭になるように、[ 上へ ] をクリックします。
4.
変更をコミットします。
GlobalProtect アプリケーション 1.
をダウンロードしてインス
トールし、GlobalProtect ポータ
ルに移動します。
アプリケーションをダウンロードします。
• Android デバイスでは、Google Play からアプリケー
ションをダウンロードします。
• iOS デバイスでは、App Store からアプリケーション
をダウンロードします。
2.
ホーム画面で GlobalProtect アイコンをタップして、ア
プリケーションを起動します。
3.
[OK] をタップし、デバイスの VPN 機能を有効にします。
4.
[GlobalProtect Settings] 画面で、[Portal] にポータルの名前
またはアドレスを入力し、[Username] と [Password]
に入力して、[Connect] をタップします。ポータル名
には完全修飾ドメイン名（FQDN）を入力する必要が
ありますが、先頭に「https://」を入力しないでくだ
さい。
Mobile Security Manager がポータルで設定されていた場
合、デバイスは、ポータルに認証された後に、登録画
面に自動的にリダイレクトされます。
登録プロセスを実行するには、モバイルデバイス
をインターネットに接続できる必要があります。
GlobalProtect 管理者ガイド
149
Mobile Security Manager 設定の検証
GlobalProtect Mobile Security Manager のセットアップ
Mobile Security Manager 設定の検証（続き）
ステップ 3
ステップ 4
GlobalProtect Mobile Security Manager 1.
でモバイルデバイスを登録し
ます。
2.
GlobalProtect Mobile Device Management の登録のプロン
プトが表示されたら、[Enroll] をタップします。
3.
デバイスチェックインインターフェイスの証明書が信
頼された CA によって発行されなかった場合、CA 証明
書をインストールした後でないと登録を続行できませ
ん。デバイスにパスコードが設定されている場合、証
明書をインストールする前にパスコードを入力する必
要があります。
4.
[Install Profile] 画面で、[Install] をタップしてプロファ
イルをインストールし、[Install Now] をタップして、
登録によって iPad の設定が変更されることを確認しま
す。デバイスにパスコードが設定されている場合、プ
ロファイルをインストールする前にパスコードを入力
する必要があります。[Warning] 画面で [Install] をタッ
プして続行します。
5.
プロファイルが正常にインストールされたら、[Done]
をタップします。GPS ロケーション情報を収集してい
る場合、GlobalProtect が現在のロケーションを使用す
ることがアプリケーションからプロンプトで表示され
ます。
GlobalProtect からプッシュ通知の受信のプロンプトが
表示されたら、[OK] をタップします。
予想した設定プロファイルが例 :
デバイスへプッシュされたこ • パスコードの要件をデバイスにプッシュした場合、60 分
とを確認します。
以内に新しいパスワードを設定するプロンプトが表示さ
れます。[Continue] をタップし、パスコードを変更また
は設定します。現在のパスコードを入力し、プロンプト
が表示されたら新しいパスコードを 2 回入力して、[Save]
をタップします。ダイアログボックスに、新しいパス
コードが満たす必要がある要件が表示されます。
• Exchange Active Sync 設定をデバイスにプッシュした場合、
Exchange サーバーに接続できることと、メールの送受信
ができることを確認します。
• GlobalProtect VPN 設定をプッシュした場合、デバイスが
VPN 接続を確立できることを確認します。
• デバイスにプッシュした Web クリップをテストし、関連
する URL に接続できることを確認します。
• 制限をデバイスにプッシュした場合、制限されたアク
ションを実行できないことを確認します。
150
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
Mobile Security Manager 設定の検証
Mobile Security Manager 設定の検証（続き）
ステップ 5
Mobile Security Manager から、プッ 1.
シュ通知が動作していること
をテストします。
2.
3.
ステップ 6
[Devices] を選択し、リストで自分のデバイスを見つけ
て指定します。
[ メッセージ ] をクリックし、デバイスに送信するテキス
トを [メッセージ本文] テキストボックスに入力して、
[OK] をクリックします。
デバイスでメッセージを受信していることを確認し
ます。
ポリシーを残りの利用者に Mobile Security Manager 設定およびポリシーが予想通りに動
プッシュします。
作していることを確認した後に、残りの利用者にデプロイ
するポリシーを更新します。
GlobalProtect 管理者ガイド
151
Mobile Security Manager への管理アクセスのセットアップ
GlobalProtect Mobile Security Manager のセットアップ
Mobile Security Manager への管理アクセスのセットアップ
デフォルトでは、GlobalProtect Mobile Security Manager にデフォルトの管理アカウント（admin）が
事前設定されています。このアカウントには、アプライアンスに対する読み取りと書き込みの
フルアクセス権（スーパーユーザーアクセス権としても知られる）が付与されています。ベス
トプラクティスとして、アプライアンスの管理機能またはレポート機能に対するアクセス権を
必要とするユーザーごとに、別個の管理アカウントを作成します。これにより、不正な設定
（または変更）が回避され、各管理者のアクションのロギングが可能になります。
管理アクセスをセットアップするには、以下の 2 つの手順があります。

管理認証のセットアップ

管理アカウントの作成
管理認証のセットアップ
管理ユーザーは以下の 3 つの方法で認証できます。

ローカル認証によるローカル管理者アカウント — 管理者アカウント認証情報と認証方式の両
方がアプライアンスに対してローカルです。ローカル管理者アカウントは、パスワードの有
効期間を定義するパスワードプロファイルを作成し、デバイス全体でのパスワード複雑性設
定を行うことにより、安全性を高めることができます。このタイプのアカウントでは、管理
アカウントを作成する前に設定タスクを実行する必要はありません。「管理アカウントの作
成」に進みます。

外部認証によるローカル管理者アカウント — この管理者アカウントはローカルファイアウォー
ルで管理されますが、認証機能の負荷は既存の LDAP、Kerberos、または RADIUS サービス
に割り振られます。このタイプのアカウントを設定するには、まず外部認証サービスへのア
クセス方法を定義する認証プロファイルを作成し、次にそのプロファイルを参照する管理者
ごとにアカウントを作成する必要があります。外部認証サービスへのアクセスのセットアッ
プ手順は、「認証プロファイルの作成」を参照してください。

証明書ベース認証によるローカル管理者アカウント — このオプションでは、アプライアンス
で管理者アカウントを作成しますが、認証は SSH 証明書（CLI アクセスの場合）またはクラ
イアント証明書 / 共通アクセスカード（Web インターフェイスの場合）に基づいて処理され
ます。手順は、「Web インターフェイスのための証明書に基づいた認証の有効化」や「コマ
ンドラインインターフェイスのための SSH 証明書に基づいた認証の有効化」を参照してく
ださい。
152
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
Mobile Security Manager への管理アクセスのセットアップ
認証プロファイルの作成
認証プロファイルは、管理者の認証情報を確認する認証サービスを指定し、認証サービスへの
アクセス方法を定義します。Mobile Security Manager が RADIUS、Kerberos、または LDAP の認証
サーバーにアクセスできるように、最初にサーバープロファイルを作成する必要があります。
認証プロファイルの作成
ステップ 1
ステップ 2
ステップ 3
認証サーバーへの接続方法を 1.
定義するサーバープロファイ
ルを作成します。
[Setup] > [ サーバープロファイル ] の順に選択し、接
続対象の認証サービスのタイプ（LDAP、RADIUS、ま
たは Kerberos）を選択します。
2.
[ 追加 ] をクリックし、プロファイルの [ 名前 ] を入力
します。
3.
必要に応じて、[ 管理者使用のみ ] チェックボックスを
オンにします。
4.
[ 追加 ] をクリックして新しいサーバーのエントリを追
加し、サービスへの接続に必要な情報を入力します。
サービスのタイプごとの必須フィールド値の詳細は、
オンラインヘルプを参照してください。
5.
[OK] をクリックしてサーバープロファイルを保存し
ます。
1.
[Setup] > [ 認証プロファイル ] の順に選択し、[ 追加 ] を
クリックします。
2.
認証プロファイルの識別に使用するユーザーの [名前] を
入力します。
3.
[ 認証 ] ドロップダウンリストで、使用する認証のタイ
プを選択します。
4.
[サーバープロファイル] で、ステップ 1 で作成したプ
ロファイルを選択します。
認証プロファイルを作成し
ます。
変更をコミットします。
GlobalProtect 管理者ガイド
[Commit] をクリックします。
153
Mobile Security Manager への管理アクセスのセットアップ
GlobalProtect Mobile Security Manager のセットアップ
Web インターフェイスのための証明書に基づいた認証の有効化
パスワードを使用した管理ユーザーの認証に代わる安全な認証方法として、Mobile Security Manager
に安全にアクセスするために証明書に基づいた認証を有効にします。証明書に基づいた認証で
は、パスワードの代わりにデジタルシグネチャが交換され、検証されます。
証明書に基づいた認証を有効にするには、以下の手順を使用します。
証明書に基づいた認証の有効化
ステップ 1
ステップ 2
ステップ 3
Mobile Security Manager で CA 証 Mobile Security Manager で CA 証明書を生成するには、以下
の手順を実行します。
明書を生成します。
1. Mobile Security Manager Web インターフェイスにログイ
信頼されたサードパー
ンします。
ティやエンタープライズ
CA によって発行された証 2. [Setup] > [ 証明書の管理 ] > [ 証明書 ] の順に選択し、[ 生
成 ] をクリックします。
明書を使用する場合、生
成するクライアント証明 3.
書を信頼できるように、
Mobile Security Manager にそ
の CA 証明書をインポート
する必要があります。
[ 証明書名 ] に入力し、証明書に反映される必要がある
IP アドレスまたは FQDN を [ コモンネーム ] フィール
ドに追加します。必要に応じて、暗号化の設定を変更
したり、Country、Organization、State などの証明書オプ
ションを定義したりできます。
4.
[ 署名者 ] オプションは空白のままにし、[ 認証局 ] オプ
ションを選択します。
5.
[ 生成 ] をクリックし、上記の手順で指定した詳細を使
用して証明書を作成します。
Web インターフェイスへのアク 1.
セスをセキュリティ保護する
ために使用するクライアント 2.
証明書プロファイルを作成し
ます。
3.
[Setup] > [ 証明書の管理 ] > [ 証明書プロファイル ] の
順に選択し、[ 追加 ] をクリックします。
管理者の認証で証明書プロファ 1.
イルを使用するために Mobile
Security Manager を設定します。 2.
3.
154
証明書プロファイルの名前を入力し、[ユーザー名フィー
ルド ] で [ サブジェクト ] を選択します。
[CA 証明書 ] セクションで [ 追加 ] を選択し、[CA 証明
書 ] ドロップダウンリストから、ステップ 1 で作成し
た CA 証明書を選択します。
[Setup] > [ 設定 ] の順に選択し、画面の [ 認証設定 ] セ
クションで編集アイコンをクリックします。
[証明書プロファイル] フィールドで、ステップ 2 で作成
したクライアント証明書プロファイルを選択します。
[OK] をクリックして、変更内容を保存します。
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
Mobile Security Manager への管理アクセスのセットアップ
証明書に基づいた認証の有効化（続き）
ステップ 4
ステップ 5
管理者アカウントを作成また 1.
は変更し、アカウントでクラ
イアント証明書の認証を有効 2.
にします。
[Setup] > [ 管理者 ] の順に選択し、[ 追加 ] をクリックし
ます。
3.
[クライアント証明書認証のみを使用 (Web)] を選択し
て、認証での証明書の使用を有効にします。
4.
この管理者に割り当てる [ ロール ] を選択します。事前
定義済みのいずれかのダイナミックロールを選択する
か、カスタムロールを選択して、この管理者のアクセ
ス権限を指定する認証プロファイルを添付します。
5.
（任意）カスタムロールの場合は、管理ユーザーが変
更できるデバイスグループ、テンプレート、およびデ
バイスコンテキストを選択します。
6.
[OK] をクリックして、アカウント設定を保存します。
管理者の認証に使用するクラ 1.
イアント証明書を作成し、エ
クスポートします。
CA 証明書を使用して、各管理ユーザーのクライアント
証明書を生成します。
管理者のログイン名を入力します。名前では大文字と
小文字が区別されます。
a. [Setup] > [ 証明書の管理 ] > [ 証明書 ] の順に選択し、
[ 生成 ] をクリックします。
b. [ コモンネーム ] フィールドに、証明書を生成する管
理者の名前を入力します。名前の構文は、ローカル
または外部の認証メカニズムで使用されるフォー
マットと一致する必要があります。
c. [ 署名者 ] フィールドで、ステップ 1 で作成した CA
証明書と同じものを選択します。
d. [ 生成 ] をクリックし、上記の手順で指定した詳細を
使用して証明書を作成します。
2.
生成したクライアント証明書をエクスポートします。
a. 作成した証明書を選択し、[ エクスポート ] をクリッ
クします。
b. 秘密鍵を暗号化するには、[ファイルフォーマット] に
[PKCS12] を選択します。
c. パスフレーズを入力して秘密鍵を暗号化し、入力を
確認します。
d. [OK] をクリックして、証明書をエクスポートします。
ステップ 6
設定の変更を保存します。
[Commit] をクリックします。
Web インターフェイスからログアウトされます。
GlobalProtect 管理者ガイド
155
Mobile Security Manager への管理アクセスのセットアップ
GlobalProtect Mobile Security Manager のセットアップ
証明書に基づいた認証の有効化（続き）
ステップ 7
ステップ 8
管理者が Mobile Security Manager
Web インターフェイスへのアク
セスに使用するクライアント
の Web ブラウザに、管理者の
クライアント証明書をイン
ポートします。
たとえば、Firefox では以下の手順を実行します。
1. [ ツール ] > [ オプション ] > [ 詳細 ] の順にメニューを
選択します。
2.
[ 証明書を表示 ] ボタンをクリックします。
3.
[自分の証明書] タブを選択して [インポート] をクリッ
クします。クライアント証明書を保存した場所を参照
します。
4.
プロンプトが表示されたら、パスフレーズを入力して
秘密鍵を復号します。
Mobile Security Manager Web イン 1.
ターフェイスにログインし
ます。
2.
Mobile Security Manager の IP アドレスまたはホスト名に
アクセスします。
3.
証明書を例外リストに追加し、Mobile Security Manager
Web インターフェイスにログインします。
プロンプトが表示されたら、ステップ 7 でインポート
したクライアント証明書を選択します。証明書の警告
が表示されます。
コマンドラインインターフェイスのための SSH 証明書に基づいた認証の有効化
SSH 証明書に基づいた認証を有効にするには、管理ユーザーごとに以下の手順を実行します。
SSH（公開鍵に基づく）認証の有効化
ステップ 1
SSH キー生成ツールを使用しキーペアの生成に必要なコマンドは、SSH クライアントの
て、クライアントマシンで非対製品マニュアルを参照してください。
称のキーペアを作成します。
公開鍵と秘密鍵は 2 つの別個のファイルです。公開鍵と秘
サポートされているキーフォー密鍵の両方のファイルを Mobile Security Manager からアクセ
マットは、IETF SECSH と Open スできる場所に保存します。セキュリティ強化のため、パ
SSH です。サポートされていスフレーズを入力して、秘密鍵を暗号化します。Mobile
るアルゴリズムは、DSA（1024 Security Manager にログインすると、このパスフレーズの入
ビット）と RSA（768 ～ 4096 力プロンプトが表示されます。
ビット）です。
156
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
Mobile Security Manager への管理アクセスのセットアップ
SSH（公開鍵に基づく）認証の有効化（続き）
ステップ 2
管理者のアカウントを作成 1.
し、証明書に基づいた認証を
有効にします。
2.
管理者の [ 名前 ] と [ パスワード ] を入力します。
パスワードを設定する必要があります。強力 / 複雑な
パスワードを確実に入力し、それを安全な場所に保管
します。証明書が破損されたかシステム障害が発生し
た場合にのみ、このパスワードの入力プロンプトが表
示されます。
3.
（任意）[ 認証プロファイル ] を選択します。
4.
[ 公開鍵認証 (SSH) の使用 ] を有効にします。
5.
[ キーのインポート ] をクリックし、ステップ 1 に保存
した公開鍵を参照してインポートします。
6.
この管理者に割り当てる [ ロール ] を選択します。事前
定義済みのいずれかのダイナミックロール、またはカス
タムのロールに基づいたプロファイルを選択できます。
7.
[OK] をクリックしてアカウントを保存します。
[Commit] をクリックします。
ステップ 3
変更をコミットします。
ステップ 4
SSH クライアントで、公開鍵に 1.
対する認証に秘密鍵が使用され
ることを確認します。この公 2.
開鍵は、Mobile Security Manager
から提示されます。
GlobalProtect 管理者ガイド
[Setup] > [ 管理者 ] の順に選択し、[ 追加 ] をクリック
します。
Mobile Security Manager に対する認証に秘密鍵を使用す
るように SSH クライアントを設定します。
Mobile Security Manager で CLI にログインします。
157
Mobile Security Manager への管理アクセスのセットアップ
GlobalProtect Mobile Security Manager のセットアップ
管理アカウントの作成
管理ユーザーを認証する認証メカニズムを定義した後に、各管理者のアカウントを作成する必
要があります。アカウントを作成しているとき、ユーザーの認証方法を定義する必要がありま
す。さらに、管理者にロールを指定する必要があります。ロールにより、関連付けられた管理
者のシステムに対するアクセス権のタイプが定義されます。次の 2 つのタイプのロールを割り
当てることができます。

ダイナミックロール — 「スーパーユーザー」、「スーパーユーザー（読み取り専用）」、お
よび「デバイスの管理者」に、Mobile Security Manager への「デバイスの管理者」アクセスを
付与する組み込みロール。ダイナミックロールの場合は自動的に更新されるため、新機能が
追加されたときにロールの定義を更新することについて心配する必要がありません。

管理ロールプロファイル — Web インターフェイス、CLI、または XML API のさまざまな機能
領域へのアクセスをよりきめ細かく制御するため、独自のロール定義を作成できます。たと
えば、Web インターフェイスのネットワークの設定領域へのアクセスを許可する管理ロール
プロファイルを運用スタッフ用に、またセキュリティポリシー定義、ログ、およびレポート
へのアクセスを許可する別個のプロファイルを IT 管理者用に作成できます。管理ロールプ
ロファイルを使用する場合は、製品に追加される新しい機能 / コンポーネントの特権を明示
的に割り当てるため、プロファイルを更新する必要があることに注意してください。
以下に、ローカル認証でのローカル管理者アカウントの作成方法を示します。
管理者アカウントの作成
ステップ 1
ダイナミックロールではなく管作成するロールごとに以下の手順を実行します。
理者ロールプロファイルを使用 1. [Setup] > [ 管理者ロール ] の順に選択し、[ 追加 ] をク
する場合は、Web インターフェ
リックします。
イス、CLI、および XML API の 2. [Web UI] または [XML API] タブで、アイコンをクリック
異なるセクションに対して付与
して必要な設定に切り替えることにより、インターフェ
するアクセス権があるのであれ
イスの機能領域ごとにアクセスレベルを設定します。
ば、そのロールに割り当てる管
•
有効化
理者ごとに、アクセス権のタイ
•
読み取り専用
プを定義するプロファイルを作
成します。
•
無効化
ベストプラクティスとして、エンドユーザーデ
バイスが誤ってワイプされないようにするため、
デバイスワイプアクションは Mobile Security
Manager に特に習熟している 1 人～ 2 人の管理者
のみに制限します。
158
3.
[ コマンド行 ] タブで、CLI を許可するアクセスのタイプ
superuser、superreader、deviceadmin、devicereader
を指定します。または、None にして、CLI へのアクセ
スを完全に無効にします。
4.
プロファイルの [ 名前 ] を入力し、[OK] をクリックして
保存します。
GlobalProtect 管理者ガイド
GlobalProtect Mobile Security Manager のセットアップ
Mobile Security Manager への管理アクセスのセットアップ
管理者アカウントの作成（続き）
ステップ 2
（任意）ローカルのユーザー • パスワードプロファイルの作成 — 管理者がパスワード
定義パスワードの要件を設定
を変更しなければならない頻度を定義します。複数のパ
します。
スワードプロファイルを作成し、必要に応じて管理者ア
カウントに適用して必要なセキュリティを確保できま
す。パスワードプロファイルを作成するには、[Setup] >
[パスワードプロファイル] の順に選択し、[追加] をクリッ
クします。
• パスワード複雑性の設定 — パスワードの複雑性を制御す
るルールを定義し、推測や解読が困難で、破られにくい
パスワードを管理者が作成するよう強制できます。個々
のアカウントに適用可能なパスワードプロファイルとは
異なり、これらのルールはデバイス全体に影響し、すべ
てのパスワードに適用されます。設定を行うには、
[Setup] > [ 設定 ] > [ 管理 ] の順に選択し、[ パスワード複
雑性設定 ] セクションを編集します。
ステップ 3
管理者ごとにアカウントを作 1.
成します。
[Setup] > [ 管理者 ] の順に選択し、[ 追加 ] をクリックし
ます。
2.
[ 名前 ] に管理者のユーザー名を入力します。
3.
管理者の認証方法を指定します。
• ローカル認証を使用するには、[ パスワード ]、[ パ
スワードの確認 ] の順に入力します。
• 外部認証を使用するには、[ 認証プロファイル ] を選
択します。
• 証明書 / キーに基づいた認証を使用するには、[ クラ
イアント証明書認証のみを使用 (Web)] チェック
ボックスをオンにします（Web インターフェイスへ
のアクセスの場合。CLI へのアクセスの場合は、[ 公
開鍵認証 (SSH) の使用 ] を選択します）。また、[ パ
スワード ] も入力する必要があります。パスワード
は、証明書が破損されたかシステム障害が発生した
場合にのみ、必要になります。
ステップ 4
変更をコミットします。
GlobalProtect 管理者ガイド
4.
この管理者に割り当てる [ ロール ] を選択します。事前
定義済みのいずれかのダイナミックロールを選択する
か、ステップ 1 で作成した場合はカスタムのロール
ベースのプロファイルを選択できます。
5.
（任意）[ パスワードプロファイル ] を選択します。
6.
[OK] をクリックしてアカウントを保存します。
[Commit] をクリックします。
159
Mobile Security Manager への管理アクセスのセットアップ
160
GlobalProtect Mobile Security Manager のセットアップ
GlobalProtect 管理者ガイド
モバイルデバイスの管理
モバイルデバイスユーザーが GlobalProtect Mobile Security Manager に登録したら、企業リソース
を保護するための標準およびデータ整合性の標準が維持されるようにデバイスをモニターでき
ます。GlobalProtect Mobile Security Manager はモバイルデバイスの管理を簡略化し、企業アカウ
ント設定を準拠デバイスに自動的にデプロイできますが、侵入されたデバイスを操作してセ
キュリティ違反を修正するためにも使用できます。これにより、企業データと個人用のエンド
ユーザーデータの両方が保護されます。たとえば、エンドユーザーがデバイスを紛失した場
合、ユーザーがデバイスを見つけられるよに、OTA（Over-The-Air）要求をデバイスに送信して
アラームを鳴らすことができます。または、エンドユーザーがデバイスの紛失または盗難を報
告した場合、Mobile Security Manager からリモートでデバイスをロックできるだけでなく、デバ
イスのワイプ（完全なワイプまたは選択的ワイプ）を実行することもできます。
Mobile Security Manager で提供されるアカウントのプロビジョニングとリモートデバイス管理機
能に加えて、既存の GlobalProtect VPN インフラストラクチャと統合することで、デバイスが
Mobile Security Manager に報告するホスト情報を使用して、GlobalProtect ゲートウェイを介したア
プリケーションへのアクセスに対するセキュリティポリシーを適用し、Palo Alto 次世代ファイ
アウォールに組み込まれたモニタリングツールを使用して、モバイルデバイスのトラフィック
およびアプリケーション使用状況をモニターできます。
以下のトピックでは、Mobile Security Manager からモバイルデバイスを管理する方法と、Mobile
Security Manager で収集された情報をネットワークセキュリティインフラストラクチャに統合す
る方法について説明します。

デバイスのタグ別のグループ化によるデバイス管理の簡略化

モバイルデバイスのモニター

リモートデバイスの管理

モバイルデバイスのトラフィック規制用のセキュリティポリシーの作成
GlobalProtect 管理者ガイド
161
デバイスのタグ別のグループ化によるデバイス管理の簡略化
モバイルデバイスの管理
デバイスのタグ別のグループ化によるデバイス管理の簡略化
タグは、管理対象モバイルデバイスに割り当てることができるテキストラベルです。タグに
よってデバイスをグループ化し、デバイス管理を簡略化できます。定義したタグは、同様のポ
リシーを適用し、OTA での操作（新規ポリシーのプッシュやメッセージの送信など）を行うデ
バイスグループを識別するために使用できます。タグをデバイスに割り当てると、そのタグは
デバイスの HIP（ホスト情報プロファイル）に含まれます。HIP プロファイルは GlobalProtect
ゲートウェイとも共有されるため、ゲートウェイで HIP プロファイルを作成し、タグの値に基
づいてセキュリティポリシーを適用できます。
タグは手動で作成できるため、必要とするあらゆるタイプのプロビジョニングまたはセキュリ
ティの適用を実現するための柔軟なメカニズムを提供します。たとえば、個人用デバイスと企
業のプロビジョニングデバイスを区別するタグを作成できます。さらに、特定のタグを照合す
る HIP オブジェクトを作成することで、設定のデプロイメント時にあらゆる方法で管理対象デ
バイスをグループ化できます。
または、デバイスを承認してからそのデバイスにポリシーをデプロイできるようにするため、
承認済みデバイスにタグを割り当ててから、承認済みのタグがあるデバイスのみにポリシーを
プッシュする HIP プロファイルを作成することもできます。
モバイルデバイスへのタグの割り当てには、いくつかの異なる方法があります。

手動によるデバイスへのタグ付け

デバイスへの事前タグ付け
手動によるデバイスへのタグ付け
手動でデバイスにタグを付けるには、Mobile Security Manager で必要なタグを作成してから、以
下のワークフローで説明するように、登録した後にタグをデバイスに割り当てます。
タグの作成と管理デバイスへの割り当て
ステップ 1
162
デバイスのモニターに必要な 1.
タグを定義し、デプロイメン
トポリシーのプッシュ、また 2.
は GlobalProtect ゲートウェイ
へのセキュリティポリシーの
適用を行います。
[Setup] > [ タグ ] の順に選択し、[ 追加 ] をクリックし
ます。
タグの [ 名前 ] フィールドに分かりやすいタグ名を入力
します。この名前は、デプロイメントやセキュリティ
ポリシー用の HIP オブジェクト / プロファイルの作成
時に照合します。
3.
（任意）タグの使用方法を説明するコメント（最大
63 文字の特殊文字を含む英数字）を入力します。
4.
[OK] をクリックしてタグを保存します。
GlobalProtect 管理者ガイド
モバイルデバイスの管理
デバイスのタグ別のグループ化によるデバイス管理の簡略化
タグの作成と管理デバイスへの割り当て（続き）
ステップ 2
管理対象モバイルデバイスにタ 1.
グを割り当てます。
2.
この手順を使用して、削
除するタグを選択してか
ら [ タグ外し ] をクリック
することで、タグを削除
3.
することもできます。
4.
[Devices] タブに移動します。
タグを割り当てるデバイスエントリの行をクリックし
てデバイスを選択します。このプロセスを簡略化する
ため、任意の列ヘッダー別にデバイスをソートした
り、左ペインで事前定義済みフィルタを使用すること
もできます。
[ タグ ] をクリックします。
以下のいずれかの方法で、選択したデバイスにタグを
関連付けます。
• [ 追加 ] をクリックして作成済みのタグリストを表示
し、特定のタグをクリックできるようにするか、[ 新
規タグ] をクリックして新しいタグをその場で定義し
ます。
• 作成済みのタグリストを参照するには、[ 参照 ] をク
リックし、選択したデバイスに関連付けるタグを探
します。をクリックし、選択したデバイスに関連
付けられたタグリストに各タグを追加します。各タ
グでこの手順を繰り返し、選択したデバイスに関連
付けます。
5.
ステップ 3
設定を保存します。
[ タグ ] をクリックしてタグの関連付けを保存します。
[Commit] をクリックします。
デバイスへの事前タグ付け
企業のプロビジョニングデバイスのポリシー管理を簡略化するため、カンマ区切り値（CSV）
ファイルでプロビジョニングするデバイスのシリアル番号リストを作成してから Mobile Security
Manager にインポートすることで、企業のデバイスへの事前タグ付けを自動的に実行できま
す。デフォルトでは、インポートしたデバイスには「Imported」タグが割り当てられます。必
要に応じて、企業のプロビジョニングデバイスを受け取るユーザーグループごとに異なるレベ
ルが設定されている場合など、インポートしたデバイスに割り当てる追加タグの指定が必要な
場合は、CSV/XLS ファイルに 2 番目のタグ名の列を追加できます。インポートしたすべてのデ
バイスに同じタグを割り当てる必要はありません。
GlobalProtect 管理者ガイド
163
デバイスのタグ別のグループ化によるデバイス管理の簡略化
モバイルデバイスの管理
複数デバイスの一括インポート
ステップ 1
最初の列にデバイスシリアル以下のように、列ヘッダーは追加せずに 2 列の CSV ファイ
番号のリスト、必要に応じてルを作成し、ローカルコンピュータまたはネットワーク共
2 番目の列にデバイスに割り当有に保存します。
てるタグのリストが含まれる、
カンマ区切り値（CSV）ファイ
ルまたは Microsoft Excel スプ
レッドシートを作成します。
ステップ 2
デバイスリストをインポートし 1.
ます。
ステップ 3
164
[Devices] タブに移動し、[ インポート ] をクリックし
ます。
2.
[ ファイル ] に作成した CSV または XLS ファイルのパスと
名前を入力するか、[ 参照 ] をクリックしてファイルを
参照します。
3.
[OK] をクリックしてデバイスリストをインポートし、
Imported タグ、およびファイル内でデバイスごとに定
義したその他のタグをデバイスに関連付けます。
デバイスが正常にインポート [Devices] タブで、[インポートしたアイテムを表示] をクリッ
クします。インポートしたデバイスがリスト内に表示され
されたことを確認します。
ていることを確認します。タグ値を指定しなかったデバイ
インポートしたリスト内のデ
スシリアル番号には imported タグのみがあり、1 つ以上
バイスを登録するとすぐに、
のタグ値を指定したデバイスシリアル番号には imported
そのシリアル番号に関連付け
タグに加えてそれらのタグが含まれています。
られたタグが自動的にデバイ
スに割り当てられます。
GlobalProtect 管理者ガイド
モバイルデバイスの管理
モバイルデバイスのモニター
モバイルデバイスのモニター
企業リソースへのモバイルデバイスアクセスを許可する場合の問題の 1 つに、デバイスの状
態、およびネットワークとアプリケーションに脅威をもたらすデバイスを突き止めるために必
要な識別情報の可視性の欠如があります。
モバイルデバイスのモニター
• [Dashboard] を使用して、管理対象デバイ [Dashboard] タブでは、Mobile Security Manager の状態に関する
スに関する一目で分かる情報を表示し
情報、および管理しているモバイルデバイスに関する情報
ます。
を表示する一連のウィジェットを使用できます。表示する
ウィジェット、および各ウィジェットが画面に表示される位
置をカスタマイズできます。ダッシュボードでは、以下の
カテゴリのモバイルデバイス情報をモニターできます。
• デバイスの傾向 — 過去 1 週間にわたるデバイス数の概要
（新規登録 / 登録解除されたデバイス数、チェックイン
済み / 未チェックインのデバイス数、日ごとの管理対象
デバイスの合計数）が表示されます。各グラフをクリッ
クすると、最新の統計情報が表示されます。
• デバイスサマリー — デバイスモデル、Android モデル、
iOS モデル、およびオペレーティングシステム別の管理対
象デバイスの比率を確認できる円グラフが表示されます。
• デバイスの準拠性 — マルウェアに感染したデバイス、パ
スコードセットが設定されていないデバイス、root 化
/jailbreak されているデバイスなど、脅威をもたらす可能
性のあるデバイス数をすばやく表示できます。ウィ
ジェット内をクリックすると、非準拠デバイスの詳細情
報が表示されます。
GlobalProtect 管理者ガイド
165
モバイルデバイスのモニター
モバイルデバイスの管理
モバイルデバイスのモニター（続き）
• [Devices] タブを使用して、管理対象（また [Devices] タブには、Mobile Security Manager で現在管理して
は以前管理していた）デバイスに関するいるデバイス、および以前に管理していたモバイルデバイ
スの情報が表示されます。
詳細な統計情報を表示します。
ヒント :
• [フィルタ] リストから事前定義済み
フィルタを選択します。
• フィルタテキストボックスに手動
でフィルタを入力します。たとえ
ば、すべての Nexus デバイスを表示す
るには、「model contains 'Nexus'」
と入力し、[フィルタの適用] ボタンを
クリックします。
• 表示される列を変更するには、列
名にポインタを置いて下矢印アイコ
ンをクリックします。
• デバイスまたはデバイスグループ
でアクションを実行するには、デバ
イスを選択してから、ページの下部
にあるアクションボタンをクリック
します。詳細は、「リモートデバイ
スの管理」を参照してください。
166
GlobalProtect 管理者ガイド
モバイルデバイスの管理
モバイルデバイスのモニター
モバイルデバイスのモニター（続き）
• チェックイン、クラウドメッセージ、 Mobile Security Manager Web インターフェイスから、
ゲートウェイへの HIP レポートのブロー [Monitor] > [ ログ ] > [MDM] の順に選択します。
ドキャストなど、デバイスのアクティビ
ティに関する情報を MDM ログでモニター
します。MDM ログには、root 化 /jailbreak
状態が報告されているデバイスなど、重
大度の高いイベントのアラートも表示さ
れます。さらに、MDM ログでは、ユー
ザーが GlobalProtect VPN から手動で切断
しているデバイスを確認することもでき
ます。
ログ詳細アイコン
をクリックし、ログエントリに関連
付けられたデバイスの完全な HIP レポートを表示します。
Mobile Security Manager によって収集された HIP レポートは拡
張バージョンであり、シリアル番号、電話番号（該当する
場合）、IMEI などのデバイスの識別情報、デバイス状態の
情報、およびデバイスにインストールされているすべての
アプリケーションのリスト（既知のマルウェアアプリケー
ションのリストを含む）などの詳細情報が含まれます。
GlobalProtect 管理者ガイド
167
モバイルデバイスのモニター
モバイルデバイスの管理
モバイルデバイスのモニター（続き）
• Mobile Security Manager で HIP マッチログ Mobile Security Manager Web インターフェイスから、
をモニターします。
[Monitor] > [ ログ ] > [HIP マッチ ] の順に選択します。列
ヘッダーをクリックして表示する列を選択します。
• GlobalProtect ゲートウェイで HIP マッチ GlobalProtect ゲートウェイをホストするファイアウォー
ログをモニターします。ゲートウェイでルの Web インターフェイスから、[Monitor] > [ ログ ] > [HIP
は、そのゲートウェイで定義された HIP マッチ ] の順に選択します。
オブジェクトや HIP プロファイルの基準
に一致する GlobalProtect クライアントか
ら HIP レポートを受信するたびに、HIP
マッチログが生成されます。HIP プロ
ファイルは、クライアントによって開始
されたトラフィックに対するセキュリ
ティポリシーの適用に使用されます。ま
たは、すべての管理対象 GlobalProtect ゲー
トウェイ全体の HIP マッチデータの集約
ビューを表示するため、Panorama で HIP
マッチログをモニターすることもでき
ます。
168
GlobalProtect 管理者ガイド
モバイルデバイスの管理
モバイルデバイスのモニター
モバイルデバイスのモニター（続き）
• 組み込みレポートを表示するか、カスタ [Monitor] > [ レポート ] の順に選択します。レポートを表示
するには、ページの右側にあるレポート名をクリックしま
ムレポートを作成します。
す（[アプリケーションレポート]、[デバイスレポート]、
Mobile Security Manager では、前日、また
および [PDF サマリーレポート ]）。
は前の週の指定した日のデバイス統計情
報のさまざまな「上位 50」レポートを作
成できます。
デフォルトでは、前日の 24 時間集計レ
ポートが表示されます。過去のいずれか
の日のレポートを表示するには、ページ
の下部にあるカレンダーからレポートの
生成日を選択します。
レポートが表示されます。選択した期間
の各レポートに関する以下の情報を確認
できます。ログを CSV フォーマットでエ
クスポートするには、[CSV にエクスポー
ト ] をクリックします。ログ情報を PDF
フォーマットで開くには、[PDF にエクス
ポート ] をクリックします。新しいウィ
ンドウで PDF ファイルが開きます。ウィ
ンドウ上部のアイコンをクリックして、
ファイルを印刷するかまたは保存します。
• GlobalProtect ゲートウェイをホストするファ GlobalProtect ゲートウェイをホストするファイアウォール
イアウォールで ACC をモニターします。の Web インターフェイスから [ACC] を選択し、[HIP マッチ ]
または、すべての管理対象 GlobalProtect セクションを表示します。
ゲートウェイ全体の HIP マッチデータの
集約ビューを表示するため、Panorama で
ACC をモニターすることもできます。
GlobalProtect 管理者ガイド
169
リモートデバイスの管理
モバイルデバイスの管理
リモートデバイスの管理
GlobalProtect Mobile Security Manager の最も強力な機能の 1 つは、世界中のどこにある場合でも、
OTA（Over-The-Air）でプッシュ通知を送信して管理対象デバイスを管理する機能です。iOS デ
バイスでは、Mobile Security Manager は Apple プッシュ通知サービス（APNs）を介してメッセー
ジを送信します。Android デバイスでは、Mobile Security Manager は Google クラウドメッセージ
ング（GCM）を介してメッセージを送信します。これにより、デバイスが侵入された疑いがあ
る場合、従業員が退職したため企業システムへのアクセスを無効にする場合、またはモバイル
デバイスユーザーの特定のグループにメッセージを送信する場合などに、すばやくアクション
を実行できます。

デバイスの操作

紛失または盗難にあったデバイスに対するアクションの実行

デバイスの削除
デバイスの操作
モバイルデバイスを操作する場合は常に、[Devices] タブからモバイルデバイスまたはデバイ
スグループを選択し、以下のようにページの下部にあるいずれかのボタンをクリックします。
リモートデバイスでのアクションの実行
ステップ 1
操作するデバイスを選択し
ます。
1.
[Devices] タブを選択します。
2.
デバイスを選択し、以下のいずれかの方法で操作し
ます。
• [ フィルタ ] リストから事前定義済みフィルタを選択
します。複数のフィルタを選択することで、Mobile
Security Manager で登録したモバイルデバイスのカス
タマイズされたビューを表示できます。
• フィルタテキストボックスに手動でフィルタを入
力します。たとえば、Android 4.1.2 を実行している
すべての Nexus デバイスを表示するには、「(model
contains 'Nexus') and (os-version eq '4.1.2')」と
入力し、[ フィルタの適用 ] ボタンをクリックしま
す。いずれかのデバイスエントリ内のフィールドを
クリックすることで、テキストボックスにフィルタ
を追加することもできます。たとえば、[OS] 列の
「Android」エントリをクリックすることで、フィル
タ（os eq 'android'）が自動的に追加されます。
• ユーザーインターフェイスを使用してフィルタを作
成するには、[フィルタの追加] ボタンをクリックし、
属性と値のペアを演算子で区切って追加してから、
をクリックしてフィルタを適用します。
170
GlobalProtect 管理者ガイド
モバイルデバイスの管理
リモートデバイスの管理
リモートデバイスでのアクションの実行（続き）
ステップ 2
アクションを選択します。
画面の下部にあるいずれかのボタンをクリックし、対応す
るアクションを選択したデバイスで実行します。例 :
• 選択したデバイスを所有するエンドユーザーにメッセージ
を送信するには、[メッセージ] をクリックし、[メッセー
ジ本文 ] を入力して、[OK] をクリックします。
• たとえば、過去 1 日間チェックインしていないデバイス
のフィルタリストでデバイスのチェックインを要求する
(last-checkin-time leq '2013/09/09') には、デバイスを
選択し、[ チェックイン ] をクリックして、Mobile Security
Manager によるチェックインを要求しているデバイスに
プッシュ通知を送信します。
• エンドユーザーがパスコードを忘れてしまった場合な
どにモバイルをリモートでロック解除するには、デバイ
スを選択して [ ロック解除 ] をクリックします。デバイス
がロック解除され、ユーザーは新しいパスコードの設定
を要求されます。
紛失または盗難にあったデバイスに対するアクションの実行
管理対象デバイスが紛失または盗難にあったことをエンドユーザーが報告した場合、デバイス
内のデータが漏えいしないように、直ちに対処する必要があります。[Devices] タブでデバイス
を選択し、状況に応じて以下の 1 つ以上のアクションを実行します。
紛失または盗難にあったデバイスの保護
• デバイスをロックします。
デバイスが紛失または盗難にあったことがユーザーから報
告されたら直ちにロックし、デバイス内のデータを悪意の
ある人物がアクセスできないようする必要があります。デ
バイスを選択し、[ ロック ] をクリックして直ちにデバイス
をロックします。デバイス内のアプリケーションとデータ
にアクセスするには、デバイスユーザーがパスコードを再
入力する必要があります。
• デバイスを探します。
デバイスを選択し、[ 探索 ] をクリックしてアラームを鳴ら
します。
GlobalProtect 管理者ガイド
171
リモートデバイスの管理
モバイルデバイスの管理
紛失または盗難にあったデバイスの保護（続き）
• 企業システムへのアクセス権を削除し、悪意のある人物がデバイスを持っていると判断されるとき
に、ユーザーが個人データのワイプに同意しない場合は、
企業データを消去します。
[ 選択的ワイプ ] をクリックすることができます。
企業システムへのアクセスを有効にしたすべてのプロファ
イル、および Mobile Security Manager からデバイスにプッ
シュされたアプリケーションは、それらのアプリケーショ
ンに関連付けられているすべてのデータを含めて削除さ
れます。[ 選択的ワイプ ] アクションでは、Mobile Security
Manager からプッシュされなかったデバイス上の設定およ
びアプリケーションを保持します。
• すべてのデバイスデータを消去します。
企業システムへのアクセスだけでなくす
べてのデバイスデータが削除されるた
め、これは「ワイプ」と呼ばれます。
デバイス内の企業データとエンドユーザーの個人データの両
方を保護するため、エンドユーザーがデバイス内のすべての
データをワイプするように要求する場合があります。これを
行うには、デバイスを選択して [ ワイプ ] をクリックします。
デバイスの削除
エンドユーザーは直接 GlobalProtect アプリケーションを使用して GlobalProtect Mobile Security Manager
から手動で登録解除できますが、管理者が OTA でデバイスを登録解除することもできます。こ
れは、従業員が個人用デバイスで Mobile Security Manager から登録解除せずに退職した場合に役
立ちます。デバイスを登録解除するには、[Devices] タブで削除するデバイスを選択してから、
以下のいずれかの方法を使用します。
管理対象からのデバイスの削除
• デバイスを登録解除します。
GlobalProtect Mobile Security Manager からデバイスを削除し、
Mobile Security Manager でのデバイスエントリは残す場合は、
デバイスを選択して [ 登録解除 ] をクリックします。この方
法は、エンドユーザーがまだ雇用中で、デバイスが一時的
または永久的に管理対象外になる場合に役立ちます。Mobile
Security Manager にデバイスエントリを残すことで、HIP マッ
チログ、レポート、およびデバイス統計情報の履歴を含
む、デバイスに関する情報を引き続き表示できます。
• デバイスを削除します。
管理対象からモバイルデバイスを削除し、Mobile Security
Manager からそのデバイスエントリを削除する場合は、デバ
イスを選択して [削除] をクリックします。この方法は、
データベースをクリーンアップして、退職済みのユーザーの
エントリを削除する場合、または別のデバイスに置き換えら
れたデバイスを削除する場合に役立ちます。このアクション
では、デバイスのレコードがデータベースから永久に削除さ
れます。また、削除アクションの実行時点でデバイスが登録
中の場合、デバイスが登録解除されてから、レコードが
Mobile Security Manager データベースから削除されます。
172
GlobalProtect 管理者ガイド
モバイルデバイスの管理
モバイルデバイスのトラフィック規制用のセキュリティポリシーの作成
モバイルデバイスのトラフィック規制用のセキュリティ
ポリシーの作成
GlobalProtect Mobile Security Manager で作成するデプロイメントポリシーにより、モバイルデバ
イスユーザーが企業アプリケーションにアクセスできるようにするためのアカウントプロビ
ジョニングを簡略化することができます。ユーザー/グループやデバイスの準拠性に基づき、ア
クセスを許可するアプリケーションに関するポリシーを適用するユーザーを詳細に制御できま
すが、Mobile Security Manager ではモバイルデバイストラフィックの規制はできません。
GlobalProtect ゲートウェイには GlobalProtect アプリケーションユーザーにセキュリティポリ
シーを適用する機能が備えられていますが、提供されるモバイルデバイスの HIP マッチ情報は
限られています。ただし、Mobile Security Manager は管理対象デバイスから包括的な HIP データ
を収集するため、収集された HIP データを利用し、デバイスの準拠性を考慮して Mobile Security
Manager からタグを付けることができる、非常にきめ細かい GlobalProtect ゲートウェイのセ
キュリティポリシーを作成できます。たとえば、ネットワークへのフルアクセスが可能な
「company-provisioned」タグの付いたモバイルデバイスを許可するゲートウェイのセキュリ
ティポリシーを作成し、インターネットのみへのアクセスが可能な「personal-device」タグの付
いたモバイルを許可する 2 番目のセキュリティポリシーを作成できます。
GlobalProtect ゲートウェイでの管理対象デバイスのセキュリティポリシーの作成
ステップ 1
Mobile Security Manager から HIP 詳細な手順は、「Mobile Security Manager へのゲートウェイ
アクセスの有効化」を参照してください。
レポートを取得するように
GlobalProtect ゲートウェイを設
定します。
ゲートウェイで [接続ポー
ト] の値を設定可能です
が、Mobile Security Manager
では値を 5008 のままにす
る必要があります。この値
の設定は、サードパーティ
の MDM ソリューション
との統合を可能にするた
めに提供されています。
GlobalProtect 管理者ガイド
173
モバイルデバイスのトラフィック規制用のセキュリティポリシーの作成
モバイルデバイスの管理
GlobalProtect ゲートウェイでの管理対象デバイスのセキュリティポリシーの作成（続き）
ステップ 2
（任意）Mobile Security Manager 詳細な手順は、「デバイスのタグ別のグループ化によるデ
で、ゲートウェイのセキュリバイス管理の簡略化」を参照してください。
ティポリシーの適用に使用する
タグを定義し、管理対象モバイ
ルデバイスに割り当てます。
ステップ 3
GlobalProtect ゲートウェイで、詳細な手順は、「HIP ベースのポリシー適用の設定」を参
モバイルデバイストラフィッ照してください。
クポリシーの適用に必要な HIP
オブジェクトと HIP プロファイ
ルを作成します。
ステップ 4
HIP プロファイルをセキュリ
ティポリシーに関連付けてか
ら、ゲートウェイへの変更を
コミットします。
174
GlobalProtect 管理者ガイド
エンタープライズアプリケーション
ストアでのビジネスアプリケーション
およびデータの管理
GlobalProtect で登録したモバイルデバイスの管理を拡大し、ビジネスアプリケーション、アカ
ウント、およびデータを管理できます。GlobalProtect Mobile Security Manager を使用して、ユー
ザーがビジネスに使用するアプリケーションの承認、ユーザーによるエンタープライズアプリ
ケーションストアからのビジネスアプリケーションの参照とインストールの許可、およびモバ
イルデバイス内のビジネスデータのビジネスアプリケーションおよびアカウントへの分離を
行います。
以下のトピックでは、モバイルデバイスでビジネスリソースに安全にアクセスして使用できる
ようにするためのエンタープライズアプリケーションストアの設定方法、および Mobile Security
Manager を使用してビジネスアプリケーションおよびデータを一元管理する方法について説明
します。

エンタープライズアプリケーションストアの概要

エンタープライズアプリケーションストアの概念

管理対象アプリケーションの追加

アプリケーションストアのセットアップ

アプリケーションの管理およびモニター

ビジネストラフィックの分離

ビジネスデータの分離

単一アプリケーションモードの有効化
GlobalProtect 管理者ガイド
175
エンタープライズアプリケーションストアの概要
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理
エンタープライズアプリケーションストアの概要
エンタープライズアプリケーションストアを使用してビジネスアプリケーションを安全に
ユーザーに配布し、ビジネスデータを保護しながらユーザーがモバイルデバイスでビジネス
リソースにアクセスできるようにします。エンタープライズアプリケーション、Apple App
Store アプリ、Google Play アプリ、または Apple Volume Purchase Program（VPP）で一括購入した
アプリケーションを、モバイルデバイスの管理対象ビジネスリソースとして使用することが承
認されたアプリケーションとして追加します。ユーザーにアプリケーションを配布する前に、
モバイルデバイスのアプリケーションおよびアプリケーションデータに適用される設定を有効
にし、ビジネスアプリケーションがセキュリティ標準に準拠するようにします。ビジネスデー
タをモバイルデバイスのビジネスアプリケーションおよびアカウントに分離し、ユーザーの個
人データは個別にプライベートのままにすることで、ビジネスデータを保護できます。管理対
象アプリケーションをユーザーにプッシュし、ポリシーのデプロイメントを介して対象ユー
ザーまたは幅広い利用者にアプリケーションを割り当てます。ユーザーは、デバイスにチェッ
クインするときに、割り当てられた必須アプリケーションと省略可能アプリケーションを受信
します。
ユーザーは、自分に割り当てられたアプリケーションを GlobalProtect アプリケーションで参照
およびインストールできます。iOS および Android 向け GlobalProtect アプリケーションにはメ
ニューバーに新しいアイコンがあり、ユーザーはそのアイコンをクリックしてエンタープライ
ズアプリケーションストアにアクセスできます。以下の画像に、iOS ユーザー（左）と Android
ユーザー（右）の GlobalProtect アプリケーションに表示されるエンタープライズアプリケー
ションストアを示します。
176
GlobalProtect 管理者ガイド
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理エンタープライズアプリケーションストアの概要
Mobile Security Manager では、モバイルデバイスにインストールされたビジネスアプリケーショ
ン、アカウント、およびデータを継続的に表示、制御できる一方で、ユーザーのプライバシー
とネイティブモバイル環境を保持できます。
Mobile Security Manager でのエンタープライズアプリケーションストアの作成には、以下の手順
とオプションを使用します。

エンタープライズアプリケーションの追加。これには内部で開発されたアプリケーションの
カスタマイズが含まれます。

Google Play または Apple アプリケーションの追加。モバイルデバイスでビジネスに使用する
ため、アプリケーションの管理を要求します。

VPP アプリケーションの管理対象アプリケーションとしての追加。アプリケーションを購入
して一括でユーザーに配布できるように、VPP アカウントを Mobile Security Manager と同期
します。

ビジネストラフィックの分離およびビジネスデータの分離。ビジネスデータをビジネスア
プリケーションおよびアカウントに割り当てて保護します。個人データとネットワークト
ラフィックは個別にプライベートのままにすることができます。

アプリケーションストアのセットアップ。管理対象アプリケーションを割り当てられたユー
ザーに配布します。

モバイルデバイスにインストールされたアプリケーションの管理およびモニター。これには、
アプリケーションの自動更新の有効化、モバイルデバイスでの管理対象アプリケーション
の状態の表示とそれらがポリシーに含まれるかどうかの表示、およびデバイスにインス
トールされている管理対象アプリケーションと非管理対象アプリケーションの表示が含ま
れます。アプリケーションのライセンスを管理するため、Mobile Security Manager からの VPP
リソースの管理を行うこともできます。
GlobalProtect 管理者ガイド
177
エンタープライズアプリケーションストアの概念
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理
エンタープライズアプリケーションストアの概念
GlobalProtect アプリケーションストアの概念については、以下のトピックを参照してください。

管理対象アプリケーション

必須アプリケーションと省略可能アプリケーション

Apple Volume Purchase Program（VPP）
管理対象アプリケーション
管理対象アプリケーションとは、ユーザーがモバイルデバイスでビジネス向けアプリケーショ
ンを安全に使用するために、Mobile Security Manager での管理を要求または推奨するアプリケー
ションです。管理対象アプリケーションを特定のユーザー、グループ、デバイスに割り当てた
り、幅広い利用者に簡単に配布したりすることができます。管理対象アプリケーションは、
ネットワーク管理者によって管理されることがユーザーに明示的に伝えられます。必要なアプ
リケーションを初めてデバイスにプッシュすると、ユーザーはインストールするアプリケー
ションが管理対象アプリケーションであることを確認して承認するように求められます。
エンタープライズアプリケーション、パブリックアプリケーション（Apple App Store または Google
Play から入手）、または購入アプリケーション（Apple Volume Purchase Program（VPP）から入手）
を管理対象アプリケーションとして追加できます。ビジネスツールとして使用する、または、
職務または教育の生産性や共同作業を目的として使用される可能性がある管理対象アプリケー
ションを Mobile Security Manager に追加します。Mobile Security Manager に追加するアプリケー
ションを管理することで、ビジネスに使用されるアプリケーションで使用または共有される企
業データを保護できます。
Mobile Security Manager に管理対象アプリケーションを追加すると、以下の操作を実行できます。

ユーザーにアプリケーションを割り当てる

アプリケーションを最新バージョンに更新する

アプリケーションをグループ化し、同じセキュリティ設定を使用して簡単にユーザーにプッ
シュする

すべてのトラフィックが企業 VPN を経由するようにアプリケーションを設定する

アプリケーションからデータが iCloud または iTunes にバックアップされることを防ぐ

アプリケーションに、他の管理対象アプリケーションまたはアカウントのみとのデータ共有
を許可する

アプリケーションに、他の管理対象アプリケーションまたはアカウントからのデータのアク
セスのみを許可する

特定のユーザーまたはデバイスに対してアプリケーションを無効にする
178
GlobalProtect 管理者ガイド
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理エンタープライズアプリケーションストアの概念
さらに、アプリケーションを管理対象として指定することで、ユーザーのデバイス上の管理対
象外のアプリケーションと効果的に区別し、異なる処理を適切に適用できます。登録されてい
るデバイスにインストールされている管理対象外のアプリケーションは、非管理対象アプリ
ケーションとして報告されます。管理対象外のアプリケーションからのデータ収集を除外した
り、個人用のアプリケーションと個人設定を保持しながら、企業用の設定とアプリケーション
を削除するようにデバイスで選択的ワイプを実行したりすることができます。管理対象アプリ
ケーション（ビジネスアプリケーション）と非管理対象アプリ（個人用アプリケーション）を
区別することで、管理対象アプリケーションを保護し、個人データに干渉することなく管理対
象アプリケーションのデータを分離できます。
管理対象アプリケーションの追加を行い、開始します。
必須アプリケーションと省略可能アプリケーション
管理対象アプリケーションを必須または任意として指定できます。必須として定義されたアプ
リケーションは、デバイスチェックイン時に自動的にデバイスにインストールされます。必須
アプリケーションがデバイスに初めてプッシュされるときに、ユーザーはインストールするア
プリケーションがネットワーク管理者によって管理されることを確認して承認するように求め
られます。ユーザーは GlobalProtect アプリケーションを開いて [ 必須 ] を選択し、自分に割り当て
られた必須アプリケーションを表示してモバイルデバイスにインストールできます。以下の画像
は、iOS（左）と Android（右）の GlobalProtect アプリケーションで [ 必須 ] メニューが選択された
状態を示しています。
企業リソースにアクセスし、共同作業に使用するため、モバイルデバイスでアプリケーション
を管理する必要があることを指定する場合、アプリケーションを必須として定義します。管理
対象デバイスに非管理対象バージョンの必須アプリケーションがインストールされている場
合、非管理対象バージョンのアプリケーションを削除して管理対象ビジネスアプリケーション
をインストールするようにユーザーに通知できます（[Setup] > [ 設定 ] > [ サーバー] > [ 管理アプ
リケーション/アカウント通知設定] の順に選択）。管理対象バージョンのアプリケーションは、
非管理対象バージョンのアプリケーションが削除されるまでインストールされません。ユー
ザーが非管理対象バージョンのアプリケーションを削除すると、次のデバイスチェックイン時
に管理対象アプリケーションが自動的にインストールされます。
GlobalProtect 管理者ガイド
179
エンタープライズアプリケーションストアの概念
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理
ユーザーが省略可能な管理対象アプリケーションを選択することもできます。省略可能アプリ
ケーションは、登録済みデバイスに自動的にインストールされません。ユーザーは GlobalProtect
アプリケーションを開いて [ 省略可能 ] を選択し、推奨された省略可能アプリケーションを参照
してモバイルデバイスにインストールできます。以下の画像は、iOS（左）と Android（右）の
GlobalProtect アプリケーションで [ 省略可能 ] メニューが選択された状態を示しています。
ユーザーにビジネスリソースとして推奨する場合に、アプリケーションを省略可能として定義
します。
Apple Volume Purchase Program（VPP）
Apple Volume Purchase Program（VPP）とは、アプリケーションを一括で購入できる、Apple に
よって提供されるサービスです。VPP を使用して購入したリソースをすばやく簡単に配布する
ために、VPP アカウントを Mobile Security Manager と同期できます。VPP アプリケーションはそ
の他の Apple、Google Play、または管理対象エンタープライズアプリケーションと同様に、ユー
ザーに割り当てて管理対象アプリケーションとしてデバイスにプッシュできます。管理対象デ
バイスの GlobalProtect アプリケーションストアで、ユーザーは他の承認済みアプリケーション
とともに VPP リソースを表示およびインストールできます。VPP 購入アプリケーションを管理
対象アプリケーションとして追加するため、VPP アカウントを Mobile Security Manager と同期す
る方法は、「VPP アプリケーションの管理対象アプリケーションとしての追加」を参照してく
ださい。
180
GlobalProtect 管理者ガイド
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理
管理対象アプリケーションの追加
管理対象アプリケーションの追加
アプリケーションをユーザーに配布するには、まず、管理対象アプリケーションとしてユーザー
に承認するアプリケーションを追加します。エンタープライズ、パブリック（Apple App Store ま
たは Google Play）、または Apple Volume Purchase Program（VPP）購入アプリケーションを追加す
るには、以下のトピックを参照してください。

エンタープライズアプリケーションの追加

Google Play または Apple アプリケーションの追加

VPP アプリケーションの管理対象アプリケーションとしての追加
エンタープライズアプリケーションの追加
エンタープライズアプリケーションを追加してカスタマイズし、GlobalProtect アプリケーショ
ンストアでユーザーに配布できるようにします。エンタープライズアプリケーションの作成に
は、Mobile Security Manager でのアプリケーションバイナリファイルのインポート、およびアプ
リケーションストア向けのアプリケーションの説明のカスタマイズが含まれます。
iOS または Android エンタープライズアプリケーション
ステップ 1
アプリケーションバイナリファ追加するエンタープライズアプリケーションバイナリ
イルを見つけます。
ファイルが Mobile Security Manager へのインポートでアクセ
ス可能であることを確認するか、アプリケーションバイナ
リ URL を確認します。
• 簡単に Mobile Security Manager にインポートできるよう
に、アプリケーションバイナリファイルをローカルシ
ステムに保存します。
• アプリケーションバイナリファイルが外部サーバーに
保存されている場合は、アプリケーションバイナリ URL
を参照できます。アプリケーションをプッシュするモバ
イルデバイスは、アプリケーションバイナリ URL から
アプリケーションを直接ダウンロードします。
GlobalProtect 管理者ガイド
181
管理対象アプリケーションの追加
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理
iOS または Android エンタープライズアプリケーション（続き）
ステップ 2
Mobile Security Manager にエン 1.
タープライズアプリケーショ
ンを追加します。
2.
Mobile Security Manager で、[ アプリケーション ] > [ ストア ]
の順に選択して [ 追加 ] をクリックします。
3.
[ エンタープライズアプリケーション ] タブを選択し、
[ アプリケーション詳細 ] に詳細を入力します。
[ 名前 ] に分かりやすいアプリケーション名を入力しま
す。この名前は、管理者がアプリケーションを設定プ
ロファイルやポリシーに追加するときに簡単に認識で
きるようにするためのものです。これは GlobalProtect
アプリケーションストアに表示されるアプリケーショ
ンの名前ではありません（iOS アプリケーションの場
合、アプリケーションストアに表示されるアプリケー
ション名はアプリケーションのバイナリファイルから
抽出されます。Android アプリケーションの場合、次
のステップの説明に従って手動でアプリケーションの
名前を追加する必要があります）。
a. [OS] でアプリケーションの OS を選択します（[iOS]
または [Android]）。
b. エンタープライズアプリケーションバイナリファ
イルをアップロードします。
– アプリケーションがローカルシステムに保存され
ている場合は、そのバイナリを参照して [アプリケー
ションバイナリ ] を選択します。
– アプリケーションバイナリファイルが外部に保存
されている場合は、[ 外部サーバー] を選択してアプ
リケーションバイナリ URL を入力します。このア
プリケーションをデバイスにプッシュすると、ここ
で参照する URL から直接インストールされます。
c. （Android アプリケーションのみ）エンタープライズ
アプリケーションストアで表示されるアプリケー
ションの [ 表示名 ]、アプリケーションの [ パッケー
ジ名 ]、アプリケーションの [ バージョン ] に入力し
ます。
iOS アプリケーションでは、アプリケーション
バイナリファイルをインポートすると自動的
にこれらのフィールドが入力されます。
d. （任意）アプリケーションの [ デベロッパ名 ] と [ カ
テゴリ ] に入力します。ユーザーがアプリケーション
の用途を簡単に理解できるようにアプリケーション
を分類できます（たとえば「リファレンス」や「通
信」など）。
182
GlobalProtect 管理者ガイド
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理
管理対象アプリケーションの追加
iOS または Android エンタープライズアプリケーション（続き）
ステップ 3
（任意）アプリケーションの [ エンタープライズアプリケーション ] タブの [ アプリケー
アプリケーションストアでのションメタデータ ] サブタブを選択します。
外観と詳細をカスタマイズし • （Android のみ）[ アプリケーションアイコン ] で、エン
ます。
タープライズアプリケーションストアに表示されるア
プリケーションのアイコンを参照して選択します。
既存のエンタープライズ
アプリケーションの外観 • ユーザーがアプリケーションやその機能の使い方を理解
と詳細は、この手順を完
できる説明を [ 内容 ] に入力します。この内容は、[ アプ
了して変更をコミットす
リケーション詳細 ] に表示されます。
ることでいつでも変更で
• 既存のエンタープライズアプリケーションを変更して
きます。
いる場合は、以前のバージョン以降のアプリケーション
の更新内容を [ 新機能 ] に入力できます。
• アプリケーションの機能を強調したりアプリケーション
の表示例をユーザーに提供したりするため、[スクリーン
ショット] でアプリケーションのスクリーンショットを追
加します。対象となるディスプレイタイプに応じてス
クリーンショットを追加できます。
• （iOS アプリケーション）[3.5 インチ Retina ディルプ
レイ ]、[4 インチ Retina ディスプレイ ]、および [iPad]
（iPad と iPad Mini の両方に適用）用のスクリーン
ショットを追加します。
• （Android）[Android 携帯 ]、[7 インチタブレット ]、
または [10 インチタブレット] 用のスクリーンショッ
トを追加します。
ステップ 4
エンタープライズアプリケー [ 追加 ] をクリックし、設定を [ コミット ] します。
ションを保存します。
新しく作成したエンタープライズアプリケーションは、[ ス
トア ] > [ アプリケーション ] ページに管理対象アプリケー
ションとして表示されます。
ステップ 5
エンタープライズアプリケーアプリケーションストアのセットアップ。
ションをユーザーのデバイス
に配布します。
GlobalProtect 管理者ガイド
183
管理対象アプリケーションの追加
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理
Google Play または Apple アプリケーションの追加
Apple App Store または Google Play から一般に入手可能なアプリケーションを管理対象アプリ
ケーションとして Mobile Security Manager に追加できます。パブリックアプリケーションを管理
対象アプリケーションとして追加することで、ユーザーがビジネスで頻繁に使用するアプリ
ケーション（Box や Salesforce アプリケーションなど）を配布する一方で、アプリケーションや
アプリケーションがアクセスする企業データを保護できます。パブリックアプリケーションを
管理対象アプリケーションとして Mobile Security Manager に追加するには、以下の手順を実行し
ます。
Apple App Store または Google Play アプリケーションの追加
ステップ 1
管理対象アプリケーションと 1.
して追加するパブリックアプ
リケーションを選択します。 2.
[ ストア ] > [ アプリケーション ] の順に選択し、[ 追加 ]
をクリックします。
[名前] に分かりやすいアプリケーション名を入力します。
設定プロファイルまたはポリシーにアプリケー
ションを追加するときに、この名前を参照しま
す。Apple App Store または Google Play のアプリ
ケーション名は、引き続きユーザーに表示され
ます。
3.
[Apple App Store/Google Play] タブを選択します。
4.
Apple App Store または Google Play からアプリケー
ション URL を入力します。
[Apple App Store] および [Google Play] リンクを選択し、
アプリケーションの URL を参照することもできます。
5.
[ 追加 ] をクリックします。
ステップ 2
Apple App Store または Google Play 設定をコミットします。
管理対象アプリケーションを [ストア] > [アプリケーション] の順に選択し、管理対象
保存します。
パブリックアプリケーションおよびエンタープライズア
プリケーションのリストを表示します。
ステップ 3
パブリックアプリケーションアプリケーションストアのセットアップ。
にセキュリティ設定を適用
し、ユーザーのデバイスのア
プリケーションストアでユー
ザーにそのアプリケーション
を割り当てます。
184
GlobalProtect 管理者ガイド
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理
管理対象アプリケーションの追加
VPP アプリケーションの管理対象アプリケーションとしての追加
Apple Volume Purchase Program（VPP）を使用してアプリケーションを一括購入してから、Mobile
Security Manager を使用してそれらのアプリケーションを管理対象アプリケーションとしてユー
ザーに配布できます。VPP アプリケーションをデバイスに初めてプッシュするときに、ユー
ザーは Apple ID を使用して Apple に登録するように求められます。ユーザーの Apple ID は Apple
VPP サービスに登録され、Mobile Security Manager 管理者には表示されません。ユーザーが Apple
ID で正常にサインインして VPP サービスに登録すると、登録されたデバイスのデバイス
チェックイン時に、割り当てられた VPP リソースを受信できます。VPP アプリケーションは
Apple App Store から直接デバイスにプッシュされます。
以下のトピックでは、VPP 購入アプリケーションを Mobile Security Manager と同期して VPP アプ
リケーションの管理を続行する方法について説明します。

