この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この項では、[ポリシー セット(Policy Set)] ページについて説明します。このページでは、認証、認可、および例外のポリシーを含むルールベースのポリシー セットを設定できます。
次の表では、[ポリシー セット(Policy Sets)] ページのフィールドについて説明します。このフィールドから、認証、例外、および許可ポリシーを含むポリシー セットを設定できます。ネットワーク アクセス ポリシーの場合は、 を選択します。デバイス管理ポリシーの場合は、 を選択します。
このポリシーのステータスを選択します。次のいずれかを設定できます。
|
|
新しいポリシー行から、プラス(+)アイコンをクリックするか、既存のポリシー行から [編集(Edit)] アイコンをクリックして [条件スタジオ(Conditions Studio)] を開きます。[条件スタジオ(Conditions Studio)] の詳細については、ポリシー条件 を参照してください。 | |
説明 |
ポリシーの一意の説明を入力します。 |
すでに作成した許可されているプロトコルを選択するか、または(+)記号をクリックして [新しい許可されているプロトコルを作成(Create a New Allowed Protocol)] するか、[新しい RADIUS 順序を作成(Create a New Radius Sequence)] するか、または [TACACS 順序を作成(Create a TACACS Sequence)] します。 |
|
新しい例外行から、プラス(+)アイコンをクリックするか、既存の例外行から [編集(Edit)] アイコンをクリックして [条件スタジオ(Conditions Studio)] を開きます。[条件スタジオ(Conditions Studio)] の詳細については、ポリシー条件 を参照してください。 | |
ヒット数(Hits) |
ヒット数は、条件が一致した回数を示す診断ツールです。このアイコンが最後に更新された時刻を表示し、ゼロにリセットし、更新の頻度を表示するには、アイコンにカーソルを合わせます。 |
アクション(Actions) |
さまざまなアクションを表示して選択するには、[アクション(Actions)] 列の歯車アイコン をクリックします。
|
表示(View) |
矢印アイコンをクリックすると、特定のポリシー セットの [設定(Set)] ビューが開き、認証、例外、および許可のサブポリシーが表示されます。 |
次の表では、[ポリシー セットの設定(Policy Sets Set)] ビュー ページの [認証ポリシー(Authentication Policy)] セクションのフィールドについて説明します。このフィールドから、認証サブポリシーをポリシー セットの一部として構成できます。ネットワーク アクセス ポリシーの場合は、 を選択します。デバイス管理ポリシーの場合は、 を選択します。[ポリシー セット(Policy Sets)] ページから、 を選択します。
ステータス(Status) |
このポリシーのステータスを選択します。次のいずれかを設定できます。
|
ルール名(Rule Name) |
この認証ポリシーの名前を入力します。 |
条件(Conditions) |
新しいポリシー行から、プラス(+)アイコンをクリックするか、既存のポリシー行から [編集(Edit)] アイコンをクリックして [条件スタジオ(Conditions Studio)] を開きます。[条件スタジオ(Conditions Studio)] の詳細については、ポリシー条件 を参照してください。 |
認証に使用する ID ソースを選択します。ID ソース順序が設定済みである場合、これを選択することも可能です。 デフォルトの ID ソースを編集して、このルールで定義されたいずれの ID ソースも要求に一致しない場合に Cisco ISE が使用する ID ソースを指定できます。 |
|
認証失敗、ユーザが見つからない、プロセス障害、の各イベントに対する今後のアクションのコースを定義します。次のいずれかのオプションを選択できます。 |
|
ヒット数(Hits) |
ヒット数は、条件が一致した回数を示す診断ツールです。 |
アクション(Actions) |
さまざまなアクションを表示して選択するには、[アクション(Actions)] 列の歯車アイコン をクリックします。
|
ネットワーク アクセス ポリシーの場合は、 を選択します。
を選択します。デバイス管理ポリシーの場合は、 を選択します。[ポリシー セット(Policy Sets)] ページから、 または [グローバル例外ポリシー(Global Exceptions Policy)]許可例外設定は、許可ポリシー設定と同じで、許可ポリシーの設定 で説明されています。
次の表では、[ポリシー セットの設定(Policy Sets Set )] ビュー ページの [許可ポリシー(Authorization Policy)] セクションのフィールドについて説明します。このフィールドから、許可ポリシーをポリシー セットの一部として構成できます。ネットワーク アクセス ポリシーの場合は、 を選択します。デバイス管理ポリシーの場合は、 を選択します。[ポリシー セット(Policy Sets)] ページから、 を選択します。
フィールド |
使用上のガイドライン |
---|---|
ステータス(Status) |
このポリシーのステータスを選択します。次のいずれかを設定できます。
|
ルール名(Rule Name) |
このポリシーの一意の名前を入力します。 |
条件(Conditions) |
新しいポリシー行から、プラス(+)アイコンをクリックするか、既存のポリシー行から [編集(Edit)] アイコンをクリックして [条件スタジオ(Conditions Studio)] を開きます。[条件スタジオ(Conditions Studio)] の詳細については、ポリシー条件 を参照してください。 |
結果/プロファイル(Results/Profiles) |
関連する許可プロファイルを選択します。これにより、構成されたセキュリティ グループに提供される権限のそれぞれのレベルが決まります。関連する許可プロファイルをまだ設定していない場合は、インラインで行うことができます。 |
結果/セキュリティ グループ(Results/Security Groups) |
関連するセキュリティ グループを選択します。これにより、特定のルールに関連するユーザのグループが決まります。関連するセキュリティ グループをまだ設定していない場合は、インラインで行うことができます。 |
結果/コマンド セット(Results/Command Sets) |
コマンド セットは、デバイス管理者が実行できるコマンドの指定されたリストを適用します。デバイス管理者がネットワーク デバイスに対して操作コマンドを発行すると、その管理者がこれらのコマンドの発行を認可されているかどうかを判定する問い合わせが ISE に行われます。これは、コマンド認可とも呼ばれます。詳細については、「TACACS+ を使用したデバイス管理の制御」の章を参照してください。 |
結果/シェル プロファイル(Results/Shell Profiles) |
TACACS+ シェル プロファイルは、デバイス管理者の最初のログイン セッションを制御します。詳細については、「TACACS+ を使用したデバイス管理の制御」の章を参照してください。 |
ヒット数(Hits) |
ヒット数は、条件が一致した回数を示す診断ツールです。 |
アクション(Actions) |
さまざまなアクションを表示して選択するには、[アクション(Actions)] 列の歯車アイコン をクリックします。
|
次の表では、[エンドポイント ポリシー(Endpoint Policies)] ページのフィールドについて説明します。このページのナビゲーション パスは、 です。
