ライセンス

Cisco ISE ライセンス

Cisco ISE ライセンスでは、ライセンスを管理する次の 2 つのオプションがあります。

  • スマート ライセンス:単一のトークン登録で ISE ソフトウェア ライセンスとエンドポイント ライセンスの消費を簡単かつ効率的にモニタします。購入したライセンスは、Cisco Smart Software Manager(CSSM)と呼ばれる集中型データベースに保持されます。スマート ライセンスの詳細については、「Cisco ISE スマート ライセンスCisco ISE スマート ライセンス」を参照してください。

  • 従来のライセンス:実際のニーズに基づいて個々のライセンスを購入およびインポートした後、アプリケーション機能とアクセス(たとえば Cisco ISE のネットワーク リソースを使用できる同時接続可能なエンドポイント数)を管理します。従来のライセンスの詳細については、「従来のライセンス ファイルの管理」を参照してください。

お客様が最大限に節約できるように、Cisco ISE のライセンスは、従来のライセンスおよびスマート ライセンスのオプションの両方に対し、Base、Plus、Apex、Device Administration のようなさまざまなパッケージで提供されます。従来の Cisco ライセンス モデルの詳細は、「Cisco ISE ライセンス モデル」を参照してください。

ISE ボックスをインストールまたはアップグレードすると、従来のライセンスはデフォルトで使用中になり、すべてのライセンス コンポーネントは 90 日間の試用期間の間アクティブになります。スマート ライセンスに切り替えると、トークンを登録する前は、この評価期間は、スマート ライセンスについてはアクティブなままで、評価期間には、評価期間の一部として ISE ライセンスが含まれます。評価期間中、CSSM に使用は報告されません。

次の場合、インストールされたライセンス(従来のライセンス)またはライセンス契約(スマート ライセンス)は更新する必要があります。

  • トライアル期間が終了し、まだライセンスをインストールしていない、または登録されていない。

  • ライセンスの有効期限が切れている。

  • エンドポイントの使用がライセンス契約を超える場合。

ISE は、ライセンスの有効期限日、または使用の問題の 90 日、60 日、および 30 日前に通知します。画面上部にある [ライセンス警告(License Warning)] アイコンを使用して、ライセンスの詳細情報を表示、追跡できます。

1 つのライセンス パッケージをより複雑な別のパッケージにアップグレードすると、アップグレード前に古いパッケージで使用可能だったすべての機能を Cisco ISE で引き続き使用できます。以前に行った設定を再設定する必要はありません。

ISE コミュニティ リソース

Cisco Identity Services Engine Ordering Guide

評価版ライセンスを入手する方法については、How to Get ISE Evaluation Licenses を参照してください。

Cisco ISE スマート ライセンス

シスコは、別々のライセンスを個別にインポートするのではなく、単一のトークン登録で ISE ソフトウェア ライセンスとエンドポイント ライセンスの消費を簡単かつ効率的にモニタできるようにする、スマート ライセンスを提供しています。購入したシスコ製品とライセンスの詳細は Cisco Smart Software Manager(CSSM)と呼ばれる集中型データベースに保持され、ここからどのエンドポイント ライセンスが使用できるかと、消費の統計情報を簡単に追跡できます。

スマート ライセンス トークンが ISE からアクティベートされ登録されている場合、製品ライセンスごとの各エンドポイント セッションによるライセンスの消費をモニタします。スマート ライセンスは、ISE のシンプルな表レイアウトからエンドポイント セッションによるライセンスの消費について管理者に通知します。スマート ライセンスは、有効な各ライセンスのピーク使用量を集中型データベースに毎日レポートします。ライセンスが使用できる状態で消費されていない場合、使用可能なライセンスについて管理者に通知され、使用量のモニタを継続できます。消費量が使用可能なライセンスの数を超えると、アラームが起動し、アラームと通知によって管理者に通知されます。

スマート ライセンスでは、Base、Plus、Apex、TACACS などの、シスコのスマート アカウントを介して含まれているさまざまなライセンス権限を管理することもできます。ISE から、ライセンス権限ごとの基本的な消費統計情報をモニタできます。CSSM アカウントから、追加情報、統計情報、通知を表示することや、アカウントおよび権限に変更を加えることができます。


(注)  

Cisco スマート ソフトウェア マネージャ サテライトはサポートされていません。

ISE はライセンス消費の内部サンプルを 30 分ごとに取得し、コンプライアンスと消費がそれに応じて更新されます。[更新(Refresh)] をクリックするだけで ISE の [ライセンス(Licenses)] テーブルにこの情報が表示されます。毎日午前 1:00 に、ISE は [ライセンス(Licenses)] テーブルに同様に表示される [昨日のピーク数(Yesterday's Peak Count)] データに基づき、有効な各ライセンスについて日々のピーク数を CSSM サーバにレポートします。ISE は、毎日の同期中に自動的に再承認される CSSM 証明書のローカル コピーを保存することで CSSM サーバと通信し、ユーザが [ライセンス(Licenses)] テーブルを手動で更新したときにも通信します。通常、証明書の有効期間は 6 ヵ月です。CSSM サーバと同期したときにコンプライアンスが変更された場合、[ライセンス(Licenses)] テーブルの [最後の認証(Last Authorization)] 列がそれに応じて更新されます。また、権限がコンプライアンスを満たさなくなった場合には、コンプライアンス外となっている日数が [コンプライアンス外の日数(Days Out of Compliancy)] 列に表示されます。コンプライアンス違反は、[ライセンス(Licensing)] エリアの上部にある [通知(Notifications)] と、[ライセンス警告(License Warning)] リンクにある ISE ツールバーにも示されます。通知に加えて、アラームも確認できます。


(注)  

TACACS ライセンスは ISE が CSSM サーバと通信したときに承認されますが、セッション ベースではないため、[ライセンス(Licenses)] テーブルで消費数は関連付けられません。

図 1. [ライセンス(Licenses)] テーブル

ISE でのスマート ライセンスの有効化および登録

始める前に

スマートライセンスを有効化してから、CSSM アカウントを介してシスコ担当者によって発行されたトークンを使用して Cisco ISE から登録します。

Cisco Smart Software Manager(CSSM)アカウントで必要な ISE の権限があることを確認します。詳細については、https://software.cisco.com/ を参照するか、シスコ担当者にお問い合わせください。

ISE-PIC からアップグレードする場合は、この手順でスマート ライセンスを有効化する前に、まず ISE アップグレード ライセンスをインストールしてから次の作業を行う必要があります。

  • ISE Base ライセンスをインストールする。

  • または、既存の ISE 展開に PIC インストールを移動する。

    1. 既存の ISE 展開から、他の ISE ノードを追加します。

    2. 既存の ISE 管理ノードからセッション プロファイリングと pxGrid サービスを有効にします。


    (注)  
    ISE ノードの追加と設定の詳細については、Cisco ISE Admin Guide: Deployment』の「Configure a Cisco ISE Node」のセクションを参照してください

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [ライセンス(Licensing)] の順に選択して、ISE の [ライセンス(Licensing)] エリアにアクセスします。

Cisco ISE をインストールまたはアップグレードした後、従来のライセンスはデフォルトで使用されています。ライセンスモードは、ISE の [ライセンス方式(Licensing Method)] エリアの画面の上部に表示されます。
図 2. 従来のライセンス
ステップ 2

[ライセンス方式(Licensing Method)] エリアの [Cisco Smart Licensing] リンクをクリックして [スマート ライセンス(Smart Licensing)] に切り替えます。

接続方式フィールドを持つ [Cisco Smart Licening] エリアが展開します。
図 3. スマート ライセンスの接続方式の詳細
ステップ 3

[Cisco Smart Licensing] エリアの [セカンダリ UDI(Secondary UDI)] フィールドで、少なくとも 1 つの追加 ISE ボックスがネットワークで設定されている場合は、プライマリ ノードが使用できない場合に使用されるセカンダリ ノードを入力します。ISE ボックスから CSSM に接続するために使用される接続方式を [接続方式(Connection Method)] ドロップダウン リストから選択し、[有効化(Enable)] をクリックします。[接続方式(Connection Method)] については、次のように選択します。

  1. インターネットに到達するために設定された直接接続がある場合には、[直接 HTTPS(Direct HTTPS)] を選択します。

  2. 直接接続がなく、プロキシ経由で接続する必要がある場合には、[HTTPS プロキシ(HTTPS Proxy)] を選択します。

  3. [トランスポートゲートウェイ(Transport Gateway)] は、推奨される接続方式です。

    スマート ライセンスを使用する場合、Smart Call Home(SCH)サービスも自動的に有効になり、Transport Gateway を設定できるようになります。接続方式として Transport Gateway を設定するには、まず管理ワーク センターの Smart Call Home 設定から設定する必要があります。この設定方法と、SCH およびトランスポートゲートウェイの詳細については、Cisco ISE Admin Guide: Troubleshooting』の「Smart Call Home」のセクションを参照してください。

  4. [トランスポートゲートウェイ(Transport Gateway)]:推奨されるプロキシ接続方式です。トランスポートゲートウェイをインストールして設定するには、「 Deploying theTransport Gateway on Cisco Unified Computing System and Red Hat Linux」を参照してください。

(注)   

スマートライセンスを有効化した後、90 日間の評価期間があります。この間、すべてのライセンスがアクティブになります。この間に、スマートライセンスとすべての Cisco ISE 機能を試すことができます。評価期間が満了する前に有効なトークンを使用してスマートライセンスを登録しない場合、Cisco ISE は使用できません。

