管理者ポータルでは、ISE の設定およびレポートにアクセスできます。次の図に、このポータルのメニュー バーの主な要素を示します。
1 |
メニューのドロップダウン |
|
2 |
右上のメニュー |
|
Cisco ISE ダッシュボードには、効果的なモニタリングおよびトラブルシューティングに必要不可欠な、統合された相関性のあるライブ統計データが表示されます。特に指定がない限り、ダッシュボード要素によってアクティビティは 24 時間表示されます。次の図に、Cisco ISE ダッシュボードで使用できる情報の一部を示します。
セットアップ アシスタントでは、ウィザード形式のインターフェイスの一連の質問に従って応答を保持し、それらを使用して Cisco ISE を直接設定できます。これにより、ネットワークの概念実証として基本動作 Cisco ISE 設定をセットアップできます。質問への回答は、認証、許可、プロファイリング、ポスチャ、クライアント プロビジョニング、ゲスト サービス、およびパーソナル デバイスのサポートという、Cisco ISE 機能に影響します。
セットアップ アシスタント機能は、設定に適用した Cisco ISE ライセンスによって異なります。
Cisco ISE を初めて起動すると、セットアップ アシスタントを実行するように促されます。実行しないことを選択した場合は、後で再度実行できます。
このタスクを実行するには、スーパー管理者である必要があります。セットアップ アシスタントは、スタンドアロンまたはプライマリ管理ノード(PAN)でのみ実行できます。
ステップ 1 | 管理者ポータルの右上隅の [セットアップ アシスタント(Setup Assistant)] をクリックします。 |
ステップ 2 | 画面の指示に従って、設定を完了します。 |
セットアップ アシスタントを実行するたびに、Cisco ISE によって以前の設定が上書きされることが、次のように設定に重大な影響を与える場合があります。
有線または無線接続をサポートするか、またはその両方をサポートするかを指定できます。Cisco ISE Wireless ライセンスを使用する場合、有線オプションは使用できません。
これらの選択は、Cisco ISE が作成するポリシーに影響し、これにより他に必要な対応が決まります。たとえば、有線を選択する場合、ネットワークが IP 電話をサポートするかどうかを指定できます。
有線接続をモニタリングするかどうか、またはコンプライアンスに基づいてネットワーク アクセスを強制する必要があるかどうかも示す必要があります。
ゲストまたは非準拠のエンドポイントがアクセスできないサブネットを指定する必要があります。この情報は、ダウンロード可能 ACL を作成する場合に使用されます。
これらのグループに属するユーザは、従業員としてネットワーク アクセス権を付与され、スポンサー ポータルを使用してゲスト アカウントを作成することを許可されます。
内部ユーザ:内部ユーザを作成する場合、Cisco ISE は、入力した名前を使用して 1 人のユーザを作成し、デフォルトの従業員ユーザ ID グループと ALL_ACCOUNTS ユーザ ID グループにそのユーザを割り当てます。これは、セットアップの完了後に、[管理(Administration)]> [IDの管理(Identity Management)]> [ID(Identities)]> [ユーザ(Users)] ページで確認できます。
セットアップ アシスタントはネットワークの機能を示すための基本的な Cisco ISE 設定だけを提供するので、それを使用して内部ユーザ データベースに追加ユーザをインポートすることはできません。セットアップ アシスタントを完了した後に、管理者ポータルを使用して追加の内部ユーザを追加できます。
Active Directory:Active Directory ドメインに参加する場合、Cisco ISE は指定された AD ドメインを追加して、それに参加します。ドメインへの参加後、Active Directory グループを選択する必要があります。このグループに属するすべてのユーザは、Dot1x を使用して認証され、スポンサー ポータルを使用してゲストを作成できます。これは、セットアップの完了後に、[管理(Administration)]> [IDの管理(Identity Management)]> [外部IDソース(External Identity Sources)]> [Active Directory] ページで確認できます。
セットアップ アシスタントを使用してポスチャを有効にすると、Cisco ISE は接続されたエンドポイント上のアンチスパイウェアおよびアンチウイルスの定義とインストールを確認します。
従業員とゲストのポスチャ コンプライアンスを評価するか、または評価および遵守するかを指定する必要があります。
ネットワーク アクセス権を付与する前に非準拠のエンドポイントを修復サーバにリダイレクトするように Cisco ISE に強制する場合、プロキシ サーバの IP アドレスを入力します。
ポスチャ コンプライアンスを有効にした場合、Cisco ISE は次の内容を実行します。
ページでダウンロード可能 ACL を作成します。セットアップ アシスタントで作成されたすべての DACL にはプレフィクス AutoGen が含まれます(AutoGen_DACL_PrePostureWired など)。
ページで許可プロファイルを作成します。セットアップ アシスタントで作成された許可プロファイルにはプレフィクス AutoGen が含まれます(AutoGen_profile_Byod_CWA など)。
および ページで許可条件を作成します。セットアップ アシスタントで作成された許可条件にはプレフィクス AutoGen が含まれます(AutoGen_condition_Android_Devices または AutoGen_condition_GuestWired など)。
ページでクライアント プロビジョニング ポリシーを作成します。セットアップ アシスタントで作成されたクライアント プロビジョニング ポリシーにはプレフィクス AutoGen が含まれます(AutoGen_Provisioning など)。
ページでポスチャ ポリシーを作成します。セットアップ アシスタントで作成されたポスチャ ポリシーにはプレフィクス AutoGen が含まれます(AutoGen_Policy_Check_For_AS_Definition_Mac_Employee など)。
ページで許可ポリシーを作成します。セットアップ アシスタントで作成された許可ポリシーにはプレフィクス AutoGen が含まれます(AutoGen_policy_Registered_Wireless_Devices など)。
ページで認証ポリシーを作成します。セットアップ アシスタントで作成された認証ポリシーにはプレフィクス AutoGen が含まれます(AutoGen_AuthNPolicy_MAB など)。
エンドポイント プロファイリングは、ネットワークに接続されているすべてのエンドポイントの機能を検出、識別、および決定します。エンドポイント プロファイリングを有効にした場合、Cisco ISE は次の内容を実行します。
Cisco ISE は、エンドポイントのポスチャを評価し、ネットワークでパーソナル デバイスを許可するために必要なシスコ定義のポスチャ チェックおよびクライアント プロビジョニング リソースをダウンロードするために、プロキシ サーバを使用します。これらのプロキシ設定を設定すると、Cisco ISE は ページで設定を更新します。
ゲスト ユーザをサポートするには、スポンサー ユーザを作成する必要があります。Cisco ISE は、入力した名前を使用して 1 人のユーザを作成し、デフォルトの ALL_ACCOUNTS ユーザ ID グループにそのユーザを割り当てます。それにより、ユーザはスポンサー ユーザとして定義されます。これは、セットアップの完了後に、 ページで確認できます。
簡素化された URL を追加すると、Cisco ISE は ページ上部の [ポータル名(Portal Name)] 設定を更新します。
従業員がデバイス ポータルにアクセスするために使用する簡素化された URL を追加することができます。その場合、Cisco ISE は ページ上部の [ポータル名(Portal Name)] 設定を更新します。
Cisco ISE は、 ページにスイッチおよびワイヤレス コントローラを追加し、SNMP 設定を更新し、[認証設定(Authentication Settings)] オプションに RADIUS 共有秘密を追加します。
以前に行った選択によっては、スイッチおよびワイヤレス コントローラを設定する必要があります。必要な設定の詳細を説明するサンプル ネットワーク トポロジを表示するには、[有線(Wired)] または [ワイヤレスネットワーク構成図(Wireless Network Diagram)] リンクをクリックします。
設定された各スイッチおよび WLC の設定の詳細が個別に表示されます。Cisco ISE では、デバイス上のこれらの設定を自動的には更新しません。現在のデバイス設定を完全に置き換える場合は、設定全体をコピー アンド ペーストします。あるいは、必要な設定変更を加えた特定のセクションをコピーできます。 を選択することによって、セットアップ アシスタントの終了後に設定の最新コピーにアクセスできます。
[ISE の設定(ISE Configuration)] タブには、Cisco ISE に追加された各設定、ポリシー、プロファイル、DACL とネットワーク デバイスの詳細が表示されます。
設定およびフィルタ アイコンを使用して、リスト ページに表示される情報をカスタマイズおよびフィルタリングできます。
リスト ページに表示されるフィールド属性をカスタマイズできます。使用可能なオプションおよびデフォルト オプションは、特定のリスト ページによって異なります。
ステップ 1 | [設定(Settings)] アイコンをクリックし、[カラム(Columns)] を選択します。 |
ステップ 2 | 追加または削除する項目を選択します。選択した項目の横にチェックマークが表示されます。 |
ステップ 3 | [閉じる(Close)] をクリックします。 |
クイック フィルタを使用して、リスト ページに表示されるフィールド属性の値を入力し、ページをリフレッシュすることで、フィルタ基準に一致するレコードのみを一覧表示できます。
ステップ 1 | [表示(Show)] ドロップダウン リストをクリックし、[クイック フィルタ(Quick Filter)] を選択します。 |
ステップ 2 | 属性フィールドの 1 つ以上に検索条件を入力すると、指定した属性に一致するエントリが自動的に表示されます。 |
拡張フィルタを使用して、指定した条件(名 = Mike、ユーザ グループ = 従業員など)に基づいて情報をフィルタリングできます。複数の条件を指定できます。
カスタム フィルタを作成および保存し、プリセット フィルタでフィルタ条件を変更できます。カスタム フィルタは Cisco ISE データベースに保存されません。カスタム フィルタにアクセスするには、そのフィルタの作成に使用した同じコンピュータおよびブラウザを使用する必要があります。
Cisco ISE 国際化では、サポートされる言語にユーザ インターフェイスを合わせます。ユーザ インターフェイスのローカリゼーションでは、ロケール固有のコンポーネントおよび翻訳されたテキストが組み込まれます。
Cisco ISE の国際化およびローカリゼーションのサポートでは、ポータルに接するエンドユーザに対して UTF-8 符号化で英語以外のテキストをサポートすること、および管理者ポータルの選択的フィールドに重点を置いています。
Cisco ISE では、次の言語とブラウザ ロケールのローカリゼーションおよび国際化がサポートされます。
ゲスト、スポンサー、デバイスおよびクライアント プロビジョニングの各ポータルは、サポートされているすべての言語およびロケールにローカライズされています。ローカライズには、テキスト ラベル、メッセージ、フィールド名およびボタン ラベルが含まれます。クライアント ブラウザが Cisco ISE テンプレートにマッピングされていないロケールを要求した場合、ポータルは英語のテンプレートを使用して内容を表示します。
管理者ポータルを使用して、各言語のゲスト、スポンサー、デバイスの各ポータルで使用されるフィールドを個別に変更できます。また、言語を追加することも可能です。現在、クライアント プロビジョニング ポータルについては、これらのフィールドはカスタマイズできません。
HTML ページを Cisco ISE にアップロードすることによって、ゲスト ポータルを詳細にカスタマイズできます。カスタマイズしたページをアップロードする場合は、展開に対する適切なローカリゼーション サポートに責任を負います。Cisco ISE では、サンプル HTML ページを含むローカリゼーション サポート例が提供されており、これをガイドとして使用できます。Cisco ISE には、国際化されたカスタム HTML ページをアップロード、格納、および表示する機能があります。
![]() (注) |
NAC および MAC エージェントのインストーラおよび WebAgent ページはローカライズされていません。 |
エンドユーザに(Cisco NAC Agent またはサプリカント、あるいはスポンサー、ゲスト、デバイス、クライアント プロビジョニングの各ポータルを介して)公開される Cisco ISE フィールドは、すべての言語の UTF-8 文字セットをサポートします。UTF-8 は、Unicode 文字セット用のマルチバイト文字エンコーディングであり、ヘブライ語、サンスクリット語、アラビア語など、多数の異なる言語文字セットがあります。
文字の値は、管理設定データベースに UTF-8 で格納され、UTF-8 文字はレポートおよびユーザ インターフェイス コンポーネントで正しく表示されます。
ネットワーク アクセス認証では、UTF-8 ユーザ名およびパスワードのクレデンシャルがサポートされます。これには、RADIUS、EAP、RADIUS プロキシ、RADIUS トークン、ゲストおよび管理ポータルのログイン認証からの Web 認証が含まれます。ユーザ名とパスワードの UTF-8 サポートは、ローカル ID ストアおよび外部 ID ストアに対する認証に適用されます。
UTF-8 認証は、ネットワーク ログインに使用されるクライアント サプリカントに依存します。一部の Windows ネイティブ サプリカントでは、UTF-8 クレデンシャルはサポートされません。Windows ネイティブ サプリカントで問題が生じた場合は、次の Windows ホットフィックスが役立つ場合があります。
http://support.microsoft.com/default.aspx?scid=kb;EN-US;957218
http://support.microsoft.com/default.aspx?scid=kb;EN-US;957424
![]() (注) |
RSA では UTF-8 ユーザはサポートされないため、RSA を使用した UTF-8 認証はサポートされません。同様に、Cisco ISE 1.2 と互換性がある RSA サーバでも UTF-8 はサポートされません。 |
属性値に基づいて決定される Cisco ISE のポリシー ルールに、UTF-8 テキストが含まれている場合があります。UTF-8 属性値はルール評価でサポートされます。また、管理ポータルで UTF-8 の値を使用して条件を設定できます。
ポスチャ要件を、UTF-8 文字セットに基づくファイル、アプリケーション、およびサービス条件として変更できます。これには、UTF-8 要件の値を NAC エージェントに送信することが含まれます。NAC エージェントはそれに応じてエンドポイントを評価し、UTF-8 の値を報告します(該当する場合)。
Cisco NAC エージェントでは、テキスト、メッセージ、および Cisco ISE と交換される任意の UTF-8 データの国際化がサポートされます。これには、要件メッセージ、要件名、および条件で使用されるファイル名およびプロセス名が含まれます。
RSA プロンプトおよびメッセージは、RADIUS 属性 REPLY-MESSAGE を使用して、または EAP データ内で、サプリカントに転送されます。テキストに UTF-8 データが含まれている場合は、サプリカントによって、クライアントのローカル オペレーティング システムの言語サポートに基づいて表示されます。一部の Windows ネイティブ サプリカントでは、UTF-8 クレデンシャルはサポートされません。
Cisco ISE プロンプトおよびメッセージは、サプリカントが実行されているクライアントのオペレーティング システムのロケールと同期していない場合があります。エンドユーザのサプリカントのロケールを Cisco ISE によってサポートされている言語に合わせる必要があります。
モニタリングおよびトラブルシューティングのレポートおよびアラートでは、Cisco ISE でサポートされる言語について、次のように関連属性の UTF-8 の値がサポートされます。
Cisco ISE フィールド(UTF-8)では、ポータルおよびエンドユーザ メッセージでローカリゼーション用に現在サポートされているよりも、多くの文字セットがサポートされます。たとえば、Cisco ISE では、ヘブライ語やアラビア語などの右から左へ記述する言語はサポートされていません(文字セット自体はサポートされています)。
次の表に、データの入力および表示に UTF-8 文字をサポートする管理者ポータルおよびエンドユーザ ポータルのフィールドを示します。次の制限があります。
一部のデバッグ ログには、属性値およびポスチャ条件の詳細が表示されます。そのため、すべてのデバッグ ログで UTF-8 の値が受け入れられます。raw UTF-8 データを含むデバッグ ログをダウンロードして、UTF-8 対応ビューアで表示できます。
Cisco ISE では、ACS UTF-8 設定オブジェクトおよび値の移行が可能です。一部の UTF-8 オブジェクトの移行は、Cisco ISE UTF-8 言語でサポートされない場合があります。そのため、移行中に提供される UTF-8 データの一部は、管理ポータルまたはレポート方式を使用して読み取れない表示になる場合があります。(ACS から移行された)読み取り不可能な UTF-8 値は ASCII テキストに変換する必要があります。
ISE は次のいずれかの形式で入力された MAC アドレスの正規化をサポートします。
次の ISE ウィンドウでは、完全または部分的な MAC アドレスを指定できます。
[ポリシー(Policy)] > [許可(Authorization)]
[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [許可(Authorization)]
[認証(Authentications)] > [フィルタ(Filters)](エンドポイント カラムおよび ID カラム)
[グローバル検索(Global Search)]
[操作(Operations)] > [レポート(Reports)] > [レポート フィルタ(Reports Filters)]
[操作(Operations)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [エンドポイントのデバッグ(Endpoint Debug)]
次の ISE ウィンドウでは、完全な MAC アドレスを指定する必要があります(「:」または「-」または「.」で区切られた 6 オクテット)。
[操作(Operations)] > [エンドポイント保護サービス(Endpoint Protection Services)適応型ネットワーク制御(Adaptive Network Control)]
[操作(Operations)] > [トラブルシューティング(Troubleshooting)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [RADIUS 認証トラブルシューティング(RADIUS Authentication Troubleshooting)]
[操作(Operations)] > [トラブルシューティング(Troubleshooting)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [ポスチャのトラブルシューティング(Posture Troubleshooting)]
[管理(Administration)] > [ID(Identities)] > [エンドポイント(Endpoints)]
[管理(Administration)] > [システム(System)] > [展開(Deployment)]
[管理(Administration)] > [ロギング(Logging)] > [収集フィルタ(Collection Filter)]
REST API でも、完全な MAC アドレスの正規化がサポートされます。
有効なオクテットには 0 ~ 9、a ~ f、または A ~ F のみ含めることができます。
Cisco ISE では、管理権限を制限することでセキュリティを確保するロールベース アクセス コントロール(RBAC)ポリシーが提供されます。RBAC ポリシーは、ロールおよび権限を定義するためにデフォルトの管理者グループに関連付けられています。標準的な権限セット(メニューおよびデータ アクセス)が、事前定義された管理者グループそれぞれとペアになっており、それによって、関連付けられたロールおよび職務機能と整合性がとられています。
ユーザ インターフェイスにある一部の機能には、使用するために特定の権限が必要です。ある機能が使用できない場合、または特定のタスクの実行が許可されない場合、その機能を利用するタスクを実行するのに必要な権限が自分の管理者グループにない場合があります。
アクセス レベルに関係なく、すべての管理者アカウントは、管理者がアクセスできるすべてのページの、権限を持つオブジェクトを変更または削除できます。読み取り専用機能は、いずれの管理者アクセスにも使用できません。