Apple VPP リソースと Mobile Security Manager の同期

Mobile Security Manager からの VPP リソースの管理
Apple VPP リソースと Mobile Security Manager の同期
VPP アカウントで購入したアプリケーションを Mobile Security Manager と同期できるようにするに
は、以下の手順を実行します。同期すると、一括購入したアプリケーションをユーザーに簡単
に配布できます。
Apple VPP リソースと Mobile Security Manager の同期
Apple のデプロイメントプログラムページ
（https://deploy.apple.com/qforms/web/index/avs）にアクセス
VPP への登録には Apple ID が
し、[Enroll Now] をクリックして Volume Purchase Program に
必要であり、組織の D-U-N-S
登録します。
番号を含む組織の詳細を Apple
に提供する必要があります。
ステップ 1
VPP に組織を登録します。
ステップ 2
VPP トークンを取得します。
ステップ 3
VPP アカウントを Mobile Security 1.
Manager と同期します。
VPP ストアには、MDM と統合するための Web インター
フェイスがあります。VPP ストアにログインしたら、
[Account Summary] に移動してトークンをダウンロードし、
Mobile Security Manager を VPP アカウントにリンクします。
[Setup] > [ 設定 ] > [ サーバー] の順に選択し、[Apple
Volume Purchase Program] セクションを選択します。
2.
[Volume Purchase Program] を選択します。
3.
ステップ 2 で Apple からダウンロードした VPP トーク
ンを [VPP トークン ] で選択し、[ インポート ] をクリッ
クしてインポートします。
Apple のポリシーにより、1 年ごとに新しいトー
クンが必要です。
GlobalProtect 管理者ガイド
185
管理対象アプリケーションの追加
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理
Apple VPP リソースと Mobile Security Manager の同期（続き）
ステップ 4
VPP への登録にユーザーを招待 1.
します。
この手順は、一度に多数
のユーザーを登録する場 2.
合にお勧めします。ただ 3.
し、VPP に登録していな
いユーザーは、初めて
VPP アプリケーションが
プッシュされたときに登
録を求められ、その時点
で登録を行い、VPP リ
ソースの受信を続行する
ことができます。
[Devices] タブで、一番上のチェックボックスを選択
し、VPP への登録にすべての管理対象デバイスを招待
するか、特定のデバイスを選択して招待します。
[アクション] を選択し、[VPP に招待] をクリックします。
[OK] をクリックします。
選択されたデバイスの GlobalProtect アプリケーション
に対して、VPP への登録にユーザーを招待するプッ
シュ通知が送信されます。
ステップ 5
VPP アプリケーションにセキュアプリケーションストアのセットアップ。
リティ設定を適用し、アプリ
ケーションストアでユーザー
にそのアプリケーションを配
布します。
ステップ 6
管理対象 VPP アプリケーション Mobile Security Manager からの VPP リソースの管理。
をモニターします。
186
GlobalProtect 管理者ガイド
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理
管理対象アプリケーションの追加
Mobile Security Manager からの VPP リソースの管理
VPP アプリケーションの管理対象アプリケーションとしての追加を行ったら、ユーザーに割り
当てた VPP アプリケーションを Mobile Security Manager から直接モニターおよび管理できます。
ユーザーまたはデバイスに対するアプリケーションの無効化、VPP への新規ユーザーの登録の
要求、または VPP リソースの受信が不要になったユーザーやデバイスの登録解除（ユーザーが
退職した場合やデバイスが非アクティブな場合など）を行うことができます。
Mobile Security Manager からの VPP リソースの管理
• VPP リソースとライセンスの詳細を確認し [ ストア ] > [Apple Volume Purchase Program] の順に選択
ます。
し、VPP アプリケーションの購入情報を表示します。この
ページには、購入したライセンス数（[ ライセンス数 ]）、
ユーザーまたはデバイスに割り当て可能なライセンス数
（[ 使用可能なライセンス ]）、および各 VPP アプリケー
ションで使用中のライセンス数（[回復されたライセンス]）
が表示されます。
• ユーザーまたは特定のデバイスのアプリ 1.
ライセンスを無効にします。
[ ストア ] > [Apple Volume Purchase Program] の順に選
択し、ユーザーまたはデバイスに対して無効にするア
プリケーションを選択します。
2.
[ライセンスのリターン ] をクリックし、アプリケーショ
ンが割り当てられているすべてのユーザーとデバイス
のポップアップリストを表示します。
3.
アプリケーションを無効にするユーザーまたはデバイス
を選択し、[ ライセンスのリターン ] をクリックします。
4.
アプリケーションのライセンスが返却されると、アプ
リケーションの継続使用、データの保存、またはその
アプリケーションの個人用バージョンの購入が可能な
30 日の猶予期間がユーザーに与えられることを示す通
知が Apple からデバイスに送信されます。
5.
ユーザーにデプロイされたポリシーからアプリケー
ションを削除し、次回のチェックイン時にそのアプリ
ケーションが同じユーザーに再割り当てされないよう
にします。
a. [Policies] > [ 設定 ] > [iOS] の順に選択し、デプロイ
されたポリシーでユーザーに関連付けられた設定プ
ロファイルを選択します。
b. [ アプリケーション ] タブで、[ 削除 ] をクリックして
ユーザーに対して無効にするアプリケーションを削
除し、[OK] をクリックします。
6.
GlobalProtect 管理者ガイド
設定をコミットします。
187
管理対象アプリケーションの追加
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理
Mobile Security Manager からの VPP リソースの管理（続き）
• 個別のポリシーデプロイメントで、選択し 1.
たユーザーを VPP への登録に招待します。
[Devices] タブで、VPP リソースを受信できるようにす
るデバイスを選択します。
2.
[ アクション ] を選択し、[VPP に招待 ] をクリックして
Apple VPP への登録に招待するプッシュ通知をユー
ザーに送信します。
3.
[OK] をクリックします。
• ユーザーによるすべての VPP リソースへ 1.
のアクセスと使用を無効にします。
[Devices] タブで、VPP リソースへのアクセスを無効に
するデバイスを選択します。
2.
[ アクション ] を選択し、[VPP の取り消し ] をクリックし
ます。
3.
[OK] をクリックします。
188
GlobalProtect 管理者ガイド
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理
アプリケーションストアのセットアップ
アプリケーションストアのセットアップ
エンタープライズアプリケーションストアをセットアップするには、Mobile Security Manager を
使用します。アプリケーションストアのセットアップには、設定プロファイルへの管理対象ア
プリケーションの追加と設定の定義による、管理対象デバイス内の管理対象ビジネスアプリ
ケーションとアプリケーションデータの保護が含まれます。設定プロファイルに管理対象アプ
リケーションを追加したら、GlobalProtect ポリシーデプロイメントを使用して管理対象アプリ
ケーションを対象ユーザーまたは幅広い利用者に割り当て、プッシュできます。管理対象アプ
リケーションは、GlobalProtect アプリケーションのエンタープライズアプリケーションストア
でユーザーに表示されます。
管理者が管理対象ビジネスアプリケーションをユーザーに配布し、ユーザーが自分に割り当て
られたアプリケーションを参照およびインストールできる一元的なアプリケーションストアを
セットアップするには、以下の手順を実行します。
アプリケーションストアのセットアップ
ステップ 1
アプリケーションストアでユー [ ストア ] タブを選択し、管理対象アプリケーションの表示
ザーに配布するアプリケーまたは管理対象アプリケーションの追加を行います。
ションが管理対象アプリケー
ションとして Mobile Security
Manager に追加されていること
を確認します。
ステップ 2
アプリケーショングループを作 1.
成します。
[ストア] > [アプリケーショングループ] の順に選択し、
[ 追加 ] をクリックします。
アプリケーションを設定プロ 2.
ファイルに簡単に追加できる
ように、アプリケーションを 3.
グループ化できます。
[ アプリケーショングループ ] の [ 名前 ] に分かりやすい
名前を入力します。
このグループ化は、一度に複
数のアプリケーションをユー
ザーにプッシュし、すべての
アプリケーションに同じ設定 4.
が必要な場合に役立ちます。
管理対象アプリケーションから、使用可能なエンター
プライズアプリケーション、Apple App Store アプリ
ケーション、Google Play アプリケーション、または
VPP 購入アプリケーションをアプリケーショングルー
プに含めます。
[OK] をクリックします。
アプリケーショングルー
プに iOS アプリケーショ
ンと Android アプリケー
ションの両方が含まれる
場合、デバイスの OS に
応じて異なるアプリケー
ションがプッシュされま
す。Android アプリケー
ションは Android デバイ
スにプッシュされ、iOS
アプリケーションは iOS
デバイスにプッシュされ
ます。
GlobalProtect 管理者ガイド
189
アプリケーションストアのセットアップ
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理
アプリケーションストアのセットアップ（続き）
ステップ 3
設定プロファイルに管理対象ア Android アプリケーションでは Android 設定プロファイルを使用
プリケーションを追加します。します。
1. [Policies] > [ 設定 ] > [Android] の順に選択し、[ 追加 ]
設定プロファイルを使用し
をクリックして新しい Android 設定プロファイルを追加
て、アプリケーションの [ アプ
するか、修正する既存のプロファイルを選択します。
リケーションごとの VPN] の有
効化やバックアップデータか 2. [ アプリケーション ] タブで [ 追加 ] をクリックし、管理
対象アプリケーションのリストから [ アプリケーション ]
らのアプリケーションの無効
を選択します。
化などを含む、アプリケー
ションのセキュリティ設定を 3. アプリケーションの [ インストールオプション ] で [ 必
須 ] または [ 省略可能 ] を選択します。必須アプリケー
定義します。
ションは、管理対象デバイスに自動的にインストール
されます。ユーザーは、自分に割り当てられた省略可
能アプリケーションを GlobalProtect アプリケーション
の [ アプリケーション ] 画面で表示および選択し、イン
ストールできます。
4.
（任意）[ 登録解除時にアプリケーションを削除 ] を選
択し、デバイスが GlobalProtect で管理されなくなった
場合にアプリケーションとアプリケーションデータを
自動的に削除します。
5.
[OK] をクリックします。
iOS アプリケーションでは iOS 設定プロファイルを使用します。
1.
[Policies] > [ 設定 ] > [iOS] の順に選択し、[ 追加 ] をク
リックして新しい iOS 設定プロファイルを追加する
か、修正する既存のプロファイルを選択します。
2.
[ アプリケーション ] タブで、[ 追加 ] をクリックして設定
プロファイルに新しいアプリケーションを追加します。
a. 管理対象アプリケーションのドロップダウンからア
プリケーションの [ 名前 ] を選択します。
b. アプリケーションの [ インストールオプション ] で
[ 必須 ] または [ 省略可能 ] を選択します。必須アプ
リケーションは、管理対象デバイスに自動的にイン
ストールされます。ユーザーは、自分に割り当てら
れた省略可能アプリケーションを GlobalProtect アプ
リケーションの [ アプリケーション ] 画面で表示およ
び選択し、インストールできます。
190
GlobalProtect 管理者ガイド
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理
アプリケーションストアのセットアップ
アプリケーションストアのセットアップ（続き）
c. （任意）追加オプションを有効にし、アプリケー
ションがデバイスにインストールされるときにアプ
リケーションとアプリケーショントラフィックを保
護します。
– すべてのアプリケーショントラフィックに VPN を
使用するアプリケーションで、[ アプリケーション
ごとの VPN] 設定を選択します。この機能をセッ
トアップする方法は、「ビジネストラフィックの
分離」を参照してください。
– [ 登録解除時にアプリケーションを削除 ] を選択
し、デバイスが GlobalProtect で管理されなくなった
場合にアプリケーションを自動的に削除します。
– [iCloud または iTunes へのバックアップを禁止 ] を
選択し、アプリケーションから iCloud または
iTunes へのデータ転送をブロックします。
– [ アプリケーション設定 ] に値を追加し、リモート
でアプリケーションの設定とデフォルトを定義で
きるようにします。詳細は、オンラインヘルプを
参照してください。
ステップ 4
3.
（任意）[ アプリケーションデータ制限 ] または [ ドメ
イン ] タブを選択し、アプリケーション、アカウン
ト、および Web ドメインでのデータのやりとりを制御
する設定を有効にします（「ビジネスデータの分離」
を参照）。
4.
[OK] をクリックして設定プロファイルを保存します。
設定プロファイルをデプロイメ 1.
ントポリシーに適用します。
[Policies] > [ ポリシー] の順に選択し、変更するポリ
シーを選択するか、[ 追加 ] をクリックして新しいポリ
シーを追加します。
デプロイメントポリシーの作
成手順の詳細は、「デプロイ 2.
メントポリシーの作成」を参
照してください。
3.
[ ユーザー] と [HIP プロファイル ] に選択されているデ
フォルトの [any] をそのままにし、管理対象アプリ
ケーションをすべてのユーザーとすべての管理対象デ
バイスにプッシュします。
[ 設定 ] を選択して [ 追加 ] をクリックし、[iOS] または
[Android] 設定プロファイルを追加します。
ルールが iOS と Android デバイスの両方に一致す
るように設計されている場合、別の設定プロ
ファイルを関連付けます。
4.
ステップ 5
変更を保存します。
GlobalProtect 管理者ガイド
[OK] をクリックしてポリシーを保存します。
[Commit] をクリックします。
191
アプリケーションの管理およびモニター
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理
アプリケーションの管理およびモニター
Mobile Security Manager を使用して、継続的にユーザーに配布されたアプリケーションを管理
し、登録済みデバイスにインストールされたアプリケーションの可視性を得ることができま
す。ユーザーに配布されたアプリケーションを管理するには、以下の表で説明されている設定
を使用します。
VPP のアプリケーションとライセンスの管理方法の詳細は、「Mobile Security Manager からの
VPP リソースの管理」を参照してください。
アプリケーションストアの管理
• デバイスの管理対象アプリケーションを [ デバイス ] を選択します。
表示します。
• [ 管理アプリケーション ] 列に、各エントリで管理されてい
るインストール済みアプリケーションが表示されます。
• デバイスのエントリ詳細を選択します。HIP レポートの
[ インストール済みアプリケーション - 管理対象 ] に、選
択したデバイス内の管理されているインストール済みア
プリケーションのリストが表示されます。
• （iOS のみ）アプリケーションの自動更新管理対象アプリケーションのバージョンを自動的に更新す
を有効にします。
るスケジュールを設定します。すべての管理対象アプリ
ケーションは、Apple App Store で入手可能な最新バージョ
ンに更新されます。
1. [Setup] > [ 設定 ] > [ サーバー] > [ アプリケーションの
自動更新スケジュール] の順に選択し、[アプリケーショ
ンの自動更新スケジュール ] を編集します。
2.
管理対象アプリケーションを更新する頻度を [ 毎日 ] ま
たは [ 毎週 ] に設定します。
アプリケーションの自動更新のデフォルト設定
は [なし] であるため、デフォルトでは無効になっ
ています。
3.
192
[OK] をクリックします。
GlobalProtect 管理者ガイド
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理
アプリケーションの管理およびモニター
アプリケーションストアの管理（続き）
• デバイス内の管理されていないアプリ 1.
ケーションのリストを収集（または除
外）します。
管理されていないアプリケーションのデータ収集を設
定します（または、管理対象外のアプリケーション
データ収集を除外します）。
a. [Policies] > [ ホスト情報 ] > [ データ収集 ] の順に選
択し、[ データ収集除外 ] を編集します。
b. 非管理対象アプリケーションのデータを除外または
収集します。
– 管理されていないアプリケーションはレポートに
含めない — デバイス内の管理されていないアプリ
ケーションのリストは収集されません。非管理対
象アプリケーションからデータは収集されませ
ん。非管理対象アプリケーションが管理対象デバ
イスにインストールされているかどうか、および
どのアプリケーションが非管理対象アプリである
かはレポートに含まれません。
– 管理されていないアプリケーションをレポートに
含める — デバイス内の管理されていないアプリ
ケーションのリストが収集されます。この場合、
アプリケーションのデータは収集されず、管理対
象外としてアプリケーションの名前と状態がレ
ポートに表示されます。
c. [OK] をクリックします。
2.
管理されていないアプリケーションをレポートに含め
る場合は、単一デバイス内の管理されていないアプリ
ケーションのリストを表示できます。
[ デバイス ] を選択し、デバイスのエントリ詳細を選択し
ます。HIP レポートの [インストール済みアプリケーショ
ン - 非管理対象] に、選択したデバイス内の管理されて
いないアプリケーションのリストが表示されます。
GlobalProtect 管理者ガイド
193
アプリケーションの管理およびモニター
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理
アプリケーションストアの管理（続き）
• アラートを有効にしてカスタマイズし、非
管理対象バージョンのアプリケーションま
たは Exchange アカウントをデバイスから削
除するようにユーザーに指示します。
[ 管理対象アプリケーション / アカウント通知を有効化 ] を
選択し、デバイスにインストールされている非管理対象
バージョンのアプリケーションまたは Exchange アカウント
を削除するようにユーザーに指示します。この通知は、管
理対象アプリケーションまたはアカウント設定をデバイス
にプッシュ済みで、非管理対象バージョンのアプリケー
ションまたはアカウントがすでにインストールされている
場合にユーザーに表示されます。管理対象アプリケーショ
ンおよび Exchange アカウント設定は、ユーザーが同じアプ
リケーションの非管理対象バージョンを削除したとき、ま
たは現在の Exchange アカウント設定を削除したときにのみ
デバイスにプッシュされます。
この通知を使用して、非管理対象アプリケーションまたは
アカウント設定をデバイスから削除するようにユーザーに
自動的に指示します。
デフォルトメッセージを使用するか、組織独自のメッセー
ジにカスタマイズできます。
1. [Setup] > [ 設定 ] > [ サーバー] タブで、[ 管理アプリケー
ション / アカウント通知設定 ] を編集します。
2.
[ 管理対象アプリケーション通知を有効化 ] を選択し、必
要に応じてデフォルトの [ メッセージ ] を変更します。
3.
[OK] をクリックします。
ユーザーが非管理対象アプリケーションまたはアカウント
設定をデバイスから削除すると、次回のデバイスチェック
イン時に Mobile Security Manager から管理対象アプリケーショ
ンまたはアカウント設定が自動的にプッシュされます。
194
GlobalProtect 管理者ガイド
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理
ビジネストラフィックの分離
ビジネストラフィックの分離
モバイルデバイスのビジネスアプリケーションからのトラフィックは企業 VPN を経由するよ
うにし、ビジネストラフィックをモバイルデバイスの個人トラフィックと分離することができ
ます。
管理対象モバイルデバイスのビジネストラフィックを分離するには、Mobile Security Manager の
[ アプリケーションごとの VPN] 設定を使用します。この機能では、ビジネスアプリケーション
からのトラフィックが必ず企業 VPN を経由するように指定できます。アプリケーションごとの
VPN は、ユーザーが個人デバイスを使用して組織のネットワークにアクセスする場合に特に役
立ちます。この場合にアプリケーションごとの VPN を有効にすると、管理対象アプリケーショ
ンの企業データが確実に VPN を経由して流れ、非管理対象アプリケーションの個人データは
VPN を経由しなくなります。
アプリケーションごとの VPN が有効になっているビジネスアプリケーションでは、設定され
た VPN にアプリケーションが接続できない場合、ユーザーはそのアプリケーションを使用でき
ず、安全な接続が確立されるまでトラフィックは送信されません。
管理対象アプリケーションにアプリケーションごとの VPN をセットアップするには、Mobile
Security Manager を使用します。アプリケーションごとの VPN のセットアップには、アプリケー
ションごとの VPN で使用する VPN 設定の有効化、および管理対象アプリケーションまたはア
プリケーショングループに対するアプリケーションごとの VPN の有効化が含まれます。
.
iOS アプリケーションでのビジネストラフィックの分離
ステップ 1
VPN を使用するアプリケーショ [ ストア ] タブを選択し、管理対象アプリケーションの表示
ンが Mobile Security Manager にまたは管理対象アプリケーションの追加を行います。
管理対象アプリケーションと
して追加されていることを確
認します。
ステップ 2
（任意）トラフィックが企業アプリケーショングループを作成します。
VPN を経由して流れるように
するアプリケーションを含む
アプリケーショングループを
作成します。
各アプリケーションを個
別に有効にする代わり
に、アプリケーションを
グループ化して一度に複
数のアプリケーションに
対してアプリケーション
ごとの VPN を有効にし
ます。
GlobalProtect 管理者ガイド
195
ビジネストラフィックの分離
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理
iOS アプリケーションでのビジネストラフィックの分離（続き）
ステップ 3
アプリケーションごとの VPN 1.
に使用する VPN 設定を有効に
します。
[Policies] > [ 設定 ] > [iOS] の順に選択し、[ 追加 ] をク
リックして新しい iOS 設定プロファイルを追加する
か、修正する既存のプロファイルを選択します。
新しい設定プロファイルの場合、プロファイルの識別
情報を入力し、必要に応じてその他の設定と制限を定
義します。詳細は、「iOS 設定プロファイルの作成」
を参照してください。
2.
[VPN] で、アプリケーションごとの VPN で有効にする
VPN 設定を選択します。
新しい GlobalProtect VPN 設定を作成する方法
は、「GlobalProtect VPN 設定の定義」を参照し
てください。
196
GlobalProtect 管理者ガイド
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理
ビジネストラフィックの分離
iOS アプリケーションでのビジネストラフィックの分離（続き）
ステップ 4
管理対象アプリケーションの 1.
VPP 設定を定義します。
[VPN タイプ ] を選択し、[アプリケーションごとの VPN
（設定されたアプリケーションは VPN を介してトラ
フィックを送信します）] を有効にします。
この設定が有効な場合、モバイルデバイスの管理対象
アプリケーションからのすべてのトラフィックは VPN
を経由します。
2.
[VPN オンデマンド ] に似た [ アプリケーションごとの
VPN オンデマンドの有効化 ] をオンにし、アプリケー
ションごとの VPN が有効なアプリケーションが起動さ
れるときに、そのアプリケーションの VPN 接続を自動
的にトリガーします（[ アプリケーションごとの VPN]
を有効にしただけでは、アプリケーションの起動時に
VPN 接続は確立されません。アプリケーションのデー
タが VPN を介して流れるようになるだけです）。
3.
モバイルデバイスからアクセスされている場合、Safari
Web ドメインで VPN 接続がトリガーされるようにしま
す。[ 追加 ] をクリックして IP アドレス、ホスト名、ド
メイン名またはサブネットを [Safari ブラウザで一致
するドメイン ] に追加します。VPN 接続が確立される
と、その Safari セッションのすべてのトラフィックが
VPN を経由します。
たとえば、会社のオフィスにいないユーザーがリモー
トで社内サイトにアクセスした場合、VPN 接続がトリ
ガーされてユーザーがそのサイトに正常にアクセスで
きるようにするため、一致するドメインとして社内サ
イトを追加できます。
企業サイトまたはモバイルデバイスで開かれる
ドキュメントや添付ファイルを制御する場合、
Safari の Web ドメインから開かれるドキュメント
は管理対象ビジネスアプリケーションまたはア
カウントでのみ開くことができるように指定で
きます。「ビジネスデータの分離」を参照して
ください。
4.
GlobalProtect 管理者ガイド
[OK] をクリックして管理対象アプリケーションの VPN
設定を保存します。
197
ビジネストラフィックの分離
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理
iOS アプリケーションでのビジネストラフィックの分離（続き）
ステップ 5
ステップ 6
アプリケーションまたはアプ 1.
リケーショングループに対し
てアプリケーションごとの
VPN を有効にします。
引き続き同じ設定プロファイルで [アプリケーション] を
選択し、[追加] をクリックしてアプリケーショングルー
プ（または個別アプリケーション）を設定プロファイル
に追加するか、変更する既存のアプリケーションまたは
アプリケーショングループを選択します。
2.
[ アプリケーションごとの VPN] ドロップダウンで、ア
プリケーションごとの VPN 用に有効にした VPN 設定
を選択します。
iOS 設定プロファイルを保存し 1.
ます。
2.
次のステップ ...
[OK] をクリックして iOS 設定プロファイルを保存し
ます。
変更をコミットします。
• すでにデプロイメントポリシーに関連付けられている既
存の設定プロファイルを変更した場合、次回のデバイス
チェックイン時に、ビジネストラフィックを分離するた
めの更新された設定がユーザーにプッシュされます。
• 新しい設定プロファイルを作成した場合は、設定プロ
ファイルをデプロイメントポリシーに関連付けて続行し
ます。「デプロイメントポリシーの作成」を参照してく
ださい。
198
GlobalProtect 管理者ガイド
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理
ビジネスデータの分離
ビジネスデータの分離
ユーザーは標準の [ 次で開く ] オプションを使用して、モバイルデバイスでビジネスドキュメン
トを開いたり、ドキュメントを元の場所から転送したりできます。このオプションでは、ユー
ザーがモバイルデバイスの異なるアプリケーションまたはアカウントでドキュメント、電子
メールアカウント、または Web ドメインを開くことができます。モバイルデバイス内のビジネ
スデータを分離して保護するため、モバイルデバイスでビジネスドキュメントを開いて共有
するアプリケーションとアカウントを制御し、企業ドメインに属さない連絡先に電子メールが
送信されるときにユーザーに注意を促します。これを行うには、管理対象ビジネスアカウン
ト、管理対象アプリケーション、および管理対象 Web ドメイン（Safari ブラウザアプリ）の [ 次
で開く] オプションを制御する設定を有効にし、それらのアプリケーション、アカウント、およ
びドメインのビジネスデータを保護して企業ネットワークの外部で共有されないようにしま
す。この機能では、[ 次で開く ] オプションは移動には使用できません。たとえば、管理下にな
く、簡単に再配布が可能で失われる可能性がある個人アプリケーションに企業イントラネット
内にある機密ドキュメントを移動することはできません。
ビジネスデータを分離するオプションでは、メールアプリケーションでネットワークの外部の
電子メール連絡先を強調表示することもできます。これにより、ユーザーが電子メールを作
成、転送、または返信するときにその受信者が社外ユーザーであるかどうかを識別できます。
ビジネスデータを管理対象アプリケーションおよびアカウントに分離するには、[ アプリケーショ
ンデータ制限 ] および [ 管理対象ドメイン ] 設定を有効にします。これらの設定を選択的または
包括的に適用してビジネスデータを分離できます。
iOS アプリケーションでのビジネスデータの分離
ステップ 1
iOS 設定プロファイルを追加ま 1.
たは変更します。
[Policies] > [ 設定 ] > [iOS] の順に選択し、[ 追加 ] をク
リックして新しい iOS 設定プロファイルを追加する
か、修正する既存のプロファイルを選択します。
新しい設定プロファイルの場合、プロファイルの識別
情報を入力し、必要に応じてその他の設定と制限を定
義します。詳細は、「iOS 設定プロファイルの作成」
を参照してください。
2.
GlobalProtect 管理者ガイド
新しい設定プロファイルを作成する場合は、[アプリケー
ション ] タブを選択して [ 追加 ] をクリックし、[ アプ
リケーションデータ制限 ] を適用するアプリケーショ
ンまたはアプリケーショングループを追加します。
199
ビジネスデータの分離
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理
iOS アプリケーションでのビジネスデータの分離（続き）
ステップ 2
モバイルデバイスでビジネスド
キュメントを開くことができ
るアプリケーションとアカウ
ントを制御します。
[アプリケーションデータ制限] タブを選択し、[アプリケー
ションデータ制限 ] を有効にします。以下のいずれかまた
は両方のオプションを選択します。
• 管理対象アプリケーションおよびアカウントからの非管
理対象アプリケーションの [ 次で開く ] オプションの使用
をブロック
管理対象アプリケーションおよびアカウントから、個人
アプリケーションまたはアカウント（管理されていない
アプリケーションまたはアカウント）のファイルを開け
ないようにします。
• 非管理対象アプリケーションおよびアカウントからの管
理対象アプリケーションの [ 次で開く ] オプションの使用
をブロック
個人アプリケーションおよびアカウントから、管理対象
アプリケーションのファイルを開けないようにします。
ステップ 3
Safari Web ドメインからビジネス 1.
ドキュメントを開くことがで
きるアプリケーションとアカ 2.
ウントを制御します。
[ ドメイン ] タブを選択し、[ 管理対象ドメイン ] を有効
にします。
[Safari ブラウザ用のドメイン ] にドメインを追加します。
追加したドメイン（企業サイトなど）のドキュメント
または添付ファイルを開くことができるのは、モバイ
ルデバイスの他の管理対象ビジネスアプリケーション
のみです。
この設定では Safari アプリケーションのユーザーの [ 次
で開く] オプションを制御できるため、ステップ 2 で有
効にした [ アプリケーションデータ制限 ] に従って適用
されます。
ステップ 4
ネットワークの外部の電子メー引き続き [ ドメイン ] タブで [ 追加 ] をクリックし、企業ドメ
ル連絡先をメールアプリケーインなどを [メールアプリケーションで強調表示されるドメ
ションで強調表示します。
イン ] テーブルに追加します。
追加したドメインに属さない電子メール連絡先がメールア
プリケーションで強調表示されます。
企業ドメインを追加した場合は、企業ドメインに属さない
電子メール連絡先を受信者としてユーザーが電子メールを
作成、転送、または返信するときに、メールアプリケー
ションでその受信者が強調表示されます。これにより、
ユーザーが機密データまたはビジネス関連データが含まれ
る電子メールをネットワークの外部に送信しないように注
意できます。
200
GlobalProtect 管理者ガイド
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理
ビジネスデータの分離
iOS アプリケーションでのビジネスデータの分離（続き）
ステップ 5
iOS 設定プロファイルを保存し 1.
ます。
2.
次のステップ ...
[OK] をクリックして iOS 設定プロファイルを保存し
ます。
変更をコミットします。
• すでにデプロイメントポリシーに関連付けられている既
存の設定プロファイルを変更した場合、次回のデバイス
チェックイン時に、更新された [ アプリケーションデー
タ制限] および [管理対象ドメイン] 設定がユーザーにプッ
シュされます。
• 新しい設定プロファイルを作成した場合は、設定プロ
ファイルをデプロイメントポリシーに関連付けて続行し
ます。「デプロイメントポリシーの作成」を参照してく
ださい。
GlobalProtect 管理者ガイド
201
単一アプリケーションモードの有効化
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理
単一アプリケーションモードの有効化
単一アプリケーションモードでは、そのアプリケーション内で使用可能なタスクまたは機能の
みをユーザーが実行するように、デバイスの使用を単一 iOS アプリケーションに制限できます。
単一アプリケーションモードは内部で開発されたアプリケーション、パブリックアプリケー
ション、または購入アプリケーションで有効にすることができるため、店舗、レストラン、美
術館、大学、交通の拠点など、商業や教育用の設定における強力なツールとなります。たとえ
ば、客が端末でメニューを見て注文できるカジュアルレストランや、生徒が安全に試験を受け
たり集中してプロジェクトを完了したりするためにデバイスを提供する大学で、単一アプリ
ケーションモードを実装できます。組織では、会社所有のデバイスが指定した目的のために一
貫して効率的かつ効果的に使用されるようにするため、およびユーザーがガイドに従い簡単に
選択的タスクを実行できるようにするため、単一アプリケーションモードを実装できます。
Mobile Security Manager の新しい [ アプリケーションロック ] 設定では単一アプリケーションモード
がサポートされ、ロックされたアプリケーションの使用中にデバイスの機能を調整、オーバーラ
イド、または適用するオプションがあります。
[ アプリケーションロック ] 設定を有効にすると、以下の操作を実行できます。

デバイスを特定のアプリケーションの使用専用にする。

音量、着信音スイッチ、スリープ / スリープ解除などのハードウェアボタンを無効にする。

VoiceOver、ズーム機能、選択項目の読み上げ、AssistiveTouch などの機能を有効にし、アプリ
ケーションの使用を容易にする（これは、ハードウェア機能が無効な場合に、制限された機
能をユーザーに提供する場合に役立ちます）。

画面の回転や自動ロックなどのデフォルトの機能を無効にします。
アプリケーションのロック設定を選択的に有効または無効にすることで、制御された環境内の
選択した目的にデバイスと特定のアプリケーションが使用されるようにします。特定のデバイ
スまたは一度に複数のデバイスに対して単一アプリケーションモードを有効にするには、以下
の手順を実行します。
単一アプリケーションモードの有効化
ステップ 1
202
ロックする iOS アプリケーショ [ ストア ] タブを選択し、管理対象アプリケーションの表示
ンが Mobile Security Manager でまたは管理対象アプリケーションの追加を行います。
管理されていることを確認し
ます。
GlobalProtect 管理者ガイド
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理
単一アプリケーションモードの有効化
単一アプリケーションモードの有効化（続き）
ステップ 2
ロックされたアプリケーショ 1.
ンを管理対象デバイスにプッ
シュするため専用の設定プロ 2.
ファイルを作成します。
設定プロファイルのセット
アップ時に使用可能な他のオ 3.
プションの詳細は、「設定プ
ロファイルの作成」を参照し 4.
てください。
5.
[Policies] > [ 設定 ] > [iOS] の順に選択し、[ 追加 ] をク
リックします。
iOS 設定プロファイルの [ 名前 ] に参照用の分かりやす
い名前（「ロックされたメニューアプリケーション」
など）、[ 表示名 ] にユーザーに表示される名前（「メ
ニュー」など）、[ 識別子 ] に識別子を入力します。
[ アプリケーションロック ] サイドタブを選択し、[ ア
プリケーションロック ] を有効にします。
[ アプリケーション名 ] で、ロックするアプリケーショ
ンの名前を選択します。
必要に応じて、ロックされるアプリケーションに適用す
る設定を選択します。アプリケーションのアクセスや使
用を容易にするため、以下の設定を使用してデバイス
の機能をオーバーライドしたり適用したりできます。
• タッチの無効化 — デバイスの基本的なタッチコント
ロール（ピンチやタップなど）を無効にします。
• 音量ボタンの無効化 — 音量を調整できないように、
音量ボタンを無効にします。
• スリープ / スリープ解除ボタンの無効化 — デバイス
をスリープ状態にしたり再起動したりできないよう
に、スリープ/スリープ解除ボタンを無効にします。
• VoiceOver の有効化 — デバイスでの移動、テキスト
入力、その他のタスクの実行に音声による読み上げ
を使用できる、VoiceOver コントロールを有効にし
ます。VoiceOver によって、ユーザーがデバイスの
画面でタップした項目が読み上げられます。
• 色の反転の有効化 — 色の反転を有効なままにしま
す。色の反転表示では、色がハイコントラスト表示
になるため、さまざなま視覚障害があるユーザーに
とって役立つ可能性があります。
• 選択項目の読み上げの有効化 — 選択項目の読み上げ
を有効なままにします。
• 画面の回転の無効化 — 画面の回転をオフにします。
• 着信音スイッチの無効化 — デバイスのサウンドを消
音にすることができないように、着信音スイッチ機
能を無効にします。
• 自動ロックの無効化 — 一定期間の経過後に画面をス
リープ状態にする、デバイスの自動ロック機能を無
効にします。
• ズーム機能の有効化 — 3 本指でタップしてドラッグ
することでデバイスの画面を拡大できる、ズーム機
能を有効にします。
• AssistiveTouch の有効化 — ユーザーの操作方法を変
更し、対応する支援アクセサリを使用できる、
AssistiveTouch を有効にします。
• モノラルオーディオの有効化 — すべてのオーディ
オをモノラルチャンネルで再生できるように、モノ
ラルオーディオを有効にします。
6.
GlobalProtect 管理者ガイド
[OK] をクリックして設定プロファイルを保存します。
203
単一アプリケーションモードの有効化
エンタープライズアプリケーションストアでのビジネスアプリケーションおよびデータの管理
単一アプリケーションモードの有効化（続き）
ステップ 3
ロックされたアプリケーション 1.
をデバイスにプッシュする新し
いポリシーを作成します。
2.
[Policies] > [ ポリシー] の順に選択し、[ 追加 ] をクリッ
クします。
作成方法は「設定プロファイル 3.
の作成」を参照してください。
[ ユーザー/HIP プロファイル ] タブを選択し、このポリ
シールールの設定の一致をどのように決定するかを指
定します。
[名前] に分かりやすいポリシールール名を入力します。
• この設定を特定のユーザーまたはグループにデプロ
イするには、[ユーザー] セクションの [追加] をクリッ
クし、この設定を受信するユーザーまたはグループ
をドロップダウンリストから選択します。追加する
ユーザーまたはグループごとにこの手順を繰り返し
ます。
• この設定を特定の HIP プロファイルに一致するデバ
イスにデプロイするには、[HIP プロファイル ] セク
ションで [ 追加 ] をクリックし、次に HIP プロファイ
ルを選択します。
ステップ 4
204
変更を保存します。
4.
[設定 ] を選択して [追加 ] をクリックし、ステップ 2 で
作成したロックされたアプリケーション用の iOS 設定
プロファイルを追加します。
5.
[OK] をクリックします。
設定をコミットします。
GlobalProtect 管理者ガイド
ポリシー適用におけるホスト情報の使用
企業のネットワークの境界に厳重なセキュリティを実装していたとしても、実際にはアクセス
するエンドデバイスと同じ程度の安全性しか保たれません。モバイルの浸透が進む最近の仕事
環境では、空港、カフェ、ホテルなどのさまざまな場所から、企業が支給するデバイスや個人
用などの多様なデバイスを使用して企業のリソースにアクセスできることが当然とみなされつ
つあります。必然的に、エンドポイントに対するネットワークのセキュリティを拡張し、包括
的で一貫性のあるセキュリティを確実に適用することが求められます。GlobalProtect ホスト情
報プロファイル（HIP）の機能によって、最新のセキュリティパッチおよびウイルス対策の定
義がインストールされているか、ディスク暗号化が有効になっているか、デバイスが jailbreak
または root 化されていないか（モバイルデバイスのみ）、カスタムアプリケーションを含む組
織内で必要な特定のソフトウェアが実行されているかなどの、エンドホストのセキュリティ状
態に関する情報を収集し、定義したホストポリシーを準拠していることを基準に、特定のホス
トへのアクセスを許可する判断材料にすることができます。
以下のトピックでは、ポリシー適用でホスト情報を使用する方法について説明します。この章
は、以下のセクションで構成されています。

ホスト情報について

HIP ベースのポリシー適用の設定

クライアントからのアプリケーションおよびプロセスデータの収集
GlobalProtect 管理者ガイド
205
ホスト情報について
ポリシー適用におけるホスト情報の使用
ホスト情報について
GlobalProtect エージェントの役割のひとつに、このエージェントが実行されているホストに関
する情報の収集があります。エージェントは GlobalProtect ゲートウェイに正常に接続される
と、ゲートウェイにこのホスト情報を送信します。ゲートウェイは、エージェントが送信した
この生ホスト情報を、定義されている HIP オブジェクトおよび HIP プロファイルと照合しま
す。一致していると認められた場合、HIP マッチログにエントリが生成されます。さらに、ポ
リシールールで HIP プロファイルの一致が認められると、対応するセキュリティポリシーが適
用されます。
ポリシーの適用にホスト情報を使用することで、重要なリソースにアクセスするリモートホス
トが適切に整備された、セキュリティ標準に準拠した粒度の細かいセキュリティを実現でき、
その後に、ネットワークリソースへのアクセスを許可できます。たとえば、機密データシステ
ムへのアクセスを許可する前に、データにアクセスするホストのハードドライブの暗号化を確
実に有効にすることが必要になる場合があります。クライアントシステムで暗号化が有効に
なっている場合のみアプリケーションへのアクセスを許可するセキュリティルールを作成し
て、このポリシーを適用できます。さらに、このルールに準拠していないクライアントに対し
て、アクセスが拒否された理由をユーザーに警告し、欠落している暗号化ソフトウェアのイン
ストールプログラムにアクセスできるファイル共有にリンクする通知メッセージを作成できま
す（当然、ユーザーにそのファイル共有へのアクセスを許可するために、特定の HIP プロファ
イルと一致するホストの特定の共有へのアクセスを許可する、対応するセキュリティルールを
作成する必要があります）。

GlobalProtect エージェントが収集するデータ

ゲートウェイがポリシー適用でホスト情報を使用する方法

システムの準拠を確認する方法

エンドクライアントの状態の表示方法
GlobalProtect エージェントが収集するデータ
デフォルトでは、GlobalProtect エージェントは、コンピュータで実行されているエンドユー
ザーセキュリティパッケージに関するベンダー固有のデータを収集し（OPSWAT グローバル
パートナーシッププログラムがまとめるように）、ポリシー適用で使用するためにこのデータ
を GlobalProtect ゲートウェイにレポートします。
セキュリティソフトウェアは、エンドユーザー保護の徹底のために進化を継続する必要があり
ますが、GlobalProtect ポータルおよびゲートウェイライセンスにより、各パッケージに利用で
きる最新のパッチおよびソフトウェアバージョンを GlobalProtect データファイルのダイナミッ
ク更新によって取得できるようにもなります。
エージェントは、エージェントが実行されているホストに関する広範囲のデータを収集します
が、ネットワークに接続したり、特定のリソースにアクセスしたりするために、エンドユー
ザーに追加のソフトウェアを実行させることが必要になる可能性があります。この場合、カス
タムチェックを定義して、特定のレジストリ情報（Windows クライアント）、設定リスト
（plist）情報（Mac OS クライアント）の収集や、ホストで特定のサービスが実行されているか
どうかに関する情報の収集をエージェントに指示することができます。
206
GlobalProtect 管理者ガイド
ポリシー適用におけるホスト情報の使用
ホスト情報について
エージェントは、デフォルトで、ホストのセキュリティ状態の特定に役立つ以下の情報のカテ
ゴリに関するデータを収集します。
表 : データ収集カテゴリ
カテゴリ
収集されるデータ
全般
ホスト名、ログオンドメイン、オペレーティングシステム、クライア
ントバージョン、Windows システムの場合はマシンが属するドメイン
などの、ホスト自体に関する情報。
Windows クライアントのドメインの場合、GlobalProtect エージェ
ントは、ComputerNameDnsDomain について定義されているドメイ
ンの情報を収集します。このドメインは、ローカルコンピュー
タまたはローカルコンピュータに関連付けられているクラスタ
に割り当てられる DNS ドメインです。HIP マッチログの詳細
（[Monitor] > [HIP マッチ ]）で、Windows クライアントの [ ドメ
イン ] について表示されるのがこのデータです。
パッチ管理
ホストで有効化またはインストールされているパッチ管理ソフトウェ
アと、パッチが欠落しているかどうかに関する情報。
ファイアウォール
ホストにインストールまたは有効化されているクライアントファイア
ウォールに関する情報。
アンチウイルス
ホストで有効化またはインストールされているアンチウイルスソフト
ウェア、リアルタイム保護が有効かどうか、ウイルス定義バージョ
ン、最終スキャン時間、ベンダー名と製品名に関する情報。
アンチスパイウェア
ホストで有効化またはインストールされているアンチスパイウェアソ
フトウェア、リアルタイム保護が有効かどうか、ウイルス定義バー
ジョン、最終スキャン時間、ベンダー名と製品名に関する情報。
ディスクバックアップ
ディスクバックアップソフトウェアがインストールされているかどう
か、最終バックアップ時間、ソフトウェアのベンダー名と製品名に関
する情報。
ディスク暗号化
ディスク暗号化ソフトウェアがインストールされているかどうか、ど
のドライブやパスに暗号化が設定されているか、ソフトウェアのベン
ダー名と製品名に関する情報。
データ損失防止
企業の機密情報が企業のネットワークから持ち出されたり、安全でな
い可能性があるデバイスに保存されたりすることを防ぐための、デー
タ損失防止（DLP）ソフトウェアがインストールまたは有効化されて
いるかどうかに関する情報。この情報は、Windows クライアントから
のみ収集されます。
GlobalProtect 管理者ガイド
207
ホスト情報について
ポリシー適用におけるホスト情報の使用
カテゴリ
収集されるデータ
モバイルデバイス
モデル番号、電話番号、製造番号、IMEI（International Mobile Equipment
Identity）番号などの、モバイルデバイスに関する識別情報。またエー
ジェントは、パスコードが設定されているかどうか、デバイスが
jailbreak されているかどうか、Mobile Security Manager が管理するデバイ
スにインストールされているアプリケーションのリスト、マルウェア
として知られるアプリケーションがデバイスに存在するかどうか
（Android デバイスのみ）、また必要に応じて、デバイスの GPS ロー
ケーション、および Mobile Security Manager によって管理されないアプ
リケーションのリストなど、デバイスの特定の設定に関する情報を収
集します。なお、iOS デバイスでは、GlobalProtect アプリケーションに
よって収集される情報と、オペレーティングシステムによって直接レ
ポートされる情報があります。GlobalProtect Mobile Security Manager を使
用している場合、Mobile Security Manager は、登録されているモバイル
デバイスから拡張 HIP 情報を収集し、その情報をゲートウェイと共有
してポリシー適用で使用します。詳細は、「Mobile Security Manager への
ゲートウェイアクセスの有効化」を参照してください。
特定のカテゴリの情報を除外して特定のホストで収集されないようにすることができます（こ
れにより、CPU サイクルを節約し、クライアントの応答時間を改善することができます）。こ
れを行うには、関心のないカテゴリを除外するクライアント設定をポータル上で行います。た
とえば、クライアントシステムでディスクバックアップソフトウェアが動作しているかどう
かに基づいてポリシーを作成しない場合に、そのカテゴリを除外すると、エージェントはディ
スクバックアップに関する情報を収集しなくなります。
ユーザーのプライバシーを守るため、個人のデバイスからの情報収集を除外するようにするこ
ともできます。これには、デバイスのロケーションの除外と、Mobile Security Manager によって
管理されない、デバイスにインストールされているアプリケーションのリスト（個人のアプリ
ケーション）の除外が含まれます。Mobile Security Manager を使用して、これら両方のタイプの
情報をモバイルデバイスから収集する対象情報から除外します（[Policies] > [ ホスト情報 ] >
[ データ収集 ]）。
208
GlobalProtect 管理者ガイド
ポリシー適用におけるホスト情報の使用
ホスト情報について
ゲートウェイがポリシー適用でホスト情報を使用する方法
エージェントが、収集する情報に関する情報を、ポータルからダウンロードされたクライアン
トの設定から取得する一方で、ゲートウェイには HIP オブジェクトおよび HIP プロファイルを
作成し、モニタリングやポリシー適用の対象となるホストの属性を定義しておきます。

HIP オブジェクト — 一致条件によって関心のあるホスト情報のみを抽出し、ポリシーを適用
するために使用します。たとえば、生ホストデータに、クライアントにインストールされて
いる複数のアンチウイルスパッケージに関する情報が含まれていて、関心のあるのは、組織
内で必要とする特定の 1 つのアプリケーションである場合があります。この場合は、適用に
おいて関心のある特定のアプリケーションに一致する HIP オブジェクトを作成します。
必要な HIP オブジェクトを判別する最良の方法は、収集したホスト情報をどのように使用し
てポリシーを適用するかを判別することです。HIP オブジェクト自体は、セキュリティポリ
シーで使用される HIP プロファイルを作成できるようにする構成要素にすぎません。そのた
め、オブジェクトをシンプルにし、たとえば、特定のタイプの必須ソフトウェアがあるか、
特定のドメインのメンバーか、特定のクライアント OS があるかなど、1 つの条件にのみ一
致させることが必要になる場合があります。こうすることで、非常に粒度の細かい（そして
非常に強力な）HIP で補完されたポリシーを柔軟に作成することができます。

HIP プロファイル — HIP オブジェクトのコレクション。モニタリングまたはセキュリティポ
リシー適用のために、まとめて評価されます。HIP プロファイルを作成すると、Boolean ロ
ジックを使用して、以前に作成した HIP オブジェクト（と他の HIP プロファイル）を組み合
わせることができます。たとえば、作成した HIP プロファイルに対してトラフィックフ
ローを評価し、一致か不一致かを判定することができます。一致があれば、対応するポリ
シールールが適用されます。一致がなければ、他のポリシー照合条件と同様に、フローは次
のルールに対して評価されます。
トラフィックログが、ポリシーに一致する場合のみログエントリを作成するのと異なり、HIP
マッチログは、エージェントによって送信された生データが、定義した HIP オブジェクトや
HIP プロファイルに一致する場合に常にエントリを作成します。このため、HIP マッチログは、
HIP プロファイルをセキュリティポリシーに関連付ける前に時間をかけてネットワークのホス
トの状態をモニターするための優れたリソースとなり、関連付ける必要があるポリシーを厳密
に判断するときに役立ちます。HIP オブジェクトと HIP プロファイルを作成し、ポリシー一致条
件として使用する方法の詳細は、「HIP ベースのポリシー適用の設定」を参照してください。
システムの準拠を確認する方法
デフォルトでは、HIP が有効なセキュリティルールが適用された結果として行われるポリシー
の決定に関する情報は、エンドユーザーに提供されません。ただし、特定の HIP プロファイル
が一致するときまたは一致しないときに HIP 通知メッセージが表示されるように定義して、こ
の機能を実現できます。
GlobalProtect 管理者ガイド
209
ホスト情報について
ポリシー適用におけるホスト情報の使用
メッセージが表示されるタイミング（すなわち、ユーザーの設定がポリシーの HIP プロファイ
ルに一致するときに表示されるのか、一致しないときに表示されるのか）に関する決定は、ポ
リシーおよび HIP の一致（または不一致）の意味に大いに依存します。つまり、一致すること
は、ネットワークリソースへのフルアクセス権限が付与されていることを意味するのでしょう
か。それとも、遵守していないことが原因で、アクセスが制限されたことを意味するのでしょ
うか。
たとえば、以下のシナリオを検討します。

会社の必須のアンチウイルスおよびアンチスパイウェアソフトウェアパッケージがインス
トールされていない場合に一致する HIP プロファイルを作成します。この場合、HIP プロ
ファイルに一致するユーザーに対して、ソフトウェアをインストールする必要があること
（必要に応じて、対応するソフトウェアのインストーラにアクセスするためのファイル共有
へのリンクを提供する）を伝える HIP 通知メッセージを作成することになります。

これらと同じアプリケーションがインストールされている場合に一致する HIP プロファイル
を作成し、このプロファイルに一致しないユーザーに対するメッセージを作成して、インス
トールパッケージの場所に誘導することもできます。
HIP オブジェクトと HIP プロファイルを作成し、HIP 通知メッセージの定義で使用する方法の
詳細は、「HIP ベースのポリシー適用の設定」を参照してください。
エンドクライアントの状態の表示方法
エンドホストが GlobalProtect に接続するときは常に、エージェントにより HIP データがゲートウェイに
提示されます。ゲートウェイでは、このデータに基づいて、ホストが照合する HIP オブジェクトまたは
HIP プロファイルを判別します。一致が検出されるごとに、HIP マッチログエントリが生成されます。
トラフィックログが、ポリシーに一致する場合のみログエントリを作成するのと異なり、HIP マッチロ
グは、エージェントによって送信された生データが、定義した HIP オブジェクトや HIP プロファイルに
一致する場合に常にエントリを作成します。このため、HIP マッチログは、HIP プロファイルをセキュ
リティポリシーに関連付ける前に時間をかけてネットワークのホストの状態をモニターするための優れ
たリソースとなり、関連付ける必要があるポリシーを厳密に判断するときに役立ちます。
HIP マッチログは、ホストの状態が作成した HIP オブジェクトに一致する場合にのみ生成されるため、
ホストの状態を完全に可視化するには、特定の状態に適合するホスト（セキュリティポリシー用）に加
えて、その状態に適合しないホスト（可視化用）を対象とする複数の HIP オブジェクトを作成して、HIP
マッチをログに記録する必要があります。たとえば、アンチウィルスソフトウェアがインストールされ
ていないホストはネットワークに接続できないようにするとします。この場合、特定のアンチウィルス
ソフトウェアがインストールされているホストに一致する HIP オブジェクトを作成します。このオブ
ジェクトを HIP プロファイルに含め、VPN ゾーンからのアクセスを許可するセキュリティポリシールー
ルに関連付けることにより、アンチウィルスソフトウェアによって保護されているホストのみが接続で
きるようにします。
ただしこの場合、どのホストがこの要件に準拠していないのかを HIP マッチログで確認することはできま
せん。アンチウィルスソフトウェアがインストールされていないホストのログを確認して、そのユーザー
を追跡できるようにするには、アンチウィルスソフトウェアがインストールされていないという条件に一
致する HIP オブジェクトも作成します。このオブジェクトはロギング目的でのみ使用するため、HIP プロ
ファイルに追加したり、セキュリティプロファイルルールに関連付けたりする必要はありません。
210
GlobalProtect 管理者ガイド
ポリシー適用におけるホスト情報の使用
HIP ベースのポリシー適用の設定
HIP ベースのポリシー適用の設定
ポリシー適用でホスト情報を使用できるようにするには、以下のステップを実行する必要があ
ります。HIP 機能の詳細は、「ホスト情報について」を参照してください。
HIP チェックの有効化
ステップ 1
HIP チェックのための正規のラ HIP 機能を使用するには、ポータルを設定しているファイ
イセンスを取得していることアウォールに GlobalProtect ポータルライセンスを、HIP
を確認します。
チェックを実行する各ゲートウェイに GlobalProtect ゲート
ウェイサブスクリプションライセンスを購入し、インス
トールしておく必要があります。各ポータルおよびゲート
ウェイの状態を確認するには、[Device] > [ ライセンス ] の
順に選択します。
必要なライセンスがない場合は、Palo Alto Networks のセー
ルスエンジニアまたはリセラーにお問い合わせください。
ライセンスの詳細は、「GlobalProtect ライセンスの概要」
を参照してください。
GlobalProtect 管理者ガイド
211
HIP ベースのポリシー適用の設定
ポリシー適用におけるホスト情報の使用
HIP チェックの有効化（続き）
ステップ 2
（任意）エージェントで収集
するカスタムホスト情報を定
義します。たとえば、HIP オ
ブジェクト作成対象の [ ベン
ダー] リストや [ 製品 ] リストに
含まれていない必須アプリ
ケーションがある場合、カス
タムチェックを作成して、ア
プリケーションがインストー
ルされているか（対応するレ
ジストリキーまたは plist キー
がある）、実行中か（対応す
る実行中プロセスがある）を
判定できます。
1.
GlobalProtect ポータルがホストされているファイアウォー
ルで、[Network] > [GlobalProtect] > [ ポータル ] の順に
選択します。
2.
ポータル設定を選択して、[GlobalProtect ポータル] ダイ
アログを開きます。
3.
[ クライアントの設定 ] タブで、カスタム HIP チェックを
追加するクライアントの設定を選択するか、[ 追加 ] をク
リックして新しいクライアントの設定を作成します。
4.
[ データ収集 ] > [ カスタムチェック ] の順に選択し、
次にこのクライアントの設定を行っているホストから
収集するデータを以下のように定義します。
• 実行中のプロセスに関する情報を収集するには、該
当するタブ（[Windows] または [Mac]）を選択し、
次に [プロセスリスト] セクションの [追加] をクリッ
クします。エージェントで情報を収集するプロセス
の名前を入力します。
ステップ 2 およびステッ
プ 3 は、ポータル設定が
すでに作成されているこ
とを前提としています。
ポータルをまだ設定して
いない場合は、
「GlobalProtect ポータル
の設定」で手順を参照し
てください。
• 特定のレジストリキーに関する情報を収集するには、
[Windows] タブで、[ レジストリキー] セクションの
[ 追加 ] をクリックします。データを収集する対象の
[レジストリキー] を入力します。必要に応じて、[追
加] をクリックし、データ収集を特定のレジストリ値
または値に制限します。[OK] をクリックして設定を
保存します。
• 特定のプロパティリストに関する情報を収集するに
は、[Mac] タブで、[Plist] セクションの [追加] をクリッ
クします。データを収集する対象の [Plist] を入力し
ます。必要に応じて、[ 追加 ] をクリックし、データ
収集を特定の [ キー] 値に制限します。[OK] をクリッ
クして設定を保存します。
212
5.
新しいクライアントの設定の場合は、目的の設定の残
りを完了させます。手順は、「GlobalProtect クライア
ント設定の定義」を参照してください。
6.
[OK] をクリックして、クライアント設定を保存します。
7.
変更をコミットします。
GlobalProtect 管理者ガイド
ポリシー適用におけるホスト情報の使用
HIP ベースのポリシー適用の設定
HIP チェックの有効化（続き）
ステップ 3
（任意）コレクションからカ 1.
テゴリを除外します。
GlobalProtect ポータルがホストされているファイアウォー
ルで、[Network] > [GlobalProtect] > [ ポータル ] の順に
選択します。
2.
ポータル設定を選択して、[GlobalProtect ポータル] ダイ
アログを開きます。
3.
[ クライアントの設定 ] タブで、カテゴリを除外するクラ
イアントの設定を選択するか、[追加] をクリックし
て、新しいクライアントの設定を作成します。
4.
[ データ収集 ] > [ カテゴリの除外 ] の順に選択し、次に
[ 追加 ] をクリックします。[ 除外カテゴリの編集 ] ダイ
アログが表示されます。
5.
ドロップダウンリストから、除外する [ カテゴリ ] を選
択します。
6.
（任意）カテゴリ全体を除外するのではなく、選択し
たカテゴリ内の集合から特定のベンダーや製品を除外
する場合は、[ 追加 ] をクリックします。次に、必要に
応じて、[ベンダーの編集] ダイアログのドロップダウ
ンから、除外する [ベンダー] を選択して、[追加] を
クリックし、そのベンダーから特定の製品を除外しま
す。ベンダーの定義が完了したら、[OK] をクリックし
ます。除外リストに複数のベンダーおよび製品を追加
できます。
7.
除外する各カテゴリに対してステップ 5 およびステッ
プ 6 を繰り返します。
8.
新しいクライアントの設定の場合は、目的の設定の残
りを完了させます。クライアント設定の定義の詳細
は、「GlobalProtect クライアント設定の定義」を参照
してください。
9.
[OK] をクリックして、クライアント設定を保存します。
10. 変更をコミットします。
GlobalProtect 管理者ガイド
213
HIP ベースのポリシー適用の設定
ポリシー適用におけるホスト情報の使用
HIP チェックの有効化（続き）
ステップ 4
エージェントが収集した生ホ 1.
ストデータにフィルタをかけ
る HIP オブジェクトを作成し
ます。
ゲートウェイで（複数のゲートウェイの間で HIP オブ
ジェクトを共有する場合は Panorama で）、[Objects] >
[GlobalProtect] > [HIP オブジェクト] の順に選択し、
[ 追加 ] をクリックします。
必要な HIP オブジェクトを判 2.
別する最良の方法は、収集し 3.
たホスト情報をどのように使
用してポリシーを適用するか
を判別することです。HIP オ
ブジェクト自体は、セキュリ
ティポリシーで使用される
HIP プロファイルを作成でき
るようにする構成要素にすぎ
ません。そのため、オブジェ
クトをシンプルにし、たとえ
ば、特定のタイプの必須ソフ
トウェアがあるか、特定のド
メインのメンバーか、特定の
クライアント OS があるかな
ど、1 つの条件にのみ一致させ
ることが必要になる場合があ
ります。こうすることで、非
常に粒度の細かい（そして非
常に強力な）HIP で補完され
たポリシーを柔軟に作成する
ことができます。
[全般] タブで、オブジェクトの [名前] を入力します。
特定の HIP カテゴリや
フィールドの詳細は、オ
ンラインヘルプを参照し
てください。
214
照合するホスト情報のカテゴリに対応するタブを選択
し、チェックボックスをオンにして、このカテゴリに
対して照合するオブジェクトを有効にします。たとえ
ば、アンチウイルスソフトウェアに関する情報を検索
するオブジェクトを作成するには、[ アンチウイルス ]
タブを選択し、次に [ アンチウイルス ] チェックボッ
クスをオンにして、対応するフィールドを利用できる
ようにします。フィールドに入力して、目的の一致条
件を定義します。たとえば、以下のスクリーンショッ
トは、Symantec Norton AntiVirus 2004 Professional アプリ
ケーションがインストールされていて、リアルタイム
保護が有効で、過去 5 日以内に更新されたウイルス定
義を持つ場合に一致する HIP オブジェクトを作成する
方法を示します。
HIP オブジェクト内で、照合するカテゴリごとにこの
手順を繰り返します。詳細は、「表: データ収集カテゴ
リ」を参照してください。
4.
[OK] をクリックして HIP オブジェクトを保存します。
5.
以上の手順を繰り返して、必要な HIP オブジェクトを
それぞれ追加します。
6.
変更をコミットします。
GlobalProtect 管理者ガイド
ポリシー適用におけるホスト情報の使用
HIP ベースのポリシー適用の設定
HIP チェックの有効化（続き）
ステップ 5
ポリシーで使用する HIP プロ 1.
ファイルを作成します。
HIP プロファイルを作成する
と、Boolean ロジックを使用し
2.
て、以前に作成した HIP オブ
ジェクト（と他の HIP プロファ
イル）を組み合わせることが 3.
できます。たとえば、作成し
た HIP プロファイルに対して 4.
トラフィックフローを評価
し、一致か不一致かを判定す
ることができます。一致があ
れば、対応するポリシールー
ルが適用されます。一致がなけ
れば、他のポリシー照合条件と
同様に、フローは次のルールに
対して評価されます。
GlobalProtect 管理者ガイド
ゲートウェイで（複数のゲートウェイの間で HIP プロ
ファイルを共有する場合は Panorama で）、[Objects] >
[GlobalProtect] > [HIP プロファイル] の順に選択し、[追
加 ] をクリックします。
[ 名前 ] に分かりやすいプロファイル名を入力し、必要に
応じて [ 内容 ] を入力します。
[ 条件の追加 ] をクリックして、[HIP オブジェクト / プロ
ファイルビルダー] を開きます。
一致条件として使用する最初の HIP オブジェクトまたは
プロファイルを選択し、次に [追加] をクリックして、
[HIP プロファイル ] ダイアログの [ 一致 ] テキストボッ
クスに移動させます。オブジェクトの条件がフローに当
てはまらない場合にのみ HIP プロファイルでオブジェク
トを一致として評価する場合、オブジェクトを追加する
前に、[NOT] チェックボックスをオンにします。
5.
続けて、作成するプロファイルに必要なだけ一致条件
を追加して、追加した条件の間に適切な Boolean 演算
子ラジオボタン（[AND] または [OR]）を選択します
（ここでも必要に応じて [NOT] チェックボックスを使
用します）。
6.
複雑な Boolean 式を作成する場合は、[ 一致 ] テキスト
ボックス内の適切な位置に手動でかっこを追加して、
HIP プロファイルが意図したロジックを使用して評価さ
れるようにします。たとえば、以下の HIP プロファイ
ルは、FileVault ディスク暗号化（Mac OS システム）また
は TrueCrypt ディスク暗号化（Windows システム）が設
定されていて、必要なドメインにも属し、Symantec アン
チウイルスクライアントがインストールされているホ
ストから発生するトラフィックを照合します。
7.
一致条件の追加が完了したら、[OK] をクリックしてプ
ロファイルを保存します。
8.
以上の手順を繰り返して、必要な HIP プロファイルを
それぞれ追加します。
9.
変更をコミットします。
215
HIP ベースのポリシー適用の設定
ポリシー適用におけるホスト情報の使用
HIP チェックの有効化（続き）
GlobalProtect ユーザーが接続しているゲートウェイで、
[Monitor] > [ ログ ] > [HIP マッチ ] の順に選択します。この
ログは、定義した HIP オブジェクトおよび HIP プロファイ
ルに対して、エージェントによってレポートされた生 HIP
データを評価したときにゲートウェイで識別されたすべて
の一致を示します。他のログと異なり、HIP マッチでは、
ホストエンドポイントの
セキュリティポリシーが一致しなくてもログを記録するこ
セキュリティの状態およ
とができます。
びアクティビティをモニ
ターする手段として HIP
オブジェクトおよび HIP
プロファイルをモニター
することを検討します。
時間をかけてホスト情報
をモニターすると、セ
キュリティおよびコンプ
ライアンスの問題がある
場所について理解を深
め、有益なポリシーを作
成する指針としてこの情
報を使用することができ
ます。詳細は、「エンド
クライアントの状態の表
示方法」を参照してくだ
さい。
ステップ 6
作成した HIP オブジェクトおよ
び HIP プロファイルが
GlobalProtect クライアントト
ラフィックと予想通りに照合
されることを確認します。
ステップ 7
HIP ベースのアクセス制御を必 1.
要とする、リクエストを送信 2.
する GlobalProtect ユーザーが含
まれる送信元ゾーンの User-ID
3.
を有効にします。たとえユー
ザー識別機能を使用する予定
がなくても、User-ID を有効に
する必要があります。有効に
しないと、ファイアウォール
で HIP マッチログエントリが
生成されなくなります。
216
[Network] > [ ゾーン ] の順に選択します。
[ 名前 ] フィールドで User-ID を有効にするゾーンをク
リックすると、[ ゾーン ] ダイアログが開きます。
[ ユーザー ID の有効化 ] チェックボックスをオンにして
から [OK] をクリックします。
GlobalProtect 管理者ガイド
ポリシー適用におけるホスト情報の使用
HIP ベースのポリシー適用の設定
HIP チェックの有効化（続き）
ステップ 8
（任意）Mobile Security Manager 方法については、「Mobile Security Manager へのゲートウェ
から HIP レポートを取得するイアクセスの有効化」を参照してください。
ようにゲートウェイを設定し
ます。
この手順は、GlobalProtect Mobile
Security Manager を使用してモバ
イルデバイスを管理し、Mobile
Security Manager が収集する拡張
HIP データをゲートウェイで
のセキュリティポリシーの適
用で使用する場合にのみ適用
されます。
ステップ 9
HIP が有効なセキュリティルーセキュリティルールに HIP プロファイルを追加します。
ルをゲートウェイに作成し
1. [Policies] > [ セキュリティ] の順に選択し、HIP プロ
ます。
ファイルを追加するルールを選択します。
セキュリティルールを作成
し、想定した送信元および宛
先の基準に基づくフローに適
合することをテストしてか
ら、HIP プロファイルに追加
することをお勧めします。こ
うすることで、HIP が有効な
ルールのポリシー内での配置
を効果的に判断できるように
なります。
GlobalProtect 管理者ガイド
2.
[ 送信元 ] タブで、[ 送信元ゾーン ] がステップ 7 で
User-ID を有効にしたゾーンであることを確認します。
3.
[ ユーザー] タブで、[HIP プロファイル ] セクションの
[ 追加 ] をクリックし、ルールを追加する HIP プロファ
イルを選択します（ルールには HIP プロファイルを
63 個まで追加できます）。
4.
[OK] をクリックしてルールを保存します。
5.
変更をコミットします。
217
HIP ベースのポリシー適用の設定
ポリシー適用におけるホスト情報の使用
HIP チェックの有効化（続き）
ステップ 10 HIP プロファイルを使用してい 1.
るセキュリティルールが適用
されるときにエンドユーザー
に表示される通知メッセージ 2.
を定義します。
GlobalProtect ゲートウェイがホストされているファイ
アウォールで、[Network] > [GlobalProtect] > [ ゲート
ウェイ ] の順に選択します。
3.
[ クライアントの設定 ] > [HIP 通知 ] の順に選択し、[ 追
加 ] をクリックします。
4.
ドロップダウンから、このメッセージを適用する [HIP
プロファイル ] を選択します。
5.
ポリシー内の対応する HIP プロファイルが一致すると
きにメッセージを表示するのか、一致しないときに
メッセージを表示するのかに応じて、[メッセージが一
致 ] または [ 一致しないメッセージ ] を選択します。場
合によっては、照合するオブジェクトおよびポリシー
の対象に応じて、一致する場合と一致しない場合の両
方でメッセージの作成が必要になることがあります。
[ メッセージが一致 ] の場合、[ 一致したアプリケーショ
ンのリストをメッセージに含めるかどうか ] オプショ
ンを有効にして、HIP マッチをトリガーしたアプリ
ケーションを示すこともできます。
6.
[ 有効化 ] チェックボックスをオンにし、メッセージを
[ ポップアップメッセージ ] として表示するか、[ システ
ムトレイバルーン ] として表示するかを選択します。
メッセージが表示されるタイ
ミング（すなわち、ユーザー
の設定がポリシーの HIP プロ
ファイルに一致するときに表
示されるのか、一致しないと
きに表示されるのか）に関す
る決定は、ポリシーおよび
HIP の一致（または不一致）
の意味に大いに依存します。
つまり、一致することは、
ネットワークリソースへのフ
ルアクセス権限が付与されて
いることを意味するのでしょ
うか。それとも、遵守してい
ないことが原因で、アクセス
が制限されたことを意味する
のでしょうか。
たとえば、会社の必須のアン
チウイルスおよびアンチスパ
7.
イウェアソフトウェアパッ
ケージがインストールされて
いない場合に一致する HIP プ
ロファイルを作成するとしま
す。この場合、HIP プロファ
イルに一致するユーザーに対
して、ソフトウェアをインス
トールする必要があることを
伝える HIP 通知メッセージを
作成することが必要になる場
合があります。あるいは、こ
れらと同じアプリケーション
がインストールされている場
合に HIP プロファイルが一致
するなら、プロファイルに一
致しないユーザーに対して
メッセージを作成することが
必要になる場合があります。
218
以前に定義したゲートウェイ設定を選択して、
[GlobalProtect ゲートウェイ ] ダイアログを開きます。
[ テンプレート ] テキストボックスにメッセージのテキ
ストを入力し、次に [OK] をクリックします。テキス
トボックスにはテキストの WYSIWYG ビューおよび
HTML ソースビューの両方が表示されます。これら
は、ソース編集アイコン
を使用して切り替えるこ
とができます。ツールバーには、テキストを書式設定
したり、外部ドキュメントへのハイパーリンク
を
作成したり（必要なソフトウェアプログラムのダウン
ロード URL にユーザーを直接リンクさせる場合など）
する、多くのオプションが用意されています。
8.
定義するメッセージごとにこの手順を繰り返します。
9.
変更をコミットします。
GlobalProtect 管理者ガイド
ポリシー適用におけるホスト情報の使用
HIP ベースのポリシー適用の設定
HIP チェックの有効化（続き）
ステップ 11 HIP プロファイルが正常に動作以下のように、トラフィックログを使用して、どのトラ
していることを確認します。フィックが HIP が有効なポリシーに到達しているかをモニ
ターできます。
1. ゲートウェイから、[Monitor] > [ ログ ] > [ トラフィック ]
を選択します。
2.
GlobalProtect 管理者ガイド
モニターする HIP プロファイルが関連付けられたルー
ルに一致するトラフィックのみを表示するために、ロ
グをフィルタにかけます。たとえば、「iOS Apps」と
いう名前のセキュリティルールに一致するトラフィッ
クを検索するには、以下のようにフィルタテキスト
ボックスに「( rule eq 'iOS Apps' )」と入力します。
219
クライアントからのアプリケーションおよびプロセスデータの収集
ポリシー適用におけるホスト情報の使用
クライアントからのアプリケーションおよびプロセス
データの収集
Windows レジストリと Mac plist を使用して、それぞれ Windows および Mac のオペレーティング
システムでの設定項目とオプションを設定し、保存することができます。カスタムチェックを
作成し、Windows および Mac のクライアントで、アプリケーションがインストールされている
（対応するレジストリキーまたは plist キーがある）かどうか、または実行中（対応する実行中
のプロセスがある）かどうかを判定することができます。カスタムチェックを有効にすると、
GlobalProtect エージェントにより、特定のレジストリ情報（Windows クライアントのレジストリ
キーとレジストリキーの値）および設定リスト（plist）情報（Mac OS クライアントの plist と
plist キー）が収集されます。カスタムチェックで収集されるように定義したデータは、
GlobalProtect エージェントによって収集されるホスト情報の生データに含められ、エージェン
トが接続するときに GlobalProtect ゲートウェイに送信されます。
カスタムチェックで収集されるデータをモニターするには、HIP オブジェクトを作成します。
次に、その HIP オブジェクトを HIP プロファイルに追加し、収集したデータとデバイストラ
フィックを照合して、セキュリティルールを適用します。ゲートウェイでは、（カスタム
チェックで定義されているデータと照合される）HIP オブジェクトを使用して、エージェント
によって送信された生のホスト情報をフィルタにかけることができます。ゲートウェイがクラ
イアントデータを HIP オブジェクトと照合すると、そのデータについての HIP マッチログエ
ントリが生成されます。ゲートウェイで HIP プロファイルを使用して、収集したデータをセ
キュリティルールと照合することもできます。HIP プロファイルをセキュリティポリシールー
ルの条件として使用する場合、ゲートウェイは、一致するトラフィックでそのセキュリティ
ルールを適用します。
以下のタスクを実行してカスタムチェックを有効にし、Windows および Mac クライアントから
データを収集します。クライアントデータを、トラフィックをモニター、識別、処理するセ
キュリティポリシーの一致条件として使用する場合、このタスクには、カスタムチェック用の
HIP オブジェクトおよび HIP プロファイル追加の手順が含まれます。
Windows レジストリまたはグローバル Mac plist から直接にエージェントの設定を定義する方
法の詳細は、「エージェントの設定の透過的なデプロイ」を参照してください。
220
GlobalProtect 管理者ガイド
ポリシー適用におけるホスト情報の使用
クライアントからのアプリケーションおよびプロセスデータの収集
Windows または Mac クライアントのカスタムチェックの有効化および検証
ステップ 1
GlobalProtect エージェントを有 Windows クライアントからのデータの収集
効にして、Windows クライア 1. [Network] > [GlobalProtect] > [ ポータル ] > [ クライア
ントから Windows レジストリ
ントの設定 ] > [ データ収集 ] > [ カスタムチェック ] >
情報を収集するか、Mac クラ
[Mac] の順に選択します。
イアントから plist 情報を収集 2. 情報を収集する対象のレジストリキーを追加します。
します。収集される情報に
データ収集の対象をレジストリキーに含まれている値
は、クライアントに特定のア
に限定する場合は、対応する [ レジストリ値 ] を追加し
プリケーションがインストー
ます。
ルされているかどうかや、ア
プリケーションの特定の属性
またはプロパティを含めるこ
とができます。
この手順では、エージェント
により、アプリケーションと
クライアントの設定について
のデータを報告できるように
します。（ステップ 5 および Mac クライアントからのデータの収集
ステップ 6 に、報告されるデー 1. [Network] > [GlobalProtect] > [ ポータル ] > [ クライア
タをモニターし、そのデータ
ントの設定 ] > [ データ収集 ] > [ カスタムチェック ] >
を使用して特定のデバイスト
[Mac] の順に選択します。
ラフィックを識別して処理す 2. 情報を収集する対象の [Plist]、およびアプリケーショ
る方法を示します）。
ンがインストールされているかどうかを判定するため
の対応する plist の [ キー] を追加します。
GlobalProtect 管理者ガイド
221
クライアントからのアプリケーションおよびプロセスデータの収集
ポリシー適用におけるホスト情報の使用
Windows または Mac クライアントのカスタムチェックの有効化および検証（続き）
たとえば、スクリーンセーバーの起動後に Mac クライア
ントを呼び戻すためにパスワードが必要かどうかについ
ての情報を収集するには、[Plist] com.apple.screensaver
とその [ キー] askForPassword を [ 追加 ] します。
[Plist] と [ キー] が Mac カスタムチェックに追加され
たことを確認します。
ステップ 2
ステップ 3
222
（任意）クライアントで特定 1.
のプロセスが実行されている
かどうかを確認します。
[ カスタムチェック ] タブ（[Network] > [GlobalProtect] >
[ ポータル ] > [ クライアントの設定 ] > [ データ収集 ]）
でステップ 1 から続行し、[Windows] タブまたは [Mac]
タブを選択します。
2.
情報を収集する対象のプロセスの名前を、[ プロセスリ
スト ] に [ 追加 ] します。
カスタムチェックを保存し
ます。
[OK] をクリックし、変更を [ コミット ] します。
GlobalProtect 管理者ガイド
ポリシー適用におけるホスト情報の使用
クライアントからのアプリケーションおよびプロセスデータの収集
Windows または Mac クライアントのカスタムチェックの有効化および検証（続き）
ステップ 4
GlobalProtect エージェントが、 Windows クライアントの場合 :
カスタムチェックで定義され
Windows クライアントで、タスクバーの GlobalProtect アイ
ているデータをクライアントか
コンをダブルクリックし、[ ホストの状態 ] タブをクリック
ら収集することを確認します。
して、GlobalProtect エージェントが Mac クライアントから
収集している情報を表示します。カスタムチェックのド
ロップダウンの下で、収集するようにステップ 7 で定義し
たデータが表示されることを確認します。
Mac クライアントの場合 :
Mac クライアントのメニューバーで GlobalProtect アイコン
をクリックし、[ 詳細表示 ] をクリックし、[ ホストの状態 ]
をクリックして、GlobalProtect エージェントが収集してい
る Mac クライアントの情報を表示します。カスタムチェッ
クのドロップダウンの下で、収集するようにステップ 7 で
定義したデータが表示されることを確認します。
GlobalProtect 管理者ガイド
223
クライアントからのアプリケーションおよびプロセスデータの収集
ポリシー適用におけるホスト情報の使用
Windows または Mac クライアントのカスタムチェックの有効化および検証（続き）
ステップ 5
（任意）レジストリキー
（Windows）または plist（Mac）
と照合する HIP オブジェクトを
作成します。これにより、カス
タムチェックでデータをモニ
ターするために GlobalProtect
エージェントによって収集され
るホスト情報の生データをフィ
ルタにかけることができます。
1.
[Objects] > [GlobalProtect] > [HIP オブジェクト ] の順
に選択し、[HIP オブジェクト ] を [ 追加 ] します。
2.
[ カスタムチェック ] を選択して有効にします。
Windows クライアントの場合 :
3.
カスタムチェックデータとして
HIP オブジェクトが定義されて 4.
いる場合には、ゲートウェイで
エージェントから送信された生
データが HIP オブジェクトと照
合され、そのデータの HIP マッ
チログエントリが生成されます
（[Monitor] > [HIP マッチ ]）。
5.
Windows クライアントに特定のレジストリキーがある
かどうか確認するには、[ レジストリキー] を選択し、
照合するレジストリを [ 追加 ] します。指定したレジス
トリキーが存在しないクライアントのみを識別するに
は、[キーが存在しないか、指定した値データと一致し
ない ] をオンにします。
レジストリキー内の特定の値を照合するには、[ 追加 ]
をクリックし、[ レジストリ値 ] と [ 値データ ] を入力し
ます。指定した値または値データが明確に存在しない
ホストを識別するには、[Negate] チェックボックスを
オンにします。
[OK] をクリックして HIP オブジェクトを保存します。
[ コミット ] をクリックし、次のデバイスチェックイン
で [HIP マッチ ] ログのデータを表示するか、またはス
テップ 6 に進むことができます。
Mac クライアントの場合 :
3.
4.
3.
224
[Plist] タブを選択して [ 追加 ] を選択し、Mac クライア
ントで調べる [Plist] の名前を入力します。（指定した
plist が存在しない Mac クライアントを照合する場合
は、[Plist がありません] チェックボックスをオンにし
て次に進みます）。
（任意）[キー] と対応する [値] を入力することにより、
トラフィックを plist 内の特定のキー/値ペアと照合す
ることができます。（または、特定のキーと値が設定
されていないクライアントを識別する場合は、[キー]
および [値] フィールドに値を追加した後に [Negate]
を選択して次に進むことができます）。
[OK] をクリックして HIP オブジェクトを保存します。
[コミット] をクリックし、次のデバイスチェックイン
で [HIP マッチ] ログのデータを表示するか、またはス
テップ 6 に進むことができます。
GlobalProtect 管理者ガイド
ポリシー適用におけるホスト情報の使用
クライアントからのアプリケーションおよびプロセスデータの収集
Windows または Mac クライアントのカスタムチェックの有効化および検証（続き）
ステップ 6
（任意）HIP プロファイルを作 1.
成して、ステップ 5 で作成し
た HIP オブジェクトがトラ 2.
フィックに対して評価される
ようにすることができます。
3.
HIP プロファイルは、セキュ
リティポリシーに適合するト
ラフィックがあるかどうかを 4.
チェックするための追加条件
として、そのポリシーに追加
することができます。トラ
フィックが HIP プロファイル
に一致する場合は、そのトラ
フィックにセキュリティポリ
シールールが適用されます。
[Objects] > [GlobalProtect] > [HIP プロファイル ] の順
に選択します。
[ 条件の追加 ] をクリックして、[HIP オブジェクト / プ
ロファイルビルダー] を開きます。
一致条件として使用する [HIP オブジェクト] を選択し、
そのオブジェクトを [HIP プロファイル] ダイアログの
[ 一致 ] ボックスに移動します。
新しい HIP プロファイルにオブジェクトを追加したら、
[OK] をクリックして [ コミット ] をクリックします。
HIP プロファイルの作成の詳細
は、「HIP ベースのポリシー
適用の設定」を参照してくだ
さい。
ステップ 7
HIP プロファイルをセキュリ
ティポリシーに追加し、カス
タムチェックで収集された
データを使用して、トラ
フィックと照合して処理する
ことができます。
GlobalProtect 管理者ガイド
[Policies] > [ セキュリティ] の順に選択し、セキュリティポ
リシーを [ 追加 ] または変更します。[ ユーザー] タブに移
動して、HIP プロファイルをポリシーに追加します。セ
キュリティポリシーのコンポーネントの詳細、およびセ
キュリティポリシーを使用してトラフィックと照合して処
理する方法の詳細は、「セキュリティポリシー」を参照し
てください。
225
クライアントからのアプリケーションおよびプロセスデータの収集
226
ポリシー適用におけるホスト情報の使用
GlobalProtect 管理者ガイド
GlobalProtect クイック設定
以下のセクションでは、いくつかの一般的な GlobalProtect デプロイメントの設定手順について
説明します。

リモートアクセス VPN（認証プロファイル）

リモートアクセス VPN（証明書プロファイル）

2 要素認証を使用したリモートアクセス VPN

常時オンの VPN 設定

pre-logon を使用したリモートアクセス VPN

GlobalProtect 複数ゲートウェイ設定

内部 HIP チェックとユーザーベースのアクセス用の GlobalProtect

内部ゲートウェイと外部ゲートウェイの混合設定
GlobalProtect 管理者ガイド
227
リモートアクセス VPN（認証プロファイル）
GlobalProtect クイック設定
リモートアクセス VPN（認証プロファイル）
「図 : リモートアクセス用 GlobalProtect VPN」では、GlobalProtect ポータルとゲートウェイの両
方が ethernet1/2 に設定されています。ethernet1/2 は GlobalProtect クライアントが接続する物理
インターフェイスです。クライアントがポータルおよびゲートウェイに接続されて正常に認証
されたら、エージェントがその仮想アダプタから VPN トンネルを確立します。仮想アダプタに
は、ゲートウェイ tunnel.2 の設定に関連付けられた IP アドレスプール内のアドレス（この例で
は 10.31.32.3 ～ 10.31.32.118）が割り当てられています。GlobalProtect VPN トンネルは個別の
corp-vpn ゾーンが終点となるため、VPN トラフィックへの可視性を得られるだけでなく、リ
モートユーザーに適切なセキュリティポリシーを適用できます。
動画を閲覧する。
図 : リモートアクセス用 GlobalProtect VPN
以下に、この例での設定手順を示します。また、動画を閲覧することもできます。
クイック設定 : VPN リモートアクセス
ステップ 1
GlobalProtect のインターフェイ • [Network] > [ インターフェイス ] > [Ethernet] の順に選択
して ethernet1/2 を IP アドレス 199.21.7.42 のレイヤー 3
スおよびゾーンの作成。
Ethernet インターフェイスとして設定し、l3-untrust ゾー
すべてのインターフェイ
ンと default 仮想ルーターに割り当てます。
ス設定に default 仮想ルー
ターを使用し、ゾーン間 • IP アドレス 199.21.7.42 を gp.acme.com にマッピングする
DNS「A」レコードを作成します。
ルーティングの作成を回
避します。
• [Network] > [ インターフェイス ] > [ トンネル ] の順に選択
し、tunnel.2 インターフェイスを追加してそれを「corp-vpn」
という新しいゾーンに追加します。このインターフェイ
スを default 仮想ルーターに割り当てます。
• corp-vpn ゾーンの [ ユーザー ID の有効化 ] をオンにします。
228
GlobalProtect 管理者ガイド
GlobalProtect クイック設定
リモートアクセス VPN（認証プロファイル）
クイック設定 : VPN リモートアクセス（続き）
ステップ 2
セキュリティポリシーを作成 1.
し、corp-vpn ゾーンと l3-trust
ゾーン間のトラフィックフロー 2.
を有効にして内部リソースへの
アクセスを可能にします。
[Policies] > [ セキュリティ] の順に選択し、[ 追加 ] を
クリックして新しいルールを追加します。
この例では、以下の設定を使用してルールを定義し
ます。
• 名前 — VPN Access
• 送信元ゾーン — corp-vpn
• 宛先ゾーン — l3-trust
ステップ 3
以下のいずれかの方法を使用 [Device] > [ 証明書の管理 ] > [ 証明書 ] の順に選択し、証明
して、GlobalProtect ポータルお書を以下のように管理します。
よびゲートウェイをホストす • サーバー証明書を取得します。ポータルとゲートウェイ
るインターフェイスのサー
は同じインターフェイス上にあるため、両方のコンポー
バー証明書を取得します。
ネントに同じサーバー証明書を使用できます。
• （推奨）一般的なサード
• 証明書の CN は FQDN、gp.acme.com と一致する必要があ
パーティ CA からサーバー証
ります。
明書をインポートします。
• 自己署名サーバー証明書を • クライアントが証明書エラーなしでポータルに接続でき
るようにするには、パブリック CA からのサーバー証明
生成します。
書を使用します。
ステップ 4
サーバープロファイルを作成し LDAP サーバーに接続するサーバープロファイルを作成し
ます。
ます。[Device] > [ サーバープロファイル ] > [LDAP]。
サーバープロファイルによっ
て、認証サービスへの接続方
法がファイアウォールに指示さ
れます。ローカル、RADIUS、
Kerberos、および LDAP 認証メ
ソッドがサポートされていま
す。この例では、Active Directory
に対してユーザーを認証する
LDAP 認証プロファイルを使用
しています。
GlobalProtect 管理者ガイド
229
リモートアクセス VPN（認証プロファイル）
GlobalProtect クイック設定
クイック設定 : VPN リモートアクセス（続き）
ステップ 5
認証プロファイルを作成し
ます。
サーバープロファイルを認証プロファイルに関連付けます。
[Device] > [ 認証プロファイル ]。
ステップ 6
GlobalProtect ゲートウェイの
設定。
[Network] > [GlobalProtect] > [ ポータル ] の順に選択し、
以下の設定を追加します。
インターフェイス — ethernet1/2
IP アドレス — 199.21.7.42
サーバー証明書 — Go Daddy によって発行された
GP-server-cert.pem
認証プロファイル — Corp-LDAP
トンネルインターフェイス — tunnel.2
IP プール — 10.31.32.3 ～ 10.31.32.118
ステップ 7
GlobalProtect ポータルの設定。 [Network] > [GlobalProtect] > [ ポータル ] の順に選択し、
以下の設定を追加します。
1. GlobalProtect ポータルへのアクセスのセットアップ。
この例では、以下の設定を使用します。
インターフェイス — ethernet1/2
IP アドレス — 199.21.7.42
サーバー証明書 — Go Daddy によって発行された
GP-server-cert.pem
認証プロファイル — Corp-LDAP
2.
以下の設定を使用して、GlobalProtect クライアント設定
の定義を行います。
接続方式 — on-demand
外部ゲートウェイアドレス — gp.acme.com
230
GlobalProtect 管理者ガイド
GlobalProtect クイック設定
リモートアクセス VPN（認証プロファイル）
クイック設定 : VPN リモートアクセス（続き）
ステップ 8
GlobalProtect エージェントソフ [Device] > [GlobalProtect クライアント] の順に選択します。
トウェアのデプロイ。
この例では、「エージェント更新のポータルへのホスト」
の手順を使用します。
ステップ 9
（任意）GlobalProtect モバイル GlobalProtect ゲートウェイサブスクリプションを購入して
アプリケーションを使用できインストールし（[Device] > [ ライセンス ]）、アプリケー
るようにします。
ションを使用できるようにします。
ステップ 10 GlobalProtect の設定を保存し
ます。
GlobalProtect 管理者ガイド
[Commit] をクリックします。
231
リモートアクセス VPN（証明書プロファイル）
GlobalProtect クイック設定
リモートアクセス VPN（証明書プロファイル）
証明書認証でユーザーを認証する場合、GlobalProtect に接続するため、クライアントがエンド
ユーザーを識別する一意のクライアント証明書を提示する必要があります。クライアントが提
示する証明書が唯一の認証手段として使用されている場合、証明書のいずれかのフィールドに
ユーザー名が含まれている必要があります。通常、ユーザー名は証明書の Subject フィールド内
の共有名（CN）に対応します。認証に成功したら、GlobalProtect エージェントはゲートウェイ
を使用して VPN トンネルを確立し、ゲートウェイのトンネル設定内の IP プールから IP アドレ
スが割り当てられます。corp-vpn ゾーンからのセッションでユーザーベースのポリシーを適用
できるようにするため、証明書内のユーザー名はゲートウェイによって割り当てられた IP アド
レスにマッピングされます。ポリシーの適用にドメイン名が必要な場合、証明書プロファイル
で指定されたドメイン値がユーザー名に付加されます。
図 : GlobalProtect クライアント証明書の認証設定
このクイック設定では、「図: リモートアクセス用 GlobalProtect VPN」と同じトポロジを使用し
ます。唯一の設定の違いは、外部認証サーバーに対してユーザーを認証する代わりに、この設
定ではクライアント証明書の認証のみを使用する点です。
クイック設定 : クライアント証明書の認証を使用した VPN リモートアクセス
ステップ 1
GlobalProtect のインターフェイ • [Network] > [ インターフェイス ] > [Ethernet] の順に選択
して ethernet1/2 を IP アドレス 199.21.7.42 のレイヤー 3
スおよびゾーンの作成。
Ethernet インターフェイスとして設定し、l3-untrust セキュ
すべてのインターフェイ
リティゾーンと default 仮想ルーターに割り当てます。
ス設定に default 仮想ルー
ターを使用し、ゾーン間 • IP アドレス 199.21.7.42 を gp.acme.com にマッピングする
DNS「A」レコードを作成します。
ルーティングの作成を回
避します。
• [Network] > [ インターフェイス ] > [ トンネル ] の順に選択
し、tunnel.2 インターフェイスを追加してそれを「corp-vpn」
という新しいゾーンに追加します。このインターフェイス
を default 仮想ルーターに割り当てます。
• corp-vpn ゾーンの [ ユーザー ID の有効化 ] をオンにします。
232
GlobalProtect 管理者ガイド
GlobalProtect クイック設定
リモートアクセス VPN（証明書プロファイル）
クイック設定 : クライアント証明書の認証を使用した VPN リモートアクセス（続き）
ステップ 2
セキュリティポリシーを作成 1.
し、corp-vpn ゾーンと l3-trust
ゾーン間のトラフィックフロー 2.
を有効にして内部リソースへの
アクセスを可能にします。
[Policies] > [ セキュリティ] の順に選択し、[ 追加 ] を
クリックして新しいルールを追加します。
この例では、以下の設定を使用してルールを定義し
ます。
• 名前 — VPN Access
• 送信元ゾーン — corp-vpn
• 宛先ゾーン — l3-trust
ステップ 3
以下のいずれかの方法を使用 [Device] > [ 証明書の管理 ] > [ 証明書 ] の順に選択し、証明
して、GlobalProtect ポータルお書を以下のように管理します。
よびゲートウェイをホストす • サーバー証明書を取得します。ポータルとゲートウェイ
るインターフェイスのサー
は同じインターフェイス上にあるため、両方のコンポー
バー証明書を取得します。
ネントに同じサーバー証明書を使用できます。
• （推奨）一般的なサード
• 証明書の CN は FQDN、gp.acme.com と一致する必要があ
パーティ CA からサーバー証
ります。
明書をインポートします。
• 自己署名サーバー証明書を • クライアントが証明書エラーなしでポータルに接続でき
るようにするには、パブリック CA からのサーバー証明
生成します。
書を使用します。
ステップ 4
GlobalProtect ユーザー/ マシン 1.
に対してクライアント証明書
を発行します。
エンタープライズ PKI またはパブリック CA を使用し
て、一意のクライアント証明書を各 GlobalProtect ユー
ザーに発行します。
2.
クライアントシステムの個人用証明書ストアに証明書
をインストールします。
クライアント証明書プロファ 1.
イルを作成します。
[Device] > [ 証明書の管理 ] > [ 証明書プロファイル ] の
順に選択し、[ 追加 ] をクリックして [ 名前 ] フィール
ドに「GP-client-cert」などのプロファイル名を入力し
ます。
2.
[ ユーザー名フィールド ] ドロップダウンリストから [ サ
ブジェクト ] を選択します。
3.
[CA 証明書 ] セクションで [ 追加 ] をクリックし、[CA 証
明書 ] でクライアント証明書を発行した CA 証明書を選
択して [OK] を 2 回クリックします。
ステップ 5
GlobalProtect 管理者ガイド
233
リモートアクセス VPN（証明書プロファイル）
GlobalProtect クイック設定
クイック設定 : クライアント証明書の認証を使用した VPN リモートアクセス（続き）
ステップ 6
GlobalProtect ゲートウェイの
設定。
[Network] > [GlobalProtect] > [ ゲートウェイ ] の順に選択
し、以下の設定を追加します。
インターフェイス — ethernet1/2
「図 : リモートアクセス用
GlobalProtect VPN」に示されたト IP アドレス — 199.21.7.42
ポロジ図を参照してください。
サーバー証明書 — Go Daddy によって発行された
GP-server-cert.pem
証明書プロファイル — GP-client-cert
トンネルインターフェイス — tunnel.2
IP プール — 10.31.32.3 ～ 10.31.32.118
ステップ 7
GlobalProtect ポータルの設定。 [Network] > [GlobalProtect] > [ ポータル ] の順に選択し、
以下の設定を追加します。
1. GlobalProtect ポータルへのアクセスのセットアップを実
行します。
インターフェイス — ethernet1/2
IP アドレス — 199.21.7.42
サーバー証明書 — Go Daddy によって発行された
GP-server-cert.pem
証明書プロファイル — GP-client-cert
2.
GlobalProtect クライアント設定の定義を実行します。
接続方式 — on-demand
外部ゲートウェイアドレス — gp.acme.com
ステップ 8
GlobalProtect エージェントソフ [Device] > [GlobalProtect クライアント] の順に選択します。
トウェアのデプロイ。
この例では、「エージェント更新のポータルへのホスト」
の手順を使用します。
ステップ 9
（任意）GlobalProtect モバイル GlobalProtect ゲートウェイサブスクリプションを購入して
アプリケーションを使用できインストールし（[Device] > [ ライセンス ]）、アプリケー
るようにします。
ションを使用できるようにします。
ステップ 10 GlobalProtect の設定を保存し
ます。
234
[Commit] をクリックします。
GlobalProtect 管理者ガイド
GlobalProtect クイック設定
2 要素認証を使用したリモートアクセス VPN
2 要素認証を使用したリモートアクセス VPN
認証プロファイルと証明書プロファイルの両方で GlobalProtect ポータルやゲートウェイを設定
（2 要素認証）する場合、エンドユーザーはアクセスが許可される前にこの両方に対して正常
に認証される必要があります。ポータル認証の場合、最初のポータル接続が行われる前に、証
明書がエンドクライアントに事前にデプロイされている必要があります。さらに、クライアン
トが提示する証明書は、証明書プロファイルで定義された内容と一致する必要があります。

証明書プロファイルでユーザー名フィールドが指定されていない場合（[ユーザー名フィールド]
が [None] に設定されている場合）、クライアント証明書にユーザー名は必要ありません。こ
の場合、クライアントは認証プロファイルに対する認証時にユーザー名を提供する必要があ
ります。

証明書プロファイルでユーザー名フィールドが指定されている場合、クライアントが提示す
る証明書には、対応するフィールドにユーザー名が含まれている必要があります。たとえ
ば、証明書プロファイルでユーザー名フィールドがサブジェクトと指定されている場合、ク
ライアントが提示する証明書にはコモンネームフィールドに値が含まれている必要がありま
す。含まれていない場合、認証に失敗します。さらに、ユーザー名フィールドが必須の場
合、ユーザーが認証プロファイルに対する認証で認証情報を入力しようとするときに、証明
書のユーザー名フィールド内の値が自動的にユーザー名として入力されます。ユーザーに証
明書内のユーザー名での認証を強制しない場合、証明書プロファイルのユーザー名フィール
ドは指定しないでください。
このクイック設定では、「図 : リモートアクセス用 GlobalProtect VPN」と同じトポロジを使用しま
す。ただし、この設定では、クライアントが証明書プロファイルと認証プロファイルに対して
認証する必要があります。2 要素認証の特定のタイプに関する詳細は、以下のトピックを参照
してください。

2 要素認証の有効化

1 回限りのパスワード（OTP）を使用した 2 要素認証の有効化
GlobalProtect 管理者ガイド
235
2 要素認証を使用したリモートアクセス VPN

GlobalProtect クイック設定
スマートカードを使用した 2 要素認証の有効化
クイック設定 : 2 要素認証を使用した VPN リモートアクセス
ステップ 1
GlobalProtect のインターフェイ • [Network] > [ インターフェイス ] > [Ethernet] の順に選択
して ethernet1/2 を IP アドレス 199.21.7.42 のレイヤー 3
スおよびゾーンの作成。
Ethernet インターフェイスとして設定し、l3-untrust セキュ
すべてのインターフェイ
リティゾーンと default 仮想ルーターに割り当てます。
ス設定に default 仮想ルー
ターを使用し、ゾーン間 • IP アドレス 199.21.7.42 を gp.acme.com にマッピングする
DNS「A」レコードを作成します。
ルーティングの作成を回
避します。
• [Network] > [ インターフェイス ] > [ トンネル ] の順に選択
し、tunnel.2 インターフェイスを追加してそれを「corp-vpn」
という新しいゾーンに追加します。このインターフェイス
を default 仮想ルーターに割り当てます。
• corp-vpn ゾーンの [ ユーザー ID の有効化 ] をオンにします。
ステップ 2
セキュリティポリシーを作成 1.
し、corp-vpn ゾーンと l3-trust
ゾーン間のトラフィックフロー 2.
を有効にして内部リソースへの
アクセスを可能にします。
[Policies] > [ セキュリティ] の順に選択し、[ 追加 ] を
クリックして新しいルールを追加します。
この例では、以下の設定を使用してルールを定義し
ます。
• 名前 — VPN Access
• 送信元ゾーン — corp-vpn
• 宛先ゾーン — l3-trust
ステップ 3
以下のいずれかの方法を使用 [Device] > [ 証明書の管理 ] > [ 証明書 ] の順に選択し、証明
して、GlobalProtect ポータルお書を以下のように管理します。
よびゲートウェイをホストす • サーバー証明書を取得します。ポータルとゲートウェイ
るインターフェイスのサー
は同じインターフェイス上にあるため、両方のコンポー
バー証明書を取得します。
ネントに同じサーバー証明書を使用できます。
• （推奨）一般的なサード
• 証明書の CN は FQDN、gp.acme.com と一致する必要があ
パーティ CA からサーバー証
ります。
明書をインポートします。
• 自己署名サーバー証明書を • クライアントが証明書エラーなしでポータルに接続でき
るようにするには、パブリック CA からのサーバー証明
生成します。
書を使用します。
ステップ 4
GlobalProtect ユーザー/ マシン 1.
に対してクライアント証明書
を発行します。
エンタープライズ PKI またはパブリック CA を使用し
て、一意のクライアント証明書を各 GlobalProtect ユー
ザーに発行します。
2.
クライアントシステムの個人用証明書ストアに証明書
をインストールします。
236
GlobalProtect 管理者ガイド
GlobalProtect クイック設定
2 要素認証を使用したリモートアクセス VPN
クイック設定 : 2 要素認証を使用した VPN リモートアクセス（続き）
ステップ 5
クライアント証明書プロファ 1.
イルを作成します。
[Device] > [ 証明書の管理 ] > [ 証明書プロファイル ] の
順に選択し、[ 追加 ] をクリックして [ 名前 ] フィール
ドに「GP-client-cert」などのプロファイル名を入力し
ます。
2.
エンドユーザーの認証に使用されるユーザー名の取得
元を指定します。
• ユーザーから取得 — 認証プロファイルで指定した
サービスに対して認証するときにエンドユーザーが
ユーザー名を入力するように設定するには、[ユー
ザー名フィールド ] で [None] を選択します。
• 証明書から取得 — 証明書からユーザー名を抽出する
には、[ユーザー名フィールド] で [サブジェクト]
を選択します。このオプションを使用する場合、
ユーザーがポータル/ゲートウェイへのログインを
求められたときに証明書に含まれる CN によって
ユーザー名フィールドが自動的に入力され、ユー
ザーはそのユーザー名を使用してログインする必要
があります。
3.
ステップ 6
[CA 証明書] セクションで [追加] をクリックし、[CA
証明書 ] でクライアント証明書を発行した CA 証明書を
選択して [OK] を 2 回クリックします。
サーバープロファイルを作成 [Device] > [ サーバープロファイル ] > [LDAP] の順に選択
し、LDAP サーバーに接続するサーバープロファイルを作
します。
成します。
サーバープロファイルによっ
て、認証サービスへの接続方
法がファイアウォールに指示さ
れます。ローカル、RADIUS、
Kerberos、および LDAP 認証メ
ソッドがサポートされていま
す。この例では、Active Directory
に対してユーザーを認証する
LDAP 認証プロファイルを使用
しています。
GlobalProtect 管理者ガイド
237
2 要素認証を使用したリモートアクセス VPN
GlobalProtect クイック設定
クイック設定 : 2 要素認証を使用した VPN リモートアクセス（続き）
ステップ 7
認証プロファイルを作成し
ます。
[Device] > [ 認証プロファイル ] の順に選択し、サーバープ
ロファイルを認証プロファイルに関連付けます。
ステップ 8
GlobalProtect ゲートウェイの
設定。
[Network] > [GlobalProtect] > [ ゲートウェイ ] の順に選択
し、以下の設定を追加します。
「図 : リモートアクセス用
GlobalProtect VPN」に示され
たトポロジ図を参照してくだ
さい。
インターフェイス — ethernet1/2
IP アドレス — 199.21.7.42
サーバー証明書 — Go Daddy によって発行された
GP-server-cert.pem
証明書プロファイル — GP-client-cert
認証プロファイル — Corp-LDAP
トンネルインターフェイス — tunnel.2
IP プール — 10.31.32.3 ～ 10.31.32.118
ステップ 9
GlobalProtect ポータルの設定。 [Network] > [GlobalProtect] > [ ポータル ] の順に選択し、
以下の設定を追加します。
1. GlobalProtect ポータルへのアクセスのセットアップを実
行します。
インターフェイス — ethernet1/2
IP アドレス — 199.21.7.42
サーバー証明書 — Go Daddy によって発行された
GP-server-cert.pem
証明書プロファイル — GP-client-cert
認証プロファイル — Corp-LDAP
2.
GlobalProtect クライアント設定の定義を実行します。
接続方式 — on-demand
外部ゲートウェイアドレス — gp.acme.com
ステップ 10 GlobalProtect エージェントソ [Device] > [GlobalProtect クライアント] の順に選択します。
フトウェアのデプロイ。
この例では、「エージェント更新のポータルへのホスト」
の手順を使用します。
238
GlobalProtect 管理者ガイド
GlobalProtect クイック設定
2 要素認証を使用したリモートアクセス VPN
クイック設定 : 2 要素認証を使用した VPN リモートアクセス（続き）
ステップ 11 （任意）GlobalProtect モバイル GlobalProtect ゲートウェイサブスクリプションを購入して
アプリケーションを使用できインストールし（[Device] > [ ライセンス ]）、アプリケー
るようにします。
ションを使用できるようにします。
ステップ 12 GlobalProtect の設定を保存し
ます。
GlobalProtect 管理者ガイド
[Commit] をクリックします。
239
常時オンの VPN 設定
GlobalProtect クイック設定
常時オンの VPN 設定
「常時オン」の GlobalProtect 設定では、ユーザーのログオン時にエージェントが GlobalProtect
ポータルに接続し、ユーザーおよびホスト情報を送信してクライアント設定を受信します。次
に、以下の図に示すように、ポータルが提供するクライアント設定で指定されたゲートウェイ
への VPN トンネルをエンドユーザーの操作なしに自動的に確立します。
以前のいずれかのリモートアクセス VPN 設定を常時オン設定に切り替えるには、単に接続方
式を変更します。

