Здравствуйте, Я использую ISE 3.4 Patch 4. У меня есть компьютер, который управляется в Entra, и этот компьютер находится в группе под названием «EntraID-Test-Group». У меня есть соединение между ISE и Entra ID (Внешние источники идентификации -> Остальное). Там я также могу выбрать, какие группы из Entra я хочу использовать. Аутентификация одобрена, но во время авторизации обходится правило, которое гласит: «EntraIDDevice — ExternalGroups РАВНО EntraID-Test-Group». Почему это правило не срабатывает? Я использую «ENTRA DEVICE ID» в сертификате. Что я упускаю?

]]>https://sla247.ru/forum/topic/2268/cisco-ise-entra-id-авторизация-группы-устройствRSS for NodeFri, 15 May 2026 11:00:05 GMTMon, 02 Mar 2026 12:20:57 GMT60Привет!
Возможно, проблема заключается в том, что ISE не может прочитать группы, в которых состоит пользователь. У меня была такая проблема, и в моем случае она заключалась в том, что некоторые атрибуты пользователя в ISE имели измененные строковые значения в Azure. Таким образом, Azure отправлял значение, которое не распознавалось ISE, что не позволяло ISE прочитать группы пользователей.
Я решил эту проблему, удалив из списка атрибут пользователя
«deviceEnrollmentLimit
». После этого ISE смог прочитать группы, и условие набора политик для сопоставления групп начало работать.
Путь для поиска атрибутов пользователя для ENTRA:
![Mafra_0-1770930343406.png]

]]>https://sla247.ru/forum/post/15975https://sla247.ru/forum/post/15975Mon, 02 Mar 2026 12:20:59 GMTЯ нашел проблему. Мне пришлось добавить * перед и после кода регулярного выражения для Entra Device ID. Если бы у меня был регулярный выражение только для Entra Device ID, я бы не смог заставить его работать, так что, вероятно, он поставляется с чем-то еще из сертификата. Завтра я более точно проверю, что он отправляет, но на данный момент решением является * регулярное выражение для Entra Device ID *. Спасибо за ответ.

]]>https://sla247.ru/forum/post/15974https://sla247.ru/forum/post/15974Mon, 02 Mar 2026 12:20:58 GMT