Cisco Identity Services Engine 管理者ガイド リリース 1.3
Cisco ISE エンドポイント プロファイリング ポリシー
Cisco ISE エンドポイント プロファイリング ポリシー

目次

Cisco ISE エンドポイント プロファイリング ポリシー

Cisco ISE プロファイリング サービス

Cisco Identity Services Engine(ISE)のプロファイリング サービスは、ネットワークに接続されているデバイスおよびその場所を識別します。 エンドポイントは Cisco ISE に設定されたエンドポイント プロファイリング ポリシーに基づいてプロファイリングされます。 次に、Cisco ISE では、ポリシー評価の結果に基づいてネットワークのリソースにアクセスする権限がエンドポイントに付与されます。

プロファイリング サービス:

  • IEEE 規格 802.1X ポートベースの認証アクセス コントロール、MAC 認証バイパス(MAB)認証、およびネットワーク アドミッション コントロール(NAC)をさまざまな規模および複雑度の企業ネットワークに使用して、認証の効率的かつ効果的な展開および継続的な管理を容易にします。

  • デバイス タイプにかかわらず、接続されたすべてのネットワーク エンドポイントの機能を特定、検索、および決定します。

  • 一部のエンドポイントへのアクセスを誤って拒否しないようにします。

プロファイリング サービスを使用したエンドポイント インベントリ

プロファイリング サービスを使用して、ネットワークに接続されたすべてのエンドポイントの機能を検出、特定、および決定することができます。 デバイスのタイプに関係なく、エンドポイントの企業ネットワークへの適切なアクセスを、保障し、保持できます。

プロファイリング サービスでは、エンドポイントの属性をネットワーク デバイスとネットワークから収集し、エンドポイントをそのプロファイルに従って特定のグループに分類します。一致したプロファイルを持つエンドポイントが Cisco ISE データベースに保存されます。 プロファイリング サービスで処理されるすべての属性は、プロファイラ ディクショナリに定義されている必要があります。

プロファイリング サービスは、ネットワークの各エンドポイントを識別し、そのプロファイルに従ってシステム内の既存のエンドポイントの ID グループ、またはシステム内で作成できる新しいグループにそれらのエンドポイントをグループ化します。 エンドポイントをグループ化して既存の ID グループにエンドポイント プロファイリング ポリシーを適用することで、エンドポイントと対応するエンドポイント プロファイリング ポリシーのマッピングを決定できます。

Cisco ISE プロファイラ キュー制限の設定

Cisco ISE プロファイラは、ネットワークから大量のエンドポイント データを短時間で収集します。 それにより、一部の遅い Cisco ISE コンポーネントがプロファイラによって生成されるデータを処理するときにバックログが蓄積されるため、Java 仮想マシン(JVM)のメモリ使用率が増大し、パフォーマンスの低下および安定性の問題が生じます。

プロファイラが JVM メモリ使用率を増やさず、また、JVM がメモリ不足になり、再起動しないように、プロファイラの次の内部コンポーネントに制限が適用されます。

  • エンドポイント キャッシュ:内部キャッシュのサイズは制限され、サイズが制限を超えると定期的に消去する必要があります(最長時間未使用方式に基づく)。

  • フォワーダ:プロファイラによって収集されたエンドポイント情報のメイン入力キュー。

  • イベント ハンドラ:高速コンポーネントを接続解除する内部キューで、(通常、データベース クエリーに関連する)低速処理コンポーネントにデータを提供します。

エンドポイント キャッシュ

  • maxEndPointsInLocalDb = 100000(キャッシュ内のエンドポイント オブジェクト)

  • endPointsPurgeIntervalSec = 300(秒単位のエンドポイント キャッシュ消去スレッド間隔)

  • numberOfProfilingThreads = 8(スレッド数)

制限は、すべてのプロファイラ内部イベント ハンドラに適用されます。 キュー サイズ制限に達すると、モニタリング アラームがトリガーされます。

Cisco ISE プロファイラのキュー サイズの制限

  • forwarderQueueSize = 5000(エンドポイント収集イベント)

  • eventHandlerQueueSize = 10000(イベント)

イベント ハンドラ

  • NetworkDeviceEventHandler:すでにキャッシュされているネットワーク アクセス デバイス(NAD)の重複 IP アドレスのフィルタリングのほか、ネットワーク デバイスのイベント用。

  • ARPCacheEventHandler:ARP キャッシュのイベント用。

CoA ハンドラ

  • CoAHandler:処理のキューにまだ残っている重複 MAC アドレスのフィルタリングのほか、CoA イベント用。

platform.properties ファイルで以下に示すようにプロファイラ キュー制限などを設定できます。 このファイルは、Cisco ISE インストール中に含められ、次の場所にあります。/opt/CSCOcpm/config/


# ---------------------------------------------------------
# Profiler Settings
# ---------------------------------------------------------

profiler.maxEndPointsInLocalDb=100000
profiler.endPointsPurgeIntervalSec=300
profiler.numberOfProfilingThreads=8
<ucsSmall>.profiler.forwarderQueueSize=5000
<ucsLarge>.profiler.forwarderQueueSize=5000
<ibmSmallMedium>.profiler.forwarderQueueSize=5000
<ibmLarge>.profiler.forwarderQueueSize=5000
<ucsSmall>.profiler.eventHandlerQueueSize=10000
<ucsLarge>.profiler.eventHandlerQueueSize=10000
<ibmSmallMedium>.profiler.eventHandlerQueueSize=10000
<ibmLarge>.profiler.eventHandlerQueueSize=10000

Cisco ISE ノードでのプロファイリング サービスの設定

Cisco ISE 対応のネットワークでネットワーク リソースを使用しているすべてのエンドポイントのコンテキスト インベントリを提供するプロファイリング サービスを設定できます。

デフォルトですべての管理、モニタリング、およびポリシー サービスのペルソナを担当する単一の Cisco ISE ノードで実行されるようにプロファイリング サービスを設定できます。

分散展開では、プロファイリング サービスは、ポリシー サービス ペルソナを担当する Cisco ISE ノードでのみ実行され、管理ペルソナとモニタリング ペルソナを担当する他の Cisco ISE ノードでは実行されません。

手順
    ステップ 1   [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。
    ステップ 2   ポリシー サービス ペルソナを担当する Cisco ISE ノードを選択します。
    ステップ 3   [展開ノード(Deployment Nodes)] ページで [編集(Edit)] をクリックします。
    ステップ 4   [全般設定(General Settings)] タブで [ポリシー サービス(Policy Service)] チェックボックスをオンにします。 [ポリシー サービス(Policy Service)] チェックボックスがオフになっている場合は、セッション サービスとプロファイリング サービスの両方のチェックボックスが無効になります。
    ステップ 5   次の作業を実行します。
    1. [セッション サービスの有効化(Enable Session Services)] チェックボックスをオンにして、ネットワーク アクセス セッション サービス、ポスチャ セッション サービス、ゲスト セッション サービス、およびクライアント プロビジョニング セッション サービスを実行します。
    2. [プロファイリング サービスの有効化(Enable Profiling Service)] チェックボックスをオンにして、プロファイリング サービスを実行します。
    ステップ 6   [保存(Save)] をクリックしてノード設定を保存します。

    プロファイリング サービスによって使用されるネットワーク プローブ

    ネットワーク プローブは、ネットワーク上のエンドポイントから属性を収集するために使用される方法です。 プローブを使用して、エンドポイントを Cisco ISE データベース内の一致するプロファイルで作成または更新できます。

    Cisco ISE では、ネットワーク デバイスの動作を分析してデバイス タイプを決定する多数のネットワーク プローブを使用して、デバイスをプロファイリングすることができます。 ネットワーク プローブは、ネットワーク可視性の向上に役立ちます。

    NetFlow プローブ

    Cisco ISE プロファイラは Cisco IOS NetFlow Version 9 を実装しています。 NetFlow Version 9 には、Cisco ISE プロファイリング サービスをサポートするためのプロファイラの拡張に必要な追加機能があるため、これを使用することを推奨します。

    NetFlow 対応のネットワーク アクセス デバイスから NetFlow Version 9 の属性を収集してエンドポイントを作成したり、Cisco ISE データベース内の既存のエンドポイントを更新したりできます。 NetFlow Version 9 は、エンドポイントの送信元 MAC アドレスと宛先 MAC アドレスを割り当てて、更新するように設定できます。 NetFlow 属性のディクショナリを作成して NetFlow ベースのプロファイリングに対応することもできます。

    NetFlow Version 9 レコード フォーマットの詳細については、『NetFlow Version 9 Flow-Record Format』マニュアルの表 6「NetFlow Version 9 Field Type Definitions」を参照してください。

    さらに、Cisco ISE は Version 5 以前の NetFlow バージョンをサポートします。 ネットワークで NetFlow Version 5 を使用する場合は、Version 5 をアクセス レイヤのプライマリ ネットワーク アクセス デバイス(NAD)でのみ使用できます。他のデバイスでは動作しません。

    Cisco IOS NetFlow Version 5 パケットには、エンドポイントの MAC アドレスが含まれません。 NetFlow Version 5 から収集された属性は、Cisco ISE データベースに直接追加できません。 IP アドレスを使用してエンドポイントを検出し、エンドポイントに NetFlow Version 5 の属性を付加できます。このことは、ネットワーク アクセス デバイスの IP アドレスと NetFlow Version 5 属性から抽出される IP アドレスを組み合わせることによって実行できます。 ただし、これらのエンドポイントを RADIUS または SNMP プローブで事前に検出しておく必要があります。

    NetFlow Version 5 以前のバージョンでは、MAC アドレスは IP フローの一部ではありません。このため、エンドポイントのキャッシュにあるネットワーク アクセス デバイスから収集された属性情報を関連付けることにより、エンドポイントの IP アドレスをプロファイリングすることが必要となります。

    NetFlow Version 5 レコード フォーマットの詳細については、『NetFlow Services Solutions Guide』の表 2「Cisco IOS NetFlow Flow Record and Export Format Content Information」を参照してください。

    DHCP プローブ

    Cisco ISE 展開のダイナミック ホスト コンフィギュレーション プロトコル プローブを有効にすると、Cisco ISE プロファイリング サービスで INIT-REBOOT および SELECTING メッセージ タイプの新しい要求だけに基づいてエンドポイントを再プロファイリングできます。 RENEWING や REBINDING などの他の DHCP メッセージ タイプは処理されますが、エンドポイントのプロファイリングには使用されません。 DHCP パケットから解析された属性は、エンドポイント属性にマッピングされます。

    INIT-REBOOT 状態中に生成された DHCPREQUEST メッセージ

    DHCP クライアントが前に割り当てられてキャッシュされた設定を確認する場合、クライアントはサーバ識別子(server-ip)オプションを入力できません。 代わりに、前に割り当てられた IP アドレスを要求された IP アドレス(requested-ip)オプションに入力する必要があります。また、DHCPREQUEST メッセージの Client IP Address(ciaddr)フィールドをゼロで埋める必要があります。 要求された IP アドレスが正しくない場合、またはクライアントが誤ったネットワークに配置されている場合、DHCP サーバは DHCPNAK メッセージをクライアントに送信します。

    SELECTING 状態中に生成された DHCPREQUEST メッセージ

    DHCP クライアントは、サーバ識別子(server-ip)オプションで選択された DHCP サーバの IP アドレスを挿入し、要求された IP アドレス(requested-ip)オプションにクライアントによって選択された DHCPOFFER の Your IP Address(yiaddr)フィールドの値を入力します。また、「ciaddr」フィールドをゼロで埋めます。

    表 1 さまざまな状態からの DHCP クライアント メッセージ

    INIT-REBOOT

    SELECTING

    RENEWING

    REBINDING

    ブロードキャスト/ユニキャスト

    ブロードキャスト

    ブロードキャスト

    ユニキャスト

    ブロードキャスト

    server-ip

    MUST NOT

    MUST

    MUST NOT

    MUST NOT

    requested-ip

    MUST

    MUST

    MUST NOT

    MUST NOT

    ciaddr

    ゼロ

    ゼロ

    IP アドレス

    IP アドレス

    DHCP ブリッジ モードのワイヤレス LAN コントローラ設定

    ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)ブリッジ モードでワイヤレス LAN コントローラ(WLC)を設定することを推奨します。このモードでは、ワイヤレス クライアントから Cisco ISE にすべての DHCP パケットを転送できます。 WLC Web インターフェイスの [コントローラ(Controller)] > [詳細設定(Advanced)] > [DHCP マスター コントローラ モード(DHCP Master Controller Mode)] > [DHCP パラメータ(DHCP Parameters)] で使用可能な [DHCP プロキシの有効化(Enable DHCP Proxy)] チェックボックスをオフにする必要があります。 DHCP IP ヘルパー コマンドが Cisco ISE ポリシー サービス ノードを指していることも確認する必要があります。

    DHCP SPAN プローブ

    DHCP スイッチド ポート アナライザ(SPAN)プローブは、Cisco ISE ノードで初期化されると、特定インターフェイス上のネットワーク アクセス デバイスからのネットワーク トラフィックをリッスンします。 DHCP SPAN パケットを DHCP サーバから Cisco ISE プロファイラに転送するようにネットワーク アクセス デバイスを設定する必要があります。 プロファイラはこれらの DHCP SPAN パケットを受信して解析し、エンドポイントのプロファイリングに使用できるエンドポイント属性を取得します。

    
    For example,
    switch(config)# monitor session 1 source interface Gi1/0/4
    

    switch(config)# monitor session 1 destination interface Gi1/0/2

    HTTP プローブ

    HTTP プローブでは、識別文字列が HTTP 要求ヘッダー フィールド User-Agent を使って転送されます。このフィールドは、IP タイプのプロファイリング条件の作成、および Web ブラウザ情報の確認に使用される属性です。 プロファイラは Web ブラウザ情報を User-Agent 属性および要求メッセージの他の HTTP 属性から取得し、エンドポイント属性のリストに追加します。

    Cisco ISE はポート 80 およびポート 8080 で Web ブラウザからの通信をリッスンします。 Cisco ISE には、多くのデフォルト プロファイルが用意されています。これらのプロファイルはシステムに組み込まれ、User-Agent 属性に基づいてエンドポイントを識別します。

    HTTP SPAN プローブ

    Cisco ISE 展開の HTTP プローブをスイッチド ポート アナライザ(SPAN)プローブとともに有効にすると、プロファイラは指定されたインターフェイスからの HTTP パケットをキャプチャできます。 SPAN 機能は、Cisco ISE サーバが Web ブラウザからの通信をリッスンするポート 80 で使用できます。

    HTTP SPAN は、HTTP 要求ヘッダー メッセージの HTTP 属性を IP ヘッダー(L3 ヘッダー)の IP アドレスとともに収集し、L2 ヘッダーのエンドポイントの MAC アドレスに基づいてエンドポイントに関連付けることができます。 この情報は、Apple デバイスやさまざまなオペレーティング システムのコンピュータなどの各種モバイルおよびポータブル IP 対応デバイスを識別するのに役立ちます。 ゲスト ログインまたはクライアント プロビジョニング ダウンロード時に Cisco ISE サーバでキャプチャをリダイレクトするため、各種モバイルおよびポータブル IP 対応デバイスの識別の信頼性が向上しました。 これにより、プロファイラは User-Agent 属性とその他の HTTP 属性を要求メッセージから取得し、Apple デバイスなどのデバイスを識別できます。

    VMware で実行中の Cisco ISE の HTTP 属性の収集の無効化

    Cisco ISE を ESX サーバ(VMware)に展開している場合、Cisco ISE プロファイラはダイナミック ホスト コンフィギュレーション プロトコル トラフィックを収集しますが、vSphere クライアント上の設定の問題により HTTP トラフィックを収集しません。 VMware セットアップで HTTP トラフィックを収集するには、Cisco ISE プロファイラのために作成する仮想スイッチの無差別モードを Accept から Reject(デフォルト)に変更して、セキュリティを設定します。 DHCP および HTTP のスイッチド ポート アナライザ(SPAN)プローブが有効になっている場合は、Cisco ISE プロファイラによって DHCP トラフィックと HTTP トラフィックの両方が収集されます。

    RADIUS プローブ

    Cisco ISE で認証に RADIUS を使用するように設定し、クライアントサーバ トランザクションで使用できる共有秘密鍵を定義できます。 RADIUS サーバから RADIUS 要求および応答メッセージを受信すると、プロファイラはエンドポイントのプロファイリングに使用できる RADIUS 属性を収集できます。

    Cisco ISE は RADIUS サーバおよび他の RADIUS サーバに対する RADIUS プロキシ クライアントとして動作できます。 プロキシ クライアントとして動作する場合は、外部の RADIUS サーバを使用して RADIUS 要求および応答メッセージを処理します。

    ネットワーク スキャン プローブ

    Cisco ISE では、NMAP の手動サブネット スキャンを使用して、サブネット内のデバイスを検出できます。 展開内の管理者ポータルからポリシー サービス ノードを選択し、プロファイリング サービスの実行が可能なポリシー サービス ノードから、手動でサブネット スキャンを実行する必要があります。

    NMAP の各手動サブネット スキャンには、エンドポイント ソース情報をそのスキャン ID で更新するために使用される一意の数値 ID があります。 エンドポイント検出時に、エンドポイント ソース情報を更新して、ネットワーク スキャン プローブで検出されたことを示すこともできます。

    NMAP の手動サブネット スキャンは、静的な IP アドレスが割り当てられたプリンタなど、常に Cisco ISE ネットワークに接続されているために、他のプローブで検出できないデバイスを検出する場合に便利です。

    NMAP の手動サブネット スキャンの制限

    NMAP の手動サブネット スキャンの制限を次に示します。
    NMAP の手動サブネット スキャンの制限

    サブネットのスキャンには非常に多くのリソースを消費します。 サブネットのスキャンは時間のかかるプロセスです。これは、サブネットのサイズや密度によって異なります。 アクティブなスキャンの数は常に 1 つに制限されるため、同時にスキャンできるサブネットは 1 つだけです。 また、サブネット スキャンの進行中にいつでもサブネット スキャンをキャンセルできます。 [クリック(Click)] を使用して、最新のスキャン結果のリンクを表示できます。これにより、[管理(Administration)] > [ID(Identities)] > [最新のネットワーク スキャン結果(Latest Network Scan Results)] に保存されている最新のネットワークスキャン結果を表示できます。

    NMAP の手動サブネット スキャン コマンド

    nmap -O -sU -p U:161,162 -oN /opt/CSCOcpm/logs/nmapSubnet.log --append-output -oX - <subnet>
    表 2 手動サブネット スキャンの NMAP コマンド
    -O OS 検出の有効化
    -sU UDP スキャン
    -p <port ranges> 特定のポートのみスキャンします。 たとえば、U:161, 162 と指定します。
    oN 通常の出力
    oX XML 出力

    Cisco ISE と Network Mapper の統合

    Network Mapper(NMAP)は、エンドポイント分類、特に iDevice やその他のモバイル デバイスを強化するためのプロファイリング サービス機能を強化するために Cisco ISE プロファイラと統合されています。 ネットワーク スキャン プローブを使用して特定のサブネットに対して手動サブネット スキャンを実行するか、ネットワーク スキャン アクションをエンドポイント プロファイル(特定のプロファイル)に関連付けてエンドポイントに対してスキャンを実行できます。

    NMAP の手動サブネット スキャンの SNMP 読み取り専用コミュニティ ストリング

    NMAP の手動サブネット スキャンは、エンドポイントで UDP ポート 161 が開かれ、その結果、より多くの属性が収集されることを検出したときには、SNMP クエリーで拡張されます。 NMAP 手動サブネット スキャン中は、ネットワーク スキャン プローブによって、デバイスで SNMP ポート 161 が開いているかどうかが検出されます。 ポートが開いている場合は、デフォルトのコミュニティ ストリング(public)を使用して SNMP クエリーがトリガーされます。 デバイスで SNMP がサポートされ、デフォルトの読み取り専用コミュニティ ストリングが public に設定されている場合は、デバイスの MAC アドレスを MIB 値「ifPhysAddress」から取得できます。 さらに、[プロファイラ設定(Profiler Configuration)] ページでは、NMAP の手動でのネットワーク スキャンのために、カンマで区切られた追加の SNMP 読み取り専用コミュニティ ストリングを設定できます。 また、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロファイリング(Profiling)] では、SNMP バージョン 1 および 2c の SNMP MIB ウォーク用に新しい読み取り専用コミュニティ ストリングを指定できます。

    IP アドレスと MAC アドレスのバインディング

    エンドポイントを作成または更新するには、企業ネットワークの MAC アドレスのみを使用できます。 ARP キャッシュにエントリが見つからない場合は、Cisco ISE で HTTP パケットの L2 MAC アドレスと NetFlow パケットの IN_SRC_MAC を使用してエンドポイントを作成または更新できます。 エンドポイントが 1 ホップだけ離れている場合、プロファイリング サービスは L2 隣接関係に依存します。 エンドポイントに L2 隣接関係がある場合、エンドポイントの IP アドレスと MAC アドレスはすでにマッピングされているため、IP-MAC キャッシュ マッピングは必要ありません。 エンドポイントに L2 隣接関係が存在せず、エンドポイントが複数ホップ離れている場合、マッピングは信頼できない場合があります。 収集する NetFlow パケットの既知の属性には、PROTOCOL、L4_SRC_PORT、IPV4_SRC_ADDR、L4_DST_PORT、IPV4_DST_ADDR、IN_SRC_MAC、OUT_DST_MAC、IN_SRC_MAC、OUT_SRC_MAC などがあります。 エンドポイントに L2 隣接関係が存在せず、L3 ホップに関して複数ホップ離れている場合は、IN_SRC_MAC 属性で L3 ネットワーク デバイスの MAC アドレスのみが伝送されます。 Cisco ISE で HTTP プローブが有効になっている場合は、HTTP 要求メッセージによってペイロード データでエンドポイントの IP アドレスと MAC アドレスが伝送されないため、HTTP パケットの MAC アドレスを使用してのみエンドポイントを作成できます。 Cisco ISE では、プロファイリング サービスで ARP キャッシュが実装されるため、エンドポイントの IP アドレスと MAC アドレスを確実にマッピングできます。 ARP キャッシュを機能させるには、DHCP プローブまたは RADIUS プローブを有効にする必要があります。 DHCP プローブと RADIUS プローブは、ペイロード データでエンドポイントの IP アドレスと MAC アドレスを伝送します。 DHCP プローブの dhcp-requested address 属性と RADIUS プローブの Framed-IP-address 属性によって、エンドポイントの IP アドレスがその MAC アドレスとともに伝送されます。これらのアドレスは、マッピングして ARP キャッシュに格納できます。

    最新のネットワーク スキャン結果

    最新のネットワーク スキャン結果は、[管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [最新のネットワーク スキャン結果(Latest network Scan Results)] に保存されています。

    [最新のネットワーク スキャン結果エンドポイント(Latest network Scan Results Endpoints)] ページには、任意のサブネットに対して手動でのネットワーク スキャンを実行し、その結果として検出された最新のエンドポイントのみが、関連付けられたエンドポイント プロファイル、MAC アドレス、およびスタティック割り当てステータスとともに表示されます。 このページでは、必要に応じて、エンドポイント サブネットで検出されたポイントをより適切に分類するために編集できます。

    Cisco ISE を使用すると、プロファイリング サービスの実行が有効になっているポリシー サービス ノードで手動でのネットワーク スキャンを実行できます。 展開内のプライマリ管理 ISE ノード ユーザ インターフェイスでポリシー サービス ノードを選択し、そのポリシー サービス ノードで手動でのネットワーク スキャンを実行する必要があります。 任意のサブネットに対する手動でのネットワーク スキャン時に、ネットワーク スキャン プローブにより、指定されたサブネット上のエンドポイントとそのオペレーティング システムが検出され、SNMP サービス用の UDP ポート 161 および 162 がチェックされます。

    DNS プローブ

    Cisco ISE 展開のドメイン ネーム サーバ(DNS)プローブを使用すると、プロファイラはエンドポイントを検索し、完全修飾名(FQDN)を取得できます。 Cisco ISE 対応のネットワークでエンドポイントが検出されたら、エンドポイント属性のリストが NetFlow、DHCP、DHCP SPAN、HTTP、RADIUS、または SNMP プローブから収集されます。

    Cisco ISE をスタンドアロンで展開する場合、または初めて分散環境に展開する場合は、セットアップ ユーティリティを実行して Cisco ISE アプライアンスを設定するように求められます。 セットアップ ユーティリティを実行するときに、ドメイン ネーム システム(DNS)ドメインとプライマリ ネームサーバ(プライマリ DNS サーバ)を設定します。設定時には、1 つ以上のネームサーバを設定できます。 Cisco ISE の展開後に、CLI コマンドを使用して DNS ネームサーバを変更または追加することもできます。

    DNS FQDN ルックアップ

    DNS ルックアップを実行する前に、DHCP、DHCP SPAN、HTTP、RADIUS、または SNMP のいずれかのプローブを DNS プローブとともに起動する必要があります。 これにより、プロファイラの DNS プローブは、Cisco ISE 展開に定義されている、指定されたネームサーバに対して逆引き DNS ルックアップ(FQDN ルックアップ)を実行できます。 新しい属性がエンドポイントの属性リストに追加され、エンドポイント プロファイリング ポリシーの評価に使用できます。 FQDN は、システム IP ディクショナリに存在する新しい属性です。 エンドポイント プロファイリング条件を作成して、FQDN 属性およびそのプロファイリング用の値を検証できます。 次は、DNS ルックアップ、およびこれらの属性を収集するプローブに必要な特定のエンドポイント属性です。
    • dhcp-requested-address 属性:DHCP プローブと DHCP SPAN プローブによって収集される属性

    • SourceIP 属性:HTTP プローブによって収集される属性

    • Framed-IP-Address 属性:RADIUS プローブによって収集される属性

    • cdpCacheAddress 属性:SNMP プローブによって収集される属性

    ブリッジ モードのインライン ポスチャ ノード展開での DNS ルックアップ

    ドメイン ネーム サービス プローブをブリッジ モードのインライン ポスチャ展開で使用するには、ワイヤレス LAN コントローラ(WLC)に RADIUS メッセージで送信される callStationIdType 情報を設定する必要があります。RADIUS メッセージの Framed-IP-Address 属性には、MAC アドレス形式の呼出端末 ID タイプは含まれません。 したがって、RADIUS メッセージをエンドポイントの MAC アドレスに関連付けることも、DNS プローブで逆引き DNS ルックアップを実行することもできません。 エンドポイントをプロファイリングするには、Cisco ISE で RADIUS プローブと DNS プローブを有効にし、現在の IP アドレス形式ではなく MAC アドレス形式の発信側ステーション ID を RADIUS メッセージで送信するように WLC を設定します。 WLC は、現在の IP アドレス形式ではなく MAC アドレス形式の発信側ステーション ID を RADIUS メッセージで送信するように設定する必要があります。 callStationIdType を WLC で設定すると、選択した発信側ステーション ID が RADIUS サーバおよびその他のアプリケーションとの通信に使用されます。 これにより、エンドポイントが認証され、DNS プローブは指定されているネームサーバに対して逆引き DNS ルックアップ(FQDN ルックアップ)を実行し、エンドポイントの FQDN を更新します。

    WLC Web インターフェイスでの呼出端末 ID タイプの設定

    WLC Web インターフェイスを使用して、呼出端末 ID タイプ情報を設定できます。 WLC Web インターフェイスの [セキュリティ(Security)] タブに移動すると、[RADIUS RADIUS 認証サーバ(Authentication Servers)] ページで発信側ステーション ID を設定できます。 [MAC デリミタ(MAC Delimiter)] フィールドは、WLC ユーザ インターフェイスのデフォルトでは、[コロン(Colon)] に設定されます。

    WLC Web インターフェイスで設定する方法の詳細については、『Cisco Wireless LAN Controller Configuration Guide, Release 7.2』の第 6 章「Configuring Security Solutions」を参照してください。

    config radius callStationIdType コマンドを使用して WLC CLI で設定する方法の詳細については、『Cisco Wireless LAN Controller Command Reference Guide, Release 7.2』の第 2 章「Controller Commands」を参照してください。

    手順
      ステップ 1   ワイヤレス LAN コントローラのユーザ インターフェイスにログインします。
      ステップ 2   [セキュリティ(Security)] をクリックします。
      ステップ 3   [AAA] を展開して、[RADIUS] > [認証(Authentication)] を選択します。
      ステップ 4   [呼出端末 ID タイプ(Call Station ID Type)] ドロップダウン リストから [システム MAC アドレス(System MAC Address)] を選択します。
      ステップ 5   [MAC 区切り文字(MAC Delimiter)] ドロップダウン リストから [コロン(Colon)] を選択します。

      SNMP クエリー プローブ

      [ノードの編集(Edit Node)] ページでの SNMP クエリー プローブの設定に加えて、[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] でその他の Simple Management Protocol 設定を行う必要があります。

      [ネットワーク デバイス(Network Devices)] リスト ページで新しいネットワーク アクセス デバイス(NAD)の SNMP 設定を行うことができます。 ネットワーク アクセス デバイスの SNMP クエリー プローブまたは SNMP 設定に指定したポーリング間隔で、NAD に定期的にクエリーを実行します。

      次の設定に基づいて、特定の NAD の SNMP クエリーをオンおよびオフにすることができます。

      • [リンクアップ時に SNMP クエリー(SNMP Query on Link up)] および [新しい MAC の通知(New MAC notification)] のオンまたはオフ

      • Cisco Discovery Protocol 情報の [リンクアップ時に SNMP クエリー(SNMP Query on Link up)] および [新しい MAC の通知(New MAC notification)] のオンまたはオフ

      • SNMP クエリー タイマーをデフォルトでスイッチごとに 1 時間に 1 回

      iDevice および SNMP をサポートしないその他のモバイル デバイスでは、ARP テーブルによって MAC アドレスを検出でき、SNMP クエリー プローブによってネットワーク アクセス デバイスからクエリーを実行できます。

      SNMP クエリーに関する Cisco Discovery Protocol のサポート

      ネットワーク デバイスで SNMP 設定を行う場合は、ネットワーク デバイスのすべてのポートで Cisco Discovery Protocol を有効(デフォルト)にする必要があります。 ネットワーク デバイスのいずれかのポートで Cisco Discovery Protocol を無効にすると、接続されているすべてのエンドポイントの Cisco Discovery Protocol 情報が失われるため、正しくプロファイリングを実行できなくなる可能性があります。 ネットワーク デバイスで cdp run コマンドを使用して Cisco Discovery Protocol をグローバルに有効にし、ネットワーク アクセス デバイスのインターフェイスで cdp enable コマンドを使用して Cisco Discovery Protocol を有効にします。 ネットワーク デバイスとインターフェイスで Cisco Discovery Protocol を無効にするには、コマンドの先頭に no キーワードを使用します。

      SNMP クエリーに関する Link Layer Discovery Protocol のサポート

      Cisco ISE プロファイラは LLDP の属性を収集するために SNMP クエリーを使用します。 RADIUS プローブを使用して、ネットワーク デバイスに組み込まれている Cisco IOS センサーから LLDP 属性を収集することもできます。 ネットワーク アクセス デバイスで LLDP グローバル コンフィギュレーション コマンドおよび LLDP インターフェイス コンフィギュレーション コマンドの設定に使用できるデフォルトの LLDP 構成設定を確認してください。
      表 3 デフォルトの LLDP 設定
      機能 機能
      LLDP グローバル ステート 無効
      LLDP ホールドタイム(廃棄までの時間) 120 秒
      LLDP タイマー(パケット更新頻度) 30 秒
      LLDP 再初期化遅延 2 秒
      LLDP tlv-select 有効(すべての TLV の送受信が可能)
      LLDP インターフェイス ステート 有効
      LLDP 受信 有効
      LLDP 転送 有効
      LLDP med-tlv-select 有効(すべての LLDP-MED TLV の送信が可能)
      単一文字で表示される CDP および LLDP の機能コード
      エンドポイントの属性リストには、lldpCacheCapabilities 属性と lldpCapabilitiesMapSupported 属性の 1 文字の値が表示されます。 値は、CDP と LLDP を実行するネットワーク アクセス デバイスに対して表示される機能コードです。
      例 1
      lldpCacheCapabilities S
      lldpCapabilitiesMapSupported S
      
      例 2
      lldpCacheCapabilities B;T
      lldpCapabilitiesMapSupported B;T
      
      例 3
      
      Switch#show cdp neighbors
      Capability Codes:
      R - Router, T - Trans Bridge, B - Source Route Bridge, S - Switch, H - Host, I - IGMP,
      r - Repeater, P - Phone, D - Remote, C - CVTA, M - Two-port Mac Relay
      ...
      Switch#
      
      Switch#show lldp neighbors
      Capability codes:
      (R) Router, (B) Bridge, (T) Telephone, (C) DOCSIS Cable Device
      (W) WLAN Access Point, (P) Repeater, (S) Station, (O) Other
      ...
      Switch#
      

      SNMP トラップ プローブ

      SNMP トラップは、MAC 通知、linkup、linkdown、および informs をサポートする特定のネットワーク アクセス デバイスから情報を受信します。 SNMP トラップ プローブは、ポートがアップまたはダウンし、エンドポイントがネットワークから切断するか、またはネットワークに接続したときに、特定のネットワーク アクセス デバイスから情報を受信します。そのため、受信した情報は Cisco ISE にエンドポイントを作成するのに十分ではありません。

      SNMP トラップを完全に機能させ、エンドポイントを作成するには、トラップを受信したときに SNMP クエリー プローブがネットワーク アクセス デバイスの特定のポートでポーリング イベントをトリガーするように SNMP クエリーを有効にする必要があります。 この機能を完全に動作させるには、ネットワーク アクセス デバイスと SNMP トラップを設定する必要があります。


      (注)  


      Cisco ISE では、ワイヤレス LAN コントローラ(WLC)とアクセス ポイント(AP)から受信した SNMP トラップはサポートされません。


      Cisco ISE ノードごとのプローブの設定

      ポリシー サービス ペルソナを担当する展開の Cisco ISE ノードごとに、[プロファイリング設定(Profiling Configuration)] タブで次のプローブを 1 つ以上設定できます。

      • [スタンドアロン ノード(A standalone node)]:デフォルトですべての管理、モニタリング、およびポリシー サービスのペルソナを担当する単一のノードに Cisco ISE を展開した場合。

      • [複数ノード(Multiple nodes)]:展開でポリシー サービス ペルソナを担当するノードを複数登録した場合。

      はじめる前に

      Cisco ISE ノードごとのプローブは、管理ノードからのみ設定できます。管理ノードは、分散展開のセカンダリ管理ノードで使用できません。

      手順
        ステップ 1   [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。
        ステップ 2   ポリシー サービス ペルソナを担当する Cisco ISE ノードを選択します。
        ステップ 3   [展開ノード(Deployment Nodes)] ページで [編集(Edit)] をクリックします。
        ステップ 4   [全般設定(General Settings)] タブで [ポリシー サービス(Policy Service)] チェックボックスをオンにします。 [ポリシー サービス(Policy Service)] チェックボックスがオフになっている場合は、セッション サービスとプロファイリング サービスの両方のチェックボックスが無効になります。
        ステップ 5   [プロファイリング サービスの有効化(Enable Profiling Service)] チェックボックスをオンにします。
        ステップ 6   [プロファイリング設定(Profiling Configuration)] タブをクリックします。
        ステップ 7   各プローブの値を設定します。
        ステップ 8   [保存(Save)] をクリックしてプローブ設定を保存します。

        CoA、SNMP RO コミュニティおよびエンドポイント属性フィルタの設定

        Cisco ISE では、グローバル コンフィギュレーションで、[プロファイラ設定(Profiler Configuration)] ページで許可変更(CoA)を発行し、プロファイリング サービスを有効にしてすでに認証されているエンドポイントに対する制御を拡張することができます。

        さらに、[プロファイラ設定(Profiler Configuration)] ページでは、NMAP の手動でのネットワーク スキャンのために、カンマで区切られた追加の SNMP 読み取り専用コミュニティ ストリングを設定できます。 SNMP RO コミュニティ ストリングは、[現在のカスタム SNMP コミュニティ ストリング(Current custom SNMP community strings)] フィールドに表示されるのと同じ順序で使用されます。

        [プロファイラ設定(Profiler Configuration)] ページでは、エンドポイント属性のフィルタリングを設定することもできます。

        手順
          ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロファイリング(Profiling)] を選択します。
          ステップ 2   次のいずれかの設定を選択して、CoA タイプを設定します。
          • [CoA なし(No CoA)](デフォルト):このオプションを使用して、CoA のグローバル コンフィギュレーションを無効にできます。 この設定は、エンドポイント プロファイリング ポリシーごとに設定された CoA を上書きします。

          • [ポート バウンス(Port Bounce)]:スイッチ ポートのセッションが 1 つだけである場合は、このオプションを使用できます。 ポートに複数のセッションがある場合は、[再認証(Reauth)] オプションを使用します。

          • [再認証(Reauth)]:このオプションを使用して、すでに認証されているエンドポイントをプロファイリング時に再認証できます。

            1 つのポートに複数のアクティブなセッションがある場合は、CoA に [ポート バウンス(Port Bounce)] オプションを設定しても、プロファイリング サービスによって [再認証(Reauth)] オプションが指定された CoA が発行されます。 この機能を使用すると、[ポート バウンス(Port Bounce)] オプションの場合のように他のセッションが切断されるのを回避できます。

          ステップ 3   NMAP の手動でのネットワーク スキャンのために、カンマで区切られた新しい SNMP コミュニティ ストリングを [カスタム SNMP コミュニティ ストリングの変更(Change custom SNMP community strings)] フィールドに入力し、[カスタム SNMP コミュニティ ストリングの確認(Confirm custom SNMP community strings)] フィールドに文字列を再入力します。
          ステップ 4   [エンドポイント属性フィルタ(Endpoint Attribute Filter)] チェックボックスをオンにして、エンドポイント属性のフィルタリングを有効にします。
          ステップ 5   [保存(Save)] をクリックします。

          認証されたエンドポイントに対する許可変更のグローバル設定

          デフォルトの [CoA なし(No CoA)] オプションを使用して許可変更(CoA)を無効にするか、ポート バウンスと再認証オプションを使用して CoA を有効にするグローバル コンフィギュレーション オプションを使用できます。 Cisco ISE の CoA でポート バウンスを設定している場合は、「CoA 免除」の項で説明されているように、プロファイリング サービスにより他の CoA が発行されることがあります。

          RADIUS プローブまたはモニタリング ペルソナの REST API を使用して、エンドポイントの認証できます。 RADIUS プローブを有効にして、パフォーマンスを向上させることができます。 CoA を有効にした場合は、Cisco ISE アプリケーションで CoA 設定と合わせて RADIUS プローブを有効にしてパフォーマンスを向上させることを推奨します。 これにより、プロファイリング サービスは収集された RADIUS 属性を使用して、エンドポイントに適切な CoA を発行できます。

          Cisco ISE アプリケーションで RADIUS プローブを無効にした場合は、モニタリング ペルソナの REST API を使用して CoA を発行できます。 これにより、プロファイリング サービスは幅広いエンドポイントをサポートできます。 分散展開では、モニタリング ペルソナの REST API を使用して CoA を発行するために、モニタリング ペルソナを担当する Cisco ISE ノードがネットワークに少なくとも 1 つ存在している必要があります。

          プライマリおよびセカンダリ モニタリング ノードは同一のセッション ディレクトリ情報を持つため、Cisco ISE は、分散展開内の REST クエリーのデフォルトの宛先としてプライマリおよびセカンダリ モニタリング ノードを適宜指定します。

          許可変更の発行の使用例

          次の場合に、プロファイリング サービスによって許可変更が発行されます。

          • エンドポイントが削除される:エンドポイントが [エンドポイント(Endpoints)] ページから削除され、そのエンドポイントがネットワークから接続解除または排除された場合。

          • 例外アクションが設定される:エンドポイントに異常または許容できないイベントをもたらす例外アクションがプロファイルごとに設定されている場合。 プロファイリング サービスは、CoA を発行して対応するスタティック プロファイルにエンドポイントを移動します。

          • エンドポイントが初めてプロファイリングされる:エンドポイントがスタティックに割り当てられておらず、初めてプロファイリングされる場合(たとえば、プロファイルが不明プロファイルから既知のプロファイルに変更された場合)。

            • エンドポイント ID グループが変更される:エンドポイントが許可ポリシーで使用されるエンドポイント ID グループに対して追加または削除された場合。

              エンドポイント ID グループが変更され、エンドポイント ID グループが次のために許可ポリシーで使用されている場合、プロファイリング サービスは CoA を発行します。

              • スタティックにプロファイリングされる場合のエンドポイントに対するエンドポイント ID グループの変更

              • ダイナミック エンドポイントに対してスタティック割り当てフラグが true に設定されている場合のエンドポイント ID グループの変更

          • エンドポイント プロファイリングのポリシーが変更され、ポリシーが許可ポリシーで使用される:エンドポイント プロファイリング ポリシーが変更され、許可ポリシーで使用される論理的なプロファイルにそのポリシーが含まれる場合。 エンドポイント プロファイリング ポリシーは、プロファイリング ポリシーの一致のため、または、エンドポイントが論理的なプロファイルに関連付けられたエンドポイント プロファイリング ポリシーにスタティックに割り当てられるときに、変更される場合があります。 両方の場合で、エンドポイント プロファイリング ポリシーが許可ポリシーで使用される場合のみ、プロファイリング サービスは CoA を発行します。

          許可変更の発行の免除

          エンドポイント ID グループが変更され、スタティック割り当てがすでに true の場合、プロファイリング サービスは CoA を発行しません。

          Cisco ISE は次の理由で CoA を発行しません。

          • エンドポイントがネットワークから切断されている:ネットワークから切断されているエンドポイントが検出された場合。

          • 有線(Extensible Authentication Protocol)EAP 対応エンドポイントが認証された:認証された有線 EAP 対応エンドポイントが検出された場合。

          • ポートごとに複数のアクティブ セッション:1 つのポートに複数のアクティブなセッションがある場合は、CoA に [ポート バウンス(Port Bounce)] オプションを設定しても、プロファイリング サービスによって [再認証(Reauth)] オプションが指定された CoA が発行されます。

          • ワイヤレス エンドポイント検出時のパケット オブ ディスコネクト CoA(セッションの終了):エンドポイントがワイヤレスとして検出されて、パケット オブ ディスコネクト CoA(セッション終了)がポート バウンス CoA の代わりに送信された場合。 この変更の利点は、ワイヤレス LAN コントローラ(WLC)CoA がサポートされていることです。

          • エンドポイントがゲスト デバイス登録フローによって作成された:エンドポイントがゲストのデバイス登録によって作成された場合。 CoA が Cisco ISE でグローバルに有効になっていても、プロファイリング サービスは、デバイス登録のフローに影響を与えないように CoA を発行しません。 特に、ポートバウンス CoA のグローバル設定は、エンドポイント接続のフローを中断します。

          • グローバルな [CoA なし(No CoA)] 設定がポリシー CoA を上書きする:グローバルな [CoA なし(No CoA)] は、エンドポイント プロファイリング ポリシーのすべての構成設定を上書きします。エンドポイント プロファイリングポリシーごとに設定された CoA に関係なく、Cisco ISE で CoA が発行されないためです。


            (注)  


            [CoA なし(No CoA)] および [再認証(Reauth)] CoA 設定は影響を受けません。また、プロファイラ サービスは有線およびワイヤレス エンドポイントに同じ CoA の設定を適用します。


          CoA 設定の各タイプに発行される許可変更

          表 4 CoA 設定の各タイプに発行される許可変更

          シナリオ

          CoA なし設定

          ポート バウンス設定

          再認証設定

          その他の情報

          Cisco ISE における CoA グローバル コンフィギュレーション(一般的な設定)

          CoA なし(No CoA)

          ポート バウンス(Port Bounce)

          再認証(Reauthentication)

          エンドポイントがネットワークで検出された場合

          CoA なし(No CoA)

          CoA なし(No CoA)

          CoA なし(No CoA)

          許可変更は、RADIUS 属性の Acct -Status -Type 値 Stop で判別されます。

          同じスイッチ ポートで複数のアクティブ セッションと有線接続

          CoA なし(No CoA)

          再認証(Reauthentication)

          再認証(Reauthentication)

          再認証は、他のセッションの切断を回避します。

          ワイヤレス エンドポイント

          CoA なし(No CoA)

          切断パケット CoA(セッション終了)

          再認証(Reauthentication)

          ワイヤレス LAN コントローラに対するサポート。

          不完全な CoA データ

          CoA なし(No CoA)

          CoA なし(No CoA)

          CoA なし(No CoA)

          原因は RADIUS 属性の欠落。

          ISE データベースの持続性とパフォーマンスの属性フィルタ

          Cisco ISE は、ダイナミック ホスト コンフィギュレーション プロトコル(DHCP ヘルパーと DHCP SPAN の両方)、HTTP、RADIUS、およびシンプル ネットワーク管理プロトコルの各プローブのフィルタを実装しています。ただし、パフォーマンスの低下に対処するために NetFlow は除外されています。 各プローブ フィルタには、一時的でエンドポイント プロファイルとは関係のない属性のリストが含まれ、これらの属性はプローブによって収集された属性から削除されます。

          isebootstrap ログ(isebootstrap-yyyymmdd-xxxxxx.log)には、辞書からの属性がフィルタリングされた状態で、辞書の作成を処理するメッセージが含まれます。 エンドポイントがフィルタリング フェーズを通過するときに、フィルタリングが行われたことを示すデバッグ メッセージをログに記録するように設定することもできます。

          Cisco ISE プロファイラは、次のエンドポイント属性フィルタを呼び出します。

          • DHCP ヘルパーと DHCP SPAN の両方の DHCP フィルタには、不要なすべての属性が含まれ、これらの属性は DHCP パケットの解析後に削除されます。 フィルタリング後の属性は、エンドポイントのエンドポイント キャッシュ内にある既存の属性とマージされます。

          • HTTP フィルタは、HTTP パケットからの属性のフィルタリングに使用され、フィルタリング後の属性セットに大幅な変更はありません。

          • RADIUS フィルタは、syslog 解析が完了すると使用され、エンドポイント属性がプロファイリングのためにエンドポイント キャッシュにマージされます。

          • SNMP クエリー用の SNMP フィルタには、CDP および LLDP フィルタが含まれています。これらのフィルタはすべて SNMP クエリー プローブに使用されます。

          ホワイトリストを使用してエンドポイント属性をフィルタリングするグローバル設定

          収集ポイントで頻繁には変わらないエンドポイント属性の数を減らして、永続性イベントおよび複製イベントの数を減らすことができます。 エンドポイント属性フィルタを有効にすると、Cisco ISE プロファイラは、重要な属性のみを保持し、その他の属性をすべて廃棄します。 重要な属性とは、Cisco ISE システムによって使用される属性またはエンドポイント プロファイリング ポリシーやルールで明確に使用される属性です。

          ホワイトリストは、カスタム エンドポイント プロファイリング ポリシー内でエンドポイントのプロファイリングに使用される属性のセットであり、許可変更(CoA)、個人所有デバイスの持ち込み(BYOD)、デバイス登録 WebAuth(DRW)などが Cisco ISE で期待どおりに機能するために不可欠な属性のセットです。 ホワイトリストは、無効になっている場合でも、エンドポイントの所有権が変わった場合に(属性が複数のポリシーのサービス ノードによって収集されている場合)、常に基準として使用されます。

          デフォルトではホワイトリストは無効で、属性は、属性フィルタが有効になっている場合にのみドロップされます。 ホワイト リストは、フィードからの変更など、エンドポイント プロファイリング ポリシーが変更されると、プロファイリング ポリシーに新しい属性を含めるように、動的に更新されます。 ホワイトリストにない属性は収集時に即座にドロップされ、属性をプロファイリング エンドポイントに加えることはできません。 バッファリングと組み合わせると、永続性イベントの数を減らすことができます。

          ホワイトリストに次の 2 つのソースから決定された属性のセットが含まれていることを確認する必要があります。

          • エンドポイントをプロファイルに適合させるためにデフォルト プロファイルで使用される属性のセット。

          • 許可変更(CoA)、個人所有デバイスの持ち込み(BYOD)、デバイス登録 WebAuth(DRW)などが Cisco ISE で期待どおりに機能するために不可欠な属性のセット。

          表 5 ホワイトリストの属性

          AAA-Server

          BYODRegistration

          Calling-Station-ID

          Certificate Expiration Date

          Certificate Issue Date

          Certificate Issuer Name

          Certificate Serial Number

          Description

          DestinationIPAddress

          Device Identifier

          Device Name

          DeviceRegistrationStatus

          EndPointPolicy

          EndPointPolicyID

          EndPointProfilerServer

          EndPointSource

          FQDN

          FirstCollection

          Framed-IP-Address

          IdentityGroup

          IdentityGroupID

          IdentityStoreGUID

          IdentityStoreName

          L4_DST_PORT

          LastNmapScanTime

          MACAddress

          MatchedPolicy

          MatchedPolicyID

          NADAddress

          NAS-IP-Address

          NAS-Port-Id

          NAS-Port-Type

          NmapScanCount

          NmapSubnetScanID

          OS Version

          OUI

          PolicyVersion

          PortalUser

          PostureApplicable

          Product

          RegistrationTimeStamp

          StaticAssignment

          StaticGroupAssignment

          TimeToProfile

          Total Certainty Factor

          User-Agent

          cdpCacheAddress

          cdpCacheCapabilities

          cdpCacheDeviceId

          cdpCachePlatform

          cdpCacheVersion

          ciaddr

          dhcp-class-identifier

          dhcp-requested-address

          host-name

          hrDeviceDescr

          ifIndex

          ip

          lldpCacheCapabilities

          lldpCapabilitiesMapSupported

          lldpSystemDescription

          operating-system

          sysDescr

          161-udp

          IOS センサー組み込みスイッチからの属性の収集

          IOS センサーの統合によって、Cisco ISE ランタイムと Cisco ISE プロファイラでスイッチから送信された任意またはすべての属性を収集できるようになりました。 RADIUS プロトコルを使用して、DHCP、CDP、および LLDP 属性をスイッチから直接収集できます。 DHCP、CDP、および LLDP について収集された属性は、解析され、次の場所のプロファイラ ディクショナリの属性にマッピングされます([ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [ディクショナリ(Dictionaries)])。

          IOS センサー組み込みネットワーク アクセス デバイス

          IOS センサー組み込みネットワーク アクセス デバイスと Cisco ISE の統合では、次のコンポーネントが含まれます。

          • IOS センサー

          • DHCP、CDP および LLDP のデータを収集するためにネットワーク アクセス デバイス(スイッチ)に組み込まれているデータ コレクタ

          • データを処理し、エンドポイントのデバイス タイプを決定するアナライザ

            アナライザを展開するには次の 2 つの方法がありますが、2 つを組み合わせて使用することは想定されていません。

            • アナライザを Cisco ISE に展開する

            • アナライザをセンサーとしてスイッチに組み込む

          IOS センサー組み込みネットワーク アクセス デバイスの設定チェックリスト

          ここでは、スイッチから直接 DHCP、CDP、および LLDP の属性を収集するために、IOS センサー対応スイッチと Cisco ISE で設定する必要のある作業のリストの概要を説明します。

          • RADIUS プローブが Cisco ISE で有効になっていることを確認します。

          • ネットワーク アクセス デバイスで DHCP、CDP、および LLDP 情報を収集するための IOS センサーがサポートされていることを確認します。

          • ネットワーク アクセス デバイスで、エンドポイントから CDP 情報と LLDP 情報を取得するために次の CDP コマンドと LLDP コマンドが実行されていることを確認します。

            
            cdp enable
            lldp run
            
          • 標準の AAA コマンドと RADIUS コマンドを使用して、セッション アカウンティングが個別に有効になっていることを確認します。

            コマンドの使用例を示します。

            
            aaa new-model
            aaa accounting dot1x default start-stop group radius
            
            radius-server host <ip> auth-port <port> acct-port <port> key <shared-secret>
            radius-server vsa send accounting
            
          • IOS センサー固有のコマンドを実行していることを確認します。

            • アカウンティング拡張の有効化

              ネットワーク アクセス デバイスで IOS センサー プロトコル データを RADIUS アカウンティング メッセージに追加したり、新しいセンサー プロトコル データの検出時に追加のアカウンティング イベントを生成したりできるようにする必要があります。 つまり、RADIUS アカウンティング メッセージには、すべての CDP、LLDP、および DHCP 属性が含まれている必要があります。

              次のグローバル コマンドを入力します。

              device-sensor accounting

            • アカウンティング拡張の無効化

              (アカウンティング機能がグローバルに有効になっている場合、)(アカウンティング)ネットワーク アクセス デバイスで、特定のポートでホストされているセッションについて IOS センサー プロトコル データを RADIUS アカウンティング メッセージに追加できないようにするには、適切なポートで次のコマンドを入力します。

              no device-sensor accounting

            • TLV 変更のトラッキング

              デフォルトでは、サポートされている各ピア プロトコルでクライアント通知とアカウンティング イベントが生成されるのは、特定のセッションのコンテキストで前に受信したことのないタイプ、長さ、値(TLV)が着信パケットに含まれている場合だけです。

              新しい TLV が存在するか、または前に受信した TLV の値が異なる場合は、すべての TLV 変更に対するクライアント通知とアカウンティング イベントを有効にする必要があります。 次のコマンドを入力します。

              device-sensor notify all-changes

          • ネットワーク アクセス デバイスで IOS Device Classifier(ローカル アナライザ)が無効になっていることを確認します。

            次のコマンドを入力します。

            
            no macro auto monitor
            

            (注)  


            このコマンドにより、ネットワーク アクセス デバイスは変更ごとに 2 つの同じ RADIUS アカウンティング メッセージを送信できなくなります。


          エンドポイント プロファイリング ポリシー ルール

          ルールを定義すると、すでにポリシー要素ライブラリに作成および保存されているライブラリから 1 つ以上のプロファイリング条件を選択し、確実度係数の整数値を各条件に関連付けるか、例外アクションまたはネットワーク スキャン アクションをその条件に関連付けることができます。 例外アクションまたはネットワーク スキャン アクションは、Cisco ISE がエンドポイントの分類全体に関するプロファイリング ポリシーを評価しているときに、設定可能なアクションをトリガーするために使用します。

          特定のポリシー内のルールが OR 演算子で個別に評価されると、各ルールの確実度メトリックは、エンドポイント プロファイルからエンドポイント カテゴリを決定するための全体的な照合の計算に使用されます。 エンドポイント プロファイリング ポリシーのルールが一致した場合、そのプロファイリング ポリシーおよび一致するポリシーは、それらがネットワーク上で動的に検出された場合のエンドポイントと同じです。

          ルール内で論理的にグループ化される条件

          エンドポイント プロファイリング ポリシー(プロファイル)には、単一の条件または AND 演算子や OR 演算子を使用して論理的に結合された複数の単一条件の組み合わせが含まれ、これらの条件と照合して、ポリシー内の特定のルールについてエンドポイントをチェック、分類、およびグループ化することができます。

          条件は、収集されたエンドポイント属性値をエンドポイントの条件に指定されている値と照合するために使用されます。 複数の属性をマッピングする場合は、条件を論理的にグループ化して、ネットワーク上のエンドポイントの分類に使用できます。 ルールで対応する確実度メトリック(定義済みの整数値)が関連付けられている 1 つ以上の条件とエンドポイントを照合するか、または、条件に関連付けられた例外アクション、または条件に関連付けられたネットワーク スキャン アクションをトリガーすることができます。

          確実度係数

          プロファイリング ポリシーの最小確実度メトリックは、エンドポイントの一致するプロファイルを評価します。 エンドポイント プロファイリング ポリシーの各ルールには、プロファイリング条件に関連付けられた最小確実度メトリック(整数値)があります。 確実度メトリックは、エンドポイント プロファイリング ポリシー内のすべての有効ルールに対して追加される尺度で、エンドポイント プロファイリング ポリシー内の各条件がエンドポイントの全体的な分類の改善にどの程度役立つかを測定します。

          各ルールの確実度メトリックは、エンドポイント プロファイルからエンドポイント カテゴリを決定するための全体的な照合の計算に使用されます。 すべての有効なルールの確実度メトリックが合計され、照合の確実度が求められます。 この値は、エンドポイント プロファイリング ポリシーに定義されている最小の確実度係数を超えている必要があります。 デフォルトでは、すべての新しいプロファイリング ポリシー ルールおよび事前に定義されたプロファイリング ポリシーで、最小の確実度係数は 10 です。

          エンドポイント プロファイリング ポリシーの作成

          [プロファイリング ポリシー(Profiling Policies)] ページを使用して、Cisco ISE の管理者として作成したエンドポイント プロファイリング ポリシーおよび展開時に Cisco ISE によって提供されるエンドポイント プロファイリング ポリシーを管理できます。

          新しいプロファイリング ポリシーを作成して、エンドポイントをプロファイリングするには、[新しいプロファイラ ポリシー(New Profiler Policy)] ページで次のオプションを使用します。

          • ポリシー有効(Policy Enabled)

          • [ID グループの作成(Create an Identity Group)]:一致するエンドポイント ID グループを作成するか、またはエンドポイント ID グループ階層を使用するポリシーの場合

          • 親ポリシー(Parent Policy)

          • 関連 CoA タイプ(Associated CoA Type)


            (注)  


            [プロファイリング ポリシー(Profiling Policies)] ページでエンドポイント ポリシーを作成する場合は、Web ブラウザの停止ボタンを使用しないでください。 このアクションによって、[新しいプロファイラ ポリシー(New Profiler Policy)] ページでのロードが停止され、アクセス時にリスト ページ内のその他のリスト ページおよびメニューがロードされ、リスト ページ内のフィルタ メニュー以外のすべてのメニューでの操作を実行できなくなります。 リスト ページ内ですべてのメニューの操作を実行するには、Cisco ISE からログアウトし、再度ログインする必要がある場合があります。


          類似した特性のプロファイリング ポリシーを作成するには、すべての条件を再定義して新しいプロファイリング ポリシーを作成するのではなく、エンドポイント プロファイリング ポリシーを複製して変更することができます。

          手順
            ステップ 1   [ポリシー(Policy)] > [プロファイリング(Profiling)] > [プロファイリング ポリシー(Profiling Policies)] を選択します。
            ステップ 2   [追加(Add)] をクリックします。
            ステップ 3   作成する新しいエンドポイント ポリシーの名前と説明を入力します。 [ポリシー有効(Policy Enabled)] チェックボックスはデフォルトでオンになっており、エンドポイントのプロファイリング時に検証するエンドポイント プロファイリング ポリシーが含まれます。
            ステップ 4   有効範囲 1 ~ 65535 の最小の確実度係数の値を入力します。
            ステップ 5   [例外アクション(Exception Action)] ドロップダウン リストの隣にある矢印をクリックして、例外アクションを関連付けるか、[ネットワーク スキャン(NMAP)アクション(Network Scan (NMAP) Actions)] ドロップダウン リストの隣にある矢印をクリックして、ネットワーク スキャン アクションを関連付けます。
            ステップ 6   [ポリシーの ID グループの作成(Create an Identity Group for the policy)] で次のオプションのいずれか 1 つを選択します。
            • はい、一致する ID グループを作成します(Yes, create matching Identity Group)

            • いいえ、既存の ID グループ階層を使用します(No, use existing Identity Group hierarchy)

            ステップ 7   [親ポリシー(Parent Policy)] ドロップダウン リストの隣の矢印をクリックして、新しいエンドポイント ポリシーに親ポリシーを関連付けます。
            ステップ 8   [関連付ける CoA タイプ(Associated CoA Type)] ドロップダウン リストで、関連付ける CoA タイプを選択します。
            ステップ 9   ルールをクリックし、条件を追加して、各条件の確実度係数の整数値を関連付けるか、エンドポイントの全体的な分類のその条件の例外アクションまたはネットワーク スキャン アクションを関連付けます。
            ステップ 10   [送信(Submit)] をクリックしてエンドポイント ポリシーを追加するか、または [新しいプロファイラ ポリシー(New Profiler Policy)] ページの [プロファイラ ポリシー リスト(Profiler Policy List)] リンクをクリックして [プロファイリング ポリシー(Profiling Policies)] ページに戻ります。

            エンドポイント プロファイリング ポリシーごとの許可変更の設定

            Cisco ISE の許可変更(CoA)タイプのグローバル コンフィギュレーションに加えて、各エンドポイント プロファイリング ポリシーに関連付けられた特定のタイプの CoA も発行するように設定できます。

            グローバル CoA なしタイプの設定は、エンドポイント プロファイリング ポリシーで設定された各 CoA タイプを上書きします。 グローバル CoA タイプが CoA なしタイプ以外に設定されている場合、各エンドポイント プロファイリング ポリシーはグローバル CoA の設定を上書きできます。

            CoA がトリガーされると、各エンドポイント プロファイリング ポリシーは、次のように実際の CoA タイプを決定できます。

            • [全般設定(General Settings)]:これは、グローバル コンフィギュレーションごとに CoA を発行するすべてのエンドポイント プロファイリング ポリシーのデフォルトの設定です。

            • [CoA なし(No CoA)]:この設定はグローバル コンフィギュレーションを上書きし、そのプロファイルの CoA を無効にします。

            • [ポート バウンス(Port Bounce)]:この設定は、グローバル ポート バウンスおよび再認証設定タイプを上書きし、ポート バウンス CoA を発行します。

            • [再認証(Reauth)]:この設定は、グローバル ポート バウンスおよび再認証設定タイプを上書きし、再認証 CoA を排出します。


              (注)  


              プロファイラ グローバル CoA 設定がポート バウンス(または再認証)に設定されている場合は、モバイル デバイスの BYOD フローが切断されないように、対応するエンドポイント プロファイリング ポリシーを [CoA なし(No CoA)]、[ポリシーごとの CoA(per-policy CoA)] オプションを指定して設定していることを確認します。


            グローバルおよびエンドポイント プロファイリング ポリシー設定に基づいて各場合に発行されたすべての CoA タイプと実際の CoA タイプが組み合わされた設定については、次の概要を参照してください。

            表 6 設定のさまざまな組み合わせに発行された CoA タイプ

            グローバル CoA タイプ

            ポリシーごとに設定されたデフォルトの CoA タイプ

            ポリシーごとの CoA なしタイプ

            ポリシーごとのポート バウンス タイプ

            ポリシーごとの再認証タイプ

            CoA なし(No CoA)

            CoA なし(No CoA)

            CoA なし(No CoA)

            CoA なし(No CoA)

            CoA なし(No CoA)

            ポート バウンス(Port Bounce)

            ポート バウンス(Port Bounce)

            CoA なし(No CoA)

            ポート バウンス(Port Bounce)

            再認証(Re-Auth)

            再認証(Reauth)

            再認証(Reauth)

            CoA なし(No CoA)

            ポート バウンス(Port Bounce)

            再認証(Re-Auth)

            エンドポイント プロファイリング ポリシーのインポート

            エクスポート機能で作成できる同じ形式を使用して、XML ファイルからエンドポイント プロファイリング ポリシーをインポートできます。 親ポリシーが関連付けられている、新しく作成されたプロファイリング ポリシーをインポートする場合は、子ポリシーを定義する前に親ポリシーを定義しておく必要があります。

            インポート ファイルでは、エンドポイント プロファイリング ポリシーが階層構造になっており、最初に親ポリシー、次にポリシーに定義されているルールとチェックとともにインポートしたプロファイルが含まれます。

            手順
              ステップ 1   [ポリシー(Policy)] > [プロファイリング(Profiling)] > [プロファイリング(Profiling)] > [プロファイリング ポリシー(Profiling Policies)] を選択します。
              ステップ 2   [インポート(Import)] をクリックします。
              ステップ 3   [参照(Browse)] をクリックして、前にエクスポートしてこれからインポートするファイルを特定します。
              ステップ 4   [送信(Submit)] をクリックします。
              ステップ 5   [プロファイリング ポリシー(Profiling Policies)] ページに戻るには、[プロファイラ ポリシー リスト(Profiler Policy List)] リンクをクリックします。

              エンドポイント プロファイリング ポリシーのエクスポート

              他の Cisco ISE 展開にエンドポイント プロファイリング ポリシーをエクスポートできます。 または、XML ファイルを独自のポリシーを作成するためのテンプレートとして使用してインポートできます。 ファイルをシステムのデフォルトの場所にダウンロードして、後でインポートに使用することもできます。

              エンドポイント プロファイリング ポリシーをエクスポートする際にダイアログが表示され、適切なアプリケーションで profiler_policies.xml を開くか、保存するように要求されます。 これは XML 形式のファイルで、Web ブラウザまたは他の適切なアプリケーションで開くことができます。

              手順
                ステップ 1   [ポリシー(Policy)] > [プロファイリング(Profiling)] > [プロファイリング(Profiling)] > [プロファイリング(Profiling Policies)] を選択します。
                ステップ 2   [エクスポート(Export)] を選択し、次のいずれかを選択します。
                • [選択済みをエクスポート(Export Selected)]:[プロファイリング ポリシー(Profiling Policies)] ページで選択済みのエンドポイント プロファイリングのポリシーだけをエクスポートできます。