このエリアのフィールドはダイナミックです。接続の詳細を入力し、[有効化(Enable)] をクリックすると、エリアが折りたたまれます。エリアを再度展開すると、今度は [Cisco Smart Licensingの登録(Cisco Smart Licensing Registration)] が呼び出され、スマートライセンストークンの詳細を入力することができます。

ステップ 4

ISE の [Cisco Smart Licensing の登録(Cisco Smart Licensing Registration)] エリアから、スマート ライセンス トークンを購入したときに受け取った [登録トークン(Registration Token)] を入力し、[登録(Register)] をクリックします。CSSM アカウントの ISE エリアに移動して [コピー(Copy)] をクリックすることで、いつでもトークンを取得できます。

また、チェックマークを外すことで、スマートライセンストークン内の任意のライセンスを無効にすることができます。ライセンスを無効にすると、スマートライセンスはこれらのライセンスを自動的に検証しなくなります。

ISE のスマート ライセンスの管理

スマート ライセンス トークンをアクティブ化して登録すると、ISE のライセンス権限を次の方法で管理することができます。

  • ライセンス権限資格証明書の有効化、無効化、および更新。

  • スマート ライセンスの登録の更新。

  • 準拠および非準拠ライセンスの問題の特定。

始める前に

スマート ライセンス トークンをアクティブ化して登録していることを確認します。詳細については、「ISE でのスマート ライセンスの有効化および登録」を参照してください。

手順

ステップ 1

スマート ライセンスを最初に起動すると、すべてのライセンス権限は評価期間の一部として自動的に有効になります。トークンを登録すると、CSSM アカウントに特定の権限が含まれず、登録時にそれらを無効にしていなかった場合は、非準拠通知が ISE に表示されます。それらの権限を CSSM アカウントに追加し(サポートが必要な場合は、Cisco アカウント担当者にお問い合わせください)、[ライセンス(Licenses)] テーブルから [更新(Refresh)] をクリックし、非準拠通知を削除して、関連機能を使い続けます。承認を更新したら、ログアウトして、関連する削除する非準拠メッセージのために ISE に再度ログインします。

ステップ 2

毎日の自動承認が何らかの理由で成功しないと、非準拠メッセージが表示されることがあります。[更新(Refresh)] をクリックして権限を再承認します。承認を更新したら、ログアウトして、関連する削除する非準拠メッセージのために ISE に再度ログインします。

ステップ 3

スマート ライセンスを最初に起動すると、すべてのライセンス権限は評価期間の一部として自動的に有効になります。トークンを登録すると、CSSM アカウントに特定の権限が含まれず、登録時にそれらを無効にしていなかった場合は、不必要な非準拠通知を回避するために、ISE のスマート ライセンスからそれらの権限を無効のままにすることができます。[ライセンス(Licenses)] テーブルから、トークンに含まれていないライセンス権限にチェックマークを付け、ツールバーから [無効(Disabled)] をクリックします。ライセンス権限を無効にした後、ログアウトし、メニューから削除する関連機能および削除する非準拠メッセージのために ISE に再度ログインします。

ステップ 4

アカウントに権限を追加したら、それらの権限を有効にします。[ライセンス(Licenses)] テーブルから、必要な無効化されたライセンスにチェックマークを付け、ツールバーから [有効(Enable)] をクリックします。

ステップ 5

まず 1 UDI だけのスマート ライセンスを設定し、セカンダリ UDI を入力しない場合、後で情報を更新できます。[Cisco スマート ライセンス登録の詳細(Cisco Smart Licensing Registration Details)] リンクをクリックして、エリアを開きます。トークンを再入力し、新しいセカンダリ UDI を入力して、[更新(Update)] をクリックします。

ステップ 6

登録証明書は自動的に 6 ヵ月ごとに更新されます。手動でスマート ライセンス証明書登録を更新するには、[Cisco Smart Licensing] 領域の上部から [登録の更新(Renew Registration)] をクリックします。

ステップ 7

ISE ボックス登録(UDI により示されます)をスマート アカウントから削除するが、評価期間の終了までスマート ライセンスを引き続き使用するには、[Cisco Smart Licensing] 領域の上部から [登録解除(Deregister)] をクリックします。たとえば、登録プロセスの一環として示した UDI を変更する必要がある場合に、これを行うことができます。まだ評価期間の残りの時間があれば、ISE はスマート ライセンスのままです。評価期間の残りの時間がない場合、ブラウザが更新されたときに通知が表示されます。登録解除したら、同一または別の UDI で登録するために登録プロセスを再度実行できます。スマート ライセンスをアクティブにし、登録する方法の詳細については、「ISE でのスマート ライセンスの有効化および登録」を参照してください。

ステップ 8

ISE ボックス登録(UDI により示されます)をスマート アカウントから完全に削除し、従来のライセンスに戻すには、[Cisco Smart Licensing] 領域の上部から [無効(Disabled)] をクリックします。たとえば、登録プロセスの一環として示した UDI を変更する必要がある場合に、これを行うことができます。無効にしたら、同一または別の UDI でアクティブ化および登録するために登録プロセスを再度実行できます。スマート ライセンスをアクティブにし、登録する方法の詳細については、「ISE でのスマート ライセンスの有効化および登録」を参照してください。

従来のライセンス ファイルの管理

90 日間の評価期間の終了後に Cisco ISE サービスの使用を継続し、ネットワークで 100 を超える数の同時エンドポイントをサポートするには、システム上の現在のユーザの数の Base ライセンスを取得して登録する必要があります。追加機能が必要な場合は、該当の機能を有効にする Plus か Apex、またはその両方のライセンスが必要です。

ライセンスはプライマリ ポリシー管理ノードにアップロードされ、クラスタ内の他の Cisco ISE ノードに伝播されます。ライセンスは管理ノードによって一元的に管理され、他のノードに別個のライセンスは必要ありません。ハイ アベイラビリティ ペアで 2 つの管理ノードを展開している場合、それらのいずれにも同じライセンス機能があることを確実にする必要があります。プライマリとセカンダリの両方のポリシー管理ノードの UDI を使用してライセンスを生成し、プライマリ ポリシー管理ノードにライセンスを追加します。

Cisco ISE ソフトウェアをインストールし、最初にそのアプライアンスを PAN として設定したら、Cisco ISE のライセンスを取得して PAN に登録する必要があります。プライマリおよびセカンダリ管理ノードのハードウェア UDI を使用して、PAN にすべてのライセンスを登録します。これにより、その展開に登録されているすべてのライセンスが PAN で集中管理されるようになります。


(注)  

ノードが PAN から登録解除されると、スタンドアロン ノードになり、そのライセンスは評価ライセンスにリセットされます。

ここでは、従来の ISE ライセンスの登録、再ホスティング、更新、移行、アップグレード、および削除を行う方法について説明します。

Cisco ISE ライセンス モデル

Cisco ISE ライセンス モデルでは、企業のニーズに適したライセンスを購入できます。従来のライセンスを使用するときは、すべての個別ライセンスをインポートし、ISE から個別に管理し続けます。スマート ライセンスを使用するときは、購入したさまざまなエンドポイントのライセンスに関するすべての情報を含むシスコの一元化されたアカウントを管理します。

以下のライセンス オプションが用意されています。

  • ISE Base のみ

  • ISE Base および Plus

  • ISE Base および Apex

  • ISE Base および Device Administration

  • ISE Base、Plus、Apex、および Device Administration

  • ISE Base、Plus、Apex および AnyConnect Apex

デバイス管理ライセンス

デバイス管理ライセンスには、クラスタとノードの 2 つのタイプがあります。クラスタライセンスでは、Cisco ISE クラスタ内のすべてのポリシーサービスノードでデバイス管理を使用できます。ノードライセンスでは、1 つのポリシー サービス ノードでデバイス管理を使用できます。ハイ アベイラビリティ スタンドアロン展開では、ノードライセンスによって、ハイアベイラビリティペアの 1 つのノードでデバイス管理を使用することが許可されます。

デバイス管理ライセンスキーは、プライマリおよびセカンダリポリシー管理ノードに対して登録されます。クラスタ内のすべてのポリシーサービスノードは、ライセンス数に達するまで必要に応じてデバイス管理ライセンスを消費します。

クラスタライセンスは Cisco ISE 2.0 のデバイス管理のリリースで導入され、Cisco ISE 2.0 以降のリリースで適用されています。ノードライセンスは後でリリースされ、リリース 2.0 ~ 2.3 で部分的にのみ適用されています。Cisco ISE 2.4 以降では、ノードライセンスはノード単位で完全に適用されています。

クラスタライセンスは廃止されました。現時点ではノードライセンスのみを販売しています。

ただし、有効なクラスタライセンスでこのリリースにアップグレードする場合は、アップグレード時に既存のライセンスを引き続き使用できます。

Plus ライセンス セッションの数は、展開における Base ライセンス セッションの数以下となります。同じことが Apex ライセンス セッションにも適用されます。Apex ライセンスと Plus ライセンスとの間にこのような数の制限はなく、これらのライセンスを個別にインストールできます。Cisco ISE ライセンスはアクティブなネットワーク接続を持つ同時エンドポイントの数に基づいて計算され、AnyConnect Apex ライセンスは 1 ユーザごとに計算されます。AnyConnect Apex ライセンスの数は、Cisco ISE Base ライセンスの総数以下である必要はありません。


(注)  

Plus ライセンスに含まれるプロファイリングなどのサービスは、展開全体で頻繁に使用されます。展開に Plus ライセンスを追加する場合は、Plus ライセンスの数を Base ライセンスの数と等しくすることを推奨します。ただし、Plus ライセンスのサービスを展開全体で使用する必要がなくなることも考えられます。Cisco ISE で Plus ライセンスの数を Base ライセンスの数より少なくできるのはそのためです。

(従来のライセンスに対しては)Base、Plus、および Apex ライセンスをインストールすると同時に、(スマート ライセンスに対しては)Base、Plus、および Apex ライセンスを購入することをお勧めします。

  • Base ライセンスは、Plus や Apex ライセンスで有効になるサービスを使用するためにも必要です。ただし、Apex ライセンスを使用するために Plus ライセンスが必要ということはなく、その逆もありません。これらのライセンスの機能は重複していません。

  • Plus および Apex ライセンスが準拠していない場合、Plus および Apex 機能を設定/編集することはできません。これらの機能は、読み取り専用モードで表示されます。

  • Base または Mobility Upgrade ライセンスをインストールすると、Cisco ISE はその期間の残りの部分に対する別個のライセンスとしてデフォルトの評価ライセンスを使用し続けます。

  • Mobility Upgrade ライセンスをインストールすると、Cisco ISE ではすべての有線、無線、および VPN サービスが有効になります。

  • Base または Mobility ライセンスは、Device Administration ライセンスをインストールするときに必要です。

  • Base ライセンスをインストールせずに、評価ライセンスを Plus ライセンスにアップグレードすることはできません。

VM ノードのライセンス

Cisco ISE は、仮想アプライアンスとしても販売されています。リリース 2.4 では、展開に VM ノードの適切な VM ライセンスをインストールすることをお勧めします。VM ノードの数と CPU やメモリなどの各 VM ノードのリソースに基づいて、VM ライセンスをインストールする必要があります。そうでない場合、リリース 2.4 で VM ライセンス キーを調達してインストールする警告と通知が表示されますが、サービスは中断されません。

VM ライセンスは、小、中、大の 3 つのカテゴリで提供されます。たとえば、8 コアと 64 GB RAM を備えた 3595 相当の VM ノードを使用している場合に、VM で同じ機能をレプリケートするには、中カテゴリの VM ライセンスが必要になります。展開の要件に応じて、VM とそのリソースの数に基づいて、複数の VM ライセンスをインストールできます。

VM ライセンスは、インフラストラクチャ ライセンスなので、展開で使用可能なエンドポイント ライセンスに関係なく VM ライセンスをインストールできます。展開に評価、Base、Plus、Apex ライセンスのどれもインストールされていない場合でも、VM ライセンスをインストールできます。ただし、Base、Plus、または Apex ライセンスによって有効になる機能を使用するには、適切なライセンスをインストールする必要があります。

リリース 2.4 のインストールまたはアップグレードの後、展開済みの VM ノードの数とインストール済みの VM ライセンスの数の間に不一致がある場合、アラームが 14 日ごとに [アラーム(Alarms)] ダッシュレットに表示されます。アラームは、VM ノードのリソースに変化がある場合や、VM ノードが登録または登録解除されるたびにも表示されます。

VM ライセンスは永続ライセンスです。VM ライセンスの変更は、Cisco ISE GUI にログインするたびに表示され、通知ポップアップで [このメッセージを再度表示しない(Do not show this message again)] チェックボックスをオンにすると表示されなくなります。

以前に ISE VM ライセンスのいずれも購入していない場合は、『ISE Ordering Guide』を参照して購入する適切な VM ライセンスを選択します。製品認証キー(PAK)が関連付けられていない ISE VM ライセンスを購入済みの場合、licensing@cisco.com で ISE VM 購入を反映する販売注文番号を使用して VM PAK を要求することができます。この要求は、過去に購入した ISE VM ごとに 1 つの中規模 VM ライセンス キーを提供するように処理されます。

次の表は、VM 最小リソースをカテゴリ別に示しています。

VM カテゴリ

RAM の範囲

CPU の数

小(Small)

16 GB

12 個の CPU

64 GB

16 個の CPU

256GB

16 個の CPU
表 1. Cisco ISE ライセンス パッケージ

ISE ライセンス パッケージ

永続/サブスクリプション(使用可能期間)

カバーされる ISE 機能

注記

Base

永久

  • 基本的なネットワーク アクセス(AAA、IEEE-802.1X)

  • ゲスト サービス

  • リンク暗号化(MACSec)

  • TrustSec

  • ISE アプリケーション プログラミング インターフェイス

ISE-PIC から Base ライセンスへのアップグレードの一環として使用できるパッシブ ID サービスには、シスコ サブスクライバだけが使用可能な限定的な pxGrid 機能が含まれます。

