個人所有デバイスの持ち込み(BYOD)
企業ネットワークのパーソナル デバイス(BYOD)
企業ネットワーク上のパーソナルデバイスをサポートする場合は、ユーザ(従業員、請負業者、ゲスト)とそれぞれのデバイスを認証および許可することで、ネットワークサービスおよび企業データを保護する必要があります。 Cisco ISE には、従業員が企業ネットワーク上でパーソナルデバイスを安全に使用するために必要なツールがあります。
ゲストは、ゲスト ポータルへのログイン時に、自動的に自分のデバイスを登録することができます。ゲストは、ゲストタイプに定義されている最大数まで追加デバイスを登録できます。 それらのデバイスは、ポータル構成に基づいてエンドポイント ID グループに登録されます。
ゲストは、ネイティブ サプリカント プロビジョニング(Network Setup Assistant)を実行するか、またはデバイスをデバイスポータルに追加して、パーソナルデバイスをネットワークに追加できます。 オペレーティングシステムに基づいて、使用する適切なネイティブ サプリカント プロビジョニング ウィザードを決定するネイティブ サプリカント プロファイルを作成できます。
ネイティブ サプリカント プロファイルはすべてのデバイスで使用できるわけではないため、ユーザはデバイスポータルを使用してデバイスを手動で追加できます。または、これらのデバイスを登録するように BYOD ルールを設定できます。
Cisco ISE のエンドユーザ Web ポータルは、管理ペルソナ、ポリシーサービスペルソナ、およびモニタリングペルソナに基づき、設定、セッションサポート、およびレポート作成を提供します。
-
管理ノード:ユーザ、デバイス、およびエンドユーザポータルが管理ノードに書き込まれる構成の変更。
-
ポリシーサービスノード:エンドユーザポータルはポリシーサービスノードで実行する必要があります。ここでは、ネットワークアクセス、クライアント プロビジョニング、ゲストサービス、ポスチャ、およびプロファイリングを含むすべてのセッショントラフィックが処理されます。 ポリシーサービスノードがノードグループに含まれる場合、1 つのノードで障害が発生すると、他のノードが障害を検出し、保留中のセッションをリセットします。
-
モニタリングノード:モニタリングノードは、デバイスポータル、スポンサーポータル、およびゲストポータルでのエンドユーザおよびデバイスのアクティビティについて、データを収集、集約、およびレポートします。 プライマリ モニタリング ノードで障害が発生した場合は、セカンダリ モニタリング ノードが自動的にプライマリ モニタリング ノードになります。
BYOD ポータルおよびデバイス ポータルの次の一般設定を設定できます。
-
[従業員が登録するデバイス(Employee Registered Devices)]:[従業員を制限(Restrict employees to)] に、従業員が登録できるデバイスの最大数を入力します。デフォルトでは、この値は 5 デバイスに設定されています。
-
[再試行 URL(Retry URL)]:デバイスを Cisco ISE にリダイレクトするために使用できる URL を [オンボードのための再試行 URL(Retry URL for onboarding)] に入力します。
これらの一般的な設定値を設定したら、これらの設定は会社に設定したすべて BYOD ポータルおよびデバイス ポータルに適用されます。
パーソナル デバイス ポータル
Cisco ISE では、従業員が所有するパーソナルデバイスをサポートするために複数の Web ベースポータルが提供されています。 それらのデバイスポータルは、ゲストポータルフローまたはスポンサーポータルフローには関与しません。
次のポータルを使用します。
-
ブラックリストポータル:「ブラックリスト」に掲載されていて、ネットワークアクセスには使用できないパーソナルデバイスに関する情報が表示されます。
-
BYOD ポータル:従業員がネイティブ サプリカント プロビジョニング機能を使用して自分のパーソナルデバイスを登録できるようにします。
-
証明書プロビジョニングポータル:管理者および従業員が BYOD フローを通過できないデバイスに対するユーザまたはデバイス証明書を要求できるようにします。
-
クライアント プロビジョニング ポータル:コンプライアンスをチェックするポスチャエージェントを自分のデバイスにダウンロードするよう従業員に強制します。
-
MDM ポータル:従業員が外部のモバイルデバイス管理(MDM)システムに自分のモバイルデバイスを登録できるようにします。
-
デバイスポータル:従業員がパーソナルデバイス(ネイティブ サプリカント プロビジョニングをサポートしないデバイスを含む)を追加および登録し、管理できるようにします。
Cisco ISE には、事前定義済みのデフォルトポータルのセットを含む複数のデバイスポータルを Cisco ISE サーバでホストする機能が用意されています。 デフォルトのポータル テーマには、管理者ポータルからカスタマイズできる標準のシスコ ブランドが適用されています。また、組織に固有のイメージ、ロゴ、およびカスケーディング スタイル シート(CSS)ファイルをアップロードして、ポータルをさらにカスタマイズできます。
手順
ステップ 1 |
デバイスポータルにアクセスするには、次のいずれかを実行します。
|
ステップ 2 |
設定する特定のデバイスポータルを選択します。 |
ブラックリスト ポータル
従業員は、このポータルに直接アクセスするのではなく、ポータルにリダイレクトされます。
従業員が自分のパーソナルデバイスを紛失したり、盗まれたりした場合、デバイスポータルでデバイスのステータスを更新して、ブラックリスト エンドポイント ID グループにデバイスを追加できます。 これにより、不正なネットワークアクセスにデバイスが使用されるのを防ぎます。 誰かがこれらのデバイスの 1 つを使用してネットワークに接続しようとすると、ブラックリストポータルにリダイレクトされ、デバイスのネットワークアクセスが拒否されることが通知されます。 デバイスが見つかった場合、従業員はデバイスポータルでデバイスを復元し、デバイスを再登録せずにネットワークアクセスを回復できます。 デバイスが盗難されたか紛失したかに応じて、デバイスをネットワークに接続する前に、追加のプロビジョニングが必要になる場合があります。
ブラックリストポータルのポート設定(デフォルトはポート 8444)を設定できます。 ポート番号を変更する場合は、別のエンドユーザポータルで使用されていないことを確認してください。
従業員は、証明書プロビジョニングポータルに直接アクセスできます。
証明書プロビジョニングポータルでは、従業員はオンボーディングフローを通過できないデバイスについて証明書を要求できます。 たとえば、POS 端末などのデバイスは、BYOD フローを通過できないため、証明書を手動で発行する必要があります。 証明書プロビジョニングポータルでは、権限のある一連のユーザは、そのようなデバイスに対する証明書要求をアップロードし、キー ペアを生成し(必要に応じて)、証明書をダウンロードできます。
従業員は、このポータルにアクセスして、1 つの証明書について要求を行うか、または CSV ファイルを使用して一括証明書要求を行うことができます。
Identity Services Engine 証明書プロビジョニングポータルの機能と設定については、「ISE 2.0:証明書プロビジョニングポータル」を参照してください。 |
個人所有デバイスの持ち込みポータル
従業員は、このポータルに直接アクセスしません。
従業員は、ネイティブサプリカントを使用してパーソナルデバイスを登録すると、Bring Your Own Device(BYOD; 個人所有デバイス持ち込み)ポータルにリダイレクトされます。 従業員がパーソナルデバイスを使用して初めてネットワークにアクセスを試みると、手動で Network Setup Assistant(NSA)ウィザードをダウンロードして起動するように求められ、ネイティブサプリカントの登録およびインストールに進む場合があります。 デバイスを登録すると、デバイスポータルを使用して、デバイスを管理できます。
注 |
BYOD フローは、デバイスが AnyConnect Network Access Manager(NAM)を使用してネットワークに接続している場合はサポートされません。 |
クライアント プロビジョニング ポータル
従業員は、この ポータルに直接アクセスするのではなく、このポータルにリダイレクトされます。
クライアント プロビジョニング システムでは、企業 ネットワークにアクセスしようとしているデバイスのポスチャ評価 および修復を行います。従業員がデバイスを使用してネットワークアクセスを要求したときに、 クライアント プロビジョニング ポータルにルーティングして、 最初にポスチャエージェントをダウンロードするように要求できます。ポスチャエージェントは、デバイスにアンチウイルス ソフトウェアが インストールされていることや、オペレーティングシステムがサポートされていることの確認など、 コンプライアンスに関するデバイスのスキャンを行います。
モバイルデバイス 管理ポータル
従業員は、この ポータルに直接アクセスするのではなく、このポータルにリダイレクトされます。
数多くの会社で、従業員のモバイルデバイスを管理するために、 モバイルデバイス管理(MDM)システムを使用しています。
Cisco ISE では外部 MDM システムとの統合が許可されており、従業員はこれを使用して、 モバイルデバイスを登録し、企業ネットワークにアクセスすることができます。シスコでは、 従業員がデバイスを登録し、ネットワークに接続するために使用できる 外部 MDM インターフェイスを提供しています。
MDM ポータルを使用することで、 従業員は外部 MDM システムに登録できます。
従業員は、 デバイスポータルを使用して、PIN コードでのデバイスのロック、 工場出荷時のデフォルト設定へのデバイスのリセット、デバイス登録時にインストールされていた アプリケーションおよび設定の削除など、モバイルデバイスの管理を行うことができます。
Cisco ISE では、すべての外部 MDM システム用に単一の MDM ポータルを、 または個々の MDM システムごとに 1 つのポータルを使用できます。
MDM サーバを ISE とともに動作するように設定する方法については、「 MDM ポータルの作成」を参照してください。
デバイス ポータル
従業員は、 デバイスポータルに直接アクセスできます。
ネットワークアクセスが必要な一部のネットワークデバイスは、 ネイティブ サプリカント プロビジョニングで サポートされていないため、BYOD ポータルを使用して登録することができません。ただし、従業員は、 オペレーティングシステムがサポートされていないか、Web ブラウザが搭載されていない パーソナルデバイス(プリンタ、インターネットラジオ、その他のデバイスなど)を、 デバイスポータルを使用して追加および登録することができます。
従業員は、デバイスの MAC アドレスを入力して、 新しいデバイスを追加および管理できます。従業員が、 デバイスポータルを使用してデバイスを追加すると、 Cisco ISE はそのデバイスを RegisteredDevices エンドポイント ID グループのメンバーとして、[エンドポイント(Endpoints)] ページに追加します (別のエンドポイント ID グループに、すでに静的に割り当てられている場合を除く)。 デバイスは、Cisco ISE の他のエンドポイントと同様にプロファイリングされ、 ネットワークアクセスのための登録プロセスが行われます。
1 つのデバイスからの 2 つの MAC アドレスがユーザによりデバイスポータルに入力されると、 それらが同じホスト名を持ち、ISE で 1 つのエントリとして統合されていることがプロファイリングによって設定されます。たとえば、ユーザは有線および無線 のアドレスでラップトップを登録します。そのデバイス上での削除などの操作は、両方のアドレスで機能します。
登録済みデバイスがポータルから削除されると、デバイス登録状態属性と BYOD 登録状態属性は、 それぞれ [未登録(NotRegistered)] および [いいえ(No)] に変更されます。ただし、これらの属性は、従業員のデバイス登録時にのみ使用される BYOD 属性であるため、 ゲスト(従業員以外)がクレデンシャルを持つゲストポータルの [ゲストデバイス登録(Guest Device Registration)] ページを使用してデバイスを登録した場合は、 変更されずそのままになります。
従業員は、 BYOD またはデバイスポータルを使用して自分のデバイスを登録しているかどうかに関係なく、 デバイスポータルを使用してそれらを管理できます。
注 |
管理者ポータルがダウンしている場合、デバイス ポータルは使用できません。 |
BYOD の展開オプションとステータス ワークフロー
パーソナル デバイスをサポートする BYOD 展開フローは、次の要因によって若干異なります。
-
シングルまたはデュアル SSID:シングル SSID の場合は、証明書の登録、プロビジョニング、およびネットワーク アクセスに同じ WLAN が使用されます。 デュアル SSID 展開では、2 つの SSID があります。1 つは登録およびプロビジョニングを提供し、もう 1 つはセキュアなネットワークアクセスを提供します。
-
Windows、MacOS、iOS、または Android デバイス:ネイティブサプリカントのフローは、 サポートされているパーソナルデバイスを利用する従業員を BYOD ポータルにリダイレクトしてこれらのデバイス情報を確認することによって、デバイスのタイプに関係なく、同様に開始します。プロセスはデバイスタイプに応じて 分岐します。
従業員がネットワークに接続する
-
従業員のクレデンシャルが認証される:Cisco ISE は、社内 Active Directory または社内の他の ID ストアと照合して従業員を認証し、 許可ポリシーを提供します。
-
デバイスが BYOD ポータルにリダイレクトされる:デバイスが BYOD ポータルにリダイレクトされます。デバイスの [MACアドレス(MAC address)] フィールドは自動的に事前設定されます。 ユーザはデバイス名と説明を追加できます。
-
ネイティブサプリカントが設定される(MacOS、Windows、iOS、Android):ネイティブサプリカントが設定されます。ただしこのプロセスはデバイスに応じて異なります。
-
MacOS および Windows デバイス:従業員が BYOD ポータルで [登録(Register)] をクリックして、サプリカント プロビジョニング ウィザード(Network Setup Assistant)をダウンロードしてインストールします。 このウィザードではサプリカントが設定され、EAP-TLS 証明書ベース認証に使用する証明書が(必要に応じて)提供されます。デバイスの MAC アドレスと従業員のユーザ名が 発行済み証明書に組み込まれます。
注
Network Setup Assistant は、そのデバイスのユーザが管理者権限を持っていない限り、Windows デバイスにダウンロードすることはできません。 エンドユーザに管理者権限を与えることができない場合は、BYOD フローを使用するのではなく、 GPO を使用して証明書をユーザのデバイスにプッシュします。
注
バージョン OSx 10.15 以降では、ユーザはサプリカント プロビジョニング ウィザード(SPW)のダウンロードを許可する必要があります。ユーザのデバイスに、 Cisco ISE サーバからのダウンロードを許可または拒否するように求めるウィンドウが表示されます。
-
iOS デバイス:Cisco ISE ポリシー サーバは Apple の iOS ワイヤレス機能を使用して新しいプロファイルを IOS デバイスに送信します。このプロファイルには次の情報が含まれます。
-
発行済み証明書(設定されている場合)には iOS デバイスの MAC アドレスと従業員のユーザ名が組み込まれます。
-
802.1X 認証の EAP-TLS の使用を強制できる Wi-Fi サプリカント プロファイル。
-
-
Android デバイス:Cisco ISE は、従業員に Google Play ストアから Cisco Network Setup Assistant(NSA)をダウンロードするように要求し、ルーティングします。 アプリのインストール後に、従業員は NSA を開いてセットアップ ウィザードを開始できます。 このウィザードでは、サプリカントの設定と、デバイスの設定に使用される発行済み証明書が生成されます。
-
-
認可変更が発行される:ユーザがオンボーディングフローを通過すると、Cisco ISE は認可変更(CoA)を開始します。これにより、MacOS X、Windows、および Android デバイスはセキュアな 802.1X ネットワークに再接続します。シングル SSID の場合、iOS デバイスも自動的に接続されますが、 デュアル SSID の場合、ウィザードは iOS ユーザに手動で新しいネットワークに接続するように要求します。
注 |
サプリカントを使用しない BYOD フローを設定できます。Cisco ISE のコミュニティドキュメント(https://supportforums.cisco.com/blog/12705471/ise-byod-registration-only-without-native-supplicant-or-certificate-provisioning)を参照してください。 |
注 |
[ターゲットネットワークが非表示になっている場合に有効にする(Enable if Target Network is Hidden)] チェックボックスをオンにするのは、実際の Wi-Fi ネットワークが非表示の場合に限ります。そうしないと、特にシングル SSID フロー(同じ Wi-Fi ネットワーク/SSID がオンボーディングと接続の両方に使用されている) の特定の iOS デバイスに対して Wi-Fi ネットワーク設定が適切に プロビジョニングされない場合があります。 |
BYOD セッション エンドポイント属性
エンドポイント属性 BYODRegistration の状態は、BYOD フローにおいて次の状態に変化します。
-
Unknown:デバイスが BYOD フローを通過していません。
-
Yes:デバイスは BYOD フローを通過し、登録されました。
-
No:デバイスが BYOD フローを通過しましたが、登録されていません。つまり、デバイスは削除されています。
デバイス登録ステータスのエンドポイント属性
エンドポイント属性 DeviceRegistrationStatus の状態は、デバイス登録中に次の状態に変化します。
-
Registered:デバイスは BYOD フローを通過し、登録されました。この属性が Pending から Registered になるまでに 20 分の遅れがあります。
-
Pending:デバイスは BYOD フローを通過し、登録されました。ただし、ISE はネットワーク上でこのデバイスを認識していません。
-
Not Registered:デバイスが BYOD フローを通過していません。これは、この属性のデフォルト状態です。
-
Stolen:ユーザがデバイスポータルにログインし、現在オンボーディングされているデバイスを Stolen としてマークしました。この状況が発生した場合は次のような処理が行われます。
-
証明書とプロファイルをプロビジョニングしてデバイスのオンボーディングが行われた場合、 ISE はそのデバイスに対してプロビジョニングされた証明書を失効させ、デバイスの MAC アドレスを ブラックリスト ID グループに割り当てます。そのデバイスはネットワークにアクセスできなくなります。
-
(証明書は含めず)プロファイルのみをプロビジョニングしてデバイスのオンボーディングが行われた場合、ISE はそのデバイスをブラックリスト エンドポイント ID グループに割り当てます。この状況に対応する許可ポリシーを作成していない場合は、デバイスは引き続きネットワークにアクセスできます。 たとえば、IF Endpoint Identity Group is Blacklist AND BYOD_is_Registered THEN DenyAccess となります。
管理者は、さまざまなデバイスに対してネットワーク アクセスを無効にするアクション(証明書の削除や失効など)を行います。
ユーザが盗まれたデバイスを復元すると、ステータスは not registered に戻ります。ユーザはそのデバイスを削除してからもう一度追加する必要があります。これにより、オンボーディング プロセスが開始されます。
-
-
Lost:ユーザがデバイスポータルにログオンし、現在オンボーディングされているデバイスを Lost としてマークしました。これにより、次のアクションが実行されます。
-
そのデバイスはブラックリスト ID グループに割り当てられます。
-
デバイスに対してプロビジョニングされた証明書は失効します。
-
デバイスのステータスが Lost に更新されます。
-
「BYODRegistration」が No に更新されます。
紛失デバイスをブロックする許可ポリシーを作成していない場合、紛失デバイスは引き続きネットワークにアクセスできます。ルールでブラックリスト ID グループまたは endpoint:BYODRegistration 属性を使用できます。たとえば、IF Endpoint Identity Group is Blacklist AND EndPoints:BYODRegistrations Equals No THEN BYOD と指定できます。よりきめ細かなアクセスを行うには、NetworkAccess:EAPAuthenticationMethod Equals PEAP or EAP-TLS or EAP-FAST” , InternalUser:IdentityGroup Equals <
> をルールの IF 部分に追加することもできます。 -
従業員
が登録するパーソナルデバイス数の制限従業員が 1 ~ 999 のパーソナル デバイスを登録できるようにすることができます。従業員がパーソナルデバイスの登録に使用したポータルに関係なく、 この設定では、すべてのポータルにわたって登録されるデバイスの最大数を定義します。
手順
ステップ 1 |
[管理(Administration)] を選択します。 |
ステップ 2 |
[従業員を制限(Restrict employees to)] に、従業員が登録できるデバイスの最大数を入力します。デフォルトでは、この値は 5 デバイスに設定されています。 |
ステップ 3 |
[保存(Save)] をクリックします。 設定の更新を保存しない場合は、[リセット(Reset)] をクリックして、最後に保存した値に戻します。 |
ネイティブ サプリカントを使用したデバイス登録のサポート
ネイティブ サプリカント プロファイルを作成して、Cisco ISE ネットワークでパーソナルデバイスをサポートできます。ユーザの許可要件に 関連付けるプロファイルに基づいて、 Cisco ISE はネットワークにアクセスするユーザのパーソナルデバイスをセットアップするために必要な サプリカント プロビジョニング ウィザードを提供します。
従業員が パーソナルデバイスを使用して初めてネットワークへのアクセスを試みると、 登録およびサプリカントの設定の手順が自動的に示されます。デバイスを 登録した後、デバイスポータルを使用してデバイスを 管理できます。
ネイティブ サプリカントがサポートするオペレーティング システム
ネイティブサプリカントは、 次のオペレーティングシステムでサポートされます。
-
Android(Amazon Kindle、B&N Nook を除く)
-
Mac OS X(Apple Mac コンピュータの場合)
-
Apple iOS デバイス(Apple iPod、iPhone、および iPad)
-
Microsoft Windows 7、8(RT を除く)、Vista、および 10
クレデンシャルを持つ ゲストポータル
を使用したパーソナルデバイスの登録を従業員に許可クレデンシャルを持つ ゲストポータルを利用している従業員は、自分のパーソナルデバイスを登録できます。BYOD ポータルによって提供されるセルフ プロビジョニング フロー により、従業員は Windows、MacOS、iOS および Android デバイスで 使用可能なネイティブサプリカントを使用してネットワークにデバイスを 直接接続できます。
はじめる前に
ネイティブ サプリカント プロファイルを作成する必要があります。
手順
ステップ 1 |
[ワークセンター(Work Center)] を選択します。 |
