ホストネーム

ノードのホスト名を表示します。

ノード タイプ（Node Type）

ノード タイプを表示します。次のいずれかを設定できます。

• Cisco ISE（管理、ポリシーサービス、およびモニタリング）ノード

ペルソナ（Personas）

（ノードタイプが Cisco ISE の場合にのみ表示）Cisco ISE ノードが担当してきたペルソナがリストされます。 [管理（Administration）]、[ポリシーサービス（Policy Service）] などがあります。

[役割（Role）]

このノードで管理ペルソナまたはモニタリングペルソナが有効になっている場合、これらのペルソナが担当しているロール（プライマリ、セカンダリ、またはスタンドアロン）が示されます。 ロールは、次のうちの 1 つまたは複数にできます。

• [PRI（A）]：プライマリ PAN を意味します

• [SEC（A）]：セカンダリ PAN を意味します

• [PRI（M）]：プライマリ モニタリング ノードを意味します

• [SEC（M）]：セカンダリ モニタリング ノードを意味します

サービス

（ポリシーサービスペルソナが有効な場合にのみ表示）この Cisco ISE ノードで実行されているサービスがリストされます。 サービスは次のいずれか 1 つとなります。

• セッション（Session）

• プロファイリング

• すべて（All）

ノード ステータス（Node Status）

データレプリケーション用の展開内の各 ISE ノードのステータスを示します。

• [緑（接続）（Green（Connected））]：すでに展開に登録されている ISE ノードがプライマリ PAN と同期していることを示します。

• [赤（切断）（Red（Disconnected））]：ISE ノードに到達できないか、ISE ノードがダウンしているか、またはデータレプリケーションが行われていないことを示します。

• [オレンジ（進行中）（Orange (In Progress)）]：ISE ノードがプライマリ PAN に新規に登録されているか、手動同期操作を実行したか、または ISE ノードがプライマリ PAN と同期していないことを示します。

詳細については、[ノードステータス（Node Status）] カラムで各 ISE ノードのクイックビューアイコンをクリックします。

Cisco ISE ノードに管理ペルソナを担当させる場合は、このチェックボックスをオンにします。管理ペルソナは、管理サービスを提供するようライセンスされているノードでのみ有効にできます。

ロール（Role）：管理ペルソナが展開で担当しているロールを表示します。[スタンドアロン（Standalone）]、[プライマリ（Primary）]、[セカンダリ（Secondary）] のいずれかの値になります。

プライマリにする（Make Primary）：ノードをプライマリ Cisco ISE ノードにする場合にこのボタンをクリックします。展開では 1 つのプライマリ Cisco ISE ノードのみを使用できます。 このページのその他のオプションは、ノードをプライマリにした後にのみアクティブになります。展開では 2 つの管理ノードのみを使用できます。 ノードにスタンドアロンロールが割り当てられている場合、[プライマリにする（Make Primary）] ボタンがノードの横に表示されます。ノードにセカンダリロールが割り当てられている場合、[プライマリに昇格（Promote to Primary）] ボタンがノードの横に表示されます。ノードにプライマリロールがあり、そのノードを使用して登録されている他のノードがない場合は、ノードの横に [スタンドアロンにする（Make Standalone）] ボタンが表示されます。 このボタンをクリックすると、プライマリノードをスタンドアロンノードにできます。

Cisco ISE ノードにモニタリング ペルソナを担当させ、ログ コレクタとして機能させる場合は、このチェックボックスをオンにします。分散展開内にモニタリングノードが少なくとも 1 つ存在する必要があります。 プライマリ PAN の設定時に、モニタリングペルソナを有効にする必要があります。 展開内のセカンダリ モニタリング ノードを登録した後、必要に応じてプライマリ PAN を編集したり、モニタリングペルソナを無効にしたりできます。 VMware プラットフォームで Cisco ISE ノードをログコレクタとして設定するには、次のガイドラインに従って最低限必要なディスク領域を決定します。1 日あたりネットワーク内のエンドポイント 1 つにつき 180 KB、1 日あたりネットワーク内の Cisco ISE ノード 1 つにつき 2.5 MB となります。

モニタリングノードに何ヵ月分のデータを格納するかに応じて、必要な最大ディスク領域を計算します。 展開にモニタリング ノードが 1 つしかない場合は、スタンドアロン ロールを担当します。展開に 2 つのモニタリングノードがある場合は、Cisco ISE に、プライマリ-セカンダリロールを設定する他のモニタリングノードの名前が表示されます。 これらのロールを設定するには、次のいずれかを選択します。

• プライマリ（Primary）：現在のノードをプライマリ モニタリング ノードにする場合。

• セカンダリ（Secondary）：現在のノードをセカンダリ モニタリング ノードにする場合。

• なし（None）：モニタリングノードにプライマリ/セカンダリ ロールを担当させない場合。

モニタリングノードの 1 つをプライマリまたはセカンダリとして設定すると、もう一方のモニタリングノードが自動的にそれぞれセカンダリノードまたはプライマリノードになります。 プライマリ モニタリング ノードおよびセカンダリ モニタリング ノードは、管理ログおよびポリシーサービスログを受信します。 1 つのモニタリングノードのロールを [なし（None）] に変更した場合、他方のモニタリングノードのロールも同様に [なし（None）] になり、それによって高可用性ペアがキャンセルされます。モニタリングノードとしてノードを指定すると、そのノードが [管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [リモートロギングターゲット（Remote Logging Targets）] ウィンドウで syslog ターゲットとして表示されます。

• [セッションサービスの有効化（Enable Session Services）]：ネットワーク アクセス サービス、ポスチャサービス、ゲストサービス、およびクライアント プロビジョニング サービスを有効にするには、このチェックボックスをオンにします。このポリシーサービスノードが属するグループを、[ノードをノードグループに含める（Include Node in Node Group）] ドロップダウンリストから選択します。 CA サービスと EST サービスは、セッションサービスが有効になっているポリシーサービスノードでのみ実行できることに注意してください。

  [ノードをノードグループに含める（Include Node in Node Group）] については、このポリシーサービスモードをどのグループにも含めない場合は [なし（None）] を選択します。

  同じノードグループ内のすべてのノードが、ネットワーク アクセス デバイス（NAD）で RADIUS クライアントとして設定され、CoA の許可を得る必要があります。これは、それらすべてのノードで、ノードグループ内の任意のノードを介して確立されたセッションに関する CoA 要求を発行できるためです。 ロードバランサを使用していない場合、ノードグループ内のノードは、NAD で設定されている RADIUS サーバおよびクライアントと同じであるか、またはこれらのサブセットである必要があります。 これらのノードは RADIUS サーバとしても設定できます。

  多数の ISE ノード（RADIUS サーバおよび動的許可クライアントとして）を持つ単一の NAD を設定できますが、すべてのノードが同じノードグループに属している必要はありません。

  ノード グループのメンバーは、ギガビット イーサネットなどの高速 LAN 接続を使用して相互に接続する必要があります。ノードグループのメンバーは L2 隣接関係である必要はありませんが、十分な帯域幅と到達可能性を確保するには L2 隣接関係が強く推奨されます。 詳細については、『Cisco ISE 管理者ガイド：展開 』の「ポリシー サービス ノード グループの作成」のセクションを参照してください。

• プロファイリングサービスの有効化（Enable Profiling Service）：プロファイラサービスを有効にするには、このチェックボックスをオンにします。プロファイリングサービスを有効にする場合は、[Profiling Configuration（プロファイリング設定）] タブをクリックし、必要に応じて詳細を入力する必要があります。 ポリシーサービスノードで実行されるサービスを有効または無効にしたり、このノードを変更したりする場合は、そのサービスが実行されるアプリケーション サーバ プロセスを再起動します。 これらのサービスが再起動されるまで遅延が発生します。ノードでアプリケーションサーバがいつ再起動したかを確認するには、CLI で show application status ise コマンドを使用します。

• 脅威中心型NACサービスの有効化（Enable Threat Centric NAC Service）：脅威中心型ネットワーク アクセス コントロール（TC-NAC）機能を有効にするには、このチェックボックスをオンにします。この機能では、脅威と脆弱性のアダプタから受信した脅威と脆弱性の属性に基づいて認証ポリシーを作成することができます。 脅威の重大度レベルと脆弱性評価の結果は、エンドポイントまたはユーザのアクセスレベルを動的に制御するために使用できます。

• SXPサービスの有効化（Enable SXP Service）：ノードで SXP サービスを有効にするには、このチェックボックスをオンにします。また、SXP サービスに使用するインターフェイスを指定する必要があります。

  NIC ボンディングまたはチーミングを設定している場合は、ボンディングされたインターフェイスも物理インターフェイスとともに [使用インターフェイス（Use Interface）] ドロップダウンリストに表示されます。

• デバイス管理サービスの有効化（Enable Device Admin Service）：TACACS ポリシーセット、ポリシー結果などを作成し、ネットワークデバイスの設定を制御および監査するには、このチェックボックスをオンにします。

• パッシブIDサービスの有効化（Enable Passive Identity Service）：ID マッピング機能を有効にするには、このチェックボックスをオンにします。この機能を使用すると、Cisco ISE ではなくドメインコントローラ（DC）で認証されるユーザをモニタできます。 Cisco ISE がユーザのネットワークアクセスをアクティブには認証しないネットワークでは、ID マッピング機能を使用して、Active Directory（AD）ドメインコントローラからユーザ認証情報を収集できます。

NetFlow

ルータから送信された NetFlow パケットを受信および解析するために、ポリシーサービスペルソナを担当した Cisco ISE ノードごとに NetFlow を有効にする場合は、このチェックボックスをオンにします。次のオプションを選択します。

• [インターフェイス（Interface）]：ISE ノード上のインターフェイスを選択します。

• [ポート（Port）]：NetFlow エクスポートがルータから受信した NetFlow リスナーポート番号を入力します。デフォルト ポートは 9996 です。

DHCP

IP ヘルパーから DHCP パケットをリッスンするために、ポリシーサービスペルソナを担当した Cisco ISE ノードごとに DHCP を有効にする場合は、このチェックボックスをオンにします。次のオプションを選択します。

