Dela via


Integrering av nätverksåtkomstkontroll (NAC) med Intune

Intune integreras med NAC-partner (network access control) för att hjälpa organisationer att skydda företagsdata när enheter försöker komma åt lokala resurser.

Obs!

Hämtningstjänsten för efterlevnad släpptes i juli 2021 och ersatte den tidigare Intune NAC-tjänsten. Microsoft Intune tillhandahåller stöd för den äldre Intune NAC-tjänsten till och med den 31 mars 2024. Våra NAC-partner övergår till kompatibilitetshämtningstjänsten och inkluderar:

  • ExtremeCloud Universal ZTNA
  • Extreme Networks ExtremeCloud IQ-Site Engine version 24.2
  • Cisco ISE 3.1 och senare
  • Citrix Gateway 13.0-84.11 och senare
  • Citrix Gateway 13.1-12.50 och senare
  • F5 BIG-IP Access Policy Manager 14.1.5.2 och senare
  • F5 BIG-IP Access Policy Manager 15.1.7 och senare
  • F5 BIG-IP Access Policy Manager 16.1.3.1 och senare
  • F5 BIG-IP Access Policy Manager 17.0 och senare
  • Ivanti Connect Secure 9.1R16 och senare
  • Aruba ClearPass med Microsoft Intune Extension v6 och senare
  • Forescout eyeExtend Microsoft Module v1.0.1 och senare
  • Portnox Cloud

Vi kommer att fasa ut Intune NAC-tjänsten i framtiden, så vi rekommenderar att du migrerar till kompatibilitetshämtningstjänsten för att undvika avbrott i tjänsten. Kontakta NAC-lösningsleverantören om du har frågor om kompatibilitetshämtningstjänsten eller påverkar din klientorganisation. Mer information och uppdateringar om hämtningstjänsten för efterlevnad och NAC-partner finns i Microsoft Tech Community: Ny Microsoft Intune-tjänst för nätverksåtkomstkontroll.

Hur skyddar Intune- och NAC-lösningar organisationens resurser?

NAC-lösningar kontrollerar enhetsregistreringen och efterlevnadstillståndet med Intune för att fatta beslut om åtkomstkontroll. Om enheten inte har registrerats eller har registrerats och inte är kompatibel med Intune-enhetsefterlevnadsprinciper bör enheten omdirigeras till Intune för registrering eller för en enhetsefterlevnadskontroll.

Exempel

Om enheten är registrerad och kompatibel med Intune bör NAC-lösningen ge enheten åtkomst till företagsresurser. Användare kan till exempel tillåtas eller nekas åtkomst när de försöker komma åt företagets Wi-Fi- eller VPN-resurser.

Funktionsbeteenden

Enheter som aktivt synkroniserar till Intune kan inte gå från Kompatibelinkompatibel / till Inte synkroniserad (eller Okänd). Tillståndet Okänt är reserverat för nyligen registrerade enheter som ännu inte har utvärderats för kompatibilitet.

För enheter som blockeras från åtkomst till resurser bör blockeringstjänsten omdirigera alla användare till hanteringsportalen för att avgöra varför enheten är blockerad. Om användarna besöker den här sidan utvärderas deras enheter synkront för efterlevnad.

NAC och villkorlig åtkomst

NAC fungerar med villkorsstyrd åtkomst för att ge beslut om åtkomstkontroll. Mer information finns i Vanliga sätt att använda villkorlig åtkomst med Intune.

Så här fungerar NAC-integreringen

Följande lista är en översikt över hur NAC-integrering fungerar när den är integrerad med Intune. De första tre stegen, 1–3, förklarar registreringsprocessen. När NAC-lösningen är integrerad med Intune beskriver steg 4–9 den pågående åtgärden.

Konceptbild av hur NAC fungerar med Intune

  1. Registrera NAC-partnerlösningen med Microsoft Entra ID och bevilja delegerade behörigheter till Intune NAC API.
  2. Konfigurera NAC-partnerlösningen med lämpliga inställningar, inklusive Intune-identifierings-URL:en.
  3. Konfigurera NAC-partnerlösningen för certifikatautentisering.
  4. Användaren ansluter till företagets Wi-Fi åtkomstpunkt eller gör en VPN-anslutningsbegäran.
  5. NAC-partnerlösningen vidarebefordrar enhetsinformationen till Intune och frågar Intune om enhetsregistrering och efterlevnadstillstånd.
  6. Om enheten inte är kompatibel eller inte har registrerats instruerar NAC-partnerlösningen användaren att registrera eller åtgärda enhetsefterlevnaden.
  7. Enheten försöker återställa efterlevnads- och registreringstillståndet när det är tillämpligt.
  8. När enheten har registrerats och är kompatibel hämtar NAC-partnerlösningen tillståndet från Intune.
  9. Anslutningen har upprättats, vilket ger enheten åtkomst till företagets resurser.

