Comprar o Renovar
Comprar o Renovar
Aviso: la función para cargar archivos ha sido deshabilitada, lamentamos los inconvenientes.
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Crear un nuevo artículo
1205
Visitas
0
ÚTIL
0
Comentarios

Doc - Integración de ISE con Azure, un mundo de posibilidades

Cisco Moderador
Community Manager
Community Manager

‎05-29-2025 07:26 AM - editado ‎06-02-2025 03:31 PM

Presentación del webinar Community Live

Integración de ISE con Azure, un mundo de posibilidades

Con la colaboración de Roberto E. Higuera y Brad Osorio.

Descubra las cualidades de la integración de Cisco ISE con Microsoft Azure. Aprenda a instalar ISE en Azure e implementar SAML; integrar Intune MDM para políticas de cumplimiento. Además, de explorar el uso de Microsoft Entry ID (Azure AD) para mejorar la experiencia de la autenticación.

Descargue la Presentación (Actualizada)

Ver el Video

Recuerde que la presentación está disponible en pdf para su comodidad. Si este documento le ha resultado útil, no olvide calificar esta publicación con un voto de utilidad para validar su relevancia. ¡Muchas gracias!, 

¿Cómo enviar una pregunta?

Ponemos a su disposición nuestro evento Ask Me Anything (AMA) en cuyo foro podrán externar dudas y solicitar apoyo de nuestros expertos en casos específicos de los temas abordados. ¡Esperamos sus preguntas!

Ir al foro de Discusión
 

Lista de las Q&A del webinar Community Live

Encuentre la lista de preguntas formuladas durante el seminario web Community Live de nuestro evento. Cualquier duda que no haya sido respondida durante la sesión será resuelta posteriormente aquí o en el foro de "Preguntas".

Lista de Preguntas y Respuestas (Q&A)

Pregunta: ¿Por qué el número de TPS cae de manera tan drástica con esos VM en Azure comparado a un VM/Appliance on-prem conectado a un AD tradicional? - Abraham C. (min.9)

Respuesta (Glen J. O.): El protocolo de conexión que usa ISE para conectarse a EntraID es diferente al que usa el AD tradicional. El protocolo utilizado con EntraID es REST. Esto agregado al hecho de que ISE necesita realizar una conexión a un servidor remoto generan que la cantidad de transacciones que puede manejar por segundo sea menor.

Pregunta: Buenos días, ¿podrían compartirnos la liga donde se encontrará la grabación de la sesión de favor, muchas gracias! - Manuel M. (min.17)

Respuesta (Glen J. O.): https://community.cisco.com/t5/videos-seguridad/video-integraci%C3%B3n-de-ise-con-azure-un-mundo-de-posibilidades/ba-p/5294901 

Pregunta: Buen día ¿Cuáles son los requerimientos de Azure para las MVs de ISE. alguna licencia de Azure, tipo de cuenta o suscripción, etc.? - Valeria L. (min.18)

Respuesta (Iván V.): Hola Valeria, para el despliegue de una MV de ISE, la suscripción de Azure debe permitir la creación de VMs, el costo asociado a cada VM cambiará con base en los recursos de cada VM. No se requiere licencias de Azure o algún tipo de cuenta específico.

Pregunta: Consulta ¿qué VM recomiendan para un deploy de un solo nodo entonces Fsv2 o Dsv4 ? - Nicolás V. (min.19)

Respuesta (Glen J. O.): Lo primero y más importante es destacar que el nodo Standalone no es recomendado para producción. En este caso se puede utilizar una instancia Dsv4 ya que es una instancia de propósito general. Referencia: https://www.cisco.com/c/en/us/td/docs/security/ise/performance_and_scalability/b_ise_perf_and_scale.html 

Pregunta: ¿Pueden colocar en la tabla para las VM's que ISE version es soportada? Por ejemplo, en la tabla que colocaron me parecía que tenían configuraciones equivalentes a un 3595 que no soporta 3.3 - Abraham C. (min.20)

Respuesta (Adrián L. R.): Hola Abraham, la tabla puede ser consultada en esta documentación: https://www.cisco.com/c/es_mx/support/docs/security/secure-access-control-system/221026-install-ise-on-azure-cloud-services.html 

Con respecto a las versiones soportadas, la instalación de ISE en Azure se puede desde la versión 3.2, y específicamente que tamaño en Azure es adecuado según la versión de ISE, se sugiere consultar la documentación de instalación de la versión de ISE correspondiente, por ejemplo: https://www.cisco.com/c/en/us/td/docs/security/ise/3-3/install_guide/b_ise_installationGuide33/b_ise_InstallationGuide33_chapter_2.html 

Pregunta: ¿Cuál sería la VM standard en Azure que Uds. sugerirían para un 3755? - Abraham C. (min.22)

Respuesta (Iván V.): Hola Abraham, para tener un rendimiento similar al SNS 3755 en Azure se recomienda una Standard_D32s_v4

Pregunta: ¿No se va a ver en la agenda la integración de ISE VM/Appliance On-prem con Entra ID y Intune ,para autenticación 802.1x ? - Iván S. (min.23)

Respuesta (TBC): Respuesta en espera

Pregunta: Se va a tocar el siguiente tema en la agenda de la sesión : Authentication/Authorization with ISE and Entra ID ? - Iván S. (min.26)

Respuesta (TBC): Respuesta en espera

Pregunta: Desplieguen por favor las opciones de SIZE - Abraham C. (min.26)

Respuesta (Iván V.): Es una captura de pantalla, pero las opciones que se despliegan en ese menú son todas las opciones de tamaño que existen para una Máquina Virtual en Azure, son muchas opciones (931 a día de hoy) y aquí se debe seleccionar alguna de las que nuestros presentadores mostraron en la tabla de los tamaños recomendados para ISE.

Pregunta: Ise implementado en On-premise, ¿cuáles son los procesos para migrar a cloud? - Ricardo H. (min.27)

Respuesta (Glen J. O.): Es posible tomar un backup de tu ISE On-prem y restaurarlo en un nodo en la nube sin ningún problema.

Pregunta: El feature llamado Passive ID ¿aún se mantiene disponible al migrar a Azure? - Abraham C. (min.33)

Respuesta (Glen J. O.): Sí. PassiveID esta soportado por ISE en Azure. No obstante, cabe recalcar que si se busca usar PassiveID con el directorio activo, esto está solo disponible con el on-prem active directory. Hoy en día no existe la posibilidad de integrar passiveID con EntraID

Pregunta: Usualmente el Super MNT (como se le llamaba en ISE 2.4+) se configuraba con 256 GB memoria, en nuestros tests hemos logrado llevar ese número hacia arriba debido a alertas por falta de memoria. Pregunta: ¿Se pueden customizar los valores de CPU/Memoria/Disco en Azure VM para ISE o se debe seleccionar mandatoriamente una de las 931 opciones? - Abraham C. (min.43)

Respuesta (Adrián L. R.): Sí se puede hacer resize de las vms en Azure, pero hay que tener cuidado de seleccionar las versiones especificadas en la documentación: https://www.cisco.com/c/en/us/td/docs/security/ise/ISE_on_Cloud/b_ISEonCloud/m_ISEonAzureServices.html + también se tiene que hacer mientras la vm esté apagada.

Pregunta: Las instalaciones OVA / ISO para el Primary PAN o MNT, solo te permiten llegar hasta 2.4 TB de disco no importa cuanta retención de data quieras tener. Pregunta: Para ISE Azure se puede tener un valor de disco más alto? Lo pregunto porque a veces queremos tener mayor retención de data pero ISE no nos permite tener con 2.4 TB mas de 30 días ya que empieza a arrojar errores - Abraham C. (min.46)

Respuesta (Glen J. O.): Desafortunadamente ISE en este momento no soporta un disk size mayor a 2.4TB

Pregunta: ¿Hay manera de que únicamente se pueda acceder a la administración por un aIP privada para evitar exponer el ISE a internet? - Mauricio L. (min.48)

Respuesta (Iván V.): Sí se puede usar la IP privada para acceder a ISE, y bloquear el acceso a todo el tráfico por la IP pública. Sin embargo, es importante considerar que la arquitectura de la red debe ser capaz de manejar el tráfico ya sea directo por la VPC, o usando ExpressRoute para llegar a los dispositivos On-prem.

Pregunta: Buen día, ¿puedo unir a un deployment de nodos on-premise existente un nodo de ISE en Azure? - Gustavo B. (min.50)

Respuesta (Iván V.): Sí, se puede tener un deployment hibrido con nodos en Azure y nodos On-prem.

Pregunta: ¿Para iseadmin se puede poner 2FA? - Carlos G. (min.55)

Respuesta (TBC): Respuesta en espera

Pregunta: ¿Sigue estando recomendado evitar ciertas personas en Azure? No recuerdo si tenía que ver con un problema con Azure y cuál era la restricción. - Amelia D. (min.55)

Respuesta (Adrián L. R.): Hola Amelia, la recomendación es basarse en la guía de Escalabilidad para la asignación de las Personas (PSN, MNT, PAN, etc.) la cual puede consultarse aquí: https://www.cisco.com/c/en/us/td/docs/security/ise/performance_and_scalability/b_ise_perf_and_scale.html 

Pregunta: La integración a través de SAML ¿será solo para admin access? - Edisson G. (min.58)

Respuesta (Iván V.): El día de hoy, en está presentación solo mostrará solo se mostrará para Admin Access, pero SAML también se puede usar para Guest Authentication.

