Použití Cisco ISE s Microsoft IntuneUsing Cisco ISE with Microsoft Intune

Platí pro: Intune v klasickém portáluApplies to: Intune in the classic portal
Hledáte dokumentaci o Intune na Azure Portalu?Looking for documentation about Intune in the Azure portal? Přejděte sem.Go here.

Integrace Intune s Cisco ISE (Identity Services Engine) umožňuje vytvářet zásady sítě v prostředí ISE na základě stavu registrace zařízení v Intune a jejich stavu dodržování předpisů.Intune integration with Cisco Identity Services Engine (ISE) allows you to author network policies in your ISE environment by using the Intune device-enrollment and compliance state. Prostřednictvím těchto zásad můžete zajistit, aby byl přístup k síti vaší společnosti omezen na zařízení, která jsou spravována pomocí Intune a vyhovují zásadám Intune.You can use these policies to ensure that access to your company network is restricted to devices that are managed by Intune and compliant with Intune policies.

Kroky konfiguraceConfiguration steps

Chcete-li tuto integraci povolit, nemusíte v tenantovi Intune provádět žádné nastavení.To enable this integration, you don’t need to do any setup in your Intune tenant. Bude třeba poskytnout serveru Cisco ISE oprávnění pro přístup k tenantovi Intune.You will need to provide permissions to your Cisco ISE server to access your Intune tenant. Zbývající část nastavení se potom provede na serveru Cisco ISE.After that's done, the rest of the setup happens in your Cisco ISE server. Tento článek obsahuje pokyny pro poskytnutí oprávnění pro přístup k vašemu tenantovi Intune pro váš server ISE.This article gives you instructions on providing your ISE server with permissions to access your Intune tenant.

Krok 1: Správa certifikátůStep 1: Manage the certificates

Exportujte certifikát z konzoly Azure Active Directory (Azure AD) a importujte jej do úložiště důvěryhodných certifikátů konzoly ISE:Export the certificate from the Azure Active Directory (Azure AD) console, then import it into the Trusted Certificates store of the ISE console:

Internet Explorer 11Internet Explorer 11

a.a. Spusťte Internet Explorer jako správce a přihlaste se ke konzole Azure AD.Run Internet Explorer as an administrator, and sign in to the Azure AD console.

b.b. Zvolte ikonu zámku na panelu Adresa a pak zvolte Zobrazit certifikáty.Choose the lock icon in the address bar and choose View certificates.

c.c. Na kartě Podrobnosti v rámci vlastností certifikátu zvolte Kopírovat do souboru.On the Details tab of the certificate properties, choose Copy to file.

d.d. Na úvodní stránce Průvodce exportem certifikátu zvolte Další.In the Certificate export wizard welcome page, choose Next.

e.e. Na stránce Formát souboru pro export ponechte výchozí nastavení Binární x.509, kódování DER (CER) a zvolte Další.On the Export file format page, leave the default, DER encoded binary x.509 (.CER), and choose Next.

f.f. Na stránce Soubor k exportu zvolte Procházet, vyberte umístění, do kterého chcete soubor uložit, a zadejte název souboru.On the File to export page, choose Browse to pick a location in which to save the file, and provide a file name. Ačkoli se zdá, že vybíráte soubor pro export, ve skutečnosti pojmenováváte soubor, do kterého bude exportovaný certifikát uložen.Though it seems like you’re picking a file to export, you’re actually naming the file that the exported certificate will be saved to. Zvolte Další > Dokončit.Choose Next > Finish.

g.g. Z konzoly ISE importujte certifikát Intune (soubor, který jste exportovali) do úložiště Důvěryhodné certifikáty.From within the ISE console, import the Intune certificate (the file you exported) into the Trusted Certificates store.

SafariSafari

a.a. Přihlaste se ke konzole Azure AD.Sign in to the Azure AD console.

b.b. Zvolte ikonu zámku > Další informace.Choose the lock icon > More information.

c.c. Zvolte Zobrazit certifikát > Podrobnosti.Choose View certificate > Details.

d.d. Zvolte certifikát a pak zvolte Exportovat.Choose the certificate, and then choose Export.

e.e. Z konzoly ISE importujte certifikát Intune (soubor, který jste exportovali) do úložiště Důvěryhodné certifikáty.From within the ISE console, import the Intune certificate (the file you exported) into the Trusted Certificates store.