Obs!

NAC-partnerlösningar gör vanligtvis två olika typer av frågor till Intune för att fråga om enhetens efterlevnadstillstånd:

  • Frågor filtrerar baserat på ett känt egenskapsvärde för en enskild enhet, till exempel dess IMEI- eller Wi-Fi MAC-adress
  • Breda, ofiltrerade frågor för alla icke-kompatibla enheter.

NAC-lösningar tillåts att göra så många av de enhetsspecifika frågorna som krävs. De breda ofiltrerade frågorna kan dock begränsas. NAC-lösningen bör konfigureras för att endast skicka alla frågor om icke-kompatibla enheter , högst en gång var fjärde timme. Frågor som görs oftare får ett http 503-fel från Intune-tjänsten.

Aktivera NAC

Om du vill aktivera användning av NAC och hämtningstjänsten för efterlevnad läser du NAC-produktens senaste dokumentation för att aktivera NAC-integrering med Intune. Den här integreringen kan kräva att du gör ändringar när du har uppgraderat till en ny NAC-produkt eller version.

Kompatibilitetshämtningstjänsten kräver certifikatbaserad autentisering och användning av Intune-enhets-ID :t som alternativt namn på certifikaten. För SCEP-certifikat (Simple Certificate Enrollment Protocol) och PKCS-certifikat (Private and Public Key Pair) kan du lägga till ett attribut av URI-typen med ett värde som definierats av NAC-providern. NAC-providerns instruktioner kan till IntuneDeviceId://{{DeviceID}}exempel innehålla som alternativt ämnesnamn.

Andra NAC-produkter kan kräva att du inkluderar ett enhets-ID när du använder NAC med iOS VPN-profiler.

Tips

Vi rekommenderar att du använder certifikatbaserad autentisering med Intune-enhets-ID:t när det är möjligt. Om du inte kan använda certifikatbaserad autentisering stöder Intune frågor mot enheter baserat på MAC-adresser.

Mer information om certifikatprofiler finns i Använda SCEP-certifikatprofiler med Microsoft Intune och Använda en PKCS-certifikatprofil för att etablera enheter med certifikat i Microsoft Intune.

Data som delas med NAC-partner

De specifika enhetsegenskaper som delas med NAC-partner beror på vilken version av NAC API som NAC-produkten använder. Kontakta din NAC-partner för mer information om vilken version av NAC- eller Efterlevnadshämtnings-API som din NAC-produkt använder.

Dessutom begränsas de data som returneras om:

  • Enheten har inte registrerats i Intune. I det här fallet delas ingen annan information än att enheten inte hanteras av Intune med NAC-produkten.
  • Operativsystemet förhindrar att den specifika enhetsegenskapen delas med Microsoft. Intune delar tomma värden tillbaka till NAC-produkten för dataegenskaper som inte delas med Intune av operativsystemet.
Enhetsegenskap Tillgänglig i NAC 1.0 Tillgänglig i NAC 1.1 Tillgänglig i NAC 1.3 Tillgänglig i Efterlevnadshämtning/NAC 2.0
Kompatibilitetstillstånd Ja Ja Ja Ja
Managed by Intune (Hanteras av Intune) Ja Ja Ja Ja
Personligt eller företagsägarskap Nej Ja Ja Nej
MAC-adress Ja Ja Ja Ja
Serienummer Ja Ja Ja Nej
IMEI Ja Ja Ja Nej
UDID Ja Ja Ja Nej
MEID Ja Ja Ja Nej
OS-version Ja Ja Ja Nej
Enhetsmodell Ja Ja Ja Nej
Tillverkare Ja Ja Ja Nej
Microsoft Entra-enhets-ID Ja Ja Ja Nej
Senaste kontakttid med Intune Ja Ja Ja Nej
Enhets-ID för Intune Nej Nej Nej Ja

Nästa steg