Intel® Unite™ ソリューション 保護されたゲストアクセス用プラグインガイド 2016 年 11 月
法務情報および免責事項、著作権 本資料に記載されたすべての情報は、予告なく変更されることがあります。 インテル® 製品の最新の仕様およびロードマップをご希望の場合は、インテ ルの担当社員までご連絡ください。 インテル® テクノロジーの機能と利点はシステム構成によって異なり、対応 するハードウェアやソフトウェア、またはサービスの有効化が必要となる 場合があります。実際の性能はシステム構成によって異なります。絶対的 なセキュリティーを提供できるコンピューター・システムはありません。 詳細については、各システムメーカーまたは販売店にお問い合わせいただ くか、www.intel.co.
目目 1. 2. はじめに ................................................................................................................................ 4 1.1 対象 ............................................................................................................................ 4 1.2 概要 ............................................................................................................................ 4 1.3 推奨されているセキュリティー・コントロール ...................................... 6 プラグインのインストールとコンポーネント....
1. はじめに このドキュメントでは、Intel® Unite™ ソリューション上での保護されたゲストアクセ ス用 Intel® Unite™ プラグインのインストールおよび使用方法について説明します。 1.1 対象 このドキュメントは、Intel® Unite™ ソフトウェアのインストールやビジネス向けゲス トアクセスの有効化などアプリケーションへのオプション機能追加を担当する、企業環 境内で作業を行う IT スタッフを対象としています。 1.2 概要 保護されたゲストアクセス用 Intel® Unite™ プラグインを使用すると、ゲスト・クライ アント・デバイスがエンタープライズ・ネットワークになくてもハブに接続できるよう になります。これはなぜ可能かというと、ゲスト・クライアント・デバイスがクライア ント・デバイス用の Intel® Unite™ アプリケーションを接続、ダウンロード、参加でき るよう、ハブがアドホック/ホスト・ネットワーク (アクセスポイント) を作成するから です。 Intel® Unite™ ソリューション – 保護されたゲストアクセス用プラグインガイド v1.
企業アクセスポイント 会議室 0808 Intel® Unite™ へようこそ PIN の入力 0808 ハブ・ワイヤレス・ アクセス・ポイント 企業クライアント・デバイス ハブにインストールされた保護され ゲスト・クライアント・デバイス たゲストアクセス用プラグイン Intel® Unite™ ソリューション – 保護されたゲストアクセス用プラグインガイド v1.
1.3 推奨されているセキュリティー・コントロール IT 担当者が以下の推奨セキュリティー・コントロールに従うことを推奨します。 ゲストアクセス実行中のハブのネットワーク・ブリッジをオフにします。 Active Directory 環境では、ハブにアプリケーションとユーザーを制限する グループ・ポリシー・オブジェクト (GPO ポリシー) を設定します。 許可されていないトラフィックを制限するため、ゲスト・アクセス・マシン と企業接続の間にファイアウォールを導入します。 未使用のポートにファイアウォールが設定されていることを確認します。 許可されていない実行ファイルがゲスト・アクセス・マシンで実行されない よう、ソフトウェア・ベースのソリューション (McAfee* Application Control や Windows* AppLocker* など) を導入します。 o McAfee* Application Control の詳細については、 http://www.mcafee.com/us/products/application-control.
2. プラグインのインストールとコンポーネン ト 2.1 プラグイン・コンポーネント 以下のコンポーネントは保護されたゲスト・アクセス・プラグインの一部です。 ゲスト・アクセス・クライアント・プラグイン (dll) o これはハブによってロードされるプラグインです。CFCPlugin.dll で 定義される機能を実装します。 ゲスト・アクセス・サービス (Windows* サービス) o これはアドホック/ホスト・ネットワーク (アクセスポイント) の作成 と構成を行う Windows* サービスです。GuestAccessClientPlugin.dll は、 このサービスによって受信および処理されるコマンドを送信します。 クライアント・ダウンロード・ページ o クライアント向け Intel® Unite™ アプリ v3.0 が必要です。アドホッ ク・ネットワークをホストするハブを実行して接続するよう構成されてい る必要があります。ネットワークを作成したら、ダウンロードができるよ うになります。 2.
LAN ケーブルが必要:ハブの最低条件に加えて、ネットワーク構成では、ハブが有線 接続を通して企業ネットワークに接続されていること、およびワイヤレス・ネットワー ク・アダプターが別のアクセスポイントに接続されていないことが必要です。 保護されたゲスト・アクセス・プラグインをインストールする前に、最新のインテル® ワイヤレスドライバーがインストールされていることを確認します。ドライバーがイン ストールされていない場合は、インストールする必要があります。 2.2.1 エンタープライズ・バージョン 1. 保護されたゲストアクセス用 Intel® Unite™ プラグインのインストーラー (Windows* インストーラー パッケージ) を実行します。 2. Program Files (x86) \Intel\Intel Unite\Hub\Plugins にあるプラグインフォルダー に移動します。ここに、GuestAccessClient Plugin.dll がインストールされていま す。 3.
4. [Intel® Unite™ プラグイン] を選択し、[詳細] をクリックします。 5. [デジタル署名の詳細] ウィンドウで、[証明書の表示] をクリックします。 6. [証明書] ウィンドウで [詳細] タブを選択し、[拇印] が表示されるまで下にスクロー ルします。 7. [拇印] を選択します。値が表示されたら、コピーしてメモ帳またはテキストファイ ルに貼り付け、スペースを削除して保存します。 Intel® Unite™ ソリューション – 保護されたゲストアクセス用プラグインガイド v1.
値をコピーしてメモ帳またはテ キストファイルに貼り付け、ス ペースを削除して保存します。 8. この情報は、管理者 Web ポータルでプラグインのプロファイルを作成する際に使 用されます。また、プロファイルの作成後に、キー値を作成して入力することもで きます。 管理者 Web ポータルでプロファイルを作成する 1. 管理者 Web ポータルに移動して、[グループ] の [プロファイル] を選択します。 2. [作成] をクリックしてゲストアクセスのプラグイン証明書ハッシュキーを作成し、 [プロファイルのプロパティー] ウィンドウが表示されたら次の情報を入力します。 キー: PluginCertificateHash_GuestAccessPlugin Intel® Unite™ ソリューション – 保護されたゲストアクセス用プラグインガイド v1.
(形式は PluginCertificateHash_XXXX です。X には、プラグインに付け る名前を指定します) データ型:テキスト 値:「証明書ハッシュの値の取得」のセクションでメモ帳またはテキスト ファイルに保存した値 (拇印値) を貼り付けます。このデータはキーの作 成後に入力することもできます。 3. [作成] をクリックしてプロファイルを保存します。 4. [プロファイルの詳細] ウィンドウに、プラグインの新しいプロファイルおよび入 力したキー値が表示されます。 5. また、[プロファイルの詳細] ウィンドウの [プラグイン証明書ハッシュの確認] キーが有効 (緑色) であることを確認する必要があります。有効になっていない 場合は、赤から緑に切り替えて有効にします。 注:テスト環境では証明書チェックを無効にすることができますが、実稼働環境 ではお勧めできません。 保護されたゲスト・アクセス・プラグインのレジストリー・キー レジストリー・キーで定義されるデータは以下のとおりです。 a. HKEY_CURRENT_USER\software\Intel\Unite\GuestA
2.2.2 スタンドアロン・バージョン スタンドアロン・バージョンでは、ハブで実行している Intel® Unite™ アプリケー ションを終了し、デスクトップのランチャーをクリックするか [スタート] メニュー から Intel® Unite™ アプリケーションの設定を開く必要があります。 1. 設定ウィンドウで、[プラグイン] タブに移動します。 2. [プラグインの証明書の確認] で [はい] を選択します。これで、信頼済みのプラ グインのみが読み込まれます。 信頼済みのデジタル署名されたプラグインのみを読み込む場合は、[はい] に設定します。[いいえ] に設定した場合は、インストール済みのあらゆる プラグインの読込みが許可されます。 3.
3. 保護されたゲスト・アクセス・プラグイン のフロー クライアント・ デバイスは、モ ニターに表示さ れた PIN を入力 して、Intel® Unite™ アプリ ケーション内で セッションを開 始し、ゲストア クセスを開始し ます。 ハブで、インス トールされてい るプラグインと サービスが開始 します。 ゲスト・アクセス・サービ スは、ホストされている ネットワークを開始しま す。SSID、パスワード、ダ ウンロードのリンクがモニ ターに表示されます。 ゲスト (ユーザー) は、関連付けられているパスワードを使用して SSID に接続し、アプリケーションに参加するか、ダウンロードします。 Intel® Unite™ ソリューション – 保護されたゲストアクセス用プラグインガイド v1.
