企業ネットワーク上のパーソナル デバイスをサポートする場合は、ユーザ(従業員、請負業者、およびゲスト)とそのデバイスを認証および許可することで、ネットワーク サービスおよび企業データを保護する必要があります。Cisco ISE は、従業員が企業ネットワーク上でパーソナル デバイスを安全に使用できるようにするために必要なツールを提供します。
ゲストは、ゲスト ポータルへのログイン時に、自動的に自分のデバイスを登録することができます。また、ゲスト タイプに定義されている最大数まで追加デバイスを登録することもできます。これらのデバイスは、ゲストが使用するポータルのタイプに基づいて、エンドポイントの ID グループに登録されます。ホットスポット ゲスト ポータルでは、選択されたエンドポイントの ID グループが使用され、クレデンシャルを持つゲスト ポータルでは、エンドポイントの ID グループがゲストのゲスト タイプによって定義されます。
また、ユーザは、ネイティブ サプリカント プロビジョニング(個人所有デバイスの持ち込み(BYOD))またはデバイス ポータルを使用して、ネットワークにパーソナル デバイスを追加することもできます。ユーザがログインしたときに、そのユーザの許可要件に関連付けられているプロファイルに基づいて、Cisco ISE でネットワーク アクセス用デバイスを設定するために必要なネイティブ サプリカント プロビジョニング ウィザード(BYOD ポータルで)を提供できるように、ネイティブ サプリカント プロファイルを作成できます。
ネイティブ サプリカント プロファイルはすべてのデバイスで使用できるわけではないため、ユーザはデバイス ポータルを使用してこれらのデバイスを手動で追加することができます。または、これらのデバイスを登録するように BYOD ルールを設定できます。
Cisco ISE のエンドユーザ Web ポータルは、管理ペルソナ、ポリシー サービス ペルソナ、およびモニタリング ペルソナに基づき、設定、セッション サポート、およびレポート機能を提供します。
エンドユーザ ポータルはポリシー サービス ノードで実行する必要があります。ここでは、ネットワーク アクセス、クライアント プロビジョニング、ゲスト サービス、ポスチャ、およびプロファイリングを含むすべてのセッション トラフィックが処理されます。ポリシー サービス ノードがノード グループに含まれる場合、ノードで障害が発生すると、他のノードが障害を検出し、保留中のセッションをリセットします。
モニタリング ノードは、デバイス ポータル、スポンサー ポータル、およびゲスト ポータルでのエンドユーザおよびデバイスのアクティビティについて、データを収集、集約、およびレポートします。プライマリ モニタリング ノードで障害が発生した場合は、セカンダリ モニタリング ノードが自動的にプライマリ モニタリング ノードになります。
従業員が 1 ~ 100 のパーソナル デバイスを登録できるようにすることができます。従業員がパーソナル デバイスの登録に使用したポータルに関係なく、この設定では、すべてのポータルにわたって登録されるデバイスの最大数を定義します。
外部 ID ストアを使用するか、内部ユーザを作成することによって、従業員や請負業者などのユーザを Cisco ISE に追加するときに、そのユーザに対して、ネットワーク上でパーソナル デバイスを使用することを許可できます。
Cisco ISE では、ローカル データベースあるいは外部の Lightweight Directory Access Protocol(LDAP)または Microsoft Active Directory(AD)ID ストアによりこれらのユーザを認証します。
Cisco ISE では、従業員が所有するパーソナル デバイスをサポートするために複数の Web ベース ポータルが提供されています。これらのデバイス ポータルは、ゲスト ポータル フローまたはスポンサー ポータル フローには関与しません。
次のポータルを使用します。
ブラックリスト ポータル:「ブラックリスト」に掲載されているためネットワーク アクセスには使用できないパーソナル デバイスに関する情報を提供します。
BYOD ポータル:従業員がネイティブ サプリカント プロビジョニング機能を使用して自分のパーソナル デバイスを登録できるようにします。
証明書プロビジョニング ポータル:管理者および従業員が BYOD フローを通過できないデバイスについてユーザ/デバイス証明書を要求できるようにします。
クライアント プロビジョニング ポータル:コンプライアンスをチェックするポスチャ エージェントを自分のデバイスにダウンロードするよう従業員に強制します。
MDM ポータル:従業員が外部のモバイル デバイス管理(MDM)システムに自分のモバイル デバイスを登録できるようにします。
デバイス ポータル:従業員がパーソナル デバイス(ネイティブ サプリカント プロビジョニングをサポートしないデバイスを含む)を追加および登録し、管理できるようにします。
