スマホの悩み解決ブック ～ 認証サーバ編 ～ シスコシステムズ合同会社 2017年2月.

Presentation on theme: "スマホの悩み解決ブック ～ 認証サーバ編 ～ シスコシステムズ合同会社 2017年2月."— Presentation transcript:

1 スマホの悩み解決ブック ～ 認証サーバ編 ～ シスコシステムズ合同会社 2017年2月

2 Cisco ISE はスマホ対応の認証サーバです。
これからは認証サーバもスマホ対応 スマホなどモバイル端末が利用する無線LANで、すでに常識となっている認証。 認証に不可欠な認証サーバも、スマホ対応が必要です。 Cisco 認証サーバ スマホ対応機能 Cisco ISE はスマホ対応の認証サーバです。 その他便利機能 ISE CA ISEは Identity Services Engine の略称です。 “アイス”と呼んでください。 スマホ対応機能とは？ スマホを見える化する機能：スマホはActive Directoryにログオンしないため、状況確認などは別の方法が必要になります。 スマホを識別する機能：情報漏えいの可能性などの観点から、同一人物が持つパソコンとスマホではアクセスできる通信先 を区別する必要性があります。 スマホの管理を助ける機能：スマホ利用を開始すると、パソコンに加えて管理端末台数は突然2倍になります。従って管理の 負担軽減が重要になります。 上記３点をより効果的にするため、認証局(CA)機能や、分かりやすい 可視化機能など、さまざまな機能が存在します。

3 スマホの悩み(認証サーバ編) スマホの 利用状況が 分からない 社内利用の ルール遵守が 不安 私物スマホを 使用されると 問題 1 2 3
ISE スマホの悩み(認証サーバ編) スマホの 利用状況が 分からない 社内利用の ルール遵守が 不安 私物スマホを 使用されると 問題 1 デバイス識別 2 アクセス制御 3 　デバイス認証 利用手続きや 登録管理が 負担 サービス毎に 認証が必要で 不便 ゲスト アクセスの セキュリティが 不安 4 端末登録 セルフ サービス機能 5 クラウド連携 6 ゲスト アクセス

4 スマホ対応認証サーバ ISE スマホの 利用状況を 見える化 スマホの利用 ルールを遵守 会社支給と私有 スマホを区別 1 2 3
デバイス識別 2 アクセス制御 3 　デバイス認証 スマホ 利用手続きを セルフ化 クラウドでの 認証作業を 不要に！ お客様用 ネット接続を 適切に管理 4 端末登録 セルフ サービス機能 5 クラウド連携 6 ゲスト アクセス

5 いつ、誰が、何を、どこに接続しているかが不明
ISE お悩み ポイント 詳細 スマホの利用状況が分からない デバイス認識 1 IT管理者 スマホの管理面で悩んでいます。 パソコンはADである程度把握できるの ですが、スマホはADを使わないので・・・。 定期レポートとしても必要ですし、何か問題が起きたときも、そういった情報は 必要になるんです。 利用状況を把握しておくと、 今後のIT投資の方向性を決定するのにも役立ちますし、とても重要なことですね。 ISEはスマホの種類や利用時間など状況が把握できるようになっていますし、 レポート機能も充実しているので用途に合わせた情報が取得できますよ。 Cisco Before After これも つなげちゃおう スマホで 動画見ようっと IT管理者 IT管理者 最近通信 遅いなぁ PCとAndroidは 持込禁止なのに... いつ、誰が、何を、どこに接続しているかが不明 利用状況をしっかり見える化

