Junos Pulse - Juniper Networks...Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, California 94089 408-745-2000 本製品には、Integrated Systems Inc. の子会社である

Junos® Pulse

管理ガイド

リリース

リリース 3.0

発行: 2012-09-18

Copyright © 2012, Juniper Networks, Inc.

Juniper Networks, Inc.1194 North Mathilda AvenueSunnyvale, California 94089408-745-2000www.juniper.net

本製品には、Integrated Systems Inc. の子会社である Epilogue Technology が開発した Envoy SNMP Engine が含まれています。 Copyright ©

1986-1997, Epilogue Technology Corporation. All rights reserved. このプログラムとそのドキュメントは私的な支出により開発されたもので、

パブリックドメインには帰属しません。

本製品には、Mark Moraes 氏が開発したメモリ割当てソフトウェアが組み込まれています。Copyright© 1988, 1989, 1993, University of Toronto.

本製品には、カリフォルニア大学バークレー校とその貢献者が開発した FreeBSD ソフトウェアが組み込まれています。 4.4 BSD and 4.4BSD-Lite

リリースに含まれる全ドキュメントとソフトウェアは、カリフォルニア大学が著作権を所有しています。 Copyright© 1979, 1980, 1983, 1986, 1988,

1989, 1991, 1992, 1993, 1994. The Regents of the University of California. All rights reserved.

GateD software copyright © 1995, the Regents of the University. All rights reserved. Gate Daemon は、コーネル大学とその協力者がリリー

ス 3.0 を基に開発しました。 Gated は、Kirton の EGP、UC バークレー校のルーティングデーモン（routed）、DCN の HELLO ルーティングプロ

トコルに基づいています。 Gated の開発は、全米科学財団から部分的な援助を受けています。 Portions of the GateD software copyright © 1988,

Regents of the University of California. All rights reserved. Portions of the GateD software copyright © 1991, D. L. S. Associates.

本製品には Maker Communications, Inc. が開発したソフトウェアが組み込まれています。Copyright© 1996, 1997, Maker Communications, Inc.

Juniper Networks、Junos、Steel-Belted Radius、NetScreen、 ScreenOS は、米国およびその他の国における Juniper Networks, Inc. の登録商標

です。 Juniper Networks ロゴ、 Junos ロゴ、および JunosE は Juniper Networks, Inc. の商標です。文書に掲載されているその他の商標、登録

商標はすべて各所有者に帰属します。

Juniper Networks は、本文書内の誤りに関する責任を一切負いません。 Juniper Networks は事前に通告することなく、本出版物を変更、修正、

移譲する権利、あるいはその他の形態で改訂する権利を有します。

Juniper Networks が製造または販売した製品、または同製品の構成部品には、Juniper Networks が所有する、または同社にライセンス供与された

以下の特許が 1 つ以上適用されている場合があります。U.S. Patent Nos. 5,473,599、 5,905,725、5,909,440、6,192,051、6,333,650、6,359,479、

6,406,312、 6,429,706、6,459,579、6,493,347、6,538,518、6,538,899、6,552,918、 6,567,902、6,578,186、および 6,590,785.

Junos Pulse 管理ガイド

Copyright © 2012, Juniper Networks, Inc.

All rights reserved.

改訂履歴

2010 年 6 月 9 日—リリース 1.0

2010 年 7 月 1 日—リリース 1.0 - iOS デバイスサポートのアップデート

2011 年 1 月 31 日—リリース 2.0

2011 年 6 月 1 日—リリース 2.1

2012 年 3 月 19 日—リリース 3.0

本書の情報は、タイトルページの日付時点のものです。

エンドユーザーライセンス契約

この技術ドキュメントに記載されている Juniper Networks 製品には、 Juniper Networks ソフトウェアが含まれており、また、このソフトウェアと

ともに使用されることを想定して作成されています。これらのソフトウェアを使用する際は、 http://www.juniper.net/support/eula.html

に掲載されているエンドユーザーライセンス契約（“EULA”）の条件に従う必要があります。本ソフトウェア製品をダウンロード、インストー

ル、使用すると、条件に従うことに同意したものと見なされます。

Copyright © 2012, Juniper Networks, Inc.ii

http://www.juniper.net/support/eula.html

目次

このガイドについて .................................................xi

目的 ..............................................................xi

このガイドの対象読者 ................................................xi

ドキュメントの表記規則 ...............................................xi

関連ドキュメント ....................................................xi

ドキュメントの入手 .................................................xii

ドキュメントのフィードバック .........................................xii

テクニカルサポートの要求 ............................................xii

セルフヘルプオンラインツールおよびリソース .......................xiii

JTAC へのお問い合わせ ..........................................xiii

第1部 Junos Pulse

第1章 Junos Pulse の概要 ..................................................3

Junos Pulse について .................................................3

Windows 対応 Junos Pulse クライアント ...............................4

Mac OS X 対応 Pulse クライアント ...................................4

位置認識 ........................................................6

セッション移行 ...................................................6

中央管理 ........................................................6

セキュリティ証明書 ...............................................7

適合性および修復 .................................................8

2 要素認証 ......................................................9

Junos Pulse Collaboration Suite の統合 ..............................9

バインドされているクライアントとバインドされていないクライアント .......9

Pulse Access Control サービスおよび Pulse Secure Access サービスの配備

オプション ..................................................10

アプリケーションアクセラレーションの配備オプション ..................11

SRX シリーズゲートウェイの配備オプション ...........................12

自動ソフトウェア更新 .............................................12

サポートされているネットワークゲートウェイおよび Pulse クライアントのインス

トール要件 .....................................................13

Junos Pulse クライアントのエラーメッセージへのアクセス（Windows エンドポイン

ト） ..........................................................13

Junos Pulse クライアントのエラーメッセージへのアクセス（Mac OS X エンドポイ

ント） .........................................................16

Odyssey アクセスクライアントから Junos Pulse への移行 ...................18

ワイヤレス接続、OAC、および Junos Pulse .............................18

Network Connect から Junos Pulse への移行 ...............................18

iiiCopyright © 2012, Juniper Networks, Inc.

第2章 Junos Pulse Access Control サービスの設定 ............................21

始める前に .........................................................21

Junos Pulse Access Control サービスの概要 ...............................22

Junos Pulse Access Control サービスのロールの設定 ........................23

Pulse Access Control サービスのクライアント接続設定オプション ..............26

Pulse Access Control サービスのクライアント接続設定の作成 .................31

Junos Pulse エンドポイントでの接続状態のセキュリティ保護 ..................34

マシン認証 .........................................................34

Junos Pulse 接続のレルムおよびロールの優先設定 ..........................35

Pulse Access Control サービスに対する資格情報プロバイダ認証 ..............38

位置認識規則の設定 ..................................................39

Access Control サービスコンポーネントセットのオプション .................42

Pulse Access Control サービスのクライアントコンポーネントセットの作成 .....43

エンドポイントセキュリティの監視および Pulse Access Control サービスの管

理 ............................................................45

修復オプション ..................................................46

Pulse Access Control サービスでの修復メッセージの発行 ....................50

Pulse Access Control サービスでの SMS/SCCM 修復の使用 ....................51

Pulse Access Control サービスでの Shavlik 修復の使用 .....................52

Pulse Access Control サービスに対する Enhanced Endpoint Security の有効化 ..54

同じタイプの Pulse サーバー間で Junos Pulse 設定をプッシュする ............56

Pulse の自動アップグレードの有効化または無効化 ..........................58

Junos Pulse ソフトウェアのアップグレード ...............................59

第3章 Junos Pulse Secure Access サービスの設定 .............................61

始める前に .........................................................61

Junos Pulse Secure Access サービスの概要 ...............................62

Junos Pulse および IVS ...........................................63

Junos Pulse Secure Access サービスのロールの設定 .........................63

Pulse Secure Access サービスの一般的なロールオプションの設定 ..........64

Pulse Secure Access サービスのロールオプションの設定 .................67

Pulse Secure Access サービスに対応する Host Checker のロールオプション

の設定 .....................................................70

Pulse Secure Access サービスに対するマシン認証 ..........................70

Pulse Secure Access サービスに対する資格情報プロバイダ認証 ...............71

セキュアアプリケーションマネージャに対する Pulse の設定 .................73

Pulse Secure Access サービスの Pulse 接続設定オプション ...................80

Pulse 接続の設定オプション ...........................................81

接続の確立オプション .............................................83

位置認識規則 ....................................................84

Junos Pulse エンドポイントでの接続状態のセキュリティ保護 ..................85

Pulse Secure Access サービスのクライアント接続設定の作成 ..................85

位置認識規則の設定 ..................................................87

Pulse Secure Access サービスの Junos Pulse コンポーネントセットオプショ

ン ............................................................90

Pulse Secure Access サービスのクライアントコンポーネントセットの作成 ......91

エンドポイントセキュリティの監視および Pulse Secure Access サービスの管

理 ............................................................92

修復オプション ..................................................94

Copyright © 2012, Juniper Networks, Inc.iv


Pulse Secure Access サービスでの修復メッセージの発行 .....................97

Pulse Secure Access サービスでの SMS/SCCM 修復の使用 .....................98

Pulse Secure Access サービスでの Shavlik 修復の使用 ......................99

Pulse Secure Access サービスでの Enhanced Endpoint Security の有効化 ......101

同じタイプの Pulse サーバー間で Junos Pulse 設定をプッシュする ...........103

Pulse の自動アップグレードの有効化または無効化 .........................105

Junos Pulse ソフトウェアのアップグレード ...............................105

iPass Open Mobile と Junos Pulse の統合 ...............................107

Pulse Collaboration Suite の概要 .....................................108

タスクの概要: Pulse Secure Access サーバーでの Pulse Collaboration Suite

の設定 ....................................................109

ミーティングをサポートする Pulse 接続の設定 ........................110

Pulse Secure Access サービスのユーザー Web ポータルを使用したミーティン

グのスケジュール設定 .......................................110

Microsoft Outlook を使用したミーティングのスケジュール設定 ............111

第4章 SRX シリーズゲートウェイでの Junos Pulse の設定 .....................113

Junos Pulse と SRX シリーズゲートウェイ ...............................113

動的 VPN 構成の概要 ................................................114

第5章 Junos Pulse アプリケーションアクセラレーションサービスの設定 .........117

Junos Pulse クライアントのインストール ................................117

Junos Pulse アクセラレーションに対するパーソナルファイアウォールの設

定 ........................................................118

Pulse Secure Access サーバーからの Junos Pulse クライアントのダウンロー

ド ........................................................118

Pulse アプリケーションアクセラレーションゲートウェイからの Junos Pulse

クライアントのダウンロード ...................................119

Junos Pulse クライアントのアンインストール .........................120

ソフトウェア、設定、およびポリシーの管理 ...............................120

Pulse クライアントダウンロードの有効化 ............................120

Pulse クライアントの隣接関係の有効化 ..............................121

Pulse クライアントポリシーの設定 .................................122

Pulse クライアントのステータスの表示 ..............................122

Pulse クライアント設定の表示 .....................................123

Pulse クライアントソフトウェアのアップロード .......................123

Pulse クライアントの配布 .........................................124

SA シリーズゲートウェイを使用した Pulse クライアントの配布 .......124

SMS を使用した Pulse クライアントの配布 ........................125

第6章セッション移行 ....................................................127

セッション移行について ..............................................127

セッション移行の概要 ............................................127

セッション移行およびセッションタイムアウト ........................129

セッション移行のしくみ ..........................................130

セッション移行およびセッション寿命 ................................130

認証サーバーに関するサポート .....................................130

タスクの概要: セッション移行の設定 ....................................131

Pulse クライアント用のセッション移行の設定 .............................132

セッション移行用の IF-MAP 連携型ネットワークの構成 ......................132

vCopyright © 2012, Juniper Networks, Inc.

目次

第7章 Junos Pulse クライアントソフトウェアの配備 ..........................135

Junos Pulse クライアントのインストールの概要 ...........................135

新しい Pulse インストールへの Pulse 設定の追加 .........................137

Web からの Junos Pulse クライアントのインストール .......................140

Pulse サーバー Web ポータルからの Junos Pulse の起動 ....................140

使用に関する注意事項 ............................................141

事前構成ファイルを使用した Windows エンドポイントでの Junos Pulse クライアン

トのインストール ...............................................142

高度なコマンドラインオプションを使用した Pulse クライアントのインストー

ル ........................................................143

例 ........................................................144

Windows エンドポイントでの Pulse インストールの修復 ..................145

事前構成ファイルを使用した OS X エンドポイントでの Junos Pulse クライアントの

インストール ...................................................146

コマンドラインオプションを使用した OS X エンドポイントでの Pulse クライ

アントのインストール ........................................146

Junos Pulse コマンドライン Launcher ...................................147

jamCommand を使用した Junos Pulse 接続のインポート ......................150

第2部 Junos Pulse の互換性

第8章クライアントソフトウェアの機能比較 .................................155

機能比較: Odyssey アクセスクライアントと Junos Pulse ...................155

機能比較: Network Connect および Junos Pulse ...........................159

Pulse 分割トンネリング ..........................................161

第3部モバイルデバイス対応 Junos Pulse

第9章モバイルデバイス対応 Junos Pulse および Junos Pulse Mobile Security

Suite ............................................................165

モバイルデバイス対応 Junos Pulse の概要 ...............................165

Junos Pulse Mobile Security Gateway ...............................166

Pulse モバイルクライアントおよびユーザーエージェント文字列 ..............166

第10章 Apple iOS 対応 Junos Pulse .........................................169

Apple iOS 対応 Junos Pulse の概要 ....................................169

始める前に ....................................................171

Apple iOS 対応 Pulse のロールおよびレルムの設定 .........................171

iOS ユーザーによる Web メールパスワードの保存の許可 ....................175

Pulse iOS クライアント用 Host Checker .................................175

Pulse iOS クライアント用 Host Checker の設定 ...........................176

iOS デバイス対応 Pulse 用 Host Checker ポリシーの実装 ...................179

Junos Pulse VPN App のインストール ....................................180

構成プロファイルの使用 ..............................................181

ログファイルの収集 ................................................182

コマンドを使用した iOS 対応 Pulse App の起動 ...........................182

Copyright © 2012, Juniper Networks, Inc.vi


第11章 Google Android 対応 Junos Pulse ....................................185

Android 対応 Junos Pulse の概要 ......................................185

Android 対応 Pulse のロールおよびレルムの設定 ..........................186

Android ユーザーによる Web メールパスワードの保存の許可 .................188

Pulse Android クライアント用 Host Checker ..............................188

Pulse Android クライアント用 Host Checker の設定 ........................189

Android デバイス対応 Pulse 用 Host Checker ポリシーの実装 ................192

Android 対応 Junos Pulse のエラーメッセージ ...........................193

Android 対応 Junos Pulse の VPN エラーメッセージ ...................193

無効な証明書エラー ..........................................193

セッションの切断エラー .......................................194

VPN 未サポートエラー .......................................194

サインインエラー ...........................................194

データベース操作エラー .......................................195

セッション終了エラー ........................................195

Host Checker エラー .........................................195

第12章 Nokia Symbian デバイス対応 Junos Pulse ..............................197

Symbian 対応 Junos Pulse ............................................197

Symbian デバイス上の Junos Pulse に対する Pulse Secure Access サービスの

設定 ......................................................198

第13章 Windows Mobile デバイス対応 Junos Pulse .............................201

Windows Mobile 対応 Junos Pulse ......................................201

Pulse リリース 1.0、2.0、3.0 と Pulse SAM の接続性 ..................201

Windows Mobile エンドポイントに対する Pulse Secure Access サービスの設定 ..203

Windows Mobile クライアント用 Host Checker の設定 .......................208

Junos Pulse Mobile Security の概要 ....................................210

第4部索引

索引 .............................................................215

viiCopyright © 2012, Juniper Networks, Inc.

目次

Copyright © 2012, Juniper Networks, Inc.viii


表の一覧

このガイドについて .................................................xi

表1: 注意アイコン ...................................................xi

表2: Junos Pulse のドキュメント ......................................xii

第1部 Junos Pulse

第2章 Junos Pulse Access Control サービスの設定 ............................21

表3: Junos Pulse 接続設定の設定可能なオプション .........................27

第3章 Junos Pulse Secure Access サービスの設定 .............................61

表4: Pulse/SAM クライアントの各バージョンの概要 .........................73

表5: Pulse 接続のオプション ..........................................82

第5章 Junos Pulse アプリケーションアクセラレーションサービスの設定 .........117

表6: Pulse アクセラレーションに対するパーソナルファイアウォールの例外 ....118

第7章 Junos Pulse クライアントソフトウェアの配備 ..........................135

表7: Pulse Launcher の引数 ..........................................148

表8: Pulse Launcher のリターンコード .................................149

第2部 Junos Pulse の互換性

第8章クライアントソフトウェアの機能比較 .................................155

表9: Odyssey アクセスクライアントと Junos Pulse との機能比較 .............155

表10: Network Connect および Junos Pulse の機能比較 .....................159

表11: Pulse 分割トンネリング .........................................161

第3部モバイルデバイス対応 Junos Pulse

第9章モバイルデバイス対応 Junos Pulse および Junos Pulse Mobile Security

Suite ............................................................165

表12: モバイルデバイスに対応するユーザーエージェント文字列とクライアント

タイプのペアリング ..............................................168

第13章 Windows Mobile デバイス対応 Junos Pulse .............................201

表13: Pulse/SAM クライアントの各バージョンの概要 ........................202

ixCopyright © 2012, Juniper Networks, Inc.

Copyright © 2012, Juniper Networks, Inc.x


このガイドについて

• 目的 xiページ

• このガイドの対象読者 xiページ

• ドキュメントの表記規則 xiページ

• 関連ドキュメント xiページ

• ドキュメントの入手 xiiページ

• ドキュメントのフィードバック xiiページ

• テクニカルサポートの要求 xiiページ

目的

本書『Junos Pulse 管理ガイド』では、 Junos Pulse について説明します。ネットワーク管理

者の方を対象とし、 Junos Pulse クライアントソフトウェアを使用してネットワークアクセ

スを設定する方法と管理する方法を説明します。

このガイドの対象読者

本書『Junos Pulse 管理ガイド』は、 Junos Pulse クライアントソフトウェアを使用して、

ネットワークアクセスの設定と管理を担当するネットワーク管理者の方を対象としています。

このガイドでは、Junos Pulse をアクセスクライアントとして構成する方法を説明します。

ドキュメントの表記規則

xiページの表1 は、このガイドで使用する注意アイコンを示したものです。

表1: 注意アイコン

説明意味アイコン

重要な機能や手順を示します。情報ノート

データ損失またはハードウェア損傷をもたらす可能性のある状態を示しま

す。

注意

関連ドキュメント

xiiページの表2 は、関連する Junos Pulse のドキュメントを示したものです。

xiCopyright © 2012, Juniper Networks, Inc.

表2: Junos Pulse のドキュメント

説明タイトル

Pulse Mobile Security Suite について記載し、モバイルデバイスにおける

セキュリティの設定および管理を担当するネットワーク管理者を対象とする

手順が含まれています。

Junos Pulse Mobile Security 管理ガイド

Juniper Networks SA シリーズ SSL VPN アプライアンスの構成および保守方

法を記載しています。

Junos Pulse Secure Access サービス管理ガイド

（旧『Secure Access 管理ガイド』）

Unified Access Control ソリューションおよび IC シリーズ 4500 および

6500 デバイスの構成と保守方法を記載します。

Junos Pulse Access Control サービス管理ガイド

（旧『Unified Access Control 管理ガイド』）

JWOS Web インターフェースを使用して、Junos Pulse アプリケーションアク

セラレーションを構成、監視、管理する方法を記載しています。

Junos Pulse Application Acceleration Administration

Guide

Junos OS を起動している SRX シリーズゲートウェイのセキュリティ機能の

使用および構成方法を記載しています。

Junos セキュリティ構成ガイド

ドキュメントの入手

すべての Juniper Networks の技術ドキュメントの最新バージョンを入手するには、Juniper

Networks の Web サイト（http://www.juniper.net/）にある製品ドキュメントページを参照し

てください。

このガイドを含むドキュメント CD を注文するには、販売代理店にお問い合わせください。

ソフトウェアリリースで利用可能な管理情報ベース（MIB）のコピーは、ドキュメント CD に

含まれています。また、http://www.juniper.net/ で入手できます。

ドキュメントのフィードバック

ドキュメントサービスのいっそうの充実に向けて、フィードバック、ご意見・感想、ご提案

などをお寄せくださるようお願いします。 [email protected] へ送信していただ

くか、https://www.juniper.net/cgi-bin/docbugreport/ のドキュメントフィードバックフォー

ムにご記入ください。 E メールで送付される場合は、必ず以下の情報を添付してください。

• ドキュメントまたはトピックの名前

• URL またはページ番号

• ソフトウェアのリリースバージョン（該当する場合）

テクニカルサポートの要求

製品のテクニカルサポートは、Juniper Networks 技術支援センター（JTAC）を通じてご利用

いただけます。お客様が、現在 J-Care または JNASC とサポート契約を結んでおられるか保

証の対象であり、販売後のテクニカルサポートが必要である場合、弊社のツールやリソース

にオンラインでアクセスするか、または JTAC に相談できます。

Copyright © 2012, Juniper Networks, Inc.xii


http://www.juniper.net/

http://www.juniper.net/

mailto:[email protected]

https://www.juniper.net/cgi-bin/docbugreport/

• JTAC ポリシー — 弊社の JTAC の手順およびポリシーを十分ご理解いただくため、

http://www.juniper.net/us/en/local/pdf/resource-guides/7100059-en.pdf の『JTAC ユーザー

ガイド』を参照してください。

• 製品保証 — 製品保証に関する情報は、 http://www.juniper.net/support/warranty/ を参照し

てください。

• JTAC 業務時間 — JTAC センターは 365日 24 時間ご利用いただけます。

セルフヘルプオンラインツールおよびリソース

問題を簡単に素早く解決するために、Juniper Networks では、 Customer Support Center（CSC）

という名前のオンラインセルフサービスポータルを開設し、次のサービスを提供しています。

• CSC の提供内容: http://www.juniper.net/customers/support/

• 既知のバグを検索: http://www2.juniper.net/kb/

• 製品マニュアル: http://www.juniper.net/techpubs/

• 弊社の知識ベースを使用してソリューションおよび質問への回答を探す:

http://kb.juniper.net/

• ソフトウェアの最新バージョンをダウンロード、リリースノートを参照:

http://www.juniper.net/customers/csc/software/

• 関連するハードウェアおよびソフトウェアの通知を技術告示で検索:

http://www.juniper.net/alerts/

• Juniper Networks コミュニティフォーラムに加入、参加:

http://www.juniper.net/company/communities/

• CSC Case Management ツールで問い合わせ: http://www.juniper.net/cm/

製品シリアルナンバーによるサービス資格を確認するには、 Serial Number Entitlement（SNE）

ツール（https://tools.juniper.net/SerialNumberEntitlementSearch/ ）を使用してください。

JTAC へのお問い合わせ

JTAC へのお問い合わせは Web サイトまたは電話でできます。

• http://www.juniper.net/cm/ にある、CSC の Case Management ツールを使用してください。

• 電話の場合は、1-888-314-JTAC（米国、カナダ、メキシコからは無料通話サービス

1-888-314-5822 を利用可）までご連絡ください。

通話料無料番号のない国からの国際電話またはダイヤル直通電話は、

http://www.juniper.net/support/requesting-support.html を参照してください。

xiiiCopyright © 2012, Juniper Networks, Inc.

このガイドについて

http://www.juniper.net/us/en/local/pdf/resource-guides/7100059-en.pdf

http://www.juniper.net/support/warranty/

http://www.juniper.net/customers/support/

http://www2.juniper.net/kb/

http://www.juniper.net/techpubs/

http://kb.juniper.net/

http://www.juniper.net/customers/csc/software/

http://www.juniper.net/alerts/

http://www.juniper.net/company/communities/

http://www.juniper.net/cm/

https://tools.juniper.net/SerialNumberEntitlementSearch/

http://www.juniper.net/cm/

http://www.juniper.net/support/requesting-support.html

Copyright © 2012, Juniper Networks, Inc.xiv


第1部

Junos Pulse

ここでは Junos Pulse を紹介し、 Junos Pulse の機能を説明するとともに、構成の概念も示

します。

• Junos Pulse の概要 3ページ

• Junos Pulse Access Control サービスの設定 21ページ

• Junos Pulse Secure Access サービスの設定 61ページ

• SRX シリーズゲートウェイでの Junos Pulse の設定 113ページ

• Junos Pulse アプリケーションアクセラレーションサービスの設定 117ページ

• セッション移行 127ページ

• Junos Pulse クライアントソフトウェアの配備 135ページ

1Copyright © 2012, Juniper Networks, Inc.

Copyright © 2012, Juniper Networks, Inc.2


第1章

Junos Pulse の概要

• Junos Pulse について 3ページ

• サポートされているネットワークゲートウェイおよび Pulse クライアントのインストール

要件 13ページ

• Junos Pulse クライアントのエラーメッセージへのアクセス（Windows エンドポイン

ト） 13ページ

• Junos Pulse クライアントのエラーメッセージへのアクセス（Mac OS X エンドポイン

ト） 16ページ

• Odyssey アクセスクライアントから Junos Pulse への移行 18ページ

• Network Connect から Junos Pulse への移行 18ページ

Junos Pulse について

Junos®Pulse は、拡張マルチサービスネットワーククライアントです。統合された接続、

位置認識対応ネットワークアクセス、アプリケーションアクセラレーション、セキュリティ、

および選択されたサードパーティサービスをサポートします。 Junos Pulse は、エンドポイ

ントでの Pulse クライアントソフトウェアと Pulse 接続設定の構成、配備、制御をネット

ワーク管理者に任せることにより、ユーザー操作を簡素化します。

注: モバイルデバイス対応 Junos Pulse については、 165ページの「「モバイル

デバイス対応 Junos Pulse の概要」」を参照してください。

Junos Pulse は、クライアントソフトウェアとサーバーソフトウェアで構成されます。クラ

イアントソフトウェアは、LAN および WAN 上の保護されたリソースやサービスへの安全に認

証されたネットワーク接続を可能にします。 Junos Pulse クライアントソフトウェアは、Junos

Pulse Secure Access サービスと接続することにより、企業ネットワークやサービスプロバ

イダのネットワークへのリモートアクセスを提供します。 Junos Pulse アプリケーションア

クセラレーションサービスと連携することにより、アプリケーションアクセラレーション機

能を提供できます。また、Junos Pulse Access Control サービスと連携することにより、LAN

ベースネットワークやアプリケーションへのアクセス向けに、安全でアイデンティティ対応の

NAC も提供します。 Pulse を導入することで、スパイウェア防御やマルウェア対策、パッチ

管理アプリケーションなど、サードパーティ製のエンドポイントセキュリティアプリケーショ

ンを統合できます。また、オンラインミーティングサービスに対応するため、Junos Pulse

Collaboration Suite と統合することもできます。


モバイルデバイス（スマートフォン）のユーザーは、Junos Pulse Secure Access サービスへ

の安全な接続に対応している各アプリケーションストアから Pulse モバイルデバイスアプ

リケーションをインストールします。また、オプションのセキュリティコンポーネントであ

る Junos Pulse Mobile Security Suite を有効にすることもできます。

Windows 対応 Junos Pulse クライアント

Junos Pulse クライアントインターフェース（4ページの図1 を参照してください）には、導

入されている Pulse サービスが左ペインに表示され、選択した項目に関する詳細が右ペイン

に表示されます。 [Connections] （接続）項目には、Pulse 接続が一覧表示されます。各接

続は、特定の Pulse サーバーを介したネットワークアクセスを可能にする一連のプロパティ

で構成されています。 [Security] （セキュリティ）項目は、Juniper Networks Enhanced

Endpoint Security（EES）アプリケーションなど、オプションのセキュリティオプションが

導入されている場合のみ表示されます。 EES を提供するように Pulse サーバーがライセンス

されている場合は EES を有効化し、 Host Checker 構成の一部として導入できます。

[Acceleration] （アクセラレーション）項目は、Pulse クライアントと Pulse アプリケーショ

ンアクセラレーションサービスとの隣接関係が確立されている場合にアクティブになります。

Pulse クライアントインターフェースは、サードパーティ製アプリケーションの選択もサポー

トしています。 4ページの図1 は、そのようなアプリケーションの 1 つである iPass

Networks が Pulse クライアントインターフェースに統合されている様子を示したものです。

図 1: Junos Pulse クライアントインターフェース

Mac OS X 対応 Pulse クライアント

Pulse 3.0 以降では、Mac OS X を実行している Apple コンピュータをサポートしています。

Windows クライアントと同じ方法で、Mac エンドポイントに Pulse を導入できます。 5ペー

ジの図2 は、Mac 対応 Pulse クライアントインターフェースを示したものです。



図 2: Mac 対応 Junos Pulse クライアントインターフェース

Mac エンドポイント対応の Pulse は、以下の動作をサポートしています。

• Junos Pulse Access Control サービスへの接続

• Junos Pulse Secure Access サービスへの接続

Pulse クライアントは、SSL フォールバックモードで Pulse Secure Access サービスに接

続します。

• Host Checker

Mac OS X 対応 Host Checker は、以下のルールと修復アクションをサポートしています。

• ポート

• プロセス

• ファイル

• カスタム IMC

• カスタム指示の有効化

• 強制終了オプション

• ファイルの削除

• 理由文字列の送信


第1章: Junos Pulse の概要

注: Mac 対応 Pulse は、ソフトトークン認証をサポートしていません。

位置認識

位置認識機能を使用すると、エンドポイントの場所に基づいて、自動的にアクティブ化され

る接続を定義できます。 Pulse は、管理者が定義した規則を評価してエンドポイントの位置

を判断します。たとえば、ユーザーが自宅から Junos Pulse Secure Access サービスを介し

て企業ネットワークに接続した場合はセキュアトンネルを自動確立するルールや、オフィス

にいるユーザーが LAN 経由で企業ネットワークに接続した場合は Junos Pulse Access Control

サービス接続を確立するルールを定義できます。位置認識規則は、クライアントの IP ’ア

ドレスとネットワークインターフェース情報に基づきます。

セッション移行

Junos Pulse のセッション移行機能をサポートするようにアクセス環境を構成すると、ユー

ザーはある Pulse サーバーを経由して一度ネットワークにログインするだけで、再認証する

ことなく、別の Pulse サーバーへ安全にアクセスすることができます。たとえば、ユーザー

は自宅で Junos Pulse Secure Access サービス経由で接続し、職場への移動後は再度ログイ

ンしなくても Junos Pulse Access Control サービス経由で接続できます。また、繰り返し資

格情報を提供しなくても、ネットワーク内のさまざまなリソースにアクセスできます。ユー

ザーに対してセッション移行を有効にするには、 IF-MAP フェデレーションが必要です。

中央管理

Junos Pulse の主要な機能の 1 つとして、構成管理を中央で集中的に行うことが挙げられま

す。中央管理を実現するには、Junos Pulse Access Control サービスまたは Junos Pulse

Secure Access サービスを使用し、クライアントに必要なすべての接続を構成してから、Push

Configuration 機能を使用してそれらの構成を他のサーバーにプッシュします。 2 つ以上の

Junos Pulse サーバーがあるネットワークでは、クライアントを特定の Junos Pulse サーバー

にバインドすることができます。クライアントは他の Pulse サーバーから新しい接続を自動

的に選択できますが、クライアントの基本構成設定を更新できるのは、バインドしているサー

バーだけです。

Junos Pulse の接続は、サーバーで定義してクライアントに渡すか、ユーザーがクライアント

で接続を直接追加することができます（ユーザーが接続を追加する機能は、無効にすることが

できます）。’接続には、 Pulse クライアントが特定の Pulse サーバーに接続するために必

要なすべての情報が含まれています。接続は、Junos Pulse のインストール時にエンドポイ

ントにインストールし、後で追加したり更新したりできます。各 Junos Pulse 接続内のオプ

ションを使用することで、管理者はクライアントに対する制御のレベルを定義することができ

ます。接続には、次のオプションが用意されています。

• デフォルトでは、Junos Pulse 経由のネットワーク接続では、ユーザーがログオン資格情報

を保存できます。ログオン時にユーザーに常に資格情報を提示させる場合は、Junos Pulse

管理インターフェースでこの機能を無効にできます。

• 既存の Junos Pulse 接続設定に対して、ユーザーが手動で新しいネットワーク接続を構成

できるかどうかを指定できます。

• 動的接続を許可して、接続設定の配信作業を簡素化することができます。動的接続は、ユー

ザーが Pulse サーバーの Web ポータルにログインし、 Pulse を起動したときに、既存の



Pulse クライアントに自動的にダウンロードされます。また、Junos Pulse の Web インス

トールの一部としてもインストールされます。動的接続は、自動接続ではなく、手動接続

として作成されます。つまり、ユーザーが接続を開始した場合、または Pulse サーバーに

アクセスして、サーバーの Web インターフェースから Pulse を起動した場合だけに実行さ

れます。

• クライアントが未知の証明書を信用できるかどうかを指定できます。

• クライアントのワイヤレス接続環境を管理することを選択できます。 Junos Pulse は、エ

ンドポイントのネイティブワイヤレスサプリカントに依存しますが、クライアントが

Pulse 接続を経由して有線ネットワークに接続したときはすべてのワイヤレス接続を切断す

るように Pulse を設定できます。また、Pulse クライアントがワイヤレスインターフェー

スを経由して接続される場合に使用可能な、許可されたワイヤレスネットワーク（スキャン

リスト）を指定することもできます。

セキュリティ証明書

ユーザーは、CA サーバーを追加したり、サーバーリストを管理したりできません。ブラウ

ザが証明書を扱うのと同じように、 Pulse が証明書を扱います。 Pulse の動的証明書信用オ

プションが接続に対して有効な場合、エンドポイントの証明書ストアで定義された CA からの

証明書でなければ、ユーザーは提示された証明書を受理または拒否できます。

802.1X 接続では、証明書検証の追加レイヤが有効になります。アクセスデバイスで 802.1X

接続を定義する場合は、各 CA に対するサーバー証明書の識別名を指定できます。



適合性および修復

Pulse は、Host Checker をサポートしています。これにより、エンドポイントの状態を評価

し、エンドポイントの重要なソフトウェアを更新することができます。 Host Checker は、

Trusted Network Connect 規格に基づくクライアントサイドのエージェントです。 Junos Pulse

Secure Access サービスおよび Junos Pulse Access Control サービスについては、Host

Checker ポリシーでルールを設定します。これにより、ネットワークへのアクセスが許可され

るエンドポイントのセキュリティ準拠が満たされる最小条件を指定します。この条件を満た

さないエンドポイントは、制限されたアクセス（修復ロール）を提供するロールを使用して接

続できます。 Host Checker は、 Pulse サーバーから Windows および Mac OS X エンドポイ

ントの Pulse クライアントに導入できます。 Windows または Mac OS X エンドポイントでブ

ラウザを使用して Pulse サーバーの Web ポータルに接続すると、 Host Checker がダウンロー

ドされて実行されます。

モバイルクライアント（iOS、Android、Windows Mobile）用の Host Checker は、アプリケー

ションの一部として組み込まれており、Host Checker ポリシーがサーバーで設定され有効化

されている場合に実行されます。ユーザーがモバイルデバイスでブラウザを使用して Pulse

サーバーの Web ポータルに接続する場合、Host Checker はサポートされません。

Mac OS X クライアントでは、Host Checker を使用して以下の操作を実行できます。

• Enhanced Endpoint Security （EES）によるマルウェア保護

ESS は、マルウェア、スパイウェア、ウィルス、ワームがエンドポイントに存在しないこと

を保証します。このようなエンドポイントは、Host Checker のポリシー設定に応じて制限

または隔離することができます。 EES は、 Pulse Secure Access サービスおよび Junos

Pulse Access Control サービスのオプション機能であり、ライセンスが必要です。

• ウィルスシグネチャの監視

Host Checker は、ウィルスシグネチャ、オペレーティングシステム、ソフトウェアバー

ジョン、およびクライアントコンピュータにインストールされているパッチが最新である

ことを監視および確認するように設定できます。特定の基準を満たしていないエンドポイ

ントには、自動修復を設定することができます。

• パッチ管理情報の監視およびパッチ配備

Host Checker ポリシーは、Windows エンドポイントのオペレーティングシステムの’サー

ビスパック、ソフトウェアバージョン、またはデスクトップアプリケーションのパッチ

バージョンの適合性をチェックするように設定できます。

サーバーおよび Junos Pulse Access Control サービスは、修復指示（どのパッチまたはソ

フトウェアが非適合なのかを示すメッセージや、エンドポイントがパッチを取得できるリン

クなど）を送信することができます。

• パッチ修復オプション

Pulse および Host Checker は、Microsoft システム管理サーバー、 Microsoft システム

センター構成マネージャ（SMS/SCCM）または Shavlik パッチ配備エンジンによってエンドポ

イントの修復をサポートします。 SMS/SCCM の場合、 Pulse は事前にインストールされた

SMS/SCCM クライアントをトリガーし、事前構成された SMS/SCCM サーバーからパッチを取

得します。 Shavlik の場合は、パッチ配備エンジンを使用します。これにより、Pulse は

修復が必要なエンドポイントにパッチをダウンロードします。 Shavlik は、Microsoft など



のベンダーの Web サイトから直接パッチを提供します（Shavlik 修復にはインターネット

接続が必要です）。 Shavlik パッチ管理はオプションの機能です。 Shavlik によるパッチ

の監視および配備には、別途ライセンスが必要です。

• エンドポイントの設定

カスタムルールを設定することで、Host Checker にサードパーティ製アプリケーション、

ファイル、プロセス、ポート、レジストリキー、およびカスタム DLL をチェックさせるこ

とができます。

Pulse モバイルクライアントは、OS ごとに異なる一連の Host Checker 機能をサポートしま

す。モバイルクライアント対応 Host Checker の詳細については、 179ページの「「iOS デバ

イス対応 Pulse 用 Host Checker ポリシーの実装」」、 192ページの「「Android デバイス対

応 Pulse 用 Host Checker ポリシーの実装」」、および 201ページの「「Windows Mobile 対応

Junos Pulse」」を参照してください。

2 要素認証

Pulse は、ソフトトークン、ハードトークン、およびスマートカードの各オーセンティケー

タを使用した RSA SecurID 認証をサポートしています。この場合、 SecurID ソフトウェア

（RSA クライアント 4.1 以上）がクライアントマシンにインストールされている必要があり

ます。

注: Mac 対応 Pulse は、ソフトトークン認証をサポートしていません。

注: Junos Pulse がサポートする機能のリストについては、 155ページの「「機能比

較: Odyssey アクセスクライアントおよび Junos Pulse」」および 159ページの

「「機能比較: Network Connect および Junos Pulse」」を参照してください。

Junos Pulse Collaboration Suite の統合

Junos Pulse Collaboration Suite（旧 Secure Meeting）は、 Windows、Mac OS X、および iOS

の Pulse インターフェースからアクセスできます（iOS クライアントは R3.2 以降でなけれ

ばなりません）。Junos Pulse Collaboration Suite を使用することで、ユーザーは安全なオ

ンラインミーティングをスケジュール設定したり、ミーティングに参加したりできます。ミー

ティングでは、安全な接続を介して他のユーザーとデスクトップおよびアプリケーションを

共有できます。ミーティング参加者は、デスクトップのリモート制御を有効化し、テキスト

チャットを使用することで、共同作業を行うことができます。

バインドされているクライアントとバインドされていないクライアント

Pulse 設定管理のその他の機能として、 Pulse クライアントを単一の Pulse サーバーにバイ

ンドする機能が挙げられます。バインドするサーバーは、初期の Pulse 設定を提供するサー

バーです。 Junos Pulse クライアントを特定のサーバーにバインドすることで、クライアント

が他の Pulse サーバーにアクセスした場合でも、別の設定を受け取ることがなくなります。

137ページの「「新しい Pulse インストールへの Pulse 設定の追加」」では、バインディン

グプロセスが動作する仕組みについて詳しく説明しています。



バインドされている Junos Pulse クライアントとされていないクライアントの動作は、以下

のとおりです。

• バインドされているクライアント—バインドされているクライアントは、特定の Pulse サー

バーによって管理されます。エンドポイントにインストールする Junos Pulse 接続とソフ

トウェアコンポーネントは、Pulse 管理者が定義します。 Pulse クライアントが、そのク

ライアントを管理する Pulse サーバーに接続すると、そのサーバーが設定とソフトウェア

コンポーネントの更新を自動的に提供します。管理者は、ユーザーに対して接続の追加や削

除、変更を許可することができます。管理者は、動的接続（ユーザーがブラウザを使用

して Pulse サーバーにログインしたときに、サーバーによって追加される接続）を許可する

こともできます。動的接続を使用すると、バインドされているクライアントは、バインド

している Pulse サーバーとは別のサーバーから接続を追加することができるようになりま

す。動的接続は、自動接続ではなく、手動接続として作成されます。つまり、ユーザーが

接続を開始した場合、または Pulse サーバーにアクセスして、サーバーの Web インター

フェースから Pulse を起動した場合だけに実行されます。

バインドされているエンドポイントは、バインドしているサーバーから接続設定オプション

と接続を受け取りますが、Pulse クライアントソフトウェアは、自動アップグレードオプ

ションが有効になっている任意の Pulse サーバーからアップグレードさせることができま

す。

• バインドされていないクライアント—バインドされていないクライアントは、そのユーザー

によって管理されます。 Junos Pulse クライアントソフトウェアは、接続設定を持たない

状態でインストールされます。接続は、ユーザーが手動で追加することになります。動的

接続は、Pulse サーバーの Web ポータルにアクセスすることで追加できます。バインドさ

れていないクライアントは、クライアント設定が定義されているサーバーであっても、Pulse

サーバーから設定の更新を受け取りません。

Pulse Access Control サービスおよび Pulse Secure Access サービスの配備オプション

Junos Pulse Access Control サービスおよび Pulse Secure Access サービスでは、Windows

および Mac OS X クライアントから任意の Pulse サーバーに接続するために必要なすべての接

続を配備できます。

注: モバイルデバイス対応 Pulse クライアントは、各 App ストアで配信されて

います。モバイルデバイス対応 Junos Pulse については、 165ページの「「モバ

イルデバイス対応 Junos Pulse の概要」」を参照してください。

Junos Pulse Access Control サービスおよび Pulse Secure Access サービスは、以下の配備

オプションをサポートしています。

• Web インストール—Windows または Mac OS X エンドポイントが接続とサービスに必要とする

すべての設定を作成し、 Pulse サーバーの Web ポータルに接続するエンドポイントにソフ

トウェアをインストールします。Pulse サーバーには、デフォルトのクライアント接続設定

とクライアントコンポーネントセットが用意されています。これらのデフォルト設定を利

用すれば、接続設定またはコンポーネントセットを新規に作成しなくても Junos Pulse を

ユーザーに配備できます。クライアントのデフォルト設定では動的接続が許可されており、

接続に必要なコンポーネントだけがインストールされます。



• デフォルトインストーラ—デフォルトの Junos Pulse インストーラパッケージ（Windows

の場合は .msi 形式、Mac OS X の場合は .dmg 形式）は、Pulse サーバーソフトウェアに

含まれています。このデフォルトインストーラをエンドポイントに配布して実行し、その

後でユーザー側で接続を作成してもらうことができます。また、ユーザーに Pulse サーバー

にアクセスしてもらい、サーバーの’ Web ポータルを使用して認証し、初期設定を受け取っ

てもらい、今後の設定の更新に対応するために、そのクライアントをサーバーにバインドす

ることもできます。ユーザーは、動的接続が有効になっている Pulse サーバーのユーザー

Web ポータルにアクセスすることで、他の Pulse サーバーへの接続を自動的にインストー

ルすることができます（Pulse クライアントの設定で、動的接続が許可されている場合）。

動的接続は、クライアントが特定のサーバーに接続できるように事前定義された接続パラ

メータのセットです。ユーザーが Pulse サーバーのユーザー Web ポータルにログインで

きる場合、接続パラメータがダウンロードされて Junos Pulse クライアントにインストール

されます。動的接続は、自動接続ではなく、手動接続として作成されます。つまり、ユー

ザーが接続を開始した場合、または Pulse サーバーにアクセスして、サーバーの Web イン

ターフェースから Pulse を起動した場合だけに実行されます。

• 事前構成されたインストーラ—エンドポイントが接続とサービスに必要とする接続設定を作

成し、設定ファイル（.jnprpreconfig）をダウンロードして、デフォルトの Pulse インス

トールプログラムをダウンロードします。 Windows エンドポイントの場合は、設定ファイ

ルをオプションとして指定し、msiexec コマンドを使用して Pulse インストールプログラ

ムを実行します。 OS X エンドポイントの場合は、デフォルトのインストーラを実行してか

ら、別のコマンドを使用して .jnprpreconfig ファイルをインポートします。

注: モバイルデバイス対応 Junos Pulse では、Windows エンドポイント対応 Pulse

や Mac エンドポイント対応 Pulse とは別の配備モデルを使用します。モバイル

デバイス対応 Pulse については、163ページの「モバイルデバイス対応 Junos

Pulse」を参照してください。

アプリケーションアクセラレーションの配備オプション

Junos Pulse クライアントは、クライアントシステムとネットワークの Junos Pulse アプリ

ケーションアクセラレーションサービス間のトラフィックを高速化します。 Pulse アプリ

ケーションアクセラレーションサービスと Pulse クライアントは自動的に相互を検出し、

ユーザーが介入することなくトラフィックの高速化を開始します。 Junos Pulse アプリケー

ションアクセラレーションサービスは、以下の配備オプションをサポートしています。

• 管理者は、Pulse のダウンロードを有効化し、 Pulse クライアントの設定を構成できます。

これにより、ユーザーは JWOS 6.1 以降から Junos Pulse クライアントをダウンロードでき

ます。ライセンスがある場合は、 Junos Pulse の選択肢が Pulse サーバーの Web インター

フェースのタスクバーに表示されます。

• Junos Pulse クライアントは、ユーザーが Junos Pulse Secure Access サービスにアクセス

したときに自動的にダウンロードすることができます。ソフトウェアリリース 7.0 以降を

実行する SA シリーズ SSL VPN システムでは、アプリケーションアクセラレーションサー

ビスに対応した App Acceleration 接続を設定し、Pulse クライアントソフトウェアと一

緒にインストールすることができます。また、 Junos Pulse Access Control サービスから

アプリケーションアクセラレーション接続を配備することもできます。 Pulse Access

Control サービスは、 WAN アプリケーションアクセラレーションが使用されていない環境

での LAN アクセスに対応したサービスですが、Pulse Access Control サービスには任意の



タイプの Pulse 接続を導入できます。これにより、ユーザーに Pulse を配備する方法に柔

軟性を持たせることができます。

注: モバイルデバイス対応 Junos Pulse は、アプリケーションアクセラレーショ

ンをサポートしていません。モバイルデバイス対応 Pulse については、163ページ

の「モバイルデバイス対応 Junos Pulse」を参照してください。

SRX シリーズゲートウェイの配備オプション

エンドポイントでは、Junos Pulse クライアントソフトウェアを使用することで、Junos OS

リリース 10.2 を実行し、動的 VPN アクセスが有効にされ設定されている SRX シリーズゲー

トウェイに接続することができます。 SRX シリーズゲートウェイ接続の配備オプションの説

明は、以下のとおりです。

• 接続タイプ「Firewall」を使用する接続を作成し、Pulse Secure Access サービスまたは

Junos Pulse Access Control サービスから”配備できます。

• Junos Pulse インストーラは、Pulse サーバーまたは Juniper Networks Web からダウン

ロードして、SMS/SCCM などのローカルの配布方法でインストールできます。 Pulse のイン

ストール後に、ユーザー側で SRX ゲートウェイへの接続を作成します。

注: モバイルデバイス対応 Junos Pulse は、 Junos Pulse Secure Access サービ

スだけにアクセスできます。モバイルデバイス対応 Pulse については、 163ペー

ジの「モバイルデバイス対応 Junos Pulse」を参照してください。

自動ソフトウェア更新

エンドポイントに Junos Pulse クライアントソフトウェアを配備すると、ソフトウェア更新

が自動的に実行されます。サーバーで Junos Pulse 設定をアップグレードすると、次回の接

続時に、更新されたソフトウェアコンポーネントがクライアントにプッシュされます（この

自動アップグレード機能は無効にできます）。

注: 802.1x に基づいた接続を行うように Junos Pulse を設定した場合、 Windows

XP エンドポイントでは、Pulse をアップグレードしたときに再起動が要求される場

合があります。

新しい接続に必要な追加の Pulse ソフトウェアコンポーネントは、必要に応じてクライアン

トに配信されます。ネットワーク接続プロパティは、Pulse サーバーで定義されているクラ

イアントのロールに応じて接続時にクライアントに渡され、クライアントコンピュータに格

納されます。

関連項目 155ページの機能比較: Odyssey アクセスクライアントおよび Junos Pulse•

• 159ページの機能比較: Network Connect および Junos Pulse

• 127ページのセッション移行について



• 58ページのPulse の自動アップグレードの有効化または無効化

• 142ページの事前構成ファイルを使用した Windows エンドポイントでの Junos Pulse クライ

アントのインストール

• 146ページの事前構成ファイルを使用した OS X エンドポイントでの Junos Pulse クライアン

トのインストール

サポートされているネットワークゲートウェイおよび Pulse クライアントのインストール要件

サポートされているプラットフォームとインストール要件の詳細については、『Junos Pulse

Supported Platforms Guide』を参照してください。このガイドは、

http://www.juniper.net/support/products/pulse から入手できます。モバイルデバイス対応

Pulse については、163ページの「モバイルデバイス対応 Junos Pulse」を参照してください。

関連項目 3ページのJunos Pulse について•

Junos Pulse クライアントのエラーメッセージへのアクセス（Windows エンドポイント）

Junos Pulse クライアントのエラーメッセージと警告メッセージは、エンドポイントのメッ

セージカタログファイルに記述されています。各メッセージは、問題の内容を簡単に示した

短い説明と、より具体的な内容と対処方法を示した長い説明で構成されています。いくつか

のメッセージカタログファイルは Junos Pulse コンポーネントの一部として提供されてお

り、そのコンポーネントがエンドポイントにインストールされた場合のみインストールされま

す。

すべてのメッセージカタログファイルはローカライズされています。どの言語であるかは、

ファイル名によって示されます。たとえば、 MessageCatalogConnMgr_EN.txt は英語版のファ

イルであることを示します。各言語は、以下のようなファイル名の表記規則で示されます。

• DE—ドイツ語

• EN—英語

• ES—スペイン語

• FR—フランス語

• JA—日本語

• KO—韓国語

• ZH—中国語（繁体字）

• ZH-CN—中国語（簡体字）



http://www.juniper.net/support/products/pulse

Junos Pulse エンドポイントにインストールされるメッセージカタログファイルは次のとお

りです。

• \Program Files\Common Files\Juniper Networks\8021xAccessMethod\

MessageCatalog8021xAM_DE.txt

MessageCatalog8021xAM_EN.txt

MessageCatalog8021xAM_ES.txt

MessageCatalog8021xAM_FR.txt

MessageCatalog8021xAM_JA.txt

MessageCatalog8021xAM_KO.txt

MessageCatalog8021xAM_ZH-CN.txt

MessageCatalog8021xAM_ZH.txt

• \Program Files\Common Files\Juniper Networks\Connection Manager\

MessageCatalogConnMgr_DE.txt

MessageCatalogConnMgr_EN.txt

MessageCatalogConnMgr_ES.txt

MessageCatalogConnMgr_FR.txt

MessageCatalogConnMgr_JA.txt

MessageCatalogConnMgr_KO.txt

MessageCatalogConnMgr_ZH-CN.txt

MessageCatalogConnMgr_ZH.txt

• \Program Files\Common Files\Juniper Networks\eapService\

MessageCatalogEapAM_DE.txt

MessageCatalogEapAM_EN.txt

MessageCatalogEapAM_ES.txt

MessageCatalogEapAM_FR.txt

MessageCatalogEapAM_JA.txt

MessageCatalogEapAM_KO.txt

MessageCatalogEapAM_ZH-CN.txt

MessageCatalogEapAM_ZH.txt

• \Program Files\Common Files\Juniper Networks\Integration\

MessageCatalogIntegrationAM_DE.txt

MessageCatalogIntegrationAM_EN.txt

MessageCatalogIntegrationAM_ES.txt

MessageCatalogIntegrationAM_FR.txt

MessageCatalogIntegrationAM_JA.txt

MessageCatalogIntegrationAM_KO.txt

MessageCatalogIntegrationAM_ZH-CN.txt

MessageCatalogIntegrationAM_ZH.txt

• \Program Files\Common Files\Juniper Networks\iveConnMethod\

MessageCatalogIveAM_DE.txt

MessageCatalogIveAM_EN.txt

MessageCatalogIveAM_ES.txt

MessageCatalogIveAM_FR.txt

MessageCatalogIveAM_JA.txt

MessageCatalogIveAM_KO.txt

MessageCatalogIveAM_ZH-CN.txt



MessageCatalogIveAM_ZH.txt

• \Program Files\Common Files\Juniper Networks\JamUI\

MessageCatalogPulseUI_DE.txt

MessageCatalogPulseUI_EN.txt

MessageCatalogPulseUI_ES.txt

MessageCatalogPulseUI_FR.txt

MessageCatalogPulseUI_JA.txt

MessageCatalogPulseUI_KO.txt

MessageCatalogPulseUI_ZH-CN.txt

MessageCatalogPulseUI_ZH.txt

PulseResource_DE.txt

PulseResource_EN.txt

PulseResource_ES.txt

PulseResource_FR.txt

PulseResource_JA.txt

PulseResource_KO.txt

PulseResource_ZH-CN.txt

PulseResource_ZH.txt

• \Program Files\Common Files\Juniper Networks\JUNS\

MessageCatalogCommon_DE.txt

MessageCatalogCommon_EN.txt

MessageCatalogCommon_ES.txt

MessageCatalogCommon_FR.txt

MessageCatalogCommon_JA.txt

MessageCatalogCommon_KO.txt

MessageCatalogCommon_ZH-CN.txt

MessageCatalogCommon_ZH.txt

• \Program Files\Common Files\Juniper Networks\vpnAccessMethod\

MessageCatalogVpnAM_DE.txt

MessageCatalogVpnAM_EN.txt

MessageCatalogVpnAM_ES.txt

MessageCatalogVpnAM_FR.txt

MessageCatalogVpnAM_JA.txt

MessageCatalogVpnAM_KO.txt

MessageCatalogVpnAM_ZH-CN.txt

MessageCatalogVpnAM_ZH.txt

• \Program Files\Common Files\Juniper Networks\WX Client\

MessagecatalogWxAM_DE.txt

MessagecatalogWxAM_EN.txt

MessagecatalogWxAM_ES.txt

MessagecatalogWxAM_FR.txt

MessagecatalogWxAM_JA.txt

MessagecatalogWxAM_KO.txt

MessagecatalogWxAM_ZH-CN.txt

MessagecatalogWxAM_ZH.txt




• 16ページのJunos Pulse クライアントのエラーメッセージへのアクセス（Mac OS X エンド

ポイント）

Junos Pulse クライアントのエラーメッセージへのアクセス（Mac OS X エンドポイント）

Junos Pulse クライアントのエラーメッセージと警告メッセージは、OS X エンドポイントの

メッセージカタログファイルに記述されています。各メッセージは、問題の内容を簡単に示

した短い説明と、より具体的な内容と対処方法を示した長い説明で構成されています。いく

つかのメッセージカタログファイルは Junos Pulse コンポーネントの一部として提供されて

おり、そのコンポーネントがエンドポイントにインストールされた場合のみインストールされ

ます。

すべてのメッセージカタログファイルはローカライズされています。どの言語であるかは、

ファイル名によって示されます。たとえば、 MessageCatalogPulseUI_EN.txt は英語版のファ

イルであることを示します。各言語は、以下のようなファイル名の表記規則で示されます。

• DE—ドイツ語

• EN—英語

• ES—スペイン語

• FR—フランス語

• JA—日本語

• KO—韓国語

• ZH—中国語（繁体字）

• ZH-CN—中国語（簡体字）

Mac OS X エンドポイントで Pulse のカタログファイルを表示するには、 Finder を使用して

Pulse アプリケーションのパッケージの内容を表示します。 Pulse エンドポイントにインス

トールされるメッセージカタログファイルは次のとおりです。

• Contents/Plugins/ConnectionManager

MessageCatalogConnMgr_DE.txt

MessageCatalogConnMgr_EN.txt

MessageCatalogConnMgr_ES.txt

MessageCatalogConnMgr_FR.txt

MessageCatalogConnMgr_JA.txt

MessageCatalogConnMgr_KO.txt

MessageCatalogConnMgr_ZH-CN.txt

MessageCatalogConnMgr_ZH.txt

• Contents/Plugins/eapService

MessageCatalogEapAM_DE.txt

MessageCatalogEapAM_EN.txt

MessageCatalogEapAM_ES.txt

MessageCatalogEapAM_FR.txt

MessageCatalogEapAM_JA.txt

MessageCatalogEapAM_KO.txt



MessageCatalogEapAM_ZH-CN.txt

MessageCatalogEapAM_ZH.txt

• Contents/Plugins/iveConnMethod

MessageCatalogIveAM_DE.txt

MessageCatalogIveAM_EN.txt

MessageCatalogIveAM_ES.txt

MessageCatalogIveAM_FR.txt

MessageCatalogIveAM_JA.txt

MessageCatalogIveAM_KO.txt

MessageCatalogIveAM_ZH-CN.txt

MessageCatalogIveAM_ZH.txt

• Contents/Plugins/JUNS

MessageCatalogCommon_DE.txt

MessageCatalogCommon_EN.txt

MessageCatalogCommon_ES.txt

MessageCatalogCommon_FR.txt

MessageCatalogCommon_JA.txt

MessageCatalogCommon_KO.txt

MessageCatalogCommon_ZH-CN.txt

MessageCatalogCommon_ZH.txt

• Contents/Plugins/TnccPlugin

MessageCatalogTnccPlugin_DE.txt

MessageCatalogTnccPlugin_EN.txt

MessageCatalogTnccPlugin_ES.txt

MessageCatalogTnccPlugin_FR.txt

MessageCatalogTnccPlugin_JA.txt

MessageCatalogTnccPlugin_KO.txt

MessageCatalogTnccPlugin_ZH-CN.txt

MessageCatalogTnccPlugin_ZH.txt

• Contents/Resources

MessageCatalogPulseUI_DE.txt

MessageCatalogPulseUI_EN.txt

MessageCatalogPulseUI_ES.txt

MessageCatalogPulseUI_FR.txt

MessageCatalogPulseUI_JA.txt

MessageCatalogPulseUI_KO.txt

MessageCatalogPulseUI_ZH-CN.txt

MessageCatalogPulseUI_ZH.txt

• Contents/Resources

PulseResource_DE.txt

PulseResource_EN.txt

PulseResource_ES.txt

PulseResource_FR.txt

PulseResource_JA.txt

PulseResource_KO.txt

PulseResource_ZH-CN.txt



PulseResource_ZH.txt

• 3ページのJunos Pulse について

• 13ページのJunos Pulse クライアントのエラーメッセージへのアクセス（Windows エンド

ポイント）

Odyssey アクセスクライアントから Junos Pulse への移行

エンドポイントには、Junos Pulse と Odyssey アクセスクライアント（OAC）を同時にイン

ストールできます。以前のバージョンの OAC がエンドポイントにインストールされている場

合は、Pulse をインストールする前にユーザーがアップグレードまたはアンインストールする

必要があります。 OAC がインストールされているかどうかは、Pulse のインストールプログ

ラムによってチェックされます。 OAC がインストールされていて、その OAC に互換性がある

場合、Pulse のインストールが続行されます。 OAC に互換性がない場合、OAC をアンインス

トールまたはアップグレードするように促すメッセージが表示されます。

サポートされているプラットフォームとインストール要件の詳細については、『Junos Pulse

Supported Platforms Guide』を参照してください。このガイドは、

http://www.juniper.net/support/products/pulse から入手できます。

ワイヤレス接続、OAC、および Junos Pulse

エンドポイントのワイヤレスサプリカントとして機能している場合、 OAC は、ワイヤレス

ネットワークへのログイン要求を処理し、認証サーバーにログイン認証情報を渡します。ま

た、エンドポイントがローミングしている間は接続を維持します。 OAC は、エンドポイント

のワイヤレスサプリカントとして引き続き使用できます。また、Pulse をインストールした

後でアンインストールし、ネイティブの Windows ワイヤレスサプリカントなどのワイヤレス

接続ソフトウェアをアクティブにすることもできます（エンドポイントにインストールされて

いる場合）。 Junos Pulse には、ワイヤレスサプリカントコンポーネントが含まれていま

せん。エンドポイントが Junos Pulse を実行していて OAC を実行していない場合は、ワイヤ

レス接続に Windows サプリカントを使用するようにエンドポイントを設定する必要がありま

す。

関連項目 155ページの機能比較: Odyssey アクセスクライアントおよび Junos Pulse•

• 159ページの機能比較: Network Connect および Junos Pulse

Network Connect から Junos Pulse への移行

Junos Pulse と Network Connect（NC）は、エンドポイントで同時に実行できます。

注: NC がインストールされているかどうかは、Pulse のインストールプログラム

によってチェックされます。 NC リリース 6.3 以降が検出された場合、Pulse の

インストールは続行されます。 NC がリリース 6.3 以降ではない場合、NC をアッ

プグレードするように促すメッセージが表示されます。サポートされているプラッ

トフォームとインストール要件の詳細については、『Junos Pulse Supported

Platforms Guide』を参照してください。このガイドは、






Junos Pulse Secure Access サービスに接続するエンドポイントでは、 Windows のメインデ

スクトップ上で Junos Pulse が動作している場合は、セキュアバーチャルワークスペース

（SVW）内で Pulse を起動することはできません。 Pulse は SVW との連動をサポートしてい

ません。

関連項目 • 159ページの機能比較: Network Connect および Junos Pulse

• 155ページの機能比較: Odyssey アクセスクライアントおよび Junos Pulse





第2章

Junos Pulse Access Control サービスの設定

• 始める前に 21ページ

• Junos Pulse Access Control サービスの概要 22ページ

• Junos Pulse Access Control サービスのロールの設定 23ページ

• Pulse Access Control サービスのクライアント接続設定オプション 26ページ

• Pulse Access Control サービスのクライアント接続設定の作成 31ページ

• Junos Pulse エンドポイントでの接続状態のセキュリティ保護 34ページ

• マシン認証 34ページ

• Junos Pulse 接続のレルムおよびロールの優先設定 35ページ

• Pulse Access Control サービスに対する資格情報プロバイダ認証 38ページ

• 位置認識規則の設定 39ページ

• Access Control サービスコンポーネントセットのオプション 42ページ

• Pulse Access Control サービスのクライアントコンポーネントセットの作成 43ページ

• エンドポイントセキュリティの監視および Pulse Access Control サービスの管理 45ページ

• Pulse Access Control サービスでの修復メッセージの発行 50ページ

• Pulse Access Control サービスでの SMS/SCCM 修復の使用 51ページ

• Pulse Access Control サービスでの Shavlik 修復の使用 52ページ

• Pulse Access Control サービスに対する Enhanced Endpoint Security の有効化 54ページ

• 同じタイプの Pulse サーバー間で Junos Pulse 設定をプッシュする 56ページ

• Pulse の自動アップグレードの有効化または無効化 58ページ

• Junos Pulse ソフトウェアのアップグレード 59ページ

始める前に

Junos Pulse の設定を開始する前に、デバイスのネットワーク設定を構成しておく必要があり

ます。また、認証サーバーやサインイン設定など、その他の認証設定も定義しておく必要が

あります。認証設定や Host Checker の設定は、 Junos Pulse のインストールに直接影響し

ます。これは、エンドポイントから保護されているリソースへのアクセスが許可される条件を

定義できるためです。 Host Checker の詳細については、『Junos Pulse Access Control サー

ビス管理ガイド』を参照してください。



Junos Pulse Access Control サービスの概要

Pulse クライアントが Junos Pulse Access Control サービスに接続できるようにするには、

ユーザーが認証を要求したときに、管理者が作成したロールのマッピングとオプションのセ

キュリティプロファイルに基づいてロールが割り当てられるようにサービスを設定します。

ユーザーとデバイスに特定リソースへのアクセスが許可されるのは、そのレルムに対する適切

な資格情報を提示でき、適切なロールが割り当てられており、そのエンドポイントがセキュリ

ティ制限を満たしている場合に限られます。ユーザーは、管理者が定義したセキュリティ制

限を満たしていないエンドポイントからネットワークへ接続しようとしても、そのレルムや

ロールにアクセスできません。

Pulse を設定するには、Pulse をどのように配備したいかを決めておく必要があります。 Junos

Pulse は、次の 1 つまたは複数の方法で配備できます。

• デフォルトを使用するか、Junos Pulse のデフォルトのコンポーネントセットとデフォル

トの接続設定に変更を加えてから、ユーザーに Pulse サーバーのユーザー Web ポータルに

ログインしてもらい、Pulse をダウンロードおよび配備します。インストールが完了する

と、ユーザーにはネットワークリソースへアクセスするために必要なすべての接続が与え

られます。

• エンドポイントが接続とサービスに必要とする接続設定を作成し、設定ファイル

（.jnprpreconfig）をダウンロードして、デフォルトの Pulse インストールプログラムを

ダウンロードします。 Windows エンドポイントの場合は、設定ファイルをオプションとし

て指定し、msiexec コマンドを使用して Pulse インストールプログラムを実行します。

OS X エンドポイントの場合は、デフォルトのインストーラを実行してから、別のコマンド

を使用して .jnprpreconfig ファイルをインポートします。

• 事前構成されていない Junos Pulse を配布します。デフォルトの Junos Pulse インストー

ルファイルをダウンロードし、各組織の標準的なソフトウェア配布方法に従って、そのファ

イルをエンドポイントに配布します。インストーラには事前構成された接続設定が含まれ

ていないため、ユーザーが手動でネットワーク接続を定義する必要があります。ユーザー

は、 Pulse サーバーの Web ポータルにアクセスしてログインすることで、 Pulse サーバー

の動的接続を自動的にダウンロードすることもできます。動的接続は、自動接続ではなく、

手動接続として作成されます。つまり、ユーザーが接続を開始した場合、または Pulse サー

バーにアクセスして、サーバーの Web インターフェースから Pulse を起動した場合だけに

実行されます。

関連項目 120ページのPulse クライアントダウンロードの有効化•







Junos Pulse Access Control サービスのロールの設定

ロールでは、ロールにマップされるユーザーのネットワークセッションプロパティを指定し

ます。以下の手順は、Juno Pulse を導入するロールに適用される設定オプションについて説

明したものです。ロール設定オプションの詳細については、『Junos Pulse Access Control

サービス管理ガイド』を参照してください。

Pulse エンドポイントにロールを設定するには、以下の手順に従います。

1. 管理コンソールで、[Users]（ユーザー） > [User Roles]（ユーザーロール） > [New User

Role]（新規ユーザーロール）を選択します。

2. ロールの名前を入力し、オプションで説明を入力します。

3. [Save Changes]（変更を保存）をクリックします。ロールの設定タブが表示されます。

4. 以下のオプションを設定します。

[General]（一般） > [Restrictions]（制限）

• [Source IP]（ソース IP）—エンドポイントの IP アドレスまたは IP アドレスの範囲に

基づいて、ロールに割り当てを行うことができます。ソース IP アドレスの制限を有効

化するには、 [Allow or deny users from the following IP addresses]（次の IP アド

レスからユーザーを許可または拒否する）を選択し、IP アドレスまたはアドレスの範囲

を追加します。指定した IP アドレスからユーザーがサインインするのを許可するには

[Allow]（許可）を選択し、サインインを阻止するには [Deny]（拒否）を選択します。

次に [Add]（追加）をクリックします。変更が完了したら、[Save Changes]（変更を保

存）をクリックします。

複数の IP アドレスを追加した場合は、IP アドレスの横にあるチェックボックスを選

択し、上矢印ボタンをクリックすることによって、優先度の最も高い制限を一番上に移

動します。たとえば、ワイヤレスネットワーク（10.64.4.100）のすべてのユーザーへ

のアクセスを拒否し、他のすべてのネットワークユーザー（0.0.0.0）へのアクセスを

許可するには、ワイヤレスネットワークアドレス（10.64.4.100）をリストの一番上に

移動し、（0.0.0.0）ネットワークをワイヤレスネットワークの下に移動します。

• [Browser]（ブラウザ）—Pulse Access Control サービスへの Web アクセスについて、

特定のタイプのブラウザを使用するように強制できます。 [Browser]（ブラウザ）オプ

ションは、動的接続や、ロールを介した Pulse のインストールなど、 Pulse Access

Control サービスに Web ポータルからアクセスする操作にのみ適用されます。 Junos

Pulse クライアントと Pulse サーバーの通常の接続操作は、ブラウザ制限の影響を受け

ません。

• [Certificate]（証明書）—適切な認証機関の指定したクライアントサイド証明書を所有

するエンドポイントからサインインするようにユーザーに要求できます。このオプショ

ンを有効にする前に、管理コンソールの [Trusted Client CAs]（信頼されたクライアン

ト CA）ページで、クライアントサイド証明書が設定されていることを確認してくださ

い。

• [Host Checker]—[Host Checker] オプションを使用することで、Host Checker ポリシー

を有効化し、ロールに対して 1 つまたは複数のポリシーを選択したり、エンドポイント

がすべての Host Checker ポリシーまたは選択したいずれかのポリシーを満たす必要が


第2章: Junos Pulse Access Control サービスの設定

あるかどうかを指定したりできます。 Host Checker ポリシーは、[Available Policies]

（使用可能なポリシー）として表示されます。このポリシーは、管理コンソールの

[Authentication]（認証）セクションで、エンドポイントセキュリティ設定の一部とし

て事前に設定しておく必要があります。認証および Host Checker ポリシーの設定に

ついては『Junos Pulse Access Control サービス管理ガイド』を参照してください。

[General]（一般） > [Session]（セッション）オプション

• [Session lifetime]（セッション寿命）—ユーザーセッションのタイムアウト値を設定

できます。以下のデフォルト値を変更することができます。

• [Max. Session Length]（最大セッション時間）—セッションが終了するまでのユーザー

セッションがオープンな状態の時間を分単位で指定します。ユーザーセッションの

間、最大セッション時間の経過前に、Pulse は認証資格情報を再入力するようユーザー

に要求します。そのため、警告なしにユーザーセッションが終了することを回避で

きます。

• [Heartbeat Interval]（ハートビート間隔）—セッションを存続させるために Pulse ク

ライアントが Pulse Secure Access サービスに通知する周期を指定します。エージェ

ントのハートビート間隔は、Host Checker のハートビート間隔より長くする必要があ

ります。そうでないと、パフォーマンスに影響することがあります。一般に、エー

ジェントのハートビート間隔は、Host Checker よりも最低 50% 長く設定します。

• [Heartbeat Timeout]（ハートビートタイムアウト）—エンドポイントがハートビート

に応答しない場合に、 Pulse Secure Access サービスがセッションを終了させるまで

の待機時間を指定します。

• [Auth Table Timeout]（認証テーブルタイムアウト）—必要に応じて提供される認証

テーブルのタイムアウト値を指定します。この設定の詳細については、『Junos Pulse

Access Control サービス管理ガイド』を参照してください。

• [Reminder Time]（警告時間）—[Enable Session Extension]（セッション延長の有効

化）機能が有効になっている場合に、Pulse を通じてサーバーから通知を送信するセッ

ション終了前の時間を分単位で指定します。これにより、セッションが間もなく終了

することがユーザーに通知されます。

• [Enable Session Extension]（セッション延長の有効化）—[Enable Session Extension]

（セッション延長の有効化）チェックボックスを選択することで、Pulse ユーザーが

最大セッション時間を超過してセッションを続行することを許可できます。この機能

が有効の場合、ユーザーは Pulse クライアントのユーザーインターフェースを使用し

てセッションを延長できます。

• [Roaming session]（セッションのローミング）—ローミングを使用することで、ユーザー

は異なるソース IP アドレス間を移動して作業を行うことができます。ローミングセッ

ションのオプションは、以下のとおりです。

• [Enabled]（有効化）—このロールにマップされたユーザーがローミングできるように

します。ローミングセッションでは、異なる IP アドレス間で動作を継続できるた

め、動的 IP アドレスにアクセスできるモバイルユーザーは、ある場所から Pulse

Secure Access サービスにサインインした後に、他の場所で作業を継続することがで

きます。



• [Limit to subnet]（サブネットに制限）—ローミングセッションを [Netmask]（ネッ

トマスク）ボックスで指定したローカルサブネットに制限します。ある IP アドレ

スでサインインしたユーザーは、IP アドレスが変化した場合でも、同じサブネット

に含まれている限り、その新しい IP アドレスでセッションを継続して使用できます。

• [Disabled]（無効化）—そのロールにマップされたユーザーのユーザーセッションは、

ローミングすることができなくなります。ある IP アドレスからサインインしたユー

ザーは、IP アドレスが変化すると、アクティブなインフラネットコントローラセッ

ションを継続することができません。ユーザーセッションは、最初のソース IP アド

レスに制限されます。

[General]（一般） > [UI] オプション

[UI] オプションを使用すると、ブラウザを使用して正常に Pulse Access Control サーバー

にログインしたユーザーに表示する Web ページオプションを定義できます。そのロール

に対して認証設定が定義済みであることを確認してください。サインインポリシー、サ

インインページ、サインイン通知、認証プロトコル設定については、『Junos Pulse

Access Control サービス管理ガイド』を参照してください。

5. [Agent]（エージェント）タブを選択します。「エージェント」とは、そのロールに割り

当てられたユーザー用のクライアントプログラムです。ユーザーのエンドポイントにエー

ジェントがインストールされていない場合、ユーザーが Web ブラウザを使用してシステム

接続すると、エージェントがダウンロードされてインストール’されます。以下のオプ

ションを設定します。

• [Install Agent for this role]（このロールにエージェントをインストールする）を選

択します。

エージェントオプションは、このチェックボックスを選択した場合のみ表示されます。

• [Install Junos Pulse]（Junos Pulse のインストール）を選択します。

6. [Session scripts]（セッションスクリプト）領域では、必要に応じて次のスクリプトの

場所を指定することもできます。

• Windows: [Session start script]（セッション開始スクリプト）—Pulse が Pulse Access

Control サービスに接続した後で、ロールに割り当てられたユーザーに対して実行する

スクリプト（.bat、.cmd、.exe）を指定します。たとえば、保護対象のリソースを共有

するために、エンドポイントにネットワークドライブをマップするスクリプトを指定で

きます。スクリプトは、ユーザーからアクセスできる場所（ローカルまたはネットワー

ク）に配置されている必要があります。

• Windows: [Session end script]（セッション終了スクリプト）—Junos Pulse が Pulse

Access Control サービスから切断した後で、ロールに割り当てられたユーザーに対して

実行するスクリプト（.bat、.cmd、.exe）を指定します。たとえば、マップされている

ネットワークドライブを切断するスクリプトを指定できます。開始スクリプトが定義

されていない場合、または開始スクリプトが実行されていない場合、終了スクリプトは

作動しません。スクリプトは、ユーザーからアクセスできる場所（ローカルまたはネッ

トワーク）に配置されている必要があります。

7. [Save Changes]（変更を保存）をクリックし、[Agent]（エージェント） > [Junos Pulse

Setting]（Junos Pulse 設定）を選択します。



8. 作成したコンポーネントセットを選択するか、デフォルトのコンポーネントセットを使

用するか、[none]（なし）を選択します。既存の Pulse ユーザーに新しい接続か更新した

接続を配布する目的でこのロールを作成する場合のみ、[none]（なし）を選択します。

9. [Save Changes]（変更を保存）をクリックします。

10. [Users]（ユーザー） > [User Realms] （ユーザーのレルム） > [Select Realm]（レルム

の選択） > [Role Mapping]（ロールのマッピング） > [New Rule]（新規ルール）を選択し

て、 Junos Pulse ユーザーを設定済みのロールにマップする、ロールのマッピングルール

を設定します。

関連項目 45ページのエンドポイントセキュリティの監視および Pulse Access Control サービスの

管理

•

Pulse Access Control サービスのクライアント接続設定オプション

Junos Pulse クライアントの接続設定には、ネットワークオプションが含まれています。こ

の設定を使用することで、Junos Pulse をサポートする任意の Pulse サーバーにアクセスする

クライアント用の特定の接続を設定できます。 27ページの表3 は、接続設定のオプションを

示したものです。



表3: Junos Pulse 接続設定の設定可能なオプション

[Allow saving logon information]（ログオン情報の保存を許可）—Pulse クライア

ントのログオンダイアログボックスで [Save Settings]（設定を保存）チェック

ボックスを有効にするかどうかを制御します。このチェックボックスをオフにす

ると、Pulse クライアントは、ユーザーに常に資格情報を入力するように要求しま

す。このチェックボックスをオンにすると、ユーザーは資格情報を保存できるよ

うになります。

Junos Pulse クライアントでは、認識したユーザー設定を保持できます。これら

の設定はエンドポイントに安全に保持され、ユーザーが別の Pulse サーバーに接

続することで変化します。 Junos Pulse クライアントは、次の設定を保存できま

す。

• 証明書の受理

• 証明書の選択

• レルム

• ユーザー名とパスワード

• プロキシのユーザー名/パスワード

• セカンダリのユーザー名/パスワード

• ロール

注: 認証サーバーが ACE サーバーまたは RADIUS サーバーで、認証がトークンま

たはワンタイムパスワードを使用したユーザー認証に設定されている場合、

Pulse は [Allow saving logon information]（ログオン情報の保存を許可）オプ

ションを無視します。ユーザーにユーザー名とトークンの要求プロンプトが表示

されると、[Save settings]（設定を保存）チェックボックスは無効になります。

Pulse は、ソフトトークン、ハードトークン、およびスマートカード認証をサ

ポートしています。

ユーザーが設定の保存を選択すると、その情報が、その後の各接続に使用されます。

入力は要求されません。設定が変わると（たとえばユーザーがパスワードを変更

した場合）、保存されている設定は無効になり、接続の試行が失敗します。この

場合、ユーザーはクライアントの [Forget Saved Settings]（保存した設定を破

棄）機能を使用する必要があります。これにより、ユーザーが保存した設定がすべ

て消去されます。

オプション

[Allow user connections]（ユーザー接続を許可）—ユーザーによる接続の追加を許

可するかどうかを制御します。

[Display splash screen]（スプラッシュ画面の表示）—このチェックボックスをオ

フにすると、通常は Pulse クライアントの起動時に表示される Pulse のスプラッ

シュ画面が非表示になります。

[Dynamic certificate trust]（動的証明書の信用）—ユーザーが不明な証明書を信

用できるかどうかを決定します。このチェックボックスをオンにすると、ユー

ザーは無効な証明書に対する警告を無視して目的の Pulse サーバーに接続できる

ようになります。

[Dynamic connections]（動的接続）—ユーザーがユーザー Web ポータルを通じて

Pulse サーバーに接続した場合に、この接続設定の接続を自動的に更新したり、

Junos Pulse クライアントに追加したりするのを許可します。動的接続は、自動

接続ではなく、手動接続として作成されます。つまり、ユーザーが接続を開始した

場合、または Pulse サーバーにアクセスして、サーバーの Web インターフェース

から Pulse を起動した場合だけに実行されます。



表3: Junos Pulse 接続設定の設定可能なオプション（続き）

[Wireless suppression]（ワイヤレス抑止）—有線接続を使用できる場合は、ワイヤ

レスアクセスを無効にします。有線接続がなくなると、Pulse は、以下のプロパ

ティを使用してワイヤレス接続を有効にします。

• ネットワークがブロードキャスト中でなくても接続する。

• コンピュータ情報が使用可能ならコンピュータとして認証する。

• このネットワークが範囲内なら接続する。

注: ワイヤレス抑止を有効にする場合は、クライアントが有線接続で接続するよう

に設定されていることも確認してください。

接続設定用の接続を作成する場合は、接続タイプを選択します。各接続タイプには次のオプションが

用意されています。

[Adapter type]（アダプタのタイプ）—有線かワイヤレスかにかかわらず、認証に使

用するアダプタのタイプを指定します。

UAC 802.1X オプ

ション

有線かワイヤレス

かにかかわらず、

802.1X デバイス

への認証された接

続を定義するに

は、この接続タイ

プを使用します。

ユーザーは、

Pulse クライアン

トインター

フェースから

802.1X 接続を作

成することはでき

ません。ユー

ザーの Pulse イ

ンターフェースに

802.1X 接続が表

示されるのは、

サーバーから接続

が配備され、指定

されたネットワー

クが使用可能な

場合のみです。

[Outer username]（外部ユーザー名）—ユーザーが暗号化されたトンネルを本当のロ

グイン名（内部識別名と呼ばれます）で通過するときに、匿名でログインしている

ように振る舞えるようにします。これによって、ユーザー資格情報の盗視が防止

され、内部識別名も保護されます。一般的には、デフォルト値である anonymous

を入力します。場合によっては、テキストを追加する必要があります。たとえ

ば、ユーザーの認証を外部識別名でサーバーまでルートする場合、

[email protected] のような書式を使う必要があります。ボックスを空白にした

場合、クライアントはユーザーのログイン名（内部識別名）を外部識別名として

渡します。

[Scan List]（スキャンリスト）—ユーザーが接続可能なワイヤレスネットワーク

の SSID を指定します。

[Support Non-broadcast SSID]（非ブロードキャスト SSID をサポートする）—ユー

ザーが、Pulse インターフェースから非ブロードキャストワイヤレスネットワー

クに接続できるようにします。

[Server certificate DN]（サーバー証明書 DN）—サーバー証明書識別名（DN）と、

その署名をする認証機関（CA）を指定します。 DN フィールドを空白のままにする

と、選択した CA によって署名されているすべてのサーバー証明書をクライアント

が承認することを許可します。

信頼されたサー

バーリスト（UAC

802.1X 接続の場

合）




[Allow user to override connection policy]（ユーザーによる接続ポリシーの上

書きを許可する）—手動で接続または切断することで、ユーザーが接続ポリシーを

上書きすることを許可します。一般的には、このオプションを選択したままにして

おき、ユーザーがあらゆる条件下で接続を確立できるようにします。このチェッ

クボックスをオフにすると、ユーザーはエンドポイントの接続ステータスを変更し

たり、 Junos Pulse をシャットダウンしたりできなくなります。

SSL VPN または

UAC（L3）オプ

ション

[Support Remote Access (SSL VPN) or LAN Access (UAC) on this connection]（こ

の接続でリモートアクセス（SSL VPN）または LAN アクセス（UAC）をサポートす

る）—この接続が Pulse Access Control サービス用の場合は、このオプションを

選択する必要があります。接続が Pulse Secure Access サービス用の場合は、こ

のチェックボックスをオフにし、[Support Remote Access (SSL VPN) or LAN

Access (UAC) on this connection] （この接続でリモートアクセス（SSL VPN）ま

たは LAN アクセス（UAC）をサポートする）も選択した場合のみ、Pulse

Collaboration ミーティングにアクセスする接続を使用できます。

[Support Remote Access (SSL VPN) or LAN Access (UAC) on this connection]（こ

の接続でリモートアクセス（SSL VPN）または LAN アクセス（UAC）をサポートす

る）—この接続が Pulse Access Control サービス用の場合は、このオプションを

無効にする必要があります。接続が Pulse Secure Access サービス用の場合は、

このチェックボックスをオンにし、Pulse Collaboration ミーティングにアクセ

スする接続を使用できます。

[This server]（このサーバー）—エンドポイントが、この Pulse サーバーにアク

セスするかどうかを指定します。

[URL]—別の Pulse サーバーの URL をデフォルト接続として指定できます。別の

サーバーの URL を指定して、ネットワーク内の他の Pulse サーバーの接続を作成

します。

[Address]（アドレス）—SRX デバイスの IP アドレスを指定します。SRX オプション

（動的 VPN の場

合）[Allow user to override connection policy]（ユーザーによる接続ポリシーの上


上書きすることを許可します。一般には、このオプションを選択し、ユーザーが

あらゆる条件下で接続を確立できるようにします。このチェックボックスをオ

フにすると、ユーザーはエンドポイントの接続ステータスを変更したり、 Junos

Pulse をシャットダウンしたりできなくなります。

[Allow user to override connection policy]（ユーザーによる接続ポリシーの上


上書きすることを許可します。一般には、このオプションを選択し、ユーザーがあ

らゆる条件下で接続を確立できるようにします。このチェックボックスをオフ

にすると、ユーザーはエンドポイントの接続ステータスを変更したり、 Junos Pulse

をシャットダウンしたりできなくなります。

アプリケーション

アクセラレーショ

ンオプション

[Community string]（コミュニティ文字列）—コミュニティ文字列によって識別さ

れている同じコミュニティに属する場合のみ、 Junos Pulse クライアントおよび

Junos Pulse アプリケーションアクセラレーションサービスは、アプリケーショ

ンアクセラレーションのための隣接関係を形成することができます。アプリケー

ションアクセラレーション接続の作成時には、その接続のコミュニティ文字列が、

Pulse アプリケーションアクセラレーションサービスで定義したコミュニティ文

字列と一致することを確認してください。




すべての接続タイプについて、接続の確立方法を指定します。オプションは、接続のタイプによって

異なります。接続は、以下のオプションを使用して確立できます。

[Manually by the user]（ユーザーが手動で接続）—（すべての接続タイプ）エン

ドポイントが起動されると、Junos Pulse クライアントソフトウェアが起動されま

すが、接続は試行されません。ユーザーは、 Junos Pulse クライアントのユーザー

インターフェースを使って接続を選択する必要があります。

[Automatically after user signs into the desktop]（ユーザーがデスクトップへ

のサインイン後に自動的に接続）—（すべての接続タイプ）エンドポイントが起動

され、ユーザーがエンドポイントにログインすると、Junos Pulse クライアントソ

フトウェアが自動的に接続します。アプリケーションアクセラレーション接続に

ついては、自動接続がデフォルトです。これは、サービスが使用可能な場合、Pulse

が Pulse アプリケーションアクセラレーションサービスと自動的に隣接関係を

形成するためです。

注: 自動接続が設定されているエンドポイントのすべての接続は、開始時にそれぞ

れのターゲットネットワークへの接続を試みます。複数の接続が試行されるのを

防ぐため、1 つの接続だけが自動的に開始されるように設定するか、位置認識規則

を設定してください。

[Automatically when the machine starts. Machine credentials used for

authentication]（マシンの起動時に自動的に接続し、認証にはマシン認証を使用す

る）—（SSL VPN または UAC （L3）接続のみ）マシン認証を有効にします。この場

合、 Active Directory が認証サーバーとして使用されていて、 Active Directory

でマシン認証が設定されている必要があります。

[Automatically when the machine starts. Connection is authenticated again

when the user signs in into the desktop]（マシンの起動時に自動的に接続し、

ユーザーがデスクトップにサインインしたときに接続を再度認証する）—（SSL VPN

または UAC（L3）接続のみ）初期接続に対してマシン認証を有効にします。ユー

ザーがユーザー証明書を使用して接続すると、マシン認証は破棄されます。ユー

ザーがログオフすると、マシン認証接続が復元されます。

注: マシンとユーザーのロールが異なる場合は、それぞれのロールが同じ接続設定

にマッピングされている必要があります。そうでない場合、ユーザーが接続する

と、既存の接続設定が置き換えられる場合があります。

[Automatically during desktop authentication. User is presented with the

Junos Pulse credential tile at the logon screen]（デスクトップ認証中に自動

的に接続し、ユーザーには、ログオン画面で Junos Pulse 資格情報タイルを表示す

る）—（SSL VPN または UAC（L3）接続のみ）このオプションを選択することで、

Pulse クライアントは、資格情報プロバイダのソフトウェアとエンドポイントで対

話できるようになります。

自動的に接続を確立するように設定されている SSL VPN または UAC（L3）および SRX 接続の

場合は、条件によってエンドポイントの接続を許可する位置認識規則を定義することができま

す。たとえば、エンドポイントが企業イントラネットに接続する場合、Junos Pulse Secure

Access サービスに接続する場合、オフィスの外部にある場合に、Pulse Access Control サー

ビスに接続するように設定できます。



Pulse 接続はエンドポイントにある指定されたインターフェースの IP アドレスを使用して、

そのネットワークの位置を特定します。各位置認識規則では、以下の設定を行います。

• [Name]（名前）—記述名（例：“corporate-DNS）。”名前には、文字、数字、ハイフン、

下線を含めることができます。

• [Action]（アクション）—IP アドレスを見つけるために接続が行う方法。次の中から 1 つ

を選択します。

• [DNS Server]（DNS サーバー）—指定されたインターフェースのエンドポイントの DNS

サーバーが指定値のうちの 1 つに設定されている場合に、エンドポイントに接続するこ

とを許可します。 IP アドレスまたはアドレス範囲を指定するには、条件ボックスを使用

します。

• [Resolve Address]（アドレスの解決）—[DNS Name] （DNS 名）ボックスで指定されている

ホスト名が、指定されたインターフェースの DNS サーバーによって解決できる場合は、

エンドポイントの接続を許可します。 [Address Range]（アドレス範囲）ボックスで 1 つ

または複数のアドレス範囲が指定されている場合、アドレスはその中の 1 つに解決され

て、式の条件を満たす必要があります。

• [Endpoint Address]（エンドポイントのアドレス）—指定されているインターフェースの

IP アドレスが、[IP Address Range]（IP アドレスの範囲）ボックスで指定されている範

囲内にある場合に、エンドポイントの接続を許可します。

注: 否定の位置認識規則を作成するには、最初に肯定状態を作成してから、ルール

要件のロジックを使用して、そのルールを否定条件として使用します。

関連項目 34ページのマシン認証•

• 45ページのエンドポイントセキュリティの監視および Pulse Access Control サービスの

管理

Pulse Access Control サービスのクライアント接続設定の作成

各接続設定の詳細については、 26ページの「「Pulse Access Control サービスのクライアン

ト接続設定オプション」」を参照してください。

Junos Pulse クライアント設定を作成するには、以下の手順に従います。

1. 管理コンソールから [Users] > [Junos Pulse] > [Connections]（接続）を選択します。

2. [New]（新規）をクリックします。

3. 名前を入力し、必要に応じて、この接続設定の説明を入力します。

注: 接続を作成する前に、接続設定名を入力する必要があります。




5. メインの [Junos Pulse Connections]（Junos Pulse 接続）ページから、接続設定を選択

します。

6. [Options]（オプション）で、以下のチェックボックスをオンまたはオフにします。

• [Allow saving logon information]（ログオン情報の保存を許可）

• [Allow user connections]（ユーザー接続を許可）

• [Display splash screen]（スプラッシュ画面の表示）

• [Dynamic certificate trust]（動的証明書の信用）

• [Dynamic connections]（動的接続）

• [Wireless suppression]（ワイヤレス抑止）

7. [Connections]（接続）で、[New]（新規）をクリックして新しい接続を定義します。

8. 名前を入力し、必要に応じて、この接続の説明を入力します。

9. 接続のタイプを選択します。以下のタイプの 1 つを選択できます。

• [UAC 802.1X]

• [SSL VPN or UAC (L3)]（SSL VPN または UAC（L3））

• [SRX]

• [App Acceleration]（アプリケーションアクセラレーション）

10. [UAC 802.1X] を選択した場合は、値を入力するか、以下のチェックボックスをオンまた

はオフにします。

• [Adapter type]（アダプタのタイプ）—有線かワイヤレスを選択します。

• [Outer username]（外部ユーザー名）—外部ユーザー名を入力します。

• [Scan list]（スキャンリスト）—優先度の順に、接続する SSID を入力します。

• [Support Non-broadcast SSID]（非ブロードキャスト SSID をサポートする）—ユーザー

が、 Pulse インターフェースから非ブロードキャストワイヤレスネットワークに接続

できるようにします。


12. [SSL VPN or UAC (L3)]（SSL VPN または UAC（L3））タイプを選択した場合は、以下の

チェックボックスをオンまたはオフにします。



• [Allow user to override connection policy]（ユーザーによる接続ポリシーの上書きを

許可する）

注: このチェックボックスをオフにすると、ユーザーはエンドポイントの接

続ステータスを変更したり、Junos Pulse をシャットダウンしたりできなくな

ります。

• [Support Remote Access (SSL VPN) or LAN Access (UAC) on this connection]（この接

続でリモートアクセス（SSL VPN）または LAN アクセス（UAC）をサポートする）

• [Enable Junos Pulse Collaboration integration on this connection]（この接続で

Junos Pulse Collaboration の統合を有効にする）

• [Connect automatically]（自動的に接続する）

• [This Server]（このサーバー）—現在作成しているサーバーの URL を使用します。

• [URL]—[This Server]（このサーバー）を選択しなかった場合は、その接続で使用するサー

バーの URL を指定します。

13. [SRX] を選択した場合は、 SRX デバイスの IP アドレスを [Address]（アドレス）ボック

スに入力し、ユーザーによる接続ポリシーの上書きを許可するかどうかを指定します。

14. [App Acceleration]（アプリケーションアクセラレーション）を選択した場合は、 [Connect

Automatically]（自動的に接続する）チェックボックスを選択して、クライアントがネッ

トワークの Junos Pulse アプリケーションアクセラレーションの隣接関係を自動形成で

きるようにします。

注: アプリケーションアクセラレーションを使用する接続では、 Kaspersky ソ

フトウェアが Pulse クライアントエンドポイントにインストールされている場

合、 UDP ポート 3578 のトラフィックを許可するように設定する必要がありま

す。

15.接続を確立する方法（手動または自動）を指定します。これらのオプションを使用するこ

とで、マシン認証および資格情報プロバイダ認証を設定することができます。

16.（オプション）位置認識規則を作成することで、自動接続での位置認識を有効にできます。

位置認識では、特定のインターフェースへの接続を強制できます。詳細については、 39

ページの「「位置認識規則の設定」」を参照してください。

17.（オプション）マシン認証接続に対して優先されるロールおよびレルムのオプションを設

定できます。詳細については、 35ページの「「Junos Pulse 接続のレルムおよびロール

の優先設定」」を参照してください。

18.クライアント接続設定を作成したら、クライアントコンポーネントセットを作成して、

この接続設定を選択します。

関連項目 26ページのPulse Access Control サービスのクライアント接続設定オプション•




管理

Junos Pulse エンドポイントでの接続状態のセキュリティ保護

エンドポイントでのユーザーと Pulse 接続との対話を無効化するため、エンドポイントに配

備されている場合はユーザーが接続を切断したり Pulse をシャットダウンしたりできないよ

うに Junos Pulse 接続を設定できます。ユーザーと Pulse の対話を無効化することで、Pulse

管理者は、ユーザーが管理制御を上書きするのを許可することなく、エンドポイントからネッ

トワークへの接続方法を制御することができます。たとえば、マシン認証を使用する場合、

エンドポイントからサーバーへの接続が自動的に確立されます。この場合、Pulse エンドポ

イントをロックダウンすることで、ユーザーは接続を変更できなくなります。

Pulse エンドポイントを Pulse Access Control サーバーからセキュリティ保護するには、以

下の手順に従います。

1. [Users]（ユーザー） > [Junos Pulse Connections]（Junos Pulse 接続）をクリックしま

す。

2. 接続を編集するか、新しい接続を作成します。

3. [Allow user to override connection policy]（ユーザーによる接続ポリシーの上書きを許

可する）チェックボックスをオフにします。

このオプションは、UAC（802.1X）接続では使用できません。

マシン認証

マシン認証では、マシンの資格情報（マシン名とパスワードまたはマシンの証明書）を使用し

て、エンドポイントを認証します。 Pulse Access Control サービスに対するマシン認証は、

Junos Pulse 接続の一部として有効化し、通常の Pulse 配布方法を使用してエンドポイント

に接続設定を配布できます。

マシン認証環境の要件に関する説明は、以下のとおりです。

• Pulse Access Control サービスに対するマシン認証は、 Pulse レイヤ 3 接続だけで使用で

きます。

• Pulse 接続で使用する認証サーバーは、 Active Directory/Windows NT（マシン名/パスワー

ドによる認証の場合）または証明書サーバー（マシンの証明書による認証の場合）でなけれ

ばなりません。また、 RADIUS サーバーで認証する場合は、マシンの資格情報も使用するこ

とができます。これにより、マシンの資格情報が Active Directory のリストに照らして確

認されます。

• エンドポイントは Windows ドメインのメンバでなければならず、マシンの資格情報が Active

Directory で定義されている必要があります。一般的に、ユーザーがログインする場合、

ユーザー名ボックスにドメイン/ユーザー名の組み合わせを入力する必要があります。



• Pulse 接続は、ログインプロセス中にプロンプトが表示されないように設定する必要があ

ります。たとえば、レルムやロールを選択するプロンプト、またはサーバー証明書の信頼

プロンプトは、接続が失敗する原因となります。

• マシン証明書の認証では、ドメインワークステーションのログオン証明書がドメインの認

証機関から発行されている必要があります。ルート証明書（CA）は、特定のユーザーの証

明書ストアではなく、マシンの信頼された証明書ストアに配置されている必要があります。

マシン認証に対して Pulse 接続を有効化するには、以下の手順に従います。

1. [Users]（ユーザー） > [Junos Pulse] > [Connections]（接続）をクリックして、接続設

定を作成または選択します。

2. 接続を作成または編集します。マシン認証は、接続タイプ [SSL VPN or UAC (L3)]（SSL

VPN または UAC（L3））だけで使用できます。

3. 接続が確立されている状態で、以下のいずれかのオプションを選択します。

• [Automatically when the machine starts. Machine credentials used for

authentication]（マシンの起動時に自動的に接続し、認証にはマシン認証を使用する）—

このオプションを選択することで、マシンのみの認証が有効になります。ユーザーがロ

グオンする前に、マシンの資格情報を使用して Pulse Access Control サービスに接続

されます。ユーザーがログインしている必要はありません。ユーザーがログオン、ロ

グオフ、または別のログオンに切り替えても、接続は維持されます。

• [Automatically when the machine starts. Connection is authenticated again when

the user signs in into the desktop]（マシンの起動時に自動的に接続し、ユーザーが

デスクトップにサインインしたときに接続を再度認証する）—このオプションを選択する

ことで、user-after-desktop 認証が有効になります。ログオンしているユーザーがい

ない場合、エンドポイントの認証にはマシンの資格情報が使用されます。ユーザーがロ

グオンすると、マシン認証の接続は破棄され、ユーザーのログインが使用されます。

ユーザーがログオフすると、マシンの接続が再確立されます。


• 35ページのJunos Pulse 接続のレルムおよびロールの優先設定

Junos Pulse 接続のレルムおよびロールの優先設定

マシン認証を使用するように Junos Pulse 接続が設定されている場合、ログインプロセス中

にプロンプトが発生すると、接続が失敗する原因となります。たとえば、Pulse サーバーの

認証ポリシーで、ログインプロセス中にユーザーによるレルムまたはロールの選択を許可し

ている場合、Pulse はユーザーに対してダイアログボックスを表示し、レルムまたはロール

の選択を要求します。マシン認証中のプロンプトによる接続の失敗を防ぐため、 Pulse 接続

に対して優先的に使用するロールおよびレルムを指定することができます。

マシン認証で使用する Pulse 接続では、以下のいずれかの条件に合致する場合は、優先する

ロールを指定する必要はありません。

• ユーザーが 1 つのロールだけにマップされている。



• ユーザーが複数のロールにマップされているものの、割り当て済みのすべてのロールについ

て設定をマージするようにレルムのロールマッピングプロパティが設定されている。

マシン認証で使用する Pulse 接続では、認証のサインインポリシーでユーザーによるレルム

の選択を許可している場合は、優先するレルムを指定する必要があります。レルムが 1 つの

ロールだけにマップされている場合、ロールを指定する必要はありません。

マシン認証で使用する Pulse 接続では、以下のいずれかの条件に合致する場合は、優先する

ロールを指定する必要があります。

• ユーザーが接続するレルムが複数のロールにマップされていて、そのレルムのロールマッ

ピングプロパティが、ユーザーにロールの選択を要求するように設定されている。優先す

るロールセットは、そのレルムで割り当てられているロールの名前でなければなりません。

• ユーザーが接続するレルムが複数のロールにマップされていて、そのレルムのロールマッ

ピングプロパティが、ロールマッピングルールによって定義されている。優先するロー

ルは、ロールセットを割り当てるルールの名前を指定することによって指定します。 36

ページの図3 は、ルール名をハイライトしたロールマッピングルールを示したものです。

図 3: Junos Pulse のロールマッピングルール

マシン認証の Pulse 接続を作成する場合は、接続タイプ [SSL VPN or UAC (L3)]（SSL VPN ま

たは UAC（L3））を使用する必要があります。接続をマシン認証の接続として識別するには、

以下のいずれかのオプションを使用して接続の確立方法を指定します。

• [Automatically when the machine starts. Machine credentials used for authentication]

（マシンの起動時に自動的に接続し、認証にはマシン認証を使用する）



Active Directory で定義されたマシンの資格情報をマシンのログインプロセスで使用し、

同じ資格情報をユーザーログインで使用します。このオプションを選択すると、[Realm

and Role Set Preferences]（レルムおよびロールセットの優先設定）で、以下のオプショ

ンを指定できるようになります。

• [Preferred Machine Realm]（優先するマシンのレルム）—割り当てるロールにマップする

レルムの名前を入力します。

• [Preferred Machine Role Set]（優先するマシンのロールセット）—ロールの名前を入力

します。このロールは、レルムのロールマッピングプロパティで識別されているもので

なければなりません。または、ロールセットを割り当てるロールマッピングルールの

名前を指定します。

• [Automatically when the machine starts. Connection is authenticated again when the

user signs in into the desktop]（マシンの起動時に自動的に接続し、ユーザーがデスク

トップにサインインしたときに接続を再度認証する）

マシンのログインプロセスで、Active Directory のマシンの資格情報を使用します。マ

シンのログインが完了すると Pulse は接続を破棄し、ユーザーのログインにはユーザーの資

格情報を使用します。このオプションを選択すると、[Realm and Role Set Preferences]

（レルムおよびロールセットの優先設定）で、以下のオプションを指定できるようになりま

す。

• [Preferred Machine Realm]（優先するマシンのレルム）—割り当てるロールにマップする


• [Preferred Machine Role Set]（優先するマシンのロールセット）—ロールの名前を入力




• [Preferred User Realm]（優先するユーザーのレルム）—割り当てるロールにマップする


• [Preferred User Role Set]（優先するユーザーのロールセット）—ロールの名前を入力




注: ログインプロセスで発生するプロンプトは、レルムとロールのプロンプトだ

けではありません。 Pulse 接続で [Dynamic Certificate Trust]（動的証明書の信

用）オプションが有効になっていて、サーバーの証明書に問題がある場合、 Pulse

は、続行してもよいかどうかをユーザーに確認します。この証明書のプロンプト

は、マシンの接続が失敗する原因となります。ユーザー接続が確立されると、Pulse

ソフトウェアのアップグレードに対するプロンプトが表示されますが、これはマシ

ン認証接続には影響しません。

関連項目 34ページのマシン認証•



Pulse Access Control サービスに対する資格情報プロバイダ認証

Microsoft が Windows Vista に続き Windows 7 を発表しました。これに伴い、 GINA

（Graphical Identification and Authentication）に基づくログオン統合インターフェース

は、資格情報プロバイダ認証に移行しました。 Junos Pulse の資格情報プロバイダ統合では、

ユーザーが Windows ドメインにログオンするのに必要なネットワークへの接続が実現されて

います。たとえば、 Windows のドメインコントローラがファイアウォールの内側にある場

合、エンドポイントは、ドメインにログインする前に、資格情報プロバイダのログイン情報を

使用して Pulse Access Control サービスにログインします。 Junos Pulse では、 Microsoft

の資格情報プロバイダとの統合により、パスワードベースのログインとスマートカードによ

るログインを実現しています。資格情報プロバイダのインターフェースは、Windows Vista

または Windows 7 のログイン画面では、タイルとして表示されます。

Pulse 接続では、Pulse 資格情報プロバイダのサポートを有効にします。通常の Pulse 配布

方法を使用して、エンドポイントに接続設定がダウンロードされると、エンドポイントのデス

クトップに Pulse のログオンタイルが表示されます。ユーザーがログオンプロセスを開始

すると、 Pulse が接続を確立します。

資格情報プロバイダ環境の要件に関する説明は、以下のとおりです。

• Pulse Access Control サービスに対する資格情報プロバイダ認証は、 Pulse レイヤ 3 接続

だけで使用できます。

• エンドポイントでスマートカードリーダーが構成されていない場合は、パスワードベー

スのログオンタイルだけが表示されます。

• Pulse 接続は、ログインプロセスで Pulse サービスのプロンプトが表示されるように設定

できます。たとえば、レルムやロールの選択、またはサービス証明書の信頼プロンプトを表

示できます。

• Pulse のアップグレード通知およびアクションは、資格情報プロバイダへのログオン時に無

効になり、ユーザー接続が確立されるまで延期されます。 Host Checker の修復通知が表示

されます。

Pulse 資格情報プロバイダサポートの有効化

• ロールの Pulse 接続設定を作成（[Users]（ユーザー） > [Junos Pulse] > [Connections]

（接続））し、新しい Pulse 接続を作成します。資格情報プロバイダ認証は、 SSL VPN UAC

（L3）接続タイプで使用できます。接続の設定は、[Connection is established]（接続が

確立済み）というセクションで、以下の項目が有効になっている必要があります。

• [Automatically during desktop authentication. User is presented with the Junos

Pulse credential tile at the logon screen.]（デスクトップ認証中に自動的に接続し、

ユーザーには、ログオン画面で Junos Pulse 資格情報タイルを表示する）

39ページの図4 は、Microsoft 資格情報プロバイダと対話する接続を有効にする Junos Pulse

接続の設定を示したものです。



図 4: Pulse 接続用の資格情報プロバイダ設定


位置認識規則の設定

位置認識機能により、Junos Pulse クライアントは自身の位置を検出することができます。ま

た、自動的に接続するように設定されている場合は、正しい接続を行います。たとえば、Pulse

クライアントが遠隔地で起動された場合は、自動的に Junos Pulse Secure Access サービス

に接続しますが、同じクライアントが企業のオフィスで起動された場合は、自動的に Pulse

Access Control サービスに接続します。

注: 位置認識とセッション移行は、ユーザーの接続操作を簡素化する点で類似して

いますが、それぞれ異なる状況下で実行されます。位置認識機能では、ユーザー

がコンピュータにログインするときに、Pulse クライアントが接続先を決定しま

す。セッション移行が発生するのは、ユーザーがログオフせずにコンピュータを

スタンバイまたは休止モードに切り替え、その後に異なるネットワーク環境でコン

ピュータを起動した場合です。位置認識機能を使用すると、 Pulse クライアント

がインテリジェントに新しいセッションを開始します。セッション移行機能では、

Pulse サーバーがインテリジェントに既存のセッションを移行します。

位置認識機能は、管理者が個々の接続に定義したルールに依存します。ルールで指定された条

件が真である場合、Pulse は接続を試行します。多数の接続から選別する位置認識規則を設

定するには、位置認識規則を各接続に対して定義する必要があります。各位置認識規則は、

指定されたネットワークインターフェースで IP アドレスに到達する、または DNS 名を解

決するエンドポイントの能力に基づきます。



注: 位置認識動作は、分割トンネリング構成の影響を受けます。たとえば、位置

認識規則が物理アダプタで作成されたアドレス解決に依存し、分割トンネリングが

無効になっている場合、 Pulse が接続を確立した後で、そのルールは常に FALSE

と判定します。

以下に、位置認識規則の例を 2 つの接続で示します。最初の例は、エンドポイントが企業

LAN に接続されると TRUE と判定される Pulse Access Control サービス接続です。その次

の例は、エンドポイントの位置がリモートなら TRUE と判定される Junos Pulse Secure Access

サービス接続です。

Pulse Access Control サービス接続

エンドポイントの物理ネットワークインターフェースに到達できる DNS サーバーが、組織の内

部 DNS サーバーの 1 つであれば、接続を確立します。

Pulse Secure Access サービス接続

エンドポイントの物理ネットワークインターフェースに到達できる DNS サーバーが組織の内部

DNS サーバーのどれでもなく、Pulse Secure Access サービスデバイスの DNS 名が Pulse

Secure Access サービスデバイスの外部向け IP アドレスに解決される場合は、接続を確立し

ます。

注: 接続は、手動または自動に設定できます。また、位置認識規則によって制御す

ることもできます。ユーザーがログインすると、Pulse クライアントは、接続リ

ストに登録されていて自動接続に設定されている接続、または位置認識規則で制御

されているすべての接続を試行します。



位置認識規則を設定するには、以下の手順に従います。

1. 接続を作成していない場合は作成します。作成してある場合は、既存の接続を開きます。

位置認識規則は、ファイアウォール接続と IC または SA 接続に対して設定できます。位

置認識規則は、802.1X 接続またはアプリケーションアクセラレーション接続には適用さ

れません。

2. [Connection is established]（接続が確立済み）領域で、[According to location awareness

rules]（位置認識規則に従う）を選択し、[New]（新規）をクリックします。

3. ルールの名前を指定します。

4. [Action]（アクション）リストで、次の 1 つを選択します。

• [DNS server]（DNS サーバー）—エンドポイントのネットワークプロパティに関連付け

られている DNS サーバーが、ある値または一連の値に設定されている（またはされてい

ない）場合は接続します。 DNS サーバー IP アドレスは、 [IP address]（IP アドレス）

ボックスで指定します。また、以下の条件を満たす必要があるネットワークインター

フェースも指定します。



• [Physical]（物理）—エンドポイントの物理インターフェースで条件が満たされている

必要があります。

• [Junos Pulse]—Junos Pulse が接続を確立する際に作成する仮想インターフェースで

条件が満たされている必要があります。

• [Any]（任意）—任意のインターフェースを使用します。

• [Resolve address]（アドレスの解決）—構成済みのホスト名または一連のホスト名が、

エンドポイントによって特定の IP アドレスに解決される（またはされない）場合に接

続します。 [DNS Name]（DNS 名）ボックスではホスト名を指定し、[IP address]（IP

アドレス）ボックスでは 1 つまたは複数の IP アドレスを指定します。また、条件を

満たす必要があるネットワークインターフェースも指定します。

注: Pulse クライアントソフトウェアは、ネットワークインターフェースが

変化すると、IP ポリシーおよび DNS ポリシーを評価します。 DNS ルックアッ

プは、 DNS 設定が変化した場合、または特定のホストレコードの生存時間

設定（10 分）が経過したときに発生します。なんらかの理由で Pulse がホ

ストを解決できない場合は、設定済みの DNS サーバーリストを 30 秒間隔

でポーリングします。過去に正常に解決されたことのあるホストであれば、

生存時間タイマの時間が切れるまでポーリングを続行します。過去に正常

に解決されたことのないホストの場合、解決の試行が即座に失敗します。

• [Endpoint Address]（エンドポイントのアドレス）—エンドポイントのネットワークア

ダプタに、ある範囲または一連の範囲内/範囲外の IP アドレスがある場合に接続しま

す。 [IP address]（IP アドレス）ボックスで、 1 つまたは複数の IP アドレスを指定

します。また、条件を満たす必要があるネットワークインターフェースも指定します。


1 つまたは複数のルールを作成したら、その接続で使用する各ルールを有効にする必要があり

ます。ルールの否定形を有効にするには、そのルールのカスタムバージョンを使用します。

位置認識規則を有効にするには、以下の手順に従います。

1. 接続の位置認識規則のリストで、有効にする各ルールの横のチェックボックスを選択しま

す。

2. 選択した位置認識規則の実施方法については、以下のオプションのいずれかを選択します。

• [All of the above rules]（上記のルールのすべて）—選択されたすべての位置認識規則

が満たされている場合のみ条件が TRUE となり、接続が試行されます。

• [Any of the above rules]（上記のルールのいずれか）—選択された位置認識規則のいず

れかが満たされている場合に条件が TRUE となり、接続が試行されます。

• [Custom]（カスタム）—選択されたすべての位置認識規則が、[Custom]（カスタム）ボッ

クスで指定されたブール論理に従って満たされている場合のみ条件が TRUE となり、接

続が試行されます。否定の位置認識規則を指定するには、ブール条件式を使用します。

たとえば、Rule–1 が FALSE で Rule–2 が TRUE の場合に、Pulse Secure Access サービ

スに接続するように指定します。この場合、カスタムボックスのブール論理は、NOT



Rule-1 AND Rule-2 となります。使用できるブール論理演算子は、 AND、OR、NOT、お

よび括弧 () です。


関連項目 127ページのセッション移行について•

Access Control サービスコンポーネントセットのオプション

Junos Pulse のコンポーネントセットには、Junos Pulse の接続性とサービスを提供する特

定のソフトウェアコンポーネントが含まれています。

注: クライアントコンポーネントのオプションは、Web ベースのインストールにの

み影響します。事前に構成されたインストーラの場合は、 MSIEXEC コマンドの一

部としてコンポーネントを指定します。事前に構成された OS X インストール用の

インストーラでは、常にすべてのコンポーネントがインストールされます。

コンポーネントセットのオプションには、以下の選択肢が用意されています。

• [All components]（すべてのコンポーネント）—すべての Pulse 接続タイプをサポートしま

す。 Enhanced Endpoint Security （EES）コンポーネントは、EES ライセンスを購入した

場合のみ使用可能で、ユーザーに割り当てられたロールによって要求された場合にのみ含め

られます。 [All components]（すべてのコンポーネント）オプションは、クライアントの

エンドポイントが、サポートされているすべての Pulse サーバーに接続できるようにし、

アプリケーションアクセラレーションを使用可能にする場合のみ使用します。

• [No components]（コンポーネントなし）—新しい接続を追加する場合など、既存の Pulse

クライアント設定を更新します。この設定は、新規インストールには使用しないでくださ

い。

• [Minimal components]（最小のコンポーネント）—選択した接続をサポートするために必要

なコンポーネントだけを含めます。たとえば、作成する接続設定に IC または SA 接続が

含まれる場合、コンポーネントセットには、Pulse Secure Access サービスまたは Pulse

Access Control サービスに接続するために必要なコンポーネントだけが含まれます。デ

フォルトは [Minimal components]（最小のコンポーネント）で、選択した接続に必要なす

べてのコンポーネントを提供しながら、Junos Pulse インストールファイルのサイズを抑

えています。

注: Pulse は、最小限のコンポーネントかつ接続していない状態で配備しないで

ください。そのようにすると、Pulse クライアントはどのデバイスにも接続す

ることができず、ユーザーは Pulse クライアントインターフェースから接続を

作成することができません。



注: クライアントコンポーネントのオプションは、Web ベースのインストールに

のみ影響します。事前に構成されたインストーラの場合は、 MSIEXEC コマンド

の一部としてコンポーネントを指定します。事前に構成された OS X インストー

ル用のインストーラでは、常にすべてのコンポーネントがインストールされま

す。

関連項目 135ページのJunos Pulse クライアントのインストールの概要•





• 43ページのPulse Access Control サービスのクライアントコンポーネントの作成

Pulse Access Control サービスのクライアントコンポーネントセットの作成

クライアントコンポーネントのオプションは、Web ベースのインストールにのみ影響します。

事前に構成されたインストーラの場合は、 MSIEXEC コマンドの一部としてコンポーネントを指

定します。事前に構成された OS X インストール用のインストーラでは、常にすべてのコン

ポーネントがインストールされます。クライアントコンポーネントセットを作成するには、

以下の手順に従います。

1. 管理コンソールから [Users]（ユーザー） > [Junos Pulse] > [Components]（コンポーネ

ント）を選択します。

2. [New]（新規）をクリックして、新しいコンポーネントセットを作成します。

3. クライアント接続設定をまだ作成していない場合は、[Users]（ユーザー） > [Junos Pulse]

> [Connections]（接続）を選択して、新しい接続設定を作成します。また、デフォルト

のクライアント設定を使用することもできます。この設定は動的接続を許可し、匿名の外

部ユーザー名をサポートするため、クライアントは Pulse Access Control サービスまた

は Pulse Secure Access サービスに自動接続できます。

4. クライアントコンポーネントセットの名前を指定します。

5. （オプション）このクライアントコンポーネントセットの説明を入力します。

6. 作成した接続設定を選択するか、デフォルトの接続設定を使用します。

7. Junos Pulse クライアントコンポーネントについて、以下のいずれかのオプションボタ

ンを選択します。

• [All components]（すべてのコンポーネント）—すべての Junos Pulse コンポーネントが

含まれ、すべてのアクセス方法とすべての機能がサポートされます。


クライアント設定を更新します。このオプションは、エンドポイントに Pulse がインス

トールされている場合のみ機能します。 Pulse のインストール時は、このオプションを

使用しないでください。



• [Minimal components]（最小のコンポーネント）—選択した接続をサポートするために必

要なコンポーネントだけを含めます。たとえば、作成する接続設定に IC または SA 接

続が含まれる場合、コンポーネントセットには、 Pulse Secure Access サービスまたは

Junos Pulse Access Control サービスに接続するために必要なコンポーネントだけが含

まれます。デフォルトは [Minimal components]（最小のコンポーネント）で、選択し

た接続に必要なすべてのコンポーネントを提供しながら、Junos Pulse インストールファ

イルのサイズを抑えています。

注: Pulse は、最小限のコンポーネントかつ接続していない状態で配備しない

でください。そのようにすると、Pulse クライアントはどのデバイスにも接

続することができず、ユーザーは Pulse クライアントインターフェースから

接続を作成することができません。

注: クライアントコンポーネントのオプションは、Web ベースのインストー

ルにのみ影響します。事前に構成されたインストーラの場合は、 MSIEXEC

コマンドの一部としてコンポーネントを指定します。事前に構成された OS

X インストール用のインストーラでは、常にすべてのコンポーネントがイン

ストールされます。


9. コンポーネントセットを作成したら、ロール経由でユーザーにクライアントを配布しま

す。ユーザーがロールにアクセスすると、エンドポイントにインストーラが自動的にダウ

ンロードされます。インストーラコンポーネントおよび接続は、エンドポイントクライ

アントに適用されます。

コンポーネントリストを変更せずに、あるロールのコンポーネントセットに関連付けら

れているクライアント接続を変更すると、エンドポイントが現在接続中であれば即座に、

そうでなければ次回の接続で、エンドポイントの既存の設定が置き換えられます。

1 人のユーザーに割り当てられている複数のロールのそれぞれに異なるコンポーネント

セットが含まれている場合、どのクライアント（コンポーネントセット）を配備すべきか

は、エンドポイントのロールリストの最初のロールによって決定されます。







管理



エンドポイントセキュリティの監視および Pulse Access Control サービスの管理

Host Checker のポリシーは、エンドポイントのオペレーティングシステムのサービスパッ

ク、ソフトウェアのバージョン、またはデスクトップアプリケーションのパッチバージョン

の適合性を確認するように設定できます。 Host Checker は、Host Checker ポリシーで事前定

義した規則に対して、ベンダーが提供する最新のパッチバージョンリストを使用します。

Host Checker は、安全でないパッチをスキャンしません。 Host Checker は、Windows およ

び Windows Mobile エンドポイント、Apple OS X および iOS エンドポイント、 Google Android

エンドポイントで動作します。サポートされている Host Checker の機能は、プラットフォー

ムによって異なります。

注: レルムでデスクトップクライアント用の Host Checker ポリシーが有効になっ

ている場合、モバイルデバイスのユーザーがモバイルデバイスのブラウザを使用

して Web ポータルに接続しても、ログインは拒否されます。これは、デスクトッ

プ用の Host Checker プログラムとモバイルクライアントの OS に互換性がない

ためです。 Pulse モバイルユーザーが複数のロールにマップされている場合、ロ

グイン操作を行うことで、Host Checker が有効になっていないロールに割り当てら

れます（可能な場合）。すべてのロールで Host Checker が有効になっている場

合、そのモバイルユーザーはブラウザからのログインが許可されません。 Host

Checker ポリシーは、各モバイルオペレーティングシステムに固有のものを作成

および有効化できます。この場合、 Pulse クライアントがサーバーに接続すると

Host Checker が動作します。

Pulse Access Control サービスおよび Host Checker は、対応する TNC ベースの整合性測定

コレクタ（IMC）と整合性測定検証（IMV）間の情報の流れを管理します。 IMC は、ホスト上

で動作するソフトウェアモジュールであり、ウィルス対策、スパイウェア対策、パッチ管理、

ファイアウォールなど、ホストに関する設定やセキュリティの情報を収集します。 IMV は、

Pulse Secure Access サービス上で動作するソフトウェアモジュールであり、ホストの整合

性の特定の側面を確認します。各 IMV は、クライアントエンドポイント上の対応する IMC

とともに動作して、エンドポイントが Host Checker のルールを満たしていることを確認しま

す。 IMC はエンドポイントを頻繁にスキャンし、セキュリティステータスに変化がないか確

認します。たとえば、ユーザーがウィルスチェックを解除した場合、IMC がこの操作を検出

し、新しい確認作業をトリガーして、変更されたシステムが Host Checker ポリシーの要件を

満たしていることを確認します。 Host Checker は、リモートの IMV サーバー上にインストー

ルされたサードパーティの IMV を使用して、クライアントコンピュータ上にインストールさ

れたサードパーティの IMC を監視するように設定できます。

最新のパッチバージョン情報は、Juniper のステージングサイトから入手することができま

す。最新リストは手動でダウンロードして Pulse サーバーにインポートすることができます。

また、Juniper のステージングサイトや独自のステージングサイトから、指定した間隔で自

動的にインポートすることもできます。

監視は、同じポリシー内にはない 1 つ以上の特定の製品または特定のパッチに基づいて実行

されます。たとえば、あるポリシーで Internet Explorer のバージョン 7 を確認し、別の

ポリシーで Patch MSOO-039: SSL Certificate Validation Vulnerabilities を確認すること

ができます。次に、ロールレベルまたはレルムレベルで両方のポリシーを適用し、ユー

ザーが特定のパッチが適用された最新バージョンのブラウザを必ず使用するようにできます。



さらに、Microsoft 製品の場合は、無視するパッチの重大度を指定することができます。た

とえば、低または中程度の脅威を無視することができます。

Junos Pulse を配備する場合、Host Checker はインストーラに含まれています。 Host Checker

は、ロールレベルまたはレルムレベルで呼び出し、認証を試みるエンドポイントに対してア

クセス要件を指定できます。レルムレベルで実装されている Host Checker ポリシーは、

ユーザーが認証される前に発生します。ロールレベルの Host Checker は認証後に実装され

ます。ただし、これはユーザーが保護されたリソースへのアクセスを許可される前に行われま

す。エンドポイントが初めて Pulse Secure Access サービスに接続すると、最新バージョン

の IMC がホストコンピュータにダウンロードされます。初期確認には、10 ～ 20 秒かか

ります。 IMC ファイルが最新バージョンでなくなった場合、その後のチェックで自動的に更

新されます。

注: エンドポイントが、パッチ評価ポリシーを持つ Pulse Secure Access サービス

に初めて接続し、その接続がレイヤ 2 接続である場合、IMC はダウンロードされ

ません。この場合、レイヤ 3 接続を再試行するか、管理者に連絡するよう指示す

る指示メッセージをユーザーに表示するように修復ロールを設定する必要があり

ます。

Host Checker ポリシーの設定に関する詳細については、『Junos Pulse Access Control サー


修復オプション

Host Checker は、エンドポイントの問題を識別することができます。ただし、Host Checker

および Pulse Secure Access サービスは、問題を解決することができません。これは、非適

合エンドポイントに対して修復タスクを実行することになるためです。このような問題を修

復するため、Pulse Secure Access サービスは、以下の修復オプションをサポートしていま

す。

• [Instructions to the user]（ユーザーへの指示）—Pulse Secure Access サービスは、非適

合のパッチまたはソフトウェアが存在することを示し、必要なソフトウェアを取得できるリ

ンクが記載されたメッセージをユーザーに送信できます。 47ページの図5 は、一般的な

Pulse の修復メッセージを示したものです。



図 5: Pulse の修復指示

• [Initiate SMS/SCCM remediation]（SMS/SCCM 修復の開始）—Microsoft システムセンター

構成マネージャ（ConfigMgr または SCCM）を使用した修復では、エンドポイントに事前に

インストールされた SMS/SCCM クライアントが Host Checker によってトリガーされ、事前

に構成された SMS/SCCM サーバーからパッチを取得します（システムセンター構成マネー

ジャは、以前はシステム管理マネージャ（SMS）と呼ばれていました）。このメカニズムで

は、 SMS/SCCM サーバーで公開されているパッチだけがインストールされます。

• [Initiate Shavlik remediation]（Shavlik 修復を開始する）—Pulse Access Control サー

ビスおよび UAC リリース 4.1 以降は、Shavlik 修復をサポートしています。 Shavlik 修

復はオプションのライセンス機能です。 Host Checker の実行後にエンドポイントで修復が

必要になった場合、ユーザーは必要なパッチをインストールするように要求される場合があ

ります。修復オプションは、自動的に起動するように設定することができます。 Shavlik

パッチ実装エンジンは、エンドポイントにダウンロードされます。エンジンは、ベンダー

のパッチ保存場所にリンクし、パッチをインストールします。 49ページの図6 は、Pulse

サーバーが Host Checker および Shavlik 修復で構成されている場合に、ユーザーに表示さ



れる Pulse クライアントの画面を示したものです。このプロンプトは設定オプションであ

り、パッチをインストールするかどうかをユーザーが決定できます。



図 6: Shavlik パッチ修復の Pulse クライアント画面

関連項目 50ページのPulse Access Control サービスでの修復メッセージの発行•



• 51ページのPulse Access Control サービスでの SMS/SCCM 修復の使用

• 52ページのPulse Access Control サービスでの Shavlik 修復の使用

Pulse Access Control サービスでの修復メッセージの発行

Host Checker ポリシーがエンドポイントの非準拠を検出すると、 Pulse インターフェースに

は、カスタム指示およびエンドポイントの準拠方法に関する理由文字列を記載したメッセージ

が表示されます。ユーザーがメッセージに記載されている手順を実行しない限り、エンドポ

イントは保護されたリソースにアクセスできません。

Host Checker ポリシーで修復メッセージを有効にするには、以下の手順に従います。

1. 管理コンソールで、[Authentication]（認証） > [Endpoint Security]（エンドポイントの

セキュリティ） > [Host Checker] を選択します。

2. [Policies]（ポリシー）セクションで [New]（新規）をクリックして、新しい Host Checker

ポリシーを作成します。

Host Checker ルールの設定に関する詳細については、『Junos Pulse Access Control サー


3. Host Checker ポリシーの一部として、[Enable Custom Instructions]（カスタム指示の有

効化）を選択します。

このオプションを選択すると、テキストボックスが表示されます。ここには、Host Checker

の修復ページでユーザーに表示する指示を入力します。テキストをフォーマットし、ポ

リシーサーバーや Web サイトといったリソースへのリンクを追加するため、 、、

 、、および <a href> の各 HTML タグを使用できます。たとえば、以下のよう

に記述します。

最新の署名ファイルがありません。

<a href=”www.company.com”>ここをクリックして、最新の署名ファイルをダウンロード

してください。</a>

4. オプションとして、[Send reason strings]（理由文字列の送信）を選択します。 Host

Checker または IMV によって返され、クライアントマシンが Host Checker ポリシーの

要件を満たしていない理由を説明するユーザーへのメッセージ（理由文字列と呼ばれます）

を表示するには、このオプションを選択します。理由文字列とは、IMV がクライアントマ

シンについてチェックした事項を説明するものです。このオプションは、事前に定義され

たルール、カスタムルール、および Juniper Networks TNC SDK の拡張機能を使用する

サードパーティ IMV に適用されます。


Pulse ユーザーに対して設定したレルムまたはロールに Host Checker が含まれていることを

確認します。


管理

•





Pulse Access Control サービスでの SMS/SCCM 修復の使用

Junos Pulse では、パッチ配備について SMS/SCCM ダウンロード方式をサポートしています。

Pulse Access Control サービスで、パッチ配備用に SMS/SCCM 方式が構成されている場合、

Pulse クライアントのエンドポイントには SMS/SCCM クライアントがインストールされている

必要があります。そうでない場合、修復は失敗します。

通常、ソフトウェア管理用に SMS/SCCM が設定されたエンドポイントでは、更新がないか 15

分以上の間隔でサーバーをポーリングします。最悪の場合、既存の Host Checker ソフトウェ

ア要件に準拠していないクライアントは、次の更新間隔までログインを待つ必要があります。

SMS/SCCM ダウンロード方式を使用する場合、パッチ評価チェック直後にソフトウェアの更新

を開始するよう、クライアントに強制できます。ユーザーがログインを試行し、 Host Checker

のパッチ評価ポリシーに準拠するために必要なソフトウェアのバージョンがエンドポイントに

ない場合、Host Checker は、すぐにサーバーをポーリングして更新がないか確認するよう、

直ちにクライアントに通知します。クライアントは、 SMS/SCCM 更新が開始したという通知を

受信します。

通知を受けたときにクライアントを更新するように SMS/SCCM を設定するには、 SMS/SCCM で

アドバタイズメント時間を [As soon as possible]（できるだけ早く）に設定します。

クライアントを、SMS/SCCM サーバーの特定のグループまたはコレクションに割り当てると、

サーバーは、そのコレクション用のパッチをアドバタイズできるようになります。コレクショ

ンに対応するロールは、Pulse Access Control サービスで設定できます。 SMS/SCCM は、特定

のロールに適したパッチを送信できます。

エンドポイントには、SMS/SCCM クライアントを適切にインストールおよび設定する必要があ

ります。また、SMS/SCCM サーバーが到達可能でなければなりません。レイヤ 2 ネットワーク

では、エンドポイントがネットワークに接続される前に、Host Checker が実行されます。

Host Checker は、クライアントで設定された SMS/SCCM サーバーの IP アドレスを取得できま

す。エンドポイントが非準拠になり修復が必要な場合、クライアントを更新するようサーバー

に通知できるまで、Host Checker は 15 秒ごとにサーバーの IP アドレスに ping を送信し

ます。

SMS/SCCM がアドバタイズメントを返信するまでユーザーには通知が行われないため、この機

能が有効な場合は、予期される動作をユーザーに通知しなければなりません。

注: いずれかの時点で 1 つのエンドポイントに対して 1 つのパッチ配備のみ行う

ことを推奨します。ただし、SMS/SCCM の更新が進行中かどうかを判断する手段が

ないため、SMS/SCCM の更新と同時に、パッチ配備エンジンが開始される可能性も

あります（このような状況は、Pulse が 2 つのデバイスに接続していて、一方

が SMS/SCCM 修復を使用し、もう一方が Shavlik パッチ配備エンジンを使用してい

る場合に発生する可能性があります）。ほとんどのパッチでは、2 つのインスタン

スの実行を許可していないため、いずれかの修復処理が失敗することになります。

管理コンソールでは、すべての Host Checker ポリシーについて、 1 つの Host Checker パッ

チ修復オプション（SMS/SCCM または Shavlik のいずれか）だけを選択することができます。



Pulse が Pulse Access Control サービスと Pulse Secure Access サービスの両方に接続し

ている場合、一方が SMS/SCCM 修復を使用し、もう一方が Shavlik 修復を使用するため、両

方の要求が処理されます。両方のサーバーが Shavlik 修復を使用するように設定されている

場合、要求はキューに入れられます。

SMS/SCCM 評価および修復を有効にするには、以下の手順に従います。







3. [Patch Remediation Options]（パッチ修復オプション）で、[SMS/SCCM Patch Deployment]

（SMS/SCCM パッチ配備）を選択します。



確認します。


管理

•

• 50ページのPulse Access Control サービスでの修復メッセージの発行


Pulse Access Control サービスでの Shavlik 修復の使用

指定した Host Checker パッチポリシーに準拠していない Junos Pulse リリース 2.0 以降の

エンドポイントは、必要なパッチで更新し、 Shavlik パッチ配備エンジンによって自動的に

準拠するようにできます。エンドポイントの Host Checker IMC はパッチ配備エンジンと連

動し、IMV から報告された不足しているパッチをダウンロードしてインストールを行います。

Shavlik ソフトウェアはエンドポイントで実行され、指定されたパッチをベンダーの Web サ

イトから’ダウンロードし、Host Checker ポリシーで要求されたパッチをインストールしま

す。

注: Shavlik によるパッチの監視および配備には、ライセンスが必要です。

Shavlik パッチ配備エンジンは、Pulse サーバーでホストされる実行可能ファイルで、Pulse

配備の一部としてエンドポイントにダウンロードされます。修復処理中、配備エンジンはベ

ンダーの Web サイトから直接パッチをダウンロードするため、 Shavlik 修復にはインターネッ

ト接続が必要になります。レイヤ 3 接続がない場合、 Shavlik パッチ配備エンジンはレイヤ

2 で動作しません。

パッチ評価に必要なすべてのファイルは、 Juniper Networks Customer Support Center ESAP

パッケージの UAC R4.1 で始まるエンドポイントセキュリティ評価プラグイン（ESAP）の一



部です。 UAC R4.1 に付属するデフォルトの ESAP パッケージには、必要なパッチ配備ファイ

ルが含まれます。古い ESAP パッケージは、これらのデバイスでの更新に失敗します。 ESAP

ファイルの更新方法については、『Junos Pulse Access Control サービス管理ガイド』を参照

してください。

パッチ監視用の IMC および IMV ソフトウェアは、下位互換性を備えています。この機能は、

Pulse リリース 2.0 以降で利用可能なため、新しい Pulse と古い IMV（Pulse サポート付

き）との通信、または新しい IMV と古い IMC との通信が現在と同じ動作で行われます。パッ

チ評価は変更されていないため、Shavlik 配備エンジンが修復のために呼び出されることはあ

りません。

注: いずれかの時点で 1 つのエンドポイントに対して 1 つのパッチ配備操作のみ

行うことを推奨します。ただし、SMS/SCCM の更新が進行中かどうかを判断する手

段がないため、SMS/SCCM の更新と同時に、パッチ配備エンジンが開始される可能

性もあります（このような状況は、Pulse が 2 つのデバイスに接続していて、

一方が SMS/SCCM 修復を使用し、もう一方が Shavlik パッチ配備エンジンを使用し

ている場合に発生する可能性があります）。ほとんどのパッチでは、2 つのインス

タンスの実行を許可していないため、いずれかの修復処理が失敗することになり

ます。



Pulse が Junos Pulse Secure Access サービスと Pulse Access Control サービスの両方に接

続している場合、一方が SMS/SCCM 修復を使用し、もう一方が Shavlik 修復を使用するため、

両方の要求が処理されます。両方のサーバーが Shavlik 修復を使用するように設定されてい

る場合、要求はキューに入れられます。








3. [Patch Remediation Options]（パッチ修復オプション）で、[Shavlik Patch Deployment]

（Shavlik パッチ配備）を選択します。

4. パッチ更新をインストールするかどうかの決定をユーザーに許可するには、[Prompt the

user for consent before automatic patch deployment]（自動パッチ配備の前にユーザー

に同意を求める）を選択します。

パッチ配備の完了には、少し時間がかかります。パッチによってはシステムの再起動が必

要です。



5. ユーザーからパッチのインストールを要求できるようにする場合は、デフォルトアクショ

ンを選択します。ユーザーが 1 分以内に要求への返答をしなかった場合、デフォルトア

クションが自動的に実行されます。以下のデフォルトアクションのいずれかを選択しま

す。

• [Deploy patches]（パッチを配備する）

• [Do not deploy patches]（パッチを配備しない）



管理

•



Pulse Access Control サービスに対する Enhanced Endpoint Security の有効化

Host Checker には、Windows エンドポイントを検出して修復できる統合スパイウェア対策機

能が用意されています。 Enhanced Endpoint Security（EES）では、マルウェア、スパイウェ

ア、ウィルス、またはワームが、 Pulse Access Control サービスへの接続を試みるエンドポ

イントに存在しないことが保証されます。また、Host Checker ポリシーの設定に従って、そ

のようなエンドポイントを制限したり隔離したりできます。エンドポイントで EES が動作し

ている場合、Pulse インターフェースには、EES のステータスを示すセキュリティペインが

表示されます。

注: 基本ライセンスでは、デフォルトで 2 つのエンドポイントでこの機能を同時

に使用することが許可されています。追加ユーザーがこの機能を使用できるように

するために、別途ライセンスを購入することができます。

EES はエンドポイントでプロセスをスキャンし、ファイルシステムの書き込みおよび実行操

作を監視し、非準拠のマシンを自動的に修復することができます。 EES は検出された脅威を

報告しますが、修復は実行しません。場合によっては、準拠を実現するため、ユーザーは、

マシンの再起動を指示される場合があります。

EES は、インターネット上の Web Root Spy Sweeper サーバーからエンドポイントに自動的に

ダウンロードされる署名データベースを使用します。署名データベースは、Pulse Access

Control サービスではホストされません。 EES が正常に動作するには、エンドポイントがイン

ターネットにアクセスできる必要があります。また、デフォルトの修復ロールを設定する場

合、修復ロールに指定されるエンドポイントは、 *.webroot.com にアクセスできなければなり

ません。

署名データベースの有効期限は、Pulse Access Control サービスを設定することで決定でき

ます。データベースの有効期限は、 Host Checker ポリシーを渡すことにより、ユーザーがリ

ソースにアクセスできるかどうかを決定するために使用されるしきい値です。たとえば、署

名が作成されてから 5 日目で、有効期限を 3 日に設定している場合、エンドポイントはリ

ソースにアクセスできます。有効期限を 4 日に設定している場合、エンドポイントは Host



Checker ポリシーに失敗します。署名は定期的に更新されるため、エンドポイントは通常は

最新の更新状態になっています。

Pulse Access Control サービスに接続する前に、エンドポイントのインターネット接続が利

用できず、署名の有効期限をチェックするオプションを選択している場合、署名が古すぎる場

合はポリシーに合格しません。たとえば、ユーザーが数日間エンドポイントにアクセスして

おらず、署名が最新でない場合、そのエンドポイントは Pulse Access Control サービスにア

クセスできません。この問題を回避するには、*.webroot.com での署名更新用にインターネッ

トへの限定アクセスを許可する、デフォルトの修復ロールを作成する必要があります。

レイヤ 2 での EES スキャン用に設定されたエンドポイントは、どれもチェックに失敗しま

す。ネットワーク接続を許可するには、ユーザーを修復 VLAN に再割り当てするレルムを設

定しなければなりません。これにより、エンドポイントのユーザーは、必要な署名更新に接

続しダウンロードできるようになります。また、初回接続の場合は、EES インストーラパッ

ケージをダウンロードします。

複数のポリシーが作成されるのを防ぎ、ポリシーを有効にしたすべてのレルムとロールで同じ

ポリシーが使用されるようにするには、[Endpoint Security]（エンドポイントのセキュリティ）

> [Host Checker] メインページで EES を設定します。レルムまたはロールを作成する場

合、他の Host Checker ポリシーに加えて EES 制限も有効にできます。

注: エンドポイントに EES ポリシーを設定すると、 Host Checker EES で保護され

ているリソースにエンドポイントが初めてアクセスしたときに、EES インストーラ

（約 5 MB）が、それぞれのエンドポイントに個別にダウンロードされます。ユー

ザーのエンドポイントは問題のあるソフトウェアがないかスキャンされ、署名が自

動的にインストールされます。

ユーザーの操作体験

大量のデータがダウンロードされ（インストーラに約 5 MB、署名に約 12 MB）ると、その後

でメモリスキャンが行われます。インストール後は、署名が更新されます。また、メモリ

スキャンが実行され、スパイウェアがメモリにロードされていないことが確認されます。ダ

ウンロード、更新、スキャンの完了には、長い時間を必要とします。

脅威が検出されると、Host Checker によって自動的に修復され、報告は実行されません。脅

威を修復できない場合は、エンドポイントからサーバーに報告が行われます。ロールとユー

ザーセッションは、エンドポイントの準拠状態に応じて調整できます。準拠ステータスは、

複数のユーザー文字列によってユーザーに自動的に通知されます。

EES スパイウェア対策を有効にして使用するには、以下の手順に従います。


セキュリティ） > [Host Checker] をクリックします。

2. [Options]（オプション）で、[Advanced Endpoint Protection: Malware Protection]（高

度なエンドポイント保護: マルウェア保護）タブを選択します。

3. [Enable Advanced Endpoint Protection: Malware Protection] （高度なエンドポイント保

護の有効化: マルウェア保護）チェックボックスを選択します。



4. 署名定義データベースの有効期限を設定するには、 [Signature definitions should not

be older than]（署名定義データベースの有効期限）チェックボックスを選択します。

有効期限を日数（3 ～ 30）で入力します。この数字により、署名の最大限許容できる古

さが決定されます。この設定によって、更新の頻度が変更されることはありません。

5. ネットワーク接続の許可後に、バックグラウンドで直ちに EES スキャンを有効にするには、

[Install EES and scan endpoints after network connection is established] （ネット

ワーク接続の確立後に EES をインストールしてエンドポイントをスキャンする）チェック

ボックスを選択します。

このオプションを選択すると、スキャンの実行前に、直ちに接続が許可されます。このオ

プションを選択することで、ユーザーはすぐに接続して作業を開始できるようになります。

ただし、エンドポイントでマルウェアのスキャンが実行される前にネットワークへのアク

セスを許可することになるので、このオプションの安全性は低いものとなります。


レルムまたはロールの Host Checker 制限を作成または設定すると、 [Enhanced Endpoint

Security: Malware Protection]（Enhanced Endpoint Security: マルウェア保護）を選択し

て、そのロールまたはレルムに適用できるようになります。


管理

•




同じタイプの Pulse サーバー間で Junos Pulse 設定をプッシュする

Push Configuration 機能を使用することで、 Junos Pulse 接続、コンポーネント、アップロー

ドされた Pulse パッケージを中央管理することができます。 Push Configuration 機能では、

すべての構成設定または選択した構成設定を、ある Pulse サーバーから同じタイプの別の

Pulse サーバーにコピーできます。たとえば、ある SA シリーズ SSL VPN アプライアンスか

ら別の SA シリーズ SSL VPN アプライアンスにコピーすることができます。

このセクションでは、Push Configuration 機能を使用して Pulse を中央管理する方法につい

て説明します。 Push Configuration の使用に関する詳細については、該当する管理ガイドを

参照してください。

以下の留意点は、設定のプッシュに関するものです。

• 1 回の操作で、1 つまたは複数の Pulse サーバーにプッシュできます。プッシュ操作ごと

に最大 8 つのターゲットにプッシュできます。また、最大で 25 件のプッシュ操作を同時

に実行できます。つまり、ターゲットの最大数は 200 です。ターゲット Pulse サーバー

へのプッシュが失敗すると、次のターゲットに操作の対象が移ります。この処理は、指定さ

れたすべてのターゲットが更新されるまで続行します。ステータスと処理中に発生した問題

は、結果ページに表示されます。

• クラスタのメンバである Pulse サーバーへのプッシュは、ターゲットの Pulse サーバーが

ソースと同じクラスタのメンバでない限り可能です。



• ターゲットの Pulse サーバーは、プッシュされた構成設定を拒否できます。デフォルトで

は、受け入れるように設定されています。

• 更新が完了すると、ターゲットの Pulse サーバーはサービスを再起動します。サービスの

再起動中に、短時間の中断が発生する場合があります。そのため、ターゲットへのプッシュ

は、ターゲットがアイドル状態の場合、または短時間の中断に対応できる時間帯に実行する

ことをお勧めします。

• Pulse サーバーは、プッシュされた設定を受け取っても警告メッセージを表示しません。

• プッシュ処理時は、ターゲットの Pulse サーバーが自動的に管理者をログアウトします。

• ソースとターゲットの Pulse サーバーは、ビルドのバージョンと番号が同じでなければな

りません。

• ソースの Pulse サーバーの管理者アカウントは、ユーザーが介入することなくターゲット

の Pulse サーバーにサインインする必要があります。たとえば、動的資格情報やマージさ

れていない複数のロールは、どちらもユーザーの手動操作を必要とするため使用できませ

ん。

Push Configuration 機能を使用する前に、以下の条件に従ってシステムを設定する必要があ

ります。

• すべての管理者権限を持つ「スーパー管理者」を作成し、 .Administrators ロールにマップ

する必要があります。 [Authentication]（認証） > [Auth Servers]（認証サーバー） >

[Administrator Server]（管理者サーバー） > [Users]（ユーザー）の設定を変更し、自分

自身を .Administrators ロールに追加します。

• ターゲットの Pulse サーバーの管理者アカウントでは、チャレンジ/応答タイプの認証を使

用しない静的パスワード認証または 2 要素トークンを使用する必要があります。たとえ

ば、証明書、Soft ID、 Defender 認証はサポートされていません。 [Administrators]（管

理者） > [Admin Realms]（管理レルム） > [Administrator Realm]（管理者レルム） >

[General]（一般）の設定を変更し、管理者レルムに対して適切な認証サーバーを選択しま

す。

• 管理者アカウントは、ターゲットの Pulse サーバーにサインインするために管理者にロー

ルの選択を要求するような方法で設定しないでください。たとえば、Push Configuration

管理者ロールのように、 1 人のユーザーを複数のロールにマップしないでください。このよ

うにすると、ロールの統合に失敗します。 Push Configuration 管理者には、専用のアカ

ウントを作成することをお勧めします。このようにすることで、管理者がサインインプロ

セスでロールを選択する必要がなくなるだけでなく、 Push Configuration 管理者のアクショ

ンをログファイルで明確に区別できるようになります。 [Administrators]（管理者） >

[Admin Realms]（管理レルム） > [Administrator Realm]（管理者レルム） > [Role Mapping]

（ロールのマッピング）の設定を使用し、適切なロールマッピングルールを設定します。

Junos Pulse 設定をある Pulse サーバーから同じタイプの別の Pulse サーバーにプッシュす

るには、以下の手順に従います。

1. まだターゲットを定義してない場合は、 [Maintenance]（メンテナンス） > [Push Config]

（プッシュ設定） > [Targets]（ターゲット）を選択して定義します。ターゲットを定義

する詳細な手順については、該当する管理者ガイドを参照してください。

2. 管理コンソールで、[Maintenance]（メンテナンス） > [Push Config]（プッシュ設定） >

[Push Configuration]（プッシュ設定）を選択します。



3. [What to push]（プッシュの対象）ボックスで、 [Selected configuration]（選択した設

定）を選択し、設定カテゴリを表示します。

4. リストを下方向にスクロールし、Junos Pulse というラベルの項目を展開します。

5. この Pulse サーバーのすべての Junos Pulse 設定をプッシュするには、[Select All

Configurations]（すべての設定を選択）チェックボックスを選択します。または、以下

のカテゴリから任意の組み合わせを選択します。

• [Junos Pulse Connections]（Junos Pulse 接続）—接続設定および接続

• [Junos Pulse Components]（Junos Pulse コンポーネント）—コンポーネントセット

• [Junos Pulse Versions]（Junos Pulse の各バージョン）—Pulse サーバーにアップロー

ドされた Pulse パッケージ

6. [Selected Targets]（選択したターゲット）ボックスにターゲットを追加します。

7. [Push Configuration]（プッシュ設定）をクリックします。

Pulse の自動アップグレードの有効化または無効化

エンドポイントに Junos Pulse クライアントソフトウェアを配備すると、ソフトウェアが自

動的に更新されます。 Pulse サーバーで Pulse クライアント設定をアップグレードすると、

クライアントが次回接続したときに、更新されたソフトウェアコンポーネントがプッシュさ

れます。




注: バインドされているエンドポイントは、バインドしているサーバーから接続

設定オプションと接続を受け取りますが、自動アップグレードオプションが有効

になっている任意の Pulse サーバーから、 Pulse クライアントソフトウェアを

アップグレードさせることができます。クライアントソフトウェアのアップグ

レード中、クライアントは一時的に接続を失います。

Pulse クライアントソフトウェアのアップグレードは、デフォルトで有効になっています。

この動作を変更するには、以下の手順に従います。

1. 管理コンソールで、[Maintenance]（メンテナンス） > [System]（システム） > [Options]

（オプション）を選択します。

2. [Enable automatic upgrade of Junos Pulse Clients] （Junos Pulse クライアントの自動

アップグレードの有効化）チェックボックスをオンまたはオフにします。


関連項目 59ページのJunos Pulse ソフトウェアのアップグレード•



Junos Pulse ソフトウェアのアップグレード

サポートされている各 Pulse サーバーのソフトウェアイメージには、 Junos Pulse クライア

ントソフトウェアパッケージが含まれています。新しいバージョンの Pulse ソフトウェア

が使用可能になったら、それを Pulse サーバーにアップロードできます。 Pulse サーバーに

は、複数のバージョンの Pulse を配置することができますが、アクティブにできるのは 1 つ

の Pulse クライアントパッケージだけです。新しいバージョンの Pulse をアクティブにし、

Pulse サーバーの自動アップグレードオプションが有効になっている場合、Pulse クライア

ントが接続すると、アップグレードのプロンプトがユーザーに表示されます。ユーザーは、

アップグレードのインストールまたは操作のキャンセルを選択できます。キャンセルを選択

すると、クライアントがサーバーに接続するたびにアップグレードのプロンプトが表示されま

す。クライアントソフトウェアのアップグレード中、 Pulse クライアントは一時的に接続を

失います。




図 7: Pulse クライアントのアップグレードメッセージ

新しい Pulse ソフトウェアパッケージを Pulse サーバーがアクセスできる場所に配備した

ら、以下の手順に従って Pulse サーバーにソフトウェアをアップロードします。

1. デバイスの管理コンソールで、[Users]（ユーザー） > [Junos Pulse] > [Components]（コ

ンポーネント）を選択します。

2. [Manage Junos Pulse Client Versions]（Junos Pulse クライアントのバージョンの管理）

セクションで [Browse]（参照）をクリックし、ソフトウェアパッケージを選択します。

3. [Upload]（アップロード）をクリックします。



アクティブにできる Junos Pulse ソフトウェアパッケージは、1 度に 1 つだけです。新し

いパッケージを追加したら、それを有効にする必要があります。

Pulse パッケージをデフォルトとして有効にするには、以下の手順に従います。

1. 管理コンソールで、[Users]（ユーザー） > [Junos Pulse] > [Components]（コンポーネン

ト）を選択します。


セクションで、選択するバージョンの横のラジオボタンを選択し、[Activate]（アクティ

ブ化）をクリックします。

関連項目 • 58ページのPulse の自動アップグレードの有効化または無効化



第3章

Junos Pulse Secure Access サービスの設定

• 始める前に 61ページ

• Junos Pulse Secure Access サービスの概要 62ページ

• Junos Pulse Secure Access サービスのロールの設定 63ページ

• Pulse Secure Access サービスに対するマシン認証 70ページ

• Pulse Secure Access サービスに対する資格情報プロバイダ認証 71ページ

• セキュアアプリケーションマネージャに対する Pulse の設定 73ページ

• Pulse Secure Access サービスの Pulse 接続設定オプション 80ページ

• Pulse 接続の設定オプション 81ページ

• Junos Pulse エンドポイントでの接続状態のセキュリティ保護 85ページ

• Pulse Secure Access サービスのクライアント接続設定の作成 85ページ

• 位置認識規則の設定 87ページ

• Pulse Secure Access サービスの Junos Pulse コンポーネントセットオプション 90ページ

• Pulse Secure Access サービスのクライアントコンポーネントセットの作成 91ページ

• エンドポイントセキュリティの監視および Pulse Secure Access サービスの管理 92ページ

• Pulse Secure Access サービスでの修復メッセージの発行 97ページ

• Pulse Secure Access サービスでの SMS/SCCM 修復の使用 98ページ

• Pulse Secure Access サービスでの Shavlik 修復の使用 99ページ

• Pulse Secure Access サービスでの Enhanced Endpoint Security の有効化 101ページ

• 同じタイプの Pulse サーバー間で Junos Pulse 設定をプッシュする 103ページ

• Pulse の自動アップグレードの有効化または無効化 105ページ

• Junos Pulse ソフトウェアのアップグレード 105ページ

• iPass Open Mobile と Junos Pulse の統合 107ページ

• Pulse Collaboration Suite の概要 108ページ

始める前に

Junos Pulse の設定を開始する前に、 SA シリーズ SSL VPN ネットワークの設定が完了してい

ることを確認してください。また、認証サーバーやサインイン設定など、その他の認証設定


も定義しておく必要があります。認証設定や Host Checker の設定は、 Junos Pulse のイン

ストールに直接影響します。これは、エンドポイントから保護されているリソースへのアクセ

スが許可される条件を定義できるためです。

Junos Pulse Secure Access サービスの概要

Junos Pulse Secure Access サービスを有効にするには、ユーザーが認証を要求したときに、

管理者が作成したロールのマッピングとオプションのセキュリティプロファイルに基づいて

ロールが割り当てられるようにサービスを設定します。ユーザーとデバイスに特定リソース

へのアクセスが許可されるのは、そのレルムに対する適切な資格情報を提示でき、適切なロー

ルが割り当てられており、そのエンドポイントがセキュリティ制限を満たしている場合に限ら

れます。ユーザーは、管理者が定義したセキュリティ制限を満たしていないエンドポイント

からネットワークへ接続しようとしても、そのレルムやロールにアクセスできません。

Pulse を設定するには、Pulse クライアントソフトウェアをどのように配備したいかを決め

ておく必要があります。 Pulse は、次の 1 つまたは複数の方法で配備できます。

• デフォルトを使用するか、Junos Pulse のデフォルトのコンポーネントセットとデフォル

トの接続設定に変更を加えてから、ユーザーに Pulse サーバーのユーザー Web ポータルに

ログインしてもらい、Pulse をダウンロードおよび配備して、ロールを割り当てます。イ

ンストールが完了すると、ユーザーにはネットワークリソースへアクセスするために必要

なすべての接続が与えられます。

• エンドポイントが接続とサービスに必要とする接続設定を作成し、設定ファイル

（.jnprpreconfig）をダウンロードして、デフォルトの Pulse インストールプログラムを

ダウンロードします。 Windows エンドポイントの場合は、設定ファイルをオプションとし

て指定し、msiexec コマンドを使用して Pulse インストールプログラムを実行します。

OS X エンドポイントの場合は、デフォルトのインストーラを実行してから、別のコマンド

を使用して .jnprpreconfig ファイルをインポートします。

• 事前構成されていない Junos Pulse を配布します。デフォルトの Junos Pulse インストー

ルファイルは、.msi または .exe 形式で Pulse サーバーからダウンロードし、各組織の標

準的なソフトウェア配布方法に従って、そのファイルをエンドポイントに配布します。イ

ンストーラには事前構成された接続設定が含まれていないため、ユーザーが手動でネット

ワーク接続を定義する必要があります。また、Pulse サーバーごとに動的接続を作成する

こともできます。これらの接続は、ユーザーが Pulse サーバーのユーザー Web ポータル

でログイン資格情報を入力すると、インストール済みの Pulse クライアントに自動的にダ

ウンロードされます。動的接続は、自動接続ではなく、手動接続として作成されます。つ

まり、ユーザーが接続を開始した場合、または Pulse サーバーにアクセスして、サーバー

の Web インターフェースから Pulse を起動した場合だけに実行されます。

Junos Secure Access サービスを設定する操作の概要は、以下のとおりです。

• ユーザーのロールを作成して割り当て、ネットワーク上のリソースとアプリケーションにア

クセスできるかユーザーを制御します。アクセス環境をエージェントレスまたは Network

Connect から変換する場合は、Junos Pulse に固有のロールを新たに作成する必要がありま

す。

• Host Checker ポリシーを使用して、エンドポイントのセキュリティ制限を定義します。

• ユーザーのレルムを定義して、認証ドメインを確立します。アクセス環境をエージェントレ

スまたは NC 環境から変換する場合、通常は既存のレルムを使用できます。



• ロールマッピングを使用して、ロールを適切なレルムに関連付け、アクセス制御階層を定

義します。

• Junos Pulse のコンポーネントセット、接続設定、および接続を定義します。

• Junos Pulse をエンドポイントに配備します。

Junos Pulse および IVS

Windows 対応 Junos Pulse クライアントは、SA シリーズアプライアンスのインスタント仮

想システム（IVS）と互換性がありません。 IVS システムでは、 Pulse クライアントの IP

アドレスは、仮想化された IVE 用に定義されたプールからではなく、ルート IVE アドレス

プールから取得されます。

関連項目 85ページのPulse Secure Access サービスのクライアント接続設定の作成•

• 63ページのJunos Pulse Secure Access サービスのロールの設定

Junos Pulse Secure Access サービスのロールの設定

ユーザーロールでは、セッション設定とオプション、個人用設定（ユーザーインターフェー

スのカスタム化とブックマーク）、有効化されたアクセス機能（Web、ファイル、アプリケー

ション、Telnet/SSH、ターミナルサービス、ネットワーク、ミーティング、E メールアクセ

ス）を定義します。ユーザーロールでは、個々の要求に対するリソースアクセス制御など、

リソースベースのオプションは指定しません。たとえば、ユーザーロールでは、ユーザー

が Pulse Secure Access サーバーの Web ポータル経由で接続した場合に、Web ブラウズ操作

を実行できるかどうかを定義できます。ただし、アクセスを許可する個々の Web リソース

については、別の Web リソースポリシーで定義します。

以下の手順は、Pulse を導入するロールに適用されるロール設定オプションについて説明した

ものです。

Junos Pulse エンドポイントのロールを作成するには、以下の手順に従います。

1. 管理コンソールで、[Users]（ユーザー） > [User Roles]（ユーザーロール） > [New User

Role]（新規ユーザーロール）を選択します。

2. ロールの名前を入力し、オプションで説明を入力します。ここに入力した名前は [Roles]

（ロール）ページの [Roles]（ロール）リストに表示されます。

3. [Client Options]（クライアントオプション）で、[Junos Pulse] を選択します。

このオプションを有効にすると、Secure Access サービスの Web ポータルに Junos Pulse

ボタンが表示されます。ユーザーがこのボタンをクリックすると Pulse がダウンロード

され、ユーザーのエンドポイントにインストールされます。

このオプションを有効にするだけでは、ロールのクライアントととして Pulse は有効にな

りません。このオプションは、[Access Features]（アクセス機能）セクションで有効に

した設定と、各ロールのタブでの設定と連携して動作します。 Junos Pulse、セキュアア

プリケーションマネージャ（SAM）対応 Junos Pulse、または Network Connect が有効に


第3章: Junos Pulse Secure Access サービスの設定

なるかどうかは、各設定の組み合わせによって決まります。以下の手順は、各クライアン

トオプションを有効にする方法を示したものです。

Junos Pulse を有効にするには、以下の手順に従います。

a. ロールの [General]（一般） > [Overview]（概要） > [Options]（オプション）セク

ションで、[Junos Pulse] を選択します。

この設定は、Windows および Apple OS X の両方のバージョンの Junos Pulse に適用

されます。

b. [Access Features]（アクセス機能）セクションで、[VPN Tunneling]（VPN トンネリン

グ）を選択します。

[VPN Tunneling]（VPN トンネリング）タブでは、分割トンネルの動作を指定したり、

Pulse コンポーネントセットを指定したり、サードパーティ製ソフトウェアの統合を有

効にしたりできます。

SAM 対応 Junos Pulse を有効にするには、以下の手順に従います。

a. [Options]（オプション）セクションで、[Junos Pulse] を選択します。

b. [Access Features]（アクセス機能）セクションで、[Secure Application Manager]（セ

キュアアプリケーションマネージャ）を選択し、[Windows version]（Windows バー

ジョン）を選択します。

[SAM] タブでは、SAM によってセキュリティを確保するアプリケーションとサーバーを

指定できます。

Network Connect を有効にするには、以下の手順に従います。

a. [Options]（オプション）セクションで、[Junos Pulse] が無効になっていることを確認

します。

b. [Access Features]（アクセス機能）セクションで、[VPN Tunneling]（VPN トンネリン

グ）を選択します。

4. [Save Changes]（変更を保存）をクリックします。 [Role]（ロール）設定タブが表示され

ます。

注: [Junos Pulse] オプションが有効で、他のアクセス方法（VPN トンネリング、

WSAM）が有効になっていない場合、クライアントは配信されません。

Pulse Secure Access サービスの一般的なロールオプションの設定

[General]（一般）タブには、クライアントがサーバーおよびネットワークと対話する方法を

細かく制御するためのオプションが用意されています。 Junos Pulse に適用されるオプショ

ンの説明は、以下のとおりです。




[Source IP]（ソース IP）—ユーザーが Web ポータルのサインインページにアクセスしたり、

ロールに割り当てられたり、リソースにアクセスしたりできるアクセス元の IP アドレス

を制御します。

[Browser]（ブラウザ）—ブラウザのユーザーエージェント文字列に基づいて、ロールへのアク

セスを許可または拒否します。

[Certificate]（証明書）—すべてのユーザーまたは署名されたクライアントサイド証明書を持つ

ユーザーだけを許可します。

[Host Checker]—ロールで強制する設定済みの Host Checker ポリシーを選択します。

[General]（一般） > [VLAN/Source IP]（VLAN/ソース IP）

[VLAN and Select Source IP]（VLAN およびソース IP の選択）—ロールに基づいてトラフィック

を特定のサイトに導くため、各ロールに対するソース IP のエイリアスを定義し、そのエ

イリアスを使用して、内部インターフェースのソース IP アドレスに対して定義した仮想

ポートを設定することができます。これにより、バックエンドデバイスは、エイリアス

に基づいてエンドユーザーのトラフィックを導くことができます。これにより、すべて

のエンドユーザーのトラフィックが同じ内部インターフェースのソース IP アドレスを

持つ場合でも、さまざまなエンドユーザーを、各自のロールに基づいて、定義されたサ

イトに導くことができます。詳細については、『Junos Pulse Secure Access サービス

管理ガイド』を参照してください。


[Idle Timeout]（アイドルタイムアウト）—セッションがアイドル状態（トラフィックなしの状

態）を保持できる最大時間です。この時間が経過すると、サーバーはセッションを終了し

ます。

[Max. Session Length]（最大セッション時間）—セッションの最大時間です。この時間が経過す

ると、サーバーがセッションを終了します。

[Reminder Time]（警告時間）—[Enable Session Extension]（セッション延長の有効化）機能が

有効になっている場合に、Pulse を通じてサーバーから通知を送信するセッション終了前

の時間を分単位で指定します。これにより、セッションが間もなく終了することがユー

ザーに通知されます。

[Enable Session Extension]（セッション延長の有効化）—ユーザーによるセッションの延長を許

可します。ユーザーは、 Pulse クライアントインターフェースのメニューオプション

を選択することで、いつでもセッションの延長を選択することができます。 [Enable

Session Timeout Warning]（セッションタイムアウト警告の有効化）が選択されている場

合、 [Reminder Time]（警告時間）になると通知メッセージが表示されます。ユーザー

は、この通知メッセージから、セッションの延長を選択することができます。

[Enable Session Timeout Warning]（セッションタイムアウト警告の有効化）—Pulse VPN セッショ

ンの期限切れが近づいていることをユーザーに通知するセッションタイムアウト警告を

有効または無効にします。どの時点で警告を表示するかは、[Reminder Time]（警告時

間）値で指定します。



[Roaming Session]（セッションのローミング）—以下のいずれかのオプションを選択し、クライ

アントのローミング動作を指定します。

• [Enabled]（有効化）—ローミングセッションでは、動的 IP アドレスを持つラップトッ

プなど、デバイスがあるサブネットから別のサブネットに移動した場合でも、ユーザー

は接続を維持することができます。ユーザーが新しいソース IP アドレスから、以前

に確立したセッションにアクセスすることを防止するには、この機能を無効にします。

ローミングを無効にすることで、ユーザーのセッションをスプーフィングする攻撃の防

御に役立ちます。

• [Limit to Subnet]（サブネットに制限）—ローミングセッションを、エンドポイント

の IP 設定で指定したローカルサブネットに制限します。ある IP アドレスでサイン

インしたユーザーは、IP アドレスが変化した場合でも、同じサブネットに含まれてい

る限り、その新しい IP アドレスでセッションを継続して使用できます。

• [Disabled]（無効化）—このロールにマップされているローミングユーザーセッショ

ンを無効にします。

[Browser Session Cookie]（ブラウザセッション Cookie）—Pulse クライアントの起動後に、

Secure Access サービスのセッション Cookie を削除し、Secure Access サービスの Web

セッションからユーザーをログアウトさせるには、[Enabled]（有効化）を選択します。

ブラウザセッション Cookie を削除することで、Pulse セッションのセキュリティが強化

されます。


[UI Options]（UI オプション）—このページの設定によって、Pulse Secure Access サービスの

Web ポータルページを定義します。

[SAM] > [Applications]（アプリケーション）

[Add Application]（アプリケーションの追加）—Windows Mobile 対応 Pulse ユーザーが使用で

きるアプリケーションは、リソースプロファイルを使用して指定することをお勧めしま

す。ただし、ロールとリソースポリシーの設定を使用することもできます。

[SAM] > [Options]（オプション）

[Auto-uninstall Secure Application Manager]（セキュアアプリケーションマネージャを自動的

にアンインストールする）—この機能は、Windows Mobile クライアントには該当しません。

Windows Mobile デバイスから Pulse Secure Access サービスに接続するには、 Windows

Mobile 対応 Pulse をダウンロードしてインストールする必要があります。

[Prompt for username and password for intranet sites]（イントラネットサイトのユーザー名と

パスワードを要求する）—このオプションを有効にすると、Pulse Secure Access サービス

は、内部ネットワークのサイトに接続する前に、サインイン資格情報の入力をユーザーに

要求します。このオプションにより、Internet Explorer のイントラネットゾーン設定

が変更され、イントラネットサイトのネットワークサインイン資格情報を常にユーザー

に要求するようになります。

[Auto-upgrade Secure Application Manager]（セキュアアプリケーションマネージャの自動アッ

プグレード）—この機能は、Windows Mobile 対応 Pulse App には該当しません。



[Resolve only host names with domain suffixes in the device DNS domains]（デバイスの DNS

ドメインにドメインサフィックスを持つホスト名だけを解決する）—このオプションを有効に

すると、ユーザーは、ログインドメインの一部である Web サイトだけをブラウズできる

ようになります。

[Session start script and Session end script]（セッション開始スクリプトおよびセッション終

了スクリプト）—この機能は、Windows Mobile 対応 Pulse App には該当しません。

Pulse Secure Access サービスのロールオプションの設定

ロール設定タブのすべてのオプションの説明は、『Junos Pulse Secure Access サービス管理

ガイド』に記載されています。

Junos Pulse エンドポイントのロールオプションを設定するには、以下の手順に従います。

1. 管理コンソールで、[Users]（ユーザー） > [User Roles]（ユーザーロール）を選択しま

す。

2. 設定するロールをクリックして、[VPN Tunneling]（VPN トンネリング）タブをクリックし

ます。

3. [Split Tunneling Options]（分割トンネリングオプション）で、各オプションを選択しま

す。



[General VPN Options]（一般 VPN オプション）は、すべてのレイヤ 3 VPN クライアン

ト、Junos Pulse、Network Connect、およびサードパーティ製 IKEv2 クライアントに適用

されます。

• [Split Tunneling]（分割トンネリング）—クライアント上のネットワークトラフィック

の流れを定義することができます。

[Enable]（有効にする）—企業のイントラネット用のトラフィックが、Pulse（Pulse ト

ンネル）によって作成された仮想アダプタを使用し、他のすべてのトラフィックがロー

カルの物理アダプタを経由するようにルートが変更されます。

[Disable]（無効にする）—Pulse セッションが確立した場合、分割トンネリング動作を

する原因となる事前に定義されたローカルサブネットおよびホスト間のルートが削除さ

れ、クライアントからのすべてのネットワークトラフィックは Pulse トンネルを経由

します。分割トンネルが無効になると、VPN セッションがアクティブの間、ユーザーは

ローカル LAN リソースにアクセスすることができません。

注: 位置認識動作は、分割トンネリング設定の影響を受けます。たとえば、

位置認識規則が物理アダプタで作成されたアドレス解決に依存し、分割トン

ネリングが無効になっている場合、Pulse が接続を確立した後で、そのルー

ルは常に FALSE と判定します。

[Juniper Client Options]（Juniper クライアントオプション）は、 Junos Pulse および

Network Connect だけに適用されます。

• [Route Precedence]（ルートの優先順位）—ルーティングテーブルの優先順位は、以下

のように定義することができます。

[Tunnel Routes]（トンネルルート）—Pulse 仮想アダプタに関連付けられたルートテー

ブルが優先されます。 Pulse 仮想アダプタと物理アダプタが競合している場合、Pulse

は物理インターフェースを優先します。接続が終了すると、Pulse は元のルートを復

元します。

[Endpoint Routes]（エンドポイントルート）—エンドポイントの物理アダプタに関連付

けられたルートテーブルが優先されます。

• [Route Monitor]（ルート監視）—Pulse はルートテーブルを監視し、適切なアクション

を行います。

[Yes]（はい）—ルートテーブルが変更された場合、 Pulse は接続を終了します。

[No]（いいえ）—クライアントのエンドポイントでルートテーブルを変更できます。

• [Enable TOS Bits Copy]（TOS ビットコピーの有効化）—サービス品質（QoS）プロトコ

ルを導入しているネットワークでのクライアントの動作を制御できます。このチェック

ボックスをオンにすると、Juniper クライアントは、内部 IP ヘッダーから外部 IP ヘッ

ダーに IP サービスのタイプ（TOS）ビットにコピーします。このオプションを有効に

すると、クライアントソフトウェアが Windows エンドポイントに初めてインストール

されたときに、クライアントのエンドポイントの再起動が必要になる場合があることに

注意してください。 Juniper クライアントは、IPSec 転送でのみ TOS ビットコピーを

サポートしており、SSL 転送ではサポートしていません。



• [Multicast]（マルチキャスト）—このオプションが選択されている場合、マルチキャス

ト機能がクライアントで有効になります。

• [Auto-launch]（自動起動）—このオプションが選択されている場合、エンドポイントが

起動されると、Juniper クライアントソフトウェアが自動的にアクティブになります。

[Options for Juniper client on Windows]（Windows での Juniper クライアントのオプ

ション）は、 Windows エンドポイントの Junos Pulse および Network Connect だけに適

用されます。

• [Launch client during Windows Interactive User Logon]（Windows インタラクティブ

ユーザーログオンでクライアントを起動する）—このオプションを有効にすると、ユー

ザーが Windows にログインしたときに Juniper クライアントが起動します。この設定

は、マシン認証と資格情報プロバイダ認証を制御する Pulse 接続設定とは異なること

に注意してください。以下のいずれかのオプションを選択します。

[Require client to start when logging into Windows]（Windows へのログイン時にク

ライアントの起動を要求する）

[Allow user to decide whether to start client when logging into Windows]（Windows

へのログイン時にクライアントを起動するかどうかの決定をユーザーに許可する）

• Windows: [Session start script]（セッション開始スクリプト）—Junos Pulse が Pulse

Secure Access サービスに接続した後で、ロールに割り当てられたユーザーに対して実

行するスクリプト（.bat、.cmd、.exe）を指定します。たとえば、保護対象のリソース

を共有するために、エンドポイントにネットワークドライブをマップするスクリプトを


• Windows: [Session end script]（セッション終了スクリプト）—Junos Pulse が Pulse

Secure Access サービスから切断した後で、ロールに割り当てられたユーザーに対して

実行するスクリプト（.bat、.cmd、.exe）を指定します。たとえば、マップされている

ネットワークドライブを切断するスクリプトを指定できます。開始スクリプトが定義

されていない場合、または開始スクリプトが実行されていない場合、終了スクリプトは

作動しません。

[Options for Juniper client on Mac]（Mac での Juniper クライアントのオプション）

は、 Apple OS X エンドポイントの Junos Pulse および Network Connect だけに適用され

ます。

• Mac: [Session start script]（セッション開始スクリプト）—Junos Pulse が Pulse

Secure Access サービスに接続した後で、ロールに割り当てられたユーザーに対して実

行するスクリプト（.bat、.cmd、.exe）を指定します。たとえば、保護対象のリソース

を共有するために、エンドポイントにネットワークドライブをマップするスクリプトを


• Mac: [Session end script]（セッション終了スクリプト）—Junos Pulse が Pulse Secure

Access サービスから切断した後で、ロールに割り当てられたユーザーに対して実行する

スクリプト（.bat、.cmd、.exe）を指定します。たとえば、マップされているネット

ワークドライブを切断するスクリプトを指定できます。開始スクリプトが定義されて

いない場合、または開始スクリプトが実行されていない場合、終了スクリプトは作動し

ません。



4. [Session scripts]（セッションスクリプト）領域では、必要に応じて次のスクリプトの

場所を指定することもできます。


注: 拡張オプションおよび Linux エンドポイントに適用されるオプションについ

ては、『Junos Pulse Secure Access サービス管理ガイド』を参照してください。

Pulse Secure Access サービスに対応する Host Checker のロールオプションの設定

[Host Checker] オプションを使用することで、設定済みの Host Checker ポリシーを有効化

し、ロールに対して 1 つまたは複数のポリシーを選択したり、エンドポイントがすべての

Host Checker ポリシーまたは選択したいずれかのポリシーを満たす必要があるかどうかを指

定したりできます。 Host Checker ポリシーをロールに割り当てるには、ポリシーをあらかじ

め定義しておく必要があります。認証およびエンドポイントのセキュリティ設定の詳細につい

ては、『Junos Pulse Secure Access サービス管理ガイド』を参照してください。

選択したロールの Host Checker を設定するには、以下の手順に従います。

1. 選択したロールについて、[General]（一般） > [Restrictions]（制限） > [Host Checker]


2. [Allow users whose workstations meet the requirements specified by these Host Checker

policies] （Host Checker ポリシーで指定された要件を満たすワークステーションのユー

ザーを許可する）チェックボックスを選択します。

3. [Add]（追加）をクリックして、Host Checker ポリシーを [Available Policies]（使用可

能なポリシー）リストから [Selected Policies]（選択されたポリシー）リストに移動し

ます。

4. [Allow access to the role...]（ロールへのアクセスを許可する）を選択して、エンドポ

イントが選択した Host Checker ポリシーのいずれかに合格した場合にアクセス権を与え

ます。


関連項目 71ページのPulse Secure Access サービスに対する資格情報プロバイダ認証•

• 73ページのセキュアアプリケーションマネージャに対する Pulse の設定

Pulse Secure Access サービスに対するマシン認証

マシン認証では、マシンの資格情報（マシン名とパスワードまたはマシンの証明書）を使用し

て、エンドポイントを認証します。 Pulse Secure Access サービスに対するマシン認証は、

Junos Pulse 接続の一部として有効化し、通常の Pulse 配布方法を使用してエンドポイント

に接続設定を配布できます。



マシン認証環境の要件に関する説明は、以下のとおりです。

• Pulse Secure Access サービスに対するマシン認証は、 Pulse レイヤ 3 接続だけで使用で

きます。

• Pulse 接続で使用する認証サーバーは、 Active Directory/Windows NT（マシン名/パスワー

ドによる認証の場合）または証明書サーバー（マシンの証明書による認証の場合）でなけれ

ばなりません。また、 RADIUS サーバーで認証する場合は、マシンの資格情報も使用するこ

とができます。これにより、マシンの資格情報が Active Directory のリストに照らして確

認されます。

• エンドポイントは Windows ドメインのメンバでなければならず、マシンの資格情報が Active

Directory で定義されている必要があります。一般的に、ユーザーがログインする場合、

ユーザー名ボックスにドメイン/ユーザー名の組み合わせを入力する必要があります。

• Pulse 接続は、ログインプロセス中にプロンプトが表示されないように設定する必要があ

ります。たとえば、レルムやロールを選択するプロンプト、またはサーバー証明書の信頼

プロンプトは、接続が失敗する原因となります。

• マシン証明書の認証では、ドメインワークステーションのログオン証明書がドメインの認

証機関から発行されている必要があります。ルート証明書（CA）は、特定のユーザーの証

明書ストアではなく、マシンの信頼された証明書ストアに配置されている必要があります。

マシン認証に対して Pulse 接続を有効化するには、以下の手順に従います。

1. [Users]（ユーザー） > [Junos Pulse] > [Connections]（接続）をクリックして、接続設

定を作成または選択します。

2. 接続を作成または編集します。マシン認証は、接続タイプ [SSL VPN or UAC (L3)]（SSL

VPN または UAC（L3））だけで使用できます。

3. 接続が確立されている状態で、以下のいずれかのオプションを選択します。

• [Automatically when the machine starts. Machine credentials used for

authentication]（マシンの起動時に自動的に接続し、認証にはマシン認証を使用する）—

このオプションを選択することで、マシンのみの認証が有効になります。ユーザーがロ

グオンする前に、マシンの資格情報を使用して Pulse Secure Access サービスに接続さ

れます。ユーザーがログインしている必要はありません。ユーザーがログオン、ログ

オフ、または別のログオンに切り替えても、接続は維持されます。

• [Automatically when the machine starts. Connection is authenticated again when

the user signs in into the desktop]（マシンの起動時に自動的に接続し、ユーザーが

デスクトップにサインインしたときに接続を再度認証する）—このオプションを選択する

ことで、user-after-desktop 認証が有効になります。ログオンしているユーザーがい

ない場合、エンドポイントの認証にはマシンの資格情報が使用されます。ユーザーがロ

グオンすると、マシン認証の接続は破棄され、ユーザーのログインが使用されます。

ユーザーがログオフすると、マシンの接続が再確立されます。

Pulse Secure Access サービスに対する資格情報プロバイダ認証

Microsoft が Windows Vista に続き Windows 7 を発表しました。これに伴い、GINA（Graphical

Identification and Authentication）に基づくログオン統合インターフェースは、資格情報

プロバイダ認証に移行しました。 Junos Pulse の資格情報プロバイダ統合では、ユーザーが



Windows ドメインにログオンするのに必要なネットワークへの接続が実現されています。た

とえば、Windows のドメインコントローラがファイアウォールの内側にある場合、エンドポ

イントは、ドメインにログインする前に、資格情報プロバイダのログイン情報を使用して Pulse

Access Control サービスにログインします。 Junos Pulse では、Microsoft の資格情報プロ

バイダとの統合により、パスワードベースのログインとスマートカードによるログインを実

現しています。資格情報プロバイダのインターフェースは、Windows Vista または Windows

7 のログイン画面では、タイルとして表示されます。

Pulse 接続では、Pulse 資格情報プロバイダのサポートを有効にします。通常の Pulse 配布

方法を使用して、エンドポイントに接続設定がダウンロードされると、エンドポイントのデス

クトップに Pulse のログオンタイルが表示されます。ユーザーがログオンプロセスを開始

すると、 Pulse が接続を確立します。

資格情報プロバイダ環境の要件に関する説明は、以下のとおりです。

• Pulse Secure Access サービスに対する資格情報プロバイダ認証は、 Pulse レイヤ 3 接続

だけで使用できます。

• エンドポイントで、Microsoft 資格情報プロバイダのサポートが設定され、有効化されてい

る必要があります。

• Pulse 接続は、ログインプロセスでプロンプトが表示されるように設定できます。たとえ

ば、レルムやロールの選択、またはサービス証明書の信頼プロンプトを表示できます。

• Pulse のアップグレード通知およびアクションは、資格情報プロバイダへのログオン時に無

効になり、ユーザー接続が確立されるまで延期されます。 Host Checker の修復通知が表示

されます。

Pulse 資格情報プロバイダサポートの有効化

• ロールの Pulse 接続設定を作成（[Users]（ユーザー） > [Junos Pulse] > [Connections]

（接続））し、Pulse 接続を作成します。資格情報プロバイダ認証は、 SSL VPN UAC（L3）

接続タイプで使用できます。接続の設定は、[Connection is established]（接続が確立済

み）というセクションで、以下の項目が有効になっている必要があります。

• [Automatically during desktop authentication. User is presented with the Junos

Pulse credential tile at the logon screen.]（デスクトップ認証中に自動的に接続し、

ユーザーには、ログオン画面で Junos Pulse 資格情報タイルを表示する）

73ページの図8 は、資格情報プロバイダログオンを有効化する Junos Pulse 接続設定を示し

たものです。



図 8: Pulse 接続用の資格情報プロバイダ設定


• 63ページのJunos Pulse Secure Access サービスのロールの設定

セキュアアプリケーションマネージャに対する Pulse の設定

Junos Pulse は、セキュアアプリケーションマネージャ（SAM）をサポートしています。 SAM

は、アプリケーション名と宛先を使用したリモートアクセスを提供します。 SAM では、エン

ドポイントでの仮想アダプタや仮想 IP アドレスを必要としません。 SAM は、VPN トンネル

をプロビジョニングすることなく、クライアント/サーバーアプリケーションとシンクライ

アントソリューションに安全なアクセスを提供します。

Pulse R3.0 以降では、SSL VPN（SSL VPN または UAC（L3）の Pulse 接続タイプ）を通じて

SAM 接続が提供されます。 Pulse R3.0 より前のバージョンでは、個別のクライアントを通じ

て SAM 接続が提供されていました。また、 Windows Mobile 対応 Junos Pulse アプリケー

ションでは、SAM を使用して Windows Mobile スマートフォンへのアクセスを提供するため、

別のロールが必要になります。 73ページの表4 は、Pulse/SAM クライアントソフトウェアの

バージョンごとの変化を示したものです。

表4: Pulse/SAM クライアントの各バージョンの概要

注記説明

サポートされているプ

ラットフォーム

Pulse/SAM のバー

ジョン

Host Checker をサポートしています。Pulse Secure Access

サーバーからインストー

ルされる SAM クライアン

ト。

Windows Mobile

Windows XP

Windows Vista

Windows 7

Pulse R1.0

SSL/VPN ソフトウェ

ア R7.0 および

R7.1 に付属



表4: Pulse/SAM クライアントの各バージョンの概要（続き）

注記説明



Pulse/SAM のバー

ジョン

Pulse R1.0 がインストール済みの Windows Mobile デバ

イスに Pulse 2.0 モバイルクライアントをインストー

ルすると、新しいクライアントのインストール前に古い

クライアントの存在が検出され、削除されます。また、

Host Checker も検出および削除されます。 Host Checker

はサポートされていません。

Windows Mobile デバイスに Windows Mobile 対応 Pulse

R2.0 をインストールした場合、Pulse R1.0 が有効に

なっているレルムにはブラウザを使用してサインインし

ないでください。 Pulse R1.0 は、Windows Mobile 対応

Pulse R2.0 がインストールされているかどうかを検出で

きないため、Pulse R1.0 をインストールするように要

求されます。

注: Windows Mobile デバイスに Pulse R2.0 がインス

トールされている場合、Host Checker が有効化されて

いるロールにユーザーが接続すると、 Host Checker を

インストールするように要求されます。ただし、ユー

ザーがインストールを許可しても何も起こりません。

このような状況を避けるため、 Windows Mobile 対応

Pulse R2.0 用に、専用のロールを作成してください。

Windows Mobile 対応 Pulse 2.0 は、オプションの Pulse

Mobile Security Suite をサポートしています。

juniper.net からダウン

ロード可能な Windows

Mobile 対応 Pulse ス

マートフォンアプリケー

ション。

Windows Mobile（6.0、

6.1、6.5）

Junos Pulse R2.0 は、

タッチベースの Windows

Mobile デバイスだけで

サポートされています。

Pulse R2.0

Host Checker をサポートしています。Pulse R3.0 には、ネイ

ティブな Pulse 接続方法

として SAM 機能が用意

されています。

Windows XP

Windows Vista

Windows 7

Pulse R3.0 以降

Pulse Secure

Access サービスソ

フトウェア R7.2 以

降に付属。

このセクションでは、Windows エンドポイントをサポートするように Junos Pulse Secure

Access サービスを設定する方法について説明します。 Pulse Secure Access サービスは、

Java ベースの SAM クライアント（JSAM）もサポートしています。 JSAM クライアントは、

Pulse Secure Access サーバーから Java をサポートする任意のエンドポイントに配備できま

す。 JSAM の詳細については、『Junos Pulse Secure Access サービス管理ガイド』を参照し

てください。

Windows エンドポイントに対して SAM を有効化し、ロールを設定するには、以下の手順に従い

ます。

1. Pulse Secure Access サービスの管理コンソールにログインします。

2. [User Roles]（ユーザーロール） > [New User Role]（新規ユーザーロール）を選択しま

す。

3. [New Role]（新規ロール）ページでロールの名前を入力し、必要な場合はその説明も入力

します。この手順の後半ではレルムを作成し、レルムのユーザーをこのロールにマップす

るため、ロール名をメモしておきます。



4. [Options]（オプション）セクションで、[Junos Pulse] を選択します。

注: [Junos Pulse] チェックボックスをオフにしたままでセキュアアプリケー

ションマネージャを有効化し、[Access Features] （アクセス機能）セクショ

ンの [Windows version]（Windows バージョン）を有効化した場合は、Windows

Mobile 対応 Pulse スマートフォンアプリケーションの Pulse/SAM を有効にし

ます。 Windows エンドポイント対応 Pulse のロールを有効化するには、 [Junos

Pulse] チェックボックスを選択する必要があります。

5. [New Role]（新規ロール）ページの [Access Features]（アクセス機能）セクションで、

[Secure Application Manager]（セキュアアプリケーションマネージャ）チェックボッ

クスを選択して、 [Windows version]（Windows バージョン）を選択します。

6. [Save Changes]（変更を保存）をクリックしてロールを作成し、ロール設定タブを表示さ

せます。

[General]（一般）タブの各オプション（[Restrictions]（制限）（[Host Checker] を含む）、

[VLAN/Source IP]（VLAN/ソース IP）、[Session Options]（セッションオプション）、[UI

Options]（UI オプション））は、すべて SAM ロールに対して有効です。これらの各オプショ

ンの詳細については、『Junos Pulse Secure Access サービス管理ガイド』を参照してくだ

さい。

ユーザーが使用できるアプリケーションはリソースプロファイルを使用して指定することをお

勧めしますが、ロール設定を使用することもできます。

ロールの一部として SAM でセキュリティを提供するアプリケーションを指定するには、以下

の手順に従います。

1. Pulse/SAM 用に作成したロールを開きます。

2. [SAM] タブをクリックします。

3. [Applications]（アプリケーション）セクションで [Add Application]（アプリケーション

の追加）をクリックするか、リストから既存のアプリケーションを選択して [Add Duplicate]

（複製を追加）をクリックします。

4. [Details]（詳細）セクションの [Type]（タイプ）リストからタイプを選択し、名前と説

明を指定します。

[Custom]（カスタム）を選択し、リストに含まれていないアプリケーションを指定すると、

[Application Parameters]（アプリケーションパラメータ）セクションが表示されます。

以下の情報を指定します。

• [Filename]（ファイル名）—ファイルの実行可能ファイル名を指定します。

• [Path]（パス）—ファイルのパスを指定します。

• [MD5 Hash]（MD5 ハッシュ）—オプションで、実行可能ファイルの MD5 ハッシュを指定

します。 MD5 ハッシュ値を入力すると、その値が実行可能ファイルのチェックサム値と

一致するかどうかが検証されます。値が一致しない場合は、アプリケーションの正当性

が証明されなかったため、アクセスが許可されないことが通知されます。



[Pick a Resource Profile]（リソースプロファイルの選択）を選択し、1 つ以上のアプ

リケーションまたは宛先がリソースプロファイル SAM クライアントアプリケーションと

して設定されている場合は、選択リストが表示され、リソースプロファイルをクリックす

ることができます。次に、[Save Application] （アプリケーションの保存）または [Save

+ New]（保存および新規）をクリックすると、プロファイルのロールリストにロールが追

加され、プロファイルのリソースポリシーが更新されます。リソースプロファイル SAM

クライアントアプリケーションがない場合、または宛先が設定されていない場合、このオ

プションは使用できません。

5. [Save Application]（アプリケーションの保存）または [Save + New]（保存および新規）を

クリックします。

ロールの一部として SAM でセキュリティを提供するサーバーを指定するには、以下の手順に従

います。



3. [Applications]（アプリケーション）セクションで [Add Server]（サーバーの追加）をク

リックするか、リストから既存のサーバーを選択して [Add Duplicate]（複製を追加）をク

リックします。

[Standard]（標準）を選択し、名前と説明を指定して、名前または IP アドレスでサーバー

を識別します。

[Pick a Resource Profile]（リソースプロファイルの選択）を選択すると選択リストが

表示され、リソースプロファイルをクリックすることができます。次に、 [Save

Application]（アプリケーションの保存）または [Save + New]（保存および新規）をクリッ

クすると、プロファイルのロールリストにロールが追加され、’プロファイルのリソース

ポリシーが更新されます。

4. [Save Application]（アプリケーションの保存）または [Save + New]（保存および新規）を


SAM ロールのオプションを指定するには、以下の手順に従います。



3. [Options]（オプション）をクリックします。

4. [Windows SAM] が有効になっていることを確認し、以下のいずれかを選択します。

• セキュアアプリケーションマネージャオプション:

• [Auto-launch Secure Application Manager]（セキュアアプリケーションマネージャ

を自動的に起動する）—このオプションが有効の場合、ユーザーが Secure Access サー

ビス Web ポータルを介してサインインすると、Pulse Secure Access サービスによっ

てセキュアアプリケーションマネージャが自動的に起動されます。このオプション

を選択していない場合、ユーザーは、Web ポータルの [Client Applications Sessions]

（クライアントアプリケーションセッション）から手動でセキュアアプリケーショ

ンマネージャを起動する必要があります。



• [Auto-allow application servers]（アプリケーションサーバーを自動的に許可する）

—このオプションが有効の場合、[SAM] タブのアプリケーションリストおよびサーバー

リストでロールに対して指定されているサーバーへのアクセスを許可する SAM リソー

スポリシーが、 Pulse Secure Access サービスによって自動的に作成されます。

• Windows SAM オプション:

• [Auto-uninstall Secure Application Manager]（セキュアアプリケーションマネー

ジャを自動的にアンインストールする）—この設定は、Pulse R3.0 以降には適用されま

せん。以前の WSAM クライアントソフトウェアだけに適用されます。この設定を有

効にしても、Pulse R3.0 以降を使用する接続では無視されます。

• [Prompt for username and password for intranet sites]（イントラネットサイトの

ユーザー名とパスワードを要求する）—このオプションを有効にすると、内部ネットワー

クのサイトに接続する前に、サインイン資格情報を入力するようにユーザーに要求し

ます。このオプションにより、Internet Explorer のイントラネットゾーン設定が

変更され、イントラネットサイトのネットワークサインイン資格情報を常にユーザー


• [Auto-upgrade Secure Application Manager]（セキュアアプリケーションマネージャ

の自動アップグレード）—この設定は、Pulse R3.0 以降には適用されません。以前の

WSAM クライアントソフトウェアだけに適用されます。この設定を有効にしても、

Pulse R3.0 以降を使用する接続では無視されます。

• [Resolve only host names with domain suffixes in the device DNS domains]（デバ

イスの DNS ドメインにドメインサフィックスを持つホスト名だけを解決する）—この

オプションを有効にすると、ユーザーは、ログインドメインの一部である Web サイ

トだけをブラウズできるようになります。

• [Session start script and Session end scripts]（セッション開始スクリプトおよび

セッション終了スクリプト）—Pulse が接続および切断した後でユーザーのエンドポイ

ントに対して実行するスクリプト（.bat、.cmd、.exe）を指定できます。たとえば、

ユーザーが接続したときに保護対象のリソースを共有するために、エンドポイントに

ネットワークドライブをマップするスクリプトを指定できます。スクリプトは、ユー

ザーからアクセスできる場所（ローカルまたはネットワーク）に配置されている必要

があります。


リソースプロファイルを使用して Junos Pulse ユーザーが使用できるアプリケーションを指

定するには、以下の手順に従います。

1. クライアントアプリケーションおよび宛先へのアクセスを有効にするリソースプロファ

イルを作成し、適切な設定を行います（[Users]（ユーザー） > [Resource Profiles]（リ

ソースプロファイル） > [SAM] > [Client Applications]（クライアントアプリケーショ

ン）を選択します）。

2. [New Profile]（新規プロファイル）をクリックします。

3. [Type]（タイプ）リストから、[WSAM] を選択します。

4. [Application]（アプリケーション）リストで、以下のいずれかのオプションを選択しま

す。



• [Custom]（カスタム）—このオプションを選択した場合、カスタムアプリケーションの

実行可能ファイル名（telnet.exe）を入力する必要があります。また、このファイルの

パスと実行可能ファイルの MD5 ハッシュを指定できます（ただし、実行可能ファイルの

正確なパスを指定する必要はありません）。 MD5 ハッシュ値を入力すると、この値が実

行可能ファイルのチェックサム値と一致するかどうか、SAM によって検証されます。値

が一致しない場合、アプリケーションの正当性が証明されなかったため、アプリケーショ

ンからサーバーに接続を仲介できないことがユーザーに通知されます。

• [Lotus Notes]—Lotus Notes FAT クライアントアプリケーションからのトラフィックを

SAM に仲介させるには、このオプションを選択します。

• [Microsoft Outlook]—Microsoft Outlook アプリケーションからのトラフィックを SAM

に仲介させるには、このオプションを選択します。

• [NetBIOS file browsing]（NetBIOS ファイルブラウジング）—NetBIOS 名ルックアップ

をポート 137 および 139 の TDI ドライバで SAM にインターセプトさせるには、この

オプションを選択します。

• [Citrix]—Citrix アプリケーションからのトラフィックを SAM に仲介させるには、この


• [Domain Authentication]（ドメイン認証）—クライアントマシンがドメインのメンバで

ある場合に、ファイル共有や Outlook などの Windows アプリケーションがドメインコ

ントローラに対して認証できるようにするには、このオプションを選択します。このオ

プションを使用するには、以下の操作を実行する必要があります。

• WSAM 宛先リストで、Pulse Secure Access サービスを通じて到達可能なドメインコ

ントローラを指定し、LDAP および Kerberos トラフィックをプロキシして Pulse サー

バーに送信できるようにします。

• すべてのドメインコントローラへのアクセスを許可する、WSAM アクセス制御ポリシー


注: 標準アプリケーションへのアクセスは、ユーザーロールごとに 1 回設定

できます。たとえば、「Users」ロールについて、Microsoft Outlook の設定

を 1 つ設定し、Lotus Notes の設定を 1 つ設定できます。

5. リソースプロファイルに一意の名前を指定し、オプションで説明を入力します。

6. [Autopolicy: SAM Access Control]（自動ポリシー: SAM アクセス制御）セクションで自動

ポリシーを作成し、以下の要領でロールに割り当てます。

a. まだ有効にしていない場合は、[Autopolicy: SAM Access Control]（自動ポリシー: SAM

アクセス制御）チェックボックスを選択します。

b. [Resource]（リソース）フィールドで、このポリシーを適用するアプリケーションサー

バーを指定します。サーバーは、ホスト名または IP/ネットマスクのペアで指定でき

ます。また、ポートを含めることも可能です。

[Application]（アプリケーション）リストから [Domain Authentication] （ドメイン

認証）を選択した場合は、[Resource]（リソース）フィールドにドメインコントローラ



サーバーのアドレスを入力します。複数を利用できる場合は、複数のドメインコント

ローラサーバーを追加できます。

c. 指定したサーバーへのアクセスを許可するには、[Action]（アクション）リストから

[Allow]（許可）を選択します。また、指定したサーバーへのアクセスをブロックするに

は、[Deny]（拒否）を選択します。

d. [Add]（追加）をクリックします。

7. [Save and Continue]（保存して続行）をクリックします。

8. [Roles]（ロール）タブで、リソースプロファイルを適用するロールを選択し、[Add]（追

加）をクリックします。

選択されたロールは、リソースプロファイルで作成された自動ポリシーを継承します。

また、まだ有効にしていない場合は、選択したすべてのロールについて、[General]（一

般） > [Overview]（概要）ページのロールの SAM オプションが自動的に有効に設定され

ます。


10. [Users]（ユーザー） > [User Realms]（ユーザーのレルム） > [New User Realm]（ユー

ザーの新規レルム）を選択します。

11.名前を指定し、必要な場合は説明も入力します。 [Save Changes]（変更を保存）をクリッ

クしてレルムを作成し、レルムのオプションタブを表示します。

12.レルムの [Role Mapping]（ロールのマッピング）タブで、この手順の前半で作成したロー

ルにすべてのユーザーをマップする新しいルールを作成します。

また、リソースプロファイルを使用して、宛先サーバー、ネットワークサブネット、および

ホストを設定し、そのリソースプロファイルをロールに追加することもできます。

リソースプロファイルを使用して Junos Pulse ユーザーが使用できるネットワークエンドポ

イントを指定するには、以下の手順に従います。

1. 管理コンソールで、[Users]（ユーザー） > [Resource Profiles]（リソースプロファイ

ル） > [SAM] > [WSAM Destinations]（WSAM の宛先）を選択します。



4. [WSAM Destinations]（WSAM の宛先）セクションで、 WSAM を使用して保護するサーバーを

指定し、[Add]（追加）をクリックします。サーバーは、ホスト名または IP/ネットマスク

のペアで指定できます。また、ポートを含めることも可能です。

5. [Create an access control policy allowing SAM access to this server] （このサーバー

への SAM アクセスを許可するアクセス制御ポリシーを作成する）チェックボックス（デ

フォルトで有効になっています）を選択して、前の手順で指定したサーバーへのアクセス

を有効にします。







関連項目 201ページのWindows Mobile 対応 Junos Pulse•

• 203ページのWindows Mobile エンドポイントに対する Pulse Secure Access サービスの設定

Pulse Secure Access サービスの Pulse 接続設定オプション

Junos Pulse クライアントの接続設定には、ネットワークオプションが含まれています。こ

の設定を使用することで、任意の Pulse サーバーにアクセスするクライアント用の特定の接

続を設定できます。接続設定に追加されている各接続には、以下のオプションが適用されま

す。

• [Allow saving logon information]（ログオン情報の保存を許可）—Junos Pulse クライアン

トのログオン資格情報ダイアログボックスで [Save Settings]（設定を保存）チェックボッ

クスを有効にするかどうかを制御します。このチェックボックスをオフにすると、資格情

報の入力が常にユーザーに要求されます。このチェックボックスをオンにすると、ユー

ザーは、資格情報を保存できるようになります。

Junos Pulse クライアントでは、認識したユーザー設定を保持できます。これらの設定は

エンドポイントに安全に保持され、ユーザーが別のゲートウェイや方法を使って接続するこ

とで変化します。 Junos Pulse クライアントでは、以下の設定を保存できます。

• 証明書の受理

• 証明書の選択

• レルム

• ユーザー名とパスワード

• プロキシのユーザー名/パスワード

• セカンダリのユーザー名/パスワード

• ロール

注: 認証サーバーが ACE サーバーまたは RADIUS サーバーで、認証がトークン

またはワンタイムパスワードを使用したユーザー認証に設定されている場合、

Pulse は [Allow saving logon information]（ログオン情報の保存を許可）オプ

ションを無視します。ユーザーにユーザー名とトークンの要求プロンプトが表

示されると、[Save settings]（設定を保存）チェックボックスは無効になりま

す。 Pulse は、ソフトトークン、ハードトークン、およびスマートカード認

証をサポートしています。

ユーザーが設定の保存を選択すると、その情報が、その後の各接続に使用されます。入力は

要求されません。設定が変わると（たとえばユーザーがパスワードを変更した場合）、保

存されている設定は無効になり、接続の試行が失敗します。この場合、ユーザーはクライ

アントの [Forget Saved Settings]（保存した設定を破棄）機能を使用する必要があります。



[Forget Saved Settings]（保存した設定を破棄）機能を使用すると保存されている情報が

すべて消去されるため、ユーザーが次回接続を試行すると、必要な情報が要求されます。

• [Allow user connections]（ユーザー接続を許可）—ユーザーによる接続の追加を許可するか

どうかを制御します。

• [Display splash screen]（スプラッシュ画面の表示）—このチェックボックスをオフにする

と、通常は Pulse クライアントの起動時に表示される Pulse のスプラッシュ画面が非表示

になります。

• [Dynamic certificate trust]（動的証明書の信用）—ユーザーが不明な証明書を信用できる

かどうかを決定します。このチェックボックスをオンにすると、ユーザーは無効な証明

書に対する警告を無視して目的の Pulse サーバーに接続できるようになります。証明書ベー

スの認証を設定する詳細については、『Junos Pulse Access Control サービス管理ガイド』

または『Junos Pulse Secure Access サービス管理ガイド』を参照してください。

• [Dynamic connections]（動的接続）—ユーザーがユーザー Web ポータルを通じて Pulse サー

バーに接続した場合に、この接続設定の接続を自動的に更新したり、Junos Pulse クライア

ントに追加したりするのを許可します。動的接続は、自動接続ではなく、手動接続として

作成されます。つまり、ユーザーが接続を開始した場合、または Pulse サーバーにアクセ

スして、サーバーの Web インターフェースから Pulse を起動した場合だけに実行されま

す。

• [Wireless suppression]（ワイヤレス抑止）—有線接続が有効な場合は、エンドポイントのワ

イヤレスアクセスを無効にします。

有線接続がなくなると、Pulse は、以下のプロパティを使用してワイヤレス接続を有効にし

ます。

• ネットワークがブロードキャスト中でなくても接続する。

• コンピュータ情報が使用可能ならコンピュータとして認証する。

• このネットワークが範囲内なら接続する。

注: ワイヤレス抑止を有効にする場合は、クライアントが有線接続で接続するよ

うに設定されていることも確認してください。

関連項目 62ページのJunos Pulse Secure Access サービスの概要•

• 85ページのPulse Secure Access サービスのクライアント接続設定の作成

Pulse 接続の設定オプション

接続設定用の接続を作成する場合は、接続タイプを選択する必要があります。 82ページの表

5 は、各接続タイプで使用できるオプションをまとめたものです。



表5: Pulse 接続のオプション

[Adapter type]（アダプタのタイプ）—認証に使用するアダプタのタイプを、有線またはワイヤレスから指定

します。

UAC（802.1X）オプショ

ン

有線かワイヤレスかにか

かわらず、 802.1X デバ

イスへの認証された接続

を定義するには、この接

続タイプを使用します。

ユーザーは、Pulse クラ

イアントインター

フェースから 802.1X

接続を作成することはで

きません。ユーザーの

Pulse インターフェース

に 802.1X 接続が表示さ

れるのは、サーバーから

接続が配備され、指定さ

れたネットワークが使

用可能な場合のみです。

[Outer username]（外部ユーザー名）—ユーザーが暗号化されたトンネルを本当のログイン名（内部識別名と

呼ばれます）で通過するときに、匿名でログインしているように振る舞えるようにします。これによって、

ユーザー資格情報の盗視が防止され、内部識別名も保護されます。一般的には、デフォルト値である

anonymous を入力します。場合によっては、テキストを追加する必要があります。たとえば、ユーザーの

認証を外部識別名でサーバーまでルートする場合、[email protected] のような書式を使う必要がありま

す。

注: ボックスを空白にした場合、クライアントはユーザーのログイン名（内部識別名）を外部識別名として

渡します。

[Scan list]（スキャンリスト）—アダプタのタイプとしてワイヤレスを選択した場合は、[Scan list]（ス

キャンリスト）ボックスを使用し、優先順位に従って接続する SSID を指定することができます。リスト

を空白にした場合、ユーザーは、使用可能な任意のワイヤレスネットワークに接続できます。

[Support Non-broadcast SSID]（非ブロードキャスト SSID をサポートする）—ユーザーが、Pulse インター

フェースから非ブロードキャストワイヤレスネットワークに接続できるようにします。

[Server certificate DN]（サーバー証明書 DN）—サーバー証明書識別名（DN）と、その署名をする認証機関

（CA）を指定します。 DN フィールドを空白のままにすると、選択した CA によって署名されているすべて

のサーバー証明書をクライアントが承認することを許可します。

802.1X 接続用の信頼さ

れたサーバーリスト

[Allow user to override connection policy]（ユーザーによる接続ポリシーの上書きを許可する）—手動で

接続または切断することで、ユーザーが接続ポリシーを上書きすることを許可します。一般的には、このオ

プションを選択したままにしておき、ユーザーがあらゆる条件下で接続を確立できるようにします。この

チェックボックスをオフにすると、ユーザーはエンドポイントの接続ステータスを変更したり、 Junos Pulse

をシャットダウンしたりできなくなります。

SSL VPN または UAC

（L3）オプション

[Support Remote Access (SSL VPN) or LAN Access (UAC) on this connection]（この接続でリモートアク

セス（SSL VPN）または LAN アクセス（UAC）をサポートする）—このオプションでは、接続がネットワーク

接続に使用されることを指定します。 Pulse Access Control サービス用の接続の場合は、このオプション

を選択する必要があります。 Pulse Secure Access サービス用の接続の場合は、このチェックボックスを

オフにし、[Enable Junos Pulse Collaboration integration on this connection]（この接続で Junos Pulse

Collaboration の統合を有効にする）を選択するだけで、 Pulse Collaboration ミーティングにアクセスす

る目的で接続を使用できます。

[Enable Junos Pulse Collaboration integration on this connection]（この接続で Junos Pulse

Collaboration の統合を有効にする）—このオプションでは、Pulse Collaboration Suite ミーティングで接

続を使用することを指定します（Pulse Collaboration Suite は、以前は Secure Meeting と呼ばれていま

した）。 Pulse Access Control サービス用の接続の場合は、このオプションをオフにする必要があります。

Pulse Secure Access サービス用の接続の場合は、このチェックボックスをオンにし、Pulse Collaboration

ミーティングにアクセスする目的で接続を使用できます。

Pulse Secure Access サービス用の接続は、リモートアクセスのみ、 Pulse Collaboration の統合のみ、

またはリモートアクセスと Pulse Collaboration 統合で使用する目的で有効にできます。どちらのオプショ

ンも選択していない場合は、この接続に対する変更を保存するときにエラーが表示されます。

[This server]（このサーバー）—エンドポイントが、この Pulse サーバーに接続することを指定します。

[URL] フィールドの編集ボックスを有効にし、別の Pulse サーバーを指定するには、このチェックボック

スをオフにします。

[URL]—別の Pulse サーバーの URL をデフォルト接続として指定できます。別のサーバーの URL を指定し

て、ネットワーク内の他の Pulse サーバーの接続を作成します。



表5: Pulse 接続のオプション（続き）

[Address]（アドレス）—ファイアウォールの場所（ホスト名または IP アドレス）を指定します。SRX オプション


接続または切断することで、ユーザーが接続ポリシーを上書きすることを許可します。一般には、このオ

プションを選択し、ユーザーがあらゆる条件下で接続を確立できるようにします。このチェックボックス

をオフにすると、ユーザーはエンドポイントの’接続ステータスを変更したり、 Junos Pulse をシャットダ

ウンしたりできなくなります。


接続または切断することで、ユーザーが接続ポリシーを上書きすることを許可します。一般には、このオ

プションを選択し、ユーザーがあらゆる条件下で接続を確立できるようにします。このチェックボックスを

オフにすると、ユーザーはエンドポイントの接続ステータスを変更したり、 Junos Pulse をシャットダウン

したりできなくなります。

注: アプリケーションアクセラレーションを使用する接続では、 Kaspersky ソフトウェアが Pulse クライ

アントエンドポイントにインストールされている場合、 UDP ポート 3578 のトラフィックを許可するように

設定する必要があります。

アプリケーションアク

セラレーションオプ

ション

[Community string]（コミュニティ文字列）—コミュニティ文字列によって識別されている同じコミュニティ

に属する場合のみ、Junos Pulse クライアントおよび Pulse アプリケーションアクセラレーションサービ

スは、隣接関係を形成することができます。アプリケーションアクセラレーション接続の作成時には、そ

の接続のコミュニティ文字列が、Pulse アプリケーションアクセラレーションサービスで定義したコミュ

ニティ文字列と一致することを確認してください。

接続の確立オプション

すべての接続タイプについて、接続の確立方法を指定します。オプションは、接続のタイプ

に応じて変化します。これらの設定を使用することで、マシン認証接続または資格情報プロバ

イダ接続として接続を指定できます。

注: マシン認証で使用する Pulse 接続には、考慮すべき特別な問題がいくつか存

在します。詳細については、 35ページの「「Junos Pulse 接続のレルムおよび

ロールの優先設定」」を参照してください。

接続設定は、以下のオプションを使用して確立できます。

• [Manually by the user]（ユーザーが手動で接続）—（すべての接続タイプ）エンドポイン

トが起動されると、Junos Pulse クライアントソフトウェアが起動されますが、接続は試行

されません。ユーザーは、 Junos Pulse クライアントのユーザーインターフェースを使っ

て接続を選択する必要があります。

• [Automatically after user signs into the desktop]（ユーザーがデスクトップへのサイン

イン後に自動的に接続）—（すべての接続タイプ）エンドポイントが起動され、ユーザーが

エンドポイントにログインすると、Junos Pulse クライアントソフトウェアが自動的に接

続します。アプリケーションアクセラレーション接続については、自動接続がデフォルト

です。これは、サービスが使用可能な場合、Pulse が Pulse アプリケーションアクセラレー

ションサービスと自動的に隣接関係を形成するためです。



注: 自動接続が設定されているエンドポイントのすべての接続は、開始時にそれ

ぞれのターゲットネットワークへの接続を試みます。複数の接続が試行される

のを防ぐため、1 つの接続だけが自動的に開始されるように設定するか、位置認

識規則を設定してください。

• [Automatically when the machine starts. Machine credentials used for authentication]

（マシンの起動時に自動的に接続し、認証にはマシン認証を使用する）—（SSL VPN または

UAC （L3）接続のみ）マシン認証を有効にします。この場合、 Active Directory が認証サー

バーとして使用されていて、 Active Directory でマシン認証が設定されている必要があり

ます。

注: マシンとユーザーのロールが異なる場合は、それぞれのロールが同じ接続設

定にマッピングされている必要があります。そうでない場合、ユーザーが接続す

ると、既存の接続設定が置き換えられる場合があります。

• [Automatically when the machine starts. Connection is authenticated again when the

user signs in into the desktop]（マシンの起動時に自動的に接続し、ユーザーがデスク

トップにサインインしたときに接続を再度認証する）—（SSL VPN または UAC（L3）接続の

み）初期接続に対してマシン認証を有効にします。ユーザーがユーザー証明書を使用して

接続すると、マシン認証は破棄されます。ユーザーがログオフすると、マシン認証接続が

復元されます。

• [Automatically during desktop authentication. User is presented with the Junos Pulse

credential tile at the logon screen]（デスクトップ認証中に自動的に接続し、ユーザー

には、ログオン画面で Junos Pulse 資格情報タイルを表示する）—（SSL VPN または UAC

（L3）接続のみ）このオプションを選択することで、Pulse クライアントは、資格情報プロ

バイダのソフトウェアとエンドポイントで対話できるようになります。

位置認識規則

自動的に接続を確立するように設定されている SSL VPN または UAC（L3）および SRX 接続の

場合は、条件によってエンドポイントの接続を許可する位置認識規則を定義することができま

す。たとえば、エンドポイントが企業イントラネットに接続する場合、Junos Pulse Secure

Access サービスに接続する場合、オフィスの外部にある場合に、Pulse Secure Access サー

ビスに接続するように設定できます。

[According to location awareness rules]（位置認識規則に従う）—位置認識規則を使用する

ことで、条件付きでエンドポイントが接続するように設定できます。たとえば、企業のイント

ラネットに接続している場合はエンドポイントが Pulse Access Control サービスに接続する

ようにしたり、オフィスの外部にある場合は Pulse Secure Access サービスに接続するよう

にしたりできます。

Pulse 接続はエンドポイントにある指定されたインターフェースの IP アドレスを使用して、

そのネットワークの位置を特定します。各位置認識規則では、以下の設定を行います。

• [Name]（名前）—記述名（例：“corporate-DNS）。”名前には、文字、数字、ハイフン、

下線を含めることができます。



• [Action]（アクション）—IP アドレスを見つけるために接続が行う方法。次の中から 1 つ


• [DNS Server]（DNS サーバー）—指定されたインターフェースのエンドポイントの DNS

サーバーが指定値のうちの 1 つに設定されている場合に、エンドポイントに接続するこ

とを許可します。 IP アドレスまたはアドレス範囲を指定するには、条件ボックスを使用

します。

• [Resolve Address]（アドレスの解決）—[DNS Name] （DNS 名）ボックスで指定されている

ホスト名が、指定されたインターフェースの DNS サーバーによって解決できる場合は、

エンドポイントの接続を許可します。 [Address Range]（アドレス範囲）ボックスで 1 つ

または複数のアドレス範囲が指定されている場合、アドレスはその中の 1 つに解決され

て、式の条件を満たす必要があります。

• [Endpoint Address]（エンドポイントのアドレス）—指定されているインターフェースの

IP アドレスが、[IP Address Range]（IP アドレスの範囲）ボックスで指定されている範

囲内にある場合に、エンドポイントの接続を許可します。

関連項目 39ページの位置認識規則の設定•


Junos Pulse エンドポイントでの接続状態のセキュリティ保護

エンドポイントでのユーザーと Pulse 接続との対話を無効化するため、エンドポイントに配

備されている場合はユーザーが接続を切断したり Pulse をシャットダウンしたりできないよ

うに Junos Pulse 接続を設定できます。ユーザーと Pulse の対話を無効化することで、Pulse

管理者は、ユーザーが管理制御を上書きするのを許可することなく、エンドポイントからネッ

トワークへの接続方法を制御することができます。たとえば、マシン認証を使用する場合、

エンドポイントからサーバーへの接続が自動的に確立されます。この場合、Pulse エンドポ

イントをロックダウンすることで、ユーザーは接続を変更できなくなります。

Pulse エンドポイントを Pulse Secure Access サーバーからセキュリティ保護するには、以下


1. [Users]（ユーザー） > [Junos Pulse Connections]（Junos Pulse 接続）をクリックしま

す。

2. 接続を編集するか、新しい接続を作成します。

3. [Allow user to override connection policy]（ユーザーによる接続ポリシーの上書きを許

可する）チェックボックスをオフにします。

このオプションは、UAC（802.1X）接続では使用できません。

Pulse Secure Access サービスのクライアント接続設定の作成

Junos Pulse クライアント接続を作成するには、以下の手順に従います。

1. 管理コンソールから [Users] > [Junos Pulse] > [Connections]（接続）を選択します。

2. [New]（新規）をクリックします。



3. 名前を入力し、必要に応じて、この接続設定の説明を入力します。

注: 接続を作成する前に、接続設定名を入力する必要があります。


5. メインの [Junos Pulse Connections]（Junos Pulse 接続）ページから、接続設定を選択

します。

6. [Options]（オプション）で、以下のチェックボックスをオンまたはオフにします。

• [Allow saving logon information]（ログオン情報の保存を許可）—Junos Pulse クライ

アントのログオン資格情報ダイアログボックスで [Save Settings]（設定を保存）チェッ

クボックスを有効にするかどうかを制御します。このチェックボックスをオフにす

ると、Junos Pulse クライアントは、ユーザーに常に資格情報を入力するように要求しま

す。このチェックボックスをオンにすると、ユーザーは資格情報を保存できるように

なります。

• [Allow user connections]（ユーザー接続を許可）—ユーザーが、 Pulse クライアント

インターフェースを使用して接続を追加できるかどうかを制御します。

• [Display splash screen]（スプラッシュ画面の表示）—このチェックボックスをオフに

すると、通常は Pulse クライアントの起動時に表示される Pulse のスプラッシュ画面が

非表示になります。

• [Dynamic certificate trust]（動的証明書の信用）—ユーザーが不明な証明書を信用で

きるかどうかを決定します。このチェックボックスをオンにすると、ユーザーは無効

な証明書に対する警告を無視して目的の Pulse サーバーに接続できるようになります。

• [Dynamic connections]（動的接続）—Web ブラウザを通じて新しい Pulse サーバーが検

出された場合、 Junos Pulse クライアントに新しい接続が追加されるのを許可します。

• [Wireless suppression]（ワイヤレス抑止）—有線接続が有効な場合は、ワイヤレスア

クセスを無効にします。

7. [Connections]（接続）で、[New]（新規）をクリックして新しい接続を定義します。

8. 名前を入力し、必要に応じて、この接続の説明を入力します。

9. 接続のタイプを選択して、接続を指定します。以下のいずれかのタイプを選択できます。

• [UAC (802.1X)]（UAC（802.1X））—802.1X 有線またはワイヤレスデバイスへの接続を

確立するには、このタイプを選択します。

• [SSL VPN or UAC (L3)]（SSL VPN または UAC（L3））—Pulse Secure Access サービスま

たは Pulse Access Control サービスに対する接続を定義するには、このタイプを選択

します。

• [SRX]—SRX シリーズサービスゲートウェイへの接続を定義するには、このタイプを選択

します。

• [App Acceleration]（アプリケーションアクセラレーション）—Pulse アプリケーション

アクセラレーションサービスへの接続を定義するには、このタイプを選択します。



表示される接続設定オプションは、選択した接続タイプに応じて異なります。接続オプ

ションの詳細については、 81ページの「「Pulse 接続の設定オプション」」を参照してく

ださい。

位置認識規則の作成の詳細については、 39ページの「「位置認識規則の設定」」を参照し

てください。

10.クライアント接続設定を作成したら、クライアントコンポーネントセットを作成して、

この接続設定を選択します。

関連項目 90ページのPulse Secure Access サービスの Junos Pulse コンポーネントセットオプショ

ン

•

• 92ページのエンドポイントセキュリティの監視および Pulse Secure Access サービスの管

理

位置認識規則の設定

位置認識機能により、Junos Pulse クライアントは自身の位置を検出することができます。ま

た、自動的に接続するように設定されている場合は、正しい接続を行います。たとえば、Pulse

クライアントが遠隔地で起動された場合は、自動的に Junos Pulse Secure Access サービス

に接続しますが、同じクライアントが企業のオフィスで起動された場合は、自動的に Pulse

Access Control サービスに接続します。

注: 位置認識とセッション移行は、ユーザーの接続操作を簡素化する点で類似して

いますが、それぞれ異なる状況下で実行されます。位置認識機能では、ユーザー

がコンピュータにログインするときに、Pulse クライアントが接続先を決定しま

す。セッション移行が発生するのは、ユーザーがログオフせずにコンピュータを

スタンバイまたは休止モードに切り替え、その後に異なるネットワーク環境でコン

ピュータを起動した場合です。位置認識機能を使用すると、 Pulse クライアント

がインテリジェントに新しいセッションを開始します。セッション移行機能では、

Pulse サーバーがインテリジェントに既存のセッションを移行します。

位置認識機能は、管理者が個々の接続に定義したルールに依存します。ルールで指定された条

件が真である場合、Pulse は接続を試行します。多数の接続から選別する位置認識規則を設

定するには、位置認識規則を各接続に対して定義する必要があります。各位置認識規則は、

指定されたネットワークインターフェースで IP アドレスに到達する、または DNS 名を解

決するエンドポイントの能力に基づきます。

注: 位置認識動作は、分割トンネリング構成の影響を受けます。たとえば、位置

認識規則が物理アダプタで作成されたアドレス解決に依存し、分割トンネリングが

無効になっている場合、 Pulse が接続を確立した後で、そのルールは常に FALSE

と判定します。



以下に、位置認識規則の例を 2 つの接続で示します。最初の例は、エンドポイントが企業

LAN に接続されると TRUE と判定される Pulse Access Control サービス接続です。その次

の例は、エンドポイントの位置がリモートなら TRUE と判定される Junos Pulse Secure Access

サービス接続です。

Pulse Access Control サービス接続

エンドポイントの物理ネットワークインターフェースに到達できる DNS サーバーが、組織の内

部 DNS サーバーの 1 つであれば、接続を確立します。

Pulse Secure Access サービス接続

エンドポイントの物理ネットワークインターフェースに到達できる DNS サーバーが組織の内部

DNS サーバーのどれでもなく、Pulse Secure Access サービスデバイスの DNS 名が Pulse

Secure Access サービスデバイスの外部向け IP アドレスに解決される場合は、接続を確立し

ます。

注: 接続は、手動または自動に設定できます。また、位置認識規則によって制御す

ることもできます。ユーザーがログインすると、Pulse クライアントは、接続リ

ストに登録されていて自動接続に設定されている接続、または位置認識規則で制御

されているすべての接続を試行します。



位置認識規則を設定するには、以下の手順に従います。

1. 接続を作成していない場合は作成します。作成してある場合は、既存の接続を開きます。

位置認識規則は、ファイアウォール接続と IC または SA 接続に対して設定できます。位

置認識規則は、802.1X 接続またはアプリケーションアクセラレーション接続には適用さ

れません。

2. [Connection is established]（接続が確立済み）領域で、[According to location awareness

rules]（位置認識規則に従う）を選択し、[New]（新規）をクリックします。

3. ルールの名前を指定します。

4. [Action]（アクション）リストで、次の 1 つを選択します。

• [DNS server]（DNS サーバー）—エンドポイントのネットワークプロパティに関連付け

られている DNS サーバーが、ある値または一連の値に設定されている（またはされてい

ない）場合は接続します。 DNS サーバー IP アドレスは、 [IP address]（IP アドレス）

ボックスで指定します。また、以下の条件を満たす必要があるネットワークインター

フェースも指定します。

• [Physical]（物理）—エンドポイントの物理インターフェースで条件が満たされている

必要があります。

• [Junos Pulse]—Junos Pulse が接続を確立する際に作成する仮想インターフェースで

条件が満たされている必要があります。

• [Any]（任意）—任意のインターフェースを使用します。



• [Resolve address]（アドレスの解決）—構成済みのホスト名または一連のホスト名が、

エンドポイントによって特定の IP アドレスに解決される（またはされない）場合に接

続します。 [DNS Name]（DNS 名）ボックスではホスト名を指定し、[IP address]（IP

アドレス）ボックスでは 1 つまたは複数の IP アドレスを指定します。また、条件を

満たす必要があるネットワークインターフェースも指定します。

注: Pulse クライアントソフトウェアは、ネットワークインターフェースが

変化すると、IP ポリシーおよび DNS ポリシーを評価します。 DNS ルックアッ

プは、 DNS 設定が変化した場合、または特定のホストレコードの生存時間

設定（10 分）が経過したときに発生します。なんらかの理由で Pulse がホ

ストを解決できない場合は、設定済みの DNS サーバーリストを 30 秒間隔

でポーリングします。過去に正常に解決されたことのあるホストであれば、

生存時間タイマの時間が切れるまでポーリングを続行します。過去に正常

に解決されたことのないホストの場合、解決の試行が即座に失敗します。

• [Endpoint Address]（エンドポイントのアドレス）—エンドポイントのネットワークア

ダプタに、ある範囲または一連の範囲内/範囲外の IP アドレスがある場合に接続しま

す。 [IP address]（IP アドレス）ボックスで、 1 つまたは複数の IP アドレスを指定

します。また、条件を満たす必要があるネットワークインターフェースも指定します。


1 つまたは複数のルールを作成したら、その接続で使用する各ルールを有効にする必要があり

ます。ルールの否定形を有効にするには、そのルールのカスタムバージョンを使用します。

位置認識規則を有効にするには、以下の手順に従います。

1. 接続の位置認識規則のリストで、有効にする各ルールの横のチェックボックスを選択しま

す。

2. 選択した位置認識規則の実施方法については、以下のオプションのいずれかを選択します。

• [All of the above rules]（上記のルールのすべて）—選択されたすべての位置認識規則

が満たされている場合のみ条件が TRUE となり、接続が試行されます。

• [Any of the above rules]（上記のルールのいずれか）—選択された位置認識規則のいず

れかが満たされている場合に条件が TRUE となり、接続が試行されます。

• [Custom]（カスタム）—選択されたすべての位置認識規則が、[Custom]（カスタム）ボッ

クスで指定されたブール論理に従って満たされている場合のみ条件が TRUE となり、接

続が試行されます。否定の位置認識規則を指定するには、ブール条件式を使用します。

たとえば、Rule–1 が FALSE で Rule–2 が TRUE の場合に、Pulse Secure Access サービ

スに接続するように指定します。この場合、カスタムボックスのブール論理は、NOT

Rule-1 AND Rule-2 となります。使用できるブール論理演算子は、 AND、OR、NOT、お

よび括弧 () です。





Pulse Secure Access サービスの Junos Pulse コンポーネントセットオプション

Junos Pulse のコンポーネントには、Pulse の接続性とサービスを提供する特定のソフトウェ

アコンポーネントが含まれています。

コンポーネントセットのオプションには、以下の選択肢が用意されています。

• [All components]（すべてのコンポーネント）—すべてのコンポーネントを含みます。

Enhanced Endpoint Security（EES）コンポーネントは、 EES ライセンスを購入した場合の

み使用可能で、ユーザーに割り当てられたロールによって要求された場合にのみ含められま

す。 [All components]（すべてのコンポーネント）オプションは、クライアントのエンド

ポイントが、サポートされているすべての Pulse サーバーに接続できるようにし、アプリ

ケーションアクセラレーションを使用可能にする場合のみ使用します。アプリケーション

アクセラレーションコンポーネントを含める場合、Junos Pulse クライアントのインストー

ルに必要なディスク容量が 300 MB に増加します。


クライアントインストールを更新するだけのインストーラを作成するには、このオプショ

ンを選択します。 Pulse がインストールされていないエンドポイントに Pulse を追加する

インストーラを作成する場合は、このオプションを使用しないでください。

• [Minimal components]（最小のコンポーネント）—選択した接続をサポートするために必要

なコンポーネントだけを含めます。たとえば、作成する接続設定に IC または SA 接続が

含まれる場合、コンポーネントセットには、Pulse Access Control サービスまたは Pulse

Secure Access サービスに接続するために必要なコンポーネントだけが含まれます。デフォ

ルトは [Minimal components]（最小のコンポーネント）で、選択した接続に必要なすべて

のコンポーネントを提供しながら、Junos Pulse インストールファイルのサイズを抑えて

います。

注: Pulse コンポーネントの選択は、Web インストールだけに適用されます。

Windows エンドポイント用に事前構成されたインストーラは、 MSIEXEC コマンド

オプションを使用して特定のコンポーネントを指定しない限り、常にすべてのコ

ンポーネントをインストールします。また、OS X 用の事前構成されたインス

トーラは、常にすべてのコンポーネントをインストールします。

関連項目 91ページのPulse Secure Access サービスのクライアントコンポーネントセットの作成•




Pulse Secure Access サービスのクライアントコンポーネントセットの作成

クライアントコンポーネントのオプションは、Web ベースのインストールにのみ影響します。

Windows エンドポイント用に事前構成されたインストーラは、 MSIEXEC コマンドオプション

を使用して特定のコンポーネントを指定しない限り、常にすべてのコンポーネントをインス

トールします。また、OS X 用の事前構成されたインストーラは、常にすべてのコンポーネン

トをインストールします。 Pulse クライアントコンポーネントセットを作成するには、以下


1. 管理コンソールから [Users]（ユーザー） > [Junos Pulse] > [Components]（コンポーネ

ント）を選択します。

2. [New]（新規）をクリックして、新しいコンポーネントセットを作成します。

3. クライアント接続設定をまだ作成していない場合は、[Users]（ユーザー） > [Junos Pulse]

> [Connections]（接続）を選択して、新しい接続設定を作成します。また、デフォルト

のクライアント設定を使用することもできます。この設定は動的接続を許可し、匿名の外

部ユーザー名をサポートするため、クライアントは Pulse Access Control サービスまた

は Pulse Secure Access サービスに自動接続できます。

4. クライアントコンポーネントセットの名前を指定します。

5. （オプション）このクライアントコンポーネントセットの説明を入力します。

6. 作成した接続設定を選択するか、デフォルトの接続設定を使用します。

7. Junos Pulse クライアントコンポーネントについて、以下のいずれかのオプションを選択

します。

• [All components]（すべてのコンポーネント）—すべての Junos Pulse コンポーネントが

含まれ、すべてのアクセス方法とすべての機能がサポートされます。


クライアント設定を更新します。このオプションは、エンドポイントに Pulse がインス

トールされている場合のみ機能します。 Pulse のインストール時は、このオプションを

使用しないでください。

• [Minimal components]（最小のコンポーネント）—選択した接続をサポートするために必

要なコンポーネントだけを含めます。たとえば、作成する接続設定に IC または SA 接

続が含まれる場合、コンポーネントセットには、Pulse Access Control サービスまた

は Pulse Secure Access サービスに接続するために必要なコンポーネントだけが含まれ

ます。デフォルトは [Minimal components]（最小のコンポーネント）で、選択した接続

に必要なすべてのコンポーネントを提供しながら、Junos Pulse インストールファイル

のサイズを抑えています。

注: Pulse は、最小限のコンポーネントかつ接続していない状態で配備しない

でください。そのようにすると、Pulse クライアントはどのデバイスにも接

続することができず、ユーザーは Pulse クライアントインターフェースから

接続を作成することができません。



注: Pulse コンポーネントの選択は、Web インストールだけに適用されます。

Windows エンドポイント用に事前構成されたインストーラは、 MSIEXEC コマ

ンドオプションを使用して特定のコンポーネントを指定しない限り、常にす

べてのコンポーネントをインストールします。また、OS X 用の事前構成され

たインストーラは、常にすべてのコンポーネントをインストールします。


9. コンポーネントセットを作成したら、ロール経由でユーザーにクライアントを配布しま

す。ユーザーがロールにアクセスすると、エンドポイントにインストーラが自動的にダウ

ンロードされます。インストーラコンポーネントおよび接続は、エンドポイントクライ

アントに適用されます。

コンポーネントリストを変更せずに、あるロールのコンポーネントセットに関連付けら

れているクライアント接続を変更すると、エンドポイントが現在接続中であれば即座に、

そうでなければ次回の接続で、エンドポイントの既存の設定が置き換えられます。

1 人のユーザーに割り当てられている複数のロールのそれぞれに異なるコンポーネント

セットが含まれている場合、どのクライアント（コンポーネントセット）を配備すべきか

は、エンドポイントのロールリストの最初のロールによって決定されます。


エンドポイントセキュリティの監視および Pulse Secure Access サービスの管理

Host Checker ポリシーを設定および有効化することで、エンドポイントの接続を許可する前

に、エンドポイントセキュリティ評価を実行することができます。 Host Checker は、以下

のオペレーティングシステムでサポートされています。

• Windows

• Mac OS X

• Google Android

• Apple iOS

• Windows Mobile

Host Checker は、ロールレベルまたはレルムレベルで呼び出し、認証を試みるエンドポイ

ントに対してアクセス要件を指定できます。レルムレベルで実装されている Host Checker

ポリシーは、ユーザーが認証される前に発生します。ロールレベルの Host Checker は認証

後に実装されます。ただし、これはユーザーが保護されたリソースへのアクセスを許可される

前に行われます。エンドポイントが初めて Pulse Secure Access サービスに接続すると、最

新バージョンの IMC がホストコンピュータにダウンロードされます。初期確認には、10 ～

20 秒かかります。 IMC ファイルが最新バージョンでなくなった場合、その後のチェックで自

動的に更新されます。



注: エンドポイントが、パッチ評価ポリシーを持つ Pulse Secure Access サービス

に初めて接続し、その接続がレイヤ 2 接続である場合、IMC はダウンロードされ

ません。この場合、レイヤ 3 接続を再試行するか、管理者に連絡するよう指示す

る指示メッセージをユーザーに表示するように修復ロールを設定する必要がありま

す。

注: レルムでデスクトップクライアント用の Host Checker ポリシーが有効になっ

ている場合、モバイルデバイスのユーザーがモバイルデバイスのブラウザを使用

して Web ポータルに接続しても、ログインは拒否されます。これは、デスクトッ

プ用の Host Checker プログラムとモバイルクライアントの OS に互換性がない

ためです。 Pulse モバイルユーザーが複数のロールにマップされている場合、ロ

グイン操作を行うことで、Host Checker が有効になっていないロールに割り当てら

れます（可能な場合）。すべてのロールで Host Checker が有効になっている場

合、そのモバイルユーザーはブラウザからのログインが許可されません。 Host

Checker ポリシーは、各モバイルオペレーティングシステムに固有のものを作成

および有効化できます。この場合、 Pulse クライアントがサーバーに接続すると

Host Checker が動作します。

Windows システムでのパッチ管理のため、Host Checker は、 Host Checker ポリシーで事前定

義されたルールに対して、ベンダーが提供する最新のパッチバージョンリストを使用しま

す。 Host Checker は、安全でないパッチをスキャンしません。サーバーおよび Host Checker

は、対応する TNC ベースの整合性測定コレクタ（IMC）と整合性測定検証（IMV）間の情報の

流れを管理します。 IMC は、エンドポイント上で動作するソフトウェアモジュールであり、

ウィルス対策、スパイウェア対策、パッチ管理、ファイアウォールなど、ホストに関する設定

やセキュリティの情報を収集します。 IMV は、サーバー上で動作するソフトウェアモジュー

ルであり、ホストの整合性の特定の側面を確認します。各 IMV は、クライアントエンドポ

イント上の対応する IMC と連携し、エンドポイントが Host Checker のルールを満たしてい

ることを確認します。 IMC は、セキュリティステータスの変化について、エンドポイントを

頻繁にスキャンします。たとえば、ユーザーがウィルスチェックを無効にすると IMC がその

操作を検出し、変更されたシステムが Host Checker ポリシーの要件に準拠することを確認

するために、新しいチェックをトリガーします。 Host Checker は、リモートの IMV サーバー

上にインストールされたサードパーティの IMV を使用して、クライアントコンピュータ上に

インストールされたサードパーティの IMC を監視するように設定できます。

最新のパッチバージョン情報は、Juniper のステージングサイトから入手することができま

す。最新リストは手動でダウンロードして SA シリーズアプライアンスにインポートするこ

とができます。また、Juniper のステージングサイトや独自のステージングサイトから、指

定した間隔で自動的にインポートすることもできます。

監視は、同じポリシー内にはない 1 つ以上の特定の製品または特定のパッチに基づいて実行

されます。たとえば、あるポリシーで Internet Explorer のバージョン 7 を確認し、別の

ポリシーで Patch MSOO-039: SSL Certificate Validation Vulnerabilities を確認すること

ができます。次に、ロールレベルまたはレルムレベルで両方のポリシーを適用し、ユー

ザーが特定のパッチが適用された最新バージョンのブラウザを必ず使用するようにできます。

さらに、Microsoft 製品の場合は、無視するパッチの重大度を指定することができます。た

とえば、低または中程度の脅威を無視することができます。



Host Checker ポリシーの設定に関する詳細については、『Junos Pulse Secure Access サー


修復オプション

Host Checker は、エンドポイントの問題を識別することができます。ただし、Host Checker

および Pulse Secure Access サービスは、問題を解決することができません。これは、非適

合エンドポイントに対して修復タスクを実行することになるためです。このような問題を修

復するため、Pulse Secure Access サービスは、以下の修復オプションをサポートしていま

す。

• [Instructions to the user]（ユーザーへの指示）—サーバーは、非適合のパッチまたはソ

フトウェアが存在することを示し、必要なソフトウェアを取得できるリンクが記載された

メッセージをユーザーに送信できます。 94ページの図9 は、一般的な Pulse の修復メッセー

ジを示したものです。

図 9: Pulse の修復指示



• [Initiate SMS/SCCM remediation]（SMS/SCCM 修復の開始）—Microsoft システムセンター

構成マネージャ（ConfigMgr または SCCM）を使用した修復では、エンドポイントに事前に

インストールされた SMS/SCCM クライアントが Host Checker によってトリガーされ、事前

に構成された SMS/SCCM サーバーからパッチを取得します（システムセンター構成マネー

ジャは、以前はシステム管理マネージャ（SMS）と呼ばれていました）。このメカニズムで

は、 SMS/SCCM サーバーで公開されているパッチだけがインストールされます。

• [Initiate Shavlik remediation][Initiate Shavlik remediation]（Shavlik 修復を開始す

る）—SA シリーズ SSL VPN アプライアンスソフトウェアバージョン 7.1 以降は、Shavlik

修復をサポートしています。 Host Checker の実行後にエンドポイントで修復が必要になっ

た場合、ユーザーは必要なパッチをインストールするように要求される場合があります。修

復オプションは、自動的に起動するように設定することができます。 Shavlik パッチ実装エ

ンジンは、エンドポイントにダウンロードされます。エンジンは、ベンダーのパッチ保存場

所にリンクし、パッチをインストールします。 Shavlik 修復はオプションのライセンス機

能です。 96ページの図10 は、Pulse サーバーが Host Checker および Shavlik 修復で構成

されている場合に、ユーザーに表示される Pulse クライアントの画面を示したものです。



図 10: Shavlik パッチ修復の Pulse クライアント画面

関連項目 97ページのPulse Secure Access サービスでの修復メッセージの発行•



• 99ページのPulse Secure Access サービスでの Shavlik 修復の使用

• 98ページのPulse Secure Access サービスでの SMS/SCCM 修復の使用

Pulse Secure Access サービスでの修復メッセージの発行

Host Checker ポリシーがエンドポイントの非準拠を検出すると、 Pulse クライアントイン

ターフェースには、カスタム指示およびエンドポイントの準拠方法に関する理由文字列を記載

したメッセージが表示されます。ユーザーがメッセージに記載されている手順を実行しない

限り、エンドポイントは保護されたリソースにアクセスできません。

Host Checker ポリシーで修復メッセージを有効にするには、以下の手順に従います。





Host Checker ルールの設定に関する詳細については、『Junos Pulse Secure Access サー


3. Host Checker ポリシーの一部として、[Enable Custom Instructions]（カスタム指示の有

効化）を選択します。

このオプションを選択すると、テキストボックスが表示されます。ここには、Host Checker

の修復ページでユーザーに表示する指示を入力します。テキストをフォーマットし、ポ

リシーサーバーや Web サイトといったリソースへのリンクを追加するため、 、、

 、、および <a href> の各 HTML タグを使用できます。例:

最新の署名ファイルがありません。

<a href=”www.company.com”>ここをクリックして、最新の署名ファイルをダウンロード

してください。</a>

4. オプションとして、[Send reason strings]（理由文字列の送信）を選択します。 Host

Checker または IMV によって返され、クライアントマシンが Host Checker ポリシーの

要件を満たしていない理由を説明するユーザーへのメッセージ（理由文字列と呼ばれます）

を表示するには、このオプションを選択します。理由文字列とは、IMV がクライアントエ

ンドポイントについてチェックした事項を説明するものです。このオプションは、事前に

定義されたルール、カスタムルール、および Juniper Networks TNC SDK の拡張機能を使

用するサードパーティ IMV に適用されます。



確認します。

関連項目 99ページのPulse Secure Access サービスでの Shavlik 修復の使用•




Pulse Secure Access サービスでの SMS/SCCM 修復の使用

Junos Pulse は、Microsoft システムセンター構成マネージャ（ ConfigMgr または SCCM）を

サポートしており、パッチを配備するダウンロード方式として使用できます。SCCM は、以前

はシステム管理サーバー（SMS）と呼ばれていました。 Pulse Secure Access サービスで、

パッチ配備用に SMS/SCCM 方式が構成されている場合、Pulse クライアントのエンドポイント

には SMS/SCCM クライアントがインストールされている必要があります。そうでない場合、修

復は失敗します。

通常、ソフトウェア管理用に SMS/SCCM が設定されたエンドポイントでは、更新がないか 15

分以上の間隔でサーバーをポーリングします。最悪の場合、既存の Host Checker ソフトウェ

ア要件に準拠していないクライアントは、次の更新間隔までログインを待つ必要があります。

SMS/SCCM ダウンロード方式を使用する場合、パッチ評価チェック直後にソフトウェアの更新

を開始するよう、クライアントに強制できます。ユーザーがログインを試行し、 Host Checker

のパッチ評価ポリシーに準拠するために必要なソフトウェアのバージョンがエンドポイントに

ない場合、Host Checker は、すぐにサーバーをポーリングして更新がないか確認するよう、

直ちにクライアントに通知します。クライアントは、 SMS/SCCM 更新が開始したという通知を

受信します。

通知を受けたときにクライアントを更新するように SMS/SCCM を設定するには、 SMS/SCCM で

アドバタイズメント時間を [As soon as possible]（できるだけ早く）に設定します。

クライアントを、SMS/SCCM サーバーの特定のグループまたはコレクションに割り当てると、

サーバーは、そのコレクション用のパッチをアドバタイズできるようになります。コレクショ

ンに対応するロールは、設定が可能です。 SMS/SCCM は、特定のロールに適したパッチを送信

できます。

エンドポイントには、SMS/SCCM クライアントを適切にインストールおよび設定する必要があ

ります。また、SMS/SCCM サーバーが到達可能でなければなりません。レイヤ 2 ネットワーク

では、エンドポイントがネットワークに接続される前に、Host Checker が実行されます。

Host Checker は、クライアントで設定された SMS/SCCM サーバーの IP アドレスを取得できま

す。エンドポイントが非準拠になり修復が必要な場合、クライアントを更新するようサーバー

に通知できるまで、Host Checker は 15 秒ごとにサーバーの IP アドレスに ping を送信し

ます。

SMS/SCCM がアドバタイズメントを返信するまでユーザーには通知が行われないため、この機

能が有効な場合は、予期される動作をユーザーに通知しなければなりません。

注: いずれかの時点で 1 つのエンドポイントに対して 1 つのパッチ配備のみ行う

ことを推奨します。ただし、SMS/SCCM の更新が進行中かどうかを判断する手段が

ないため、SMS/SCCM の更新と同時に、パッチ配備エンジンが開始される可能性も

あります（このような状況は、Pulse が 2 つのデバイスに接続していて、一方

が SMS/SCCM 修復を使用し、もう一方が Shavlik パッチ配備エンジンを使用してい

る場合に発生する可能性があります）。ほとんどのパッチでは、2 つのインスタン

スの実行を許可していないため、いずれかの修復処理が失敗することになります。





Pulse が複数の Pulse サーバーに接続していて、一方が SMS/SCCM 修復を使用し、もう一方が

Shavlik 修復を使用している場合、両方の要求が処理されます。両方のデバイスが Shavlik

修復を使用するように設定されている場合、要求はキューに入れられます。








3. [Patch Remediation Options]（パッチ修復オプション）で、[SMS/SCCM Patch Deployment]

（SMS/SCCM パッチ配備）を選択します。



確認します。



Pulse Secure Access サービスでの Shavlik 修復の使用

指定した Host Checker パッチポリシーに準拠していない Junos Pulse 2.0 以降のエンドポ

イントは、必要なパッチで更新し、 Shavlik パッチ配備エンジンによって自動的に準拠する

ようにできます。エンドポイントの Host Checker IMC はパッチ配備エンジンと連動し、IMV

から報告された不足しているパッチをダウンロードしてインストールを行います。 Shavlik

ソフトウェアはエンドポイントで実行され、指定されたパッチをベンダーの Web サイトから’

ダウンロードし、Host Checker ポリシーで要求されたパッチをインストールします。 Shavlik

は、オプションのライセンス機能です。

注: Shavlik によるパッチの監視および配備には、別途ライセンスが必要です。

Shavlik パッチ配備エンジンは SA シリーズ SSL VPN アプライアンスでホストされる実行可能

ファイルで、Pulse 配備の一部としてエンドポイントにダウンロードされます。修復処理中、

配備エンジンはベンダーの Web サイトから直接パッチをダウンロードするため、 Shavlik 修

復にはインターネット接続が必要になります。レイヤ 3 接続がない場合、 Shavlik パッチ配

備エンジンはレイヤ 2 で動作しません。

パッチ評価に必要なすべてのファイルは、 Juniper Networks Customer Support Center ESAP

パッケージの SA シリーズ SSL VPN アプライアンスソフトウェアバージョン 7.1 で始まる

エンドポイントセキュリティ評価プラグイン（ESAP）の一部です。 ESAP ファイルの更新方

法についての詳細は、『Junos Pulse Secure Access サービス管理ガイド』を参照してくだ

さい。



パッチ監視用の IMC および IMV ソフトウェアは、下位互換性を備えています。この機能は、

Pulse リリース 2.0 以降で利用可能なため、新しい Pulse と古い IMV（Pulse サポート付

き）との通信、または新しい IMV と古い IMC との通信が現在と同じ動作で行われます。パッ

チ評価は変更されていないため、Shavlik 配備エンジンが修復のために呼び出されることはあ

りません。

注: いずれかの時点で 1 つのエンドポイントに対して 1 つのパッチ配備操作のみ

行うことを推奨します。ただし、SMS/SCCM の更新が進行中かどうかを判断する手

段がないため、SMS/SCCM の更新と同時に、パッチ配備エンジンが開始される可能

性もあります（このような状況は、Pulse が 2 つのデバイスに接続していて、

一方が SMS/SCCM 修復を使用し、もう一方が Shavlik パッチ配備エンジンを使用し

ている場合に発生する可能性があります）。ほとんどのパッチでは、2 つのインス

タンスの実行を許可していないため、いずれかの修復処理が失敗することになり

ます。



Pulse クライアントが 2 つの Pulse サーバーに接続していて、一方が SMS/SCCM 修復を使用

し、もう一方が Shavlik 修復を使用している場合、両方の要求が処理されます。両方のデ

バイスが Shavlik 修復を使用するように設定されている場合、要求はキューに入れられます。








3. [Patch Remediation Options]（パッチ修復オプション）で、[Shavlik Patch Deployment]

（Shavlik パッチ配備）を選択します。

4. パッチ更新をインストールするかどうかの決定をユーザーに許可するには、[Prompt the

user for consent before automatic patch deployment]（自動パッチ配備の前にユーザー

に同意を求める）を選択します。

パッチ配備の完了には、少し時間がかかります。パッチによってはシステムの再起動が必

要です。

5. ユーザーからパッチのインストールを要求できるようにする場合は、デフォルトアクショ

ンを選択します。ユーザーが 1 分以内に要求への返答をしなかった場合、デフォルトア

クションが自動的に実行されます。以下のデフォルトアクションのいずれかを選択しま

す。

• [Deploy patches]（パッチを配備する）

• [Do not deploy patches]（パッチを配備しない）






Pulse Secure Access サービスでの Enhanced Endpoint Security の有効化

Host Checker には、Windows エンドポイントを検出して修復できる統合スパイウェア対策機

能が用意されています。 Enhanced Endpoint Security（EES）では、マルウェア、スパイウェ

ア、ウィルス、またはワームが、 Pulse Secure Access サービスへの接続を試みるエンドポ

イントに存在しないことが保証されます。また、Host Checker ポリシーの設定に従って、そ

のようなエンドポイントを制限したり隔離したりできます。エンドポイントで EES が動作し

ている場合、Pulse インターフェースには、EES のステータスを示すセキュリティペインが


注: 基本ライセンスでは、デフォルトで 2 つのエンドポイントでこの機能を同時

に使用することが許可されています。追加ユーザーがこの機能を使用できるように

するために、別途ライセンスを購入することができます。

EES はエンドポイントでプロセスをスキャンし、ファイルシステムの書き込みおよび実行操

作を監視し、非準拠のマシンを自動的に修復することができます。 EES は検出された脅威を

報告しますが、修復は実行しません。場合によっては、準拠を実現するため、ユーザーは、

マシンの再起動を指示される場合があります。

EES は、インターネット上の Web Root Spy Sweeper サーバーからエンドポイントに自動的に

ダウンロードされる署名データベースを使用します。署名データベースは、Pulse サーバー

ではホストされません。 EES が正常に動作するには、エンドポイントがインターネットにア

クセスできる必要があります。また、デフォルトの修復ロールを設定する場合、修復ロール

に指定されるエンドポイントは、 *.webroot.com にアクセスできなければなりません。

署名データベースの有効期限は、Pulse Secure Access サービスを設定することで決定できま

す。データベースの有効期限は、 Host Checker ポリシーを渡すことにより、ユーザーがリ

ソースにアクセスできるかどうかを決定するために使用されるしきい値です。たとえば、署

名が作成されてから 5 日目で、有効期限を 3 日に設定している場合、エンドポイントはリ

ソースにアクセスできます。有効期限を 4 日に設定している場合、エンドポイントは Host

Checker ポリシーに失敗します。署名は定期的に更新されるため、エンドポイントは通常は

最新の更新状態になっています。

Pulse Secure Access サービスに接続する前に、エンドポイントのインターネット接続が利用

できず、署名の有効期限をチェックするオプションを選択している場合、署名が古すぎる場合

はポリシーに合格しません。たとえば、ユーザーが数日間エンドポイントにアクセスしてお

らず、署名が最新でない場合、そのエンドポイントは Pulse Secure Access サービスにアク

セスできません。この問題を回避するには、*.webroot.com での署名更新用にインターネッ

トへの限定アクセスを許可する、デフォルトの修復ロールを作成する必要があります。

レイヤ 2 での EES スキャン用に設定されたエンドポイントは、どれもチェックに失敗しま

す。ネットワーク接続を許可するには、ユーザーを修復 VLAN に再割り当てするレルムを設

定しなければなりません。これにより、エンドポイントのユーザーは、必要な署名更新に接



続しダウンロードできるようになります。また、初回接続の場合は、EES インストーラパッ

ケージをダウンロードします。

複数のポリシーが作成されるのを防ぎ、ポリシーを有効にしたすべてのレルムとロールで同じ

ポリシーが使用されるようにするには、[Endpoint Security]（エンドポイントのセキュリティ）

> [Host Checker] メインページで EES を設定します。レルムまたはロールを作成する場

合、他の Host Checker ポリシーに加えて EES 制限も有効にできます。

注: エンドポイントに EES ポリシーを設定すると、 Host Checker EES で保護され

ているリソースにエンドポイントが初めてアクセスしたときに、EES インストーラ

（約 5 MB）が、それぞれのエンドポイントに個別にダウンロードされます。ユー

ザーのエンドポイントは問題のあるソフトウェアがないかスキャンされ、署名が自

動的にインストールされます。

ユーザーの操作体験

大量のデータがダウンロードされ（インストーラに約 5 MB、署名に約 12 MB）ると、その後

でメモリスキャンが行われます。インストール後は、署名が更新されます。また、メモリ

スキャンが実行され、スパイウェアがメモリにロードされていないことが確認されます。ダ

ウンロード、更新、スキャンの完了には、長い時間を必要とします。

脅威が検出されると、Host Checker によって自動的に修復され、報告は実行されません。脅

威を修復できない場合は、エンドポイントからサーバーに報告が行われます。ロールとユー

ザーセッションは、エンドポイントの準拠状態に応じて調整できます。準拠ステータスは、

複数のユーザー文字列によってユーザーに自動的に通知されます。

EES スパイウェア対策を有効にして使用するには、以下の手順に従います。


セキュリティ） > [Host Checker] をクリックします。

2. [Options]（オプション）で、[Advanced Endpoint Protection: Malware Protection]（高

度なエンドポイント保護: マルウェア保護）タブを選択します。

3. [Enable Advanced Endpoint Security: Malware Protection] （高度なエンドポイントセ

キュリティの有効化: マルウェア保護）チェックボックスを選択します。

4. 署名定義データベースの有効期限を設定するには、 [Signature definitions should not

be older than]（署名定義データベースの有効期限）チェックボックスを選択します。

有効期限を日数（3 ～ 30）で入力します。この数字により、署名の最大限許容できる古

さが決定されます。この設定によって、更新の頻度が変更されることはありません。

5. ネットワーク接続の許可後に、バックグラウンドで直ちに EES スキャンを有効にするには、

[Install EES and scan endpoints after network connection is established] （ネット

ワーク接続の確立後に EES をインストールしてエンドポイントをスキャンする）チェック

ボックスを選択します。

このオプションを選択すると、スキャンの実行前に、直ちに接続が許可されます。このオ

プションを選択することで、ユーザーはすぐに接続して作業を開始できるようになります。



ただし、エンドポイントでマルウェアのスキャンが実行される前にネットワークへのアク

セスを許可することになるので、このオプションの安全性は低いものとなります。


レルムまたはロールの Host Checker 制限を作成または設定すると、 [Enhanced Endpoint

Security: Malware Protection]（Enhanced Endpoint Security: マルウェア保護）を選択し

て、そのロールまたはレルムに適用できるようになります。




同じタイプの Pulse サーバー間で Junos Pulse 設定をプッシュする

Push Configuration 機能を使用することで、 Junos Pulse 接続、コンポーネント、アップロー

ドされた Pulse パッケージを中央管理することができます。 Push Configuration 機能では、

すべての構成設定または選択した構成設定を、ある Pulse サーバーから同じタイプの別の

Pulse サーバーにコピーできます。たとえば、ある SA シリーズ SSL VPN アプライアンスか

ら別の SA シリーズ SSL VPN アプライアンスにコピーすることができます。

このセクションでは、Push Configuration 機能を使用して Pulse を中央管理する方法につい

て説明します。 Push Configuration の使用に関する詳細については、該当する管理ガイドを


以下の留意点は、設定のプッシュに関するものです。

• 1 回の操作で、1 つまたは複数の Pulse サーバーにプッシュできます。プッシュ操作ごと

に最大 8 つのターゲットにプッシュできます。また、最大で 25 件のプッシュ操作を同時

に実行できます。つまり、ターゲットの最大数は 200 です。ターゲット Pulse サーバー

へのプッシュが失敗すると、次のターゲットに操作の対象が移ります。この処理は、指定さ

れたすべてのターゲットが更新されるまで続行します。ステータスと処理中に発生した問題

は、結果ページに表示されます。

• クラスタのメンバである Pulse サーバーへのプッシュは、ターゲットの Pulse サーバーが

ソースと同じクラスタのメンバでない限り可能です。

• ターゲットの Pulse サーバーは、プッシュされた構成設定を拒否できます。デフォルトで

は、受け入れるように設定されています。

• 更新が完了すると、ターゲットの Pulse サーバーはサービスを再起動します。サービスの

再起動中に、短時間の中断が発生する場合があります。そのため、ターゲットへのプッシュ

は、ターゲットがアイドル状態の場合、または短時間の中断に対応できる時間帯に実行する

ことをお勧めします。

• Pulse サーバーは、プッシュされた設定を受け取っても警告メッセージを表示しません。

• プッシュ処理時は、ターゲットの Pulse サーバーが自動的に管理者をログアウトします。



• ソースとターゲットの Pulse サーバーは、ビルドのバージョンと番号が同じでなければな

りません。

• ソースの Pulse サーバーの管理者アカウントは、ユーザーが介入することなくターゲット

の Pulse サーバーにサインインする必要があります。たとえば、動的資格情報やマージさ

れていない複数のロールは、どちらもユーザーの手動操作を必要とするため使用できませ

ん。

Push Configuration 機能を使用する前に、以下の条件に従ってシステムを設定する必要があ

ります。

• すべての管理者権限を持つ「スーパー管理者」を作成し、 .Administrators ロールにマップ

する必要があります。 [Authentication]（認証） > [Auth Servers]（認証サーバー） >

[Administrator Server]（管理者サーバー） > [Users]（ユーザー）の設定を変更し、自分

自身を .Administrators ロールに追加します。

• ターゲットの Pulse サーバーの管理者アカウントでは、チャレンジ/応答タイプの認証を使

用しない静的パスワード認証または 2 要素トークンを使用する必要があります。たとえ

ば、証明書、Soft ID、 Defender 認証はサポートされていません。 [Administrators]（管

理者） > [Admin Realms]（管理レルム） > [Administrator Realm]（管理者レルム） >

[General]（一般）の設定を変更し、管理者レルムに対して適切な認証サーバーを選択しま

す。

• 管理者アカウントは、ターゲットの Pulse サーバーにサインインするために管理者にロー

ルの選択を要求するような方法で設定しないでください。たとえば、Push Configuration

管理者ロールのように、 1 人のユーザーを複数のロールにマップしないでください。このよ

うにすると、ロールの統合に失敗します。 Push Configuration 管理者には、専用のアカ

ウントを作成することをお勧めします。このようにすることで、管理者がサインインプロ

セスでロールを選択する必要がなくなるだけでなく、 Push Configuration 管理者のアクショ

ンをログファイルで明確に区別できるようになります。 [Administrators]（管理者） >

[Admin Realms]（管理レルム） > [Administrator Realm]（管理者レルム） > [Role Mapping]

（ロールのマッピング）の設定を使用し、適切なロールマッピングルールを設定します。

Junos Pulse 設定をある Pulse サーバーから同じタイプの別の Pulse サーバーにプッシュす

るには、以下の手順に従います。

1. まだターゲットを定義してない場合は、 [Maintenance]（メンテナンス） > [Push Config]

（プッシュ設定） > [Targets]（ターゲット）を選択して定義します。ターゲットを定義

する詳細な手順については、該当する管理者ガイドを参照してください。

2. 管理コンソールで、[Maintenance]（メンテナンス） > [Push Config]（プッシュ設定） >

[Push Configuration]（プッシュ設定）を選択します。

3. [What to push]（プッシュの対象）ボックスで、 [Selected configuration]（選択した設

定）を選択し、設定カテゴリを表示します。

4. リストを下方向にスクロールし、Junos Pulse というラベルの項目を展開します。

5. この Pulse サーバーのすべての Junos Pulse 設定をプッシュするには、[Select All

Configurations]（すべての設定を選択）チェックボックスを選択します。または、以下

のカテゴリから任意の組み合わせを選択します。

• [Junos Pulse Connections]（Junos Pulse 接続）—接続設定および接続

• [Junos Pulse Components]（Junos Pulse コンポーネント）—コンポーネントセット



• [Junos Pulse Versions]（Junos Pulse の各バージョン）—Pulse サーバーにアップロー

ドされた Pulse パッケージ

6. [Selected Targets]（選択したターゲット）ボックスにターゲットを追加します。

7. [Push Configuration]（プッシュ設定）をクリックします。

Pulse の自動アップグレードの有効化または無効化

エンドポイントに Junos Pulse クライアントソフトウェアを配備すると、ソフトウェアが自

動的に更新されます。 Pulse サーバーで Pulse クライアント設定をアップグレードすると、

クライアントが次回接続したときに、更新されたソフトウェアコンポーネントがプッシュさ

れます。




注: バインドされているエンドポイントは、バインドしているサーバーから接続

設定オプションと接続を受け取りますが、自動アップグレードオプションが有効

になっている任意の Pulse サーバーから、 Pulse クライアントソフトウェアを

アップグレードさせることができます。クライアントソフトウェアのアップグ

レード中、クライアントは一時的に接続を失います。

Pulse クライアントソフトウェアのアップグレードは、デフォルトで有効になっています。

この動作を変更するには、以下の手順に従います。

1. 管理コンソールで、[Maintenance]（メンテナンス） > [System]（システム） > [Options]

（オプション）を選択します。

2. [Enable automatic upgrade of Junos Pulse Clients] （Junos Pulse クライアントの自動

アップグレードの有効化）チェックボックスをオンまたはオフにします。


関連項目 59ページのJunos Pulse ソフトウェアのアップグレード•

Junos Pulse ソフトウェアのアップグレード

サポートされている各 Pulse サーバーのソフトウェアイメージには、 Junos Pulse クライア

ントソフトウェアパッケージが含まれています。新しいバージョンの Pulse ソフトウェア

が使用可能になったら、それを Pulse サーバーにアップロードできます。 Pulse サーバーに

は、複数のバージョンの Pulse を配置することができますが、アクティブにできるのは 1 つ

の Pulse クライアントパッケージだけです。新しいバージョンの Pulse をアクティブにし、

Pulse サーバーの自動アップグレードオプションが有効になっている場合、Pulse クライア

ントが接続すると、アップグレードのプロンプトがユーザーに表示されます。ユーザーは、

アップグレードのインストールまたは操作のキャンセルを選択できます。キャンセルを選択



すると、クライアントがサーバーに接続するたびにアップグレードのプロンプトが表示されま

す。クライアントソフトウェアのアップグレード中、 Pulse クライアントは一時的に接続を

失います。




図 11: Pulse クライアントのアップグレードメッセージ

新しい Pulse ソフトウェアパッケージを Pulse サーバーがアクセスできる場所に配備した

ら、以下の手順に従って Pulse サーバーにソフトウェアをアップロードします。

1. デバイスの管理コンソールで、[Users]（ユーザー） > [Junos Pulse] > [Components]（コ

ンポーネント）を選択します。


セクションで [Browse]（参照）をクリックし、ソフトウェアパッケージを選択します。

3. [Upload]（アップロード）をクリックします。

アクティブにできる Junos Pulse ソフトウェアパッケージは、1 度に 1 つだけです。新し

いパッケージを追加したら、それを有効にする必要があります。

Pulse パッケージをデフォルトとして有効にするには、以下の手順に従います。

1. 管理コンソールで、[Users]（ユーザー） > [Junos Pulse] > [Components]（コンポーネン

ト）を選択します。


セクションで、選択するバージョンの横のラジオボタンを選択し、[Activate]（アクティ

ブ化）をクリックします。

関連項目 58ページのPulse の自動アップグレードの有効化または無効化•



iPass Open Mobile と Junos Pulse の統合

Junos Pulse リリース 2.1 以降は、サードパーティ製ソフトウェアの統合をサポートしてい

ます。 iPass Open Mobile プラットフォームは、信頼性が高く安全で、高性能な iPass エン

タープライズモバイルサービスを提供します。 Pulse と iPass を組み合わせることで、

Windows XP、Windows Vista、および Windows 7 エンドポイントのセキュアアクセスオプ

ションが拡張されます。サードパーティ製アプリケーションの統合は、Junos Pulse Secure

Access サービスによってサポートされています。

iPass Enterprise Mobility Services は、公開ネットワークへの認証された接続を Pulse

ユーザーに対して提供します。ユーザーは、 iPass ネットワークのリストに登録されている

Wi-Fi、モバイルブロードバンド、またはダイヤルネットワークに、外出先で接続すること

ができます。インターネット接続が確立すると、 Junos Pulse が企業リソースへの安全な接

続を提供します。 iPass Enterprise Mobility Services は、レストランや空港、機内の Wi-Fi

ホットスポットで、認証された安全な接続を提供します。

アプリケーションの統合を有効にするには、高度な接続のライセンスを Pulse サーバーにイン

ストールします。エンドポイントでは、ユーザーが iPass Open Mobile クライアントソフト

ウェアをインストールする必要があります。高度な接続のライセンスがインストールされ、

ロールに対して有効化されている Pulse サーバーにユーザーが初めて接続すると、ライセン

ス情報が Pulse クライアントに渡され、 iPass ソフトウェアが自動的に Pulse の

[Connections]（接続）ペインに統合されます。統合後は、ユーザーが企業ネットワークか

ら切断すると、iPass が自動的に認証されたネットワークを特定し、接続を有効にします。

これによりユーザーは、 Pulse を使用して、企業ネットワークへの VPN 接続を確立できます。

iPass と Pulse の統合は、以下のタスクで構成されます。

• 高度な接続のライセンスを SA シリーズ SSL VPN アプライアンスにインストールします。

• ライセンスをインストールしたサーバーで、ロールに対してサードパーティ製ソフトウェア

の統合を有効にします。

• 各 Pulse エンドポイントには、iPass Open Mobile をインストールする必要があります。

iPass クライアントソフトウェアについては、 iPass の担当者にお問い合わせください。

• 各 Pulse エンドポイントは、サードパーティ製ソフトウェアの統合が有効になっている

Pulse サーバーのロールに接続する必要があります。初回接続時にライセンス情報が Pulse

エンドポイントにダウンロードされ、iPass との統合について Pulse クライアントが有効

になります。 Pulse エンドポイントに iPass がインストール済みの場合、Pulse が Pulse

サーバーとの接続を確立してしばらくすると、Pulse の [Connections]（接続）ペインに

iPass のインターフェースが表示されます。

高度な接続のライセンスをインストールするには、以下の手順に従います。

1. Pulse サーバーで管理者としてログインし、 [System]（システム） > [Configuration]（設

定） > [Licensing]（ライセンス）をクリックします。

2. [License keys]（ライセンスキー）ボックスにライセンスキーを貼り付けるか入力し、

[Add]（追加）をクリックします。



ロールに対してサードパーティ製ソフトウェアの統合を有効にするには、以下の手順に従いま

す。

1. [Users]（ユーザー） > [User Roles]（ユーザーロール） > [Role Name]（ロール名） >

[Network Connect]（ネットワーク接続） > [Junos Pulse Settings]（Junos Pulse 設定）

をクリックします。

2. [Enable 3rd party connectivity integration]（サードパーティ接続の統合を有効にする）


注: このチェックボックスは、高度な接続のライセンスをシステムにインス

トールしない限り表示されません。



Pulse Collaboration Suite の概要

Junos Pulse Collaboration Suite （以前は Secure Meeting と呼ばれていました）を使用す

ることで、安全なオンラインミーティングをスケジュール設定したり、ミーティングに参加

したりできます。ミーティングでは、安全な接続を介して他のユーザーとデスクトップおよび

アプリケーションを共有できます。ミーティング参加者は、デスクトップのリモート制御を

有効化し、テキストチャットを使用することで、共同作業を行うことができます。ユーザー

は、Pulse Secure Access サービスのユーザー Web ポータルを使用してミーティングをスケ

ジュール設定できます。また、Microsoft Outlook プラグインがインストールされている場合

は、 Microsoft Outlook からスケジュール設定することもできます。

通常のミーティングに加え、Pulse Collaboration Suite ではインスタントミーティングと

サポートミーティングをサポートしています。インスタントミーティングでは、特定のタ

イプのミーティング（毎週のステータスミーティングなど）に対する静的 URL を使用して

ミーティングを作成できます。これらのタイプのミーティングをスケジュール設定する必要

はありません。司会者がミーティングを開始し、参加者が URL を入力してミーティングに参

加します。

Pulse Collaboration Suite の統合は、Pulse 接続の一部として有効化し、インストーラパッ

ケージまたは設定の更新を通じて、その接続を Pulse クライアントにプッシュすることがで

きます。 SSL VPN または UAC （L3）接続タイプには、接続での Pulse Collaboration 統合を

有効化するチェックボックスが用意されています。このチェックボックスを選択すると、

その接続がインストールされている Pulse クライアントに新しいメニュー項目が表示されま

す。このメニュー項目を使用して、ユーザーは Pulse Collaboration Suite の各機能にアク

セスできます。ミーティングが有効化されている接続は、通常の SSL VPN 接続として使用

することも、ミーティング専用にすることもできます。 Pulse ユーザーが、ミーティング用の

トレイアイコンメニュー項目をクリックすると、ブラウザウィンドウが起動して、サーバー

のユーザー Web ポータルに接続します。



タスクの概要: Pulse Secure Access サーバーでの Pulse Collaboration Suite の設定

以下の説明は、Pulse Secure Access サーバーを Pulse Collaboration Suite ミーティングの

ミーティングサーバーとして有効化する方法をまとめたものです。詳細な手順については、

『Junos Pulse Secure Access サービス管理ガイド』を参照してください。

Pulse Collaboration Suite を設定するには、以下の手順に従います。

1. Pulse Secure Access サーバーの管理コンソールで [System]（システム） > [Network]

（ネットワーク） > [Overview]（概要）をクリックし、サーバーのネットワーク識別子を

指定します。 Pulse Collaboration Suite は、このホスト名を使用して、E メール通知に

記載するミーティング URL を作成します。

2. ロールレベルの設定を行います。

• ロールレベルで Pulse Collaboration Suite を有効化するには、[Users]（ユーザー）

> [User Roles]（ユーザーロール） > [Role Name]（ロール名） > [General]（一般）


• ロールレベルのミーティング制限を設定するには、[Users]（ユーザー） > [User Roles]

（ユーザーロール） > [Role Name]（ロール名） > [Meetings]（ミーティング） >

[Options]（オプション）をクリックします。

3. 認証設定を構成します。

• ミーティング作成者がアクセスし、検索できる認証サーバーを指定するには、 [Users]

（ユーザー） > [User Roles]（ユーザーロール） > [Role Name]（ロール名） >

[Meetings]（ミーティング） > [Auth Servers]（認証サーバー）をクリックします。

• ミーティング作成者が、LDAP サーバーからユーザーを招待できるようにするには、

[Authentication]（認証） > [Auth. Servers]（認証サーバー） > [Select LDAP Server]

（LDAP サーバーの選択） > [Meetings]（ミーティング）をクリックします。

4. ミーティングのサインインポリシーを設定します。

• ミーティング参加者がミーティングにサインインしたときに表示するユーザー Web ポー

タルをカスタマイズするには、[Authentication] （認証）> [Signing In]（サインイン）

> [Sign-in Pages]（サインインページ）をクリックします。

• ミーティング参加者がミーティングに参加するために使用する URL を定義するには、

[Authentication]（認証） > [Signing In]（サインイン） > [Sign-in Policies] （サ

インインポリシー） > [Meeting Policy]（ミーティングポリシー）をクリックします。

このページを使用して、ミーティングページと URL の関連付けも行います。

• ミーティングのサインインポリシーとユーザーのサインインポリシーを関連付けるに

は、[Authentication]（認証） > [Signing In]（サインイン） > [Sign-in Policies]

（サインインポリシー）> [User Policy] （ユーザーポリシー）をクリックします。

Pulse Secure Access サーバーは、指定されたミーティング URL を、関連付けられたユー

ザー URL にサインインするユーザーが作成した任意のミーティングに適用します。

5. セッションタイムアウトや SMTP サーバーの情報、タイムゾーンの設定、色深度の設定な

ど、システムレベルのミーティング設定を構成するには、管理コンソールの [System]（シ

ステム） > [Configuration]（設定） > [Pulse Collaboration Suite] ページにアクセス

します。



6. クライアントサイドのログ記録を有効にするには、[System]（システム） > [Log/Monitoring]

（ログ/監視） > [Client Logs]（クライアントログ） > [Settings]（設定）をクリック

します。

7. ユーザーが Pulse Secure Access サーバーにプッシュするログを表示するには、[System]

（システム） > [Log/Monitoring]（ログ/監視） > [Uploaded Logs]（アップロードされた

ログ）をクリックします。

ミーティングをサポートする Pulse 接続の設定

Pulse Collaboration Suite ミーティングをサポートするように Junos Pulse 接続を設定する

と、Windows エンドポイントの Pulse ユーザーは、 Junos Pulse のトレイアイコンからミー

ティング機能にアクセスできるようになります。ユーザーがトレイアイコンメニューの

[Start Meeting]（ミーティングの開始）をクリックすると、ブラウザウィンドウが起動しま

す。このウィンドウから、ミーティング機能にアクセスできます。ブラウザには、サーバー

の Web ポータルの [Meetings]（ミーティング）ページが表示されます。このページには、ブ

ラウザを使用し、Pulse Secure Access サーバーにログインしてアクセスすることもできま

す。

Pulse Collaboration Suite へのアクセスに使用するトレイアイコンは、ミーティングサー

バー接続として Pulse 接続が有効になっている場合に使用できます。 Pulse ユーザーは、接

続用にミーティング機能を有効化することはできません。このタスクは、サーバーで定義さ

れた接続に対して Pulse 管理者が実行する必要があります。その後、Pulse クライアントソ

フトウェアを配布および更新する通常の方法でエンドポイントにインストールします。

以下の手順は、Pulse Collaboration Suite の各機能を有効化する Pulse 接続を作成する方法

をまとめたものです。

1. Pulse 接続設定で、新規 Pulse 接続を作成するか、既存の接続設定を編集します。

Pulse Collaboration Suite は、SSL VPN 接続（接続タイプ SSL VPN または UAC（L3））

でのみ使用できます。

2. [Enable Junos Pulse Collaboration integration on this connection] （この接続で Junos

Pulse Collaboration の統合を有効にする）というチェックボックスを選択します。

3. Pulse クライアントソフトウェアを配布および更新する通常の方法で、エンドポイントに

接続を配布します。

Pulse Secure Access サービスのユーザー Web ポータルを使用したミーティングのスケジュール設定

ロールレベルでミーティング作成機能を有効にすると、ユーザーは、 Pulse Secure Access

サービスのユーザー Web ポータルの [Meetings]（ミーティング）ページを使用してミーティ

ングを作成できるようになります。ミーティングをスケジュール設定するユーザーは、ミー

ティング名、ミーティングの説明、開始日時、定期パターン、所要時間、パスワード、参加者

リストなど、標準的なミーティングの詳細をすべて指定する必要があります。さらに、すべ

ての参加者を、以下の 2 つのカテゴリのいずれかに分類する必要があります。

• Pulse Secure Access サービスの参加者—ミーティング作成者と同じ Secure Access サー

バーまたはクラスタにサインインするユーザー。ネットワーク内部の参加者とも呼ばれま

す。ネットワーク内部のユーザーをミーティングに招待する場合、ミーティング作成者は、

ユーザーのユーザー名と認証サーバーを指定する必要があります。



• 非 Pulse Secure Access サービスの参加者—ミーティング作成者と異なる Secure Access

サーバーまたはクラスタにサインインするユーザー。ネットワーク外部の参加者とも呼ばれ

ます。ネットワーク外部のユーザーをミーティングに招待する場合、ミーティング作成者

は、ユーザーの E メールアドレスを指定する必要があります。

注: ネットワーク内部の参加者が、Pulse Secure Access サービスのユーザー

Web ポータルの [Meetings]（ミーティング）ページではなく、ミーティング

URL を使用してミーティングに参加すると、Pulse Collaboration Suite は、そ

のユーザーをネットワーク外部の参加者として分類します。

Microsoft Outlook を使用したミーティングのスケジュール設定

ロールレベルでミーティング作成機能を有効にすると、 Pulse Secure Access サービスのユー

ザーは、 Pulse Collaboration Suite Outlook プラグインを使用して、Microsoft Outlook の

予定表からミーティングを作成できるようになります。

Pulse Collaboration Suite プラグインを Microsoft Outlook 2000 にインストールすると、

インストールしようとするフォームに“マクロが含まれている可能性があることを示すメッセー

ジが表示されます。”Pulse Collaboration Suite のフォームにはマクロが含まれていない

ため、[マクロを無効にする] または [マクロを有効にする] のどちらをクリックしても問題

ありません。

注: Outlook 用の Pulse Collaboration Suite プラグインを削除するには、その

プラグインのインストール時に使用したものと同じ Outlook プロファイルを使用す

る必要があります。プラグインのインストールと削除でプロファイルを変えること

はサポートされていません。

このプラグインを使用するには、ユーザーは以下の操作を実行する必要があります。

1. Pulse Secure Access サービスのユーザー Web ポータルの [Meetings]（ミーティング）

ページから、プラグインをインストールします。

2. [新規作成] > [Pulse Collaboration Suite] を選択し、 Outlook のフォームで Pulse

Collaboration Suite のスケジュール設定を開きます。

3. [Pulse Collaboration Suite] タブを使用して、ミーティングをスケジュール設定する

Pulse Secure Access サーバーに関する詳細と、ユーザーのサインイン資格情報、レルム、

およびミーティングのパスワードを入力します。

注: Microsoft Outlook の制限により、すべてのミーティングの詳細を Microsoft

Outlook と Pulse Secure Access サービスの間で共有できるわけではありませ

ん。制限に関する詳細は、Pulse Secure Access サービスのユーザー Web ポー

タルのユーザーヘルプシステムと、 Pulse Collaboration Suite for Outlook

プラグインのインストーラを参照してください。



4. [スケジュール] および [予定] タブから Outlook の標準機能を使用して、ミーティング

のスケジュール設定と参加者の追加を実行します。 Pulse Collaboration Suite は、Outlook

を使用した標準ミーティングと定期ミーティングの作成をサポートしています。

注: [予定] タブには、[...を使用したオンライン会議です] というチェック

ボックスが用意されています。このチェックボックスは、ミーティングサー

バーや Pulse Collaboration Suite Outlook プラグインに関係するものではな

く、サードパーティ製のプラグインでは使用できません。

5. 予定表エントリを保存して、 Pulse Collaboration Suite サーバーに情報を送信します。

ミーティングを保存する際に、証明書の警告が表示される場合があることに注意してくだ

さい。これは、プラグインがセキュアサーバーと交信するためです。

6. Pulse Collaboration Suite Outlook プラグインが作成したテキストとミーティング URL

を使用して、Outlook から参加者に招待 E メールが送信されます。また、ミーティング

参加者の Outlook の予定表にもミーティングが追加されます。この予定表アイテムには、

Outlook によって記録された標準的なすべての情報と、追加の [Pulse Collaboration Suite]

タブが表示されます。このタブには、ミーティング作成者が [Pulse Collaboration Suite]

タブで指定した情報が表示されます。 Pulse Secure Access サーバーは、SMTP サーバー

を使用して追加の E メールを送信しないことに注意してください。

7. ミーティングを削除するには、[Pulse Collaboration Suite] タブの [Delete Meeting from

Server]（サーバーからミーティングを削除する）をクリックします。 Outlook フォームか

ら [削除] をクリックしても、ミーティングは削除されません。



第4章

SRX シリーズゲートウェイでの JunosPulse の設定

• Junos Pulse と SRX シリーズゲートウェイ 113ページ

• 動的 VPN 構成の概要 114ページ

Junos Pulse と SRX シリーズゲートウェイ

SRX シリーズゲートウェイの動的仮想プライベートネットワーク（VPN）機能を使用するこ

とで、ユーザーは、各自のエンドポイントで手動により VPN 設定を構成することなく、イン

ターネットプロトコルセキュリティ（IPsec）VPN トンネルを確立できるようになるため、

リモートアクセスが簡単になります。 Junos Pulse は、SRX シリーズゲートウェイへの VPN

接続をサポートしています。 VPN 設定は、Pulse SRX 接続の一部です。 SRX ゲートウェイの

Junos OS のバージョンによっては、 Web ポータルを通じて SRX シリーズゲートウェイから

エンドポイントに Pulse を配備できる場合があります。リモートクライアントが Web ポー

タルにアクセスすると、認証後に Pulse がダウンロードされてインストールされます。イン

ストールには、 SRX シリーズゲートウェイへの Pulse 接続が含まれます。また、Pulse

Access Control サービスおよび Pulse Secure Access サービスからのファイアウォール接

続を作成して配備することもできます。 Pulse を配備できる Junos OS バージョンの詳細に

ついては、『Junos Pulse Supported Platform Guide』を参照してください。

ファイアウォールアクセス環境を Pulse クライアント用に設定するには、SRX シリーズゲー

トウェイで VPN 設定を構成し、 SRX 接続を作成して Junos Pulse クライアントに配備する必

要があります。

注: モバイルデバイス対応 Junos Pulse は、 Pulse Secure Access サービスだけ

にアクセスできます。

Junos Pulse クライアントソフトウェアを配備できない SRX シリーズゲートウェイについ

ては、以下の設定および配備オプションが用意されています。

• Pulse Secure Access サービスおよび Pulse Access Control サービスを含む環境では、SRX

シリーズサービスゲートウェイのターゲットアドレスを使用して SRX タイプの接続を作

成します。これにより、ユーザーは、Pulse Secure Access サービスまたは Pulse Access

Control サービスの Web ポータルにログインし、Junos Pulse をインストールするロールに

割り当てられることで、Junos Pulse クライアントソフトウェアおよび接続設定をインス

トールすることができます。インストールが完了すると、エンドポイントに Junos Pulse


クライアントソフトウェアと、SRX シリーズサービスゲートウェイへ接続するために必

要な接続情報が整ったことになります。

• デフォルトの Junos Pulse ソフトウェアパッケージをインストールしてから、ユーザー側

で SRX シリーズゲートウェイをポイントする新しい接続を作成してもらいます。

SRX シリーズゲートウェイは、Juniper Networks Access Manager と呼ばれる旧バージョン

のアクセスクライアントをサポートしています。 Junos Pulse をエンドポイントに配備する

前に、 Access Manager をアンインストールする必要があります。Pulse インストールプログ

ラムでは、Access Manager が存在するかどうかがチェックされます。存在する場合は、 Pulse

をインストールする前に Access Manager をアンインストールするよう指示するメッセージが


動的 VPN 構成の概要

動的 VPN を使用することで、管理者は Juniper Networks デバイスの Pulse サーバーに対し

て IPsec アクセスを提供できます。

以下の手順は、動的 VPN を構成するためのタスクを示したものです。これらのトピックにつ

いての詳細は、 JUNOS© ソフトウェアの説明書を参照してください。

1. 以下の要領で、リモートクライアンに対して認証およびアドレス割り当てを設定します。

a. ユーザーを認証し、アドレスを割り当てる XAuth プロファイルを構成します。ローカ

ル認証または外部 RADIUS サーバーを使用することができます。 XAuth プロファイル

は、[edit access] 階層レベルにある profile 構成ステートメントを使用して設定しま

す。

Web 認証用に XAuth プロファイルを使用するには、[edit access firewall-authentication]

階層レベルにある web-authentication 構成ステートメントを使用します。

b. ローカル認証が使用されている場合は、ローカルアクセスプールの IP アドレスを割

り当てます。 [edit access] 階層レベルの address-assignment pool 構成ステートメン

トを使用します。 IP アドレスのサブネットまたは範囲を指定できます。 DNS および

WINS サーバーの IP アドレスも指定できます。

2. 以下の要領で、VPN トンネルを構成します。

a. IKE ポリシーを設定します。モードはアグレッシブでなければなりません。基本、互

換、または標準のプロポーザル設定を使用できます。フェーズ 1 認証では、事前共有

鍵のみがサポートされています。 [edit security ike] 階層レベルの policy 構成ステー

トメントを使用します。

b. IKE ゲートウェイを設定します。共有 IKE ID またはグループ IKE ID のいずれかを

使用できます。ゲートウェイへの最大同時接続数は、設定が可能です。 [edit security

ike] 階層レベルの gateway 構成ステートメントを使用します。

c. IPsec VPN を設定します。 [edit security ipsec] 階層レベルの policy 構成ステートメ

ントで、基本、互換、標準のプロポーザル設定を指定できます。 [edit security ipsec]

階層レベルの vpn 構成ステートメントを使用して、IPsec ゲートウェイおよびポリ

シーを構成します。



d. リモートクライアントから IKE ゲートウェイへのトラフィックを許可するセキュリ

ティポリシーを設定します。 [edit security policies from-zone zone to-zone zone]

階層レベルの policy 構成ステートメントを使用します。

注: このセキュリティポリシーの配置は重要です。このセキュリティポ

リシーは、より具体的な非 VPN ポリシーよりも上に配置してください。こ

れにより、VPN トンネル経由で送信するトラフィックが正しく処理されます。

e. 特定のトラフィックが、インターフェースに接続されているシステムのデバイスに到達

するのを許可するように、ホストのインバウンドトラフィックを設定します。たとえ

ば、IKE および HTTPS トラフィックを許可する必要があります。

f. （オプション）クライアントのアドレスプールが、デバイスに直接接続されているサ

ブネットに属している場合、そのデバイスは同じゾーンにある他のデバイスのプールに

あるアドレスに対する ARP 要求に応答する必要があります。 [edit security nat] 階

層レベルの proxy-arp 構成ステートメントを使用します。プールのアドレスおよびデ

バイスにサブネットを直接接続するインターフェースを指定します。

3. 以下の要領で、リモートクライアントと動的 VPN を関連付けます。

a. 動的 VPN で使用するアクセスプロファイルを指定します。 [edit security dynamic-vpn]

階層レベルの access-profile 構成ステートメントを使用します。

b. 動的 VPN を使用できるクライアントを設定します。保護されたリソース（保護された

リソースへのトラフィックは、指定された動的 VPN トンネルを通過するため、ファイア

ウォールのセキュリティポリシーで保護されています）または保護されたリソースリ

ストでの例外（トラフィックは動的 VPN トンネルを通過せず、クリアテキストで送信

されます）を指定します。これらのオプションは、トンネルが使用可能な場合に、ク

ライアントにプッシュされるルートを制御します。そのため、トンネル経由で送信され

るトラフックを制御します。 [edit security dynamic-vpn] 階層レベルの clients 構成

ステートメントを使用します。

関連項目 • 135ページのJunos Pulse クライアントのインストールの概要


第4章: SRX シリーズゲートウェイでの Junos Pulse の設定



第5章

Junos Pulse アプリケーションアクセラレーションサービスの設定

この章では、Junos Pulse アプリケーションアクセラレーションサービスをインストールお

よび管理する方法について説明します。

• Junos Pulse クライアントのインストール 117ページ

• ソフトウェア、設定、およびポリシーの管理 120ページ

Junos Pulse クライアントのインストール

モバイルおよびリモートの Windows ユーザーは、 Junos Pulse クライアントをインストール

することによってアプリケーション高速化のメリットを享受できます。ネットワークパスに

ゲートウェイがインストールされている場合、 Junos Pulse クライアントは、クライアント

システムとリモートの Junos Pulse アプリケーションアクセラレーションサービスゲート

ウェイ間のトラフィックを高速化します。ゲートウェイと Pulse クライアントは自動的に相

互を検出し、ユーザーが介入することなくトラフィックの高速化を開始します。

Junos Pulse クライアントは、Pulse Secure Access サーバーまたは Pulse アプリケーショ

ンアクセラレーションサーバーからインストールできます。 Pulse クライアントは、Pulse

Secure Access サーバーからインストールすることをお勧めします。 Pulse Secure Access

サーバーは、ユーザーがサーバーにアクセスしたときに、 Pulse クライアントを自動的にダウ

ンロードおよびインストールするように設定できます。

注: Junos Pulse クライアントは、他のクライアントのゲートウェイとして機能す

る 1 つの Windows システムではなく、各 Windows クライアントにインストール

する必要があります。

Junos Pulse クライアントのインストール方法は、以下の各セクションで説明します。

• Junos Pulse アクセラレーションに対するパーソナルファイアウォールの設定 118ページ

• Pulse Secure Access サーバーからの Junos Pulse クライアントのダウンロード 118ページ

• Pulse アプリケーションアクセラレーションゲートウェイからの Junos Pulse クライアン

トのダウンロード 119ページ

• Junos Pulse クライアントのアンインストール 120ページ


Junos Pulse アクセラレーションに対するパーソナルファイアウォールの設定

パーソナルファイアウォールは、Pulse クライアントとネットワークパスの Junos Pulse ア

プリケーションアクセラレーションサービスゲートウェイの間で接続（隣接関係）をブロッ

クできます。ファイアウォールは、ポート 3578 でインバウンド UDP パケットを受信するた

めに、Pulse クライアントの接続ソフトウェア（WxConnectionMethod）を許可する必要があり

ます。ファイアウォールポリシーは、以下の 2 つの方法のいずれかで変更できます。

• 管理者は、ユーザーに対するファイアウォールの例外を作成し、集中管理されたファイア

ウォールシステムを通じて配布できます。

• ユーザーは、クライアントでパーソナルファイアウォールを変更できます。

一部のパーソナルファイアウォールは、Pulse クライアントをインストールすると、自動的

に更新されます。118ページの表6 は、一般的なファイアウォールシステムに必要な設定をま

とめたものです。ここに示すバージョン番号は、Junos Pulse アクセラレーションの動作を

検証済みのバージョンです。

表6: Pulse アクセラレーションに対するパーソナルファイアウォールの例外

Pulse アクセラレーションを許可するために必要な設定

ファイアウォールソフトウェアパッケージ

およびバージョン

ポート 3578 上ですべての IP アドレスに対して着信 UDP パケットを許可するネッ

トワーク制御プロトコルを新規に追加します。

Trend Micro IS Pro 17.50

McAfee では、WX Connection Method サービスが検出されると、メッセージが表示さ

れます。ユーザーは、Allow always と応答する必要があります。

McAfee Personal Firewall 12.0

必要な措置はありません。インストール時に、Pulse によってファイアウォールが

更新されます。

Norton 4.3.0.5

ポート 3578 上でインバウンド UDP パケットを許可するようにアプリケーションの

ルールを編集します。

Kaspersky 6.0

必要な措置はありません。インストール時に、Pulse によってファイアウォールが

更新されます。

Windows XP、 Windows Vista、および Windows

7

Pulse Secure Access サーバーからの Junos Pulse クライアントのダウンロード

The Junos Pulse クライアントは、ユーザーが Pulse Secure Access サーバーにアクセスし

たときに自動的にダウンロードし、インストールすることができます。バージョン 6.5 また

は 6.3 の SA シリーズゲートウェイでは、まず Junos Pulse アプリケーションアクセラレー

ションサービスゲートウェイから Junos Pulse クライアントをエクスポートし、Pulse Secure

Access サーバーにアップロードする必要があります（ 124ページの「「Pulse クライアントの

配布」」を参照してください）。バージョン 7.0 （またはそれ以降）の Pulse Secure Access

サーバーには、Junos Pulse クライアントが含まれているため、クライアントのエクスポート

は必要ありません。

Pulse Secure Access サーバーから Junos Pulse クライアントをダウンロードするには、以




1. Windows 7、Windows Vista、または Windows XP を実行しているコンピュータで、サポー

トされている Web ブラウザに Pulse Secure Access サーバーの URL を入力します。例:

https://sa.juniper.net

[Loading Components]（コンポーネントをロードしています）ページが表示されます。 Junos

Pulse クライアントインストーラのダウンロード用に Host Checker ウィンドウが開き、

その後でクライアントのダウンロードおよびインストール用に Junos Pulse クライアント

ウィンドウが開きます。以下の点に注意してください。

• Windows ファイアウォールが有効化されている場合、Junos Pulse クライアントに外部接

続を許可するようメッセージが表示されたら [ブロックを解除する] をクリックします。

• Network Connect クライアントを停止するようメッセージが表示された場合は [OK] を

クリックし、Junos Pulse クライアントがインストールされた後で Network Connect ク

ライアントを再起動します。

• Host Checker または Junos Pulse クライアントのインストールが不適切であったこと

を示すメッセージが表示された場合は、[Try Again]（再試行）をクリックしてインストー

ルを完了させます。

インストールが完了すると、Junos Pulse クライアントが自動的に起動します。クライア

ントを手動で起動するには、システムトレイの Junos Pulse アイコンをダブルクリックし

ます。リモートの Junos Pulse アプリケーションアクセラレーションサービスゲート

ウェイがネットワークパスで検出されると、アプリケーションアクセラレーションが自

動的に起動します。その他の設定は必要ありません。

Pulse アプリケーションアクセラレーションゲートウェイからの Junos Pulse クライアントのダウンロード

Pulse Secure Access サーバーがない場合は、JWOS 6.2 を実行する任意の Junos Pulse アプ

リケーションアクセラレーションサービスゲートウェイから Junos Pulse クライアントを

ダウンロードできます。 Pulse クライアントソフトウェアをダウンロードする前に、以下の

操作を実行する必要があります。

• Pulse クライアントのダウンロードが有効化されていることを確認します（ 120ページの

「「Pulse クライアントダウンロードの有効化」」を参照してください）。

• Pulse クライアントの設定を指定します（「Pulse クライアント設定の定義」を参照してく

ださい）。

Windows 7、Windows Vista、または Windows XP を実行するコンピュータに Pulse クライア

ントをダウンロードするには、以下の手順に従います。

1. WX クライアントがインストールされている場合は、 [スタート] > [すべてのプログラム]

> [Juniper Networks] > [WX Client]（WX クライアント） > [Uninstall]（アンインストー

ル）を選択して、WX をアンインストールします。 WX クライアントは JWOS 6.0 だけを

サポートしているため、Pulse クライアントとは互換性がありません。

2. サポートされている Web ブラウザに、以下の URL を入力します。

https://Gateway IP address/client


第5章: Junos Pulse アプリケーションアクセラレーションサービスの設定

3. 必要に応じてユーザー名とパスワードを入力し、[Login]（ログイン）をクリックします。

4. [インストールする] を選択し、必要に応じて [セキュリティの警告] ダイアログボック

スで [インストール] をクリックします。以下の点に注意してください。

• Windows ファイアウォールが有効化されている場合、クライアントに外部接続を許可する

ようメッセージが表示されたら [ブロックを解除する] をクリックします。

• Network Connect クライアントを停止するようメッセージが表示された場合は [OK] を

クリックし、Junos Pulse クライアントがインストールされた後で Network Connect ク

ライアントを再起動します。

インストールが完了すると Pulse クライアントが自動的に起動し、 Windows デスクトップ

右下のシステムトレイに Pulse アイコンが表示されます。リモートの Junos Pulse ア

プリケーションアクセラレーションサービスゲートウェイがネットワークパスで検出

されると、アプリケーションアクセラレーションが自動的に起動します。その他の設定

は必要ありません。

Junos Pulse クライアントのアンインストール

Junos Pulse クライアントソフトウェアをアンインストールするには、[スタート] > [すべて

のプログラム] > [Juniper Networks] > [Junos Pulse] > [Uninstall]（アンインストール）

を選択するか、以下のプログラムを実行します（必要に応じて、C: を Windows がインストー

ルされているドライブに変更します）。

C:\Program Files\Juniper Networks\Junos Pulse\Uninstall.exe

ソフトウェア、設定、およびポリシーの管理

以下の各トピックでは、Pulse クライアントを管理する方法について説明します。

• Pulse クライアントダウンロードの有効化 120ページ

• Pulse クライアントの隣接関係の有効化 121ページ

• Pulse クライアントポリシーの設定 122ページ

• Pulse クライアントのステータスの表示 122ページ

• Pulse クライアント設定の表示 123ページ

• Pulse クライアントソフトウェアのアップロード 123ページ

• Pulse クライアントの配布 124ページ

Pulse クライアントダウンロードの有効化

Windows ユーザーは、クライアントダウンロードが有効化されている Junos Pulse アプリ

ケーションアクセラレーションサービスゲートウェイから Junos Pulse クライアントソフ

トウェアをダウンロードし、インストールすることができます。オプションで、クライアン

トソフトウェアをダウンロードする前にユーザーにログインを要求することも可能です。

クライアントソフトウェアのダウンロードを有効化するには、以下の手順に従います。



1. [Junos Pulse] > [Setup]（設定） > [Pulse Software Download] （Pulse ソフトウェアの

ダウンロード）を選択します。

2. 表示された Pulse ソフトウェアのバージョンが正しいことを確認します。さらに新しい

バージョンを利用できる場合は、それをゲートウェイにアップロードする必要があります

（ 123ページの「「Pulse クライアントソフトウェアのアップロード」」を参照してくださ

い）。

3. [Allow Pulse software download]（Pulse ソフトウェアのダウンロードを許可する）を選

択して、ユーザーが新しいリモートクライアントにクライアントソフトウェアをダウン

ロードすることを許可します。

4. [Allow Pulse software upgrade/downgrade]（Pulse ソフトウェアのアップグレード/ダウ

ングレードを許可する）を選択して、ユーザーが現在のバージョンの Pulse クライアント

をアップグレードまたはダウングレードすることを許可します。 Pulse クライアントの

アップグレードおよびダウングレードは、以下の場合に必要になります。

• ゲートウェイソフトウェアをアップグレードし、新しいユーザーだけが新しいバージョ

ンの Pulse クライアントインストールするようにする。

• ゲートウェイをダウングレードし、ユーザーが古いバージョンの Pulse クライアントを

インストールしないようにする（ゲートウェイをダウングレードすると、ゲートウェイ

にロードされた Pulse クライアントもダウングレードされます）。

5. [Require user authentication]（ユーザー認証を要求します）を選択してユーザーにログ

インを要求し、必要なユーザー名とパスワードを指定します。

6. [Submit]（送信）をクリックして変更内容を確定します。

7. タスクバーの [Save]（保存）をクリックして、次回再起動したときのために変更内容を保

持します。

Pulse クライアントの隣接関係の有効化

デフォルトでは、JWOS 6.1（またはそれ以降）を実行している Junos Pulse アプリケーション

アクセラレーションサービスゲートウェイは、サポートされているバージョンの Junos Pulse

クライアントソフトウェアを実行している任意のクライアントと隣接関係を形成することが

できます。隣接関係が確立されると、トラフィックが高速化されます。クライアントの隣接

関係は、いつでも無効化あるいは有効化できます。隣接関係が手動で無効化される（あるい

は何らかの理由で切断される）と、隣接関係を再確立するのに約 30 秒かかります。

注: NSC および Exchange の高速化など、JWOS 6.2 の新しい機能を使用するには、

バージョン 2.1（またはそれ以降）の Junos Pulse クライアントが必要です。

Junos Pulse クライアントとの隣接関係を有効化または無効化するには、以下の手順に従いま

す。

1. [Junos Pulse] > [Setup]（設定） > [Pulse Adjacency]（Pulse の隣接関係）を選択しま

す。

2. [Allow adjacency with Pulse clients]（Pulse クライアントとの隣接関係を許可する）を

選択してゲートウェイを有効化し、Junos Pulse クライアントとの隣接関係を形成します。



このチェックボックスをオフにすると、現在のすべての隣接関係が無効になり、すべての

クライアントトラフィックの流れがリセットされます。

3. [Submit]（送信）をクリックして変更内容を確定します。


持します。

Pulse クライアントポリシーの設定

圧縮サービスおよびアクセラレーションサービスは、現在隣接する（接続している）各クラ

イアントまたは前回ゲートウェイが再起動された後の任意の時点で隣接関係にあった各クライ

アントについて、Junos Pulse アプリケーションアクセラレーションサービスゲートウェイ

で構成できます。隣接関係が確立されると、有効化されているサービスが、そのクライアン

トに送信されたトラフィックに適用されます。

クライアントのデフォルト設定を定義するには、「Pulse クライアント設定の定義」を参照

してください。

Junos Pulse クライアントポリシーを設定するには、以下の手順に従います。

1. [Junos Pulse] > [Policies]（ポリシー）を選択します。

2. 該当するクライアントの横にあるサービスのチェックボックスを選択することによって、

1 つ以上のクライアントに対しサービスを有効化します。すべてのクライアントに対して

サービスを有効化または無効化するには、リストの下にある [Select All/Clear]（すべて

選択/選択解除）チェックボックスをオンまたはオフにします。

3. [Submit]（送信）をクリックして変更内容を有効にするか、 [Reset]（リセット）をクリッ

クして破棄します。


持します。

Pulse クライアントのステータスの表示

Junos Pulse アプリケーションアクセラレーションサービスゲートウェイには、ローカル

ゲートウェイと各 Pulse クライアント間の各 Junos Pulse クライアントの接続ステータスお

よび各サービスのステータスが表示されます。クライアントのリストには、隣接関係にある

（接続されている）クライアントと、接続待ちのすべてのクライアント、あるいは前回ゲー

トウェイが再起動された後からアクティブになったクライアントのすべてが含まれます。アク

ティブでない隣接関係は 15 分後に接続解除されます。

Junos Pulse クライアントのステータスを表示するには、以下の手順に従います。

1. [Junos Pulse] > [Status]（ステータス）を選択します。

2. ステータスアイコンを確認します。

説明アイコン

Junos Pulse クライアントが隣接しています（接続済）。



説明アイコン

Junos Pulse クライアントが接続されていない、接続待ちの状態、あるいは接続

処理中か切断処理中です。

サービスは正常に機能しています。

ローカルゲートウェイでサービスが有効化されていません。サービスを有効化

するには、 122ページの「「Pulse クライアントポリシーの設定」」を参照して

ください。

問題が発生しているか、ローカルゲートウェイでサービスが有効化されている

ものの Pulse クライアントで無効化されています。

Pulse クライアント設定の表示

Junos Pulse クライアントにダウンロードされたデフォルト設定は、 Junos Pulse アプリケー

ションアクセラレーションサービスゲートウェイで表示することができます。ゲートウェ

イから Pulse クライアント設定を生成した場合、クライアント設定には、ゲートウェイ設定

の CLI コマンドのサブセットが含まれることに注意してください。

クライアント設定を表示するには、以下の手順に従います。

1. [Junos Pulse] > [Admin]（管理） > [Display Pulse Configuration] （Pulse 設定の表

示）をクリックします。

2. クライアント設定を表示します。設定内の CLI コマンドの詳細については、『Junos Pulse

Application Acceleration Service Command Reference Guide』を参照してください。

Pulse クライアントソフトウェアのアップロード

新しいバージョンの Junos Pulse クライアントソフトウェアが利用可能になったら、それを

Junos Pulse アプリケーションアクセラレーションサービスゲートウェイにアップロードす

る必要があります。これにより、ユーザーがダウンロードしたり、配布用にエクスポートした

りできるようになります。 Pulse クライアントソフトウェアは、ローカルディスクあるい

は FTP または TFTP サーバーからロードできます。

Pulse クライアントソフトウェアの新しいバージョンをアップロードするには、以下の手順に

従います。

1. [Junos Pulse] > [Admin]（管理） > [Load Pulse Software]（Pulse ソフトウェアのロー

ド）を選択します。

2. ページの一番上に表示されたクライアントのバージョンを上書きしてよいか確認します。

3. 以下のいずれかを選択して、新しいバージョンの Pulse の場所を指定します。

ネットワーク内のマシン上でパスとファイル名を指定するか、 [Browse]（参

照）をクリックしてクライアントソフトウェアファイルを選択します。

ローカルディスク



TFTP サーバー上のパスとファイル名を指定します。

• TFTP サーバーの IP アドレス

• サーバー上のソフトウェアパッケージのパスとファイル名。最初の文字

は、スラッシュ（/）でなければなりません。

TFTP サーバー

FTP サーバー上のパスとファイル名を指定します。

• FTP サーバーの IP アドレス

• サーバー上のソフトウェアパッケージのパスとファイル名。最初の文字

は、スラッシュ（/）でなければなりません。

• FTP サーバーが匿名ユーザーのアクセスを受け付けない場合は、サーバー

上で読み取り/書き込み権限を有するアカウントのユーザー名とパスワード

を入力します。

FTP サーバー

4. [Load]（ロード）をクリックして、 Junos Pulse クライアントソフトウェアを更新しま

す。

Pulse クライアントの配布

Junos Pulse クライアントは、Junos Pulse アプリケーションアクセラレーションサービス

ゲートウェイからのダウンロードをユーザーに許可する方法に加え、以下のいずれかの方法で

配布することもできます。

• Juniper Networks SA シリーズ SSL VPN アプライアンス—Junos Pulse クライアントは、ユー

ザーが Pulse Secure Access サーバーにアクセスしたときに自動的にダウンロードされ、

インストールされます。バージョン 6.5 または 6.3 の SA シリーズゲートウェイでは、

Junos Pulse アプリケーションアクセラレーションサービスゲートウェイから Pulse ク

ライアントソフトウェアパッケージをエクスポートしてから、 Pulse Secure Access サー

バーにアップロードする必要があります。バージョン 7.0 以降の Pulse Secure Access

サーバーには、Pulse クライアントが含まれているため、クライアントのエクスポートは必

要ありません。 Pulse Secure Access サーバーに対する Junos Pulse の設定に関する情報

は、『Junos Pulse 管理ガイド』および『Junos Pulse Secure Access サービス管理ガイド』

の両方で説明されています。

• Microsoft システム管理サーバー（SMS）—Junos Pulse クライアントは、クライアント設定

をエクスポートし、 Windows インストーラファイルに含めることで、SMS を使用して配布

できます。

SA シリーズゲートウェイを使用した Pulse クライアントの配布

以下の手順に従って、バージョン 6.5 または 6.3 の SA シリーズゲートウェイから Junos

Pulse クライアントを配布します。バージョン 7.0 以降のサーバーから Pulse クライアン

トを配布するには、『Junos Pulse 管理ガイド』または『Junos Pulse Secure Access サービ

ス管理ガイド』を参照してください。

1. Junos Pulse クライアント設定をロードまたは生成します（「Pulse クライアント設定の

定義」を参照してください）。

2. [Junos Pulse] > [Admin]（管理） > [Export Pulse Software]（Pulse ソフトウェアのエ

クスポート）を選択します。



3. SA シリーズゲートウェイにインストールするクライアントソフトウェアパッケージを

エクスポートします。

a. [Create Host Checker package for use with SA] （SA で使用する Host Checker パッ

ケージの作成）を選択し、Host Checker に Junos Pulse クライアントをインストール

および起動させます。クライアントで障害が発生するか、手動でクライアントが停止

された場合は、自動的に再開されません。

b. [Export]（エクスポート）をクリックし、[OK] をクリックして、ローカルまたはネッ

トワークフォルダに .zip ファイルを保存します。

4. 以下の要領で、エクスポートしたソフトウェアパッケージを SA シリーズゲートウェイに

アップロードします。

a. SA シリーズゲートウェイの管理コンソールに管理者としてログインし、

[Authentication]（認証） > [Endpoint Security]（エンドポイントのセキュリティ）

> [Host Checker] を選択します。

b. [Perform check every X minutes]（X 分ごとにチェックを実行する）と [Client-side

process, login inactivity timeout]（クライアントサイドのプロセス、ログイン非ア

クティブタイムアウト）が 10 分以上に設定され、タイムアウト間隔がチェック間隔

よりも長く設定されていないことを確認します。

c. [New 3rd Party Policy]（新規サードパーティ製ポリシー）を選択し、ポリシー名を指

定して、エクスポートされた Junos Pulse クライアントソフトウェアパッケージを

ポリシーファイルとして選択します。

d. [Save Changes]（変更を保存）をクリックします。

e. [Users]（ユーザー） > [User Realms]（ユーザーのレルム） > [Select Realm] （レル

ムの選択） > [Authentication Policy]（認証ポリシー） > [Host Checker] を選択し

ます。表示された Junos Pulse クライアントポリシーに対し、[Evaluate Policies]

（ポリシーの評価）および [Require and Enforce]（必須および強制）チェックボック

スの両方を選択します。

f. [Save Changes]（変更を保存）をクリックして、 Host Checker ポリシーを保存します。

SMS を使用した Pulse クライアントの配布

SMS を使用して Junos Pulse クライアントを配布するには、 Junos Pulse アプリケーション

アクセラレーションサービスゲートウェイからクライアント設定をエクスポートし、これを

使用して、Windows インストーラファイルのデフォルトのクライアント設定を置き換えます。

SMS を使用して Junos Pulse クライアントを配布するには、以下の手順に従います。

1. 以下の要領で、ゲートウェイからクライアント設定をエクスポートします。

a. [Junos Pulse] > [Admin]（管理） > [Export Pulse Software]（Pulse ソフトウェアの

エクスポート）を選択します。

b. [Download Configuration for MSI package]（MSI パッケージの設定をダウンロードす

る）を選択します。



c. [Export]（エクスポート）をクリックして、ローカルまたはネットワークフォルダに

Config_All.ini ファイルを保存します。

2. Junos Pulse クライアントソフトウェアの Windows インストーラバージョン（.msi ファ

イル）を、InstallShield 2008 がインストールされたコンピュータにダウンロードします。

2008.このソフトウェアは、http://www.juniper.net/customers/support からダウンロードで

きます。

3. ダウンロードされたファイルを InstallShield で開き、 [Installation Designer] タブを

選択します。

4. 左のペインで [Organization]（構成） > [Components]（コンポーネント）を選択し、中

央のペインにある最初のコンポーネントフォルダを開きます。

5. 中央のペインで Files サブフォルダを選択し、右ペインに表示されている Config_All.ini

ファイルを右クリックして [Delete]（削除）を選択します。

6. Files サブフォルダを右クリックして [Add]（追加）を選択します。

7. ゲートウェイからエクスポートした Config_All.ini ファイルを選択して [Open]（開く）


8. In a new CAB file ファイルを選択し、 [Stream the new CAB file into the Windows

Installer package]（新規 CAB ファイルを Windows インストーラパッケージにストリー

ムする）チェックボックスを選択して、[OK] をクリックします。

9. [Save]（保存）をクリックして変更を保存します。



第6章

セッション移行

• セッション移行について 127ページ

• タスクの概要: セッション移行の設定 131ページ

• Pulse クライアント用のセッション移行の設定 132ページ

• セッション移行用の IF-MAP 連携型ネットワークの構成 132ページ

セッション移行について

このトピックでは、セッション移行機能について説明します。このトピックは、以下の情報で

構成されています。

• セッション移行の概要 127ページ

• セッション移行およびセッションタイムアウト 129ページ

• セッション移行のしくみ 130ページ

• セッション移行およびセッション寿命 130ページ

• 認証サーバーに関するサポート 130ページ

セッション移行の概要

複数の Pulse サーバーでセッション移行を有効にした場合、 Pulse エンドポイントは、別途

認証を提供することなく、ある場所から別の場所に移行し、異なる Pulse サーバーに接続す

ることができます。たとえば、ユーザーは自宅から Pulse Secure Access サーバー経由で接

続し、職場に移動してから、再認証することなく Pulse Access Control サーバーに接続する

ことができます。セッション移行が有効化されていない場合、Pulse ユーザーは、別の Pulse

サーバー経由でネットワークにアクセスを試行するたびに再認証する必要があります。

セッションは、同じ IF-MAP 連携型ネットワークに存在する Pulse Access Control サーバー

と Pulse Secure Access サーバーの間で移行できます。この場合、同じ IF-MAP サーバーを

使用するか、相互に複製された IF-MAP サーバーを使用します。

各サーバーは、同じ認証グループに属している必要があります。認証グループは、認証レル

ムを使用して構成します。認証グループは、一般的な使用のために定義する文字列です。認

証グループを使用することで、同様の認証方式を持つレルムをまとめることができます。た

とえば、SecurID 認証用の認証グループを指定し、AD 用には別の認証グループを指定します。

1 つのゲートウェイは、レルムごとに異なる認証グループを持たせることで、複数の認証グ

ループに所属させることができます。


ユーザーが認証を行う Pulse サーバーは、IF-MAP サーバーにセッション情報を発行します。

連携型ネットワーク内の他の IF-MAP クライアントは、その情報を使用して、ユーザーに対す

る追加認証なしでアクセスを許可します。

ユーザーセッションが別の Pulse サーバーに移行されると、新しいセッション情報が IF-MAP

サーバーに発行されます。 IF-MAP サーバーは認証サーバーに通知を行い、元のサーバーに存

在していたセッションに関する情報は、現在の認証サーバーに関するセッション情報だけを

IF-MAP サーバーに残して削除されます。認証サーバーは、自身のローカルセッションテー

ブルからセッションに関する情報を削除します。また、ユーザーライセンス数が減らされま

す。

セッションが移行されると、レルムとロールのマッピングルールによって、ユーザーのアク

セス能力が決定されます。ユーザー属性は、セッションが移行された際にインポートできま

す。または、移行されたユーザーセッションについて属性を検索するよう、専用ディレクト

リサーバーを構成できます。セッション移行でユーザーセッションを保持するには、Host

Checker ポリシーを必要としない限定的なアクセス修復ロールを設定します。エンドポイン

トが休止あるいはスリープ状態になると、Host Checker のタイムアウト値を超えてしまう場

合があるため、このロールが必要となります。新しい修復ロールでは、ユーザーのセッショ

ンが保持されます。

移行されたセッションが適用されるロールあるいはレルムに追加の Host Checker ポリシーを

設定すると、それらのポリシーは、ロールまたはレルムへのアクセスをユーザーに許可する前

に実施されます。別の Pulse サーバーの管理者は、Host Checker ポリシーがエンドポイン

トの互換性を考慮に入れ適切に設定されているか確認する必要があります。

129ページの図12 は、Pulse のセッション移行の有効化におけるタスクの流れを示したもので

す。



図 12: Pulse のセッション移行の要件

セッション移行およびセッションタイムアウト

認証サーバーのセッションタイムアウトは、移行されたセッションには適用されません。

ただし、セッション開始時間は適用されます。インバウンドサーバーは、元のサーバーの元

のセッションの開始時間を使ってセッションタイムアウトを判断します。

セッション移行が有効化されているエンドポイントをユーザーが再起動すると、サーバー上で

セッションが短時間保持されます。 Pulse Access Control サーバーのセッションでは、ハー

トビートタイムアウトが期限切れになるまでセッションが保持されます。 Pulse Secure

Access サーバーのセッションでは、セッションが保持される時間はアイドルタイムアウトに

よって決まります。

Pulse Access Control サーバーまたは Pulse Secure Access サーバーに接続しているエンド

ポイントが再起動され、ユーザーがまだサインアウトしていない場合、エンドポイントの再起

動後にユーザーが同じアクセスゲートウェイに接続を試みたとき、以前のセッションがまだ

アクティブであれば Pulse はユーザーの資格情報を要求することなく以前のセッションを再

開します。


第6章: セッション移行

セッション移行のしくみ

セッション移行では、IF-MAP フェデレーションを使用してサーバーを連携させます。

セッションが確立されると、認証ゲートウェイはセッション ID を含むセッション情報を

IF-MAP サーバーに発行します。セッション ID も Pulse クライアントに送信されます。

Pulse クライアントが同じ認証グループの移行ゲートウェイに接続すると、 Pulse クライアン

トは移行ゲートウェイにセッション ID を送信します。移行ゲートウェイは、セッション ID

を使って IF-MAP サーバーのセッション情報を検索します。セッション情報が有効な場合、

移行ゲートウェイはセッション ID を使って Pulse クライアントが実行しているエンドポイ

ントのローカルセッションを確立します。

IF-MAP サーバーは、ユーザーセッションが移行したことを認証ゲートウェイに通知し、認証

ゲートウェイは IF-MAP サーバーからセッション情報を削除します。

セッション移行およびセッション寿命

セッション移行は、ユーザーに最大限の柔軟性とモビリティを提供するように設計されていま

す。ユーザーがオフィスに縛られることはありません。職場がユーザーとともに移動し、オ

ンラインバンキングなどの雑用も職場で済ませることができます。この柔軟性により、ユー

ザーはアクティブセッションの有効期限が切れても長期間パソコンから離れることができま

す。セッション移行では、ユーザーが Pulse Access Control サーバーまたは Pulse Secure

Access サーバーでアクティブなセッションを保持している必要があります。

ユーザーがマシンから離れているときにユーザーセッションがタイムアウトにならないよう、

セッション寿命を調整することが可能です。ゲートウェイのセッション寿命の調整は、管理

コンソールの [Users]（ユーザー） > [User Roles]（ユーザーロール） > [Role Name]（ロール

名） > [General]（一般） > [Session Options]（セッションオプション）ページで調整できま

す。

認証サーバーに関するサポート

セッション移行の動作は、インバウンド側の認証サーバーによってある程度異なります。

認証サーバーに関するサポートの概要は以下のとおりです。

• ローカル認証サーバー—ローカル認証サーバーでユーザー名が有効な場合、移行が成功しま

す。

• LDAP サーバー—LDAP 認証サーバーがユーザー名を識別名（DN）に解決できる場合、移行が

成功します。

• NIS サーバー—NIS 認証サーバーが NIS サーバー上でユーザー名を見つけることができる場

合、移行が成功します。

• ACE サーバー—移行は常に成功します。

• RADIUS サーバー—移行は常に成功します。 [Lookup Attributes using Directory Server]

（ディレクトリサーバーを使用して属性をルックアップする）を選択している場合、ユー

ザーコンテキストデータに属性は存在しません。

• Active Directory—移行は常に成功します。ディレクトリサーバーオプションを使った属

性のルックアップは、使用する構成によっては機能しない可能性があります。



• 匿名—セッションが認証されないため、移行セッションはサポートされません。

• Siteminder—Siteminder SSO が使用されるため、移行セッションはサポートされません。

• 証明書—証明書を使ってセッションが認証されるため、移行セッションはサポートされませ

ん。

• SAML—SAML SSO が使用されるため、移行セッションはサポートされません。

注: ローカル、NIS、LDAP の各認証サーバーについては、インバウンドユーザー名

は既存のアカウントを反映している必要があります。

関連項目 132ページのPulse クライアント用のセッション移行の設定•

• 131ページのタスクの概要: セッション移行の設定

タスクの概要: セッション移行の設定

Pulse クライアントでユーザーにセッション移行を許可するには、以下の手順に従います。

1. ユーザーに対するセッション移行の目的で含めるべき位置を指定するよう、位置認識規則

をクライアントの接続設定内に構成します。たとえば、企業の Pulse Access Control

サーバー接続および Pulse Secure Access サーバー接続用に位置認識規則を構成します。

2. 適切な Pulse Access Control サーバーと SA シリーズアプライアンスを、同じ IF-MAP

フェデレーションサーバーの IF-MAP フェデレーションクライアントとして使用し、

IF-MAP 連携型ネットワークを構成します。

3. 各ゲートウェイについて、ユーザーエントリが認証サーバー上で構成されるようにしま

す。

4. 各ゲートウェイにおいて、すべてのユーザーに対してユーザーロールが構成されるように

します。

5. エンドポイントがスリープまたは休止状態のときにユーザーセッションを維持できるよ

う、Host Checker ポリシーなしで修復ロールを定義します。

6. 各ゲートウェイのリソースへのアクセスをユーザーに許可する、ロールマッピングルー

ルを設定します。

7. 管理コンソールの [User Realms]（ユーザーのレルム）ページからセッション移行を有効

化して構成します。

8. Pulse クライアントをユーザーに配布します。


• 132ページのPulse クライアント用のセッション移行の設定

• 連携型配備について



Pulse クライアント用のセッション移行の設定

注: セッション移行を有効化する Pulse Access Control サーバーおよび Pulse

Secure Access サーバーのすべてが、同じ IF-MAP フェデレーションサーバーの

IF-MAP フェデレーションクライアントであることを確認します。さらに、各ゲー

トウェイが、このセクションで説明されている手順に従って構成されていることを

確認します。

セッション移行を構成するには、以下の手順に従います。

1. 管理コンソールで、[Users]（ユーザー） > [User Realms]（ユーザーのレルム）を選択し

ます。

2. 既存のレルムを選択するか、レルムを新たに作成します。

3. [General]（一般）ページで、[Session Migration]（セッション移行）チェックボックス

を選択します。これにより、追加のオプションが表示されます。

4. [Authentication Group]（認証グループ）ボックスに、ユーザーに対してセッション移行

を提供するゲートウェイすべてに共通する文字列を入力します。認証グループは、ID と

して使用されます。

5. [Use Attributes from IF-MAP] （IF-MAP の属性を使用する）または [Lookup Attributes

using Directory Server]（ディレクトリサーバーを使用して属性をルックアップする）

のいずれかのオプションボタンを選択します。

注: [Lookup Attributes using Directory Server]（ディレクトリサーバーを

使用して属性をルックアップする）は、 LDAP サーバーを使用している場合のみ

選択してください。 LDAP サーバーでは、属性がより高速に処理されます。



• 連携型配備について

セッション移行用の IF-MAP 連携型ネットワークの構成

セッション移行を正常に配備するためには、IC シリーズデバイス IF-MAP サーバーを構成

し、ユーザーが IF-MAP クライアントとしてアクセスするように、接続されたすべての IC シ

リーズデバイスおよび SA シリーズデバイスを設定します。 SA シリーズデバイスは、

IF-MAP サーバーになることはできません。

クライアントを追加するには、クライアントの IP アドレスおよびセキュリティメカニズム

と資格情報を指定しなければなりません。

IF-MAP サーバー証明書は、IF-MAP サーバーにインストールする必要があります。クライア

ントは、サーバーに接続する際にサーバー証明書を確認します。サーバー証明書は認証機関



（CA）によって署名され、クライアントは CA が署名した証明書を信用するように設定されて

いる必要があります。またサーバー証明書内のホスト名が、クライアントの IF-MAP URL の

ホスト名と一致する必要があります。

IF-MAP サーバーは、各 IC シリーズデバイスおよび SA シリーズデバイス IF-MAP クライア

ントに対して識別する必要があります。サーバーを追加するには、サーバーの IF-MAP URL

およびサーバーの認証方法を指定します。 URL とセキュリティ設定は、IF-MAP クライアント

が接続する IF-MAP サーバーのものと一致させます。

IC シリーズデバイスで IF-MAP サーバーを構成するには、以下の手順に従います。

1. 管理コンソールで、[System]（システム） > [IF-MAP Federation] （IF-MAP フェデレー

ション） > [Overview]（概要）を選択します。

2. IC シリーズデバイスで、[Choose whether this IC Series device runs an IF-MAP Server,

an IF-MAP client, or no IF-MAP] （この IC シリーズデバイスが、IF-MAP サーバー、

IF-MAP クライアント、または IF-MAP 以外のいずれかを実行しているかどうかを選択して

ください）で、 [IF-MAP Server]（IF-MAP サーバー）オプションボタンを選択します。


4. 管理コンソールで、[System]（システム） > [IF-MAP Federation]（IF-MAP フェデレーショ

ン） > [This Server]（このサーバー） > [Clients]（クライアント）を選択します。

5. [IF-MAP Client]（IF-MAP クライアント）で、そのクライアントの [Name]（名前）を入力

し、オプションで [Description]（説明）を入力します。

たとえば名前として「SA-access1.corporate.com」と入力し、説明として「Secure Access

1」と入力します。

6. クライアントの IP アドレスを 1 つ以上入力します。マルチホームのクライアントの場

合、物理ネットワークインターフェースをすべてリストアップするのがベストです。ク

ライアントが IC シリーズデバイスまたは Secure Access クラスタの場合、すべてのノー

ドの内部および外部ネットワークインターフェースをリストアップします。設備の障害

が原因で IF-MAP クライアントと IF-MAP サーバー間のトラフィックが別のネットワーク

インターフェースに再ルーティングされる可能性があるため、すべてのインターフェース

の IP アドレスを入力する必要があります。 IP アドレスをすべてリストアップすること

で、障害発生時にも IF-MAP フェデレーションが機能する可能性が最大になります。

たとえば、172.16.100.105 と入力します。

7. [Authentication]（認証）で、[Client Authentication Method: Basic or Certificate]

（クライアントの認証方式: 基本または証明書）を選択します。

a. [Basic]（基本）を選択した場合、ユーザー名とパスワードを入力します。同じ情報を

IF-MAP サーバーに追加する必要があります。

b. [Certificate]（証明書）を選択した場合は、このクライアントについて、どの認証機

関（CA）を使って証明書を確認するか指定します。オプションで、特定のクライアン

ト証明書属性の値を要求するために、証明書の属性または制限を指定します。

8. [Save Changes]（変更を保存）をクリックして、IF-MAP サーバーに IF-MAP クライアント

インスタンスを保存します。



IC シリーズデバイスおよび SA シリーズデバイスクライアントで IF-MAP クライアント設

定を構成するには、以下の手順に従います。

1. 管理コンソールで、[System]（システム） > [IF-MAP Federation] （IF-MAP フェデレー

ション） > [Overview]（概要）を選択します。

2. IC シリーズデバイスで、[Choose whether this IC Series device runs an IF-MAP Server,

an IF-MAP client, or no IF-MAP] （この IC シリーズデバイスが、IF-MAP サーバー、

IF-MAP クライアント、または IF-MAP 以外のいずれかを実行しているかどうかを選択して

ください）で、 [IF-MAP Client]（IF-MAP クライアント）オプションボタンを選択しま

す。 SA シリーズデバイスで、[Enable IF-MAP Client]（IF-MAP クライアントの有効化）

チェックボックスを選択します。

3. IF-MAP サーバーで、IF-MAP Web サービスのサーバー URL を入力します。すべての Juniper

Networks IF-MAP サーバーについて、サーバー URL の末尾に /dana-ws/soap/dsifmap を追

加します。

たとえば、https://access2.corporate.com/dana-ws/soap/dsifmap とします。

4. クライアント認証方法について、[Basic]（基本）または [Certificate]（証明書）を選択

します。

a. [Basic]（基本）を選択した場合は、ユーザー名およびパスワードを入力します。これ

は、IF-MAP サーバーに入力した情報と同じです。

b. [Certificate]（証明書）を選択した場合は、使用するデバイス証明書を選択します。

IF-MAP サーバー証明書に署名した CA の証明書が、 [System]（システム） >

[Configuration]（設定） > [Certificates]（証明書） > [Trusted Server CA]（信頼

されたサーバー CA）ページから追加されていることを確認します。

IF-MAP クライアントが IF-MAP サーバー証明書を検証します。検証に失敗した場合は、

接続エラーになります。クライアントマシンの IF-MAP URL のホスト名が、IF-MAP

サーバーのサーバー証明書のホスト名と一致していることと、サーバー証明書に署名し

た CA が IF-MAP クライアントの信頼されたサーバー CA として設定されていることを

確認します。


関連項目 • 127ページのセッション移行について




第7章

Junos Pulse クライアントソフトウェアの配備

• Junos Pulse クライアントのインストールの概要 135ページ

• 新しい Pulse インストールへの Pulse 設定の追加 137ページ

• Web からの Junos Pulse クライアントのインストール 140ページ

• Pulse サーバー Web ポータルからの Junos Pulse の起動 140ページ

• 事前構成ファイルを使用した Windows エンドポイントでの Junos Pulse クライアントのイ

ンストール 142ページ

• 事前構成ファイルを使用した OS X エンドポイントでの Junos Pulse クライアントのインス

トール 146ページ

• Junos Pulse コマンドライン Launcher 147ページ

• jamCommand を使用した Junos Pulse 接続のインポート 150ページ

Junos Pulse クライアントのインストールの概要

このセクションでは、Windows 対応 Pulse および Mac OS X 対応 Pulse クライアントソフト

ウェアを Pulse Access Control サービスおよび Pulse Secure Access サービスプラット

フォームから配備する方法について説明します。 Pulse アプリケーションアクセラレーショ

ンサービスは、アプリケーションアクセラレーション接続だけをサポートしています。 Pulse

アプリケーションアクセラレーションサービスを使用して Pulse を配備する方法について

は、 117ページの「「Junos Pulse クライアントのインストール」」を参照してください。

サーバーおよび Pulse Access Control サービスには、デフォルトの接続設定とデフォルトの

コンポーネントセットが含まれています。これらのデフォルトによって、新しい接続設定や

コンポーネントセットを作成することなく、ユーザーに Pulse クライアントを配備すること

ができます。クライアントのデフォルト設定は動的接続を許可し、接続に必要なコンポーネ

ントだけをインストールし、エンドポイントが接続する Pulse Secure Access サービスまた

は Pulse Access Control サービスへの自動接続を許可します。

どのような配備方法の場合でも、事前に認証設定、レルム、ロールを設定しておく必要があり

ます。


Junos Pulse クライアントは、以下の方法で Pulse Secure Access サービスおよび Pulse

Access Control サービスからエンドポイントに配備できます。

• Web インストール—Web インストールでは、ユーザーが Pulse サーバーの Web ポータルにロ

グインし、Pulse インストールをサポートするロールが割り当てられます。ユーザーが

Junos Pulse を起動するリンクをクリックすると、デフォルトのインストールプログラム

によって Pulse がエンドポイントに追加され、デフォルトのコンポーネントセットとデ

フォルトの接続設定も追加されます。これらのデフォルトを変更しない限り、 Pulse サー

バーへの接続が自動接続に設定されている Pulse インストールがエンドポイントに配布さ

れます。デフォルトの接続設定を編集することで、他の Pulse サーバーを追加したり、デ

フォルトのオプションを変更したりできます。

注: Web インストールでは、ユーザーは Java をインストールし、インストール

用に有効にする必要があります（Firefox ブラウザでのインストールの場合）。

または、Active X を有効にする必要があります（Internet Explorer でのインス

トールの場合）。ブラウザがこの要件を満たしていない場合、インストールの

開始時に、そのことを通知するメッセージがユーザーに対して表示されます。

• 事前構成されたインストーラ—エンドポイントが接続とサービスに必要とする接続設定を作

成し、設定ファイル（.jnprpreconfig）をダウンロードして、デフォルトの Pulse インス

トールプログラムをダウンロードします。 Windows エンドポイントの場合は、設定ファイ

ルをオプションとして指定し、msiexec コマンドを使用して Pulse インストールプログラ

ムを実行します。 OS X エンドポイントの場合は、デフォルトのインストーラを実行して

から、別のコマンドを使用して .jnprpreconfig ファイルをインポートします。

• デフォルトのインストーラ—デフォルトの Pulse インストールプログラムをダウンロード

し、ローカルの組織の標準的なソフトウェア配布方法（Microsoft SMS/SCCM など）を使用

してエンドポイントに配布できます。 Junos Pulse クライアントソフトウェアは、接続を

除くすべてのコンポーネントと一緒にインストールされます。ユーザーは、デフォルトの

Pulse をインストールした後に、 Pulse クライアントユーザーインターフェースから、ま

たはブラウザで Pulse サーバーの Web ポータルにアクセスして、新しい接続を追加するこ

とができます。後者の方法では、Pulse サーバーの動的接続が自動的にダウンロードさ

れ、新しい接続が Pulse クライアントの接続リストに追加されます。動的接続は、自動

接続ではなく、手動接続として作成されます。つまり、ユーザーが接続を開始した場合、ま

たは Pulse サーバーにアクセスして、サーバーの Web インターフェースから Pulse を起

動した場合だけに実行されます。

Windows エンドポイントでは、使用する環境に管理権限がない場合でも、 Juniper インストー

ラサービスプログラムを使用できます。これは、管理コンソールの [System Maintenance

Installers] （システムメンテナンスインストーラ）ページでも使用できます。 Juniper イ

ンストーラサービスにより、制限されたデスクトップ権限しか持たないユーザーでも、将来

的なソフトウェアのインストールやアップグレードが容易になります。

関連項目 137ページの新しい Pulse インストールへの Pulse 設定の追加•

• 140ページのWeb からの Junos Pulse クライアントのインストール







新しい Pulse インストールへの Pulse 設定の追加

デフォルトの Pulse インストーラを使用してエンドポイントに Pulse クライアントソフト

ウェアをインストールすると、そのエンドポイントには Pulse サーバーへの接続に必要なす

べてのソフトウェアがインストールされます。ただし、Pulse クライアントには、接続可能

な Pulse サーバーを識別する設定（つまり接続設定）が必要です。接続プロパティには、接

続を開始する方法（手動、自動、または位置認識規則に従う）が含まれます。この設定で

は、Pulse と接続がどのように動作するのかも定義します（接続設定プロパティ、マシン設定

とも呼ばれます）。 137ページの図13 は、デフォルトの Pulse 接続設定プロパティを示した

ものです。このプロパティが、設定として Pulse クライアントに渡されます。 139ページの図

14 は、 Pulse の事前構成ファイルで設定されている接続設定プロパティを示したものです。

これを使用して、Pulse のインストール時に Pulse 設定を追加することができます。

図 13: Pulse サーバーで定義されている Junos Pulse 設定プロパティ

新規 Pulse クライアントに初期設定をインストールする方法は、以下の 2 種類が用意されて

います。

• デフォルトの Pulse インストーラを使用してエンドポイントに Pulse をインストールする

場合に、Pulse 事前構成ファイル（.jnprpreconfig）を使用する。

• ブラウザを開いて Pulse サーバーの Web ポータルにログインするようにユーザーに指示す

る。

Pulse 設定を提供するサーバーに Pulse クライアントが初めて接続すると構成設定がイン

ストールされ、そのサーバーにクライアントがバインドされます。つまり、そのサーバー

だけがクライアントの設定を更新できるようになります。 Pulse クライアントソフトウェ

アのバージョンは、任意の Pulse サーバーが更新できます（この機能が有効化されている

場合）。また、動的接続プロパティが有効化されている場合は、任意の Pulse サーバーが

既存の Pulse クライアント設定に接続を追加できます。ただし、Pulse クライアントの設

定を更新できるのは、バインドしているサーバーだけです。


第7章: Junos Pulse クライアントソフトウェアの配備

動的接続を使用することで、ユーザーが Pulse サーバーの Web ポータル経由で接続した場

合に、新しい Pulse 接続を既存の Pulse クライアントに追加することができます。たと

えば、ユーザーが PulseServerA（バインドしているサーバー）への Pulse 接続を所持して

いて、Pulse 設定で動的接続が許可されているとします。ユーザーが PulseServerB にア

クセスし、サーバーの Web ポータルを通じて認証が成功すると、サーバーは PulseServerB

の接続を Pulse クライアントの設定に追加します。この新しい接続は、手動で起動するよ

うに設定されます。これは、エンドポイントの再起動時に、接続を試行しないようにするた

めです。

Pulse 設定は、.jnprpreconfig ファイルを作成および表示することで確認できます（この

ファイルを作成するには、[Pulse Component] （Pulse コンポーネント）画面に移動し、コ

ンポーネントセットを選択し、 [Download Pulse Configuration]（Pulse 設定のダウンロー

ド）ボタンをクリックします）。 .jnprpreconfig ファイルは、マシン設定のセクションと、

クライアントに配備された各 Pulse 設定の個別のセクションで構成されています。139ペー

ジの図14 を参照してください。



図 14: 事前構成ファイルの Junos Pulse 設定プロパティ

マシン設定と中央で設定された各接続（ユーザーが作成した接続や動的接続として追加された

接続ではないもの）には、バインドしているサーバーのサーバー ID（server-id）が含まれて

います。ユーザーが Pulse サーバーをブラウズし、そのサーバーが新しい設定を提供した場

合、新しい設定のサーバー ID と Pulse クライアントの設定のサーバー ID が一致しない限

り、その新しい設定は無視されます。

設定ファイルには、バージョン番号も記述されています。 Pulse クライアントがバインドし

ているサーバーに接続すると、既存の設定とサーバーの設定のバージョンが比較されます。

サーバーのバージョンが既存のクライアントのバージョンよりも新しい場合、クライアントの

設定が更新されます。更新では、接続の追加、変更、削除や、マシン設定の変更が行われま

す。

複数の Pulse サーバーが存在し、すべてのサーバーから同じ設定を提供するように構成する

場合は、すべてのサーバーで Pulse 設定のサーバー ID を同じものにする必要があります。



このように構成するには、あるサーバーで設定を作成し、Pulse サーバーの「push config」

機能を使用して、他の Pulse サーバーに設定をプッシュします。この方法により、すべて

の Pulse サーバーで設定ファイルのサーバー ID が同じになるため、クライアントはどの

Pulse サーバーからでも設定の更新を受け取れるようになります。


• 3ページのJunos Pulse について

Web からの Junos Pulse クライアントのインストール

Web インストールでは、ユーザーに Pulse サーバーの Web インターフェースにアクセスして

もらいます。正常にログインできると、ユーザーには、Pulse クライアントソフトウェアの

自動ダウンロードとインストールの権限を持つロールが割り当てられます。

注: Web インストールでは、ユーザーのエンドポイントに Java がインストールさ

れていて、インストール用に有効化されている必要があります（Firefox ブラウザ

の場合）。または、ActiveX が、インストール用に有効化されている必要がありま

す（Internet Explorer の場合）。ブラウザがこの要件を満たしていない場合、イ

ンストールの開始時に、そのことを通知するメッセージがユーザーに対して表示さ

れます。

デフォルトの Junos Pulse インストール設定には、最小限のコンポーネントと Pulse サー

バーへの接続が含まれています。 Web インストールにカスタマイズされた設定を含める場合

は、以下のいずれかを実行します。

• デフォルトの接続設定を編集し、新しい接続を追加します。デフォルトのインストーラは、

デフォルトの接続設定が含まれているデフォルトのコンポーネントセットを使用します。

• 新しい接続設定を作成してからデフォルトのコンポーネントセットを編集し、その接続設

定を追加します。

• デフォルトのインストール時に含める接続が含まれたコンポーネントセットを指定するよ

うに、ロールを編集します。

注: Pulse のインストール時は、Windows エンドポイントのアクティブなネット

ワーク接続が再起動されます。 Pulse サーバーの Web インターフェースへの WAN

接続を通じて Pulse のインストールを開始する場合、ネットワーク接続を再確立

するために、サービスプロバイダへのログインが必要になる場合があります。こ

の点については、インストールを開始する前に、ユーザーに通知しておく必要があ

ります。

Pulse サーバー Web ポータルからの Junos Pulse の起動

VPN 接続を確立する一般的な方法として、ユーザーが Pulse サーバーの Web ポータルをブラ

ウズし、ログインして、 Web ページから Pulse を起動する方法が挙げられます（Network

Connect クライアントを使用する環境では、この方法が一般的です）。



Pulse 接続は、以下の説明のように動作します。

• Pulse クライアントがデフォルトの Pulse インストーラを使用してエンドポイントにイン

ストールされている場合、インストールされた Pulse クライアントには、まだ一切の接続

が含まれていません。ユーザーが Pulse サーバーをブラウズしてサーバーにログインし、

Web ポータルページの Pulse ボタンをクリックすると、以下のアクションが発生します。

1. デフォルトの Pulse 接続設定が、自動的にクライアントに配備されます。

2. サーバーの URL と一致する URL を持つ接続が起動されます。

• エンドポイントに Pulse クライアントがインストールされ、 Pulse サーバーからの接続が

存在する場合、ユーザーが Pulse サーバーをブラウズしてサーバーにログインし、Web ポー

タルページの Pulse ボタンをクリックすると、以下のアクションが発生します。

1. サーバーの URL と一致する URL を持つ接続が起動されます。

• エンドポイントに Pulse がインストールされ、 2 つの異なる Pulse サーバーからの接続が

存在する場合、ユーザーがいずれかの Pulse サーバーをブラウズしてサーバーにログイン

し、Web ポータルページの Pulse ボタンをクリックすると、以下のアクションが発生しま

す。

1. サーバーの URL と一致する URL を持つ接続だけが起動されます。

• エンドポイントに Pulse がインストールされ、ある Pulse サーバーへの接続が存在する

ものの、ユーザーが別の Pulse サーバーをブラウズしてサーバーにログインし、 Web ポー

タルページの Pulse ボタンをクリックすると、以下のアクションが発生します。

1. その Pulse サーバーの新しい動的接続が Pulse クライアントに作成されます（サー

バーのデフォルト接続が、動的接続として設定されている必要がある点に注意してくだ

さい）。この新しい接続は手動接続であり、Pulse を起動しても自動的には起動されま

せん。

2. この Pulse サーバーの新しい接続は、一致する URL に基づいて起動されます。

使用に関する注意事項

Web ブラウザを使用して Pulse を起動する方法は、以下の設定に関する問題の影響を受けま

す。

• Pulse 接続の URL とサーバーの URL は、正確に一致している必要があります。 Pulse は、

一致を検出するために逆引き DNS ルックアップを実行しません。

• 接続プロパティ [Allow user to override connection policy]（ユーザーによる接続ポリ

シーの上書きを許可する）が無効になっている接続は、 URL が一致している場合でも、ブラ

ウザから起動することはできません。

関連項目 137ページの新しい Pulse インストールへの Pulse 設定の追加•







事前構成ファイルを使用した Windows エンドポイントでの Junos Pulse クライアントのインストール

以下の手順は、Windows インストールだけに該当します。

クライアントの接続設定を作成し、クライアントのコンポーネントセット内に含める接続を

指定したら、 Pulse クライアントと一緒に配信するすべての接続が含まれた事前構成ファイル

を作成することができます。事前構成ファイルは、 msiexec（windows\system32\msiexec.exe）

コマンドを使用して Pulseの .msi インストーラプログラムを実行するときにオプションとし

て指定します。

注: ADDLOCAL コマンドラインオプションを使用して特定のコンポーネントを指

定しない限り、事前構成されたインストーラは、常にすべてのコンポーネントをイ

ンストールします。事前構成されたインストーラによってインストールされるコン

ポーネントは、 ADDLOCAL オプションによって決定されます。事前構成ファイルの

作成時に選択したコンポーネントセットによって決定されるわけではありません。

注: msiexec を実行する場合は、コマンドラインに /qn または /qb（msiexec のコ

マンドラインオプション）を指定して、インストールプログラムのユーザーイン

ターフェースを無効にする必要があります。たとえば、ユーザーインターフェー

スを使用することで、ユーザーは完全インストールかカスタムインストールを選

択することができます。これにより、ADDLOCAL オプションで指定したコンポーネ

ントを無視することができます。ユーザーが完全インストールを選択すると、

msiexec プログラムはコマンドラインの ADDLOCAL オプションを無視して、すべて

のコンポーネントをインストールします。 /qn は、サイレントインストールを指

定するオプションで、ユーザーインターフェースは表示されません。 /qb オプショ

ンを指定した場合もユーザーインターフェースは非表示になりますが、進行状況

を示すバーが表示されます。

注: 事前構成されたインストーラは、Windows インストールでのみ動作します。

Windows エンドポイントに配布する事前構成された Pulse インストーラを作成するには、以


1. [Users]（ユーザー） > [Junos Pulse] > [Connections]（接続）を選択し、配布する接続

を含む接続設定を作成します。

2. [Users]（ユーザー） > [Junos Pulse] > [Components]（コンポーネント）を選択します。

3. 必要な場合は、配布する接続設定を含む新しいコンポーネントセットを作成します。

[All components]（すべてのコンポーネント）、[No components]（コンポーネントなし）、

または [Minimal components]（最小のコンポーネント）のいずれかのオプションを選択す

ることができます。また、msiexec コマンドラインで、インストールする具体的なコン

ポーネントを指定することができます。



4. 配布するコンポーネントセットの横にあるチェックボックスを選択します。

5. [Download Installer Configuration]（インストーラ設定のダウンロード）をクリックしま

す。

事前構成の保存を要求されます。また、接続するターゲット Pulse サーバーの名前を指定

することもできます。これにより、ターゲットサーバーだけが異なる設定ファイルを作

成することができます。

.jnprpreconfig ファイルのデフォルトのファイル名は、選択したコンポーネントセット

の名前です。ファイルの名前と保存場所をメモしておきます。事前構成ファイルは、ネッ

トワーク共有から利用可能であるか、Junos Pulse の .msi インストーラファイルと一緒

に配布する必要があります。

6. [Maintenance]（メンテナンス） > [System]（システム） > [Installers]（インストーラ）


環境によっては、Juniper インストーラサービスをダウンロードしてインストールしま

す。 Pulse をインストールするには、ユーザーが適切な権限を持っている必要がありま

す。 Juniper インストーラサービスを使用することで権限による制限が無視され、制限

された権限しか持たないユーザーでも Pulse をインストールできるようになります。

7. 以下の Windows 環境に適切な Junos Pulse インストーラをダウンロードします。

• Junos Pulse インストーラ（32 ビット）

• Junos Pulse インストーラ（64 ビット）

高度なコマンドラインオプションを使用した Pulse クライアントのインストール

Junos Pulse インストーラには、Pulse クライアントと、すべての Pulse サービスのすべて

のソフトウェアコンポーネントが含まれています。事前構成ファイルには、特定の Pulse

サーバーとサービスへのクライアント接続を提供する Pulse 接続の定義が含まれています。

Pulse の事前構成されたインストーラプログラムは、msiexec （Windows プラットフォームで

.msi プログラムを起動するコマンドライン）を使用して実行し、以下のオプションを指定し

ます。

注: コマンドラインオプション（CONFIGFILE および ADDLOCAL）は大文字小文字が

区別され、すべて大文字です。

• CONFIGFILE—このプロパティでは、インストール時に Pulse にインポートする設定ファイル

を指定します。このプロパティでは、設定ファイルのフルパスを指定する必要があります。

たとえば、以下のように記述します。

msiexec -i JunosPulse.msi CONFIGFILE=c:\temp\myconfiguration.jnprpreconfig

• ADDLOCAL—このプロパティでは、特定の Pulse 機能だけをインストールする場合にインス

トールする機能と機能オプション（サブ機能）を指定します。 ADDLOCAL オプションを指

定していない場合は、すべての Pulse コンポーネントがインストールされます。機能は、

クライアント接続をサポートするために必要なコンポーネントで構成されています。 ADDLOCAL

を使用する場合は、コマンドラインに msiexec オプションとして /qn または /qb を指定

し、インストールプログラムのユーザーインターフェースを無効にする必要があります。



機能およびサブ機能の名前は、大文字、小文字が区別されます。 1 つのコマンドで複数の

機能を指定するには、それぞれの機能をカンマで区切ります。

ADDLOCAL の機能:

• PulseSA—Pulse Secure Access サービスに必要な Pulse コンポーネント

• PulseUAC—Pulse Access Control サービスに必要な Pulse コンポーネント

• PulseSRX—SRX シリーズゲートウェイに必要な Pulse コンポーネント

• PulseAppAccel—Pulse アプリケーションアクセラレーションサービスに必要な Pulse

コンポーネント

オプションのサブ機能:

• Pulse8021x—PulseUAC で使用できます。 802.1x 接続コンポーネントを含みます。

• SAEndpointDefense—PulseSA で使用できます。 Pulse Secure Access サービスに接続す

るための Enhanced Endpoint Security コンポーネントを含みます。

• SAHostChecker—PulseSA で使用できます。 Pulse Secure Access サービスに接続するた

めの Host Checker コンポーネントを含みます。

• UACEndpointDefense—PulseUAC で使用できます。 Pulse Access Control サービスに接

続するための Enhanced Endpoint Security コンポーネントを含みます。

• UACHostChecker—PulseUAC で使用できます。 Pulse Access Control サービスに接続す

るための Host Checker コンポーネントを含みます。

• UACIPSec—PulseUAC で使用できます。 32 ビット Windows エンドポイントから IPSec

を使用して Pulse Access Control サービスに接続するために必要なコンポーネントを

含みます。この機能は、32 ビットの MSI だけで使用できます。

• UACIPSec64—PulseUAC で使用できます。 64 ビット Windows エンドポイントから IPSec

を使用して Pulse Access Control サービスに接続するために必要なコンポーネントを

含みます。この機能は、64 ビットの MSI だけで使用できます。

例

ADDLOCAL を使用する場合は、コマンドラインに msiexec オプションとして /qn または /qb

を指定し、インストールプログラムのユーザーインターフェースを無効にする必要がありま

す。ここで説明する例では、/qb を使用します。

設定ファイルを使用して、802.1x および Enhanced Endpoint Security のサポートと共に 32

ビットの Windows エンドポイントに PulseUAC をインストールするには、以下のコマンドラ

インを使用します。

msiexec -i JunosPulse.x86.msi CONFIGFILE=c:\pulse\Pulse-Connection-no.jnprpreconfig

ADDLOCAL=PulseUAC,Pulse8021x,UACEndpointDefense /qb

設定ファイルを使用して、32 ビットの Windows エンドポイントに PulseSA をインストールす

るには、以下のコマンドラインを使用します。

msiexec -i JunosPulse.x86.msi CONFIGFILE=c:\temp\myconfiguration.jnprpreconfig

ADDLOCAL=PulseSA /qb



設定ファイルを使用して、Enhanced Endpoint Security および Host Checker と共に 64 ビッ

トの Windows エンドポイントに PulseSA をインストールするには、以下のコマンドラインを

使用します。


ADDLOCAL=PulseSA,SAEndpointDefense,SAHostChecker /qb

設定ファイルを使用して、64 ビットの Windows エンドポイントに PulseAppAccel をインス

トールするには、以下のコマンドラインを使用します。


ADDLOCAL=PulseAppAccel /qb

設定ファイルを使用して、64 ビットの Windows エンドポイントにすべての Pulse コンポー

ネントをインストールするには、以下のコマンドラインを使用します。

msiexec -i JunosPulse.x64.msi CONFIGFILE=c:\temp\myconfiguration.jnprpreconfig /qb

Windows エンドポイントでの Pulse インストールの修復

Junos Pulse では、修復機能をサポートする MSI インストーラを使用します。 Windows エン

ドポイントの Pulse に問題が発生し、ファイルやレジストリ設定の不足または破損が示され

ている場合、ユーザーはインストールの修復プログラムを簡単に実行することができます。

修復プログラムは再インストールを実行し、不足しているファイルを置き換えます。修復プ

ログラムによって、元のインストールに含まれていないファイルがインストールされることは

ありません。たとえば、ファイルの Pulse 接続設定が破損している場合、修復プログラムに

よってインストールされるファイルによって、ユーザーが作成した Pulse 接続や、元の Pulse

インストール後にエンドポイントに配備された Pulse 接続が置き換えられることはありませ

ん。

Windows エンドポイントで Pulse インストールを修復するには、以下の手順に従います。

1. Pulse がインストールされている Windows エンドポイントで、[スタート] > [プログラム]

> [Juniper Networks] > [Junos Pulse] > [Repair Junos Pulse]（Junos Pulse の修復）


2. インストールウィザードのプロンプトに従います。

プログラムが完了すると、システムを再起動するように要求される場合があります。

関連項目 31ページのPulse Access Control サービスのクライアント接続設定の作成•



• 91ページのPulse Secure Access サービスのクライアントコンポーネントセットの作成



事前構成ファイルを使用した OS X エンドポイントでの Junos Pulse クライアントのインストール

以下の手順は、OS X インストールだけに該当します。

クライアントの接続設定を作成し、クライアントのコンポーネントセット内に含める接続を

指定したら、 Pulse クライアントと一緒に配信するすべての接続が含まれた事前構成ファイル

を作成することができます。エンドポイントで Pulse インストーラを実行したら、事前構

成ファイルから Pulse に設定をインポートする特別なコマンドを実行します。

OS X エンドポイントに配布する事前構成された Pulse インストーラを作成するには、以下の

手順に従います。

1. [Users]（ユーザー） > [Junos Pulse] > [Connections]（接続）を選択し、配布する接続

を含む接続設定を作成します。

2. [Users]（ユーザー） > [Junos Pulse] > [Components]（コンポーネント）を選択します。

3. 必要な場合は、配布する接続設定を含む新しいコンポーネントセットを作成します。

[All components]（すべてのコンポーネント）、[No components]（コンポーネントなし）、

または [Minimal components]（最小のコンポーネント）のいずれかのオプションを選択す

ることができます。 OS X 用の Pulse インストールプログラムでは、常にすべてのコン

ポーネントがインストールされます。

4. 配布するコンポーネントセットの横にあるチェックボックスを選択します。

5. [Download Installer Configuration]（インストーラ設定のダウンロード）をクリックしま

す。

事前構成の保存を要求されます。また、接続するターゲット Pulse サーバーの名前を指

定することもできます。これにより、ターゲットサーバーだけが異なる複数の設定を簡単

に作成することができます。

.jnprpreconfig ファイルのデフォルトのファイル名は、選択したコンポーネントセット

の名前です。ファイルの名前と保存場所をメモしておきます。事前構成ファイルは、ネッ

トワーク共有から利用可能であるか、Junos Pulse のインストーラファイルと一緒に配

布する必要があります。

6. [Maintenance]（メンテナンス） > [System]（システム） > [Installers]（インストーラ）


7. Junos Pulse インストーラ、Junos Pulse Installer（Macintosh）をダウンロードします。

コマンドラインオプションを使用した OS X エンドポイントでの Pulse クライアントのインストール

Junos Pulse インストーラには、Pulse クライアントと、すべての Pulse サービスのすべて

のソフトウェアコンポーネントが含まれています。事前構成ファイル（.jnprpreconfig）に

は、特定の Pulse サーバーとサービスへのクライアントアクセスを提供する Pulse 接続の

定義が含まれています。 Pulse インストールパッケージを配布したら、まずインストーラを

実行し、その後で jamCommand と呼ばれる別のプログラムを実行する必要があります。これ

により、.jnprpreconfig ファイルから設定がインポートされます。 jamCommand プログラム

は、Pulse インストールの一部です。



Pulse サーバーからダウンロードする Pulse ファイルは、圧縮形式（.dmg）になっています。

Pulse インストールプログラムを実行する前に、ファイルを展開する必要があります。

以下の手順では、OS X エンドポイントに Pulse をインストールし、 .jnprpreconfig ファイ

ルから Pulse 接続をインポートするサンプルのコマンドについて説明します。

1. Pulse インストールプログラムを実行します。

/usr/sbin/installer –pkg <full-path-to-the-pulse-install-package> -target

CurrentUserHomeDirectory

2. 以下のコマンドを実行して、.jnprpreconfig ファイルから設定をインポートします。

/Applications/Junos\ Pulse.app/Contents/Plugins/JamUI/jamCommand –importFIle

<full-path-to-the-jnprpreconfig-file>

関連項目 31ページのPulse Access Control サービスのクライアント接続設定の作成•



• 91ページのPulse Secure Access サービスのクライアントコンポーネントセットの作成

Junos Pulse コマンドライン Launcher

Junos Pulse Launcher（pulselauncher.exe）は、スタンドアロンのクライアントサイドコマ

ンドラインユーティリティです。このユーティリティを使用することで Pulse を起動し、

Pulse のグラフィカルユーザーインターフェースを表示することなく、 Pulse サーバー（Pulse

Secure Access サービスまたは Pulse Access Control サービス）に接続したり、サーバーか

ら切断したりできます。

Pulse Launcher の使用に関する注意事項:

• Pulse Launcher は、32 ビットおよび 64 ビットのエンドポイントで動作します。

• Pulse Launcher は、以下のプラットフォームで動作します。

• Windows XP

• Windows Vista

• Windows 7

• Pulse Launcher プログラム（pulselauncher.exe）は、 Pulse クライアントインストール

の一部として、Program Files\Common Files\Juniper Networks\Integration にインストールさ

れます。

• Pulse Launcher は、SA または IC の接続タイプに対してのみ動作します。 Pulse Launcher

は、ファイアウォールまたは 802.1x の接続タイプをサポートしていません。

• Pulse Launcher プログラムは、割り当て済みロールのリストからの選択をユーザーに要求

するロールマッピングオプションをサポートしていません。 Pulse Launcher を使用し、

複数のロールをユーザーに割り当てられる場合は、すべての割り当て済みロールの設定を

マージするために、レルムのロールマッピング設定を構成する必要があります。レルムの



設定により、ユーザーがロールを選択する必要がある場合は、Pulse Launcher コマンドが

失敗し、リターンコード 2 で終了します。

• Pulse Launcher プログラムは、2 次認証をサポートしていません。

Pulse Launcher プログラムを使用するには、以下の手順に従います。

1. スクリプトまたはバッチファイルを記述するか、アプリケーションを作成します。

2. Pulse Launcher の実行可能ファイル（pulselauncher.exe）の呼び出しを含めます。

3. スクリプト、バッチファイル、またはアプリケーションに、発生する可能性があるリター

ンコードを処理するロジックを含めます。

149ページの表8 は、Pulse Launcher のリターンコードをまとめたものです。

以下のコマンドを実行すると、pulselauncher.exe コマンドの完全な構文が表示されます。

pulselauncher.exe [-version|-help|-stop] [-url <url> -u <user> -p <password> -r <realm>] [-d

<DSID> -url <url>] [-cert <client certificate> -url <url> -r <realm>] [-signout -url <url>] [-t

timeout]

表7: Pulse Launcher の引数

アクション引数

Pulse Launcher のバージョン情報を表示して終了します。-version

使用可能な引数の情報を表示します。-help

Pulse を停止して、すべてのアクティブな接続を切断します。-stop

Pulse サーバーの URL を指定します。-url <url>

ユーザー名を指定します。-u <user>

認証用のパスワードを指定します。-p <password.

Pulse サーバーのレルムを指定します。-r <realm>

Pulse Launcher が起動したときに、別の認証メカニズムから指定された Pulse サーバーの Pulse

Launcher に Cookie を渡します。 -d 引数を使用する場合は、-url 引数も指定して、 Pulse サー

バーを指定する必要があります。

-d <DSID>



表7: Pulse Launcher の引数（続き）

アクション引数

ユーザー認証に使用する証明書を指定します。 <client certificate> には、証明書の Issued To

フィールドで指定された文字列を使用します。 -cert 引数を指定する場合は、 -url および -r

<realm> 引数も指定する必要があります。

Pulse Launcher プログラムで証明書認証を使用するには、まず、ユーザー証明書認証によるユーザー

のサインインを許可するように Pulse サーバーを設定する必要があります。また、信頼されたクラ

イアント CA を Pulse サーバーに設定し、対応するクライアントサイドの証明書をエンドユーザーの

Web ブラウザにインストールしてから Pulse Launcher を実行する必要があります。

証明書が無効の場合、Pulse Launcher によってコマンドラインにエラーメッセージが表示され、ロ

グファイルにメッセージが記録されます。

注: ブラウザから Pulse が起動されている場合、そのブラウザが証明書の検証を処理します。 Windows

上のアプリケーションから Pulse が起動されている場合、そのアプリケーションが証明書の検証を

処理します。 Windows 上の Pulse Launcher から Pulse が起動されている場合は、Pulse Launcher

が、期限切れまたは取り消されたクライアント証明書を処理します。

-cert <client certificate>

特定のサーバーから切断またはサインアウトします。 Pulse では、複数の同時接続が許可されている

ため、-signout 引数を使用する場合は、 -url 引数が必要になります。

-signout

接続が確立されるまでに許容される時間。この時間が経過すると、接続の試行が失敗します。最小

= 45 秒（デフォルト）、最大 = 600 秒です。

-timeout <time in seconds>

以下の表は、pulselauncher.exe の終了時に返される可能性があるリターンコードをまとめ

たものです。

表8: Pulse Launcher のリターンコード

説明コード

Pulse が動作していません。-1

成功しました。0

パラメータが無効です。1

接続に失敗したか、指定されたゲートウェイに Pulse が接続できません。2

エラーが発生した状態で接続が確立しました。3

接続が存在しません。たとえば、Pulse UI に追加されていないサーバーからコマンドがサインアウ

トしようとすると発生します。

4

ユーザーが接続をキャンセルしました。5

クライアント証明書エラーです。6

タイムアウトエラーです。7

Pulse UI からのユーザー接続が許可されていません。8



表8: Pulse Launcher のリターンコード（続き）

説明コード

Pulse UI からのポリシーの上書きが行われません。9

一般的なエラーです。100

例

以下のコマンドは、ユーザーが入力した資格情報を取り込み、その資格情報を引数として

pulselauncher.exe に渡す簡単なログインアプリケーションです。

pulselauncher.exe -u JDoe -p my$Pass84 -url https://int-company.portal.com/usr -r Users

pulselauncher return code: 0

以下の Pulse Launcher の例は、証明書認証を示したものです。

pulselauncher.exe -url https://int-company.portal.com/usr -cert MyCert -url

https://int-company.portal.com/usr -r Users


以下の例では、Pulse Launcher を使用して、特定の Pulse サーバー（-url）に対して Cookie

（-d）を指定しています。

pulselauncher.exe –d 12adf234nasu234 -url https://int-company.portal.com/usr


関連項目 150ページのjamCommand を使用した Junos Pulse 接続のインポート•

• 135ページのJunos Pulse クライアントのインストールの概要

jamCommand を使用した Junos Pulse 接続のインポート

jamCommand.exe プログラムは、Pulse クライアントに .jnprpreconfig ファイルをインポート

するコマンドラインプログラムです。 jamCommand プログラムは、Windows（XP、Vista、Win7）

および Mac OSX で使用できます。

注: 「jam」とは略語です。Junos Pulse は、初期の開発段階では Juniper Access

Manager と呼ばれていました。そのため、多くの Pulse ファイル名やディレクト

リ名に「jam」という略語が含まれています。

.jnprpreconfig ファイルには、Pulse 接続パラメータが含まれています。 Pulse サーバーで

.jnprpreconfig ファイルを作成し、Pulse インストールの一部として使用することで、Pulse

ユーザーが初めて Pulse を起動したときに、 1 つまたは複数の Pulse 接続が含まれている状

態にすることができます。



注: Windows エンドポイントで jamCommand を使用する一般的な例としては、まず

jamCommand を実行して 1 つまたは複数の Pulse 接続を .jnprpredong ファイルか

らインポートし、pulselauncher.exe を実行して Pulse を起動する状況が挙げら

れます。

jamCommand を使用して Pulse 接続をインストールするには、以下の手順に従います。

1. Pulse サーバーで .jnprpreconfig ファイルを作成します。

Pulse サーバーの管理コンソールで、[Users]（ユーザー） > [Junos Pulse] > [Components]

（コンポーネント）をクリックします。

2. 目的のコンポーネントセットを選択して、[Download Installer Configuration]（インス

トーラ設定のダウンロード）をクリックします。

3. .jnprpreconfig ファイルを Pulse エンドポイントに配布します。

4. .jnprpreconfig ファイルをオプションとして指定し、jamCommand を実行します。たとえ

ば、以下のように実行します。

Windows の場合:

\Program Files\Common Files\Juniper Networks\JamUI\jamCommand -importfile

myfile.jnprpreconfig.

Mac OSX の場合:

/Applications/Junos Pulse/Contents/Plugins/JamUI/jamCommand -importfile

myfile.jnprpreconfig.

jamCommand の実行時に Pulse クライアントが動作している場合は、新しい Pulse 接続が直

ちに表示されます。接続名は、 Pulse サーバーの管理コンソールでその接続を作成したとき

に定義したとおりに表示されます。

関連項目 • 147ページのJunos Pulse コマンドライン Launcher

• 135ページのJunos Pulse クライアントのインストールの概要









第2部

Junos Pulse の互換性

このセクションでは、Odyssey アクセスクライアントおよび Network Connect ソフトウェア

の機能と比較しながら、Junos Pulse の各機能について詳細に説明します。

• クライアントソフトウェアの機能比較 155ページ




第8章

クライアントソフトウェアの機能比較

• 機能比較: Odyssey アクセスクライアントと Junos Pulse 155ページ

• 機能比較: Network Connect および Junos Pulse 159ページ

機能比較: Odyssey アクセスクライアントと Junos Pulse

155ページの表9 は、 Odyssey アクセスクライアント（OAC）と Pulse の機能比較をまとめた

ものです。サポートされているプラットフォームとインストール要件の詳細については、

『Junos Pulse Supported Platforms Guide』を参照してください。このガイドは、


表9: Odyssey アクセスクライアントと Junos Pulse との機能比較

OAC

Junos Pulse

リリース 3.0

Win

Junos

Pulse

リリース

3.0 Mac

Junos Pulse

リリース 2.1機能

有線/ワイヤレス 802.1X 機能

ありあり

（Microsoft

Windows サプリカ

ントを使用）

あり

（Microsoft

Windows サプリ

カントを使用）

有線 802.1X のサポート

ありあり

（Microsoft


ントを使用）

あり

（Microsoft

Windows サプリ


自動スキャンリスト

ありあり

（Microsoft


ントを使用）

あり

（Microsoft

Windows サプリ


[Wireless suppression]（ワイヤ

レス抑止）

ありありネットワークプロバイダのサポー

ト（パスワードのスクラップ化、

リスティング）

アソシエーションモードおよび暗号化方式



表9: Odyssey アクセスクライアントと Junos Pulse との機能比較（続き）

OAC

Junos Pulse

リリース 3.0

Win

Junos

Pulse

リリース

3.0 Mac

Junos Pulse


ありあり

（Microsoft


ントを使用）

あり

（Microsoft

Windows サプリ


アソシエーションモードのサポー

ト（オープン、共有、WPA/WPA2 対

応）

ありあり

（Microsoft


ントを使用）

あり

（Microsoft

Windows サプリ


暗号化（WEP、TKIP、AES、事前構

成済みキー付き WEP、事前共有済

みキー付き WPA/WPA2 対応）

EAP 方式

ありEAP-TLS 外部認証

ありありありありEAP-TTLS 外部認証

ありありあり• EAP-JUAC 内部認証の使用

あり• EAP-MSCHAPv2 内部認証の使用

あり• EAP-GTC 内部認証の使用

あり• EAP-MD5 内部認証の使用

あり• PAP 内部認証の使用

あり• CHAP 内部認証の使用

あり• MSCHAP 内部認証の使用

あり• MSCHAPv2 内部認証の使用

ありEAP-PEAP 外部認証

あり• EAP-JUAC 内部認証の使用

あり• EAP-DD5 内部認証の使用

あり• EAP-GTC 内部認証の使用

認証方式

ありありありありユーザー名とパスワードの要求

ありありありあり証明書のサポート（自動、特定）




OAC

Junos Pulse

リリース 3.0

Win

Junos

Pulse

リリース

3.0 Mac

Junos Pulse


ありありありスマートカードリーダーの証明

書

ありありありソフトトークンのサポート

ありありレイヤ 3

接続

マシンログインのサポート

ありありレイヤ 3

接続

マシン認証後のユーザー認証

ありあり該当なし32 ビットおよび 64 ビットの

Windows Vista と Windows 7 での

資格情報プロバイダ

ありあり該当なし事前デスクトップログイン

あり構成可能な UAC レイヤ 2 接続

あり構成可能な接続関連付けモード

証明書

ありFIPS 準拠

インストールおよびアップグレード方法

ありありありあり自動アップグレード

ありありありありWeb ベースのインストール

ありあり

（.msi）

あり

（.dmg）

あり

（.msi）

スタンドアロンインストール

ありありありありアップグレードまたは以前のバー

ジョンとのコーディネート

ありありありあり手動アンインストール

ありありありありブラウザベースのインストールと

アップグレード

診断およびログ作成

ありありありIPsec 診断および構成

ありホストエンフォーサ


第8章: クライアントソフトウェアの機能比較


OAC

Junos Pulse

リリース 3.0

Win

Junos

Pulse

リリース

3.0 Mac

Junos Pulse


ありログビューア

ありあり

デバッグレベル

の設定、ファイル

サイズ制限の設定

あり

デバッグ

レベルの

設定

あり

デバッグレベル

の設定、ファイ

ルサイズ制限の

設定

ログ作成および診断

その他の機能

ありありありありOPSWAT IMV のサポート

ありありありShavlik IMV のサポート（パッチ

評価）

あり

SMS/SCCM 経

由

あり

Shavlik または

SMS/SCCM 経由

あり

Shavlik または

SMS/SCCM 経由

自動パッチ修復

ありありありありHost Checker のサポート

ありあり該当なしありEnhanced Endpoint Security のサ

ポート（Windows OS のみ）

ありありありNAT-T によるポリシー強制ポイン

トへの IPsec トンネリング

ありありありありアクセスサービスおよびプラグイ

ン

あり該当なし該当なしサードパーティ EAP メッセージの

ブロック

ありありありありレイヤ 3 認証

ありありありありサーバーベースのレルム/ロールの

事前構成

ありありありセッション時間の延長

ありありありありIC 濃度

ありありありありクラスタ化された Pulse サーバー

のクライアントサイト管理

ありありありKerberos SSO




OAC

Junos Pulse

リリース 3.0

Win

Junos

Pulse

リリース

3.0 Mac

Junos Pulse


ありありありあり初期構成（無介入のクライアント

プロビジョニング）

ありありありあり動的に構成可能

機能比較: Network Connect および Junos Pulse

Network Connect（NC）は、リモートアクセス用のクライアントプログラムです。 Junos Pulse

は、NC の大半の機能を備えています。 159ページの表10 は、NC と Pulse の機能比較をまとめ

たものです。サポートされているプラットフォームとインストール要件の詳細については、

『Junos Pulse Supported Platforms Guide』を参照してください。このガイドは、


表10: Network Connect および Junos Pulse の機能比較

Network

Connect

リリース

6.3

Junos Pulse

リリース 3.0 Win

Junos

Pulse

リリース

3.0 Mac

Junos Pulse

リリース

2.1機能

プロキシのサポート

ありありありInternet Explorer

ありありMozilla Firefox

ありApple Safari

分割トンネリングオプション

ありありありルート監視なしの分割トンネリン

グの無効化

ありありありありルート監視ありの分割トンネリン

グの無効化

ありありありありルート監視ありの分割トンネリン

グの有効化

ありありありありルート監視なしの分割トンネリン

グの有効化

ありありありありローカルサブネットへのアクセス

を許可した分割トンネリングの有

効化




表10: Network Connect および Junos Pulse の機能比較（続き）

Network

Connect

リリース

6.3

Junos Pulse


Junos

Pulse

リリース

3.0 Mac

Junos Pulse

リリース

2.1機能

ありありありありローカルサブネットへのアクセス

を許可した分割トンネリングの無

効化

クライアント起動オプション

ありありありコマンドライン Launcher

あり該当なし該当なし該当なし接続時にログオフ

ありありありありスタンドアロンクライアントとし

て起動

ありありありありブラウザから起動

ありありGINA 資格情報プロバイダサポー

ト

トランスポートモード

ありあり

注: ESP を使用でき

ない場合、接続は

SSL を使用して行わ

れます。接続が

SSL に切り替わる

と、その接続が再起

動されるまで ESP

に戻ることはあり

ません。

ありありSSL フォールバックモード

ありありありESP

その他の機能

ありありありありOPSWAT IMV サポート

ありありありShavlik IMV サポート（パッチ評

価）

あり

Shavlik または

SMS/SCCM 経由

あり

Shavlik また

は SMS/SCCM

経由

パッチの自動修復

ありありありありHost Checker のサポート



表10: Network Connect および Junos Pulse の機能比較（続き）

Network

Connect

リリース

6.3

Junos Pulse


Junos

Pulse

リリース

3.0 Mac

Junos Pulse

リリース

2.1機能

ありあり該当なしありEnhanced Endpoint Security のサ

ポート（Windows OS のみ）

ありありありありクライアントが接続/切断したとき

に設定済みのスクリプトを実行す

る

ありありありありサーバー設定に基づく DNS サー

バーの検索順序の変更

ありありありあり接続の中断時に自動再接続

ありありありありダイアルアップアダプタのサポー

ト

ありありありあり3G ワイヤレスアダプタのサポー

ト

ありありありあり最大/アイドルセッションタイム

アウト

ログ作成

ありありありありファイルへのログの記録

ありログのアップロード

証明書

ありFIPS

Pulse 分割トンネリング

161ページの表11 は、Network Connect の分割トンネリングオプションの一覧と、Pulse 2.0

以降の分割トンネリングオプションへのマップ方法を示したものです。

表11: Pulse 分割トンネリング

ルートの監視状態ルートの優先状態


設定NC 分割トンネリングオプション

ありあり無効分割トンネリングの無効化

なしなし無効分割トンネリングは無効化し、ローカルアクセスは許可

する

なしあり有効分割トンネリングの有効化



表11: Pulse 分割トンネリング（続き）

ルートの監視状態ルートの優先状態


設定NC 分割トンネリングオプション

ありあり有効ルート監視ありの分割トンネリングの有効化

なしなし有効分割トンネリングを有効化し、ローカルアクセスを許可す

る



第3部

モバイルデバイス対応 Junos Pulse

• モバイルデバイス対応 Junos Pulse および Junos Pulse Mobile Security Suite 165ページ

• Apple iOS 対応 Junos Pulse 169ページ

• Google Android 対応 Junos Pulse 185ページ

• Nokia Symbian デバイス対応 Junos Pulse 197ページ

• Windows Mobile デバイス対応 Junos Pulse 201ページ




第9章

モバイルデバイス対応 Junos Pulse および Junos Pulse Mobile Security Suite

• モバイルデバイス対応 Junos Pulse の概要 165ページ

• Pulse モバイルクライアントおよびユーザーエージェント文字列 166ページ

モバイルデバイス対応 Junos Pulse の概要

モバイルデバイス対応の Junos Pulse を使用することで、モバイル（携帯）デバイスから社

内アプリケーション（E メールやイントラネットなど）への、 Pulse Secure Access サービス

経由で認証されたアクセスが可能になります。モバイルデバイス対応 Pulse クライアント

ソフトウェアには、リモート VPN 機能や、 Junos Pulse Mobile Security Suite によって有

効化されるデバイスセキュリティ機能が用意されています。

Junos Pulse Mobile Security Suite（MSS）は、モバイルデバイス対応 Junos Pulse のオプ

ションのコンポーネントです。 MSS は、ウィルス対策、アンチスパム、パーソナルファイア

ウォールの各サービスを提供します（デバイスの OS によって異なります）。また、管理者

は、デバイスアプリケーションやコンテンツを監視および削除したり、バックアップおよび

復元操作を実行したり、リモートロックおよびリモートワイプ操作をアクティブ化したり、

GPS を使用してデバイスを追跡したりできます。サポートされている各モバイルデバイス

は、Pulse Mobile Security Suite 機能の特定の項目をサポートします。

サポートされている各モバイルデバイスは、特定のデバイスタイプに対応した Pulse VPN

クライアントソフトウェアのインストールをユーザーに要求します。 Pulse VPN モバイルデ

バイスソフトウェアは、サポートされているモバイルデバイスのアプリケーションストア

から無料でダウンロードできます。また、Windows Mobile 用のアプリケーションは、

juniper.net から入手できます。 Pulse MSS は、個別のサーバーベースの製品として入手で

きます。モバイルデバイス対応 Pulse および Pulse Mobile Security Suite ソフトウェア

は、Pulse Secure Access サービスから直接配備することはできません。安全な接続のタイ

プおよびサポートされるセキュリティ機能は、各モバイルオペレーティングシステムでのサ

ポート状況によって異なります。

注: すべてのデバイスに対して、認証サーバーを設定し、モバイルデバイスユー

ザーのアカウントを作成しておく必要があります。


Pulse は、以下のモバイルデバイスでサポートされています。

• Apple®iOS（iPhone、iPad、iPod Touch）対応 Junos Pulse

• Google Android 対応 Junos Pulse™

• BlackBerry 対応 Junos Pulse

• Windows Mobile 対応®Junos Pulse

• Nokia Symbian 対応®Junos Pulse

注: BlackBerry デバイスは Pulse MSS でサポートされていますが、Junos Pulse

VPN ソフトウェアは BlackBerry では使用できません。ただし、一部の BlackBerry

デバイスは IKEv2 をサポートしているため、Pulse Secure Access サービスに接

続するように BlackBerry IKEv2 を設定することができます。 IKEv2 を使用でき

る BlackBerry デバイスの詳細については、『Junos Pulse Mobile Supported

Platforms Guide』を参照してください。

『Junos Pulse Mobile Supported Platforms Guide』は、

http://www.juniper.net/support/products/pulse/mobile/ から入手できます。このガイドには、

Pulse でサポートされているモバイルデバイス OS と、各モバイルデバイス OS でサポート

されているセキュリティ機能が示されています。

Junos Pulse Mobile Security Gateway

モバイルデバイスでの Pulse へのネットワークアクセスは、 Pulse Secure Access サービ

スの管理コンソールを使用して有効にしますが、モバイルデバイスのセキュリティ機能は、

Junos Pulse Mobile Security Gateway を使用して管理します。 Pulse Mobile Security

Gateway の管理インターフェースを使用することで、モバイルデバイスを保護したり、管理

したりできるようになります。詳細については、『Junos Pulse Mobile Security Gateway 管

理ガイド』を参照してください。

関連項目 210ページのJunos Pulse Mobile Security の概要•

• 169ページのApple iOS 対応 Junos Pulse の概要

• 185ページのAndroid 対応 Junos Pulse の概要

• Windows Mobile 対応 Junos Pulse

• 197ページのSymbian 対応 Junos Pulse

Pulse モバイルクライアントおよびユーザーエージェント文字列

ユーザーエージェント文字列は、サービスを要求しているブラウザのタイプを Web サーバー

が識別する手段として使用されます。 Web サーバーはこの情報を使用して、ブラウザに合わ

せたコンテンツを提供します。ログイン画面やイントラネットブックマークなど、モバイル

デバイスの Pulse ユーザーインターフェースの各部は、Pulse サーバーから送信される Web

ページであり、Pulse クライアントの内蔵ブラウザによって表示されます。これらの Web

ページは、ユーザーエージェントから特定のクライアントタイプへのマッピングに関する

Pulse サーバーの設定方法によって影響を受けます。



http://www.juniper.net/support/products/pulse/mobile/

SA シリーズソフトウェアリリース 7.1 には、サポートされている各 Pulse モバイルデバ

イスに合わせて設計された新しいユーザーエージェント文字列とクライアントタイプのペア

リングが導入されています。 SA シリーズソフトウェアをリリース 7.1 にアップグレードす

る前に、モバイルデバイス用のユーザーエージェント文字列とクライアントタイプのペア

リングに変更を加えると、Pulse モバイルデバイスの画面に不適切な画面が表示される原因

となります。モバイルデバイスの Pulse インターフェースが予期したとおりに表示されない

場合は、Pulse クライアントが新しい設定にアクセスできるように、編集したユーザーエー

ジェント文字列とクライアントタイプのペアリングを削除する必要があります。 SA シリー

ズソフトウェアリリース 7.2 では、Pulse Secure Access サーバーがブックマークのイン

デックスページを提供する方法に変更が加えられているため、ユーザーエージェント文字列

とクライアントタイプのペアリングの設定を変更しても、モバイルデバイスでの Pulse ブッ

クマークの表示方法には影響しません。

ユーザーエージェント文字列とクライアントタイプのペアリングを Pulse サーバーで表示

および編集するには、以下の手順に従います。

1. [System]（システム） > [Configuration]（設定） > [Client Types] （クライアントタ

イプ）をクリックします。

既存の項目を編集するには、テーブルで項目をクリックして選択します。文字列のパター

ンは、テキストボックスで編集できます。また、クライアントタイプはリストボックス

から選択できます。

新しいユーザーエージェント文字列とクライアントタイプのペアリングを追加するには、

リスト上部の編集ボックスに文字列パターンを入力し、リストボックスからクライアント

タイプを選択して [Add]（追加）をクリックします。文字列には、* および ? のワイル

ドカード文字を使用することができます。ユーザーエージェント文字列では、大文字と小

文字が区別されない点に注意してください。

2. リストを並べ替えるには、項目をクリックして選択し、上下の矢印を使用して、リスト内

でその項目を上下に移動します。ブラウザがアクセスを要求すると、ブラウザから送信さ

れたユーザーエージェント文字列が、リストの一番上の項目から下に順番に比較され、

最初の一致が見つかるまで継続されます。

デフォルトのペアリング（ユーザーエージェント文字列 = “*”、クライアントタイプ =

“Standard HTML”）は、テーブルの最後のエントリとして登録されており、どのペアリン

グも該当しなかった場合だけに使用されます。デフォルトのペアリングについては、編集、

削除、または並べ替えを実行することはできません。

3. テーブルの変更が完了したら、[Save Changes]（変更を保存）をクリックします。

168ページの表12 は、 SA シリーズソフトウェアでサポートされているモバイルデバイスの

ユーザーエージェント文字列とクライアントタイプのペアリングを一覧にまとめたもので

す。


第9章: モバイルデバイス対応 Junos Pulse および Junos Pulse Mobile Security Suite

表12: モバイルデバイスに対応するユーザーエージェント文字列とクライアントタイプのペアリング

Nokia SymbianWindows MobileGoogle AndroidApple iOS

SA シリー

ズソフト

ウェア

ユーザーエージェント文字

列 =”*Symbian OS*”、ク

ライアントタイプ =

“Smart Phone HTML

Basic”


列 = “*”、クライアント

タイプ = “Standard

HTML”

ユーザーエージェント文字列

=”*Windows CE*”、クライアン

トタイプ = “Mobile HTML

(Pocket PC)”


= “*”、クライアントタイプ

= “Standard HTML”

ユーザーエージェント

文字列 = “*”、クラ

イアントタイプ =

“Standard HTML”


= “*”、クライアントタイ

プ = “Standard HTML”

リリース

7.0 以降


列 = ”*Symbian*”、クラ

イアントタイプ = “Smart

Phone HTML Basic”


= ”*Windows CE*”、クライア

ントタイプ = “Mobile HTML

(Pocket PC)”


= “*”、クライアントタイプ

= “Standard HTML”

ユーザーエージェント

文字列 =

“*Android*”、クライ

アントタイプ =

“Android Optimized

HTML Full/

Advanced/Basic”


= “*iPad*AppleWebKit”、

クライアントタイプ = “iPad

Optimized HTML”


= “AppleWebKit*Mobile*”、

クライアントタイプ =

“Mobile Safari Optimized

HTML (iPhone/iPod Touch)

Full/Advanced/Basic”

リリース

7.1 以降

注: ユーザーエージェント文字列は、ブラウザタイプに基づいてユーザーに対す

るポリシーを定義するために、ロールレベルまたはレルムレベルで設定すること

もできます。



第10章

Apple iOS 対応 Junos Pulse

• Apple iOS 対応 Junos Pulse の概要 169ページ

• Apple iOS 対応 Pulse のロールおよびレルムの設定 171ページ

• iOS ユーザーによる Web メールパスワードの保存の許可 175ページ

• Pulse iOS クライアント用 Host Checker 175ページ

• Pulse iOS クライアント用 Host Checker の設定 176ページ

• iOS デバイス対応 Pulse 用 Host Checker ポリシーの実装 179ページ

• Junos Pulse VPN App のインストール 180ページ

• 構成プロファイルの使用 181ページ

• ログファイルの収集 182ページ

• コマンドを使用した iOS 対応 Pulse App の起動 182ページ

Apple iOS 対応 Junos Pulse の概要

Junos Pulse は、SSL 暗号化に基づいたレイヤ 3 VPN 接続と、 Apple iOS デバイス（iPhone、

iPad、iPod Touch）と Junos Pulse Secure Access サービス間の認証を提供します。 Junos

Pulse は、 ID、レルム、ロールに基づき、企業のアプリケーションやデータに安全に接続す

ることができます。 Pulse は、デバイスが Wi-Fi 接続中に非アクティブになった場合は自動

的に切断し、デバイスが再度アクティブになった場合は VPN 接続を自動的に再確立し、ネッ

トワークからネットワークにローミングした場合の接続を維持することで、消費電力を抑えた

接続を提供するように設計されています。 Junos Pulse は、Apple App Store からダウンロー

ドできます。

注: モバイルクライアントの各機能は頻繁に更新され、各モバイルクライアント

には、他のクライアントや Pulse Windows クライアントおよび Mac クライアント

から独立したリリース番号が付けられています。このガイドで説明されている特

定の機能がサポートされているかどうかについては、各モバイルクライアントの

モバイルクライアントリリースノートを参照してください。このガイドで説明

されているすべての機能が、お使いのデバイスでサポートされるように、モバイル

クライアントを最新のリリースにアップグレードすることをお勧めします。







Junos Pulse VPN App は、以下の機能をサポートしています。

• パケットの完全なレイヤ 3 トンネリング

• UDP/ESP および NCP/SSL モード

• Pulse Secure Access サーバーで使用可能なすべての認証オプションによる認証

• 証明書認証後の他の形式の認証

• マルチファクタ認証（異なる 2 種類の認証の組み合わせ）

• Host Checker

• 分割トンネリングモード:

• 分割トンネリングを無効にし、ローカルサブネットへのアクセスを可能にする

• 分割トンネリングの有効化

• Apple VPN オンデマンド

VPN オンデマンド構成では、電話機で実行中のアプリケーションが事前定義されたホストの

セットに登録されているホストへの接続を開始すると、 iOS デバイスが自動的に VPN 接続

を開始します。 VPN オンデマンド接続ではクライアントの証明書ベースの認証を使用する

ため、ユーザーは VPN 接続が開始されるたびに資格情報を入力する必要がありません。

VPN オンデマンドは、iPhone 構成ユーティリティを使用して設定できます。 iPhone 構成

ユーティリティを使用して VPN オンデマンド構成を作成する方法の詳細については、『iPhone

OS エンタープライズ配備ガイド』を参照してください。このガイドは、www.apple.com で入

手できます。

注:

VPN オンデマンドを構成する場合は、使用する Pulse Secure Access サーバーの

ホスト名に対する例外を作成する必要があります。たとえば、ホスト名が

sslvpn.example.com で、example.com ドメインのホストに対して要求が行われ

た場合は、常に Pulse クライアントが自動的に VPN を確立するようにする場合

は、VPN オンデマンド構成に以下のルールを含める必要があります。

• ドメイン名 = sslvpn.example.com の場合は、 VPN 接続を開始しない

• ドメイン名 = example.com の場合は、常に VPN 接続を開始する

• Junos Pulse Mobile Security Suite の各機能を監視および管理します。

• iOS 対応 Junos Pulse は、Junos Pulse Mobile Security Suite（MSS） R3.0 以降もサポー

トしています。 Junos Pulse Mobile Security Gateway を使用することで、セキュリティ

管理者は Pulse 接続などのプロファイル設定を定義し、デバイスがゲートウェイに登録す

ると、そのデバイスにそれらの設定がダウンロードされ、それらの設定が定期的に更新され

るように構成できます。詳細については、『Junos Pulse Mobile Security Gateway 管理ガ

イド』を参照してください。



www.apple.com

始める前に

Junos Pulse Secure Access サービスで Apple iOS デバイスのサポートを構成する前に、以

下のクライアントソフトウェアの動作に注意してください。

• Wi-Fi 接続の場合、ユーザーがデバイスを再起動すると、Pulse は VPN トンネルに自動的

に再接続します。 3G 接続の場合、ユーザーが Safari や Mail などのアプリケーションを

使ってネットワークトラフィックを生成すると、VPN に再接続されます。

• 認証資格情報を要求するプロキシを除き、分割トンネリングモードかどうかにかかわらず、

プロキシ経由の VPN トンネルの確立がサポートされます。

• Proxy Automatic Configuration（PAC）スクリプトは、分割トンネリングモードが無効で、

ローカルサブネットへのアクセスが可能な場合のみ有効です。ロールの分割トンネリング

モードで分割トンネリングが有効の場合、 PAC スクリプトは動作しません。 Proxy Automatic

Configuration のサポートに関する詳細については、『Junos Pulse Secure Access サービ


• Pulse サーバー/プロキシのホスト名に対しては、静的なホストマッピングが作成されませ

ん。

• DNS の考慮点:

• 分割トンネリングモードで、分割トンネリングが無効でローカルサブネットへのアク

セスが可能に設定されている場合、Pulse は、Pulse サーバーで設定されている DNS サー

バーを使用します。

• 分割トンネリングモードで、分割トンネリングが有効に設定されている場合、Pulse サー

バーで設定されている DNS サーバーは、 Pulse Secure Access サービスドメイン内のホ

スト名に対してのみ使用されます。

• セッションスクリプトはサポートされていません。

• Junos Pulse サーバーからの Web ベースのインストールはサポートされていません。

• セッションタイムアウトリマインダはサポートされていません。

• クライアント証明書認証を使用する場合で、ユーザーが割り当てられているロールの中から

選択できるように設定されている場合、ユーザーにはロールリストが表示されず、代わり

にロール名を入力するように要求されます。

• 接続先のサーバーにかかわらず、ユーザーに対して Pulse クライアント UI で一貫したブッ

クマークを表示するために、ユーザーレコードの同期を設定して有効にすることができま

す。これは、Pulse Secure Access サービスプラットフォームの機能です。ユーザーレ

コードの同期の設定については、『Junos Pulse Secure Access サービス管理ガイド』を


Apple iOS 対応 Pulse のロールおよびレルムの設定

Apple iOS デバイスから Pulse Secure Access サービスへの SSL/VPN アクセスを有効化する

には、デバイスユーザーが Junos Pulse アプリケーションをダウンロード、インストール、

および設定し、 Pulse 管理者が Pulse Secure Access サービスで特定のレルムおよびロール

の設定を構成する必要があります。


第10章: Apple iOS 対応 Junos Pulse

Apple iOS デバイスのアクセスに対して Pulse Secure Access サービスを設定するには、以


1. Pulse サーバーの管理コンソールにログインします。


す。





[VPN Tunneling]（VPN トンネリング）チェックボックスを選択します。


せます。

Host Checker ポリシーの指定は、ロール設定の一部です。ただし、ロールに割り当てるポ

リシーを最初に作成しておく必要があります。この手順は、後で説明します。

6. [Web] > [Bookmarks]（ブックマーク）を選択し、[New Bookmark]（新規ブックマーク）を


7. ブックマークの名前と説明を入力します。

iOS 対応 Pulse のユーザーインターフェースで表示されるボタンを有効にするには、ブッ

クマークを作成する必要があります。通常は、企業のイントラネットおよび Web E メール

用のブックマークを作成します。

注: iOS デバイスの Pulse インターフェースで E メールボタンを有効化する

には、E メールブックマークを作成する必要があります。また、その E メー

ルブックマークには、Mobile Webmail という名前を付けなければなりません。

8. [URL] ボックスで、組織の E メールにアクセスする Web アドレスを指定します。



図 15: Pulse クライアント用の E メールブックマークの作成

注: もう 1 つの方法として、Web リソースポリシーを使用してブックマークを

定義することもできます。リソースポリシーの詳細については、『Junos Pulse

Secure Access サービス管理ガイド』を参照してください。

9. 目的に応じて [Auto Allow]（自動許可）および [Display Options]（オプションの表示）

を設定し、 [Save Changes]（変更を保存）をクリックします。

10. [VPN Tunneling]（VPN トンネリング）タブで、以下のオプションを選択して分割トンネリ

ングオプションを設定します。

• [Split Tunneling]（分割トンネリング）: 有効

• [Route Precedence]（ルートの優先順位）: エンドポイントルート

iOS でサポートされている分割トンネリングモードは、これらだけです。

11.デフォルトのセッションタイムアウトを変更するには、[General]（一般） > [Session

Options]（セッションオプション）を選択します。

12. [Session lifetime]（セッション寿命）セクションで、[Max. Session Length]（最大セッ

ション時間）を分単位で指定します。残りのセッション時間は、モバイルデバイスクラ

イアントの Pulse インターフェースに日時間:分:秒という形式で表示されます。その他

のセッション設定は、モバイルクライアントには適用されません。




14. [Users]（ユーザー） > [Resource Policies]（リソースポリシー） > [VPN Tunneling]

（VPN トンネリング） > [Connection Profiles]（接続プロファイル）を選択します。

リソースポリシーとは、特定のアクセス機能に対してリソースおよびアクションを指定す

るシステムルールのことです。リソースポリシーの詳細については、『Junos Pulse



16.接続プロファイルの名前と説明を指定します。

接続プロファイルを定義するには、以下の点に注意します。

• IP アドレスの割り当てオプション—Pulse Secure Access サービスがクライアントから

セッション開始要求を受信すると、定義した IP アドレスポリシーに基づいて、クライ

アントに IP アドレスが割り当てられます。 IP 設定の詳細については、『Junos Pulse


• 接続設定—ESP は、デフォルトのトランスポートモードです。 iOS 対応 Pulse の VPN

クライアントは、ESP と SSL の両方をサポートしています。トランスポート設定の詳細

については、『Junos Pulse Secure Access サービス管理ガイド』を参照してください。

• DNS 設定—分割トンネリングが有効の場合、最初に IVE DNS を検索する動作はサポート

されません。分割トンネリングが有効の場合、Junos Pulse は IVE DNS 検索ドメイン

でのみ、ホストのクエリに IVE DNS を使用します。他のすべてのクエリは、クライア

ントの DNS サーバーに送られます。

• プロキシサーバー設定—iOS 対応 Pulse クライアントソフトウェアは、 [Preserve

client-side proxy settings]（クライアントサイドのプロキシ設定を保持する）を除く

すべてのプロキシサーバー設定をサポートしています。このオプションは、Windows

クライアントだけに固有です。分割トンネリングが有効の場合は自動的にクライアント

プロキシ設定を変更する動作は、サポートされていません。

17. [Roles]（ロール）領域で、[Policy applies to SELECTED roles]（選択したロールに適用

するポリシー）を選択します。次に、iOS デバイス用に作成したロールを [Selected

roles]（選択したロール）リストに追加します。




20.名前と説明を入力します。次に、[Save Changes]（変更を保存）をクリックしてレルムを

作成し、レルムオプションタブを表示します。

21. [Servers]（サーバー）セクションで、認証設定を指定します。

認証サーバーの設定については、『Junos Pulse Secure Access サービス管理ガイド』を参

照してください。

22.レルムの [General]（一般）タブで、[Session Migration and Sharing]（セッションの移

行と共有）チェックボックスを選択します。

23.レルムの [Role Mapping]（ロールのマッピング）タブで、この操作の前半で作成した iOS

デバイスのロールにすべてのユーザーをマップする新しいルールを作成します。



関連項目 175ページのPulse iOS クライアント用 Host Checker•

• 176ページのPulse iOS クライアント用 Host Checker の設定

• 175ページのiOS ユーザーによる Web メールパスワードの保存の許可

• 210ページのJunos Pulse Mobile Security の概要

iOS ユーザーによる Web メールパスワードの保存の許可

iOS ユーザー用ロールの Web ブックマークを使用すると、Web リンク経由で E メールにアク

セスすることができます。 iOS 対応 Pulse アプリケーションのユーザーには、 E メールシ

ステムへのログイン時に E メールのパスワードを保存するように許可できます。 iOS ユーザー

が使用するロールの Mobile Webmail ブックマークを作成したら、以下の手順に従って、 E

メールのパスワードを保存するオプションを有効にします。

1. iOS ユーザー用に作成したロールを開きます。

2. [General]（一般） > [Session Options]（セッションオプション）をクリックします。

3. [Persistent Password Caching]（永続的なパスワードキャッシュ）というセクションで、

[Enabled]（有効化）を選択します。


関連項目 171ページのApple iOS 対応 Pulse のロールおよびレルムの設定•

• 175ページのPulse iOS クライアント用 Host Checker

Pulse iOS クライアント用 Host Checker

Host Checker は、Pulse Secure Access サービスへの接続を試行する iOS エンドポイントの

完全性を報告する Junos Pulse のコンポーネントです。エンドポイントでは、Host Checker

は Trusted Network Connect（TNC）クライアントとして動作します。このクライアントは、

事前定義された条件に従ってエンドポイントを評価し、 Pulse Secure Access サービスの一部

として機能する Trusted Network Connect サーバーに報告します。エンドポイントが Host

Checker ポリシーに準拠していない場合、ユーザーはネットワークにアクセスできない、また

はネットワークへのアクセスが制限される場合があります。この制限は、管理者が設定した

強制ポリシーによって異なります。

iOS クライアントについて、Host Checker は、以下の事前定義された条件に基づいてクライ

アントの準拠性を評価できます。

• [OS Checks]（OS チェック）—デバイスにインストールされている必要がある iOS のバージョ

ンまたは最小バージョンを指定できます。

• [Jail Breaking Detection]（ジェイルブレイキング検出）—ジェイルブレイキングとは、

Apple iPhone、iPad、および iPod Touch ユーザーが iOS オペレーティングシステムに

ルートアクセスし、Apple によって課せられた使用制限やアクセス制限をバイパスできる

ようにするプロセスです。ジェイルブレイクされたデバイスでは、 iOS ユーザーは Apple

App Store からでなくてもアプリケーションをインストールできます。ジェイルブレイク

されたデバイスでは、悪意のあるアプリケーションを実行してしまうリスクが高まります。



• [Mobile Security Suite]—iOS 対応 Pulse Mobile Security Suite（MSS）は、リモートワ

イプ、リモートロック、位置特定など、紛失または盗難時の iOS デバイスの保護に役立つ

各機能をサポートしています。 Pulse MSS では、 MSS 管理者が VPN 設定をデバイスに提供

し、その他の使用方法（ロックパスワードの要求やパスワード強度の指定など）を強制す

ることもできます。 Host Checker では、 iOS デバイスに Pulse Mobile Security Suite

がインストールされ、有効化されていることを要求できます。

注: Pulse MSS によるクライアントのチェックは、 Mobile Security Gateway に

よって発行された有効なクライアント証明書の存在に基づいて行われます。その

ため、この Host Checker 項目を設定するには、 MSS が使用する CA を、Pulse

Secure Access サービスの管理コンソールにある [Certificates]（証明書）セク

ションで追加する必要があります。

Host Checker の評価ポリシーは、さまざまな種類のクライアントに適用される大規模な Host

Checker 設定の一部として設定することも、iOS デバイスだけに適用することもできます。

Host Checker の設定の詳細については、以下のトピックを参照してください。

関連項目 176ページのPulse iOS クライアント用 Host Checker の設定•

• 179ページのiOS デバイス対応 Pulse 用 Host Checker ポリシーの実装

Pulse iOS クライアント用 Host Checker の設定


Checker 設定の一部として設定することも、iOS デバイスだけに適用することもできます。

ただし、 iOS デバイス専用に個別の Host Checker ポリシーを作成したほうが容易な場合が

あります。 Host Checker の詳細については、『Junos Pulse Secure Access サービス管理ガ


注: iOS Host Checker のルールとしては、 iOS デバイスが MSS に登録されている

ことを要求する Pulse Mobile Security Suite（MSS）チェックが挙げられます。

このタイプのルールを作成するには、Pulse Mobile Security Gateway （MSG）で設

定された信頼済みの同じクライアント認証機関（CA）を指定する必要があります。

つまり、Pulse Secure Access サービスの管理コンソールにある [Certificates]

（証明書）セクションで事前に CA を定義しておかなければ、このタイプの Host

Checker ルールを作成することはできません。 Pulse Secure Access サービスの

証明書環境の構成に関する詳細については、『Junos Pulse Secure Access サービ


iOS 用の Host Checker ポリシーを作成するには、以下の手順に従います。



2. [Policies]（ポリシー）セクションで [New]（新規）をクリックして、[New Host Checker

Policy]（新規 Host Checker ポリシー）ページを開きます。



3. 新規ポリシーの名前を指定し、[Continue]（続行）をクリックして [Host Checker Policy]

（Host Checker ポリシー）ページを開きます。

ポリシーを実装するとリストに名前が表示されるため、 iOS HC Policy など、わかりやす

い名前を指定してください。

4. [Mobile]（モバイル）タブをクリックして、[iOS] タブをクリックします。

5. [Rule Settings]（ルール設定）セクションで [Select Rule Type]（ルールタイプの選択）

をクリックし、以下のいずれかのオプションを選択して [Add]（追加）をクリックします。

• [OS Checks]（OS チェック）—デバイスにインストールされている必要がある iOS のバー

ジョンを指定するには、以下の手順に従います。

a. このルールのわかりやすい名前を指定します。たとえば、Must-Be-iOS-4.1-or-higher

とします。ルール名にスペースを含めることはできません。

b. 条件を指定します。たとえば、iOS 4.1 以降を強制する場合は、「Equal to 4.1」お

よび「Above 4.1」という 2 つの条件を作成します。

Host Checker は、iOS バージョン 4.1 から 4.3.X をサポートしています。

c. [Save Changes]（変更を保存）をクリックします。

• [Jail Breaking Detection]（ジェイルブレイキング検出）—ジェイルブレイキングとは、

Apple iPhone、iPad、および iPod Touch ユーザーが iOS オペレーティングシステムに

ルートアクセスし、 Apple によって課せられた使用制限やアクセス制限をバイパスで

きるようにするプロセスです。ジェイルブレイクされたデバイスでは、iOS ユーザーは

Apple App Store からでなくてもアプリケーションをインストールできます。ジェイル

ブレイクされたデバイスでは、悪意のあるアプリケーションを実行してしまうリスクが

高まります。

a. このルールのわかりやすい名前を指定します。たとえば、No-iOS-Jailbreak としま

す。

b. デフォルトでは、[Don’t allow Jail Broken devices]（ジェイルブレイクされたデ

バイスを許可しない）チェックボックスが有効になっています。


• [Mobile Security Suite]—iOS 対応 Pulse Mobile Security Suite（MSS）は、リモート

ワイプ、リモートロック、位置特定など、紛失または盗難時の iOS デバイスの保護に

役立つ各機能をサポートしています。 Pulse MSS では、MSS 管理者が VPN 設定をデバ

イスに提供することもできます。 MSS ルールでは、 iOS デバイスに MSS がインストー

ルされ、有効化されていることを要求できます。

a. このルールのわかりやすい名前を指定します。たとえば、iOS-MSS とします。

b. [Criteria]（条件）セクションでは、デフォルトで [Enable Mobile Security Suite

on the device]（デバイスで Mobile Security Suite を有効にする）チェックボッ

クスが有効になっています。

c. [MDM Trusted client CA]（MDM 信頼済みクライアント CA）ボックスをクリックし

て、認証機関を選択します。



MDM （モバイルデバイス管理）を使用することで、モバイルデバイスのリモートか

らの設定および管理が可能になります。 Secure Access Service は、 Mobile Security

Gateway から発行された有効なクライアント証明書の存在によって Pulse MSS への登

録を確認します。そのため、この Host Checker 項目を設定するには、Pulse Mobile

Security Gateway が使用するクライアント認証機関があらかじめわかっている必要

があります。ボックスに一覧表示される認証機関は、Pulse Secure Access サービ

スの管理コンソールの [System]（システム） > [Configuration]（設定）セクション

で定義します。

d. オプションで、追加の条件（証明書フィールドと予期される値）を指定して、[Add]

（追加）をクリックします。

e. [Save Changes]（変更を保存）をクリックします。

6. すべてのルールを設定したら、以下のいずれかのオプションを選択して、ルールをどのよ

うに強制するかを指定します。

• [All of the rules]（すべてのルール）

• [Any of the rules]（任意のルール）

• [Custom]（カスタム）

[Custom]（カスタム）の要件では、ブール演算子や AND および OR を使用したカスタム

の式を使用できます。また、括弧を使用して条件をグループ化したりネストしたりする

こともできます。

7. 以下の修復オプションを指定します。

• [Enable Custom Instructions]（カスタム指示の有効化）—このチェックボックスを有

効にするとテキストボックスが表示され、 Host Checker が問題を検出したときにユー

ザーのデバイスに表示される情報を入力できます。たとえば、Host Checker がウィル

スを検出した場合に VPN セッションを終了する MSS ルールを有効にした場合は、ウィ

ルススキャンを実行して問題を解決してから接続するようにユーザーに指示することが

できます。

• [Send reason strings]（理由文字列の送信）—クライアントマシンが Host Checker ポ

リシーの要件に適合しない理由を説明するメッセージ（理由文字列と呼ばれます）をユー

ザーに対して表示します。たとえば、ジェイルブレイク検出ポリシーに適合しなかった

場合、 Pulse には「A jailbroken device is not allowed to access the network.

Please contact your network administrator.」（ジェイルブレイクされたデバイスによ

るネットワークへのアクセスは許可されていません。ネットワーク管理者にお問い合わせ

ください。）と表示されます。

8. 完了したら、[Save Changes]（変更を保存）をクリックします。


• 179ページのiOS デバイス対応 Pulse 用 Host Checker ポリシーの実装




iOS デバイス対応 Pulse 用 Host Checker ポリシーの実装

iOS デバイス用に 1 つまたは複数の Host Checker を作成したら、それらを実装する必要が

あります。 Pulse Secure Access サービスでは、レルムレベルまたはロールレベルで Host

Checker ポリシーを使用できます。

レルム認証—特定の Host Checker ポリシーを持つ Host Checker をダウンロードおよび実行す

るレルム認証ポリシーを設定できます。 iOS デバイスが Host Checker の要件を満たしてい

ない場合、Pulse Secure Access サービスがアクセスを拒否する場合があります。 Host Checker

ポリシーには、要件を説明する修復情報を入力しておき、ユーザーによる問題の解決に役立て

ることができます。

レルムに対して Host Checker ポリシーを有効化するには、以下の手順に従います。

1. 管理コンソールで、[Users]（ユーザー） > [User Realms]（ユーザーのレルム） > [Select

Realm]（レルムの選択） > [Authentication Policy]（認証ポリシー） > [Host Checker]

を選択します。 [Host Checker] ページに、使用可能なすべての Host Checker ポリシーが


2. 適用する各ポリシー横のチェックボックスを選択します。ポリシーの横にある、以下のい

ずれかまたは両方のチェックボックスを選択します。

• [Evaluate Policies]（ポリシーの評価）—iOS デバイスにポリシーを強制せずに評価を

実行し、アクセスを許可します。

• [Require and Enforce]（必須および強制）—iOS デバイスが Host Checker ポリシーに準

拠していることを強制します。ユーザーが認証されると、そのユーザーがシステムのロー

ルにマップされる前に、 Pulse Secure Access サービスが iOS デバイスに Host Checker

をダウンロードします。このオプションを選択すると、自動的に [Evaluate Policies]

（ポリシーの評価）オプションが有効になります。

3. オプションで、[Allow access to realm if any ONE of the selected “Require and

Enforce” policies is passed]（選択したいずれかの [Require and Enforce]（必須およ

び強制）ポリシーに適合した場合はレルムへのアクセスを許可する）を選択します。複数

の Host Checker ポリシーを選択した場合は、このチェックボックスを使用できるように

なります。このチェックボックスを有効にすると、いずれかの [Require and Enforce]

（必須および強制）ポリシーに適合した場合は iOS デバイスのアクセスが許可されます。

キャッシュクリーナーポリシーは、iOS デバイスには適用されません。


ロール—特定の Host Checker ポリシーを持つ Host Checker をダウンロードおよび実行する

ロールを設定できます。 iOS デバイスが Host Checker の要件を満たしていない場合、 Secure

Access がアクセスを拒否したり、制限されたアクセスを持つ修復ロールにユーザーを割り当

てたりする場合があります。 Host Checker ポリシーには修復情報を入力しておき、ユーザー

による問題の解決に役立てることができます。



ロールに対して Host Checker ポリシーを有効化するには、以下の手順に従います。

1. 管理コンソールで、[Users]（ユーザー） > [User Roles]（ユーザーロール） > [Select

Role]（ロールの選択） > [General]（一般） > [Restrictions]（制限） > [Host Checker]





ザーを許可する）を選択します。

3. [Available Policies]（使用可能なポリシー）リストで、ロールに適用するポリシーを選

択し、[Add]（追加）をクリックして [Selected Policies] （選択されたポリシー）リスト

に移動します。ポリシーを選択するには、目的のポリシーをクリックします。複数のポリ

シーを選択する場合は、Ctrl を押しながらクリックします。






（必須および強制）ポリシーに適合した場合は iOS デバイスのアクセスが許可されます。

キャッシュクリーナーポリシーは、iOS デバイスには適用されません。


注: Host Checker の詳細については、『Junos Pulse Secure Access サービス管理



• 176ページのPulse iOS クライアント用 Host Checker の設定

Junos Pulse VPN App のインストール

Pulse Secure Access サービスに接続する各 iOS デバイスについて、以下の設定を実行しま

す。

1. Junos Pulse App を iTunes App Store からダウンロードします。

2. iOS デバイスで、Junos Pulse を起動します。

3. メインステータスページの [Configuration]（設定）項目をタップして、Pulse の設定

を表示します。

4. モバイルデバイスのサインイン URL として定義した URL で新しい設定を作成します。

また、必要に応じて証明書設定を構成します。



注: iPhone ユーザーが初めて Pulse を起動するとセキュリティ警告が表示され、

Pulse SSL VPN 機能を有効にするよう要求されます。このセキュリティ対策は、悪

意のある VPN ソフトウェアのサイレントインストールを阻止するのに役立ちま

す。ユーザーが Pulse ソフトウェアの受入れを拒否すると、デバイスのホーム

ボタンが押されるまで、Pulse スプラッシュ画面が表示されます。ユーザーが Pulse

ソフトウェアを受け入れると、Pulse の起動時にセキュリティ警告が表示されなく

なります。

注: 証明書認証の場合は、Pulse Secure Access サービス SSL 証明書が CA から発

行されている必要があります。この証明書は自己署名できません。 CA が iOS デ

バイス上の信頼された CA でない場合は、 CA 証明書を iOS デバイスにインポート

する必要があります。また、 Pulse Secure Access サービスが IP アドレスでは

なくホスト名を使用してアクセスされ、そのホスト名が Pulse Secure Access サー

ビス SSL 証明書の Common Name（共通名）と一致している必要があります。

注: Pulse iOS App は、Junos Pulse Mobile Security Suite（MSS）R3.0 以降もサ

ポートしています。 Pulse Mobile Security Gateway を使用することで、セキュリ

ティ管理者は Pulse 接続などの設定を定義し、デバイスがゲートウェイに登録さ

れたら、そのデバイスに設定をダウンロードするように定義できます。詳細につ

いては、『Junos Pulse Mobile Security Gateway 管理ガイド』を参照してくださ

い。

構成プロファイルの使用

ユーザーに手動で Pulse VPN 設定を作成するように指示する代わりに、構成プロファイルを

使用して iOS デバイスの Pulse 設定を定義し、構成プロファイルを E メールまたは Web

ページに掲載することで配布できます。ユーザーが E メールの添付書類を開くか、 iOS デ

バイスで Safari を使用してプロファイルをダウンロードすると、インストールプロセスを

開始するように指示されます。

iPhone 構成ユーティリティを使用して構成プロファイルを作成し、 VPN ペイロードの接続タ

イプとして Juniper SSL を指定します。 iPhone 構成ユーティリティ（3.0 以降）は、 Apple

のサポート Web ページからダウンロードすることができます。構成プロファイルを作成する

方法とユーティリティの詳細については、www.apple.com から入手できる『iPhone OS エン

タープライズ配備ガイド』を参照してください。

注: Pulse iOS App は、Junos Pulse Mobile Security Suite（MSS）R3.0 以降もサ

ポートしています。 Pulse Mobile Security Gateway を使用することで、セキュリ

ティ管理者は Pulse 接続などの設定をプロファイル内で定義し、デバイスがゲー

トウェイに登録すると、そのデバイスにそれらの設定がダウンロードされ、登録後

はデバイスがサーバーを定期的にチェックして、それらの設定が更新されるように

構成できます。詳細については、『Junos Pulse Mobile Security Gateway 管理ガ




www.apple.com

ログファイルの収集

iOS デバイスユーザーは、以下の手順で Junos Pulse のログファイルを E メールで送信し

ます。

1. iOS デバイスで、Junos Pulse App を起動します。

2. [Status]（ステータス）をタップします。

3. [Logs]（ログ） > [Send Logs]（ログの送信）をタップします。

4. E メールアドレスを入力して、[Send]（送信）をタップします。

コマンドを使用した iOS 対応 Pulse App の起動

Pulse Launcher は、デバイスユーザーが iOS 対応 Junos Pulse App をインストールしたと

きに iOS に登録されるコマンドです。 Pulse Launcher は、 Pulse を起動（または停止）し

ます。このコマンドでは、すべてのログインパラメータを指定できます。

Pulse Launcher は、Web ページや外部アプリケーションで使用できます。たとえば、VPN 接

続を必要とする外部アプリケーションは、Pulse Launcher を使用して Pulse を起動できます。

このアプリケーションが適切なパスコードを生成するか、適切なパスコードにアクセスする

と、Pulse は、ユーザーからの入力なしで VPN 接続を開始および確立します。 iOS デバイス

ユーザーが Pulse Secure Access サーバーの Web ポータルにアクセスすると表示されるデフォ

ルトのページには、 182ページの図16 に示すように、Pulse を起動する VPN リンクが用意され

ています。 iOS デバイスユーザーは、 Pulse Secure Access サービスの Web ポータルにロ

グインして VPN リンクをクリックすることで、 Mobile Safari から Pulse を起動することが

できます。

Mobile Safari で VPN リンクをタップすると Pulse App が起動します（まだ起動されていな

い場合）。 iOS デバイスに Pulse がインストールされていない場合は、エラーが発生しま

す。次の手順は、現在の Pulse の接続ステータスと設定によって異なります。以下のいずれ

かが発生します。

• Pulse から Pulse Secure Access サーバーへの接続がアクティブでない場合は、既存の設

定を使用して Pulse サーバーへの VPN 接続を確立します。

• Pulse の接続がアクティブで、ターゲット Pulse サーバーに対する設定がない場合は、 [Add

Configuration]（設定の追加）画面が開かれます。ターゲット URL はすでに定義されてい

ます。ユーザーは、接続名を指定するだけでかまいません。

• Pulse App がすでに Pulse サーバーに接続されている場合は、 Pulse App が前面に表示さ

れます。

Web ページまたは外部アプリケーションに Pulse Launcher に配備するには、以下の形式でリ

ンクを指定します。

junospulse://<server-host>/<server-path>?method={vpn}&action={start|stop}

&DSID=<dsid-cookie>&SMSESSION=<smsession-cookie>&username=<username>

&password=<password>&realm=<realm>&role=<role>



使用に関する注意事項:

• Junos Pulse App で VPN 設定を作成するときに、ユーザーがユーザー名、レルム、および

ロールを指定している場合、それらの値は Web ベースログインのログインページで、ユー

ザー名、レルム、およびロールを自動入力するために使用されます。ログイン時にすべて

のフィールドが、VPN 設定の各フィールドまたは junospulse:// 起動 URL から正しく自

動入力された場合は、ユーザーの入力なしでログインが進行します。

• Pulse App は、VPN 設定の [Password]（パスワード）フィールドにパスワードを保存しま

せん。また、Pulse App は、iPhone 構成ユーティリティまたは Junos Pulse Mobile

Security Suite によってインストールされた VPN 設定の [Password] （パスワード）フィー

ルドを使用しません。 Junos Pulse が使用するのは、junospulse:// URL で指定されたパ

スワードだけです。

• ユーザーがログイン時に手動でユーザー名、レルム、またはロールを指定すると、それらの

値は VPN 設定に保存され、次回ユーザーがサインインするときに自動的に入力されます。

ユーザーが入力したパスワードは、VPN 設定に保存されません。

• VPN 設定の [Realm]（レルム）フィールドおよび [Role]（ロール）フィールドの形式は、

Apple iOS 4.2 以降でサポートされています。 iOS 4.1 が動作する iOS デバイスで Pulse

App を実行した場合、Junos Pulse の [Add/Edit]（追加/編集）設定ビューに [Realm]（レ

ルム）フィールドおよび [Role]（ロール）フィールドは表示されません。

関連項目 • 165ページのモバイルデバイス対応 Junos Pulse の概要

• 169ページのApple iOS 対応 Junos Pulse の概要





第11章

Google Android 対応 Junos Pulse

• Android 対応 Junos Pulse の概要 185ページ

• Android 対応 Pulse のロールおよびレルムの設定 186ページ

• Android ユーザーによる Web メールパスワードの保存の許可 188ページ

• Pulse Android クライアント用 Host Checker 188ページ

• Pulse Android クライアント用 Host Checker の設定 189ページ

• Android デバイス対応 Pulse 用 Host Checker ポリシーの実装 192ページ

• Android 対応 Junos Pulse のエラーメッセージ 193ページ

Android 対応 Junos Pulse の概要

Junos Pulse は、Google Android を実行しているデバイスと Pulse Secure Access サービス

の間で、認証された SSL セッションを作成することができます。 Junos Pulse は、 ID、レル

ム、ロールに基づき、Web ベースのアプリケーションやデータに安全に接続することができま

す。 Junos Pulse は、Android Market からダウンロードできます。『Junos Pulse Mobile

Supported Platforms Guide』は、http://www.juniper.net/support/products/pulse/mobile/ か

ら入手できます。このガイドには、Pulse でサポートされているモバイルデバイス OS と、

各モバイルデバイス OS でサポートされているセキュリティ機能が示されています。

注: Google Android OS には、証明書ベースの認証のサポートに制限があります。

証明書認証を成功させるには、ユーザー証明書と秘密鍵が別のファイルでなければ

なりません。必要な場合は、Android デバイスに証明書および鍵をインストール

する前に、openssl コマンドを使用することで、秘密鍵を証明書とは別に保存する

ことができます。 Android で Junos Pulse 対応の証明書認証を成功させるための

証明書および鍵の作成方法に関する詳細については、Juniper Networks

Knowledgebase の KB19692 を参照してください。

注: 接続先のサーバーにかかわらず、ユーザーに対して Pulse クライアント UI

で一貫したブックマークを表示するためには、ユーザーレコードの同期を設定して

有効にする必要があります。これは、Pulse Secure Access サービスプラットフォー

ムの機能です。ユーザーレコードの同期の設定については、『Junos Pulse




http://kb.juniper.net/InfoCenter/index?page=content&id=KB19692

Android 対応 Pulse のロールおよびレルムの設定

Android デバイスから Pulse Secure Access サービスへのアクセスを有効化するには、Pulse

管理者は、特定のレルム設定およびロール設定を Pulse サーバーで構成する必要があります。

Android デバイスのアクセスに対して Pulse Secure Access サービスを設定するには、以下




す。




4. [Access Features]（アクセス機能）セクションで [Web] を選択します。


せます。



Android 対応 Pulse のユーザーインターフェースで表示されるボタンを有効にするには、

ブックマークを作成する必要があります。通常は、企業のイントラネットおよび Web E

メール用のブックマークを作成します。 Android デバイスの Pulse インターフェースで E

メールボタンを有効化するには、E メールブックマークを作成する必要があります。ま

た、その E メールブックマークには、Mobile Webmail という名前を付けなければなりま

せん。







7. デフォルトのセッションタイムアウトを変更するには、[General]（一般） > [Session










11.レルムの [Authentication Policy]（認証ポリシー）タブで [Host Checker] をクリック

し、オプションの Pulse Mobile Security チェックを有効にして、モバイルデバイスの

ユーザーが Pulse Mobile Security ソフトウェアをインストールして有効化していること


第11章: Google Android 対応 Junos Pulse

を必須にします。詳細については、 210ページの「「Junos Pulse Mobile Security の概

要」」を参照してください。

12.レルムの [Role Mapping]（ロールのマッピング）タブで、この手順の前半で作成した

Android のロールにすべてのユーザーをマップする新しいルールを作成します。

関連項目 188ページのPulse Android クライアント用 Host Checker•


• 188ページのAndroid ユーザーによる Web メールパスワードの保存の許可

Android ユーザーによる Web メールパスワードの保存の許可

Android ユーザー用ロールの Web ブックマークを使用することで、 Android ユーザーは Web

リンク経由で E メールにアクセスすることができます。 Android 対応 Pulse アプリケーショ

ンのユーザーには、 E メールシステムへのログイン時に E メールのパスワードを保存するよ

うに許可できます。 Android ユーザーが使用するロールの Mobile Webmail ブックマークを作

成したら、以下の手順に従って、E メールのパスワードを保存するオプションを有効にしま

す。

1. Android ユーザー用に作成したロールを開きます。

2. [General]（一般） > [Session Options]（セッションオプション）をクリックします。

3. [Persistent Password Caching]（永続的なパスワードキャッシュ）というセクションで、

[Enabled]（有効化）を選択します。


関連項目 186ページのAndroid 対応 Pulse のロールおよびレルムの設定•

• 188ページのPulse Android クライアント用 Host Checker

Pulse Android クライアント用 Host Checker

Host Checker は、Pulse Secure Access サービスへの接続を試行する Android エンドポイン

トの完全性を報告する Junos Pulse のコンポーネントです。エンドポイントでは、Host

Checker は Trusted Network Connect（TNC）クライアントとして動作します。このクライア

ントは、事前定義された条件に従ってエンドポイントを評価し、 Pulse Secure Access サービ

スの一部として機能する Trusted Network Connect サーバーに報告します。エンドポイント

が Host Checker ポリシーに準拠していない場合、ユーザーはネットワークにアクセスできな

い、またはネットワークへのアクセスが制限される場合があります。この制限は、管理者が設

定した強制ポリシーによって異なります。

Android クライアントについて、Host Checker は、以下の事前定義された条件に基づいてク

ライアントの準拠性を評価できます。

• [OS Checks]（OS チェック）—デバイスにインストールされている必要がある iOS のバージョ

ンまたは最小バージョンを指定できます。



• [Root Detection]（ルート検出）—ルーティングとは、 Android ユーザーがオペレーティン

グシステムへのルートアクセスを取得し、デバイスの製造元やキャリアによって課せられ

た使用制限やアクセス制限をバイパスできるようにするプロセスです。ルートが取得された

デバイスでは、デバイスの製造元やアプリケーションストアのプロセスから提供されてい

ないアプリケーションや、承認されていないアプリケーションをインストールできるように

なります。ルートが取得されたデバイスでは、悪意のあるアプリケーションを実行してし

まうリスクが高まります。 Host Checker は、ルートが取得されたデバイスを検出し、Host

Checker の強制ポリシーに基づいてネットワークアクセスを許可または拒否できます。

• [Mobile Security Suite]—Android 対応 Pulse Mobile Security Suite（MSS）は、リモート

ワイプ、リモートロック、位置特定など、紛失または盗難時のデバイスの保護に役立つ各

機能をサポートしています。 Host Checker では、 Android デバイスに Pulse Mobile

Security Suite がインストールされ、有効化されていることを要求できます。 Pulse MSS

は、Mobile Security Gateway から発行された有効なクライアント証明書の存在によって検

出されます。そのため、この Host Checker 項目を設定するには、Pulse Mobile Security

Gateway が使用するクライアント認証機関があらかじめわかっている必要があります。

注: Junos Pulse Secure Access サービスソフトウェアリリース 7.1 （IVE OS

7.1R1）では、この機能の実装方法が変更されており、後続のリリースにも引き

継がれています。それより前の実装では、レルム認証ポリシーの Host Checker

コンポーネントの一部として Mobile Security チェックを有効化できます。

Mobile Security Suite チェックの以前の実装方法は現在も使用できますが、レ

ルム認証方式ではなく、Host Checker ポリシーを導入することをお勧めします。

2 つの方法には互換性があるため、両方とも有効化することができます。ただ

し、1 つのタスクを完了するために Pulse Secure Access サービスが 2 種類の

チェックを実行することになるため、両方の方法を有効化することはお勧めしま

せん。


Checker 設定の一部として設定することも、Android デバイスだけに適用することもできま

す。 Host Checker の設定に関する詳細については、『Junos Pulse Secure Access サービス


関連項目 189ページのPulse Android クライアント用 Host Checker の設定•

• 192ページのAndroid デバイス対応 Pulse 用 Host Checker ポリシーの実装


Pulse Android クライアント用 Host Checker の設定


Checker 設定の一部として設定することも、Android デバイスだけに適用することもできま

す。 Host Checker の詳細については、『Junos Pulse Secure Access サービス管理ガイド』

を参照してください。



Android 用の Host Checker ポリシーを作成するには、以下の手順に従います。







ポリシーを実装するとリストに名前が表示されるため、 Android HC Policy など、わかり

やすい名前を指定してください。

4. [Mobile]（モバイル）タブをクリックして、[Android] タブをクリックします。



• [OS Checks]（OS チェック）—デバイスにインストールされている必要がある iOS のバー

ジョンを指定するには、以下の手順に従います。

a. このルールのわかりやすい名前を指定します。たとえば、

Must-Be-Android-2-2-or-higher とします。ルール名にスペースを含めることはで

きません。

b. 条件を指定します。たとえば、Android 2.2 以降を強制する場合は、「Equal to

2.2」および「Above 2.2」という 2 つの条件を作成します。

Host Checker は、Android バージョン 1.6 から 3.1 をサポートしています。


• [Rooting Detection]（ルーティング検出）—ルーティングとは、 Android ユーザーがオ

ペレーティングシステムへのルートアクセスを取得し、製造元やキャリアによって課

せられた使用制限やアクセス制限をバイパスできるようにするプロセスです。ルートが

取得されたデバイスでは、Android ユーザーは、アプリケーションストアのプロセスで

承認されていないアプリケーションをインストールできます。ルートが取得されたデバ

イスでは、悪意のあるアプリケーションを実行してしまうリスクが高まります。

a. このルールのわかりやすい名前を指定します。たとえば、No-Android-root としま

す。

b. デフォルトでは、[Don’t allow rooted devices]（ルートが取得されたデバイスを許

可しない）チェックボックスが有効になっています。


• [Mobile Security Suite]—Android 対応 PulseMobile Security Suite（MSS）は、ウィル

スやマルウェアからデバイスを保護し、紛失または盗難時にデバイスを保護するのに役

立つ各機能をサポートしています。



a. このルールのわかりやすい名前を指定します。たとえば、Android-MSS とします。

b. [Criteria]（条件）セクションでは、デフォルトで [Enforce Mobile Security Suite

on the device]（デバイスで Mobile Security Suite を強制する）チェックボック

スが有効になっています。

c. [Terminate the user session if a threat/virus is found]（脅威/ウィルスが検出

された場合はユーザーセッションを終了する）ボックスをクリックし、 Host Checker

がデバイスでウィルスやマルウェアを検出した場合は、Pulse サーバーが VPN セッ

ションを終了するようにします。ユーザーには、デバイスに対して Pulse Mobile

Security Suite のウィルススキャンを実行し、VPN 接続の確立を試行する前に脅威

を取り除くように指示が表示されます。 Host Checker ポリシーを使用することで、

カスタムの指示を有効化し、Host Checker がデバイスで問題を検出したときに表示さ

れるユーザーへの指示を提供することができます。

d. [Save Changes]（変更を保存）をクリックしてルールを保存し、 [Host Checker Policy]








の式を使用できます。また、括弧を使用して条件をグループ化したりネストしたりでき

ます。







できます。

• [Send reason strings]（理由文字列の送信）—Host Checker または整合性測定検証（IMV）

から返され、クライアントマシンが Host Checker ポリシーの要件に適合しない理由

を説明するメッセージ（理由文字列と呼ばれます）をユーザーに対して表示します。た

とえば、ルーティング検出ポリシーに適合しなかった場合、Pulse には「A rooted device

is not allowed to access the network. Please contact your network administrator.」

（ルートが取得されたデバイスによるネットワークへのアクセスは許可されていません。

ネットワーク管理者にお問い合わせください。）と表示されます。



• 192ページのAndroid デバイス対応 Pulse 用 Host Checker ポリシーの実装




Android デバイス対応 Pulse 用 Host Checker ポリシーの実装

Android デバイス用に 1 つまたは複数の Host Checker を作成したら、それらを実装する必要

があります。 Pulse Secure Access サービスでは、レルムレベルまたはロールレベルで

Host Checker ポリシーを使用できます。

レルム認証—特定の Host Checker ポリシーを持つ Host Checker をダウンロードおよび実行す

るレルム認証ポリシーを設定できます。 Android デバイスが Host Checker の要件を満たし

ていない場合、Pulse Secure Access サービスがアクセスを拒否する場合があります。 Host

Checker ポリシーには、要件を説明する修復情報を入力しておき、ユーザーによる問題の解決

に役立てることができます。

レルムに対して Host Checker ポリシーを有効化するには、以下の手順に従います。

1. 管理コンソールで、[Users]（ユーザー） > [User Realms]（ユーザーのレルム） > [Select

Realm]（レルムの選択） > [Authentication Policy]（認証ポリシー） > [Host Checker]



2. 適用する各ポリシー横のチェックボックスを選択します。ポリシーの横にある、以下のい

ずれかまたは両方のチェックボックスを選択します。

• [Evaluate Policies]（ポリシーの評価）—Android デバイスにポリシーを強制せずに評

価を実行し、アクセスを許可します。

• [Require and Enforce]（必須および強制）—Android デバイスが Host Checker ポリシー

に準拠していることを強制します。ユーザーが認証されると、そのユーザーがシステム

のロールにマップされる前に、 Pulse Secure Access サービスが Android デバイスに

Host Checker をダウンロードします。このオプションを選択すると、自動的に [Evaluate

Policies] （ポリシーの評価）オプションが有効になります。






（必須および強制）ポリシーに適合した場合は Android デバイスのアクセスが許可されま

す。キャッシュクリーナーポリシーは、Android デバイスには適用されません。


ロール—特定の Host Checker ポリシーを持つ Host Checker をダウンロードおよび実行する

ロールを設定できます。 Android デバイスが Host Checker の要件を満たしていない場合、

Secure Access がアクセスを拒否したり、制限されたアクセスを持つ修復ロールにユーザーを

割り当てたりする場合があります。 Host Checker ポリシーには修復情報を入力しておき、

ユーザーによる問題の解決に役立てることができます。



ロールに対して Host Checker ポリシーを有効化するには、以下の手順に従います。

1. 管理コンソールで、[Users]（ユーザー） > [User Roles]（ユーザーロール） > [Select

Role]（ロールの選択） > [General]（一般） > [Restrictions]（制限） > [Host Checker]





ザーを許可する）を選択します。

3. [Available Policies]（使用可能なポリシー）リストで、ロールに適用するポリシーを選

択し、[Add]（追加）をクリックして [Selected Policies] （選択されたポリシー）リスト

に移動します。ポリシーを選択するには、目的のポリシーをクリックします。複数のポリ

シーを選択する場合は、Ctrl を押しながらクリックします。






（必須および強制）ポリシーに適合した場合は Android デバイスのアクセスが許可されま

す。キャッシュクリーナーポリシーは、Android デバイスには適用されません。


注: Host Checker の詳細については、『Junos Pulse Secure Access サービス管理



• 189ページのPulse Android クライアント用 Host Checker の設定

Android 対応 Junos Pulse のエラーメッセージ

以下に示す Android 対応 Junos Pulse のエラーメッセージの要約情報は、発生する可能性

がある問題について説明し、該当する場合は解決策を示したものです。

Android 対応 Junos Pulse の VPN エラーメッセージ

無効な証明書エラー

メッセージ

The certificate for this server is invalid. Tap Accept to connect to this server anyway.

（このサーバーの証明書が無効です。それでも接続する場合は、[Accept]（受け入れる）をタッ

プしてください。）



発生する状況

• Pulse ユーザーが [Connect]（接続）をクリックしましたが、 Pulse サーバーから受信し

た、そのページのサーバー証明書が無効です。

ユーザーは、以下のいずれかのアクションを実行できます。

• [View Certificate]（証明書の表示）をクリックして、証明書を確認します。

• [Accept]（受け入れる）をクリックして、URL を開きます。

• [Decline]（拒否する）をクリックします。これにより、接続の試行が終了します。

セッションの切断エラー

メッセージ

Session disconnected due to invalid certificate.（無効な証明書が原因でセッションが切

断されました。）

発生する状況

• Pulse クライアントが Pulse サーバーからセッション情報をダウンロードしましたが、サー

バーから受信した証明書が、保存されているセッション証明書と一致しません。

• E メールまたはイントラネットへのアクセス時に Pulse サーバーから受信した証明書が、

以前に保存されたセッション証明書と一致しません。

ユーザーは、以下のアクションを実行できます。

• [Alert]（アラート）ダイアログの [Close]（閉じる）ボタンをクリックして、ホーム画面

に戻ります。ユーザーは、接続を再試行できます。

VPN 未サポートエラー

メッセージ

Pulse クライアントのステータス画面で、VPN ステータスが「Not Supported」（サポートさ

れていません）と表示されます。

発生する状況

• デバイスが、VPN をサポートしていません。


• [Alert]（アラート）ダイアログの [Close]（閉じる）ボタンをクリックして、ホーム画面

に戻ります。ユーザーは、接続を再試行できます。

サインインエラー

メッセージ

Failed to connect to the server!（サーバーへの接続に失敗しました。）



発生する状況

• サインインプロセスに失敗しました。


• ネットワーク接続（Wi-Fi、3G など）を確認してから接続を再試行します。

データベース操作エラー

メッセージ

Failed to process the HTML information from the server!（サーバーからの HTML 情報の処

理に失敗しました。）

発生する状況

• サインインプロセス中に、SQLite データベースの操作エラーが発生しました。


• 操作を再試行します。

セッション終了エラー

メッセージ

Your session was terminated. Please connect again.（セッションが終了しています。再度

接続してください。）

発生する状況

• イントラネットおよび E メールページへのアクセス時に、無効な URL が使用されました。


• Pulse サーバーに再接続します。

Host Checker エラー

メッセージ

Compliance Check couldn't be completed. Please try after some time.（準拠チェックを完

了できませんでした。しばらくしてから試行してください。）

発生する状況

• サインインプロセス時に、Host Checker の準拠チェックを完了できませんでした。


• ユーザーはホーム画面に戻ります。接続を再試行する必要があります。





第12章

Nokia Symbian デバイス対応 Junos Pulse

• Symbian 対応 Junos Pulse 197ページ

Symbian 対応 Junos Pulse

Junos Pulse は、Nokia Symbian を実行するデバイスと Pulse Secure Access サービスの間

で、認証されたセッションを作成することができます。 Symbian デバイス対応 Junos Pulse

は、IKEv2（インターネット鍵交換）を使用して、IPsec プロトコルスイートでセキュリティ

アソシエーションを設定します。 Junos Pulse は、 ID、レルム、ロールに基づき、Web ベー

スのアプリケーションやデータに安全に接続することができます。 Junos Pulse は、Nokia

Ovi Store からダウンロードできます。





Nokia Symbian は IKEv2 認証に依存し、証明書を必要とします。ここで説明する手順を開始

する前に、以下の証明書設定手順が完了していることを確認してください。

• 有効なデバイス証明書を Secure Access サーバーにインポートします。

[Configuration]（設定） > [Certificates]（証明書） > [Device Certificate]（デバイス

証明書）

• 信頼されたクライアント CA 証明書をインポートします。

[Configuration]（設定） > [Certificates]（証明書） > [Trusted Client CAs] （信頼さ

れたクライアント CA）

• 信頼されたサーバー証明書をインポートします。

[Configuration]（設定） > [Certificates]（証明書） > [Trusted Server CA] （信頼され

たサーバー CA）

• IKEv2 で動作する有効な NC プロファイルを設定します。

証明書管理の詳細については、『Junos Pulse Secure Access サービス管理ガイド』を参照し

てください。



Symbian デバイス上の Junos Pulse に対する Pulse Secure Access サービスの設定

Symbian デバイスから Pulse Secure Access サービスへのアクセスを有効化するには、デバ

イスユーザーが Junos Pulse アプリケーションをダウンロードおよびインストールし、Pulse

管理者が Pulse サーバーで特定のレルムおよびロールの設定を構成する必要があります。

Symbian デバイスのアクセスに対して Pulse Secure Access サービスを設定するには、以下




す。




4. [New Role]（新規ロール）ページの [Access Features]（アクセス機能）セクションで

[IKEv2] チェックボックスを選択します。


せます。



Android 対応 Pulse のユーザーインターフェースで表示されるボタンを有効にするには、

ブックマークを作成する必要があります。通常は、企業のイントラネットおよび Web E

メール用のブックマークを作成します。 Android デバイスの Pulse インターフェースで E

メールボタンを有効化するには、E メールブックマークを作成する必要があります。ま

た、その E メールブックマークには、Mobile Webmail という名前を付けなければなりま

せん。







注: 接続先のサーバーにかかわらず、ユーザーに対して Pulse クライアント

UI で一貫したブックマークを表示するためには、ユーザーレコードの同期を設

定して有効にする必要があります。これは、Pulse Secure Access サービスプ

ラットフォームの機能です。ユーザーレコードの同期の設定については、


7. デフォルトのセッションタイムアウトを変更するには、[General]（一般） > [Session









第12章: Nokia Symbian デバイス対応 Junos Pulse

10.名前を入力し、オプションで説明を入力します。次に、[Save Changes]（変更を保存）を

クリックしてレルムを作成し、レルムオプションタブを表示します。


し、オプションの Pulse Mobile Security チェック以外のすべての Host Checker ポリ

シーが無効にされていることを確認します。

モバイルデバイスユーザーに対して、Pulse Mobile Security ソフトウェアをインストー

ルし、有効にすることを要求できます。詳細については、 210ページの「「Junos Pulse

Mobile Security の概要」」を参照してください。

12.レルムの [Role Mapping]（ロールのマッピング）タブで、この操作の前半で作成した

Symbian デバイスのロールにすべてのユーザーをマップする新しいルールを作成します。

関連項目 • 210ページのJunos Pulse Mobile Security の概要



第13章

Windows Mobile デバイス対応 Junos Pulse

• Windows Mobile 対応 Junos Pulse 201ページ

• Windows Mobile エンドポイントに対する Pulse Secure Access サービスの設定 203ページ

• Windows Mobile クライアント用 Host Checker の設定 208ページ

• Junos Pulse Mobile Security の概要 210ページ

Windows Mobile 対応 Junos Pulse

Junos Pulse は、セキュアアプリケーションマネージャ（SAM）をサポートしています。 SAM

は、ネットワークサブネットの代わりにアプリケーション名と宛先を使用したリモートアク

セスを提供します。 SAM では、エンドポイントでの仮想アダプタや仮想 IP アドレスを必要

としないため、SAM 接続は安全です。 SAM は、VPN トンネルをプロビジョニングすることな

く、クライアント/サーバーアプリケーションとシンクライアントソリューションにアクセ

スを提供します。

Junos Pulse は、 Windows Mobile オペレーティングシステムを実行するモバイルエンドポ

イントのクライアントアプリケーションから企業サーバーへの、安全なアプリケーションレ

ベルのリモートアクセスを提供します。 Lotus Notes、 Microsoft Outlook、Citrix、

ActiveSync、アプリケーションサーバーなど、個々のクライアント/サーバーアプリケーショ

ンへの安全なアクセスの提供が可能です。

注: Windows Mobile 対応 Junos Pulse は、 Juniper Web からダウンロードできま

す。

Pulse リリース 1.0、2.0、3.0 と Pulse SAM の接続性

SAM クライアントソフトウェアは、さまざまな環境に対応できるように改善されてきました。

202ページの表13 は、Pulse/SAM クライアントソフトウェアのバージョンごとの変化を示した

ものです。


http://www.juniper.net/support/products/pulse/mobile/#sw

表13: Pulse/SAM クライアントの各バージョンの概要

注記説明



Pulse/SAM のバー

ジョン

Host Checker をサポートしています。Pulse Secure Access

サーバーからインス

トールされる WSAM ク

ライアント。

Windows Mobile

Windows XP

Windows Vista

Windows 7

Pulse R1.0

SSL/VPN ソフト

ウェア R7.0 およ

び R7.1 に付属

Pulse R1.0 がインストール済みの Windows Mobile デバイ

スに Pulse 2.0 モバイルクライアントをインストールする

と、新しいクライアントのインストール前に古いクライア

ントの存在が検出され、削除されます。また、Host Checker

も検出および削除されます。 Host Checker はサポートされ

ていません。

Windows Mobile デバイスに Windows Mobile 対応 Pulse

R2.0 をインストールした場合、Pulse R1.0 が有効になっ

ているレルムにはブラウザを使用してサインインしないで

ください。 Pulse R1.0 は、Windows Mobile 対応 Pulse

R2.0 がインストールされているかどうかを検出できないた

め、Pulse R1.0 をインストールするように要求されます。

注: Windows Mobile デバイスに Pulse R2.0 がインストー

ルされている場合、Host Checker が有効化されているロー

ルにユーザーが接続すると、 Host Checker をインストール

するように要求されます。ただし、ユーザーがインストー

ルを許可しても何も起こりません。このような状況を避け

るため、 Windows Mobile 対応 Pulse R2.0 用に、専用の

ロールを作成してください。

Windows Mobile 対応 Pulse 2.0 は、オプションの Pulse

Mobile Security Suite をサポートしています。

juniper.net からダウ

ンロード可能な

Windows Mobile 対応

Pulse。

Windows Mobile（6.0、

6.1、6.5）

注: Junos Pulse R2.0

は、タッチベースの

Windows Mobile デバイ

スだけでサポートされ

ています。

Pulse R2.0

Host Checker をサポートしています。

注: ユーザーがモバイルデバイスでブラウザを使用して

Pulse サーバーの Web ポータルに接続する場合、Host

Checker はサポートされません。

Pulse R3.0 には、ネイ

ティブな Pulse 接続方

法として SAM 機能が

用意されています。

Windows XP

Windows Vista

Windows 7

Pulse R3.0

Pulse Secure

Access サービス

ソフトウェア R7.2

に付属




されている Pulse Mobile Security Suite の各機能が示されています。

注: Pulse Secure Access サービスは、Java ベースの SAM クライアント（JSAM）

もサポートしています。 JSAM クライアントは、Pulse Secure Access サーバーか

ら Java をサポートする任意のエンドポイントに配備できます。 JSAM の詳細につ

いては、『Junos Pulse Secure Access サービス管理ガイド』を参照してくださ

い。




Windows Mobile エンドポイントに対する Pulse Secure Access サービスの設定

このセクションでは、Windows Mobile エンドポイント対応 Pulse をサポートするように Junos

Pulse Secure Access サービスを設定する方法について説明します。

SAM を有効化し、Windows Mobile エンドポイントのロールを設定するには、以下の手順に従

います。

1. Pulse Secure Access サービスの管理コンソールにログインします。


す。





[Secure Application Manager]（セキュアアプリケーションマネージャ）チェックボッ

クスを選択して、 [Windows version]（Windows バージョン）を選択します。

注: [Options]（オプション）セクションでは、Junos Pulse を有効化しないで

ください。 Windows バージョンの Junos Pulse およびセキュアアプリケーショ

ンマネージャを選択すると、WindowsXP、Vista、および Windows 7 で使用さ

れる Pulse/SAM アクセス方式が有効化されます。 Windows Mobile クライアン

ト対応 Pulse のロールを有効化するには、 [Junos Pulse] チェックボックス

をオフのままにしておく必要があります。


せます。



Windows Mobile 対応 Pulse のユーザーインターフェースで表示されるボタンを有効にす

るには、ブックマークを作成する必要があります。通常は、企業のイントラネットおよび

Web E メール用のブックマークを作成します。 Windows Mobile 対応 Pulse App で E メー

ルボタンを有効化するには、E メールブックマークを作成する必要があります。また、

その E メールブックマークには、Mobile Webmail という名前を付けなければなりません。


第13章: Windows Mobile デバイス対応 Junos Pulse





注: 接続先のサーバーにかかわらず、ユーザーに対して Pulse アプリケーショ

ンで一貫したブックマークを表示するためには、ユーザーレコードの同期を設

定して有効にする必要があります。これは、Pulse Secure Access サービスプ

ラットフォームの機能です。ユーザーレコードの同期の設定については、


[General]（一般）および [SAM] タブのオプションのほとんどは、Windows Mobile 対応 Pulse

クライアントに適用されます。 Windows Mobile セッションを管理するために使用できるロー

ルオプションの説明は、以下のとおりです。


[Source IP]（ソース IP）—ユーザーが Web ポータルのサインインページにアクセスしたり、

ロールに割り当てられたり、リソースにアクセスしたりできるアクセス元の IP アドレス

を制御します。



[Browser]（ブラウザ）—ブラウザのユーザーエージェント文字列に基づいて、ロールへのアク

セスを許可または拒否します。

[Certificate]（証明書）—すべてのユーザーまたは署名されたクライアントサイド証明書を持

つユーザーだけを許可します。

[Host Checker]—定義されたポリシーへの準拠を確認します。適切な Host Checker ポリシー

を事前に定義しておかない限り、ロールに割り当てることはできません。

[General]（一般） > [VLAN/Source IP]（VLAN/ソース IP）

[VLAN and Select Source IP]（VLAN およびソース IP の選択）—ロールに基づいてトラフィック

を特定のサイトに導くため、各ロールに対するソース IP のエイリアスを定義し、そのエ

イリアスを使用して、内部インターフェースのソース IP アドレスに対して定義した仮想

ポートを設定することができます。これにより、バックエンドデバイスは、エイリアス

に基づいてエンドユーザーのトラフィックを導くことができます。これにより、すべて

のエンドユーザーのトラフィックが同じ内部インターフェースのソース IP アドレスを

持つ場合でも、さまざまなエンドユーザーを、各自のロールに基づいて、定義されたサ

イトに導くことができます。詳細については、『Junos Pulse Secure Access サービス


[Max. Session Length]（最大セッション時間）—セッションは、このオプションで設定した時間

（分単位）だけアクティブな状態を維持できます。この制限に到達すると、セッション

が終了します。 [Idle Timeout]（アイドルタイムアウト）、 [Reminder Time]（警告時

間）、および [Enable Session Extension]（セッション延長の有効化）の各機能は、

Windows Mobile クライアントには適用されません。


[Idle Timeout]（アイドルタイムアウト）—セッションがアイドル状態（トラフィックなしの状

態）を保持できる最大時間です。この時間が経過すると、サーバーはセッションを終了し

ます。

[Max. Session Length]（最大セッション時間）—セッションの最大時間です。この時間が経過す

ると、サーバーがセッションを終了します。

[Reminder Time]（警告時間）—セッションの終了が近いユーザーに対してサーバーが通知する時

期です。セッション終了までの時間（分単位）で指定します。

[Enable Session Extention]（セッション延長の有効化）—Windows Mobile 対応 Pulse App では

サポートされていません。


[UI Options]（UI オプション）—このページの設定によって、Pulse Secure Access サービスの

Web ポータルページを定義します。

[SAM] > [Applications]（アプリケーション）

[Add Application]（アプリケーションの追加）—Windows Mobile 対応 Pulse ユーザーが使用で

きるアプリケーションは、リソースプロファイルを使用して指定することをお勧めしま

す。ただし、ロールとリソースポリシーの設定を使用することもできます。



[SAM] > [Options]（オプション）

[Auto-uninstall Secure Application Manager]（セキュアアプリケーションマネージャを自動的

にアンインストールする）—この機能は、Windows Mobile クライアントには該当しません。

Windows Mobile デバイスから Pulse Secure Access サービスに接続するには、 Windows

Mobile 対応 Pulse をダウンロードしてインストールする必要があります。

[Prompt for username and password for intranet sites]（イントラネットサイトのユーザー名と

パスワードを要求する）—このオプションを有効にすると、 Pulse Secure Access サービス

は、内部ネットワークのサイトに接続する前に、サインイン資格情報の入力をユーザーに

要求します。このオプションにより、 Internet Explorer のイントラネットゾーン設定

が変更され、イントラネットサイトのネットワークサインイン資格情報を常にユーザー


[Auto-upgrade Secure Application Manager]（セキュアアプリケーションマネージャの自動アッ

プグレード）—この機能は、Windows Mobile 対応 Pulse App には該当しません。

[Resolve only host names with domain suffixes in the device DNS domains]（デバイスの DNS

ドメインにドメインサフィックスを持つホスト名だけを解決する）—このオプションを有効

にすると、ユーザーは、ログインドメインの一部である Web サイトだけをブラウズでき

るようになります。

[Session start script and Session end script]（セッション開始スクリプトおよびセッション終

了スクリプト）—この機能は、Windows Mobile 対応 Pulse App には該当しません。

リソースプロファイルを使用して、Windows Mobile 対応 Junos Pulse ユーザーが使用でき

るアプリケーションを指定するには、以下の手順に従います。

1. クライアントアプリケーションおよび宛先へのアクセスを有効にするリソースプロファ

イルを作成し、適切な設定を行います（[Users]（ユーザー） > [Resource Profiles]（リ

ソースプロファイル） > [SAM] > [Client Applications]（クライアントアプリケーショ

ン）を選択します）。


3. [Type]（タイプ）リストから、[WSAM] を選択します。

4. [Application]（アプリケーション）リストで、以下のいずれかのオプションを選択しま

す。

• [Custom]（カスタム）—このオプションを選択した場合、カスタムアプリケーションの

実行可能ファイル名（telnet.exe）を入力する必要があります。また、このファイルの

パスと実行可能ファイルの MD5 ハッシュを指定できます（ただし、実行可能ファイルの

正確なパスを指定する必要はありません）。 MD5 ハッシュ値を入力すると、この値が実

行可能ファイルのチェックサム値と一致するかどうか、SAM によって検証されます。値

が一致しない場合、アプリケーションの正当性が証明されなかったため、アプリケーショ

ンからサーバーに接続を仲介できないことがユーザーに通知されます。

• [Lotus Notes]—Lotus Notes FAT クライアントアプリケーションからのトラフィックを

SAM に仲介させるには、このオプションを選択します。

• [Microsoft Outlook]—Microsoft Outlook アプリケーションからのトラフィックを SAM

に仲介させるには、このオプションを選択します。



• [NetBIOS file browsing]（NetBIOS ファイルブラウジング）—NetBIOS 名ルックアップ

をポート 137 の TDI ドライバで SAM にインターセプトさせるには、このオプションを

選択します。

• [Citrix]—Citrix アプリケーションからのトラフィックを SAM に仲介させるには、この


• [Domain Authentication]（ドメイン認証）—クライアントマシンがドメインのメンバで

ある場合に、ファイル共有や Outlook などの Windows アプリケーションがドメインコ

ントローラに対して認証できるようにするには、このオプションを選択します。このオ

プションを使用するには、以下の操作を実行する必要があります。

• WSAM 宛先リストで、Pulse Secure Access サービスを通じて到達可能なドメインコ

ントローラを指定し、LDAP および Kerberos トラフィックをプロキシして Pulse サー

バーに送信できるようにします。

• すべてのドメインコントローラへのアクセスを許可する、WSAM アクセス制御ポリシー


注: 標準アプリケーションへのアクセスは、ユーザーロールごとに 1 回設定

できます。たとえば、「Users」ロールについて、Microsoft Outlook の設定

を 1 つ設定し、Lotus Notes の設定を 1 つ設定できます。


6. [Autopolicy: SAM Access Control]（自動ポリシー: SAM アクセス制御）セクションで自動

ポリシーを作成し、以下の要領でロールに割り当てます。

a. まだ有効にしていない場合は、[Autopolicy: SAM Access Control]（自動ポリシー: SAM

アクセス制御）チェックボックスを選択します。

b. [Resource]（リソース）フィールドで、このポリシーを適用するアプリケーションサー

バーを指定します。サーバーは、ホスト名または IP/ネットマスクのペアで指定でき

ます。また、ポートを含めることも可能です。

[Application]（アプリケーション）リストから [Domain Authentication] （ドメイン

認証）を選択した場合は、[Resource]（リソース）フィールドにドメインコントローラ

サーバーのアドレスを入力します。複数を利用できる場合は、複数のドメインコント

ローラサーバーを追加できます。

c. 指定したサーバーへのアクセスを許可するには、[Action]（アクション）リストから

[Allow]（許可）を選択します。また、指定したサーバーへのアクセスをブロックするに

は、[Deny]（拒否）を選択します。

d. [Add]（追加）をクリックします。







また、まだ有効にしていない場合は、選択したすべてのロールについて、[General]（一

般） > [Overview]（概要）ページのロールの SAM オプションが自動的に有効に設定され

ます。







し、オプションの Pulse Mobile Security チェックを有効にして、モバイルデバイスの

ユーザーが Pulse Mobile Security ソフトウェアをインストールして有効化していること

を必須にします。詳細については、 210ページの「「Junos Pulse Mobile Security の概

要」」を参照してください。

13.レルムの [Role Mapping]（ロールのマッピング）タブで、この操作の前半で作成した

Windows Mobile のロールにすべてのユーザーをマップする新しいルールを作成します。

関連項目 208ページのWindows Mobile クライアント用 Host Checker の設定•

Windows Mobile クライアント用 Host Checker の設定

Host Checker は、 Windows Mobile オペレーティングシステムを実行する PDA やスマート

フォンなどの携帯デバイス用ポリシーを強制するように設定できます。 Host Checker ルール

では、携帯デバイスのポート、プロセス、ファイル、レジストリキーの設定、オペレーティ

ングシステムのバージョン、および証明書の確認を定義します。また、インストールされて

いるサードパーティ製の IMC をロードおよび使用して、ベンダーに固有のチェックを実行す

ることもできます。ポリシーを作成すると、ユーザーが Pulse サーバーの Web ポータルに接

続したときに、自動的に Host Checker が配備されます。 Host Checker は、携帯デバイス自

体での設定を必要としません。デバイスがサーバーによって非適合であると判断されると、

Host Checker がシステムトレイに通知アイコンを表示します。このアイコンをクリックす

るとブラウザページが開き、適合しない理由と修復に関する指示が表示されます。 Host

Checker は携帯デバイス内に残されるため、ユーザーがサーバーに接続するたびにダウンロー

ドする必要はありません。サーバーが新しいバージョンの Host Checker にアップグレード

すると、ユーザーが次回サーバーに接続したときに、 Windows Mobile デバイスが自動的に更

新されます。デバイスから Host Checker を削除するには、デバイスの [設定] パネルにあ

る [プログラムの削除] アプレットを使用してください。

Windows Mobile デバイス用の Host Checker ポリシーを作成するには、以下の手順に従いま

す。









ポリシーを実装するとリストに名前が表示されるため、 WinMobile HC Policy など、わか

りやすい名前を指定してください。

4. [Mobile]（モバイル）タブをクリックして、[Windows Mobile] タブをクリックします。



• [OS Checks]（OS チェック）—デバイスにインストールされている必要がある Windows

Mobile のバージョンを指定します。

• [Ports]（ポート）—サーバーへのアクセスに使用できるポート番号を指定できます。

• [Process]（プロセス）—エンドポイントで実行されている必要がある特定のプロセスを


• [File]（ファイル）—エンドポイントに特定のファイルが存在することを確認できます。

• [Registry Setting]（レジストリ設定）—レジストリ設定の特定の値を確認します。

• [Machine Certificate]（マシン証明書）—エンドポイントに特定のマシン証明書がイン

ストールされていることを確認できます。クライアントサイドの CA 証明書を検証する

場合、 Pulse サーバーは、その証明書が期限切れまたは破損していないことと、Pulse

サーバーが認識する CA によって署名されていることを確認します。







の式を使用できます。また、括弧を使用して条件をグループ化したりネストしたりでき

ます。







できます。

• [Kill processes]（プロセスの強制終了）—エンドポイントで特定のプロセスを終了させ

ます。



• [Delete files]（ファイルの削除）—エンドポイントで特定のファイルを削除します。

• [Send reason strings]（理由文字列の送信）—Host Checker または整合性測定検証（IMV）

から返され、クライアントマシンが Host Checker ポリシーの要件に適合しない理由

を説明するメッセージ（理由文字列と呼ばれます）をユーザーに対して表示します。



• 188ページのPulse Android クライアント用 Host Checker

Junos Pulse Mobile Security の概要

Junos Pulse Mobile Security Suite は、モバイルデバイス対応 Pulse アプリケーションの

オプションの機能で、モバイルセキュリティとデバイス管理を提供します。また、ウィル

ス、スパイウェア、トロイの木馬やワームなどからデバイスを保護し、デバイスが紛失および

盗難にあう危険性を軽減するツールが用意されています。

Junos Pulse Mobile Security Suite には、以下の機能が用意されています。

• ウィルス対策—電子メール、ショートメッセージサービス（SMS）、マルチメディアメッ

セージサービス（MMS）、直接ダウンロード、 Bluetooth、または赤外線伝送によって配信

されるウィルスおよびマルウェアからデバイスを保護します。

• ファイアウォール—TCP/IP トラフィックをフィルタリングおよびブロックすることでユー

ザーを脅威から保護します。双方向で、ポートベースおよび IP ベースのパケットフィル

タリングオプションにより、有害なコンテンツや不審なコンテンツからモバイルデバイス

を保護し、悪意のあるコンテンツがデバイスに転送されることを防ぎます。ファイアウォー

ルは、携帯データと WiFi トラフィックを監視します。

• アンチスパム—通話およびメッセージのフィルタリングを提供します。ユーザーは、特定の

連絡先をブラックリストに入れる（ブロックする）番号のグループにカスタマイズ（特別に

整理）し、音声スパムおよび SMS スパムをブロックすることで中断や妨害を防止すること

ができます。

• デバイスの監視および制御—SMS、 MMS、および E メールメッセージのリアルタイムなコン

テンツ監視を提供します。管理者は通話ログやアドレス帳だけでなく、デバイスに保存さ

れている写真にもアクセスすることができます。

• 紛失および盗難防止保護—紛失および盗難防止保護機能は、リモートロック、リモートワ

イプ、GPS 追跡、バックアップおよび復元、リモートアラーム、SIM 変更通知で構成され

ています。これらの各機能は、管理者が Pulse Mobile Security Gateway からコマンドを

実行することで起動されます。

• バックアップおよび復元—ユーザーが、デバイスに保存されている連絡先および予定表の PIM

データをバックアップできるようにします。

デバイス管理—Pulse Mobile Security Gateway は、モバイルデバイスを管理および制御す

る管理インターフェースを提供します。 Pulse Mobile Security Gateway を使用すること

で、ユーザーアカウントおよびプロファイルの作成、デバイスのルールやポリシーの作

成、クライアント上でのリモートによる各機能の実行、デバイスからの不適切なアプリケー

ションの削除、マルウェア検出およびセキュリティレベルに関連するレポートの生成など



の操作を実行できます。詳細については、『Junos Pulse Mobile Security Gateway 管理






第4部

索引

• 索引 215ページ




索引

記号3G ワイヤレス....................................161

802.1X

Pulse - OAC の比較...........................155

接続、 Pulse Access Control サービス..........28

接続、Pulse Secure Access サービス............82

AAccess Manager...................................114

ACE サーバー..................................27, 80

ActiveX

Web インストール.............................140

[Adapter type]（アダプタのタイプ）............28, 82

AES..............................................156

[Allow saving logon information]（ログオン情報の

保存を許可）

Pulse Access Control サービス.................27

Pulse Secure Access サービス..................80

[Allow user connections]（ユーザー接続を許可）



[Allow user to override connection policy] （ユー

ザーによる接続ポリシーの上書きを許可する）

接続オプション................................29

[Allow user to override connection policy] （ユー

ザーによる接続ポリシーの上書きを許可する）

アプリケーションアクセラレーションの接続オ

プション...................................29

接続オプション........................34, 82, 85

接続オプション、SRX..........................83

接続オプション、アプリケーションアクセラレー

ション.....................................83

接続オプション、SRX .........................29

Android

証明書認証...................................185

Android VPN

ブックマーク.................................185

Apple iPhone................................171, 180

[Auth Table Timeout]（認証テーブルタイムアウ

ト）............................................24

BBlackBerry.......................................166

CCHAP 内部認証....................................156

CIFS アクセラレーション

クライアントのステータス.....................122

クライアントポリシー........................122

[Community string] （コミュニティ文字列）.....29, 83

ConfigMgr.................................47, 95, 98

Cookie............................................66

DDNS

iOS VPN......................................171

DNS サーバーの検索...............................161

DNS ルックアップ..............................41, 89

[Dynamic certificate trust] （動的証明書の信用）



EEAP-GTC 内部認証.................................156

EAP-JUAC 内部認証................................156

EAP-MD5 内部認証.................................156

EAP-MSCHAPv2 内部認証............................156

EAP-PEAP 外部認証................................156

EAP-TLS 外部認証.................................156

EAP-TTLS 外部認証................................156

EAP 方式.........................................156

EES（Enhanced Endpoint Security）


Pulse Secure Access サービス.................101

[Enable Session Extension]（セッション延長の有効

化）............................................24

Enhanced Endpoint Security

Pulse Access Control サービスコンポーネント

セットのオプション........................42

Enhanced Endpoint Security （EES）



ESP トランスポートモード........................160

Exchange アクセラレーション

クライアントのステータス.....................122

クライアントポリシー........................122

FFIPS........................................157, 161

[Forget Saved Settings]（保存した設定を破棄）.....27


FTP サーバー、使用する

Pulse クライアントソフトウェアのロード......123

GGINA.........................................38, 160

H[Heartbeat Interval]（ハートビート間隔）..........24

[Heartbeat Timeout]（ハートビートタイムアウ

ト）............................................24

Host Checker

Android クライアント用.......................188

Android クライアント用、概要.................189

Android クライアント用、有効化...............192

iOS クライアント用、概要................175, 176

iOS クライアント用、有効化...................179

Pulse Access Control サービスでの Shavlik.....52


Pulse Secure Access サービスでの Shavlik......99

Windows Mobile クライアント用................208

およびハートビート間隔........................24

Host Checker のパッチ評価ポリシー..................8



Host Checker ポリシーを使用したシステム管理サー

バー（SMS）.................................51, 98

Host Checker ポリシーを使用したシステムセンター

構成マネージャ..............................51, 98

IIF-MAP

サーバーおよびクライアント...................132

セッション移行用の構成......................132

IMC および IMV、概要..............................46


iOS VPN

ブックマーク.................................171

iPass Enterprise Mobility Services...............107

iPass Open Mobile................................107

iPass の統合.....................................107

iPhone

Pulse のインストール.........................180

SSL/VPN アクセス.............................171

IVS...............................................63

JJava

Web インストール.............................140

Juniper インストーラサービス....................136

junospulse://URL

iOS 用.......................................182

Junos Pulse Collaboration Suite、

概要.........................................108

有効化........................................82

Junos Pulse Mobile Security Suite................xii

Junos Pulse インストーラ、作成..............142, 146

Junos Pulse クライアント

MAG シリーズまたは WXC ゲートウェイからのダウ

ンロード..................................119

Pulse Secure Access サービスからのダウンロー

ド........................................118

SMS または Pulse Secure Access サービスを使用

した配布..................................124

Windows ファイアウォールの設定...............118

アンインストール.............................120

クライアントイメージのロード................123

ステータスの表示.............................122

ダウンロードの有効化.........................120

ポリシーの設定...............................122

隣接関係の構成 ..............................121

Junos Pulse クライアントのアンインストール.......120

Junos Pulse クライアントのダウンロード .....118, 119

KKaspersky........................................118

およびアプリケーションアクセラレーショ

ン.....................................33, 83

Kerberos SSO.....................................158

L[Limit to subnet]（サブネットに制限）.............25

LZ 圧縮

クライアントのステータス.....................122

クライアントポリシー........................122

MMAPI アクセラレーション

クライアントのステータス.....................122

クライアントポリシー........................122

[Max. Session Length]（最大セッション時間）.......24

McAfee ファイアウォール..........................118

MDM..............................................178

Microsoft システムセンター構成マネー

ジャ....................................47, 95, 98

Mobile Safari

iOS 用 Pulse Launcher........................182



Mobile Security 検出

Android クライアント用.......................189

iOS クライアント.............................176

MSCHAPv2 内部認証................................156

MSCHAP 内部認証..................................156

NNAT-T............................................158

NetBIOS 名ルックアップ

SAM...........................................78

Network Sequence Caching

クライアントのステータス ....................122

クライアントポリシー........................122

Nokia Symbian

アクセスの設定...............................198

non-broadcast SSID


Norton ファイアウォール..........................118

OOAC、Pulse との機能比較.........................155

Odyssey アクセスクライアント

Pulse との機能比較...........................155

互換性のあるバージョン........................18

サポートされているリリース....................18

Open Mobile......................................107

OPSWAT IMV..................................158, 160

OS 検出

Android クライアント用.......................188

iOS クライアント.............................175

PPAC

iOS VPN......................................171

PAP 内部認証.....................................156

Pulse Collaboration Suite、

概要.........................................108

有効化........................................82

Pulse Launcher

iOS 用.......................................182

例...........................................150

Pulse Mobile Security Suite.................xii, 210

Pulse Secure Access サービス、Junos Pulse クライ

アントのダウンロード...........................118

Pulse およびセキュリティ証明書.....................7

Pulse クライアントのスプラッシュ画面

表示または非表示..........................27, 81

RRADIUS サーバー...............................27, 80

[Reminder Time]（警告時間）.......................24

[Roaming session]（セッションのローミング）.......24

RSA SecurID

クライアントソフトウェアのバージョン..........9

RSA SofToken.....................................157

SSafari


SCCM......................................47, 95, 98

Secure Meeting、.............................82, 108

Sequence Caching

クライアントのステータス.....................122

クライアントポリシー........................122

[Session lifetime]（セッション寿命）..............24

Shavlik

Pulse Access Control サービスでの設定.........52

Pulse Secure Access サービスでの設定..........99

Shavlik IMV.................................158, 160

SMS.......................................47, 95, 98

SMS（システム管理サーバー）...................51, 98

SMS または Pulse Secure Access サービスを使用し

た Junos Pulse クライアントの配布..............124

[Split Tunneling Options]（分割トンネリングオプ

ション）........................................67

SRX シリーズゲートウェイ

配備オプション................................12

SSID

非ブロードキャスト............................82

SSL 最適化

クライアントのステータス.....................122

クライアントポリシー........................122

SSL フォールバック...............................160

SVW...............................................19

Symbian

アクセスの設定...............................198

Symbian VPN

ブックマーク.................................199

TTCP アクセラレーション

クライアントのステータス.....................122

クライアントポリシー........................122

TKIP.............................................156

Trend Micro ファイアウォール.....................118


索引

UUAC 802.1X

接続、 Pulse Access Control サービス..........28

接続、Pulse Secure Access サービス............82

UDP ポート 3578


ン.....................................33, 83

user-after-desktop

認証......................................35, 71

VVPN..............................................113

VPN オンデマンド

iOS VPN......................................170

WWeb インストール............................136, 140

Web からの起動...................................140


Web メールパスワード

Android......................................188

iOS..........................................175

WEP..............................................156

Wi-Fi

iOS デバイス.................................171

Windows Mobile...................................201

アクセスの設定..........................77, 206

Windows Mobile App

ブックマーク.................................204

[Wireless suppression]（ワイヤレス抑止）

Pulse Access Control サービス............28, 155


WPA/WPA2.........................................156

WSAM の宛先.......................................79

アアクセラレーション

クライアントのステータス....................122

クライアントポリシー........................122

トラブルシューティング.......................118

圧縮

クライアントのステータス....................122

クライアントポリシー........................122

アップグレード

クライアントソフトウェア...........59, 105, 123

アプリケーションアクセラレーション

配備オプション................................11

アプリケーションアクセラレーションの接続オプショ

ン

[Community string]（コミュニティ文字

列）...................................29, 83

アプリケーションレベルのリモートアクセ

ス.........................................73, 201

暗号化方式

Pulse Access Control サービス................155

イ位置認識

位置認識規則..............................30, 84

概要...........................................6

設定......................................39, 87

インスタント仮想システム..........................63

インストーラ

Web.....................................136, 140

事前構成...........................136, 142, 146

デフォルト...................................136

インストール

Junos Pulse クライアント.....................117

要件......................................13, 18

ウウィルスシグネチャのバージョン監視................8

エエクスポート

Junos Pulse クライアントソフトウェアまたは設

定........................................124

エラーメッセージ

OS X..........................................16

Windows.......................................13

カカスタマーサポート..............................xii

JTAC へのお問い合わせ........................xii

管理権限.........................................136

ガ外部ユーザー名

802.1X 接続、Pulse Access Control サービ

ス.........................................2 8

802.1X 接続、Pulse Secure Access サービス.....82



ククライアント、Junos Pulse

MAG シリーズまたは WXC ゲートウェイからのダウ

ンロード..................................119

Pulse Secure Access サービスからのダウンロー

ド........................................118

SMS または Pulse Secure Access サービスを使用

した配布..................................124

アンインストール.............................120

クライアントイメージのロード................123

ステータスの表示.............................122

ダウンロードの有効化 ........................120

ポリシーの設定...............................122

隣接関係の構成...............................121

クライアント認証

証明書、Pulse Secure Access サービス..........23

クライアントのエラーメッセージ

OS X..........................................16

Windows.......................................13

ケ権限.............................................136

コ高度なエンドポイント防御



高度な接続のライセンス

追加、Pulse Secure Access サービス...........107

コマンド


コマンドライン Launcher..........................160

例...........................................150

コンポーネントセット、 Junos Pulse の設定....43, 91

コンポーネントセットのオプション



ササプリカント.......................................7

サポートされている言語........................13, 16

サポート、テクニカル参照テクニカルサポート

サードパーティ製ソフトウェア.....................107

サーバー

コンポーネントセットのオプション.............42

サーバー証明書 DN


ス.........................................2 8


シ資格情報プロバイダ..........................157, 160

Access Control サービス.......................38

Secure Access サービス........................72

システムセンター構成マネージャ..........47, 95, 98

証明書

サポート.....................................156

スマートカード..............................157

選択......................................27, 80

ロール、Pulse Secure Access サービス..........23

証明書認証

Android......................................185

診断.............................................157

ジジェイルブレイキング検出

iOS クライアント.............................175

事前構成されたインストーラ.........11, 136, 142, 146

自動アップグレード...........................58, 105

自動更新..........................................12

自動スキャンリスト..............................155

ススキャンリスト...............................7, 155


スクリプト.......................................161



SAM...........................................77

Windows Mobile App.......................67, 206

スパイウェア対策



スプラッシュ画面

表示または非表示..........................27, 81

スマートカード...............................9, 157

スマートカード認証............................27, 80

セ整合性測定コレクタ（IMC）および検証（IMV）........46


生存時間、DNS.................................41, 89

セキュアバーチャルワークスペース................19

セキュリティ

EES...........................................42

セキュリティ証明書、 Pulse の......................7

セッション Cookie.................................66


索引

セッション移行..................................127

IF-MAP.......................................132

概要...........................................6

セッションタイムアウト......................129

設定.........................................132

タスクの概要.................................131

認証サーバーに関するサポート.................130

セッション延長


セッションスクリプト............................161

iOS VPN......................................171



SAM...........................................77

Windows Mobile App.......................67, 206

セッションタイムアウト..........................161

Android......................................187

iOS..........................................173

Symbian......................................199

セッションの延長.................................158

設定、Junos Pulse クライアント

表示 ........................................123

設定のプッシュ...............................56, 103

接続

ワイヤレス....................................18

接続オプション

[Allow user to override connection policy]

（ユーザーによる接続ポリシーの上書きを許可

する）、アプリケーションアクセラレーショ

ン.........................................8 3



する）、ファイアウォール...................83

接続識別名


ス.........................................2 8

接続設定


サーバー......................................85

接続設定オプション...............................26

[Adapter type]（アダプタのタイプ）........28, 82

[Allow saving logon information]（ログオン情

報の保存を許可）.......................27, 80

[Allow user connections]（ユーザー接続を許

可）...................................27, 81



する）.....................................29



する）.............................34, 82, 85



する）、SRX................................29



する）、アプリケーションアクセラレーショ

ン.........................................2 9

[Community string]（コミュニティ文字

列）...................................29, 83

[Display splash screen]（スプラッシュ画面の表

示）...................................27, 81

[Dynamic certificate trust]（動的証明書の信

用）...................................27, 81


[Wireless suppression]（ワイヤレス抑

止）...................................28, 81

外部ユーザー名............................28, 82

サーバー証明書 DN.........................28, 82

スキャンリスト...............................82

接続識別名....................................28

動的接続..................................27, 81

接続ルール

設定......................................39, 87

ソソフトウェアアップグレード


バインドされているクライアント................10

ソフトウェア更新

概要..........................................12

ソフトウェアのロード


ソフトウェアパッケージ......................59, 105

ソフトウェア要件..............................13, 18

ソフトトークン............................9, 27, 80

テテクニカルサポート

JTAC へのお問い合わせ........................xii

デデフォルト、Pulse 設定............................10

デフォルトのインストーラ.........................136

デフォルトの配備................................135



トトラブルシューティング

アプリケーションアクセラレーション.......33, 83

モバイルデバイス UI.........................166

トークン認証...............................9, 27, 80

ド動的 VPN

構成の概要...................................114

動的接続..................................6, 11, 140



概要..........................................10

ドキュメント

関連ドキュメント..............................xi

ご意見・感想................................xii

ニ認識したユーザー設定..........................27, 80

認証

SecurID........................................9

証明書、 Pulse Secure Access サービス.........23

認証方式........................................156

ネネットマスク......................................25

ネットワーク接続................................140

ハ配備オプション

概要..........................................10

ハードウェア要件..............................13, 18

ハードトークン............................9, 27, 80

ババインドされていないクライアント

概要...........................................9

バインドされているクライアントとバインドされてい

ないクライアント

概要...........................................9

ソフトウェアアップグレード..............58, 105

バージョン監視、ウィルスシグネチャおよびファイ

アウォール.......................................8

パパスワード

Android の Web メールパスワードの保存.......188

iOS の Web メールパスワードの保存...........175

Junos Pulse クライアントソフトウェアをダウン

ロードする................................120

ワンタイム................................27, 80

パッチ評価、 Host Checker ポリシー.................8



パッチ評価、バージョン監視........................8

フファイアウォールアクセス

SRX での設定.................................113

ブブラウザ


Pulse の起動 ...............................140

ブラウザセッション Cookie........................66

分割トンネリング

iOS VPN......................................170

NC と Pulse の比較...........................159

ププロキシ

iOS VPN......................................171

プロキシサーバー設定

iOS 接続プロファイル.........................174

ホホストエンフォーサ..............................157

保存した設定を破棄................................80

ポポート 3578


ン.....................................33, 83

ママシン認証.......................................157



証明書認証................................35, 71

設定の概要................................34, 71

マシンのみ

認証......................................35, 71

マニュアル

ご意見・感想.................................xii

マルウェア、Host Checker ポリシー




索引

マルウェアからの保護、スパイウェア



メメッセージ

OS X..........................................16

Windows.......................................13

モモバイルデバイス

表示の問題に関するトラブルシューティング.....166

モバイルデバイス管理............................178

ユユーザーインターフェース

Pulse クライアント.............................4

ユーザーエージェント文字列、モバイルデバイ

ス.............................................166

ユーザー名とパスワード


ロードする ...............................120

ユーザーレコードの同期

Android VPN..................................185

iOS VPN......................................171

Symbian VPN..................................199

Windows Mobile App...........................204

ユーザーロール


サーバー......................................63

リリソースプロファイル.............................79

ルルーティング検出

Android クライアント用.......................189

ルート監視.......................................159

レレルム

Androidデバイス..............................187

iOS デバイス.................................174

SAM...........................................79

Symbian デバイス.............................199

Windows Mobile デバイス......................208

ロログイン


ロードする ...............................120

ログビューア....................................158

ログファイル

iOS デバイス.................................182

ローカライゼーション..........................13, 16

ローミング....................................25, 66

ロール

Androidデバイス..............................186

iOS デバイス.................................171



SAM...........................................74

Symbian デバイス.............................198

Windows Mobile デバイス......................203

ワワイヤレスサプリカント........................7, 18

Documents

Junos Pulse - Juniper Networks...Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, California 94089 408-745-2000 本製品には、Integrated Systems Inc. の 子会社である

Junos Pulse - Juniper Networks...Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, California 94089 408-745-2000 本製品には、Integrated Systems Inc. の子会社である