ポリシーのユーザ インターフェイスのリファレンス

ポリシー セットの設定

この項では、認証、認可、および例外のポリシーを含むルールベースのポリシーセットの設定方法について説明します。

ポリシー セットの構成時の設定

次の表では、[ポリシーセット(Policy Sets)] ウィンドウのフィールドについて説明します。このフィールドから、認証、例外、および許可ポリシーを含むポリシーセットを設定できます。ネットワーク アクセス ポリシーの場合は、[ワーク センター(Work Centers)] > [ネットワーク アクセス(Network Access)] > [ポリシー セット(Policy Sets)] を選択します。デバイス管理ポリシーの場合は、[ワーク センター(Work Centers)] > [デバイス管理(Device Administration)] > [デバイス管理ポリシー セット(Device Admin Policy Sets)] を選択します。

表 1. ポリシー セットの構成時の設定

フィールド名

使用上のガイドライン

[ステータス(Status)]

このポリシーのステータスを選択します。次のいずれかを設定できます。

  • [有効(Enabled)]:このポリシー条件はアクティブです。

  • [無効(Disabled)]:このポリシー条件は非アクティブであり、評価されません。

  • [モニタのみ(Monitor Only)]:このポリシー条件は評価されません。

ポリシー セット名

このポリシー セットの一意の名前を入力します。

条件(Conditions)

 新しいポリシー行から、プラス(+)アイコンをクリックするか、既存のポリシー行から [編集(Edit)] アイコンをクリックして [条件スタジオ(Conditions Studio)] を開きます。

説明

ポリシーの一意の説明を入力します。

許可されているプロトコルまたはサーバ順序(Allowed Protocols or Server Sequence)

すでに作成した許可されているプロトコルを選択するか、または(+)記号をクリックして [新しい許可されているプロトコルを作成(Create a New Allowed Protocol)] するか、[新しい RADIUS 順序を作成(Create a New Radius Sequence)] するか、または [TACACS 順序を作成(Create a TACACS Sequence)] します。

条件(Conditions)

 新しい例外行から、プラス(+)アイコンをクリックするか、既存の例外行から [編集(Edit)] アイコンをクリックして [条件スタジオ(Conditions Studio)] を開きます。

ヒット数(Hits)

 ヒット数は、条件が一致した回数を示す診断ツールです。このアイコンが最後に更新された時刻を表示し、ゼロにリセットし、更新の頻度を表示するには、アイコンにカーソルを合わせます。

アクション

さまざまなアクションを表示して選択するには、[アクション(Actions)] 列の歯車アイコン をクリックします。

  • [上に新しい行を挿入(Insert new row above)]:[アクション(Actions)] メニューを開いたポリシーの上に新しいポリシーを挿入します。

  • [下に新しい行を挿入(Insert new row below)]:[アクション(Actions)] メニューを開いたポリシーの下に新しいポリシーを挿入します。

  • [上に複製(Duplicate above)]:元のセットの上に、[アクション(Actions)] メニューを開いたポリシーの上に複製ポリシーを挿入します。

  • [下に複製(Duplicate below)]:元のセットの下に、[アクション(Actions)] メニューを開いたポリシーの下に複製ポリシーを挿入します。

  • [削除(Delete)]:ポリシーセットを削除します。

表示(View)

矢印アイコンをクリックすると、特定のポリシー セットの [設定(Set)] ビューが開き、認証、例外、および許可のサブポリシーが表示されます。

認証ポリシーの構成設定

次の表では、[ポリシーセット(Policy Sets)] ウィンドウの [認証ポリシー(Authentication Policy)] セクションのフィールドについて説明します。このフィールドから、認証サブポリシーをポリシーセットの一部として構成できます。ネットワーク アクセス ポリシーの場合は、[ワーク センター(Work Centers)] > [ネットワーク アクセス(Network Access)] > [ポリシー セット(Policy Sets)] を選択します。デバイス管理ポリシーの場合は、[ワーク センター(Work Centers)] > [デバイス管理(Device Administration)] > [デバイス管理ポリシー セット(Device Admin Policy Sets)] を選択します。[ポリシー セット(Policy Sets)] ページから、[表示(View)] > [認証ポリシー(Authentication Policy)] を選択します。

表 2. 認証ポリシーの構成設定

フィールド名

使用上のガイドライン

[ステータス(Status)]

このポリシーのステータスを選択します。次のいずれかを設定できます。

  • [有効(Enabled)]:このポリシー条件はアクティブです。

  • [無効(Disabled)]:このポリシー条件は非アクティブであり、評価されません。

  • [モニタのみ(Monitor Only)]:このポリシー条件は評価されますが、結果は実施されません。[ライブ ログ認証(Live Log authentication)] ページでこのポリシー条件の結果を照会できます。ここでは、モニタされる手順と属性を含む詳細レポートを参照してください。たとえば、新しいポリシー条件を追加する場合に、条件がもたらす結果が正しいかどうかを判断できないことがあります。この場合、モニタ モードでポリシー条件を作成して、結果を確認できます。結果に問題がない場合はそのポリシー条件を有効化できます。

ルール名

この認証ポリシーの名前を入力します。

条件(Conditions)

 新しいポリシー行から、プラス(+)アイコンをクリックするか、既存のポリシー行から [編集(Edit)] アイコンをクリックして [条件スタジオ(Conditions Studio)] を開きます。

使用(Use)

認証に使用する ID ソースを選択します。ID ソース順序が設定済みである場合、これを選択することも可能です。

デフォルトの ID ソースを編集して、このルールで定義されたいずれの ID ソースも要求に一致しない場合に Cisco ISE が使用する ID ソースを指定できます。

オプション(Options)

認証失敗、ユーザが見つからない、プロセス障害、の各イベントに対する今後のアクションのコースを定義します。次のいずれかのオプションを選択できます。

  • [拒否(Reject)]:拒否応答が送信されます。

  • [ドロップ(Drop)]:応答は送信されません。

  • [続行(Continue)]:Cisco ISE は認証ポリシーの処理を続行します。

ヒット数(Hits)

 ヒット数は、条件が一致した回数を示す診断ツールです。

アクション

さまざまなアクションを表示して選択するには、[アクション(Actions)] 列の歯車アイコン をクリックします。

  • [上に新しい行を挿入(Insert new row above)]:[アクション(Actions)] メニューを開いたポリシーの上に新しい認証ポリシーを挿入します。

  • [下に新しい行を挿入(Insert new row below)]:[アクション(Actions)] メニューを開いたポリシーの下に新しい認証ポリシーを挿入します。

  • [上に複製(Duplicate above)]:元のセットの上に、[アクション(Actions)] メニューを開いたポリシーの上に複製認証ポリシーを挿入します。

  • [下に複製(Duplicate below)]:元のセットの下に、[アクション(Actions)] メニューを開いたポリシーの下に複製認証ポリシーを挿入します。

  • [削除(Delete)]:ポリシーセットを削除します。

ローカル例外およびグローバル例外の構成時の設定

ネットワーク アクセス ポリシーの場合は、[ワーク センター(Work Centers)] > [ネットワーク アクセス(Network Access)] > [ポリシー セット(Policy Sets)] を選択します。デバイス管理ポリシーの場合は、[ワーク センター(Work Centers)] > [デバイス管理(Device Administration)] > [デバイス管理ポリシー セット(Device Admin Policy Sets)] を選択します。[ポリシーセット(Policy Sets)] ウィンドウから、[表示(View)] > [ローカル例外ポリシー(Local Exceptions Policy)] または [グローバル例外ポリシー(Global Exceptions Policy)] を選択します。

許可例外設定は、許可ポリシー設定と同じで、許可ポリシーの設定 で説明されています。

許可ポリシーの設定

次の表では、[ポリシーセット(Policy Sets)] ウィンドウの [許可ポリシー(Authorization Policy)] セクションのフィールドについて説明します。このフィールドから、許可ポリシーをポリシーセットの一部として構成できます。ネットワーク アクセス ポリシーの場合は、[ワーク センター(Work Centers)] > [ネットワーク アクセス(Network Access)] > [ポリシー セット(Policy Sets)] を選択します。デバイス管理ポリシーの場合は、[ワーク センター(Work Centers)] > [デバイス管理(Device Administration)] > [デバイス管理ポリシー セット(Device Admin Policy Sets)] を選択します。[ポリシー セット(Policy Sets)] ページから、[表示(View)] > [許可ポリシー(Authorization Policy)] を選択します。

表 3. 許可ポリシーの構成時の設定

フィールド名

使用上のガイドライン

[ステータス(Status)]

このポリシーのステータスを選択します。次のいずれかを設定できます。

  • [有効(Enabled)]:このポリシー条件はアクティブです。

  • [無効(Disabled)]:このポリシー条件は非アクティブであり、評価されません。

  • [モニタのみ(Monitor Only)]:このポリシー条件は評価されますが、結果は実施されません。[ライブ ログ認証(Live Log authentication)] ページでこのポリシー条件の結果を照会できます。ここでは、モニタされる手順と属性を含む詳細レポートを参照してください。たとえば、新しいポリシー条件を追加する場合に、条件がもたらす結果が正しいかどうかを判断できないことがあります。この場合、モニタ モードでポリシー条件を作成して、結果を確認できます。結果に問題がない場合はそのポリシー条件を有効化できます。

ルール名

このポリシーの一意の名前を入力します。

条件(Conditions)

 新しいポリシー行から、プラス(+)アイコンをクリックするか、既存のポリシー行から [編集(Edit)] アイコンをクリックして [条件スタジオ(Conditions Studio)] を開きます。

結果またはプロファイル(Results or Profiles)

関連する許可プロファイルを選択します。これにより、構成されたセキュリティ グループに提供される権限のそれぞれのレベルが決まります。関連する許可プロファイルをまだ設定していない場合は、インラインで行うことができます。

結果またはセキュリティグループ(Results or Security Groups)

関連するセキュリティ グループを選択します。これにより、特定のルールに関連するユーザのグループが決まります。関連するセキュリティ グループをまだ設定していない場合は、インラインで行うことができます。

結果またはコマンドセット(Results or Command Sets)

コマンド セットは、デバイス管理者が実行できるコマンドの指定されたリストを適用します。デバイス管理者がネットワーク デバイスに対して操作コマンドを発行すると、その管理者がこれらのコマンドの発行を認可されているかどうかを判定する問い合わせが ISE に行われます。これは、コマンド認可とも呼ばれます。

結果またはシェルプロファイル(Results or Shell Profiles)

TACACS+ シェル プロファイルは、デバイス管理者の最初のログイン セッションを制御します。

ヒット数(Hits)

 ヒット数は、条件が一致した回数を示す診断ツールです。

アクション

さまざまなアクションを表示して選択するには、[アクション(Actions)] 列の歯車アイコン をクリックします。

  • [上に新しい行を挿入(Insert new row above)]:[アクション(Actions)] メニューを開いたルールの上に新しい許可ルールを挿入します。

  • [下に新しい行を挿入(Insert new row below)]:[アクション(Actions)] メニューを開いたルールの下に新しい許可ルールを挿入します。

  • [上に複製(Duplicate above)]:元のセットの上に、[アクション(Actions)] メニューを開いたルールの上に複製許可ルールを挿入します。

  • [下に複製(Duplicate below)]:元のセットの下に、[アクション(Actions)] メニューを開いたルールの下に複製許可ルールを挿入します。

  • [削除(Delete)]:ルールを削除します。

エンドポイント プロファイリング ポリシーの設定

次の表では、[エンドポイントポリシー(Endpoint Policies)] ウィンドウのフィールドについて説明します。このページのナビゲーション パスは、[ポリシー(Policy)] > [プロファイリング(Profiling)] > [プロファイリング ポリシー(Profiling Policies)] です。

表 4. エンドポイント プロファイリング ポリシーの設定

フィールド名

使用上のガイドライン

名前(Name)

作成するエンドポイント プロファイリング ポリシーの名前を入力します。

説明

作成するエンドポイント プロファイリング ポリシーの説明を入力します。

ポリシー有効(Policy Enabled)

デフォルトでは [ポリシー有効(Policy Enabled)] チェックボックスはオンになっており、エンドポイントのプロファイリング時に、一致するプロファイリング ポリシーが関連付けられます。

オフになっている場合、エンドポイントのプロファイリング時に、エンドポイント プロファイリング ポリシーは除外されます。

最小確実度計数(Minimum Certainty Factor)

プロファイリング ポリシーに関連付ける最小値を入力します。デフォルト値は 10 です。

例外アクション(Exception Action)

プロファイリング ポリシー内のルールを定義するときに条件に関連付ける例外アクションを選択します。

デフォルトは [なし(NONE)] です。例外アクションは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [プロファイリング(Profiling)] > [例外アクション(Exception Actions)] で定義されます。

ネットワーク スキャン(NMAP)アクション(Network Scan (NMAP) Action)

必要に応じて、プロファイリング ポリシー内のルールを定義するときに条件に関連付けるネットワーク スキャン アクションをリストから選択します。

デフォルトは [なし(NONE)] です。例外アクションは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [プロファイリング(Profiling)] > [ネットワークスキャン(NMAP)アクション(Network Scan (NMAP) Actions)] で定義されます。

ポリシーの ID グループの作成(Create an Identity Group for the policy)

エンドポイント ID グループを作成するには、次のオプションのいずれかをオンにします。

  • はい、一致する ID グループを作成します(Yes, create matching Identity Group)

  • いいえ、既存の ID グループ階層を使用します(No, use existing Identity Group hierarchy)

はい、一致する ID グループを作成します(Yes, create matching Identity Group)

既存のプロファイリング ポリシーを使用する場合、このオプションを選択します。

このオプションは、これらのエンドポイントの一致する ID グループを作成します。エンドポイント プロファイルが既存のプロファイリング ポリシーと一致した場合に、ID グループは Profiled エンドポイント ID グループの子になります。

たとえば、ネットワーク上で検出されたエンドポイントが Xerox-Device プロファイルに一致する場合は、[エンドポイント ID グループ(Endpoint Identity Groups)] ページで Xerox-Device エンドポイント ID グループが作成されます。

いいえ、既存の ID グループ階層を使用します(No, use existing Identity Group hierarchy)

プロファイリング ポリシーおよび ID グループの階層構造を使用して、一致する親エンドポイント ID グループにエンドポイントを割り当てるには、このチェックボックスをオンにします。

このオプションを使用すると、エンドポイント プロファイリング ポリシー階層を利用することができ、エンドポイントはいずれかの一致する親エンドポイント ID グループ、さらに、親 ID グループに関連付けられたエンドポイント ID グループに割り当てられます。

たとえば、既存のプロファイルに一致するエンドポイントは、適切な親エンドポイント ID グループの下にグループ化されます。ここで、不明プロファイルに一致するエンドポイントは、[不明(Unknown)] の下にグループ化され、既存のプロファイルに一致するエンドポイントは、プロファイリングされたエンドポイント ID グループの下にグループ化されます。次の例を参考にしてください。

  • エンドポイントが Cisco-IP-Phone プロファイルに一致する場合、これらのエンドポイントは Cisco-IP-Phone エンドポイント ID グループの下でグループ化されます。

  • エンドポイントが Workstation プロファイルに一致する場合、これらのエンドポイントは、Workstation エンドポイント ID グループの下でグループ化されます。

    Cisco-IP-Phone および Workstation エンドポイント ID グループは、システム内の Profiled エンドポイント ID グループに関連付けられます。

親ポリシー(Parent Policy)

新しいエンドポイント プロファイリング ポリシーを関連付ける、システムで定義されている親プロファイリング ポリシーを選択します。

子にルールと条件を継承できる親プロファイリング ポリシーを選択できます。

関連 CoA タイプ(Associated CoA Type)

エンドポイント プロファイリング ポリシーと関連付ける次のいずれかの CoA タイプを選択します。

  • CoA なし(No CoA)

  • ポート バウンス

  • 再認証(Reauth)

  • [グローバル設定(Global Settings)]:[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロファイリング(Profiling)] で設定されたプロファイラ設定から適用されます。

ルール(Rule)

エンドポイント プロファイリング ポリシーで定義された 1 つ以上のルールにより、エンドポイントの一致するプロファイリング ポリシーが決定されます。これにより、プロファイルに応じたエンドポイントのグループ化が可能になります。

ポリシー要素ライブラリからの 1 つ以上のプロファイリング条件がルールに使用され、エンドポイント属性およびその値が、全体的な分類用に検証されます。

条件(Conditions)

プラス(+)記号をクリックして、条件の固定オーバーレイを展開します。マイナス(-)記号をクリックするか、固定オーバーレイの外側をクリックして条件を閉じます。

[既存の条件をライブラリから選択(Select Existing Condition from Library)] または [新しい条件の作成(高度なオプション)(Create New Condition (Advanced Option))] をクリックします。

