Cisco Identity Services Engine 管理者ガイド リリース 1.3
クライアント プロビジョニングの設定
クライアント プロビジョニングの設定

目次

クライアント プロビジョニングの設定

Cisco ISE でのクライアント プロビジョニングの有効化

Cisco ISE クライアント プロビジョニング機能では、クライアント プロビジョニング リソースをダウンロードして、Windows および MAC OS X クライアントのエージェント プロファイルと独自のパーソナル デバイスのネイティブ サプリカント プロファイルを設定することができます。 クライアント プロビジョニング リソース ポリシーにより、クライアント デバイスにリソースをダウンロードしてインストールすることが可能になります。

クライアント プロビジョニングを有効にして、ユーザがクライアント プロビジョニング リソースをダウンロードし、エージェント プロファイルを設定できるようにします。 Windows クライアント、Mac OS X クライアント、およびパーソナル デバイスのネイティブ サプリカント プロファイルのエージェント プロファイルを設定できます。 Cisco ISE のこの機能を無効にすることを選択した場合、ネットワークにアクセスしようとするユーザは、クライアント プロビジョニング リソースをダウンロードできないことを示す警告メッセージを受信します。

はじめる前に

クライアント プロビジョニング リソースを Cisco ISE にダウンロードできる適切なリモートの場所にアクセスできるようにするには、ネットワークにプロキシが正しく設定されていることを確認する必要がある場合があります。

手順
    ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [クライアント プロビジョニング(Client Provisioning)] を選択します。
    ステップ 2   [プロビジョニングの有効化(Enable Provisioning)] ドロップダウン リストから、[有効(Enable)] または [無効(Disable)] を選択します。
    ステップ 3   [保存(Save)] をクリックします。

    次の作業

    Cisco ISE のポスチャ エージェントのクライアント プロビジョニング リソースを追加し、クライアント プロビジョニング ポリシーを設定して、ユーザがクライアント マシンにクライアント プロビジョニング リソースをダウンロードしてインストールできるようにします。

    クライアント プロビジョニング リソースのタイプ

    クライアント プロビジョニング リソースは、AnyConnect、Cisco NAC Agent、および Cisco Web Agent 向けにシスコから提供され、カスタマーが AnyConnect のリソースを作成することもできます。

    クライアント プロビジョニング リソースには次のタイプのものがあります。

    • シスコにより提供されるパッケージ:
      • AnyConnect バイナリ パッケージ
      • AnyConnect コンプライアンス モジュール
      • Windows および Mac OS X クライアント向けの Cisco Network Admission Control(NAC)Agent
      • Cisco NAC Agent コンプライアンス モジュール
      • Cisco NAC Agent カスタマイゼーション パッケージ
      • Cisco Web Agent
      • Windows および Mac OS X クライアント向けのサプリカント プロビジョニング ウィザード
    • カスタマーによって作成されるパッケージ:
      • AnyConnect カスタマイゼーション バンドル
      • AnyConnect ローカリゼーション バンドル
      • AnyConnect モジュール プロファイル

    リモート ソースからのクライアント プロビジョニング リソースの追加

    Windows クライアントおよび MAC OS x クライアント用の AnyConnect および Cisco NAC Agent、および Cisco Web Agent のために Cisco.com からクライアント プロビジョニング リソースを追加できます。 選択するリソースおよび使用できるネットワーク帯域幅によっては、Cisco ISE にクライアント プロビジョニング リソースをダウンロードするのに数秒から数分かかることがあります。

    はじめる前に
    • Cisco ISE で正しいプロキシ設定が設定されていることを確認します。
    • Cisco ISE でクライアント プロビジョニングを有効にします。
    手順
      ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)] を選択します。
      ステップ 2   [追加(Add)] > [Cisco サイトのエージェント リソース(Agent resources from Cisco site)] を選択します。
      ステップ 3   [ダウンロード リモート リソース(Download Remote Resources)] ダイアログボックスで選択可能なリストから必要なクライアント プロビジョニング リソースを 1 つ以上選択します。
      ステップ 4   [保存(Save)] をクリックします。

      次の作業

      Cisco ISE に正常にクライアント プロビジョニング リソースを追加したら、クライアント プロビジョニング リソース ポリシーの設定を開始します。

      クライアント プロビジョニング リソースの自動ダウンロード

      自動ダウンロードでは、シスコから入手できるすべてのソフトウェアが Cisco ISE にアップロードされますが、多くの項目が展開に適していない場合があります。 シスコから自動的にダウンロードせずに、可能な限り手動でリソースをアップロードすることを推奨します。

      はじめる前に

      Cisco ISE で正しいプロキシ設定を設定しており、クライアント プロビジョニング リソースを Cisco ISE にダウンロードできる適切なリモート ロケーションにアクセスできることを確認します。

      手順
        ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [クライアント プロビジョニング(Client Provisioning)] を選択します。
        ステップ 2   [自動ダウンロードの有効化(Enable Automatic Download)] ドロップダウン リストから、[有効(Enable)] を選択します。
        ステップ 3   [フィード URL の更新(Update Feed URL)] テキスト ボックスに、Cisco ISE で検索するシステム アップデートの URL を指定します。 たとえば、クライアント プロビジョニング リソースをダウンロードするデフォルトの URL は、https://www.cisco.com/web/secure/pmbu/provisioning-update.xml です。

        ネットワークで URL リダイレクション機能(プロキシ サーバ経由など)を制限しているために、デフォルトの URL へのアクセスに問題がある場合は、Cisco ISE で URL https://www.perfigo.com/ise/provisioning-update.xml を指定してください。

        ステップ 4   [保存(Save)] をクリックします。

        次の作業

        Cisco ISE に正常にクライアント プロビジョニング リソースを追加したら、クライアント プロビジョニング リソース ポリシーの設定を開始します。

        ローカル マシンからのシスコ提供のクライアント プロビジョニング リソースの追加

        シスコから以前にダウンロードしたクライアント プロビジョニング リソースがあればローカル ディスクから追加できます。
        はじめる前に

        Cisco ISE には、必ず現行のサポートされているリソースのみをアップロードしてください。 古いサポートされていないリソース(たとえば、Cisco NAC Agent の古いバージョン)を使用すると、クライアント アクセスで重大な問題が発生する場合があります。

        Cisco.com からリソース ファイルを手動でダウンロードする場合は、リリース ノートの「Cisco ISE Offline Updates」の項を参照してください。

        手順
          ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)] を選択します。
          ステップ 2   [追加(Add)] > [ローカル ディスクのエージェント リソース(Agent resources from local disk)] を選択します。
          ステップ 3   [カテゴリ(Category)] ドロップダウンから [シスコ提供パッケージ(Cisco Provided Packages)] を選択します。
          ステップ 4   [参照(Browse)] をクリックし、Cisco ISE にダウンロードするリソース ファイルがあるローカル マシン上のディレクトリに移動します。 以前に Cisco サイトからローカル マシンにダウンロードした AnyConnect、Cisco NAC Agent、および Cisco Web Agent のリソースを追加できます。
          ステップ 5   [送信(Submit)] をクリックします。

          次の作業

          Cisco ISE に正常にクライアント プロビジョニング リソースを追加したら、クライアント プロビジョニング リソース ポリシーの設定を開始します。

          ローカル マシンからの AnyConnect 用の顧客作成リソースの追加

          AnyConnect カスタマイズ パッケージ、AnyConnect ローカリゼーション パッケージ、AnyConnect プロファイルなどの顧客作成リソースをローカル マシンから Cisco ISE に追加します。

          はじめる前に

          AnyConnect の顧客作成リソースがローカル ディスクに zip 形式のファイルで使用可能であることを確認します。

          手順
            ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client provisioning)] > [リソース(Resources)] を選択します。
            ステップ 2   [追加(Add)] をクリックします。
            ステップ 3   [ローカル ディスクのエージェント リソース(Agent Resources from local disk)] を選択します。
            ステップ 4   [カテゴリ(Category)] ドロップダウンから [顧客作成のパッケージ(Customer Created Packages)] を選択します。
            ステップ 5   AnyConnect リソースの名前と説明を入力します。
            ステップ 6   [参照(Browse)] をクリックし、Cisco ISE にダウンロードするリソース ファイルがあるローカル マシン上のディレクトリに移動します。
            ステップ 7   Cisco ISE にアップロードする次の AnyConnect リソースを選択します。
            • AnyConnect カスタマイゼーション バンドル
            • AnyConnect ローカリゼーション バンドル
            • AnyConnect プロファイル
            ステップ 8   [送信(Submit)] をクリックします。 [アップロードされた AnyConnect リソース(Uploaded AnyConnect Resources)] 表に、Cisco ISE に追加する AnyConnect リソースが表示されます。

            次の作業

            AnyConnect エージェント プロファイルの作成

            パーソナル デバイス登録動作の設定

            この機能を使用して、Cisco ISE がネイティブ サプリカント プロビジョニング ウィザードをインストールできないパーソナル デバイスを介したユーザ ログイン セッションを Cisco ISE が処理する方法を指定します(Research In Motion の Blackberry デバイスなど)。

            手順
              ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [クライアント プロビジョニング(Client Provisioning)] を選択します。
              ステップ 2   [ネイティブ サプリカント プロビジョニング ポリシーを使用できない(Native Supplicant Provisioning Policy Unavailable)] ドロップダウン リストから、次の 2 つのオプションのいずれか 1 つを選択します。
              1. [ネットワーク アクセスの許可(Allow Network Access)]:ユーザは、ネイティブ サプリカント ウィザードをインストールおよび起動せずに、デバイスをネットワークに登録することを許可されます。
              2. [定義済みの許可ポリシーの適用(Apply Defined Authorization Policy)]:ユーザは、標準認証および(ネイティブ サプリカント プロビジョニング プロセスではない)許可ポリシーを適用して Cisco ISE ネットワークへのアクセスを試みる必要があります。 このオプションを有効にすると、ユーザ デバイスに対して、ユーザの ID に適用されたすべてのクライアント プロビジョニング ポリシーに従った標準登録が行われます。 Cisco ISE ネットワークにアクセスするためにユーザのデバイスが証明書を必要とする場合は、第 15 章の「End_User Web ポータルのセットアップとカスタマイズ」の「カスタム言語テンプレートの追加」の項の説明に従って、カスタマイズ可能なユーザ提示テキスト フィールドを使用して有効な証明書を取得して適用する方法もユーザに詳細に指示する必要があります。
              ステップ 3   [保存(Save)] をクリックします。

              次の作業

              「複数ゲスト ポータルのサポート」の項の説明に従って、従業員が自分のパーソナル デバイスをネットワークに直接接続できるようにセルフ プロビジョニング機能を有効にします。

              ネイティブ サプリカント プロファイルの作成

              ネイティブ サプリカント プロファイルを作成して、ユーザが独自のデバイスを Cisco ISE ネットワークに含めることができます。 ユーザがログインするとき、そのユーザの許可要件と関連付けるプロファイルに基づいて、Cisco ISE は、ユーザのパーソナル デバイスを設定するために必要なサプリカント プロビジョニング ウィザードを提供して、ネットワークにアクセスします。

              はじめる前に
              • リモート デバイス登録に TLS デバイス プロトコルを使用しようとしている場合、少なくとも 1 つの Simple Certificate Enrollment Protocol(SCEP)プロファイルを設定してください。

              • TCP ポート 8909 および UDP ポート 8909 を開き、Cisco NAC Agent、Cisco NAC Web Agent、およびサプリカント プロビジョニング ウィザードのインストールを有効にしてください。 ポートの使用法の詳細については、『Cisco Identity Services Engine Hardware Installation Guide, Release 1.3』の付録「Cisco ISE Appliance Ports Reference」を参照してください。

              手順
                ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)] を選択します。
                ステップ 2   [追加(Add)] > [ネイティブ サプリカント プロファイル(Native Supplicant Profile)] を選択します。
                ステップ 3   エージェント プロファイルの [名前(Name)] を指定します。
                ステップ 4   (任意)[ネイティブ サプリカント プロファイル(Native Supplicant Profile)] の説明を [説明(Description)] に入力します。
                ステップ 5   このプロファイルの [オペレーティング システム(Operating System)] を選択します。
                ステップ 6   このプロファイルの有線または無線の接続タイプ(あるいは両方)に適切なオプションを有効にします。 無線接続オプションを有効にした場合は、デバイス SSID と無線セキュリティ タイプ(WPA2 Enterprise または WPA Enterprise のどちらか)も指定するようにします。
                ステップ 7   デバイス プロファイルの [許可されるプロトコル(Allowed Protocol)] を選択します。
                ステップ 8   このプロファイルに対して他の [任意の設定(Optional Settings)] を適切に有効または無効にします。
                ステップ 9   [送信(Submit)] をクリックします。

                次の作業

                「複数ゲスト ポータルのサポート」の項の説明に従って、従業員が自分のパーソナル デバイスをネットワークに直接接続できるようにセルフ プロビジョニング機能を有効にします。

                AnyConnect 設定の作成

                AnyConnect 設定には、AnyConnect ソフトウェアおよび関連するコンフィギュレーション ファイルが含まれます。 この設定は、ユーザがクライアントで AnyConnect リソースをダウンロードしてインストールできるクライアント プロビジョニング ポリシーで使用できます。 AnyConnect を展開するために ISE および ASA を使用した場合、設定は両方のヘッドエンドで一致する必要があります。

                はじめる前に

                AnyConnect 設定オブジェクトを設定する前に AnyConnect パッケージ、コンプライアンス モジュール、プロファイル、およびオプションのカスタマイゼーション バンドルとローカリゼーション バンドルをアップロードする必要があります。

                手順
                  ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョン(Client Provision)] > [リソース(Resources)] を選択します。
                  ステップ 2   [追加(Add)] をクリックして、AnyConnect 設定を作成します。
                  ステップ 3   [AnyConnect 設定(AnyConnect Configuration)] を選択します。
                  ステップ 4   以前にアップロードした AnyConnect パッケージを選択します。 たとえば、AnyConnectDesktopWindows xxx.x.xxxxx.x を選択します。
                  ステップ 5   現在の AnyConnect 設定の名前を入力します。 たとえば、AC Config xxx.x.xxxxx.x とします。
                  ステップ 6   以前にアップロードしたコンプライアンス モジュールを選択します。 たとえば、AnyConnectComplianceModulewindows x.x.xxxx.x を選択します。
                  ステップ 7   1 つ以上の AnyConnect モジュールのチェックボックスをオンにします。 たとえば、ISE ポスチャ、VPN、ネットワーク アクセス マネージャ、Web セキュリティ、ASA ポスチャ、Start Before Logon、Diagnostic and Reporting Tool の中から、1 つ以上のモジュールを選択します。
                  (注)      [AnyConnect モジュール選択(AnyConnect Module Selection)] で VPN モジュールをオフにしても、プロビジョニングされたクライアントの VPN タイルは無効になりません。 AnyConnect GUI の VPN タイルを無効にするには、VPNDisable_ServiceProfile.xml を設定する必要があります。 VPNDisable_ServiceProfile.xml は他の AnyConnect ファイルを含む CCO にあります。
                  ステップ 8   選択した AnyConnect モジュール用の AnyConnect プロファイルを選択します。 たとえば、ISE ポスチャ、VPN、NAM および Web セキュリティを選択します。
                  ステップ 9   AnyConnect カスタマイズ バンドルおよびローカリゼーション バンドルを選択します。
                  ステップ 10   [送信(Submit)] をクリックします。

                  AnyConnect と Cisco NAC のエージェント プロファイルの作成

                  AnyConnect や NAC ポスチャのエージェント プロファイルを作成するには、次の手順を実行します。このプロファイルでは、エージェントの動作を定義するパラメータ、クライアント IP アドレスをリフレッシュするかどうかに関連するパラメータ、およびポスチャ プロトコルのパラメータを指定できます。

                  手順
                    ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)] を選択します。
                    ステップ 2   [追加(Add)] をクリックします。
                    ステップ 3   [NAC AnyConnect エージェント ポスチャ プロファイル(NAC AnyConnect Agent Posture Profile)] を選択します。
                    ステップ 4   [AnyConnect] または [NAC Agent] を選択します。
                    ステップ 5   次のパラメータを設定します。
                    • Cisco ISE ポスチャ エージェントの動作
                    • クライアント IP アドレスの変更
                    • Cisco ISE ポスチャ プロトコル
                    ステップ 6   [送信(Submit)] をクリックします。

                    エージェント プロファイル設定のガイドライン

                    シスコは、エージェント プロファイルを設定して、修復タイマー、ネットワーク遷移遅延タイマー、およびクライアント マシン上でログイン成功画面を自動的に閉じるために使用するタイマー制御し、これらの設定がポリシーベースになるようにすることを推奨します。 ただし、クライアント プロビジョニング ポリシーと一致するように設定されたエージェント プロファイルがない場合、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] > [全般設定(General Settings)] の設定を使用して、同じ目的を達成できます。

                    ポリシー適用または他の方法でクライアント デバイスにエージェント プロファイルを設定してアップロードすると、そのエージェント プロファイルはクライアント上で維持され、他の何かに変更するまで、ログインおよび操作の動作に影響を及ぼします。 したがって、エージェント プロファイルを Cisco ISE から削除しても、以前影響を受けたクライアントからその動作はなくなりません。 ログインおよび操作の動作を変更するには、クライアント上の、既存のエージェント プロファイル パラメータの値を上書きする新しいエージェント プロファイルを定義し、これをポリシー適用によってアップロードする必要があります。

                    クライアントにあるものと異なるエージェント プロファイルが Cisco ISE にある場合(MD5 チェックサムを使用して判定)、Cisco ISE は、新しいエージェント プロファイルをクライアントにダウンロードします。 Cisco ISE から送信されるエージェント カスタマイズ ファイルが異なる場合にも、Cisco ISE は新しいエージェント カスタマイズ ファイルをクライアントにダウンロードします。

                    エージェントの動作の設定

                    次の表に、ポスチャ エージェント(AnyConnect および Cisco NAC Agent)のパラメータを設定できる [NAC または AnyConnect のポスチャ プロファイル(NAC or AnyConnect Posture Profile)] ページのフィールドを示します。 このページへのナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)] > [追加(Add)] > [NAC または AnyConnect のポスチャ プロファイル(NAC or AnyConnect Posture Profile)] です。

                    フィールド

                    デフォルト値

                    モード(Cisco ISE NAC Agent にのみ該当)

                    使用上のガイドライン

                    エージェントの終了の無効化。(Disable Agent Exit.) (Mac OS X クライアントには適用できません)

                    いいえ(No)

                    マージ

                    値を [はい(Yes)] に設定すると、ユーザはエージェントをシステム トレイ経由で終了できません。

                    アクセシビリティ モードの有効化(Enable Accessibility Mode)(Mac OS X クライアントには適用できません)

                    [いいえ(No)]:エージェントは Job Access with Speech(JAWS)と相互作用しません

                    マージ

                    値を [はい(Yes)] に設定すると、JAWS 画面リーダーと互換性を持ちます。

                    この機能を有効にすると、パフォーマンスがわずかながら影響を受ける可能性があります。 JAWS 画面リーダーがインストールされていないクライアント マシンでこの機能を有効にしても、エージェントは正常に機能します。

                    署名チェックの有効化(Enable signature check)(Mac OS X クライアントには適用できません)

                    いいえ(No)

                    上書き

                    値を [はい(Yes)] に設定すると、修復プログラムを起動する前に Windows は実行ファイルのデジタル署名をチェックできます。

                    概要画面のバイパス(Bypass Summary Screen)(Mac OS X クライアントには適用できません)

                    はい(Yes)

                    マージ

                    ロケール(Locale)(Mac OS X クライアントには適用できません)

                    デフォルト(Default)

                    マージ

                    デフォルト設定では、エージェントはクライアント オペレーティング システムからロケール設定を使用できます。

                    この設定が、サポートされている言語の ID、略称、または正式名称の場合、エージェントは自動的に、クライアント マシンのエージェント ダイアログをローカライズされたテキストで表示します。

                    ポスチャ レポート フィルタ(Posture report filter)(Mac OS X クライアントには適用できません)

                    表示が失敗しました(Display Failed)

                    マージ

                    値を [表示が失敗しました(Display Failed)] に設定した場合、ユーザがエージェント ダイアログの [詳細の表示(Show Details)] をクリックすると、クライアント ポスチャ評価レポートに修復エラーのみが表示されます。

                    値を [すべて表示(Display All)] に設定した場合、ユーザがエージェント ダイアログの [詳細の表示(Show Details)] をクリックすると、クライアント ポスチャ評価レポートにすべての結果が表示されます。

                    修復タイマー(Remediation timer)

                    4

                    上書き

                    この設定では、クライアント マシンで失敗したポスチャ評価チェックを修復する時間を指定します。この分数を経過すると、ログイン プロセスを再び実行する必要があります。 有効な範囲は 1 ~ 300 分です。

                    ネットワーク遷移遅延(Network Transition Delay)

                    3

                    上書き

                    この設定では、ネットワーク遷移(IP アドレスの変更)を待機する時間を指定します。これが経過すると、修復タイマーのカウントダウンが開始されます。 有効な範囲は 2 ~ 30 秒です。

                    ログ ファイル サイズ(Log file size)

                    5

                    マージ

                    この設定では、クライアント マシン上のエージェント ログ ファイルのファイル サイズ(メガバイト単位)を指定します。

                    ログ ファイル サイズがゼロに設定されている場合、エージェントは、クライアント マシン上のユーザ セッションに関するログインまたは操作情報を記録しません。

                    ログ ファイル サイズがゼロ以外の場合、エージェント レコードは指定されたメガバイト数までログインおよびセッション情報を記録します。

                    自動クローズの有効化。(Enable Auto Close.) (AnyConnect には適用されません)

                    いいえ(No)

                    上書き

                    この設定が [はい(Yes)] の場合、エージェント ログイン ダイアログをユーザ認証後に自動的に閉じることができます。

                    自動クローズ タイマー(Auto close timer)(AnyConnect には該当しません)

                    0

                    上書き

                    この設定では、エージェント ログイン画面は指定された時間待機して、ユーザ認証後に自動的に閉じることができます。 有効な範囲は、0 ~ 30 秒です。


                    (注)  


                    パラメータ値を既存のエージェント プロファイルの設定でマージするか、Windows および Mac OS X クライアントのエージェント動作を適切に設定するために上書きします。

                    (注)  


                    エージェント ログ ファイルは、クライアント マシンのディレクトリに保存されます。 1 回目のログイン セッションの後、2 つのファイルがディレクトリ内に置かれます。1 つは前回のログイン セッションからのバックアップ ファイルで、もう 1 つは現在のセッションのログインおよび操作の情報を含む新しいファイルです。 現在のセッションのログ ファイルが大きくなり、指定されたファイル サイズを超えると、エージェントのログインおよび操作情報の最初のセグメントが自動的にディレクトリ内のバックアップ ファイルになります。 引き続き、エージェントによって、現在のセッション ファイルに最新のエントリが記録されます。

                    サポートされる言語

                    表 1 サポートされる言語

                    言語

                    ID

                    略称

                    正式名称

                    英語版 US

                    1033

                    en

                    英語

                    カタロニア語

                    1027

                    ca

                    カタロニア語(スペイン)

                    簡体字中国語

                    2052

                    zh_cn

                    中国語(簡体字)

                    繁体字中国語

                    1028

                    zh_tw

                    中国語(繁体字)

                    チェコ語

                    1029

                    cs

                    チェコ語

                    デンマーク語

                    1030

                    da

                    デンマーク語

                    オランダ語

                    1043

                    nl

                    オランダ語(標準)

                    フィンランド語

                    1035

                    fi

                    フィンランド語

                    フランス語

                    1036

                    fr

                    フランス語

                    フランス語(カナダ)

                    3084

                    fr-ca

                    French-Canadian

                    ドイツ語

                    1031

                    de

                    ドイツ語

                    ハンガリー語

                    1038

                    hu

                    ハンガリー語

                    イタリア語

                    1040

                    it

                    イタリア語

                    日本語

                    1041

                    ja

                    日本語

                    韓国語

                    1042

                    ko

                    韓国語

                    ノルウェー語

                    1044

                    no

                    ノルウェー語

                    ポーランド語

                    1045

                    pl

                    ポーランド語

                    ポルトガル語

                    2070

                    pt

                    ポルトガル語

                    ロシア語

                    1049

                    ru

                    ロシア語

                    セルビア語(ラテン)

                    2074

                    sr

                    セルビア語(ラテン)

                    セルビア語(キリル)

                    3098

                    src

                    セルビア語(キリル)

                    スペイン語

                    1034

                    es

                    スペイン語(従来型)

                    スウェーデン語

                    1053

                    sv

                    スウェーデン語

                    トルコ語

                    1055

                    tr

                    トルコ語

                    クライアント IP アドレスのリフレッシュ設定

                    次の表に、VLAN の変更後に IP アドレスをリフレッシュするようにクライアントのパラメータを設定できる [NAC AnyConnect ポスチャ プロファイル(NAC AnyConnect Posture Profile)] ページのフィールドを示します。 このページへのナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)] > [追加(Add)] > [NAC または AnyConnect ポスチャ プロファイル(NAC or AnyConnect Posture Profile)] です。

                    フィールド

                    デフォルト値

                    モード(Cisco NAC Agent にのみ該当)

                    使用上のガイドライン

                    VLAN 検出間隔(VLAN detection interval)

                    0、5

                    マージ

                    この設定は、エージェントが VLAN 変更をチェックする間隔です。

                    Windows NAC エージェントの場合、デフォルト値は 0 です。 デフォルトでは、認証 VLAN 変更機能へのアクセスは Windows に対して無効にされます。 有効な範囲は、0 ~ 5 秒です。

                    Mac OS X エージェントの場合、デフォルト値は 5 です。 Mac OS X のデフォルトでは、認証 VLAN 変更機能へのアクセスは、VlanDetectInteval を 5 秒として有効になっています。 有効な範囲は 5 ~ 900 秒です。

                    0:認証 VLAN 変更機能へのアクセスは無効化されます。

                    1 ~ 5:エージェントはインターネット制御メッセージ プロトコル(ICMP)またはアドレス解決プロトコル(ARP)クエリーを 5 秒ごとに送信します。

                    6 ~ 900:ICMP/ARP クエリーが x 秒ごとに送信されます。

                    UI なしの VLAN 検出の有効化(Enable VLAN detection without UI)(Mac OS X クライアントには適用できません)

                    No

                    マージ

                    この設定は、ユーザがログインしていないときでも VLAN 検出を有効または無効にします。

                    No:VLAN 検出機能は無効です。

                    Yes:VLAN 検出機能が有効です。

                    再試行検出数(Retry detection count)

                    3

                    マージ

                    インターネット制御メッセージ プロトコル(ICMP)またはアドレス解決プロトコル(ARP)ポーリングが失敗する場合、この設定で、クライアント IP アドレスをリフレッシュする前に x 回再試行するようにエージェントを設定します。

                    Ping または ARP(Ping or ARP)

                    0

                    有効な範囲は 0 ~ 2 です。

                    マージ

                    この設定は、クライアント IP アドレスの変更を検出するために使用する方式を指定します。

                    0:ICMP を使用してポーリング

                    1:ARP を使用してポーリング

                    2:最初に ICMP を使用し、(ICMP が失敗した場合は)ARP を使用してポーリング

                    ping の最大タイムアウト(Maximum timeout for ping)

                    1

                    有効な範囲は 1 ~ 10 秒です。

                    マージ

                    ICMP を使用してポーリングし、指定した時間内に応答がない場合は、ICMP ポーリングの失敗を宣言します。

                    エージェント IP のリフレッシュの有効化(Enable agent IP refresh)

                    Yes(デフォルト)

                    上書き

                    この設定は、スイッチ(または WLC)が各スイッチ ポートでクライアントのログイン セッション用 VLAN を変更した後にクライアント マシンが IP アドレスをリフレッシュするかどうかを指定します。

                    DHCP 更新遅延(DHCP renew delay)

                    0

                    有効な範囲は 0 ~ 60 秒です。

                    上書き

                    この設定は、ネットワーク DHCP サーバからの新しい IP アドレスの要求を試行する前に、クライアント マシンが待機するように指定します。

                    DHCP リリース遅延(DHCP release delay)

                    0

                    有効な範囲は 0 ~ 60 秒です。

                    上書き

                    この設定は、現在の IP アドレスをリリースする前にクライアント マシンが待機するように指定します。


                    (注)  


                    パラメータ値は、既存のエージェント プロファイル設定とマージするか、または上書きして、Windows および Mac OS X クライアントで適切に IP アドレスがリフレッシュされるように設定します。

                    ポスチャ プロトコル設定

                    次の表では、ポスチャ プロトコル設定を設定できる [NAC AnyConnect プロファイル(NAC AnyConnect Profile)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)] > [追加(Add)] > [NAC AnyConnect ポスチャ プロファイル(NAC AnyConnect Posture Profile)] です。

                    フィールド

                    モード

                    使用上のガイドライン

                    CRL チェックの許可(Allow CRL Checks)(Mac OS X クライアントからは不可)

                    Yes

                    上書き

                    値が No に設定されている場合、検出およびネゴシエーション時の証明書失効リスト(CRL)のチェックがオフになります。

                    MAC アドレス例外リスト(MAC Address Exemption List)(Mac OS X クライアントからは不可)

                    カンマで区切った MAC アドレスを入力します。 たとえば、AA:BB:CC:DD:EE:FF、11:22:33:44:55:66

                    マージ

                    この設定で 1 つまたは複数の MAC アドレスを指定すると、エージェントは、ログインと認証の間、ネットワーク経由で不要な MAC アドレスが送信されることを防ぐために、これらの MAC アドレスを Cisco ISE にアドバタイズしません。

                    Discovery Host(Mac OS X クライアントからは不可)

                    IP アドレスまたは完全修飾ドメイン名(FQDN)を入力します。

                    上書き

                    この設定では、レイヤ 3 展開で Cisco ISE に接続するためにエージェントが使用する Discovery Host のアドレスまたは解決可能なドメイン名を指定します。

                    Discovery Host の有効化(Enable Discovery Host)(Mac OS X クライアントからは不可)

                    Yes

                    上書き

                    Yes:ユーザが [エージェントのプロパティ(agent Properties)] ダイアログボックスの [ホストの検索(Discovery Host)] フィールドにカスタム値を指定できます。

                    No:ユーザがクライアント マシンの [ホストの検索(Discovery Host)] フィールドの値を変更できません。

                    サーバ名ルール(Server Name Rules)

                    Cisco ISE サーバの完全修飾ドメイン名(FQDN)をカンマで区切って入力します。

                    マージ

                    このフィールドは、関連する Cisco ISE サーバのカンマ区切り名から構成されます。 エージェントは、このリストの名前を使用して、Cisco ISE アクセス ポイントを許可します。 このリストが空の場合、許可は実行されません。 いずれの名前も見つからない場合、エラーが報告されます。

                    自動生成 MAC アドレス(Auto-generated MAC Address)(Mac OS X クライアントからは不可)

                    マージ

                    この設定は、クライアント マシンで Evolution-Data Optimized 接続をサポートします。 クライアント マシンにアクティブなネットワーク インターフェイス カードがない場合、エージェントはシステム上にダミーの MAC アドレスを作成します。

                    SWISS タイムアウト(SWISS Timeout)(Mac OS X クライアントからは不可)

                    1:エージェントは、設計どおりに SWISS 検出を実行し、追加の UDP 応答パケット遅延タイムアウト値は使用されません。

                    マージ

                    値を 1 よりも大きく設定すると、エージェントは Cisco ISE からの SWISS UDP 検出応答パケットを追加の秒数だけ待機してから、別の検出パケットを送信します。 エージェントは、このアクションを実行して、ネットワーク遅延による応答パケットの遅延が発生していないことを確認します。 (SWISS タイムアウトは UDP SWISS タイムアウトの場合のみ)

                    L3 SWISS 遅延の無効化(Disable L3 SWISS delay)(Mac OS X クライアントからは不可)

                    No

                    マージ

                    この設定が Yes の場合、エージェントはレイヤ 3 検出パケットの送信間隔を長くする機能を無効にします。 したがって、レイヤ 3 検出パケットはレイヤ 2 パケットと同様に、5 秒ごとに送信され続けます。

                    HTTP 検出タイムアウト(HTTP Discovery Timeout)(Mac OS X クライアントからは不可)

                    30(Windows クライアントのデフォルト)

                    有効な範囲は 3 秒以上です。

                    マージ

                    この設定は、エージェントからの HTTPS 検出が Cisco ISE からの検出応答を待機する HTTP 検出タイムアウトを指定します。 指定された時間内に応答がないと、検出プロセスはタイムアウトになります。

                    値が 0 に設定されている場合、デフォルトのクライアント マシンのオペレーティング システムのタイムアウト設定が使用されます。

                    値が 1 または 2 に設定されている場合、値は自動的に 3 に設定されます。

                    HTTP タイムアウト(HTTP Timeout)(Mac OS X クライアントからは不可)

                    120(Windows クライアントのデフォルト)

                    有効な範囲は 3 秒以上です。

                    マージ

                    この設定は、エージェントからの HTTP 要求が応答を待機する HTTP タイムアウトを指定します。 指定時間内に応答がない場合は、要求時間と検出プロセス時間は期限切れになります。

                    値が 0 に設定されている場合、デフォルトのクライアント マシンのオペレーティング システムのタイムアウト設定が使用されます。

                    値が 1 または 2 に設定されている場合、値は自動的に 3 に設定されます。

                    クライアント ログイン セッションの基準

                    Cisco ISE では、内部ネットワークにユーザがアクセスするときに使用するログイン セッションのタイプを分類する場合に、次のようなさまざまな要素を調べます。

                    • クライアント マシンのオペレーティング システムおよびバージョン

                    • クライアント マシンのブラウザ タイプおよびバージョン

                    • ユーザが属するグループ

                    • (適用したディクショナリ属性に基づく)条件評価結果

                    Cisco ISE は、クライアント マシンを分類した後、クライアント プロビジョニング リソース ポリシーを使用して、適切なエージェント バージョン、アンチウイルスとアンチスパイウェアのベンダー サポートに対する最新のコンプライアンス モジュール、および(必要に応じて)正しいエージェント カスタマイズ パッケージとプロファイルで、クライアント マシンが設定されていることを確認します。

                    クライアント マシン上のエージェントのダウンロードの問題

                    問題

                    ユーザの認証と許可の後、クライアント マシン ブラウザに「ポリシーが一致しません(no policy matched)」のエラー メッセージが表示されます。 この問題は、認証のクライアント プロビジョニング フェーズ中のユーザ セッションに該当します。

                    考えられる原因

                    クライアント プロビジョニング ポリシーに必要な設定が欠落している可能性があります。

                    ポスチャ エージェントのダウンロードの問題

                    ポスチャ エージェントのインストーラをダウンロードするには、次のものが必要があることに注意してください。

                    • エージェントを初めてクライアント マシンにインストールする場合、ユーザはブラウザ セッションで ActiveX インストーラを許可する必要があります (クライアント プロビジョニング ダウンロード ページでは、この情報の指定を求められます)。

                    • クライアント マシンには、インターネット アクセスが必要です。

                    解決策

                    • クライアント プロビジョニング ポリシーが Cisco ISE に存在することを確認します。 存在する場合は、ポリシー内に定義されているポリシー ID グループ、条件およびエージェントのタイプを確認します (また、すべてのデフォルト値のプロファイルも含め、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)] > [追加(Add)] > [NAC または AnyConnect ポスチャ プロファイル(NAC or AnyConnect Posture Profile)] で設定されたエージェント プロファイルが存在するかどうかについても確認します)。

                    • アクセス スイッチのポートをバウンスすることにより、クライアント マシンの再認証を試行します。

                    Cisco NAC Agent MSI インストーラを使用したクライアント マシンのプロビジョニング

                    ネットワークとの一致に必要な適切なエージェント プロファイル情報を含むエージェント設定 XML ファイル(NACAgentCFG.xml という名前)とともに、MSI インストーラをディレクトリに、または MSI インストーラの zip バージョンをクライアント マシン上に置くことができます。

                    手順
                      ステップ 1   nacagentsetup-win.msi または nacagentsetup-win.zip インストーラ ファイルをシスコのソフトウェア ダウンロード サイト(http://software.cisco.com/download/navigator.html)からダウンロードし、[セキュリティ(Security)] > [アクセス制御とポリシー(Access Control and Policy)] > [Cisco Identityt Services Engine] > [Cisco Identity Services Engine ソフトウェア(Cisco Identity Services Engine Software)] > [リリース 1.x(Release 1.x)] に移動します。
                      ステップ 2   nacagentsetup-win.msi ファイルをクライアント マシン上の特定のディレクトリに置きます(たとえば、C:\temp\nacagentsetup-win.msi)。
                      • MSI インストーラを直接クライアントにコピーする場合は、クライアント マシンから Cisco NAC Agent をインストールする際のインストール元となるディレクトリに、nacagentsetup-win.msi ファイルを置きます。
                      • nacagentsetup-win.zip インストーラを使用する場合は、クライアント マシンから Cisco NAC Agent をインストールする際のインストール元となるディレクトリに、zip ファイルの内容を抽出します。
                      ステップ 3   Agent 設定 XML ファイルを、Cisco NAC Agent MSI パッケージと同じディレクトリに置きます。

                      Cisco ISE に接続しない場合は、すでに正常にプロビジョニングされたクライアントから NACAgentCFG.xml ファイルをコピーできます。 ファイルは、C:\Program Files\Cisco\Cisco NAC Agent\NACAgentCFG.xml にあります。

                      Agent 設定 XML ファイルが MSI インストーラ パッケージと同じディレクトリに存在していれば、インストール プロセスによって Agent 設定 XML ファイルは自動的に適切な Cisco NAC Agent アプリケーション ディレクトリに置かれるため、エージェントは最初に起動されたとき、正しいレイヤ 3 ネットワーク上の場所をポイントすることができます。

                      ステップ 4   クライアント マシンでコマンド プロンプトを開き、次のように入力してインストールを実行します。
                      msiexec.exe /i NACAgentSetup-win.msi /qn /l*v c:\temp\agent-install.log

                      (/qn 修飾子は、Cisco NAC Agent を完全にサイレントでインストールします。 /l*v は、インストール セッションを冗長モードで記録します。)

                      NAC Agent をアンインストールするには、次のコマンドを実行します。
                      msiexec /x NACAgentSetup-win-<version>.msi /qn
                      MSI を使用してエージェントの新しいバージョンをインストールする場合、古いバージョンがアンインストールされ、上記のコマンドを使用して新しいバージョンがインストールされます。
                      ステップ 5   Altiris/SMS を使用して MSI インストーラを分散する場合は、エージェントのカスタマイゼーション ファイルを「%TEMP%/CCAA」ディレクトリの「brand」という名前のサブディレクトリに置きます。 Cisco NAC Agent がクライアントにインストールされるとき、このカスタマイズは Agent に適用されます。 カスタマイズを削除するには、カスタマイズ ファイルなしの MSI を送信します。

                      Cisco ISE ポスチャ エージェント

                      エージェントとは、Cisco ISE ネットワークにログインしているクライアント マシンに存在するアプリケーションです。 クライアントがネットワークにログインしていない場合でも、エージェントは永続的にすることができ(AnyConnect、Cisco NAC Agent for Windows および Cisco NAC Agent for Mac OS X と同様)、インストール後もクライアント マシンに残ります。 エージェントは一時的にすることもでき(Cisco NAC Web Agent と同様)、ログイン セッション終了後にクライアント マシンから削除されます。 いずれの場合も、エージェントはネットワークにログインし、適切なアクセス プロファイルを受け取り、クライアント マシンでポスチャ評価を実行してネットワークのコアにアクセスする前にネットワーク セキュリティ ガイドラインに従うようにします。


                      (注)  


                      現在 Cisco NAC Agent および Cisco NAC Web Agent は、クライアント プロビジョニング ポータルおよびネイティブ サプリカント プロビジョニングをサポートします。 Cisco NAC Web Agent は、中央 Web 認証フロー(CWA)をサポートしていますが、Cisco NAC Agent は CWA をサポートしません。


                      ポスチャ エージェントの検出要求と Cisco ISE 応答

                      Cisco ISE は、Windows および Mac OS x クライアントでの AnyConnect とレガシー Cisco ISE NAC エージェントの共存をサポートします。 エージェントは、クライアント上のネットワークに変更があった場合にのみ、ポスチャ検出プローブを開始します。 Cisco ISE はクライアント プロビジョニング ポリシーに基づいて、クライアントのポスチャ検出プローブに応答し、対応するエージェントが検出応答を取得します。このエージェントが唯一のアクティブ エージェントになります。

                      Cisco ISE では、クライアント プロビジョニング ポリシーに基づいて、次のようにエージェント ポスチャ検出プローブへの応答が異なります。

                      • エンドポイントがレガシー エージェント(Windows および Mac OS x 用の Cisco ISE NAC エージェント)を使用するように設定されている場合、エージェントは検出応答と既存の形式の文字列「X-perfigo-CAS=FQDN」を受信します。 レガシー エージェント用の検出応答が受信された場合、AnyConnect は検出を停止します。

                      • エンドポイントが AnyConnect を使用するように設定されている場合、Cisco ISE は別の形式で応答します。 これは、Cisco ISE ポリシー サービス ノードの FQDN および AnyConnect 設定 URL になり、AnyConnect パッケージの場所およびバージョンはクライアント プロビジョニング ポリシーに基づきます。 AnyConnect 用の応答が受信された場合、レガシー エージェントは検出を停止します。

                      Web Agent ポスチャの検出要求と Cisco ISE 応答

                      Web Agent は、プローブを検出しません。 Web Agent を使用するようにエンドポイントが設定されている場合、Cisco ISE は X-ISE-PDP-WEBAGENT=FQDN の形式を使用して応答します。 Web Agent を使用するようにクライアント プロビジョニング ポリシーが設定されている場合、Web Agent 検出応答はクライアントの Cisco NAC Agent を呼び出すために使用されます。

                      エージェントが「一時的なアクセス」を表示する

                      問題

                      管理者とユーザはフル ネットワーク アクセスを想定していますが、ログインと認証の後にクライアント マシンにネットワークへの「一時的なアクセス」が付与されます。

                      考えられる原因

                      この問題は、エージェントを使用して接続するクライアント マシンのログイン セッションで発生します。

                      クライアントで Cisco NAC Agent が動作しているときに、次の状態で問題が発生する可能性があります。

                      • クライアント マシンのインターフェイスがダウンした場合

                      • セッションが終了した場合

                      解決策

                      ユーザは、ネットワーク接続を確認して再度ログインを試行し(またポスチャ評価を通過し)、接続の再構築を試みる必要があります。

                      エージェントがポスチャ評価の開始に失敗する

                      問題

                      ユーザに対して「Clean Access Server が使用できません(Clean access server not available)」というメッセージが表示されます。 この問題は、Cisco ISE からのすべてのエージェント認証セッションに適用されます。

                      考えられる原因

                      このエラーは、セッションが終了していること、またはネットワーク上で Cisco ISE が到達不可能となったことのいずれかを意味する場合があります。

                      解決策

                      • ユーザは、ネットワークに再度ログインを試みることができます。

                      • ユーザは、デフォルト ゲートウェイや RADIUS サーバ IP アドレス、またはネットワーク管理者によって提供された FQDN の ping を試みることができます。

                      • 管理者は、ユーザのネットワーク アクセス属性(割り当てられた VLAN、ACL、ルーティング、クライアントでの nslookup コマンドの実行、クライアント マシン DNS 接続など)を確認できます。

                      AnyConnect

                      Cisco ISE は、Cisco ISE ポスチャ要件の AnyConnect で統合モジュールを使用します。 AnyConnect は、同じエンドポイントの Cisco ISE NAC Agent と共存するポスチャ エージェントです。 Cisco ISE のクライアント プロビジョニング ポリシー設定に基づいて、一度に 1 つのエージェントのみをアクティブにします。

                      AnyConnect エージェントとの統合に Cisco ISE を利用するために、Cisco ISE は次のように動作します。

                      • AnyConnect のバージョン 4.0 および以降のリリースを展開するためのステージング サーバとして機能します

                      • Cisco ISE ポスチャ要件の AnyConnect ポスチャ コンポーネントと相互作用します

                      • AnyConnect プロファイル、カスタマイズ/言語パッケージ、および Windows と Mac OS X の各オペレーティング システムの OPSWAT のライブラリ更新の展開をサポートします

                      • AnyConnect およびレガシー エージェントを同時にサポートします

                      Cisco NAC Agent XML ファイルのインストール ディレクトリ

                      Cisco NAC Agent がデフォルトの場所にインストールされているシステムでは、.xml ファイルは次のディレクトリにあります。

                      • nac_login.xml ファイルは「C:\Program Files\Cisco\Cisco NAC Agent\UI\nac_divs\login」ディレクトリにあります。

                      • nacStrings_xx.xml ファイルで、「xx」はロケールを示します。 ファイルの全リストは「C:\Program Files\Cisco\Cisco NAC Agent\UI\cues_utility」ディレクトリにあります。

                      エージェントが別の場所にインストールされている場合には、ファイルは「<Agent Installed path>\Cisco\Cisco NAC Agent\UI\nac_divs\login」および「<Agent Installed path>\Cisco\Cisco NAC Agent\cues_utility」にあります。

                      Windows クライアント用 Cisco NAC Agent

                      Cisco NAC Agent には、クライアント マシンに対して、ポスチャ評価および修復を行う機能があります。

                      ユーザは Cisco NAC Agent(読み取り専用クライアント ソフトウェア)をダウンロードしてインストールし、ホストのレジストリ、プロセス、アプリケーション、およびサービスをチェックすることができます。 Cisco NAC Agent を使用すると、Windows の更新またはアンチウイルスやアンチスパイウェアの定義の更新を実行したり、正規の修復プログラムを起動したり、Cisco ISE サーバにアップロードされたファイルを配布したり、ユーザがファイルをダウンロードしてシステムを修復できるように Web サイト リンクを Web サイトに配布したり、情報や手順を配布したりすることができます。

                      シスコは、最新の Windows ホット フィックスとパッチが Windows XP クライアントにインストールされ、Cisco NAC Agent がセキュアで暗号化された Cisco ISE との通信を確立できることを確認することを推奨します(SSL over TCP など)。

                      Windows 7 以前のクライアントからの Cisco NAC Agent のアンインストール

                      Cisco NAC Agent は Windows クライアントの C:\Program Files\Cisco\Cisco NAC Agent\ にインストールされます。

                      Agent は、次の方法でアンインストールできます。

                      • [Cisco NAC Agent のアンインストール(Uninstall Cisco NAC Agent)] デスクトップ アイコンをダブルクリックします。

                      • [スタート(Start)] メニュー > [プログラム(Programs)] > [Cisco Systems] > [Cisco Clean Access] > [Cisco NAC Agent のアンインストール(Uninstall Cisco NAC Agent)] に移動します。

                      • [スタート(Start)] メニュー > [コントロール パネル(Control Panel)] > [プログラムの追加と削除(Add or Remove Programs)] > [Cisco NAC Agent] に移動し、Cisco NAC Agent をアンインストールします。

                      Windows 8 クライアントの Cisco NAC Agent のアンインストール

                      メトロ モードで Windows 8 クライアントの Cisco NAC Agent をアンインストールできます。

                      手順
                        ステップ 1   メトロ モードに切り替えます。
                        ステップ 2   [Cisco NAC Agent] タイルを右クリックします。
                        ステップ 3   画面下部にあるオプションから [アンインストール(Un-Install)] を選択します。
                        ステップ 4   システムが自動的にデスクトップ モードに切替わり、[追加/削除(Add/Remove)] コントロール パネルが開きます。
                        ステップ 5   [追加/削除(Add/Remove)] コントロール パネルで、次のいずれかの操作を行います。
                        1. [Cisco NAC Agent] をダブルクリックし、[アンインストール(Uninstall)] をクリックします。
                        2. [Cisco NAC Agent] を選択し、[アンインストール(Uninstall)] をクリックします。
                        3. [Cisco NAC Agent] を右クリックし、[アンインストール(Uninstall)] を選択します。

                        Windows 8 メトロおよびメトロ アプリケーションのサポート:Toast 通知

                        [Toast 通知の有効化(Enable Toast Notification)] オプションは、[Cisco NAC Agent] トレイ アイコンで使用でき、Windows 8 クライアントで関連する通知をユーザに送信できます。

                        Cisco NAC Agent では、「修復で障害発生」や「ネットワーク アクセスの期限切れ」などのためにユーザがネットワーク アクセスを取得できなかった場合は、エージェントによって「Network not available, Click "OK" to continue」という Toast 通知が表示されます。

                        詳細を取得するには、toast を選択すると、デスクトップ モードにリダイレクトされ、Cisco NAC Agent ダイアログが表示されます。

                        Toast 通知は、ネットワーク アクセスを取得するために実行する必要があるすべてのプラス推奨処置に対して表示されます。 次に例を示します。

                        • ネットワーク受信ポリシーの場合は、「Click Accept to gain network access」という toast が表示されます。

                        • エージェント/コンプライアンス モジュールのアップグレードの場合は、「Click OK to Upgrade/Update」という toast が表示されます。

                        • 「user logged out」イベントでは、Clean Access Manager(CAM)でログオフの「Auto Close」オプションが有効でない場合に、Toast 通知が表示されます。 この toast により、ユーザがログアウトされており、ネットワークにアクセスするには再度ログインする必要があることがわかります。

                        Macintosh クライアント用 Cisco NAC Agent

                        Cisco NAC OS X Agent により、Macintosh クライアント マシンはポスチャ評価および修復を実行できます。

                        ユーザは Cisco NAC OS X Agent(読み取り専用クライアント ソフトウェア)をダウンロードしてインストールし、アンチウイルスおよびアンチスパイウェアの定義の更新をチェックすることができます。

                        Cisco NAC OS X Agent は、ユーザがログインすると、ユーザ ロールまたはオペレーティング システムに設定された要件を Cisco ISE サーバから取得し、必要なパッケージをチェックし、レポートを Cisco ISE サーバに返送します。 クライアントに関する要件が満たされている場合、ユーザはネットワークにアクセスできます。 要件が満たされていない場合、エージェントは満たされていない要件ごとに、ユーザにダイアログを表示します。 ダイアログにより、クライアント マシンの要件を満たすための手順および対処法が提供されます。 あるいは、指定された要件が満たされない場合は、クライアント システムの修復試行中は制限付きのネットワーク アクセスを受け入れるという選択もできます。

                        Macintosh クライアントからの Cisco NAC Agent のアンインストール

                        次のアンインストール スクリプトを実行して、Mac OS X クライアントの Cisco NAC Agent をアンインストールできます。

                        手順
                          ステップ 1   ナビゲータ ペインを開き、<local drive ID> > [アプリケーション(Applications)] に移動します。
                          ステップ 2   [CCAAgent] アイコンを強調表示して右クリックし、選択メニューを表示します。
                          ステップ 3   [パッケージ コンテンツの表示(Show Package Contents)] を選択し、[NacUninstall] をダブルクリックして、Mac OS X の Cisco NAC Agent をアンインストールします。

                          Cisco Web Agent

                          Cisco Web Agent では、クライアント マシンのための一時的なポスチャ評価を提供します。

                          ユーザは Cisco Web Agent 実行ファイルを起動することができ、ActiveX コントロールまたは Java アプレットによって、クライアント マシンの一時ディレクトリに Web Agent ファイルがインストールされます。

                          Cisco Web Agent は、ユーザがログインすると、ユーザ ロールまたはオペレーティング システムに設定された要件を Cisco ISE サーバから取得し、必要なパッケージのホスト レジストリ、プロセス、アプリケーション、およびサービスをチェックし、レポートを Cisco ISE サーバに送信します。 クライアント マシンに関する要件が満たされている場合、ユーザはネットワークにアクセスできます。 要件が満たされていない場合、Web Agent は満たされていない要件ごとに、ユーザにダイアログを表示します。 ダイアログにより、クライアント マシンの要件を満たすための手順および対処法が提供されます。 あるいは、指定された要件が満たされない場合は、ユーザ ログイン ロールの要件を満たすようにクライアント システムの修復試行中は制限付きのネットワーク アクセスを受け入れるという選択もできます。


                          (注)  


                          ActiveX は 32 ビット版の Internet Explorer でのみサポートされます。 Firefox Web ブラウザまたは 64 ビット版の Internet Explorer のバージョンでは、ActiveX をインストールできません。


                          Cisco NAC Agent ログ

                          Cisco NAC Agent for Windows で、[エージェント トレイ(Agent Tray)] アイコンを右クリックし、[ログ パッケージ(Log Package)] をクリックして、サポート パッケージを実行し、ログを収集します。

                          Cisco NAC Agent for Cisco NAC OS X で、[ツール(Tools)] メニューの [エージェント(Agent)] アイコンを右クリックして、[サポート ログの収集(Collect Support Logs)] オプションをクリックして、エージェントのログとサポート情報を収集します。 収集された情報は、ZIP ファイルとして提供されます。 ユーザは、ファイルの場所とファイル名を選択して、ファイルを保存できます。 デフォルトでは、ファイルは CiscoSupportReport.zip というファイル名でデスクトップに保存されます。

                          エージェントがクラッシュまたはハングした場合は、CCAAgentLogPackager.app を実行してログを収集することができます。 このファイルは /Applications/CCAAgent.app で入手できます。 [CCAAgent.app] を右クリックして、[パッケージ コンテンツの表示(Show Package Contents)] を選択し、[CCAAgentLogPackager] をダブルクリックして、サポート情報を収集します。

                          Cisco NAC Agent のエージェント カスタマイズ ファイルの作成

                          エージェント カスタマイズ ファイルにより、Cisco NAC Agent ログイン ダイアログのロゴ、フィールド、メッセージをカスタマイズして、特定の Windows クライアントをネットワークのアクセス要件に合致させることができます。

                          XML ディスクリプタ ファイルを含む .zip ファイルとしてカスタマイゼーション パッケージを作成し、カスタマイズされたオプションから成るコンテンツを含む別の .zip ファイルを作成することができます。

                          手順
                            ステップ 1   Agent ログイン カスタマイゼーション パッケージを構成するために必要なファイルを組み合わせます。
                            • カスタマイズされた nac_login.xml ファイル

                            • .gif ファイルとしてカスタマイズされた企業/会社のロゴ

                            • 1 つ以上のカスタマイズされた nacStrings_xx.xml ファイル

                            • カスタマイズされた updateFeed.xml ディスクリプタ ファイル

                            ステップ 2   完成したファイルを含む「brand-win.zip」と呼ばれる zip ファイルを作成します。 たとえば、Linux または UNIX 環境で、次を実行します。zip -r brand-win.zip nac_login.xml nac_logo.gif nacStrings_en.xml nacStrings_cy.xml nacStrings_el.xml
                            ステップ 3   適切な updateFeed.xml ディスクリプタ ファイルと上記で作成された .zip ファイルを含む「custom.zip」ファイルを作成します。 たとえば、Linux または UNIX 環境で、次を実行します。zip -r custom.zip updateFeed.xml brand-win.zip
                            ステップ 4   完成した「custom.zip」ファイルを、Cisco ISE にアップロードする場合にアクセスできるローカル マシン上の場所に保存します。

                            Cisco NAC Agent のデフォルト ログイン画面とカスタマイズされたログイン画面

                            Cisco NAC Agent ログイン:デフォルト画面

                            Cisco NAC Agent のログイン画面のデフォルト要素はカスタマイズできます。 これらの要素をカスタマイズすると、Agent ログイン カスタマイゼーション パッケージの「updateFeed.xml」XML ディスクリプタ ファイルと結合され、Cisco ISE にアップロードされます。



                            Cisco NAC Agent ログイン:カスタマイズされた画面

                            Cisco NAC Agent 経由でネットワークにアクセスする際、Windows クライアント ユーザにはカスタマイズされたログイン画面が表示されます。 Cisco NAC Agent ログイン画面に表示される Cisco ロゴは、自社のロゴに置き換えることができます。 デフォルトの Cisco ロゴを「nac_logo.gif file」という名前の .gif ファイル形式の自社のロゴに置き換え、複数の「nacStrings_xx.xml」ファイルを作成して、nac_login.xml ファイルを変更できます。 イメージが.gif ファイルで、67 x 40 ピクセルを超えないことを確認してください。 イメージの名前が「nac_logo.gif.」であることを確認してください。



                            カスタム nac_login.xml ファイルのテンプレート

                            nac_login.xml ファイルは、Agent ログインのカスタマイゼーション パッケージに必要なファイルの 1 つであり、これにより Cisco NAC Agent ログイン ダイアログのロゴ、フィールド、メッセージ テキストをカスタマイズして、特定の Windows クライアントをネットワークのアクセス要件に合致させることができます。

                            適切な nac_login.xml ファイルを作成して Cisco NAC Agent ログイン画面に含まれるロゴ、フィールド、およびメッセージ テキストをカスタマイズするには、次のテンプレートを使用します。

                            次の例では、カスタマイズしたテキストを太字で示しています。

                            
                            <tr class="nacLoginMiddleSectionContainerInput">
                               <td colspan="2">
                                  <fieldset width="100%" id="nacLoginCustomAlert" 
                                            style="display:block" class="nacLoginAlertBox">
                                      <table width="100%">
                                         <tr>
                                            <td id="nacLoginCustomAlert.img" valign="top" width="32px">
                                              <img src="./cues_icons/Status_warning_icon.png" align="absmiddle" 
                            																		onload="cuesFixPNG(null,this)"></img>
                                            </td>
                                            <td id="nacLoginCustomAlert.content" class="nacLoginAlertText">
                                              <cues:localize key="login.customalert"/>
                                            </td>
                                          </tr>
                                      </table>
                                   </fieldset>
                                </td>
                            </tr>
                            <tr id="nacLoginRememberMe" style="visibility:hidden">
                                <td>
                                   <cues:localize key="cd.nbsp"/>
                                </td>
                                <td class="cuesLoginField">
                                  <nobr>
                                  <input type="checkbox" alt="" title="" name="rememberme"
                                         id="rememberme" checked="true"/>
                                        <cues:localize key="login.remember_me"/>
                                  </nobr>
                                </td>
                            </tr>
                            

                            カスタム nacStrings_xx.xml ファイルのテンプレート

                            Agent ログインのカスタマイゼーション パッケージに必要なファイルの 1 つであり、これにより Cisco NAC Agent ログイン ダイアログのロゴ、フィールド、メッセージ テキストをカスタマイズして、特定の Windows クライアントをネットワークのアクセス要件に合致させることができます。

                            次のテンプレートを使用して、1 つ以上の nacStrings_xx.xml ファイルを作成します。ここで、xx は特定言語の 2 文字の ID です。

                            次の例では、カスタマイズしたテキストを太字で示しています。

                            
                            <cueslookup:name key="login.productname"> XYZ Co Inc. </cueslookup:name>
                            <cueslookup:name key="login.version">Version</cueslookup:name>
                            <cueslookup:name key="login.username"> Enter your username (same as your VPN) 
                            </cueslookup:name>
                            <cueslookup:name key="login.password">Enter your password (VPN password)</cueslookup:name>
                            <cueslookup:name key="login.remember_me">Remember Me</cueslookup:name>
                            <cueslookup:name key="login.server">Server</cueslookup:name>
                            <cueslookup:name key="login.customalert">Do not allow anyone else to use this PC
                            </cueslookup:name>
                            <cueslookup:name key="login.Too many users using this account">This account is already active 
                            on another device</cueslookup:name>
                            <cueslookup:name key="login.differentuser">Login as Different User</cueslookup:name>
                            <cueslookup:name key="login.removeoldest">Remove Oldest Login Session</cueslookup:name>
                            

                            (注)  


                            カスタマイズしたテキストに使用できる文字数に制限はありません。 ただし、カスタマイズされたログイン画面がクライアント上に表示された場合に、あまり大きな領域を必要としないように長さを制限することをシスコは推奨します。


                            拡張 nacStrings_xx.xml ファイルのサンプル

                            <cueslookup:name key="dp.status.fullNetAccess">Full Network Access</cueslookup:name> 
                            <cueslookup:name key="dp.status.fullNetAccess.verbose">Your device conforms with all the security policies for this protected network</cueslookup:name> 
                            <cueslookup:name key="dp.status.fullNetAccessWarn.verbose">Only optional requirements are failing. It is recommended that you update your system at your earliest convenience.</cueslookup:name> 
                            <cueslookup:name key="dp.status.iprefresh.progress.verbose">Refreshing IP address. Please Wait ...</cueslookup:name> 
                            <cueslookup:name key="dp.status.iprefresh.complete.verbose">Refreshing IP address succeeded.</cueslookup:name> 
                            <cueslookup:name key="dp.status.vlanchange.progress.verbose">Connecting to protected Network. Please Wait ...</cueslookup:name> 
                            <cueslookup:name key="dp.status.guestNetAccess">Guest Network Access</cueslookup:name> 
                            <cueslookup:name key="dp.status.noNetAccess">Network Access Denied</cueslookup:name>
                            <cueslookup:name key="dp.status.noNetAccess.verbose">There is at least one mandatory requirement failing. You are required to update your system before you can access the network.
                            </cueslookup:name><cueslookup:name key="dp.status.rejectNetPolicy.verbose">Network Usage Terms and Conditions are rejected. You will not be allowed to access the network.</cueslookup:name> 
                            <cueslookup:name key="dp.status.RestrictedNetAccess">Restricted Network Access granted.</cueslookup:name> 
                            <cueslookup:name key="dp.status.RestrictedNetAccess.verbose">You have been granted restricted network access because your device did not conform with all the security policies for this protected network and you have opted to defer updating your system. It is recommended that you update your system at your earliest convenience.</cueslookup:name> 
                            <cueslookup:name key="dp.status.temporaryNetAccess">Temporary Network Access</cueslookup:name> 
                            <cueslookup:name key="dp.status.temporaryNetAccess.bepatient.verbose">Please be patient while your system is checked against the network security policy.</cueslookup:name>
                            <cueslookup:name key="dp.status.pra.mandatoryfailure">Performing Re-assessment</cueslookup:name> 
                            <cueslookup:name key="dp.status.pra.mandatoryfailure.verbose">There is at least one mandatory requirement failing. You are required to update your system otherwise your network access will be restricted.</cueslookup:name> 
                            <cueslookup:name key="dp.status.pra.optionalfailure">Performing Re-assessment</cueslookup:name> 
                            <cueslookup:name key="dp.status.pra.optionalfailure.verbose">Only optional requirements are failing. It is recommended that you update your system at your earliest convenience.</cueslookup:name> 
                            <cueslookup:name key="dp.status.SessionTimeout">Logged out</cueslookup:name> 
                            <cueslookup:name key="dp.status.SessionTimeout.verbose">Temporary Access to the network has expired.</cueslookup:name> 
                            <cueslookup:name key="dp.status.Unauthenticated">Logged out</cueslookup:name> 
                            <cueslookup:name key="dp.status.Unauthenticated.verbose"> </cueslookup:name> 

                            UpdateFeed.xml ディスクリプタ ファイルのテンプレート

                            Agent ログインのカスタマイゼーション パッケージに必要なファイルの 1 つであり、これにより Cisco NAC Agent ログイン ダイアログのロゴ、フィールド、メッセージ テキストをカスタマイズして、特定の Windows クライアントをネットワークのアクセス要件に合致させることができます。

                            Agent ログイン カスタマイゼーション パッケージを完了する前、適切な updateFeed.xml XML ディスクリプタ ファイルを構築する必要があります。 カスタマイゼーション パッケージに必要な updateFeed.xml ディスクリプタ ファイルのセット アップには、次の例をテンプレートとして使用します。

                            
                            <?xml version="1.0" encoding="utf-8"?>
                            <feed xmlns="http://www.w3.org/2005/Atom" xmlns:update="http://www.cisco.com/cpm/update/1.0">
                               <title>Provisioning Update</title>
                               <updated>2011-12-21T12:00:00Z</updated>
                               <id>https://www.cisco.com/web/secure/pmbu/provisioning-update.xml</id>
                               <author>
                                  <name>Cisco Support</name>
                                  <email>support@cisco.com</email>
                               </author>
                            
                               <!-- Custom Branding -->
                                  <entry>
                                     <id>http://foo.foo.com/foo/AgentCustomizationPackage/1/1/1/1</id> 
                                       -- This id can be anything, but should be unique within an ISE deployment
                                     <title>Agent Customization Package</title>
                                     <updated>2010-06-07T12:00:00Z</updated>
                                     <summary>This is the agent customization package </summary> - Can be anything
                                     <link rel="enclosure" type="application/zip" href="brand-windows.zip" length="18884" />
                                     <update:type>AgentCustomizationPackage</update:type>
                                     <update:version>1.1.1.0</update:version> -- Important to have this as 4 digit
                                     <update:os>Win</update:os>
                                  </entry>
                            </feed>
                            

                            プロファイル作成機能を使用して生成された XML ファイルの例

                            
                            <?xml version="1.0" ?>
                            <cfg>
                               <VlanDetectInterval>0</VlanDetectInterval>
                               <RetryDetection>3</RetryDetection>
                               <PingArp>0</PingArp>
                               <PingMaxTimeout>1</PingMaxTimeout>
                               <EnableVlanDetectWithoutUI>0</EnableVlanDetectWithoutUI>
                               <SignatureCheck>0</SignatureCheck>
                               <DisableExit>0</DisableExit>
                               <PostureReportFilter>displayFailed</PostureReportFilter>
                               <BypassSummaryScreen>1</BypassSummaryScreen>
                               <LogFileSize>5</LogFileSize>
                               <DiscoveryHost></DiscoveryHost>
                               <DiscoveryHostEditable>1</DiscoveryHostEditable>
                               <Locale>default</Locale>
                               <AccessibilityMode>0</AccessibilityMode>
                               <SwissTimeout>1</SwissTimeout>
                               <HttpDiscoveryTimeout>30</HttpDiscoveryTimeout>
                               <HttpTimeout>120</HttpTimeout>
                               <ExceptionMACList></ExceptionMACList>
                               <GeneratedMAC></GeneratedMAC>
                               <AllowCRLChecks>1</AllowCRLChecks>
                               <DisableL3SwissDelay>0</DisableL3SwissDelay>
                               <ServerNameRules></ServerNameRules>
                            </cfg>
                            

                            (注)  


                            このファイルには、2 つの静的(つまり、ユーザまたは Cisco ISE 管理者が編集できない)「AgentCfgVersion」パラメータおよび「AgentBrandVersion」パラメータも含まれています。これらのパラメータは、クライアントでエージェント プロファイルおよびエージェント カスタマイズ ファイルの現在のバージョンをそれぞれ識別するために使用されます。


                            クライアント プロビジョニング リソース ポリシーの設定

                            クライアントの場合、どのユーザがリソース(エージェント、エージェント コンプライアンス モジュール、エージェント カスタマイズ パッケージ/プロファイル)のどのバージョン(または複数のバージョン)をログイン時およびユーザ セッション開始時に Cisco ISE から受信するかは、クライアント プロビジョニング リソース ポリシーによって決定されます。

                            AnyConnect の場合、クライアント プロビジョニング リソース ページからリソースを選択し、クライアント プロビジョニング ポリシー ページで使用できる AnyConnect 設定を作成することができます。 AnyConnect 設定は、AnyConnect ソフトウェアとそのさまざまなコンフィギュレーション ファイルとの関連付けであり、これらのファイルには、Windows および Mac OS X クライアントの AnyConnect バイナリ パッケージ、コンプライアンス モジュール、モジュール プロファイル、AnyConnect のカスタマイズおよび言語パッケージなどがあります。

                            Cisco ISE NAC エージェントの場合、クライアント プロビジョニング ポリシー ページからリソースを選択できます。

                            はじめる前に

                            有効なクライアント プロビジョニング リソース ポリシーを作成する前に、Cisco ISE にリソースを追加したことを確認します。 エージェント コンプライアンス モジュールをダウンロードすると、システムで使用している既存のモジュールがあれば常にそれが上書きされます。

                            手順
                              ステップ 1   [ポリシー(Policy)] > [クライアント プロビジョニング(Client Provisioning)] を選択します。
                              ステップ 2   動作のドロップダウン リストから [有効化(Enable)]、[無効化(Disable)]、または [モニタ(Monitor)] を選択します。
                              • [有効化(Enable)]:ユーザがネットワークにログインし、クライアント プロビジョニング ポリシーのガイドラインに従っている場合に、Cisco ISE がこのポリシーを使用して、クライアント プロビジョニング機能を果たすようにします。

                              • [無効化(Disable)]:Cisco ISE は、指定されたリソース ポリシーを使用せずにクライアント プロビジョニング機能を果たします。

                              • [モニタ(Monitor)]:ポリシーを無効にし、クライアント プロビジョニング セッション要求を監視し、Cisco ISE が [モニタ対象(Monitored)] のポリシーに基づいて起動しようとした回数を確認します。

                              ステップ 3   [ルール名(Rule Name)] テキスト ボックスに、新しいリソース ポリシーの名前を入力します。
                              ステップ 4   Cisco ISE にログインするユーザが属する ID グループを 1 つ以上指定します。

                              設定した既存の ID グループのリストから、あらゆる ID タイプを指定することも、1 つ以上のグループを選択することもできます。

                              ステップ 5   [オペレーティング システム(Operating Systems)] フィールドを使用して、ユーザが Cisco ISE にログインする際に使用するクライアント マシンまたはデバイスで動作している 1 つ以上のオペレーティング システムを指定します。 [Android]、[Mac iOS]、[Mac OS X] などの単一のオペレーティング システムや、[Windows XP(すべて)(Windows XP (All))] や [Windows 7(すべて)(Windows 7 (All))] など、複数のクライアント マシン オペレーティング システムに対応する包括的なオペレーティング システムの指定を選択できます。
                              ステップ 6   [その他の条件(Other Conditions)] フィールドで、この特定のリソース ポリシー用に作成する新しい式を指定します。
                              ステップ 7   クライアント マシンの場合は、[エージェント設定(Agent Configuration)] を使用して、クライアント マシンで利用可能にし、プロビジョニングするエージェント タイプ、コンプライアンス モジュール、エージェント カスタマイズ パッケージ/プロファイルを指定します。 クライアント マシンで NAC エージェントがポップアップできるようにするには、クライアント プロビジョニングの URL を許可ポリシーに含める必要があります。 これにより、ランダムなクライアントからの要求が回避され、適切なリダイレクト URL を持つクライアントのみがポスチャ評価を要求できるようになります。
                              ステップ 8   [保存(Save)] をクリックします。

                              次の作業

                              1 つ以上のクライアント プロビジョニング リソース ポリシーを正常に設定したら、ログイン中にクライアント マシンのポスチャ評価を実行するように Cisco ISE の設定を開始できます。

                              クライアント プロビジョニング ポリシーの Cisco ISE ポスチャ エージェントの設定

                              クライアント マシンについて、どのエージェント タイプ、コンプライアンス モジュール、エージェント カスタマイズ パッケージ/プロファイルを、ユーザがクライアント マシンにダウンロードおよびインストールできるように準備するかを設定します。

                              はじめる前に

                              Cisco ISE の AnyConnect および Cisco ISE NAC のクライアント プロビジョニング リソースを追加している必要があります。

                              手順
                                ステップ 1   [エージェント(Agent)] ドロップダウン リストから使用可能なエージェントを選択し、ここで定義したエージェントのアップグレード(ダウンロード)がクライアント マシンに対して必須かどうかを、[アップグレードは必須か(Is Upgrade Mandatory)] オプションを必要に応じて有効または無効にすることによって指定します。

                                [アップグレードは必須か(Is Upgrade Mandatory)] 設定は、エージェントのダウンロードにのみ適用されます。 エージェント プロファイル、コンプライアンス モジュール、およびエージェント カスタマイズ パッケージの更新は常に必須です。

                                ステップ 2   [プロファイル(Profile)] ドロップダウン リストから既存のエージェント プロファイルを選択します。
                                ステップ 3   [コンプライアンス モジュール(Compliance Module)] ドロップダウン リストを使用して使用可能なコンプライアンス モジュールを選択し、クライアント マシンにダウンロードします。
                                ステップ 4   [エージェント カスタマイズ パッケージ(Agent Customization Package)] ドロップダウン リストから、クライアント マシンに使用可能なエージェント カスタマイズ パッケージを選択します。

                                パーソナル デバイスのネイティブ サプリカントの設定

                                従業員は、Windows、Mac OS、iOS、および Android デバイスで使用可能なネイティブ サプリカントを使用して、ネットワークに自分のパーソナル デバイスを直接接続できます。 パーソナル デバイスに関して、登録されているパーソナル デバイスで使用可能にし、プロビジョニングするネイティブ サプリカントの設定を指定します。

                                はじめる前に

                                ユーザがログインするとき、そのユーザの許可要件と関連付けるプロファイルに基づいて、Cisco ISE が、ユーザのパーソナル デバイスを設定するために必要なサプリカント プロビジョニング ウィザードを提供して、ネットワークにアクセスするように、ネイティブ サプリカント プロファイルを作成します。

                                手順
                                  ステップ 1   [ポリシー(Policy)] > [クライアント プロビジョニング(Client Provisioning)] を選択します。
                                  ステップ 2   動作のドロップダウン リストから [有効化(Enable)]、[無効化(Disable)]、または [モニタ(Monitor)] を選択します。
                                  ステップ 3   [ルール名(Rule Name)] テキスト ボックスに、新しいリソース ポリシーの名前を入力します。
                                  ステップ 4   次を指定します。
                                  • [ID グループ(Identity Groups)] フィールドを使用して、Cisco ISE にログインするユーザが属する ID グループを 1 つ以上指定します。
                                  • [オペレーティング システム(Operating System)] フィールドを使用して、ユーザが Cisco ISE にログインする際に使用するパーソナル デバイスで動作している 1 つ以上のオペレーティング システムを指定します。
                                  • [その他の条件(Other Conditions)] フィールドを使用して、この特定のリソース ポリシー用に作成する新しい式を指定します。
                                  ステップ 5   パーソナル デバイスの場合、[ネイティブ サプリカントの設定(Native Supplicant Configuration)] を使用し、特定の構成ウィザードを選択して、パーソナル デバイスに配信します。
                                  ステップ 6   指定されたパーソナル デバイス タイプに適用可能な [ウィザード プロファイル(Wizard Profile)] を指定します。
                                  ステップ 7   [保存(Save)] をクリックします。

                                  クライアント プロビジョニング レポート

                                  Cisco ISE のモニタリングおよびトラブルシューティング機能にアクセスし、ユーザ ログイン セッションの成功または失敗の全体のトレンドをチェックし、特定の期間にネットワークにログインしたクライアント マシンの数およびタイプに関する統計情報を収集し、また、クライアント プロビジョニング リソースでの最近の設定変更をチェックすることができます。

                                  クライアント プロビジョニングの要求

                                  [操作(Operations)] > [レポート(Reports)][ISE レポート(ISE Reports)][エンドポイントおよびユーザ(Endpoints and Users)][クライアント プロビジョニング(Client Provisioning)] レポートには、クライアント プロビジョニング要求の成功および失敗に関する統計情報が表示されます。 [実行(Run)] を選択していずれかのプリセット期間を指定すると、Cisco ISE によってデータベースが調べられ、生成されたクライアント プロビジョニング データが表示されます。

                                  サプリカント プロビジョニングの要求

                                  [操作(Operations)] > [レポート(Reports)] > [ISE レポート(ISE Reports)] > [エンドポイントおよびユーザ(Endpoints and Users)] > [サプリカント プロビジョニング(Supplicant Provisioning)] ウィンドウには、最近の成功および失敗したユーザ デバイス登録およびサプリカント プロビジョニング要求に関する情報が表示されます。 [実行(Run)] を選択していずれかのプリセット期間を指定すると、Cisco ISE によってデータベースが調べられ、生成されたサプリカント プロビジョニング データが表示されます。

                                  サプリカント プロビジョニング レポートは、特定の期間にデバイス登録ポータルから登録されたエンドポイントのリストに関する情報が提供されます。これには、ログイン日時、ID(ユーザ ID)、IP アドレス、MAC アドレス(エンドポイント ID)、サーバ プロファイル、エンドポイント オペレーティング システム、SPW バージョン、障害理由(ある場合)、登録のステータスなどのデータが含まれます。

                                  クライアント プロビジョニング イベント ログ

                                  クライアントの動作の問題の診断に役立つイベント ログ エントリを検索できます。 たとえば、ネットワーク上のクライアント マシンがログイン時にクライアント プロビジョニング リソースの更新を取得できないという問題の原因を特定する必要がある場合があります。 ポスチャおよびクライアント プロビジョニングの監査、ポスチャおよびクライアントプロビジョニングの診断のロギング エントリを使用できます。