Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
デバイス アクセス管理
デバイス アクセス管理
発行日;2013/01/21 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 18MB) | フィードバック

目次

デバイス アクセス管理

概要

デバイス ポータルの設定

全般設定

ポータル テーマのカスタマイズ

デバイス ポータルのポートの設定

デバイス ポータルの単純 URL の指定

デバイス ポータルの設定

認証順序

言語テンプレート

ポータルの設定

デバイス ポータルへの接続

新しいデバイスの登録、編集、再接続、および削除

登録済みエンドポイント レポート

デバイス アクセス管理

この章では、デバイス ポータルのカスタマイズについて説明するとともに、企業ユーザ(従業員)がデバイス登録ポータルを使用して各自のスマート デバイスを企業ネットワークに取り入れる方法について説明します。このポータルでは、デバイス登録プロセスを通して、ユーザが各自のスマート デバイスの登録と管理を実行できます。

この章は次のトピックで構成されています。

「概要」

「デバイス ポータルの設定」

概要

Cisco ISE には、企業ユーザ(従業員)が個人的に保有する多機能スマート デバイスを、業務に活用できるように、企業ネットワークに取り入れるための機能が備えられています。ユーザは、このようなスマート デバイスを使用することで、高速 Wi-Fi 接続やソーシャル ネットワーキングなどの機能を利用して、ネットワーク上でコミュニケーションとコラボレーションを行うことができます。

ただし、このようなスマート デバイスをユーザの要望に応じて企業ネットワークに取り入れ、企業とユーザとの間のネットワーク サービスや企業データを保護することは簡単ではありません。これは、デバイスをネットワーク上で適切に設定し、セキュリティのための管理を行う必要があるためです。従業員が所有する、信頼できないスマート デバイスからのネットワーク アクセス要求の増加に対応するために、従業員とそのデバイスの両方について、ネットワーク アクセスのための認証と許可を確実に実行することが必要になります。

たとえば、ラップトップ、携帯電話、タブレット、プリンタなどのネットワーク デバイスを企業ネットワークに接続することが、企業ポリシーに応じて許可されているとします。ユーザは、デバイスにインストール済みの Web ブラウザを使用して企業ネットワークにログインし、デバイスを登録します。デバイスの登録が完了すると、その管理をデバイス ポータルで実行できるようになります。Web ブラウザをサポートしていないデバイスの場合は、デバイスの MAC アドレスを使用してデバイス ポータルでそのデバイスを追加する必要があります。MAC アドレスは、デバイスの一意の識別子です。

デバイス ポータルでユーザがデバイスを追加すると、そのデバイスに対してネットワーク アクセスのための登録プロセスが実行されます。ネットワークに登録済みの任意のデバイスに紛失とマークし、そのデバイスをネットワークのブラックリストに掲載することができます。これにより、他人がそのデバイスを使用して許可なくネットワークにアクセスすることができなくなります。ブラックリスト掲載済みのデバイスを、デバイス ポータルで元のステータスに戻し、再びネットワークにアクセスできるようにできます。このとき、そのデバイスをもう一度デバイス ポータルで登録する必要はありません。また、任意のデバイスについて、企業ネットワークへの登録を一時的に解除した後、再びネットワークにアクセスできるように再登録できます。

デバイス ポータルはスタンドアロンのポータルであり、従業員がポータルにログインするには認証が必要です。このポータルでは、従業員が各自のスマート デバイスをネットワークに登録することができ、そのデバイスはデバイス ポータルに登録済みデバイスとして表示されます。追加しようとしているデバイスが、すでに他の従業員によって追加されて Cisco ISE のエンドポイント データベースに存在する場合は、そのデバイスの追加はできません。同じデバイスをデバイス ポータルで追加しようとしても失敗し、「デバイス ID はすでに存在します。もう一度お試しください。(Device ID already exists. Please try again.)」というメッセージが表示されます。

ラップトップや携帯電話などのデバイスは、ゲスト ポータルから登録することを推奨します。これで、そのデバイスがそのユーザのリストに表示されます。このようにすると、そのデバイスの所有権を、自分のログイン クレデンシャルを使用して宣言したことになります。この機能を利用すると、デバイスの PortalUser プロパティを上書きできます。たとえば、すでに別の従業員によってデバイスがデバイス ポータルから MAC アドレスを使用して追加されている場合です。Mac 認証バイパス(MAB)デバイス(たとえばプリンタ)の場合は、デバイスを他の従業員のリストから削除する必要があります。これで、そのデバイスを自分のリストに追加できるようになります。MAB デバイスについては、システム管理者がそのデバイスの他の所有者を見つけてその所有権を解除する必要があります。これで、デバイスを他のユーザのリストに追加できるようになります。

ユーザがデバイスをデバイス ポータルで追加すると、そのデバイスが Cisco ISE の [エンドポイント(Endpoints)] ページに追加されます。そのデバイスのプロファイルは、Cisco ISE の他のエンドポイントと同様に扱われます。デバイス登録ポータルによって、プロファイリングとサプリカント プロビジョニングのためのエンドポイント属性が設定されます。この属性とは、たとえばエンドポイント ID グループ、デバイス登録ステータス、製品、デバイス名、オペレーティング システムのバージョン、Unique Device Identifier(UDID)(iPad や iPhone の場合)、証明書シリアル番号、証明書発行者名であり、この他にもエンドポイントの属性が収集されます。

従業員のユーザ ID グループ

従業員は、ネットワーク アクセス ユーザであり、管理者はこのユーザを作成して Cisco ISE の「従業員(Employee)」というユーザ ID グループに割り当てます。

「従業員(Employee)」ユーザ ID グループは、従業員のためのデフォルトのネットワーク アクセス ユーザ ID グループです。ユーザを作成してこのグループに割り当てることができます。「従業員(Employee)」ユーザ ID グループの説明は編集可能であり、このグループへの従業員の追加や削除もできます。

ユーザ ID グループの詳細については、『 Cisco Identity Services Engine User Guide, Release 1.1.1 』の「Configuring User Identity Groups」の項を参照してください。

デバイス ポータルの設定

[設定(Settings)] ナビゲーション ペインを使用して、デバイス ポータルの設定を行います。このペインには、Cisco ISE 管理者ユーザ インターフェイスの [Web ポータル管理(Web Portal Management)] メニューからアクセスします。パスは次のとおりです。

[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)]。

この項では、次のトピックを扱います。

「全般設定」

「デバイス ポータルの設定」

「デバイス ポータルへの接続」

「新しいデバイスの登録、編集、再接続、および削除」

「登録済みエンドポイント レポート」

全般設定

デバイス ポータルのポータル テーマのカスタマイズや、ポートの設定、およびデバイス ポータルに Secure Socket Layer(SSL)経由でアクセスするためのデフォルト URL の指定を行うことができます。

この項では、次のトピックを扱います。

「ポータル テーマのカスタマイズ」

「デバイス ポータルのポートの設定」

「デバイス ポータルの単純 URL の指定」

ポータル テーマのカスタマイズ

デバイス ポータルのポータル テーマをカスタマイズするには、テキスト、バナー、背景色、および画像のオプションを設定して適用します。この機能を利用すると、ポータルの外観を変更するために、カスタマイズした HTML ファイルを Cisco ISE サーバにアップロードすることは不要になります。同じ手順を実行して、既存のカスタマイズ済みポータル テーマを変更することができます。


) サポートされている画像形式は、JPG、JPEG、GIF、PNG です。


デバイス ポータルのポータル テーマをカスタマイズするには、次の手順を実行します。


ステップ 1 Cisco ISE 管理者ユーザ インターフェイスで、[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] を選択します。

ステップ 2 [設定(Settings)] ナビゲーション ペインで、[一般(General)] の隣にある矢印をクリックし、[ポータル テーマ(Portal Theme)] を選択します。

[ポータル テーマ(Portal Theme)] ページが表示されます。

ステップ 3 デバイス ポータルに関する次のカスタマイズを行います。

[ログイン ページ ロゴ(Login Page Logo)]:ステップ 4 を参照してください。

[ログイン ページ背景画像(Login Page Background Image)]:ステップ 5 を参照してください。


) ログイン ページの背景画像は常に、ログイン背景色よりも優先されます。ただし、背景画像が透明である場合を除きます。たとえば、デフォルトのログイン ページ背景画像は、ログイン背景色のデフォルト設定(66aaff)や、ステップ 8 で定義するログイン背景色よりも優先されます。


[バナー ロゴ(Banner Logo)]:ステップ 6 を参照してください。

[バナー背景画像(Banner Background Image)]:ステップ 7 を参照してください。


) バナー背景画像は常に、バナー背景色よりも優先されます。ただし、背景画像が透明である場合を除きます。たとえば、デフォルトのバナー背景画像は、バナー背景色のデフォルト設定(66aaff)や、ステップ 9 で定義するバナー背景色よりも優先されます。


[ログイン背景色(Login Background Color)]:ステップ 8 を参照してください。

[バナー背景色(Banner Background Color)]:ステップ 9 を参照してください。

[バナー テキスト色(Banner Text Color)]:ステップ 10 を参照してください。


) [バナー テキスト色(Banner Text Color)] フィールドが適用されるのは、デバイス ポータルのみです。


[バナー リンク色(Banner Link Color)]:ステップ 11 を参照してください。


) [バナー リンク色(Banner Link Color)] フィールドが適用されるのは、デバイス ポータルのみです。


[コンテンツ背景色(Content Background Color)]:ステップ 12 を参照してください。

ステップ 4 [ログイン ページ ロゴ(Login Page Logo)] ドロップダウン リストで [新しいファイルのアップロード(Upload New File)] を選択し、[参照(Browse)] をクリックして画像ファイルを選択し、ログイン ページ ロゴをアップロードします。

デフォルトのシスコ ロゴを使用することも、独自の画像をアップロードすることもできます。画像をアップロードするときに、画像のサイズは高さ 46 ピクセル、幅 86 ピクセルに収まるように自動的に変更されます。ゆがみを防ぐには、画像のサイズをこのピクセル数に合わせて変更してください。

ステップ 5 [ログイン ページ背景画像(Login Page Background Image)] ドロップダウン リストで [新しいファイルのアップロード(Upload New File)] を選択し、[参照(Browse)] をクリックして画像ファイルを選択し、ログイン ページ背景画像をアップロードします。

デフォルトのシスコ背景を選択することも、独自のログイン背景画像をアップロードすることもできます。

ステップ 6 [バナー ロゴ(Banner Logo)] ドロップダウン リストで [新しいファイルのアップロード(Upload New File)] を選択し、[参照(Browse)] をクリックして画像ファイルを選択し、ログイン バナー ロゴをアップロードします。

デフォルトのシスコ ログイン バナーを使用することも、独自のログイン バナー ロゴをアップロードすることもできます。画像をアップロードするときに、画像のサイズは高さ 46 ピクセル、幅 86 ピクセルに収まるように自動的に変更されます。ゆがみを防ぐには、画像のサイズをこのピクセル数に合わせて変更してください。

ステップ 7 [ログイン バナー背景画像(Login Banner Background Image)] ドロップダウン リストで [新しいファイルのアップロード(Upload New File)] を選択し、[参照(Browse)] をクリックして画像ファイルを選択し、ログイン バナー背景画像をアップロードします。


) アップロード済みで、その場所にある画像を使用する場合は、[アップロード済みの画像を使用(Use Uploaded Image)] をクリックします。


デフォルトのシスコ ログイン バナーを使用することも、独自のログイン バナー背景画像をアップロードすることもできます。


) 16 進数の桁のペアはそれぞれ、0 ~ 255 の RGB(Red Green Blue)値を表します。


ステップ 8 ログイン ページの背景色として設定する色の値を、HTML 色形式の RGB 16 進数値として入力します。

工場出荷時のデフォルトを使用するか、色をカスタマイズできます。[色の表示(Show Color)] をクリックすると、[ログイン背景色(Login Background Color)] フィールドで定義した色が表示されます。

ステップ 9 バナーの背景色として設定する色の値を、HTML 色形式の RGB 16 進数値として入力します。

工場出荷時のデフォルトを使用するか、色をカスタマイズできます。[色の表示(Show Color)] をクリックすると、[バナー背景色(Banner Background Color)] フィールドで定義した色が表示されます。

ステップ 10 バナーで使用するテキストの色の値を、HTML 色形式の RGB 16 進数値として入力します。

工場出荷時のデフォルトを使用するか、色をカスタマイズできます。[色の表示(Show Color)] をクリックすると、[バナー テキスト色(Banner Text Color)] フィールドで定義した色が表示されます。

たとえば、「ようこそテキスト」が指定の色でバナーに表示されます。

ステップ 11 バナーで使用するリンクの色の値を、HTML 色形式の RGB 16 進数値として入力します。

工場出荷時のデフォルトを使用するか、色をカスタマイズできます。[色の表示(Show Color)] をクリックすると、[バナー リンク色(Banner Link Color)] フィールドで定義した色が表示されます。

たとえば、[サインアウト(Sign Out)] リンクが指定の色でバナーに表示されます。

ステップ 12 コンテンツの背景色として設定する色の値を、HTML 色形式の RGB 16 進数値として入力します。

工場出荷時のデフォルトを使用するか、色をカスタマイズできます。[色の表示(Show Color)] をクリックすると、[コンテンツ背景色(Content Background Color)] フィールドで定義した色が表示されます。

ステップ 13 変更内容を保存するには [保存(Save)] をクリックします。変更内容を保存せず、以前の設定を復元する場合は [リセット(Reset)] をクリックします。

ステップ 14 [出荷時の初期状態を復元(Restore to Factory Defaults)] をクリックすると、Cisco ISE のデバイス ポータル デフォルト設定がロードされます。


 

デバイス ポータルのポートの設定

従業員がデバイス ポータルに接続するには、HTTPS 経由の Web インターフェイスを使用します。デバイス ポータルのデフォルト設定は、ポート 8443 での HTTPS です。

デバイス ポータルのポート番号を設定するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理者ユーザ インターフェイスで、[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] を選択します。

ステップ 2 [設定(Settings)] ナビゲーション ペインで、[一般(General)] の隣にある矢印をクリックし、[ポート(Ports)] を選択します。

[ゲスト/スポンサーの SSL 設定(Guest/Sponsor SSL Settings)] ページが表示されます。

ステップ 3 デバイス ポータルのポート番号を [デバイス ポータルの設定(My Devices Portal Settings)] フィールドで割り当てます。ポート 8443 がデフォルトです。ポートの有効範囲は 1 ~ 65535 です。

ステップ 4 [保存(Save)] をクリックします。


 

デバイス ポータルへのアクセス

デバイス ポータルにアクセスするには、次の URL を入力します。IP アドレス変数は、Cisco ISE サーバの IP アドレスで置き換えてください。

https://ip_address:port/mydevices/

デバイス ポータルの単純 URL の指定

完全修飾ドメイン名(FQDN)URL を指定して、展開内の特定のノード上にあるデバイス ポータルに自動的に解決されるようにできます。

たとえば、https://mydevices.company.com を設定して、デバイス ポータルに解決されるようにできます。


注意 ポートや FQDN の値に変更を加えると、展開内のすべてのノードが再起動され、各ノード上の Web サーバが設定されます。

デバイス ポータルの FQDN URL を指定するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理者ユーザ インターフェイスで、[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] を選択します。

ステップ 2 [設定(Settings)] ナビゲーション ペインで、[一般(General)] の隣にある矢印をクリックし、[ポート(Ports)] を選択します。

[ゲスト/スポンサーの SSL 設定(Guest/Sponsor SSL Settings)] ページが表示されます。

ステップ 3 [ポータル URL(Portal URLs)] の下の [デフォルトのデバイス ポータル URL(Default My Devices Portal URL)] チェックボックスをオンにしてから、完全修飾ドメイン名 URL をテキスト フィールドに入力します(例:mydevices.yourcompany.com)。

ステップ 4 [保存(Save)] をクリックします。

展開内のすべてのノードが再起動され、各ノード上の Web サーバが設定されます。


) FQDN が Cisco ISE デバイス ポータル ノードに解決されるように、ネットワークのドメイン ネーム システム(DNS)サーバを設定する必要があります。



 

関連項目:

「デバイス ポータルの設定」

「デバイス ポータルへの接続」

「新しいデバイスの登録、編集、再接続、および削除」

デバイス ポータルの設定

この項では、認証のための ID ストア順序、デバイス ポータル カスタマイズ用の言語テンプレート、およびデバイス ポータルの有効化を設定する方法について説明します。

「認証順序」

「言語テンプレート」

「ポータルの設定」

認証順序

認証ソース、つまり ID ストア順序を設定することができます。これは、従業員のログイン クレデンシャルとともに、その従業員を認証してデバイス ポータルへのログインを許可するのに使用されます。

従業員がデバイス ポータルにログインできるようにするには、管理者が ID ストア順序を選択する必要があります。この順序は従業員のログイン クレデンシャルとともに、その従業員を認証してデバイス ポータルへのアクセスを許可するのに使用されます。この順序には、外部ストアとローカルの Cisco ISE ID ストアの両方を含めることができます。ID ストア順序では、従業員の認証を解決するために、どのストアにどのような順序でアクセスするかを定義します。

従業員認証用の ID ストア順序を設定するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理者ユーザ インターフェイスで、[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] を選択します。

ステップ 2 [設定(Settings)] ナビゲーション ペインで、[デバイス(My Devices)] の隣にある矢印をクリックし、[認証ソース(Authentication Source)] を選択します。

ステップ 3 [ID ストア順序(Identity Store Sequence)] ドロップダウン リストから、従業員認証に使用する ID ストア順序を、表示された [ID 順序(Identity Sequence)] ウィジェットから選択します。

たとえば、MyDevices_Portal_Sequence です。

ステップ 4 [保存(Save)] をクリックします。


 

言語テンプレート

デフォルトでは、指定されたブラウザ ロケールに対して Cisco ISE でサポートされるすべての言語テンプレートがアクティブになります。新しい言語テンプレートを追加したり、既存のテンプレートを編集および複製したりできます。Cisco ISE のすべてのサポート対象言語テンプレートに対してロックが設定されます。これは、サポート対象の言語テンプレートを削除できないことを示します。標準の言語テンプレートに変更を加えることや、デバイス ポータルのユーザ インターフェイス用に独自のテンプレートを作成することができます。

カスタム言語テンプレートを追加するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理者ユーザ インターフェイスで、[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] を選択します。

ステップ 2 [設定(Settings)] ナビゲーション ペインで、[デバイス(My Devices)] の隣にある矢印をクリックし、[言語テンプレート(Language Templates)] をクリックします。

[デバイス ポータル言語テンプレート(My Devices Portal Language Templates)] ページに、サポートされる標準言語テンプレートと、新規作成されたテンプレートが一覧表示されます。

ステップ 3 新しいテンプレートを作成するには、[追加(Add)] をクリックします。

ステップ 4 [テンプレート定義の設定(Configure Template Definition)] をクリックし、言語テンプレートの一意の名前と説明を [名前(Name)] と [説明(Description)] のテキスト ボックスに入力し、有効なロケールを [ブラウザ ロケール マッピング(Browser Locale Mapping)] テキスト ボックスに入力します。


) 新しい言語テンプレートを作成するときに、既存の言語テンプレートと同じブラウザ ロケール マッピングを使用することはできません。言語テンプレートはそれぞれ、固有のブラウザ ロケール マッピングを使用する必要があります。


ステップ 5 [ログイン ページの設定(Configure Login Page)] をクリックし、キャプションをテキスト ボックスに入力します。

[ログイン ページの設定(Configure Login Page)] ページでは、デバイス ポータルのログイン ページに表示されるテキスト ボックスの、特定のロケールでのキャプションを設定できます。設定できる項目は、[ユーザ名フィールド(Username Field)]、[パスワード フィールド(Password Field)]、および [ログイン ボタン(Login Button)] です。

ステップ 6 [デバイス管理ページの設定(Configure Device Management Page)] をクリックし、キャプションをテキスト ボックスに入力します。

[デバイス管理ページの設定(Configure Device Management Page)] ページでは、デバイス ポータルのデバイス登録ページに表示されるテキスト ボックスの、特定のロケールでのキャプションを設定できます。設定できる項目は、[ページ タイトル(Page Title)]、[ページの説明(Page Description)]、[MAC アドレス フィールド(MAC Address Field)]、[説明フィールド(Description Field)]、[送信ボタン(Submit Button)]、[キャンセル ボタン(Cancel Button)]、[テーブル タイトル(Table Title)]、[状態列(State Column)]、[MAC アドレス列(MAC Address Column)]、[説明列(Description Column)]、[アクション列(Action Column)]、[編集アクション(Edit Action)]、[ブラックリスト アクション(Blacklist Action)]、[再接続アクション(Reinstate Action)]、[削除アクション(Delete Action)]、[保存アクション(Save Action)]、[キャンセル アクション(Cancel Action)]、[不明ステータス(未登録)(Unknown Status (Not Registered))]、[保留ステータス(Pending Status)]、[登録済みステータス(Registered Status)]、および [ブラックリスト掲載済みステータス(Blacklisted Status)] です。


) ネットワークにログインするユーザが [ページの説明(Page Description)] テキスト ボックスに入力できるのは 256 文字までです。


ステップ 7 [利用規定ページの設定(Configure Acceptable Use Policy Page)] をクリックし、利用規定(AUP)タイトルのキャプションを入力し、AUP のテキストを設定します。

[利用規定ページの設定(Configure Acceptable Use Policy Page)] では、[AUP タイトル(AUP Title)] と [AUP] の、特定のロケールでのキャプションを設定できます。これらは、デバイス ポータルのログイン ページとデバイス登録ページの両方に表示されます。

ステップ 8 [情報/エラー メッセージの設定(Configure Info/Error Messages)] をクリックし、デバイス ポータルでユーザに対して表示される応答を設定します。

[情報/エラー メッセージの設定(Configure Information/Error Messages)] ページでは、ユーザへの情報提供のための、およびデバイス ポータルでユーザが実行するアクションを案内するための応答を設定できます。

ステップ 9 [その他の項目の設定(Configure Miscellaneous Items)] をクリックし、デバイス ポータルに表示されるその他の項目の、特定ロケールでのキャプションを設定します。

[その他の項目の設定(Configure Miscellaneous Items)] ページでは、デバイス ポータルに表示されるテキスト ボックスの、特定ロケールでのキャプションを設定します。設定できる項目は、[製品名(Product Name)]、[ポータル名(Portal Name)]、[連絡先リンク(Contact Link)]、[オンライン ヘルプ リンク(Online Help Link)]、[ログアウト リンク(Logout Link)]、[ようこそテキスト(Welcome Text)]、[サーバ応答(Server Response)]、[ヘルプ デスク タイトル(Help Desk Title)]、[ヘルプ デスク電子メール アドレス フィールド(Help Desk Email Address Field)]、[ヘルプ デスク電話番号フィールド(Help Desk Phone Number Field)]、[はいボタン(Yes Button)]、[いいえボタン(No Button)]、および [OK ボタン(Ok Button)] です。

ステップ 10 [ブラックホール ポータル項目の設定(Configure the Blackhole Portal Items)] をクリックし、ブラックリスト掲載済みデバイスに対する、ログイン時のデバイス ポータルからの応答を設定します。

[ブラックホール ポータル項目の設定(Configure the Blackhole Portal Items)] ページでは、ブラックリスト掲載済みデバイスに対してポータルに表示されるテキスト ボックスの、特定ロケールでのキャプションを設定できます。設定できる項目は、[ブラックホール ポータル名(Blackhole Portal Name)] および [ブラックホール メッセージ(Blackhole Message)] です。

ステップ 11 [送信(Submit)] をクリックします。


 

言語テンプレートを編集または複製するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理者ユーザ インターフェイスで、[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] を選択します。

ステップ 2 [設定(Settings)] ナビゲーション ペインで、[デバイス(My Devices)] の隣にある矢印をクリックし、[言語テンプレート(Language Templates)] をクリックします。

[デバイス ポータル言語テンプレート(My Devices Portal Language Templates)] ページに、Cisco ISE でサポートされる言語テンプレートと、新規作成されたテンプレートが一覧表示されます。

ステップ 3 [デバイス ポータル言語テンプレート(My Devices Portal Language Templates)] ページのリストから、言語テンプレートを選択します。

[編集(Edit)] をクリックすると、[テンプレート定義の設定(Configure Template Definition)] ページで説明とロケールを変更できます。さらに、特定の言語テンプレートの [ログイン ページの設定(Configure Login Page)]、[デバイス管理ページの設定(Configure Device Management Page)]、[利用規定ページの設定(Configure Acceptable Use Policy Page)]、[情報/エラー メッセージの設定(Configure Info/Error Messages)]、[その他の項目の設定(Configure Miscellaneous Items)]、および [ブラックホール ポータル項目の設定(Configure Blackhole Portal Items)] を設定することもできます。

[複製(Duplicate)] をクリックした場合は、[テンプレート定義の設定(Configure Template Definition)] ページで言語テンプレートの一意の名前と説明を入力し、有効なロケールを指定します。さらに、その言語テンプレートの [ログイン ページの設定(Configure Login Page)]、[デバイス管理ページの設定(Configure Device Management Page)]、[利用規定ページの設定(Configure Acceptable Use Policy Page)]、[情報/エラー メッセージの設定(Configure Info/Error Messages)]、[その他の項目の設定(Configure Miscellaneous Items)]、および [ブラックホール ポータル項目の設定(Configure Blackhole Portal Items)] を設定することもできます。

ステップ 4 [送信(Submit)] をクリックします。


 

言語テンプレートをフィルタリングするには、次の手順を実行します。


ステップ 1 Cisco ISE 管理者ユーザ インターフェイスで、[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] を選択します。

ステップ 2 [設定(Settings)] ナビゲーション ペインで、[デバイス(My Devices)] の隣にある矢印をクリックし、[言語テンプレート(Language Templates)] をクリックします。

[デバイス ポータル言語テンプレート(My Devices Portal Language Templates)] ページに、Cisco ISE でサポートされるすべての言語テンプレートと、新規作成されたテンプレートが一覧表示されます。

ステップ 3 [デバイス ポータル言語テンプレート(My Devices Portal Language Templates)] ページの [表示(Show)] ドロップダウン リストをクリックしてフィルタ オプションを選択します。

クイック フィルタ、フィルタリング用の拡張フィルタ、または [プリセット フィルタの管理(Manage Preset Filters)] オプション(フィルタリング用のプリセット フィルタを管理できる)を選択できます。

ステップ 4 [表示(Show)] ドロップダウン リストをクリックし、[クイック フィルタ(Quick Filter)] をクリックするかフィルタ アイコンをクリックしてクイック フィルタを起動します。

クイック フィルタとは、[デバイス ポータル言語テンプレート(My Devices Portal Language Templates)] ページで、言語テンプレートを各フィールドの説明に基づいてフィルタリングする機能です。任意のフィールドの中をクリックして、そのフィールドに検索条件を入力すると、クイック フィルタによって [デバイス ポータル言語テンプレート(My Devices Portal Language Templates)] ページの表示が更新され、[エンドポイント ポリシー(Endpoint Policies)] ページの結果が反映されます。フィールドの内容を消去すると、すべての言語テンプレートが [デバイス ポータル言語テンプレート(My Devices Portal Language Templates)] ページに一覧表示されます。

フィルタリングする各フィールドの中の [実行(Go)] をクリックすると、[デバイス ポータル言語テンプレート(My Devices Portal Language Templates)] ページの表示が更新され、結果が反映されます。

各フィールドの中の [クリア(Clear)] をクリックすると、そのフィールドの内容が消去されます。

ステップ 5 [表示(Show)] ドロップダウン リストをクリックし、[拡張フィルタ(Advanced Filter)] をクリックします。

拡張フィルタでは、より複雑な変数を使用して言語テンプレートをフィルタリングできます。このフィルタには、フィールド説明に一致する値に基づいて言語テンプレートをフィルタリングする 1 つ以上のフィルタが含まれています。フィルタの行が 1 つだけの場合は、各フィールド説明とそのフィルタで定義された値に基づいて言語テンプレートがフィルタリングされます。複数のフィルタを使用して値の照合を行い、プロファイリング ポリシーをフィルタリングするときは、1 つの拡張フィルタ内のいずれか 1 つのフィルタを使用するか全部を使用するかを指定できます。

フィールドの説明を選択するには、ドロップダウン矢印をクリックします。

演算子を選択するには、ドロップダウン矢印をクリックします。

選択したフィールドの説明の値を入力します。

各フィルタの値に一致させるには [すべて(All)] をクリックし、いずれか 1 つのフィルタの値に一致させるには [任意(Any)] をクリックします。

[実行(Go)] をクリックしてフィルタリングを開始します。

[保存(Save)] アイコンをクリックしてフィルタを保存します。

[プリセット フィルタの保存(Save a Preset Filter)] ダイアログが表示されます。フィルタを保存するファイル名を入力し、[保存(Save)] をクリックするか、[キャンセル(Cancel)] をクリックしてフィルタをクリアします。作成するプリセット フィルタの名前にはスペースは使用できません。現在のフィルタを保存しないでフィルタをクリアするには、[キャンセル(Cancel)] をクリックします。

フィルタリングを行った後に [フィルタのクリア(Clear Filter)] をクリックします。


) [デバイス ポータル言語テンプレート(My Devices Portal Language Templates)] のリストに戻るには、[表示(Show)] ドロップダウン リストで [すべて(All)] を選択すると、すべての言語テンプレートがフィルタリングなしで表示されます。


ステップ 6 [表示(Show)] ドロップダウン リストをクリックし、[プリセット フィルタの管理(Manage Preset Filters)] をクリックします。

[プリセット フィルタの管理(Manage Preset Filters)] ダイアログに、すべてのプリセット フィルタが一覧表示されます。プリセット フィルタにはセッション ライフタイムがあり、この間、フィルタリングされた結果が [デバイス ポータル言語テンプレート(My Devices Portal Language Templates)] ページに表示されます。プリセット フィルタを作成して保存したら、リストからプリセット フィルタを選択できます。プリセット フィルタを編集することも、プリセット フィルタ リストから削除することもできます。

[フィルタを選択(Select a filter)] ドロップダウン リストをクリックし、保存済みのプリセット フィルタを選択します。

[編集(Edit)] をクリックすると、プリセット フィルタの条件を変更して、新しいフィルタとして保存できます。

[削除(Remove)] をクリックすると、そのプリセット フィルタがリストから削除されます。

[キャンセル(Cancel)] をクリックすると、[プリセット フィルタの管理(Manage Preset Filters)] ダイアログが閉じます。


 

ポータルの設定

デバイス ポータルの設定は、Cisco ISE 管理者ユーザ インターフェイスの [デバイス ポータルの設定(My Devices Portal Settings)] ページで行います。これで、従業員がデバイス ポータルにアクセスできるようになります。

[デバイス ポータルの設定(My Devices Portal Settings)] ページには、デバイス ポータルを Web ユーザ インターフェイスから HTTPS 経由で利用するための設定や、ユーザがデバイス ポータルで利用規定ページの内容に同意するためのリンクやヘルプ デスク ページへのリンクの設定、およびユーザがデバイス ポータルから登録できるデバイスの数の設定があります。

デバイス ポータルを設定するには、次の手順を実行します。


ステップ 1 Cisco ISE 管理者ユーザ インターフェイスで、[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] を選択します。

ステップ 2 [設定(Settings)] ナビゲーション メニューで、[デバイス(My Devices)] の隣にある矢印をクリックし、[ポータルの設定(Portal Configuration)] をクリックします。

[デバイス ポータルの設定(My Devices Portal Settings)] ページが表示されます。

ステップ 3 [デバイス ポータルの有効化(Enable My Devices Portal)] チェックボックスをオンにします。これで、従業員がデバイス ポータルにアクセスできるようになります。デフォルトでは、Cisco ISE のこの設定は有効化されています。


) [デバイス ポータルの有効化(Enable My Devices Portal)] チェックボックスをオフにした場合は、デバイス ポータルにログインしようとすると「デバイスポータルサービスを使用できません。(The My Devices Portal Service is not available.)」というメッセージが表示されます。


ステップ 4 [利用規定リンクの有効化(Enable the Acceptable Use Policy Link)] チェックボックスをオンにします。これで、利用規定のリンクがデバイス ポータルのログイン ページとデバイス登録ページの両方に表示されるようになります。


) [デバイス ポータルの設定(My Devices Portal Settings)] ページで利用規定(AUP)を有効にした場合は、すべての言語テンプレートの [利用規定ページの設定(Configure Acceptable Use Policy Page)] で AUP テキストを設定する必要があります。


ステップ 5 [デバイス管理(Device Management)] のテキスト ボックスに、1 人の従業員がデバイス ポータルで登録して管理できるスマート デバイスの最大数を入力します。

登録できるスマート デバイスの最大数は 20 です。このフィールドに設定できる値の有効範囲は 1 ~ 20 です。Cisco ISE のデフォルトでは、登録できるデバイスの数は 5 に設定されています。

ステップ 6 ヘルプ デスク連絡先情報を [デバイス ポータルの設定(My Devices Portal Settings)] ページで入力します。

ヘルプ デスク(Help Desk):

電子メール アドレス(Email Address)

電話番号(Phone Number)

ここで設定したヘルプ デスク情報は、デバイス ポータルのログイン ページとデバイス登録ページの両方から、[連絡先(Contact)] リンク経由で表示されます。


 

関連項目:

「全般設定」

「デバイス ポータルへの接続」

「新しいデバイスの登録、編集、再接続、および削除」

デバイス ポータルへの接続

Web ブラウザを開き、Web インターフェイスを通して HTTPS 経由でデバイス ポータルに接続することができます。

デバイス ポータルに接続するには、ネットワーク管理者から通知された URL を入力します。


ステップ 1 デバイス ポータルの URL を Web ブラウザに入力します(例:https://ip_address:port/mydevices)。ポート番号は Cisco ISE 管理者ユーザ インターフェイスで設定できます。


) デバイス ポータルのデフォルト ポートは 8443 です。


ステップ 2 [利用規定(Acceptable Use Policy)] をクリックします。

デバイス ポータルの [利用規定(Acceptable Use Policy)] ページは、ログイン ページとデバイス登録ページに表示されます。この内容は、ロケールに応じて言語テンプレートから表示されます。

たとえば、Cisco ISE の [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [デバイス(My Devices)] > [言語テンプレート(Language Template)] > [英語(English)] > [利用規定ページの設定(Configure Acceptable Use Policy Page)] での設定に応じて、利用規定が英語で表示されます。

ステップ 3 [連絡先(Contact)] をクリックします。

デバイス ポータルの [ヘルプ デスク(Help Desk)] ウィンドウは、ログイン ページとデバイス登録ページの両方に、ロケールに応じて表示されます。

たとえば、英語で表示される [ヘルプ デスク(Help Desk)] ウィンドウは、Cisco ISE の [管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [デバイス(My Devices)] > [ポータルの設定(Portal Configuration)] で設定されたものです。

ステップ 4 従業員ユーザ名とパスワードをデバイス ポータルのログイン ページで入力して [ログイン(Login)] をクリックします。

使用する従業員ログイン クレデンシャルは、ネットワーク管理者によって Cisco ISE の [新しいネットワーク アクセス ユーザ(New Network Access User)] ページで作成されたものです。

ポータル デバイス登録ページは単一ページであり、自分が追加したデバイスのみが表示されます。他のユーザによって追加されたデバイスを表示することはできません。デバイス登録ページのタイトルは、Cisco ISE の次に示す場所で設定できます。

[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [デバイス(My Devices)] > [言語テンプレート(Language Template)] > [英語(English)] > [デバイス管理ページの設定(Configure Device Management Page)] > [ページ タイトル(Page Title)]。

たとえば、[新しいデバイスの追加(Add a New Device)] というページがデバイス ポータルに表示されます。

ステップ 5 デバイス ポータルからログアウトするには [サインアウト(Sign Out)] をクリックします。


 

関連項目

「新しいデバイスの登録、編集、再接続、および削除」

新しいデバイスの登録、編集、再接続、および削除

デバイス ポータルには、Web ユーザ インターフェイスを通して HTTPS 経由で接続します。


ステップ 1 デバイス ポータルの URL を Web ブラウザに入力します。

たとえば、https://ip_address:port/mydevices と入力します。Cisco ISE サーバの IP アドレスと、デバイス ポータル用に設定したポート番号を入力します。

ステップ 2 従業員ユーザ名とパスワードをデバイス ポータルのログイン ページで入力して [ログイン(Login)] をクリックします。

デバイス ポータルにログインするには、従業員のネットワーク アクセス ユーザ ログイン クレデンシャルを使用します。

デバイス登録ページが表示されます。表示されるページ タイトルは、[管理(Administration)] > [Web ポータル管理(Web Portal Management)] > [設定(Settings)] > [デバイス(My Devices)] > [言語テンプレート(Language Template)] > [英語(English)] > [デバイス管理ページの設定(Configure Device Management Page)] > [ページ タイトル(Page Title)] で設定されたものです。

たとえば、[新しいデバイスの追加(Add a New Device)] がデバイス登録ページであり、ここでデバイスをデバイス ポータルに追加できます。

図 22-1 デバイス ポータルでの新しいデバイスの追加

 

ステップ 3 デバイス ポータルで追加するデバイスの MAC アドレスを入力します。


) デバイスの MAC アドレスは、そのデバイスをデバイス ポータルに追加した後で編集することはできません。


ステップ 4 デバイスの説明を入力します。(ネットワークにログインするユーザが [説明(Description)] テキスト ボックスに入力できるのは 256 文字までです)。

ステップ 5 [送信(Submit)] をクリックします。

デバイス ポータルで追加したすべてのデバイスがテーブル形式で表示されます。このテーブルのタイトルは、ロケールごとに [デバイス管理ページの設定(Configure Device Management Page)] で設定できます。このテーブルには、すべてのデバイスのステータスが表示され、デバイスの説明の編集や、デバイスの再接続、およびネットワークからのデバイスの削除を行うことができます。

たとえば、[自分のデバイス(Your Devices)] というテーブルに、デバイス ポータルで追加したすべてのデバイスが表示され、ここでデバイスの説明の編集や、デバイスの再接続、およびネットワークからのデバイスの削除を行います。

デバイスのステータス([保留中(Pending)]、[登録済み(Registered)]、[ブラックリスト掲載済み(Blacklisted)] など)を表すアイコンがデバイス登録ページに表示されます。

:ステータスが保留中となるのは、ユーザがデバイスをデバイス ポータルで追加したときです。

:ステータスが登録済みとなるのは、ユーザがそのデバイスを企業ネットワークに接続したときに、デバイスにサプリカントがプロビジョニング済みであり、ネットワークへのアクセスが許可されている場合です。

:ステータスがブラックリスト掲載済みとなるのは、ユーザがデバイス ポータルで、そのデバイスに接続解除とマークしたときです。デバイス ポータルでそのデバイスの再接続を指定すると、デバイスを以前のステータスに戻すことができ、これにより、ネットワークにアクセスできるようになります。


) デバイスの PortalUser 属性と DeviceRegistrationStatus 属性は、デバイス ポータルで追加した Cisco ISE の属性リストにあります。


ステップ 6 デバイス登録ページの [編集(Edit)] をクリックします。

編集できるのはデバイスの説明のみです。デバイスの MAC アドレスは編集できません。(ネットワークにログインするユーザが [説明(Description)] テキスト ボックスに入力できるのは 256 文字までです)。

ステップ 7 デバイス登録ページの [接続解除?(Lost?)] をクリックします。

デバイス ポータルでデバイスに接続解除とマークすると、ポータルのブラックリストにそのデバイスが追加されます。この状態を解除するには、デバイス ポータルでそのデバイスの再接続を指定します。

次に示すデフォルトのポータル ページが表示されるのは、ネットワークへのアクセスに使用するデバイスが、デバイス登録ポータルでブラックリストに掲載されている場合です。

図 22-2 ブラックリスト掲載済みデバイスにはネットワーク アクセスが許可されない

 

ステップ 8 デバイス ポータルのデバイス登録ページで、デバイスの [再接続(Reinstate)] をクリックすると、そのデバイスで再びネットワークにアクセスできるようになります。

デバイス ポータルでブラックリストに追加したデバイスの再接続を指定すると、デバイスはブラックリスト追加前の状態、たとえば [登録済み(Registered)] や [保留中(Pending)] に戻ります。

ステップ 9 デバイスを削除するには をクリックします。

デバイスを削除すると、そのデバイスはデバイス ポータルで再登録しない限りポータルには表示されなくなりますが、Cisco ISE エンドポイント データベースには、そのデバイスはエンドポイントとして存在します。Cisco ISE の RegisteredDevices エンドポイント ID グループのエンドポイントを削除した場合は、そのデバイスがデバイス ポータルから削除されます。


 

登録済みエンドポイント レポート

Cisco ISE 1.1.1 の [登録済みエンドポイント レポート(Registered Endpoints Report)] には、デバイス登録ポータルから登録されたエンドポイントに関する情報が表示されます。(サプリカント プロビジョニング統計情報および関連データについては、「Cisco ISE でのクライアント プロビジョニング レポートの表示」を参照してください)。

エンドポイント データベースに対するクエリーを実行して、RegisteredDevices エンドポイント ID グループに割り当て済みのエンドポイントの情報を取得することができます。また、PortalUser 属性がヌル以外の値に設定されている特定のユーザについてレポートを生成することもできます。

[登録済みエンドポイント レポート(Registered Endpoints Report)] には、特定のユーザによって指定の期間内にデバイス登録ポータルから登録されたエンドポイントのリストに関する情報が表示されます。

このレポートに表示される情報は次のとおりです。

ログイン日時(Logged in Date and Time)

ポータル ユーザ(Portal User)(デバイスを登録したユーザ)

MAC アドレス(MAC Address)

ID グループ(Identity Group)

エンドポイント ポリシー(Endpoint Policy)

スタティック割り当て(Static Assignment)

スタティック グループ割り当て(Static Group Assignment)

エンドポイント ポリシー ID(Endpoint Policy ID)

NMAP サブネット スキャン ID(NMAP Subnet Scan ID)

デバイス登録ステータス(Device Registration Status)


) デバイスをデバイス ポータルで登録すると、そのデバイスの状態は「保留中(Pending)」に移行します。ポスチャ評価が終了すると、デバイスの状態は「登録済み(Registered)」または「未登録(Not Registered)」に移行します。[登録済みエンドポイント レポート(Registered Endpoints Report)] には、「未登録(Not Registered)」状態のデバイスは表示されません。ただし、そのデバイスはデバイス ポータルに表示されます。


[登録済みエンドポイント レポート(Registered Endpoints Report)] を実行するには、次の手順を実行します。


ステップ 1 Cisco ISE ユーザ インターフェイスにログインします。

ステップ 2 [操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] を選択します。

ステップ 3 [レポート(Reports)] ナビゲーション ペインの [デバイス(My Devices)] をクリックします。

ステップ 4 [登録済みエンドポイント(Registered Endpoints)] を選択します。

ステップ 5 [実行(Run)] をクリックします。

[登録済みエンドポイント レポート(Registered Endpoints Report)] が画面に表示されます。

[実行(Run)] ドロップダウン リストを使用して、特定期間のレポートを生成することができます。指定できる期間は次のとおりです。

直近の 30 分(Last 30 Minutes)

直近の 1 時間(Last Hour)

直近の 12 時間(Last 12 Hours)

今日(Today)

昨日(Yesterday)

直近 7 日間(Last 7 days)

直近 30 日間(Last 30 days)

ユーザ、登録済みデバイスの MAC アドレス、ID グループ、エンドポイント ポリシーに対するクエリーを実行して、レポートを生成することができます。