この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
企業ネットワーク上のパーソナル デバイスをサポートする場合は、ユーザ(従業員、請負業者、およびゲスト)とそのデバイスを認証および許可することで、ネットワーク サービスおよび企業データを保護する必要があります。Cisco ISE は、従業員が企業ネットワーク上でパーソナル デバイスを安全に使用できるようにするために必要なツールを提供します。
ゲストは、ゲスト ポータルへのログイン時に、自動的に自分のデバイスを登録することができます。ゲストは、ゲスト タイプに定義されている最大数まで追加デバイスを登録できます。これらのデバイスは、ポータル構成に基づいてエンドポイント ID グループに登録されます。
ゲストは、ネイティブ サプリカント プロビジョニング(Network Setup Assistant)を実行するか、またはデバイスを [デバイス(My Devices)] ポータルに追加して、パーソナル デバイスをネットワークに追加できます。オペレーティング システムに基づいて、使用する適切なネイティブ サプリカント プロビジョニング ウィザードを決定するネイティブ サプリカント プロファイルを作成できます。
ネイティブ サプリカント プロファイルはすべてのデバイスで使用できるわけではないため、ユーザはデバイス ポータルを使用してこれらのデバイスを手動で追加することができます。または、これらのデバイスを登録するように BYOD ルールを設定できます。
How To: ISE and BYOD - Onboarding, Registering, and Provisioning How To: ISE and BYOD - Using Certificates for Differentiated Access |
Cisco ISE のエンドユーザ Web ポータルは、管理ペルソナ、ポリシー サービス ペルソナ、およびモニタリング ペルソナに基づき、設定、セッション サポート、およびレポート機能を提供します。
エンドユーザ ポータルはポリシー サービス ノードで実行する必要があります。ここでは、ネットワーク アクセス、クライアント プロビジョニング、ゲスト サービス、ポスチャ、およびプロファイリングを含むすべてのセッション トラフィックが処理されます。ポリシー サービス ノードがノード グループに含まれる場合、ノードで障害が発生すると、他のノードが障害を検出し、保留中のセッションをリセットします。
モニタリング ノードは、デバイス ポータル、スポンサー ポータル、およびゲスト ポータルでのエンドユーザおよびデバイスのアクティビティについて、データを収集、集約、およびレポートします。プライマリ モニタリング ノードで障害が発生した場合は、セカンダリ モニタリング ノードが自動的にプライマリ モニタリング ノードになります。
これらの一般的な設定値を設定したら、これらの設定は会社に設定したすべて BYOD ポータルおよびデバイス ポータルに適用されます。
Cisco ISE では、従業員が所有するパーソナル デバイスをサポートするために複数の Web ベース ポータルが提供されています。これらのデバイス ポータルは、ゲスト ポータル フローまたはスポンサー ポータル フローには関与しません。
次のポータルを使用します。
ブラックリスト ポータル:「ブラックリスト」に掲載されているためネットワーク アクセスには使用できないパーソナル デバイスに関する情報を提供します。
BYOD ポータル:従業員がネイティブ サプリカント プロビジョニング機能を使用して自分のパーソナル デバイスを登録できるようにします。
証明書プロビジョニング ポータル:管理者および従業員が BYOD フローを通過できないデバイスについてユーザ/デバイス証明書を要求できるようにします。
クライアント プロビジョニング ポータル:コンプライアンスをチェックするポスチャ エージェントを自分のデバイスにダウンロードするよう従業員に強制します。
MDM ポータル:従業員が外部のモバイル デバイス管理(MDM)システムに自分のモバイル デバイスを登録できるようにします。
デバイス ポータル:従業員がパーソナル デバイス(ネイティブ サプリカント プロビジョニングをサポートしないデバイスを含む)を追加および登録し、管理できるようにします。
Cisco ISE には、事前定義済みのデフォルト ポータルのセットを含む複数のデバイス ポータルを Cisco ISE サーバでホストする機能が用意されています。デフォルトのポータル テーマには、管理者ポータルからカスタマイズできる標準のシスコ ブランドが適用されています。組織に固有のイメージ、ロゴ、およびカスケーディング スタイル シート(CSS)ファイルをアップロードして、ポータルをさらにカスタマイズすることもできます。
従業員は、このポータルに直接アクセスするのではなく、このポータルにリダイレクトされます。
従業員が自分のパーソナル デバイスを紛失したり盗まれたりした場合、デバイス ポータルでデバイスのステータスを更新して、ブラックリスト エンドポイント ID グループにデバイスを追加できます。これにより、不正なネットワーク アクセスにデバイスが使用されることを防ぎます。誰かがこれらのデバイスの 1 つを使用してネットワークに接続しようとすると、ブラックリスト ポータルにリダイレクトされ、デバイスがネットワークへのアクセスを拒否することが通知されます。デバイスが見つかった場合、従業員はデバイス ポータルでデバイスを復元し、デバイスを再登録せずにネットワーク アクセスを回復できます。デバイスの盗難か紛失かによっては、デバイスをネットワークに接続する前に、追加のプロビジョニングが必要になる場合があります。
ブラックリスト ポータルのポート設定(デフォルトはポート 8444)を設定できます。ポート番号を変更する場合は、別のエンドユーザ ポータルで使用されていないことを確認してください。
ブラックリスト ポータルの設定については、ブラックリスト ポータルの編集を参照してください。
従業員は、証明書プロビジョニング ポータルに直接アクセスできます。
証明書プロビジョニング ポータルでは、従業員はオンボーディング フローを通過できないデバイスについて証明書を要求することができます。たとえば、販売時点管理端末などのデバイスは、BYOD フローを通過できず、証明書を手動で発行する必要があります。証明書プロビジョニング ポータルで、権限のある一連のユーザは、そのようなデバイスに対する証明書要求をアップロードし、キー ペアを生成し(必要に応じて)、証明書をダウンロードできます。
従業員は、このポータルにアクセスして、1 つの証明書について要求を行うか、または CSV ファイルを使用して一括証明書要求を行うことができます。
Identity Services Engine 証明書プロビジョニング ポータルの機能と設定については、「ISE 2.0: Certificate Provisioning Portal」を参照してください。 |
従業員は、ネイティブ サプリカントを使用してパーソナル デバイスを登録すると、個人所有デバイスの持ち込み(BYOD)ポータルにリダイレクトされます。従業員がパーソナル デバイスを使用して初めてネットワークにアクセスを試みると、手動で Network Setup Assistant(NSA)ウィザードをダウンロードして起動するように求められ、ネイティブ サプリカントの登録およびインストールに進む場合があります。デバイスを登録すると、デバイス ポータルを使用して、それを管理できます。
(注) | BYOD フローは、デバイスが AnyConnect Network Access Manager(NAM)を使用してネットワークに接続すると、サポートされません。 |
従業員は、このポータルに直接アクセスするのではなく、このポータルにリダイレクトされます。
クライアント プロビジョニング システムでは、企業ネットワークにアクセスしようとしているデバイスのポスチャ評価および修復を行います。従業員がデバイスを使用してネットワーク アクセスを要求したときに、クライアント プロビジョニング ポータルにルーティングして、最初にポスチャ エージェントをダウンロードするように要求できます。ポスチャ エージェントは、デバイスにアンチウイルス ソフトウェアがインストールされていることや、オペレーティング システムがサポートされていることの確認など、コンプライアンスに関するデバイスのスキャンを行います。
従業員は、このポータルに直接アクセスするのではなく、このポータルにリダイレクトされます。
数多くの会社で、従業員のモバイル デバイスを管理するために、モバイル デバイス管理(MDM)システムを使用しています。
Cisco ISE では外部 MDM システムとの統合が許可されており、従業員はこれを使用して、モバイル デバイスを登録し、企業ネットワークにアクセスすることができます。シスコでは、従業員がデバイスを登録し、ネットワークに接続するために使用できる外部 MDM インターフェイスを提供しています。
MDM ポータルを使用することで、従業員は外部 MDM システムに登録できます。
従業員は、デバイス ポータルを使用して、PIN コードでのデバイスのロック、工場出荷時のデフォルト設定へのデバイスのリセット、デバイス登録時にインストールされていたアプリケーションおよび設定の削除など、モバイル デバイスの管理を行うことができます。
Cisco ISE では、すべての外部 MDM システム用に単一の MDM ポータルを、または個々の MDM システムごとに 1 つのポータルを使用できます。
MDM サーバを ISE とともに動作するように設定する方法については、MDM ポータルの作成を参照してください。
従業員は、デバイス ポータルに直接アクセスできます。
ネットワーク アクセスが必要な一部のネットワーク デバイスは、ネイティブ サプリカント プロビジョニングでサポートされていないため、BYOD ポータルを使用して登録することができません。ただし、従業員は、オペレーティング システムがサポートされていないか、Web ブラウザが搭載されていないパーソナル デバイス(プリンタ、インターネット ラジオ、その他のデバイスなど)を、デバイス ポータルを使用して追加および登録することができます。
従業員は、デバイスの MAC アドレスを入力して、新しいデバイスを追加および管理できます。従業員が、デバイス ポータルを使用してデバイスを追加すると、Cisco ISE はそのデバイスを RegisteredDevices エンドポイント ID グループのメンバーとして、[エンドポイント(Endpoints)] ページに追加します(別のエンドポイント ID グループに、すでに静的に割り当てられている場合を除く)。デバイスは、Cisco ISE の他のエンドポイントと同様にプロファイリングされ、ネットワーク アクセスのための登録プロセスが行われます。
1 つのデバイスからの 2 つの MAC アドレスがユーザによりデバイス ポータルに入力されると、それらが同じホスト名を持ち、ISE で 1 つのエントリとして統合されていることがプロファイリングによって設定されます。たとえば、ユーザは有線および無線のアドレスでラップトップを登録します。そのデバイス上での削除などの操作は、両方のアドレスで機能します。
登録済みデバイスがポータルから削除されると、デバイス登録状態属性と BYOD 登録状態属性は、それぞれ [未登録(NotRegistered)] および [いいえ(No)] に変更されます。ただし、これらの属性は、従業員のデバイス登録時にのみ使用される BYOD 属性であるため、ゲスト(従業員以外)がクレデンシャルを持つゲスト ポータルの [ゲスト デバイス登録(Guest Device Registration)] ページを使用してデバイスを登録した場合は、変更されずそのままになります。
従業員は、BYOD またはデバイス ポータルを使用して自分のデバイスを登録しているかどうかに関係なく、デバイス ポータルを使用してそれらを管理できます。
(注) | 管理者ポータルがダウンしている場合、デバイス ポータルは使用できません。 |
パーソナル デバイスをサポートする BYOD 展開フローは、次の要因によって若干異なります。
シングルまたはデュアル SSID:シングル SSID の場合は、証明書の登録、プロビジョニング、およびネットワーク アクセスに同じ WLAN が使用されます。デュアル SSID 展開では、2 つの SSID があります。1 つは登録およびプロビジョニングを提供し、もう 1 つはセキュアなネットワーク アクセスを提供します。
Windows、MacOS、iOS、または Android デバイス:ネイティブ サプリカントのフローは、サポートされているパーソナル デバイスを利用する従業員を BYOD ポータルにリダイレクトしてこれらのデバイス情報を確認することによって、デバイスのタイプに関係なく、同様に開始します。プロセスはデバイス タイプに応じて分岐します。
従業員のクレデンシャルが認証される:Cisco ISE は、社内 Active Directory または社内の他の ID ストアと照合して従業員を認証し、許可ポリシーを提供します。
デバイスが BYOD ポータルにリダイレクトされる:デバイスが BYOD ポータルにリダイレクトされます。デバイスの [MAC アドレス(MAC address)] フィールドは自動的に事前設定されます。ユーザはデバイス名と説明を追加できます。
ネイティブ サプリカントが設定される(MacOS、Windows、iOS、Android):ネイティブ サプリカントが設定されます。ただしこのプロセスはデバイスに応じて異なります。
MacOS および Windows デバイス:従業員が BYOD ポータルで [登録(Register)] をクリックして、サプリカント プロビジョニング ウィザード(Network Setup Assistant)をダウンロードしてインストールします。このウィザードではサプリカントが設定され、EAP-TLS 証明書ベース認証に使用する証明書が(必要に応じて)提供されます。デバイスの MAC アドレスと従業員のユーザ名が発行済み証明書に組み込まれます。
(注) | Network Setup Assistant は、そのデバイスのユーザが管理者権限を持っていない限り、Windows デバイスにダウンロードすることはできません。エンドユーザに管理者権限を与えることができない場合は、BYOD フローを使用するのではなく、GPO を使用して証明書をユーザのデバイスにプッシュします。 |
iOS デバイス:Cisco ISE ポリシー サーバは Apple の iOS ワイヤレス機能を使用して新しいプロファイルを IOS デバイスに送信します。このプロファイルには次の情報が含まれます。
Android デバイス:Cisco ISE は、従業員に Google Play ストアから Cisco Network Setup Assistant(NSA)をダウンロードするように要求し、ルーティングします。アプリのインストール後に、従業員は NSA を開いてセットアップ ウィザードを開始できます。このウィザードでは、サプリカントの設定と、デバイスの設定に使用される発行済み証明書が生成されます。
認可変更が発行される:ユーザがオンボーディング フローを通過すると、Cisco ISE は認可変更(CoA)を開始します。これにより、MacOS X、Windows、および Android デバイスはセキュアな 802.1X ネットワークに再接続します。シングル SSID の場合、iOS デバイスも自動的に接続されますが、デュアル SSID の場合、ウィザードは iOS ユーザに手動で新しいネットワークに接続するように要求します。
(注) | サプリカントを使用しない BYOD フローを設定できます。Cisco ISE コミュニティの資料(https://supportforums.cisco.com/blog/12705471/ise-byod-registration-only-without-native-supplicant-or-certificate-provisioning)を参照してください。 |
