はじめに

本記事は、Apple iOS向けのセキュリティソリューションであるCisco Security ConnectorをMeraki Systems ManagerをMDMソリューションとしてiOS端末にDeployする手順を説明します。

Cisco Security ConnectorはSecure Endpoint(iOS Clarity)によるネットワークレベルのトラジェクトリやIP/Portレベルの不正アクセス検知・防御機能や、UmbrellaによるDNSのセキュリティ機能を提供するApple iOS向けのセキュリティソリューションになります。

Cisco Security ConnectorはMDMソリューションによってSupervised Modeに設定されたiOS端末に対して、ソフトウェアや設定情報等をデプロイする必要があります。
Cisco Security Connectorは様々なMDMソリューションに対応しておりますが、本記事ではMDMソリューションとしてはMeraki Systems Managerを使った手順を紹介させていただきます。

Meraki Systems ManagerからCisco Security ConnectorをiOS端末にDeployする流れは以下の通りとなります。

必要な作業としては、大きくはMerakiのAPI Keyを用いてのDashboard間API連携、Umbrella/Secure Endpointそれぞれのセキュリティポリシーの設定、iOS端末の設定（MDMへのEnrollment）とセキュリティポリシーの投入及びアプリインストールになります。通常のUmbrella / Secure Endpointとは異なり、それぞれの製品から直接アプリをデプロイすることは出来ず、MDM経由で端末にプッシュする必要があるという点にご注意ください。

以降はそれぞれのステップの詳細を説明させていただきます。上記の通り、各ステップには番号が振ってあり、この順番で作業すればDeployが完了します。

 

前提条件

• 本記事で使用しているMeraki Systems Manager Dashboard、Umbrella Dashboard、Secure Endpoint Consoleは2023年4月10日時点の動作に基づいており、予告なく変更される場合がございます。
• Cisco Security Connector 1.6.5.230及びMeraki Systems Manager 1.5.0で動作確認をしており、将来的に動作が変更される場合がございます。
• 本記事に記載の設定にはMeraki Systems Manager、Umbrella、Secure Endpointそれぞれの有効なライセンスが必要となります。

 

手順

Meraki System Managerでの設定

1. API Key発行

まず、Umbrella / Secure EndpointからMeraki System Managerの情報にアクセスするためのAPI Keyを取得します。
既にAPI Keyを発行しており保存している場合はこちらの手順は必要ありません。

Meraki Dashboardにログインし、画面右上のEmail Address -> My profileへアクセスします。

API accessでGenerate new API keyをクリックし、API keyを保存します。keyは生成時に表示されますが、それ以降は表示されないため、紛失している場合は古いAPI keyをRevokeして新しいAPI keyを再度生成してください。

2. Network作成

Merakiでは複数のデバイスをNetworkという単位で管理します。ここでは、Meraki System Managerで管理するネットワークを作成します。既にMeraki System ManagerのNetworkが作成されている場合はこの手順は飛ばしても問題ありません。

Meraki DashboardのNetworkよりCreate a new networkをクリックします。

Network nameを入力し、Network Type:EMM(Systems Manager)を選択してCreate Networkをクリックします。

Networkに作成したMDM用の Networkが表示されることを確認します。

 

3. Profile作成

次にiOS端末に流す設定(Profile)を作成します。

この時点で作成するProfileはご使用いただいているUmbrella / Secure EndpointそれぞれのOrganizationや設定内容は反映させていないテンプレートの状態であり、後ほどUmbrella / Secure EndpointそれぞれのDashboardからAPI経由で使用している環境の情報を反映させます。

 

System Manager -> Manage -> SettingsからAdd profileをクリックします。

 

Add new profileでDevice profile(default)を選択し、Continueをクリックします。

 

Nameは後ほどUmbrella / Secure EndpointのDashboardで識別される名前であるため、識別可能な名前を設定し、Add settingsで、Umbrella DNS Proxyと、Clarity Content Filterの二つを設定を検索して追加します。

 

追加すると、以下のようにUmbrella / Secure Encpoint(Clarity)の設定の空の設定が追加されます。
この通り、Umbrellaの設定においてもorganizationの値などが空であることがわかります。これは後ほどAPI経由でアップデートします。

 

Saveをクリックします。ここまでで一旦Meraki Systems Managerの設定は終了です。

 

以降はUmbrella / Secure EndpointのDashboardで設定を行い、API経由でMeraki System Managerに設定を反映させます。

 

Umbrella Dashboardでの設定

 

4. Mobile Device設定

Umbrella DashboardのMobile Devices設定で、先ほど取得したAPI keyを設定します。

Umbrella Dashboardにログインし、Deployment -> Core Identities -> Mobile DevicesからManageをクリックします。

Manage Mobile ClientsでManaged by MDMを選択しNEXTをクリックします。

Managed Mobile Clientsで、iOSを選択し、Cisco MerakiのLink MDMをクリックします。

Link to Cisco Meraki MDMでAPI Keyを入力し、Linkをクリックします。
Administrator Emailは必要であれば変更してSaveします。

この時点では、MDMとのリンクは完了していますが、MDMのどのNetwork、Profileに適用するかが設定されていません。Windowが閉じたあと、改めてDeployment -> Core Identities -> Mobile DevicesからManageをクリックし、同様に
Managemed by MDMを選択し、Provision MDMをクリックします。

そこで、先ほどMeraki Systems Managerで確認したOrganization、Networkを辿っていくとMeraki Systems ManagerのProfileが表示されるため、こちらを選択して、Saveします。

これでUmbrellaの設定がAPI経由でSystems ManagerのProfileに反映されました。改めて、Systems ManagerのProfileを確認すると、以下の通り、Organization情報などが反映されていることが確認できます。

 

5. DNS Policyの設定

このタイミングではiOS端末が登録されていないため、個別の端末へDNS Policyを割り当てることは出来ませんが、この記事では仮にMobile端末全体に適用されるDNS Policyを作ります。必要であれば個別のIdentityに別途Policyを別のタイミングで設定してください。必ずしもこのタイミングでDNS Policyの設定は必要ありません。

Management -> DNS PoliciesからAddをクリックしてDNS Policyを作成します。

どのような防御を適用するかについては、今回はデフォルトの状態で説明しますので何も変更せずNEXTをクリックします。

Identityとして、Mobile Devicesを選択し、Nextをクリックします。
こちらは後ほど個別のiOS端末のIdentityに割り当てが可能です。

順々にセキュリティポリシーの内容を設定しNextをクリックし、最後のSummaryの画面までたどり着いたらPolicy Nameを設定してSaveします。

以上でUmbrellaの設定は終了です。同様にSecure Endpoint側の設定を実施します。

Secure Endpointでの設定

6. MDM Integration設定

ここからはSecure EndpointのConsoleからの設定となります。
Secure Endpoint Consoleにログインし、Accounts -> Organization Settingにアクセスします。

FeatureからMobile Device ManagerよりMDM Integrationをクリックします。

MDM Integrationのページで、MDM Type: Merakiとし、Merakiで発行したAPI keyとメールアドレスを入力し、Saveします。

7. iOS Policy/Group作成及びDeploy Clarity for iOS設定

次にiOS端末に設定するPolicyと、Groupを設定します。
Groupに関しては既存のGroupにアサインする形でも問題ありませんが、ここでは新しいPolicy/Groupを作成します。

Management -> Policiesへアクセスします。

New Policy -> iOSへアクセスします。

 

New Policyで各種セキュリティ関連設定をし、名前を設定、Saveします。

 

次にManagement -> GroupsからGroupを作成します。Groupに関しては既存のGroupを流用するのであればここでは特に作成する必要はございません。既存のGroupに作成したPolicyを適用しいていただけたらと思います。

 

Create Groupをクリックし、名前及び、先ほど作成したiOS Policyを選択してSaveします。

 

Management -> Deploy Clarity for iOSへアクセスします。

 

Groupで先ほど作成したGroup、API経由で取得したMerakiのOrganizationとNetwork、さらにProfileを選択して、Updateをクリックします。

 

Meraki Systems ManagerにてProfileを確認すると、Secure EndpointのOrganizationやCloudサーバのホスト情報などがアップデートされていることが確認できます。

 

以上で、Secure Endoint Consoleの設定が終了します。
最後にiOS端末の設定、MDMへの登録、アプリケーションのインストールを実施します。

 

iOS端末の設定とアプリインストール

 

8. Supervised Modeの設定

本記事においてはiOS端末はSupervised Modeで設定するものとします。UmbrellaはMDM配下にないiOS端末でCisco Security Connectorを使うUmbrella Unmanaged Mobile Protectionの機能がありますが、Secure Endpoint(iOS Clarity)はSupervised Modeの設定とMDMの使用が必須となります。

Supervised ModeのiOS端末は企業等での使用の場合は、多数の端末を設定する必要がある関係上、一般的にはApple社のDevice Enrollment Program(DEP)を使って設定しますが、企業等所属する団体を代表してプログラムに登録する必要があります。そのため、企業等を代表してプログラムに参加出来ない場合や、試験環境構築等でiOSデバイス単体をSupervisded Modeに設定するためには、Apple Configuratorを使ってMacOSの端末とiOS端末を接続してSupervisde Modeの設定をします。

Apple Configuratorを使ったSupervised Modeの設定手順に関してはこちらの記事等をご確認ください。Supervised Modeへの変更にはiOS端末のリセット（クリアインストール）が必要となりますため、ご注意ください。

 

9. Meraki Systems ManagerへのEnrollment

iOS端末をSupervised Modeに変更したら、Meraki System ManagerへのEnrollmentを実施し、MDMからのProfileをiOS端末にプッシュしつつ、端末をMDM管理下とします。
こちらの手順が完了するとMDMからのProfile設定はもちろん、リモートによるAppインストールや端末リセット等も管理者様がSystems Manager経由で実施可能になります。

EnrollmentはSystems Managerより、Manage -> Add Devicesを選択し、iOSをクリックします。

こちらに表示されている通り、iOS端末のEnrollmentは複数の方法で実施いただくことが可能です。記載されちえるようにiOS端末のブラウザからNetwork IDを直接する方法、Meraki Systems ManagerのAppからQRコードを読み取る方法、Apple Configuratorを使う方法、メールにEnrollmentへのリンクを含める形で送信する方法がございますので、好きな方法を選択してEnrollmentします。

Enrollmentを実行すると、構成Profileのダウンロードとインストールが求められます。表示される流れに沿ってProfileのインストールをします。

完了すると、System ManagerのMonitor -> DevicesにiOS端末がEnrollされたことが確認できます。

また、このタイミングでiOS端末にはMeraki Systems ManagerのAppがインストールされます。

 

10. ラベル設定とProfileのプッシュ

完成したMDMのProfileの適用条件にタグを設定し、追加したiOS端末にもタグを設定することで、ProfileをiOS端末にプッシュします。

まず、先ほどのDevice listのページで、追加した端末をチェックボックスでチェックし、TagボタンからAddで、新しいタグを追加します。

Systems Manager -> Manage -> Settingsより、完成したProfileをクリックし、編集します。

Targetsより、Scopeの選択と、先ほど作成したTagを指定し、Statusに対象のiOS端末が表示されることを確認して、Saveをクリックします。

Systems Manager -> DevicesよりiOS端末を開き、ManagementのSettingsがProfile(s) missingと表示されているため、ProfilesのInstall missing/updated profilesをクリックし、ProfileをiOS端末に適用します

Refresh profiles listをクリックするとProfileが設定されていることが確認できます。

 

11. CSC Appインストール

最後にCisco Security ConnectorのAppをiOS端末にMDMからインストールします。

Systems Manager -> Appsへアクセスし、Add appをクリックします。

Add an appでApp platformをiOS、App typeをApp Store appを選択し、Nextをクリックします。

SearchフィールドでCisco Security Connectorを検索し、Option、Targetsを指定します。

Statusに表示される端末を選択して、Saveします。

以上でCisco Security Connectorのインストールが完了となります。
iOS端末に戻ってアプリケーションのステータスを確認すると、DNSのセキュリティ、エンドポイントの可視性がそれぞれ有効になっていることを確認します。

なお、Umbrella / Secure EndpointのCloudそれぞれへの端末登録作業が発生するため、即時有効にはならない場合がございます。その場合はしばらく時間をおいてから改めて状態をご確認ください。

 

トラブルシューティング

Umbrella/Secure Endpointが有効にならない場合

1. Umbrella/Secure EndpointのStatusの詳細確認

Umbrella/Secure Endpointそれぞれの詳細情報を確認し、パラメータ上の問題がないかを確認します。Umbrella/Secure Endpointそれぞれ以下のように状態の詳細や、パラメータの確認が可能です。

パラメータが適切に反映されていない場合は、必要に応じて端末の再起動や、Umbrella/Secure EndpointのDashboardで改めて設定等を確認・MDMからProfileのプッシュを実行します。

2. Cloudサーバへの接続性の確認

Meraki System Manager、Umbrella、Secure EndpointはそれぞれCloudベースの製品であるため、それぞれの製品のCloudサーバに対する接続のファイアウォールルール等に問題がないか確認が必要です。
詳しくは以下ドキュメントをご確認ください。

Systems Manager Firewall Rules

Umbrella Setup Guide のYou will also needの項

Required Server Addresses for Proper Cisco Secure Endpoint & Malware Analytics Operations のCSC/iOS Connectorの項目及びPublic Cloudの項目に記載されている各種サーバ（iOS Policyで参照しているサーバのみ）

3. Diagnosticsファイルの取得

上記を確認したにも関わらず何かしらの問題が継続する場合は、Diagnosticsファイルを取得し、TACへ送付することにより調査分析を依頼することが可能です。
（Diagnosticsの取得方法については別途紹介予定です。）