ステップ 2 |
従業員がネイティブサプリカントを使用して自分のデバイスを登録するために使用できるクレデンシャルを持つ ゲストポータルを選択し、[編集(Edit)] をクリックします。 |
ステップ 3 |
[ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] タブおよび [BYOD設定(BYOD Settings)] で、 [従業員にネットワークでのパーソナルデバイスの使用を許可する(Allow employees to use personal devices on the network)] をオンにします。 |
ステップ 4 |
[保存(Save)] をクリックし、[閉じる(Close)] をクリックします。 |
BYOD 登録に 再接続する URL の提供
BYOD ポータルを使用して パーソナル デバイスを登録中に問題が発生した従業員に、 登録プロセスへの再接続を可能にする情報を提供できます。
手順
ステップ 1 |
[管理(Administration)] を選択します。 |
ステップ 2 |
IP アドレスを変更するか、 またはデバイスを Cisco ISE にリダイレクトするために使用できる URL を [オンボードのための再試行 URL(Retry URL for onboarding)] に入力します。 登録プロセス中に従業員のデバイスに問題が発生した場合、デバイスはインターネットに自動的に再接続しようとします。
この時点で、ここに入力する IP アドレスまたはドメイン名がデバイスを Cisco ISE にリダイレクトし、オンボーディングプロセスが再開されます。
デフォルト値は 1.1.1.1 です。
|
ステップ 3 |
[保存(Save)] をクリックします。 設定の更新を保存しない場合は、[リセット(Reset)] をクリックして、最後に保存した値に戻します。 |
デバイスポータルの 設定タスク
デフォルトポータルと、証明書、エンドポイント ID グループ、ID ソース順序、 ポータルテーマ、イメージ、および Cisco ISE によって提供されるその他の詳細などの デフォルト設定を使用できます。デフォルト設定を使用しない場合は、 新しいポータルを作成するか、必要性に合うように既存の設定を編集する 必要があります。同じ設定で複数のポータルを作成する場合は、 ポータルを複製できます。
新しいポータルを作成したり、デフォルトポータルを編集した後は、 ポータルの使用を承認する必要があります。いったんポータルの使用を承認すると、 後続の設定変更はただちに有効になります。
デバイスポータルを使用するための許可は 必要ありません。
ポータルを削除する場合は、 関連付けられている許可ポリシールールおよび許可プロファイルを先に削除するか、 別のポータルを使用するように変更する必要があります。
この表を使用して、 異なるデバイス ポータルの設定に関連するタスクを確認できます。
タスク | ブラックリスト ポータル | BYOD ポータル | クライアント プロビジョニング ポータル | MDM ポータル | デバイス ポータル |
---|---|---|---|---|---|
必須(Required) |
必須(Required) |
必須(Required) |
必須(Required) |
必須(Required) |
|
必須(Required) |
必須(Required) |
必須(Required) |
必須(Required) |
必須(Required) |
|
不要 |
不要 |
不要 |
不要 |
必須(Required) |
|
不要 |
不要 |
不要 |
不要 |
必須(Required) |
|
不要 |
必須(Required) |
不要 |
必須(Required) |
必須(Required) |
|
必須(Required) |
N/A |
N/A |
N/A |
N/A |
|
N/A |
必須(Required) |
N/A |
N/A |
N/A |
|
N/A |
N/A |
必須(Required) |
N/A |
N/A |
|
N/A |
N/A |
N/A |
必須(Required) |
N/A |
|
N/A |
N/A |
N/A |
N/A |
必須(Required) |
|
N/A |
必須(Required) |
必須(Required) |
必須(Required) |
不要 |
|
オプション |
オプション |
オプション |
オプション |
オプション |
ポリシーサービス の有効化
Cisco ISE エンドユーザ Web ポータルをサポートするには、ホストするノードでポータルポリシーサービス を有効にする必要があります。
手順
ステップ 1 |
[管理(Administration)] を選択します。 |
ステップ 2 |
ノードをクリックして、 [編集(Edit)] をクリックします。 |
ステップ 3 |
[全般設定(General Settings)] タブで、[ポリシーサービス(Policy Service)] をオンにします。 |
ステップ 4 |
[セッションサービスの有効化(Enable Session Services)] オプションをオンにします。 |
ステップ 5 |
[保存(Save)] をクリックします。 |
デバイス ポータルへの証明書の追加
デフォルトの証明書を使用しない場合は、 有効な証明書を追加して、証明書グループタグに割り当てることができます。すべてのエンドユーザ Web ポータルに 使用されるデフォルトの証明書グループタグは [デフォルトポータル証明書グループ(Default Portal Certificate Group)] です。
注 |
BYOD は、3 つ以上の証明書チェーンをサポートしていません。 |
手順
ステップ 1 |
[管理(Administration)] を選択します。 |
ステップ 2 |
システム証明書を追加し、 ポータルに使用する証明書グループタグに割り当てます。 この証明書グループタグは、
ポータルを作成または編集するときに選択できるようになります。
|
ステップ 3 |
[管理(Administration)] を選択します。 |
ステップ 4 |
新しく追加された証明書に関連付けられた [証明書グループタグ(Certificate group tag)] ドロップダウンリストから 特定の証明書グループタグを選択します。 |
外部 ID ソースの作成
Cisco ISE では、Active Directory、LDAP、RADIUS トークン、RSA SecurID サーバなどの外部 ID ソースに接続して、 認証/許可のユーザ情報を取得できます。外部 ID ソースには、証明書ベースの認証に必要な証明書認証 プロファイルも含まれています。
注 |
認証済みユーザ ID を受信して共有できるようにするパッシブ ID サービスを 使用するには、 『Cisco ISE Admin Guide: Asset Visibility』の「Additional Passive Identity Service Providers」の項を参照してください。 |
手順
ステップ 1 |
[管理(Administration)] を選択します。 |
ステップ 2 |
次のオプションの いずれかを選択します。
|
ID ソース 順序の作成
はじめる前に
Cisco ISE に外部 ID ソースを設定していることを確認します。
次のタスクを実行するには、ネットワーク管理者またはシステム管理者である必要があります。
ゲストユーザがローカル WebAuth を使用して認証できるようにするには、ゲストポータル認証ソースと ID ソース順序に同じ ID ストアが含まれるように設定する必要があります。
手順
ステップ 1 |
[管理(Administration)] > [ID 管理(Identity Management)] > [ID ソース順序(Identity Source Sequences)] > [追加(Add)] を選択します。 |
ステップ 2 |
ID ソース順序の名前を入力します。 また、任意で説明を入力できます。 |
ステップ 3 |
[証明書認証プロファイル(Certificate Authentication Profile)] チェックボックスをオンにし、証明書ベースの認証のための証明書認証プロファイルを 選択します。 |
ステップ 4 |
[選択済み(Selected)] リストボックスの ID ソース順序に含めるデータベースを選択します。 |
ステップ 5 |
Cisco ISE がデータ ベースを検索する順に [選択済み(Selected)] リストのデータベースを並べ替えます。 |
ステップ 6 |
[高度な検索リスト(Advanced Search List)] 領域で、次のいずれかのオプションを選択します。
|
ステップ 7 |
[送信(Submit)] をクリックして ID ソース順序を作成すると、その後この ID ソース順序をポリシーで使用できます。 |
エンドポイント ID グループの作成
Cisco ISE では、検出したエンドポイント を、対応するエンドポイント ID グループにグループ化します。Cisco ISE では、システム定義された複数のエンドポイントの ID グループが事前に用意されています。[エンドポイントIDグループ(Endpoint Identity Groups)] ページでは、追加のエンドポイント ID グループも作成できます。 作成したエンドポイント ID グループは編集または削除できます。 システム定義のエンドポイント ID グループの説明のみを編集できます。それらのグループの名前を編集したり、グループを削除したりはできません。
手順
ステップ 1 |
[管理(Administration)] > [IDの管理(Identity Management)] > [グループ(Groups)] > [エンドポイントIDグループ(Endpoint Identity Groups)] を選択します。 |
ステップ 2 |
[追加(Add)] をクリックします。 |
ステップ 3 |
作成するエンドポイント ID グループの名前を入力します(エンドポイント ID グループの名前にはスペースを入れないでください)。 |
ステップ 4 |
作成するエンドポイント ID グループの説明を入力します。 |
ステップ 5 |
[親グループ(Parent Group)] ドロップダウンリストをクリックして、新しく作成したエンドポイント ID グループを関連付けるエンドポイント ID グループを選択します。 |
ステップ 6 |
[送信(Submit)] をクリックします。 |
ブラックリスト ポータルの編集
Cisco ISE では、Cisco ISE でブラックリストに登録されている紛失したり、盗難にあったりしたデバイスが企業ネットワークへのアクセスを試行した場合に、情報が表示される単一のブラックリストポータルが提供されます。
デフォルトのポータル設定を編集し、ポータルについて表示されるデフォルトのメッセージをカスタマイズすることのみができます。 新しいブラックリストポータルを作成することはできず、デフォルトポータルを複製または削除することもできません。
はじめる前に
このポータルで使用するために、必要な証明書が設定されていることを確認します。
手順
ステップ 1 |
[管理(Administration)] を選択します。 |
ステップ 2 |
ポータルの一意の [ポータル名(Portal Name)] および [説明(Description)] を指定します。 ここで使用する
ポータル名が他のエンドユーザポータルに使用されていないことを確認します。
|
ステップ 3 |
ポータルで使用する言語ファイルをエクスポートおよびインポートするには、[言語(Languages)] メニューを使用します。 |
ステップ 4 |
[ポータルの設定(Portal Settings)] で証明書グループタグ、言語などのデフォルト値を更新し、ポータル全体に適用する動作を定義します。
|
ステップ 5 |
[ポータルページのカスタマイズ(Portal Page Customization)] タブで、許可されていないデバイスがネットワークへのアクセスの取得を試行した場合にポータルに表示されるパージタイトルおよびメッセージテキストをカスタマイズします。 |
ステップ 6 |
[保存(Save)] をクリックし、[閉じる(Close)] をクリックします。 |
BYOD ポータルの作成
個人所有デバイスの持ち込み(BYOD)ポータルを提供して、ネットワークへのアクセスの許可の前に登録とサプリカント設定を行うことができるように、従業員がパーソナルデバイスを登録できるようにすることができます。
新しい BYOD ポータルを作成するか、 既存のものを編集または複製できます。Cisco ISE によって提供されているデフォルトのポータルを含むすべての BYOD ポータルを削除できます。
[ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] タブのページ設定に加えた変更は、デバイスポータルフロー図のグラフィカルフローに反映されます。 [サポート情報(Support Information)] ページなどのページを有効にすると、そのページがフローに表示され、従業員はポータルで使用できるようになります。 無効にすると、フローから削除されます。
はじめる前に
このポータルで使用するために、必要な証明書とエンドポイント ID グループが設定されていることを確認します。
手順
ステップ 1 |
[管理(Administration)] を選択します。 |
ステップ 2 |
ポータルの一意の [ポータル名(Portal Name)] および [説明(Description)] を指定します。 ここで使用する
ポータル名が他のエンドユーザポータルに使用されていないことを確認します。
|
ステップ 3 |
[言語ファイル(Language File)] ドロップダウンメニューを使用して、ポータルで使用する言語ファイルをエクスポートおよび インポートします。 |
ステップ 4 |
[ ポータルの設定(Portal Settings)] でポート、証明書グループタグ、エンドポイント ID グループなどのデフォルト値を更新し、ポータル全体に適用する動作を定義します。 |
ステップ 5 |
ネットワークアクセスの問題のトラブルシューティングのためにヘルプデスクが使用する情報を従業員が提供するのに役立つように、[サポート情報ページの設定(Support Information Page Settings)] を更新します。 |
ステップ 6 |
[ポータルページのカスタマイズ(Portal Page Customization)] タブで、プロビジョニングプロセス時に次のページに表示される [コンテンツ領域(Content Area)] メッセージテキストをカスタマイズします。
|
ステップ 7 |
[保存(Save)] をクリックし、[閉じる(Close)] をクリックします。 |
次の作業
ポータルを使用するには、 そのポータルを許可する必要があります。ポータルを使用できるように許可する前または後に、 ポータルをカスタマイズすることもできます。
証明書プロビジョニング ポータルの作成
Cisco ISE では証明書プロビジョニングポータルが提供され、そこではオンボーディングフローを通過できないデバイスについて証明書を要求することができます。 たとえば、 販売時点管理端末などのデバイスがあります。1 つの証明書について要求を行うか、 または CSV ファイルを使用して一括証明書要求を行うことができます。
デフォルトのポータル設定を編集し、 ポータルに表示されるメッセージをカスタマイズすることができます。 また、証明書プロビジョニング ポータルを作成、複製、および削除することもできます。
証明書プロビジョニングポータルにアクセスできるユーザには 2 つのタイプがあります。
-
管理者権限を持つ内部または外部のユーザ:自分自身と他人に対し証明書を生成できます。
-
他のすべてのユーザ:自分自身にのみ証明書を生成できます。
スーパー管理ロールまたは ERS 管理ロールを割り当てられたユーザ(ネットワークアクセスユーザ)はこのポータルにアクセスでき、他人のために証明書を要求できます。 ただし、新しい内部管理ユーザを作成し、スーパー管理ロールまたは ERS 管理ロールを割り当てると、内部管理ユーザはこのポータルにアクセスできません。 最初にネットワークアクセスユーザを作成し、それからユーザをスーパー管理グループまたは ERS 管理グループに追加する必要があります。 スーパー管理グループまたは ERS 管理グループに追加されている既存のネットワークアクセスユーザは、このポータルにアクセスできます。
証明書プロビジョニングポータルにアクセスするための管理者アカウントを作成するには、次の手順を実行します。
- 内部ユーザを追加します([管理(Administration)] > [IDの管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] > [追加(Add)])。
- ユーザをスーパー管理グループまたは ERS 管理グループに追加します([管理(Administration)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理ユーザ(Admin Users)] > [追加(Add)] > [既存のネットワークアクセスユーザから選択(Select from existing network access user)])。 これでユーザが内部ネットワークアクセスユーザとスーパー管理ユーザまたは ERS 管理ユーザの両方になりました。
他のユーザがポータルにアクセスし、自分自身の証明書を生成できるようにするには、証明書プロビジョニングポータルの設定を行います([管理(Administration)] > [デバイスポータル管理(Device Portal Management)] > [証明書プロビジョニングポータル(Certificate Provisioning Portal)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [ポータル設定(Portal Settings)])。 [認証方式(Authentication Method)] で適切な ID ソースまたは ID ソース順序を選択し、[承認済みグループの設定(Configure Authorized Groups)] でユーザグループを選択します。 選択したグループに属するすべてのユーザが、 ポータルにアクセスし、自分自身の証明書を生成できるようになります。
はじめる前に
このポータルで使用するために、必要な証明書が設定されていることを確認します。
手順
ステップ 1 |
[管理(Administration)] の順に選択します。ここで使用する ポータル名が他のエンドユーザポータルに使用されていないことを確認します。 |
ステップ 2 |
ポータルの一意の [ポータル名(Portal Name)] および [説明(Description)] を指定します。 |
ステップ 3 |
[言語ファイル(Language File)] メニューを使用して、ポータルで使用する言語ファイルをエクスポートおよびインポートします。 |
ステップ 4 |
[ポータルの設定(Portal Settings)] で証明書グループタグ、言語などのデフォルト値を更新し、ポータル全体に適用する動作を定義します。 |
ステップ 5 |
[ポータルページのカスタマイズ(Portal Page Customization)] タブで、ポータルに表示されるページタイトルおよびメッセージテキストをカスタマイズします。 |
ステップ 6 |
[保存(Save)] をクリックし、[閉じる(Close)] をクリックします。 |
クライアント プロビジョニング ポータルの作成
クライアント プロビジョニング ポータルを提供して、ネットワークへのアクセスを許可する前に、デバイスのポスチャコンプライアンスを確認する Cisco AnyConnect ポスチャコンポーネントを従業員がダウンロードできるようにすることができます。
新しいクライアント プロビジョニング ポータルを作成するか、既存のものを編集または複製できます。 Cisco ISE によって提供されているデフォルトのポータルを含むすべてのクライアント プロビジョニング ポータルを削除できます。
スーパー管理ロールまたは ERS 管理ロールを割り当てられたユーザ(ネットワークアクセスユーザ)はこのポータルにアクセスできます。 ただし、新しい内部管理ユーザを作成し、スーパー管理ロールまたは ERS 管理ロールを割り当てると、内部管理ユーザはこのポータルにアクセスできません。 最初にネットワークアクセスユーザを作成し、それからユーザをスーパー管理グループまたは ERS 管理グループに追加する必要があります。 スーパー管理グループまたは ERS 管理グループに追加されている既存のネットワークアクセスユーザは、このポータルにアクセスできます。
クライアント プロビジョニング ポータルにアクセスするための管理者アカウントを作成するには、次の手順を実行します。
-
内部ユーザを追加します([管理(Administration)] > [IDの管理(Identity Management)] > [ID(Identities)] > [ユーザ(Users)] > [追加(Add)])。
-
ユーザをスーパー管理グループまたは ERS 管理グループに追加します([管理(Administration)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理ユーザ(Admin Users)] > [追加(Add)] > [既存のネットワークアクセスユーザから選択(Select from existing network access user)])。 これでユーザが内部ネットワーク アクセス ユーザとスーパー管理ユーザまたは ERS 管理ユーザの両方になりました。
他のユーザがポータルにアクセスし、自分自身の証明書を生成できるようにするには、クライアント プロビジョニング ポータルの設定を行います([管理(Administration)] > [デバイスポータル管理(Device Portal Management)] > [クライアントプロビジョニング(Client Provisioning)] > [作成、編集または複製(Create, Edit or Duplicate)] > [ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] > [ポータル設定(Portal Settings)])。 [認証方式(Authentication Method)] で適切な ID ソースまたは ID ソース順序を選択し、[承認済みグループの設定(Configure Authorized Groups)] でユーザグループを選択します。 選択したグループに属するすべてのユーザが、ポータルにアクセスできるようになります。
[ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] タブのページ設定に加えた変更は、デバイスポータルフロー図のグラフィカルフローに反映されます。 [サポート情報(Support Information)] ページなどのページを有効にすると、そのページがフローに表示され、従業員はポータルで使用できるようになります。 無効にすると、フローから削除されます。
はじめる前に
このポータルで使用するために設定されている必要な証明書とクライアント プロビジョニング ポリシーがあることを確認します。
手順
ステップ 1 |
[管理(Administration)] を選択します。 |
ステップ 2 |
ポータルの一意の [ポータル名(Portal Name)] および [説明(Description)] を指定します。 ここで使用する
ポータル名が他のエンドユーザポータルに使用されていないことを確認します。
|
ステップ 3 |
[言語ファイル(Language File)] ドロップダウンメニューを使用して、ポータルで使用する言語ファイルをエクスポートおよび インポートします。 |
ステップ 4 |
[ ポータルの設定(Portal Settings)] でポート、証明書グループタグ、エンドポイント ID グループなどのデフォルト値を更新し、ポータル全体に適用する動作を定義します。 |
ステップ 5 |
ネットワークアクセスの問題のトラブルシューティングのためにヘルプデスクが使用する情報を従業員が提供するのに役立つように、[サポート情報ページの設定(Support Information Page Settings)] を更新します。 |
ステップ 6 |
[ポータルページのカスタマイズ(Portal Page Customization)] タブで、プロビジョニングプロセス時にクライアント プロビジョニング ポータルに表示される [コンテンツ領域(Content Area)] メッセージテキストをカスタマイズします。 |
ステップ 7 |
[保存(Save)] をクリックし、[閉じる(Close)] をクリックします。 |
次の作業
ポータルを使用するには、 そのポータルを許可する必要があります。ポータルを使用できるように許可する前または後に、 ポータルをカスタマイズすることもできます。
モバイルデバイス管理(MDM)ポータルを提供して、従業員が、企業ネットワークでの使用のために登録されたモバイルデバイスを管理できるようにすることができます。
新しい MDM ポータルを作成するか、既存のものを編集または複製できます。 すべての MDM システムに対して 1 つの MDM ポータルを設定できます。または、各システムに対し 1 つのポータルを作成できます。 Cisco ISE によって提供されているデフォルトのポータルを含むすべての MDM ポータルを削除できます。 デフォルトのポータルは、サードパーティの MDM プロバイダー用です。
新しい MDM ポータルを作成するか、既存のものを編集または複製できます。 Cisco ISE によって提供されているデフォルトのポータルを含むすべての MDM ポータルを削除できます。 デフォルトのポータルは、サードパーティの MDM プロバイダー用です。
[ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] タブのページ設定に加えた変更は、デバイスポータルフロー図のグラフィカルフローに反映されます。 [サポート情報(Support Information)] ページなどのページを有効にすると、そのページがフローに表示され、従業員はポータルで使用できるようになります。 無効にすると、フローから削除されます。
はじめる前に
このポータルで使用するために、必要な証明書とエンドポイント ID グループが設定されていることを確認します。
手順
ステップ 1 |
[管理(Administration)] を選択します。 |
ステップ 2 |
ポータルの一意の [ポータル名(Portal Name)] および [説明(Description)] を指定します。 ここで使用する
ポータル名が他のエンドユーザポータルに使用されていないことを確認します。
|
ステップ 3 |
[言語ファイル(Language File)] ドロップダウンメニューを使用して、ポータルで使用する言語ファイルをエクスポートおよび インポートします。 |
ステップ 4 |
[ ポータルの設定(Portal Settings)] でポート、証明書グループタグ、エンドポイント ID グループなどのデフォルト値を更新し、ポータル全体に適用する動作を定義します。 |
ステップ 5 |
特定のページのそれぞれに適用される次の設定を更新してください。
|
ステップ 6 |
[ポータルページのカスタマイズ(Portal Page Customization)] タブで、デバイス登録プロセス時に MDM ポータルに表示される [コンテンツ領域(Content Area)] メッセージをカスタマイズします。
|
ステップ 7 |
[保存(Save)] をクリックし、[閉じる(Close)] をクリックします。 |
次の作業
ポータルを使用するには、 そのポータルを許可する必要があります。ポータルを使用できるように許可する前または後に、 ポータルをカスタマイズすることもできます。また、次のトピックを参照してください。
デバイスポータルを提供して、従業員が、ネイティブサプリカントをサポートせず、個人所有デバイスの持ち込み(BYOD)を使用して追加できないパーソナルデバイスを追加および登録できるようにすることができます。 デバイスポータルを使用して、いずれかのポータルを使用して追加されたすべてのデバイスを管理できます。
新しいデバイスポータルを作成するか、既存のものを編集または複製できます。 Cisco ISE によって提供されているデフォルトのポータルを含むすべてのデバイスポータルを削除できます。
[ポータルの動作およびフローの設定(Portal Behavior and Flow Settings)] タブのページ設定に加えた変更は、デバイスポータルフロー図のグラフィカルフローに反映されます。 [サポート情報(Support Information)] ページなどのページを有効にすると、そのページがフローに表示され、従業員はポータルで使用できるようになります。 無効にすると、フローから削除されます。
はじめる前に
このポータルで使用するために、必要な証明書、外部 ID ストア、ID ソース順序、およびエンドポイント ID グループが設定されていることを確認します。
手順
ステップ 1 |
[管理(Administration)] を選択します。 |
ステップ 2 |
ポータルの一意の [ポータル名(Portal Name)] および [説明(Description)] を指定します。 ここで使用する
ポータル名が他のエンドユーザポータルに使用されていないことを確認します。
|
ステップ 3 |
[言語ファイル(Language File)] ドロップダウンメニューを使用して、ポータルで使用する言語ファイルをエクスポートおよび インポートします。 |
ステップ 4 |
[ポータルの設定(Portal Settings)] でポート、証明書グループタグ、ID ソース順序、エンドポイント ID グループなどのデフォルト値を更新し、ポータル全体に適用する動作を定義します。 |
ステップ 5 |
特定のページのそれぞれに適用される次の設定を更新してください。
|
ステップ 6 |
[ポータルページのカスタマイズ(Portal Page Customization)] タブで、登録および管理時にデバイスポータルに表示される次の情報をカスタマイズします。
|
ステップ 7 |
[保存(Save)] をクリックし、[閉じる(Close)] をクリックします。 |
次の作業
ポータルの外観を変更する場合は、ポータルをカスタマイズできます。参照先
許可プロファイルの作成
はじめる前に
ポータルを許可する前に ポータルを作成する必要があります。
手順
ステップ 1 |
ポータルの 特別な許可プロファイルを設定します。 |
ステップ 2 |
プロファイルの 許可ポリシールールを作成します。 |
各ポータルには、 特別な許可プロファイルを設定する必要があります。
はじめる前に
デフォルトのポータルを使用しない場合は、 許可プロファイルとポータル名を関連付けることができるように、 最初にポータルを作成する必要があります。
手順
ステップ 1 |
[ポリシー(Policy)] を選択します。 |
ステップ 2 |
使用を許可する ポータル名を使用して許可プロファイルを作成します。 |
次の作業
新しく作成される 許可プロファイルを使用するポータル許可ポリシールールを作成する必要 があります。
ユーザ(ゲスト、スポンサー、従業員) のアクセス要求への応答に使用するポータルのリダイレクション URL を設定するには、 そのポータル用の許可ポリシールールを定義 します。
url-redirect は、ポータルタイプに基づいて次の形式になります。
ip:port = IP アドレスとポート番号
PortalID = 一意のポータル名
ホットスポット ゲスト ポータル:https://ip:port/guestportal/gateway?sessionID=SessionIdValue&portal=PortalID&action=cwa&type=drw
モバイルデバイス 管理(MDM)ポータル:https://ip:port/mdmportal/gateway?sessionID=SessionIdValue&portal=PortalID&action=mdm
手順
ステップ 1 |
[ポリシー(Policy)] ポリシーで新しい許可ポリシールールを作成します。 を選択して、[標準(Standard)] |
||
ステップ 2 |
[条件(Conditions)] には、ポータルの検証に使用する エンドポイント ID グループを選択します。たとえば、ホットスポット ゲスト ポータルの場合は、デフォルトの [GuestEndpoints] エンドポイント ID グループを選択し、MDM、ポータルの場合は、デフォルトの [RegisteredDevices] エンドポイント ID グループを選択します。