[既存の条件をライブラリから選択(Select Existing Condition from Library)]:ポリシー要素ライブラリからシスコによって事前定義された条件を選択して、式を定義できます。

[新しい条件の作成(高度なオプション)(Create New Condition (Advanced Option))]:さまざまなシステム辞書またはユーザ定義辞書から属性を選択して、式を定義できます。

プロファイリング条件と次のいずれかとを関連付けることができます。

  • 各条件の確実度係数の整数値

  • その条件の例外アクションまたはネットワーク スキャン アクション

プロファイリング条件と関連付ける、次のいずれかの定義済み設定を選択します。

  • [確実度計数が増加する(Certainty Factor Increases)]:各ルールの確実度値を入力します。この値は、全体的な分類に関するすべての一致ルールに対して追加されます。

  • [例外の操作を行う(Take Exception Action)]:このエンドポイント プロファイリング ポリシーの [例外アクション(Exception Action)] フィールドで設定された例外アクションがトリガーされます。

  • [ネットワークスキャンを行う(Take Network Scan Action)]:このエンドポイント プロファイリング ポリシーの [ネットワークスキャン(NMAP)アクション(Network Scan (NMAP) Action)] フィールドで設定されたネットワーク スキャン アクションがトリガーされます。

既存の条件をライブラリから選択(Select Existing Condition from Library)

次を実行できます。

  • ポリシー要素ライブラリに存在するシスコによって事前定義された条件を選択できます。AND または OR 演算子を使用して複数の条件を追加できます。

  • [操作(Action)] アイコンをクリックして、後続のステップで次を実行します。

    • [属性または値の追加(Add Attribute or Value)]:アドホック属性または値の組み合わせを追加できます

    • [ライブラリから条件を追加(Add Condition from Library)]:シスコによって事前定義された条件を追加できます

    • [複製(Duplicate)]:選択した条件のコピーを作成します

    • [ライブラリに条件を追加(Add Condition to Library)]:作成したアドホック属性/値の組み合わせをポリシー要素ライブラリに保存できます

    • [削除(delete)]:選択した条件を削除します。

新しい条件の作成(高度なオプション)(Create New Condition (Advance Option))

次を実行できます。

  • 式にアドホック属性/値の組み合わせを追加し、AND または OR 演算子を使用すると、複数の条件を追加できます。

  • [操作(Action)] アイコンをクリックして、後続のステップで次を実行します。

    • [属性または値の追加(Add Attribute or Value)]:アドホック属性または値の組み合わせを追加できます

    • [ライブラリから条件を追加(Add Condition from Library)]:シスコによって事前定義された条件を追加できます

    • [複製(Duplicate)]:選択した条件のコピーを作成します

    • [ライブラリに条件を追加(Add Condition to Library)]:作成したアドホック属性/値の組み合わせをポリシー要素ライブラリに保存できます

    • [削除(delete)]:選択した条件を削除します。 AND または OR 演算子を使用できます

UDID 属性を使用するエンドポイント コンテキストの可視性

固有識別子(UDID)は、特定のエンドポイントの MAC アドレスを識別するエンドポイント属性です。エンドポイントは複数の MAC アドレスを持つことがあります。たとえば、有線インターフェイスに 1 つ、ワイヤレスインターフェイス用にもう 1 つの MAC アドレスがある場合があります。AnyConnect エージェントはそのエンドポイントの UDID を生成し、それをエンドポイント属性として保存します。UDID は承認クエリ内に使用できます。エンドポイントの UDID は一定であり、AnyConnect のインストールまたはアンインストールに伴って変更されることはありません。UDID を使用すると、[コンテキストの可視性(Context Visibility)] ウィンドウ([コンテキストの可視性(Context Visibility)] > [エンドポイント(Endpoints)] > [コンプライアンス(Compliance)])では、複数の NIC が装着されているエンドポイントの場合は複数のエントリではなく 1 つのエントリが表示されます。MAC アドレスではなく特定のエンドポイントに対してポスチャ制御を行うことができます。


(注)  

UDID を作成するには、エンドポイントの AnyConnect が 4.7 以上である必要があります。

RADIUS ベンダー ディクショナリ属性の設定

ここでは、Cisco ISE で使用される RADIUS ベンダーのディクショナリについて説明します。

次の表に、RADIUS ベンダーのディクショナリ属性を設定できるようにする RADIUS ベンダーの [ディクショナリ(Dictionary)] ウィンドウのフィールドを示します。このウィンドウへのナビゲーションパスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [ディクショナリ(Dictionaries)] > [システム(System)] > [RADIUS] > [RADIUSベンダー(RADIUS Vendors)] です。

表 5. RADIUS ベンダー ディクショナリ属性の設定

フィールド名

使用上のガイドライン

属性名(Attribute Name)

選択した RADIUS ベンダーのベンダー固有属性名を入力します。

説明

ベンダー固有属性のオプションの説明を入力します。

内部名

内部のデータベースで表されるベンダー固有属性の名前を入力します。

データ タイプ

ベンダー固有属性に対して、次のデータ型のいずれかを選択します。

  • STRING

  • OCTET_STRING

  • UNIT32

  • UNIT64

  • IPV4

  • IPV6

MAC を有効にするオプション(Enable MAC option)

MAC アドレスとしての RADIUS 属性の比較を有効にするには、このチェックボックスをオンにします。デフォルトで、RADIUS 属性 Calling-Station-ID に対して、このオプションは有効とマークされ、無効にできません。RADIUS ベンダー ディクショナリ内の別のディクショナリ属性(文字列型)の場合は、このオプションを有効または無効にできます。

このオプションを有効にした場合、認証および許可条件の設定中に、テキスト オプションを選択して比較をクリアな文字列にするか、または MAC アドレスオプションを選択して比較を MAC アドレスにするかを定義できます。

方向(Direction)

RADIUS メッセージに適用するいずれかのオプションを選択します。

ID

ベンダー属性 ID を入力します。有効な範囲は 0 ~ 255 です。

タギングの許可(Allow Tagging)

RFC2868 で定義するように、タグを持つことが許可されるものとして属性をマークするには、このチェック ボックスをオンにします。タグの目的は、トンネル化されたユーザの属性のグループ化を許可することです。詳細については、RFC2868 を参照してください。

タグ付けされた属性のサポートでは、特定のトンネルに関するすべての属性のそれぞれのタグ フィールドに同じ値が含まれ、各セットに Tunnel-Preference 属性の適切に評価されたインスタンスが含まれていることが保証されます。これは、マルチベンダー ネットワーク環境に使用すべきトンネル属性に適合しているため、複数のベンダーで製造されたネットワーク アクセス サーバ(NAS)間の相互運用性の問題を解決します。

プロファイルでこの属性の複数のインスタンスを許可する(Allow Multiple Instances of this Attribute in a Profile)

プロファイルでこの RADIUS ベンダー固有属性の複数のインスタンスが必要な場合は、このチェックボックスをオンにします。

特殊な条件

ここでは、エンドポイント、ポスチャ クライアントのプロファイリングに使用され、Cisco ISE リソースへのアクセス権を制限または拡張するためのポリシー条件について説明します。

プロファイラ条件の設定

次の表では、[プロファイラ条件(Profiler Condition)] ウィンドウのフィールドについて説明します。このウィンドウへのナビゲーションパスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [プロファイリング(Profiling)] です。

表 6. プロファイラ条件の設定

フィールド名

使用上のガイドライン

[名前(Name)]

プロファイラ条件の名前。

説明

プロファイラ条件の説明。

[タイプ(Type)]

事前定義済みタイプのいずれかを選択します。

属性名(Attribute Name)

プロファイラ条件が基づく属性を選択します。

演算子

演算子を選択します。

属性値(Attribute Value)

選択した属性の値を入力します。事前定義された属性値を含む属性名の場合、事前定義された値のドロップダウン リストが表示され、値を選択できます。

システム タイプ(System Type)

プロファイリング条件は、次のいずれかのタイプになります。

  • [シスコ提供(Cisco Provided)]:シスコ提供として識別され、展開時に Cisco ISE によって提供されるプロファイリング条件。システムから編集したり削除したりすることはできません。

  • [管理者作成(Administrator Created)]:管理者作成として識別され、Cisco ISE の管理者として作成したプロファイリング条件。

ポスチャ条件の設定

ここでは、ポスチャに使用される単純条件および複合条件について説明します。

ファイル条件の設定

次の表では、[ファイル条件(File Conditions)] ウィンドウのフィールドについて説明します。このウィンドウへのナビゲーションパスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [ポスチャ(Posture)] > [ファイル条件(File Conditions)] です。

表 7. ファイル条件の設定

フィールド名

Windows OS での使用ガイドライン

Mac OS X での使用ガイドライン

名前(Name)

ファイル条件の名前を入力します。

ファイル条件の名前を入力します。

説明

ファイル条件の説明を入力します。

ファイル条件の説明を入力します。

オペレーティング システム(Operating System)

ファイル条件が適用される Windows オペレーティング システムを選択します。

ファイル条件が適用される Mac OS X を選択します。

ファイル タイプ(File Type)

次のいずれか 1 つの事前定義済み設定を選択します。

  • FileDate:特定のファイル作成日またはファイル更新日のファイルがシステムに存在するかどうかをチェックします。

  • FileExistence:システムにファイルが存在するかどうかをチェックします。

  • FileVersion:特定のバージョンのファイルがシステムに存在するかどうかをチェックします。

  • CRC32:チェックサム関数を使用してファイルのデータ整合性をチェックします。

  • SHA-256:ハッシュ関数を使用してファイルのデータ整合性をチェックします。

次のいずれか 1 つの事前定義済み設定を選択します。

  • FileDate:特定のファイル作成日またはファイル更新日のファイルがシステムに存在するかどうかをチェックします。

  • FileExistence:システムにファイルが存在するかどうかをチェックします。

  • CRC32:チェックサム関数を使用してファイルのデータ整合性をチェックします。

  • SHA-256:ハッシュ関数を使用してファイルのデータ整合性をチェックします。

  • PropertyList:loginwindow.plist などの plist ファイルのプロパティ値をチェックします。

データ型と演算子(Data Type and Operator)

NA

(ファイル タイプとして [PropertyList] を選択した場合に限り使用可能)plist ファイル内で検索するデータ型またはキーの値を選択します。各データ型には、一連の演算子が含まれています。

  • 未指定(Unspecified):指定したキーの存在をチェックします。 演算子(Exists、DoesNotExist)を入力します。

  • 番号(Number):指定した番号データ型のキーをチェックします。 演算子(equals、does not equal、greater than、less than、greater than または equal to、less than または equal to)と値を入力します。

  • 文字列(String):指定した文字列データ型のキーをチェックします。 演算子(equals、does not equal、equals (ignore case)、starts with、does not start with、contains、does not contain、ends with、does not end with)と値を入力します。

  • バージョン(Version):バージョン文字列で指定したキーの値をチェックします。 演算子(earlier than、later than、same as)と値を入力します。

プロパティ名

NA

(ファイル タイプとして [PropertyList] を選択した場合に限り使用可能)キーの名前(たとえば BuildVersionStampAsNumber)を入力します。

ファイル パス(File Path)

次のいずれか 1 つの事前定義済み設定を選択します。

  • ABSOLUTE_PATH:ファイルの完全修飾パスのファイルをチェックします。 例:C:\<directory>\file name。その他の設定では、ファイル名のみを入力します。

  • SYSTEM_32:C:\WINDOWS\system32 ディレクトリ内のファイルをチェックします。 ファイル名を入力します。

  • SYSTEM_DRIVE:C:\ ドライブ内のファイルをチェックします。ファイル名を入力します。

  • SYSTEM_PROGRAMS:C:\Program Files 内のファイルをチェックします。ファイル名を入力します。

  • SYSTEM_ROOT:Windows システムのルートパス内のファイルをチェックします。ファイル名を入力します。

  • USER_DESKTOP:指定したファイルが Windows ユーザのデスクトップにあるかどうかをチェックします。ファイル名を入力します。

  • USER_PROFILE:ファイルが Windows ユーザのローカル プロファイル ディレクトリにあるかどうかをチェックします。ファイルのパスを入力します。

次のいずれか 1 つの事前定義済み設定を選択します。

  • ルート(Root):ルート(/)ディレクトリ内のファイルをチェックします。 ファイルのパスを入力します。

  • ホーム(Home):ホーム(~)ディレクトリ内のファイルをチェックします。 ファイルのパスを入力します。

ファイル日付タイプ(File Date Type)

(ファイル タイプとして [FileDate] を選択した場合に限り使用可能)[作成日(Creation Date)] または [変更日(Modification Date)] を選択します。

(ファイル タイプとして [FileDate] を選択した場合に限り使用可能)[作成日(Creation Date)] または [変更日(Modification Date)] を選択します。

ファイル演算子

[ファイル演算子(File Operator)] オプションは、[ファイル タイプ(File Type)] で選択した設定に応じて変化します。次の設定を適切に選択します。

FileDate

  • EarlierThan

  • LaterThan

  • EqualTo

  • 内部(Within):最後の n 日数。有効な値は、1 ~ 300 日です)

FileExistence

  • Exists

  • DoesNotExist

FileVersion

  • EarlierThan

  • LaterThan

  • EqualTo

[ファイル演算子(File Operator)] オプションは、[ファイル タイプ(File Type)] で選択した設定に応じて変化します。次の設定を適切に選択します。

FileDate

  • EarlierThan

  • LaterThan

  • EqualTo

  • 内部(Within):最後の n 日数。有効な値は、1 ~ 300 日です)

FileExistence

  • Exists

  • DoesNotExist

ファイルの CRC データ(File CRC Data)

(ファイル タイプとして [CRC32] を選択した場合に限り使用可能)チェックサムの値(たとえば 0x3c37fec3)を入力してファイルの整合性をチェックできます。チェックサム値は 16 進数の整数 0x で始まる必要があります。

(ファイル タイプとして [CRC32] を選択した場合に限り使用可能)チェックサムの値(たとえば 0x3c37fec3)を入力してファイルの整合性をチェックできます。チェックサム値は 16 進数の整数 0x で始まる必要があります。

ファイルのSHA-256データ(File SHA-256 Data)

(ファイル タイプとして [SHA-256] を選択した場合に限り使用可能)64 バイトの 16 進数のハッシュ値を入力してファイルの整合性をチェックできます。

(ファイル タイプとして [SHA-256] を選択した場合に限り使用可能)64 バイトの 16 進数のハッシュ値を入力してファイルの整合性をチェックできます。

日付および時刻(Date and Time)

(ファイル タイプとして FileDate を選択した場合に限り使用可能)クライアント システムの日付と時刻を、mm/dd/yyyy および hh:mm:ss 形式で入力します。

(ファイル タイプとして FileDate を選択した場合に限り使用可能)クライアント システムの日付と時刻を、mm/dd/yyyy および hh:mm:ss 形式で入力します。

ファイアウォール条件の設定

ファイアウォール条件により、特定のファイアウォール製品がエンドポイントで稼働しているかどうかがチェックされます。サポートされているファイアウォール製品のリストは、OPSWAT サポート チャートに基づいています。初回ポスチャと定期的再評価(PRA)の実行中にポリシーを適用できます。

Cisco ISE は、Windows および Mac OS のデフォルトのファイアウォール条件を提供します。これらの条件は、デフォルトで無効になっています。

フィールド名

使用上のガイドライン

名前(Name)

ファイアウォール条件の名前を入力します。

説明

ファイアウォール条件の説明を入力します。

コンプライアンス モジュール

必要なコンプライアンス モジュールを選択します。

  • 4.x 以降

  • 3.x 以降

  • 任意のバージョン(Any Version)

オペレーティング システム

必要なファイアウォール製品がエンドポイントにインストールされているかどうかを確認します。Windows OS または Mac OSX を選択できます。

ベンダー

ドロップダウン リストからベンダー名を選択します。ベンダーのファイアウォール製品とそれらのチェック タイプが取得され、[選択したベンダーの製品(Products for Selected Vendor)] テーブルに表示されます。テーブル内のリストは、選択したオペレーティング システムによって変わります。

チェック タイプ(Check Type)

[有効(Enabled)]:特定のファイアウォールがエンドポイントで稼働しているかどうかをチェックします。ベンダーの製品が選択したチェック タイプをサポートしているかどうかを [選択したベンダーの製品(Products for Selected Vendor)] リストを参照することで確認します。

レジストリ条件の設定

次の表では、[レジストリ条件(Registry Conditions)] ウィンドウのフィールドについて説明します。このウィンドウへのナビゲーションパスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [ポスチャ(Posture)] > [レジストリ条件(Registry Conditions)] です。

表 8. レジストリ条件の設定

フィールド名

使用上のガイドライン

名前(Name)

レジストリ条件の名前を入力します。

説明

レジストリ条件の説明を入力します。

レジストリ タイプ(Registry Type)

レジストリ タイプとして事前定義済み設定の 1 つを選択します。

レジストリ ルート キー(Registry Root Key)

レジストリ ルート キーとして事前定義済み設定の 1 つを選択します。

サブ キー(Sub Key)

レジストリ ルート キーに指定されたパスのレジストリ キーをチェックするには、バックスラッシュ(「\」)なしでサブ キーを入力します。

たとえば、SOFTWARE\Symantec\Norton AntiVirus\version によって、次のパスのキーがチェックされます。

HKLM\SOFTWARE\Symantec\NortonAntiVirus\version

値の名前(Value Name)

([レジストリ タイプ(Registry Type)] として [RegistryValue] または [RegistryValueDefault] を選択した場合にのみ使用可能)[RegistryValue] をチェックするレジストリ キー値の名前を入力します。

これは [RegistryValueDefault] のデフォルト フィールドです。

値データ型(Value Data Type)

([レジストリ タイプ(Registry Type)] として [RegistryValue] または [RegistryValueDefault] を選択した場合にのみ使用可能)次の設定の 1 つを選択します。

  • [未指定(Unspecified)]:レジストリ キー値があるかどうかをチェックします。このオプションは、[RegistryValue] の場合にのみ使用できます。

  • [数字(Number)]:レジストリ キー値の指定された数字をチェックします

  • [文字列(String)]:レジストリ キー値の文字列をチェックします

  • [バージョン(Version)]:レジストリ キー値のバージョンをチェックします

値演算子(Value Operator)

設定を適切に選択します。

値データ

([レジストリ タイプ(Registry Type)] として [RegistryValue] または [RegistryValueDefault] を選択した場合にのみ使用可能)[値データ型(Value Data Type)] で選択したデータ型に応じてレジストリ キーの値を入力します。

オペレーティング システム

レジストリ条件を適用する必要のあるオペレーティング システムを選択します。

アプリケーション条件の設定

次の表に、[アプリケーション条件(Application Conditions)] ページのフィールドを示します。このページへのナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [ポスチャ(Posture)] > [アプリケーション条件(Application Conditions)] です。

表 9. アプリケーション条件の設定

フィールド

使用上のガイドライン

名前(Name)

アプリケーションの条件の名前を入力します。

説明

アプリケーションの状態の説明を入力します。

オペレーティング システム(Operating System)

アプリケーション条件が適用される Windows OS または MAC OSX を選択します。

プロセス名

調べるアプリケーションの名前を入力します。

アプリケーション演算子(Application Operator)

調べるステータスを選択します。

継続的なエンドポイント属性モニタリング

ポスチャ アセスメントの実行中に動的な変更が確認されるようにするため、AnyConnect エージェントを使用してさまざまなエンドポイント属性を継続的にモニタします。これによりエンドポイントの全体的な可視性が向上し、動作に基づいてポスチャ ポリシーを作成できるようになります。AnyConnect エージェントは、エンドポイントにインストールされ実行されているアプリケーションをモニタします。この機能をオンまたはオフにできます。また、データのモニタ頻度を設定できます。デフォルトでは、データは 5 分間隔で収集され、データベースに保存されます。初回ポスチャでは、AnyConnect がすべての実行中アプリケーションとインストールされているアプリケーションのリストを報告します。初回ポスチャの後に、AnyConnect エージェントは X 分間隔でアプリケーションをスキャンし、最終スキャンでの差異をサーバに送信します。サーバはすべての実行中アプリケーションとインストールされているアプリケーションのリストを表示します。

アプリケーション条件の設定

エンドポイントにインストールされているアプリケーションに対するアプリケーション条件クエリ。これにより、エンドポイントで配信されているソフトウェアの集約された可視性を確認できます。たとえば、この情報に基づいてポリシーを作成し、デスクトップ チームと協力してソフトウェア ライセンスの数を減らすことができます。

次の表に、[アプリケーション条件(Application Conditions)] ページのフィールドを示します。このページへのナビゲーション パスは [ワーク センター(Work Centers)] > [ポスチャ(Posture)] > [ポリシー要素(Policy Elements)] > [アプリケーション条件(Application Condition)] > [追加(Add)] です。

フィールド名

使用上のガイドライン

名前(Name)

アプリケーション条件の名前を入力します。

説明

アプリケーション条件の説明を入力します。

オペレーティング システム

アプリケーション条件が適用される Windows OS または MAC OSX を選択します。

コンプライアンス モジュール

OESIS バージョン 4.x 以降、3.x 以前、またはすべてのバージョンのサポート。

次を確認(Check By)

次のいずれかを実行します。

  • [プロセス(Process)]:エンドポイントでプロセスが実行されているかどうかを確認するには、このオプションをオンにします。

  • [アプリケーション(Application)]:エンドポイントでアプリケーションが実行されているかどうかを確認するには、このオプションをオンにします。

プロセス名

([次を確認(Check By)] オプションで [プロセス(Process)] を選択した場合に使用可能)必要なプロセス名を入力します。

アプリケーション演算子(Application Operator)

([次を確認(Check By)] オプションで [プロセス(Process)] を選択した場合に使用可能)次のいずれかを選択します。

  • [実行中(Running)]:エンドポイントでアプリケーションが実行されているかどうかを確認するには、このオプションを選択します。

  • [実行されていない(Not Running)]:エンドポイントでアプリケーションが実行されていないかどうかを確認するには、このオプションをオンにします。

アプリケーションの状態(Application State)

([次を確認(Check By)] オプションで [アプリケーション(Application)] を選択した場合に使用可能)次のいずれかを選択します。

  • [インストール済み(Installed)]:クライアントのシステムに悪質なアプリケーションがインストールされているかどうかを調べるには、このオプションをオンにします。 悪意のあるアプリケーションがある場合は、修復アクションがトリガーされます。

  • [実行中(Running)]:エンドポイントでアプリケーションが実行されているかどうかを確認するには、このオプションをオンにします。

次をプロビジョニング(Provision By)

([次を確認(Check By)] オプションで [アプリケーション(Application)] を選択した場合に使用可能)次のいずれかを選択します。

  • [すべて(Everything)]:[ブラウザ(Browser)]、[パッチ管理(Patch Management)] など、リストされているすべてのカテゴリを選択できます。

  • [名前(Name)]:1 つ以上のカテゴリを選択します。 たとえば [ブラウザ(Browser)] カテゴリを選択すると、[ベンダー(Vendor)] ドロップダウン リストに対応するベンダーが表示されます。

  • [カテゴリ(Category)]:1 つ以上のカテゴリ([マルウェア対策(Anti-Malware)]、[バックアップ(Backup)]、[ブラウザ(Browser)]、[データストレージ(Data Storage)] など)をオンにできます。

(注)   
カテゴリは OPSWAT ライブラリから動的に更新されます。

[コンテキストの可視性(Context Visibility)] > [エンドポイント(Endpoints)] > [コンプライアンス(Compliance)] ウィンドウで、各エンドポイントでインストールされているアプリケーションと実行中のアプリケーションの数を確認できます。

[ホーム(Home)] > [概要(Summary)] > [コンプライアンス(Compliance)] ウィンドウに、ポスチャアセスメント対象であり準拠しているエンドポイントのパーセンテージが表示されます。

サービス条件の設定

次の表では、[サービス条件(Service Conditions)] ウィンドウのフィールドについて説明します。このウィンドウへのナビゲーションパスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [ポスチャ(Posture)] > [サービス条件(Service Condition)] です。

表 10. サービス条件の設定

フィールド名

使用上のガイドライン

名前(Name)

サービス条件の名前を入力します。

説明

サービス条件の説明を入力します。

オペレーティング システム(Operating Systems)

サービス条件を適用する必要のあるオペレーティング システムを選択します。Windows OS または Mac OSX のさまざまなバージョンを選択できます。

サービス名(Service Name)

ルートとして動作するデーモンまたはユーザ エージェント サービスの名前を入力します(たとえば com.apple.geod)。AnyConnect エージェントは、コマンド sudo launchctl list を使用してサービス条件を確認します。

サービス タイプ

クライアントのコンプライアンスを確実にするために AnyConnect が調べる必要があるタイプ オブ サービスを選択します。

  • [デーモン(Daemon)]:マルウェアに対するクライアントデバイスのスキャンなど、指定したサービスがクライアントのデーモンサービスの指定されたリストにあるかどうかをチェックします。

  • [ユーザエージェント(User Agent)]:マルウェアが検出された場合に実行するサービスなど、指定したサービスがクライアントのユーザサービスの指定されたリストにあるかどうかをチェックします。

  • [デーモンまたはユーザエージェント(Daemon or User Agent)]:指定したサービスがデーモンまたはユーザエージェントのサービスリストにあるかどうかをチェックします。

サービス オペレータ(Service Operator)

クライアントでチェックするサービス ステータスを選択します。
  • [Windows OS]:サービスが [実行している(Running)] か、または [実行していない(Not Running)] かをチェックします。
  • [Mac OSX]:サービスが [ロード済み(Loaded)] か、[ロードされていない(Not Loaded)] か、[ロード済みで実行している(Loaded and Running)] か、[終了コード付きでロード済み(Loaded with Exit Code)] か、[ロード済みで実行しているまたは終了コードが付いている(Loaded & running or with Exit code)] かどうかをチェックします。

ポスチャ複合条件の設定

次の表に、[複合条件(Compound Conditions)] ウィンドウのフィールドを示します。このウィンドウへのナビゲーションパスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [ポスチャ(Posture)] > [複合条件(Compound Conditions)] です。

表 11. ポスチャ複合条件の設定

フィールド名

使用上のガイドライン

名前(Name)

作成する複合条件の名前を入力します。

説明

作成する複合条件の説明を入力します。

オペレーティング システム

1 つ以上の Windows オペレーティング システムを選択します。これにより、条件が適用される Windows オペレーティング システムを関連付けることができます。

カッコ ( )(Parentheses ( ))

ファイル、レジストリ、アプリケーション、サービス条件という単純な条件タイプから 2 つの単純条件を組み合わせるには、カッコをクリックします。

(&):AND 演算子(AND 演算子には「&」を使用します)

複合条件内には AND 演算子(アンパサンド(&))を使用できます。たとえば、Condition1 & Condition2 と入力します。

(|):OR 演算子(OR 演算子には「|」を使用します)

複合条件内には OR 演算子(縦線「|」)を使用できます。たとえば、Condition1 & Condition2 と入力します。

(!):NOT 演算子(NOT 演算子には「!」を使用します)

複合条件内には NOT 演算子(感嘆符(!))を使用できます。たとえば、Condition1 & Condition2 と入力します。

単純条件

ファイル、レジストリ、アプリケーション、サービス条件という単純条件のリストから選択します。

また、オブジェクト セレクタからファイル、レジストリ、アプリケーション、サービス条件という単純条件を作成できます。

ファイル、レジストリ、アプリケーション、サービス条件という単純条件を作成するには、[操作(Action)] ボタンのクイック ピッカー(下向き矢印)をクリックします。

ウイルス対策条件の設定

次の表では、[ウイルス対策条件(Anti-Virus Condition)] ウィンドウのフィールドについて説明します。このウィンドウへのナビゲーションパスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [ポスチャ(Posture)] > [ウイルス対策条件(Anti-Virus Condition)] です。

表 12. ウイルス対策条件の設定

フィールド名

使用上のガイドライン

名前(Name)

作成するウイルス対策条件の名前を入力します。

説明

作成するウイルス対策条件の説明を入力します。

オペレーティング システム

オペレーティング システムを選択して、クライアント上のアンチウイルス プログラムのインストールをチェックするか、または条件が適用される最新のアンチウイルス定義ファイルの更新をチェックします。

ベンダー

ドロップダウン リストからベンダーを選択します。ベンダーを選択すると、アンチウイルス製品およびバージョンが取得され、[選択したベンダーの製品(Products for Selected Vendor)] テーブルに表示されます。

チェック タイプ(Check Type)

クライアント上でインストールをチェックするか、または最新の定義ファイルの更新をチェックするかを選択します。

インストール

クライアント上のアンチウイルス プログラムのインストールのみをチェックする場合に選択します。

定義(Definition)

クライアント上のアンチウイルス製品の、最新の定義ファイルの更新のみをチェックする場合に選択します。

最新の AV 定義ファイルのバージョンに対してチェックします(使用可能な場合)(Check against latest AV definition file version, if available)

([定義(Definition)] チェック タイプを選択した場合にのみ使用可能)クライアントのアンチウイルス定義ファイルのバージョンをチェックする場合に選択します。Cisco ISE でのポスチャ更新の結果として、最新のアンチウイルス定義ファイルのバージョンを使用できるときには、そのバージョンに対するチェックが行われます。それ以外の場合、このオプションを使用すると、クライアント上の定義ファイルの日付を、Cisco ISE の最新の定義ファイルの日付に対してチェックできます。

ウイルス定義ファイルを(有効)にすることを許可する(Allow virus definition file to be (Enabled))

(定義チェック タイプを選択した場合のみ使用可能)アンチウイルス定義ファイルのバージョンと、クライアント上の最新のアンチウイルス定義ファイルの日付をチェックする場合に選択します。最新の定義ファイルの日付が、製品の最新のアンチウイルス定義ファイルの日付または現在のシステム日付から、次のフィールド([より古い日数(days older than)] フィールド)で定義した日数よりも古いことは許容されません。

オフにした場合、[最新の AV 定義ファイルのバージョンに対してチェックします(使用可能な場合)。(Check against latest AV definition file version, if available.)] オプションを使用してアンチウイルス定義ファイルのバージョンのみをチェックすることができます。

より古い日数(Days Older Than)

クライアント上の最新のアンチウイルス定義ファイルの日付が、製品の最新のアンチウイルス定義ファイルの日付または現在のシステム日付よりも何日古いことが許容されるかを定義します。デフォルト値は 0 です。

最新のファイルの日付(Latest File Date)

[より古い日数(days older than)] クライアント上のアンチウイルス定義ファイルの日付をチェックすることを選択します。この日付は、フィールドで定義した日数だけ古いことが許容されます。

日数をデフォルト値(0)に設定する場合、クライアント上のアンチウイルス定義ファイルの日付が、製品の最新のアンチウイルス定義ファイルの日付よりも古いことは許容されません。

現在のシステム日付(Current System Date)

[より古い日数(days older than)] クライアント上のアンチウイルス定義ファイルの日付をチェックすることを選択します。この日付は、フィールドで定義した日数だけ古いことが許容されます。

日数をデフォルト値(0)に設定する場合、クライアント上のアンチウイルス定義ファイルの日付が、現在のシステム日付よりも古いことは許容されません。

選択したベンダーの製品(Products for Selected Vendor)

テーブルからアンチウイルス製品を選択します。[新しいアンチウイルス条件(New Anti-virus Compound Condition)] ページで選択したベンダーに基づいて、テーブルは、アンチウイルス製品およびバージョン、提供する修復のサポート、最新の定義ファイルの日付とバージョンに関する情報を取得します。

テーブルから製品を選択すると、アンチウイルス プログラムのインストールをチェックしたり、最新のアンチウイルス定義ファイルの日付および最新バージョンをチェックしたりできます。

アンチスパイウェア複合条件の設定

次の表に、[AS複合条件(AS Compound Conditions)] ウィンドウのフィールドを示します。このウィンドウへのナビゲーションパスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [AS複合条件(AS Compound Condition)] です。

表 13. アンチスパイウェア複合条件の設定

フィールド名

使用上のガイドライン

名前(Name)

作成するアンチスパイウェア複合条件の名前を入力します。

説明

作成するアンチスパイウェア複合条件の説明を入力します。

オペレーティング システム(Operating System)

オペレーティング システムを選択すると、クライアント上のアンチスパイウェア プログラムのインストールをチェックするか、または条件が適用される最新のアンチスパイウェア定義ファイルの更新をチェックすることができます。

ベンダー(Vendor)

ドロップダウン リストからベンダーを選択します。ベンダーを選択すると、アンチスパイウェア製品およびバージョンが取得され、[選択したベンダーの製品(Products for Selected Vendor)] テーブルに表示されます。

チェック タイプ(Check Type)

クライアント上でインストールをチェックするか、または最新の定義ファイルの更新をチェックするか、いずれかのタイプを選択します。

インストール

クライアント上のアンチスパイウェア プログラムのインストールのみをチェックする場合に選択します。

定義(Definition)

クライアント上のアンチスパイウェア製品の、最新の定義ファイルの更新のみをチェックする場合に選択します。

ウイルス定義ファイルを(有効)にすることを許可する(Allow Virus Definition File to be (Enabled))

このチェックボックスは、アンチスパイウェア定義チェック タイプを作成するときはオンにし、アンチスパイウェア インストール チェック タイプを作成するときはオフにします。

オンにすると、その選択により、クライアント上のアンチスパイウェア定義ファイルのバージョンおよび最新のアンチスパイウェア定義ファイルの日付をチェックできます。最新の定義ファイルの日付が、現在のシステム日付から、[より古い日数(days older than)] フィールドで定義した日数より古いことは許容されません。

オフの場合、その選択により、[ウイルス定義ファイルを(有効)にすることを許可する(Allow virus definition file to be (Enabled))] チェックボックスがオフのときに、アンチスパイウェア定義ファイルのバージョンのみをチェックすることができます。

より古い日数(Days Older Than)

クライアント上の最新のアンチスパイウェア定義ファイルの日付が、現在のシステム日付よりも何日古いことが許容されるかを定義します。デフォルト値は 0 です。

現在のシステム日付(Current System Date)

[より古い日数(days older than)] クライアント上のアンチスパイウェア定義ファイルの日付をチェックすることを選択します。この日付は、フィールドで定義した日数だけ古いことが許容されます。

日数をデフォルト値(0)に設定する場合、クライアント上のアンチスパイウェア定義ファイルの日付が、現在のシステム日付よりも古いことは許容されません。

選択したベンダーの製品(Products for Selected Vendor)

テーブルからアンチスパイウェア製品を選択します。[新しいアンチスパイウェア複合条件(New Anti-spyware Compound Condition)] ページで選択したベンダーに基づいて、テーブルは、アンチスパイウェア製品およびバージョン、提供する修復のサポート、最新の定義ファイルの日付とバージョンに関する情報を取得します。

テーブルから製品を選択すると、アンチスパイウェア プログラムのインストールをチェックしたり、最新のアンチスパイウェア定義ファイルの日付および最新バージョンをチェックしたりできます。

マルウェア対策条件の設定

マルウェア対策条件はスパイウェア対策条件とウイルス対策条件の組み合わせで、OESIS バージョン 4.x 以降のコンプライアンス モジュールでサポートされています。次の表では、[マルウェア対策条件(Antimalware Conditions)] ウィンドウのフィールドについて説明します。ナビゲーションパスは、[ワークセンター(Work Centers)] > [ポスチャ(Posture)] > [ポスチャ要素(Posture Elements)] > [条件(Conditions)] > [マルウェア対策(Antimalware)] です。また、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [ポスチャ(Posture)] > [マルウェア対策条件(Antimalware Condition)] ウィンドウでもこのオプションにアクセスできます。


(注)  

最新の定義が適用されるようにインストールしたマルウェア対策製品を手動で 1 回以上更新することをお勧めします。更新しないと、マルウェア対策定義の AnyConnect を使用したポスチャ チェックが失敗します。
表 14. マルウェア対策条件の設定

フィールド名

使用上のガイドライン

名前(Name)

マルウェア対策条件の名前を入力します。

説明

マルウェア対策条件の説明を入力します。

コンプライアンス モジュール

OESIS バージョン 4.x 以降のサポート。

オペレーティング システム(Operating System)

オペレーティング システムを選択して、クライアント上のマルウェア対策プログラムのインストールをチェックするか、または条件が適用される最新のマルウェア対策定義ファイルの更新をチェックします。MAC と Windows OS の両方をサポートしています。

ベンダー(Vendor)

ドロップダウン リストからベンダーを選択します。選択したベンダーのマルウェア対策製品、バージョン、最新の定義日、最新の定義バージョン、最小コンプライアンス モジュール バージョンが [選択したベンダーの製品(Products for Selected Vendor)] テーブルに表示されます。

チェック タイプ(Check Type)

クライアント上でインストールをチェックするか、または最新の定義ファイルの更新をチェックするかを選択します。

インストール

クライアント上のマルウェア対策プログラムのインストールのみをチェックする場合に選択します。

定義(Definition)

クライアント上のマルウェア対策製品の、最新の定義ファイルの更新のみをチェックする場合に選択します。

最新の AV 定義ファイルのバージョンに対してチェックします(使用可能な場合)(Check Against Latest AV Definition File Version, if Available)

([定義(Definition)] チェック タイプを選択した場合にのみ使用可能)クライアントのマルウェア対策定義ファイルのバージョンをチェックする場合に選択します。Cisco ISE でのポスチャ更新の結果として、最新のマルウェア対策定義ファイルのバージョンを使用できるときには、そのバージョンに対するチェックが行われます。それ以外の場合、このオプションを使用すると、クライアント上の定義ファイルの日付を、Cisco ISE の最新の定義ファイルの日付に対してチェックできます。

このチェックは、選択した製品の [最新の定義日(Latest Definition Date)] または [最新の定義バージョン(Latest Definition Version)] フィールドの Cisco ISE に値が記載されている場合にのみ機能します。そうでない場合は、[現在のシステム日付(Current System Date)] フィールドを使用する必要があります。

ウイルス定義ファイルを(有効)にすることを許可する(Allow Virus Definition File to be (Enabled))

(定義チェック タイプを選択した場合のみ使用可能)マルウェア対策定義ファイルのバージョンと、クライアント上の最新のマルウェア対策定義ファイルの日付をチェックする場合に選択します。最新の定義ファイルの日付が、製品の最新のマルウェア対策定義ファイルの日付または現在のシステム日付から、次のフィールド([より古い日数(days older than)] フィールド)で定義した日数よりも古いことは許容されません。

オフにした場合、[最新の AV 定義ファイルのバージョンに対してチェックします(使用可能な場合)。(Check against latest AV definition file version, if available.)] オプションを使用してマルウェア対策定義ファイルのバージョンのみをチェックすることができます。

より古い日数(Days Older Than)

クライアント上の最新のマルウェア対策定義ファイルの日付が、製品の最新のマルウェア対策定義ファイルの日付または現在のシステム日付よりも何日古いことが許容されるかを定義します。デフォルト値は 0 です。

最新のファイルの日付(Latest File Date)

クライアント上のマルウェア対策定義ファイルの日付をチェックすることを選択します。この日付は、[より古い日数(days older than)] フィールドで定義した日数だけ古いことが許容されます。

日数をデフォルト値(0)に設定する場合、クライアント上のマルウェア対策定義ファイルの日付が、製品の最新のマルウェア対策定義ファイルの日付よりも古いことは許容されません。

このチェックは、選択した製品の [最新の定義日(Latest Definition Date)] フィールドの Cisco ISE に値が記載されている場合にのみ機能します。そうでない場合は、[現在のシステム日付(Current System Date)] フィールドを使用する必要があります。

現在のシステム日付(Current System Date)

クライアント上のマルウェア対策定義ファイルの日付をチェックすることを選択します。この日付は、[より古い日数(days older than)] フィールドで定義した日数だけ古いことが許容されます。

日数をデフォルト値(0)に設定する場合、クライアント上のマルウェア対策定義ファイルの日付が、現在のシステム日付よりも古いことは許容されません。

選択したベンダーの製品(Products for Selected Vendor)

テーブルからマルウェア対策製品を選択します。[新しいマルウェア対策条件(New Antimalware Condition)] ページで選択したベンダーに基づいて、テーブルは、マルウェア対策製品およびバージョン、提供する修復のサポート、最新の定義ファイルの日付とバージョンに関する情報を取得します。

テーブルから製品を選択すると、マルウェア対策プログラムのインストールをチェックしたり、最新のマルウェア対策定義ファイルの日付および最新バージョンをチェックしたりできます。

ディクショナリ単純条件の設定

次の表に、[ディクショナリ単純条件(Dictionary Simple Conditions)] ウィンドウのフィールドを示します。このウィンドウへのナビゲーションパスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [ポスチャ(Posture)] > [ディクショナリ単純条件(Dictionary Simple Conditions)] です。

表 15. ディクショナリ単純条件の設定

フィールド名

使用上のガイドライン

[名前(Name)]

作成するディクショナリ単純条件の名前を入力します。

説明

作成するディクショナリ単純条件の説明を入力します。

属性(Attribute)

ディクショナリから属性を選択します。

演算子

選択した属性に値を関連付ける演算子を選択します。

ディクショナリ属性に関連付ける値を入力するか、またはドロップダウン リストから事前定義済みの値を選択します。

ディクショナリ複合条件の設定

次の表に、[ディクショナリ複合条件(Dictionary Compound Conditions)] ウィンドウのフィールドを示します。このウィンドウへのナビゲーションパスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [ポスチャ(Posture)] > [ディクショナリ複合条件(Dictionary Compound Conditions)] です。

表 16. ディクショナリ複合条件の設定

フィールド名

使用上のガイドライン

[名前(Name)]

作成するディクショナリ複合条件の名前を入力します。

説明

作成するディクショナリ複合条件の説明を入力します。

既存の条件をライブラリから選択(Select Existing Condition from Library)

ポリシー要素ライブラリから事前定義済みの条件を選択して式を定義するか、または後のステップでアドホック属性/値のペアを式に追加します。

条件名(Condition Name)

ポリシー要素ライブラリからすでに作成しているディクショナリ単純条件を選択します。

式(Expression)

[条件名(Condition Name)] ドロップダウン リストでの選択に基づいて式が更新されます。

AND または OR 演算子(AND or OR operator)

ライブラリから追加できるディクショナリ単純条件を論理的に組み合わせるには、AND または OR 演算子を選択します。

次の操作を行うには、[操作(Action)] アイコンをクリックします。

  • 属性/値の追加(Add Attribute/Value)

  • ライブラリから条件を追加(Add Condition from Library)

  • 削除(Delete)

新しい条件の作成(高度なオプション)(Create New Condition (Advance Option))

さまざまなシステム ディクショナリまたはユーザ定義ディクショナリから属性を選択します。

後のステップで事前定義された条件をポリシー要素ライブラリから追加することもできます。

条件名(Condition Name)

すでに作成したディクショナリ単純条件を選択します。

式(Expression)

[式(Expression)] ドロップダウン リストから、ディクショナリ単純条件を作成できます。

演算子

属性に値を関連付ける演算子を選択します。

ディクショナリ属性に関連付ける値を入力するか、またはドロップダウン リストから値を選択します。

パッチ管理条件の設定

次の表に、[パッチ管理条件(Patch Management Conditions)] ウィンドウのフィールドを示します。ナビゲーションパスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [ポスチャ(Posture)] > [パッチ管理条件(Patch Management Conditions)] です。

表 17. パッチ管理条件

フィールド名

使用上のガイドライン

名前(Name)

パッチ管理条件の名前を入力します。

説明

パッチ管理条件の説明を入力します。

オペレーティング システム

オペレーティング システムを選択して、エンドポイント上のパッチ管理ソフトウェアのインストールをチェックするか、または条件が適用される最新のパッチ管理定義ファイルの更新をチェックします。Windows OS または Mac OSX を選択できます。また、パッチ管理条件を作成する複数のオペレーティング システムのバージョンを選択することもできます。

ベンダー名(Vendor Name)

ドロップダウン リストからベンダー名を選択します。ベンダーのパッチ管理製品とそれらのサポート対象バージョン、チェック タイプ、および最小対応モジュールのサポートが取得され、[選択したベンダーの製品(Products for Selected Vendor)] テーブルに表示されます。テーブル内のリストは、選択したオペレーティング システムによって変わります。

チェック タイプ(Check Type)

次のオプションのいずれかを選択します。

  • [インストール(Installation)]:選択した製品がエンドポイントにインストールされているかどうかを確認します。 このチェック タイプは、すべてのベンダーでサポートされています。

    (注)   
    Cisco Temporal Agent の場合は、[要件(Requirements)] ページで [インストール(Installation)] チェック タイプを含むパッチ管理条件のみを表示できます。

  • [有効(Enabled)]:選択した製品がエンドポイントで有効かどうかを確認します。 ベンダーの製品が選択したチェック タイプをサポートしているかどうかを [選択したベンダーの製品(Products for Selected Vendor)] リストを参照することで確認します。

  • [最新(Up to Date)]:選択した製品に欠けているパッチがないかどうかを確認します。ベンダーの製品が選択したチェック タイプをサポートしているかどうかを [選択したベンダーの製品(Products for Selected Vendor)] リストを参照することで確認します。

[ベンダー名(Vendor Name)] で指定したベンダーがサポートする製品のリストを表示するには、[選択したベンダーの製品(Products for Selected Vendor)] ドロップダウン矢印をクリックします。たとえば、製品 1 と 製品 2 の 2 つの製品を持つベンダー A を選択したとします。製品 1 は [有効(Enabled)] オプションをサポートしているが、製品 2 はサポートしていない場合があります。または、製品 1 がチェック タイプのいずれもサポートしていない場合は、グレー表示されます。

(注)   
(Cisco ISE 2.3 以降および AnyConnect 4.5 以上に適用されます)SCCM のパッチ管理条件で [最新(Up to Date)] チェック タイプを選択すると、Cisco ISE は次の動作を行います

  1. Microsoft API を使用して、指定された重大度レベルの現在のセキュリティ パッチを確認します。

  2. その欠落しているセキュリティ パッチに対するパッチ管理修復をトリガーします。

インストール済みパッチの確認(Check Patches Installed)

 ([最新(Up To Date)] チェック タイプを選択している場合にのみ使用可能。)欠落しているパッチの重大度レベルを設定し、重大度に基づいて展開することができます。次の重大度レベルのいずれかを選択します。

  • [クリティカルのみ(Critical Only)]:クリティカルなソフトウェアパッチが展開内のエンドポイントにインストールされているかどうかを確認します。

  • [重要およびクリティカル(Important and Critical)]:重要かつクリティカルなソフトウェアパッチが展開内のエンドポイントにインストールされているかどうかを確認します。

  • [中程度、重要およびクリティカル(Moderate, Important, & Critical)]:中程度、重要およびクリティカルなソフトウェアパッチが展開内のエンドポイントにインストールされているかどうかを確認します。

  • [低程度からクリティカルまで(Low To Critical)]:低程度、中程度、重要、およびクリティカルなソフトウェアパッチが展開内のエンドポイントにインストールされているかどうかを確認します。

  • [すべて(All)]:すべての重大度レベルの欠落しているパッチをインストールします。

ディスク暗号化条件の設定

次の表では、[ディスク暗号化条件(Disk Encryption Condition)] ウィンドウのフィールドについて説明します。ナビゲーションパスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [ポスチャ(Posture)] > [ディスク暗号化条件(Disk Encryption Condition)] です。

表 18. ディスク暗号化条件の設定

フィールド名

使用上のガイドライン

名前(Name)

作成するディスク暗号化条件の名前を入力します。

説明

ディスク暗号化条件の説明を入力します。

オペレーティング システム

ディスクを暗号化のためにチェックするエンドポイントのオペレーティング システムを選択します。Windows OS または Mac OSX を選択できます。また、ディスク暗号化条件を作成するための複数のバージョンのオペレーティング システムを選択することもできます。

ベンダー名(Vendor Name)

ドロップダウン リストからベンダー名を選択します。ベンダーのデータ暗号化製品およびそれらのサポート対象バージョン、暗号化状態チェック、および最小対応モジュール サポートが取得され、[選択したベンダーの製品(Products for Selected Vendor)] テーブルに表示されますテーブル内のリストは、選択したオペレーティング システムによって変わります。

[所在地(Location)]

オプションが [選択したベンダーの製品(Products for Selected Vendor)] セクションでオンになっている場合にのみ有効です。次のオプションのいずれかを選択します。

  • [特定のロケーション(Specific Location)]:指定したディスクドライブがエンドポイントで暗号化されているか(たとえば Windows OS の場合は C:)、または指定したボリュームラベルが暗号化されているか(たとえば、Mac OSX の場合は Mackintosh HD)を確認します。

  • [システムロケーション(System Location)]:デフォルトの Windows OS のシステムドライブまたは Mac OSX のハードドライブがエンドポイントで暗号化されているかを確認します。

  • [すべての内部ドライブ(All Internal Drives)]:内部のドライブを確認します。マウントおよび暗号化されたすべてのハードディスクと、すべての内部パーティションが含まれます。読み取りのみのドライブ、システム リカバリ ディスク/パーティション、ブート パーティション、ネットワーク パーティション、およびエンドポイント外のさまざまな物理ディスク ドライブ(USB およびサンダーボルトを介して接続されたディスク ドライブを含むがこれに限定されない)は除外されます。検証済みの暗号化ソフトウェア製品には次のものがあります。

    • Bit-locker-6.x/10.x

    • Windows 7 上の Checkpoint 80.x

暗号化状態(Encryption State)

[暗号化状態(Encryption State)] チェックボックスは、選択した製品が暗号化状態チェックをサポートしていない場合はディセーブルになっています。リピータは、チェックボックスがオンになっている場合のみ表示されます。[完全に暗号化済み(Fully Encrypted)] オプションを選択して、クライアントのディスク ドライブが完全に暗号化されているかどうかを確認できます。

たとえば TrendMicro に対し条件を作成し、2 つのベンダー(一方のベンダーの [暗号化状態(Encryption State)] は「はい(Yes)」でもう一方の [暗号化状態(Encryption State)] は「いいえ(No)」)を選択した場合、ベンダーの暗号化状態の一方が「いいえ(No)」になっているので [暗号化状態(Encryption State)] はディセーブルになります。

(注)   

リピータをクリックすることで追加のロケーションを追加でき、各ロケーション間の関係は論理 AND 演算子です。

USB 条件の設定

次の表では、[USB条件(USB Condition)] ウィンドウのフィールドについて説明します。ナビゲーションパスは、[ワークセンター(Work Centers)] > [ポスチャ(Posture)] > [ポリシー要素(Policy Elements)] > [USB] です。また、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [ポスチャ(Posture)] > [USB条件(USB Condition)] ウィンドウに移動することもできます。

USB チェックは事前定義された条件で、Windows OS のみをサポートしています。

表 19. USB 条件の設定

フィールド名

使用上のガイドライン

名前(Name)

USB_Check

説明

シスコの事前定義チェック

オペレーティング システム

Windows

コンプライアンス モジュール

バージョン 4.x 以降向けの、ISE のポスチャ準拠モジュールの表示専用フィールドのサポート。

ハードウェア属性条件の設定

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [ハードウェア属性条件(Hardware Attributes Condition)] を選択して、[ハードウェア属性条件(Hardware Attributes Condition)] ウィンドウにアクセスします。次の表では、[ハードウェア属性条件(Hardware Attributes Condition)] ウィンドウのフィールドについて説明します。

フィールド名

使用上のガイドライン

名前(Name)

Hardware_Attributes_Check:条件に割り当てられたデフォルトの名前。

説明

クライアントからハードウェア属性を収集するシスコの事前定義済みチェック。

オペレーティング システム

Windows すべてまたは Mac OS

コンプライアンス モジュール

4.x 以降

ポスチャ外部データソース条件

エンドポイント UDID と外部データソースが一致する条件を設定できます。現在、Active Directory のみがサポートされています。ポスチャ エージェントで必要な、UDID を Active Directory に送信するスクリプトは、ISE に含まれていません。

時刻と日付の条件の設定

次の表では、[時刻と日付の条件(Time and Date Conditions)] ウィンドウのフィールドについて説明します。このウィンドウへのナビゲーションパスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [共通(Common)] > [時刻と日付(Time and Date)] です。

表 20. 時刻と日付の条件の設定

フィールド名

使用上のガイドライン

条件名(Condition Name)

時刻と日付の条件の名前を入力します。

説明

時刻と日付の条件の説明を入力します。

標準設定(Standard Settings)

終日(All Day)

(デフォルト)全日用に設定します。

特定の時間(Specific Hours)

時間、分、および AM/PM を設定して、時間範囲を設定します。

毎日(Every Day)

(デフォルト)毎日用に設定します。

特定の曜日(Specific Days)

1 つ以上の特定の曜日を設定します。

開始日と終了日なし(No Start and End Dates)

(デフォルト)開始または終了日なしで設定します。

特定の日付範囲(Specific Date Range)

月、日、および年を設定して日付範囲を設定します。

特定の日付(Specific Date)

特定の月、日、年を設定します。

例外(Exceptions)

時間範囲(Time Range)

時間、分、および AM/PM を設定して、時間範囲を設定します。

曜日(Week Days)

1 つ以上の特定の曜日を設定します。

日付の範囲(Date Range)

次の 2 つのいずれかのオプションを選択します。

  • [特定の日付範囲(Specific Date Range)]:月、日、および年で特定の日付範囲を設定するために使用できるドロップダウンリストが提供されます。

  • [特定の日付(Specific Date)]:特定の月、日、および年を設定するために使用できるドロップダウンリストが提供されます。

結果

ここでは、Cisco ISE サービスの要件について説明します。

許可されるプロトコル

次の表に、認証中に使用するプロトコルを設定できるようにする [許可されるプロトコル(Allowed Protocols)] ウィンドウのフィールドを示します。ナビゲーションパスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [認証(Authentication)] > [許可されるプロトコル(Allowed Protocols)] です。

表 21. 許可されるプロトコル

フィールド名

使用上のガイドライン

[許可されているプロトコル(Allowed Protocols)] > [認証バイパス(Authentication Bypass)]

ホスト ルックアップの処理(Process Host Lookup)

Cisco ISE がホスト ルックアップ要求を処理できるようにするには、このチェックボックスをオンにします。ホスト ルックアップ要求は、RADIUS Service-Type が 10(Call-Check)に等しく、ユーザ名が Calling-Station-ID に等しい場合は PAP/CHAP プロトコルに対して処理されます。ホスト ルックアップ要求は、Service-Type が 1(Framed)に等しく、ユーザ名が Calling-Station-ID に等しい場合は EAP-MD5 プロトコルに対して処理されます。Cisco ISE でホスト ルックアップ要求を無視し、認証にシステム ユーザ名属性の元の値を使用するには、このチェックボックスをオフにします。オフにすると、メッセージ処理はプロトコル(たとえば PAP)に従って行われます。

(注)   

このオプションを無効にすると、既存の MAB 認証で障害が発生する可能性があります。

[許可されているプロトコル(Allowed Protocols)] > [認証プロトコル(Authentication Protocols)]

PAP/ASCII を許可(Allow PAP/ASCII)

このオプションによって、PAP/ASCII が有効になります。PAP は、平文パスワード(つまり暗号化されていないパスワード)を使用する最も安全性の低い認証プロトコルです。

CHAP を許可(Allow CHAP)

このオプションによって、CHAP 認証が有効になります。CHAP は、パスワードの暗号化とともにチャレンジ/レスポンス方式を使用します。CHAP は、Microsoft Active Directory では使用できません。

MS-CHAPv1 を許可(Allow MS-CHAPv1)

MS-CHAPv1 を有効にするには、このチェックボックスをオンにします。

MS-CHAPv2 を許可(Allow MS-CHAPv2)

MS-CHAPv2 を有効にするには、このチェックボックスをオンにします。

EAP-MD5 を許可(Allow EAP-MD5)

EAP ベースの MD5 パスワード ハッシュ認証を有効にするには、このチェックボックスをオンにします。

EAP-TLS を許可(Allow EAP-TLS)

EAP-TLS 認証プロトコルを有効にする場合、および EAP-TLS 設定値を設定する場合は、このチェックボックスをオンにします。エンドユーザ クライアントからの EAP Identity 応答で提示されたユーザ ID を Cisco ISE が確認する方法を指定できます。ユーザ ID は、エンドユーザ クライアントによって提示された証明書の情報に照らして確認されます。この比較は、Cisco ISE とエンドユーザ クライアントとの間に EAP-TLS トンネルが確立された後に行われます。

(注)   

EAP-TLS は、証明書ベースの認証プロトコルです。EAP-TLS 認証が行われるのは、証明書の設定に必要な手順を完了した場合に限られます。

  • [期限切れ証明書の認証を許可して、許可ポリシーの証明書の更新を許可する(Allow authentication of expired certificates to allow certificate renewal in Authorization Policy)]:ユーザが証明書を更新できるようにする場合は、このチェックボックスをオンにします。このチェックボックスをオンにすると、要求をさらに処理する前に証明書が更新されたかどうかをチェックするように適切な許可ポリシー ルールを設定します。

  • [ステートレスセッション再開を有効にする(Enable Stateless Session Resume)]:セッション状態をサーバに保存する必要なしで EAP-TLS セッションを再開できるようにするには、このチェックボックスをオンにします。Cisco ISE では RFC 5077 で記述されているセッション チケット拡張もサポートされます。Cisco ISE はチケットを作成して EAP-TLS クライアントにそのチケットを送信します。クライアントはセッションを再開するためにそのチケットを ISE に提示します。

  • [プロアクティブセッションチケット更新(Proactive Session Ticket update)]:セッションチケットが更新される前に経過する必要がある存続可能時間(TTL)の量を示すパーセント値を入力します。たとえば、値に 60 を入力すると、セッション チケットは TTL の 60 パーセントが経過した後で更新されます。

  • [セッションチケットの存続時間(Session ticket Time to Live)]:セッションチケットが期限切れになるまでの時間を入力します。この値は、セッション チケットがアクティブである期間を決定します。この値は秒、分、時、日数、または週数で入力できます。

LEAP を許可(Allow LEAP)

Lightweight Extensible Authentication Protocol(LEAP)認証を有効にするには、このチェックボックスをオンにします。

PEAP を許可(Allow PEAP)

PEAP 認証プロトコルおよび PEAP 設定値を有効にする場合は、このチェックボックスをオンにします。デフォルトの内部方式は、MS-CHAPv2 です。

[PEAP を許可(Allow PEAP)] チェックボックスをオンにすると、次の PEAP 内部方式を設定できます。

  • [EAP-MS-CHAPv2を許可(Allow EAP-MS-CHAPv2)]:内部方式として EAP-MS-CHAPv2 を使用する場合は、このチェックボックスをオンにします。

    • [パスワード変更の許可(Allow Password Change)]:Cisco ISE でパスワード変更をサポートする場合は、このチェックボックスをオンにします。

    • [再試行(Retry Attempts)]:Cisco ISE でログイン失敗を返す前にユーザクレデンシャルを要求する回数を指定します。有効な値は 0 ~ 3 です。

  • [EAP-GTCを許可(Allow EAP-GTC)]:内部方式として EAP-GTC を使用する場合は、このチェックボックスをオンにします。

    • [パスワード変更の許可(Allow Password Change)]:Cisco ISE でパスワード変更をサポートする場合は、このチェックボックスをオンにします。

    • [再試行(Retry Attempts)]:Cisco ISE でログイン失敗を返す前にユーザクレデンシャルを要求する回数を指定します。有効範囲は 0 ~ 3 です。

  • [EAP-TLSを許可(Allow EAP-TLS)]:内部方式として EAP-TLS を使用する場合は、このチェックボックスをオンにします。

    ユーザによる証明書の更新を許可する場合は、[期限切れ証明書の認証を許可して、許可ポリシーの証明書の更新を許可する(Allow authentication of expired certificates to allow certificate renewal in Authorization Policy)] チェックボックスをオンにします。このチェックボックスをオンにすると、要求をさらに処理する前に証明書が更新されたかどうかをチェックするように適切な許可ポリシー ルールを設定します。

  • [暗号化バインドTLVを要求(Require cryptobinding TLV)]:EAP ピアと EAP サーバの両方が PEAP 認証の内部および外部 EAP 認証に参加する場合、このチェックボックスをオンにします。

  • [レガシークライアントにのみPEAPv0を許可(Allow PEAPv0 only for legacy clients)]:PEAP サプリカントが PEAPv0 を使用してネゴシエーションできるようにするには、このチェックボックスをオンにします。一部のレガシー クライアントは PEAPv1 プロトコル規格に準拠しません。そのような PEAP カンバセーションがドロップされないようにするには、このチェックボックスをオンにします。

EAP-FAST を許可(Allow EAP-FAST)

EAP-FAST 認証プロトコルおよび EAP-FAST 設定を有効にする場合は、このチェックボックスをオンにします。EAP-FAST プロトコルは、同じサーバ上の複数の内部プロトコルをサポートできます。デフォルトの内部方式は、MS-CHAPv2 です。

[EAP-FAST を許可(Allow EAP-FAST)] チェックボックスをオンにすると、EAP-FAST を内部方式として設定できます。

  • EAP-MS-CHAPv2 を許可(Allow EAP-MS-CHAPv2)

    • [パスワード変更の許可(Allow Password Change)]:Cisco ISE でパスワード変更をサポートする場合は、このチェックボックスをオンにします。

    • [再試行(Retry Attempts)]:Cisco ISE でログイン失敗を返す前にユーザクレデンシャルを要求する回数を指定します。有効な値は 0 ~ 3 です。

  • EAP-GTC を許可(Allow EAP-GTC)

    [パスワード変更の許可(Allow Password Change)]:Cisco ISE でパスワード変更をサポートする場合は、このチェックボックスをオンにします。

    [再試行(Retry Attempts)]:Cisco ISE でログイン失敗を返す前にユーザクレデンシャルを要求する回数を指定します。有効な値は 0 ~ 3 です。

  • [PACの使用(Use PACs)]:EAP-FAST クライアントに認可 Protected Access Credentials(PAC)をプロビジョニングするように Cisco ISE を設定する場合にこのオプションを選択します。追加の PAC オプションが表示されます。

  • [PACを使用しない(Don’t use PACs)]:トンネルまたはマシン PAC を発行したり受け入れたりしないで EAP-FAST を使用するように Cisco ISE を設定する場合にこのオプションを選択します。PAC のすべての要求は無視され、Cisco ISE は PAC を含まない Success-TLV で応答します。

    このオプションを選択すると、マシン認証を実行するように Cisco ISE を設定できます。

  • [EAP-TLSを許可(Allow EAP-TLS)]:内部方式として EAP-TLS を使用する場合は、このチェックボックスをオンにします。

    ユーザによる証明書の更新を許可する場合は、[期限切れ証明書の認証を許可して、許可ポリシーの証明書の更新を許可する(Allow authentication of expired certificates to allow certificate renewal in Authorization Policy)] チェックボックスをオンにします。このチェックボックスをオンにすると、要求をさらに処理する前に証明書が更新されたかどうかをチェックするように適切な許可ポリシー ルールを設定します。

  • [EAPチェーンを有効化(Enable EAP Chaining)]:EAP チェーンを有効にするには、このチェックボックスをオンにします。

    EAP チェーンによって、Cisco ISE はユーザ認証とマシン認証の結果を関連付け、EAPChainingResult 属性を使用して適切な許可ポリシーを適用することができます。

    EAP チェーンには、クライアント デバイスで EAP チェーンをサポートするサプリカントが必要です。サプリカントで [ユーザ認証およびマシン認証(User and Machine Authentication)] オプションを選択します。

    EAP チェーンは、EAP-FAST プロトコル(PAC ベース モードおよび PAC レス モードの両方)を選択するときに使用できます。

    PAC ベースの認証では、ユーザ認可 PAC またはマシン認可 PAC のいずれかを使用するか、両方を使用して内部方式をスキップすることができます。

    証明書ベースの認証では、(許可されるプロトコル サービスの)EAP-FAST プロトコルに対して [プロビジョニングの受信クライアント証明書(Accept Client Certificate for Provisioning)] オプションが有効な場合、およびエンドポイント(AnyConnect)がトンネル内のユーザ証明書を送信するように設定されている場合、トンネルの確立中に、ISE が証明書を使用してユーザを認証し(内部方式はスキップされます)、マシン認証は内部方式によって実行されます。これらのオプションが設定されていない場合、EAP-TLS が内部方式としてユーザ認証に使用されます。

    EAP チェーンを有効にした後、許可ポリシーを更新し、NetworkAccess:EapChainingResult 属性を使用して条件を追加し、適切な権限を割り当てます。

EAP-TTLSを許可(Allow EAP-TTLS)

EAP-TTLS プロトコルを有効にする場合に、このチェックボックスをオンにします。

次の内部方式を設定できます。

  • [PAP/ASCIIを許可(Allow PAP/ASCII)]:内部方式として PAP/ASCII を使用する場合は、このチェックボックスをオンにします。EAP-TTLS PAP は、トークンおよび OTP ベースの認証で使用できます。

  • [CHAPを許可(Allow CHAP)]:内部方式として CHAP を使用する場合は、このチェックボックスをオンにします。CHAP は、パスワードの暗号化とともにチャレンジ/レスポンス方式を使用します。CHAP は、Microsoft Active Directory では使用できません。

  • [MS-CHAPv1を許可(Allow MS-CHAPv1)]:内部方式として MS-CHAPv1 を使用する場合は、このチェックボックスをオンにします。

  • [MS-CHAPv2を許可(Allow MS-CHAPv2)]:内部方式として MS-CHAPv2 を使用する場合は、このチェックボックスをオンにします。

  • [EAP-MD5を許可(Allow EAP-MD5)]:内部方式として EAP-MD5 を使用する場合は、このチェックボックスをオンにします。

  • [EAP-MS-CHAPv2を許可(Allow EAP-MS-CHAPv2)]:内部方式として EAP-MS-CHAPv2 を使用する場合は、このチェックボックスをオンにします。

    • [パスワード変更の許可(Allow Password Change)]:Cisco ISE でパスワード変更をサポートする場合は、このチェックボックスをオンにします。

    • [再試行(Retry Attempts)]:Cisco ISE でログイン失敗を返す前にユーザクレデンシャルを要求する回数を指定します。有効な値は 0 ~ 3 です。

優先 EAP プロトコル(Preferred EAP protocol)

EAP-FAST、PEAP、LEAP、EAP-TLS、EAP-TTLS、および EAP-MD5 から任意の優先 EAP プロトコルを選択するには、このチェックボックスをオンにします。優先プロトコルを指定しない場合、EAP-TLS がデフォルトで使用されます。

EAP-TLS L ビット(EAP-TLS L-bit)