固有識別子(UDID)は、エンドポイントに属する MAC アドレスを識別するエンドポイント属性です。エンドポイントには複数の MAC アドレスが含まれていることがあります(たとえば、有線インターフェイスに 1 つの MAC アドレス、ワイヤレス インターフェイスにもう 1 つの MAC アドレスなど)。AnyConnect がエンドポイントにインストールされている場合、AnyConnect エージェントがエンドポイントの UDID を生成します。UDID は エンドポイント属性として保存され、UDID を使用してエンドポイントを照会できるようになります。エンドポイントの UDID は一定であり、AnyConnect のインストールまたはアンインストールに伴って変更されることはありません。これにより、[コンテキストの可視性(Context Visibility)] ページ([コンテキストの可視性(Context Visibility)] > [エンドポイント(Endpoints)] > [コンプライアンス(Compliance)])では、複数の NIC が装着されているエンドポイントの場合、複数のエントリではなく 1 つのエントリが表示されます。MAC アドレスではなく特定のエンドポイントに対してポスチャ制御を行うことができます。
ここでは、Cisco ISE で使用される RADIUS ベンダーのディクショナリについて説明します。
次の表に、RADIUS ベンダーのディクショナリ属性を設定できるようにする RADIUS ベンダーの [ディクショナリ(Dictionary)] ページのフィールドを示します。このページへのナビゲーション パスは、 です。
ここでは、エンドポイント、ポスチャ クライアントのプロファイリングに使用され、Cisco ISE リソースへのアクセス権を制限または拡張するためのポリシー条件について説明します。
次の表では、[プロファイラ条件(Profiler Condition)] ページのフィールドについて説明します。このページへのナビゲーション パスは、 です。
選択した属性の値を入力します。事前定義された属性値を含む属性名の場合、事前定義された値のドロップダウン リストが表示され、値を選択できます。 |
|
次の表では、[ファイル条件(File Conditions)] ページのフィールドについて説明します。このページのナビゲーション パスは、 です。
ファイアウォール条件により、特定のファイアウォール製品がエンドポイントで稼働しているかどうかがチェックされます。サポートされているファイアウォール製品のリストは、OPSWAT サポート チャートに基づいています。初回ポスチャと定期的再評価(PRA)の実行中にポリシーを適用できます。
Cisco ISE は、Windows および Mac OS のデフォルトのファイアウォール条件を提供します。これらの条件は、デフォルトで無効になっています。
次の表では、[レジストリ条件(Registry Conditions)] ページのフィールドについて説明します。このページへのナビゲーション パスは、 です。
ポスチャ アセスメントの実行中に動的な変更が確認されるようにするため、AnyConnect エージェントを使用してさまざまなエンドポイント属性を継続的にモニタします。これによりエンドポイントの全体的な可視性が向上し、動作に基づいてポスチャ ポリシーを作成できるようになります。AnyConnect エージェントは、エンドポイントにインストールされ実行されているアプリケーションをモニタします。この機能をオンまたはオフにできます。また、データのモニタ頻度を設定できます。デフォルトでは、データは 5 分間隔で収集され、データベースに保存されます。初回ポスチャでは、AnyConnect がすべての実行中アプリケーションとインストールされているアプリケーションのリストを報告します。初回ポスチャの後に、AnyConnect エージェントは X 分間隔でアプリケーションをスキャンし、最終スキャンでの差異をサーバに送信します。サーバはすべての実行中アプリケーションとインストールされているアプリケーションのリストを表示します。
エンドポイントにインストールされているアプリケーションに対するアプリケーション条件クエリ。これにより、エンドポイントで配信されているソフトウェアの集約された可視性を確認できます。たとえば、この情報に基づいてポリシーを作成し、デスクトップ チームと協力してソフトウェア ライセンスの数を減らすことができます。
次の表に、[アプリケーション条件(Application Conditions)] ページのフィールドを示します。このページへのナビゲーション パスは です。
ページで、各エンドポイントでインストールされているアプリケーションと実行中のアプリケーションの数を確認できます。
ページに、ポスチャ アセスメント対象であり準拠しているエンドポイントのパーセンテージが表示されます。
次の表では、[サービス条件(Service Conditions)] ページのフィールドについて説明します。このページへのナビゲーション パスは、 です。
フィールド |
使用上のガイドライン |
---|---|
[名前(Name)] |
サービス条件の名前を入力します。 |
説明 |
サービス条件の説明を入力します。 |
オペレーティング システム(Operating Systems) |
サービス条件を適用する必要のあるオペレーティング システムを選択します。Windows OS または Mac OSX のさまざまなバージョンを選択できます。 |
サービス名(Service Name) |
ルートとして動作するデーモンまたはユーザ エージェント サービスの名前を入力します(たとえば com.apple.geod)。AnyConnect エージェントは、コマンド sudo launchctl list を使用してサービス条件を確認します。 |
サービス タイプ(Service Type) |
|
サービス オペレータ(Service Operator) |
|
次の表では、[複合条件(Compound Conditions)] ページのフィールドについて説明します。このページへのナビゲーション パスは、 です。
1 つ以上の Windows オペレーティング システムを選択します。これにより、条件が適用される Windows オペレーティング システムを関連付けることができます。 |
|
ファイル、レジストリ、アプリケーション、サービス条件という単純な条件タイプから 2 つの単純条件を組み合わせるには、カッコをクリックします。 |
|
複合条件内には AND 演算子(アンパサンド(&))を使用できます。たとえば、Condition1 & Condition2 と入力します。 |
|
複合条件内には OR 演算子(縦線「|」)を使用できます。たとえば、Condition1 & Condition2 と入力します。 |
|
複合条件内には NOT 演算子(感嘆符(!))を使用できます。たとえば、Condition1 & Condition2 と入力します。 |
|
ファイル、レジストリ、アプリケーション、サービス条件という単純条件のリストから選択します。 また、オブジェクト セレクタからファイル、レジストリ、アプリケーション、サービス条件という単純条件を作成できます。 ファイル、レジストリ、アプリケーション、サービス条件という単純条件を作成するには、[操作(Action)] ボタンのクイック ピッカー(下向き矢印)をクリックします。 |
次の表では、[ウイルス対策条件(Anti-Virus Condition)] ページのフィールドについて説明します。このページへのナビゲーション パスは、 です。
オペレーティング システムを選択して、クライアント上のアンチウイルス プログラムのインストールをチェックするか、または条件が適用される最新のアンチウイルス定義ファイルの更新をチェックします。 |
|
ドロップダウン リストからベンダーを選択します。ベンダーを選択すると、アンチウイルス製品およびバージョンが取得され、[選択したベンダーの製品(Products for Selected Vendor)] テーブルに表示されます。 |
|
最新の AV 定義ファイルのバージョンに対してチェックします(使用可能な場合)。(Check against latest AV definition file version, if available.)(それ以外の場合は、最新の定義ファイルの日付に対してチェックします)。 |