(注) | [ターゲットネットワークが非表示になっている場合に有効にする(Enable if Target Network is Hidden)] チェック ボックスをオンにするのは、実際の WI-Fi ネットワークが非表示の場合に限ります。そうしないと、特にシングル SSID フロー(同じ Wi-Fi ネットワーク/SSID がオンボーディングと接続の両方に使用されている)の特定の iOS デバイスに対して Wi-Fi ネットワーク設定が適切にプロビジョニングされない場合があります。 |
エンドポイント属性 BYODRegistration の状態は、BYOD フローにおいて次の状態に変化します。
Unknown:デバイスが BYOD フローを通過していません。
Yes:デバイスは BYOD フローを通過し、登録されました。
No:デバイスが BYOD フローを通過しましたが、登録されていません。つまり、デバイスは削除されています。
エンドポイント属性 DeviceRegistrationStatus の状態は、デバイス登録中に次の状態に変化します。
Registered:デバイスは BYOD フローを通過し、登録されました。この属性が Pending から Registered になるまでに 20 分の遅れがあります。
Pending:デバイスは BYOD フローを通過し、登録されました。ただし、ISE はネットワーク上でこのデバイスを認識していません。
Not Registered:デバイスが BYOD フローを通過していません。これは、この属性のデフォルト状態です。
Stolen:ユーザがデバイス ポータルにログインし、現在オンボーディングされているデバイスを Stolen としてマークしました。この状況が発生した場合は次のような処理が行われます。
証明書とプロファイルをプロビジョニングしてデバイスのオンボーディングが行われた場合、ISE はそのデバイスに対してプロビジョニングされた証明書を失効させ、デバイスの MAC アドレスを ブラックリストID グループに割り当てます。そのデバイスはネットワークにアクセスできなくなります。
(証明書は含めず)プロファイルのみをプロビジョニングしてデバイスのオンボーディングが行われた場合、ISE はそのデバイスを ブラックリスト エンドポイント ID グループに割り当てます。この状況に対応する許可ポリシーを作成していない場合は、デバイスは引き続きネットワークにアクセスできます。たとえば、IF Endpoint Identity Group is Blacklist AND BYOD_is_Registered THEN DenyAccess となります。
管理者は、さまざまなデバイスに対してネットワーク アクセスを無効にするアクション(証明書の削除や失効など)を行います。
ユーザが盗まれたデバイスを復元すると、ステータスは not registered に戻ります。ユーザはそのデバイスを削除してからもう一度追加する必要があります。これにより、オンボーディング プロセスが開始されます。
Lost:ユーザがデバイス ポータルにログオンし、現在オンボーディングされているデバイスを Lost としてマークしました。これにより、次のアクションが実行されます。
そのデバイスは ブラックリスト ID グループに割り当てられます。
デバイスに対してプロビジョニングされた証明書は失効します。
デバイスのステータスが Lost. に更新されます。
「BYODRegistration」が No に更新されます。
紛失デバイスをブロックする許可ポリシーを作成していない場合、紛失デバイスは引き続きネットワークにアクセスできます。ルールで ブラックリスト ID グループまたは endpoint:BYODRegistration 属性を使用できます。たとえば、IF Endpoint Identity Group is Blacklist AND EndPoints:BYODRegistrations Equals No THEN BYOD と指定できます。きめ細かなアクセスを設定するには、NetworkAccess:EAPAuthenticationMethod Equals PEAP or EAP-TLS or EAP-FAST” , InternalUser:IdentityGroup Equals <<group>> をルールの IF 部分に追加することもできます。
ネイティブ サプリカント プロファイルを作成して、Cisco ISE ネットワークでパーソナル デバイスをサポートできます。ユーザの許可要件に関連付けるプロファイルに基づいて、Cisco ISE はネットワークにアクセスするユーザのパーソナル デバイスをセットアップするために必要なサプリカント プロビジョニング ウィザードを提供します。
従業員がパーソナル デバイスを使用して初めてネットワークへのアクセスを試みると、登録およびサプリカントの設定の手順が自動的に示されます。デバイスを登録した後、デバイス ポータルを使用してデバイスを管理できます。
クレデンシャルを持つゲスト ポータルを利用している従業員は、自分のパーソナル デバイスを登録できます。BYOD ポータルによって提供されるセルフ プロビジョニング フローにより、従業員は Windows、MacOS、iOS および Android デバイスで使用可能なネイティブ サプリカントを使用してネットワークにデバイスを直接接続できます。
BYOD ポータルを使用してパーソナル デバイスを登録中に問題が発生した従業員に、登録プロセスへの再接続を可能にする情報を提供できます。
デフォルト ポータルと、証明書、エンドポイント ID グループ、ID ソース順序、ポータル テーマ、イメージ、および Cisco ISE によって提供されるその他の詳細などのデフォルト設定を使用できます。デフォルト設定を使用しない場合は、新しいポータルを作成するか、必要性に合うように既存の設定を編集する必要があります。同じ設定で複数のポータルを作成する場合は、ポータルを複製できます。
新しいポータルを作成したり、デフォルト ポータルを編集した後は、ポータルの使用を承認する必要があります。いったんポータルの使用を承認すると、後続の設定変更はただちに有効になります。
デバイス ポータルを使用するための許可は必要ありません。
ポータルを削除する場合は、関連付けられている許可ポリシー ルールおよび許可プロファイルを先に削除するか、別のポータルを使用するように変更する必要があります。
タスク | ブラックリスト ポータル | BYOD ポータル | クライアント プロビジョニング ポータル | MDM ポータル | デバイス ポータル |
---|---|---|---|---|---|
必須(Required) |
必須(Required) |
必須(Required) |
必須(Required) |
必須(Required) |
|
必須(Required) |
必須(Required) |
必須(Required) |
必須(Required) |
必須(Required) |
|
不要 |
不要 |
不要 |
不要 |
必須(Required) |
|
不要 |
不要 |
不要 |
不要 |
必須(Required) |
|
不要 |
必須(Required) |
不要 |
必須(Required) |
必須(Required) |
|
必須(Required) |
N/A |
N/A |
N/A |
N/A |
|
N/A |
必須(Required) |
N/A |
N/A |
N/A |
|
N/A |
N/A |
必須(Required) |
N/A |
N/A |
|
N/A |
N/A |
N/A |
必須(Required) |
N/A |
|
N/A |
N/A |
N/A |
N/A |
必須(Required) |
|
N/A |
必須(Required) |
必須(Required) |
必須(Required) |
不要 |
|
オプション |
オプション |
オプション |
オプション |
オプション |
Cisco ISE エンドユーザ Web ポータルをサポートするには、ホストするノードでポータル ポリシー サービスを有効にする必要があります。
デフォルトの証明書を使用しない場合は、有効な証明書を追加して、証明書グループ タグに割り当てることができます。すべてのエンドユーザ Web ポータルに使用されるデフォルトの証明書グループ タグは [デフォルト ポータル証明書グループ(Default Portal Certificate Group)] です。
Cisco ISE では、Active Directory、LDAP、RADIUS トークン、RSA SecurID サーバなどの外部 ID ソースに接続して、認証/許可のユーザ情報を取得できます。外部 ID ソースには、証明書ベースの認証に必要な証明書認証プロファイルも含まれています。
(注) | 認証済みユーザ ID を受信して共有できるようにするパッシブ ID サービスを使用するには、その他の パッシブ ID サービス プロバイダーを参照してください。 |
ステップ 1 | を選択します。 |
ステップ 2 | 次のオプションのいずれかを選択します。
|
Cisco ISE に外部 ID ソースを設定していることを確認します。
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
ゲスト ユーザがローカル WebAuth を使用して認証できるようにするには、ゲスト ポータル認証ソースと ID ソース順序に同じ ID ストアが含まれるように設定する必要があります。
Cisco ISE では、検出したエンドポイントを、対応するエンドポイント ID グループにグループ化します。Cisco ISE では、システム定義された複数のエンドポイントの ID グループが事前に用意されています。[エンドポイント ID グループ(Endpoint Identity Groups)] ページで追加のエンドポイント ID グループを作成することもできます。作成したエンドポイント ID グループを編集または削除できます。システム定義されたエンドポイント ID グループの説明のみを編集できます。これらのグループの名前を編集したり、これらのグループを削除したりすることはできません。
Cisco ISE では、Cisco ISE でブラックリストに登録されている紛失したり、盗難にあったりしたデバイスが企業ネットワークへのアクセスを試行した場合に、情報が表示される単一のブラックリスト ポータルが提供されます。
デフォルトのポータル設定を編集し、ポータルについて表示されるデフォルトのメッセージをカスタマイズすることのみができます。新しいブラックリスト ポータルを作成することはできず、デフォルト ポータルを複製または削除することもできません。
