キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
1336
閲覧回数
0
いいね!
0
コメント
Kenichiro Kato
Cisco Employee
Cisco Employee

 

はじめに

本記事は、Apple iOS向けのセキュリティソリューションであるCisco Security ConnectorをMeraki Systems ManagerをMDMソリューションとしてiOS端末にDeployする手順を説明します。

Cisco Security ConnectorはSecure Endpoint(iOS Clarity)によるネットワークレベルのトラジェクトリやIP/Portレベルの不正アクセス検知・防御機能や、UmbrellaによるDNSのセキュリティ機能を提供するApple iOS向けのセキュリティソリューションになります。

Cisco Security ConnectorはMDMソリューションによってSupervised Modeに設定されたiOS端末に対して、ソフトウェアや設定情報等をデプロイする必要があります。
Cisco Security Connectorは様々なMDMソリューションに対応しておりますが、本記事ではMDMソリューションとしてはMeraki Systems Managerを使った手順を紹介させていただきます。

Meraki Systems ManagerからCisco Security ConnectorをiOS端末にDeployする流れは以下の通りとなります。

overview.png

必要な作業としては、大きくはMerakiのAPI Keyを用いてのDashboard間API連携、Umbrella/Secure Endpointそれぞれのセキュリティポリシーの設定、iOS端末の設定(MDMへのEnrollment)とセキュリティポリシーの投入及びアプリインストールになります。通常のUmbrella / Secure Endpointとは異なり、それぞれの製品から直接アプリをデプロイすることは出来ず、MDM経由で端末にプッシュする必要があるという点にご注意ください。

以降はそれぞれのステップの詳細を説明させていただきます。上記の通り、各ステップには番号が振ってあり、この順番で作業すればDeployが完了します。

 

前提条件

  • 本記事で使用しているMeraki Systems Manager Dashboard、Umbrella Dashboard、Secure Endpoint Consoleは2023年4月10日時点の動作に基づいており、予告なく変更される場合がございます。
  • Cisco Security Connector 1.6.5.230及びMeraki Systems Manager 1.5.0で動作確認をしており、将来的に動作が変更される場合がございます。
  • 本記事に記載の設定にはMeraki Systems Manager、Umbrella、Secure Endpointそれぞれの有効なライセンスが必要となります。

 

手順

Meraki System Managerでの設定

1. API Key発行

まず、Umbrella / Secure EndpointからMeraki System Managerの情報にアクセスするためのAPI Keyを取得します。
既にAPI Keyを発行しており保存している場合はこちらの手順は必要ありません。

Meraki Dashboardにログインし、画面右上のEmail Address -> My profileへアクセスします。

merakiprofile.png

API accessでGenerate new API keyをクリックし、API keyを保存します。keyは生成時に表示されますが、それ以降は表示されないため、紛失している場合は古いAPI keyをRevokeして新しいAPI keyを再度生成してください。

generate_apikey.png

2. Network作成

Merakiでは複数のデバイスをNetworkという単位で管理します。ここでは、Meraki System Managerで管理するネットワークを作成します。既にMeraki System ManagerのNetworkが作成されている場合はこの手順は飛ばしても問題ありません。

Meraki DashboardのNetworkよりCreate a new networkをクリックします。

create_a_new_network.png

Network nameを入力し、Network Type:EMM(Systems Manager)を選択してCreate Networkをクリックします。

setup_network.png

Networkに作成したMDM用の Networkが表示されることを確認します。

meraki_mdm_network.png

 

3. Profile作成

次にiOS端末に流す設定(Profile)を作成します。

この時点で作成するProfileはご使用いただいているUmbrella / Secure EndpointそれぞれのOrganizationや設定内容は反映させていないテンプレートの状態であり、後ほどUmbrella / Secure EndpointそれぞれのDashboardからAPI経由で使用している環境の情報を反映させます。

 

System Manager -> Manage -> SettingsからAdd profileをクリックします。

add_profile.png

 

Add new profileでDevice profile(default)を選択し、Continueをクリックします。

add_new_profile.png

 

Nameは後ほどUmbrella / Secure EndpointのDashboardで識別される名前であるため、識別可能な名前を設定し、Add settingsで、Umbrella DNS Proxyと、Clarity Content Filterの二つを設定を検索して追加します。

csc_profile.png

 

追加すると、以下のようにUmbrella / Secure Encpoint(Clarity)の設定の空の設定が追加されます。
この通り、Umbrellaの設定においてもorganizationの値などが空であることがわかります。これは後ほどAPI経由でアップデートします。

csc_profile_update.png

 

Saveをクリックします。ここまでで一旦Meraki Systems Managerの設定は終了です。

save.png

 

以降はUmbrella / Secure EndpointのDashboardで設定を行い、API経由でMeraki System Managerに設定を反映させます。

 

Umbrella Dashboardでの設定

 

4. Mobile Device設定

Umbrella DashboardのMobile Devices設定で、先ほど取得したAPI keyを設定します。

Umbrella Dashboardにログインし、Deployment -> Core Identities -> Mobile DevicesからManageをクリックします。

mobile_device_manage.png

Manage Mobile ClientsでManaged by MDMを選択しNEXTをクリックします。

manage_mobile_clients.png

Managed Mobile Clientsで、iOSを選択し、Cisco MerakiのLink MDMをクリックします。

manage_mobile_clients2.png

Link to Cisco Meraki MDMでAPI Keyを入力し、Linkをクリックします。
Administrator Emailは必要であれば変更してSaveします。

link_to_cisco_meraki_mdm.png

この時点では、MDMとのリンクは完了していますが、MDMのどのNetwork、Profileに適用するかが設定されていません。Windowが閉じたあと、改めてDeployment -> Core Identities -> Mobile DevicesからManageをクリックし、同様に
Managemed by MDMを選択し、Provision MDMをクリックします。

provision_mdm.png

そこで、先ほどMeraki Systems Managerで確認したOrganization、Networkを辿っていくとMeraki Systems ManagerのProfileが表示されるため、こちらを選択して、Saveします。

provision_umbrella.png

これでUmbrellaの設定がAPI経由でSystems ManagerのProfileに反映されました。改めて、Systems ManagerのProfileを確認すると、以下の通り、Organization情報などが反映されていることが確認できます。

updated_umbrella_setting.png

 

5. DNS Policyの設定

このタイミングではiOS端末が登録されていないため、個別の端末へDNS Policyを割り当てることは出来ませんが、この記事では仮にMobile端末全体に適用されるDNS Policyを作ります。必要であれば個別のIdentityに別途Policyを別のタイミングで設定してください。必ずしもこのタイミングでDNS Policyの設定は必要ありません。

Management -> DNS PoliciesからAddをクリックしてDNS Policyを作成します。

add_dns_policy.png

どのような防御を適用するかについては、今回はデフォルトの状態で説明しますので何も変更せずNEXTをクリックします。

how_would_you_like_to_be_protected.png

Identityとして、Mobile Devicesを選択し、Nextをクリックします。
こちらは後ほど個別のiOS端末のIdentityに割り当てが可能です。

what_to_protect.png

順々にセキュリティポリシーの内容を設定しNextをクリックし、最後のSummaryの画面までたどり着いたらPolicy Nameを設定してSaveします。

policy_summary.png

以上でUmbrellaの設定は終了です。同様にSecure Endpoint側の設定を実施します。

Secure Endpointでの設定

6. MDM Integration設定

ここからはSecure EndpointのConsoleからの設定となります。
Secure Endpoint Consoleにログインし、Accounts -> Organization Settingにアクセスします。

Organization_Settings.png

FeatureからMobile Device ManagerよりMDM Integrationをクリックします。

feature_mdm_integration.png

MDM Integrationのページで、MDM Type: Merakiとし、Merakiで発行したAPI keyとメールアドレスを入力し、Saveします。

MDM_integration_save.png

7. iOS Policy/Group作成及びDeploy Clarity for iOS設定

次にiOS端末に設定するPolicyと、Groupを設定します。
Groupに関しては既存のGroupにアサインする形でも問題ありませんが、ここでは新しいPolicy/Groupを作成します。

Management -> Policiesへアクセスします。

secure_endpoint_policy.png

New Policy -> iOSへアクセスします。

new_policy_ios.png

 

New Policyで各種セキュリティ関連設定をし、名前を設定、Saveします。

new_policy.png

 

次にManagement -> GroupsからGroupを作成します。Groupに関しては既存のGroupを流用するのであればここでは特に作成する必要はございません。既存のGroupに作成したPolicyを適用しいていただけたらと思います。

manageuent_group.png 

Create Groupをクリックし、名前及び、先ほど作成したiOS Policyを選択してSaveします。

create_group.pngcreate_group_save.png

 

Management -> Deploy Clarity for iOSへアクセスします。

deploy_clarity_for_iOS.png

 

Groupで先ほど作成したGroup、API経由で取得したMerakiのOrganizationとNetwork、さらにProfileを選択して、Updateをクリックします。

Deploy_Clarity_for_iOS_update.png

 

Meraki Systems ManagerにてProfileを確認すると、Secure EndpointのOrganizationやCloudサーバのホスト情報などがアップデートされていることが確認できます。

csc_profile_update_se.png

 

以上で、Secure Endoint Consoleの設定が終了します。
最後にiOS端末の設定、MDMへの登録、アプリケーションのインストールを実施します。

 

iOS端末の設定とアプリインストール

 

8. Supervised Modeの設定

本記事においてはiOS端末はSupervised Modeで設定するものとします。UmbrellaはMDM配下にないiOS端末でCisco Security Connectorを使うUmbrella Unmanaged Mobile Protectionの機能がありますが、Secure Endpoint(iOS Clarity)はSupervised Modeの設定とMDMの使用が必須となります。

Supervised ModeのiOS端末は企業等での使用の場合は、多数の端末を設定する必要がある関係上、一般的にはApple社のDevice Enrollment Program(DEP)を使って設定しますが、企業等所属する団体を代表してプログラムに登録する必要があります。そのため、企業等を代表してプログラムに参加出来ない場合や、試験環境構築等でiOSデバイス単体をSupervisded Modeに設定するためには、Apple Configuratorを使ってMacOSの端末とiOS端末を接続してSupervisde Modeの設定をします。

Apple Configuratorを使ったSupervised Modeの設定手順に関してはこちらの記事等をご確認ください。Supervised Modeへの変更にはiOS端末のリセット(クリアインストール)が必要となりますため、ご注意ください。

 

9. Meraki Systems ManagerへのEnrollment

iOS端末をSupervised Modeに変更したら、Meraki System ManagerへのEnrollmentを実施し、MDMからのProfileをiOS端末にプッシュしつつ、端末をMDM管理下とします。
こちらの手順が完了するとMDMからのProfile設定はもちろん、リモートによるAppインストールや端末リセット等も管理者様がSystems Manager経由で実施可能になります。

EnrollmentはSystems Managerより、Manage -> Add Devicesを選択し、iOSをクリックします。

add_device.png

こちらに表示されている通り、iOS端末のEnrollmentは複数の方法で実施いただくことが可能です。記載されちえるようにiOS端末のブラウザからNetwork IDを直接する方法、Meraki Systems ManagerのAppからQRコードを読み取る方法、Apple Configuratorを使う方法、メールにEnrollmentへのリンクを含める形で送信する方法がございますので、好きな方法を選択してEnrollmentします。

add_devices.png

Enrollmentを実行すると、構成Profileのダウンロードとインストールが求められます。表示される流れに沿ってProfileのインストールをします。

ihpne_mdm_profile_install.png

完了すると、System ManagerのMonitor -> DevicesにiOS端末がEnrollされたことが確認できます。

device_list.png
また、このタイミングでiOS端末にはMeraki Systems ManagerのAppがインストールされます。

 

10. ラベル設定とProfileのプッシュ

完成したMDMのProfileの適用条件にタグを設定し、追加したiOS端末にもタグを設定することで、ProfileをiOS端末にプッシュします。

まず、先ほどのDevice listのページで、追加した端末をチェックボックスでチェックし、TagボタンからAddで、新しいタグを追加します。

add_tag.png

Systems Manager -> Manage -> Settingsより、完成したProfileをクリックし、編集します。

Targetsより、Scopeの選択と、先ほど作成したTagを指定し、Statusに対象のiOS端末が表示されることを確認して、Saveをクリックします。

profile_target_save.png

Systems Manager -> DevicesよりiOS端末を開き、ManagementのSettingsがProfile(s) missingと表示されているため、ProfilesのInstall missing/updated profilesをクリックし、ProfileをiOS端末に適用します

profiles_missing.png

install_missing_updated_profiles.png

Refresh profiles listをクリックするとProfileが設定されていることが確認できます。

refresh_profile_list.png

 

11. CSC Appインストール

最後にCisco Security ConnectorのAppをiOS端末にMDMからインストールします。

Systems Manager -> Appsへアクセスし、Add appをクリックします。

add_app.png

Add an appでApp platformをiOS、App typeをApp Store appを選択し、Nextをクリックします。

add_an_app.png

SearchフィールドでCisco Security Connectorを検索し、Option、Targetsを指定します。

add_new_ios_app.png

Statusに表示される端末を選択して、Saveします。

add_new_ios_app2.png

以上でCisco Security Connectorのインストールが完了となります。
iOS端末に戻ってアプリケーションのステータスを確認すると、DNSのセキュリティ、エンドポイントの可視性がそれぞれ有効になっていることを確認します。

IMG_0008.jpeg

なお、Umbrella / Secure EndpointのCloudそれぞれへの端末登録作業が発生するため、即時有効にはならない場合がございます。その場合はしばらく時間をおいてから改めて状態をご確認ください。

 

トラブルシューティング

Umbrella/Secure Endpointが有効にならない場合

1. Umbrella/Secure EndpointのStatusの詳細確認

Umbrella/Secure Endpointそれぞれの詳細情報を確認し、パラメータ上の問題がないかを確認します。Umbrella/Secure Endpointそれぞれ以下のように状態の詳細や、パラメータの確認が可能です。

IMG_0009.pngIMG_0010.png

パラメータが適切に反映されていない場合は、必要に応じて端末の再起動や、Umbrella/Secure EndpointのDashboardで改めて設定等を確認・MDMからProfileのプッシュを実行します。

2. Cloudサーバへの接続性の確認

Meraki System Manager、Umbrella、Secure EndpointはそれぞれCloudベースの製品であるため、それぞれの製品のCloudサーバに対する接続のファイアウォールルール等に問題がないか確認が必要です。
詳しくは以下ドキュメントをご確認ください。

Systems Manager Firewall Rules

Umbrella Setup Guide のYou will also needの項

Required Server Addresses for Proper Cisco Secure Endpoint & Malware Analytics Operations のCSC/iOS Connectorの項目及びPublic Cloudの項目に記載されている各種サーバ(iOS Policyで参照しているサーバのみ)

3. Diagnosticsファイルの取得

上記を確認したにも関わらず何かしらの問題が継続する場合は、Diagnosticsファイルを取得し、TACへ送付することにより調査分析を依頼することが可能です。
(Diagnosticsの取得方法については別途紹介予定です。)

 

 

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします