伊势 2.0-MDM配置

在本指南中,我将逐步介绍与ISE的MDM集成。 MDM用于在工作场所中部署,保护,监视,集成和管理移动设备。下载到移动设备的MDM软件可以控制应用程序和补丁的分发,以及控制端点上的数据和配置。

尽管可以与ISE一起使用的MDM解决方案列表很长,但是我将使用Meraki企业移动性管理(EMM),因为这是我可以访问的MDM解决方案。 如果您想查看ISE生态系统中正式支持的提供商的完整列表,请单击 这里.

我将基本上在以前的BYOD配置的基础上构建,以包括Meraki MDM软件的下载。 伊势将提供对端点的精细访问,而Meraki MDM将充当策略决策点。 

如果您想阅读ISE和Meraki集成的官方“操作指南”,则可以查看 这里.

In order to set up the integration with Meraki, 伊势 needs to trust the Meraki certificate. In order to download this certificate, open Firefox 和 navigate to //dashboard.meraki.com 和 login. 

登录后,单击地址栏中URL旁边的锁:

在打开的窗口中,我将点击 更多信息 在证书信息下,然后在出现的菜单中,选择 查看证书:

在证书查看器上,我需要在本地保存证书,因此必须导航到 细节 标签,然后点击 出口 按钮。 

将证书本地保存在计算机上,以备后用。 

回到Meraki仪表板,我需要将用户名和密码保存在ISE设置下,以便以后将Meraki添加到ISE时使用。您可以通过导航到此预设的用户名/密码 组织>Configure>MDM 在Meraki仪表板中,然后滚动到页面底部。 伊势的子部分应包含以下信息:

我还要在此页面上注意的一件事是 SCEP CA证书配置:

您实际上可以将Meraki EMM配置为使用SCEP并将证书直接分发给客户端,而不是使用单独的BYOD策略。当然,这样做很容易,但是我将在此博客中使用单独的BYOD策略对其进行配置,因为我正在运行一个实验室,将来我可能想禁用/启用该策略并进行试验。它。

对于我的实验室,我将在Meraki中配置一个非常基本的策略。根据我的政策,我将要求下载Meraki 系统s Manager,并且我的移动设备需要密码。我要导航到 系统s Manager>Configure>Policies 然后点击 添新。我将为此政策命名 仅密码 并选中旁边的框 密码锁:

保存后,我将导航至 MDM>Policies 并制定新政策。这将是我们所有设备的范围,因此我将其命名 ALL_DEVICES 对于范围,我要选择 所有装置 从下拉列表中:

对于我的移动设备,我可以通过导航到来在移动设置中定义有关密码的某些变量 MDM>Settings. 在下面 ALL_DEVICES 设置,我将导航到 密码 标签,并确保 所需密码 允许简单值 框被选中。虽然我可以在此菜单中要求更长的密码,但我将最小密码长度设置为4:

接下来,我将设置要安装在移动设备上的应用程序。我要导航到 MDM>Apps 然后点击 添新。我要确保 Meraki 系统s Manager 必须在所有Android和IOS设备上安装,因为这是我在实验室中执行的操作:

最后,我将把所有设置捆绑在Meraki仪表板内的ISE设置下。我要导航到 系统s Manager>Configure>General 并滚动到页面底部。在下面 伊势设置 page, click on the 添加新的安全策略范围。添加您刚刚创建的策略,并将其应用于带有标签的所有设备 iOS 安卓:

 

完成我的Meraki配置后,我将登录到ISE并将以前下载的Meraki证书导入到ISE的Trusted Certificate存储中。这对于ISE信任与Meraki云的通信是必需的。我将导航到 行政>System>Certificates>证书管理>Trusted 证明书. 我将点击 进口:

我会给此证书一个友好的名称,这对我来说很有意义(MERAKI证书),并至少选中以下复选框:

  • 信任ISE中的身份验证
  • 思科服务认证的信任s

我将导航至,将Meraki添加为ISE中的外部MDM。 行政>Network Resource>External MDM. 点击后 ,我将输入在先前步骤中从Meraki仪表板保存的信息,然后单击 测试连接 确保我可以与Meraki云连接并与之通信:

如果测试成功,我将点击 提交

注意:在生产网络中,您可能不想每10分钟轮询一次,但是由于这是一个实验室,因此我将其调整为该时间。

我在以前的帖子中创建的无线控制器中仍然有我的ACL,但出于审查目的,我将在这里列出它们,因为它们对我们的政策很重要:

我将在ISE中为要创建的新策略创建授权配置文件,方法是导航至 政策>Policy Elements>Authorization>授权资料 然后点击 。我将创建以下策略:

名称: 自带设备-NO-REG

  • 选中旁边的框 虚拟局域网 并选择VLAN ID 70
  • 选中旁边的框 Web重定向,选择 MDM重定向 从下拉菜单中填写 NSP访问控制列表 in the 访问控制列表 字段,选择 MDM Portal(默认)  and for MDM服务器,选择 Meraki-MDM

名称: 自带设备-NO-COMP

  • 选中旁边的框 虚拟局域网 and select 虚拟局域网 ID 70
  • 选中旁边的框 Web重定向,选择 MDM重定向 从下拉菜单中填写 NSP访问控制列表 在里面 访问控制列表 字段,选择 MDM Portal(默认)  and for the MDM服务器,选择 Meraki-MDM

名称: 自带设备-COMP

  • 选中旁边的框 虚拟局域网 并选择VLAN ID 50
  • 检查 Airespace 访问控制列表 框并输入 仅限员工

我将通过导航到创建可重用的复合条件 政策>Policy Elements>Authorization>Compound Conditions. 我将创建以下条件:

名称: 自带设备-MDM-NO-REG
条件:
NetworkAccess:EapAuthentication相等 EAP-TLS
MDM:DeviceRegisters等于 未注册

名称: 自带设备-MDM-NO-COMPLIANT
条件:
NetworkAccess:EapAuthentication等于 EAP-TLS
MDM:DeviceRegisters等于 注册
MDM:DeviceComplianceStatus等于 不合规

名称: 自带设备-MDM-COMPLIANT
条件:
NetworkAccess:EapAuthentication等于 EAP-TLS
MDM:DevicesRegisters等于 注册
MDM:DeviceComplianceStatus等于 合规
MDM:MDMServerReachable等于 可到达

 

现在,我已经建立了策略元素,接下来将创建策略。我要导航到 政策>Policy Sets and then go to my WirelessDot1x 政策集。在我的授权政策中,我将禁用 自带设备-REG 规则,并在我的BYOD请求者规则下创建以下规则:

名称: 符合MDM标准并已注册
如果: 注册设备 and 自带设备-MDM-COMPLIANT
然后: 自带设备-COMP

名称: MDM未注册
如果: 注册设备 and 自带设备-MDM-NO-REG
然后: 自带设备-NO-REG

名称: 不符合MDM
如果: 注册设备 自带设备-MDM-NO-COMPLIANT
然后: 自带设备-NO-COMP

这样编写的策略将导致以下流程:
1-端点首先通过BYOD登机并下载证书
2-如果用户未注册到Meraki MDM,则尝试访问内部资源时将重定向到注册。注意:您可以对其进行调整和锁定,但是我将其设置为仅阻止内部资源
3-如果端点不符合Meraki MDM策略,则仅允许它们访问Internet,并且必须补救或无法访问内部资源。
4-端点合规,并允许所有员工访问

注意:我的策略是将默认的BYOD门户用于BYOD规则,并将所有注册的设备放入预先创建的设备中。 注册设备 组。如果要在注册后更改门户或终结点所属的组的外观,可以导航至 行政>设备门户管理>BYOD 在门户网站设置下进行更改。另外,您可以在部署中跳过BYOD流程,也可以通过Meraki发行证书。我继续使用现有的BYOD政策,但是如果您要从头开始制定政策,则可以采用更简单的方法。

测试完政策后,我可以查看流程 运作方式>RADIUS Livelog:


这是最终用户的流程:

步骤1:我的用户获得BYOD初始页面并开始BYOD入门过程

第2步-用户可以输入有关他们正在注册的设备的详细信息

步骤3-引导用户从Google Marketplace下载网络助手向导(仅适用于Android)

步骤4-用户下载“网络设置助手”(仅一次)

步骤5-网络助手通过SCEP从ISE下载证书并将证书重新连接到网络(仅一次)

步骤6-未向MDM注册用户,因此他们被引导至Meraki 系统s Manager页面进行注册

步骤7-引导用户从Google Marketplace下载Meraki 系统s Manager

Step 8 - The user downloads the Meraki 系统s Manager

步骤9-用户下载系统管理器后,他们将其注册到Meraki云中,并评估其设备是否符合该策略。如果符合要求,则可以授予他们作为员工访问内部资源的权限。如果不符合要求,则仅允许他们访问Internet,因此他们将无法访问专有信息或可能对内部网络造成安全风险