Integrieren der Netzwerkzugriffssteuerung (NAC) mit IntuneNetwork access control (NAC) integration with Intune

Intune arbeitet mit Partnern der Netzwerkzugriffssteuerung zusammen, um Organisationen beim Schützen von Unternehmensdaten zu helfen, wenn Geräte versuchen, auf lokale Ressourcen zuzugreifen.Intune integrates with network access control partners to help organizations secure corporate data when devices try to access on-premises resources.

Wie helfen Lösungen von Intune und NAC beim Schutz der Ressourcen Ihrer Organisation?How do Intune and NAC solutions help protect your organization resources?

Lösungen für die Zugriffssteuerung überprüfen den Registrierungs- und Kompatibilitätsstatus des Geräts mit Intune, um Entscheidungen bezüglich der Zugriffssteuerung zu treffen.NAC solutions check the device enrollment and compliance state with Intune to make access control decisions. Wenn das Gerät nicht registriert ist oder registriert ist, aber nicht den Intune-Gerätekonformitätsrichtlinien entspricht, sollte es für die Registrierung und bzw. oder eine Gerätekonformitätsprüfung an Intune weitergeleitet werden.If the device isn't enrolled, or is enrolled and not compliant with Intune device compliance policies, then then device should be redirected to Intune for enrollment and/or for a device compliance check.

BeispielExample

Wenn das Gerät registriert und mit Intune kompatibel ist, sollte die NAC-Lösung dem Gerät den Zugriff auf Unternehmensressourcen erlauben.If the device is enrolled and compliant with Intune, the NAC solution should allow the device access to corporate resources. Benutzern kann beispielsweise der Zugriff auf das Unternehmens-WLAN oder VPN-Ressourcen gewährt oder verweigert werden.For example, users can be allowed or denied access when trying to access corporate Wi-Fi or VPN resources.

FeatureverhaltenFeature behaviors

Geräte, die aktiv mit Intune synchronisiert werden, können nicht vom Zustand Konform / Nicht konform in Nicht synchronisiert (oder Unbekannt) wechseln.Devices that are actively syncing to Intune can't move from Compliant / Noncompliant to Not Synched (or Unknown). Der Zustand Unbekannt ist für neu registrierte Geräte reserviert, die noch nicht im Hinblick auf ihre Konformität ausgewertet wurden.The Unknown state is reserved for newly enrolled devices that haven't been evaluated for compliance yet.

Bei Geräten, die für den Zugriff auf Ressourcen blockiert sind, sollte der blockierende Dienst alle Benutzer auf das Verwaltungsportal umleiten, um festzustellen, warum das Gerät blockiert ist.For devices that are blocked from access to resources, the blocking service should redirect all users to the management portal to determine why the device is blocked. Wenn die Benutzer diese Seite besuchen, werden ihre Geräte erneut synchron im Hinblick auf Konformität ausgewertet.If the users visit this page, their devices are synchronously reevaluated for compliance.

NAC und bedingter ZugriffNAC and conditional access

NAC nutzt bei Entscheidungen bezüglich der Zugriffssteuerung den bedingten Zugriff.NAC works with conditional access to provide access control decisions. Weitere Informationen finden Sie unter Gängige Möglichkeiten für die Verwendung des bedingten Zugriffs in Intune.For more information, see Common ways to use conditional access with Intune.

Funktionsweise der NAC-IntegrationHow the NAC integration works

Im Folgenden erhalten Sie einen Überblick darüber, wie die Integration der Netzwerkzugriffssteuerung funktioniert, wenn sie in Intune integriert ist.The following list is an overview on how NAC integration works when integrated with Intune. In den ersten drei Schritten 1-3 wird der Onboardingprozess erklärt.The first three steps, 1-3, explain the onboarding process. Nachdem die Lösung für die Zugriffssteuerung in Intune integriert wurde, wird in den Schritten 4-9 der laufende Betrieb beschrieben.Once the NAC solution is integrated with Intune, steps 4-9 describe the ongoing operation.

Wie NAC und Intune zusammenarbeiten

  1. Registrieren Sie die Lösung des NAC-Partners mit Azure Active Directory (AAD), und gewähren Sie delegierte Berechtigungen an die Intune-NAC-API.Register the NAC partner solution with Azure Active Directory (AAD), and grant delegated permissions to the Intune NAC API.
  2. Konfigurieren Sie die Lösung des NAC-Partners mit den geeigneten Einstellungen, darunter die URL für die Intune-Ermittlung.Configure the NAC partner solution with the appropriate settings including the Intune discovery URL.
  3. Konfigurieren Sie die Lösung des NAC-Partners für die Zertifikatauthentifizierung.Configure the NAC partner solution for certificate authentication.
  4. Der Benutzer stellt eine Verbindung zum WLAN-Zugriffspunkt her oder fordert eine VPN-Verbindung an.User connects to corporate Wi-Fi access point or makes a VPN connection request.
  5. Die Lösung des NAC-Partners leitet die Geräteinformationen an Intune weiter und fragt Intune nach dem Registrierungs- und Kompatibilitätsstatus des Geräts.NAC partner solution forwards the device information to Intune, and asks Intune about the device enrollment and compliance state.
  6. Wenn das Gerät nicht kompatibel oder nicht registriert ist, weist die Lösung des NAC-Partners den Benutzer an, das Gerät zu registrieren oder kompatibel zu machen.If the device is not compliant or not enrolled, the NAC partner solution instructs the user to enroll or fix the device compliance.
  7. Das Gerät versucht, seinen Konformitäts- und/oder Registrierungszustand erneut zu überprüfen.The device attempts to reverify its compliance and/or the enrollment state.
  8. Wenn das Gerät registriert wurde und kompatibel ist, erhält die Lösung des NAC-Partners von Intune eine Statusmeldung.Once the device is enrolled and compliant, NAC partner solution gets the state from Intune.
  9. Die Verbindung konnte erfolgreich hergestellt werden, und das Gerät erhält Zugriff auf Unternehmensressourcen.Connection is successfully established which allows the device access to corporate resources.

Nächste SchritteNext steps