Integración del control de acceso a la red (NAC) con Intune
Intune se integra con asociados de control de acceso a la red (NAC) para ayudar a las organizaciones a proteger los datos de empresa cuando los dispositivos intentan tener acceso a los recursos locales.
Nota:
El servicio de recuperación de cumplimiento se publicó en julio de 2021 y reemplazó al anterior servicio NAC de Intune. Microsoft Intune proporciona soporte técnico para el servicio NAC de Intune heredado hasta el 31 de marzo de 2024. Nuestros asociados de NAC están realizando la transición al servicio de recuperación de cumplimiento e incluyen:
- ExtremeCloud Universal ZTNA
- Extreme Networks ExtremeCloud IQ-Site Engine versión 24.2
- Cisco ISE 3.1 y versiones posteriores
- Citrix Gateway 13.0-84.11 y versiones posteriores
- Citrix Gateway 13.1-12.50 y versiones posteriores
- F5 BIG-IP Access Policy Manager 14.1.5.2 y versiones posteriores
- F5 BIG-IP Access Policy Manager 15.1.7 y versiones posteriores
- F5 BIG-IP Access Policy Manager 16.1.3.1 y versiones posteriores
- F5 BIG-IP Access Policy Manager 17.0 y versiones posteriores
- Ivanti Connect Secure 9.1R16 y versiones posteriores
- Aruba ClearPass con la extensión de Microsoft Intune v6 y versiones posteriores
- Forescout eyeExtend Microsoft Module v1.0.1 y versiones posteriores
- Portnox Cloud
En el futuro dejaremos de usar el servicio NAC de Intune, por lo que se recomienda migrar al servicio de recuperación de cumplimiento para evitar interrupciones del servicio. Póngase en contacto con el proveedor de soluciones nac si tiene preguntas sobre el servicio de recuperación de cumplimiento o el impacto en el inquilino. Para obtener más información y actualizaciones sobre el servicio de recuperación de cumplimiento y los asociados de NAC, consulte Microsoft Tech Community: Nuevo servicio de Microsoft Intune para el control de acceso a la red.
¿Cómo Intune y las soluciones de NAC ayudan a proteger los recursos de su organización?
Las soluciones de NAC comprueban el estado de inscripción y cumplimiento de los dispositivos con Intune para tomar decisiones de control de acceso. Si el dispositivo no está inscrito o está inscrito pero no es conforme con las directivas de cumplimiento de dispositivos de Intune, debe redirigirse a Intune para su inscripción o para una comprobación de cumplimiento.
Ejemplo
Si el dispositivo está inscrito y es compatible con Intune, la solución de NAC debe permitir el acceso del dispositivo a los recursos de la empresa. Por ejemplo, a los usuarios se les puede permitir o denegar el acceso al intentar tener acceso a los recursos de VPN o Wi-Fi de la empresa.
Comportamientos de la característica
Los dispositivos que se están sincronizando activamente en Intune no pueden pasar de Compatible / No compatible a No sincronizado (o Desconocido). El estado Desconocido está reservado a los dispositivos recién inscritos cuyo cumplimiento aún no se ha evaluado.
En el caso de los dispositivos cuyo acceso a los recursos está bloqueado, el servicio de bloqueo debe redirigir a todos los usuarios al portal de administración para determinar por qué el dispositivo está bloqueado. Si los usuarios visitan esta página, la compatibilidad de sus dispositivos se vuelve a evaluar sincrónicamente.
NAC y acceso condicional
NAC funciona con el acceso condicional para proporcionar decisiones de control de acceso. Para más información, consulte Formas comunes de usar el acceso condicional con Intune.
Cómo funciona la integración de NAC
La siguiente lista presenta información general sobre cómo funciona la integración de NAC con Intune. Los tres primeros pasos, 1 al 3, explican el proceso de incorporación. Una vez que la solución de NAC está integrada con Intune, los pasos del 4 al 9 describen la operación en curso.
- Registre la solución de asociado de NAC con el identificador de Microsoft Entra y conceda permisos delegados a la API de NAC de Intune.
- Configure la solución de partner de NAC con las opciones correctas incluida la URL de detección de Intune.
- Configure la solución de partner de NAC para la autenticación de certificados.
- El usuario se conecta al punto de acceso de Wi-Fi de la empresa o realiza una solicitud de conexión VPN.
- La solución de asociados de NAC reenvía la información del dispositivo a Intune y pregunta a Intune sobre el estado de cumplimiento y la inscripción de dispositivos.
- Si el dispositivo no es compatible o no está inscrito, la solución de asociados de NAC indica al usuario que inscriba o corrija el cumplimiento del dispositivo.
- El dispositivo intenta volver a comprobar su cumplimiento y su estado de inscripción, cuando procede.
- Una vez que el dispositivo está inscrito y es compatible, la solución de asociados de NAC obtiene el estado de Intune.
- La conexión se establece correctamente, lo que permite al dispositivo tener acceso a los recursos de la empresa.
Nota:
Las soluciones de asociados de NAC normalmente realizarán dos tipos diferentes de consulta a Intune para preguntar sobre el estado de cumplimiento de dispositivos:
- Filtrado de consultas basado en un valor de propiedad conocido de un único dispositivo, como su dirección MAC Wi-Fi o IMEI
- Consultas amplias y sin filtrar para todos los dispositivos no compatibles
Las soluciones NAC pueden realizar tantas consultas específicas del dispositivo como sea necesario. Sin embargo, es posible que se limiten las consultas no filtradas. La solución NAC debe configurarse para enviar solo las consultas de todos los dispositivos no compatibles, como máximo, una vez cada cuatro horas. Las consultas realizadas con más frecuencia recibirán un error HTTP 503 del servicio Intune.
Habilitación de NAC
Para habilitar el uso de NAC y el servicio de recuperación de cumplimiento, consulte la documentación más reciente del producto nac para habilitar la integración de NAC con Intune. Esta integración puede requerir que realice cambios después de actualizar a un nuevo producto o versión de NAC.
El servicio de recuperación de cumplimiento requiere autenticación basada en certificados y el uso del identificador de dispositivo de Intune como nombre alternativo del firmante de los certificados. Para los certificados del Protocolo simple de inscripción de certificados (SCEP) y del par de claves pública y privada (PKCS), puede agregar un atributo del tipo uri con un valor definido por el proveedor de NAC. Por ejemplo, las instrucciones del proveedor de NAC podrían indicar que se incluya IntuneDeviceId://{{DeviceID}}
como nombre alternativo del firmante.
Es posible que otros productos nac requieran que incluya un identificador de dispositivo al usar NAC con perfiles de VPN de iOS.
Sugerencia
Se recomienda usar la autenticación basada en certificados con el identificador de dispositivo de Intune siempre que sea posible. Si no puede usar la autenticación basada en certificados, Intune admite la consulta de dispositivos basados en direcciones MAC.
Para obtener más información sobre los perfiles de certificado, consulte Uso de perfiles de certificado SCEP con Microsoft Intune y Uso de un perfil de certificado PKCS para aprovisionar dispositivos con certificados en Microsoft Intune.
Datos compartidos con asociados de NAC
Las propiedades específicas del dispositivo que se comparten con los asociados de NAC dependen de la versión de la API de NAC que usa el producto NAC. Póngase en contacto con su asociado de NAC para obtener más información sobre la versión de la NAC o la API de recuperación de cumplimiento que usa el producto nac.
Además, los datos devueltos se limitarán si:
- El dispositivo no está inscrito en Intune. En este caso, no se compartirá información que no sea que el dispositivo no esté administrado por Intune con el producto NAC.
- El sistema operativo impide que la propiedad de dispositivo específica se comparta con Microsoft. Intune volverá a compartir valores vacíos en el producto NAC para las propiedades de datos no compartidas con Intune por el sistema operativo.
Device (propiedad) | Disponible en NAC 1.0 | Disponible en NAC 1.1 | Disponible en NAC 1.3 | Disponible en Recuperación de cumplimiento/NAC 2.0 |
---|---|---|---|---|
Estado de cumplimiento | Sí | Sí | Sí | Sí |
Administrado por Intune | Sí | Sí | Sí | Sí |
Propiedad personal o corporativa | No | Sí | Sí | No |
Dirección MAC | Sí | Sí | Sí | Sí |
Número de serie | Sí | Sí | Sí | No |
IMEI | Sí | Sí | Sí | No |
UDID | Sí | Sí | Sí | No |
MEID | Sí | Sí | Sí | No |
Versión del sistema operativo | Sí | Sí | Sí | No |
Modelo del dispositivo | Sí | Sí | Sí | No |
Fabricante | Sí | Sí | Sí | No |
Identificador de dispositivo de Microsoft Entra | Sí | Sí | Sí | No |
Última hora de contacto con Intune | Sí | Sí | Sí | No |
Id. de dispositivo de Intune | No | No | No | Sí |
Siguientes pasos
- Integración de Extreme Networks ExtremeCloud Universal ZTNA
- Integración de Extreme Networks ExtremeCloud con Intune
- Integrar Cisco ISE con Intune
- Integrar Citrix Gateway con Intune
- Integración de F5 BIG-IP Access Policy Manager con Intune
- Integración de Forescout con Intune
- Integración de HPE Aruba ClearPass con Intune
- Integrar Squadra Security Removable Media Manager (secRMM) con Intune