Intégration du contrôle d’accès réseau avec Intune
Intune s’intègre avec les partenaires de contrôle d’accès réseau (NAC) pour aider les organisations à sécuriser les données d’entreprise quand des appareils tentent d’accéder à des ressources locales.
Remarque
Un nouveau service NAC (service CR) a été publié en juillet 2021 et un grand nombre de nos partenaires du CNA effectuent la transition vers ce nouveau service. Bien que nous ayons étendu la chronologie de prise en charge du service NAC hérité jusqu’au 31 mars 2024, nous vous recommandons de migrer vers le nouveau service CR pour éviter toute interruption de service. Actuellement, le produit partenaire NAC suivant prend en charge le nouveau service NAC :
- Cisco ISE 3.1 et versions ultérieures
- Citrix Gateway 13.0-84.11 et versions ultérieures
- Citrix Gateway 13.1-12.50 et versions ultérieures
- F5 BIG-IP Access Policy Manager 14.1.5.2 et versions ultérieures
- F5 BIG-IP Access Policy Manager 15.1.7 et versions ultérieures
- F5 BIG-IP Access Policy Manager 16.1.3.1 et versions ultérieures
- Gestionnaire de stratégies d’accès F5 BIG-IP 17.0 et versions ultérieures
- Ivanti Connect Secure 9.1R16 et versions ultérieures
- Aruba ClearPass avec extension Microsoft Intune v6 et versions ultérieures
- Forescout eyeExtend Module Microsoft v1.0.1 et versions ultérieures
- Portnox Cloud
Contactez votre partenaire de contrôle d’accès réseau si vous avez des questions sur l’impact de cette transition. Pour plus d’informations, consultez notre billet de blog sur le nouveau service de récupération de conformité.
Comment les solutions de contrôle d’accès réseau et Intune aident-ils à protéger les ressources de votre organisation ?
Les solutions de contrôle d’accès réseau vérifient l’état de conformité et d’inscription des appareils auprès d’Intune pour prendre les décisions relatives au contrôle d’accès. Si l’appareil n’est pas inscrit, ou s’il est inscrit mais qu’il ne respecte pas les stratégies de conformité des appareils Intune, il doit être redirigé vers Intune pour l’inscription ou pour une vérification de conformité.
Exemple
Si l’appareil est inscrit et conforme avec Intune, la solution de contrôle d’accès réseau doit autoriser l’accès aux ressources d’entreprise à l’appareil. Par exemple, l’accès peut être accordé ou refusé aux utilisateurs quand ils tentent d’accéder aux ressources d’entreprise par Wi-Fi ou VPN.
Comportements des fonctionnalités
Les appareils qui se synchronisent activement avec Intune ne peuvent pas passer de l’état Conforme / Non conforme à l’état Non synchronisé (ou Inconnu). L’état Inconnu est réservé aux appareils récemment inscrits, dont la conformité n’a pas encore été évaluée.
Pour les appareils dont l’accès aux ressources est bloqué, le service de blocage doit rediriger tous les utilisateurs vers le portail de gestion pour déterminer l’origine du blocage de l’appareil. Si les utilisateurs consultent cette page, la conformité de leurs appareils est réévaluée de façon synchrone.
Contrôle d’accès réseau et accès conditionnel
Le contrôle d’accès réseau fonctionne avec l’accès conditionnel pour fournir des décisions en matière de contrôle d’accès. Pour plus d’informations, consultez Utilisations courantes de l’accès conditionnel avec Intune.
Fonctionnement de l’intégration du contrôle d’accès réseau
La liste suivante présente le fonctionnement du contrôle d’accès réseau quand il est intégré à Intune. Les trois premières étapes (1 à 3) expliquent le processus d’intégration. Une fois la solution de contrôle d’accès réseau intégrée à Intune, les étapes 4 à 9 décrivent l’opération en cours.
- Inscrivez la solution partenaire NAC avec l’ID de Microsoft Entra et accordez des autorisations déléguées à l’API NAC Intune.
- Configurez la solution du partenaire de contrôle d’accès réseau avec les paramètres appropriés, notamment l’URL de découverte Intune.
- Configurez la solution du partenaire de contrôle d’accès réseau pour l’authentification par certificat.
- L’utilisateur se connecte au point d’accès Wi-Fi d’entreprise ou effectue une demande de connexion VPN.
- La solution du partenaire de contrôle d’accès réseau transfère les informations de l’appareil à Intune et demande à Intune quel est l’état d’inscription et de conformité de l’appareil.
- Si l’appareil n’est pas conforme ou pas inscrit, la solution du partenaire de contrôle d’accès réseau demande à l’utilisateur d’inscrire l’appareil ou de corriger sa conformité.