([定義(Definition)] チェック タイプを選択した場合にのみ使用可能)クライアントのアンチウイルス定義ファイルのバージョンをチェックする場合に選択します。Cisco ISE でのポスチャ更新の結果として、最新のアンチウイルス定義ファイルのバージョンを使用できるときには、そのバージョンに対するチェックが行われます。それ以外の場合、このオプションを使用すると、クライアント上の定義ファイルの日付を、Cisco ISE の最新の定義ファイルの日付に対してチェックできます。 |
ウイルス定義ファイルを(有効)にすることを許可する(Allow virus definition file to be (Enabled)) |
(定義チェック タイプを選択した場合のみ使用可能)アンチウイルス定義ファイルのバージョンと、クライアント上の最新のアンチウイルス定義ファイルの日付をチェックする場合に選択します。最新の定義ファイルの日付が、製品の最新のアンチウイルス定義ファイルの日付または現在のシステム日付から、次のフィールド([より古い日数(days older than)] フィールド)で定義した日数よりも古いことは許容されません。 オフにした場合、[最新の AV 定義ファイルのバージョンに対してチェックします(使用可能な場合)。(Check against latest AV definition file version, if available.)] オプションを使用してアンチウイルス定義ファイルのバージョンのみをチェックすることができます。 |
クライアント上の最新のアンチウイルス定義ファイルの日付が、製品の最新のアンチウイルス定義ファイルの日付または現在のシステム日付よりも何日古いことが許容されるかを定義します。デフォルト値は 0 です。 |
|
[より古い日数(days older than)] クライアント上のアンチウイルス定義ファイルの日付をチェックすることを選択します。この日付は、フィールドで定義した日数だけ古いことが許容されます。 日数をデフォルト値(0)に設定する場合、クライアント上のアンチウイルス定義ファイルの日付が、製品の最新のアンチウイルス定義ファイルの日付よりも古いことは許容されません。 |
|
[より古い日数(days older than)] クライアント上のアンチウイルス定義ファイルの日付をチェックすることを選択します。この日付は、フィールドで定義した日数だけ古いことが許容されます。 日数をデフォルト値(0)に設定する場合、クライアント上のアンチウイルス定義ファイルの日付が、現在のシステム日付よりも古いことは許容されません。 |
|
テーブルからアンチウイルス製品を選択します。[新しいアンチウイルス条件(New Anti-virus Compound Condition)] ページで選択したベンダーに基づいて、テーブルは、アンチウイルス製品およびバージョン、提供する修復のサポート、最新の定義ファイルの日付とバージョンに関する情報を取得します。 テーブルから製品を選択すると、アンチウイルス プログラムのインストールをチェックしたり、最新のアンチウイルス定義ファイルの日付および最新バージョンをチェックしたりできます。 |
次の表に、[AS 複合条件(AS Compound Conditions)] ページのフィールドを示します。このページへのナビゲーション パスは、 です。
オペレーティング システムを選択すると、クライアント上のアンチスパイウェア プログラムのインストールをチェックするか、または条件が適用される最新のアンチスパイウェア定義ファイルの更新をチェックすることができます。 |
|
ドロップダウン リストからベンダーを選択します。ベンダーを選択すると、アンチスパイウェア製品およびバージョンが取得され、[選択したベンダーの製品(Products for Selected Vendor)] テーブルに表示されます。 |
|
クライアント上でインストールをチェックするか、または最新の定義ファイルの更新をチェックするか、いずれかのタイプを選択します。 |
|
ウイルス定義ファイルを(有効)にすることを許可する(Allow virus definition file to be (Enabled)) |
このチェックボックスは、アンチスパイウェア定義チェック タイプを作成するときはオンにし、アンチスパイウェア インストール チェック タイプを作成するときはオフにします。 オンにすると、その選択により、クライアント上のアンチスパイウェア定義ファイルのバージョンおよび最新のアンチスパイウェア定義ファイルの日付をチェックできます。最新の定義ファイルの日付が、現在のシステム日付から、[より古い日数(days older than)] フィールドで定義した日数より古いことは許容されません。 オフの場合、その選択により、[ウイルス定義ファイルを(有効)にすることを許可する(Allow virus definition file to be (Enabled))] チェックボックスがオフのときに、アンチスパイウェア定義ファイルのバージョンのみをチェックすることができます。 |
クライアント上の最新のアンチスパイウェア定義ファイルの日付が、現在のシステム日付よりも何日古いことが許容されるかを定義します。デフォルト値は 0 です。 |
|
[より古い日数(days older than)] クライアント上のアンチスパイウェア定義ファイルの日付をチェックすることを選択します。この日付は、フィールドで定義した日数だけ古いことが許容されます。 日数をデフォルト値(0)に設定する場合、クライアント上のアンチスパイウェア定義ファイルの日付が、現在のシステム日付よりも古いことは許容されません。 |
|
テーブルからアンチスパイウェア製品を選択します。[新しいアンチスパイウェア複合条件(New Anti-spyware Compound Condition)] ページで選択したベンダーに基づいて、テーブルは、アンチスパイウェア製品およびバージョン、提供する修復のサポート、最新の定義ファイルの日付とバージョンに関する情報を取得します。 テーブルから製品を選択すると、アンチスパイウェア プログラムのインストールをチェックしたり、最新のアンチスパイウェア定義ファイルの日付および最新バージョンをチェックしたりできます。 |
マルウェア対策条件はスパイウェア対策条件とウイルス対策条件の組み合わせで、OESIS バージョン 4.x 以降のコンプライアンス モジュールでサポートされています。次の表では、[マルウェア対策条件(Antimalware Conditions)] ページのフィールドについて説明します。ナビゲーション パスは、
です。また、 ページでもこのオプションにアクセスできます。
オペレーティング システムを選択して、クライアント上のマルウェア対策プログラムのインストールをチェックするか、または条件が適用される最新のマルウェア対策定義ファイルの更新をチェックします。MAC と Windows OS の両方をサポートしています。 |
|
ドロップダウン リストからベンダーを選択します。選択したベンダーのマルウェア対策製品、バージョン、最新の定義日、最新の定義バージョン、最小コンプライアンス モジュール バージョンが [選択したベンダーの製品(Products for Selected Vendor)] テーブルに表示されます。 |
|
チェック タイプ(Check Type) |
クライアント上でインストールをチェックするか、または最新の定義ファイルの更新をチェックするかを選択します。 |
インストール |
クライアント上のマルウェア対策プログラムのインストールのみをチェックする場合に選択します。 |
定義(Definition) |
クライアント上のマルウェア対策製品の、最新の定義ファイルの更新のみをチェックする場合に選択します。 |
最新の AV 定義ファイルのバージョンに対してチェックします(使用可能な場合)。(Check against latest AV definition file version, if available.)(それ以外の場合は、最新の定義ファイルの日付に対してチェックします)。 |