デフォルトで、ISE からの TLS Change Cipher Spec メッセージと暗号化ハンドシェイクメッセージの長さの含まれるフラグ(L ビットフラグ)を予測するレガシー EAP サプリカントをサポートするには、このチェックボックスをオンにします。

EAP の脆弱な暗号の許可(Allow Weak Ciphers for EAP)

このオプションを有効にすると、レガシー クライアントが脆弱な暗号(RSA_RC4_128_SHA、RSA_RC4_128_MD5 など)を使用してネゴシエートすることができます。レガシー クライアントが脆弱な暗号化だけをサポートしている場合に限り、このオプションを有効にすることを推奨します。

このオプションはデフォルトでは無効になっています。

(注)   

Cisco ISE は、EDH_RSA_DES_64_CBC_SHA および EDH_DSS_DES_64_CBC_SHA をサポートしていません。

すべての RADIUS 要求にメッセージ オーセンティケータが必要(Require Message Authenticator for all RADIUS Requests)

このオプションを有効にすると、Cisco ISE は、RADIUS メッセージ オーセンティケータ属性が RADIUS メッセージがあるかどうかを検証します。メッセージ オーセンティケータ属性がない場合、RADIUS メッセージは破棄されます。

このオプションを有効にすると、スプーフィングされたアクセス要求メッセージおよび RADIUS メッセージの改ざんに対する保護が提供されます。

RADIUS メッセージ オーセンティケータ属性は、RADIUS メッセージ全体の Message Digest 5(MD5)ハッシュです。

(注)   

EAP はメッセージ オーセンティケータ属性をデフォルトで使用するので、これを有効にする必要はありません。

PAC オプション

次の表では、[許可されるプロトコルサービスリスト(Allowed Protocols Services List)] ウィンドウで [PACを使用(Use PAC)] を選択した後のフィールドについて説明します。このウィンドウへのナビゲーションパスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [認証(Authentication)] > [許可されるプロトコル(Allowed Protocols)] です。

表 22. PAC オプション

フィールド名

使用上のガイドライン

PAC を使用(Use PAC)

  • [トンネルPACの存続可能時間(Tunnel PAC Time To Live)]:存続可能時間(TTL)の値によって PAC のライフタイムが制限されます。ライフタイム値と単位を指定します。デフォルトは 90 日です。範囲は 1 ~ 1825 日です。

  • [プロアクティブPAC更新の条件:<n%>のPAC TTLが残っている場合(Proactive PAC Update When: <n%> of PAC TTL is Left)]:Update 値により、クライアントに有効な PAC が保持されます。Cisco ISE は、最初に認証が成功してから TTL によって設定された有効期限までに更新を開始します。update 値は、TTL の残り時間のパーセンテージです。デフォルトは 90% です。

  • [匿名インバンドPACプロビジョニングを許可(Allow Anonymous In-band PAC Provisioning)]:Cisco ISE でクライアントとのセキュアな匿名 TLS ハンドシェイクを確立し、クライアントに PAC をプロビジョニングする場合にこのチェックボックスをオンにします。その際、EAP-FAST のフェーズ 0 と EAP-MSCHAPv2 が使用されます。匿名 PAC プロビジョニングを有効にするには、内部方式として EAP-MSCHAPv2 と EAP-GTC の両方を選択する必要があります。

  • [認証付きインバンドPACプロビジョニングを許可(Allow Authenticated In-band PAC Provisioning)]:Cisco ISE は SSL サーバ側の認証を使用して、EAP-FAST のフェーズ 0 中にクライアントに PAC をプロビジョニングします。このオプションは匿名プロビジョニングよりもセキュアですが、サーバ証明書および信頼できるルート CA が Cisco ISE にインストールされている必要があります。

    このオプションをオンにすると、認証された PAC プロビジョニングの成功後に Access-Accept メッセージをクライアントに返すように Cisco ISE を設定できます。

    • [認証されたプロビジョニングの後にサーバからAccess-Acceptを返す(Server Returns Access Accept After Authenticated Provisioning)]:認証された PAC プロビジョニングの後に Cisco ISE から access-accept パッケージを返す場合にこのチェックボックスをオンにします。

  • [マシン認証を許可(Allow Machine Authentication)]:Cisco ISE でエンドユーザクライアントにマシン PAC をプロビジョニングし、(マシンクレデンシャルを持たないエンドユーザクライアントに対して)マシン認証を実行する場合にこのチェックボックスをオンにします。マシン PAC は、要求(インバンド)によって、または管理者(アウトオブバンド)によって、クライアントにプロビジョニングできます。Cisco ISE がエンドユーザ クライアントから有効なマシン PAC を受信すると、その PAC からマシン ID の詳細が抽出され、Cisco ISE 外部 ID ソースで確認されます。マシン認証の外部 ID ソースとして Cisco ISE によってサポートされるのは、Active Directory だけです。その詳細が正しいことが確認されると、その後の認証は実行されません。

    このオプションをオンにすると、マシン PAC を使用するために受け入れることができる期間の値を入力できます。Cisco ISE は、期限切れのマシン PAC を受け取ると、(エンドユーザ クライアントからの新規マシン PAC 要求を待たずに)エンドユーザ クライアントに新規マシン PAC を自動的に再プロビジョニングします。

  • [ステートレスセッション再開の有効化(Enable Stateless Session Resume)]:Cisco ISE で EAP-FAST クライアントに認可 PAC をプロビジョニングし、EAP-FAST のフェーズ 2 をスキップする場合にこのチェックボックスをオンにします(デフォルトはオン)。

    このチェックボックスは次の場合にオフにします。

    • Cisco ISE が EAP-FAST クライアントに認可 PAC をプロビジョニングしないようにする場合

    • EAP-FAST のフェーズ 2 を常に実行する場合

      このオプションをオンにすると、ユーザ認可 PAC の認可期間を入力できます。この期間の終了後、PAC は期限切れになります。Cisco ISE は期限切れの認可 PAC を受信すると、EAP-FAST 認証のフェーズ 2 を実行します。

許可プロファイルの設定

[許可プロファイル(Authorization Profiles)] ウィンドウの次のフィールドで、ネットワークアクセスの属性を定義します。このウィンドウへのナビゲーションパスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [許可(Authorization)] > [許可プロファイル(Authorization Profiles)] です。

許可プロファイルの設定

  • [名前(Name)]:この新しい認証プロファイルの名前を入力します。

  • [説明(Description)]:許可プロファイルの説明を入力します。

  • [アクセスタイプ(Access Type)]:アクセスタイプ([ACCESS_ACCEPT] または [ACCESS_REJECT])を選択します。

  • [サービステンプレート(Service Template)]:SAnet 対応デバイスとのセッションをサポートするには、このオプションを有効にします。Cisco ISE は、許可プロファイルを「サービステンプレート」互換としてマークする特別なフラグを使用して、許可プロファイルにサービステンプレートを実装します。サービステンプレートは許可プロファイルでもあるため、SAnet デバイスと非 SAnet デバイスの両方をサポートする単一のポリシーとして機能します。

  • [移動の追跡(Track Movement)]:Cisco Mobility Services Engine(MSE)を使用してユーザの場所を追跡するには、このオプションを有効にします。


    (注)  

    このオプションは、Cisco ISE のパフォーマンスに影響を与える可能性があります。これは、セキュリティレベルの高い場所を対象としています。

  • [Passive Identityトラッキング(Passive Identity Tracking)]:ポリシーの適用とユーザトラッキングのために Passive Identity の Easy Connect 機能を使用するには、このオプションを有効にします。

一般的なタスク

一般的なタスクは、ネットワークアクセスに適用される特定の権限とアクションです。

  • [DACL名(DACL Name)]:ダウンロード可能な ACL を使用するには、このオプションを有効にします。デフォルト値(PERMIT_ALL_IPV4_TRAFFIC PERMIT_ALL_IPV6_TRAFFIC DENY_ALL_IPV4_TRAFFICDENY_ALL_IPV6_TRAFFIC)を使用するか、次のディクショナリから属性を選択することができます。

    • 外部 ID ストア(属性)(External identity store (attributes))

    • エンドポイント

    • 内部ユーザ

    • 内部エンドポイント

    DACL の追加、または既存の DACL の編集および管理の詳細については、ダウンロード可能 ACLを参照してください。

  • [ACL(フィルタID)(ACL(Filter-ID))]:RADIUS フィルタ ID 属性を設定するには、このオプションを有効にします。フィルタ ID は、NAD の ACL を指定します。フィルタ ID を定義すると、Cisco ISE はファイル名に「.in」を追加します。フィルタ ID は [属性の詳細(Attributes Details)] ペインに表示されます。[ACL IPv6(フィルタID)(ACL IPv6(Filter-ID))] は、NAD への IPv6 接続と同じ方法で動作します。

  • [セキュリティグループ(Security group)]:認証の一部としてセキュリティグループ(SGT)を割り当てるには、このオプションを有効にします。

    • Cisco ISE が Cisco DNA Center と統合されていない場合、Cisco ISE は VLAN ID 1 を割り当てます。

    • Cisco ISE が Cisco DNA Center と統合されている場合は、Cisco DNA Center が Cisco ISE と共有する仮想ネットワーク(VN)を選択し、[データタイプ(Data Type)] とサブネット/アドレスプールを選択します。


    (注)  

    セキュリティグループタスクには、セキュリティグループと VN が含まれています。セキュリティグループを設定する場合、VLAN を設定することはできません。エンドポイントデバイスは、1 つの仮想ネットワークにのみ割り当てることができます。

  • [VLAN]:仮想 LAN(VLAN)ID を指定するには、このオプションを有効にします。VLAN ID には、整数または文字列値を入力できます。このエントリの形式は、Tunnel-Private-Group-ID:VLANnumber です。

  • [音声ドメイン権限(Voice Domain Permission)]:ダウンロード可能な ACL を使用するには、このオプションを有効にします。cisco-av-pair のベンダー固有属性(VSA)を device-traffic-class=voice の値と関連付けます。複数ドメインの許可モードでは、ネットワークスイッチがこの VSA を受信した場合、エンドポイントは、許可後に音声ドメインに接続されます。

  • [Webリダイレクション(CWA、DRW、MDM、NSP、CPP)(Web Redirection(CWA, DRW, MDM, NSP, CPP))]:認証後に Web リダイレクションを有効にするには、このオプションを有効にします。

    • リダイレクションのタイプを選択します。選択した Web リダイレクションのタイプには、次で説明する追加のオプションが表示されます。

    • Cisco ISE が NAD に送信するリダイレクションをサポートするための ACL を入力します。

      NAD に送信するために入力する ACL は、cisco-av ペアとして [属性の詳細(Attributes Details)] ペインに表示されます。たとえば、acl119 と入力した場合、これは [属性の詳細(Attributes Details)] ペインには cisco-av-pair = url-redirect-acl = acl119 と表示されます。

    • 選択した Web リダイレクションタイプのその他の設定を選択します。

    次のタイプの Web リダイレクションのいずれかを選択します。

    • [中央集中Web認証(Centralized Web Auth)]:[値(Value)] ドロップダウンから選択したポータルにリダイレクトします。

    • [クライアント プロビジョニング(ポスチャ)(Client Provisioning (Posture))]:クライアントでポスチャを有効にするため、[値(Value)] ドロップダウンから選択したクライアント プロビジョニング ポータルにリダイレクトします。

    • [ホットスポット: リダイレクト(Hot Spot: Redirect)]:[値(Value)] ドロップダウンから選択したホットスポットポータルにリダイレクトします。

    • [MDM リダイレクト(MDM Redirect)]:指定した MDM サーバの MDM ポータルにリダイレクトします。

    • [ネイティブサプリカントのプロビジョニング(Native Supplicant Provisioning)]:[値(Value)] ドロップダウンから選択した BYOD にリダイレクトします。

    Web リダイレクションタイプを選択し、必要なパラメータを入力したら、次のオプションを設定します。

    • [証明書更新メッセージの表示(Display Certificates Renewal Message)]:証明書更新メッセージを表示するには、このオプションを有効にしますurl-redirect 属性値が変更され、この値に証明書が有効である日数が含まれます。このオプションは、中央集中型 Web 認証のみに使用できます。

    • [スタティックIP/ホスト名/FQDN(Static IP/Host Name/FQDN)]:ユーザを別の PSN にリダイレクトするには、このオプションを有効にします。ターゲット IP アドレス、ホスト名、または FQDN を入力します。このオプションを設定しない場合、ユーザはこの要求を受信したポリシーサービスノードの FQDN にリダイレクトされます。

    • [論理プロファイルでエンドポイントのプロファイラCoAを抑制する(Suppress Profiler CoA for endpoints in Logical Profile)]:特定のタイプのエンドポイントデバイスのリダイレクトをキャンセルするには、このオプションを有効にします。

  • [自動スマートポート(Auto smartport)]:自動スマートポート機能を使用するには、このオプションを有効にします。イベント名を入力します。これにより、この値を持つ VSA の cisco-av-pair が auto-smart-port=event_name として作成されます。この値は、[属性詳細(Attributes Details)] ペインに表示されます。

  • [アクセスの脆弱性(Access Vulnerabilities)]:このオプションを有効にすると、このエンドポイントでの脅威中心型 NAC 脆弱性評価を許可の一環として実行できます。アダプタを選択し、スキャンを実行するタイミングを選択します。

  • [再認証(Reauthentication)]:再認証中にエンドポイントを接続したままにするには、このオプションを有効にします。 [RADIUS要求(RADIUS-Request)](1)を使用することを選択して、再認証中に接続を維持することを選択します。 デフォルトの [RADIUS要求(RADIUS-Request)](0)では、既存のセッションを切断します。非アクティビティタイマーを設定することもできます。

  • [MACSec ポリシー(MACSec Policy)]:MACSec 対応クライアントが Cisco ISE に接続するたびに MACSec 暗号化ポリシーを使用するには、このオプションを有効にします。次のオプションのいずれかを選択します。[must-secure]、[should-secure]、または [must-not-secure]。 設定は [属性詳細(Attributes Details)] ペインに cisco-av-pair = linksec-policy=must-secure と表示されます。

  • [NEAT]:ネットワーク間の ID 認識を拡張するネットワーク エッジ アクセス トポロジ(NEAT)を使用するには、このオプションを有効にします。このチェックボックスをオンにすると、[属性の詳細(Attributes Details)] ペインに、cisco-av-pair = device-traffic-class=switch と表示されます。

  • [Web認証(ローカルWeb認証)(Web Authentication(Local Web Auth))]:この許可プロファイルのローカル Web 認証を使用するには、このオプションを有効にします。この値では、Cisco ISE が DACL とともに VSA を送信することによって Web 認証の許可をスイッチが認識できます。VSA は cisco-av-pair = priv-lvl=15 で、これは [属性の詳細(Attributes Details)] ペインに表示されます。

  • [Airespace ACL名(Airespace ACL Name)]:Cisco Airespace ワイヤレスコントローラに ACL 名を送信するには、このオプションを有効にします。Airespace VSA はこの ACL を使用して、ローカルで定義された WLC 上の接続への ACL を許可します。たとえば、rsa-1188 と入力した場合、これは [属性の詳細(Attributes Details)] ペインに Airespace-ACL-Name = rsa-1188 と表示されます。

  • [ASA VPN]:適応型セキュリティアプライアンス(ASA)VPN グループポリシーを割り当てるには、このオプションを有効にします。ドロップダウンリストから、VPN グループポリシーを選択します。

  • [AVCプロファイル名(AVC Profile Name)]:このエンドポイントでアプリケーションの可視性を実行するには、このオプションを有効にします。使用する AVC プロファイルを入力します。

高度な属性設定(Advanced Attributes Settings)

  • [ディクショナリ(Dictionaries)]:下矢印アイコンをクリックし、[ディクショナリ(Dictionaries)] ウィンドウに選択可能なオプションを表示します。 最初のフィールドで設定する必要があるディクショナリと属性を選択します。

  • [属性値(Attribute Values)]:下矢印アイコンをクリックし、[属性値(Attribute Values)] ウィンドウに選択可能なオプションを表示します。2 番目のフィールドに目的の属性グループおよび属性値を選択します。この値は、最初のフィールドで選択した値と一致します。設定する [高度な属性(Advanced Attributes)] が [属性の詳細(Attribute Details)] パネルに表示されます。


    (注)  

    [属性の詳細(Attributes Details)] ペインに表示される読み取り専用の値を変更または削除するには、対応する [共通タスク(Common Tasks)] フィールド、または [高度な属性設定(Advanced Attributes Settings)] ペインの [属性値(Attribute Values)] で選択した属性でこれらの値を変更または削除します。

  • [属性の詳細(Attributes Details)]:このペインには、[共通タスク(Common Tasks)] および [高度な属性(Advanced Attributes)] に設定した設定済みの属性値が表示されます。


    (注)  

