Cisco ISE の機能

• Cisco ISEの機能, 2 ページ

• 主要な機能, 2 ページ

• IDベースのネットワークアクセス, 2 ページ

• 複数の展開シナリオのサポート, 3 ページ

• UCSハードウェアのサポート, 3 ページ

• 基本的なユーザ認証および許可, 4 ページ

• ポリシーセット, 4 ページ

• Common Access Card機能のサポート, 5 ページ

• クライアントポスチャ評価, 5 ページ

• ゲストのネットワークアクセス, 6 ページ

• パーソナルデバイスのサポート, 6 ページ

• Mobile Device Managerと Cisco ISEとの相互運用性, 6 ページ

• インラインポスチャノードを使用するワイヤレスおよび VPNトラフィック, 7 ページ

• ネットワークのプロファイリングされたエンドポイント, 7 ページ

• Cisco pxGridサービス, 7 ページ

• Cisco ISE認証局, 8 ページ

• Active Directoryマルチドメインフォレストのサポート, 8 ページ

• SAnetデバイスのサポート, 8 ページ

• 複数のハードウェアおよび VMwareプラットフォームへのインストールのサポート, 9 ページ

Cisco Identity Services Engine 管理者ガイドリリース 1.3 1

Cisco ISE の機能Cisco ISEはネットワークリソースへのセキュアなアクセスを提供するセキュリティポリシー管理プラットフォームです。 Cisco ISEはポリシーデシジョンポイントとして動作し、企業におけるコンプライアンスの遵守、インフラストラクチャのセキュリティの向上、およびサービスオペ

レーションの合理化を可能にします。企業は、Cisco ISEを使用して、ネットワーク、ユーザ、およびデバイスから状況情報をリアルタイムで収集できます。その後、管理者はその情報を使用し

て、プロアクティブにガバナンス上の決定を下すことができます。これを行うには、IDをアクセススイッチ、ワイヤレス LANコントローラ（WLC）、バーチャルプライベートネットワーク（VPN）ゲートウェイ、データセンタースイッチなどのさまざまなネットワーク要素に結び付けます。Cisco ISEは、Cisco TrustSecソリューションのポリシーマネージャとして機能し、TrustSecソフトウェアによって定義されたセグメンテーションをサポートします。

主要な機能Cisco ISEは、既存の Ciscoポリシープラットフォームで使用できる機能のスーパーセットを組み込む、統合されたポリシーベースのアクセス制御システムです。Cisco ISEでは次の機能が実行されます。

•認証、許可、アカウンティング（AAA）、ポスチャ、およびプロファイラを 1つのアプライアンスに結合します。

• Cisco ISE管理者、認可されたスポンサー管理者、またはその両方向けの、包括的なゲストアクセス管理を提供します。

•包括的なクライアントプロビジョニングの方法を提供し、802.1X環境など、ネットワークにアクセスするすべてのエンドポイントのデバイスポスチャを評価することによって、エンド

ポイントのコンプライアンスを強化します。

•ネットワーク上のエンドポイントデバイスの検出、プロファイリング、ポリシーベースの配置、モニタリングのサポートを提供します。

•集中型展開および分散型展開においてポリシーの一貫性が維持され、サービスを必要な場所に配信できるようになります。

•セキュリティグループタグ（SGT）およびセキュリティグループアクセスコントロールリスト（SGACL）を使用した TrustSecなどの高度な適用機能を利用します。

•小さな事務所から大企業までさまざまな環境の展開シナリオに対応するスケーラビリティをサポートします。

ID ベースのネットワークアクセスCisco ISEソリューションでは、次の領域で、コンテキストに対応した ID管理が提供されます。

Cisco Identity Services Engine 管理者ガイドリリース 1.32

Cisco ISE の機能Cisco ISE の機能

• Cisco ISEは、ユーザが、許可されているポリシー準拠のデバイスからネットワークにアクセスしているかどうかを確認します。

• Cisco ISEは、コンプライアンスとレポーティングに使用できる、ユーザ ID、ロケーション、およびアクセス履歴を確認します。

• Cisco ISEは、割り当て済みのユーザロール、グループ、関連付けられたポリシー（ジョブロール、ロケーション、デバイスタイプなど）に基づいてサービスを割り当てます。

• Cisco ISEは、認証結果に基づいて、ネットワークの特定のセグメントへのアクセスと、特定のアプリケーションおよびサービスへのアクセスのいずれかまたは両方を、認証されたユー

ザに許可します。

複数の展開シナリオのサポートCisco ISEは企業インフラストラクチャ全体に展開することが可能で、802.1X有線、無線、およびバーチャルプライベートネットワーク（VPN）がサポートされます。

Cisco ISEアーキテクチャでは、1台のマシンがプライマリロール、もう 1台の「バックアップ」マシンがセカンダリロールとなる環境において、スタンドアロン展開と分散（別名「ハイアベイ

ラビリティ」または「冗長」）展開の両方がサポートされます。Cisco ISEは、個別の設定可能なペルソナ、サービス、およびロールを特徴としており、これらを使用して、Cisco ISEサービスを作成し、ネットワーク内の必要な箇所に適用できます。これにより、フル機能を備え統合された

システムとして動作する包括的な Cisco ISE展開が実現します。

Cisco ISEノードは、1つ以上の管理ペルソナ、モニタリングペルソナ、およびポリシーサービスペルソナとして展開できます。各ペルソナは、ネットワークポリシー管理トポロジ内の異なる部

分で重要な役割を担います。Cisco ISEを管理ペルソナとしてインストールすると、集中型ポータルからネットワークを設定および管理することによって、効率と使いやすさを向上させることが

できます。

また、Cisco ISEプラットフォームをインラインポスチャノードとして展開することによって、ポリシーの適用を実施するとともに、Cisco ISEポリシー管理を簡易化するために必要な機能がサポートされないWLCや VPNコンセントレータを経由してユーザがネットワークにアクセスする環境で、許可変更（CoA）要求を実行することもできます。

UCS ハードウェアのサポートCisco ISE 3300シリーズアプライアンスに加えて、Cisco ISE 1.2は UCS C220 M3ハードウェアをサポートし、次のプラットフォームで使用できます。

• SNS-3415（小）

• SNS-3495（大）

Cisco Identity Services Engine 管理者ガイドリリース 1.3 3

Cisco ISE の機能複数の展開シナリオのサポート

基本的なユーザ認証および許可Cisco ISEのユーザ認証ポリシーを使用すると、パスワード認証プロトコル（PAP）、チャレンジハンドシェイク認証プロトコル（CHAP）、保護拡張認証プロトコル（PEAP）、拡張認証プロトコル（EAP）などのさまざまな標準認証プロトコルを使用して、多くのユーザログインセッションタイプに対応した認証を提供できます。 Cisco ISEでは、ユーザが認証を試みるネットワークデバイスで使用できるプロトコル、およびユーザ認証の検証元となる IDソースが指定されます。

Cisco ISEでは、許可ポリシーの範囲内で広範な可変要素が許可されるため、許可されたユーザのみが、ネットワークにアクセスしたときに目的のリソースにアクセスできます。Cisco ISEの最初のリリースでは、RADIUSによって管理された、内部ネットワークとそのリソースへのアクセスのみがサポートされます。

最も基本的なレベルにおいて、Cisco ISEでは、802.1X、MAC認証バイパス（MAB）、およびブラウザベースのWeb認証ログインが、有線ネットワークと無線ネットワークの両方を介した基本的なユーザ認証およびアクセスに対してサポートされます。認証要求を受信すると、認証ポリ

シーの「外側部分」を使用して、要求の処理に使用できる一連のプロトコルが選択されます。そ

の後、認証ポリシーの「内側部分」を使用して、要求の認証に使用する IDソースが選択されます。 IDソースは、特定の IDストア、またはユーザが最終的な許可応答を受信するまでアクセス可能な一連の IDを一覧表示する IDストア順序で構成できます。

認証が成功すると、セッションフローは許可ポリシーに進みます。（認証が成功しなかった場合

でも Cisco ISEに許可ポリシーの処理を許可するオプションも提供されます）。Cisco ISEを使用すると、「認証失敗」、「ユーザが見つからない」、および「プロセスの失敗」に対する動作を

設定できます。また、要求を拒否またはドロップ（応答は発行されません）するか、認証ポリシー

に進むかを判断することもできます。Cisco ISEが許可の実行に進む場合、「NetworkAccess」ディクショナリの「AuthenicationStaus」属性を使用して、認証結果を許可ポリシーの一部として組み込むことができます。

