アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

Cisco Identity Services Engine 管理者ガイド リリース 2.0

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco Identity Services Engine 管理者ガイド リリース 2.0

Chapter Title

クライアント プロビジョニングの設定

検索結果

Updated:
2017年6月19日

章のタイトル: クライアント プロビジョニングの設定

クライアント プロビジョニングの設定

Cisco ISE でのクライアント プロビジョニングの有効化

Cisco ISE クライアント プロビジョニング機能では、クライアント プロビジョニング リソースをダウンロードして、Windows および MAC OS X クライアントのエージェント プロファイルと独自のパーソナル デバイスのネイティブ サプリカント プロファイルを設定することができます。クライアント プロビジョニング リソース ポリシーにより、クライアント デバイスにリソースをダウンロードしてインストールすることが可能になります。

クライアント プロビジョニングを有効にして、ユーザがクライアント プロビジョニング リソースをダウンロードし、エージェント プロファイルを設定できるようにします。Windows クライアント、Mac OS X クライアント、およびパーソナル デバイスのネイティブ サプリカント プロファイルのエージェント プロファイルを設定できます。Cisco ISE のこの機能を無効にすることを選択した場合、ネットワークにアクセスしようとするユーザは、クライアント プロビジョニング リソースをダウンロードできないことを示す警告メッセージを受信します。

はじめる前に

クライアント プロビジョニング リソースを Cisco ISE にダウンロードできる適切なリモートの場所にアクセスできるようにするには、ネットワークにプロキシが正しく設定されていることを確認する必要がある場合があります。

    ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [クライアント プロビジョニング(Client Provisioning)] を選択します。
    ステップ 2   [プロビジョニングの有効化(Enable Provisioning)] ドロップダウン リストから、[有効(Enable)] または [無効(Disable)] を選択します。
    ステップ 3   [保存(Save)] をクリックします
    次の作業

    Cisco ISE のポスチャ エージェントのクライアント プロビジョニング リソースを追加し、クライアント プロビジョニング ポリシーを設定して、ユーザがクライアント マシンにクライアント プロビジョニング リソースをダウンロードしてインストールできるようにします。

    クライアント プロビジョニン リソース

    クライアント プロビジョニング リソースは、エンドポイントがネットワークに接続した後にエンドポイントにダウンロードされます。クライアント プロビジョニング リソースは、デスクトップの場合はコンプライアンスとポスチャ エージェントで構成され、電話およびタブレットの場合はネイティブ サプリカント プロファイルで構成されます。クライアント プロビジョニング ポリシーによって、これらのプロビジョニング リソースがエンドポイントに割り当てられ、ネットワーク セッションが開始します。

    クライアント プロビジョニング リソースは、[ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアントプロビジョニング(Client Provisioning)] > [リソース(Resources)] にリストされます。次のリソース タイプは、[追加(Add)] ボタンをクリックすることでリストに追加できます。

    • [Ciscoサイトのエージェントリソース(Agent resources from Cisco Site)]:クライアント プロビジョニング ポリシーで使用できるようにする [NAC]、[AnyConnect] および [サプリカントプロビジョニング(Supplicant Provisioning)] ウィザードを選択します。シスコは、新しいリソースを追加したり既存のリソースを更新することで、定期的にこのリソースのリストを更新します。すべてのシスコのリソースおよびリソースの更新を自動的にダウンロードするように ISE を設定することもできます。「クライアント プロビジョニング リソースの自動ダウンロード」を参照してください。
    • [ローカルディスクのエージェントリソース(Agent resources from local disk)]:ISE にアップロードする PC 上のリソースを選択します。ローカル マシンからのシスコ提供のクライアント プロビジョニング リソースの追加 を参照してください。

    • [AnyConnect設定(AnyConnect Configuration)]:クライアント プロビジョニングで使用できるようにする AnyConnect PC クライアントを選択します。詳細については、「AnyConnect 設定の作成」を参照してください。

    • [ネイティブサプリカントプロファイル(Native Supplicant Profile)]:ネットワークの設定が含まれている電話とタブレット用のサプリカント プロファイルを設定します。詳細については、「ネイティブ サプリカント プロファイルの作成」を参照してください。

    • [NACエージェントまたはAnyConnect ISEポスチャプロファイル(NAC Agent or AnyConnect ISE Posture Profile)]:エージェント XML プロファイルを作成/配布しない場合は、ここで NAC エージェントと AnyConnect ISE ポスチャを設定します。AnyConnect ISE ポスチャ エージェントの詳細については、『AnyConnect Adminstrators Guide, ISE Posture Profile Editor』を参照してください。NAC エージェント プロファイルの詳細については、Cisco NAC Agent のエージェント カスタマイズ ファイルの作成 を参照してください。

    クライアント プロビジョニング リソースを作成した後、エンドポイントにクライアント プロビジョニング リソースを適用するクライアント プロビジョニング ポリシーを作成します。クライアント プロビジョニング リソース ポリシーの設定を参照してください。

    シスコからのクライアント プロビジョニング リソースの追加

    Windows クライアントおよび MAC OS x クライアント用の AnyConnect および Cisco NAC Agent、および Cisco Web Agent のために Cisco.com からクライアント プロビジョニング リソースを追加できます。選択するリソースおよび使用できるネットワーク帯域幅によっては、Cisco ISE にクライアント プロビジョニング リソースをダウンロードするのに数秒から数分かかることがあります。

    はじめる前に
    • Cisco ISE で正しいプロキシ設定が設定されていることを確認します。
    • Cisco ISE でクライアント プロビジョニングを有効にします。
      ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)] を選択します。
      ステップ 2   [追加(Add)] > [Cisco サイトのエージェント リソース(Agent resources from Cisco site)] を選択します。
      ステップ 3   [ダウンロード リモート リソース(Download Remote Resources)] ダイアログボックスで選択可能なリストから必要なクライアント プロビジョニング リソースを 1 つ以上選択します。
      ステップ 4   [保存(Save)] をクリックします
      次の作業

      Cisco ISE に正常にクライアント プロビジョニング リソースを追加したら、クライアント プロビジョニング リソース ポリシーの設定を開始します。

      クライアント プロビジョニング リソースの自動ダウンロード

      自動ダウンロードでは、シスコから入手できるすべてのソフトウェアが Cisco ISE にアップロードされますが、多くの項目が展開に適していない場合があります。シスコから自動的にダウンロードせずに、可能な限り手動でリソースをアップロードすることを推奨します。

      はじめる前に

      Cisco ISE で正しいプロキシ設定を設定しており、クライアント プロビジョニング リソースを Cisco ISE にダウンロードできる適切なリモート ロケーションにアクセスできることを確認します。

        ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [クライアント プロビジョニング(Client Provisioning)] を選択します。
        ステップ 2   [自動ダウンロードの有効化(Enable Automatic Download)] ドロップダウン リストから、[有効(Enable)] を選択します。
        ステップ 3   [フィード URL の更新(Update Feed URL)] テキスト ボックスに、Cisco ISE で検索するシステム アップデートの URL を指定します。たとえば、クライアント プロビジョニング リソースをダウンロードするデフォルトの URL は、https://www.cisco.com/web/secure/pmbu/provisioning-update.xml です。

        ネットワークで URL リダイレクション機能(プロキシ サーバ経由など)を制限しているために、デフォルトの URL へのアクセスに問題がある場合は、Cisco ISE で URL https://www.perfigo.com/ise/provisioning-update.xml を指定してください。

        ステップ 4   [保存(Save)] をクリックします
        次の作業

        Cisco ISE に正常にクライアント プロビジョニング リソースを追加したら、クライアント プロビジョニング リソース ポリシーの設定を開始します。

        ローカル マシンからのシスコ提供のクライアント プロビジョニング リソースの追加

        シスコから以前にダウンロードしたクライアント プロビジョニング リソースがあればローカル ディスクから追加できます。
        はじめる前に

        Cisco ISE には、必ず現行のサポートされているリソースのみをアップロードしてください。古いサポートされていないリソース(たとえば、Cisco NAC Agent の古いバージョン)を使用すると、クライアント アクセスで重大な問題が発生する場合があります。

        Cisco.com からリソース ファイルを手動でダウンロードする場合は、リリース ノートの「Cisco ISE Offline Updates」の項を参照してください。

          ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)] を選択します。
          ステップ 2   [追加(Add)] > [ローカル ディスクのエージェント リソース(Agent resources from local disk)] を選択します。
          ステップ 3   [カテゴリ(Category)] ドロップダウンから [シスコ提供パッケージ(Cisco Provided Packages)] を選択します。
          ステップ 4   [参照(Browse)] をクリックし、Cisco ISE にダウンロードするリソース ファイルがあるローカル マシン上のディレクトリに移動します。 以前に Cisco サイトからローカル マシンにダウンロードした AnyConnect、Cisco NAC Agent、および Cisco Web Agent のリソースを追加できます。
          ステップ 5   [送信(Submit)] をクリックします。
          次の作業

          Cisco ISE に正常にクライアント プロビジョニング リソースを追加したら、クライアント プロビジョニング リソース ポリシーの設定を開始します。

          ローカル マシンからの AnyConnect 用の顧客作成リソースの追加

          AnyConnect カスタマイズ パッケージ、AnyConnect ローカリゼーション パッケージ、AnyConnect プロファイルなどの顧客作成リソースをローカル マシンから Cisco ISE に追加します。

          はじめる前に

          AnyConnect の顧客作成リソースがローカル ディスクに zip 形式のファイルで使用可能であることを確認します。

            ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアントプロビジョニング(Client Provisioning)] > [リソース(Resources)] を選択します。
            ステップ 2   [追加(Add)] をクリックします。
            ステップ 3   [ローカル ディスクのエージェント リソース(Agent Resources from local disk)] を選択します。
            ステップ 4   [カテゴリ(Category)] ドロップダウンから [顧客作成のパッケージ(Customer Created Packages)] を選択します。
            ステップ 5   AnyConnect リソースの名前と説明を入力します。
            ステップ 6   [参照(Browse)] をクリックし、Cisco ISE にダウンロードするリソース ファイルがあるローカル マシン上のディレクトリに移動します。
            ステップ 7   Cisco ISE にアップロードする次の AnyConnect リソースを選択します。
            • AnyConnect カスタマイゼーション バンドル
            • AnyConnect ローカリゼーション バンドル
            • AnyConnect プロファイル
            • 高度なマルウェア防御(AMP)イネーブラ プロファイル
            ステップ 8   [送信(Submit)] をクリックします。 [アップロードされた AnyConnect リソース(Uploaded AnyConnect Resources)] 表に、Cisco ISE に追加する AnyConnect リソースが表示されます。
            次の作業

            AnyConnect エージェント プロファイルの作成

            パーソナル デバイス登録動作の設定

            この機能を使用して、Cisco ISE がネイティブ サプリカント プロビジョニング ウィザードをインストールできないパーソナル デバイスを介したユーザ ログイン セッションを Cisco ISE が処理する方法を指定します(Research In Motion の Blackberry デバイスなど)。

              ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [クライアント プロビジョニング(Client Provisioning)] を選択します。
              ステップ 2   [ネイティブ サプリカント プロビジョニング ポリシーを使用できない(Native Supplicant Provisioning Policy Unavailable)] ドロップダウン リストから、次のいずれかのオプションを選択します。
              1. [ネットワークアクセスの許可(Allow Network Access)]:ユーザは、ネイティブ サプリカント ウィザードをインストールおよび起動せずに、デバイスをネットワークに登録することを許可されます。
              2. [定義済みの許可ポリシーの適用(Apply Defined Authorization Policy)]:ユーザは、標準認証および(ネイティブ サプリカント プロビジョニング プロセスではない)許可ポリシーを適用して Cisco ISE ネットワークへのアクセスを試みる必要があります。このオプションを有効にすると、ユーザ デバイスに対して、ユーザの ID に適用されたすべてのクライアント プロビジョニング ポリシーに従った標準登録が行われます。Cisco ISE ネットワークにアクセスするためにユーザのデバイスが証明書を必要とする場合は、第 15 章の「End_User Web ポータルのセットアップとカスタマイズ」の「カスタム言語テンプレートの追加」の項の説明に従って、カスタマイズ可能なユーザ提示テキスト フィールドを使用して有効な証明書を取得して適用する方法もユーザに詳細に指示する必要があります。
              ステップ 3   [保存(Save)] をクリックします
              次の作業

              「複数ゲスト ポータルのサポート」の項の説明に従って、従業員が自分のパーソナル デバイスをネットワークに直接接続できるようにセルフ プロビジョニング機能を有効にします。

              ネイティブ サプリカント プロファイルの作成

              ネイティブ サプリカント プロファイルを作成して、ユーザが独自のデバイスを Cisco ISE ネットワークに含めることができます。ユーザがサインインすると、Cisco ISE は、ユーザの承認要件に関連付けられたプロファイルを使用して、必要なサプリカント プロビジョニング ウィザードを選択します。ウィザードは、ユーザのパーソナル デバイスを起動して設定し、ネットワークにアクセスします。


              (注)  

              プロビジョニング ウィザードは、アクティブなインターフェイスのみを設定します。このため、有線接続ユーザと無線接続ユーザは、どちらもアクティブになっている場合を除き、両方のインターフェイスにはプロビジョニングされません。

              はじめる前に

              • リモート デバイス登録に TLS デバイス プロトコルを使用しようとしている場合、少なくとも 1 つの Simple Certificate Enrollment Protocol(SCEP)プロファイルを設定します。

              • TCP ポート 8909 および UDP ポート 8909 を開き、Cisco NAC Agent、Cisco NAC Web Agent、およびサプリカント プロビジョニング ウィザードのインストールを有効にします。ポートの使用法の詳細については、『Cisco Identity Services Engine Hardware Installation Guide』の付録「Cisco ISE Appliance Ports Reference」を参照してください。

                ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)] を選択します。
                ステップ 2   [追加(Add)] > [ネイティブ サプリカント プロファイル(Native Supplicant Profile)] を選択します。
                ステップ 3   に示す説明を使用して、プロファイルを作成します。 ネイティブ サプリカント プロファイルの設定
                次の作業

                「複数ゲスト ポータルのサポート」の項の説明に従って、従業員が自分のパーソナル デバイスをネットワークに直接接続できるようにセルフ プロビジョニング機能を有効にします。

                ネイティブ サプリカント プロファイルの設定

                [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアントプロビジョニングリソース(Client Provisioning Resources)] の順に選択し、ネイティブ サプリカント プロファイルを追加すると、次の設定が表示されます。

                • [名前(Name)]:作成するネイティブ サプリカント プロファイルの名前。このプロファイルを適用するオペレーティング システムを選択します。各プロファイルは、ISE がクライアントのネイティブ サプリカントに適用するネットワーク接続の設定を定義します。

                ワイヤレス プロファイル

                1 つ以上のワイヤレス プロファイルを設定します。クライアントで使用可能にする SSID ごとに 1 つを設定します。

                • [SSID名(SSID Name)]:クライアントが接続する SSID の名前。

                • [プロキシ自動コンフィギュレーションファイルのURL(Proxy Auto-Config File URL)]:サプリカントのネットワーク設定を取得するためにクライアントがプロキシに接続する場合は、そのプロキシ サーバへの URL を入力します。

                • プロキシホスト/IP(Proxy Host/IP)

                • プロキシ ポート(Proxy Port)

                • [セキュリティ(Security)]:WPA または WPA2 を使用するようにクライアントを設定します。

                • [許可されているプロトコル(Allowed Procotol)]:クライアントが認証サーバに接続するのに使用するプロトコルを設定します(PEAP または EAP-TLS)。

                • [証明書テンプレート(Certificate Template)]:TLS の場合は、[管理(Administration)] > [システム証明書(System Certificates)] > [認証局(Certificate Authority)] > [証明書テンプレート(Certificate Templates)] で定義された証明書テンプレートのいずれかを選択します。

                オプション設定は、「オプション設定:Windows の場合」の項で説明します。

                iOS 設定

                • ターゲットネットワークが非表示になっている場合に有効にする(Enable if target network is hidden)

                有線プロファイル

                • [許可されているプロトコル(Allowed Protocol)]:クライアントが認証サーバに接続するのに使用するプロトコルを設定します(PEAP または EAP-TLS)。

                • [証明書テンプレート(Certificate Template)]:TLS の場合は、[管理(Administration)][システム証明書(System Certificates)][認証局(Certificate Authority)][証明書テンプレート(Certificate Templates)] で定義された証明書テンプレートのいずれかを選択します。

                オプション設定:Windows の場合

                [オプション(Optional)] を展開すると、Windows クライアントの場合は次のフィールドも使用できます。

                • [認証モード(Authentication Mode)]:許可のクレデンシャルとして、[ユーザ(User)]、[マシン(Machine)] またはその両方を使用するかを決定します。

                • [自動的にログイン名とパスワード(およびもしあればドメイン)を使用する(Automatically use logon name and password (and domain if any))]:認証モードで [ユーザ(User)] を選択すると、ユーザにプロンプトを表示することなくログインおよびパスワードを使用します(その情報が使用できる場合)。

                • [高速再接続を有効にする(Enable Fast Reconnect)]:セッションの再開機能が PEAP プロトコル オプションで有効な場合(これは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [PEAP] で設定されます)、PEAP セッションはユーザ クレデンシャルをチェックすることなく再開できます。

                • [隔離チェックを有効にする(Enable Quarantine Checks)]:クライアントが隔離されたかどうかを確認します。

                • [サーバが暗号化バインドTLVを示さない場合に切断する(Disconnect if server does not present cryptobinding TLV)]:暗号化バインド TLV がネットワーク接続でサポートされていない場合に切断します。

                • [新規サーバまたは信頼できる証明機関の承認をユーザに求めない(Do not prompt user to authorize new servers or trusted certification authorities)]:自動的にユーザ証明書を受け入れ、ユーザにプロンプトを表示しません。

                • [ネットワークが名前(SSID)をブロードキャストしていなくても接続する(Connect even if the network is not broadcasting its name (SSID))]:ワイヤレス プロファイルの場合のみ。

                AMP イネーブラ プロファイルの設定

                次の表に、[高度なマルウェア防御(AMP)イネーブラプロファイル(Advanced Malware Protection (AMP) Enabler Profile)] ページのフィールドを示します。ナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアントプロビジョニング(Client Provisioning)] > [リソース(Resources)] です。

                [追加(Add)] ドロップダウン矢印をクリックし、[AMPイネーブラプロファイル(AMP Enabler Profile)] を選択します。

                表 1 [AMPイネーブラプロファイル(AMP Enabler Profile)] ページ

                フィールド

                使用上のガイドライン

                [名前(Name)]

                ユーザが作成する AMP イネーブラ プロファイルの名前を入力します。

                説明

                AMP イネーブラ プロファイルの説明を入力します。

                AMPイネーブラのインストール(Install AMP Enabler)

                • Windows インストーラ:Windows OS ソフトウェアの AMP をホストするローカル サーバの URL を指定します。AnyConnect モジュールはこの URL を使用して、エンドポイントに .exe ファイルをダウンロードします。ファイル サイズは約 25 MB です。

                • Mac インストーラ:Mac OSX ソフトウェアの AMP をホストするローカル サーバの URL を指定します。AnyConnect モジュールはこの URL を使用して、エンドポイントに .pkg ファイルをダウンロードします。ファイル サイズは約 6 MB です。

                [オン(Check)] ボタンは、サーバと通信を行って URL が有効かどうかを確認します。URL が有効の場合は、「ファイルが見つかりました(File found)」メッセージが表示され、有効でない場合はエラー メッセージが表示されます。

                AMPイネーブラのアンインストール(Uninstall AMP Enabler)

                エンドポイントからエンドポイント ソフトウェアの AMP をアンインストールします。

                [開始メニューへの追加(Add to Start Menu)]

                エンドポイント ソフトウェアの AMP がエンドポイントにインストールされた後、エンドポイントの [開始(Start)] メニューにエンドポイント ソフトウェアの AMP のショートカットを追加します。

                デスクトップへの追加(Add to Desktop)

                エンドポイント ソフトウェアの AMP がエンドポイントにインストールされた後、エンドポイントのデスクトップにエンドポイント ソフトウェアの AMP のショートカットを追加します。

                コンテキストメニューへの追加(Add to Context Menu)

                エンドポイント ソフトウェアの AMP がエンドポイントにインストールされた後、エンドポイントの右クリック コンテキスト メニューに [今すぐスキャン(Scan Now)] オプションを追加します。

                組み込みプロファイル エディタを使用した AMP イネーブラ プロファイルの作成

                ISE 埋め込みプロファイル エディタまたはスタンドアロン エディタを使用して、AMP イネーブラ プロファイルを作成できます。

                ISE 埋め込みプロファイル エディタを使用して AMP イネーブル プロファイルを作成するには、次の手順を実行します。

                はじめる前に

                • SOURCEfire ポータルからエンドポイント ソフトウェアの AMP をダウンロードし、ローカル サーバでホスティングします。

                • [管理(Administration)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] に移動して、エンドポイント ソフトウェアの AMP をホストするサーバの証明書を ISE 証明書ストアにインポートします。

                • [AMPイネーブラ(AMP Enabler)] オプションが [AnyConnect設定(AnyConnect Configuration)] ページ([ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアントプロビジョニング(Client provisioning)] > [リソース(Resources)] > [追加(Add)] > [AnyConnect設定(AnyConnect Configuration)] > [AnyConnectパッケージの選択(Select AnyConnect Package)])の [AnyConnectモジュール選択(AnyConnect Module Selection)] および [プロファイル選択(Profile Selection)] セクションで選択されていることを確認します。

                • SOURCEfire ポータルにログインして、エンドポイント グループのポリシーを作成し、エンドポイント ソフトウェアの AMP をダウンロードする必要があります。ソフトウェアには、選択したポリシーが事前設定されています。2 つのイメージ、すなわち Windows OS の場合はエンドポイント ソフトウェアの AMP、Mac OSX の場合はエンドポイント ソフトウェアの AMP の再頒布可能なバージョンをダウンロードする必要があります。ダウンロードされたソフトウェアは、エンタープライズ ネットワークからアクセスできるサーバでホストされます。

                  ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョン(Client Provision)] > [リソース(Resources)] を選択します。
                  ステップ 2   [追加(Add)] ドロップダウンをクリックします。
                  ステップ 3   [AMPイネーブラプロファイル(AMP Enabler Profile)] を選択して、新しい AMP イネーブラ プロファイルを作成します。
                  ステップ 4   フィールドに適切な値を入力します。
                  ステップ 5   [送信(Submit)] をクリックして、プロファイルを [リソース(Resources)] ページに保存します。

                  スタンドアロン エディタを使用した AMP イネーブラ プロファイルの作成

                  AnyConnect スタンドアロン エディタを使用して、AMP イネーブラ プロファイルを作成するには、次の手順を実行します。

                  はじめる前に

                  AnyConnect 4.1 スタンドアロン エディタを使用して、XML 形式のプロファイルをアップロードして AMP イネーブラ プロファイルを作成できます。

                  • Cisco.com から Windows および Mac OS の AnyConnect スタンドアロン プロファイル エディタをダウンロードします。

                  • スタンドアロン プロファイル エディタを起動し、[AMPイネーブラプロファイルの設定(AMP Enabler Profile Settings)]AMP イネーブラ プロファイルの設定で指定されているようにフィールドに入力します。

                  • プロファイルを XML ファイルとしてローカル ディスクに保存します。

                  • [AMPイネーブラ(AMP Enabler)] オプションが [AnyConnect設定(AnyConnect Configuration)] ページ([ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアントプロビジョニング(Client provisioning)] > [リソース(Resources)] > [追加(Add)] > [AnyConnect設定(AnyConnect Configuration)] > [AnyConnectパッケージの選択(Select AnyConnect Package)])の [AnyConnectモジュール選択(AnyConnect Module Selection)] および [プロファイル選択(Profile Selection)] セクションで選択されていることを確認します。

                    ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアントプロビジョニング(Client Provisioning)] > [リソース(Resources)] を選択します。
                    ステップ 2   [追加(Add)] をクリックします。
                    ステップ 3   [ローカルディスクのエージェントリソース(Agent resources from local disk)] を選択します。
                    ステップ 4   [カテゴリ(Category)] ドロップダウンから [顧客作成のパッケージ(Customer Created Packages)] を選択します。
                    ステップ 5   [タイプ(Type)] ドロップダウンから [AMPイネーブラプロファイル(AMP Enabler Profile)] を選択します。
                    ステップ 6   [名前(Name)] と [説明(Description)] に入力します。
                    ステップ 7   [参照(Browse)] をクリックして、ローカル ディスクから保存済みプロファイル(XML ファイル)を選択します。次に、カスタマイズされたインストール ファイルの例を示します。 
                    <?xml version="1.0" encoding="UTF-8"?>
<FAProfile xsi:noNamespaceSchemaLocation="FAProfile.xsd" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
	<FAConfiguration>
	<Install>
	<WindowsConnectorLocation>
https://fa_webserver/ACFA_Mac_FireAMPSetup.exe
</WindowsConnectorLocation>
	<MacConnectorLocation>
https://fa_webserver/ACFA_Mac_FireAMPSetup.exe 
</MacConnectorLocation>
	<StartMenu>true</StartMenu>
	<DesktopIcon>false</DesktopIcon>
	<ContextIcon>true</ContextIcon>
	</Install>
	</FAConfiguration>
</FAProfile>
                    次に、カスタマイズされたアンインストール ファイルの例を示します。
                    <?xml version="1.0" encoding="UTF-8"?>
<FAProfile xsi:noNamespaceSchemaLocation="FAProfile.xsd" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
	<FAConfiguration>
	<Uninstall>
	</Uninstall>
	</FAConfiguration>
</FAProfile>
                    ステップ 8   [送信(Submit)] をクリックします。 新しく作成された AMP イネーブラ プロファイルが [リソース(Resources)] ページに表示されます。

                    一般的な AMP イネーブラ インストール エラーのトラブルシューティング

                    [Windowsインストーラ(Windows Installer)] または [MACインストーラ(MAC Installer)] テキスト ボックスに SOURCEfire URL を入力して [オン(Check)] をクリックすると、次のエラーのいずれかが発生する場合があります。

                    • エラー メッセージ:「MacまたはWindowsのインストーラファイルを含むサーバの証明書がISEによって信頼されていません。(The certificate for the server containing the Mac/Windows installer file is not trusted by ISE.)信頼証明書を [管理(Administration)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] に追加します。(Add a trust certificate to Administration > Certificates > Trusted Certificates.)」

                      このエラー メッセージは、Cisco ISE 証明書ストアに SOURCEfire の信頼できる証明書をインポートしていない場合に表示されます。SOURCEfire の信頼できる証明書を入手し、Cisco ISE の信頼できる証明書ストア([管理(Administration)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)])にインポートします。

                    • エラー メッセージ:「インストーラファイルがこの場所で見つかりません。接続の問題である可能性があります。(The installer file is not found at this location, this may be due to a connection issue.)有効なパスを [インストーラ(Installer)] テキスト ボックスに入力するか、または接続を確認します。(Enter a valid path in the Installer text box or check your connection.)」

                      このエラー メッセージは、エンドポイント ソフトウェアの AMP をホストしているサーバがダウンした場合、または [Windowsインストーラ(Windows Installer)] または [MACインストーラ(MAC Installer)] テキスト ボックスに入力ミスがある場合に表示されます。

                    • エラー メッセージ:「[Windowsインストーラ(Windows Installer)]または[MACインストーラ(MAC Installer)]テキスト ボックスに有効なURLが含まれていません。(The Windows/Mac installer text box does not contain a valid URL.)」

                      このエラー メッセージは、構文的に正しくない URL 形式を入力した場合に表示されます。

                    AnyConnect 設定の作成

                    AnyConnect 設定には、AnyConnect ソフトウェアおよび関連するコンフィギュレーション ファイルが含まれます。この設定は、ユーザがクライアントで AnyConnect リソースをダウンロードしてインストールできるクライアント プロビジョニング ポリシーで使用できます。AnyConnect を展開するために ISE および ASA を使用した場合、設定は両方のヘッドエンドで一致する必要があります。

                    はじめる前に

                    AnyConnect 設定オブジェクトを設定する前に AnyConnect パッケージ、コンプライアンス モジュール、プロファイル、およびオプションのカスタマイゼーション バンドルとローカリゼーション バンドルをアップロードする必要があります。

                      ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョン(Client Provision)] > [リソース(Resources)] を選択します。
                      ステップ 2   [追加(Add)] をクリックして、AnyConnect 設定を作成します。
                      ステップ 3   [AnyConnect 設定(AnyConnect Configuration)] を選択します。
                      ステップ 4   以前にアップロードした AnyConnect パッケージを選択します。たとえば、AnyConnectDesktopWindows xxx.x.xxxxx.x を選択します。
                      ステップ 5   現在の AnyConnect 設定の名前を入力します。たとえば、AC Config xxx.x.xxxxx.x とします。
                      ステップ 6   以前にアップロードしたコンプライアンス モジュールを選択します。たとえば、AnyConnectComplianceModulewindows x.x.xxxx.x を選択します。
                      ステップ 7   1 つ以上の AnyConnect モジュールのチェックボックスをオンにします。たとえば、ISE ポスチャ、VPN、ネットワーク アクセス マネージャ、Web セキュリティ、AMP イネーブラ、ASA ポスチャ、Start Before Log on(Windows OS のみ)、Diagnostic and Reporting Tool の中から、1 つ以上のモジュールを選択します。
                      (注)      [AnyConnect モジュール選択(AnyConnect Module Selection)] で VPN モジュールをオフにしても、プロビジョニングされたクライアントの VPN タイルは無効になりません。AnyConnect GUI の VPN タイルを無効にするには、VPNDisable_ServiceProfile.xml を設定する必要があります。VPNDisable_ServiceProfile.xml は他の AnyConnect ファイルを含む CCO にあります。
                      ステップ 8   選択した AnyConnect モジュール用の AnyConnect プロファイルを選択します。たとえば、ISE ポスチャ、VPN、NAM および Web セキュリティを選択します。
                      ステップ 9   AnyConnect カスタマイズ バンドルおよびローカリゼーション バンドルを選択します。
                      ステップ 10   [送信(Submit)] をクリックします。

