Integrazione del controllo di accesso di rete (NAC) con Intune

  • Articolo

Intune si integra con i partner NAC (Network Access Control) per aiutare le organizzazioni a proteggere i dati aziendali quando i dispositivi provano ad accedere alle risorse locali.

Nota

Un nuovo servizio NAC (servizio CR) è stato rilasciato nel luglio 2021 e molti dei nostri partner NAC stanno passando a questo nuovo servizio. Anche se è stata estesa la sequenza temporale per il supporto del servizio NAC legacy fino al 31 marzo 2024, è consigliabile eseguire la migrazione al nuovo servizio CR per evitare interruzioni del servizio. Attualmente, il prodotto partner NAC seguente supporta il nuovo servizio NAC:

  • Cisco ISE 3.1 e versioni successive
  • Citrix Gateway 13.0-84.11 e versioni successive
  • Citrix Gateway 13.1-12.50 e versioni successive
  • F5 BIG-IP Access Policy Manager 14.1.5.2 e versioni successive
  • F5 BIG-IP Access Policy Manager 15.1.7 e versioni successive
  • F5 BIG-IP Access Policy Manager 16.1.3.1 e versioni successive
  • F5 BIG-IP Access Policy Manager 17.0 e versioni successive
  • Ivanti Connect Secure 9.1R16 e versioni successive
  • Aruba ClearPass con estensione Microsoft Intune v6 e versioni successive
  • Forescout eyeExtend Microsoft Module v1.0.1 e versioni successive
  • Portnox Cloud

Contattare il partner NAC in caso di domande sull'impatto di questa transizione. Per altre informazioni, vedere il post di blog sul nuovo servizio di recupero della conformità.

In che modo le soluzioni Intune e NAC consentono di proteggere le risorse dell'organizzazione?

Le soluzioni NAC controllano la registrazione del dispositivo e lo stato di conformità con Intune per prendere decisioni sul controllo di accesso. Se il dispositivo non è registrato o è registrato e non è conforme ai criteri di conformità dei dispositivi di Intune, il dispositivo deve essere reindirizzato a Intune per la registrazione o per un controllo di conformità del dispositivo.

Esempio

Se il dispositivo è registrato e conforme a Intune, la soluzione NAC deve consentire al dispositivo l'accesso alle risorse aziendali. Ad esempio, agli utenti può essere consentito o negato l'accesso quando si tenta di accedere a risorse VPN o Wi-Fi aziendali.

Comportamenti delle funzionalità

I dispositivi che si sincronizzano attivamente con Intune non possono passare da Conforme / non conforme a Non sincronizzato (o Sconosciuto). Lo stato Sconosciuto è riservato ai dispositivi appena registrati che non sono ancora stati valutati per la conformità.

Per i dispositivi a cui è impedito l'accesso alle risorse, il servizio di blocco deve reindirizzare tutti gli utenti al portale di gestione per determinare il motivo per cui il dispositivo è bloccato. Se gli utenti visitano questa pagina, i dispositivi vengono rivalutati in modo sincrono per la conformità.

NAC e accesso condizionale

NAC collabora con l'accesso condizionale per fornire decisioni di controllo di accesso. Per altre informazioni, vedere Modalità comuni per usare l'accesso condizionale con Intune.

Funzionamento dell'integrazione NAC

L'elenco seguente offre una panoramica del funzionamento dell'integrazione NAC se integrata con Intune. I primi tre passaggi, 1-3, illustrano il processo di onboarding. Dopo l'integrazione della soluzione NAC con Intune, i passaggi da 4 a 9 descrivono l'operazione in corso.

Immagine concettuale del funzionamento di NAC con Intune

  1. Registrare la soluzione partner NAC con Microsoft Entra ID e concedere le autorizzazioni delegate all'API NAC di Intune.
  2. Configurare la soluzione partner NAC con le impostazioni appropriate, incluso l'URL di individuazione di Intune.
  3. Configurare la soluzione partner NAC per l'autenticazione del certificato.
  4. L'utente si connette al punto di accesso Wi-Fi aziendale o effettua una richiesta di connessione VPN.
  5. La soluzione partner NAC inoltra le informazioni sul dispositivo a Intune e chiede a Intune lo stato di conformità e registrazione del dispositivo.
  6. Se il dispositivo non è conforme o non è registrato, la soluzione partner NAC indica all'utente di registrare o correggere la conformità del dispositivo.
  7. Quando applicabile, il dispositivo tenta di verificare nuovamente lo stato di conformità e registrazione.
  8. Dopo la registrazione e la conformità del dispositivo, la soluzione partner NAC ottiene lo stato da Intune.
  9. Viene stabilita correttamente la connessione che consente al dispositivo di accedere alle risorse aziendali.

Nota

Le soluzioni partner NAC in genere eseguono due tipi diversi di query su Intune per chiedere informazioni sullo stato di conformità del dispositivo:

  • Esegue query di filtro in base a un valore di proprietà noto di un singolo dispositivo, ad esempio il relativo indirizzo IMEI o mac Wi-Fi
  • Query ampie e non filtrate per tutti i dispositivi non conformi.

Le soluzioni NAC possono eseguire il numero di query specifiche del dispositivo necessarie. Tuttavia, è possibile limitare le query generiche non filtrate. La soluzione NAC deve essere configurata in modo da inviare tutte le query su tutti i dispositivi non conformi , al massimo una volta ogni quattro ore. Le query eseguite con maggiore frequenza riceveranno un errore http 503 dal servizio Intune.

Abilitare NAC

Per abilitare l'uso di NAC e del servizio di recupero della conformità disponibile a luglio 2021, fare riferimento alla documentazione più recente del prodotto NAC per abilitare l'integrazione NAC con Intune. Questa integrazione potrebbe richiedere di apportare modifiche dopo l'aggiornamento al nuovo prodotto o versione NAC.

Il servizio di recupero della conformità richiede l'autenticazione basata su certificati e l'uso dell'ID dispositivo di Intune come nome alternativo soggetto dei certificati. Per i certificati PKCS (Simple Certificate Enrollment Protocol) e PKCS (Private and Public Key Pair), è possibile aggiungere un attributo del tipo URI con un valore definito dal provider NAC. Ad esempio, le istruzioni del provider NAC potrebbero indicare di includere IntuneDeviceId://{{DeviceID}}come nome alternativo soggetto.

Altri prodotti NAC potrebbero richiedere l'inclusione di un ID dispositivo quando si usa NAC con profili VPN iOS.

Nota

È stato aggiunto il supporto per l'esecuzione di query sui dispositivi in base agli indirizzi Mac per i clienti che non sono in grado di usare l'autenticazione basata su certificato. Tuttavia, è consigliabile usare l'autenticazione basata su certificati con l'ID dispositivo di Intune, laddove possibile.

Per altre informazioni sui profili certificato, vedere: Usare i profili certificato SCEP con Microsoft Intune e Usare un profilo certificato PKCS per effettuare il provisioning dei dispositivi con certificati in Microsoft Intune

Dati condivisi con i partner NAC

Le proprietà specifiche del dispositivo condivise con i partner NAC dipendono dalla versione dell'API NAC usata dal prodotto NAC. Per altre informazioni sulla versione dell'NAC o dell'API di recupero conformità usata dal prodotto NAC, contattare il partner NAC.

Inoltre, i dati restituiti saranno limitati se:

  • Il dispositivo non è registrato in Intune. In questo caso, nessuna informazione diversa dal fatto che il dispositivo non è gestito da Intune verrà condivisa con il prodotto NAC.
  • Il sistema operativo impedisce la condivisione della proprietà del dispositivo specifica con Microsoft. Intune condividerà nuovamente i valori vuoti nel prodotto NAC per le proprietà dei dati non condivise con Intune dal sistema operativo.
Device (proprietà) Disponibile in NAC 1.0 Disponibile in NAC 1.1 Disponibile in NAC 1.3 Disponibile in Compliance Retrieval/NAC 2.0
Stato di conformità
Gestito da Intune
Proprietà personale o aziendale No No
MAC address
Numero di serie No
IMEI No
UDID No
MEID No
Versione sistema operativo No
Modello dispositivo No
Produttore No
Microsoft Entra ID dispositivo No
Ora dell'ultimo contatto con Intune No
ID dispositivo di Intune No No No

Passaggi successivi