解決済み: スマートフォンでのAnyConnect接続時の制御について

cja56910tf · ‎2016-09-23

Cisco ASA 5512-X (ASA Version 9.4)において、スマートフォンでAnyConnectを使用した接続を行う際に、端末識別による制御や、インストール済みアプリの有無による制御を行いたいと考えています。

接続元デバイスがPCの場合は、HostScan機能とDAPを連携させて柔軟な制御が可能であることは知っていますが、接続元デバイスがスマートデバイスになった際に、（追加機器の購入なしに）CiscoASAとAnyConnectの標準機能を用いて同様の制御を行うことは可能でしょうか？

また、AnyConnectの標準機能である"モバイルポスチャ"でスマートデバイスから収集可能な情報についてもご教授いただけると助かります。

CiscoISEを導入すれば、実現は可能であるとは思いますがCiscoASAに備わる機能でも実現できるのであれば、極力費用を掛けたくありません。

どうしても無理とういことであれば、CiscoISEを導入し、CiscoASAと連携させることで検討したいと考えています。

上記について有識者の皆様のお知恵を拝借できれば幸いです。

Akira Muranaka · ‎2019-12-14

今更ですが、細かな制御をASAとAnyConnectだけで実施しようとするのは、けっこう無理があるのでは～、と思います。

元々DAPは2008年以前からあるとても古い機能で、当時はISEを用いた制御等もできなかったので、DAPに色々と機能が実装されていました。しかし、最近はそのような細かな制御をしたい場合は、ISEやMDMといった外部サーバーに任せるのが標準になっているため、(DAPリリース当初全盛だった)デスクトップOSに比べ、歴史の浅いモバイルOSの細かな制御を行いたい場合は、特にISEやMDMとの連携が重要になってます。

単純な接続や制御はASA+AnyConnectで実現できますが、より細かい制御を行いたい場合は (デスクトップOS・モバイルOSともに) ASA+AnyConnect+α が必要となるのが、現在の標準かと思います。

例えば、アプリケーション有無による制御など含め、モバイル端末の細かな制御は、AnyConnectと Merakiを組み合わせる事でも可能です。(他、MerakiのかわりにMobileIronの利用、などなど) https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/anyconnect-apple-ios-per-app-vpn-%E3%81%AE%E8%A8%AD%E5%AE%9A%E4%BE%8B/ta-p/3293815

あと DAPの設定可能数は推奨上限があり、設定数が多いほどパフォーマンス低下やトラブルの原因になるので、特に大規模環境の場合も、ASA+AnyConnect＋α にし、ポリシー制御は外部サーバーに任せるなど負荷分散が重要になります。
https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/vpn-anyconnect-dap%E3%81%AE%E8%A8%AD%E5%AE%9A%E6%95%B0%E3%81%AE%E7%9B%AE%E5%AE%89%E3%81%A8-%E6%8E%A8%E5%A5%A8...

元の投稿で解決策を見る

Akira Muranaka · ‎2019-12-14

今更ですが、細かな制御をASAとAnyConnectだけで実施しようとするのは、けっこう無理があるのでは～、と思います。

元々DAPは2008年以前からあるとても古い機能で、当時はISEを用いた制御等もできなかったので、DAPに色々と機能が実装されていました。しかし、最近はそのような細かな制御をしたい場合は、ISEやMDMといった外部サーバーに任せるのが標準になっているため、(DAPリリース当初全盛だった)デスクトップOSに比べ、歴史の浅いモバイルOSの細かな制御を行いたい場合は、特にISEやMDMとの連携が重要になってます。

単純な接続や制御はASA+AnyConnectで実現できますが、より細かい制御を行いたい場合は (デスクトップOS・モバイルOSともに) ASA+AnyConnect+α が必要となるのが、現在の標準かと思います。

例えば、アプリケーション有無による制御など含め、モバイル端末の細かな制御は、AnyConnectと Merakiを組み合わせる事でも可能です。(他、MerakiのかわりにMobileIronの利用、などなど) https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/anyconnect-apple-ios-per-app-vpn-%E3%81%AE%E8%A8%AD%E5%AE%9A%E4%BE%8B/ta-p/3293815

あと DAPの設定可能数は推奨上限があり、設定数が多いほどパフォーマンス低下やトラブルの原因になるので、特に大規模環境の場合も、ASA+AnyConnect＋α にし、ポリシー制御は外部サーバーに任せるなど負荷分散が重要になります。
https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/vpn-anyconnect-dap%E3%81%AE%E8%A8%AD%E5%AE%9A%E6%95%B0%E3%81%AE%E7%9B%AE%E5%AE%89%E3%81%A8-%E6%8E%A8%E5%A5%A8...