ISE. 2.0 - MDM配置

在本指南中,我将通过与ISE的MDM集成。 MDM用于部署,保护,监控,集成和管理工作场所的移动设备。下载到移动设备的MDM软件可以控制应用程序和修补程序的分发以及在端点上的控制数据和配置。

虽然您可以与ISE一起使用的MDM解决方案的长名单,但我将使用Meraki Enterprise Mobility Management(EMM),因为这是我可以访问的MDM解决方案。 如果您希望查看ISE生态系统正式支持的提供程序的完整列表,请单击 这里.

我将在我之前的Byod配置之上基本上构建,以包括下载Meraki MDM软件。 ISE将提供对端点的粒度访问,而Meraki MDM将作为策略决策点。 

如果您想阅读ISE和Meraki集成的官方“如何”指南,您可以查看它 这里.

In order to set up the integration with Meraki, ISE needs to trust the Meraki certificate. In order to download this certificate, open Firefox and navigate to //dashboard.meraki.com and login. 

登录后,单击地址栏中的URL旁边的锁定:

在打开的窗口上,我会点击 更多信息 在证书信息下,然后在出现的菜单中,选择选项 查看证书:

在证书查看器上,我需要在本地保存证书,以便我必须导航到 细节 标签然后单击 出口 按钮。 

在计算机上本地保存证书以供以后使用。 

回到Meraki仪表板中,我需要在ISE设置下保存用户名和密码,以便在我将Meraki添加到ISE时以后使用。您可以通过导航到查看此预设用户名/密码 组织>Configure>MDM 在Meraki仪表板上并滚动到页面的底部。应该有一个包含该信息的ISE小节:

我还要注意此页面的一件事是呼吁的部分 SCEP CA证书配置:

您实际上可以将Meraki EMM配置为使用SCEP,并将证书直接传递给您的客户端,而不是使用单独的Byod策略。这样做肯定是一个更容易的流程,但我将在这个博客中单独的Byod政策进行配置,因为我正在运行一个实验室,我可能希望在将来禁用/可称解这个政策,并试验它。

对于我的实验室,我将在Meraki配置一个非常基本的政策。对于我的政策,我将要求下载Meraki Systems Manager,我的移动设备需要密码。我要导航到 系统s Manager>Configure>Policies 然后点击 添新。我要去命名这个政策 只有密码 并检查旁边的框 密码锁:

保存后,我会导航到 MDM>Policies 并创建一个新的政策。这将是我们所有设备的范围,所以我要去命名它 all_devices. 而对于我要选择的范围 所有设备 从下拉下来:

对于我的移动设备,我可以通过导航到移动设置中关于密码的某些变量 MDM>Settings. 在下面 all_devices. 设置,我将导航到 密码 标签并确保这两个 所需密码 允许简单的价值 检查盒子。虽然我可以在此菜单中需要更长的密码,但我将在4中设置最小密码长度:

接下来,我将在移动设备上设置我想要安装的应用程序。我要导航到 MDM>Apps 然后点击 添新。我要确保了 Meraki Systems Manager 必须安装在所有Android和IOS设备上,因为这就是我的实验室所拥有的:

最后,我将在Meraki仪表板内的ISE设置下将所有设置系在一起。我要导航到 系统s Manager>Configure>General 并滚动到页面的底部。在下面 ISE.设置 page, click on the 添加新的安全策略范围。添加刚刚创建的策略并将其应用于带标签的所有设备 iOS. 安卓:

 

完成Meraki配置后,我将登录ISE并导入我以前下载到ISE的可信证书商店的Meraki证书。这是ISE必须与Meraki云进行沟通的必要条件。我要导航到 行政>System>Certificates>证书管理>可信证书。 我会点击 进口:

我会把这个证书给一个友好的名字,对我有意义(Meraki-Cert.)至少检查框:

  • 信任ISE中的身份验证
  • 信任思科服务的身份验证s

我将通过导航到ISE内部的外部MDM添加Meraki 行政>Network Resource>External MDM. 点击后 添加,我将在上一步中输入从Meraki仪表板中保存的信息,然后单击 测试连接 要确保我可以与Meraki Cloud连接和通信:

如果测试成功,我会点击 提交

注意:在生产网络中,您可能不想每10分钟投票,但由于这是一个实验室,我将其调整为此。

我仍然在我在以前的帖子中创建的无线控制器中的我的ACLS,但为了评论,我将在这里列出他们,因为他们对我们的政策很重要:

我将在ISE中创建授权配置文件,了解我将通过导航来创建的新策略 政策>Policy Elements>Authorization>授权配置文件 然后点击 添加。我要创建以下策略:

名称: 拜托-NO-REG

  • 选中旁边的框 VLAN. 并选择VLAN ID 70
  • 选中旁边的框 Web重定向, 选择 MDM重定向 从下拉下来,填写 nsp-acl. in the ACL. 领域,选择 MDM门户(默认) 在下面 价值 and for MDM服务器, 选择 Meraki-MDM

名称: 拜托-NO-COMP

  • 选中旁边的框 VLAN. and select VLAN ID 70
  • 选中旁边的框 Web重定向, 选择 MDM重定向 从下拉下来,填写 nsp-acl. 在里面 ACL. 领域,选择 MDM门户(默认) 在下面 价值 and for the MDM服务器, 选择 Meraki-MDM

名称: 拜托-COMP

  • 选中旁边的框 VLAN. 并选择VLAN ID 50
  • 检查 Airespace ACL. 盒子和进入 仅限员工

我将通过导航来创造可重复使用的复合条件 政策>Policy Elements>Authorization>Compound Conditions. 我要创造以下条件:

名称: 拜托-MDM-NO-REG
使适应:
NetworkAccess:Eapaechentication平等 EAP-TLS.
MDM:DeviceRegisters等于 未注册

名称: 拜托-MDM-NO-COMPLIANT
使适应:
networkaccess:Eapaechentication等于 EAP-TLS.
MDM:DeviceRegisters等于 挂号的
MDM:DeviceComplianCestatus等于 不合规..

名称: 拜托-MDM-COMPLIANT
使适应:
networkaccess:Eapaechentication等于 EAP-TLS.
MDM:器件原理等于 挂号的
MDM:DeviceComplianCestatus等于 遵守
MDM:MDMSERVERREACHABLE等于 可达

 

现在我有我的策略元素,我将创建我的政策。我要导航到 政策>Policy Sets and then go to my wirelessdot1x. 政策集。在我的授权政策中,我将禁用 拜托-REG 规则并在我的BYOD-CAMERICANT规则下创建以下规则:

名称: MDM兼容并注册
如果: 注册了 and 拜托-MDM-COMPLIANT
然后: 拜托-COMP

名称: MDM未注册
如果: 注册了 and 拜托-MDM-NO-REG
然后: 拜托-NO-REG

名称: MDM不符合符合要求
如果: 注册了 拜托-MDM-NO-COMPLIANT
然后: 拜托-NO-COMP

写入的策略将导致以下流程:
1 - 端点首先通过BYOD和下载证书
2 - 如果用户未注册到Meraki MDM,则重定向以注册以访问内部资源。注意:您可以调整并将其锁定更多,但我设置它只是为了阻止内部资源
3 - 如果端点不符合Meraki MDM策略,则它们只为Internet访问权限,并且必须对内部资源进行补救或未获得访问权限。
4 - 端点兼容并允许访问所有员工访问

注意:我的策略正在使用Byod规则的默认Byod门户网站,并将所有已注册设备放在预处理中 注册了 团体。如果您想更改门户网站的外观或终端注册后结束的组,则可以导航到 行政>设备门户管理>BYOD 要在门户设置下将其更改。此外,您可以在部署中跳过ByoD进程,或者通过Meraki发出证书。我使用现有的Byod策略,但如果您从头开始启动策略,则可以更轻松。

在测试我的策略后,我可以查看流量 运营>RADIUS Livelog:


这是流程将到最终用户的样子:

第1步:我的用户获取BYOD SPLASH页面并启动BYOD onboard过程

步骤2 - 用户可以输入有关本设备的详细信息他们正在注册

第3步 - 引导用户从Google Marketplace下载网络助理向导(仅限Android)

第4步 - 用户下载网络设置助手(仅一次)

第5步 - 网络助手通过SCEP从ISE下载证书,并将其重新连接到网络(仅一次)

步骤6 - 用户未以MDM注册,因此它们被引导到Meraki Systems Manager页面以注册

第7步 - 指导用户从Google Marketplace下载Meraki Systems Manager

第8步 - 用户下载Meraki Systems Manager

步骤9 - 用户下载系统管理器后,将其注册到Meraki云,并评估其设备是否符合策略。如果符合符合员工,他们会访问内部资源作为员工。如果它不符合符合,则只有Internet访问权限,因此无法访问专有信息或可能为内部网络创建安全风险