こんにちは
ASA5500シリーズ(OS: 9.1)+AnyConnect 3.1を使ってSSL-VPN接続環境を構築し、エンドユーザーにサービスを提供しています。
(クライアントデバイスはProfessional版のWindows7, 10パソコン)
SBL(Start before Logon)の機能を導入することを検討しています。
SBLの機能自体は正常に動作するのですが、大勢いるエンドユーザー(ITスキルは高くない)に、確実にSBLを使用してもらう方法について悩んでいます。
SBLを起動するときはWindowsのログオン画面にて、画面右下のアイコンをクリックするわけですが、
それが難しいユーザーが結構いて、いままでやり慣れたユーザーID+パスワード入力でWindowsにログオンしてしまいます。
そのため、SBLを前提とした機能が正しく動作せずに問題となります。(問い合わせが発生する)
Windowsのログオン画面で自動的にAnyConnectの接続ダイアログボックスを表示させたいのですが、何か方法はあるでしょうか。
私が試した方法は以下のとおりです
--------------------------------------------------
1.ログオン スクリプトまたはスケジューラによる方法
1-1. ローカルグループポリシーエディターにて、スタートアップ スクリプトを起動するように設定
(ログイン スクリプトではなくスタートアップ スクリプトにすることで、PC起動時に実行されることを期待した)
→スタートアップ スクリプトからvpnui.exeを起動するように設定
同じ考え方で
1-2. タスクスケジューラで、PC起動時に上記のスクリプトが実行されるように設定
結果はいずれもNGでした。
ただ、ユーザー名+パスワードを入力してWindowsにログオンしてからAnyConnectを起動すると
Another AnyConnect application is running というエラーメッセージが出てくるので、
接続ダイアログボックスは表示されなくても、中途半端に動作しているようです。
--------------------------------------------------
2.デフォルトの資格情報プロバイダを変更する方法
マイクロソフトのサイトを参照しました
"How to assign default Credential Provider in Windows 10"
http://www.thewindowsclub.com/assign-default-credential-provider-windows-10
レジストリエディタを参照して、SBLのユニークなIDを取得します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\PLAP Providers
それをローカルグループポリシーエディターの
Computer Configuration -> Administrative Templates -> System -> Logon
のAssign a default credential provider (←Windows10からの項目)
に設定
→Credential ProviderとPLAP Credential Providerは別扱いなのか、動作しませんでした。
--------------------------------------------------
3.キャッシュされたログオン情報を無効にする方法
こちらのサイトを参照しました
"Windowsでキャッシュされたログオンを無効にする"
http://www.atmarkit.co.jp/ait/articles/0409/11/news018.html
キャッシュされたログオン情報を無効化することで、
ネットワーク接続、VPN接続を強制的に行うことを期待する方法です。
→実機では試していません。
仮にうまくいったとしても、ネットワーク接続なしではWindowsにログオンできないとなると、使いづらく、PCの運用上問題となるためです。
--------------------------------------------------
他に、有効な方法はあるでしょうか
よろしくお願いします。
