統合エンドポイント管理（UEM）またはモバイルデバイス管理（MDM）サーバーを使用して、ネットワークに配置されているエンドポイントを保護、監視、管理、およびサポートする場合は、これらのサーバーと相互運用するように Cisco ISE を設定できます。Cisco ISE とエンドポイント管理サーバーを統合して、API を介してこれらのサーバーからデバイス属性情報にアクセスします。その後、デバイス属性を使用してアクセスコントロールリスト（ACL）と許可ポリシーを作成し、ネットワーク アクセス コントロールを有効にできます

Cisco ISE PSN は、設定されたポーリング間隔で、接続されている UEM または MDM サーバーから非準拠デバイスのリストを取得するための API も送信します。ポーリング時にアクティブなセッションを持つ非準拠エンドポイントは隔離され、取得された情報に基づいて Cisco ISE で CoA が発行されます。

このドキュメントでは、これらのサーバーを Cisco ISE と統合するためにエンドポイント管理サーバーで実行する必要がある設定について詳しく説明します。このドキュメントでは、現在、次の MDM または UEM ベンダーに必要な設定について詳しく説明しています。

• Cisco Meraki Systems Manager

• Ivanti（以前の MobileIron UEM）、コアおよびクラウド UEM サービス

• Microsoft Endpoint Manager Intune

Cisco ISE は、次のエンドポイント管理サーバーもサポートしています。

• 42 ギア

• 絶対値（Absolute）

• Blackberry：BES

• Blackberry：Good Secure EMM

• Citrix XenMobile 10.x（オンプレミス）

• Globo

• IBM MaaS360

• JAMF Casper Suite

• Microsoft Endpoint Configuration Manager

• Mosyle

• SAP Afaria

• Sophos

• SOTI MobiControl

• Symantec

• Tangoe

• VMware Workspace ONE（以前の AirWatch）

（注）	Cisco ISE 3.0 以前のリリースは、Jamf Pro 10.42.0 以降と統合できません。

Cisco ISE に接続する MDM または UEM サーバーで必要な設定を実行した後、サーバーを Cisco ISE に参加させる必要があります。ご使用のリリースの 『Cisco ISE Administrator Guide』の「Secure Access」の章にある「Configure Mobile Device Management Servers in Cisco ISE」を参照してください。

Cisco ISE は、エンドポイントの MAC アドレスを使用して、データベースでエンドポイントデータを保存および管理し、コンテキストの可視性の情報を表示し、承認のワークフローを可能にします。

VPN 接続エンドポイントの場合、VPN ヘッドエンドは通常、エンドポイントの MAC アドレスまたは固有のデバイス ID（UDID）、またはその両方を Cisco Secure Client（旧称 Cisco AnyConnect）から受信し、RADIUS 通信経由で情報を Cisco ISE に送信します。

Cisco ISE を MDM サーバーと統合すると、Cisco ISE はエンドポイントの MAC アドレスまたは UDID のいずれかを使用して、エンドポイントの登録とコンプライアンスステータス、およびその他の MDM 属性値について MDM サーバーにクエリを実行します。

Cisco ISE がエンドポイントの UDID を使用して MDM サーバーにクエリを実行する場合、MDM サーバーからのコンプライアンス応答には、通常、エンドポイントの MAC アドレスが含まれます。Cisco Secure Client または MDM サーバーのいずれかからエンドポイントの MAC アドレスを受信することは、Cisco ISE にとって重要です。Cisco ISE は、MAC アドレスを使用して、データベース内のエンドポイントデータを保存および管理します。

Cisco ISE を使用するときに活用できるその他のリソースについては、『Cisco ISE End-User Resources』[英語] を参照してください。