適用対象: FireCloud インターネット アクセス
FireCloud を使用してユーザーを保護するには、ユーザーのデバイスに WatchGuard Connection Manager をインストールして、これを使用して FireCloud に接続する必要があります。ユーザーが FireCloud に接続すると、そのデバイスからのインターネット トラフィックが、最も近い WatchGuard の PoP (ポイント オブ プレゼンス) 経由でルーティングされます。
FireCloud では、WatchGuard エージェント によって WatchGuard Connection Manager が配備およびインストールされます。WatchGuard エージェントにより、管理対象コンピュータと WatchGuard サーバー間の通信が処理されます。エージェントは、各 Endpoint またはコンピュータにインストールされます。これは、WatchGuard Connection Manager や Endpoint Security ソフトウェアなどの WatchGuard ソフトウェアを配備するために使用されます。これによる CPU、メモリ、帯域幅の使用量は低く、使用されるデータは 1 日 2 MB 未満に過ぎません。WatchGuard エージェントの詳細については、次を参照してください:WatchGuard エージェントについて。
FireCloud からインストーラをダウンロードすると、WatchGuard エージェントがダウンロードされます。WatchGuard エージェントのインストール時に WatchGuard Cloud との通信が発生し、アカウントとコンピュータに現在ライセンス付与されているすべてのソフトウェアがインストールされます。WatchGuard Connection Manager の新バージョンが WatchGuard からリリースされると、WatchGuard エージェントにより、自動的に新規バージョンがダウンロードされてインストールされます。これにより、ユーザーは常に最新の状態を維持することができます。
FireCloud のライセンスまたはトライアルの有効期限が切れて、アカウントに FireCloud ライセンスが割り当てられていない場合は、WatchGuard エージェントにより、すべてのエンド ユーザー デバイスの WatchGuard Connection Manager が自動的にアンインストールされます。アカウントに再びアクティブな FireCloud ライセンスが付与されると、WatchGuard エージェントにより、WatchGuard Connection Manager が自動的にダウンロードされて再度インストールされます。
WatchGuard Cloud アカウントにはそれぞれ固有の WatchGuard エージェント バージョンがあります。同じ WatchGuard Cloud アカウントの FireCloud ユーザーのみが、そのアカウントからインストーラを使用することができます。Service Provider は、同じインストーラを使用して、複数の管理対象アカウントに FireCloud を配備しないでください。
Caution: Panda Endpoint Security 製品がインストールされているコンピュータには、WatchGuard Connection Manager をインストールすることができません。WatchGuard Connection Manager は、WatchGuard Endpoint Security 製品とのみ互換性があります。
ネットワーク アクセス要件
ファイアウォールを介した WatchGuard エージェントからの WatchGuard Cloud への接続には、以下のホスト名に接続できる状態が必要です。
| ホスト名 | ポート |
|---|---|
|
*.pandasecurity.com
*.pandasoftware.com *.windows.net |
TCP 443
TCP 80 |
Connection Manager の仕組み
FireCloud に接続している間、FireCloud によって脅威からユーザーが保護されます。これにより、ユーザーは安全にコンピュータを使用すること、またインターネットを閲覧することができます。FireCloud への最初の接続時に、エージェントによってセッションが開いたままの状態になります。そのため、コンピュータを再起動しても接続が維持されます。詳細については、次を参照してください:Connection Manager 認証セッション。
FireCloud に接続していれば、プリンターなど、ネットワークにあるローカル リソースに接続することができます。
VPN に接続しなければならない場合は、まず FireCloud から手動で切断する必要があります。一旦 FireCloud から切断されると、手動でログインして再度接続し、保護を維持する必要があります。
FireCloud に接続できない場合、または FireCloud から手動で切断した場合も、インターネットには接続できますが、FireCloud による保護は得られません。
1 時間以上にわたり WatchGuard Connection Manager で認証を受けられない状態、または FireCloud に接続できない状態が発生すると、再度ログインすることを求めるプロンプトが表示されます。
コンピュータがすでに FireCloud に接続されている状況下で、オフィスから企業ネットワークに接続すると、ファイアウォールの構成によってトラフィックの処理方法に影響が出る可能性があります。FireCloud では、UDP ポート 4500 経由で WatchGuard の PoP (ポイント オブ プレゼンス) への通信が行われます。