Cisco ISE には、事前定義済みのデフォルト ポータルのセットを含む複数のデバイス ポータルを Cisco ISE サーバでホストする機能が用意されています。デフォルトのポータル テーマには、管理者ポータルからカスタマイズできる標準のシスコ ブランドが適用されています。組織に固有のイメージ、ロゴ、およびカスケーディング スタイル シート(CSS)ファイルをアップロードして、ポータルをさらにカスタマイズすることもできます。
従業員は、このポータルに直接アクセスするのではなく、このポータルにリダイレクトされます。
従業員が自分のパーソナル デバイスを紛失したり盗まれたりした場合、デバイス ポータルでデバイスのステータスを更新して、ブラックリスト エンドポイント ID グループにデバイスを追加できます。これにより、不正なネットワーク アクセスにデバイスが使用されることを防ぎます。誰かがこれらのデバイスの 1 つを使用してネットワークに接続しようとすると、ブラックリスト ポータルにリダイレクトされ、デバイスがネットワークへのアクセスを拒否することが通知されます。デバイスが見つかった場合、従業員はデバイス ポータルでデバイスを復元し、デバイスを再登録せずにネットワーク アクセスを回復できます。デバイスの盗難か紛失かによっては、デバイスをネットワークに接続する前に、追加のプロビジョニングが必要になる場合があります。
ブラックリスト ポータルのポート設定(デフォルトはポート 8444)を設定できます。ポート番号を変更する場合は、別のエンドユーザ ポータルで使用されていないことを確認してください。
ブラックリスト ポータルの設定については、ブラックリスト ポータルの編集を参照してください。
従業員は、証明書プロビジョニング ポータルに直接アクセスできます。
証明書プロビジョニング ポータルでは、従業員はオンボーディング フローを通過できないデバイスについて証明書を要求することができます。たとえば、販売時点管理端末などのデバイスは、BYOD フローを通過できず、証明書を手動で発行する必要があります。証明書プロビジョニング ポータルで、権限のある一連のユーザは、そのようなデバイスに対する証明書要求をアップロードし、キー ペアを生成し(必要に応じて)、証明書をダウンロードできます。
従業員は、このポータルにアクセスして、1 つの証明書について要求を行うか、または CSV ファイルを使用して一括証明書要求を行うことができます。
従業員は、ネイティブ サプリカントを使用してパーソナル デバイスを登録すると、個人所有デバイスの持ち込み(BYOD)ポータルにリダイレクトされます。従業員がパーソナル デバイスを使用して初めてネットワークにアクセスを試みると、手動で Network Setup Assistant(NSA)ウィザードをダウンロードして起動するように求められ、ネイティブ サプリカントの登録およびインストールに進む場合があります。デバイスを登録すると、デバイス ポータルを使用して、それを管理できます。
![]() (注) | BYOD フローは、デバイスが AnyConnect Network Access Manager(NAM)を使用してネットワークに接続すると、サポートされません。 |
従業員は、このポータルに直接アクセスするのではなく、このポータルにリダイレクトされます。
クライアント プロビジョニング システムでは、企業ネットワークにアクセスしようとしているデバイスのポスチャ評価および修復を行います。従業員がデバイスを使用してネットワーク アクセスを要求したときに、クライアント プロビジョニング ポータルにルーティングして、最初にポスチャ エージェントをダウンロードするように要求できます。ポスチャ エージェントは、デバイスにアンチウイルス ソフトウェアがインストールされていることや、オペレーティング システムがサポートされていることの確認など、コンプライアンスに関するデバイスのスキャンを行います。
従業員は、このポータルに直接アクセスするのではなく、このポータルにリダイレクトされます。
数多くの会社で、従業員のモバイル デバイスを管理するために、モバイル デバイス管理(MDM)システムを使用しています。
Cisco ISE では外部 MDM システムとの統合が許可されており、従業員はこれを使用して、モバイル デバイスを登録し、企業ネットワークにアクセスすることができます。シスコでは、従業員がデバイスを登録し、ネットワークに接続するために使用できる外部 MDM インターフェイスを提供しています。
MDM ポータルを使用することで、従業員は外部 MDM システムに登録できます。
従業員は、デバイス ポータルを使用して、PIN コードでのデバイスのロック、工場出荷時のデフォルト設定へのデバイスのリセット、デバイス登録時にインストールされていたアプリケーションおよび設定の削除など、モバイル デバイスの管理を行うことができます。
Cisco ISE では、すべての外部 MDM システム用に単一の MDM ポータルを、または個々の MDM システムごとに 1 つのポータルを使用できます。
MDM サーバを ISE とともに動作するように設定する方法については、MDM ポータルの作成を参照してください。
従業員は、デバイス ポータルに直接アクセスできます。
ネットワーク アクセスが必要な一部のネットワーク デバイスは、ネイティブ サプリカント プロビジョニングでサポートされていないため、BYOD ポータルを使用して登録することができません。ただし、従業員は、オペレーティング システムがサポートされていないか、Web ブラウザが搭載されていないパーソナル デバイス(プリンタ、インターネット ラジオ、その他のデバイスなど)を、デバイス ポータルを使用して追加および登録することができます。
従業員は、デバイスの MAC アドレスを入力して、新しいデバイスを追加および管理できます。従業員が、デバイス ポータルを使用してデバイスを追加すると、Cisco ISE はそのデバイスを RegisteredDevices エンドポイント ID グループのメンバーとして、[エンドポイント(Endpoints)] ページに追加します(別のエンドポイント ID グループに、すでに静的に割り当てられている場合を除く)。デバイスは、Cisco ISE の他のエンドポイントと同様にプロファイリングされ、ネットワーク アクセスのための登録プロセスが行われます。
1 つのデバイスからの 2 つの MAC アドレスがユーザによりデバイス ポータルに入力されると、それらが同じホスト名を持ち、ISE で 1 つのエントリとして統合されていることがプロファイリングによって設定されます。たとえば、ユーザは有線および無線のアドレスでラップトップを登録します。そのデバイス上での削除などの操作は、両方のアドレスで機能します。
登録済みデバイスがポータルから削除されると、デバイス登録状態属性と BYOD 登録状態属性は、それぞれ [未登録(NotRegistered)] および [いいえ(No)] に変更されます。ただし、これらの属性は、従業員のデバイス登録時にのみ使用される BYOD 属性であるため、ゲスト(従業員以外)がクレデンシャルを持つゲスト ポータルの [ゲスト デバイス登録(Guest Device Registration)] ページを使用してデバイスを登録した場合は、変更されずそのままになります。
従業員は、BYOD またはデバイス ポータルを使用して自分のデバイスを登録しているかどうかに関係なく、デバイス ポータルを使用してそれらを管理できます。
ネイティブ サプリカント プロファイルを作成して、Cisco ISE ネットワークでパーソナル デバイスをサポートできます。ユーザの許可要件に関連付けるプロファイルに基づいて、Cisco ISE はネットワークにアクセスするユーザのパーソナル デバイスをセットアップするために必要なサプリカント プロビジョニング ウィザードを提供します。
従業員がパーソナル デバイスを使用して初めてネットワークへのアクセスを試みると、登録およびサプリカントの設定の手順が自動的に示されます。デバイスを登録した後、デバイス ポータルを使用してデバイスを管理できます。
ネイティブ サプリカントを使用してパーソナル デバイスをサポートする BYOD 展開フローは、次の要因によって若干異なります。
シングルまたはデュアル SSID:シングル SSID の場合は、証明書の登録、プロビジョニング、およびネットワーク アクセスに同じ WLAN が使用されます。デュアル SSID 展開では、2 つの SSID があります。1 つは登録およびプロビジョニングを提供し、もう 1 つはセキュアなネットワーク アクセスを提供します。
Windows、MacOS、iOS、または Android デバイス:ネイティブ サプリカントのフローは、サポートされているパーソナル デバイスを利用する従業員を BYOD ポータルにリダイレクトしてこれらのデバイス情報を確認することによって、デバイスのタイプに関係なく、同様に開始します。この時点で、プロセスはデバイス タイプに応じて分岐します。
Cisco ISE は、会社の Active Directory または会社の他の ID ストアに対して従業員を認証し、許可ポリシーを提供します。
デバイスが BYOD ポータルにリダイレクトされます。デバイスの MAC アドレスは自動で事前に設定されますが、従業員が説明を確認して追加できます。
ネイティブ サプリカントが設定されますが、プロセスはデバイスによって異なります。
MacOS および Windows デバイス:従業員は BYOD ポータルで [登録(Register)] をクリックして、サプリカント プロビジョニング ウィザードをダウンロードしてインストールします。このウィザードは、サプリカントを設定し、証明書を提供します(必要な場合)。
iOS デバイス:Cisco ISE ポリシー サーバは、Apple iOS の Over The Air を使用して、次のものを含む新しいプロファイルを iOS デバイスに送信します。
Android デバイス:Cisco ISE は、従業員に Google Play から Cisco Network Setup Assistant(NSA)をダウンロードするように要求し、ルーティングします。アプリケーションをインストールしたら、従業員は、NSA を開いてセットアップ ウィザードを開始し、認証パラメータを生成して、デバイス証明書の証明書要求を開始できます(必要な場合)。
Cisco ISE は、許可変更(CoA)を開始し、セキュアな 802.1X ネットワークに Mac OS X、Windows、Android デバイスを接続します。シングル SSID の場合、iOS デバイスも自動的に接続されますが、デュアル SSID の場合、ウィザードは iOS ユーザに手動で新しいネットワークに接続するように要求します。
![]() (注) | 実際の Wi-Fi ネットワークが非表示になっている場合にのみ、[ターゲットネットワークが非表示になっている場合に有効にする(Enable if Target Network is Hidden)] チェックボックスをオンにする必要があります。そうしないと、特にシングル SSID フロー(同じ Wi-Fi ネットワーク/SSID がオンボーディングと接続の両方に使用されている)の特定の iOS デバイスに対して Wi-Fi ネットワーク設定が適切にプロビジョニングされない場合があります。 |
クレデンシャルを持つゲスト ポータルを利用している従業員は、自分のパーソナル デバイスを登録できます。BYOD ポータルによって提供されるセルフ プロビジョニング フローにより、従業員は Windows、MacOS、iOS および Android デバイスで使用可能なネイティブ サプリカントを使用してネットワークにデバイスを直接接続できます。
BYOD ポータルを使用してパーソナル デバイスを登録中に問題が発生した従業員に、登録プロセスへの再接続を可能にする情報を提供できます。
デフォルト ポータルと、証明書、エンドポイント ID グループ、ID ソース順序、ポータル テーマ、イメージ、および Cisco ISE によって提供されるその他の詳細などのデフォルト設定を使用できます。デフォルト設定を使用しない場合は、新しいポータルを作成するか、必要性に合うように既存の設定を編集する必要があります。同じ設定で複数のポータルを作成する場合は、ポータルを複製できます。
新しいポータルを作成したり、デフォルト ポータルを編集した後は、ポータルの使用を承認する必要があります。いったんポータルの使用を承認すると、後続の設定変更はただちに有効になります。
デバイス ポータルを使用するための許可は必要ありません。
ポータルを削除する場合は、関連付けられている許可ポリシー ルールおよび許可プロファイルを先に削除するか、別のポータルを使用するように変更する必要があります。
タスク | ブラックリスト ポータル | BYOD ポータル | クライアント プロビジョニング ポータル | MDM ポータル | デバイス ポータル |
---|---|---|---|---|---|
必須(Required) |
必須(Required) |
必須(Required) |
必須(Required) |
必須(Required) |
|
必須(Required) |
必須(Required) |
必須(Required) |
必須(Required) |
必須(Required) |
|
不要 |
不要 |
不要 |
不要 |
必須(Required) |
|
不要 |
不要 |
不要 |
不要 |
必須(Required) |
|
不要 |
必須(Required) |
不要 |
必須(Required) |
必須(Required) |
|
必須(Required) |
N/A |
N/A |
N/A |
N/A |
|
N/A |
必須(Required) |
N/A |
N/A |
N/A |
|
N/A |
N/A |
必須(Required) |
N/A |
N/A |
|
N/A |
N/A |
N/A |
必須(Required) |
N/A |
|
N/A |
N/A |
N/A |
N/A |
必須(Required) |
|
N/A |
必須(Required) |
必須(Required) |
必須(Required) |
不要 |
|
オプション |
オプション |
オプション |
オプション |
オプション |
Cisco ISE エンドユーザ Web ポータルをサポートするには、ホストするノードでポータル ポリシー サービスを有効にする必要があります。
デフォルトの証明書を使用しない場合は、有効な証明書を追加して、証明書グループ タグに割り当てることができます。すべてのエンドユーザ Web ポータルに使用されるデフォルトの証明書グループ タグは [デフォルト ポータル証明書グループ(Default Portal Certificate Group)] です。
Cisco ISE では、Active Directory、LDAP、RADIUS トークン、RSA SecurID サーバなどの外部 ID ソースに接続して、認証/許可のユーザ情報を取得できます。外部 ID ソースには、証明書ベースの認証に必要な証明書認証プロファイルも含まれています。
ステップ 1 | を選択します。 |
ステップ 2 | 次のオプションのいずれかを選択します。
|
Cisco ISE に外部 ID ソースを設定していることを確認します。
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
ゲスト ユーザがローカル WebAuth を使用して認証できるようにするには、ゲスト ポータル認証ソースと ID ソース順序に同じ ID ストアが含まれるように設定する必要があります。
Cisco ISE では、検出したエンドポイントを、対応するエンドポイント ID グループにグループ化します。Cisco ISE では、システム定義された複数のエンドポイントの ID グループが事前に用意されています。[エンドポイント ID グループ(Endpoint Identity Groups)] ページで追加のエンドポイント ID グループを作成することもできます。作成したエンドポイント ID グループを編集または削除できます。システム定義されたエンドポイント ID グループの説明のみを編集できます。これらのグループの名前を編集したり、これらのグループを削除したりすることはできません。
Cisco ISE では、Cisco ISE でブラックリストに登録されている紛失したり、盗難にあったりしたデバイスが企業ネットワークへのアクセスを試行した場合に、情報が表示される単一のブラックリスト ポータルが提供されます。
デフォルトのポータル設定を編集し、ポータルについて表示されるデフォルトのメッセージをカスタマイズすることのみができます。新しいブラックリスト ポータルを作成することはできず、デフォルト ポータルを複製または削除することもできません。
このポータルで使用するために、必要な証明書が設定されていることを確認します。
個人所有デバイスの持ち込み(BYOD)ポータルを提供して、ネットワークへのアクセスの許可の前に登録とサプリカント設定を行うことができるように、従業員がパーソナル デバイスを登録できるようにすることができます。
新しい BYOD ポータルを作成するか、既存のものを編集または複製できます。Cisco ISE によって提供されているデフォルトのポータルを含むすべての BYOD ポータルを削除できます。
[ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] タブのページ設定に加えた変更は、デバイス ポータル フロー図のグラフィカル フローに反映されます。[サポート情報(Support Information)] ページなどのページを有効にすると、そのページがフローに表示され、従業員はポータルで使用できるようになります。無効にすると、フローから削除されます。
このポータルで使用するために、必要な証明書とエンドポイント ID グループが設定されていることを確認します。
ポータルを使用するには、そのポータルを許可する必要があります。ポータルを使用できるように許可する前または後に、ポータルをカスタマイズすることもできます。
Cisco ISE では証明書プロビジョニング ポータルが提供され、そこではオンボーディング フローを通過できないデバイスについて証明書を要求することができます。たとえば、販売時点管理端末などのデバイスがあります。1 つの証明書について要求を行うか、または CSV ファイルを使用して一括証明書要求を行うことができます。
デフォルトのポータル設定を編集し、ポータルに表示されるメッセージをカスタマイズすることができます。また、証明書プロビジョニング ポータルを作成、複製、および削除することもできます。
証明書プロビジョニング ポータルにアクセスできるユーザには 2 つのタイプがあります。
スーパー管理ロールまたは ERS 管理ロールを割り当てられたユーザ(ネットワーク アクセス ユーザ)はこのポータルにアクセスでき、他人のために証明書を要求できます。ただし、新しい内部管理ユーザを作成し、スーパー管理ロールまたは ERS 管理ロールを割り当てると、内部管理ユーザはこのポータルにアクセスできません。最初にネットワーク アクセス ユーザを作成し、それからユーザをスーパー管理グループまたは ERS 管理グループに追加する必要があります。スーパー管理グループまたは ERS 管理グループに追加されている既存のネットワーク アクセス ユーザは、このポータルにアクセスできます。
証明書プロビジョニング ポータルにアクセスするための管理者アカウントを作成するには、次の手順を実行します。
他のユーザがポータルにアクセスし、自分自身の証明書を生成できるようにするには、証明書プロビジョニング ポータルの設定を行います([管理(Administration)] > [デバイスポータル管理(Device Portal Management)] > [証明書プロビジョニングポータル(Certificate Provisioning Portal)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [ポータル設定(Portal Settings)])。[認証方式(Authentication Method)] で適切な ID ソースまたは ID ソース順序を選択し、[承認済みグループの設定(Configure Authorized Groups)] でユーザ グループを選択します。選択したグループに属するすべてのユーザが、ポータルにアクセスし、自分自身の証明書を生成できるようになります。
このポータルで使用するために、必要な証明書が設定されていることを確認します。
クライアント プロビジョニング ポータルを提供して、ネットワークへのアクセスを許可する前に、デバイスのポスチャ コンプライアンスを確認する Cisco AnyConnect ポスチャ コンポーネントまたは Cisco NAC Agent を従業員がダウンロードできるようにすることができます。
新しいクライアント プロビジョニング ポータルを作成するか、既存のものを編集または複製できます。Cisco ISE によって提供されているデフォルトのポータルを含むすべてのクライアント プロビジョニング ポータルを削除できます。
[ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] タブのページ設定に加えた変更は、デバイス ポータル フロー図のグラフィカル フローに反映されます。[サポート情報(Support Information)] ページなどのページを有効にすると、そのページがフローに表示され、従業員はポータルで使用できるようになります。無効にすると、フローから削除されます。
このポータルで使用するために設定されている必要な証明書とクライアント プロビジョニング ポリシーがあることを確認します。
ポータルを使用するには、そのポータルを許可する必要があります。ポータルを使用できるように許可する前または後に、ポータルをカスタマイズすることもできます。
モバイル デバイス管理(MDM)ポータルを提供して、従業員が、企業ネットワークでの使用のために登録されたモバイル デバイスを管理できるようにすることができます。
新しい MDM ポータルを作成するか、既存のものを編集または複製できます。すべての MDM システムに対して 1 つの MDM ポータルを設定できます。または、各システムに対し 1 つのポータルを作成できます。Cisco ISE によって提供されているデフォルトのポータルを含むすべての MDM ポータルを削除できます。デフォルトのポータルは、サードパーティの MDM プロバイダー用です。
新しい MDM ポータルを作成するか、既存のものを編集または複製できます。Cisco ISE によって提供されているデフォルトのポータルを含むすべての MDM ポータルを削除できます。デフォルトのポータルは、サードパーティの MDM プロバイダー用です。
[ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] タブのページ設定に加えた変更は、デバイス ポータル フロー図のグラフィカル フローに反映されます。[サポート情報(Support Information)] ページなどのページを有効にすると、そのページがフローに表示され、従業員はポータルで使用できるようになります。無効にすると、フローから削除されます。
このポータルで使用するために、必要な証明書とエンドポイント ID グループが設定されていることを確認します。
ポータルを使用するには、そのポータルを許可する必要があります。ポータルを使用できるように許可する前または後に、ポータルをカスタマイズすることもできます。また、次のトピックを参照してください。
デバイス ポータルを提供して、従業員が、ネイティブ サプリカントをサポートせず、個人所有デバイスの持ち込み(BYOD)を使用して追加できないパーソナル デバイスを追加および登録できるようにすることができます。デバイス ポータルを使用して、いずれかのポータルを使用して追加されたすべてのデバイスを管理できます。
新しいデバイス ポータルを作成するか、既存のものを編集または複製できます。Cisco ISE によって提供されているデフォルトのポータルを含むすべてのデバイス ポータルを削除できます。
[ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] タブのページ設定に加えた変更は、デバイス ポータル フロー図のグラフィカル フローに反映されます。[サポート情報(Support Information)] ページなどのページを有効にすると、そのページがフローに表示され、従業員はポータルで使用できるようになります。無効にすると、フローから削除されます。
このポータルで使用するために、必要な証明書、外部 ID ストア、ID ソース順序、およびエンドポイント ID グループが設定されていることを確認します。
ポータルの外観を変更する場合は、ポータルをカスタマイズできます。
ポータルを許可する前にポータルを作成する必要があります。
各ポータルには、特別な許可プロファイルを設定する必要があります。
デフォルトのポータルを使用しない場合は、許可プロファイルとポータル名を関連付けることができるように、最初にポータルを作成する必要があります。
新しく作成される許可プロファイルを使用するポータル許可ポリシー ルールを作成する必要があります。
ユーザ(ゲスト、スポンサー、従業員)のアクセス要求への応答に使用するポータルのリダイレクション URL を設定するには、そのポータル用の許可ポリシー ルールを定義します。
url-redirect は、ポータル タイプに基づいて次の形式になります。
ip:port = IP アドレスとポート番号
PortalID = 一意のポータル名
ホットスポット ゲスト ポータル:https://ip:port/guestportal/gateway?sessionID=SessionIdValue&portal=PortalID&action=cwa&type=drw
モバイル デバイス管理(MDM)ポータル:https://ip:port/mdmportal/gateway?sessionID=SessionIdValue&portal=PortalID&action=mdm
ポータルの外観およびユーザ(必要に応じてゲスト、スポンサー、または従業員)エクスペリエンスをカスタマイズするには、ポータル テーマをカスタマイズし、ポータル ページの UI 要素を変更して、ユーザに表示されるエラー メッセージと通知を編集します。
従業員が個人所有デバイスの持ち込み(BYOD)またはデバイス ポータルを使用してデバイスを登録すると、デバイスはエンドポイント リストに表示されます。従業員はデバイスを削除して自分のアカウントからデバイスを切り離すことができますが、デバイスは Cisco ISE データベースに残ります。この結果、従業員は、デバイスの使用時に発生するエラーの解決に管理者の支援を必要とする場合があります。
[エンドポイント(Endpoints)] リスト ページに表示される [ポータル ユーザ(Portal User)] フィールドを使用して、特定の従業員が追加したデバイスを特定できます。これは、特定のユーザが登録したデバイスを削除する必要がある場合に役立つことがあります。デフォルトでは、このフィールドは表示されないため、検索する前に最初に有効にする必要があります。
別の従業員が以前にデバイスを追加していて、デバイスが Cisco ISE エンドポイント データベースにすでに存在する場合、従業員はそのデバイスを追加できません。
従業員がデバイス ポータルからデバイスを削除すると、そのデバイスは従業員の登録済みデバイスのリストから削除されますが、Cisco ISE エンドポイント データベースに残っており、エンドポイント リストに表示されます。
[エンドポイント(Endpoints)] ページからデバイスを完全に削除するには、
を選択します。Cisco ISE は、エンドポイントおよびユーザ管理情報、およびゲストとスポンサーのアクティビティを参照できるさまざまなレポートとログを提供します。Cisco ISE 1.2 レポートの一部は廃止されましたが、情報は他のレポートで表示できます。
オン デマンドまたはスケジュール ベースでこれらのレポートを実行できます。
ステップ 1 | を選択します。 |
ステップ 2 | レポート セレクタで、[ゲスト アクセス レポート(Guest Access Reports)] および [エンドポイントとユーザ(Endpoints and Users)] 選択を展開し、さまざまなゲスト、スポンサー、およびエンドポイントに関するレポートを表示します。 |
ステップ 3 | レポートを選択し、[フィルタ(Filters)] ドロップダウン リストを使用して、検索するデータを選択します。
ユーザ名、ポータル名、デバイス名、エンドポイント ID グループ、および他のデータについてフィルタを使用できます。 |
ステップ 4 | データを表示する [時間範囲(Time Range)] を選択します。 |
ステップ 5 | [実行(Run)] をクリックします。 |
デバイス ログインおよび監査レポートは、次のものを追跡する統合レポートです。
このレポートは、
で使用できます。
[登録済みエンドポイント レポート(Registered Endpoints report)] には、従業員によって登録されたすべてのエンドポイントに関する情報が表示されます。このレポートは、
で使用できます。ID、エンドポイント ID、アイデンティティ プロファイルなどに対してクエリーを実行し、レポートを生成できます。サプリカント プロビジョニング統計情報および関連データの詳細については、クライアント プロビジョニング レポートの表示に関する説明を参照してください。エンドポイント データベースに対するクエリーを実行して、RegisteredDevices エンドポイント ID グループに割り当て済みのエンドポイントの情報を取得することができます。また、[ポータル ユーザ(Portal User)] 属性がヌル以外の値に設定されている特定のユーザについてレポートを生成することもできます。
[登録済みエンドポイント レポート(Registered Endpoints Report)] には、特定のユーザによって指定の期間内にデバイス登録ポータルから登録されたエンドポイントのリストに関する情報が表示されます。