管理ノード

エンドユーザ ポータルでユーザまたはデバイスに対して行う設定変更は、すべて管理ノードに書き込まれます。

ポリシー サービス ノード

エンドユーザ ポータルはポリシー サービス ノードで実行する必要があります。ここでは、ネットワーク アクセス、クライアント プロビジョニング、ゲスト サービス、ポスチャ、およびプロファイリングを含むすべてのセッション トラフィックが処理されます。ポリシー サービス ノードがノード グループに含まれる場合、ノードで障害が発生すると、他のノードが障害を検出し、保留中のセッションをリセットします。

モニタリング ノード

モニタリング ノードは、デバイス ポータル、スポンサー ポータル、およびゲスト ポータルでのエンドユーザおよびデバイスのアクティビティについて、データを収集、集約、およびレポートします。プライマリ モニタリング ノードで障害が発生した場合は、セカンダリ モニタリング ノードが自動的にプライマリ モニタリング ノードになります。

従業員が 1 ～ 100 のパーソナル デバイスを登録できるようにすることができます。従業員がパーソナル デバイスの登録に使用したポータルに関係なく、この設定では、すべてのポータルにわたって登録されるデバイスの最大数を定義します。

従業員がネットワークに接続する

• シングル SSID：従業員は、会社のユーザ名とパスワードを入力して、802.1X SSID にデバイスを接続します。

• デュアル SSID：従業員は、オープン ゲスト プロビジョニング SSID に接続し、クレデンシャルを持つゲスト ポータルにリダイレクトされます。この機能を有効にするには、クレデンシャルを持つゲスト ポータルの [BYOD設定（BYOD Settings）] で [従業員にネットワークでのパーソナルデバイスの使用を許可（Allow employees to use personal devices on the network）] をオンにする必要があります。

従業員のクレデンシャルを認証する

Cisco ISE は、会社の Active Directory または会社の他の ID ストアに対して従業員を認証し、許可ポリシーを提供します。

デバイスを BYOD ポータルにリダイレクトする

デバイスが BYOD ポータルにリダイレクトされます。デバイスの MAC アドレスは自動で事前に設定されますが、従業員が説明を確認して追加できます。

ネイティブ サプリカントを設定する（MacOS Windows、iOS、Android）

ネイティブ サプリカントが設定されますが、プロセスはデバイスによって異なります。

• MacOS および Windows デバイス：従業員は BYOD ポータルで [登録（Register）] をクリックして、サプリカント プロビジョニング ウィザードをダウンロードしてインストールします。このウィザードは、サプリカントを設定し、証明書を提供します（必要な場合）。

• iOS デバイス：Cisco ISE ポリシー サーバは、Apple iOS の Over The Air を使用して、次のものを含む新しいプロファイルを iOS デバイスに送信します。

  • iOS デバイスの MAC アドレスと従業員のユーザ名が組み込まれた発行済み証明書（設定されている場合）。

  • 802.1X 認証の MSCHAPv2 または EAP-TLS の使用を強制できる Wi-Fi サプリカント プロファイル。

• Android デバイス：Cisco ISE は、従業員に Google Play から Cisco Network Setup Assistant（NSA）をダウンロードするように要求し、ルーティングします。アプリケーションをインストールしたら、従業員は、NSA を開いてセットアップ ウィザードを開始し、認証パラメータを生成して、デバイス証明書の証明書要求を開始できます（必要な場合）。

許可変更を発行する

Cisco ISE は、許可変更（CoA）を開始し、セキュアな 802.1X ネットワークに Mac OS X、Windows、Android デバイスを接続します。シングル SSID の場合、iOS デバイスも自動的に接続されますが、デュアル SSID の場合、ウィザードは iOS ユーザに手動で新しいネットワークに接続するように要求します。

（注）	実際の Wi-Fi ネットワークが非表示になっている場合にのみ、[ターゲットネットワークが非表示になっている場合に有効にする（Enable if Target Network is Hidden）] チェックボックスをオンにする必要があります。そうしないと、特にシングル SSID フロー（同じ Wi-Fi ネットワーク/SSID がオンボーディングと接続の両方に使用されている）の特定の iOS デバイスに対して Wi-Fi ネットワーク設定が適切にプロビジョニングされない場合があります。

ネイティブ サプリカントは、次のオペレーティング システムでサポートされます。

• Android（Amazon Kindle、B&N Nook を除く）

• Mac OS X（Apple Mac コンピュータの場合）

• Apple iOS デバイス（Apple iPod、iPhone、および iPad）

• Microsoft Windows 7 および 8（RT を除く）、Vista、XP

クレデンシャルを持つゲスト ポータルを利用している従業員は、自分のパーソナル デバイスを登録できます。BYOD ポータルによって提供されるセルフ プロビジョニング フローにより、従業員は Windows、MacOS、iOS および Android デバイスで使用可能なネイティブ サプリカントを使用してネットワークにデバイスを直接接続できます。

BYOD ポータルを使用してパーソナル デバイスを登録中に問題が発生した従業員に、登録プロセスへの再接続を可能にする情報を提供できます。

Cisco ISE エンドユーザ Web ポータルをサポートするには、ホストするノードでポータル ポリシー サービスを有効にする必要があります。

デフォルトの証明書を使用しない場合は、有効な証明書を追加して、証明書グループ タグに割り当てることができます。すべてのエンドユーザ Web ポータルに使用されるデフォルトの証明書グループ タグは [デフォルト ポータル証明書グループ（Default Portal Certificate Group）] です。

Cisco ISE では、Active Directory、LDAP、RADIUS トークン、RSA SecurID サーバなどの外部 ID ソースに接続して、認証/許可のユーザ情報を取得できます。外部 ID ソースには、証明書ベースの認証に必要な証明書認証プロファイルも含まれています。

Cisco ISE では、検出したエンドポイントを、対応するエンドポイント ID グループにグループ化します。Cisco ISE では、システム定義された複数のエンドポイントの ID グループが事前に用意されています。[エンドポイント ID グループ（Endpoint Identity Groups）] ページで追加のエンドポイント ID グループを作成することもできます。作成したエンドポイント ID グループを編集または削除できます。システム定義されたエンドポイント ID グループの説明のみを編集できます。これらのグループの名前を編集したり、これらのグループを削除したりすることはできません。

Cisco ISE では、Cisco ISE でブラックリストに登録されている紛失したり、盗難にあったりしたデバイスが企業ネットワークへのアクセスを試行した場合に、情報が表示される単一のブラックリスト ポータルが提供されます。

デフォルトのポータル設定を編集し、ポータルについて表示されるデフォルトのメッセージをカスタマイズすることのみができます。新しいブラックリスト ポータルを作成することはできず、デフォルト ポータルを複製または削除することもできません。

個人所有デバイスの持ち込み（BYOD）ポータルを提供して、ネットワークへのアクセスの許可の前に登録とサプリカント設定を行うことができるように、従業員がパーソナル デバイスを登録できるようにすることができます。

新しい BYOD ポータルを作成するか、既存のものを編集または複製できます。Cisco ISE によって提供されているデフォルトのポータルを含むすべての BYOD ポータルを削除できます。

[ポータルの動作およびフローの設定（Portal Behavior and Flow Settings）] タブのページ設定に加えた変更は、デバイス ポータル フロー図のグラフィカル フローに反映されます。[サポート情報（Support Information）] ページなどのページを有効にすると、そのページがフローに表示され、従業員はポータルで使用できるようになります。無効にすると、フローから削除されます。

Cisco ISE では証明書プロビジョニング ポータルが提供され、そこではオンボーディング フローを通過できないデバイスについて証明書を要求することができます。たとえば、販売時点管理端末などのデバイスがあります。1 つの証明書について要求を行うか、または CSV ファイルを使用して一括証明書要求を行うことができます。

デフォルトのポータル設定を編集し、ポータルに表示されるメッセージをカスタマイズすることができます。また、証明書プロビジョニング ポータルを作成、複製、および削除することもできます。

証明書プロビジョニング ポータルにアクセスできるユーザには 2 つのタイプがあります。

• 管理者権限を持つ内部または外部のユーザ：自分自身と他人に対し証明書を生成できます。

• 他のすべてのユーザ：自分自身にのみ証明書を生成できます。

スーパー管理ロールまたは ERS 管理ロールを割り当てられたユーザ（ネットワーク アクセス ユーザ）はこのポータルにアクセスでき、他人のために証明書を要求できます。ただし、新しい内部管理ユーザを作成し、スーパー管理ロールまたは ERS 管理ロールを割り当てると、内部管理ユーザはこのポータルにアクセスできません。最初にネットワーク アクセス ユーザを作成し、それからユーザをスーパー管理グループまたは ERS 管理グループに追加する必要があります。スーパー管理グループまたは ERS 管理グループに追加されている既存のネットワーク アクセス ユーザは、このポータルにアクセスできます。

証明書プロビジョニング ポータルにアクセスするための管理者アカウントを作成するには、次の手順を実行します。

1. 内部ユーザを追加します（[管理（Administration）] > [IDの管理（Identity Management）] > [ID（Identities）] > [ユーザ（Users）] > [追加（Add）]）。
2. ユーザをスーパー管理グループまたは ERS 管理グループに追加します（[管理（Administration）] > [管理者アクセス（Admin Access）] > [管理者（Administrators）] > [管理ユーザ（Admin Users）] > [追加（Add）] > [既存のネットワークアクセスユーザから選択（Select from existing network access user）]）。これでユーザが内部ネットワーク アクセス ユーザとスーパー管理ユーザまたは ERS 管理ユーザの両方になりました。

他のユーザがポータルにアクセスし、自分自身の証明書を生成できるようにするには、証明書プロビジョニング ポータルの設定を行います（[管理（Administration）] > [デバイスポータル管理（Device Portal Management）] > [証明書プロビジョニングポータル（Certificate Provisioning Portal）] > [作成、編集または複製（Create, Edit or Duplicate）] > [ポータルの動作およびフローの設定（Portal Behavior and Flow Settings）] > [ポータル設定（Portal Settings）]）。[認証方式（Authentication Method）] で適切な ID ソースまたは ID ソース順序を選択し、[承認済みグループの設定（Configure Authorized Groups）] でユーザ グループを選択します。選択したグループに属するすべてのユーザが、ポータルにアクセスし、自分自身の証明書を生成できるようになります。

クライアント プロビジョニング ポータルを提供して、ネットワークへのアクセスを許可する前に、デバイスのポスチャ コンプライアンスを確認する Cisco AnyConnect ポスチャ コンポーネントまたは Cisco NAC Agent を従業員がダウンロードできるようにすることができます。

新しいクライアント プロビジョニング ポータルを作成するか、既存のものを編集または複製できます。Cisco ISE によって提供されているデフォルトのポータルを含むすべてのクライアント プロビジョニング ポータルを削除できます。

[ポータルの動作およびフローの設定（Portal Behavior and Flow Settings）] タブのページ設定に加えた変更は、デバイス ポータル フロー図のグラフィカル フローに反映されます。[サポート情報（Support Information）] ページなどのページを有効にすると、そのページがフローに表示され、従業員はポータルで使用できるようになります。無効にすると、フローから削除されます。

モバイル デバイス管理（MDM）ポータルを提供して、従業員が、企業ネットワークでの使用のために登録されたモバイル デバイスを管理できるようにすることができます。

新しい MDM ポータルを作成するか、既存のものを編集または複製できます。すべての MDM システムに対して 1 つの MDM ポータルを設定できます。または、各システムに対し 1 つのポータルを作成できます。Cisco ISE によって提供されているデフォルトのポータルを含むすべての MDM ポータルを削除できます。デフォルトのポータルは、サードパーティの MDM プロバイダー用です。

新しい MDM ポータルを作成するか、既存のものを編集または複製できます。Cisco ISE によって提供されているデフォルトのポータルを含むすべての MDM ポータルを削除できます。デフォルトのポータルは、サードパーティの MDM プロバイダー用です。

[ポータルの動作およびフローの設定（Portal Behavior and Flow Settings）] タブのページ設定に加えた変更は、デバイス ポータル フロー図のグラフィカル フローに反映されます。[サポート情報（Support Information）] ページなどのページを有効にすると、そのページがフローに表示され、従業員はポータルで使用できるようになります。無効にすると、フローから削除されます。

デバイス ポータルを提供して、従業員が、ネイティブ サプリカントをサポートせず、個人所有デバイスの持ち込み（BYOD）を使用して追加できないパーソナル デバイスを追加および登録できるようにすることができます。デバイス ポータルを使用して、いずれかのポータルを使用して追加されたすべてのデバイスを管理できます。

新しいデバイス ポータルを作成するか、既存のものを編集または複製できます。Cisco ISE によって提供されているデフォルトのポータルを含むすべてのデバイス ポータルを削除できます。

[ポータルの動作およびフローの設定（Portal Behavior and Flow Settings）] タブのページ設定に加えた変更は、デバイス ポータル フロー図のグラフィカル フローに反映されます。[サポート情報（Support Information）] ページなどのページを有効にすると、そのページがフローに表示され、従業員はポータルで使用できるようになります。無効にすると、フローから削除されます。

ポータルの外観およびユーザ（必要に応じてゲスト、スポンサー、または従業員）エクスペリエンスをカスタマイズするには、ポータル テーマをカスタマイズし、ポータル ページの UI 要素を変更して、ユーザに表示されるエラー メッセージと通知を編集します。

[エンドポイント（Endpoints）] リスト ページに表示される [ポータル ユーザ（Portal User）] フィールドを使用して、特定の従業員が追加したデバイスを特定できます。これは、特定のユーザが登録したデバイスを削除する必要がある場合に役立つことがあります。デフォルトでは、このフィールドは表示されないため、検索する前に最初に有効にする必要があります。

別の従業員が以前にデバイスを追加していて、デバイスが Cisco ISE エンドポイント データベースにすでに存在する場合、従業員はそのデバイスを追加できません。

Cisco ISE データベースにすでに存在しているデバイスを従業員が追加しようとした場合：

• さらに、デバイスがネイティブ サプリカント プロビジョニングをサポートしている場合、BYOD ポータルからデバイスを追加することを推奨します。この場合、デバイスがネットワークに最初に追加されたときに作成された登録詳細がすべて上書きされます。

• デバイスがプリンタなどの MAC 認証バイパス（MAB）デバイスである場合、デバイスの所有権を最初に解決する必要があります。必要に応じて、管理者ポータルを使用してエンドポイント データベースからデバイスを削除できます。これにより、新しい所有者は、デバイス ポータルを使用して正常にデバイスを追加できます。

従業員がデバイス ポータルからデバイスを削除すると、そのデバイスは従業員の登録済みデバイスのリストから削除されますが、Cisco ISE エンドポイント データベースに残っており、エンドポイント リストに表示されます。

[エンドポイント（Endpoints）] ページからデバイスを完全に削除するには、[管理（Administration）] > [ID の管理（Identity Management）] > [ID（Identities）] > [エンドポイント（Endpoints）] を選択します。

デバイス ログインおよび監査レポートは、次のものを追跡する統合レポートです。

• デバイス ポータルでの従業員によるログイン アクティビティ。

• デバイス ポータルで従業員が実行したデバイス関連の操作。

このレポートは、[操作（Operations）] > [レポート（Reports）] > [ゲスト アクセス レポート（Guest Access Reports）] > [デバイス ログインおよび監査レポート（My Devices Login and Audit）] で使用できます。

[登録済みエンドポイント レポート（Registered Endpoints report）] には、従業員によって登録されたすべてのエンドポイントに関する情報が表示されます。このレポートは、[操作（Operations）] > [レポート（Reports）] > [エンドポイントとユーザ（Endpoints and Users）] > [登録済みエンドポイント（Registered Endpoints）] で使用できます。ID、エンドポイント ID、アイデンティティ プロファイルなどに対してクエリーを実行し、レポートを生成できます。サプリカント プロビジョニング統計情報および関連データの詳細については、クライアント プロビジョニング レポートの表示に関する説明を参照してください。

エンドポイント データベースに対するクエリーを実行して、RegisteredDevices エンドポイント ID グループに割り当て済みのエンドポイントの情報を取得することができます。また、[ポータル ユーザ（Portal User）] 属性がヌル以外の値に設定されている特定のユーザについてレポートを生成することもできます。

[登録済みエンドポイント レポート（Registered Endpoints Report）] には、特定のユーザによって指定の期間内にデバイス登録ポータルから登録されたエンドポイントのリストに関する情報が表示されます。