Cisco Cisco AnyConnect Secure Mobility Client v4.x Release Notes

Cisco AnyConnect 4.0.01156 is a maintenance release for Android devices running earlier versions of the
AnyConnect ICS+ package. See

Resolved Issues in AnyConnect 4.0.01156 for Android, on page 24

.

Cisco recommends that you upgrade to this latest release of AnyConnect and review the

Limitations for AnyConnect on Android, on page 16

and

Known Compatibility Issues, on page 16

to be

aware of current operational considerations.

• Only the AnyConnect ICS+ package is available with release 4.0.01110. Additional Cisco AnyConnect

packages will be forthcoming.

• The new AnyConnect Per App VPN Tunneling feature is available for devices running Android 5.0

(Lollipop) or later only.

AnyConnect 4.0 for mobile devices has been enhanced to provide Per App VPN tunneling in addition to
traditional system-tunneling. Per App VPN tunneling requires:

• ASA 9.3.1 or later to configure Per App VPN tunneling.

• An AnyConnect v4.0 Plus or Apex license.

AnyConnect Essentials or Premium licenses do not support Per App VPN. Customers
with Premium or Essentials licenses are eligible for AnyConnect 4.0 migration licenses,
see the

for details.

Traditional VPN system-tunneling, as a full-tunneling or split-tunneling configuration, directs packets over
the tunnel or in-the-clear based on the destination address. Per App VPN tunneling, operating at Layer 7,
directs data over the tunnel or in-the-clear based on the originating app. Per App VPN is split tunneling that
allows only data from approved apps to reach the enterprise network.

In Per App VPN tunneling mode, a connection is established for a specific set of apps on the mobile device.
The set of apps which AnyConnect tunnels data for are defined by the administrator on the ASA headend
using the AnyConnect Enterprise Application Selector tool and the ASA Custom Attributes mechanism. This
list of identified and approved apps is sent to the AnyConnect client and used to enforce Per App VPN tunneling
on the device. For all other apps not on the list, data is sent outside of the tunnel or in-the-clear.

If you are using a Mobile Device Manager in your environment to configure and control mobile devices on
your network, must configure mobile devices to tunnel the same list of apps that AnyConnect is configured
to tunnel. A discrepancy in the set of tunneled apps between the ASA headend and the Mobile Device Manager
may cause unexpected app behavior.

AnyConnect determines which mode it operates in based on configuration information received from the ASA
headend. Specifically, the presence or absence of a Per App VPN custom attribute in the Group Policy or
Dynamic Access Policy (DAP) associated with the connection when the session is being established. If the