                • [選択済みとエンドポイントをエクスポート(Export Selected with Endpoints)]:選択済みのエンドポイント プロファイリング ポリシーと、選択済みのエンドポイント プロファイリング ポリシーでプロファイリングされたエンドポイントをエクスポートできます。

                • [すべてエクスポート(Export All)]:デフォルトでは、[プロファイリング ポリシー(Profiling Policies)] ページのすべてのプロファイリング ポリシーをエクスポートできます。

                ステップ 3   [OK] をクリックして、profiler_policies.xml ファイルのエンドポイント プロファイリング ポリシーをエクスポートします。

                事前定義されたエンドポイント プロファイリング ポリシー

                Cisco ISE を展開するとき、Cisco ISE には事前定義されたデフォルトのプロファイリング ポリシーが含められます。その階層構造を使用して、ネットワーク上の識別されたエンドポイントを分類し、それらを一致するエンドポイント ID グループに割り当てることができます。 エンドポイント プロファイリング ポリシーは階層的であるため、[プロファイリング ポリシー(Profiling Policies)] ページにはデバイスの一般的な(親)ポリシーと、親ポリシーが [プロファイリング ポリシー(Profiling Policies)] リスト ページに関連付けられている子ポリシーが表示されます。

                [プロファイリング ポリシー(Profiling Policies)] ページには、エンドポイント プロファイリング ポリシーとともに、その名前、タイプ、説明、およびステータス(検証が有効になっているかどうか)が表示されます。

                エンドポイント プロファイリング ポリシー タイプは、次のように分類されます。

                • シスコ提供:Cisco ISE で事前定義されたエンドポイント プロファイリング ポリシーはシスコ提供タイプとして識別されます。

                  • 管理者による変更:事前定義されたエンドポイント プロファイリング ポリシーを変更したときに、エンドポイント プロファイリング ポリシーは管理者による変更タイプとして識別されます。 Cisco ISE では、事前定義されたエンドポイント プロファイリング ポリシーに行った変更がアップグレード時に上書きされます。

                    管理者によって変更されたポリシーは削除できますが、Cisco ISE によりシスコ提供のポリシーの最新バージョンで置き換えられます。

                • 管理者作成:作成したエンドポイント プロファイリング ポリシー、またはシスコ提供のエンドポイント プロファイリング ポリシーを複製したときのエンドポイント プロファイリング ポリシーは、管理者作成タイプとして識別されます。

                一連のエンドポイントの一般的なポリシー(親)を作成して、その子がルールと条件を継承できるようにすることを推奨します。 エンドポイントを分類する必要がある場合は、エンドポイントをプロファイリングするときに、まずエンドポイント プロファイルを親ポリシーと、次にその子孫(子)ポリシーと照合する必要があります。

                たとえば、Cisco-Device は、すべてのシスコ デバイスの一般的なエンドポイント プロファイリングのポリシーであり、シスコ デバイスの他のポリシーは、Cisco-Device の子です。 エンドポイントを Cisco-IP-Phone 7960 として分類する必要がある場合は、まずこのエンドポイントのエンドポイント プロファイルを親の Cisco-Device ポリシー、その子の Cisco-IP-Phone ポリシーと照合する必要があり、その後さらに分類するために Cisco-IP-Phone 7960 プロファイリング ポリシーと照合します。

                アップグレード中に上書きされる事前定義されたエンドポイント プロファイリング ポリシー

                [プロファイリング ポリシー(Profiling Policies)] ページで既存のエンドポイント プロファイリング ポリシーを編集できます。 また、事前定義されたエンドポイント プロファイリング ポリシーを変更するときは、事前定義されたエンドポイント プロファイルのコピーにすべての設定を保存する必要があります。

                アップグレード時に、事前定義されたエンドポイント プロファイルに保存した設定が上書きされます。

                エンドポイント プロファイリング ポリシーを削除できない

                [プロファイリング ポリシー(Profiling Policies)] ページで選択したエンドポイント プロファイリング ポリシーまたはすべてのエンドポイント プロファイリング ポリシーを削除できます。 デフォルトでは、[プロファイリング ポリシー(Profiling Policies)] ページからすべてのエンドポイント プロファイリング ポリシーを削除できます。 [プロファイリング ポリシー(Profiling Policies)] ページですべてのエンドポイント プロファイリング ポリシーを選択して削除しようとしても、エンドポイント プロファイリング ポリシーが他のエンドポイント プロファイリング ポリシーにマッピングされた親ポリシーであるか、または許可ポリシーにマッピングされ、かつ他のエンドポイント プロファイリング ポリシーの親ポリシーである場合、そのエンドポイント プロファイリング ポリシーは削除できません。

                次に例を示します。

                • シスコ提供のエンドポイント プロファイリング ポリシーは削除できません。

                • エンドポイント プロファイルが他のエンドポイント プロファイルの親として定義されている場合は、[プロファイリング ポリシー(Profiling Policies)] ページで親プロファイルを削除できません。 たとえば、Cisco-Device は、シスコ デバイスの他のエンドポイント プロファイリング ポリシーの親です。

                • 許可ポリシーにマッピングされているエンドポイント プロファイルは削除できません。 たとえば、Cisco-IP-Phone は Profiled Cisco IP Phones 許可ポリシーにマッピングされ、Cisco IP Phone の他のエンドポイント プロファイリング ポリシーの親です。

                Draeger 医療機器用の事前定義済みプロファイリング ポリシー

                Cisco ISE のデフォルトのエンドポイント プロファイルには、Draeger 医療機器用の一般的なポリシー、Draeger-Delta 医療機器用のポリシー、および Draeger-M300 医療機器用のポリシーが含まれます。 両方の医療機器にポート 2050 と 2150 があるため、デフォルトの Draeger エンドポイント プロファイリング ポリシーを使用しても、Draeger-Delta 医療機器と Draeger-M300 医療機器を分類できません。

                使用中の環境では、これらの Draeger デバイスにポート 2050 と 2150 があるため、デフォルトの Draeger-Delta and Draeger-M300 エンドポイント プロファイリング ポリシーでデバイスの宛先 IP アドレスのチェックに加えて、これらの医療機器を区別できるようにルールを追加する必要があります。

                Cisco ISE には、Draeger 医療機器用のエンドポイント プロファイリング ポリシーで使用される次のプロファイリング条件があります。

                • ポート 2000 が含まれる Draeger-Delta-PortCheck1

                • ポート 2050 が含まれる Draeger-Delta-PortCheck2

                • ポート 2100 が含まれる Draeger-Delta-PortCheck3

                • ポート 2150 が含まれる Draeger-Delta-PortCheck4

                • ポート 1950 が含まれる Draeger-M300PortCheck1

                • ポート 2050 が含まれる Draeger-M300PortCheck2

                • ポート 2150 が含まれる Draeger-M300PortCheck3

                不明なエンドポイントのエンドポイント プロファイリング ポリシー

                既存のプロファイルに一致せず、Cisco ISE でプロファイリングできないエンドポイントは、不明なエンドポイントです。 不明プロファイルは、エンドポイントについて収集された属性が Cisco ISE の既存のプロファイルと一致しない場合にそのエンドポイントに割り当てられるデフォルトのシステム プロファイリング ポリシーです。

                不明プロファイルは次のシナリオで割り当てられます。

                • エンドポイントが Cisco ISE で動的に検出され、そのエンドポイントに一致するエンドポイント プロファイリング ポリシーがない場合、エンドポイントは不明プロファイルに割り当てられます。

                • エンドポイントが Cisco ISE で静的に追加され、静的に追加されたエンドポイントに一致するエンドポイント プロファイリング ポリシーがない場合、エンドポイントは不明プロファイルに割り当てられます。

                  ネットワークにエンドポイントを静的に追加した場合、そのエンドポイントは Cisco ISE のプロファイリング サービスによってプロファイリングされません。 不明プロファイルを適切なプロファイルに後で変更できます。割り当てたプロファイリング ポリシーは、Cisco ISE によって再プロファイリングされることはありません。

                静的に追加されたエンドポイントのエンドポイント プロファイリング ポリシー

                静的に追加されたエンドポイントをプロファイリングするために、プロファイリング サービスは、新しい MATCHEDPROFILE 属性をエンドポイントに追加することによって、エンドポイントのプロファイルを計算します。 計算されたプロファイルは、そのエンドポイントが動的にプロファイリングされるときのエンドポイントの実際のプロファイルです。 これにより、静的に追加されたエンドポイントの計算されたプロファイルと動的にプロファイリングされたエンドポイントに一致するプロファイルの間の不一致を見つけることができます。

                スタティック IP デバイスのエンドポイント プロファイリング ポリシー

                静的に割り当てられた IP アドレスを持つエンドポイントがある場合、そのスタティック IP デバイスのプロファイルを作成できます。

                スタティック IP アドレスが割り当てられているエンドポイントをプロファイリングするには、RADIUS プローブまたは SNMP クエリー プローブと SNMP トラップ プローブを有効にする必要があります。

                エンドポイント プロファイリング ポリシーの一致

                1 つ以上のルールで定義されているプロファイリング条件がプロファイリング ポリシーに一致する場合、Cisco ISE は、エンドポイント用に選択されたポリシーを、評価されたポリシーではなく、一致したポリシーであると常に見なします。 ここで、そのエンドポイントのスタティック割り当てのステータスがシステムで false に設定されます。 ただし、エンドポイントの編集時にスタティック割り当て機能を使用して、システム内の既存のプロファイリング ポリシーに静的に再割り当てした後は、true に設定されることがあります。

                次は、エンドポイントの一致したポリシーに適用されます。

                • スタティックに割り当てられたエンドポイントでは、プロファイリング サービスは MATCHEDPROFILE を計算します。

                • 動的に割り当てられたエンドポイントでは、MATCHEDPROFILE は一致するエンドポイント プロファイルと同じです。

                ダイナミック エンドポイントに一致するプロファイリング ポリシーは、プロファイリング ポリシーで定義された 1 つ以上のルールを使用して特定できます。また、分類のために、必要に応じてエンドポイント ID グループを割り当てることができます。

                エンドポイントが既存のポリシーにマッピングされる場合、プロファイリング サービスは、一連のポリシーが一致する最も近い親プロファイルをプロファイリング ポリシーの階層で検索し、エンドポイントを適切なエンドポイント ポリシーに割り当てます。

                許可に使用するエンドポイント プロファイリング ポリシー

                許可ルールにエンドポイント プロファイリング ポリシーを使用できます。このとき、エンドポイント プロファイリング ポリシーのチェックを含めるように属性として新しい条件を作成できます。属性値は、エンドポイント プロファイリング ポリシーの名前になります。 エンドポイント プロファイリング ポリシーを、エンドポイント辞書から選択できます。エンドポイント プロファイリング ポリシーには、属性 PostureApplicable、EndPointPolicy、LogicalProfile および BYODRegistration が含まれています。

                EndPointPolicy、BYODRegistration および ID グループの組み合わせを含む許可ルールを定義できます。

                エンドポイント プロファイリング ポリシーの論理プロファイルによるグループ化

                論理プロファイルは、エンドポイント プロファイリング ポリシーがシスコ提供か、管理者作成かに関係なく、プロファイルまたは関連付けられているプロファイルのカテゴリのコンテナです。 エンドポイント プロファイリング ポリシーは、複数の論理プロファイルに関連付けることができます。

                許可ポリシー条件で論理プロファイルを使用して、プロファイルのカテゴリでネットワーク全体のアクセス ポリシーの作成に役立てることができます。 許可の単純条件を作成して、許可ルールに含めることができます。 許可条件で使用できる属性と値のペアは、論理プロファイル(属性)および論理プロファイルの名前(値)であり、エンドポイント システム ディクショナリ内にあります。

                たとえば、カテゴリに一致するエンドポイント プロファイリング ポリシーを論理プロファイルに割り当てることによって、Android、Apple iPhone、Blackberry などのすべてのモバイル デバイスの論理プロファイルを作成できます。 Cisco ISE には、すべての IP フォンのデフォルトの論理プロファイルである IP-Phone が含まれ、IP-Phone には、IP-Phone、Cisco IP-Phone、Nortel-IP-Phone-2000-Series、および Avaya-IP-Phone プロファイルが含まれます。

                論理プロファイルの作成

                エンドポイント プロファイリング ポリシーのカテゴリをグループ化するために使用できる論理プロファイルを作成でき、それにより、プロファイルまたは関連付けられているプロファイルのカテゴリ全体を作成できます。 エンドポイント プロファイリング ポリシーを割り当てられたセットから削除して、使用可能なセットに戻すこともできます。

                手順
                  ステップ 1   [ポリシー(Policy)] > [プロファイリング(Profiling)] > [プロファイリング(Profiling)] > [論理プロファイル(Logical Profiles)] を選択します。
                  ステップ 2   [追加(Add)] をクリックします。
                  ステップ 3   [名前(Name)] と [説明(Description)] のテキスト ボックスに新しい論理プロファイルの名前と説明を入力します。
                  ステップ 4   [使用可能なポリシー(Available Policies)] からエンドポイント プロファイリング ポリシーを選択して、論理プロファイルに割り当てます。
                  ステップ 5   右矢印をクリックして、選択したエンドポイント プロファイリング ポリシーを [割り当てられたポリシー(Assigned Policies)] に移動します。
                  ステップ 6   [送信(Submit)] をクリックします。

                  プロファイリング例外アクション

                  例外アクションは、エンドポイント プロファイリング ポリシーで参照できる単一の設定可能なアクションであり、アクションに関連付けられている例外条件が満たされるとトリガーされます。

                  例外アクションのタイプは次のいずれかになります。

                  • シスコ提供:シスコ提供の例外アクションは削除できません。 Cisco ISE では、Cisco ISE のエンドポイントをプロファイリングするときに、次の編集不能なプロファイリング例外アクションがトリガーされます。

                    • 許可変更:エンドポイントが許可ポリシーで使用されるエンドポイント ID グループに対して追加または削除される場合、プロファイリング サービスは許可変更を発行します。

                    • エンドポイント削除:エンドポイントが [エンドポイント(Endpoints)] ページでシステムから削除されるか、Cisco ISE ネットワーク上で編集ページから不明プロファイルに再割り当てされると、Cisco ISE で例外アクションがトリガーされ、CoA が発行されます。

                    • FirstTimeProfiled:エンドポイントが Cisco ISE で初めてプロファイリングされ、そのエンドポイントのプロファイルが不明プロファイルから既存のプロファイルに変更されて、そのエンドポイントが Cisco ISE ネットワーク上で認証に失敗すると、Cisco ISE で例外アクションがトリガーされ、CoA が発行されます。

                  • 管理者作成:Cisco ISE では、作成したプロファイリング例外アクションがトリガーされます。

                  例外アクションの作成

                  1 つ以上の例外ルールを定義し、1 つのプロファイリング ポリシーに関連付けることができます。 この関連付けにより、Cisco ISE でエンドポイントをプロファイリングする際にプロファイリング ポリシーが一致し、少なくとも 1 つの例外ルールが一致する場合、例外アクション(単一の設定可能なアクション)がトリガーされます。

                  手順
                    ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [プロファイリング(Profiling)] > [例外アクション(Exception Actions)] を選択します。
                    ステップ 2   [追加(Add)] をクリックします。
                    ステップ 3   [名前(Name)] と [説明(Description)] のテキスト ボックスに例外アクションの名前と説明を入力します。
                    ステップ 4   [CoA アクション(CoA Action)] チェックボックスをオンにします。
                    ステップ 5   [ポリシー割り当て(Policy Assignment)] ドロップダウン リストをクリックしてエンドポイント ポリシーを選択します。
                    ステップ 6   [送信(Submit)] をクリックします。

                    プロファイリング ネットワーク スキャン アクション

                    エンドポイント スキャン アクションは、エンドポイント プロファイリング ポリシーで参照できる設定可能なアクションであり、ネットワーク スキャン アクションに関連付けられている条件が満たされるとトリガーされます。

                    Cisco ISE システムにおけるリソース使用量を制限するために、エンドポイントをスキャンする場合はエンドポイント スキャンが使用されます。 ネットワーク スキャン アクションでは、リソースを大量に消費するネットワーク スキャンとは異なり、1 つのエンドポイントをスキャンします。 これにより、エンドポイントの全体的な分類が向上し、エンドポイントのエンドポイント プロファイルが再定義されます。 エンドポイント スキャンは、一度に 1 つずつしか処理できません。

                    1 つのネットワーク スキャン アクションをエンドポイント プロファイリング ポリシーに関連付けることができます。 Cisco ISE には、ネットワーク スキャン アクションに 3 つの走査方式が事前定義されています。たとえば、OS-scan、SNMPPortsAndOS-scan、および CommonPortsAndOS-scan といった 3 つの走査方式のいずれか、またはすべてを含めることができます。 OS-scan、SNMPPortsAndOS-scan、および CommonPortsAndOS-scans を編集または削除できません。これらは、Cisco ISE の事前定義済みネットワーク スキャン アクションです。 独自の新しいネットワーク スキャン アクションを作成することもできます。

                    エンドポイントを適切にプロファイリングすると、設定済みのネットワーク スキャン アクションをそのエンドポイントに対して使用できなくなります。 たとえば、Apple-Device をスキャンすると、スキャンされたエンドポイントを Apple デバイスに分類できます。 OS-scan によってエンドポイントで実行されているオペレーティング システムが特定されたら、Apple-Device プロファイルに一致しなくなりますが、Apple デバイスの適切なプロファイルに一致します。

                    ネットワーク スキャン アクションの作成

                    エンドポイント プロファイリング ポリシーに関連付けられたネットワーク スキャン アクションでは、エンドポイントのオペレーティング システム、簡易ネットワーク管理プロトコル(SNMP)ポート、および一般ポートがスキャンされます。

                    1 つ以上のネットワーク スキャン ルールを定義し、1 つのエンドポイント プロファイリング ポリシーに関連付けることができます。 各ネットワーク スキャン アクションのスキャン タイプを定義することもできます。 この関連付けにより、Cisco ISE でエンドポイントをプロファイリングする際にプロファイリング ポリシーが一致し、少なくとも 1 つのネットワーク スキャン ルールが一致する場合、ネットワーク スキャン アクションがトリガーされます。

                    はじめる前に

                    ルールで定義するネットワーク スキャン アクションをトリガーする、ネットワーク スキャン(NMAP)プローブが有効になっていることを確認する必要があります。

                    手順
                      ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [プロファイリング(Profiling)] > [ネットワーク スキャン(NMAP)アクション(Network Scan (NMAP) Actions)] を選択します。
                      ステップ 2   [追加(Add)] をクリックします。
                      ステップ 3   作成するネットワーク スキャン アクションの名前と説明を入力します。
                      ステップ 4   次のエンドポイントをスキャンする場合、1 つ以上のチェックボックスをオンにします。
                      • [OS のスキャン(Scan OS)]:オペレーティング システムをスキャンする場合

                      • [SNMP ポートのスキャン(Scan SNMP Port)]:SNMP ポート(161、162)をスキャンする場合

                      • [一般ポートのスキャン(Scan Common Port)]:一般ポートをスキャンする場合

                      ステップ 5   [送信(Submit)] をクリックします。

                      オペレーティング システム スキャン

                      オペレーティング システム スキャン(OS-scan)タイプでは、エンドポイントで実行されているオペレーティング システム(および OS バージョン)がスキャンされます。 これはリソースを大量に消費するスキャンです。

                      OS スキャンに使用する NMAP ツールの制限により、エンドポイントのオペレーティング システムのスキャンで信頼できない結果が得られる場合があります。 たとえば、スイッチやルータなどのネットワーク デバイスのオペレーティング システムをスキャンすると、NMAP OS-scan から、それらのデバイスについて正しくない operating-system 属性が返されることがあります。 Cisco ISE は精度が 100% ではない場合、operating-system 属性を表示します。

                      これらのデバイスについては、ルールで NMAP operating-system 属性を使用するエンドポイント プロファイリング ポリシーに低い確実度値の条件(確実度係数の値)を設定できます。 NMAP:operating-system 属性に基づいてエンドポイント プロファイリング ポリシーを作成するたびに、プロファイリング ポリシーに AND 条件を含めることを推奨します。 たとえば、NMAP:operating-system には 100 が含まれます。


                      (注)  


                      精度が 100% でなければ、NMAP:operating-system 属性に基づいてエンドポイント プロファイリング ポリシーを作成しないでください。


                      [OS のスキャン(Scan OS)] をエンドポイント プロファイリング ポリシーに関連付けた場合、次の NMAP コマンドはオペレーティング システムをスキャンします。

                      nmap -sS -O -F -oN /opt/CSCOcpm/logs/nmap.log -append-output -oX - <IP-address>
                      表 7 エンドポイントの OS スキャンの NMAP コマンド
                      -sS TCP SYN スキャン。 SYN スキャンがデフォルトです。
                      -O OS 検出を有効にします。
                      -F (高速(限定ポート)スキャン)。 デフォルトよりも少ないポートをスキャンするように指定します。 通常、Nmap では、スキャン対象のプロトコルごとに最も一般的な 1000 個のポートをスキャンします。 -F を指定すると、これが 100 個に減少します。
                      oN 通常の出力。
                      oX XML 出力。
                      IP-address スキャン対象のエンドポイントの IP アドレス。

                      SNMP ポート スキャン

                      SNMP ポート(161 および 162)が開いている場合、SNMPPortsAndOS-scan タイプは、エンドポイントが実行中のオペレーティング システム(および OS バージョン)をスキャンし、SNMP クエリーをトリガーします。 さらに分類するために、識別されて不明プロファイルと最初に一致したエンドポイントに使用できます。

                      [SNMP ポートのスキャン(Scan SNMP Port)] をエンドポイント プロファイリング ポリシーに関連付けた場合、次の NMAP コマンドは SNMP ポート(UDP 161 と 162)をスキャンします。

                      nmap -sU -p U:161,162 -oN /opt/CSCOcpm/logs/nmap.log --append-output -oX - <IP-address>
                      表 8 エンドポイントの SNMP ポート スキャンの NMAP コマンド
                      -sU UDP スキャン。
                      -p <port-ranges> 特定のポートのみスキャンします。 たとえば、UDP ポート 161 と 16.2 をスキャンします
                      oN 通常の出力。
                      oX XML 出力。
                      IP-address スキャン対象のエンドポイントの IP アドレス。

                      一般ポート スキャン

                      CommanPortsAndOS-scan タイプでは、エンドポイントで実行されているオペレーティング システム(および OS バージョン)がスキャンされ、SNMP ポートではなく一般ポート(TCP と UDP)もスキャンされます。 [一般ポートのスキャン(Scan Common Port)] をエンドポイント プロファイリング ポリシーに関連付けると、次の NMAP コマンドが一般ポートをスキャンします。nmap -sTU -p T:21,22,23,25,53,80,110,135,139,143,443,445,3306,3389,8080,U:53,67,68,123,135,137,138,139,161,445,500,520,631,1434,1900 -oN /opt/CSCOcpm/logs/nmap.log --append-output -oX - <IP address>
                      表 9 エンドポイントの一般ポート スキャンの NMAP コマンド
                      -sTU TCP 接続スキャンと UDP スキャンの両方。
                      -p <port ranges> TCP ポート 21、22、23、25、53、80、110、135、139、143、443、445、3306、3389、8080、および UDP ポート 53、67、68、123、135、137、138、139、161、445、500、520、631、1434、1900 をスキャンします。
                      oN 通常の出力。
                      oX XML 出力。
                      IP address スキャン対象のエンドポイントの IP アドレス。

                      一般ポート

                      次の表に、NMAP でスキャンに使用される 30 個の一般ポート(15 個の TCP ポートと 15 個の UDP ポート)を示します。
                      表 10 一般ポート
                      TCP ポート UDP ポート
                      ポート サービス ポート サービス
                      21/tcp ftp 53/udp domain
                      22/tcp ssh 67/udp dhcps
                      23/tcp telnet 68/udp dhcpc
                      25/tcp smtp 123/udp ntp
                      53/tcp domain 135/udp msrpc
                      80/tcp http 137/udp netbios-ns
                      110/tcp pop3 138/udp netbios-dgm
                      135/tcp msrpc 139/udp netbios-ssn
                      139/tcp netbios-ssn 161/udp snmp
                      143/tcp imap 445/udp microsoft-ds
                      443/tcp https 500/udp isakmp
                      445/tcp microsoft-ds 520/udp route
                      3306/tcp mysql 631/udp ipp
                      3389/tcp ms-term-serv 1434/udp ms-sql-m
                      8080/tcp http-proxy 1900/udp upnp

                      Cisco NAC アプライアンスとの Cisco ISE 統合

                      Cisco ISE は、Cisco Network Admission Control(NAC)アプライアンス リリース 4.9 との統合のみをサポートし、Cisco ISE に Advanced ライセンスまたは Wireless ライセンスをインストールした場合に使用できます。

                      Cisco ISE プロファイラは Cisco NAC 展開のエンドポイントを管理する Cisco Network Admission Control(NAC)プロファイラに似ています。 この統合により、Cisco NAC 展開にインストールされている既存の Cisco NAC プロファイラを置き換えることができます。 Cisco ISE プロファイラからのプロファイル名およびエンドポイント分類の結果を Cisco Clean Access Manager(CAM)と同期できます。

                      管理ノードでの Cisco Clean Access Manager の設定

                      Cisco ISE では、REST API 通信設定のために分散展開のプライマリ管理ノードで複数の Clean Access Manager(CAM)を登録できます。 Cisco ISE に登録されている CAM のリストは、すべてのプロファイラ設定変更が通知されるリストです。 プライマリ管理ノードは、Cisco ISE と Cisco NAC アプライアンス間のすべての通信を担当します。 Cisco ISE では、CAM をプライマリ管理ノードでのみ設定できます。 1 つ以上の CAM をプライマリ管理ノードで登録するときに使用されたクレデンシャルが CAM との接続の認証に使用されます。

                      Cisco ISE と Cisco NAC アプライアンス間の通信は、Secure Sockets Layer(SSL)上で安全に行われます。 Cisco ISE はプロファイラ設定の変更を CAM にプッシュし、CAM はエンドポイントの MAC アドレスと対応するプロファイルのリストおよびすべてのプロファイル名のリストを Cisco ISE から定期的にプルするため、通信は実際には双方向です。

                      Cisco ISE と CAM 間でセキュアな通信を適切に行えるように、[管理(Administration)] > [Clean Access Manager] > [SSL] で X509 証明書の内容を Clean Access Manager からエクスポートし、それを [管理(Administration)] > [システム(System)] > [証明書(Certificates)] [証明書信頼ストア(Certificate Trust Store)] で Cisco ISE のプライマリ管理ノードにインポートする必要があります。

                      ハイ アベイラビリティ用の CAM のペアを設定する方法の詳細については、次のリンクを参照してください。

                      Cisco ISE プロファイラと Cisco Clean Access Manager の通信

                      Cisco ISE プロファイラは、プロファイラ設定の変更をプライマリ管理ノードからすべての登録済み Clean Access Manager(CAM)に通知します。 これにより、Cisco ISE 分散展開における通知の重複が回避されます。 Cisco ISE データベースでエンドポイントの追加や削除、およびエンドポイント プロファイリング ポリシーの変更が行われると、プロファイラ設定の変更を通知するために REST API が使用されます。 エンドポイントのインポート時、Cisco ISE プロファイラはインポートの完了後にのみ CAM に通知します。

                      プロファイラ設定の変更を CAM にプッシュするために、次の REST API フローが実装されます。

                      Cisco ISE プロファイラ エンドポイント変更のプッシュ:Cisco ISE でエンドポイントがプロファイリングされ、エンドポイントのプロファイルに変更がある場合、Cisco ISE プロファイラは、エンドポイント プロファイルの変更をすべての登録済み CAM に通知します。

                      CAM で Cisco ISE を設定し、CAM の [同期設定(Sync Settings)] に応じて CAM を Cisco ISE と同期することができます。 ルールを作成し、Cisco ISE プロファイルのリストから 1 つ以上の一致するプロファイルを選択し、エンドポイントを CAM のいずれかのアクセス タイプにマッピングできます。 CAM はエンドポイントと対応するプロファイル、およびすべてのプロファイル名のリストを Cisco ISE プロファイラから定期的に取得します。

                      プロファイラ設定の変更を Cisco ISE プロファイラからプルするために、次の REST API フローが実装されます。

                      • NAC Manager のエンドポイント プル:エンドポイントの MAC アドレスと既知のエンドポイントの対応するプロファイルのリストをプルします。

                      • NAC Manager のプロファイル プル:プロファイル名を Cisco ISE プロファイラからプルします。

                      Cisco ISE プロファイラは、Cisco ISE と Cisco NAC アプライアンス リリース 4.9 との統合のモニタとトラブルシューティングに使用できるすべてのイベントを Cisco ISE モニタリング ペルソナに通知します。

                      Cisco ISE プロファイラ ログには、統合のモニタリングとトラブルシューティングに関する次のイベントが取り込まれます。

                      • NAC 設定の変更(情報)

                      • NAC 通知イベント障害(エラー)

                      Cisco Clean Access Manager の追加

                      Cisco ISE を Cisco NAC アプライアンス リリース 4.9 と統合すると、Cisco NAC 展開で Cisco ISE プロファイリング サービスを利用できます。 Cisco NAC 展開で Cisco ISE プロファイリング サービスを利用できます。

                      [NAC Managers] ページでは、複数の Clean Access Manager(CAM)を設定でき、登録した CAM をフィルタリングするためのオプションを使用できます。 このページには、CAM が名前、説明、IP アドレス、および CAM でエンドポイント通知が有効になっているかどうかを示すステータスとともに表示されます。

                      手順
                        ステップ 1   [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [NAC Managers] を選択します。
                        ステップ 2   [追加(Add)] をクリックします。
                        ステップ 3   Cisco Access Manager の名前を入力します。
                        ステップ 4   CAM への接続を認証する Cisco ISE プロファイラからの REST API 通信を有効にする場合は、[ステータス(Status)] チェックボックスをオンにします。
                        ステップ 5   0.0.0.0 および 255.255.255.255 の IP アドレス以外の CAM の IP アドレスを入力します。
                        ステップ 6   CAM のユーザ インターフェイスにログインするために使用する CAM 管理者のユーザ名とパスワードを入力します。
                        ステップ 7   [送信(Submit)] をクリックします。

                        ポリシーおよび ID グループのスタティック割り当てによるエンドポイントの作成

                        [エンドポイント(Endpoints)] ページでエンドポイントの MAC アドレスを使用して、新しいエンドポイントを静的に作成できます。 また、スタティック割り当ての [エンドポイント(Endpoints)] ページで、エンドポイント プロファイリング ポリシーおよび ID グループを選択できます。

                        通常のモバイル デバイス(MDM)エンドポイントは、[エンドポイント ID(Endpoints Identities)] リストに表示されます。 リスト ページには、[ホスト名(Hostname)]、[デバイス タイプ(Device Type)]、[デバイス ID(Device ID)] など、MDM エンドポイントの属性のカラムが表示されます。 [スタティック割り当て(Static Assignment)]、[スタティック グループ割り当て(Static Group Assignment)] などのその他のカラムは、デフォルトでは表示されません。


                        (注)  


                        このページを使用して、MDM エンドポイントを追加、編集、削除、インポートまたはエクスポートすることはできません。
                        手順
                          ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [エンドポイント(Endpoints)] を選択します。
                          ステップ 2   [追加(Add)] をクリックします。
                          ステップ 3   エンドポイントの MAC アドレスをコロンで区切られた 16 進表記で入力します。
                          ステップ 4   [ポリシー割り当て(Policy Assignment)] ドロップダウン リストから一致するエンドポイント ポリシーを選択して、スタティック割り当てステータスをダイナミックからスタティックに変更します。
                          ステップ 5   [スタティック割り当て(Static Assignment)] チェックボックスをオンにして、エンドポイントに割り当てられたスタティック割り当てのステータスをダイナミックからスタティックに変更します。
                          ステップ 6   [ID グループ割り当て(Identity Group Assignment)] ドロップダウン リストから、新しく作成されたエンドポイントを割り当てるエンドポイント ID グループを選択します。
                          ステップ 7   エンドポイント ID グループのダイナミック割り当てをスタティックに変更するには、[スタティック グループ割り当て(Static Group Assignment)] チェックボックスをオンにします。
                          ステップ 8   [送信(Submit)] をクリックします。

                          CSV ファイルからのエンドポイントのインポート

                          Cisco ISE サーバからすでにエンドポイントをエクスポートした CSV ファイル、または Cisco ISE から作成し、エンドポイントの詳細で更新した CSV ファイルからエンドポイントをインポートできます。

                          ファイル形式はデフォルトのインポート テンプレートで指定されている形式にする必要があります。これにより、エンドポイントのリストは次のようになります。MAC, エンドポイント ポリシー, エンドポイント ID グループ。

                          CSV ファイルでエンドポイントをインポートする場合、エンドポイント ポリシーとエンドポイント ID グループの両方がオプションです。 エンドポイントのエンドポイント ポリシーなしでエンドポイント ID グループをインポートする場合も、値はカンマで区切ります。

                          次に例を示します。

                          • MAC1, Endpoint Policy1, Endpoint Identity Group1

                          • MAC2

                          • MAC3, Endpoint Policy3

                          • MAC4, , Endpoint Identity Group4

                          手順
                            ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [エンドポイント(Endpoints)] > [インポート(Import)] を選択します。
                            ステップ 2   [ファイルからインポート(Import from File)] をクリックします。
                            ステップ 3   [参照(Browse)] をクリックし、Cisco ISE サーバからすでにエクスポートした CSV ファイル、または指定されたファイル形式で作成し、エンドポイントで更新した CSV ファイルを検索します。
                            ステップ 4   [送信(Submit)] をクリックします。

                            エンドポイントで使用可能なデフォルトのインポート テンプレート

                            エンドポイントのインポートに使用できるエンドポイントを更新できるテンプレートを生成できます。 デフォルトで、[テンプレートの生成(Generate a Template)] リンクを使用して、Microsoft Office Excel アプリケーションで CSV ファイルを作成し、このファイルをシステム上にローカルに保存できます。 ファイルは、[管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [エンドポイント(Endpoints)] > [インポート(Import)] > [ファイルからインポート(Import From File)] にあります。 [テンプレートの生成(Generate a Template)] リンクを使用してテンプレートを作成でき、Cisco ISE サーバは、[template.csv を開く(Opening template.csv)] ダイアログを表示します。 このダイアログを使用すると、デフォルトの template.csv ファイルを開いたり、template.csv ファイルをシステム上にローカルに保存できます。 このダイアログで template.csv ファイルを開くことを選択した場合、このファイルは Microsoft Office Excel アプリケーションで開かれます。 デフォルトの template.csv ファイルには、MAC アドレス、エンドポイント ポリシー、およびエンドポイント ID グループのカラムが表示されるヘッダー行が含まれています。 エンドポイントの MAC アドレス、エンドポイント プロファイリング ポリシー、およびエンドポイント ID グループを更新し、エンドポイントのインポートに使用できる異なるファイル名でこのファイルを保存する必要があります。 [テンプレートの生成(Generate a Template)] リンクを使用したときに作成される template.csv ファイルのヘッダー行を参照してください。
                            表 11 CSV テンプレート ファイル
                            MAC エンドポイント ポリシー(Endpoint Policy) エンドポイント ID グループ(Endpoint Identity Group)
                            00:1f:f3:4e:c1:8e Cisco-Device RegisteredDevices

                            インポート中の不明なエンドポイントの再プロファイリング

                            インポートに使用するファイルに、MAC アドレスを持つエンドポイントがあり、それらに割り当てられているエンドポイント プロファイリング ポリシーが不明プロファイルである場合、これらのエンドポイントはインポート中に Cisco ISE でただちに一致するエンドポイント プロファイリング ポリシーに再プロファイリングされます。 ただし、不明プロファイルに静的に割り当てられることはありません。 エンドポイントに割り当てられているエンドポイント プロファイリング ポリシーが CSV ファイルにない場合、これらのエンドポイントは不明プロファイルに割り当てられ、一致するエンドポイント プロファイリング ポリシーに再プロファイリングされます。 次に、Cisco ISE が、インポート中に Xerox_Device プロファイルに一致する不明プロファイルをどのように再プロファイリングするか、および割り当てられていないエンドポイントをどのように再プロファイリングするかを示します。
                            表 12 不明プロファイル:ファイルからのインポート
                            MAC アドレス Cisco ISE でのインポート前に割り当てられたエンドポイント プロファイリング ポリシー Cisco ISE でのインポート後に割り当てられたエンドポイント プロファイリング ポリシー
                            00:00:00:00:01:02 不明。 Xerox-Device
                            00:00:00:00:01:03 不明。 Xerox-Device
                            00:00:00:00:01:04 不明。 Xerox-Device
                            00:00:00:00:01:05 プロファイルがエンドポイントに割り当てられていない場合、そのエンドポイントは不明プロファイルに割り当てられ、一致するプロファイルに再プロファイリングされます。 Xerox-Device

                            インポート中に保持されるエンドポイントのポリシーおよび ID グループのスタティック割り当て

                            インポートに使用するファイルに、MAC アドレスを持つエンドポイントがあり、それらに割り当てられているエンドポイント プロファイリング ポリシーがスタティック割り当てである場合、インポート時に再プロファイリングされることはありません。 次に、Cisco ISE が、Cisco-Device プロファイル(エンドポイントのスタティック割り当て)をインポート時に保持する仕組みを示します。
                            表 13 スタティック割り当て:ファイルからのインポート
                            MAC アドレス Cisco ISE でのインポート前に割り当てられたエンドポイント プロファイリング ポリシー Cisco ISE でのインポート後に割り当てられたエンドポイント プロファイリング ポリシー
                            00:00:00:00:01:02 Cisco-Device(スタティック割り当て) Cisco-Device

                            インポートされない無効なプロファイルを持つエンドポイント

                            エンドポイントがインポートに使用されるファイル内で無効なプロファイルに割り当てられている場合、それらのエンドポイントは、Cisco ISE には一致するプロファイルがないためインポートされません。 エンドポイントが CSV ファイル内の無効なプロファイルに割り当てられている場合、それらのエンドポイントがインポートされない仕組みを下に示します。
                            表 14 無効なプロファイル:ファイルからのインポート
                            MAC アドレス Cisco ISE でのインポート前に割り当てられたエンドポイント プロファイリング ポリシー Cisco ISE でのインポート後に割り当てられたエンドポイント プロファイリング ポリシー
                            00:00:00:00:01:02 不明。 Xerox-Device
                            00:00:00:00:01:05 00:00:00:00:01:05 などのエンドポイントが Cisco ISE 使用可能なプロファイル以外の無効なプロファイルに割り当てられている場合、Cisco ISE では、ポリシー名が無効で、エンドポイントがインポートされないことを示す警告メッセージが表示されます。 エンドポイントは、Cisco ISE 内に一致するプロファイルがないためインポートされません。

                            LDAP サーバからのエンドポイントのインポート

                            エンドポイントの MAC アドレス、関連するプロファイル、およびエンドポイント ID グループを LDAP サーバからセキュアにインポートできます。

                            はじめる前に

                            エンドポイントをインポートする前に、LDAP サーバがインストールされていることを確認します。

                            LDAP サーバからインポートするには、接続設定値およびクエリー設定値を設定する必要があります。 接続設定値またはクエリー設定値が Cisco ISE で間違って設定されていると、「LDAP インポートが失敗:(LDAP import failed:)」エラー メッセージが表示されます。

                            手順
                              ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [エンドポイント(Endpoints)] > [インポート(Import)] > [LDAP からインポート(Import From LDAP)] を選択します。
                              ステップ 2   接続設定の値を入力します。
                              ステップ 3   クエリー設定の値を入力します。
                              ステップ 4   [送信(Submit)] をクリックします。

                              カンマ区切り形式ファイルを使用したエンドポイントのエクスポート

                              選択したエンドポイントまたはすべてのエンドポイントを Cisco ISE サーバから異なる Cisco ISE サーバにカンマ区切り形式(CSV)ファイルでエクスポートできます。このファイルで、エンドポイントは割り当てられた MAC アドレス、エンドポイント プロファイリング ポリシー、およびエンドポイント ID グループとともに一覧表示されます。

                              [すべてエクスポート(Export All)] はデフォルトのオプションです。 エンドポイントが [エンドポイント(Endpoints)] ページでフィルタリングされている場合、[すべてエクスポート(Export All)] オプションを使用すると、フィルタリングされたエンドポイントのみがエクスポートされます。 デフォルトでは、profiler_endpoints.csv が CSV ファイルであり、Microsoft Office Excel が [profiler_endpoints.csv を開く(Opening profiler_endpoints.csv)] ダイアログボックスから CSV ファイルを開くか、または CSV ファイルを保存するデフォルト アプリケーションです。 たとえば、選択したエンドポイントまたはすべてのエンドポイントを profiler_endpoints.csv ファイルでエクスポートし、これを使用してそれらのエンドポイントをインポートできます。

                              手順
                                ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [エンドポイント(Endpoints)] を選択します。
                                ステップ 2   [エクスポート(Export)] をクリックし、次のいずれかを選択します。
                                • [選択済みをエクスポート(Export Selected)]:[エンドポイント(Endpoints)] ページで選択したエンドポイントだけをエクスポートできます。

                                • [すべてエクスポート(Export All)]:デフォルトで、[エンドポイント(Endpoints)] ページのすべてのエンドポイントをエクスポートできます。

                                ステップ 3   [OK] をクリックして、profiler_endpoints.csv ファイルを保存します。

                                識別されたエンドポイント

                                Cisco ISE では、ネットワークに接続してネットワーク リソースを使用する識別されたエンドポイントが、[エンドポイント(Endpoints)] ページに表示されます。 エンドポイントは、通常、有線および無線のネットワーク アクセス デバイスと VPN を介してネットワークに接続するネットワーク対応デバイスです。 エンドポイントとして、パーソナル コンピュータ、ラップトップ、IP Phone、スマート フォン、ゲーム コンソール、プリンタ、ファクス機などがあります。

                                16 進数形式で表したエンドポイントの MAC アドレスは、常にエンドポイントの一意の表現ですが、それらに関連付けられた属性と値のさまざまなセット(属性と値のペアと呼ばれる)でエンドポイントを識別することもできます。 エンドポイントの属性のさまざまなセットは、エンドポイント機能、ネットワーク アクセス デバイスの機能と設定、およびこれらの属性の収集に使用する方法(プローブ)に基づいて収集できます。

                                動的にプロファイリングされるエンドポイント

                                エンドポイントは、ネットワークで検出されると、設定されているプロファイリング エンドポイントのプロファイリング ポリシーに基づいて動的にプロファイリングされ、プロファイルに応じて一致するエンドポイント ID グループに割り当てられます。

                                静的にプロファイリングされるエンドポイント

                                MAC アドレスを使用してエンドポイントを作成し、Cisco ISE のエンドポイント ID グループとともにプロファイルをそのエンドポイントに割り当てると、エンドポイントを静的にプロファイリングすることができます。 Cisco ISE では、静的に割り当てられたエンドポイントに対して、プロファイリング ポリシーおよび ID グループを再割り当てしません。

                                不明なエンドポイント

                                エンドポイントに対して一致するプロファイリング ポリシーがない場合、不明なプロファイリング ポリシー(「不明」)を割り当てることで、エンドポイントを不明としてプロファイリングできます。 不明なエンドポイント ポリシーにプロファイリングされたエンドポイントの場合、そのエンドポイントに対して収集された属性または属性セットを使用してプロファイルを作成する必要があります。 いずれのプロファイルにも一致しないエンドポイントは、不明なエンドポイント ID グループにグループ化されます。

                                識別されたエンドポイントの、ポリシー サービス ノード データベースへのローカル保存

                                Cisco ISE は識別されたエンドポイントをポリシー サービス ノードのデータベースにローカルに書き込みます。 エンドポイントをデータベースにローカル保存した後は、それらのエンドポイントは、重要な属性がエンドポイントで変更され、他のポリシー サービス ノード データベースに複製されているときにのみ、管理ノード データベースで使用できる(リモート書き込み)ようになります。

                                重要な属性は次のとおりです。

                                • ip

                                • EndPointPolicy

                                • MatchedValue

                                • StaticAssignment

                                • StaticGroupAssignment

                                • MatchedPolicyID

                                • NmapSubnetScanID

                                • PortalUser

                                • DeviceRegistrationStatus

                                • BYODRegistration

                                Cisco ISE でエンドポイント プロファイル定義を変更した場合、すべてのエンドポイントを再プロファイリングする必要があります。 エンドポイント属性を収集するポリシー サービス ノードが、これらのエンドポイントの再プロファイリングを担当します。

                                あるポリシー サービス ノードが、最初は別のポリシー サービス ノードによって属性が収集されていたエンドポイントに関する属性を収集し始めると、エンドポイントの所有権が現在のポリシー サービス ノードに移ります。 新しいポリシー サービス ノードは、前のポリシー サービス ノードから最新の属性を取得して、すでに収集されている属性と調整します。

                                重要な属性がエンドポイントで変更されると、エンドポイントの属性は管理ノード データベースに自動的に保存され、エンドポイントの最新の重要な変更を使用できます。 エンドポイントを所有するポリシー サービス ノードが何らかの理由で使用できない場合、管理 ISE ノードが所有者を失ったエンドポイントを再プロファイリングします。また、このようなエンドポイントに対して新しいポリシー サービス ノードを設定する必要があります。

                                クラスタのポリシー サービス ノード

                                Cisco ISE では、ポリシー サービス ノード グループをクラスタとして使用するため、クラスタ内の複数のノードが同じエンドポイントの属性を収集するときに、エンドポイント属性を交換できます。 1 つのロード バランサの背後に存在する、すべてのポリシー サービス ノードに対するクラスタを作成することを推奨します。

                                現在のオーナー以外の別のノードが同じエンドポイントの属性を受信した場合、属性をマージし、所有権の変更が必要かどうかを決定するために、現在のオーナーから最新の属性を要求するメッセージをクラスタ全体に送信します。 Cisco ISE でノード グループを定義していない場合は、すべてのノードが 1 つのクラスタ内にあると想定されます。

                                Cisco ISE でエンドポイントの作成と複製への変更は行われません。 エンドポイントの所有権の変更のみが、プロファイリングに使用される、静的属性と動的属性から作成される属性のリスト(ホワイト リスト)に基づいて決定されます。

                                次のいずれかの属性が変更された場合、後続の属性の収集時に、エンドポイントは管理ノードで更新されます。

                                • ip

                                • EndPointPolicy

                                • MatchedValue

                                • StaticAssignment

                                • StaticGroupAssignment

                                • MatchedPolicyID

                                • NmapSubnetScanID

                                • PortalUser

                                • DeviceRegistrationStatus

                                • BYODRegistration

                                エンドポイントが管理ノードで編集および保存されている場合、この属性はエンドポイントの現在のオーナーから取得されます。

                                エンドポイント ID グループの作成

                                Cisco ISE では、検出したエンドポイントを、対応するエンドポイント ID グループにグループ化します。 Cisco ISE では、システム定義された複数のエンドポイントの ID グループが事前に用意されています。 [エンドポイント ID グループ(Endpoint Identity Groups)] ページで追加のエンドポイント ID グループを作成することもできます。 作成したエンドポイント ID グループを編集または削除できます。 システム定義されたエンドポイント ID グループの説明のみを編集できます。これらのグループの名前を編集したり、これらのグループを削除したりすることはできません。

                                手順
                                  ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [エンドポイント ID グループ(Endpoint Identity Groups)] を選択します。
                                  ステップ 2   [追加(Add)] をクリックします。
                                  ステップ 3   作成するエンドポイント ID グループの名前を入力します(エンドポイント ID グループの名前にスペースを入れないでください)。
                                  ステップ 4   作成するエンドポイント ID グループの説明を入力します。
                                  ステップ 5   [親グループ(Parent Group)] ドロップダウン リストをクリックして、新しく作成したエンドポイント ID グループを関連付けるエンドポイント ID グループを選択します。
                                  ステップ 6   [送信(Submit)] をクリックします。

                                  識別されたエンドポイントの、エンドポイント ID グループでのグループ化

                                  Cisco ISE では、エンドポイント プロファイリング ポリシーに基づいて、検出されたエンドポイントを対応するエンドポイント ID グループにグループ化します。 プロファイリング ポリシーは階層構造になっており、Cisco ISE のエンドポイント ID グループ レベルで適用されます。 エンドポイントをエンドポイント ID グループにグループ化し、プロファイリング ポリシーをエンドポイント ID グループに適用すると、Cisco ISE により、対応するエンドポイント プロファイリング ポリシーを確認してエンドポイント プロファイルへのエンドポイントのマッピングを決定できます。

                                  Cisco ISE によってエンドポイント ID グループのセットがデフォルトで作成され、これを使用して、エンドポイントを動的または静的に割り当てできる独自の ID グループを作成できます。 エンドポイント ID グループを作成し、システムが作成した ID グループの 1 つにその ID グループを関連付けることができます。 また、自分が作成したエンドポイントをシステム内のいずれかの ID グループに静的に割り当てることができ、ID グループがプロファイリング サービスで再割り当てされることはありません。

                                  エンドポイントに対して作成されるデフォルトのエンドポイント ID グループ

                                  Cisco ISE は次の 5 つのエンドポイント ID グループをデフォルトで作成します。ブラックリスト、GuestEndpoints、プロファイル済み、RegisteredDevices、不明。 さらに、プロファイル済み(親)ID グループに関連付けられている Cisco-IP-Phone やワークステーションなどの追加の 2 つの ID グループを作成します。 親グループは、システムに存在するデフォルトの ID グループです。

                                  Cisco ISE は次のエンドポイント ID グループを作成します。

                                  • ブラックリスト:このエンドポイント ID グループには、Cisco ISE でこのグループに静的に割り当てられたエンドポイントおよびデバイス登録ポータルでブラックリストに記載されたエンドポイントが含まれます。 許可プロファイルを Cisco ISE で定義して、このグループのエンドポイントへのネットワーク アクセスを許可または拒否できます。

                                  • GuestEndpoints:このエンドポイント ID グループには、ゲスト ユーザが使用するエンドポイントが含まれます。

                                  • プロファイル済み:このエンドポイント ID グループには、Cisco ISE の Cisco IP Phone およびワークステーションを除くエンドポイント プロファイリング ポリシーに一致するエンドポイントが含まれます。

                                  • RegisteredDevices:このエンドポイント ID グループには、デバイス登録ポータルを介して従業員が追加した登録済みデバイスであるエンドポイントが含まれます。 プロファイリング サービスは通常、これらのデバイスがこのグループに割り当てられている場合、これらのデバイスを引き続きプロファイリングします。 エンドポイントは Cisco ISE のこのグループに静的に割り当てられ、プロファイリング サービスがこれらのエンドポイントを他の ID グループに割り当てることはできません。 これらのデバイスは、エンドポイント リストの他のエンドポイントと同様に表示されます。 デバイス登録ポータルを介して追加されたこれらのデバイスに対して、Cisco ISE の [エンドポイント(Endpoints)] ページのエンドポイント リストで編集、削除およびブラックリストへの記載を実行できます。 デバイス登録ポータルでブラックリストに記載されたデバイスは、ブラックリスト エンドポイント ID グループに割り当てられ、Cisco ISE に存在する許可プロファイルは、ブラックリストに記載されたデバイスを URL(「無許可ネットワーク アクセス」と表示される、ブラックリストに記載されたデバイスのデフォルト ポータル ページ)にリダイレクトします。

                                  • 不明:このエンドポイント ID グループには、Cisco ISE のプロファイルに一致しないエンドポイントが含まれます。

                                  上記のシステムで作成されたエンドポイント ID グループに加えて、Cisco ISE ではプロファイル済み ID グループに関連付けられる次のエンドポイント ID グループが作成されます。

                                  • Cisco-IP-Phone:ネットワーク上のすべてのプロファイル済み Cisco IP Phone が含まれる ID グループです。

                                  • ワークステーション:ネットワーク上のすべてのプロファイル済みワークステーションが含まれる ID グループです。

                                  一致するエンドポイント プロファイリング ポリシーに対して作成されるエンドポイント ID グループ

                                  既存のポリシーと一致するエンドポイント ポリシーがある場合、プロファイリング サービスは一致するエンドポイント ID グループを作成できます。 この ID グループは、プロファイル済みエンドポイント ID グループの子になります。 エンドポイント ポリシーを作成する場合、[プロファリング ポリシー(Profiling Policies)] ページの [一致する ID グループの作成(Create Matching Identity Group)] チェックボックスをオンにして、一致するエンドポイント ID グループを作成できます。 プロファイルのマッピングが削除されない限り、一致する ID グループは削除できません。

                                  エンドポイント ID グループでの静的なエンドポイントの追加

                                  エンドポイント ID グループの静的に追加されたエンドポイントを追加または削除できます。

                                  [エンドポイント(Endpoints)] ウィジェットのエンドポイントのみを特定の ID グループに追加できます。 エンドポイントを特定のエンドポイント ID グループに追加した場合、そのエンドポイントは、前に動的にグループ化されたエンドポイント ID グループから移動されます。

                                  エンドポイントを最近追加したエンドポイント ID グループから削除すると、そのエンドポイントは、適切な ID グループに再プロファイリングされます。 エンドポイントは、システムから削除されませんが、エンドポイントの ID グループからのみ削除されます。

                                  手順
                                    ステップ 1   [管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [エンドポイント ID グループ(Endpoint Identity Groups)] を選択します。
                                    ステップ 2   エンドポイント ID グループを選択して [編集(Edit)] をクリックします。
                                    ステップ 3   [追加(Add)] をクリックします。
                                    ステップ 4   [エンドポイント(Endpoints)] ウィジェットでエンドポイントを選択して、選択したエンドポイントをエンドポイント ID グループに追加します。
                                    ステップ 5   [エンドポイント グループ リスト(Endpoint Group List)] リンクをクリックして、[エンドポイント ID グループ(Endpoint Identity Groups)] ページに戻ります。

                                    ダイナミック エンドポイントの、ID グループへの追加または削除後の再プロファイリング

                                    エンドポイント ID グループが静的に割り当てられていない場合、エンドポイント ID グループに追加した、またはエンドポイント ID グループから削除したエンドポイントは、再プロファイリングされます。 ISE プロファイラにより動的に識別されたエンドポイントは、適切なエンドポイント ID グループに表示されます。 動的に追加されたエンドポイントをエンドポイント ID グループから削除した場合、Cisco ISE では、エンドポイント ID グループからエンドポイントを正常に削除したが、それらのエンドポイントをエンドポイント ID グループに再プロファイリングして戻すことを示すメッセージが表示されます。

                                    許可ルールで使用されるエンドポイント ID グループ

                                    エンドポイント ID グループを許可ポリシーで効率的に使用して、検出されたエンドポイントに適切なネットワーク アクセス権限を付与することができます。 たとえば、すべてのタイプの Cisco IP Phone 用の許可ルールが、デフォルトで、Cisco ISE の[ポリシー(Policy)] > [許可(Authorization)] > [標準(Standard)] で使用できます。

                                    エンドポイント プロファイリング ポリシーがスタンドアロン ポリシー(他のエンドポイント プロファイリング ポリシーの親でない)であるか、またはエンドポイント プロファイリング ポリシーの親ポリシーが無効でないことを確認する必要があります。

                                    プロファイラ フィード サービス

                                    プロファイラ フィード サービスの導入により、プロファイラ条件、例外アクション、および NMAP スキャン アクションが、Cisco ISE でシスコ提供または管理者作成(システム タイプ属性を参照)として分類されます。 また、エンドポイント プロファイリング ポリシーは、シスコ提供、管理者作成、または管理者による変更(システム タイプ属性を参照)として分類されます。

                                    システム タイプ属性によって、プロファイラ条件、例外アクション、NMAP スキャン アクション、およびエンドポイント プロファイリング ポリシーに対して異なる操作を実行できます。 シスコ提供の条件、例外アクション、NMAP スキャン アクションは編集または削除できません。 シスコが提供するエンドポイント ポリシーは削除できません。 ポリシーを編集すると、管理者による変更と見なされます。 管理者によって変更されたポリシーが削除されると、それが基づいていたシスコ提供ポリシーの最新のバージョンに置き換えられます。

                                    新規および更新されたエンドポイント プロファイリング ポリシーや更新された OUI データベースを、指定された Cisco フィード サーバからの、サブスクリプションを介した Cisco ISE へのフィードとして取得できます。 また、適用、成功、および失敗メッセージに対して設定した、Cisco ISE の管理者としての電子メール アドレスに電子メール通知を受信できます。 通知を受信するために追加の加入者情報も提供できます。 レコードを維持するために加入者情報をシスコに送り返すことができ、それらは特権および機密として処理されます。

                                    デフォルトでは、プロファイラ フィード サービスは無効になっており、サービスを有効にするには Plus ライセンスが必要です。 プロファイラ フィード サービスを有効にすると、Cisco ISE は毎日ローカル Cisco ISE サーバのタイム ゾーンの午前 1:00 にフィード サービス ポリシーと OUI データベースの更新をダウンロードします。 Cisco ISE は、これらのダウンロードされたフィード サーバ ポリシーを自動的に適用し、また、これらの変更を以前の状態に復元できるように一連の変更を保存します。 最後に適用した一連の変更から復元すると、新しく追加されたエンドポイント プロファイリング ポリシーは削除され、更新されたエンドポイント プロファイリング ポリシーは以前の状態に復元されます。 さらに、プロファイラ フィード サービスは自動的に無効になります。

                                    更新が行われるとき、シスコ提供のプロファイリング ポリシーと、以前の更新で変更されたエンドポイント プロファイリング ポリシーのみが更新されます。 シスコ提供の無効のプロファイリング ポリシーも更新されますが、無効のままです。 管理者作成または管理者による変更のプロファイリング ポリシーは、上書きされません。 管理者による変更のエンドポイント プロファイリング ポリシーをシスコ提供のエンドポイント プロファイリング ポリシーに復元する場合は、管理者による変更のエンドポイント プロファイリング ポリシーを削除するか、または管理者による変更のエンドポイント プロファイリング ポリシーを以前のシスコ提供のエンドポイント プロファイリング ポリシーに復元する必要があります。

                                    OUI フィード サービス

                                    指定されたシスコ フィード サーバは、次のリンクから更新済みの OUI データベースをダウンロードします。これは、MAC OUI に関連付けられたベンダーのリストです。 更新された OUI データベースは、Cisco ISE が自身のデータベースにダウンロードするフィードとして、ISE 展開で使用できます。 Cisco ISE はエンドポイントを更新してから、エンドポイントの再プロファイリングを始めます。

                                    指定されたシスコ フィード サーバは、次に示すリンクにあります。 サービスへのアクセスに問題がある場合は、(たとえば、ファイアウォールやプロキシ サーバのような)ネットワーク セキュリティ コンポーネントで、この URL に対する直接アクセスが許可されていることを確認します。

                                    プロファイラ フィード サービスの設定

                                    新規および更新されたエンドポイント プロファイリング ポリシーや MAC OUI に関するアップデートを、指定された Cisco フィード サーバからのフィードとして受信するように Cisco ISE を設定できます。 フィード サービスを有効にすると、Cisco ISE では、最後のフィード サービス更新以降に作成された新規プロファイルおよび更新されたプロファイルや MAC OUI を確認することができます。 フィード サービスが使用できない場合、およびその他のエラーが発生した場合は、操作監査レポートで報告されます。

                                    Cisco ISE の管理者としてフィード サービス使用状況レポートをシスコに返送するように設定したり、代替 Cisco ISE 管理者詳細(任意の属性)を [フィード サービス加入者情報(Feed Service Subscriber Information)] セクションに指定したりできます。

                                    次のデータをシスコに返送できます。

                                    • Hostname:Cisco ISE ホスト名

                                    • MaxCount:エンドポイントの合計数

                                    • ProfiledCount:プロファイリングされたエンドポイント カウント

                                    • UnknownCount:不明なエンドポイント カウント

                                    • MatchSystemProfilesCount:シスコ提供のプロファイル カウント

                                    • UserCreatedProfiles:ユーザ作成のプロファイル カウント

                                    フィード サーバからダウンロードしたプロファイリング ポリシーの CoA タイプは、ローカルで設定され、ダウンロードされません。 ダウンロードされたポリシーの CoA タイプを変更した場合、状態は更新されません。 それはシステム ポリシーのままで、フィード サーバを介してポリシーを更新する必要があります。

                                    はじめる前に

                                    分散展開またはスタンドアロン ISE ノードでは、Cisco ISE 管理者ポータルからのみプロファイラ フィード サービスを設定できます。

                                    Cisco ISE は、HTTPS を介してフィード サービス プラットフォームと相互作用するフィード サービス クライアントとして通信するために、フィード サーバ証明書を要求します。 証明書は、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] に移動して証明書ストアからダウンロードできます。

                                    管理者ポータルから電子メール通知を送信するには、Simple Mail Transfer Protocol(SMTP)サーバを設定する必要があります([管理(Administration)] > [システム(System)] > [設定(Settings)])。

                                    手順
                                      ステップ 1   [管理(Administration)] > [フィード サービス(FeedService)] > [プロファイラ(Profiler)] を選択します。
                                      ステップ 2   [プロファイラ フィード サービスの有効化(Enable Profiler Feed Service)] チェックボックスをオンにします。
                                      ステップ 3   [フィード サービス スケジューラ(Feed Service Scheduler)] セクションに HH:MM 形式で時刻(Cisco ISE サーバのローカル タイム ゾーン)を入力します。 デフォルトでは、Cisco ISE フィード サービスは毎日午前 1 時にスケジュールされます。
                                      ステップ 4   [管理者通知オプション(Administrator Notification Options)] セクションで [ダウンロードが行われたら管理者に通知(Notify administrator when download occurs)] チェックボックスをオンにして、[管理者の電子メール アドレス(Administrator email address)] テキスト ボックスに Cisco ISE の管理者として電子メール アドレス入力します。
                                      ステップ 5   [フィード サービス加入者情報(Feed Service Subscriber Information)] セクションの [加入者情報をシスコに提供(Provide subscriber information to Cisco)] チェックボックスをオンにし、Cisco ISE の管理者および代替 Cisco ISE 管理者の詳細を入力します。
                                      ステップ 6   [承認(Accept)] をクリックします。
                                      ステップ 7   [保存(Save)] をクリックします。
                                      ステップ 8   [今すぐ更新(Update Now)] をクリックします。

                                      最後のフィード サービス更新以降に作成された新規および更新されたプロファイルをチェックするために Cisco フィード サーバに連絡するように Cisco ISE に指示します。 これによりシステム内のすべてのエンドポイントが再プロファイリングされ、システム負荷が増加する可能性があります。 エンドポイント プロファイリング ポリシーの更新のため、現在 Cisco ISE に接続している一部のエンドポイントの許可ポリシーが変更される場合があります。

                                      最後のフィード サービス以降に作成された新規および更新されたプロファイルを更新すると [今すぐ更新(Update Now)] ボタンは無効になり、ダウンロードの完了後にのみ有効になります。 [プロファイラ フィード サービス設定(Profiler Feed Service Configuration)] ページから別の場所に移動し、このページに戻ります。

                                      ステップ 9   [はい(Yes)] をクリックします。

                                      エンドポイント プロファイリング ポリシーの更新の削除

                                      前回の更新で更新されたエンドポイント プロファイリング ポリシーに戻り、プロファイラ フィード サービスの前回の更新により新しく追加されたが、OUI の更新が変更されていないエンドポイント プロファイリング ポリシーを削除できます。

                                      エンドポイント プロファイリング ポリシーは、フィード サーバからの更新後に変更された場合、システムで変更されません。

                                      手順
                                        ステップ 1   [管理(Administration)] > [フィード サービス(FeedService)] > [プロファイラ(Profiler)] を選択します。
                                        ステップ 2   [プロファイラ フィード サービスの有効化(Enable Profiler Feed Service)] チェックボックスをオンにします。
                                        ステップ 3   [更新レポート ページに移動(Go to Update Report Page)] をクリックして、変更設定監査レポートで設定変更を表示します。
                                        ステップ 4   [最新を元に戻す(Undo Latest)] をクリックします。
                                        ステップ 5   [保存(Save)] をクリックします。

                                        プロファイラ レポート

                                        Cisco ISE には、エンドポイント プロファイリングに関するさまざまなレポートと、ネットワークの管理に使用できるトラブルシューティング ツールが用意されています。 現在のデータに加えて履歴のレポートを生成できます。 レポートの一部をドリルダウンして詳細を表示できます。 大規模なレポートの場合、レポートをスケジュールし、さまざまな形式でダウンロードすることもできます。

                                        [操作(Operations)] > [レポート(Reports)] > [エンドポイントとユーザ(Endpoints and Users)] からエンドポイントに関する次のレポートを実行できます。

                                        • エンドポイント セッション履歴

                                        • プロファイリングされたエンドポイントの概要

                                        • エンドポイント プロファイルの変更

                                        • エンドポイントによる上位承認

                                        • 登録済みエンドポイント