この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
(注) |
Cisco ISE リリース 3.4 および対応するガイドは、段階的なロールアウトで入手できます。ソフトウェアの一般提供が開始されるまでは、シスコのアカウントマネージャに連絡して、このリリースをリクエストしてください。段階的なロールアウトが完了すると、Cisco ISE リリース 3.4 および対応するガイドがすべてのお客様に一般提供されます。 |
次の表に、新機能および変更された機能の要約と参照先を示します。
特長 |
説明 |
||
---|---|---|---|
Cisco ISE のレジリエンシ |
Cisco ISE リリース 3.4 以降、Cisco ISE のレジリエンシを維持するために、過剰な RADIUS ネットワークデバイス通信アラームと過剰なエンドポイント通信アラームが追加されています。 「Cisco ISE アラーム」を参照してください。 |
||
デバッグログの設定 |
各デバッグログコンポーネントに許可される最大ファイルサイズと最大ファイル数を設定できます。これらの値をデフォルトにリセットする必要がある日時を指定することもできます。 デバッグログの設定を参照してください。 |
||
URL プッシャ pxGrid Direct コネクタタイプの作成 |
Cisco ISE GUI を使用して、pxGrid Direct コネクタを作成できます。pxGrid Direct コネクタタイプには、[URLフェッチャ(URL Fetcher)] と [URLプッシャ(URL Pusher)] の 2 種類があります。Cisco ISE リリース 3.4 以降では、[URLフェッチャ(URL Fetcher)] の pxGrid Direct コネクタタイプまたは [URLプッシャ(URL Pusher)] の pxGrid Direct コネクタタイプのいずれかを選択できます。pxGrid Direct プッシュ API を使用して、エンドポイントデータを Cisco ISE にプッシュすることができます。 Cisco ISE リリース 3.4 以降では、配列を含むコネクタ属性を使用して認証プロファイルを設定することもできます。 URL プッシャコネクタタイプの作成を参照してください。 |
||
レガシー IPSec(ESR)のサポート終了 |
Cisco ISE リリース 3.4 以降、レガシー IPSec(ESR)は Cisco ISE でサポートされません。Cisco ISE のすべての IPSec 設定が、ネイティブ IPSec 設定になります。トンネルとトンネルの設定が失われないように、Cisco ISE リリース にアップグレードする前に、レガシー IPSec(ESR)からネイティブ IPSec に移行することをお勧めします。 |
||
優先順位によるドメインコントローラの選択の強制 |
優先ドメインコントローラのフェールオーバーが発生した場合に、Cisco ISE のドメインコントローラ選択をオーバーライドすることを選択できるようになりました。このオプションを有効にすると、Cisco ISE は既存の優先順位値をオーバーライドし、左から右への入力順序で優先リスト内の次のドメインコントローラを選択します。 優先ドメインコントローラの設定を参照してください。 |
||
拡張パスワードセキュリティ |
Cisco ISE では、次の機能拡張によりパスワードのセキュリティが向上しています。
|
||
「今すぐ同期」を使用したオンデマンドの pxGrid 直接データ同期 |
Cisco ISE リリース 3.4 以降では、[Sync Now(今すぐ同期)] 機能を使用して、pxGrid Direct コネクタのデータのオンデマンド同期を実行できます。完全同期と増分同期の両方をオンデマンドで実行できます。オンデマンドのデータ同期は、Cisco ISE GUI または OpenAPI を使用して実行できます。 「今すぐ同期」を使用したオンデマンドの pxGrid 直接データ同期を参照してください。 |
||
Duo 接続の作成後にアイデンティティ同期を追加するオプション |
Duo 接続の作成中に Active Directory と Duo 間のユーザーデータ同期を設定しない場合は、[アイデンティティ同期(Identity Sync)] ページで [スキップ(Skip)] をクリックします。[サマリー(Summary)] ページに直接移動します。 Duo 接続を作成した後は、いつでもアイデンティティ同期設定を追加できます。 多要素認証のための Cisco Duo と Cisco ISE の統合を参照してください。 |
||
ユーザーごとの動的アクセス制御リストの動作変更 |
ユーザーごとの動的アクセス制御リスト(DACL)を使用して認証プロファイルを評価するときに、DACL が Cisco ISE 設定に存在しない場合、認証は失敗し、Cisco ISE はそのユーザーに Access-Reject 応答を送信します。この情報は、[ライブログの詳細(Live Log Details)] ページと [AAA診断(AAA Diagnostics)] レポートで確認できます。Cisco ISE リリース 3.4 以降では、Cisco ISE ダッシュボードの [アラーム(Alarms)] ダッシュレットにも認証失敗アラームが表示されます。 ダウンロード可能 ACLを参照してください。 |
||
複数の Cisco Application Centric Infrastructure コネクタのサポート |
Cisco ISEを使用すると、複数のドメイン間で一貫したアクセスポリシーを作成して適用できます。Cisco ISE では、Cisco Application Centric Infrastructure(Cisco ACI)を使用して SGT および SGT バインディングを共有できます。また、Cisco ACI からエンドポイントグループ(EPG)、エンドポイント セキュリティ グループ(ESG)、およびエンドポイント情報を学習することもできます。Cisco ISE に複数の Cisco ACI 接続を追加できます。 Cisco ISE で学習したコンテキストを管理し、Cisco ISE コネクタと Cisco ACI コネクタ間のコンテキストフローを最適化するルールを設定できます。 Cisco ISE は、Cisco ACI マルチテナントおよび Multi-Virtual Routing and Forwarding の展開をサポートしています。複数の接続を介してマルチファブリックを定義できます。この統合では、マルチポッドおよび個々の Cisco ACI ファブリックがサポートされます。 |
||
認証ポリシーのディクショナリグループ内の配列に対する pxGrid Direct のサポート |
Cisco ISE リリース 3.4 以降では、ディクショナリ属性として配列とともに pxGrid Direct コネクタのデータを使用して、認証ポリシーを設定することもできます。ポリシーの設定時には、“Contains” または “Matches” の演算子(正規表現の場合)を使用する必要があります。配列がある場合、”Equals” と “In” の演算子は機能しません。"AND" または "OR" 条件を使用して、複数の属性をネストできます。 許可ポリシーの設定を参照してください。 |
||
RADIUS 抑制およびレポートの機能拡張 |
Cisco ISE リリース 3.4 以降、RADIUS の抑制とレポートに関する機能が拡張され、RADIUS( )設定の運用が容易になっています。「RADIUS 設定」を参照してください。 |
||
トランスポートゲートウェイのサポートの削除 |
Cisco ISEではトランスポートゲートウェイがサポートされなくなりました。次の Cisco ISE 機能では、接続方法としてトランスポートゲートウェイが使用されていました。
|
||
Cisco ISE ワークフローの TLS 1.3 サポート |
Cisco ISE リリース 3.4 では、TLS 1.3 が次のワークフローでピアと通信できます。
「セキュリティ設定の構成」を参照してください。 |