([定義(Definition)] チェック タイプを選択した場合にのみ使用可能)クライアントのマルウェア対策定義ファイルのバージョンをチェックする場合に選択します。Cisco ISE でのポスチャ更新の結果として、最新のマルウェア対策定義ファイルのバージョンを使用できるときには、そのバージョンに対するチェックが行われます。それ以外の場合、このオプションを使用すると、クライアント上の定義ファイルの日付を、Cisco ISE の最新の定義ファイルの日付に対してチェックできます。 このチェックは、選択した製品の [最新の定義日(Latest Definition Date)] または [最新の定義バージョン(Latest Definition Version)] フィールドの Cisco ISE に値が記載されている場合にのみ機能します。そうでない場合は、[現在のシステム日付(Current System Date)] フィールドを使用する必要があります。 |
ウイルス定義ファイルを(有効)にすることを許可する(Allow Virus Definition File to be (Enabled)) |
(定義チェック タイプを選択した場合のみ使用可能)マルウェア対策定義ファイルのバージョンと、クライアント上の最新のマルウェア対策定義ファイルの日付をチェックする場合に選択します。最新の定義ファイルの日付が、製品の最新のマルウェア対策定義ファイルの日付または現在のシステム日付から、次のフィールド([より古い日数(days older than)] フィールド)で定義した日数よりも古いことは許容されません。 オフにした場合、[最新の AV 定義ファイルのバージョンに対してチェックします(使用可能な場合)。(Check against latest AV definition file version, if available.)] オプションを使用してマルウェア対策定義ファイルのバージョンのみをチェックすることができます。 |
より古い日数(Days Older Than) |
クライアント上の最新のマルウェア対策定義ファイルの日付が、製品の最新のマルウェア対策定義ファイルの日付または現在のシステム日付よりも何日古いことが許容されるかを定義します。デフォルト値は 0 です。 |
最新のファイルの日付(Latest File Date) |
クライアント上のマルウェア対策定義ファイルの日付をチェックすることを選択します。この日付は、[より古い日数(days older than)] フィールドで定義した日数だけ古いことが許容されます。 日数をデフォルト値(0)に設定する場合、クライアント上のマルウェア対策定義ファイルの日付が、製品の最新のマルウェア対策定義ファイルの日付よりも古いことは許容されません。 このチェックは、選択した製品の [最新の定義日(Latest Definition Date)] フィールドの Cisco ISE に値が記載されている場合にのみ機能します。そうでない場合は、[現在のシステム日付(Current System Date)] フィールドを使用する必要があります。 |
現在のシステム日付(Current System Date) |
クライアント上のマルウェア対策定義ファイルの日付をチェックすることを選択します。この日付は、[より古い日数(days older than)] フィールドで定義した日数だけ古いことが許容されます。 日数をデフォルト値(0)に設定する場合、クライアント上のマルウェア対策定義ファイルの日付が、現在のシステム日付よりも古いことは許容されません。 |
選択したベンダーの製品(Products for Selected Vendor) |
テーブルからマルウェア対策製品を選択します。[新しいマルウェア対策条件(New Antimalware Condition)] ページで選択したベンダーに基づいて、テーブルは、マルウェア対策製品およびバージョン、提供する修復のサポート、最新の定義ファイルの日付とバージョンに関する情報を取得します。 テーブルから製品を選択すると、マルウェア対策プログラムのインストールをチェックしたり、最新のマルウェア対策定義ファイルの日付および最新バージョンをチェックしたりできます。 |
次の表に、[ディクショナリ単純条件(Dictionary Simple Conditions)] ページのフィールドを示します。このページへのナビゲーション パスは、 です。
次の表に、[ディクショナリ複合条件(Dictionary Compound Conditions)] のページのフィールドを示します。このページへのナビゲーション パスは、 です。
ポリシー要素ライブラリから事前定義済みの条件を選択して式を定義するか、または後のステップでアドホック属性/値のペアを式に追加します。 |
|
次の表に、[パッチ管理条件(Patch Management Conditions)] ページのフィールドを示します。ナビゲーション パスは、 です。
オペレーティング システム(Operating System) |
オペレーティング システムを選択して、エンドポイント上のパッチ管理ソフトウェアのインストールをチェックするか、または条件が適用される最新のパッチ管理定義ファイルの更新をチェックします。Windows OS または Mac OSX を選択できます。また、パッチ管理条件を作成する複数のオペレーティング システムのバージョンを選択することもできます。 |
||||
ベンダー名(Vendor Name) |
ドロップダウン リストからベンダー名を選択します。ベンダーのパッチ管理製品とそれらのサポート対象バージョン、チェック タイプ、および最小対応モジュールのサポートが取得され、[選択したベンダーの製品(Products for Selected Vendor)] テーブルに表示されます。テーブル内のリストは、選択したオペレーティング システムによって変わります。 |
||||
チェック タイプ(Check Type) |
次のオプションのいずれかを選択します。
[ベンダー名(Vendor Name)] で指定したベンダーがサポートする製品のリストを表示するには、[選択したベンダーの製品(Products for Selected Vendor)] ドロップダウン矢印をクリックします。たとえば、製品 1 と 製品 2 の 2 つの製品を持つベンダー A を選択したとします。製品 1 は [有効(Enabled)] オプションをサポートしているが、製品 2 はサポートしていない場合があります。または、製品 1 がチェック タイプのいずれもサポートしていない場合は、グレー表示されます。
|
||||
インストール済みパッチの確認(Check Patches Installed) |
([最新(Up To Date)] チェック タイプを選択している場合にのみ使用可能。)欠落しているパッチの重大度レベルを設定し、重大度に基づいて展開することができます。次の重大度レベルのいずれかを選択します。
|
次の表では、[ディスク暗号化条件(Disk Encryption Condition)] ページのフィールドについて説明します。ナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [ポスチャ(Posture)] > [ディスク暗号化条件(Disk Encryption Condition)] です。
オペレーティング システム(Operating System) |
ディスクを暗号化のためにチェックするエンドポイントのオペレーティング システムを選択します。Windows OS または Mac OSX を選択できます。また、ディスク暗号化条件を作成するための複数のバージョンのオペレーティング システムを選択することもできます。 |
||
ベンダー名(Vendor Name) |
ドロップダウン リストからベンダー名を選択します。ベンダーのデータ暗号化製品およびそれらのサポート対象バージョン、暗号化状態チェック、および最小対応モジュール サポートが取得され、[選択したベンダーの製品(Products for Selected Vendor)] テーブルに表示されますテーブル内のリストは、選択したオペレーティング システムによって変わります。 |
||
参照先 |
|
||
暗号化状態(Encryption State) |
