Cisco Cisco AnyConnect Secure Mobility Client v4.x Administrator's Guide
管理员可以配置在 ISE 终端安全评估过程结束时显示的网络使用政策。 访问该政策时,您会看到在
授予接入 VLAN 的访问权限前用户必须接受的所有必需条款和条件。
授予接入 VLAN 的访问权限前用户必须接受的所有必需条款和条件。
当仅剩下可选更新时,可选择 Skip(跳过)以转到下一个,或选择 Skip All(全部跳过)以忽略所
有剩余补救项。 您可以出于时间考虑跳过可选补救项或仍然保持网络访问。
有剩余补救项。 您可以出于时间考虑跳过可选补救项或仍然保持网络访问。
在补救后(或在无需补救时执行要求检查后),您可能收到可接受使用政策的通知。 它要求您接受
该政策才能进行网络访问,若拒绝则限制访问。 在此部分补救过程中,AnyConnect UI 的终端安全
评估标题部分会显示“System Scan: Network Acceptable Use Policy(系统扫描:网络可接受使用政
策)”。
该政策才能进行网络访问,若拒绝则限制访问。 在此部分补救过程中,AnyConnect UI 的终端安全
评估标题部分会显示“System Scan: Network Acceptable Use Policy(系统扫描:网络可接受使用政
策)”。
当补救完成后,作为所需更新列出的所有检查显示 Done(完成)状态和绿色复选框。 补救后,代理
会向 ISE 发送终端安全评估结果。
会向 ISE 发送终端安全评估结果。
重新评估终端合规性
当终端被视为合规并授予网络访问权限后,可选择基于管理员配置的控制对终端定期进行重新评估。
被动重新评估终端安全评估检查与初始终端安全评估检查不同。 如果管理员配置了相应的设置,那
么当发生任何不符合要求的情形时,用户都可选择修复选项。 配置设置用于控制用户是否维持受信
任的网络接入(即使用户未达到一项或多项强制要求)。 在初始终端安全评估过程中,如果终端未
满足所有强制要求,将被视为不合规。 管理员可将结果设置为 Continue(继续)、Logoff(注销)
或 Remediate(修复),并可配置诸如“强制执行”和“正常时间”等其他选项。
被动重新评估终端安全评估检查与初始终端安全评估检查不同。 如果管理员配置了相应的设置,那
么当发生任何不符合要求的情形时,用户都可选择修复选项。 配置设置用于控制用户是否维持受信
任的网络接入(即使用户未达到一项或多项强制要求)。 在初始终端安全评估过程中,如果终端未
满足所有强制要求,将被视为不合规。 管理员可将结果设置为 Continue(继续)、Logoff(注销)
或 Remediate(修复),并可配置诸如“强制执行”和“正常时间”等其他选项。
默认情况下,ISE UI 禁用此功能;如果为某一用户角色启用该功能,则每 1 到 24 小时执行一次状态
重新终端安全评估。
重新终端安全评估。
自动合规性
凭借终端安全评估租约,ISE 服务器可以完全跳过终端安全评估检查,直接将系统置于合规状态。
通过此功能,如果最近检查过系统终端安全评估,用户不必再经历网络间切换的延迟。 ISE 终端安
全评估代理仅需在发现 ISE 服务器后立即向 UI 发送状态消息,指示系统是否合规。 在 ISE UI(在
Settings(设置)> Posture(终端安全评估)> General Settings(常规设置))中,您可以指定初始合
规性检查后多长时间即认为终端安全评估合规。 即使用户从一个通信接口切换到另一个,也应保持
合规状态。
通过此功能,如果最近检查过系统终端安全评估,用户不必再经历网络间切换的延迟。 ISE 终端安
全评估代理仅需在发现 ISE 服务器后立即向 UI 发送状态消息,指示系统是否合规。 在 ISE UI(在
Settings(设置)> Posture(终端安全评估)> General Settings(常规设置))中,您可以指定初始合
规性检查后多长时间即认为终端安全评估合规。 即使用户从一个通信接口切换到另一个,也应保持
合规状态。
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
165
配置终端安全评估
重新评估终端合规性