Cisco ISE Entra ID — авторизация группы устройств

besart-rexhepi

Здравствуйте, Я использую ISE 3.4 Patch 4. У меня есть компьютер, который управляется в Entra, и этот компьютер находится в группе под названием «EntraID-Test-Group». У меня есть соединение между ISE и Entra ID (Внешние источники идентификации -> Остальное). Там я также могу выбрать, какие группы из Entra я хочу использовать. Аутентификация одобрена, но во время авторизации обходится правило, которое гласит: «EntraIDDevice — ExternalGroups РАВНО EntraID-Test-Group». Почему это правило не срабатывает? Я использую «ENTRA DEVICE ID» в сертификате. Что я упускаю?

besart-rexhepi

Я нашел проблему. Мне пришлось добавить * перед и после кода регулярного выражения для Entra Device ID. Если бы у меня был регулярный выражение только для Entra Device ID, я бы не смог заставить его работать, так что, вероятно, он поставляется с чем-то еще из сертификата. Завтра я более точно проверю, что он отправляет, но на данный момент решением является * регулярное выражение для Entra Device ID *. Спасибо за ответ.

Mafra

Привет!
Возможно, проблема заключается в том, что ISE не может прочитать группы, в которых состоит пользователь. У меня была такая проблема, и в моем случае она заключалась в том, что некоторые атрибуты пользователя в ISE имели измененные строковые значения в Azure. Таким образом, Azure отправлял значение, которое не распознавалось ISE, что не позволяло ISE прочитать группы пользователей.
Я решил эту проблему, удалив из списка атрибут пользователя
«deviceEnrollmentLimit
». После этого ISE смог прочитать группы, и условие набора политик для сопоставления групп начало работать.
Путь для поиска атрибутов пользователя для ENTRA:
![Mafra_0-1770930343406.png]