- 企業ネットワークへの接続が発生した際にポート 4500 が開いていると、Connection Manager によって引き続きトラフィックが FireCloud 経由でルーティングされます。
- 企業ネットワークへの接続が発生した際にポート 4500 がブロックされていると、FireCloud へのクライアント接続は確立されず、クライアントによって通常の企業ネットワークへの接続時と同じようにトラフィックがルーティングされます。しかし、ファイアウォールの背後にある間も、WatchGuard Connection Manager によって FireCloud PoP への接続が継続的に試行されます。
一旦企業ネットワークから切断されると、FireCloud に手動で再度接続しなければならない場合があります。
FireCloud への接続ステータスを確認するには、システム トレイの Connection Manager アイコンをポイントします。接続ステータスによってアイコンの色が異なります。
| ステータス | 定義 |
|---|---|
|
これは、PoP に接続している状態を示しています。また、インターネット トラフィックは FireCloud 経由でルーティングされます。 |
|
これは、PoP に接続している状態を示していますが、インターネットには接続できません。 |
|
未接続。 |
Connection Manager 認証セッション
Connection Manager で認証を受けて FireCloud に接続すると、Connection Manager で 2 つのセッションが確立されます。
- 最初のセッションは、Authpoint などの IdP (アイデンティティ プロバイダ) との間で確立されます。
- 2 番目のセッションは、FireCloud との間で確立され、これによって FireCloud PoP への接続が可能になります。
Connection Manager により、IdP セッションがキャッシュされます。このセッションは、Connection Manager アプリケーションが停止または再起動されるまで、またはシステムが再起動されるまで、あるいはセッションが アイデンティティ プロバイダによって無効化されるまで (たとえば、セッションが IdP のタイムアウトに達するまで) 有効なままとなります。
Connection Manager メニューから 切断 を選択するまで、FireCloud セッションは有効な状態が維持されます。
ユーザー グループに適用される FireCloud アクセス ルールによって、FireCloud から手動で切断できるか否かが決まります。
それぞれの状況において、Connection Manager で各セッションが使用される仕組みと予想される動作に関する以下の説明をご覧ください。
Connection Manager を使用して FireCloud に初めて接続すると、アイデンティティ プロバイダのログイン ページが表示されます。ユーザー名とパスワードを入力して、アイデンティティ プロバイダで認証を受ける必要があります。
正常に認証されると、Connection Manager によって新しい IdP セッションがキャッシュされます。
アイデンティティ プロバイダ認証が正常に行われると、Connection Manager によって新しい FireCloud セッションが確立されます。これにより、Connection Manager から FireCloud PoP への接続が可能となり、トラフィックのルーティングを開始できるようになります。
FireCloud から手動で切断すると、Connection Manager によって FireCloud からのログアウトが発生し、FireCloud セッションが無効化されます。Connection Manager により、キャッシュされた IdP セッションが維持されます。
Connection Manager を開いて FireCloud に接続した場合は、以下の状況が発生します。
- キャッシュされた IdP セッションが有効で、かつタイムアウトしていない場合は、Connection Manager によって既存の IdP セッションを使用して新しい FireCloud セッションが確立されます。確立された IdP セッションが再利用されるため、ログインは求められません。
- キャッシュされた IdP セッションが無効になっている場合 (タイムアウトした場合など) は、新しい IdP セッションを作成するために、Connection Manager により、アイデンティティ プロバイダを使用してログインすることが求められます。アイデンティティ プロバイダでユーザーが認証され、新しい IdP セッションが作成されると、Connection Manager によって新しい FireCloud セッションが確立されます。
コンピュータを再起動した場合は、Connection Manager は自動的に起動しますが、以前の IdP セッションは保持されません。再起動後の Connection Manager の動作は、再起動前に FireCloud から切断したかどうかによって異なります。
再起動前に FireCloud から手動で切断した場合は、新しい IdP セッションを作成するために、Connection Manager により、アイデンティティ プロバイダを使用してログインすることが求められます。アイデンティティ プロバイダでユーザーが認証され、新しい IdP セッションが作成されると、Connection Manager によって新しい FireCloud セッションが確立されます。
