Cisco Unified Communications Manager は、強化されたセキュリティ環境での動作が可能です。 これらの強化機能により、電話ネットワークが、一連の厳密なセキュリティ管理とリスク管理の制御下で動作するようになり、自分自身とユーザが保護されます。

強化されたセキュリティ環境には、次の機能が含まれています。

  • 連絡先検索認証。

  • リモート監査ロギングのデフォルト プロトコルとしての TCP。

  • FIPS モード。

  • クレデンシャル ポリシーの改善。

  • デジタル署名のための SHA-2 ファミリ ハッシュのサポート。

  • 512 ビットおよび 4096 ビットの RSA キー サイズのサポート。

Cisco Unified Communications Manager リリース 14.0 および Cisco Video Phone ファームウェア リリース 2.1 以降では、電話機は SIP OAuth 認証をサポートします。

OAuth は、Cisco Unified Communications Manager リリース 14.0(1)SU1 以降で Proxy Trivial File Transfer Protocol (TFTP) でサポートされています。 プロキシ TFTP およびプロキシ TFTP 用の OAuth は、Mobile and Remote Access (MRA) ではサポートされません。

セキュリティ設定に関するその他の情報については、以下を参考にしてください。

電話機には、限られた数の Identity Trust List(ITL)ファイルのみ保存できます。 Cisco Unified Communications Manager が電話機に送信できるファイルの数を制限する必要があるため、電話機の ITL ファイルは最大 64K です。

サポート対象のセキュリティ機能

セキュリティ機能は、電話機の ID やデータへの脅威などの脅威を防止します。 セキュリティ機能は、電話機と Cisco Unified Communications Manager サーバ間に認証された通信ストリームを確立し、これを維持するとともに、電話機がデジタル署名されたファイルのみ使用することを確認します。

Cisco Unified Communications Manager リリース 8.5(1) 以降のはデフォルトでセキュリティ機能が搭載されており、CTL クライアントを実行しなくても、Cisco IP 電話 に次のセキュリティ機能が提供されます。

  • 電話機の設定ファイルの署名

  • 電話機の設定ファイルの暗号化

  • HTTPS with Tomcat および他の Web サービスの利用

シグナリングおよびメディア機能を保護するには、引き続き、CTL クライアントを実行し、ハードウェア eToken を使用する必要があります。

Cisco Unified Communications Manager システムにセキュリティを実装すると、電話機や Cisco Unified Communications Manager サーバの ID 盗用、データの改ざん、およびコール シグナリングとメディア ストリームの改ざんを防止できます。

これらの脅威を軽減するため、Cisco Unified IP テレフォニー ネットワークは、電話機とサーバの間にセキュアな(暗号化された)通信ストリームを確立し、維持します。ファイルはデジタル署名してから電話機に転送し、Cisco IP 電話 間では、メディア ストリームとコール シグナリングを暗号化します。

認証局プロキシ関数(CAPF)に関連付けられた必要なタスクの実行後、ローカルで有効な証明書(LSC)が電話機にインストールされます。 LSC は Cisco Unified Communications Manager Administration で設定できます。詳細については、『Cisco Unified Communications Manager セキュリティガイド』を参照してください。 あるいは、携帯電話のセキュリティ設定メニューから LSC のインストールを開始することもできます。 このメニューでは、LSC の更新および削除も実行できます。

PhoneOS 3.2 リリース以降、LSC は、WLAN 認証による EAP-TLS のユーザ証明書として使用できるようになりました。

電話機では電話セキュリティ プロファイルを使用します。この中では、デバイスがセキュリティ保護の対象になるかどうかを定義します。 電話へセキュリティ プロファイルを適用する方法の詳細は、該当する Cisco Unified Communications Manager リリースのマニュアルを参照してください。

Cisco Unified Communications Manager Administration でセキュリティ関連の設定を行うと、電話機の設定ファイルに重要な情報が保存されます。 設定ファイルのプライバシーを確保するには、そのファイルを暗号化用に設定する必要があります。 詳細については、該当する Cisco Unified Communications Manager リリースのマニュアルを参照してください。

この携帯電話は連邦情報処理標準 (FIPS) に準拠しています。 正常に機能するには、FIPS モードで 2048 ビット以上のキー サイズが必要です。 証明書が 2048 ビット未満の場合、電話機は Cisco Unified Communications Manager に登録されず、「電話機を登録できませんでした。 [証明書のキー サイズは FIPS に準拠していません(Cert key size is not FIPS compliant)]が表示されます。

電話機に LSC がある場合、FIPS を有効にする前に、LSC キー サイズを 2048 ビット以上に更新しておく必要があります。

次の表に、電話機でサポート対象セキュリティ機能の概要を示します。 詳細については、お使いの Cisco Unified Communications Manager リリースのマニュアルを参照してください。

セキュリティモードを表示するには、 設定 設定ハードキー に移動して ネットワークとサービス > セキュリティ設定

表 1。セキュリティ機能の概要

特長

説明

イメージ認証(Image authentication)

署名付きのバイナリ ファイルによって、ファームウェア イメージが電話機へのロード前に改ざんされることを防止します。

イメージが改ざんされると、電話機は認証プロセスに失敗し、新しいイメージを拒否します。

カスタマー サイト証明書のインストール

各 Cisco IP 電話は、デバイス認証に一意の証明書を必要とします。 電話機には Manufacturing Installed Certificate(MIC; 製造元でインストールされる証明書)が含まれますが、追加のセキュリティについては、Cisco Unified Communications Manager の管理ページで、Certificate Authority Proxy Function(CAPF; 認証局プロキシ関数)を使用して証明書のインストールを指定できます。 あるいは、電話機の [セキュリティ設定(Security Configuration)] メニューからローカルで有効な証明書(LSC)をインストールします。

[デバイス認証(Device authentication)]

Cisco Unified Communications Manager サーバと電話機間で、一方のエンティティが他方のエンティティの証明書を受け入れるときに行われます。 電話機と Cisco Unified Communications Manager の間でセキュアな接続を確立するかどうかを判別し、必要に応じて TLS プロトコルを使用してエンティティ間にセキュアなシグナリング パスを作成します。 Cisco Unified Communications Manager では、認証できない電話機は登録されません。

ファイル認証(File authentication)

電話機がダウンロードするデジタル署名ファイルを検証します。 ファイルの作成後、ファイルの改ざんが発生しないように、電話機でシグニチャを検証します。 認証できないファイルは、電話機のフラッシュ メモリに書き込まれません。 電話機はこのようなファイルを拒否し、処理を続行しません。

ファイルの暗号化

暗号化により、ファイルの機密性の高い情報が電話機に転送される間に漏えいしないように保護されます。 さらに、電話機でも、ファイルが作成後に改ざんされていないことを、署名を確認することで確認します。 認証できないファイルは、電話機のフラッシュ メモリに書き込まれません。 電話機はこのようなファイルを拒否し、処理を続行しません。

シグナリング認証

TLS プロトコルを使用して、シグナリング パケットが転送中に改ざんされていないことを検証します。

Manufacturing Installed Certificate(製造元でインストールされる証明書)

