Integrering av nätverksåtkomstkontroll (NAC) med Intune

Intune integreras med NAC-partner (network access control) för att hjälpa organisationer att skydda företagsdata när enheter försöker komma åt lokala resurser.

Obs!

En ny NAC-tjänst släpptes i juli 2021 och många av våra NAC-partner övergår till den nya tjänsten. För närvarande stöder följande NAC-partnerprodukt den nya NAC-tjänsten:

  • Cisco ISE 3.1 och senare
  • Citrix Gateway 13.0-84.11 och senare
  • Citrix Gateway 13.1-12.50 och senare
  • F5 BIG-IP Access Policy Manager 16.1.3.1
  • F5 BIG-IP Access Policy Manager 17.0 och senare
  • Ivanti Connect Secure 9.1R16 och senare

Kontakta din NAC-partner om du har frågor om effekten av övergången. Mer information finns i vårt blogginlägg om den nya hämtningstjänsten för efterlevnad.

Hur skyddar Intune och NAC-lösningar organisationens resurser?

NAC-lösningar kontrollerar enhetsregistreringen och efterlevnadstillståndet med Intune för att fatta beslut om åtkomstkontroll. Om enheten inte har registrerats eller har registrerats och inte är kompatibel med Intune principer för enhetsefterlevnad bör enheten omdirigeras till Intune för registrering eller för en enhetsefterlevnadskontroll.

Exempel

Om enheten är registrerad och kompatibel med Intune bör NAC-lösningen ge enheten åtkomst till företagsresurser. Användare kan till exempel tillåtas eller nekas åtkomst när de försöker komma åt företagets Wi-Fi- eller VPN-resurser.

Funktionsbeteenden

Enheter som aktivt synkroniserar till Intune kan inte gå från kompatibelinkompatibel / till Inte synkroniserad (eller Okänd). Tillståndet Okänt är reserverat för nyligen registrerade enheter som ännu inte har utvärderats för kompatibilitet.

För enheter som blockeras från åtkomst till resurser bör blockeringstjänsten omdirigera alla användare till hanteringsportalen för att avgöra varför enheten är blockerad. Om användarna besöker den här sidan utvärderas deras enheter synkront för efterlevnad.

NAC och villkorlig åtkomst

NAC fungerar med villkorsstyrd åtkomst för att ge beslut om åtkomstkontroll. Mer information finns i Vanliga sätt att använda villkorlig åtkomst med Intune.

Så här fungerar NAC-integreringen

Följande lista är en översikt över hur NAC-integrering fungerar när den är integrerad med Intune. De första tre stegen, 1–3, förklarar registreringsprocessen. När NAC-lösningen är integrerad med Intune beskriver steg 4–9 den pågående åtgärden.

Konceptbild av hur NAC fungerar med Intune

  1. Registrera NAC-partnerlösningen med Azure Active Directory (Azure AD) och bevilja delegerade behörigheter till Intune NAC API.
  2. Konfigurera NAC-partnerlösningen med lämpliga inställningar, inklusive Intune identifierings-URL.
  3. Konfigurera NAC-partnerlösningen för certifikatautentisering.
  4. Användaren ansluter till företagets Wi-Fi åtkomstpunkt eller gör en VPN-anslutningsbegäran.
  5. NAC-partnerlösningen vidarebefordrar enhetsinformationen till Intune och frågar Intune om enhetsregistreringen och efterlevnadstillståndet.
  6. Om enheten inte är kompatibel eller inte har registrerats instruerar NAC-partnerlösningen användaren att registrera eller åtgärda enhetsefterlevnaden.
  7. Enheten försöker återställa efterlevnads- och registreringstillståndet när det är tillämpligt.
  8. När enheten har registrerats och är kompatibel hämtar NAC-partnerlösningen tillståndet från Intune.
  9. Anslutningen har upprättats, vilket ger enheten åtkomst till företagets resurser.

Obs!

NAC-partnerlösningar gör vanligtvis två olika typer av frågor för att Intune för att fråga om enhetens efterlevnadstillstånd:

  • Frågor filtrerar baserat på ett känt egenskapsvärde för en enskild enhet, till exempel dess IMEI- eller Wi-Fi MAC-adress
  • Breda, ofiltrerade frågor för alla icke-kompatibla enheter.

NAC-lösningar tillåts att göra så många av de enhetsspecifika frågorna som krävs. De breda ofiltrerade frågorna kan dock begränsas. NAC-lösningen bör konfigureras för att endast skicka alla frågor om icke-kompatibla enheter , högst en gång var fjärde timme. Frågor som görs oftare får ett http 503-fel från Intune-tjänsten.

Aktivera NAC

Om du vill aktivera användning av NAC och hämtningstjänsten för efterlevnad som blev tillgänglig i juli 2021 läser du NAC-produktens senaste dokumentation för att aktivera NAC-integrering med Intune. Den här integreringen kan kräva att du gör ändringar när du har uppgraderat till deras nya NAC-produkt eller version.

Kompatibilitetshämtningstjänsten kräver certifikatbaserad autentisering och användning av Intune enhets-ID som alternativt ämnesnamn för certifikaten. För SCEP-certifikat (Simple Certificate Enrollment Protocol) och PKCS-certifikat (Private and Public Key Pair) kan du lägga till ett attribut av URI-typen med ett värde som definierats av NAC-providern. NAC-providerns instruktioner kan till IntuneDeviceId://{{DeviceID}}exempel innehålla som alternativt ämnesnamn.

Andra NAC-produkter kan kräva att du inkluderar ett enhets-ID när du använder NAC med iOS VPN-profiler.

Mer information om certifikatprofiler finns i: Använda SCEP-certifikatprofiler med Microsoft Intune och Använd en PKCS-certifikatprofil för att etablera enheter med certifikat i Microsoft Intune

Data som delas med NAC-partner

De specifika enhetsegenskaper som delas med NAC-partner beror på vilken version av NAC API som NAC-produkten använder. Kontakta din NAC-partner för mer information om vilken version av NAC- eller efterlevnadshämtnings-API:et som din NAC-produkt använder.

Dessutom begränsas de data som returneras om:

  • Enheten har inte registrerats i Intune. I det här fallet delas ingen annan information än att enheten inte hanteras av Intune med NAC-produkten.
  • Operativsystemet förhindrar att den specifika enhetsegenskapen delas med Microsoft. Intune delar tomma värden tillbaka till NAC-produkten för dataegenskaper som inte delas med Intune av operativsystemet.
Enhetsegenskap Tillgänglig i NAC 1.0 Tillgänglig i NAC 1.1 Tillgänglig i NAC 1.3 Tillgänglig i Efterlevnadshämtning/NAC 2.0
Kompatibilitetstillstånd Ja Ja Ja Ja
Managed by Intune (Hanteras av Intune) Ja Ja Ja Ja
Personligt eller företagsägarskap Nej Ja Ja Nej
MAC-adress Ja Ja Ja Nej
Serienummer Ja Ja Ja Nej
IMEI Ja Ja Ja Nej
UDID Ja Ja Ja Nej
MEID Ja Ja Ja Nej
OS-version Ja Ja Ja Nej
Enhetsmodell Ja Ja Ja Nej
Tillverkare Ja Ja Ja Nej
Enhets-ID för Azure Active Directory Ja Ja Ja Nej
Senaste kontakttid med Intune Ja Ja Ja Nej
Intune enhets-ID Nej Nej Nej Ja

Nästa steg