概要

Secure ClientはAnyConnect VPN、Umbrella Roaming Security Module(RSM)、Network Access Module(NAM)、Postureなど様々なモジュールによって構成されており、特にSecure Clientと呼ばれるようになったバージョン5.0からはSecure Endpointとの統合や、SecureX管理といった大きな変更がございました。

本記事では特にバージョン5.0以降のアップデートによって追加・変更された機能に関して、日本のお客様からよくお問い合わせいただくご質問とその回答を記載させていただいております。

前提条件

本記事は、以下の前提条件に基づいており、Cloud側の実装や各ソフトウェアのアップデートによって、記載の内容と違いが発生する場合がございます。何卒ご了承ください。

• 2023年7月26日時点のSecureX Device Insight（Cloud上の管理画面)
• Cisco Secure Client 5.0.03076 / AnyConnect Secure Mobility Client 4.10.07062
• Cisco Secure Endpoint : 8.1.7.21512

本記事は特に記載がなければWindows版を対象とし、Mac/Linux/iOS/Androidそれぞれについては記載しておりません。実際に本記事執筆時点では、Secure Endpointとの統合やSecureX管理機能はWindows版のみで提供しており、他OS向けについてはSecure Clientという名前ではあっても以前のAnyConnectと大きな変更はございません。

よくあるご質問と回答

ケースオープンに関するお問い合わせ

[Q] Secure Clientは様々なモジュールで構成されています。ケースオープン時にどのキーワード、契約情報を指定すればいいですか？

[A] 技術的な観点で近いモジュールのキーワードを指定いただき、該当する契約情報を元にケースオープンいただけますと幸いです。正しいキーワード・契約情報を指定すると適切なスキルのエンジニアがアサインされ、契約情報の再確認などが発生せず、対応がスムーズになります。

以下、代表的なモジュールの現時点でのキーワード、契約情報を示します。

AnyConnect VPN Module
Security - VPN and Mobility -> Cisco Secure Client (AnyConnect) - VPN to ASA Headend
（VPNの終端装置がIOS/IOS-XEの場合はVPN to IOS/IOS-XE Headendを選択ください）

Secure Client(AnyConnect)の有効な契約をご提示ください。

Umbrella Roaming Security Module

UmbrellaはSupport Case Manager上でキーワードを指定することが出来ないため、
Other -> Other
をご指定ください。
契約番号をお持ちのお客様は契約番号のご提示をお願いします。
また、契約番号の有無に関わらず、Umbrella Subscription IDをご提示ください。

Secure Endpoint
Security - Network Firewalls and Intrusion Prevention Systems -> Cisco Secure Endpoint (AMP for Endpoints)

Secure Endpointの有効な契約番号をご提示ください。

Network Access Module(NAM)
有線LAN・無線LANの事象によって以下キーワードをご指定ください。
Security - VPN and Mobility > NAM Supplicant - Wired
Security - VPN and Mobility > NAM Supplicant - Wireless

Secure Client(AnyConnect) Advantageのライセンス契約をご提示ください。

ISE Posture Module
Identity Services Engine (ISE) <ISEバージョン> -> ISE Posture

ISE Postureは使用する機能によって必要なSecure Client(AnyConnect)のライセンスが異なります。詳しくはこちらをご確認ください。

Cloud Management及びSecureX管理

Security - Network Firewalls and Intrusion Prevention Systems > Cisco Secure Client (SecureX Cloud Management)

Secure Clientで使用しているモジュールのいずれかの契約をご提示ください。

Secure ClientのUI上のみの事象

どのモジュールのキーワード・契約情報を指定いただいても問題はありません。

しかしながら、可能であればVPN Moduleのキーワード・契約情報を指定いただく形が最もスムーズに調査を進められるかと存じます。UIに関する事象であるか、モジュールに関する事象であるかが不明な場合につきましては、ご使用いただいているモジュールのキーワード・契約をご提示ください。

[Q] Secure Clientのトラブル対応のために取得するログを教えてください。

[A] モジュールによって異なりますが、ほとんどのモジュールにおいてDARTの取得がトラブルシューティングの入り口となります。詳しくは各モジュールのドキュメント等をご参照いただき、トラブルシューティングに必要なログをご収集ください。
Secure Endpointに関してはDARTではなく、Diagnosticsファイルの取得をお願いします。

Secure ClientのDARTの取得に関してはこちらのコミュニティ記事を、Secure EndpointのDiagnosticsに関してはこちらのコミュニティ記事をご参照ください。