[暗号化状態(Encryption State)] チェックボックスは、選択した製品が暗号化状態チェックをサポートしていない場合はディセーブルになっています。リピータは、チェックボックスがオンになっている場合のみ表示されます。[完全に暗号化済み(Fully Encrypted)] オプションを選択して、クライアントのディスク ドライブが完全に暗号化されているかどうかを確認できます。 たとえば TrendMicro に対し条件を作成し、2 つのベンダー(一方のベンダーの [暗号化状態(Encryption State)] は「はい(Yes)」でもう一方の [暗号化状態(Encryption State)] は「いいえ(No)」)を選択した場合、ベンダーの暗号化状態の一方が「いいえ(No)」になっているので [暗号化状態(Encryption State)] はディセーブルになります。
|
次の表では、[USB 条件(USB Condition)] ページのフィールドについて説明します。ナビゲーション パスは、
です。また、 ページに移動することもできます。USB チェックは事前定義された条件で、Windows OS のみをサポートしています。
を選択して、[ハードウェア属性条件(Hardware Attributes Condition)] ページにアクセスします。次の表では、[ハードウェア属性条件(Hardware Attributes Condition)] ページのフィールドについて説明します。
フィールド |
使用上のガイドライン |
---|---|
[名前(Name)] |
Hardware_Attributes_Check:条件に割り当てられたデフォルトの名前。 |
説明 |
クライアントからハードウェア属性を収集するシスコの事前定義済みチェック。 |
オペレーティング システム(Operating System) |
Windows すべてまたは Mac OS |
コンプライアンス モジュール |
4.x 以降 |
次の表では、[時刻と日付の条件(Time and Date Conditions)] ページのフィールドについて説明します。このページへのナビゲーション パスは、 です。
標準設定(Standard Settings) | |
例外 | |
次の表に、認証中に使用するプロトコルを設定できるようにする [許可されているプロトコル(Allowed Protocols)] ページのフィールドを示します。このページへのナビゲーション パスは、 です。
次の表で、PAC は Protected Access Credentials を意味します。
[許可されているプロトコル(Allowed Protocols)] > [認証バイパス(Authentication Bypass)] |
|||
Cisco ISE がホスト ルックアップ要求を処理できるようにするには、このチェックボックスをオンにします。ホスト ルックアップ要求は、RADIUS Service-Type が 10(Call-Check)に等しく、ユーザ名が Calling-Station-ID に等しい場合は PAP/CHAP プロトコルに対して処理されます。ホスト ルックアップ要求は、Service-Type が 1(Framed)に等しく、ユーザ名が Calling-Station-ID に等しい場合は EAP-MD5 プロトコルに対して処理されます。Cisco ISE でホスト ルックアップ要求を無視し、認証にシステム ユーザ名属性の元の値を使用するには、このチェックボックスをオフにします。オフにすると、メッセージ処理はプロトコル(たとえば PAP)に従って行われます。 |
|||
[許可されているプロトコル(Allowed Protocols)] > [認証プロトコル(Authentication Protocols)] |
|||
このオプションによって、PAP/ASCII が有効になります。PAP は、平文パスワード(つまり暗号化されていないパスワード)を使用する最も安全性の低い認証プロトコルです。 |
|||
このオプションによって、CHAP 認証が有効になります。CHAP は、パスワードの暗号化とともにチャレンジ/レスポンス方式を使用します。CHAP は、Microsoft Active Directory では使用できません。 |
|||
EAP-TLS 認証プロトコルを有効にする場合、および EAP-TLS 設定値を設定する場合は、このチェックボックスをオンにします。エンドユーザ クライアントからの EAP Identity 応答で提示されたユーザ ID を Cisco ISE が確認する方法を指定できます。ユーザ ID は、エンドユーザ クライアントによって提示された証明書の情報に照らして確認されます。この比較は、Cisco ISE とエンドユーザ クライアントとの間に EAP-TLS トンネルが確立された後に行われます。
|
|||
Lightweight Extensible Authentication Protocol(LEAP)認証を有効にするには、このチェックボックスをオンにします。 |
|||
PEAP 認証プロトコルおよび PEAP 設定値を有効にする場合は、このチェックボックスをオンにします。デフォルトの内部方式は、MS-CHAPv2 です。 [PEAP を許可(Allow PEAP)] チェックボックスをオンにすると、次の PEAP 内部方式を設定できます。
|
|||
EAP-FAST 認証プロトコルおよび EAP-FAST 設定を有効にする場合は、このチェックボックスをオンにします。EAP-FAST プロトコルは、同じサーバ上の複数の内部プロトコルをサポートできます。デフォルトの内部方式は、MS-CHAPv2 です。 [EAP-FAST を許可(Allow EAP-FAST)] チェックボックスをオンにすると、EAP-FAST を内部方式として設定できます。
|
|||
EAP-TTLSを許可(Allow EAP-TTLS) |
EAP-TTLS プロトコルを有効にする場合に、このチェックボックスをオンにします。
|
||
優先 EAP プロトコル(Preferred EAP protocol) |
EAP-FAST、PEAP、LEAP、EAP-TLS、EAP-TTLS、および EAP-MD5 から任意の優先 EAP プロトコルを選択するには、このチェックボックスをオンにします。優先プロトコルを指定しない場合、EAP-TLS がデフォルトで使用されます。 |
||
EAP-TLS L ビット(EAP-TLS L-bit) |
デフォルトで、ISE からの TLS Change Cipher Spec メッセージと暗号化ハンドシェイク メッセージの L ビット フラグ(長さの含まれるフラグ)を予測するレガシー EAP サプリカントをサポートするには、このチェックボックスをオンにします。 |
||
EAP の脆弱な暗号の許可(Allow Weak Ciphers for EAP) |
このオプションを有効にすると、レガシー クライアントが脆弱な暗号(RSA_RC4_128_SHA、RSA_RC4_128_MD5 など)を使用してネゴシエートすることができます。レガシー クライアントが脆弱な暗号化だけをサポートしている場合に限り、このオプションを有効にすることを推奨します。 このオプションはデフォルトでは無効になっています。
|
||
すべての RADIUS 要求にメッセージ オーセンティケータが必要(Require Message Authenticator for all RADIUS Requests) |
このオプションを有効にすると、Cisco ISE は、RADIUS メッセージ オーセンティケータ属性が RADIUS メッセージがあるかどうかを検証します。メッセージ オーセンティケータ属性がない場合、RADIUS メッセージは破棄されます。 このオプションを有効にすると、スプーフィングされたアクセス要求メッセージおよび RADIUS メッセージの改ざんに対する保護が提供されます。 RADIUS メッセージ オーセンティケータ属性は、RADIUS メッセージ全体の Message Digest 5(MD5)ハッシュです。
|
次の表では、[許可されるプロトコル サービス リスト(Allowed Protocols Services List)] ページで [PAC を使用(Use PAC)] を選択した後のフィールドについて説明します。このページへのナビゲーション パスは、 です。
|
次の表に、[標準許可プロファイル(Standard Authorization Profiles)] ページのフィールドを示します。このページへのナビゲーション パスは、 です。
Cisco ISE で SAnet 対応デバイスから接続しているセッションをサポートできるようにする場合にこのチェックボックスをオンにします。ISE は、サービス テンプレートを、「サービス テンプレート」互換としてマークする特別なフラグを含む許可プロファイルとして実行します。このようにすると、認可プロファイルでもあるサービス テンプレートを 1 つのポリシーで使用して、SAnet および非 SAnet デバイスとの接続をサポートできます。 |
|||
一般的なタスク | |||
DACL 名(DACL Name) |
デフォルト値(PERMIT_ALL_TRAFFIC または DENY_ALL_TRAFFIC)を使用するか、次のディクショナリから属性を選択することができます。 |
||
チェックボックスをオンにし、作成している新しい許可プロファイルに関連付ける仮想 LAN(VLAN)ID を識別する属性値を入力します(VLAN ID には整数値と文字列値の両方がサポートされます)。このエントリの形式は、Tunnel-Private-Group-ID:VLANnumber です。
|
|||
チェックボックスをオンにして「cisco-av-pair」のベンダー固有属性(VSA)を有効にし、「device-traffic-class=voice」の値と関連付けます。複数ドメインの許可モードでは、ネットワーク スイッチがこの VSA を受信した場合、エンドポイントは、許可後に音声ドメインに配置されます。 |
|||
チェックボックスをオンにして Cisco ISE のポスチャ検出に使用されるリダイレクション プロセスを有効にし、この許可プロファイルに関連付けるデバイスの ACL を入力します。たとえば、入力した値が acl119 の場合、これは [属性詳細(Attributes Details)] ペインで cisco-av-pair = url-redirect-acl = acl119 として反映されます。[属性詳細(Attributes Details)] ペインには、cisco-av-pair = url-redirect=https://ip:8443/guestportal/gateway?sessionid= SessionValueIdValue&action=cpp とも表示されます。 |
|||
チェックボックスをオンにして、ポスチャ検出と似ているがゲスト ユーザのアクセス要求を Cisco ISE のゲスト サーバにリダイレクトするリダイレクション プロセスを有効にします。この許可プロファイルに関連付けるデバイスの ACL を入力し、redirect オプションとして [デフォルト(Default)] または [手動(Manual)] を選択します。たとえば、入力した値が acl-999 の場合、これは [属性詳細(Attributes Details)] ペインで cisco-av-pair = url-redirect-acl = acl-99 として反映されます。[属性詳細(Attributes Details)] ペインには、cisco-av-pair = url-redirect=https://ip:8443/guestportal/gateway?sessionid=SessionValueIdValue&action=cwa も表示されます。 ユーザをリダイレクトする正確な IP アドレスまたはホスト名を指定するには、[スタティック IP/ホスト名(Static IP/Host Name)] チェックボックスをオンにします。このチェックボックスがオフの場合、ユーザはこの要求を受信したポリシー サービス ノードの FQDN にリダイレクトされます。 |
|||
チェックボックスをオンにして Auto SmartPort 機能を有効にし、対応するイベント名の値をテキスト ボックスに入力します。これにより、VSA cisco-av-pair が有効になり、このオプションの値が「auto-smart-port=event_name」になります。選択は [属性詳細(Attributes Details)] ペインに反映されます。 |
|||
チェックボックスをオンにして、テキスト ボックスで定義した ACL 名(これには自動的に「.in」が付加されます)を送信する RADIUS フィルタ属性を有効にします。選択は [属性詳細(Attributes Details)] ペインに反映されます。 |
|||
チェックボックスをオンにし、再認証中に接続を維持するために値を秒単位で入力します。[タイマー(Timer)] ドロップダウン リストから属性値を選択することもできます。デフォルト(値 0)または [RADIUS 要求(RADIUS-Request)](値 1)を使用すること選択して、再認証中に接続を維持することを選択します。これを [RADIUS 要求(RADIUS-Request)] 値に設定すると、再認証プロセス中に接続が維持されます。 |
|||
チェックボックスをオンにして、MACSec 対応クライアントが Cisco ISE に接続したときに必ず MACSec 暗号化ポリシーを有効にし、次の 3 つのオプションのいずれかを選択します。[must-secure]、[should-secure]、または [must-not-secure]。たとえば、選択肢は [属性詳細(Attributes Details)] ペインに cisco-av-pair = linksec-policy=must-secure として反映されます。 |
|||
チェックボックスをオンにして、ネットワーク間の ID 認識を拡張する機能であるネットワーク エッジ アクセス トポロジ(NEAT)を有効にします。このチェックボックスをオンにすると、[属性詳細(Attributes Details)] ペインに、cisco-av-pair = device-traffic-class=switch という値が表示されます。 |
|||
インターフェイステンプレート(Interface Template) |
このチェックボックスをオンにして、認証のためにインターフェイス テンプレートを使用するテンプレート名を指定します。このオプションを選択すると、次の値が [属性詳細(Attributes Details)] ペインに表示されます。cisco-av-pair = interface-template-name=<template_name> |
||
チェックボックスをオンにしてこの許可プロファイルのローカル Web 認証を有効にします。この値では、Cisco ISE が DACL とともに VSA を送信することによって Web 認証の許可をスイッチが認識できます。VSA は cisco-av-pair = priv-lvl=15 で、これは [属性詳細(Attributes Details)] ペインで反映されます。 |
|||
チェックボックスをオンにし、テキスト フィールドに ACL 名を入力します。この値は、必須の [Airespace VSA] で使用され、ローカルで定義された ACL の WLC 上の接続への追加を許可します。たとえば、rsa-1188 と入力した場合、これは [属性詳細(Attributes Details)] ペインに Airespace-ACL-Name = rsa-1188 として反映されます。 |
|||
チェックボックスをオンにして、適応型セキュリティ アプライアンス(ASA)VPN グループ ポリシーを有効にします。[属性(Attribute)] リストから値を選択してこの設定を行います。 |
|||
高度な属性設定(Advanced Attributes Settings) | |||
下矢印アイコンをクリックし、[ディクショナリ(Dictionaries)] ウィンドウに選択可能なオプションを表示します。目的のディクショナリおよび属性をクリックして選択し、最初のフィールドで設定します。 |
|||
下矢印アイコンをクリックし、[属性値(Attribute Values)] ウィンドウに選択可能なオプションを表示します。2 番目のフィールドに目的の属性グループおよび属性値をクリックして選択します。この値は、最初のフィールドで選択した値と一致します。設定する [高度な属性(Advanced Attributes)] 設定が [属性詳細(Attribute Details)] パネルに表示されます。
|
|||
