Integración del control de acceso a la red (NAC) con Intune
Intune se integra con asociados de control de acceso a la red (NAC) para ayudar a las organizaciones a proteger los datos de empresa cuando los dispositivos intentan tener acceso a los recursos locales.
Nota:
En julio de 2021 se lanzó un nuevo servicio NAC (servicio CR) y muchos de nuestros asociados de NAC están realizando la transición a este nuevo servicio. Aunque hemos ampliado la escala de tiempo para admitir el servicio NAC heredado hasta el 31 de marzo de 2024, se recomienda migrar al nuevo servicio CR para evitar interrupciones del servicio. Actualmente, el siguiente producto asociado de NAC admite el nuevo servicio NAC:
- Cisco ISE 3.1 y versiones posteriores
- Citrix Gateway 13.0-84.11 y versiones posteriores
- Citrix Gateway 13.1-12.50 y versiones posteriores
- F5 BIG-IP Access Policy Manager 14.1.5.2 y versiones posteriores
- F5 BIG-IP Access Policy Manager 15.1.7 y versiones posteriores
- F5 BIG-IP Access Policy Manager 16.1.3.1 y versiones posteriores
- F5 BIG-IP Access Policy Manager 17.0 y versiones posteriores
- Ivanti Connect Secure 9.1R16 y versiones posteriores
- Aruba ClearPass con la extensión Microsoft Intune v6 y versiones posteriores
- Forescout eyeExtend Microsoft Module v1.0.1 y versiones posteriores
- Portnox Cloud
Póngase en contacto con su asociado de NAC si tiene preguntas sobre el impacto de esta transición. Para obtener más información, consulte nuestra entrada del blog sobre el nuevo servicio de recuperación de cumplimiento.
¿Cómo Intune y las soluciones de NAC ayudan a proteger los recursos de su organización?
Las soluciones de NAC comprueban el estado de inscripción y cumplimiento de los dispositivos con Intune para tomar decisiones de control de acceso. Si el dispositivo no está inscrito o está inscrito pero no es conforme con las directivas de cumplimiento de dispositivos de Intune, debe redirigirse a Intune para su inscripción o para una comprobación de cumplimiento.
Ejemplo
Si el dispositivo está inscrito y es compatible con Intune, la solución de NAC debe permitir el acceso del dispositivo a los recursos de la empresa. Por ejemplo, a los usuarios se les puede permitir o denegar el acceso al intentar tener acceso a los recursos de VPN o Wi-Fi de la empresa.
Comportamientos de la característica
Los dispositivos que se están sincronizando activamente en Intune no pueden pasar de Compatible / No compatible a No sincronizado (o Desconocido). El estado Desconocido está reservado a los dispositivos recién inscritos cuyo cumplimiento aún no se ha evaluado.
En el caso de los dispositivos cuyo acceso a los recursos está bloqueado, el servicio de bloqueo debe redirigir a todos los usuarios al portal de administración para determinar por qué el dispositivo está bloqueado. Si los usuarios visitan esta página, la compatibilidad de sus dispositivos se vuelve a evaluar sincrónicamente.
NAC y acceso condicional
NAC funciona con el acceso condicional para proporcionar decisiones de control de acceso. Para más información, consulte Formas comunes de usar el acceso condicional con Intune.
Cómo funciona la integración de NAC
La siguiente lista presenta información general sobre cómo funciona la integración de NAC con Intune. Los tres primeros pasos, 1 al 3, explican el proceso de incorporación. Una vez que la solución de NAC está integrada con Intune, los pasos del 4 al 9 describen la operación en curso.
- Registre la solución de asociado de NAC con Microsoft Entra id. y conceda permisos delegados a la API de NAC de Intune.
- Configure la solución de partner de NAC con las opciones correctas incluida la URL de detección de Intune.
- Configure la solución de partner de NAC para la autenticación de certificados.
- El usuario se conecta al punto de acceso de Wi-Fi de la empresa o realiza una solicitud de conexión VPN.
- La solución de asociados de NAC reenvía la información del dispositivo a Intune y pregunta a Intune sobre el estado de cumplimiento y la inscripción de dispositivos.
- Si el dispositivo no es compatible o no está inscrito, la solución de asociados de NAC indica al usuario que inscriba o corrija el cumplimiento del dispositivo.
- El dispositivo intenta volver a comprobar su cumplimiento y su estado de inscripción, cuando procede.
- Una vez que el dispositivo está inscrito y es compatible, la solución de asociados de NAC obtiene el estado de Intune.
- La conexión se establece correctamente, lo que permite al dispositivo tener acceso a los recursos de la empresa.
Nota:
Las soluciones de asociados de NAC normalmente realizarán dos tipos diferentes de consulta a Intune para preguntar sobre el estado de cumplimiento de dispositivos:
- Filtrado de consultas basado en un valor de propiedad conocido de un único dispositivo, como su dirección MAC Wi-Fi o IMEI
- Consultas amplias y sin filtrar para todos los dispositivos no compatibles
Las soluciones NAC pueden realizar tantas consultas específicas del dispositivo como sea necesario. Sin embargo, es posible que se limiten las consultas no filtradas. La solución NAC debe configurarse para enviar solo las consultas de todos los dispositivos no compatibles, como máximo, una vez cada cuatro horas. Las consultas realizadas con más frecuencia recibirán un error HTTP 503 del servicio Intune.
Habilitación de NAC
Para habilitar el uso de NAC y el servicio de recuperación de cumplimiento que estuvo disponible en julio de 2021, consulte la documentación más reciente del producto NAC para habilitar la integración de NAC con Intune. Esta integración puede requerir que realice cambios después de actualizar a su nuevo producto o versión de NAC.
El servicio de recuperación de cumplimiento requiere autenticación basada en certificados y el uso del identificador de dispositivo de Intune como nombre alternativo del firmante de los certificados. Para los certificados del Protocolo simple de inscripción de certificados (SCEP) y del par de claves pública y privada (PKCS), puede agregar un atributo del tipo uri con un valor definido por el proveedor de NAC. Por ejemplo, las instrucciones del proveedor de NAC podrían indicar que se incluya IntuneDeviceId://{{DeviceID}}como nombre alternativo del firmante.
Es posible que otros productos nac requieran que incluya un identificador de dispositivo al usar NAC con perfiles de VPN de iOS.
Nota:
Ahora hemos agregado compatibilidad para consultar dispositivos basados en direcciones Mac para clientes que no pueden usar la autenticación basada en certificados. Sin embargo, nuestra recomendación es usar la autenticación basada en certificados con el identificador de dispositivo de Intune siempre que sea posible.
Para obtener más información sobre los perfiles de certificado, consulte Uso de perfiles de certificado SCEP con Microsoft Intune y Uso de un perfil de certificado PKCS para aprovisionar dispositivos con certificados en Microsoft Intune
Datos compartidos con asociados de NAC
Las propiedades específicas del dispositivo que se comparten con los asociados de NAC dependen de la versión de la API de NAC que usa el producto NAC. Póngase en contacto con su asociado de NAC para obtener más información sobre la versión de la NAC o la API de recuperación de cumplimiento que usa el producto nac.
Además, los datos devueltos se limitarán si:
- El dispositivo no está inscrito en Intune. En este caso, no se compartirá información que no sea que el dispositivo no esté administrado por Intune con el producto NAC.
- El sistema operativo impide que la propiedad de dispositivo específica se comparta con Microsoft. Intune volverá a compartir valores vacíos en el producto NAC para las propiedades de datos no compartidas con Intune por el sistema operativo.
| Device (propiedad) | Disponible en NAC 1.0 | Disponible en NAC 1.1 | Disponible en NAC 1.3 | Disponible en Recuperación de cumplimiento/NAC 2.0 |
|---|---|---|---|---|
| Estado de cumplimiento | Sí | Sí | Sí | Sí |
| Administrado por Intune | Sí | Sí | Sí | Sí |
| Propiedad personal o corporativa | No | Sí | Sí | No |
| Dirección MAC | Sí | Sí | Sí | Sí |
| Número de serie | Sí | Sí | Sí | No |
| IMEI | Sí | Sí | Sí | No |
| UDID | Sí | Sí | Sí | No |
| MEID | Sí | Sí | Sí | No |
| Versión del sistema operativo | Sí | Sí | Sí | No |
| Modelo del dispositivo | Sí | Sí | Sí | No |
| Fabricante | Sí | Sí | Sí | No |
| Microsoft Entra id. de dispositivo | Sí | Sí | Sí | No |
| Última hora de contacto con Intune | Sí | Sí | Sí | No |
| Id. de dispositivo de Intune | No | No | No | Sí |
Siguientes pasos
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de