Integrieren der Netzwerkzugriffssteuerung (NAC) mit Intune

Intune arbeitet mit Partnern für die Netzwerkzugriffssteuerung (Network Access Control, NAC) zusammen, um Organisationen beim Schützen von Unternehmensdaten zu helfen, wenn Geräte versuchen, auf lokale Ressourcen zuzugreifen.

Hinweis

Im Juli 2021 wurde ein neuer NAC-Dienst (CR-Dienst) veröffentlicht, und viele unserer NAC-Partner wechseln auf diesen neuen Dienst. Obwohl wir die Zeitleiste für die Unterstützung des Legacy-NAC-Diensts bis zum 31. März 2024 verlängert haben, empfehlen wir Ihnen, zum neuen CR-Dienst zu migrieren, um Dienstunterbrechungen zu vermeiden. Derzeit unterstützt das folgende NAC-Partnerprodukt den neuen NAC-Dienst:

  • Cisco ISE 3.1 und höher
  • Citrix Gateway 13.0-84.11 und höher
  • Citrix Gateway 13.1-12.50 und höher
  • F5 BIG-IP Access Policy Manager 14.1.5.2 und höher
  • F5 BIG-IP Access Policy Manager 15.1.7 und höher
  • F5 BIG-IP Access Policy Manager 16.1.3.1 und höher
  • F5 BIG-IP-Zugriffsrichtlinienmanager 17.0 und höher
  • Ivanti Connect Secure 9.1R16 und höher
  • Aruba ClearPass mit Microsoft Intune Extension v6 und höher
  • Forescout eyeExtend Microsoft Module v1.0.1 und höher
  • Portnox Cloud

Wenden Sie sich an Ihren NAC-Partner, wenn Sie Fragen zu den Auswirkungen dieses Wechsels haben. Weitere Informationen finden Sie in unserem Blogbeitrag zum neuen Compliance-Abrufdienst.

Wie tragen Intune- und NAC-Lösungen zum Schutz der Ressourcen Ihrer Organisation bei?

Lösungen für die Netzwerkzugriffsteuerung überprüfen den Registrierungs- und Kompatibilitätsstatus des Geräts mit Intune, um Entscheidungen bezüglich der Zugriffssteuerung zu treffen. Wenn das Gerät nicht registriert ist oder registriert ist, aber nicht den Intune-Gerätekonformitätsrichtlinien entspricht, sollte es für die Registrierung oder eine Gerätekonformitätsprüfung an Intune umgeleitet werden.

Beispiel

Wenn das Gerät registriert und mit Intune kompatibel ist, sollte die NAC-Lösung dem Gerät den Zugriff auf Unternehmensressourcen erlauben. Benutzern kann beispielsweise der Zugriff auf das Unternehmens-WLAN oder VPN-Ressourcen gewährt oder verweigert werden.

Featureverhalten

Geräte, die aktiv mit Intune synchronisiert werden, können nicht vom Zustand Konform / Nicht konform in Nicht synchronisiert (oder Unbekannt) wechseln. Der Zustand Unbekannt ist für neu registrierte Geräte reserviert, die noch nicht im Hinblick auf ihre Konformität ausgewertet wurden.

Bei Geräten, für die der Zugriff auf Ressourcen blockiert ist, sollte der blockierende Dienst alle Benutzer auf das Verwaltungsportal umleiten, um festzustellen, warum das Gerät blockiert ist. Wenn die Benutzer diese Seite besuchen, werden ihre Geräte erneut synchron im Hinblick auf Konformität ausgewertet.

Netzwerkzugriffssteuerung und bedingter Zugriff

Die Netzwerkzugriffssteuerung nutzt bei Entscheidungen bezüglich der Zugriffssteuerung den bedingten Zugriff. Weitere Informationen finden Sie unter Gängige Möglichkeiten für die Verwendung des bedingten Zugriffs in Intune.

Funktionsweise der NAC-Integration

Im Folgenden erhalten Sie einen Überblick darüber, wie die Integration der Netzwerkzugriffssteuerung funktioniert, wenn sie in Intune integriert ist. In den Schritten 1-3 wird der Onboardingprozess erklärt. Nachdem die Lösung für die Zugriffssteuerung in Intune integriert wurde, wird in den Schritten 4-9 der laufende Betrieb beschrieben.

Darstellung der Funktionsweise der Netzwerkzugriffssteuerung mit Intune

  1. Registrieren Sie die NAC-Partnerlösung mit Microsoft Entra-ID, und gewähren Sie delegierte Berechtigungen für die Intune-NAC-API.
  2. Konfigurieren Sie die Lösung des NAC-Partners mit den geeigneten Einstellungen, darunter die URL für die Intune-Ermittlung.
  3. Konfigurieren Sie die Lösung des NAC-Partners für die Zertifikatauthentifizierung.
  4. Der Benutzer stellt eine Verbindung zum WLAN-Zugriffspunkt her oder fordert eine VPN-Verbindung an.
  5. Die Lösung des NAC-Partners leitet die Geräteinformationen an Intune weiter und fragt Intune nach dem Registrierungs- und Kompatibilitätsstatus des Geräts.
  6. Wenn das Gerät nicht konform oder nicht registriert ist, weist die Lösung des NAC-Partners den Benutzer an, das Gerät zu registrieren oder die Konformitätsprobleme zu beheben.
  7. Das Gerät versucht bei Bedarf, seinen Konformitäts- und Registrierungszustand erneut zu überprüfen.
  8. Wenn das Gerät registriert wurde und kompatibel ist, erhält die Lösung des NAC-Partners von Intune eine entsprechende Statusmeldung.
  9. Die Verbindung wird erfolgreich hergestellt, und das Gerät erhält Zugriff auf Unternehmensressourcen.

Hinweis

NAC-Partnerlösungen senden üblicherweise zwei verschiedene Arten von Abfragen an Intune, um den Konformitätsstatus des Geräts abzurufen:

  • Abfragen, die basierend auf einem bekannten Eigenschaftswert eines einzelnen Geräts filtern (z. B. basierend auf der IMEI-Nummer oder der WLAN-MAC-Adresse)
  • Umfassende, ungefilterte Abfragen für alle nicht konformen Geräte.

NAC-Lösungen dürfen so viele gerätespezifische Abfragen senden wie nötig. Die umfassenden ungefilterten Abfragen können jedoch eingeschränkt werden. Die NAC-Lösung sollte so konfiguriert werden, dass die Abfragen für alle nicht konformen Geräte höchstens einmal alle vier Stunden übermittelt werden. Bei häufiger durchgeführten Abfragen wird ein HTTP 503-Fehler vom Intune-Dienst ausgegeben.

Aktivieren von NAC

Um die Verwendung von NAC und dem Im Juli 2021 verfügbaren Compliance-Abrufdienst zu ermöglichen, verweisen Sie auf die neueste Dokumentation Ihres NAC-Produkts, um die NAC-Integration in Intune zu aktivieren. Diese Integration erfordert möglicherweise, dass Sie Änderungen vornehmen müssen, nachdem Sie ein Upgrade auf das neue NAC-Produkt oder die neue Version des NAC durchgeführt haben.

Der Konformitätsabrufdienst erfordert eine zertifikatbasierte Authentifizierung und die Verwendung der Intune-Geräte-ID als alternativen Antragstellernamen der Zertifikate. Für SCEP-Zertifikate (Simple Certificate Enrollment Protocol) und PKCS-Zertifikate (Private and Public Key Pair) können Sie ein Attribut des URI-Typs mit einem von Ihrem NAC-Anbieter definierten Wert hinzufügen. Die Anweisungen Ihres NAC-Anbieters könnten beispielsweise als alternativen Antragstellernamen einschließenIntuneDeviceId://{{DeviceID}}.

Andere NAC-Produkte erfordern möglicherweise die Angabe einer Geräte-ID, wenn Sie NAC mit iOS-VPN-Profilen verwenden.

Hinweis

Wir haben jetzt Unterstützung für das Abfragen von Geräten basierend auf Mac-Adressen für Kunden hinzugefügt, die die zertifikatbasierte Authentifizierung nicht verwenden können. Es wird jedoch empfohlen, nach Möglichkeit die zertifikatbasierte Authentifizierung mit der Intune-Geräte-ID zu verwenden.

Weitere Informationen zu Zertifikatprofilen finden Sie unter Verwenden von SCEP-Zertifikatprofilen mit Microsoft Intune und Verwenden eines PKCS-Zertifikatprofils zum Bereitstellen von Geräten mit Zertifikaten in Microsoft Intune

Für NAC-Partner freigegebene Daten

Die spezifischen Geräteeigenschaften, die für NAC-Partner freigegeben werden, hängen von der Version der NAC-API ab, die das NAC-Produkt verwendet. Wenden Sie sich an Ihren NAC-Partner, um weitere Informationen darüber zu erfahren, welche Version der NAC- oder Compliance-Abruf-API Von Ihrem NAC-Produkt verwendet wird.

Außerdem sind die zurückgegebenen Daten eingeschränkt, wenn:

  • Das Gerät ist nicht bei Intune registriert. In diesem Fall werden keine anderen Informationen als die, dass das Gerät nicht von Intune verwaltet wird, für das NAC-Produkt freigegeben.
  • Das Betriebssystem verhindert, dass die bestimmte Geräteeigenschaft für Microsoft freigegeben wird. Intune gibt leere Werte für Dateneigenschaften, die vom Betriebssystem nicht für Intune freigegeben wurden, an das NAC-Produkt zurück.
Geräteeigenschaft Verfügbar in NAC 1.0 Verfügbar in NAC 1.1 Verfügbar in NAC 1.3 Verfügbar in Compliance Retrieval/NAC 2.0
Compliance-Status Ja Ja Ja Ja
Von Intune verwaltet Ja Ja Ja Ja
Privat- oder Unternehmensbesitz Nein Ja Ja Nein
MAC-Adresse Ja Ja Ja Ja
Seriennummer Ja Ja Ja Nein
IMEI Ja Ja Ja Nein
UDID Ja Ja Ja Nein
MEID Ja Ja Ja Nein
BS-Version Ja Ja Ja Nein
Gerätemodell Ja Ja Ja Nein
Hersteller Ja Ja Ja Nein
Microsoft Entra Geräte-ID Ja Ja Ja Nein
Zeitpunkt des letzten Kontakts mit Intune Ja Ja Ja Nein
Intune-Geräte-ID Nein Nein Nein Ja

Nächste Schritte