Integración del control de acceso a la red (NAC) con Intune

Intune se integra con asociados de control de acceso a la red (NAC) para ayudar a las organizaciones a proteger los datos de empresa cuando los dispositivos intentan tener acceso a los recursos locales.

Nota

Se publicó un nuevo servicio de NAC en julio de 2021 y muchos de nuestros asociados de NAC están haciendo la transición a este nuevo servicio. Actualmente, el siguiente producto de un asociado de NAC admite el nuevo servicio de NAC:

  • Cisco ISE 3.1 y versiones posteriores
  • Citrix Gateway 13.0-84.11 y versiones posteriores
  • Citrix Gateway 13.1-12.50 y versiones posteriores
  • F5 BIG-IP Access Policy Manager 16.1.3.1
  • F5 BIG-IP Access Policy Manager 17.0 y versiones posteriores

Póngase en contacto con su asociado de NAC si tiene preguntas sobre el impacto de esta transición. Para obtener más información, consulte nuestra entrada del blog sobre el nuevo servicio de recuperación de cumplimiento.

¿Cómo Intune y las soluciones de NAC ayudan a proteger los recursos de su organización?

Las soluciones de NAC comprueban el estado de inscripción y cumplimiento de los dispositivos con Intune para tomar decisiones de control de acceso. Si el dispositivo no está inscrito o está inscrito pero no es conforme con las directivas de cumplimiento de dispositivos de Intune, debe redirigirse a Intune para su inscripción o para una comprobación de cumplimiento.

Ejemplo

Si el dispositivo está inscrito y es compatible con Intune, la solución de NAC debe permitir el acceso del dispositivo a los recursos de la empresa. Por ejemplo, a los usuarios se les puede permitir o denegar el acceso al intentar tener acceso a los recursos de VPN o Wi-Fi de la empresa.

Comportamientos de la característica

Los dispositivos que se están sincronizando activamente en Intune no pueden pasar de Compatible / No compatible a No sincronizado (o Desconocido). El estado Desconocido está reservado a los dispositivos recién inscritos cuyo cumplimiento aún no se ha evaluado.

En el caso de los dispositivos cuyo acceso a los recursos está bloqueado, el servicio de bloqueo debe redirigir a todos los usuarios al portal de administración para determinar por qué el dispositivo está bloqueado. Si los usuarios visitan esta página, la compatibilidad de sus dispositivos se vuelve a evaluar sincrónicamente.

NAC y acceso condicional

NAC funciona con el acceso condicional para proporcionar decisiones de control de acceso. Para más información, consulte Formas comunes de usar el acceso condicional con Intune.

Cómo funciona la integración de NAC

La siguiente lista presenta información general sobre cómo funciona la integración de NAC con Intune. Los tres primeros pasos, 1 al 3, explican el proceso de incorporación. Una vez que la solución de NAC está integrada con Intune, los pasos del 4 al 9 describen la operación en curso.

Imagen conceptual de cómo funciona NAC con Intune

  1. Registre la solución de asociado de NAC con Azure Active Directory (Azure AD) y conceda permisos delegados a la API de NAC de Intune.
  2. Configure la solución de partner de NAC con las opciones correctas incluida la URL de detección de Intune.
  3. Configure la solución de partner de NAC para la autenticación de certificados.
  4. El usuario se conecta al punto de acceso de Wi-Fi de la empresa o realiza una solicitud de conexión VPN.
  5. La solución de asociados de NAC reenvía la información del dispositivo a Intune y pregunta a Intune sobre el estado de cumplimiento y la inscripción de dispositivos.
  6. Si el dispositivo no es compatible o no está inscrito, la solución de asociados de NAC indica al usuario que inscriba o corrija el cumplimiento del dispositivo.
  7. El dispositivo intenta volver a comprobar su cumplimiento y su estado de inscripción, cuando procede.
  8. Una vez que el dispositivo está inscrito y es compatible, la solución de asociados de NAC obtiene el estado de Intune.
  9. La conexión se establece correctamente, lo que permite al dispositivo tener acceso a los recursos de la empresa.

Nota

Las soluciones de asociados de NAC normalmente realizarán dos tipos diferentes de consulta a Intune para preguntar sobre el estado de cumplimiento de dispositivos:

  • Filtrado de consultas basado en un valor de propiedad conocido de un único dispositivo, como su dirección MAC Wi-Fi o IMEI
  • Consultas amplias y sin filtrar para todos los dispositivos no compatibles

Las soluciones NAC pueden realizar tantas consultas específicas del dispositivo como sea necesario. Sin embargo, es posible que se limiten las consultas no filtradas. La solución NAC debe configurarse para enviar solo las consultas de todos los dispositivos no compatibles, como máximo, una vez cada cuatro horas. Las consultas realizadas con más frecuencia recibirán un error HTTP 503 del servicio Intune.

Habilitación de NAC

Para habilitar el uso de NAC y el servicio de recuperación de cumplimiento que estuvo disponible en julio de 2021, consulte la documentación más reciente del producto NAC para habilitar la integración de NAC con Intune. Esta integración puede requerir que realice cambios después de actualizar a su nuevo producto o versión de NAC.

El servicio de recuperación de cumplimiento requiere autenticación basada en certificados y el uso del identificador de dispositivo Intune como nombre alternativo del firmante de los certificados. Para los certificados del Protocolo simple de inscripción de certificados (SCEP) y del par de claves pública y privada (PKCS), puede agregar un atributo del tipo uri con un valor definido por el proveedor de NAC. Por ejemplo, las instrucciones del proveedor de NAC podrían indicar que se incluya IntuneDeviceId://{{DeviceID}}como nombre alternativo del firmante.

Es posible que otros productos nac requieran que incluya un identificador de dispositivo al usar NAC con perfiles de VPN de iOS.

Para obtener más información sobre los perfiles de certificado, consulte Uso de perfiles de certificado SCEP con Microsoft Intune y Uso de un perfil de certificado PKCS para aprovisionar dispositivos con certificados en Microsoft Intune

Siguientes pasos