Integrering av nätverksåtkomstkontroll (NAC) med Intune
Intune integreras med NAC-partner (network access control) för att hjälpa organisationer att skydda företagsdata när enheter försöker komma åt lokala resurser.
Obs!
En ny NAC-tjänst (CR-tjänst) släpptes i juli 2021 och många av våra NAC-partner övergår till den nya tjänsten. Vi har förlängt tidslinjen för att stödja den äldre NAC-tjänsten till och med den 31 mars 2024, men vi rekommenderar att du migrerar till den nya CR-tjänsten för att undvika avbrott i tjänsten. För närvarande stöder följande NAC-partnerprodukt den nya NAC-tjänsten:
- Cisco ISE 3.1 och senare
- Citrix Gateway 13.0-84.11 och senare
- Citrix Gateway 13.1-12.50 och senare
- F5 BIG-IP Access Policy Manager 14.1.5.2 och senare
- F5 BIG-IP Access Policy Manager 15.1.7 och senare
- F5 BIG-IP Access Policy Manager 16.1.3.1 och senare
- F5 BIG-IP Access Policy Manager 17.0 och senare
- Ivanti Connect Secure 9.1R16 och senare
- Aruba ClearPass med Microsoft Intune Extension v6 och senare
- Forescout eyeExtend Microsoft Module v1.0.1 och senare
- Portnox Cloud
Kontakta din NAC-partner om du har frågor om effekten av övergången. Mer information finns i vårt blogginlägg om den nya hämtningstjänsten för efterlevnad.
Hur skyddar Intune- och NAC-lösningar organisationens resurser?
NAC-lösningar kontrollerar enhetsregistreringen och efterlevnadstillståndet med Intune för att fatta beslut om åtkomstkontroll. Om enheten inte har registrerats eller har registrerats och inte är kompatibel med Intune-enhetsefterlevnadsprinciper bör enheten omdirigeras till Intune för registrering eller för en enhetsefterlevnadskontroll.
Exempel
Om enheten är registrerad och kompatibel med Intune bör NAC-lösningen ge enheten åtkomst till företagsresurser. Användare kan till exempel tillåtas eller nekas åtkomst när de försöker komma åt företagets Wi-Fi- eller VPN-resurser.
Funktionsbeteenden
Enheter som aktivt synkroniserar till Intune kan inte gå från Kompatibelinkompatibel / till Inte synkroniserad (eller Okänd). Tillståndet Okänt är reserverat för nyligen registrerade enheter som ännu inte har utvärderats för kompatibilitet.
För enheter som blockeras från åtkomst till resurser bör blockeringstjänsten omdirigera alla användare till hanteringsportalen för att avgöra varför enheten är blockerad. Om användarna besöker den här sidan utvärderas deras enheter synkront för efterlevnad.
NAC och villkorlig åtkomst
NAC fungerar med villkorsstyrd åtkomst för att ge beslut om åtkomstkontroll. Mer information finns i Vanliga sätt att använda villkorlig åtkomst med Intune.
Så här fungerar NAC-integreringen
Följande lista är en översikt över hur NAC-integrering fungerar när den är integrerad med Intune. De första tre stegen, 1–3, förklarar registreringsprocessen. När NAC-lösningen är integrerad med Intune beskriver steg 4–9 den pågående åtgärden.
- Registrera NAC-partnerlösningen med Microsoft Entra-ID och bevilja delegerade behörigheter till Intune NAC API.
- Konfigurera NAC-partnerlösningen med lämpliga inställningar, inklusive Intune-identifierings-URL:en.
- Konfigurera NAC-partnerlösningen för certifikatautentisering.
- Användaren ansluter till företagets Wi-Fi åtkomstpunkt eller gör en VPN-anslutningsbegäran.
- NAC-partnerlösningen vidarebefordrar enhetsinformationen till Intune och frågar Intune om enhetsregistrering och efterlevnadstillstånd.
- Om enheten inte är kompatibel eller inte har registrerats instruerar NAC-partnerlösningen användaren att registrera eller åtgärda enhetsefterlevnaden.
- Enheten försöker återställa efterlevnads- och registreringstillståndet när det är tillämpligt.
- När enheten har registrerats och är kompatibel hämtar NAC-partnerlösningen tillståndet från Intune.
- Anslutningen har upprättats, vilket ger enheten åtkomst till företagets resurser.
Obs!
NAC-partnerlösningar gör vanligtvis två olika typer av frågor till Intune för att fråga om enhetens efterlevnadstillstånd:
- Frågor filtrerar baserat på ett känt egenskapsvärde för en enskild enhet, till exempel dess IMEI- eller Wi-Fi MAC-adress
- Breda, ofiltrerade frågor för alla icke-kompatibla enheter.
NAC-lösningar tillåts att göra så många av de enhetsspecifika frågorna som krävs. De breda ofiltrerade frågorna kan dock begränsas. NAC-lösningen bör konfigureras för att endast skicka alla frågor om icke-kompatibla enheter , högst en gång var fjärde timme. Frågor som görs oftare får ett http 503-fel från Intune-tjänsten.
Aktivera NAC
Om du vill aktivera användning av NAC och hämtningstjänsten för efterlevnad som blev tillgänglig i juli 2021 läser du NAC-produktens senaste dokumentation för att aktivera NAC-integrering med Intune. Den här integreringen kan kräva att du gör ändringar när du har uppgraderat till deras nya NAC-produkt eller version.
Kompatibilitetshämtningstjänsten kräver certifikatbaserad autentisering och användning av Intune-enhets-ID :t som alternativt namn på certifikaten. För SCEP-certifikat (Simple Certificate Enrollment Protocol) och PKCS-certifikat (Private and Public Key Pair) kan du lägga till ett attribut av URI-typen med ett värde som definierats av NAC-providern. NAC-providerns instruktioner kan till IntuneDeviceId://{{DeviceID}}exempel innehålla som alternativt ämnesnamn.
Andra NAC-produkter kan kräva att du inkluderar ett enhets-ID när du använder NAC med iOS VPN-profiler.
Obs!
Vi har nu lagt till stöd för att fråga enheter baserat på Mac-adresser för kunder som inte kan använda certifikatbaserad autentisering. Vår rekommendation är dock att använda certifikatbaserad autentisering med Intune-enhets-ID när det är möjligt.
Mer information om certifikatprofiler finns i: Använda SCEP-certifikatprofiler med Microsoft Intune och Använd en PKCS-certifikatprofil för att etablera enheter med certifikat i Microsoft Intune
Data som delas med NAC-partner
De specifika enhetsegenskaper som delas med NAC-partner beror på vilken version av NAC API som NAC-produkten använder. Kontakta din NAC-partner för mer information om vilken version av NAC- eller Efterlevnadshämtnings-API som din NAC-produkt använder.
Dessutom begränsas de data som returneras om:
- Enheten har inte registrerats i Intune. I det här fallet delas ingen annan information än att enheten inte hanteras av Intune med NAC-produkten.
- Operativsystemet förhindrar att den specifika enhetsegenskapen delas med Microsoft. Intune delar tomma värden tillbaka till NAC-produkten för dataegenskaper som inte delas med Intune av operativsystemet.
| Enhetsegenskap | Tillgänglig i NAC 1.0 | Tillgänglig i NAC 1.1 | Tillgänglig i NAC 1.3 | Tillgänglig i Efterlevnadshämtning/NAC 2.0 |
|---|---|---|---|---|
| Kompatibilitetstillstånd | Ja | Ja | Ja | Ja |
| Managed by Intune (Hanteras av Intune) | Ja | Ja | Ja | Ja |
| Personligt eller företagsägarskap | Nej | Ja | Ja | Nej |
| MAC-adress | Ja | Ja | Ja | Ja |
| Serienummer | Ja | Ja | Ja | Nej |
| IMEI | Ja | Ja | Ja | Nej |
| UDID | Ja | Ja | Ja | Nej |
| MEID | Ja | Ja | Ja | Nej |
| OS-version | Ja | Ja | Ja | Nej |
| Enhetsmodell | Ja | Ja | Ja | Nej |
| Tillverkare | Ja | Ja | Ja | Nej |
| Microsoft Entra enhets-ID | Ja | Ja | Ja | Nej |
| Senaste kontakttid med Intune | Ja | Ja | Ja | Nej |
| Enhets-ID för Intune | Nej | Nej | Nej | Ja |
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för