Web とクラウドのアクセス保護
の設定

Web とクラウドのアクセス保護
ポリシーは、Symantec Web Security Service (WSS)の機能を
Symantec Endpoint Protection
に統合します。
Web とクラウドのアクセス保護
は、クライアント上のすべてのインターネット トラフィックまたは Web トラフィックのみを Symantec WSS にリダイレクトします。ここでは、WSS ポリシーに基づいてトラフィックが許可または遮断されます。
つの Symantec Endpoint Protection Manager
(SEPM) 内でこの機能を使用するには、Symantec Web Security Service の有効なサブスクリプションが必要です。サブスクリプションについてはアカウント担当者にお問い合わせください。
: 14.3 RU1 では、WSS トラフィックリダイレクトは、ネットワークトラフィックリダイレクトに名前が変更されました。統合ポリシーは、ネットワークトラフィックリダイレクトポリシーに名前が変更されました。
14.3 RU2 で、Network Traffic Redirection は Web とクラウドのアクセス保護に名前が変更されました
技術的な要件と制限
必要条件
説明
サポートされるブラウザ
Windows:
  • Microsoft Internet Explorer 9 から 11
  • Mozilla Firefox
  • Google Chrome
  • Microsoft Edge
Mac:
  • Mac では、Apple Safari、Google Chrome、Mozilla Firefox がサポートされます。
  • Firefox バージョン 65 以降は、14.2 RU1 以降でサポートされます。
制限事項
  • Web Security Service は、IPv6 ではなく IPv4 で提供されます。
  • Network Traffic Redirection 機能がエンドポイントにインストールされている場合、スタンドアロンの Symantec WSS Agent (WSSA)はインストールできません。同様に、WSSA がインストールされている場合、NTR 機能はインストールできません。ただし、以下のいずれかの方法を使って、クライアント全体をアンインストールする必要なく、既存のエンドポイントから NTR 機能を削除できます。
    • Symantec Endpoint Protection Manager で、Network Traffic Redirection を含まないクライアント インストール機能セットを作成してエンドポイントに適用します。
    • 次のコマンド ライン オプションは、クライアントのインストール ファイルを使用して NTR を削除します:
      setup.exe /s /v" REMOVE=NTR /qn"
トンネル方式には以下の制限があります。
  • 64 ビット版 Windows 10 バージョン 1703 以降(半期サービスチャネル)でのみ実行されます。この方法では、他の Windows オペレーティングシステムまたは Mac クライアントはサポートされていません。
  • 長期サービス チャネル(LTSC)はサポートされていません。Microsoft は、LTSC を特殊なシステムにのみ使用することを対象としています。
  • HVCI 対応の Windows 10 64 ビット デバイスはサポートされません。
  • クライアントコンピュータはインストール中に ctc.symantec.com と通信し、統合トークンを CustomerID に変換します。その通信ができない場合、インストールは失敗します。すべてのクライアントでこの問題の可能性を回避するには、変換が必要ないように、統合トークンの代わりに CustomerID を使用できます。
  • Symantec Endpoint Protection
    クライアントからのアウトバウンドトラフィックは、クライアントのファイアウォールまたは URL 評価ルールのいずれかによって評価される前に、WSS にリダイレクトされます。代わりに、そのトラフィックは WSS ファイアウォールおよび URL に対して評価されます。たとえば、SEP クライアント ファイアウォール ルールが google.com を遮断し、WSS のルールが google.com を許可する場合、クライアントは google.com へのアクセスをユーザに許可します。クライアントへのインバウンド ローカル トラフィックは引き続き
    Symantec Endpoint Protection
    ファイアウォールによって処理されます。
  • WSS キャプティブ ポータルはトンネル方式では使用できません。クライアントはチャレンジ資格情報を無視します。今後のリリースでは、WSS エージェント内の SAML 認証はキャプティブ ポータルに置き換わり、
    Symantec Endpoint Protection
    クライアントで使用可能になります。
  • クライアント コンピュータがトンネル方式を使用して WSS に接続して仮想マシンをホストする場合、各ゲスト ユーザは WSS ポータルで提供された SSL 証明書をインストールする必要があります。
  • ホームディレクトリや Active Directory 認証のようなローカルネットワークへのトラフィックはリダイレクトされません。
  • Microsoft DirectAccess VPN とは互換性がありません。
PAC ファイル方式による
Web とクラウドのアクセス保護
ポリシーの設定
WSS 管理者は、プロキシの自動構成 (PAC) ファイル URL または WSS ポータルからの統合トークンを提供します。PAC ファイルまたは統合トークンで
Web とクラウドのアクセス保護
ポリシーを更新し、NTR ポリシーをグループに割り当てます。
トンネル方式による
Web とクラウドのアクセス保護
の設定
このトンネル方式は、早期採用リリース機能です。WSS ポリシーに対してアプリケーションの徹底的なテストを実行する必要があります。
トンネル方式の設定
手順
説明
ステップ 1: WSS ポータルからの統合トークンの取得
  1. 新しいまたはデフォルトの
    Web とクラウドのアクセス保護
    ポリシーに統合トークンを追加します。
  2. ポリシーのロックは解除しないでください。
  3. NTR ポリシーをテストグループに割り当てます。
ステップ 2: クライアントで
Web とクラウドのアクセス保護
ポリシーが有効であることの確認
クライアントをテストしている間、
Web とクラウドのアクセス保護
が有効で、WSS に接続されていることを確認します。また、誤って設定された WSS ポリシーによりユーザがリソースにアクセスできないままである場合にクライアントユーザが
Web とクラウドのアクセス保護
を無効化できることも確認してください。
ステップ 3: WSS ポリシーを設定およびテストします。
Web とクラウドのアクセス保護
をテストするには、まず、ラボ環境で WSS ポリシーを設定または編集します。WSS ポリシーに対してさまざまなテストシナリオを実行します。これは多くの場合、WSS ポリシーに対するデバイスのコンプライアンスの比較が含まれます。
ステップ 4:
Web とクラウドのアクセス保護
ポリシーをロックする
WSS ポリシーが
Symantec Endpoint Protection
クライアントで期待どおりに動作することを確認したら、クライアントコンピュータが保護され、ユーザーが WSS からクライアントを切断できないように、ポリシーをロックします。
NTR をロックするには、SEPM
Web とクラウドのアクセス保護
ポリシーの南京錠をロックします。
レポート
  • Web とクラウドのアクセス保護
    ポリシーに対する設定の変更は、Symantec Endpoint Protection Manager 監査ログに表示されます。
  • トンネル方式のイベントは、クライアントのネットワーク脅威リダイレクトログに表示されます。これらのイベントは、Symantec Endpoint Protection Manager システムログにアップロードされます。
クライアントの NTR ログを表示するには
  1. クライアント コンピュータの
    [状態]
    ページで、
    Web とクラウドのアクセス保護
    の隣の
    [オプション]
    >
    [ログの表示]
    をクリックします。
バージョン変更
  • バージョン 14.0.1 MP1 ~ 14.2 RU1 では、WSS トラフィックリダイレクトは Windows コンピュータにのみ適用されます。
  • 14.2 RU2 では、Mac コンピュータのサポートが追加されました。
  • 14.2 では、WSS によってクライアント認証を拡張し、送信ユーザーに基づいて、Web トラフィックをより詳細に制御するためのサポートが追加されました。
  • 14.3 RU1 では、WSS トラフィック リダイレクトは、Network Traffic Redirection
    Web とクラウドのアクセス保護
    に名前が変更されました。
  • 14.3 RU1 では、トンネル方式という新しい接続手法が追加されました。