Intune ile ağ erişim denetimi (NAC) tümleştirmesi
Intune, cihazlar şirket içi kaynaklara erişmeye çalıştığında kuruluşların şirket verilerinin güvenliğini sağlamasına yardımcı olmak için ağ erişim denetimi (NAC) iş ortakları ile tümleşir.
Not
Temmuz 2021'de yeni bir NAC hizmeti (CR hizmeti) yayımlandı ve NAC iş ortaklarımızın çoğu bu yeni hizmete geçiş yapıyordu. Eski NAC hizmetini destekleme zaman çizelgesini 31 Mart 2024'e kadar uzatmış olsak da, hizmet kesintisini önlemek için yeni CR hizmetine geçmenizi öneririz. Şu anda, aşağıdaki NAC iş ortağı ürünü yeni NAC hizmetini destekler:
- Cisco ISE 3.1 ve üzeri
- Citrix Gateway 13.0-84.11 ve üzeri
- Citrix Gateway 13.1-12.50 ve üzeri
- F5 BIG-IP Erişim İlkesi Yöneticisi 14.1.5.2 ve üzeri
- F5 BIG-IP Erişim İlkesi Yöneticisi 15.1.7 ve üzeri
- F5 BIG-IP Erişim İlkesi Yöneticisi 16.1.3.1 ve üzeri
- F5 BIG-IP Erişim İlkesi Yöneticisi 17.0 ve üzeri
- Ivanti Connect Secure 9.1R16 ve üzeri
- Microsoft Intune Uzantısı v6 ve üzeri ile Aruba ClearPass
- Forescout eyeExtend Microsoft Module v1.0.1 ve üzeri
- Portnox Cloud
Bu geçişin etkisiyle ilgili sorularınız varsa NAC iş ortağınıza başvurun. Daha fazla bilgi için yeni uyumluluk alma hizmetiyle ilgili blog gönderimize bakın.
Intune ve NAC çözümleri kuruluş kaynaklarınızın korunmasına nasıl yardımcı olur?
NAC çözümleri, erişim denetimi kararları almak için Intune ile cihaz kaydını ve uyumluluk durumunu denetler. Cihaz kayıtlı değilse veya kayıtlıysa ve Intune cihaz uyumluluk ilkeleriyle uyumlu değilse, cihaz kayıt veya cihaz uyumluluk denetimi için Intune'a yeniden yönlendirilmelidir.
Örnek
Cihaz kayıtlı ve Intune ile uyumluysa, NAC çözümü cihazın şirket kaynaklarına erişmesine izin vermelidir. Örneğin, şirket Wi-Fi veya VPN kaynaklarına erişmeye çalışırken kullanıcılara erişim izni verilebilir veya erişim reddedilebilir.
Özellik davranışları
Intune'a etkin olarak eşitlenen cihazlar Uyumlu / Uyumsuz'danEşitlenmemiş 'e (veya Bilinmiyor) taşınamaz. Bilinmeyen durumu, henüz uyumluluk açısından değerlendirilmemiş yeni kaydedilen cihazlar için ayrılmıştır.
Kaynaklara erişimi engellenen cihazlarda, engelleme hizmeti tüm kullanıcıları neden engellendiğini belirlemek için yönetim portalına yönlendirmelidir. Kullanıcılar bu sayfayı ziyaret ederse, cihazları uyumluluk açısından zaman uyumlu olarak yeniden değerlendirilir.
NAC ve Koşullu Erişim
NAC, erişim denetimi kararları sağlamak için Koşullu Erişim ile çalışır. Daha fazla bilgi için bkz. Intune ile Koşullu Erişimi kullanmanın yaygın yolları.
NAC tümleştirmesi nasıl çalışır?
Aşağıdaki listede, Intune ile tümleştirildiğinde NAC tümleştirmesinin nasıl çalıştığına ilişkin genel bir bakış yer alır. İlk üç adım olan 1-3, ekleme işlemini açıklar. NAC çözümü Intune ile tümleştirildikten sonra, 4-9 arası adımlar devam eden işlemi açıklar.
- NAC iş ortağı çözümünü Microsoft Entra kimliğiyle kaydedin ve Intune NAC API'sine temsilci izinleri verin.
- NAC iş ortağı çözümünü Intune bulma URL'si de dahil olmak üzere uygun ayarlarla yapılandırın.
- SERTIFIKA kimlik doğrulaması için NAC iş ortağı çözümünü yapılandırın.
- Kullanıcı şirket Wi-Fi erişim noktasına bağlanır veya bir VPN bağlantı isteğinde bulunur.
- NAC iş ortağı çözümü, cihaz bilgilerini Intune'a iletir ve Intune'a cihaz kaydı ve uyumluluk durumunu sorar.
- Cihaz uyumlu değilse veya kayıtlı değilse, NAC iş ortağı çözümü kullanıcıya cihaz uyumluluğunu kaydetmesini veya düzeltmesini bildirir.
- Cihaz uygun olduğunda uyumluluk ve kayıt durumunu tersine çevirmeye çalışır.
- Cihaz kaydedildikten ve uyumlu hale geldiğinde, NAC iş ortağı çözümü Durumu Intune'dan alır.
- Cihazın şirket kaynaklarına erişmesine izin veren bağlantı başarıyla kuruldu.
Not
NAC iş ortağı çözümleri genellikle cihaz uyumluluk durumu hakkında soru sormak için Intune'a iki farklı sorgu türü oluşturur:
- IMEI veya Wi-Fi MAC adresi gibi tek bir cihazın bilinen özellik değerine göre filtrelemeyi sorgular
- Tüm uyumlu olmayan cihazlar için geniş ve filtrelenmemiş sorgular.
NAC Çözümlerinin, cihaza özgü sorgulardan gerektiği kadar çok sayıda oluşturmasına izin verilir. Ancak geniş filtrelenmemiş sorgular kısıtlanabilir. NAC çözümü, en fazla dört saatte bir yalnızca tüm uyumlu olmayan cihaz sorgularını gönderecek şekilde yapılandırılmalıdır. Daha sık yapılan sorgular Intune hizmetinden http 503 hatası alır.
NAC'yi etkinleştirme
Temmuz 2021'de kullanıma sunulan NAC ve uyumluluk alma hizmetinin kullanımını etkinleştirmek için NAC ürününüzün Intune ile NAC tümleştirmesini etkinleştirmeye yönelik en son belgelerine başvurun. Bu tümleştirme, yeni NAC ürününe veya sürümüne yükseltildikten sonra değişiklik yapmanızı gerektirebilir.
Uyumluluk alma hizmeti sertifika tabanlı kimlik doğrulaması ve sertifikaların konu alternatif adı olarak Intune cihaz kimliğinin kullanılmasını gerektirir. Basit Sertifika Kayıt Protokolü (SCEP) ve Özel ve ortak anahtar çifti (PKCS) sertifikaları için, NAC sağlayıcınız tarafından tanımlanan bir değerle URI türünün özniteliğini ekleyebilirsiniz. Örneğin, NAC sağlayıcınızın yönergelerinde Konu alternatif adı olarak eklenmesi IntuneDeviceId://{{DeviceID}}söylenebilir.
Diğer NAC ürünleri, iOS VPN profilleriyle NAC kullanırken bir cihaz kimliği eklemenizi gerektirebilir.
Not
Artık sertifika tabanlı kimlik doğrulamasını kullanamayan müşteriler için Mac adreslerini temel alan cihazları sorgulama desteği ekledik. Ancak önerimiz, intune cihaz kimliğiyle mümkün olan her yerde sertifika tabanlı kimlik doğrulaması kullanmaktır.
Sertifika profilleri hakkında daha fazla bilgi edinmek için bkz. Microsoft Intune ile SCEP sertifika profillerini kullanma ve Microsoft Intune'de sertifikalara sahip cihazlar sağlamak için PKCS sertifika profili kullanma
NAC iş ortaklarıyla paylaşılan veriler
NAC iş ortaklarıyla paylaşılan belirli cihaz özellikleri, NAC ürününün kullandığı NAC API'sinin sürümüne bağlıdır. NAC ürününüzün hangi NAC sürümünü veya Uyumluluk Alma API'sini kullandığı hakkında daha fazla bilgi için NAC iş ortağınıza başvurun.
Ayrıca, aşağıdakiler durumunda döndürülen veriler sınırlı olacaktır:
- Cihaz Intune'a kayıtlı değil. Bu durumda cihazın Intune tarafından yönetilmediğinden başka hiçbir bilgi NAC ürünüyle paylaşılmayacaktır.
- İşletim sistemi, belirli cihaz özelliğinin Microsoft ile paylaşılmasını engeller. Intune, işletim sistemi tarafından Intune ile paylaşılmayan veri özellikleri için boş değerleri NAC ürününe geri paylaşır.
| Cihaz özelliği | NAC 1.0'da kullanılabilir | NAC 1.1'de kullanılabilir | NAC 1.3'te kullanılabilir | Uyumluluk Alma/NAC 2.0'da kullanılabilir |
|---|---|---|---|---|
| Uyumluluk durumu | Evet | Evet | Evet | Evet |
| Intune tarafından yönetilen | Evet | Evet | Evet | Evet |
| Kişisel veya şirket sahipliği | Hayır | Evet | Evet | Hayır |
| MAC adresi | Evet | Evet | Evet | Evet |
| Seri numarası | Evet | Evet | Evet | Hayır |
| IMEI | Evet | Evet | Evet | Hayır |
| UDID | Evet | Evet | Evet | Hayır |
| MEID | Evet | Evet | Evet | Hayır |
| İşletim sistemi sürümü | Evet | Evet | Evet | Hayır |
| Cihaz modeli | Evet | Evet | Evet | Hayır |
| Üretici | Evet | Evet | Evet | Hayır |
| Microsoft Entra cihaz kimliği | Evet | Evet | Evet | Hayır |
| Intune ile son iletişim zamanı | Evet | Evet | Evet | Hayır |
| Intune cihaz kimliği | Hayır | Hayır | Hayır | Evet |
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin