ログオン前のコンプライアンスの設定(CLI手順)

ログオン前のコンプライアンスとは

Juniper Secure Connectアプリケーションは、SRXシリーズファイアウォールと詳細情報を交換して、ログオン前のコンプライアンスチェックを実行します。管理者は、SRXシリーズファイアウォールでログオン前のコンプライアンスルールを設定し、接続しているクライアントデバイスのステータスを検証します。これらのログオン前のコンプライアンス チェックは、認証の前に実行される検証を参照します。異なる一致条件に基づいて、接続しているクライアントデバイスを許可または拒否するアクションが実行されます。

この機能により、Juniper Secure ConnectアプリケーションがSRXシリーズファイアウォールとの接続基準を確実に満たすようになり、管理者が設定したセキュリティ対策が強化されます。

ログオン前のコンプライアンス ポリシーの目的は、組織によって設定されたコンプライアンス基準に基づいて、エンドポイントの現在のコンテキストを検証することです。お客様は、これらのコンプライアンス ポリシーに基づいてアクセスを承認します。デバイスは、ユーザー認証の前に、ログオン前コンプライアンス ポリシーを使用してログオン前のコンプライアンス チェックを実行します。

管理者は、リモートアクセスVPN 接続を確立する前に、SRXシリーズファイアウォールで一連のルールを構成して、エンドポイントを許可または拒否します。ここで、エンドポイントとは、セキュアな接続アプリケーションがインストールされているクライアントまたはホストを指します。Windows、macOS、Android、iOSなどのサポートされているクライアントプラットフォームに基づいてルールを作成します。一致条件には、デバイスID、ホスト名、msドメイン名、msワークグループ名など、他の複数の一致条件を使用できます。

SRXシリーズファイアウォールは、特定の評価基準に基づいてこれらのルールを処理します。評価基準の詳細については、 コンプライアンス(Juniper Secure Connect)評価基準 を参照してください。コンプライアンスルール名、用語ルール名、一致条件、アクションの詳細については、「 コンプライアンス(Juniper Secure Connect)」を参照してください。

ログオン前コンプライアンス規則を構成する方法

この設定タスクについて、 表1 に記載されている以下のルールを考えてみましょう。

表 1: ログオン前のコンプライアンス規則

コンプライアンス ルール名	条件名	一致条件 (値)	アクション
準拠	セキュアコネクト	プラットホーム ウィンドウズ アプリバージョン<23.4.13.14.29669 macOS osバージョン<12.5.1	リジェクト
	退役	デバイスID c8163be5d7077d35989e0b0e6b9271bfa53003e4251a24e588c10302c4972123	リジェクト
	BYOD	デバイスID c8163be5d7077d35989e0b0e6b9271bfa5312fa2251a24e588c10302c4903kd2	受け入れる
	CorpDevices	ホスト名 デバイス1 デバイス2 MS ドメイン example.net デバイスID c8163be5d7077d35989e0b0e6b9271bfa5300fa2251a24e578c10302c4972aff c8163be5d7077d35989e0b0e6b9271bfa5300fa2251a24e588c10302c4972124	受け入れる

コマンドラインインターフェイスを使用してログオン前のコンプライアンスルールを設定するには、次の操作を行います。

1. コマンドラインインターフェイス(CLI)を使用して、SRXシリーズファイアウォールにログインします。

2. フルトンネル設定モードでリモートアクセスVPNを設定します。使用する認証方法に基づいて、次のいずれかの手順を参照してください。

   • 事前共有キーを使用したローカルユーザー認証(CLI手順)

   • 外部ユーザー認証(CLI 手順)

   • EAP-MSCHAPv2認証を使用した証明書ベースの検証(CLI手順)

   • EAP-TLS認証を使用した証明書ベースの検証(CLI手順)

3. 表1に示すログオン前のコンプライアンスルールを参照して、SRXシリーズファイアウォールにルールを設定します。

4. 階層レベルでログオン前のコンプライアンス ポリシー Compliant を構成する [edit security remote-access] -

   • 条件ルール SecureConnect とその一致条件およびアクションを使用 -

     この条件ルールでは、指定されたWindowsおよびmacOSエンドポイント用のJuniper Secure Connectアプリバージョンについて、接続が拒否されます。アプリのバージョンを知るには、サポートされているオペレーティングシステムに基づいて特定のエンドポイントの Juniper Secure Connectユーザーガイド を参照してください。

   • 条件ルール OS とその一致条件およびアクションを使用 -

     この条件ルールでは、WindowsおよびmacOSエンドポイントに指定されたosバージョンの場合、接続は拒否されます。

   • 条件ルール Decommissioned とその一致条件およびアクションを使用 -

     この条件ルールでは、指定されたデバイス ID の場合、接続が拒否されます。デバイスIDを取得するには、Juniper Secure Connectユーザーガイドを参照してください

   • 条件ルール BYOD とその一致条件およびアクションを使用 -

     この条件ルールでは、指定されたデバイス ID に対して、接続が受け入れられます。デバイスIDについては、『Juniper Secure Connectユーザーガイド』を参照してください

   • 条件ルール CorpDevices とその一致条件およびアクションを使用 -

     この条件ルールでは、指定されたホスト名、msドメイン名、およびデバイスIDに対して、接続が受け入れられます。デバイスIDについては、『Juniper Secure Connectユーザーガイド』を参照してください

5. このコンプライアンス ルール Compliantで定義されていないその他の条件の場合、つまり、一致しないルールにそれ以上の条件ルールが指定されていない場合、既定のアクションは reject です。

6. コンプライアンス ポリシーのコンプライアンス ルールを定義したら、手順 2 で作成したリモートアクセス プロファイル ra.example.com コンプライアンス ポリシーをアタッチします。

7. デバイスでの機能の設定が完了したら、設定モードから「commit」と入力します。

8. ユースケースに基づいて、 SecureConnect などの複数のコンプライアンスポリシーを作成し、それぞれを作成したリモートアクセスプロファイルにアタッチできます。1 つのコンプライアンス ポリシーがリモート アクセス プロファイルに関連付けられていることを確認します。

この機能により、Juniper Secure ConnectアプリケーションがSRXシリーズファイアウォールとの接続基準を確実に満たすようになり、管理者が設定したセキュリティ対策が強化されます。