ディレクトリサービスにUser Awarenessを追加する

この記事では、内部ネットワーク上のADユーザーにより良い可視性を提供するためにUser Awarenessを設定する方法を説明します。

ユーザー認識の概要

Cato管理アプリケーションは、Catoクライアントで認証されたため、企業ネットワークに接続されているリモートユーザーを簡単に特定できます。しかし、サイトの背後にいるユーザーに対しては、クライアントと接続されていないため、IPアドレスまたはコンピュータ名しか見られません。これらの内部ユーザーにとって、名前や姓のような個人情報がないと、アナリティクスを使用するのは困難です。 User Awareness機能は、IPアドレスとユーザ名を関連付けるためにActive Directory (AD) と統合されます。ポップはDCログインログをクエリし、ユーザーをコンピュータのIPアドレスにマッピングできます。ユーザーデータはほぼリアルタイムで、わずか30秒の遅延があります。 User Awarenessにより、Topologyウィンドウと分析は内部ユーザーの名前を表示でき、IPアドレスのみではありません。

ユーザー認識を設定する準備

User Awarenessを有効にする前に、ドメインのディレクトリサービスを設定する必要があります。ディレクトリサービスの設定について詳しくは、LDAPによるユーザーのプロビジョニングを参照してください。

ユーザーをIPアドレスにマッピングするために、WindowsセキュリティログでUser Awarenessが使用するイベントIDで監査ポリシーが設定されていることを確認してください。詳細情報は、ディレクトリサービスとUser Awarenessのエラーと問題のトラブルシューティングをご覧ください。

次のセクションでは、サードパーティのファイアウォールの背後にあるIPsecサイト用のUser Awarenessの設定方法について説明します。 IPsecサイトがない場合は、以下を続けてリアルタイムドメインコントローラーの定義を行ってください。

ユーザー認識同期用にサードパーティ製ファイアウォールを設定する

User Awarenessの同期は、システム範囲に対して固定IPアドレスを使用します。 DCへのアクセスを制御するために第三者のファイアウォールを使用している顧客は、すべてのポートとサービスにこのIPアドレスを許可するようにファイアウォール設定を更新する必要があります。デフォルトのシステム範囲またはカスタムシステム範囲を使用しているアカウントでは、User Awarenessの同期に使用されるIPアドレスが異なります。

Cato Cloud内のDNSサーバーのデフォルトとカスタム範囲についての詳細は以下をご覧ください：Cato CloudでのDNSフローの処理。

デフォルトのシステム範囲を使用するアカウント

Cato Networksに予約されたデフォルトシステム範囲は10.254.254.0/24です。このデフォルト範囲を使用するアカウントの場合、User Awareness同期のための固定IPアドレスは10.254.254.12です。

カスタムシステム範囲を使用するアカウント

デフォルトの代わりにカスタムシステム範囲を使用するアカウントの場合、User Awareness同期のための固定IPアドレスを計算するためにカスタム範囲を使用します。固定IPアドレスはカスタム範囲の9番目です。例えば、カスタム予約範囲が10.10.10.0/16の場合、固定IPアドレスは10.10.10.9です。

より小さいIP範囲を使用するアカウントの場合でも、カスタム範囲の9番目を使用します。例えば、カスタム予約範囲が10.200.200.64/28の場合、固定IPアドレスは10.200.200.73 (10.200.200.64 + x.x.x.9)です。

共有ホストとのユーザー認識

User Awarenessは、2時間の時間枠内で同じデバイスに少なくとも4人の異なるユーザーがサインインしている場合、そのデバイスを共有ホストとみなします。 全ての共有ホストユーザーグループまたはホストIPアドレスに対するファイアウォールとネットワークルールは、共有ホストにログインしたSDPユーザーに適用され、SDPユーザーのルールには適用されません。

リアルタイムドメインコントローラーの定義

リアルタイムでWMIクエリを監視するドメインコントローラ(DC)上のWMIコントローラーを定義します。

サイトの背後にあるADに対しては、そのサイトのホストとしてドメインコントローラー(DC)を定義していることを確認してください (ネットワーク > サイト設定 > ホスト)。

注意

注意: 複数のDCを持つアカウントでは、全てのDCをログインイベント用にリアルタイムドメインコントローラーに追加する必要があります。

リアルタイムドメインコントローラーを定義するには：

ナビゲーションメニューからアクセス > User Awarenessをクリックします。
リアルタイムドメインコントローラーセクションまたはタブで、新規作成をクリックします。

リアルタイムドメインコントローラーの追加パネルが開きます。
ドメインコントローラー ドロップダウンメニューから、ADドメインを選択します。
DCの位置情報に基づいて、接続設定を定義します：
- サイトの背後に定義されたホスト上のDCの場合、内部ホストを選択し、LDAPサーバーの静的ホストを選択します
- サイトの背後にないDCの場合、外部IPまたはドメインを選択し、DCのためのIPアドレスまたはドメインを入力します
注意

注意： DCには公開IPアドレスを使用する必要があります。
ADユーザーのためのユーザ名とパスワードを入力します。
OKをクリックします。リアルタイムドメインコントローラーはUser Awareness設定に追加され、Cato Cloudにプッシュされます。
各ドメインコントローラーに対して前のステップを繰り返します。

ドメインコントローラー接続状態のテスト

リアルタイムドメインコントローラーを定義した後、Cato管理画面とCato CloudがDCに接続できることを確認するために接続の状態をテストします。

ポップアップウィンドウには、接続が成功したか、またはCato CloudがDCへの接続に失敗したかが表示されます。

注意

注意： サイトの背後に事前定義済みのホストであるドメインコントローラーに対してのみ、DCの接続ステータスをテストできます。

リアルタイムドメインコントローラー接続ステータスをテストするには：

ナビゲーションメニューから、アクセス > ディレクトリサービスをクリックします。
LDAP セクションまたはタブを展開します。
ドメインの接続列から、接続テストをクリックします。 Cato管理画面は接続性テストの結果を示します。

ポップアップウィンドウが接続テストの結果を表示します。

ユーザー認識用ドメインの同期

ユーザー認識のために、どのADグループをドメインに同期するかを定義します。また、ADを毎日自動的に同期するか、手動で同期するかを選択できます。ユーザー認識のための同期設定は、アカウント内のすべてのドメインに共通である必要があります。

ドメインからADグループまたはユーザーが削除されると、ルールやグループで使用されていない限り、アカウントで無効になります。ディレクトリサービスの同期設定の詳細については、LDAP によるユーザーのプロビジョニングを参照してください。

ユーザー認識用のActive Directoryグループの定義

ユーザー識別のために同期されたユーザーを含むドメインのADグループを選択し、日次同期設定をします。

リアルタイムドメインコントローラーが設定されている場合、またはアイデンティティ・エージェントが有効になっている場合にのみ、ユーザーはCatoアカウントに同期されます (アクセス > User Awareness > アイデンティティ・エージェント)。

sAMAaccountName属性はCato管理画面でのユーザグループの名称に使用されます。

ユーザ識別と同期するADグループを定義するには：

ナビゲーションメニューから、アクセス > ディレクトリサービスをクリックします。
LDAPタブまたはセクションを選択し、ドメインをクリックしてください。

パネルが開きます。
パネルナビゲーションメニューからユーザグループを選択します。

親グループを選択するとネストされたグループも同期されます
ユーザ識別のADグループを選択します。

注意: グループが選択されていない場合、すべてのADグループがユーザー識別のためにインポートされます。
ユーザー認識グループを自動同期するには、 ユーザー認識グループの日次同期を有効にします。
保存をクリックします。

リアルタイムドメインコントローラーの削除

リアルタイムドメインコントローラーを削除するには：

ナビゲーションメニューからアクセス > User Awarenessを選択します。
リアルタイムドメインコントローラーセクションまたはタブで、ドメインの行にてをクリックします。
保存をクリックしてください。リアルタイムドメインコントローラーが削除されました。