Integração de Controle de Acesso de Rede (NAC) com o Intune
O Intune se integra a parceiros de controle de acesso à rede (NAC) para ajudar as organizações a protegerem os dados corporativos quando os dispositivos tentam acessar os recursos locais.
Observação
O serviço de obtenção de conformidade foi lançado em julho de 2021 e substituiu o serviço anterior do Intune NAC. O Microsoft Intune está a fornecer suporte para o serviço legado do Intune NAC até 31 de março de 2024. Os nossos parceiros naC estão em transição para o serviço de obtenção de conformidade e incluem:
- ExtremeCloud Universal ZTNA
- Extreme Networks ExtremeCloud IQ-Site Engine versão 24.2
- Cisco ISE 3.1 e posterior
- Citrix Gateway 13.0-84.11 e posterior
- Citrix Gateway 13.1-12.50 e posterior
- F5 BIG-IP Access Policy Manager 14.1.5.2 e posterior
- F5 BIG-IP Access Policy Manager 15.1.7 e posterior
- F5 BIG-IP Access Policy Manager 16.1.3.1 e posterior
- Gerenciador de Política de Acesso de BIG-IP da F5 17.0 e posterior
- Ivanti Connect Secure 9.1R16 e posterior
- Aruba ClearPass com a Extensão v6 do Microsoft Intune e posterior
- Forescout eyeExtend Microsoft Module v1.0.1 e posterior
- Portnox Cloud
Vamos preterir o serviço NAC do Intune no futuro, pelo que recomendamos que migre para o serviço de obtenção de conformidade para evitar a interrupção do serviço. Contacte o fornecedor de soluções do NAC se tiver dúvidas sobre o serviço de obtenção de conformidade ou o impacto no seu inquilino. Para obter mais informações e atualizações sobre o serviço de obtenção de conformidade e os parceiros NAC, consulte Microsoft Tech Community: New Microsoft Intune service for network access control (Comunidade Tecnológica da Microsoft: Novo serviço do Microsoft Intune para controlo de acesso à rede).
Como soluções do Intune e de NAC ajudam a proteger os recursos da sua organização?
Soluções NAC verificam o registro do dispositivo e o estado de conformidade com o Intune para tomar decisões de controle de acesso. Se o dispositivo não estiver registrado ou se estiver registrado e não estiver em conformidade com as políticas de conformidade do dispositivo do Intune, ele deverá ser redirecionado para o Intune para registro ou verificação de conformidade do dispositivo.
Exemplo
Se o dispositivo for registrado e estiver em conformidade com o Intune, a solução NAC deverá permitir que o dispositivo acesse os recursos corporativos. Por exemplo, os usuários podem ter acesso autorizado ou negado ao tentar acessar recursos corporativos de Wi-Fi ou VPN.
Comportamentos do recurso
Dispositivos que estão realizando sincronizações ativamente com o Intune não podem mudar de Em conformidade / Não em conformidade para Não Sincronizado (ou Desconhecido). O estado Desconhecido é reservado para dispositivos recém-registrados que ainda não foram avaliados quanto à conformidade.
Para dispositivos com acesso bloqueado aos recursos, o serviço de bloqueio deve redirecionar todos os usuários para o portal de gerenciamento para determinar por que o dispositivo está bloqueado. Se os usuários visitarem essa página, seus dispositivos serão reavaliados sincronicamente para fins de conformidade.
NAC e Acesso Condicional
O NAC trabalha junto com o Acesso Condicional para fornecer decisões de controle de acesso. Para obter mais detalhes, confira Maneiras comuns de usar o Acesso Condicional com o Intune.
Como funciona a integração de NAC
A lista a seguir é uma visão geral sobre como funciona a integração de NAC quando integrada ao Intune. As três primeiras etapas, 1 a 3, explicam o processo de integração. Depois que a solução de NAC estiver integrada ao Intune, as etapas 4 a 9 descrevem a operação em andamento.
- Registe a solução de parceiro do NAC com o Microsoft Entra ID e conceda permissões delegadas à API na NAC do Intune.
- Configure a solução de parceiro NAC com as configurações adequadas, incluindo a URL de descoberta do Intune.
- Configure a solução de parceiro NAC para autenticação de certificado.
- O usuário se conecta ao ponto de acesso Wi-Fi corporativo ou faz uma solicitação de conexão VPN.
- A solução de parceiro NAC encaminha as informações do dispositivo para o Intune e pergunta ao Intune sobre o registro do dispositivo e o estado de conformidade.
- Se o dispositivo não estiver em conformidade ou não estiver registrado, a solução de parceiro NAC instrui o usuário a registrar ou corrigir a conformidade do dispositivo.
- O dispositivo tenta verificar novamente o estado de conformidade e registro quando aplicável.
- Quando o dispositivo estiver registrado e em conformidade, a solução de parceiro NAC obtém o estado do Intune.
- A conexão foi estabelecida com êxito, permitindo que o dispositivo acesse os recursos corporativos.
Observação
As soluções de parceiro do NAC normalmente criam dois tipos de consulta ao Intune diferentes para perguntar sobre o estado de conformidade do dispositivo:
- Filtragem de consultas com base em um valor de propriedade conhecido em um único dispositivo, como seu IMEI ou o endereço MAC do Wi-Fi
- Consultas sem filtro e amplas para todos os dispositivos sem conformidade.
As soluções NAC podem fazer quantas consultas específicas ao dispositivo quanto forem necessárias. No entanto, as consultas sem filtro e amplas poderão ser restringidas. A solução NAC deve ser configurada para enviar apenas as consultas de todos os dispositivos sem conformidade a cada quatro horas, no máximo. As consultas feitas com frequência maior que essa receberão um erro 503 do serviço do Intune.
Ativar NAC
Para ativar a utilização do NAC e do serviço de obtenção de conformidade, consulte a documentação mais recente do produto NAC para permitir a integração do NAC com o Intune. Esta integração poderá exigir que faça alterações após atualizar para um novo produto ou versão do NAC.
O serviço de obtenção de conformidade requer autenticação baseada em certificados e a utilização do ID de dispositivo do Intune como o nome alternativo do requerente dos certificados. Para certificados scep (Simple Certificate Enrollment Protocol) e par de chaves privadas e públicas (PKCS), pode adicionar um atributo do tipo URI com um valor definido pelo seu fornecedor de NAC. Por exemplo, as instruções do seu fornecedor de NAC podem indicar incluir IntuneDeviceId://{{DeviceID}}como nome alternativo do Requerente.
Outros produtos NAC podem exigir que inclua um ID de dispositivo ao utilizar o NAC com perfis de VPN iOS.
Dica
Recomendamos que utilize a autenticação baseada em certificados com o ID de dispositivo do Intune sempre que possível. Se não conseguir utilizar a autenticação baseada em certificados, o Intune suporta a consulta de dispositivos com base em endereços MAC.
Para obter mais informações sobre perfis de certificado, veja Utilizar perfis de certificado SCEP com o Microsoft Intune e Utilizar um perfil de certificado PKCS para aprovisionar dispositivos com certificados no Microsoft Intune.
Dados partilhados com parceiros NAC
As propriedades específicas do dispositivo que são partilhadas com parceiros NAC dependem da versão da API de NAC que o produto NAC utiliza. Contacte o parceiro do NAC para obter mais informações sobre a versão da API de Obtenção de Conformidade ou NAC utilizada pelo produto NAC.
Além disso, os dados devolvidos serão limitados se:
- O dispositivo não está inscrito no Intune. Neste caso, nenhuma informação que não seja a de que o dispositivo não é gerido pelo Intune será partilhada com o produto NAC.
- O SO impede que a propriedade específica do dispositivo seja partilhada com a Microsoft. O Intune partilhará valores vazios de volta para o produto NAC para propriedades de dados não partilhadas com o Intune pelo SO.
| Propriedade do dispositivo | Disponível no NAC 1.0 | Disponível no NAC 1.1 | Disponível no NAC 1.3 | Disponível na Obtenção de Conformidade/NAC 2.0 |
|---|---|---|---|---|
| Estado de conformidade | Sim | Sim | Sim | Sim |
| Gerenciado pelo Intune | Sim | Sim | Sim | Sim |
| Propriedade pessoal ou empresarial | Não | Sim | Sim | Não |
| Endereço MAC | Sim | Sim | Sim | Sim |
| Número de série | Sim | Sim | Sim | Não |
| IMEI | Sim | Sim | Sim | Não |
| UDID | Sim | Sim | Sim | Não |
| MEID | Sim | Sim | Sim | Não |
| Versão do SO | Sim | Sim | Sim | Não |
| Modelo do dispositivo | Sim | Sim | Sim | Não |
| Fabricante | Sim | Sim | Sim | Não |
| ID do dispositivo Do Microsoft Entra | Sim | Sim | Sim | Não |
| Hora do último contacto com o Intune | Sim | Sim | Sim | Não |
| ID do dispositivo Intune | Não | Não | Não | Sim |
Próximas etapas
- Integrar Redes Extremas ExtremeCloud Universal ZTNA
- Integrar o Extreme Networks ExtremeCloud com o Intune
- Integrar o Cisco ISE com o Intune
- Integrar o Citrix Gateway com o Intune
- Integrar o Gerenciador de Política de Acesso de BIG-IP da F5 com o Intune
- Integrar Forescout com o Intune
- Integrar o HPE Aruba ClearPass no Intune
- Integrar o Gerenciador de Mídia Removível de segurança Squadra (secRMM) ao Intune