ASA 上のクライアントレス SSL VPN でサポートされるプラットフォームとブラウザについては、『サポート対象の VPN プラットフォーム、Cisco ASA 5500 シリーズ』を参照してください。

• ActiveX ページでは、ActiveX リレーをイネーブルにするか、関連するグループ ポリシーに activex-relay を入力しておくことが必要です。あるいは、スマート トンネル リストをポリシーに割り当て、エンドポイント上のブラウザ プロキシ例外リストにプロキシが指定されている場合、ユーザーはそのリストに「shutdown.webvpn.relay.」エントリを追加する必要があります。

• ASA では、Mozilla Firefox、MS Edge、Google Chrome、macOS、または Linux から Windows 共有（CIFS）Web フォルダへのクライアントレス アクセスはサポートされていません。

• DoD Common Access Card および SmartCard を含む証明書認証は、Safari キーチェーンだけで動作します。

• クライアントレス接続用に信頼できる証明書をインストールしても、クライアントには信頼できない証明書の警告が表示されることがあります。

• ASA は、クライアントレス SSL VPN 接続用の DSA 証明書をサポートしません。RSA 証明書はサポートされます。

• 一部のドメインベースのセキュリティ製品には、ASA から送信された要求を超える要件があります。

• コンフィギュレーション制御の検査機能およびモジュラ ポリシー フレームワークにおけるその他の検査機能はサポートされません。

• グループ ポリシーの vpn-filter コマンドは、クライアントベースのアクセス用であり、サポートされません。グループ ポリシーのクライアントレス SSL VPN モードのフィルタは、クライアントレス ベースのアクセス用です。

• NAT および PAT はクライアントに適用可能ではありません。

• ASA は、police や priority-queue などの QoS レート制限コマンドの使用をサポートしません。

• ASA は、接続制限の使用、スタティックまたはモジュラ ポリシー フレームワークの set connection コマンドを使用した確認をサポートしません。

• AnyConnect は Web コンテンツに依存せずに下位のネットワーク層で動作するため、クライアントレス WebVPN でサポートされていないと思われる Web アプリケーションにアクセスするように ASA で AnyConnect を設定することを推奨します。

• クライアントレス SSL VPN の一部のコンポーネントには、Java Runtime Environment（JRE）が必要です。macOS v10.12 以降では、Java はデフォルトでインストールされません。macOS での Java のインストール方法については、http://java.com/en/download/faq/java_mac.xml を参照してください。

• クライアントレス VPN セッションを開始すると、RADIUS アカウンティング開始メッセージが生成されます。クライアントレス VPN セッションにはアドレスが割り当てられないため、開始メッセージには Framed-IP-Address が含まれません。レイヤ 3 VPN 接続がクライアントレス ポータル ページから順番に開始されるとアドレスが割り当てられ、暫定アップデート アカウンティング メッセージで RADIUS サーバーに報告されます。weblaunch 機能を使用してレイヤ 3 VPN トンネルが確立される場合、同様の RADIUS の動作が期待できます。この状況では、ユーザーが認証された後、レイヤ 3 トンネルが確立される前にアカウンティング開始メッセージがフレーム化 IP アドレスなしで送信されます。レイヤ 3 トンネルが確立されると、この開始メッセージに暫定アップデート メッセージが続きます。

• HTML ページは RFC 2616 に準じている必要があります。ヘッダーの後の空の行は、本文の開始と解釈されます。したがって、ヘッダー間に空の行を挿入すると、一部のヘッダーが本文に表示され、ユーザーがページの問題を修正するためにウィンドウを更新する必要が生じる場合があります。

• Java コード処理に使用されるクライアントレス WebVPN Java リライタは、Oracle Forms をサポートしていません。

• クライアントレス WebVPN リライタは、実行時に動的に設定されるため、JavaScript オブジェクトのブラケット表記の割り当てを検出できません。

• クライアントレス WebVPN は、サーバーの応答に含まれるチャンクサイズと CRLF 間のスペースをサポートしていません。これは、ASA がチャンクサイズのスペースを予期しておらず、チャンクをまとめることができないためです。

• コンテンツ セキュリティ ポリシー（CSP）はサポートされていません。

• クライアントレス WebVPN リライタを使用すると、Angular のカスタムイベントリスナーおよびロケーション変更が正しく機能しない場合があります。

• クライアントレス WebVPN は、サーバー側の Cross-Origin Resource Sharing（CORS）フィルタをサポートしていません。

• クライアントレス WebVPN リライタは、現在、HTML5 および Javascript Blog API をサポートしていません。

• WebVPN アーキテクチャに従い、Fetch API はサポートされていません。

• クライアントレス WebVPN は、認証時に MDM 属性を RADIUS サーバーと共有しません。

• クライアントレス ポータル用に設定された複数のグループ ポリシーがある場合は、ログイン ページのドロップダウンに表示されます。リストにある最初のグループ ポリシーで証明書が必要な場合は、ユーザーはマッチング証明書が必要です。グループ ポリシーの一部が証明書を使用しない場合、非証明書ポリシーを最初に表示するには、リストを設定します。また、「0-Select-a-group」の名前でダミー グループ ポリシーを作成することもできます。

  ヒント	グループ ポリシーの名前をアルファベット順に付けることで、最初に表示されるポリシーを制御できます。また、ポリシーの先頭に数字を付けることもできます。たとえば、1-AAA、2-Certificate とします。

• 別のサーバー上のページへのリンクは ASA からルーティング可能である必要があります。それ以外の場合、ユーザーに次のエラーが表示されることがあります。リンクが使用可能で、アクセス制御ルール、SSL 構成、またはその他のファイアウォール機能によってブロックされていないこと、およびサーバーへのルートがあることを確認します。

  
  Connection failed, Server "<DNS name>" unavailable.

AnyConnect セキュア モビリティ クライアントを使用するには、AnyConnect Plus および Apex ライセンスを購入する必要があります。必要なライセンスは、使用する予定の AnyConnect VPN Client および Secure Mobility の機能と、サポートするセッションの数によって異なります。これらのユーザーベースのライセンスには、一般的な BYOD のトレンドに合わせたサポートとソフトウェア更新へのアクセスが含まれます。

AnyConnect 4.4 ライセンスは、ASA（および ISR、CSR、ASR）で使用され、また、Identity Services Engine（ISE）、クラウド Web セキュリティ（CWS）、Web セキュリティ アプライアンス（WSA）などの非 VPN ヘッドエンドでも使用されます。ヘッドエンドに関係なく一貫したモデルが使用されるため、ヘッドエンドの移行が発生した場合も影響はありません。

AnyConnect のライセンス モデルについての詳細は、http://www.cisco.com/c/dam/en/us/products/collateral/security/anyconnect-og.pdf を参照してください。