Cisco Identity Services Engine 管理者ガイド リリース 1.3
管理者ポータルの移動
管理者ポータルの移動

目次

管理者ポータルの移動

管理者ポータル

管理者ポータルは、さまざまなアイデンティティ サービスを管理できる管理コンソールです。 次の図に、このポータルの主な要素を示します。

図 1. 管理者ポータル

1

メニュー バー

さまざまな Cisco ISE オプションを表示、モニタ、および管理するためのツールにアクセスします。

  • [ホーム(Home)]:Cisco ISE ネットワークで実行されているすべてのサービスがリアルタイムで表示されるダッシュボードにアクセスします。

  • [操作(Operations)]:リアルタイム アラームとライブ認証のモニタリング、レポートからの履歴データの問い合わせ、およびネットワーク サービスのトラブルシューティング用のツールにアクセスします。

  • [ポリシー(Policy)]:認証、許可、プロファイリング、ポスチャ、クライアント プロビジョニングの領域でネットワーク セキュリティを管理するためのツールにアクセスします。

  • [管理(Administration)]:Cisco ISE ノード、ライセンス、証明書、ネットワーク デバイス、ユーザ、エンドポイント、およびゲスト サービスを管理するためのツールにアクセスします。

2

右上のパネル

接続されている Cisco ISE ノードを表示します。 適切なオプションをクリックして、アカウント情報を編集したり、ログアウトしたり、シスコにフィードバックを提供したりします。

3

検索

エンドポイントを検索し、プロファイル、障害、ID ストア、ロケーション、デバイス タイプ別にそれらの分布を表示します。

4

セットアップ アシスタント

基本設定を作成してネットワークの Cisco ISE 機能を示すために、ウィザードにアクセスします。

5

状況依存ヘルプ

現在表示されているページのヘルプにアクセスします。

6

ヘルプ

完全な Cisco ISE オンライン ヘルプ システムおよび Task Navigator にアクセスします。Task Navigator は、タスクが複数の画面にわたる手順を移動するためのビジュアル ガイドを提供します。

7

通知

通知のサマリーを表示するには、このオプションにマウス カーソルを合わせます。

Cisco ISE ダッシュボード

Cisco ISE ダッシュボードには、効果的なモニタリングおよびトラブルシューティングに必要不可欠な、統合された相関性のあるライブ統計データが表示されます。 特に指定がない限り、ダッシュボード要素によってアクティビティは 24 時間表示されます。 次の図に、Cisco ISE ダッシュボードで使用できる情報の一部を示します。

図 2. Cisco ISE ユーザ ダッシュボード

1

ダッシュレット

ネットワークにアクセスするデバイスおよびユーザに関する統計情報の要約を表示するダッシュボード要素。 一部のダッシュレットでは、システム状態を示す色付きのアイコンがデバイス名の前に表示されます。

  • 緑色 = 正常

  • 黄色 = 警告

  • 赤色 = 深刻

  • 灰色 = 情報なし

2

スパークライン

長期にわたるトレンドを示します。

3

積み上げ棒グラフ

分割する要素として色を使用してパラメータの分布を表示するため、どこで 1 つのパラメータが終了して別のパラメータが始まるかがわかります。 上位 10 個の分布のみが表示されます。 一般に、積み上げ棒グラフでは、1 つのデータ測定と別のデータ測定間の境界ポイントを示すために色が使用されます。

4

メトリック メーター

ネットワークにアクセスするデバイスに関連する最も重要な統計情報を要約します。 メトリック メーターによって、ネットワークの健全性とパフォーマンスを一目で確認できます。 メトリック メーターの上に表示される番号をクリックすると、そのデバイスに関する詳細情報を表示できます。

セットアップ アシスタント

セットアップ アシスタントでは、ウィザード形式のインターフェイスの一連の質問に従って応答を保持し、それらを使用して Cisco ISE を直接設定できます。 これにより、ネットワークの概念実証として基本動作 Cisco ISE 設定をセットアップできます。 質問への回答は、認証、許可、プロファイリング、ポスチャ、クライアント プロビジョニング、ゲスト サービス、およびパーソナル デバイスのサポートという、Cisco ISE 機能に影響します。

Cisco ISE ライセンスがセットアップ アシスタントに及ぼす影響

セットアップ アシスタント機能は、設定に適用した Cisco ISE ライセンスによって異なります。

Cisco ISE ライセンス

ポリシー要件の識別

ネットワーク アクセス サービスの設定

ネットワーク デバイス タイプの選択

Basic

ポスチャ、エンドポイント プロファイリング、およびパーソナル デバイス オプションが使用できません。

Advanced

有線 + モニタを選択する場合、次のページでゲストおよびポスチャの選択肢は無効です。

ワイヤレスと有線 + モニタを選択する場合、次のページのゲストおよびポスチャの選択肢はワイヤレスのみ影響します。

前のページで有線 + モニタを選択した場合、ゲストおよびポスチャの選択肢は使用できません。

最初のページで有線のみ選択した場合、ワイヤレス LAN コントローラ(WLC)の情報は表示されません。

最初のページでワイヤレスのみ選択した場合、スイッチ情報は表示されません。

Wireless

有線オプションは使用できません。

スイッチ情報は表示されません。

セットアップ アシスタントの実行

Cisco ISE を初めて起動すると、セットアップ アシスタントを実行するように促されます。 実行しないことを選択した場合は、後で再度実行できます。

はじめる前に

このタスクを実行するには、スーパー管理者である必要があります。 セットアップ アシスタントは、スタンドアロンまたはプライマリ管理ノードでのみ実行できます。

手順
    ステップ 1   管理者ポータルの右上隅の [セットアップ アシスタント(Setup Assistant)] をクリックします。
    ステップ 2   画面の指示に従って、設定を完了します。

    セットアップ アシスタントによる以前の設定の上書き

    セットアップ アシスタントを実行するたびに、Cisco ISE によって以前の設定が上書きされることが、次のように設定に重大な影響を与える場合があります。

    • セットアップ アシスタントを使用しないで追加したものも含め、すべての認証、許可、クライアント プロビジョニング、およびポスチャ ポリシーが削除され、置き換えられます。

    • ポリシー要素や Web ポータルのカスタマイズなどその他の設定は、新たに指定された値で上書きされます。 オプション設定に対して入力しなかった場合、それらの設定はセットアップ アシスタントによってデフォルト値にリセットされます。

    セットアップ アシスタントのポリシー要件の特定ページ

    有線か無線か

    有線または無線接続をサポートするか、またはその両方をサポートするかを指定できます。 Cisco ISE Wireless ライセンスを使用する場合、有線オプションは使用できません。

    これらの選択は、Cisco ISE が作成するポリシー影響し、他に必要な対応が決まります。 たとえば、有線を選択する場合、ネットワークが IP 電話をサポートするかどうかを指定できます。

    有線接続をモニタリングするかどうか、またはコンプライアンスに基づいてネットワーク アクセスを強制する必要があるかどうかも示す必要があります。

    • モニタによって、非準拠ログとレポートが生成されますが、ユーザやデバイスが定義済みポリシーに準拠することは要求されません。

      モニタリング モードでは、ポスチャおよびゲスト ポリシーは無視されます。 モニタリング モードの有線接続をサポートしている場合、セットアップ アシスタントは、無許可のコンピュータおよびゲスト アクセスを防ぐために、次ページのゲストおよびポスチャの選択を無効にします。

      有線および無線接続をサポートする場合、ゲストおよびポスチャ機能を有効にできますが、これらの機能は無線接続にのみ適用されます。 無線接続は常に強制モードで実行されます。

    • 強制では、定義済みポリシーに準拠することが要求されます。

    保護されたサブネット

    ゲストまたは非準拠のエンドポイントがアクセスできないサブネットを指定する必要があります。 この情報は、ダウンロード可能 ACL を作成する場合に使用されます。

    セットアップ アシスタントのネットワーク アクセス サービスの設定ページ

    ユーザ認証

    これらのグループに属するユーザは、従業員としてネットワーク アクセス権を付与され、スポンサー ポータルを使用してゲスト アカウントを作成することを許可されます。

    • 内部ユーザ:内部ユーザを作成する場合、Cisco ISE は、入力した名前を使用して 1 人のユーザを作成し、デフォルトの従業員ユーザ ID グループと ALL_ACCOUNTS ユーザ ID グループにそのユーザを割り当てます。 これは、セットアップの完了後に、[管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] ページで確認できます。

      セットアップ アシスタントはネットワークの機能を示すための基本的な Cisco ISE 設定だけを提供するので、それを使用して内部ユーザ データベースに追加ユーザをインポートすることはできません セットアップ アシスタンスを完了した後に、管理者ポータルを使用して追加の内部ユーザを追加できます。

    • Active Directory:Active Directory ドメインに参加する場合、Cisco ISE は指定された AD ドメインを追加して、それに参加します。 ドメインへの参加後、Active Directory グループを選択する必要があります。 このグループに属するすべてのユーザは、Dot1x を使用して認証され、スポンサー ポータルを使用してゲストを作成できます。 これは、セットアップの完了後に、[管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [Active Directory] ページで確認できます。

    ポスチャ コンプライアンス

    セットアップ アシスタントを使用してポスチャを有効にすると、Cisco ISE は接続されたエンドポイント上のアンチスパイウェアおよびアンチウイルスの定義とインストールを確認します。

    従業員とゲストのポスチャ コンプライアンスを評価するか、または評価および遵守するかを指定する必要があります。

    • 評価は、非準拠ユーザに関するレポートを生成しますが、それらの認証を許可します。

    • 遵守では認証は行われません。

    ネットワーク アクセス権を付与する前に非準拠のエンドポイントを修復サーバにリダイレクトするように Cisco ISE に強制する場合、プロキシ サーバの IP アドレスを入力します。

    ポスチャ コンプライアンスを有効にした場合、Cisco ISE は次の内容を実行します。

    • Cisco NAC Agent をダウンロードし、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)] ページを更新します。

    • [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [許可(Authorization)] > [ダウンロード可能 ACL(Downloadable ACLs)] ページでダウンロード可能 ACL を作成します。 セットアップ アシスタントで作成されたすべての DACL にはプレフィクス AutoGen が含まれます(AutoGen_DACL_PrePostureWired など)。

    • [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [許可(Authorization)] > [許可プロファイル(Authorization Profiles)] ページで許可プロファイルを作成します。 セットアップ アシスタントで作成された許可プロファイルにはプレフィクス AutoGen が含まれます(AutoGen_profile_Byod_CWA など)。

    • [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [許可(Authorization)] > [単純条件(Simple Conditions)] および [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [許可(Authorization)] > [複合条件(Simple Conditions)] ページで許可条件を作成します。 セットアップ アシスタントで作成された許可条件にはプレフィクス AutoGen が含まれます(AutoGen_condition_Android_Devices または AutoGen_condition_GuestWired など)。

    • [ポリシー(Policy)] > [クライアント プロビジョニング(Client Provisioning)] ページでクライアント プロビジョニングを作成します。 セットアップ アシスタントで作成されたクライアント プロビジョニング ポリシーにはプレフィクス AutoGen が含まれます(AutoGen_Provisioning など)。

    • [管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] > [更新(Updates)] ページからポスチャ更新をダウンロードします。

    • [ポリシー(Policy)] > [ポスチャ(Posture)] ページでポスチャ ポリシーを作成します。 セットアップ アシスタントで作成されたポスチャ ポリシーにはプレフィクス AutoGen が含まれます(AutoGen_Policy_Check_For_AS_Definition_Mac_Employee など)。

    • [ポリシー(Policy)] > [許可(Authorization)] ページで許可ポリシーを作成します。 セットアップ アシスタントで作成された許可ポリシーにはプレフィクス AutoGen が含まれます(AutoGen_policy_Registered_Wireless_Devices など)。

    • [ポリシー(Policy)] > [認証(Authentication)] ページで認証ポリシーを作成します。 セットアップ アシスタントで作成された認証ポリシーにはプレフィクス AutoGen が含まれます(AutoGen_AuthNPolicy_MAB など)。

    エンドポイント プロファイリング

    エンドポイント プロファイリングは、ネットワークに接続されているすべてのエンドポイントの機能を検出、識別、および決定します。 エンドポイント プロファイリングを有効にした場合、Cisco ISE は次の内容を実行します。

    • [管理(Administration)] > [システム(System)] > [展開(Deployment)] > [ノードの編集(Edit Node)] > [プロファイリング設定(Profiling Configuration)] ページで次のエンドポイント プロファイリング機能を有効にします。

      • DHCP

      • RADIUS

      • ネットワーク スキャン(NMAP)

      • SNMP クエリーのプローブ

    • [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] ページで SNMP を設定します。

    プロキシの設定

    Cisco ISE は、エンドポイントのポスチャを評価し、ネットワークでパーソナル デバイスを許可するために必要なシスコ定義のポスチャ チェックおよびクライアント プロビジョニング リソースをダウンロードするために、プロキシ サーバを使用します。 これらのプロキシ設定を設定すると、Cisco ISE は [管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロキシ(Proxy)] ページで設定を更新します。

    ゲスト ユーザのサポート

    ゲスト ユーザをサポートするには、スポンサー ユーザを作成する必要があります。 Cisco ISE は、入力した名前を使用して 1 人のユーザを作成し、デフォルトの ALL_ACCOUNTS ユーザ ID グループにそのユーザを割り当てます。それにより、ユーザはスポンサー ユーザとして定義されます。 これは、セットアップの完了後に、[管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] ページで確認できます。

    簡素化された URL を追加すると、Cisco ISE は [ゲスト アクセス(Guest Access)] > [設定(Configure)] > [スポンサー ポータル(Sponsor Portals)] > [編集(Edit)] ページ上部の [ポータル名(Portal Name)] 設定を更新します。

    パーソナル デバイスのサポート

    従業員がデバイス ポータルにアクセスするために使用する簡素化された URL を追加することができます。その場合、Cisco ISE は [管理(Administration)] > [デバイス ポータル管理(Device Portal Management)] > [デバイス(My Devices)] > [編集(Edit)] ページ上部の [ポータル名(Portal Name)] 設定を更新します。

    Web ポータルのカスタマイズ

    スポンサー、ゲスト、およびデバイス ポータルのカスタム ロゴとして使用するイメージをアップロードできます。 Cisco ISE も、適切なページにイメージをアップロードします。
    • ゲスト ポータル。[ゲスト アクセス(Guest Access)] > [設定(Configure)] > [ゲスト ポータル(Guest Portals)] > [編集(Edit)] > [ポータル ページのカスタマイズ(Portal Page Customization)]

    • スポンサー ポータル。[ゲスト アクセス(Guest Access)] > [設定(Configure)] > [スポンサー ポータル(Sponsor Portals)] > [編集(Edit)] > [ポータル ページのカスタマイズ(Portal Page Customization)]

    • [管理(Administration)] > [デバイス ポータル管理(Device Portal Management)] > [デバイス(My Devices)] > [編集(Edit)] > [ポータル ページのカスタマイズ(Portal Page Customization)]

    セットアップ アシスタントのネットワーク デバイス タイプの選択ページ

    スイッチおよびワイヤレス コントローラ

    Cisco ISE は、[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] ページにスイッチおよびワイヤレス コントローラを追加し、SNMP 設定を更新し、[認証設定(Authentication Settings)] オプションに RADIUS 共有秘密鍵を追加します。

    以前に行った選択によっては、スイッチおよびワイヤレス コントローラを設定する必要があります。 必要な設定の詳細を説明するサンプル ネットワーク トポロジを表示するには、[有線(Wired)] または [ワイヤレス ネットワーク構成図(Wireless Network Diagram)] リンクをクリックします。

    セットアップ アシスタントの選択内容の表示と確認ページ

    選択内容の確認

    問題のそれぞれに対する応答を確認できます。

    ネットワーク デバイス設定

    設定された各スイッチおよび WLC の設定の詳細が個別に表示されます。 Cisco ISE では、デバイス上のこれらの設定を自動的には更新しません。 現在のデバイス設定を完全に置き換える場合は、設定全体をコピー アンド ペーストします。 あるいは、必要な設定変更を加えた特定のセクションをコピーできます。 セットアップ アシスタント(Setup Assistant) > ネットワーク デバイス設定の表示を選択することによって、セットアップ アシスタントの終了後に設定の最新コピーにアクセスできます。

    ISE の設定

    [ISE の設定(ISE Configuration)] タブには、Cisco ISE に追加された各設定、ポリシー、プロファイル、DACL とネットワーク デバイスの詳細が表示されます。

    リスト ページでのデータのフィルタリング

    リスト ページには、表示された情報をフィルタリングおよびカスタマイズするためのツールが含まれています。

    リスト ページのデータ フィルタ

    設定およびフィルタ アイコンを使用して、リスト ページに表示される情報をカスタマイズおよびフィルタリングできます。

    図 3. データ フィルタの例

    表示されるフィールド属性のカスタマイズ

    リスト ページに表示されるフィールド属性をカスタマイズできます。 使用可能なオプションおよびデフォルト オプションは、特定のリスト ページによって異なります。

    手順
      ステップ 1   [設定(Settings)] アイコンをクリックし、[カラム(Columns)] を選択します。
      ステップ 2   追加または削除する項目を選択します。 選択した項目の横にチェックマークが表示されます。
      ステップ 3   [閉じる(Close)] をクリックします。

      クイック フィルタを使用したフィールド属性によるデータのフィルタリング

      クイック フィルタを使用して、リスト ページに表示されるフィールド属性の値を入力し、ページをリフレッシュすることで、フィルタ基準に一致するレコードのみを一覧表示できます。

      手順
        ステップ 1   [表示(Show)] ドロップダウン リストをクリックし、[クイック フィルタ(Quick Filter)] を選択します。
        ステップ 2   属性フィールドの 1 つ以上に検索条件を入力すると、指定した属性に一致するエントリが自動的に表示されます。

        拡張フィルタを使用した条件によるデータのフィルタリング

        拡張フィルタを使用して、指定した条件(名 = Mike、ユーザ グループ = 従業員など)に基づいて情報をフィルタリングできます。 複数の条件を指定できます。

        手順
          ステップ 1   [表示(Show)] ドロップダウン リストをクリックし、[拡張フィルタ(Advanced Filter)] を選択します。
          ステップ 2   [フィルタ(Filter)] メニューから検索および検索属性(フィールド、演算子、値など)を指定します。
          ステップ 3   [+] をクリックして、その他の条件を追加します。
          ステップ 4   [実行(Go)] をクリックして、指定された属性に一致するエントリを表示します。

          カスタム フィルタの作成

          カスタム フィルタを作成および保存し、プリセット フィルタでフィルタ条件を変更できます。 カスタム フィルタは Cisco ISE データベースに保存されません。 カスタム フィルタにアクセスするには、そのフィルタの作成に使用した同じコンピュータおよびブラウザを使用する必要があります。

          手順
            ステップ 1   [表示(Show)] ドロップダウン リストをクリックし、[拡張フィルタ(Advanced Filter)] を選択します。
            ステップ 2   [フィルタ(Filter)] メニューからフィールド、演算子、値などの検索属性を指定します。
            ステップ 3   [+] をクリックして、その他の条件を追加します。
            ステップ 4   [実行(Go)] をクリックして、指定された属性に一致するエントリを表示します。
            ステップ 5   [保存(Save)] アイコンをクリックしてフィルタを保存します。
            ステップ 6   名前を入力し、[Save(保存)] をクリックします。 フィルタが [表示(Show)] ドロップダウン リストに表示されます。

            Cisco ISE 国際化およびローカリゼーション

            Cisco ISE 国際化では、サポートされる言語にユーザ インターフェイスを合わせます。 ユーザ インターフェイスのローカリゼーションでは、ロケール固有のコンポーネントおよび翻訳されたテキストが組み込まれます。

            Cisco ISE の国際化およびローカリゼーションのサポートでは、ポータルに接するエンドユーザに対して UTF-8 符号化で英語以外のテキストをサポートすること、および管理者ポータルの選択的フィールドに重点を置いています。

            サポートされる言語

            Cisco ISE では、次の言語とブラウザ ロケールのローカリゼーションおよび国際化がサポートされます。

            言語

            ブラウザ ロケール

            中国語(繁体字)

            zh-tw

            中国語(簡体字)

            zh-cn

            チェコ語

            cs-cz

            オランダ語

            nl-nl

            英語

            en

            フランス語

            fr-fr

            ドイツ語

            de-de

            ハンガリー語

            hu-hu

            イタリア語

            it-it

            日本語

            ja-jp

            韓国語

            ko-kr

            ポーランド語

            pl-pl

            ポルトガル語(ブラジル)

            pt-br

            ロシア語

            ru-ru

            スペイン語

            es-es

            エンドユーザ Web ポータルのローカリゼーション

            ゲスト、スポンサー、デバイスおよびクライアント プロビジョニングの各ポータルは、サポートされているすべての言語およびロケールにローカライズされています。 ローカライズには、テキスト ラベル、メッセージ、フィールド名およびボタン ラベルが含まれます。 クライアント ブラウザが Cisco ISE テンプレートにマッピングされていないロケールを要求した場合、ポータルは英語のテンプレートを使用して内容を表示します。

            管理者ポータルを使用して、各言語のゲスト、スポンサー、デバイスの各ポータルで使用されるフィールドを個別に変更できます。また、言語を追加することも可能です。 現在、クライアント プロビジョニング ポータルについては、これらのフィールドはカスタマイズできません。

            HTML ページを Cisco ISE にアップロードすることによって、ゲスト ポータルを詳細にカスタマイズできます。 カスタマイズしたページをアップロードする場合は、展開に対する適切なローカリゼーション サポートに責任を負います。 Cisco ISE では、サンプル HTML ページを含むローカリゼーション サポート例が提供されており、これをガイドとして使用できます。 Cisco ISE には、国際化されたカスタム HTML ページをアップロード、格納、および表示する機能があります。


            (注)  


            NAC および MAC エージェントのインストーラおよび WebAgent ページはローカライズされていません。


            UTF-8 文字データ エントリのサポート

            エンドユーザに(Cisco NAC Agent またはサプリカント、あるいはスポンサー、ゲスト、デバイス、クライアント プロビジョニングの各ポータルを介して)公開される Cisco ISE フィールドは、すべての言語の UTF-8 文字セットをサポートします。 UTF-8 は、Unicode 文字セット用のマルチバイト文字エンコーディングであり、ヘブライ語、サンスクリット語、アラビア語など、多数の異なる言語文字セットがあります。

            文字の値は、管理設定データベースに UTF-8 で格納され、UTF-8 文字はレポートおよびユーザ インターフェイス コンポーネントで正しく表示されます。

            UTF-8 クレデンシャル認証

            ネットワーク アクセス認証では、UTF-8 ユーザ名およびパスワードのクレデンシャルがサポートされます。 これには、RADIUS、EAP、RADIUS プロキシ、RADIUS トークン、ゲストおよび管理ポータルのログイン認証からの Web 認証が含まれます。 ユーザ名とパスワードの UTF-8 サポートは、ローカル ID ストアおよび外部 ID ストアに対する認証に適用されます。

            UTF-8 認証は、ネットワーク ログインに使用されるクライアント サプリカントに依存します。 一部の Windows ネイティブ サプリカントでは、UTF-8 クレデンシャルはサポートされません。 Windows ネイティブ サプリカントで問題が生じた場合は、次の Windows ホットフィックスが役立つ場合があります。

            UTF-8 ポリシーおよびポスチャ評価

            属性値に基づいて決定される Cisco ISE のポリシー ルールに、UTF-8 テキストが含まれている場合があります。 UTF-8 属性値はルール評価でサポートされます。 また、管理ポータルで UTF-8 の値を使用して条件を設定できます。

            ポスチャ要件を、UTF-8 文字セットに基づくファイル、アプリケーション、およびサービス条件として変更できます。 これには、UTF-8 要件の値を NAC エージェントに送信することが含まれます。 NAC エージェントはそれに応じてエンドポイントを評価し、UTF-8 の値を報告します(該当する場合)。

            Cisco NAC および MAC エージェントの UTF-8 サポート

            Cisco NAC Agent では、テキスト、メッセージ、および Cisco ISE と交換される任意の UTF-8 データの国際化がサポートされます。 これには、要件メッセージ、要件名、および条件で使用されるファイル名およびプロセス名が含まれます。

            次の制限が適用されます。

            • UTF-8 サポートは、Windows ベースの NAC エージェントにのみ適用されます。

            • Cisco NAC および MAC エージェントのインターフェイスでは、現在、ローカリゼーションはサポートされていません。

            • WebAgent では、UTF-8 ベースのルールおよび要件はサポートされません。

            • 利用規定(AUP)が設定されている場合は、ブラウザ ロケールと設定で指定された言語セットに基づいて、ポリシーのページがクライアント側で提供されます。 ローカライズされた AUP バンドルまたはサイト URL の提供は、ユーザの責任です。

            サプリカントに送信されるメッセージの UTF-8 サポート

            RSA プロンプトおよびメッセージは、RADIUS 属性 REPLY-MESSAGE を使用して、または EAP データ内で、サプリカントに転送されます。 テキストに UTF-8 データが含まれている場合は、サプリカントによって、クライアントのローカル オペレーティング システムの言語サポートに基づいて表示されます。 一部の Windows ネイティブ サプリカントでは、UTF-8 クレデンシャルはサポートされません。

            Cisco ISE プロンプトおよびメッセージは、サプリカントが実行されているクライアントのオペレーティング システムのロケールと同期していない場合があります。 エンドユーザのサプリカントのロケールを Cisco ISE によってサポートされている言語に合わせる必要があります。

            レポートおよびアラートの UTF-8 サポート

            モニタリングおよびトラブルシューティングのレポートおよびアラートでは、Cisco ISE でサポートされる言語について、次のように関連属性の UTF-8 の値がサポートされます。

            • ライブ認証の表示

            • レポート レコードの詳細ページの表示

            • レポートのエクスポートと保存

            • Cisco ISE ダッシュボードの表示

            • アラート情報の表示

            • tcpdump データの表示

            ポータルでの UTF-8 文字のサポート

            Cisco ISE フィールド(UTF-8)では、ポータルおよびエンドユーザ メッセージでローカリゼーション用に現在サポートされているよりも、多くの文字セットがサポートされます。 たとえば、Cisco ISE では、ヘブライ語やアラビア語などの右から左へ記述する言語はサポートされていません(文字セット自体はサポートされています)。

            次の表に、データの入力および表示に UTF-8 文字をサポートする管理者ポータルおよびエンドユーザ ポータルのフィールドを示します。次の制限があります。

            • Cisco ISE では、UTF-8 文字を使用した管理者パスワードはサポートしません。

            • Cisco ISE では、証明書で UTF-8 文字を使用することはできません。

            表 1 管理者ポータルの UTF-8 文字フィールド

            管理者ポータル要素

            UTF-8 フィールド

            ネットワーク アクセスのユーザ設定

            • ユーザ名(User name)

            • 名(First name)

            • 姓(Last name)

            • 電子メール(e-mail)

            ユーザ リスト

            • すべてのフィルタ フィールド

            • [ユーザ リスト(User List)] ページに表示される値

            • 左側のナビゲーション クイック ビューに表示される値

            ユーザ パスワード ポリシー

            • [詳細設定(Advanced)] > [パスワード(Password)] への文字入力は不可

            言語の中には大文字または小文字のアルファベットがないものがあります。 ユーザ パスワード ポリシーでユーザに大文字または小文字でパスワードを入力することを求め、ユーザの言語がこれらの文字をサポートしていない場合、ユーザはパスワードを設定できません。 ユーザ パスワード フィールドで UTF-8 文字をサポートするには、ユーザ パスワード ポリシー ページ([管理(Administration)] > [ID の管理(Identity Management)] > [設定(Settings)] > [ユーザ パスワード ポリシー(User Password Policy)])で次のオプションをオフにする必要があります。

            • 小文字の英文字(Lowercase alphabetic characters)

            • 大文字の英文字(Uppercase alphabetic characters)

            管理者リスト

            • すべてのフィルタ フィールド

            • [管理者リスト(Administrator List)] ページに表示される値

            • 左側のナビゲーション クイック ビューに表示される値

            管理者ログイン ページ

            • ユーザ名(User name)

            RSA

            • メッセージ

            • プロンプト

            RADIUS トークン

            • [認証(Authentication)] タブ > [プロンプト(Prompt)]

            ポスチャ要件

            • 名前

            • [修復アクション(Remediation action)] > [エージェント ユーザに表示されるメッセージ(Message shown to Agent User)]

            • 要件リスト表示

            ポスチャ条件

            • [ファイル条件(File condition)] > [ファイル パス(File path)]

            • [アプリケーション条件(Application condition)] > [プロセス名(Process name)]

            • [サービス条件(Service condition)] > [サービス名(Service name)]

            • 条件リスト表示

            ゲストおよびデバイスの設定

            • [スポンサー(Sponsor)] > [言語テンプレート(Language Template)]:サポートされているすべての言語、すべてのフィールド

            • [ゲスト(Guest)] > [言語テンプレート(Language Template)]:サポートされているすべての言語、すべてのフィールド

            • [デバイス(My Devices)] > [言語テンプレート(Language Template)]:サポートされているすべての言語、すべてのフィールド

            システム設定

            • [SMTP サーバ(SMTP Server)] > [デフォルトの電子メール アドレス(Default e-mail address)]

            [操作(Operations)] > [アラーム(Alarms)] > [ルール(Rule)]

            • [基準(Criteria)] > [ユーザ(User)]

            • [通知(Notification)] > [電子メール通知ユーザ リスト(e-mail Notification user list)]

            [操作(Operations)] > [レポート(Reports)]

            • [操作(Operations)] > [ライブ認証(Live Authentications)] > フィルタ フィールド

            • [操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] > レポート フィルタ フィールド

            [操作(Operations)] > [トラブルシューティング(Troubleshoot)]

            • [一般ツール(General Tools)] > [RADIUS 認証トラブルシューティング(RADIUS Authentication Troubleshooting)] > [ユーザ名(Username)]

            ポリシー

            • [認証(Authentication)] > ポリシー条件内での av 式の値

            • [許可(Authorization)]/[ポスチャ(Posture)]/[クライアント プロビジョニング(Client Provisioning)] > [その他の条件(Other Conditions)] > ポリシー条件内での av 式の値

            ポリシー ライブラリ条件の属性値

            • [認証(Authentication)] > [単純条件/複合条件(Simple Condition/Compound Condition)] > av 式の値

            • [認証(Authentication)] > 単純条件リスト表示

            • [認証(Authentication)] > 単純条件リスト > 左のナビゲーション クイック ビュー表示

            • [許可(Authorization)] > [単純条件/複合条件(Simple Condition/Compound Condition)] > av 式の値

            • [許可(Authorization)] > 単純条件リスト > 左のナビゲーション クイック ビュー表示

            • [ポスチャ(Posture)] > [ディクショナリ単純条件/ディクショナリ複合条件(Dictionary Simple Condition/Dictionary Compound Condition)] > av 式の値

            • [ゲスト(Guest)] > [単純条件/複合条件(Simple Condition/Compound Condition)] > av 式の値

            ユーザ インターフェイス外での UTF-8 サポート

            この項では、Cisco ISE ユーザ インターフェイス外で UTF-8 がサポートされる領域について説明します。

            デバッグ ログおよび CLI 関連の UTF-8 サポート

            一部のデバッグ ログには、属性値およびポスチャ条件の詳細が表示されます。そのため、すべてのデバッグ ログで UTF-8 の値が受け入れられます。 raw UTF-8 データを含むデバッグ ログをダウンロードして、UTF-8 対応ビューアで表示できます。

            ACS 移行の UTF-8 サポート

            Cisco ISE では、ACS UTF-8 設定オブジェクトおよび値の移行が可能です。 一部の UTF-8 オブジェクトの移行は、Cisco ISE UTF-8 言語でサポートされない場合があります。そのため、移行中に提供される UTF-8 データの一部は、管理ポータルまたはレポート方式を使用して読み取れない表示になる場合があります。 (ACS から移行された)読み取り不可能な UTF-8 値は ASCII テキストに変換する必要があります。

            UTF-8 の値のインポートおよびエクスポートのサポート

            管理者ポータルおよびスポンサー ポータルは、ユーザ アカウントの詳細をインポートするときに使用される UTF-8 値のプレーン テキストおよび .csv ファイルをサポートします。 エクスポートされたファイルは csv ファイルとして提供されます。

            REST での UTF-8 サポート

            UTF-8 の値は、外部 REST 通信でサポートされます。 これは、admin 認証を除き、Cisco ISE ユーザ インターフェイスの UTF-8 がサポートされる設定可能項目に適用されます。 REST での admin 認証には、ログインのために ASCII テキスト クレデンシャルが必要です。

            ID ストアの許可データの UTF-8 サポート

            Cisco ISE では、Active Directory および LDAP がポリシー処理のために許可ポリシーで UTF- 8 データを使用できます。

            MAC アドレスの正規化

            ISE 1.3 は次のいずれかの形式で入力された MAC アドレスの正規化をサポートします。

            • 00-11-22-33-44-55

            • 0011.2233.4455

            • 00:11:22:33:44:55

            • 001122334455

            • 001122-334455

            次の ISE ウィンドウでは、完全または部分的な MAC アドレスを指定できます。

            • [ポリシー(Policy)] > [許可(Authorization)]

            • [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [許可(Authorization)]

            • [認証(Authentications)] > [フィルタ(Filters)](エンドポイント カラムおよび ID カラム)

            • [グローバル検索(Global Search)]

            • [操作(Operations)] > [レポート(Reports)] > [レポート フィルタ(Reports Filters)]

            • [操作(Operations)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [エンドポイントのデバッグ(Endpoint Debug)]

            次の ISE ウィンドウでは、完全な MAC アドレスを指定する必要があります(「:」または「-」または「.」で区切られた 6 オクテット)。

            • [操作(Operations)] > [エンドポイント保護サービス(Endpoint protection service)]

            • [操作(Operations)] > [トラブルシューティング(Troubleshooting)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [RADIUS 認証トラブルシューティング(RADIUS Authentication Troubleshooting)]

            • [操作(Operations)] > [トラブルシューティング(Troubleshooting)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [ポスチャのトラブルシューティング(Posture Troubleshooting)]

            • [管理(Administration)] > [ID(Identities)] > [エンドポイント(Endpoints)]

            • [管理(Administration)] > [システム(System)] > [展開(Deployment)]

            • [管理(Administration)] > [ロギング(Logging)] > [収集フィルタ(Collection Filter)]

            REST API でも、完全な MAC アドレスの正規化がサポートされます。

            有効なオクテットには 0 ~ 9、a ~ f、または A ~ F のみ含めることができます。

            ロールベース アクセス コントロール ポリシーによって制限されている管理者機能

            Cisco ISE では、管理権限を制限することでセキュリティを確保するロールベース アクセス コントロール(RBAC)ポリシーが提供されます。 RBAC ポリシーは、ロールおよび権限を定義するためにデフォルトの管理者グループに関連付けられています。 標準的な権限セット(メニューおよびデータ アクセス)が、事前定義された管理者グループそれぞれとペアになっており、それによって、関連付けられたロールおよび職務機能と整合性がとられています。

            ユーザ インターフェイスにある一部の機能には、使用するために特定の権限が必要です。 ある機能が使用できない場合、または特定のタスクの実行が許可されない場合、その機能を利用するタスクを実行するのに必要な権限が自分の管理者グループにない場合があります。

            アクセス レベルに関係なく、すべての管理者アカウントは、管理者がアクセスできるすべてのページの、権限を持つオブジェクトを変更または削除できます。 読み取り専用機能は、いずれの管理者アクセスにも使用できません。