6 スマホの利用状況を見える化 デバイスを識別して見える化 1 ISE お悩み ポイント 詳細
デバイス認識 1 デバイスを識別して見える化 ネットワークにつながったデバイスを自動判別して、その情報を記録します。 デバイス数や種類の分布など、分かりやすく見える化します。このようなデータはセキュリティや今後のIT戦 略を考える際などに役に立ちます。 見える化！ デバイスを 自動判別 →記録 Cisco ISE フィードサービス * (オンライン/オフライン) * 新しいデバイス情報や より精度の高い判別情報を配信 オフィス ネットワーク ACTIVE PROBES Netflow DHCP DNS HTTP RADIUS NMAP SNMP DEVICE SENSOR CDP LLDP DHCP HTTP H323 SIP MDNS 多種多様な情報を収集

7 アクセス権はIP毎(どんなデバイス / ユーザでも)
ISE お悩み ポイント 詳細 デバイス認識とレポート機能 デバイス認識 1 情報の関連付けと一元化 デバイス情報はMACアドレスだけでなく、各種情報を含めて記録されます。この情報を使い、適切なアクセス権付与を実現 することも可能になります。 また、ユーザを検索してデバイス情報を確認することができるなど、情報の検索性にも優れています。 貧弱な情報しかない場合 豊富な情報を活用した場合 IP ADDRESS: UNKNOWN BOB (EMPLOYEE) WINDOWS WORKSTATION BUILDING-A FLOOR-1 10:30 AM EST on APR 27 WIRELESS NO THREATS / VULNERABILITIES UNKNOWN KNOWN 結果 役割に基づいた適正なアクセス権 アクセス権はIP毎(どんなデバイス / ユーザでも) ?

8 例えば・・・ ユーザ名で 検索すれば 利用している デバイスが判明
ISE お悩み ポイント 詳細 デバイス認識方法の概要 デバイス認識 1 ISEは認証中に得られる情報だけでなく、ネットワーク上に流れる有用な情報も含めて収集、分析することで 端末の種類を判別します。判別後も情報収集は継続し、情報の更新や修正を行います。 RADIUS DHCP DNS SNMP NetFlow HTTP 端末の通信 から得られる情報 ネットワーク機器 から得られる情報 ①収集 ③登録 ②判別 例えば・・・ ユーザ名で 検索すれば 利用している デバイスが判明 など 認証情報・収集情報・端末状態などは関連付けられたデータとしてISE上に保持されているので、端末の 情報などを簡単に探し出すことができ、トラブル シューティングやレポートに役立ちます。 MAC アドレス 端末種別 AA:AA… Windows7 BB:BB… iPad CC:CC… Printer

9 デバイス認識に利用するデータ例 1 ISE お悩み ポイント 詳細
デバイス認識をするために利用するデータとその中身の項目には、以下のようなものがあります。 これらを分析して、MACアドレスと関連付け登録するだけでなく、ISEが行う各認証の際もこれらを利用して 高度な認証に利用します。 分析元データと利用する項目 データ分析の例 RADIUS (Calling-Station-ID) MAC アドレス(OUI) 例 : 0A:1B:2C = メーカーA DHCP (host-name) (dhcp-class-identifier) ホスト名 (デフォルト設定の場合端末種が含まれている場合あり) 例: taro-ipad デバイスタイプ 例: BlackBerry、LaserJet Printer DNS (IPによるDNS逆引き) FQDN (デフォルト設定の場合端末種が含まれている場合あり) 例: taro-ipad.company.com HTTP (User-Agent) デバイスタイプに関する詳細情報 例: iPad、iPhone、iPod、Android、Win7

10 社内利用のルール遵守が不安 2 ISE お悩み ポイント 詳細 アクセス制御 Cisco IT管理者 OR
複数部署の社員にヒアリングしたところ、 スマホ活用の希望は多いのですが、部署によってはこちらで決めた利用ルールに例外を必要とする部門もあって困っています。 例外を全社的に適用すると 無法地帯になってしまう心配もありますし・・・。 ISEのルール設定はとても柔軟に設定が可能です。パソコン／スマホなどのデバイスの 種類やユーザの部署情報、有線か無線か、どのフロアの機器に接続している等々・・・ さまざまな情報を自由に組み合わせて条件を作りそれぞれにルールを決められるので ご希望通りの運用ができますよ。 IT管理者 Cisco 部門別ルール 種類別ルール 部門別だとスマホ用のルールが作れない…。 種類別だと部門ごとの要求が満たせない…。 総務 Bさん 営業 Aさん 自在に条件設定ができるから、 部門別×種類別のルールも作れる！ OR IT管理者 組み合わせルール インターネット 顧客情報 総務部サーバ

11 スマホの利用ルールを遵守 多くの要求に応えられる細やか設定 アクセス先制御方法も多種多様 2 ISE お悩み ポイント 詳細
アクセス制御 2 多くの要求に応えられる細やか設定 所属部門のような人の情報、デバイスの情報、時間や場所などを柔軟に組み合わせて条件を作成可能です。 同じ人物に対しても、使っているデバイスやその他の条件に応じて複数の異なるルールを指定できます。 アクセス先制御方法も多種多様 アクセス権の制御としてVLANやアクセス リスト(ACL)方式だけではなく、ダウンローダブル アクセス リスト (dACL)やスマホ時代の制御に適したシスコ独自の方式“TrustSec”にも対応しています。 新しい方式を利用するほどネットワークの安定性や運用性を格段に向上させることができます。

12 柔軟なアクセス ルール設定例 2 ISE お悩み ポイント 詳細
アクセス制御 2 条件にはさまざまな項目を利用することができます。これを自由に組み合わせてルール設定ができるので、例 えば“あるユーザが所有する複数の端末に対して、端末ごとに異なるルールを設定する”など細やかなルール が設定できます。 ユーザ デバイス 場所 検疫 時間 アクセス 認証情報

13 Cisco Trustsec 2 ISE お悩み ポイント 詳細
アクセス制御 2 ISEとネットワークが連携することによって、高度なネットワークセグ メンテーションを実現します。 端末やサーバをグループ分けし、グループに応じた“タグ”を使ってアクセスを制御することで、 ポリシー設定と管理を劇的に改善できます。 Group-Based Policies 社員から経理サーバへのHTTPSを禁止 開発者から開発サーバへのHTTPを許可 開発者から開発サーバへのHTTPSを許可 ゲストからインターネットへのHTTPを許可 … 社員ポータル 開発サーバ 経理サーバ HTTP(インターネット) アクセス ポリシー 宛先 社員ポータル 開発サーバ 経理サーバ Internet 送信元 一般社員 開発者 不適合端末 ゲスト ある導入事例での効果 Key セキュリティ管理の 迅速化 シンプル化された アクセスポリシー 一般社員 開発者 ゲスト 端末 一般社員 端末 開発者 端末 自社基準 不適合 端末 8 ゲスト 基準不適合 社員ポータル 開発サーバ 経理サーバ インターネット

14 Cisco Trustsec – 利点 ポリシー設定が簡単＆分かりやすい 権限のブランチへの延伸もシンプル 2 ISE お悩み ポイント
詳細 Cisco Trustsec – 利点 アクセス制御 2 Cisco Trustsec には、これまでの方法が抱える問題を解決できる大きな利点があります。 ポリシー設定が簡単＆分かりやすい シンプルなポリシー設定が可能になり、利便性が向上します。 ✕ ✓ Trusted Asset Trusted User Partners Cloud App A Cloud App B Server A Server B access-list 102 deny tcp eq lt 848 access-list 102 deny ip eq gt 4878 access-list 102 permit icmp lt eq 1216 access-list 102 deny icmp gt gt 1111 access-list 102 deny ip eq eq 4175 access-list 102 permit tcp lt gt 1462 一見して何を制御しているのか識別しづらいルール IPアドレスで設定しているため、トポロジが変われば変更が必要 「誰」が「何をしてよい」かを設定するのでシンプル 権限のブランチへの延伸もシンプル 場所にとらわれないポリシー設定が可能になるので、トポロジに依存したアクセス制御を考える必要がなくなります。 メイン拠点 ブランチ VRF+VLAN+ACL メイン拠点 ブランチ SGT 権限=VLANになっていると、 別拠点へ権限を延伸する仕組みはとても複雑 データは送信者に応じた“タグ”付けをされるので 別拠点でもタグを基にアクセス制御可能