                      AnyConnect と Cisco NAC のエージェント プロファイルの作成

                      AnyConnect や NAC ポスチャのエージェント プロファイルを作成するには、次の手順を実行します。このプロファイルでは、エージェントの動作を定義するパラメータ、クライアント IP アドレスをリフレッシュするかどうかに関連するパラメータ、およびポスチャ プロトコルのパラメータを指定できます。

                        ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)] を選択します。
                        ステップ 2   [追加(Add)] をクリックします。
                        ステップ 3   [NAC AnyConnect エージェント ポスチャ プロファイル(NAC AnyConnect Agent Posture Profile)] を選択します。
                        ステップ 4   [AnyConnect] または [NAC Agent] を選択します。
                        ステップ 5   次のパラメータを設定します。
                        • Cisco ISE ポスチャ エージェントの動作
                        • クライアント IP アドレスの変更
                        • Cisco ISE ポスチャ プロトコル
                        ステップ 6   [送信(Submit)] をクリックします。

                        エージェント プロファイル設定のガイドライン

                        シスコは、エージェント プロファイルを設定して、修復タイマー、ネットワーク遷移遅延タイマー、およびクライアント マシン上でログイン成功画面を自動的に閉じるために使用するタイマー制御し、これらの設定がポリシーベースになるようにすることを推奨します。ただし、クライアント プロビジョニング ポリシーと一致するように設定されたエージェント プロファイルがない場合、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] > [全般設定(General Settings)] の設定を使用して、同じ目的を達成できます。

                        ポリシー適用または他の方法でクライアント デバイスにエージェント プロファイルを設定してアップロードすると、そのエージェント プロファイルはクライアント上で維持され、他の何かに変更するまで、ログインおよび操作の動作に影響を及ぼします。したがって、エージェント プロファイルを Cisco ISE から削除しても、以前影響を受けたクライアントからその動作はなくなりません。ログインおよび操作の動作を変更するには、クライアント上の、既存のエージェント プロファイル パラメータの値を上書きする新しいエージェント プロファイルを定義し、これをポリシー適用によってアップロードする必要があります。

                        クライアントにあるものと異なるエージェント プロファイルが Cisco ISE にある場合(MD5 チェックサムを使用して判定)、Cisco ISE は、新しいエージェント プロファイルをクライアントにダウンロードします。Cisco ISE から送信されるエージェント カスタマイズ ファイルが異なる場合にも、Cisco ISE は新しいエージェント カスタマイズ ファイルをクライアントにダウンロードします。

                        エージェントの動作の設定

                        次の表に、ポスチャ エージェント(AnyConnect および Cisco NAC Agent)のパラメータを設定できる [NAC または AnyConnect のポスチャ プロファイル(NAC or AnyConnect Posture Profile)] ページのフィールドを示します。このページへのナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアントプロビジョニング(Client Provisioning)] > [リソース(Resources)] > [追加(Add)] > [NACまたはAnyConnectのポスチャプロファイル(NAC or AnyConnect Posture Profile)] です。

                        フィールド

                        デフォルト値(Default Value)

                        モード(Cisco ISE NAC Agent にのみ該当)

                        使用上のガイドライン

                        エージェントの終了の無効化。(Disable Agent Exit.)(Mac OS X クライアントには適用できません)

                        なし

                        マージ

                        値を [はい(Yes)] に設定すると、ユーザはエージェントをシステム トレイ経由で終了できません。

                        アクセシビリティ モードの有効化(Enable Accessibility Mode)(Mac OS X クライアントには適用できません)

                        [いいえ(No)]:エージェントは Job Access with Speech(JAWS)と相互作用しません

                        マージ

                        値を [はい(Yes)] に設定すると、JAWS 画面リーダーと互換性を持ちます。

                        この機能を有効にすると、パフォーマンスがわずかながら影響を受ける可能性があります。JAWS 画面リーダーがインストールされていないクライアント マシンでこの機能を有効にしても、エージェントは正常に機能します。

                        署名チェックの有効化(Enable signature check)(Mac OS X クライアントには適用できません)

                        なし

                        上書き

                        値を [はい(Yes)] に設定すると、修復プログラムを起動する前に Windows は実行ファイルのデジタル署名をチェックできます。

                        概要画面のバイパス(Bypass Summary Screen)(Mac OS X クライアントには適用できません)

                        マージ

                        ロケール(Locale)(Mac OS X クライアントには適用できません)

                        デフォルト

                        マージ

                        デフォルト設定では、エージェントはクライアント オペレーティング システムからロケール設定を使用できます。

                        この設定が、サポートされている言語の ID、略称、または正式名称の場合、エージェントは自動的に、クライアント マシンのエージェント ダイアログをローカライズされたテキストで表示します。

                        ポスチャ レポート フィルタ(Posture report filter)(Mac OS X クライアントには適用できません)

                        表示が失敗しました(Display Failed)

                        マージ

                        値を [表示が失敗しました(Display Failed)] に設定した場合、ユーザがエージェント ダイアログの [詳細の表示(Show Details)] をクリックすると、クライアント ポスチャ評価レポートに修復エラーのみが表示されます。

                        値を [すべて表示(Display All)] に設定した場合、ユーザがエージェント ダイアログの [詳細の表示(Show Details)] をクリックすると、クライアント ポスチャ評価レポートにすべての結果が表示されます。

                        修復タイマー(Remediation timer)

                        4

                        上書き

                        この設定では、クライアント マシンで失敗したポスチャ評価チェックを修復する時間を指定します。この分数を経過すると、ログイン プロセスを再び実行する必要があります。有効な範囲は 1 ~ 300 分です。

                        ネットワーク遷移遅延(Network Transition Delay)

                        3

                        上書き

                        この設定では、ネットワーク遷移(IP アドレスの変更)を待機する時間を指定します。これが経過すると、修復タイマーのカウントダウンが開始されます。有効な範囲は 2 ~ 30 秒です。

                        ログ ファイル サイズ(Log file size)

                        5

                        マージ

                        この設定では、クライアント マシン上のエージェント ログ ファイルのファイル サイズ(メガバイト単位)を指定します。

                        ログ ファイル サイズがゼロに設定されている場合、エージェントは、クライアント マシン上のユーザ セッションに関するログインまたは操作情報を記録しません。

                        ログ ファイル サイズがゼロ以外の場合、エージェント レコードは指定されたメガバイト数までログインおよびセッション情報を記録します。

                        自動クローズの有効化。(Enable Auto Close.)(AnyConnect には適用されません)

                        なし

                        上書き

                        この設定が [はい(Yes)] の場合、エージェント ログイン ダイアログをユーザ認証後に自動的に閉じることができます。

                        自動クローズ タイマー(Auto close timer)(AnyConnect には該当しません)

                        [0]

                        上書き

                        この設定では、エージェント ログイン画面は指定された時間待機して、ユーザ認証後に自動的に閉じることができます。有効な範囲は、0 ~ 30 秒です。

                        (注)  
                        パラメータ値を既存のエージェント プロファイルの設定でマージするか、Windows および Mac OS X クライアントのエージェント動作を適切に設定するために上書きします。

                        (注)  
                        エージェント ログ ファイルは、クライアント マシンのディレクトリに保存されます。1 回目のログイン セッションの後、2 つのファイルがディレクトリ内に置かれます。1 つは前回のログイン セッションからのバックアップ ファイルで、もう 1 つは現在のセッションのログインおよび操作の情報を含む新しいファイルです。現在のセッションのログ ファイルが大きくなり、指定されたファイル サイズを超えると、エージェントのログインおよび操作情報の最初の部分が自動的にディレクトリ内のバックアップ ファイルになり、エージェントは引き続き最新のエントリを現在のセッション ファイルに記録していきます。

                        サポートされる言語

                        表 2 サポートされる言語

                        [言語(Language)]

                        ID

                        略称

                        正式名称

                        英語(米国)

                        1033

                        en

                        英語

                        カタロニア語

                        1027

                        ca

                        カタロニア語(スペイン)

                        簡体字中国語

                        2052

                        zh_cn

                        中国語(簡体字)

                        繁体字中国語

                        1028

                        zh_tw

                        中国語(繁体字)

                        チェコ語

                        1029

                        cs

                        チェコ語

                        デンマーク語

                        1030

                        da

                        デンマーク語

                        Dutch

                        1043

                        nl

                        オランダ語(標準)

                        フィンランド語

                        1035

                        fi

                        フィンランド語

                        フランス語

                        1036

                        fr

                        フランス語

                        フランス語(カナダ)

                        3084

                        fr-ca

                        French-Canadian

                        ドイツ語

                        1031

                        de

                        ドイツ語

                        ハンガリー語

                        1038

                        hu

                        ハンガリー語

                        イタリア語

                        1040

                        it

                        イタリア語

                        日本語

                        1041

                        ja

                        日本語

                        Korean

                        1042

                        ko

                        韓国語

                        Norwegian

                        1044

                        No

                        Norwegian

                        ポーランド語

                        1045

                        pl

                        ポーランド語

                        ポルトガル語

                        2070

                        pt

                        ポルトガル語

                        ロシア語

                        1049

                        ru

                        ロシア語

                        セルビア語(ラテン)

                        2074

                        sr

                        セルビア語(ラテン)

                        セルビア語(キリル)

                        3098

                        src

                        セルビア語(キリル)

                        スペイン語

                        1034

                        es

                        スペイン語(従来型)

                        スウェーデン語

                        1053

                        sv

                        スウェーデン語

                        Turkish

                        1055

                        tr

                        Turkish

                        クライアント IP アドレスのリフレッシュ設定

                        次の表に、VLAN の変更後に IP アドレスをリフレッシュするようにクライアントのパラメータを設定できる [NAC AnyConnect ポスチャ プロファイル(NAC AnyConnect Posture Profile)] ページのフィールドを示します。このページへのナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)] > [追加(Add)] > [NAC または AnyConnect ポスチャ プロファイル(NAC or AnyConnect Posture Profile)] です。

                        フィールド

                        デフォルト値(Default Value)

                        モード(Cisco NAC Agent にのみ該当)

                        使用上のガイドライン

                        VLAN 検出間隔(VLAN detection interval)

                        0、5

                        マージ

                        この設定は、エージェントが VLAN 変更をチェックする間隔です。

                        Windows NAC エージェントの場合、デフォルト値は 0 です。デフォルトでは、認証 VLAN 変更機能へのアクセスは Windows に対して無効にされます。有効な値の範囲は 0 ~ 5 秒です。

                        Mac OS X エージェントの場合、デフォルト値は 5 です。Mac OS X のデフォルトでは、認証 VLAN 変更機能へのアクセスは、VlanDetectInteval を 5 秒として有効になっています。有効な範囲は 5 ~ 900 秒です。

                        0:認証 VLAN 変更機能へのアクセスは無効化されます。

                        1 ~ 5:エージェントはインターネット制御メッセージ プロトコル(ICMP)またはアドレス解決プロトコル(ARP)クエリーを 5 秒ごとに送信します。

                        6 ~ 900:ICMP/ARP クエリーが x 秒ごとに送信されます。

                        UI なしの VLAN 検出の有効化(Enable VLAN detection without UI)(Mac OS X クライアントには適用できません)

                        なし

                        マージ

                        この設定は、ユーザがログインしていないときでも VLAN 検出を有効または無効にします。

                        No:VLAN 検出機能は無効です。

                        Yes:VLAN 検出機能が有効です。

                        再試行検出数(Retry detection count)

                        3

                        マージ

                        インターネット制御メッセージ プロトコル(ICMP)またはアドレス解決プロトコル(ARP)ポーリングが失敗する場合、この設定で、クライアント IP アドレスをリフレッシュする前に x 回再試行するようにエージェントを設定します。

                        Ping または ARP(Ping or ARP)

                        [0]

                        有効な範囲は 0 ~ 2 です。

                        マージ

                        この設定は、クライアント IP アドレスの変更を検出するために使用する方式を指定します。

                        0:ICMP を使用してポーリング

                        1:ARP を使用してポーリング

                        2:最初に ICMP を使用し、(ICMP が失敗した場合は)ARP を使用してポーリング

                        ping の最大タイムアウト(Maximum timeout for ping)

                        1

                        有効な値の範囲は 1 ~ 10 秒です。

                        マージ

                        ICMP を使用してポーリングし、指定した時間内に応答がない場合は、ICMP ポーリングの失敗を宣言します。

                        エージェント IP のリフレッシュの有効化(Enable agent IP refresh)

                        Yes(デフォルト)

                        上書き

                        この設定は、スイッチ(または WLC)が各スイッチ ポートでクライアントのログイン セッション用 VLAN を変更した後にクライアント マシンが IP アドレスをリフレッシュするかどうかを指定します。

                        DHCP 更新遅延(DHCP renew delay)

                        [0]

                        有効な値の範囲は 0 ~ 60 秒です。

                        上書き

                        この設定は、ネットワーク DHCP サーバからの新しい IP アドレスの要求を試行する前に、クライアント マシンが待機するように指定します。

                        DHCP リリース遅延(DHCP release delay)

                        [0]

                        有効な値の範囲は 0 ~ 60 秒です。

                        上書き

                        この設定は、現在の IP アドレスをリリースする前にクライアント マシンが待機するように指定します。

                        (注)  
                        パラメータ値は、既存のエージェント プロファイル設定とマージするか、または上書きして、Windows および Mac OS X クライアントで適切に IP アドレスがリフレッシュされるように設定します。

                        ポスチャ プロトコル設定

                        次の表では、ポスチャ プロトコル設定を設定できる [NAC AnyConnect プロファイル(NAC AnyConnect Profile)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアントプロビジョニング(Client Provisioning)] > [リソース(Resources)] > [追加(Add)] > [NACエージェントまたはAnyConnectポスチャプロファイル(NAC Agent or AnyConnect Posture Profile)] です。

                        フィールド

                        [モード(Mode)]

                        使用上のガイドライン

                        CRL チェックの許可(Allow CRL Checks)(Mac OS X クライアントからは不可)

                        上書き

                        値が No に設定されている場合、検出およびネゴシエーション時の証明書失効リスト(CRL)のチェックがオフになります。

                        MAC アドレス例外リスト(MAC Address Exemption List)(Mac OS X クライアントからは不可)

