購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
1759
閲覧回数
6
いいね!
0
コメント

Umbrella: ローミングコンピュータの AD ユーザー識別に関する変更について

tkitahar
Cisco Employee
Cisco Employee

‎2022-11-17 03:38 PM

 

2022 11 17 日現在の情報をもとに作成しています

 

1. はじめに

 

本記事では、ローミングコンピュータ (Roaming Client および AnyConnect Umbrella Roaming Security Module) Windows PC にログインしている AD ユーザーを識別する方法の変更点について紹介します。

 

2. AD ユーザー アイデンティティについて

 

本題に入る前に、まずは Umbrella で使用される AD ユーザー アイデンティティについて説明します。

 

Umbrella では、基本的に DNS リクエストや Web リクエストがどのユーザー (またはどのコンピュータ、グループ、組織、ネットワーク etc.) から生成されたかにより、適用するポリシーを分けることが可能です。

 

この「誰」に該当するものを Umbrella ではアイデンティティと呼んでおり、AD ユーザーや AD ユーザーをグループ化した AD グループもアイデンティティの一種です。

 

AD ユーザーおよび AD グループをアイデンティティとして使用するには、必ずオンプレミスの AD または Azure AD などの情報源と何らかの形で連携する必要がありますが、Umbrella が提供している連携方法には大きく分けて以下の 2 種類があります。

 

連携方法

アイデンティティ

の情報源

利用できる

ポリシーの種類

利用できる

アイデンティティ

Virtual Appliance

オンプレミス AD

DNS ポリシー

AD ユーザー

AD グループ

AD コンピュータ

ローミングコンピュータ

オンプレミス AD

Azure AD

Okta

DNS ポリシー

Web ポリシー

AD ユーザー

AD グループ

 

本記事では、このうちのローミング コンピュータに焦点を当てています。

 

なお、ローミングコンピュータが AD ユーザー (および AD グループ) アイデンティティを使用するには、Umbrella Dashboard の導入 > ローミングコンピュータの設定画面で、アクティブディレクトリ機能 (通称 Identity Support) を有効にする必要があります。

 

tkitahar_0-1668665965180.png

 

3. AD ユーザーの識別方法

 

Umbrella は以下のいくつかの段階を経て、AD ユーザーを識別し、ポリシーを適用します。

 

  • AD Connector Cisco Umbrella User Management などのツールを使って、AD の情報源から Umbrella へ定期的にアイデンティティ情報を同期する
  • Umbrella Dashboard のポリシー画面で、ポリシーとアイデンティティを関連付ける
  • ローミングコンピュータ上で DNS リクエストや Web リクエストが生成された際、リクエスト パケットの中に AD ユーザー情報を埋め込んで、Umbrella (具体的には DNS サーバーまたは SWG) に転送する
  • Umbrella はそれぞれの情報を比較することでアイデンティティを特定し、ポリシーを適用する

 

前者の 2 つは管理者の作業が伴うもので、後者の 2 つはシステムにより自動的に行われます。

 

なお、補足ですが、 同期される情報の中には AD グループおよび所属する AD ユーザー一覧が含まれており、AD グループ アイデンティティの特定には、その情報と埋め込まれた AD ユーザー情報を比較して行われます。

 

4. 変更点について

 

以下のサポート文書にあるとおり、Roaming Client 3.0.335 および AnyConnect 4.10 MR6 から、ローミングコンピュータがリクエスト パケットに埋め込む情報として UserPrincipalName が利用されるようになりました。

 

Umbrella Roaming Client for Windows Version 3.0.335

https://support.umbrella.com/hc/en-us/articles/10568746674580-Umbrella-Roaming-Client-for-Windows-Version-3-0-335

> UserPrincipalName is checked first instead of Active Directory GUID to retrieve user identity from the operating system

 

AnyConnect Roaming Security Module 4.10 MR6 (4.10.06079)

https://support.umbrella.com/hc/en-us/articles/10266103505812-AnyConnect-Roaming-Security-Module-4-10-MR6-4-10-06079-

> Windows: Use UserPrincipalName instead of Active Directory GUID to retrieve user identity from the operating system

 

これまでの Active Directory GUID (ObjectGUID) を使った方法の場合、特に Azure AD 環境においては、導入手順の中で、同期する情報の対象に ObjectGUID を含める追加作業が必要となっていました。

 

なお、この変更により、導入手順が一部簡略化されましたが、Umbrella そのものの動作に影響はありません。

 

変更内容の詳細については、以下の公開文書の前提条件を参照してください。

 

Provision Identities from Azure AD

https://docs.umbrella.com/deployment-umbrella/docs/provision-identities-from-azure-ad

 

また、具体的な手順の変更点については、Microsoft 社の以下のドキュメントを参照してください。

 

Tutorial: Configure Cisco Umbrella User Management for automatic user provisioning

https://learn.microsoft.com/en-us/azure/active-directory/saas-apps/cisco-umbrella-user-management-provisioning-tutorial

> Step 2. Import ObjectGUID attribute via Azure AD Connect (Optional)

ラベル:
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents