Cisco Identity Services Engine 管理者ガイド リリース 1.3
ネットワーク デバイスの管理
ネットワーク デバイスの管理

目次

ネットワーク デバイスの管理

Cisco ISE のネットワーク デバイス定義

スイッチやルータなどのネットワーク デバイスは、認証、許可、アカウンティング(AAA)クライアントであり、これを使用して、AAA サービス要求が Cisco ISE に送信されます。 Cisco ISE がネットワーク デバイスとやり取りするように、ネットワーク デバイスを定義する必要があります。 ネットワーク デバイスを RADIUS 認証用に設定したり、プロファイリング サービスでプロファイリング エンドポイントの Cisco Discovery Protocol 属性およびリンク層検出プロトコル属性を収集するための簡易ネットワーク管理プロトコルを設定したり、TrustSec デバイスの TrustSec 属性を設定することができます。 Cisco ISE に定義されていないネットワーク デバイスは、Cisco ISE から AAA サービスを受信できません。

ネットワーク デバイスの定義:

  • RADIUS 認証用の RADIUS プロトコルを設定できます。 Cisco ISE はネットワーク デバイスから RADIUS 要求を受信すると、対応するデバイス定義を探して設定されている共有秘密を取得します。 デバイス定義が見つかった場合、デバイスに設定されている共有秘密を取得し、それを要求内の共有秘密と照合してアクセスを認証します。 共有秘密が一致した場合、ネットワーク アクセスは許可されます。 成功した認証レポートが生成されます。 一致しない場合は、拒否応答がネットワーク デバイスに送信されます。 失敗した認証レポートが生成され、失敗の理由が示されます。

  • プロファイリング サービスがネットワーク デバイスと通信し、ネットワーク デバイスに接続されているエンドポイントをプロファイリングするように、ネットワーク デバイス定義で簡易ネットワーク管理プロトコル(SNMP)を設定できます。

  • Cisco TrustSec リューションの一部となる可能性がある TrustSec 対応デバイスからの要求を処理するには、Cisco ISE に TrustSec 対応デバイスを定義する必要があります。 TrustSec ソリューションをサポートするスイッチはすべて TrustSec 対応デバイスです。

    TrustSec デバイスでは IP アドレスは使用されません。 代わりに、TrustSec デバイスが Cisco ISE と通信できるように、その他の設定を定義する必要があります。

    TrustSec 対応デバイスは Cisco ISE との通信に TrustSec 属性を使用します。 Nexus 7000 シリーズ スイッチ、Catalyst 6000 シリーズ スイッチ、Catalyst 4000 シリーズ スイッチ、Catalyst 3000 シリーズ スイッチなどの TrustSec 対応デバイスは、TrustSec デバイスの追加時に定義した TrustSec 属性を使用して認証されます。

Cisco ISE でのデフォルトのネットワーク デバイス定義

Cisco ISE では、RADIUS 認証のデフォルトのデバイス定義がサポートされています。 特定の IP アドレスのデバイス定義が見つからない場合、Cisco ISE で使用できるデフォルトのネットワーク デバイスを定義することができます。 この機能を使用すると、新しくプロビジョニングされたデバイスのデフォルトの RADIUS 共有秘密とアクセス レベルを定義できます。

Cisco ISE は、ネットワーク デバイスから RADIUS 要求を受信すると、対応するデバイス定義を検索して、ネットワーク デバイス定義に設定されている共有秘密を取得します。

RADIUS 要求が受信されると、Cisco ISE は次の手順を実行します。

  1. 要求内の IP アドレスに一致する特定の IP アドレスを探します。

  2. 範囲を調べて、要求内の IP アドレスが指定された範囲内にあるかどうかを確認します。

  3. ステップ 1 と 2 の両方が失敗すると、要求の処理にデフォルトのデバイス定義(定義されている場合)が使用されます。

Cisco ISE は、そのデバイスのデバイス定義に設定されている共有秘密を取得し、それを RADIUS 要求内の共有秘密と照合してアクセスを認証します。 デバイス定義が見つからない場合、Cisco ISE はデフォルトのネットワーク デバイス定義から共有秘密を取得し、RADIUS 要求を処理します。

Cisco ISE でのネットワーク デバイス定義の作成

Cisco ISE にネットワーク デバイス定義がない場合に Cisco ISE でネットワーク デバイス定義を作成し、デフォルトのネットワーク デバイス定義を使用できます。

手順
    ステップ 1   [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] を選択します。
    ステップ 2   [追加(Add)] をクリックします。
    ステップ 3   [ネットワーク デバイス(Network Devices)] セクションで、必要な情報を入力します。
    ステップ 4   [認証設定(Authentication Settings)] チェックボックスをオンにして、RADIUS プロトコル認証を設定します。
    ステップ 5   [SNMP の設定(SNMP Settings)] チェックボックスをオンにして、デバイス情報を収集するプロファイリング サービスの簡易ネットワーク管理プロトコルを設定します。
    ステップ 6   TrustSec 対応デバイスを設定するために [高度な TrustSec 設定(Advanced Trustsec Settings)] チェックボックスをオンにします。
    ステップ 7   [送信(Submit)] をクリックします。

    Cisco ISE へのネットワーク デバイスのインポート

    カンマ区切り形式(CSV)ファイルを使用して、Cisco ISE ノードにデバイス定義のリストをインポートできます。 Cisco ISE にネットワーク デバイスをインポートする前に、インポートしたテンプレートを更新する必要があります。 同じリソース タイプのインポートを同時に実行できません。 たとえば、2 つの異なるインポート ファイルから同時にネットワーク デバイスをインポートできません。

    管理者ポータルから CSV テンプレートをダウンロードし、テンプレートにデバイス定義の詳細を入力し、Cisco ISE にインポート可能な CSV ファイルとしてテンプレートを保存できます。

    デバイスのインポート中に、新しいレコードを作成するか、または既存のレコードを更新できます。 インポートされたデバイスの数の概要が表示され、インポート プロセス中に見つかったエラーが報告されます。 デバイスをインポートする場合、Cisco ISE で最初のエラーが発生した場合、既存のデバイス定義を新しい定義で上書きするか、またはインポート プロセスを停止するかを定義できます。

    リリース間でインポート テンプレートが異なるため、以前の Cisco ISE、リリース 1.1 および 1.1.x でエクスポートされたネットワーク デバイスを Cisco ISE、リリース 1.2 にインポートすることはできません。

    手順
      ステップ 1   [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] を選択します。
      ステップ 2   [インポート(Import)] をクリックします。
      ステップ 3   [参照(Browse)] をクリックして、クライアント ブラウザを実行しているシステムから CSV ファイルを選択します。
      ステップ 4   [新しいデータで既存のデータを上書き(Overwrite Existing Data with New Data)] チェックボックスをオンにします。
      ステップ 5   [最初のエラーでインポートを停止(Stop Import on First Error)] チェックボックスをオンにします。
      ステップ 6   [インポート(Import)] をクリックします。

      Cisco ISE からのネットワーク デバイスのエクスポート

      Cisco ISE で設定されたネットワーク デバイスを CSV ファイル形式でエクスポートし、これを使用して別の Cisco ISE ノードにそれらのネットワーク デバイスをインポートできます。

      手順
        ステップ 1   [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] を選択します。
        ステップ 2   [エクスポート(Export)] をクリックします。
        ステップ 3   ネットワーク デバイスをエクスポートするには、次のいずれかを行うことができます。
        • エクスポートするデバイスの隣にあるチェックボックスをオンにし、[エクスポート(Export)] > [選択済みをエクスポート(Export Selected)] を選択します。

        • 定義されているすべてのネットワーク デバイスをエクスポートするには、[エクスポート(Export)] > [すべてエクスポート(Export All)] を選択します。

        ステップ 4   ローカル ハード ディスクに export.csv ファイルを保存します。

        ネットワーク デバイス グループ

        Cisco ISE では、ネットワーク デバイスを含む階層型ネットワーク デバイス グループ(NDG)を作成できます。 NDG は、地理的な場所、デバイス タイプ、ネットワーク内での相対的な位置(「アクセス レイヤ」や「データセンター」など)のようなさまざまな基準に基づいて、ネットワーク デバイスを論理的にグループ化します。

        たとえば、地理的な場所に基づいてネットワーク デバイスを編成するには、大陸、地域、国でグループ化できます。

        • アフリカ -> 南部 -> ナミビア

        • アフリカ -> 南部 -> 南アフリカ

        • アフリカ -> 南部 -> ボツワナ

        デバイス タイプでネットワーク デバイスをグループ化することもできます。

        • アフリカ -> 南部 -> ボツワナ -> ファイアウォール

        • アフリカ -> 南部 -> ボツワナ -> ルータ

        • アフリカ -> 南部 -> ボツワナ -> スイッチ

        ネットワーク デバイスは、1 つ以上の階層型 NDG に割り当てることができます。 したがって、Cisco ISE が、設定された NDG の順序リスト全体を参照して特定のデバイスに割り当てる適切なグループを決定するとき、同じデバイス プロファイルが複数のデバイス グループに適用されている場合、Cisco ISE は最初に一致したデバイス グループを適用します。

        ルート ネットワーク デバイス グループ

        Cisco ISE には、すべてのデバイス タイプとすべてのロケーションという 2 つの定義済みルート NDG が含まれます。 これらの事前定義された NDG を編集、複製、または削除することはできませんが、それらの下に新しいデバイス グループを追加できます。

        また、ルート ネットワーク デバイス グループ(NDG)を作成し、[ネットワーク デバイス グループ(Network Device Groups)] ページでそのルート グループの下に子 NDG を作成できます。 新しいルート NDG を作成する場合は、NDG の名前とタイプを指定する必要があります。 この情報は、ルート NDG の下に子を作成するときに必要ではありません。

        ポリシー評価で Cisco ISE が使用するネットワーク デバイスの属性

        新しいネットワーク デバイス グループを作成すると、新しいネットワーク デバイス属性がシステムに定義されているデバイス ディクショナリに追加され、ポリシー定義に使用できるようになります。 Cisco ISE では、デバイス タイプ、ロケーション、モデル名、およびネットワーク デバイス上で実行しているソフトウェア バージョンなどのデバイス ディクショナリ属性に基づいて認証ポリシーと許可ポリシーを設定できます。

        Cisco ISE へのネットワーク デバイス グループのインポート

        カンマ区切り形式(CSV)ファイルを使用して Cisco ISE ノードにネットワーク デバイス グループをインポートできます。 同じリソース タイプのインポートを同時に実行できません。 たとえば、2 つの異なるインポート ファイルから同時にネットワーク デバイス グループをインポートできません。

        管理者ポータルから CSV テンプレートをダウンロードし、テンプレートにデバイス グループの詳細を入力し、Cisco ISE にインポート可能な CSV ファイルとしてテンプレートを保存できます。

        デバイス グループのインポート中に、新しいレコードを作成するか、または既存のレコードを更新できます。 デバイス グループをインポートする場合、Cisco ISE で最初のエラーが発生した場合、既存のデバイス グループを新しいグループで上書きするか、またはインポート プロセスを停止するかを定義できます。

        手順
          ステップ 1   [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス グループ(Network Device Groups)] > [グループ(Groups)] を選択します。
          ステップ 2   [インポート(Import)] をクリックします。
          ステップ 3   [参照(Browse)] をクリックして、クライアント ブラウザを実行しているシステムから CSV ファイルを選択します。
          ステップ 4   [新しいデータで既存のデータを上書き(Overwrite Existing Data with New Data)] チェックボックスをオンにします。
          ステップ 5   [最初のエラーでインポートを停止(Stop Import on First Error)] チェックボックスをオンにします。
          ステップ 6   [ネットワーク デバイス グループ(Network Device Groups)] リスト ページに戻るには、[インポート(Import)] または [ネットワーク デバイス グループ リスト(Network Device Groups List)] リンクをクリックします。

          Cisco ISE からのネットワーク デバイス グループのエクスポート

          Cisco ISE に設定されたネットワーク デバイス グループを CSV ファイル形式でエクスポートし、これを使用して別の Cisco ISE ノードにそれらのネットワーク デバイス グループをインポートできます。

          手順
            ステップ 1   [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス グループ(Network Device Groups)] > [グループ(Groups)] を選択します。
            ステップ 2   ネットワーク デバイス グループをエクスポートするには、次のいずれかを行うことができます。
            • エクスポートするデバイス グループの横にあるチェックボックスをオンにし、[エクスポート(Export)] > [選択済みをエクスポート(Export Selected)] を選択します。

            • [エクスポート(Export)] > [すべてエクスポート(Export All)] を選択して、定義されたネットワーク デバイス グループをすべてエクスポートします。

            ステップ 3   ローカル ハード ディスクに export.csv ファイルを保存します。

            Cisco ISE でのテンプレートのインポート

            Cisco ISE では、カンマ区切り形式(CSV)ファイルを使用して大量のネットワーク デバイスやネットワーク デバイス グループをインポートできます。 テンプレートには、フィールドのフォーマットを定義するヘッダー行が含まれます。 ヘッダー行は編集しないでそのまま使用してください。

            デフォルトで、[テンプレートの生成(Generate a Template)] リンクを使用して、Microsoft Office Excel アプリケーションに CSV ファイルをダウンロードし、このファイル形式をシステム上にローカルに保存できます。 [テンプレートの生成(Generate a Template)] リンクをクリックすると、Cisco ISE サーバは、[template.csv を開く(Opening template.csv)] ダイアログを表示します。 このダイアログを使用すると、template.csv ファイルを開いて、その template.csv ファイルにネットワーク デバイスおよびネットワーク デバイス グループに適切な名前を付けて、システム上にローカルに保存できます。 このダイアログで template.csv ファイルを開くことを選択した場合、このファイルはデフォルトで Microsoft Office Excel アプリケーションで開かれます。

            ネットワーク デバイスのインポート テンプレート形式

            次の表では、テンプレート ヘッダーのフィールドとネットワーク デバイスの CSV ファイルにおけるこれらのフィールドの説明を示します。

            表 1 ネットワーク デバイスの CSV テンプレートのフィールドと説明

            フィールド

            説明

            Name:文字列(32)

            (必須)このフィールドはネットワーク デバイスの名前です。 これは、最大 32 文字の英数字文字列です。

            Description:文字列(256)

            このフィールドは、ネットワーク デバイスの任意の説明です。 最大 256 文字の文字列。

            IP Address:Subnets(a.b.c.d/m|...)

            (必須)このフィールドは、ネットワーク デバイスの IP アドレスおよびサブネット マスクです。 (パイプ記号「|」で区切って複数の値を指定できます)。

            Model Name:文字列(32)

            (必須)このフィールドはネットワーク デバイスのモデル名です。 これは、最大 32 文字の文字列です。

            Software Version:文字列(32)

            (必須)このフィールドはネットワーク デバイスのソフトウェア バージョンです。 これは、最大 32 文字の文字列です。

            Network Device Groups:文字列(100)

            (必須)このフィールドは、既存のネットワーク デバイス グループにする必要があります。 サブグループを指定できますが、親グループとサブグループの両方をスペースで区切って含める必要があります。 最大 100 文字の文字列(たとえば、Location#All Location#US)です。

            Authentication:Protocol:文字列(6)

            これはオプションのフィールドです。 認証に使用するプロトコルです。 唯一の有効な値は RADIUS です(大文字と小文字は区別されません)。

            Authentication:Shared Secret:文字列(128)

            (認証プロトコルのフィールドの値を入力した場合は必須)このフィールドは、最大 128 文字の文字列です。

            EnableKeyWrap:ブール(true|false)

            これはオプションのフィールドです。 これはネットワーク デバイスでサポートされている場合に限り有効です。 有効な値は true または false です。

            EncryptionKey:文字列(ascii:16|hexa:32)

            (KeyWrap を有効にした場合は必須)セッションの暗号化に使用される暗号キーを示します。

            ASCII:16 文字(バイト)の長さ

            16 進数:32 文字(バイト)の長さ。

            AuthenticationKey:文字列(ascii:20|hexa:40)

            (KeyWrap を有効にした場合は必須)。 RADIUS メッセージに対するキー付き Hashed Message Authentication Code(HMAC)の計算を示します。

            ASCII:20 文字(バイト)の長さ

            16 進数:40 文字(バイト)の長さ。

            InputFormat:文字列(32)

            暗号化と認証キーの入力形式を示します。 有効な値は、ASCII または Hexadecimal です。

            SNMP:Version:列挙(|2c|3)

            これはオプションのフィールドで、プロファイラ サービスによって使用されます。 SNMP プロトコルのバージョンです。 有効な値は 1、2c、または 3 です。

            SNMP:RO Community:文字列(32)

            (SNMP バージョンのフィールドの値を入力した場合は必須)SNMP 読み取り専用のコミュニティ。 これは、最大 32 文字の文字列です。

            SNMP:RW Community:文字列(32)

            (SNMP バージョンのフィールドの値を入力した場合は必須)SNMP 読み取り書き込みコミュニティ。 これは、最大 32 文字の文字列です。

            SNMP:Username:文字列(32)

            これはオプションのフィールドです。 これは、最大 32 文字の文字列です。

            SNMP:Security Level:列挙(Auth|No Auth|Priv)

            (SNMP バージョン 3 を選択した場合は必須)有効な値は、Auth、No Auth、または Priv です。

            SNMP:Authentication Protocol:列挙(MD5|SHA)

            (SNMP セキュリティ レベルで Auth または Priv を入力した場合は必須)有効な値は、MD5 または SHA です。

            SNMP:Authentication Password:文字列(32)

            (SNMP セキュリティ レベルで Auth を入力した場合は必須)これは、最大 32 文字の文字列です。

            SNMP:Privacy Protocol:列挙(DES|AES128|AES192|AES256|3DES)

            (SNMP セキュリティ レベルで Priv を入力した場合は必須)有効な値は、DES、AES128、AES192、AES256、または 3DES です。

            SNMP:Privacy Password:文字列(32)

            (SNMP セキュリティ レベルで Priv を入力した場合は必須)これは、最大 32 文字の文字列です。

            SNMP:Polling Interval:整数:600-86400 秒

            これはオプションのフィールドで、SNMP ポーリング間隔を設定します。 有効な値は 600 ~ 86400 の整数です。

            SNMP:Is Link Trap Query:ブール(true|false)

            これはオプションのフィールドで、SNMP リンク トラップを有効または無効にします。 有効な値は true または false です。

            SNMP:Is MAC Trap Query:ブール(true|false)

            これはオプションのフィールドで、SNMP MAC トラップを有効または無効にします。 有効な値は true または false です。

            SNMP:Originating Policy Services Node:文字列(32)

            これはオプションのフィールドです。 SNMP データのポーリングに使用される ISE サーバを示します。 デフォルトでは自動ですが、別の値を割り当てて設定を上書きできます。

            Trustsec:Device Id:文字列(32)

            これはオプションのフィールドです。 これは、TrustSec デバイス ID で、最大 32 文字の文字列です。

            Trustsec:Device Password:文字列(256)

            (TrustSec デバイス ID を入力した場合は必須)これは TrustSec デバイスのパスワードで、最大 256 文字の文字列です。

            Trustsec:Environment Data Download Interval:整数:1-2147040000 秒

            これはオプションのフィールドです。 これは TrustSec 環境データのダウンロード間隔です。 有効な値は 1 ~ 24850 の整数です。

            Trustsec:Peer Authorization Policy Download Interval:整数:1-2147040000 秒

            これはオプションのフィールドです。 これは TrustSec のピア許可ポリシーのダウンロード間隔です。 有効な値は 1 ~ 24850 の整数です。

            Trustsec:Reauthentication Interval:整数:1-2147040000 秒

            これはオプションのフィールドです。 これは TrustSec の再認証間隔です。 有効な値は 1 ~ 24850 の整数です。

            Trustsec:SGACL List Download Interval:整数:1-2147040000 秒

            これはオプションのフィールドです。 また、TrustSec SGACL リストのダウンロード間隔です。 有効な値は 1 ~ 24850 の整数です。

            Trustsec:Is Other Trustsec Devices Trusted:ブール(true|false)

            これはオプションのフィールドです。 TrustSec が信頼できるかどうかを示します。 有効な値は true または false です。

            Trustsec:Notify this device about Trustsec configuration changes:文字列(ENABLE_ALL|DISABLE_ALL)

            これはオプションのフィールドです。 TrustSec デバイスに対する TrustSec 設定変更を通知します。 有効な値は ENABLE_ALL または DISABLE_ALL です

            Trustsec:Include this device when deploying Security Group Tag Mapping Updates:ブール(true|false)

            これはオプションのフィールドです。 これは、SGT に含まれる TrustSec デバイスです。 有効な値は true または false です。

            Deployment:Execution Mode Username:文字列(32)

            これはオプションのフィールドです。 デバイス設定を編集する権限を持っているユーザ名です。 これは、最大 32 文字の文字列です。

            Deployment:Execution Mode Password:文字列(32)

            これはオプションのフィールドです。 デバイス パスワードで、最大 32 文字の文字列です。

            Deployment:Enable Mode Password:文字列(32)

            これはオプションのフィールドです。 設定を編集するためのデバイスのイネーブル パスワードで、最大 32 文字の文字列です。

            Trustsec:PAC issue date:日付

            これは、TrustSec デバイス用に Cisco ISE によって生成された最後の TrustSec PAC の発行日を表示するフィールドです。

            Trustsec:PAC expiration date:日付

            これは、TrustSec デバイス用に Cisco ISE によって生成された最後の TrustSec PAC の有効期限を表示するフィールドです。

            Trustsec:PAC issued by:文字列

            これは、TrustSec デバイス用に Cisco ISE によって生成された最後の TrustSec PAC の発行者(TrustSec 管理者)の名前を表示するフィールドです。 文字列です。

            ネットワーク デバイス グループのインポート テンプレート形式

            次の表に、テンプレート ヘッダーのフィールドとネットワーク デバイス グループの CSV ファイルにおけるこれらのフィールドの説明を示します。

            表 2 ネットワーク デバイス グループの CSV テンプレートのフィールドと説明

            フィールド

            説明

            Name:文字列(100)

            (必須)このフィールドはネットワーク デバイス グループの名前です。 最大 100 文字の文字列です。 NDG の完全な名前の長さは、最大 100 文字です。 たとえば、親グループ Global > Asia の下にサブグループ India を作成している場合、作成する NDG の完全な名前は Global#Asia#India になり、この完全な名前の長さは 100 文字を超えることはできません。 NDG の完全な名前の長さが 100 文字を超えた場合、NDG の作成は失敗します。

            Description:文字列(1024)

            これは、オプションのネットワーク デバイス グループの説明です。 これは、最大 1024 文字の文字列です。

            Type:文字列(64)

            (必須)このフィールドはネットワーク デバイス グループのタイプです。 これは、最大 64 文字の文字列です。

            Is Root:ブール(true|false)

            (必須)これは、特定のネットワーク デバイス グループがルート グループかどうかを示すフィールドです。 有効な値は true または false です。

            Mobile Device Manager と Cisco ISE との相互運用性

            モバイル デバイス管理(MDM)サーバはモバイル事業者、サービス プロバイダー、企業にわたって展開されたモバイル デバイスの保護、モニタ、管理、およびサポートを行います。 MDM サーバはポリシー サーバで構成され、ポリシー サーバは展開環境のモバイル デバイスにある一部のアプリケーション(電子メール アプリケーションなど)の使用を制御します。 ただし、ACL、SGT などに基づいてエンドポイントへの細かなアクセスを提供できるエンティティは、ネットワークのみです。この処理を実行するために、Cisco ISE は必要なデバイス属性について MDM サーバに問い合わせを行い、これらのデバイスに対するネットワーク アクセス制御を確実に提供できるようにします。

            この図では、MDM ポリシー サーバがポリシー情報ポイントであるのに対し、Cisco ISE は適用ポイントです。 Cisco ISE は、MDM サーバからデータを取得して、完全なソリューションを提供します。

            図 1. MDM の Cisco ISE との相互運用性

            次の表に、MDM 設定で使用されるコンポーネントを示します。

            表 3 MDM 設定で使用されるコンポーネント

            コンポーネント

            仕様

            Cisco Identity Services Engine, Release 1.2

            次のいずれか:ISE 3315、3355、3395、3415、3495、または VMware

            MDM サーバ

            任意)認証権限サーバ

            Microsoft の仕様どおり(Windows 2008 R2 Enterprise SP2)

            ワイヤレス LAN コントローラ(WLC)

            • ハードウェア:5500 シリーズ、2500 シリーズ、WLSM-2

            • ソフトウェア:Unified Wireless Network ソフトウェア、リリース 7.2

            モバイル デバイス

            MDM ベンダーでサポートされているデバイス。

            たとえば、Apple iOS 5.0 以降、Google Android 2.3。

            外部 Mobile Device Manager(MDM)サーバと相互運用するように Cisco ISE を設定できます。 サードパーティのこのタイプの接続を設定することによって、MDM データベースにある詳細情報を活用できます。 Cisco ISE は REST API コールを使用して、外部 MDM サーバからさまざまな情報をプルします。 Cisco ISE はスイッチ、アクセス ルータ、ワイヤレス アクセス ポイント、その他のネットワーク アクセス ポイントに適切なアクセス コントロール ポリシーを適用して、Cisco ISE ネットワークへのリモート デバイス アクセスをより適切に制御します。

            サポートされる MDM の使用例

            Cisco ISE が外部 MDM サーバと連携して実行する機能は、次のとおりです。

            • デバイス登録の促進:ネットワークにアクセスする未登録のエンドポイントは、MDM サーバ上でホストされている登録ページにリダイレクトされ、ユーザ ロール、デバイス タイプなどに基づいて登録されます。

            • デバイスの修復の処理:エンドポイントは、非準拠になった後は、制限付きアクセスだけが付与されます。

            • エンドポイント データの増加:Cisco ISE プロファイラを使用して収集できない、MDM サーバの情報でエンドポイント データベースを更新します。 エンドポイントが MDM のモニタ対象デバイスの場合、Cisco ISE は [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [エンドポイント(Endpoints)] ページを使用して表示できる 6 つのデバイス属性を使用します。 次に例を示します。

              • MDMImei: 99 000100 160803 3

              • MDMManufacturer: Apple

              • MDMModel: iPhone

              • MDMOSVersion: iOS 6.0.0

              • MDMPhoneNumber: 9783148806

              • MDMSerialNumber: DNPGQZGUDTF9

            • 定期的なコンプライアンス チェック:Cisco ISE は、4 時間ごとに MDM サーバをポーリングし、デバイス コンプライアンス データを確認します。

            • MDM サーバを介したデバイス手順の発行:MDM サーバを介してユーザのデバイスに対するリモート アクションを発行します。

            Cisco ISE では、次の属性に基づいて MDM ポリシーを設定できます。

            • DeviceRegisterStatus

            • DeviceCompliantStatus

            • DiskEncryptionStatus

            • PinLockStatus

            • JailBrokenStatus

            • Manufacturer

            • IMEI

            • SerialNumber

            • OsVersion

            • PhoneNumber

            サポートされる MDM サーバ

            サポートされる MDM サーバは、次のベンダーの製品です。

            • Airwatch, Inc.

            • Good Technology

            • MobileIron, Inc.

            • Zenprise, Inc.

            • SAP Afaria

            • Fiberlink MaaS

            MDM サーバにより使用されるポート

            次の表に、相互に通信ができるように Cisco ISE と MDM サーバ間で開く必要のあるポートを示します。 MDM エージェントおよびサーバで開く必要があるポートのリストについては、MDM サーバのドキュメントを参照してください。

            表 4 MDM サーバにより使用されるポート

            MDM サーバ

            ポート

            Mobile Iron

            443

            Zenprise

            443

            Good

            19005

            Airwatch

            443

            Afaria

            443

            Fiberlink MaaS

            443

            MDM ディクショナリ属性

            Cisco ISE に MDM サーバ定義を追加すると、MDM ディクショナリ属性は Cisco ISE で使用可能になり、許可ポリシーで使用できます。 許可ポリシーに使用可能なディクショナリ属性を表示できます([ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [ディクショナリ(Dictionaries)] > [MDM] > [ディクショナリ属性(Dictionary Attributes)])。

            ポリシーでこれらの MDM ディクショナリ属性を使用している場合、Cisco ISE から MDM サーバ設定を削除できません。 MDM サーバ設定を削除するには、初めにポリシーから MDM ディクショナリ属性を削除し、次に Cisco ISE から MDM サーバを削除します。

            MDM 統合プロセス フロー

            ここでは、MDM 統合プロセスについて説明します。

            1. ユーザはデバイスを SSID に関連付けます。

            2. (任意)デバイスが登録されていない場合、ユーザはデバイス オンボーディング フローを順に実行します。

            3. Cisco ISE は、MDM サーバに対して API コールを実行します。

            4. この API コールは、このユーザのデバイスとデバイスのポスチャ ステータスのリストを戻します。


              (注)  


              入力パラメータは、エンドポイント デバイスの MAC アドレスです。


            5. ユーザのデバイスがこのリストにない場合、デバイスが登録されていないことを意味します。 Cisco ISE は、Cisco ISE にリダイレクトされる許可要求を NAD に送信します。 ユーザが MDM サーバ ページに表示されます。

            6. Cisco ISE は、MDM を使用してデバイスをプロビジョニングし、デバイスを登録するための適切なページをユーザに表示します。

            7. ユーザは MDM サーバにデバイスを登録し、MDM サーバは Cisco ISE に要求をリダイレクトします(自動リダイレクションまたは手動のブラウザ リフレッシュによって)。

            8. Cisco ISE は MDM サーバに対して再度ポスチャ ステータスのクエリーを実行します。

            9. ユーザのデバイスが MDM サーバで設定されているポスチャ(コンプライアンス)ポリシーに準拠していない場合、デバイスがポリシーに準拠しておらず、準拠する必要があることがユーザに通知されます。

            10. ユーザのデバイスがポリシーに準拠するようになった後、MDM のサーバは内部テーブルのデバイスのステータスを更新します。

            11. ここでユーザがブラウザをリフレッシュすると、制御が Cisco ISE に返されます。

            12. Cisco ISE はコンプライアンス情報を取得するために MDM サーバを 4 時間ごとにポーリングし、必要に応じて許可変更(CoA)を発行します。

            次の図は、MDM プロセス フローを示しています。



            Cisco ISE による MDM サーバの設定

            Cisco ISE で MDM サーバを設定するには、次のタスクを実行します。

            手順
              ステップ 1   Cisco ISE に MDM サーバ証明書をインポートします。
              ステップ 2   Mobile Device Manager の定義を作成します。
              ステップ 3   ワイヤレス LAN コントローラの ACL を設定します。
              ステップ 4   未登録のデバイスをリダイレクトするための許可プロファイルを設定します。
              ステップ 5   MDM 使用例の許可ポリシー ルールを設定します。

              Cisco ISE への MDM サーバ証明書のインポート

              Cisco ISE を MDM サーバに接続するには、Cisco ISE 証明書ストアに MDM サーバ証明書をインポートする必要があります。 MDM サーバに CA 署名付き証明書がある場合は、Cisco ISE 証明書ストアにルート CA をインポートする必要があります。

              手順
                ステップ 1   MDM サーバ証明書を MDM サーバからエクスポートして、ローカル マシンに保存します。
                ステップ 2   [管理(Administration)] > [証明書(Certificates)] > [証明書ストア(Certificate Store)] > [インポート(Import)] を選択します。
                ステップ 3   [参照(Browse)] をクリックして、MDM サーバから取得した MDM サーバ証明書を選択します。
                ステップ 4   わかりやすい名前を追加します。
                ステップ 5   [送信(Submit)] をクリックします。
                ステップ 6   [証明書ストア(Certificate Store)] リスト ページに MDM サーバ証明書が一覧表示されることを確認します。

                次の作業

                Mobile Device Manager の定義を作成します。

                Mobile Device Manager の定義の作成

                Cisco ISE がログインしたユーザのデバイスから最新のデバイス接続ステータスをできるだけオンデマンドで取得できるように、外部 MDM サーバの Mobile Device Manager(MDM)の定義を 1 つ以上作成できます (複数の MDM サーバ定義を設定できますが、Cisco ISE と相互運用する MDM サーバは一度に 1 つしかアクティブにできません)。

                はじめる前に

                Cisco ISE に MDM サーバ証明書をインポートしたことを確認します。

                手順
                  ステップ 1   [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [MDM] を選択します。
                  ステップ 2   [追加(Add)] をクリックします。
                  ステップ 3   追加する MDM サーバの名前と説明を入力します。
                  ステップ 4   どの MDM サーバがアクティブになるかを示す [ステータス(Status)] チェックボックスをオン(またはオフ)にします。 Cisco ISE は一度に 1 つの MDM サーバのみと通信できます。
                  ステップ 5   [MDM サーバ ホスト(MDM server host)] フィールドに、MDM サーバの IP アドレスまたはホスト名(FQDN)を入力します。
                  ステップ 6   Cisco ISE が MDM サーバと通信する必要があるネットワークおよびプロキシ ポートを指定します。
                  ステップ 7   (Zenprise サーバの場合のみ必須)追加する MDM サーバのサーバ インスタンス名を指定します。
                  ステップ 8   Cisco ISE が MDM サーバ データベースにログインし、それと相互運用できるように、MDM サーバ管理者のユーザ名とパスワードを指定します。
                  ステップ 9   Cisco ISE が MDM サーバをポーリングしてコンプライアンス チェック情報を確認するためのポーリング間隔(分単位)を入力します。 この値は、MDM サーバのポーリング間隔と同じである必要があります。 デフォルト値は 240 分です。

                  ネットワーク上の少数のアクティブ クライアントをテストする場合のみポーリング間隔を 60 分未満に設定することを推奨します。 多くのアクティブ クライアントを持つ実稼働環境でこの値を 60 分未満に設定すると、システムの負荷が大幅に増加し、パフォーマンスに悪影響を与える場合があります。

                  ステップ 10   Cisco ISE と MDM サーバの接続をアクティブにするには、[有効(Enable)] チェックボックスをオンにします。
                  ステップ 11   MDM サーバへの Cisco ISE の接続をテストするには、[テスト接続(Test Connection)] をクリックします。

                  Cisco ISE に接続エラーが表示される場合は、作成した定義を削除し、MDM サーバに到達可能なことを確認し、Cisco ISE で MDM サーバ定義を再作成します。

                  ステップ 12   [送信(Submit)] をクリックし、MDM サーバ定義を保存します。 Cisco ISE を MDM サーバに正常に接続した後にのみ、MDM ディクショナリは Cisco ISE に読み込まれます。

                  次の作業

                  未登録のデバイスのリダイレクトのための許可プロファイルを設定します。

                  未登録のデバイスのリダイレクトのための許可プロファイルの設定

                  未登録のデバイスをリダイレクトするには、Cisco ISE で許可プロファイルを設定する必要があります。

                  はじめる前に

                  Cisco ISE で MDM サーバ定義を作成したことを確認します。 正常に MDM サーバと ISE を統合した後に限り、MDM ディクショナリにデータが入力され、MDM ディクショナリ属性を使用して許可ポリシーを作成できます。

                  未登録のデバイスをリダイレクトするために、ワイヤレス LAN コントローラの ACL を設定します。

                  手順
                    ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [許可(Authorization)] > [許可プロファイル(Authorization Profiles)] > [追加(Add)] を選択します。
                    ステップ 2   準拠していないまたは登録されていない未登録デバイスをリダイレクトするための許可プロファイル作成します。
                    ステップ 3   許可プロファイルの名前を入力します。
                    ステップ 4   アクセス タイプとして ACCESS_ACCEPT を選択します。
                    ステップ 5   [Web リダイレクション(Web Redirection)] チェックボックスをオンにし、ドロップダウン リストから [MDM リダイレクト(MDM Redirect)] を選択します。
                    ステップ 6   ワイヤレス LAN コントローラ上で設定した ACL の名前を [ACL] フィールドに入力します。
                    ステップ 7   [送信(Submit)] をクリックします。

                    次の作業

                    MDM の許可ポリシー ルールを設定します。

                    MDM 使用例の許可ポリシー ルールの設定

                    Cisco ISE の MDM 設定を完了するには、Cisco ISE で許可ポリシー ルールを設定する必要があります。

                    はじめる前に
                    • Cisco ISE 証明書ストアに MDM サーバ証明書を追加します。

                    • Cisco ISE で MDM サーバ定義を作成したことを確認します。 正常に MDM サーバと ISE を統合した後に限り、MDM ディクショナリにデータが入力され、MDM ディクショナリ属性を使用して許可ポリシーを作成できます。

                    • 未登録のデバイスまたは非準拠のデバイスをリダイレクトするために、ワイヤレス LAN コントローラの ACL を設定します。

                    手順
                      ステップ 1   [ポリシー(Policy)] > [許可(Authorization)] > [新規ルールを下に挿入(Insert New Rule Below)] を選択します。
                      ステップ 2   次のルールを追加します。
                      • [MDM_Un_Registered_Non_Compliant]:MDM サーバに登録されていないか、MDM ポリシーに準拠していないデバイスの場合。 要求がこのルールに一致すると、ISE MDM ページが表示され、MDM でのデバイスの登録に関する情報が示されます。

                      • [PERMIT]:デバイスが Cisco ISE および MDM に登録されており、Cisco ISE および MDM ポリシーに準拠している場合、Cisco ISE で設定されたアクセス コントロール ポリシーに基づいてネットワークへのアクセス権が付与されます。

                        次の図は、この設定の例を示します。

                        図 2. MDM の使用例の許可ポリシー ルール

                      ステップ 3   [保存(Save)] をクリックします。

                      デバイスのワイプまたはロック

                      Cisco ISE では、失われたデバイスをワイプしたり、PIN ロックをオンにしたりできます。 これは [エンドポイント(Endpoints)] ページから行うことができます。

                      手順
                        ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [エンドポイント(Endpoints)] を選択します。
                        ステップ 2   ワイプまたはロックするデバイスの横にあるチェックボックスをオンにします。
                        ステップ 3   [MDM アクセス(MDM Access)] ドロップダウン リストから、次のオプションのいずれかを選択します。
                        • [フル ワイプ(Full Wipe)]:デバイスからすべての情報を削除します

                        • [企業ワイプ(Corporate Wipe)]:MDM サーバ ポリシーで設定したアプリケーションを削除します

                        • [PIN ロック(PIN Lock)]:デバイスをロックします

                        ステップ 4   [はい(Yes)] をクリックして、デバイスをワイプまたはロックします。

                        Mobile Device Manager のレポートの表示

                        Cisco ISE では、MDM サーバ定義のすべての追加、更新、および削除を記録します。 これらのイベントは、選択された期間での任意のシステム管理者によるすべての設定変更を報告する「変更設定監査」レポートで表示できます。

                        [操作(Operations)] > [レポート(Reports)] > [変更設定監査(Change Configuration Audit)] > [MDM] を選択し、結果のレポートで表示する期間を指定します。

                        Mobile Device Manager のログの表示

                        [メッセージ カタログ(Message Catalog)] ページを使用して、Mobile Device Manager のログ メッセージを表示できます。 [管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [メッセージ カタログ(Message Catalog)] を選択します。 MDM ログ エントリのデフォルトのレポーティング レベルは「INFO」です。