Plus

サブスクリプション(1、3、または 5 年)

  • 個人所有デバイス持ち込み(BYOD):組み込み証明機関または外部証明機関のいずれかを消費する場合

  • ロケーション サービスのための MSE 統合

  • プロファイリング サービスとフィード サービス

  • 適応型ネットワーク制御(ANC)

  • Cisco pxGrid

Base のサービスは含まれません。Base ライセンスは Plus ライセンスをインストールするために必要です。

BYOD フローでエンドポイントをオンボードすると、関連する BYOD 属性が使用されていなくても、アクティブなセッションで Plus サービスが使用されます。

プロファイル関連の許可ポリシーに IdentityGroup:Name が含まれる場合は、Plus ライセンスが使用されるはずです。

Apex

サブスクリプション(1、3、または 5 年)

  • サードパーティ モバイル デバイス管理(MDM)統合

  • ポスチャ コンプライアンス

  • TC NAC

Base のサービスは含まれません。Base ライセンスは Apex ライセンスをインストールするために必要です。

(注)   

有線、ワイヤレス、および VPN 展開でユニファイド ポスチャ エージェントとして Cisco AnyConnect を使用する場合は、Cisco ISE Apex ライセンスに加えて Cisco AnyConnect Apex ユーザ ライセンスが必要です。

Mobility

サブスクリプション(1、3、または 5 年)

無線および VPN エンドポイント用の Base、Plus、および Apex の組み合わせ

Cisco 管理ノードで Base、Plus、および Apex ライセンスを共存させることはできません。

Mobility Upgrade

サブスクリプション(1、3、または 5 年)

Mobility ライセンスに対する有線サポートの提供

Mobility Upgrade ライセンスは既存の Mobility ライセンスが存在する場合にのみインストールできます。

Device Administration

永続

TACACS+

Base または Mobility ライセンスは、Device Administration ライセンスをインストールするときに必要です。

デバイス管理ライセンスの数は、TACACS+ ペルソナが有効になっているポリシー サービス ノードの数と同じである必要があります。

ISE-PIC

永続

パッシブ ID サービス

ノードごとに 1 つのライセンス。各ライセンスでは、最大 3,000 の並列セッションをサポートしています。

ISE-PIC upgrade

永続

このライセンスでは、次のオプションを使用できます。

  • 追加の並列セッションの有効化(300,000 まで)

  • 完全な ISE インスタンスへのアップグレード

ノードごとに 1 つのライセンス。各ライセンスでは、最大 300,000 の並列セッションをサポートしています。

このライセンスをインストールすると、アップグレードされたノードが既存の ISE 展開に参加できます。あるいは、Base ライセンスをノードにインストールして PAN として機能させることもできます。

Base ライセンスへのアップグレードの一環として使用できるパッシブ ID サービスには、シスコ サブスクライバだけが使用可能な限定的な pxGrid 機能が含まれます。

Evaluation

一時(90 日)

完全な Cisco ISE 機能が、100 台のエンドポイントに対して提供されます。

すべての Cisco ISE アプライアンスには、評価ライセンスが付属しています。

従来のライセンスの使用

従来のライセンスではシステムの同時ユーザ数に合わせてライセンスを購入します。Cisco ISE ユーザは、アクティブ セッション中にライセンスを使用します(常に Base ライセンスか、Plus ライセンスと APex ライセンス(これらのライセンスで適用される機能を使用する場合))。セッションが終了すると、ライセンスは他のユーザが再利用できるように解放されます。


制約事項
Cisco ISE ライセンス アーキテクチャの使用ロジックは、許可ポリシーの構造に依存しています。Cisco ISE は、許可ルール内のディクショナリと属性を使用して、使用するライセンスを決定します。

Cisco ISE ライセンスは次のようにカウントされます。

  • Base ライセンスは、アクティブ セッションごとに使用されます。同じエンドポイントで、使用している機能に応じて、Plus および Apex ライセンスも使用します。


    (注)  

    TACACS+ セッションは、基本ライセンスを使用しませんが、RADIUS セッションは、基本ライセンスを使用します。

  • エンドポイントは、Plus および APex ライセンスを使用する前に、Base ライセンスを使用します。

  • エンドポイントは、APex ライセンスを使用する前に、Plus ライセンスを使用します。

  • 1 Plus ライセンスは、ライセンス機能の組み合わせに対してエンドポイントごとに使用されます。同様に、1 Apex ライセンスは、その機能の組み合わせに対してエンドポイントごとに使用されます。