Důležité

Zkontrolujte datum vypršení platnosti certifikátu, protože po vypršení platnosti tohoto certifikátu bude třeba exportovat a importovat nový certifikát.Check the expiration date of the certificate, as you will have to export and import a new certificate when this one expires.

Získání certifikátu podepsaného svým držitelem ze systému ISEObtain a self-signed cert from ISE

  1. V konzole ISE přejděte do části Správa > Certifikáty > Systémové certifikáty > Generovat certifikát podepsaný jeho držitelem.In the ISE console, go to Administration > Certificates > System Certificates > Generate Self Signed Certificate.
  2. Exportujte certifikát podepsaný svým držitelem.Export the self-signed certificate.
  3. V textovém editoru upravte exportovaný certifikát:In a text editor, edit the exported certificate:

    • Odstraňte text: -----BEGIN CERTIFICATE-----Delete -----BEGIN CERTIFICATE-----
    • Odstraňte text: -----END CERTIFICATE-----Delete -----END CERTIFICATE-----

Ověřte, že veškerý text leží na jednom řádku.Ensure all of the text is a single line

Krok 2: Vytvoření aplikace pro ISE ve vašem tenantovi Azure ADStep 2: Create an app for ISE in your Azure AD tenant

  1. V konzole Azure AD zvolte Aplikace > Přidat aplikaci > Přidat aplikaci, kterou vyvíjí moje organizace.In the Azure AD console, choose Applications > Add an Application > Add an application my organization is developing.
  2. Zadejte název a adresu URL pro aplikaci.Provide a name and a URL for the app. Adresou URL může být web vaší společnosti.The URL could be your company website.
  3. Stáhněte manifest aplikace (soubor JSON).Download the app manifest (a JSON file).
  4. Upravte soubor JSON manifestu.Edit the manifest JSON file. V nastavení s názvem keyCredentials zadejte jako hodnotu nastavení upravený text certifikátu z kroku 1.In the setting called keyCredentials, provide the edited certificate text from Step 1 as the setting value.
  5. Uložte soubor beze změny jeho názvu.Save the file without changing its name.
  6. Poskytněte své aplikaci oprávnění pro rozhraní API Microsoft Intune a Microsoft Graph.Provide your app with permissions to Microsoft Graph and the Microsoft Intune API.

    a.a. Pro Microsoft Graph vyberte následující:For Microsoft Graph, choose the following:

    • Oprávnění aplikací: Čtení dat adresářeApplication permissions: Read directory data
    • Delegovaná oprávnění:Delegated permissions:
      • Časově neomezený přístup k datům uživateleAccess user’s data anytime
      • Přihlášení uživatelůSign users in

    b.b. Pro rozhraní API Microsoft Intune v části Oprávnění aplikací zvolte Zjistit stav zařízení a jeho stav dodržování předpisů z služby Intune.For the Microsoft Intune API, in Application permissions, choose Get device state and compliance from Intune.

  7. Zvolte Zobrazit koncové body a zkopírujte následující hodnoty pro použití při konfiguraci nastavení ISE:Choose View Endpoints and copy the following values for use in configuring ISE settings:

Hodnota v portálu Azure ADValue in Azure AD portal Odpovídající pole v rámci portálu ISECorresponding field in ISE portal
Koncový bod rozhraní API pro Microsoft Azure AD GraphMicrosoft Azure AD Graph API endpoint Adresa URL pro automatické zjišťováníAuto Discovery URL
Koncový bod tokenu OAuth 2.0Oauth 2.0 Token endpoint Adresa URL pro vydávání tokenůToken Issuing URL
Aktualizace kódu s použitím ID klientaUpdate your code with your Client ID ID klientaClient ID

Krok 4: Nahrání certifikátu podepsaného svým držitelem z ISE do aplikace ISE, kterou jste vytvořili ve službě Azure ADStep 4: Upload the self-signed certificate from ISE into the ISE app you created in Azure AD

  1. Získejte hodnotu zakódovaného certifikátu base64 a kryptografický otisk ze souboru certifikátu .cer X509.Get the base64 encoded cert value and thumbprint from a .cer X509 public cert file. V tomto příkladu je používáno prostředí PowerShell:This example uses PowerShell:
  <span data-ttu-id="cee91-178">$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2    $cer.Import(“mycer.cer”)    $bin = $cer.GetRawCertData()    $base64Value = [System.Convert]::ToBase64String($bin)    $bin = $cer.GetCertHash()    $base64Thumbprint = [System.Convert]::ToBase64String($bin)    $keyid = [System.Guid]::NewGuid().ToString()</span><span class="sxs-lookup"><span data-stu-id="cee91-178">$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2    $cer.Import(“mycer.cer”)    $bin = $cer.GetRawCertData()    $base64Value = [System.Convert]::ToBase64String($bin)    $bin = $cer.GetCertHash()    $base64Thumbprint = [System.Convert]::ToBase64String($bin)    $keyid = [System.Guid]::NewGuid().ToString()</span></span>

<span data-ttu-id="cee91-179">Uložte hodnoty pro $base64Thumbprint, $base64Value a $keyid, které použijete v dalším kroku.</span><span class="sxs-lookup"><span data-stu-id="cee91-179">Store the values for $base64Thumbprint, $base64Value and $keyid, to be used in the next step.</span></span>
  1. Nahrajte certifikát prostřednictvím souboru manifestu.Upload the certificate through the manifest file. Přihlaste se k portálu pro správu AzureLog in to the Azure Management Portal
  2. Ve snapinu služby Azure AD najděte aplikaci, kterou chcete nakonfigurovat pomocí certifikátu X.509.In to the Azure AD snap-in find the application that you want to configure with an X.509 certificate.
  3. Stáhněte si soubor manifestu aplikace.Download the application manifest file.
  4. Nahraďte prázdnou vlastnost “KeyCredentials”: [] následujícím formátem JSON.Replace the empty “KeyCredentials”: [], property with the following JSON. Komplexní typ s názvem KeyCredentials je zdokumentován v Referenčních informacích k entitám a komplexním typům.The KeyCredentials complex type is documented inEntity and complex type reference.
<span data-ttu-id="cee91-186">“keyCredentials“: [ { “customKeyIdentifier“: “$base64Thumbprint_from_above”, “keyId“: “$keyid_from_above“, “type”: “AsymmetricX509Cert”, “usage”: “Verify”, “value”:  “$base64Value_from_above” }2.</span><span class="sxs-lookup"><span data-stu-id="cee91-186">“keyCredentials“: [ { “customKeyIdentifier“: “$base64Thumbprint_from_above”, “keyId“: “$keyid_from_above“, “type”: “AsymmetricX509Cert”, “usage”: “Verify”, “value”:  “$base64Value_from_above” }2.</span></span> 
 <span data-ttu-id="cee91-187">],</span><span class="sxs-lookup"><span data-stu-id="cee91-187">],</span></span> 

Například:For example:

“keyCredentials“: [
{
“customKeyIdentifier“: “ieF43L8nkyw/PEHjWvj+PkWebXk=”,
“keyId“: “2d6d849e-3e9e-46cd-b5ed-0f9e30d078cc”,
“type”: “AsymmetricX509Cert”,
“usage”: “Verify”,
“value”: “MIICWjCCAgSgAwIBA***omitted for brevity***qoD4dmgJqZmXDfFyQ”
}
],
  1. Uložte změny do souboru manifestu aplikace.Save the change to the application manifest file.
  2. Nahrajte upravený soubor manifestu aplikace prostřednictvím Portálu pro správu Azure.Upload the edited application manifest file through the Azure management mortal.
  3. Volitelné: Znovu si stáhněte manifest a zkontrolujte, jestli aplikace obsahuje váš certifikát X.509.Optional: Download the manifest again, to check that your X.509 cert is present on the application.

Poznámka

KeyCredentials je kolekce, což znamená, že můžete nahrát více certifikátů X.509 pro scénáře změny klíčů nebo odstranit certifikáty ve scénářích ohrožení.KeyCredentials is a collection, so you can upload multiple X.509 certificates for rollover scenarios, or delete certficates in compromise scenarios.

Krok 4: Konfigurace nastavení ISEStep 4: Configure ISE Settings

V konzole správce ISE zadejte tyto hodnoty nastavení:In the ISE admin console, provide these setting values:

  • Typ serveru: Správce mobilních zařízeníServer Type: Mobile Device Manager
  • Typ ověřování: OAuth – pověření klientaAuthentication type: OAuth – Client Credentials
  • Automatické zjišťování: AnoAuto Discovery: Yes
  • Adresa URL pro automatické zjišťování: Zadejte hodnotu z kroku 1.Auto Discover URL: Enter the value from Step 1.
  • ID klienta: Zadejte hodnotu z kroku 1.Client ID: Enter the value from Step 1.
  • Adresa URL pro vydávání tokenů: Zadejte hodnotu z kroku 1.Token issuing URL: Enter the value from Step 1.

