TDR Host Sensor Enforcement を構成する
このトピックでは、TDR Host Sensor Enforcement を構成する方法についてご説明します。この機能の仕組みの詳細については、TDR Host Sensor Enforcement について を参照してください。
開始する前に
TDR Host Sensor Enforcement を構成する前に、以下を行う必要があります。
- オペレーティング システムの互換性を確認する
TDR Host Sensor Enforcement では、Fireware リリース ノート の オペレーティング システム互換性マトリックス セクションに記載されている Windows と macOS オペレーティング システムがサポートされています。
- TDR アカウントを構成する
Firebox にアクティブな TDR 登録が備わっている必要があります。TDR の構成方法については、クイック起動 — TDR を設定する を参照してください。
- TDR Host Sensor をインストールする
Host Sensor Enforcement を Mobile VPN デバイスに適用するには、そのデバイスに TDR Host Sensor アプリケーションをインストールする必要があります。TDR Host Sensor は手動でも自動でもインストールすることができます。TDR Host Sensor インストールの詳細については、TDR ホストおよび Host Sensor を管理する を参照してください。
- Mobile VPN を少なくとも 1 つ構成する
Firebox では、すべての Mobile VPN タイプの Host Sensor Enforcement がサポートされています。Mobile VPN の詳細については、Mobile VPN トンネル を参照してください。
- Mobile VPN ユーザー グループを構成する
Android または iOS モバイル ユーザーが存在するネットワークで Windows または macOS モバイル ユーザーを対象として Host Sensor Enforcement を有効化するには、個別の Mobile VPN ユーザー グループを作成する必要があります。例:
- Windows & macOS ユーザー というユーザー グループを作成します。
- Android & iOS ユーザー というユーザー グループを作成します。
このトピックの Mobile VPN セクションでは、Host Sensor Enforcement をユーザー グループに適用する方法についてご説明します。
TDR Host Sensor Enforcement を構成する
複数の場所で TDR Host Sensor Enforcement を有効化する必要があります。
- TDR — Host Sensor 設定
- Firebox —
- Host Sensor Enforcement 設定
- Mobile VPN 設定
TDR の Host Sensor Enforcement を構成する
まず、TDR アカウントで Host Sensor Enforcement を有効化して、認証キーを生成します。
- TDR にログインする.
- 構成 > Threat Detection の順に選択します。
- Host Sensor セクションで、設定 を選択します。
- Firebox VPN 検証 セクションで、Host Sensor 強制を オン に設定します。
- TDR 認証キーを手動で指定します。または、生成 をクリックして、ランダムな認証キーを生成します。
Firebox で Host Sensor Enforcement を構成する
次に、Firebox で Host Sensor Enforcement を構成します。
- 登録サービス > Threat Detection の順に選択します。
- Host Sensor Enforcement を有効化する を選択します。
- プライマリ アカウント UUID の TDR 認証キー を指定します。
- (任意) 他の TDR アカウントを追加する (最大 4 つ) には、追加 をクリックします。
アカウントを追加する ダイアログ ボックスが表示されます。- アカウント UUID を入力します。
- TDR 認証キー を入力します。
- OK をクリックします。
- (任意) オペレーティング システムの最小バージョン セクションで、Windows、macOS、またはその両方の要件を選択します。
- Windows ドロップダウン リストから、Windows 8.1、Windows 10、または 任意 を選択します。
- macOS ドロップダウン リストから、High Sierra 10.13、Mojave 10.14、Catalina 10.15、または 任意 を選択します。
任意 を選択すると、WatchGuard でサポートされている任意の Windows または macOS オペレーティング システムをホストで実行することができます。サポートされているオペレーティング システムのリストについては、Fireware リリース ノート の オペレーティング システム互換性マトリックス を参照してください。
オペレーティング システム強制は、Windows Server オペレーティング システムには適用されません。ユーザーが、サポートされている Windows Server オペレーティング システムから Mobile VPN に接続する場合、Windows Server システムが他すべての TDR Host Sensor Enforcement 要件を満たしていれば、Firebox ではオペレーティング システムの強制設定に関係なく接続が許可されます。
- Windows ドロップダウン リストから、Windows 8.1、Windows 10、または 任意 を選択します。
- 保存 をクリックします。
- 登録サービス > Threat Detection の順に選択します。
- Host Sensor Enforcement を有効化する を選択します。
- プライマリ アカウント UUID の TDR 認証キー を指定します。
- (任意) 他の TDR アカウントを追加する (最大 4 つ) には、追加 をクリックします。
アカウントを追加する ダイアログ ボックスが開きます。- アカウント UUID テキスト ボックスに、アカウント UUID を入力します。
- TDR 認証キー テキスト ボックスに、TDR 認証キーを入力します。
- OK をクリックします。
- (任意) オペレーティング システムの最小バージョン ドロップダウン リストから、Windows、macOS、またはその両方の要件を選択します。
- Windows ドロップダウン リストから、Windows 8.1、Windows 10、または 任意 を選択します。
- macOS ドロップダウン リストから、High Sierra 10.13、Mojave 10.14、Catalina 10.15、または 任意 を選択します。
任意 を選択すると、WatchGuard でサポートされている任意の Windows または macOS オペレーティング システムをホストで実行することができます。サポートされているオペレーティング システムのリストについては、Fireware リリース ノート の オペレーティング システム互換性マトリックス を参照してください。
オペレーティング システム強制は、Windows Server オペレーティング システムには適用されません。ユーザーが、サポートされている Windows Server オペレーティング システムから Mobile VPN に接続する場合、Windows Server システムが他すべての TDR Host Sensor Enforcement 要件を満たしていれば、Firebox ではオペレーティング システムの強制設定に関係なく接続が許可されます。
- 保存 をクリックします。
Mobile VPN で Host Sensor Enforcement を構成する
次に、1 つまたは複数の Mobile VPN グループで Host Sensor Enforcement を有効化します。個々の Mobile VPN ユーザーで Host Sensor Enforcement を有効化することはできません。
Android または iOS モバイル ユーザーのネットワークの Windows と macOS モバイル ユーザーで Host Sensor Enforcement を有効化する場合は、Host Sensor Enforcement を個別の Mobile VPN ユーザー グループに適用します。
例:
- Windows & macOS ユーザー — このグループの Host Sensor Enforcement を有効化します。
- Android & iOS ユーザー — このグループでは、Host Sensor Enforcement を無効のままにします。
- IKEv2 ユーザー — この既定 VPN グループでは、Host Sensor Enforcement を無効のままにします。
グループの 選択 チェックボックスを選択すると、Firebox でそのグループが既定グループ (IKEv2 ユーザー、SSLVPN ユーザー、L2TP ユーザー、または IPSec ユーザー) に追加されます。既定グループに属している一部のグループのみで Host Sensor Enforcement を有効化する場合は、既定グループの強制は無効のままにします。
複数の Mobile VPN グループに属するユーザーの場合は、以下の条件をすべて満たす場合にそのユーザーに強制が適用されます。
- Mobile VPN グループがすべて同じ Mobile VPN 構成に属している。
- これらのグループの一部に対してのみ、Host Sensor Enforcement を有効化する。
たとえば、ユーザーが 2 つの Mobile VPN with IKEv2 に属している場合で、そのグループの片方にのみ強制を有効化した場合は、強制がそのユーザーに適用されます。
異なる Mobile VPN 構成の一部である複数のグループにユーザーが属している場合は、それらの一部のグループで Host Sensor Enforcement が有効になっていると、特定のタイプの Mobile VPN 接続においてのみ、そのユーザーに強制が適用されます。例:
- ユーザーが IKEv2 ユーザー および SSLVPN ユーザー グループに属しており、IKEv2 ユーザー のみで強制が有効化されている場合は、Mobile VPN with IKEv2 接続の場合にのみそのユーザーに強制が適用されます。
- Mobile VPN with SSL 接続の場合は、そのユーザーには強制は適用されません。
Mobile VPN with IKEv2:
- VPN > Mobile VPN の順に選択します。
- IKEv2 セクションで、構成 をクリックします。
- 認証 を選択します。
- そのグループの横の Host Sensor Enforcement ドロップダウン リストから、はい を選択します。
- VPN > Mobile VPN > IKEv2 の順に選択します。
- 認証 を選択します。
- 左側の列で、グループの横にあるチェックボックスを選択します。
これで、Host Sensor Enforcement 設定を変更できるようになりました。 - そのグループの横の Host Sensor Enforcement ドロップダウン リストから、はい を選択します。
s
Mobile VPN with L2TP:
- VPN > Mobile VPN の順に選択します。
- L2TP セクションで、構成 をクリックします。
- 認証 を選択します。
- そのグループの横の Host Sensor Enforcement ドロップダウン リストから、はい を選択します。
- VPN > Mobile VPN > L2TP の順に選択します。
- 認証 を選択します。
- 左側の列で、グループの横にあるチェックボックスを選択します。
これで、Host Sensor Enforcement 設定を変更できるようになりました。 - グループの横にある Host Sensor Enforcement チェックボックスを選択します。
Mobile VPN with SSL:
- VPN > Mobile VPN の順に選択します。
- SSL セクションで、構成 をクリックします。
- 認証 を選択します。
- そのグループの横の Host Sensor Enforcement ドロップダウン リストから、はい を選択します。
- VPN > Mobile VPN > SSL の順に選択します。
- 認証 を選択します。
- 左側の列で、グループの横にあるチェックボックスを選択します。
これで、Host Sensor Enforcement 設定を変更できるようになりました。 - グループの横にある Host Sensor Enforcement チェックボックスを選択します。
Mobile VPN with IPSec:
- Firebox-DB ユーザーの Host Sensor Enforcement を有効化するには、認証 > サーバー > Firebox-DB の順に選択します。
- サードパーティの認証サーバーのユーザーで Host Sensor Enforcement を有効化するには、認証 > ユーザー&グループ の順に選択します。
- グループを選択して、編集 をクリックします。
Firebox-DB ユーザーの場合は、Firebox グループ認証の設定 ダイアログ ボックスが開きます。サードパーティの認証サーバーのユーザーの場合は、ユーザーまたはグループを編集する ダイアログ ボックスが開きます。 - Host Sensor Enforcement を有効化する を選択します。
- Firebox-DB ユーザーの Host Sensor Enforcement を有効化するには、セットアップ > 認証 > 認証サーバー > Firebox-DB の順に選択します。
- サードパーティの認証サーバーのユーザーで Host Sensor Enforcement を有効化するには、認証 > ユーザー&グループ の順に選択します。
- グループを選択して、編集 をクリックします。
Firebox-DB ユーザーの場合は、Firebox グループ認証の設定 ダイアログ ボックスが開きます。サードパーティの認証サーバーのユーザーの場合は、ユーザーまたはグループを編集する ダイアログ ボックスが開きます。 - Host Sensor Enforcement を有効化する を選択します。
関連情報:
TDR Host Sensor Enforcement をトラブルシューティングする