セキュアなアクセス

Cisco ISE でのネットワークデバイスの定義

スイッチやルータなどのネットワークデバイスは、認証、許可、およびアカウンティング(AAA)クライアントであり、Cisco ISE に AAA サービス要求を送信します。Cisco ISE でネットワークデバイスを定義すると、Cisco ISE とネットワークデバイス間の連携動作が有効になります。

ネットワークデバイスを RADIUS または TACACS AAA に設定したり、プロファイリングサービスでプロファイリング エンドポイントの Cisco Discovery Protocol 属性および Link Layer Discovery Protocol(LLDP)属性を収集するための Simple Network Management Protocol(SNMP)を設定したり、Cisco TrustSec デバイスの TrustSec 属性を設定したりします。Cisco ISE に定義されていないネットワーク デバイスは、Cisco ISE から AAA サービスを受信できません。

Cisco ISE のメインメニューで、[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)] を選択し、[追加(Add)] をクリックします。表示される [新しいネットワークデバイス(New Network Device)] ウィンドウで、次の詳細を入力してネットワークデバイスを定義します。

  • ネットワークデバイスに応じたベンダープロファイルを選択します。プロファイルには、URL リダイレクトや許可変更の設定などの、デバイスに事前に定義された設定が含まれています。

  • RADIUS 認証用の RADIUS プロトコルを設定します。Cisco ISE はネットワークデバイスから RADIUS 要求を受信すると、対応するデバイス定義を探して設定されている共有秘密を取得します。Cisco ISE はデバイス定義を検出すると、デバイスに設定されている共有秘密を取得し、それを要求内の共有秘密と照合してアクセスを認証します。共有秘密が一致すると、RADIUS サーバーは、ポリシーと設定に基づいて要求をさらに処理します。共有秘密が一致しない場合は、拒否応答がネットワークデバイスに送信されます。失敗した認証レポートが生成され、失敗の理由が示されます。

  • TACACS+ 認証用の TACACS+ プロトコルを設定します。Cisco ISE はネットワーク デバイスから TACACS+ 要求を受信すると、対応するデバイス定義を探して設定されている共有秘密を取得します。デバイス定義が見つかった場合、デバイスに設定されている共有秘密を取得し、それを要求内の共有秘密と照合してアクセスを認証します。共有秘密が一致すると、TACACS+ サーバーは、ポリシーと設定に基づいて要求をさらに処理します。一致しない場合は、拒否応答がネットワーク デバイスに送信されます。失敗した認証レポートが生成され、失敗の理由が示されます。

  • プロファイリング サービスがネットワーク デバイスと通信し、ネットワーク デバイスに接続されているエンドポイントをプロファイリングするように、ネットワーク デバイス定義で簡易ネットワーク管理プロトコル(SNMP)を設定できます。

  • Cisco TrustSec ソリューションの一部となる可能性がある TrustSec 対応デバイスからの要求を処理するには、Cisco ISE 内に Cisco TrustSec 対応デバイスを定義する必要があります。Cisco TrustSec ソリューションをサポートするスイッチはすべて Cisco TrustSec 対応デバイスです。

    Cisco TrustSec デバイスでは IP アドレスは使用されません。代わりに、Cisco TrustSec デバイスが Cisco ISE と通信できるように、その他の設定を定義する必要があります。

    Cisco TrustSec 対応デバイスは Cisco ISE との通信に TrustSec 属性を使用します。Cisco Nexus 7000 シリーズ スイッチ、Cisco Catalyst 6000 シリーズ スイッチ、Cisco Catalyst 4000 シリーズ スイッチ、Cisco Catalyst 3000 シリーズ スイッチなどの Cisco TrustSec 対応デバイスは、Cisco TrustSec デバイスの追加時に定義した Cisco TrustSec 属性を使用して認証されます。


(注)  

Cisco ISE でネットワークデバイスを設定する際には、共有秘密の一部としてバックスラッシュ(\)を含めないことをお勧めします。これは、Cisco ISE をアップグレードすると、共有秘密にバックスラッシュが表示されなくなるためです。ただし、Cisco ISE をアップグレードせずに再イメージ化すると、共有秘密にバックスラッシュが表示されます。

Cisco ISE でのデフォルト ネットワーク デバイスの定義

Cisco ISE では、RADIUS および TACACS 認証のデフォルトのデバイス定義がサポートされています。特定の IP アドレスのデバイス定義が見つからない場合、Cisco ISE で使用できるデフォルトのネットワーク デバイスを定義することができます。この機能を使用すると、新しくプロビジョニングされたデバイスのデフォルトの RADIUS または TACACS 共有秘密とアクセス レベルを定義できます。

(注)  

基本的な RADIUS および TACACS 認証のみにデフォルトのデバイス定義を追加することを推奨します。高度なフローについては、ネットワークデバイスごとに個別のデバイス定義を追加する必要があります。

Cisco ISE は、ネットワーク デバイスから RADIUS または TACACS 要求を受信すると、対応するデバイス定義を検索して、ネットワーク デバイス定義に設定されている共有秘密を取得します。

RADIUS または TACACS 要求が受信されると、Cisco ISE は次の手順を実行します。

  1. 要求内の IP アドレスに一致する特定の IP アドレスを探します。

  2. 範囲を調べて、要求内の IP アドレスが指定された範囲内にあるかどうかを確認します。

  3. ステップ 1 と 2 の両方が失敗すると、要求の処理にデフォルトのデバイス定義(定義されている場合)が使用されます。

Cisco ISE は、そのデバイスのデバイス定義に設定されている共有秘密を取得し、それを RADIUS または TACACS 要求内の共有秘密と照合してアクセスを認証します。デバイス定義が見つからない場合、Cisco ISE はデフォルトのネットワーク デバイス定義から共有秘密を取得し、RADIUS または TACACS 要求を処理します。

ネットワーク デバイス

後続の項で説明されているウィンドウを使用して、Cisco ISE でネットワークデバイスを追加および管理できます。

ネットワーク デバイス定義の設定

次の表では、Cisco ISE のネットワーク アクセス デバイスを設定するために使用できる [ネットワークデバイス(Network Devices)] ウィンドウのフィールドについて説明します。このウィンドウを表示するには、[メニュー(Menu)] アイコン()をクリックして選択します。[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)] で、[追加(Add)] をクリックします。

ネットワーク デバイスの設定

次の表では、[ネットワークデバイスの設定(Network Device Settings)][新しいネットワークデバイス(New Network Devices)] ウィンドウのフィールドについて説明します。

表 1. ネットワーク デバイスの設定

フィールド名

説明

名前(Name)

ネットワークデバイスの名前を入力します。

ネットワークデバイスに、デバイスのホスト名とは異なるわかりやすい名前を指定できます。デバイス名は論理識別子です。

(注)  

 

必要に応じて、設定後にデバイスの名前を変更できます。

説明

このデバイスの説明を入力します。

IP アドレスまたは IP 範囲

ドロップダウンリストから次のいずれかを選択し、表示されるフィールドに必要な値を入力します。

  • [IP アドレス(IP Address)]:単一の IP アドレス(IPv4 または IPv6 アドレス)とサブネットマスクを入力します。

  • [IP 範囲(IP Ranges)]:必要な IPv4 アドレスの範囲を入力します。認証時に IP アドレスを除外するには、[除外(Exclude)] フィールドに IP アドレスまたは IP アドレスの範囲を入力します。

IP アドレスとサブネットマスクまたは IP アドレスの範囲を定義するためのガイドラインを次に示します。

  • 特定の IP アドレスを定義するか、サブネットマスクを使用して IP 範囲を定義できます。デバイス A の IP アドレス範囲が定義されている場合、デバイス A に定義されている範囲の個別のアドレスを別のデバイス B に設定できます。

  • すべてのオクテットの IP アドレス範囲を定義できます。IP アドレスの範囲を指定するときに、ハイフン(-)またはアスタリスク(*)をワイルドカードとして使用できます。たとえば、*.*.*.*、1-10.1-10.1-10.1-10 または 10-11.*.5.10-15 などです。

  • サブセットがすでに追加されている場合は、設定された範囲からその IP アドレス範囲のサブセットを除外できます。例:10.197.65.*/10.197.65.1 または 10.197.65.* exclude 10.197.65.1。

  • ネットワークデバイスごとに最大 40 の IP アドレス、または IP 範囲を設定できます。

  • 同じ IP アドレスを持つ 2 台のデバイスを定義することはできません。

  • 同じ IP 範囲を持つ 2 台のデバイスを定義することはできません。IP 範囲は、一部または全部が重複することはできません。

  • IP アドレスを除外する場合は、重複する IP 範囲を使用しないでください。代わりに、独立した IP 範囲を除外してください。

[デバイスプロファイル(Device Profile)]

ドロップダウンリストから、ネットワークデバイスのベンダーを選択します。

選択したベンダーのネットワークデバイスがサポートしているフローおよびサービスを表示するには、ドロップダウンリストの横にあるツールのヒントを使用します。ツールのヒントには、デバイスが使用する URL リダイレクトの RADIUS 認可変更(CoA)ポートとタイプも表示されます。これらの属性は、デバイス タイプのネットワーク デバイス プロファイルで定義されます。

モデル名(Model Name)

ドロップダウンリストからデバイスのモデルを選択します。

モデル名は、ルールベースのポリシーの条件をチェックするときに、パラメータの 1 つとして使用します。この属性は、デバイス ディクショナリにあります。

ソフトウェア バージョン(Software Version)

ドロップダウンリストから、ネットワークデバイスで実行するソフトウェアのバージョンを選択します。

ソフトウェア バージョンは、ルールベースのポリシーの条件をチェックするときに、パラメータの 1 つとして使用できます。この属性は、デバイス ディクショナリにあります。

ネットワーク デバイス グループ(Network Device Group)

[Network Device Group] エリアで、[Location]、[IPsec]、および [Device Type] ドロップダウンリストから必要な値を選択します。

グループに明確にデバイスを割り当てないと、そのグループはデフォルトのデバイスグループ(ルート ネットワーク デバイス グループ)に含まれます。これにより、ロケーションは [すべてのロケーション(All Locations)] 、デバイスタイプは [すべてのデバイスタイプ(All Device Types)] となります。


(注)  

フィルタを使用して Cisco ISE 展開からネットワーク アクセス デバイス(NAD)を選択して削除する場合は、ブラウザのキャッシュをクリアして、選択した NAD のみが削除されるようにします。
RADIUS 認証設定

次の表では、[RADIUS 認証設定(RADIUS Authentication Settings)] エリアのフィールドについて説明します。

表 2. [RADIUS 認証設定(RADIUS Authentication Settings)] エリア

フィールド名

使用上のガイドライン

RADIUS UDP の設定

Protocol

選択したプロトコルとして RADIUS を表示します。

共有秘密鍵(Shared Secret)

ネットワーク デバイスの共有秘密鍵を入力します。

共有秘密鍵は、pac オプションを指定した radius-host コマンドを使用してネットワークデバイスに設定したキーです。

(注)  

 

共有秘密鍵の長さは、[デバイスのセキュリティ設定(Device Security Settings)] ウィンドウ([管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)] > [デバイスセキュリティ設定(Device Security Settings)])の [RADIUS 共有秘密鍵の最小長(Minimum RADIUS Shared Secret Length)] フィールドで設定された値と同等以上である必要があります。

RADIUS サーバーでのベストプラクティスは、22 文字にすることです。新規インストールおよびアップグレードされた展開の場合、共有秘密鍵の長さはデフォルトで 4 文字です。この値は [デバイスセキュリティ設定(Device Security Settings)] ウィンドウで変更できます。

2 番目の共有秘密の使用

ネットワークデバイスと Cisco ISE で使用される 2 番目の共有秘密鍵を指定します。

(注)  

 

Cisco TrustSec デバイスには、デュアル共有秘密(鍵)の利点がありますが、Cisco ISE により送信される Cisco TrustSec CoA パケットは常に最初の共有秘密(鍵)を使用します。2 番目の共有秘密鍵の使用を有効にするには、Cisco TrustSec CoA パケットを Cisco TrustSec デバイスに送信する Cisco ISE ノードを選択します。[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ネットワークリソース(Network Resources}] > [ネットワークデバイス(Network Devices)] > [追加(Add)] > [高度な TrustSec 設定(Advanced Trustsec Settings)] ウィンドウの [送信元(Send From)] ドロップダウンリストで、このタスクに使用する Cisco ISE ノードを設定します。プライマリ管理ノード(PAN)またはポリシーサービスノード(PSN)を選択できます。選択した PSN ノードがダウンしている場合、PAN は Cisco TrustSec デバイスに Cisco TrustSec CoA パケットを送信します。

(注)  

 

RADIUS アクセス要求の 2 番目の共有秘密機能は、[Message-Authenticator] フィールドを含むパケットに対してのみ機能します。

CoA ポート(CoA Port)

RADIUS CoA に使用するポートを指定します。

デバイスのデフォルトの CoA ポートは、ネットワークデバイス用に設定されたネットワーク デバイス プロファイルで定義されます([管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイスプロファイル(Network Device Profiles)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイスプロファイル(Network Device Profiles)])。デフォルト CoA ポートを使用するには、[デフォルトに設定(Set To Default)] をクリックします。

(注)  

 

[RADIUS 認証設定(RADIUS Authentication Settings)] [ネットワークデバイス(Network Devices)] ウィンドウ([管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)])で指定した CoA ポートを変更する場合は、[ネットワークデバイスプロファイル(Network Device Profile)] ウィンドウ([管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイスプロファイル(Network Device Profiles)])で対応するプロファイルに同じ CoA ポートを指定します。

RADIUS DTLS の設定

必要な DTLS

[必要な DTLS(DTLS Required)] チェックボックスをオンにすると、Cisco ISE ではこのデバイスからの DTLS 要求のみが処理されます。このオプションを無効にすると、Cisco ISE ではこのデバイスからの UDP 要求と DTLS 要求の両方が処理されます。

RADIUS DTLS はセキュアソケットレイヤ(SSL)トンネルの確立および RADIUS の通信用に強化されたセキュリティを提供します。

共有秘密鍵(Shared Secret)

RADIUS DTLS に使用される共有秘密鍵が表示されます。この値は固定されており、Message Digest 5(MD5)完全性チェックを計算するために使用されます。

CoA ポート(CoA Port)

RADIUS DTLS CoA に使用するポートを指定します。

CoA の ISE 証明書の発行元 CA

ドロップダウンリストから RADIUS DTLS CoA に使用する認証局を選択します。

DNS 名

ネットワーク デバイスの DNS 名を入力します。[RADIUS/DTLS クライアント ID 検証の有効化(Enable RADIUS/DTLS Client Identity Verification)] オプションが [RADIUS 設定(RADIUS Settings)] ウィンドウ([管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [RADIUS])で有効になっている場合、Cisco ISE はこの DNS 名とクライアント証明書で指定されている DNS 名を比較して、ネットワークデバイスの ID を確認します。

全般設定

KeyWrap の有効化(Enable KeyWrap)

KeyWrap アルゴリズムがネットワークデバイスでサポートされている場合にのみ、[KeyWrap の有効化(Enable KeyWrap)] チェックボックスをオンにします。ネットワークデバイスは、AES KeyWrap RFC(RFC 3394)と互換性がある必要があります。

このオプションは、AES KeyWrap アルゴリズムを介して RADIUS セキュリティを強化するために使用されます。

キー暗号キー(Key Encryption Key)

セッションの暗号化(秘密)に使用される暗号キーを入力します。

メッセージ オーセンティケータ コード キー(Message Authenticator Code Key)

RADIUS メッセージに対するキー付きハッシュメッセージ認証コード(HMAC)の計算に使用されるキーを入力します。

キー入力形式(Key Input Format)

次のいずれかのオプション ボタンをクリックします。

  • [ASCII]:[キー暗号キー(Key Encryption Key)] フィールドに入力する値の長さは 16 文字(バイト)、[メッセージ認証コードキー(Message Authenticator Code Key)] フィールドに入力する値の長さは 20 文字(バイト)にする必要があります。

  • [16 進数(Hexadecimal)]:[キー暗号キー(Key Encryption Key)] フィールドに入力する値の長さは 32 文字(バイト)、[メッセージ認証コードキー(Message Authenticator Code Key)] フィールドに入力する値の長さは 40 文字(バイト)にする必要があります。

ネットワークデバイスの設定と一致するように、キー暗号キーおよびメッセージ認証コードキーの入力に使用するキー入力形式を指定できます。指定する値はキーの正しい(全体の)長さにする必要があり、それよりも短い値は許可されません。
TACACS 認証設定
表 3. [TACACS 認証設定(TACACS Authentication Settings)] エリアのフィールド

フィールド名

使用上のガイドライン

共有秘密鍵(Shared Secret)

TACACS+ プロトコルが有効のときにネットワークデバイスに割り当てられたテキストの文字列。ユーザーは、ネットワークデバイスによってユーザー名およびパスワードが認証される前にテキストを入力する必要があります。ユーザーが共有秘密情報を提示するまで、接続は拒否されます。

廃止された共有秘密がアクティブです(Retired Shared Secret is Active)

リタイアメント期間がアクティブな場合に表示されます。

廃止(Retire)

既存の共有秘密を終了する代わりに廃止します。[廃止(Retire)] をクリックすると、ダイアログボックスが表示されます。[はい(Yes)] または [いいえ(No)] をクリックできます。

残りの廃止期間(Remaining Retired Period)

([Retire] ダイアログボックスで [Yes] を選択した場合にのみ利用可能)[Work Centers] > [Device Administration] > [Settings] > [Connection Settings] > [Default Shared Secret Retirement Period] で指定されたデフォルト値が表示されます。必要に応じて、デフォルト値を変更できます。

古い共有秘密は、指定された日数の間はアクティブなままになります。

終了(End)

([廃止(Retire)] ダイアログボックスで [はい(Yes)] をクリックした場合にのみ利用可能)リタイアメント期間が終了し、古い共有秘密が終了します。

シングル接続モードを有効にする(Enable Single Connect Mode)

[シングル接続モードを有効にする(Enable Single Connect Mode)] チェックボックスは、ネットワークデバイスとのすべての TACACS+ 通信に単一の TCP 接続を使用する場合にオンにします。次のいずれかのオプション ボタンをクリックします。

  • [レガシーシスコデバイス(Legacy Cisco Devices)]

  • TACACS ドラフト コンプライアンス シングル接続のサポート

    (注)  

     

    [シングル接続モード(Single Connect Mode)] を無効にすると、Cisco ISE はすべての TACACS 要求に対して新しい TCP 接続を使用します。

SNMP 設定

次の表では、[SNMP 設定(SNMP Settings)] セクションのフィールドについて説明します。

表 4. [SNMP設定(SNMP Settings)] エリアのフィールド

フィールド名

使用上のガイドライン

SNMP バージョン(SNMP Version)

[SNMP バージョン(SNMP Version)] ドロップダウンリストから、次のいずれかのオプションを選択します。

  • 1:SNMPv1 は informs をサポートしていません。

  • 2c

  • 3:SNMPv3 は、[セキュリティレベル(Security Level)] フィールドで [Priv] を選択した場合にパケットの暗号化が可能であるため、最もセキュアなモデルです。

    (注)  

     

    ネットワークデバイスに SNMPv3 パラメータを設定した場合、モニタリングサービス([操作(Operations)] > ([レポート(Reports)] > [診断(Diagnostics)] > [ネットワークデバイスセッションステータス(Network Device Session Status)])によって提供される [ネットワーク デバイス セッション ステータス(Network Device Session Status)] 概要レポートを生成できません。ネットワーク デバイスが SNMPv1 または SNMPv2c パラメータを使用して設定されている場合は、このレポートを正常に生成できます。

SNMP RO コミュニティ(SNMP RO Community)

(SNMP バージョン 1 および 2c にのみ適用可能)Cisco ISE にデバイスへの特定タイプのアクセスを提供する読み取り専用コミュニティ文字列を入力します。

(注)  

 

キャレット記号(曲折アクセント付き ^)は使用できません。

SNMP ユーザー名(SNMP Username)

(SNMP バージョン 3 の場合のみ)SNMP ユーザー名を入力します。

セキュリティ レベル(Security Level)

(SNMP バージョン 3 の場合のみ)[セキュリティレベル(Security Level)] ドロップダウンリストから次のオプションのいずれかを選択します。

  • [Auth]:MD5 またはセキュア ハッシュ アルゴリズム(SHA)パケットの認証を有効にします。

  • [No Auth]:認証なし、プライバシーなしのセキュリティレベル。

  • [Priv]:Data Encryption Standard(DES; データ暗号規格)パケットの暗号化を有効にします。

認証プロトコル(Auth Protocol)

(SNMP バージョン 3 でセキュリティレベル [Auth] または [Priv] を選択した場合のみ)[認証プロトコル(Auth Protocol)] ドロップダウンリストから、ネットワークデバイスで使用する認証プロトコルを選択します。

  • [MD5]

  • [SHA]

認証パスワード(Auth Password)

(SNMP バージョン 3 で [Auth] および [Priv] セキュリティレベルを選択した場合のみ)認証キーを入力します。8 文字以上の長さにする必要があります。

デバイスにすでに設定されている認証パスワードを表示するには、[表示(Show)] をクリックします。

(注)  

 

キャレット記号(曲折アクセント付き ^)を使用することはできません。

プライバシー プロトコル(Privacy Protocol)

(SNMP バージョン 3 で [Priv] セキュリティレベルを選択した場合のみ)[プライバシープロトコル(Privacy Protocol)] ドロップダウンリストから次のいずれかのオプションを選択します。

  • [DES]

  • AES128

  • AES192

  • AES256

  • 3DES

プライバシー パスワード(Privacy Password)

(SNMP バージョン 3 で [Priv] セキュリティレベルを選択した場合のみ)プライバシーキーを入力します。

デバイスにすでに設定されているプライバシーパスワードを表示するには、[表示(Show)] をクリックします。

(注)  

 

キャレット記号(曲折アクセント付き ^)を使用することはできません。

ポーリング間隔(Polling Interval)

ポーリング間隔を秒単位で入力します。デフォルト値は 3600 です。

リンクトラップクエリ(Link Trap Query)

SNMP トラップを介して受信する linkup 通知と linkdown 通知を受信して解釈するには、[Link Trap Query] チェックボックスをオンにします。

MAC トラップ クエリ(MAC Trap Query)

SNMP トラップを介して受信する MAC 通知を受信して解釈するには、[MAC トラップクエリ(MAC Trap Query)] チェックボックスをオンにします。

送信元ポリシー サービス ノード(Originating Policy Services Node)

[送信元ポリシーサービスノード(Originating Policy Services Node)] ドロップダウンリストから、SNMP データのポーリングに使用する Cisco ISE サーバーを選択します。このフィールドのデフォルト値は [自動(Auto)] です。ドロップダウンリストから特定の値を選択して、設定を上書きします。

高度な TrustSec 設定

次の表は、[高度なTrustSec設定(Advanced TrustSec Settings)] セクションのフィールドについて説明しています。

表 5. [高度な TrustSec 設定(Advanced TrustSec Settings)] エリアのフィールド

フィールド名

使用上のガイドライン

デバイスの認証設定

TrustSec ID にデバイス ID を使用(Use Device ID for TrustSec Identification)

[デバイスID(Device ID)] フィールドにデバイス ID としてデバイス名をリストするには、[TrustSec ID にデバイス ID を使用(Use Device ID for TrustSec Identification) ] チェックボックスをオンにします。

デバイスID (Device ID)

このフィールドは、[TrustSec ID にデバイス ID を使用(Use Device ID for TrustSec Identification)] チェックボックスがオフになっている場合にのみ使用できます。

パスワード(Password)

Cisco TrustSec デバイスを認証するために Cisco TrustSec デバイスの CLI で設定したパスワードを入力します。

パスワードを表示するには、[表示(Show)] をクリックします。

HTTP REST API の設定

HTTP REST API の有効化

HTTP REST API を使用して、ネットワークデバイスに必要な Cisco TrustSec 情報を提供するには、[HTTP REST API の有効化(Enable HTTP REST API) ] チェックボックスをオンにします。これにより、効率性と能力が向上し、RADIUS プロトコルと比較して、短時間で大規模な設定をダウンロードできます。また、UDP を介した TCP を使用することで、信頼性が向上します。

Username

Cisco TrustSec デバイスを認証するために Cisco TrustSec デバイスの CLI で設定したユーザー名を入力します。ユーザー名にスペース、! % ^ : ;、[{|}] ' "= < >? を含めることはできません

パスワード(Password)

Cisco TrustSec デバイスを認証するために Cisco TrustSec デバイスの CLI で設定したパスワードを入力します。

TrustSec デバイスの通知および更新

デバイスID (Device ID)

このフィールドは、[TrustSec ID にデバイス ID を使用(Use Device ID for TrustSec Identification)] チェックボックスがオフになっている場合にのみ使用できます。

パスワード(Password)

Cisco TrustSec デバイスを認証するために Cisco TrustSec デバイスの CLI で設定したパスワードを入力します。

パスワードを表示するには、[表示(Show)] をクリックします。

環境データのダウンロード間隔 <...>(Download Environment Data Every <...>)

このエリアのドロップダウンリストから必要な値を選択して、デバイスが Cisco ISE から環境データをダウンロードする必要がある時間間隔を指定します。時間を秒、分、時、日、または週で選択できます。デフォルト値は 1 日です。

ピア許可ポリシーのダウンロード間隔 <...>(Download Peer Authorization Policy Every <...>)

デバイスが Cisco ISE からピア認証ポリシーをダウンロードする必要がある時間間隔を、このエリアのドロップダウンリストから必要な値を選択して指定します。時間間隔を秒、分、時、日数、または週数で指定できます。デフォルト値は 1 日です。

再認証間隔 <...>(Reauthentication Every <...>)

このエリアのドロップダウンリストから必要な値を選択して、最初の認証後、デバイスが Cisco ISE に対して自身を再認証する時間間隔を指定します。時間間隔は秒、分、時、日、または週で設定できます。たとえば 1000 秒と入力すると、デバイスは 1000 秒ごとに Cisco ISE に対して自身を認証します。デフォルト値は 1 日です。

SGACL リストのダウンロード間隔 <...>(Download SGACL Lists Every <...>)

このエリアのドロップダウンリストから必要な値を選択して、デバイスが Cisco ISE から SGACL リストをダウンロードする時間間隔を指定します。時間間隔は秒、分、時、日、または週で設定できます。デフォルト値は 1 日です。

その他の TrustSec デバイスでこのデバイスを信頼する(信頼できる TrustSec)(Other TrustSec Devices to Trust This Device (TrustSec Trusted))

すべてのピアデバイスがこの Cisco TrustSec デバイスを信頼できるようにするには、[このデバイスを信頼する他の TrustSec デバイス(Other TrustSec Devices to Trust This Device)] チェックボックスをオンにします。このチェックボックスをオフにした場合、ピアデバイスはこのデバイスを信頼せず、このデバイスから到着したすべてのパケットが適宜色付けまたはタグ付けされます。

設定変更のデバイスへの送信(Send Configuration Changes to Device)

Cisco ISE で CoA または CLI(SSH)を使用して Cisco TrustSec 構成変更を Cisco TrustSec デバイスに送信する場合は、[構成変更のデバイスへの送信(Send Configuration Changes to Device)] チェックボックスをオンにします。必要に応じて、[CoA] または [CLI(SSH)(CLI (SSH))] オプションボタンをクリックします。

Cisco ISE で CoA を使用して設定変更を Cisco TrustSec デバイスに送信する場合は、[CoA] オプションボタンをクリックします。

Cisco ISE で CLI を使用(SSH 接続を使用)して設定変更を Cisco TrustSec デバイスに送信するには、[CLI(SSH)(CLI (SSH))] オプションボタンをクリックします。詳細については、非 CoA サポート デバイスへの設定変更のプッシュを参照してください

送信元(Send From)

ドロップダウンリストから、設定変更を Cisco TrustSec デバイスに送信する必要がある送信元 Cisco ISE ノードを選択します。PAN または PSN を選択できます。選択した PSN がダウンした場合、PSN を使用して Cisco TrustSec デバイスに設定変更が送信されます。

Test Connection

Cisco TrustSec デバイスと選択した Cisco ISE ノード(PAN または PSN ノード)の間の接続をテストするには、このオプションを使用できます。

SSH キー(SSH Key)

この機能を使用するには、Cisco ISE からネットワーク デバイスへの SSHv2 トンネルを開き、デバイスの CLI を使用して SSH キーを取得します。確認のために、このキーをコピーして [SSHキー(SSH Key)] フィールドに貼り付ける必要があります。詳細については、SSH キーの検証を参照してください

デバイス構成の展開

セキュリティ グループ タグ マッピングの展開時にこのデバイスを含める(Include this device when deploying Security Group Tag Mapping Updates)

Cisco TrustSec デバイスがデバイスインターフェイスのログイン情報を使用して IP-SGT マッピングを取得するには、[セキュリティ グループ タグ マッピングの更新の展開時にこのデバイスを含める(Include this device when deploying Security Group Tag Mapping Updates)] チェックボックスをオンにします。

EXEC モード ユーザー名(EXEC Mode Username)

Cisco TrustSec デバイスへのログインに使用するユーザー名を入力します。

EXEC モード パスワード(EXEC Mode Password)

デバイス パスワードを入力します。

パスワードを表示するには、[表示(Show)] をクリックします。

(注)  

 

セキュリティの脆弱性を回避するために、パスワード(EXEC モードやイネーブルモードのパスワードを含む)の文字に % を使用しないことを推奨します。

有効モード パスワード(Enable Mode Password)

(任意)特権 EXEC モードで Cisco TrustSec デバイスの設定を編集するために使用する有効なパスワードを入力します。

パスワードを表示するには、[表示(Show)] をクリックします。

アウトオブバンドTrustSec PAC

発行日(Issue Date)

この Cisco TrustSec デバイス用に Cisco ISE によって生成された最後の Cisco TrustSec PAC の発行日を表示します。

期限日(Expiration Date)

この Cisco TrustSec デバイス用に Cisco ISE によって生成された最後の Cisco TrustSec PAC の期限日を表示します。

発行元(Issued By)

このデバイス用に Cisco ISE によって生成された最後の TrustSec PAC の発行者(Cisco TrustSec 管理者)の名前を表示します。

PAC の生成(Generate PAC)

Cisco TrustSec デバイスのアウトオブバンド Cisco TrustSec PAC を生成するには、[PACの生成(Generate PAC)] ボタンをクリックします。

デフォルトのネットワーク デバイス定義の設定

次の表では、Cisco ISE が RADIUS または TACACS+ 認証に使用できる、デフォルトのネットワークデバイスを設定できるようにする [デフォルトのネットワークデバイス(Default Network device)] ウィンドウのフィールドについて説明します。次のナビゲーションパスのいずれかを選択します。

  • [管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)] > [デフォルトのデバイス(Default Devices)]

  • [ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ネットワーク ソース(Network Resources)] > [デフォルトのデバイス(Default Devices)]

表 6. [デフォルトのネットワークデバイス(Default Network Device)] ウィンドウのフィールド

フィールド名

使用上のガイドライン

デフォルトのネットワーク デバイスのステータス(Default Network Device Status)

デフォルトのネットワークデバイスの定義を有効にするには、[デフォルトのネットワークデバイスのステータス(Default Network Device Status)] ドロップダウンリストから [有効化(Enable)] を選択します。

(注)  

 

デフォルトのデバイスが有効になっている場合は、ウィンドウ内の関連するチェックボックスをオンにすることで、RADIUS または TACACS+ の認証設定を有効にする必要があります。

デバイス プロファイル

デフォルトのデバイスベンダーとして [シスコ(Cisco)] が表示されます。

RADIUS 認証設定

RADIUS の有効化

デバイスの RADIUS 認証を有効にするには、[RADIUS の有効化(Enable RADIUS)] チェックボックスをオンにします。

RADIUS UDP の設定

共有秘密鍵(Shared Secret)

共有秘密を入力します。共有秘密情報の長さは、最大 127 文字です。

共有秘密鍵は、pac キーワードを指定した radius-host コマンドを使用してネットワークデバイスに設定したキーです。

(注)  

 

共有秘密の長さは、[デバイスのセキュリティ設定(Device Security Settings)] ウィンドウ([管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)] > [デバイスのセキュリティ設定(Device Security Settings)])の [RADIUS 共有秘密の最小長(Minimum RADIUS Shared Secret Length)] フィールドで設定された値と同等以上である必要があります。デフォルトでは、この値は新規インストールとアップグレードされた展開の場合は 4 文字です。RADIUS サーバーでのベストプラクティスは、22 文字にすることです。

RADIUS DTLS の設定

必要な DTLS

[必要な DTLS(DTLS Required)] チェックボックスをオンにすると、Cisco ISE ではこのデバイスからの DTLS 要求のみが処理されます。このオプションを無効にすると、Cisco ISE ではこのデバイスからの UDP 要求と DTLS 要求の両方が処理されます。

RADIUS DTLS は SSL トンネルの確立および RADIUS の通信用に強化されたセキュリティを提供します。

共有秘密鍵(Shared Secret)

RADIUS DTLS に使用される共有秘密鍵が表示されます。この値は固定されており、MD5 整合性チェックを計算するために使用されます。

CoA の ISE 証明書の発行元 CA

RADIUS DTLS CoA に使用する認証局を [CoA の ISE 証明書の発行元 CA(Issuer CA of ISE Certificates for CoA)] ドロップダウンリストから選択します。

全般設定

KeyWrap の有効化(Enable KeyWrap)

(任意)KeyWrap アルゴリズムがネットワークデバイスでサポートサれている場合にのみ [KeyWrap の有効化(Enable KeyWrap)] チェックボックスをオンにします。これにより AES KeyWrap アルゴリズムを介した RADIUS のセキュリティが強化されます。

キー暗号キー(Key Encryption Key)

KeyWrap を有効にした場合は、セッションの暗号化(秘密)に使用する暗号キーを入力します。

メッセージ オーセンティケータ コード キー(Message Authenticator Code Key)

KeyWrap を有効にしているときに、RADIUS メッセージに対するキー付き Hashed Message Authentication Code(HMAC)の計算に使用されるキーを入力します。

キー入力形式(Key Input Format)

対応するオプションボタンをクリックして次のいずれかの形式を選択し、[キー暗号化キー(Key Encryption Key)] フィールドと [メッセージ認証コードキー(Message Authenticator Code Key)] フィールドに値を入力します。

  • [ASCII]キー暗号化キーの長さは 16 文字(バイト)、メッセージ オーセンティケータ コード キーの長さは 20 文字(バイト)である必要があります。

  • [16 進数(Hexadecimal)]:キー暗号化キーの長さは 32 バイト、メッセージ オーセンティケータ コード キーの長さは 40 バイトである必要があります。

ネットワークデバイスの設定と一致するように、キー暗号キーおよびメッセージ認証コードキーの入力に使用するキー入力形式を指定します。指定する値はキーの正しい(全体の)長さにする必要があります。それよりも短い値は許可されません。

TACACS 認証設定

共有秘密鍵(Shared Secret)

TACACS+ プロトコルが有効のときにネットワークデバイスに割り当てるテキスト文字列を入力します。ユーザーはネットワークデバイスによってユーザー名およびパスワードが認証される前にテキストを入力する必要があることに注意してください。ユーザーが共有秘密情報を提示するまで、接続は拒否されます。

廃止された共有秘密がアクティブです(Retired Shared Secret is Active)

リタイアメント期間がアクティブな場合に表示されます。

廃止(Retire)

既存の共有秘密を終了する代わりに廃止します。[廃止(Retire)] をクリックすると、ダイアログボックスが表示されます。[はい(Yes)] または [いいえ(No)] をクリックします。

残りの廃止期間(Remaining Retired Period)

(任意)[廃止(Retire)] ダイアログボックスで [はい(Yes)] をクリックした場合にのみ使用できます。[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [設定(Settings)] > [接続設定(Connection Settings)] > [デフォルトの共有秘密リタイアメント期間(Default Shared Secret Retirement Period)] ウィンドウで指定されたデフォルト値が表示されます。デフォルト値は変更することができます。

これにより、新しい共有秘密を入力できます。古い共有秘密は、指定された日数の間はアクティブなままになります。

終了(End)

(任意)[残りの廃止期間(Remaining Retired Period)] ダイアログボックスで [はい(Yes)] を選択した場合にのみ使用できます。廃止期間が終了し、古い共有秘密の設定は解除されます。

シングル接続モードを有効にする(Enable Single Connect Mode)

[シングル接続モードを有効にする(Enable Single Connect Mode)] チェックボックスは、ネットワークデバイスとのすべての TACACS+ 通信に単一の TCP 接続を使用する場合にオンにします。次のいずれかのオプションボタンをクリックします。

  • [レガシーシスコデバイス(Legacy Cisco Devices)]

  • [TACACS ドラフト コンプライアンス シングル接続のサポート(TACACS Draft Compliance Single Connect Support)]

(注)  

 

このフィールドを無効にすると、Cisco ISE はすべての TACACS+ 要求に新しい TCP 接続を使用します。

ネットワーク デバイスのインポート設定

次の表では、ネットワークデバイスの詳細を Cisco ISE にインポートするために使用できる [ネットワークデバイスのインポート(Import Network Devices)] ウィンドウのフィールドについて説明します。このウィンドウを表示するには、[メニュー(Menu)] アイコン()をクリックして選択します。[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)] 。[ネットワークデバイス(Network Devices)] ウィンドウで、[インポート(Import)] をクリックします。

表 7. ネットワークデバイスのインポート設定

フィールド名

使用上のガイドライン

テンプレートの生成(Generate a Template)

カンマ区切りの値(CSV)テンプレートファイルを作成するには、[テンプレートの生成(Generate a Template)] をクリックします。

CSV 形式のネットワークデバイス情報でテンプレートを更新し、ローカルに保存します。次に、編集したテンプレートを使用して、Cisco ISE 展開にネットワークデバイスをインポートします。

ファイル

最近作成したか、または Cisco ISE 展開から以前にエクスポートした CSV ファイルを選択するには、[ファイルの選択(Choose File)] をクリックします。

[インポート(Import)] オプションを使用して、新規および更新されたネットワークデバイスの情報を含む別の Cisco ISE 展開にネットワークデバイスをインポートできます。

新しいデータで既存のデータを上書き(Overwrite existing data with new data)

既存のネットワークデバイスをインポートファイル内のデバイスに置き換えるには、[既存のデータを新しいデータで上書き(Overwrite Existing Data with New Data)] チェックボックスをオンにします。

このチェックボックスをオンにしない場合、インポート ファイル内の新しいネットワーク デバイス定義がネットワーク デバイス リポジトリに追加されます。重複エントリは無視されます。

最初のエラーでインポートを停止(Stop Import on First Error)

インポート時にエラーが発生したときに Cisco ISE にインポートを中止する場合は、[最初のエラー時にインポートを停止(Stop Import on First Error)] チェックボックスをオンにします。Cisco ISE は、エラーが発生するまでネットワークデバイスをインポートします。

このチェックボックスがオンになっておらず、エラーが発生した場合は、エラーが報告され、Cisco ISE は残りのデバイスを引き続きインポートします。

Cisco ISE でのネットワークデバイスの追加

Cisco ISE でネットワークデバイスを追加したり、デフォルトのネットワークデバイスを使用したりできます。

[ネットワークデバイス(Network Devices)]([ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)])ウィンドウでもネットワークデバイスを追加できます。

始める前に

追加するネットワークデバイスで AAA 機能を有効にする必要があります。AAA 機能を有効にするコマンドを参照してください

手順

ステップ 1

Cisco ISE の GUI で、[メニュー(Menu)] アイコン()をクリックし、次を選択します。[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Device)]

ステップ 2

[Add] をクリックします。

ステップ 3

[名前(Name)]、[説明(Description)]、および [IP アドレス(IP Address)] の各フィールドに対応する値を入力します。

ステップ 4

[デバイスプロファイル(Device Profile)]、[モデル名(Model Name)]、[ソフトウェアバージョン(Software Version)]、および [ネットワーク デバイス グループ(Network Device Group)] ドロップダウンリストから必要な値を選択します。

ステップ 5

(任意)[RADIUS 認証設定(RADIUS Authentication Settings)] チェックボックスをオンにして、RADIUS プロトコル認証を設定します。

ステップ 6

(任意)[TACACS 認証設定(TACACS Authentication Settings)] チェックボックスをオンにして、TACACS プロトコル認証を設定します。

ステップ 7

(オプション)[SNMP の設定(SNMP Settings)] チェックボックスをオンにして、ネットワークデバイスから情報を収集するように Cisco ISE プロファイリングサービスに SNMP を設定します。

ステップ 8

(オプション)TrustSec 対応デバイスを設定するには [高度なTrustSec 設定(Advanced Trustsec Settings)] チェックボックスをオンにします。

ステップ 9

[Submit] をクリックします。

Cisco ISE へのネットワーク デバイスのインポート

Cisco ISE がネットワークデバイスと通信できるようにするには、Cisco ISE でネットワークデバイスのデバイス定義を追加する必要があります。[ネットワークデバイス(Network Devices)] ウィンドウ(メインメニューから、[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)])で、ネットワークデバイスのデバイス定義を Cisco ISE にインポートします。

カンマ区切り形式(CSV)ファイルを使用して、Cisco ISE ノードにデバイス定義のリストをインポートします。[ネットワークデバイス(Network Devices)] ウィンドウで [インポート(Import)] をクリックすると、CSV テンプレートファイルを使用できます。このファイルをダウンロードし、必要なデバイス定義を入力してから、[インポート(Import)] ウィンドウで編集したファイルをアップロードします。

同じリソースタイプの複数のインポートを同時に実行できません。たとえば、2 つの異なるインポート ファイルから同時にネットワーク デバイスをインポートできません。

デバイス定義の CSV ファイルをインポートする場合、新しいレコードを作成するか、[既存のデータを新しいデータで上書きする(Overwrite Existing Data with New Data)] オプションをクリックして既存のレコードを更新できます。

インポートテンプレートは、Cisco ISE ごとに異なる場合があります。異なる Cisco ISE リリースからエクスポートしたネットワークデバイスの CSV ファイルをインポートしないでください。リリースの CSV テンプレートファイルにネットワークデバイスの詳細を入力し、このファイルを Cisco ISE にインポートします。


(注)  

すべてのオクテットで IP 範囲を持つネットワーク デバイスをインポートできます。

手順

ステップ 1

Cisco ISE GUI で、[メニュー(Menu)] アイコン()をクリックし、[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Device)]

ステップ 2

[Import] をクリックします。

ステップ 3

表示された [ネットワークデバイスのインポート(Import Network Devices)] ウィンドウで、[テンプレートの生成(Generate A Template)] をクリックして、編集可能な CSV ファイルをダウンロードし、必要な詳細情報とともに Cisco ISE にインポートします。

ステップ 4

[ファイルの選択(Choose Files)] をクリックして、クライアントブラウザを実行しているシステムから CSV ファイルを選択します。

ステップ 5

(オプション)必要に応じて、[新しいデータで既存のデータを上書き(Overwrite Existing Data with New Data)] および [最初のエラーでインポートを停止(Stop Import on First Error)] チェックボックスをオンにします。

ステップ 6

[インポート(Import)] をクリックします。

ファイルのインポートが完了すると、Cisco ISE には概要メッセージが表示されます。このメッセージには、インポートのステータス(成功または失敗)、発生したエラーの数(ある場合)、およびファイルインポートプロセスにかかった合計処理時間が含まれます。

Cisco ISE からのネットワーク デバイスのエクスポート

Cisco ISE ノードで使用可能なネットワークデバイスのデバイス定義を CSV ファイル形式でエクスポートします。その後、この CSV ファイルを別の Cisco ISE ノードにインポートして必要な Cisco ISE ノードでデバイス定義を使用できるようにします。


(注)  

すべてのオクテットで IP 範囲を持つネットワーク デバイスをエクスポートできます。

手順

ステップ 1

Cisco ISE GUI で、[メニュー(Menu)] アイコン()をクリックし、[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Device)]

ステップ 2

[Export] をクリックします。

ステップ 3

次のいずれかのアクションを実行して、Cisco ISE ノードに追加されたネットワークデバイスのデバイス定義をエクスポートします。

  • エクスポートするデバイスの横にあるチェックボックスをオンにし、[エクスポート(Export)] ドロップダウンリストから [選択済みをエクスポート(Export Selected)] を選択します。

  • [エクスポート(Export)] ドロップダウンリストから [すべてエクスポート(Export All)] を選択して、Cisco ISE ノードに追加されたすべてのネットワークデバイスをエクスポートします。

ステップ 4

どちらの場合も、デバイス定義の CSV ファイルがシステムにダウンロードされます。

ネットワーク デバイス設定の問題のトラブルシューティング

手順

ステップ 1

Cisco ISE の GUI で、[メニュー(Menu)] アイコン()をクリックし、[操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [一般ツール(General Tools)] > [設定バリデータの評価(Evaluate Configuration Validator)] 選択します。

ステップ 2

評価するネットワークデバイスの IP アドレスを、[Network Device IP] フィールドに入力します。

ステップ 3

チェックボックスをオンにして、推奨テンプレートと比較する設定オプションの横にあるオプションボタンをクリックします。

ステップ 4

[Run] をクリックします。

ステップ 5

[進行状況の詳細…(Progress Details ...)] 領域で、[ここをクリックしてログイン情報を入力(Click Here to Enter Credentials)] をクリックします。

ステップ 6

[Credentials Window] ダイアログボックスで、ネットワークデバイスとの接続を確立するために必要な接続パラメータとログイン情報を入力します。

ステップ 7

[Submit] をクリックします。`

ステップ 8

(オプション)ワークフローをキャンセルするには、[Progress Details ...] ウィンドウで [Click Here to Cancel the Running Workflow] をクリックします。

ステップ 9

(オプション)分析するインターフェイスの隣にあるチェックボックスをオンにして、[Submit] をクリックします。

ステップ 10

(オプション)設定の評価の詳細については、[Show Results Summary] をクリックします。

Network Device コマンド診断ツールの実行

Execute Network Device Command 診断ツールを使用すると、ネットワーク デバイスに対して show コマンドを実行することができます。

表示される結果は、コンソールに表示されるものと同じです。ツールにより、デバイス構成の問題(ある場合)を特定できます。

このツールは、ネットワークデバイスの構成を検証するか、またはネットワークデバイスの設定方法を確認する場合に使用します。

Execute Network Device Command 診断ツールにアクセスするには、次のナビゲーションパスのいずれかを選択します。

  1. Cisco ISE GUI で、[メニュー(Menu)] アイコン()をクリックし、[操作(Operations)] > [トラブルシュート(Troubleshoot)] > [診断ツール(Diagnostic Tools)] > [ネットワークデバイスコマンドの実行(Execute Network Device Command)] を選択します。Cisco ISE GUI で、[メニュー(Menu)] アイコン()をクリックし、[ワークセンター(Work Centers)] > [プロファイラ(Profiler)] > [トラブルシュート(Troubleshoot)] > [ネットワークデバイスコマンドの実行(Execute Network Device Command)] を選択します。

  2. 表示される [ネットワークデバイスコマンドの実行(Execute Network Device Command)] ウィンドウで、ネットワークデバイスの IP アドレスと実行する show コマンドを対応するフィールドに入力します。

  3. [Run] をクリックします。

Cisco ISE でのサードパーティ ネットワーク デバイスのサポート

Cisco ISE は、ネットワーク デバイス プロファイルを使用して、サードパーティ製ネットワーク アクセス デバイス(NAD)をサポートします。NAD プロファイルは、ベンダー側の導入に関係なく、シンプルなポリシー構成でサードパーティデバイスの機能を定義します。ネットワーク デバイス プロファイルには、次のものが含まれています。

  • RADIUS、TACACS+、Cisco TrustSec などの、ネットワークデバイスがサポートするプロトコル。ネットワークデバイスに存在するベンダー固有の RADIUS ディクショナリを Cisco ISE にインポートできます。

  • デバイスが有線 MAB、802.1X などのさまざまな認証フローに使用する属性および値。これらの属性と値により、Cisco ISE は、ネットワークデバイスが使用する属性に従って、デバイスに適した認証フローを検出できます。

  • ネットワークデバイスの認可変更(CoA)機能。RADIUS プロトコル RFC 5176 では CoA 要求が定義されていますが、CoA 要求で使用される属性はネットワークデバイスによって異なります。RFC 5176 対応のほとんどのシスコ以外のデバイスは、「プッシュ」および「切断」機能をサポートします。RADIUS CoA タイプをサポートしていないデバイスについては、Cisco ISE も SNMP CoA をサポートします。

  • ネットワークデバイスが MAB フローに使用する属性およびプロトコル。さまざまなベンダーからのネットワーク デバイスは、MAB 認証を異なる方法で実行します。

  • デバイスで使用される VLAN および ACL の権限。プロファイルを保存すると、Cisco ISE は設定された各権限に対し認証プロファイルを自動的に生成します。

  • URL リダイレクション技術情報。URL リダイレクションは、個人所有デバイスの持ち込み(BYOD)、ゲストアクセス、ポスチャサービスなどの高度なフローに必要です。ネットワークデバイス内で見つかる URL リダイレクションには、静的と動的の 2 つのタイプがあります。静的 URL リダイレクションの場合は、Cisco ISE ポータル URL をコピーして構成に貼り付けることができます。動的 URL リダイレクションの場合、Cisco ISE は RADIUS 属性を使用して、リダイレクト先をネットワークデバイスに伝えます。

    ネットワークデバイスが動的および静的 URL リダイレクトのいずれもサポートしない場合、Cisco ISE は URL リダイレクトをシミュレートすることにより認証 VLAN 構成を提供します。認証 VLAN 構成は、Cisco ISE で実行されている DHCP および DNS サービスに基づいています。

Cisco ISE でネットワークデバイスを定義したら、これらのデバイスプロファイルを設定するか、Cisco ISE によって提供された事前設定済みデバイスプロファイルを使用して、Cisco ISE が基本認証フローや、プロファイラ、ゲスト、BYOD、MAB、ポスチャなどの高度なフローを有効にするために使用する機能を定義します。

URL リダイレクト メカニズムと認証 VLAN

ネットワークでサードパーティデバイスが使用されていて、デバイスがダイナミックまたはスタティック URL リダイレクトをサポートしていない場合、Cisco ISE が URL リダイレクトフローをシミュレートします。このようなデバイスの URL リダイレクト シミュレーション フローは、Cisco ISE で DHCP または DNS サービスを実行することによって動作します。

次に、認証 VLAN フローの例を示します。

  1. ゲスト エンドポイントが NAD に接続します。

  2. ネットワークデバイスは、RADIUS 要求または MAB 要求を Cisco ISE に送信します。

  3. ISE が認証ポリシーと許可ポリシーを実行し、ユーザーアカウンティング情報を保存します。

  4. Cisco ISE が認証 VLAN ID を含む RADIUS アクセス承認メッセージを送信します。

  5. ゲスト エンドポイントがネットワーク アクセスを受け取ります。

  6. エンドポイントが DHCP 要求を送信し、Cisco ISE DHCP サービスからクライアント IP アドレスと Cisco ISE DNS シンクホール IP アドレスを取得します。

  7. ゲストエンドポイントは、DNS クエリを送信して Cisco ISE IP アドレスを受け取るブラウザを開きます。

  8. エンドポイントの HTTP 要求と HTTPS 要求は Cisco ISE に転送されます。

  9. Cisco ISE は、ゲストポータル URL を含む HTTP 301 Moved メッセージで応答します。エンドポイントブラウザがゲストポータルウィンドウにリダイレクトされます。

  10. ゲスト エンドポイント ユーザーが認証のためにログインします。

  11. Cisco ISE はエンドポイントコンプライアンスを検証してから、NAD に応答します。Cisco ISE は CoA を送信し、エンドポイントを許可して、シンクホールをバイパスします。

  12. ゲストユーザーは CoA に基づいて適切なアクセスを受け、エンドポイントが企業 DHCP から IP アドレスを受信します。これで、ゲストユーザーはネットワークを使用できます。

エンドポイントが認証を通過する前にゲストエンドポイントによって不正なネットワークアクセスが行われないように、認証 VLAN を企業のネットワークから分離することができます。認証 VLAN IP ヘルパーを設定して Cisco ISE マシンを示すか、いずれかの Cisco ISE ネットワーク インターフェイスを認証 VLAN に接続します。

NAD 設定から VLAN IP ヘルパーを設定することで、複数の VLAN を 1 つのネットワーク インターフェイス カードに接続することができます。IP ヘルパーの設定の詳細については、ネットワークデバイス用のアドミニストレーション ガイドの指示を参照してください。IP ヘルパーを持つ VLAN を含むゲストアクセスフローの場合、ゲストポータルを定義し、MAB 許可にバインドされた認証プロファイルでそのポータルを選択します。ゲスト ポータルの詳細については、Cisco ISE ゲスト サービスを参照してください。

次の図に、認証 VLAN が定義されているときの基本的なネットワーク設定を示します(認証 VLAN が Cisco ISE ノードに直接接続されています)。

図 1. Cisco ISE ノードに接続された認証 VLAN

次の図に、認証 VLAN と IP ヘルパーを備えたネットワークを示します。

図 2. IP ヘルパーを備えた認証 VLAN 構成

CoA タイプ

Cisco ISE は、RADIUS と SNMP の両方の CoA タイプをサポートします。RADIUS または SNMP CoA タイプのサポートは、基本的なフローでは必須ではありませんが、NAD が複雑なフローで機能するために必要です。

Cisco ISE で NAD を設定するときに、ネットワークデバイスがサポートする RADIUS および SNMP 設定を定義します。NAD プロファイルを設定するときに、特定のフローに使用する CoA タイプを指定します。NAD のプロトコルの定義の詳細については、ネットワーク デバイス定義の設定を参照してください。Cisco ISE でデバイスと NAD のプロファイルを作成する前に、NAD でどの CoA タイプがサポートされているかをサードパーティサプライヤに確認してください。

ネットワーク デバイス プロファイル

Cisco ISE は、ネットワーク デバイス プロファイルを使用してサードパーティ製の NAD をサポートしています。これらのプロファイルによって、基本フローと、ゲスト、BYOD、MAB、ポスチャなどの高度なフローを有効にするために Cisco ISE が使用する機能が定義されます。

Cisco ISE には、いくつかのベンダーからのネットワーク デバイスの定義済みプロファイルが含まれています。Cisco ISE 2.1 以降のリリースは、次の表に記載されているネットワークデバイスでテストされています

表 8. Cisco ISE 2.1 以降のリリースでテスト済みのベンダーデバイス

Device Type

Vendor

CoA タイプ

URL リダイレクト タイプ

サポートされる使用例または検証済みの使用例

802.1X フローと MAB フロー

CoA のないプロファイラ

CoA があるプロファイラ

ポスチャ(Posture)

ゲストと BYOD

ワイヤレス

Aruba 7000、InstantAP

RADIUS

スタティック URL

対応

対応

対応

対応

対応

Motorola RFS 4000

RADIUS

ダイナミック URL

対応

対応

対応

対応

対応

HP 830

RADIUS

スタティック URL

対応

対応

対応

対応

対応

Ruckus ZD 1200

RADIUS

対応

対応

対応

対応

対応

有線

HP A5500

RADIUS

ISE が提供する認証 VLAN

対応

対応

対応

対応

対応

HP 3800 および 2920(ProCurve)

RADIUS

ISE が提供する認証 VLAN

対応

対応

対応

対応

対応

Alcatel 6850

SNMP

ダイナミック URL

対応

対応

対応

対応

対応

Brocade ICX 6610

RADIUS

ISE が提供する認証 VLAN

対応

対応

対応

対応

対応

Juniper EX3300-24p

RADIUS

ISE が提供する認証 VLAN

対応

対応

対応

対応

対応

その他のサードパーティ製 NAD の場合は、デバイスのプロパティおよび機能を識別し、Cisco ISE でカスタム NAD プロファイルを作成する必要があります。

対応

対応

CoA サポートが必要

CoA サポートが必要です。

有線デバイスが URL リダイレクトをサポートしていない場合、Cisco ISE は認証 VLAN を使用します。ワイヤレス デバイスは認証 VLAN でテストされていません。

定義済みプロファイルがないその他のサードパーティ製ネットワークデバイス用のカスタム NAD プロファイルを作成する必要があります。ゲスト、BYOD、ポスチャなどの高度なワークフローについては、ネットワークデバイスは、これらのフローの CoA サポートに関連する RADIUS プロトコル RFC 5176をサポートしている必要があります。Cisco ISE でネットワーク デバイス プロファイルを作成するために必要な属性については、デバイスのアドミニストレーション ガイドを参照してください。

ISE コミュニティ リソース

サードパーティ製 NAD プロファイルについては、「ISE Third-Party NAD Profiles and Configs」を参照してください。

Cisco ISE でのサードパーティ製ネットワークデバイスの設定

Cisco ISE は、ネットワーク デバイス プロファイルを使用してサードパーティ製の NAD をサポートしています。これらのプロファイルによって、ゲスト、BYOD、MAB、ポスチャなどのフローを有効にするために Cisco ISE が使用する機能が定義されます。

始める前に

ネットワーク デバイス プロファイルを参照してください。

手順

ステップ 1

Cisco ISE へサードパーティ製ネットワークデバイスを追加します(Cisco ISE へのネットワーク デバイスのインポートを参照)。ゲスト、BYOD またはポスチャのワークフローを設定している場合、CoA が定義され、NAD の URL リダイレクトメカニズムが、関連する Cisco ISE ポータルをポイントするように設定されていることを確認します。URL リダイレクトを設定するには、ポータルのランディングページから Cisco ISE ポータルの URL をコピーします。Cisco ISE の NAD の CoA タイプと URL リダイレクトの設定に関する詳細については、ネットワーク デバイス定義の設定を参照してください。さらに、手順については、サードパーティデバイスのアドミニストレーション ガイドを参照してください。

ステップ 2

デバイスに適切な NAD プロファイルが Cisco ISE で利用できることを確認します。既存のプロファイルを表示するには、[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイスプロファイル(Network Device Profiles)] を選択します。適切なプロファイルが Cisco ISE に存在しない場合は、カスタムプロファイルを作成します。カスタム プロファイルの作成方法の詳細については、ネットワーク デバイス プロファイルの作成を参照してください。

ステップ 3

設定する NAD に NAD プロファイルを割り当てます。Cisco ISE の GUI で、[メニュー(Menu)] アイコン()をクリックし、次を選択します。[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Device)]プロファイルを割り当てるデバイスを開き、[デバイスプロファイル(Device Profile)] ドロップダウンリストから割り当てるプロファイルを選択します。

ステップ 4

ポリシールールを設定する場合は、許可プロファイルをステップ 1 で NAD プロファイルに設定します。または、VLAN または ACL を使用するだけの場合、あるいはネットワークに異なるベンダーからのさまざまなデバイスがある場合は、[Any] に設定します。許可プロファイルの NAD プロファイルを設定するには、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [認証(Authorization)] > [許可プロファイル(Authorization Profiles)] を選択します。関連する認証プロファイルを開き、[Network Device Profiles] ドロップダウンリストから関連する NAD プロファイルを選択します。ゲストフロー用に認証 VLAN を使用する場合、通常のゲストフローと同様に、ゲストポータルを定義し、MAB 認証にバインドされた認証プロファイルでそのポータルを選択する必要があります。ゲストポータルの詳細については、「Cisco ISE ゲストサービス」のセクションを参照してくださいCisco ISE ゲスト サービス を参照してください

ネットワーク デバイス プロファイルの作成

始める前に

  • ほとんどの NAD には、標準の IETF RADIUS 属性に加えてベンダー固有のいくつかの属性を提供する、ベンダー固有の RADIUS ディクショナリが備わっています。ネットワーク デバイスにベンダー固有の RADIUS ディクショナリがある場合は、それを Cisco ISE にインポートします。RADIUS ディクショナリが必要な手順については、サードパーティ製デバイスの管理ガイドを参照してください。Cisco ISE の GUI で、[Menu] アイコン()をクリックし、次を選択します。[Policy] > [Policy Elements] > [Dictionaries] > [System] > [Radius] > [RADIUS Vendors]。RADIUS ディクショナリをインポートするには、RADIUS ベンダー ディクショナリの作成を参照してください

  • ゲストやポスチャなどの複雑なフローの場合、ネットワークデバイスはRFC 5176で定義されている CoA タイプサポートしている必要があります

  • ネットワークデバイスのプロファイルを作成するためのフィールドと可能な値の詳細については、ネットワーク デバイス プロファイル設定を参照してください

手順

ステップ 1

Cisco ISE GUI で、[Menu] アイコン()をクリックし、次を選択します。[Administration] > [Network Resources] > [Network Device Profiles]

ステップ 2

[追加(Add)] をクリックします。

ステップ 3

表示される [新しいネットワークデバイスのプロファイル(New Network Device Profile)] ウィンドウで、ネットワークデバイスの [名前(Name)] フィールドと [説明(Description)] フィールドに対応する値を入力します。

ステップ 4

[ベンダー(Vendor)] ドロップダウンリストから、ネットワークデバイスのベンダーを選択します。

ステップ 5

[アイコン(Icon)] 領域で、[アイコンの変更...(Change Icon ...)] をクリックして、システムからネットワークデバイスのアイコンをアップロードします。

または、[アイコン(Icon)] 領域で [デフォルトに設定(Set To Default)] をクリックして、Cisco ISE が提供するデフォルトのアイコンを使用します。

ステップ 6

[サポートされているプロトコル(Supported Protocols)] 領域で、デバイスがサポートするプロトコルのチェックボックスをオンにします。実際に使用するプロトコルのチェックボックスのみをオンにします。ネットワークデバイスが RADIUS プロトコルをサポートしている場合は、デバイスで使用する RADIUS ディクショナリを [RADIUSディクショナリ(RADIUS Dictionaries)] ドロップダウンリストから選択します。

ステップ 7

[テンプレート(Templates)] 領域で、関連する詳細情報を入力します。

  1. [認証/許可(Authentication/Authorization)] をクリックし、フロータイプ、属性エイリアシング、およびホストルックアップに関するネットワークデバイスのデフォルト設定を行います。表示される新しい [フロータイプ条件(Flow Type Conditions)] 領域で、デバイスがさまざまな認証と許可フロー(有線 MAB や 802.1X など)に使用する属性と値を入力します。これにより、Cisco ISE は使用される属性に従ってデバイスに適切なフロータイプを検出できます。MAB 用の IETF 標準がないため、ベンダーごとに異なる値が [サービスタイプ(Service Type)] に使用されています。正しい設定を判断するには、デバイスのユーザーガイドを参照するか、または MAB 認証のスニファトレースを使用してください。[属性エイリアシング(Attribute Aliasing)] 領域で、デバイス固有の属性名を共通名にマップして、ポリシールールを簡素化します。現在、サービスセット識別子(SSID)のみが定義されています。ネットワークデバイスにワイヤレス SSID の概念がある場合には、使用される属性に対してこれを設定します。Cisco ISE は、これを正規化された RADIUS ディクショナリの SSID という属性にマッピングします。これは、1 つのルール内で SSID を参照でき、基盤となる属性が異なっていても複数のデバイスで動作するので、ポリシールールの設定を簡素化します。[ホストルックアップ(Host Lookup)] 領域で、[ホストルックアップの処理(Process Host Lookup)] チェックボックスをオンにし、サードパーティ デバイス ベンダーが提供する指示に基づき、関連する MAB プロトコルと属性を選択します。

  2. [権限(Permissions)] から、VLAN と ACL に関するネットワークデバイスのデフォルト設定を行います。これらは、Cisco ISE で作成した認証プロファイルに基づいて自動的にマッピングされます。

  3. [Change of Authorization (CoA)] をクリックし、ネットワークデバイスの CoA 機能。

    [CoA By] ドロップダウンリストから [RADIUS] を選択した場合は、表示される設定エリアで、スタティック属性のみを選択する必要があります。ダイナミック属性はサポートされていません。

  4. [リダイレクト(Redirect)] をクリックし、ネットワークデバイスの URL リダイレクト機能を設定します。URL リダイレクションは、ゲスト、BYOD およびポスチャサービスに必要です。

ステップ 8

[Submit] をクリックします。

Cisco ISE からのネットワーク デバイス プロファイルのエクスポート

Cisco ISE で設定された単一または複数のネットワーク デバイス プロファイルを XML ファイルの形式でエクスポートします。XML ファイルを編集し、新しいネットワークプロファイルとして Cisco ISE ファイルにインポートできます。

始める前に

How to Create ISE Network Access Device Profiles」を参照してください。

手順

ステップ 1

Cisco ISE GUI で、[メニュー(Menu)] アイコン()をクリックし、[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Device)] を選択します。

ステップ 2

エクスポートするデバイスの横にあるチェックボックスをオンにし、[選択済みをエクスポート(Export Selected)] をクリックします。

ステップ 3

DeviceProfiles.xml という名前のファイルがローカルハードディスクにダウンロードされます。

Cisco ISE へのネットワーク デバイス プロファイルのインポート

Cisco ISE XML 構造を備えた単一の XML ファイルを使用して、Cisco ISE に単一または複数のネットワーク デバイス プロファイルをインポートします。複数のインポート ファイルから同時にネットワーク デバイス プロファイルをインポートすることはできません。

