ActiveControl の概要

ActiveControl は、Webex クラウドとプレミスの間で会議情報の橋渡しをするソリューションです。 このソリューションの前にも、マルチパーティ通話を行う Webex アプリのユーザーにはすでに、他の参加者がどこにいるのか、誰が現在話しているのか、誰が出席しているのかが表示されていました。

クラウドからプレミスへの会議情報は、XCCP ゲートウェイ コンポーネントを通して発生します。 ゲートウェイの機能は、双方の間でこの情報を変換することにより、(Webex クラウドとオンプレミスのコンポーネントの両方が関係する通話シナリオにおいて)、Webex クラウドとオンプレミスの環境の両方が、会議情報に同じようにアクセスできるようにすることです。

ActiveControl の使用例

ActiveControl は、最新の CE ソフトウェアまたは Jabber クライアントを使用して、Webex が主催するミーティングにコールインする、またはコールバックを受ける、オンプレミスのエンドポイントを使用するユーザーにとって恩恵をもたらします。

このシナリオでは、XCCP ゲートウェイは、名簿 (参加者リスト) のミーティング情報を、オンプレミスのエンドポイントまたは Jabber クライアントに向けて変換します。

ActiveControl のためのアーキテクチャ

図の上側には、左から右に、Webex クラウドへのセキュアなオンプレミス接続と、ミーティングに参加する 2 名のクラウド ユーザー (一方は Webexで、もう一方は Webex Meetings を使用) を示す例が描かれています。

下部では、Unified CM にセキュアに登録された会議室エンドポイントと、ミーティング メディアが移動できるビデオ メッシュ ノード クラスターを示しています。

画面キャプチャーは参加者リストのエクスペリエンスを示しています。ユーザーはエンドポイント自体のリストにアクセスします。リストは Webex または Webex Meetings の場合と同じように表示されます。

ActiveControl の設定

スケジューリングを始める前に

ActiveControl ソリューションにミーティング フローのビデオ メッシュ ノードが含まれている場合、唯一の有用なシナリオは、Unified CM にエンドポイントをに登録することです。 Expressway に直接登録されたエンドポイントは、この時点ではビデオメッシュでは機能しません。

次の図は、クラウドのミーティングに参加する、オンプレミスの登録済みデバイスの ActiveControl を設定する手順をまとめたものです。 いくつかの手順については、この記事で直接説明します。別の文書で説明されているものもあります。

セキュアなクラウドベースのミーティング Active Control の要件 Expressway の設定 暗号化 Expressway エンドポイント 暗号化 Expressway エンドポイント セキュアなビデオ メッシュベースのミーティング セキュアなエンドポイントでのミーティングのエクスペリエンスを確認する

Active Control の要件

この表には、必須のコンポーネントと、ActiveControl の対応バージョンが記載されています。 さらに、エンドツーエンドの暗号化要件があるため、クラウドからプレミスに会議情報を安全に渡すことができます。 構成のドキュメントはこれらの手順について説明していますが、この表のセキュリティ要件に注意してください。


 

今後、メンテナンス期間があり、アップグレードを計画している場合には、継続的なセキュリティ、バグ フィックス、および使いやすさのために、オンプレミスのコンポーネントを最新のリリースにアップグレードすることをお勧めします。

表 1. ActiveControl の要件

コンポーネント

必須要件

Cisco Unified Communications Manager

Cisco Webex ビデオ メッシュ

最小—混合セキュリティ モードではリリース 11.5(1) またはそれ以降。

推奨—リリース 12.5(1) SU1 以降のリリースでは、モバイルおよび Remote Access (MRA) に登録されているノンセキュア エンドポイントをサポートしています。 Unified CM 混合セキュリティ モードは必要ありません。

クラウドに登録され、SIP TLS によりセキュアにされ、https://www.cisco.com/go/video-mesh の展開ガイドのステップに従って構成されたビデオ メッシュ ノード。

Cisco Expressway-C または E

最小—リリース X8.11.4 以降 詳細については、「重要な情報」セクション (「Expressway X8.11.4 リリース ノート」) を参照してください。

推奨—Unified CM ノンセキュア デバイス セキュリティ モードで構成した MRA デバイスでは、リリース X12.5 以降。


 

ビデオ メッシュは現在、通話制御のために Expressway に直接、登録されるデバイスのセキュアな SIP トランクをサポートしていません。

CE エンドポイント (SX、DX、MX シリーズ)

CE 9.6 以降、上記の通話制御プラットフォームのいずれかにセキュアに登録されていること

Cisco Jabber

リリース 12.5 以降

暗号化

12.5 以前のリリースの場合ーエンドポイントからクラウドへのコール パス全体は、TLS 1.2 によりセキュアにされている必要があります。

リリース12.5 以降-エンドポイントと Unified CM の間で TLS を必要としません。

Unified CM

これらの手順により、デバイスは Unified CM にセキュアに登録され、メディアが暗号化されます。

1

『ActiveControl 展開ガイド』「Cisco Unified Communications Manager で iX サポートを有効にする」セクションの手順に従って、Unified CM を設定します。

2

デバイスのセキュリティ プロファイルを設定します。


 

Unified CM と Expressway の 12.5 リリースを使用している場合、この手順は必要ありません。

Cisco Unified Communications Manager は、1 つのセキュリティ プロファイルを複数のデバイスに割り当てることができるようにするために、デバイス タイプとプロトコルのセキュリティ関連設定 (デバイス セキュリティ モードなど) をグループ化します。 構成された設定は、[電話の設定] ウィンドウでセキュリティ プロファイルを選択するときに電話に適用します。

  1. Cisco Unified CM 管理から、[デバイス] > [電話] に移動し、次に、「Cisco Unified Communications Manager のシステム構成ガイド」「電話の構成」 に記載されているとおり、エンドポイントを見つけます。

  2. そのエンドポイントで、[プロトコル固有情報][デバイスのセキュリティ プロファイル] を、[ユニバーサル デバイス テンプレート - モデル独立暗号化セキュリティ プロファイル].などのセキュアな SIP プロファイルに設定します。

  3. エンドポイントに変更を保存します。

    詳細については、『Cisco Unified Communications Manager セキュリティ ガイド』「電話のセキュリティ プロファイルのセットアップ」を参照してください。

3

次のように、セキュアな通話アイコン表示のための、サービス パラメータを設定します。

  1. [システム] > [サービス パラメータ] に移動し、Unified CM サーバーと [Cisco CallManager] サービスを選択します。

  2. [クラスターワイド パラメータ (機能 - 通話セキュア ステータス ポリシー)] までスクロールし、[セキュアな通話アイコン表示ポリシー要件フィールド] でサービス パラメータの値を [BFCP を除くすべてのメディアで暗号化が必要] に変更します。

この変更は、CE エンドポイントでロック アイコンを表示するために必要です。 詳細については、サービス パラメータ名をクリックしてオンライン ヘルプを参照してください。

セキュアな TLS 接続が確立されていることを確認するために、エンドポイントでこれらのステップを実行してください。


Unified CM と Expressway の 12.5 バージョンを使用している場合、この手順は必要ありません。

1

エンドポイント管理インターフェイスで、[SIP] に移動し、以下の設定を確認します。

表 2. エンドポイントの設定

フィールド

設定

ANAT

日付:

DefaultTransport

Tls

直線

プライベート

ListenPort

オフ

PreferredIPMedia

PreferredIPSignaling

IPv4

プロキシ アドレス

デバイスが登録されている Unified CM パブリッシャーの IP アドレスを入力します。

TlsVerify

日付:

種類

Cisco

2

変更を保存します。

3

[セキュリティ] で、Unified CM の証明書がインストールされていることを確認します。

Expressway

デバイスが登録されている Expressway と、クラウドに接続している上流 Expressway ペア ゾーンとの間のゾーンを設定するには、以下の手順に従います。

1

Expressway 呼び出しコントロールと Expressway ペアの間のゾーンの [詳細] 設定で、[SIP UDP/IX フィルター モード] をデフォルト オプションである [オフ] に設定します。

2

[ゾーン プロファイル][カスタム] に設定し、変更を保存します。

セキュアな TLS 接続が確立されていることを確認するために、Expressway に登録されたエンドポイントでこれらのステップを実行してください。

1

エンドポイント管理インターフェイスで、[SIP] に移動し、以下の設定を確認します。

表 3. エンドポイントの設定

フィールド

設定

ANAT

オフ

DefaultTransport

Tls

直線

プライベート

ListenPort

日付:

MinimumTLSVersion

TLSv1.0

PreferredIPMedia

PreferredIPSignaling

IPv4

プロキシ アドレス

デバイスが登録されている Expressway の IP アドレスを入力します。

TlsVerify

オフ

種類

標準時

2

変更を保存します。

セキュアなクラウドベースのミーティング

Unified CM から Expressway への iX 対応でセキュアなトラフィックを持つ SIP プロファイルを作成するには、次の手順に従います。

1

以下のオプションを使用して、このトランクの SIP プロファイルを構成します。

  • [音声とビデオ通話に対する早期オファーのサポート][ベストエフォート (MTP は必要ない)] に設定します。

  • [iX アプリケーションメディアを許可する] をオンにします。 (これは前の iX サポートのステップで行われています)。

2

SIP トランクの場合、作成した SIP プロファイルを適用します。

3

[宛先] の下で、[宛先アドレス] には Expressway-C IP アドレスまたは FQDN を入力し、5061[宛先ポート] に入力します。

次に行うこと

  • TLS 接続が動作するためには、Unified CM と Expressway との間で証明書を交換するか、または、双方が同じ証明機関によって署名された証明書を持っている必要があります。 詳細については、「SIP トランク経由の Cisco Expressway および CUCM 展開ガイド」の「Unified CM と Expressway の間で証明書信頼を確認する」を参照してください。

  • Expressway-C (Unified CM の次のホップ) 上で、Expressway と Unified CM 間のゾーンの [詳細] 設定で、[SIP UDP/IX フィルター モード][オフ] に設定します(デフォルトの設定)。 詳細については、「ActiveControl 展開ガイド」の「Cisco VCS での iX のフィルタリング」を参照してください。

セキュアなビデオ メッシュベースのミーティング

組織でビデオ メッシュを展開した場合は、クラウドに登録したクラスターのビデオ メッシュ ノードをセキュアにすることができます。

https://www.cisco.com/go/video-mesh の展開ガイドの手順に従って、暗号化を設定します。

セキュアなエンドポイントでのミーティングのエクスペリエンスを確認する

これらの手順を使用して、エンドポイントがセキュアに登録され、適切なミーティング エクスペリエンスが実現していることを確認してください。

1

セキュアなエンドポイントからミーティングに参加します。

2

デバイスにミーティングの名簿が表示されていることを確認します。

この例は、ミーティング リストがタッチパネルのあるエンドポイントでどのように表示されるかを示しています。

3

ミーティング中に、[通話の詳細] から Webex 会議に関する情報にアクセスします。

4

暗号化セクションで [タイプ][AES-128] であり、[ステータス] [オン] であることを確認します。