Cisco ISE はポリシー ベースのネットワーク アクセス制御ソリューションで、ネットワーク アクセス、ゲスト、ポスチャ、クライアント プロビジョニング、プロファイラの各種サービスを提供します。Cisco ISE の設定時に、認証、許可、ゲスト、ポスチャ、およびプロファイラのポリシーを作成します。ポリシー条件は、ポリシーの基本的な構成要素です。ポリシー条件には、単純条件と複合条件の 2 種類のポリシー条件があります。

この章では、ポリシー条件と、Cisco ISE が提供するさまざまなサービス用にこれらを作成する方法について説明します。

Cisco ISE は、ネットワーク アクセス、プロファイラ、ポスチャ、ゲスト サービスを提供するために、ルールベースのポリシーを使用します。これらのルールベースのポリシーは、条件で構成されたルールで構成されます。Cisco ISE では、個別の再利用可能なポリシー要素として条件を作成でき、これらの条件は別のルールベースのポリシーから参照することが可能です。条件には次の 2 種類があります。

• 単純条件：単純条件は、オペランド（属性）、演算子（equal to、not equal to、greater than など）、および値で構成されています。単純条件を保存して、他のルールベースのポリシーで使用できます。

  単純条件は、A オペランド B の形式をとります。ここで、A は Cisco ISE ディクショナリ内の任意の属性とすることができ、B は属性 A がとり得るいずれかの値とすることができます。デバイス タイプは、すべてのネットワーク デバイスの属性として使用され、値としてすべてのデバイス タイプを含めることができます。次の形式で、A Equals B を意味します。

  DEVICE:Device Type Equals All Device Types

• 複合条件：複合条件は、1 つ以上の単純条件で構成され、AND または OR 演算子で接続されます。複合条件は、単純条件に基づいて構成されます。複合条件を保存して、他のルールベースのポリシーで再利用できます。

  複合条件は、次のいずれかの形式にできます。

  • （X オペランド Y）AND（A オペランド B）AND（X オペランド Z）AND（以下同様）

  • （X オペランド Y）OR（A オペランド B）OR（X オペランド Z）OR（以下同様）

    ここで、X および A はユーザ名やデバイス タイプなどの Cisco ISE ディクショナリの属性です。

    次に、複合条件の例を示します。

    [DEVICE]:[モデル名（Model Name）] [一致（Matches）] [Catalyst6K] [AND] [ネットワークへのアクセス（Network Access）]:[使用例（Use Case）] [等しい（Equals）] [ホスト ルックアップ（Host Lookup）]。

    ポリシーで使用されているか、または複合条件の一部である条件を削除できません。

通常、ポリシーはルールで構成され、各ルールは満たされるべき条件で構成され、この条件によって、ネットワーク リソースへのアクセスなどのアクションの実行が許可されます。ルールベースの条件は、ポリシーの基盤、つまり要求を評価するときに使用するルールのセットを形成します。

実行時に、Cisco ISE はポリシー条件を評価し、ポリシー評価が true または false 値のどちらを返すかに応じて、定義されている結果を適用します。

ポリシー条件の評価時に、Cisco ISE は属性と値を比較します。ポリシー条件で指定された属性に、要求内で割り当てられた値が含まれていない場合があります。このとき、比較に使用されている演算子が「not equal to」である場合、この条件は true と評価されます。その他の場合、この条件は false と評価されます。

たとえば、「Radius.Calling_Station_ID Not Equal to 1.1.1.1」という条件で RADIUS 要求に Calling Station ID が存在しない場合、この条件は true と評価されます。この評価は RADIUS ディクショナリに特有なものではなく、「Not Equal to」演算子の使用に起因して発生します。

プロファイラ条件はポリシー要素であり、他の条件とほとんど同じです。ただし、認証、許可、およびゲスト条件とは異なり、プロファイリング条件は限られた数の属性に基づいています。[プロファイラ条件（Profiler Conditions）] ページに Cisco ISE で使用できる属性とその説明が表示されます。

プロファイラ条件は次のとおりです。

• シスコ提供：Cisco ISE には展開時に事前定義されたプロファイリング条件が含まれており、[プロファイラ条件（Profiler Conditions）] ページでシスコ提供の条件として識別されます。シスコ提供のプロファイリング条件を削除することはできません。

  [ポリシー（Policy）] > [ポリシー要素（Policy Elements）] > [ディクショナリ（Dictionaries）] > [システム（System）] からアクセスできる場所にあるシステム プロファイラ ディクショナリにもシスコ提供条件があります。

  たとえば、MAC ディクショナリです。一部の製品では、OUI（固有識別子情報）がデバイスの製造組織を識別するために最初に使用できる固有属性です。これはデバイスの MAC アドレスのコンポーネントです。MAC ディクショナリには、MACAddress および OUI 属性が含まれています。

• 管理者作成：ユーザが Cisco ISE の管理者として作成するプロファイラ条件、複製された事前定義済みのプロファイリング条件は管理者作成として識別されます。[プロファイラ条件（Profiler Conditions）] ページでプロファイラ ディクショナリを使用して、DHCP、MAC、SNMP、IP、RADIUS、NetFlow、CDP、LLDP、および NMAP タイプのプロファイラ条件を作成できます。

プロファイリング ポリシーの数の推奨上限は 1000 ですが、最高 2000 までプロファイリング ポリシーを拡張できます。

ポスチャ条件は次の単純条件のいずれかになります。ファイル、レジストリ、アプリケーション、サービス、またはディクショナリ条件。これらの単純条件のうちの 1 つ以上の条件によって複合条件が形成され、複合条件はポスチャ要件と関連付けることができます。

ネットワークに Cisco ISE を初めて展開する場合は、Web からポスチャ更新をダウンロードできます。このプロセスは、初期ポスチャ更新と呼ばれます。

初期ポスチャ更新の後、Cisco ISE はシスコ定義の単純および複合条件も作成します。シスコ定義の単純条件はプレフィクスとして pc_ が付けられ、複合条件はプレフィクスとして pr_ が付けられています。

ダイナミック ポスチャ更新の結果としてシスコ定義の条件を Web を介してダウンロードするように Cisco ISE を設定することもできます。シスコ定義のポスチャ条件を削除または編集することはできません。

ユーザ定義の条件やシスコ定義の条件には、単純条件と複合条件の両方が含まれます。