16. FRAサービス操作方法FAQ¶
16.1. ユーザ登録/変更/削除¶
FRAポータルにて、リモートアクセス用のユーザーを登録/変更/削除する場合は以下を実施します。
注釈
16.1.1. ユーザ登録¶
(1)Deviceタブをクリックし、ローカルユーザーデータベースのユーザーをクリックし、追加をクリックします。
図16.1.1 ローカルユーザーデータベースのユーザー画面
(2)名前/パスワードを入力し、OKをクリックします。
図16.1.2 ローカルユーザー追加
(3)ローカルユーザーデータベースのユーザーグループをクリックし、Customer_Defaultをクリックします。
図16.1.3 ローカルユーザーデータベースのユーザーグループ画面
(4)追加をクリックし作成したユーザを選択しOKをクリックします。
図16.1.4 ローカルユーザーグループの追加
図16.1.5 ローカルユーザーグループの追加確認
16.1.2. ユーザ変更¶
FRAポータルにて、リモートアクセス用のユーザーの名前またはパスワードを変更する場合は以下を実施します。
(1)Deviceタブをクリックし、ローカルユーザーデータベースのユーザーをクリックし、変更したいユーザ名をクリックします。
図16.1.6 ローカルユーザーデータベースのユーザー画面
(2)変更したい名前またはパスワードを入力し、OKをクリックします。
図16.1.7 ローカルユーザー変更
16.1.3. ユーザ削除¶
FRAポータルにて、リモートアクセス用のユーザーの削除をする場合は以下を実施します。
注釈
(1)Deviceタブをクリックし、ローカルユーザーデータベースのユーザーグループをクリックし、Customer Groupをクリックします。
図16.1.8 ローカルユーザーデータベースのユーザーグループ画面
(2)削除対象のユーザ名にチェックを入れ削除をクリックしOKをクリックします。
図16.1.9 ユーザー選択
(3)ローカルユーザーデータベースのユーザーをクリックし、削除対象のユーザにチェックを入れ削除をクリックします。
図16.1.10 ユーザー削除
(4)削除して良いかを確認されるためはいをクリックします。
図16.1.11 ユーザー削除確認
16.2. FRAクライアントソフトのアンインストールについて(Windows/Mac/iPad/iPhone/Android)¶
FRAクライアントソフトのアンインストールを行う場合は以下を実施します。
16.2.1. FRAクライアントソフトのアンインストール(Windows)¶
(1)端末のデスクトップ下部のスタートをクリックします。
図16.2.1 デスクトップ画面
(2)設定をクリックします。
図16.2.2 スタート画面
(3)アプリをクリックします。
図16.2.3 設定画面
(4)アプリと機能の一覧からGlobal Protectをクリックします。
図16.2.4 アプリと機能一覧
(5)アンインストールをクリックします。
図16.2.5 [アンインストール]をボタン
(6)アンインストールを実行してもよいか確認のメッセージが表示されます。アンインストールをクリックします。
図16.2.6 アンインストール確認
(7)アンインストール完了後、端末を再起動します。
16.2.2. FRAクライアントソフトのアンインストール(Mac)¶
(1)finderアイコンをクリックし、ダウンロードをクリック後にGlobalProtect.pkgをダブルクリックします。
図16.2.7 GlobalProtect.pkgをダブルクリック
(2)インストールの種類でGlobal Protectのチェックを外し、Uninstall Global Protectにチェックを入れ続けるをクリックします。
図16.2.8 [続ける]ボタン
(3)下記の画面が表示された場合はインストールをクリックします。アンインストールが開始されます。
図16.2.9 [インストール]ボタン
(4)アンインストール完了の画面が表示されます。画面上部のGlobal Protectのアイコンが消えていることを確認後、端末を再起動します。
図16.2.10 アンインストール完了後の画面
16.2.3. FRAクライアントソフトのアンインストール(iPad/iPhone)¶
(1)ホーム画面上のGlobal Protectアイコンを長押しし、Appを削除をクリックします。確認画面が表示されます。再度Appを削除をクリックします。
図16.2.11 ホーム画面
(2)ホーム画面上のGlobal Protectアイコンが消えていればアンインストール完了です。
16.2.4. FRAクライアントソフトのアンインストール(Android)¶
(1)ホーム画面上のGlobal Protectアイコンを長押しし、App情報ををクリックします。
図16.2.12 ホーム画面
(2)アンインストールをクリックしアンインストールを開始します。
図16.2.13 アプリ情報
(3)ホーム画面上のGlobal Protectアイコンが消えていればアンインストール完了です。
16.3. 端末にインストールされたFRAクライアントソフトで設定可能な項目について¶
端末にFRAクライアントソフトをインストール後、タスクトレイに常駐するGlobal Protectのアイコン押下後の画面右上の三本線をクリックした際の設定可能な項目について記載します。
図16.3.1 FRAクライアントソフト画面
図16.3.2 三本線をクリック後の画面
16.3.1. 設定¶
- (1)全般
- 接続したユーザ名が表示されます。サインアウトをクリックすると接続を解除します。また、FRAポータルの接続状態を確認できます。接続済みの場合は状態に接続済みを表示します。
図16.3.3 Global Protect(全般)
- (2)接続
- 接続先のゲートウェイ情報を表示します。端末に割り当てたローカルIP、接続先のゲートウェイIP情報等を表示します。
図16.3.4 Global Protect(接続)
- (3)ホストプロファイル
- 端末のシステムに関する情報を表示します。FRAはこの情報を基にモニタリングやセキュリティポリシーの制御を実施することができます。
図16.3.5 Global Protect(ホストプロファイル)
- (4)トラブルシューティング
- VPN接続時に問題が発生した場合のトラブルシュートの情報を取得します。ログにチェックを入れ、開始ボタンをクリックするとトラブルシュートに必要なログ収集を実施します。ログ収集をクリックすると取得したログを端末に保存します。
図16.3.6 Global Protect(トラブルシューティング)
- (5)通知
- FRAサービスでは使用しません。
16.3.3. バージョン情報¶
FRAサービスの端末にインストールされているソフトウェアのバージョンを表示します。アップデートを確認をクリックすると現行バージョンの最新状態を表示します。
図16.3.8 アップデート確認画面
図16.3.9 確認結果画面
16.4. SSL復号化利用時の証明書のインストール手順¶
SSL復号化を利用する場合、端末に証明書のインストールが必要です。下記に証明書のインストール手順を記載します。
(1)端末に保存した証明書をダブルクリックし、証明書のインストールをクリックします。
図16.4.1 証明書のインストール
(2)証明書ストアページですべての証明書を次のストアに配置にチェックします。参照をクリックし、信頼されたルート証明機関を選択します。
図16.4.2 証明書ストアページ画面
(3)次へをクリックします。警告メッセージが表示される場合は、はいをクリックします。
図16.4.3 警告メッセージ画面
(4)インポート成功メッセージが表示されます。OKをクリックし証明書のインストールが完了となります。
図16.4.4 インポート成功メッセージ画面
16.5. Syslogサーバに転送されるログフィールド一覧¶
以下にSyslogサーバに転送されるログの項目を記載します。
注釈
16.5.1. トラフィック¶
図16.5.1 Syslogサーバに転送されるログ一覧(トラフィック)
16.5.2. 脅威¶
図16.5.2 Syslogサーバに転送されるログ一覧(脅威)
16.5.3. URLフィルタリング¶
図16.5.3 Syslogサーバに転送されるログ一覧(URLフィルタリング)
16.5.4. HIPマッチ¶
図16.5.4 Syslogサーバに転送されるログ一覧(HIPマッチ)
16.5.5. Global Protect¶
図16.5.5 Syslogサーバに転送されるログ一覧(Global Protect)
16.6. FRAクライアントソフト接続方式(手動/自動)の変更手順¶
FRAクライアントソフトの接続方式を変更するには以下の手順で設定変更を行います。
(1)GlobalProtectポータル エージェントコンフィグを選択します。選択手順は 「13. FRAポータルの操作方法について」の「13.5.4. GlobalProtectポータル エージェントコンフィグの変更」を参照してください
(2)アプリケーション設定の接続手段を変更します。変更手順は 「13. FRAポータルの操作方法について」の「13.5.3. GlobalProtectポータル エージェントコンフィグの追加」の(6)を参照してください
16.7. スプリットトンネル設定手順¶
| OS | Teams | Zoom |
| Windows10 | 1.5.00.36367 | 5.13.0 |
| Windows11 | 1.6.00.1381 | 5.13.5 |
| Mac11 | 1.6.00.1159 | 5.13.11 |
C:\Users\<任意のユーザー名>\AppData\Local\Microsoft\Teams\current\Teams.exeC:\Users\<任意のユーザー名>\AppData\Local\Microsoft\Teams\current\Teams.exeC:\Users\<任意のユーザー名>\AppData\Local\Microsoft\Teams\current\Teams.exe"USERPROFILE=C:\Users\<任意のユーザー名>“%USERPROFILE%\AppData\Local\Microsoft\Teams\current\Teams.exe/Applications/Microsoft Teams.app/Contents/MacOS/Teams/Applications/Microsoft Teams.app/Contents/MacOS/Teams注釈
16.8. UTM機能設定手順¶
UTM機能(IDS/IPS,アンチウイルス,アンチスパイウェア,URLフィルタリング)を設定する場合はセキュリティポリシーのアクションタブのプロファイル設定で、適用対象のプロファイルを指定します。設定手順は 「13. FRAポータルの操作方法について」の「13.3.1. ポリシー追加」の(8)を参照してください
16.9. HIP機能の使用手順¶
HIP機能を使用する場合、HIPオブジェクトを作成します。次に作成したHIPオブジェクトをHIPプロファイルに紐づけした上で、セキュリティポリシーに作成したHIPプロファイルを適用する必要があります。以下に手順を記載します。
(1)HIPオブジェクトを作成します。HIPオブジェクトの作成手順は 「13. FRAポータルの操作方法について」の「13.4.3. HIPオブジェクト追加」を参照してください
(2)HIPプロファイルを作成します。HIPプロファイルの作成手順は 「13. FRAポータルの操作方法について」の「13.4.9. HIPプロファイル追加」を参照してください
(3)作成したHIPプロファイルをセキュリティポリシーに適用します。Policiesタブをクリックし、セキュリティをクリックします。HIPプロファイル適用対象のポリシーを選択します。
図16.9.1 ポリシー選択
(4)ユーザータブをクリックし、HIPプロファイルの追加をクリックし適用対象のHIPプロファイルを選択しOKをクリックします。
図16.9.2 セキュリティポリシールール(ユーザー)
16.10. Syslog転送の設定について¶
Syslogサーバに転送する際に必要な設定を記載します。
(1)Syslogサーバプロファイルを作成します。Syslogサーバプロファイルの作成手順は 「13. FRAポータルの操作方法について」の「13.6.8. サーバープロファイル(Syslog)」を参照してください。
(2)ログ転送プロファイルを作成します。ログ転送プロファイルの作成手順は 「13. FRAポータルの操作方法について」の「13.4.18. ログ転送追加」を参照してください
注釈
(3)セキュリティポリシーに適用対象のログ転送プロファイルを設定します。詳細手順は 「13. FRAポータルの操作方法について」の「13.3.1. ポリシー追加」の(8)を参照してください
注釈
16.11. クライアント証明書認証の設定について¶
クライアント証明書認証を使用する場合の設定手順を記載します。
(1)Global Protectポータルのクライアント認証の設定画面で「証明書プロファイル」をNoneから選択可能な認証プロファイルを選択します。詳細手順は 「13. FRAポータルの操作方法について」の「13.5.1. GlobalProtectポータル クライアント認証の変更」の(2)を参照してください
(2)Global Protectポータルのクライアント認証の設定画面で「ユーザー資格情報またはクライアント証明書を使用した認証を許可」をNoに変更します。詳細手順は 「13. FRAポータルの操作方法について」の「13.5.1. GlobalProtectポータル クライアント認証の変更」の(3)参照してください
(3)Global Protectゲートウェイのクライアント認証の設定画面で「証明書プロファイル」をNoneから選択可能な認証プロファイルを選択します。詳細手順は、 「13. FRAポータルの操作方法について」の「13.5.6. GlobalProtectゲートウェイ クライアント認証の変更」の(2)を参照してください
(4)Global Protectゲートウェイのクライアント認証の設定画面で「ユーザー資格情報またはクライアント証明書を使用した認証を許可」をNoに変更します。詳細手順は、 「13. FRAポータルの操作方法について」の「13.5.6. GlobalProtectゲートウェイ クライアント認証の変更」の(3)を参照してください
16.12. 内外判定の設定について¶
FRAクライアントソフトで接続する際はIPアドレスとホスト名は逆引きが可能な値を設定する必要があります。また、FRAに接続する接続方式としてUser-logon(Always on)を指定する必要があります。設定方法の詳細は、 「13. FRAポータルの操作方法について」の「13.5.3. GlobalProtectポータル エージェントコンフィグの追加」の(5)を参照してください。
注釈
16.13. LDAP連携機能使用時のポリシー設定について¶
LDAP認証連携機能を使用する場合は、LDAP認証サーバと通信可能なセキュリティポリシーを作成する必要があり、セキュリティポリシー作成にあたっては、事前にサービスの作成が必要になります。
(1)LDAP認証サーバと通信可能なサービスを作成します。サービスの作成手順の詳細は、 「13. FRAポータルの操作方法について」の「サービス追加」を参照してください。
注釈
(2)LDAP認証サーバと通信可能なセキュリティポリシーを作成します。セキュリティポリシー作成手順の詳細は、「13. FRAポータルの操作方法について」の「13.3.1. ポリシー追加」を参照してください。
注釈
16.14. SSL復号化の設定について¶
SSL復号化機能を使用する場合は、SSL復号化用のプロファイルを作成し作成したプロファイルをSSL復号用のポリシーに適用します。また、クライアント端末に証明書のインストールが必要です。
(1)SSL復号化用のプロファイルを作成します。SSL復号化用のプロファイル作成手順の詳細は、 「13. FRAポータルの操作方法について」の「13.4.21. 復号プロファイル追加」を参照してください。
(2)SSL復号用のポリシーをSSL復号化用のプロファイルを適用します。SSL復号化用のポリシー作成手順の詳細は、 「13. FRAポータルの操作方法について」の「13.3.4. SSL復号(追加)」を参照してください。
(3)クライアント端末にSSL復号化用の証明書をインストールします。証明書のインストール手順の詳細は、 「16. FRAサービス操作方法FAQ」の「16.3.1. SSL復号化利用時の証明書のインストール手順」を参照してください。
16.15. 東西冗長オプション追加時の設定について¶
東西冗長オプション追加に必要となる設定手順を記載します。本手順は、東日本エリアのFRAポータル環境が構築済みで西日本エリアのFRAポータル環境を追加する場合の手順となります。
注釈
注釈
(1)西日本エリアのFRAポータルへアクセスします。FRAポータルへのアクセス方法は 「10.6. FRAポータルへアクセス(Windows/Mac/iPhone/iPad/Android)」を参照してください。
(2)西日本エリアのFRAサービス環境にアクセスできるように、東日本エリアのFRAポータルの設定と同じ設定を西日本エリアのFRAポータルの0系/1系に設定します。設定方法については 「13.FRAポータルの操作方法について」を参照してください。
(3)西日本エリアのFRAポータルの両系で設定内容をコミットします。コミット手順は 「10.7. 設定反映(0系と1系の両方で作業を実施)」を参照してください。
(4)Networkタブをクリックしポータルをクリックします。GP-portalをクリックします。
図16.15.1 ポータル画面
(5)エージェントタブのGP-client-configをクリックします。
図16.15.2 エージェントを選択
(6)外部タブをクリックし外部ゲートウェイに記載している名前、アドレス、優先度の情報をメモ帳等にメモします。
図16.15.3 外部ゲートウェイの確認
(7)東日本エリアのFRAポータルへアクセスします。FRAポータルへのアクセス方法は 「10.6. FRAポータルへアクセス(Windows/Mac/iPhone/iPad/Android)」を参照してください。
(9)Networkタブをクリックしポータルをクリックします。GP-portalをクリックします。
図16.15.4 ポータル画面
(10)エージェントタブのGP-client-configをクリックします。
図16.15.5 エージェントを選択
(11)外部タブをクリックし外部ゲートウェイの追加をクリックします。
図16.15.6 エージェント設定(外部)
(12)(6)でメモした内容を設定しOKをクリックします。
図16.15.7 外部ゲートウェイの追加
(13)外部ゲートウェイに設定が追加されたことを確認しOKをクリックします。
