Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

テナント設定の表示と編集

テナント管理者ロールを持つユーザーは、管理ポータルで構成されたテナント設定を表示および変更できますが、テナント オペレーター ロールを持つユーザーはテナント設定のみを表示できます。

メモ:

テナントのサービス (管理ポータルで設定) を追加または削除することはできません。

テナントに設定されている設定を変更するには:

  1. ログイン後に「CSO Release-Number へようこそ」ページが表示された場合は、「設定の確認」をクリックします。または、[管理] > [テナント設定] を選択します。

    [テナント設定] ページが表示されます。

  2. (オプション)ページの右上隅にある展開アイコン または折りたたみアイコンをクリックして、表示されているさまざまなセクションを展開または折りたたみます。
  3. 表 1 の説明に従ってテナント設定を変更します。
  4. [保存] をクリックして変更を保存します。

    テナント編集ジョブがトリガーされ、テナント編集ジョブが正常に作成されたことを示す確認メッセージが [テナント設定] ページに表示されます。

  5. (オプション) メッセージ内のジョブ名をクリックすると、[テナント設定の詳細の更新] ページでジョブの詳細 (ジョブの状態、開始日時、終了日時など) を表示できます。または、[ジョブ (> ジョブの監視)] ページでジョブの状態を表示することもできます。

    ジョブが正常に完了すると、[テナント設定] ページの上部に確認メッセージが表示されます。

表 1: テナント設定ページのフィールド

フィールド

説明

テナント機能(サービス)

サービス

テナントでサポートされているサービスを表示します。 この設定は変更できません。

SD-WAN(アドバンスドまたはエッセンシャル)

セキュリティサービス(次世代ファイアウォール)

パスワードポリシー

  

SD-WAN

次世代ファイアウォール

パスワードの有効期限 日数

パスワードの有効期限が切れて変更が必要になるまでの期間(日数)を指定します。

範囲: 1 から 365。

既定値: 180 日。

メモ:

変更は、新規および既存のユーザーに適用されます。

SD-WAN

次世代ファイアウォール

メール通知

既定では、電子メール通知はすべてのユーザーに対して無効になっています。SP、OpCo、およびテナント管理者は、これらの通知を有効または無効にできます。テナント管理者は、SPまたはOpCo管理者が構成した設定を上書きできます。たとえば、OpCo管理者がログイン通知を有効にすると、既存および新規テナントのすべてのユーザーが自動的にログイン通知を受信するように構成されます。ただし、テナントはユーザーのログイン通知を無効にすることを選択できます。

SD-WAN

次世代ファイアウォール
ログイン通知 ユーザーが CSO にログインしたときの通知を有効または無効にする場合は、このトグルボタンをクリックします。

SD-WAN

次世代ファイアウォール
ユーザー追加通知 ユーザーがスコープ (サービス プロバイダー、テナント、および OpCo) に追加されたときに通知を有効または無効にする場合は、このトグル ボタンをクリックします。

SD-WAN

次世代ファイアウォール
ユーザー削除通知 ユーザーがスコープ (サービス プロバイダー、テナント、および OpCo) から削除されたときに通知を有効または無効にする場合は、このトグル ボタンをクリックします。

SD-WAN

次世代ファイアウォール

SSL 設定
メモ:

この設定は、テナントの SD-WAN サイトを追加していない場合にのみ変更できます。

SD-WAN

デフォルトのSSLプロキシプロファイル

トグル ボタンをクリックして、テナントの既定の SSL プロキシ プロファイルを有効または無効にします。

このオプションを有効にすると、次の項目が作成されます。

  • 証明書の内容が指定された既定のルート証明書 ([ルート証明書] フィールド内)

  • デフォルトの SSL プロキシー・プロファイル

  • デフォルトプロファイルを参照するデフォルトのSSLプロキシープロファイルインテント

メモ:

このオプションを使用して、テナント全体の既定のプロファイルを作成します。このオプション を有効 または無効にしても、SSL が有効または無効になるわけではありません。

このオプションを有効にする場合は、ルート証明書を追加する必要があります。

SD-WAN

ルート証明書
メモ:

このフィールドは、デフォルトの SSL プロキシー・プロファイルを有効にした場合にのみ表示されます。

ルート証明書 (X.509 ASCII 形式) を追加するには、ファイルから証明書の内容をインポートするか、証明書の内容を貼り付けます。

  • 証明書の内容をファイルから直接インポートするには:

    1. [ 参照] をクリックします。

      [ファイルのアップロード] ダイアログ ボックスが表示されます。

    2. ファイルを選択し、[ 開く] をクリックします。

      証明書ファイルの内容が [ルート証明書] フィールドに表示されます。

  • ファイルから証明書の内容をコピーし、テキスト ボックスに貼り付けます。

テナントが正常に追加されると、デフォルトのルート証明書、デフォルトのSSLプロキシー・プロファイル、およびデフォルトのSSLプロキシー・プロファイル・インテントが作成されます。

メモ:

  • ルート証明書には、証明書の内容と秘密キーの両方が含まれている必要があります。

  • パスフレーズが必要な証明書や RSA 秘密キーを持つ証明書など、本格的な証明書操作の場合は、[証明書] ページ ([管理] > [証明書] ) を使用して証明書をインポートし、1 つ以上のサイトにインストールする必要があります。

SD-WAN

VPN 認証

  

SD-WAN

認証タイプ
メモ:

  • PKI 証明書が認証タイプとして設定されている場合は、テナントのサイトを追加した後でも、PKI プロパティ(CA サーバ URL、パスワード、CRL サーバ、および自動更新)を変更できます。

  • 事前共有キーが認証の種類として構成されている場合、テナントの SD-WAN サイトを追加していない場合にのみ、認証の種類を変更できます。

セキュアなIPsecトンネルを確立するためのVPN認証方法を選択します。

  • 事前共有鍵は、CSOが鍵を使用してIPsecトンネルを確立することを意味します。

  • PKI 証明書:CSOが公開鍵基盤(PKI)証明書を使用してIPsecトンネルを確立することを意味します。

    このオプションを選択すると、以下を構成できます。

    • CA サーバ URL:認証局(CA)サーバの URL を指定します。たとえば、http://CA-Server-IP-Address/certsrv/mscep/mscep.dll/pkiclient.exe のようになります。

    • パスワード:CA サーバのパスワードを指定します。このフィールドはオプションです。

    • CRL サーバー URL - 証明書失効リスト(CRL)サーバーの URL を指定します。たとえば、http://Revocation-List-Server-IP-Address/certservices/abc.crl のようになります。CSO は、CRL サーバーから失効した証明書の一覧を取得します。

    • CA 証明書の自動更新:トグル ボタンをクリックして、証明書の自動更新を有効または無効にします。

      このオプションを有効にすると、テナント内のすべてのサイトの証明書が自動的に更新されます。

      このオプションを無効にした場合は、証明書を手動で更新する必要があります。

      メモ:

      更新前に証明書の有効期限が切れると、CSO がデバイスに到達できない可能性があります。

    • 有効期限前に更新する - 自動更新を有効にした場合は、証明書が自動的に更新される有効期限までの期間 (3 日、1 週間、2 週間、または 1 か月) を選択します。

      メモ:

      カスタマーポータル(管理>証明書管理>VPN認証)ページのVPN認証ページで期間を変更することもできます。

リリース6.3.0以降、CSOはテナントレベルでの公開鍵基盤(PKI)証明書属性のカスタマイズをサポートしています。これらの属性は、[ テナント固有の属性 ] フィールドでカスタム プロパティとして構成できます。

SD-WAN

オーバーレイトンネルの暗号化
メモ:

この設定は、テナントの SD-WAN サイトを追加していない場合にのみ変更できます。

SD-WAN

暗号化タイプ

セキュリティ上の理由から、VPN トンネルを通過するすべてのデータは暗号化する必要があります。暗号化タイプを選択します。

  • 3DES-CBC:暗号ブロック連鎖(CBC)アルゴリズムによるトリプルデータ暗号化規格。

  • AES-128-CBC:CBC アルゴリズムを使用した 128 ビットの高度暗号化標準。

  • AES-128-GCM:ガロア/カウンターモード(GCM)アルゴリズムを使用した128ビットの高度暗号化規格。

  • AES-256-CBC— CBCアルゴリズムを使用した256ビットの高度な暗号化標準。

  • AES-256-GCM:GCM アルゴリズムを使用した 256 ビット高度暗号化標準。

デフォルトの暗号化タイプは AES-256-GCM です。

SD-WAN

ネットワークのセグメント化

メモ:

この設定は、テナントの SD-WAN サイトを追加していない場合にのみ変更できます。

SD-WAN

ネットワークのセグメント化

トグル ボタンをクリックして、テナントのネットワーク セグメンテーションを無効にします。

SD-WAN

ダイナミックメッシュ
メモ:

  • これらの設定は、テナントのサイトを追加した後でも変更できます。

  • SD-WAN Essentialsサービスがあるサイトは、2つの支社/拠点サイト間で閉じられるセッション数のユーザー定義しきい値に基づく動的メッシュトンネルの作成や削除をサポートしていません。

SD-WAN

トンネル作成のしきい値

SD-WAN Essentialsサービスがあるサイトには適用されません。

SD-WAN

セッション数

2 つのブランチ サイト間で閉じられるセッションの最大数 (2 分間) を指定します。

動的メッシュ トンネルは、閉じられたセッションの数(2 分間)が指定した値以上の場合、2 つのブランチ サイト間で作成されます。

デフォルトのしきい値 (2 分間のセッション数) は 5 です。

SD-WAN

トンネル削除のしきい値

SD-WAN Essentialsサービスがあるサイトには適用されません。

SD-WAN

セッション数

2 つのブランチ サイト間で閉じられるセッションの最小数 (15 分間) を指定します。

動的メッシュ トンネルは、閉じられたセッションの数(15 分間)が指定した値以下の場合、2 つのブランチ サイト間で削除されます。

デフォルトのしきい値 (15 分間のセッション数) は 2 です。

SD-WAN

最大ダイナミックメッシュトンネル数

  

SD-WAN

CSOあたりの最大トンネル数

CSO で作成できる動的メッシュ トンネルの最大数を表示します。CSOのすべてのテナントで作成できる動的メッシュトンネルの総数は125000に制限されています。

このフィールドは変更できません。

SD-WAN

テナントあたりの最大トンネル数

テナントが作成できる動的メッシュ トンネルの最大数を指定します。

範囲: 1 から 50,000。

SD-WAN

ダイナミックメッシュ

トグル ボタンをクリックして、テナント内のサイト間の動的メッシュを無効または有効にします。

SD-WAN

クラウドブレイクアウト設定
メモ:

これらの設定は、テナントのサイトを追加した後でも変更できます。

SD-WAN

顧客ドメイン名

テナントのドメイン名を入力します。ドメイン名は、完全修飾ドメイン名 (FQDN) を生成するためにクラウド ブレイクアウト プロファイルで使用されます。クラウド セキュリティ プロバイダは、FQDN を使用して IPsec トンネルを識別します。

SD-WAN

詳細設定 (オプション)

  

SD-WAN

次世代ファイアウォール

プライマリ/セカンダリ ハブ アフィニティ

既定では、ハブ アフィニティは有効になっています。

トグルボタンを有効にして、CPEがSD-WANオーバーレイトラフィックの他のパスよりもユーザーが選択したプライマリおよびセカンダリハブを優先するように設定します。

切り替えボタンを無効にして、SD-WAN オーバーレイ トラフィックに対してユーザーが選択したプライマリおよびセカンダリ ハブよりも最短ルートを優先するように CPE を構成します。

詳細については、 SD-WANオーバーレイ内の特定のルートベースルーティングについてを参照してください。

SD-WAN

次世代ファイアウォール

テナント所有のパブリック IP プール

テナントのパブリック IPv4 アドレスのプールの一部であるパブリック IPv4 サブネットを変更 (追加、編集、または削除) できます。テナント IP プールアドレスはパブリック IP アドレスと見なされ、SD-WAN ブランチサイトのパブリック LAN サブネットを表します。

IPv4 サブネットを追加するには:

  1. 追加(+)アイコンをクリックします。

    編集可能な行がテーブルにインラインで表示されます。

  2. [アドレス] フィールドに、有効なパブリック IPv4 プレフィックスを入力します。

    メモ:

    テナントに設定された IP アドレスが一意であることを確認します。

  3. (チェック マーク) をクリックして変更を保存します。

    入力したプレフィックスがテーブルに表示されます。

前の手順に従って、さらに IPv4 サブネットを入力できます。

入力したサブネットを変更するには、サブネットを選択し、編集(鉛筆)アイコンをクリックします。

サブネットを削除するには、サブネットを選択し、削除アイコンをクリックします。

テナントの IP アドレスプールを更新すると、CSO はジョブを実行して、テナントサイトを自動的に更新および再プロビジョニングします。

SD-WAN

次世代ファイアウォール

テナント固有の属性
メモ:

これらの設定は、テナントのサイトを追加した後でも変更できます。

CSO 以外のソフトウェアを使用してサードパーティ プロバイダー エッジ(PE)デバイスをセットアップした場合は、カスタム パラメーターとそれに対応する値を指定して、そのルーターで設定を構成します。

既存の属性を変更することも、属性を追加することもできます。

  • 属性を追加するには:

    1. 追加(+)アイコンをクリックします。

      編集可能な行がテーブルにインラインで表示されます。

    2. サードパーティ製ルーターに渡すサイトに関する情報を指定します。たとえば、場所などです。

    3. サードパーティ製デバイスに渡すサイトに関する情報の値を指定します。たとえば、シカゴ。

    4. [ ] (チェック マーク) をクリックして変更を保存します。

      入力したプレフィックスがテーブルに表示されます。

  • 属性を変更するには、行を選択し、編集(鉛筆)アイコンをクリックして、名前と値を変更します。

  • 属性を削除するには、行を選択し、削除アイコンをクリックして、[削除の確認] ウィンドウで [ はい ] をクリックします。

リリース6.3.0以降、CSOは公開鍵基盤(PKI)証明書属性のカスタマイズをサポートしています。詳細については、 表 2 を参照してください。

SD-WAN

次世代ファイアウォール

CSOは、 表2に示すテナント固有の属性をサポートしています。 [ロール名 ] と [値 ] を入力して、パラメーターをカスタマイズしたり、機能を有効にしたりします。

表 2: テナント固有の属性
ロール名 の説明
PKI 証明書の属性
PKI_O {{TENANT_NAME}}

デフォルト値。必要に応じて変更します。

 PKI 証明書の組織名をカスタマイズします。
PKI_OU {{空}}

デフォルト値。必要に応じて変更します。

 PKI 証明書の組織単位名をカスタマイズします。
PKI_OU1 {{空}}

デフォルト値。必要に応じて変更します。

 PKI 証明書の組織単位 1 の名前をカスタマイズします。
PKI_OU2 {{空}}

デフォルト値。必要に応じて変更します。

 PKI 証明書の組織単位 2 の名前をカスタマイズします。
PKI_C 私たち

デフォルト値。必要に応じて変更します。

 PKI 証明書の国名をカスタマイズします。
PKI_ST {{空}}

デフォルト値。必要に応じて変更します。

 PKI 証明書の状態名をカスタマイズします。
PKI_L {{空}}

デフォルト値。必要に応じて変更します。

 PKI 証明書のローカリティ名をカスタマイズします。

PKI 証明書属性の [値 ] フィールドには、値を直接指定するか (US など)、プレース ホルダーを二重中かっこで囲むか ({{TENANT_NAME}} など) を使用できます。CSOは、二重中括弧で次の値をサポートします。

  • {{TENANT_NAME}} - 証明書の生成時に、CSO はこの値を実際のテナント名に置き換えます。
  • {{SITE_NAME}} - 証明書の生成時に、CSO はこの値を実際のサイト名に置き換えます。
  • {{EMPTY}} - 証明書の生成時に、CSO はこのロール名に対する値をリストしません。

PKI 証明書のカスタム プロパティを設定する場合は、値がデバイスに反映されるように、証明書が ([管理] > [証明書管理] ページ> [VPN 認証] ページから)更新されていることを確認します。

関連ドキュメント