新機能および変更された機能に関する情報
次の表に、新機能および変更された機能の要約と参照先を示します。
|
機能 |
説明 |
||
|---|---|---|---|
|
Cisco ISE リリース 3.4 パッチ 1 |
|||
|
参加ポイントの専用リソースの割り当て |
Cisco ISE リリース 3.4 パッチ 1 以降では、各 PSN の参加ポイントのリソースを予約できます。このリソースセグメンテーションは、参加ポイント間のリソース共有によって引き起こされるパフォーマンスへの影響を軽減するのに役立ちます。 「参加ポイントの専用リソースの割り当て」を参照してください。 |
||
|
pxGrid Direct を使用したディクショナリ属性の認可変更(CoA) |
Cisco ISE リリース 3.4 パッチ 1 以降では、pxGrid ダイレクトを使用したディクショナリ属性の認可変更(CoA)を有効にできます。CoA 対応ディクショナリ属性の値が変更されると、影響を受けるエンドポイントで CoA ポートバウンスまたは再認証が実行されます。 pxGrid Direct を使用したディクショナリ属性の認可変更(CoA)を参照してください。 |
||
|
ダイナミック再認証スケジューラ |
Cisco ISE リリース 3.4 パッチ 1 リリース以降では、各セッションに事前に定義された有効期限の日時を設定することでアクセス制御を強化できます。指定された有効期限の間のみセッションがアクティブになるため、不正アクセスを防止できます。 「ダイナミック再認証スケジューラ」を参照してください。 |
||
|
FIPS モードでの PAP/ASCII の有効化 |
Cisco ISE リリース 3.4 パッチ 1 以降、Cisco ISE では FIPS モードで PAP/ASCII プロトコルを設定できます。FIPS モードで PAP/ASCII プロトコルをサポートするようネットワークデバイスを設定する際に、RADIUS DTLS 設定を有効にできます。 |
||
|
統合カタログを使用した pxGrid Cloud アプリケーションの統合 |
Cisco ISE リリース 3.4 パッチ 1 以降では、Cisco ISE のネイティブ統合カタログインターフェイスを使用して pxGrid Cloud アプリケーションと統合でき、統合エクスペリエンスが簡素化されます。pxGrid Cloud アプリケーションは、統合カタログ()を使用して Cisco ISE と統合できます。 統合カタログを参照してください。 |
||
|
インバウンドおよびアウトバウンド SGT ドメインルール |
インバウンド SGT ドメインルールを作成して、着信 SGT バインディングを特定の SGT ドメインにマップできます。ルールが定義されていない場合、ワークロードコネクタから受信したバインディングはデフォルトの SGT ドメインに送信されます。 アウトバウンド SGT ドメインルールを作成して、特定の SGT バインディングのターゲット宛先を指定できます。 インバウンド SGT ドメインルールの追加およびアウトバウンド SGT ドメインルールの追加を参照してください。 |
||
|
ポータルのカスタマイズのプレビュー |
[Portal Page Customization] ページで変更を加えた後、[Render Preview] をクリックしてコンテンツをプレビューする必要があります。更新されたコンテンツを表示するたびに [Refresh Preview] をクリックする必要があります。 ポータルのカスタマイズのプレビューを参照してください。 |
||
|
グローバル セキュリティ グループの ACI のサポート |
Cisco ISE リリース 3.4 と Cisco ISE リリース 3.4 パッチ 1 とでは、外部 EPG(EEPG)の命名規則が変更されています。Cisco ISE リリース 3.4 では、EEPG の名前は「ISE_SGT_<SGT_TAG>」という形式で、「ISE_SGT_」という固定プレフィックスの後にセキュリティグループタグ (SGT) が続きます。一方 Cisco ISE リリース 3.4 パッチ 1 では、この形式が「ISE_<SG_NAME>」に変更されます。「ISE_」が固定プレフィックスで、その後にセキュリティグループ(SG)名が続きます。
|
||
|
ワークロード分類ルール |
ワークロード分類ルールを使用してワークロードを分類し、プライマリおよびセカンダリ SGT をワークロードに割り当てることができます。プライマリ SGT は pxGrid セッショントピックで “Security Group” とマークされ、SXP を介して IP から SGT へのマッピングを公開するために使用されます。セカンダリ SGT は、“Secondary Security Groups” という名前の順序付き配列として pxGrid セッショントピックに含まれています。 ワークロード分類ルールの追加を参照してください。 |
||
|
ワークロードコネクタ |
共通ポリシーは、ドメインに関係なく、一貫したアクセスポリシーとセグメンテーションポリシーを構築し、適用するためのフレームワークです。ワークロードコネクタは、このフレームワークで使用され、オンプレミスおよびクラウドのデータセンターとのセキュアな接続を構築し、アプリケーション ワークロード コンテキストをインポートし、そのコンテキストを SGT に正規化し、ポリシーを構築するために他のドメインとコンテキストを共有します。 「ワークロードコネクタ」を参照してください。 |
||
|
ワークロード ライブ セッション |
[Workloads Live Session] ページには、ライブ ワークロード セッションに関する詳細が表示されます。このページを表示するには、Cisco ISE GUI で [Menu] アイコンをクリックし、[Operations] > [Workloads] > [Workloads Live Session] の順に選択します。 ワークロード ライブ セッションを参照してください。 |
||
|
Cisco ISE リリース 3.4 |
|||
|
Cisco ISE のレジリエンシ |
Cisco ISE リリース 3.4 以降、Cisco ISE のレジリエンシを維持するために、過剰な RADIUS ネットワークデバイス通信アラームと過剰なエンドポイント通信アラームが追加されています。 「Cisco ISE アラーム」を参照してください。 |
||
|
デバッグログの設定 |
各デバッグログコンポーネントに許可される最大ファイルサイズと最大ファイル数を設定できます。これらの値をデフォルトにリセットする必要がある日時を指定することもできます。 デバッグログの設定を参照してください。 |
||
|
URL プッシャ pxGrid Direct コネクタタイプの作成 |
Cisco ISE GUI を使用して、pxGrid Direct コネクタを作成できます。pxGrid Direct コネクタタイプには、[URL Fetcher] と [URL Pusher] の 2 種類があります。Cisco ISE リリース 3.4 以降では、[URL Fetcher] の pxGrid Direct コネクタタイプまたは [URL Pusher] の pxGrid Direct コネクタタイプのいずれかを選択できます。pxGrid Direct プッシュ API を使用して、エンドポイントデータを Cisco ISE にプッシュすることができます。 Cisco ISE リリース 3.4 以降では、配列を含むコネクタ属性を使用して認証プロファイルを設定することもできます。 URL プッシャコネクタタイプの作成を参照してください。 |
||
| レガシー IPSec(ESR)のサポート終了 |
Cisco ISE リリース 3.4 以降、レガシー IPSec(ESR)は Cisco ISE でサポートされません。Cisco ISE のすべての IPSec 設定が、ネイティブ IPSec 設定になります。トンネルとトンネルの設定が失われないように、Cisco ISE リリース にアップグレードする前に、レガシー IPSec(ESR)からネイティブ IPSec に移行することをお勧めします。 |
||
|
優先順位によるドメインコントローラの選択の強制 |
優先ドメインコントローラのフェールオーバーが発生した場合に、Cisco ISE のドメインコントローラ選択をオーバーライドすることを選択できるようになりました。このオプションを有効にすると、Cisco ISE は既存の優先順位値をオーバーライドし、左から右への入力順序で優先リスト内の次のドメインコントローラを選択します。 優先ドメインコントローラの設定を参照してください。 |
||
|
強化されたパスワード セキュリティ |
Cisco ISE では、次の機能拡張によりパスワードのセキュリティが向上しています。
|
||
|
「今すぐ同期」を使用したオンデマンドの pxGrid 直接データ同期 |
Cisco ISE リリース 3.4 以降では、[Sync Now] 機能を使用して、pxGrid Direct コネクタのデータのオンデマンド同期を実行できます。完全同期と増分同期の両方をオンデマンドで実行できます。オンデマンドのデータ同期は、Cisco ISE GUI または OpenAPI を使用して実行できます。 「今すぐ同期」を使用したオンデマンドの pxGrid 直接データ同期を参照してください。 |
||
|
Duo 接続の作成後にアイデンティティ同期を追加するオプション |
Duo 接続の作成中に Active Directory と Duo 間のユーザーデータ同期を設定しない場合は、[Identity Sync] ページで [Skip] をクリックします。[Summary] ページに直接移動します。 Duo 接続を作成した後は、いつでもアイデンティティ同期設定を追加できます。 多要素認証のための Cisco Duo と Cisco ISE の統合を参照してください。 |
||
|
ユーザーごとの動的アクセス制御リストの動作変更 |
ユーザーごとの動的アクセス制御リスト(DACL)を使用して認証プロファイルを評価するときに、DACL が Cisco ISE 設定に存在しない場合、認証は失敗し、Cisco ISE はそのユーザーに Access-Reject 応答を送信します。この情報は、[Live Log Details] ページと [AAA Diagnostics] レポートで確認できます。Cisco ISE リリース 3.4 以降では、Cisco ISE ダッシュボードの [Alarms] ダッシュレットにも認証失敗アラームが表示されます。 ダウンロード可能 ACLを参照してください。 |
||
|
複数の Cisco Application Centric Infrastructure コネクタのサポート |
Cisco ISE を使用すると、複数のドメイン間で一貫したアクセスポリシーを作成して適用できます。Cisco ISE では、Cisco Application Centric Infrastructure(Cisco ACI)を使用して SGT および SGT バインディングを共有できます。また、Cisco ACI からエンドポイントグループ(EPG)、エンドポイント セキュリティ グループ(ESG)、およびエンドポイント情報を学習することもできます。Cisco ISE に複数の Cisco ACI 接続を追加できます。 Cisco ISE で学習したコンテキストを管理し、Cisco ISE コネクタと Cisco ACI コネクタ間のコンテキストフローを最適化するルールを設定できます。 Cisco ISE は、Cisco ACI マルチテナントおよび Multi-Virtual Routing and Forwarding の展開をサポートしています。複数の接続を介してマルチファブリックを定義できます。この統合では、マルチポッドおよび個々の Cisco ACI ファブリックがサポートされます。 |
||
|
認証ポリシーのディクショナリグループ内の配列に対する pxGrid Direct のサポート |
Cisco ISE リリース 3.4 以降では、ディクショナリ属性として配列とともに pxGrid Direct コネクタのデータを使用して、認証ポリシーを設定することもできます。ポリシーの設定時には、「Contains」または「Matches」の演算子(正規表現の場合)を使用する必要があります。配列がある場合、「Equals」と「In」の演算子は機能しません。「AND」または「OR」条件を使用して、複数の属性をネストできます。 許可ポリシーの設定を参照してください。 |
||
|
RADIUS 抑制およびレポートの機能拡張 |
Cisco ISE リリース 3.4 以降、RADIUS の抑制とレポートに関する機能が拡張され、RADIUS()設定の運用が容易になっています。 「RADIUS 設定」を参照してください。 |
||
|
トランスポートゲートウェイのサポート終了 |
Cisco ISE ではトランスポートゲートウェイがサポートされなくなりました。次の Cisco ISE 機能では、接続方法としてトランスポートゲートウェイが使用されていました。
|
||
|
Cisco ISE ワークフローの TLS 1.3 サポート |
Cisco ISE リリース 3.4 では、TLS 1.3 が次のワークフローでピアと通信できます。
セキュリティ設定の構成を参照してください。 |
||
フィードバック