  • ライセンスは、同時のアクティブ セッションに対してカウントされます。

  • ライセンスは、エンドポイントのセッションが終了すると、すべての機能について解放されます。

  • pxGrid は、ISE によって収集されたコンテキストを他の製品と共有するために使用されます。pxGrid 機能を有効にするには、Plus ライセンスが必要です。セッションのコンテキストが共有されている場合、セッション数の減少はありません。ただし、pxGrid を使用するには、ライセンスされた Plus セッションの数が、ライセンスされた Base セッションの数と等しくなければなりません。詳細については、『Cisco Identity Services Engine Ordering Guide』の「Cisco ISE Licenses and Services」の項を参照してください。

  • 1 つの AnyConnect Apex ユーザ ライセンスは、ユーザが所有するデバイスの数に関係なく、またユーザにネットワークへのアクティブな接続があるかどうかにかかわらず、AnyConnect を使用する各ユーザによって使用されます。

  • 既存の Base または Mobility ライセンスの上にデバイス管理ライセンスを追加して TACACS+ サービスを有効にすることができます。

サービスの中断を回避するために、Cisco ISE はライセンスの権限付与を超えたエンドポイントにサービスを提供し続けます。代わりに、Cisco ISE は RADIUS アカウンティング機能に依存して、ネットワーク上の同時エンドポイントを追跡し、前日のエンドポイント カウントがライセンス数を超えていた場合にアラームを生成します。ライセンス使用量は、[ライセンス(Licensing)] 画面の [ライセンス使用状況(License Usage)] 領域で明確に確認できます。この領域の折れ線グラフには、使用量が許容されている数量を上回るライセンスが赤色で表示されます。

また、画面上部にある [ライセンス警告(License Warning)] アイコンを使用して、ライセンス パッケージの詳細情報を確認、追跡できます。

ライセンスの使用の表示

[管理(Administration)] > [システム(System)] > [ライセンシング(Licensing)] の順に選択して、ライセンス ダッシュボードからシステムの現在のライセンスの使用を表示できます。使用状況は次の画像に示すように表示されます。
図 4. 従来のライセンスの使用

[ライセンスの使用状況(License Usage)] エリアのライセンス消費グラフは、30 分ごとに更新されます。このウィンドウには、購入したライセンスの種類、システムで許可される同時ユーザの総数、およびサブスクリプション サービスの有効期限も表示されます。

複数の週にわたってシステムのライセンスの使用を確認する場合は、[長期間の使用(Usage Over Time)] をクリックします。グラフの各バーは、1 週間に使用される最大ライセンス数を示します。

登録解除されたライセンスの使用

問題

ライセンスの使用は、エンドポイントが一致する許可ポリシーにおいて使用される属性に依存します。

システムに Base ライセンスのみが登録されているとします(90 日間の評価ライセンスは削除しました)。対応する基本的なメニュー項目と機能を表示および設定できます。

Apex ライセンスを必要とする機能(例:Session:PostureStatus)を使用するための許可ポリシーを(誤って)設定した場合、およびエンドポイントがこの許可ポリシーに一致した場合は、次のようになります。

  • エンドポイントは、Apex ライセンスがシステムに登録されていないにもかかわらず、Apex ライセンスを使用します。

  • ログインするたびに、このことに対する通知が表示されます。

  • Cisco ISE は、通知とアラーム「許可を超えたライセンスの使用(Exceeded license usage than allowed)」を示します(技術的に、これはシステムに登録済みの Apex ライセンスがないにもかかわらず、エンドポイントが Apex ライセンスを消費していると想定されます)。

Cisco ISE Base、Apex、または Plus のライセンスがコンプライアンス違反の状態で使用されている場合、管理者は、設定された日数が経過した後に Cisco ISE へのアクセスが制限されることを示すアラートを Cisco ISE GUI で受信します。ライセンスが、指定された日数が経過してもコンプライアンス違反の状態で使用されている場合は、正しいライセンス ファイルがアップロードされるまで、Cisco ISE のすべての管理制御が失われます。ただし、Cisco ISE は引き続き認証を処理します。

考えられる原因

許可ポリシーの設定ミスが原因で、ライセンスのダッシュボードに、Cisco ISE がまだ購入および登録されていないライセンスを消費していることが示される場合があります。Plus および Apex ライセンスを購入する前は、ISE ユーザ インターフェイスにライセンスが適用される機能が表示されません。ただし、これらのライセンスを購入した場合、ユーザ インターフェイスには、ライセンスの期限が切れた場合、またはエンドポイントの消費を超えた後も、引き続き機能が表示されます。そのため、有効なライセンスがない場合でも、これらを設定できます。

ソリューション

[ポリシー(Policy)] > [ポリシー セット(Policy Sets)] を選択し、登録済みライセンスがない機能を使用している許可ルールを特定し、そのルールを再設定します。

ライセンス ファイルの管理

ここでは、ISE ライセンスの登録、再ホスティング、更新、移行、アップグレード、および削除を行う方法について説明します。

ライセンスの登録

始める前に

インストールに必要なライセンスの種類と同時ユーザ数、および購入して費用効率を最大化できるさまざまなパッケージについて、シスコ パートナー/アカウント チームに問い合わせてください。

手順
ステップ 1

シスコの Web サイト(www.cisco.com)の注文システム(Cisco Commerce Workspace(CCW))から、必要なライセンスを注文します。

約 1 時間後、製品認証キー(PAK)を含む電子メール確認が送信されます。

ステップ 2

Cisco ISE の管理者ポータルから、[管理(Administration)][システム(System)][ライセンシング(Licensing)] を選択します。[ライセンスの詳細(Licensing Details)] セクションのノード情報(製品 ID(PID)、バージョン ID(VID)、およびシリアル番号(SN))を書き留めます。

ステップ 3

www.cisco.com/go/licensing に移動し、要求されたら、受け取ったライセンスの PAK、ノード情報、および会社に関する詳細を入力します。

1 日後に、シスコからライセンス ファイルが送信されます。

ステップ 4

システムの既知の場所にこのライセンス ファイルを保存します。

ステップ 5

Cisco ISE の管理者ポータルから、[管理(Administration)] > [システム(System)] > [ライセンシング(Licensing)] を選択します。[ライセンス ファイル(License Files)] セクションで、[ライセンスのインポート(Import License)] ボタンをクリックします。

ステップ 6

[Choose File(ファイルの選択)] をクリックし、システムで以前に保存したライセンス ファイルを選択します。

ステップ 7

[インポート(Import)] をクリックします。

新しいライセンスがシステムにインストールされました。
次のタスク

ライセンシング ダッシュボード([管理(Administration)] > [システム(System)] > [ライセンシング(Licensing)])を選択し、新たに入力したライセンスが正しい詳細とともに表示されることを確認します。

ライセンスの再ホスト

再ホストとは、1 つの Cisco ISE ノードから別のノードにライセンスを移動することを意味します。ライセンシング ポータルから、移動するライセンスの PAK を選択し、再ホストの手順に従います。1 日後、新しい PAK が電子メールで送信されます。この新しい PAK を新しいノードに登録し、元の Cisco ISE ノードから古いライセンスを削除します。

ライセンスの更新

Plus ライセンスや Apex ライセンスなどのサブスクリプション ライセンスの期限は、1 年間、3 年間、または 5 年間です。Cisco ISE は、ライセンスの有効期限日が近づくとアラームを送信し、ライセンスが期限切れになると再度アラームを送信します。

ライセンスの有効期限が過ぎたら、更新する必要があります。このプロセスは、シスコ パートナーまたはアカウント チームによってのみ実行されます。

ライセンスの移行およびアップグレード

シスコのライセンス ポリシーでは、以前の Cisco ISE バージョンからの移行、無線および VPN 専用から有線を含む展開へのアップグレード、および同時ユーザと機能の追加がサポートされています。 また、ライセンス バンドルを購入して、運用コストを最小化することもできます。これらのシナリオは、すべてライセンス サイトで説明されています。詳細については、シスコ パートナーまたはアカウント チームにお問い合わせください。


(注)  
Cisco ISE バージョン 1.2 から移行する場合、Advanced ライセンスには Plus と Apex の両方のライセンスのすべての機能が含まれています。

(注)  
Cisco ISE バージョン 1.3 または 1.4 からのアップグレード後、デフォルトの評価ライセンスは、アップグレード前にシステムに存在していた場合にのみ表示されます。

(注)  
Mobility/Mobility Upgrade ライセンスは、エンド ポイントの対応する番号とともにユーザ インターフェイスに Base/Plus/Apex として常に表示されます。

Cisco ISE ノードで次の内容をサポートしている必要がある場合:

  • 所有しているライセンスを上回る数の大量の同時ユーザ

  • 有線(LAN)アクセス(システムに Mobility ライセンスしかない)

そのノードのライセンスをアップグレードする必要があります。このプロセスは、シスコ パートナーまたはアカウント チームによってのみ実行されます。

ライセンスの削除

始める前に

ライセンスを削除する前に、次の点に注意してください。

  • Mobility ライセンスの後に Mobility アップグレード ライセンスをインストールした場合は、Mobility アップグレード ライセンスを削除してから基盤となる Mobility ライセンスを削除する必要があります。

  • 組み合わされたライセンスをインストールした場合は、Base、Plus および Apex パッケージの関連インストールがすべて削除されます。

手順
ステップ 1

[管理(Administration)] > [システム(System)] > [ライセンシング(Licensing)] を選択します。

ステップ 2

[ライセンス ファイル(License Files)] セクションで、関連するファイル名の隣にあるチェックボックスをクリックし、[ライセンスの削除(Delete License)] をクリックします。

ステップ 3

[OK] をクリックします。