Mobile User 簡易セットアップ

今回はSCMによるPrisma AccessのMobile User（MU）のセットアップを行います。最低限の設定で、MU経由でのインターネットアクセスができるところまで設定します。

Mobile Userとは、従来のPAシリーズ（NGFW）のGlobalProtect機能と同じような機能をPrismaAccess上で提供するサービスです。クライアントPCではGlobalProtectエージェントを利用してVPN接続を行います。

現在、PrismaAccess Agent という新しいエージェントがリリースされていますが、今回はGlobalProtectエージェントを利用する前提です。

基本設定

インフラストラクチャ設定

まずは、Prisma Access内で利用するインフラストラクチャサブネット（IPアドレス空間）等の基本設定を行います。

Prisma Accessの各コンポーネントにはこのサブネット内のIPが割り当てられ、それぞれ通信を行います。そのため、以下のネットワークは設定しないでください。

• 既存（拠点側）のネットワークと重複したネットワーク
• モバイルユーザのIPプールと重複したネットワーク
• 169.254.0.0/16、100.64.0.0/10 （Prisma Accessの内部にて利用しているため）

デフォルトでは192.168.255.0/24が割り当てられていますが、Prisma Accessは内部で様々なコンポーネントが動作しているため、特に大規模な環境ではIPが足りなくなる場合があります。構築後の変更は推奨はされていませんので、初期設定時に余裕を持ったサブネットを設定した方が良いと思います。（一般的には/23以上が推奨されているようです。）

• 左側メニュー【Configration】→【NGFW and Prisma Access】をクリックします。
• 画面上の「Configration Scope」がPrisma Accessになっていることを確認します。
• 画面上のセットアップをクリックします。（Pin to Leftを利用している場合は左下に表示されます）
• 「インフラストラクチャ設定」の右側にある歯車アイコンをクリックします。

• サブネットを設定して、「保存」をクリックします。（192.168.254.0/23に変更してみました。）

• 以下のような警告がでるので「OK」をクリックします。

モバイルユーザー設定

続いてモバイルユーザーの基本設定を行います。

• 画面上の「Configration Scope」をクリックし、Mobile User Containerをクリックします。
• モバイルユーザーセットアップ画面が表示されるので、GlobalProtect接続の「有効化」をクリックします。

• 有効化をクリックすると「GlobalProtectセットアップ」ボタンに変わるので再度クリックします。

• GlobalProtectのセットアップ画面に移動します。（画面上部のConfigration ScopeがGlobal Protectになります。）
• 現在、新規で立ち上げたテナントは、デフォルトで IP Optimization 機能が有効になっています。「OK」をクリックしてください。（先に進めません。）

• 「OK」をクリックすると、「インフラストラクチャ設定のセットアップ」ボタンがクリックできるようになりますので、クリックします。

以下の設定を行います。

ポータル名

ポータルのドメイン名の設定を行います。ポータルとはNGFWで言うところのGlobalProtectポータルと基本的には同じものです。デフォルトでは「gpcloudservice.com」というドメインが利用可能ですので、任意のサブドメイン名を指定します。カスタムドメインを利用することもできます。

• 「サブドメイン名.gpcloudservice.com」

ポータルのホスト名を設定すると、このドメインがインターネット上に公開されます。

• ゲートウェイのドメインはカスタムドメインは利用できず、基本的にPrisma Access独自のドメインが利用されます。

クラアントDNS

モバイルユーザーとしてGlobalProtectエージェントを利用してVPN接続した際に利用するDNSサーバの設定を行います。デフォルトでは、すべての環境でPrisma Accessデフォルト（GoogleのDNSサーバ）が利用される設定になっています。今回はデフォルトのままにしますが、内部DNSサーバを参照させたい場合などに設定を変更してください。DNSサフィックスの設定も可能です。

クライアントIPプール

モバイルユーザーに払い出すIPアドレスのレンジを設定します。デフォルトでは100.92.0.0/16が設定されていますが、リージョンごとに払い出すプールを変更することができます。インフラサブネットと重複しないようにしてください。今回はこのまま利用します。

100.92.0.0/16 はCGN用にRFC6598で定義されたセグメント(100.64.0.0/10)内のひとつです。

• 「保存」をクリックします。

Prisma Accessの場所

Prisma Accessゲートウェイを立ち上げるロケーションを設定します。

• ロケーションの追加をクリックします。

• 地図上に選択可能なロケーションが表示されるので、ゲートウェイを立ち上げたいロケーションを選択します。今回はJapanをクリックします。

• Japanでは、Japan-CentralとJapan-Southが選択可能です。
• 今回は、Japan-Centralだけ選択しています。（クリックすると緑色に変わります）
• 「保存」をクリックします。

• Japan（選択済み1/2）のように表示が変化します。
• Prisma Accessの場所の左側の「<」をクリックして戻ります。

ユーザー認証

ユーザー認証設定を行います。認証は、ローカルユーザー、SAML、LDAP、RADIUSなど様々な方式に対応しています。今回はローカルユーザーを設定しますが、デフォルトでローカルユーザー認証用の設定が入っていますので、これを流用したいと思います。

• 「Any OS」をクリックして設定の中身を確認します。

• 今回特に変更する部分はないのですが、例えば接続OSごとに認証方式を変えたい場合は、「認証の追加」をクリックして、認証設定を追加することができます。（認証設定は上から順番に評価されます。）
• デフォルトの設定をそのまま利用するので「キャンセル」をクリックします。

ローカルユーザーの登録

今回、認証方式をローカルユーザーにしましたが、ユーザーが1人も登録されていません。このままではログインできないので、ユーザーを作成します。

• 画面上の【IDサービス】→【ローカルユーザーとグループ】をクリックします。
• 「ローカルユーザーの追加」をクリックします。

• ユーザー名とパスワードを設定して、「保存」をクリックします。

• ユーザーが追加されました。

GlobalProtect アプリケーション 設定

GlobalProtectアプリケーションの設定を行います。「GlobalProtectエージェント」経由でポータルにアクセスして認証されたクライアント端末は、ポータルからコンフィグ情報を取得します。このコンフィグ情報を利用して、実際にVPN接続を行うゲートウェイ設定や、認証設定、スプリットトンネル設定など様々な設定を行うことができます。

今回はすべてデフォルト設定を利用しますので、内容だけ確認しておいてください。設定概要についてこちらにも記載されています。

• 「Configration Scope: GlobalProtect」になっていることを確認します。
• 「GlobalProtect アプリケーション」タブをクリックします。

• アプリケーション設定
  • AlwaysOnなど、GPエージェントの動作に関する各種設定
  • GWの登録（内部GWや、NGFWをGWとして利用する場合）
  • HIP情報の収集設定　など
• トンネル設定
  • 主にスプリットトンネルについての設定
• グローバルアプリケーション設定
  • ポータルからDL可能なGPエージェントのバージョンの指定
  • 信頼できる証明書の設定
  • 最大接続数やタイムアウト設定　など

セキュリティポリシーの設定

MU経由でインターネットにアクセスするためのセキュリティポリシーを設定します。

• 「Configration Scope: GlobalProtect」になっていることを確認します。
• 画面上部【「セキュリティサービス」タブ】 →【セキュリティポリシー】をクリックします。
• 画面右側【ルールの作成】→【セキュリティルール】をクリックします。

以下の設定を行います。設定後、保存をクリックしてください。

設定のPush（コミット）

• 画面右上の【設定のプッシュ】→【プッシュ】をクリックします。

• 「説明」に適当なコメントを記載し、「プッシュ」をクリックします。
• 設定が反映されるまで待ちます。（初回は環境のデプロイなどもあるため30分〜程度の時間がかかります。）

• Resultが「OK」になっていることを確認します。
• プッシュに失敗した場合は、エラーメッセージを確認して修正してください。

接続確認

GlobalProtect Agentのダウンロードとインストール

• クライアントPCのブラウザから、ポータルにアクセスします。
  • ポータルのドメイン名は、「ポータル名」で設定した以下ドメイン名です。
    http://XXXXX.gpcloudservice.com
• 「ローカルユーザーの登録」で設定したユーザー名/パスワードを利用してログインします。

• バナーのみの画面が表示されますので、画面右上の「GlobalProtect Agent」をクリックします。

• ダウンロードページにリダイレクトされます。Windows、MacOSについてはこちらからGlobalProtectエージェントをダウンロードして、インストールしてください。
• iOS、Android、Windows UWPについては各アプリストアからダウンロード・インストールしてください。
• Linuxについては、CSP経由で入手する必要があります。

MUへの接続

• ソフトウェアをインストールしたらPortal（ポータル）に接続するためのURLを設定して、接続をクリックします。
  • 「ポータル名」で設定したドメインを設定。
  • 今回は、XXXXX.gpcloudservice.com
• ユーザー名/パスワードを入力して接続をクリックします。
• 「接続済み」になっていれば、接続完了です。

• インターネットにアクセスできるかどうか通信確認を行ってください。

接続確認

PrismaAccess側（SCM）から接続確認を行います。

• 「Configration Scope：GlobalProtect」になっていることを確認します。
• 「セットアップ」をクリックします。
• 「GlobalProtect アプリケーション」タブをクリックします。
• 画面下の「ユーザーの状態」→「現在のユーザー」をクリックします。

• ここで接続ユーザーが確認できます。
• 「アクション」の🚫ボタンをクリックすると、この接続を切断できます。
• 「公開IP」は、ユーザーの接続元IPを表しています。

• 参考まで、「過去の30日間のユーザー」をクリックすると直近30日間のユニークユーザー数を表示することができます。これは、PrismaAccessのMobileUserの必要ライセンス数の考え方が「直近30日間のユーザー数」となっているためです。