Secure Mobile Access 8.5 Release Notes

Dell SonicWALL™ Secure Mobile Access

8.5

リリース ノート

2016 年 8 月

このリリース ノートでは、Dell SonicWALL™ Secure Mobile Access 8.5 リリースについて説明します。  Secure Mobile Access 8.5 の概要

 サポート対象のプラットフォーム  新機能  修正された問題点  確認されている問題点  システムの互換性  製品ライセンス  アップグレード情報

 日本語版 SMA 500v Virtual Appliance の配備

 テクニカル サポート情報

 Dell について

Secure Mobile Access 8.5 の概要

Secure Mobile Access (SMA) 8.5 は、Dell SonicWALL SMA 400、SMA 200、SRA 4600、SRA 1600、および SMA 500v Vir tual Appliance (以前の SRA Virtual Appliance) 向けの機能リリースです。

サポート対象のプラットフォーム

SMA 8.5 リリースは、次の Dell SonicWALL プラットフォームでサポートされています。  SMA 400

 SMA 200  SRA 4600  SRA 1600

 SMA 500v Virtual Appliance

SMA 500v Virtual Appliance は、VMware ESXi 5.0 以降への配備がサポートされています。

補足: SMA 500v Virtual Appliance は、VMware ESX/ESXi 4.0 および 4.1 上ではサポートされません。この Virtua l Appliance をこれらのバージョンのいずれかに配備した場合、動作はしても、警告メッセージが表示されることが あります。

新機能

このセクションでは、SMA 8.5 リリースの新機能について説明します。  個人用機器の認証  RDP-HTML5 の拡張  VNC HTML5 の拡張  SSH と Telnet HTML5 の拡張  Exchange ポータル

 Dell SonicWALL SMA Connect Agent

 ブックマークの拡張  アプリケーション オフロードの拡張  Citrix の拡張  MC クライアントのためのサーバ変更  強化されたパスワード セキュリティとローカル データベース認証の変更  FTP サーバへの設定/TSR のエクスポート

個人用機器の認証

トピック:

 デバイス管理 > デバイス  デバイス管理 > 設定 職場への個人所有機器の持ち込み (BYOD) が増えているため、IT の専門家は、そうした機器による組織のネットワーク へのアクセスを許可し始めています。確かに便利ではありますが、こうした種類のアクセスを許可することに伴う本質的な リスクを管理する必要があります。個人用機器の認証 (PDA) 機能は、IT 専門家が SMA 装置を利用してこうした問題に 対処する場合に役立つように設計されています。 この新しい PDA 機能が有効になっている場合、セキュリティ保護されたネットワークに対してユーザが未登録の機器によ るアクセスを試みると、その機器を登録して企業のポリシーやプライバシーに関するポリシーに同意しないとアクセスを続 行できなくなります。登録には、その機器の固有の機器 ID が認証のために使用され、それ以降のアクセスはその情報が 取り消されない限り許可されます。すべてのアクセスを設定および監視できます。

デバイス管理 > デバイス

当社の装置は、クライアント機器の固有の機器 ID を取得します。すべての機器の表示、機器の状況の変更、不要な機 器の削除を行うことができます。

登録済みの機器がすべてテーブルに表示されます。機器やユーザの情報を機器 ID と合わせて確認できます (次の図を 参照)。

デバイス管理 > 設定

登録の設定

デバイス登録を強制する

このオプションを使用して、個人用機器の認証 (PDA) を有効または無効にします。既定では無効になっています。

承認方式

2 つの方式として、自動と手動があります。1) 手動モードにすると、各機器はユーザによる初回登録時に "保留" または "管理者による承認待ち" の状況になります。2) 自動モードにすると、登録対象機器は管理者によって作成された機器ポ リシーとの照合が行われます。ポリシーに一致した場合、機器はポリシーで定義された動作を実行します。一致しなかっ た場合、機器はシステムによって承認済みに設定されます。自動モードでは、管理者の負担を軽減することができます。

ユーザ 1 人あたりの最大機器数

このオプションは、各ユーザが登録できる機器の最大数を制限します。

セキュリティ声明

この警告メッセージは、ユーザがログインする際にクライアントに表示されます。このセキュリティ声明はカスタマイズでき ます。

デバイスからのアクセスを制限無しに許可する

このオプションは、SMA Connect Agent (SMA 接続エージェント) 機器 (Linux/Android/iOS/Windows Phone など) に適用 されます。このオプションを有効にすると、機器登録を行わなくても機器は装置にアクセスできます。

このオプションが有効になっている場合は、登録の設定をドメイン レベルでカスタマイズできます。ドメイン レベルの設定 は、グローバル レベルの設定よりも優先されます。

ActiveSync 事前設定

ActiveSync 事前設定は、ActiveSync 機器のみに適用できます。事前設定によってバックエンド Exchange サーバ上の設 定をオーバーライドできます。事前設定が満たされていない場合、モバイル機器は同期をとることができません。

通知設定

ここでは、一連の電子メール アドレスのリストを表示できます。新しい登録要求が届くと、これらのアドレスに電子メール 通知が送信され、要求が処理されていることが受信者に通知されます。 この通知電子メールの件名とメッセージは、カスタマイズできます。

デバイス管理 > ポリシー

機器のポリシーは、承認方式が自動に設定されている場合に適用されます。これにより、管理者の負担を減らすことがで きます。 機器ポリシーには、デバイス ID と OS の 2 種類があります。既定では、デバイス ID の優先順位のほうが OS よりも高く なっています。 演算子についても、正規表現一致と文字列一致の 2 つがあります。文字列一致では、大文字と小文字が区別されます。 既定では、文字列一致が正規表現一致よりも優先されます。 動作オプションには、3 つの選択肢、保留、承認、拒否があります。ポリシーに一致した場合、機器はここで定義されてい る動作を実行します。

デバイス管理 > ログ

デバイス管理のログは、機器についての詳しい情報を得るのに役立ちます。新しい機器の登録要求、機器の状況変化、 機器の削除、電子メール通知などに関するログがあります。

ポータル ログインのための PDA

現在、ポータル ログインのための PDA はデスクトップでのみサポートされています。ポータル ログインのための PDA の すべてのケースは、次のようにリスト表示されます。 1 初回のログイン時には、ログイン認証後にセキュリティ声明がポップアップ表示されます。 2 機器の承認方式が "手動" に設定されている場合は、機器の登録に同意してもアクセスが許可されません。管理 者によって機器が承認されるのを待つ必要があります。 3 なお、機器の登録を拒否した場合、アクセスは許可されません。

4 また、既に 3 台の機器を登録している場合は、新たな機器の登録もアクセス権の取得もできません。 5 さらに、"機器登録" 要求が管理者によって拒否された場合も、機器の登録やアクセス権の取得はできません。

SMA クライアントの PDA

現在、モバイル クライアント、NetExtender、仮想アシスト、仮想ミーティングなどのクライアントは、RTQA ビルドの PDA 機能ではサポートされていません ("ゲスト ログイン" のサポートが不要)。 各クライアントは今後のビルドでサポートされる予定です。

RDP-HTML5 の拡張

SMA 8.5 では、RDP-HTML5 ブックマークに対して複数の拡張が行われています。

トピック:

 機器単位ライセンスのサポート  欧州向けキーボードのサポート  RDP セッション全体にわたるテキストのコピー/ペースト  タブレットおよび電話での表示の最適化  HTML5、Java、ActiveX の各ブックマークでの RDP 機能の比較 ライセンス データはブラウザに格納されています。アクセス先のリモート サーバが同じでも、同じ機器上にある別のブラ ウザを使用してアクセスする場合は、新しいライセンスが必要です。 ターミナル サーバでは、ライセンス マネージャを使用してライセンスを取り消すことができます。ただし、1 日あたりに行え る取り消しの回数には上限があります。

機器単位ライセンスのサポート

リモート デスクトップ セッション ホスト (RD セッション ホスト) サーバが機器単位ライセンス モードを使用するように設定 されている場合、クライアント コンピュータまたはクライアント機器が RD セッション ホスト サーバに初めて接続すると、既 定ではクライアント コンピュータまたは機器に対して一時的なライセンスが発行されます。リモート デスクトップ ライセン

ス サーバがアクティブで、十分な数のリモート デスクトップ サービス (RDS) 機器単位クライアント アクセス ライセンス (C AL) が使用可能な場合、クライアント コンピュータまたは機器が 2 回目に RD セッション ホスト サーバに接続すると、ラ イセンス サーバはクライアント コンピュータまたは機器に対して永続的な RDS 機器単位 CAL を発行します。ライセンス サーバがアクティブでないか、使用可能な機器単位 CAL がない場合、機器は引き続き、一時的なライセンスを使用しま す。一時的なライセンスは、90 日間有効です。 ライセンス サーバによって発行された永続的な RDS 機器単位 CAL は、52 ～ 89 日間のランダムな期間の経過後に自 動的に期限が切れるように設定されており、その時点で RDS 機器単位 CAL は、ライセンス サーバ上にある使用可能な RDS 機器単位 CAL のプールに返却されます。

機器単位ライセンス サーバの設定

このセクションでは、Windows Server 2008 R2 での機器単位ライセンスの設定方法を説明します。ほかのバージョンのサ ーバでは、設定の詳細が異なる場合があります。

ライセンス サーバを追加するには、以下の手順に従います。

1 「サーバ マネージャ」画面の「設定の編集」の下にある「リモート デスクトップ ライセンス サーバ」をダブルクリック します。 2 「プロパティ」ダイアログの「ライセンス」タブで、「追加」をクリックします。 3 「ライセンス サーバの追加」ダイアログで、「ライセンス サーバ名または IP アドレス」フィールドに情報を入力し、 「追加」をクリックします。

ライセンス サーバを設定するには、以下の手順に従います。

1 左ナビゲーション ペインの「ライセンスの診断」をクリックします。 2 中央ペインの「指定されたライセンス サーバ」の下で、適切なサーバ名または IP アドレスを選択します。右側の ペインに追加の動作が表示されます。 3 左側のペインで、「RD ライセンス マネージャを起動」をクリックします。 4 次の画面には、「一時的」と表示された使用可能ライセンスのリストが表示されます。 この画面では、機器単位ライセンスの管理を行うことができます。 異なるウェブ ブラウザからのリモート接続ごとに機器ライセンスが 1 つ消費されます。上記の画面ではライセンス を取り消すことができますが、一定の期間に取り消せる回数は限られています。

ライセンスをインストールするには、以下の手順に従います。

1 「すべてのサーバ」の下の左ペインにあるサーバを右クリックし、「ライセンスのインストール」を選択して、ウィザー ドによる段階的な指示に従います。ただし、インターネット接続が利用可能なことを確認しておいてください。

欧州向けキーボードのサポート

米国向けキーボードでは、一部の欧州文字を入力することができません。リモート サーバとローカル クライアント コンピ ュータの双方でキーボードの種別を設定しておく必要があります。 入力の解析を適切に行うには、HTML5 のキャンバス要素 (<canvas>) に同じ言語を設定する必要があります 。そのため には、S シールド ("S" と記された盾のマーク) の横にある言語識別子をクリックして、言語選択メニューを開きます。 S シールド:

言語選択メニュー: ブックマーク管理者は、ブックマーク設定で既定の言語キーボードを設定できます。ブックマークを開くと、既定の言語の 識別子が S シールドの横に表示されます。

RDP セッション全体にわたるテキストのコピー/ペース

ト

ブックマーク管理者は、ブックマーク設定の「クリップボードのリダイレクト」オプションを使用してこの機能を有効または無 効にできます。 有効になっている場合、ブックマークを起動してリモート サーバにテキストをコピーしようとすると、S シールドの下にある アイコンが点滅します。 点滅しているアイコンをクリックすると、ダイアログがポップアップ表示されます。入力フィールドにはコピーされたテキスト が示されています。テキストは、そこから手動でコピーしてローカル マシンにペーストする (貼り付ける) ことができます。 反対方向へのコピー/ペーストは、ローカルでのコピー/ペーストのように非常にスムーズに行えます。ローカルの文字列 をコピーし、リモート マシン上にペーストするだけです。

タブレットおよび電話での表示の最適化

モバイル機器に HTML5 キャンバスが表示されている間は、以下の動作がサポートされます。  画面サイズに合わせたダイアログ サイズの調整  画面回転中の再接続  メニューの制御

HTML5、Java、ActiveX の各ブックマークでの RDP 機

能の比較

機能 ActiveX Java 純粋な Java クライ

アント HTML5 接続と制御 はい はい はい はい TS ファーム/負荷分散のサ ポート はい はい はい はい RDP 8 はい はい はい はい Wake on LAN はい はい はい はい コンソール ログイン はい はい いいえ はい

機能 ActiveX Java 純粋な Java クライ アント HTML5 プリンタをリダイレクトする はい はい いいえ いいえ ポートをリダイレクトする はい はい いいえ いいえ ドライブをリダイレクトする はい はい いいえ いいえ スマートカードをリダイレクト する はい はい いいえ いいえ クリップボードをリダイレクト する はい はい いいえ いいえ PnP 機器をリダイレクトする はい はい いいえ いいえ デスクトップ背景 はい はい いいえ はい デュアル モニタ はい はい いいえ いいえ スパン画面表示 はい はい いいえ いいえ フォント補正 はい はい いいえ はい リモート アプリケーション はい はい いいえ いいえ リモート音声 はい はい いいえ いいえ シングル サインオン はい はい はい はい 画面の色 最大 32 ビット 最大 32 ビット 最大 32 ビット 最大 32 ビット 解像度 最大 1920x1080 (設定値) 最大 1920x1080 (設定値) 最大 1920x1080 (設定値) 最大 1920x108 0 (設定値) 注 プラグインのインスト ールが必要です。リ モート システム上の インストール済み ms tsc クライアントを利 用します。ループバ ック方式 (Windows 8 ではいくつかの問題 が報告されていま す) Java がインストール されている必要があ ります。リモート シス テム上のインストー ル済み mstsc クライ アントを利用します。 ループバック方式 (Windows 8 ではいく つかの問題が報告 されています) Java がインストール されている必要があ ります。当社独自の Java アプレットを利 用します。ループバッ ク方式 (Windows 8 で はいくつかの問題が 報告されています) ブラウザが HT ML5 をサポー トしている必要 があります。最 近のほとんど のブラウザは HTML5 をサポ ートしていま す。IE、Chrom e、Firefox、Saf ari で検証済 み。 サポート Windows IE のみ Java に対応している Windows ブラウザ (I E、Firefox、Chrome) と Mac OSX (Safari、 Chrome、Firefox)

Java に対応している Windows ブラウザ (I E、Firefox、Chrom e)、Mac OSX (Safar i、Chrome、Firefox)、 Linux (Firefox) HTML5 をサポ ートできるブラ ウザ (Chrom e、 IE10 以降、Fire fox、Safari) を 搭載したすべ ての機器

VNC-HTML5 の拡張

8.5 リリースでは、以下に示す重要な拡張が VNC-HTML5 ブックマークに対して行われています。

トピック:

 Mac の画面共有でのパフォーマンス向上  ウィンドウ制御  オプションの追加  HTML5 および Java ブックマークでの VNC 機能の比較

Mac の画面共有でのパフォーマンス向上

これまでのリリースでは、VNC-HTML5 ブックマークを用いて Mac にアクセスすると、顕著な表示の遅れが発生していま した。本リリースでは、HTML5 VNC の内部実装の改良によってそうした遅れが解消されています。

ウィンドウ制御

本リリースでは、 メニュー項目が メニュー項目で置き換えられています。この 新しいメニュー項目は、VNC HTML5 クライアント向けのさまざまなウィンドウ制御の機能を提供します。 この「ウィンドウ」メニューをクリックすると、次のようなサブメニューが表示されます。 このサブメニューには、いくつかのオプションが提示されています。  拡大/縮小を行わない: VNC HTML5 のピクチャ サイズは固定され、ブラウザのウィンドウのサイズはユーザの操 作によって変更できますが、このラジオ ボタンが有効になっている場合は、ブラウザのウィンドウをどのように変 更しても、VNC リモート デスクトップの画面サイズは VNC サーバによって指定された値のままで変化しません。  ウィンドウに合わせて拡大/縮小: VNC HTML5 のピクチャ サイズは固定されず、外側のブラウザ ウィンドウのサ イズに合わせて拡大/縮小されます。つまり、ブラウザのウィンドウのサイズを変えることで、VNC HTML5 のピ クチャ サイズを変更することができます。  Full screen:ブラウザは全画面表示の状態になり、VNC HTML5 のピクチャ サイズもブラウザのウィンドウ サイズ に合わせて拡大/縮小されます。このオプションは、全画面表示をサポートしていないブラウザ (iOS の Safari など) には表示されません。  縦横比を維持: このオプションは、VNC HTML5 のピクチャ サイズの拡大/縮小方法に関するもので、利用可能な オプションは「ウィンドウに合わせて拡大/縮小」と「全画面表示」のみになります。このラジオ ボタンが有効にな っている場合、VNC HTML5 ピクチャの縦横比は VNC サーバによって指定されているのと同じ値のままになり ます。それ以外の場合、VNC HTML5 の縦横比は、外側のブラウザ ウィンドウと同じになります。

オプションの追加

これまでに説明した拡張は、SRA4600、SRA1600、SMA200、SMA400 と、SMA 500v Virtual Appliance で利用できます。 当初 VNC Java 向けにサポートされていた以下のオプションが、VNC HTML5 でサポートされるようになりました。 1 エンコード 2 圧縮レベル 3 JPEG 画像品質 4 カーソル形状更新 5 CopyRect を使用 6 制限された色数 (256 色) 補足: 1.エンコードのオプションについては、"CoRRE" エンコードのみが VNC JAVA でサポートされています。 2.制限された色数は、Mac の画面共有ではサポートされていないので、Mac の画面共有が利用されている 場合はこのオプションを有効にしないでください。

HTML5 および Java ブックマークでの VNC 機能の

比較

機能 HTML5 バージョン Java アプレット バージョン エンコード はい (設定は可能ではなく、VNC サ ーバによって決定。サポートされてい るエンコード:Raw、CopyRect、RRE、H extile、Tight、TightPNG、Zlib) はい (Tight、Raw、RRE、CoRRE、Hex tile、Zlib のいずれか) 回転 はい 使用可能ではありません 圧縮レベル いいえ はい JPEG 画像品質 いいえ はい カーソル形状更新 はい (既定で有効。IE ではサポートさ れていません。モバイル ブラウザの場 合、"カーソル形状更新" は常に無効) はい CopyRect を使用 はい (設定は不可) はい 制限された色数 (256 色) いいえ はい マウス ボタン 2 と 3 を逆にする いいえ はい 表示のみ はい はい デスクトップ共有 はい はい SSO はい いいえ

SSH と Telnet HTML5 の拡張

SRA プラットフォーム上の HTML5 SSH および Telnet に対して以下の改良が行われています。変更は SSH クライアント と Telnet HTML5 のどちらのクライアントにも適用されます。

トピック:

 SSO のサポート  Telnet および SSH HTML5 ターミナルに対する全般的な拡張  HTML5 および Java ブックマークでの SSHv2 機能の比較 8.5 リリースでは、ブックマークの統合によって Telnet および SSHv2 ブックマークが全般的に更新されています(この更新 の詳細については、「SMA-108507 - ブックマークの拡張 (8.5)」を参照してください)。

シングル サインオンのサポート

シングル サインオン (SSO) は Telnet および SSH ブックマークでサポートされています。ブックマークは、ブックマーク設 定の「自動的にログインする」オプションを有効にして設定しておく必要があります。適切なユーザ名とパスワードが設定 されている場合、セッションへのログインは自動的に行われます。 SSHv2 HTML5 ブックマークの場合、SSO はユーザ名とパスワードの両方の認証でサポートされています。SSO に失敗し た場合は、メニューがポップアップ表示され、資格情報の手動入力またはログインのキャンセルを行うことができます。

Telnet および SSH HTML5 ターミナルに対する全般

的な拡張

Telnet ブックマークと SSHv2 HTML5 ブックマークで、新しいターミナル エミュレータが使用されるようになりました。以降 のセクションでは、これらのブックマークの主な改良点について説明します。

バック スクロールのサポート

新しいターミナルは、Telnet および SSHv2 HTML5 ブックマークで、過去のレコードを表示するためのバック スクロールを サポートしています。スクロールが必要な場合は、このスクロール バーをテキスト エディタと同じように使用できます。

コンソール セッションの動的なウィンドウ サイズ変更

ブラウザ ウィンドウのサイズが変更されると、ターミナル エミュレータのコンテンツ サイズは動的に変更され、次のインタ ラクションで新しいサイズが有効になります。  サイズ変更前  サイズ変更後

コピー アンド ペーストのサポート

この拡張により、エミュレータ内のあらゆる要素を選択し、OS のショートカット機能を使用してテキストのコピー アンド ペ ーストを行うことができます。  テキスト (背景が青色の部分) を選択し、標準のコピー用ショートカット キーを利用します。選択が解除され、テキ ストがコピーされます。

 ペーストの操作は、標準のペースト用ショートカット キーを利用して行うことができます。 補足: Windows の SSHv2 HTML5 ブックマークの場合は、Ctrl+C キーを押すことで、選択されている要素が コピーされます。それ以外の場合は、'^C' のシグナルがホストに送信されます。

拡大/縮小表示によるフォントサイズの変更

ブラウザ ウィンドウの表示を拡大または縮小すると、実行時におけるフォントサイズの変更を行うことができます。また、 ターミナル エミュレータのコンテンツ サイズも動的に変更されます。  SSHv2 HTML5 ブックマークの拡大表示:

ホスト キーの検証と既定のフォント サイズ オプション (SSHv2 HTM

L5 ブックマークのみ)

 ホスト キーの検証: 8.5 リリースでは、ホスト キーの検証が改善されており、SSHv2 HTML5 ブックマークの初回起動後、アルゴリズム、 ホスト キーの長さ、ホスト キーのフィンガープリントの完全な情報が表示されます。この検証は受け入れることも 拒否することもできます。受け入れた場合、フィンガープリントはブラウザのローカル ストレージに保存されます。 当面は、SSHv2 HTML5 ブックマークのみが 'ssh-rsa' 公開鍵アルゴリズムをサポートします。 補足: SSO が有効になっていても、自動認証が行われる前にホスト キーを手動で検証する必要があります (「自動的にホストキーを受け入れる」が有効になっていない場合)。  既定のフォントサイズ: SSHv5 HTML5 ブックマークで、既定のフォントサイズを設定するための新しいオプションを使用できるようになり ました。フォントサイズは 12 ～ 99 の範囲で指定できます。

HTML5 および Java ブックマークでの SSHv2 機能の

比較

機能 HTML5 バージョン Java アプレット バージョン 自動的にホスト キーを受け入れる はい はい 公開/秘密鍵 認証 いいえ はい ユーザ名をバイパスする いいえ はい 調整可能なウィンドウ サイズ いいえ (固定ウィンドウ サイズが選択 済み) はい ログ セッション いいえ はい バック スクロール いいえ はい クリップボード いいえ はい 強調表示 いいえ はい カラー オプション いいえ はい 受け入れたホスト キーを保管する はい いいえ SSO はい いいえ

Exchange ポータル

アプリケーション オフロードは、ActiveSync、Outlook Anywhere、Autodiscover、単一ポータルの OWA でサポートされて います。Exchange サーバをバックエンド サーバとして使用する場合、Exchange ポータルには特有の設定が数多く存在し ます。Exchange ポータル ウィザードを使用すると、Exchange ポータルを簡単に作成することができ、多くの特有のオプシ ョンが自動的に設定されます。

トピック:

 Exchange ポータルの作成  Exchange ポータルの編集

Exchange ポータルの作成

ステップ 1.種別

ウィザードを起動するには、「ポータル > ポータル」ページの「ウェブ アプリケーションをオフロードする…」をクリックします。 最初のタブでは、ポータルの種別を選択できます。「一般」または「負荷分散」が選択されている場合、「この Exchange ポ ータルには OWA、ActiveSync、または Outlook Anywhere からアクセスします」というもう 1 つのオプションが表示されま す。

ステップ 2.サーバ

「サーバ」と記された 2 番目のステップには、ポータルおよび Exchange サーバの設定が含まれています。 ポータル名 - ポータル名は、個々のポータルを識別できる一意のものである必要があります。 ポータル ドメイン名 - オフロード ポータルへのアクセスに使用するドメイン名を入力します。 ポータル インターフェース - ポータルがバインドされるネットワーク インターフェースを示します。ある特定のネットワーク インターフェースが選択されている場合は、新しい IP アドレスがポータルに割り当てられます。 ポータル証明書 - それまでにインポートされたすべての証明書のリストが表示されます。

Exchange サーバ アドレス - Exchange サーバに関する設定を受け入れます。この設定は、Exchange サーバの IP アドレ スのみになる場合があります。アドレスのスキームは既定で "https" になっています。ポートおよび既定のパスもこの 1 つのフィールドで設定できます。 これらすべての設定は、マウス ポインタが入力テキスト ボックスから離れるとすぐに、装置側からの検証が行われます。 入力に問題がある場合はその理由が表示されます。すべてのフィールドに問題がない場合に限り、「次へ」をクリックして 3 番目のタブに進むことができます。

ステップ 3.セキュリティ

3 番目のステップには、セキュリティ設定が含まれています。

許可されるアクセス方式 - ポータルが利用してきた方式 ("ActiveSync"、"Outlook Anywhere"、"Outlook Web Access" など) のリストが表示されます。これらの方式のいずれかが無効になっている場合は、その種類のアクセスを遮断するた めのアクセス ポリシーが 1 つ自動的に生成されます。 ActiveSync プロビジョニングを強制する - ActiveSync プロビジョニング設定を有効または無効にするためのポータル レ ベルのオプションを提供します。"ActiveSync プロビジョニング" の詳細については、「デバイス管理」 (または PDA 機能) を参照してください。 ウェブ アプリケーション ファイアウォールを有効にする - WAF がライセンスされている場合に有効にすることができます。 アプリケーション制御を無効にする - Exchange ポータルでは有効にすることができません。

ステップ 4.Miscellaneous

4 番目のステップには、全般的なポータル設定が含まれています。 「ポータル サイト タイトル」、「ポータル バナー タイトル」、「ログイン メッセージ」の既定値は、Exchange ポータル専用の ものが設定されています。これらはカスタマイズできます。

Exchange ポータルの編集

すべての Exchange ポータル設定は、ポータル リスト ページの「編集」をクリックすることで、表示したり編集したりできます。 「一般」タブでは、「多重ログインを禁止する」が既定で無効になっています。これは、ActiveSync や Outlook Anywhere の クライアントが 1 つのセッションしか使用できないためです。

「オフロード」タブでは、「認証制御を無効にする」が選択されていなければ、「電子メール クライアント認証を有効にする」 が有効になっています。「既定のドメイン名」は、ドメインを作成または編集する際に自動的に設定されます。

「仮想ホスト」タブでは、ActiveSync アクセスが有効になっていれば、「仮想ホストの別名」が ActiveSync の Autodiscover アドレスに設定されています。Autodiscover アドレスは、仮想ホスト ドメイン名から自動的に生成されます。

「ロゴ」タブでは、OWA アクセス用のロゴまたはファビコンをカスタマイズできます。

「サービス > ポリシー」ページでは、ウィザードの実行中に選択した特定のアクセス方式を拒否するためのポリシーを 1 つ以上追加できます。

Dell SonicWALL SMA Connect Agent

ブラウザ プラグイン (NPAPI、ActiveX、Java アプレット) は、Net-Extender や Virtual Assist EPC などのネイティブ アプリケ ーションを起動するために使用されます。セキュリティ上の理由から、普及度の高いブラウザでは、これらのプラグインが遮 断されています。例えば、Chrome ブラウザではすべての NPAPI プラグインが無効になっており、最新の Microsoft Edge ブラウザは ActiveX をサポートしていません。そのため、ブラウザからの直接起動という便利な方法はもう機能せず、シー ムレスな起動を行うための新しい方法が必要になります。

特定のスキームの URL を開く、別の起動用アプリケーションがあります。Windows/OS X では既にいくつかのスキーム (mailto など) が定義されています。SMA Connect Agent は、スキーム URL を使用してブラウザ プラグインを置き換える ための新しい機能です。SMA Connect Agent は、スキーム URL 要求を受け取って、特定のネイティブ アプリケーション を起動するという橋渡しの役割をします。

トピック:

 サポート対象のオペレーティング システム  ダウンロードとインストール  セットアップ

サポート対象のオペレーティング システム

SMA Connect Agent は、Windows (7、8、10) と Macintosh (OS X) のオペレーティング システムをサポートしています。

ダウンロードとインストール

「ようこそ」ページでは、ユーザが EPC または PDA 機能を使用する必要がある場合、ダウンロードとインストールに関す る通知が表示されます。

「ポータル」ページでは、ユーザが Net-Extender、仮想アシスト、仮想ミーティング、RDP ブックマーク (ネイティブ)、また は Citrix ブックマーク (ネイティブ) を起動しようとすると、ダウンロードとインストールに関する通知が表示されます。 ダウンロード - ブラウザによって SMA Connect Agent インストーラがダウンロードされます。

インストール済み - この通知が再び表示されることはありません。 続行 - 通知を閉じ、操作を続行します。

[詳細] - SMA Connect Agent を紹介するウィンドウが開きます。

ダウンロード完了後には、インストーラが表示されます。Windows 用インストーラは「SMAConnectAgent.msi」、Macintosh 用イ ンストーラは「SMAConnectAgent.dmg」です。Windows 用インストーラではインストールを行う権限が必要であり、Macintosh 用インストーラではガイドに従って SMA Connect Agent を /Application ディレクトリに配置します。

セットアップ

プロキシの設定

次の 4 つのプロキシ設定オプションが用意されています。

ログ

システム ツールバーにログ トレイがあります。このトレイを右クリックし、該当するポップアップ メニューを選択すると、ロ グを表示できます。

ブラウザによる警告

スキーム URL による SMA Connect Agent の起動を試みると、SMA Connect Agent の起動について確認をとるための 次のような警告メッセージがブラウザによってポップアップ表示されることがあります。

Firefox の警告ウィンドウでは、「OK」を押すと SMA Connect Agent が起動されます。

Chrome の警告ウィンドウでは、「アプリケーションの起動」を押すと SMA Connect Agent が起動されます。 Internet Explorer の警告ウィンドウでは、「許可」を押すと SMA Connect Agent が起動されます。

エンド ポイント制御

SMA Connect Agent は、ブラウザからのエンド ポイント制御 (EPC) の確認実施をサポートしています。ログイン ページで EPC 確認を有効にした場合、ブラウザにより、SMA Connect Agent に EPC 確認の実行を要求する特定のスキーム URL が発行されます。

SMA Connect Agent はそのマシン上の EPC サービスを確認します。EPC サーバがローカル マシン上にない場合や、よ り新しいバージョンが装置上にある場合、SMA Connect Agent は EPC サービスのダウンロード/インストールまたはアッ プグレードを行います。インストールまたはアップグレードの終了後、SMA Connect Agent は EPC 確認を実行します。 EPC 機能 (装置側) によって「クライアント側に EPC エラー メッセージを詳細に表示する」が有効になっている場合、SMA Connect Agent は詳細なエラー メッセージをログに記録します。その後、ログのトレイを表示することができます。

個人用機器の認証

個人用機器の認証 (PDA) は新しい機能です。SMA Connect Agent は PDA 機能によるローカル マシン情報の取得を支 援します。ユーザが PDA 機能を有効にしている場合、ログイン ページで、ブラウザによって SMA Connect Agent が起動 されます。SMA Connect Agent はローカル マシンの情報を取得し、その情報を装置に送信します。

SonicWALL アプリケーション

ポータル ページには、クリックによってサポート対象の SonicWALL アプリケーション (Net-Extender、仮想アシスト、仮想 ミーティングなど) を起動できるボタンがあります。

ただし、Macintosh ではNetExtender を実行できません。そのため、SMA Connect Agent は Macintosh 上で Net-Extend er 接続をサポートしていません。

リモート デスクトップ プロトコル ブックマーク - ネイティブ

本リリースには、ブックマークの自動検出という新しい機能が導入されています。また、SMA Connect Agent の場合は、リ モート デスクトップ プロトコル (RDP) という新しい種別が「RDP ブックマーク - ネイティブ」内に追加されています。 「ネイティブ」を選択して RDP ブックマークを起動した場合は、SMA Connect Agent によって RDP クライアントがローカル マシン上で起動され、RDP 接続が行われます。

Windows の場合:

SMA Connect Agent は RDP 接続の確立を完了するために実行ファイル "mstsc.exe" を起動します。

Macintosh

の場合:

SMA Connect Agent は "Microsoft リモート デスクトップ" アプリケーションを検索します。SMA Connect Agent は RDP 接続を行うために "Microsoft リモート デスクトップ" を起動します。このアプリケーションをまだインストールしていない場 合は、インストールを行うためのアプリケーションのウェブ ページが SMA Connect Agent によってポップアップ表示され ます。これまでのところ、Macintosh 上の SMA Connect Agent は SSO をサポートできていません。

Citrix ブックマーク - ネイティブ

「ネイティブ」を選択して Citrix ブックマークを起動した場合は、SMA Connect Agent によって Citrix Receiver がローカル マシン上で起動され、Citrix 接続が行われます。

Windows の場合:

SMA Connect Agent は ICA ファイルを開いて Citrix Receiver を起動しようとします。Citrix Receiver がインストールされ ていない場合は、次のメッセージがポップアップ表示されます。

Macintosh の場合:

SMA Connect Agent は "Citrix Receiver"を検索してこのアプリケーションがインストールされていることを確認します。S MA Connect Agent は Citrix 接続を確立するために "Citrix Receiver" を起動します。このアプリケーションをまだインスト ールしていない場合は、インストールを開始するための警告メッセージが SMA Connect Agent によってポップアップ表示 されます。

直接インターフェース

URL にアクセスすることで、supportLogin、vmLogin、vmLoginCreator という 3 つのインターフェースにアクセスできます。 SMA Connect Agent では、(Windows および Macintosh で) 仮想アシストおよび仮想ミーティングを起動できるように、こ れらのページ上の ActiveX および Java アプレットが置き換えられています。各ページには、SMA Connect Agent をイン ストールするための通知ボタン バーがあります。

ブックマークの拡張

本リリースには、ブックマーク統合という新しいフレームワークが含まれています。このフレームワークには、以下のような 統合ブックマークが用意されています。  リモート デスクトップ プロトコル (RDP) ブックマーク  仮想ネットワーク コンピューティング (VNC) ブックマーク  Citrix ブックマーク  Telnet ブックマーク  SSHv2 ブックマーク

トピック:

 アクセス種別の選択  統合ブックマーク  アップグレード変換

アクセス種別の選択

8.5 リリースでは、いずれかの統合ブックマークを作成または編集しようとする場合に、「アクセス種別の選択」という新し いオプションが提示されます。  スマート: クライアント上で起動するモードをファームウェアによって決定できるようにします。 新しい統合ブックマークを作成する際には、既定で「スマート」が選択されています。ブックマークの起動時には、 ブックマーク固有の既定モードを使用して自動検出の処理が行われます。  手動: モード、モード間の優先順位、選択方式を設定するためのオプションが提示されます。選択ボックスでは、 少なくとも 1 つのモードが有効になっている必要があります。 上向きおよび下向きの各矢印を使用して、起動の優先順位を調整します。x 印のマークとチェック マークは、モー ドを無効化または有効化するために使用します。無効化されたモードは、リストの一番下に灰色のフォントで表示 されます。 「手動」モードの下にある「起動時に選択する」オプションは、既定では有効になっていません。この設定では、ブッ クマークの起動時に、設定済みリストの先頭にある使用可能なモードが自動検出後に実行されます。 「起動時に選択する」オプションが有効になっていて、複数のモードがクライアントで使用可能な場合は、統合ブッ クマークの起動時にメニューが表示されます。このメニューでは、5 秒のカウントダウンが行われている間にモード を選択できます。使用可能なモードが 1 つしかない場合、ブックマークはただちに実行されます。

起動時に「この選択を記憶する」オプションが有効になっている場合は、選択されたモードが Cookie によって記憶 されます。 つまり、次にこのブックマークを起動する際には、記憶されたモードが 2 秒以内に直接実行されます。HTML 内の 任意の場所をクリックすると、記憶されたモードが '忘れられる' ので、モードを選択し直すことができます。 ブックマークの編集または削除を同じブラウザで行うことでも、記憶されたモードをリセットできます。 設定によってクライアントでどのモードも実行できなくなった場合は、通知が表示されます。

統合ブックマーク

このセクションでは、統合ブックマークに関するオプションを説明し、それらのブックマークの既定の起動モードを示します。

統合オプション

統合ブックマークに関するオプションは、同一の編集ページ上にまとめられています。複雑なオプションを持つブックマー ク (RDP など) では、すべてのモードのオプションが混在していますが、「*HTML5 以外」、「*HTML5 向け」のようなヒント によってオプションの区別が行われています。 VNC や SSHv2 といったその他のブックマークでは、オプションが特定のモードの設定と共通の設定に分けられています。

既定の起動モード

既定の起動モードについても、新しい統合ブックマークの作成および「手動」の選択時に、選択内容に目を通すことで、確 認することができます。  RDP ブックマーク HTML5、ネイティブ、Java

 VNC ブックマーク HTML5、Java  Citrix ブックマーク HTML5、ネイティブ、ActiveX  Telnet ブックマーク HTML5、Java  SSHv2 ブックマーク HTML5、Java

アップグレード変換

8.5 リリースへのアップグレード時には、古いブックマークが統合サービス種別に変換されます。このとき、「手動」設定が 選択され、元のモードが最高の優先順位に設定されるとともに「起動時に選択する」は無効になります。ブックマークの起 動時に変更内容が通知されることはありません。 例えば、古い SSHv2 Java ブックマークは次のような設定に変換されます。

アプリケーション オフロードの拡張

現在のアプリケーション オフロード ポータル作成プロセスは、熟練者でもない限り簡単には使用できません。アプリケー ション オフロード ポータル ウィザードは、アプリケーション オフロード ポータルの作成を進めやすくするために設計され ています。このウィザードを使えば、作成を段階的に進めることができ、入力した内容はバックエンド サーバによってただ ちに検証されます。多くのオプションは、非表示になっており、既定値に設定されています。ポータルを作成した後も、す べてのオプションを編集ポータルから調整できます。

トピック:

 アプリケーション オフロード ポータルの作成  アプリケーション オフロード ポータルの編集  認証制御の拡張  アプリケーション オフロードのその他の拡張

アプリケーション オフロード ポータルの作成

ステップ 1.アプリケーション オフロード ポータルの種別

ウィザードを起動するには、「ポータル > ポータル」ページの「ウェブ アプリケーションをオフロードする…」をクリックします。 最初のタブでは、ポータルの種別を選択できます。 一般 - ほとんどの状況で選択できます。 負荷分散 - 負荷分散オフロード ポータルをセットアップする場合に使用します。 URL ベース エイリアス - URL ベース エイリアス オフロード ポータルをセットアップする場合に使用します。 この Exchange ポータル オプションは、Exchange ポータルで使用するために用意されています。

ステップ 2.汎用サーバ設定

「一般」が選択されている場合、2 番目のステップでは以下の項目が表示されます。ポータルおよびアプリケーション サー バの設定は、このページで行うことができます。 ポータル名 - さまざまなポータルを識別するための一意の名前である必要があります。 ポータル ドメイン名 - オフロード ポータルへのアクセスに使用するドメイン名です。 ポータル インターフェース - ポータルがバインドされるネットワーク インターフェースを示します。ある特定のネットワーク インターフェースが選択されている場合は、新しい IP アドレスがポータルに割り当てられます。 ポータル証明書 - それまでにインポートされたすべての証明書のリストが表示されます。 アプリケーション サーバ アドレス - アプリケーション サーバに関する設定を受け入れます。単純にアプリケーション サー バの IP アドレスである場合があります。アドレスのスキームは既定で "https" になっています。ポートおよび既定のパス もこの 1 つのフィールドで設定できます。 これらすべての設定は、マウス ポインタが入力テキスト ボックスから離れるとすぐに、装置側からの検証が行われます。 入力内容に問題がある場合は、その理由が表示されます。すべてのフィールドに問題がない場合に限り、「次へ」をクリッ クして次のタブに進むことができます。

ステップ 2 (代替).負荷分散サーバ設定

「負荷分散」が選択されている場合、「サーバ」ページには次の項目が表示されます。 負荷分散グループ - アプリケーション サーバ アドレスに代わるものとして、このポータルに割り当てることができる既存 の負荷分散グループを表示します。負荷分散グループが存在しない場合は、「ここを選択して作成」をクリックすると、新し い負荷分散グループを作成できます。

ステップ 2 (代替).URL ベース エイリアス サーバ設定

「URL ベース エイリアス」が選択されている場合、「サーバ」のステップには次の項目が表示されます。 既存の「URL ベース エイリアス グループ」が、このポータルへの割り当てのためにリスト表示されます。URL ベース エイ リアス グループが存在しない場合は、ハイパーリンクをクリックすると、新しいグループを作成できます。

ステップ 3.セキュリティ設定

3 番目のステップには、セキュリティ設定 (「ウェブ アプリケーション ファイアウォールを有効にする」、「認証制御を無効に する」) が含まれています。 WAF がライセンスされている場合は、両方のオプションを設定できます。WAF がライセンスされていない場合は、どちら のオプションも非表示になります。

ステップ 4.その他の設定

4 番目のステップには、全般的なポータル設定が含まれています。 「ポータル サイト タイトル」、「ポータル バナー タイトル」、「ログイン メッセージ」は既定で設定されています。ただし、これ らはカスタマイズすることもできます。 今すぐ再起動 - 「終了」のクリック後、装置のスムーズな再起動をただちに行います。 ウィザードの終了後にこのポータルを編集することで、より詳細なオプションを調整できます。ポータル設定を変更するに は、ウェブ サーバを再起動する必要があります。再起動により、アクティブな NetExtender 接続や特定のブックマークが 切断状態になる可能性があります。設定した内容をただちに有効にするために、ウェブ サーバの再起動に進む場合は、 「今すぐ再起動」にチェックを入れます。それ以外の場合は、このチェックボックスをオフにして、ウェブ サーバを再起動せ ずに変更内容を保存します。装置の再起動は、後で「システム > 再起動」ページから行うことができます。 「終了」をクリックすると、ウィザードは終了します。アプリケーション オフロード ポータルが正しく作成された後、ページは 遮断され、ポータル リスト ページにリダイレクトされます。

アプリケーション オフロード ポータルの編集

すべてのアプリケーション オフロード ポータル設定は、ポータル リスト ページの「編集」アイコンをクリックすることで、表 示したり編集したりできます。

認証制御の拡張

この拡張により、2 つの状況下にある場合にアプリケーション オフロード ポータルへの匿名アクセスを無効にします。そ れは、WAF がライセンスされていない場合と Exchange ポータルにアクセスしている場合です。 認証制御が既に無効になっていて WAF がライセンスされていない場合は、8.5 へのアップグレード後に「操作が必要」と いうメッセージがポータル ページに表示されます。また、「認証制御を無効にする」が無効になっています。「保存」をクリ ックして、認証制御の設定を確定させます。

この状況でエンド ユーザがポータルにアクセスした場合は、エラー メッセージが表示されます。 次のようなログ メッセージが通告のレベルで生成されます。「WAF がライセンスされていないため、匿名オフロード接続を 処理できませんでした。」「システム > ライセンス」ページで WAF 購読サービスまたは無料試用版を有効にしてください」。 「認証制御」が無効になっている場合は、同様のことが Exchange ポータルへのアクセスについて当てはまります。 その場合、ログ メッセージには「匿名 Exchange アクセスを処理できませんでした。ポータルの認証制御を有効にしてくだ さい」と表示されます。

アプリケーション オフロードのその他の拡張

バックエンド サーバに送信されるホスト名を選択できるように、「プロキシ ホスト」という新しいオプションが 1 つ追加され ています。 ほかにも「クライアント要求より継承」、「仮想ホスト名」、「アプリケーション サーバ ホスト (バックエンド)」といったオプショ ンがあります。「クライアント要求から継承する」が既定値になっています。

Citrix の拡張

8.5 リリースでは、ブックマークの統合によって Citrix ブックマークが全般的に更新されています(この更新の詳細につい ては、「SMA-108507 - ブックマークの拡張 (8.5)」を参照してください)。

トピック:

 SSO のサポート  StoreFront 3.0.x のサポート  Citrix ネイティブ ブックマークの拡張

SSO のサポート

Citrix ブックマークでのシングル サインオンのサポートにより、フォームベース認証が可能になります。これは、ユーザ名 とパスワードによる認証方式を使用して StoreFront ポータルに自動的にログインするものです。SSO を有効にするには、 以下の手順に従います。

 StoreFront ポータルに直接アクセスするか、Citrix ブックマーク経由でアクセスします。ユーザ名およびパスワー ド フォーム フィールドの name 属性を探します(通常、既定では username と password になっています)。

 Citrix ブックマークの「自動的にログインする」を有効にします。Citrix ブックマークの SSO では「フォームベース 認証」のみが使用できます。「ユーザ フォーム フィールド」と「パスワード フォーム フィールド」を含む資格情報 を選択または入力します。

 Citrix ブックマークの起動後、次の図に示すように StoreFront ポータルへの自動ログインが可能になり、XenApp または XenDesktop を使用できる状態になります。

StoreFront 3.0.x のサポート

このセクションでは、「Classic Receiver Experience」が無効になっている状態での StoreFront 3.0.x のサポートについて 説明します。

 Citrix サーバ上で Citrix Studio または Citrix StoreFront を起動します。  「Receiver for Web」を選択します。

 「Disable Classic Receiver Experience」をクリックして、これを無効にします。これで、StoreFront には従来と異な る操作が設定されます。

Citrix ネイティブ ブックマークの拡張

8.5 リリースでは、Citrix ネイティブ ブックマークがサポートされています。SMA Connect Agent および Citrix Receiver の インストール後にこのブックマークを Windows または OS X プラットフォームで起動すると、高度な機能を利用できます。

補足: SMA Connect Agent の詳細については、「Dell SonicWALL SMA Connect Agent」を参照してください。

SMA Connect Agent

Citrix ブックマークから Citrix Receiver を起動するには、まず SMA Connect Agent をインストールする必要があります。 Citrix ネイティブ ブックマークを起動します。SMA Connect Agent がインストールされていない場合は、次のメッセージが 表示されます。

「ダウンロード」をクリックして、SMA Connect Agent のダウンロードとインストールを行います。その後、ユーザは「インス トール済み」をクリックして、SMA Connect Agent がインストールされたことをブラウザに '記憶' させることができます。あ るいは、「続行」をクリックすることで、このページをバイパスして StoreFront にログインすることもできます。

補足: SMA Connect Agent の詳細については、「Dell SonicWALL SMA Connect Agent」を参照してください。

Citrix ネイティブ ブックマークの起動

StoreFront へのログイン後、ほかの Citrix ブックマークなどの Citrix デスクトップまたはアプリケーションを起動します。 ブラウザによる確認メッセージが表示されます。

「アプリケーションの起動」をクリックすると、Citrix Receiver が自動的に起動されます。

起動モードの更新

Citrix ブックマークの既定の起動モードは、HTML5、ネイティブ、ActiveX に変換されています。

一方、Citrix Java ブックマークは削除され、元の Citrix Java ブックマークは Citrix ネイティブ ブックマークで置き換えられ ています。

補足: 「リソース ウィンドウ サイズ」オプションは、アップグレード後には Citrix ActiveX ブックマーク専用とな ります。Citrix ネイティブ クライアント (Citrix Receiver) は、独自のスイッチによって動的なウィンドウサイズ 変更と全画面表示モードをサポートしているためです。

MC クライアントのためのサーバ変更

SMA 8.5 リリースでは、Mobile Connect 4.0 と、予定されている 5.0 の機能に対応するためにいくつかの変更が行われま した。変更内容には、TouchID、フィンガープリント認証に関する管理設定の変更や、SSO サポートのためのアプリケーシ ョン内セキュア ウェブ閲覧に対する変更が含まれています。

変更内容には、iOS 上の TouchID または Android 機器上のフィンガープリント認証と呼ばれるフィンガープリント技術を 使用した認証も含まれています。これらの設定は、SMA 機器に対する認証時のクライアントによるこの機能の利用を許 可または拒否します。また、これらの設定では、管理者の要求に基づいて機能を決定および許可を行い、脆弱性が発見 された場合には、追加の更新なしに機能を無効にすることができます。

予定されている MC 5.0 アプリケーション内ウェブ ブラウザ機能のために、SMA にはクライアントに SSO 情報を安全に 渡すための方式が用意されました。また、SMA には、この機能をサポートするためのサーバ側の実装とともに、機能を有 効または無効にするためのブックマーク設定が含まれています。

トピック:

 フィンガープリントによる認証

フィンガープリントによる認証

フィンガープリントによる認証を許可または拒否するには、NetExtender 設定セクションでこの機能を設定する必要があり ます。設定はグローバルに行うことも、グループごとやユーザ単位で行うこともできます。 このオプションが無効になっている場合は、フィンガープリント技術による今後のログイン試行のみが遮断されます。サー バには、クライアントが接続を試みるまではクライアント側の設定を変更する手段がなく、場合によっては、最初の接続で あるためにクライアントが以前のポリシーに従っていない可能性があるからです。

強化されたパスワード セキュリティとローカ

ル データベース認証の変更

トピック:

 既定の有効期限  暗号化の自動更新  前方互換性 SMA 装置のデータベースへのパスワードの格納を SMA 装置がどのように処理するかを更新するための変更が行われ ました。これまで、装置は MD5 ハッシュ アルゴリズムを使用してパスワードを格納していました。その後、この方法は安 全でないことが判明しました。パスワードをローカル ファイル システムに格納するより安全な方法への更新が実装されて います。 SRA および SMA 200/400 装置では、ローカル ユーザを作成してパスワード ポリシーを強制的に適用することができま す。当初、パスワードは SHA128 ハッシュによって格納され、設定のエクスポートや TSR に含まれていました。しかし、セ キュリティの実践手法を改善するために、暗号化の強化や、パスワードの有効期限の強制適用が求められていました。 また、パスワード セキュリティ強化の一環として、ローカル ユーザの実装に対する追加の変更も必要とされていました。 ローカル データベース ユーザに対する変更としては、以下の点が挙げられます。 1 既定の有効期限を 2 年に設定 2 ローカル DB ユーザのパスワード有効期限に関するドメイン/ユーザ設定 3 暗号化アルゴリズムの自動更新 4 設定のインポートに対する前方互換性 設定可能な目に見える変更以外に、暗号化の強度を増すための変更も行われています。

既定の有効期限

ローカル データベースのユーザ種別で新しく作成されたすべてのドメインには、既定のパスワード有効期限の値が設定 され、「有効期限の警告を表示する日数」オプションが 15 に設定されます。この設定は作成時に手動で変更できます。 また、ドメインに有効期限が設定されていない場合、新しく作成されたすべてのユーザには、既定のパスワード有効期限 の値が設定され、「有効期限の警告を表示する日数」オプションが 15 に設定されます。ドメインに具体的なパスワード有 効期限の日数が設定されている場合は、ユーザ側の有効期限を 0 に設定する必要もあります。これは、ドメインの有効 期限の設定を使用することを意味します。ドメイン設定の検出は、「ユーザの追加」要求の送信後、自動的に行われます。 この設定も作成時に手動で変更できます。 既定のパスワード有効期限の値は 2 年 (730 日) です。 アップグレードを行っても、パスワード有効期限の既存の値はそのまま維持されます。 管理状況ページには、すべてのローカル データベース ドメインから有効期限の設定を行うことを推奨する通告が追加さ れました。この通告には、そうした設定が必要なドメインのリスト (上位 5 件) が付随しています。すべてのドメインについ て既定のパスワード有効期限を設定した場合は、このメッセージ表示が解除されます。

暗号化の自動更新

アップグレード後は、すべてのローカル DB ユーザのパスワード暗号化が更新されています。この処理は、エンド ユーザ に対して透過的に行われますが、エクスポートされた設定を調べることで確認できます。 今後のビルドでは、暗号化の強度が自動的に更新されますが、ユーザによるログインが必要であることに変わりはありま せん。暗号化は一方向でしか行われず、ログインが要求されるためです。

前方互換性

古いファームウェアから 8.5 以降の新しいファームウェアへの設定のインポートでは、管理者やその他のローカル データ ベース ユーザがログイン可能な状態をサポートおよび維持する必要があります。パスワードの暗号化方式はやがては変 更されるので、ファームウェアでは、古いハッシュを使用したログインを少なくとも一度は許可する必要があります。

FTP サーバへの設定/TSR のエクスポート

現在実行中の設定やログは、機器上のローカル領域に格納されます。それらは手動でダウンロードできます。さらに、FT P サーバなどの外部サーバにログをエクスポートできるようになりました。 実行中の設定やテクニカル サポート レポート (TSR) を外部の FTP サーバに自動送信するための新しいオプションが追 加されています。これらのオプションは、設定のバックアップを実行したり、その内容を作業環境で復元したりするのに役 立ちます。また、診断データの積極的な収集を定期的に行うのにも役立ちます。これにより、ログ収集の処理をよりきめ 細かく制御できます。

トピック:

 システム > 設定  システム > 診断

システム > 設定

ファームウェアのアップグレード後や設定の生成後に外部の FTP サーバに設定内容を自動送信するためのオプションを 以下に示します。装置の設定の定期的なバックアップが既に含まれています。これらのオプションにより、バックアップの ための新しい方式が提供されます。 再起動時や TSR の生成時に外部の FTP サーバに TSR を自動送信するためのオプションを以下に示します。

システム > 診断

2 番目のオプションを有効にする場合は、「システム > 診断」セクションの下に反映させるために、まず TSR のスケジュー ル設定を診断ページで有効にする必要があることに注意してください。 外部の FTP サーバに設定および TSR を自動送信するには、設定が適切に行われるようにするために、外部 FTP/TFT P サーバ設定が装置の「システム > 管理」ページに設定されている必要があります。

修正された問題点

このセクションでは、本リリースで解決された問題点のリストを示します。

セキュリティ更新

修正された問題点 問題番号

2016 年 5 月 3 日の OpenSSL アドバイザリで SMA の OpenSSL のアップグレードが推奨されていま す。アップグレードを行わない場合、MITM 攻撃者からのパディング オラクル攻撃によってトラフィック が解読される可能性があります。 接続で AES CBC 暗号を使用しており、サーバが AES-NI をサポートしている場合に発生します。 173618 Citrix 修正された問題点 問題番号

ネイティブ .msi および .exe 形式の Citrix クライアントのサポートが必要になります。

.exe または .msi による XenApp ICA クライアントのインストールを使用していて、ActiveX Citrix リンク への接続を試みた場合に発生します。

160838

Citrix ブックマークによってアクセスしたアプリケーションが起動しません。

SRA 7.5 と旧式の Citrix クライアントが動作している装置で、Java および ActiveX ブックマークによっ て Citrix XenApp 6.5 を使用した場合に発生します。

144184

エンドポイント制御

修正された問題点 問題番号

EPC 8.25 へのアップグレード後、Windows ファイアウォールで EPC が正しく動作しません。

SMA ファームウェアを 8.0.0.3 から 8.1.0.2 に、EPC を 8.22 から 8.25 にアップグレードした後に発生し ます。

173829

ファイル共有

修正された問題点 問題番号

Mobile Connect を使用して大きなファイルを内部のサーバに送信すると、転送が中止され、ping のタ イムアウトが連続して発生します。

Windows 10 で Mobile Connect に接続している場合に発生します。

172299 CIFS HTML ファイル共有ブックマークが正しく機能しません。 SMB3 および NTLMv2 のサポートによって発生します。 168521 FTP 修正された問題点 問題番号 FTP ブックマークを介したファイルのアップロードやダウンロードが行われず、エラーが表示されます。 装置のファームウェアが SRA 7.5 から 8.1 にアップグレードされた後に発生します。FTP ブックマーク が FTP サーバのホストされている Linux サーバを参照しています。 167494