情景简介
我们的无线网络上可以存在三种类型的设备:
- AD 加入,企业所有(Windows PC/笔记本电脑/Surface)
- 非 AD 加入,企业所有(iPad/Chromebook 及其风格)
- 非公司所有,非 AD 加入 (BYOD)
第三个设备 (BYOD) 将始终仅存在于由 PRIME 管理的访客网络上,并且除了被拒绝之外从不与 ISE 交谈。
第一个设备 (Windows AD) 将加入域,并具有基于设备和用户应用 wi-fi 配置的组策略。
第二个设备很容易通过 MDM 解决方案和 Google 自己的 For Work 管理中心进行管理。
我的问题
我们正在部署超过 2000 台第二类设备(ipad 和 chromebook),到目前为止,我们的部署例行程序出现了问题。我们一直在运行 MAC 的 MDM 导出并导入到 ISE,但这感觉笨拙且非常手动。我们当前的设置为这些设备有一个身份端点组静态分配。该过程是将设备连接到一个安全性较低的仅用于 Internet 的接入点,然后等待网络支持导出/导入 MAC 会减慢该过程 - 特别是当导出丢失几个单元时(因为为什么不在网络世界中,对吧?)
我从有关入职、BYOD、身份组分配和政策等的一些文档和用户体验中获得了混合信息。我对“无法完成,继续前进”感到满意,我们正在查看证书,但 VAR设置 ISE 的人从来都不是证书的范围。我们有内部人员来设置它,只是时间不够。我们可以暂时做些什么(为了度过这个夏天)来加快通过静态组分配自动(或自动)在 ISE 中对这些设备进行授权。
我很好奇的一些想法是,我们是否可以启用一项策略,该策略表示使用 AD 用户“adm”连接到 SSID“xyz”的设备获取组分配“devType2”。
非常感谢您的任何想法。