このポータルで使用するために、必要な証明書が設定されていることを確認します。
個人所有デバイスの持ち込み(BYOD)ポータルを提供して、ネットワークへのアクセスの許可の前に登録とサプリカント設定を行うことができるように、従業員がパーソナル デバイスを登録できるようにすることができます。
新しい BYOD ポータルを作成するか、既存のものを編集または複製できます。Cisco ISE によって提供されているデフォルトのポータルを含むすべての BYOD ポータルを削除できます。
[ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] タブのページ設定に加えた変更は、デバイス ポータル フロー図のグラフィカル フローに反映されます。[サポート情報(Support Information)] ページなどのページを有効にすると、そのページがフローに表示され、従業員はポータルで使用できるようになります。無効にすると、フローから削除されます。
このポータルで使用するために、必要な証明書とエンドポイント ID グループが設定されていることを確認します。
ポータルを使用するには、そのポータルを許可する必要があります。ポータルを使用できるように許可する前または後に、ポータルをカスタマイズすることもできます。
Cisco ISE では証明書プロビジョニング ポータルが提供され、そこではオンボーディング フローを通過できないデバイスについて証明書を要求することができます。たとえば、販売時点管理端末などのデバイスがあります。1 つの証明書について要求を行うか、または CSV ファイルを使用して一括証明書要求を行うことができます。
デフォルトのポータル設定を編集し、ポータルに表示されるメッセージをカスタマイズすることができます。また、証明書プロビジョニング ポータルを作成、複製、および削除することもできます。
証明書プロビジョニング ポータルにアクセスできるユーザには 2 つのタイプがあります。
スーパー管理ロールまたは ERS 管理ロールを割り当てられたユーザ(ネットワーク アクセス ユーザ)はこのポータルにアクセスでき、他人のために証明書を要求できます。ただし、新しい内部管理ユーザを作成し、スーパー管理ロールまたは ERS 管理ロールを割り当てると、内部管理ユーザはこのポータルにアクセスできません。最初にネットワーク アクセス ユーザを作成し、それからユーザをスーパー管理グループまたは ERS 管理グループに追加する必要があります。スーパー管理グループまたは ERS 管理グループに追加されている既存のネットワーク アクセス ユーザは、このポータルにアクセスできます。
証明書プロビジョニング ポータルにアクセスするための管理者アカウントを作成するには、次の手順を実行します。
他のユーザがポータルにアクセスし、自分自身の証明書を生成できるようにするには、証明書プロビジョニング ポータルの設定を行います([管理(Administration)] > [デバイスポータル管理(Device Portal Management)] > [証明書プロビジョニングポータル(Certificate Provisioning Portal)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [ポータル設定(Portal Settings)])。[認証方式(Authentication Method)] で適切な ID ソースまたは ID ソース順序を選択し、[承認済みグループの設定(Configure Authorized Groups)] でユーザ グループを選択します。選択したグループに属するすべてのユーザが、ポータルにアクセスし、自分自身の証明書を生成できるようになります。
このポータルで使用するために、必要な証明書が設定されていることを確認します。
クライアント プロビジョニング ポータルを提供して、ネットワークへのアクセスを許可する前に、デバイスのポスチャ コンプライアンスを確認する Cisco AnyConnect ポスチャ コンポーネントまたは Cisco NAC Agent を従業員がダウンロードできるようにすることができます。
新しいクライアント プロビジョニング ポータルを作成するか、既存のものを編集または複製できます。Cisco ISE によって提供されているデフォルトのポータルを含むすべてのクライアント プロビジョニング ポータルを削除できます。
スーパー管理ロールまたは ERS 管理ロールを割り当てられたユーザ(ネットワーク アクセス ユーザ)はこのポータルにアクセスできます。ただし、新しい内部管理ユーザを作成し、スーパー管理ロールまたは ERS 管理ロールを割り当てると、内部管理ユーザはこのポータルにアクセスできません。最初にネットワーク アクセス ユーザを作成し、それからユーザをスーパー管理グループまたは ERS 管理グループに追加する必要があります。スーパー管理グループまたは ERS 管理グループに追加されている既存のネットワーク アクセス ユーザは、このポータルにアクセスできます。
クライアント プロビジョニング ポータルにアクセスするための管理者アカウントを作成するには、次の手順を実行します。