このペインは、[共通タスク(Common Tasks)] および [高度な属性(Advanced Attributes)] に設定した設定済みの属性値を表示します。
|
(注) | URL リダイレクトなしのクライアント プロビジョニングでは、ユーザが特定の VLAN にアクセスすることを制限して、制限付きアクセスを提供できます。[Web リダイレクション(Web Redirection)] チェックボックスをオフにし、[VLAN] チェックボックスをオンにして VLAN を設定する必要があります。 |
次の表では、[新規プロファイラ例外アクション(New Profiler Exception Action)] ページのフィールドについて説明します。このページへのナビゲーション パスは、 です。
CoA を適用するには、[CoA アクション(CoA Action)] チェックボックスをオンにします。 エンドポイント プロファイリング ポリシーで例外アクションを関連付けて CoA を適用する場合は、Cisco ISE で CoA をグローバルに設定する必要があります。これは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロファイリング(Profiling)] で実行できます。 |
|
[ポリシー割り当て(Policy Assignment)] ドロップダウン リストをクリックして Cisco ISE に設定されたエンドポイント プロファイリング ポリシーを表示し、例外アクションがトリガーされると一致した値に関係なくエンドポイントがプロファイリングされるプロファイリング ポリシーを選択します。 |
|
次の表では、[ファイル修復(File Remediation)] ページのフィールドについて説明します。このページのナビゲーション パスは、 です。
[参照(Browse)] をクリックして、Cisco ISE サーバにアップロードするファイル名を特定します。これは、ファイル修復アクションがトリガーされたときにクライアントにダウンロードされるファイルです。 |
次の表では、[ファイアウォール修復(Firewall Remediation)] ページのフィールドについて説明します。このページのナビゲーション パスは、
です。
フィールド |
使用上のガイドライン |
||
---|---|---|---|
[名前(Name)] |
ファイアウォール修復の名前を入力します。 |
||
説明 |
ファイアウォール修復の説明を入力します。 |
||
オペレーティング システム(Operating System) |
Windows OS または Mac OSX を選択します。 |
||
コンプライアンス モジュール |
OESIS バージョン 4.x 以降のサポート。 |
||
修復タイプ(Remediation Type) |
|
||
間隔(秒単位)(Interval (in seconds)) |
(自動修復タイプを選択した場合のみ使用可能)クライアントでスケジューリングされたパッチ更新が実行されるまでの時間間隔を秒単位で入力します。有効な範囲は 0 ~ 9999 です。 |
||
再試行回数(Retry Count) |
(自動修復タイプを選択した場合のみ使用可能)クライアントが重要なパッチの更新を試行できる回数を入力します。有効な範囲は 0 ~ 99 です。 |
||
ベンダー名(Vendor Name) |
ドロップダウンリストからベンダー名(例:VMware Inc.)を選択します。
|
||
修復オプション(Remediation Option) |
[有効化(Enable)]:エンドポイントでファイアウォール アプリケーションが無効になっている場合に、ファイアウォール アプリケーションを有効にします(ベンダーで有効化オプションがサポートされている場合)。 [選択したベンダーの製品(Products for Selected Vendor)] ドロップダウン矢印をクリックすると、[ベンダー名(Vendor Name)] に指定したベンダーがサポートしている製品(例:VMware vCentre Protect Agent)、バージョン(例:8.x)、有効な修復サポート(例:[はい(Yes)])のリストが表示されます。たとえば、製品 1 と 製品 2 の 2 つの製品を持つベンダー A を選択したとします。製品 1 は [修復の有効化(Enable remediation)] オプションをサポートしているが、製品 2 はサポートしていない場合があります。[選択したベンダーの製品(Products for Selected Vendor)] テーブルは選択した修復オプションに応じて変わります。 |
次の表では、[リンク修復(Link Remediation)] ページのフィールドについて説明します。ナビゲーション パスは、 です。
次の表では、[アプリケーション修復(Application Remediation)] ページのフィールドについて説明します。ナビゲーション パスは、
です。
フィールド |
使用上のガイドライン |
||
---|---|---|---|
[名前(Name)] |
アプリケーション修復の名前を入力します。 |
||
説明 |
アプリケーション修復の説明を入力します。 |
||
オペレーティング システム(Operating System) |
アプリケーション修復条件が適用される Windows OS または MAC OSX を選択します。 |
||
コンプライアンス モジュール |
OESIS バージョン 4.x 以降のサポート。 |
||
修復タイプ(Remediation Type) |
|
||
間隔(秒単位)(Interval (in seconds)) |
(自動修復タイプを選択した場合のみ使用可能)クライアントでスケジューリングされたパッチ更新が実行されるまでの時間間隔を秒単位で入力します。有効な範囲は 0 ~ 9999 です。 |
||
再試行回数(Retry Count) |
(自動修復タイプを選択した場合のみ使用可能)クライアントが重要なパッチの更新を試行できる回数を入力します。有効な範囲は 0 ~ 99 です。 |
||
ベンダー名(Vendor Name) |
ドロップダウン リストからベンダー名を選択します。[選択したベンダーの製品(Products for Selected Vendor)] テーブルに、アプリケーション名(Internet Explorer など)、バージョン、ベンダー(Microsoft Corporation など)、実行中のプロセス、カテゴリ(フィッシング詐欺対策など)が表示されます。
|
||
修復オプション(Remediation Option) |
[パッチ管理ベンダー名(Patch Management Vendor Name)] で指定したベンダーがサポートする製品のリストを表示するには、[選択したベンダーの製品(Products for Selected Vendor)] ドロップダウン矢印をクリックします。たとえば、製品 1 と 製品 2 の 2 つの製品を持つベンダー A を選択したとします。製品 1 は [修復の有効化(Enable remediation)] オプションをサポートしているが、製品 2 はサポートしていない場合があります。または、製品 1 が [有効(Enable)] および [欠落したパッチの修復のインストール(Install missing patches remediation)] オプションをサポートしていない場合、製品 1 はディセーブル(グレー表示)になります。[選択したベンダーの製品(Products for Selected Vendor)] テーブルは選択した修復オプションに応じて変わります。 |
次の表に、[AV 修復(AV Remediation)] ページのフィールドを示します。ナビゲーション パスは、 です。
コンプライアンス モジュール |
OESIS バージョン 4 はコンプライアンス モジュール 4.x および AnyConnect 4.3 以上をサポートします。 |
次の表では、[アンチウイルス修復(Anti-Virus Remediation)] ページのフィールドについて説明します。ナビゲーション パスは、 です。
次の表に、[AS 修復(AS Remediation)] ページのフィールドを示します。ナビゲーション パスは、 です。