    [属性の詳細(Attributes Details)] ペインに表示される値は読み取り専用です。

プロファイリング例外アクションの設定

次の表では、[プロファイラ例外アクション(Profiler Exception Action)] ウィンドウのフィールドについて説明します。このウィンドウへのナビゲーションパスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [プロファイリング(Profiling)] > [例外アクション(Exception Actions)] です。

表 23. 例外アクションの作成

フィールド名

使用上のガイドライン

名前(Name)

作成する例外アクションの名前を入力します。

説明

作成する例外アクションの説明を入力します。

CoA を適用する CoA アクション(CoA Action to enforce CoA)

CoA を適用するには、[CoA アクション(CoA Action)] チェックボックスをオンにします。

エンドポイント プロファイリング ポリシーで例外アクションを関連付けて CoA を適用する場合は、Cisco ISE で CoA をグローバルに設定する必要があります。これは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロファイリング(Profiling)] で実行できます。

ポリシー割り当て

[ポリシー割り当て(Policy Assignment)] ドロップダウン リストをクリックして Cisco ISE に設定されたエンドポイント プロファイリング ポリシーを表示し、例外アクションがトリガーされると一致した値に関係なくエンドポイントがプロファイリングされるプロファイリング ポリシーを選択します。

システム タイプ(System Type)

例外アクションのタイプは次のいずれかになります。

  • [シスコ提供(Cisco Provided)]:AuthorizationChange、EndpointDelete および FirstTimeProfile が含まれます

  • [管理者作成(Administrator Created)]:Cisco ISE の管理者として作成されたものが含まれます。

ファイル修復

次の表に、[ファイル修復(File Remediation)] ウィンドウのフィールドを示します。ナビゲーションパスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] > [修復アクション(Remediation Actions)] > [ファイル修復(File Remediation)] です。

表 24. ファイル修復

フィールド名

使用上のガイドライン

ファイルの修復名(File Remediation Name)

ファイル修復の名前を入力します。作成して保存した後は、ファイル修復名を編集できません。

ファイル修復の説明(File Remediation Description)

ファイル修復の説明を入力します。

Version

ファイル バージョンを入力します。

アップロードするファイル

[参照(Browse)] をクリックして、Cisco ISE サーバにアップロードするファイル名を特定します。これは、ファイル修復アクションがトリガーされたときにクライアントにダウンロードされるファイルです。

ファイアウォール修復

次の表では、[ファイアウォール修復(Firewall Remediation)] ウィンドウのフィールドについて説明します。ナビゲーションパスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] > [修復アクション(Remediation Actions)] > [ファイアウォール修復(Firewall Remediation)] です。

表 25. ファイアウォール修復

フィールド名

使用上のガイドライン

名前(Name)

ファイアウォール修復の名前を入力します。

説明

ファイアウォール修復の説明を入力します。

オペレーティング システム

Windows OS または Mac OSX を選択します。

コンプライアンス モジュール

OESIS バージョン 4.x 以降のサポート。

修復タイプ(Remediation Type)

次のいずれかを実行します。

  • [自動(Automatic)]:[間隔(Interval)] および [再試行回数(Retry Count)] に値を入力します。ISE サーバは非準拠のクライアントを識別し、修復の通知方法を選択し、自動的にクライアントのファイアウォール アプリケーションを更新します。

  • [手動(Manual)]:([間隔(Interval)] および [再試行回数(Retry Count)] フィールドは無効)非準拠のクライアントは最新のファイアウォール アプリケーションを手動でダウンロードし、適用する必要があります。

間隔(秒単位)(Interval (in seconds))

(自動修復タイプを選択した場合のみ使用可能)クライアントでスケジューリングされたパッチ更新が実行されるまでの時間間隔を秒単位で入力します。有効な範囲は 0 ~ 9999 です。

再試行回数(Retry Count)

(自動修復タイプを選択した場合のみ使用可能)クライアントが重要なパッチの更新を試行できる回数を入力します。有効な範囲は 0 ~ 99 です。

ベンダー名(Vendor Name)

ドロップダウンリストからベンダー名(例:VMware Inc.)を選択します。

(注)   
Cisco ISE および AnyConnect のサポート対象バージョンは次のとおりです。

  • Cisco ISE バージョン 2.2 以降

  • AnyConnect バージョン 4.4 以降

修復オプション(Remediation Option)

[有効化(Enable)]:エンドポイントでファイアウォール アプリケーションが無効になっている場合に、ファイアウォール アプリケーションを有効にします(ベンダーで有効化オプションがサポートされている場合)。

[選択したベンダーの製品(Products for Selected Vendor)] ドロップダウン矢印をクリックすると、[ベンダー名(Vendor Name)] に指定したベンダーがサポートしている製品(例:VMware vCentre Protect Agent)、バージョン(例:8.x)、有効な修復サポート(例:[はい(Yes)])のリストが表示されます。たとえば、製品 1 と 製品 2 の 2 つの製品を持つベンダー A を選択したとします。製品 1 は [修復の有効化(Enable remediation)] オプションをサポートしているが、製品 2 はサポートしていない場合があります。[選択したベンダーの製品(Products for Selected Vendor)] テーブルは選択した修復オプションに応じて変わります。

リンク修復

次の表に、[リンク修復(Link Remediation)] ウィンドウのフィールドを示します。ナビゲーションパスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] > [修復アクション(Remediation Actions)] > [リンク修復(Link Remediation)] です。

表 26. リンク修復

フィールド名

使用上のガイドライン

リンク修復名(Link Remediation Name)

リンク修復の名前を入力します。

リンク修復の説明(Link Remediation Description)

リンク修復の説明を入力します。

修復タイプ(Remediation Type)

次のいずれかを実行します。

  • [自動(Automatic)]:選択されている場合、[間隔(Interval)] および [再試行回数(Retry Count)] の値を入力する必要があります。

  • [手動(Manual)]:選択されていると、[再試行回数(Retry Count)] および [間隔(Interval)] フィールドは編集できません。

再試行回数(Retry Count)

クライアントがリンクからの修復を試行できる回数を入力します。

間隔(秒単位)(Interval (in seconds))

クライアントが前回の試行後にリンクからの修復を試行できる時間間隔を秒単位で入力します。

URL

修復のページまたはリソースへの有効な URL を入力します。

アプリケーション修復

次の表では、[アプリケーション修復(Application Remediation)] ウィンドウのフィールドについて説明します。ナビゲーションパスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] > [修復アクション(Remediation Actions)] > [アプリケーション修復(Application Remediation)] です。

表 27. アプリケーション修復

フィールド名

使用上のガイドライン

名前(Name)

アプリケーション修復の名前を入力します。

説明

アプリケーション修復の説明を入力します。

オペレーティング システム

アプリケーション修復条件が適用される Windows OS または MAC OSX を選択します。

コンプライアンス モジュール

OESIS バージョン 4.x 以降のサポート。

修復タイプ(Remediation Type)

次のいずれかを実行します。

  • [自動(Automatic)]:[間隔(Interval)] および [再試行回数(Retry Count)] に値を入力します。ISE サーバは非準拠のクライアントを識別し、修復の通知方法を選択し、自動的にクライアントの最新のパッチを更新します。

  • [手動(Manual)]:([間隔(Interval)] および [再試行回数(Retry Count)] フィールドは無効)非準拠のクライアントは最新のパッチを手動でダウンロードし、適用する必要があります。

間隔(秒単位)(Interval (in seconds))

(自動修復タイプを選択した場合のみ使用可能)クライアントでスケジューリングされたパッチ更新が実行されるまでの時間間隔を秒単位で入力します。有効な範囲は 0 ~ 9999 です。

再試行回数(Retry Count)

(自動修復タイプを選択した場合のみ使用可能)クライアントが重要なパッチの更新を試行できる回数を入力します。有効な範囲は 0 ~ 99 です。

ベンダー名(Vendor Name)

ドロップダウン リストからベンダー名を選択します。[選択したベンダーの製品(Products for Selected Vendor)] テーブルに、アプリケーション名(Internet Explorer など)、バージョン、ベンダー(Microsoft Corporation など)、実行中のプロセス、カテゴリ(フィッシング詐欺対策など)が表示されます。

(注)   
Cisco ISE および AnyConnect のサポート対象バージョンは次のとおりです。

  • Cisco ISE バージョン 2.2 以降

  • AnyConnect バージョン 4.4 以降

修復オプション(Remediation Option)

次のオプションのいずれかを選択します。

  • [アンインストール(Uninstall)]:アプリケーションをアンインストールします。 たとえば、[コンテキスト ディレクトリ(Context Directory)] ページで、悪意のあるアプリケーションを実行している複数のエンドポイントがあることが確認されるとします。悪意のあるアプリケーションをアンインストールする要件を作成できます。

  • [プロセス停止(Kill Process)]:必要な実行中のパッチ管理プロセスを停止します。たとえば、[コンテキスト ディレクトリ(Context Directory)] ページで、悪意のあるプロセスを実行している複数のエンドポイントがあることが確認されるとします。このような実行中の悪意のあるプロセスを停止する要件を作成できます。

[パッチ管理ベンダー名(Patch Management Vendor Name)] で指定したベンダーがサポートする製品のリストを表示するには、[選択したベンダーの製品(Products for Selected Vendor)] ドロップダウン矢印をクリックします。たとえば、製品 1 と 製品 2 の 2 つの製品を持つベンダー A を選択したとします。製品 1 は [修復の有効化(Enable remediation)] オプションをサポートしているが、製品 2 はサポートしていない場合があります。または、製品 1 が [有効(Enable)] および [欠落したパッチの修復のインストール(Install missing patches remediation)] オプションをサポートしていない場合、製品 1 はディセーブル(グレー表示)になります。[選択したベンダーの製品(Products for Selected Vendor)] テーブルは選択した修復オプションに応じて変わります。

マルウェア対策修復

次の表に、[AV修復(AV Remediation)] ウィンドウのフィールドを示します。ナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] > [修復アクション(Remediation Actions)] > [AV 修復(AV Remediation)] です。

表 28. アンチウイルス修復

フィールド名

使用上のガイドライン

名前(Name)

マルウェア対策修復の名前を入力します。

説明

マルウェア対策修復の説明を入力します。

オペレーティング システム(Operating System)

次のいずれかを実行します。

  • Windows

  • [Macintosh]:選択されている場合、[修復タイプ(Remediation Type)] フィールド、[間隔(Interval)] フィールド、および [再試行回数(Retry Count)] フィールドは編集できません

コンプライアンス モジュール

OESIS バージョン 4 はコンプライアンス モジュール 4.x および AnyConnect 4.3 以上をサポートします。

修復タイプ(Remediation Type)

次のいずれかを実行します。

  • [自動(Automatic)]:選択されている場合、[間隔(Interval)] および [再試行回数(Retry Count)] の値を入力する必要があります。

  • [手動(Manual)]:選択されていると、[再試行回数(Retry Count)] および [間隔(Interval)] フィールドは編集できません。

間隔(秒単位)(Interval (in seconds))

クライアントが修復を試行した後で次回の試行ができるようになるまでの時間間隔を秒単位で入力します。

再試行回数(Retry Count)

クライアントがマルウェア対策定義の更新を試行できる回数を入力します。

アンチマルウェア ベンダー名(Anti-Malware Vendor Name)

必要なマルウェア対策ベンダーを選択します。

アンチウイルス修復

次の表では、[アンチウイルス修復(Anti-Virus Remediation)] ウィンドウのフィールドについて説明します。ナビゲーション パスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] > [修復アクション(Remediation Actions)] > [アンチウイルス修復(Anti-Virus Remediation)] です。

表 29. アンチウイルス修復

フィールド名

使用上のガイドライン

[名前(Name)]

アンチウイルス修復の名前を入力します。

説明

アンチウイルス修復の説明を入力します。

修復タイプ(Remediation Type)

次のいずれかを実行します。

  • [自動(Automatic)]:選択されている場合、[間隔(Interval)] および [再試行回数(Retry Count)] の値を入力する必要があります。

  • [手動(Manual)]:選択されていると、[再試行回数(Retry Count)] および [間隔(Interval)] フィールドは編集できません。

間隔(秒単位)(Interval (in seconds))

クライアントが修復を試行した後で次回の試行ができるようになるまでの時間間隔を秒単位で入力します。

再試行回数(Retry Count)

クライアントがアンチウイルス定義の更新を試行できる回数を入力します。

オペレーティング システム(Operating System)

次のいずれかを実行します。

  • Windows

  • [Macintosh]:選択されている場合、[修復タイプ(Remediation Type)] フィールド、[間隔(Interval)] フィールド、および [再試行回数(Retry Count)] フィールドは編集できません

AV ベンダー名(AV Vendor Name)

アンチウイルス ベンダーを選択します。

アンチスパイウェア修復

次の表では、[アンチスパイウェア修復(Antispyware Remediation)] ページのフィールドについて説明します。ナビゲーションパスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] > [修復アクション(Remediation Actions)] > [アンチスパイウェア修復(Antispyware Remediation)] です。

表 30. アンチスパイウェア修復

フィールド名

使用上のガイドライン

名前(Name)

アンチスパイウェア修復の名前を入力します。

説明

アンチスパイウェア修復の説明を入力します。

修復タイプ(Remediation Type)

次のいずれかを実行します。

  • [自動(Automatic)]:選択されている場合、[間隔(Interval)] および [再試行回数(Retry Count)] の値を入力する必要があります。

  • [手動(Manual)]:選択されていると、[再試行回数(Retry Count)] および [間隔(Interval)] フィールドは編集できません。

間隔(秒単位)(Interval (in seconds))

クライアントが修復を試行した後で次回の試行ができるようになるまでの時間間隔を秒単位で入力します。

再試行回数(Retry Count)

クライアントがアンチスパイウェア定義の更新を試行できる試行回数を入力します。

オペレーティング システム

次のいずれかを実行します。

  • Windows

  • [Macintosh]:選択されていると、[修復タイプ(Remediation Type)] フィールド、[間隔(Interval)] フィールド、および [再試行回数(Retry Count)] フィールドは編集できません

AS のベンダー名(AS Vendor Name)

アンチスパイウェア ベンダーを選択します。

プログラム修復起動

次の表では、[プログラム修復起動(Launch Program Remediation)] ウィンドウのフィールドについて説明します。ナビゲーションパスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] > [修復アクション(Remediation Actions)] > [プログラム修復起動(Launch Program Remediation)] です。

表 31. プログラム修復起動

フィールド名

使用上のガイドライン

[名前(Name)]

プログラム修復起動の名前を入力します。

説明

ユーザが作成するプログラム修復起動の説明を入力します。

修復タイプ(Remediation Type)

次のいずれかを実行します。

  • [自動(Automatic)]:選択した場合、[再試行回数(Retry Count)] および [間隔(Interval)] オプションに入力する必要があります。

  • [手動(Manual)]:選択した場合、[間隔(Interval)] および [再試行回数(Retry Count)] フィールドは編集できません。

間隔(秒単位)(Interval (in seconds))

クライアントが修復を試行した後で次回の試行ができるようになるまでの時間間隔を秒単位で入力します。

再試行回数(Retry Count)

必要なプログラムを起動するためにクライアントが試行できる回数を入力します。

プログラムのインストール パス(Program Installation Path)

ドロップダウン リストから、修復プログラムがインストールされるパスを選択します。

  • ABSOLUTE_PATH:修復プログラムは、ファイルの完全修飾パスにインストールされます。 例:C:\<directory>\

  • SYSTEM_32:修復プログラムは C:\WINDOWS\system32 ディレクトリにインストールされます

  • SYSTEM_DRIVE:修復プログラムは C:\ ドライブにインストールされます

  • SYSTEM_PROGRAMS:修復プログラムは C:\Program Files ファイルにインストールされます

  • SYSTEM_ROOT:修復プログラムは Windows システムのルートパスにインストールされます

プログラム実行ファイル(Program Executable)

修復プログラムの実行ファイルまたはインストール ファイルの名前を入力します。

プログラム パラメータ(Program Parameters)

修復プログラムに必要なパラメータを入力します。

既存プログラム(Existing Programs)

既存プログラム テーブルは修復プログラムのインストール パス、名前、およびパラメータ(存在する場合)を表示します。

  • 既存プログラム リストに修復プログラムを追加するには、[追加(Add)] をクリックします。

  • リストから修復プログラムを削除するには、削除アイコンをクリックします。

Windows Update 修復

次の表では、[Windows Update修復(Windows Update Remediation)] ウィンドウのフィールドについて説明します。ナビゲーションパスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] > [修復アクション(Remediation Actions)] > [Windows Update修復(Windows Update Remediation)] です。

表 32. Windows Update 修復

フィールド名

使用上のガイドライン

名前(Name)

Windows Update 修復の名前を入力します。

説明

Windows Update 修復の説明を入力します。

修復タイプ(Remediation Type)

次のいずれかを実行します。

  • [自動(Automatic)]:選択した場合、[再試行回数(Retry Count)] および [間隔(Interval)] オプションに入力する必要があります。

  • [手動(Manual)]:選択した場合、[間隔(Interval)] および [再試行回数(Retry Count)] フィールドは編集できません。

間隔(秒単位)(Interval (in seconds))

クライアントが修復を試行した後で次回の試行ができるようになるまでの時間間隔を秒単位で入力します。

再試行回数(Retry Count)

Windows クライアントが Windows Update を試行できる回数を入力します。

Windows Update 設定(Windows Update Setting)

次のオプションから選択します。

  • [設定を変更しない(Do not change setting)]:Windows 自動更新のクライアント設定は、Windows Update 修復中または実行後に変更されません。

  • [ダウンロードおよびインストールを通知(Notify to download and install)]:Windows によってクライアントへの通知のみが行われ、ダウンロードやインストールは自動的には行われません。

  • [自動的にダウンロードし、インストールを通知(Automatically download and notify to install)]:Windows によってクライアントに更新プログラムがダウンロードされ、Windows Update をインストールするようにクライアントに通知されます。

  • [自動的にダウンロードしてインストール(Automatically download and install)]:Windows によって自動的に Windows Update がダウンロードされてインストールされます。これは、Windows クライアントに対して強く推奨される設定です。

Windows Update 設定を管理者の設定でオーバーライド(Override User’s Windows Update setting with administrator’s)

Windows Update 修復の実行中および実行後に、管理者が Windows 自動更新に対して指定した設定をすべてのクライアント マシンに適用するには、このチェックボックスをチェックします。

このチェックボックスをオフにすると、次の設定が適用されます。

  • 管理者が指定した設定(Windows クライアントで自動更新が無効になっている場合のみ)。

  • Windows クライアントが指定した設定(クライアントで Windows 自動更新が有効になっている場合のみ)。

Windows Server Update Services 修復

次の表では、[Windows Update修復(Windows Update Remediation)] ウィンドウのフィールドについて説明します。ナビゲーションパスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] > [修復アクション(Remediation Actions)] > [Windows Server Update Services修復(Windows Server Update Services Remediation)] です。

表 33. WSUS 修復

フィールド名

使用上のガイドライン

名前(Name)

WSUS 修復の名前を入力します。

説明

WSUS 修復の説明を入力します。

修復タイプ(Remediation Type)

次のオプションから選択します。

  • [自動(Automatic)]:エージェントが Windows クライアントを最新の WSUS 更新で自動的に更新します。

  • [手動(Manual)]:選択すると、[間隔(Interval)] フィールドと [再試行回数(Retry Count)] フィールドが編集できなくなります。ユーザは、Microsoft で管理されている WSUS サーバまたはローカルに管理されている WSUS サーバからの最新の WSUS 更新を使用して、Windows クライアントを手動で更新します。

間隔(秒単位)(Interval (in seconds))

クライアントと Web エージェントが前回の試行後に再試行を試みるまでに WSUS 更新を遅延させる間隔を秒単位で入力します(デフォルトの間隔は 0 です)。

再試行回数(Retry Count)

クライアントと Web エージェントが WSUS 更新を使用して Windows クライアントの更新を再試行する回数を入力します。

Windows Update の検証方法(Validate Windows updates using)

次のオプションから選択します。

  • [シスコルール(Cisco Rules)]:このオプションを選択すると、ポスチャ要件の条件としてカスタムルールまたは事前設定済みルールを選択できます。

  • [重大度レベル(Severity Level)]:このオプションを選択すると、ポスチャ要件の条件としてカスタムルールまたは事前設定済みルールを選択できますが、いずれも使用されません。このため、WSUS 修復を指定するポスチャ要件内にはプレースホルダ条件(ダミー条件)として pr_WSUSRule を使用できます。

Windows Update 重大度レベル(Windows Updates Severity Level)

重大度レベルを選択します。

  • [緊急(Critical)]:緊急の Windows Update のみをインストールします

  • [至急(Express)]:重要および緊急の Windows Update をインストールします

  • [中(Medium)]:緊急、重要、および重要性が中程度のすべての Windows Update をインストールします

  • [すべて(All)]:緊急、重要、重要性が中および低程度のすべての Windows Update をインストールします

    (注)   

    重大度レベル オプションを使用してポスチャ要件に WSUS 修復アクションを関連付けて Windows Update を検証する場合は、ポスチャ要件に pr_WSUSRule(ダミー複合条件)複合条件を選択する必要があります。ポスチャ要件が失敗すると、エージェントは、WSUS 修復で定義した重大度レベルに基づいて修復アクション(Windows Update)を適用します。

最新の OS サービス パックに更新(Update to latest OS Service Pack)

クライアントのオペレーティング システムで使用できる最新のサービス パックを WSUS 修復が自動的にインストールできるようにするには、このチェックボックスをオンにします。

(注)   

オペレーティング システムのサービス パックは、WSUS 修復で選択されている [中(Medium)] および [すべて(All)] の重大度レベル オプションに関係なく、自動的に更新されます。

Windows Update インストール ソース(Windows Updates Installation Source)

Windows クライアントに WSUS 更新をインストールするソースを指定します。

  • [Microsoftサーバ(Microsoft server)]:Microsoft で管理されている WSUS サーバ

  • [管理対象サーバ(Managed server)]:ローカルに管理されている WSUS サーバ

インストール ウィザード インターフェイス設定(Installation Wizard Interface Setting)

WSUS 更新中にクライアントにインストール ウィザードを表示できるようにします。

  • [UIを表示(Show UI)]:Windows クライアントで Windows Update インストールウィザードの進行状況を表示します。ユーザは、クライアントに対して WSUS 更新中にインストール ウィザードを表示するための管理者権限を持っている必要があります。

  • [UIなし(No UI)]:Windows クライアントで Windows Update インストールウィザードの進行状況を非表示にします。

    (注)   

    管理者権限のないユーザが WSUS 修復を使用して Windows アップデートをインストールできるようにするには、[UI なし(No UI)] オプションを選択する必要があります。

パッチ管理修復

次の表に、[パッチ管理修復(Patch Management Remediation)] ウィンドウのフィールドを示します。ナビゲーションパスは、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] > [修復アクション(Remediation Actions)] > [パッチ管理修復(Patch Management Remediation)] です。

表 34. パッチ管理修復

フィールド名

使用上のガイドライン

[名前(Name)]

パッチ管理修復の名前を入力します。

説明

パッチ管理修復の説明を入力します。

コンプライアンス モジュール

OESIS バージョン 4.x 以降または 3.x 以前のサポート。

修復タイプ(Remediation Type)

次のいずれかを実行します。

  • [自動(Automatic)]:[間隔(Interval)] および [再試行回数(Retry Count)] に値を入力します。ISE サーバは非準拠のクライアントを識別し、修復の通知方法を選択し、自動的にクライアントの最新のパッチを更新します。

  • [手動(Manual)]:([間隔(Interval)] および [再試行回数(Retry Count)] フィールドは無効)非準拠のクライアントは最新のパッチを手動でダウンロードし、適用する必要があります。

間隔(秒単位)(Interval (in seconds))

(自動修復タイプを選択した場合のみ使用可能)クライアントでスケジューリングされたパッチ更新が実行されるまでの時間間隔を秒単位で入力します。

再試行回数(Retry Count)

(自動修復タイプを選択した場合のみ使用可能)クライアントが重要なパッチの更新を試行できる回数を入力します。

オペレーティング システム(Operating System)

サポートされる唯一の OS は Windows OS です。

パッチ管理ベンダー名(Patch Management Vendor Name)

ドロップダウン リストからベンダー名を選択します。ベンダーのパッチ管理修復製品と、バージョン、修復の有効化、修復の更新、および UI 修復の表示に対する製品のサポートが [選択したベンダーの製品(Products for Selected Vendor)] テーブルに表示されます。

(注)   
Cisco ISE および AnyConnect のサポート対象バージョンは次のとおりです。

  • Cisco ISE バージョン 1.4 以降

  • AnyConnect バージョン 4.1 以降

修復オプション(Remediation Option)

次のオプションのいずれかを選択します。

  • [有効(Enable)]:エンドポイントで無効の場合は、パッチの管理ソフトウェアを有効にします。

  • [欠落したパッチのインストール(Install Missing Patches)]:エンドポイントでパッチを更新します。

  • [パッチ管理ソフトウェアGUIのアクティブ化(Activate Patch Management Software GUI)]:パッチ管理ソフトウェアのユーザインターフェイスを表示します。ソフトウェアの設定を変更したりソフトウェア アップデートを開始するには、このページの指示に従います。

[パッチ管理ベンダー名(Patch Management Vendor Name)] で指定したベンダーがサポートする製品のリストを表示するには、[選択したベンダーの製品(Products for Selected Vendor)] ドロップダウン矢印をクリックします。たとえば、製品 1 と 製品 2 の 2 つの製品を持つベンダー A を選択したとします。製品 1 は [修復の有効化(Enable remediation)] オプションをサポートしているが、製品 2 はサポートしていない場合があります。または、製品 1 が [有効(Enable)] および [欠落したパッチの修復のインストール(Install missing patches remediation)] オプションをサポートしていない場合、製品 1 はディセーブル(グレー表示)になります。[選択したベンダーの製品(Products for Selected Vendor)] テーブルは選択した修復オプションに応じて変わります。

インストール済みパッチの確認(Check Patches Installed)

 欠落しているパッチ管理修復ソフトウェアの重大度レベルを設定し、重大度に基づいて展開することができます。次の重大度レベルのいずれかを選択します。

  • (すべての修復オプションで使用可能)[クリティカルのみ(Critical Only)]:クリティカルな修復ソフトウェアパッチが展開内のエンドポイントにインストールされているかどうかを確認します。

  • ([欠落したパッチのインストール(Install Missing Patches)] 修復オプションを選択した場合にのみ使用可能。)[重要およびクリティカル(Important and Critical)]:重要かつクリティカルな修復ソフトウェアパッチが展開内のエンドポイントにインストールされているかどうかを確認します。

  • ([欠落したパッチのインストール(Install Missing Patches)] 修復オプションを選択した場合にのみ使用可能。)[中程度、重要およびクリティカル(Moderate, Important, & Critical)]:中程度、重要およびクリティカルな修復ソフトウェアパッチが展開内のエンドポイントにインストールされているかどうかを確認します。

  • ([欠落したパッチのインストール(Install Missing Patches)] 修復オプションを選択した場合にのみ使用可能。)[低程度からクリティカルまで(Low To Critical)]

  • ([欠落したパッチのインストール(Install Missing Patches)] 修復オプションを選択した場合にのみ使用可能。)[すべて(All)]:すべての重大度レベルを確認します。

USB 大容量ストレージのチェックのワークフロー

ポスチャ ポリシーの USB_Check 条件(シスコ事前定義済み)を使用して、USB 大容量ストレージ デバイスがエンドポイントに接続されているかどうかを確認できます。USB 大容量ストレージのチェックと修復のフローは次のとおりです。

AnyConnect のエージェント:

  • USB 接続があるかどうかを確認します。

  • USB プラグインを検出して USB_Block 修復(Cisco 事前定義済み)を適用します。AnyConnect エージェントが Cisco ISE に修復の障害を報告し、CoA を開始します。USB 大容量ストレージの修復は常にアクティブであり、アクセス時または定期的再評価(PRA)に限定されません。

  • ユーザがネットワーク インターフェイスから接続解除すると、USB の検出の実行を停止します。

  • エンドポイントの再接続時に、ポスチャ フローを再実行します。ただし、エンドポイントがポスチャのリース期間内の場合、AnyConnect エージェントは、USB チェックを再び実行しません。


(注)  

AnyConnect は USB を検査し、修復を順に実行します。その結果、PRA を実行する際に、USB の動的な変更の処理に遅延が生じることがあります。USB のチェックが設定されると、他のチェックに対する PRA の猶予時間([ワークセンター(Work Centers)] > [ポスチャ(Posture)] > [設定(Settings)] > [再評価設定(Reassessment Configurations)])を最小化することをお勧めします。


(注)  

USB チェックには複合条件を作成できません。

USB 大容量ストレージ修復

次の表では、[USB大容量ストレージ修復(USB Mass Storage Remediation)] ウィンドウのフィールドについて説明します。ナビゲーションパスは、[ワークセンター(Work Centers)] > [ポスチャ(Posture)] > [ポリシー要素(Policy Elements)] > [修復(Remediations)] > [USB] です。また、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] > [修復アクション(Remediation Actions)] > [USB修復(USB Remediation)] ウィンドウのオプションが表示されています。

表 35. USB 修復の設定

フィールド名

使用上のガイドライン

[名前(Name)]

USB 修復の名前を入力します。

説明

USB 修復の説明を入力します。

コンプライアンス モジュール

バージョン 4.x 以降向けの、ISE のポスチャ準拠モジュールの表示専用フィールドのサポート。

オペレーティング システム(Operating System)

Windows OS のサポートを示す表示専用フィールド。

修復タイプ(Remediation Type)

修復が自動であることを示す表示専用フィールド。

インターバル(Interval

クライアントでスケジュールされた USB 大容量ストレージのデバイス チェックが実行される時間間隔を秒単位で入力します。

再試行回数(Retry Count)

クライアントで USB 大容量ストレージのデバイスの再評価が実行される時間間隔を秒単位で入力します。

クライアントのポスチャ要件

ポスチャの要件を作成するには、次の手順を実行します。

  1. [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] > [要件(Requirements)] を選択します。

  2. 要件行の末尾にある [編集(Edit)] ドロップダウンリストから、[新しい要件の挿入(Insert New Requirement)] を選択します。

  3. 必要な詳細を入力し、[完了(Done)] をクリックします。

次の表に、[クライアントのポスチャ要件(Client Posture Requirements)] ページのフィールドを示します。

表 36. ポスチャ要件

フィールド名

使用上のガイドライン

[名前(Name)]

要件の名前を入力します。

オペレーティング システム

オペレーティング システムを選択します。

プラス記号 [+] をクリックして、複数のオペレーティング システムをポリシーに関連付けます。

マイナス記号 [-] をクリックして、ポリシーからオペレーティング システムを削除します。

コンプライアンス モジュール

[準拠モジュール(Compliance Module)] ドロップダウンリストから必要な準拠モジュールを選択します。

  • 4.x 以降(4.x or Later):マルウェア対策、ディスク暗号化、Patch Management、および USB の各種条件をサポートします。

  • 3.x 以前(3.x or Earlier):ウイルス対策、スパイウェア対策、ディスク暗号化、およびパッチ管理の各種条件をサポートします

  • すべてのバージョン(Any Version):ファイル、サービス、レジストリ、アプリケーション、および複合の各種条件をサポートします。

コンプライアンスモジュールの詳細については、コンプライアンス モジュールを参照してください。

ポスチャタイプ

[ポスチャタイプ(Posture Type)] ドロップダウンリストから、必要なポスチャタイプを選択します。

  • [AnyConnect]:AnyConnect エージェントを展開し、クライアントとのやり取りが必要な Cisco ISE ポリシーを監視し、適用します。

  • [AnyConnect ステルス(AnyConnect Stealth)]:AnyConnect エージェントを展開し、クライアントとやり取りしない Cisco ISE ポスチャポリシーを監視し、適用します。

  • [Temporal Agent]:コンプライアンス ステータスを確認するためにクライアント上で実行される一時実行可能ファイル。

条件(Conditions)

リストから条件を選択します。

[操作(Action)] アイコンをクリックして、ユーザ定義の条件を作成して、要件に関連付けることもできます。ユーザ定義の条件を作成中に関連する親オペレーティング システムは編集できません。

pr_WSUSRule は、Windows Server Update Services(WSUS)修復が関連付けられているポスチャ要件で使用される、ダミーの複合条件です。関連 WSUS 修復アクションは、重大度レベル オプションを使用して Windows Updates を検証するように設定する必要があります。この要件が失敗すると、Windows クライアントの Agent は、WSUS 修復で定義した重大度レベルに基づいて WSUS 修復アクションを適用します。

pr_WSUSRule は複合条件のリスト ページには表示できません。条件ウィジェットからのみ pr_WSUSRule を選択できます。

修復アクション(Remediation Actions)

リストから修復を選択します。

修復アクションを作成して、要件に関連付けることもできます。

Agent ユーザとの通信に使用できるすべての修復タイプのテキスト ボックスがあります。修復アクションに加えて、クライアントの非準拠に関してメッセージで Agent ユーザと通信することができます。

[メッセージ テキストのみ(Message Text Only)] オプションで Agent ユーザに非準拠について通知します。また、詳細情報を得るためにヘルプ デスクに連絡したり、クライアントを手動で修復したりするオプションの手順がユーザに提供されています。このシナリオでは、Agent は修復アクションをトリガーしません。