                        カンマで区切った MAC アドレスを入力します。たとえば、AA:BB:CC:DD:EE:FF、11:22:33:44:55:66

                        マージ

                        この設定で 1 つまたは複数の MAC アドレスを指定すると、エージェントは、ログインと認証の間、ネットワーク経由で不要な MAC アドレスが送信されることを防ぐために、これらの MAC アドレスを Cisco ISE にアドバタイズしません。

                        Discovery Host(Mac OS X クライアントからは不可)

                        IP アドレスまたは完全修飾ドメイン名(FQDN)を入力します。

                        上書き

                        この設定では、レイヤ 3 配置で Cisco ISE に接続するためにエージェントが使用する Discovery Host のアドレスまたは解決可能なドメイン名を指定します。

                        Discovery Host の有効化(Enable Discovery Host)(Mac OS X クライアントからは不可)

                        上書き

                        Yes:ユーザが [エージェントのプロパティ(agent Properties)] ダイアログボックスの [ホストの検索(Discovery Host)] フィールドにカスタム値を指定できます。

                        No:ユーザがクライアント マシンの [ホストの検索(Discovery Host)] フィールドの値を変更できません。

                        サーバ名ルール(Server Name Rules)

                        Cisco ISE サーバの完全修飾ドメイン名(FQDN)をカンマで区切って入力します。

                        マージ

                        このフィールドは、関連する Cisco ISE サーバのカンマ区切り名から構成されます。エージェントは、このリストの名前を使用して、Cisco ISE アクセス ポイントを許可します。このリストが空の場合、許可は実行されません。いずれの名前も見つからない場合、エラーが報告されます。

                        自動生成 MAC アドレス(Auto-generated MAC Address)(Mac OS X クライアントからは不可)

                        マージ

                        この設定は、クライアント マシンでの Evolution-Data 最適化接続をサポートしています。クライアント マシンにアクティブなネットワーク インターフェイス カードがない場合、エージェントはシステムにダミーの MAC アドレスを作成します。

                        SWISS タイムアウト(SWISS Timeout)(Mac OS X クライアントからは不可)

                        1:エージェントは、設計どおりに SWISS 検出を実行し、追加の UDP 応答パケット遅延タイムアウト値は使用されません。

                        マージ

                        値を 1 よりも大きく設定すると、エージェントは Cisco ISE からの SWISS UDP 検出応答パケットを追加の秒数だけ待機してから、別の検出パケットを送信します。エージェントは、このアクションを実行して、ネットワーク遅延による応答パケットの遅延が発生していないことを確認します。(SWISS タイムアウトは UDP SWISS タイムアウトの場合のみ)

                        L3 SWISS 遅延の無効化(Disable L3 SWISS delay)(Mac OS X クライアントからは不可)

                        なし

                        マージ

                        この設定が Yes の場合、エージェントはレイヤ 3 検出パケットの送信間隔を長くする機能を無効にします。したがって、レイヤ 3 検出パケットはレイヤ 2 パケットと同様に、5 秒ごとに送信され続けます。

                        HTTP 検出タイムアウト(HTTP Discovery Timeout)(Mac OS X クライアントからは不可)

                        30(Windows クライアントのデフォルト)

                        有効な範囲は 3 秒以上です。

                        マージ

                        この設定は、エージェントからの HTTPS 検出が Cisco ISE からの検出応答を待機する HTTP 検出タイムアウトを指定します。指定時間内に応答がない場合は、検出プロセスはタイムアウトになります。

                        値が 0 に設定されている場合、デフォルトのクライアント マシンのオペレーティング システムのタイムアウト設定が使用されます。

                        値が 1 または 2 に設定されている場合、値は自動的に 3 に設定されます。

                        HTTP タイムアウト(HTTP Timeout)(Mac OS X クライアントからは不可)

                        120(Windows クライアントのデフォルト)

                        有効な範囲は 3 秒以上です。

                        マージ

                        この設定は、エージェントからの HTTP 要求が応答を待機する HTTP タイムアウトを指定します。指定時間内に応答がないと、要求はタイムアウトになり、検出プロセスはタイムアウトになります。

                        値が 0 に設定されている場合、デフォルトのクライアント マシンのオペレーティング システムのタイムアウト設定が使用されます。

                        値が 1 または 2 に設定されている場合、値は自動的に 3 に設定されます。

                        クライアント ログイン セッションの基準

                        Cisco ISE では、内部ネットワークにユーザがアクセスするときに使用するログイン セッションのタイプを分類する場合に、次のようなさまざまな要素を調べます。

                        • クライアント マシンのオペレーティング システムおよびバージョン

                        • クライアント マシンのブラウザ タイプおよびバージョン

                        • ユーザが属するグループ

                        • (適用したディクショナリ属性に基づく)条件評価結果

                        Cisco ISE は、クライアント マシンを分類した後、クライアント プロビジョニング リソース ポリシーを使用して、適切なエージェント バージョン、アンチウイルスとアンチスパイウェアのベンダー サポートに対する最新のコンプライアンス モジュール、および(必要に応じて)正しいエージェント カスタマイズ パッケージとプロファイルで、クライアント マシンが設定されていることを確認します。

                        クライアント マシン上のエージェントのダウンロードの問題

                        問題

                        ユーザの認証と許可の後、クライアント マシン ブラウザに「ポリシーが一致しません(no policy matched)」のエラー メッセージが表示されます。この問題は、認証のクライアント プロビジョニング フェーズ中のユーザ セッションに該当します。

                        考えられる原因

                        クライアント プロビジョニング ポリシーに必要な設定が欠落している可能性があります。

                        ポスチャ エージェントのダウンロードの問題

                        ポスチャ エージェントのインストーラをダウンロードするには、次のものが必要があることに注意してください。

                        • エージェントを初めてクライアント マシンにインストールする場合、ユーザはブラウザ セッションで ActiveX インストーラを許可する必要があります(クライアント プロビジョニング ダウンロード ページでは、この情報の指定を求められます)。

                        • クライアント マシンには、インターネット アクセスが必要です。

                        解像度

                        • クライアント プロビジョニング ポリシーが Cisco ISE に存在することを確認します。存在する場合は、ポリシー内に定義されているポリシー ID グループ、条件およびエージェントのタイプを確認します(また、すべてのデフォルト値のプロファイルも含め、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアントプロビジョニング(Client Provisioning)] > [リソース(Resources)] > [追加(Add)] > [NACまたはAnyConnectポスチャプロファイル(NAC or AnyConnect Posture Profile)] で設定されたエージェント プロファイルが存在するかどうかについても確認します)。

                        • アクセス スイッチのポートをバウンスすることにより、クライアント マシンの再認証を試行します。

                        Cisco NAC Agent MSI インストーラを使用したクライアント マシンのプロビジョニング

                        ネットワークとの一致に必要な適切なエージェント プロファイル情報を含むエージェント設定 XML ファイル(NACAgentCFG.xml という名前)とともに、MSI インストーラをディレクトリに、または MSI インストーラの zip バージョンをクライアント マシン上に置くことができます。

                          ステップ 1   nacagentsetup-win.msi または nacagentsetup-win.zip インストーラ ファイルをシスコのソフトウェア ダウンロード サイト(http://software.cisco.com/download/navigator.html)からダウンロードし、[セキュリティ(Security)] > [アクセス制御とポリシー(Access Control and Policy)] > [Cisco Identityt Services Engine] > [Cisco Identity Services Engineソフトウェア(Cisco Identity Services Engine Software)] > [リリース1.x(Release 1.x)] に移動します。
                          ステップ 2   nacagentsetup-win.msi ファイルをクライアント マシン上の特定のディレクトリに置きます(たとえば、C:\temp\nacagentsetup-win.msi)。
                          • MSI インストーラを直接クライアントにコピーする場合は、クライアント マシンから Cisco NAC Agent をインストールする際のインストール元となるディレクトリに、nacagentsetup-win.msi ファイルを置きます。
                          • nacagentsetup-win.zip インストーラを使用する場合は、クライアント マシンから Cisco NAC Agent をインストールする際のインストール元となるディレクトリに、zip ファイルの内容を抽出します。
                          ステップ 3   Agent 設定 XML ファイルを、Cisco NAC Agent MSI パッケージと同じディレクトリに置きます。

                          Cisco ISE に接続しない場合は、すでに正常にプロビジョニングされたクライアントから NACAgentCFG.xml ファイルをコピーできます。ファイルは、C:\Program Files\Cisco\Cisco NAC Agent\NACAgentCFG.xml にあります。

                          Agent 設定 XML ファイルが MSI インストーラ パッケージと同じディレクトリに存在していれば、インストール プロセスによって Agent 設定 XML ファイルは自動的に適切な Cisco NAC Agent アプリケーション ディレクトリに置かれるため、エージェントは最初に起動されたとき、正しいレイヤ 3 ネットワーク上の場所をポイントすることができます。

                          ステップ 4   クライアント マシンでコマンド プロンプトを開き、次のように入力してインストールを実行します。 
                          msiexec.exe /i NACAgentSetup-win.msi /qn /l*v c:\temp\agent-install.log

                          (/qn 修飾子は、Cisco NAC Agent を完全にサイレントでインストールします。/l*v は、インストール セッションを冗長モードで記録します)

                          NAC Agent をアンインストールするには、次のコマンドを実行します。 
                          msiexec /x NACAgentSetup-win-<version>.msi /qn
                          MSI を使用してエージェントの新しいバージョンをインストールする場合、古いバージョンがアンインストールされ、上記のコマンドを使用して新しいバージョンがインストールされます。
                          ステップ 5   Altiris/SMS を使用して MSI インストーラを分散する場合は、エージェントのカスタマイゼーション ファイルを「%TEMP%/CCAA」ディレクトリの「brand」という名前のサブディレクトリに置きます。Cisco NAC Agent がクライアントにインストールされるとき、このカスタマイズは Agent に適用されます。カスタマイズを削除するには、カスタマイズ ファイルなしの MSI を送信します。

                          Cisco ISE ポスチャ エージェント

                          エージェントとは、Cisco ISE ネットワークにログインしているクライアント マシンに存在するアプリケーションです。クライアントがネットワークにログインしていない場合でも、エージェントは永続的にすることができ(AnyConnect、Cisco NAC Agent for Windows および Cisco NAC Agent for Mac OS X と同様)、インストール後もクライアント マシンに残ります。エージェントは一時的にすることもでき(Cisco NAC Web Agent と同様)、ログイン セッション終了後にクライアント マシンから削除されます。いずれの場合も、エージェントはネットワークにログインし、適切なアクセス プロファイルを受け取り、クライアント マシンでポスチャ評価を実行してネットワークのコアにアクセスする前にネットワーク セキュリティ ガイドラインに従うようにします。


                          (注)  

                          現在 Cisco NAC Agent および Cisco NAC Web Agent は、クライアント プロビジョニング ポータルおよびネイティブ サプリカント プロビジョニングをサポートします。Cisco NAC Web Agent は、中央 Web 認証フロー(CWA)をサポートしていますが、Cisco NAC Agent は CWA をサポートしません。

                          ポスチャ エージェントの検出要求と Cisco ISE 応答

                          Cisco ISE は、Windows および Mac OS x クライアントでの AnyConnect とレガシー Cisco ISE NAC エージェントの共存をサポートします。エージェントは、クライアント上のネットワークに変更があった場合にのみ、ポスチャ検出プローブを開始します。Cisco ISE はクライアント プロビジョニング ポリシーに基づいて、クライアントのポスチャ検出プローブに応答し、対応するエージェントが検出応答を取得します。このエージェントが唯一のアクティブ エージェントになります。

                          Cisco ISE では、クライアント プロビジョニング ポリシーに基づいて、次のようにエージェント ポスチャ検出プローブへの応答が異なります。

                          • エンドポイントがレガシー エージェント(Windows および Mac OS x 用の Cisco ISE NAC エージェント)を使用するように設定されている場合、エージェントは検出応答と既存の形式の文字列「X-perfigo-CAS=FQDN」を受信します。レガシー エージェント用の検出応答が受信された場合、AnyConnect は検出を停止します。

                          • エンドポイントが AnyConnect を使用するように設定されている場合、Cisco ISE は別の形式で応答します。これは、Cisco ISE ポリシー サービス ノードの FQDN および AnyConnect 設定 URL になり、AnyConnect パッケージの場所およびバージョンはクライアント プロビジョニング ポリシーに基づきます。AnyConnect 用の応答が受信された場合、レガシー エージェントは検出を停止します。

                          Web Agent ポスチャの検出要求と Cisco ISE 応答

                          Web Agent は検出プローブを行いません。Web Agent を使用するようにエンドポイントが設定されている場合、Cisco ISE は X-ISE-PDP-WEBAGENT=FQDN の形式を使用して応答します。Web Agent を使用するようにクライアント プロビジョニング ポリシーが設定されている場合、Web Agent 検出応答はクライアントの Cisco NAC Agent を呼び出すために使用されます。

                          エージェントが「一時的なアクセス」を表示する

                          問題

                          管理者とユーザはフル ネットワーク アクセスを想定していますが、ログインと認証の後にクライアント マシンにネットワークへの「一時的なアクセス」が付与されます。

                          考えられる原因

                          この問題は、エージェントを使用して接続するクライアント マシンのログイン セッションで発生します。

                          クライアントで Cisco NAC Agent が動作しているときに、次の状態で問題が発生する可能性があります。

                          • クライアント マシンのインターフェイスがダウンした場合

                          • セッションが終了した場合

                          解像度

                          ユーザは、ネットワーク接続を確認して再度ログインを試行し(またポスチャ評価を通過し)、接続の再構築を試みる必要があります。

                          エージェントがポスチャ評価の開始に失敗する

                          問題

                          ユーザに対して「Clean Access Server が使用できません(Clean access server not available)」というメッセージが表示されます。この問題は、Cisco ISE からのすべてのエージェント認証セッションに適用されます。

                          考えられる原因

                          このエラーは、セッションが終了していること、またはネットワーク上で Cisco ISE が到達不可能となったことのいずれかを意味する場合があります。

                          解像度

                          • ユーザは、ネットワークに再度ログインを試みることができます。

                          • ユーザは、デフォルト ゲートウェイや RADIUS サーバ IP アドレス、またはネットワーク管理者によって提供された FQDN の ping を試みることができます。

                          • 管理者は、ユーザのネットワーク アクセス属性(割り当てられた VLAN、ACL、ルーティング、クライアントでの nslookup コマンドの実行、クライアント マシン DNS 接続など)を確認できます。

                          AnyConnect

                          Cisco ISE は、Cisco ISE ポスチャ要件の AnyConnect で統合モジュールを使用します。AnyConnect は、同じエンドポイントの Cisco ISE NAC Agent と共存するポスチャ エージェントです。Cisco ISE のクライアント プロビジョニング ポリシー設定に基づいて、一度に 1 つのエージェントのみをアクティブにします。

                          (注)  

                          Cisco AnyConnect は CWA フローでサポートされていません。これは、[ワーク センター(Work Centers)]の [ゲスト アクセス(Guest Access)]> [設定(Configure)] > [ゲスト ポータル(Guest Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [ゲスト デバイスのコンプライアンス設定(Guest Device Compliance Settings)] ページの [ゲスト デバイス コンプライアンスが必要(Require guest device compliance)] フィールドを使用してゲスト ポータルからプロビジョニングできません。代わりに、AnyConnect は認証権限に設定されるリダイレクションの結果として、クライアント プロビジョニング ポータルからプロビジョニングする必要があります。

                          AnyConnect エージェントとの統合に Cisco ISE を利用するために、Cisco ISE は次のように動作します。

                          • AnyConnect のバージョン 4.0 および以降のリリースを展開するためのステージング サーバとして機能します

                          • Cisco ISE ポスチャ要件の AnyConnect ポスチャ コンポーネントと相互作用します

                          • AnyConnect プロファイル、カスタマイズ/言語パッケージ、および Windows と Mac OS X の各オペレーティング システムの OPSWAT のライブラリ更新の展開をサポートします

                          • AnyConnect およびレガシー エージェントを同時にサポートします

                          Cisco NAC Agent XML ファイルのインストール ディレクトリ

                          Cisco NAC Agent がデフォルトの場所にインストールされているシステムでは、.xml ファイルは次のディレクトリにあります。

                          • nac_login.xml ファイルは「C:\Program Files\Cisco\Cisco NAC Agent\UI\nac_divs\login」ディレクトリにあります。

                          • nacStrings_xx.xml ファイルで、「xx」はロケールを示します。ファイルの全リストは「C:\Program Files\Cisco\Cisco NAC Agent\UI\cues_utility」ディレクトリにあります。

                          エージェントが別の場所にインストールされている場合には、ファイルは「<Agent Installed path>\Cisco\Cisco NAC Agent\UI\nac_divs\login」および「<Agent Installed path>\Cisco\Cisco NAC Agent\cues_utility」にあります。

                          Windows クライアント用 Cisco NAC Agent

                          Cisco NAC Agent には、クライアント マシンに対して、ポスチャ評価および修復を行う機能があります。

                          ユーザは Cisco NAC Agent(読み取り専用クライアント ソフトウェア)をダウンロードしてインストールし、ホストのレジストリ、プロセス、アプリケーション、およびサービスをチェックすることができます。Cisco NAC Agent を使用すると、Windows の更新またはアンチウイルスやアンチスパイウェアの定義の更新を実行したり、正規の修復プログラムを起動したり、Cisco ISE サーバにアップロードされたファイルを配布したり、ユーザがファイルをダウンロードしてシステムを修復できるように Web サイト リンクを Web サイトに配布したり、情報や手順を配布したりすることができます。

                          シスコは、最新の Windows ホット フィックスとパッチが Windows XP クライアントにインストールされ、Cisco NAC Agent がセキュアで暗号化された Cisco ISE との通信を確立できることを確認することを推奨します(SSL over TCP など)。

                          Windows 7 以前のクライアントからの Cisco NAC Agent のアンインストール

                          Cisco NAC Agent は Windows クライアントの C:\Program Files\Cisco\Cisco NAC Agent\ にインストールされます。

                          Agent は、次の方法でアンインストールできます。

                          • [Cisco NAC Agentのアンインストール(Uninstall Cisco NAC Agent)] デスクトップ アイコンをダブルクリックします。

                          • [スタート] メニュー > [Programs] > [シスコ(Cisco Systems)] > [Cisco Clean Access] > [Cisco NAC Agentのアンインストール(Uninstall Cisco NAC Agent)] に移動します。

                          • [スタート(Start)] メニュー > [コントロール パネル(Control Panel)] > [プログラムの追加と削除(Add or Remove Programs)] > [Cisco NAC Agent] に移動し、Cisco NAC Agent をアンインストールします。

                          Windows 8 クライアントの Cisco NAC Agent のアンインストール

                          メトロ モードで Windows 8 クライアントの Cisco NAC Agent をアンインストールできます。

                            ステップ 1   メトロ モードに切り替えます。
                            ステップ 2   [Cisco NAC Agent] タイルを右クリックします。
                            ステップ 3   画面下部にあるオプションから [アンインストール(Un-Install)] を選択します。
                            ステップ 4   システムが自動的にデスクトップ モードに切替わり、[追加/削除(Add/Remove)] コントロール パネルが開きます。
                            ステップ 5   [追加/削除(Add/Remove)] コントロール パネルで、次のいずれかの操作を行います。
                            1. [Cisco NAC Agent] をダブルクリックし、[アンインストール(Uninstall)] をクリックします。
                            2. [Cisco NAC Agent] を選択し、[アンインストール(Uninstall)] をクリックします。
                            3. [Cisco NAC Agent] を右クリックし、[アンインストール(Uninstall)] を選択します。

                            Windows 8 メトロおよびメトロ アプリケーションのサポート:Toast 通知

                            [Toast 通知の有効化(Enable Toast Notification)] オプションは、[Cisco NAC Agent] トレイ アイコンで使用でき、Windows 8 クライアントで関連する通知をユーザに送信できます。

                            Cisco NAC Agent では、「修復で障害発生」や「ネットワーク アクセスの期限切れ」などのためにユーザがネットワーク アクセスを取得できなかった場合は、エージェントによって「Network not available, Click "OK" to continue」という Toast 通知が表示されます。

                            詳細を取得するには、toast を選択すると、デスクトップ モードにリダイレクトされ、Cisco NAC Agent ダイアログが表示されます。

                            Toast 通知は、ネットワーク アクセスを取得するために実行する必要があるすべてのプラス推奨処置に対して表示されます。次に例を示します。

                            • ネットワーク受信ポリシーの場合は、「Click Accept to gain network access」という toast が表示されます。

                            • エージェント/コンプライアンス モジュールのアップグレードの場合は、「Click OK to Upgrade/Update」という toast が表示されます。

                            • 「user logged out」イベントでは、Clean Access Manager(CAM)でログオフの「Auto Close」オプションが有効でない場合に、Toast 通知が表示されます。この toast により、ユーザがログアウトされており、ネットワークにアクセスするには再度ログインする必要があることがわかります。

                            Macintosh クライアント用 Cisco NAC Agent

                            Cisco NAC OS X Agent により、Macintosh クライアント マシンはポスチャ評価および修復を実行できます。

                            ユーザは Cisco NAC OS X Agent(読み取り専用クライアント ソフトウェア)をダウンロードしてインストールし、アンチウイルスおよびアンチスパイウェアの定義の更新をチェックすることができます。

                            Cisco NAC OS X Agent は、ユーザがログインすると、ユーザ ロールまたはオペレーティング システムに設定された要件を Cisco ISE サーバから取得し、必要なパッケージをチェックし、レポートを Cisco ISE サーバに返送します。クライアントに関する要件が満たされている場合、ユーザはネットワークにアクセスできます。要件が満たされていない場合、エージェントは満たされていない要件ごとに、ユーザにダイアログを表示します。ダイアログにより、クライアント マシンの要件を満たすための手順および対処法が提供されます。あるいは、指定された要件が満たされない場合は、クライアント システムの修復試行中は制限付きのネットワーク アクセスを受け入れるという選択もできます。

                            Macintosh クライアントからの Cisco NAC Agent のアンインストール

                            次のアンインストール スクリプトを実行して、Mac OS X クライアントの Cisco NAC Agent をアンインストールできます。

                              ステップ 1   ナビゲータ ペインを開き、<local drive ID> > [Applications] に移動します。
                              ステップ 2   [CCAAgent] アイコンを強調表示して右クリックし、選択メニューを表示します。
                              ステップ 3   [Show Package Contents] を選択し、[NacUninstall] をダブルクリックして、Mac OS X で Cisco NAC Agent をアンインストールします。

                              Cisco Web Agent

                              Cisco Web Agent では、クライアント マシンのための一時的なポスチャ評価を提供します。

                              ユーザは Cisco Web Agent 実行ファイルを起動することができ、ActiveX コントロールまたは Java アプレットによって、クライアント マシンの一時ディレクトリに Web Agent ファイルがインストールされます。

                              Cisco Web Agent は、ユーザがログインすると、ユーザ ロールまたはオペレーティング システムに設定された要件を Cisco ISE サーバから取得し、必要なパッケージのホスト レジストリ、プロセス、アプリケーション、およびサービスをチェックし、レポートを Cisco ISE サーバに送信します。クライアント マシンに関する要件が満たされている場合、ユーザはネットワークにアクセスできます。要件が満たされていない場合、Web Agent は満たされていない要件ごとに、ユーザにダイアログを表示します。ダイアログにより、クライアント マシンの要件を満たすための手順および対処法が提供されます。あるいは、指定された要件が満たされない場合は、ユーザ ログイン ロールの要件を満たすようにクライアント システムの修復試行中は制限付きのネットワーク アクセスを受け入れるという選択もできます。


                              (注)  

                              ActiveX は 32 ビット版の Internet Explorer でのみサポートされます。Firefox Web ブラウザまたは 64 ビット版の Internet Explorer のバージョンでは、ActiveX をインストールできません。

                              Cisco NAC Agent ログ

                              Cisco NAC Agent for Windows で、[エージェント トレイ(Agent Tray)] アイコンを右クリックし、[ログ パッケージ(Log Package)] をクリックして、サポート パッケージを実行し、ログを収集します。

                              Cisco NAC Agent for Cisco NAC OS X で、[ツール(Tools)] メニューの [エージェント(Agent)] アイコンを右クリックして、[サポート ログの収集(Collect Support Logs)] オプションをクリックして、エージェントのログとサポート情報を収集します。収集された情報は、ZIP ファイルとして提供されます。ユーザは、ファイルの場所とファイル名を選択して、ファイルを保存できます。デフォルトでは、ファイルは CiscoSupportReport.zip というファイル名でデスクトップに保存されます。

                              エージェントがクラッシュまたはハングした場合は、CCAAgentLogPackager.app を実行してログを収集することができます。このファイルは /Applications/CCAAgent.app で入手できます。[CCAAgent.app] を右クリックして、[パッケージ コンテンツの表示(Show Package Contents)] を選択し、[CCAAgentLogPackager] をダブルクリックして、サポート情報を収集します。

                              Cisco NAC Agent のエージェント カスタマイズ ファイルの作成

                              エージェント カスタマイズ ファイルにより、Cisco NAC Agent 画面ダイアログのロゴ、フィールド、メッセージ テキストをカスタマイズして、特定の Windows クライアントのネットワーク アクセス要件に合致させることができます。

                              XML ディスクリプタ ファイルを含む .zip ファイルとしてカスタマイゼーション パッケージを作成し、カスタマイズされたオプションから成るコンテンツを含む別の .zip ファイルを作成することができます。

                                ステップ 1   [エージェント(Agent)] 画面のカスタマイズ パッケージを構成するために必要なファイルを組み合わせます。

                                • カスタマイズされた nac_login.xml ファイル

                                • .gif ファイルとしてカスタマイズされた企業/会社のロゴ

                                • 1 つ以上のカスタマイズされた nacStrings_xx.xml ファイル

                                • カスタマイズされた updateFeed.xml ディスクリプタ ファイル

                                ステップ 2   完成したファイルを含む「brand-win.zip」と呼ばれる zip ファイルを作成します。たとえば、Linux または UNIX 環境で、次を実行します。zip -r brand-win.zip nac_login.xml nac_logo.gif nacStrings_en.xml nacStrings_cy.xml nacStrings_el.xml
                                ステップ 3   適切な updateFeed.xml ディスクリプタ ファイルと上記で作成された .zip ファイルを含む「custom.zip」ファイルを作成します。たとえば、Linux または UNIX 環境で、次を実行します。zip -r custom.zip updateFeed.xml brand-win.zip
                                ステップ 4   完成した「custom.zip」ファイルを、Cisco ISE にアップロードする場合にアクセスできるローカル マシン上の場所に保存します。

                                カスタム nac_login.xml ファイルのテンプレート

                                nac_login.xml ファイルは、[エージェント(Agent)] 画面のカスタマイズ パッケージに必要なファイルの 1 つであり、これにより、[プロパティ(Properties)] ウィンドウなどの [Cisco NAC Agent] ダイアログに含まれているロゴ、フィールド、およびメッセージ テキストをカスタマイズして、特定の Windows クライアントのネットワーク アクセス要件に合致させることができます。

                                適切な「nac_login.xml」ファイルを作成して [Cisco NAC Agent] 画面に含まれるロゴ、フィールド、およびメッセージ テキストをカスタマイズするには、次のテンプレートを使用します。

                                次に、カスタマイズされたファイルの例を示します。

                                
<tr class="nacLoginMiddleSectionContainerInput"> 
<td colspan="2"> 
<fieldset width="100%" id="nacLoginCustomAlert" 
style="display:block" class="nacLoginAlertBox"> 
<table width="100%"> 
<tr> 
<td id="nacLoginCustomAlert.img" valign="top" width="32px"> 
<img src="./cues_icons/Status_warning_icon.png" align="absmiddle" 
 onload="cuesFixPNG(null,this)"></img> 
</td> 
<td id="nacLoginCustomAlert.content" class="nacLoginAlertText"> 
<cues:localize key="login.customalert"/> 
</td> 
</tr> 
</table> 
</fieldset> 
</td> 
</tr> 
<tr id="nacLoginRememberMe" style="visibility:hidden"> 
<td> 
<cues:localize key="cd.nbsp"/> 
</td> 
<td class="cuesLoginField"> 
<nobr> 
<input type="checkbox" alt="" title="" name="rememberme" 
id="rememberme" checked="true"/> 
<cues:localize key="login.remember_me"/> 
</nobr> 
</td> 
</tr>

                                カスタム nacStrings_xx.xml ファイルのテンプレート

                                これは、[エージェント(Agent)] 画面のカスタマイズ パッケージに必要なファイルの 1 つであり、これにより、[プロパティ(Properties)] 画面などの [Cisco NAC Agent] ダイアログに含まれているロゴ、フィールド、およびメッセージ テキストをカスタマイズして、特定の Windows クライアントのネットワーク アクセス要件に合致させることができます。

                                次のテンプレートを使用して、1 つ以上の nacStrings_xx.xml ファイルを作成します。ここで、xx は特定言語の 2 文字の ID です。

                                次に、カスタマイズされた nacStrings_xx.xml ファイルの例を示します。

                                <cueslookup:appstrings xmlns:cueslookup="http://www.cisco.com/cues/lookup"> 
<cueslookup:name key="nac.brand.legal_name">Cisco Systems, Inc.</cueslookup:name> 
<cueslookup:name key="nac.brand.full_name">Cisco Systems</cueslookup:name> 
<cueslookup:name key="nac.brand.short_name">Cisco</cueslookup:name> 
<cueslookup:name key="nac.brand.abbreviation">Cisco</cueslookup:name> 
<cueslookup:name key="nac.copyright">Copyright </cueslookup:name> 
<cueslookup:name key="nac.copyright.period">2009-2013</cueslookup:name> 
<cueslookup:name key="nac.copyright.arr">All Rights Reserved</cueslookup:name> 
<cueslookup:name key="updateagent.rqst">NAC Agent %1 is available.%br% Do you want to install this update now?</cueslookup:name> 
<cueslookup:name key="updateagent.rqst.retry">Unable to update NAC Agent. Please try again.</cueslookup:name> 
<cueslookup:name key="downloadagent.report">Downloading the update of NAC Agent.</cueslookup:name> 
<cueslookup:name key="downloadagent.packagename.label">Package Name</cueslookup:name> 
<cueslookup:name key="downloadagent.completed.label">Completed</cueslookup:name> 
<cueslookup:name key="downloadagent.completed.value">%1 of %2 bytes</cueslookup:name> 
<cueslookup:name key="downloadagent.speed.label">Speed</cueslookup:name> 
<cueslookup:name key="downloadagent.speed.value">%1 bytes/sec</cueslookup:name> 
<cueslookup:name key="updateopswat.rqst">NAC Agent Posture component version %1 is available.%br% Do you want to install this update now?</cueslookup:name> 
<cueslookup:name key="updateopswat.rqst.retry">Unable to update NAC Agent Posture component. Please try again.</cueslookup:name> 
<cueslookup:name key="downloadopswat.report">Downloading the update of NAC Agnet Posture component.</cueslookup:name> 
<cueslookup:name key="login.productname">Education First Compliance Check</cueslookup:name> 
<cueslookup:name key="login.version">Version</cueslookup:name> 
<cueslookup:name key="login.opswatversion">Posture Component Version</cueslookup:name> 
<cueslookup:name key="login.username">Enter your username</cueslookup:name> 
<cueslookup:name key="login.password">Enter your PIN</cueslookup:name> 
<cueslookup:name key="login.remember_me">Remember Me</cueslookup:name> 
<cueslookup:name key="login.server">Server</cueslookup:name> 
<cueslookup:name key="login.customalert">Custom EF package version 2.1.1.1 with EF Logo</cueslookup:name> 
<cueslookup:name key="login.Too many users using this account">This account is already active on another device</cueslookup:name> 
<cueslookup:name key="login.differentuser">Login as Different User</cueslookup:name> 
<cueslookup:name key="login.removeoldest">Remove Oldest Login Session</cueslookup:name> 
<cueslookup:name key="menu_devtools">Dev Tools</cueslookup:name> 
<cueslookup:name key="c.sso.ad">Performing Windows Domain automatic login for NAC</cueslookup:name> 
<cueslookup:name key="c.sso.generic">Unknown authentication type</cueslookup:name> 
<cueslookup:name key="c.sso.macauth">Performing device filter automatic login for NAC</cueslookup:name> 
<cueslookup:name key="c.sso.vpn">Performing automatic login into NAC environment for remote user</cueslookup:name> 
<cueslookup:name key="c.title.status.authenticating">Authenticating User</cueslookup:name> 
<cueslookup:name key="c.title.status.answeringchallenge">Sending Response</cueslookup:name> 
<cueslookup:name key="c.title.status.checking">Checking Requirements</cueslookup:name> 
<cueslookup:name key="c.title.status.checkcomplete">System Check Complete</cueslookup:name> 
<cueslookup:name key="c.title.status.loggedin">NAC Process Completed</cueslookup:name> 
<cueslookup:name key="c.title.status.netaccess.none">NAC Process Completed</cueslookup:name> 
<cueslookup:name key="c.title.status.netpolicy">Network Usage Policy</cueslookup:name> 
<cueslookup:name key="c.title.status.properties">Agent Properties &#x0026; Information</cueslookup:name> 
<cueslookup:name key="c.title.status.remediating">Remediating System</cueslookup:name> 
<cueslookup:name key="c.title.status.session.expired">Session has Expired</cueslookup:name> 
<cueslookup:name key="c.title.status.update.available">Update Agent</cueslookup:name> 
<cueslookup:name key="c.title.status.update.downloading">Downloading Agent</cueslookup:name> 
<cueslookup:name key="c.title.status.update.opswat.available">Update Posture Component</cueslookup:name> 
<cueslookup:name key="c.title.status.update.opswat.downloading">Downloading Posture Component</cueslookup:name> 
<cueslookup:name key="scanning">Checking</cueslookup:name> 
<!-- <cueslookup:name key="scanningitemcomplete">Finished Checking</cueslookup:name> --> 
<cueslookup:name key="ph.about">About</cueslookup:name> 
<cueslookup:name key="ph.cancel">Cancel</cueslookup:name> 
<!-- <cueslookup:name key="ph.details">Details</cueslookup:name> --> 
<cueslookup:name key="ph.logout">Logout</cueslookup:name> 
<cueslookup:name key="title_remediating">Remediating System</cueslookup:name> 
<cueslookup:name key="title_check_conplete">System Check Complete</cueslookup:name> 
<cueslookup:name key="title_full_access_granted">Logged In</cueslookup:name> 
<cueslookup:name key="title_access_denied">Network Access Denied</cueslookup:name> 
<cueslookup:name key="tempNetAccess">Temporary Network Access</cueslookup:name> 
<cueslookup:name key="announcePleaseBePatient">Please be patient while your system is checked against the network security policy 
</cueslookup:name> 
<cueslookup:name key="bttn.accept">Accept</cueslookup:name> 
<cueslookup:name key="bttn.apply">Apply</cueslookup:name> 
<cueslookup:name key="bttn.cancel">Cancel</cueslookup:name> 
<cueslookup:name key="bttn.continue">Update Later</cueslookup:name> 
<cueslookup:name key="bttn.close">Close</cueslookup:name> 
<cueslookup:name key="bttn.detailshide">Hide Compliance</cueslookup:name> 
<cueslookup:name key="bttn.detailsshow">Show Compliance</cueslookup:name> 
<cueslookup:name key="bttn.download">Download</cueslookup:name> 
<cueslookup:name key="bttn.guestAccess">Guest Access</cueslookup:name> 
<cueslookup:name key="bttn.go2link">Go To Link</cueslookup:name> 
<cueslookup:name key="bttn.launch">Launch</cueslookup:name> 
<cueslookup:name key="bttn.login">Log In</cueslookup:name> 
<cueslookup:name key="bttn.next">Re-Scan</cueslookup:name> 
<cueslookup:name key="bttn.ok">OK</cueslookup:name> 
<cueslookup:name key="bttn.propertieshide">Hide Properties</cueslookup:name> 
<cueslookup:name key="bttn.reject">Reject</cueslookup:name> 
<cueslookup:name key="bttn.remediate">Repair</cueslookup:name> 
<cueslookup:name key="bttn.rescan">Rescan</cueslookup:name> 
<cueslookup:name key="bttn.reset">Reset</cueslookup:name> 
<cueslookup:name key="bttn.restrictedNet">Get Restricted NET access This one comes down from the network</cueslookup:name> 
<cueslookup:name key="bttn.savereport">Save Report</cueslookup:name> 
<cueslookup:name key="bttn.skip">Skip</cueslookup:name> 
<cueslookup:name key="bttn.skipao">Skip All Optional</cueslookup:name> 
<cueslookup:name key="bttn.submit">Submit</cueslookup:name> 
<cueslookup:name key="bttn.update">Update</cueslookup:name> 
<cueslookup:name key="cd.days"> 
days 
</cueslookup:name> 
<cueslookup:name key="cd.nbsp"> 
&#xA0; 
</cueslookup:name> 
<cueslookup:name key="cd.tempNetAccess.counting"> 
There is approximately %1 left until your temporary network access expires 
</cueslookup:name> 
<cueslookup:name key="cd.tempNetAccess.expired"> 
Your Temporary Network Access has Expired! 
</cueslookup:name> 
<cueslookup:name key="cd.tempNetAccessShort.counting"> 
%1 left 
</cueslookup:name> 
<cueslookup:name key="cd.tempNetAccessShort.expired"> 
Expired! 
</cueslookup:name> 
<cueslookup:name key="cd.window.counting"> 
This window will close in %1 secs 
</cueslookup:name> 
<cueslookup:name key="dp.status.fullNetAccess"> 
Full Network Access 
</cueslookup:name> 
<cueslookup:name key="dp.status.fullNetAccess.verbose"> 
Your device conforms with all the security policies for this protected 
network 
</cueslookup:name> 
<cueslookup:name key="dp.status.fullNetAccessWarn.verbose"> 
Only optional requirements are failing. 
It is recommended that you update your system at 
your earliest convenience. 
</cueslookup:name> 
<cueslookup:name key="dp.status.iprefresh.progress.verbose"> 
Refreshing IP address. Please Wait... 
</cueslookup:name> 
<cueslookup:name key="dp.status.iprefresh.complete.verbose"> 
Refreshing IP address succeeded. 
</cueslookup:name> 
<cueslookup:name key="dp.status.vlanchange.progress.verbose"> 
Connecting to protected Network. Please Wait... 
</cueslookup:name> 
<cueslookup:name key="dp.status.guestNetAccess"> 
Guest Network Access 
</cueslookup:name> 
<cueslookup:name key="dp.status.noNetAccess"> 
Network Access Denied 
</cueslookup:name> 
<cueslookup:name key="dp.status.noNetAccess.verbose"> 
There is at least one mandatory requirement failing. 
You are required to update your system before 
you can access the network. 
</cueslookup:name> 
<cueslookup:name key="dp.status.rejectNetPolicy.verbose"> 
Network Usage Terms and Conditions are rejected. You will not be 
allowed to access the network. 
</cueslookup:name> 
<cueslookup:name key="dp.status.RestrictedNetAccess"> 
Restricted Network Access granted. 
</cueslookup:name> 
<cueslookup:name key="dp.status.RestrictedNetAccess.verbose"> 
You have been granted restricted network access because your device 
did not conform with all the security policies for this protected 
network and you have opted to defer updating your system. It is recommended 
that you update your system at your earliest convenience. 
</cueslookup:name> 
<cueslookup:name key="dp.status.temporaryNetAccess"> 
Temporary Network Access 
</cueslookup:name> 
<cueslookup:name key="dp.status.temporaryNetAccess.bepatient.verbose"> 
Please be patient while your system is checked against the network security policy. 
</cueslookup:name> 
<cueslookup:name key="dp.status.pra.mandatoryfailure"> 
Performing Re-assessment 
</cueslookup:name> 
<cueslookup:name key="dp.status.pra.mandatoryfailure.verbose"> 
There is at least one mandatory requirement failing. 
You are required to update your system otherwise 
your network access will be restricted. 
</cueslookup:name> 
<cueslookup:name key="dp.status.pra.optionalfailure"> 
Performing Re-assessment 
</cueslookup:name> 
<cueslookup:name key="dp.status.pra.optionalfailure.verbose"> 
Only optional requirements are failing. 
It is recommended that you update your system at 
your earliest convenience. 
</cueslookup:name> 
<cueslookup:name key="dp.status.SessionTimeout"> 
Logged out 
</cueslookup:name> 
<cueslookup:name key="dp.status.SessionTimeout.verbose"> 
Temporary Access to the network has expired. 
</cueslookup:name> 
<cueslookup:name key="dp.status.Unauthenticated"> 
Logged out 
</cueslookup:name> 
<cueslookup:name key="dp.status.Unauthenticated.verbose"> 
&#xA0; 
</cueslookup:name> 
<cueslookup:name key="ia.status.checkcomplete"> 
Finished Checking Requirements 
</cueslookup:name> 
<cueslookup:name key="ia.status.check.inprogress"> 
Please be patient while we determine if your system is compliant with the security policy 
</cueslookup:name> 
<cueslookup:name key="ia.status.check.inprogress.01"> 
Checking %1 out of %2 
</cueslookup:name> 
<cueslookup:name key="ia.status.netpolicy"> 
Access to the network requires that you view and accept the following 
Network Usage Policy 
</cueslookup:name> 
<cueslookup:name key="ia.status.netpolicylinktxt"> 
Network Usage Policy Terms and Conditions 
</cueslookup:name> 
<cueslookup:name key="ia.status.remediate.inprogress"> 
Remediating 
</cueslookup:name> 
<cueslookup:name key="ia.status.remediate.start"> 
Please Remediate 
</cueslookup:name> 
<cueslookup:name key="ia.status.remediate.checkinprogress"> 
Checking for compliance with Requirement 
</cueslookup:name> 
<cueslookup:name key="ia.table.name"> 
Name 
</cueslookup:name> 
<cueslookup:name key="ia.table.location"> 
Location 
</cueslookup:name> 
<cueslookup:name key="ia.table.software"> 
Software 
</cueslookup:name> 
<cueslookup:name key="ia.table.software.programs"> 
program(s) 
</cueslookup:name> 
<cueslookup:name key="ia.table.update"> 
Update 
</cueslookup:name> 
<cueslookup:name key="ia.table.locationcode.nochange"> 
Do not change current setting 
</cueslookup:name> 
<cueslookup:name key="ia.table.locationcode.notifybeforedownload"> 
Notify before download 
</cueslookup:name> 
<cueslookup:name key="ia.table.locationcode.notifybeforeinstall"> 
Notify before install 
</cueslookup:name> 
<cueslookup:name key="ia.table.locationcode.scheduledinstallation"> 
Download and installation 
</cueslookup:name> 
<cueslookup:name key="ia.table.locationcode.forcenotifybeforedownload"> 
Change to notify before download 
</cueslookup:name> 
<cueslookup:name key="ia.table.locationcode.forcenotifybeforeinstall"> 
Change to notify before installation 
</cueslookup:name> 
<cueslookup:name key="ia.table.locationcode.forcescheduledinstall"> 
Change to download and installation 
</cueslookup:name> 
<cueslookup:name key="ia.table.description"> 
Description 
</cueslookup:name> 
<cueslookup:name key="scs.table.title"> 
Security Compliance Summary 
</cueslookup:name> 
<cueslookup:name key="scs.table.header1.scan_rslt"> 
Scan Result 
</cueslookup:name> 
<cueslookup:name key="scs.table.header1.pack_name"> 
Requirement Name 
</cueslookup:name> 
<cueslookup:name key="scs.table.header1.pack_details"> 
Requirement Description - Remediation Suggestion 
</cueslookup:name> 
<cueslookup:name key="scs.table.data.mandatory"> 
Mandatory 
</cueslookup:name> 
<cueslookup:name key="scs.table.data.optional"> 
Optional 
</cueslookup:name> 
<cueslookup:name key="scs.table.data.pass"> 
Passed 
</cueslookup:name> 
<cueslookup:name key="ia.rem_inst_optional_download"> 
Please download and install the optional software before accessing the network 
</cueslookup:name> 
<cueslookup:name key="ia.rem_inst_mandatory_download"> 
Please download and install the required software before accessing the network 
</cueslookup:name> 
<cueslookup:name key="ia.rem_inst_optional_launch"> 
Please launch the optional remediation program(s) before accessing the network 
</cueslookup:name> 
<cueslookup:name key="ia.rem_inst_mandatory_launch"> 
Please launch the required remediation program(s) before accessing the network 
</cueslookup:name> 
<cueslookup:name key="ia.rem_inst_optional_opswat_av"> 
Please update the virus definition file of the specified antivirus software before accessing the network (optional) 
</cueslookup:name> 
<cueslookup:name key="ia.rem_inst_mandatory_opswat_av"> 
Please update the virus definition file of the specified antivirus software before accessing the network (required) 
</cueslookup:name> 
<cueslookup:name key="ia.rem_inst_optional_opswat_as"> 
Please update the spyware definition file of the specified anti-spyware software before accessing the network (optional) 
</cueslookup:name> 
<cueslookup:name key="ia.rem_inst_mandatory_opswat_as"> 
Please update the spyware definition file of the specified anti-spyware software before accessing the network (required) 
</cueslookup:name> 
<cueslookup:name key="ia.rem_inst_optional_win_update"> 
Please download and install the optional windows updates before accessing the network 
</cueslookup:name> 
<cueslookup:name key="ia.rem_inst_mandatory_win_update"> 
Please download and install the required windows updates before accessing the network 
</cueslookup:name> 
<cueslookup:name key="ia.rem_inst_auto_launch_prog"> 
Launching Remediation Program(s)... 
</cueslookup:name> 
<cueslookup:name key="ia.rem_inst_auto_launch_url"> 
Launching Remediation URL... 
</cueslookup:name> 
<cueslookup:name key="ia.rem_inst_auto_opswat_av"> 
Updating Virus Definition... 
</cueslookup:name> 
<cueslookup:name key="ia.rem_inst_auto_opswat_as"> 
Updating Spyware Definition... 
</cueslookup:name> 
<cueslookup:name key="ia.rem_inst_auto_win_update"> 
Launching Windows auto Update(s)... 
</cueslookup:name> 
<cueslookup:name key="ia.rem_launch_downloaded_file"> 
Downloaded at %1. %br% Please open this folder &#x0026; double-click executable file to install the required software. 
</cueslookup:name> 
<cueslookup:name key="discoveryhost.label"> 
Discovery Host 
</cueslookup:name> 
<cueslookup:name key="properties.table.title"> 
List of Antivirus &#x0026; Anti-Spyware Products Detected by the Agent 
</cueslookup:name> 
<cueslookup:name key="properties.table.header1.index"> 
No. 
</cueslookup:name> 
<cueslookup:name key="properties.table.header1.description"> 
Description 
</cueslookup:name> 
<cueslookup:name key="properties.table.header1.value"> 
Value 
</cueslookup:name> 
<cueslookup:name key="properties.table.data.product_type"> 
Product Type 
</cueslookup:name> 
<cueslookup:name key="properties.table.data.product_name"> 
Product Name 
</cueslookup:name> 
<cueslookup:name key="properties.table.data.product_version"> 
Product Version 
</cueslookup:name> 
<cueslookup:name key="properties.table.data.def_version"> 
Definition Version 
</cueslookup:name> 
<cueslookup:name key="properties.table.data.def_date"> 
Definition Date 
</cueslookup:name> 
<cueslookup:name key="reboot.mandatory.001"> 
Mandatory System Reboot Required 
</cueslookup:name> 
<cueslookup:name key="reboot.optional.001"> 
You need to reboot your system in order for the changes to take effect. 
</cueslookup:name> 
<cueslookup:name key="rem.error.001"> 
Unable to remediate particular requirement 
</cueslookup:name> 
<cueslookup:name key="rem.error.av_access_denied"> 
The remediation you are attempting is reporting an access denied error. This is usually due to a privilege issue. Please contact your system administrator. 
</cueslookup:name> 
<cueslookup:name key="rem.error.av_buffer_too_small"> 
The remediation you are attempting has failed with an internal error. Please contact your system administrator. 
</cueslookup:name> 
<cueslookup:name key="rem.error.av_elevation_required"> 
The remediation you are attempting requires elevation. Please contact your system administrator. 
</cueslookup:name> 
<cueslookup:name key="rem.error.av_failed"> 
The remediation you are attempting had a failure. If the problem persists contact your system administrator. 
</cueslookup:name> 
<cueslookup:name key="rem.error.av_internal_error"> 
The remediation you are attempting has reported an internal error. If this problem persists please contact your system administrator. 
</cueslookup:name> 
<cueslookup:name key="rem.error.av_not_implemented"> 
The remediation you are attempting is not implemented for this product. Please contact your system administrator. 
</cueslookup:name> 
<cueslookup:name key="rem.error.av_not_supported"> 
The remediation you are attempting is not supported for this product. Please contact your system administrator. 
</cueslookup:name> 
<cueslookup:name key="rem.error.av_update_faile"> 
The AV/AS update has failed. Please try again and if this message continues to display contact your system administrator. 
</cueslookup:name> 
<cueslookup:name key="rem.error.av_update_failed_due_to_network"> 
The AV/AS update failed due to a networking issue. Please try again and if this message continues to display contact your system administrator. 
</cueslookup:name> 
<cueslookup:name key="rem.error.av_timeout"> 
The remediation you are attempting has timed out waiting for the operation to finish. If this continues please contact your system administrator. 
</cueslookup:name> 
<cueslookup:name key="rem.error.file_dist_size_error"> 
The size of the downloaded file does not match the package! Please discard downloaded file and check with your administrator. 
</cueslookup:name> 
<cueslookup:name key="rem.error.file_is_not_signed"> 
The file that has been requested was not digitally signed. Please try again and if this message continues to display contact your system administrator. 
</cueslookup:name> 
<cueslookup:name key="rem.error.file_save_location_error"> 
The location for the file to be saved to can not be written. Please choose a different location. 
</cueslookup:name> 
<cueslookup:name key="rem.error.http_file_not_found"> 
The requested file is not found. Please try again and if this problem persists, contact your system administrator. 
</cueslookup:name> 
<cueslookup:name key="rem.error.launch_file_not_found"> 
The file that has been requested could not be launched either because it could not be found or there was a problem launching it. Please contact your system administrator. 
</cueslookup:name> 
<cueslookup:name key="rem.error.malformed_URL"> 
The file that is trying to be downloaded has an incorrect URL. Please contact your system administrator. 
</cueslookup:name> 
<cueslookup:name key="rem.error.network_error"> 
There has been a network error, please try the remediation again. If this message continues to be seen contact your system administrator. 
</cueslookup:name> 
<cueslookup:name key="rem.error.update_fail_for_non_admin"> 
The remediation you are trying to do can not be accomplished at your user level. Please contact your system administrator. 
</cueslookup:name> 
<cueslookup:name key="rem.error.wsus_search_failure"> 
The WSUS search failed. This is probably due to a network issue. Please try again and if this message continues to display contact your system administrator. 
</cueslookup:name> 
<cueslookup:name key="server.error.generic"> 
Agent encountered problems logging user 
</cueslookup:name> 
<cueslookup:name key="server.error.255"> 
Network Error: NAC Server could not establish a secure connection to NAC Manager. 
This could be due to one or more of the following reasons: 
1) NAC Manager certificate has expired or 
2) NAC Manager certificate cannot be trusted or 
3) NAC Manager cannot be reached or 
4) NAC Manager is not responding 
Please report this to your network administrator. 
</cueslookup:name> 
<cueslookup:name key="server.error.5000"> 
Invalid provider name 
</cueslookup:name> 
<cueslookup:name key="server.error.5001"> 
Failed to add user to online list 
</cueslookup:name> 
<cueslookup:name key="server.error.5002"> 
Server communication error 
</cueslookup:name> 
<cueslookup:name key="server.error.5003"> 
Invalid username or password 
</cueslookup:name> 
<cueslookup:name key="server.error.5004"> 
Unknown user 
</cueslookup:name> 
<cueslookup:name key="server.error.5005"> 
Account expired 
</cueslookup:name> 
<cueslookup:name key="server.error.5006"> 
Account currently disabled 
</cueslookup:name> 
<cueslookup:name key="server.error.5007"> 
Exceed quota limit 
</cueslookup:name> 
<cueslookup:name key="server.error.5008"> 
Insufficient Clean Access packages installed 
</cueslookup:name> 
<cueslookup:name key="server.error.5009"> 
Access to network is blocked by the administrator 
</cueslookup:name> 
<cueslookup:name key="server.error.5010"> 
Vulnerabilities not fixed 
</cueslookup:name> 
<cueslookup:name key="server.error.5011"> 
This client version is old and not compatible. Please login from web browser to see the download link for the new version. 
</cueslookup:name> 
<cueslookup:name key="server.error.5012"> 
Network policy is not accepted 
</cueslookup:name> 
<cueslookup:name key="server.error.5013"> 
Invalid switch configuration 
</cueslookup:name> 
<cueslookup:name key="server.error.5014"> 
Too many users using this account 
</cueslookup:name> 
<cueslookup:name key="server.error.5015"> 
Invalid session 
</cueslookup:name> 
<cueslookup:name key="server.error.5016"> 
Null session 
</cueslookup:name> 
<cueslookup:name key="server.error.5017"> 
Invalid user role 
</cueslookup:name> 
<cueslookup:name key="server.error.5018"> 
Invalid login page 
</cueslookup:name> 
<cueslookup:name key="server.error.5019"> 
Encoding failure 
</cueslookup:name> 
<cueslookup:name key="server.error.5020"> 
A security enhancement is required for your Agent. Please upgrade your Agent or contact your network administrator. 
</cueslookup:name> 
<cueslookup:name key="server.error.5021"> 
Can not find server reference 
</cueslookup:name> 
<cueslookup:name key="server.error.5022"> 
User role currently disabled 
</cueslookup:name> 
<cueslookup:name key="server.error.5023"> 
Authentication server is not reachable 
</cueslookup:name> 
<cueslookup:name key="server.error.5024"> 
Agent user operating system is not supported 
</cueslookup:name> 
<cueslookup:name key="server.error.generic_emergency"> 
The Agent has encountered an unexpected error and is restarting. 
</cueslookup:name> 
<cueslookup:name key="server.error.http_error"> 
Clean Access Server is not available on the network. 
</cueslookup:name> 
<cueslookup:name key="server.error.nw_interface_chg"> 
Authentication interrupted due to network status change. Press OK to retry. 
</cueslookup:name> 
<cueslookup:name key="server.error.svr_misconfigured"> 
Clean Access Server is not properly configured. 
</cueslookup:name> 
<cueslookup:name key="server.clarification.generic_emergency"> 
Please contact your administrator if the problem persists. 
</cueslookup:name> 
<cueslookup:name key="announce.savingreport"> 
Saving Report 
</cueslookup:name> 
<cueslookup:name key="announce.savingreport.failed"> 
Unable to save report 
</cueslookup:name> 
<cueslookup:name key="announce.cancelremediationack"> 
Clicking Cancel may change your network connectivity and interrupt download or required updates.<p> Do you want to continue?</p> 
</cueslookup:name> 
<cueslookup:name key="announce.dismiss.default"> 
Dismiss to continue 
</cueslookup:name> 
<cueslookup:name key="announce.logoutconfirm"> 
Successfully logged out from the network! 
</cueslookup:name> 
</cueslookup:appstrings>

                                (注)  

                                カスタマイズしたテキストに使用できる文字数に制限はありません。ただし、カスタマイズされたログイン画面がクライアント上に表示された場合に、あまり大きな領域を必要としないように長さを制限することをシスコは推奨します。

                                拡張 nacStrings_xx.xml ファイルのサンプル

                                <cueslookup:name key="dp.status.fullNetAccess">Full Network Access</cueslookup:name> 
<cueslookup:name key="dp.status.fullNetAccess.verbose">Your device conforms with all the security policies for this protected network</cueslookup:name> 
<cueslookup:name key="dp.status.fullNetAccessWarn.verbose">Only optional requirements are failing. It is recommended that you update your system at your earliest convenience.</cueslookup:name> 
<cueslookup:name key="dp.status.iprefresh.progress.verbose">Refreshing IP address. Please Wait ...</cueslookup:name> 
<cueslookup:name key="dp.status.iprefresh.complete.verbose">Refreshing IP address succeeded.</cueslookup:name> 
<cueslookup:name key="dp.status.vlanchange.progress.verbose">Connecting to protected Network. Please Wait ...</cueslookup:name> 
<cueslookup:name key="dp.status.guestNetAccess">Guest Network Access</cueslookup:name> 
<cueslookup:name key="dp.status.noNetAccess">Network Access Denied</cueslookup:name>
<cueslookup:name key="dp.status.noNetAccess.verbose">There is at least one mandatory requirement failing. You are required to update your system before you can access the network.
</cueslookup:name><cueslookup:name key="dp.status.rejectNetPolicy.verbose">Network Usage Terms and Conditions are rejected. You will not be allowed to access the network.</cueslookup:name> 
<cueslookup:name key="dp.status.RestrictedNetAccess">Restricted Network Access granted.</cueslookup:name> 
<cueslookup:name key="dp.status.RestrictedNetAccess.verbose">You have been granted restricted network access because your device did not conform with all the security policies for this protected network and you have opted to defer updating your system. It is recommended that you update your system at your earliest convenience.</cueslookup:name> 
<cueslookup:name key="dp.status.temporaryNetAccess">Temporary Network Access</cueslookup:name> 
<cueslookup:name key="dp.status.temporaryNetAccess.bepatient.verbose">Please be patient while your system is checked against the network security policy.</cueslookup:name>
<cueslookup:name key="dp.status.pra.mandatoryfailure">Performing Re-assessment</cueslookup:name> 
<cueslookup:name key="dp.status.pra.mandatoryfailure.verbose">There is at least one mandatory requirement failing. You are required to update your system otherwise your network access will be restricted.</cueslookup:name> 
<cueslookup:name key="dp.status.pra.optionalfailure">Performing Re-assessment</cueslookup:name> 
<cueslookup:name key="dp.status.pra.optionalfailure.verbose">Only optional requirements are failing. It is recommended that you update your system at your earliest convenience.</cueslookup:name> 
<cueslookup:name key="dp.status.SessionTimeout">Logged out</cueslookup:name> 
<cueslookup:name key="dp.status.SessionTimeout.verbose">Temporary Access to the network has expired.</cueslookup:name> 
<cueslookup:name key="dp.status.Unauthenticated">Logged out</cueslookup:name> 
<cueslookup:name key="dp.status.Unauthenticated.verbose"> </cueslookup:name>

                                UpdateFeed.xml ディスクリプタ ファイルのテンプレート

                                これは、[エージェント(Agent)] 画面のカスタマイズ パッケージに必要なファイルの 1 つであり、これにより、[プロパティ(Properties)] 画面などの [Cisco NAC Agent] ダイアログに含まれているロゴ、フィールド、およびメッセージ テキストをカスタマイズして、特定の Windows クライアントのネットワーク アクセス要件に合致させることができます。

                                [エージェント(Agent)] 画面のカスタマイズ パッケージを完了する前、適切な updateFeed.xml XML ディスクリプタ ファイルを構築する必要があります。カスタマイゼーション パッケージに必要な updateFeed.xml ディスクリプタ ファイルのセット アップには、次の例をテンプレートとして使用します。

                                <?xml version="1.0" encoding="utf-8"?> 
<feed xmlns="http://www.w3.org/2005/Atom" xmlns:update="http://www.cisco.com/cpm/update/1.0"> 
<title>Provisioning Update</title> 
<updated>2011-12-21T12:00:00Z</updated> 
<id>https://www.cisco.com/web/secure/pmbu/provisioning-update.xml</id> 
<author> 
<name>Cisco Support</name> 
<email>support@cisco.com</email> 
</author> 
<!-- Custom Branding --> 
<entry> 
<id>http://foo.foo.com/foo/AgentCustomizationPackage/1/1/1/7</id> 
<title>Agent Customization Package</title> 
<updated>2010-06-07T12:00:00Z</updated> 
<summary>This is EF Agent Customization Package 1.1.1.7</summary> 
<link rel="enclosure" type="application/zip" href="brand-win.zip" length="18884" /> 
<update:type>AgentCustomizationPackage</update:type> 
<update:version>1.1.1.7</update:version> 
<update:os>WINDOWS_ALL</update:os> 
</entry> 
</feed>
                                updateFeed.xml ディスクリプタ ファイルを作成する際は、次の点に注意してください。

                                • <update:os>:Cisco NAC Agent でサポートされているすべての Windows OS バージョンを含めるには、常にこの属性を「WINDOWS_ALL」に設定する必要があります。Cisco NAC Agent でサポートされている Windows OS バージョンのリストについては、『Support Information for Cisco NAC Appliance Agents』を参照してください。

                                • <update:version>:これは、アップグレード対象のエージェント カスタマイズ パッケージを参照します。この値は、4 桁の <n.n.n.n> にする必要があり、現在インストールされているパッケージ バージョンよりも大きな値にする必要があります。

                                • <id>:この ID は任意の文字にすることができますが、エージェント カスタマイズ パッケージごとに一意である必要があります。

                                プロファイル作成機能を使用して生成された XML ファイルの例

                                
<?xml version="1.0" ?>
<cfg>
   <VlanDetectInterval>0</VlanDetectInterval>
   <RetryDetection>3</RetryDetection>
   <PingArp>0</PingArp>
   <PingMaxTimeout>1</PingMaxTimeout>
   <EnableVlanDetectWithoutUI>0</EnableVlanDetectWithoutUI>
   <SignatureCheck>0</SignatureCheck>
   <DisableExit>0</DisableExit>
   <PostureReportFilter>displayFailed</PostureReportFilter>
   <BypassSummaryScreen>1</BypassSummaryScreen>
   <LogFileSize>5</LogFileSize>
   <DiscoveryHost></DiscoveryHost>
   <DiscoveryHostEditable>1</DiscoveryHostEditable>
   <Locale>default</Locale>
   <AccessibilityMode>0</AccessibilityMode>
   <SwissTimeout>1</SwissTimeout>
   <HttpDiscoveryTimeout>30</HttpDiscoveryTimeout>
   <HttpTimeout>120</HttpTimeout>
   <ExceptionMACList></ExceptionMACList>
   <GeneratedMAC></GeneratedMAC>
   <AllowCRLChecks>1</AllowCRLChecks>
   <DisableL3SwissDelay>0</DisableL3SwissDelay>
   <ServerNameRules></ServerNameRules>
</cfg>

                                (注)  

                                このファイルには、2 つの静的(つまり、ユーザまたは Cisco ISE 管理者が編集できない)「AgentCfgVersion」パラメータおよび「AgentBrandVersion」パラメータも含まれています。これらのパラメータは、クライアントでエージェント プロファイルおよびエージェント カスタマイズ ファイルの現在のバージョンをそれぞれ識別するために使用されます。

                                クライアント プロビジョニング リソース ポリシーの設定

                                クライアントの場合、どのユーザがリソース(エージェント、エージェント コンプライアンス モジュール、エージェント カスタマイズ パッケージ/プロファイル)のどのバージョン(または複数のバージョン)をログイン時およびユーザ セッション開始時に Cisco ISE から受信するかは、クライアント プロビジョニング リソース ポリシーによって決定されます。

                                AnyConnect の場合、クライアント プロビジョニング リソース ページからリソースを選択し、クライアント プロビジョニング ポリシー ページで使用できる AnyConnect 設定を作成することができます。AnyConnect 設定は、AnyConnect ソフトウェアとそのさまざまなコンフィギュレーション ファイルとの関連付けであり、これらのファイルには、Windows および Mac OS X クライアントの AnyConnect バイナリ パッケージ、コンプライアンス モジュール、モジュール プロファイル、AnyConnect のカスタマイズおよび言語パッケージなどがあります。

                                Cisco ISE NAC エージェントの場合、クライアント プロビジョニング ポリシー ページからリソースを選択できます。

                                はじめる前に

                                • 有効なクライアント プロビジョニング リソース ポリシーを作成する前に、Cisco ISE にリソースを追加したことを確認します。エージェント コンプライアンス モジュールをダウンロードすると、システムで使用している既存のモジュールがあれば常にそれが上書きされます。

                                • クライアント プロビジョニング ポリシーで使用されているネイティブのサプリカント プロファイルをチェックして、ワイヤレス SSID が正しいことを確認します。iOS デバイスの場合、接続対象ネットワークが非表示の場合は、[iOSの設定(iOS Settings)] エリアで [ターゲットネットワークが非表示になっている場合に有効にする(Enable if target network is hidden)] チェック ボックスをオンにします。

                                  ステップ 1   [ポリシー(Policy)] > [クライアント プロビジョニング(Client Provisioning)] を選択します。
                                  ステップ 2   動作のドロップダウン リストから [有効(Enable)]、[無効(Disable)]、または [モニタ(Monitor)] を選択します。

                                  • [有効(Enable)]:ユーザがネットワークにログインし、クライアント プロビジョニング ポリシーのガイドラインに従っている場合に、Cisco ISE がこのポリシーを使用して、クライアント プロビジョニング機能を果たすようにします。

                                  • [無効(Disable)]:Cisco ISE は、指定されたリソース ポリシーを使用せずにクライアント プロビジョニング機能を果たします。

                                  • [モニタ(Monitor)]:ポリシーを無効にし、クライアント プロビジョニング セッション要求を監視し、Cisco ISE が [モニタ対象(Monitored)] のポリシーに基づいて起動しようとした回数を確認します。

                                  ステップ 3   [ルール名(Rule Name)] テキスト ボックスに、新しいリソース ポリシーの名前を入力します。
                                  ステップ 4   Cisco ISE にログインするユーザが属する ID グループを 1 つ以上指定します。

                                  設定した既存の ID グループのリストから、あらゆる ID タイプを指定することも、1 つ以上のグループを選択することもできます。

                                  ステップ 5   [オペレーティング システム(Operating Systems)] フィールドを使用して、ユーザが Cisco ISE にログインする際に使用するクライアント マシンまたはデバイスで動作している 1 つ以上のオペレーティング システムを指定します。 [Android]、[Mac iOS]、[Mac OS X] などの単一のオペレーティング システムや、[Windows XP(すべて)(Windows XP (All))] や [Windows 7(すべて)(Windows 7 (All))] など、複数のクライアント マシン オペレーティング システムに対応する包括的なオペレーティング システムの指定を選択できます。
                                  ステップ 6   [その他の条件(Other Conditions)] フィールドで、この特定のリソース ポリシー用に作成する新しい式を指定します。
                                  ステップ 7   クライアント マシンの場合は、[エージェント設定(Agent Configuration)] を使用して、クライアント マシンで利用可能にし、プロビジョニングするエージェント タイプ、コンプライアンス モジュール、エージェント カスタマイズ パッケージ/プロファイルを指定します。 クライアント マシンで NAC エージェントがポップアップできるようにするには、クライアント プロビジョニングの URL を許可ポリシーに含める必要があります。これにより、ランダムなクライアントからの要求が回避され、適切なリダイレクト URL を持つクライアントのみがポスチャ評価を要求できるようになります。
                                  ステップ 8   [保存(Save)] をクリックします
                                  次の作業

                                  1 つ以上のクライアント プロビジョニング リソース ポリシーを正常に設定したら、ログイン中にクライアント マシンのポスチャ評価を実行するように Cisco ISE の設定を開始できます。

                                  クライアント プロビジョニング ポリシーの Cisco ISE ポスチャ エージェントの設定

                                  クライアント マシンについて、どのエージェント タイプ、コンプライアンス モジュール、エージェント カスタマイズ パッケージ/プロファイルを、ユーザがクライアント マシンにダウンロードおよびインストールできるように準備するかを設定します。

                                  はじめる前に

                                  Cisco ISE の AnyConnect および Cisco ISE NAC のクライアント プロビジョニング リソースを追加している必要があります。

                                    ステップ 1   [エージェント(Agent)] ドロップダウン リストから使用可能なエージェントを選択し、ここで定義したエージェントのアップグレード(ダウンロード)がクライアント マシンに対して必須かどうかを、[アップグレードは必須か(Is Upgrade Mandatory)] オプションを必要に応じて有効または無効にすることによって指定します。

                                    [アップグレードは必須か(Is Upgrade Mandatory)] 設定は、エージェントのダウンロードにのみ適用されます。Agent プロファイル、コンプライアンス モジュール、および Agent カスタマイズ パッケージの更新は常に必須です。

                                    ステップ 2   [プロファイル(Profile)] ドロップダウン リストから既存のエージェント プロファイルを選択します。
                                    ステップ 3   [コンプライアンスモジュール(Compliance Module)] ドロップダウン リストを使用して使用可能なコンプライアンス モジュールを選択し、クライアント マシンにダウンロードします。
                                    ステップ 4   [エージェントカスタマイズパッケージ(Agent Customization Package)] ドロップダウン リストから、クライアント マシンに使用可能なエージェント カスタマイズ パッケージを選択します。

                                    パーソナル デバイスのネイティブ サプリカントの設定

                                    従業員は、Windows、Mac OS、iOS、および Android デバイスで使用可能なネイティブ サプリカントを使用して、ネットワークに自分のパーソナル デバイスを直接接続できます。パーソナル デバイスに関して、登録されているパーソナル デバイスで使用可能にし、プロビジョニングするネイティブ サプリカントの設定を指定します。

                                    はじめる前に

                                    ユーザがログインするとき、そのユーザの許可要件と関連付けるプロファイルに基づいて、Cisco ISE が、ユーザのパーソナル デバイスを設定するために必要なサプリカント プロビジョニング ウィザードを提供して、ネットワークにアクセスするように、ネイティブ サプリカント プロファイルを作成します。

                                      ステップ 1   [ポリシー(Policy)] > [クライアント プロビジョニング(Client Provisioning)] を選択します。
                                      ステップ 2   動作のドロップダウン リストから [有効(Enable)]、[無効(Disable)]、または [モニタ(Monitor)] を選択します。
                                      ステップ 3   [ルール名(Rule Name)] テキスト ボックスに、新しいリソース ポリシーの名前を入力します。
                                      ステップ 4   次を指定します。
                                      • [ID グループ(Identity Groups)] フィールドを使用して、Cisco ISE にログインするユーザが属する ID グループを 1 つ以上指定します。
                                      • [オペレーティング システム(Operating System)] フィールドを使用して、ユーザが Cisco ISE にログインする際に使用するパーソナル デバイスで動作している 1 つ以上のオペレーティング システムを指定します。
                                      • [その他の条件(Other Conditions)] フィールドを使用して、この特定のリソース ポリシー用に作成する新しい式を指定します。
                                      ステップ 5   パーソナル デバイスの場合、[ネイティブサプリカントの設定(Native Supplicant Configuration)] を使用し、特定の構成ウィザードを選択して、パーソナル デバイスに配信します。
                                      ステップ 6   指定されたパーソナル デバイス タイプに適用可能な [ウィザードプロファイル(Wizard Profile)] を指定します。
                                      ステップ 7   [保存(Save)] をクリックします。

                                      クライアント プロビジョニング レポート

                                      Cisco ISE のモニタリングおよびトラブルシューティング機能にアクセスし、ユーザ ログイン セッションの成功または失敗の全体のトレンドをチェックし、特定の期間にネットワークにログインしたクライアント マシンの数およびタイプに関する統計情報を収集し、また、クライアント プロビジョニング リソースでの最近の設定変更をチェックすることができます。

                                      クライアント プロビジョニングの要求

                                      [操作(Operations)] > [レポート(Reports)] > [ISE レポート(ISE Reports)] > [エンドポイントおよびユーザ(Endpoints and Users)] > [クライアント プロビジョニング(Client Provisioning)] レポートには、クライアント プロビジョニング要求の成功および失敗に関する統計情報が表示されます。[実行(Run)] を選択していずれかのプリセット期間を指定すると、Cisco ISE によってデータベースが調べられ、生成されたクライアント プロビジョニング データが表示されます。

                                      サプリカント プロビジョニングの要求

                                      [操作(Operations)] > [レポート(Reports)] > [ISE レポート(ISE Reports)] > [エンドポイントおよびユーザ(Endpoints and Users)] > [サプリカント プロビジョニング(Supplicant Provisioning)] ウィンドウには、最近の成功および失敗したユーザ デバイス登録およびサプリカント プロビジョニング要求に関する情報が表示されます。[実行(Run)] を選択していずれかのプリセット期間を指定すると、Cisco ISE によってデータベースが調べられ、生成されたサプリカント プロビジョニング データが表示されます。

                                      サプリカント プロビジョニング レポートは、特定の期間にデバイス登録ポータルから登録されたエンドポイントのリストに関する情報が提供されます。これには、ログイン日時、ID(ユーザ ID)、IP アドレス、MAC アドレス(エンドポイント ID)、サーバ プロファイル、エンドポイント オペレーティング システム、SPW バージョン、障害理由(ある場合)、登録のステータスなどのデータが含まれます。

                                      クライアント プロビジョニング イベント ログ

                                      クライアントの動作の問題の診断に役立つイベント ログ エントリを検索できます。たとえば、ネットワーク上のクライアント マシンがログイン時にクライアント プロビジョニング リソースの更新を取得できないという問題の原因を特定する必要がある場合があります。ポスチャおよびクライアント プロビジョニングの監査、ポスチャおよびクライアントプロビジョニングの診断のロギング エントリを使用できます。

                                      このドキュメントは役に立ちましたか?

                                      Feedbackフィードバック

                                      シスコに問い合わせ

                                      関連するシスコ コミュニティ ディスカッション

                                      シスコをフォロー
                                      News Roomイベントブログコミュニティ
                                      シスコについて
                                      お問い合わせ
                                      採用情報