概要
以下のProduct Updateにて通知されましたDevice Authentication 機能のEoLとClient Connectivity Policyへの移行についてご案内いたします。
Device Authentication Using The Client Connectivity Policy
2024年4月現在のデバイス認証機能ではClient Access > Device Authentication メニューにて接続をブロックするOS、証明書のチェックを行うOS、証明書のアップロードの3点の設定が行えます。
新仕様ではClient Access > Device Authentication メニューでは証明書のアップロードのみを行い、ポリシーの作成はClient Connectivity Policyにて行います。
現行 | 新仕様 |
Device Authentication
| Device Authentication
Client Connectivity Policy
|
新仕様のUI
Cato Knowledge Baseより抜粋
移行スケジュール
新規作成されるCC2アカウント 4月14日以降、Device証明書のチェック機能についてはClient Connectivity PolicyならびにDevice Posture機能を用いてのみ構成可能となります。
既存のCC2アカウント 条件に応じて自動移行可能なアカウントと手動移行が必要なアカウントがあります。手動移行が必要なアカウントについては、2024年6月1日までに設定変更が必要です。
既存のCC2アカウントの移行対応
自動移行対象のCC2アカウント Device Authentication > Blocked OS : CC2アカウント全体のみ設定している Device Authentication > Blocked OS:ユーザー個別のみ設定している
手動移行が必要なCC2アカウント Device Authentication > Device Certificates:CC2アカウント全体/ユーザー個別を問わず設定している Device Authentication > Blocked OS:CC2アカウント全体の設定とユーザー個別の設定を併用している
自動移行が可能なCC2アカウントについてはCato Networksより通知が送信されたうえで
設定が自動でClient Connectivity Policyへ移行されますのでアクションは不要となります。
手動移行が必要なCC2アカウントは以下の手動移行のサンプルをご参考にClient Connectivity Policyへの移行対応を行ってください。
手動移行のサンプル
以下の設定環境でのClient Connectivity Policyへの移行のサンプルを示します。
Blocked operating systems:Linux,Android
Operating systems that require a certificate:Windows,macOS
iPhoneは制限なし
1.Device Checkの定義
Client Connectivity PolicyではDevice Postureプロファイルを用いてポリシー定義を行います。Device Posture > Device Checks タブにてデバイス証明書カテゴリのデバイス チェックを作成します。
2.Device Posture Profileの定義
次にDevice Posture > Device Posture Profilesタブにてデバイス証明書カテゴリのデバイス チェックを指定したプロファイルを作成します。
3.Client Connectivity Policyの定義
Client Connectivity Policyにてポリシーの定義を行います。サンプルでは以下の通りポリシーを定義しています。
Windows,macOSはデバイス証明書の確認を行う
iOSはデバイス チェックによる確認なし
Android,Linuxの接続はブロックする
※ユーザー個別のデバイス認証設定を行っている場合には[Users/Groups]を指定したポリシーを適宜追加します。
最後にEoLとなるDevice AuthenticationでのOSポリシーの定義を解除して移行は完了です。