Secure EndpointやCloud Managementに関してはDebug設定の上でログ取得いただく場合もありますため、ご注意ください。

インストールに関するお問い合わせ

[Q] Secure Clientの各モジュールの依存関係やバージョンの考え方を教えてください。

[A] Secure Clientの中でSecure Endpointのみ単独のバージョンを使用しており、他のAnyConnect VPN Module等については同一のバージョンを使用します。従いまして、Secure Endpointのみをバージョンアップしても、他のモジュールへの影響はございませんが、VPNモジュールをバージョンアップすると、Umbrella、ISE Posture、NAM等の各モジュールも合わせてバージョンアップされます。

本記事執筆時点での最新バージョンは以下の通りです。

• Secure Client（AnyConnect VPN Module他、Secure Endpoint以外のモジュール）： 5.0.03076
• Secure Endpoint : 8.1.7.21512

また、Secure Clientの端末上のバージョン情報においては、以下の通り、上記の各セキュリティ機能を提供するモジュールとは別に、Secure Client UIのみのバージョンと、SecureX管理のための、Cloud Managementのバージョンが表示されます。

基本はVPNモジュール他と、Secure Endpointでバージョンが分かれると説明していますが、例外としてSecure Client UIに関してはSecure Endpoint含めた全てのモジュールでバージョンアップされる場合がございます。

Cloud Managementに関しては他のモジュールとは無関係にSecureXからのDeploy時に使用するバージョンを指定します。

[Q] SecureX管理のSecure Clientのインストーラはどのように作成しますか？

[A] まずはご使用いただくVPN、Umbrella等のモジュールのProfileを作成いただきます。
それとは別に、Cloud Management Profileを作成し、SecureX経由でのアップグレードやProfile更新のタイミングを決定します。
その後、Deploymentを作成し、上記で作成したCloud Management Profileや各種モジュールのProfileを選択し、保存するとインストーラのダウンロードリンクが表示されます。

インストーラは全てのモジュールを固めたインストーラと、ネットワーク経由でモジュールをインストールさせる最低限のインストーラが使用可能です。

詳しくは以下Guideをご確認ください。

• Profileの管理
• Deploymentの管理 

[Q] VPN moduleとSecure EndpointはそれぞれどのバージョンからSecure Clientとして統合されますか？

[A] VPN Module他は5.0以上、Secure Endpointは8.0以上がSecure Clientとして統合されたUIとなります。
AnyConnect 4.10以前、Secure Endpoint 7.5.x以前は異なるアプリケーションとして動作します。

[Q] UmbrellaやNAMなど特定モジュールのみバージョンアップすることは可能ですか？

[A] 出来ません。Secure Endpoint以外は同じバージョンのSecure Clientを使用する必要がございます。Secure Endpointに関しては個別にバージョンアップが可能です。

[Q] Umbrella/NAMだけを使用したいのですが、VPNモジュールがインストールされてしまいます。削除することは可能ですか？

[A] SecureClientはAnyConnect VPNモジュールがベースとなっているため、AnyConnect VPNモジュールのみを削除することは出来ません。実際にアンインストールを試みると、以下の通り、関連するモジュールも同時に削除されます。

従いまして、VPNモジュールのみ削除することは出来ませんが、VPN ModuleのProfile設定にてDisableにすることは可能です。以下、VPN モジュールのProfileとなりますが、ASDMのProfile Editorにて以下ServiceDisableをTrueに設定し、Profileを読み込ませることによってVPNモジュールが非表示になります。

<?xml version="1.0" encoding="utf-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
<ClientInitialization>
<ServiceDisable>true</ServiceDisable>
</ClientInitialization>
</AnyConnectProfile

なお、上記Profile設定はSecureX管理の場合は使用することが出来ません。

例外として、Secure EndpointはVPNモジュールに依存しないため、Secure EndpointをインストールしてもVPNモジュールはインストールされません。また、VPNモジュールを削除してもSecure Endpointには影響はありません。

Deployと各モジュールのProfile

[Q] Secure ClientのDeployにはどのような方法がありますか？

まず、AnyConnect 4.10以前と同様の以下の方法は引き続きサポートしております。

• CCO上からインストーラをダウンロードしてインストール
• CCO上からASAでに配布用ImageをダウンロードしてASA経由でインストール

新しいDeploy方法としてSecureXからのDeployが可能になっております。

[Q] Secure ClientをSecureX管理にすると今までとは何が違いますか？

[A] SecureXで端末へのDeployが一元管理できるようになり、一度SecureX管理のイメージをインストールすれば、以降はCloud Managementモジュールによって、クラウドからのSecure Clientのバージョンアップや、Profileのプッシュができるようになります。また、SecureX Device Insights上で端末のインベントリ情報を管理することが出来ます。

特にProfileの展開については、今まではASDMのProfile Editorで実施して、お客様環境で手動もしくはASA上で配布する必要があったため、簡単にできるようになりました。

[Q] CCOからダウンロードしたSecure ClientをSecureX管理に切り替えることは出来ますか？

[A] 出来ません。恐れ入りますが一旦CCOからダウンロードしたSecure Clientをアンインストールし、SecureX管理のインストーラで再度インストールする必要があります。

[Q] Secure ClientのProfileをSecureXとASAの両方で管理することはできますか？

可能ですが、注意する点があります。
まず、それぞれのCloud Management、ASAへの接続時にそれぞれProfileの変更を認識したタイミングでProfileが更新されるため、SecureX上のProfileと、ASA上に設置するProfileを同一のものにする必要があります。差分がある場合、予期せぬProfileのアップデートが発生します。

また、SecureX管理で作成できるProfileは、ASDMのProfile Editorで設定できる全ての項目には対応していません。

アップグレード

[Q] Secure EndpointのみをSecure EndpointのPolicyからバージョンアップすることは可能ですか？

[A] 可能です。
Secure Endpointは他のモジュールとは独立して動作しているため、Secure Endpoint Policy経由でのバージョンアップやコマンドラインスイッチ、手動のインストーラ実行によるアップグレードがそれぞれ可能です。

[Q] Secure EndpointのバージョンアップでSecure Clientはバージョンアップされますか？

[A] Secure EndpointのバージョンアップではSecure Client全体としてはバージョンアップされません。
例外としてSecure Client UI（表示部分のみ）はSecure Endpointによってバージョンアップされる場合がございます。

[Q] UmbrellaのAuto UpdateはSecure Cllientでも使用できますか？

UnbrellaのAuto Update機能を使って一度AnyConnect 4.10からSecure Client(5.0以降)にアップグレードすると、以降はUmbrellaのAuto Updateは動作しません。
Umbrella Auto Updateの代わりがSecureX管理によるDeployとなります。

UmbrellaのAuto Update機能とSecure Client 5.0の関連についてはこちらのUmbrellaドキュメントをご確認ください。

Umbrella

[Q] SecureX上でUmbrella ModuleのProfileを作ることが出来ません。どうやって作りますか？

UmbrellaモジュールのProfileはご使用のUmbrella Organizationとの関連付けのために、Umbrella Dashboard上からダウンロードし、SecureX上にアップロードする必要があります。

Umbrella Dashboard上のorginfo.jsonのファイルをダウンロードし、UmbrellaのProfileとしてSecureXにアップロードしてください。orginfo.jsonのダウンロードについては、こちらのコミュニティ記事をご確認ください。

SecureXへのアップロードについては、GuideのUmbrellaの項目をご確認ください。

[Q] TND(Trust Network Detection)をUmbrellaで使用していますがトラブルが発生しています。VPN/Umbrellaどちらでケースをオープンすればよいのでしょうか。

TNDはVPNモジュールの機能がベースとなっており、その結果をUmbrellaで参照しているのみとなります。もし、VPNモジュールの契約をお持ちの場合はVPNのキーワード・契約情報を指定することをお勧めいたします。

詳細はコミュニティ記事をご確認ください。

Cloud Management/SecureX管理

[Q] SecureX管理の場合、アップグレードとProfileの変更はいつ実行されますか？

[A] Cloud Management Profileで指定したCheck-in Intervalの時間毎にアップグレードやProfileの更新をCloud側に確認し、更新がある場合は端末にダウンロード・インストールします。
デフォルトのCheck-in Intervalは8時間毎です。

また、Product Update Windowを用いて１週間の中でアップグレードを実施可能な時間帯を指定可能であり業務時間を避けて実行する等が可能です。

詳しくはGuideをご確認ください。

[Q] Mac, Linux, iOS, AndroidのSecure ClientはSecureX管理によるDeployに対応していますか？

[A] いいえ、現時点ではWindowsのみSecureX管理によるDeployに対応しています。

参考資料

• Secure Client 5.0 Release Note
• Secure Client Help (SecureX) 
• SecureX Device Insights Help