Integrace řízení přístupu k síti (NAC) s Intune
Intune se integruje s partnery pro řízení přístupu k síti (NAC), aby organizacím pomohla zabezpečit podniková data, když se zařízení pokusí získat přístup k místním prostředkům.
Poznámka
V červenci 2021 byla vydána nová služba NAC (služba CR) a řada našich partnerů NAC na tuto novou službu přechází. I když jsme prodloužili časovou osu podpory starší služby NAC do 31. března 2024, doporučujeme migrovat na novou službu CR, abyste se vyhnuli přerušení služeb. V současné době podporuje novou službu NAC následující partner nac:
- Cisco ISE 3.1 a novější
- Citrix Gateway 13.0-84.11 a novější
- Citrix Gateway 13.1-12.50 a novější
- F5 BIG-IP Access Policy Manager 14.1.5.2 a novější
- F5 BIG-IP Access Policy Manager 15.1.7 a novější
- F5 BIG-IP Access Policy Manager 16.1.3.1 a novější
- F5 BIG-IP Access Policy Manager 17.0 a novější
- Ivanti Connect Secure 9.1R16 a novější
- Aruba ClearPass s rozšířením Microsoft Intune v6 a novějším
- Forescout eyeExtend Microsoft Module verze 1.0.1 a novější
- Portnox Cloud
Pokud máte dotazy ohledně dopadu tohoto přechodu, obraťte se na svého partnera NAC. Další informace najdete v našem blogovém příspěvku o nové službě načítání dodržování předpisů.
Jak řešení Intune a NAC pomáhají chránit prostředky vaší organizace?
Řešení NAC kontrolují registraci zařízení a stav dodržování předpisů v Intune, aby se rozhodovalo o řízení přístupu. Pokud zařízení není zaregistrované nebo je zaregistrované a nevyhovuje zásadám dodržování předpisů zařízením v Intune, mělo by být přesměrováno do Intune kvůli registraci nebo ke kontrole dodržování předpisů zařízením.
Příklad
Pokud je zařízení zaregistrované a kompatibilní s Intune, mělo by řešení NAC umožnit zařízení přístup k podnikovým prostředkům. Uživatelům může být například povolen nebo odepřen přístup při pokusu o přístup k podnikovým Wi-Fi nebo prostředkům VPN.
Chování funkcí
Zařízení, která se aktivně synchronizují s Intune, nemůžou přejít z nevyhovujících / předpisů naNesynchronizovat (nebo Neznámá). Neznámý stav je vyhrazený pro nově zaregistrovaná zařízení, u které ještě nebylo vyhodnoceno dodržování předpisů.
U zařízení, která mají blokovaný přístup k prostředkům, by blokující služba měla přesměrovat všechny uživatele na portál pro správu , aby zjistili, proč je zařízení blokované. Pokud uživatelé navštíví tuto stránku, jejich zařízení se synchronně znovu vyhodnotí kvůli dodržování předpisů.
NAC a podmíněný přístup
NAC spolupracuje s podmíněným přístupem a poskytuje rozhodnutí o řízení přístupu. Další informace najdete v tématu Běžné způsoby použití podmíněného přístupu s Intune.
Jak funguje integrace NAC
Následující seznam obsahuje přehled o tom, jak funguje integrace NAC při integraci s Intune. První tři kroky, 1 až 3, vysvětlují proces onboardingu. Jakmile je řešení NAC integrované s Intune, kroky 4 až 9 popisují probíhající operaci.
- Zaregistrujte partnerské řešení NAC s ID Microsoft Entra a udělte delegovaná oprávnění rozhraní INTUNE NAC API.
- Nakonfigurujte partnerské řešení NAC pomocí odpovídajících nastavení, včetně adresy URL zjišťování Intune.
- Nakonfigurujte partnerské řešení NAC pro ověřování certifikátů.
- Uživatel se připojí k podnikovému Wi-Fi přístupovému bodu nebo odešle žádost o připojení VPN.
- Partnerské řešení NAC předá informace o zařízení do Intune a zeptá se Intune na registraci zařízení a stav dodržování předpisů.
- Pokud zařízení nedodržuje předpisy nebo není zaregistrované, partnerské řešení NAC dá uživateli pokyn, aby zaregistroval nebo opravil dodržování předpisů zařízením.
- Pokud je to možné, zařízení se pokusí obnovit stav dodržování předpisů a registrace.
- Jakmile je zařízení zaregistrované a vyhovuje předpisům, partnerské řešení NAC získá stav z Intune.
