このページで
Prelogon コンプライアンス(CLI 手順)
概要
ユーザー認証の前に、プリログオンコンプライアンスポリシーを使用したコンプライアンスチェックを実行します。これらのコンプライアンス ポリシーの目的は、組織が設定したコンプライアンス基準に基づいてエンドポイントの現在のコンテキストを検証することです。コンプライアンスポリシーに基づいてアクセスを許可します。
管理者は、SRXシリーズファイアウォールで、リモートアクセスVPN接続を確立する前にエンドポイントを許可または拒否するためのルールセットを設定します。ここでエンドポイントは、Secure Connectアプリケーションがインストールされているクライアントまたはホストを指します。Windows、macOS、Android、iOS などのサポートされているクライアント プラットフォームに基づいてルールを作成します。一致条件には、デバイスID、ホスト名、msドメイン名、ms-ワークグループ名など、複数の一致条件を使用できます。
SRX シリーズ ファイアウォールは、これらのルールを特定の評価基準に基づいて処理します。評価基準の詳細については、 コンプライアンス(Juniper Secure Connect)の評価 基準をご覧ください。コンプライアンスルール名、用語ルール名、一致条件、アクションの詳細については、 コンプライアンス(Juniper Secure Connect)を参照してください。
Prelogon コンプライアンス ルールの設定
この設定タスクについては 、表 1 で説明した以下のルールを検討してみましょう。
コンプライアンス ルール名 | 用語名 | 一致条件 (値) |
アクション |
---|---|---|---|
準拠 | SecureConnect | プラットフォーム
|
拒否 |
退役 | deviceid
|
拒否 | |
Byod | deviceid
|
受け入れる | |
企業デバイス |
|
受け入れる |
コマンドラインインターフェイスを使用してプリログオンコンプライアンスルールを設定するには:
-
CLI(コマンドライン インターフェイス)を使用して SRX シリーズ ファイアウォールにログインします。
-
フルトンネル設定モードでリモートアクセスVPNを設定します。使用した認証方法に基づいて、次のいずれかの手順を参照してください-
-
表 1 に示すプリログオンのコンプライアンス ルールを参照して、SRX シリーズ ファイアウォールでルールを設定します。
-
階層レベルでプリログオンコンプライアンスポリシー Compliant を
[edit security remote-access]
設定する --
用語ルール SecureConnect とその一致条件とアクション -
[edit security remote-access] user@host# set compliance pre-logon Compliant term SecureConnect match platform windows app-version less-than 23.4.13.14.29669 user@host# set compliance pre-logon Compliant term SecureConnect match platform macos app-version less-than 23.3.4.70.29996 user@host# set compliance pre-logon Compliant term SecureConnect action reject
この条件ルールでは、Windows および macOS エンドポイントの Juniper Secure Connect アプリバージョンに対して、接続は拒否されます。アプリのバージョンについては、サポートされているオペレーティングシステムに基づいた特定のエンドポイントに関する Juniper Secure Connectユーザーガイド をご覧ください。
-
用語ルール OS とその一致条件とアクション -
[edit security remote-access] user@host# set compliance pre-logon Compliant term OS match platform windows os-version less-than 10.21H2.19044.2604 user@host# set compliance pre-logon Compliant term OS match platform macos os-version less-than 12.5.1 user@host# set compliance pre-logon Compliant term OS action reject
この条件ルールでは、Windows および macOS エンドポイントの指定された os バージョンでは、接続が拒否されます。
-
用語ルール Decommissioned とその一致条件とアクション -
[edit security remote-access] user@host# set compliance pre-logon Compliant term Decommissioned match deviceid c8163be5d7077d35989e0b0e6b9271bfa53003e4251a24e588c10302c4972123 user@host# set compliance pre-logon Compliant term Decommissioned action reject
この条件ルールでは、指定されたデバイス ID に対して、接続が拒否されます。デバイスIDを取得するには、Juniper Secure Connectユーザーガイドをご覧ください。
-
用語ルール BYOD とその一致条件とアクション -
[edit security remote-access] user@host# set compliance pre-logon Compliant term BYOD match deviceid c8163be5d7077d35989e0b0e6b9271bfa5312fa2251a24e588c10302c4903kd2 user@host# set compliance pre-logon Compliant term BYOD action accept
この条件ルールでは、指定されたデバイス ID に対して、接続が受け入れられます。デバイスIDについては、 Juniper Secure Connectユーザーガイドをご覧ください。
-
用語ルール CorpDevices とその一致条件とアクション -
[edit security remote-access] user@host# set compliance pre-logon Compliant term CorpDevices match hostname device1 user@host# set compliance pre-logon Compliant term CorpDevices match hostname device2 user@host# set compliance pre-logon Compliant term CorpDevices match ms-domain example.net user@host# set compliance pre-logon Compliant term CorpDevices match deviceid c8163be5d7077d35989e0b0e6b9271bfa5300fa2251a24e578c10302c4972aff user@host# set compliance pre-logon Compliant term CorpDevices match deviceid c8163be5d7077d35989e0b0e6b9271bfa5300fa2251a24e588c10302c4972124 user@host# set compliance pre-logon Compliant term CorpDevices action accept
この条件ルールでは、指定されたホスト名に対して、ms-domain名とデバイスIDの接続が受け入れられます。デバイスIDについては、Juniper Secure Connectユーザーガイドをご覧ください。
-
-
このコンプライアンスルールで定義されていないその他の基準、つまり、一致しないルール Compliantに対してこれ以上条件ルールが指定されていない場合、デフォルトのアクションは です
reject
。 -
コンプライアンス ポリシーのコンプライアンス ルールが定義されたら、ステップ 2 で作成したリモート アクセス プロファイル ra.example.com にコンプライアンス ポリシーをアタッチします。
[edit security remote-access profile ra.example.com] user@host# set compliance pre-logon SecureConnect
-
デバイスで機能の設定が完了したら、設定モードからコミットを入力します。
-
ユースケースに基づいて、次のように SecureConnect 複数のコンプライアンスポリシーを作成し、作成したリモートアクセスプロファイルにアタッチできます。1 つのコンプライアンス ポリシーがリモートアクセス プロファイルに関連付けられているか確認します。
この機能により、Juniper Secure ConnectアプリケーションがSRXシリーズファイアウォールの接続基準を満たすことができます。これにより、管理者が設定したセキュリティ対策が強化されます。