他のユーザがポータルにアクセスし、自分自身の証明書を生成できるようにするには、クライアント プロビジョニング ポータルの設定を行います([管理(Administration)] > [デバイス ポータル管理(Device Portal Management)] > [クライアント プロビジョニング(Client Provisioning)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [ポータル設定(Portal Settings)])。[認証方式(Authentication Method)] で適切な ID ソースまたは ID ソース順序を選択し、[承認済みグループの設定(Configure Authorized Groups)] でユーザ グループを選択します。選択したグループに属するすべてのユーザが、ポータルにアクセスできるようになります。
[ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] タブのページ設定に加えた変更は、デバイス ポータル フロー図のグラフィカル フローに反映されます。[サポート情報(Support Information)] ページなどのページを有効にすると、そのページがフローに表示され、従業員はポータルで使用できるようになります。無効にすると、フローから削除されます。
このポータルで使用するために設定されている必要な証明書とクライアント プロビジョニング ポリシーがあることを確認します。
ポータルを使用するには、そのポータルを許可する必要があります。ポータルを使用できるように許可する前または後に、ポータルをカスタマイズすることもできます。
モバイル デバイス管理(MDM)ポータルを提供して、従業員が、企業ネットワークでの使用のために登録されたモバイル デバイスを管理できるようにすることができます。
新しい MDM ポータルを作成するか、既存のものを編集または複製できます。すべての MDM システムに対して 1 つの MDM ポータルを設定できます。または、各システムに対し 1 つのポータルを作成できます。Cisco ISE によって提供されているデフォルトのポータルを含むすべての MDM ポータルを削除できます。デフォルトのポータルは、サードパーティの MDM プロバイダー用です。
新しい MDM ポータルを作成するか、既存のものを編集または複製できます。Cisco ISE によって提供されているデフォルトのポータルを含むすべての MDM ポータルを削除できます。デフォルトのポータルは、サードパーティの MDM プロバイダー用です。
[ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] タブのページ設定に加えた変更は、デバイス ポータル フロー図のグラフィカル フローに反映されます。[サポート情報(Support Information)] ページなどのページを有効にすると、そのページがフローに表示され、従業員はポータルで使用できるようになります。無効にすると、フローから削除されます。
このポータルで使用するために、必要な証明書とエンドポイント ID グループが設定されていることを確認します。
ポータルを使用するには、そのポータルを許可する必要があります。ポータルを使用できるように許可する前または後に、ポータルをカスタマイズすることもできます。また、次のトピックを参照してください。
デバイス ポータルを提供して、従業員が、ネイティブ サプリカントをサポートせず、個人所有デバイスの持ち込み(BYOD)を使用して追加できないパーソナル デバイスを追加および登録できるようにすることができます。デバイス ポータルを使用して、いずれかのポータルを使用して追加されたすべてのデバイスを管理できます。
新しいデバイス ポータルを作成するか、既存のものを編集または複製できます。Cisco ISE によって提供されているデフォルトのポータルを含むすべてのデバイス ポータルを削除できます。
[ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] タブのページ設定に加えた変更は、デバイス ポータル フロー図のグラフィカル フローに反映されます。[サポート情報(Support Information)] ページなどのページを有効にすると、そのページがフローに表示され、従業員はポータルで使用できるようになります。無効にすると、フローから削除されます。
このポータルで使用するために、必要な証明書、外部 ID ストア、ID ソース順序、およびエンドポイント ID グループが設定されていることを確認します。
ポータルの外観を変更する場合は、ポータルをカスタマイズできます。参照先
ポータルを許可する前にポータルを作成する必要があります。
各ポータルには、特別な許可プロファイルを設定する必要があります。
デフォルトのポータルを使用しない場合は、許可プロファイルとポータル名を関連付けることができるように、最初にポータルを作成する必要があります。
新しく作成される許可プロファイルを使用するポータル許可ポリシー ルールを作成する必要があります。
ユーザ(ゲスト、スポンサー、従業員)のアクセス要求への応答に使用するポータルのリダイレクション URL を設定するには、そのポータル用の許可ポリシー ルールを定義します。
url-redirect は、ポータル タイプに基づいて次の形式になります。
ip:port = IP アドレスとポート番号
PortalID = 一意のポータル名
ホットスポット ゲスト ポータル:https://ip:port/guestportal/gateway?sessionID=SessionIdValue&portal=PortalID&action=cwa&type=drw
