Partage via


Intégration du contrôle d’accès réseau avec Intune

Intune s’intègre avec les partenaires de contrôle d’accès réseau (NAC) pour aider les organisations à sécuriser les données d’entreprise quand des appareils tentent d’accéder à des ressources locales.

Remarque

Le service de récupération de la conformité a été publié en juillet 2021 et a remplacé le service NAC Intune précédent. Microsoft Intune assure la prise en charge du service NAC Intune hérité jusqu’au 31 mars 2024. Nos partenaires NAC passent au service de récupération de conformité et incluent :

  • ExtremeCloud Universal ZTNA
  • Extreme Networks ExtremeCloud IQ-Site Engine version 24.2
  • Cisco ISE 3.1 et versions ultérieures
  • Citrix Gateway 13.0-84.11 et versions ultérieures
  • Citrix Gateway 13.1-12.50 et versions ultérieures
  • F5 BIG-IP Access Policy Manager 14.1.5.2 et versions ultérieures
  • F5 BIG-IP Access Policy Manager 15.1.7 et versions ultérieures
  • F5 BIG-IP Access Policy Manager 16.1.3.1 et versions ultérieures
  • Gestionnaire de stratégies d’accès F5 BIG-IP 17.0 et versions ultérieures
  • Ivanti Connect Secure 9.1R16 et versions ultérieures
  • Aruba ClearPass avec l’extension Microsoft Intune v6 et versions ultérieures
  • Forescout eyeExtend Module Microsoft v1.0.1 et versions ultérieures
  • Portnox Cloud

Nous allons déprécier le service NAC Intune à l’avenir. Nous vous recommandons donc de migrer vers le service de récupération de conformité pour éviter toute interruption du service. Contactez votre fournisseur de solutions NAC si vous avez des questions sur le service de récupération de conformité ou l’impact sur votre locataire. Pour plus d’informations et des mises à jour sur le service de récupération de conformité et les partenaires NAC, consultez Microsoft Tech Community : Nouveau service Microsoft Intune pour le contrôle d’accès réseau.

Comment les solutions de contrôle d’accès réseau et Intune aident-ils à protéger les ressources de votre organisation ?

Les solutions de contrôle d’accès réseau vérifient l’état de conformité et d’inscription des appareils auprès d’Intune pour prendre les décisions relatives au contrôle d’accès. Si l’appareil n’est pas inscrit, ou s’il est inscrit mais qu’il ne respecte pas les stratégies de conformité des appareils Intune, il doit être redirigé vers Intune pour l’inscription ou pour une vérification de conformité.

Exemple

Si l’appareil est inscrit et conforme avec Intune, la solution de contrôle d’accès réseau doit autoriser l’accès aux ressources d’entreprise à l’appareil. Par exemple, l’accès peut être accordé ou refusé aux utilisateurs quand ils tentent d’accéder aux ressources d’entreprise par Wi-Fi ou VPN.

Comportements des fonctionnalités

Les appareils qui se synchronisent activement avec Intune ne peuvent pas passer de l’état Conforme / Non conforme à l’état Non synchronisé (ou Inconnu). L’état Inconnu est réservé aux appareils récemment inscrits, dont la conformité n’a pas encore été évaluée.

Pour les appareils dont l’accès aux ressources est bloqué, le service de blocage doit rediriger tous les utilisateurs vers le portail de gestion pour déterminer l’origine du blocage de l’appareil. Si les utilisateurs consultent cette page, la conformité de leurs appareils est réévaluée de façon synchrone.

Contrôle d’accès réseau et accès conditionnel

Le contrôle d’accès réseau fonctionne avec l’accès conditionnel pour fournir des décisions en matière de contrôle d’accès. Pour plus d’informations, consultez Utilisations courantes de l’accès conditionnel avec Intune.

Fonctionnement de l’intégration du contrôle d’accès réseau

La liste suivante présente le fonctionnement du contrôle d’accès réseau quand il est intégré à Intune. Les trois premières étapes (1 à 3) expliquent le processus d’intégration. Une fois la solution de contrôle d’accès réseau intégrée à Intune, les étapes 4 à 9 décrivent l’opération en cours.

Image conceptuelle du fonctionnement du contrôle d’accès réseau avec Intune

  1. Inscrivez la solution partenaire NAC avec l’ID Microsoft Entra et accordez des autorisations déléguées à l’API NAC Intune.
  2. Configurez la solution du partenaire de contrôle d’accès réseau avec les paramètres appropriés, notamment l’URL de découverte Intune.
  3. Configurez la solution du partenaire de contrôle d’accès réseau pour l’authentification par certificat.
  4. L’utilisateur se connecte au point d’accès Wi-Fi d’entreprise ou effectue une demande de connexion VPN.
  5. La solution du partenaire de contrôle d’accès réseau transfère les informations de l’appareil à Intune et demande à Intune quel est l’état d’inscription et de conformité de l’appareil.
  6. Si l’appareil n’est pas conforme ou pas inscrit, la solution du partenaire de contrôle d’accès réseau demande à l’utilisateur d’inscrire l’appareil ou de corriger sa conformité.
  7. Le cas échéant, l’appareil essaie de revérifier ses conformité et état d’inscription.
  8. Une fois l’appareil inscrit et conforme, la solution du partenaire de contrôle d’accès réseau obtient l’état auprès d’Intune.
  9. La connexion est établie, ce qui permet à l’appareil d’accéder aux ressources d’entreprise.