15 Cisco Trustsec 設定画面 2 ISE お悩み ポイント 詳細
アクセス制御 2 ISE での Trustsec のポリシー設定画面は、以下の通りです。送信元と宛先の組み合わせに対して 単純な許可/拒否ではなく、許可するプロトコルを明確に絞りこむことができます。

16 私物スマホを利用されると問題 3 Before After ISE お悩み ポイント 詳細 デバイス認証 Cisco IT管理者
スマホ活用に向けて利用ルールについて検討しています。 当面は会社支給のスマホだけ利用可能にしたいのですが、 いい方法はありませんか？ 将来的に私有スマホも通信先を限定した形で解禁を考えたいので、その点も考慮されていると助かります。 ISEのデバイス認証機能で 私有と会社支給の区別をすることができます。 もちろん、アクセスできる範囲を異なるものにしたり、接続禁止にするなどの制限は自由に決められますよ。 IT管理者 Cisco Before After 私有 会社支給 私有 会社支給 自分の ID/PWで 双方つながる IT管理者 私有は つながらないのか。 しっかりしてる！ IT管理者 私有の見分けが つかないから 注意 もできない… 自動制御される から注意も 必要ない！ ユーザ ユーザ

17 パスワード 認証OK！ が、証明書なし ＝私有
ISE お悩み ポイント 詳細 会社支給と私有スマホを区別 デバイス認証 3 証明書認証で正しいアクセス権を提供 デバイス用の証明書を発行, 認証することで、会社支給・私有のどちらのデバイスか判別が可能になります。 デバイスの公私に合わせた適切なアクセス権を提供することができます。 証明書 あり 証明書あり 認証OK！ ＝会社支給 会社支給端末向けルール 証明書 認証 会社支給 証明書 なし 私有端末 向けルール パスワード 認証 ISE パスワード 認証OK！ が、証明書なし ＝私有 オフィス ネットワーク 私有

18 ブラウザでアクセス、必要事項を入力して証明書を取得
ISE お悩み ポイント 詳細 デバイス認証 デバイス認証 3 認証局(CA)機能を搭載。ワンストップで証明書認証を提供！ 証明書認証に必須となる端末/ユーザの証明書も、ISEが発行可能です。 * 本資料の次で説明されている④の機能です。 各デバイスに認証用の証明書を発行 スマホに最適な発行と標準的な発行に対応 端末登録セルフサービス機能* で登録作業 証明書 ビルトイン CA 証明書 無線接続 設定 または ブラウザでアクセス、必要事項を入力して証明書を取得 証明書

19 徹底して安全な公私の区別 3 ISE お悩み ポイント 詳細
デバイス認証 3 発行する証明書への工夫とISEの機能を利用して、証明書のコピーに対抗することができます。 問題 正しい証明書＝認証OK →会社支給 会社支給端末向けルール 証明書認証の意外な落とし穴 証明書の有無だけで認証をする場合、 証明書を私有端末にコピーされてしまうと会社支給向けルールで通信ができるようになってしまいます。 ※ 証明書がエクスポート不可に設定されていてもコピーできる場合もあります。 証明書 証明書認証 会社支給 私有スマホにもかかわらず 会社支給端末 向けルール ISE 正しい証明書＝認証OK →会社支給 コピー証明書 証明書認証 私有 Issuer(発行者) A会社 IT部 Subject(被証明者) B社員 Valid (有効期限) XX年Y月Z日 SAN(Subject以外の名称/別称) 支給スマホの MACアドレス Public Key(公開鍵) 証明書コピー対策 証明書にひと工夫＋ISE機能で解決 証明書の発行時に、SANの値に会社支給のMACアドレスを記載して発行しておきます。認証時にISEがこれを確認することでコピー対策を行うことができます。 証明書 証明書認証 会社支給端末向けルール 会社支給 今認証している パソコンのMAC アドレスとSANの値が同じ 正しい証明書で認証OK さらに コピー 証明書 接続拒否 私有 証明書認証 ISE 今認証している パソコンのMAC アドレスとSANの値が違う 正しい証明書で認証OK だが

20 ISEのCA機能での証明書発行 3 ISE お悩み ポイント 詳細 デバイス認証
SANの値に MACアドレスを 入れることが 可能！

21 セルフサービスだから準備も 少なくて済みそうだ！
ISE お悩み ポイント 詳細 利用手続きや登録管理が負担 端末登録 セルフ サービス機能 4 社員のスマホを会社の無線LAN につなぐことを許可することにはしたんです。でも、申請や登録、利用開始のためのサポート、スマホを失くしたときの対応とか、課題は多くてなかなか仕組みづくりが進まなくて・・・ 制度作りやサポートなど仕組み作りはとても大変ですよね。ユーザには「つなぐだけでどうしてそんなに難しいのか」と理解を得にくいのも悩み所ですね。 ISE のセルフ サービス端末登録機能は、そういった仕組みづくりから解放してくれるとても便利な機能ですよ。 IT管理者 Cisco スマホ利用開始前 サポート体制 ルール 策定 段階導入 マニュアル やることが多くて大変だな…。 スマホ利用開始後 申請用紙 ください。 管理者 ユーザ 設定方法 教えて。 スマホ利用開始前 スマホ利用開始後 セルフサービスだから準備も 少なくて済みそうだ！ 簡易 マニュアル ルール 策定 サポート体制 管理者 ユーザ すぐに 使える！ 申請も 自分で！

22 スマホ利用手続きをセルフ化 ユーザが自分で登録作業ができる！ 登録するとスマホを自動的に設定！ 紛失時にも即対応。自分で利用停止 4 ISE
お悩み ポイント 詳細 スマホ利用手続きをセルフ化 端末登録 セルフ サービス機能 4 ユーザが自分で登録作業ができる！ 登録はユーザが接続したいスマホを使って行います。 登録に必要なものはブラウザだけです。 登録作業はスマホの初期設定よりも簡単です。 登録するとスマホを自動的に設定！ 登録作業中、会社の無線接続に必要な設定を配布できます。 証明書の配布も併せて行うことができます。 iPhone、Android やパソコンにも対応しています。 紛失時にも即対応。自分で利用停止 ユーザが自分で紛失報告することができます。 そのスマホはネットワークに接続できなくなります。 この作業に必要なものはブラウザだけです。

23 端末情報の登録 (MACアドレスを自動取得)
ISE お悩み ポイント 詳細 簡単操作で登録から設定まで完了 端末登録 セルフ サービス機能 4 未登録の端末を無線ネットワークに接続した後ブラウザを起動すると、登録、設定配布などに 自動的に画面誘導を行い、従っていくだけで作業が完了します。 登録完了前の状態では、他のサイトなどにはアクセスできませんが、登録が完了すると社内のルールに合わせたアクセスが許可されるようになります。 端末情報の登録 (MACアドレスを自動取得) Wi-Fi接続設定の配布 (ユーザ証明書も配布可能) 設定インストール完了 社内ネットワーク アクセスが 可能に 企業無線LANへ接続 Webブラウザの起動 証明機関の証明書 インストールに自動誘導