FireCloud に接続したままの状態で再起動すると、再起動後、以前に確立されていた FireCloud セッションの再開が Connection Manager で試みられます。
- このアクションが成功すると、Connection Manager から FireCloud への接続が発生します (ログインは不要です)。しかし、キャッシュされた IdP セッションは存在しません。
- このアクションが失敗した場合は、Connection Manager によってログインが求められます。アイデンティティ プロバイダでユーザーが認証され、新しい IdP セッションが作成されると、Connection Manager によって新しい FireCloud セッションが確立されます。
WatchGuard エージェントと Connection Manager をダウンロードしてインストールする
WatchGuard Cloud の FireCloud UI から、WatchGuard エージェントをダウンロードします。また、アカウントのインストーラへのリンクを作成し、このリンクをユーザーに配布することができます。そうすれば、ユーザーが各自で Connection Manager をダウンロードしてインストールできる状態になります。
WatchGuard エージェント (WatchGuard Connection Manager のインストールに使用) をダウンロードするには、以下の手順を実行します。
- WatchGuard Cloud にログインして、構成 > FireCloud の順に移動します。
- クライアントのダウンロード を選択します。
クライアントのダウンロード ページが開きます。 - インストーラをダウンロードする をクリックします。
WatchGuard エージェント インストーラのダウンロードが開始されます。 - ユーザー各自がエージェントをダウンロードしてインストールできるようにインストーラをユーザーに送信する場合は、インストーラの URL をコピーする をクリックします。このリンクをユーザーに送信します。
WatchGuard エージェントは複数の方法で配備することができます。最も簡単な方法は、インストーラを手動で実行する手段です。
また、Windows コマンド プロンプトを使用して WatchGuard エージェントをインストールするか、コマンドライン オプションを使用して Active Directory グループ ポリシー オブジェクト (GPO) 経由で配備することができます。
WatchGuard エージェントによる Connection Manager のインストールが失敗した場合は、4 時間後にエージェントによって再度インストールが試みられます。すぐにインストールを再試行する必要がある場合は、インストーラを実行します。
- ダウンロードしたインストーラを実行します。
- インストール をクリックします。WatchGuard エージェントのインストールには数分かかる場合があります。
- インストールが完了したら、終了 をクリックします。
- WatchGuard エージェントがインストールされると、エージェントによって Connection Manager が自動的にダウンロードおよびインストールされます。これが完了すると、Connection Manager が開き、FireCloud に接続するための認証情報を入力することを求めるプロンプトが表示されます。アイデンティティ プロバイダのユーザー アカウントの認証情報を使用します。
- Windows スタート メニューで、コマンド プロンプト を右クリックして、管理者として実行 を選択します。
Windows コマンド プロンプト ウィンドウが開きます。 - ダウンロードした WatchGuard エージェント .MSI ファイルの場所にディレクトリを変更します。
- コマンド msiexec -i WatchGuard_Agent.msi を実行して、WatchGuard エージェント インストーラを実行します。
ユーザーの介入なしにエージェントをサイレントにインストールするには、コマンドに /q または /qn を追加します。インストールの完了時にコンピュータが再起動されるのを防ぐには、コマンドに /norestart を追加します。詳細については、msiexec コマンドに関する Microsoft ドキュメント を参照してください。
前の手順で説明されているコマンドを使用して、Active Directory グループ ポリシー オブジェクト (GPO) 経由で、WatchGuard エージェントを複数のコンピュータにリモートでインストールすることができます。コマンドライン パラメータがサポートされているインストール方法を使用する必要があります。
WatchGuard エージェントがすでにインストールされているコンピュータにエージェントがインストールされないようにするには、そのコンピュータへのインストールが防止されるようにスクリプトを構成します。
以下のいずれかの方法で、GPO を構成し、コマンドライン パラメータを使用して .MSI ファイルからインストールすることができます。
オプション 1 — バッチ ファイルを実行するシステム起動 GPO を作成する
WatchGuard エージェントをインストールするバッチ ファイルを実行する起動スクリプトまたはログオン スクリプトの GPO を構成します。バッチ ファイルには、.MSI ファイルへのネットワーク パスを指定する 1 行のみが含まれています。その他のパラメータについては、Windows コマンド プロンプトからのインストールの手順に説明されている方法と同じです。
