Palo Alto Networks 次世代ファイアウォールとディレクトリサーバー(Active Directory、Exchange、Novell eDirectory Server )をシームレスに連携し、アプリケーションの可視化、ポリシーの策定、ログの取得、レポートの作成を管理者が行う際に、ユーザー名およびユーザーグループのデータを使用できるようになる機能です。

ユーザー単位でのフィルタリング機能はありますか？

Palo Alto Networks 次世代ファイアウォールではIPアドレスの制御に加えて、ユーザー単位での通信制御が可能です。

特定の管理職や企画部にだけ、YouTubeを利用させることは可能ですか？

User-ID機能と、App-ID機能とを組み合わせることで、特定のユーザーやグループにだけ特定のアプリケーションを許可させることが可能です。

グループの制御はOUでの制御ですか？

User-IDのグループ制御はセキュリティグループ、または配布グループとなります。

既存のADと連携することでAD上の設定で必要なことは？

ユーザー識別エージェントをADサーバーにインストールする場合、Event Log Readers (セキュリティログ参照)の権限付与が必要になります。 ADサーバーとは別のサーバーにインストールする場合、上記に加えインストールするサーバー上のAdministrators(管理者)権限をユーザー識別エージェント用のアカウントに付与する必要があります。

ユーザー識別エージェントのサポートOSを教えてください。

Windows Server 2003/2003r2/2008/2008r2/2012/2012r2/2016（32 bit / 64 bit）です。

プロキシ経由の場合、ユーザー単位で制御することは可能ですか？

httpsヘッダ中のx-forwarded-forヘッダを参照することで、プロキシ経由の通信においてもユーザーごとでの制御を行うことが可能です。

DHCP管理化のクライアントPCや、ひとつのクライアントPCを複数のユーザーが利用する場合でも、ユーザー単位での制御が可能ですか？

ユーザーが変更される際に、ADへのログインが実行されれば、その情報を基にユーザーを識別し制御することが可能になります。

ADとの連携で、ADにログインしていないIPからの通信は制御できませんか？

Captive Portal(Web認証)機能を用いることで、ADにログインしていないユーザーの認証を行うことが可能です。

AD以外のドメインコントローラーの対応は可能ですか？

2018年6月現在、以下のドメインコントローラーに対応しています。・ユーザー識別エージェント対応ドメインコントローラー Microsoft Active Directory 2003/2003r2/2008/2008r2/2012/2012r2） Microsoft Exchange （2003 (6.5)/2007 (8.0)/2010 (14.0)/2013） Novell eDirectory Server 8.8 ・ターミナルサービス識別エージェント対応ドメインコントローラー WindowsServer 2003/2003r2/2008/2008r2/2012r2/2016) Citrix Metaframe Presentation Server 4.x Citrix XenApp(5.x/6.x/7.x)

ターミナルサーバー経由でインターネットを行う環境では、ユーザーは識別できないのでしょうか？

ターミナルサーバーに専用エージェントをインストールいただくことで、ユーザーを特定することが可能になります。

Palo Alto Networks Products

Q: AD以外のドメインコントローラーの対応は可能ですか？

2018年6月現在、以下のドメインコントローラーに対応しています。 ・ユーザー識別エージェント対応ドメインコントローラー Microsoft Active Directory 2003/2003r2/2008/2008r2/2012/2012r2） Microsoft Exchange （2003 (6.5)/2007 (8.0)/2010 (14.0)/2013） Novell eDirectory Server 8.8 ・ターミナルサービス識別エージェント対応ドメインコントローラー WindowsServer 2003/2003r2/2008/2008r2/2012r2/2016) Citrix Metaframe Presentation Server 4.x Citrix XenApp(5.x/6.x/7.x)

技術：User-ID

User-IDとは？

Palo Alto Networks 次世代ファイアウォールとディレクトリサーバー(Active Directory、Exchange、Novell eDirectory Server )をシームレスに連携し、アプリケーションの可視化、ポリシーの策定、ログの取得、レポートの作成を管理者が行う際に、ユーザー名およびユーザーグループのデータを使用できるようになる機能です。
ユーザー単位でのフィルタリング機能はありますか？

Palo Alto Networks 次世代ファイアウォールではIPアドレスの制御に加えて、ユーザー単位での通信制御が可能です。
特定の管理職や企画部にだけ、YouTubeを利用させることは可能ですか？

User-ID機能と、App-ID機能とを組み合わせることで、特定のユーザーやグループにだけ特定のアプリケーションを許可させることが可能です。
グループの制御はOUでの制御ですか？

User-IDのグループ制御はセキュリティグループ、または配布グループとなります。
既存のADと連携することでAD上の設定で必要なことは？

ユーザー識別エージェントをADサーバーにインストールする場合、Event Log Readers (セキュリティログ参照)の権限付与が必要になります。
ADサーバーとは別のサーバーにインストールする場合、上記に加えインストールするサーバー上のAdministrators(管理者)権限をユーザー識別エージェント用のアカウントに付与する必要があります。
ユーザー識別エージェントのサポートOSを教えてください。

Windows Server 2003/2003r2/2008/2008r2/2012/2012r2/2016（32 bit / 64 bit）です。
プロキシ経由の場合、ユーザー単位で制御することは可能ですか？

httpsヘッダ中のx-forwarded-forヘッダを参照することで、プロキシ経由の通信においてもユーザーごとでの制御を行うことが可能です。
DHCP管理化のクライアントPCや、ひとつのクライアントPCを複数のユーザーが利用する場合でも、ユーザー単位での制御が可能ですか？

ユーザーが変更される際に、ADへのログインが実行されれば、その情報を基にユーザーを識別し制御することが可能になります。
ADとの連携で、ADにログインしていないIPからの通信は制御できませんか？

Captive Portal(Web認証)機能を用いることで、ADにログインしていないユーザーの認証を行うことが可能です。
AD以外のドメインコントローラーの対応は可能ですか？
2018年6月現在、以下のドメインコントローラーに対応しています。
- ユーザー識別エージェント対応
  ドメインコントローラー
  
  Microsoft Active Directory 2003/2003r2/2008/2008r2/2012/
  2012r2） Microsoft Exchange （2003 (6.5)/2007 (8.0)/2010 (14.0)/2013） Novell eDirectory Server 8.8
- ターミナルサービス識別エージェント
  対応ドメインコントローラー
  
  WindowsServer 2003/2003r2/
  2008/2008r2/2012r2/2016) Citrix Metaframe Presentation Server 4.x Citrix XenApp(5.x/6.x/7.x)
ターミナルサーバー経由でインターネットを行う環境では、ユーザーは識別できないのでしょうか？

ターミナルサーバーに専用エージェントをインストールいただくことで、ユーザーを特定することが可能になります。