個人所有デバイスの持ち込み(BYOD)

企業ネットワークのパーソナル デバイス(BYOD)

企業ネットワーク上のパーソナルデバイスをサポートする場合は、ユーザ(従業員、請負業者、ゲスト)とそれぞれのデバイスを認証および許可することで、ネットワークサービスおよび企業データを保護する必要があります。 Cisco ISE には、従業員が企業ネットワーク上でパーソナルデバイスを安全に使用するために必要なツールがあります。

ゲストは、ゲスト ポータルへのログイン時に、自動的に自分のデバイスを登録することができます。ゲストは、ゲストタイプに定義されている最大数まで追加デバイスを登録できます。 それらのデバイスは、ポータル構成に基づいてエンドポイント ID グループに登録されます。

ゲストは、ネイティブ サプリカント プロビジョニング(Network Setup Assistant)を実行するか、またはデバイスをデバイスポータルに追加して、パーソナルデバイスをネットワークに追加できます。 オペレーティングシステムに基づいて、使用する適切なネイティブ サプリカント プロビジョニング ウィザードを決定するネイティブ サプリカント プロファイルを作成できます。

ネイティブ サプリカント プロファイルはすべてのデバイスで使用できるわけではないため、ユーザはデバイスポータルを使用してデバイスを手動で追加できます。または、これらのデバイスを登録するように BYOD ルールを設定できます。

ISE コミュニティリソース

操作手順:ISE および BYOD:オンボーディング、登録、およびプロビジョニング

操作手順:ISE および BYOD:差別化アクセスのための証明書の使用

分散環境のエンドユーザのデバイスポータル

Cisco ISE のエンドユーザ Web ポータルは、管理ペルソナ、ポリシーサービスペルソナ、およびモニタリングペルソナに基づき、設定、セッションサポート、およびレポート作成を提供します。

  • 管理ノード:ユーザ、デバイス、およびエンドユーザポータルが管理ノードに書き込まれる構成の変更。

  • ポリシーサービスノード:エンドユーザポータルはポリシーサービスノードで実行する必要があります。ここでは、ネットワークアクセス、クライアント プロビジョニング、ゲストサービス、ポスチャ、およびプロファイリングを含むすべてのセッショントラフィックが処理されます。 ポリシーサービスノードがノードグループに含まれる場合、1 つのノードで障害が発生すると、他のノードが障害を検出し、保留中のセッションをリセットします。

  • モニタリングノード:モニタリングノードは、デバイスポータル、スポンサーポータル、およびゲストポータルでのエンドユーザおよびデバイスのアクティビティについて、データを収集、集約、およびレポートします。 プライマリ モニタリング ノードで障害が発生した場合は、セカンダリ モニタリング ノードが自動的にプライマリ モニタリング ノードになります。

デバイスポータルのグローバル設定

[ワークセンター(Work Centers)] > [BYOD] > [設定(Settings)] > [従業員が登録するデバイス(Employee Registered Devices)] または [管理(Administration)] > [デバイスポータルの管理(Device Portal Management)] > [設定(Settings)] を選択します。

BYOD ポータルおよびデバイス ポータルの次の一般設定を設定できます。

  • [従業員が登録するデバイス(Employee Registered Devices)]:[従業員を制限(Restrict employees to)] に、従業員が登録できるデバイスの最大数を入力します。デフォルトでは、この値は 5 デバイスに設定されています。

  • [再試行 URL(Retry URL)]:デバイスを Cisco ISE にリダイレクトするために使用できる URL を [オンボードのための再試行 URL(Retry URL for onboarding)] に入力します。

これらの一般的な設定値を設定したら、これらの設定は会社に設定したすべて BYOD ポータルおよびデバイス ポータルに適用されます。

パーソナル デバイス ポータル

Cisco ISE では、従業員が所有するパーソナルデバイスをサポートするために複数の Web ベースポータルが提供されています。 それらのデバイスポータルは、ゲストポータルフローまたはスポンサーポータルフローには関与しません。

次のポータルを使用します。

  • ブラックリストポータル:「ブラックリスト」に掲載されていて、ネットワークアクセスには使用できないパーソナルデバイスに関する情報が表示されます。

  • BYOD ポータル:従業員がネイティブ サプリカント プロビジョニング機能を使用して自分のパーソナルデバイスを登録できるようにします。

  • 証明書プロビジョニングポータル:管理者および従業員が BYOD フローを通過できないデバイスに対するユーザまたはデバイス証明書を要求できるようにします。

  • クライアント プロビジョニング ポータル:コンプライアンスをチェックするポスチャエージェントを自分のデバイスにダウンロードするよう従業員に強制します。

  • MDM ポータル:従業員が外部のモバイルデバイス管理(MDM)システムに自分のモバイルデバイスを登録できるようにします。

  • デバイスポータル:従業員がパーソナルデバイス(ネイティブ サプリカント プロビジョニングをサポートしないデバイスを含む)を追加および登録し、管理できるようにします。

Cisco ISE には、事前定義済みのデフォルトポータルのセットを含む複数のデバイスポータルを Cisco ISE サーバでホストする機能が用意されています。 デフォルトのポータル テーマには、管理者ポータルからカスタマイズできる標準のシスコ ブランドが適用されています。また、組織に固有のイメージ、ロゴ、およびカスケーディング スタイル シート(CSS)ファイルをアップロードして、ポータルをさらにカスタマイズできます。

デバイスポータルへのアクセス

手順

ステップ 1

デバイスポータルにアクセスするには、次のいずれかを実行します。

  • [管理(Administration)] > [デバイスポータル管理(Device Portal Management)] をクリックします。 [デバイスポータルの設定およびカスタマイズ(Configure and Customize Device Portals)] ページには、サポートされるデバイスポータルのリストが表示されます。
  • [管理(Administration)] > [デバイスポータル管理(Device Portal Management)] を選択します。 ドロップダウンメニューにサポートされるデバイスポータルが表示されます。
ステップ 2

設定する特定のデバイスポータルを選択します。

ブラックリスト ポータル

従業員は、このポータルに直接アクセスするのではなく、ポータルにリダイレクトされます。

従業員が自分のパーソナルデバイスを紛失したり、盗まれたりした場合、デバイスポータルでデバイスのステータスを更新して、ブラックリスト エンドポイント ID グループにデバイスを追加できます。 これにより、不正なネットワークアクセスにデバイスが使用されるのを防ぎます。 誰かがこれらのデバイスの 1 つを使用してネットワークに接続しようとすると、ブラックリストポータルにリダイレクトされ、デバイスのネットワークアクセスが拒否されることが通知されます。 デバイスが見つかった場合、従業員はデバイスポータルでデバイスを復元し、デバイスを再登録せずにネットワークアクセスを回復できます。 デバイスが盗難されたか紛失したかに応じて、デバイスをネットワークに接続する前に、追加のプロビジョニングが必要になる場合があります。

ブラックリストポータルのポート設定(デフォルトはポート 8444)を設定できます。 ポート番号を変更する場合は、別のエンドユーザポータルで使用されていないことを確認してください。

ブラックリストポータルの設定については、「ブラックリストポータルの編集」を参照してください。

証明書プロビジョニングポータル

従業員は、証明書プロビジョニングポータルに直接アクセスできます。

証明書プロビジョニングポータルでは、従業員はオンボーディングフローを通過できないデバイスについて証明書を要求できます。 たとえば、POS 端末などのデバイスは、BYOD フローを通過できないため、証明書を手動で発行する必要があります。 証明書プロビジョニングポータルでは、権限のある一連のユーザは、そのようなデバイスに対する証明書要求をアップロードし、キー ペアを生成し(必要に応じて)、証明書をダウンロードできます。

従業員は、このポータルにアクセスして、1 つの証明書について要求を行うか、または CSV ファイルを使用して一括証明書要求を行うことができます。

ISE コミュニティリソース

Identity Services Engine 証明書プロビジョニングポータルの機能と設定については、「ISE 2.0:証明書プロビジョニングポータル」を参照してください。

個人所有デバイスの持ち込みポータル

従業員は、このポータルに直接アクセスしません。

従業員は、ネイティブサプリカントを使用してパーソナルデバイスを登録すると、Bring Your Own Device(BYOD; 個人所有デバイス持ち込み)ポータルにリダイレクトされます。 従業員がパーソナルデバイスを使用して初めてネットワークにアクセスを試みると、手動で Network Setup Assistant(NSA)ウィザードをダウンロードして起動するように求められ、ネイティブサプリカントの登録およびインストールに進む場合があります。 デバイスを登録すると、デバイスポータルを使用して、デバイスを管理できます。


BYOD フローは、デバイスが AnyConnect Network Access Manager(NAM)を使用してネットワークに接続している場合はサポートされません。

クライアント プロビジョニング ポータル

従業員は、この ポータルに直接アクセスするのではなく、このポータルにリダイレクトされます。

クライアント プロビジョニング システムでは、企業 ネットワークにアクセスしようとしているデバイスのポスチャ評価 および修復を行います。従業員がデバイスを使用してネットワークアクセスを要求したときに、 クライアント プロビジョニング ポータルにルーティングして、 最初にポスチャエージェントをダウンロードするように要求できます。ポスチャエージェントは、デバイスにアンチウイルス ソフトウェアが インストールされていることや、オペレーティングシステムがサポートされていることの確認など、 コンプライアンスに関するデバイスのスキャンを行います。

モバイルデバイス 管理ポータル

従業員は、この ポータルに直接アクセスするのではなく、このポータルにリダイレクトされます。

数多くの会社で、従業員のモバイルデバイスを管理するために、 モバイルデバイス管理(MDM)システムを使用しています。

Cisco ISE では外部 MDM システムとの統合が許可されており、従業員はこれを使用して、 モバイルデバイスを登録し、企業ネットワークにアクセスすることができます。シスコでは、 従業員がデバイスを登録し、ネットワークに接続するために使用できる 外部 MDM インターフェイスを提供しています。

MDM ポータルを使用することで、 従業員は外部 MDM システムに登録できます。

従業員は、 デバイスポータルを使用して、PIN コードでのデバイスのロック、 工場出荷時のデフォルト設定へのデバイスのリセット、デバイス登録時にインストールされていた アプリケーションおよび設定の削除など、モバイルデバイスの管理を行うことができます。

Cisco ISE では、すべての外部 MDM システム用に単一の MDM ポータルを、 または個々の MDM システムごとに 1 つのポータルを使用できます。

MDM サーバを ISE とともに動作するように設定する方法については、「 MDM ポータルの作成」を参照してください。

デバイス ポータル

従業員は、 デバイスポータルに直接アクセスできます。

ネットワークアクセスが必要な一部のネットワークデバイスは、 ネイティブ サプリカント プロビジョニングで サポートされていないため、BYOD ポータルを使用して登録することができません。ただし、従業員は、 オペレーティングシステムがサポートされていないか、Web ブラウザが搭載されていない パーソナルデバイス(プリンタ、インターネットラジオ、その他のデバイスなど)を、 デバイスポータルを使用して追加および登録することができます。

従業員は、デバイスの MAC アドレスを入力して、 新しいデバイスを追加および管理できます。従業員が、 デバイスポータルを使用してデバイスを追加すると、 Cisco ISE はそのデバイスを RegisteredDevices エンドポイント ID グループのメンバーとして、[エンドポイント(Endpoints)] ページに追加します (別のエンドポイント ID グループに、すでに静的に割り当てられている場合を除く)。 デバイスは、Cisco ISE の他のエンドポイントと同様にプロファイリングされ、 ネットワークアクセスのための登録プロセスが行われます。

1 つのデバイスからの 2 つの MAC アドレスがユーザによりデバイスポータルに入力されると、 それらが同じホスト名を持ち、ISE で 1 つのエントリとして統合されていることがプロファイリングによって設定されます。たとえば、ユーザは有線および無線 のアドレスでラップトップを登録します。そのデバイス上での削除などの操作は、両方のアドレスで機能します。

登録済みデバイスがポータルから削除されると、デバイス登録状態属性と BYOD 登録状態属性は、 それぞれ [未登録(NotRegistered)] および [いいえ(No)] に変更されます。ただし、これらの属性は、従業員のデバイス登録時にのみ使用される BYOD 属性であるため、 ゲスト(従業員以外)がクレデンシャルを持つゲストポータルの [ゲストデバイス登録(Guest Device Registration)] ページを使用してデバイスを登録した場合は、 変更されずそのままになります。

従業員は、 BYOD またはデバイスポータルを使用して自分のデバイスを登録しているかどうかに関係なく、 デバイスポータルを使用してそれらを管理できます。


管理者ポータルがダウンしている場合、デバイス ポータルは使用できません。

BYOD の展開オプションとステータス ワークフロー

パーソナル デバイスをサポートする BYOD 展開フローは、次の要因によって若干異なります。

  • シングルまたはデュアル SSID:シングル SSID の場合は、証明書の登録、プロビジョニング、およびネットワーク アクセスに同じ WLAN が使用されます。 デュアル SSID 展開では、2 つの SSID があります。1 つは登録およびプロビジョニングを提供し、もう 1 つはセキュアなネットワークアクセスを提供します。

  • Windows、MacOS、iOS、または Android デバイス:ネイティブサプリカントのフローは、 サポートされているパーソナルデバイスを利用する従業員を BYOD ポータルにリダイレクトしてこれらのデバイス情報を確認することによって、デバイスのタイプに関係なく、同様に開始します。プロセスはデバイスタイプに応じて 分岐します。

従業員がネットワークに接続する

  1. 従業員のクレデンシャルが認証される:Cisco ISE は、社内 Active Directory または社内の他の ID ストアと照合して従業員を認証し、 許可ポリシーを提供します。

  2. デバイスが BYOD ポータルにリダイレクトされる:デバイスが BYOD ポータルにリダイレクトされます。デバイスの [MACアドレス(MAC address)] フィールドは自動的に事前設定されます。 ユーザはデバイス名と説明を追加できます。

  3. ネイティブサプリカントが設定される(MacOS、Windows、iOS、Android):ネイティブサプリカントが設定されます。ただしこのプロセスはデバイスに応じて異なります。

    • MacOS および Windows デバイス:従業員が BYOD ポータルで [登録(Register)] をクリックして、サプリカント プロビジョニング ウィザード(Network Setup Assistant)をダウンロードしてインストールします。 このウィザードではサプリカントが設定され、EAP-TLS 証明書ベース認証に使用する証明書が(必要に応じて)提供されます。デバイスの MAC アドレスと従業員のユーザ名が 発行済み証明書に組み込まれます。


      Network Setup Assistant は、そのデバイスのユーザが管理者権限を持っていない限り、Windows デバイスにダウンロードすることはできません。 エンドユーザに管理者権限を与えることができない場合は、BYOD フローを使用するのではなく、 GPO を使用して証明書をユーザのデバイスにプッシュします。


      バージョン OSx 10.15 以降では、ユーザはサプリカント プロビジョニング ウィザード(SPW)のダウンロードを許可する必要があります。ユーザのデバイスに、 Cisco ISE サーバからのダウンロードを許可または拒否するように求めるウィンドウが表示されます。

    • iOS デバイス:Cisco ISE ポリシー サーバは Apple の iOS ワイヤレス機能を使用して新しいプロファイルを IOS デバイスに送信します。このプロファイルには次の情報が含まれます。

      • 発行済み証明書(設定されている場合)には iOS デバイスの MAC アドレスと従業員のユーザ名が組み込まれます。

      • 802.1X 認証の EAP-TLS の使用を強制できる Wi-Fi サプリカント プロファイル。

    • Android デバイス:Cisco ISE は、従業員に Google Play ストアから Cisco Network Setup Assistant(NSA)をダウンロードするように要求し、ルーティングします。 アプリのインストール後に、従業員は NSA を開いてセットアップ ウィザードを開始できます。 このウィザードでは、サプリカントの設定と、デバイスの設定に使用される発行済み証明書が生成されます。

  4. 認可変更が発行される:ユーザがオンボーディングフローを通過すると、Cisco ISE は認可変更(CoA)を開始します。これにより、MacOS X、Windows、および Android デバイスはセキュアな 802.1X ネットワークに再接続します。シングル SSID の場合、iOS デバイスも自動的に接続されますが、 デュアル SSID の場合、ウィザードは iOS ユーザに手動で新しいネットワークに接続するように要求します。


サプリカントを使用しない BYOD フローを設定できます。Cisco ISE のコミュニティドキュメント(https://supportforums.cisco.com/blog/12705471/ise-byod-registration-only-without-native-supplicant-or-certificate-provisioning)を参照してください。


[ターゲットネットワークが非表示になっている場合に有効にする(Enable if Target Network is Hidden)] チェックボックスをオンにするのは、実際の Wi-Fi ネットワークが非表示の場合に限ります。そうしないと、特にシングル SSID フロー(同じ Wi-Fi ネットワーク/SSID がオンボーディングと接続の両方に使用されている) の特定の iOS デバイスに対して Wi-Fi ネットワーク設定が適切に プロビジョニングされない場合があります。

BYOD セッション エンドポイント属性

エンドポイント属性 BYODRegistration の状態は、BYOD フローにおいて次の状態に変化します。

  • Unknown:デバイスが BYOD フローを通過していません。

  • Yes:デバイスは BYOD フローを通過し、登録されました。

  • No:デバイスが BYOD フローを通過しましたが、登録されていません。つまり、デバイスは削除されています。

デバイス登録ステータスのエンドポイント属性

エンドポイント属性 DeviceRegistrationStatus の状態は、デバイス登録中に次の状態に変化します。

  • Registered:デバイスは BYOD フローを通過し、登録されました。この属性が Pending から Registered になるまでに 20 分の遅れがあります。

  • Pending:デバイスは BYOD フローを通過し、登録されました。ただし、ISE はネットワーク上でこのデバイスを認識していません。

  • Not Registered:デバイスが BYOD フローを通過していません。これは、この属性のデフォルト状態です。

  • Stolen:ユーザがデバイスポータルにログインし、現在オンボーディングされているデバイスを Stolen としてマークしました。この状況が発生した場合は次のような処理が行われます。

    • 証明書とプロファイルをプロビジョニングしてデバイスのオンボーディングが行われた場合、 ISE はそのデバイスに対してプロビジョニングされた証明書を失効させ、デバイスの MAC アドレスを ブラックリスト ID グループに割り当てます。そのデバイスはネットワークにアクセスできなくなります。

    • (証明書は含めず)プロファイルのみをプロビジョニングしてデバイスのオンボーディングが行われた場合、ISE はそのデバイスをブラックリスト エンドポイント ID グループに割り当てます。この状況に対応する許可ポリシーを作成していない場合は、デバイスは引き続きネットワークにアクセスできます。 たとえば、IF Endpoint Identity Group is Blacklist AND BYOD_is_Registered THEN DenyAccess となります。

    管理者は、さまざまなデバイスに対してネットワーク アクセスを無効にするアクション(証明書の削除や失効など)を行います。

    ユーザが盗まれたデバイスを復元すると、ステータスは not registered に戻ります。ユーザはそのデバイスを削除してからもう一度追加する必要があります。これにより、オンボーディング プロセスが開始されます。

  • Lost:ユーザがデバイスポータルにログオンし、現在オンボーディングされているデバイスを Lost としてマークしました。これにより、次のアクションが実行されます。

    • そのデバイスはブラックリスト ID グループに割り当てられます。

    • デバイスに対してプロビジョニングされた証明書は失効します。

    • デバイスのステータスが Lost に更新されます。

    • 「BYODRegistration」が No に更新されます。

    紛失デバイスをブロックする許可ポリシーを作成していない場合、紛失デバイスは引き続きネットワークにアクセスできます。ルールでブラックリスト ID グループまたは endpoint:BYODRegistration 属性を使用できます。たとえば、IF Endpoint Identity Group is Blacklist AND EndPoints:BYODRegistrations Equals No THEN BYOD と指定できます。よりきめ細かなアクセスを行うには、NetworkAccess:EAPAuthenticationMethod Equals PEAP or EAP-TLS or EAP-FAST” , InternalUser:IdentityGroup Equals <> をルールの IF 部分に追加することもできます。

従業員

が登録するパーソナルデバイス数の制限

従業員が 1 ~ 999 のパーソナル デバイスを登録できるようにすることができます。従業員がパーソナルデバイスの登録に使用したポータルに関係なく、 この設定では、すべてのポータルにわたって登録されるデバイスの最大数を定義します。

手順

ステップ 1

[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] > [設定(Settings)] > [従業員が登録するデバイス(Employee Registered Devices)] を選択します。

ステップ 2

[従業員を制限(Restrict employees to)] に、従業員が登録できるデバイスの最大数を入力します。デフォルトでは、この値は 5 デバイスに設定されています。

ステップ 3

[保存(Save)] をクリックします。 設定の更新を保存しない場合は、[リセット(Reset)] をクリックして、最後に保存した値に戻します。

ネイティブ サプリカントを使用したデバイス登録のサポート

ネイティブ サプリカント プロファイルを作成して、Cisco ISE ネットワークでパーソナルデバイスをサポートできます。ユーザの許可要件に 関連付けるプロファイルに基づいて、 Cisco ISE はネットワークにアクセスするユーザのパーソナルデバイスをセットアップするために必要な サプリカント プロビジョニング ウィザードを提供します。

従業員が パーソナルデバイスを使用して初めてネットワークへのアクセスを試みると、 登録およびサプリカントの設定の手順が自動的に示されます。デバイスを 登録した後、デバイスポータルを使用してデバイスを 管理できます。

ネイティブ サプリカントがサポートするオペレーティング システム

ネイティブサプリカントは、 次のオペレーティングシステムでサポートされます。

  • Android(Amazon Kindle、B&N Nook を除く)

  • Mac OS X(Apple Mac コンピュータの場合)

  • Apple iOS デバイス(Apple iPod、iPhone、および iPad)

  • Microsoft Windows 7、8(RT を除く)、Vista、および 10

クレデンシャルを持つ ゲストポータル

を使用したパーソナルデバイスの登録を従業員に許可

クレデンシャルを持つ ゲストポータルを利用している従業員は、自分のパーソナルデバイスを登録できます。BYOD ポータルによって提供されるセルフ プロビジョニング フロー により、従業員は Windows、MacOS、iOS および Android デバイスで 使用可能なネイティブサプリカントを使用してネットワークにデバイスを 直接接続できます。

はじめる前に

ネイティブ サプリカント プロファイルを作成する必要があります。

手順

ステップ 1

[ワークセンター(Work Center)] > [ゲストアクセス(Guest Access)] > [ポータルとコンポーネント(Portals & Components)] > [ゲストポータル(Guest Portals)] を選択します。

ステップ 2

従業員がネイティブサプリカントを使用して自分のデバイスを登録するために使用できるクレデンシャルを持つ ゲストポータルを選択し、[編集(Edit)] をクリックします。

ステップ 3

[ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] タブおよび [BYOD設定(BYOD Settings)] で、 [従業員にネットワークでのパーソナルデバイスの使用を許可する(Allow employees to use personal devices on the network)] をオンにします。

ステップ 4

[保存(Save)] をクリックし、[閉じる(Close)] をクリックします。

BYOD 登録に 再接続する URL の提供

BYOD ポータルを使用して パーソナル デバイスを登録中に問題が発生した従業員に、 登録プロセスへの再接続を可能にする情報を提供できます。

手順

ステップ 1

[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] > [設定(Settings)] > [再試行URL(Retry URL)] を選択します。

ステップ 2

IP アドレスを変更するか、 またはデバイスを Cisco ISE にリダイレクトするために使用できる URL を [オンボードのための再試行 URL(Retry URL for onboarding)] に入力します。

登録プロセス中に従業員のデバイスに問題が発生した場合、デバイスはインターネットに自動的に再接続しようとします。 この時点で、ここに入力する IP アドレスまたはドメイン名がデバイスを Cisco ISE にリダイレクトし、オンボーディングプロセスが再開されます。 デフォルト値は 1.1.1.1 です。
ステップ 3

[保存(Save)] をクリックします。 設定の更新を保存しない場合は、[リセット(Reset)] をクリックして、最後に保存した値に戻します。

デバイスポータルの 設定タスク

デフォルトポータルと、証明書、エンドポイント ID グループ、ID ソース順序、 ポータルテーマ、イメージ、および Cisco ISE によって提供されるその他の詳細などの デフォルト設定を使用できます。デフォルト設定を使用しない場合は、 新しいポータルを作成するか、必要性に合うように既存の設定を編集する 必要があります。同じ設定で複数のポータルを作成する場合は、 ポータルを複製できます。

新しいポータルを作成したり、デフォルトポータルを編集した後は、 ポータルの使用を承認する必要があります。いったんポータルの使用を承認すると、 後続の設定変更はただちに有効になります。

デバイスポータルを使用するための許可は 必要ありません。

ポータルを削除する場合は、 関連付けられている許可ポリシールールおよび許可プロファイルを先に削除するか、 別のポータルを使用するように変更する必要があります。

この表を使用して、 異なるデバイス ポータルの設定に関連するタスクを確認できます。

タスク ブラックリスト ポータル BYOD ポータル クライアント プロビジョニング ポータル MDM ポータル デバイス ポータル

ポリシー サービスの有効化

必須(Required)

必須(Required)

必須(Required)

必須(Required)

必須(Required)

デバイス ポータルへの証明書の追加

必須(Required)

必須(Required)

必須(Required)

必須(Required)

必須(Required)

外部 ID ソースの作成

不要

不要

不要

不要

必須(Required)

ID ソース順序の作成

不要

不要

不要

不要

必須(Required)

エンドポイント ID グループの作成

不要

必須(Required)

不要

必須(Required)

必須(Required)

ブラックリスト ポータルの編集

必須(Required)

N/A

N/A

N/A

N/A

BYOD ポータルの作成

N/A

必須(Required)

N/A

N/A

N/A

クライアント プロビジョニング ポータルの作成

N/A

N/A

必須(Required)

N/A

N/A

MDM ポータルの作成

N/A

N/A

N/A

必須(Required)

N/A

デバイス ポータルの作成

N/A

N/A

N/A

N/A

必須(Required)

許可プロファイルの作成

N/A

必須(Required)

必須(Required)

必須(Required)

不要

デバイス ポータルのカスタマイズ

オプション

オプション

オプション

オプション

オプション

ポリシーサービス の有効化

Cisco ISE エンドユーザ Web ポータルをサポートするには、ホストするノードでポータルポリシーサービス を有効にする必要があります。

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。

ステップ 2

ノードをクリックして、 [編集(Edit)] をクリックします。

ステップ 3

[全般設定(General Settings)] タブで、[ポリシーサービス(Policy Service)] をオンにします。

ステップ 4

[セッションサービスの有効化(Enable Session Services)] オプションをオンにします。

ステップ 5

[保存(Save)] をクリックします。

デバイス ポータルへの証明書の追加

デフォルトの証明書を使用しない場合は、 有効な証明書を追加して、証明書グループタグに割り当てることができます。すべてのエンドユーザ Web ポータルに 使用されるデフォルトの証明書グループタグは [デフォルトポータル証明書グループ(Default Portal Certificate Group)] です。


BYOD は、3 つ以上の証明書チェーンをサポートしていません。

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [システム証明書(System Certificates)] を選択します。

ステップ 2

システム証明書を追加し、 ポータルに使用する証明書グループタグに割り当てます。

この証明書グループタグは、 ポータルを作成または編集するときに選択できるようになります。
ステップ 3

[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] > (任意のポータル) > [作成または編集(Create or Edit)] > [ポータル設定(Portal Settings)] を選択します。

ステップ 4

新しく追加された証明書に関連付けられた [証明書グループタグ(Certificate group tag)] ドロップダウンリストから 特定の証明書グループタグを選択します。

外部 ID ソースの作成

Cisco ISE では、Active Directory、LDAP、RADIUS トークン、RSA SecurID サーバなどの外部 ID ソースに接続して、 認証/許可のユーザ情報を取得できます。外部 ID ソースには、証明書ベースの認証に必要な証明書認証 プロファイルも含まれています。


認証済みユーザ ID を受信して共有できるようにするパッシブ ID サービスを 使用するには、Cisco ISE Admin Guide: Asset Visibility』の「Additional Passive Identity Service Providers」の項を参照してください。

手順

ステップ 1

[管理(Administration)] > [IDの管理(Identity Management)] > [外部IDソース(External Identity Sources)] を選択します。

ステップ 2

次のオプションの いずれかを選択します。

  • 証明書認証プロファイル(Certificate Authentication Profile):証明書ベースの認証の場合。
  • Active Directory:外部 ID ソースである Active Directory に接続する場合。Cisco ISE Admin Guide: Asset Visibility 』の「Active Directory as an External Identity Source」の項を参照してください。
  • LDAP:LDAP ID ソースを追加する場合。詳細については、Cisco ISE Admin Guide: Asset Visibility 』の「LDAP」の項を参照してください。
  • RADIUSトークン(RADIUS Token):RADIUS トークンサーバを追加する場合。詳細については、Cisco ISE Admin Guide: Asset Visibility 』の「RADIUS Token Identity Sources」の項を参照してください。
  • RSA SecurID:RSA SecurID サーバを追加する場合。詳細については、Cisco ISE Admin Guide: Asset Visibility 』の「RSA Identity Sources」の項を参照してください。
  • SAML IDプロバイダー(SAML Id Providers):Oracle Access Manager などの ID プロバイダー(IdP)を追加する場合。詳細については、Cisco ISE Admin Guide: Asset Visibility 』の「SAMLv2 Identity Provider as an External Identity Source」の項を参照してください。
  • ソーシャルログイン(Social Login):Facebook などのソーシャルログインを外部 ID ソースとして追加する場合。Cisco ISE 管理者ガイド:ゲストと BYOD 』の「アカウント登録ゲストのソーシャルログイン」のセクションを参照してください。

ID ソース 順序の作成

はじめる前に

Cisco ISE に外部 ID ソースを設定していることを確認します。

次のタスクを実行するには、ネットワーク管理者またはシステム管理者である必要があります。

ゲストユーザがローカル WebAuth を使用して認証できるようにするには、ゲストポータル認証ソースと ID ソース順序に同じ ID ストアが含まれるように設定する必要があります。

手順

ステップ 1

[管理(Administration)] > [ID 管理(Identity Management)] > [ID ソース順序(Identity Source Sequences)] > [追加(Add)] を選択します。

ステップ 2

ID ソース順序の名前を入力します。 また、任意で説明を入力できます。

ステップ 3

[証明書認証プロファイル(Certificate Authentication Profile)] チェックボックスをオンにし、証明書ベースの認証のための証明書認証プロファイルを 選択します。

ステップ 4

[選択済み(Selected)] リストボックスの ID ソース順序に含めるデータベースを選択します。

ステップ 5

Cisco ISE がデータ ベースを検索する順に [選択済み(Selected)] リストのデータベースを並べ替えます。

ステップ 6

[高度な検索リスト(Advanced Search List)] 領域で、次のいずれかのオプションを選択します。

  • [順序内の他のストアにアクセスせず、AuthenticationStatus属性をProcessErrorに設定(Do not access other stores in the sequence and set the AuthenticationStatus attribute to ProcessError)] :最初に選択された ID ソースでユーザが見つからないとき、 Cisco ISE が検索を中止する場合。

  • [ユーザが見つからなかったとして処理し、順序内の次のストアに進む(Treat as if the user was not found and proceed to the next store in the sequence)]:最初に選択された ID ソースでユーザが見つからない場合に、Cisco ISE が順序内の他の選択された ID ソースの検索を続行する場合。

    Cisco ISE では、要求の処理中にこれらの ID ソースが順番に検索されます。 [選択済み(Selected)] リストに、Cisco ISE が ID ソースを検索する順序で ID ソースが表示されていることを確認します。

ステップ 7

[送信(Submit)] をクリックして ID ソース順序を作成すると、その後この ID ソース順序をポリシーで使用できます。

エンドポイント ID グループの作成

Cisco ISE では、検出したエンドポイント を、対応するエンドポイント ID グループにグループ化します。Cisco ISE では、システム定義された複数のエンドポイントの ID グループが事前に用意されています。[エンドポイントIDグループ(Endpoint Identity Groups)] ページでは、追加のエンドポイント ID グループも作成できます。 作成したエンドポイント ID グループは編集または削除できます。 システム定義のエンドポイント ID グループの説明のみを編集できます。それらのグループの名前を編集したり、グループを削除したりはできません。

手順

ステップ 1

[管理(Administration)] > [IDの管理(Identity Management)] > [グループ(Groups)] > [エンドポイントIDグループ(Endpoint Identity Groups)] を選択します。

ステップ 2

[追加(Add)] をクリックします。

ステップ 3

作成するエンドポイント ID グループの名前を入力します(エンドポイント ID グループの名前にはスペースを入れないでください)。

ステップ 4

作成するエンドポイント ID グループの説明を入力します。

ステップ 5

[親グループ(Parent Group)] ドロップダウンリストをクリックして、新しく作成したエンドポイント ID グループを関連付けるエンドポイント ID グループを選択します。

ステップ 6

[送信(Submit)] をクリックします。

ブラックリスト ポータルの編集

Cisco ISE では、Cisco ISE でブラックリストに登録されている紛失したり、盗難にあったりしたデバイスが企業ネットワークへのアクセスを試行した場合に、情報が表示される単一のブラックリストポータルが提供されます。

デフォルトのポータル設定を編集し、ポータルについて表示されるデフォルトのメッセージをカスタマイズすることのみができます。 新しいブラックリストポータルを作成することはできず、デフォルトポータルを複製または削除することもできません。

はじめる前に

このポータルで使用するために、必要な証明書が設定されていることを確認します。

手順

ステップ 1

[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] > [ブラックリストポータル(Blacklist Portal)] > [編集(Edit)] を選択します。

ステップ 2

ポータルの一意の [ポータル名(Portal Name)] および [説明(Description)] を指定します。

ここで使用する ポータル名が他のエンドユーザポータルに使用されていないことを確認します。
ステップ 3

ポータルで使用する言語ファイルをエクスポートおよびインポートするには、[言語(Languages)] メニューを使用します。

ステップ 4

[ポータルの設定(Portal Settings)] で証明書グループタグ、言語などのデフォルト値を更新し、ポータル全体に適用する動作を定義します。

  • [HTTPSポート(HTTPS port)]:8000 ~ 8999 の範囲のポート値を入力します。デフォルト値はすべてのデフォルトポータルで 8443 です。ただし、ブラックリストポータルは 8444 です。 この範囲外のポート値を使用してアップグレードした場合は、このページで変更を加えるまで維持されます。このページを変更する場合は、 この制限に従うようにポート設定を更新します。

    ゲスト ポータルに非ゲスト ポータル(マイ デバイスなど)によって使用されるポートを割り当てると、エラー メッセージが表示されます。

    ポスチャ評価と修復についてのみ、クライアント プロビジョニング ポータルはポート 8905 および 8909 も使用します。それ以外の場合は、 ゲストポータルへの割り当てと同じポートを使用します。

    同じ HTTPS ポートに割り当てられたポータルは、同じギガビット イーサネット インターフェイスまたは別のインターフェイスを使用できます。これらのポータルが同じポートとインターフェイスの組み合わせを使用している場合、同じ証明書グループタグを使用する必要があります。 次に例を示します。

    • スポンサー ポータルを例として使用した有効な組み合わせを次に示します。

      • スポンサー ポータル:ポート 8443、インターフェイス 0、証明書タグ A、およびデバイス ポータル:ポート 8443、インターフェイス 0、証明書グループ A

      • スポンサー ポータル:ポート 8443、インターフェイス 0、証明書グループ A、およびデバイス ポータル:ポート 8445、インターフェイス 0、証明書グループ B

      • スポンサー ポータル:ポート 8444、インターフェイス 1、証明書グループ A、およびブラックリスト ポータル:ポート 8444、インターフェイス 0、証明書グループ B

    • 無効な組み合わせには次が含まれます。

      • スポンサー ポータル:ポート 8443、インターフェイス 0、証明書グループ A、およびデバイス ポータル:8443、インターフェイス 0、証明書グループ B

      • スポンサー ポータル:ポート 8444、インターフェイス 0、証明書タグ A、およびブラックリスト ポータル:ポート 8444、インターフェイス 0、証明書グループ A

  • [使用可能インターフェイス(Allowed interfaces)]:PAN がポータルの実行に使用できる PSN インターフェイスを選択します。ポータルを開く要求が PAN で行われると、 PAN は PSN で使用可能なポートを探します。異なるサブネット上の IP アドレスを使用してイーサネットインターフェイスを設定する必要があります。

    これらのインターフェイスは、ポリシー サービスがオンになっているすべての PSN(VM ベースを含む)で使用可能である必要があります。これは、 これらのすべての PSN がゲストセッションの開始時にリダイレクトに使用される可能性があるため、必須要件です。

    • イーサネット インターフェイスは、異なるサブネット上の IP アドレスを使用する必要があります。

    • ここで有効にするインターフェイスは、ポリシー サービスがオンになっているときの VM ベースのものを含む、すべての PSN で使用できるものでなければなりません。 これは、これらのすべての PSN がゲスト セッションの開始時にリダイレクトに使用される可能性があるため必須です。

    • ポータルの証明書のサブジェクト名とサブジェクトの代替名はインターフェイス IP に解決する必要があります。

    • ISE CLI で ip host x.x.x.x yyy.domain.com を設定して、セカンダリインターフェイス IP を FQDN にマッピングします。これは、証明書のサブジェクト名とサブジェクトの代替名と一致させるために使用されます。

    • ボンディングされた NIC のみが選択されている場合:PSN はポータルの設定時に、最初にボンディング インターフェイスの設定を試みます。 ポンディング インターフェイスの設定に失敗した場合、その PSN でボンディングが設定されていないことが原因と考えられます。PSN はエラーを記録して終了します。 PSN は物理インターフェイスでのポータルの開始を試みません。

    • NIC チーミングやボンディングは、O/S の設定オプションです。高可用性(耐障害性)を実現するために、2 つの NIC を個別に設定できます。 どちらかの NIC に障害が発生すると、ボンディングされた接続の一部であるもう一方の NIC は、接続を続行します。1 つの NIC がポータル設定に基づきポータルに対して選択されます。

      • 物理 NIC と対応するボンディングされた NIC の両方が設定されている場合:PSN はポータル設定時に、最初にボンディングインターフェイスへの接続を試みます。 ボンディング インターフェイスへの接続に失敗した場合、その PSN にボンディングが設定されていないことが原因と考えられます。PSN は物理インターフェイスでポータルの開始を試みます。

  • [証明書グループタグ(Certificate group tag)]:ポータルの HTTPS トラフィックに使用する証明書を指定する証明書グループタグを選択します。

  • 表示言語

    • [ブラウザのロケールを使用する(Use browser locale)]:クライアントブラウザのロケール設定で指定された言語をポータルの表示言語として使用します。ブラウザロケールの言語が ISE でサポートされていない場合は、フォールバック言語が言語ポータルとして使用されます。

    • [フォールバック言語(Fallback language)]:ブラウザロケールから言語を取得できない場合、またはブラウザロケール言語が ISE でサポートされていない場合に使用する言語を選択します。

    • [常に使用(Always use)]:ポータルに使用する表示言語を選択します。この設定は、ユーザのブラウザのロケール オプションを上書きします。

    [スポンサーに使用可能なSSID(SSIDs available to sponsors)]:ゲストの訪問にあたり、スポンサーが正しい接続先ネットワークとしてゲストに通知できる、ネットワークの名前または SSID(セッション サービス識別子)を入力します。

ステップ 5

[ポータルページのカスタマイズ(Portal Page Customization)] タブで、許可されていないデバイスがネットワークへのアクセスの取得を試行した場合にポータルに表示されるパージタイトルおよびメッセージテキストをカスタマイズします。

ステップ 6

[保存(Save)] をクリックし、[閉じる(Close)] をクリックします。

BYOD ポータルの作成

個人所有デバイスの持ち込み(BYOD)ポータルを提供して、ネットワークへのアクセスの許可の前に登録とサプリカント設定を行うことができるように、従業員がパーソナルデバイスを登録できるようにすることができます。

新しい BYOD ポータルを作成するか、 既存のものを編集または複製できます。Cisco ISE によって提供されているデフォルトのポータルを含むすべての BYOD ポータルを削除できます。

[ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] タブのページ設定に加えた変更は、デバイスポータルフロー図のグラフィカルフローに反映されます。 [サポート情報(Support Information)] ページなどのページを有効にすると、そのページがフローに表示され、従業員はポータルで使用できるようになります。 無効にすると、フローから削除されます。

はじめる前に

このポータルで使用するために、必要な証明書とエンドポイント ID グループが設定されていることを確認します。

手順

ステップ 1

[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] > [BYODポータル(BYOD Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] を選択します。

ステップ 2

ポータルの一意の [ポータル名(Portal Name)] および [説明(Description)] を指定します。

ここで使用する ポータル名が他のエンドユーザポータルに使用されていないことを確認します。
ステップ 3

[言語ファイル(Language File)] ドロップダウンメニューを使用して、ポータルで使用する言語ファイルをエクスポートおよび インポートします。

ステップ 4

[ ポータルの設定(Portal Settings)] でポート、証明書グループタグ、エンドポイント ID グループなどのデフォルト値を更新し、ポータル全体に適用する動作を定義します。

ステップ 5

ネットワークアクセスの問題のトラブルシューティングのためにヘルプデスクが使用する情報を従業員が提供するのに役立つように、[サポート情報ページの設定(Support Information Page Settings)] を更新します。

ステップ 6

[ポータルページのカスタマイズ(Portal Page Customization)] タブで、プロビジョニングプロセス時に次のページに表示される [コンテンツ領域(Content Area)] ッセージテキストをカスタマイズします。

  • [BYOD ウェルカム(BYOD Welcome)] ページ:

    • [デバイス設定が必要(Device Configuration Required)]:デバイスが BYOD ポータルに初めてリダイレクトされ、証明書のプロビジョニングが必要な場合。

    • [証明書の更新が必要(Certificate Needs Renewal)]:前の証明書が更新される必要がある場合。

  • [BYOD デバイス情報(BYOD Device Information)] ページ:

    • [最大デバイス数に到達(Maximum Devices Reached)]:従業員が登録できるデバイスの最大数に到達した場合。

    • [必要なデバイス情報(Required Device Information)]:従業員がデバイスを登録できるようにするために必要なデバイス情報を要求している場合。

  • [BYOD インストール(BYOD Installation)] ページ:

    • [デスクトップ インストール(Desktop Installation)]:デスクトップ デバイス用のインストール情報を提供する場合。

    • [iOS インストール(iOS Installation)]:iOS モバイル デバイス用のインストールの指示を提供する場合。

    • [Android インストール(Android Installation)]:Android モバイル デバイス用のインストールの指示を提供する場合。

  • [BYOD 成功(BYOD Success)] ページ:

    • [成功(Success)]:デバイスが設定され、自動的にネットワークに接続される場合。

    • [成功:手動手順(Success: Manual Instructions)]:デバイスが正常に設定され、従業員がネットワークに手動で接続する必要がある場合。

    • [成功:サポート対象外のデバイス(Success: Unsupported Device)]:サポート対象外のデバイスがネットワークに接続できる場合。

ステップ 7

[保存(Save)] をクリックし、[閉じる(Close)] をクリックします。

次の作業

ポータルを使用するには、 そのポータルを許可する必要があります。ポータルを使用できるように許可する前または後に、 ポータルをカスタマイズすることもできます。

証明書プロビジョニング ポータルの作成

Cisco ISE では証明書プロビジョニングポータルが提供され、そこではオンボーディングフローを通過できないデバイスについて証明書を要求することができます。 たとえば、 販売時点管理端末などのデバイスがあります。1 つの証明書について要求を行うか、 または CSV ファイルを使用して一括証明書要求を行うことができます。

デフォルトのポータル設定を編集し、 ポータルに表示されるメッセージをカスタマイズすることができます。 また、証明書プロビジョニング ポータルを作成、複製、および削除することもできます。

証明書プロビジョニングポータルにアクセスできるユーザには 2 つのタイプがあります。

  • 管理者権限を持つ内部または外部のユーザ:自分自身と他人に対し証明書を生成できます。

  • 他のすべてのユーザ:自分自身にのみ証明書を生成できます。

スーパー管理ロールまたは ERS 管理ロールを割り当てられたユーザ(ネットワークアクセスユーザ)はこのポータルにアクセスでき、他人のために証明書を要求できます。 ただし、新しい内部管理ユーザを作成し、スーパー管理ロールまたは ERS 管理ロールを割り当てると、内部管理ユーザはこのポータルにアクセスできません。 最初にネットワークアクセスユーザを作成し、それからユーザをスーパー管理グループまたは ERS 管理グループに追加する必要があります。 スーパー管理グループまたは ERS 管理グループに追加されている既存のネットワークアクセスユーザは、このポータルにアクセスできます。

証明書プロビジョニングポータルにアクセスするための管理者アカウントを作成するには、次の手順を実行します。

  1. 内部ユーザを追加します([管理(Administration)] > [IDの管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] > [追加(Add)])。
  2. ユーザをスーパー管理グループまたは ERS 管理グループに追加します([管理(Administration)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理ユーザ(Admin Users)] > [追加(Add)] > [既存のネットワークアクセスユーザから選択(Select from existing network access user)])。 これでユーザが内部ネットワークアクセスユーザとスーパー管理ユーザまたは ERS 管理ユーザの両方になりました。

他のユーザがポータルにアクセスし、自分自身の証明書を生成できるようにするには、証明書プロビジョニングポータルの設定を行います([管理(Administration)] > [デバイスポータル管理(Device Portal Management)] > [証明書プロビジョニングポータル(Certificate Provisioning Portal)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [ポータル設定(Portal Settings)])。 [認証方式(Authentication Method)] で適切な ID ソースまたは ID ソース順序を選択し、[承認済みグループの設定(Configure Authorized Groups)] でユーザグループを選択します。 選択したグループに属するすべてのユーザが、 ポータルにアクセスし、自分自身の証明書を生成できるようになります。

はじめる前に

このポータルで使用するために、必要な証明書が設定されていることを確認します。

手順

ステップ 1

[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] > [証明書プロビジョニングポータル(Certificate Provisioning Portal)] > [作成(Create)] の順に選択します。

ここで使用する ポータル名が他のエンドユーザポータルに使用されていないことを確認します。

ステップ 2

ポータルの一意の [ポータル名(Portal Name)] および [説明(Description)] を指定します。

ステップ 3

[言語ファイル(Language File)] メニューを使用して、ポータルで使用する言語ファイルをエクスポートおよびインポートします。

ステップ 4

[ポータルの設定(Portal Settings)] で証明書グループタグ、言語などのデフォルト値を更新し、ポータル全体に適用する動作を定義します。

ステップ 5

[ポータルページのカスタマイズ(Portal Page Customization)] タブで、ポータルに表示されるページタイトルおよびメッセージテキストをカスタマイズします。

ステップ 6

[保存(Save)] をクリックし、[閉じる(Close)] をクリックします。

クライアント プロビジョニング ポータルの作成

クライアント プロビジョニング ポータルを提供して、ネットワークへのアクセスを許可する前に、デバイスのポスチャコンプライアンスを確認する Cisco AnyConnect ポスチャコンポーネントを従業員がダウンロードできるようにすることができます。

新しいクライアント プロビジョニング ポータルを作成するか、既存のものを編集または複製できます。 Cisco ISE によって提供されているデフォルトのポータルを含むすべてのクライアント プロビジョニング ポータルを削除できます。

スーパー管理ロールまたは ERS 管理ロールを割り当てられたユーザ(ネットワークアクセスユーザ)はこのポータルにアクセスできます。 ただし、新しい内部管理ユーザを作成し、スーパー管理ロールまたは ERS 管理ロールを割り当てると、内部管理ユーザはこのポータルにアクセスできません。 最初にネットワークアクセスユーザを作成し、それからユーザをスーパー管理グループまたは ERS 管理グループに追加する必要があります。 スーパー管理グループまたは ERS 管理グループに追加されている既存のネットワークアクセスユーザは、このポータルにアクセスできます。

クライアント プロビジョニング ポータルにアクセスするための管理者アカウントを作成するには、次の手順を実行します。

  1. 内部ユーザを追加します([管理(Administration)] > [IDの管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] > [追加(Add)])。

  2. ユーザをスーパー管理グループまたは ERS 管理グループに追加します([管理(Administration)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理ユーザ(Admin Users)] > [追加(Add)] > [既存のネットワークアクセスユーザから選択(Select from existing network access user)])。 これでユーザが内部ネットワーク アクセス ユーザとスーパー管理ユーザまたは ERS 管理ユーザの両方になりました。

他のユーザがポータルにアクセスし、自分自身の証明書を生成できるようにするには、クライアント プロビジョニング ポータルの設定を行います([管理(Administration)] > [デバイスポータル管理(Device Portal Management)] > [クライアントプロビジョニング(Client Provisioning)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [ポータル設定(Portal Settings)])。 [認証方式(Authentication Method)] で適切な ID ソースまたは ID ソース順序を選択し、[承認済みグループの設定(Configure Authorized Groups)] でユーザグループを選択します。 選択したグループに属するすべてのユーザが、ポータルにアクセスできるようになります。

[ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] タブのページ設定に加えた変更は、デバイスポータルフロー図のグラフィカルフローに反映されます。 [サポート情報(Support Information)] ページなどのページを有効にすると、そのページがフローに表示され、従業員はポータルで使用できるようになります。 無効にすると、フローから削除されます。

はじめる前に

このポータルで使用するために設定されている必要な証明書とクライアント プロビジョニング ポリシーがあることを確認します。

手順

ステップ 1

[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] > [クライアントプロビジョニングポータル(Client Provisioning Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] を選択します。

ステップ 2

ポータルの一意の [ポータル名(Portal Name)] および [説明(Description)] を指定します。

ここで使用する ポータル名が他のエンドユーザポータルに使用されていないことを確認します。
ステップ 3

[言語ファイル(Language File)] ドロップダウンメニューを使用して、ポータルで使用する言語ファイルをエクスポートおよび インポートします。

ステップ 4

[ ポータルの設定(Portal Settings)] でポート、証明書グループタグ、エンドポイント ID グループなどのデフォルト値を更新し、ポータル全体に適用する動作を定義します。

ステップ 5

ネットワークアクセスの問題のトラブルシューティングのためにヘルプデスクが使用する情報を従業員が提供するのに役立つように、[サポート情報ページの設定(Support Information Page Settings)] を更新します。

ステップ 6

[ポータルページのカスタマイズ(Portal Page Customization)] タブで、プロビジョニングプロセス時にクライアント プロビジョニング ポータルに表示される [コンテンツ領域(Content Area)] メッセージテキストをカスタマイズします。

  1. [クライアントプロビジョニング(Client Provisioning)] ページ:

    • [確認、スキャン、および準拠(Checking, Scanning and Compliant)]:ポスチャエージェントが正常にインストールされ、デバイスがポスチャ要件に準拠していることを確認、スキャン、および検証する場合。

    • [非準拠(Non-compliant)]:ポスチャエージェントが、デバイスがポスチャ要件に準拠していないと判断した場合。

  2. [クライアントプロビジョニング(エージェントが見つかりませんでいた)(Client Provisioning (Agent Not Found))] ページ:

    • [エージェントが見つかりませんでした(Agent Not Found)]:ポスチャエージェントがデバイスで検出されない場合。

    • [手動インストールの手順(Manual Installation Instructions)]:デバイスに Java または Active X ソフトウェアがインストールされていない場合の、ポスチャエージェントを手動でダウンロードし、インストールする方法の手順。

    • [インストール、Java/ActiveXなし(Install, No Java/ActiveX)]:デバイスに Java または Active X ソフトウェアがインストールされていない場合の、手動で Java プラグインをダウンロードし、インストールする方法の手順。

    • [エージェントインストール済み(Agent Installed)]:ポスチャエージェントがデバイスで検出された場合の、ポスチャエージェントを開始する方法の手順。これにより、デバイスがポスチャ要件に準拠するかどうかが確認される。

ステップ 7

[保存(Save)] をクリックし、[閉じる(Close)] をクリックします。

次の作業

ポータルを使用するには、 そのポータルを許可する必要があります。ポータルを使用できるように許可する前または後に、 ポータルをカスタマイズすることもできます。

MDM ポータルの作成

モバイルデバイス管理(MDM)ポータルを提供して、従業員が、企業ネットワークでの使用のために登録されたモバイルデバイスを管理できるようにすることができます。

新しい MDM ポータルを作成するか、既存のものを編集または複製できます。 すべての MDM システムに対して 1 つの MDM ポータルを設定できます。または、各システムに対し 1 つのポータルを作成できます。 Cisco ISE によって提供されているデフォルトのポータルを含むすべての MDM ポータルを削除できます。 デフォルトのポータルは、サードパーティの MDM プロバイダー用です。

新しい MDM ポータルを作成するか、既存のものを編集または複製できます。 Cisco ISE によって提供されているデフォルトのポータルを含むすべての MDM ポータルを削除できます。 デフォルトのポータルは、サードパーティの MDM プロバイダー用です。

[ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] タブのページ設定に加えた変更は、デバイスポータルフロー図のグラフィカルフローに反映されます。 [サポート情報(Support Information)] ページなどのページを有効にすると、そのページがフローに表示され、従業員はポータルで使用できるようになります。 無効にすると、フローから削除されます。

はじめる前に

このポータルで使用するために、必要な証明書とエンドポイント ID グループが設定されていることを確認します。

手順

ステップ 1

[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] > [MDMポータル(MDM Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] を選択します。

ステップ 2

ポータルの一意の [ポータル名(Portal Name)] および [説明(Description)] を指定します。

ここで使用する ポータル名が他のエンドユーザポータルに使用されていないことを確認します。
ステップ 3

[言語ファイル(Language File)] ドロップダウンメニューを使用して、ポータルで使用する言語ファイルをエクスポートおよび インポートします。

ステップ 4

[ ポータルの設定(Portal Settings)] でポート、証明書グループタグ、エンドポイント ID グループなどのデフォルト値を更新し、ポータル全体に適用する動作を定義します。

ステップ 5

特定のページのそれぞれに適用される次の設定を更新してください。

  • [従業員のモバイルデバイス管理の設定(Employee Mobile Device Management Settings)] では、サードパーティの MDM プロバイダーを設定するために提供されているリンクにアクセスし、MDM ポータルを使用して従業員の受信ポリシーによる動作を定義します。
  • [サポート情報ページの設定(Support Information Page Settings)] :ネットワークアクセスの問題のトラブルシューティングのためにヘルプデスクによって使用される情報をゲストが提供するのを 支援します。
ステップ 6

[ポータルページのカスタマイズ(Portal Page Customization)] タブで、デバイス登録プロセス時に MDM ポータルに表示される [コンテンツ領域(Content Area)] メッセージをカスタマイズします。

  • [到達不能(Unreachable)]:選択された MDM システムにアクセスできない場合。

  • [非準拠(Non-compliant)]:登録されるデバイスが MDM システムの要件に準拠していない場合。

  • [続行(Continue)]:接続に問題がある場合にデバイスがネットワークへの接続を試行する必要がある場合。

  • [登録(Enroll)]:デバイスが MDM エージェントを必要とし、かつそのデバイスを MDM システムに登録する必要がある場合。

ステップ 7

[保存(Save)] をクリックし、[閉じる(Close)] をクリックします。

次の作業

ポータルを使用するには、 そのポータルを許可する必要があります。ポータルを使用できるように許可する前または後に、 ポータルをカスタマイズすることもできます。また、次のトピックを参照してください。

デバイスポータルの作成

デバイスポータルを提供して、従業員が、ネイティブサプリカントをサポートせず、個人所有デバイスの持ち込み(BYOD)を使用して追加できないパーソナルデバイスを追加および登録できるようにすることができます。 デバイスポータルを使用して、いずれかのポータルを使用して追加されたすべてのデバイスを管理できます。

新しいデバイスポータルを作成するか、既存のものを編集または複製できます。 Cisco ISE によって提供されているデフォルトのポータルを含むすべてのデバイスポータルを削除できます。

[ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] タブのページ設定に加えた変更は、デバイスポータルフロー図のグラフィカルフローに反映されます。 [サポート情報(Support Information)] ページなどのページを有効にすると、そのページがフローに表示され、従業員はポータルで使用できるようになります。 無効にすると、フローから削除されます。

はじめる前に

このポータルで使用するために、必要な証明書、外部 ID ストア、ID ソース順序、およびエンドポイント ID グループが設定されていることを確認します。

手順

ステップ 1

[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] > [デバイスポータル(My Devices Portals)] > [作成、編集または複製(Create, Edit or Duplicate)] を選択します。

ステップ 2

ポータルの一意の [ポータル名(Portal Name)] および [説明(Description)] を指定します。

ここで使用する ポータル名が他のエンドユーザポータルに使用されていないことを確認します。
ステップ 3

[言語ファイル(Language File)] ドロップダウンメニューを使用して、ポータルで使用する言語ファイルをエクスポートおよび インポートします。

ステップ 4

[ポータルの設定(Portal Settings)] でポート、証明書グループタグ、ID ソース順序、エンドポイント ID グループなどのデフォルト値を更新し、ポータル全体に適用する動作を定義します。

ステップ 5

特定のページのそれぞれに適用される次の設定を更新してください。

  • [ログインページの設定(Login Page Settings)]:従業員クレデンシャルおよびログインガイドラインを指定します。
  • [利用規定(AUP)ページ設定(Acceptable Use Policy (AUP) Page Settings)]:別の AUP ページを追加し、従業員の利用規定の動作を定義します。
  • [ポストログインバナーページの設定(Post-Login Banner Page Settings)]:ポータルへのログイン後に、従業員に追加情報を通知します。
  • [従業員のパスワード変更の設定(Employee Change Password Settings)]:従業員の自身のパスワードの変更を許可します。 このオプションは、従業員が内部ユーザデータベースの一部である場合にのみ有効になります。
ステップ 6

[ポータルページのカスタマイズ(Portal Page Customization)] タブで、登録および管理時にデバイスポータルに表示される次の情報をカスタマイズします。

  • タイトル、コンテンツ、フィールド、およびボタン ラベル

  • エラー メッセージおよび通知メッセージ

ステップ 7

[保存(Save)] をクリックし、[閉じる(Close)] をクリックします。

次の作業

ポータルの外観を変更する場合は、ポータルをカスタマイズできます。参照先

許可プロファイルの作成

ポータルを許可するときは、 ネットワークアクセス用のネットワーク許可プロファイルおよびルールを 設定します。

はじめる前に

ポータルを許可する前に ポータルを作成する必要があります。

手順

ステップ 1

ポータルの 特別な許可プロファイルを設定します。

ステップ 2

プロファイルの 許可ポリシールールを作成します。

認証プロファイルの作成

各ポータルには、 特別な許可プロファイルを設定する必要があります。

はじめる前に

デフォルトのポータルを使用しない場合は、 許可プロファイルとポータル名を関連付けることができるように、 最初にポータルを作成する必要があります。

手順
ステップ 1

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [許可(Authorization)] > [許可プロファイル(Authorization Profiles)] を選択します。

ステップ 2

使用を許可する ポータル名を使用して許可プロファイルを作成します。

次の作業

新しく作成される 許可プロファイルを使用するポータル許可ポリシールールを作成する必要 があります。

認証ポリシールールの作成

ユーザ(ゲスト、スポンサー、従業員) のアクセス要求への応答に使用するポータルのリダイレクション URL を設定するには、 そのポータル用の許可ポリシールールを定義 します。

url-redirect は、ポータルタイプに基づいて次の形式になります。

ip:port = IP アドレスとポート番号

PortalID = 一意のポータル名

ホットスポット ゲスト ポータル:https://ip:port/guestportal/gateway?sessionID=SessionIdValue&portal=PortalID&action=cwa&type=drw