msiexec -i "[パス]\WatchGuard_Agent.msi"
オプション 2 — 変換 (MST) ファイルを使用するソフトウェア インストール GPO を作成する
Windows ソフトウェア開発キット (SDK) の Orca ツールを使用して、必要なコマンドライン パラメータが含まれている変換ファイル (.MST) を作成します。Windows SDK をダウンロードするには、Microsoft の Windows SDK ページにアクセスしてください。
Orca で .MST ファイルを作成するには、以下の手順を実行します。
- Orca を開きます。
- ファイル > 開く の順に選択してから、ダウンロードした WatchGuard エージェント .MSI ファイルを選択します。
- 新しい変換を開始するには、変換 > 新しい変換 の順に選択します。
- 変換ファイルを保存するには、ファイル > 名前を付けて保存 の順に選択します。
名前を付けて保存 ダイアログ ボックスが開きます。 - .MST ファイルを保存する場所を選択します。
- ファイル名 テキスト ボックスに、.MST ファイルの名前を入力して、保存 をクリックします。
指定した場所に .MST ファイルが保存されます。 - 元の .MSI ファイルを、.MSI ファイルが含まれるディレクトリにコピーします。
- インストールを手動でテストするには、以下のコマンドを入力します。
install: msiexec -i WatchGuard_Agent.msi -t TRANSFORMS=[WatchGuard Agent mst file name]
.MST ファイルを作成したら、.MSI ファイルと .MST ファイルの両方が含まれているソフトウェア インストール GPO を作成します。
ソフトウェア インストール GPO を作成するには、以下の手順を実行します。
- グループ ポリシー管理エディタを開きます。
- ソフトウェア インストール設定に移動します。
- 右クリックして、新規 > パッケージ の順に選択します。
- .MSI ファイルへのネットワーク パスを指定します。
- 詳細 を選択します。
- 変更 タブを選択します。
- 追加 をクリックします。
- .MST ファイルへのネットワーク パスを指定します。
- OK をクリックします。
- Windows スタート メニューで、コマンド プロンプト を右クリックして、管理者として実行 を選択します。
Windows コマンド プロンプト ウィンドウが開きます。 - gpupdate コマンドを使用して、グループ ポリシー設定を更新します。
- GPO をテストするには、ドメイン のコンピュータを再起動します。
WatchGuard Connection Manager を使用して FireCloud に接続する
WatchGuard Connection Manager を使用して FireCloud に接続するには、以下の手順を実行します。
- WatchGuard Connection Manager を開きます。
- 接続 をクリックします。
- ユーザー名または電子メール アドレスを入力して、次へ をクリックします。
- パスワードを入力します。
正常に FireCloud に接続されると、それを通知するメッセージが表示されます。
FireCloud に接続している間は保護が適用されるため、安全にコンピュータを使用すること、またインターネットを閲覧することができます。FireCloud への最初の接続時に、エージェントによってセッションが開いたままの状態になります。そのため、コンピュータを再起動しても接続が維持されます。
FireCloud から切断する
FireCloud から切断しなければならない状況が発生する可能性があります。たとえば、VPN に接続しなければならない場合は、FireCloud からの切断が必要になる場合があります。
FireCloud から切断するには、コンピュータのシステム トレイで FireCloud アイコンを右クリックして、切断 を選択します。タスクを完了したら、FireCloud に手動で再度接続する必要があります。
ユーザー グループに適用される FireCloud アクセス ルールによって、FireCloud から手動で切断できるか否かが決まります。
View Connection Manager ログ メッセージを表示する
FireCloud 接続の問題をトラブルシューティングする場合に、Connection Manager ログ メッセージを使用することができます。
ログ メッセージを表示するには、以下の手順を実行します。
- コンピュータのシステム トレイで、FireCloud アイコンをクリックします。
- ログ メッセージを表示する を選択します。
Connection Manager のアクティブなログ メッセージが表示されます。
必要に応じて、ログ メッセージをテキスト ファイルとして保存することができます。WatchGuard サポートと協力して問題のトラブルシューティングを行う場合に、これが有用となる場合があります。
WatchGuard Connection Manager について
WatchGuard エージェント – インストールとアップグレードのエラーメッセージ
WatchGuard Endpoint Security における WatchGuard エージェント MSI インストールの問題