次の表では、[プログラム修復起動(Launch Program Remediation)] ページのフィールドについて説明します。ナビゲーション パスは、 です。
次の表では、[Windows Update 修復(Windows Update Remediation)] ページのフィールドについて説明します。ナビゲーション パスは、 です。
|
|
Windows Update 設定を管理者の設定でオーバーライド(Override User’s Windows Update setting with administrator’s) |
Windows Update 修復の実行中および実行後に、管理者が Windows 自動更新に対して指定した設定をすべてのクライアント マシンに適用するには、このチェックボックスをチェックします。 |
次の表では、[Windows Update 修復(Windows Update Remediation)] ページのフィールドについて説明します。ナビゲーション パスは、 です。
NAC Agent と Web Agent が前回の試行後に再試行を試みるまでに WSUS 更新を遅延させる間隔を秒単位で入力します(デフォルトの間隔は 0 です)。 |
|||
NAC Agent と Web Agent が WSUS 更新を使用して Windows クライアントの更新を再試行する回数を入力します。 |
|||
クライアントのオペレーティング システムで使用できる最新のサービス パックを WSUS 修復が自動的にインストールできるようにするには、このチェックボックスをオンにします。
|
|||
Windows Update インストール ソース(Windows Updates Installation Source) |
|||
インストール ウィザード インターフェイス設定(Installation Wizard Interface Setting) |
次の表に、[パッチ管理修復(Patch Management Remediation)] ページのフィールドを示します。ナビゲーション パスは、 です。
コンプライアンス モジュール |
OESIS バージョン 4.x 以降または 3.x 以前のサポート。 |
||
次のいずれかを実行します。 | |||
(自動修復タイプを選択した場合のみ使用可能)クライアントでスケジューリングされたパッチ更新が実行されるまでの時間間隔を秒単位で入力します。 |
|||
再試行回数(Retry Count) |
(自動修復タイプを選択した場合のみ使用可能)クライアントが重要なパッチの更新を試行できる回数を入力します。 |
||
オペレーティング システム(Operating System) |
サポートされる唯一の OS は Windows OS です。 |
||
パッチ管理ベンダー名(Patch Management Vendor Name) |
ドロップダウン リストからベンダー名を選択します。ベンダーのパッチ管理修復製品と、バージョン、修復の有効化、修復の更新、および UI 修復の表示に対する製品のサポートが [選択したベンダーの製品(Products for Selected Vendor)] テーブルに表示されます。
|
||
修復オプション(Remediation Option) |
次のオプションのいずれかを選択します。
[パッチ管理ベンダー名(Patch Management Vendor Name)] で指定したベンダーがサポートする製品のリストを表示するには、[選択したベンダーの製品(Products for Selected Vendor)] ドロップダウン矢印をクリックします。たとえば、製品 1 と 製品 2 の 2 つの製品を持つベンダー A を選択したとします。製品 1 は [修復の有効化(Enable remediation)] オプションをサポートしているが、製品 2 はサポートしていない場合があります。または、製品 1 が [有効(Enable)] および [欠落したパッチの修復のインストール(Install missing patches remediation)] オプションをサポートしていない場合、製品 1 はディセーブル(グレー表示)になります。[選択したベンダーの製品(Products for Selected Vendor)] テーブルは選択した修復オプションに応じて変わります。 |
||
インストール済みパッチの確認(Check Patches Installed) |
欠落しているパッチ管理修復ソフトウェアの重大度レベルを設定し、重大度に基づいて展開することができます。次の重大度レベルのいずれかを選択します。
|
ポスチャ ポリシーの USB_Check 条件(シスコ事前定義済み)を使用して、USB 大容量ストレージ デバイスがエンドポイントに接続されているかどうかを確認できます。USB 大容量ストレージのチェックと修復のフローは次のとおりです。
USB 接続があるかどうかを確認します。
USB プラグインを検出して USB_Block 修復(Cisco 事前定義済み)を適用します。AnyConnect エージェントが Cisco ISE に修復の障害を報告し、CoA を開始します。USB 大容量ストレージの修復は常にアクティブであり、アクセス時または定期的再評価(PRA)に限定されません。
ユーザがネットワーク インターフェイスから接続解除すると、USB の検出の実行を停止します。
エンドポイントの再接続時に、ポスチャ フローを再実行します。ただし、エンドポイントがポスチャのリース期間内の場合、AnyConnect エージェントは、USB チェックを再び実行しません。
(注) | AnyConnect は USB を検査し、修復を順に実行します。その結果、PRA を実行する際に、USB の動的な変更の処理に遅延が生じることがあります。USB のチェックが設定されると、他のチェックに対する PRA の猶予時間([ワーク センター(Work Centers)] > [ポスチャ(Posture)] > [設定(Settings)] > [再評価設定(Reassessment Configurations)])を最小化することをお勧めします。 |
(注) | USB チェックには複合条件を作成できません。 |
次の表では、[USB 修復(USB Remediation)] ページのフィールドについて説明します。ナビゲーション パスは、
です。また、 ページのオプションが表示されています。
クライアントでスケジュールされた USB 大容量ストレージのデバイス チェックが実行される時間間隔を秒単位で入力します。 |
|
次の表に、[ポスチャ要件(Posture Requirements)] ページのフィールドを示します。ナビゲーション パスは、 です。
[操作(Action)] アイコンをクリックして、ユーザ定義の条件を作成して、要件に関連付けることもできます。ユーザ定義の条件を作成中に関連する親オペレーティング システムは編集できません。 pr_WSUSRule は、Windows Server Update Services(WSUS)修復が関連付けられているポスチャ要件で使用される、ダミーの複合条件です。関連 WSUS 修復アクションは、重大度レベル オプションを使用して Windows Updates を検証するように設定する必要があります。この要件が失敗すると、Windows クライアントにインストールされている NAC Agent は、WSUS 修復で定義した重大度レベルに基づいて WSUS 修復アクションを適用します。 pr_WSUSRule は複合条件のリスト ページには表示できません。条件ウィジェットからのみ pr_WSUSRule を選択できます。 |
|
Agent ユーザとの通信に使用できるすべての修復タイプのテキスト ボックスがあります。修復アクションに加えて、クライアントの非準拠に関してメッセージで Agent ユーザと通信することができます。 [メッセージ テキストのみ(Message Text Only)] オプションで Agent ユーザに非準拠について通知します。また、詳細情報を得るためにヘルプ デスクに連絡したり、クライアントを手動で修復したりするオプションの手順がユーザに提供されています。このシナリオでは、NAC Agent は修復アクションをトリガーしません。 |