許可ポリシーの結果として、Cisco ISEによって割り当てられる許可プロファイルには、ネットワークポリシー適用デバイス上のトラフィック管理を指定する、ダウンロード可能 ACLが含まれる場合があります。このダウンロード可能 ACLでは、認証中に返される RADIUS属性が指定され、この属性により、Cisco ISEで認証されると付与されるユーザアクセス権限が定義されます。

ポリシーセットCisco ISEでは、認証ポリシーおよび許可ポリシーのセットをグループ化できるポリシーセットがサポートされます。認証および許可ルールのフラットなリストである基本的な認証および許可ポ

リシーモデルとは対照的に、ポリシーセットでは、設定、展開、およびトラブルシューティング

がより簡単になるように、組織の ITビジネス事例をポリシーグループまたはサービス（VPNや802.1xなど）に論理的に定義できます。

Cisco Identity Services Engine 管理者ガイドリリース 1.34

Cisco ISE の機能基本的なユーザ認証および許可

Common Access Card 機能のサポートCisco ISEは、米国のCommonAccess Card（CAC）認証デバイスを使用して、自身を認証する政府ユーザをサポートします。CACとは、内蔵の電子チップにX.509クライアント証明書が記録された身分証明バッジであり、この証明書によって、米国国防総省（DoD）などの特定の 1人の職員が識別されます。 CACによるアクセスには、カードを挿入し PINを入力するカードリーダーが必要です。カードからの証明書がWindowsの証明書ストアに転送されます。Windowsの証明書ストアは、Cisco ISEなどのローカルブラウザで実行されているアプリケーションで使用可能です。

CACカードを使用して認証を行うことの利点は、次のとおりです。

• Common Access Card X.509証明書は、802.1X EAP-TLS認証の IDソースです。

• Common Access Card X.509証明書は、Cisco ISE管理に対する認証および許可用の IDソースでもあります。

Cisco ISEは、管理者ポータルへのログインのみをサポートします。次のアクセス方法では、CAC認証はサポートされません。

• Cisco ISEコマンドラインインターフェイスの管理に CAC認証ログインは使用できません。

•外部のRESTAPI（モニタリングおよびトラブルシューティング）とエンドポイント保護サービス APIでは、CAC認証はサポートされません。

•ゲストサービスとゲストスポンサー管理からのアクセスでは、Cisco ISE内でのCAC認証はサポートされません。

クライアントポスチャ評価Cisco ISEを使用すると、適用されたネットワークセキュリティ対策の適切さと効果を維持するために、保護されたネットワークにアクセスする任意のクライアントマシンに対してセキュリティ

機能を検証し、そのメンテナンスを行うことができます。 Cisco ISE管理者は、クライアントマシンで最新のセキュリティ設定またはアプリケーションを使用できるよう設計されたポスチャポ

リシーを使用することによって、どのクライアントマシンでも、企業ネットワークへのアクセス

について定義されたセキュリティ標準を満たし、その状態を継続することを保証できます。ポス

チャコンプライアンスレポートによって、ユーザがログインしたとき、および定期的再評価が行

われるたびに、クライアントマシンのコンプライアンスレベルのスナップショットが Cisco ISEに提供されます。

ポスチャ評価およびコンプライアンスは、Cisco ISEで提供される次のいずれかのエージェントタイプを使用して行われます。

• CiscoNACWebAgent：ログイン時にユーザがシステムにインストールする一時的なエージェントであり、ログインセッションが終了すると、クライアントマシンには表示されなくな

ります。

Cisco Identity Services Engine 管理者ガイドリリース 1.3 5

Cisco ISE の機能Common Access Card 機能のサポート

• Cisco NACAgent：一度インストールすると、WindowsまたはMac OS Xクライアントマシン上で維持される永続的なエージェントであり、セキュリティコンプライアンスに関するすべ

ての機能を実行できます。

• AnyConnect ISE Agent：WindowsまたはMac OS Xクライアントにインストールできる永続的なエージェントであり、ポスチャコンプライアンス機能を実行します。

ゲストのネットワークアクセスゲストスポンサーとしてCisco ISEゲスト登録ポータルへの適切なアクセスが付与されているCiscoISE管理者および従業員は、一時的なゲストログインアカウントを作成し、使用可能なネットワークリソースを指定して、ゲスト、訪問者、請負業者、コンサルタント、顧客に、指定された

ネットワークリソースおよびインターネットへの制限付きアクセスを許可することができます。

ゲストアクセスセッションには有効期限タイマーが関連付けられるため、ゲストアクセスを特

定の日付や期間に制限できます。

ゲストユーザセッションのすべての側面（アカウントの作成と停止を含む）は追跡され、CiscoISEに記録されるため、必要に応じて監査情報を提供したり、セッションアクセスのトラブルシューティングを行うことができます。

パーソナルデバイスのサポートCisco ISEでは、従業員はラップトップコンピュータ、携帯電話、タブレット、プリンタ、およびその他のネットワークデバイスなど、自分のパーソナルデバイスを企業ネットワークに接続する

ことができます。

これらのデバイスをサポートするとネットワークサービスおよびエンタープライズデータの保護

が難しくなるため、従業員とそれらのデバイスの両方をネットワークアクセスに対して認証およ

び許可できるようにする必要があります。 Plusライセンスの場合、Cisco ISEでは、従業員が自分のパーソナルデバイスを企業ネットワーク上でセキュアに使用するために必要なツールを提供し

ます。

Mobile Device Manager と Cisco ISE との相互運用性モバイルデバイス管理（MDM）サーバはモバイル事業者、サービスプロバイダー、企業にわたって展開されたモバイルデバイスの保護、モニタ、管理、およびサポートを行います。MDMはエンドポイントに対してポリシーを適用します。これは、ネットワークを認識できないため、ユー

ザにデバイスの登録およびポリシーへの準拠を強制することはできません。 ISEは、MDMポリシーに準拠するようデバイスに要求するポリシーを認識できるため、ユーザにデバイスを登録さ

せることができます。 ISEデバイスポリシーでMDMを必要とし、デバイスがMDMに準拠していない場合、ISEはユーザをMDMオンボードポータルにリダイレクトし、ネットワークにアクセスするためにデバイスを更新するようユーザに求めます。 ISEでは、MDMコンプライアンスに従っていないユーザに対してインターネットアクセスのみを許可することもできます。

Cisco Identity Services Engine 管理者ガイドリリース 1.36

Cisco ISE の機能ゲストのネットワークアクセス

インラインポスチャノードを使用するワイヤレスおよび

VPN トラフィックインラインポスチャノードは、Cisco ISEアクセスポリシーを適用し、CoA要求を処理するゲートキーパーノードです。（EAP/802.1Xと RADIUSを使用した）初期認証後も、クライアントマシンはポスチャ評価を受ける必要があります。ポスチャ評価プロセスは、クライアントのネット

ワークへのフルアクセス権を制限、拒否、または許可するかどうかによって決定されます。クラ

イアントがWLCまたはVPNデバイスを通じてネットワークにアクセスする場合、インラインポスチャノードは、他のネットワークデバイスが対応できないポリシー適用とCoAに対応します。その結果、Cisco ISEを、ネットワーク上の他のネットワークアクセスデバイス（WLCや VPNコンセントレータなど）の背後にインラインポスチャノードとして展開できます。

ネットワークのプロファイリングされたエンドポイントプロファイラサービスは、ネットワーク上にあるすべてのエンドポイントの機能（Cisco ISEではIDとも呼ばれる）を、デバイスタイプにかかわらず識別、検索、および特定して、企業ネットワークへの適切なアクセスを保証および維持するのに役立ちます。Cisco ISEプロファイラ機能では、さまざまなプローブを使用して、ネットワーク上にあるすべてのエンドポイントの属性を収

集し、それらを既知のエンドポイントが関連ポリシーおよび IDグループに従って分類されるプロファイラアナライザに渡します。

プロファイラフィードサービスによって、管理者は、新規および更新されたエンドポイントプ

ロファイリングポリシーや更新されたOUIデータベースを、指定されたCiscoフィードサーバからの、サブスクリプションを介した Cisco ISEへのフィードとして取得できます。

Cisco pxGrid サービスCisco pxGridを使用すると、Cisco ISEセッションディレクトリからの状況依存情報を、ISEエコシステムのパートナーシステムなどの他のネットワークシステムや他のシスコプラットフォー

ムと共有できます。 pxGridフレームワークは、Cisco ISEとサードパーティのベンダー間でのタグおよびポリシーオブジェクトの共有のように、ノード間でのポリシーおよび設定データの交換

に使用できます。また、その他の情報交換にも使用できます。 pxGridによって、サードパーティシステムは適応型のネットワーク制御アクション（EPS）を呼び出し、ネットワークまたはセキュリティイベントに応じてユーザ/デバイスを隔離できます。タグ定義、値、および説明のようなTrustSec情報は、TrustSecトピックを通して Cisco ISEから別のネットワークに渡すことができます。完全修飾名（FQN）を持つエンドポイントプロファイルは、エンドポイントプロファイルメタトピックを通してCisco ISEから他のネットワークに渡すことができます。Cisco pxGridは、タグおよびエンドポイントプロファイルの一括ダウンロードもサポートしています。

ハイアベイラビリティ設定で、Cisco pxGridサーバは、プライマリ管理ノードを通してノード間で情報を複製します。プライマリ管理ノードがダウンすると、pxGridサーバは、クライアントの

Cisco Identity Services Engine 管理者ガイドリリース 1.3 7

Cisco ISE の機能インラインポスチャノードを使用するワイヤレスおよび VPN トラフィック

登録およびサブスクリプション処理を停止します。 pxGridサーバのプライマリ管理ノードをアクティブにするには、手動で昇格する必要があります。

Cisco ISE 認証局Cisco ISEは、一元的なコンソールからエンドポイントのデジタル証明書を発行および管理して、従業員が自分のパーソナルデバイスを使用して企業のネットワークに接続できるようにするネイ

ティブの認証局（CA）を提供します。 Cisco ISE CAは、スタンドアロンおよび下位の展開をサポートします。

Active Directory マルチドメインフォレストのサポートCisco ISEでは、マルチドメインフォレストの Active Directoryがサポートされます。 Cisco ISEは単一のドメインに接続しますが、Cisco ISEが接続されているドメインと他のドメイン間に信頼関係が確立されている場合は、Active Directoryフォレストの他のドメインからリソースにアクセスできます。

SAnet デバイスのサポートCisco ISEは、セッション認識型ネットワーク（SAnet）が限定的にサポートされます。SAnetは、可視性、認証、許可などのアクセスセッションの管理における一貫性と柔軟性を高める、スイッ

チのセッション管理フレームワークです。 SAnetは、デバイスだけでなく、ISEの両方によって受け入れられる許可オブジェクトであるサービステンプレートの概念を定義します。このこと

は、デバイスに送信される前に属性のリストにマージされ、フラット化される RADIUS許可属性のコンテナであるCisco ISE許可プロファイルと矛盾します。同様に、SAnetサービステンプレートも RADIUS許可属性のコンテナですが、デバイスに送信する前にリストにフラット化されません。代わりに、Cisco ISEはサービステンプレートの名前を送信し、デバイスはキャッシュされたか、または静的に定義されたバージョンがまだない場合コンテンツ（RADIUS属性）をダウンロードします。さらに、サービステンプレートの定義が変更された、つまり、RADIUS属性が追加、削除、または変更された場合、Cisco ISEはデバイスに CoA通知を送信します。

Cisco ISEは、許可プロファイルを「サービステンプレート」互換としてマークする特別なフラグを含む許可プロファイルとして、サービステンプレートを実装します。このように、許可プロ

ファイルでもあるサービステンプレートは、SAnet対応デバイスと同時にレガシーデバイスから接続するセッションをサポートする単一のポリシーステートメントで使用することができます。

Cisco Identity Services Engine 管理者ガイドリリース 1.38

Cisco ISE の機能Cisco ISE 認証局

複数のハードウェアおよび VMware プラットフォームへのインストールのサポート

Cisco ISEは、さまざまなパフォーマンス上の特徴を備えた広い範囲の物理アプライアンスにあらかじめインストールされた状態で提供されます。 Cisco Application Deployment Engine（ADE）とCisco ISEソフトウェアは、専用のSNS-3400シリーズアプライアンスまたはVMwareサーバ（CiscoISE VM）のいずれかで実行されます。 Cisco ISEソフトウェアイメージでは、この専用プラットフォームにその他のパッケージまたはアプリケーションをインストールできません。Cisco ISEが本来備えている拡張性によってアプライアンスを展開に追加し、必要に応じてパフォーマンスと

復元力を向上させることができます。

Cisco Identity Services Engine 管理者ガイドリリース 1.3 9

Cisco ISE の機能複数のハードウェアおよび VMware プラットフォームへのインストールのサポート

Cisco Identity Services Engine 管理者ガイドリリース 1.310

Cisco ISE の機能複数のハードウェアおよび VMware プラットフォームへのインストールのサポート