モバイル デバイス管理(MDM)ポータル:https://ip:port/mdmportal/gateway?sessionID=SessionIdValue&portal=PortalID&action=mdm
ポータルの外観およびユーザ(必要に応じてゲスト、スポンサー、または従業員)エクスペリエンスをカスタマイズするには、ポータル テーマをカスタマイズし、ポータル ページの UI 要素を変更して、ユーザに表示されるエラー メッセージと通知を編集します。ポータルのカスタマイズの詳細については、エンドユーザ Web ポータルのカスタマイズ を参照してください。
従業員が個人所有デバイスの持ち込み(BYOD)またはデバイス ポータルを使用してデバイスを登録すると、デバイスはエンドポイント リストに表示されます。従業員はデバイスを削除して自分のアカウントからデバイスを切り離すことができますが、デバイスは Cisco ISE データベースに残ります。この結果、従業員は、デバイスの使用時に発生するエラーの解決に管理者の支援を必要とする場合があります。
[エンドポイント(Endpoints)] リスト ページに表示される [ポータル ユーザ(Portal User)] フィールドを使用して、特定の従業員が追加したデバイスを特定できます。これは、特定のユーザが登録したデバイスを削除する必要がある場合に役立つことがあります。デフォルトでは、このフィールドは表示されないため、検索する前に最初に有効にする必要があります。
従業員は、別の従業員がすでに追加したサービスを追加することはできません。デバイスは引き続きエンドポイント データベースに含まれます。
Cisco ISE データベースにすでに存在しているデバイスを従業員が追加しようとした場合:
さらに、デバイスがネイティブ サプリカント プロビジョニングをサポートしている場合、BYOD ポータルからデバイスを追加することを推奨します。この場合、デバイスがネットワークに最初に追加されたときに作成された登録詳細がすべて上書きされます。
デバイスがプリンタなどの MAC 認証バイパス(MAB)デバイスである場合、デバイスの所有権を最初に解決する必要があります。必要に応じて、管理者ポータルを使用してエンドポイント データベースからデバイスを削除できます。これにより、新しい所有者は、デバイス ポータルを使用して正常にデバイスを追加できます。
(注) | 管理者ポータルがダウンしている場合、デバイス ポータルは使用できません。 |
従業員がデバイス ポータルからデバイスを削除すると、そのデバイスは従業員の登録済みデバイスのリストから削除されますが、Cisco ISE エンドポイント データベースに残っており、エンドポイント リストに表示されます。
[エンドポイント(Endpoints)] ページからデバイスを完全に削除するには、
を選択します。Cisco ISE は、エンドポイントおよびユーザ管理情報、およびゲストとスポンサーのアクティビティを参照できるさまざまなレポートとログを提供します。Cisco ISE 1.2 レポートの一部は廃止されましたが、情報は他のレポートで表示できます。
オン デマンドまたはスケジュール ベースでこれらのレポートを実行できます。
ステップ 1 | を選択します。 |
ステップ 2 | レポート セレクタで、[ゲスト アクセス レポート(Guest Access Reports)] および [エンドポイントとユーザ(Endpoints and Users)] 選択を展開し、さまざまなゲスト、スポンサー、およびエンドポイントに関するレポートを表示します。 |
ステップ 3 | レポートを選択し、[フィルタ(Filters)] ドロップダウン リストを使用して、検索するデータを選択します。
ユーザ名、ポータル名、デバイス名、エンドポイント ID グループ、および他のデータについてフィルタを使用できます。 |
ステップ 4 | データを表示する [時間範囲(Time Range)] を選択します。 |
ステップ 5 | [実行(Run)] をクリックします。 |
デバイス ログインおよび監査レポートは、次のものを追跡する統合レポートです。
このレポートは、
で使用できます。
[登録済みエンドポイント レポート(Registered Endpoints report)] には、従業員によって登録されたすべてのエンドポイントに関する情報が表示されます。このレポートは、
で使用できます。ID、エンドポイント ID、アイデンティティ プロファイルなどに対してクエリーを実行し、レポートを生成できます。サプリカント プロビジョニング統計情報および関連データの詳細については、クライアント プロビジョニング レポートの表示に関する説明を参照してください。エンドポイント データベースに対するクエリーを実行して、RegisteredDevices エンドポイント ID グループに割り当て済みのエンドポイントの情報を取得することができます。また、[ポータル ユーザ(Portal User)] 属性がヌル以外の値に設定されている特定のユーザについてレポートを生成することもできます。
[登録済みエンドポイント レポート(Registered Endpoints Report)] には、特定のユーザによって指定の期間内にデバイス登録ポータルから登録されたエンドポイントのリストに関する情報が表示されます。