分享方式:


與 Intune 整合 (NAC) 網路訪問控制

Intune 與網路訪問控制整合 (NAC) 合作夥伴,協助組織在裝置嘗試存取內部部署資源時保護公司數據。

注意事項

合規性擷取服務已於 2021 年 7 月發行,並取代了先前的 Intune NAC 服務。 Microsoft Intune 會在 2024 年 3 月 31 日前提供舊版 Intune NAC 服務的支援。 我們的 NAC 合作夥伴正在轉換至合規性擷取服務,並包含:

  • ExtremeCloud 通用 ZTNA
  • Extreme Networks ExtremeCloud IQ-Site Engine 24.2 版
  • Cisco ISE 3.1 和更新版本
  • Citrix 閘道 13.0-84.11 和更新版本
  • Citrix 閘道 13.1-12.50 和更新版本
  • F5 BIG-IP 存取原則管理員 14.1.5.2 和更新版本
  • F5 BIG-IP 存取原則管理員 15.1.7 和更新版本
  • F5 BIG-IP 存取原則管理員 16.1.3.1 和更新版本
  • F5 BIG-IP 存取原則管理員 17.0 和更新版本
  • Ivanti Connect Secure 9.1R16 和更新版本
  • 具有 Microsoft Intune 擴充功能 v6 和更新版本的 Aruba ClearPass
  • Forescout eyeExtend Microsoft Module v1.0.1 和更新版本
  • Portnox Cloud

我們將在未來淘汰 Intune NAC 服務,因此建議您移轉至合規性擷取服務,以避免服務中斷。 如果您有關於合規性擷取服務或對租使用者造成影響的問題,請連絡您的 NAC 解決方案提供者。 如需合規性擷取服務和 NAC 合作夥伴的詳細資訊和更新,請 參閱Microsoft技術社群:適用於網路存取控制的新Microsoft Intune 服務

Intune 和 NAC 解決方案如何協助保護您的組織資源?

NAC 解決方案會使用 Intune 檢查裝置註冊和合規性狀態,以做出訪問控制決策。 如果裝置未註冊,或已註冊且不符合 Intune 裝置合規性政策,則應將裝置重新導向至 Intune 進行註冊,或進行裝置合規性檢查。

範例

如果裝置已註冊且符合 Intune 規範,則 NAC 解決方案應該允許裝置存取公司資源。 例如,嘗試存取公司 Wi-Fi 或 VPN 資源時,可以允許或拒絕使用者存取。

功能行為

主動同步至 Intune 的裝置無法從 / 符合規範的 [不符合規範] 移至 [未同步 (或未知) 。 [ 未知] 狀態會保留給尚未評估合規性的新註冊裝置。

對於遭到封鎖而無法存取資源的裝置,封鎖服務應該將所有使用者重新導向 至管理入口網站 ,以判斷為何會封鎖裝置。 如果使用者造訪此頁面,其裝置會以同步方式重新評估合規性。

NAC 和條件式存取

NAC 可與條件式存取搭配使用,以提供訪問控制決策。 如需詳細資訊,請參閱搭配 Intune 使用條件式存取的常見方式

NAC 整合的運作方式

下列清單概述 NAC 整合與 Intune 整合時的運作方式。 前三個步驟 1-3 說明上線程式。 NAC 解決方案與 Intune 整合之後,步驟 4-9 會描述進行中的作業。

NAC 如何與 Intune 搭配運作的概念影像

  1. 使用 Microsoft Entra ID 註冊 NAC 合作夥伴解決方案,並將委派的許可權授與 Intune NAC API。
  2. 使用適當的設定來設定 NAC 合作夥伴解決方案,包括 Intune 探索 URL。
  3. 設定憑證驗證的 NAC 合作夥伴解決方案。
  4. 用戶連線到公司 Wi-Fi 存取點,或提出 VPN 連線要求。
  5. NAC 合作夥伴解決方案會將裝置資訊轉送至 Intune,並詢問 Intune 裝置註冊和合規性狀態。
  6. 如果裝置不符合規範或未註冊,NAC 合作夥伴解決方案會指示用戶註冊或修正裝置合規性。
  7. 裝置會嘗試在適用時恢復其合規性和註冊狀態。
  8. 一旦裝置註冊並符合規範,NAC 合作夥伴解決方案就會從 Intune 取得狀態。
  9. 已成功建立連線,可讓裝置存取公司資源。

注意事項

NAC 合作夥伴解決方案通常會對 Intune 進行兩種不同類型的查詢,以詢問裝置合規性狀態:

  • 根據單一裝置的已知屬性值進行篩選的查詢,例如其 IMEI 或 Wi-Fi MAC 位址
  • 所有不符合規範裝置的廣泛、未篩選查詢。

允許 NAC 解決方案視需要進行任意數量的裝置特定查詢。 不過,廣泛未篩選的查詢可能會受到節流。 NAC 解決方案應該設定為只提交 所有不符合規範的裝置 查詢,最多每四小時一次。 更頻繁的查詢會收到來自 Intune 服務的 HTTP 503 錯誤。

啟用 NAC

若要啟用 NAC 和合規性擷取服務的使用,請參考 NAC 產品的最新檔,以啟用與 Intune 的 NAC 整合。 此整合可能需要您在升級至新的 NAC 產品或版本之後進行變更。

合規性擷取服務需要憑證型驗證,並使用 Intune裝置標識 碼作為憑證的主體別名。 針對簡單憑證註冊通訊協定 (SCEP) 和 PKCS) 憑證 (私鑰和公鑰組,您可以使用 NAC 提供者所定義的值來新增 URI 類型的屬性。 例如,您的 NAC 提供者的指示可能會說要包含 IntuneDeviceId://{{DeviceID}}主體別名

搭配 iOS VPN 設定檔使用 NAC 時,其他 NAC 產品可能會要求您包含裝置識別碼。

提示

建議您盡可能搭配 Intune 裝置標識碼使用憑證式驗證。 如果您無法使用憑證式驗證,Intune 支援根據 MAC 位址查詢裝置。

如需憑證配置檔的詳細資訊,請 參閱搭配 Microsoft Intune 使用 SCEP 憑證配置檔使用 PKCS 憑證配置檔在 Microsoft Intune 中布建具有憑證的裝置

與 NAC 合作夥伴共享的數據

與 NAC 合作夥伴共用的特定裝置屬性取決於 NAC 產品使用的 NAC API 版本。 如需 NAC 產品所使用之 NAC 或合規性擷取 API 版本的詳細資訊,請連絡您的 NAC 合作夥伴。

此外,如果下列狀況,傳回的數據將會受到限制:

  • 裝置未在 Intune 中註冊。 在此情況下,除了裝置不受 Intune 管理之外,其他資訊都不會與 NAC 產品共用。
  • OS 可防止特定裝置屬性與Microsoft共用。 對於OS未與Intune共用的數據屬性,Intune 會將空白值共用回 NAC 產品。
Device 屬性 在 NAC 1.0 中提供 可在 NAC 1.1 中使用 可在 NAC 1.3 中使用 可在合規性擷取/NAC 2.0 中取得
合規性狀態
由 Intune 管理
個人或公司擁有權
MAC 位址
序號
IMEI
UDID
大臡
操作系統版本
裝置型號
製造商
Microsoft裝置標識碼
上次使用 Intune 的連絡時間
Intune 裝置標識碼

後續步驟