各 Cisco IP 電話には、固有の製造元でインストールされる証明書(MIC)が内蔵されており、デバイス認証に使用されます。 MIC は、個々の電話機を識別するために長期的に割り当てられた証明を提供し、Cisco Unified Communications Manager はこれを使用して電話機を認証します。

メディア暗号化

SRTP を使用して、サポート対象デバイス間のメディア ストリームがセキュアであること、および意図したデバイスのみがデータを受信し、読み取ることを保証します。 デバイスのメディアプライマリキーペアの作成、デバイスへのキーの配布、キーが転送される間のキーの配布のセキュリティの確保などが含まれます。

CAPF(Certificate Authority Proxy Function)

電話機に非常に高い処理負荷がかかる、証明書生成手順の一部を実装します。また、キーの生成および証明書のインストールのために電話機と対話します。 電話機の代わりに、お客様指定の認証局に証明書を要求するよう CAPF を設定できます。または、ローカルで証明書を生成するように CAPF を設定することもできます。

EC (楕円曲線) と RSA の両方のキー タイプがサポートされています。 EC キーを使用するには、パラメータ「エンドポイントの高度な暗号化アルゴリズムのサポート」( システム > エンタープライズパラメータ) が有効になります。

CAPF および関連する構成の詳細については、次のドキュメントを参照してください。

セキュリティ プロファイル

電話機がセキュリティ保護、認証、または暗号化の対象になるかどうかを定義します。 この表の他の項目は、セキュリティ機能について説明しています。

暗号化された設定ファイル(Encrypted configuration files)

電話機の設定ファイルのプライバシーを確保できるようにします。

電話機の Web サーバの無効化(オプション)

セキュリティ上の目的で、電話機の Web ページ(ここには電話機のさまざまな処理の統計情報が表示される)とセルフ ケア ポータルへのアクセスを防止できます。

電話のセキュリティ強化(Phone hardening)

Cisco Unified Communications Manager Administration から制御する追加セキュリティオプションです。

  • PC ポートの無効化
  • Gratuitous ARP(GARP)の無効化
  • PC ボイス VLAN アクセスの無効化
  • 設定メニューへのアクセスの無効化またはアクセス制限の提供
  • 電話機の Web ページへのアクセスの無効化
  • Bluetooth アクセサリ ポートの無効化
  • TLS 暗号の制限

802.1X 認証

Cisco IP 電話は 802.1X 認証を使用して、ネットワークへのアクセスの要求およびネットワーク アクセスができます。 詳細は、802.1X 認証を参照してください。

SRST 向けのセキュアな SIP フェールオーバー

セキュリティ目的で Survivable Remote Site Telephony(SRST)リファレンスを設定してから、Cisco Unified Communications Manager の管理ページで従属デバイスをリセットすると、TFTP サーバは電話機の cnf.xml ファイルに SRST 証明書を追加し、そのファイルを電話機に送信します。 その後、セキュアな電話機は TLS 接続を使用して、SRST 対応ルータと相互に対話します。

シグナリング暗号化

デバイスと Cisco Unified Communications Manager サーバの間で送信されるすべての SIP シグナリング メッセージが暗号化されるようにします。

信頼リストの更新アラーム

電話機で信頼リストが更新されると、Cisco Unified Communications Manager は更新の成功または失敗を示すアラームを受信します。 詳細については、以下の表を参照してください。

AES 256 暗号化(AES 256 Encryption)

Cisco Unified Communications Manager リリース 10.5(2)以降の 以降に接続している電話機は、シグナリングとメディア暗号化に関する TLS および SIP の AES 256 暗号化をサポートします。 これにより電話機は、SHA-2(Secure Hash Algorithm)標準および Federal Information Processing Standard(FIPS)に準拠する AES-256 ベースの暗号を使用して TLS 1.2 接続を開始し、サポートすることができます。 暗号は次のとおりです。

  • TLS 接続用:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • sRTP 用:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

詳細については、Cisco Unified Communications Manager のマニュアルを参照してください。

楕円曲線デジタル署名アルゴリズム(ECDSA)証明書

コモン クライテリア(共通基準、CC)認証の一部として、バージョン 11.0 の ECDSA 証明書が Cisco Unified Communications Manager  によって追加されました。 これは CUCM 11.5 およびそれ以降のバージョンを実行するすべての Voice Operating System(VOS)製品に影響を与えます。

Cisco UCM を使用したマルチサーバ (SAN) Tomcat 証明書

電話機は、マルチサーバ (SAN) Tomcat 証明書が設定された Cisco UCM をサポートします。 正しい TFTP サーバ アドレスは、電話の登録用の電話の ITL ファイルにあります。

この機能の詳細については、以下を参照してください。

次の表に、信頼リストの更新アラームのメッセージとその意味を示します。 詳細については、Cisco Unified Communications Manager のマニュアルを参照してください。

表 2。信頼リストの更新アラームのメッセージ
コードおよびメッセージ 説明

1 - TL_SUCCESS

新しい CTL や ITL を受信

2 - CTL_INITIAL_SUCCESS

新しい CTL を受信、既存の TL なし

3 - ITL_INITIAL_SUCCESS

新しい ITL を受信、既存の TL なし

4 - TL_INITIAL_SUCCESS

新しい CTL および ITL を受信、既存の TL なし

5 - TL_FAILED_OLD_CTL

新しい CTL への更新に失敗したが、以前の TL あり

6 - TL_FAILED_NO_TL

新しい TL への更新に失敗、古い TL なし

7 - TL_FAILED

一般的な障害

8 - TL_FAILED_OLD_ITL

新しい ITL への更新に失敗したが、以前の TL あり

9 - TL_FAILED_OLD_TL

新しい TL への更新に失敗したが、以前の TL あり

[セキュリティのセットアップ(Security Setup)] メニューには、さまざまなセキュリティ設定に関する情報が表示されます。 メニューでは、[信頼リスト(Trust List)] メニューにもアクセスでき、CTL ファイルまたは ITL ファイルが電話機にインストールされているかどうかを示します。

次の表に、[セキュリティのセットアップ(Security Setup)] メニューのオプションを示します。

表 3。セキュリティのセットアップ メニュー

オプション

説明

変更の手順

セキュリティ モード

電話機に設定されているセキュリティ モードを表示します。

Cisco Unified Communications Manager の管理で、[デバイス(Device)] > [電話(Phone)] を選択します。 この設定は [電話の設定(Phone Configuration)] ウィンドウの [プロトコル固有情報(Protocol Specific Information)] の部分に表示されます。

LSC

セキュリティ機能に使用されるローカルで有効な証明書が電話機にインストールされているか (インストール済み)、または電話機にインストールされていないか (未インストール) を示します。

電話機における LSC の詳しい管理方法については、該当する Cisco Unified Communications Manager リリースのマニュアルを参照してください。

ローカルで有効な証明書(LSC)のセットアップ

この作業は、認証文字列方式を使用した LSC の設定に適用されます。

はじめる前に

次の点を調べて、対象の Cisco Unified Communications Manager および認証局プロキシ関数(CAPF)のセキュリティ設定が完了していることを確認してください。

  • CTL ファイルまたは ITL ファイルに CAPF 証明書が含まれていること。

  • Cisco Unified Communications オペレーティング システムの管理ページで、CAPF 証明書がインストールされていることを確認してください。

  • CAPF が実行および設定されていること。

これらの設定の詳細については、特定の Cisco Unified Communications Manager リリースのマニュアルを参照してください。

1

CAPF の設定時に設定された CAPF 認証コードを入手します。

2

電話で、 設定 the Settings hard key.

3

パスワードを求められた場合は、パスワードを入力してアクセスします。 設定 メニュー。 パスワードは管理者から取得できます。

4

移動先 ネットワークとサービス > セキュリティ設定 > LSC

Cisco Unified Communications Manager の管理ページの [設定アクセス(Settings Access)] フィールドを使用すると、[設定(Settings)] メニューへのアクセスを制御できます。

5

認証文字列を入力して選択 提出する

CAPF の設定に応じて、電話機で LSC のインストール、更新、または削除が開始されます。 手順が完了すると、電話機に [インストール済み(Installed)] または [未インストール(Not Installed)] と表示されます。

LSC のインストール、更新、または削除プロセスは、完了するのに長時間かかることがあります。

電話機のインストール手順が正常に実行されると、「インストール済み(Installed )」メッセージが表示されます。 電話機に「未インストール(Not Installed)」と表示された場合は、認証文字列に誤りがあるか、電話機のアップグレードが有効になっていない可能性があります。 CAPF 操作で LSC を削除し、電話機に「未インストール(Not Installed)」と表示された場合、それは操作が成功したことを示しています。 CAPF サーバはこのエラー メッセージをログに記録します。 ログを見つけ、エラー メッセージの意味を理解するには、CAPF サーバ ドキュメントを参照してください。

FIPS モードの有効化

1

Cisco Unified Communications Manager Administration で、[デバイス(Device)] > [電話(Phone)] を選択し、電話機を見つけます。

2

[製品固有の設定(Product Specific Configuration)] 領域まで移動します。

3

[FIPS モード(FIPS Mode)] フィールドを [有効(Enabled)] に設定します。

4

保存を選択します。

5

[設定の適用(Apply Config)] を選択します。

6

電話機を再起動します。

電話のスピーカーフォン、ヘッドセット、受話器をオフにする

ユーザの電話機のスピーカーフォン、ヘッドセット、および受話器を永続的にオフにするオプションがあります。

1

Cisco Unified Communications Manager Administration で、[デバイス(Device)] > [電話(Phone)] を選択し、電話機を見つけます。

2

[製品固有の設定(Product Specific Configuration)] 領域まで移動します。

3

電話の機能をオフにするには、次のチェックボックスを 1 つ以上オンにします。

  • スピーカーフォンを無効にする
  • スピーカーフォンとヘッドセットを無効にする(Disable Speakerphone and Headset)
  • ハンドセットを無効にする

デフォルトでは、これらのチェックボックスはオフになっています。

4

保存を選択します。

5

[設定の適用(Apply Config)] を選択します。

802.1X 認証

Cisco IP Phones は 802.1X 認証をサポートします。

Cisco IP 電話 と Cisco Catalyst スイッチは、従来 Cisco Discovery Protocol(CDP)を使用して互いを識別し、VLAN 割り当てやインライン所要電力などのパラメータを決定します。 CDP では、ローカルに接続されたワークステーションは識別されません。 Cisco IP 電話は、EAPOL パススルー メカニズムを提供します。 このメカニズムを使用すると、Cisco IP 電話に接続されたワークステーションは、LAN スイッチにある 802.1X オーセンティケータに EAPOL メッセージを渡すことができます。 パススルー メカニズムにより、IP フォンはネットワークにアクセスする前にデータ エンドポイントを認証する際 LAN スイッチとして動作しません。

Cisco IP 電話はまた、プロキシ EAPOL ログオフ メカニズムも提供します。 ローカルに接続された PC が IP フォンから切断された場合でも、LAN スイッチと IP フォン間のリンクは維持されるので、LAN スイッチは物理リンクの障害を認識しません。 ネットワークの完全性が脅かされるのを避けるため、IP フォンはダウンストリーム PC の代わりに EAPOL ログオフ メッセージをスイッチに送ります。これは、LAN スイッチにダウンストリーム PC の認証エントリをクリアさせます。

802.1X 認証のサポートには、次のようなコンポーネントが必要です。

  • Cisco IP 電話: 電話機は、ネットワークへのアクセス要求を開始します。 Cisco IP Phones には、802.1x サプリカントが含まれています。 このサプリカントを使用して、ネットワーク管理者は IP 電話と LAN スイッチ ポートの接続を制御できます。 電話機に含まれる 802.1X サプリカントの現在のリリースでは、ネットワーク認証に EAP-FAST オプションと EAP-TLS オプションが使用されています。

  • 認証サーバ: 認証サーバとスイッチの両方に、電話機を認証する共有秘密を設定する必要があります。

  • スイッチ:スイッチは 802.1X をサポートする必要があるため、オーセンティケーターとして機能し、電話と認証サーバー間でメッセージを送受信します。 この交換が完了した後、スイッチはネットワークへの電話機のアクセスを許可または拒否します。

802.1X を設定するには、次の手順を実行する必要があります。

  • 電話機で 802.1X 認証をイネーブルにする前に、他のコンポーネントを設定します。

  • PC ポートの設定:802.1X 標準では VLAN が考慮されないため、特定のスイッチ ポートに対してデバイスを 1 つだけ認証することを推奨します。 ただし、一部のスイッチはマルチドメイン認証をサポートしています。 スイッチの設定により、PC を電話機の PC ポートに接続できるかどうかが決定されます。

    • 有効:複数ドメインの認証をサポートするスイッチを使用している場合、PC ポートを有効化し、そのポートに PC を接続できます。 この場合、スイッチと接続先 PC 間の認証情報の交換をモニタするために、Cisco IP Phones はプロキシ EAPOL ログオフをサポートします。

      Cisco Catalyst スイッチでの IEEE 802.1X サポートの詳細については、次の URL にある Cisco Catalyst スイッチのコンフィギュレーション ガイドを参照してください。

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • 無効:スイッチが同一ポート上の複数の 802.1X 対応デバイスをサポートしていない場合、802.1X 認証を有効化するときに PC ポートを無効にする必要があります。 このポートを無効にしないで PC を接続しようとすると、スイッチは電話機と PC の両方に対してネットワーク アクセスを拒否します。

  • ボイス VLAN の設定:802.1X 標準では VLAN が考慮されないため、この設定をスイッチのサポートに基づいて行うようにしてください。
    • 有効:複数ドメインの認証をサポートするスイッチを使用している場合は、ボイス VLAN を引き続き使用できます。
    • 無効:スイッチで複数ドメインの認証がサポートされていない場合は、ボイス VLAN を無効にし、ポートをネイティブ VLAN に割り当てることを検討してください。
  • (Cisco デスクフォン 9800 シリーズのみ)

    Cisco Desk Phone 9800 シリーズの PID プレフィックスは、他の Cisco 電話機のプレフィックスとは異なります。 携帯電話が 802.1X 認証を通過できるようにするには、 Radius·ユーザ名 パラメータを追加して、Cisco Desk Phone 9800 シリーズを追加します。

    例えば、電話機 9841 の PID は DP-9841 です。 Radius·ユーザ名DP から始める または DP を含む。 次の両方のセクションで設定できます。

    • ポリシー > 条件 > 図書館の条件

    • ポリシー > ポリシーセット > 承認ポリシー > 承認ルール 1

[802.1X認証の有効化(Enable 802.1X authentication)]

次の手順に従って、電話機の 802.1X 認証を有効にできます。

1

[設定(Settings)]を押します。the Settings hard key.

2

パスワードを求められた場合は、パスワードを入力してアクセスします。 設定 メニュー。 パスワードは管理者から取得できます。

3

移動先 ネットワークとサービス > セキュリティ設定 > 802.1X 認証

4

IEEE 802.1X 認証をオンにします。

5

[Apply] を選択します。

携帯電話のセキュリティ設定に関する情報を表示する

セキュリティ設定に関する情報は、電話メニューで確認できます。 情報の可用性は、組織内のネットワーク設定によって異なります。

表 4. セキュリティ設定のパラメータ

パラメータ

説明

Security Mode

電話機に設定されているセキュリティ モードを表示します。

LSC

セキュリティ機能で使用される、ローカルで有効な証明書が電話機にインストールされている([はい(Yes)])かインストールされていない([いいえ(No)])かを示します。

信頼リスト

[信頼リスト(Trust List)] は、CTL ファイル、ITL ファイル、および署名済み設定ファイル用のサブメニューを備えています。

[CTL ファイル(CTL File)] サブメニューは、CTL ファイルの内容を表示します。 [ITL ファイル(ITL File)] サブメニューは、ITL ファイルの内容を表示します。

[信頼リスト(Trust List)] メニューには、次の情報が表示されます。

  • [CTL 署名(CTL Signature)]:CTL ファイルの SHA1 ハッシュ
  • [Unified CM/TFTP サーバ(Unified CM/TFTP Server)]:電話機で使用される Cisco Unified Communications Manager と TFTP サーバの名前。 このサーバに証明書がインストールされている場合は、証明書アイコンが表示されます。
  • [CAPF サーバ(CAPF Server)]:電話機が使用する CAPF サーバの名前。 このサーバに証明書がインストールされている場合は、証明書アイコンが表示されます。
  • [SRST ルータ(SRST Router)]:電話機で使用可能な、信頼できる SRST ルータの IP アドレス。 このサーバに証明書がインストールされている場合は、証明書アイコンが表示されます。
802.1X 認証IEEE 802.1X 認証を有効または無効にします。

詳細については、 802.1X 認証

WPA との下位互換性

Wi-Fi Protected Access (WPA) の最も古いバージョンが、ワイヤレス ネットワークまたはアクセス ポイント (AP) に接続するために電話で互換性があるかどうかを判断します。

  • 有効にすると、電話機は WPA、WPA2、WPA3 を含む、サポートされているすべてのバージョンの WPA でワイヤレス ネットワークを検索して接続できます。 さらに、電話機は、WPA の最も古いバージョンのみをサポートする AP を検索して接続することもできます。
  • 無効にした場合(デフォルト)、電話機は WPA2 および WPA3 をサポートするワイヤレス ネットワークと AP のみを検索して接続できます。

この機能は、9861/9871/8875 電話でのみ利用できます。
1

[設定(Settings)]を押します。the Settings key.

2

移動先 ネットワークとサービス > セキュリティ設定

3

の中で セキュリティ設定セキュリティ情報を表示します。

電話コールのセキュリティ

電話機にセキュリティを実装している場合は、電話スクリーンに表示されるアイコンによって、セキュアな電話コールや暗号化された電話コールを識別できます。 また、コールの開始時にセキュリティ トーンが再生される場合は、接続された電話機がセキュアであり保護されているかどうかも判断できます。

セキュアなコールでは、すべてのコール シグナリングとメディア ストリームが暗号化されます。 セキュアなコールは高度なレベルのセキュリティを提供し、コールに整合性とプライバシーを提供します。 通話が暗号化されている場合、セキュアアイコンが表示されます。 安全な通話のためのロックアイコン ライン上で。 安全な電話のために、認証済みアイコンも表示できます または暗号化されたアイコン 電話メニュー(設定 > このデバイスについて)で、接続されたサーバの横に表示されます。

コールが PSTN などの非 IP コール レッグを経由してルーティングされる場合、コールが IP ネットワーク内で暗号化されており、鍵のアイコンが関連付けられていても、そのコールはセキュアではないことがあります。

セキュアなコールではコールの開始時にセキュリティ トーンが再生され、接続先の電話機もセキュアな音声を送受信していることを示します。 セキュアでない電話機にコールが接続されると、セキュリティ トーンは再生されません。

セキュアなコールは、2 台の電話機間でのみサポートされます。 電話会議や共有回線などの一部の機能は、セキュアなコールが設定されているときは使用できません。

電話が Cisco Unified Communications Manager でセキュア(暗号化され、信頼済み)として設定されている場合は、 保護された 状態。 その後、必要に応じて、保護された電話機は、コールの初めに通知トーンを再生するように設定できます。

  • [保護されたデバイス(Protected Device)]:セキュアな電話機のステータスを保護に変更するには、Cisco Unified Communications Manager の管理ページの [電話の設定(Phone Configuration)] ウィンドウにある [保護されたデバイス(Protected Device)] チェックボックスをオンにします([デバイス(Device)] > [電話(Phone)])。

  • [セキュア インディケーション トーンの再生(Play Secure Indication Tone)]:保護された電話機で、セキュアまたは非セキュアな通知トーンの再生を有効にするには、[セキュア インディケーション トーンの再生(Play Secure Indication Tone)] 設定を [はい(True)] に設定します。 デフォルトでは、[セキュア インディケーション トーンの再生(Play Secure Indication Tone)] は [いいえ(False)] に設定されます。 このオプションは、Cisco Unified Communications Manager の管理([システム(System)] > [サービス パラメータ(Service Parameters)])で設定します。 サーバを選択してから、Unified Communications Manager サービスを選択します。 [サービス パラメータ設定(Service Parameter Configuration)] ウィンドウで、[機能 - セキュア トーン(Feature - Secure Tone)] 領域内にあるオプションを選択します。 デフォルトは False です。

セキュアな会議コールの特定

セキュアな会議コールを開始し、参加者のセキュリティ レベルをモニタすることができます。 セキュアな電話会議は、次のプロセスに従って確立されます。

  1. ユーザがセキュアな電話機で会議を開始します。

  2. Cisco Unified Communications Manager が、コールにセキュアな会議ブリッジを割り当てます。

  3. 参加者が追加されると、Cisco Unified Communications Manager は、各電話機のセキュリティ モードを検証し、セキュアな会議のレベルを維持します。

  4. 電話機に会議コールのセキュリティ レベルが表示されます。 安全な会議には、安全なアイコンが表示されます 安全な通話のためのロックアイコン.

セキュアなコールは、2 台の電話機の間でサポートされます。 保護された電話機では、セキュアなコールが設定されている場合、会議コール、シェアド ライン、エクステンション モビリティなどの一部の機能を使用できません。

次の表は、発信側の電話機のセキュリティ レベル、参加者のセキュリティ レベル、およびセキュアな会議ブリッジの可用性に応じた、会議のセキュリティ レベルの変更に関する情報を示しています。

表 5。会議コールのセキュリティの制限事項

発信側の電話機のセキュリティ レベル

使用する機能

参加者のセキュリティ レベル

動作結果

非セキュア

会議

セキュア

非セキュアな会議ブリッジ

非セキュアな会議

セキュア

会議

少なくとも 1 台のメンバーが非セキュア。

セキュアな会議ブリッジ

非セキュアな会議

セキュア

会議

セキュア

セキュアな会議ブリッジ

セキュアな暗号化レベルの会議

非セキュア

ミートミー

最小限のセキュリティ レベルが暗号化。

発信側は「セキュリティ レベルを満たしていません。コールを拒否します(Does not meet Security Level, call rejected)」というメッセージを受け取る。

セキュア

ミートミー

最小限のセキュリティ レベルは非セキュア。

セキュアな会議ブリッジ

会議はすべてのコールを受け入れる。

セキュアな電話コールの識別

ユーザの電話機および相手側の電話機でセキュアなコールが設定されている場合にセキュアなコールが確立されます。 相手側の電話機は、同じ Cisco IP ネットワーク内にあっても、Cisco IP ネットワーク以外のネットワークにあってもかまいません。 セキュアなコールは 2 台の電話機間でのみ形成できます。 セキュアな会議ブリッジのセットアップ後、電話会議ではセキュアなコールがサポートされます。

セキュアなコールは、次のプロセスに従って確立されます。

  1. ユーザがセキュアな電話機(セキュリティ モードで保護された電話機)でコールを開始します。

  2. 電話にセキュリティアイコンが表示されます 安全な通話のためのロックアイコン 携帯電話の画面上に表示されます。 このアイコンは、この電話機がセキュアなコール用に設定されていることを示しますが、接続する他の電話機もセキュアであるという意味ではありません。

  3. そのコールが別のセキュアな電話機に接続された場合は、ユーザにセキュリティ トーンが聞こえ、通話の両端が暗号化および保護されていることを示します。 コールが非セキュアな電話機に接続された場合は、ユーザにはセキュリティ トーンが聞こえません。

セキュアなコールは、2 台の電話機の間でサポートされます。 保護された電話機では、セキュアなコールが設定されている場合、会議コール、シェアド ライン、エクステンション モビリティなどの一部の機能を使用できません。

保護された電話機だけで、セキュアまたは非セキュアなインディケーション トーンが再生されます。 保護されていない電話機ではトーンは聞こえません。 コール中にコール全体のステータスが変化すると、それに従って通知トーンも変化し、保護された電話機は対応するトーンを再生します。

このような状況にない場合、保護された電話機はトーンを再生しません。

  • [セキュア インディケーション トーンの再生(Play Secure Indication Tone)] オプションが有効になっている場合

    • エンドツーエンドのセキュアなメディアが確立され、コール ステータスがセキュアになった場合、電話機はセキュア インディケーション トーン(間に小休止を伴う 3 回の長いビープ音)を再生します。

    • エンドツーエンドの非セキュアなメディアが確立され、コール ステータスが非セキュアになった場合、電話機は、非セキュアのインディケーション トーンを再生します(間に小休止を伴う 6 回の短いビープ音)。

[セキュア インディケーション トーンの再生(Play Secure Indication Tone)] オプションが無効になっている場合、トーンは再生されません。

バージの暗号化を提供する

Cisco Unified Communications Manager は、会議の確立時に電話機のセキュリティ ステータスを確認し、会議のセキュリティ表示を変更するか、またはコールの確立をブロックしてシステムの整合性とセキュリティを維持します。

電話機に暗号化が設定されていない場合、その電話機を使用して暗号化されたコールに割り込むことはできません。 この場合、割り込みに失敗すると、割り込みが開始された電話機でリオーダー トーン(速いビジー音)が聞こえます。

割り込みの開始側の電話機に暗号化が設定されている場合、割り込みの開始側は暗号化された電話機からセキュアでないコールに割り込むことができます。 割り込みが発生すると、Cisco Unified Communications Manager はそのコールをセキュアでないコールに分類します。

割り込みの開始側の電話機に暗号化が設定されている場合、割り込みの開始側は暗号化されたコールに割り込むことができ、電話機はそのコールが暗号化されていることを示します。

WLAN セキュリティ

通信圏内にあるすべての WLAN デバイスは他の WLAN トラフィックをすべて受信できるため、WLAN 内の音声通信の保護は重要です。 侵入者が音声トラフィックを操作したり傍受したりできないようにするために、Cisco SAFE セキュリティ アーキテクチャが電話機をサポートします。 ネットワーク内のセキュリティの詳細については、http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html を参照してください。

Cisco ワイヤレス IP テレフォニー ソリューションは、電話機がサポートする次の認証方法を使用して、不正なサインインや通信の侵害を防ぐワイヤレス ネットワーク セキュリティを提供します。

  • オープン認証:オープン システムでは、任意のワイヤレス デバイスが認証を要求できます。 要求を受けた AP は、任意のリクエスタまたはユーザのリスト上にあるリクエスタだけに認証を与える場合があります。 ワイヤレス デバイスとアクセス ポイント (AP) 間の通信は暗号化されていない可能性があります。

  • 拡張認証プロトコル - セキュア トンネリングによる柔軟な認証 (EAP-FAST) 認証: このクライアント/サーバ セキュリティ アーキテクチャは、AP と Identity Services Engine (ISE) などの RADIUS サーバ間のトランスポート レベル セキュリティ (TLS) トンネル内で EAP トランザクションを暗号化します。

    TLS トンネルでは、クライアント(電話機)と RADIUS サーバの間の認証に Protected Access Credential(PAC)が使用されます。 サーバは Authority ID(AID)をクライアント(電話機)に送信します。それを受けてクライアントは適切な PAC を選択します。 クライアント(電話機)は PAC-Opaque を RADIUS サーバに返します。 サーバは、プライマリキーで PAC を復号します。 これで両方のエンドポイントに同じ PAC キーが含まれ、TLS トンネルが構築されます。 EAP-FAST では、自動 PAC プロビジョニングがサポートされていますが、RADIUS サーバ上で有効にする必要があります。

    ISE では、デフォルトでは PAC は 1 週間で期限切れになります。 電話機に期限切れの PAC が存在する場合、電話機が新しい PAC を取得するまでの間は、RADIUS サーバでの認証に比較的長い時間がかかります。 PAC プロビジョニングの遅延を回避するには、ISE または RADIUS サーバで PAC の有効期限を 90 日以上に設定します。

  • 拡張認証プロトコル - トランスポート層セキュリティ(EAP-TLS)認証:EAP-TLS では、認証とネットワークアクセスにクライアント証明書が必要です。 ワイヤレス EAP-TLS の場合、クライアント証明書は MIC, LSC, またはユーザがインストールした証明書にすることができます。

  • Protected Extensible Authentication Protocol(PEAP):クライアント(電話機)と RADIUS サーバ間の、シスコ独自のパスワードベースの相互認証方式です。 電話機は、ワイヤレス ネットワークでの認証に PEAP を使用できます。 PEAP-MSCHAPV2 と PEAP-GTC の両方の認証メカニズムがサポートされます。

  • 事前共有キー (PSK): 電話機は ASCII 形式をサポートしています。 WPA/WPA2/SAE 事前共有キーを設定するときは、次の形式を使用する必要があります。

    ASCII:長さが 8~63 文字の ASCII 文字文字列(0~9、小文字および大文字の A~Z、および特殊文字)

    : GREG123567@9ZX&W

次の認証方式では、RADIUS サーバを使用して認証キーを管理します。

  • WPA/WPA2/WPA3: RADIUS サーバ情報を使用して、認証用の一意のキーを生成します。 これらのキーは集中型の RADIUS サーバで生成されるため、WPA2/WPA3 は AP と電話に保存される WPA 事前共有キーよりも高いセキュリティを提供します。

  • 高速安全ローミング: RADIUS サーバとワイヤレス ドメイン サーバ(WDS)上の情報を使用してキーを管理および認証します。 WDS は、高速かつ安全な再認証のために、FT 対応クライアント デバイスのセキュリティ資格情報のキャッシュを作成します。 Cisco Desk Phone 9861 および 9871、Cisco Video Phone 8875 は 802.11r (FT) をサポートしています。 高速で安全なローミングを可能にするために、無線と DS の両方がサポートされています。 しかしシスコでは 802.11r(FT)無線方式を利用することを強く推奨します。

WPA/WPA2/WPA3 では、暗号化キーは電話機に入力されず、AP と電話機の間で自動的に導出されます。 ただし認証で使用する EAP ユーザ名とパスワードは、各電話機に入力する必要があります。

音声トラフィックの安全を確保するために、電話機は暗号化に TKIP と AES をサポートしています。 これらのメカニズムを暗号化に使用すると、シグナリング SIP パケットと音声リアルタイム トランスポート プロトコル (RTP) パケットの両方が AP と電話の間で暗号化されます。

TKIP

WPA は、WEP よりもいくつかの点で改善された TKIP 暗号化を使用します。 TKIP は、パケットごとのキーの暗号化、および暗号化が強化されたより長い初期ベクトル(IV)を提供します。 さらに、メッセージ完全性チェック(MIC)は、暗号化されたパケットが変更されていないことを確認します。 TKIP は、侵入者が WEP を使用して WEP キーを解読する可能性を排除します。

AES

WPA2/WPA3 認証に使用される暗号化方式。 この暗号化の国内規格は、暗号化と復号化に同じキーを持つ対称型アルゴリズムを使用します。 AES は、128 ビットサイズの暗号ブロック連鎖(CBC)暗号化を使用し、最小のキー サイズとして 128 ビット、192 ビット、および 256 ビットのキーをサポートします。 この電話機は 256 ビットのキー サイズをサポートしています。

Cisco Desk Phone 9861 および 9871、Cisco Video Phone 8875 は、CMIC を使用した Cisco Key Integrity Protocol (CKIP) をサポートしていません。

認証方式と暗号化方式は、ワイヤレス LAN 内で設定されます。 VLAN は、ネットワーク内および AP 上で設定され、認証と暗号化の異なる組み合わせを指定します。 SSID は、VLAN と VLAN の特定の認証および暗号化方式に関連付けられます。 ワイヤレス クライアント デバイスを正常に認証するには、AP と電話機で同じ SSID を認証および暗号化スキームで設定する必要があります。

一部の認証方式では、特定のタイプの暗号化が必要です。

  • WPA 事前共有キー、WPA2 事前共有キー、または SAE を使用する場合、事前共有キーを電話機に静的に設定する必要があります。 これらのキーは、AP に存在するキーと一致している必要があります。

  • 電話機は、FAST または PEAP の自動 EAP ネゴシエーションをサポートしていますが、TLS のネゴシエーションはサポートしていません。 EAP-TLS モードの場合は、これを指定する必要があります。

次の表の認証および暗号化スキームは、AP 構成に対応する電話機のネットワーク構成オプションを示しています。

表 6。認証方式と暗号化方式
FSR の種類認証(Authentication)Key Management暗号化(Encryption)保護管理フレーム (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AES未対応
802.11r (FT)WPA3

SAE

FT-SAE

AES対応
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AES未対応
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AES対応
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AES未対応
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AES対応
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AES未対応
802.11r (FT)EAP-PEAP(WPA3)

WPA-EAP-SHA256

FT-EAP

AES対応

ワイヤレス LAN プロファイルの設定

資格情報、周波数帯域、認証方法などを設定することで、ワイヤレス ネットワーク プロファイルを管理できます。

WLAN プロファイルを設定する前に、次の点に注意してください。

  • ユーザ名とパスワード

    • ネットワークで EAP-FAST および PEAP がユーザ認証に使用されている場合、リモート認証ダイヤルイン ユーザ サービス(RADIUS)と電話機で必要な場合にユーザ名およびパスワードの両方を設定する必要があります。

    • ワイヤレス LAN プロファイルに入力する資格情報は、RADIUS サーバで設定した資格情報と同じでなければなりません。

    • ネットワーク内のドメインを使用している場合、domain\username の形式でユーザ名とドメイン名を入力する必要があります。

  • 次の操作によって、既存の Wi-Fi パスワードがクリアされる可能性があります。

    • 無効なユーザ ID またはパスワードを入力する
    • EAP タイプが PEAP-MSCHAPV2 または PEAP-GTC に設定されているときに、無効または期限切れのルート CA 証明書をインストールする
    • 新しい EAP タイプに電話機を変更する前に、RADIUS サーバの EAP タイプを無効にする
  • EAP タイプを変更するには、最初に RADIUS サーバで新しい EAP タイプを有効にしてから、電話機を EAP タイプに切り替えます。 すべての電話機が新しい EAP タイプに変更されたら、必要に応じて前の EAP タイプを無効にすることができます。
1

Cisco Unified Communications Manager Administration で、[デバイス(Device)] > [デバイスの設定(Device Settings)] > [ワイヤレス LAN プロファイル(Wireless LAN Profile)] の順に選択します。

2

設定するネットワーク プロファイルを選択します。

3

パラメータを設定します。

4

[保存] をクリックします。

SCEP パラメータの設定

Simple Certificate Enrollment Protocol(SCEP)は、証明書の自動プロビジョニングおよび更新の標準です。 SCEP サーバは、ユーザとサーバ証明書を自動的に維持できます。

電話機の Web ページで次の SCEP パラメータを設定する必要があります。

  • RA IP アドレス

  • SCEP サーバのルート CA 証明書の SHA-1 または SHA-256 フィンガープリント

Cisco IOS の登録局(RA)は、SCEP サーバへのプロキシとして機能します。 電話機の SCEP クライアントは、Cisco Unified Communications Manager からダウンロードされたパラメータを使用します。 パラメータを設定すると、電話機から RA に SCEP getcs 要求が送信され、定義されたフィンガープリントを使用してルート CA 証明書が検証されます。

はじめる前に

SCEP サーバで、次のように SCEP 登録エージェント(RA)を設定します。

  • PKI トラスト ポイントとして機能する
  • PKI RA として機能する
  • RADIUS サーバを使用してデバイス認証を実行する

詳細については、SCEP サーバのマニュアルを参照してください。

1

Cisco Unified Communications Manager Administration で、[デバイス(Device)] > [電話(Phone)] を選択します。

2

電話機を特定します。

3

[Product Specific Configuration Layout] 領域までスクロールします。

4

[WLAN SCEP Server] チェックボックスをオンにして、SCEP パラメータをアクティブ化します。

5

[WLAN Root CA Fingerprint (SHA256 or SHA1)] チェックボックスをオンにして、SCEP QED パラメータをアクティブ化します。

サポートされているバージョンの TLS を設定します

クライアントとサーバそれぞれに必要な TLS の最小バージョンを設定できます。

デフォルトでは、サーバとクライアントの最小 TLS バージョンは両方とも 1.2 です。 この設定は次の機能に影響します。

  • HTTPS Web アクセス接続
  • オンプレミス電話のオンボーディング
  • モバイル向けオンボーディングと Remote Access (MRA)
  • ディレクトリサービスなどの HTTPS サービス
  • データグラムトランスポート層セキュリティ (DTLS)
  • ポート アクセス エンティティ (PAE)
  • 拡張認証プロトコル - トランスポート層セキュリティ (EAP-TLS)

Cisco IP Phones の TLS 1.3 互換性の詳細については、 「Cisco Collaboration 製品の TLS 1.3 互換性マトリックス」を参照してください。

1

Cisco Unified Communications Manager 管理に管理者としてサインインします。

2

次のいずれかのウィンドウに移動します。

  • [システム(System)] > [エンタープライズ電話の設定(Enterprise Phone Configuration)]
  • デバイス > デバイス設定 > 共通の電話プロファイル
  • デバイス > 電話 > 電話の設定
3

TLS クライアントの最小バージョン フィールドを設定します。

「TLS 1.3」オプションは、Cisco Unified CM 15SU2 以降で使用できます。
  • TLS 1.1 : TLS クライアントは、TLS のバージョン 1.1 から 1.3 までをサポートします。

    サーバの TLS バージョンが 1.1 より低い場合 (たとえば 1.0)、接続を確立できません。

  • TLS 1.2 (デフォルト): TLS クライアントは、TLS 1.2 および 1.3 をサポートします。

    サーバの TLS バージョンが 1.2 より低い場合 (たとえば 1.1 または 1.0)、接続を確立できません。

  • TLS 1.3 : TLS クライアントは TLS 1.3 のみをサポートします。

    サーバの TLS バージョンが 1.3 より低い場合 (たとえば、1.2、1.1、または 1.0)、接続を確立できません。

4

セットアップ TLS サーバの最小バージョン 分野:

  • TLS 1.1 : TLS サーバは、TLS のバージョン 1.1 から 1.3 までをサポートしています。

    クライアントの TLS バージョンが 1.1 より低い場合 (たとえば 1.0)、接続を確立できません。

  • TLS 1.2 (デフォルト): TLS サーバは、TLS 1.2 および 1.3 をサポートします。

    クライアントの TLS バージョンが 1.2 より低い場合 (たとえば、1.1 または 1.0)、接続を確立できません。

  • TLS 1.3 : TLS サーバは TLS 1.3 のみをサポートします。

    クライアントの TLS バージョンが 1.3 より低い場合 (たとえば、1.2、1.1、または 1.0)、接続を確立できません。

PhoneOS 3.2 リリース以降、「Web アクセスで TLS 1.0 および TLS 1.1 を無効にする」フィールドの設定は、携帯電話では有効になりません。
5

[保存] をクリックします。

6

[設定の適用(Apply Config)] をクリックします。

7

電話機を再起動します。

Assured Services SIP

Assured Services SIP(AS-SIP)は、Cisco IP 電話 およびサードパーティ製の電話機に非常に安全なコールフローを提供する機能とプロトコルの集まりです。 次の機能はまとめて AS-SIP と呼ばれます。

  • マルチレベルの優先およびプリエンプション
  • DiffServ コード ポイント(DSCP)
  • トランスポート層セキュリティ(TLS)および Secure Real-Time Transport Protocol(SRTP)
  • インターネット プロトコル バージョン 6(IPv6)

AS-SIP は、緊急時の通話に優先順位を付けるために、マルチレベル優先順位およびプリエンプション(MLPP)と共に使用されることがよくあります。 MLPP を使用すると、レベル 1(低)からレベル 5(高)まで、発信通話に優先レベルを割り当てることができます。 ユーザがコールを受信すると、電話機の発信者名の横に優先レベル アイコンが表示されます。

AS-SIP の設定を行うには、Cisco Unified Communications Manager で次のタスクを実行します。

  • ダイジェストユーザを設定する:SIP 要求にダイジェスト認証を使用するようにエンドユーザを設定します。
  • SIP 電話のセキュア ポートの設定:Cisco Unified Communications Manager は、SIP 電話からの SIP 回線登録をリッスンするためにこの TLS ポートを使用します。
  • サービスの再起動:セキュアポートを設定した後、Cisco Unified Communications Manager および Cisco CTL Provider サービスを再起動します。 この手順で、AS-SIP エンドポイントおよび SIP トランクの SIP 設定を使用して SIP プロファイルを設定します。 電話機固有のパラメータはサードパーティ製 AS-SIP 電話機にダウンロードされません。 これらは Cisco Unified Manager によってのみ使用されます。 サードパーティ製電話機では同じ設定値をローカルに設定する必要があります。
  • AS-SIP 用の電話セキュリティプロファイルの設定:電話セキュリティプロファイルを使用して、TLS、SRTP、ダイジェスト認証などのセキュリティ設定を割り当てることができます。
  • AS-SIP エンドポイントの設定:AS-SIP サポートを使用して、Cisco IP 電話 またはサードパーティのエンドポイントを設定します。
  • デバイスとエンド ユーザの関連付け - エンドポイントをユーザに関連付けます。
  • AS-SIP の SIP トランクセキュリティプロファイルの設定:SIP トランクセキュリティプロファイルを使用して、TLS やダイジェスト認証などのセキュリティ機能を SIP トランクに割り当てることができます。
  • AS-SIP 用の SIP トランクの設定 - AS-SIP サポートを使用して SIP トランクを設定します。
  • AS-SIP 機能の設定:MLPP、TLS、V.150、IPv6 などの追加の AS-SIP 機能を設定します。

AS-SIP の設定の詳細については、『AS-SIP エンドポイントの設定』の章を参照してください。 Cisco Unified Communications Manager の機能設定ガイド

複数レベルの優先順位とプリエンプション

Multilevel Precedence and Preemption(MLPP)を使用すると、緊急事態やその他の危機的状況での通話に優先順位を付けることができます。 発信通話には 1 ~ 5 の範囲の優先度を割り当てます。着信通話にはアイコンと通話の優先度が表示されます。 認証されたユーザは、対象のステーション向けに、または完全にサブクライブされた TDM トランクを介してコールをプリエンプション処理できます。

この機能によって、階級の高い人物が重要な組織および担当者に確実に連絡を取ることができるようになります。

ダイヤルされた番号が Unified CM で設定されている変換/ルート パターンによって操作された場合、MLPP コール イニシエーターは、電話画面で MLPP の特別なアイコンと優先レベルも確認でき、呼び出し音を聞くこともできます。 この動作は、PhoneOS 3.4 リリース以降に実現されます。

MLPP の設定 (Unified CM)

この機能を設定するには、次の手順を実行します。

  1. ドメインとドメイン リストを構成します。
    1. Cisco Unified CM Administration から選択 システム > MLPP > ドメイン > MLPP ドメイン、新しい MLPP ドメインを追加します。
    2. 選択 システム > MLPP > 名前空間 > Resource Priority Namespace Network Domain 、「drsn」、「dsn」、「cuc」、「uc」、「q735」などの登録済み名前空間を追加します。 次に、デフォルトとなるドメイン名を 1 つ選択します。
    3. システム > MLPP > 名前空間 > リソース優先度名前空間リスト を選択して、名前空間リストを追加します。
  2. SIP プロファイルを構成します。
    1. デバイス > デバイス設定 > SIP プロファイル を選択し、新しい SIP プロファイルを追加します。
    2. 電話機で MLPP コールに対してユーザー認証情報を要求する場合は、 [MLPP ユーザー認証] チェックボックスをオンにします。
    3. 「リソース優先度名前空間」から、構成されたリソース優先度名前空間を選択します。
    4. リソース優先度名前空間リストから構成された名前空間リストを選択します。
  3. 電話を設定します。
    1. デバイス > 電話を選択し、電話を更新または追加します。
    2. 「SIP プロファイル」から設定した SIP プロファイルを選択します。
    3. MLPP および機密アクセス レベル情報 セクションで、 MLPP ドメインMLPP 表示、および MLPP プリエンプション パラメータを設定します。
  4. ディレクトリ番号を設定します。
    1. デバイス > 電話を選択し、行を追加または更新します。
    2. MLPP 代替パーティおよび機密アクセス レベルの設定セクションで、 ターゲット(接続先)MLPP コーリング サーチ スペース、および MLPP 無応答時の呼び出し時間(秒)の各パラメータを設定します。
    3. 「複数の通話/通話待機の設定」 セクションで、 「ビジー トリガー」 パラメータを設定します。
  5. エンドユーザーを構成します。
    1. 「ユーザー管理」 > 「エンドユーザー」 を選択し、新しいユーザーを追加します。
    2. デバイスの関連付け をクリックして、ユーザーを設定された電話に関連付けます。
    3. 「Mutilevel Precedence and Preemption Authorization」 セクションで、パラメータを設定します。
  6. 実際の要件に応じて、MLPP の追加パラメータを設定できます。
    • システム > サービスパラメータを選択します。 「クラスタ全体のパラメータ(機能 - マルチレベルの優先順位とプリエンプション)」 セクションでパラメータを設定します。
    • システム > サービスパラメータを選択します。 「クラスタ全体のパラメータ(システム - QOS)」 セクションで、優先コールの DSCP を設定します。
    • システム > サービスパラメータを選択します。 「クラスタ全体のパラメータ(システム - RSVP)」 セクションで、MLPP 優先度と SRVP 優先度のマッピングを設定します。
    • コール ルーティング > ルート/ハント > ルーター パターンからルーター パターンを設定します。
    • コール ルーティング > ルート/ハント > ハント パイロットからハント パイロットを設定します。
    • 「コール ルーティング」 > 「変換パターン」から変換パターンを設定します。
    • ゲートウェイ、トランク、デフォルトのデバイス プロファイル、ユーザー デバイス プロファイル、MLPP の共通デバイス構成を構成します。

MLPP は多くの場合、Assured Services SIP(AS-SIP)で使用されます。 MLPP の設定の詳細については、『Cisco Unified Communications Manager 機能設定ガイド』の「Multilevel Precedence and Preemption の設定」の章を参照してください。

FACとCMCを設定する

電話機に強制承認コード (FAC) またはクライアント識別コード (CMC)、あるいはその両方が設定されている場合、ユーザーは番号をダイヤルするために必要なパスワードを入力する必要があります。

Cisco Unified Communications Manager で FAC と CMC を設定する方法の詳細については、『Cisco Unified Communications Manager リリース 12.5(1) 以降の機能設定ガイド』の「クライアント マター コードと強制承認コード」の章を参照してください。

VPN の設定

Cisco VPN 機能は、ユーザが企業ネットワークに安全かつ信頼性の高い方法で接続できるようにしながら、ネットワーク セキュリティを維持できます。 この機能は、次のような場合に使用します。

  • 電話機が信頼ネットワークの外側にある
  • 電話機と Cisco Unified Communications Manager 間のネットワーク トラフィックが信頼できないネットワークと交差する

VPN を使用する場合、一般的なクライアント認証の方法には、次の 3 つがあります。

  • デジタル証明書
  • パスワード
  • ユーザ名とパスワード

各方法にはそれぞれの利点があります。 しかし、企業のセキュリティ ポリシーで許可されているのであれば、証明書ベースの方法をお勧めします。証明書を使用すれば、ユーザの介入なしのシームレスなサインインが可能になります。 LSC 証明書と MIC 証明書の両方がサポートされます。

VPN 機能を設定するには、まずオンプレミスのプロビジョニングを行い、その後、オフプレミスにデバイスを導入できます。

証明書認証と VPN ネットワークの操作の詳細については、「 ASA での証明書認証を使用した AnyConnect VPN Phone の設定」を参照してください。

パスワード、またはユーザ名とパスワードによる方法では、サインイン資格情報の入力がユーザに求められます。 会社のセキュリティ ポリシーに従ってユーザのサインイン クレデンシャルを設定します。 ユーザ パスワードが電話機で保存されるよう [永続的パスワードを有効化(Enable Password Persistence )] を設定することもできます。 ログイン試行に失敗するか、ユーザが手動でパスワードをクリアするか、電話がリセットされるか、または電源が切れるまで、ユーザのパスワードは保存されます。

もう 1 つの便利なツールは、「自動ネットワーク検出を有効にする」設定です。 このチェックボックスが有効になっていると、VPN クライアントは、企業ネットワークの外にいることを検出した場合に限り動作します。 デフォルトでは、この設定はディセーブルになっています。

ご使用の Cisco 電話機は、クライアントタイプとして Cisco SVC IPPhone クライアント v1.0 をサポートしています。

Unified CM で VPN を設定する方法の詳細については、『 Cisco Unified Communications Manager の機能設定ガイド』を参照してください。

Cisco VPN 機能はセキュア ソケット レイヤ (SSL) を使用してネットワーク セキュリティを保持します。