Integracja kontroli dostępu do sieci (NAC) z usługą Intune
Usługa Intune integruje się z partnerami kontroli dostępu do sieci (NAC), aby ułatwić organizacjom zabezpieczanie danych firmowych, gdy urządzenia próbują uzyskać dostęp do zasobów lokalnych.
Uwaga
Usługa pobierania zgodności została wydana w lipcu 2021 r. i zastąpiła poprzednią usługę NAC usługi Intune. Usługa Microsoft Intune zapewnia obsługę starszej wersji usługi NaC usługi Intune do 31 marca 2024 r. Nasi partnerzy translatora adresów sieciowych przechodzą do usługi pobierania zgodności i obejmują:
- ExtremeCloud Universal ZTNA
- Extreme Networks ExtremeCloud IQ-Site Engine w wersji 24.2
- Cisco ISE 3.1 i nowsze
- Citrix Gateway 13.0-84.11 i nowsze
- Citrix Gateway 13.1-12.50 i nowsze
- F5 BIG-IP Access Policy Manager 14.1.5.2 i nowsze
- F5 BIG-IP Access Policy Manager 15.1.7 lub nowszy
- F5 BIG-IP Access Policy Manager 16.1.3.1 lub nowszy
- F5 BIG-IP Access Policy Manager 17.0 i nowsze
- Ivanti Connect Secure 9.1R16 i nowsze
- Aruba ClearPass z rozszerzeniem Microsoft Intune w wersji 6 i nowszej
- Forescout eyeExtend Microsoft Module w wersji 1.0.1 lub nowszej
- Portnox Cloud
W przyszłości będziemy wycofywać usługę NAC usługi Intune, dlatego zalecamy migrację do usługi pobierania zgodności, aby uniknąć zakłóceń w działaniu usługi. Jeśli masz pytania dotyczące usługi pobierania zgodności lub wpływu na dzierżawę, skontaktuj się z dostawcą rozwiązania NAC. Aby uzyskać więcej informacji i aktualizacji dotyczących usługi pobierania zgodności i partnerów NAC, zobacz Microsoft Tech Community: New Microsoft Intune service for network access control (Społeczność techniczna firmy Microsoft: nowa usługa Microsoft Intune na potrzeby kontroli dostępu do sieci).
W jaki sposób rozwiązania usługi Intune i translatora adresów sieciowych pomagają chronić zasoby organizacji?
Rozwiązania NAC sprawdzają stan rejestracji urządzeń i zgodności w usłudze Intune, aby podejmować decyzje dotyczące kontroli dostępu. Jeśli urządzenie nie jest zarejestrowane lub jest zarejestrowane i niezgodne z zasadami zgodności urządzeń usługi Intune, urządzenie powinno zostać przekierowane do usługi Intune w celu rejestracji lub sprawdzenia zgodności urządzenia.
Przykład
Jeśli urządzenie jest zarejestrowane i zgodne z usługą Intune, rozwiązanie NAC powinno zezwalać urządzeniu na dostęp do zasobów firmowych. Na przykład użytkownicy mogą mieć dozwolony lub zablokowany dostęp podczas próby uzyskania dostępu do firmowych Wi-Fi lub zasobów sieci VPN.
Zachowania funkcji
Urządzenia aktywnie synchronizowane z usługą Intune nie mogą przenieść się ze zgodnych / niezgodnych do niezsynchronizowanych (lub nieznanych). Stan Nieznany jest zarezerwowany dla nowo zarejestrowanych urządzeń, które nie zostały jeszcze ocenione pod kątem zgodności.
W przypadku urządzeń, które nie mają dostępu do zasobów, usługa blokująca powinna przekierowywać wszystkich użytkowników do portalu zarządzania , aby określić, dlaczego urządzenie jest zablokowane. Jeśli użytkownicy odwiedzają tę stronę, ich urządzenia są synchronicznie ponownie oceniane pod kątem zgodności.
Translator adresów dostępu i dostęp warunkowy
Usługa NAC współpracuje z dostępem warunkowym w celu zapewnienia decyzji dotyczących kontroli dostępu. Aby uzyskać więcej informacji, zobacz Typowe sposoby korzystania z dostępu warunkowego w usłudze Intune.
Jak działa integracja translatora adresów sieciowych
Poniższa lista zawiera omówienie sposobu działania integracji translatora adresów sieciowych w przypadku integracji z usługą Intune. Pierwsze trzy kroki, 1–3, wyjaśniają proces dołączania. Po zintegrowaniu rozwiązania NAC z usługą Intune kroki 4–9 opisują trwającą operację.
- Zarejestruj rozwiązanie partnerskie NAC przy użyciu identyfikatora Entra firmy Microsoft i przyznaj delegowane uprawnienia do interfejsu API NAC usługi Intune.
- Skonfiguruj rozwiązanie partnerskie NAC przy użyciu odpowiednich ustawień, w tym adresu URL odnajdywania usługi Intune.
- Skonfiguruj rozwiązanie partnerskie NAC na potrzeby uwierzytelniania certyfikatów.
- Użytkownik nawiązuje połączenie z firmowym punktem dostępu Wi-Fi lub wysyła żądanie połączenia sieci VPN.
- Rozwiązanie partnerskie translatora adresów sieciowych przekazuje informacje o urządzeniu do usługi Intune i usługę Intune o stan rejestracji i zgodności urządzenia.
- Jeśli urządzenie nie jest zgodne lub nie zostało zarejestrowane, rozwiązanie partnerskie translatora adresów sieciowych nakazuje użytkownikowi zarejestrowanie lub naprawienie zgodności urządzenia.
- Urządzenie próbuje przywrócić jego zgodność i stan rejestracji, jeśli ma to zastosowanie.
- Po zarejestrowaniu i zgodności urządzenia rozwiązanie partnerskie NAC pobiera stan z usługi Intune.
- Połączenie zostało pomyślnie nawiązane, co umożliwia urządzeniu dostęp do zasobów firmowych.
Uwaga
Rozwiązania partnerskie translatora adresów sieciowych zwykle wysyłają do usługi Intune dwa różne typy zapytań, aby zapytać o stan zgodności urządzeń:
- Filtrowanie zapytań na podstawie znanej wartości właściwości pojedynczego urządzenia, takiej jak adres IMEI lub adres MAC Wi-Fi
- Szerokie, niefiltrowane zapytania dotyczące wszystkich niezgodnych urządzeń.
Rozwiązania NAC mogą wykonywać dowolną liczbę zapytań specyficznych dla urządzenia zgodnie z wymaganiami. Jednak szerokie niefiltrowane zapytania mogą być ograniczane. Rozwiązanie translatora adresów sieciowych powinno być skonfigurowane tak, aby przesyłało tylko zapytania dotyczące wszystkich niezgodnych urządzeń co najwyżej raz na cztery godziny. Zapytania wykonywane częściej będą otrzymywać błąd http 503 z usługi Intune.
Włączanie translatora adresów dostępu
Aby włączyć korzystanie z translatora adresów sieciowych i usługi pobierania zgodności, zapoznaj się z najnowszą dokumentacją produktu NAC dotyczącą włączania integracji translatora adresów sieciowych z usługą Intune. Ta integracja może wymagać wprowadzenia zmian po uaktualnieniu do nowego produktu lub wersji translatora adresów sieciowych.
Usługa pobierania zgodności wymaga uwierzytelniania opartego na certyfikatach i użycia identyfikatora urządzenia usługi Intune jako alternatywnej nazwy podmiotu certyfikatów. W przypadku certyfikatów protokołu Simple Certificate Enrollment Protocol (SCEP) oraz certyfikatów par kluczy prywatnych i publicznych (PKCS) można dodać atrybut typu identyfikatora URI z wartością zdefiniowaną przez dostawcę TRANSLATOR. Na przykład instrukcje dostawcy NAC mogą zawierać IntuneDeviceId://{{DeviceID}}jako alternatywną nazwę podmiotu.
Inne produkty NAC mogą wymagać uwzględnienia identyfikatora urządzenia podczas korzystania z translatora adresów sieciowych z profilami sieci VPN systemu iOS.
Porada
Zalecamy używanie uwierzytelniania opartego na certyfikatach z identyfikatorem urządzenia usługi Intune tam, gdzie jest to możliwe. Jeśli nie możesz używać uwierzytelniania opartego na certyfikatach, usługa Intune obsługuje wykonywanie zapytań dotyczących urządzeń na podstawie adresów MAC.
Aby uzyskać więcej informacji na temat profilów certyfikatów, zobacz Używanie profilów certyfikatów SCEP w usłudze Microsoft Intune i Używanie profilu certyfikatu PKCS do aprowizacji urządzeń z certyfikatami w usłudze Microsoft Intune.
Dane udostępniane partnerom NAC
Określone właściwości urządzenia, które są współużytkowane z partnerami NAC, zależą od wersji interfejsu API NAC używanego przez produkt NAC. Skontaktuj się z partnerem translatora adresów sieciowych, aby uzyskać więcej informacji na temat wersji interfejsu NAC lub interfejsu API pobierania zgodności używanego przez produkt NAC.
Ponadto zwrócone dane będą ograniczone, jeśli:
- Urządzenie nie jest zarejestrowane w usłudze Intune. W takim przypadku żadne informacje inne niż to, że urządzenie nie jest zarządzane przez usługę Intune, nie zostaną udostępnione produktowi NAC.
- System operacyjny uniemożliwia udostępnianie określonej właściwości urządzenia firmie Microsoft. Usługa Intune będzie udostępniać puste wartości z powrotem do produktu NAC dla właściwości danych, które nie są udostępniane usłudze Intune przez system operacyjny.
| Właściwość urządzenia | Dostępne w usłudze NAC 1.0 | Dostępne w usłudze NAC 1.1 | Dostępne w nac 1.3 | Dostępne w sekcji Pobieranie zgodności/NAC 2.0 |
|---|---|---|---|---|
| Stan zgodności | Tak | Tak | Tak | Tak |
| Zarządzane przez usługę Intune | Tak | Tak | Tak | Tak |
| Własność osobista lub firmowa | Nie | Tak | Tak | Nie |
| Adres MAC | Tak | Tak | Tak | Tak |
| Numer seryjny | Tak | Tak | Tak | Nie |
| Numer IMEI | Tak | Tak | Tak | Nie |
| Identyfikator UDID | Tak | Tak | Tak | Nie |
| IDENTYFIKATOR MEID | Tak | Tak | Tak | Nie |
| Wersja systemu operacyjnego | Tak | Tak | Tak | Nie |
| Model urządzenia | Tak | Tak | Tak | Nie |
| Producent | Tak | Tak | Tak | Nie |
| Identyfikator urządzenia Microsoft Entra | Tak | Tak | Tak | Nie |
| Czas ostatniego kontaktu z usługą Intune | Tak | Tak | Tak | Nie |
| Identyfikator urządzenia usługi Intune | Nie | Nie | Nie | Tak |
Następne kroki
- Integracja aplikacji Extreme Networks ExtremeCloud Universal ZTNA
- Integracja aplikacji Extreme Networks ExtremeCloud z usługą Intune
- Integrowanie rozwiązania Cisco ISE z usługą Intune
- Integracja usługi Citrix Gateway z usługą Intune
- Integrowanie menedżera zasad dostępu do dużych adresów IP F5 z usługą Intune
- Integracja rozwiązania Forescout z usługą Intune
- Integracja rozwiązania HPE Aruba ClearPass z usługą Intune
- Integrowanie usługi Squadra security Removable Media Manager (secRMM) z usługą Intune