- Připojení bylo úspěšně navázáno, což umožňuje zařízení přístup k podnikovým prostředkům.
Poznámka
Partnerská řešení NAC obvykle do Intune vytvoří dva různé typy dotazů na stav dodržování předpisů zařízením:
- Filtrování dotazů na základě známé hodnoty vlastnosti jednoho zařízení, jako je jeho IMEI nebo adresa MAC Wi-Fi
- Široké, nefiltrované dotazy pro všechna zařízení, která nedodržují předpisy.
Řešení NAC mají povoleno provádět tolik dotazů specifických pro zařízení, kolik je potřeba. Široké nefiltrované dotazy však mohou být omezeny. Řešení NAC by mělo být nakonfigurované tak, aby odesílala všechny dotazy na zařízení, která nedodržují předpisy , maximálně jednou za čtyři hodiny. Dotazy, které se provádějí častěji, obdrží ze služby Intune chybu http 503.
Povolení NAC
Pokud chcete povolit používání NAC a služby načítání dodržování předpisů , která byla k dispozici v červenci 2021, projděte si nejnovější dokumentaci produktu NAC pro povolení integrace NAC s Intune. Tato integrace může vyžadovat, abyste po upgradu na nový produkt nebo verzi NAC provedli změny.
Služba načítání dodržování předpisů vyžaduje ověřování na základě certifikátů a použití ID zařízení Intune jako alternativního názvu subjektu certifikátů. U certifikátů SCEP (Simple Certificate Enrollment Protocol) a páru privátních a veřejných klíčů (PKCS) můžete přidat atribut typu identifikátoru URI s hodnotou definovanou vaším poskytovatelem NAC. Například pokyny poskytovatele NAC můžou obsahovat IntuneDeviceId://{{DeviceID}}alternativní název subjektu.
Jiné produkty NAC můžou vyžadovat, abyste při používání NAC s profily VPN pro iOS zahrnuli ID zařízení.
Poznámka
Teď jsme přidali podporu pro dotazování zařízení na základě adres Mac pro zákazníky, kteří nemůžou používat ověřování na základě certifikátů. Doporučujeme ale všude, kde je to možné, používat ověřování pomocí certifikátů s ID zařízení v Intune.
Další informace o profilech certifikátů najdete v tématech Použití profilů certifikátů SCEP s Microsoft Intune a Použití profilu certifikátu PKCS ke zřízení zařízení s certifikáty v Microsoft Intune
Data sdílená s partnery NAC
Konkrétní vlastnosti zařízení, které se sdílí s partnery NAC, závisí na verzi rozhraní API NAC, které produkt NAC používá. Další informace o tom, jakou verzi rozhraní API PROC nebo rozhraní API pro načítání dodržování předpisů používá váš produkt NAC, požádejte svého partnera NAC.
Vrácené údaje budou také omezené, pokud:
- Zařízení není zaregistrované v Intune. V takovém případě se s produktem NAC nesdílí žádné jiné informace než to, že zařízení není spravované službou Intune.
- Operační systém zabraňuje sdílení konkrétní vlastnosti zařízení s Microsoftem. Intune bude sdílet prázdné hodnoty zpět do produktu NAC pro vlastnosti dat, které operační systém nesdílí s Intune.
| Vlastnost zařízení | K dispozici v NAC 1.0 | K dispozici v NAC 1.1 | K dispozici v NAC 1.3 | K dispozici v části Compliance Retrieval/NAC 2.0 |
|---|---|---|---|---|
| Stav dodržování předpisů | Ano | Ano | Ano | Ano |
| Spravováno službami Intune | Ano | Ano | Ano | Ano |
| Osobní nebo firemní vlastnictví | Ne | Ano | Ano | Ne |
| Adresa MAC | Ano | Ano | Ano | Ano |
| Sériové číslo | Ano | Ano | Ano | Ne |
| IMEI | Ano | Ano | Ano | Ne |
| UDID | Ano | Ano | Ano | Ne |
| MEID | Ano | Ano | Ano | Ne |
| Verze operačního systému | Ano | Ano | Ano | Ne |
| Model zařízení | Ano | Ano | Ano | Ne |
| Výrobce | Ano | Ano | Ano | Ne |
| Microsoft Entra ID zařízení | Ano | Ano | Ano | Ne |
| Čas posledního kontaktu s Intune | Ano | Ano | Ano | Ne |
| ID zařízení Intune | Ne | Ne | Ne | Ano |
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro