Cisco Cisco AnyConnect Secure Mobility Client v2.x Administrator's Guide
管理员可以配置在 ISE 终端安全评估过程结束时显示的网络使用策略。 访问该政策时,您会看到在
授予接入 VLAN 的访问权限前用户必须接受的所有必需条款和条件。
授予接入 VLAN 的访问权限前用户必须接受的所有必需条款和条件。
当仅剩下可选更新时,才可选择 Skip 跳到下一步操作,或选择 Skip All 以忽略所有剩余补救项。 您
可以出于时间考虑跳过可选补救项或仍然保持网络访问。
可以出于时间考虑跳过可选补救项或仍然保持网络访问。
在补救后(或在无需补救时执行要求检查后),您可能收到可接受使用政策的通知。 它要求您接受
该政策才能进行网络访问,若拒绝则限制访问。 在此部分补救过程中,AnyConnect UI 的终端安全
评估图块部分会显示“System Scan: Network Acceptable Use Policy”。
该政策才能进行网络访问,若拒绝则限制访问。 在此部分补救过程中,AnyConnect UI 的终端安全
评估图块部分会显示“System Scan: Network Acceptable Use Policy”。
当补救完成后,作为所需更新列出的所有检查都显示 Done 状态和绿色复选框。 补救后,代理会向
ISE 发送终端安全评估结果。
ISE 发送终端安全评估结果。
重新评估终端合规性
当终端被视为合规并授予网络访问权限后,可选择基于管理员配置的控制对终端定期进行重新评估。
被动重新评估终端安全评估检查与初始终端安全评估检查不同。 如果管理员配置了相应的设置,那
么当发生任何不符合要求的情形时,用户都可选择修复选项。 配置设置用于控制用户是否维持受信
任的网络访问(即使用户未达到一项或多项强制要求)。 在初始终端安全评估过程中,如果终端未
满足所有强制要求,将被视为不合规。 管理员可将结果设置为 Continue、Logoff 或 Remediate,并
可配置诸如“强制执行”和“正常时间”等其他选项。
被动重新评估终端安全评估检查与初始终端安全评估检查不同。 如果管理员配置了相应的设置,那
么当发生任何不符合要求的情形时,用户都可选择修复选项。 配置设置用于控制用户是否维持受信
任的网络访问(即使用户未达到一项或多项强制要求)。 在初始终端安全评估过程中,如果终端未
满足所有强制要求,将被视为不合规。 管理员可将结果设置为 Continue、Logoff 或 Remediate,并
可配置诸如“强制执行”和“正常时间”等其他选项。
默认情况下,ISE UI 禁用此功能;如果为某一用户角色启用该功能,则每 1 到 24 小时执行一次状态
重新终端安全评估。
重新终端安全评估。
自动合规性
凭借终端安全评估租约,ISE 服务器可以完全跳过终端安全评估检查,直接将系统置于合规状态。
通过此功能,如果最近检查过系统终端安全评估,用户不必再经历网络间切换的延迟。 ISE 终端安
全评估代理仅需在发现 ISE 服务器后立即向 UI 发送状态消息,指示系统是否合规。 在 ISE UI (Settings
> Posture > General Settings) 中,您可以指定初始合规性检查后多长时间即认为终端安全评估合规。
即使用户从一个通信接口切换到另一个,也应保持合规状态。
通过此功能,如果最近检查过系统终端安全评估,用户不必再经历网络间切换的延迟。 ISE 终端安
全评估代理仅需在发现 ISE 服务器后立即向 UI 发送状态消息,指示系统是否合规。 在 ISE UI (Settings
> Posture > General Settings) 中,您可以指定初始合规性检查后多长时间即认为终端安全评估合规。
即使用户从一个通信接口切换到另一个,也应保持合规状态。
使用终端安全评估租约时,如果 ISE 上的会话有效,终端会从未知状态变为合规状态。
注释
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
165
配置终端安全评估
重新评估终端合规性