Intune과 NAC(네트워크 액세스 제어) 통합

아티클
11/18/2023

Intune은 디바이스가 온-프레미스 리소스에 액세스를 시도할 때 조직이 회사 데이터를 보호할 수 있도록 네트워크 액세스 제어(NAC) 파트너와 통합됩니다.

참고

2021년 7월에 새로운 NAC 서비스(CR 서비스)가 출시되었으며 많은 NAC 파트너가 이 새로운 서비스로 전환하고 있습니다. 레거시 NAC 서비스를 지원하기 위한 타임라인 2024년 3월 31일까지 확장한 반면 서비스 중단을 방지하기 위해 새 CR 서비스로 마이그레이션하는 것이 좋습니다. 현재 다음 NAC 파트너 제품은 새 NAC 서비스를 지원합니다.

Cisco ISE 3.1 이상
Citrix Gateway 13.0-84.11 이상
Citrix Gateway 13.1-12.50 이상
F5 BIG-IP 액세스 정책 관리자 14.1.5.2 이상
F5 BIG-IP 액세스 정책 관리자 15.1.7 이상
F5 BIG-IP 액세스 정책 관리자 16.1.3.1 이상
F5 BIG-IP Access Policy Manager 17.0 이상
Ivanti Connect Secure 9.1R16 이상
Microsoft Intune 확장 v6 이상이 있는 Aruba ClearPass
Forescout eyeExtend Microsoft Module v1.0.1 이상
Portnox Cloud

이 전환의 영향에 대한 질문이 있는 경우 NAC 파트너에게 문의하세요. 자세한 내용은 새 규정 준수 검색 서비스에 대한 블로그 게시물을 참조하세요.

Intune 및 NAC 솔루션은 조직 리소스를 어떻게 보호하나요?

NAC 솔루션은 액세스 제어 결정을 내리기 위해 Intune에서 디바이스 등록 및 규정 준수 상태를 확인합니다. 디바이스가 등록되지 않았거나 등록되었으나 Intune 디바이스 준수 정책을 준수하지 않을 경우 등록 또는 디바이스 준수 확인을 위해 Intune에 리디렉션되어야 합니다.

예제

디바이스가 등록되었으며 Intune 규격인 경우 NAC 솔루션에서 회사 리소스에 대한 디바이스 액세스를 허용해야 합니다. 예를 들어 사용자가 회사 Wi-Fi 또는 VPN 리소스에 액세스하려고 할 때 액세스가 허용되거나 거부될 수 있습니다.

기능 동작

Intune에 능동적으로 동기화하는 디바이스는 준수 / 비준수에서 동기화되지 않음(또는 알 수 없음)으로 이동할 수 없습니다. 알 수 없음 상태는 아직 준수 여부가 평가되지 않은 새로 등록된 디바이스에 예약되었습니다.

리소스에 대한 액세스가 차단된 디바이스의 경우, 차단 서비스가 모든 사용자를 관리 포털로 리디렉션하여 디바이스가 차단된 이유를 확인할 수 있도록 해야 합니다. 사용자가 이 페이지를 방문하면 해당 디바이스의 준수 여부가 동기적으로 재평가됩니다.

NAC 및 조건부 액세스

NAC는 조건부 액세스와 연동하여 액세스 제어 결정을 제공합니다. 자세한 내용은 Intune에서 조건부 액세스를 사용하는 일반적인 방법을 참조하세요.

NAC 통합의 작동 방식

다음 목록은 Intune과 통합된 경우 NAC 통합의 작동 방식에 대한 개요입니다. 처음 세 단계인 1-3단계에서는 온보딩 프로세스에 대해 설명합니다. NAC 솔루션이 Intune과 통합된 후 4-9단계에서는 지속적인 작업을 설명합니다.

Intune과 NAC 작동 방식의 개념 이미지

MICROSOFT ENTRA ID를 사용하여 NAC 파트너 솔루션을 등록하고 Intune NAC API에 위임된 권한을 부여합니다.
Intune 검색 URL을 포함한 적절한 설정으로 NAC 파트너 솔루션을 구성합니다.
인증서 인증을 위해 NAC 파트너 솔루션을 구성합니다.
사용자가 회사 Wi-Fi 액세스 지점에 연결하거나 VPN 연결 요청을 수행합니다.
NAC 파트너 솔루션이 디바이스 정보를 Intune에 전달하고 디바이스 등록 및 준수 상태를 Intune에 요청합니다.
디바이스가 규격이 아니거나 등록되지 않은 경우 NAC 파트너 솔루션이 사용자에게 등록하거나 디바이스 준수를 수정하도록 알립니다.
해당하는 경우 디바이스가 규정 준수 및 등록 상태를 재확인하려고 합니다.
디바이스가 등록되고 규격이면 NAC 파트너 솔루션이 Intune에서 상태를 가져옵니다.
성공적으로 연결되어 디바이스가 회사 리소스에 액세스할 수 있게 됩니다.