通常は、まずテンプレートとして使用するために Cisco ISE 管理者ポータルから既存のプロファイルをエクスポートする必要があります。デバイスプロファイルの詳細をファイルに入力し、XML ファイルとして保存します。次に、編集したファイルを Cisco ISE に再度インポートします。複数のネットワーク デバイス プロファイルを扱うには、単一の XML ファイルとして一緒に構造化された複数のプロファイルをエクスポートし、ファイルを編集してからプロファイルを一緒にインポートして、Cisco ISE で複数のプロファイルを作成します。

ネットワーク デバイス プロファイルのインポート時は、新しいレコードの作成のみができます。既存のプロファイルは上書きできません。既存のネットワーク デバイス プロファイルを更新するには、Cisco ISE から既存のプロファイルをエクスポートし、Cisco ISE からプロファイルを削除してから、必要に応じてプロファイルを編集した後にそのプロファイルをインポートします。

始める前に

How to Create ISE Network Access Device Profiles」を参照してください。

手順

ステップ 1

Cisco ISE GUI で、[メニュー(Menu)] アイコン()をクリックし、[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイスプロファイル(Network Device Profiles)]

ステップ 2

[Import] をクリックします。

ステップ 3

[ファイルの選択(Choose Files)] をクリックして、クライアントブラウザを実行しているシステムから XML ファイルを選択します。

ステップ 4

[Import] をクリックします。

ネットワーク デバイス グループの管理

次のウィンドウを使用すると、ネットワークデバイスグループを設定し、管理することができます。

ネットワーク デバイス グループの設定

次の表では、ネットワーク デバイス グループを作成するために使用する [ネットワークデバイスグループ(Network Device Groups)] ウィンドウのフィールドについて説明します。このウィンドウを表示するには、[メニュー(Menu)] アイコン()をクリックして選択します。[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス グループ(Network Device Groups)] > [すべてのグループ(All Groups)]

ネットワーク デバイス グループは、[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ネットワークリソース(Network Resources)] > [ネットワーク デバイス グループ(Network Device Groups)] > [すべてのグループ(All Groups)] ウィンドウでも作成できます。

表 9. [ネットワーク デバイス グループ(Network Device Group)] ウィンドウのフィールド

フィールド名

使用上のガイドライン

名前(Name)

ルート ネットワーク デバイス グループの名前を入力します。このルート ネットワーク デバイス グループに追加される後続のすべての子ネットワーク デバイス グループに対して、新たに作成したこのネットワーク デバイス グループの名前を入力します。

ネットワーク デバイス グループ階層内には、ルートノードを含めて、最大で 6 つのノードを含めることができます。各ネットワーク デバイス グループの名前には最大で 32 文字を使用できます。

説明

ルートまたは子のネットワーク デバイス グループの説明を入力します。

ネットワークデバイスの数(No. of Network Devices)

ネットワークグループ内のネットワークデバイスの数がこの列に表示されます。

ネットワーク デバイス グループのインポート設定

次の表では、[ネットワークデバイスグループ(Network Device Group)] ウィンドウの [インポート(Import)] ダイアログボックスのフィールドについて説明します。このウィンドウを表示するには、[メニュー(Menu)] アイコン()をクリックして選択します。[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワーク デバイス グループ(Network Device Groups)]

表 10. [ネットワーク デバイス グループのインポート(Network Device Groups Import)] ウィンドウのフィールド

フィールド名

使用上のガイドライン

テンプレートの生成(Generate a Template)

CSV テンプレートファイルをダウンロードするには、このリンクをクリックします。

同じ形式のネットワーク デバイス グループの情報でテンプレートを更新します。そのテンプレートをローカルに保存し、ネットワーク デバイス グループを Cisco ISE 展開にインポートします。

ファイル

[ファイルの選択(Choose File)] をクリックして、アップロードする CSV ファイルの場所に移動します。そのファイルは、新規ファイル、または別の Cisco ISE 展開からエクスポートされたファイルである可能性があります。

更新されたネットワーク デバイス グループ情報を使用して、ある Cisco ISE 展開から別の展開にネットワーク デバイス グループをインポートできます。

新しいデータで既存のデータを上書き(Overwrite existing data with new data)

既存のネットワーク デバイス グループをインポートファイル内のデバイスグループに置き換える場合は、このチェックボックスをオンにします。

このチェックボックスをオンにしない場合、インポートファイル内の新しいネットワーク デバイス グループのみがネットワーク デバイス グループ リポジトリに追加されます。重複エントリは無視されます。

最初のエラーでインポートを停止(Stop Import on First Error)

インポート時にエラーが発生した最初のインスタンスでインポートを中止するには、このチェックボックスをオンにします。

このチェックボックスをオンにしていないためにエラーが発生した場合は、Cisco ISE はエラーを報告し、残りのデバイスグループを引き続きインポートします。

ネットワーク デバイス グループ

Cisco ISE では、階層型ネットワーク デバイス グループ(NDG)を作成できます。ネットワーク デバイス グループを使用し、地理的な場所、デバイスタイプ、またはネットワーク内の相対的な位置(アクセスレイヤやデータセンターなど)に基づいて、ネットワークデバイスを論理的にグループ化します。

[ネットワーク デバイス グループ(Network Device Groups)] ウィンドウを表示するには、[メニュー(Menu)] アイコン()をクリックし、[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワーク デバイス グループ(Network Device Groups)] を選択します。

たとえば、地理的な場所に基づいてネットワークデバイスを編成するには、大陸、地域、または国でグループ化します。

  • [アフリカ(Africa)] > [南部(Southern)] > [ナミビア(Namibia)]

  • [アフリカ(Africa)] > [南部(Southern)] > [南アフリカ(South Africa)]

  • [アフリカ(Africa)] > [南部(Southern)] > [ボツワナ(Botswana)]

デバイスタイプに基づいてネットワークデバイスをグループ化します。

  • [アフリカ(Africa)] > [南部(Southern)] > [ボツワナ(Botswana)] > [ファイアウォール(Firewalls)]

  • [アフリカ(Africa)] > [南部(Southern)] > [ボツワナ(Botswana)] > [ルータ(Routers)]

  • [アフリカ(Africa)] > [南部(Southern)] > [ボツワナ(Botswana)] > [スイッチ(Switches)]

ネットワークデバイスを 1 つ以上の階層型ネットワーク デバイス グループに割り当てます。Cisco ISE が、設定されたネットワーク デバイス グループの順序リストを処理して特定のデバイスに割り当てる適切なグループを決定する場合、同じデバイスプロファイルが複数のデバイスグループに適用されることがわかることがあります。この場合、Cisco ISE は最初に一致したデバイスグループを適用します。

作成できるネットワーク デバイス グループの最大数に制限はありません。ネットワーク デバイス グループの階層レベル(親グループを含む)は最大 6 レベルまで作成できます。

デバイスグループ階層は、[ツリーテーブル(Tree Table)] と [フラットテーブル(Flat Table)] の 2 つのビューに表示されます。ネットワーク デバイス グループのリストの上にある [ツリーテーブル(Tree Table)] または [フラットテーブル(Flat Table)] をクリックして、リストを対応するビューに編成します。

[ツリーテーブル(Tree Table)] ビューで、ルートノードはツリーの最上位に表示され、その後に子グループが階層順で続きます。各ルートグループのすべてのデバイスを表示するには、[すべて展開(Expand All)] をクリックします。ルートグループのみのリストを表示するには、[すべて折りたたむ(Collapse All)] をクリックします。

[フラットテーブル(Flat Table)] ビューでは、各デバイスグループの階層が [グループ階層(Group Hierarchy)] 列に表示されます。

両方のビューで、各子グループに割り当てられているネットワークデバイスの数が、対応する [ネットワークデバイスの数(No. of Network Devices)] 列に表示されます。デバイスグループに割り当てられているすべてのネットワークデバイスのリストを表示するダイアログボックスをクリックするには、この数字をクリックします。表示されるダイアログボックスには、ネットワークデバイスをあるグループから別のグループに移動するための 2 つのボタンも含まれています。現在のグループから別のグループにネットワークデバイスを移動するには、[デバイスを別のグループに移動(Move Devices to Another Group)] をクリックします。選択したネットワーク デバイス グループにネットワークデバイスを移動するには、[デバイスをグループに追加(Add Devices to Group)] をクリックします。

[ネットワークデバイスグループ(Network Device Groups)] ウィンドウでネットワーク デバイス グループを追加するには、[追加(Add)] をクリックします。[親グループ(Parent Group)] ドロップダウンリストで、ネットワーク デバイス グループを追加する必要がある親グループを選択するか、または [ルートグループとして追加(Add As Root Group)] オプションを選択して、新しいネットワーク デバイス グループを親グループとして追加します。


(注)  

デバイスが割り当てられているデバイス グループは削除できません。デバイスグループを削除する前に、すべての既存のデバイスを別のデバイスグループに移動する必要があります。

ルート ネットワーク デバイス グループ

Cisco ISE には、[すべてのデバイスタイプ(All Device Types)] と [すべてのロケーション(All Locations)] という 2 つの事前に定義されたルート ネットワーク デバイス グループが含まれています。これらの事前に定義されたネットワーク デバイス グループを編集、複製、または削除することはできませんが、それらの下に新しいデバイスグループを追加することはできます。

ルート ネットワーク デバイス グループ(ネットワーク デバイス グループ)を作成した後に、すでに説明したように、[ネットワークデバイスグループ(Network Device Groups)] ウィンドウでルートグループの下に子ネットワーク デバイス グループを作成できます。

ポリシー評価で Cisco ISE が使用するネットワークデバイスの属性

新しいネットワーク デバイス グループを作成すると、新しいネットワークデバイス属性がシステムディクショナリ[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [ディクショナリ(Dictionaries)])内のデバイスディクショナリに追加されます。追加されたデバイス属性は、ポリシー定義で使用されます。

Cisco ISE では、デバイスタイプ、ロケーション、モデル名、またはネットワークデバイス上で実行しているソフトウェアバージョンなどのデバイスディクショナリ属性を使用して、認証ポリシーと許可ポリシーを設定できます。

Cisco ISE へのネットワーク デバイス グループのインポート

カンマ区切り形式(CSV)ファイルを使用して Cisco ISE ノードにネットワーク デバイス グループをインポートできます。2 つの異なるインポートファイルから同時にネットワーク デバイス グループをインポートできません。

Cisco ISE 管理者ポータルから CSV テンプレートをダウンロードします。そのテンプレートにネットワーク デバイス グループの詳細を入力して CSV ファイルとして保存した後、編集したファイルを Cisco ISE にインポートします。

デバイスグループのインポート中に、新しいレコードを作成するか、または既存のレコードを更新できます。デバイス グループをインポートする場合、Cisco ISE で最初のエラーが発生した場合、既存のデバイス グループを新しいグループで上書きするか、またはインポート プロセスを停止するかを定義できます。

手順

ステップ 1

Cisco ISE の GUI で、[メニュー(Menu)] アイコン()をクリックし、次を選択します[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワーク デバイス グループ(Network Device Groups)]

ステップ 2

[Import] をクリックします。

ステップ 3

ダイアログボックスで、[Choose Files] をクリックし、クライアントブラウザを実行しているシステムから CSV ファイルを選択します。

ネットワーク デバイス グループを追加するための CSV テンプレートファイルをダウンロードするには、[テンプレートの生成(Generate a Template)] をクリックします。

ステップ 4

既存のネットワーク デバイス グループを上書きするには、[既存のデータを新しいデータで上書き(Overwrite Existing Data with New Data)] チェックボックスをオンにします。

ステップ 5

[最初のエラーでインポートを停止(Stop Import on First Error)] チェックボックスをオンにします。

ステップ 6

[Import] をクリックします。

Cisco ISE からのネットワーク デバイス グループのエクスポート

Cisco ISE で設定されたネットワーク デバイス グループは、CSV ファイルの形式でエクスポートできます。その後で、これらのネットワーク デバイス グループを別の Cisco ISE ノードにインポートできます。

手順

ステップ 1

Cisco ISE GUI で、[メニュー(Menu)] アイコン()をクリックし、次を選択します。[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワーク デバイス グループ(Network Device Groups)] > [すべてのグループ(All Groups)]

ステップ 2

ネットワーク デバイス グループをエクスポートするには、次のいずれかを行うことができます。

  • エクスポートするデバイスグループの横にあるチェックボックスをオンにし、[エクスポート(Export)] > [選択済みをエクスポート(Export Selected)] を選択します。

  • [エクスポート(Export)] > [すべてエクスポート(Export All)] を選択して、定義されたネットワーク デバイス グループをすべてエクスポートします。

CSV ファイルがローカルハードディスクにダウンロードされます。

ネットワーク デバイス グループの管理

次のウィンドウを使用すると、ネットワークデバイスグループを設定し、管理することができます。

ネットワーク デバイス グループの設定

次の表では、ネットワーク デバイス グループを作成するために使用する [ネットワークデバイスグループ(Network Device Groups)] ウィンドウのフィールドについて説明します。このウィンドウを表示するには、[メニュー(Menu)] アイコン()をクリックして選択します。[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス グループ(Network Device Groups)] > [すべてのグループ(All Groups)]

ネットワーク デバイス グループは、[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ネットワークリソース(Network Resources)] > [ネットワーク デバイス グループ(Network Device Groups)] > [すべてのグループ(All Groups)] ウィンドウでも作成できます。

表 11. [ネットワーク デバイス グループ(Network Device Group)] ウィンドウのフィールド

フィールド名

使用上のガイドライン

名前(Name)

ルート ネットワーク デバイス グループの名前を入力します。このルート ネットワーク デバイス グループに追加される後続のすべての子ネットワーク デバイス グループに対して、新たに作成したこのネットワーク デバイス グループの名前を入力します。

ネットワーク デバイス グループ階層内には、ルートノードを含めて、最大で 6 つのノードを含めることができます。各ネットワーク デバイス グループの名前には最大で 32 文字を使用できます。

説明

ルートまたは子のネットワーク デバイス グループの説明を入力します。

ネットワークデバイスの数(No. of Network Devices)

ネットワークグループ内のネットワークデバイスの数がこの列に表示されます。

ネットワーク デバイス グループのインポート設定

次の表では、[ネットワークデバイスグループ(Network Device Group)] ウィンドウの [インポート(Import)] ダイアログボックスのフィールドについて説明します。このウィンドウを表示するには、[メニュー(Menu)] アイコン()をクリックして選択します。[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワーク デバイス グループ(Network Device Groups)]

表 12. [ネットワーク デバイス グループのインポート(Network Device Groups Import)] ウィンドウのフィールド

フィールド名

使用上のガイドライン

テンプレートの生成(Generate a Template)

CSV テンプレートファイルをダウンロードするには、このリンクをクリックします。

同じ形式のネットワーク デバイス グループの情報でテンプレートを更新します。そのテンプレートをローカルに保存し、ネットワーク デバイス グループを Cisco ISE 展開にインポートします。

ファイル

[ファイルの選択(Choose File)] をクリックして、アップロードする CSV ファイルの場所に移動します。そのファイルは、新規ファイル、または別の Cisco ISE 展開からエクスポートされたファイルである可能性があります。

更新されたネットワーク デバイス グループ情報を使用して、ある Cisco ISE 展開から別の展開にネットワーク デバイス グループをインポートできます。

新しいデータで既存のデータを上書き(Overwrite existing data with new data)

既存のネットワーク デバイス グループをインポートファイル内のデバイスグループに置き換える場合は、このチェックボックスをオンにします。

このチェックボックスをオンにしない場合、インポートファイル内の新しいネットワーク デバイス グループのみがネットワーク デバイス グループ リポジトリに追加されます。重複エントリは無視されます。

最初のエラーでインポートを停止(Stop Import on First Error)

インポート時にエラーが発生した最初のインスタンスでインポートを中止するには、このチェックボックスをオンにします。

このチェックボックスをオンにしていないためにエラーが発生した場合は、Cisco ISE はエラーを報告し、残りのデバイスグループを引き続きインポートします。

Cisco ISE でのテンプレートのインポート

Cisco ISE では、CSV ファイルを使用して大量のネットワークデバイスやネットワーク デバイス グループをインポートできます。テンプレートには、フィールドのフォーマットを定義するヘッダー行が含まれます。次の表に記載されている列を追加する場合を除き、このヘッダー行は編集しないでください。

ネットワークデバイスやネットワーク デバイス グループに関連するインポートフロー内で [テンプレートの生成(Generate a Template)] リンクを使用して CSV ファイルをローカルシステムにダウンロードします。

ネットワーク デバイスのインポート テンプレート形式

次の表は、インポート ネットワーク デバイスの CSV テンプレートファイルのフィールドのリストと説明です。

表 13. ネットワークデバイスの CSV テンプレートのフィールドと説明

フィールド

使用上のガイドライン

[名前(Name)]:文字列(32)

ネットワークデバイスの名前を入力します。name には、最大 32 字の英数字を指定できます。

Description:String(256)

(オプション)最大 256 文字でネットワークデバイスの説明を入力します。

IP Address:Subnets(a.b.c.d/m|...)

ネットワークデバイスの IP アドレスおよびサブネットマスクを入力します。パイプ記号(|)で区切って複数の値を指定できます。

IPv4 および IPv6 アドレスは、ネットワークデバイス(TACACS および RADIUS)構成および外部 RADIUS サーバー構成でサポートされています。

IPv4 アドレスを入力する場合は、範囲とサブネットマスクを使用できます。

IPv6 では、範囲がサポートされていません。

[モデル名(Model Name)]:文字列(32)

ネットワークデバイスの機種名を最大 32 文字で入力します。

[ソフトウェアバージョン(Software Version)]:文字列(32)

ネットワークデバイスのソフトウェアバージョンを最大 32 文字で入力します。

[ネットワークデバイスグループ(Network Device Groups)]:文字列(100)

既存のネットワーク デバイス グループの名前を入力します。サブグループの場合は、親グループとサブグループの両方をスペースで区切って含める必要があります。最大 100 文字の文字列(たとえば、Location>All Location>US)です。

Authentication:Protocol:String(6)

使用する認証プロトコルを入力します。有効な値は RADIUS のみです(大文字と小文字は区別されません)。

Authentication:Shared Secret:String(128)

[認証:プロトコル(Authentication:Protocol)]:文字列(6)のフィールドの値を入力した場合に限り必須)最大 128 文字の文字列を入力します。

PasswordEncrypted:Boolean(true|false)

この列に必要なフィールド値はありません。

Cisco ISE リリース 3.3 パッチ 1 以前のリリースからネットワークデバイスをインポートする場合は、インポートする前に、このヘッダーを含む新しい列を [Authentication:Shared Secret:String(128)] 列の右側に追加する必要があります。この列が追加されていない場合は、エラーメッセージが表示され、ファイルをインポートできません。

インポート時にパスワードを復号するための有効なキーが指定されていない場合、暗号化されたパスワードを持つネットワークデバイスは拒否されます。

EnableKeyWrap:ブール(true|false)

このフィールドは、KeyWrap がネットワークデバイスでサポートされている場合に限り有効です。true または false を入力します。

EncryptionKey:文字列(ascii:16|hexa:32)

(KeyWrap を有効にした場合は必須)セッションの暗号化に使用される暗号キーを入力します。

ASCII 値:16 文字(バイト)の長さ。

16 進数値:32 文字(バイト)の長さ。

AuthenticationKey:文字列(ascii:20|hexa:40)

(KeyWrap を有効にした場合は必須)RADIUS メッセージに対するキー付きハッシュメッセージ認証コード(HMAC)の計算を入力します。

ASCII 値:20 文字(バイト)の長さ。

16 進数値:40 文字(バイト)の長さ。

InputFormat:文字列(32)

暗号化キーと認証キーの入力形式を入力します。ASCII 値および 16 進数値を使用できます。

SNMP:Version:列挙(|2c|3)

プロファイラサービスが使用する必要のある SNMP プロトコルのバージョンを入力します(1、2c、または 3)。

SNMP:RO Community:String(32)

 [SNMP:バージョン(SNMP:Version)]:列挙(|2c|3)のフィールドに値を入力する場合は必須)。読み取り専用コミュニティの文字列を最大 32 文字で入力します

SNMP:RW Community:String(32)

[SNMP:バージョン(SNMP:Version)]:列挙(|2c|3)のフィールドに値を入力する場合は必須)。読み取り書き込みコミュニティの文字列を最大 32 文字で入力します。

SNMP:Username:String(32)

最大 32 文字の文字列を入力します。

[SNMP:バージョン(SNMP:Version)]:列挙(|2c|3)のフィールドに SNMP バージョン 3 を入力した場合は必須)[Auth][No Auth]、または [Priv] を入力します。

SNMP:Authentication Protocol:Enumeration(MD5|SHA)

(SNMP セキュリティレベルで [Auth] または [Priv] を入力した場合は必須)[MD5] または [SHA] を入力します。

SNMP:Authentication Password:String(32)

[SNMP:セキュリティレベル(SNMP:Security Level)]:列挙(Auth|No Auth|Priv)のフィールドに [Auth] を入力した場合は必須)最大 32 文字の文字列を入力します。

SNMP:Privacy Protocol:Enumeration(DES|AES128|AES192|AES256|3DES)

[SNMP:セキュリティレベル(SNMP:Security Level)]:列挙(Auth|No Auth|Priv)のフィールドに [Priv] を入力した場合は必須)[DES][AES128][AES192][AES256]、または [3DES] を入力します。

SNMP:Privacy Password:String(32)

[SNMP:セキュリティレベル(SNMP:Security Level)]:列挙(Auth|No Auth|Priv)のフィールドに [Priv] を入力した場合は必須)最大 32 文字の文字列を入力します。

SNMP:Polling Interval:Integer:600-86400 seconds

SNMP ポーリング間隔を秒単位で入力します。有効な値は 600 〜 86400 の整数です。

SNMP:Is Link Trap Query:Boolean(true|false)

true または false を入力して、SNMP リンクトラップを有効または無効にします。

SNMP:Is MAC Trap Query:ブール(true|false)

true または false を入力して、SNMP MAC トラップを有効または無効にします。

SNMP:Originating Policy Services Node:文字列(32)

SNMP データのポーリングに使用される Cisco ISE サーバーを示します。デフォルトでは自動ですが、このフィールドに別の値を割り当てて設定を上書きできます。

Trustsec:Device Id:文字列(32)

Cisco Trustsec デバイス ID を、最大 32 文字の文字列で入力します。

Trustsec:Device Password:文字列(256)

(Cisco TrustSec デバイス ID を入力した場合は必須)Cisco TrustSec デバイスのパスワードを、最大 256 文字の文字列で入力します。

Trustsec:Environment Data Download Interval:整数:1-2147040000 秒

TrustSec 環境データのダウンロード間隔を入力します。有効な値は 1 〜 2147040000 の整数です。

Trustsec:Peer Authorization Policy Download Interval:整数:1-2147040000 秒

TrustSec のピア許可ポリシーのダウンロード間隔を入力します。有効な値は 1 〜 2147040000 の整数です。

Trustsec:Reauthentication Interval:整数:1-2147040000 秒

TrustSec の再認証間隔を入力します。有効な値は 1 〜 2147040000 の整数です。

Trustsec:SGACL List Download Interval:整数:1-2147040000 秒

Cisco TrustSec セキュリティグループ ACL リストのダウンロード間隔を入力します。有効な値は 1 〜 2147040000 の整数です。

Trustsec:Is Other Trustsec Devices Trusted:ブール(true|false)

true または false を入力して、Cisco TrustSec デバイスが信頼できるかどうかを示します。

Trustsec:Notify this device about Trustsec configuration changes:文字列(ENABLE_ALL|DISABLE_ALL)

ENABLE_ALL または DISABLE_ALL を入力して、Cisco TrustSec の構成変更を Cisco TrustSec デバイスに通知します。

Trustsec:Include this device when deploying Security Group Tag Mapping Updates:ブール(true|false)

true または false を入力して、Cisco TrustSec デバイスがセキュリティグループタグに含まれているかどうかを示します。

Deployment:Execution Mode Username:String(32)

ネットワークデバイス設定を編集する権限を持っているユーザー名を入力します。これは、最大 32 文字の文字列です。

Deployment:Execution Mode Password:String(32)

デバイスのパスワードを、最大 32 文字の文字列で入力します。

Deployment:Enable Mode Password:String(32)

デバイスの構成を編集するためのデバイスのパスワードを入力します。これは、最大 32 文字の文字列です。

Trustsec:PAC issue date:日付

Cisco TrustSec デバイス用に Cisco ISE によって生成された最後の Cisco TrustSec PAC の発行日を入力します。

Trustsec:PAC expiration date:日付

Cisco TrustSec デバイス用に Cisco ISE によって生成された最後の Cisco TrustSec PAC の期限日を入力します。

Trustsec:PAC issued by:文字列

Cisco TrustSec デバイス用に Cisco ISE によって生成された最後の Cisco TrustSec PAC の発行者(Cisco TrustSec 管理者)の名前を入力します。文字列値である必要があります。

ネットワーク デバイス グループのインポート テンプレート形式

次の表に、テンプレート ヘッダーのフィールドとネットワーク デバイス グループの CSV ファイルにおけるこれらのフィールドの説明を示します。

表 14. ネットワーク デバイス グループの CSV テンプレートのフィールドと説明

フィールド

説明

Name:文字列(100)

(必須)このフィールドはネットワーク デバイス グループの名前です。最大 100 文字の文字列です。NDG の完全な名前の長さは、最大 100 文字です。たとえば、Global > Asia という親グループの下に India というサブグループを作成する場合、作成する NDG の完全な名前は Global#Asia#India になります。完全な名前の長さは 100 文字以内でなければなりません。NDG の完全な名前の長さが 100 文字を超えた場合、NDG の作成は失敗します。

Description:String(1024)

これはオプションのフィールドです。これは、最大 1024 文字の文字列です。

Type:文字列(64)

(必須)このフィールドはネットワーク デバイス グループのタイプです。これは、最大 64 文字の文字列です。

Is Root:ブール(true|false)

(必須)これは、特定のネットワーク デバイス グループがルート グループかどうかを示すフィールドです。有効な値は true または false です。

Cisco ISE と NAD 間の通信を保護する IPSec セキュリティ

IPSec は、IP にセキュリティを実装するプロトコルのセットです。RADIUS および TACACS+ のプロトコルでは MD5 ハッシュアルゴリズムを使用します。セキュリティを強化するため、Cisco ISE には IPsec 機能があります。IPsec は、送信者を認証し、送信中のデータ変更を検出し、送信されたデータを暗号化することで通信を保護します。

Cisco ISE は、トンネルモードとトランスポートモードで IPSec をサポートしています。Cisco ISE インターフェイスで IPsec を有効にし、ピアを設定すると、通信を保護するため Cisco ISE と NAD の間に IPsec トンネルが作成されます。

事前共有キーを定義するか、または IPsec 認証に X.509 証明書を使用できます。IPsec は、ギガビット イーサネット 1 ~ 5 のインターフェイスで有効にできます。IPsec は PSN あたり 1 つの Cisco ISE インターフェイスでのみ設定できます。


(注)  

IPSec は、ボンド 1 およびボンド 2 インターフェイスでのみサポートされています。ギガビットイーサネット 0 とボンド 0(ギガビットイーサネット 0 と ギガビットイーサネット 1 インターフェイスがボンディングされている場合)は、Cisco ISE CLI の管理インターフェイスです。IPSec はギガビットイーサネット 0 と ボンド 0 ではサポートされていません。ボンドインターフェイスに関する情報は、Cisco ISE GUI の [IPsec] ページには表示されません。

IPSec は Cisco ISE リリース 2.2 以降でサポートされています。

IPSec の設定、制限、およびサポートの詳細については、『Security Configuration Guide, Cisco IOS XE Cupertino 17.7.x (Catalyst 9300 Switches)』を参照してください。

Cisco ISE リリース 3.4、 以降では、ネイティブ IPSec のみを使用して Cisco ISE PSN ノードで IPSec を設定できます。ネイティブ IPSec の設定方法の詳細については、「ネイティブ IPSec の設定」を参照してください。

レガシー IPSec(ESR)からネイティブ IPSec に移行する方法については、『Cisco ISE Administrator Guide』のCisco ISE でのレガシー IPSec からネイティブ IPSec への移行を参照してください。

Cisco ISE でのネイティブ IPSec の設定

ネイティブ IPSec 設定を使用すると、IKEv1 および IKEv2 プロトコルを使用して、IPSec トンネルを介した Cisco ISE PSN と NAD 間のセキュリティ アソシエーションを確立できます。


(注)  

  • Cisco ISE PSN と NAD の IPSec 設定が同じであることを確認します。

  • PSN ごとに 150 の IPSec トンネル(VTI を含む)をサポートできます。

始める前に

Cisco ISE でネイティブ IPSec を設定するには、次が必要です。

Cisco ISE で、次の手順を実行します。

  • Cisco ISE Essentials ライセンスがあることを確認します。

  • (オプション)[X.509 Certificates] オプションを使用している場合は、ネイティブ IPSec 接続を確立する PSN ごとに IPSec のシステム証明書をアップロードします。[System Certificates] ウィンドウの [IPsec: Use certificate for Native IPsec] チェックボックスをオンにします。また、Cisco ISE IPSec システム証明書と NAD 証明書用の CA 証明書を信頼ストアにアップロードする必要があります。[Trusted Certificates] ウィンドウで、[CA IPsec Trusted Certificate] の [Trust for authentication within ISE] チェックボックスをオンにします。


    重要

    Cisco ISE 3.3 パッチ 2 以降では、関連付けられたすべてのピアおよび中間 CA 証明書に Authority Information Access(AIA)OCSP URL または crlDistributionPoint URL、あるいはその両方が含まれている場合にのみ、[X.509 Certificates] オプションを使用して IPSec トンネルを確立できます。このオプションを引き続き使用できるようにするには、既存の証明書を更新して、AIA OCSP URL または crlDistributionPoint URL、あるいはその両方を含める必要があります。AIA または crlDistributionPoint の情報が証明書に存在しない場合は、[Pre-shared Keys] オプションのみを使用して IPSec トンネルを確立できます。

  • [Network Devices] ウィンドウで、特定の IP アドレスを持つ NAD を追加します。

  • NAD で IPSec を設定します。Cisco ISE PSN と NAD の IPSec 設定は同じである必要があります。

手順

ステップ 1

Cisco ISE GUI で、[Administration] にカーソルを合わせ、[System] > [Settings] > [Protocols] > [IPsec] > [Native IPsec] に移動します。

ステップ 2

[Add] をクリックして、Cisco ISE PSN と NAD 間のセキュリティ アソシエーションを設定します。

ステップ 3

[Node-Specific Settings] セクションで、次の詳細情報を入力します。

  1. [Select Node] ドロップダウンリストから、必要な Cisco ISE PSN を選択します。

  2. [NAD IP Address] フィールドに、対応する値を入力します。

  3. [Native IPsec Interface] ドロップダウンリストから、必要なネイティブ IPSec トラフィック インターフェイスを選択します。

  4. (オプション)[Configure VTI] チェックボックスをオンにして、仮想トンネルインターフェイス(VTI)を設定します。

    • [Remote Tunnel IP address] フィールドに、対応する値を入力します。

    • [Local Tunnel IP address] フィールドに、対応する値を入力します。

    (注)  

     

    Cisco ISE リリース 3.4 へのアップグレード後は、すべての IPSec 接続を無効にしてから Cisco ISE GUI で再度有効にし、既存のすべての VTI トンネルがアクティブであることを確認する必要があります。

ステップ 4

[Authentication Settings] セクションでオプションボタンをクリックして、選択した Cisco ISE PSN ノードに対し、次の認証タイプのいずれかを選択します。

  1. [Pre-shared Key]:このオプションを選択した場合は、事前共有キーを入力し、ネットワークデバイスで同じキーを設定する必要があります。事前共有キーには英数字を使用してください。特殊文字はサポートされていません。ネットワークデバイスで事前共有キーを設定する方法については、ネットワークデバイスのマニュアルを参照してください。

  2. [X.509 Certificates]:[X.509 Certificates] ドロップダウンリストから、IPSec トンネルに必要な X.509 証明書を選択します。

    (注)  

     

    [X.509 Certificates] オプションを選択する前に、必要な証明書(IPSec システム証明書および CA IPSec 信頼証明書)を設定してください。証明書には、SAN(サブジェクト代替名)拡張と DNS が含まれている必要があります。

    相関するネイティブ IPSec 設定が行われた後に証明書が追加または変更された場合は、ネイティブ IPSec 設定を再度保存する必要があります。

ステップ 5

[General Settings] セクションで、以下の詳細を入力します。

  1. [IKE Version] ドロップダウンリストから、必要な IKE バージョンを選択します。

  2. [Mode] ドロップダウンリストから、必要なモードを選択します。

    VTI を設定する場合は、トンネルモードのみがサポートされます。

  3. [ESP/AH Protocol] ドロップダウンリストから、必要なプロトコルを選択します。

  4. (オプション)[IKE Reauth Time] フィールドに、対応する値を入力します。

    [IKE Reauth Time] の値の範囲は 0 ~ 86,400 です。このフィールドに値 0 を入力すると、[IKE Reauth Time] フィールドを無効にできます。

ステップ 6

[Phase One Settings] セクションで、IKE セキュリティ アソシエーション構成のセキュリティ設定を行うと、2つの IKE デーモン間の通信を保護できます。

  1. [Encryption Algorithm] ドロップダウンリストから必要な暗号化アルゴリズムを選択します。

  2. [Hash Algorithm] ドロップダウンリストから、必要なハッシュアルゴリズムを選択します。

  3. [DH Group] ドロップダウンリストから、必要な DH グループを選択します。

  4. (オプション)[Re-key Time] フィールドに、対応する値を入力します。

    [Re-key Time] の値の範囲は 0 ~ 86400 です。このフィールドに値 0 を入力すると、[Re-key Time] フィールドを無効にできます。

ステップ 7

[Phase Two Settings] セクションでは、2 つのエンドポイント間の IP トラフィックを保護するために、ネイティブ IPSec セキュリティ アソシエーション構成のセキュリティ設定を行えます。次の詳細を入力します。

  1. [Encryption Algorithm] ドロップダウンリストから必要な暗号化アルゴリズムを選択します。

  2. [Hash Algorithm] ドロップダウンリストから、必要なハッシュアルゴリズムを選択します。

  3. (オプション)[DH Group] ドロップダウンリストから、必要な DH グループを選択します。

  4. (オプション)[Re-key Time] フィールドに、対応する値を入力します。

    [Re-key Time] の値の範囲は 0 ~ 2,592,000 です。このフィールドに値 0 を入力すると、[Re-key Time] フィールドを無効にできます。

ステップ 8

[Save] をクリックして、選択した Cisco ISE PSN ノードでネイティブ IPSec をアクティブにします。

(注)  

  • ネイティブ IPSec の設定中に、複数の Cisco ISE インターフェイスを同じ IP サブネットに設定しないでください。

  • 既存の IPSec トンネルインターフェイスで IP アドレスが変更された場合は、既存のトンネル設定を再度有効にして、IP アドレスの変更を反映する必要があります。

  • IPSec トンネルの既存のインターフェイスがシャットダウンされた場合、そのトンネルの IPSec ステータスは、次のキー再生成または再認証が行われるまで、[Established] と表示されます。

  • ネイティブ IPSec に関連した監査レポートを表示するには、[Operations] > [Reports] > [Audit] > [Change Configuration Audit] の順に選択します。

Cisco ISE でのネイティブ IPsec 設定の表示と変更

[Native IPsec Configuration] ウィンドウのネイティブ IPsec 設定を使用して、Cisco ISE PSN と NAD の間に確立されたセキュリティ アソシエーションを追加、表示、編集、複製、無効化、および削除できます。

クイックフィルタを使用して、ネイティブ IPsec 設定をフィルタリングできます。

[Native IPsec Configuration] テーブルには、さらに列を追加できます。[Native IPsec Configuration] テーブルの右上にある歯車アイコンをクリックし、[Phase-one Encryption Algorithm]、[Phase-two Encryption Algorithm]、[Phase-one Hash Algorithm] などの列から希望する列を選択し、[Go] をクリックして、選択した列を [Native IPsec Configuration] テーブルに追加します。

Cisco ISE でのレガシー IPSec からネイティブ IPSec への移行

Cisco ISE リリース 3.4 以降、レガシー IPSec(ESR)は Cisco ISE でサポートされません。Cisco ISE のすべての IPSec 設定が、ネイティブ IPSec 設定になります。トンネルとトンネルの設定が失われないように、Cisco ISE リリース 3.4 にアップグレードする前に、レガシー IPSec(ESR)からネイティブ IPSec に移行することをお勧めします。

始める前に

Cisco ISE でレガシー IPSec からネイティブ IPSec に移行するには、次が必要です。

  • レガシー IPSec(ESR)設定のバックアップ

  • レガシー IPSec(ESR)のキーと証明書

手順

ステップ 1

レガシー IPSec(ESR)の設定をバックアップします。

  1. Cisco ISE CLI ESR シェルにログインし、実行中の設定をブートフラッシュのファイルに保存します。

  2. SCP または FTP を使用して、その実行中の設定ファイルをコンピュータにエクスポートします。この保存した ESR 設定ファイルを ESR 設定のバックアップとして使用できます。

ステップ 2

IPSec の設定をエクスポートします。

  1. レガシー IPSec(ESR)からキーと証明書をエクスポートします。Cisco ISE でのキーと証明書のエクスポートの詳細については、「Backup and Restoration of Cisco ISE CA Certificates and Keys」[英語] を参照してください。

  2. Cisco ISE CLI ESR シェルから、show runnning config コマンドを実行し、実行中の設定と暗号化設定を表示します。

  3. レガシー IPSec(ESR)で設定された暗号化設定を、15 および 16 に記載されている参照と比較します。

    15 および 16 は、レガシー IPSec(ESR)の CLI コマンドと、Cisco ISE GUI のネイティブ IPSec 設定でそれらに対応するコマンドとの直接比較を示しています。レガシー IPSec(ESR)の設定情報を使用して、Cisco ISE でネイティブ IPSec を設定できます。

    表 15. レガシー IPSec 設定とネイティブ IPSec 設定の比較:フェーズ 1 の設定

    レガシー IPSec(ESR)での show running config コマンド

    Cisco ISE GUI でのネイティブ IPSec の設定

    • crypto isakmp policy 10

    • encr aes

    • hash sha256

    • authentication pre-share

    • group 14

    • crypto isakmp key cisco123 address 0.0.0.0

    • Authentication Settings: Pre-share

    • Pre-share Key: cisco123

    • IKE Version: IKEv1

    • Phase-One Settings

      • Encryption Algorithm: AES-128

      • Hash Algorithm: SHA-256

      • DH Group: Group-14

    表 16. レガシー IPSec 設定とネイティブ IPSec 設定の比較:フェーズ 2 の設定

    レガシー IPSec(ESR)での show running config コマンド

    Cisco ISE GUI でのネイティブ IPSec の設定

    • crypto IPsec transform-set IPsec-ts esp-aes esp-sha256-hmac mode tunnel

    • crypto map IPsec-crypto-map 10 IPsec-isakmp

    • set peer 192.168.10.1

    • set transform-set IPsec-ts

    • set pfs group14

    • match address 100

    • ESP/AH Protocol: ESP

    • Mode: Tunnel

    • Phase-Two Settings

      • Encryption Algorithm: AES-128

      • Hash Algorithm: SHA-256

      • DH Group: Group-14

ステップ 3

レガシー IPSec(ESR)を無効にします。

  1. Cisco ISE GUI で、[Administration] にカーソルを合わせ、[System] > [Settings] > [Protocols] > [IPsec] > [Legacy IPsec (ESR)] に移動します。

  2. チェックボックスをオンにして、レガシー IPSec(ESR)を無効にする必要がある Cisco ISE ノードを選択します。

  3. [Enable/Disable IPsec for Selected Nodes] フィールドの [Disable] オプションボタンをクリックします。

    これにより、選択したノードの IPSec が無効になり、Cisco ISE が再起動します。

  4. Cisco ISE 管理 CLI から ISE/admin#show esr status コマンドを実行して、選択した Cisco ISE ノードの ESR ステータスが無効になっていることを確認します。次の出力が表示されます。

    % ESR 5921 is disabled.

  5. (オプション)Cisco ISE 管理 CLI から ISE/admin#esr コマンドを実行して、ESR シェルが無効になっているかどうかを確認します。

  6. Cisco ISE 管理 CLI から ISE/admin#show interface コマンドを実行して、Cisco ISE インターフェイスでIP アドレスが復元されているかどうかを確認します。次の出力が表示されます。

    GigabitEthernet 1 flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.10.11 netmask 255.255.255.0 broadcast 192.168.10.255 inet6 fe80::250:56ff:fe92:5f13 prefixlen 64 scopeid 0x20<link>.

ステップ 4

ネイティブ IPSec を有効化します。

  1. Cisco ISE GUI で、[Administration] にカーソルを合わせ、[Network Resources] > [Network Devices]に移動します。

  2. レガシー IPSec(ESR)の設定で以前に選択された NAD を、ネイティブ IPSec 設定でも選択します。

  3. [Edit] をクリックして、NAD の IPSec の詳細を編集します。

  4. [Network Device Group] セクションの [Legacy IPsec (ESR)] ドロップダウンリストから、[No] を選択します。

  5. [Save] をクリックします。

  6. IKEv1 および IKEv2 プロトコルを使用して、IPSec トンネルを介して Cisco ISE PSN と選択した NAD 間のセキュリティ アソシエーションを確立するように、ネイティブ IPSec を設定します。ネイティブ IPSec の設定方法の詳細については、Cisco ISE でのネイティブ IPSec の設定を参照してください。

Mobile Device Manager と Cisco ISE との相互運用性

モバイルデバイス管理(MDM)サーバーはモバイル事業者、サービスプロバイダ、および企業に展開されたモバイルデバイスの保護、モニター、管理、およびサポートを行います。従来、MDM サーバーはモバイルデバイスのみをサポートしていました。一部の MDM サーバーは、ネットワーク内のすべてのタイプのデバイス(携帯電話、タブレット、ラップトップ、デスクトップ)を管理するようになり、統合エンドポイント管理(UEM)サーバーと呼ばれています。MDM サーバーはポリシーサーバーとして機能し、ポリシーサーバーは展開環境のモバイルデバイスにある一部のアプリケーション(電子メールアプリケーションなど)の使用を制御します。Cisco ISE は、ネットワーク認証ポリシーの作成に使用できるさまざまな属性に関する情報について、接続された MDM サーバーにクエリします。

さまざまなベンダーの複数のアクティブな MDM サーバーをネットワークで実行できます。これにより、ロケーションやデバイス タイプなどのデバイスの要因に基づいて、異なる MDM サーバーに異なるエンドポイントをルーティングすることができます。

また、Cisco ISE は、Cisco MDM Server Info API バージョン 2 以降を使用して MDM サーバーと統合し、Cisco AnyConnect 4.1 およびシスコの適応型セキュリティアプライアンス 9.3.2 以降を介して VPN 経由でデバイスがネットワークにアクセスできるようにします。

次の図では、Cisco ISE が適用ポイントで、MDM ポリシーサーバーがポリシー情報ポイントです。Cisco ISE は、MDM サーバーからデータを取得して、完全なソリューションを提供します。

図 3. MDM の Cisco ISE との相互運用性

1 台以上の外部 MDM サーバーと相互運用するように Cisco ISE を設定します。サードパーティのこのタイプの接続を設定することによって、MDM データベースにある詳細情報を使用できます。Cisco ISE は REST API コールを使用して、外部 MDM サーバーから情報を取得します。Cisco ISE はスイッチ、アクセスルータ、ワイヤレスアクセスポイント、その他のネットワークアクセスポイントに適切なアクセス コントロール ポリシーを適用しています。ポリシーにより、Cisco ISE 対応ネットワークにアクセスしているリモートデバイスが強化されます。

Cisco ISE でサポートされる MDM ベンダーのリストについては、サポートされている統合エンドポイント管理およびモバイルデバイス管理サーバーを参照してください。

サポートされているモバイルデバイス管理の使用例

Cisco ISE は外部 MDM サーバーを使用して次の機能を実行します。

  • デバイス登録の管理:ネットワークにアクセスする未登録のエンドポイントは、MDM サーバー上でホストされている登録ページにリダイレクトされます。デバイス登録には、ユーザーロール、デバイスタイプなどが含まれます。

  • デバイスの修復の処理:修復中のエンドポイントには制限付きアクセス権が付与されます。

  • エンドポイントデータの増加:Cisco ISE プロファイリングサービスを使用して収集できない MDM サーバーの情報でエンドポイントデータベースを更新します。Cisco ISE では、[Endpoints] ページに表示できる複数のデバイス属性が使用されます。Cisco ISE の GUI で [メニュー(Menu)] アイコン()をクリックし、次を選択します[ワークセンター(Work Centers)] > [ネットワークアクセス(Network Access)] > [ID(Identities)] > [エンドポイント(Endpoints)]

    次に、使用可能なデバイス属性の例を示します。

  • MDMImei: xx xxxxxx xxxxxx x

  • MDMManufacturer: Apple

  • MDMModel: iPhone

  • MDMOSVersion: iOS 6.0.0

  • MDMPhoneNumber: 5550100

  • MDMSerialNumber: DNPGQZGUDTFx

  • 4 時間に 1 回 MDM サーバーをポーリングし、デバイス コンプライアンス データを確認します。[External MDM Servers] ページでポーリング間隔を設定します。(このページを表示するには、[Menu] アイコン()をクリックし、[Work Centers] > [Network Access] > [Network Resources] > [External MDM Servers] を選択します。

  • MDM サーバーを介したデバイス手順の発行:Cisco ISE は、MDM サーバーを介してユーザーのデバイスに対するリモートアクションを発行します。[Endpoints] ページを使用して、Cisco ISE 管理ポータルからリモートアクションを開始します。このページを表示するには、[Menu] アイコン()をクリックし、[Context Visibility] > [Endpoints] を選択します。MDM サーバーの横にあるチェックボックスをオンにし、[MDM アクション(MDM Actions)] をクリックします。表示されるドロップダウンリストから必要なアクションを選択します。

ベンダー MDM 属性

Cisco ISE で MDM サーバーを設定すると、Cisco ISE は MDM サーバーにデバイス属性情報をクエリし、その情報を MDM システムディクショナリに追加します。次の属性は登録ステータスで使用され、MDM ベンダーで一般的にサポートされています。

Cisco ISE は API を使用して、MDM サーバーに必要なデバイス属性をクエリします。Cisco ISE リリース 3.1 以降のリリースでは、MDM API バージョン 3 がサポートされています。バージョン 3 の API には、MAC アドレスのランダム化を使用するエンドポイントを識別するのに役立つデバイス属性について、Cisco ISE が MDM サーバーにクエリを送信できる API が含まれています。Cisco ISE は MDM サーバーに次の属性をクエリします。

  • GUID:MAC アドレスを使用してデバイスを識別する固有のデバイス識別子。

  • MAC アドレス:UEM または MDM サーバーが特定のデバイス用に記録した MAC アドレスのリスト。1 つのデバイスで最大 5 つの MAC アドレスが共有されます。

MDM サーバーから必須属性の値が提供されない場合、Cisco ISE により次の表に示すデフォルト値が属性フィールドに入力されます。

表 17. MDM 属性と値

属性名

属性ディクショナリ

デフォルト値

UEM または MDM サーバーから予期されるデータ

Microsoft SCCM サーバーから予期されるデータ

DaysSinceLastCheckin

MDM API バージョン 3 以降でサポート

MDM

なし

ユーザーが UEM または MDM サーバーとデバイスを最後にチェックインまたは同期してからの日数。有効な範囲は 1 ~ 365 日です。

ユーザーが SCCM サーバーとデバイスを最後にチェックインまたは同期してからの日数。有効な範囲は 1 ~ 365 日です。

DeviceCompliantStatus

MDM

非準拠(NonCompliant)

[準拠(Compliant)] または [非準拠(NonCompliant)]。

[準拠(Compliant)] または [非準拠(NonCompliant)]。

DeviceRegisterStatus

MDM

UnRegistered

[登録済み(Registered)] または [未登録(UnRegistered)]。

[登録済み(Registered)] または [未登録(UnRegistered)]。

DiskEncryptionStatus

MDM

オフ

[オン(On)] または [オフ(Off)]。

[オン(On)] または [オフ(Off)]。

IMEI

MDM

なし

デバイスの IMEI 番号。

適用なし

JailBrokenStatus

MDM

完全(Unbroken)

[到達可能(Reachable)] または [到達不能(UnReachable)]。

[到達可能(Reachable)] または [到達不能(UnReachable)]。

MDMFailureReason

MDM

なし

デバイス障害の理由。

デバイス障害の理由。

MDMServerName

MDM

なし

サーバの名前。

サーバの名前。

MDMServerReachable

MDM

到達可能

[到達可能(Reachable)] または [到達不能(UnReachable)]。

[到達可能(Reachable)] または [到達不能(UnReachable)]。

MEID

MDM

なし

デバイスの MEID 値。

適用なし

製造元

MDM

なし

デバイスの製造元の名前。

適用なし

モデル

MDM

なし

デバイスモデルの名前。

適用なし

OsVersion

MDM

なし

デバイスのオペレーティングシステムのバージョン。

適用なし

PhoneNumber

MDM

なし

デバイスの電話番号。

適用なし

PinLockStatus

MDM

オフ

[オン(On)] または [オフ(Off)]。

適用なし

SerialNumber

MDM

なし

デバイスのシリアル番号。

適用なし

server-type

MDM

なし

Mobile Device Manager サーバーの MDM。

デスクトップ デバイス マネージャ サーバーの DM。

デスクトップ デバイス マネージャ サーバーの DM。

[UDID]

MDM

なし

デバイスの UDID 番号。

適用なし

UserNotified

MDM

×

[あり(Yes)] または [なし(No)]

適用なし

GUID

MDM API バージョン 3 以降でサポート

ディクショナリ属性ではない

なし

GUID は、デバイスの MAC アドレス、UDID、MEID、または IMEI 値の代わりにデバイスを識別するために使用される固有のデバイス識別子です。GUID テンプレートは ID:MDMServer:GUID:{{DeviceId}} です

GUID 値は、Cisco ISE ではなく MDM サーバーによって生成されて提供されます。

適用なし

Macaddresses

MDM API バージョン 3 以降でサポート

ディクショナリ属性ではない

なし

UEM または MDM サーバーが特定のデバイス用に記録した MAC アドレスのリスト。1 つのデバイスで最大 5 つの MAC アドレスを共有できます。

Macaddresses 値は、Cisco ISE ではなく、MDM サーバーによって生成されて提供されます。

適用なし

ベンダー固有の属性はサポートされていませんが、ERS API を使用してベンダー固有の属性を交換できる場合があります。サポートされている ERS API については、ベンダーのマニュアルを参照してください。

新しい MDM ディクショナリ属性は認証ポリシーで使用可能です。

サポートされている統合エンドポイント管理およびモバイルデバイス管理サーバー

サポートされる MDM サーバーは、次のベンダーの製品です。

  • 絶対値(Absolute)

  • Blackberry:BES

  • Blackberry:Good Secure EMM

  • Cisco Meraki Systems Manager

  • Citrix XenMobile 10.x(オンプレミス)

  • Globo

  • IBM MaaS360

  • Ivanti(旧 MobileIron UEM)、コアおよびクラウド UEM サービス

    Cisco ISE 3.1 におけるランダムおよび変更 MAC アドレスの処理に関するユースケースでは、MobileIron Core 11.3.0.0 ビルド 24 以降のリリースを統合し、GUID 値を受け取る必要があります。


    (注)  

    一部のバージョンの MobileIron は Cisco ISE では動作しません。MobileIron はこの問題を認識しており、修正があります。詳細については、MobileIron 社までお問い合わせください。

  • JAMF Casper Suite

  • Microsoft Endpoint Configuration Manager

  • Microsoft Endpoint Manager Intune

  • Mosyle

  • SAP Afaria

  • Sophos

  • SOTI MobiControl

  • Symantec

  • Tangoe

  • VMware Workspace ONE(以前の AirWatch)

  • 42Gears

サーバーを Cisco ISE と統合するためにエンドポイント管理サーバーで実行する必要がある設定については、「Integrate UEM and MDM Servers With Cisco ISE」を参照してください。

ISE コミュニティ リソース

How To: Meraki EMM / MDM Integration with ISE

モバイルデバイス管理サーバーで使用されるポート

次の表に、相互に通信ができるように Cisco ISE と MDM サーバー間で開く必要のあるポートを示します。MDM エージェントとサーバーで開く必要があるポートのリストについては、MDM ベンダーのドキュメントを参照してください。

表 18. MDM サーバーにより使用されるポート

MDM サーバー

ポート

MobileIron

443

Citrix XenMobile 10.x(オンプレミス)

443

Blackberry:Good Secure EMM

19005

VMware Workspace ONE(以前の AirWatch)

443

SAP Afaria

443

IBM MaaS360

443

Cisco Meraki

443

Microsoft Intune

80 および 443

Microsoft SCCM

80 および 443

モバイルデバイス管理の統合プロセスフロー

  1. ユーザーはデバイスを SSID に関連付けます。

  2. Cisco ISE は、MDM サーバーに対して API コールを実行します。

  3. この API コールは、ユーザーのデバイスとデバイスのポスチャステータスのリストを戻します。


    (注)  

    入力パラメータは、エンドポイントデバイスの MAC アドレスです。オフプレミスの Apple iOS デバイス(VPN 経由で Cisco ISE に接続するデバイス)の場合、入力パラメータは UDID です。

  4. ユーザーのデバイスがこのリストにない場合、デバイスが登録されていないことを意味します。Cisco ISE は、Cisco ISE にリダイレクトされる許可要求を NAD に送信します。ユーザーが MDM サーバーページに表示されます。

  5. Cisco ISE は、MDM を使用してデバイスをプロビジョニングし、デバイスを登録するための適切なウィンドウをユーザーに表示します。

  6. ユーザーは MDM サーバーにデバイスを登録し、MDM サーバーは自動リダイレクションまたは手動のブラウザリフレッシュによって Cisco ISE に要求をリダイレクトします。

  7. Cisco ISE は MDM サーバーに対して再度ポスチャ ステータスのクエリを実行します。

  8. ユーザーのデバイスが MDM サーバーで設定されているポスチャ(コンプライアンス)ポリシーに準拠していない場合、デバイスがポリシーに準拠していないことがユーザーに通知されます。ユーザーは、デバイスがポリシーに準拠していることを確認するために必要なアクションを実行する必要があります。

  9. ユーザーのデバイスがポリシーに準拠すると、MDM のサーバーは内部テーブルのデバイスのステータスを更新します。

  10. ここでユーザーがブラウザをリフレッシュすると、制御が Cisco ISE に返されます。

  11. Cisco ISE はコンプライアンス情報を取得するために MDM サーバーを 4 時間ごとにポーリングし、適切な認可変更(CoA)を発行します。ポーリング間隔を設定できます。また、Cisco ISE は 5 分ごとに MDM サーバーをチェックして使用できるかどうかを確認します。

図 4. Cisco ISE での MDM プロセスフロー
Cisco ISE での MDM プロセスフロー。

(注)  

一度に 1 つの MDM サーバーに登録できるデバイスは 1 台のみです。別のベンダーから MDM サービスに同じデバイスを登録する場合、デバイスから前のベンダーのプロファイルを削除する必要があります。MDM サービスは通常、「企業ワイプ」を提供し、これはデバイスからベンダーの設定のみを削除します(デバイス全体ではありません)。ユーザーはこのファイルを削除することもできます。たとえば、iOS デバイスで、[Settings] > [General] > [Device management] ウィンドウの順に移動し、[Remove Management] をクリックすることができます。または、Cisco ISE の MyDevices ポータルに移動し、[企業ワイプ(Corporate Wipe)] をクリックすることができます。

モバイルデバイス管理サーバーを使用した、ランダムで変化する MAC アドレスの処理

ランダムで変化する MAC アドレスの使用に起因する問題を回避するために、MAC アドレスではなく一意のデバイス識別子を使用して MDM サーバーに接続されているエンドポイントを識別するように Cisco ISE を設定します。プライバシー対策として、モバイルデバイスでは接続先の SSID ごとにランダムおよび変更 MAC アドレスを使用することが増えています。一部のデスクトップ オペレーティング システムは、ユーザーが定期的に MAC アドレスをランダム化する機能も提供しています。これは、エンドポイントから MDM サーバーと Cisco ISE に異なる MAC アドレスが提示されることを意味します。その結果、MDM サーバーと Cisco ISE が統合され、エンドポイントに対してアクションが開始されると、2 つのシステムでエンドポイント ID が異なるために問題が発生します。

この問題を回避するために、MAC アドレスではなく固有のデバイス識別子を使用するように Cisco ISE を設定できます。エンドポイントが MDM サーバーに登録されると、GUID 値を含む証明書が MDM サーバーからエンドポイントに送信されます。エンドポイントでは、Cisco ISE での認証にこの証明書が使用されます。Cisco ISE は、証明書からエンドポイントの GUID を受信します。Cisco ISE と MDM サーバー間のすべての通信で、GUID を使用してエンドポイントが識別され、2 つのシステム間の精度と一貫性が確保されます。

GUID は、証明書ベースの認証方式でのみ使用できることに注意してください。SAN URI または CN フィールドに GUID を含めるには、MDM または UEM サーバーによって発行された証明書を設定する必要があります。GUID の SAN URI フィールドを設定することを推奨します。Active Directory に接続されたエンドポイントの認証に同じ証明書が使用される場合、CN フィールドに GUID が存在すると問題が発生する可能性があります。

ユーザー名とパスワードのみを使用する基本認証方式では、GUID ベースのソリューションを利用できません。

EAP-TLS プロトコルを介した MAC アドレスと GUID によるエンドポイントの再認証の場合、コンテキスト可視性サービスを更新するための 1 秒あたりのトランザクション(TPS)は、1 秒あたり 12 ~ 15 エンドポイントです。

GUID データの収集と管理を容易にするために、Cisco ISE MDM API(Cisco ISE MDM API バージョン3)が更新されました。

接続された MDM サーバーの GUID の設定

Cisco ISE にすでに接続している MDM サーバーが最新の Cisco ISE MDM API をサポートし、GUID 情報を送信できるかどうかを確認するには、次の手順を実行します。

  1. Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして選択します。 [管理(Administration)] > [ネットワークリソース(Network Resources)] > [外部 MDM(External MDM)] を選択します。

  2. [MDM サーバー(MDM Servers)] ウィンドウで、更新する MDM サーバーのチェックボックスをオンにし、[編集(Edit)] をクリックします。

  3. [Test Connection] をクリックします。

  4. MDM サーバーが Cisco ISE MDM API バージョン 3 をサポートしている場合は、[デバイス識別子(Device Identifiers)] という新しいセクションが表示されます。

    次のオプションのうち有効にする 1 つ以上のチェックボックスをオンにします。

    • [証明書:SAN URI、GUID(Cert - SAN URI, GUID)]

    • [証明書:CN、GUID(Cert - CN, GUID)]

    • [レガシー MAC アドレス(Legacy MAC Address)]

    オプションをドラッグアンドドロップして、優先順に並べ替えることができます。たとえば、[Cert - SAN URI, GUID] を最初に配置し、次に [Cert - CN, GUID] を配置すると、Cisco ISE は最初にエンドポイントの SAN URI 属性と GUID 属性について MDM サーバーにクエリします。要求された属性が使用できない場合、Cisco ISE はエンドポイントの共通名と GUID 属性をクエリします。

  5. [Save] をクリックします。

pxGrid による GUID の共有

Cisco ISE は、pxGrid を介してこの GUID 情報を他のシスコのソリューションと共有できます。たとえば、MDM サーバーから受信した GUID は、pxGrid トピックを使用して展開内の Catalyst Center と共有できます。

Cisco ISE によるモバイルデバイス管理サーバーのセットアップ

Cisco ISE で MDM サーバーを設定するには、次の高レベル タスクを実行します。

Procedure

Step 1

Azure にポリシー管理ノード( PAN)の証明書をインポートする Intune を除き、Cisco ISE に MDM のサーバー証明書をインポートします。

Step 2

Mobile Device Manager の定義を作成します。

Step 3

Cisco WLC で ACL を設定します。

Step 4

MDM サーバーに未登録のデバイスをリダイレクトする認証プロファイルを設定します。

Step 5

ネットワークに複数の MDM サーバーがある場合は、ベンダーごとに個別の認証プロファイルを設定します。

Step 6

MDM 使用例の許可ポリシー ルールを設定します。

Cisco ISE へのモバイルデバイス管理サーバー証明書のインポート

Cisco ISE を MDM サーバーに接続するには、Cisco ISE 信頼できる証明書ストアに MDM サーバー証明書をインポートする必要があります。MDM サーバーに CA 署名付き証明書がある場合は、Cisco ISE 信頼できる証明書ストアにルート証明書をインポートする必要があります。


(注)  
Microsoft Azure の場合は、Cisco ISE 証明書を Azure にインポートします。「Cisco ISE へのモバイルデバイス管理サーバーとしての Microsoft Intune の接続」を参照してください。

手順

ステップ 1

MDM サーバー証明書を MDM サーバーからエクスポートして、ローカル マシンに保存します。

ステップ 2

Cisco ISE GUI で、[メニュー(Menu)] アイコン()をクリックし、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] > [インポート(Import)] を選択します。

ステップ 3

[証明書ストアへの新しい証明書のインポート(Import a new Certificate into the Certificate Store)] ウィンドウで、[ファイルの選択(Choose File)] をクリックして、MDM サーバーから取得した MDM サーバー証明書を選択します。

ステップ 4

[フレンドリ名(Friendly Name)] フィールドに証明書の名前を入力します。

ステップ 5

[ISE 内の認証用に信頼する(Trust for authentication within ISE)] チェックボックスをオンにします。

ステップ 6

[送信(Submit)] をクリックします。

ステップ 7

[証明書ストア(Certificate Store)] ウィンドウに新たに追加した MDM サーバー証明書のリストが表示されることを確認します。

Cisco ISE でのデバイス管理サーバーの定義

Cisco ISE が必要なサーバーと通信できるように、Cisco ISE でモバイルデバイス管理サーバーとデスクトップデバイス管理サーバーを定義します。サーバーとの通信に使用される認証タイプ、Cisco ISE がデバイス管理サーバーのデバイス情報を要求する頻度などを設定できます。

モバイル管理サーバーを定義するには、Cisco ISE でのモバイルデバイス管理サーバーの設定を参照してください。

Microsoft System Center Configuration Manager(SCCM)サーバーを定義するには、「Cisco ISE への新しいデスクトップ デバイス マネージャ サーバーの追加」を参照してください。

Cisco ISE でのモバイルデバイス管理サーバーの設定

Cisco ISE にエンドポイントの情報を提供する最初の MDM サーバーは、[コンテキストの可視性(Context Visibility)] > [エンドポイント(Endpoints)] ウィンドウのエンドポイント情報に表示されます。エンドポイントが別の MDM サーバーに接続しても、MDM サーバー情報は自動的に更新されません。[コンテキストの可視性(Context Visibility)] ウィンドウからエンドポイントを削除してから、[コンテキストの可視性(Context Visibility)] ウィンドウに更新された情報を表示するためには、エンドポイントを MDM サーバーに再接続する必要があります。

次の画像は、このタスク中に操作する必要がある Cisco ISE GUI フィールドを示しています。画像中の番号は、次のタスクに含まれる手順の番号に対応しています。

図 5. Cisco ISE での MDM サーバーの追加
MDM サーバーを Cisco ISE と統合するために Cisco ISE で設定する必要があるさまざまなフィールド。

手順

ステップ 1

Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして選択します。 [管理(Administration)] > [ネットワークリソース(Network Resources)] > [外部 MDM(External MDM)]

ステップ 2

[MDM/UEM統合(MDM / UEM Integrations)] ウィンドウで、[追加(Add)] をクリックします。

ステップ 3

追加する MDM サーバーの名前と説明を対応するフィールドに入力します。

ステップ 4

[サーバータイプ(Server Type)] ドロップダウンリストから [Mobile Device Manager] を選択します。

ステップ 5

[認証タイプ(Authentication Type)] ドロップダウンリストから、[基本(Basic)] または [OAuth:クライアントのクレデンシャル(OAuth - Client Credentials)] のいずれかを選択します。

