適応型ネットワーク制御（ANC）は、管理ノードで実行されるサービスで、エンドポイントのネットワーク アクセスのモニタリングと制御に使用できます。ANC は、ISE 管理者が管理 GUI で呼び出すことも、サード パーティ システムから pxGrid を介して呼び出すこともできます。ANC は有線展開とワイヤレス展開をサポートし、Plus ライセンスが必要です。

ANC を使用すると、システムの許可ポリシー全体を変更することなく許可状態を変更できます。ANC を使用すると、EPSStatus を確認してネットワーク アクセスを制限または拒否するように許可ポリシーが定義されている場合、確立された許可ポリシーの結果としてエンドポイントを隔離するときの許可状態を設定することができます。エンドポイントを隔離解除して、フル ネットワーク アクセスを可能にできます。ネットワークからエンドポイントを接続解除する Network Attached System（NAS）上のポートをシャットダウンすることもできます。

一度に隔離できるユーザの数に制限はなく、また隔離期間の長さにも制限はありません。

ANC によってネットワーク アクセスをモニタおよび制御するには、次の操作を実行できます。

• 隔離：例外ポリシー（許可ポリシー）を使用して、ネットワークへのエンドポイント アクセスを制限または拒否することができます。EPSStatus に応じて異なる許可プロファイル（権限）を割り当てるために、例外ポリシーを作成する必要があります。隔離状態に設定すると、基本的に、デフォルトの VLAN から指定した隔離 VLAN にエンドポイントが移動します。エンドポイントと同じ NAS でサポートされる隔離 VLAN を事前に定義する必要があります。

• 隔離解除：エンドポイントのネットワークへのフル アクセスを許可し、エンドポイントを元の VLAN に戻す隔離ステータスを反転することができます。

• シャットダウン：NAS 上のポートを非アクティブ化し、ネットワークからエンドポイントを接続解除することができます。エンドポイントが接続されている NAS 上のポートがシャットダウンされた後、エンドポイントがネットワークに接続できるようにするには、NAS 上のポートを手動で再度リセットする必要があります。このことは無線展開では実行できません。

アクティブ エンドポイントに対する隔離および隔離解除操作は、セッション ディレクトリ レポートからトリガーできます。

（注）	隔離されていたセッションが隔離解除された場合、新たに隔離解除されたセッションの開始方法は、スイッチ設定で指定されている認証方法によって決まります。

選択したエンドポイントのネットワークへのアクセスを制限するために、ANC を使用してこれらを隔離できます。エンドポイントを隔離し、ステータスに応じて異なる許可プロファイルを割り当てる例外許可ポリシーを確立できます。許可プロファイルは許可ポリシーで定義される権限のコンテナとして機能し、許可ポリシーによって特定のネットワーク サービスへのアクセスが許可されます。許可が完了すると、ネットワーク アクセス要求に権限が付与されます。エンドポイントの妥当性が認められた場合には、エンドポイントの隔離を解除してネットワークへのフル アクセスを許可できます。

この図は、隔離フローを示しています。許可ルールが設定され、ANC セッションが確立されていることを前提としています。

図 1. ANC 隔離フロー

1. クライアント デバイスがワイヤレス デバイス（WLC）を通じてネットワークにログインし、隔離の REST API コールが管理ノード（PAP）からモニタリング ノード（MnT）に発行されます。

2. 続いて、モニタリング ノードは、ポリシー サービス ISE ノード（PDP）を通じて PrRT をコールし、CoA を呼び出します。

3. クライアント デバイスが切断されます。

4. 続いて、クライアント デバイスが再認証および再接続されます。

5. クライアント デバイスに対する RADIUS 要求が、モニタリング ノードに返送されます。

6. チェックが行われている間、クライアント デバイスは隔離されます。

7. Q プロファイル許可ポリシーが適用され、クライアント デバイスの妥当性が確認されます。

8. クライアント デバイスの隔離が解除され、ネットワークにフル アクセスできるようになります。

[管理（Administration）] > [ID の管理（Identity Management）] > [設定（Settings）] > [エンドポイント消去（Endpoint Purge）] を使用して、ID グループおよび他の条件に基づいて、設定ルールによってエンドポイント パージ ポリシーを定義できます。指定したエンドポイントを消去しないことや、選択したプロファイリング条件に基づいてエンドポイントを消去することを選択できます。

エンドポイント消去ジョブをスケジュールできます。このエンドポイント消去スケジュールはデフォルトで有効です。Cisco ISE はデフォルトで、30 日よりも古い登録デバイスとエンドポイントを削除します。消去ジョブは、プライマリ管理ノード（PAN）で設定された時間帯に基づいて毎日午前 1 時に実行されます。

次に、エンドポイントの消去に使用できる条件と例の一部を示します。

• InactivityDays：エンドポイントでの最後のプロファイリング アクティビティまたは更新からの日数。

  • この条件によって、時間の経過に伴って蓄積した古いデバイス（一般的には一時的なゲストやパーソナル デバイス）、または廃止されたデバイスが消去されます。これらのエンドポイントは、ネットワーク上でアクティブでないか、近い将来に使用される可能性が低いため、ほとんどの展開でノイズを表す傾向があります。それらが再度接続した場合は、必要に応じて再検出、プロファイリング、登録などが行われます。

  • エンドポイントから更新が発生すると、InactivityDays はプロファイリングが有効である場合にのみ 0 にリセットされます。

• ElapsedDays：オブジェクトが作成されてからの日数。

  • この条件は、ゲストまたは請負業者のエンドポイント、ネットワーク アクセスに WebAuth を利用する従業員などの、未認証アクセスまたは条件付きアクセスが一定期間認められたエンドポイントに使用できます。許可された接続猶予期間が経過した後、それらは完全に再認証および登録される必要があります。

• PurgeDate：エンドポイントを消去する日付。

  • このオプションは、作成または開始時間に関係なく一定期間のアクセスを許可する、特別なイベントやグループに使用できます。このオプションでは、すべてのエンドポイントを同時に消去できます。たとえば、展示会、会議、または毎週メンバーが入れ替わる週ごとのトレーニング クラスでは、絶対的な日/週/月ではなく、特定の週や月にアクセスを許可する場合に使用します。