참고

NAC 파트너 솔루션은 일반적으로 Intune에 대한 두 가지 유형의 쿼리를 만들어 디바이스 준수 상태에 대해 묻습니다.

IMEI 또는 Wi-Fi MAC 주소와 같은 단일 디바이스의 알려진 속성 값 기반 쿼리 필터링
모든 규정 미준수 디바이스에 대한 필터링되지 않은 광범위한 쿼리

NAC 솔루션은 필요한 만큼 디바이스별 쿼리를 만들 수 있습니다. 하지만 필터링되지 않은 광범위한 쿼리는 제한될 수 있습니다. NAC 솔루션은 4시간마다 한 번씩 ‘모든 규정 미준수 디바이스’ 쿼리만 제출하도록 구성해야 합니다. 쿼리가 더 자주 작성되는 경우 Intune 서비스에서 http 503 오류가 발생합니다.

NAC 사용

2021년 7월에 사용할 수 있게 된 NAC 및 규정 준수 검색 서비스를 사용하도록 설정하려면 Intune과 NAC 통합을 사용하도록 설정하기 위한 NAC 제품의 최신 설명서를 참조하세요. 이 통합을 수행하려면 새 NAC 제품 또는 버전으로 업그레이드한 후 변경해야 할 수 있습니다.

규정 준수 검색 서비스에는 인증서 기반 인증 및 Intune 디바이스 ID 를 인증서의 주체 대체 이름으로 사용해야 합니다. SCEP(단순 인증서 등록 프로토콜) 및 PKCS(프라이빗 및 퍼블릭 키 쌍) 인증서의 경우 NAC 공급자가 정의한 값을 사용하여 URI 유형의 특성을 추가할 수 있습니다. 예를 들어 NAC 공급자의 지침에 따라 주체 대체 이름으로 포함IntuneDeviceId://{{DeviceID}}할 수 있습니다.

다른 NAC 제품에는 iOS VPN 프로필과 함께 NAC를 사용할 때 디바이스 ID를 포함해야 할 수 있습니다.

참고

이제 인증서 기반 인증을 사용할 수 없는 고객을 위해 Mac 주소를 기반으로 디바이스를 쿼리하는 지원이 추가되었습니다. 그러나 가능한 경우 Intune 디바이스 ID로 인증서 기반 인증을 사용하는 것이 좋습니다.

인증서 프로필에 대한 자세한 내용은 Microsoft Intune SCEP 인증서 프로필 사용 및 PKCS 인증서 프로필을 사용하여 Microsoft Intune 인증서를 사용하여 디바이스 프로비저닝을 참조하세요.

NAC 파트너와 공유된 데이터

NAC 파트너와 공유되는 특정 디바이스 속성은 NAC 제품이 사용하는 NAC API 버전에 따라 달라집니다. NAC 제품에서 사용하는 NAC 또는 규정 준수 검색 API 버전에 대한 자세한 내용은 NAC 파트너에게 문의하세요.

또한 다음과 같은 경우 반환되는 데이터가 제한됩니다.

디바이스가 Intune에 등록되지 않았습니다. 이 경우 디바이스가 Intune에서 관리되지 않는 것 이외의 정보는 NAC 제품과 공유되지 않습니다.
OS를 사용하면 특정 디바이스 속성이 Microsoft와 공유되지 않습니다. Intune은 OS에서 Intune과 공유하지 않는 데이터 속성에 대해 NAC 제품에 빈 값을 다시 공유합니다.

디바이스 속성	NAC 1.0에서 사용 가능	NAC 1.1에서 사용 가능	NAC 1.3에서 사용 가능	규정 준수 검색/NAC 2.0에서 사용 가능
준수 상태	예	예	예	예
Intune에서 관리	예	예	예	예
개인 또는 회사 소유권	아니오	예	예	아니요
MAC 주소	예	예	예	예
일련 번호	예	예	예	아니요
IMEI	예	예	예	아니요
UDID	예	예	예	아니요
MEID	예	예	예	아니요
OS 버전	예	예	예	아니요
장치 모델	예	예	예	아니요
제조업체	예	예	예	아니요
디바이스 ID Microsoft Entra	예	예	예	아니요
Intune과의 마지막 연락 시간	예	예	예	아니요
Intune 디바이스 ID	아니요	아니요	아니요	예