Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
ID および管理者アクセスの管理
ID および管理者アクセスの管理
発行日;2013/01/21 | 英語版ドキュメント(2012/11/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 18MB) | フィードバック

目次

ID および管理者アクセスの管理

ユーザ、エンドポイント、管理者、グループ、権限、およびアカウントのアクセスの設定

ユーザ ID、グループ、および管理者アクセスについて

ID の管理の用語について

ユーザ インターフェイスを使用したユーザ ID およびグループ ID タイプの管理

ネットワーク アクセス ユーザ

ネットワーク アクセス ユーザおよびスポンサー ユーザの設定

エンドポイント

エンドポイントの設定

エンドポイントのフィルタリング

エンドポイントの作成

エンドポイントの編集

エンドポイントの削除

エンドポイントのインポート

LDAP サーバからのエンドポイントのインポート

エンドポイントのエクスポート

最新のネットワーク スキャン結果

管理者アクセスの用語について

ユーザ インターフェイスを使用した管理者アクセス タイプの管理

Cisco ISE 管理者の設定

管理者グループの設定

ユーザ ID グループの設定

外部 ID ストアを使用して管理者アクセス用に Cisco ISE を設定

外部認証 + 外部許可

外部認証 + 内部許可

管理者アクセス(RBAC)ポリシーの管理

RBAC 権限の設定

メニュー アクセス権限の設定

事前定義されたメニュー アクセス権限の表示

カスタム メニュー アクセス権限の作成

メニュー アクセス権限の更新

メニュー アクセス権限の複製

メニュー アクセス権限の削除

データ アクセス権限の設定

事前定義されたデータ アクセス権限の表示

カスタム データ アクセス権限の作成

データ アクセス権限の更新

データ アクセス権限の複製

データ アクセス権限の削除

RBAC のポリシーの設定

事前定義された RBAC ポリシーの使用

カスタム RBAC ポリシーの作成

アカウントの設定値の設定

管理者アクセスの設定

管理インターフェイスへの管理者アクセスの制限

管理者アカウントのパスワード ポリシーの設定

管理者のセッション タイムアウトの設定

管理者名の変更

ユーザ アカウント用のネットワーク アクセスの設定

ユーザ カスタム属性ポリシー

ユーザ パスワード ポリシー

ネットワーク アクセス ユーザ アカウントの設定

エンドポイント ID グループ(Endpoint Identity Groups)

エンドポイント ID グループのフィルタリング、作成、編集、および削除

エンドポイント ID グループのフィルタリング

エンドポイント ID グループの作成、編集、および削除

エンドポイント ID グループのエンドポイントのフィルタリグ、追加、および削除

エンドポイント ID グループのエンドポイントのフィルタリグ

エンドポイント ID グループでのエンドポイントの追加

エンドポイント ID グループのエンドポイントの削除

ID および管理者アクセスの管理

この章では、Cisco Identity Services Engine(ISE)が、ロールベース アクセス コントロール ポリシー、権限、および設定を使用して、そのネットワーク ID およびリソースへのアクセスを管理する方法について説明します。Cisco ISE を使用すると、一連のネットワーク リソースへのアクセスを制限したり、特定のタイプのシステム操作を個々のユーザ、ユーザ グループやメンバー、またはエンドポイントの ID に応じて、その対応するロールに基づいて実行されるようにすることができます。Cisco ISE の各ロールでは、一連のアクセス ポリシー、権限、または設定を定義します。

ユーザ、ユーザ グループやメンバー、またはエンドポイントは、そのネットワーク ID に応じて Cisco ISE ネットワークにより認識されます。識別されると、ネットワークにより、その ID に定義および関連付けられているアクセス権と権限が付与されます。次のトピックでは、Cisco ISE での ID およびネットワーク アクセスを管理する方法に影響する概念を理解するために必要な情報および詳細について説明します。

「ユーザ、エンドポイント、管理者、グループ、権限、およびアカウントのアクセスの設定」

「ユーザ ID、グループ、および管理者アクセスについて」

「ID の管理の用語について」

「ネットワーク アクセス ユーザ」

「エンドポイント」

「最新のネットワーク スキャン結果」

「管理者アクセスの用語について」

「管理者アクセス(RBAC)ポリシーの管理」

「アカウントの設定値の設定」

「エンドポイント ID グループ(Endpoint Identity Groups)」


) Cisco ISE ネットワーク ユーザ、エンドポイント、管理者、グループ、権限、およびアカウントのアクセスの設定を開始する準備が完了している場合は、「ユーザ、エンドポイント、管理者、グループ、権限、およびアカウントのアクセスの設定」を参照してください。


ユーザ、エンドポイント、管理者、グループ、権限、およびアカウントのアクセスの設定

この項は、次のトピックで説明しているように、Cisco ISE ネットワーク アクセスとスポンサー ユーザ、エンドポイント、管理者、ユーザ グループ、権限、アカウント、およびエンドポイント グループのアクセスを設定するための開始点です。

「ネットワーク アクセス ユーザおよびスポンサー ユーザの設定」

「エンドポイントの設定」

「Cisco ISE 管理者の設定」

「管理者グループの設定」

「ユーザ ID グループの設定」

「エンドポイント ID グループのフィルタリング、作成、編集、および削除」

「メニュー アクセス権限の設定」

「データ アクセス権限の設定」

「ユーザ アカウント用のネットワーク アクセスの設定」

「ネットワーク アクセス ユーザ アカウントの設定」

ユーザ ID、グループ、および管理者アクセスについて

各 Cisco ISE ユーザ、グループ、またはエンドポイントは、いったん識別および認証されると、システム リソースまたはサービスにアクセスし、許可されているネットワーク管理タスクを実行できます。識別および認証では、各管理者、ネットワーク アクセス ユーザ、ユーザまたは管理者グループ メンバー、およびエンドポイントが正当で、その ID に関連付けられているタスクやアクティビティの実行を許可されていることを検証するクレデンシャル(ユーザ名、パスワード、証明書、ワンタイム パスワードなど)を使用する必要があります。


) ID ロールは、ネットワーク ユーザ、管理者、グループ、またはエンドポイントに適用される権限セットにそれぞれ関連付けられている一連の管理タスクです。たとえば、管理者は複数の定義済みロールを持つことができ、1 つのロールは複数の管理者に適用できます。


ID ロールは、ID、属している管理者グループのタイプ、またはエンドポイントのタイプに基づいて、各ネットワーク アクセス ユーザ、管理者、またはエンドポイントを特定の一連の権限およびアクセスに制限します。管理者グループの各メンバーは、そのグループに許可されている共通のグループベース権限セットを共有します。Cisco ISE では、それぞれが固有の権限セットを持つ複数の管理者グループをサポートします。

グループは、特定の一連の Cisco ISE サービスおよび機能へのアクセスを許可する共通の権限セットを共有する個々のユーザまたはエンドポイントの集合です。たとえば、ユーザ パスワードの変更管理者グループに属している場合は、他のユーザの管理パスワードを変更できます。

Cisco ISE には、それぞれが固有の権限セットを持つさまざまな管理者グループが含まれています。ユーザが管理者グループに割り当てられると、そのユーザは自動的にそのグループの管理者ユーザに昇格され、そのグループの他のすべてのメンバーと同じ権限を共有します。


) 管理者グループを作成した管理者だけが、そのグループのメンバーを追加、削除、または変更できます。単に管理者グループのメンバーであるだけでは、そのグループに対する管理者権限は付与されません。


Cisco ISE セキュリティ モデルでは、管理者が、その管理者が持っている同じ権限セット(Cisco ISE データベースで定義されているユーザの管理ロールに基づく)が含まれる管理者グループを作成することが制限されます。このようにして、管理者グループは、Cisco ISE システムにアクセスするための権限を定義する基礎を形成します。

管理者アクセスは、ネットワーク リソース、サービス、または機能がロールによって定義されるメカニズムであり、このメカニズムは、すべてのユーザ、グループ、またはエンドポイントのアクセスに影響します。ロールベース アクセスにより、各エンティティがアクセスできる対象が決まり、アクセス コントロール ポリシーにより制御されます。また、ロールベース アクセスにより、使用中の管理ロール、エンティティが属している管理者グループ、およびエンティティのロールに基づいた対応する権限と設定も決まります。

Cisco ISE には ID の管理および管理者アクセス用の 3 つの機能グループが存在し、各グループには次に示すコンポーネントが 1 つ以上含まれています。

ID

ユーザ:ユーザ データおよび割り当てられたロールに基づいて定義されます(詳細については、 表 4-1 を参照してください)。このコンポーネントでは、Cisco ISE ネットワークのリソースおよびサービスにアクセスするためのネットワーク アクセス ユーザ ID を設定できます。

エンドポイント:MAC アドレス、デバイス ポリシー、およびエンドポイントが属するデバイス ID グループに基づいて定義されます(詳細については、 表 4-1 を参照してください)。このコンポーネントでは、Cisco ISE ネットワークのリソースおよびサービスに接続およびアクセスできるネットワーク対応デバイス ID を設定できます。


) Cisco ISE ネットワークでは、エンドポイントは、サポートされるユーザとデバイスの合計数を表します。エンドポイントとして、ユーザ、パーソナル コンピュータ、ラップトップ、IP Phone、スマート フォン、ゲーム コンソール、プリンタ、ファクス機、またはその他のタイプのネットワーク デバイスのあらゆる組み合わせが考えられます。区別は次の ID 定義でのみ行われ、ネットワーク アクセス ユーザと Cisco ISE ネットワーク エンドポイントが区別されます。


グループ

ユーザ ID グループ:グループ名、説明、メンバー、グループ タイプ、および割り当てられたロールに基づいて定義されます(詳細については、 表 4-1 を参照してください)。このコンポーネントでは、Cisco ISE ネットワークのリソースおよびサービスにアクセスできるグループまたはロール名でユーザ グループを設定できます。

エンドポイント ID グループ:グループ名、説明、親グループ、およびエンドポイント タイプに基づいて定義されます(詳細については、 表 4-1 を参照してください)。このコンポーネントでは、Cisco ISE ネットワークのリソースおよびサービスにアクセスできるグループまたはロール名でエンドポイント グループを設定できます。

管理者アクセス

ポリシー:ルール名、グループ、および権限により定義されるロールベース アクセス コントロール(RBAC)ポリシーです(詳細については、 表 4-10 を参照してください)。このコンポーネントでは、管理者グループが Cisco ISE ネットワークのリソースおよびサービスにアクセスできるようにする RBAC ポリシーを設定できます。

管理者:管理者ユーザ データ、管理者グループ、および割り当てられたロールに基づいて定義されます(詳細については、 表 4-10 を参照してください)。このコンポーネントでは、Cisco ISE ネットワークのリソースおよびサービスにアクセスできる管理者を作成および管理できます。

管理者グループ:グループ名、説明、メンバー、グループ タイプ、および割り当てられたロールに基づいて定義されます(詳細については、 表 4-10 を参照してください)。このコンポーネントでは、Cisco ISE ネットワークのリソースおよびサービスにアクセスできる管理者グループを作成および管理できます。

権限:グループ名とロール、説明、およびメニュー アクセス権限とデータ アクセス権限に基づいて定義されます(詳細については、 表 4-10 を参照してください)。このコンポーネントでは、管理者グループが Cisco ISE ネットワークのリソースおよびサービスにアクセスするための、メニュー アクセス権限とデータ アクセス権限を作成および管理できます。

設定:IP アドレス アクセス権限、パスワード ポリシー、およびセッション タイムアウト値に基づいて定義されます(詳細については、 表 4-10 を参照してください)。このコンポーネントでは、ユーザおよびグループが Cisco ISE ネットワークのリソースおよびサービスにアクセスするための、IP アドレスベースのアクセス、パスワード ポリシー、およびセッション タイムアウト設定を作成および管理できます。

詳細情報:

次のトピックでは、Cisco ISE ネットワークで使用される ID の管理と管理者アクセスの用語、および関連するユーザ インターフェイスについて説明します。

ID の管理の用語の詳細については、「ID の管理の用語について」を参照してください。

ユーザおよびグループの ID の管理の詳細については、「ユーザ インターフェイスを使用したユーザ ID およびグループ ID タイプの管理」を参照してください。

管理者アクセスの用語の詳細については、「管理者アクセスの用語について」を参照してください。

ID の管理の用語について

表 4-1 では、Cisco ISE のユーザ、グループ、グループ メンバー、およびエンドポイントに適用される基本的な ID の管理の用語について定義および説明します。

 

表 4-1 Cisco ISE ID の管理の用語

用語
説明
ID ロール

ユーザ

ユーザ ID は、各ユーザに関する情報要素を保持するコンテナに似ており、そのユーザのネットワーク アクセス クレデンシャルを形成します。各ユーザの ID は、ユーザ名、電子メール アドレス、パスワード、アカウントの説明、関連付けられている管理者グループ、ユーザ グループ、ロールなどが含まれたデータにより定義されます。

ユーザ ロールは、ユーザが ISE ネットワークで実行できるタスクやアクセスできるサービスを決定する権限セットです。

ユーザ

(ネットワーク アクセス ユーザなど)

グループ

グループ ID は、同じ管理者グループに属している特定のユーザ グループを識別および説明する情報要素で構成されています。グループ名は、このグループのメンバーが持っている機能ロールの説明でもあります。グループは、そのグループに属しているユーザのリストです。

グループ ロールは、このグループの各メンバーが Cisco ISE ネットワークで実行できるタスク、またはアクセスできるサービスを決定する権限セットです。共通の権限がグループに割り当てられているため、そのグループのすべてのメンバーが定義済みの権限セットを持っています。

グループ

(システム管理者グループなど)

グループ メンバー

グループ メンバーは、特定の管理者グループに属し、そのグループの [メンバー ユーザ(Member User)] テーブルにリストされている個々のユーザです。[メンバー ユーザ(Member User)] テーブルには、ユーザ ステータス(有効または無効)、電子メール アドレス、ユーザ名、ユーザ情報(名, 姓の形式を使用)など、各メンバーに関する情報が含まれています。

グループを使用すると、個々のユーザをグループにマッピングすることができ、これにより、グループに関連付けられているロールベースの ID および権限が各メンバーに付与されます。Cisco ISE では、[メンバー ユーザ(Member User)] テーブルを使用して、グループ内のエントリのフィルタリング、および表内のエントリの追加や削除を実行できます。

グループ ID および権限は、グループのすべてのメンバーで共有されるため、グループのメンバーであることを、許可ポリシーの条件として使用することもできます。

グループ メンバー ロールは、(グループのメンバーであることにより)ユーザが Cisco ISE ネットワークで実行できるタスク、またはアクセスできるサービスを決定する権限セットです。

グループ メンバー

(ネットワーク デバイス管理者グループのメンバーなど)

エンドポイント

Cisco ISE ネットワークの観点から、同時エンドポイントになることができるのは、Cisco ISE ネットワークでサポートされているユーザ、パーソナル コンピュータ、ラップトップ、IP Phone、スマート フォン、ゲーム コンソール、プリンタ、ファクス機、またはその他のネットワーク デバイスです。

ただし、特定のネットワーク デバイスの ID ロールの観点からは、エンドポイント ID により次のアイテムが定義されます。

ネットワーク対応デバイス タイプ

デバイスが Cisco ISE ネットワークに接続する方法

有線またはワイヤレス ネットワーク アクセス デバイス(NAD)を介して、またはバーチャル プライベート ネットワーク(VPN)接続により、使用可能なネットワーク リソース

エンドポイント ロールは、Cisco ISE ネットワークでデバイスが実行できるタスク、またはアクセスできるサービスを決定する権限セットです。

エンドポイント デバイス

(iPhone デバイスなど)

詳細情報:

管理者および管理者グループの詳細については、 表 4-10 を参照してください。

権限および設定の詳細については、 表 4-10 を参照してください。

管理者グループ ロール タイプの詳細については、 表 4-11 を参照してください。

ユーザ インターフェイスを使用したユーザ ID およびグループ ID タイプの管理

Cisco ISE ダッシュボードを、ネットワーク アクセス ユーザ、エンドポイント、ユーザ ID、およびエンドポイント ID グループを管理できる操作を表示および実行するための開始点として使用します。次のタスク用のコントロール、タブ、およびナビゲーション ペインのオプションを使用して、管理操作を実行します。

ユーザを設定する場合:[管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] を選択します。

エンドポイントを設定する場合:[管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [エンドポイント(Endpoints)] を選択します。

ユーザ ID グループを設定する場合:[管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [ユーザ ID グループ(User Identity Groups)] を選択します。

エンドポイント ID グループを設定する場合:[管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [エンドポイント ID グループ(Endpoint Identity Groups)] を選択します。

ユーザおよびエンドポイントに関連付けられているタスクを実行するための、Cisco ISE ユーザ インターフェイスのタブまたはメニュー オプションの選択肢は次のようになります。

ID:ユーザ

現在設定されているユーザ ID を表示します。

新しいユーザ ID を作成します。

既存のユーザ ID を変更または削除します。

既存のユーザ ID のステータスを変更します。

カンマ区切り形式(.csv)ファイルを使用して、ユーザ ID をインポートまたはエクスポートします。

既存のユーザ ID を複製します(この ID を他のユーザ ID を作成する場合のテンプレートとして使用できます)。

設定した検索条件に基づいて、既存のユーザ ID をフィルタリングまたは検索します。

ID:エンドポイント

現在設定されているエンドポイント ID を表示します。

新しいエンドポイント ID を作成します。

既存のエンドポイント ID を変更または削除します。

.csv ファイルを使用して、エンドポイント ID をインポートまたはエクスポートします。

設定した検索条件に基づいて、既存のエンドポイント ID をフィルタリングまたは検索します。

ユーザ ID グループおよびエンドポイント ID グループに関連付けられているタスクを実行するための、Cisco ISE ユーザ インターフェイスのタブまたはメニュー オプションの選択肢は次のようになります。

ID グループ:ユーザ ID グループ

現在設定されているユーザ ID グループを表示します。

新しいユーザ ID グループを作成します。

既存のユーザ ID グループを変更または削除します。

.csv ファイルを使用して、ユーザ ID グループをインポートまたはエクスポートします。

設定した検索条件に基づいて、既存のユーザ ID グループをフィルタリングまたは検索します。

ID グループ:エンドポイント ID グループ

現在設定されているエンドポイント ID グループを表示します。

新しいエンドポイント ID グループを作成します。

既存のエンドポイント ID グループを変更または削除します。

設定した検索条件に基づいて、既存のエンドポイント ID グループをフィルタリングまたは検索します。

表 4-2 に、[ID(Identities)] タブで使用可能なコントロールおよびオプションを使用して設定できる、ユーザ ID 値とグループ ID 値を示します。

 

表 4-2 Cisco ISE のユーザ ID 値とグループ ID 値

タブまたはサブタブ
ユーザ インターフェイス ページの機能
グループ ボックス

ID:ユーザ

ネットワーク アクセス ユーザの値を管理するための開始点

編集(Edit)

追加(Add)

ステータスの変更(Change Status)

インポート(Import)

エクスポート(Export)

削除(Delete)

複製(Duplicate)

フィルタ(Filter)

ネットワーク アクセス ユーザ(Network Access User)

名前(Name)*

電子メール(E-mail)

パスワード(Password)

パスワード(Password)*

パスワードの再入力(Re-Enter Password)*

ユーザ情報(User Information)

名(First Name)

姓(Last Name)

アカウント オプション(Account Options)

説明(Description)

[パスワード変更(Password Change)] チェックボックス
(次のログイン時に変更)

ユーザ グループ(User Groups)

グループ所属(Group affiliation)

ステータス(Status)

有効(Enabled)

無効(Disabled)

ID:エンドポイント

エンドポイントの値を管理するための開始点

編集(Edit)

作成(Create)

削除(Delete)

インポート(Import)

エクスポート(Export)

フィルタ(Filter)

エンドポイント(Endpoints)

MAC アドレス(MAC Address)*

ポリシー割り当て(Policy Assignment)

ID グループ割り当て(Identity Group Assignment)

グループ:ユーザ ID グループ

ユーザ ID グループおよびメンバーの値を管理するための開始点

編集(Edit)

追加(Add)

削除(Delete)

フィルタ(Filter)

インポート(Import)

エクスポート(Export)

ID グループ(Identity Group)

名前(Name)*

説明(Description)

メンバー ユーザ(Member Users)

ユーザ(Users)

ステータス(Status)

電子メール(E-mail)

ユーザ名(Username)

名(First Name)

姓(Last Name)

グループ:エンドポイント ID グループ

エンドポイント ID グループの値を管理するための開始点

編集(Edit)

作成(Create)

削除(Delete)

フィルタ(Filter)

エンドポイント グループ リスト(Endpoint Group List)

名前(Name)*

説明(Description)

親グループ(Parent Group)

エンドポイント

ID グループ エンドポイント(Identity Group Endpoints)

MAC アドレス(MAC Address)


) アスタリスク(*)の付いた設定可能な値は必須です。


ID を作成する場合、[アカウント オプション(Account Options)] パネルを使用して、アカウント オプションを設定または割り当てることができます。アカウント オプションを設定または割り当てるには、[パスワード変更(Password Change)] チェックボックスをオンにして、次のログイン時にパスワードの変更を各ユーザに求めます。


) ID 管理者グループに属している管理者だけが、この同じ管理者機能の実行を許可されます。


ユーザまたはエンドポイントの ID タイプに関する選択内容を使用して設定を完了するには、[送信(Submit)] をクリックして、Cisco ISE データベースにこれらの ID を作成します。

詳細情報:

ユーザの設定の詳細については、「ネットワーク アクセス ユーザおよびスポンサー ユーザの設定」を参照してください。

エンドポイントの設定の詳細については、「エンドポイント」を参照してください。

ユーザ ID グループの設定の詳細については、「ユーザ ID グループの設定」を参照してください。

エンドポイント ID グループの設定の詳細については、「エンドポイント ID グループのフィルタリング、作成、編集、および削除」を参照してください。

エンドポイント ID グループのエンドポイントの設定の詳細については、「エンドポイント ID グループのフィルタリング、作成、編集、および削除」を参照してください。

ネットワーク アクセス ユーザ

ネットワーク ユーザとは、ID に基づいて Cisco ISE ネットワーク リソースへのアクセスを許可された Cisco ISE ユーザのことです。ネットワーク アクセス ユーザ ID にはユーザに関する情報が含まれており、ユーザのネットワーク アクセス クレデンシャルを形成します(ユーザ名、電子メール アドレス、パスワード、アカウントの説明、関連付けられている管理者グループ、ユーザ グループ、およびロールで構成されています)。

Cisco ISE スポンサー グループをサポートするには、事前定義されたスポンサー グループに関連付けられているスポンサー ユーザを明示的に作成する必要があります。スポンサー ユーザは、別のタイプのネットワーク アクセス ユーザと見なすことができ、次の手順と同じプロセスで作成されます。

スポンサー ユーザおよびスポンサー グループの詳細については、『 Cisco Identity Services Engine Sponsor Portal User Guide, Release 1.1.x 』を参照してください。

ネットワーク アクセス ユーザおよびスポンサー ユーザの設定

[ネットワーク アクセス ユーザ(Network Access Users)] ページでは、ステータスの表示、作成、修正、削除、変更、ユーザのインポートやエクスポート、複製、または Cisco ISE ネットワーク アクセス ユーザの属性の検索を実行できます。

ここでは、次のトピックについて取り上げます。

「既存のネットワーク アクセス ユーザの表示」

「新しいネットワーク アクセス ユーザまたはスポンサー ユーザの作成」

「既存のネットワーク アクセス ユーザの変更」

「既存のネットワーク アクセス ユーザの削除」

「既存のネットワーク アクセス ユーザのステータスの変更」

「既存のネットワーク アクセス ユーザのインポートまたはエクスポート」

「既存のネットワーク アクセス ユーザの複製」

「既存のネットワーク アクセス ユーザの特定の属性の検索」


警告 読み取り専用機能は、Cisco ISE のいずれの管理者アクセスにも使用できません。アクセス レベルに関係なく、管理者アカウントは、アクセス可能なページ上にある、権限を持つオブジェクトを変更または削除できます。



) ユーザ グループが表示される順序を変更できます。この順序は、保存後も維持されます。ユーザ グループは新しく指定した順序で処理されますが、表示はアルファベット順に戻ります。


既存のネットワーク アクセス ユーザの表示

ローカルで定義されているすべてのネットワーク アクセス ユーザを Cisco ISE GUI で表示できます。

既存のネットワーク アクセス ユーザを表示するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] を選択します。

[ネットワーク アクセス ユーザ(Network Access Users)] ページが表示され、ローカルで定義されている既存のすべてのネットワーク アクセス ユーザがリストされます。

ステップ 2 (任意)新しいネットワーク アクセス ユーザを作成するには、[操作(Action)] アイコンをクリックして、[ネットワーク アクセス ユーザの作成(Create A Network Access User)] を選択します。


 

新しいネットワーク アクセス ユーザまたはスポンサー ユーザの作成

次の手順を使用して、ローカルで設定されている新しいネットワーク アクセス ユーザ、または Cisco ISE スポンサー グループに必要な必須スポンサー ユーザを作成および設定します。

スポンサー ユーザおよびスポンサー グループの詳細については、『 Cisco Identity Services Engine Sponsor Portal User Guide, Release 1.1.x 』を参照してください。

新しいネットワーク アクセス ユーザまたはスポンサー ユーザを作成するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] を選択します。

[ネットワーク アクセス ユーザ(Network Access Users)] ページが表示され、ローカルで設定されているすべてのネットワーク アクセス ユーザがリストされます。

ステップ 2 [追加(Add)]([+])をクリックして、ネットワーク アクセス ユーザを作成します。

[ネットワーク アクセス ユーザ(Network Access User)] ページが表示されます。

ステップ 3 次の [ネットワーク アクセス ユーザ(Network Access User)] フィールドに値を入力します(詳細については、 表 4-2の「ネットワーク アクセス ユーザ(Network Access Users)」を参照してください)。

ネットワーク アクセス ユーザおよびステータス(Network Access User and Status)


) ネットワーク アクセス ユーザ名にはスペースは使用できません。


パスワード(Password)

ユーザ情報(User Information)

アカウント オプション(Account Options)

ユーザ グループ(User Groups)


) ユーザ グループが表示される順序を変更できます。この順序は、保存後も維持されます。ユーザ グループは新しく指定した順序で処理されますが、表示はアルファベット順に戻ります。


ステップ 4 [送信(Submit)] をクリックして、新しいネットワーク アクセス ユーザまたはスポンサー ユーザを Cisco ISE データベースに作成します。


 

既存のネットワーク アクセス ユーザの変更

次の手順を使用して、ローカルで設定されている既存のネットワーク アクセス ユーザの設定値を変更します。

既存のネットワーク アクセス ユーザを変更するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] を選択します。

[ネットワーク アクセス ユーザ(Network Access Users)] ページが表示され、ローカルで設定されているすべてのネットワーク アクセス ユーザがリストされます。

ステップ 2 変更するネットワーク アクセス ユーザに対応するチェックボックスをオンにして、[編集(Edit)] をクリックします。

対応する [ネットワーク アクセス ユーザ(Network Access User)] ページが表示されます。

ステップ 3 [ネットワーク アクセス ユーザ(Network Access User)] フィールド内の変更する必要がある値を変更します。

ネットワーク アクセス ユーザおよびステータス(Network Access User and Status)

パスワード(Password)

ユーザ情報(User Information)

アカウント オプション(Account Options)

ユーザ グループ(User Groups)


) ユーザ グループが表示される順序を変更できます。この順序は、保存後も維持されます。ユーザ グループは新しく指定した順序で処理されますが、表示はアルファベット順に戻ります。


ステップ 4 [保存(Save)] をクリックして、変更したネットワーク アクセス ユーザを Cisco ISE データベースに保存します。


 

既存のネットワーク アクセス ユーザの削除

次の手順を使用して、ローカルで設定されている既存のネットワーク アクセス ユーザを削除します。

既存のネットワーク アクセス ユーザを削除するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] を選択します。

[ネットワーク アクセス ユーザ(Network Access Users)] ページが表示され、ローカルで設定されているすべてのネットワーク アクセス ユーザがリストされます。

ステップ 2 削除するネットワーク アクセス ユーザに対応するチェックボックスをオンにします。

ステップ 3 [削除(Delete)] をクリックして、選択したネットワーク アクセス ユーザを削除します。

ステップ 4 確認ダイアログで [OK] をクリックして、このネットワーク アクセス ユーザを削除することを確認します。

[ネットワーク アクセス ユーザ(Network Access User)] ページに、変更したステータスが表示されます。


 

既存のネットワーク アクセス ユーザのステータスの変更

次の手順を使用して、ローカルで設定されている既存のネットワーク アクセス ユーザのステータスを変更します。

既存のネットワーク アクセス ユーザのステータスを変更するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] を選択します。

[ネットワーク アクセス ユーザ(Network Access Users)] ページが表示され、ローカルで設定されているすべてのネットワーク アクセス ユーザがリストされます。

ステップ 2 ステータスを変更する必要があるネットワーク アクセス ユーザに対応するチェックボックスをオンにして、[ステータスの変更(Change Status)] > [選択済みのステータスの変更(Change Status of Selected)] を選択します。

[ネットワーク アクセス ユーザ(Network Access User)] ページに、変更したステータスが表示されます。


 

既存のネットワーク アクセス ユーザのインポートまたはエクスポート

次の手順を使用して、ローカルで設定されているネットワーク アクセス ユーザをインポートまたはエクスポートします。

既存のネットワーク アクセス ユーザをインポートするには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] を選択します。

[ネットワーク アクセス ユーザ(Network Access Users)] ページが表示され、ローカルで設定されているすべてのネットワーク アクセス ユーザがリストされます。

ステップ 2 [インポート(Import)] をクリックして、カンマ区切りのテキスト ファイルからネットワーク アクセス ユーザをインポートします。

[ファイルからのユーザのインポート(Import Users from File)] ページが表示されます。

[ファイル(File)] テキスト ボックスに、インポートするネットワーク アクセス ユーザが含まれたファイル名を入力するか、[参照(Browse)] をクリックして、ファイルが配置されている場所に移動します。

新しいネットワーク アクセス ユーザの作成、および既存のネットワーク アクセス ユーザの更新の両方を実行する必要がある場合は、[新しいユーザの作成、および新しいデータで既存のユーザを更新(Create new user(s) and update existing user(s) with new data)] チェックボックスをオンにします。


) インポート プロセス時にこのチェックボックスがオンになっていない場合は、新しいユーザが作成されるだけで、既存のユーザは更新による影響を受けません。


ステップ 3 (任意)カンマ区切りのテキスト ファイルがない場合は、[テンプレートの生成(Generate a Template)] をクリックして、次のデータ フィールドが含まれた、このタイプのファイルを作成します。

ユーザ名

電子メール

ユーザ詳細

パスワード

パスワードの暗号化 True/False

ユーザの有効化 Yes/No

ステップ 4 (任意)インポート操作を実行しないことにした場合は、[戻る(Go Back)] をクリックして、前のウィンドウに戻ります。

ステップ 5 [保存(Save)] をクリックして、変更内容を Cisco ISE データベースに保存します。

次の手順を使用して、ローカルで設定されているネットワーク アクセス ユーザをインポートします。


 

既存のネットワーク アクセス ユーザをエクスポートするには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] を選択します。

[ネットワーク アクセス ユーザ(Network Access Users)] ページが表示され、ローカルで設定されているすべてのネットワーク アクセス ユーザがリストされます。

ステップ 2 エクスポートするネットワーク アクセス ユーザに対応するチェックボックスをオンにします。

ステップ 3 [選択済みをエクスポート(Export Selected)] をクリックします。

[ネットワーク アクセス ユーザのエクスポート(Export Network Access User)] ダイアログが表示され、ここで、パスワードを暗号化するためのキーを [キー(Key)] フィールドに入力する必要があります。

ステップ 4 [エクスポートの開始(Start Export)] をクリックして、エクスポート対象として選択したネットワーク アクセス ユーザが含まれた users.csv ファイルを作成します。

[users.csv を開く(Opening users.csv)] ダイアログボックスに、選択する必要がある 2 つのオプションが表示されます。

a. [アプリケーションから開く(Open with)] オプション ボタンをクリックして、users.csv ファイルを開くために使用するアプリケーションをドロップダウン リストから選択します(デフォルトは Microsoft Office Excel)。

[その他(Other)] をクリックして、別の選択肢を表示します。

b. 選択が完了したら、[ファイルの保存(Save File)] オプション ボタンをクリックして、選択した形式で users.csv ファイルを保存します。


) [この形式に似たファイルに対して自動的に実行する(Do this automatically for files like this from now on)] チェックボックスをオンにして、このプロセスを標準化します。


c. [OK] をクリックして、選択したネットワーク アクセス ユーザが含まれている users.csv ファイルをエクスポートします。


 

既存のネットワーク アクセス ユーザの複製

次の手順を使用して、既存のネットワーク アクセス ユーザを複製します。

既存のネットワーク アクセス ユーザを複製するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] を選択します。

[ネットワーク アクセス ユーザ(Network Access Users)] ページが表示され、ローカルで設定されているすべてのネットワーク アクセス ユーザがリストされます。

ステップ 2 複製するネットワーク アクセス ユーザに対応するチェックボックスをオンにして、[複製(Duplicate)] をクリックします。

[ネットワーク アクセス ユーザ(Network Access Users)] ページに、複製したステータスが表示されます。

ステップ 3 必要に応じて、複製されたネットワーク アクセス ユーザを変更します。

ステップ 4 [送信(Submit)] をクリックして、この新しいネットワーク アクセス ユーザを保存します。


 

既存のネットワーク アクセス ユーザの特定の属性の検索

次の手順を使用して、特定の属性に基づいて既存のネットワーク アクセス ユーザを検索します。

特定の属性を使用して既存のネットワーク アクセス ユーザを検索するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] を選択します。

[ネットワーク アクセス ユーザ(Network Access Users)] ページが表示され、ローカルで設定されているすべてのネットワーク アクセス ユーザがリストされます。

ステップ 2 [表示(Show)] ドロップダウン リストをクリックして、次のいずれかのオプションを選択します。

クイック フィルタ(Quick Filter)(ステップ 3 を参照)

拡張フィルタ(Advanced Filter)(ステップ 4 を参照)

ステップ 3 クイック フィルタを実行するには、次の手順を実行します。

a. 次の 1 つ以上の属性フィールドに検索条件を入力します。

ステータス(Status)

名前(Name)

説明(Description)

名(First Name)

姓(Last Name)

ユーザ ID グループ(User Identity Groups)

管理者(Admin)

b. フィルタリングするには、各フィールドで [実行(Go)] をクリックします。

指定した属性に一致するネットワーク アクセス ユーザ エントリが、[ネットワーク アクセス ユーザ(Network Access Users)] ページに表示されます。

ステップ 4 [拡張フィルタ(Advanced Filter)] を実行するには、次の手順を実行します。

a. 次のいずれかのオプションを選択して、一致ルールを [フィルタ(Filter)] ドロップダウン リストに作成します。

管理者(Admin)

説明(Description)

名(First Name)

姓(Last Name)

名前(Name)

ステータス(Status)

ユーザ ID グループ(User Identity Groups)

b. 2 番目のドロップダウン リストで、次のいずれかのオプションを選択します。

次を含む(Contains)

次を含まない(Does not contain)

次に等しくない(Does not equal)

次で終わる(Ends with)

空白(Is empty)

次に等しい(Is exactly (or equals))

大なり(Is greater than)

以上(Is greater than or equal to)

小なり(Is less than)

以下(Is less than or equal to)

空白ではない(Is not empty)

次で始まる(Starts with)

c. テキスト ボックスに、検索する値を入力します。

d. フィルタ プロセスを起動するには [実行(Go)] をクリックし、検索条件を追加するにはプラス([+])をクリックします。

e. [フィルタのクリア(Clear Filter)] をクリックすると、フィルタ プロセスがリセットされます。


 

エンドポイント

エンドポイントは、通常、ネットワークに接続しているネットワーク対応デバイスであり、有線またはワイヤレスの NAD および VPN を介してネットワーク上のリソースを使用します。エンドポイントとして、パーソナル コンピュータ、ラップトップ、IP Phone、スマート フォン、ゲーム コンソール、プリンタ、ファクス機などがあります。

16 進数形式で表される、エンドポイントの MAC アドレスは、ネットワーク上のエンドポイントを表すために常に使用されます。エンドポイントの作成時にエンドポイントを静的にプロファイリングするには、エンドポイントの MAC アドレスを使用して、Cisco ISE のエンドポイント ID グループとともにプロファイルをそのエンドポイントに割り当てます。

エンドポイントは、ネットワークで検出されると、設定されているエンドポイント プロファイリング ポリシーに基づいて動的にプロファイリングされ、プロファイルに応じて一致するエンドポイント ID グループに割り当てられます。

ポリシー割り当て

一致するプロファイリング ポリシーがない場合は、不明プロファイリング ポリシーを割り当てることができます。これにより、このエンドポイントは、不明としてプロファイリングされます。いずれのプロファイルにも一致しないエンドポイントは、不明 ID グループにグループ化されます。不明プロファイルにプロファイリングされたエンドポイントの場合、そのエンドポイントに対して収集された属性または属性セットを使用してプロファイルを作成する必要があります。

ID グループ割り当て

エンドポイントを静的に作成する場合、またはエンドポイントのエンドポイント プロファイリング ポリシーの評価時に [一致する ID グループの作成(Create matching identity group)] オプションを使用しない場合は、エンドポイントを ID グループに割り当てることができます。[スタティック グループ割り当て(Static Group Assignment)] オプションを選択しない場合、エンドポイントは、エンドポイント プロファイリング ポリシーの次回評価時に一致する ID グループに自動的に割り当てられます。

スタティック割り当て

[エンドポイント(Endpoints)] ページで、エンドポイントの割り当てを静的から動的に、または動的から静的に変更できます。 エンドポイントが静的に作成されている場合は [エンドポイント(Endpoints)] ページでエンドポイントのスタティック割り当てステータスが true として表示され、[エンドポイント(Endpoints)] ページでのエンドポイントの編集時に [スタティック割り当て(Static Assignment)] チェックボックスがオフの場合は false として表示されます。

スタティック グループ割り当て

エンドポイントを ID グループに静的に割り当てることができます。このような場合、プロファイリング サービスは、前に Cisco ISE でエンドポイント ID グループに動的に割り当てられたエンドポイントの次のポリシー評価時に、その ID グループを変更しません。

次の項では、Cisco ISE でのエンドポイントの管理方法に関する手順について説明します。

「エンドポイントの設定」

関連項目:

「エンドポイント ID グループ(Endpoint Identity Groups)」


) Cisco ISE ネットワークのエンドポイントおよびエンドポイント プロファイリングの詳細については、「エンドポイント プロファイリング ポリシーの設定」を参照してください。


エンドポイントの設定

[エンドポイント(Endpoints)] ページでは、ネットワーク上のエンドポイントの表示、設定、および管理を実行でき、エンドポイントをフィルタリングするオプションがあります。[エンドポイント(Endpoints)] ページでエンドポイントを静的に作成できます。[エンドポイント(Endpoints)] ページには、すべてのエンドポイントのリスト、エンドポイントに割り当てられているプロファイル、MAC アドレス、およびスタティック割り当てのステータス(true または false)が表示されます。

この項では、エンドポイント、およびネットワークにアクセスする ID を管理できる基本的な操作について説明します。次のトピックを扱います。

「エンドポイントのフィルタリング」

「エンドポイントの作成」

「エンドポイントの編集」

「エンドポイントの削除」

「エンドポイントのインポート」

「LDAP サーバからのエンドポイントのインポート」

「エンドポイントのエクスポート」

エンドポイントのフィルタリング

[表示(Show)] ドロップダウン リスト、またはフィルタ アイコンを使用して、[エンドポイント(Endpoints)] ページでクイック フィルタの呼び出し操作と、クイック フィルタを閉じる操作の両方を行うことができます。クイック フィルタは、[エンドポイント(Endpoints)] ページでエンドポイントをフィルタリングするために使用できる簡単なフィルタです。クイック フィルタは、[エンドポイント(Endpoints)] ページでのエンドポイントの作成時にエンドポイントに割り当てられたエンドポイント プロファイル、MAC アドレス、スタティック ステータスなどのフィールドの説明に基づいて、エンドポイントをフィルタリングします。

[表示(Show)] ドロップダウン リストを使用して、拡張フィルタを呼び出すことができます。拡張フィルタは複雑なフィルタであり、[エンドポイント(Endpoints)] ページでフィルタリングの結果とともに、使用するためにプリセットしておいて後で取得できます。拡張フィルタは、フィールドの説明に関連付けられた特定の値に基づいてエンドポイントをフィルタリングします。フィルタを追加または削除したり、一連のフィルタを組み合わせて 1 つの拡張フィルタにしたりすることができます。

[プリセット フィルタの管理(Manage Preset Filters)] オプションを使用して、すべてのプリセット フィルタを表示できます。このオプションを使用してプリセット フィルタを管理できます。プリセット フィルタを作成して保存したら、[エンドポイント(Endpoints)] ページのフィルタ後の結果リストからプリセット フィルタを選択できます。プリセット フィルタを編集することも、プリセット フィルタ リストから削除することもできます。

[エンドポイント(Endpoints)] ページでエンドポイントをフィルタリングするには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [エンドポイント(Endpoints)] を選択します。

[エンドポイント(Endpoints)] ページが表示され、ネットワークで検出されたすべてのエンドポイントが一覧表示されます。

ステップ 2 [エンドポイント(Endpoints)] ページで、[表示(Show)] ドロップダウン リストをクリックしてフィルタ オプションを選択します。

ここでは、クイック フィルタ、フィルタリング用の拡張フィルタ、[プリセット フィルタの管理(Manage Preset Filters)] オプション(フィルタリング用のプリセット フィルタを管理できる)を選択できます。 表 4-3 を参照してください。

詳細については、「クイック フィルタ オプションを使用してエンドポイントをフィルタリングするには、次の手順を実行します。」および「拡張フィルタ オプションを使用してエンドポイントをフィルタリングするには、次の手順を実行します。」を参照してください。


) エンドポイント リストに戻るには、[表示(Show)] ドロップダウン リストから [すべて(All)] を選択して、フィルタリングなしですべてのエンドポイントを表示します。



 

クイック フィルタ オプションを使用してエンドポイントをフィルタリングするには、次の手順を実行します。

クイック フィルタは、[エンドポイント(Endpoints)] ページの各フィールドの説明に基づいてエンドポイントをフィルタリングします。任意のフィールド内をクリックし、そのフィールドに検索条件を入力すると、[エンドポイント(Endpoints)] ページの結果でページが更新されます。そのフィールドをクリアすると、[エンドポイント(Endpoints)] ページにすべてのエンドポイントのリストが表示されます。


ステップ 1 フィルタリングするには、各フィールド内の [実行(Go)] をクリックして、[エンドポイント(Endpoints)] ページに表示された結果でページを更新します。

ステップ 2 フィールドをクリアするには、各フィールドで [クリア(Clear)] をクリックします。


 

拡張フィルタ オプションを使用してエンドポイントをフィルタリングするには、次の手順を実行します。

拡張フィルタでは、より複雑な変数を使用してエンドポイントをフィルタリングできます。フィールドの説明に一致する値に基づいてエンドポイントをフィルタリングする 1 つ以上のフィルタが含まれています。1 行に 1 つのフィルタの場合、エンドポイントは各フィールドの説明とフィルタに定義した値に基づいてフィルタリングされます。複数のフィルタを使用して値を照合し、エンドポイントのフィルタリングを行うには、1 つの拡張フィルタ内のフィルタのいずれかまたはすべてを使用します。


ステップ 1 フィールドの説明を選択するには、ドロップダウン矢印をクリックします。

ステップ 2 演算子を選択するには、ドロップダウン矢印をクリックします。

ステップ 3 選択したフィールドの説明の値を入力します。

ステップ 4 フィルタを追加するには [行の追加(Add Row)](プラス [+] 記号)をクリックし、フィルタを削除するには [行の削除(Remove Row)](マイナス [-] 記号)をクリックします。

ステップ 5 各フィルタの値に一致させるには [すべて(All)] をクリックし、いずれか 1 つのフィルタの値に一致させるには [任意(Any)] をクリックします。

ステップ 6 [実行(Go)] をクリックしてフィルタリングを開始します。

ステップ 7 [保存(Save)] アイコンをクリックしてフィルタを保存します。

[プリセット フィルタの保存(Save a Preset Filter)] ダイアログが表示されます。フィルタを保存するファイル名を入力し、[保存(Save)] をクリックします。 作成するプリセット フィルタの名前にはスペースは使用できません。 現在のフィルタを保存しないでフィルタをクリアするには、[キャンセル(Cancel)] をクリックします。


) 作成および保存するプリセット フィルタはブラウザベースのみであるため、同じタイプのブラウザを使用した場合にのみアクセスできます(プリセット フィルタは Cisco ISE データベースに保存されません)。たとえば、Firefox バージョン 3.6.x ブラウザを使用して作成および保存したプリセット フィルタには、Microsoft Internet Explorer(IE8)ブラウザはアクセスできず、その逆の場合も同じです。


ステップ 8 フィルタリングを行った後に [フィルタのクリア(Clear Filter)] をクリックします。


 

表 4-3 では、[エンドポイント(Endpoints)] ページでのエンドポイントのフィルタリングに使用できるフィールドについて説明します。

 

表 4-3 エンドポイントのフィルタリング

フィルタリング方法
フィルタリング フィールド
フィルタリング フィールドの説明

クイック フィルタ

エンドポイント プロファイル(Endpoint Profile)

このフィールドを使用すると、エンドポイントをエンドポイント プロファイルの名前でフィルタリングできます。

MAC アドレス(MAC Address)

このフィールドを使用すると、エンドポイントをエンドポイントの MAC アドレスでフィルタリングできます。

スタティック割り当て(Static Assignment)

このフィールドを使用すると、エンドポイントをエンドポイントのスタティック割り当てステータスでフィルタリングできます。

拡張フィルタ

次の中からフィールドの説明を選択します。

エンドポイント プロファイル(Endpoint Profile)

MAC アドレス(MAC address)

スタティック割り当て(Static Assignment)

ドロップダウン矢印をクリックしてフィールドの説明を選択します。

演算子(Operator)

[演算子(Operator)] フィールドで、ドロップダウン矢印をクリックして、エンドポイントのフィルタリングに使用できる演算子を選択します。

値(Value)

[値(Value)] フィールドで、エンドポイントのフィルタリング対象として選択したフィールドの説明の値を選択します。

エンドポイントの作成

[エンドポイント(Endpoints)] ページでエンドポイントの MAC アドレスを使用して、新しいエンドポイントを静的に作成できます。[エンドポイント(Endpoints)] ページには、スタティック割り当て用のエンドポイント プロファイリング ポリシーおよび ID グループを選択するオプションがあります。Cisco ISE では、静的に割り当てられたエンドポイントに対して、プロファイリング ポリシーおよび ID グループを再割り当てしません。

[エンドポイント(Endpoints)] ページでエンドポイントを作成するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [エンドポイント(Endpoints)] を選択します。

[エンドポイント(Endpoints)] ページが表示されます。

ステップ 2 [エンドポイント(Endpoints)] ページで [作成(Create)] を選択します。

[新しいエンドポイント(New Endpoint)] ページが表示されます。

ステップ 3 表 4-4 に示すように、[新しいエンドポイント(New Endpoint)] ページで値を変更します。

ステップ 4 [送信(Submit)] をクリックします。

作成したエンドポイントが [エンドポイント(Endpoints)] ページに表示されます。

ステップ 5 [キャンセル(Cancel)] をクリックすると、[エンドポイント(Endpoints)] ページに戻ります。

または、[新しいエンドポイント(New Endpoint)] ページで [エンドポイント リスト(Endpoint List)] リンクをクリックして、[エンドポイント(Endpoints)] ページに戻ることができます。


 

表 4-4 では、[エンドポイント(Endpoints)] ページでのエンドポイントの作成に使用できるフィールドについて説明します。

 

表 4-4 エンドポイントの作成

フィールド名
説明

MAC アドレス(MAC Address)

MAC アドレスを 16 進数形式(nn:nn:nn:nn:nn:nn など)で入力します。

MAC アドレスを 16 進数形式で入力しないと、このフィールドで次のメッセージが表示されます。

MAC アドレスが無効です。(Invalid MAC address.) MAC アドレスを nn:nn:nn:nn:nn:nn として入力してください(Please enter MAC address as nn:nn:nn:nn:nn:nn)

ポリシー割り当て(Policy Assignment)

[ポリシー割り当て(Policy Assignment)] フィールドでドロップダウン矢印をクリックして、割り当て可能な定義済みエンドポイント プロファイリング ポリシーを表示します。

エンドポイント プロファイリング ポリシーを選択します。

ID グループ割り当て(Identity Group Assignment)

[ID グループ割り当て(Identity Group Assignment)] フィールドでドロップダウン矢印をクリックして、システム内の既存の ID グループを表示します。

ID グループを選択します。

エンドポイントの編集

エンドポイントを編集するときに、エンドポイントに割り当てられているエンドポイント プロファイリング ポリシー、および ID グループのみを編集できます。

[エンドポイント(Endpoints)] ページでエンドポイントを編集するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [エンドポイント(Endpoints)] を選択します。

[エンドポイント(Endpoints)] ページが表示されます。

ステップ 2 [エンドポイント(Endpoints)] ページで、エンドポイントを選択し、[編集(Edit)] を選択します。

ここで、選択したエンドポイントのエンドポイント プロファイリング ポリシーおよび ID グループを編集できます。[属性リスト(Attribute List)] に、選択されたエンドポイントに関して作成時に取得された属性が表示されます。


) [削除(Delete)] をクリックして、エンドポイントを編集ページから削除します。これにより、[エンドポイント(Endpoints)] ページでこのエンドポイントが削除されます。[はい(Yes)] をクリックして、エンドポイントを削除するか、または [いいえ(No)] をクリックして、ダイアログから編集ページに戻ります。


ステップ 3 表 4-5 に示すように、編集ページで値を変更します。


) エンドポイントのエンドポイント プロファイリング ポリシーおよび ID グループのみを編集できます。


ステップ 4 [送信(Submit)] をクリックします。

編集したエンドポイントが [エンドポイント(Endpoints)] ページに表示されます。

ステップ 5 [キャンセル(Cancel)] をクリックすると、[エンドポイント(Endpoints)] ページに戻ります。

または、[エンドポイント リスト(Endpoint List)] リンクをクリックして、[エンドポイント(Endpoints)] ページに戻ることができます。


 

表 4-5 では、[エンドポイント(Endpoints)] ページでのエンドポイントの編集に使用できるフィールドについて説明します。

 

表 4-5 エンドポイントの編集

フィールド名
説明

MAC アドレス(MAC address)

選択したエンドポイントの MAC アドレスが、16 進数形式で表示されます。

ポリシー割り当て(Policy Assignment)

[ポリシー割り当て(Policy Assignment)] フィールドでドロップダウン矢印をクリックして、割り当て可能な定義済みエンドポイント プロファイリング ポリシーを表示します。

エンドポイント プロファイリング ポリシーを選択します。

スタティック割り当て(Static Assignment)

エンドポイントに割り当てられたダイナミック ステータスを変更するには、[スタティック割り当て(Static Assignment)] チェックボックスをオンにします。

ID グループ割り当て(Identity Group Assignment)

[ID グループ割り当て(Identity Group Assignment)] フィールドでドロップダウン矢印をクリックして、システム内の既存の ID グループを表示します。

ID グループを選択します。

スタティック グループ割り当て(Static Group Assignment)

エンドポイント ID グループのダイナミック割り当てをスタティックに変更するには、[スタティック グループ割り当て(Static Group Assignment)] チェックボックスをオンにします。このチェックボックスがオフの場合、エンドポイント ID グループは、ポリシー設定に基づいてプロファイラにより割り当てられたダイナミック グループです。

エンドポイントの削除

すべてのエンドポイントを削除するか、または [エンドポイント(Endpoints)] ページのリストから選択したエンドポイントのみを削除できます。[削除(Delete)] メニューには次の 2 つのオプションがあります。[すべて削除(Delete All)] では、[エンドポイント(Endpoints)] ページのリストからすべてのエンドポイントを削除でき、[選択済みの削除(Delete Selected)] では、[エンドポイント(Endpoints)] ページのリストから選択したエンドポイントを削除できます。

エンドポイントの編集ページからエンドポイントを削除することもできます。

[エンドポイント(Endpoints)] ページからエンドポイントを削除するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [エンドポイント(Endpoints)] を選択します。

[エンドポイント(Endpoints)] ページが表示されます。

ステップ 2 [エンドポイント(Endpoints)] ページで [削除(Delete)] を選択します。

[選択済みの削除(Delete Selected)] および [すべて削除(Delete All)] オプションが表示されます。

ステップ 3 [エンドポイント(Endpoints)] ページで、リストから削除するエンドポイントを選択します。

ステップ 4 [選択済みの削除(Delete Selected)] または [すべて削除(Delete All)] を選択します。

確認用のダイアログが表示されます。エンドポイントが [エンドポイント(Endpoints)] ページでフィルタリングされている場合、[すべて削除(Delete All)] オプションを使用すると、フィルタリングされたエンドポイントのみが [エンドポイント(Endpoints)] ページから削除されます。

ステップ 5 [OK] をクリックして、エンドポイントを削除するか、または [キャンセル(Cancel)] をクリックして、[エンドポイント(Endpoints)] ページに戻ります。


 

エンドポイントのインポート

カンマで区切られた MAC アドレスとエンドポイント プロファイリング ポリシー詳細が含まれたエンドポイントのリストを表示するカンマ区切り形式(CSV)ファイルからエンドポイントをインポートできます。CSV ファイルには、2 つのカラムを持つヘッダー行があり、1 つのカラムではエンドポイントの MAC アドレスがリストされ、もう一つのカラムではこれらのエンドポイントに割り当てられているエンドポイント プロファイリング ポリシーがリストされます。

CSV ファイルに、MAC アドレスを持つエンドポイントがあり、それらに割り当てられているエンドポイント プロファイリング ポリシーが不明プロファイルである場合、これらのエンドポイントは Cisco ISE でただちに一致するエンドポイント プロファイリング ポリシーに再プロファイリングされます。ただし、不明プロファイルに静的に割り当てられることはありません。エンドポイントに割り当てられているプロファイルが CSV ファイルにない場合、これらのエンドポイントは不明プロファイルに割り当てられ、一致するエンドポイント プロファイリング ポリシーに再プロファイリングされます。

たとえば、 表 4-6 に、Cisco ISE がインポート時に Xerox_Device プロファイルに一致した不明プロファイルを再プロファイリングする方法を示します。また、Cisco ISE が未割り当てのエンドポイントを再プロファイリングする方法も示します。

 

表 4-6 不明プロファイル:ファイルからのインポート

MAC
Cisco ISE でのインポート前のエンドポイント プロファイリング ポリシーの割り当て
Cisco ISE でのインポート後のエンドポイント プロファイリング ポリシーの割り当て

00:00:00:00:01:02

不明

Xerox-Device

00:00:00:00:01:03

不明

Xerox-Device

00:00:00:00:01:04

不明

Xerox-Device

00:00:00:00:01:05

エンドポイントに割り当てられているプロファイルがない場合、そのエンドポイントは不明プロファイルに割り当てられ、一致するプロファイルに再プロファイリングされます。

Xerox-Device

CSV ファイルに、MAC アドレスを持つエンドポイントがあり、それらに割り当てられているエンドポイント プロファイリング ポリシーがスタティック割り当てである場合、インポート時に再プロファイリングされることはありません。エンドポイントが CSV ファイル内の無効なプロファイルに割り当てられている場合、それらのエンドポイントは、Cisco ISE には一致するプロファイルがないためインポートされません。

たとえば、 表 4-7 に、Cisco ISE が、Cisco-Device プロファイル(エンドポイントのスタティック割り当て)をインポート時に保持する仕組みを示します。また、エンドポイントが CSV ファイル内の無効なプロファイルに割り当てられている場合、それらのエンドポイントがインポートされないことも示します。

 

表 4-7 スタティック割り当て:ファイルからのインポート

MAC
Cisco ISE でのインポート前のエンドポイント プロファイリング ポリシーの割り当て
Cisco ISE でのインポート後のエンドポイント プロファイリング ポリシーの割り当て

00:00:00:00:01:02

Cisco-Device

Cisco-Device

00:00:00:00:01:03

不明

Xerox-Device

00:00:00:00:01:04

不明

Xerox-Device

00:00:00:00:01:05

00:00:00:00:01:05 などのエンドポイントが Cisco ISE のプロファイル以外の無効なプロファイルに割り当てられている場合、Cisco ISE では、ポリシー名が無効で、エンドポイントがインポートされないことを示す警告メッセージが表示されます。

エンドポイントは、Cisco ISE 内に一致するプロファイルがないためインポートされません。

テンプレートの生成

デフォルトで、[テンプレートの生成(Generate a Template)] リンクを使用して、Microsoft Office Excel アプリケーションで CSV ファイルを作成し、このファイルをシステム上にローカルに保存できます。[テンプレートの生成(Generate a Template)] リンクをクリックすると、Cisco ISE サーバは、[template.csv を開く(Opening template.csv)] ダイアログを表示します。

このダイアログを使用すると、template.csv ファイルを開いたり、template.csv ファイルをシステム上にローカルに保存できます。このダイアログで template.csv ファイルを開くことを選択した場合、このファイルは Microsoft Office Excel アプリケーションで開かれます。このファイルには、MAC カラムとエンドポイント ポリシー カラムが表示されるヘッダー行が含まれています。

表 4-8 に、[テンプレートの生成(Generate a Template)] リンクを使用して作成された template.csv ファイルのヘッダー行を示します。

 

表 4-8 CSV テンプレート ファイル

MAC
エンドポイント ポリシー

00:1f:f3:4e:c1:8e

Cisco-Device

[エンドポイント(Endpoints)] ページで CSV ファイルからエンドポイントをインポートするには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [エンドポイント(Endpoints)] を選択します。

[エンドポイント(Endpoints)] ページが表示されます。

ステップ 2 [エンドポイント(Endpoints)] ページで [インポート(Import)] を選択します。

ステップ 3 [インポート(Import)] で、[ファイルからインポート(Import From File)] を選択し、Cisco ISE サーバからすでにエクスポートしているファイルを参照して指定します。

このファイル形式は、指定された形式になっており、エンドポイントのリストが「MAC, エンドポイント ポリシー」のように表示される必要があります。

[テンプレートの生成(Generate a Template)] リンクを使用して、テンプレートを作成し、そのファイルを保存することもできます。このリンクを使用すると、デフォルト テンプレート .csv ファイルが次の値で作成されます。00:22:5e:4d:fe:01, Unknown。エンドポイントの MAC アドレスおよびプロファイルを更新し、異なるファイル名でこのファイルを保存する必要があります。保存したファイルをエンドポイントのインポートに使用できます。.csv ファイルを開く場合、Microsoft Office Excel アプリケーションがデフォルトのアプリケーションです。


) エンドポイントのリストが「MAC, エンドポイント ポリシー」のように表示されるようにファイルをフォーマットします。たとえば、00:22:5e:4d:fe:01, Unknown です。


ステップ 4 次のいずれかの作業を実行します。

[送信(Submit)] をクリックすると、インポートされたエンドポイントが [エンドポイント(Endpoints)] ページに表示されます。

[キャンセル(Cancel)] をクリックすると、[エンドポイント(Endpoints)] ページに戻ります。

[エンドポイントのインポート(Import Endpoints)] ページで [エンドポイント リスト(Endpoint List)] リンクをクリックして、[エンドポイント(Endpoints)] ページに戻ります。


 

LDAP サーバからのエンドポイントのインポート

前提条件:

LDAP サーバからインポートする前に、LDAP サーバがインストール済みであることを確認します。

エンドポイントを LDAP サーバからインポートするには、次のタスクを実行します。


ステップ 1 Cisco ISE を現在のネットワークに展開します。

ステップ 2 LDAP サーバを起動します。

ステップ 3 次の接続設定値を設定します。

a. [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [エンドポイント(Endpoints)] > [インポート(Import)] > [LDAP からのインポート(Import From LDAP)] を選択します。

b. 表 4-9に示すように、接続設定のフィールドに値を入力します。

ホスト(Host)

ポート(Port)

セキュア接続を有効にする(Enable Secure Connection)

ルート CA 証明書名(Root CA Certificate Name)

匿名バインド(Anonymous Bind)

管理者 DN(Admin DN)

パスワード(Password)

ベース DN(Base DN)


) [匿名バインド(Anonymous Bind)] チェックボックスをオンにするか、または slapd.conf コンフィギュレーション ファイルの LDAP 管理者クレデンシャルを入力します。


c. 表 4-9に示すように、クエリー設定のフィールドに値を入力します。

MAC アドレス objectClass(MAC Address objectClass)

MAC アドレス属性名(MAC Address Attribute Name)

プロファイル属性名(Profile Attribute Name)

タイムアウト(Time Out)


 

Lightweight Directory Access Protocol(LDAP)は、LDAP ディレクトリを使用して、LDAP ディレクトリのデータをクエリーおよびインポートするアプリケーション プロトコルです。LDAP は、Cisco ISE の外部 ID ストアです。ディレクトリは、階層構造で論理的に編成されている、属性が含まれたオブジェクト セットです。属性セットが含まれているディレクトリ エントリのツリーです。属性には名前が付けられており、1 つ以上の値(スキーマで定義され、属性のインポートに使用する LDAP データ交換形式(LDIF)ファイルに格納されている)が含まれます。

Cisco ISE を使用すると、エンドポイントの MAC アドレスおよび関連付けられているプロファイルを LDAP サーバからセキュアにインポートできます。LDAP サーバを使用して、エンドポイントおよび関連付けられているプロファイルをインポートする場合、デフォルト ポート 389 を使用するか、または SSL を介したセキュアなインポートではデフォルト ポート 636 を使用できます。

接続設定値およびクエリー設定値を設定し、LDAP サーバからインポートする必要があります。接続設定値またはクエリー設定値が Cisco ISE で間違って設定されていると、「LDAP インポートが失敗:(LDAP import failed:)」メッセージが表示されます。

ルート CA 証明書名

ルート認証局(CA)証明書名は、LDAP サーバに接続する場合に必要となる信頼できる CA 証明書を指します。信頼できる CA 証明書を追加(インポート)、編集、削除、およびエクスポートできます。

SSL を介した LDAP サーバからのエンドポイントのインポートの設定

エンドポイントの MAC アドレスおよび関連付けられているプロファイルを LDAP サーバからセキュアにインポートできます。

SSL を介してエンドポイントを LDAP サーバからインポートするには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [エンドポイント(Endpoints)] を選択します。

[エンドポイント(Endpoints)] ページが表示されます。

ステップ 2 [エンドポイント(Endpoints)] ページで [インポート(Import)] を選択します。

ステップ 3 [インポート(Import)] で、[LDAP からのインポート(Import From LDAP)] を選択します。

ステップ 4 表 4-9 に示すように、[LDAP からのエンドポイントのインポート(Import Endpoints from LDAP)] ページで値を変更します。

ステップ 5 次のいずれかの作業を実行します。

a. [送信(Submit)] をクリックすると、LDAP サーバからインポートされたエンドポイントが [エンドポイント(Endpoints)] ページに表示されます。

b. [キャンセル(Cancel)] をクリックすると、[エンドポイント(Endpoints)] ページに戻ります。

c. [LDAP からのエンドポイントのインポート(Import Endpoints from LDAP)] ページで [エンドポイント リスト(Endpoint List)] リンクをクリックして、[エンドポイント(Endpoints)] ページに戻ります。


 

表 4-9 では、[エンドポイント(Endpoints)] ページでの LDAP からのエンドポイントのインポートに使用できるフィールドについて説明します。

 

表 4-9 LDAP からのインポート

フィールド名
説明

ホスト(Host)

LDAP サーバのホスト名または IP アドレスを入力します。

ポート(Port)

LDAP サーバのポート番号を入力します。デフォルト ポート 389 を使用して LDAP サーバからインポートするか、デフォルト ポート 636 を使用して SSL を介して LDAP サーバからインポートできます。

(注) Cisco ISE では、任意の設定済みポート番号をサポートします。設定済みの値は、LDAP サーバ接続詳細に一致する必要があります。

セキュア接続を有効にする(Enable Secure Connection)

SSL を介して LDAP サーバからインポートするには、[セキュア接続を有効にする(Enable Secure Connection)] チェックボックスをオンにします。

ルート CA 証明書名(Root CA Certificate Name)

ドロップダウン矢印をクリックして、信頼できる CA 証明書を表示します。

匿名バインド(Anonymous Bind)

匿名バインドを有効にするには、[匿名バインド(Anonymous Bind)] チェックボックスをオンにします。

管理者 DN(Admin DN)

LDAP 管理者に設定された認定者名(DN)を slapd.conf コンフィギュレーション ファイルに入力します。

管理者 DN フォーマット例:cn=Admin, dc=cisco.com, dc=com

パスワード(Password)

LDAP 管理者に設定されたパスワードを slapd.conf コンフィギュレーション ファイルに入力します。

ベース DN(Base DN)

親エントリの認定者名を入力します。

ベース DN フォーマット例:dc=cisco.com, dc=com

MAC アドレス objectClass(MAC Address objectClass)

MAC アドレスのインポートに使用される LDIF ファイルのクエリー フィルタ(ieee802Device など)を入力します。

MAC アドレス属性名(MAC Address Attribute Name)

インポートに使用する LDIF ファイルから返された属性名を入力します。たとえば、macAddress です。

プロファイル属性名(Profile Attribute Name)

(任意)。LDAP 属性の名前を入力します。この属性は、LDAP サーバで定義されている各エンドポイント エントリのポリシー名を保持します。

[プロファイル属性名(Profile Attribute Name)] フィールドを設定する場合は、次の点を考慮してください。

[プロファイル属性名(Profile Attribute Name)] フィールドでこの LDAP 属性を指定しない場合、またはこの属性を誤って設定した場合、インポート操作時にエンドポイントは不明としてマークされ、これらのエンドポイントは一致するエンドポイント プロファイリング ポリシーに個別にプロファイリングされます。

[プロファイル属性名(Profile Attribute Name)] フィールドで LDAP 属性を設定した場合、その属性値は、エンドポイント ポリシーが Cisco ISE 内の既存のポリシーに一致することを確認するために検証され、エンドポイントがインポートされます。エンドポイント ポリシーが既存のポリシーと一致しない場合、それらのエンドポイントはインポートされません。

タイムアウト(秒)(Time Out [seconds])

時間を秒単位(1 ~ 60 秒)で入力します。

エンドポイントのエクスポート

選択したエンドポイントまたはすべてのエンドポイントを Cisco ISE サーバから別の Cisco ISE サーバにエクスポートできます。

[エンドポイント(Endpoints)] ページでエンドポイントを CSV ファイルにエクスポートするには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [エンドポイント(Endpoints)] を選択します。

[エンドポイント(Endpoints)] ページが表示されます。

ステップ 2 1 つ以上のエンドポイントを選択し、[エクスポート(Export)] を選択します。

[選択済みをエクスポート(Export Selected)] および [すべてエクスポート(Export All)] オプションが表示されます。

ステップ 3 選択したエンドポイントをエクスポートするオプションを選択するか、[エンドポイント(Endpoints)] ページのすべてのエンドポイントをエクスポートするオプションを選択します。エンドポイントが [エンドポイント(Endpoints)] ページでフィルタリングされている場合、[すべてエクスポート(Export All)] オプションを使用すると、フィルタリングされたエンドポイントのみがエクスポートされます。

ステップ 4 [アプリケーションから開く(Open with)] オプションを選択します。

デフォルトでは、profiler_endpoints.csv は Microsoft Office Excel CSV ファイルです。たとえば、[profiler_endpoints.csv を開く(Opening profiler_endpoints.csv)] ダイアログボックスが表示され、ここで profiler_endpoints.csv ファイルを開いたり保存したりできます。.csv ファイルを開く場合、Microsoft Office Excel アプリケーションがデフォルトのアプリケーションです。

ステップ 5 [profiler_endpoints.csv を開く(Opening profiler_endpoints.csv)] ダイアログボックスで、[OK] をクリックします。

Microsoft Office Excel アプリケーションで開かれた profiler_endpoints.csv ファイルに、エクスポートされたエンドポイントのリストが表示されます。CSV ファイルでは、[MAC アドレス(MAC address)] および [エンドポイント ポリシー(Endpoint Policy)] という 2 つの個別のカラムにヘッダー情報が表示されます。この CSV ファイルをシステム上にローカルに保存することができ、エンドポイントのインポートに使用できます。

ステップ 6 [profiler_endpoints.csv を開く(Opening profiler_endpoints.csv)] ダイアログボックスで、[キャンセル(Cancel)] をクリックして、[エンドポイント(Endpoints)] ページに戻ります。


 

最新のネットワーク スキャン結果

最新のネットワーク スキャン結果は、[管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [最新のネットワーク スキャン結果(Latest Network Scan Results)] に保存されています。

[最新のネットワーク スキャン結果エンドポイント(Latest Network Scan Results Endpoints)] ページは、任意のサブネットで手動でのマニュアル スキャンを実行した場合に、検出された最新のエンドポイントのみが、関連付けられたエンドポイント プロファイル、MAC アドレス、およびスタティック割り当てステータスとともに表示されます。このページでは、必要に応じて、サブネットで検出されたエンドポイントをよりよく分類するために編集できます。

[最新のネットワーク スキャン結果エンドポイント(Latest Network Scan Results Endpoints)] ページでのエンドポイントの編集方法の詳細については、「エンドポイントの編集」を参照してください。

Cisco ISE を使用すると、プロファイリング サービスの実行が有効になっている [ポリシー サービス(Policy Service)] ノードで手動でのネットワーク スキャンを実行できます。展開内のプライマリ管理 ISE ノード ユーザ インターフェイスで [ポリシー サービス(Policy Service)] ノードを選択し、その [ポリシー サービス(Policy Service)] ノードで手動でのネットワーク スキャンを実行する必要があります。任意のサブネットに対する手動でのネットワーク スキャン時に、ネットワーク スキャン プローブにより、指定されたサブネット上のエンドポイントとそのオペレーティング システムが検出され、SNMP サービス用の UDP ポート 161 および 162 がチェックされます。

手動でのネットワーク スキャンの詳細については、「ネットワーク スキャン(NMAP)プローブの設定」を参照してください。

管理者アクセスの用語について

表 4-10 で、Cisco ISE のロールベース アクセス ポリシー、管理者、管理者グループ、権限、および設定に適用される基本的な一部の管理者アクセスの用語について定義および説明します。

 

表 4-10 Cisco ISE 管理者アクセスの用語

用語
説明

ポリシー

ロールベース アクセス ポリシー(管理者アクセスと呼ばれる)は自分で定義するアクセス コントロール ポリシーで、任意のユーザまたはグループに対するネットワーク アクセス権限を制限できます。ロールベース アクセス ポリシーは、特定のアクセス コントロール ポリシーおよび権限を設定するときに定義されます。これらの管理者アクセス ポリシーにより、グループまたは個々のユーザに適用される指定のロールベース アクセス権限設定を使用して、ユーザ単位またはグループ単位でアクセスの量とタイプをカスタマイズできます。

管理者

Cisco ISE ユーザ インターフェイスを使用して特定のタイプの管理タスクを管理または実行する個人は、管理者と見なされます。管理者は、実行できるネットワーク アクセスまたはタスクを制限する、自分に割り当てられた管理者ロールに依存します(ロールベース アクセス アプローチ)。Cisco ISE ユーザ インターフェイスを使用して、管理者ロールは次のタスクを実行できます。

管理者パスワードまたはユーザ パスワードを変更する

展開、ヘルプデスク操作、ノードのモニタリングとトラブルシューティング、およびネットワーク デバイスを管理する

Cisco ISE サービス ポリシーおよび管理者アクセス、Cisco ISE 管理者アカウントとロール、Cisco ISE 管理機能、および Cisco ISE システムの設定と操作を管理する

管理グループ

すべて同じ管理者グループに属している複数のユーザで構成されるグループです。管理者グループに属している各ユーザは、そのグループの [メンバー ユーザ(Member User)] テーブルに一覧表示され、この表には、各メンバーに関する情報(ユーザ名、ユーザ ステータス(有効または無効)、電子メール アドレス、名、姓など)が含まれています。

Cisco ISE を使用すると、グループ内のエントリのフィルタリング、および [メンバー ユーザ(Member User)] テーブルのエントリの追加や削除を実行できます。ロールベース アクセス情報をグループに直接適用すると、これらの制限がそのグループに属する個々のユーザにマッピングされます。これは、すべてのグループ メンバーが、そのロールに割り当てられた共通の ID および権限を共有するためです(たとえば、ネットワーク デバイス管理者ロールを持つユーザ)。

特定の管理者グループのメンバーとしてのユーザの ID は、許可ポリシーの条件としても使用できます。サポートされている Cisco ISE 管理者グループのロール、および各ロール タイプで管理できるタスクが、表 4-11で一覧表示および説明されています。

権限

Cisco ISE では、このプロセスを使用して、特定のユーザまたはユーザ グループへの権限やアクセス権を制御します。権限を使用すると、個々のユーザまたはグループがネットワーク サービスやリソースに対してアクセスや管理を実行する能力を制御できます。Cisco ISE ユーザ インターフェイスには、2 つのオプション(メニュー アクセスおよびデータ アクセス)があります。Cisco ISE を使用すると、Cisco ISE メニューおよび Cisco ISE データへのアクセスを制限する権限特権設定を作成、変更、複製、または削除できます。

設定

Cisco ISE では、このプロセスを使用して、管理者アクセスに影響する次の 3 つの主要な設定値を設定します。

アクセス

パスワード ポリシー

セッションのタイムアウト

アクセス設定を使用すると、2 つのオプション(すべての IP アドレスを許可する、またはリストされている IP アドレスを許可する)でアクセス接続制限を設定できます。このオプションにより、アクセス用に設定したサブネット マスクを持つ IP アドレスのリストを設定できます。また、設定済みのリスト内のサブネット マスクを持つ任意の IP アドレスを編集または削除することもできます。

パスワード ポリシー設定は、管理者アクセス パスワード ポリシーの作成に使用できる 2 つのタブ([パスワード ポリシー(Password Policy)] および [詳細設定(Advanced)])で構成されています。[パスワード ポリシー(Password Policy)] タブで、8 つのチェックボックスおよび 2 つのテキスト ボックスから選択して、パスワード ポリシーを設定できます。


) Cisco ISE では、管理者パスワードに UTF-8 文字を使用することはできません。


[詳細設定(Advanced)] タブで、パスワード履歴設定をテキスト フィールドで定義したり、2 つのチェックボックスおよびテキスト ボックスを使用して、管理者アクセス パスワードのライフタイムを定義できます。

セッションのタイムアウト設定を使用すると、セッションのアイドル タイムアウト期間を分単位で定義できます。この期間が経過すると、セッションがタイム アウトし、このセッション中はアクセスできなくなります。

管理者ユーザは、1 つ以上の管理レベル グループに割り当てられている、Cisco ISE のユーザです。最初に Cisco ISE ユーザを設定するときに管理者ユーザを作成したり、既存のユーザをこのロールに昇格することができます。管理者ユーザは、対応する管理者権限を無効にすることで、単純なネットワーク ユーザ ステータスに降格することもできます。


) 管理者は、Cisco ISE システムを設定および操作するローカル権限を持つユーザと見なすことができます。


 

表 4-11 Cisco ISE 管理者グループのロールおよび役割

管理者グループ ロール
説明

ヘルプデスク管理者

このロールは、Cisco ISE 管理コンソールですべてのモニタリング操作およびトラブルシューティング操作を問い合わせるためのアクセス権を付与し、次のタスクを実行できます。

すべてのレポートの実行

すべてのトラブルシューティング フローの実行

Cisco ISE ダッシュボードおよびライブログの表示

アラームの表示

このロールでは、レポート、トラブルシューティング フロー、ライブ認証、またはアラームの作成、更新、または削除は実行できません。

ID 管理者

このロールは、Cisco ISE ネットワーク全体で Cisco ISE 管理コンソールを使用するすべての内部ユーザ ID を管理するためのアクセス権を付与します。このロールは、ID、エンドポイント、および ID グループ(ユーザ ID グループおよびエンドポイント ID グループ)に対する読み取りおよび書き込み権限を持ちます。

モニタリング管理者

このロールは、Cisco ISE 管理コンソールでのすべてのモニタリング操作およびトラブルシューティング操作へのアクセス権を付与し、次のタスクを実行できます。

すべてのレポートの管理(実行、作成、および削除)

すべてのトラブルシューティング フローの実行

Cisco ISE ダッシュボードおよびライブログの表示

アラームの管理(作成、更新、表示、および削除)

ネットワーク デバイス管理者

このロールは、Cisco ISE ネットワーク デバイス リポジトリのみを管理し、デバイスの追加、更新、削除などのタスクを実行する Cisco ISE 管理者にアクセス権を付与します。このロールには次の権限があります。

ネットワーク デバイスに対する読み取りおよび書き込み権限

NDG およびすべてのネットワーク リソース オブジェクト タイプに対する読み取りおよび書き込み権限

ポリシー管理者

このロールは、認証、許可、ポスチャ、およびクライアント プロビジョニングに関連する、ネットワーク全体でのすべての Cisco ISE サービス用のポリシーの作成および管理を担当する Cisco ISE ポリシー管理者にアクセス権を付与します。このロールには次の権限があります。

ポリシーで使用されるすべての要素(許可プロファイル、NDG、条件など)に対する読み取りおよび書き込み権限

ID、エンドポイント、および ID グループ(ユーザ ID グループおよびエンドポイント ID グループ)に対する読み取りおよび書き込み権限

サービス ポリシーに対する読み取りおよび書き込み権限

RBAC 管理者

このロールは、[操作(Operations)] タブのすべてのアクティビティを実行するためのフル アクセス権(読み取りと書き込みの権限)、および [管理(Administration)] タブの一部のメニュー項目への部分的なアクセス権を付与します。このロールには次の権限があります。

認証の詳細の表示

エンドポイント保護サービスの有効化または無効化

アラームの作成、編集、および削除、レポートの生成と表示、Cisco ISE を使用したトラブルシューティング

ネットワークでの問題

管理者アカウント設定および管理者グループ設定に対する読み取り権限

RBAC ポリシー ページに加えて、管理者アクセスおよびデータ アクセス権限に対する表示権限

スーパー管理者

このロールは、すべての Cisco ISE 管理機能へのアクセス権を付与します。このロールは、デフォルトの管理者アカウントに割り当てられ、すべての Cisco ISE リソースに対する作成、読み取り、更新、削除、および実行(CRUDX)権限があります。

(注) スーパー管理者ユーザは、デフォルトのシステム生成 RBAC ポリシーおよび権限は変更できません。これを行うには、ニーズに基づいた必要な権限が含まれた新しい RBAC ポリシーを作成し、これらのポリシーを任意の管理者グループにマッピングする必要があります。

システム管理者

このロールは、Cisco ISE の設定および操作を担当する Cisco ISE 管理者にアクセス権を付与します。

このロールは、[操作(Operations)] タブのすべてのアクティビティを実行するためのフル アクセス権(読み取りと書き込みの権限)、および [管理(Administration)] タブの一部のメニュー項目への部分的なアクセス権を付与します。このロールには次の権限があります。

管理者アカウント設定および管理者グループ設定に対する読み取り権限

RBAC ポリシー ページに加えて、管理者アクセスおよびデータ アクセス権限に対する読み取り権限。

[管理(Administration)] > [システム(System)] メニューのすべてのオプションに対する読み取りおよび書き込み権限。

認証の詳細の表示

エンドポイント保護サービスの有効化または無効化

アラームの作成、編集、および削除、レポートの生成と表示、Cisco ISE を使用したネットワーク内の問題のトラブルシューティング

ユーザ インターフェイスを使用した管理者アクセス タイプの管理

Cisco ISE ダッシュボードを、ポリシー、管理者、管理者グループ、権限、および設定を管理できる管理者アクセス管理操作を表示および実行するための開始点として使用します。次のタスクを実行するためのコントロール、タブ、およびナビゲーション ペインのオプションを使用して、管理操作を実行します。

RBAC のポリシーの設定:[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [ポリシー(Policy)] を選択します。

管理者の設定:[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者ユーザ(Admin Users)] を選択します。

管理者グループの設定:[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者グループ(Admin Groups)] を選択します。

権限の設定:[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [権限(Permissions)] を選択します。

設定値の設定:[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [設定(Settings)] を選択します。

表 4-12 に、管理者アクセス タイプ、および [管理者アクセス(Admin Access)] タブを使用して設定可能な値を示します。

 

表 4-12 Cisco ISE 管理者アクセス タイプおよび値

タブ:サブタブ
ユーザ インターフェイス ページの機能
パネル

管理者アクセス(Admin Access):ポリシー(Policies)

RBAC ポリシーおよび値を管理するための開始点

ロールベース管理者アクセス ポリシーの作成

RBAC

ルール(Rule)

RBAC グループ(RBAC Groups)

権限(Permissions)

管理者アクセス(Admin Access):ローカル 管理者(Local Administrators)

管理者を管理するための開始点

追加(Add)

編集(Edit)

ステータスの変更(Change Status)

削除(Delete)

複製(Duplicate)

フィルタ(Filter)

新しい管理者(New Administrator)

(または編集(Edit))

管理者ユーザ(Admin User)

名前(Name)

電子メール(E-mail)

ステータス(Status)(有効または無効)

パスワード(Password)

パスワード(Password)*

パスワードの再入力(Re-Enter Password)*

ユーザ情報(User Information)

名(First Name)

姓(Last Name)

アカウント オプション(Account Options)

説明(Description)

管理グループ(Admin Groups)

管理者アクセス(Admin Access): 管理者グループ(Admin Groups)

管理者グループを管理するための開始点

追加(Add)

編集(Edit)

複製(Duplicate)

削除(Delete)

フィルタ(Filter)

管理グループ(Admin Groups)

管理者グループ(Admin Group)

名前(Name)*

説明(Description)

メンバー ユーザ(Member User)

ステータス(Status)

電子メール(E-mail)

ユーザ名(Username)

名(First Name)

姓(Last Name)

(注) [メンバー ユーザ(Member Users)] ページで、クイック フィルタまたは拡張フィルタ検索機能を使用して、特定の属性(複数可)を持つメンバー ユーザを追加、削除、または検索できます。

管理者アクセス(Admin Access): 権限(Permissions)

権限を管理するための開始点

メニュー アクセス(Menu Access)

追加(Add)

編集(Edit)

複製(Duplicate)

削除(Delete)

データ アクセス(Data Access)

追加(Add)

編集(Edit)

複製(Duplicate)

削除(Delete)

メニュー アクセス(Menu Access)

メニュー アクセス権限の作成(Create Menu Access Permission)

名前(Name)*

説明(Description)

メニュー アクセス権限(Menu Access Privileges)

[表示(Show)] または [非表示(Hide)]

次の場合のメニュー アクセス権限

操作(Operations)

ポリシー(Policy)

管理(Administration)

データ アクセス(Data Access)

データ アクセス権限の作成(Create Data Access Permission)

名前(Name)*

説明(Description)

データ アクセス権限(Data Access Privileges)

フル アクセス権(Full Access)またはアクセス権なし(No Access)

次の場合のデータ アクセス権限

管理グループ(Admin Groups)

ユーザ ID グループ(User Identity Groups)

エンドポイント ID グループ(Endpoint Identity Groups)

すべてのロケーション(All Locations)

すべてのデバイス タイプ(All Device Types)

管理者アクセス(Admin Access): 設定(Settings)

設定を管理するための開始点

アクセス(Access)

アクセス制限の設定(Configure Access Restriction)

すべての IP アドレスに接続を許可する(Allow all IP addresses to connect)

リストされている IP アドレスに接続を許可する(Allow only listed IP addresses to connect)

アクセス制限の IP リストの設定(Configure IP List for Access Restriction)

追加(Add)

編集(Edit)

削除(Delete)

パスワード ポリシー(Password Policy)

[パスワード ポリシー(Password Policy)] タブ

パスワードのチェックボックスおよびテキスト フィールドの要件:

最小長*

許可されていない文字または逆順

小文字の英文字

大文字の英文字

数字

数字以外の文字

(注) Cisco ISE では、管理者パスワードに UTF-8 文字を使用することはできません。

[詳細設定(Advanced)] タブ

パスワード履歴設定

パスワード ライフタイム設定

アカウントの無効化(Disable Account)

リマインダの無効化(Disable Reminder)

セッションのタイムアウト(Session Timeout)

[セッションのタイムアウト(Session Timeout)] タブ

セッション アイドル タイムアウト(Session Idle Timeout)*
(分単位)


) アスタリスク(*)の付いた設定可能な値は必須です。


詳細情報:

RBAC ポリシーの管理の詳細については、「RBAC のポリシーの設定」および「RBAC 権限の設定」を参照してください。

管理者の管理の詳細については、「Cisco ISE 管理者の設定」および「管理者アクセスの設定」を参照してください。

管理者グループの管理の詳細については、「管理者グループの設定」を参照してください。

外部 ID ソース上に格納されているクレデンシャルを使用した管理者の認証を許可するように Cisco ISE を設定する方法については、「外部 ID ストアを使用して管理者アクセス用に Cisco ISE を設定」を参照してください。

ユーザ ID グループの管理の詳細については、「ユーザ ID グループの設定」を参照してください。

エンドポイント ID グループの管理の詳細については、「エンドポイント ID グループのフィルタリング、作成、編集、および削除」および「エンドポイント ID グループのフィルタリング、作成、編集、および削除」を参照してください。

Cisco ISE 管理者の設定

管理者ユーザを使用して、Cisco ISE 管理者の属性の表示、作成、変更、削除、ステータスの変更、複製、または検索を実行できます。

この項では、次のトピックを扱います。

「既存の Cisco ISE 管理者の表示」

「新しい Cisco ISE 管理者の作成」

「既存の Cisco ISE 管理者の変更」

「既存の Cisco ISE 管理者の削除」

「既存の Cisco ISE 管理者のステータスの変更」

「既存の Cisco ISE 管理者の複製」

「既存の Cisco ISE 管理者の特定の属性の検索」

既存の Cisco ISE 管理者の表示

Cisco ISE では、[管理者(Administrators)] ページに管理者が表示され、ローカルで定義されている管理者が次の場所で一覧表示されます。

[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者ユーザ(Admin Users)]。

新しい Cisco ISE 管理者の作成

次の手順を使用して、新しい Cisco ISE 管理者を作成します。

新しい Cisco ISE 管理者を作成するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者ユーザ(Admin Users)] を選択します。

[管理者(Administrators)] ページに、ローカルで定義されている既存の管理者が表示されます。

ステップ 2 [追加(Add)] をクリックし、次のいずれかを実行します。

新しいユーザの作成(Create New User)

[新しいユーザの作成(Create New User)] を選択すると、空白の [管理者ユーザ(Admin User)] ページが表示され、設定する必要があります。

ネットワーク アクセス ユーザからの選択(Select from Network Access Users)

[ネットワーク アクセス ユーザからの選択(Select from Network Access Users)] を選択した場合、現在のユーザのリストが表示され、このリストでクリックしてユーザを選択することができ、対応する [管理者ユーザ(Admin User)] ページが表示されます。

ステップ 3 次の管理者フィールドに値を入力します(詳細については、表 4-12の管理者を参照してください)。

管理者ユーザおよびステータス(Admin User and Status)

パスワード(Password)([外部(External)] オプションをクリックした場合、[パスワード(Password)] および [パスワードの再入力(Re-Enter Password)] フィールドは使用されません)

ユーザ情報(User Information)

アカウント オプション(Account Options)

管理グループ(Admin Groups)

ステップ 4 [送信(Submit)] をクリックして、新しい管理者を Cisco ISE データベースに作成します。


 

既存の Cisco ISE 管理者の変更

次の手順を使用して、既存の Cisco ISE 管理者設定を変更します。

既存の Cisco ISE 管理者を変更するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者ユーザ(Admin Users)] を選択します。

[管理者(Administrators)] ページが表示されます。

ステップ 2 変更する管理者に対応するチェックボックスをオンにして、[編集(Edit)] をクリックします。

対応する [管理者ユーザ(Admin User)] ページが表示されます。

ステップ 3 [管理者ユーザ(Admin User)] フィールド内の変更する必要がある値を変更します。

管理者ユーザおよびステータス(Admin User and Status)

パスワード(Password)([外部(External)] オプションをクリックした場合、[パスワード(Password)] および [パスワードの再入力(Re-Enter Password)] フィールドは使用されません)

ユーザ情報(User Information)

アカウント オプション(Account Options)

管理グループ(Admin Groups)

ステップ 4 [保存(Save)] をクリックして、変更した管理者を Cisco ISE データベースに保存します。


 

既存の Cisco ISE 管理者の削除

次の手順を使用して、既存の Cisco ISE 管理者を削除します。

既存の Cisco ISE 管理者を削除するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者ユーザ(Admin Users)] を選択します。

[管理者(Administrators)] ページが表示されます。

ステップ 2 削除する管理者に対応するチェックボックスをオンにして、[削除(Delete)] をクリックし、次のいずれかを実行します。

[管理者リストからの削除(Remove from Administrator List)] をクリックします。選択した管理者がリストから削除されます。

このアクションにより、選択した管理者がリストから削除されますが、そのユーザ アカウントは削除されません。

[管理者ユーザの削除(Delete Admin User)] をクリックして、[OK] をクリックします。

このアクションにより、選択した管理者が Cisco ISE データベースから削除されます。


 

既存の Cisco ISE 管理者のステータスの変更

次の手順を使用して、既存の Cisco ISE 管理者のステータスを変更します。

既存の Cisco ISE 管理者のステータスを変更するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者ユーザ(Admin Users)] を選択します。

[管理者(Administrators)] ページが表示されます。

ステップ 2 ステータスを変更する管理者に対応するチェックボックスをオンにして、[ステータスの変更(Change Status)] をクリックします。

ステップ 3 確認ダイアログボックスで [OK] をクリックして、選択した管理者のステータスを変更します。

[管理者(Administrators)] ページに、変更されたステータスが表示されます。


 

既存の Cisco ISE 管理者の複製

次の手順を使用して、既存の Cisco ISE 管理者を複製します。

既存の Cisco ISE 管理者を複製するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者ユーザ(Admin Users)] を選択します。

[管理者(Administrators)] ページが表示されます。

ステップ 2 複製する管理者に対応するチェックボックスをオンにして、[複製(Duplicate)] をクリックします。

[管理者(Administrators)] ページに、複製したステータスが表示されます。

ステップ 3 必要に応じて複製した管理者を変更します。

ステップ 4 [送信(Submit)] をクリックして、この新しい管理者を保存します。


 

既存の Cisco ISE 管理者の特定の属性の検索

次の手順を使用して、特定の属性に基づいて既存の Cisco ISE 管理者を検索します。

特定の属性を使用して既存の Cisco ISE 管理者を検索するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者ユーザ(Admin Users)] を選択します。

[管理者(Administrators)] ページが表示されます。

ステップ 2 [表示(Show)] ドロップダウン リストをクリックして、次のいずれかのオプションを選択します。

クイック フィルタ(Quick Filter)(ステップ 3 を参照)

拡張フィルタ(Advanced Filter)(ステップ 4 を参照)

ステップ 3 クイック フィルタを実行するには、次の手順を実行します。

a. 次の 1 つ以上の属性フィールドに検索条件を入力します。

ステータス(Status)

名前(Name)

説明(Description)

名(First Name)

姓(Last Name)

管理グループ(Admin Groups)

b. フィルタリングするには、各フィールドで [実行(Go)] をクリックします。

指定した属性に一致する Cisco ISE 管理者エントリが、[Cisco ISE 管理者(Cisco ISE Administrators)] ページに表示されます。

ステップ 4 拡張フィルタ を実行するには、次の手順を実行して一致ルールを作成します。

a. [フィルタ(Filter)] ドロップダウン リストから、次のいずれかのオプションを選択します。

b. 2 番目のドロップダウン リストから、次のいずれかのオプションを選択します。

次を含む(Contains)

次を含まない(Does not contain)

次に等しくない(Does not equal)

次で終わる(Ends with)

空白(Is empty)

次に等しい(Is exactly (or equals))

大なり(Is greater than)

以上(Is greater than or equal to)

小なり(Is less than)

以下(Is less than or equal to)

空白ではない(Is not empty)

次で始まる(Starts with)

c. テキスト ボックスに、検索する値を入力します。

d. フィルタ プロセスを起動するには [実行(Go)] をクリックし、検索条件を追加するにはプラス([+])をクリックします。

e. [フィルタのクリア(Clear Filter)] をクリックすると、フィルタ プロセスがリセットされます。


 

管理者グループの設定

[管理者グループ(Admin Groups)] ページでは、Cisco ISE ネットワーク管理者グループを表示、作成、変更、削除、複製、またはフィルタリングできます。この項では、次のトピックを扱います。

「既存の管理者グループの表示」

「管理者グループの作成」

「既存の管理者グループの変更」

「既存の管理者グループの削除」

「既存の管理者グループの複製」

「既存の管理者グループの特定の属性の検索」

前提条件

外部管理者グループ タイプを設定するには、次の項にあるガイドラインに従って 1 つ以上の外部 ID ストアを指定しておく必要があります。

「Microsoft Active Directory」

「LDAP」

「RADIUS トークン ID ソース」

「RSA ID ソース」

既存の管理者グループの表示

既存の管理者グループを表示するには、[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者グループ(Admin Groups)] を選択します。

[管理者グループ(Admin Groups)] ページが表示されます。

管理者グループの作成

次の手順を使用して、管理者グループを作成します(また、その管理者グループ内のユーザを作成または削除します)。

管理者グループを作成するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者グループ(Admin Groups)] を選択します。

[管理者グループ(Admin Group)] ページが表示されます。

ステップ 2 [追加(Add)] をクリックして、次の [管理者グループ(Admin Group)] フィールドに値を入力します。

名前(Name)

説明(Description)

ステップ 3 設定する管理者グループの タイプ を次のように指定します。

[内部(Internal)]:このグループ タイプに割り当てられた管理者は、Cisco ISE 内部データ ベースで指定されたクレデンシャルに対して認証を行います。

[外部(External)]:このグループに割り当てられた管理者は、属性セレクタで指定した外部 ID ストアに含まれているクレデンシャルに対して認証を行います。[外部(External)] を選択した後、Cisco ISE による外部グループ情報のインポート元になる ID ストアを指定します。


) 外部管理者グループ タイプを設定するには、「外部 ID ソースの管理」の該当する項のガイドラインに従って 1 つ以上の外部 ID ストアをすでに指定している必要があります。


ステップ 4 ユーザを [管理者グループ ユーザ(Admin Group Users)] テーブルに追加するには、[追加(Add)] をクリックします。[ユーザ(Users)] ページで、管理者グループに追加するユーザを選択します。

ステップ 5 ユーザを [管理者グループ ユーザ(Admin Group Users)] テーブルから削除するには、削除するユーザに対応するチェックボックスをオンにして、[削除(Remove)] をクリックします。

ステップ 6 [送信(Submit)] をクリックして、作成した管理者グループに対して行った変更を Cisco ISE データベースに保存します。


 

既存の管理者グループの変更

次の手順を使用して、ローカルで設定されている既存の管理者グループの設定値を変更します。

既存の管理者グループを変更するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者グループ(Admin Groups)] を選択します。

[管理者グループ(Admin Group)] ページが表示されます。

ステップ 2 変更する管理者グループに対応するチェックボックスをオンにして、[編集(Edit)] をクリックします。

対応する [管理者グループ(Admin Group)] ページが表示されます。

ステップ 3 この管理者グループの一部であるメンバー ユーザを次のように変更します。

[追加(Add)] をクリックして、新しいメンバーを追加します。

既存のメンバーに対応するチェックボックスをオンにして、[削除(Remove)] をクリックしてユーザを削除します。

[クイック フィルタ(Quick Filter)] または [拡張フィルタ(Advanced Filter)] をクリックして、管理者グループ ユーザの特定の属性を検索します。

ステップ 4 [保存(Save)] をクリックして、変更したネットワーク アクセス ユーザを Cisco ISE データベースに保存します。


 

既存の管理者グループの削除

次の手順を使用して、既存の管理者グループを削除します(およびこれを行うことで、その管理者グループ内のユーザを削除します)。

既存の管理者グループを削除するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者グループ(Admin Groups)] を選択します。

[管理者グループ(Admin Group)] ページが表示されます。

ステップ 2 削除する管理者グループに対応するチェックボックスをオンにして、[削除(Delete)] をクリックします。

[削除確認(Delete Confirmation)] ダイアログボックスが表示されます。

ステップ 3 [OK] をクリックして、選択した管理者グループの削除を確定します。


 

既存の管理者グループの複製

次の手順を使用して、既存の管理者グループを複製します。

既存の管理者グループを複製するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者グループ(Admin Groups)] を選択します。

[管理者グループ(Admin Group)] ページが表示されます。

ステップ 2 複製する管理者グループに対応するチェックボックスをオンにして、[複製(Duplicate)] をクリックします。

[管理者グループ(Admin Group)] ウィンドウに、複製ステータスが表示されます。

ステップ 3 複製した管理者グループを必要に応じて変更します。

ステップ 4 [送信(Submit)] をクリックして、この新しい管理者グループを保存します。


 

既存の管理者グループの特定の属性の検索

次の手順を使用して、特定の属性に基づいて既存の管理者グループを検索します。

特定の属性を使用して既存の管理者グループを検索するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者グループ(Admin Groups)] を選択します。

[管理者グループ(Admin Group)] ページが表示されます。

ステップ 2 [表示(Show)] ドロップダウン リストをクリックして、次のいずれかのオプションを選択します。

クイック フィルタ(Quick Filter)

拡張フィルタ(Advanced Filter)

ステップ 3 クイック フィルタを実行するには、次の手順を実行します。

a. 次の 1 つ以上の属性フィールドに検索条件を入力します。

名前(Name)

説明(Description)

b. フィルタリングするには、各フィールドで [実行(Go)] をクリックします。

ステップ 4 拡張フィルタ を実行するには、次の手順を実行して一致ルールを作成します。

a. [フィルタ(Filter)] ドロップダウン リストから、次のいずれかのオプションを選択します。

説明(Description)

名前(Name)

b. 2 番目のドロップダウン リストから、次のいずれかのオプションを選択します。

次を含む(Contains)

次を含まない(Does not contain)

次に等しくない(Does not equal)

次で終わる(Ends with)

空白(Is empty)

次に等しい(Is exactly (or equals))

大なり(Is greater than)

以上(Is greater than or equal to)

小なり(Is less than)

以下(Is less than or equal to)

空白ではない(Is not empty)

次で始まる(Starts with)

c. テキスト ボックスに、検索する値を入力します。

d. フィルタ プロセスを起動するには [実行(Go)] をクリックし、検索条件を追加するにはプラス([+])をクリックします。

e. [フィルタのクリア(Clear Filter)] をクリックすると、フィルタ プロセスがリセットされます。


 

ユーザ ID グループの設定

[ID グループ(Identity Groups)] ウィンドウでは、Cisco ISE のユーザ ID グループを表示、作成、変更、削除、複製、またはフィルタリングできます。この項では、次のトピックを扱います。

「ユーザ ID グループの表示」

「ユーザ ID グループの作成」

「既存のユーザ ID グループの変更」

「既存のユーザ ID グループの削除」

「既存のユーザ ID グループのインポートまたはエクスポート」

「既存のユーザ ID グループの特定の属性の検索」

ユーザ ID グループの表示

Cisco ISE のユーザ ID グループを表示するには、[管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [ID グループ(Identity Groups)] > [ユーザ ID グループ(User Identity Groups)] を選択します。

[ユーザ ID グループ(User Identity Groups)] ページが表示されます。

ユーザ ID グループの作成

次の手順を使用して、ユーザ ID グループを作成します(およびこのローカル ユーザ ID グループ内のユーザを作成または削除します)。

ユーザ ID グループを作成するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [ID グループ(Identity Groups)] > [ユーザ ID グループ(User Identity Groups)] を選択します。

[ユーザ ID グループ(User Identity Group)] ページが表示されます。

ステップ 2 [追加(Add)] をクリックして、次のフィールドに値を入力します。

名前(Name)

説明(Description)


) ユーザ ID グループの名前を作成する場合、スペースは使用できません。


ステップ 3 [送信(Submit)] をクリックします。


 

既存のユーザ ID グループの変更

次の手順を使用して、既存のユーザ ID グループを変更します(およびこれを行うことで、このローカル ユーザ ID グループ内のユーザを変更します)。

既存のユーザ ID グループを変更するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [ID グループ(Identity Groups)] > [ユーザ ID グループ(User Identity Groups)] を選択します。

ステップ 2 変更するユーザ ID グループに対応するチェックボックスをオンにして、[編集(Edit)] をクリックします。

ID グループの名前を編集できるほか、ユーザ ID グループでの新しいユーザの追加や既存のユーザの削除を実行することもできます。[ユーザ ID グループ(User Identity Groups)] ページが表示され、ID グループの名前と説明、および [メンバー ユーザ(Member Users)] セクションが表示されます。

ステップ 3 ユーザを ID グループに追加するには、[ユーザ(Users)] ページで [追加(Add)] をクリックします。

ネットワーク アクセス ユーザのリストが含まれた [ユーザ(Users)] ウィジェットが表示されます。

ステップ 4 [ユーザ(Users)] ウィジェットにリストされているユーザをクリックし、それらのユーザをユーザ ID グループに追加します。

ステップ 5 ユーザを ID グループから削除するには、削除するユーザに対応するチェックボックスをオンにして、[削除(Delete)] を選択します。

[選択済みの削除(Delete Selected)] または [すべて削除(Delete All)] オプションが表示され、これを使用して、選択したユーザまたはすべてのユーザの削除を実行できます。

確認ダイアログボックスが表示されます。[OK] をクリックして確定します。

ステップ 6 [保存(Save)] をクリックして、ユーザ ID グループに対して行った変更を Cisco ISE データベースに保存します。


 

既存のユーザ ID グループの削除

次の手順を使用して、既存のユーザ ID グループを削除します(およびこれを行うことで、このローカル ユーザ ID グループ内のユーザを削除します)。

既存のユーザ ID グループを削除するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [ID グループ(Identity Groups)] > [ユーザ ID グループ(User Identity Groups)] を選択します。

[ユーザ ID グループ(User Identity Group)] ページが表示されます。

ステップ 2 削除するユーザ ID グループの隣にあるチェックボックスをオンにして、[削除(Delete)] をクリックします。

確認ダイアログボックスが表示されます。[OK] をクリックして、ユーザ ID グループの削除を確定します。


 

既存のユーザ ID グループのインポートまたはエクスポート

次の手順を使用して、ローカルで設定されているユーザ ID グループをインポートまたはエクスポートします。

既存のユーザ ID グループをインポートまたはエクスポートするには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [ID グループ(Identity Groups)] > [ユーザ ID グループ(User Identity Groups)] を選択します。

[ユーザ ID グループ(User Identity Group)] ページが表示されます。

ステップ 2 [インポート(Import)] をクリックして、カンマ区切りのテキスト ファイルからネットワーク アクセス ユーザをインポートします。

[ファイルからのユーザ ID グループのインポート(Import User Identity Groups from File)] ページが表示されます。

[ファイル(File)] フィールドに、インポートするユーザ ID グループが含まれているファイル名を入力するか、[参照(Browse)] をクリックして、ファイルが配置されている場所に移動します。

新しいユーザ ID グループの追加、および既存のユーザ ID グループの更新の両方を実行する必要がある場合は、[新しいデータで既存のデータを上書き(Overwrite existing data with new data)] チェックボックスをオンにします。

インポート プロセス時にこのチェックボックス オプションが選択されていない場合は、新しいユーザ ID グループが作成されるだけで、既存のユーザ ID グループは更新による影響を受けません。

ステップ 3 (任意)カンマ区切りのテキスト ファイルがない場合は、[テンプレートの生成(Generate a Template)] をクリックして、次のフィールドが含まれた、このタイプのファイルを作成します。

ID グループ名(Identity Group Name)

ID グループの説明(Identity Group Description)

ステップ 4 (任意)インポート操作を実行しないことにした場合は、[戻る(Go Back)] をクリックして、前のページに戻ります。

ステップ 5 [インポート(Import)] をクリックします。

ステップ 6 ユーザ ID グループをエクスポートするには、エクスポートするユーザ ID グループに対応するチェックボックスをまずオンにしてから、[エクスポート(Export)] をクリックします。

[users.csv を開く(Opening users.csv)] ウィンドウが表示され、ここで、[ファイルの保存(Save File)] をクリックし、[OK] をクリックして、エクスポート対象として選択したネットワーク アクセス ユーザが含まれた users.csv を作成します。

ステップ 7 [保存(Save)] をクリックして、変更内容を Cisco ISE データベースに保存します。


 

既存のユーザ ID グループの特定の属性の検索

次の手順を使用して、特定の属性に基づいて既存のユーザ ID グループを検索します。

特定の属性を使用して既存のユーザ ID グループを検索するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [ID グループ(Identity Groups)] > [ユーザ ID グループ(User Identity Groups)] を選択します。

[ユーザ ID グループ(User Identity Groups)] ページが表示されます。

ステップ 2 [表示(Show)] ドロップダウン リストをクリックして、次のいずれかのオプションを選択します。

クイック フィルタ(Quick Filter)

拡張フィルタ(Advanced Filter)

a. クイック フィルタ を実行するには、次の 1 つ以上の属性フィールドに検索条件を入力します。

名前(Name)

説明(Description)

b. 拡張フィルタ を実行するには、[フィルタ(Filter)] ドロップダウン リストから次のいずれかのオプションを選択して、一致ルールを作成します。

名前(Name)

説明(Description)

c. 2 番目のドロップダウン リストから、次のいずれかのオプションを選択します。

次を含む(Contains)

次を含まない(Does not contain)

次に等しくない(Does not equal)

次で終わる(Ends with)

空白(Is empty)

次に等しい(Is exactly (or equals))

大なり(Is greater than)

以上(Is greater than or equal to)

小なり(Is less than)

以下(Is less than or equal to)

空白ではない(Is not empty)

次で始まる(Starts with)

d. テキスト ボックスに、検索する値を入力します。

e. フィルタ プロセスを起動するには [実行(Go)] をクリックし、検索条件を追加するにはプラス([+])をクリックします。

f. [フィルタのクリア(Clear Filter)] をクリックすると、フィルタ プロセスがリセットされます。


 

外部 ID ストアを使用して管理者アクセス用に Cisco ISE を設定

Cisco ISE では、Active Directory、LDAP、RSA SecureID などの外部 ID ストアを介した管理者ユーザ認証を提供できます。外部 ID ストアを介した認証の提供に使用できる次の 2 つのモデルがあります。

外部認証 + 外部許可:問題の管理者 ID に関してローカル Cisco ISE データベースで指定されたクレデンシャルはなく、許可は、外部 ID ストア グループ メンバーシップのみに基づきます。これは、Active Directory および LDAP 認証で使用されます。

外部認証 + 内部許可:管理者の認証クレデンシャルは外部 ID ソースから取得され、許可および管理者ロール割り当てはローカル Cisco ISE データベースを使用して行われます。これは、RSA SecurID 認証で使用されます。(この方法では、外部 ID ストアとローカル Cisco ISE データベースの両方で同じユーザ名を設定する必要があります)。

操作時、Cisco ISE は、外部 ID ストアとの通信が確立されなかった場合や失敗した場合はフォールバックし、内部 ID データベースから認証の実行を試行するように設計されています。また、外部認証が設定されている管理者には、ブラウザを起動してログイン セッションを開始すると必ず、ログイン ダイアログの [ID ストア(Identity Store)] ドロップダウン セレクタから [内部(Internal)] を選択して Cisco ISE ローカル データベースを介した認証を要求するオプションが依然として表示されます。


) 外部管理者認証を提供するこの方法は、管理者ユーザ インターフェイスを介してのみ設定できます。Cisco ISE コマンドライン インターフェイス(CLI)では、これらの機能は設定されません。


前提条件

ネットワークに既存の外部 ID ストアがまだない場合は、必要な外部 ID ストアをインストールし、これらの ID ストアにアクセスするように Cisco ISE が設定されていることを確認します。ガイドラインについては、次の各項を参照してください。

「Microsoft Active Directory」

「LDAP」

「RADIUS トークン ID ソース」

「RSA ID ソース」

外部認証 + 外部許可

デフォルトでは、Cisco ISE は内部管理者認証を提供するように設定されています。したがって、外部認証を設定するには、外部 ID ストアで定義している外部管理者アカウントのパスワード ポリシーを作成する必要があります。次に、結果的に外部管理者 RBAC ポリシーの一部となるこのポリシーを外部管理者グループに適用できます。パスワード ポリシーの設定の詳細については、「管理者アカウントのパスワード ポリシーの設定」を参照してください。

ネットワークでは、外部 ID ストア経由の認証を提供するほかに、Common Access Card(CAC)認証デバイスを使用する必要もある場合があります。外部ネットワーク アクセス方法で CAC が必要な場合は、「管理者 CAC 認証のための Cisco ISE の設定」を参照してください。

外部管理者認証パスワード ポリシーを作成するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [認証(Authentication)] に移動します。

ステップ 2 [認証方式(Authentication Method)] タブで、[パスワード ベース(Password Based)] を選択し、ページ 4-48 で概説している 前提条件に従ってすでに設定しているいずれかの外部 ID ソースを選択します。

ステップ 3 「管理者アカウントのパスワード ポリシーの設定」のガイドラインに従って、その他の特定のパスワード ポリシー設定値を設定します。

ステップ 4 [保存(Save)] をクリックします。


 

次に、外部 Active Directory または LDAP 管理者グループを作成する必要があります。これにより、Cisco ISE は外部 Active Directory または LDAP ID ストアで定義されているユーザ名を使用して、ログイン時に入力した管理者ユーザ名とパスワードを検証します。詳細については、「管理者グループの作成」を参照してください。

Cisco ISE は、外部リソースから Active Directory または LDAP グループ情報をインポートし、それをディクショナリ属性として保存します。次に、この属性を、外部管理者認証方式用の RBAC ポリシーを設定するときのポリシー要素の 1 つとして指定できます。

外部 Active Directory または LDAP ID グループをマッピングする内部管理者グループを作成するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者グループ(Admin Groups)] > [追加(Add)] を選択します。

[管理者グループ(Admin Groups)] ページが表示されます。

ステップ 2 「管理者グループの作成」で説明されているガイドラインに従って、新しい外部管理者グループを作成します。

ステップ 3 [保存(Save)] をクリックします。


 

新しい外部管理者グループのメニュー アクセス権限およびデータ アクセス権限を指定するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理ダッシュボードで、[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] を選択します。

ステップ 2 [管理者アクセス(Admin Access)] ナビゲーション ペインで、[権限(Permissions)] をクリックして展開してから、次をクリックします。

メニュー アクセス(Menu Access)

データ アクセス(Data Access)

[メニュー アクセス(Menu Access)] または [データ アクセス(Data Access)] ページが表示され、既存のデフォルト アクセス権限とユーザ定義アクセス権限がすべて一覧表示されます。

ステップ 3 「メニュー アクセス権限の設定」および「データ アクセス権限の設定」のガイドラインに従ってアクセス権限を指定します。

ステップ 4 [保存(Save)] をクリックします。


 

外部 ID ストアを使用して管理者を認証するように Cisco ISE を設定し、同時にカスタム メニュー アクセス権限とデータ アクセス権限を指定するには、新しい RBAC ポリシーを設定する必要があります。このポリシーには、認証用の 外部 管理者グループ、および管理者の外部認証と許可を管理するためのメニュー アクセス権限とデータ アクセス権限を持つ 内部 管理者グループが存在している必要があります。


) これらの新しい外部属性を指定するように既存(システムプリセット)の RBAC ポリシーを変更することはできません。「テンプレート」として使用する必要がある既存のポリシーがある場合は、そのポリシーを複製し、名前を変更してから、新しい属性を割り当てます。詳細については、「RBAC ポリシーの複製」を参照してください。


外部管理者認証用の新しい RBAC ポリシーを作成するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理ダッシュボードで、[管理(Administration)] > [ システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [ポリシー(Policy)] を選択します。

[RBAC ポリシー(RBAC Policies)] ページが表示されます。このページには、デフォルトの管理者グループ用のすぐに使用できる一連の定義済みポリシーが含まれています。

ステップ 2 「カスタム RBAC ポリシーの作成」のガイドラインに従って、必要な外部管理者認証 RBAC ポリシー要素(グループ、権限など)を指定します。

ステップ 3 [保存(Save)] をクリックします。


 


) 適切な外部管理者グループが正しい管理者ユーザ ID に割り当てられている必要があることに注意してください。「Cisco ISE 管理者の設定」のサブセクションで説明しているように、問題の管理者が正しい外部管理者グループに関連付けられていることを確認します。


図 4-1 に、認証を提供するように外部 ID ストアが Cisco ISE で設定されている場合の、管理者に表示されるログイン ダイアログの例を示します。ログイン時、管理者には、RBAC ポリシーで指定されたメニュー アクセス項目とデータ アクセス項目のみが表示されます。

図 4-1 管理者ログイン:使用可能な外部 ID ストア

 

 


) 管理者としてログインした場合、Cisco ISE RBAC ポリシーが管理者 ID を認証できないと、Cisco ISE では、「認証されていない」ことを示すメッセージが表示され、Cisco ISE 管理者ユーザ インターフェイスにアクセスできません。


外部認証 + 内部許可

外部 RSA SecurID ID ストアを使用して管理者認証を提供するように Cisco ISE を設定している場合、管理者のクレデンシャル認証が RSA ID ストアによって実行されます。ただし、許可(ポリシー アプリケーション)は、依然として Cisco ISE 内部データベースに従って行われます。また、 外部認証 + 外部許可とは異なる、留意する必要がある次の 2 つの重要な要素があります。

管理者の特定の外部管理者グループを指定する必要はありません。

外部 ID ストアとローカル Cisco ISE データベースの両方で同じユーザ名を設定する必要があります。

外部 ID ストアを介して認証する新しい Cisco ISE 管理者を作成するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者ユーザ(Admin Users)] を選択します。

[管理者(Administrators)] ページに、ローカルで定義されている既存の管理者が表示されます。

ステップ 2 「新しい Cisco ISE 管理者の作成」のガイドラインに従って、外部 RSA ID ストアの管理者ユーザ名が Cisco ISE にも存在することを確認します。[パスワード(Password)] の下の [外部(External)] オプションを必ずクリックしてください。


) 外部管理者ユーザ ID のパスワードを指定する必要はなく、特別に設定されている外部管理者グループを関連付けられている RBAC ポリシーに適用する必要もないことに注意してください。


ステップ 3 [保存(Save)] をクリックします。


 

管理者がログインすると、ログイン セッションは、プロセスで次の一般的な手順を通過します。

1. 管理者が RSA SecurID チャレンジを送信します。

2. RSA SecurID は、チャレンジ応答を返します。

3. 管理者は、ユーザ ID とパスワードを入力する場合と同様に、ユーザ名および RSA SecurID チャレンジ応答を Cisco ISE ログイン ダイアログに入力します。

4. 管理者は、指定した ID ストア が外部 RSA SecurID リソースであることを確認します。

5. 管理者は、[ログイン(Login)] をクリックします。

図 4-2 に、RSA SecurID が外部 ID ストアの場合に管理者に表示されるログイン ダイアログ例を示します。ログイン時、管理者には、RBAC ポリシーで指定されたメニュー アクセス項目とデータ アクセス項目のみが表示されます。

図 4-2 管理者ログイン:RSA SecurID 外部 ID ストア

 

管理者アクセス(RBAC)ポリシーの管理

Cisco ISE での RBAC ポリシーは、管理者アクセスに RBAC の概念を使用する単純なアクセス コントロール ポリシーです。これらの RBAC ポリシーは、ユーザ インターフェイスおよび管理者グループ データ要素を使用してさまざまな管理機能を実行するように制限または有効化されている 1 つ以上の管理者グループに属している管理者セットへの権限を付与するように策定されています。

RBAC ポリシーにより、管理者ユーザにメニュー項目やその他の ID グループ データ要素への特定のタイプのアクセスを付与できるかどうかが決定されます。有効な RBAC ポリシーを使用して、管理者グループに基づいてメニュー項目や ID グループ データ要素へのアクセスを管理者ユーザに許可したり拒否することができます。管理者ユーザは、Cisco ISE ユーザ インターフェイスにログインすると、関連付けられている管理者グループに定義されているポリシーおよび権限に基づいて、メニューおよびデータにアクセスできます。

たとえば、ネットワーク管理者に [管理者アクセス(Admin Access)] 操作メニューおよびポリシー データ要素を表示しないようにすることができます。これは、ネットワーク管理者が関連付けられるカスタム RBAC ポリシーを作成することで実現できます。

詳細情報:

管理者アクセスの用語については、「管理者アクセスの用語について」を参照してください。

管理者アクセスのタイプおよび値を管理するには、「ユーザ インターフェイスを使用した管理者アクセス タイプの管理」を参照してください。

RBAC 権限の作成の詳細な手順については、「RBAC 権限の設定」を参照してください。

RBAC ポリシーの作成の詳細な手順については、「RBAC のポリシーの設定」を参照してください。

RBAC 権限の設定

Cisco ISE では、事前定義された一連の管理者グループに関連付けられた、すぐに使用できる権限セットが用意されています。事前定義済みの管理者グループ権限により、任意の管理者グループのメンバーが、管理インターフェイス内のメニュー項目へのフル アクセス権または制限されたアクセス権(メニュー アクセスと呼ばれます)を持つように権限を設定したり、その他の管理者グループのデータ アクセス要素の使用(データ アクセスと呼ばれます)を管理者グループに委任するように権限を設定したりできます。これらの権限は、さまざまな管理者グループ用の RBAC ポリシーの策定にさらに使用できる再利用可能なエンティティです。

次の権限を Cisco ISE で使用できます。

メニュー アクセス:詳細については、「メニュー アクセス権限の設定」を参照してください。

データ アクセス:詳細については、「データ アクセス権限の設定」を参照してください。

メニュー アクセス権限の設定

Cisco ISE では、メニュー アクセス権限により、Cisco ISE 管理インターフェイスのメニュー項目を管理者に対して表示または非表示にすることができます。この機能を使用すると、管理者グループに属している管理者へのメニュー レベルのアクセス権を制限または有効化するように、そのグループの権限を作成できます。

この項では、次のトピックを扱います。

「事前定義されたメニュー アクセス権限の表示」

「カスタム メニュー アクセス権限の作成」

「メニュー アクセス権限の更新」

「メニュー アクセス権限の複製」

「メニュー アクセス権限の削除」

事前定義されたメニュー アクセス権限の表示

Cisco ISE では、デフォルトの RBAC ポリシーですでに使用されている一連のシステム定義メニュー アクセス権限が用意されています。

管理者グループのデフォルトのメニュー アクセス権を表示するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理ダッシュボードで、[管理(Administration)] > [ システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [権限(Permissions)] を選択します。

ステップ 2 [管理者アクセス(Admin Access)] ナビゲーション ペインで、[権限(Permissions)] の隣にある矢印をクリックしてから [メニュー アクセス(Menu Access)] をクリックします。

[メニュー アクセス(Menu Access)] ページに、既存のすべてのメニュー アクセス権限(デフォルトとユーザ定義の両方)が表示されます。

表 4-13 に、デフォルトのメニュー アクセス権限を示します。

表 4-13 デフォルトのメニュー アクセス権限

メニュー アクセス名
RBAC グループ
許容されるメニュー項目セット

スーパー管理者のメニュー アクセス

スーパー管理者

[操作(Operations)] > [すべて(All)] メニュー項目

[ポリシー(Policy)] > [すべて(All)] メニュー項目

[管理(Administration)] > [すべて(All)] メニュー項目

ポリシー管理者のメニュー アクセス

ポリシー管理者

[操作(Operations)] > [すべて(All)] メニュー項目

[ポリシー(Policy)] > [すべて(All)] メニュー項目

[管理(Administration)] >

[ID の管理(Identity Management)] > [すべて(All)] メニュー項目

[システム(System)] > [設定(Settings)]

ヘルプデスク管理者のメニュー アクセス

ヘルプデスク管理者

[操作(Operations)] > [すべて(All)] メニュー項目

ID 管理者のメニュー アクセス

ID 管理者

[操作(Operations)] > [すべて(All)] メニュー項目

[管理(Administration)] >

[ID の管理(Identity Management)] > [すべて(All)] メニュー項目

ネットワーク管理者のメニュー アクセス

ネットワーク デバイス管理者

[操作(Operations)] > [すべて(All)] メニュー項目

[管理(Administration)] >

[ネットワーク リソース(Network Resources)] > [すべて(All)] メニュー項目

システム管理者のメニュー アクセス

システム管理者

[操作(Operations)] > [認証、アラーム、レポート、およびトラブルシューティング(Authentication, Alarms, Reports, and Troubleshoot)]

[管理(Administration)] >

[システム(System)] > [すべて(All)] メニュー項目

RBAC 管理者のメニュー アクセス

RBAC 管理者

[操作(Operations)] > [すべて(All)] メニュー項目

[管理(Administration)] >

[管理者アクセス(Admin Access)] > [すべて(All)] メニュー項目

MnT 管理者のメニュー アクセス

MnT 管理者

[操作(Operations)] > [すべて(All)] メニュー項目

カスタム メニュー アクセス権限の作成

この項では、カスタム メニュー アクセス権限の作成方法について説明します。

管理者グループのメニュー アクセス権限を追加するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理ダッシュボードで、[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [権限(Permissions)] を選択します。

ステップ 2 [管理者アクセス(Admin Access)] ナビゲーション ペインで、[権限(Permissions)] の隣にある矢印をクリックしてから [メニュー アクセス(Menu Access)] をクリックします。

[メニュー アクセス(Menu Access)] ページに、既存のすべてのメニュー アクセス権限(デフォルトとユーザ定義の両方)が表示されます。

ステップ 3 [追加(Add)] をクリックして、[メニュー アクセス権限の作成(Create Menu Access Permission)] グループ ボックスに次のフィールドの値を入力します。

[名前(Name)]:メニュー アクセス権限の名前を入力します。

[説明(Description)]:メニュー アクセス権限の簡単な説明を入力します。

[メニュー アクセス権限(Menu Access Privileges)] グループ ボックスには次の 2 つのセクションが含まれています。

[Cisco ISE ナビゲーション構造(Cisco ISE Navigation Structure)]:[操作(Operations)]、[ポリシー(Policy)]、[管理(Administration)] などのトップレベル メニュー項目から開始されるツリー構造で選択可能なメニュー項目のリストを表示します。

[メニュー アクセスの権限(Permissions for Menu Access)]:[表示(Show)] および [非表示(Hide)] オプション ボタンが含まれています。

[表示(Show)]:Cisco ISE ユーザ インターフェイスへのログイン時に管理者グループのメンバーに選択済みのメニュー項目を表示します。

[非表示(Hide)]:選択済みのメニュー項目を非表示にします。デフォルトでは、すべてのメニュー項目が非表示です。

ステップ 4 メニュー項目のメニュー アクセスの権限を作成するには、次の手順を実行します。

a. 目的のレベルまでメニュー項目をクリックして展開し、権限を作成するメニュー項目をクリックします。

b. [メニュー アクセス(Menu Access)] 領域の [権限(Permissions)] で、[表示(Show)] をクリックします。

ステップ 5 [保存(Save)] をクリックします。


 

メニュー アクセス権限の更新

編集できるのはカスタム メニュー アクセス権限のみで、事前定義されたメニュー アクセス権限は編集できません。

管理者グループのメニュー アクセス権限を編集するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理ダッシュボードで、[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [権限(Permissions)] を選択します。

ステップ 2 [管理者アクセス(Admin Access)] ナビゲーション ペインで、[権限(Permissions)] の隣にある矢印をクリックしてから [メニュー アクセス(Menu Access)] をクリックします。

[メニュー アクセス(Menu Access)] ページに、既存のすべてのメニュー アクセス権限(デフォルトとユーザ定義の両方)が表示されます。

ステップ 3 更新するメニュー アクセス権限の隣にあるチェックボックスをオンにして、[編集(Edit)] をクリックします。

[メニュー アクセス権限の編集(Edit Menu Access Permission)] ページが表示されます。

ステップ 4 メニュー アクセス権限の説明を変更します。

名前(Name)

説明(Description)

ステップ 5 次の操作を実行して、メニュー項目を追加したり、既存の権限からメニュー項目を削除することができます。

新しいメニュー項目を権限に追加するには、メニュー項目を [メニュー アクセス権限(Menu Access Privileges)] グループ ボックスで選択し、[表示(Show)] オプション ボタンをクリックします。

既存のメニュー項目を権限から削除するには、メニュー項目を [メニュー アクセス権限(Menu Access Privileges)] セクションで選択し、[非表示(Hide)] オプション ボタンをクリックします。

ステップ 6 [保存(Save)] をクリックしてメニュー アクセス権限を保存します。


 

メニュー アクセス権限の複製

メニュー アクセス権限の複製は、元のメニュー アクセスで使用されたのと同じメニュー項目セットを再利用するプロセスです。

管理者グループの複製メニュー アクセス権限を追加するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理ダッシュボードで、[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [権限(Permissions)] を選択します。

ステップ 2 [管理者アクセス(Admin Access)] ナビゲーション ペインで、[権限(Permissions)] の隣にある矢印をクリックしてから [メニュー アクセス(Menu Access)] をクリックします。

[メニュー アクセス(Menu Access)] ページに、既存のすべてのメニュー アクセス権限(デフォルトとユーザ定義の両方)が表示されます。

ステップ 3 複製するメニュー アクセス権限の隣にあるチェックボックスをオンにして、[複製(Duplicate)] をクリックします。

新しいメニュー アクセス権限が、選択した権限の名前に単語 _copy が付けられてリストに追加されます。たとえば、MnT Admin Menu Access の複製を作成する場合、MnT Admin Menu Access_copy の名前で複製が作成されます。

ステップ 4 必要に応じて重複する権限を変更します。

ステップ 5 [保存(Save)] をクリックして、複製メニュー アクセス権限を保存します。


 

メニュー アクセス権限の削除

削除できるのはカスタム メニュー アクセス権限のみで、事前定義されたメニュー アクセス権限は削除できません。

管理者グループのメニュー アクセス権限を削除するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理ダッシュボードで、[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [権限(Permissions)] を選択します。

ステップ 2 [管理者アクセス(Admin Access)] ナビゲーション ペインで、[権限(Permissions)] の隣にある矢印をクリックしてから [メニュー アクセス(Menu Access)] をクリックします。

[メニュー アクセス(Menu Access)] ページに、既存のすべてのメニュー アクセス権限(デフォルトとユーザ定義の両方)が表示されます。

ステップ 3 削除するメニュー アクセス権限の隣にあるチェックボックスをオンにして、[削除(Delete)] をクリックします。

ステップ 4 確認ダイアログボックスで [OK] をクリックして、メニュー アクセス権限の削除を確定します。


 

データ アクセス権限の設定

Cisco ISE では、データ アクセス権限により、複数の管理者が、同じユーザ母集団内でデータ アクセス権限を持つことができます。データ アクセス権限の使用を 1 つ以上の管理者グループに対して有効化または制限することができます。このプロセスにより、1 つの管理者グループの管理者に対する自律委任制御が可能となり、選択的関連付けを介して選択済みの管理者グループのデータ アクセス権限を再利用できます。データ アクセス権限の範囲は、フル アクセス権から、選択された管理者グループまたはネットワーク デバイス グループを表示するためのアクセス権なしまでとなります。

この項では、次のトピックを扱います。

「事前定義されたデータ アクセス権限の表示」

「カスタム データ アクセス権限の作成」

「データ アクセス権限の更新」

「データ アクセス権限の複製」

「データ アクセス権限の削除」

事前定義されたデータ アクセス権限の表示

データ アクセス権限を表示するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理ダッシュボードで、[管理(Administration)] > [ システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [権限(Permissions)] を選択します。

ステップ 2 [管理者アクセス(Admin Access)] ナビゲーション ペインで、[権限(Permissions)] の隣にある矢印をクリックしてから [データ アクセス(Data Access)] をクリックします。

[データ アクセス(Data Access)] ページに、既存のすべてのデータ アクセス権限(デフォルトとユーザ定義の両方)が表示されます。

表 4-14 に、デフォルトのデータ アクセス権限を示します。

 

表 4-14 デフォルトのデータ アクセス権限

データ アクセス名
RBAC グループ
許容される管理者グループ
許容されるネットワーク デバイス グループ

スーパー管理者のデータ アクセス

スーパー管理者

管理グループ

ユーザ ID グループ

エンドポイント ID グループ

すべてのロケーション

すべてのデバイス タイプ

ポリシー管理者のデータ アクセス

ポリシー管理者

ユーザ ID グループ

エンドポイント ID グループ

なし

ID 管理者のデータ アクセス

ID 管理者

ユーザ ID グループ

エンドポイント ID グループ

なし

ネットワーク管理者のデータ アクセス

ネットワーク デバイス管理者

なし

すべてのロケーション

すべてのデバイス タイプ

システム管理者のデータ アクセス

システム管理者

管理グループ

なし

RBAC 管理者のデータ アクセス

RBAC 管理者

管理グループ

なし

カスタム データ アクセス権限の作成

この項では、カスタム データ アクセス権限の作成方法について説明します。

カスタム データ アクセス権限を作成するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理ダッシュボードで、[管理(Administration)] > [ システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [権限(Permissions)] を選択します。

ステップ 2 [管理者アクセス(Admin Access)] ナビゲーション ペインで、[権限(Permissions)] の隣にある矢印をクリックしてから [データ アクセス(Data Access)] をクリックします。

[データ アクセス(Data Access)] ページに、既存のすべてのデータ アクセス権限(デフォルトとユーザ定義の両方)が表示されます。

ステップ 3 [追加(Add)] をクリックして、[データ アクセス権限の作成(Create Data Access Permission)] ページに次のフィールドの値を入力します。

[名前(Name)]:データ アクセス権限の名前を入力します。

[説明(Description)]:データ アクセス権限の簡単な説明を入力します。

[データ アクセス権限(Data Access Privileges)] グループ ボックスには次の 2 つのセクションが含まれています。

管理者グループ、ユーザ ID グループ、およびエンドポイント ID グループが含まれた階層リスト。

データ アクセスの権限(フル アクセス権やアクセス権なしなど)。デフォルトでは、すべてのグループがアクセス権なしモードで表示されます。

ステップ 4 管理者グループにフル アクセス権を付与するデータ アクセス権限を作成するには、次の操作を実行します。

a. 管理者グループをクリックして展開し、目的の管理者グループを選択します。

b. [フル アクセス権(Full Access)] をクリックします。

ステップ 5 [保存(Save)] をクリックします。

これにより、必要なデータ アクセス権限が作成されます。


 

データ アクセス権限の更新

編集できるのはカスタム データ アクセス権限のみで、事前定義されたデータ アクセス権限は編集できません。

カスタム データ アクセス権限を更新するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理ダッシュボードで、[管理(Administration)] > [ システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [権限(Permissions)] を選択します。

ステップ 2 [管理者アクセス(Admin Access)] ナビゲーション ペインで、[権限(Permissions)] の隣にある矢印をクリックしてから [データ アクセス(Data Access)] をクリックします。

[データ アクセス(Data Access)] ページに、既存のすべてのデータ アクセス権限(デフォルトとユーザ定義の両方)が表示されます。

ステップ 3 [編集(Edit)] をクリックして、[データ アクセス権限の編集(Edit Data Access Permission)] ページの次の値を変更します。

名前(Name)

説明(Description)

ステップ 4 次の手順を実行して、管理者グループの追加、または既存の権限からの管理者グループの削除を行います。

新しい管理者グループを権限に追加するには、管理者グループ階層からグループを選択し、[フル アクセス権(Full Access)] オプション ボタンをクリックします。

既存の管理者グループを権限から削除するには、その管理者グループを [管理者グループ(Admin Group)] から選択し、[アクセス権なし(No Access)] をクリックします。

ステップ 5 [保存(Save)] をクリックしてデータ アクセス権限を保存します。


 

データ アクセス権限の複製

データ アクセス権限の複製は、元のデータ アクセスが持っているのと同じ管理者グループ セットを再利用するプロセスです。

管理者グループの複製データ アクセス権限を追加するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理ダッシュボードで、[管理(Administration)] > [ システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [権限(Permissions)] を選択します。

ステップ 2 [管理者アクセス(Admin Access)] ナビゲーション ペインで、[権限(Permissions)] の隣にある矢印をクリックしてから [データ アクセス(Data Access)] をクリックします。

[データ アクセス(Data Access)] ページに、既存のすべてのデータ アクセス権限(デフォルトとユーザ定義の両方)が表示されます。

ステップ 3 複製するデータ アクセス権限の隣にあるチェックボックスをオンにして、[複製(Duplicate)] をクリックします。

新しいデータ アクセス権限が、選択した権限の名前に単語 _copy が付けられてリストに追加されます。たとえば、Policy Admin Data Access の複製を作成する場合、Policy Admin Data Access_copy の名前で複製が作成されます。

ステップ 4 必要に応じて重複する権限を変更します。

ステップ 5 [保存(Save)] をクリックして、複製データ アクセス権限を保存します。


 

データ アクセス権限の削除

削除できるのはカスタム データ アクセス権限のみで、事前定義されたデータ アクセス権限は削除できません。

管理者グループのデータ アクセス権限を削除するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理ダッシュボードで、[管理(Administration)] > [ システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [権限(Permissions)] を選択します。

ステップ 2 [管理者アクセス(Admin Access)] ナビゲーション ペインで、[権限(Permissions)] の隣にある矢印をクリックしてから [データ アクセス(Data Access)] をクリックします。

[データ アクセス(Data Access)] ページに、既存のすべてのデータ アクセス権限(デフォルトとユーザ定義の両方)が表示されます。

ステップ 3 削除するデータ アクセス権限の隣にあるチェックボックスをオンにして、[削除(Delete)] をクリックします。

ステップ 4 確認ダイアログボックスで [OK] をクリックして、データ アクセス権限の削除を確定します。


 

RBAC のポリシーの設定

Cisco ISE では、RBAC ポリシーが if-then 形式で表され、ここで if は RBAC 管理者グループの値、および then は RBAC 権限の値になります。

Cisco ISE 管理ダッシュボードで、[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [ポリシー(Policy)] を選択します。これにより、すべてのデフォルト RBAC ポリシーが表示されます。これらのデフォルト ポリシーは、変更または削除できません。このページには、管理者グループのカスタム RBAC ポリシーを作成するインターフェイスもあります。

次のトピックでは、次の作業を実行するための手順について説明します。

「事前定義された RBAC ポリシーの使用」

「カスタム RBAC ポリシーの作成」

「RBAC ポリシーの更新」

「RBAC ポリシーの複製」

「RBAC ポリシーの削除」

事前定義された RBAC ポリシーの使用

Cisco ISE では、さまざまな Cisco ISE 管理機能を実行するためのシステム定義 RBAC ポリシー セットが用意されています。よりきめ細かいアクセス ポリシーを計画していない限り、これらのポリシーをそのまま使用できます。

カスタム RBAC ポリシーを作成するには、次の手順を実行します。

Cisco ISE 管理ダッシュボードで、[管理(Administration)] > [ システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [ポリシー(Policy)] を選択します。

[RBAC ポリシー(RBAC Policies)] ページが表示されます。このページには、デフォルトの管理者グループ用のすぐに使用できる一連の定義済みポリシーが含まれています。

表 4-15 に、事前定義されたポリシー、関連付けられた管理者グループ、および権限を示します。

 

表 4-15 事前定義された RBAC ポリシー

ポリシー名
RBAC グループ1
権限(メニュー アクセスやデータ アクセス)2

ヘルプデスク管理者ポリシー

ヘルプデスク管理者

ヘルプデスク管理者のメニュー アクセス

ID 管理者ポリシー

ID 管理者

ID 管理者のメニュー アクセス

ID 管理者のデータ アクセス

MnT 管理者ポリシー

MnT 管理者

MnT 管理者のメニュー アクセス

ネットワーク デバイス ポリシー

ネットワーク デバイス管理者

ネットワーク デバイス メニュー アクセス

ネットワーク デバイス データ アクセス

ポリシー管理者ポリシー

ポリシー管理者

ポリシー管理者のメニュー アクセス

ポリシー管理者のデータ アクセス

RBAC 管理者ポリシー

RBAC 管理者

RBAC 管理者のメニュー アクセス

RBAC 管理者のデータ アクセス

スーパー管理者ポリシー

スーパー管理者

スーパー管理者のメニュー アクセス

スーパー管理者のデータ アクセス

システム管理者ポリシー

システム管理者

システム管理者のメニュー アクセス

システム管理者のデータ アクセス

1.デフォルトの管理者グループの詳細については、「管理者アクセスの用語について」を参照してください。

2.事前定義されたメニュー アクセス権限のリストについては表 4-13 を、また事前定義されたデータ アクセス権限のリストについては表 4-14 を参照してください。

カスタム RBAC ポリシーの作成

デフォルトのポリシーに加えて、職場専用のカスタム RBAC ポリシーを作成し、パーソナライズされた管理者グループに適用できます。

前提条件:

RBAC ポリシーを定義するすべての管理者グループを作成していることを確認します。管理者グループの作成方法の詳細については、「管理者グループの設定」を参照してください。

これらの管理者グループが、個々の管理者ユーザにマッピングされていることを確認します。管理者ユーザの作成方法の詳細については、「Cisco ISE 管理者の設定」を参照してください。

メニュー アクセス権限やデータ アクセス権限など、RBAC 権限を設定していることを確認します。RBAC 権限の作成方法の詳細については、「RBAC 権限の設定」を参照してください。

カスタム RBAC ポリシーを作成するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理ダッシュボードで、[管理(Administration)] > [ システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [ポリシー(Policy)] を選択します。

[RBAC ポリシー(RBAC Policies)] ページが表示されます。このページには、デフォルトの管理者グループ用のすぐに使用できる一連の定義済みポリシーが含まれています。

ステップ 2 [RBAC ポリシー(RBAC Policies)] ページで、RBAC ポリシー ルールの隣にある [アクション(Actions)] をクリックします。

ここでは、[RBAC ポリシー(RBAC Policies)] ページで新しい RBAC ポリシーを挿入し、既存の RBAC ポリシーを複製し、既存の RBAC ポリシーを削除できます。

表 4-16 に、RBAC ポリシー オブジェクト セレクタ オプションを示します。

 

表 4-16 RBAC ポリシー オブジェクト セレクタ オプション

アクション名
結果

複製(Duplicate)

選択したポリシーのコピーを、RBAC ポリシー名に単語 copy を付けて [RBAC ポリシー(RBAC Policies)] ページに追加します。適切な名前でこのポリシーを保存します。

新しいポリシーの挿入(Insert New Policy)

新しいポリシー行を追加します。

削除(Delete)

選択したポリシーを削除します。

このオプションはデフォルト ポリシーでは無効になっています。

ステップ 3 ドロップダウン メニューから適切なアクションを選択します。

RBAC ポリシーを [RBAC ポリシー(RBAC Policies)] ページで保存すると、RBAC ポリシーがそのルール名に従ってアルファベット順に表示されます。

ステップ 4 次の RBAC ポリシーのフィールドに値を入力します。

[ルール名(Rule Name)]:新しいポリシーの名前を入力します。

[RBAC グループ(RBAC Group(s))]:ポリシーに関連付けられている RBAC グループの名前を選択します。

[RBAC グループ(RBAC Groups)] の隣にあるプラス記号 [+] をクリックして、グループ選択肢のドロップダウン リストを表示します。このリストには、デフォルト グループ、ユーザ定義の内部グループと外部グループを含む既存のすべての RBAC グループが表示されます。

[RBAC グループ(RBAC Groups)] の隣にあるプラス記号 [+] をクリックして、複数の RBAC グループを追加します。

[権限(Permissions)]:メニュー アクセス権限およびデータ アクセス権限を含む権限を選択します。

権限を追加するには、次の操作を行います。

[権限(Permissions)] の隣にあるプラス記号 [+] をクリックして、メニュー アクセス権限名を入力します。

[メニュー アクセス権限の入力(Enter Menu Access Permission)] の隣にあるボタンをクリックして、メニュー アクセス権限選択肢のドロップダウン リストを表示します。

リスト内の必要な [メニュー アクセス権限(Menu Access Permission)] をクリックして、それをポリシーに追加します。

選択した [メニュー アクセス権限(Menu Access Permission)] の名前の隣にあるプラス記号 [+] をクリックして、データ アクセス権限を追加します。

[データ アクセス権限の入力(Enter Data Access Permission)] の隣にあるボタンをクリックして、データ アクセス権限選択肢のドロップダウン リストを表示します。

リスト内の必要な [データ アクセス権限(Data Access Permission)] をクリックして、それをポリシーに追加します。


) RBAC ポリシーの作成時に、複数のメニュー アクセス権限とデータ アクセス権限を選択することはできません。


[送信(Submit)] をクリックします。

これで、RBAC ポリシーの作成は完了です。


 

RBAC ポリシーの更新

Cisco ISE 管理ダッシュボードには、ポリシーの編集に使用できる特別なボタンやコントロールはありません。更新できるのはカスタム RBAC ポリシーのみであり、デフォルトの RBAC ポリシーは更新できません。変更するフィールドの値を変更して、すべてのまたは任意の RBAC ポリシー フィールドを更新できます。

カスタム RBAC ポリシーを編集するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理ダッシュボードで、[管理(Administration)] > [ システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [ポリシー(Policy)] を選択します。

[RBAC ポリシー(RBAC Policies)] ページが表示されます。

ステップ 2 必要に応じて、次のフィールドの値を変更します。

ルール名(Rule Name)

RBAC グループ(RBAC Group)

権限(Permissions)

メニュー アクセス権限(Menu Access Permission)

データ アクセス権限(Data Access Permission)

ステップ 3 [保存(Save)] をクリックして、変更した RBAC ポリシーを保存します。


 

RBAC ポリシーの複製

次の手順を使用して、複製 RBAC ポリシーを追加します。

ポリシーを複製するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理ダッシュボードで、[管理(Administration)] > [ システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [ポリシー(Policy)] を選択します。

[RBAC ポリシー(RBAC Policies)] ページが表示されます。

ステップ 2 [RBAC ポリシー(RBAC Policies)] ページで、RBAC ポリシー ルールの隣にある [アクション(Actions)] をクリックします。

ステップ 3 [複製(Duplicate)] をクリックします。

複製ポリシー行が、選択したポリシー名に単語 _copy が付けられて目的の位置に追加されます。

ステップ 4 必要に応じて、ポリシー フィールドの値を変更します。

ステップ 5 [保存(Save)] をクリックして、複製ポリシーを保存します。


 

RBAC ポリシーの削除

削除できるのはカスタム RBAC ポリシーのみであり、デフォルトの RBAC ポリシーは削除できません。

ポリシーを削除するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理ダッシュボードで、[管理(Administration)] > [ システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [ポリシー(Policy)] を選択します。

[RBAC ポリシー(RBAC Policies)] ページが表示されます。

ステップ 2 [RBAC ポリシー(RBAC Policies)] ページで、RBAC ポリシー ルールの隣にある [アクション(Actions)] をクリックします。

ステップ 3 [削除(Delete)] をクリックします。

ステップ 4 [保存(Save)] をクリックして、ポリシーを Cisco ISE データベースから削除します。


 

アカウントの設定値の設定

この項では、さまざまな Cisco ISE アカウント用の一般的な設定値を設定する方法について説明します。次のトピックを扱います。

「管理者アクセスの設定」

「ユーザ アカウント用のネットワーク アクセスの設定」

管理者アクセスの設定

Cisco ISE を使用すると、セキュリティ向上のために管理者アカウントにルールを定義できます。管理インターフェイスへのアクセスを制限したり、強力なパスワードの使用やパスワードの定期的な変更を管理者に強制することができます。Cisco ISE の [管理者アカウント設定(Administrator Account Settings)] で定義したパスワード ポリシーは、すべての管理者アカウントに適用されます。


) Cisco ISE では、管理者パスワードに UTF-8 文字を使用することはできません。


この項では、次のように管理者アカウントのルールを定義する方法について説明します。

「管理インターフェイスへの管理者アクセスの制限」

「管理者アカウントのパスワード ポリシーの設定」

「管理者のセッション タイムアウトの設定」

詳細情報:

特定のサービス用に開いておく必要があるポートのリストについては、『 Cisco Identity Services Engine Hardware Installation Guide, Release 1.1.1 』を参照してください。

[セットアップ(Setup)] を使用して設定したユーザ名とパスワードは、Cisco ISE コマンドライン インターフェイス(CLI)への管理者アクセスのみを対象としており、このロールは CLI-admin ユーザと見なされます。デフォルトでは、CLI-admin ユーザのユーザ名は admin であり、パスワードはセットアップ時にユーザが定義します(デフォルトのパスワードはありません)。

CLI-admin ユーザは、Cisco ISE アプリケーションの起動と停止、ソフトウェアのパッチとアップグレードの適用、Cisco ISE アプライアンスのリロードとシャットダウン、およびすべてのシステム ログとアプリケーション ログの表示を実行できます。CLI-admin ユーザには特別な権限があるため、CLI-admin ユーザのクレデンシャルを保護し、Cisco ISE 展開を設定および管理するための Web ベースの管理者ユーザを作成することを推奨します。

詳細情報:

Web ベースの管理者ユーザの詳細については、「Cisco ISE 管理者の設定」を参照してください。

CLI-admin ユーザと Web ベースの管理者ユーザの相違の詳細については、『 Cisco Identity Services Engine Hardware Installation Guide, Release 1.1.1 』を参照してください。

管理インターフェイスへの管理者アクセスの制限

Cisco ISE を使用すると、リモート クライアントの IP アドレスに基づいて管理インターフェイスへの管理者アクセスを制限できます。次のいずれかを実行するように選択できます。

すべての IP アドレスに接続を許可する(Allow all IP addresses to connect)

リストされている IP アドレスに接続を許可する(Allow only listed IP addresses to connect)

[リストされている IP アドレスに接続を許可する(Allow only listed IP addresses to connect)] オプションを選択した場合は、IP アドレスのリストを追加する必要があります。


) 管理者アクセス コントロール設定は、管理ペルソナ、ポリシー サービス ペルソナ、またはモニタリング ペルソナを担う Cisco ISE ノードに対してのみ適用できます。これらの制限は、プライマリ ノードからセカンダリ ノードに複製されます。これらの制限は、インライン ポスチャ ノード タイプを担う Cisco ISE ノードには適用できません。


前提条件:

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはシステム管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 表 4-11 を参照してください。

IP アドレスの範囲を [IP リスト(IP List)] 領域に追加するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [設定(Settings)] > [アクセス(Access)] を選択します。

[アクセス制限の設定(Configure Access Restriction)] ページが表示されます。

ステップ 2 次のいずれかを実行します。

[すべての IP アドレスに接続を許可する(Allow all IP addresses to connect)] オプション ボタンをクリックして、 ステップ 3 に進みます。

[リストされている IP アドレスに接続を許可する(Allow only listed IP addresses to connect)] オプション ボタンをクリックして、次の手順を実行します。

a. [アクセス制限の IP リストの設定(Configure IP List for Access Restriction)] 領域で、[追加(Add)] をクリックします。

[IP CIDR の追加(Add IP CIDR)] ページが表示されます。

b. [IP アドレス(IP Address)] フィールドに IP アドレスをクラスレス ドメイン間ルーティング(CIDR)形式で入力します。

[CIDR 形式のネットマスク(Netmask in CIDR format)] フィールドにサブネット マスクを入力します。

c. [OK] をクリックして、IP アドレスの範囲を [IP リスト(IP List)] 領域に追加します。

d. このプロセスを繰り返して、他の IP アドレス範囲をこのリストに追加します。

[送信(Submit)] をクリックした後に、Cisco ISE への管理者アクセスが、このリストで指定した IP アドレス範囲に制限されるようになります。

ステップ 3 [送信(Submit)] をクリックして変更を保存します。


 

関連項目

「Cisco ISE 管理者の設定」

「管理者グループの設定」

管理者アカウントのパスワード ポリシーの設定

セキュリティ向上のために管理者アカウントにパスワード ポリシーを作成できます。ここで定義したポリシーは、Cisco ISE のすべての管理者アカウントに適用されます。


) Cisco ISE では、管理者パスワードに UTF-8 文字を使用することはできません。


前提条件:

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、RBAC 管理者、スーパー管理者、またはシステム管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 表 4-11 を参照してください。

パスワードベースまたはクライアント証明書ベースの認証の指定

パスワードベースまたはクライアント証明書ベースの管理者認証を有効にするには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [認証(Authentication)] に移動します。

ステップ 2 [認証方式(Authentication Method)] タブで、[パスワードベース(Password Based)] または [クライアント証明書ベース(Client Certificate Based)] オプションのいずれかを選択します。

管理者ログインで標準のユーザ ID およびパスワード クレデンシャルを使用する場合は、[パスワードベース(Password Based)] オプションを選択し、[内部(Internal)] または [外部(External)] のいずれかの認証タイプを指定します。デフォルト設定は [内部(Internal)] です。


) LDAP などの外部 ID ストアを設定しており、それを認証ソースとして使用して管理者ユーザにアクセス権を付与する場合は、その ID ソースを [ID ソース(Identity Source)] リスト ボックスから選択する必要があります。


証明書ベースのポリシーを指定する場合は、[クライアント証明書ベース(Client Certificate Based)] オプションを選択し、既存の証明書認証プロファイルを選択します。

図 4-3 [管理者(Administrator)] > [システム(System)] > [管理者アクセス(Admin Access)] > [認証(Authentication)] > [認証方式(Authentication Method)]

 

 


 

管理者パスワード ポリシーの指定

管理者のパスワード ポリシーを作成するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [認証(Authentication)] を選択します。

ステップ 2 [パスワード ポリシー(Password Policy)] タブをクリックします。

ステップ 3 [パスワード ポリシー(Password Policy)] タブで、次の情報を入力します。


) Cisco ISE では、管理者パスワードに UTF-8 文字を使用することはできません。


[最小長(Minimum Length)]:(必須)パスワードの最小長(文字数)を指定します。デフォルトは 6 文字です。

[パスワードには、管理者名またはその文字の逆順は使用できません(Password should not contain the admin name or its characters in reversed order)]:このチェックボックスをオンにして、管理者ユーザ名またはその文字の逆順での使用を制限します。

[パスワードには、cisco またはその文字の逆順は使用できません(Password should not contain 'cisco' or its characters in reversed order)]:このチェックボックスをオンにして、単語 cisco またはその文字の逆順での使用を制限します。

[パスワードには、 変数 またはその文字の逆順は使用できません(Password should not contain variable or its characters in reversed order)]:このチェックボックスをオンにして、定義したすべての単語またはその文字の逆順での使用を制限します。

[パスワードには、4 回以上連続する繰り返し文字は使用できません(Password should not contain repeated characters four or more times consecutively)]:このチェックボックスをオンにして、4 回以上連続する繰り返し文字の使用を制限します。

[パスワードには選択したタイプの文字がそれぞれ 1 文字以上含まれている必要があります(Password must contain at least one character of each of the selected types)]:管理者パスワードに、次の選択肢から選択したタイプの文字が少なくとも 1 つ含まれている必要があることを指定します。

小文字の英文字

大文字の英文字

数字

英数字以外の文字

[パスワード履歴(Password History)]:同じパスワードが繰り返し使用されるのを防ぐために、新しいパスワードと異なっている必要がある以前のパスワードの数を指定します。

[パスワード ライフタイム(Password Lifetime)]:次のオプションを指定して、指定した期間後にパスワードを変更するようユーザに強制します。

パスワードが変更されなかった場合に管理者アカウントを無効にするまでの時間(日数)(Time (in days) before the administrator account is disabled if the password is not changed.) (使用可能な範囲は 0 ~ 2,147,483,647 日です)。

管理者アカウントが無効になるまでのリマインダ(日数)。(Reminder (in days) before the administrator account is disabled.)

[誤ったパスワードの試行(Incorrect Password Attempts)]:Cisco ISE が、管理者を Cisco ISE からロックアウトし、アカウント クレデンシャルを無効にするまでに、誤った管理者パスワードを記録する回数を次のように指定します。

間違ったパスワード エントリに基づいて管理者アカウントを無効にするまでに、Cisco ISE が記録する失敗した試行数。(試行の最小かつデフォルトの数は 5 で、許可される試行の最大数は 20 です)。

テキストが表示され、管理者アカウントのディアクティベーションが通知されます。


) 外部 ID ストアを使用してログイン時に管理者を認証する場合は、管理者プロファイルに適用されるパスワード ポリシーにこの設定値が設定されている場合でも、外部 ID ストアが依然として管理者のユーザ名とパスワードを認証することに留意してください。外部 ID ストアを介した管理者ログインの詳細については、「外部 ID ストアを使用して管理者アクセス用に Cisco ISE を設定」を参照してください。


ステップ 4 [保存(Save)] をクリックして、管理者パスワード ポリシーを保存します。


 

関連項目

「Cisco ISE 管理者の設定」

「管理者グループの設定」

「外部 ID ストアを使用して管理者アクセス用に Cisco ISE を設定」

管理者のセッション タイムアウトの設定

Cisco ISE を使用すると、管理 GUI セッションが非アクティブであっても依然として接続状態である時間を決定できます。分単位の時間を指定することができ、その時間が経過すると Cisco ISE は管理者をログアウトします。セッションのタイムアウト後、管理者は、Cisco ISE 管理ユーザ インターフェイスにアクセスするには再びログインする必要があります。

前提条件:

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはシステム管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 表 4-11 を参照してください。

セッションのタイムアウトを設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [設定(Settings)] > [セッションのタイムアウト(Session Timeout)] を選択します。

[セッションのタイムアウト(Session Timeout)] ページが表示されます。

ステップ 2 アクティビティがない場合に管理者をログアウトするまでに Cisco ISE が待機する時間(分)を入力します。デフォルト値は 60 分です。有効な範囲は 6 ~ 100 分です。

ステップ 3 [保存(Save)] をクリックして、管理者セッション タイムアウト設定を保存します。


 

関連項目

「Cisco ISE 管理者の設定」

「管理者グループの設定」

管理者名の変更

Cisco ISE では、内部管理者アカウントの名前を変更することができ、システムのセキュリティ違反の防止に役立ちます。ISE では、ロールベース アクセス コントロールをサポートしているため、これをデフォルトの Cisco ISE 管理者だけでなく、すべての内部管理者に適用できます。

すべての管理者が、自分の名前を次の 2 つの方法で変更できます。

権限レベルに基づいた、それぞれの [編集(Edit)] 画面から

[ログアウト(Logout)] ボタンの左で使用可能な ログインしたユーザの リンクから このリンクは、ログイン ユーザの名前で表示されます。たとえば、 Smith としてログインした場合、リンクは Smith として表示されます。図 4-4 に、ログイン ユーザとして admin を示します。

図 4-4 ログイン ユーザ リンク

 

 

管理者が自分の名前を編集する場合は、ログイン ページにリダイレクトされます。スーパー管理者は、システム管理者やデフォルト管理者を含む、他のすべての管理者ロールの名前を変更できます。

管理者名は、次の方法で変更できます。

スーパー管理者、システム管理者、および RBAC 管理者は、[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者ユーザ(Admin Users)] > [編集(Edit)] ページで、または ログイン ユーザの リンクから管理者名を変更できます。

ID 管理者またはポリシー管理者は、 ログイン ユーザの リンクからのみ管理者名を変更できます。

ID 管理者またはポリシー管理者に昇格されたネットワーク アクセス ユーザは、[管理(Administration)] > [ID の管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] > [編集(Edit)] ページで、または ログイン ユーザの リンクから管理者名を変更できます。

ユーザ アカウント用のネットワーク アクセスの設定

Cisco ISE では、ユーザ アカウントに関連付けられた属性およびパスワードを設定する認証設定値に基づいて、ユーザ アカウントのネットワーク アクセスを制限できます。ユーザ アカウントを定義する場合、ネットワーク アクセスを次の方法で管理できます。

事前定義済みのシステム属性を使用するか、またはカスタム属性を作成する

パスワード ポリシーを形成する認証設定値を定義する

ユーザ アカウントのネットワーク アクセスを設定する場合、次の 2 つのオプションがあります。

「ユーザ カスタム属性ポリシー」

「ユーザ パスワード ポリシー」

ネットワーク アクセス ユーザ カウントの設定の詳細については、「ネットワーク アクセス ユーザ アカウントの設定」を参照してください。

ユーザ カスタム属性ポリシー

[ユーザ カスタム属性ポリシー(User Custom Attributes Policy)] を選択すると、ページが表示され、ユーザ アカウント属性の定義に使用できる次のオプションが含まれた 2 つのペインが示されます。

事前定義済みの属性(Pre-defined Attributes)

カスタム属性(Custom Attributes)

Cisco ISE では、次の事前定義された設定不可の属性が用意されており、ユーザ アカウントの定義に役立ちます。

AllowPasswordChangeAfterLogin:ログイン後のパスワード変更を定義する文字列

CredentialPassword:クレデンシャル パスワードを定義する文字列

DatePasswordLastUpdatedOn:アカウント パスワードが更新された最後の日付を定義する文字列

Description:アカウント パスワードを表す文字列

EmailAddress:アカウントの電子メール アドレスを定義する文字列

EnableFlag:アカウントを有効として定義する文字列

FirstName:ユーザの名を定義する文字列

LastName:ユーザの姓を定義する文字列

NumberofSuccessiveFailedAttempts:成功したログイン試行数または失敗したログイン試行数を定義する整数値

OlderGenerationPasswordList:前のアカウント パスワードを定義する文字列リスト

SecureID:アカウント ユーザ名を定義する文字列

isSystemData:アカウントのシステム データを表す整数

isAdmin:アカウント ロールが管理者であるかユーザであるかを定義する文字列

Cisco ISE では、次を設定して、ユーザ アカウントを詳細に定義するのに役立つカスタム属性を定義することもできます。

[属性名(Attribute Name)]:作成するカスタム属性の名前を入力します。

[データ型(Data Type)]:ドロップダウン リストから次のいずれかをカスタム属性に選択します。

文字列(String)

整数(Integer)

列挙体(Enum)

浮動小数点数(Float)

パスワード(Password)

ユーザ パスワード ポリシー

[ユーザ パスワード ポリシー(User Password Policy)] を選択すると、[パスワード ポリシー(Password Policy)] ページでテキスト ボックスに値を入力して、またはチェックボックスをオンにして、設定を行うことができます。

設定する次の選択肢により、ユーザ アカウントごとにネットワーク アクセスを管理するためのパスワード ポリシーが作成されます。

パスワード ポリシー

[最小長(Minimum Length)]:パスワードの最小長(文字数)を設定します。

[ユーザ名(Username)]:ユーザ名またはその文字の逆順での使用を制限します。

[Cisco]:cisco またはその文字の逆順での使用を制限します。

[特殊文字(Special characters)]:定義した特殊文字の逆順での使用を制限します。

[繰り返しの文字列(Repeated characters)]:4 回以上連続する繰り返し文字の使用を制限します。

[必須の文字(Required characters)]:パスワードに次の各タイプが少なくとも 1 つ含まれている必要があります。

小文字の英文字

大文字の英文字

数字

英数字以外の文字

Cisco ISE では、テキスト ボックスに値を入力して、またはチェックボックスをオンにして設定する次の設定可能なオプションがあります。

設定する次の選択肢により、ユーザ アカウントごとにネットワーク アクセスを管理するための高度なパスワード ポリシーが作成されます。

[パスワード履歴(Password History)]:同じパスワードが繰り返し使用されるのを防ぐために、パスワードと異なっている必要がある前のバージョンの数を指定します。

[パスワード ライフタイム(Password Lifetime)]:次のオプションを設定して、指定した期間後にパスワードを変更するようユーザに強制します。

パスワードが変更されなかった場合にユーザ アカウントを無効にするまでの時間(日数)(Time (in days) before the user account is disabled if the password is not changed)

ユーザ アカウントが無効になるまでのリマインダ(日数)(Reminder (in days) before the user account is disabled)


) アスタリスク(*)の付いたオプションは、値を設定する必要がある必須設定です。


ネットワーク アクセス ユーザ アカウントの設定

次のトピックでは、ネットワーク アクセス ユーザ アカウントの設定方法または管理方法について説明します。

「ネットワーク アクセス ユーザ アカウントのユーザ パスワード ポリシーの設定」

「事前定義された属性のフィルタリング」

「ネットワーク アクセス ユーザ アカウントのカスタム属性の設定」

ネットワーク アクセス ユーザ アカウントのユーザ パスワード ポリシーの設定

次の手順を使用して、ネットワーク アクセス ユーザ アカウントのパスワード ポリシーを設定します。

ネットワーク アクセス ユーザ アカウントのユーザ パスワード ポリシーを設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [設定(Settings)] > [ユーザ パスワード ポリシー(User Password Policy)] を選択します。

[パスワード ポリシー(Password Policy)] ページが表示されます。

ステップ 2 テキスト ボックスに目的の値を入力するか、または特定のチェックボックスをオンにして、ユーザ アカウントのパスワード ポリシーを設定します。


) 値および対応するテキスト ボックスとチェックボックスの詳細については、「ユーザ パスワード ポリシー」を参照してください。


たとえば、強力なパスワードを必須とするパスワード ポリシーを作成するには、次の値を入力するか、または次のチェックボックスをオンにします。

10 以上を [最小長:(Minimum Length:)] テキスト ボックスに入力します。

[パスワードには、ユーザ名またはその文字の逆順は使用できません(Password should not contain the username or its characters in reversed order)] チェックボックスはデフォルトでオンになっています。必要な場合はオフにすることができます。

[パスワードには、cisco またはその文字の逆順は使用できません(Password should not contain 'cisco' or its characters in reversed order)] チェックボックスをオンにします。

必要な場合は、テキスト ボックスに特定の文字列を入力して [パスワードには、この文字またはその逆順は使用できません(Password should not contain or its characters in reversed order)] チェックボックスをオンにします。

[パスワードには 4 回以上連続する同じ文字(列)を含めることはできません(Password may not contain repeated characters four or more times consecutively)] チェックボックスをオンにします。

パスワードに次の各タイプの文字が少なくとも 1 つ含まれている必要がある場合は、次のチェックボックスをオンにします。

小文字の英文字(Lowercase alphabetic characters)

大文字の英文字(Uppercase alphabetic characters)

数字(Numeric characters)

英数字以外の文字(Non-alphanumeric characters)

ステップ 3 値を入力して、またはチェックボックスをオンにして [パスワード履歴(Password History)] および [パスワード ライフタイム(Password Lifetime)] を定義して、高度なパスワード設定値を設定します。

たとえば、一意のパスワードを定義するには、次の値を入力するか、または次のチェックボックスをオンにします。

[パスワード履歴(Password History)] で、[パスワードは前のバージョンと異なっている必要があります(Password must be different from the previous versions)] テキスト ボックスに 5 以上を入力します。

[パスワード ライフタイム(Password Lifetime)] で、次のチェックボックスをオンにします。

[パスワードが変更されなかった場合、__ 日後にユーザ アカウントを無効にする(Disable user account after__ days if password was not changed)]、およびテキスト ボックスに 30(30 日を表します)を入力します。

[__ 日後にリマインダを表示(Display reminder after __ days)]、およびテキスト ボックスに 15(15 日を表します)を入力します。

ステップ 4 [保存(Save)] をクリックして、このユーザ パスワード ポリシーをローカルに保存します。


 

事前定義された属性のフィルタリング

事前定義された属性は、システム設定の属性であり、変更できません。ただし、事前定義された属性のリストをフィルタリングし、特定の属性を検索できます。次の手順を使用して、目的の特定の属性をフィルタリングおよび検索します。

特定の事前定義された属性を検索するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [設定(Settings)] > [ユーザ カスタム属性(User Custom Attributes)] を選択します。

[事前定義済みの属性(Pre-defined Attributes)] ページに、事前定義されたすべての属性のリストが表示されます。

ステップ 2 [表示(Show)] ドロップダウン リストをクリックして、次のいずれかのオプションを選択します。

クイック フィルタ(Quick Filter)

拡張フィルタ(Advanced Filter)

a. クイック フィルタ を実行するには、次のいずれかの属性フィールドに検索条件を入力します。

必須(Required)

属性名(Attribute Name)

データ型(Data Type)

パラメータ(Parameter)


) デフォルトでは、4 つすべての検索フィールドが表示されます。検索を 1 つまたは複数のフィールドにカスタマイズするには、[操作(Action)] をクリックし、[カラム(Columns)] を選択します。検索で使用しない選択済みの検索フィールドのマークを解除します。


b. 拡張フィルタ を実行するには、[フィルタ(Filter)] ドロップダウン リストから次のいずれかのオプションを選択して、一致ルールを作成します。

属性名(Attribute Name)

データ型(Data Type)

パラメータ(Parameters)

必須(Required)

c. 2 番目のドロップダウン リストから、次のいずれかのオプションを選択します。

次を含む(Contains)

次を含まない(Does not contain)

次に等しくない(Does not equal)

次で終わる(Ends with)

空白(Is empty)

次に等しい(Is exactly (or equals))

空白ではない(Is not empty)

次で始まる(Starts with)

d. テキスト ボックスに、検索する値を入力します。

e. フィルタ プロセスを起動するには [実行(Go)] をクリックし、検索条件を追加するにはプラス([+])をクリックします。

f. [フィルタのクリア(Clear Filter)] をクリックすると、フィルタ プロセスがリセットされます。


 

ネットワーク アクセス ユーザ アカウントのカスタム属性の設定

[事前定義済みの属性(Pre-defined Attributes)] ページでは、ネットワーク アクセス ユーザ アカウントの認証設定の一部としてカスタム属性を設定できます。ネットワーク アクセス ユーザ アカウントには、一連の事前定義された属性がすでに含まれています。次のプロセスを使用して、カスタム属性を設定できます。

ネットワーク アクセス ユーザ アカウントのカスタム属性を設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [設定(Settings)] > [ユーザ カスタム属性(User Custom Attributes)] を選択します。

[事前定義済みの属性(Pre-defined Attributes)] ページが表示されます。

ステップ 2 [カスタム属性(Custom Attributes)] グループ ボックスで、次の操作を実行します。

[属性名(Attribute Name)] テキスト ボックスにカスタム属性の名前を入力します。

[データ型(Data Type)] ドロップダウン リストで、次の選択肢からデータ型を選択します。

文字列(String)

整数(Integer)

列挙体(Enum)

浮動小数点数(Float)

パスワード(Password)

パラメータを追加するには、[パラメータ(Parameters)] の下のプラス [+] 記号をクリックし、目的の属性名およびデータ型を追加します。

ステップ 3 [保存(Save)] をクリックして、これらのユーザ カスタム属性をローカルに保存します。


 

エンドポイント ID グループ(Endpoint Identity Groups)

エンドポイント ID グループを使用して、ネットワーク上の識別されたすべてのエンドポイントを、それらのプロファイルに応じてグループ化します。Cisco ISE は、登録済みデバイス、ブラックリスト、プロファイル済み、および不明の 4 つの ID グループをシステムに作成します。さらに、このシステムでは、プロファイル済み(親)ID グループに関連付けられている Cisco-IP-Phone やワークステーションなどの追加の 2 つの ID グループを作成します。

新しいエンドポイント ID グループを作成する場合は、登録済みデバイス、ブラックリスト、プロファイル済み、不明、Cisco-IP-Phone、ワークステーションなどのシステムにより作成された ID グループを含む親グループにその新しいグループを関連付ける必要があります。また、自分が作成したエンドポイントをシステム内のいずれかの ID グループに直接(静的に)割り当てることができ、プロファイリング サービスは ID グループを再割り当てできなくなります。

エンドポイント プロファイリング ポリシーを作成する場合は、エンドポイント プロファイルを既存のプロファイルと照合するエンドポイント プロファイルをマッピングすることができ、それを一致する ID グループにグループ化できます。既存のプロファイルと一致するエンドポイント プロファイルがある場合、プロファイリング サービスは一致する ID グループを作成できます。

この ID グループは、プロファイル済み ID グループの子になります。エンドポイント プロファイリング ポリシーを作成する場合、[エンドポイント ポリシー(Endpoint Policies)] ページの [一致する ID グループの作成(Create matching identity group)] チェックボックスをオンにして、一致する ID グループを作成できます。プロファイルのマッピングが削除されない限り、一致する ID グループは削除できません。

エンドポイントが既存のプロファイルにマッピングされる場合、プロファイリング サービスは、プロファイルの一致するグループを持つ最も近い親プロファイルをプロファイルの階層で検索し、エンドポイントを適切なプロファイルに割り当てます。

親グループ(Parent Group)

デフォルトでは、Cisco ISE 展開により、登録済みデバイス、ブラックリスト、プロファイル済み、および不明の 4 つのエンドポイント ID グループが作成されます。親グループは、システムに存在するデフォルトの ID グループです。プロファイリング サービスには、次のエンドポイント ID グループが含まれています。

登録済みデバイス:このエンドポイント ID グループには、デバイス登録ポータルを介して従業員が追加した登録済みデバイスであるエンドポイントが含まれます。プロファイリング サービスは通常、これらのデバイスがこのグループに割り当てられている場合、これらのデバイスを引き続きプロファイリングします。エンドポイントは Cisco ISE のこのグループに静的に割り当てられ、プロファイリング サービスがこれらのエンドポイントを他の ID グループに割り当てることはできません。これらのデバイスは、エンドポイント リストの他のエンドポイントと同様に表示されます。デバイス登録ポータルを介して追加されたこれらのデバイスに対して、Cisco ISE の [エンドポイント(Endpoints)] ページのエンドポイント リストで編集、削除およびブラックリストへの記載を実行できます。デバイス登録ポータルでブラックリストに記載されたデバイスは、ブラックリスト エンドポイント ID グループに割り当てられ、Cisco ISE に存在する許可プロファイルは、ブラックリストに記載されたデバイスを URL(「無許可ネットワーク アクセス」と表示される、ブラックリストに記載されたデバイスのデフォルト ポータル -ページ)にリダイレクトします。

ブラックリスト:このエンドポイント ID グループには、Cisco ISE のエンドポイントに静的に割り当てられ、ブラックリスト ID グループにグループ化されたエンドポイントが含まれます。

プロファイル済み:このエンドポイント ID グループには、Cisco ISE によりプロファイリングされ、プロファイル済みエンドポイント ID グループにグループ化されたエンドポイントが含まれます。

不明:いずれのプロファイルにも一致しないエンドポイントは、不明エンドポイント ID グループにグループ化されます。

また、プロファイリング サービスには、プロファイル済み ID グループに関連付けられている次のエンドポイント ID グループが含まれます。

Cisco-IP-Phone:ネットワーク上のすべてのプロファイル済み Cisco IP Phone が含まれる ID グループです。


) すべてのタイプの Cisco IP Phone 用の許可ルールが、Cisco ISE の次の場所で使用できます。[ポリシー(Policy)] > [許可(Authorization)] > [標準(Standard)]。


ワークステーション:ネットワーク上のすべてのプロファイル済みワークステーションが含まれる ID グループです。

許可ポリシーでのエンドポイント ID グループの使用

プロファイリング サービスは、エンドポイントを検出し、収集された属性、および Cisco ISE の既存のエンドポイント プロファイリング ポリシーに基づいて、対応するエンドポイント プロファイリング ポリシーに分類します。Cisco ISE アプリケーションは、検出されたこれらのエンドポイントを、エンドポイント プロファイリング ポリシーに基づいて、対応するエンドポイント ID グループに移動します。

エンドポイント ID グループは、許可ポリシーで効率的に使用されて、検出されたエンドポイントに適切なネットワーク アクセス権限を付与します。許可ポリシーでエンドポイント ID グループをさらに効率的に使用するには、エンドポイント プロファイリング ポリシーがスタンドアロン ポリシー(ポリシーの親が存在しない)であるか、またはエンドポイント プロファイリング ポリシーの親ポリシーが無効になっていることを確認する必要があります。

この項では、エンドポイント ID グループの管理手順を説明する次のトピックを扱います。

「エンドポイント ID グループのフィルタリング、作成、編集、および削除」


) Cisco ISE ネットワークのエンドポイント プロファイリングの詳細については、「エンドポイント プロファイリング ポリシーの設定」を参照してください。


エンドポイント ID グループのフィルタリング、作成、編集、および削除

[エンドポイント ID グループ(Endpoint Identity Groups)] ページでは、エンドポイント ID グループを管理し、グループの名前と説明でグループをフィルタリングするオプションを提供します。この項では、ネットワーク上の識別されたすべてのエンドポイントをグループ化し、ID グループを管理できる基本操作について説明します。

エンドポイント ID グループを管理する手順には、次のタスクが含まれます。

「エンドポイント ID グループのフィルタリング」

「エンドポイント ID グループの作成、編集、および削除」

エンドポイント ID グループのフィルタリング

[表示(Show)] ドロップダウン リスト、またはフィルタ アイコンを使用して、[エンドポイント ID グループ(Endpoint Identity Groups)] ページでクイック フィルタの呼び出し操作と、クイック フィルタを閉じる操作の両方を行うことができます。クイック フィルタは、[エンドポイント ID グループ(Endpoint Identity Groups)] ページで ID グループをフィルタリングするために使用できる簡単なフィルタです。クイック フィルタは、[エンドポイント ID グループ(Endpoint Identity Groups)] ページの ID グループの名前や説明など、フィールドの説明に基づいて ID グループをフィルタリングします。

[表示(Show)] ドロップダウン リストを使用して、拡張フィルタを呼び出すことができます。拡張フィルタは複雑なフィルタであり、[エンドポイント ID グループ(Endpoint Identity Groups)] ページでフィルタリングの結果とともに、使用するためにプリセットしておいて後で取得できます。拡張フィルタは、フィールドの説明に関連付けられた特定の値に基づいてフィルタリングします。フィルタを追加または削除したり、一連のフィルタを組み合わせて 1 つの拡張フィルタにしたりすることができます。

[プリセット フィルタの管理(Manage Preset Filters)] オプションを使用して、すべてのプリセット フィルタを表示できます。このオプションを使用してプリセット フィルタを管理できます。プリセット フィルタを作成して保存すると、[エンドポイント ID グループ(Endpoint Identity Groups)] ページのフィルタリングされた結果リストからプリセット フィルタを選択できます。プリセット フィルタ リストでプリセット フィルタの編集や削除を行うこともできます。

[エンドポイント ID グループ(Endpoint Identity Groups)] ページで ID グループをフィルタリングするには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [エンドポイント ID グループ(Endpoint Identity Groups)] を選択します。

[エンドポイント ID グループ(Endpoint Identity Groups)] ページに、すべての ID グループが表示されます。

ステップ 2 [エンドポイント ID グループ(Endpoint Identity Groups)] ページで、[表示(Show)] ドロップダウン矢印をクリックしてフィルタ オプションを選択します。

ここでは、クイック フィルタ、フィルタリング用の拡張フィルタ、[プリセット フィルタの管理(Manage Preset Filters)] オプション(フィルタリング用のプリセット フィルタを管理できる)を選択できます。 表 4-17 を参照してください。

詳細については、「クイック フィルタ オプションを使用してエンドポイント ID グループをフィルタリングするには、次の手順を実行します。」および「拡張フィルタ オプションを使用してエンドポイント ID グループをフィルタリングするには、次の手順を実行します。」を参照してください。


) エンドポイント ID グループ リストに戻るには、[表示(Show)] ドロップダウン リストから [すべて(All)] を選択して、フィルタリングなしですべてのエンドポイント ID グループを表示します。



 

クイック フィルタ オプションを使用してエンドポイント ID グループをフィルタリングするには、次の手順を実行します。

クイック フィルタは、[エンドポイント ID グループ(Endpoint Identity Groups)] ページの各フィールドの説明に基づいて ID グループをフィルタリングします。任意のフィールド内をクリックし、そのフィールドに検索条件を入力すると、[エンドポイント ID グループ(Endpoint Identity Groups)] ページの結果でページが更新されます。そのフィールドをクリアすると、[エンドポイント ID グループ(Endpoint Identity Groups)] ページにすべてのエンドポイント ID グループのリストが表示されます。


ステップ 1 フィルタリングするには、各フィールド内の [実行(Go)] をクリックして、[エンドポイント ID グループ(Endpoint Identity Groups)] ページに表示された結果でページを更新します。

ステップ 2 フィールドをクリアするには、各フィールドで [クリア(Clear)] をクリックします。


 

拡張フィルタ オプションを使用してエンドポイント ID グループをフィルタリングするには、次の手順を実行します。

拡張フィルタでは、より複雑な変数を使用して ID グループをフィルタリングできます。フィールドの説明に一致する値に基づいて ID グループをフィルタリングする 1 つ以上のフィルタが含まれています。1 行に 1 つのフィルタの場合、ID グループは各フィールドの説明とフィルタに定義した値に基づいてフィルタリングされます。複数のフィルタを使用して値を照合し、ID グループのフィルタリングを行うには、1 つの拡張フィルタ内のフィルタのいずれかまたはすべてを使用します。


ステップ 1 フィールドの説明を選択するには、ドロップダウン矢印をクリックします。

ステップ 2 演算子を選択するには、ドロップダウン矢印をクリックします。

ステップ 3 選択したフィールドの説明の値を入力します。

ステップ 4 フィルタを追加するには [行の追加(Add Row)](プラス [+] 記号)をクリックし、フィルタを削除するには [行の削除(Remove Row)](マイナス [-] 記号)をクリックします。

ステップ 5 各フィルタの値に一致させるには [すべて(All)] をクリックし、いずれか 1 つのフィルタの値に一致させるには [任意(Any)] をクリックします。

ステップ 6 [実行(Go)] をクリックしてフィルタリングを開始します。

ステップ 7 [保存(Save)] アイコンをクリックしてフィルタを保存します。

[プリセット フィルタの保存(Save Preset Filter)] ダイアログが表示されます。フィルタを保存するファイル名を入力し、[保存(Save)] をクリックします。 作成するプリセット フィルタの名前にはスペースは使用できません。現在のフィルタを保存しないでフィルタをクリアするには、 [キャンセル(Cancel)] をクリックします。


) 作成および保存するプリセット フィルタはブラウザベースのみであるため、同じタイプのブラウザを使用した場合にのみアクセスできます(プリセット フィルタは Cisco ISE データベースに保存されません)。たとえば、Firefox バージョン 3.6.x ブラウザを使用して作成および保存したプリセット フィルタには、Microsoft Internet Explorer(IE8)ブラウザはアクセスできず、その逆の場合も同じです。


ステップ 8 フィルタリングを行った後に [フィルタのクリア(Clear Filter)] をクリックします。


 

表 4-17 に、エンドポイント ID グループのフィルタリングに使用できる、[エンドポイント ID グループ(Endpoint Identity Groups)] ページ内のフィールドについて説明します。

表 4-17 エンドポイント ID グループのフィルタリング

フィルタリング方法
フィルタリング フィールド
フィルタリング フィールドの説明

クイック フィルタ

名前(Name)

このフィールドを使用すると、エンドポイント ID グループの名前で ID グループをフィルタリングできます。

説明(Description)

このフィールドを使用すると、エンドポイント ID グループの説明で ID グループをフィルタリングできます。

拡張フィルタ

次の中からフィールドの説明を選択します。

名前(Name)

説明(Description)

ドロップダウン矢印をクリックしてフィールドの説明を選択します。

演算子(Operator)

[演算子(Operator)] フィールドで、ドロップダウン矢印をクリックして、ID グループのフィルタリングに使用できる演算子を選択します。

値(Value)

[値(Value)] フィールドで、エンドポイント ID グループのフィルタリング対象として選択したフィールドの説明の値を選択します。

エンドポイント ID グループの作成、編集、および削除

[エンドポイント ID グループ(Endpoint Identity Groups)] ページで、エンドポイント ID グループを作成、編集、または削除できます。

[エンドポイント ID グループ(Endpoint Identity Groups)] ページでエンドポイント ID グループを作成するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [ID グループ(Identity Groups)] > [エンドポイント ID グループ(Endpoint Identity Groups)] を選択します。

[エンドポイント ID グループ(Endpoint Identity Groups)] ページに、すべての ID グループが表示されます。

ステップ 2 [エンドポイント ID グループ(Endpoint Identity Groups)] ページで、[作成(Create)] を選択します。

ステップ 3 表 4-18 に示すように、[新しいエンドポイント グループ(New Endpoint Group)] ページで値を変更します。

ステップ 4 次のいずれかの作業を実行します。

a. [送信(Submit)] をクリックして、[エンドポイント ID グループ(Endpoint Identity Groups)] ページに表示されるエンドポイントを作成します。

b. [キャンセル(Cancel)] をクリックして、エンドポイントを作成せずにこのアクションを終了します。

ステップ 5 [エンドポイント ID グループ(Endpoint Identity Groups)] ページに戻るには、[エンドポイント グループ リスト(Endpoint Group List)] リンクをクリックします。


 

表 4-18 に、エンドポイント ID グループの作成に使用できる、[エンドポイント ID グループ(Endpoint Identity Groups)] ページ内のフィールドについて説明します。

 

表 4-18 エンドポイント ID グループの作成

フィールド名
説明

名前(Name)

[名前(Name)] フィールドで、作成するエンドポイント ID グループの名前を入力します。

(注) ベスト プラクティスに従い、エンドポイント ID グループの名前を作成するときにスペースを含めないようにします。

説明(Description)

[説明(Description)] フィールドで、作成するエンドポイント ID グループの説明を入力します。

親グループ(Parent Group)

Cisco ISE は、登録済みデバイス、ブラックリスト、プロファイル済み、および不明の 4 つのエンドポイント ID グループを展開上に作成します。

[親グループ(Parent Group)] フィールドで、エンドポイント ID グループを選択します。ドロップダウン矢印をクリックして、Cisco ISE 展開に作成されたエンドポイント ID グループを表示します。

[エンドポイント ID グループ(Endpoint Identity Groups)] ページでエンドポイント ID グループを編集するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [ID グループ(Identity Groups)] > [エンドポイント ID グループ(Endpoint Identity Groups)] を選択します。

[エンドポイント ID グループ(Endpoint Identity Groups)] ページに、すべての ID グループが表示されます。

ステップ 2 [エンドポイント ID グループ(Endpoint Identity Groups)] ページで、ID グループを選択し、[編集(Edit)] を選択します。


) 自分がシステムで作成した ID グループの名前と説明のみを編集できます。Cisco ISE によりシステムに作成されたエンドポイント ID グループの名前は編集できませんが、説明は編集できます。


ステップ 3 次のいずれかの作業を実行します。

a. [リセット(Reset)] をクリックして、前のデータに戻します。

b. データがリセットされ、現在のデータが失われても問題ないことを確認するか、[キャンセル(Cancel)] をクリックして現在の入力データで作業を続行します。

c. [保存(Save)] をクリックして、編集ページの現在の入力データを保存します。

ステップ 4 エンドポイント ID グループの編集後に [エンドポイント ID グループ(Endpoint Identity Groups)] ページに戻るには、[エンドポイント グループ リスト(Endpoint Group List)] をクリックします。


 

[エンドポイント ID グループ(Endpoint Identity Groups)] ページでエンドポイント ID グループを削除するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [ID グループ(Identity Groups)] > [エンドポイント ID グループ(Endpoint Identity Groups)] を選択します。

[エンドポイント ID グループ(Endpoint Identity Groups)] ページに、すべての ID グループが表示されます。

ステップ 2 [エンドポイント ID グループ(Endpoint Identity Groups)] ページでエンドポイント ID グループを選択し、[削除(Delete)] を選択します。


) 自分がシステムに作成した ID グループのみを削除できます。Cisco ISE によりシステムに作成されたエンドポイント ID グループは削除できません。


ステップ 3 確認ダイアログで [OK] をクリックして、エンドポイント ID グループを削除します。

[キャンセル(Cancel)] をクリックして、エンドポイント ID グループを削除せずに [エンドポイント ID グループ(Endpoint Identity Groups)] ページに戻ります。


 

関連項目

「エンドポイント ID グループのエンドポイントのフィルタリグ、追加、および削除」

エンドポイント ID グループのエンドポイントのフィルタリグ、追加、および削除

この項では、エンドポイント ID グループのエンドポイントを管理できる基本操作について説明します。MAC アドレスは、すべての基本操作で使用されます。

エンドポイント ID グループの静的に追加されたエンドポイントをフィルタリング、追加、および削除できます。エンドポイント ID グループが静的に割り当てられていない場合、エンドポイントはエンドポイント ID グループでの追加または削除後に再プロファイリングされます。プロファイラにより動的に識別されたエンドポイントは、適切なエンドポイント ID グループに表示されます。動的に追加されたエンドポイントをエンドポイント ID グループから削除した場合、Cisco ISE では、エンドポイント ID グループからエンドポイントを正常に削除したが、それらのエンドポイントをエンドポイント ID グループに再プロファイリングして戻すことを示すメッセージが表示されます。[エンドポイント(Endpoints)] ウィジェットのエンドポイントのみを特定の ID グループに追加できます。エンドポイントを特定のエンドポイント ID グループに追加した場合、そのエンドポイントは、前に動的にグループ化されたエンドポイント ID グループから移動されます。エンドポイントを最近追加したエンドポイント ID グループから削除すると、そのエンドポイントは、適切な ID グループに再プロファイリングされます。ここでは、エンドポイント ID グループからエンドポイントを削除しているのではなく、単にエンドポイントをエンドポイント ID グループから移動しています。

[エンドポイント ID グループ(Endpoint Identity Groups)] ページに、すべてのエンドポイント ID グループの名前と説明が表示されます。[エンドポイント ID グループ(Endpoint Identity Groups)] ページの [編集(Edit)] メニューを使用して、エンドポイント ID グループのエンドポイントをフィルタリング、追加、または削除できます。

エンドポイント ID グループのエンドポイントを管理する手順には、次のタスクが含まれます。

「エンドポイント ID グループのエンドポイントのフィルタリグ」

「エンドポイント ID グループでのエンドポイントの追加」

「エンドポイント ID グループのエンドポイントの削除」

エンドポイント ID グループのエンドポイントのフィルタリグ

[表示(Show)] ドロップダウン リスト、またはフィルタ アイコンを使用して、[エンドポイント ID グループ(Endpoint Identity Groups)] ページでクイック フィルタの呼び出し操作と、クイック フィルタを閉じる操作の両方を行うことができます。クイック フィルタは、[エンドポイント ID グループ(Endpoint Identity Groups)] ページでエンドポイント ID グループのエンドポイントをフィルタリングするために使用できる簡単なフィルタです。

[表示(Show)] ドロップダウン リストを使用して、拡張フィルタを呼び出すことができます。拡張フィルタは複雑なフィルタであり、[エンドポイント ID グループ(Endpoint Identity Groups)] ページでフィルタリングの結果とともに、使用するためにプリセットしておいて後で取得できます。フィルタを追加または削除したり、一連のフィルタを組み合わせて 1 つの拡張フィルタにしたりすることができます。両方のフィルタでは、任意のエンドポイント ID グループのエンドポイントのフィルタリングに MAC アドレスのみを使用します。

[プリセット フィルタの管理(Manage Preset Filters)] オプションを使用して、すべてのプリセット フィルタを表示できます。このオプションを使用してプリセット フィルタを管理できます。プリセット フィルタを作成して保存したら、[エンドポイント ID グループ(Endpoint Identity Groups)] ページのフィルタリング済みの結果リストからプリセット フィルタを選択できます。プリセット フィルタ リストのプリセット フィルタを編集したり、削除することもできます。

 

[ID グループ エンドポイント(Identity Group Endpoints)] ページの ID グループ内のエンドポイントをフィルタリングするには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [エンドポイント ID グループ(Endpoint Identity Groups)] を選択します。

[エンドポイント ID グループ(Endpoint Identity Groups)] ページに、すべてのエンドポイント ID グループが表示されます。

ステップ 2 [エンドポイント ID グループ(Endpoint Identity Group)] ページで、エンドポイント ID グループを選択し、[編集(Edit)] を選択します。

エンドポイントの前の矢印をクリックして、[ID グループ エンドポイント(Identity Group Endpoints)] ページの表示または非表示を切り替えます。

ステップ 3 [表示(Show)] ドロップダウン リストをクリックして、[ID グループ エンドポイント(Identity Group Endpoints)] ページでフィルタ オプションを一覧表示します。

ここでは、クイック フィルタ、フィルタリング用の拡張フィルタ、[プリセット フィルタの管理(Manage Preset Filters)] オプション(フィルタリング用のプリセット フィルタを管理できる)を選択できます。

詳細については、「クイック フィルタ オプションを使用してエンドポイント ID グループのエンドポイントをフィルタリングするには、次の手順を実行します。」および「拡張フィルタ オプションを使用してエンドポイント ID グループのエンドポイントをフィルタリングするには、次の手順を実行します。」を参照してください。


) ID グループ エンドポイント リストに戻るには、[表示(Show)] ドロップダウン リストから [すべて(All)] を選択して、フィルタリングなしですべてのエンドポイントを表示します。



 

クイック フィルタ オプションを使用してエンドポイント ID グループのエンドポイントをフィルタリングするには、次の手順を実行します。

クイック フィルタは、エンドポイント ID グループの MAC アドレスに基づいてエンドポイントをフィルタリングします。


ステップ 1 MAC アドレスを nn:nn:nn:nn:nn の形式で入力して、エンドポイント ID グループのエンドポイントをフィルタリングします。

ステップ 2 フィルタリングするには、[実行(Go)] をクリックします。

MAC アドレスを入力すると、[エンドポイント ID グループ(Endpoint Identity Groups)] ページの検索条件に一致するエンドポイントで [エンドポイント ID グループ(Endpoint Identity Groups)] ページが更新されます。

MAC アドレスをクリアすることを選択すると、[エンドポイント ID グループ(Endpoint Identity Groups)] ページにすべてのエンドポイントのリストが表示されます。


 

拡張フィルタ オプションを使用してエンドポイント ID グループのエンドポイントをフィルタリングするには、次の手順を実行します。

拡張フィルタを使用すると、MAC アドレスに基づいてエンドポイントをフィルタリングできます。1 行に 1 つのフィルタの場合、エンドポイントは定義した MAC アドレスに基づいてフィルタリングされます。複数のフィルタを使用して MAC アドレスを照合し、エンドポイントのフィルタリングを行うには、1 つの拡張フィルタ内のフィルタのいずれかまたはすべてを使用します。


ステップ 1 フィールドの説明を選択するには、ドロップダウン矢印をクリックします。

ステップ 2 演算子を選択するには、ドロップダウン矢印をクリックします。

ステップ 3 選択したフィールドの説明の値を入力します。

ステップ 4 フィルタを追加するには [行の追加(Add Row)](プラス [+] 記号)をクリックし、フィルタを削除するには [行の削除(Remove Row)](マイナス [-] 記号)をクリックします。

ステップ 5 各フィルタの値に一致させるには [すべて(All)] をクリックし、いずれか 1 つのフィルタの値に一致させるには [任意(Any)] をクリックします。

ステップ 6 [実行(Go)] をクリックしてフィルタリングを開始します。

ステップ 7 [保存(Save)] アイコンをクリックしてフィルタを保存します。

[プリセット フィルタの保存(Save Preset Filter)] ダイアログが表示されます。フィルタを保存するファイル名を入力し、[保存(Save)] をクリックします。 作成するプリセット フィルタの名前にはスペースは使用できません。現在のフィルタを保存しないでフィルタをクリアするには、 [キャンセル(Cancel)] をクリックします。

ステップ 8 フィルタリングを行った後に [フィルタのクリア(Clear Filter)] をクリックします。


 

エンドポイント ID グループでのエンドポイントの追加

エンドポイントを [エンドポイント(Endpoints)] ウィジェットの ID グループに追加したり、ID グループからエンドポイントを削除することができます。既存のプロファイルと一致するプロファイルを持つ ID グループからエンドポイントを削除することはできません。

エンドポイントをエンドポイント ID グループに追加するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [エンドポイント ID グループ(Endpoint Identity Groups)] を選択します。

[エンドポイント ID グループ(Endpoint Identity Groups)] ページに、すべての ID グループが表示されます。

ステップ 2 [エンドポイント ID グループ(Endpoint Identity Groups)] ページで、ID グループを選択します。

ステップ 3 [エンドポイント ID グループ(Endpoint Identity Groups)] ページで、[編集(Edit)] を選択します。

ステップ 4 エンドポイントの前の矢印をクリックして、[ID グループ エンドポイント(Identity Group Endpoints)] リスト ページの表示または非表示を切り替えます。このページには、選択したエンドポイント ID グループのエンドポイントのリストが表示されます。

ステップ 5 [追加(Add)] をクリックします。

[エンドポイント(Endpoints)] ウィジェットが表示されます。

ステップ 6 [エンドポイント(Endpoints)] ウィジェットでエンドポイントを選択します。

このエンドポイントが、エンドポイント ID グループに表示されます。

ステップ 7 [エンドポイント ID グループ(Endpoint Identity Groups)] ページに戻るには、[エンドポイント グループ リスト(Endpoint Group List)] リンクをクリックします。


 

エンドポイント ID グループのエンドポイントの削除

エンドポイント ID グループ内の 1 つ以上のエンドポイントを削除できます。エンドポイントが [ID グループ エンドポイント(Identity Group Endpoints)] リスト ページでフィルタリングされている場合、[すべて削除(Removing All)] オプションを使用すると、フィルタリングされたエンドポイントのみがエンドポイント ID グループから削除されます。

エンドポイント ID グループ内のエンドポイントを削除するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [エンドポイント ID グループ(Endpoint Identity Groups)] を選択します。

[エンドポイント ID グループ(Endpoint Identity Groups)] ページに、すべての ID グループが表示されます。

ステップ 2 [エンドポイント ID グループ(Endpoint Identity Groups)] ページで、ID グループを選択します。

ステップ 3 [エンドポイント ID グループ(Endpoint Identity Groups)] ページで、[編集(Edit)] を選択します。

ステップ 4 エンドポイントの前の矢印をクリックして、[ID グループ エンドポイント(Identity Group Endpoints)] リスト ページの表示または非表示を切り替えます。このページには、選択したエンドポイント ID グループのエンドポイントのリストが表示されます。

ステップ 5 [ID グループ エンドポイント(Identity Group Endpoints)] リストからエンドポイントを選択し、[削除(Remove)] を選択します。

[選択済みの削除(Remove Selected)] および [すべて削除(Remove All)] オプションが表示されます。選択した 1 つ以上のエンドポイントを削除するか、またはエンドポイント ID グループのすべてのエンドポイントを削除するかを選択できます。


) ここでは、エンドポイント ID グループから 1 つ以上のエンドポイントを削除できます。


ステップ 6 [エンドポイント ID グループ(Endpoint Identity Groups)] ページに戻るには、[エンドポイント グループ リスト(Endpoint Group List)] リンクをクリックします。