ポリシーのユーザ インターフェイスのリファレンス
ポリシーのユーザ インターフェイスのリファレンス

目次

ポリシーのユーザ インターフェイスのリファレンス

認証

ここでは、単純な認証ポリシーおよびルールベースの認証ポリシーを設定できる認証ポリシー ページについて説明します。

簡易認証ポリシーの構成設定

次の表では、簡易認証ポリシーを設定できる、単純認証ポリシー ページのフィールドについて説明します。 このページへのナビゲーション パスは、[ポリシー(Policy)] > [認証(Authentication)] です。

表 1 簡易認証ポリシーの構成設定

フィールド

使用上のガイドライン

ネットワーク アクセス サービス(Network Access Service)

作成済みの許可されるプロトコルを選択します。

ID ソース(Identity Source)

認証に使用する ID ソースを選択します。 ID ソース順序が設定済みである場合、これを選択することも可能です。

デフォルトの ID ソースを編集して、このルールで定義されたいずれの ID ソースも要求に一致しない場合に Cisco ISE が使用する ID ソースを指定できます。

オプション(Options)

認証失敗、ユーザが見つからない、プロセス障害、の各イベントに対する今後のアクションのコースを定義します。 次のいずれかのオプションを選択できます。

  • [拒否(Reject)]:拒否応答が送信されます。

  • [ドロップ(Drop)]:応答は送信されません。

  • [続行(Continue)]:Cisco ISE は許可ポリシーの処理を続行します。

ルールベースの認証ポリシーの構成設定

次の表では、簡易認証ポリシーを設定できる、ルールベースの認証ポリシー ページのフィールドについて説明します。 このページへのナビゲーション パスは、[ポリシー(Policy)] > [認証(Authentication)] > [ルールベース(Rule-Based)] です。

表 2 ルールベースの認証ポリシーの構成設定

フィールド

使用上のガイドライン

ステータス(Status)

このポリシーのステータスを選択します。 次のいずれかにできます。

  • [有効(Enabled)]:このポリシー条件はアクティブです。

  • [無効(Disabled)]:このポリシー条件は非アクティブであり、評価されません。

  • [モニタのみ(Monitor Only)]:このポリシー条件は評価されますが、結果は適用されません。 [ライブ ログ認証(Live Log authentication)] ページでこのポリシー条件の結果を照会できます。 ここでは、モニタされる手順と属性を含む詳細レポートを参照してください。 たとえば、新しいポリシー条件を追加する場合に、条件がもたらす結果が正しいかどうかを判断できないことがあります。 この場合、モニタ モードでポリシー条件を作成して、結果を確認できます。結果に問題がない場合はそのポリシー条件を有効化できます。

標準ルール(Standard Rule)

このポリシーの名前を入力し、条件および許可されるプロトコルを選択します。

条件(Conditions)

[条件(Conditions)] 固定オーバーレイを拡大するにはプラス(+)記号をクリックし、固定オーバーレイを閉じるにはマイナス(-)記号または固定オーバーレイの外側をクリックします。

  • [既存の条件をライブラリから選択(Select Existing Condition from Library)] または [新しい条件の作成(高度なオプション)(Create New Condition (Advanced Option))] を選択します。

  • [既存の条件をライブラリから選択(Select Existing Condition from Library)]:ポリシー要素ライブラリからシスコによって事前定義された条件を選択して、式を定義できます。

  • [新しい条件の作成(高度なオプション)(Create New Condition (Advanced Option))]:さまざまなシステム定義またはユーザ定義のディクショナリから属性を選択することによって、式を定義できます。

既存の条件をライブラリから選択(Select Existing Condition from Library)

次を実行できます。

  1. 事前定義された条件からポリシー要素の認証用に定義する条件を選択し、AND 演算子または OR 演算子を使用して複数の条件を追加できます。

    次のディクショナリまたは属性を含む、事前定義された特定の条件を選択することはできません。

    • ディクショナリ「Certificate」、および任意の属性

    • ディクショナリ「Network Access」、および次の属性:

      • Device IP Address

      • ISE Host Name

      • NetworkDeviceName

      • Protocol

      • UseCase

    このような条件が使用できる場合、選択ボックスの最初のエントリは「関連する条件のみ選択可能」です。

  2. [操作(Action)] アイコンをクリックして、後続のステップで次を実行します。

    • [属性/値の追加(Add Attribute/Value)]:アドホック属性/値の組み合わせを追加できます

    • [ライブラリから条件を追加(Add Condition from Library)]:シスコによって事前定義された条件を追加できます

    • [複製(Duplicate)]:選択した条件のコピーを作成します

    • [ライブラリに条件を追加(Add Condition to Library)]:作成したアドホック属性/値の組み合わせをポリシー要素ライブラリに保存できます

    • [削除(Delete)]:選択した条件を削除します

新しい条件の作成(高度なオプション)(Create New Condition (Advance Option))

次を実行できます。

  1. 式にアドホック属性/値の組み合わせを追加し、AND または OR 演算子を使用すると、複数の条件を追加できます。

  2. [操作(Action)] アイコンをクリックして、後続のステップで次を実行します。

    • [属性/値の追加(Add Attribute/Value)]:アドホック属性/値の組み合わせを追加できます

    • [ライブラリから条件を追加(Add Condition from Library)]:シスコによって事前定義された条件を追加できます

    • [複製(Duplicate)]:選択した条件のコピーを作成します

    • [ライブラリに条件を追加(Add Condition to Library)]:作成したアドホック属性/値の組み合わせをポリシー要素ライブラリに保存できます

    • [削除(Delete)]:選択した条件を削除します。ここでは、AND または OR 演算子を使用できます

ネットワーク アクセスの選択(Select Network Access)

許可されるプロトコルまたは RADIUS サーバ順序から選択します。

矢印ボタン(Arrow Button)

ID ソース選択条件を定義する場合にクリックします。

ID ソース順序(Identity Source Sequence)

次を実行できます。

  1. デフォルトの ID ソース行の [操作(action)] アイコンをクリックし、[新規行を上に挿入(Insert new row above)] をクリックします。

  2. 作成した ID ソース ルールの名前を入力します。

  3. ボタンをクリックして、選択する ID ソースに応じて条件を定義します。

  4. ID ソース順序または ID ソース、および Cisco ISE で実行する操作を選択します。

許可ポリシーの設定

次の表に、許可ポリシーを設定できるようにする許可ポリシー ページのフィールドを示します。 このページへのナビゲーション パスは、[ポリシー(Policy)] > [許可(Authorization)] です。

表 3 許可ポリシーの設定

フィールド

使用上のガイドライン

ステータス(Status)

ポリシーを適用するには、次のいずれかを選択します。

  • [有効(Enabled)]:このポリシー条件はアクティブです。

  • [無効(Disabled)]:このポリシー条件は非アクティブであり、評価されません。

  • [モニタのみ(Monitor Only)]:このポリシー条件は評価されますが、結果は適用されません。 [ライブ ログ認証(Live Log authentication)] ページでこのポリシー条件の結果を照会できます。 ここでは、モニタされる手順と属性を含む詳細レポートを参照してください。 たとえば、新しいポリシー条件を追加する場合に、条件がもたらす結果が正しいかどうかを判断できないことがあります。 この場合、モニタ モードでポリシー条件を作成して、結果を確認できます。結果に問題がない場合はそのポリシー条件を有効化できます。

ルール名(Rule Name)

ルール名に名前を入力します。

条件(Conditions)(ID グループおよびその他の条件)

最初のドロップダウンから ID グループを選択します。

2 番目のドロップダウンから条件を選択します。

既存の条件から選択することも、新しい条件を作成することもできます。

権限(Permissions)

[標準(Standard)] カテゴリから許可プロファイルを選択します。

エンドポイント プロファイリング ポリシーの設定

次の表では、[エンドポイント ポリシー(Endpoint Policies)] ページのフィールドについて説明します。 このページのナビゲーション パスは、[ポリシー(Policy)] > [プロファイリング(Profiling)] > [プロファイリング ポリシー(Profiling Policies)] です。

表 4 エンドポイント プロファイリング ポリシーの設定

フィールド

使用上のガイドライン

名前(Name)

作成するエンドポイント プロファイリング ポリシーの名前を入力します。

説明(Description)

作成するエンドポイント プロファイリング ポリシーの説明を入力します。

ポリシー有効(Policy Enabled)

デフォルトでは [ポリシー有効(Policy Enabled)] チェックボックスはオンになっており、エンドポイントのプロファイリング時に、一致するプロファイリング ポリシーが関連付けられます。

オフになっている場合、エンドポイントのプロファイリング時に、エンドポイント プロファイリング ポリシーは除外されます。

最小確実度計数(Minimum Certainty Factor)

プロファイリング ポリシーに関連付ける最小値を入力します。 デフォルト値は、10 です。

例外アクション(Exception Action)

プロファイリング ポリシー内のルールを定義するときに条件に関連付ける例外アクションを選択します。

デフォルトは [なし(NONE)] です。 例外アクションは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [プロファイリング(Profiling)] > [例外アクション(Exception Actions)] で定義されます。

ネットワーク スキャン(NMAP)アクション(Network Scan (NMAP) Action)

必要に応じて、プロファイリング ポリシー内のルールを定義するときに条件に関連付けるネットワーク スキャン アクションをリストから選択します。

デフォルトは [なし(NONE)] です。 例外アクションは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [プロファイリング(Profiling)] > [ネットワーク スキャン アクション(Network Scan (NMAP) Actions)] で定義されます。

ポリシーの ID グループの作成(Create an Identity Group for the policy)

エンドポイント ID グループを作成するには、次のオプションのいずれかをオンにします。

  • はい、一致する ID グループを作成します(Yes, create matching Identity Group)

  • いいえ、既存の ID グループ階層を使用します(No, use existing Identity Group hierarchy)

はい、一致する ID グループを作成します(Yes, create matching Identity Group)

既存のプロファイリング ポリシーを使用する場合、このオプションを選択します。

このオプションは、これらのエンドポイントの一致する ID グループを作成します。エンドポイント プロファイルが既存のプロファイリング ポリシーと一致した場合に、ID グループは Profiled エンドポイント ID グループの子になります。

たとえば、ネットワーク上で検出されたエンドポイントが Xerox-Device プロファイルに一致する場合は、[エンドポイント ID グループ(Endpoint Identity Groups)] ページで Xerox-Device エンドポイント ID グループが作成されます。

いいえ、既存の ID グループ階層を使用します(No, use existing Identity Group hierarchy)

プロファイリング ポリシーおよび ID グループの階層構造を使用して、一致する親エンドポイント ID グループにエンドポイントを割り当てるには、このチェックボックスをオンにします。

このオプションを使用すると、エンドポイント プロファイリング ポリシー階層を利用することができ、エンドポイントはいずれかの一致する親エンドポイント ID グループ、さらに、親 ID グループに関連付けられたエンドポイント ID グループに割り当てられます。

たとえば、既存のプロファイルに一致するエンドポイントは、適切な親エンドポイント ID グループの下にグループ化されます。 ここで、不明プロファイルに一致するエンドポイントは、[不明(Unknown)] の下にグループ化され、既存のプロファイルに一致するエンドポイントは、プロファイリングされたエンドポイント ID グループの下にグループ化されます。 次に例を示します。

  • エンドポイントが Cisco-IP-Phone プロファイルに一致する場合、これらのエンドポイントは Cisco-IP-Phone エンドポイント ID グループの下でグループ化されます。

  • エンドポイントが Workstation プロファイルに一致する場合、これらのエンドポイントは、Workstation エンドポイント ID グループの下でグループ化されます。

    Cisco-IP-Phone および Workstation エンドポイント ID グループは、システム内の Profiled エンドポイント ID グループに関連付けられます。

親ポリシー(Parent Policy)

新しいエンドポイント プロファイリング ポリシーを関連付ける、システムで定義されている親プロファイリング ポリシーを選択します。

子にルールと条件を継承できる親プロファイリング ポリシーを選択できます。

関連 CoA タイプ(Associated CoA Type)

エンドポイント プロファイリング ポリシーと関連付ける次のいずれかの CoA タイプを選択します。

  • CoA なし(No CoA)

  • ポート バウンス(Port Bounce)

  • 再認証(Reauth)

  • [グローバル設定(Global Settings)]:[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロファイリング(Profiling)] で設定されたプロファイラ設定から適用されます。

ルール(Rule)

エンドポイント プロファイリング ポリシーで定義された 1 つ以上のルールにより、エンドポイントの一致するプロファイリング ポリシーが決定されます。これにより、プロファイルに応じたエンドポイントのグループ化が可能になります。

ポリシー要素ライブラリからの 1 つ以上のプロファイリング条件がルールに使用され、エンドポイント属性およびその値が、全体的な分類用に検証されます。

条件(Conditions)

プラス(+)記号をクリックして、条件の固定オーバーレイを展開します。マイナス(-)記号をクリックするか、固定オーバーレイの外側をクリックして条件を閉じます。

[既存の条件をライブラリから選択(Select Existing Condition from Library)] または [新しい条件の作成(高度なオプション)(Create New Condition (Advanced Option))] をクリックします。

[既存の条件をライブラリから選択(Select Existing Condition from Library)]:ポリシー要素ライブラリからシスコによって事前定義された条件を選択して、式を定義できます。

[新しい条件の作成(高度なオプション)(Create New Condition (Advanced Option))]:さまざまなシステム辞書またはユーザ定義辞書から属性を選択して、式を定義できます。

プロファイリング条件と次のいずれかとを関連付けることができます。

  • 各条件の確実度係数の整数値

  • その条件の例外アクションまたはネットワーク スキャン アクション

プロファイリング条件と関連付ける、次のいずれかの定義済み設定を選択します。

  • [確実度計数が増加する(Certainty Factor Increases)]:各ルールの確実度値を入力します。この値は、全体的な分類に関するすべての一致ルールに対して追加されます。

  • [例外の操作を行う(Take Exception Action)]:このエンドポイント プロファイリング ポリシーの [例外アクション(Exception Action)] フィールドで設定された例外アクションがトリガーされます。

  • [ネットワーク スキャンを行う(Take Network Scan Action)]:このエンドポイント プロファイリング ポリシーの [ネットワーク スキャン(NMAP)アクション(Network Scan (NMAP) Action)] フィールドで設定されたネットワーク スキャン アクションがトリガーされます。

既存の条件をライブラリから選択(Select Existing Condition from Library)

次を実行できます。

  • ポリシー要素ライブラリに存在するシスコによって事前定義された条件を選択できます。AND または OR 演算子を使用して複数の条件を追加できます。

  • [操作(Action)] アイコンをクリックして、後続のステップで次を実行します。

    • [属性/値の追加(Add Attribute/Value)]:アドホック属性/値の組み合わせを追加できます

    • [ライブラリから条件を追加(Add Condition from Library)]:シスコによって事前定義された条件を追加できます

    • [複製(Duplicate)]:選択した条件のコピーを作成します

    • [ライブラリに条件を追加(Add Condition to Library)]:作成したアドホック属性/値の組み合わせをポリシー要素ライブラリに保存できます

    • [削除(Delete)]:選択した条件を削除します

新しい条件の作成(高度なオプション)(Create New Condition (Advance Option))

次を実行できます。

  • 式にアドホック属性/値の組み合わせを追加し、AND または OR 演算子を使用すると、複数の条件を追加できます。

  • [操作(Action)] アイコンをクリックして、後続のステップで次を実行します。

    • [属性/値の追加(Add Attribute/Value)]:アドホック属性/値の組み合わせを追加できます

    • [ライブラリから条件を追加(Add Condition from Library)]:シスコによって事前定義された条件を追加できます

    • [複製(Duplicate)]:選択した条件のコピーを作成します

    • [ライブラリに条件を追加(Add Condition to Library)]:作成したアドホック属性/値の組み合わせをポリシー要素ライブラリに保存できます

    • [削除(Delete)]:選択した条件を削除します。ここでは、AND または OR 演算子を使用できます

ディクショナリ

ここでは、Cisco ISE で使用される RADIUS ベンダーのディクショナリについて説明します。

次の表に、RADIUS ベンダーのディクショナリ属性を設定できるようにする RADIUS ベンダーの [ディクショナリ(Dictionary)] ページのフィールドを示します。 このページへのナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [ディクショナリ(Dictionaries)] > [システム(System)] > [RADIUS > [RADIUS ベンダー(RADIUS Vendors)] です。

表 5 RADIUS ベンダー ディクショナリ属性の設定

フィールド

使用上のガイドライン

属性名(Attribute Name)

選択した RADIUS ベンダーのベンダー固有属性名を入力します。

説明(Description)

ベンダー固有属性のオプションの説明を入力します。

内部名(Internal Name)

内部のデータベースで表されるベンダー固有属性の名前を入力します。

データ型(Data Type)

ベンダー固有属性に対して、次のデータ型のいずれかを選択します。

  • STRING

  • OCTET_STRING

  • UNIT32

  • UNIT64

  • IPV4

MAC を有効にするオプション(Enable MAC option)

MAC アドレスとしての RADIUS 属性の比較を有効にするには、このチェックボックスをオンにします。 デフォルトで、RADIUS 属性 Calling-Station-ID に対して、このオプションは有効とマークされ、無効にできません。 RADIUS ベンダー ディクショナリ内の別のディクショナリ属性(文字列型)の場合は、このオプションを有効または無効にできます。

このオプションを有効にした場合、認証および許可条件の設定中に、テキスト オプションを選択して比較をクリアな文字列にするか、または MAC アドレスオプションを選択して比較を MAC アドレスにするかを定義できます。

方向(Direction)

RADIUS メッセージに適用するいずれかのオプションを選択します。

ID

ベンダー属性 ID を入力します。 有効な範囲は 0 ~ 255 です。

タギングの許可(Allow Tagging)

このチェックボックスをオンにします。

プロファイルでこの属性の複数のインスタンスを許可する(Allow multiple instances of this attribute in a profile)

プロファイルでこの RADIUS ベンダー固有属性の複数のインスタンスが必要な場合は、このチェックボックスをオンにします。

条件

ここでは、エンドポイント、ポスチャ クライアントのプロファイリングに使用され、Cisco ISE リソースへのアクセス権を制限または拡張するためのポリシー条件について説明します。

プロファイラ条件の設定

次の表では、[プロファイラ条件(Profiler Condition)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [プロファイリング(Profiling)] です。

表 6 プロファイラ条件の設定

フィールド

使用上のガイドライン

名前(Name)

プロファイラ条件の名前。

説明(Description)

プロファイラ条件の説明。

タイプ(Type)

事前定義済みタイプのいずれかを選択します。

属性名(Attribute Name)

プロファイラ条件が基づく属性を選択します。

演算子(Operator)

演算子を選択します。

属性値(Attribute Value)

選択した属性の値を入力します。 事前定義された属性値を含む属性名の場合、事前定義された値のドロップダウン リストが表示され、値を選択できます。

システム タイプ(System Type)

プロファイリング条件は、次のいずれかのタイプになります。

  • [シスコ提供(Cisco Provided)]:シスコ提供として識別され、展開時に Cisco ISE によって提供されるプロファイリング条件。 システムから編集したり削除したりすることはできません。

  • [管理者作成(Administrator Created)]:管理者作成として識別され、Cisco ISE の管理者として作成したプロファイリング条件。

ポスチャ条件の設定

ここでは、ポスチャに使用される単純条件および複合条件について説明します。

ファイル条件の設定

次の表では、[ファイル条件(File Conditions)] ページのフィールドについて説明します。 このページのナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [ポスチャ(Posture)] > [ファイル条件(File Condition)] です。

表 7 ファイル条件の設定

フィールド

使用上のガイドライン

名前(Name)

ファイル条件の名前を入力します。

説明(Description)

ファイル条件の説明を入力します。

ファイル パス(File Path)

次のいずれか 1 つの事前定義済み設定を選択します。

  • ABSOLUTE_PATH:ファイルの完全修飾パスのファイルをチェックします。 例:C:\<directory>\file name。 その他の設定では、ファイル名のみを入力します。

  • SYSTEM_32:C:\WINDOWS\system32 ディレクトリ内のファイルをチェックします。 ファイル名を入力します。

  • SYSTEM_DRIVE:C:\ ドライブ内のファイルをチェックします。 ファイル名を入力します。

  • SYTEM_PROGRAMS:C:\Program Files 内のファイルをチェックします。 ファイル名を入力します。

  • SYSTEM_ROOT:Windows システムのルート パス内のファイルをチェックします。 ファイル名を入力します。

ファイル タイプ(File Type)

次のいずれか 1 つの事前定義済み設定を選択します。

  • FileExistence:システムにファイルが存在するかどうかを調べます。

  • FileDate:特定のファイル作成日またはファイル更新日のファイルがシステムに存在するかどうかをチェックします。

  • FileVersion:特定のバージョンのファイルがシステムに存在するかどうかを調べます。

ファイル日付タイプ(File Date Type)

ファイル タイプとして FileDate を選択した場合に限り使用可能)ファイルの日付タイプを選択します。

ファイル演算子/演算子(File Operator/Operator)

[ファイル演算子(File Operator)] オプションは、[ファイル タイプ(File Type)] で選択した設定に応じて変化します。 次の設定を適切に選択します。

FileExistence
  • Exists

  • DoesNotExist

    FileDate
  • EarlierThan

  • LaterThan

  • EqualTo

    FileVersion
  • EarlierThan

  • LaterThan

  • EqualTo

日付および時刻(Date and Time)

(ファイル タイプとして FileDate を選択した場合に限り使用可能)クライアント システムの日付と時刻を、mm/dd/yyyy および hh:mm:ss 形式で入力します。

ファイル バージョン(File Version)

(ファイル タイプとして FileVersion を選択した場合に限り使用可能)チェックされるファイルのバージョンを入力します。

オペレーティング システム(Operating System)

ファイル条件が適用されるオペレーティング システムを選択します。

レジストリ条件の設定

次の表では、[レジストリ条件(Registry Conditions)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [ポスチャ(Posture)] > [レジストリ条件(Registry Condition)] です。

表 8 レジストリ条件の設定

フィールド

使用上のガイドライン

名前(Name)

レジストリ条件の名前を入力します。

説明(Description)

レジストリ条件の説明を入力します。

レジストリ タイプ(Registry Type)

レジストリ タイプとして事前定義済み設定の 1 つを選択します。

レジストリ ルート キー(Registry Root Key)

レジストリ ルート キーとして事前定義済み設定の 1 つを選択します。

サブ キー(Sub Key)

レジストリ ルート キーに指定されたパスのレジストリ キーをチェックするには、バックスラッシュ(「\」)なしでサブ キーを入力します。

たとえば、SOFTWARE\Symantec\Norton AntiVirus\version によって、次のパスのキーがチェックされます。

HKLM\SOFTWARE\Symantec\NortonAntiVirus\version

値の名前(Value Name)

([レジストリ タイプ(Registry Type)] として [RegistryValue] または [RegistryValueDefault] を選択した場合にのみ使用可能)[RegistryValue] をチェックするレジストリ キー値の名前を入力します。

これは [RegistryValueDefault] のデフォルト フィールドです。

値データ型(Value Data Type)

([レジストリ タイプ(Registry Type)] として [RegistryValue] または [RegistryValueDefault] を選択した場合にのみ使用可能)次の設定の 1 つを選択します。

  • [未指定(Unspecified)]:レジストリ キー値があるかどうかをチェックします。 このオプションは、[RegistryValue] の場合にのみ使用できます。

  • [数字(Number)]:レジストリ キー値の指定された数字をチェックします。

  • [文字列(String)]:レジストリ キー値の文字列をチェックします

  • [バージョン(Version)]:レジストリ キー値のバージョンをチェックします。

値演算子(Value Operator)

設定を適切に選択します。

値データ(Value Data)

([レジストリ タイプ(Registry Type)] として [RegistryValue] または [RegistryValueDefault] を選択した場合にのみ使用可能)[値データ型(Value Data Type)] で選択したデータ型に応じてレジストリ キーの値を入力します。

オペレーティング システム(Operating System)

レジストリ条件を適用する必要のあるオペレーティング システムを選択します。

アプリケーション条件の設定

次の表に、[アプリケーション条件(Application Conditions)] ページのフィールドを示します。 このページへのナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [ポスチャ(Posture)] > [アプリケーション条件(Application Conditions)] です。

表 9 アプリケーション条件の設定

フィールド

使用上のガイドライン

名前(Name)

アプリケーションの条件の名前を入力します。

説明(Description)

アプリケーションの状態の説明を入力します。

プロセス名(Process Name)

調べるアプリケーションの名前を入力します。

アプリケーション演算子(Application Operator)

調べるステータスを選択します。

オペレーティング システム(Operating System)

アプリケーション条件が適用されるオペレーティング システムを選択します。

サービス条件の設定

次の表では、[サービス条件(Service Conditions)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [ポスチャ(Posture)] > [サービス条件(Service Condition)] です。

表 10 サービス条件の設定

フィールド

使用上のガイドライン

名前(Name)

サービス条件の名前を入力します。

説明(Description)

サービス条件の説明を入力します。

サービス名(Service Name)

チェックするサービスの名前を入力します。

サービス オペレータ(Service Operator)

調べるステータスを選択します。

オペレーティング システム(Operating System)

サービス条件を適用する必要のあるオペレーティング システムを選択します。

ポスチャ複合条件の設定

次の表では、[複合条件(Compound Conditions)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [ポスチャ(Posture)] > [複合条件(Compound Condition)] です。

表 11 ポスチャ複合条件の設定

フィールド

使用上のガイドライン

名前(Name)

作成する複合条件の名前を入力します。

説明(Description)

作成する複合条件の説明を入力します。

オペレーティング システム(Operating System)

1 つ以上の Windows オペレーティング システムを選択します。 これにより、条件が適用される Windows オペレーティング システムを関連付けることができます。

カッコ ( )(Parentheses ( ))

ファイル、レジストリ、アプリケーション、サービス条件という単純な条件タイプから 2 つの単純条件を組み合わせるには、カッコをクリックします。

(& ):AND 演算子(AND 演算子には「&」を使用します)

複合条件内には AND 演算子(アンパサンド(&))を使用できます。 たとえば、Condition1 & Condition2 と入力します。

(|):OR 演算子(OR 演算子には「|」を使用します)

複合条件内には OR 演算子(縦線「|」)を使用できます。 たとえば、Condition1 & Condition2 と入力します。

( ! ):NOT 演算子(NOT 演算子には「!」を使用します)

複合条件内には NOT 演算子(感嘆符(!))を使用できます。 たとえば、Condition1 & Condition2 と入力します。

単純条件

ファイル、レジストリ、アプリケーション、サービス条件という単純条件のリストから選択します。

また、オブジェクト セレクタからファイル、レジストリ、アプリケーション、サービス条件という単純条件を作成できます。

ファイル、レジストリ、アプリケーション、サービス条件という単純条件を作成するには、[操作(Action)] ボタンのクイック ピッカー(下向き矢印)をクリックします。

アンチウイルス複合条件の設定

次の表に、[AV 複合条件(AV Compound Conditions)] ページのフィールドを示します。 このページへのナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [ポスチャ(Posture)] > [AV 複合条件(AV Compound Condition)] です。

表 12 アンチウイルス複合条件の設定

フィールド

使用上のガイドライン

名前(Name)

作成するアンチウイルス複合条件の名前を入力します。

説明(Description)

作成するアンチウイルス複合条件の説明を入力します。

オペレーティング システム(Operating System)

オペレーティング システムを選択して、クライアント上のアンチウイルス プログラムのインストールをチェックするか、または条件が適用される最新のアンチウイルス定義ファイルの更新をチェックします。

ベンダー(Vendor)

ドロップダウン リストからベンダーを選択します。 ベンダーを選択すると、アンチウイルス製品およびバージョンが取得され、[選択したベンダーの製品(Products for Selected Vendor)] テーブルに表示されます。

チェック タイプ(Check Type)

クライアント上でインストールをチェックするか、または最新の定義ファイルの更新をチェックするかを選択します。

インストール(Installation)

クライアント上のアンチウイルス プログラムのインストールのみをチェックする場合に選択します。

定義(Definition)

クライアント上のアンチウイルス製品の、最新の定義ファイルの更新のみをチェックする場合に選択します。

最新の AV 定義ファイルのバージョンに対してチェックします(使用可能な場合)。(Check against latest AV definition file version, if available.) (それ以外の場合は、最新の定義ファイルの日付に対してチェックします)。

([定義(Definition)] チェック タイプを選択した場合にのみ使用可能)クライアントのアンチウイルス定義ファイルのバージョンをチェックする場合に選択します。Cisco ISE でのポスチャ更新の結果として、最新のアンチウイルス定義ファイルのバージョンを使用できるときには、そのバージョンに対するチェックが行われます。 それ以外の場合、このオプションを使用すると、クライアント上の定義ファイルの日付を、Cisco ISE の最新の定義ファイルの日付に対してチェックできます。

ウイルス定義ファイルを(有効)にすることを許可する(Allow virus definition file to be (Enabled))

(定義チェック タイプを選択した場合のみ使用可能)アンチウイルス定義ファイルのバージョンと、クライアント上の最新のアンチウイルス定義ファイルの日付をチェックする場合に選択します。 最新の定義ファイルの日付が、製品の最新のアンチウイルス定義ファイルの日付または現在のシステム日付から、次のフィールド([より古い日数(days older than)] フィールド)で定義した日数よりも古いことは許容されません。

オフにした場合、[最新の AV 定義ファイルのバージョンに対してチェックします(使用可能な場合)。(Check against latest AV definition file version, if available.)] オプションを使用してアンチウイルス定義ファイルのバージョンのみをチェックすることができます。

より古い日数(days older than)

クライアント上の最新のアンチウイルス定義ファイルの日付が、製品の最新のアンチウイルス定義ファイルの日付または現在のシステム日付よりも何日古いことが許容されるかを定義します。 デフォルト値は 0 です。

最新のファイルの日付(latest file date)

[より古い日数(days older than)] クライアント上のアンチウイルス定義ファイルの日付をチェックすることを選択します。この日付は、フィールドで定義した日数だけ古いことが許容されます。

日数をデフォルト値(0)に設定する場合、クライアント上のアンチウイルス定義ファイルの日付が、製品の最新のアンチウイルス定義ファイルの日付よりも古いことは許容されません。

現在のシステム日付(current system date)

[より古い日数(days older than)] クライアント上のアンチウイルス定義ファイルの日付をチェックすることを選択します。この日付は、フィールドで定義した日数だけ古いことが許容されます。

日数をデフォルト値(0)に設定する場合、クライアント上のアンチウイルス定義ファイルの日付が、現在のシステム日付よりも古いことは許容されません。

選択したベンダーの製品(Products for Selected Vendor)

テーブルからアンチウイルス製品を選択します。 [新しいアンチウイルス複合条件(New Anti-virus Compound Condition)] ページで選択したベンダーに基づいて、テーブルは、アンチウイルス製品およびバージョン、提供する修復のサポート、最新の定義ファイルの日付とバージョンに関する情報を取得します。

テーブルから製品を選択すると、アンチウイルス プログラムのインストールをチェックしたり、最新のアンチウイルス定義ファイルの日付および最新バージョンをチェックしたりできます。

アンチスパイウェア複合条件の設定

次の表に、[AS 複合条件(AS Compound Conditions)] ページのフィールドを示します。 このページへのナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [AS 複合条件(AS Compound Condition)] です。

表 13 アンチスパイウェア複合条件の設定

フィールド

使用上のガイドライン

名前(Name)

作成するアンチスパイウェア複合条件の名前を入力します。

説明(Description)

作成するアンチスパイウェア複合条件の説明を入力します。

オペレーティング システム(Operating System)

オペレーティング システムを選択すると、クライアント上のアンチスパイウェア プログラムのインストールをチェックするか、または条件が適用される最新のアンチスパイウェア定義ファイルの更新をチェックすることができます。

ベンダー(Vendor)

ドロップダウン リストからベンダーを選択します。 ベンダーを選択すると、アンチスパイウェア製品およびバージョンが取得され、[選択したベンダーの製品(Products for Selected Vendor)] テーブルに表示されます。

チェック タイプ(Check Type)

クライアント上でインストールをチェックするか、または最新の定義ファイルの更新をチェックするか、いずれかのタイプを選択します。

インストール(Installation)

クライアント上のアンチスパイウェア プログラムのインストールのみをチェックする場合に選択します。

定義(Definition)

クライアント上のアンチスパイウェア製品の、最新の定義ファイルの更新のみをチェックする場合に選択します。

ウイルス定義ファイルを(有効)にすることを許可する(Allow virus definition file to be (Enabled))

このチェックボックスは、アンチスパイウェア定義チェック タイプを作成するときはオンにし、アンチスパイウェア インストール チェック タイプを作成するときはオフにします。

オンにすると、その選択により、クライアント上のアンチスパイウェア定義ファイルのバージョンおよび最新のアンチスパイウェア定義ファイルの日付をチェックできます。 最新の定義ファイルの日付が、現在のシステム日付から、[より古い日数(days older than)] フィールドで定義した日数より古いことは許容されません。

オフの場合、その選択により、[ウイルス定義ファイルを(有効)にすることを許可する(Allow virus definition file to be (Enabled))] チェックボックスがオフのときに、アンチスパイウェア定義ファイルのバージョンのみをチェックすることができます。

より古い日数(days older than)

クライアント上の最新のアンチスパイウェア定義ファイルの日付が、現在のシステム日付よりも何日古いことが許容されるかを定義します。 デフォルト値は 0 です。

現在のシステム日付(current system date)

[より古い日数(days older than)] クライアント上のアンチスパイウェア定義ファイルの日付をチェックすることを選択します。この日付は、フィールドで定義した日数だけ古いことが許容されます。

日数をデフォルト値(0)に設定する場合、クライアント上のアンチスパイウェア定義ファイルの日付が、現在のシステム日付よりも古いことは許容されません。

選択したベンダーの製品(Products for Selected Vendor)

テーブルからアンチスパイウェア製品を選択します。 [新しいアンチスパイウェア複合条件(New Anti-spyware Compound Condition)] ページで選択したベンダーに基づいて、テーブルは、アンチスパイウェア製品およびバージョン、提供する修復のサポート、最新の定義ファイルの日付とバージョンに関する情報を取得します。

テーブルから製品を選択すると、アンチスパイウェア プログラムのインストールをチェックしたり、最新のアンチスパイウェア定義ファイルの日付および最新バージョンをチェックしたりできます。

ディクショナリ単純条件の設定

次の表に、[ディクショナリ単純条件(Dictionary Simple Conditions)] ページのフィールドを示します。 このページへのナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [ポスチャ(Posture)] > [ディクショナリ単純条件(Dictionary Simple Conditions)] です。

表 14 ディクショナリ単純条件の設定

フィールド

使用上のガイドライン

名前(Name)

作成するディクショナリ単純条件の名前を入力します。

説明(Description)

作成するディクショナリ単純条件の説明を入力します。

属性(Attribute)

ディクショナリから属性を選択します。

演算子(Operator)

選択した属性に値を関連付ける演算子を選択します。

値(Value)

ディクショナリ属性に関連付ける値を入力するか、またはドロップダウン リストから事前定義済みの値を選択します。

ディクショナリ複合条件の設定

次の表に、[ディクショナリ複合条件(Dictionary Compound Conditions)] のページのフィールドを示します。 このページへのナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [ポスチャ(Posture)] > [ディクショナリ複合条件(Dictionary Compound Conditions)] です。

表 15 ディクショナリ複合条件の設定

フィールド

使用上のガイドライン

名前(Name)

作成するディクショナリ複合条件の名前を入力します。

説明(Description)

作成するディクショナリ複合条件の説明を入力します。

既存の条件をライブラリから選択(Select Existing Condition from Library)

ポリシー要素ライブラリから事前定義済みの条件を選択して式を定義するか、または後のステップでアドホック属性/値のペアを式に追加します。

条件名(Condition Name)

ポリシー要素ライブラリからすでに作成しているディクショナリ単純条件を選択します。

式(Expression)

[条件名(Condition Name)] ドロップダウン リストでの選択に基づいて式が更新されます。

AND または OR 演算子(AND or OR operator)

ライブラリから追加できるディクショナリ単純条件を論理的に組み合わせるには、AND または OR 演算子を選択します。

次の操作を行うには、[操作(Action)] アイコンをクリックします。

  • 属性/値の追加(Add Attribute/Value)

  • ライブラリから条件を追加(Add Condition from Library)

  • 削除(Delete)

新しい条件の作成(高度なオプション)(Create New Condition (Advance Option))

さまざまなシステム ディクショナリまたはユーザ定義ディクショナリから属性を選択します。

後のステップで事前定義された条件をポリシー要素ライブラリから追加することもできます。

条件名(Condition Name)

すでに作成したディクショナリ単純条件を選択します。

式(Expression)

[式(Expression)] ドロップダウン リストから、ディクショナリ単純条件を作成できます。

演算子(Operator)

属性に値を関連付ける演算子を選択します。

値(Value)

ディクショナリ属性に関連付ける値を入力するか、またはドロップダウン リストから値を選択します。

時刻と日付の条件の設定

次の表では、[時刻と日付の条件(Time and Date Conditions)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [共通(Common)] > [時刻と日付(Time and Date)] です。

表 16 時刻と日付の条件の設定

フィールド

使用上のガイドライン

条件名(Condition Name)

時刻と日付の条件の名前を入力します。

説明(Description)

時刻と日付の条件の説明を入力します。

標準設定(Standard Settings)

終日(All Day)

(デフォルト)全日用に設定します。

特定の時間(Specific Hours)

時間、分、および AM/PM を設定して、時間範囲を設定します。

毎日(Every Day)

(デフォルト)毎日用に設定します。

特定の曜日(Specific Days)

1 つ以上の特定の曜日を設定します。

開始日と終了日なし(No Start and End Dates)

(デフォルト)開始または終了日なしで設定します。

特定の日付範囲(Specific Date Range)

月、日、および年を設定して日付範囲を設定します。

特定の日付(Specific Date)

特定の月、日、年を設定します。

例外(Exceptions)

時間範囲(Time Range)

時間、分、および AM/PM を設定して、時間範囲を設定します。

曜日(Week Days)

1 つ以上の特定の曜日を設定します。

日付の範囲(Date Range)

次の 2 つのいずれかのオプションを選択します。

  • [特定の日付範囲(Specific Date Range)]:月、日、および年で特定の日付範囲を設定するために使用できるドロップダウン リストが提供されます。

  • [特定の日付(Specific Date)]:特定の月、日、および年を設定するために使用できるドロップダウン リストが提供されます。

結果

ここでは、Cisco ISE サービスの要件について説明します。

許可されるプロトコル サービスの設定

次の表に、認証中に使用するプロトコルを設定できるようにする [許可されるプロトコル サービス(Allowed Protocols Services)] ページのフィールドを示します。 このページへのナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [認証(Authentication)] > [許可されるプロトコル(Allowed Protocols)] です。

次の表で、PAC は Protected Access Credentials を意味します。

表 17 許可されるプロトコル サービスの設定

フィールド

使用上のガイドライン

許可されるプロトコル

ホスト ルックアップの処理(Process Host Lookup)

たとえば RADIUS Service-Type が 10 の場合に [ホスト ルックアップ(Host Lookup)] フィールドを処理し、RADIUS Calling-Station-ID 属性の System UserName 属性を使用するように ISE を設定するには、このチェックボックスをオンにします。 Cisco ISE でホスト ルックアップ要求を無視し、認証に system UserName 属性の元の値を使用するには、このチェックボックスをオフにします。 オフにすると、メッセージ処理はプロトコル(たとえば PAP)に従って行われます。

認証プロトコル(Authentication Protocols)

PAP/ASCII を許可(Allow PAP/ASCII)

[PAP をホスト ルックアップとして検出する(Detect PAP as Host Lookup)] をオンにして、このタイプの要求を PAP ではなくホスト ルックアップ要求として検出するように Cisco ISE を設定するには、このチェックボックスをオンにします。

このオプションによって、PAP/ASCII が有効になります。 PAP は、平文パスワード(つまり暗号化されていないパスワード)を使用する最も安全性の低い認証プロトコルです。

CHAP を許可(Allow CHAP)

[CHAP をホスト ルックアップとして検出する(Detect CHAP as Host Lookup)] をオンにして、このタイプの要求をホスト ルックアップ要求として検出するように Cisco ISE を設定するには、このチェックボックスをオンにします。 このオプションを有効にすると、シスコ以外のデバイスでの MAB が ISE によって許可されます。

このオプションによって、CHAP 認証が有効になります。 CHAP は、パスワードの暗号化とともにチャレンジ/レスポンス方式を使用します。 CHAP は、Microsoft Active Directory では使用できません。

MS-CHAPv1 を許可(Allow MS-CHAPv1)

MS-CHAPv1 を有効にするには、このチェックボックスをオンにします。

MS-CHAPv2 を許可(Allow MS-CHAPv2)

MS-CHAPv2 を有効にするには、このチェックボックスをオンにします。

EAP-MD5 を許可(Allow EAP-MD5)

EAP ベースの MD5 ハッシュ認証を有効にするには、このチェックボックスをオンにします。

[EAP-MD5 を許可(Allow EAP-MD5)] チェックボックスをオンにすると、[EAP-MD5 をホスト ルックアップとして検出する(Detect EAP-MD5 as Host Lookup)] チェックボックスをオンにして、このタイプの要求を EAP-MD5 ではなくホスト ルックアップ要求として検出するように Cisco ISE を設定できます。

EAP-TLS を許可(Allow EAP-TLS)

EAP-TLS 認証プロトコルを有効にする場合、および EAP-TLS 設定値を設定する場合は、このチェックボックスをオンにします。 エンドユーザ クライアントからの EAP Identity 応答で提示されたユーザ ID を Cisco ISE が確認する方法を指定できます。 ユーザ ID は、エンドユーザ クライアントによって提示された証明書の情報に照らして確認されます。 この比較は、Cisco ISE とエンドユーザ クライアントとの間に EAP-TLS トンネルが確立された後に行われます。

(注)     

EAP-TLS は、証明書ベースの認証プロトコルです。 EAP-TLS 認証が行われるのは、証明書の設定に必要な手順を完了した場合に限られます。

ユーザによる証明書の更新を許可する場合は、[期限切れ証明書の認証を許可して、許可ポリシーの証明書の更新を許可する(Allow authentication of expired certificates to allow certificate renewal in Authorization Policy)] チェックボックスをオンにします。 このチェックボックスをオンにすると、要求をさらに処理する前に証明書が更新されたかどうかをチェックするように適切な許可ポリシー ルールを設定します。

LEAP を許可(Allow LEAP)

Lightweight Extensible Authentication Protocol(LEAP)認証を有効にするには、このチェックボックスをオンにします。

PEAP を許可(Allow PEAP)

PEAP 認証プロトコルおよび PEAP 設定値を有効にする場合は、このチェックボックスをオンにします。 デフォルトの内部方式は、MS-CHAPv2 です。

[PEAP を許可(Allow PEAP)] チェックボックスをオンにすると、次の PEAP 内部方式を設定できます。

  • [EAP-MS-CHAPv2 を許可(Allow EAP-MS-CHAPv2)]:内部方式として EAP-MS-CHAPv2 を使用する場合は、このチェックボックスをオンにします。

    • [パスワード変更の許可(Allow Password Change)]:Cisco ISE でパスワード変更をサポートする場合は、このチェックボックスをオンにします。

    • [再試行(Retry Attempts)]:Cisco ISE でログイン失敗を返す前にユーザ クレデンシャルを要求する回数を指定します。 有効な値は 1 ~ 3 です。

  • [EAP-GTC を許可(Allow EAP-GTC)]:内部方式として EAP-GTC を使用する場合は、このチェックボックスをオンにします。

    • [パスワード変更の許可(Allow Password Change)]:Cisco ISE でパスワード変更をサポートする場合は、このチェックボックスをオンにします。

    • [再試行(Retry Attempts)]:Cisco ISE でログイン失敗を返す前にユーザ クレデンシャルを要求する回数を指定します。 有効な値は 1 ~ 3 です。

  • [EAP-TLS を許可(Allow EAP-TLS)]:内部方式として EAP-TLS を使用する場合は、このチェックボックスをオンにします。

    ユーザによる証明書の更新を許可する場合は、[期限切れ証明書の認証を許可して、許可ポリシーの証明書の更新を許可する(Allow authentication of expired certificates to allow certificate renewal in Authorization Policy)] チェックボックスをオンにします。 このチェックボックスをオンにすると、要求をさらに処理する前に証明書が更新されたかどうかをチェックするように適切な許可ポリシー ルールを設定します。

  • [レガシー クライアントにのみ PEAPv0 を許可(Allow PEAPv0 only for legacy clients)]:PEAP サプリカントが PEAPv0 を使用してネゴシエーションできるようにするには、このチェックボックスをオンにします。 一部のレガシー クライアントは PEAPv1 プロトコル規格に準拠しません。 そのような EAP カンバセーションがドロップされないようにするには、このチェックボックスをオンにします。

EAP-FAST を許可(Allow EAP-FAST)

EAP-FAST 認証プロトコルおよび EAP-FAST 設定を有効にする場合は、このチェックボックスをオンにします。 EAP-FAST プロトコルは、同じサーバ上の複数の内部プロトコルをサポートできます。 デフォルトの内部方式は、MS-CHAPv2 です。

[EAP-FAST を許可(Allow EAP-FAST)] チェックボックスをオンにすると、EAP-FAST を内部方式として設定できます。

  • EAP-MS-CHAPv2 を許可(Allow EAP-MS-CHAPv2)

    • [パスワード変更の許可(Allow Password Change)]:Cisco ISE で EAP-FAST のフェーズ 0 とフェーズ 2 でのパスワード変更をサポートする場合は、このチェックボックスをオンにします。

    • [再試行(Retry Attempts)]:Cisco ISE でログイン失敗を返す前にユーザ クレデンシャルを要求する回数を指定します。 有効な値は 1 ~ 3 です。

  • EAP-GTC を許可(Allow EAP-GTC)

    [パスワード変更の許可(Allow Password Change)]:Cisco ISE で EAP-FAST のフェーズ 0 とフェーズ 2 でのパスワード変更をサポートする場合は、このチェックボックスをオンにします。

    [再試行(Retry Attempts)]:Cisco ISE でログイン失敗を返す前にユーザ クレデンシャルを要求する回数を指定します。 有効な値は 1 ~ 3 です。

  • [PAC の使用(Use PACs)]:EAP-FAST クライアントに認可 PAC をプロビジョニングするように Cisco ISE を設定する場合にこのオプションを選択します。 追加の PAC オプションが表示されます。

  • [PAC を使用しない(Don’t use PACs)]:トンネルまたはマシン PAC を発行したり受け入れたりしないで EAP-FAST を使用するように Cisco ISE を設定する場合にこのオプションを選択します。 PAC のすべての要求は無視され、Cisco ISE は PAC を含まない Success-TLV で応答します。

    このオプションを選択すると、マシン認証を実行するように Cisco ISE を設定できます。

  • [EAP-TLS を許可(Allow EAP-TLS)]:内部方式として EAP-TLS を使用する場合は、このチェックボックスをオンにします。

    ユーザによる証明書の更新を許可する場合は、[期限切れ証明書の認証を許可して、許可ポリシーの証明書の更新を許可する(Allow authentication of expired certificates to allow certificate renewal in Authorization Policy)] チェックボックスをオンにします。 このチェックボックスをオンにすると、要求をさらに処理する前に証明書が更新されたかどうかをチェックするように適切な許可ポリシー ルールを設定します。

  • [EAP チェーンを有効化(Enable EAP Chaining)]:EAP チェーンを有効にするには、このチェックボックスをオンにします。

    EAP チェーンによって、Cisco ISE はユーザ認証とマシン認証の結果を関連付け、EAPChainingResult 属性を使用して適切な許可ポリシーを適用することができます。

    EAP チェーンには、クライアント デバイスで EAP チェーンをサポートするサプリカントが必要です。 Cisco ISE は、AnyConnect 4.0 をサポートします。 サプリカントで [ユーザ認証およびマシン認証(User and Machine Authentication)] オプションを選択します。

    EAP チェーンは、EAP-FAST プロトコル(PAC ベース モードおよび PAC レス モードの両方)を選択するときに使用できます。

    PAC ベースの認証では、ユーザ認可 PAC またはマシン認可 PAC のいずれかを使用するか、両方を使用して内部方式をスキップすることができます。

    証明書ベースの認証では、(許可されるプロトコル サービスの)EAP-FAST プロトコルに対して [プロビジョニングの受信クライアント証明書(Accept Client Certificate for Provisioning)] オプションが有効な場合、およびエンドポイント(AnyConnect)がトンネル内のユーザ証明書を送信するように設定されている場合、トンネルの確立中に、ISE が証明書を使用してユーザを認証し(内部方式はスキップされます)、マシン認証は内部方式によって実行されます。 これらのオプションが設定されていない場合、EAP-TLS が内部方式としてユーザ認証に使用されます。

    EAP チェーンを有効にした後、許可ポリシーを更新し、NetworkAccess:EapChainingResult 属性を使用して条件を追加し、適切な権限を割り当てます。 次に例を示します。

    • EapChainingResult = ユーザとマシンの両方が成功:フル アクセス

    • EapChainingResult = ユーザは成功、マシンは失敗:アクセス制限

    • EapChainingResult = ユーザは失敗、マシンは成功:アクセス制限

    • EapChainingResult = ユーザとマシンの両方が失敗:認証の失敗。 Cisco ISE は許可ポリシーを処理せず、アクセス拒否メッセージを送信しません。

優先 EAP プロトコル(Preferred EAP protocol)

EAP-FAST、PEAP、LEAP、EAP-TLS、および EAP-MD5 から任意の優先 EAP プロトコルを選択するには、このチェックボックスをオンにします。 デフォルトでは、LEAP は、このフィールドを有効にしない場合に使用する優先プロトコルです。

PAC オプション

次の表では、[許可されるプロトコル サービス リスト(Allowed Protocols Services List)] ページで [PAC を使用(Use PAC)] を選択した後のフィールドについて説明します。 このページへのナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [認証(Authentication)] > [許可されるプロトコル(Allowed Protocols)] です。

表 18 PAC オプション

フィールド

使用上のガイドライン

PAC を使用(Use PAC)

  • [トンネル PAC の存続可能時間(Tunnel PAC Time To Live)]:存続可能時間(TTL)の値によって PAC のライフタイムが制限されます。 ライフタイム値と単位を指定します。 デフォルトは 90 日です。 範囲は 1 ~ 1825 日です。

  • [プロアクティブ PAC 更新の条件:<n%> の PAC TTL が残っている場合(Proactive PAC Update When: <n%> of PAC TTL is Left)]:Update 値により、クライアントに有効な PAC が保持されます。 Cisco ISE は、最初に認証が成功してから TTL によって設定された有効期限までに更新を開始します。 update 値は、TTL の残り時間のパーセンテージです。 デフォルトは 90 % です。

  • [匿名インバンド PAC プロビジョニングを許可(Allow Anonymous In-band PAC Provisioning)]:Cisco ISE でクライアントとのセキュアな匿名 TLS ハンドシェイクを確立し、クライアントに PAC をプロビジョニングする場合にこのチェックボックスをオンにします。その際、EAP-FAST のフェーズ 0 と EAP-MSCHAPv2 が使用されます。 匿名 PAC プロビジョニングを有効にするには、内部方式として EAP-MSCHAPv2 と EAP-GTC の両方を選択する必要があります。

  • [認証付きインバンド PAC プロビジョニングを許可(Allow Authenticated In-band PAC Provisioning)]:Cisco ISE は SSL サーバ側の認証を使用して、EAP-FAST のフェーズ 0 中にクライアントに PAC をプロビジョニングします。 このオプションは匿名プロビジョニングよりもセキュアですが、サーバ証明書および信頼できるルート CA が Cisco ISE にインストールされている必要があります。

    このオプションをオンにすると、認証された PAC プロビジョニングの成功後に Access-Accept メッセージをクライアントに返すように Cisco ISE を設定できます。

    • [認証されたプロビジョニングの後にサーバから Access-Accept を返す(Server Returns Access Accept After Authenticated Provisioning)]:認証された PAC プロビジョニングの後に Cisco ISE から access-accept パッケージを返す場合にこのチェックボックスをオンにします。

  • [マシン認証を許可(Allow Machine Authentication)]:Cisco ISE でエンドユーザ クライアントにマシン PAC をプロビジョニングし、(マシン クレデンシャルを持たないエンドユーザ クライアントに対して)マシン認証を実行する場合にこのチェックボックスをオンにします。 マシン PAC は、要求(インバンド)によって、または管理者(アウトオブバンド)によって、クライアントにプロビジョニングできます。 Cisco ISE がエンドユーザ クライアントから有効なマシン PAC を受信すると、その PAC からマシン ID の詳細が抽出され、Cisco ISE 外部 ID ソースで確認されます。 マシン認証の外部 ID ソースとして Cisco ISE によってサポートされるのは、Active Directory だけです。 その詳細が正しいことが確認されると、その後の認証は実行されません。

    このオプションをオンにすると、マシン PAC を使用するために受け入れることができる期間の値を入力できます。 Cisco ISE は、期限切れのマシン PAC を受け取ると、(エンドユーザ クライアントからの新規マシン PAC 要求を待たずに)エンドユーザ クライアントに新規マシン PAC を自動的に再プロビジョニングします。

  • [ステートレス セッション再開の有効化(Enable Stateless Session Resume)]:Cisco ISE で EAP-FAST クライアントに認可 PAC をプロビジョニングし、常に EAP-FAST のフェーズ 2 を実行する場合にこのチェックボックスをオンにします(デフォルトはオン)。

    このチェックボックスは次の場合にオフにします。

    • Cisco ISE が EAP-FAST クライアントに認可 PAC をプロビジョニングしないようにする場合

    • EAP-FAST のフェーズ 2 を常に実行する場合

      このオプションをオンにすると、ユーザ認可 PAC の認可期間を入力できます。 この期間の終了後、PAC は期限切れになります。 Cisco ISE は期限切れの認可 PAC を受信すると、EAP-FAST 認証のフェーズ 2 を実行します。

許可プロファイルの設定

次の表に、[標準許可プロファイル(Standard Authorization Profiles)] ページのフィールドを示します。 このページへのナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [許可(Authorization)] > [許可プロファイル(Authorization Profiles)] です。

表 19 許可プロファイルの設定

フィールド

使用上のガイドライン

名前(Name)

新しい許可プロファイルを識別する名前を入力します。

説明(Description)

許可プロファイルの説明を入力します。

アクセス タイプ(Access Type)

アクセス タイプ オプション([ACCESS_ACCEPT] または [ACCESS_REJECT])を選択します。

サービス テンプレート(Service Template)

Cisco ISE で SAnet 対応デバイスから接続しているセッションをサポートできるようにする場合にこのチェックボックスをオンにします。 ISE は、サービス テンプレートを、「サービス テンプレート」互換としてマークする特別なフラグを含む許可プロファイルとして実行します。 このようにすると、認可プロファイルでもあるサービス テンプレートを 1 つのポリシーで使用して、SAnet および非 SAnet デバイスとの接続をサポートできます。

共通タスク(Common Tasks)

DACL 名(DACL Name)

チェックボックスをオンにし、使用可能な既存のダウンロード可能 ACL オプションを選択します(たとえば、Cisco ISE には、ドロップダウン リストに [PERMIT_ALL_TRAFFIC] または [DENY_ALL_TRAFFIC] の 2 つのデフォルト値が用意されています)。 リストには、ローカル データベースの、現在のすべての DACL が含まれています。

VLAN

チェックボックスをオンにし、作成している新しい許可プロファイルに関連付ける仮想 LAN(VLAN)ID を識別する属性値を入力します(VLAN ID には整数値と文字列値の両方がサポートされます)。 このエントリの形式は、Tunnel-Private-Group-ID:VLANnumber です。

(注)     

VLAN ID を選択しないと、Cisco ISE は、デフォルト値である VLAN ID = 1 を使用します。 たとえば、VLAN 番号として 123 とのみ入力した場合、[属性詳細(Attributes Details)] ペインは次の値を反映します。Tunnel-Private-Group-ID = 1:123。

音声ドメイン権限(Voice Domain Permission)

チェックボックスをオンにして「cisco-av-pair」のベンダー固有属性(VSA)を有効にし、「device-traffic-class=voice」の値と関連付けます。 複数ドメインの許可モードでは、ネットワーク スイッチがこの VSA を受信した場合、エンドポイントは、許可後に音声ドメインに配置されます。

ポスチャ検出(Posture Discovery)

チェックボックスをオンにして Cisco ISE のポスチャ検出に使用されるリダイレクション プロセスを有効にし、この許可プロファイルに関連付けるデバイスの ACL を入力します。 たとえば、入力した値が acl119 の場合、これは [属性詳細(Attributes Details)] ペインで cisco-av-pair = url-redirect-acl = acl119 として反映されます。 [属性詳細(Attributes Details)] ペインには、cisco-av-pair = url-redirect=https://ip:8443/guestportal/gateway?sessionid= SessionValueIdValue&action=cpp も表示されます。

中央集中 Web 認証(Centralized Web Authentication)

チェックボックスをオンにして、ポスチャ検出と似ているがゲスト ユーザのアクセス要求を Cisco ISE のゲスト サーバにリダイレクトするリダイレクション プロセスを有効にします。 この許可プロファイルに関連付けるデバイスの ACL を入力し、redirect オプションとして [デフォルト(Default)] または [手動(Manual)] を選択します。 たとえば、入力した値が acl-999 の場合、これは [属性詳細(Attributes Details)] ペインで cisco-av-pair = url-redirect-acl = acl-99 として反映されます。 [属性詳細(Attributes Details)] ペインには、cisco-av-pair = url-redirect=https://ip:8443/guestportal/gateway?sessionid=SessionValueIdValue&action=cwa も表示されます。

ユーザをリダイレクトする正確な IP アドレスまたはホスト名を指定するには、[スタティック IP/ホスト名(Static IP/Host Name)] チェックボックスをオンにします。 このチェックボックスがオフの場合、ユーザはこの要求を受信したポリシー サービス ノードの FQDN にリダイレクトされます。

Web リダイレクション(Web Redirection)(CWA、DRW、MDM、NSP、CPP)

Auto SmartPort

チェックボックスをオンにして Auto SmartPort 機能を有効にし、対応するイベント名の値をテキスト ボックスに入力します。 これにより、VSA cisco-av-pair が有効になり、このオプションの値が「auto-smart-port=event_name」になります。 選択は [属性詳細(Attributes Details)] ペインに反映されます。

フィルタ ID(Filter-ID)

チェックボックスをオンにして、テキスト ボックスで定義した ACL 名(これには自動的に「.in」が付加されます)を送信する RADIUS フィルタ属性を有効にします。 選択は [属性詳細(Attributes Details)] ペインに反映されます。

再認証(Reauthentication)

チェックボックスをオンにし、再認証中に接続を維持するために値を秒単位で入力します。 [タイマー(Timer)] ドロップダウン リストから属性値を選択することもできます。 デフォルト(値 0)または [RADIUS 要求(RADIUS-Request)](値 1)を使用すること選択して、再認証中に接続を維持することを選択します。 これを [RADIUS 要求(RADIUS-Request)] 値に設定すると、再認証プロセス中に接続が維持されます。

MACSec ポリシー(MACSec Policy)

チェックボックスをオンにして、MACSec 対応クライアントが Cisco ISE に接続したときに必ず MACSec 暗号化ポリシーを有効にし、次の 3 つのオプションのいずれかを選択します。[must-secure]、[should-secure]、または [must-not-secure]。 たとえば、選択肢は [属性詳細(Attributes Details)] ペインに cisco-av-pair = linksec-policy=must-secure として反映されます。

NEAT

チェックボックスをオンにして、ネットワーク間の ID 認識を拡張する機能であるネットワーク エッジ アクセス トポロジ(NEAT)を有効にします。 このチェックボックスをオンにすると、[属性詳細(Attributes Details)] ペインに、cisco-av-pair = device-traffic-class=switch という値が表示されます。

Web 認証(ローカル Web 認証)(Web Authentication (Local Web Auth))

チェックボックスをオンにしてこの許可プロファイルのローカル Web 認証を有効にします。 この値では、Cisco ISE が DACL とともに VSA を送信することによって Web 認証の許可をスイッチが認識できます。 VSA は cisco-av-pair = priv-lvl=15 で、これは [属性詳細(Attributes Details)] ペインで反映されます。

ワイヤレス LAN コントローラ(WLC)(Wireless LAN Controller (WLC))

チェックボックスをオンにし、テキスト フィールドに ACL 名を入力します。 この値は、必須の [Airespace VSA] で使用され、ローカルで定義された ACL の WLC 上の接続への追加を許可します。 たとえば、rsa-1188 と入力した場合、これは [属性詳細(Attributes Details)] ペインに Airespace-ACL-Name = rsa-1188 として反映されます。

ASA VPN

チェックボックスをオンにして、適応型セキュリティ アプライアンス(ASA)VPN グループ ポリシーを有効にします。 [属性(Attribute)] リストから値を選択してこの設定を行います。

高度な属性設定(Advanced Attributes Settings)

ディクショナリ(Dictionaries)

下矢印アイコンをクリックし、[ディクショナリ(Dictionaries)] ウィンドウに選択可能なオプションを表示します。 目的のディクショナリおよび属性をクリックして選択し、最初のフィールドで設定します。

属性値(Attribute Values)

下矢印アイコンをクリックし、[属性値(Attribute Values)] ウィンドウに選択可能なオプションを表示します。 2 番目のフィールドに目的の属性グループおよび属性値をクリックして選択します。 この値は、最初のフィールドで選択した値と一致します。 設定する [高度な属性(Advanced Attributes)] 設定が [属性詳細(Attribute Details)] パネルに表示されます。

(注)     

[属性詳細(Attributes Details)] ペインに表示された読み取り専用値を変更または削除するには、対応する [共通タスク(Common Tasks)] フィールドまたは [高度な属性設定(Advanced Attributes Settings)] ペインの [属性値(Attribute Values)] テキスト ボックスで選択した属性でこれらの値を変更または削除する必要があります。

属性詳細(Attributes Details)

このペインは、[共通タスク(Common Tasks)] および [高度な属性(Advanced Attributes)] に設定した設定済みの属性値を表示します。

(注)     

[属性詳細(Attributes Details)] ペインに表示される値は読み取り専用で、このペインでは編集または削除できません。

プロファイリング例外アクションの設定

次の表では、[新規プロファイラ例外アクション(New Profiler Exception Action)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [プロファイリング(Profiling)] > [例外アクション(Exception Actions)] です。

表 20 例外アクションの作成

フィールド

使用上のガイドライン

名前(Name)

作成する例外アクションの名前を入力します。

説明(Description)

作成する例外アクションの説明を入力します。

CoA を適用する CoA アクション(CoA Action to enforce CoA)

CoA を適用するには、[CoA アクション(CoA Action)] チェックボックスをオンにします。

エンドポイント プロファイリング ポリシーで例外アクションを関連付けて CoA を適用する場合は、Cisco ISE で CoA をグローバルに設定する必要があります。これは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロファイリング(Profiling)] で実行できます。

ポリシー割り当て(Policy Assignment)

[ポリシー割り当て(Policy Assignment)] ドロップダウン リストをクリックして Cisco ISE に設定されたエンドポイント プロファイリング ポリシーを表示し、例外アクションがトリガーされると一致した値に関係なくエンドポイントがプロファイリングされるプロファイリング ポリシーを選択します。

システム タイプ(System Type)

例外アクションのタイプは次のいずれかになります。

  • [シスコ提供(Cisco Provided)]:AuthorizationChange、EndpointDelete および FirstTimeProfile が含まれます。

  • [管理者作成(Administrator Created)]:Cisco ISE の管理者として作成されたものが含まれます。

ファイル修復

次の表では、[ファイル修復(File Remediation)] ページのフィールドについて説明します。 このページのナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] > [修復アクション(Remediation Actions)] > [ファイル修復(File Remediation)] です。

表 21 ファイル修復

フィールド

使用上のガイドライン

ファイルの修復名(File Remediation Name)

ファイル修復の名前を入力します。 作成して保存した後は、ファイル修復名を編集できません。

ファイル修復の説明(File Remediation Description)

ファイル修復の説明を入力します。

バージョン(Version)

ファイル バージョンを入力します。

アップロードするファイル(File to upload)

[参照(Browse)] をクリックして、Cisco ISE サーバにアップロードするファイル名を特定します。 これは、ファイル修復アクションがトリガーされたときにクライアントにダウンロードされるファイルです。

リンク修復

次の表では、[リンク修復(Link Remediation)] ページのフィールドについて説明します。 ナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] > [修復アクション(Remediation Actions)] > [リンク修復(Link Remediation)] です。

表 22 リンク修復

フィールド

使用上のガイドライン

リンク修復名(Link Remediation Name)

リンク修復の名前を入力します。

リンク修復の説明(Link Remediation Description)

リンク修復の説明を入力します。

修復タイプ(Remediation Type)

次のいずれかを選択します。

  • [自動(Automatic)]:選択されている場合、[間隔(Interval)] および [再試行回数(Retry Count)] の値を入力する必要があります。

  • [手動(Manual)]:選択されていると、[再試行回数(Retry Count)] および [間隔(Interval)] フィールドは編集できません。

再試行回数(Retry Count)

クライアントがリンクからの修復を試行できる回数を入力します。

間隔(秒単位)(Interval (in seconds))

クライアントが前回の試行後にリンクからの修復を試行できる時間間隔を秒単位で入力します。

URL

修復のページまたはリソースへの有効な URL を入力します。

アンチウイルス修復

次の表に、[AV 修復(AV Remediation)] ページのフィールドを示します。 ナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] > [修復アクション(Remediation Actions)] > [AV 修復(AV Remediation)] です。

表 23 アンチウイルス修復

フィールド

使用上のガイドライン

名前(Name)

アンチウイルス修復の名前を入力します。

説明(Description)

アンチウイルス修復の説明を入力します。

修復タイプ(Remediation Type)

次のいずれかを選択します。

  • [自動(Automatic)]:選択されている場合、[間隔(Interval)] および [再試行回数(Retry Count)] の値を入力する必要があります。

  • [手動(Manual)]:選択されていると、[再試行回数(Retry Count)] および [間隔(Interval)] フィールドは編集できません。

間隔(秒単位)(Interval (in seconds))

クライアントが修復を試行した後で次回の試行ができるようになるまでの時間間隔を秒単位で入力します。

再試行回数(Retry Count)

クライアントがアンチウイルス定義の更新を試行できる回数を入力します。

オペレーティング システム(Operating System)

次のいずれかを選択します。

  • Windows

  • Macintosh:選択されていると、[修復タイプ(Remediation Type)] フィールド、[間隔(Interval)] フィールド、および [再試行回数(Retry Count)] フィールドは編集できません

AV ベンダー名(AV Vendor Name)

アンチウイルス ベンダーを選択します。

アンチスパイウェア修復

次の表に、[AS 修復(AS Remediation)] ページのフィールドを示します。 ナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] > [修復アクション(Remediation Actions)] > [AS 修復(AS Remediation)] です。

表 24 アンチスパイウェア修復

フィールド

使用上のガイドライン

名前(Name)

アンチスパイウェア修復の名前を入力します。

説明(Description)

アンチスパイウェア修復の説明を入力します。

修復タイプ(Remediation Type)

次のいずれかを選択します。

  • [自動(Automatic)]:選択されている場合、[間隔(Interval)] および [再試行回数(Retry Count)] の値を入力する必要があります。

  • [手動(Manual)]:選択されていると、[再試行回数(Retry Count)] および [間隔(Interval)] フィールドは編集できません。

間隔(秒単位)(Interval (in seconds))

クライアントが修復を試行した後で次回の試行ができるようになるまでの時間間隔を秒単位で入力します。

再試行回数(Retry Count)

クライアントがアンチスパイウェア定義の更新を試行できる試行回数を入力します。

オペレーティング システム(Operating System)

次のいずれかを選択します。

  • Windows

  • Macintosh:選択した場合、[修復タイプ(Remediation Type)]、[間隔(Interval)]、および [再試行回数(Retry Count)] フィールドは編集できません。

AS のベンダー名(AS Vendor Name)

アンチスパイウェア ベンダーを選択します。

プログラム修復起動

次の表では、[プログラム修復起動(Launch Program Remediation)] ページのフィールドについて説明します。 ナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] > [修復アクション(Remediation Actions)] > [プログラム修復起動(Launch Program Remediation)] です。

表 25 プログラム修復起動

フィールド

使用上のガイドライン

名前(Name)

プログラム修復起動の名前を入力します。

説明(Description)

ユーザが作成するプログラム修復起動の説明を入力します。

修復タイプ(Remediation Type)

次のいずれかを選択します。

  • [自動(Automatic)]:選択した場合、[再試行回数(Retry Count)] および [間隔(Interval)] オプションに入力する必要があります。

  • [手動(Manual)]:選択されている場合、[間隔(Interval)] および [再試行回数(Retry Count)] フィールドは編集できません。

間隔(秒単位)(Interval (in seconds))

クライアントが修復を試行した後で次回の試行ができるようになるまでの時間間隔を秒単位で入力します。

再試行回数(Retry Count)

必要なプログラムを起動するためにクライアントが試行できる回数を入力します。

プログラムのインストール パス(Program Installation Path)

ドロップダウン リストから、修復プログラムがインストールされるパスを選択します。

  • ABSOLUTE_PATH:修復プログラムは、ファイルの完全修飾パスにインストールされます。 例:C:\<directory>\

  • SYSTEM_32:修復プログラムは C:\WINDOWS\system32 ディレクトリにインストールされます。

  • SYSTEM_DRIVE:修復プログラムは C:\ ドライブにインストールされます。

  • SYSTEM_PROGRAMS:修復プログラムは C:\Program Files ファイルにインストールされます。

  • SYSTEM_ROOT:修復プログラムは Windows システムのルート パスにインストールされます。

プログラム実行ファイル(Program Executable)

修復プログラムの実行ファイルまたはインストール ファイルの名前を入力します。

プログラム パラメータ(Program Parameters)

修復プログラムに必要なパラメータを入力します。

既存プログラム(Existing Programs)

既存プログラム テーブルは修復プログラムのインストール パス、名前、およびパラメータ(存在する場合)を表示します。

  • 既存プログラム リストに修復プログラムを追加するには、[追加(Add)] をクリックします。

  • リストから修復プログラムを削除するには、削除アイコンをクリックします。

Windows Update 修復

次の表では、[Windows Update 修復(Windows Update Remediation)] ページのフィールドについて説明します。 ナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] > [修復アクション(Remediation Actions)] > [Windows Update 修復(Windows Update Remediation)] です。

表 26 Windows Update 修復

フィールド

使用上のガイドライン

名前(Name)

Windows Update 修復の名前を入力します。

説明(Description)

Windows Update 修復の説明を入力します。

修復タイプ(Remediation Type)

次のいずれかを選択します。

  • [自動(Automatic)]:選択した場合、[再試行回数(Retry Count)] および [間隔(Interval)] オプションに入力する必要があります。

  • [手動(Manual)]:選択されている場合、[間隔(Interval)] および [再試行回数(Retry Count)] フィールドは編集できません。

間隔(秒単位)(Interval (in seconds))

クライアントが修復を試行した後で次回の試行ができるようになるまでの時間間隔を秒単位で入力します。

再試行回数(Retry Count)

Windows クライアントが Windows Update を試行できる回数を入力します。

Windows Update 設定(Windows Update Setting)

次のオプションから選択します。

  • [設定を変更しない(Do not change setting)]:Windows 自動更新のクライアント設定は、Windows Update 修復中または実行後に変更されません。

  • [ダウンロードおよびインストールを通知(Notify to download and install)]:Windows によってクライアントへの通知のみが行われ、ダウンロードやインストールは自動的には行われません。

  • [自動的にダウンロードし、インストールを通知(Automatically download and notify to install)]:Windows によってクライアントに更新プログラムがダウンロードされ、Windows Update をインストールするようにクライアントに通知されます。

  • [自動的にダウンロードしてインストール(Automatically download and install)]:Windows によって自動的に Windows Update がダウンロードされてインストールされます。 これは、Windows クライアントに対して強く推奨される設定です。

Windows Update 設定を管理者の設定でオーバーライド(Override User’s Windows Update setting with administrator’s)

Windows Update 修復の実行中および実行後に、管理者が Windows 自動更新に対して指定した設定をすべてのクライアント マシンに適用するには、このチェックボックスをチェックします。

このチェックボックスをオフにすると、次の設定が適用されます。

  • 管理者が指定した設定(Windows クライアントで自動更新が無効になっている場合のみ)。

  • Windows クライアントが指定した設定(クライアントで Windows 自動更新が有効になっている場合のみ)。

Windows Server Update Services 修復

次の表では、[Windows Update 修復(Windows Update Remediation)] ページのフィールドについて説明します。 ナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] > [修復アクション(Remediation Actions)] > [Windows Update 修復(Windows Update Remediation)] です。

表 27 WSUS 修復

フィールド

使用上のガイドライン

名前(Name)

WSUS 修復の名前を入力します。

説明(Description)

WSUS 修復の説明を入力します。

修復タイプ(Remediation Type)

次のオプションから選択します。

  • [自動(Automatic)]:NAC Agent は、Windows クライアントを最新の WSUS 更新で更新します。

  • [手動(Manual)]:選択すると、[間隔(Interval)] フィールドと [再試行回数(Retry Count)] フィールドを編集できなくなります。 ユーザは、コンプライアンスのために、Microsoft で管理されている WSUS サーバまたはローカルに管理されている WSUS サーバからの最新の WSUS 更新を使用して、Windows クライアントを手動で更新します。

間隔(秒単位)(Interval (in seconds))

NAC Agent と Web Agent が前回の試行後に再試行を試みるまでに WSUS 更新を遅延させる間隔を秒単位で入力します(デフォルトの間隔は 0 です)。

再試行回数(Retry Count)

NAC Agent と Web Agent が WSUS 更新を使用して Windows クライアントの更新を再試行する回数を入力します。

Windows Update の検証方法(Validate Windows updates using)

次のオプションから選択します。

  • [シスコ ルール(Cisco Rules)]:このオプションを選択すると、ポスチャ要件の条件としてカスタム ルールまたは事前設定済みルールを選択できます。

  • [重大度レベル(Severity Level)]:このオプションを選択すると、ポスチャ要件の条件としてカスタム ルールまたは事前設定済みルールを選択できますが、いずれも使用されません。 このため、WSUS 修復を指定するポスチャ要件内にはプレースホルダ条件(ダミー条件)として pr_WSUSRule を使用できます。

Windows Update 重大度レベル(Windows Updates Severity Level)

重大度レベルを選択します。

  • [緊急(Critical)]:緊急の Windows Update のみをインストールします。

  • [至急(Express)]:重要かつ重大な Windows Update をインストールします。

  • [中(Medium)]:重大度および重要性が中程度のすべての Windows Update をインストールします。

  • [すべて(All)]:重大度および重要性が中程度および低程度のすべての Windows Update をインストールします。

    (注)     

    重大度レベル オプションを使用してポスチャ要件に WSUS 修復アクションを関連付けて Windows Update を検証する場合は、ポスチャ要件に pr_WSUSRule(ダミー複合条件)複合条件を選択する必要があります。 ポスチャ要件が失敗すると、NAC Agent は、WSUS 修復で定義した重大度レベルに基づいて修復アクション(Windows Update)を適用します。

最新の OS サービス パックに更新(Update to latest OS Service Pack)

クライアントのオペレーティング システムで使用できる最新のサービス パックを WSUS 修復が自動的にインストールできるようにするには、このチェックボックスをオンにします。

(注)     

オペレーティング システムのサービス パックは、WSUS 修復で選択されている [中(Medium)] および [すべて(All)] の重大度レベル オプションに関係なく、自動的に更新されます。

Windows Update インストール ソース(Windows Updates Installation Source)

Windows クライアントに WSUS 更新をインストールするソースを指定します。

  • [Microsoft サーバ(Microsoft server)]:Microsoft で管理されている WSUS サーバ

  • [管理対象サーバ(Managed server)]:ローカルに管理されている WSUS サーバ

インストール ウィザード インターフェイス設定(Installation Wizard Interface Setting)

WSUS 更新中にクライアントにインストール ウィザードを表示できるようにします。

  • [UI を表示(Show UI)]:Windows クライアントで Windows Update インストール ウィザードを表示します。 ユーザは、クライアントに対して WSUS 更新中にインストール ウィザードを表示するための管理者権限を持っている必要があります。

  • [UI なし(No UI)]:Windows クライアントで Windows Update インストール ウィザードを非表示にします。

クライアントのポスチャ要件

次の表に、[ポスチャ要件(Posture Requirements)] ページのフィールドを示します。 ナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] > [要件(Requirements)] です。

表 28 ポスチャ要件

フィールド

使用上のガイドライン

名前(Name)

要件の名前を入力します。

オペレーティング システム(Operating Systems)

オペレーティング システムを選択します。

プラス記号 [+] をクリックして、複数のオペレーティング システムをポリシーに関連付けます。

マイナス記号 [-] をクリックして、ポリシーからオペレーティング システムを削除します。

条件(Conditions)

リストから条件を選択します。

[操作(Action)] アイコンをクリックして、ユーザ定義の条件を作成して、要件に関連付けることもできます。 ユーザ定義の条件を作成中に関連する親オペレーティング システムは編集できません。

pr_WSUSRule は、Windows Server Update Services(WSUS)修復が関連付けられているポスチャ要件で使用される、ダミーの複合条件です。 関連 WSUS 修復アクションは、重大度レベル オプションを使用して Windows Updates を検証するように設定する必要があります。 この要件が失敗すると、Windows クライアントにインストールされている NAC Agent は、WSUS 修復で定義した重大度レベルに基づいて WSUS 修復アクションを適用します。

pr_WSUSRule は複合条件のリスト ページには表示できません。 条件ウィジェットからのみ pr_WSUSRule を選択できます。

修復アクション(Remediation Actions)

リストから修復を選択します。

修復アクションを作成して、要件に関連付けることもできます。

Agent ユーザとの通信に使用できるすべての修復タイプのテキスト ボックスがあります。 修復アクションに加えて、クライアントの非準拠に関してメッセージで Agent ユーザと通信することができます。

[メッセージ テキストのみ(Message Text Only)] オプションで Agent ユーザに非準拠について通知します。 また、詳細情報を得るためにヘルプ デスクに連絡したり、クライアントを手動で修復したりするオプションの手順がユーザに提供されています。 このシナリオでは、NAC Agent は修復アクションをトリガーしません。