24 Registered Device グループに登録
ISE お悩み ポイント 詳細 紛失時もユーザ自身が即座に対策 端末登録 セルフ サービス機能 4 会社のネットワークに接続できるようになった端末が紛失／盗難に遭うと、他人に悪用されて社内の情報へアクセスされて しまうことが懸念されます。 このような状況においても、紛失した本人が 自身で即座に対応することができます。 削除 利用しなくなった端末を削除。(一人あたりの登録可能 数を管理者が設定可能) ISE上のポータルに アクセス/ ログイン 紛失 失くした端末をブラックリストに登録し、ネットワークへの 接続を拒否する。 自分が登録したデバイス 追加 MACアドレスを手入力で追加。登録機能利用不可の端 末等で有効です。 仕組み Registered Device グループに登録 ユーザが紛失に設定した端末には、Blacklist という端末グループが 割り当てられます。 ISE は初期設定で Blacklist グループの端末からの認証を拒否する 設定となっているため、紛失端末からは接続が不可能になります。 Blacklist グループに変更 ①ユーザが デバイスを登録 MAC Address 端末グループ AA:AA… Registered ②ユーザが デバイスを紛失 ③ユーザが 紛失報告 MAC Address 端末グループ AA:AA… Blacklist

25 サービス毎に認証が必要で不便 5 ISE お悩み ポイント 詳細 クラウド連携 Cisco IT管理者
クラウド サービスの利用が進んでいるので、認証をする機会も増えてきています。 自社の認証DBを連携設定して、 同じIDとパスワードでログインはできるのですが、サービス毎にログインが必要なんですよね。 PCと違って、スマホはパスワードを打つのが面倒なので、 ユーザも不便のようなんです…。 都度入力が必要なのは非効率ですよね。 ユーザが打ちやすさを優先して、簡単なパスワードにしてしまったら、セキュリティ的にも問題になりますね。 認証は最初だけで済み、 シームレスにクラウドを利用できる方法が実はあるんです。 しかも、クラウド サービスごとの権限設定も うまく連携できて 便利で安全ですよ。 Cisco IT管理者 認証は 最初だけ！ ユーザ 認証 認証 認証 認証 認証 ユーザ 面倒・・・ クラウド サービス クラウド サービス

26 (追加の認証作業は不要, iDP が pxGrid データを利用 して代行)
ISE お悩み ポイント 詳細 クラウドでの認証作業を不要に！ クラウド連携 5 クラウド サービス利用時のログイン作業から解放 iDP(ID Provider)製品とISEが連携することで、クラウド サービスごとに必要となるログイン作業が必要ない ネットワーク環境を提供します。 ログインだけでなく、自社のネットワークで使われているグループ権限をクラウド サービスでも同じように利用 することができます。 シングル サインオン (追加の認証作業は不要, iDP が pxGrid データを利用 して代行) クラウド クラウド アクセス ポリシー EMP_BYOD EMP_CORP Cisco ISE iDP 社員 SAML:EMP_CORP SAML:EMP_BYOD 認証 pxGrid* ユーザ名 IP アドレス MAC アドレス デバイス タイプ 状態 Security Group Tag ネットワークへのログインをすればクラウド ログインが不要になる真のSSO * 次ページに解説があります。

27 1 2 3 pxGridによる3rd Party連携 5 ISE お悩み ポイント 詳細
クラウド連携 5 シングル サインオンを行うのは3rd PartyのiDP（ID Provider）ですが、ISEがpxGridという枠組みを使って 連携することにより、機能性を高めることができます。 pxGrid での連携で可能になる機能、及びその利点 1 ISEが所持するユーザ/ デバイスなどのネットワーク情報を 3rd Party機器へ共有 2 Make ISE a Better Network Policy Platform for Customers 3rd Partyデバイスが持つ情報をISEが受け取り、 より適切なポリシー制御に利用 3 3rd Partyデバイスの指示に 基づき、ISEがネットワーク側 のポリシーを動的に変更 ISE ECO-PARTNER ISE ECO-PARTNER ECO-PARTNER ISE CONTEXT CONTEXT ACTION ISE が所持するユーザ/デバイスをはじめとしたネットワーク情報を共有 ISEが3rd Partyデバイスが持つ情報を受け取り、 より適したアクセスポリシーのために利用 MITIGATE Cisco NETWORK 利点 IPアドレスだけの情報のみだったのが、 誰の何のデバイスがどんな アクセスをしているかが見えるように 統合的なネットワーク アクセス ポリシー の一元化がインテグレ―ションによって実現 セキュリティとネットワークのイベントに 対応する時間と労力、コストが 低減される pxGridでISEと連携してシングル サインオンに対応しているiDP製品 Situational, NetIQ, Secureauth

28 ゲスト アクセスのセキュリティが不安 6 ISE お悩み ポイント 詳細 ゲスト アクセス Cisco IT管理者
今はお客様が無線アクセスが必要なときは、ゲスト用のSSIDをお教えしてつないでいただいています。 無断利用の対策としてステルスSSIDと定期的にSSIDを変える対応もしてはいますが、周知などの手間もあって面倒なんですよね・・・ SSIDをステルスにしても定期的に変えても少し詳しい人なら簡単に見破れてしまうんです。 そこからお客様のパソコンがウイルスに感染したり、攻撃されたりしたら問題ですよね。 「ゲストアクセス機能」を使えば、お客様にだけにアクセスを提供できるようにでき運用も最適化されますよ。 IT管理者 Cisco 今度の SSIDはXXXです 設定変更… 管理者 　　　通知 アカウントを発行しました また変更？ 接続 不正利用 接続 認証が あって接続 できない… ステルス SSIDなんて お見通し！ 受付 案内 受付 案内 SSIDは XXXを設定 してください もらったID/PWを 入力 盗聴/攻撃 etc… 社外 ゲスト 社外 ゲスト

29 お客様用ネット接続を適切に管理 面倒な設定変更と決別！作業はお客様を迎える社員にお任せ 契約社員や関連社員向けにも転用可能 6 ISE
お悩み ポイント 詳細 お客様用ネット接続を適切に管理 ゲスト アクセス 6 面倒な設定変更と決別！作業はお客様を迎える社員にお任せ SSIDやパスワード変更など、機器の設定変更や通知などといった煩雑な作業が不要になります。 これからは、一時的なアカウントを作成することのできるユーザを指名しておくだけでよくなります。 指名されたユーザは必要に応じてお客様情報をWebで入力し、一時的なアカウントをいつでも発行できます。 契約社員や関連社員向けにも転用可能 ゲストの種類を複数設定できるので、来客用のゲスト アカウント以外にも、異なるアクセス権を持つ ゲスト アカウントを作ることができます。 たとえば ゲスト：インターネットのみ 契約社員：インターネット＋共有サーバ 関連社員：機密サーバ以外アクセス可能 などの一時的なアカウントを作ることができます。

30 アカウント発行 権限有ユーザ (受付担当者など)
ISE お悩み ポイント 詳細 運用が最適化されたゲスト アクセス ゲスト アクセス 6 管理者が指定した、ゲストへのアカウント発行が可能なユーザ/ グループはアカウント発行機能を利用することが できます。 このユーザは必要なときに、必要な人にゲスト アクセスを提供します。 アカウントは発行時に設定した有効期間を過ぎると自動的に無効化されるので、発行後の管理が必要でないこと も便利な点です。 アカウント発行画面： 日本語表示対応！ ISE上のポータルに アクセス/ ログイン アカウント作成。 ゲストに通知 メール SMS 印刷 アカウント発行 権限有ユーザ (受付担当者など) 会社名など 必要事項(*)を入力 Memo ブラウザを開くと ログイン画面へ ゲスト ログイン画面： 日本語表示対応！ フル カスタマイズ可能！ 有効期間経過後 アカウントが自動的に無効化 通知された ID/PW を利用 ゲスト (*)必要事項は管理者が設定できます。

31