リモートアクセス VPN（認証プロファイル）

リモートアクセス VPN（証明書プロファイル）

2 要素認証を使用したリモートアクセス VPN
「常時オン」設定への切り替え
1.
[Network] > [GlobalProtect] > [ ポータル ] を選択し、ポータル設定を選択して開きます。
2.
[ クライアントの設定 ] タブを選択してから、変更するクライアント設定を選択します。
3.
[ 接続方式 ] で [user-logon] を選択します。各クライアント設定でこの手順を繰り返します。
4.
[OK] を 2 回クリックしてクライアント設定とポータル設定を保存し、変更をコミットします。
240
GlobalProtect 管理者ガイド
GlobalProtect クイック設定
pre-logon を使用したリモートアクセス VPN
pre-logon を使用したリモートアクセス VPN
GlobalProtect の pre-logon 接続方式は、ユーザーがログインする前に、事前にインストールされ
たマシン証明書を使用して GlobalProtect でエージェントを認証し、VPN トンネルを確立しま
す。トンネルがすでに確立されているため、ユーザーのログイン時にキャッシュされた認証情
報を使用する代わりにドメインスクリプトを実行できます。
ユーザーがログインするまで、トラフィックに関連付けられたユーザー名は存在しません。そ
のため、クライアントシステムから信頼されたゾーンのリソースにアクセスするには、
pre-logon ユーザーを照合するセキュリティポリシーを作成する必要があります。これらのポリ
シーでは、DHCP、DNS、Active Directory（有効期限の切れたパスワードを変更する場合な
ど）、アンチウイルス、オペレーティングシステム更新サービスなど、システムの起動に必要
な基本サービスのみへのアクセスを許可します。次に、ユーザーがシステムにログインして認
証されたら、ユーザーおよびグループベースのポリシーを適用できるようにするため、VPN ト
ンネルの名前にユーザー名が付加されます。
Windows システムと Mac システムでは、pre-logon 設定の動作が異なります。上記の Windows
の動作とは異なり、Mac OS システムでは、ユーザーがログインするときにトンネルが切断さ
れ、その後に新しいトンネルが確立されます。
pre-logon では、エージェントから初めてポータルに接続するときに、エンドユーザーが認証され
る必要があります（ユーザー名を含むクライアント証明書を検証するように設定された認証プロ
ファイルまたは証明書プロファイルを使用）。認証に成功したら、ポータルがクライアント設定
を Cookie とともにエージェントにプッシュします。Cookie は、ポータル認証を行って設定の更新
を受け取るために使用されます。クライアントシステムは pre-logon モードでの接続を試みるとき
に、Cookie を使用してポータルへの認証を行い、pre-logon クライアント設定を受け取ります。次
に、設定で指定されたゲートウェイに接続し、そのマシン証明書（ゲートウェイで設定された証
明書プロファイル内で指定）を使用して認証を行い、VPN トンネルを確立します。
その後エンドユーザーがマシンにログインするときに、クライアント設定でシングルサインオ
ン（SSO）が有効になっている場合、トンネルの名前変更（Windows）ができるように、ユー
ザー名とパスワードがユーザーログインとしてキャプチャされ、ゲートウェイに対する認証に
使用されます。クライアント設定で SSO が有効になっていない場合や、SSO がクライアントシ
ステム（Mac OS システムなど）でサポートされていない場合、ユーザーの認証情報をエージェ
ントに保存する必要があります（エージェント内で [ 設定を記憶 ] チェックボックスをオンにす
る必要があります）。ゲートウェイに対する認証に成功したら、トンネルの名前変更
（Windows）または再構築が行われ、ユーザーベースおよびグループベースのポリシーを適用
できます。
GlobalProtect 管理者ガイド
241
pre-logon を使用したリモートアクセス VPN
GlobalProtect クイック設定
この例では、「図 : リモートアクセス用 GlobalProtect VPN」に示された GlobalProtect トポロジを
使用します。
クイック設定 : pre-logon を使用したリモートアクセス VPN
ステップ 1
GlobalProtect のインターフェイ • [Network] > [ インターフェイス ] > [Ethernet] の順に選択
して ethernet1/2 を IP アドレス 199.21.7.42 のレイヤー 3
スおよびゾーンの作成。
Ethernet インターフェイスとして設定し、l3-untrust セキュ
すべてのインターフェイ
リティゾーンと default 仮想ルーターに割り当てます。
ス設定に default 仮想ルー
ターを使用し、ゾーン間 • IP アドレス 199.21.7.42 を gp.acme.com にマッピングする DNS
「A」レコードを作成します。
ルーティングの作成を回
避します。
• [Network] > [ インターフェイス ] > [ トンネル ] の順に選択
し、tunnel.2 インターフェイスを追加してそれを「corp-vpn」
という新しいゾーンに追加します。このインターフェイ
スを default 仮想ルーターに割り当てます。
• corp-vpn ゾーンの [ ユーザー ID の有効化 ] をオンにします。
242
GlobalProtect 管理者ガイド
GlobalProtect クイック設定
pre-logon を使用したリモートアクセス VPN
クイック設定 : pre-logon を使用したリモートアクセス VPN（続き）
ステップ 2
セキュリティポリシールールこの設定では、以下のポリシーが必要になります
を作成します。
（[Policies] > [Security]）。
• 最初に、認証サービス、DNS、DHCP、Microsoft Updates
など、コンピュータの起動に必要な基本サービスへのロ
グオン前のユーザーアクセスを可能にするルールを作
成します。
• 次に、ユーザーがログインに成功した後にすべての既知
のユーザーに corp-vpn ゾーンと l3-trust ゾーン間のアク
セスを許可するルールを作成します。
ステップ 3
以下のいずれかの方法を使用 [Device] > [ 証明書の管理 ] > [ 証明書 ] の順に選択し、証明
して、GlobalProtect ポータルお書を以下のように管理します。
よびゲートウェイをホストす • サーバー証明書を取得します。ポータルとゲートウェイ
るインターフェイスのサー
は同じインターフェイス上にあるため、両方のコンポー
バー証明書を取得します。
ネントに同じサーバー証明書を使用できます。
• （推奨）一般的なサード
• 証明書の CN は FQDN、gp.acme.com と一致する必要があ
パーティ CA からサーバー証
ります。
明書をインポートします。
• 自己署名サーバー証明書を • クライアントが証明書エラーなしでポータルに接続でき
るようにするには、パブリック CA からのサーバー証明
生成します。
書を使用します。
ステップ 4
GlobalProtect に接続する各クラ 1.
イアントシステム用のマシン
証明書を生成し、各マシンの 2.
個人用証明書ストアにイン
ポートします。
GlobalProtect ユーザー/ マシンに対してクライアント証
明書を発行します。
クライアントシステムの個人用証明書ストアに証明書を
インストールします。（Windows のローカルコンピュー
タストアまたは Mac OS のシステムキーチェーン）
各クライアントシステムに対
して自己署名証明書を生成す
ることもできますが、ベスト
プラクティスとして独自の公
開鍵インフラストラクチャ
（PKI）を使用して、クライア
ントに証明書を発行および配
布します。
GlobalProtect 管理者ガイド
243
pre-logon を使用したリモートアクセス VPN
GlobalProtect クイック設定
クイック設定 : pre-logon を使用したリモートアクセス VPN（続き）
ステップ 5
マシン証明書を発行した CA か 1.
らの信頼されたルート CA 証明 2.
書をポータルとゲートウェイ
にインポートします。
秘密鍵をインポートする
必要はありません。
Base64 形式で CA 証明書をダウンロードします。
ポータルまたはゲートウェイをホストする各ファイア
ウォールに、以下の手順で証明書をインポートします。
a. [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証
明書] の順に選択し、[インポート] をクリックします。
b. [ 証明書名 ] フィールドに、クライアント CA 証明書で
あることを識別できる名前を入力します。
c. [Browse] をクリックして、CA からダウンロードし
た証明書ファイルを選択します。
d. [Base64 エンコード済み証明書 (PEM)] を [ ファイル
フォーマット ] フィールドで選択し、[OK] をクリッ
クします。
e. [ デバイス証明書 ] タブで、先ほどインポートした証
明書を選択して開きます。
f. [ 信頼されたルート CA] を選択して [OK] をクリック
します。
ステップ 6
244
GlobalProtect ゲートウェイをホ 1.
ストする各ファイアウォール
で、クライアントマシン証明
書の検証にどの CA 証明書を使
用するかを識別する証明書プ 2.
ロファイルを作成します。
3.
必要に応じて、システムへの
ログイン時のユーザー認証に
クライアント証明書の認証を
使用する場合、マシン証明書 4.
を発行した CA 証明書に加え
て、クライアント証明書を発
行した CA 証明書が異なる場合
5.
はその CA 証明書も証明書プロ
ファイル内で参照されている
ことを確認します。
[Device] > [ 証明書の管理 ] > [ 証明書プロファイル ] の順
に選択して [ 追加 ] をクリックし、[ 名前 ] に
「PreLogonCert」などのプロファイルを一意に識別で
きる名前を入力します。
[ ユーザー名フィールド ] を [None] に設定します。
（任意）ログイン時のユーザー認証にクライアント証
明書の認証も使用する場合、クライアント証明書を発
行した CA 証明書がマシン証明書を発行した CA 証明書
と異なる場合はその CA 証明書を追加します。
[CA 証明書] フィールドで [追加] をクリックし、ステッ
プ 5 でインポートした「信頼されたルート CA」の証明
書を選択してから [OK] をクリックします。
[OK] をクリックしてプロファイルを保存します。
GlobalProtect 管理者ガイド
GlobalProtect クイック設定
pre-logon を使用したリモートアクセス VPN
クイック設定 : pre-logon を使用したリモートアクセス VPN（続き）
ステップ 7
GlobalProtect ゲートウェイの
設定。
[Network] > [GlobalProtect] > [ ゲートウェイ ] の順に選択
し、以下の設定を追加します。
「図 : リモートアクセス用
GlobalProtect VPN」に示され
たトポロジ図を参照してくだ
さい。
インターフェイス — ethernet1/2
ゲートウェイへのログオン前の
アクセス用に証明書プロファイ
ルを作成する必要があります
が、ログインユーザーにはク
ライアント証明書の認証か認証
プロファイルベースの認証の
いずれかを使用できます。この
例では、ポータルに対するユー
ザー認証に使用されるものと同
じ LDAP プロファイルが使用さ
れています。
GlobalProtect 管理者ガイド
IP アドレス — 199.21.7.42
サーバー証明書 — Go Daddy によって発行された
GP-server-cert.pem
証明書プロファイル — PreLogonCert
認証プロファイル — Corp-LDAP
トンネルインターフェイス — tunnel.2
IP プール — 10.31.32.3 ～ 10.31.32.118
ゲートウェイ設定をコミットします。
245
pre-logon を使用したリモートアクセス VPN
GlobalProtect クイック設定
クイック設定 : pre-logon を使用したリモートアクセス VPN（続き）
ステップ 8
GlobalProtect ポータルの設定。 [Network] > [GlobalProtect] > [ ポータル ] の順に選択し、
以下の設定を追加します。
この設定では、ユーザーがログ
1. GlobalProtect ポータルへのアクセスのセットアップを実
インしていない場合にエージェ
行します。
ントにプッシュされるクライア
インターフェイス — ethernet1/2
ント設定（ユーザー/ ユーザー
グループは pre-logon）と、ユー
IP アドレス — 199.21.7.42
ザーがログインしている場合に
サーバー証明書 — Go Daddy によって発行された
プッシュされるクライアント設
GP-server-cert.pem
定（ユーザー/ ユーザーグルー
証明書プロファイル — None
プは any）の 2 つを作成しま
認証プロファイル — Corp-LDAP
す。ログインユーザーに複数
のゲートウェイへのアクセスを 2. ログオン前のユーザーとログインユーザーに対して、
許可し、一方ログオン前のユー
GlobalProtect クライアント設定の定義を実行します。
ザーに対しては、1 つのゲート
最初のクライアント設定
ウェイに制限したい場合がある
接続方式 — pre-logon
かもしれません。
外部ゲートウェイアドレス — gp.acme.com
ベストプラクティスとし
ユーザー/ ユーザーグループ — pre-logon
て、2 番目のクライアント
認証修飾子 — 設定更新のための Cookie 認証
設定で SSO を有効にし、
2 番目のクライアント設定
ユーザーがマシンにログ
インした直後に正しい
シングルサインオンの使用 — 有効
ユーザー名がゲートウェ
接続方式 — pre-logon
イに報告されるようにし
外部ゲートウェイアドレス — gp.acme.com
ます。SSO が有効になって
ユーザー/ ユーザーグループ — any
いない場合、GlobalProtect
エージェントの設定パネ
ルで保存したユーザー名 3.
が使用されます。
ステップ 9
246
GlobalProtect の設定を保存し
ます。
認証修飾子 — 設定更新のための Cookie 認証
pre-logon クライアント設定が設定リストの先頭であるこ
とを確認します。先頭でない場合は選択して [ 上へ ] を
クリックします。
[Commit] をクリックします。
GlobalProtect 管理者ガイド
GlobalProtect クイック設定
GlobalProtect 複数ゲートウェイ設定
GlobalProtect 複数ゲートウェイ設定
「図 : GlobalProtect 複数ゲートウェイトポロジ」では、2 番目の外部ゲートウェイが設定に追加さ
れています。これまでのすべての設定例では複数のゲートウェイがサポートされています。追加
手順には、複数のゲートウェイを使用できる GlobalProtect ポータルライセンスのインストール、
GlobalProtect ゲートウェイとしての 2 番目のファイアウォールの設定が含まれます。さらに、クラ
イアント設定がポータルでデプロイされるように設定するときに、すべてのゲートウェイへのア
クセスを許可するか、設定ごとに異なるゲートウェイを指定するかを決定できます。
クライアント設定に複数のゲートウェイが含まれている場合、エージェントはクライアント設
定に含まれるすべてのゲートウェイへの接続を試みます。次に、エージェントは優先順位と応
答時間を使用して、接続するゲートウェイを決定します。
図 : GlobalProtect 複数ゲートウェイトポロジ
GlobalProtect 管理者ガイド
247
GlobalProtect 複数ゲートウェイ設定
GlobalProtect クイック設定
クイック設定 : GlobalProtect 複数ゲートウェイ設定
ステップ 1
GlobalProtect のインターフェイポータル / ゲートウェイ（gw1）をホストするファイアウォールで、以下
を実行します。
スおよびゾーンの作成。
この設定では、ゲートウェイ • [Network] > [ インターフェイス ] > [Ethernet] の順に選択
して ethernet1/2 を IP アドレス 198.51.100.42 のレイヤー 3
をホストする各ファイア
Ethernet インターフェイスとして設定し、l3-untrust セキュ
ウォールでインターフェイス
リティゾーンと default 仮想ルーターに割り当てます。
をセットアップする必要があ
ります。
• IP アドレス 198.51.100.42 を gp1.acme.com にマッピングす
る DNS「A」レコードを作成します。
すべてのインターフェイ
ス設定に default 仮想ルー • [Network] > [ インターフェイス ] > [ トンネル ] の順に選
択し、tunnel.2 インターフェイスを追加してそれを
ターを使用し、ゾーン間
「corp-vpn」という新しいゾーンに追加します。このイ
ルーティングの作成を回
ンターフェイスを default 仮想ルーターに割り当てます。
避します。
• corp-vpn ゾーンの [ユーザー ID の有効化] をオンにします。
2 番目のゲートウェイ（gw2）をホストするファイアウォールで、以下
を実行します。
• [Network] > [ インターフェイス ] > [Ethernet] の順に選択
して ethernet1/5 を IP アドレス 192.0.2.4 のレイヤー 3
Ethernet インターフェイスとして設定し、l3-untrust セキュ
リティゾーンと default 仮想ルーターに割り当てます。
• IP アドレス 192.0.2.4 を gp2.acme.com にマッピングする
DNS「A」レコードを作成します。
• [Network] > [インターフェイス] > [トンネル] の順に
選択し、tunnel.2 インターフェイスを追加してそれを
「corp-vpn」という新しいゾーンに追加します。このイ
ンターフェイスを default 仮想ルーターに割り当てます。
• corp-vpn ゾーンの [ユーザー ID の有効化] をオンにします。
ステップ 2
248
ポータルをホストするファイア
ウォールの GlobalProtect ポータ
ルライセンスを購入してインス
トールします。このライセンス
では、複数ゲートウェイ設定を
有効にする必要があります。
ポータルライセンスを購入してアクティベーションコー
ドを受け取ったら、以下の手順でポータルをホストする
ファイアウォールにライセンスをインストールします。
1. [Device] > [ ライセンス ] の順に選択します。
2.
[ 認証コードを使用した機能のアクティベーション ] を
オンにします。
モバイルデバイスで
3.
GlobalProtect アプリケー
ションを使用するユー 4.
ザーがいる場合、または
HIP 対応のセキュリティ
ポリシーを使用する場
合、各ゲートウェイの
GlobalProtect サブスクリプ
ションも必要になります。
プロンプトが表示されたら、[ 認証コード ] を入力して
[OK] をクリックします。
ライセンスが正常にアクティベーションされたことを
確認します。
GlobalProtect 管理者ガイド
GlobalProtect クイック設定
GlobalProtect 複数ゲートウェイ設定
クイック設定 : GlobalProtect 複数ゲートウェイ設定（続き）
ステップ 3
GlobalProtect ゲートウェイをホ
ストしている各ファイア
ウォールで、セキュリティポ
リシーを作成します。
この設定では、corp-vpn ゾーンと l3-trust ゾーン間のトラ
フィックフローを有効にして内部リソースへのアクセスを
可能にするポリシールールが必要です（[Policies] > [ セキュ
リティ]）。
ステップ 4
以下の推奨事項に従い、
GlobalProtect ポータルおよび各
GlobalProtect ゲートウェイをホ
ストするインターフェイスの
サーバー証明書を取得します。
ポータル / ゲートウェイまたはゲートウェイをホストする
各ファイアウォールで、[Device] > [ 証明書の管理 ] > [ 証明
書 ] の順に選択し、以下のように証明書を管理します。
• （ポータルまたはポータル /
ゲートウェイをホストする
ファイアウォール）一般的
なサードパーティ CA から
サーバー証明書をインポー
トします。
• （ゲートウェイのみをホス
トするファイアウォール）
自己署名サーバー証明書を
生成します。
ステップ 5
• ポータル /gw1 のサーバー証明書を取得します。ポータル
とゲートウェイは同じインターフェイス上にあるため、
同じサーバー証明書を使用する必要があります。証明書
の CN は FQDN、gp1.acme.com と一致する必要がありま
す。クライアントが証明書エラーなしでポータルに接続
できるようにするには、パブリック CA からのサーバー
証明書を使用します。
• gw2 をホストするインターフェイスのサーバー証明書を
取得します。このインターフェイスはゲートウェイのみ
をホストするため、自己署名証明書を使用できます。証
明書の CN は FQDN、gp2.acme.com と一致する必要があ
ります。
ポータルおよびゲートウェイ必要に応じて、証明書プロファイルと認証プロファイルの
に対するユーザーの認証方法任意の組み合わせを使用し、ポータルおよびゲートウェイ
を定義します。
のセキュリティを確保できます。ポータルおよび個々の
ゲートウェイには、異なる認証スキームを使用することも
できます。この手順は、以下のセクションを参照してくだ
さい。
• 外部認証のセットアップ（認証プロファイル）
• クライアント証明書認証のセットアップ（証明書プロ
ファイル）
• 2 要素認証のセットアップ（トークンまたは OTP ベー
ス）
次に、ポータルおよびゲートウェイ設定で定義した証明書プ
ロファイルや認証プロファイルを参照する必要があります。
ステップ 6
ゲートウェイを設定します。
GlobalProtect 管理者ガイド
この例では、「図 : GlobalProtect 複数ゲートウェイトポロ
ジ」に示された gp1 と gp2 の設定を使用しています。ゲー
トウェイ設定の作成手順は、「GlobalProtect ゲートウェイ
の設定」を参照してください。
249
GlobalProtect 複数ゲートウェイ設定
GlobalProtect クイック設定
クイック設定 : GlobalProtect 複数ゲートウェイ設定（続き）
gp1 をホストするファイアウォールで、以 gp2 をホストするファイアウォールで、以下のようにゲー
下のようにゲートウェイを設定します。
トウェイを設定します。
[Network] > [GlobalProtect] > [ ゲートウェイ ] [Network] > [GlobalProtect] > [ ゲートウェイ ] の順に選択
の順に選択し、以下の設定を追加します。し、以下の設定を追加します。
インターフェイス — ethernet1/2
インターフェイス — ethernet1/2
IP アドレス — 198.51.100.42
IP アドレス — 192.0.2.4
サーバー証明書 — Go Daddy によって発行サーバー証明書 — 自己署名証明書、GP2-server-cert.pem
された GP1-server-cert.pem
トンネルインターフェイス — tunnel.1
トンネルインターフェイス — tunnel.2
IP プール — 10.31.33.3 ～ 10.31.33.118
IP プール — 10.31.32.3 ～ 10.31.32.118
ステップ 7
GlobalProtect ポータルの設定。 [Network] > [GlobalProtect] > [ ポータル ] の順に選択し、
以下の設定を追加します。
1. GlobalProtect ポータルへのアクセスのセットアップを実
行します。
インターフェイス — ethernet1/2
IP アドレス — 198.51.100.42
サーバー証明書 — Go Daddy によって発行された
GP1-server-cert.pem
2.
GlobalProtect クライアント設定の定義を実行します。
作成するクライアント設定数は、ユーザー/ グループ
ベースのポリシーや HIP 対応のポリシーの適用が必要
かどうかを含む、特定のアクセス要件によって異なり
ます。
ステップ 8
ステップ 9
250
GlobalProtect エージェントソ
フトウェアのデプロイ。
[Device] > [GlobalProtect クライアント] の順に選択します。
GlobalProtect の設定を保存し
ます。
ポータルおよびゲートウェイをホストするファイアウォー
ルで [Commit] をクリックします。
この例では、「エージェント更新のポータルへのホスト」
の手順を使用します。
GlobalProtect 管理者ガイド
GlobalProtect クイック設定
内部 HIP チェックとユーザーベースのアクセス用の GlobalProtect
内部 HIP チェックとユーザーベースのアクセス用の
GlobalProtect
User-ID や HIP チェックと併用した場合、内部ゲートウェイはユーザーやデバイス状態別にトラ
フィックを安全かつ正確に識別して制御する方法を提供できるため、その他のネットワークア
クセス制御（NAC）サービスの代わりに使用できます。内部ゲートウェイは、重要なリソース
への認証済みアクセスが必要な機密環境で役立ちます。
内部ゲートウェイのみの設定では、すべてのクライアントが user-logon モードで設定されている
必要があります。on-demand モードはサポートされていません。さらに、すべてのクライアン
ト設定でシングルサインオン（SSO）を使用することをお勧めします。また、内部ホストは
ゲートウェイとのトンネル接続を確立する必要はないため、クライアントシステムの物理ネッ
トワークアダプタの IP アドレスが使用されます。
このクイック設定では、Engineering グループのユーザーに内部ソース管理とバグデータベース
へのアクセスを許可し、Finance グループのユーザーに CRM アプリケーションへのアクセスを
許可するグループベースのポリシーの適用に内部ゲートウェイが使用されています。認証され
たすべてのユーザーは内部 Web リソースにアクセスできます。さらに、ゲートウェイで設定さ
れた HIP プロファイルでは、最新のセキュリティパッチとアンチウイルス定義がインストール
されているかどうか、ディスク暗号化が有効になっているかどうか、必須ソフトウェアがイン
ストールされているかどうかなどの内部メンテナンス要件に各ホストが従っていることを確認
します。
図 : GlobalProtect 内部ゲートウェイ設定
GlobalProtect 管理者ガイド
251
内部 HIP チェックとユーザーベースのアクセス用の GlobalProtect
GlobalProtect クイック設定
クイック設定 : GlobalProtect 内部ゲートウェイ設定
ステップ 1
GlobalProtect のインターフェイポータル / ゲートウェイをホストする各ファイアウォール
で、以下を実行します。
スおよびゾーンの作成。
1. ポータル / ゲートウェイをホストする Ethernet ポートを
この設定では、ポータルや
選択し、l3-trust セキュリティゾーンの IP アドレスでレ
ゲートウェイをホストする各
イヤー 3 インターフェイスを設定します（[Network] >
ファイアウォールでインター
[ インターフェイス ] > [Ethernet]）。
フェイスをセットアップする
必要があります。この設定で 2. l3-trust ゾーンの [ ユーザー ID の有効化 ] チェックボッ
クスをオンにします。
は内部ゲートウェイのみを使
用するため、内部ネットワー
クのインターフェイスでポー
タルおよびゲートウェイを設
定する必要があります。
すべてのインターフェイ
ス設定に default 仮想ルー
ターを使用し、ゾーン間
ルーティングの作成を回
避します。
ステップ 2
内部ゲートウェイをホストす
る各ファイアウォールで、
ポータルおよびゲートウェイ
サブスクリプションをホスト
するファイアウォールの
GlobalProtect ポータルライセ
ンスを購入してインストール
します。これは内部ゲート
ウェイと HIP チェックを有効
にするために必要です。
ポータルライセンスを購入してアクティベーションコー
ドを受け取ったら、以下の手順でポータルをホストする
ファイアウォールにライセンスをインストールします。
1. [Device] > [ ライセンス ] の順に選択します。
2.
[ 認証コードを使用した機能のアクティベーション ] を
オンにします。
3.
プロンプトが表示されたら、[ 認証コード ] を入力して
[OK] をクリックします。
4.
ライセンスが正常にアクティベーションされたことを
確認します。
必要なライセンスがない場合は、Palo Alto Networks のセー
ルスエンジニアまたはリセラーにお問い合わせください。
ライセンスの詳細は、「GlobalProtect ライセンスの概要」
を参照してください。
252
GlobalProtect 管理者ガイド
GlobalProtect クイック設定
内部 HIP チェックとユーザーベースのアクセス用の GlobalProtect
クイック設定 : GlobalProtect 内部ゲートウェイ設定（続き）
ステップ 3
GlobalProtect ポータルおよび各推奨されるワークフローは以下のとおりです。
GlobalProtect ゲートウェイのサー 1. ポータルをホストするファイアウォールで、以下を実
バー証明書を取得します。
行します。
エンドクライアントがポータ
ルに初めて接続する場合、
ポータルサーバー証明書の発
行に使用されたルート CA 証明
書を信頼する必要がありま
す。最初のポータル接続前に
ポータルで自己署名証明書を
使用してルート CA 証明書をエ 2.
ンドクライアントにデプロイ
するか、信頼された CA から
ポータル用のサーバー証明書
を取得することができます。
a. 一般的なサードパーティ CA からサーバー証明書をイ
ンポートします。
b. GlobalProtect コンポーネントの自己署名証明書を発
行するためのルート CA 証明書を作成します。
c. 自己署名サーバー証明書を生成します。各ゲート
ウェイでこの手順を繰り返します。
内部ゲートウェイをホストする各ファイアウォール
で、以下を実行します。
a. 自己署名サーバー証明書をデプロイします。
ゲートウェイでは自己署名証
明書を使用できます。
ステップ 4
ポータルおよびゲートウェイ必要に応じて、証明書プロファイルと認証プロファイルの
に対するユーザーの認証方法任意の組み合わせを使用し、ポータルおよびゲートウェイ
を定義します。
のセキュリティを確保できます。ポータルおよび個々の
ゲートウェイには、異なる認証スキームを使用することも
できます。この手順は、以下のセクションを参照してくだ
さい。
• 外部認証のセットアップ（認証プロファイル）
• クライアント証明書認証のセットアップ（証明書プロ
ファイル）
• 2 要素認証のセットアップ（トークンまたは OTP ベース）
次に、ポータルおよびゲートウェイ設定で定義した証明書プ
ロファイルや認証プロファイルを参照する必要があります。
GlobalProtect 管理者ガイド
253
内部 HIP チェックとユーザーベースのアクセス用の GlobalProtect
GlobalProtect クイック設定
クイック設定 : GlobalProtect 内部ゲートウェイ設定（続き）
ステップ 5
ゲートウェイへのアクセスに 1.
セキュリティポリシーを適用
する必要がある HIP プロファ
イルを作成します。
HIP 照合の詳細は、「ポリシー
適用におけるホスト情報の使
用」を参照してください。
2.
エージェントが収集した生ホストデータにフィルタを
かける HIP オブジェクトを作成します。たとえば、最
新の必須パッチが適用されていないユーザーによるア
クセスを禁止する場合、パッチ管理ソフトウェアがイ
ンストール済みかどうか、および指定された重大度の
すべてのパッチが最新であるかどうかを照合する HIP
オブジェクトを作成します。
ポリシーで使用する HIP プロファイルを作成します。
たとえば、最新のパッチが適用された Windows ユーザー
のみが内部アプリケーションにアクセスできるようにす
るには、欠落しているパッチが存在しないホストを照合
する以下の HIP プロファイルを関連付けます。
ステップ 6
内部ゲートウェイを設定し
ます。
[Network] > [GlobalProtect] > [ ゲートウェイ ] の順に選択
し、以下の設定を追加します。
• インターフェイス
• IP アドレス
• サーバー証明書
• 認証プロファイル / 設定プロファイル
ゲートウェイ設定ではトンネル接続は不要なため、（HIP
通知をセットアップしない限り）クライアント設定は必要
ありません。ゲートウェイ設定の作成手順は、
「GlobalProtect ゲートウェイの設定」を参照してください。
254
GlobalProtect 管理者ガイド
GlobalProtect クイック設定
内部 HIP チェックとユーザーベースのアクセス用の GlobalProtect
クイック設定 : GlobalProtect 内部ゲートウェイ設定（続き）
ステップ 7
GlobalProtect ポータルの設定。 [Network] > [GlobalProtect] > [ ポータル ] の順に選択し、
以下の設定を追加します。
これまでのすべての設定では
1. GlobalProtect ポータルへのアクセスのセットアップを実
[ 接続方式 ] に [user-logon] ま
行します。
たは [on-demand] を使用でき
インターフェイス — ethernet1/2
ますが、内部ゲートウェイ設
定は常時オンである必要があ
IP アドレス — 10.31.34.13
るため、[ 接続方式 ] には
サーバー証明書 — Go Daddy によって発行された
[user-logon] を使用する必要
CN=gp.acme.com の GP-server-cert.pem
があります。
2. GlobalProtect クライアント設定の作成を実行します。
シングルサインオンの使用 — 有効
接続方式 — user-logon
内部ゲートウェイアドレス — california.acme.com、
newyork.acme.com
ユーザー/ ユーザーグループ — any
3.
ポータル設定をコミットします。
ステップ 8
GlobalProtect エージェントソ [Device] > [GlobalProtect クライアント] の順に選択します。
フトウェアのデプロイ。
この例では、「エージェント更新のポータルへのホスト」
の手順を使用します。
ステップ 9
ゲートウェイの HIP 対応セキュこの例では、以下のセキュリティルールを追加します。
リティルールやユーザー/ グ 1. [Policies] > [ セキュリティ] の順に選択し、[ 追加 ] を
ループベースのセキュリティ
クリックします。
ルールを作成します。
2. [ 送信元 ] タブで [ 送信元ゾーン ] を l3-trust に設定し
ます。
3.
[ ユーザー] タブで、照合する HIP プロファイルとユー
ザー/ グループを追加します。
• [HIP プロファイル ] セクションで [ 追加 ] をクリッ
クし、「MissingPatch」という HIP プロファイルを
追加します。
• [ 送信元ユーザー] セクションで [ 追加 ] をクリック
し、「Finance」または「Engineering」というグルー
プを作成して選択します。
GlobalProtect 管理者ガイド
4.
[OK] をクリックしてルールを保存します。
5.
ゲートウェイ設定をコミットします。
255
内部ゲートウェイと外部ゲートウェイの混合設定
GlobalProtect クイック設定
内部ゲートウェイと外部ゲートウェイの混合設定
GlobalProtect の内部ゲートウェイと外部ゲートウェイの混合設定では、VPN アクセス用のゲー
トウェイと機密内部リソースへのアクセス用のゲートウェイを個別に設定します。この設定で
は、エージェントが内部ホスト検出を実行し、内部ネットワークと外部ネットワークのどちら
に属しているかを特定します。エージェントが外部ネットワークにあると判断された場合、ク
ライアント設定に含まれる外部ゲートウェイへの接続を試み、優先順位が最も高く、応答時間
が最も短いゲートウェイで VPN（トンネル）接続を確立します。
セキュリティポリシーはゲートウェイごとに個別に定義されるため、外部ユーザーと内部ユー
ザーがアクセスできるリソースを詳細に制御できます。さらに、ユーザー/ グループメンバー
シップまたは HIP プロファイル照合に基づいて異なるクライアント設定をデプロイするように
ポータルを設定することで、ユーザーがアクセスできるゲートウェイも詳細に制御できます。
この例では、ポータルおよび 3 つすべてのゲートウェイ（1 つが外部で 2 つが内部）が個別の
ファイアウォールにデプロイされています。gpvpn.acme.com の外部ゲートウェイは企業ネット
ワークへのリモート VPN アクセスを提供し、内部ゲートウェイはグループメンバーシップに
基づく機密データセンターリソースへの詳細なアクセス制御を提供します。さらに、データセ
ンターにアクセスするホストのセキュリティパッチが常に最新になるように、HIP チェックが
使用されています。
図 : 内部ゲートウェイと外部ゲートウェイを使用した GlobalProtect デプロイメント
256
GlobalProtect 管理者ガイド
GlobalProtect クイック設定
内部ゲートウェイと外部ゲートウェイの混合設定
クイック設定 : GlobalProtect の内部ゲートウェイと外部ゲートウェイの混合設定
ステップ 1
GlobalProtect のインターフェイポータルゲートウェイ（gp.acme.com）をホストするファイアウォール
で、以下を実行します。
スおよびゾーンの作成。
この設定では、ポータルをホ • [Network] > [ インターフェイス ] > [Ethernet] の順に選択
して ethernet1/2 を IP アドレス 198.51.100.42 のレイヤー 3
ストするファイアウォールお
Ethernet
インターフェイスとして設定し、l3-untrust セキュ
よびゲートウェイをホストす
リティ
ゾーンと
default 仮想ルーターに割り当てます。
る各ファイアウォールでイン
ターフェイスをセットアップ • IP アドレス 198.51.100.42 を gp.acme.com にマッピングす
する必要があります。
る DNS「A」レコードを作成します。
すべてのインターフェイ • [Network] > [ インターフェイス ] > [ トンネル ] の順に選
択し、tunnel.2 インターフェイスを追加してそれを
ス設定に default 仮想ルー
「corp-vpn」という新しいゾーンに追加します。このイ
ターを使用し、ゾーン間
ンターフェイスを default 仮想ルーターに割り当てます。
ルーティングの作成を回
避します。
• corp-vpn ゾーンの [ユーザー ID の有効化] をオンにします。
外部ゲートウェイ（gpvpn.acme.com）をホストするファイアウォール
で、以下を実行します。
• [Network] > [ インターフェイス ] > [Ethernet] の順に選択
して ethernet1/5 を IP アドレス 192.0.2.4 のレイヤー 3
Ethernet インターフェイスとして設定し、l3-untrust セキュ
リティゾーンと default 仮想ルーターに割り当てます。
• IP アドレス 192.0.2.4 を gpvpn.acme.com にマッピングする
DNS「A」レコードを作成します。
• [Network] > [インターフェイス] > [トンネル] の順に
選択し、tunnel.3 インターフェイスを追加してそれを
「corp-vpn」という新しいゾーンに追加します。このイ
ンターフェイスを default 仮想ルーターに割り当てます。
• corp-vpn ゾーンの [ユーザー ID の有効化] をオンにします。
外部ゲートウェイ（california.acme.com および newyork.acme.com）を
ホストするファイアウォールで、以下を実行します。
• [Network] > [ インターフェイス ] > [Ethernet] の順に選
択し、内部ネットワークの IP アドレスでレイヤー 3
Ethernet インターフェイスを設定して l3-trust セキュリ
ティゾーンと default 仮想ルーターを割り当てます。
• 内部 IP アドレス california.acme.com と newyork.acme.com
をマッピングする DNS「A」レコードを作成します。
• l3-trust ゾーンの [ ユーザー ID の有効化 ] チェックボック
スをオンにします。
GlobalProtect 管理者ガイド
257
内部ゲートウェイと外部ゲートウェイの混合設定
GlobalProtect クイック設定
クイック設定 : GlobalProtect の内部ゲートウェイと外部ゲートウェイの混合設定（続き）
ステップ 2
ゲートウェイ（内部および外
部）をホストする各ファイア
ウォールで、ポータルおよび
ゲートウェイサブスクリプ
ションをホストするファイア
ウォールの GlobalProtect ポー
タルライセンスを購入してイ
ンストールします。
ポータルライセンスとゲートウェイサブスクリプション
を購入してアクティベーションコードを受け取ったら、以
下のようにポータルをホストするファイアウォールライセ
ンスをインストールし、ゲートウェイをホストするファイ
アウォールにゲートウェイサブスクリプションをインス
トールします。
1. [Device] > [ ライセンス ] の順に選択します。
2.
[ 認証コードを使用した機能のアクティベーション ] を
オンにします。
3.
プロンプトが表示されたら、[ 認証コード ] を入力して
[OK] をクリックします。
4.
ライセンスとサブスクリプションが正常にアクティ
ベーションされたことを確認します。
必要なライセンスがない場合は、Palo Alto Networks のセー
ルスエンジニアまたはリセラーにお問い合わせください。
ライセンスの詳細は、「GlobalProtect ライセンスの概要」
を参照してください。
ステップ 3
GlobalProtect ポータルおよび各推奨されるワークフローは以下のとおりです。
GlobalProtect ゲートウェイのサー 1. ポータルをホストするファイアウォールで、以下を実
バー証明書を取得します。
行します。
エンドクライアントがポータ
ルに初めて接続する場合、ポー
タルサーバー証明書の発行に
使用されたルート CA 証明書を
信頼する必要があります。
ゲートウェイで自己署名証明
書を使用し、クライアント設
2.
定内のエージェントにルート
CA 証明書をデプロイします。
ベストプラクティスとして、
ポータルをホストするファイ
アウォールですべての証明書
を生成し、ゲートウェイにデ
プロイします。
258
a. 一般的なサードパーティ CA からサーバー証明書を
インポートします。
b. GlobalProtect コンポーネントの自己署名証明書を発
行するためのルート CA 証明書を作成します。
c. 自己署名サーバー証明書を生成します。各ゲート
ウェイでこの手順を繰り返します。
内部ゲートウェイをホストする各ファイアウォール
で、以下を実行します。
• 自己署名サーバー証明書をデプロイします。
GlobalProtect 管理者ガイド
GlobalProtect クイック設定
内部ゲートウェイと外部ゲートウェイの混合設定
クイック設定 : GlobalProtect の内部ゲートウェイと外部ゲートウェイの混合設定（続き）
ステップ 4
ポータルおよびゲートウェイ必要に応じて、証明書プロファイルと認証プロファイルの
に対するユーザーの認証方法任意の組み合わせを使用し、ポータルおよびゲートウェイ
を定義します。
のセキュリティを確保できます。ポータルおよび個々の
ゲートウェイには、異なる認証スキームを使用することも
できます。この手順は、以下のセクションを参照してくだ
さい。
• 外部認証のセットアップ（認証プロファイル）
• クライアント証明書認証のセットアップ（証明書プロ
ファイル）
• 2 要素認証のセットアップ（トークンまたは OTP ベース）
次に、ポータルおよびゲートウェイ設定で定義した証明書プ
ロファイルや認証プロファイルを参照する必要があります。
ステップ 5
ゲートウェイへのアクセスに 1.
セキュリティポリシーを適用
する必要がある HIP プロファ
イルを作成します。
HIP 照合の詳細は、「ポリシー
適用におけるホスト情報の使
用」を参照してください。
2.
エージェントが収集した生ホストデータにフィルタを
かける HIP オブジェクトを作成します。たとえば、最
新の必須パッチが適用されていないユーザーによるア
クセスを禁止する場合、パッチ管理ソフトウェアがイ
ンストール済みかどうか、および指定された重大度の
すべてのパッチが最新であるかどうかを照合する HIP
オブジェクトを作成します。
ポリシーで使用する HIP プロファイルを作成します。
たとえば、最新のパッチが適用された Windows ユーザー
のみが内部アプリケーションにアクセスできるようにす
るには、欠落しているパッチが存在しないホストを照合
する以下の HIP プロファイルを関連付けます。
GlobalProtect 管理者ガイド
259
内部ゲートウェイと外部ゲートウェイの混合設定
GlobalProtect クイック設定
クイック設定 : GlobalProtect の内部ゲートウェイと外部ゲートウェイの混合設定（続き）
ステップ 6
内部ゲートウェイを設定し
ます。
[Network] > [GlobalProtect] > [ ゲートウェイ ] の順に選択
し、以下の設定を追加します。
• インターフェイス
• IP アドレス
• サーバー証明書
• 認証プロファイル / 設定プロファイル
ゲートウェイ設定ではトンネル接続は不要なため、（HIP 通
知をセットアップしない限り）クライアント設定は必要あり
ません。ゲートウェイ設定の作成手順は、「GlobalProtect
ゲートウェイの設定」を参照してください。
ステップ 7
GlobalProtect ポータルの設定。 [Network] > [GlobalProtect] > [ポータル] の順に選択し、
以下の設定を追加します。
この例では、すべてのエー
1. GlobalProtect ポータルへのアクセスのセットアップを実
ジェントにデプロイされる 1 つ
行します。
のクライアント設定の作成方
インターフェイス — ethernet1/2
法を示していますが、ユー
ザーごとに個別の設定を作成
IP アドレス — 10.31.34.13
し、ユーザー/ グループ名や、
サーバー証明書 — Go Daddy によって発行された
エージェント / アプリケーショ
CN=gp.acme.com の GP-server-cert.pem
ンが実行されているオペレー
2. GlobalProtect クライアント設定の作成を実行します。
ティングシステム（Android、
内部ホスト検出 — 有効
iOS、Mac、または Windows）に
シングルサインオンの使用 — 有効
基づいてデプロイすることも
できます。
接続方式 — user-logon
外部ゲートウェイアドレス — gpvpn.acme.com
内部ゲートウェイアドレス — california.acme.com、
newyork.acme.com
ユーザー/ ユーザーグループ — any
3.
ステップ 8
260
ポータル設定をコミットします。
GlobalProtect エージェントソ [Device] > [GlobalProtect クライアント] の順に選択します。
フトウェアのデプロイ。
この例では、「エージェント更新のポータルへのホスト」
の手順を使用します。
GlobalProtect 管理者ガイド
GlobalProtect クイック設定
内部ゲートウェイと外部ゲートウェイの混合設定
クイック設定 : GlobalProtect の内部ゲートウェイと外部ゲートウェイの混合設定（続き）
ステップ 9
各ゲートウェイでセキュリ • セキュリティポリシーを作成し（[Policies] > [ セキュリ
ティ]）、corp-vpn ゾーンと l3-trust ゾーン間のトラフィッ
ティポリシールールを作成
クフローを有効にします。
し、VPN ユーザーのアプリケー
ションへのアクセスを安全に • HIP 対応およびユーザー/ グループベースのポリシールー
有効にします。
ルを作成し、内部データセンターリソースへの詳細なア
クセスを有効にします。
• 可視化を実現するため、既知の脅威から保護するデフォ
ルトのセキュリティプロファイルを使用して、l3-untrust
ゾーンへの web-browsing アクセスをすべてのユーザーに
許可します。
ステップ 10 GlobalProtect の設定を保存し
ます。
GlobalProtect 管理者ガイド
ポータルおよびすべてのゲートウェイで [Commit] をク
リックします。
261
内部ゲートウェイと外部ゲートウェイの混合設定
262
GlobalProtect クイック設定
GlobalProtect 管理者ガイド

Download Report