|
||
ステップ 3 |
[権限(Permissions)] には、作成したポータル許可プロファイルを 選択します。 |
ポータルの外観およびユーザ(必要に応じてゲスト、スポンサー、または従業員)エクスペリエンスをカスタマイズするには、 ポータルテーマをカスタマイズし、ポータルページの UI 要素を変更して、ユーザに表示されるエラーメッセージと通知を 編集します。ポータルのカスタマイズの詳細については、『 』の「Customization of End-User Web Portals」の項を参照してください。
従業員が追加するパーソナル デバイスの管理
従業員が個人所有デバイスの持ち込み(BYOD)またはデバイスポータルを使用してデバイスを登録すると、デバイスはエンドポイントリストに表示されます。 従業員はデバイスを削除して自分のアカウントからデバイスを切り離すことができますが、デバイスは Cisco ISE データベースに残ります。 この結果、従業員は、デバイスの使用時に発生するエラーの解決に管理者の支援を必要とする場合があります。
従業員が追加したデバイスの表示
[エンドポイント(Endpoints)] リストページに表示される [ポータルユーザ(Portal User)] フィールドを使用して、特定の従業員が追加したデバイスを特定できます。 これは、特定のユーザが登録したデバイスを削除する必要がある場合に役立つことがあります。 デフォルトでは、このフィールドは表示されないため、検索する前に最初に有効にする必要があります。
手順
ステップ 1 |
[ワークセンター(Work Centers)] > [ネットワークアクセス(Network Access)] > [ID(Identities)] > [エンドポイント(Endpoints)] を選択します。 |
ステップ 2 |
[設定(Settings)] アイコンをクリックし、[カラム(Columns)] を選択します。 |
ステップ 3 |
[ポータルユーザ(Portal User)] を選択して、[エンドポイント(Endpoints)] リストに情報を表示します。 |
ステップ 4 |
[表示(Show)] ドロップダウン リストをクリックし、[クイックフィルタ(Quick Filter)] を選択します。 |
ステップ 5 |
[ポータルユーザ(Portal User)] フィールドにユーザの名前を入力して、その特定のユーザに割り当てられたエンドポイントのみを表示します。 |
デバイスをデバイス ポータルに追加するときのエラー
従業員は、別の従業員がすでに追加したサービスを追加することはできません。デバイスは引き続きエンドポイント データベースに含まれます。
Cisco ISE データベースにすでに存在しているデバイスを従業員が追加しようとした場合:
-
さらに、デバイスがネイティブ サプリカント プロビジョニングをサポートしている場合、BYOD ポータルからデバイスを追加することを推奨します。この場合、デバイスがネットワークに最初に追加されたときに作成された登録詳細がすべて上書きされます。
-
デバイスがプリンタなどの MAC 認証バイパス(MAB)デバイスである場合、デバイスの所有権を最初に解決する必要があります。必要に応じて、管理者ポータルを使用してエンドポイントデータベースからデバイスを削除できます。これにより、新しい所有者は、デバイスポータルを使用して正常にデバイスを追加できます。
注 |
管理者ポータルがダウンしている場合、デバイス ポータルは使用できません。 |
従業員がデバイスポータルからデバイスを削除すると、そのデバイスは従業員の登録済みデバイスのリストから削除されますが、Cisco ISE エンドポイントデータベースに残っており、エンドポイントリストに表示されます。
[エンドポイント(Endpoints)] ページからデバイスを完全に削除するには、[ワークセンター(Work Centers)] > [ネットワークアクセス(Network Access)] > [ID(Identities)] > [エンドポイント(Endpoints)] を選択します。
従業員
が登録するパーソナルデバイス数の制限従業員が 1 ~ 999 のパーソナル デバイスを登録できるようにすることができます。従業員がパーソナルデバイスの登録に使用したポータルに関係なく、 この設定では、すべてのポータルにわたって登録されるデバイスの最大数を定義します。
手順
ステップ 1 |
[管理(Administration)] を選択します。 |
ステップ 2 |
[従業員を制限(Restrict employees to)] に、従業員が登録できるデバイスの最大数を入力します。デフォルトでは、この値は 5 デバイスに設定されています。 |
ステップ 3 |
[保存(Save)] をクリックします。 設定の更新を保存しない場合は、[リセット(Reset)] をクリックして、最後に保存した値に戻します。 |
Cisco ISE は、 エンドポイントおよびユーザ管理情報、およびゲストとスポンサーのアクティビティを参照できる さまざまなレポートとログを提供します。Cisco ISE 1.2 レポート の一部は廃止されましたが、情報は他のレポートで表示できます。
オンデマンドまたは スケジュールベースでこれらのレポートを実行できます。
手順
ステップ 1 |
[操作(Operations)] を選択します。 |
ステップ 2 |
レポート セレクタで、[ゲストアクセスレポート(Guest Access Reports)] および [エンドポイントとユーザ(Endpoints and Users)] 選択を展開し、さまざまな ゲスト、スポンサー、およびエンドポイントに関するレポートを表示します。 |
ステップ 3 |
レポートを 選択し、[フィルタ(Filters)] ドロップダウンリストを使用して、検索するデータを選択します。 ユーザ名、 ポータル名、デバイス名、エンドポイント ID グループ、および 他のデータについてフィルタを使用できます。 |
ステップ 4 |
データを表示する [時間範囲(Time Range)] を選択します。 |
ステップ 5 |
[実行(Run)] をクリックします。 |
デバイスのログインおよび監査レポートは、次のものを追跡する統合レポートです。
-
デバイス ポータルでの従業員によるログイン アクティビティ。
-
デバイスポータルで従業員が実行したデバイス関連の操作。
このレポートは、[操作(Operations)] > [レポート(Reports)] > [ゲストアクセスレポート(Guest Access Reports)] > [デバイスログインおよび監査レポート(My Devices Login and Audit)] で使用できます。
[登録済みエンドポイントレポート(Registered Endpoints report)] には、従業員によって登録されたすべてのエンドポイントに関する情報が表示されます。 このレポートは、[操作(Operations)] > [レポート(Reports)] > [エンドポイントとユーザ(Endpoints and Users)] > [登録済みエンドポイント(Registered Endpoints)] で使用できます。
ID、エンドポイント ID、アイデンティティ プロファイルなどに対してクエリーを実行し、レポートを生成できます。 サプリカント プロビジョニング統計情報および関連データの詳細については、クライアント プロビジョニング レポートの表示に関する説明を参照してください。エンドポイントデータベースに対するクエリーを実行して、RegisteredDevices エンドポイント ID グループに割り当て済みのエンドポイントの情報を取得することができます。 また、[ポータルユーザ(Portal User)] 属性がヌル以外の値に設定されている特定のユーザについてレポートを生成することもできます。
[登録済みエンドポイントレポート(Registered Endpoints Report)] には、特定のユーザによって指定の期間内にデバイス登録ポータルから登録されたエンドポイントのリストに関する情報が表示されます。