Utilisation de Cisco ISE avec Microsoft IntuneUsing Cisco ISE with Microsoft Intune

S’applique à : Intune dans le portail ClassicApplies to: Intune in the classic portal
Vous recherchez de la documentation sur Intune dans le portail Azure ?Looking for documentation about Intune in the Azure portal? Cliquez ici.Go here.

L’intégration d’Intune à Cisco ISE (Identity Services Engine) vous permet de créer des stratégies réseau dans votre environnement ISE faisant appel à l’état de conformité et à l’inscription d’appareils Intune.Intune integration with Cisco Identity Services Engine (ISE) allows you to author network policies in your ISE environment by using the Intune device-enrollment and compliance state. Vous pouvez utiliser ces stratégies pour vous assurer que l’accès à votre réseau d’entreprise est limité aux appareils gérés par Intune et conformes aux stratégies Intune.You can use these policies to ensure that access to your company network is restricted to devices that are managed by Intune and compliant with Intune policies.

Étapes de configurationConfiguration steps

Pour activer cette intégration, aucune configuration particulière n’est nécessaire dans votre client Intune.To enable this integration, you don’t need to do any setup in your Intune tenant. Vous devrez fournir des autorisations à votre serveur Cisco ISE pour accéder à votre client Intune.You will need to provide permissions to your Cisco ISE server to access your Intune tenant. Une fois cette opération effectuée, le reste de la configuration a lieu sur votre serveur Cisco ISE.After that's done, the rest of the setup happens in your Cisco ISE server. Cet article indique comment fournir à votre serveur ISE des autorisations d’accès à votre client Intune.This article gives you instructions on providing your ISE server with permissions to access your Intune tenant.

Étape 1 : Gérer les certificatsStep 1: Manage the certificates

Exportez le certificat à partir de la console Azure Active Directory (Azure AD) et importez-le dans le magasin Certificats approuvés de la console ISE :Export the certificate from the Azure Active Directory (Azure AD) console, then import it into the Trusted Certificates store of the ISE console:

Internet Explorer 11Internet Explorer 11

a.a. Exécutez Internet Explorer comme administrateur, puis connectez-vous à la console Azure AD.Run Internet Explorer as an administrator, and sign in to the Azure AD console.

b.b. Choisissez l’icône en forme de verrou dans la barre d’adresse, puis Afficher les certificats.Choose the lock icon in the address bar and choose View certificates.

c.c. Sous l’onglet Détails des propriétés des certificats, choisissez Copier dans un fichier.On the Details tab of the certificate properties, choose Copy to file.

d.d. Dans la page Assistant Exportation de certificat, choisissez Suivant.In the Certificate export wizard welcome page, choose Next.

e.e. Dans la page Format du fichier d’exportation , laissez la valeur par défaut, X.509 binaire encodé DER (.cer) , puis choisissez Suivant .On the Export file format page, leave the default, DER encoded binary x.509 (.CER), and choose Next.

f.f. Dans la page Fichier à exporter, choisissez Parcourir pour choisir l’emplacement auquel enregistrer le fichier, puis fournissez un nom de fichier.On the File to export page, choose Browse to pick a location in which to save the file, and provide a file name. Concrètement, cette opération consiste en fait à nommer le fichier dans lequel le certificat exporté sera enregistré.Though it seems like you’re picking a file to export, you’re actually naming the file that the exported certificate will be saved to. Choisissez Suivant > Terminer.Choose Next > Finish.

g.g. À partir de la console ISE, importez le certificat Intune (le fichier exporté) dans le magasin Trusted Certificates (Certificats approuvés).From within the ISE console, import the Intune certificate (the file you exported) into the Trusted Certificates store.

SafariSafari

a.a. Connectez-vous à la console Azure AD.Sign in to the Azure AD console.

b.b. Cliquez sur l’icône en forme de verrou > Plus d’informations.Choose the lock icon > More information.

c.c. Choisissez Afficher le certificat > Détails.Choose View certificate > Details.

d.d. Choisissez le certificat, puis Exporter.Choose the certificate, and then choose Export.

e.e. À partir de la console ISE, importez le certificat Intune (le fichier exporté) dans le magasin Trusted Certificates (Certificats approuvés).From within the ISE console, import the Intune certificate (the file you exported) into the Trusted Certificates store.

Important

Vérifiez la date d’expiration du certificat, car vous devrez en exporter et en importer un nouveau quand celui-ci arrivera à expiration.Check the expiration date of the certificate, as you will have to export and import a new certificate when this one expires.

Obtenir un certificat auto-signé à partir d’ISEObtain a self-signed cert from ISE

  1. Dans la console ISE, accédez à Administration > Certificates > System Certificates > Generate Self Signed Certificate (Générer un certificat auto-signé).In the ISE console, go to Administration > Certificates > System Certificates > Generate Self Signed Certificate.
  2. Exportez le certificat auto-signé.Export the self-signed certificate.
  3. Dans un éditeur de texte, modifiez le certificat exporté :In a text editor, edit the exported certificate:

    • Supprimez -----BEGIN CERTIFICATE-----Delete -----BEGIN CERTIFICATE-----
    • Supprimez -----END CERTIFICATE-----Delete -----END CERTIFICATE-----

Vérifiez que tout le texte contient sur une seule ligne.Ensure all of the text is a single line

Étape 2 : Créer une application pour ISE dans votre client Azure ADStep 2: Create an app for ISE in your Azure AD tenant

  1. Dans la console Azure AD, choisissez Applications > Ajouter une application > Ajouter une application développée par mon organisation.In the Azure AD console, choose Applications > Add an Application > Add an application my organization is developing.
  2. Spécifiez un nom et une URL pour l’application.Provide a name and a URL for the app. L’URL peut correspondre au site web de votre entreprise.The URL could be your company website.
  3. Téléchargez le manifeste d’application (fichier JSON).Download the app manifest (a JSON file).
  4. Modifiez le fichier manifeste JSON.Edit the manifest JSON file. Pour le paramètre keyCredentials, fournissez le texte du certificat modifié à l’étape 1.In the setting called keyCredentials, provide the edited certificate text from Step 1 as the setting value.
  5. Enregistrez le fichier sans modifier son nom.Save the file without changing its name.
  6. Fournissez à votre application des autorisations à Microsoft Graph et à l’API Microsoft Intune.Provide your app with permissions to Microsoft Graph and the Microsoft Intune API.

    a.a. Pour Microsoft Graph, choisissez ce qui suit :For Microsoft Graph, choose the following:

    • Autorisations d’application : Lire des données d’annuaireApplication permissions: Read directory data
    • Autorisations déléguées :Delegated permissions:
      • Accéder aux données utilisateur à tout momentAccess user’s data anytime
      • Connecter les utilisateursSign users in

    b.b. Pour l’API Microsoft Intune, dans Autorisations d’application, choisissez Get device state and compliance from Intune (Obtenir l’état et la conformité de l’appareil à partir d’Intune).For the Microsoft Intune API, in Application permissions, choose Get device state and compliance from Intune.

  7. Choisissez Points de terminaison et copiez les valeurs suivantes, que vous utiliserez pour configurer les paramètres ISE :Choose View Endpoints and copy the following values for use in configuring ISE settings:

Valeur dans le portail Azure ADValue in Azure AD portal Champ correspondant dans le portail ISECorresponding field in ISE portal
Point de terminaison de l’API Microsoft Azure AD GraphMicrosoft Azure AD Graph API endpoint Auto Discovery URL (URL de découverte automatique)Auto Discovery URL
Point de terminaison de jeton OAuth 2.0Oauth 2.0 Token endpoint Token Issuing URL (URL émettrice de jeton)Token Issuing URL
Mettre à jour votre code avec votre ID clientUpdate your code with your Client ID ID clientClient ID

Étape 4 : Charger le certificat auto-signé de l’ISE dans l’application ISE que vous avez créée dans Azure ADStep 4: Upload the self-signed certificate from ISE into the ISE app you created in Azure AD

  1. Récupérez l’empreinte numérique et la valeur de certificat codée en base64 d’un fichier de certificat public X509 (.cer).Get the base64 encoded cert value and thumbprint from a .cer X509 public cert file. Cet exemple utilise PowerShell :This example uses PowerShell:
  <span data-ttu-id="16a6c-178">$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2    $cer.Import(“mycer.cer”)    $bin = $cer.GetRawCertData()    $base64Value = [System.Convert]::ToBase64String($bin)    $bin = $cer.GetCertHash()    $base64Thumbprint = [System.Convert]::ToBase64String($bin)    $keyid = [System.Guid]::NewGuid().ToString()</span><span class="sxs-lookup"><span data-stu-id="16a6c-178">$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2    $cer.Import(“mycer.cer”)    $bin = $cer.GetRawCertData()    $base64Value = [System.Convert]::ToBase64String($bin)    $bin = $cer.GetCertHash()    $base64Thumbprint = [System.Convert]::ToBase64String($bin)    $keyid = [System.Guid]::NewGuid().ToString()</span></span>