Informace sdílené mezi vaším tenantem Intune a vaším serverem Cisco ISEInformation shared between your Intune tenant and your Cisco ISE server

Tato tabulka uvádí informace sdílené mezi vaším tenantem Intune a vaším serverem Cisco ISE pro zařízení, která jsou spravovaná pomocí Intune.This table lists the information that is shared between your Intune tenant and your Cisco ISE server for devices that are managed by Intune.

VlastnostProperty PopisDescription
complianceStatecomplianceState Řetězec true nebo false určující, jestli zařízení je nebo není vyhovující.The true or false string that indicates whether the device is compliant or noncompliant.
isManagedisManaged Řetězec true nebo false určující, jestli klient je nebo není spravovaný pomocí Intune.The true or false string that indicates whether the client is managed by Intune or not.
macAddressmacAddress Adresa MAC zařízení.The MAC address of the device.
serialNumberserialNumber Sériové číslo zařízení.The serial number of the device. Týká se pouze zařízení s iOSem.It applies only to iOS devices.
imeiimei Kód IMEI (15 desítkových číslic: 14 číslic plus kontrolní číslice) nebo IMEISV (16 číslic) obsahuje informace o původu, modelu a sériovém čísle zařízení.The IMEI (15 decimal digits: 14 digits plus a check digit) or IMEISV (16 digits) number includes information on the origin, model, and serial number of the device. Struktura tohoto čísla je popsána ve specifikaci 3GPP TS 23.003.The structure of this number is specified in 3GPP TS 23.003. Týká se pouze zařízení s kartami SIM.It applies only to devices with SIM cards.
udidudid Jedinečný identifikátor zařízení: posloupnost 40 písmen a číslic.The Unique Device Identifier, which is a sequence of 40 letters and numbers. Je specifický pro zařízení iOS.It is specific to iOS devices.
meidmeid Identifikátor mobilního zařízení: globálně jedinečné číslo identifikující fyzický kus zařízení mobilní stanice CDMA.The mobile equipment identifier, which is a globally unique number that identifies a physical piece of CDMA mobile station equipment. Formát čísla je definován specifikací 3GPP2, zpráva S. R0048.The number format is defined by the 3GPP2 report S. R0048. V praxi však na ně lze nahlížet jako kód IMEI obsahující šestnáctkové číslice.However, in practical terms, it can be seen as an IMEI, but with hexadecimal digits. Kód MEID má délku 56 bitů (14 šestnáctkových číslic).An MEID is 56 bits long (14 hex digits). Sestává ze tří polí představujících 8bitový kód regionu (RR), 24bitový kód výrobce a 24bitové sériové číslo přiřazené výrobcem.It consists of three fields, including an 8-bit regional code (RR), a 24-bit manufacturer code, and a 24-bit manufacturer-assigned serial number.
osVersionosVersion Verze operačního systému daného zařízení.The operating system version for the device.
modelmodel Model zařízení.The device model.
manufacturermanufacturer Výrobce zařízení.The device manufacturer.
azureDeviceIdazureDeviceId ID zařízení po připojení pracovního místa k Azure AD.The device ID after it has workplace joined with Azure AD. V případě nepřipojených zařízení bude použit prázdný identifikátor GUID.It is an empty GUID for devices that are not joined.
lastContactTimeUtclastContactTimeUtc Datum a čas, kdy zařízení naposled navázalo kontakt se službou správy Intune.The date and time when the device last checked in with the Intune management service.

Činnost koncového uživateleUser experience

Když se uživatel pokusí o přístup k prostředkům z nezaregistrovaného zařízení, zobrazí se výzva k registraci, jako je například tato:When a user attempts to access resources by using an unenrolled device, they receive a prompt to enroll, such as the one shown here:

Příklad výzvy k registraci

Když uživatel zvolí registraci, bude přesměrován na proces registrace v Intune.When a user chooses to enroll, they are redirected to the Intune enrollment process. Aspekty registrace uživatele pro Intune jsou popsány v těchto tématech:The user enrollment experience for Intune is described in these topics:

K dispozici je také sada pokynů pro registraci ke stažení, kterou můžete použít k vytvoření vlastních pokynů pro činnost uživatele.There is also a downloadable set of enrollment instructions that you can use to create customized guidance for your user experience.

Viz takySee also

Příručka pro správce Cisco Identity Services Engine, vydání 2.1Cisco Identity Services Engine Administrator Guide, Release 2.1