Hálózati hozzáférés-vezérlés (NAC) integrálása az Intune-nal
Az Intune a hálózati hozzáférés-vezérlési (NAC) partnerekkel integrálva segít a szervezeteknek a vállalati adatok védelmében, amikor az eszközök megpróbálnak hozzáférni a helyszíni erőforrásokhoz.
Megjegyzés:
A megfelelőségi lekérési szolgáltatás 2021 júliusában jelent meg, és felváltotta a korábbi Intune NAC-szolgáltatást. A Microsoft Intune 2024. március 31-én támogatást nyújt az örökölt Intune NAC szolgáltatáshoz. NAC-partnereink a megfelelőségi lekérési szolgáltatásra váltanak, és a következőkre terjednek ki:
- ExtremeCloud Universal ZTNA
- Extreme Networks ExtremeCloud IQ-Site Engine 24.2-es verzió
- Cisco ISE 3.1 és újabb verziók
- Citrix Gateway 13.0-84.11 és újabb verziók
- Citrix Gateway 13.1-12.50 és újabb verziók
- F5 BIG-IP hozzáférési házirend-kezelő 14.1.5.2 és újabb verziók
- F5 BIG-IP hozzáférési házirend-kezelő 15.1.7 és újabb verziók
- F5 BIG-IP hozzáférési házirendkezelő 16.1.3.1 és újabb verziók
- F5 BIG-IP hozzáférési házirendkezelő 17.0-s és újabb verziók
- Ivanti Connect Secure 9.1R16 és újabb verziók
- Aruba ClearPass a Microsoft Intune 6-os vagy újabb bővítménnyel
- Forescout eyeExtend Microsoft Module v1.0.1 és újabb
- Portnox Cloud
Az Intune NAC szolgáltatás a jövőben elavult lesz, ezért javasoljuk, hogy a szolgáltatás megszakadásának elkerülése érdekében térjen át a megfelelőségi lekérési szolgáltatásra. Ha kérdése van a megfelelőségi lekérési szolgáltatással vagy a bérlőre gyakorolt hatásával kapcsolatban, forduljon a NAC-megoldásszolgáltatójához. A megfelelőségi lekérési szolgáltatással és az NAC-partnerekkel kapcsolatos további információkért és frissítésekért lásd : Microsoft Tech Community: Új Microsoft Intune szolgáltatás a hálózati hozzáférés-vezérléshez.
Hogyan segítenek az Intune- és NAC-megoldások a szervezeti erőforrások védelmében?
A NAC-megoldások ellenőrzik az eszközregisztrációt és a megfelelőségi állapotot az Intune-nal a hozzáférés-vezérléssel kapcsolatos döntések meghozatala érdekében. Ha az eszköz nincs regisztrálva, vagy regisztrálva van, és nem felel meg az Intune eszközmegfelelőségi szabályzatainak, akkor az eszközt át kell irányítani az Intune-ba regisztráció vagy eszközmegfelelőségi ellenőrzés céljából.
Példa
Ha az eszköz regisztrálva van, és megfelel az Intune-nak, a NAC-megoldásnak engedélyeznie kell az eszköz számára a vállalati erőforrásokhoz való hozzáférést. A felhasználók például engedélyezhetik vagy megtagadhatják a hozzáférést, amikor vállalati Wi-Fi vagy VPN-erőforrásokhoz próbálnak hozzáférni.
Funkciók viselkedése
Az Intune-ba aktívan szinkronizált eszközök nem tudnak megfelelőnem megfelelőről / Nem szinkronizált (vagy Ismeretlen) állapotra váltani. Az Ismeretlen állapot olyan újonnan regisztrált eszközök számára van fenntartva, amelyeket még nem értékeltek ki a megfelelőség szempontjából.
Az erőforrásokhoz való hozzáféréstől blokkolt eszközök esetében a blokkoló szolgáltatásnak minden felhasználót át kell irányítania a felügyeleti portálra , hogy megállapítsa, miért van letiltva az eszköz. Ha a felhasználók felkeresik ezt a lapot, az eszközeik szinkron módon újraértékelik a megfelelőséget.
NAC és feltételes hozzáférés
A NAC a feltételes hozzáféréssel együttműködve biztosítja a hozzáférés-vezérléssel kapcsolatos döntéseket. További információ: A feltételes hozzáférés használatának gyakori módjai az Intune-nal.
Az NAC-integráció működése
Az alábbi lista áttekintést nyújt a NAC-integráció működéséről az Intune-nal való integráció során. Az első három lépés, az 1–3. lépés ismerteti az előkészítési folyamatot. Miután a NAC-megoldás integrálva van az Intune-nal, a 4–9. lépés ismerteti a folyamatban lévő műveletet.
- Regisztrálja az NAC-partnermegoldást a Microsoft Entra-azonosítóval, és adjon delegált engedélyeket az Intune NAC API-nak.
- Konfigurálja a NAC-partnermegoldást a megfelelő beállításokkal, beleértve az Intune felderítési URL-címét is.
- Konfigurálja az NAC-partnermegoldást a tanúsítványhitelesítéshez.
- A felhasználó vállalati Wi-Fi hozzáférési ponthoz csatlakozik, vagy VPN-kapcsolati kérelmet küld.
- A NAC-partnermegoldás továbbítja az eszközadatokat az Intune-nak, és megkérdezi az Intune-t az eszközregisztrációról és a megfelelőségi állapotról.
- Ha az eszköz nem megfelelő vagy nincs regisztrálva, az NAC-partnermegoldás arra utasítja a felhasználót, hogy regisztrálja vagy javítsa ki az eszköz megfelelőségét.