<span data-ttu-id="16a6c-179">Stockez les valeurs de $base64Thumbprint, $base64Value et $keyid à utiliser à l’étape suivante.</span><span class="sxs-lookup"><span data-stu-id="16a6c-179">Store the values for $base64Thumbprint, $base64Value and $keyid, to be used in the next step.</span></span>
  1. Chargez le certificat depuis le fichier manifeste.Upload the certificate through the manifest file. Connectez-vous au Portail de gestion AzureLog in to the Azure Management Portal
  2. Dans le composant logiciel enfichable Azure AD, recherchez l’application que vous souhaitez configurer avec un certificat X.509.In to the Azure AD snap-in find the application that you want to configure with an X.509 certificate.
  3. Téléchargez le fichier manifeste d’application.Download the application manifest file.
  4. Remplacez la propriété “KeyCredentials”: [], vide par le code JSON suivant.Replace the empty “KeyCredentials”: [], property with the following JSON. Le type complexe KeyCredentials est documenté dans Entity and complex type reference (Informations de référence sur les entités et les types complexes).The KeyCredentials complex type is documented inEntity and complex type reference.
<span data-ttu-id="16a6c-186">“keyCredentials“: [ { “customKeyIdentifier“: “$base64Thumbprint_from_above”, “keyId“: “$keyid_from_above“, “type”: “AsymmetricX509Cert”, “usage”: “Verify”, “value”:  “$base64Value_from_above” }2.</span><span class="sxs-lookup"><span data-stu-id="16a6c-186">“keyCredentials“: [ { “customKeyIdentifier“: “$base64Thumbprint_from_above”, “keyId“: “$keyid_from_above“, “type”: “AsymmetricX509Cert”, “usage”: “Verify”, “value”:  “$base64Value_from_above” }2.</span></span> 
 <span data-ttu-id="16a6c-187">],</span><span class="sxs-lookup"><span data-stu-id="16a6c-187">],</span></span> 

Exemple :For example:

“keyCredentials“: [
{
“customKeyIdentifier“: “ieF43L8nkyw/PEHjWvj+PkWebXk=”,
“keyId“: “2d6d849e-3e9e-46cd-b5ed-0f9e30d078cc”,
“type”: “AsymmetricX509Cert”,
“usage”: “Verify”,
“value”: “MIICWjCCAgSgAwIBA***omitted for brevity***qoD4dmgJqZmXDfFyQ”
}
],
  1. Enregistrez la modification dans le fichier manifeste d’application.Save the change to the application manifest file.
  2. Chargez le fichier manifeste d’application modifié via le portail de gestion Azure.Upload the edited application manifest file through the Azure management mortal.
  3. (Facultatif) Rechargez le manifeste pour vérifier que votre certificat X.509 figure bien dans l’application.Optional: Download the manifest again, to check that your X.509 cert is present on the application.

Note

Comme KeyCredentials est une collection, vous pouvez charger plusieurs certificats X.509 pour les scénarios de substitution, ou supprimer des certificats dans des scénarios de compromission.KeyCredentials is a collection, so you can upload multiple X.509 certificates for rollover scenarios, or delete certficates in compromise scenarios.

Étape 5 : Configurer les paramètres ISEStep 4: Configure ISE Settings

Dans la console d’administration ISE, fournissez ces valeurs de paramètre :In the ISE admin console, provide these setting values:

  • Server Type (Type de serveur) : Mobile Device ManagerServer Type: Mobile Device Manager
  • Authentication type (Type d’authentification) : OAuth – Client Credentials (OAuth – Informations d’identification du client)Authentication type: OAuth – Client Credentials
  • Auto Discovery (Découverte automatique) : Yes (Oui)Auto Discovery: Yes
  • Auto Discovery URL (URL de découverte automatique) : entrez la valeur provenant de l’étape 1.Auto Discover URL: Enter the value from Step 1.
  • Client ID (ID client) : entrez la valeur provenant de l’étape 1.Client ID: Enter the value from Step 1.
  • Token Issuing URL (URL émettrice de jeton) : entrez la valeur provenant de l’étape 1.Token issuing URL: Enter the value from Step 1.

Informations partagées entre votre client Intune et votre serveur Cisco ISEInformation shared between your Intune tenant and your Cisco ISE server

Ce tableau répertorie les informations partagées entre votre client Intune et votre serveur Cisco ISE pour les appareils gérés par Intune.This table lists the information that is shared between your Intune tenant and your Cisco ISE server for devices that are managed by Intune.

PropriétéProperty DescriptionDescription
complianceStatecomplianceState La chaîne vrai ou faux indique si l’appareil est conforme ou non.The true or false string that indicates whether the device is compliant or noncompliant.
isManagedisManaged La chaîne vrai ou faux indique si le client est géré par Intune ou non.The true or false string that indicates whether the client is managed by Intune or not.
macAddressmacAddress Adresse MAC de l’appareil.The MAC address of the device.
serialNumberserialNumber Numéro de série de l’appareil.The serial number of the device. Concerne uniquement les appareils iOS.It applies only to iOS devices.
imeiimei Le numéro IMEI (15 chiffres décimaux : 14 chiffres plus un chiffre de vérification) ou IMEISV (16 chiffres) inclut des informations sur l’origine, le modèle et le numéro de série de l’appareil.The IMEI (15 decimal digits: 14 digits plus a check digit) or IMEISV (16 digits) number includes information on the origin, model, and serial number of the device. La structure de ce numéro est définie dans la spécification 3GPP TS 23.003.The structure of this number is specified in 3GPP TS 23.003. Cela concerne uniquement les appareils dotés de cartes SIM.It applies only to devices with SIM cards.
udidudid Identificateur unique de l’appareil (séquence de 40 lettres et chiffres).The Unique Device Identifier, which is a sequence of 40 letters and numbers. Il est propre aux appareils iOS.It is specific to iOS devices.
meidmeid Identificateur d’équipement mobile (nombre global unique identifiant un élément physique de l’équipement de station mobile CDMA).The mobile equipment identifier, which is a globally unique number that identifies a physical piece of CDMA mobile station equipment. Le format du nombre est défini par le rapport 3GPP2 S. R0048.The number format is defined by the 3GPP2 report S. R0048. Toutefois, en pratique il ressemble à un numéro IMEI, mais avec des chiffres hexadécimaux.However, in practical terms, it can be seen as an IMEI, but with hexadecimal digits. Un identificateur MEID occupe 56 bits (14 caractères hexadécimaux).An MEID is 56 bits long (14 hex digits). Il se compose de trois champs, dont un code régional de 8 bits, un code fabricant de 24 bits et un numéro de série de 24 bits attribué par le fabricant.It consists of three fields, including an 8-bit regional code (RR), a 24-bit manufacturer code, and a 24-bit manufacturer-assigned serial number.
osVersionosVersion Version du système d’exploitation de l’appareil.The operating system version for the device.
modelmodel Modèle de l'appareil.The device model.
manufacturermanufacturer Fabricant de l'appareil.The device manufacturer.
azureDeviceIdazureDeviceId ID de l’appareil une fois joint à l’espace de travail avec Azure AD.The device ID after it has workplace joined with Azure AD. Il s’agit d’un GUID vide pour les appareils qui ne sont pas joints.It is an empty GUID for devices that are not joined.
lastContactTimeUtclastContactTimeUtc Date et heure du dernier enregistrement de l’appareil auprès du service de gestion Intune.The date and time when the device last checked in with the Intune management service.

Expérience utilisateurUser experience

Quand un utilisateur tente d’accéder à des ressources à l’aide d’un appareil non inscrit, il reçoit une invite d’inscription, comme illustré ci-dessous :When a user attempts to access resources by using an unenrolled device, they receive a prompt to enroll, such as the one shown here:

Exemple d’invite d’inscription

Quand un utilisateur choisit de s’inscrire, il est redirigé vers le processus d’inscription Intune.When a user chooses to enroll, they are redirected to the Intune enrollment process. L’expérience utilisateur de l’inscription pour Intune est décrite dans les rubriques suivantes :The user enrollment experience for Intune is described in these topics:

Vous pouvez également télécharger un ensemble d’instructions d’inscription et l’adapter pour vos utilisateurs.There is also a downloadable set of enrollment instructions that you can use to create customized guidance for your user experience.

Voir aussiSee also

Cisco Identity Services Engine Administrator Guide, Release 2.1Cisco Identity Services Engine Administrator Guide, Release 2.1