モバイルデバイス 管理(MDM)ポータル:https://ip:port/mdmportal/gateway?sessionID=SessionIdValue&portal=PortalID&action=mdm

手順
ステップ 1

[ポリシー(Policy)] > [ポリシーセット(Policy Sets)] を選択して、[標準(Standard)] ポリシーで新しい許可ポリシールールを作成します。

ステップ 2

[条件(Conditions)] には、ポータルの検証に使用する エンドポイント ID グループを選択します。たとえば、ホットスポット ゲスト ポータルの場合は、デフォルトの [GuestEndpoints] エンドポイント ID グループを選択し、MDM、ポータルの場合は、デフォルトの [RegisteredDevices] エンドポイント ID グループを選択します。

 
ホットスポット ゲスト ポータルは、Termination CoA だけを発行するため、ゲスト許可ポリシーの検証条件の 1 つとして [Network Access:UseCase EQUALS Guest Flow] を使用しないで ください。代わりに、エンドポイントが属する ID グループに 照合して検証を行います。次の例を参考にしてください。

  • "GuestEndpoint" + Wireless MAB の場合は Permit Access

  • Wireless MAB の場合は HotSpot Redirect

ステップ 3

[権限(Permissions)] には、作成したポータル許可プロファイルを 選択します。

デバイスポータルのカスタマイズ

ポータルの外観およびユーザ(必要に応じてゲスト、スポンサー、または従業員)エクスペリエンスをカスタマイズするには、 ポータルテーマをカスタマイズし、ポータルページの UI 要素を変更して、ユーザに表示されるエラーメッセージと通知を 編集します。ポータルのカスタマイズの詳細については、 』の「Customization of End-User Web Portals」の項を参照してください。

従業員が追加するパーソナル デバイスの管理

従業員が個人所有デバイスの持ち込み(BYOD)またはデバイスポータルを使用してデバイスを登録すると、デバイスはエンドポイントリストに表示されます。 従業員はデバイスを削除して自分のアカウントからデバイスを切り離すことができますが、デバイスは Cisco ISE データベースに残ります。 この結果、従業員は、デバイスの使用時に発生するエラーの解決に管理者の支援を必要とする場合があります。

従業員が追加したデバイスの表示

[エンドポイント(Endpoints)] リストページに表示される [ポータルユーザ(Portal User)] フィールドを使用して、特定の従業員が追加したデバイスを特定できます。 これは、特定のユーザが登録したデバイスを削除する必要がある場合に役立つことがあります。 デフォルトでは、このフィールドは表示されないため、検索する前に最初に有効にする必要があります。

手順

ステップ 1

[ワークセンター(Work Centers)] > [ネットワークアクセス(Network Access)] > [ID(Identities)] > [エンドポイント(Endpoints)] を選択します。

ステップ 2

[設定(Settings)] アイコンをクリックし、[カラム(Columns)] を選択します。

ステップ 3

[ポータルユーザ(Portal User)] を選択して、[エンドポイント(Endpoints)] リストに情報を表示します。

ステップ 4

[表示(Show)] ドロップダウン リストをクリックし、[クイックフィルタ(Quick Filter)] を選択します。

ステップ 5

[ポータルユーザ(Portal User)] フィールドにユーザの名前を入力して、その特定のユーザに割り当てられたエンドポイントのみを表示します。

デバイスをデバイス ポータルに追加するときのエラー

従業員は、別の従業員がすでに追加したサービスを追加することはできません。デバイスは引き続きエンドポイント データベースに含まれます。

Cisco ISE データベースにすでに存在しているデバイスを従業員が追加しようとした場合:

  • さらに、デバイスがネイティブ サプリカント プロビジョニングをサポートしている場合、BYOD ポータルからデバイスを追加することを推奨します。この場合、デバイスがネットワークに最初に追加されたときに作成された登録詳細がすべて上書きされます。

  • デバイスがプリンタなどの MAC 認証バイパス(MAB)デバイスである場合、デバイスの所有権を最初に解決する必要があります。必要に応じて、管理者ポータルを使用してエンドポイントデータベースからデバイスを削除できます。これにより、新しい所有者は、デバイスポータルを使用して正常にデバイスを追加できます。


管理者ポータルがダウンしている場合、デバイス ポータルは使用できません。
エンドポイントデータベースに残る、デバイスポータルから削除したデバイス

従業員がデバイスポータルからデバイスを削除すると、そのデバイスは従業員の登録済みデバイスのリストから削除されますが、Cisco ISE エンドポイントデータベースに残っており、エンドポイントリストに表示されます。

[エンドポイント(Endpoints)] ページからデバイスを完全に削除するには、[ワークセンター(Work Centers)] > [ネットワークアクセス(Network Access)] > [ID(Identities)] > [エンドポイント(Endpoints)] を選択します。

従業員

が登録するパーソナルデバイス数の制限

従業員が 1 ~ 999 のパーソナル デバイスを登録できるようにすることができます。従業員がパーソナルデバイスの登録に使用したポータルに関係なく、 この設定では、すべてのポータルにわたって登録されるデバイスの最大数を定義します。

手順

ステップ 1

[管理(Administration)] > [デバイスポータル管理(Device Portal Management)] > [設定(Settings)] > [従業員が登録するデバイス(Employee Registered Devices)] を選択します。

ステップ 2

[従業員を制限(Restrict employees to)] に、従業員が登録できるデバイスの最大数を入力します。デフォルトでは、この値は 5 デバイスに設定されています。

ステップ 3

[保存(Save)] をクリックします。 設定の更新を保存しない場合は、[リセット(Reset)] をクリックして、最後に保存した値に戻します。

デバイスポータルおよびエンドポイント アクティビティのモニタ

Cisco ISE は、 エンドポイントおよびユーザ管理情報、およびゲストとスポンサーのアクティビティを参照できる さまざまなレポートとログを提供します。Cisco ISE 1.2 レポート の一部は廃止されましたが、情報は他のレポートで表示できます。

オンデマンドまたは スケジュールベースでこれらのレポートを実行できます。

手順

ステップ 1

[操作(Operations)] > [レポート(Reports)] を選択します。

ステップ 2

レポート セレクタで、[ゲストアクセスレポート(Guest Access Reports)] および [エンドポイントとユーザ(Endpoints and Users)] 選択を展開し、さまざまな ゲスト、スポンサー、およびエンドポイントに関するレポートを表示します。

ステップ 3

レポートを 選択し、[フィルタ(Filters)] ドロップダウンリストを使用して、検索するデータを選択します。

ユーザ名、 ポータル名、デバイス名、エンドポイント ID グループ、および 他のデータについてフィルタを使用できます。

ステップ 4

データを表示する [時間範囲(Time Range)] を選択します。

ステップ 5

[実行(Run)] をクリックします。

デバイスログインおよび監査レポート

デバイスのログインおよび監査レポートは、次のものを追跡する統合レポートです。

  • デバイス ポータルでの従業員によるログイン アクティビティ。

  • デバイスポータルで従業員が実行したデバイス関連の操作。

このレポートは、[操作(Operations)] > [レポート(Reports)] > [ゲストアクセスレポート(Guest Access Reports)] > [デバイスログインおよび監査レポート(My Devices Login and Audit)] で使用できます。

登録済みエンドポイントレポート

[登録済みエンドポイントレポート(Registered Endpoints report)] には、従業員によって登録されたすべてのエンドポイントに関する情報が表示されます。 このレポートは、[操作(Operations)] > [レポート(Reports)] > [エンドポイントとユーザ(Endpoints and Users)] > [登録済みエンドポイント(Registered Endpoints)] で使用できます。 ID、エンドポイント ID、アイデンティティ プロファイルなどに対してクエリーを実行し、レポートを生成できます。 サプリカント プロビジョニング統計情報および関連データの詳細については、クライアント プロビジョニング レポートの表示に関する説明を参照してください。

エンドポイントデータベースに対するクエリーを実行して、RegisteredDevices エンドポイント ID グループに割り当て済みのエンドポイントの情報を取得することができます。 また、[ポータルユーザ(Portal User)] 属性がヌル以外の値に設定されている特定のユーザについてレポートを生成することもできます。

[登録済みエンドポイントレポート(Registered Endpoints Report)] には、特定のユーザによって指定の期間内にデバイス登録ポータルから登録されたエンドポイントのリストに関する情報が表示されます。