[基本(Basic)] 認証タイプを選択すると、次のフィールドが表示されます。

  • [ホスト名/IPアドレス(Host Name/IP Address)]:MDM サーバーのホスト名または IP アドレスを入力します。

  • [ポート(Port)]:MDM サーバーとの接続に使用するポートを指定します。通常は 443 です。

  • [インスタンス名(Instance Name)]:この MDM サーバーに複数のインスタンスがある場合に、接続するインスタンスを入力します。

  • [ユーザー名(Username)]:MDM サーバーへの接続に使用する必要があるユーザー名を入力します。

  • [パスワード(Password)]:MDM サーバーへの接続に使用するパスワードを入力します。

[OAuth:クライアントクレデンシャル(OAuth - Client Credentials)] 認証タイプを選択すると、次のフィールドが表示されます。

  • [自動検出(Auto Discovery)] ドロップダウンリストから、[はい(Yes)] または [いいえ(No)] を選択します。

  • [Auto Discovery URL]:Microsoft Azure 管理ポータルの [Microsoft Azure AD Graph API Endpoint] の値を入力します。この URL は、アプリケーションが Graph API を使用して Microsoft Entra ID のデータに直接アクセスできるエンドポイントです。詳細については、『MDM および UEM サーバーと Cisco ISE の統合』を参照してください。

  • [クライアント ID(Client ID)]:アプリケーションの固有識別子。アプリケーションが、Microsoft Azure AD Graph API、Microsoft Intune API などの他のアプリケーションのデータにアクセスする場合に、この属性を使用します。

  • [トークン発行URL(Token Issuing URL)]:[OAuth2.0認証エンドポイント(Oauth2.0 Authorization Endpoint)] の値を入力します。これは、Cisco ISE が OAuth2.0 を使用してアクセストークンを取得するエンドポイントです。

  • [トークン対象者(Token Audience)]:トークンが対象とする受信者リソースであり、公開されている既知の Microsoft Intune API の APP ID URL です。

[ポーリング間隔(Polling Interval)]:Cisco ISE が MDM サーバーをポーリングして非準拠エンドポイントを確認するためのポーリング間隔(分単位)を入力します。MDM サーバー上のポーリング間隔に一致するようにこの値を設定します。有効な範囲は 15 ~ 1440 分です。デフォルト値は 240 分です。多数の非準拠エンドポイントが原因で発生する可能性のあるパフォーマンスへの影響を最小限に抑えるために、運用環境ではポーリング間隔を 60 分より長く設定することをお勧めします。

ISE は、MAC アドレス/GUID ベースの非準拠 API コールを介して非準拠デバイス情報のリストを取得します(例:)

これは一括取得 API であるため、ISE は MDM サーバーによって提供されるページング情報を使用します。

ISE は、非準拠 API 応答に基づいてエンドポイントレコードの準拠に関する情報を更新します。ISE は、これらの非準拠デバイスでアクティブセッションを検出すると、再認証します。

ISE は、非準拠 API コールを最大で 200 の要求または 20,000 のエンドポイントレコードのいずれか早い方に制限します。

ポーリング間隔を 0 に設定すると、Cisco ISE は MDM サーバーへのポーリングを無効にします。

(注)  

 

Cisco ISE は、非準拠エンドポイントからの API コールを 200 に制限します。外部 MDM サーバーが 20000 を超える非準拠エンドポイントから要求を受信した場合、外部 MDM サーバーのポーリング間隔は自動的に 0 に設定されます。また、Cisco ISE に次のアラームが表示されます。

MDM コンプライアンスポーリングが無効:定期的なコンプライアンスポーリングで、膨大な非準拠デバイス情報を受信しました(MDM Compliance Polling Disabled: Reason is Periodic Compliance Polling received huge non-compliance device information)。

[MDM/UEMデバイス コンプライアンス タイムアウト(MDM / UEM Device Compliance Timeout)]:Cisco ISE が MDM または UEM サーバーへのクエリ後に MDM または UEM サーバーからの応答を待機するタイムアウト期間をミリ秒単位で入力します。デフォルト値は 30000 ミリ秒です。1 台の MDM サーバーまたは UEM サーバーのみにクエリを実行する場合は、1 ~ 30000 ミリ秒の値を設定できます。デバイスのコンプライアンス API を使用して複数の MDM サーバーまたは UEM サーバーにクエリを実行する場合は、300 ミリ秒未満の値を設定して、システムパフォーマンスへの影響を回避する必要があります。

ステップ 6

[ステータス(Status)] ドロップダウンリストから [有効(Enabled)] を選択します。

ステップ 7

MDM サーバーが Cisco ISE に接続されているかどうかを確認するには、[接続のテスト(Test Connection)] をクリックします。[接続のテスト(Test Connection)] は、すべての使用例(ベースラインの取得、デバイス情報の取得など)の権限を確認するためのものではないことに注意してください。これらは、サーバーが Cisco ISE に追加されるときに検証されます。

図 6. Cisco ISE での MDM サーバーの追加
Cisco ISE の [MDM] ウィンドウの [Device Identifier] セクションでは、MDM サーバーにクエリを実行するための一意のデバイス識別子を選択できます。

設定する MDM サーバーが Cisco ISE MDM API バージョン 3 をサポートしており、属性 GUID を Cisco ISE と共有できる場合は、[デバイス識別子(Device Identifiers)] 領域が表示されます。詳細については、モバイルデバイス管理サーバーを使用した、ランダムで変化する MAC アドレスの処理を参照してください。

有効にする次のオプションの 1 つ以上のチェックボックスをオンにし、各オプションを適切な場所にドラッグアンドドロップして、優先順に配置します。

  • [証明書:SAN URI、GUID(Cert - SAN URI, GUID)]

  • [証明書:CN、GUID(Cert - CN, GUID)]

  • [レガシー MAC アドレス(Legacy MAC Address)]

ステップ 8

[Save] をクリックします。

全般的な MDM 設定または UEM 設定の構成

Cisco ISE が複数の MDM サーバーまたは UEM サーバーを照会し、エンドポイントが接続されている MDM サーバーまたは UEM サーバーを識別できるように MDM 設定または UEM 設定を構成します。

たとえば、新しいエンドポイントが Intune に登録されている場合、Cisco ISE でエンドポイントの Intune を評価するには、認証ポリシーにデバイスタイプやユーザータイプといったいくつかの条件が必要になります。

[複数のMDM/UEM統合のクエリ(Query Multiple MDM / UEM Integrations)] オプションを有効にすると、Cisco ISE は認証ポリシーにリストされているすべての MDM サーバーにクエリを実行し、エンドポイントが登録されているサーバーを識別します。

図 7. 複数の MDM サーバーを含む認証ポリシーの例
MDM サーバーのポリシーセットに含まれる内容の例を示すサンプル認証ポリシー。

手順

ステップ 1

Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして選択します。 [管理(Administration)] > [システム(System)] > [設定(Settings)] > [全般的なMDM/UEM設定(General MDM / UEM Settings)] を選択します。

ステップ 2

[全般的な MDM/UEM 設定(General MDM / UEM Settings)] ウィンドウで、[複数の MDM/UEM 統合のクエリ(Query Multiple MDM / UEM Integrations)] をクリックします。

(注)  

 

デフォルトでは、[複数の MDM/UEM 統合のクエリ(Query Multiple MDM / UEM Integrations)] オプションは無効になっています。

ステップ 3

次のいずれかのオプションを選択します。

  • [エンドポイントが構成済みのプライマリMDM/UEMサーバーに登録されていない(Endpoint is not Registered with the Configured Primary MDM/UEM Server)]:次のシナリオで、Cisco ISE が認証ポリシーで指定されたすべての MDM または UEM サーバーからコンプライアンス情報を取得するようにする場合は、このオプションを選択します。

    • エンドポイントの登録情報がプライマリ MDM または UEM サーバーに存在しない。

    • エンドポイントが初めてネットワークにアクセスしている。

    • エンドポイントが Cisco ISE に保存されていない。

    • エンドポイントが登録されている MDM または UEM サーバーがわからない。

    MDM サーバーとのエンドポイントの関連付けは、認証ポリシーの MDM サーバー名の条件に基づいてチェックされます。

  • [Primary MDM/UEM Server Sends Error/exception Response]:プライマリ MDM または UEM サーバーがエラーメッセージを送信した場合、または到達不能な場合に、Cisco ISE が認証ポリシーで指定された他の MDM または UEM サーバーにクエリを実行するようにする場合は、このオプションを選択します。

ステップ 4

[Save] をクリックします。

MDM または UEM サーバーのタイムアウトの設定

手順

ステップ 1

Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして選択します。 [管理(Administration)] > [ネットワークリソース(Network Resources)] > [外部 MDM(External MDM)] を選択します。

ステップ 2

[MDM/UEM統合(MDM / UEM Integrations)] ウィンドウで、タイムアウト値を変更する MDM サーバーまたは UEM サーバーの横のチェックボックスをオンにします。

ステップ 3

[タイムアウトの変更(Change Timeout)] をクリックします。これは [MDM / UEM Device Compliance Timeout] で、Cisco ISE が MDM または UEM サーバーへのクエリ後に MDM または UEM サーバーからの応答を待機する期間です。

ステップ 4

[接続タイムアウト(ミリ秒)(Connection Timeout (milliseconds))] フィールドにタイムアウト値を入力します。

(注)  

 

MDM サーバーまたは UEM サーバーのデフォルトのタイムアウトは、30000 ミリ秒です。

ステップ 5

[変更(Change)] をクリックします。

Microsoft Intune と Microsoft SCCM 用の Cisco ISE MDM サポート

  • Microsoft Intune:Cisco ISE は、モバイルデバイスを管理するパートナー MDM サーバーとして Microsoft Intune のデバイス管理をサポートしています。

    Microsoft Intune サーバーの管理モバイルデバイスの OAuth 2.0 クライアント アプリケーションとして Cisco ISE を設定します。Cisco ISE は、Azure からトークンを取得し、Cisco ISE Intune アプリケーションとのセッションを確立します。

    Microsoft Intune がクライアント アプリケーションとどのように通信するかの詳細については、https://msdn.microsoft.com/en-us/library/azure/dn645543.aspx を参照してください。

  • デスクトップ デバイス マネージャ(Microsoft SCCM):Cisco ISE は Microsoft System Center Configuration Manager(SCCM)を Windows コンピュータの管理用パートナー MDM サーバーとしてサポートしています。

    Microsoft SCCM 統合のパフォーマンスとスケーラビリティの情報については、「Size and Scale Numbers for Configuration Manager」を参照してください。Microsoft は、コンポーネント オブジェクト モデル(COM)に基づく Windows Management Instrumentation(WMI)インターフェイスを使用しているため、スケーラビリティに制限があります。

Microsoft SCCM のワークフロー

Cisco ISE はデバイスが登録されているかどうかについて、Microsoft SCCM サーバーから情報を取得します。エンドポイントが登録されている場合、Cisco ISE はその準拠のステータスをチェックします。次の図に、Microsoft SCCM により管理されるデバイスのワークフローを示します。

図 8. SCCM のワークフロー

Microsoft SCCM のワークフロー

デバイスをネットワークに接続し、Microsoft SCCM ポリシーが一致すると、Cisco ISE はコンプライアンスと最終ログイン(チェックイン)時間を取得するために、関連する SCCM サーバーを照会します。この情報を使用して、Cisco ISE は [エンドポイント(Endpoints)] のリストのデバイスのコンプライアンス ステータスと lastCheckinTimeStamp を更新します。

デバイスが準拠していないか、または Microsoft SCCM サーバーに登録されていない場合にリダイレクトプロファイルが認証ポリシーで使用されている場合、デバイスが準拠していないか、または Microsoft SCCM に登録されていないというメッセージがユーザーに表示されます。ユーザーがメッセージを受け取った後、Cisco ISE は Microsoft SCCM 登録サイトへ CoA を発行できます。認証ポリシーとプロファイルに基づいてユーザーにアクセスを許可します。

Microsoft SCCM サーバー接続の監視

Microsoft SCCM のポーリング間隔は設定できません。

Cisco ISE は、Microsoft SCCM サーバーとの接続を検証し、Cisco ISE が Microsoft SCCM サーバーへの接続を失うと MDM ハートビートジョブを実行し、アラームを発生させます。ハートビートジョブの間隔は設定できません。

Microsoft System Center Configuration Manager のポリシー設定例

Microsoft SCCM をサポートするために次の新しいディクショナリエントリを使用します。

  • MDM.DaysSinceLastCheckin:ユーザーが最後に確認するか、または Microsoft SCCM とデバイスを同期してからの日数。値は 1 ~ 365 日の範囲になります。

  • MDM.UserNotified:有効な値は Y または N です。この値は、デバイスが登録されていないことをユーザーに通知したかどうかを示します。その後で、ユーザーにネットワークへの制限付きアクセスを許可してから、登録ポータルにリダイレクトしたり、ユーザーによるネットワークへのアクセスを拒否したりできます。

  • MDM.ServerType:有効な値は、MDM サーバーの場合は MDM、デスクトップデバイス管理の場合は DM です。

次に、Microsoft SCCM をサポートするポリシーセットの例を示します。

ポリシー名

条件(IF)

解決策

SCCM_Comp

Wireless_802.1X AND

MDM:MDMServerName EQUALS SccmServer1 AND

MDM:DeviceRegisterStatus EQUALS Registered

PermitAccess

SCCM_NonComp_Notify

Wireless_802.1X AND

MDM:MDMServerName EQUALS SccmServer1 AND

MDM:DeviceCompliantStatus EQUALS NonCompliant AND

MDM:UserNotified EQUALS 28

PermitAccess

SCCM_NonComp_Days

Wireless_802.1X AND

MDM:MDMServerName EQUALS SccmServer1 AND

MDM:MDMDeviceCompliantStatus EQUALS Registered AND

MDM:DaysSinceLastCheckin EQUALS 28

SCCMRedirect

SCCM_NonComp

Wireless_802.1X AND

MDM:MDMServerName EQUALS SccmServer1 AND

MDM:DeviceCompliantStatus EQUALS NonCompliant AND

MDM:DeviceRegisterStatus EQUALS Registered

SCCMRedirect

SCCM_UnReg_Notify

Wireless_802.1X AND

MDM:DeviceRegisterStatus EQUALS Registered AND

MDM:UserNotified EQUALS Yes

PermitAccess

Cisco ISE 用の Microsoft System Center Configuration Manager サーバーの設定

Cisco ISE は、Windows Management Instrumentation(WMI)を使用して Microsoft SCCM サーバーと通信します。Microsoft SCCM を実行している Windows サーバーで WMI を設定します。


(注)  

Cisco ISE 統合に使用するユーザーアカウントは、次のいずれかの条件を満たしている必要があります。

  • SMS 管理ユーザーグループのメンバーである。

  • WMI 名前空間で SMS オブジェクトと同じアクセス許可がある。 
    root\sms\site_<sitecode>
    サイトコードは Microsoft SCCM サイトです。

Microsoft Active Directory ユーザーがドメイン管理グループに属しているときの権限の設定

Windows 2008 R2、Windows Server 2012 および Windows Server 2012 R2 の場合、ドメイン管理グループは、デフォルトで Windows オペレーティングシステムの特定のレジストリ キーを完全に制御することはできません。Microsoft Active Directory の管理者は、Microsoft Active Directory ユーザーに次のレジストリキーに対する完全制御権限を提供する必要があります。

  • HKEY_CLASSES_ROOT\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}

  • HKLM\Software\Classes\Wow6432Node\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}

次の Microsoft Active Directory バージョンでは、レジストリを変更する必要はありません。

  • Windows 2003

  • Windows 2003 R2

  • Windows 2008。

完全な制御を許可するには、まず Microsoft Active Directory 管理者がキーの所有権を取得する必要があります。

手順

ステップ 1

キーアイコンを右クリックし、[所有者(Owner)] タブを選択します。

ステップ 2

[アクセス許可(Permissions)] をクリックします。

ステップ 3

[詳細設定(Advanced)] をクリックします。

ドメイン管理グループに属していない Microsoft Active Directory ユーザー の権限

Windows 2012 R2 の場合は、Microsoft AD ユーザーに次のレジストリキーに対する完全制御権限を提供します。

  • HKEY_CLASSES_ROOT\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}

  • HKLM\Software\Classes\Wow6432Node\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}

Windows PowerShell で次のコマンドを使用して、レジストリキーに完全な権限が付与されているかどうかを確認します。

  • get-acl -path "Microsoft.PowerShell.Core\Registry::HKEY_CLASSES_ROOT\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}" | format-list

  • get-acl -path "hklm:\Software\Classes\Wow6432Node\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}" | format-list

Microsoft AD ユーザーがドメイン管理者グループではなく、ドメインユーザーグループに所属している場合は、次の権限が必要です。

これらの権限は、次のバージョンの Microsoft AD でのみ必要となります。

  • Windows 2003

  • Windows 2003 R2

  • Windows 2008。

  • Windows 2008 R2

  • Windows 2012

  • Windows 2012 R2

  • Windows 2016

ドメインコントローラへの Cisco ISE の接続を許可するためにレジストリキーを追加

Cisco ISE がドメインユーザーとして接続し、ログイン認証イベントを取得できるようにするには、ドメインコントローラにいくつかのレジストリ キーを手動で追加する必要があります。エージェントはドメインコントローラまたはドメイン内のマシンには必要ありません。

次のレジストリのスクリプトは追加するキーを示しています。これをコピーしてテキスト ファイルに貼り付け、.reg の拡張子でファイルを保存し、ファイルをダブルクリックすることでレジストリの変更を行うことができます。レジストリ キーを追加するには、ルート キーのオーナーである必要があります。 

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}]
"AppID"="{76A64158-CB41-11D1-8B02-00600806D9B6}"

[HKEY_CLASSES_ROOT\AppID\{76A64158-CB41-11D1-8B02-00600806D9B6}]
"DllSurrogate"="  "

[HKEY_CLASSES_ROOT\Wow6432Node\AppID\{76A64158-CB41-11D1-8B02-00600806D9B6}]
"DllSurrogate"="  "

DllSurrogate キーの値には、2 つのスペースが含まれていることを確認します。レジストリを手動で更新する場合は、2 つのスペースのみを含める必要があり、引用符は含めないでください。レジストリを手動で更新する際は、AppID、DllSurrogate、およびその値に引用符が含まれていないことを確認してください。

前述のスクリプトに示すように、ファイルの末尾の空の行を含めて、空の行は保持します。

Windows コマンドプロンプトで次のコマンドを使用して、レジストリキーが作成され、正しい値が設定されているかどうかを確認します。

  • reg query "HKEY_CLASSES_ROOT\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}" /f "{76A64158-CB41-11D1-8B02-00600806D9B6}" /e

  • reg query HKEY_CLASSES_ROOT\AppID\{76A64158-CB41-11D1-8B02-00600806D9B6} /f "  " /e
  • reg query HKEY_CLASSES_ROOT\Wow6432Node\AppID\{76A64158-CB41-11D1-8B02-00600806D9B6} /f "  " /e

ドメイン コントローラで DCOM を使用するための権限

Cisco ISE パッシブ ID サービスに使用される Microsoft Active Directory ユーザーには、ドメイン コントローラ サーバーで DCOM を使用する権限が必要です。dcomcnfg コマンドラインツールを使用して権限を設定します。

手順

ステップ 1

コマンド ラインから dcomcnfg ツールを実行します。

ステップ 2

[コンポーネントサービス(Component Services)] を展開します。

ステップ 3

[コンピュータ(Computers)] > [マイコンピュータ(My Computer)] を展開します。

ステップ 4

メニューバーで [アクション(Action)] を選択し、[プロパティ(Properties)] をクリックして [COM セキュリティ(COM Security)] をクリックします。

ステップ 5

Cisco ISE がアクセスと起動の両方に使用するアカウントには許可権限が必要です。4 つのオプション([アクセス権限Access Permissions)] と [起動およびアクティブ化の権限(Launch and Activation Permissions)] の両方に対する [制限の編集(Edit Limits)] [デフォルトの編集(Edit Default)])のすべてに Microsoft Active Directory ユーザーを追加します。

ステップ 6

[アクセス権限(Access Permissions)] と [起動およびアクティブ化の権限(Launch and Activation Permissions)] の両方に対してローカルアクセスとリモートアクセスをすべて許可します。

図 9. [アクセス権限(Access Permissions)] に対するローカルアクアセスとリモートアクセス
図 10. [起動およびアクティブ化の権限(Launch and Activation Permissions)] のローカルアクセスとリモートアクセス

WMI ルート/CIMv2 名前空間にアクセスするための権限の設定

デフォルトでは、Microsoft Active Directory ユーザーには実行メソッドおよびリモートの有効化のための権限がありません。wmimgmt.msc MMC コンソールを使用してアクセス権を付与できます。

手順

ステップ 1

[スタート(Start)] > [実行(Run)] を選択し、wmimgmt.msc と入力します。

ステップ 2

[WMI Control] を右クリックし、[プロパティ] をクリックします。

ステップ 3

[セキュリティ(Security)] タブで、[ルート(Root)] を展開し、[CIMV2] を選択します。

ステップ 4

[セキュリティ(Security)] をクリックします。

ステップ 5

次のイメージに示すように、Microsoft Active Directory ユーザーを追加し、必要な権限を設定します。

WMI アクセス用にファイアウォール ポートを開く

Microsoft Active Directory ドメインコントローラのファイアウォール ソフトウェアは、WMI へのアクセスをブロックすることがあります。ファイアウォールをオフにするか、または次のポートへの特定の IP アドレス(Cisco ISE の IP アドレス)のアクセスを許可することができます。

  • TCP 135:一般的な RPC ポート。非同期 RPC コールを実行すると、このポートでリスニングしているサービスが、この要求を処理できるコンポーネントが使用しているポートをクライアントに通知します。

  • UDP 138:NetBIOS データグラムサービス

  • TCP 139:NetBIOS セッションサービス

  • TCP 445:サーバーメッセージブロック(SMB)


    (注)  

    Cisco ISE は SMB 2.0 をサポートしています。

数値の大きいポートは動的に割り当てられるか、または手動で設定できます。ターゲットとして %SystemRoot%\System32\dllhost.exe を追加することを推奨します。このプログラムは、ポートを動的に管理します。

