Appleプラットフォーム導入
- ようこそ
- Appleプラットフォーム導入の概要
- 新機能
-
-
- アクセシビリティペイロードの設定
- Active Directory証明書ペイロードの設定
- AirPlayペイロードの設定
- AirPlayセキュリティペイロードの設定
- AirPrintペイロードの設定
- App Lockペイロードの設定
- 関連ドメインペイロードの設定
- 自動証明書管理環境(ACME)ペイロードの設定
- 自律的シングルアプリモードペイロードの設定
- カレンダーペイロードの設定
- モバイルデータ通信ペイロードの設定
- モバイル通信プライベートネットワークペイロードの設定
- 証明書プリファレンスペイロードの設定
- 証明書失効ペイロードの設定
- CT(証明書の透明性)ペイロードの設定
- 証明書ペイロードの設定
- 会議室のディスプレイペイロードの設定
- 連絡先ペイロードの設定
- コンテンツキャッシュペイロードの設定
- ディレクトリサービスペイロードの設定
- DNSプロキシペイロードの設定
- DNS設定ペイロードの設定
- Dockペイロードの設定
- ドメインペイロードの設定
- 省エネルギーペイロードの設定
- Exchange ActiveSync(EAS)ペイロードの設定
- Exchange Web Services(EWS)ペイロードの設定
- 拡張シングルサインオンペイロードの設定
- 拡張シングルサインオンKerberosペイロードの設定
- 機能拡張ペイロードの設定
- FileVaultペイロードの設定
- Finderペイロードの設定
- ファイアウォールペイロードの設定
- フォントペイロードの設定
- グローバルHTTPプロキシペイロードの設定
- Googleアカウントペイロードの設定
- ホーム画面レイアウトペイロードの設定
- 識別子ペイロードの設定
- 識別プリファレンスペイロードの設定
- カーネル機能拡張ポリシーペイロードの設定
- LDAPペイロードの設定
- LOM(Lights Out Management)ペイロードの設定
- ロック画面のメッセージペイロードの設定
- ログインウインドウペイロードの設定
- 管理対象ログイン項目ペイロードの設定
- メールペイロードの設定
- ネットワーク使用ルールペイロードの設定
- 通知ペイロードの設定
- ペアレンタルコントロールペイロードの設定
- パスコードペイロードの設定
- プリントペイロードの設定
- 「プライバシー」環境設定ポリシー制御ペイロードの設定
- リレーペイロードの設定
- SCEPペイロードの設定
- セキュリティペイロードの設定
- 設定アシスタントペイロードの設定
- シングルサインオンペイロードの設定
- スマートカードペイロードの設定
- 照会カレンダーペイロードの設定
- システム機能拡張ペイロードの設定
- システム移行ペイロードの設定
- Time Machineペイロードの設定
- TV Remoteペイロードの設定
- Webクリップペイロードの設定
- Webコンテンツフィルタペイロードの設定
- Xsanペイロードの設定
-
- 宣言型アプリ構成
- 認証資格情報と識別情報アセット宣言
- バックグラウンドタスク管理宣言型
- カレンダー宣言型構成
- 証明書宣言型構成
- 連絡先宣言型構成
- Exchange宣言型構成
- Googleアカウント宣言型構成
- LDAP宣言型構成
- レガシー対話型プロファイル宣言型構成
- レガシープロファイル宣言型構成
- メール宣言型構成
- 計算および計算機アプリ宣言型構成
- パスコード宣言型構成
- パスキー認証宣言型構成
- Safari機能拡張の管理の宣言型構成
- 画面共有宣言型構成
- サービス構成ファイル宣言型構成
- ソフトウェアアップデート宣言型構成
- ソフトウェアアップデート設定の宣言型構成
- ストレージ管理宣言型構成
- 照会カレンダー宣言型構成
- 用語集
- 資料の改訂履歴
- 著作権
Appleデバイス用のCisco IPsec VPNの設定
iOS、iPadOS、およびmacOSで使用できるようにCisco VPNサーバを構成するときは、このセクションに従ってください。iOS、iPadOS、およびmacOSはいずれもCiscoネットワークファイアウォールAdaptive Security Appliance 5500シリーズおよびPrivate Internet Exchangeに対応しています。これらは、IOSバージョン12.4(15)T以降を搭載したCisco IOS VPNルーターにも対応しています。VPN 3000シリーズコンセントレータはVPN機能に対応していません。
認証方法
iOS、iPadOS、およびmacOSは、以下の認証方法に対応しています:
事前共有キーによるIPsec認証と
xauthコマンドによるユーザ認証。クライアント証明書およびサーバ証明書を使用したIPsec認証と
xauthによる任意のユーザ認証。サーバが証明書を提示しクライアントが事前共有キーを提示するハイブリッド認証によるIPsec認証。ユーザ認証は必須であり、
xauthが使用されます。これには、この認証方法のユーザ名とパスワード、およびRSA SecurIDが含まれます。
認証グループ
Cisco Unityプロトコルでは、パラメータが共通するユーザをまとめるために、認証グループが使用されます。ユーザ用の認証グループを作成することをおすすめします。事前共有キーまたはハイブリッド認証を使用する場合は、デバイス上でグループ名を構成し、グループのパスワードとしてグループの共有シークレット(事前共有キー)を指定する必要があります。
証明書認証を使用する場合は、共有シークレットは使用されません。ユーザのグループは証明書に含まれるフィールドに基づいて判別されます。Ciscoサーバの設定を使用して、証明書のフィールドをユーザグループにマッピングできます。
RSA-Sigの優先度は、ISAKMP(Internet Security Association and Key Management Protocol)優先度リストで最も高いものにする必要があります。
IPsecの設定と説明
IPsecの実装方法を定義するには、次の設定を指定できます:
モード: トンネルモード。
IKEモード: 事前共有キーおよびハイブリッド認証の場合はアグレッシブモード、証明書認証の場合はメインモード。
暗号化アルゴリズム: 3DES、AES-128、またはAES-256。
認証アルゴリズム: HMAC-MD5またはHMAC-SHA1。
Diffie-Hellmanグループ: 事前共有キーおよびハイブリッド認証の場合は、グループ2にする必要があります。証明書認証の場合、3DESおよびAES-128ではグループ2、AES-256ではグループ2または5にする必要があります。
PFS(Perfect Forward Secrecy): PFSを使用する場合、IKEフェーズ2では、Diffie-HellmanグループをIKEフェーズ1と同じにする必要があります。
モード構成: 有効にする必要があります。
Dead Peer Detection: 推奨。
標準NATトラバーサル: 対応しており、有効にできます(IPsec over TCPには対応していません)。
負荷分散: 対応しており、有効にできます。
フェーズ1の鍵更新: 現時点では対応していません。サーバでの鍵更新時間を1時間に設定することをお勧めします。
ASAアドレスマスク: すべてのデバイスアドレスプールマスクが設定されていないか、または255.255.255.255に設定されていることを確認してください。例を示します:
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255。推奨されたアドレスマスクを使用すると、VPN構成が想定するルートの一部が無視される場合があります。この問題を回避するには、必要なルートがルーティングテーブルにすべて含まれていて、サブネットアドレスにアクセスできることを確認してから、導入するようにしてください。
アプリケーションバージョン: クライアントソフトウェアのバージョンがサーバに送信されます。これによりサーバは、デバイスのソフトウェアバージョンに基づいて接続を許可または拒否できます。
バナー: サーバでバナーが構成されている場合は、デバイスにバナーが表示され、ユーザはそれを受け入れるか接続を解除する必要があります。
スプリットトンネル: 対応しています。
スプリットDNS: 対応しています。
デフォルトドメイン: 対応しています。