Integração de controlo de acesso à rede (NAC) com o Intune
A Intune integra-se com parceiros de controlo de acesso à rede (NAC) para ajudar as organizações a proteger os dados corporativos quando os dispositivos tentam aceder aos recursos no local.
Importante
A NAC não é suportada atualmente para dispositivos Android Enterprise Fully Managed ou Android Enterprise Dedicated.
Como é que o Intune e as soluções de NAC ajudam a proteger os recursos da sua organização?
As soluções de NAC verificam a inscrição do dispositivo e o estado de conformidade com o Intune para tomar decisões de controlo de acesso. Se o dispositivo não estiver inscrito, ou se estiver inscrito e não cumprir as políticas de conformidade do dispositivo do Intune, o dispositivo deverá ser redirecionado para o Intune para ser inscrito ou para ser sujeito a uma verificação da conformidade.
Exemplo
Se o dispositivo estiver inscrito e em conformidade com o Intune, a solução de NAC deve permitir que o dispositivo aceda aos recursos empresariais. Por exemplo, o acesso dos utilizadores pode ser permitido ou recusado quando tentam aceder aos recursos de Wi-Fi ou VPN empresariais.
Comportamentos da funcionalidade
Os dispositivos que estão a sincronizar ativamente o Intune não podem passar de Não / Conformes Não Sincronizados a Não Sincronizados (ou Desconhecidos). O estado Desconhecido está reservado para dispositivos inscritos recentemente que ainda não tenham sido avaliados quanto à conformidade.
Para os dispositivos cujo acesso aos recursos está bloqueado, o serviço de bloqueio deve redirecionar todos os utilizadores para o portal de gestão para determinar o motivo pelo qual está bloqueado. Se os utilizadores visitarem esta página, os seus dispositivos serão reavaliados de forma síncrona quanto à conformidade.
NAC e Acesso Condicional
A NAC trabalha com acesso condicional para fornecer decisões de controlo de acesso. Para obter mais informações, consulte formas comuns de utilizar o Acesso Condicional com Intune.
Como funciona a integração de NAC
A lista seguinte é uma descrição geral sobre como a integração do NAC funciona quando integrada com o Intune. Os três primeiros passos (1 a 3) explicam o processo de inclusão. Assim que a solução de NAC estiver integrada com o Intune, os passos 4 a 9 descrevem a operação em curso.
- Registe a solução de parceiro de NAC com o Azure Active Directory (AAD) e conceda permissões delegadas à API de NAC do Intune.
- Configure a solução de parceiro de NAC com as definições adequadas, incluindo o URL de deteção do Intune.
- Configure a solução de parceiro de NAC para a autenticação de certificados.
- O utilizador liga-se ao ponto de acesso Wi-Fi empresarial ou faz um pedido de ligação VPN.
- A solução de parceiro de NAC reencaminha as informações do dispositivo para o Intune e pergunta ao Intune sobre a inscrição do dispositivo e o estado de conformidade.
- Se o dispositivo não estiver em conformidade ou não estiver inscrito, a solução de parceiro de NAC indica ao utilizador que inscreva ou corrija a conformidade do dispositivo.
- O dispositivo tenta verificar novamente o estado de conformidade e inscrição quando aplicável.
- Uma vez que o dispositivo esteja inscrito e em conformidade, a solução de parceiro de NAC obtém o estado do Intune.
- A ligação é estabelecida com êxito, o que permite que o dispositivo aceda aos recursos empresariais.
Nota
As soluções parceiras da NAC normalmente fazem dois tipos diferentes de consulta ao Intune para perguntar sobre o estado de conformidade do dispositivo:
- Filtragem de consultas com base num valor de propriedade conhecido de um único dispositivo, como o seu endereço IMEI ou Wi-Fi MAC
- Consultas largas e não filtradas para todos os dispositivos não conformes.
As soluções NAC são autorizadas a fazer o maior número de consultas específicas do dispositivo, conforme necessário. No entanto, as amplas consultas não filtradas podem ser estranguladas. A solução NAC deve ser configurada apenas para submeter as consultas de todos os dispositivos não conformes, no máximo, uma vez a cada quatro horas. As consultas feitas com mais frequência receberão um erro http 503 do serviço Intune.
Utilize o NAC para VPN nos seus dispositivos iOS/iPadOS
A NAC está disponível nas seguintes VPNs sem permitir que a NAC no perfil VPN:
- NAC para Cisco Legacy AnyConnect
- Legado de acesso F5
- Citrix VPN
O NAC também é suportado para Cisco AnyConnect, Citrix SSO e F5 Access.
Para ativar o NAC para Cisco AnyConnect para iOS
- Integre o ISE com o Intune para o NAC, conforme descrito no link abaixo.
- Defina a definição de Controlo de Acesso à Rede ativa (NAC) no perfil VPN para Sim.
Para ativar o NAC para o Citrix SSO
- Utilize o Gateway Citrix 12.0.59 ou superior.
- Os utilizadores devem ter Citrix SSO 1.1.6 ou posteriormente instalado.
- Integre o NetScaler com o Intune para o NAC, conforme descrito na documentação do produto Citrix.
- No perfil VPN, selecione as definições base > Ativar o Controlo de Acesso à Rede (NAC) > selecionar Concordo.
Para ativar o NAC para acesso f5
- Utilize F5 BIG-IP 13.1.1.5 ou mais tarde.
- Integre o BIG-IP com o Intune para o NAC. Visão geral: Configurar APM para verificações de postura do dispositivo com sistemas de gestão de pontos finais O guia F5 lista os passos.
- No perfil VPN, selecione as definições base > Ativar o Controlo de Acesso à Rede (NAC) > selecionar Concordo.
A ligação VPN é desligada a cada 24 horas por razões de segurança. A VPN pode ser imediatamente reconectada.
Estamos a trabalhar com os nossos parceiros para lançar uma solução NAC para estes clientes mais recentes. Quando as soluções estiverem prontas, este artigo será atualizado com informações adicionais.
Passos seguintes
- Integrar o Cisco ISE com o Intune (Integrate Cisco ISE with Intune)
- Integrar o Citrix NetScaler com o Intune (Integrate Citrix NetScaler with Intune)
- Integrar o Gestor de Políticas de Acesso BIG-IP do F5 COM Intune
- Integrar o HP Aruba ClearPass com o Intune
- Integrar o secRMM (Gestor de Suportes de Dados Amovíveis de Segurança) da Squadra com o Intune