Share via

Integração de controlo de acesso à rede (NAC) com o Intune

  • Artigo

A Intune integra-se com parceiros de controlo de acesso à rede (NAC) para ajudar as organizações a proteger os dados corporativos quando os dispositivos tentam aceder aos recursos no local.

Importante

A NAC não é suportada atualmente para dispositivos Android Enterprise Fully Managed ou Android Enterprise Dedicated.

Como é que o Intune e as soluções de NAC ajudam a proteger os recursos da sua organização?

As soluções de NAC verificam a inscrição do dispositivo e o estado de conformidade com o Intune para tomar decisões de controlo de acesso. Se o dispositivo não estiver inscrito, ou se estiver inscrito e não cumprir as políticas de conformidade do dispositivo do Intune, o dispositivo deverá ser redirecionado para o Intune para ser inscrito ou para ser sujeito a uma verificação da conformidade.

Exemplo

Se o dispositivo estiver inscrito e em conformidade com o Intune, a solução de NAC deve permitir que o dispositivo aceda aos recursos empresariais. Por exemplo, o acesso dos utilizadores pode ser permitido ou recusado quando tentam aceder aos recursos de Wi-Fi ou VPN empresariais.

Comportamentos da funcionalidade

Os dispositivos que estão a sincronizar ativamente o Intune não podem passar de Não / Conformes Não Sincronizados a Não Sincronizados (ou Desconhecidos). O estado Desconhecido está reservado para dispositivos inscritos recentemente que ainda não tenham sido avaliados quanto à conformidade.

Para os dispositivos cujo acesso aos recursos está bloqueado, o serviço de bloqueio deve redirecionar todos os utilizadores para o portal de gestão para determinar o motivo pelo qual está bloqueado. Se os utilizadores visitarem esta página, os seus dispositivos serão reavaliados de forma síncrona quanto à conformidade.

NAC e Acesso Condicional

A NAC trabalha com acesso condicional para fornecer decisões de controlo de acesso. Para obter mais informações, consulte formas comuns de utilizar o Acesso Condicional com Intune.

Como funciona a integração de NAC

A lista seguinte é uma descrição geral sobre como a integração do NAC funciona quando integrada com o Intune. Os três primeiros passos (1 a 3) explicam o processo de inclusão. Assim que a solução de NAC estiver integrada com o Intune, os passos 4 a 9 descrevem a operação em curso.

Imagem conceptual de como o NAC funciona com o Intune

  1. Registe a solução de parceiro de NAC com o Azure Active Directory (AAD) e conceda permissões delegadas à API de NAC do Intune.
  2. Configure a solução de parceiro de NAC com as definições adequadas, incluindo o URL de deteção do Intune.
  3. Configure a solução de parceiro de NAC para a autenticação de certificados.
  4. O utilizador liga-se ao ponto de acesso Wi-Fi empresarial ou faz um pedido de ligação VPN.
  5. A solução de parceiro de NAC reencaminha as informações do dispositivo para o Intune e pergunta ao Intune sobre a inscrição do dispositivo e o estado de conformidade.
  6. Se o dispositivo não estiver em conformidade ou não estiver inscrito, a solução de parceiro de NAC indica ao utilizador que inscreva ou corrija a conformidade do dispositivo.
  7. O dispositivo tenta verificar novamente o estado de conformidade e inscrição quando aplicável.
  8. Uma vez que o dispositivo esteja inscrito e em conformidade, a solução de parceiro de NAC obtém o estado do Intune.
  9. A ligação é estabelecida com êxito, o que permite que o dispositivo aceda aos recursos empresariais.

Nota

As soluções parceiras da NAC normalmente fazem dois tipos diferentes de consulta ao Intune para perguntar sobre o estado de conformidade do dispositivo:

  • Filtragem de consultas com base num valor de propriedade conhecido de um único dispositivo, como o seu endereço IMEI ou Wi-Fi MAC
  • Consultas largas e não filtradas para todos os dispositivos não conformes.

As soluções NAC são autorizadas a fazer o maior número de consultas específicas do dispositivo, conforme necessário. No entanto, as amplas consultas não filtradas podem ser estranguladas. A solução NAC deve ser configurada apenas para submeter as consultas de todos os dispositivos não conformes, no máximo, uma vez a cada quatro horas. As consultas feitas com mais frequência receberão um erro http 503 do serviço Intune.

Utilize o NAC para VPN nos seus dispositivos iOS/iPadOS

A NAC está disponível nas seguintes VPNs sem permitir que a NAC no perfil VPN:

  • NAC para Cisco Legacy AnyConnect
  • Legado de acesso F5
  • Citrix VPN

O NAC também é suportado para Cisco AnyConnect, Citrix SSO e F5 Access.

Para ativar o NAC para Cisco AnyConnect para iOS

  • Integre o ISE com o Intune para o NAC, conforme descrito no link abaixo.
  • Defina a definição de Controlo de Acesso à Rede ativa (NAC) no perfil VPN para Sim.

Para ativar o NAC para o Citrix SSO

  • Utilize o Gateway Citrix 12.0.59 ou superior.
  • Os utilizadores devem ter Citrix SSO 1.1.6 ou posteriormente instalado.
  • Integre o NetScaler com o Intune para o NAC, conforme descrito na documentação do produto Citrix.
  • No perfil VPN, selecione as definições base > Ativar o Controlo de Acesso à Rede (NAC) > selecionar Concordo.

Para ativar o NAC para acesso f5

A ligação VPN é desligada a cada 24 horas por razões de segurança. A VPN pode ser imediatamente reconectada.

Estamos a trabalhar com os nossos parceiros para lançar uma solução NAC para estes clientes mais recentes. Quando as soluções estiverem prontas, este artigo será atualizado com informações adicionais.

Passos seguintes