グループ ポリシーの作成と適用
グループ ポリシーはルール、制限、その他の設定を定義したリストであり、ネットワークでの処理方法を変更するためにデバイスに適用できます。グループ ポリシーは、ワイヤレスおよびセキュリティ アプライアンス ネットワーク上で使用でき、手動または自動で適用できます。この記事では、使用可能なオプション、ポリシーを作成する方法、ポリシーをクライアントに適用する方法について説明します。
注記: グループ ポリシーを適用(結合)できるクライアント数は、ネットワークあたり3,000台に制限されています。
グループ ポリシーの作成
使用可能なオプション
次の表は、各プラットフォーム上でグループ ポリシーを利用して制御できるルール、制限、その他の設定を示しています。グループ ポリシーの設定時には、そのネットワークで使用可能な機能のみが表示されます。.
| MRアクセス ポイント | EnterpriseライセンスのMXまたはZ1 | Advanced SecurityライセンスのMX | |
|---|---|---|---|
| スケジューリング | ✔ | ✔ | ✔ |
| クライアントあたりの帯域幅制限 | ✔ | ✔ | ✔ |
| ホスト名の可視性 | ✔ | ✔ | ✔ |
| VLANタグ | ✔ | ||
| スプラッシュ ページの認証 | ✔ | ||
| レイヤー3のファイアウォール ルール | ✔ | ✔ | ✔ |
| レイヤー7のファイアウォール ルール | ✔ | ✔ | ✔ |
| トラフィック シェーピング ルール | ✔ | ✔ | ✔ |
| セキュリティ フィルタリング | ✔ | ||
| コンテンツ フィルタリング | ✔ |
注記:コンテンツ フィルタリングとともにグループ ポリシーを使用している場合は、特定のフィルタリング ルールが適用される順序を理解するために、コンテンツ フィルタリング ルールの優先順位に関するドキュメントを参照してください。
注記: Active Directory統合が有効な場合、MXデバイスでは、レイヤー3のファイアウォール ルールの送信元IPアドレスのみを設定できます。
グループ ポリシーの作成
- Network-wide(ネットワーク全体) > Configure(設定) > Group policies(グループポリシー)に移動します。
- Add a group(グループの追加)をクリックして、新しいポリシーを作成します。
- グループ ポリシーのName(名前)を入力します。通常は、目的、または適用するユーザを示すものにします。
例:「Guests」、「Throttled users」、「Executives」など。 - 必要に応じて使用可能なオプションを変更します。変更しないかぎり、すべてのオプションで既存のネットワーク設定が使用されます。
- 完了したら、Save changes(変更を保存)をクリックします。
リストされているグループ ポリシーが、Group policies(グループポリシー)ページに表示され、使用可能になります。なお、グループ ポリシーは適用するまでは効果がありません。
グループ ポリシーの例
次の例は、2つの一般的なユース ケースと、グループ ポリシーを使用してカスタム ネットワーク エクスペリエンスを提供する方法を示しています。
セキュリティ アプライアンス上のゲスト
次の例は、セキュリティ アプライアンス ネットワークでグループ ポリシーを設定して、ゲスト クライアントのアクセスと速度を制限する方法を示しています。このポリシーにより、次のことを実現します。
- クライアント帯域幅を上り/下りとも2Mbpsに制限する。
- 内部ネットワーク(10.0.0.0/8アドレス空間を使用)へのアクセスを拒否する。
- すべてのピアツーピア共有アプリケーションをブロックする。
- その他のすべての設定はネットワークのデフォルトから継承する(セキュリティやコンテンツ フィルタリング設定など)。
帯域幅制限は、20kbps未満に設定することはできません。
グループ ポリシーのレイヤー3のカスタム ファイアウォール ルールにコンマ区切りで複数のポートを入力することはできません。 ポートは、1~65535の範囲内、または「any」である必要があります。
ワイヤレス上のエグゼクティブ ユーザ
この例では、ワイヤレス ネットワークでグループ ポリシーを使用して、エグゼクティブ ユーザがその他のユーザよりも自由度が高く特別に扱われるようにする方法を示します。 このポリシーにより、次のことを実現します。
- 帯域幅制限を解除する。
- ホスト名の可視性を無効にする。
- レイヤー3/7のファイアウォール ルールを削除する。
- 音声トラフィックおよび音声会議トラフィックにQoSタギングを提供する。
- スプラッシュ ページの要件を取り除く。
- 他のすべての設定はネットワークのデフォルト値から継承する。
特定の時間帯にインターネット アクセス権のないユーザ
この例は、グループ ポリシーを使用して、特定のユーザに対して、特定の時間帯のインターネット アクセスをブロックする方法を示しています。 このポリシーにより、次のことを実現します。
- 午前08:30~午後05:00の間、インターネット アクセスをブロックする。
グループ ポリシーの適用
グループ ポリシーは、使用しているプラットフォームに応じて、さまざまな方法でクライアント デバイスに適用できます。以下の表は、プラットフォームごとに利用可能なオプションを示しています。このセクションの残りの部分では、各方法の利用手順を説明します。
注記:クライアント上でアクティブにできるポリシーは一度に1つのみです。
| MRアクセス ポイント | EnterpriseライセンスのMXまたはZ1 | Advanced SecurityライセンスのMX | |
|---|---|---|---|
| クライアント別 | ✔ | ✔ | ✔ |
| デバイス タイプ別 | ✔ | ||
| VLAN別 | ✔ | ✔ | |
| Sentryポリシー別 | ✔ | ✔ | ✔ |
| Active Directoryグループ別 | ✔ | ||
| RADIUS属性別 | ✔ |
クライアント別
クライアントにグループ ポリシーを手動で適用するには、Network-wide(ネットワーク全体) > Monitor(監視) > Clients(クライアント)ページから行います。
- リスト内の目的のクライアントの横にあるチェックボックスをオンにします。
- リストの上部にあるPolicy(ポリシー)ボタンをクリックします。
- Group policy(グループポリシー)を選択してから、ドロップダウンで特定のポリシーを選択します。
- Apply policy(ポリシーを適用)をクリックします。
または、ワイヤレスおよび統合ネットワークでは、クライアントに関連付けられているSSIDに応じて異なるグループ ポリシーを適用できます。これは、前の手順を同じページから適用します。
- リスト内の目的のクライアントの横にあるチェックボックスをオンにします。
- リストの上部にあるPolicy(ポリシー)ボタンをクリックします。
- Different policies by [connection or] SSID([接続や] SSIDによって異なるポリシー)を選択します。
- SSIDごとに、目的のグループ ポリシーまたは組み込みのポリシーを選択するか、「Normal(ノーマル)」のままにします。
- Apply policy(ポリシーを適用)をクリックします。
クライアント リスト内のクライアントをクリックして、Policy(ポリシー)セクションの下のDevice policy(デバイス ポリシー)を選択することで、個々のクライアントにポリシーを適用することもできます。
デバイス タイプ別
ワイヤレス ネットワークで、最初にSSIDに接続し、HTTPリクエストを作成したときに、デバイス タイプ別にグループ ポリシーを自動で適用できます。
- Wireless(ワイヤレス) > Configure(設定) > Access control(アクセス制御)に移動します。
- 目的のSSIDを選択します。
- Assign group policies by device type(デバイスタイプ別にグループポリシーを割り当て)を「Enabled(有効)」にします。
- Add group policy for a device type(デバイスタイプのグループポリシーを追加します)をクリックします。
- 目的のDevice type(デバイスタイプ)と、それに適用するGroup policy(グループポリシー)を選択します。
- 必要に応じてステップ4~5を繰り返し、必要なすべてのデバイスにポリシーを割り当てます。
- Save changes(変更を保存)をクリックします。
これは、デバイスが最初にSSIDに接続したときに実行され、手動で上書きされるまで存続する点に留意してください。そのため、以前に接続したことのある一部のクライアントには、ポリシーを手動で割り当てることが必要になる場合があります。また、最初のHTTPリクエストがデバイスによって生成される方法によっては、そのリクエストに基づいてクライアントが誤分類される可能性があります。このような場合は、目的のポリシーを手動で割り当てます。
デバイス タイプ別にグループ ポリシーを適用する方法の詳細については、Cisco Merakiのドキュメンテーションを参照してください。
VLAN別
セキュリティ アプライアンス ネットワークでは、グループ ポリシーは特定のVLANに接続しているすべてのデバイスに自動で適用できます。Security appliance(セキュリティ アプライアンス) > Configure(設定) > Addressing & VLANs(アドレスとVLAN)ページで、次を実行します。
- VLANs(VLAN)が「Enabled(有効)」であることを確認します。
- 目的のローカルVLANをクリックします。
- 目的のGroup policy(グループポリシー)を選択します。
- Update(更新)をクリックします。
- Save Changes(変更を保存)をクリックします。
これで、このVLANに配置されたすべてのクライアントに、目的のGroup policy(グループポリシー)が付与されました。
グループ ポリシーがVLANに適用されると、そのポリシーは、そのVLANのクライアントに適用される他のグループ ポリシーにとって新たな「ネットワーク デフォルト」となります。このポリシーが新たな「ネットワーク デフォルト」であるため、クライアント デバイスには、引き続き、Network-wide(ネットワーク全体) > Monitor(監視) > Clients(クライアント)で「normal(ノーマル)」ポリシーが適用されています。
たとえば、ネットワーク全体の設定より制限のあるレイヤー3のファイアウォール ルールを持つ「Guest Network」という名前のグループ ポリシーがゲストVLANに適用され、2番目のグループ ポリシー「Low Bandwidth」でカスタム帯域幅制限が指定されていますが、Use network firewall & shaping rules(ネットワーク ファイアウォールとシェーピング ルールを使用)に設定されます。Low Bandwidthグループ ポリシーがゲストVLANのクライアントに適用されると、そのクライアントはGuest Networkグループ ポリシーに設定されたレイヤー3のファイアウォール ルールを使用し、Security & SD-WAN(セキュリティ&SD-WAN) > Configure(設定) > Firewall(ファイアウォール)ページで設定されたネットワーク全体のレイヤー3のファイアウォール ルールは使用しません。
Active Directoryグループ別
Advanced Securityライセンスのセキュリティ アプライアンス ネットワークでは、Active Directoryグループを使用して、ポリシーをクライアントに割り当てることができます。詳細については、ADベースのグループ ポリシーの設定に関する記事を参照してください。
RADIUS属性別
RADIUSを使用してクライアントを認証しているワイヤレス ネットワークは、RADIUS属性を使用してグループ ポリシーを割り当てるように設定できます。詳細については、RADIUSを用いたグループ ポリシーの設定に関する記事を参照してください。
スケジューリング
グループ ポリシーは、Schedule(スケジュール)オプションを使用して、スケジュールできます。これによって、指定した時間の間だけ、ポリシーをアクティブにできます。以下の例では、ポリシーは、平日の午前8時~午後5時の間のみアクティブになるようにスケジュールされています。
以下に示すように、スケジューリング対象のポリシーの要素が有効な場合は、小さな時計アイコンで示されます。このアイコンのないオプションは、時間に関係なく常に有効です。