テナント設定の表示と編集
テナント管理者ロールを持つユーザーは、管理ポータルで構成されたテナント設定を表示および変更できますが、テナント オペレーター ロールを持つユーザーはテナント設定のみを表示できます。
テナントのサービス (管理ポータルで設定) を追加または削除することはできません。
テナントに設定されている設定を変更するには:
フィールド |
説明 |
テナント機能(サービス) |
---|---|---|
サービス |
テナントでサポートされているサービスを表示します。 この設定は変更できません。 |
SD-WAN(アドバンスドまたはエッセンシャル) セキュリティサービス(次世代ファイアウォール) |
パスワードポリシー |
SD-WAN 次世代ファイアウォール |
|
パスワードの有効期限 日数 |
パスワードの有効期限が切れて変更が必要になるまでの期間(日数)を指定します。 範囲: 1 から 365。 既定値: 180 日。
メモ:
変更は、新規および既存のユーザーに適用されます。 |
SD-WAN 次世代ファイアウォール |
メール通知 |
既定では、電子メール通知はすべてのユーザーに対して無効になっています。SP、OpCo、およびテナント管理者は、これらの通知を有効または無効にできます。テナント管理者は、SPまたはOpCo管理者が構成した設定を上書きできます。たとえば、OpCo管理者がログイン通知を有効にすると、既存および新規テナントのすべてのユーザーが自動的にログイン通知を受信するように構成されます。ただし、テナントはユーザーのログイン通知を無効にすることを選択できます。 |
SD-WAN 次世代ファイアウォール |
ログイン通知 | ユーザーが CSO にログインしたときの通知を有効または無効にする場合は、このトグルボタンをクリックします。 | SD-WAN 次世代ファイアウォール |
ユーザー追加通知 | ユーザーがスコープ (サービス プロバイダー、テナント、および OpCo) に追加されたときに通知を有効または無効にする場合は、このトグル ボタンをクリックします。 | SD-WAN 次世代ファイアウォール |
ユーザー削除通知 | ユーザーがスコープ (サービス プロバイダー、テナント、および OpCo) から削除されたときに通知を有効または無効にする場合は、このトグル ボタンをクリックします。 | SD-WAN 次世代ファイアウォール |
SSL 設定 |
メモ:
この設定は、テナントの SD-WAN サイトを追加していない場合にのみ変更できます。 |
SD-WAN |
デフォルトのSSLプロキシプロファイル |
トグル ボタンをクリックして、テナントの既定の SSL プロキシ プロファイルを有効または無効にします。 このオプションを有効にすると、次の項目が作成されます。
メモ:
このオプションを使用して、テナント全体の既定のプロファイルを作成します。このオプション を有効 または無効にしても、SSL が有効または無効になるわけではありません。 このオプションを有効にする場合は、ルート証明書を追加する必要があります。 |
SD-WAN |
ルート証明書 |
メモ:
このフィールドは、デフォルトの SSL プロキシー・プロファイルを有効にした場合にのみ表示されます。 ルート証明書 (X.509 ASCII 形式) を追加するには、ファイルから証明書の内容をインポートするか、証明書の内容を貼り付けます。
テナントが正常に追加されると、デフォルトのルート証明書、デフォルトのSSLプロキシー・プロファイル、およびデフォルトのSSLプロキシー・プロファイル・インテントが作成されます。
メモ:
|
SD-WAN |
VPN 認証 |
SD-WAN |
|
認証タイプ |
メモ:
セキュアなIPsecトンネルを確立するためのVPN認証方法を選択します。
リリース6.3.0以降、CSOはテナントレベルでの公開鍵基盤(PKI)証明書属性のカスタマイズをサポートしています。これらの属性は、[ テナント固有の属性 ] フィールドでカスタム プロパティとして構成できます。 |
SD-WAN |
オーバーレイトンネルの暗号化 |
メモ:
この設定は、テナントの SD-WAN サイトを追加していない場合にのみ変更できます。 |
SD-WAN |
暗号化タイプ |
セキュリティ上の理由から、VPN トンネルを通過するすべてのデータは暗号化する必要があります。暗号化タイプを選択します。
デフォルトの暗号化タイプは AES-256-GCM です。 |
SD-WAN |
ネットワークのセグメント化 |
メモ:
この設定は、テナントの SD-WAN サイトを追加していない場合にのみ変更できます。 |
SD-WAN |
ネットワークのセグメント化 |
トグル ボタンをクリックして、テナントのネットワーク セグメンテーションを無効にします。 |
SD-WAN |
ダイナミックメッシュ |
メモ:
|
SD-WAN |
トンネル作成のしきい値 |
SD-WAN Essentialsサービスがあるサイトには適用されません。 |
SD-WAN |
セッション数 |
2 つのブランチ サイト間で閉じられるセッションの最大数 (2 分間) を指定します。 動的メッシュ トンネルは、閉じられたセッションの数(2 分間)が指定した値以上の場合、2 つのブランチ サイト間で作成されます。 デフォルトのしきい値 (2 分間のセッション数) は 5 です。 |
SD-WAN |
トンネル削除のしきい値 |
SD-WAN Essentialsサービスがあるサイトには適用されません。 |
SD-WAN |
セッション数 |
2 つのブランチ サイト間で閉じられるセッションの最小数 (15 分間) を指定します。 動的メッシュ トンネルは、閉じられたセッションの数(15 分間)が指定した値以下の場合、2 つのブランチ サイト間で削除されます。 デフォルトのしきい値 (15 分間のセッション数) は 2 です。 |
SD-WAN |
最大ダイナミックメッシュトンネル数 |
SD-WAN |
|
CSOあたりの最大トンネル数 |
CSO で作成できる動的メッシュ トンネルの最大数を表示します。CSOのすべてのテナントで作成できる動的メッシュトンネルの総数は125000に制限されています。 このフィールドは変更できません。 |
SD-WAN |
テナントあたりの最大トンネル数 |
テナントが作成できる動的メッシュ トンネルの最大数を指定します。 範囲: 1 から 50,000。 |
SD-WAN |
ダイナミックメッシュ |
トグル ボタンをクリックして、テナント内のサイト間の動的メッシュを無効または有効にします。 |
SD-WAN |
クラウドブレイクアウト設定 |
メモ:
これらの設定は、テナントのサイトを追加した後でも変更できます。 |
SD-WAN |
顧客ドメイン名 |
テナントのドメイン名を入力します。ドメイン名は、完全修飾ドメイン名 (FQDN) を生成するためにクラウド ブレイクアウト プロファイルで使用されます。クラウド セキュリティ プロバイダは、FQDN を使用して IPsec トンネルを識別します。 |
SD-WAN |
詳細設定 (オプション) |
SD-WAN 次世代ファイアウォール |
|
プライマリ/セカンダリ ハブ アフィニティ |
既定では、ハブ アフィニティは有効になっています。 トグルボタンを有効にして、CPEがSD-WANオーバーレイトラフィックの他のパスよりもユーザーが選択したプライマリおよびセカンダリハブを優先するように設定します。 切り替えボタンを無効にして、SD-WAN オーバーレイ トラフィックに対してユーザーが選択したプライマリおよびセカンダリ ハブよりも最短ルートを優先するように CPE を構成します。 詳細については、 SD-WANオーバーレイ内の特定のルートベースルーティングについてを参照してください。 |
SD-WAN 次世代ファイアウォール |
テナント所有のパブリック IP プール |
テナントのパブリック IPv4 アドレスのプールの一部であるパブリック IPv4 サブネットを変更 (追加、編集、または削除) できます。テナント IP プールアドレスはパブリック IP アドレスと見なされ、SD-WAN ブランチサイトのパブリック LAN サブネットを表します。 IPv4 サブネットを追加するには:
前の手順に従って、さらに IPv4 サブネットを入力できます。 入力したサブネットを変更するには、サブネットを選択し、編集(鉛筆)アイコンをクリックします。 サブネットを削除するには、サブネットを選択し、削除アイコンをクリックします。 テナントの IP アドレスプールを更新すると、CSO はジョブを実行して、テナントサイトを自動的に更新および再プロビジョニングします。 |
SD-WAN 次世代ファイアウォール |
テナント固有の属性 |
メモ:
これらの設定は、テナントのサイトを追加した後でも変更できます。 CSO 以外のソフトウェアを使用してサードパーティ プロバイダー エッジ(PE)デバイスをセットアップした場合は、カスタム パラメーターとそれに対応する値を指定して、そのルーターで設定を構成します。 既存の属性を変更することも、属性を追加することもできます。
リリース6.3.0以降、CSOは公開鍵基盤(PKI)証明書属性のカスタマイズをサポートしています。詳細については、 表 2 を参照してください。 |
SD-WAN 次世代ファイアウォール |
CSOは、 表2に示すテナント固有の属性をサポートしています。 [ロール名 ] と [値 ] を入力して、パラメーターをカスタマイズしたり、機能を有効にしたりします。
ロール名 | 値 | の説明 |
---|---|---|
PKI 証明書の属性 | ||
PKI_O | {{TENANT_NAME}} デフォルト値。必要に応じて変更します。 |
PKI 証明書の組織名をカスタマイズします。 |
PKI_OU | {{空}} デフォルト値。必要に応じて変更します。 |
PKI 証明書の組織単位名をカスタマイズします。 |
PKI_OU1 | {{空}} デフォルト値。必要に応じて変更します。 |
PKI 証明書の組織単位 1 の名前をカスタマイズします。 |
PKI_OU2 | {{空}} デフォルト値。必要に応じて変更します。 |
PKI 証明書の組織単位 2 の名前をカスタマイズします。 |
PKI_C | 私たち デフォルト値。必要に応じて変更します。 |
PKI 証明書の国名をカスタマイズします。 |
PKI_ST | {{空}} デフォルト値。必要に応じて変更します。 |
PKI 証明書の状態名をカスタマイズします。 |
PKI_L | {{空}} デフォルト値。必要に応じて変更します。 |
PKI 証明書のローカリティ名をカスタマイズします。 |
PKI 証明書属性の [値 ] フィールドには、値を直接指定するか (US など)、プレース ホルダーを二重中かっこで囲むか ({{TENANT_NAME}} など) を使用できます。CSOは、二重中括弧で次の値をサポートします。
- {{TENANT_NAME}} - 証明書の生成時に、CSO はこの値を実際のテナント名に置き換えます。
- {{SITE_NAME}} - 証明書の生成時に、CSO はこの値を実際のサイト名に置き換えます。
- {{EMPTY}} - 証明書の生成時に、CSO はこのロール名に対する値をリストしません。
PKI 証明書のカスタム プロパティを設定する場合は、値がデバイスに反映されるように、証明書が ([管理] > [証明書管理] ページ> [VPN 認証] ページから)更新されていることを確認します。