ISEゲストアカウント管理

 メンバーには、選択可能なすべてのグループが表示されます。ADグループを選択して右側に移動し、スポンサーグループに追加します。

変更を保存します。 スポンサーポータルのログインが、選択したADグループに属するADユーザアカウントで機能するようになりました。

上記と同じ手順に従って、LDAP経由でユーザを追加できます。内部的に定義されたユーザIDグループは、スポンサーグループに追加するオプションとしても使用できます。

このようなスポンサーアカウントを1つ使用して、スポンサーポータルにログインします。スポンサーポータルを使用すると、次のことが可能です。

• ゲストアカウントの編集と削除
• ゲストアカウント期間の延長
• ゲストアカウントの一時停止
• 期限切れのゲストアカウントの復元
• ゲストのパスワードの再送信とリセット
• 保留中のゲストアカウントの承認

スポンサーポータルで、[アカウントの管理(Manage Accounts)]タブを選択し、このスポンサーが管理を許可されているすべてのゲストアカウントを表示します（次の図を参照）。

ゲストアカウントは、その状態に関係なく編集できます。

アカウント所有者がゲストアカウントのパスワードを忘れたり紛失した場合は、ゲストアカウントのパスワードを再送信するオプションがあります。ゲストアカウントのパスワードは、アクティブまたは作成済みの状態の場合にのみ再送信できます。

パスワードを変更したゲストにパスワードを再送信することはできません。その場合は、まずリセットパスワードオプションを使用する必要があります。承認の保留中、中断、期限切れ、または拒否されているアカウントのパスワードは送信できません。

スポンサーは、変更されたパスワードのコピーを受信するオプションを選択できます。

最初に許可された期間よりも長い期間、ネットワークへのゲストアクセスを許可する必要がある場合は、延長オプションを使用して期間を延長します。[Created]、[Active]、または[Expired]状態のアカウントを拡張できます。

アカウントが一時停止または拒否された場合、アカウントを延長することはできません。代わりにreinstateオプションを使用してください。

最大許容延長期間は、アカウントのゲストタイプによって決まります。

ゲストアカウントは、状態に関係なく、アカウント期間が終了すると自動的に期限切れになります。一時停止または期限切れのゲストアカウントは、システムで定義された消去ポリシーに基づいて自動的に消去されます。デフォルトでは、15日ごとにパージされます。

ゲストアカウントの状態とその意味：

Active:これらのアカウントを持つゲストは、クレデンシャル化されたゲストポータルを介して正常にログインしたか、クレデンシャル化されたゲストキャプティブポータルをバイパスしました。後者の場合、アカウントはクレデンシャル化されたゲストキャプティブポータルをバイパスするように設定されたゲストタイプに属します。これらのゲストは、デバイスのネイティブサプリカントにログインクレデンシャルを提供することで、ネットワークにアクセスできます。

created          :アカウントが作成されましたが、ゲストはまだクレデンシャル化されたゲストポータルにログインしていません。この場合、アカウントは、クレデンシャル化されたゲストキャプティブポータルをバイパスするように設定されていないゲストタイプに割り当てられます。ネットワークの他の部分にアクセスするには、まずクレデンシャルが設定されたゲストキャプティブポータルからサインインする必要があります。

Denied:アカウントはネットワークへのアクセスを拒否されます。拒否された状態で期限切れになったアカウントは、拒否されたまま残ります。

承認保留中：アカウントはネットワークへのアクセスの承認を待っています。

中断：アカウントは、スポンサーに権限があるスポンサーによって一時停止されます。

ゲスト消去ポリシー

デフォルトでは、ISEは期限切れのゲストアカウントを15日ごとに自動的に消去します。この情報は、[Work Centers] > [Guest Access] > [Settings] > [Guest Account Purge Policy] で確認できます。

「次のパージ日」は、次のパージが発生する日を示します。ISE管理者は次の操作を実行できます。

• X日ごとにパージをスケジュールします。パージの時間は、最初のパージがX日間で実行されるタイミングを指定します。その後、パージはX日ごとに行われます。
• X週ごとに、特定の曜日にパージをスケジュールします。
• 「今すぐパージ」オプションを使用して、オンデマンドパージを強制します。

期限切れのゲストアカウントが削除されると、関連するエンドポイント、レポート、およびロギング情報が保持されます。

エンドポイントの消去：エンドポイントの非アクティブ日数と経過日数

ゲストがネットワークにアクセスするために使用するエンドポイントは、デフォルトでGuestEndpointsの一部になります。ISEには、30日より古いゲストエンドポイントと登録済みデバイスを削除するポリシーがあります。このデフォルトのパージジョブは、プライマリ管理ノード(PAN)に設定されているタイムゾーンに基づいて、毎日1時に実行されます。 この既定のポリシーでは、ElapsedDaysの条件が使用されます。その他のオプションとして、InactiveDaysとPurgeDateがあります。

注：エンドポイントの消去機能は、ゲストアカウントの消去ポリシーとゲストアカウントの有効期限に依存しません。

ポリシーは、[Administration] > [Identity Management] > [Settings] > [Endpoint Purge] で定義します。

経過時間：これは、オブジェクトが作成されてからの日数を表します。この条件は、ゲストや請負業者のエンドポイントなど、設定された期間に認証されていないアクセスまたは条件付きアクセスが許可されたエンドポイント、またはネットワークアクセスにWeb認証を利用する従業員に使用できます。許可された接続の猶予期間の後、完全に再認証され、登録される必要があります。

非アクティブ日：エンドポイントで最後のプロファイルアクティビティまたは更新から経過した日数を参照します。この状態は、時間の経過とともに蓄積した古いデバイス、一般的に一時的なゲストや個人デバイス、またはリタイアデバイスを削除します。これらのエンドポイントは、ネットワーク上でアクティブでなくなったり、近い将来に見られる可能性があるため、ほとんどの導入でノイズを示す傾向があります。再度接続すると、必要に応じて再検出、プロファイリング、登録などが行われます。 

エンドポイントから更新が行われると、プロファイルが有効になっている場合にのみ、InactivityDaysは0にリセットされます。 

消去日：エンドポイントを消去する日付。このオプションは、作成または開始時刻に関係なく、特定の時間にアクセスが許可される特別なイベントまたはグループに使用できます。これにより、すべてのエンドポイントを同時にパージできます。たとえば、週ごとに新しいメンバーが参加するトレードショー、会議、週次トレーニングクラスなど、絶対の日/週/月ではなく特定の週または月に対するアクセスが許可されます。 

次のサンプルprofiler.logファイルは、GuestEndpointsの一部であり、30日経過したエンドポイントがいつパージされたかを示します。

2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- the rule type is :REGULAR
2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- epPurgeRuleID is :3bfaffe0-8c01-11e6-996c-525400b48521
2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- purging description: ENDPOINTPURGE:ElapsedDays EQUALS 30
2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- purging expression: GuestInactivityCheck & GuestEndPointsPurgeRuleCheck5651c592-cbdb-4e60-aba1-cf415e2d4808
2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- EPCondition name is : GuestInactivityCheck
2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- the condLabel are :ENDPOINTPURGE ElapsedDays EQUALS 30
2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- rulename is : 3c119520-8c01-11e6-996c-525400b48521
2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- the rule type is :EXCLUSION
2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- rulename is : 3c2ac270-8c01-11e6-996c-525400b48521
2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- the rule type is :REGULAR
2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- epPurgeRuleID is :3c2ac270-8c01-11e6-996c-525400b48521
2

2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- EPCondition name is : RegisteredInactivityCheck
2020-07-09 09:35:21,983 INFO [admin-http-pool20][] cpm.admin.profiler.action.ProfilerEndpointsPurgingAction -::- the condLabel are :ElapsedDays Greater than 30
2020-07-09 09:35:26,407 INFO [admin-http-pool13][] cisco.profiler.infrastructure.profiling.EPPurgeRuleEvaluator -::- Started to Update the ChildParentMappingMap
2020-07-09 09:35:26,408 INFO [admin-http-pool13][] cisco.profiler.infrastructure.profiling.EPPurgeRuleEvaluator -::- Completed to Update the ChildParentMappingMap
2020-07-09 09:35:26,512 INFO [admin-http-pool13][] cisco.profiler.infrastructure.notifications.ProfilerEDFNotificationAdapter -::- EPPurge policy notification.
2020-07-09 09:35:26,514 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Requesting purging.
2020-07-09 09:35:26,524 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- New TASK is running : 07-09-202009:35
2020-07-09 09:35:26,524 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Read profiler.endPointNumDaysOwnershipToPan from platform properties: null
2020-07-09 09:35:26,524 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Value of number days after which ownership of inactive end points change to PAN: 14
2020-07-09 09:35:26,525 INFO [PurgeImmediateOrphanEPOwnerThread][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Updating Orphan Endpoint Ownership to PAN.
2020-07-09 09:35:26,530 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Purge Endpoints for PurgeID 07-09-202009:35
2020-07-09 09:35:26,532 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- hostname of the node ise26-1.shivamk.local
2020-07-09 09:35:26,537 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Search Query page1 lastEpGUID. EndpointCount4
2020-07-09 09:35:26,538 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- EndpointAA:BB:CC:DD:EE:FF IdentityGroupIDaa178bd0-8bff-11e6-996c-525400b48521 identityGroupGuestEndpoints elapsedTime30 inactivityTime0 PurgeDeleteStatustrue CalledStationIDnull EndpointFetchedFromCachetrue
2020-07-09 09:35:26,539 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- EndpointAA:BB:CC:DD:EE:01 IdentityGroupIDaa178bd0-8bff-11e6-996c-525400b48521 identityGroupGuestEndpoints elapsedTime30 inactivityTime0 PurgeDeleteStatustrue CalledStationIDnull EndpointFetchedFromCachetrue
2020-07-09 09:35:26,540 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- EndpointAA:BB:CC:DD:EE:03 IdentityGroupIDaa178bd0-8bff-11e6-996c-525400b48521 identityGroupGuestEndpoints elapsedTime30 inactivityTime0 PurgeDeleteStatustrue CalledStationIDnull EndpointFetchedFromCachetrue
2020-07-09 09:35:26,540 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- EndpointAA:BB:CC:DD:EE:04 IdentityGroupIDaa178bd0-8bff-11e6-996c-525400b48521 identityGroupGuestEndpoints elapsedTime30 inactivityTime0 PurgeDeleteStatustrue CalledStationIDnull EndpointFetchedFromCachetrue
2020-07-09 09:35:27,033 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Endpoints PurgeID '07-09-202009:35' purged 4
2020-07-09 09:35:27,034 INFO [EPPurgeEventHandler-20-thread-1][] profiler.infrastructure.probemgr.event.EPPurgeEventHandler -::- Endpoints PurgeID '07-09-202009:35' purged 4 in 504 millisec numberofEndpointsRead4

消去が完了したら、次の手順を実行します。

ゲストおよびパージの問題のトラブルシューティング

ゲストおよびパージの問題に関連するログをキャプチャするには、これらのコンポーネントをデバッグに設定できます。デバッグを有効にするには、[Administration] > [System] > [Debug Log Configuration] > [Select node]に移動します。

ゲスト/スポンサーアカウントおよびエンドポイント消去関連のトラブルシューティングでは、デバッグに次のコンポーネントを設定します。

• ゲストアクセス
• guest-admin
• guest-access-admin
• プロファイラ
• runtime-AAA

ポータル関連の問題については、次のコンポーネントをデバッグするように設定します。

• 海綿ポータル
• ポータル
• portal-session-manager
• ゲストアクセス

関連情報

• ISEゲストアクセス規範的導入ガイド
• ISEでのデバッグのトラブルシューティングと有効化