- Az eszköz megpróbálja érvényesíteni a megfelelőségi és regisztrációs állapotát.
- Az eszköz regisztrálása és megfelelősége után a NAC-partnermegoldás lekéri az állapotot az Intune-ból.
- A kapcsolat sikeresen létrejött, amely lehetővé teszi az eszköz számára a vállalati erőforrásokhoz való hozzáférést.
Megjegyzés:
A NAC-partnermegoldások általában két különböző típusú lekérdezést tesznek elérhetővé az Intune-nak az eszközmegfelelési állapotra vonatkozó kérdésekhez:
- Lekérdezések szűrése egyetlen eszköz ismert tulajdonságértéke alapján, például az IMEI- vagy Wi-Fi MAC-címe alapján
- Széles körű, szűretlen lekérdezések minden nem megfelelő eszközhöz.
A NAC-megoldások tetszőleges számú eszközspecifikus lekérdezést hajthatnak létre. A széles körű szűretlen lekérdezések azonban szabályozhatók. A NAC-megoldást úgy kell konfigurálni, hogy legfeljebb négy óránként küldje el az összes nem megfelelő eszközre vonatkozó lekérdezést. A gyakrabban végrehajtott lekérdezések http 503-at kapnak az Intune szolgáltatástól.
NAC engedélyezése
A NAC és a megfelelőségi lekérési szolgáltatás használatának engedélyezéséhez tekintse meg a NAC-termék legújabb dokumentációját a NAC Intune-nal való integrációjának engedélyezéséhez. Ez az integráció szükségessé teheti, hogy módosításokat hajtson végre egy új NAC-termékre vagy -verzióra való frissítés után.
A megfelelőségi lekérési szolgáltatáshoz tanúsítványalapú hitelesítésre és az Intune-eszközazonosító használatára van szükség a tanúsítványok tulajdonos alternatív neveként. Az Egyszerű tanúsítványigénylési protokoll (SCEP) és a privát és nyilvánoskulcs-párok (PKCS) tanúsítványaihoz hozzáadhat egy URI típusú attribútumot az NAC-szolgáltató által meghatározott értékkel. Előfordulhat például, hogy a NAC-szolgáltató utasításai a Tulajdonos alternatív neveként szerepeljenekIntuneDeviceId://{{DeviceID}}.
Más NAC-termékekhez szükség lehet egy eszközazonosítóra, ha iOS VPN-profilokkal használja az NAC-t.
Tipp
Javasoljuk, hogy lehetőség szerint használjon tanúsítványalapú hitelesítést az Intune-eszközazonosítóval. Ha nem tudja használni a tanúsítványalapú hitelesítést, az Intune támogatja az eszközök MAC-címeken alapuló lekérdezését.
További információ a tanúsítványprofilokról: SCEP-tanúsítványprofilok használata a Microsoft Intune-nal és PKCS-tanúsítványprofil használata tanúsítványok kiépítéséhez a Microsoft Intune-ban.
NAC-partnerekkel megosztott adatok
Az NAC-partnerekkel megosztott eszköztulajdonságok az NAC-termék által használt NAC API verziójától függenek. A NAC-termék által használt NAC-verzióval vagy megfelelőségi lekérési API-val kapcsolatos további információkért forduljon a NAC-partnerhez.
Emellett a visszaadott adatok korlátozottak lesznek, ha:
- Az eszköz nincs regisztrálva az Intune-ban. Ebben az esetben az eszköz nem az Intune által felügyelt adatai lesznek megosztva az NAC-termékkel.
- Az operációs rendszer megakadályozza, hogy az adott eszköztulajdonság meg legyen osztva a Microsofttal. Az Intune az operációs rendszer által az Intune-nal nem megosztott adattulajdonságok esetében üres értékeket oszt meg az NAC-termékkel.
| Eszköztulajdonság | Elérhető az NAC 1.0-ban | Elérhető az NAC 1.1-ben | Elérhető az NAC 1.3-ban | Elérhető a Megfelelőség lekérése/NAC 2.0-ban |
|---|---|---|---|---|
| Megfelelőségi állapot | Igen | Igen | Igen | Igen |
| Kezeli az Intune | Igen | Igen | Igen | Igen |
| Személyes vagy vállalati tulajdon | Nem | Igen | Igen | Nem |
| MAC-cím | Igen | Igen | Igen | Igen |
| Sorozatszám | Igen | Igen | Igen | Nem |
| IMEI | Igen | Igen | Igen | Nem |
| UDID | Igen | Igen | Igen | Nem |
| MEID | Igen | Igen | Igen | Nem |
| Operációs rendszer verziója | Igen | Igen | Igen | Nem |
| Eszközmodell | Igen | Igen | Igen | Nem |
| Gyártó | Igen | Igen | Igen | Nem |
| Microsoft Entra eszközazonosító | Igen | Igen | Igen | Nem |
| Utolsó kapcsolatfelvétel időpontja az Intune-nal | Igen | Igen | Igen | Nem |
| Intune-eszközazonosító | Nem | Nem | Nem | Igen |
Következő lépések
- Az Extreme Networks ExtremeCloud Universal ZTNA integrálása
- Az Extreme Networks ExtremeCloud integrálása az Intune-nal
- A Cisco ISE integrálása az Intune-nal
- Citrix Gateway integrálása az Intune-nal
- Az F5 BIG-IP hozzáférési szabályzatkezelő integrálása az Intune-nal
- A Forescout integrálása az Intune-nal
- A HPE Aruba ClearPass integrálása az Intune-nal
- A Squadra Security Removable Media Manager (secRMM) integrálása az Intune-nal