Интеграция управления доступом к сети (NAC) с Intune
Intune интегрируется с партнерами по управлению доступом к сети (NAC), чтобы помочь организациям защитить корпоративные данные, когда устройства пытаются обратиться к локальным ресурсам.
Примечание.
В июле 2021 года была выпущена новая служба NAC (cr service), и многие из наших партнеров NAC переходят на эту новую службу. Хотя мы продлили временная шкала для поддержки устаревшей службы NAC до 31 марта 2024 г., мы рекомендуем перейти на новую службу CR, чтобы избежать прерывания работы службы. В настоящее время следующий партнерский продукт NAC поддерживает новую службу NAC:
- Cisco ISE 3.1 и более поздней версии
- Citrix Gateway 13.0-84.11 и более поздней версии
- Citrix Gateway 13.1-12.50 и более поздней версии
- F5 BIG-IP Access Policy Manager 14.1.5.2 и более поздних версий
- F5 BIG-IP Access Policy Manager 15.1.7 и более поздних версий
- F5 BIG-IP Access Policy Manager 16.1.3.1 и более поздних версий
- F5 Диспетчер политик доступа BIG-IP 17.0 и более поздних
- Ivanti Connect Secure 9.1R16 и более поздних версий
- Aruba ClearPass с расширением Microsoft Intune версии 6 и более поздних версий
- Forescout eyeExtend Microsoft Module версии 1.0.1 и более поздних версий
- Portnox Cloud
Обратитесь к партнеру NAC, если у вас есть вопросы о влиянии этого перехода. Дополнительные сведения см. в нашей записи блога о новой службе проверки соответствия требованиям.
Как решения NAC и Intune помогают защитить ресурсы вашей организации?
Решения NAC проверяют состояние регистрации и соответствия устройств в Intune для принятия решений по управлению доступом. Если устройство не зарегистрировано либо зарегистрировано, но не удовлетворяет политикам соответствия устройств Intune, его требуется перенаправить в Intune для регистрации или проверки соответствия.
Пример
Если устройство зарегистрировано и является соответствующим в рамках Intune, решение NAC должно предоставить ему доступ к корпоративным ресурсам. Например, можно разрешать или запрещать доступ пользователям, пытающимся обратиться к корпоративным ресурсам Wi-Fi или VPN.
Поведение функции
Устройства, которые активно синхронизируются с Intune, нельзя переключить из состояния Соответствующее / Несоответствующее в состояние Несинхронизированное (или Неизвестное). Состояние Неизвестное используется только для новых зарегистрированных устройств, которые еще не были проверены на предмет соответствия.
Если для устройств заблокирован доступ к ресурсам, служба блокировки должна перенаправлять всех пользователей портала управления, чтобы определить причину блокировки устройства. Если пользователи посетят эту страницу, их устройства будут синхронно проверены на предмет соответствия.
NAC и условный доступ
NAC использует условный доступ для принятия решений по управлению доступом. См. дополнительные сведения о стандартных способах использования условного доступа с помощью Intune.
Принцип работы интеграции с NAC
Ниже описаны особенности интеграции NAC с Intune. В шагах 1–3 объясняется процесс подключения. Типичная работа после интеграции решения NAC с Intune описана в шагах 4–9.
- Зарегистрируйте партнерское решение NAC с идентификатором Microsoft Entra и предоставьте делегированные разрешения api NAC Intune.
- Настройте партнерское решения NAC с помощью соответствующих параметров, включая URL-адрес обнаружения Intune.
- Настройте партнерское решение NAC для проверки подлинности сертификата.
- Пользователь подключается к корпоративной точке доступа Wi-Fi или выполняет запрос на VPN-подключение.
- Партнерское решение NAC перенаправляет сведения об устройстве в Intune и запрашивает там состояние регистрации и соответствия устройства.
- Если устройство не соответствует требованиям или не зарегистрировано, партнерское решение NAC просит пользователя зарегистрировать устройство или обеспечить его соответствие.
- Устройство пытается повторно проверить свое состояние соответствия и регистрации.
