Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Prelogon コンプライアンス(CLI 手順)

概要

ユーザー認証の前に、プリログオンコンプライアンスポリシーを使用したコンプライアンスチェックを実行します。これらのコンプライアンス ポリシーの目的は、組織が設定したコンプライアンス基準に基づいてエンドポイントの現在のコンテキストを検証することです。コンプライアンスポリシーに基づいてアクセスを許可します。

管理者は、SRXシリーズファイアウォールで、リモートアクセスVPN接続を確立する前にエンドポイントを許可または拒否するためのルールセットを設定します。ここでエンドポイントは、Secure Connectアプリケーションがインストールされているクライアントまたはホストを指します。Windows、macOS、Android、iOS などのサポートされているクライアント プラットフォームに基づいてルールを作成します。一致条件には、デバイスID、ホスト名、msドメイン名、ms-ワークグループ名など、複数の一致条件を使用できます。

SRX シリーズ ファイアウォールは、これらのルールを特定の評価基準に基づいて処理します。評価基準の詳細については、 コンプライアンス(Juniper Secure Connect)の評価 基準をご覧ください。コンプライアンスルール名、用語ルール名、一致条件、アクションの詳細については、 コンプライアンス(Juniper Secure Connect)を参照してください。

Prelogon コンプライアンス ルールの設定

この設定タスクについては 、表 1 で説明した以下のルールを検討してみましょう。

表 1:Prelogon コンプライアンス ルール
コンプライアンス ルール名 用語名 一致条件

(値)

アクション
準拠 SecureConnect

プラットフォーム

  • Windows

    • アプリバージョン<23.4.13.14.29669

  • Macos

    • os-version<12.5.1

拒否
退役 deviceid
  • c8163be5d7077d35989e0b0e6b9271bfa53003e4251a24e588c10302c4972123

拒否
Byod deviceid
  • c8163be5d7077d35989e0b0e6b9271bfa5312fa2251a24e588c10302c4903kd2

受け入れる
企業デバイス
  • ホスト

    • デバイス1

    • デバイス2

  • ms-domain

    • example.net

  • deviceid

    • c8163be5d7077d35989e0b0e6b9271bfa5300fa2251a24e578c10302c4972aff

    • c8163be5d7077d35989e0b0e6b9271bfa5300fa2251a24e588c10302c4972124

受け入れる

コマンドラインインターフェイスを使用してプリログオンコンプライアンスルールを設定するには:

  1. CLI(コマンドライン インターフェイス)を使用して SRX シリーズ ファイアウォールにログインします。

  2. フルトンネル設定モードでリモートアクセスVPNを設定します。使用した認証方法に基づいて、次のいずれかの手順を参照してください-

  3. 表 1 に示すプリログオンのコンプライアンス ルールを参照して、SRX シリーズ ファイアウォールでルールを設定します。

  4. 階層レベルでプリログオンコンプライアンスポリシー Compliant[edit security remote-access] 設定する -

    • 用語ルール SecureConnect とその一致条件とアクション -

      この条件ルールでは、Windows および macOS エンドポイントの Juniper Secure Connect アプリバージョンに対して、接続は拒否されます。アプリのバージョンについては、サポートされているオペレーティングシステムに基づいた特定のエンドポイントに関する Juniper Secure Connectユーザーガイド をご覧ください。

    • 用語ルール OS とその一致条件とアクション -

      この条件ルールでは、Windows および macOS エンドポイントの指定された os バージョンでは、接続が拒否されます。

    • 用語ルール Decommissioned とその一致条件とアクション -

      この条件ルールでは、指定されたデバイス ID に対して、接続が拒否されます。デバイスIDを取得するには、Juniper Secure Connectユーザーガイドをご覧ください。

    • 用語ルール BYOD とその一致条件とアクション -

      この条件ルールでは、指定されたデバイス ID に対して、接続が受け入れられます。デバイスIDについては、 Juniper Secure Connectユーザーガイドをご覧ください。

    • 用語ルール CorpDevices とその一致条件とアクション -

      この条件ルールでは、指定されたホスト名に対して、ms-domain名とデバイスIDの接続が受け入れられます。デバイスIDについては、Juniper Secure Connectユーザーガイドをご覧ください。

  5. このコンプライアンスルールで定義されていないその他の基準、つまり、一致しないルール Compliantに対してこれ以上条件ルールが指定されていない場合、デフォルトのアクションは です reject

  6. コンプライアンス ポリシーのコンプライアンス ルールが定義されたら、ステップ 2 で作成したリモート アクセス プロファイル ra.example.com にコンプライアンス ポリシーをアタッチします。

  7. デバイスで機能の設定が完了したら、設定モードからコミットを入力します。

  8. ユースケースに基づいて、次のように SecureConnect 複数のコンプライアンスポリシーを作成し、作成したリモートアクセスプロファイルにアタッチできます。1 つのコンプライアンス ポリシーがリモートアクセス プロファイルに関連付けられているか確認します。

この機能により、Juniper Secure ConnectアプリケーションがSRXシリーズファイアウォールの接続基準を満たすことができます。これにより、管理者が設定したセキュリティ対策が強化されます。