Cisco Identity Services Engine リリース 2.3 管理者ガイド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco Identity Services Engine リリース 2.3 管理者ガイド

Chapter Title

Cisco ISE ライセンス

検索結果

Updated:
2017年11月9日

章のタイトル: Cisco ISE ライセンス

Cisco ISE ライセンス

この章では、Cisco ISE で使用できるライセンスのメカニズムとスキーム、およびライセンスの追加やアップグレードを行う方法について説明します。

Cisco ISE ライセンス

Cisco ISE ライセンスでは、ライセンスを管理する 2 つのオプションが提供されます。

  • スマート ライセンス:1 つのトークン登録により、ISE ソフトウェア ライセンスおよびエンドポイント ライセンスの使用をモニタリングし、購入したシスコ製品およびライセンスは、Cisco Smart Software Manager(CSSM)と呼ばれる中央データベースで維持されます。スマート ライセンスの詳細については、Cisco ISE スマート ライセンスを参照してください。

  • 従来のライセンス:ニーズに基づいて個々のライセンスを購入およびインポートしてから、ISE から、Cisco ISE のネットワーク リソースを使用できる同時接続可能なエンドポイントの数など、アプリケーション機能およびアクセスを管理します。従来のライセンスの詳細については、従来のライセンス ファイルの管理を参照してください。

お客様が最大限に節約できるように、Cisco ISE のライセンスは、従来のライセンスおよびスマート ライセンスのオプションの両方に対し、Base、Plus、Apex、Device Administration のようなさまざまなパッケージで提供されます。従来の Cisco ライセンス モデルの詳細は、Cisco ISE ライセンス モデルを参照してください。

ISE ボックスをインストールまたはアップグレードすると、従来のライセンスはデフォルトで使用中になり、すべてのライセンス コンポーネントは 90 日間の試用期間の間アクティブになります。スマート ライセンスに切り替えると、トークンを登録する前は、この評価期間は、スマート ライセンスについてはアクティブなままで、評価期間には、評価期間の一部として ISE ライセンスが含まれます。評価期間中、CSSM に使用は報告されません。

次の場合、インストールされたライセンス(従来のライセンス)またはライセンス契約(スマート ライセンス)は更新する必要があります。

  • トライアル期間が終了し、まだライセンスをインストールしていない、または登録されていない。

  • ライセンスの有効期限が切れている。

  • エンドポイントの使用がライセンス契約を超える場合。

ISE は、ライセンスの有効期限日、または使用の問題の 90 日、60 日、および 30 日前に通知します。システムがライセンスに準拠しなくなった場合、管理者は Plus と Apex の機能を表示、編集、設定することができなくなります。画面上部にある [ライセンス警告(License Warning)] アイコンを使用して、ライセンスの詳細情報を表示、追跡できます。

1 種類のライセンス パッケージをより複雑なパッケージにアップグレードする際には、ISE はアップグレード前に小さい方のパッケージで使用可能だったすべての機能を引き続き提供し、すでに設定した設定を再設定する必要はありません。

ISE コミュニティ リソース

Cisco Identity Services Engine Ordering Guide

評価版ライセンスを入手する方法については、「How to Get ISE Evaluation Licenses」を参照してください。

従来のライセンス ファイルの管理

90 日間の評価期間の終了後に Cisco ISE サービスの使用を継続し、ネットワークで 100 を超える数の同時エンドポイントをサポートするには、システム上の現在のユーザの数の Base ライセンスを取得して登録する必要があります。追加機能が必要な場合は、該当の機能を有効にする Plus か Apex、またはその両方のライセンスが必要です。

ライセンスはプライマリ管理ノード(PAN)にアップロードされ、クラスタ内の他の Cisco ISE ノードにその情報がコピーされます。ライセンスは管理ノードによって一元的に管理され、他のノードに別個のライセンスは必要ありません。ハイ アベイラビリティ ペアで 2 つの管理ノードを展開している場合、それらのいずれにも同じライセンス機能があることを確実にする必要があります。両方の UDI でライセンスを生成してから、それぞれのノードがスタンドアロンまたはプライマリ状態になっているときに、ライセンスを追加します。

Cisco ISE ソフトウェアをインストールし、最初にそのアプライアンスを PAN として設定したら、Cisco ISE のライセンスを取得して PAN に登録する必要があります。プライマリおよびセカンダリ管理ノードのハードウェア UDI を使用して、PAN にすべてのライセンスを登録します。これにより、その展開に登録されているすべてのライセンスが PAN で集中管理されるようになります。


(注)  

ノードが PAN から登録解除されると、スタンドアロン ノードになり、そのライセンスは評価ライセンスにリセットされます。

ここでは、従来の ISE ライセンスの登録、再ホスティング、更新、移行、アップグレード、および削除を行う方法について説明します。

Cisco ISE ライセンス モデル

Cisco ISE ライセンス モデルでは、企業のニーズに適したライセンスを購入できます。従来のライセンスを使用するときは、すべての個別ライセンスをインポートし、ISE から個別に管理し続けます。スマート ライセンスを使用するときは、購入したさまざまなエンドポイントのライセンスに関するすべての情報を含むシスコの一元化されたアカウントを管理します。

以下のライセンス オプションが用意されています。

  • ISE Base のみ

  • ISE Base および Plus

  • ISE Base および Apex

  • ISE Base、Plus、および Apex

  • ISE Base、Plus、Apex および AnyConnect Apex

Cisco ISE では、Plus ライセンスと Apex ライセンスの総数が Base ライセンスの総数以下である必要があります。Apex ライセンスと Plus ライセンスとの間にこのような数の制限はなく、これらのライセンスを個別にインストールできます。Cisco ISE ライセンスはアクティブなネットワーク接続を持つ同時エンドポイントの数に基づいて計算され、AnyConnect Apex ライセンスは 1 ユーザごとに計算されます。AnyConnect Apex ライセンスの数は、Cisco ISE Base ライセンスの総数以下である必要はありません。


(注)  

Plus ライセンスに含まれるプロファイリングなどのサービスは、展開全体で頻繁に使用されます。展開に Plus ライセンスを追加する場合は、Plus ライセンスの数を Base ライセンスの数と等しくすることを推奨します。ただし、Plus ライセンスのサービスを展開全体で使用する必要がなくなることも考えられます。Cisco ISE で Plus ライセンスの数を Base ライセンスの数より少なくできるのはそのためです。

(従来のライセンスは)インストールする、または(スマート ライセンスは)Base、Plus、および Apex ライセンスを同時に購入することをお勧めします。

  • Base ライセンスは、Plus や Apex ライセンスで有効になるサービスを使用するためにも必要です。ただし、Apex ライセンスを使用するために Plus ライセンスが必要ということはなく、その逆もありません。これらのライセンスの機能は重複していません。

  • Base または Mobility Upgrade ライセンスをインストールすると、Cisco ISE はその期間の残りの部分に対する別個のライセンスとしてデフォルトの評価ライセンスを使用し続けます。

  • Mobility Upgrade ライセンスをインストールすると、Cisco ISE ではすべての有線、無線、および VPN サービスが有効になります。

  • Base または Mobility ライセンスは、Device Administration ライセンスをインストールするときに必要です。

  • Base ライセンスをインストールせずに、評価ライセンスを Plus ライセンスにアップグレードすることはできません。

表 1 Cisco ISE ライセンス パッケージ

ISE ライセンス パッケージ

永久/サブスクリプション(使用可能期間)

カバーされる ISE 機能

注記(Notes)

基本

永久

  • 基本的なネットワーク アクセス:AAA、IEEE-802.1X

  • ゲスト サービス

  • リンク暗号化(MACSec)

  • TrustSec

  • ISE アプリケーション プログラミング インターフェイス

ISE-PIC から Base ライセンスへのアップグレードの一環として使用できるパッシブ ID サービスには、シスコ サブスクライバだけが使用可能な限定的な pxGrid 機能が含まれます。

プラス記号

サブスクリプション(1、3、または 5 年)
  • 個人所有デバイスの持ち込み(BYOD)

  • ロケーション サービスのための MSE 統合

  • プロファイリング サービスとフィード サービス

  • 適応型ネットワーク制御(ANC)

  • Cisco pxGrid

Base のサービスは含まれません。Base ライセンスは Plus ライセンスをインストールするために必要です。

プラス記号

サブスクリプション(1、3、または 5 年)
  • 個人所有デバイス持ち込み(BYOD):組み込み証明機関または外部証明機関のいずれかを消費する場合
  • ロケーション サービスのための MSE 統合
  • プロファイリング サービスとフィード サービス

  • 適応型ネットワーク制御(ANC)

  • Cisco pxGrid

Base のサービスは含まれません。Base ライセンスは Plus ライセンスをインストールするために必要です。

BYOD フローでエンドポイントをオンボードすると、関連する BYOD 属性が使用されていなくても、アクティブなセッションで Plus サービスが使用されます。

Apex

サブスクリプション(1、3、または 5 年)
  • サードパーティ モバイル デバイス管理(MDM)統合
  • ポスチャ コンプライアンス

  • TC NAC

Base のサービスは含まれません。Base ライセンスは Apex ライセンスをインストールするために必要です。

(注)     

有線、ワイヤレス、および VPN 展開でユニファイド ポスチャ エージェントとして Cisco AnyConnect を使用する場合は、Cisco ISE Apex ライセンスに加えて Cisco AnyConnect Apex ユーザ ライセンスが必要です。

モビリティ(Mobility)

サブスクリプション(1、3、または 5 年)

無線および VPN エンドポイント用の Base、Plus、および Apex の組み合わせ

Cisco 管理ノードで Base、Plus、および Apex ライセンスを共存させることはできません。

Mobility Upgrade

サブスクリプション(1、3、または 5 年)

Mobility ライセンスに対する有線サポートの提供

Mobility Upgrade ライセンスは既存の Mobility ライセンスが存在する場合にのみインストールできます。

Device Administration

永久

TACACS+

Base または Mobility ライセンスは、Device Administration ライセンスをインストールするときに必要です。

展開あたりの必要なライセンスは(複数ノードである場合も含め)1 つだけです。

ISE-PIC

永久

パッシブ ID サービス

ノードごとに 1 つのライセンス。各ライセンスでは、最大 3,000 の並列セッションをサポートしています。

ISE-PIC のアップグレード

永久

このライセンスでは、次のオプションを使用できます。

  • 追加の並列セッションの有効化(300,000 まで)

  • 完全な ISE インスタンスへのアップグレード

ノードごとに 1 つのライセンス。各ライセンスでは、最大 300,000 の並列セッションをサポートしています。

このライセンスをインストールすると、アップグレードされたノードが既存の ISE 展開に参加できるようになります。あるいは、Base ライセンスをノードにインストールし、このノードを PAN として機能させることができます。

Base ライセンスへのアップグレードの一環として使用できるパッシブ ID サービスには、シスコ サブスクライバだけが使用可能な限定的な pxGrid 機能が含まれます。

評価(Evaluation)

一時(90 日)

完全な Cisco ISE 機能が、100 台のエンドポイントに対して提供されます。

すべての Cisco ISE アプライアンスには、評価ライセンスが付属しています。

従来のライセンスの使用

従来のライセンスではシステムの同時ユーザ数に合わせてライセンスを購入します。Cisco ISE ユーザは、アクティブ セッション中にライセンスを使用します(常に Base ライセンスか、Plus ライセンスと APex ライセンス(これらのライセンスで適用される機能を使用する場合))。セッションが終了すると、ライセンスは他のユーザが再利用できるように解放されます。

制約事項: Cisco ISE ライセンス アーキテクチャの使用ロジックは、許可ポリシーの構造に依存しています。Cisco ISE は、許可ルール内のディクショナリと属性を使用して、使用するライセンスを決定します。

Cisco ISE ライセンスは次のようにカウントされます。

  • Base ライセンスは、アクティブ セッションごとに使用されます。同じエンドポイントで、使用している機能に応じて、Plus および Apex ライセンスも使用します。


    (注)  

    TACACS+ セッションは、基本ライセンスを使用しませんが、RADIUS セッションは、基本ライセンスを使用します。

  • エンドポイントは、Plus および APex ライセンスを使用する前に、Base ライセンスを使用します。

  • エンドポイントは、APex ライセンスを使用する前に、Plus ライセンスを使用します。

  • 1 Plus ライセンスは、ライセンス機能の組み合わせに対してエンドポイントごとに使用されます。同様に、1 Apex ライセンスは、その機能の組み合わせに対してエンドポイントごとに使用されます。

  • ライセンスは、同時のアクティブ セッションに対してカウントされます。

  • ライセンスは、エンドポイントのセッションが終了すると、すべての機能について解放されます。

  • pxGrid は、ISE によって収集されたコンテキストを他の製品と共有するために使用されます。pxGrid 機能を有効にするには、Plus ライセンスが必要です。セッションのコンテキストが共有されている場合、セッション数の減少はありません。ただし、pxGrid を使用するには、ライセンスされた Plus セッションの数が、ライセンスされた Base セッションの数と等しくなければなりません。詳細については、『Cisco Identity Services Engine Ordering Guide』の「Cisco ISE Licenses and Services」の項を参照してください。

  • 1 つの AnyConnect Apex ユーザ ライセンスは、ユーザが所有するデバイスの数に関係なく、またユーザにネットワークへのアクティブな接続があるかどうかにかかわらず、AnyConnect を使用する各ユーザによって使用されます。

  • 既存の Base または Mobility ライセンスの上にデバイス管理ライセンスを追加して TACACS+ サービスを有効にすることができます。この機能はライセンスを使用しません。

サービスの中断を回避するために、Cisco ISE はライセンスの権限付与を超えたエンドポイントにサービスを提供し続けます。代わりに、Cisco ISE は RADIUS アカウンティング機能に依存して、ネットワーク上の同時エンドポイントを追跡し、前日のエンドポイント カウントがライセンス数を超えていた場合にアラームを生成します。ライセンス使用量は、[ライセンス(Licensing)] 画面の [ライセンス使用状況(License Usage)] 領域で明確に確認できます。この領域の折れ線グラフには、使用量が許容されている数量を上回るライセンスが赤色で表示されます。

また、画面上部にある [ライセンス警告(License Warning)] アイコンを使用して、ライセンス パッケージの詳細情報を確認、追跡できます。

ライセンスの使用の表示

[管理(Administration)] > [システム(System)] > [ライセンシング(Licensing)] の順に選択して、ライセンス ダッシュボードからシステムの現在のライセンスの使用を表示できます。使用状況は次の画像に示すように表示されます。
図 1. 従来のライセンスの使用

[ライセンスの使用状況(License Usage)] エリアのライセンス消費グラフは、30 分ごとに更新されます。このウィンドウには、購入したライセンスの種類、システムで許可される同時ユーザの総数、およびサブスクリプション サービスの有効期限も表示されます。

複数の週にわたってシステムのライセンスの使用を確認する場合は、[長期間の使用(Usage Over Time)] をクリックします。グラフの各バーは、1 週間に使用される最大ライセンス数を示します。

登録解除されたライセンスの使用

問題

ライセンスの使用は、エンドポイントが一致する許可ポリシーにおいて使用される属性に依存します。

システムに Base ライセンスのみが登録されているとします(90 日間の評価ライセンスは削除しました)。対応する基本的なメニュー項目と機能を表示および設定できます。

Apex ライセンスを必要とする機能(例:Session:PostureStatus)を使用するための許可ポリシーを(誤って)設定した場合、およびエンドポイントがこの許可ポリシーに一致した場合は、次のようになります。

  • エンドポイントは、Apex ライセンスがシステムに登録されていないにもかかわらず、Apex ライセンスを使用します。
  • ログインするたびに、このことに対する通知が表示されます。
  • Cisco ISE は、通知とアラーム「許可を超えたライセンスの使用(Exceeded license usage than allowed)」を示します(技術的に、これはシステムに登録済みの Apex ライセンスがないにもかかわらず、エンドポイントが Apex ライセンスを消費していると想定されます)。
考えられる原因

許可ポリシーの設定ミスが原因で、ライセンスのダッシュボードに、Cisco ISE がまだ購入および登録されていないライセンスを消費していることが示される場合があります。Plus および Apex ライセンスを購入する前は、ISE ユーザ インターフェイスにライセンスが適用される機能が表示されません。ただし、これらのライセンスを購入した場合、ユーザ インターフェイスには、ライセンスの期限が切れた場合、またはエンドポイントの消費を超えた後も、引き続き機能が表示されます。そのため、有効なライセンスがない場合でも、これらを設定できます。

ソリューション

[ポリシー(Policy)] > [ポリシー セット(Policy Sets)] を選択し、登録済みライセンスがない機能を使用している許可ルールを特定し、そのルールを再設定します。

ライセンス ファイルの管理

ここでは、ISE ライセンスの登録、再ホスティング、更新、移行、アップグレード、および削除を行う方法について説明します。

ライセンスの登録

はじめる前に

インストールに必要なライセンスの種類と同時ユーザ数、および購入して費用効率を最大化できるさまざまなパッケージについて、シスコ パートナー/アカウント チームに問い合わせてください。

    ステップ 1   シスコの Web サイト(www.cisco.com)の注文システム(Cisco Commerce Workspace(CCW))から、必要なライセンスを注文します。

    約 1 時間後、製品認証キー(PAK)を含む電子メール確認が送信されます。

    ステップ 2   Cisco ISE の管理者ポータルから、ライセンシング ダッシュボード([管理(Administration)] > [システム(System)] > [ライセンシング(Licensing)])を選択します。[ライセンスの詳細(Licensing Details)] セクションのノード情報(製品 ID(PID)、バージョン ID(VID)、およびシリアル番号(SN))を書き留めます。
    ステップ 3   www.cisco.com/​go/​licensing に移動し、要求されたら、受け取ったライセンスの PAK、ノード情報、および会社に関する詳細を入力します。

    1 日後に、シスコからライセンス ファイルが送信されます。

    ステップ 4   システムの既知の場所にこのライセンス ファイルを保存します。
    ステップ 5   Cisco ISE の管理者ポータルから、[管理(Administration)] > [システム(System)] > [ライセンシング(Licensing)] を選択します。[ライセンス ファイル(License Files)] セクションで、[ライセンスのインポート(Import License)] ボタンをクリックします。
    ステップ 6   [Choose File(ファイルの選択)] をクリックし、システムで以前に保存したライセンス ファイルを選択します。
    ステップ 7   [インポート(Import)] をクリックします。

    新しいライセンスがシステムにインストールされました。

    次の作業

    ライセンシング ダッシュボード([管理(Administration)] > [システム(System)] > [ライセンシング(Licensing)])を選択し、新たに入力したライセンスが正しい詳細とともに表示されることを確認します。

    ライセンスの再ホスト

    再ホストとは、1 つの Cisco ISE ノードから別のノードにライセンスを移動することを意味します。ライセンシング ポータルから、移動するライセンスの PAK を選択し、再ホストの手順に従います。1 日後、新しい PAK が電子メールで送信されます。この新しい PAK を新しいノードに登録し、元の Cisco ISE ノードから古いライセンスを削除します。

    ライセンスの更新

    Plus ライセンスや Apex ライセンスなどのサブスクリプション ライセンスの期限は、1 年間、3 年間、または 5 年間です。Cisco ISE は、ライセンスの有効期限日が近づくとアラームを送信し、ライセンスが期限切れになると再度アラームを送信します。

    ライセンスの有効期限が過ぎたら、更新する必要があります。このプロセスは、シスコ パートナーまたはアカウント チームによってのみ実行されます。

    ライセンスの移行およびアップグレード

    シスコのライセンス ポリシーでは、以前の Cisco ISE バージョンからの移行、無線および VPN 専用から有線を含む展開へのアップグレード、および同時ユーザと機能の追加がサポートされています。 また、ライセンス バンドルを購入して、運用コストを最小化することもできます。これらのシナリオは、すべてライセンス サイトで説明されています。詳細については、シスコ パートナーまたはアカウント チームにお問い合わせください。


    (注)  
    Cisco ISE バージョン 1.3 または 1.4 からのアップグレード後、デフォルトの評価ライセンスは、アップグレード前にシステムに存在していた場合にのみ表示されます。

    (注)  
    Mobility/Mobility Upgrade ライセンスは、エンド ポイントの対応する番号とともにユーザ インターフェイスに Base/Plus/Apex として常に表示されます。

    Cisco ISE ノードで次の内容をサポートしている必要がある場合:

    • 所有しているライセンスを上回る数の大量の同時ユーザ
    • 有線(LAN)アクセス(システムに Mobility ライセンスしかない)

    そのノードのライセンスをアップグレードする必要があります。このプロセスは、シスコ パートナーまたはアカウント チームによってのみ実行されます。

    ライセンスの削除

    はじめる前に

    ライセンスを削除する前に、次の点に注意してください。

    • Mobility ライセンスの後に Mobility アップグレード ライセンスをインストールした場合は、Mobility アップグレード ライセンスを削除してから基盤となる Mobility ライセンスを削除する必要があります。

    • 組み合わされたライセンスをインストールした場合は、Base、Plus および Apex パッケージの関連インストールがすべて削除されます。

      ステップ 1   [管理(Administration)] > [システム(System)] > [ライセンシング(Licensing)] を選択します。
      ステップ 2   [ライセンス ファイル(License Files)] セクションで、関連するファイル名の隣にあるチェックボックスをクリックし、[ライセンスの削除(Delete License)] をクリックします。
      ステップ 3   [OK] をクリックします。

      このドキュメントは役に立ちましたか?

      Feedbackフィードバック

      シスコに問い合わせ