クラウド管理の Firebox への VPN 接続に対するネットワーク アクセス強制を有効化することができます。Mobile VPN with SSL および Mobile VPN with IKEv2 ユーザー グループに、ネットワーク アクセス強制を構成することができます。
クラウド管理の Firebox にネットワーク アクセス強制を構成することで、ネットワーク管理者は企業ネットワークへの接続を試みるデバイスの ID とセキュリティを検証することが可能となります。
Endpoint デバイスからネットワークに接続できるようにするには、以下のセキュリティ設定が必要となります。
- WatchGuard Advanced EPDR、EPDR、EDR、EPP のいずれかがインストールされているデバイスでは、ハードニング モードまたはロック モードで Advanced Protection が有効化されているか、ウイルス対策が有効化されて実行されている必要があります。
- WatchGuard EDR Core がインストールされているデバイスでは、Advanced Protection が有効化されている必要があります。EDR Core では、動作モードを使用することができません。
デバイスにインストールされている WatchGuard Endpoint Agent により、デバイスで必要な要件が満たされていることを確認する上で Firebox で必要となる情報が収集および送信されます。Endpoint エージェントと Firebox により、Firebox のネットワーク アクセス強制設定および WatchGuard Endpoint Security 管理 UI のネットワーク サービス設定 (ネットワーク アクセス強制タブ) で指定されているアカウント UUID にデバイスが関連付けられていることが検証されます。Endpoint デバイスの要件が満たされていない場合は、Firebox で接続が拒否されます。
クラウド管理の Firebox でネットワーク アクセス強制を有効化するには、Firebox で Fireware v12.9 以降が実行されている必要があります。
仕組み
- Endpoint デバイスでは、クラウド管理の Firebox のモバイル VPN への接続が試みられます。
- クラウド管理の Firebox で VPN 接続が許可されますが、最初は Firebox からデバイスへの一方向の VPN 通信のみが許可されます。
- クラウド管理の Firebox により、endpoint クライアントがチェックされ、デバイスに WatchGuard Endpoint Security 製品がインストールされていることが検証されます。
- クラウド管理の Firebox で、Firebox のネットワーク アクセス強制設定および WatchGuard Endpoint Security 管理 UI のネットワーク サービス設定で指定されているアカウント UUID に endpoint が関連付けられていることが検証されます。
- こうしたチェックにすべて合格すると、endpoint デバイスがモバイル VPN 経由でネットワークに接続されます。
開始する前に
ネットワーク アクセス強制を構成する前に、以下を行う必要があります。
- オペレーティング システムの互換性を確認する — ネットワーク アクセス強制では、Windows および macOS オペレーティング システムがサポートされています。モバイル VPN オペレーティング システムの互換性については、Fireware リリース ノート の オペレーティング システム互換性マトリックス セクションを参照してください。WatchGuard Endpoint Security オペレーティング システムの互換性については、WatchGuard Endpoint Security リリース ノート の インストール要件 セクションを参照してください。
- 少なくともモバイル VPN を 1 つ構成する — WatchGuard Cloud では、Mobile VPN with SSL および Mobile VPN with IKEv2 のネットワーク アクセス強制がサポートされています。詳細については、クラウド管理の Firebox の Mobile VPN について を参照してください。
- モバイル VPN ユーザーとグループを構成する — ユーザーのネットワーク アクセス強制を有効化するには、モバイル VPN ユーザーとグループを構成します。詳細については、クラウド管理の Firebox で Mobile VPN with SSL を構成する または クラウド管理の Firebox で Mobile VPN with IKEv2 を構成する を参照してください。
ネットワーク アクセス強制を使用するには、Total Security Suite ライセンスが割り当てられている Firebox が必要です。
Endpoint Security でネットワーク アクセス強制を有効化する
クラウド管理の Firebox モバイル VPN でネットワーク アクセス強制を有効化するには、まず WatchGuard Endpoint Security でネットワーク アクセス強制を有効化して構成する必要があります。
WatchGuard Endpoint Security のネットワーク アクセス強制の構成には、デバイスを管理する WatchGuard Cloud アカウントの アカウント UUID と 認証キー が必要となります。
WatchGuard Cloud で、管理 > マイ アカウント の順に移動したページで、この情報を入手することができます。Endpoint Security でネットワーク アクセス強制の構成を続行する前に、この情報を記録することが勧められます。
ネットワーク アクセス強制を構成するには、WatchGuard Endpoint Security で以下の手順を実行します。
- WatchGuard Cloud で、構成 > Endpoint の順に選択します。
- 設定 を選択します。
- 左ペインで、ネットワーク サービス を選択します。
- ネットワーク アクセス強制 を選択します。
- ネットワーク アクセス強制を有効化する トグルを有効化します。
- アカウント UUID と 認証キー テキスト ボックスに、デバイスを管理する WatchGuard Cloud アカウントの UUID と認証キーを入力します。
Endpoint デバイスが盗難または侵害された場合は、新しい認証キーを生成して、ネットワーク アクセス強制でデバイスを再認証することができます。WatchGuard Cloud で、管理 > マイ アカウント の順に移動したページで、認証キー の横にある更新アイコンをクリックして新しいキーを生成します。新しいキーが生成されると、WatchGuard Cloud で、更新されたキー ペアがデバイスに自動配備 されます。WatchGuard Endpoint Security のネットワーク アクセス強制の構成で、この値を必ず更新してください。
WatchGuard Cloud で、管理 > マイ アカウント の順に移動したページで、この情報を入手することができます。
- 変更を保存する をクリックします。
ネットワーク アクセス強制の構成がデバイスに配備されるまでに数分かかる場合があります。
ネットワーク アクセス強制と Endpoint Security の詳細については、WatchGuard Endpoint Security でネットワーク アクセス強制を構成する を参照してください。
Mobile VPN グループのネットワーク アクセス強制を有効化する場合:
次に、クラウド管理の Firebox 構成で、1 つまたは複数のモバイル VPN グループのネットワーク アクセス強制を有効化します。個々のモバイル VPN ユーザーのネットワーク アクセス強制を有効化することはできません。
グループが 1 つのモバイル VPN の種類のメンバーである場合に、そのグループが属している別のモバイル VPN の種類でそのグループのネットワーク アクセス強制を有効化すると、両方のモバイル VPN の種類のグループのネットワーク アクセス強制が有効化されます。
- cloud.watchguard.com で WatchGuard Cloud にログインします。
- Service Provider の場合は、アカウントを選択します。
- 構成 > デバイス の順に選択します。
- クラウド管理の Firebox を選択します。
- デバイス構成 をクリックします。
- VPN セクションで、Mobile VPN タイルをクリックします。
- モバイル VPN (IKEv2 または SSL) を選択します。
- モバイル VPN 構成で、ユーザーとグループ セクションに移動します。
- グループの 名前 列で、1 つまたは複数のグループの横にあるチェックボックスを選択します。
- アクション > ネットワーク アクセス強制を有効化する の順に選択します。
- 保存 をクリックします。
- 構成の変更をクラウド管理の Firebox に配備します。