Pregunta: No, me refiero a q no estaba recomendado por un problema con Azure desplegar o PAN o PSN. - Amelia D. (min.68)

Respuesta (Iván V.): Actualmente se pueden desplegar todos los roles en Azure, lo único que hay que considerar son los puntos que se presentan en la sección de "Known Limitations of Cisco ISE in Microsoft Azure Cloud Services", una limitación mostrada ahí puede afectar el procesamiento de paquetes de RADIUS (Out-of-order). Tomando las consideraciones de la documentación, cualquier rol de ISE puede desplegarse en Azure. Fuente https://www.cisco.com/c/en/us/td/docs/security/ise/ISE_on_Cloud/b_ISEonCloud/m_ISEonAzureServices.html 

Pregunta: ¿Es posible utilizar esta integración como Identity Source para la autenticación a través de 802.1x ya sea sobre wired o wifi? - Edisson G. (min.76)

Respuesta (Iván V.): Sí es posible

Pregunta: ¿Tendrán este tipo de webinars o documentación para hacerlo con OCI? - Juan Alberto B. (min.80)

Respuesta (Adrián L. R.): Hola Juan, aquí puedes consultar documentación de ISE en OCI cloud: https://www.cisco.com/c/en/us/td/docs/security/ise/ISE_on_Cloud/b_ISEonCloud/m_ISEonOCI.html 

Pregunta: Hola! El certificado de Azure, ¿cuántos años tiene de vigencia? Gracias - Antolín R. (min.83)

Respuesta (Glen J. O.): Perdón, cual certificado?

Pregunta: El poder utilizar esta integración para autenticación 802.1x sobre wired o wifi es aplicada a partir de la versión 3.4? Pues en versiones anteriores no permite seleccionar la integración sobre la políticas de autenticación. - Edisson G. (min.84)

Respuesta (Iván V.): Una disculpa Edisson, en tu pregunta anterior creí que te referías a la integración de ISE en Azure, y dot1x. Para el caso de SAML, actualmente solo se puede usar para Admin Access y Portal Access (Guest/BYOD).

Pregunta: El soporte de la licencia del ISE que se instala en Azure ¿se cotiza y renueva como siempre, es decir con el udi? - Leonel R. (min.86)

Respuesta (Glen J. O.): Es correcto. El mecanismo de licencias es el mismo entre cloud y On-prem.

Pregunta: ¿ Qué alternativa existe para llevar a cabo autenticación 802.1x a través de wired o wifi si cuento como identity source la integración con Azure/SAML y adicional quiero hacer uso del MFA de Azure? - Edisson G. (min.89)

Respuesta (Glen J. O.): El flujo de SAML no está disponible para 802.1x. En cuanto a Azure MFA, necesito investigar más al respecto. En este momento lo que recuerdo es que no esta soportado pero me gustaría confirmar.

Se le puede dar seguimiento a esto en el link: https://community.cisco.com/t5/videos-seguridad/video-integraci%C3%B3n-de-ise-con-azure-un-mundo-de-posibilidades/ba-p/5294901 

Pregunta: ¿Cuál seria la versión / patch recomendada para ISE AZURE? - Abraham C. (min.91)

Respuesta (Adrián L. R.): Esta pregunta fue respondida en vivo (ver el final del video).

Pregunta PQ#2: ¿Qué método de actualización está disponible para un nodo de Cisco ISE en Azure?​

Opciones de respuesta: a) Split upgrade b) Full upgrade c) Backup and Restore d) Upgrade por CLI // Respuesta Correcta: c) Backup and Restore

Pregunta PQ#3: ¿Qué atributos de Cisco ISE debe configurar en Azure para su integración con SAML?

Opciones de respuesta: a) EntityID y Location b) IP de ISE c) Grupos d) El certificado de ISE // Respuesta Correcta: a) EntityID y Location

Nuestros expertos

rhiguera.jpgRoberto E. Higuera - Ingeniero en Ingeniería de Tecnologías de la Información egresado de la Universidad Politécnica de Cd. Victoria del estado de Tamaulipas. Se incorporó a Cisco en 2022 a través del programa Customer Experience Academy para recién egresados, obteniendo la certificación CCNA y DevNet. Posteriormente, se incorporó a la tecnología de Security en el equipo de AAA donde se desempeña como experto en materia (SME) de Posture, consolidándose como un punto de escalación clave para estos tópicos.

brosorio.jpgBrad Osorio - Egresado de la carrera de Ingeniería en Comunicaciones y Electrónica de la Escuela Superior de Ingeniería Mecánica y Eléctrica, unidad Zacatenco, del Instituto Politécnico Nacional (IPN), Ciudad de México. Se unió al programa de Customer Experience Academy de Cisco en octubre de 2022, donde obtuvo la certificación CCNA. Actualmente, es un miembro clave del equipo de Security AAA, desempeñando un papel importante en diversos aspectos relacionados con el servidor ISE. Se destaca por sus contribuciones al desarrollo de nuevos talentos, impartiendo entrenamientos especializados en MDM y Guest, lo cual ha sido crucial para fortalecer el capital técnico del grupo.

 

Próximos Eventos

Eventos Anteriores
Para obtener más información, visite los contenidos de la sección de Seguridad.
Si usted tiene dudas o está experimentando problemas técnicos con alguno de los productos Cisco, publique su pregunta, solicite información o utilice el motor de búsqueda de la Comunidad de Cisco en español, antes de abrir un caso con el TAC.
Vista previa de archivo
2939 KB
0 Útil
Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:

Navegue y encuentre contenido personalizado de la comunidad

Videos de Seguridad Blogs de Seguridad Otros Eventos de Seguridad
Customers Also Viewed These Support Documents