• [ポート（Port）]：DHCP サーバの UDP ポート番号を入力します。デフォルト ポートは 67 です。

• [インターフェイス（Interface）]：ISE ノード上のインターフェイスを選択します。

• [ポート（Port）]：DHCP サーバの UDP ポート番号を入力します。デフォルト ポートは 67 です。

DHCP SPAN

DHCP パケットを収集するために、ポリシーサービスペルソナを担当した Cisco ISE ノードごとに DHCP SPAN を有効にする場合は、このチェックボックスをオンにします。

• [インターフェイス（Interface）]：ISE ノード上のインターフェイスを選択します。

[HTTP]

HTTP パケットを受信および解析するために、ポリシーサービスペルソナを担当した Cisco ISE ノードごとに HTTP を有効にする場合は、このチェックボックスをオンにします。

• [インターフェイス（Interface）]：ISE ノード上のインターフェイスを選択します。

RADIUS

IOS センサー対応デバイスから RADIUS セッション属性、さらに CDP 属性と LLDP 属性を収集するために、ポリシーサービスペルソナを担当した ISE ノードごとに RADIUS を有効にする場合は、このチェックボックスをオンにします。

ネットワーク スキャン（NMAP）（Network Scan (NMAP)）

NMAP プローブをイネーブルにするには、このチェックボックスをオンにします。

DNS

FQDN の DNS ルックアップを実行するために、ポリシーサービスペルソナを担当した ISE ノードごとに DNS を有効にする場合は、このチェックボックスをオンにします。秒単位でタイムアウト時間を入力します。

SNMP クエリ（SNMP Query）

指定した間隔でネットワークデバイスをポーリングするために、ポリシーサービスペルソナを担当した ISE ノードごとに SNMP クエリを有効にする場合は、このチェックボックスをオンにします。[再試行（Retries）]、[タイムアウト（Timeout）]、[イベントタイムアウト（Event Timeout）]、任意の [説明（Description）] の各フィールドに値を入力します。

SNMP トラップ（SNMP Trap）

• [リンクトラップクエリ（Link Trap Query）]：SNMP トラップを介して受信する linkup 通知と linkdown 通知を受信して解釈するには、このチェックボックスをオンにします。

• [MAC トラップクエリ（MAC Trap Query）]：SNMP トラップを介して受信する MAC 通知を受信して解釈するには、このチェックボックスをオンにします。

• [インターフェイス（Interface）]：ISE ノード上のインターフェイスを選択します。

• [ポート（Port）]：使用するホストの UDP ポートを入力します。デフォルト ポートは 162 です。

Active Directory

定義された Active Directory サーバをスキャンして、Windows ユーザに関する情報を探します。

pxGrid

ISE で pxGrid を介してエンドポイント属性を収集（プロファイリング）できるようになります。

ノードの選択（Select Node）

（必須）システム証明書を生成するノード。

一般名（Common Name）（CN）

（SAN を指定しない場合に必須）デフォルトでは、一般名は自己署名証明書を生成する ISE ノードの完全修飾ドメイン名です。

組織

組織ユニット名。Engineering など。

組織（Organization）（O）

組織名。Cisco など。

都市（City）（L）

（省略不可）都市名。 San Jose など。

州（State）（ST）

（省略不可）州名。 California など。

国（Country）（C）

国名。 2 文字の ISO 国番号を入力する必要があります。US など。

サブジェクト代替名（Subject Alternative Name）（SAN）

証明書に関連付けられた IP アドレスまたは DNS 名 IP アドレス、DNS 名、または Uniform Resource Identifier（URI）。

キー タイプ

RSA または ECDSA の公開キーの作成に使用するアルゴリズムを指定します。

キーの長さ（Key Length）

• 512

• 1024

• 2048

• 4096

• 256

• 384

パブリック CA 署名付き証明書を取得する場合、または FIPS 準拠ポリシー管理システムとして Cisco ISE を展開する場合は、2048 を選択します。

署名するダイジェスト（Digest to Sign With）

ハッシュアルゴリズム SHA-1 または SHA-256 を選択します。

証明書ポリシー（Certificate Policies）

証明書が従うべき証明書ポリシーの OID または OID のリストを入力します。 OID を区切るには、カンマまたはスペースを使用します。

TTL 有効期限（Expiration TTL）

証明書が失効するまでの日数を指定します。

フレンドリ名（Friendly Name）

証明書のフレンドリ名を入力します。 名前を指定しない場合は、Cisco ISE により <common name> # <issuer> # <nnnnn> の形式で自動的に名前が作成されます。<nnnnn> には一意の 5 桁の数値が入ります。

ワイルドカード証明書の許可（Allow Wildcard Certificates）

自己署名したワイルドカード証明書（サブジェクトの任意の一般名またはサブジェクト代替名の DNS 名、またはその両方にアスタリスク（*）が含まれている証明書）を生成する場合は、このチェックボックスをオンにします。 たとえば、SAN に割り当てられている DNS 名が *.amer.cisco.com の場合です。

使用方法

このシステム証明書を使用する必要があるサービスを選択します。

• [管理者（Admin）]：管理者ポータルとの通信および展開内の ISE ノード間の通信の保護に使用されるサーバ証明書

• [EAP 認証（EAP Authentication）]：SSL/TLS トンネリングの EAP プロトコルを使用する認証に使用されるサーバ証明書

• [RADIUS DTLS]：RADIUS DTLS 認証に使用するサーバ証明書

• [pxGrid]：pxGrid クライアントとサーバの間の通信を保護するクライアントおよびサーバ証明書

• [SAML]：SAML ID プロバイダー（IdP）とのセキュア通信に使用するサーバ証明書。SAML 用の使用を目的とした証明書は、管理者認証や EAP 認証などのその他のサービスのために使用することはできません。

• [ポータル（Portal）]：すべての Cisco ISE Web ポータルとの通信を保護するために使用されるサーバ証明書

証明書の用途（Certificate(s) will be used for）

証明書を使用するサービスを選択します。

Cisco ISE ID 証明書

• [複数使用（Multi-Use）]：複数のサービス（管理者、EAP-TLS 認証、pxGrid、およびポータル）に使用されます。複数使用の証明書は、クライアントとサーバ両方のキーの用途を使用します。署名 CA の証明書テンプレートは、コンピュータまたはマシン証明書テンプレートと呼ばれます。 このテンプレートには、次のプロパティがあります。

  • [キーの用途（Key Usage）]：デジタル署名（署名）

  • [キーの拡張用途（Extended Key Usage）]：TLS Web サーバ認証（1.3.6.1.5.5.7.3.1）および TLS Web クライアント認証（1.3.6.1.5.5.7.3.2）

• [管理者（Admin）]：サーバ認証に使用されます（管理者ポータルとの通信および展開内の ISE ノード間の通信を保護するため）。署名 CA の証明書テンプレートは、Web サーバ証明書テンプレートと呼ばれます。このテンプレートには、次のプロパティがあります。

  • [キーの用途（Key Usage）]：デジタル署名（署名）

  • [キーの拡張用途（Extended Key Usage）]：TLS Web サーバ認証（1.3.6.1.5.5.7.3.1）

• [EAP 認証（EAP Authentication）]：サーバ認証に使用されます。署名 CA の証明書テンプレートは、コンピュータまたはマシン証明書テンプレートと呼ばれます。 このテンプレートには、次のプロパティがあります。

  • [キーの用途（Key Usage）]：デジタル署名（署名）

  • [キーの拡張用途（Extended Key Usage）]：TLS Web サーバ認証（1.3.6.1.5.5.7.3.1）

  注	EAP-TLS クライアント証明書にデジタル署名キー使用法を使用する必要があります。

• [RADIUS DTLS]：RADIUS DTLS サーバの認証に使用されます。このテンプレートには、次のプロパティがあります。

  • [キーの用途（Key Usage）]：デジタル署名（署名）

  • [キーの拡張用途（Extended Key Usage）]：TLS Web サーバ認証（1.3.6.1.5.5.7.3.1）

• [ポータル（Portal）]：サーバ認証に使用されます（すべての ISE Web ポータルとの通信を保護するため）。署名 CA の証明書テンプレートは、コンピュータまたはマシン証明書テンプレートと呼ばれます。 このテンプレートには、次のプロパティがあります。

  • [キーの用途（Key Usage）]：デジタル署名（署名）

  • [キーの拡張用途（Extended Key Usage）]：TLS Web サーバ認証（1.3.6.1.5.5.7.3.1）

• [pxGrid]：クライアント認証とサーバ認証の両方に使用されます（pxGrid クライアントとサーバ間の通信を保護するため）。署名 CA の証明書テンプレートは、コンピュータまたはマシン証明書テンプレートと呼ばれます。 このテンプレートには、次のプロパティがあります。

  • [キーの用途（Key Usage）]：デジタル署名（署名）

  • [キーの拡張用途（Extended Key Usage）]：TLS Web サーバ認証（1.3.6.1.5.5.7.3.1）および TLS Web クライアント認証（1.3.6.1.5.5.7.3.2）

• [SAML]：SAML ID プロバイダー（IdP）とのセキュア通信に使用するサーバ証明書。SAML 用の使用を目的とした証明書は、管理者認証や EAP 認証などのその他のサービスのために使用することはできません。

  • [キーの用途（Key Usage）]：デジタル署名（署名）

  • [キーの拡張用途（Extended Key Usage）]：TLS Web サーバ認証（1.3.6.1.5.5.7.3.1）

source=local ; type=fatal ; message="unsupported certificate"

Cisco ISE 認証局 証明書

• [ISE ルート CA（ISE Root CA）]：（内部 CA サービスにのみ適用可能）プライマリ PAN のルート CA および PSN の下位 CA を含む内部 CA 証明書チェーン全体を再生成するために使用されます。

• [ISE 中間 CA（ISE Intermediate）]：（ISE が外部 PKI の中間 CA として機能する場合に内部 CA サービスにのみ適用可能）プライマリ PAN の中間 CA 証明書および PSN の下位 CA 証明書の生成に使用されます。 署名 CA の証明書テンプレートは、下位認証局と呼ばれます。 このテンプレートには、次のプロパティがあります。

  • [基本制約（Basic Constraints）]：重要、認証局

  • [キーの用途（Key Usage）]：証明書の署名、デジタル署名

  • [キーの拡張用途（Extended Key Usage）]：OCSP 署名（1.3.6.1.5.5.7.3.9）

• [ISE OCSP 応答側証明書の更新（Renew ISE OCSP Responder Certificates）]：（内部 CA サービスにのみ適用可能）展開全体の ISE OCSP 応答側証明書の更新に使用されます（証明書署名要求ではありません）。セキュリティ上の理由から、ISE OCSP 応答側証明書を 6 ヵ月ごとに更新することを推奨します。

ワイルドカード証明書の許可（Allow Wildcard Certificates）

証明書の [SAN] フィールドの CN/DNS 名にワイルドカード文字（*）を使用するには、このチェックボックスをオンにします。 このチェックボックスをオンにすると、展開内のすべてのノードが自動的に選択されます。 左端のラベルの位置にアスタリスク（*）ワイルドカード文字を使用する必要があります。 ワイルドカード証明書を使用する場合は、セキュリティを強化するためにドメイン領域を分割することを推奨します。 たとえば、*.example.com の代わりに *.amer.example.com を使用して領域を分割することができます。 ドメインを分割しないと、セキュリティ問題が発生する可能性があります。

これらのノードの CSR の生成（Generate CSRs for these Nodes）

証明書を生成するノードの隣のチェックボックスをオンにします。 展開内の選択されたノードの CSR を生成するには、[ワイルドカード証明書の許可（Allow Wildcard Certificates）] オプションをオフにします。

一般名（Common Name）（CN）

デフォルトでは、一般名は CSR を生成する ISE ノードの FQDN です。 $FQDN$ は ISE ノードの FQDN を意味します。展開内の複数ノードの CSR を生成すると、CSR の [一般名（Common Name）] フィールドは各 ISE ノードの FQDN に置き換えられます。

組織

組織ユニット名。Engineering など。

組織（Organization）（O）

組織名。Cisco など。

都市（City）（L）

（省略不可）都市名。 San Jose など。

州（State）（ST）

（省略不可）州名。 California など。

国（Country）（C）

国名。 2 文字の ISO 国番号を入力する必要があります。US など。

サブジェクト代替名（Subject Alternative Name）（SAN）

証明書に関連付けられている IP アドレス、DNS 名、Uniform Resource Identifier（URI）、またはディレクトリ名。

• [DNS 名（DNS Name）]：DNS 名を選択した場合は、ISE ノードの完全修飾ドメイン名を入力します。[ワイルドカード証明書の許可（Allow Wildcard Certificates）] オプションをオンにした場合は、ワイルドカード表記（ドメイン名の前にアスタリスクとピリオドを入力）を指定します。 *.amer.example.com など。

• [IP アドレス（IP Address）]：証明書に関連付けられる ISE ノードの IP アドレス。

• [Uniform Resource Identifier]：証明書に関連付ける URI。

• [ディレクトリ名（Directory Name）]：RFC 2253 に従って定義される識別名（DN）の文字列表現。DN 間はカンマ（,）で区切ります。「dnQualifier」RDN の場合は、カンマをエスケープし、区切り文字としてバックスラッシュカンマ「\,」を使用します。 たとえば、CN=AAA,dnQualifier=O=Example\,DC=COM,C=IL などです。

キー タイプ

RSA または ECDSA の公開キーの作成に使用するアルゴリズムを指定します。

キーの長さ（Key Length）

公開キーのビット サイズを指定します。

RSA には、次のオプションを使用できます。

• 512

• 1024

• 2048

• 4096

ECDSA には、次のオプションを使用できます。

• 256

• 384

パブリック CA の署名付き証明書を取得するか、FIPS 準拠ポリシー管理システムとして Cisco ISE を展開する場合は 2048 以上を選択します。

署名するダイジェスト（Digest to Sign With）

ハッシュアルゴリズム SHA-1 または SHA-256 を選択します。

証明書ポリシー（Certificate Policies）

証明書が従うべき証明書ポリシーの OID または OID のリストを入力します。 OID を区切るには、カンマまたはスペースを使用します。

ノード名

証明書を発行したポリシー サービス ノード（PSN）の名前。

[発行された証明書（Certificates Issued）]

PSN ノードが発行したエンドポイント証明書の数。

[取り消された証明書（Certificates Revoked）]

失効したエンドポイント証明書（PSN ノードが発行した証明書）の数。

[証明書要求（Certificates Requests）]

PSN ノードが処理した証明書ベースの認証要求の数。

[失敗した証明書（Certificates Failed）]

PSN ノードが処理する失敗した認証要求の数。

証明書チェックの設定

自動的に取得されたCRLに対する進行中のセッションのチェック（Check ongoing sessions against automatically retrieved CRL）

Cisco ISE が自動的にダウンロードされた CRL に対する進行中のセッションをチェックするようにするには、このチェックボックスをオンにします。

CRL/OCSP の定期的な証明書チェック

最初のチェック時刻（First check at）

CRL または OCSP のチェックを毎日開始する時刻を指定します。 00:00 ～ 23:59 の時間範囲の値を入力します。

チェック間隔（Check every）

CRL または OCSP サーバを再度チェックする前に Cisco ISE が待機する時間間隔を時間単位で指定します。

ノードの選択（Select Node）

（必須） システム証明書をインポートする Cisco ISE ノードを選択します。

証明書ファイル（Certificate file）

（必須）[参照（Browse）] をクリックして、ローカルシステムから証明書ファイルを選択します。

秘密キー ファイル（Private key file）

（必須）[参照（Browse）] をクリックして、秘密キーファイルを選択します。

[パスワード（Password）]

（必須）秘密キーファイルを復号化するためのパスワードを入力します。

フレンドリ名（Friendly Name）

証明書のフレンドリ名を入力します。 名前を指定しない場合は、Cisco ISE により <common name> # <issuer> # <nnnnn> の形式で自動的に名前が作成されます。<nnnnn> には一意の 5 桁の数値が入ります。

ワイルドカード証明書の許可（Allow Wildcard Certificates）

ワイルドカード証明書（サブジェクトの任意の一般名またはサブジェクト代替名の DNS 名、またはその両方にアスタリスク（*）が含まれている証明書）をインポートする場合は、このチェックボックスをオンにします。 たとえば、SAN に割り当てられている DNS 名が *.amer.cisco.com の場合です。 このチェックボックスをオンにすると、Cisco ISE は展開内の他のすべてのノードにこの証明書をインポートします。

証明書の拡張の検証（Validate Certificate Extensions）

Cisco ISE に証明書の拡張の検証を許可する場合は、このチェックボックスをオンにします。 このチェックボックスをオンにし、かつインポートする証明書に CA フラグが true に設定された基本制約拡張が含まれている場合は、キー使用拡張が存在すること、および keyEncipherment ビットと keyAgreement ビットのいずれかまたは両方が設定されていることを確認します。

使用方法

このシステム証明書を使用する必要があるサービスを選択します。

• [管理者（Admin）]：管理者ポータルとの通信および展開内の ISE ノード間の通信の保護に使用されるサーバ証明書

• [EAP 認証（EAP Authentication）]：SSL/TLS トンネリングの EAP プロトコルを使用する認証に使用されるサーバ証明書

• [RADIUS DTLS]：RADIUS DTLS 認証に使用するサーバ証明書

• [pxGrid]：pxGrid クライアントとサーバの間の通信を保護するクライアントおよびサーバ証明書

• [SAML]：SAML ID プロバイダー（IdP）とのセキュア通信に使用するサーバ証明書。SAML 用の使用を目的とした証明書は、管理者認証や EAP 認証などのその他のサービスのために使用することはできません。

• [ポータル（Portal）]：すべての Cisco ISE Web ポータルとの通信を保護するために使用されるサーバ証明書

フレンドリ名（Friendly Name）

証明書の名前を表示します。

ステータス（Status）

有効または無効にします。[無効（Disabled）] の場合、ISE は信頼を確立するために証明書を使用しません。

信頼対象（Trusted for）

証明書を使用するサービスを表示します。

発行先（Issued To）

証明書のサブジェクトの一般名（CN）。

発行元（Issued By）

証明書の発行元の一般名（CN）。

有効期限の開始（Valid From）

「Not Before」証明書属性。

期限日（Expiration Date）

「Not After」証明書属性。

有効期限ステータス（Expiration Status）

証明書の有効期限のステータスに関する情報です。 このコラムに表示される情報メッセージには 5 つのアイコンとカテゴリがあります。

• 緑色：期限切れまで 91 日以上

• 青色：期限切れまで 90 日以内

• 黄色：期限切れまで 60 日以内

• オレンジ色：期限切れまで 30 日以内

• 赤色: 期限切れ

証明書発行元（Certificate Issuer）

フレンドリ名（Friendly Name）

証明書のフレンドリ名を入力します。

ステータス（Status）

[有効（Enabled）] または [無効（Disabled）] を選択します。 [無効（Disabled）] の場合、ISE は信頼を確立するために証明書を使用しません。

説明

任意で説明を入力します。

使用方法

ISE 内の認証用に信頼する（Trust for authentication within ISE）

この証明書で（他の ISE ノードまたは LDAP サーバから）サーバ証明書を検証する場合は、このチェックボックスをオンにします。

クライアント認証および syslog 用に信頼する（Trust for client authentication and Syslog）

（[ISE 内の認証用に信頼する（Trust for authentication within ISE）] チェックボックスをオンにした場合に限り適用可能）この証明書を使用して次を行う場合は、このチェックボックスをオンにします。

• EAP プロトコルを使用した ISE に接続するエンドポイントの認証

• syslog サーバの信頼

シスコ サービスの認証用に信頼する（Trust for authentication of Cisco Services）

フィードサービスなどの外部シスコサービスを信頼するためにこの証明書を使用する場合は、このチェックボックスをオンにします。

証明書ステータスの検証（Certificate Status Validation）

ISE は、特定の CA が発行するクライアントまたはサーバ証明書の失効ステータスをチェックする 2 とおりの方法をサポートしています。 1 つは、Online Certificate Status Protocol（OCSP）を使用して証明書を検証することです（OCSP は、CA によって保持される OCSP サービスに要求を行います）。 もう 1 つは、ISE に CA からダウンロードした証明書失効リスト（CRL）に対して証明書を検証することです。 両方の方法は、OCSP を最初に使用し、ステータスを判断できないときに限り CRL を使用する場合に使用できます。

OCSP サービスに対して検証する（Validate Against OCSP Service）

OCSP サービスに対して証明書を検証するには、このチェックボックスをオンにします。 このボックスをオンにするには、まず OCSP サービスを作成する必要があります。

OCSP が不明なステータスを返した場合は要求を拒否する（Reject the request if OCSP returns UNKNOWN status）

認証ステータスが OCSP によって判別されなかった場合に要求を拒否するには、このチェックボックスをオンにします。 このチェックボックスをオンにした場合、OCSP サービスによって不明のステータス値が返されると、ISE は現在評価されているクライアントまたはサーバ証明書を拒否します。

OCSP応答側が到達不能な場合は要求を拒否する（Reject the request if OCSP Responder is unreachable）

OCSP 応答側が到達不能な場合に ISE が要求を拒否するには、このチェックボックスをオンにします。

CRL のダウンロード（Download CRL）

Cisco ISE で CRL をダウンロードするには、このチェックボックスをオンにします。

CRL 配信 URL（CRL Distribution URL）

CA から CRL をダウンロードするための URL を入力します。 認証局証明書で指定されている場合、このフィールドは自動的に読み込まれます。 URL は「http」、「https」、または「ldap」で始まる必要があります。

CRL の取得（Retrieve CRL）

CRL は、自動的または定期的にダウンロードできます。 ダウンロードの時間間隔を設定します。

ダウンロードが失敗した場合は待機する（If download failed, wait）

Cisco ISE が CRL を再度ダウンロードするまでに待機する時間間隔を設定します。

CRL を受信しない場合 CRL 検証をバイパスする（Bypass CRL Verification if CRL is not Received）

このチェックボックスをオンにした場合、クライアント要求は CRL が受信される前に受け入れられます。 このチェックボックスをオフにした場合、選択した CA によって署名された証明書を使用するすべてのクライアント要求は、Cisco ISE によって CRL ファイルが受信されるまで拒否されます。

CRL がまだ有効でないか、または期限切れの場合は無視する（Ignore that CRL is not yet valid or expired）

Cisco ISE で開始日と期限日を無視し、まだアクティブでないかまたは期限切れの CRL を引き続き使用し、CRL の内容に基づいて EAP-TLS 認証を許可または拒否する場合は、このチェックボックスをオンにします。

Cisco ISE で [有効日（Effective Date）] フィールドの開始日と [次の更新（Next Update）] フィールドの期限日を CRL ファイルでチェックする場合は、このチェックボックスをオフにします。 CRL がまだアクティブではないか、または期限切れの場合、その CA によって署名された証明書を使用するすべての認証は拒否されます。

証明書ファイル（Certificate file）

[参照（Browse）] をクリックして、ブラウザを実行しているコンピュータから証明書ファイルを選択します。

フレンドリ名（Friendly Name）

証明書のフレンドリ名を入力します。名前を指定しない場合は、Cisco ISE により <common name># <issuer># <nnnnn> の形式で自動的に名前が作成されます。<nnnnn> には一意の 5 桁の数値が入ります。

ISE 内の認証用に信頼する（Trust for authentication within ISE）

この証明書を（他の ISE ノードまたは LDAP サーバから）サーバ証明書の検証に使用する場合は、このチェックボックスをオンにします。

クライアント認証および syslog 用に信頼する（Trust for client authentication and Syslog）

（[ISE 内の認証用に信頼する（Trust for authentication within ISE）] チェックボックスをオンにした場合に限り適用可能）この証明書を使用して次を行う場合は、このチェックボックスをオンにします。

• EAP プロトコルを使用した ISE に接続するエンドポイントの認証

• syslog サーバの信頼

シスコ サービスの認証用に信頼する（Trust for authentication of Cisco Services）

フィードサービスなどの外部シスコサービスを信頼するためにこの証明書を使用する場合は、このチェックボックスをオンにします。

証明書の拡張の検証（Validate Certificate Extensions）

（[クライアント認証用に信頼する（Trust for client authentication）] オプションと [証明書拡張の検証を有効にする（Enable Validation of Certificate Extensions）] オプションの両方をオンにした場合のみ）「keyUsage」拡張が存在し、「keyCertSign」ビットが設定されていることと、CA フラグが true に設定された基本制約拡張が存在することを確認します。

説明

任意で説明を入力します。

名前（Name）

OCSP クライアントプロファイル名。

説明

任意で説明を入力します。

OCSP 応答側の設定

セカンダリ サーバの有効化（Enable Secondary Server）

ハイアベイラビリティのセカンダリ OCSP サーバを有効にするには、このチェックボックスをオンにします。

常にプライマリ サーバに最初にアクセスする（Always Access Primary Server First）

このオプションは、セカンダリサーバへの移動を試行する前にプライマリサーバをチェックする場合に使用します。 プライマリが以前にチェックされ、応答しないことがわかっている場合にも、Cisco ISE はセカンダリサーバに移動する前にプライマリサーバへの要求の送信を試行します。

[n 分経過後にプライマリサーバにフォールバック（Fallback to Primary Server After Interval n Minutes）]

このオプションは、Cisco ISE がセカンダリサーバに移動してから、再度プライマリサーバにフォールバックする場合に使用します。 この場合、その他の要求はすべてスキップされ、テキストボックスで設定した時間セカンダリサーバが使用されます。 許可される時間の範囲は 1 ～ 999 分です。

プライマリサーバとセカンダリサーバ（Primary and Secondary Servers）

URL

プライマリおよびセカンダリ OCSP サーバの URL を入力します。

ナンス拡張サポートの有効化（Enable Nonce Extension Support）

ナンスが OCSP 要求の一部として送信されるように設定できます。 ナンスには、OCSP 要求の疑似乱数が含まれます。 応答で受信される数値は要求に含まれる数値と同じであることが検証されています。 このオプションにより、リプレイアタックで古い通信を再利用できないことが保証されます。

応答の署名の検証（Validate Response Signature）

OCSP レスポンダは、次のいずれかの証明書を使用して応答に署名します。

• CA 証明書

• CA 証明書とは別の証明書

  Cisco ISE が応答の署名を検証するためには、OCSP 応答側が応答を証明書とともに送信する必要があります。そうでない場合、応答の検証は失敗し、証明書のステータスは利用できません。 RFC に従い、OCSP は異なる証明書を使用して応答に署名できます。 このことは、OCSP が Cisco ISE による検証用に応答に署名した証明書を送信する限り当てはまります。 OCSP が Cisco ISE で設定されているものとは異なる証明書を使用して応答に署名した場合、応答の検証は失敗します。

Authority Information Access（AIA）に指定されたOCSP URLを使用する（Use OCSP URLs specified in Authority Information Access (AIA)）

Authority Information Access の拡張で指定されている OCSP URL を使用するには、オプションボタンをクリックします。

応答キャッシュ（Response Cache）

[キャッシュ エントリの存続可能時間 n 分(Cache Entry Time To Live n Minutes)]

• 既知の証明書に関する OCSP サーバからのネットワーク トラフィックと負荷を低減するため

• 既知の証明書のステータスをキャッシュすることによって Cisco ISE のパフォーマンスを向上させるため

デフォルトでは、キャッシュは内部 CA OCSP クライアント プロファイルに対し 2 分に設定されています。エンドポイントが最初の認証から 2 分以内にもう一度認証すると、OCSP のキャッシュが使用され、OCSP レスポンダには問い合わせされません。 エンドポイントの証明書がキャッシュ期間内に失効した場合、以前の OCSP のステータス [良好（Good）] が使用され、認証は成功します。 キャッシュを 0 分に設定すると、応答はキャッシュされません。このオプションでは、セキュリティは向上しますが、認証のパフォーマンスは低下します。

キャッシュのクリア（Clear Cache）

OCSP サービスに接続されているすべての認証局のエントリをクリアするには、[キャッシュのクリア（Clear Cache）] をクリックします。

展開内で、[キャッシュのクリア（Clear Cache）] はすべてのノードと相互作用して、処理を実行します。このメカニズムでは、展開内のすべてのノードが更新されます。

認証局の無効化（Disable Certificate Authority）

内部 CA サービスを無効にするには、このボタンをクリックします。

ホスト名（Host Name）

CA サービスを実行している Cisco ISE ノードのホスト名。

ペルソナ（Personas）

CA サービスを実行しているノードで有効な Cisco ISE ノードのペルソナ。 たとえば、管理、ポリシーサービスなどです。

ロール（Role(s)）

CA サービスを実行する Cisco ISE ノードが担当するロール。 たとえば、スタンドアロンまたはプライマリまたはセカンダリです。

CA、EST、および OCSP 応答側のステータス（CA, EST & OCSP Responder Status）

[有効（Enabled）]または [無効（Disabled）] です。

OCSP 応答側 URL（OCSP Responder URL）

OCSP サーバにアクセスするための Cisco ISE ノードの URL。

SCEP URL

SCEP サーバにアクセスするための Cisco ISE ノードの URL。

名前（Name）

（必須）証明書テンプレートの名前を入力します。たとえば、Internal_CA_Template とします。

説明

（任意）説明を入力します。

一般名（Common Name）（CN）

（表示のみ）一般名にはユーザ名が自動入力されます。

組織

組織ユニット名。Engineering など。

組織（Organization）（O）

組織名。Cisco など。

都市（City）（L）

（省略不可）都市名。San Jose など。

州（State）（ST）

（省略不可）州名。California など。

国（Country）（C）

国名。2 文字の ISO 国番号を入力する必要があります。 US など。

サブジェクト代替名（Subject Alternative Name）（SAN）

（表示のみ）エンドポイントの MAC アドレス。

キー タイプ

RSA または ECC

キー サイズ

（RSA を選択した場合にのみ適用可能）1024 以上のキーサイズを指定します。

曲線タイプ（Curve Type）

（ECC を選択した場合にのみ適用可能）曲線のタイプを指定します（デフォルトは P-384 です）。

SCEP RA プロファイル（SCEP RA Profile）

ISE 内部 CA または作成した外部 SCEP RA プロファイルを選択します。

有効期限（Valid Period）

証明書の期限が切れるまでの日数を入力します。

拡張キーの使用状況

クライアント認証

クライアント認証にこの証明書を使用する場合は、このチェックボックスをオンにします。

サーバ認証（Server Authentication）

サーバ認証にこの証明書を使用する場合は、このチェックボックスをオンにします。

名前（Name）

新しい ターゲットの名前を入力します。

ターゲット タイプ（Target Type）

ターゲット タイプを選択します。 デフォルトでは、[UDP Syslog] に設定されます。

説明（Description）

新しいターゲットの簡単な説明を入力します。

[IPアドレス（IP Address）]

