新機能および変更された機能に関する情報


(注)  

Cisco ISE リリース 3.5 および対応するガイドは、段階的なロールアウトで入手できます。ソフトウェアの一般提供が開始されるまでは、シスコのアカウントマネージャに連絡して、このリリースをリクエストしてください。段階的なロールアウトが完了すると、Cisco ISE リリース 3.5 および対応するガイドがすべてのお客様に一般提供されます。

次の表に、新機能および変更された機能の要約と参照先を示します。

表 1. Cisco ISE リリース 3.5 の新機能および変更された機能

機能

説明

Cisco ISE リリース 3.5

クラウド多要素分類プロファイラ

Cisco ISE のクラウド多要素分類(MFC)プロファイラは、観測された属性を分析のためにクラウドと共有することで、エンドポイント分類を強化します。これによりエンドポイントのラベリング、グループ化、およびポリシーの適用が改善され、スタンドアロン展開と分散型展開の両方がサポートされています。

クラウドで Cisco ISE インスタンスを登録するには、[Administration] > [FeedService] > [Cloud Multi-Factor Classification Profiler] に移動し、リージョンを選択して [Enable] をクリックします。その後、シスコの認証ポータルにリダイレクトされ、シスコのログイン情報の入力を求められます。

「クラウド多要素分類プロファイラ」を参照してください。

pxGrid Direct の OAuth2 認証のサポート

Cisco pxGrid Direct は、Cisco ISE GUI を介して URL フェッチャ pxGrid Direct コネクタを作成するときに、[Basic]、[API Key]、および [OAuth2] の 3 つの認証方式をサポートするようになりました。

URL フェッチャコネクタタイプの作成を参照してください。

プロファイラ トラフィック プローブのモニタリング

トラフィックの多い展開での Cisco ISE プロファイラのレジリエンスと安定性を向上させるために、新しい拡張機能が導入されています。

  • 通信量の多いエンドポイントを管理するための新しいメカニズムにより、事前定義されたクールオフ期間にわたってプローブ関連の処理が一時停止され、システムの負荷が軽減されます。

  • プロファイラキューの使用率が、定義されたしきい値(中程度、高、最大負荷)に基づいて管理されます。

    これにより、重要なタスクが優先され、負荷のピーク時もシステムの安定性が維持されます。

プロファイラ トラフィック プローブのモニタリング」を参照してください。

低速な外部リソースと過剰な TACACS+ アクティビティの新しいアラーム

Cisco ISE でのシステムモニタリングとトラブルシューティングを強化するために、5 つの新しいアラームが導入されました。

これらのアラームは、外部システムでの遅延や TACACS+ デバイスからの過剰な通信トラフィックなどの問題を特定して対処するために役立ちます。

  • High ping latency between ISE nodes

  • Slow Active Directory detected

  • Slow LDAP connection detected

  • Slow ODBC connection detected

  • Excessive TACACS communication detected

Cisco ISE アラーム」を参照してください。

有効性を向上させるための新しいプロファイリングサービス

Cisco ISE で多要素分類(MFC)ベースのプロファイリングポリシーを作成し、ルールベースの分類を使用して、識別できないエンドポイントを分類することができます。カスタムルールまたは直接マッピングルールを通じて自動的にラベルが割り当てられるため、エンドポイント分類プロセスの一貫性が保たれます。

カスタムルール:特定の組織のニーズに固有のプロファイリング基準を定義し、カスタマイズされた属性に基づいて分類を正確に制御することができます。

直接マッピングルール:特定の属性または識別子(mdmOSVersion や mdmManufacturer など)を使用して、デバイスを直接分類することができます。

さらに、Cisco ISE は、プロファイリング機能を強化するために、以前のリリースからの AI/ML ルールとシステムルールを引き続きサポートしています。

「プロファイリングポリシー」を参照してください。

EntraID 属性変更後の CoA の送信

Cisco ISE を使用すると、Microsoft Entra ID インスタンス内のユーザー属性またはデバイス属性の変更をモニターし、更新されたネットワーク アクセス ポリシーを動的に適用することができます。モニター対象の属性で認証ポリシーを定義し、SAML を使用してそれらを取得することで、Cisco ISE は属性の変更を検出し、CoA をトリガーして、再認証後に更新されたアクセス権限を再適用できます。これにより、認証の判断と最新の属性変更との間の整合性が確保されます。

「Microsoft Entra ID 属性の更新に基づく認可変更」を参照してください。

時間制限付きデバッグの有効化

時間制限付きデバッグの有効化機能を使用すると、ドロップダウンリストからログレベルを選択し、デフォルト設定に戻すためのリセットタイマーを設定することができます。タイマーが期限切れになると、選択されたノードはデフォルト状態に戻ります。

デバッグログの設定」を参照してください。

[Probe Status] ダッシュボード

[Operations] > [System 360] > [Log Analytics] > [Dashboards] の [Probe Status] ダッシュボードには、Cisco ISE が受信したすべてのアクティブなプロファイリングプローブ、ネットワーク アクセス デバイス(NAD)プローブステータス、およびエンドポイントプローブの詳細が表示されます。より詳細な結果を得るには、フィルタを使用して特定の PSN、PSN グループ、または NAD を選択します。

各 PSN または NAD に対して生成されたプローブを分析することで、NAD が適切に設定されているかどうかを確認できます。生成されたプローブパケットを分析し、それに応じてプローブと NAD の設定を更新することができます。

Log Analyticsを参照してください。

SNMP を使用したインフラストラクチャ デバイスのプロファイリング

Simple Network Management Protocol(SNMP)スキャンは、ネットワークエンドポイントを分類し、プロファイリングポリシーを作成します。プローブデータを使用して、特定のサブネットまたは IP アドレス範囲に対してスケジュールされた SNMP スキャンまたはオンデマンドの SNMP スキャンを実行します。SNMP を使用して、詳細な OS とハードウェアの情報を収集します。

エンドポイント プロファイリングのための SNMP スキャン」を参照してください。

リモートサポート許可

リモートサポート許可により、Cisco ISE 管理者は、特定の Cisco TAC スペシャリストが、CLI と UI のいずれかまたは両方を介して Cisco ISE 展開に安全にリモートアクセスし、トラブルシューティングや情報収集を行うことを許可できます。

リモートサポート許可」を参照してください。

Active Directory ユーザーのロックアウトを防止するための TACACS+ のサポート

[Prevent Active Directory User Lockout] オプションにより、正しくないパスワードを複数回試行したことでロックアウトされる頻度が減少します。このオプションは、RADIUS プロトコルと TACACS+ プロトコルの両方でサポートされています。

Active Directory アカウントに対するパスワードの最大試行回数の設定」を参照してください。

Entra ID EAP-TLS および TEAP-TLS を使用したユーザーおよびデバイスの認証

Cisco ISE リリース 3.5 以降では、ユーザーとデバイスの両方のフローで証明書ベースの認証がサポートされます。EAP または TEAP チェーンを介してユーザーとデバイスの両方を認証する認証ポリシーを作成できます。Cisco ISE は、Microsoft Entra ID に直接アクセスせずに、認証中にデバイスまたはユーザーによって提示された証明書を評価します。REST ID ストア属性条件または REST ID ストアグループを、認証ポリシーで使用できます。Cisco ISE は、Microsoft Entra ID をクエリして、ユーザーまたはデバイスのグループおよび属性と、デバイス関連の情報を取得します。

Microsoft Entra ID を使用した EAP-TLS および TEAP 認証」を参照してください。

強化された [Endpoint Topics Settings] を使用した Cisco ISE データの共有。

強化された [Endpoint Topics Settings] 機能を使用して、エンドポイント属性データを Cisco AI エンドポイント分析および Cisco pxGrid Cloud と共有することで、ネットワークの可視性とセキュリティを強化できます。

エンドポイント分析属性を使用した認証ポリシーの作成を参照してください。

統合カタログを使用した pxGrid Cloud アプリケーションの統合

Cisco ISE のネイティブ統合カタログインターフェイスを使用して pxGrid Cloud アプリケーションと統合でき、統合エクスペリエンスが簡素化されます。pxGrid Cloud アプリケーションは、統合カタログ[Administration] > [System] > [Deployment] > [Integration Catalog])を使用して Cisco ISE と統合できます。

統合カタログを参照してください。

pxGrid Direct を使用したディクショナリ属性の認可変更(CoA)

pxGrid Direct を使用したディクショナリ属性の認可変更(CoA)を有効にできます。CoA 対応ディクショナリ属性の値が変更されると、影響を受けるエンドポイントで CoA ポートバウンスまたは再認証が実行されます。

pxGrid Direct を使用したディクショナリ属性の認可変更(CoA)を参照してください。

セキュリティサービスの挿入

セキュリティサービスの挿入により、定義済みのポリシーに基づいてファイアウォールを介してトラフィックをステアリングすることで、ネットワークセキュリティが強化されます。これにより、ゼロトラスト セキュリティ ソリューションがサポートされます。セキュリティサービスの挿入は、有線展開とワイヤレス展開をサポートし、オンプレミスおよびクラウドホスト ソリューションを含む、シスコおよびサードパーティのファイアウォールと互換性があります。

Cisco ISE API は、ポリシーの作成を容易にし、設定された送信元セキュリティグループに基づいてネットワークデバイスがポリシーを取得および適用できるようにすることで、セキュリティサービスの挿入において重要な役割を果たします。

セキュリティサービスの挿入を参照してください。

新しい TrustSec テレメトリ属性

展開のモニタリングを強化し、TrustSec と Cisco ISE の使用方法に関するデータを収集するために、新しい TrustSec テレメトリ属性が追加されました。

テレメトリが収集する情報を参照してください。