図16.15.8 外部ゲートウェイの追加確認
(14)東日本エリアのFRAポータルの両系で設定内容をコミットします。コミット手順は 「10.9. 設定反映(0系と1系の両方で作業を実施)」を参照してください。
16.16. 東西冗長オプション利用時の手動切り替え方法について¶
東西冗長オプション利用時の東西FRAポータルいずれかへ手動で切り替える方法についての設定手順を記載します。
(1)利用端末のタスクトレイに常駐するGlobal Protectのアイコン押下後の画面右上の三本線をクリックし設定をクリックします。
図16.16.1 三本線をクリック
図16.16.2 [設定]をクリック
(2)全般タブの画面下部の追加をクリックします。
図16.16.3 Global Protect設定(全般)
(3)切り替え対象のFRAポータルのアドレスを入力し保存をクリックします。
図16.16.4 FRAポータルのアドレス追加
(4)切り替え対象のFRAポータルのアドレスが追加された事を確認し✕ボタンをクリックします。切り替え対象のFRAポータルの登録は完了です。
図16.16.5 FRAポータルのアドレス追加確認
(5)障害等発生時にFRAポータルを切り替える場合はFRAポータルのアドレス入力欄をクリックし、切り替え対象のFRAポータルを選択することで切り替えが可能になります。
図16.16.6 FRAポータル切り替え時の画面
16.17. テナントアクセス制御サポート機能の設定手順について¶
テナントアクセス制御サポート機能の設定手順を記載します。
(1)テナントアクセス制御用のURLカテゴリを作成します。Objectsタブ > カスタムオブジェクト > URLカテゴリ > 画面下部の追加をクリックし、以下を入力しOKをクリックします。
図16.17.1 カスタムURLカテゴリ
(2)テナントアクセス制御用のセキュリティプロファイル(URLフィルタリング)を作成します。Objectsタブ > セキュリティプロファイル > URLフィルタリング > 画面下部の追加 > HTTPヘッダー検査タブ > 画面下部の追加をクリックし、以下を入力しOKをクリックします。
図16.17.2 HTTPヘッダー検査
(3)テナントアクセス制御用のセキュリティポリシーを作成します。セキュリティポリシー作成の詳細については4.FRAポータルの操作方法についての4.3.Policiesを参照してください。テナントアクセス制御用のセキュリティポリシー作成時は以下の設定を含める必要があります。
図16.17.3 セキュリティポリシールール(サービスURLカテゴリ)
図16.17.4 セキュリティポリシールール(アクション)
(4)テナントアクセス制御用のSSL復号化プロファイルを作成します。Objectsタブ > 復号 > 復号プロファイル > 画面下部の追加をクリック > SSL復号化タブをクリックし、以下を入力しOKをクリックします。
図16.17.5 復号プロファイル(SSL復号化)
(5)テナントアクセス制御用のSSL復号ポリシーを作成します。SSL復号ポリシー作成の詳細については4.FRAポータルの操作方法についての4.3.Policiesの4.3.4. SSL復号(追加)を参照してください。テナントアクセス制御用のSSL復号ポリシー作成時は以下の設定を含める必要があります。
図16.17.6 復号ポリシールール(サービス/URLカテゴリ)
図16.17.7 復号ポリシールール(オプション)
16.18. SAML認証連携利用時のグループマッピング機能の設定手順について¶
SAML認証連携利用時にグループマッピング機能を利用したい場合の設定手順を記載します。
(1)グループマッピング機能利用するためのLDAPサーバプロファイルを作成します。Deviceタブ > サーバープロファイル > LDAP >画面下部の追加をクリックし、以下を入力しOKをクリックします。
図16.18.1 LDAPサーバープロファイル
(2)Deviceタブ > ユーザーID > グループマッピング設定タブ > 画面下部の追加をクリックし、以下を入力しOKをクリックします。
図16.18.2 グループマッピング
(3)グループマッピング機能利用時に作成するセキュリティポリシーに設定するLDAP通信用のサービスを作成します。Objects > サービス > 画面下部の追加をクリックし、以下を入力しOKをクリックします。
図16.18.3 サービス
(4)グループマッピング機能利用するためのセキュリティポリシーを作成します。 セキュリティポリシー作成の詳細については4.FRAポータルの操作方法についての4.3.Policiesを参照してください。グループマッピング機能利用するためのセキュリティポリシー作成時は以下の設定を含める必要があります。