4. クライアント・デバイスでゲストアクセス を有効にする方法 ユーザーは、ゲスト・アクセス・クライアントが接続できるモニターあるいはディスプ レイに表示されている PIN を使用し、ローカルでハブ (室内の参加者) に接続されたク ライアント・マシンを用意します。 ゲストアクセスが許可されているクライアント・マシンで、次の手順を実行します。 1. ハブに表示されている PIN を使用して Intel® Unite™ アプリケーションに接続しま す。 2. 接続したら、ウィンドウに表示される [ゲストアクセス] アイコンをクリックします。 3. [ゲストアクセス] ウィンドウが表示されます。[ゲストアクセスの開始] をクリッ クして、参加するゲストのローカルの Wi-Fi アクセスを有効にします。 Intel® Unite™ ソリューション – 保護されたゲストアクセス用プラグインガイド v1.
4. 会議室内のモニターまたはディスプレイであるハブには次の内容が表示されます。 ゲストアクセスの SSID「独自のネットワーク名」 使用するパスワード [ゲストアクセスのダウンロード] リンク ゲストアクセスから接続しているクライアント・マシン (セッションゲスト): 1. ゲストアクセスの SSID に接続して、ハブに表示されるパスワードを入力します。 2. ブラウザーで、モニターに表示される [ゲストアクセスのダウンロード] リンク に移動します。表示されている形式 http:///guest を使用します。 Intel® Unite™ ソリューション – 保護されたゲストアクセス用プラグインガイド v1.
3. 次の Web ページが表示されます。 4. 次の 3 つのオプションに従って選択します。 Intel® Unite™ アプリケーション v3.0 をインストールしていますか? o このオプションは、クライアント・マシンに Intel® Unite™ アプリ ケーションがすでにインストールされている場合に使用します。接続する には、[ゲスト参加] (v3.0 が必要) をクリックしてください。 Intel® Unite™ アプリケーション v3.
の 2 オプション)、アプリをダウンロードしてインストールする権限がな い場合に使用します。ワンタイムのゲスト・アクセス・バージョンを使用 できます。このオプションでは、Intel® Unite™ アプリケーションが 1 回 のみ起動し、クライアント・マシンには常駐しません。このオプションは、 Windows* OS のみで使用できます。 5. 選択に従って、インストーラーをダウンロードし、実行します。 6. インストールの完了後、クライアント・マシンに [接続] ウィンドウが表示され、 ゲストが PIN を入力してセッションに接続できます。 7. [ゲストアクセス] ウィンドウで、[情報を表示] アイコンが表示されている場合は、 セッションに接続しているユーザーを表示できます。[情報を表示] をクリックする と、ゲストが使用しているゲストアクセス情報のトーストメッセージがモニター (ハブ) に表示されます。 Intel® Unite™ ソリューション – 保護されたゲストアクセス用プラグインガイド v1.
8. すべてのユーザーがセッションから切断されると、ゲストアクセスを使用してい るクライアント・デバイスが切断されます。ハブ (モニターまたはディスプレイ) に、 ゲストアクセスで接続しているユーザーがいないことを示すトーストメッセージが 数秒間表示されます。 Intel® Unite™ ソリューション – 保護されたゲストアクセス用プラグインガイド v1.
付録 A:ファイアウォールの例外 ファイアウォール設定で、Intel® Unite™ アプリケーションと GuestAccessService が [許可されたアプリ] リストに追加されていることを確認および検証してください。 以下の例のように次のボックスをチェックする必要があります。 1. インターネット インフォメーション サービス (IIS) 2. マネージャーおよび WWW (HTTP) 3. GuestAccessService Intel® Unite™ ソリューション – 保護されたゲストアクセス用プラグインガイド v1.
付録 B:トラブルシューティング Windows* イベント ログでも詳細情報が確認できます。 ゲストアクセスが開始しない (または表示されない) プラグインの動作を妨げる証明書ハッシュが入力されていないことを管理 ポータルで確認します。 自分の組織の GPO ポリシー (グループ・ポリシー・オブジェクト) が仮想ホ スト・ネットワークを許可しない場合は、システム管理者に連絡してください。 管理者 Web ポータル (エンタープライズ・バージョン) に、保護されたゲス トアクセスのプラグイン証明書ハッシュのキー値が入力されていることを確認し ます。 管理者 Web ポータルで、プラグイン証明書ハッシュが有効になっているこ とを確認します。 ハブが有線接続で企業ネットワークに接続されていることを確認します。 スタンドアロン・バージョンの場合、[信頼済みのプラグイン] チェックボッ クスをクリックして、[設定] - [プラグイン] タブでプラグインを有効にしている ことを確認します。 レジストリー・キー HKCU/software/intel/unite/guestaccess/