- После регистрации и обеспечения соответствия устройства партнерское решение NAC получает это состояние из Intune.
- Устанавливается соединение, предоставляющее устройству доступ к корпоративным ресурсам.
Примечание.
Как правило, партнерские решения NAC выполняют два разных типа запросов в Intune, чтобы запросить состояние соответствия устройства.
- Фильтрация запросов на основе известного значения свойства одного устройства, например номера IMEI или MAC-адреса для Wi-Fi.
- Общие неотфильтрованные запросы для всех несоответствующих устройств.
Решения NAC могут выполнять любое требуемое количество запросов для конкретных устройств. Однако общие неотфильтрованные запросы могут регулироваться. В решении NAC должна быть настроена отправка только тех запросов, которые касаются всех несоответствующих устройств, не чаще каждых четырех часов. Более частые запросы вернут ошибку HTTP 503 от службы Intune.
Включение NAC
Чтобы включить использование NAC и службы получения соответствия требованиям , которая стала доступна в июле 2021 г., обратитесь к последней документации продукта NAC по включению интеграции NAC с Intune. Для этой интеграции может потребоваться внести изменения после обновления до нового продукта или версии NAC.
Для службы получения соответствия требуется проверка подлинности на основе сертификата и использование идентификатора устройства Intune в качестве альтернативного имени субъекта сертификатов. Для сертификатов с использованием протокола регистрации простых сертификатов (SCEP) и частного и открытого ключей (PKCS) можно добавить атрибут типа URI со значением, определенным поставщиком NAC. Например, в инструкциях поставщика NAC может быть указано включить IntuneDeviceId://{{DeviceID}}в качестве альтернативного имени субъекта.
Для других продуктов NAC может потребоваться включить идентификатор устройства при использовании NAC с профилями VPN iOS.
Примечание.
Теперь добавлена поддержка запросов устройств на основе Mac-адресов для клиентов, которые не могут использовать проверку подлинности на основе сертификатов. Однако мы рекомендуем по возможности использовать проверку подлинности на основе сертификата с идентификатором устройства Intune.
Дополнительные сведения о профилях сертификатов см. в разделах Использование профилей сертификатов SCEP с Microsoft Intune и Использование профиля сертификата PKCS для подготовки устройств с сертификатами в Microsoft Intune
Обмен данными с партнерами NAC
Конкретные свойства устройства, которые предоставляются партнерам NAC, зависят от версии API NAC, используемой продуктом NAC. Обратитесь к партнеру NAC для получения дополнительных сведений о том, какую версию NAC или API получения соответствия использует ваш продукт NAC.
Кроме того, возвращаемые данные будут ограничены, если:
- Устройство не зарегистрировано в Intune. В этом случае никакие сведения, кроме того, что устройство не управляется Intune, не будут предоставляться продукту NAC.
- ОС предотвращает совместное использование определенного свойства устройства с корпорацией Майкрософт. Intune будет совместно использовать пустые значения обратно в продукт NAC для свойств данных, не общих с Intune ос.
| Свойство устройства | Доступно в NAC 1.0 | Доступно в NAC 1.1 | Доступно в NAC 1.3 | Доступно в разделе Получение соответствия требованиям/NAC 2.0 |
|---|---|---|---|---|
| Состояние соответствия требованиям | Да | Да | Да | Да |
| Под управлением Intune | Да | Да | Да | Да |
| Личная или корпоративная собственность | Нет | Да | Да | Нет |
| MAC-адрес | Да | Да | Да | Да |
| Серийный номер | Да | Да | Да | Нет |
| IMEI | Да | Да | Да | Нет |
| UDID | Да | Да | Да | Нет |
| MEID | Да | Да | Да | Нет |
| Версия ОС | Да | Да | Да | Нет |
| Модель устройства | Да | Да | Да | Нет |
| Производитель | Да | Да | Да | Нет |
| Microsoft Entra идентификатор устройства | Да | Да | Да | Нет |
| Время последнего контакта с Intune | Да | Да | Да | Нет |
| Удостоверение устройства Intune | Нет | Нет | Нет | Да |
Дальнейшие действия
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по