すべてのファイアウォールルールを、特定の IP アドレス(Cisco ISE の IP)に割り当てることができます。

デスクトップ デバイス マネージャ サーバーでのエンドポイント コンプライアンスの設定基準ポリシーの選択

Cisco ISE に追加されたデスクトップ デバイス マネージャ サーバー(Microsoft SCCM サーバーなど)で使用可能な基準ポリシーを表示し、ネットワークアクセスのエンドポイント コンプライアンスを確認するための特定の基準ポリシーを選択できます。デスクトップ デバイス マネージャ サーバーで有効化および展開された構成基準ポリシーは、Cisco ISE 管理ポータルで確認できます。


(注)  

デスクトップデバイス管理サーバーで自分のユーザー権限を確認し、基準ポリシーとコンプライアンス情報を Cisco ISE に送信するために必要なセキュリティ権限があることを確認します。デスクトップ デバイス マネージャの [セキュリティ(Security)] > [管理者ユーザー(Administrator Users)] フォルダに管理者を追加する必要があります。

Cisco ISE GUI でデスクトップ デバイス マネージャ サーバーの基準ポリシーを表示するには、[メニュー(Menu)] アイコン()をクリックし、[管理(Administration)] > [ネットワークリソース(Network Resources)] > [外部 MDM(External MDM)] > [MDM サーバー(MDM Servers)] を選択します。

新しいデスクトップ デバイス マネージャ サーバーを Cisco ISE に追加し、構成基準ポリシーを選択します。

  1. [MDM サーバー(MDM Servers)] ウィンドウで、[追加(Add)] をクリックします。

  2. [サーバータイプ(Server Type)] ドロップダウンリストから、[デスクトップデバイスマネージャ(Desktop Device Manager)] を選択します。

  3. 次のフィールドに必要な詳細情報を入力します。

    • [ホスト名/IP アドレス(Host Name / IP Address)]:Microsoft SCCM サーバーのホスト名または IP アドレスを入力します。

    • [インスタンス名(Instance Name)]:Microsoft SCCM サーバーに複数のインスタンスがある場合、接続するインスタンスを入力します。

    • [ユーザー名(Username)] :Microsoft SCCM サーバーへの接続に使用する必要があるユーザー名を入力します。

    • [パスワード(Password)]:Microsoft SCCM サーバーへの接続に使用する必要があるパスワードを入力します。

    • [準拠デバイス再認証クエリの時間間隔(Time Interval For Compliance Device ReAuth Query)]:エンドポイントが認証または再認証されるときに、Cisco ISE はそのエンドポイントの MDM 変数を取得するのにキャッシュを使用します。キャッシュされた値の経過時間がこのフィールドで設定された値よりも大きい場合、Cisco ISE は新しい値を取得するために MDM サーバーに新しいデバイスクエリを送信します。準拠ステータスが変更されると、Cisco ISE は適切な CoA をトリガーします。

      有効な範囲は 1 ~ 10080 分です。デフォルト値は 1 分です。

  4. [ステータス(Status)] ドロップダウンリストで [有効化(Enabled)] を選択します。

サーバーが Cisco ISE に接続されていることを確認するには、[テスト接続(Test Connection)] ボタンをクリックします。このサーバーで使用可能な構成基準ポリシーを表示するには、[保存して続行(Save&Continue)] をクリックします。新しいウィンドウが開き、基準ポリシーの名前と ID のリストが表示されます。

既存のデスクトップ デバイス マネージャ サーバーから構成基準ポリシーを選択する

[MDM サーバー(MDM Servers)] ウィンドウで、目的のサーバーのチェックボックスをオンにし、[編集(Edit)] をクリックします。このサーバーで使用可能な基準ポリシーのリストを表示するには、[構成基準(Configuration Baselines)] タブをクリックします。

デフォルトでは、すべての基準ポリシーが選択されています。[名前(Name)] の横にあるチェックボックスをオフにして、すべての基準ポリシーの選択を解除します。ポリシーの名前の横にあるチェックボックスをオンにして、必要な基準ポリシーを選択します。[Save] をクリックします。

エンドポイントのコンプライアンスは、選択した構成基準ポリシーに基づいてチェックされます。

デスクトップ デバイス マネージャ サーバーの構成基準ポリシーに変更がある場合は、Cisco ISE で更新する変更に対して [構成基準(Configuration Baselines)] タブの [今すぐ更新(Update Now)] ボタンをクリックします。

Windows エンドポイントのデバイス識別子の設定

デスクトップ デバイス マネージャ サーバーは、特定の属性を識別子として使用して、ネットワークに接続するエンドポイントを確認します。エンドポイントの MAC アドレスは、最も一般的に使用される識別子です。ただし、ドングル、ドッキングステーション、または MAC アドレスのランダム化技術が使用されている場合、MAC アドレスは最も信頼性の高い識別子ではありません。

ホスト名を識別子として使用するように選択できるようになりました。ホスト名は、証明書で使用可能な共通名(CN)または SAN-DNS 属性から取得されます。エンドポイントの証明書ベースの認証は、ホスト名を使用して基準ポリシーのコンプライアンスをチェックするために必須です。

デスクトップ デバイス マネージャ サーバーのデバイス識別子を設定するには、[サーバー構成(Server Configuration)] タブに移動します。メインメニューから、[管理(Administration)] > [ネットワークリソース(Network Resources)] > [外部 MDM(External MDM)] > [MDM サーバー(MDM Servers)] > [編集(Edit)] を選択します。

[デバイス識別子の構成(Device Identifier Configurations)] セクションでは、次の順序で識別子がデフォルトで有効になっています。

  1. レガシー MAC アドレス

  2. Cert:CN、ホスト名

  3. Cert:SAN-DNS、ホスト名

識別子の選択を解除するには、その識別子のチェックボックスをオフにします。属性をドラッグして、検証のためにサーバーで使用される順序を並べ替えることができます。

デバイス識別子の構成の確認

ホスト名が検証に使用される場合、GUID は Cisco ISE によってエンドポイントに割り当てられます。[ライブログ(Live Logs)] ウィンドウを表示し(Cisco ISE GUI で、[メニュー(Menu)] アイコン()をクリックし、[操作(Operations)] > [RADIUS] > [ライブログ(Live Logs)] を選択して、GUID エントリの詳細を確認します。

未登録のデバイスのリダイレクトのための許可プロファイルの設定

各外部 MDM サーバーの未登録のデバイスをリダイレクトするには、Cisco ISE で許可プロファイルを設定する必要があります。

始める前に

  • Cisco ISE で MDM サーバー定義を作成したことを確認します。Cisco ISE を MDM サーバーと正常に統合できてはじめて、MDM ディクショナリは読み込まれます。その後、MDM ディクショナリ属性を使用して許可ポリシーを作成できます。

  • 未登録のデバイスをリダイレクトするために、Cisco WLC の ACL を設定します。

  • インターネット接続にプロキシを使用していて、MDM サーバーが内部ネットワークの一部である場合は、プロキシバイパスリストに MDM サーバー名または IP アドレスを追加する必要があります。Cisco ISE の GUI で、[メニュー(Menu)] アイコン()をクリックし、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロキシ(Proxy)]このアクションを実行します。

手順

ステップ 1

Cisco ISE の GUI で、[メニュー(Menu)] アイコン()をクリックし、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [認証(Authorization)] > [認証プロファイル(Authorization Profiles)] > [追加(Add)]

ステップ 2

準拠していないまたは登録されていない未登録デバイスをリダイレクトするための許可プロファイル作成します。

ステップ 3

MDM サーバー名と一致する認証プロファイルの名前を [名前(Name)] フィールドに入力します。

ステップ 4

[アクセスタイプ(Access Type)] ドロップダウンリストから [ACCESS_ACCEPT] を選択します。

ステップ 5

[共通タスク(Common Tasks)] セクションで、[Web リダイレクション(Web Redirection)] チェックボックスをオンにし、ドロップダウンリストから [MDM リダイレクト(MDM Redirect)] を選択します。

ステップ 6

ワイヤレス LAN コントローラ上で設定した ACL の名前を [ACL] ドロップダウンリストから選択します。

ステップ 7

[値(Value)] ドロップダウンリストから MDM ポータルを選択します。

ステップ 8

使用する MDM サーバーを [MDM サーバー(MDM Server)] ドロップダウンリストから選択します。

ステップ 9

[送信(Submit)] をクリックします。

次のタスク

MDM の許可ポリシー ルールを設定します

MDM 使用例の許可ポリシー ルールの設定

Cisco ISE で認証ポリシールールを設定して、MDM 設定を完了します。

始める前に

  • Cisco ISE 証明書ストアに MDM サーバー証明書を追加します。

  • Cisco ISE で MDM サーバー定義を作成したことを確認します。正常に MDM サーバーと Cisco ISE を統合した後にのみ、MDM ディクショナリが入力され、MDM ディクショナリ属性を使用して認証ポリシーを作成できます。

  • 未登録または非準拠のデバイスをリダイレクトするための ACL を Cisco WLC で設定します。

手順

ステップ 1

Cisco ISE の GUI で [メニュー(Menu)] アイコン()をクリックし、次を選択し[ポリシー(Policy)] > [ポリシーセット(Policy Sets)]、認証ポリシールールを表示するポリシーセットを展開します。

ステップ 2

次のルールを追加します。

  • [MDM_Un_Registered_Non_Compliant]:MDM サーバーに登録されていないか、MDM ポリシーに準拠していないデバイスの場合。要求がこのルールに一致すると、ユーザーに Cisco ISE MDM ウィンドウが表示され、MDM サーバーでのデバイスの登録に関する情報が示されます。

    (注)  

     

    このポリシーでは、MDM.MDMServerName 条件を使用しないでください。この条件を使用すると、エンドポイントが MDM サーバーに登録されている場合にのみ、エンドポイントはポリシーに一致します。

  • [PERMIT]:デバイスが Cisco ISE と MDM に登録されており、Cisco ISE と MDM のポリシーに準拠している場合、Cisco ISE で設定されたアクセス コントロール ポリシーに基づいてネットワークへのアクセス権が付与されます。

ステップ 3

[Save] をクリックします。

MDM との相互運用性を確保するためのワイヤレスコントローラでの ACL の設定

未登録のデバイスおよび証明書プロビジョニングをリダイレクトするために認証ポリシーで使用する ACL をワイヤレスコントローラで設定します。ACL は次の順序にする必要があります。

手順

ステップ 1

サーバーからクライアントへのすべての発信トラフィックを許可します。

ステップ 2

(任意)トラブルシューティングのためにクライアントからサーバーへの ICMP 着信トラフィックを許可します。

ステップ 3

未登録および非準拠のデバイスが MDM エージェントをダウンロードし、コンプライアンスチェックに進むように MDM サーバーへのアクセスを許可します。

ステップ 4

Web ポータルおよびサプリカント用 Cisco ISE、および証明書プロビジョニングフローに対するクライアントからサーバーへのすべての着信トラフィックを許可します。

ステップ 5

名前解決のためにクライアントからサーバーへの着信ドメインネームシステム(DNS)トラフィックを許可します。

ステップ 6

IP アドレスのためにクライアントからサーバーへの着信 DHCP トラフィックを許可します。

ステップ 7

Cisco ISE へのリダイレクションのための、クライアントからサーバーへの企業リソースに対するすべての着信トラフィックを(会社のポリシーに応じて)拒否します。

ステップ 8

(任意)残りのトラフィックを許可します。

次の例では、未登録のデバイスを BYOD フローにリダイレクトするための ACL を示しています。この例では、Cisco ISE IP アドレスは 10.35.50.165 で、企業のネットワークの IP アドレスは 192.168.0.0 および 172.16.0.0(リダイレクト用)で、MDM サーバーサブネットは 204.8.168.0 です。

図 11. 登録されていないデバイスをリダイレクトするための ACL
この画像は、未登録デバイスを BYOD ワークフローにリダイレクトするために使用できる ACL の例を示しています。

デバイスのワイプまたはロック

Cisco ISE では、紛失したデバイスのワイプや PIN ロックの有効化が可能です。この操作は、[エンドポイント(Endpoints)] ウィンドウで設定できます。

手順

ステップ 1

Cisco ISE の GUI で [メニュー(Menu)] アイコン()をクリックし、次を選択します[ワークセンター(Work Centers)] > [ネットワークアクセス(Network Access)] > [ID(Identities)] > [エンドポイント(Endpoints)]

ステップ 2

ワイプまたはロックするデバイスの横にあるチェックボックスをオンにします。

ステップ 3

[MDM アクセス(MDM Access)] ドロップダウンリストから、次のオプションのいずれかを選択します。

  • [完全ワイプ(Full Wipe)]:このオプションを使用すると、MDM ベンダーに応じて、企業アプリケーションが削除されるか、またはデバイスが工場出荷時の設定にリセットされます。

  • [企業ワイプ(Corporate Wipe)]:このオプションを使用すると、MDM サーバーポリシーで設定したアプリケーションが削除されます。

  • [PIN ロック(PIN Lock)]:このオプションを使用すると、デバイスがロックされます。

ステップ 4

[はい(Yes)] をクリックして、デバイスをワイプまたはロックします。

モバイルデバイス管理レポートの表示

Cisco ISE では、MDM サーバー定義のすべての追加、更新、および削除を記録します。これらのイベントは、選択された期間での任意のシステム管理者によるすべての設定変更を表示する [変更設定監査(Change Configuration Audit)] レポートに表示できます。

Cisco ISE の GUIで、[メニュー(Menu)] アイコン()をクリックし、[操作(Operations)] > [レポート(Reports)] > [レポート(Reports)] > [監査] > [変更設定監査()] を選択します。確認する MDM サーバーの [Object Type] 列と [Object Name] 列のエントリを確認し、対応する [Event] の値をクリックして設定イベントの詳細を表示します。

モバイルデバイス管理ログの表示

[デバッグウィザード(Debug Wizard)] ウィンドウを使用して、モバイルデバイス管理のログメッセージを表示できます。Cisco ISE GUI で、[メニュー(Menu)] アイコン()をクリックし、[操作(Operations)] > [トラブルシュート(Troubleshoot)] > [デバッグウィザード(Degug Wizard)] > [デバッグログの構成(Debug Log Configuration)] を選択します。Cisco ISE ノードの横にあるオプションボタンをクリックし、[編集(Edit)] をクリックします。表示された新しいウィンドウで、コンポーネント名 external-mdm の横にあるオプションボタンをクリックし、[編集(Edit)] をクリックします。デフォルトのレベルは [情報(INFO)] です。対応する [ログレベル(Log Level)] ドロップダウンリストから [デバッグ(DEBUG)] または [トレース(TRACE)] を選択し、[保存(Save)] をクリックします。

Cisco Private 5G をサービスとして構成する

Cisco ISE リリース 3.2 以降、Cisco ISE は Cisco Private 5G およびセッション管理機能(SMF)ソフトウェアをサポートします。Cisco ISE は、RADIUS 認証のみおよびアカウンティングフローで実装される 5G 認証のポリシー設定を提供します。SMF との通信は、RADIUS プロトコルを使用して行われます。Cisco ISE と Cisco Private 5G 間の通信は、OpenAPI および ERS API を使用して行われます。

始める前に

Cisco ISE でサービスとして有効化する前に、ネットワークで Cisco Private 5G を展開しておく必要があります。

手順

ステップ 1

Cisco Private 5G オンプレミス Cisco ISE プロキシで Cisco ISE を RADIUS サーバーとして設定します。

ステップ 2

ERS と Open API を有効にします。

ERS と Open API を有効にすると、API を使用するか、Cisco ISE GUI から、後続の手順を実行できます。

ステップ 3

Cisco ISE で 5G を有効にします。

  1. Cisco ISE GUI で、[メニュー(Menu)] アイコン()をクリックし、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [認証(Authentication)] > [許可されるプロトコル(Allowed Protocols)]を選択します。

  2. 新しい許可されるプロトコルサービスを追加するか、既存のサービスを変更します。

    (注)  

     

    新しいサービスを作成することは必須ではありません。5G エンドポイントにも既存のデフォルト ネットワーク アクセス サービスを使用できます。

  3. ネットワーク要件に従って設定を変更します。

  4. [5G] チェックボックスをオンにします。

  5. [保存(Save)] をクリックします。

たとえば、次の図に示す許可されるプロトコルサービスを作成して、5G トラフィックに一致させることができます。
図 12. 5G の許可されるプロトコルサービス
ネットワークの 5G トラフィック用に作成可能な許可されるプロトコルサービス。

ステップ 4

Cisco ISE で SMF をネットワークデバイスとして設定します。

ステップ 5

新しい ID グループを作成するか、既存の ID グループを使用します。5G ユーザーは、Cisco ISE 内部データベースにサブスクライバとして保存されます。

ステップ 6

ユーザー ID グループを作成するか、Cisco ISE のデフォルトのユーザー ID グループから選択します。

ステップ 7

新しいポリシーセットを作成するか、既存のポリシーを使用します。

Conditions StudioNetwork Access.UseCase 属性に、新しい値 FiveG が入力されます。UseCase 属性にも基づいてポリシーを作成できるようになりました。

図 13. 条件ライブラリの UseCase 属性の場所

新しい組み込み条件である 5G は、Conditions Studioライブラリでも利用できます。この条件では、5G エンドポイントの照合に使用できる Cisco·Cisco-5g-serving-network-name 属性を使用します。

図 14. 5G の条件

このポリシーには、以前に作成した、許可されるプロトコル サービス プロファイルをプッシュできます。

図 15. 5G のポリシーセット

ステップ 8

Cisco Private 5G は、5GaaS API を使用して、サブスクライバ(セルラーユーザー)とユーザー機器(モバイルデバイス)を Cisco ISE に追加します。

たとえば、次の図に示すように、エンドポイント ID グループには追加されたサブスクライバが表示されます。
図 16. 5G サブスクライバのエンドポイント ID グループ
ライブログライブセッションをチェックして、5G セッションログを表示し、必要に応じてトラブルシューティングを行うことができます。ライブセッションには、ユースケース(デフォルトでは無効)という新しい列があり、5G フィルタを使用して 5G エンドポイントをフィルタ処理できます。エンドポイント列でプレフィックス IMEI: を使用して、5G エンドポイントをフィルタ処理することもできます。
図 17. 5G ライブログ
図 18. 5G ライブセッション

Cisco Private 5G をサービスとして構成する

Cisco ISE リリース 3.2 以降、Cisco ISE は Cisco Private 5G およびセッション管理機能(SMF)ソフトウェアをサポートします。Cisco ISE は、RADIUS 認証のみおよびアカウンティングフローで実装される 5G 認証のポリシー設定を提供します。SMF との通信は、RADIUS プロトコルを使用して行われます。Cisco ISE と Cisco Private 5G 間の通信は、OpenAPI および ERS API を使用して行われます。

始める前に

Cisco ISE でサービスとして有効化する前に、ネットワークで Cisco Private 5G を展開しておく必要があります。

手順

ステップ 1

Cisco Private 5G オンプレミス Cisco ISE プロキシで Cisco ISE を RADIUS サーバーとして設定します。

ステップ 2

ERS と Open API を有効にします。

ERS と Open API を有効にすると、API を使用するか、Cisco ISE GUI から、後続の手順を実行できます。

ステップ 3

Cisco ISE で 5G を有効にします。

  1. Cisco ISE GUI で、[メニュー(Menu)] アイコン()をクリックし、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [認証(Authentication)] > [許可されるプロトコル(Allowed Protocols)]を選択します。

  2. 新しい許可されるプロトコルサービスを追加するか、既存のサービスを変更します。

    (注)  

     

    新しいサービスを作成することは必須ではありません。5G エンドポイントにも既存のデフォルト ネットワーク アクセス サービスを使用できます。

  3. ネットワーク要件に従って設定を変更します。

  4. [5G] チェックボックスをオンにします。

  5. [保存(Save)] をクリックします。

たとえば、次の図に示す許可されるプロトコルサービスを作成して、5G トラフィックに一致させることができます。
図 19. 5G の許可されるプロトコルサービス
ネットワークの 5G トラフィック用に作成可能な許可されるプロトコルサービス。

ステップ 4

Cisco ISE で SMF をネットワークデバイスとして設定します。

ステップ 5

新しい ID グループを作成するか、既存の ID グループを使用します。5G ユーザーは、Cisco ISE 内部データベースにサブスクライバとして保存されます。

ステップ 6

ユーザー ID グループを作成するか、Cisco ISE のデフォルトのユーザー ID グループから選択します。

ステップ 7

新しいポリシーセットを作成するか、既存のポリシーを使用します。

Conditions StudioNetwork Access.UseCase 属性に、新しい値 FiveG が入力されます。UseCase 属性にも基づいてポリシーを作成できるようになりました。

図 20. 条件ライブラリの UseCase 属性の場所

新しい組み込み条件である 5G は、Conditions Studioライブラリでも利用できます。この条件では、5G エンドポイントの照合に使用できる Cisco·Cisco-5g-serving-network-name 属性を使用します。

図 21. 5G の条件

このポリシーには、以前に作成した、許可されるプロトコル サービス プロファイルをプッシュできます。

図 22. 5G のポリシーセット

ステップ 8

Cisco Private 5G は、5GaaS API を使用して、サブスクライバ(セルラーユーザー)とユーザー機器(モバイルデバイス)を Cisco ISE に追加します。

たとえば、次の図に示すように、エンドポイント ID グループには追加されたサブスクライバが表示されます。
図 23. 5G サブスクライバのエンドポイント ID グループ
ライブログライブセッションをチェックして、5G セッションログを表示し、必要に応じてトラブルシューティングを行うことができます。ライブセッションには、ユースケース(デフォルトでは無効)という新しい列があり、5G フィルタを使用して 5G エンドポイントをフィルタ処理できます。エンドポイント列でプレフィックス IMEI: を使用して、5G エンドポイントをフィルタ処理することもできます。
図 24. 5G ライブログ
図 25. 5G ライブセッション