Intune 與 NAC) 合作夥伴 (網路存取控制整合,協助組織在裝置嘗試存取本地資源時保護企業資料。
注意事項
合規檢索服務於 2021 年 7 月發布,取代先前的 Intune NAC 服務。 Microsoft Intune 將支援舊有的 Intune NAC 服務至 2024 年 3 月 31 日。 我們的NAC合作夥伴正逐步轉型至合規檢索服務,包括:
- ExtremeCloud Universal ZTNA
- Extreme Networks ExtremeCloud IQ-Site Engine 版本 24.2
- Cisco ISE 3.1 及之後版本
- Citrix Gateway 13.0-84.11 及更新版本
- Citrix Gateway 13.1-12.50 及更新版本
- F5 BIG-IP 存取政策管理器 14.1.5.2 及更新版本
- F5 BIG-IP 存取政策管理器 15.1.7 及更新版本
- F5 BIG-IP 存取政策管理器 16.1.3.1 及更新版本
- F5 BIG-IP 存取政策管理器 17.0 及更新版本
- Ivanti Connect Secure 9.1R16 及更新版本
- Aruba ClearPass 搭配 Microsoft Intune 擴充 v6 及以後版本
- Forescout eyeExtend Microsoft 模組 v1.0.1 及之後版本
- 波特諾克斯雲
- Fortinet FortiNAC 9.4.x
- Fortinet FortiNAC-F 7.x 及之後版本
我們將在未來棄用 Intune NAC 服務,因此建議您遷移至合規檢索服務以避免服務中斷。 若您對合規回收服務或對租戶的影響有疑問,請聯繫您的NAC解決方案供應商。 欲了解更多關於合規檢索服務及 NAC 合作夥伴的最新資訊與更新,請參閱 Microsoft Tech Community:新 Microsoft Intune 服務以了解網路存取控制。
Intune 和 NAC 解決方案如何幫助保護您的組織資源?
NAC 解決方案會檢查裝置註冊及合規狀態,並透過 Intune 進行存取控制決策。 如果裝置未註冊,或已註冊但不符合 Intune 裝置合規政策,則應將該裝置重新導向 Intune 進行註冊或裝置合規檢查。
範例
若裝置已註冊並符合 Intune 規範,NAC 解決方案應允許裝置存取企業資源。 例如,使用者在嘗試存取企業 Wi-Fi 或 VPN 資源時,可能會被允許或拒絕存取。
功能行為
正在與 Intune 同步的裝置無法從合規 / 、不合規切換到未同步 (或未知) 。 未知狀態保留給尚未通過合規評估的新加入裝置。
對於被封鎖無法存取資源的裝置,阻擋服務應將所有使用者導向管理 入口網站 ,以判斷為何該裝置被封鎖。 若使用者造訪此頁面,其裝置會同步重新評估是否合規。
NAC 與條件存取
NAC 採用條件存取(Conditional Access)來提供存取控制決策。 欲了解更多資訊,請參閱「使用條件存取與 Intune 的常見方式」。
NAC 整合的運作方式
以下列表概述了與 Intune 整合時 NAC 整合的運作方式。 前三個步驟,1-3,說明入職流程。 當 NAC 解決方案與 Intune 整合後,步驟 4 至 9 描述持續運作。
- 請以 Microsoft Entra ID 註冊 NAC 合作夥伴解決方案,並授權 Intune NAC API 權限。
- 請以適當的設定配置 NAC 合作夥伴解決方案,包括 Intune 發現網址。
- 配置 NAC 合作夥伴解決方案以進行憑證驗證。
- 使用者連接企業 Wi-Fi 基地台或提出 VPN 連線請求。
- NAC 合作夥伴解決方案會將裝置資訊轉發給 Intune,並詢問 Intune 關於裝置註冊及合規狀態。
- 如果裝置不符合規範或未註冊,NAC 合作夥伴解決方案會指示使用者註冊或修正裝置合規。
- 裝置會嘗試在適用時重新驗證其合規與註冊狀態。
- 一旦裝置註冊並符合規範,NAC 合作夥伴解決方案會從 Intune 取得狀態。
- 連線成功建立,裝置可存取企業資源。
注意事項
NAC 合作夥伴解決方案通常會向 Intune 查詢兩種不同類型的裝置合規狀態:
- 基於單一裝置已知屬性值(如 IMEI 或 Wi-Fi MAC 位址)進行篩選的查詢
- 針對所有不合規裝置的廣泛且無過濾的查詢。
NAC Solutions 允許依需求進行任意數量的裝置專屬查詢。 然而,廣泛且未經過濾的查詢可能會被限速。 NAC 解決方案應設定為最多每四小時提交一次所有 不合規設備 的查詢。 查詢頻率增加時,Intune 服務會顯示 http 503 錯誤。
啟用 NAC
為了啟用 NAC 及合規檢索服務,請參考您 NAC 產品最新的文件,以啟用 NAC 與 Intune 的整合。 這個整合可能需要你在升級到新的 NAC 產品或版本後做出變更。
合規檢索服務要求基於憑證的認證,並以 Intune 裝置 ID 作為憑證的主體替代名稱。 對於簡易憑證註冊協定 (SCEP) ,以及 PKCS) 憑證 (私鑰與公鑰對,你可以新增 URI 類型的屬性,並由你的 NAC 提供者定義值。 例如,你的 NAC 提供者指示可能會說要將主體替代名稱納入IntuneDeviceId://{{DeviceID}}。
其他 NAC 產品在使用 NAC 搭配 iOS VPN 設定檔時,可能會要求你加入裝置 ID。
提示
我們建議盡可能使用基於憑證的 Intune 裝置 ID 驗證。 如果你無法使用憑證式驗證,Intune 支援根據 MAC 位址查詢裝置。
欲了解更多憑證配置檔資訊,請參閱使用 Microsoft Intune 的 SCEP 憑證配置檔及使用 PKCS 憑證配置檔以 Microsoft Intune 配置裝置憑證。
與NAC合作夥伴共享的數據
與 NAC 合作夥伴共享的具體裝置屬性取決於 NAC 產品所使用的 NAC API 版本。 如需了解您的 NAC 產品所使用的 NAC 或合規檢索 API 版本,請聯繫您的 NAC 合作夥伴。
此外,回傳的資料將受到以下情況限制:
- 這台裝置沒有註冊在 Intune 裡。 在這種情況下,除了該裝置並非由 Intune 管理外,其他資訊不會與 NAC 產品共享。
- 作業系統會阻止特定裝置屬性與 Microsoft 共享。 Intune 會將作業系統未與 Intune 共享的資料屬性的空值分享回 NAC 產品。
| 裝置性質 | NAC 1.0 版本提供 | NAC 1.1 版本提供 | 提供 NAC 1.3 版本 | 可在 Compliance Retrieval/NAC 2.0 中取得 |
|---|---|---|---|---|
| 合規狀態 | 是 | 是 | 是 | 是 |
| 由 Intune 管理 | 是 | 是 | 是 | 是 |
| 個人或企業所有權 | 否 | 是 | 是 | 否 |
| MAC 位址 | 是 | 是 | 是 | 是 |
| 序號 | 是 | 是 | 是 | 否 |
| IMEI | 是 | 是 | 是 | 否 |
| UDID | 是 | 是 | 是 | 否 |
| 梅德 | 是 | 是 | 是 | 否 |
| 作業系統版本 | 是 | 是 | 是 | 否 |
| 裝置型號 | 是 | 是 | 是 | 否 |
| 製造商 | 是 | 是 | 是 | 否 |
| Microsoft Entra 裝置ID | 是 | 是 | 是 | 否 |
| 最後一次與 Intune 聯繫 | 是 | 是 | 是 | 否 |
| Intune 裝置識別碼 | 否 | 否 | 否 | 是 |