アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

Cisco Identity Services Engine 発注ガイド

ダウンロード オプション

  • PDF
    (4.9 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
Updated: 2021 年 10 月 5 日

ダウンロード オプション

  • PDF
    (4.9 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
Updated: 2021 年 10 月 5 日

目次

 

 

1. Cisco Identity Services Engine のユースケースについて

この項では、Cisco Identity Services EngineISE)が課題の解決に役立つことをさまざまなユースケースを通して説明していきます。ユースケースの内容を理解して何がニーズに合うのかを見極め、必要なライセンスの数とタイプを把握しようとする場合は、ぜひお読みください。複数のユースケースを導入することもできます。

Related image, diagram or screenshot

図 1.                     

Cisco Identity Services のユースケース

1.1 ゲストおよび安全なワイヤレスアクセス

1.1.1 ゲストを設ける理由

多くの組織では、短時間の来訪者(ゲスト)に対してインターネットに無料でアクセスできるようにしています。ゲストには、ベンダー、小売業の顧客、短期ベンダー、短期請負業者などが含まれます。Cisco ISE はゲスト用のアカウントを作成して認証する機能を備えており、アカウントは監査の対象になります。Cisco ISE によりゲストにアクセスを提供する方法として、ホットスポット(ログイン情報を使用しない即時アクセス)、自己登録、およびスポンサーゲストアクセスの 3 通りがあります。また、Cisco ISE には、ベンダー管理システムなど他のシステムと連携してゲストアカウントを作成、編集、削除するための API も豊富に揃っています。さらに、エンドユーザに表示される各種ポータルは、お客様のブランドのルックアンドフィールに合わせた適切なフォント、色、テーマなどを使用して自由にカスタマイズできます。

1.1.2 ゲストの仕組み

Related image, diagram or screenshot

図 2.                     

Cisco ISE ゲストのユースケース

Cisco ISE ではゲスト用にローカルアカウントが作成されます。このアカウントは、ゲスト(スポンサー)に応対している従業員が組み込みポータルを使用して作成することも、ゲスト自身が基本情報を入力して作成することもできます。ゲストは電子メールや SMS を介してログイン情報を受け取ります。このログイン情報を使用して、ゲストがネットワークに対して自身を認証すると、ネットワークにアクセスできます。管理者は、ゲストユーザに提供するアクセスレベルを定義できます。

必要なライセンス:ISE Essentials

1.1.3 安全なワイヤレスアクセスが必要な理由

ほとんどの組織がまず最初に取り組むことは、ワイヤレスネットワークの保護です。ワイヤレスネットワークの保護は、どの組織にとっても最も基本的なニーズです。ネットワーク管理者は Cisco ISE を使用して、許可されたユーザと、携帯電話、タブレット、ラップトップなどのワイヤレスデバイス(BYOD や組織所有のワイヤレスデバイスなど)のみがネットワークに接続できるようにし、後からさまざまなセキュリティポリシーを適用することで、ネットワークへのアクセスを保護できます。認証と許可は Cisco ISE のコア機能です。すべての Cisco ISE セッションは、対象がユーザであれデバイスであれ、認証から始まります。認証は、アクティブ認証またはパッシブ認証(802.1X セッションを除く)のどちらかになります。アクティブ認証は、Cisco ISE がアイデンティティソースに対してユーザを認証するときに、802.1X を使用して実行されます。これに対してパッシブ認証(Easy Connect で使用)では、Microsoft Active DirectoryAD)をはじめとしたアイデンティティソースに対してユーザ認証が行われ、AD Cisco ISE に通知すると、ISE はユーザについて学習します。

1.1.4 セキュアワイヤレスアクセスの仕組み

Cisco ISE Secure Wireless Use-case

図 3.                     

Cisco ISE セキュアワイヤレスアクセスのユースケース

認証に成功すると、接続の種類がパッシブ ID セッション(Easy Connect)、MABMAC アドレスバイパス)、802.1X のどれであるかに関係なく、Cisco ISE はグループ情報に基づいて、適切なアクセスをワイヤレス接続に提供します。ユーザを VLANDACLACL に割り当てるか、あるいは、SGTSGACL に割り当てることで、これが実現します。

必要なライセンス:ISE EssentialsSGT または SGACL には ISE Advantage が必要)

1.2 アセットの可視性

1.2.1 アセットの可視性が必要な理由

デバイスに付与すべきネットワークアクセスのタイプを決定する上で、デバイスタイプを理解することが非常に重要な要素になります。たとえば、IP カメラやエレベータなどのビルディング管理システムには、ネットワークの特定部分(ビルディング管理サービスネットワークなど)へのアクセス権を付与し、プリンタにはネットワークの別の部分(IT サービスなど)へのアクセス権を付与する必要があります。可視性を備えることで、IT 管理者はネットワーク上にあるデバイスのタイプを把握し、どのような方法で適切なレベルの権限をデバイスに割り当てるべきかを判断できます。基本的なアセットの可視性では、デバイスのネットワーク属性が既知のプロファイルと照合されて、エンドポイントがプロファイリングされます。高度なアセットの可視性では、デバイス上のアプリケーションとネットワーク上の他のエンドポイントやサーバとの間で行われたさまざまな通信が、ディープパケットインスペクション(DPI)を通じて詳細に分析されます。基本的なアセットの可視性では、ネットワークの大部分、特に従来のデバイス(プリンタ、携帯電話など)に対する可視性が提供されます。高度なアセットの可視性では、業種に特化したデバイスや IoT タイプのデバイスに対する可視性が提供されます。

1.2.2 基本的な可視性(Cisco ISE プロファイリング可視性)の仕組み

Cisco ISE Basic Visibility Use-case

図 4.                     

Cisco ISE の基本的な可視性のユースケース

Cisco ISE の基本的なアセットの可視性は、プロファイラサービスによって可能になります。プロファイラサービスは、ネットワーク通信をリッスンすることで、デバイスに関する情報を収集します。最も確実性の高い情報から最も確実性の低い情報まで、属性に重み付けすることで、候補となるデバイスタイプが判断されます。

アセットの可視性に基づいて一連のネットワークアセットを保護するための次のステップは、アクセス権の適用です。基本的なアセットの適用では、エンドポイントの分類をプロファイル別に使用することも、ネットワーク アクセス ポリシー内で使用することもできます。これにより、エンドポイントについて学習された可視性に基づいて、そのエンドポイントのプロファイルに応じたネットワーク権限のみが付与されます。プリンタは、プリントサーバまたはプリントサービスを必要とするユーザへのアクセスのみが許可され、モバイル BYOD はインターネットサービスおよび低リスクの内部システムに対するアクセスのみが許可されます。

必要なライセンス:ISE Advantage

1.2.3 高度なアセットの可視性(エンドポイント分析可視性)の仕組み

エンドポイント分析は、エンドポイント プロファイリングの精度を向上させることを目的としています。きめ細かいエンドポイント識別を提供し、さまざまなエンドポイントにラベルを割り当てます。このとき、ディープ パケット インスペクション(DPI)だけでなく、SD-AVCCisco ISE、他のサードパーティ コンポーネントなどのさまざまなソースから集約されたプローブを使用して、エンドポイント属性が分析されます。

人工知能(AI)と機械学習を使用して、共通の属性を持つエンドポイントを直感的に分かるようグループ化します。さらに、適切なエンドポイント プロファイリング ラベルを選択するための提案を IT 管理者に行います。多要素分類は、ラベルカテゴリを使用してエンドポイントを分類し、柔軟なプロファイリングを可能にします。これらのエンドポイントラベルを Cisco ISE で使用して、カスタムプロファイルを作成できます。カスタムプロファイルは、認証ポリシーを通じてエンドポイントとエンドポイントグループに適切なアクセス権限セットを提供するための基盤となります。

Cisco ISE Advance Asset Visibility Use-case

図 5.                     

Cisco ISE 高度なアセットの可視化のユースケース

必要なライセンス:

基本的なアセットの可視性と適用 - ISE Advantage

エンドポイント分析の可視性と適用 – ISE Advantage

1.3 コンプライアンス(ポスチャ)

1.3.1 コンプライアンスの可視性が必要な理由

攻撃者が集中的に行うのは、意図的なデータ破損(ランサムウェア)とネットワーク上のエンドポイントを侵害するデータ漏洩です。最も効果的で広く知られている侵害で利用されるのは、簡単に修復できたにもかかわらず見落とされた既知の問題です。コンプライアンスの可視性により、組織はポスチャを使用するか、モバイルデバイス管理(MDM)システムやエンタープライズモビリティ管理(EMM)システムと連携して(または両方)、ユーザエンドポイントが企業ポリシーにどの程度準拠しているかを確認できます(サポートされている MDM/EMM システムについては、『Cisco Identity Services Engine リリース 2.7 ネットワークコンポーネントの互換性』を参照してください)。組織は Cisco ISE のポスチャエンジンまたは MDM を使用して、ポリシーに準拠しているエンドポイント数を評価し、準拠していないソフトウェアがインストールされていないか、また実行中でないかを確認できます。

1.3.2 コンプライアンスの仕組み

Related image, diagram or screenshot

図 6.                     

Cisco ISE コンプライアンス可視性のユースケース

ポスチャは、エンドポイント内を検証するために一時的にインストールされたエージェントを利用して、オペレーティングシステムのパッチ、マルウェア対策、ファイアウォールなどがインストールおよび有効化され、最新の状態であることを確認した後に、ネットワークへのデバイス接続を許可します。

一般的には、エンドポイントが企業のソフトウェアポリシーに準拠しているかを正しく可視化しているだけでは不十分です。お客様は、コンプライアンスレベルに基づいてエンドポイントへのアクセスを差別化することを望んでいる場合があります。コンプライアンスの適用により、Cisco ISE 独自のポスチャエンジンまたは前述した MDM EMM との連携を通じて包括的なコンプライアンスステータスを取得し、アクセスポリシーで使用できます。アクセスポリシーをアイデンティティなどの他の属性と組み合わせることで、強力な機能を実現します。組織のリスクは軽減され、ネットワークに接続しようとして非準拠の不健全なエンドポイントで作り出された攻撃対象領域全体が縮小されます。このようなポリシーを設定することで、ポリシーに完全に準拠したエンドポイントを使用するユーザは、必要なリソースへのフルアクセスが許可されます。一方、ポリシーに準拠しないことが判明したエンドポイントからは、修復システム、ヘルプデスクシステム、低リスクサービスへのアクセスのみが許可されます。組織は Cisco ISE のポスチャエンジンまたは MDM を使用して、ポリシーに準拠しているエンドポイントの数を評価できます。また、古いソフトウェアやサポートされていないソフトウェアが存在する非準拠のエンドポイントから重要リソースへのアクセスは、拒否できます。

必要なライセンス:ISE PremierAnyConnect または AnyConnect Stealth を使用する場合は、AnyConnect Apex も必要)

1.4 安全な有線アクセス

1.4.1 安全な有線アクセスが必要な理由

不正なユーザがデバイスをネットワークに接続するのを防ぐには、有線ネットワークの保護が不可欠です。ネットワーク管理者は、Cisco ISE を使用してユーザとデバイスを認証および許可することで、安全なネットワークアクセスを提供できます。認証方式はアクティブまたはパッシブになります。Cisco ISE がアイデンティティソースに対してユーザを認証する際には、802.1X を使用してアクティブ認証が行われます。パッシブ認証では、Active DirectoryAD)ドメインへのログイン、または他の間接的な方法を通じて、Cisco ISE がユーザのアイデンティティを学習します。ユーザまたはデバイスが正常に認証されると、許可が行われます。許可は、ダイナミック VLAN、ダウンロード可能 ACL、またはその他のセグメンテーション方式を使用してエンドポイントのネットワーク アクセス セッションを割り当てることで実現できます。

1.4.2 安全な有線アクセスの仕組み

Cisco ISE Secure Wired Access Use-case

図 7.                     

Cisco ISE の安全な有線アクセスのユースケース

Cisco ISE は、802.1XWeb 認証、MAB などの方法でユーザとエンドポイントを認証します。また、ネットワークデバイスに指示することで、外部アイデンティティソースにアイデンティティ解決を問い合わせて、適切なネットワークポリシーを適用できます。

必要なライセンス:ISE Essentials

1.5 Bring Your Own DeviceBYOD; 個人所有デバイス持ち込み)

1.5.1 BYOD が必要な理由

多くの組織では、従業員がスマートフォンなどの個人所有のデバイスを企業のワイヤレスネットワークに接続して、業務で使用することを許可するポリシーを定めています。これは、Bring Your Own DeviceBYOD; 個人所有デバイス持ち込み)ポリシーと呼ばれます。ただし、これらのデバイスは個人が所有しているため、管理ソフトウェアをインストールして組織がエンドポイントを「管理」できるようにすることは好まれません。このような状況下においても、Cisco ISE はデバイスの登録からサプリカントのプロビジョニング、証明書のインストールまでの BYOD オンボーディングプロセスすべてを、非常に合理化された方法で自動化できます。iOSAndroidWindowsmacOSChromeOS などのさまざまな OS プラットフォームのデバイスで自動化が可能です。エンドユーザは、自由にカスタマイズ可能な Cisco ISE My Device ポータルを使用して、さまざまなデバイスをオンボードして管理できます。

1.5.2 BYOD の仕組み

Cisco ISE BYOD Use-case

図 8.                     

Cisco ISE BYOD のユースケース

Cisco ISE には、BYOD のオンボーディング全体の自動化に役立つ要素がいくつかあります。その中の 1 つの組み込み認証局(CA)は、さまざまなタイプのデバイスに証明書を作成して配布します。組み込み CA によって、証明書ライフサイクルが完全に管理されます。また、Cisco ISE はエンドユーザ向けの My Device ポータルも提供しています。エンドユーザは BYOD のエンドポイントを登録するだけでなく、エンドポイントに紛失のマークを付けてネットワークから切り離し、ブロックリストに追加することもできます。BYOD のオンボーディングは、シングル SSID またはデュアル SSID のアプローチがあります。シングル SSID のアプローチでは、同じ SSID を使用してエンドユーザのデバイスのオンボーディングと接続を行います。一方、デュアル SSID のアプローチでは、デバイスのオンボーディングプロセスで使用したオープンな SSID とは異なる、より安全な SSID を使用してデバイスを接続します。さらに完全な管理ポリシーを求める場合は、BYOD を使用してエンドユーザを MDM のオンボーディングページに接続することもできます。

Cisco ISE との統合を行うエンタープライズおよびモビリティ管理パートナーのリストについては、『Security Technical Alliance パートナー』のページを参照してください。[市場セグメント(Market Segment] でフィルタして [EMM/MDM] を選択するとご確認いただけます。

必要なライセンス:ISE Advantage

1.6 Rapid Threat Containment (RTC)

1.6.1 Rapid Threat Containment が必要な理由

Cisco RTC を使用すると、ネットワーク上の脅威に関する解決策を素早く入手し、脅威を迅速に阻止できます。シスコセキュリティ製品のオープンな統合、シスコパートナーのテクノロジー、および Cisco ISE の広範なネットワーク制御が活用されています。

統合ネットワーク アクセス コントロール テクノロジーを使用することで、疑わしいアクティビティ、脅威、または脆弱性が検出された場合に、ユーザのアクセス権限を手動または自動で変更できます。感染の疑いがあるデバイスから重要データへのアクセスは拒否されますが、デバイスのユーザは、重要度の低いアプリケーションで作業を継続できます。

1.6.2 Rapid Threat Containment の仕組み

Cisco ISE RTC Use-case

図 9.                     

Cisco ISE RTC のユースケース

エンドポイントで著しい脅威が検出されると、pxGrid エコシステムパートナーは、感染したエンドポイントを手動または自動のどちらで封じ込めるかを ISE に指示できます。脅威の封じ込めでは、デバイスを監視のためにサンドボックスへ移動させることも、修理のために修復ドメインへ移動させることも、完全に削除することもできます。ISE は、標準化された共通脆弱性評価システム(CVSS)による分類と脅威情報構造化記述(STIX)の脅威分類も受け取ることができるため、ユーザのセキュリティスコアに基づいてユーザのアクセス権限を手動または自動で適切に変更できます。

Cisco ISE は、ユースケースを導入するために、pxGrid を介して 75 を超えるエコシステムパートナーと統合しています。Cisco ISE 統合の技術詳細については、『Cisco ISE セキュリティエコシステム統合ガイド(ISE Security Ecosystem Integration Guides』を参照してください。

Cisco ISE との統合を行うエンタープライズおよびモビリティ管理パートナーのリストについては、『Security Technical Alliance パートナー』のページを参照してください。[市場セグメント(Market Segment] でフィルタして [EMM/MDM] を選択するとご確認いただけます。

必要なライセンス:ISE Advantage

1.7 セグメンテーション

1.7.1 セグメンテーションが必要な理由

ネットワークセグメンテーションは、重要なビジネスアセットを保護するための実績のあるテクノロジーですが、従来のアプローチは複雑です。シスコのグループベースのポリシーと TrustSec ソフトウェアデファインド セグメンテーションは、VLAN ベースのセグメンテーションよりも簡単に設定できます。ポリシーは、セキュリティグループを使用して定義します。これは IETF のオープンテクノロジーであり、Open Daylight 内で使用できます。また、サードパーティやシスコのプラットフォームでサポートされています。Cisco ISE は、スイッチ、ルータ、ワイヤレス、およびファイアウォールルールの管理を簡素化するセグメンテーション コントローラの機能を果たします。グループベースのポリシーと TrustSec セグメンテーションは、従来のセグメンテーションと比較して低コストでより優れたセキュリティを実現します。Forrester Consulting 社の顧客分析によると、運用コストは 80 削減され、ポリシーの変更は 98 迅速化されています。

1.7.2 セグメンテーションの仕組み

Related image, diagram or screenshot

図 10.                  

Cisco ISE セグメンテーションのユースケース

上の図では、ユーザとデバイスがセキュリティグループに割り当てられているため、グループのメンバーシップがネットワーク全体で認識されます。これにより、パス上のすべての適用デバイスは、グループ間で承認された通信に基づいてポリシーを評価できます。

1.7.3 Software-Defined Access

セグメンテーションは、Software-Defined AccessSDA)の重要な要素です。Cisco Digital Network ArchitectureDNA)のコントローラと Cisco ISE を組み合わせることで、ネットワークのセグメンテーションとグループベースのポリシーを自動化できます。アイデンティティベースのポリシーとセグメンテーションにより、セキュリティポリシーの定義が VLAN IP アドレスから分離されます。ソフトウェアデファインド(SD)のアクセス設計と導入のガイドでは、グループベースポリシーの設定と導入について詳しく説明しています。

Cisco ISE SDA Integration Use-case

図 11.                  

Cisco ISE SDA 統合のユースケース

エンタープライズ ネットワーク全体にセグメンテーションを拡張するために、Cisco ISE Cisco Application Centric InfrastructureACI)のコントローラと連携しています。これは、Application Policy Infrastructure Controller – Data CenterAPIC-DC)とも呼ばれ、EPG 名を学習し、ソフトウェアグループ(SG)名および対応する EPG 値、SGT 値、Virtual Routing and ForwardingVRF)名を共有します。これにより、Cisco ISE SG-EPG 変換表を作成および入力できます。変換表は境界デバイスによって取得され、トラフィックがドメインを通過する際に TrustSec-ACI 識別子が変換されます。ACI の概要とポリシープレーン統合の設定については、『TrustSec – ACI ポリシープレーン統合ガイド 』を参照してください。

TrustSec テクノロジーは、50 を超えるシスコ製品ファミリでサポートされており、オープンソース製品やサードパーティ製品で採用されています。Cisco ISE は、ルータ、スイッチ、ワイヤレス、およびセキュリティ製品のポリシーコントローラとして機能します。各種製品の TrustSec 機能の詳細については、『プラットフォーム機能マトリックス』を参照してください。『コンフィギュレーション クイックスタート ガイド』には、サンプル環境における一般的な TrustSec ネットワークの設定手順が詳しく記載されています。その他の設計ガイドについてはこちらも参照してください。

必要なライセンス:ISE Advantage

注:    SDA を使用してセグメンテーションを設定するには、Cisco ISE Advantage または Premier ライセンスのほかに、Cisco DNA Premier または Cisco DNA Advantage ライセンスが必要です。詳細については、『SDA 発注ガイド』を参照してください

1.8 セキュリティエコシステムの統合

1.8.1 セキュリティエコシステムの統合が必要な理由

Cisco ISE は、デバイスタイプ、ロケーション、アクセス時間、ポスチャ、アセットに関連付けられたユーザなどの観点から、エンドポイントに関するコンテキストデータを構築します。エンドポイントは、これらの属性に基づいてスケーラブルグループタグ(SGT)でタグ付けできます。この豊富なコンテキストに基づく分析を活用して、効果的なネットワークアクセス制御ポリシーを適用できます。また、ネットワークアクセス制御ポリシーをエコシステムパートナーと共有してサービスを強化することもできます。たとえば、シスコの次世代ファイアウォール(NGFW)では、デバイスタイプ、ロケーション、ユーザグループなど、Cisco ISE から受け取ったアイデンティティ コンテキストに基づいてポリシーを作成できます。それとは逆に、サードパーティ製システムの特定のコンテキストを Cisco ISE にインポートして、検知機能とプロファイリング機能を強化し、脅威を封じ込めることもできます。プラットフォーム間のコンテキスト交換は、Cisco®pxGrid または REST API を使用して実行できます。

Cisco ISE の外部 RESTful サービス(ERS)は、REST API による特定の一連のユースケースにおいて、コンテキストの共有(内部および外部)と Cisco ISE 管理の両方の目的で使用されます。

1.8.2 セキュリティエコシステムの統合の仕組み

Related image, diagram or screenshot

図 12.                  

Cisco ISE セキュリティの統合

プラットフォーム間のコンテキスト交換は、Cisco®pxGrid または REST API を使用して実行できます。

Cisco ISE pxGrid を介して 75 を超えるエコシステムパートナーと統合し、テクノロジーパートナーのユースケースを導入しています。統合に関する技術的詳細については、https://www.cisco.com/c/ja_jp/support/docs/security/
identity-services-engine/216120-ise-security-ecosystem-integration-guide.html
を参照してください。

エコシステムパートナーの完全なリストについては、https://www.cisco.com/c/m/ja_jp/products/security/
technical-alliance-partners.html
を参照してください。

必要なライセンス:ISE Advantage

1.9 デバイス管理(TACACS+

1.9.1 デバイス管理が必要な理由

ネットワーク管理者とセキュリティ管理者は、企業内のネットワーク デバイスとセキュリティデバイスの管理および監視を担当することが一般的です。デバイスの数が少ない場合は、admin ユーザ、権限、および構成変更の追跡はそれほど難しいことではありません。しかし、ネットワークが拡張されてデバイスの数が数十台、数百台、数千台になると、自動化や円滑なワークフローなしにデバイスを管理することは極めて困難です。Cisco ISE は、整然としたワークフローを用いてデバイス管理タスクを自動化する機能を備えています。また、UI の制御スペース内には TACACS+ プロトコルを使用したモニタリング機能があり、ネットワークオペレータにさまざまな権限を提供できます。

1.9.2 デバイス管理の仕組み

Related image, diagram or screenshot

図 13.                  

Cisco ISE デバイス管理のユースケース

ネットワーク管理者がネットワークデバイスに接続しようとすると、デバイスは Cisco ISE に「接続要求」を送信し、Cisco ISE はデバイスに対してログイン情報を要求します。ログイン情報はアイデンティティリソースの照合によって検証されます。

次に、ネットワークデバイスは Cisco ISE に対してネットワーク管理者の許可を要求します。ネットワーク管理者はシェルプロンプトにアクセスすると、コマンドを実行できるようになります。コマンドを個別に許可するように Cisco ISE を設定することもできます。

1.9.3 デバイス管理ライセンスの取得方法

      デバイス管理が可能なライセンス:デバイス管理ライセンス

      ライセンス消費:デバイス管理ライセンスはポリシーサービスノード(PSN)ごとに消費されます。TACACS+ サービスを使用するポリシーサービスノードごとに、デバイス管理ライセンスが必要です。TACACS+ によるデバイス管理では、エンドポイントのライセンスは消費されません。また、デバイス管理の対象にするネットワークデバイスに制限はありません。ユーザは Essentials ライセンスを必要としません。

      SKU についてはこちらを参照してください。

2. Cisco ISE の導入に必要なもの

この項では、新たに ISE を導入する際に必要な主要コンポーネントについて説明します。Cisco ISE のライセンス、アプライアンス、およびサービスを理解するためにも、ぜひお読みください。

Cisco ISE Deployment

図 14.                  

Cisco ISE の導入

2.1 ライセンス

2.1.1 ライセンスモデルについて

サブスクリプションの概要

Cisco ISE のライセンスは、サブスクリプション型のライセンス契約となります。サブスクリプションの標準契約期間は、1 年、3 年、および 5 年です。期間が満了したサブスクリプションは、更新を取り消さない限り自動的に更新され、1 年間延長されます。

既存のサブスクリプションをサブスクリプション期間中に変更できます。変更は、発注した製品や数量に加えることができます。サブスクリプション期間中はいつでも、「サブスクリプションの変更」を発注することで、サブスクリプション数を追加できます。「サブスクリプションの変更」を発注して追加した数量の契約は、既存のサブスクリプションと同時に終了します。サブスクリプションの更新時に数量を減らすことはできますが、現在のサブスクリプションの期間中に減らすことはできません。サブスクリプション変更トランザクションの詳細については、こちらをクリックしてください。

Cisco ISE ライセンス

Cisco ISE ライセンスにより、Cisco ISE ネットワークリソースを使用できる同時エンドポイント数など、アプリケーションの機能やアクセスを管理できます。Cisco ISE のライセンスは機能ベースのパッケージとして提供され、EssentialsAdvantagePremier の各ライセンスで異なる機能がサポートされます。このライセンス構造はネストモデルと呼ばれます。つまり、上位のライセンスには下位の機能がすべて含まれています。たとえば、ISE Premium ライセンスには、ISE Advantage および ISE Essential の機能がすべて含まれます。同様に、ISE Advantage ライセンスには ISE Essential の機能がすべて含まれます。各階層のサブスクリプション期間は 1 年、3 年、および 5 年です。

Licensing Model Changes

図 15.                  

ライセンスモデルの変更

セッションバンド

セッションベースのライセンスは、レベル別の価格体系に基づきます。価格はサブスクリプションのセッション数と期間によって異なります。営業担当者とパートナーは、お客様それぞれの導入環境に最適な規模を判断し、適切なセッション数を選択できるようにします(最小セッション数:100)。入力されたセッション数に対応する適切な価格が、Cisco CommerceCCW)によって動的に決定されます。

セッションバンド

100 999 セッション

1000 2499 セッション

2500 4999 セッション

5000 9999 セッション

10,000 24,999 セッション

25,000 49,999 セッション

50,000 99,999 セッション

100,000 セッション以上

2.1.2 ライセンスごとの機能一覧

提供される Cisco ISE ライセンスのリストを以下に示します。上位の各ライセンスパッケージには、下位の Cisco ISE ライセンス階層パッケージの機能が含まれています。例:Advantage には Advantage Essentials の機能が含まれ、Premier には PremierAdvantage、および Essentials の機能が含まれます。デバイス管理ライセンスと IPsec ライセンスには、それぞれのライセンスの機能のみが含まれています。

表 1.        Cisco ISE の機能とライセンスの対応表

 

Cisco ISE の機能またはサービス

ライセンス

Essentials

Advantage

Premier

DA

ネット
ワークへのアクセス

基本 RADIUS 認証、許可、アカウンティング(802.1XMAC 認証バイパス、Easy ConnectWeb 認証を含む)

X

MACsec(すべて)

X

SSOSAMLODBC ベースの認証

X

ゲストポータルおよびスポンサーサービス

X

Representational State Transfer(モニタリング)API

X

外部 RESTful サービス(CRUD)対応 API

X

PassiveID(シスコのサブスクライバ)

X

PassiveID(シスコ以外のサブスクライバ)

X

X

有線およびワイヤレスのセキュアアクセス

X

組み込み認証局(CA)を使用したデバイス登録(My Devices ポータル)および Bring Your Own DeviceBYOD; 個人所有デバイス持ち込み)のプロビジョニング

X

X

セグメンテーション

セキュリティグループタグの割り当て(Cisco TrustSec® SGT)および ACI の統合

X

X

アセットの可視性

基本的なアセットの可視性と適用(プロファイリング)

X

X

基本的なアセットのフィードサービス

X

X

高度なアセットの可視性(エンドポイント分析)

X

X

高度なアセットの適用(エンドポイント分析)

X

X

ロケーションベースの統合に基づく可視性と適用

X

X

コンテキストの共有と応答

コンテキスト共有とセキュリティエコシステムの統合

X

X

エンドポイント保護サービス(EPS

X

X

X

Rapid Threat ContainmentRTC
(適応型ネットワーク制御とコンテキスト
共有を使用)

X

X

コンプライアンス

ポスチャの可視性と適用(*

X

X

X

エンタープライズモビリティ管理および
モバイルデバイス管理(EMM MDM)の
連携による可視性と適用

X

X

X

脅威中心型 NAC

X

X

X

デバイス管理

デバイス管理(TACACS+

X

X

X

* )有線、ワイヤレス、VPN の全体のポスチャに Cisco AnyConnect を使用する導入では、Cisco ISE Premier ライセンスに加えて Cisco AnyConnect Apex ライセンスを発注する必要があります。AnyConnect ライセンスの詳細については、『 Cisco AnyConnect Ordering GuideCisco AnyConnect 発注ガイド) 』を参照してください。

2.1.3 ライセンスを消費する機能と例外

lSE ライセンスの種類に関係なく、次の表に示す例外を除くほぼすべての機能は、ライセンスセッションを消費します。

表 2.        ライセンスセッションを消費しない ISE の機能

Cisco ISE の機能またはサービス

説明

消費される
ライセンス数

PassiveID(シスコ専用サブスクライバ)

データセンター内の他のサーバからの認証データ(ユーザ名、IP アドレス、MAC)の収集、照合、キャッシング、および登録システムへの認証データの配布

×

PassiveID(シスコ以外のサブスクライバ)

データセンター内の他のサーバからの認証データ(ユーザ名、IP アドレス、MAC)の収集、照合、キャッシング、および登録システムへの認証データの配布

×

プロファイラ フィード サービス

エンドポイント分類ルールの動的ダウンロード

×

My Devices ポータル*および NSP

自動ネットワーク サプリカント プロビジョニング(NSP)によってユーザがエンドポイントを追加および管理するセルフサービス Web ポータル

×

コンテキストの共有

pxGrid を介した Cisco ISE とサードパーティシステム間のユーザとエンドポイントのコンテキスト属性(誰が、いつ、どこで、何をなど)のデータ交換

×

エンドポイント保護サービス(EPS

アクティブなネットワークセッションの動的なネットワーク制御を行う API

×

Cisco TrustSec ACI の統合

Cisco TrustSec Application Centric InfrastructureACI)の管理ドメインを相互接続するソリューションを提供し、一貫性のあるエンドツーエンドのポリシーセグメンテーションを実現

×

Cisco ISE ライセンス SKU に移動

注:    セッションを直接消費しない機能についても、少なくとも導入環境内のエンドポイント数と同じ数のライセンスを持つ必要があります。

2.1.4 コンテキスト交換ライセンスの要件

表 3.        コンテキスト交換のライセンス要件

認証メカニズム

コンテキスト共有先

ライセンス要件

Cisco ISE

シスコのプラットフォーム

Advantage 1 : 1 のエンドポイント数

Cisco ISE

サードパーティのプラットフォーム

Advantage 1 : 1 のエンドポイント数

ISE 認証(ADなど)

シスコのプラットフォーム

Essentials

ISE 認証(ADなど)

サードパーティのプラットフォーム

Advantage 1 : 1 のエンドポイント数

注:    外部システムと共有される各アクティブエンドポイントのコンテキストは、Advantage ライセンスを消費します。外部システムと共有されるアクティブな各エンドポイントセッションの情報には、 1 : 1 Advantage ライセンスが必要です。たとえば、Windows ラップトップが 802.1X 経由で認証される場合、1 つの Essentials ライセンスが消費されます。このエンドポイントのコンテキストが Cisco Stealthwatch または NGFW と共有される場合、1 つの Advantage ライセンスが追加で消費されます。

2.1.5 デバイス管理ライセンスと対応する機能

ネットワークデバイスへの管理アクセスを制御します。

Cisco ISE デバイス管理 SKU に移動

2.1.6 IPSec ライセンスと対応する機能

Cisco ISE PSN Cisco Network Access デバイス間の VPN 通信を許可します。

Cisco ISE IPSec SKU に移動

2.1.7 製品とソリューションのバンドル製品

ISE ライセンスは、シスコの多くの製品およびソリューションバンドル製品の一部としても利用できます。

      Enterprise Agreement

      エンタープライズライセンス契約

2.2アプライアンス

Cisco ISE は物理アプライアンスと仮想アプライアンスの両方をサポートします。Cisco ISE アプライアンスの詳細については、こちらを参照してください。

2.2.1 ハードウェア

シスコが提供し、お客様の導入環境に存在する物理アプライアンスです。

Cisco ISE アプライアンスは常に最新バージョンのソフトウェアを搭載して出荷されますが、ソフトウェアのバージョンは手動で変更できます。この場合、新規インストールを行うことになります。インストールする Cisco ISE リリースのリリースノートと管理者ガイドを参照してください。

2.2.2 仮想マシン

Cisco ISE 仮想アプライアンスは、VMware ESX/ESXi 5.x 6.x のほか、Red Hat Enterprise LinuxRHEL7 KVM と、Amazon Web ServicesAWS)に対応しています。仮想アプライアンスは、Cisco ISE データシートに記載されている物理プラットフォームと同等以上の構成のハードウェアで実行する必要があります。Cisco ISE 仮想ターゲットは、必要なメモリおよびディスク容量の要件を満たしている必要があります。この要件については、『Cisco Identity Services Engine インストールガイド』を参照してください。AWS で稼働させる Cisco ISE の詳細については、『Install Cisco ISE with Amazon Web Services』を参照してください。

2.3 サービス

2.3.1 テクニカルサービス

アプライアンスおよび永続的ライセンスのサポート

お客様は、Cisco ISE 物理アプライアンス向け Smart Net Total Care® と、Cisco ISE 仮想マシンまたは ISE-PIC 仮想マシン向けソフトウェアサポート(SWSS)契約を、サポートを Solution Support にアップグレードするオプションとともに購入できます。Cisco ISE 物理アプライアンスまたは仮想アプライアンスのサポートは、Base Device Admin の導入でも利用可能です。

Cisco Software Support BasicSWSS)は、Cisco ISE サブスクリプションのすべてのライセンス期間で利用できますが、物理または仮想アプライアンスで SWSS を有効にするには、Smart Net Total Care、または別のレベルのサービスを購入する必要があります。

サブスクリプション ライセンスのサポート

高価値サービスレベルの Solution Support Software SupportEnhanced および Premium)を、Cisco ISE サブスクリプションのすべてのライセンスで利用できます。Solution Support は、ISE Plus Apex のライセンスでは利用できません。

Software Support Enhanced Premium では、Software Support Basic のすべてのサービスに加え、優先順位付けしたケース処理、ソリューションレベルの専門知識と高度なスキルを持つエンジニアへの直接の問い合わせ、オンボーディングと技術導入支援といったさまざまなサポートを利用できます。Cisco ISE 向け Software Support の詳細については、『Cisco Software Support For Security Data Sheet』を参照してください。ISE サブスクリプション ライセンスでは、Software Support Enhanced が推奨のサポートレベルであることにご注意ください。

ISE 3.0 以降のソフトウェアサポートを発注する場合、製品構成でサポートオプションを利用できます。まず、Cisco Commerce WorkspaceCCWで製品を構成し、[ISEサポート(ISE Support] セクションを編集します。

Software Support selection for ISE 3.0 and later on CCW

図 16.                  

CCW で、ISE 3.0 以降のサブスクリプション ライセンスに Software Support を選択する

ISE 3.0 より前の ISE サブスクリプション ライセンス向けに、CCW Software Support を発注するには、次の PID を使用します:CISE-SW-SUPP。同時セッション数に基づいて、対象の ISE ライセンスに Software Support Enhanced または Premium を選択します。次の図を参照してください。

Software Support selection for subscription licenses prior to ISE 3.0 on CCW

図 17.                  

CCW で、ISE 3.0 より前のサブスクリプション ライセンスに Software Support を選択する

2.3.2 アドバイザリサービス

シスコはアドバイザリサービスを提供し、お客様がシスコのテクノロジーを活かしてビジネス目標を達成するお手伝いをします。たとえば、Cisco Security Segmentation Service ではインフラストラクチャの戦略的なセグメンテーションの方法を提案し、セグメンテーションへの取り組みを成功へと導きます。

2.3.3 サービスと製品が連携する仕組み

基盤となる製品は永続的なものですが、関連するサポートは期間ベースで提供されるため、サポート期間が終了したお客様は、サポートを個別に更新する必要があります。Software Support Basic は、期間ライセンスの期間中ご利用いただけます。

仮想マシンのバージョンをアップグレードしたり、ライセンスを移行したりしても、関連するサポートは自動的には移行されません。ただし、お客様は、最初に購入したサポート契約に基づいて、その後もサポートを受けることができます。最初に購入した製品の販売が終了(EOL)し、EOL アナウンスに従ってサービス更新の最終日に達するまで、サポートの更新を継続できます。EOL の場合に継続してサポートを受けるには、シスコカスタマーサービスでケースをオープンし、販売が終了した製品 PID を希望の製品 PID に置き換える申請を行う必要があります。これにより、サポートを更新しその後もご利用いただけます。

3. ISE 3.1 の最新情報

この項では、ISE をすでにお使いのお客様のお役に立てるように、ISE 向けの最新 SKU リリース情報、ISE SKU サポート終了のお知らせ、およびレガシー SKU と最新 SKU の比較情報を記載します。

3.1 サポート終了通知

ISE の各種ライセンスとアプライアンスのサポート終了に関するすべてのお知らせは、こちらをご覧ください。

3.2 仮想マシンライセンスの簡素化

表 4.        仮想マシンライセンスのユースケース

リリース時のライセンス

リリース 2.4 より前

リリース 2.42.62.73.0

リリース 3.1 以降

VM ライセンス

新しい形式
VM 共通:R-ISE-VMC-K9=

適用せずにライセンスを取得

スマートライセンスの適用によりライセンスを取得

従来形式
VM LargeR-ISE-VML-K9=
VM MediumR-ISE-VMM-K9=
VM SmallR-ISE-VMS-K9=

適用せずにライセンスを取得

PAK とスマートライセンスの適用によりライセンスを取得

共通ライセンスへの移行が必要

古い形式
R-ISE-10VM-K9=
R-ISE-5VM-K9=
R-ISE-VM-K9=

適用せずにライセンスを取得

従来または共通の形式へのライセンス移行が必要(*

共通ライセンスへの移行が必要(*

*古い形式の VM ライセンスを VM 共通ライセンスに直接アップグレードすることはできません。最初に VM Medium ライセンスにアップグレードする必要があります。

3.2.1 ISE 3.1 の仮想マシン共通ライセンスとライセンス移行

ISE 3.1 以降の VM 共通ライセンスを登録する必要があります。3.1 リリース以降では、クラウドから Cisco ISE を利用できるため、Cisco ISE の大規模な導入を迅速かつ容易に行い、変化するビジネスニーズに対応できるようになりました。Cisco ISE をコードベースのインフラストラクチャ ソリューションとして利用すると、ネットワークアクセスと制御サービスをどこにでも迅速に展開できます。たとえば、ホームネットワークの Cisco ISE ポリシーを、AWS を介して、リモートの新しい導入環境に安全に拡張できます。AWS には 3 種類の Cisco ISE インスタンスがあり、それらに、ポリシー管理ノード(PAN)またはモニタリングとトラブルシューティング(MnT)ノードを設定できます。次の一覧を参照してください。

表 5.        Cisco ISE インスタンスの仕様

Cisco ISE
インスタンスのタイプ

CPU コア

RAM

推奨されるペルソナ

エンドポイントの最大セッション数

専用 PSN

共有 PSN

MnT

c5.4xlarge

16

32

専用 PSN

40,000

10,000

該当なし

c5.9xlarge

36

72

専用 PSN

100,000

25,000

該当なし

m5.4xlarge

16

64

専用 PAN または専用 MnT ノード

N/A

N/A

500,000

お客様はニーズに合わせて Cisco ISE インスタンスタイプを選択できます。そのため、お客様の便宜を図って、仮想マシンライセンスに複数の階層を設けず、1 階層のライセンス(共通ライセンス)で、仮想マシンのあらゆるユースケースに対応できるようにしました。仮想マシンの共通ライセンスを購入するには、CCW で、PID、「R-ISE-VMC-K9=」を選択してください。

このライセンス階層では、VM 共通ライセンスが最上位に位置します。そのため、Cisco ISE 3.0 以降の VM 共通ライセンスは、VM Large ライセンスと同様にご利用いただけます。ただし、Cisco ISE 3.1 イメージには VM 共通ライセンスが必要であるため、従来形式の VM ライセンスをお持ちのお客様は、Cisco ISE 3.1 にアップグレードする際に、VM 共通ライセンスに移行する必要があります。

従来形式の VM ライセンスを VM 共通ライセンスに移行するには、CCW で、0 ドルのアップグレード PID、「L-ISE-VMC-UPG=」を取得する必要があります。詳細な手順については、『ISE Licensing Migration Guide』を参照してください。移行では、キャパシティに関係なく、1 つの従来形式 VM ライセンスと引き換えに 1 つの VM 共通ライセンスを取得できます。

表 6.        従来形式の VM から VM 共通への移行率

アップグレード元

アップグレード先

比率

R-ISE-VML-K9=

R-ISE-VMC-K9=

1 1

R-ISE-VMM-K9=

R-ISE-VMC-K9=

1 1

R-ISE-VMS-K9=

R-ISE-VMC-K9=

1 1

注:    2.4 より前のリリースで、古い形式の VM ライセンス(R-ISE-10VM-K9=)を使用している場合は、VM 共通ライセンスに直接移行できないため、最初に VM Medium ライセンスに移行する必要があります。古い形式の VM ライセンスを VM Medium ライセンスに移行する方法については、第 3.2.2 項を参照してください。

3.2.2 ISE 3.0 以前の仮想マシンライセンス

ISE 2.42.52.62.73.0 では、VM 共通ライセンスだけでなく、従来形式の VM SmallMediumLarge ライセンスも引き続き使用できます。ただし、従来形式の VM ライセンスを ISE 3.0 のスマートライセンスに変換する必要があります。

古い形式の VM ライセンスをご購入のお客様は、ISE 2.42.62.7 にアップグレードする際に、購入済みの各 VM ライセンスの製品認証キー(PAK)を取得する必要があります。PAK の取得をご希望の場合は、ise-vm-license@cisco.com まで電子メールでお知らせください。ISE VM を購入されたことを示す SO 番号とシスコ ID を電子メールに記載してください。折り返し、Medium VM PAK を提供します。この PAK ISE 2.4 SmallMediumLarge VM ライセンスを導入する前に提供されるもので、VM の仕様が反映されています。Medium VM PAK は、Small VM Medium VM のインストールで使用できます。

PAK を取得する前に ISE 2.4 にアップグレードした場合は、導入時に警告が表示されますが、この時点から購入した新しいライセンスの使用を開始できます。これは ISE 2.4 上の警告メッセージにすぎないため、ISE のユーザエクスペリエンスに支障をきたすことはありません。過去に購入した ISE VM SO 番号が見当たらない場合は、シスコの営業担当者またはパートナーにお問い合わせください。

3.3 特定のライセンス予約(SLR

Cisco ISE スマートライセンスでは、Cisco ISE CSSM に接続する必要があります。ISE 3.0 以降では、スマートライセンスのみがサポートされているため、エアギャップが行われたネットワークでの ISE 3.x の導入では、ライセンスの使用状況が CSSM に報告されません。そうした報告がないと、Cisco ISE への管理アクセスと Cisco ISE 機能の制限を行えなくなります。

特定のライセンス予約(SLR)は、組織のセキュリティ要件で Cisco ISE CSSM 間の永続的な接続が許可されていない場合にスマートライセンスを管理するためのスマートライセンス方式です。SLR では、Cisco ISE PAN で特定のライセンス権限を予約できます。予約する必要があるライセンスのタイプと数を定義して SLR を作成し、Cisco ISE ノードで予約をアクティブ化します。登録して予約を有効にした Cisco ISE ノードは、ライセンスの使用を追跡し、ライセンス消費のコンプライアンスを適用します。SLR は、それが生成された Cisco ISE ノードでのみ有効にできます。

分散展開では、プライマリおよびセカンダリ PAN SLR を有効にすることをお勧めします。プライマリ PAN がフェールオーバーした場合、プライマリ PAN に昇格したセカンダリ PAN SLR が有効になっていないと、Cisco ISE がコンプライアンス違反となり、Cisco ISE サービスが中断されます。プライマリ PAN とセカンダリ PAN 間で 8020 の比率でライセンス数を割り振ることをお勧めします。たとえば、展開用に 100 ライセンスを予約する場合、80 ライセンスをプライマリ PAN に、20 ライセンスをセカンダリ PAN に登録します。

SLR に含まれていないライセンス権限を使用することはできません。ライセンス使用状況が SLR に準拠していない場合、コンプライアンス違反アラートが Cisco ISE 管理ポータルに表示されます。ユースケースを次に示します。

表 7.        SLR の例

CSSM のバーチャル
アカウントで使用可能な
ライセンス(*1

CSSM SLR を適用する際に選択するライセンス

ISE の導入で予約済みの
ライセンス

CSSM のバーチャル
アカウントに残っている
ライセンス(*1

ルール 1. バーチャルアカウントで所有している数のライセンスを予約できます。

100 Essentials

50 Essentials

50 Essentials

50 Essentials

100 Essentials

100 Essentials

100 Essentials

該当なし

100 Essentials

150 Essentials

100 Essentials*2

該当なし

ルール 2. 権限のある適切なタイプのライセンスを予約する必要があります。

100 Essentials

100 Advantage

該当なし(*3

100 Essentials

100 Essentials

100 Premier

150 Essentials

100 Advantage

100 Essentials*3

100 Premier

ルール 3. ノードあたり 1 つの ISE-PIC ライセンス(*4)を予約する必要があります。

ISE-PIC ライセンス X 5

ISE-PIC ライセンス X 1

ISE-PIC ライセンス X 1

ISE-PIC ライセンス X 4

ISE-PIC ライセンス X 5

ISE-PIC ライセンス X 2

ISE-PIC ライセンス X 1*5

ISE-PIC ライセンス X 3*5

ルール 4. ISE-PIC-UPG ライセンス(*6)を予約する場合は、1 つの ISE-PIC ライセンスを一緒に予約する必要があります。

ISE-PIC ライセンス X 5

ISE-PIC-UPG ライセンス X 3

ISE-PIC ライセンス X 1

ISE-PIC-UPG ライセンス X 1

ISE-PIC ライセンス X 1

ISE-PIC-UPG ライセンス X 1

ISE-PIC ライセンス X 4

ISE-PIC-UPG ライセンス X 2

ISE-PIC ライセンス X 5

ISE-PIC-UPG ライセンス X 3

ISE-PIC ライセンス X 1

ISE-PIC ライセンス X 1*7

ISE-PIC ライセンス X 4

ISE-PIC-UPG ライセンス X 3

ルール 5. EssentialsAdvantagePremier ライセンスを ISE-PIC ノードに対して予約することはできません(その逆も同様)(*8)。

ISE-PIC ライセンス X 5

100 Essentials

100 Premier

ISE-PIC ライセンス X 1
ISE-PIC ノードに対して)

ISE-PIC ライセンス X 1

100 Essentials

100 Premier

ISE-PIC ライセンス X 5

100 Essentials

100 Premier

100 Essentials

100 Advantage
ISE ノードに対して)

100 Essentials*3

ISE-PIC ライセンス X 5

100 Premier

ISE-PIC ライセンス X 5

100 Essentials

100 Premier

ISE-PIC ライセンス X 1

100 Essentials
ISE-PIC ノードに対して)

ISE-PIC ライセンス X 1*9

ISE-PIC ライセンス X 4

100 Premier*9

ISE-PIC ライセンス X 5

100 Essentials

100 Premier

ISE-PIC ライセンス X 1

100 Premier
ISE ノードに対して)

100 Premier*10

ISE-PIC ライセンス X 4

100 Essentials*10

*1 )以前に予約され、返却されていないライセンスは含まれません。
*2 )所有するライセンスの数だけ予約できます。
*3 Advantage ライセンスを所有していないため、予約されません。
*4 ISE-PIC は、Passive Identity Connector PIC )機能のみを持つ ISE であり、これにより、ISE の導入に対して、3,000 ISE-PIC セッションが予約されます。
*5 )予約できる ISE-PIC ライセンスはノードごとに 1 つのみです。ただし、使用可能なライセンスの数は 2 つ減少します。
*6 ISE-PIC-UPG ライセンスに ISE-PIC ライセンスを追加すると、300,000 ISE-PIC セッションに対応可能です。お客様は 300,000 セッションすべてを予約する必要があります。
*7 ISE-PIC ライセンスのみを予約できます。これにより、ISE の導入環境に対して、3,000 ISE-PIC セッションが予約されます。
*8 )これは、お客様が ISE-PIC ISE 両方の導入を行うまれなケースです。
*9 Essentials ライセンスを ISE-PIC ノードに対して予約することはできません。ただし、CSSM では、100 Essentials が予約済みと認識されるため、使用可能なライセンスから 100 Essentials が削除されます。
*10 ISE-PIC ライセンスを ISE ノードに対して予約することはできません。ただし、CSSM では、1 つの ISE-PIC が予約済みと認識されるため、使用可能なライセンスから 1 つの ISE-PIC が削除されます。

SLR 有効化の詳細なプロセスについては、『Cisco Identity Services Engine Administrator Guide, Release 3.1』を参照してください。

3.4 ライセンスと機能のマッピングの更新

3.4.1 Advantage ライセンス

Premier ライセンスで提供されていた次のような機能が Advantage ライセンスでも利用できるようになり、ライセンス構造がシンプルかつ直感的になりました。

      AI エンドポイント分析の適用

      Rapid Threat ContainmentRTC

      ユーザ定義ネットワーク(UDN

Cisco ISE 3.0 には次回のパッチでこの変更が適用されるため、Cisco ISE 3.0 Cisco ISE 3.1 には機能上の差異が生じます。

3.5 その他のライセンス

3.5.1 ISE アプライアンス

対応の必要はありません。有効なサポート期間中の ISE アプライアンスについては、最新のソフトウェアにアップグレードできます。そのアプライアンスに追加でライセンスを取得する必要はありません。

3.5.2 BasePlusApex

これらのライセンスは、ISE 3.0 リリース以降では新しい ISE EssentialsAdvantage、および Premier ライセンスに移行されます。

ISE リリース 3.0 にアップグレードした場合のライセンスの完全な動作については、第 4 項を参照してください。

3.5.3 デバイス管理

対応の必要はありません。レガシーデバイスの管理ライセンスはアップグレードの対象外ですISE 3.0 リリースにアップグレードする際は、デバイス管理ライセンスをスマートライセンスに変換する必要があります。

デバイス管理ライセンスでは、ISE の導入環境全体に TACACS+ 機能を使用する資格が与えられます。つまり、50 のすべての ISE ポリシーサービスノード(PSN)で TACACS+ の機能を有効にできます。ISE リリース 2.4 にアップグレードした場合にも、同じレガシーデバイスの管理ライセンスで、引き続き合計 50 PSN を備えた環境で、TACACS+ 機能を有効にできます。

表 8.        デバイス管理ライセンスのユースケース

リリース時のライセンス

リリース 2.4 より前

リリース 2.42.62.73.0

リリース 3.1 以降

デバイス管理ライセンス

新規

識別され、カウントせずに消費される(導入環境内の ISE TACACS+ のアプリケーション数は無制限)

識別され、1 つの ISE TACACS+ ポリシーサービスノード(PSN)の使用が可能

レガシー

識別され、最大 50 ISE TACACS+ ポリシーサービスノード(PSN)の使用が可能

4. 他のレガシーライセンスから現在のライセンスへの移行

3.0 リリース以降では、スマートライセンスが必要です。また、ISE ライセンスをアップグレードまたは移行する前に、スマートアカウントを作成して設定する必要があります。シスコ スマート ソフトウェア ライセンスを使用すると、デバイスが自己登録してライセンス消費を報告し、製品アクティベーション キー(PAK)が不要になるため、ライセンスの購入、導入、管理を簡単に行えるようになります。このライセンスでは、Cisco Smart Software ManagerCSSM)を使用して必要な認証が取得されます。

過去に購入したレガシーライセンス(BasePlusApex)を現在のライセンスに移行する方法については、こちらを参照してください。

ライセンスのサポート終了に関するすべてのお知らせは、こちらをご覧ください。

ライセンスや移行に関する問題が発生した場合は、Cisco Support Case ManagerSCM)を使用してケースをオープンすることができます。http://cs.co/scmswl SCM でライセンスのオプションを選択して Cisco SO 番号を入力すると、ISE の購入内容が反映されます。

4.1 ISE Base ライセンス

このライセンスは、ISE 3.0 より前のリリースでのみ有効です。認証、許可、アカウンティング、ゲスト、PassiveID、セキュリティグループタグの機能が含まれていました。Cisco ISE Base ライセンスでは、現在の Essentials と同様の機能セットが提供されていました。

表 9.        Cisco ISE Base ライセンス

型番(SKU

説明

L-ISE-BSE-P1

Cisco ISE Base ライセンス:セッション 100 249

L-ISE-BSE-P2

Cisco ISE Base ライセンス:セッション 250 499

L-ISE-BSE-P3

Cisco ISE Base ライセンス:セッション 500 999

L-ISE-BSE-P4

Cisco ISE Base ライセンス:セッション 1000 2499

L-ISE-BSE-P5

Cisco ISE Base ライセンス:セッション 2500 4999

L-ISE-BSE-P6

Cisco ISE Base ライセンス:セッション 5000 9999

L-ISE-BSE-P7

Cisco ISE Base ライセンス:セッション 10,000 24,999

L-ISE-BSE-P8

Cisco ISE Base ライセンス:セッション 25,000 49,999

L-ISE-BSE-P9

Cisco ISE Base ライセンス:セッション 50,000 99,999

L-ISE-BSE-P10

Cisco ISE Base ライセンス:セッション 100,000 249,999

L-ISE-BSE-P11

Cisco ISE Base ライセンス:セッション 250,000 以上

4.2 ISE Plus ライセンス

このライセンスは、ISE 3.0 より前のリリースでのみ有効です。プロファイリング、コンテキスト共有、BYODMyDevices ポータルを含む)、および Rapid Threat Containment の機能が含まれていました。

表 10.         Cisco ISE Plus サブスクリプション ライセンス

説明

5 年間のサブスクリプション ライセンス

3 年間のサブスクリプション ライセンス

1 年間のサブスクリプション ライセンス

100 249 セッション

L-ISE-PLS-5Y-S1

L-ISE-PLS-3Y-S1

L-ISE-PLS-1Y-S1

250 499 セッション

L-ISE-PLS-5Y-S2

L-ISE-PLS-3Y-S2

L-ISE-PLS-1Y-S2

500 999 セッション

L-ISE-PLS-5Y-S3

L-ISE-PLS-3Y-S3

L-ISE-PLS-1Y-S3

1000 2499 セッション

L-ISE-PLS-5Y-S4

L-ISE-PLS-3Y-S4

L-ISE-PLS-1Y-S4

2500 4999 セッション

L-ISE-PLS-5Y-S5

L-ISE-PLS-3Y-S5

L-ISE-PLS-1Y-S5

5000 9999 セッション

L-ISE-PLS-5Y-S6

L-ISE-PLS-3Y-S6

L-ISE-PLS-1Y-S6

10,000 24,999 セッション

L-ISE-PLS-5Y-S7

L-ISE-PLS-3Y-S7

L-ISE-PLS-1Y-S7

25,000 49,999 セッション

L-ISE-PLS-5Y-S8

L-ISE-PLS-3Y-S8

L-ISE-PLS-1Y-S8

50,000 99,999 セッション

L-ISE-PLS-5Y-S9

L-ISE-PLS-3Y-S9

L-ISE-PLS-1Y-S9

100,000 249,999 セッション

L-ISE-PLS-5Y-S10

L-ISE-PLS-3Y-S10

L-ISE-PLS-1Y-S10

250,000 セッション以上

L-ISE-PLS-5Y-S11

L-ISE-PLS-3Y-S11

L-ISE-PLS-1Y-S11

4.3 ISE Apex ライセンス

このライセンスは、ISE 3.0 より前のリリースでのみ有効です。ポスチャ、エンタープライズ モビリティ デバイス管理との統合、および TC-NAC の機能が含まれていました。

表 11.         Cisco ISE Apex サブスクリプション ライセンス

説明

5 年間のサブスクリプション ライセンス

3 年間のサブスクリプション ライセンス

1 年間のサブスクリプション ライセンス

100 249 セッション

L-ISE-APX-5Y-S1

L-ISE-APX-3Y-S1

L-ISE-APX-1Y-S1

250 499 セッション

L-ISE-APX-5Y-S2

L-ISE-APX-3Y-S2

L-ISE-APX-1Y-S2

500 999 セッション

L-ISE-APX-5Y-S3

L-ISE-APX-3Y-S3

L-ISE-APX-1Y-S3

1000 2499 セッション

L-ISE-APX-5Y-S4

L-ISE-APX-3Y-S4

L-ISE-APX-1Y-S4

2500 4999 セッション

L-ISE-APX-5Y-S5

L-ISE-APX-3Y-S5

L-ISE-APX-1Y-S5

5000 9999 セッション

L-ISE-APX-5Y-S6

L-ISE-APX-3Y-S6

L-ISE-APX-1Y-S6

10,000 24,999 セッション

L-ISE-APX-5Y-S7

L-ISE-APX-3Y-S7

L-ISE-APX-1Y-S7

25,000 49,999 セッション

L-ISE-APX-5Y-S8

L-ISE-APX-3Y-S8

L-ISE-APX-1Y-S8

50,000 99,999 セッション

L-ISE-APX-5Y-S9

L-ISE-APX-3Y-S9

L-ISE-APX-1Y-S9

100,000 249,999 セッション

L-ISE-APX-5Y-S10

L-ISE-APX-3Y-S10

L-ISE-APX-1Y-S10

250,000 セッション以上

L-ISE-APX-5Y-S11

L-ISE-APX-3Y-S11

L-ISE-APX-1Y-S11

5. Cisco ISE の発注(SKU)および権限付与情報

5.1 Cisco ISE ライセンスの発注

      Cisco ISE のすべてのライセンスはグローバル価格表(GPL)に記載されており、Cisco Commerce WorkspaceCCW)から発注できます。

      Cisco ISE エンドポイントのセッションベースのライセンスは、100 セッションから任意の数量で発注できます。

      サブスクリプション ライセンスの場合は、次の点に注意してください。

    サブスクリプション ライセンスは、1 年、3 年(デフォルト)、または 5 年の期間で発注できます。

    ISE の期間ベースのライセンスを購入して使用するには、環境内のすべての Cisco ISE アプライアンス(物理または仮想)のサポート契約が必要になります。

    デフォルトでは、ライセンス使用はすぐに開始されます。発注時に、この開始日を現在の日付から最大 60 日先まで調整できます。この計算は CCW によって自動的に行われます。ライセンスの期間は、終了日から逆算することも、開始日から加算することもできます。

    期間は 1 60 ヵ月で、ライセンスの期間を統一することができます。

5.1.1 Cisco ISE ソフトウェア利用資格

お客様は、購入時に合意した契約条件に従って、ライセンスの数量と期間を使用できます。

関連する ISE リリース:2.2 以降

コンプライアンス違反:次の場合に、ライセンスはコンプライアンス違反となります。

a 導入環境下で、購入した数量と比較して 100%*)を超えるセッションを使用した場合、または

b ライセンスが更新されずに期限切れになった場合。

*  クラシック(PAK)ライセンスを使用している場合、一時的な使用量の急増に対応するために購入した数量と比較して、125% を超えるセッションが導入環境で使用されると、ライセンスが、コンプライアンス違反になります。

コンプライアンスの適用:連続する 60 日のうち 45 日間にわたって導入環境がコンプライアンス違反になった場合、次の措置を講じます。

ライセンスがコンプライアンスに違反していることを示すアラートが毎日表示されます。期限付きライセンスの場合は、有効期限の 90 日前、60 日前、および 30 日前と、有効期限前の連続 30 日間にわたってアラートが表示されます。

影響:エンドユーザへの影響はありません。既存の構成は中断することなく動作し続けます。

ただし、コンプライアンス違反のライセンスに関連付けられている機能の可視性と管理に影響が及びます。

つまり、コンプライアンス違反が修正されるまで、ISE の導入管理者が使用できるのは、関連する機能を通した読み取り専用の機能に限定されます。

これらの措置は今後変更される可能性があります。変更につきましては、関連するリリース資料でお伝えします。

5.1.2 Cisco ISE SKU の概要

Cisco ISE ライセンス サブスクリプションの発注では、次の 3 つの タイプの SKU を使用します。

      サブスクリプション SKU:サブスクリプションの期間と開始日の定義に使用されます。

      製品 SKU:サブスクリプションを構成する製品と数量の定義に使用されます。

      サポート SKU:サブスクリプションのサポートレベルを定義します。

発注時には、まず Umbrella のサブスクリプション SKU を選択し、次にサブスクリプションを構成する製品 SKU とサポート SKU を選択してサブスクリプションを設定します。

SKU タイプ

SKU

説明

サブスクリプション

ISE-SEC-SUB

Cisco Identity Service Engine のサブスクリプション

製品 SKUISE EssentialsISE AdvantageISE Premium

ISE EssentialsISE Advantage、および ISE Premium には、SKU がそれぞれ 1 つあります。料金は段階別の料金モデルに基づき、サブスクリプションのユーザ数と期間に応じて動的に計算されます。

SKU タイプ

SKU

説明

請求

ISE-E-LIC

Cisco Identity Service Engine Essentials サブスクリプション

ISE-A-LIC

Cisco Identity Service Engine Advantage サブスクリプション

ISE-P-LIC

Cisco Identity Service Engine Premier サブスクリプション

Cisco ISE のサポート

SKU タイプ

SKU

説明

サポート

SVS-ISE-SUP-B

Cisco ISE Basic サポート

SVS-ISE-SUP-S

Cisco ISE Solution Support

SVS-ISE-SUP-E

Cisco ISE Enhanced サポート

SVS-ISE-SUP-P

Cisco ISE Premium サポート

5.1.3 ISE ライセンスの発注

ステップ 1.

サブスクリプション SKU を選択します。Cisco ISE のサブスクリプション SKU 1 つ(ISE-SEC-SUB )です。サブスクリプション SKU に価格はありません。価格は製品 SKU を追加して設定すると決定されます。お客様はそれぞれ 1 つのサブスクリプションのみを所有できるため、数量は 1 を選択します。製品の数量は、サブスクリプションに製品 SKU を追加するときに入力します。

サブスクリプション SKU を選択したら、[オプションの選択(Select Options] を選択してサブスクリプションの期間と開始希望日を編集します。

Subscription SKU selection on CCW

図 18.                  

CCW でのサブスクリプション SKU の選択

サブスクリプションの期間は、デフォルトでは 36 ヵ月になります。

Changing Subscription term on CCW

図 19.                  

CCW でのサブスクリプション期間 の変更

ここで開始希望日も変更できます。

サービス開始日にサービスがプロビジョニングされ、サブスクリプションが開始されます。サービスのプロビジョニングは、すべての発注情報が正しく入力されていれば、72 時間以内に完了します。

ステップ 2. 製品 SKU の選択

サブスクリプションの期間を設定したら、次はサブスクリプションに製品を追加します。製品の期間はサブスクリプションの期間によって決定されます。サブスクリプション構成の概要で該当する製品を選択することから始めます。以下のガイダンスでは、ISE-P-LIC を例として使用します。製品のサブスクリプション構成を選択したら、次にセッション数に基づいて数量を入力します。

Selecting Billing SKUs on CCW

図 20.                  

CCW での課金 SKU の選択

価格は、注文数量と期間に応じて動的に決定されます。階層型の価格体系に基いて計算されます。選択した SKU の月額料金が表示されますが、請求はサブスクリプション期間分の前払いとなります。期間分の金額は [小計(Subtotal] に表示されます。次の図は、100 セッションの ISE-E-LIC 1500 セッションの ISE-P-LIC 3 年間の契約期間で選択した場合の動的な価格設定の例を示しています。

Selecting Billing SKU quantity on CCW to view dynamic pricing

図 21.                  

CCW で課金 SKU 数量を選択して動的な価格設定を表示

ステップ 3. サポート SKU の選択

製品を追加したら、次はサブスクリプションに必要なサポートレベルを定義します。Cisco ISE のサポート SKU 3 つあり、3 つのサポートレベルに対応しています。サブスクリプションのサポートを設定するには、まず、サブスクリプション構成概要で [Cisco ISE サポート(Cisco ISE Support] オプションを選択します。

Cisco Software Support Basic は、Cisco ISE サブスクリプション ライセンスの期間中ご利用いただけます。高価値サービスレベルの Solution Support もしくは Software Support Enhanced または Premium サポートを購入するには、サポートオプションから該当するレベルのサポートを選択します。Solution Support は、ISE Plus Apex のライセンスでは利用できません。高価値サービスレベルの価格は、該当する場合、製品価格に対する比率に基づいて動的に計算され、年間最小要件を満たす必要があります。

Service SKU selection on CCW

図 22.                  

CCW でのサービス SKU の選択

見積と発注の支援

見積と発注についてご不明な点がございましたら、cs-support@cisco.com にお問い合わせください。

5.1.4 Cisco ISE のデバイス管理 SKU

デバイス管理トランザクションで動作するポリシーサービスノードごとに 1 つの ISE デバイス管理ライセンスが必要です。

表 12.         Cisco ISE デバイス管理ライセンス

型番(SKU

説明

L-ISE-TACACS-ND =

Cisco ISE デバイス管理ノードライセンス

5.1.5 Cisco ISE IPSec SKU

NAD への IPsec VPN 通信で使用するポリシーサービスモードごとに、1 つの Cisco ISE IPsec ライセンスが必要です。ポリシーサービスノードごとに最大 150 IPsec トンネルを使用できます。

表 13.         Cisco ISE IPsec ライセンス

型番(SKU

説明

L-ISE-IPSEC

Cisco Identity Services Engine IPsec ライセンス

5.2 評価ソフトウェアおよびライセンス

5.2.1 ダウンロード

software.cisco.com から Identity Services Engine ソフトウェアをダウンロードします。

ISE 2.4 以降の ISO ファイルと OVA ファイルは、どなたでもダウンロードして評価できます。ソフトウェアのダウンロードには、有効な cisco.com ログイン情報が必要です。追加のパッチまたはパッケージをダウンロードするには、既存の ISE サポート契約が必要になる場合があります。

ソフトウェアを入手したら、『Getting Started with ISE』と、ISE コミュニティリソースにあるその他のガイドとビデオを参照してください。デモやラボ用の ISE を希望するシスコの従業員とパートナー様は、『Selling ISE: Demos』を参照してください。

5.2.2 評価

新規 ISE インストール(ISO または OVA のいずれか)の場合、すべての ISE サービスで、最大 100 エンドポイントの 90 日間無料評価ライセンスをご利用いただけます。

      90 日間のトライアルライセンスには、100 エンドポイント用の Premier ライセンスとデバイス管理が含まれています。

      すべての ISE インスタンスでトライアルライセンスを有効にするには、CLI から「setup」を実行します。

      90 日間の評価ライセンスを追加すると、トライアルライセンスを延長できます。後述の「追加の評価ライセンス」を参照してください。

      ライセンスの期限切れを通知するアラームは送信されません。

      有効期限が切れた後に cisco.com のライセンスページにログインすると、リダイレクトされ、ダッシュボードやその他のツールにアクセスできなくなります。

5.2.3 追加の評価ライセンス

評価ライセンスを 90 日を超えて延長、または 100 を超えるエンドポイントに拡大する必要がある場合は、www.cisco.com/go/scm にアクセスし、ご利用中の UDI、ライセンス要求である旨、正当性を示して、ケースをオープンしてください。

注:ISE 管理ノードの Unique Device IdentifierUDI)がない場合、追加のライセンスは発行できません。また、プライマリとセカンダリの ISE PAN を指定しないと、ライセンスの取得に時間がかかります。

5.2.4 Unique Device IdentifierUDI

ライセンスは、ISE のプライマリポリシー管理ノード(PAN)から、または、フェールオーバーした場合はオプションでセカンダリ PAN から、インストール済み ISE Unique Device IdentifierUDI)に対して生成されます。UDI は次の識別子と数字で構成されます。

      製品 IDPID

      バージョン IDVID

      シリアル番号(SN

プライマリおよびセカンダリ PAN ISE UDI は、ISE [管理(Administration] > [システム(System] > [ライセンス(Licensing] の下部ですぐに確認できます。

UDI の詳細

プライマリ PAN 製品識別子(PID

ISE-VM-K9

プライマリ PAN 製品識別子(PID

ISE-VM-K9

プライマリ PAN バージョン識別子(VID

V01

プライマリ PAN バージョン識別子(VID

V01

プライマリ PAN シリアル番号(SN

4DIQC598F2D

プライマリ PAN シリアル番号(SN

4mK86688339

 

または、ISE ポリシー管理ノードの Web インターフェイスの [バージョン情報(About] メニューを使用することもできます。

Identity Services Engine

ISE 管理ノードのコンソールから「show udiCLI コマンドで確認することも可能です。

Related image, diagram or screenshot

5.3 Cisco ISE アプライアンスの SKU

表 14.         Cisco ISE ハードウェア アプライアンス ライセンス

サーバ製品番号

製品説明

説明

SNS-3615-K9

ISE アプリケーション向け小規模 Secure Network Server

ソフトウェアオプションの選択が必要

SNS-3655-K9

ISE アプリケーション向け中規模 Secure Network Server

ソフトウェアオプションの選択が必要

SNS-3695-K9

ISE アプリケーション向け大規模 Secure Network Server

ソフトウェアオプションの選択が必要

表 15.         Cisco Secure Network Server のスペアコンポーネント

Secure Network Server

コンポーネント製品番号

コンポーネントの説明

3515/3595

UCS-HD600G10K12G

600-GB 12Gb SAS 10K RPM SFF ハードディスク/ホットプラグ可能/ドライブスレッド取り付け済み

3615/3655/3695

UCS-HD600G10K12N

600-GB 12Gb SAS 10K RPM SFF ハードディスク/ホットプラグ可能/ドライブスレッド取り付け済み

3515/3595/3615/3655/3695

UCSC-PSU1-770W=

770W 電源

3515/3595/3615/3655/3695

N20-BKVM=

KVM ケーブル

3515/3595/3615/3655/3695

UCSC-RAILB-M4=

レールキット

表 16.         Cisco ISE 仮想マシンライセンス

サービス型番

製品説明とサポート対象 ISE リリース

VM アプライアンスの仕様

R-ISE-VMS-K9=

ISE 3.0 以前をサポートする VM Small ライセンス(ハイブリッドの場合 2.4 以降、スマートのみの場合 3.0

最小 16 GB RAMCPU 12 コア(SNS-3515 相当)

最小 32 GB RAMCPU 16 コア(SNS-3615 相当)

R-ISE-VMM-K9=

ISE 3.0 以前をサポートする VM Medium ライセンス(ハイブリッドの場合 2.4 以降、スマートのみの場合 3.0

最小 64 GB RAMCPU 16 コア(SNS-3595 相当)

最小 96 GB RAMCPU 24 コア(SNS-3655 相当)

R-ISE-VML-K9=

ISE 3.0 以前をサポートする VM Large ライセンス(ハイブリッドの場合 2.4 以降、スマートのみの場合 3.0

最小 256 GB RAMCPU 16 コア(500,000 を超える同時セッションをサポートするクラスタの MnT

最小 256 GB RAM および CPU 24 コア(SNS-3695 相当)

R-ISE-VMC-K9=

ISE 2.4 以降をサポートする VM 共通ライセンス(スマートのみ)

該当なし

6. サブスクリプションの更新、キャンセル、変更

Cisco ISE のサブスクリプションは、初回の発注時に自動更新の選択を解除しない限り、デフォルトで 12 ヵ月間追加で自動更新されます。見積や発注は必要ありません。初回の期間が終了する 120 日前から、お客様またはパートナーに更新通知が送信されるようになります。新しい期間の開始時に、お客様またはパートナーは請求書を受け取ります。

更新は、新しい期間の開始日の 60 日前までキャンセルできます。新しい期間が開始される 60 日前までにサブスクリプションをキャンセルしない場合、サブスクリプションは自動更新されます。クレジットのサブスクリプションは期間中にキャンセルすることはできません。

手動更新

お客様またはパートナーの希望に応じて、サブスクリプションを手動で更新し、標準期間の 12 ヵ月、36 ヵ月、または 60 ヵ月を追加することができます。手動更新の場合は、以下で説明するサブスクリプションの変更プロセスと同じプロセスを使用して見積を作成します。このプロセスでは新しい見積が作成されます。見積が承認されたら、標準プロセスに従って注文に変換できます。

サブスクリプションのキャンセル

更新は、新しい期間の開始日の 60 日前までキャンセルすることができます。新しい期間が開始される 60 日前までにサブスクリプションをキャンセルしない場合は、サブスクリプションは自動更新されます。クレジットのサブスクリプションは期間中にキャンセルすることはできません。

サブスクリプションの変更 (Change-Subscription)

サブスクリプションの製品、数量、期間の変更は、サブスクリプション期間中いつでも実行できます。サブスクリプションを変更するには、この『Cisco Commerce Change-Subscription Job Aide』を参照してください。新しいサブスクリプションを作成して製品またはユーザ数を追加しようとすると、発注エラーが発生します。

7. ライセンス管理

ISE 3.0 以降のリリースでは、ISE のライセンスはスマートライセンスのみとなります。ISE 3.0 より前のリリースのライセンスは、従来の製品認証キー(PAK)ベースのライセンスまたはスマートライセンスのどちらかとして使用できます。従来のライセンスを使用して、ライセンスファイル(PAK)が ISE の導入環境にインポートされます。購入済みの ISE ライセンスをスマートライセンスに変換する方法については、『スマートライセンス』を参照してください。

ライセンス登録ポータルには、さまざまなライセンス管理ツールが用意されています。ポータルにアクセスするには、有効な Cisco.com のユーザ名およびパスワードが必要です。シスコのライセンス登録ポータルの主な機能は次のとおりです。

      シンプルなアセット管理:お客様に登録されている PAK とライセンスがインストールされたデバイスを特定

      自動ソフトウェア アクティベーション:PAK の登録とライセンスファイルの配布を迅速に処理

      ライセンス移行:新しい ISE 管理ノードに既存のライセンスを再度ホスティング

      デバイスの交換:「返品許可」を使用して、交換用の PAK とライセンスを要求

8. 略語

A

ACI(Cisco) Application Centric Infrastructure

ACLAccess Control List(アクセス制御リスト)

ADActive Directory

ANCAccess Network ControllerRTC と同義)

APIApplication Programming Interface

APIC-DCApplication Policy Infrastructure Controller - Data Center

B

BYODBring Your Own Device(個人所有デバイスの持ち込み)

C

CMDBConfiguration Management Database(構成管理データベース)

CSSMCisco Smart Software Management

CCWCisco Commerce Workspace

CVSSCommon Vulnerability Scoring System(共通脆弱性評価システム)

D

DACLDiscretionary Access Control List(任意アクセス制御)

DNACisco Digital Network Architecture

DPIDeep Packet Inspection

E

EMMEnterprise Mobility Management(エンタープライズモビリティ管理)

ERSExternal RESTful Services(外部 RESTful サービス)

I

IDPIdentity Provider

IETFInternet Engineering Task Force(インターネット技術特別調査委員会)

ISEIdentity Services Engine

M

MABMAC Address Bypass

MAC AddressMedia Access Control AddressMAC アドレス)

MDMMobile Device Management(モバイルデバイス管理)


N

NBANetwork Behavior Analysis(ネットワーク動作分析)

NGFW(Cisco) Next-Generation Firewall(シスコ次世代ファイアウォール)

NGIPSNext-Generation Intrusion Prevention System(次世代侵入防御システム)

P

PAKProduct Activation Key(製品認証キー)

PSNPolicy Service Node

R

RESTRepresentational State Transfer

RTCRapid Threat Containment(迅速な脅威の封じ込め、ANC と同義)

S

SAMLSecurity Assertion Markup Language

SCMCisco Support Case Manager

SDASoftware-Defined Access

SD-AVCSoftware Defined Application Visibility and Control

SGSoftware Group

SGACLSecurity Group Access Control List

SGTSecurity Group Tag

SSIDService Set Identifier(サービスセット識別子)

STIX Structured Threat Information Expression(脅威情報構造化記述形式)

SWSS(Cisco) Software Support Service

V

VLANVirtual Local Area Networks(仮想ローカルエリアネットワーク)

VRFVirtual Routing and Forwarding(仮想ルーティングおよびフォワーディング)

 

Learn more