Remarque

En général, les solutions de partenaires NAC effectuent deux types de requêtes différents à Intune pour demander l’état de conformité des appareils :

  • Filtrage des requêtes en fonction d’une valeur de propriété connue d’un appareil unique, par exemple son IMEI ou son adresse MAC Wi-Fi
  • Requêtes larges et non filtrées pour tous les appareils non conformes.

Les solutions NAC sont autorisées à créer autant de requêtes spécifiques à l’appareil que nécessaire. Toutefois, les requêtes non filtrées larges peuvent être limitées. La solution NAC doit être configurée pour envoyer uniquement les requêtes Tous les appareils non conformes, au plus une fois toutes les quatre heures. Les requêtes effectuées plus fréquemment reçoivent une erreur HTTP 503 du service Intune.

Activer le contrôle d’accès réseau

Pour activer l’utilisation du contrôle d’accès réseau et du service de récupération de conformité, consultez la documentation la plus récente de votre produit NAC pour activer l’intégration du contrôle d’accès réseau à Intune. Cette intégration peut vous obliger à apporter des modifications après la mise à niveau vers un nouveau produit ou une nouvelle version du contrôle d’accès réseau.

Le service de récupération de conformité nécessite l’authentification basée sur les certificats et l’utilisation de l’ID d’appareil Intune comme autre nom d’objet des certificats. Pour les certificats SCEP (Simple Certificate Enrollment Protocol) et private and public key paire (PKCS), vous pouvez ajouter un attribut du type URI avec une valeur définie par votre fournisseur NAC. Par exemple, les instructions de votre fournisseur de contrôle d’accès réseau peuvent indiquer d’inclure IntuneDeviceId://{{DeviceID}}comme autre nom d’objet.

D’autres produits NAC peuvent nécessiter que vous incluiez un ID d’appareil lors de l’utilisation de NAC avec des profils VPN iOS.

Conseil

Nous vous recommandons d’utiliser l’authentification basée sur les certificats avec l’ID d’appareil Intune dans la mesure du possible. Si vous ne parvenez pas à utiliser l’authentification basée sur les certificats, Intune prend en charge l’interrogation des appareils en fonction des adresses MAC.

Pour plus d’informations sur les profils de certificat, consultez Utiliser des profils de certificat SCEP avec Microsoft Intune et Utiliser un profil de certificat PKCS pour provisionner des appareils avec des certificats dans Microsoft Intune.

Données partagées avec les partenaires NAC

Les propriétés d’appareil spécifiques qui sont partagées avec les partenaires NAC dépendent de la version de l’API NAC utilisée par le produit NAC. Contactez votre partenaire de contrôle d’accès réseau pour plus d’informations sur la version de NAC ou l’API de récupération de conformité que votre produit NAC utilise.

En outre, les données retournées seront limitées dans les cas suivants :

  • L’appareil n’est pas inscrit dans Intune. Dans ce cas, aucune information autre que celle indiquant que l’appareil n’est pas géré par Intune ne sera partagée avec le produit NAC.
  • Le système d’exploitation empêche le partage de la propriété d’appareil spécifique avec Microsoft. Intune partagera les valeurs vides dans le produit NAC pour les propriétés de données non partagées avec Intune par le système d’exploitation.
Propriété de l’appareil Disponible dans NAC 1.0 Disponible dans NAC 1.1 Disponible dans NAC 1.3 Disponible dans récupération de conformité/NAC 2.0
État de conformité Oui Oui Oui Oui
Géré par Intune Oui Oui Oui Oui
Propriété personnelle ou d’entreprise Non Oui Oui Non
Adresse MAC Oui Oui Oui Oui
Numéro de série Oui Oui Oui Non
IMEI Oui Oui Oui Non
UDID Oui Oui Oui Non
MEID Oui Oui Oui Non
Version du système d'exploitation Oui Oui Oui Non
Modèle du périphérique Oui Oui Oui Non
Fabricant Oui Oui Oui Non
ID d’appareil Microsoft Entra Oui Oui Oui Non
Heure du dernier contact avec Intune Oui Oui Oui Non
ID d’appareil Intune Non Non Non Oui

Prochaines étapes