ログを格納する宛先マシンの IP アドレスまたはホスト名を入力します。ISE は、ロギング用に IPv4 と IPv6 形式をサポートします。

[ポート（Port）]

宛先マシンのポート番号を入力します。

ファシリティ コード（Facility Code）

ロギングに使用する syslog ファシリティ コードを選択します。有効なオプションは、Local0 ～ Local7 です。

最大長（Maximum Length）

リモート ログ ターゲット メッセージの最大長を入力します。有効なオプションは 200 ～ 1024 バイトです。

サーバダウン時のバッファメッセージ（Buffer Message When Server Down）

TCP syslog ターゲットおよびセキュア syslog ターゲットが使用できないときに Cisco ISE に syslog メッセージをバッファさせるには、このチェックボックスをオンにします。 ISE は、接続が再開されるとターゲットへのメッセージの送信を再試行します。 接続が再開された後、メッセージは古いものから順に送信され、バッファ内のメッセージは常に新しいメッセージの前に送信されます。 バッファがいっぱいになると、古いメッセージが廃棄されます。

バッファ サイズ（MB）（Buffer Size (MB)）

各 ターゲットのバッファサイズを設定します。デフォルトでは、100 MB に設定されます。バッファサイズを変更すると バッファがクリアされ、特定のターゲットのバッファリングされた既存のすべてのメッセージが失われます。

再接続タイムアウト（秒）（Reconnect Timeout (Sec)）

サーバがダウンしている場合に TCP およびセキュア syslog を廃棄する前に保持する期間を秒単位で指定します。

CA 証明書の選択（Select CA Certificate）

クライアント証明書を選択します。

サーバ証明書有効性を無視（Ignore Server Certificate validation）

ISE でサーバ証明書認証が無視されるようにして、syslog サーバを許可するには、このチェックボックスをオンにします。 デフォルトでは、このオプションが無効になっているときにシステムが FIPS モードでない限り、このオプションはオフに設定 されます。

名前（Name）

ロギング カテゴリの名前を表示します。

ログの重大度レベル（Log Severity Level）

次のオプションから、診断ロギング カテゴリの重大度レベルを選択できます。

• [重大（FATAL）]：緊急事態。 このオプションは、Cisco ISE が使用できないため、緊急措置が必要であることを意味します

• [エラー（ERROR）]：このオプションは深刻な状態またはエラー状態を示します。

• [警告（WARN）]：このオプションは、通常の状態ではあるが重大な状態を示します。 これがデフォルトの条件です。

• [情報（INFO）]：このオプションは、情報メッセージを示します。

• [デバッグ（DEBUG）]：このオプションは、診断バグ メッセージを示します。

ローカル ロギング（Local Logging）

ローカル ノードで上のこのカテゴリのロギング イベントを有効にするには、このチェックボックスをオンにします。

ターゲット（Target）

左アイコンと右アイコンを使用して [使用可能（Available）] と [選択済み（Selected）] のボックス間でターゲットを移動することによって、カテゴリのターゲットを変更できます。[使用可能（Available）] ボックスには、論理（事前定義済み）と外部（ユーザ定義）という両方の既存のロギング ターゲットが含まれています。 最初は空の [選択済み（Selected）] ボックスには、特定のカテゴリの選択済みターゲットが含まれます。

リポジトリ（Repository）

リポジトリの名前を入力します。最大 80 文字の英数字を使用できます。

プロトコル

使用する使用可能なプロトコルの 1 つを選択します。

サーバ名（Server Name）

（TFTP、HTTP、HTTPS、FTP、SFTP、および NFS で必須）リポジトリの 作成先サーバのホスト名または IP アドレス（IPv4 または IPv6）を入力します。

パス

リポジトリへのパスを入力します。このパスは、リポジトリの作成時に有効であり、存在している必要があります。

この値は、サーバのルート ディレクトリを示す 2 つのスラッシュ（//）または単一のスラッシュ（/）で開始できます。 ただし、FTP プロトコルの場合は、単一のスラッシュ（/）はルート ディレクトリではなく FTP ユーザのホーム ディレクトリを示します。

PKI 認証を有効にします。

（オプション：SFTP リポジトリにのみ適用） SFTP リポジトリで RSA 公開キー認証を有効にするには、このチェックボックスをオンにします。

ユーザ名（User Name）

（FTP、SFTP、および NFS で必須）指定されたサーバに対する書き込み権限を持つユーザ名を入力します。使用できる文字は英数字のみです。

[パスワード（Password）]

（FTP、SFTP、および NFS で必須）指定されたサーバへのアクセスに使用するパスワードを入力します。パスワードに使用できる文字は、 0 ～ 9、a ～ z、A ～ Z、-、.、|、@、#、$、%、^、&、*、,、+、および = です。

バックアップ名（Backup Name）

バックアップ ファイルの名前を入力します。

リポジトリ名（Repository Name）

バックアップ ファイルを保存するリポジトリ。ここにリポジトリ名を入力することはできません。ドロップダウンリストから利用可能な リポジトリのみを選択できます。バックアップの実行前にリポジトリを作成していることを確認してください。

暗号化キー（Encryption Key）

このキーは、バックアップ ファイルの暗号化および解読に使用されます。

名前（Name）

バックアップ ファイルの名前を入力します。任意の説明的な名前を入力できます。Cisco ISE は、 バックアップファイル名にタイムスタンプを追加して、ファイルをリポジトリに格納します。一連のバックアップを設定しても、バックアップファイル名は一意になります。 [スケジュールバックアップ（Scheduled Backup）] リストページでは、ファイルが kron occurrence ジョブ であることを示すために、バックアップファイル名に「backup_occur」が付加されます。

説明

バックアップの説明を入力します。

リポジトリ名（Repository Name）

バックアップ ファイルを保存するリポジトリを選択します。ここにリポジトリ名を入力することはできません。ドロップダウンリストから 利用可能なリポジトリのみを選択できます。バックアップの実行前にリポジトリを作成していることを確認してください。

暗号化キー（Encryption Key）

バックアップ ファイルを暗号化および復号化するためのキーを入力します。

スケジューリング オプション（Schedule Options）

スケジュール バックアップの頻度を選択し、適宜他のオプションに入力します。

暗号化（Encryption）

暗号化キー（Encryption Key）

エクスポート データを暗号化および復号化するためのキーを入力します。このフィールドは、[暗号キーを使用したエクスポート（Export with Encryption Key）] オプションを選択した場合にのみ有効になります。

[接続先（Destination）]

ローカル コンピュータにファイルをダウンロード（Download file to local computer）

ポリシー エクスポート ファイルをローカル システムにダウンロードできます。

[ファイルをメールで送信（Email file to）]

複数の電子メール アドレスをカンマで区切って入力します。

リポジトリ（Repository）

エクスポート データを保存するリポジトリを選択します。ここにリポジトリ名を入力することはできません。ドロップダウンリストから 利用可能なリポジトリのみを選択できます。ポリシーのエクスポートのスケジュールを設定する前に、リポジトリを作成してください。

今すぐエクスポート（Export Now）

指定したリポジトリにデータをすぐにエクスポートするには、このオプションをクリックします。

スケジューリング オプション（Schedule Options）

エクスポートのスケジュールの頻度を選択し、それに応じてその他の詳細を入力します。

最小長（Minimum Length）

パスワードの最小長（文字数）を設定します。デフォルトは 6 文字です。

パスワードに使用できない文字（Password may not contain）

[管理者名またはその順序を逆にした文字列（Admin name or its characters in reverse order）]：このチェックボックスをオンにして、管理者ユーザ名またはその文字の逆順での使用を制限します。

[「cisco」またはその順序を逆にした文字列（"cisco" or its characters in reverse order）]：このチェックボックスをオンにして、単語「cisco」またはその文字の逆順での使用を制限します。

[次の単語またはその順序を逆にした文字列（This word or its characters in reverse order）]：このチェックボックスをオンにして、定義したすべての単語またはその文字の逆順での使用を制限します。

[4回以上連続して繰り返された文字列（Repeated characters four or more times consecutively）]：このチェックボックスをオンにして、4 回以上連続する繰り返し文字の使用を制限します。

[辞書に載っている単語とその順序を逆にした文字列、またはその文字を他の文字に置き換えた文字列（Dictionary words, their characters in reverse order or their letters replaced with other characters）]：辞書の単語、単語の文字の逆順での使用、単語の文字の置き換えでの使用を制限します。

「s」を「$」、「a」を「@」、「o」を「0」、「l」を「1」、「i」を「!」、「e」を「3」に置き換えることはできません。たとえば、 Pa$$w0rd のような文字列は使用できません。

• [デフォルトの辞書（Default Dictionary）]：Cisco ISE でデフォルトの Linux 辞書を使用するには、このオプションを選択します。デフォルトの辞書には約 480,000 件の英単語が含まれています。

  デフォルトでは、このオプションが選択されています。

• [カスタム辞書（Custom Dictionary]：カスタマイズした辞書を使用するには、このオプションを選択します。[ファイルの選択（Choose File）] をクリックして、カスタム辞書ファイルを選択します。このテキストファイルでは、単語が改行文字で区切られ、拡張子は .dic、サイズは 20 MB 以下である必要があります。

必須の文字（Required Characters）

管理者パスワードに、次の 選択肢 から選択したタイプの文字が少なくとも 1 つ含まれている必要があることを指定します。

• 小文字の英文字

• 大文字の英文字

• 数字（Numeric characters）

• 英数字以外の文字（Non-alphanumeric characters）

パスワード履歴（Password History）

同じパスワードが繰り返し使用されるのを防ぐために、新しいパスワードと異なっている必要がある以前のパスワードの数を指定します。

また、以前のパスワードと異なる必要がある文字数を指定します。

ユーザがパスワードを再使用できない日数を入力します。

パスワード ライフタイム（Password Lifetime）

次のオプションを指定して、指定した期間後にパスワードを変更するようユーザに強制します。

• パスワードが変更されなかった場合に管理者アカウントを無効にするまでの時間（日数）（Time (in days) before the administrator account is disabled if the password is not changed.）（使用可能な範囲は 0 ～ 2,147,483,647 日です）。

• 管理者アカウントが無効になるまでのリマインダ（日数）。（Reminder (in days) before the administrator account is disabled.）

ネットワーク デバイスの機密データの表示

管理者パスワードが必要（Require Admin Password）

共有秘密やパスワードなどのネットワークデバイスの機密データを表示するために管理者ユーザがログインパスワードを入力するようにする場合には、このチェックボックスをオンにします。

パスワードのキャッシュ期間（Password cached for）

管理者ユーザによって入力されたパスワードは、この期間キャッシュされます。管理者ユーザはこの間、ネットワークデバイスの機密データを表示するために パスワードの再入力を求められることはありません。有効な範囲は 1 ～ 60 分です。

セッションのタイムアウト（Session Timeout）

セッション アイドル タイムアウト（Session Idle Timeout）

アクティビティがない場合に管理者をログアウトするまでに Cisco ISE が待機する時間（分）を入力します。 デフォルト値は 60 分です。有効な範囲は 6 ～ 100 分です。

セッション情報（Session Info）

無効化（Invalidate）

終了するセッション ID の隣にあるチェックボックスをオンにし、[無効化（Invalidate）] をクリックします。

修復タイマー（Remediation Timer）

分単位で時間値を入力します。デフォルト値は 4 分です。有効な範囲は 1 ～ 300 分です。

ネットワーク遷移遅延（Network Transition Delay）

秒単位で時間値を入力します。デフォルト値は 3 秒です。有効な値の範囲は 2 ～ 30 秒です。

デフォルトのポスチャ ステータス（Default Posture Status）

[準拠（Compliant）] または [非準拠（Non-compliant）] を選択します。Linux のような非エージェントデバイスは、ネットワークに 接続している間、このステータスを想定します。

一定時間（秒）経過後 にログイン 成功画面を自動的に閉じる（Automatically Close Login Success Screen After）

このチェックボックスをオンにすると、指定された時間後に、 ログイン成功画面が自動的に閉じます。

チェックボックスの隣のフィールドに、時間値を 秒単位で入力します。

0 ～ 300 秒にログイン画面が自動的に 閉じるようにタイマーを設定できます。時間 をゼロに設定すると、NAC Agent および Web Agent にログイン 成功画面が表示されなくなります。

連続モニタリング間隔（Continuous Monitoring Interval）

AnyConnect がモニタリング データの送信を開始するまでの時間間隔を指定します。アプリケーション条件の場合 アプリケーションおよびハードウェア条件の場合、デフォルト値は 5 分です。

ステルス モードでの利用規約（Acceptable Use Policy in Stealth Mode）

会社のネットワーク使用条件が満たされていない 場合、ステルスモードで [ブロック（Block）] を選択して、クライアントを非準拠ポスチャステータスに移行します。

ポスチャのリース

ユーザがネットワーク に接続するたびに ポスチャ評価を開始するには、このオプションを選択します。

クライアントがすでにポスチャ準拠であるものの、 指定された日数が経過したら、ポスチャ評価を開始する場合は、このオプションを選択します。

ポスチャ評価の結果をキャッシュするには、Cisco ISE のこのチェックボックスをオンにします。デフォルトでは、このフィールドは無効です。

[最後の既知の良い状態をキャッシュする（Cache Last Known Good State）] チェックボックスをオンにしている場合のみ該当します。Cisco ISE は、このフィールドに指定した期間にわたり、ポスチャ評価の結果をキャッシュします。有効な値は 、1 ～ 30 日、1 ～ 720 時間、または 1 ～ 43200 分です。

構成名

PRA 設定の名前を入力します。

設定の説明（Configuration Description）

PRA 設定の説明を入力します。

再評価適用を使用?（Use Reassessment Enforcement?）

ユーザ ID グループの PRA 設定を適用するには、チェックボックスをオンにします。

適用タイプ（Enforcement Type）

適用する次のアクションを選択します。

• [続行（Continue）]：ユーザはポスチャ要件に関係なくクライアントを修復できるようにユーザ介入なしの特権アクセスが引き続き提供されます。

• [ログオフ（Logoff）]：クライアントが非準拠の場合、ユーザを強制的にネットワークからログオフします。 クライアントが再度ログインしたときのコンプライアンスステータスは不明です。

• [修復（Remediate）]：クライアントが非準拠の場合、エージェントは修復のために指定の期間待機します。 クライアントが 修復された後、エージェントはポリシーサービスノードに PRA レポートを送信します。修復がクライアントで無視された場合、 エージェントはクライアントにネットワークからログオフすることを強制するために、ポリシーサービスノードにログオフ要求を送信します。

  ポスチャ要件が [必須（mandatory）] に設定されている場合、RADIUS セッションは PRA 障害アクション の結果としてクリアされ、クライアントを再びポスチャするには新しい RADIUS セッションを開始する必要があります。

  ポスチャ要件が [オプション（optional）] に設定されている場合、NAC Agent ではユーザがエージェントから [続行（continue）] オプションをクリックできます。 ユーザは、制限なしで現在のネットワークにとどまることができます。

インターバル（Interval

最初のログイン成功後にクライアントで PRA を開始する間隔を分単位で入力します。

デフォルト値は 240 分です。最小値は 60 分、最大値は 1440 分です。

猶予時間（Grace time）

クライアントが修復を完了することのできる時間間隔を分単位で入力します。猶予時間をゼロにすることはできません。また、 PRA 間隔より大きくする必要があります。デフォルトの最小間隔（5 分）から最小 PRA 間隔までの範囲にすることができます。

最小値は 5 分、最大値は 60 分です。

ユーザ ID グループの選択（Select User Identity Groups）

PRA 設定に対して一意のグループまたはグループの一意の組み合わせを選択します。

PRA の設定（PRA configurations）

既存の PRA 設定と PRA 設定に関連付けられたユーザ ID グループを表示します。

構成名

ユーザが作成する AUP 設定の名前を入力します。

設定の説明（Configuration Description）

ユーザが作成する AUP 設定の説明を入力します。

エージェントユーザへの AUP の表示（Show AUP to Agent users）（Windows の NAC Agent および Web Agent のみ）

[エージェントユーザへの AUP の表示（Show AUP to Agent users）] チェックボックスをオンにすると、ネットワークの利用規約へのリンクがユーザ（Windows の NAC Agent と Web Agent のみ）に対して表示されます。ユーザが認証およびポスチャアセスメントに成功した際にそのリンクをクリック すると、AUP が表示されます。

AUP メッセージの URL を使用（Use URL for AUP message）オプション ボタン

このボタンを選択した場合、クライアントが認証およびポスチャアセスメントに成功した後に アクセスする必要がある AUP メッセージの URL を [AUP URL] に入力します。

AUP メッセージのファイルを使用（Use file for AUP message） オプションボタン

このボタンを選択した場合、アップロード先を 参照して、トップレベルの index.html を含む zip 形式の AUP ファイル をアップロードします。

.zip ファイルには、index.html ファイル以外のファイルやサブディレクトリを 含めることもできます。これらのファイル は、HTML タグを使用して相互に参照できます。

AUP URL

クライアントが認証およびポスチャ アセスメントに成功した際にアクセスする AUP の URL を入力します。

AUP ファイル（AUP File）

[AUP ファイル（AUP File）] で ファイルを参照し、Cisco ISE サーバにアップロードします。これは トップレベルに index.html ファイルを含む zip 形式のファイルにする必要があります。

ユーザ ID グループの選択（Select User Identity Groups）

[ユーザ ID グループの選択（Select User Identity Groups）] ドロップダウンリストで、AUP 設定の一意のユーザ ID グループまたはユーザ ID グループの一意 の組み合わせを選択します。

AUP 設定 を作成する場合は 、次の点に注意してください。

• ポスチャ AUP は、 ゲストフロー には適用できません。

• 各設定には、 一意のユーザ ID グループ、またはユーザ ID グループ の一意の組み合わせが必要です。

• 2 つの設定が 共通のユーザ ID グループ を持つことはできません。

• ユーザ ID グループ「Any」で AUP 設定を作成する場合は、まず他のすべての AUP 設定を削除します。

• ユーザ ID グループ「Any」を使用して AUP 設定を作成した場合、一意のユーザ ID グループ、または複数のユーザ ID グループを使用して他の AUP 設定を作成することはできません。 Any 以外のユーザ ID グループを使用して AUP 設定を作成するには、 最初にユーザ ID グループ「Any」 を使用した既存の AUP 設定を削除するか、ユーザ ID グループ「Any」 を使用した既存の AUP 設定を一意のユーザ ID グループまたは複数のユーザの ID グループを使用して更新します。

利用規定設定 - 設定リスト（Acceptable use policy configurations—Configurations list）

既存の AUP 設定と AUP 設定に関連付けられたエンドユーザ ID グループを一覧表示します。

機関識別情報の説明（Authority Identity Info Description）

ログイン情報をクライアントに送信する Cisco ISE ノードを説明したわかりやすい文字列 を入力します。 クライアントは、この文字列をタイプ、長さ、および値（TLV）の Protected Access Credentials（PAC） 情報で認識できます。デフォルト値は、Identity Services Engine です。

マスター キー生成期間（Master Key Generation Period）

マスターキー 生成期間を、秒、分、時間、日、または週単位で指定します。値は、1 ～ 2147040000 秒の 正の整数である必要があります。デフォルトは 604800 秒で、これは 1 週間と同等です。

すべてのマスター キーおよび PAC の失効（Revoke all master keys and PACs）

すべてのマスターキーと PAC を失効させるには、[失効（Revoke）] をクリックします。

PAC なしセッション再開の有効化（Enable PAC-less Session Resume）

PAC ファイルなしで EAP-FAST を使用する場合は、このチェックボックスをオンにします。

PAC なしセッションのタイムアウト（PAC-less Session Timeout）

PAC なしセッション の再開がタイムアウトするまでの時間を秒単位で指定します。デフォルトは 7200 秒です。

トンネル PAC（Tunnel PAC）

トンネル PAC を生成するには、この オプションボタンをクリックします。

マシン PAC（Machine PAC）

マシン PAC を生成するには、この オプションボタンをクリックします。

TrustSec PAC

TrustSec PAC を生成するには、この オプションボタンをクリックします。

ID（Identity）

（ トンネル PAC およびマシン PAC の ID フィールド用）EAP-FAST プロトコルによって「内部ユーザ名」として示されるユーザ名またはマシン名 を指定します。 ID 文字列がそのユーザ名と一致しない場合、認証は失敗します。これは、適応型セキュリティアプライアンス（ASA）で定義されている ホスト名です。ID 文字列は、ASA ホスト名に一致する必要があります。一致しない場合、ASA は生成された PAC ファイ ルをインポートできません。TrustSec PAC を生成する場合、[ID（Identity）] フィールド により TrustSec ネットワークデバイスのデバイス ID が指定され、EAP-FAST プロトコルにより イニシエータ ID とともに提供されます。ここに入力した ID 文字列がそのデバイス ID に 一致しない場合、認証は失敗します。

PAC 存続可能時間（PAC Time To Live）

（ トンネル PAC およびマシン PAC 用）PAC の有効 期限を指定する値を秒単位で入力します。デフォルトは 604800 秒で、これは 1 週間と同等です。この値は、1 ～ 157680000 秒の正の整数である必要があります。 TrustSec PAC に対しては、日、週、月、または年単位で値を入力します。 デフォルト値は 1 年です。最小値は 1 日、最大値は 10 年です。

暗号化キー（Encryption Key）

暗号キーを入力します。キーの長さは 8 ～ 256 文字にする必要があります。 キーは アルファベットの大文字または小文字、数字、または英数字の組み合わせを含むことができます。

期限日（Expiration Date）

（ TrustSec PAC のみ）有効期限は、PAC 存続可能 時間に基づいて計算されます。

EAP-TTLSセッションの再開を有効にする（Enable EAP-TTLS Session Resume）

このチェックボックス をオンにすると、Cisco ISE はユーザが EAP-TTLS 認証のフェーズ 2 で正常に 認証された場合に限り、EAP-TTLS 認証のフェーズ 1 で 作成された TLS セッションをキャッシュします。ユーザが再接続しようとする場合、 元の EAP-TTLS セッションがタイムアウトしていなければ、Cisco ISE はキャッシュされた TLS セッションを使用します。このため、EAP-TTLS のパフォーマンスが向上し、AAA サーバの 負荷が軽減されます。

EAP-TTLS セッションタイムアウト（EAP-TTLS Session Timeout）

EAP-TTLS セッションがタイムアウトするまでの 時間を秒単位で指定します。デフォルト 値は 7200 秒です。

EAP-TLS セッションの再開を有効にする（Enable EAP-TLS Session Resume）

EAP-TLS セッションタイムアウト（EAP-TLS Session Timeout）

EAP-TLS セッションがタイムアウトするまでの 時間を秒単位で指定します。デフォルト 値は 7200 秒です。

[ステートレスセッション再開（Stateless Session Resume）]

マスターキー生成期間（Master Key Generation Period）

マスターキー再生成までの 時間を入力します。この値により、マスターキーがアクティブである 期間が決定します。この値は秒、 分、時、日数、または週数で入力できます。

[取り消し（Revoke）]

これまでに生成されたすべてのマスターキーとチケットをキャンセルするには、[取り消し（Revoke）] をクリック します。このオプション は、セカンダリノードでは無効です。

PEAP セッションの再開を有効にする（Enable PEAP Session Resume）

この チェックボックスをオンにすると、Cisco ISE はユーザが PEAP 認証 のフェーズ 2 で正常に認証された場合に限り、PEAP 認証の フェーズ 1 で作成された TLS セッションをキャッシュします。ユーザが再接続しようとする場合、元の PEAP セッションがタイムアウトしていなければ、Cisco ISE はキャッシュされた TLS セッションを使用します。このため、 PEAP のパフォーマンスが向上し、AAA サーバの負荷が軽減されます。PEAP セッション再開機能を動作させるには、 PEAP セッションタイムアウト値を指定する必要があります。

PEAP セッションタイムアウト（PEAP Session Timeout）

PEAP セッションがタイムアウトするまでの 時間を秒単位で指定します。デフォルト値 は 7200 秒です。

高速再接続を有効にする（Enable Fast Reconnect）

この チェックボックスをオンにすると、セッション再開機能が有効な場合に、 ユーザのログイン情報を確認しないで PEAP セッションが Cisco ISE で再開することが許可されます。

[繰り返し失敗するクライアントの抑制（Suppress Repeated Failed Clients）]

[繰り返し失敗するクライアントの抑制（Suppress Repeated Failed Clients）]

同じ理由で繰り返し認証に失敗するクライアントを抑止するには、この チェックボックスをオンにします。これらのクライアントは監査ログに出力されず、また [繰り返し失敗したクライアントからの RADIUS 要求を拒否する（Reject RADIUS Requests from Clients with Repeated Failures）] オプションが有効な場合には、指定された期間にわたってこれらのクライアントからの 要求が拒否されます。

[2 回の失敗を検出する期間（Detect Two Failures Within）]

分単位で 時間間隔を入力します。クライアントがこの期間内に同じ 理由で 2 回認証に失敗すると、監査ログに出力されず、また [繰り返し失敗したクライアントからの RADIUS 要求を拒否する（Reject RADIUS Requests from Clients with Repeated Failures）] オプションが有効な場合には、指定された期間にわたってこのクライアントからの 要求が拒否されます。

[失敗を報告する間隔（Report Failures Once Every）]

報告対象の認証失敗の 時間間隔を分単位で入力します。 たとえば、この値を 15 分に設定すると、繰り返し 認証に失敗するクライアントが 15 分に 1 回だけ監査ログに報告されるため、 報告の重複が防止されます。

[繰り返し失敗したクライアントからの RADIUS 要求を拒否する（Reject RADIUS Requests from Clients with Repeated Failures）]

認証が繰り返し失敗するクライアントからの RADIUS 要求を自動的に拒否するには、この チェックボックスをオンにします。Cisco ISE による 不要な処理を防ぎ、Denial of Service（DoS）攻撃 から防御するには、このオプションを有効にします。

[自動拒否前の失敗回数（Failures Prior to Automatic Rejection）]

[要求を拒否する期間（Continue Rejecting Requests for）]

繰り返し 失敗するクライアントからの要求を拒否する 時間間隔を分単位で入力します。

[繰り返し発生するアカウンティング更新を無視する期間（Ignore Repeated Accounting Updates Within）]

この期間内に繰り返し発生する アカウンティング更新は無視されます。

繰り返される認証成功の抑制（Suppress Repeated Successful Authentications）

直近の 24 時間で、ID、ネットワークデバイス、および 許可のコンテキストに変更がない認証要求成功が繰り返し報告 されないようにするには、このチェックボックスをオンにします。

[認証の詳細（Authentications Details）]

[次よりも長いステップを強調表示（Highlight Steps Longer Than）]

ミリ秒単位で 時間間隔を入力します。1 つのステップの実行が 指定のしきい値を超えると、認証 詳細ページでそのステップがクロックアイコンでマークされます。

無効なユーザ名を開示する（Disclose Invalid Usernames）

このチェック ボックスをオンにすると、RADIUS ライブ ログに「USERNAME」または「INVALID」とラベル付けされたユーザ名が開示されます。認証概要レポートのように、RADIUS ライブログにも ログイン済みのユーザ名を表示できます。このオプションは、30 分後に自動的に無効 になります。

[高レートなRADIUS要求を検出する（Detect High Rate of RADIUS Requests）]

[定常的に高レートなRADIUS要求を検出する（Detect Steady High Rate of Radius Requests）]

[RADIUS要求の期間（Duration of RADIUS requests）] および [RADIUS要求の合計数（Total number of RADIUS requests）] フィールドで指定した上限を超える場合に、高レートな RADIUS 要求負荷のアラームを発生させる場合は、このチェックボックスをオンにします。

[RADIUS要求の期間（Duration of RADIUS Requests）]

RADIUS のレートを計算するために使用する期間（秒単位）を入力します。デフォルトは 60 秒です。有効な 範囲は 20 ～ 86400 秒です。

[RADIUS要求の合計数（Total Number of RADIUS Requests）]

RADIUS のレートを計算するために使用される要求の上限を入力します。デフォルトの要求数は 72000 です。要求数の有効な範囲は 24000 ～ 103680000 です。

RADIUS UDP ポート

認証ポート（Authentication Port）

RADIUS UDP の認証フローに使用する ポートを指定します。 最大 4 つのポート番号（カンマ区切り）を指定できます。デフォルトでは、ポート 1812 と ポート 1645 が使用されます。値の範囲は 1024 ～ 65535 です。

アカウンティングポート（Accounting Port）

RADIUS UDP のアカウンティングフローに使用する ポートを指定します。最大 4 つのポート番号（カンマ区切り）を指定できます。デフォルトでは、ポート 1813 とポート 1646 が使用されます。値の範囲は 1024 ～ 65535 です。

RADIUS DTLS

認証およびアカウンティング ポート（Authentication and Accounting Port）

RADIUS DTLS の認証およびアカウンティングフローに使用する ポートを指定します。 デフォルトでは、ポート 2083 が使用されます。値の範囲は 1024 ～ 65535 です。

アイドルタイムアウト（Idle timeout）

パケットがネットワークデバイスから届かなかったら、TLS セッションを終了する前に、Cisco ISE を待機する 時間を秒単位で入力します。デフォルト値は 120 秒です。有効な範囲は 60 ～ 600 秒です。

RADIUS/DTLS クライアント ID 検証の有効化（Enable RADIUS/DTLS Client Identity Verification）

Cisco ISE が DTLS ハンドシェイク中に RADIUS/DTLS クライアントの ID を確認するようにする場合は、この チェックボックスをオンにします。クライアント ID が有効でない場合、Cisco ISE はハンドシェイクに失敗します。デフォルトのネットワーク デバイスが設定されている場合、ID チェックはスキップされます。ID チェックは次の順序で実行されます。

1. クライアント証明書にサブジェクト代替名（SAN）属性が含まれている場合：

   • SAN に DNS 名が含まれている場合、証明書に指定されている DNS 名が Cisco ISE のネットワークデバイスに設定されている DNS 名と比較されます。

   • SAN に IP アドレスが含まれていて（DNS 名が含まれていない場合）、証明書で指定された IP アドレスが Cisco ISE で設定されている すべてのデバイス IP アドレスと比較されます。

2. 証明書に SAN が含まれていない場合、サブジェクト CN は Cisco ISE のネットワークデバイスに設定されている DNS 名 と比較されます。不一致の場合、Cisco ISE は ハンドシェイクに失敗します。

複数の SGACL を許可（Allow Multiple SGACLs）

セル内で複数の SGACL を許可するには、この チェックボックスをオンにします。このオプションが 選択されていない場合、Cisco ISE はセル 1 つあたり 1 つの SGACL のみを許可します。

デフォルトでは、新たにインストールすると、 このオプションはディセーブルになります。

アップグレード後、Cisco ISE は出力セルをスキャンし、複数の SGACL が割り当てられたセルを少なくとも 1 つ 特定した場合、管理者に複数の SGACL をセルに追加することを許可します。それ以外の場合は、セル 1 つあたり 1 つの SGACL のみを許可します。

モニタリングの許可（Allow Monitoring）

マトリクス内のすべてのセルのモニタリングをイネーブルにする場合は、この チェックボックスをオンにします。モニタリング がディセーブルの場合、 [セルの編集（Edit Cell）] ダイアログで、[すべてをモニタ（Monitor All）] アイコンはグレー表示され、[モニタ（Monitor）] オプションはディセーブルになります。

デフォルトでは、新たにインストールすると、 モニタリングはディセーブルになります。

SGT 番号の表示（Show SGT Numbers）

マトリクスセルの SGT 値（10 進数および 16 進数の両方）を表示または非表示にするには、この オプションを使用します。

デフォルトでは、SGT 値はセルに表示されます。

アピアランス設定（Appearance Settings）

次のオプションを使用できます。

• [カスタム設定（Custom settings）]：デフォルトのテーマ（パターンなしの色）が最初に表示されます。 独自の色とパターンを設定できます。

• [デフォルト設定（Default settings）]：パターンなしの色の定義済みリスト（編集不可）。

• [アクセシビリティ設定（Accessibility settings）]：パターンありの色の定義済みリスト（編集不可）。

色/パターン（Color/Pattern）

マトリックスを読み取りやすくするために、セルの内容に基づいて、マトリックスセル に色とパターンを適用できます。

使用可能な表示タイプは、 次のとおりです。

• [IP を許可/IP ログを許可（Permit IP/Permit IP Log）]：セル内に設定されます

• [IP を拒否/IP ログを拒否（Deny IP/Deny IP Log）]：セル内に設定されます

• [SGACL（SGACLs）]：セル内に設定されている SGACL 用

• [IP を許可/IP ログを許可（継承）（Permit IP/Permit IP Log (Inherited)）]：デフォルトポリシーから取得されます（設定されていないセル用）

• [IP を拒否/IP ログを拒否（継承）（Deny IP/Deny IP Log (Inherited)）]：デフォルトポリシーから取得されます（設定されていないセル用）

• [SGACL（継承）（SGACLs (Inherited)）]：デフォルトポリシーから取得されます（設定されていないセル用）

SMS ゲートウェイ プロバイダー ドメイン（SMS Gateway Provider Domain）

プロバイダードメインと、ゲストアカウントの携帯電話の番号を入力します。 プロバイダーの SMS/MMS ゲートウェイにメッセージを送信するとき、前者が電子メールアドレスのホスト部 として使用され、後者はユーザ部分として使用されます。

プロバイダー アカウント アドレス（Provider account address）

（オプション）

アカウントアドレスを入力します。これは、電子メールの送信元アドレス （通常、アカウントアドレス）として使用され、[ゲストアクセス（Guest Access）] > [設定（Settings）] の [デフォルトの電子メールアドレス（Default Email Address）] グローバル設定を上書きします。

SMTP API 宛先アドレス（SMTP API destination address）

（オプション）

Clickatell SMTP API などの、特定のアカウント受信者アドレスを必要とする SMTP SMS API を使用する場合は、SMTP API 宛先アドレスを入力します。

これは、電子メールの送信先アドレスとして使用され、メッセージ本文のテンプレートはゲスト アカウントの携帯電話の番号に置き換えられます。

SMTP API 本文テンプレート（SMTP API body template）

（オプション）

Clicketell SMTP API など、SMS の送信に特定の電子メール本文テンプレートを必要とする SMTP SMS API を使用する場合は、SMTP API 本文テンプレートを入力します。

サポートされる動的置換は $mobilenumber$、（形式 $YYYYMMDDHHHMISSmimi$ の）$timestamp$、および $message$ です。 URL に固有識別子が必要な SMS ゲートウェイには $timestamp$$mobilenumber$ を使用できます。

URL

API の URL を入力します。

このフィールドは、符号化された URL ではありません。ゲストアカウントの携帯電話 の番号は、URL に置き換えられます。サポートされる動的置換は $mobilenumber$ および $message$ です。

HTTP API で HTTPS を使用した場合、HTTPS を URL 文字列に含め、Cisco ISE にプロバイダーの信頼できる証明書をアップロードします。 [管理（Administration）] > [システム（System）] >[ 証明書（Certificates）] > [信頼できる証明書（Trusted Certificates）] を選択します。

データ（URL エンコード部分）（Data (Url encoded portion)）

GET 要求または POST 要求のデータ（URL エンコード部分）を入力します。

このフィールドは、符号化された URL です。デフォルトの GET 方式を使用している場合、 データが上で指定した URL に付加されます。

データ部分に HTTP POST 方式を使用（Use HTTP POST method for data portion）

POST 方式を使用する場合は、このオプションをオンにします。

上で指定したデータは、POST 要求の内容として使用されます。

HTTP POST データ コンテンツ タイプ（HTTP POST data content type）

POST 方式を使用する場合は、「plain/text」や 「application/xml」などのコンテンツタイプを指定します。

HTTPS ユーザ名（HTTPS Username）

HTTPS パスワード（HTTPS Password）

HTTPS ホスト名（HTTPS Host name）

HTTPS ポート番号（HTTPS Port number）

この情報を入力します。

スコープ名

このスコープの目的を容易に記憶できる名前 を入力します。

ステータス

[有効（Enabled）] または [無効（Disabled）] を選択します。 有効の場合、スコープは ISE ノード にのみ使用できます。

ISE ノード（ISE Node）

DHCP/DNS サーバとして機能するように ISE ノードを適用します。ドロップダウンリストから、このスコープを使用する ISE ノード を選択します。認証 VLAN は ISE ノード/ネットワーク インターフェイスごとに設定され、2 つのインターフェイスまたは 2 つのノードが同じ VLAN を共有することはできません。

ネットワークインターフェイス（Network Interface）

選択した ISE ノードで利用可能なネットワーク インターフェイスは、選択した ISE ノードに基づいて動的にこのドロップダウン リストに表示されます。認証 VLAN は ISE ノード/ネットワークインターフェイスごとに設定され、2 つのインターフェイスまたは 2 つのノードが 同じ VLAN を共有することはできません。DHCP/DNS サーバが リスニングするインターフェイスを選択します。 NAD の VLAN IP ヘルパーを設定することによって、複数の VLAN が 1 つのネットワークインターフェイス カードに接続される可能性があります。 IP ヘルパーの設定の詳細については、デバイス用のアドミニストレーションガイドの 指示を参照してください。

ドメイン名（Domain Name）

このスコープで使用する DHCP サーバの ドメイン名を入力します。

DHCP アドレス範囲（DHCP Address range）

ネットワーク定義に基づいて、このスコープに 使用可能な DHCP アドレスの範囲を選択します。

サブネットマスク（Subnet mask）

ネットワーク ID（Network ID）

入力した DHCP の属性に基づいて、Cisco ISE により自動的に決定されます。

除外アドレス範囲（Exclusion address range）

ネットワーク定義に基づいて、このスコープに 使用すべきでない DHCP アドレスの範囲を選択します。

デフォルトゲートウェイ（Default gateway）

デフォルトゲートウェイの IP アドレスを入力します。

DHCP リース期間（DHCP lease time）

DHCP リース期間を定義します。

DHCP オプション（DHCP options）

これは オプションのフィールドです。

DHCP オプションは、DHCP サーバが DHCP クライアントに渡すことができる追加の設定パラメータです。DHCP オプションにより、ネットワークに アクセスするため、または最終認証前にデバイスをブートストラップする手段として、オプション値に指定されている情報を必要とする デバイス（カメラ、アクセスポイント、電話）がサポートされます。DHCP サーバは、 DHCP 要求メッセージをクライアントから受信すると、(通常）DHCP ACK パケットをクライアントに送信することで応答します。この 時点で、サーバは DHCP ACK パケットで設定されているすべてのオプションを転送します。

詳細については、次の表の後に続く「DHCP オプション」の項を参照してください。

外部 DNS サーバ（External DNS servers）

すべての企業ネットワークにアクセスするための認証を受ける前に、ユーザが認証 VLAN 外の外部ドメインにアクセスできるようにする場合、 外部 DNS 名を解決するために DNS サーバの IP アドレスを入力します。

外部ドメイン（External Domains）

すべての企業ネットワークにアクセスするための 認証を受ける前に、ユーザが特定のサイトにアクセスできるようにする場合、これらのフィールドに それらのサイトのドメイン名を入力します。

親ドメインとは別に、ユーザがアクセスする必要があるすべての子ドメインの名前を入力します。