- Le cas échéant, l’appareil essaie de revérifier ses conformité et état d’inscription.
- Une fois l’appareil inscrit et conforme, la solution du partenaire de contrôle d’accès réseau obtient l’état auprès d’Intune.
- La connexion est établie, ce qui permet à l’appareil d’accéder aux ressources d’entreprise.
Remarque
En général, les solutions de partenaires NAC effectuent deux types de requêtes différents à Intune pour demander l’état de conformité des appareils :
- Filtrage des requêtes en fonction d’une valeur de propriété connue d’un appareil unique, par exemple son IMEI ou son adresse MAC Wi-Fi
- Requêtes larges et non filtrées pour tous les appareils non conformes.
Les solutions NAC sont autorisées à créer autant de requêtes spécifiques à l’appareil que nécessaire. Toutefois, les requêtes non filtrées larges peuvent être limitées. La solution NAC doit être configurée pour envoyer uniquement les requêtes Tous les appareils non conformes, au plus une fois toutes les quatre heures. Les requêtes effectuées plus fréquemment reçoivent une erreur HTTP 503 du service Intune.
Activer le contrôle d’accès réseau
Pour activer l’utilisation du contrôle d’accès réseau et du service de récupération de conformité qui est devenu disponible en juillet 2021, consultez la documentation la plus récente de votre produit NAC pour activer l’intégration du contrôle d’accès réseau à Intune. Cette intégration peut vous obliger à apporter des modifications après la mise à niveau vers leur nouveau produit ou version NAC.
Le service de récupération de conformité nécessite l’authentification basée sur les certificats et l’utilisation de l’ID d’appareil Intune comme autre nom d’objet des certificats. Pour les certificats SCEP (Simple Certificate Enrollment Protocol) et private and public key paire (PKCS), vous pouvez ajouter un attribut du type URI avec une valeur définie par votre fournisseur NAC. Par exemple, les instructions de votre fournisseur de contrôle d’accès réseau peuvent indiquer d’inclure IntuneDeviceId://{{DeviceID}}comme autre nom d’objet.
D’autres produits NAC peuvent nécessiter que vous incluiez un ID d’appareil lors de l’utilisation de NAC avec des profils VPN iOS.
Remarque
Nous avons maintenant ajouté la prise en charge de l’interrogation des appareils basés sur des adresses Mac pour les clients qui ne peuvent pas utiliser l’authentification basée sur les certificats. Toutefois, nous vous recommandons d’utiliser l’authentification basée sur les certificats avec l’ID d’appareil Intune dans la mesure du possible.
Pour en savoir plus sur les profils de certificat, consultez : Utiliser des profils de certificat SCEP avec Microsoft Intune et Utiliser un profil de certificat PKCS pour provisionner des appareils avec des certificats dans Microsoft Intune
Données partagées avec les partenaires NAC
Les propriétés d’appareil spécifiques qui sont partagées avec les partenaires NAC dépendent de la version de l’API NAC utilisée par le produit NAC. Contactez votre partenaire de contrôle d’accès réseau pour plus d’informations sur la version de NAC ou l’API de récupération de conformité que votre produit NAC utilise.
En outre, les données retournées seront limitées dans les cas suivants :
- L’appareil n’est pas inscrit dans Intune. Dans ce cas, aucune information autre que celle indiquant que l’appareil n’est pas géré par Intune ne sera partagée avec le produit NAC.
- Le système d’exploitation empêche le partage de la propriété d’appareil spécifique avec Microsoft. Intune partagera les valeurs vides dans le produit NAC pour les propriétés de données non partagées avec Intune par le système d’exploitation.
| Propriété de l’appareil | Disponible dans NAC 1.0 | Disponible dans NAC 1.1 | Disponible dans NAC 1.3 | Disponible dans récupération de conformité/NAC 2.0 |
|---|---|---|---|---|
| État de conformité | Oui | Oui | Oui | Oui |
| Géré par Intune | Oui | Oui | Oui | Oui |
| Propriété personnelle ou d’entreprise | Non | Oui | Oui | Non |
| Adresse MAC | Oui | Oui | Oui | Oui |
| Numéro de série | Oui | Oui | Oui | Non |
| IMEI | Oui | Oui | Oui | Non |
| UDID | Oui | Oui | Oui | Non |
| MEID | Oui | Oui | Oui | Non |
| Version du système d'exploitation | Oui | Oui | Oui | Non |
| Modèle du périphérique | Oui | Oui | Oui | Non |
| Fabricant | Oui | Oui | Oui | Non |
| ID d’appareil Microsoft Entra | Oui | Oui | Oui | Non |
| Heure du dernier contact avec Intune | Oui | Oui | Oui | Non |
| ID d’appareil Intune | Non | Non | Non | Oui |
Prochaines étapes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour