Cisco ISE ライセンシングガイド
偏向のない言語
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
1. はじめに
Cisco Identity Services Engine(ISE)は業界をリードするエンドツーエンドのネットワーク アクセス コントロール(NAC)プラットフォームであり、有線、ワイヤレス、VPN、5G など、すべてのアクセスドメインにわたって可視性、認証、承認、およびポリシー適用を統合します。Cisco ISE はゼロトラストアーキテクチャの中核に位置しており、アイデンティティベースの一貫した制御によってユーザー、デバイス、そしてモノを、企業ネットワークのあらゆる部分(ブランチ、データセンター、またはクラウドなど)に接続します。コンテキストを意識した可視性、プロファイリング、およびポリシー主導のセグメンテーションを提供することで、基本的なアクセス管理の枠に留まることなく、すべての接続が検証済みで信頼でき、継続的にモニタリングされていることを保証します。
Cisco Identity Services Engine(ISE)によってさまざまなユースケースを解決できます。Cisco ISE ライセンスのタイプと数量を把握するには、まず Cisco ISE の機能を理解する必要があります。Cisco ISE の機能、およびネットワークの可視性、セグメンテーション、セキュリティに関連する複数のユースケースに Cisco ISE がどう対処できるかを理解するには、Cisco ISE によるレジリエンスの構築に関するリソースを参照してください。
2. スマートライセンシングのデプロイメントの方式
Cisco Smart Software Manager(CSSM)ポータルは、シスコが提供するクラウドベースのプラットフォームであり、Cisco スマート ソフトウェア ライセンスを簡単に管理および追跡できます。統合型の使いやすいインターフェイスにより、購入したすべてのライセンスを表示したり、それらをバーチャル アカウントにグループ化したり、組織全体のライセンス使用状況をモニターしたりすることができます。
組織のニーズに応じて、次の方法で Cisco ISE スマートライセンシングを設定できます。
スマートライセンシングの方式を選択します。
● CSSM 接続ネットワーク向けのスマートライセンシング
● オンプレミス SSM によるエアギャップネットワーク向けのスマートライセンシング
● エアギャップネットワーク向けの特定ライセンス予約(SLR)
2.1 CSSM 接続ネットワーク向けのスマートライセンシング
このスマートライセンシングの方式は、インターネット接続を使用した Cisco ISE のデプロイメントに推奨されます。この方式は直接インターネット接続とプロキシサーバーの両方に対応します。
2.2 Cisco Smart Software Manager オンプレミスによるスマートライセンシング
このスマートライセンシング方式はエアギャップの Cisco ISE デプロイメントに推奨され、ローカルの Cisco Smart Software Manager オンプレミス(SSM オンプレミス)サーバーに接続することですべてのライセンシング操作を行えます。これにより、シスコのクラウドへの直接インターネット接続が不要になります。
SSM オンプレミスサーバーは、オンラインモード(シスコへの自動同期)またはオフラインモード(手動のライセンス同期が必要)での動作が可能です。重要なのは、これが Cisco ISE の内部ではなく、SSM オンプレミスサーバーで設定されるということです。
エアギャップデプロイメントではオフラインモードを使用することを推奨します。
2.3 エアギャップネットワーク向けの特定ライセンス予約
特定ライセンス予約(SLR)では、使用状況に関する情報をシスコに送信することなく、Cisco ISE のデプロイメントでソフトウェアライセンスをアクティブ化できます。この方式は、安全性の高いエアギャップネットワークで特に役立ちます。
SLR ライセンス予約の詳細については、その他の情報 を参照してください。
3. Cisco ISE のデプロイメントの前提条件
Cisco ISE のデプロイメントは、次の 3 つの主要コンポーネントで構成されます。
● アプライアンス:物理ハードウェア、仮想マシン、または Infrastructure-as-a-Service(IaaS)
● ソフトウェアライセンス
● サポート
3.1. アプライアンス
Cisco ISE は、AWS、Azure、および Oracle Cloud 内の物理ハードウェア、仮想アプライアンス、ならびに Infrastructure-as-a-Service(IaaS)インスタンスを組み合わせてデプロイすることができます。
● ハードウェアアプライアンス
◦ Cisco SNS 3800 シリーズ アプライアンスには次のモデルがあります。
表 1. Cisco ISE ハードウェア SKU
| ハードウェア SKU |
説明 |
| SNS-3815-K9 |
Cisco ISE アプリケーション用の小規模 Secure Network Server |
| SNS-3855-K9 |
Cisco ISE アプリケーション用の中規模 Secure Network Server |
| SNS-3895-K9 |
Cisco ISE アプリケーション用の大規模 Secure Network Server |
◦ Cisco ISE ハードウェアアプライアンスの詳細については、『 Cisco Secure Network Server Cisco Secure Network Server データシート』を参照してください。
● 仮想アプライアンス
◦ Cisco ISE は、VMware、Linux KVM、Hyper-V、Nutanix AHV、および Red Hat OpenShift の各プラットフォームをはじめとする仮想プラットフォームに対応しています。
◦ 仮想アプライアンスの詳細については、Cisco Identity Services EngineISECisco Identity Services Engine(ISE)の設置ガイドを参照してください。
● Infrastructure-as-a-Service(IaaS)
◦ Cisco ISE は Amazon Web Services(AWS)、Microsoft Azure、および Oracle Cloud Infrastructure(OCI)の各プラットフォームに対応しています。
◦ クラウドプラットフォーム上の Cisco ISE に関する詳細については、『 Cisco Identity Services Engine クラウドプラットフォームへの Cisco Identity Services Engine のネイティブな展開』を参照してください。
● パフォーマンスと拡張性の詳細については、『Cisco Identity Services Engine Cisco Identity Services Engine のパフォーマンスと拡張性ガイド』を参照してください。
4. Cisco ISE のライセンシング:Cisco ISE ライセンスの評価と購入
Cisco ISE ライセンスの評価と購入の概要
Cisco ISE をインストールすると 90 日間の評価ライセンスが付与されます。このライセンスは 100 件の端末をサポートしており、Cisco ISE の全機能が有効になります。評価モードで限定的なデプロイメントを設定し、Cisco ISE 内のすべての機能を調べることができます。
ソフトウェアをダウンロードするには有効なシスコアカウントが必要です。追加のパッチやパッケージをダウンロードする場合は、既存の Cisco ISE サポート契約が必要になる場合があります。
Cisco ISE リリースの詳細については、お使いのリリースのコレクションページを参照してください。
90 日が経過して評価ライセンスの有効期限が切れた場合、管理者には Cisco ISE 管理者ポータルの [Licensing] ウィンドウのみが表示されます。評価ライセンスの期限切れを通知するアラームが管理者に送信されることはありません。
評価ライセンスをさらに 90 日間延長する場合、または 100 件を超える端末のサポートをリクエストする場合は、SCM ツールを使用してケースを開いてください。その際は固有デバイス識別子(UDI)、ライセンスリクエストの詳細、および理由のメッセージを含める必要があります。
注:評価ライセンスを変更する場合は、Cisco ISE プライマリおよびセカンダリポリシー管理ノード(PAN)の UDI 情報が必要です。
UDI は以下の内容で構成されています。
● 製品 ID(PID)
● バージョン ID(VID)
● シリアル番号(SN)
Cisco ISE UDI を表示するには、Cisco ISE 管理者ポータルにログインします。メインメニューから、[Administration] > [System] > [Licensing] を選択します。[UDI Details] エリアに、PID や VID などの必要な情報が記載されています。
または、Cisco ISE 管理者ポータルで [About Identity Services Engine] オプションを表示することもできます。
Cisco ISE コマンド ライン インターフェイスで UDI の詳細を表示するには、show udi コマンドを使用します。
Admin CLI
Positron-vm-3/admin#show udi
SPID: ISE-VM-K9
VPID: V01
Serial: TNEG8ID3JQ5
4.1. ソフトウェア ライセンス
Cisco ISE には次の 3 種類のライセンスがあります。
● サブスクリプション ライセンス:Cisco ISE ソフトウェア向けの Essentials、Advantage、および Premier 階層ライセンス
● デバイス管理ライセンス:ポリシーサービスノード(PSN)向けの TACACS+ サービスライセンス
● 仮想アプライアンスライセンス:仮想または IaaS フォームファクタ向けのアプライアンスライセンス
4.1.1. Cisco ISE サブスクリプション ライセンス
サブスクリプション ライセンスはアクティブな端末の数に基づいており、Essentials、Advantage、Premier の 3 つの階層があります。必要なライセンスの数は、特定の日に同時に接続することが予想されるアクティブな端末の最大数によって決まります。
サブスクリプション ライセンスはネストされたモデルで構成されており、上位の各階層にはそれより下の階層の機能がすべて含まれます。たとえば Cisco ISE Premier ライセンスでは、Advantage ライセンスと Essentials ライセンスの両方の機能を利用できます。
Advantage ライセンスには、Essentials ライセンスのすべての機能が含まれています。
表 2. Cisco ISE サブスクリプション ライセンス
| Cisco ISE サブスクリプション SKU |
製品 SKU |
サポート SKU |
| ISE-SEC-SUB:Cisco Identity Services Engine(ISE)サブスクリプション |
ISE-E-LIC:Cisco Identity Services Engine(ISE)Essentials サブスクリプション ISE-A-LIC:Cisco Identity Services Engine(ISE)Advantage サブスクリプション ISE-P-LIC:Cisco Identity Services Engine(ISE)Premier サブスクリプション |
SVS-ISE-SUP-B:Cisco ISE Basic サポート SVS-ISE-SUP-S:Cisco ISE Solution Support SVS-ISE-SUP-E:Cisco ISE Enhanced サポート SVS-ISE-SUP-P:Cisco ISE Premium サポート |
各種のライセンス階層でサポートされる機能
次の表に、それぞれの Cisco ISE サブスクリプション ライセンス階層で利用できる機能を示します。
表 3. 各種のライセンス階層でサポートされる機能
| 主な利点 |
機能 |
Essentials |
Advantage |
Premier |
| アイデンティティの検証と適用 |
認証、許可、およびアカウンティング(AAA)と 802.1X |
✓ |
✓ |
✓ |
| ゲスト(ホットスポット、自己登録、スポンサー承認型) |
✓ |
✓ |
✓ |
|
| Easy Connect(パッシブ ID) |
✓ |
✓ |
✓ |
|
| コンテキストの共有、セグメンテーション、および適応型ネットワーク制御 |
プロファイリング |
X |
✓ |
✓ |
| BYOD |
X |
✓ |
✓ |
|
| pxGrid、pxGrid Cloud、および pxGrid Direct を使用したコンテキストの入力または出力 |
X |
✓ |
✓ |
|
| ユーザー定義ネットワーク |
X |
✓ |
✓ |
|
| TrustSec® |
X |
✓ |
✓ |
|
| エンドポイント分析の可視性と適用 |
X |
✓ |
✓ |
|
| Rapid Threat Containment(適応型ネットワーク制御) |
X |
✓ |
✓ |
|
| コンプライアンス |
ポスチャ(Posture) |
X |
X |
✓ |
| モバイルデバイス管理(MDM)コンプライアンス |
X |
X |
✓ |
|
| 脅威中心型ネットワーク アクセス コントロール(TC-NAC) |
X |
X |
✓ |
4.1.2. サブスクリプション ライセンスの消費
Cisco ISE ライセンスの消費は、RADIUS セッションを介して測定されたアクティブな端末の数に基づきます。RADIUS セッションが存在しない、または正しくカウントできない状況では、一意の端末属性(パッシブ ID など)が使用される場合があります。端末でプライバシー/プライベート MAC、MAC のランダム化、または MAC のローテーションと変更を有効にすると、同じ端末に対して異なるセッションが作成され、別の MAC ID で再度認証されるため、ライセンスの消費が増える可能性があります。
次の表に、Cisco ISE ライセンスの消費を示します。
表 4. Cisco ISE ライセンスの消費
| 機能 |
ライセンス階層 |
ライセンス消費のトリガー |
ライセンスの解放 |
| 認証、許可、およびアカウンティング(AAA)と 802.1X |
Essentials |
端末が RADIUS セッションを確立する。 |
RADIUS セッションの終了 |
| ゲスト |
Essentials |
RADIUS セッションを実行中の端末がゲスト機能を使用する。 |
RADIUS セッションの終了 |
| Easy Connect |
Essentials |
RADIUS セッションを実行中の端末が Easy Connect 機能を使用した場合。 |
RADIUS セッションの終了 |
| プロファイリング |
Advantage |
RADIUS セッションを実行中の非ゲスト端末が、プロファイラによって分類された場合。 |
RADIUS セッションの終了 |
| TrustSec®(グループベースポリシー) |
Advantage |
承認の一環として端末にセキュリティグループタグ(SGT)が割り当てられる。 |
RADIUS セッションの終了 |
| BYOD(+CA、MDP) |
Advantage |
RADIUS セッションを実行中の端末が、認証ポリシーで登録ステータスを使用する。 |
RADIUS セッションの終了 |
| pxGrid クラウド |
Advantage |
アクティブセッションごとに、セッションデータが pxGrid Cloud のコンシューマと共有された場合。 |
RADIUS セッションの終了 |
| pxGrid |
Advantage |
アクティブセッションごとに、セッショントピックを介してセッションデータが pxGrid クライアントと共有された場合(例:WebSocket の更新、REST API を介した一括取得)。 |
RADIUS セッションの終了 |
| pxGrid Direct |
Advantage |
端末が Cisco ISE ネットワークに接続し、認証ポリシーに pxGrid Direct ディクショナリ属性があり、その端末が pxGrid Direct レコードで見つかった場合。 |
RADIUS セッションの終了 |
| エンドポイント分析 |
Advantage |
アクティブセッションを実行中の端末が、エンドポイント分析ディクショナリ属性を使用してネットワーク上で承認された場合、Advantage ライセンスが消費されます。 |
RADIUS セッションの終了 |
| RTC(ANC) |
Advantage |
適応型ネットワーク制御(ANC)ポリシーを使用しているアクティブな RADIUS セッションで、ダイナミックな対応措置がトリガーされた場合。 |
RADIUS セッションの終了 |
| ユーザー定義ネットワーク |
Advantage |
RADIUS を実行中の端末が、認証ポリシーの UDN 属性と一致した場合。 |
RADIUS セッションの終了 |
| ワークロードコネクタ |
Advantage |
ワークロード IP が Cisco ISE によって学習された場合。 |
ワークロード IP セッションがオンプレミス/クラウドアカウントから削除された場合、または Cisco ISE で接続が一時停止/削除された場合。 |
| ポスチャ(エージェントを使用した Cisco AnyConnect®) |
Premier |
RADIUS セッションを実行中の端末がポスチャされた場合。 |
RADIUS セッションの終了 |
| モバイルデバイス管理(MDM) |
Premier |
端末が認証ポリシーで MDM 属性を使用した場合。 |
RADIUS セッションの終了 |
| 脅威中心型ネットワーク アドミッション コントロール(TC-NAC) |
Premier |
端末が認証ポリシーの一環として、脅威ベースの情報またはアクションを使用もしくはトリガーした場合。 |
RADIUS セッションの終了 |
ライセンスの消費の例を次に示します。
| シリアル番号 |
シナリオ |
ISE ライセンスの消費 |
備考 |
| 1. |
認証された端末の数: ゲスト(アクティブ):200 非ゲスト(アクティブ):800 |
ISE Essential = 1,000 |
認証されたアクティブな端末ごとに、Essential ライセンスが消費されます。 |
| 2. |
認証された端末の数: ゲスト(アクティブ):200 非ゲスト(アクティブ):800 pxGrid を介した DNAC および FMC との統合 |
ISE Advantage = 1,000 |
pxGrid を介してデータを共有している端末ごとに、Advantage ライセンスが消費されます |
| 3. |
認証された端末の数: ゲスト(アクティブ):200 非ゲスト(アクティブ):800 プロファイリングプローブが有効 |
ISE Essential = 200 ISE Advantage = 800 |
ライセンスは、アクティブな非ゲスト端末のプロファイリングにのみ使用されます。 |
| 4. |
認証された端末の数: ゲスト(アクティブ):200 非ゲスト(アクティブ):800 DNAC および FMC との統合 プロファイリングプローブが有効 TrustSec® を介した SGT の割り当て pxGrid を介したデータの共有 |
ISE Advantage = 1,000 |
各端末は、使用されている Advantage 階層機能の数に関係なく、1 つの Advantage ライセンスのみを使用します。 |
| 5. |
認証された端末の数: ゲスト(アクティブ):200 非ゲスト(アクティブ):800 プロファイリングプローブが有効 100 件の端末のコンプライアンス脅威スコア |
ISE Essential = 200 ISE Advantage = 700 ISE Premier = 100 |
Premier 機能を使用している場合、デフォルトで Advantage と Essentials が含まれます。 |
4.1.3. 仮想マシンおよびデバイス管理向けのライセンスの SKU
すべての Cisco ISE ライセンスは、Cisco Smart Software Manager(SSM)を介したスマートライセンシング形式で管理されます。Cisco Smart Software Manager は、すべてのシスコライセンスのアクティブ化と管理を実行できる直感的なポータルです。
スマートライセンシングは柔軟性に富んだソフトウェア ライセンシング モデルであり、組織全体のライセンスの管理やアクティブ化を簡単に行えます。スマートライセンスでは製品アクティベーションキー(PAK)を使用する代わりに、企業全体で使用できるお客様定義のスマート アカウントにソフトウェアライセンスのプールが確立されます。スマート アカウントは、すべてのサブスクリプションに必須です。これらのアカウントは、お客様が購入したライセンス サブスクリプションの登録先となる、適切なお客様アカウントを識別して接続するのに役立ちます。スマートライセンシングとスマート アカウントを組み合わせることで、ライセンスの所有権と消費を(クラウドポータルを介して)可視化できるため、運用コストを削減できます。
表 5. 仮想マシンおよびデバイス管理用ライセンスの SKU
| ライセンス名 |
ライセンスのタイプ |
ライセンス SKU |
説明 |
| Cisco ISE デバイス管理ライセンス |
永久 |
L-ISE-TACACS-ND= |
TACACS+ サービスを有効にするポリシーサービスノード(PSN)ごとに、1 つのライセンスを購入します。 |
| Cisco ISE 仮想マシンライセンス |
永久 |
R-ISE-VMC-K9= |
デプロイメント内の各仮想マシンまたはクラウド展開型 Cisco ISE ノードごとにライセンスを購入します。 |
| Cisco ISE 仮想マシンライセンス(無料 VM ライセンス) |
永久 |
R-ISE-VMF-K9= |
初めて Cisco ISE を使用する適格なお客様が、スイッチング向け Catalyst Advantage サブスクリプションを介して Cisco ISE サブスクリプション階層ライセンスを受け取った際に利用できる、1 件の特別無料 VM ライセンスです。 チャネルパートナーまたはシスコアカウントチームにご連絡のうえ、お客様の適格性を確認する必要があります。 |
| Cisco ISE 仮想マシンサポート PID |
期間 |
CON-L1SW-RISE9KVM |
仮想マシン向けの拡張ソフトウェアサポートを受ける場合は、このライセンスを購入します。 |
4.1.4. Cisco ISE サブスクリプション ライセンスの利用資格と適用
Cisco ISE ライセンスを購入すると、そのライセンスの数量と期間に同意したことになります。ライセンス利用資格とは、これらの条件に基づくライセンス使用状況のモニタリングと適用を指します。
ライセンスがコンプライアンス非準拠となる条件
ライセンスがコンプライアンス非準拠となる条件は次のとおりです。
● デプロイメントで、購入数量と比較して 100% を超えるアクティブな端末が使用されている。
● ライセンスが更新されず期限切れになっている。
階層ライセンスがコンプライアンス非準拠であるか更新が近づいている場合は、次のようになります。
● ライセンスがコンプライアンス非準拠であることを示すアラートが、Cisco ISE GUI に毎日表示されます。
● 期限切れが近づいている期間ライセンスの場合、期限切れの 90 日、60 日、30 日前、および期限切れを迎えるまでの 30 日間毎日、アラートが表示されます。
● Cisco ISE VM またはデバイス管理ライセンスがコンプライアンス非準拠である場合、Cisco ISE GUI にアラートが毎日表示されます。ただしこの期間中も、GUI を使用してネットワークを管理することは可能です。
アラートが表示されても Cisco ISE は通常どおり機能し、既存の設定は中断されることなく動作します。
Cisco ISE のデプロイメントが 60 日間のうち 30 日にわたってコンプライアンス非準拠である場合、必要なライセンスを購入してアクティブ化するまで、Cisco ISE のすべての管理制御が失われます。この期間中は関連機能への読み取り専用アクセスのみが可能になり、それらの機能の可視性と管理は制限されます。
認証と以前に設定された機能は、ライセンスの期限切れ前と同様に引き続き動作します。ライセンスの使用を減らしてコンプライアンス準拠の状態に復旧すると、スマートライセンスポータルと次回同期する際にフルアクセスが復元されます。24 時間以内の消費超過は、30 日間の制限に対して 1 日とカウントされます。
5. Cisco ISE ライセンスの発注
すべての Cisco ISE ライセンスは Cisco Commerce(CCW)から発注できます。
サブスクリプション ライセンスの場合、次の 3 つの発注方法があります。
1. 個別購入
2. シスコ エンタープライズ アグリーメント
3. Cisco ISE-Advantage ライセンスは、スイッチング向け Catalyst ソフトウェア サブスクリプションに組み込まれています
注:Catalyst Advantage には Cisco ISE Advantage ライセンスも含まれています。ライセンスの数量はスイッチのモデルによって異なります。
5.1. Cisco ISE サブスクリプション ライセンスの個別発注
Cisco ISE サブスクリプション ライセンスは、Cisco Commerce(CCW)を通じて任意の数量(最低 50)で発注できます。これらのサブスクリプションベースのライセンスは、1 年、3 年、および 5 年の期間で購入でき、契約期間を統一することができます。デフォルトの開始日は購入日の 3 日後です。異なる開始日(購入日から最長 90 日以内)を選択できます。ただし、発注時に開始日の変更リクエストを指定する必要があります。開始日は、ハードウェアアプライアンスのリードタイムに基づいて設定する必要があります。たとえば、Cisco ISE をインストールするアプライアンスが 45 日間利用できない場合は、ISE サブスクリプションの開始日を 45 日後に設定します。リードタイムが長期にわたる場合は、ハードウェアの調達後に Cisco ISE サブスクリプション ライセンスを別途購入することを検討してください。
ライセンス サブスクリプションを個別に購入する際は、Cisco ISE の 3 種類の Stock Keeping Unit(SKU)を指定できます。
● サブスクリプション SKU:サブスクリプションの期間と開始日を定義します。
● 製品 SKU:サブスクリプションを構成する製品と数量を定義します。
● サポート SKU:サブスクリプションのサポートレベルを定義します。
SKU を選択するには次のステップに従います。
ステップ 1:サブスクリプション SKU の選択
ISE-SEC-SUB という単一の Cisco ISE サブスクリプション SKU があり、それ自体に価格は設定されていません。価格は製品 SKU を追加して設定すると決定されます。各エンドカスタマーのサブスクリプションは 1 つだけであるため、数量 1 を選択する必要があります。製品の数量は、サブスクリプションに製品 SKU を追加するときに入力します。
サブスクリプション SKU を選択したら、[Select Options] を選択してサブスクリプションの期間(デフォルトは 36 か月)と開始希望日を編集します。サービスがプロビジョニングされ、サービス開始日にサブスクリプションが開始されます。サービスのプロビジョニングは、すべての発注情報が正しく入力されていれば、72 時間以内に完了します。
ステップ 2:製品 SKU の選択
サブスクリプションの期間を設定したら、次はサブスクリプションに製品を追加します。製品の期間はサブスクリプションの期間によって決定されます。まず、サブスクリプションの設定概要で該当する製品を選択します。製品に対してサブスクリプションを構成するように選択したら、セッション数に基づいて数量を入力します。
価格は発注数量と期間に応じて動的に決定され、階層的な価格設定モデルに基づいています。選択した SKU の月額が表示されますが、請求はサブスクリプション期間分の前払いであり、期間分の金額が [小計(Subtotal)] に表示されます。
ステップ 3:サポート SKU の選択
製品を追加したら、次のステップではサブスクリプションに必要なサポートレベルを定義します。3 つのレベルのサポートに対応する 3 つの Cisco ISE サポート SKU があります。サブスクリプションのサポートを設定するには、まずサブスクリプション設定の概要で [Cisco ISE Support] オプションを選択します。
Cisco Software Support Basic は、Cisco ISE サブスクリプション ライセンスの期間中にわたって利用できます。より高価値のサービスレベル、Solution Support、または Software Support Enhanced や Premium サポートを購入する場合は、サポートオプションから適切なレベルのサポートを選択します。
こうした高価値のサービスレベルの価格は、製品コストのパーセンテージに基づいて動的に計算され、該当する場合は年間最小要件を満たす必要があります。サポートレベルはすべての端末で一貫している必要があります。一部の端末に対して特定のサポートレベルを購入し、他の端末に対して別のサポートレベルを購入することはできません。
見積と発注の支援
見積と発注についてご不明な点がある場合は、cs-support@cisco.com にお問い合わせください。
5.2. AWS および Microsoft Azure Marketplace における Cisco ISE サブスクリプション ライセンスの発注
Amazon Web Services(AWS)と Microsoft Azure Marketplace で Cisco ISE ライセンスを購入できるようになりました。
企業向け割引プログラム(EDP)を利用している AWS のお客様は、AWS Marketplace でプライベートオファーをリクエストすることにより、Cisco ISE サブスクリプション ライセンスを発注できます。リクエストが送信されるとカスタム プライベート オファーが提供され、確認して受け入れることができます。オファーを受け入れると、発注はリクエストどおりに処理されます。その後、Cisco ISE BYOL AMI/ソフトウェアをダウンロードして、EC2 インスタンスに展開できます。
Microsoft Azure で Cisco ISE ライセンスを発注するには、Azure を介してプライベートオファーを拡張できるシスコパートナーと連携する必要があります。Azure における Cisco ISE の詳細については、Microsoft Azure Marketplace を参照してください。
5.3. 既存の発注またはサブスクリプションの変更
Cisco Commerce(CCW)では、数量の変更や階層のアップグレードなど、現在有効な発注についてサブスクリプションの変更、更新、および置換を行えます。
詳細については『Change Subscription Job Aid』を参照してください。
6. サブスクリプションの更新、変更、キャンセル
6.1. サブスクリプションの更新
デフォルトでは、初回発注時に自動更新を除外しない限り、Cisco ISE ライセンス サブスクリプションは自動的に更新され、期間が 12 か月延長されます。自動更新の場合、新しい見積や発注は必要ありません。
サブスクリプションが終了する 120 日前から、シスコはお客様またはお客様のパートナーに更新リマインダを送信します。また、新しい期間の開始時に請求書が届きます。
自動更新は、次の期間が始まる 60 日前までキャンセルできます。少なくとも 60 日前にキャンセルしない場合、サブスクリプションは自動的に更新されます。クレジット期間中にサブスクリプションをキャンセルすることはできません。
ご希望の場合は、12、36、または 60 か月の各期間でサブスクリプションを手動で更新できます。手動更新には見積が必要です。この見積はサブスクリプションの変更と同じプロセスで作成されます。見積が承認されると発注を実行できます。
6.2. サブスクリプションの取り消し
新しい期間が始まる 60 日前までは更新をキャンセルできます。少なくとも 60 日前にキャンセルしない場合、サブスクリプションは自動的に更新されます。クレジットのサブスクリプションを途中でキャンセルすることはできません。
6.3. サブスクリプションの変更
サブスクリプションの期間中はいつでも、サブスクリプションの製品、数量、または期間を変更できます。サブスクリプションを変更する場合は『Cisco Commerce Change Subscription Job Aid』を参照してください。
7. Cisco ISE ライセンシング階層とその利点の把握
表 6. Cisco ISE ライセンシング階層の概要
| License type |
説明 |
機能 |
利点 |
アップグレードする理由 |
| Essentials |
Cisco ISE Essentials では、信頼性と拡張性に優れたコストパフォーマンスの高い方法で、基本的なネットワーク アクセス コントロール(NAC)を導入したり、基準となるセキュリティポリシーを適用したりすることができます。Essentials は、Zero Trust の活用を始める場合、あるいはすべてのネットワーク端末で一貫したポリシーの適用と可視性が必要な場合に最適です。 |
● RADIUS、TACACS+、802.1X、MAC 認証バイパス(MAB)、および Web 認証を使用してユーザーとデバイスの認証と承認を行います。
● カスタマイズ可能なポータルを使用してセキュアなゲストアクセスを管理します。
● REST API との統合によって基本的なモニタリングを行います。
|
● コネクテッドデバイスに対する基本的な可視性が得られるようにします。
● ユーザーとデバイスのセキュアな導入準備をシンプル化します。
● デプロイメントにおける基本的なセキュリティ要件とコンプライアンス要件を満たします。
|
Cisco ISE Essentials では基本的な NAC 機能が提供されますが、高度なデバイスプロファイリング、コンテキストに基づくポリシー制御、または豊富な統合機能は提供されません。接続中のユーザーを確認することはできますが、デバイスのタイプ、所有権、またはコンプライアンスのステータスを確認することはできません。Advantage にアップグレードすると、デバイスとその接続方法の両方を制御できます。 |
| Advantage |
Cisco ISE Advantage では、高度な可視性、コンテキストに基づく認識、セグメンテーション、およびダイナミックな対応の各機能を追加することにより、Essentials 階層を拡張します。Advantage を利用すると、アクセスに関してリスクベースのよりスマートな決定を下すことができます。また、コンテキストを意識したアクセス制御、シームレスな BYOD 導入準備、およびポリシーベースのセグメンテーションをサポートします。 |
● すべての Essentials 機能にアクセスできます。
● デバイスと端末をプロファイルし、分類します。
● 組み込みの認証局(CA)を使用して、BYOD の登録とプロビジョニングを行います。
● pxGrid を介してコンテキストを統合し、共有します。
● TrustSec®(グループベースポリシー)を適用してマイクロセグメンテーションを実現します。
● アクセスポリシーにコンテキスト属性を追加します。
● 適応型ネットワーク制御を有効にしてダイナミックな対応を可能にします。
|
● IoT、BYOD、および会社の資産など、すべての端末に対する優れた可視性とプロファイリングを実現します。
● 証明書ベースの認証を使用して BYOD 導入準備を自動化します。
● マイクロセグメンテーションと最小権限アクセスを適用します。
● SIEM、ファイアウォール、および Endpoint Detection and Response(EDR)プラットフォームと統合します。
● 攻撃対象領域とラテラルムーブメントを削減します。
● 自動化によって業務効率を向上させます。
|
Cisco ISE Advantage によって可視性とセグメンテーションが強化されますが、端末の正常性やコンプライアンス態勢を評価したり適用したりすることはできません。ネットワークにアクセスするユーザーやデバイスを制御することはできますが、アクセス時におけるデバイスのセキュリティステータスは確認できません。Premier にアップグレードすると、デバイスの正常性を評価したり、脅威への対応を自動化したりすることができます。 |
| Premier |
Cisco ISE Premier では、デバイスポスチャのアセスメント、正常性チェック、自動化された脅威対応、モバイルデバイス管理(MDM)の統合など、包括的なゼロトラスト ネットワーク アクセス(ZTNA)機能を利用できます。Premier を利用することで、ネットワークに接続するすべてのデバイスが既知かつセキュアであることが保証されます。 |
● すべての Advantage 機能にアクセスできます。
● デバイスのポスチャと正常性のアセスメント、修復、および適用を行います。
● 脅威中心型の NAC と高度な脅威対応を可能にします。
● MDM および EMM プラットフォームと統合します。
● 適応型ネットワーク制御(ANC)と高度な修復ワークフローを活用します。
|
● アクセスの前後におけるデバイスポスチャのアセスメントと修復を実行します。
● モバイルデバイスが MDM および EMM 統合に準拠するようにします。
● 侵害された端末やコンプライアンス非準拠の端末を隔離します。
● セキュリティポリシーへの継続的なコンプライアンス準拠を維持します。
● アイデンティティ、デバイスの正常性、およびコンテキストに基づくリスクを検証することで、Zero Trust を適用します。
● 適用の自動化とポリシーの更新によってインシデント対応を強化します。
|
Premier では、デバイスの完全なコンプライアンスチェックと適応型の脅威対応を組み合わせることで、ネットワークの最も高度なセキュリティ態勢を実現できます。デバイスの正常性を継続的に検証したり、脅威の封じ込めを自動化したりする必要がある場合は、Premier が最適な選択肢です。 |
8. Cisco ISE 3.5 ライセンシングの配置
Cisco ISE リリース 3.5 ではライセンスの追跡機能が改善され、可視性、透明性、正確性が向上しています。Cisco ISE のライセンス階層(Essentials、Advantage、Premier)と、各階層で利用可能な機能に変更はなく、それぞれの階層について同じライセンシングモデルと機能セットを引き続き使用できます。
Cisco ISE リリース 3.5 ではこの機能拡張により、お客様がご利用中の機能とライセンスの使用状況が一致するようになり、より一貫性のある予測可能なエクスペリエンスが実現します。
個々の機能の使用状況を追跡する必要はもうありません。代わりに、ピーク時のアクティブな端末数をモニターし、ニーズに適した階層を選択するだけでよいため、ライセンス管理がよりシンプルでわかりやすくなります。
注:Cisco ISE リリース 3.5 において、これらの変更は可視性のみを対象としています。現段階では、お客様はライセンス適用の対象外です。お客様の使用量がライセンス制限を超えている場合は、サービスが中断されない「消費アラート」を受信します(これは以前の「コンプライアンス非準拠」メッセージを置き換えるものです)。これらのアラートは、使用量がライセンスの制限内に戻るまで表示されたままとなります。将来の Cisco ISE リリースでは、これらの更新されたメトリックに基づくライセンスコンプライアンスが適用されます。
8.1. ピーク時ライセンス消費履歴
Cisco ISE リリース 3.5 では、スマートライセンシングの一環として新しい「Historical Peak License Consumption(ピーク時ライセンス消費履歴)」レポートを利用できます。このレポートにより、時間の経過に伴うライセンスの使用状況について詳細な洞察が得られるため、コンプライアンスをモニターし、ライセンスの割り当てに関して情報に基づいた決定を下すことができます。
レポートインターフェイスで [Reports] > [Audit] > [License Usage] に移動することで、ピーク時ライセンス消費履歴レポートを表示できます。
また、[Reports] > [Endpoints and Users] > [Current Active Sessions] の順に移動してアクティブ セッション レポートを使用し、現在のアクティブなライセンス消費を追跡することもできます。
8.2. Cisco ISE リリース 3.5 におけるライセンスの配置
● プロファイリング:プロファイリングを使用して非ゲストのアクティブな端末が分類されると、プロファイリングによってライセンスが消費されます。ゲスト端末と静的グループの割り当ては、プロファイリング機能のライセンス消費から除外されます。すべてのノードでプロファイリングと多要素分類(MFC)が無効になっている場合、プロファイリングされた端末や不明な端末について Advantage ライセンスが消費されることはありません。
● pxGridpxGrid:アクティブセッションデータが、WebSocket の更新や REST API を介した一括取得などのセッショントピックを介して pxGrid クライアントと共有されると、pxGrid によってライセンスが消費されます。
● pxGrid DirectpxGrid Direct:pxGrid Direct の属性が認証ルールで参照され、端末が JSON ペイロードに存在している場合、ポリシー照合の結果に関係なく、pxGrid によってライセンスが消費されます。
● TrustSecTrustSec®:TrustSec® は、アクティブな端末またはセッションに対するセキュリティグループタグ(SGT)の実際の割り当てに基づいてライセンスを消費します。これは、SGT が認証ポリシー内でどう使用されているかとは関係なく追跡およびレポートされます。
pxGrid、pxGrid Direct、プロファイリング、および TrustSec® に関連する現在のライセンス消費を評価するには、Cisco ISE リリース 3.5 の最新のライセンシングレポートを使用することを推奨します。消費アラートをモニターし、購入した利用資格と使用状況を比較することにより、潜在的なギャップを特定し、将来的にライセンスの適用を開始する前に必要なライセンスの調整を計画できます。
9. Cisco ISE ライセンスの移行
9.1. エンタープライズ アグリーメントのお客様の移行
シスコは 2026 年 7 月 25 日まで、利用可能なエンタープライズ アグリーメントへと移行するための、1.5 年間にわたる Cisco ISE 3.x の無料期間を提供しています。
エンタープライズ アグリーメント(EA)のお客様は、Cisco ISE パートナーまたは営業担当者と連携することでこのオファーを開始できます。
また、2.x エンタープライズ アグリーメント(EA)のお客様は、チャネルパートナーまたはアカウントチームと連携して「EA 変更サブスクリプション」プロセスを使用することで、2.x ライセンスを 3.x ライセンスに置き換えることができます。これにより、お客様は 3.x ライセンスのエンタープライズ アグリーメントの利点(追加ライセンスの生成、True Forwards など)を引き続きご利用いただけます。
注:シスコ EOL ポリシーに従い、Base、Plus、Apex の各ライセンスはサポート終了しており、お客様は移行プロセスを経て Cisco ISE 3.x バージョンにアップグレードする必要があります。
9.2. VM 共通ライセンスへの移行
小規模、中規模、または大規模の各 VM ライセンスは、VM 共通ライセンスに転換されます。現在、50 個の VM 小規模ライセンス、30 個の VM 中規模ライセンス、および 20 個の VM 大規模ライセンスを所有している場合、移行プロセスが完了すると、100 個の VM 共通ライセンスを所有することになります。
表 7. VM 共通ライセンスへの移行
| アップグレード元 |
アップグレード先 |
Ratio |
| R-ISE-VML-K9= |
R-ISE-VMC-K9= |
1:1 |
| R-ISE-VMM-K9= |
R-ISE-VMC-K9= |
1:1 |
| R-ISE-VMS-K9= |
R-ISE-VMC-K9= |
1:1 |
お客様は、従来の VM 小規模、中規模、および大規模ライセンス、ならびに Cisco ISE 2.4、2.6、2.7、3.0 用の VM 共通ライセンスを引き続きご利用いただけます。ただし従来の PAK VM ライセンスについては、Cisco ISE 3.0 でスマートライセンスに転換する必要があります。シームレスな顧客体験(CX)を実現するために、スマート アカウント内の従来の VM ライセンス(小規模、中規模、および大規模)はすべて新しい VM 共通ライセンスに置き換えられました。この共通ライセンスは、大規模、中規模、または小規模 VM ライセンスの使用をカバーします。スマート アカウントで VM 小規模、中規模、および大規模ライセンスをすでにご利用中の場合、アップグレードのために追加のアクションを行う必要はありません。ただしスマート アカウントをお持ちでない場合は、Cisco Software Central にアクセスしてスマート アカウントを作成し、シスコ グローバル ライセンス オペレーション チーム宛てのケースを開いて、古い VM ライセンスや従来の VM ライセンスをスマート アカウント内の新しい VM 共通ライセンスに転換してください。
9.2.1. 従来の VM ライセンスに関連するサポート
PAK 従来型 VM ライセンスを VM 共通ライセンスに移行した場合、従来の VM ライセンスの製品 ID(PID)で購入したサポート契約に基づくサポートを引き続き受けられます。このサポートは、従来の VM ライセンスの PID がサポート終了になり、かつサポート終了通知におけるサービス更新の最終日を迎えるまで更新できます。必要なサポート移行はありません。したがって、このようなケースでシームレスなサポートを受けるには、シスコ カスタマー サービスでケースを開き、サポートが終了した PID を目的の PID に置き換えるようリクエストすることで更新を行い、サポートを受けられるようにする必要があります。
サポートを更新する必要がある場合は、次のセクションの手順に従ってください。
9.2.2. サポートを更新するために、古い VM PID を新しい VM 共通 PID に移行またはスワップする方法
以前に古い VM ライセンスや従来の VM ライセンスを購入し、現在は VM 共通ライセンスとして使用しているお客様は、次の手順に従って PID のスワップをリクエストし、サポートを更新する必要があります。
● https://customerservice.cloudapps.cisco.com/https://customerservice.cloudapps.cisco.com/ にログインします。
● 「RMA Issues」というキーワードを検索し、[Open a case] をクリックします。
● [Case title] フィールドに適切なタイトルを入力します(「顧客 XXX の PID スワップ」など)。
● リクエストのタイプとして、[Product ID Upgrade or Change] を選択します。
● 適切なビジネス上の理由を選択します。
● UI 自体で属性を更新するか、Excel テンプレートをダウンロードしてすべての必須セクションに入力します。
| 古い製品 ID |
古いインスタンス番号 |
新しい製品 ID |
契約番号 |
| 例:R-ISE-VM-K9 |
例:1310418043 |
R-ISE-VMC-K9= |
204831740 |
● [Next] をクリックしてケースを作成します。
この PID スワップリクエストはお客様のカスタマーサービスチームが処理し、新しく作成されたインスタンス番号をお客様に共有します。その後、お客様は新しい VM 共通 PID でサポートの更新を続けられます。
サポート終了を迎えた古い ISE VM ライセンスの更新
サービス契約管理(SCM)チームは 2025 年 7 月に、対象となるすべての LDoS 製品(ISE VM Small、VM Medium、および VM Large PID)を新しい VM 共通ライセンス PID(R-ISE-VMC-K9=)に置き換えました。お客様はこれにより、新しくなった VM 共通ライセンスを使用してサービスをシームレスに更新できます。
注:PAK 従来型 VM ライセンスを使用しているお客様は、新しいサポートを更新または購入するために、VM 共通ライセンス PID に移行する必要があります。従来の VM ライセンス PID は 2025 年 3 月 31 日にサポート終了を迎えており、古い VM PID を使用して更新を処理することはできません。
それに加え、VM PID のサポートが期限切れの場合は、180 日の更新期間内に更新を完了する必要があります。この期間内に更新しない場合、サポートを購入する必要があります。
表 8. VM ライセンス管理の運用手順
| シリアル番号 |
シナリオ |
お客様のアクション |
| 1 |
有効なサポート契約がある古い VM ライセンスをお持ちのお客様 |
契約で新しい VMC ライセンスが更新されていることを確認します。更新されていない場合は、セクション 9.2.2 で詳述した手順に従って、シスコ カスタマー サービス チーム宛てのケースを開始してください。 |
| 2 |
サポートの期限が切れてから 180 日未満の古い VM ライセンスをお持ちのお客様 |
新しい VMC ライセンスと新しいサポートサービスを購入します。 |
| 3 |
サポートの期限が切れてから 180 日以上が経過した古い VM ライセンスをお持ちのお客様 |
新しい VMC ライセンスと新しいサポートサービスを購入します。 |
| 4 |
有効なサポート契約がある新しい VMC ライセンスをお持ちのお客様 |
特に対処する必要はありません。 |
| 5 |
サポートの期限が切れてから 180 日未満の新しい VMC ライセンスをお持ちのお客様 |
180 日の更新期間内に VM 共通 PID インスタンスのサポートを更新します。 |
| 6 |
サポートの期限が切れてから 180 日以上が経過した新しい VMC ライセンスをお持ちのお客様 |
新しいサポートサービスを購入します。 |
9.3. デバイス管理ライセンスの移行
従来のデバイス管理ライセンスは、デプロイメント内のすべての PSN で TACACS+ サービスを許可するクラスターライセンスでした。リリース 2.6 以降ではノードライセンスが必要になります。2.x リリースから 3.x リリースに移行する場合は、デバイス管理ライセンスをスマート アカウントに移行する必要があります。
従来のデバイス管理ライセンスをお持ちで、リリース 2.4 以降にアップグレードするお客様には、アップグレードを行い、デプロイメント内の PSN の数と同じ新しいデバイス管理ライセンスを受け取る権利が付与されます。
表 9. デバイス管理ライセンスのユースケース
| リリース時のライセンス |
2.4 よりも前のリリース |
リリース 2.4 以降 |
|
| デバイス管理ライセンス |
新型 |
N/A |
識別され、1 つの Cisco ISE TACACS+ ポリシーノードの消費が可能 |
| 従来型 |
識別され、カウントせずに消費される(デプロイメント内の ISE TACACS+ のアプライアンス数は無制限) |
識別され、最大 50 の ISE TACACS+ ポリシーノードの消費が可能 |
|
注:従来のデバイス管理ライセンスとノードライセンスは永続的ライセンスです。
10. サポート
10.1. テクニカルサービス
アプライアンスと永続的ライセンスのサポート
お客様は、Cisco ISE 物理アプライアンス向けの Cisco Smart Net Total Care®(SNTC)、Cisco ISE 仮想マシン向けの Software Support(SWSS)契約、ならびにサポートを Solution Support にアップグレードするオプションを購入できます。Cisco ISE 物理または仮想アプライアンスのサポートは、基本ライセンス(2.x をご使用中のお客様向け)とデバイス管理デプロイメントも対象としています。
ハードウェアサポートの範囲の詳細については、Cisco Support/Success Track のサービス ディスクリプション ドキュメントを参照してください。
注:お客様がハードウェアサポート契約を更新しない場合、Cisco ISE アプライアンスはサポート契約の対象外となります。その結果、それらのデバイスについては TAC サポートを利用できなくなります。さらに、Cisco ISE ハードウェアに基本無償サポートは含まれていません。ハードウェアに関する支援を受けるには、お客様がサポートサービスをご購入いただく必要があります。
サブスクリプション ライセンスのサポート
Cisco Software Support Basic(SWSS)は、すべての Cisco ISE サブスクリプションのライセンス期間中に利用できます。すべての Cisco ISE サブスクリプション ライセンスでは、より高い価値のサービスレベルである Solution Support と、Software Support Enhanced および Premium を利用できます。
Software Support Enhanced および Premium サービスには、Software Support Basic の内容がすべて含まれますが、優先順位付けされたケースの処理、ソリューションレベルの専門知識を持つ高度なエンジニアへの直通窓口、導入準備と技術導入の支援など、より豊富な機能を備えています。Cisco ISE 向けの Software Support の詳細については、『Cisco Support Services for Security Software At-a-Glance』を参照してください。Software Support Enhanced は、Cisco ISE サブスクリプション ライセンスの推奨サポートレベルであることにご注意ください。
10.2. アドバイザリサービス
シスコはエキスパートサービスを提供することで、当社が提供するテクノロジーによってお客様のビジネス目標に対応します。たとえば、Cisco Security Segmentation Service が提供する戦略的なインフラストラクチャ セグメンテーションのアプローチにより、お客様によるセグメンテーションの取り組みを成功へと導きます。
10.3. Cisco Talos インシデント対応チーム
Cisco Talos インシデント対応チームリテーナは、能動的なサービスと緊急対応サービスのフルスイートを提供することで、サイバーセキュリティ侵害への準備、対応、およびリカバリを支援します。Cisco Talos インシデント対応チームは 24 時間態勢で緊急事態に対応でき、世界最大の脅威インテリジェンスおよび調査グループである Cisco Talos® への直通窓口となります。
Cisco ISE サブスクリプションの発注時に、Cisco Talos インシデント対応チームを発注してトランザクションを実行できます。これにより、さらに強力なセキュリティ態勢を構築し、セキュリティ侵害から確実に保護するためのオプションがさらに提供されます。Cisco Talos インシデント対応チームは、製品発注の規模に基づき適切な規模で自動的に付加されます。自動付加された SKU は削除でき、必須ではありません。また、自動付加がなされなかった場合は、利用可能な Cisco Talos インシデント対応チームのオプションから手動で選択できます。
この表では、Cisco ISE の設定で利用できる Cisco Talos インシデント対応チームのオプションについて説明します。
表 10. Cisco Talos インシデント対応チーム
| SKU |
説明 |
| SVS-CTIR-ISE-S |
Cisco Talos インシデント対応チームリテーナ - 小規模、Cisco ISE に付属 |
| SVS-CTIR-ISE-M |
Cisco Talos インシデント対応チームリテーナ - 中規模、Cisco ISE に付属 |
| SVS-CTIR-ISE-L |
Cisco Talos インシデント対応チームリテーナ - 大規模、Cisco ISE に付属 |
Cisco Talos インシデント対応チームの詳細については、『Incident Response Services』を参照してください。
注:サービスに関するその他の質問については、アカウントマネージャにお問い合わせください。
10.4. ライセンシングのリクエストに関する TAC サポートケースの作成
Cisco ISE ソフトウェア ライセンシングのサポートに関する TAC ケースを作成するには、次のステップに従います。
1. Support Case Manager にログインします。
2. [Open New Case] をクリックします。
3. ケースのタイプとして [Software Licensing] を選択します。
4. [License Management] で適切なカテゴリを選択します。
5. 適切なサブカテゴリを選択し、[Open Case] をクリックします。
6. [Security] タブで、製品 ISEを選択します。
7. タイトル、問題の説明、電話番号、メールアドレスなど、必要な詳細情報を入力します。
8. [Submit Case] をクリックしてリクエストを送信します。
TAC ケースはグローバル ライセンシング オペレーションズ チームによって管理され、Cisco ISE ビジネスユニットの承認によって履行されます。
Cisco ISE ライセンシングのサポートについては、Webex for Customers スペースに参加するか、ise-license-escalation@external.cisco.com まで電子メールにてお問い合わせください。
特定ライセンス予約
特定ライセンス予約(SLR)を使用すると、Cisco Smart Software Manager への継続的なネットワーク接続を必要とすることなく、デプロイメント内の各階層に Cisco ISE ライセンスを手動で割り当ててアクティブ化できます。SLR をご利用のお客様は、コンプライアンスを維持してサービスの中断を防ぐために、プライマリノードとセカンダリノードの両方でライセンスの正しいタイプと数量を予約する責任があります。
次の表で、プライマリノードとセカンダリノードの SLR 要件について説明します。
表 11. プライマリノードとセカンダリノードの SLR 要件
| カテゴリ |
プライマリ PAN |
セカンダリ PAN |
| 目的 |
プライマリ PAN によって管理されるすべての端末向けに、正しい階層と数量のライセンスを予約してアクティブ化します。 |
プライマリ PAN で機能不全が発生した場合も確実にサービスを継続できるよう、ライセンスを予約します。 |
| ライセンス階層 |
各機能階層を使用するピーク時のアクティブな端末数に基づいて、各階層(Essentials、Advantage、Premier)を個別に予約します。SLR モードでは、上位階層のライセンスは下位の階層を自動的にカバーしません。 |
フェールオーバー中にサービスが中断されることのないように、プライマリ PAN と同じライセンス階層と数量を登録します。 |
| 予約プロセス |
● 必要な数と階層のライセンスを購入します。 ● スマート アカウントにライセンスが表示されていることを確認します。 ● ISE で SLR 予約コードを生成します。 ● Smart Software Manager(SSM)にコードを入力します。 ● 必要に応じて、購入数量を階層全体に割り当てます(購入数量を超えることはできません)。 |
● セカンダリ PAN の特定ライセンス予約を有効にします。 ● プライマリ PAN と同じライセンス階層と数量を登録します。 ● フェールオーバーの発生前に、セカンダリ PAN でライセンスがアクティブであることを確認します。 |
| ライセンス割り当ての例 |
1,000 Premier ライセンスを購入すると、以下を予約できます。 ● 1,000 Premier ● 500 Premier、500 Advantage ● 500 Premier、 ● 他にも任意の組み合わせが可能ですが、予約済みの合計数が購入数量を超えることはできません。 |
● プライマリ PAN に 1,000 ライセンスを登録している場合は、セカンダリ PAN に同じ数量と階層を登録します。 ● これにより、プライマリ PAN で機能不全が発生した場合でも、ライセンス付与されたすべての機能を引き続き使用できます。 |
| ライセンス予約の柔軟性 |
予約済みライセンスの数量と階層は、デプロイメントのニーズに合わせていつでも更新できます。 |
プライマリ PAN の変更と一致するように、セカンダリ PAN の予約済みライセンスの数量と階層を更新できます。 |
| ガイドラインと推奨事項 |
● 予約が完全でない、または上位階層のライセンスのみが予約されている場合、下位階層の機能を使用している端末でエラーや未承認の通知が生成される可能性があります。 ● ライセンスの使用状況を定期的に確認し、ネットワークの変更、拡張、またはアップグレード後に予約を調整してください。 |
● セカンダリ PAN にライセンスが登録されていない場合、ライセンスが登録されてアクティブ化されるまで、フェールオーバー中に Cisco ISE のアクセスとサービスが影響を受けます。 ● フェールオーバー中のサービスの中断を回避するために、セカンダリ PAN のライセンス登録をプライマリ PAN と常に同期させてください。 |
注:
● SLR では各階層を個別に予約します。デフォルトでは、上位階層のライセンスに SLR の下位階層の機能は含まれていません。
● 各 PAN のすべての階層の予約済みライセンスの合計数が、購入済みライセンスの合計数を超えることはできません。
● 予約済みライセンスの階層と数量はいつでも変更できます。
● 高可用性を実現するために、プライマリおよびセカンダリ PAN の両方にライセンスを登録します。
Cisco ISE の可用性のためのライセンス配布オプション
この表では、100 個の階層ライセンスが必要な場合に、Cisco ISE へのアクセスが中断されないようにするための 2 つのアプローチについて説明します。アクセスとコンプライアンスの中断を防ぐには、プライマリ PAN とセカンダリ PAN の両方に十分な数のライセンスを登録する必要があります。
表 12. Cisco ISE ライセンスのライセンス配布
| 例 |
プライマリ PAN |
セカンダリ PAN |
プライマリ PAN のフェールオーバー中の想定事項 |
推奨アクション |
| 最少ライセンス配布 |
100 |
1 |
セカンダリ PAN にフェールオーバーした場合、使用中の Cisco ISE に十分なライセンスがないため、コンプライアンス非準拠の状態になります。Cisco ISE は 30 日間の猶予期間に入ります。 |
猶予期間が終了する前に、ライセンス数がより多い元のプライマリ PAN に再参加するか、または元の PAN からライセンスを解放し、新たに昇格された PAN に予約してコンプライアンスを復元します。 |
| 最大ライセンス配布 |
100 |
100 |
セカンダリ PAN にフェールオーバーした場合、Cisco ISE は引き続き稼働し、サービスへの影響やコンプライアンスに関するアラームは発生しません。 |
修復措置は必要ありません。利用可能になった元のプライマリ PAN を Cisco ISE に再参加させるだけです。 |
● セカンダリ PAN にライセンスが予約されていない場合、Cisco ISE 初回インストール以降のデプロイメント全体の残り評価日数に基づいて評価モードに入ります。たとえば、90 日の評価期間のうち、購入したライセンスを登録する前に 50 日間をすでに使用している場合、SLR によるフェールオーバー中にセカンダリ PAN がプライマリに昇格されると、そのセカンダリ PAN は残りの 40 日間評価モードのままになります。
● 評価日数が残っていない場合、新たに昇格された PAN に適切なライセンスを予約するまで、デプロイメントはコンプライアンス非準拠の状態になります。
● SLR に含まれていないライセンス利用資格は使用できません。
● ライセンスの使用量が SLR と一致しない場合、Cisco ISE の管理ポータルにコンプライアンス非準拠のアラートが表示されます。
表 13. 特定ライセンス予約の例
| 例 |
バーチャル アカウント(Cisco SSM)内の利用可能なライセンス数 |
Cisco ISE デプロイメント内の予約済みライセンス数 |
バーチャル アカウント(Cisco SSM)内の残りライセンス数 |
説明 |
| ルール 1:利用資格の上限までのみを予約 |
100 Essentials |
100 Essentials |
0 Essentials |
バーチャル アカウント内の利用可能なライセンスの合計数まで予約できます。 |
| 超過予約の試行 |
100 Essentials |
300 Essentials |
0 Essentials |
バーチャル アカウント内のライセンス数を上回るライセンスを予約することはできません。 |
| ルール 2:正しいライセンスタイプのみを予約 |
100 Advantage |
40 Advantage 40 Essentials |
20 Advantage |
利用資格があるライセンスタイプのみを予約する必要があります。上位階層のライセンスが利用可能な場合は Essentials ライセンスを予約できます。 |
注:
● Cisco SSM のライセンス数には、以前に予約され、返却されていないライセンスは含まれません。
● 予約できるライセンスの最大数は、各階層について利用資格があるライセンスの数となります。
● 上位階層のライセンスを利用できる場合は Essentials ライセンスを予約できます。
Entra ID デバイス属性を表示するための Cisco ISE ライセンス要件
Cisco ISE GUI で Entra ID デバイス属性を表示できるかどうかは、使用しているライセンスのタイプによって決まります。各ライセンス階層で表示できる属性の詳細な内訳は次のとおりです。
1. Essential ライセンス
Essentials ライセンスの場合、表 14 の Essentials 列にリストされているデバイス属性が、[Authorization Policy] および [Rest ID Store Configuration] ページに表示されます。
2. Advantage ライセンス
Advantage ライセンスの場合、Essentials ライセンスで表示できるすべての属性に加えて、表 14 の Advantage 列にリストされている追加の属性が [Authorization Policy] および [Rest ID Store Configuration] ページに表示されます。
3. Premier ライセンス
Premier ライセンスの場合、Essentials および Advantage ライセンスで表示できるすべての属性に加えて、表 14 の Premier 列にリストされている追加の属性が [Authorization Policy] および [Rest ID Store Configuration] ページに表示されます。
表 14. ライセンス階層別の属性の概要
| 属性 |
Essentials |
Advantage |
Premier |
| 表示名 |
✓ |
✓ |
✓ |
| デバイス ID(Device Id) |
✓ |
✓ |
✓ |
| 有効なアカウント |
✓ |
✓ |
✓ |
| デバイスの所有権(Device Ownership) |
✓ |
✓ |
✓ |
| オンプレミスセキュリティ識別子(On Premises Security Identifier) |
X |
✓ |
✓ |
| オペレーティング システム |
X |
✓ |
✓ |
| 製造元 |
X |
✓ |
✓ |
| オペレーティング システム バージョン(Operating System Version) |
X |
✓ |
✓ |
| Device Category |
X |
✓ |
✓ |
| 有効なオンプレミス同期(On Premises Sync Enabled) |
X |
✓ |
✓ |
| プロファイル タイプ |
X |
✓ |
✓ |
| モデル |
X |
✓ |
✓ |
| 信頼タイプ(Trust Type) |
X |
✓ |
✓ |
| 管理制限あり(Is Management Restricted) |
X |
✓ |
✓ |
| デバイスバージョン |
X |
✓ |
✓ |
| デバイスのメタデータ(Device Metadata) |
X |
✓ |
✓ |
| コンプライアンスに準拠 |
X |
X |
✓ |
| 管理対象(Is Managed) |
X |
X |
✓ |
| ルート化済み(Is Rooted) |
X |
X |
✓ |
| 管理タイプ(Management Type) |
X |
X |
✓ |
| Enrollment Type |
X |
X |
✓ |
| 登録プロファイル名(Enrollment Profile Name) |
X |
X |
✓ |
| MDM アプリケーション ID(Mdm App Id) |
X |
X |
✓ |
注:この機能は、Cisco ISE バージョン 3.4 パッチ 3 以降で使用できます。
Entra ID Premium ライセンスの要件
GUI で Entra ID 属性を使用するには、Entra ID Premium ライセンス(P1、P2、または Suite レベル)が必要です。Entra ID 属性は以下の 2 つのカテゴリに分類されます。
ユーザー属性
デバイス属性
次の表に、各カテゴリで使用可能な属性の概要を示します。
表 15. Entra ID または Azure Premium ライセンスのユーザー属性とデバイス属性の概要
| ユーザー属性 |
デバイス属性 |
| 誕生日(Birthday) |
Device Category |
| スキル(Skills) |
有効なオンプレミス同期(On Premises Sync Enabled) |
| 雇用日(Hire Date) |
プロファイル タイプ |
| マイサイト(My Site) |
デバイスの所有権(Device Ownership) |
| 責任(Responsibilities) |
コンプライアンスに準拠(Is Compliant) |
| 学校(Schools) |
管理対象(Is Managed) |
| 通称(Preferred Name) |
|
| 興味(Interests) |
|
| 自分の情報(About Me) |
|
| 過去のプロジェクト(Past Projects) |
|
| デバイス登録制限(Device Enrollment Limit) |
|