A Cisco ISE használata az Intune-nalUsing Cisco ISE with Microsoft Intune

A következőkre vonatkozik: Intune a klasszikus konzolonApplies to: Intune in the classic console
Az Azure-on található Intune-ról keres dokumentációt?Looking for documentation about Intune on Azure? Lépjen tovább ide.Go here.

A Cisco Identity Services Engine (ISE) Intune-integrációja lehetővé teszi, hogy az Intune eszközregisztrációs és megfelelőségi állapotával hálózati szabályzatokat hozzon létre az ISE-környezetében.Intune integration with Cisco Identity Services Engine (ISE) allows you to author network policies in your ISE environment by using the Intune device-enrollment and compliance state. Ezekkel a szabályzatokkal biztosíthatja, hogy a céges hálózathoz csak azok az eszközök csatlakozhassanak, amelyeket az Intune felügyel, és amelyek megfelelnek az Intune szabályzatainak.You can use these policies to ensure that access to your company network is restricted to devices that are managed by Intune and compliant with Intune policies.

Konfigurációs lépésConfiguration steps

Az integráció engedélyezéséhez nincs szükség telepítésre az Intune-bérlőben.To enable this integration, you don’t need to do any setup in your Intune tenant. A Cisco ISE-kiszolgáló számára engedélyezni kell a hozzáférést az Intune-bérlőhöz.You will need to provide permissions to your Cisco ISE server to access your Intune tenant. Ezt követően a telepítés hátralévő része a Cisco ISE-kiszolgálón történik.After that's done, the rest of the setup happens in your Cisco ISE server. A jelen cikk ismerteti, hogy hogyan adhat engedélyt az ISE-kiszolgálónak az Intune-bérlőhöz való hozzáféréshez.This article gives you instructions on providing your ISE server with permissions to access your Intune tenant.

1. lépés: A tanúsítványok kezeléseStep 1: Manage the certificates

Exportálja a tanúsítványt az Azure Active Directory (Azure AD) konzoljáról, majd importálja az ISE-konzol Megbízható tanúsítványok tárolójába:Export the certificate from the Azure Active Directory (Azure AD) console, then import it into the Trusted Certificates store of the ISE console:

Internet Explorer 11Internet Explorer 11

a.a. Futtassa rendszergazdaként az Internet Explorert, majd jelentkezzen be az Azure AD konzoljába.Run Internet Explorer as an administrator, and sign in to the Azure AD console.

b.b. A címsorban kattintson a lakat ikonra, majd a Tanúsítványok megtekintése elemre.Choose the lock icon in the address bar and choose View certificates.

c.c. A tanúsítvány tulajdonságai Részletek lapján válassza a Másolás fájlba lehetőséget.On the Details tab of the certificate properties, choose Copy to file.

d.d. A Tanúsítványexportáló varázsló kezdőlapján kattintson a Tovább gombra.In the Certificate export wizard welcome page, choose Next.

e.e. Az Exportfájlformátum lapon hagyja meg az alapértelmezett DER kódolású bináris x.509 (. CER) lehetőséget, majd kattintson a Tovább gombra.On the Export file format page, leave the default, DER encoded binary x.509 (.CER), and choose Next.

f.f. Az Exportálandó fájl lapon kattintson a Tallózás gombra, majd jelölje ki a helyet, ahova mentené szeretné a fájlt, és adjon meg egy fájlnevet.On the File to export page, choose Browse to pick a location in which to save the file, and provide a file name. Bár úgy tűnik, mintha exportálná a fájlt, valójában elnevezi azt a fájlt, amelybe az exportált tanúsítványt menteni fogja.Though it seems like you’re picking a file to export, you’re actually naming the file that the exported certificate will be saved to. Kattintson a Tovább > Befejezés gombra.Choose Next > Finish.

g.g. Az ISE konzolról importálja az Intune-tanúsítványt (az exportált fájlt) a Megbízható tanúsítványok tárolójába.From within the ISE console, import the Intune certificate (the file you exported) into the Trusted Certificates store.

SafariSafari

a.a. Jelentkezzen be az Azure AD konzoljába.Sign in to the Azure AD console.

b.b. Válassza a lakat ikon > További információ lehetőséget.Choose the lock icon > More information.

c.c. Válassza a Tanúsítvány megtekintése > Részletek lehetőséget.Choose View certificate > Details.

d.d. Válassza ki a tanúsítványt, majd kattintson az Exportálás elemre.Choose the certificate, and then choose Export.

e.e. Az ISE konzolról importálja az Intune-tanúsítványt (az exportált fájlt) a Megbízható tanúsítványok tárolójába.From within the ISE console, import the Intune certificate (the file you exported) into the Trusted Certificates store.

Fontos

Ellenőrizze a tanúsítvány lejárati dátumát, mert a lejárta után újat kell exportálnia és importálnia.Check the expiration date of the certificate, as you will have to export and import a new certificate when this one expires.

Önaláírt tanúsítvány létrehozása az ISE alkalmazásbanObtain a self-signed cert from ISE

  1. A ISE-konzolon válassza az Administration (Felügyelet) > Certificates (Tanúsítványok) > System Certificates (Rendszertanúsítványok) > Generate Self Signed Certificate (Önaláírt tanúsítvány létrehozása) elemet.In the ISE console, go to Administration > Certificates > System Certificates > Generate Self Signed Certificate.
  2. Exportálja az önaláírt tanúsítványt.Export the self-signed certificate.
  3. Egy szövegszerkesztőben szerkessze az alábbiak szerint az exportált tanúsítványt:In a text editor, edit the exported certificate:

    • Törölje a -----BEGIN CERTIFICATE----- sort.Delete -----BEGIN CERTIFICATE-----
    • Törölje az -----END CERTIFICATE----- sort.Delete -----END CERTIFICATE-----

Ellenőrizze, hogy a teljes szöveg egy sorból áll-eEnsure all of the text is a single line

2. lépés: Hozzon létre egy alkalmazást az ISE számára az AAD-bérlőbenStep 2: Create an app for ISE in your Azure AD tenant

  1. Az Azure AD konzolján válassza az Alkalmazások > Alkalmazás hozzáadása > Saját szervezet által fejlesztett alkalmazás hozzáadása lehetőséget.In the Azure AD console, choose Applications > Add an Application > Add an application my organization is developing.
  2. Adja meg az alkalmazás nevét és URL-címét.Provide a name and a URL for the app. Az URL-cím lehet például a vállalati webhely.The URL could be your company website.
  3. Töltse le az alkalmazásjegyzéket (egy JSON-fájl).Download the app manifest (a JSON file).
  4. Szerkessze a JSON-alkalmazásjegyzéket.Edit the manifest JSON file. A keyCredentials nevű beállításnál adja meg értékként a tanúsítvány az 1. lépésben szerkesztett szövegét.In the setting called keyCredentials, provide the edited certificate text from Step 1 as the setting value.
  5. Mentse a fájlt névváltoztatás nélkül.Save the file without changing its name.
  6. Adjon az alkalmazásnak engedélyt a Microsoft Graph-hoz és a Microsoft Intune API-hoz.Provide your app with permissions to Microsoft Graph and the Microsoft Intune API.

    a.a. A Microsoft Graph-hoz válassza a következőket:For Microsoft Graph, choose the following:

    • Alkalmazásengedélyek: Címtáradatok olvasásaApplication permissions: Read directory data
    • Delegált engedélyek:Delegated permissions:
      • Felhasználói adatok elérése bármikorAccess user’s data anytime
      • A felhasználók beléptetéseSign users in

    b.b. A Microsoft Intune API-hoz az Alkalmazásengedélyeknél válassza Az eszköz állapotának és megfelelőségének beolvasása az Intune-ról lehetőséget.For the Microsoft Intune API, in Application permissions, choose Get device state and compliance from Intune.

  7. Válassza a Végpontok megtekintése lehetőséget, és másolja le az alábbi értékeket az ISE-beállítások konfigurálásához:Choose View Endpoints and copy the following values for use in configuring ISE settings:

Érték az Azure AD-portálonValue in Azure AD portal A hozzá tartozó mező az ISE-portálbanCorresponding field in ISE portal
Microsoft Azure AD Graph API-végpontMicrosoft Azure AD Graph API endpoint Automatikus felderítés URL-címeAuto Discovery URL
Oauth 2.0 Token-végpontOauth 2.0 Token endpoint Jogkivonatot kibocsátó URL-címToken Issuing URL
Frissítse a kódot az ügyfél-azonosítóvalUpdate your code with your Client ID Ügyfél-azonosítóClient ID

4. lépés: Töltse fel az önaláírt tanúsítványt az ISE-ből az Azure AD-ben létrehozott ISE-alkalmazásbaStep 4: Upload the self-signed certificate from ISE into the ISE app you created in Azure AD

  1. A .cer X509 nyilvános tanúsítványfájlból szerezze be a base64-kódolású tanúsítvány-értéket és ujjlenyomatot.Get the base64 encoded cert value and thumbprint from a .cer X509 public cert file. Ez a példa PowerShellt használ:This example uses PowerShell:
  <span data-ttu-id="66e32-178">$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2    $cer.Import(“mycer.cer”)    $bin = $cer.GetRawCertData()    $base64Value = [System.Convert]::ToBase64String($bin)    $bin = $cer.GetCertHash()    $base64Thumbprint = [System.Convert]::ToBase64String($bin)    $keyid = [System.Guid]::NewGuid().ToString()</span><span class="sxs-lookup"><span data-stu-id="66e32-178">$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2    $cer.Import(“mycer.cer”)    $bin = $cer.GetRawCertData()    $base64Value = [System.Convert]::ToBase64String($bin)    $bin = $cer.GetCertHash()    $base64Thumbprint = [System.Convert]::ToBase64String($bin)    $keyid = [System.Guid]::NewGuid().ToString()</span></span>

<span data-ttu-id="66e32-179">Tárolja el az értékeket a $base64Thumbprint, a $base64Value és a $keyid változókhoz, amelyeket a következő lépésben használ majd.</span><span class="sxs-lookup"><span data-stu-id="66e32-179">Store the values for $base64Thumbprint, $base64Value and $keyid, to be used in the next step.</span></span>
  1. Töltse fel a tanúsítványt a jegyzékfájlon keresztül.Upload the certificate through the manifest file. Jelentkezzen be az Azure felügyeleti portálraLog in to the Azure Management Portal
  2. Az Azure AD beépülő modulban keresse meg az X.509-es tanúsítvánnyal konfigurálni kívánt alkalmazást.In to the Azure AD snap-in find the application that you want to configure with an X.509 certificate.
  3. Töltse le az alkalmazás jegyzékfájlját.Download the application manifest file.
  4. Az üres “KeyCredentials”: [], tulajdonságot cserélje le a következő JSON-kódra.Replace the empty “KeyCredentials”: [], property with the following JSON. A KeyCredentials összetett típus; leírása az Entitások és összetett típusok segédletben található.The KeyCredentials complex type is documented inEntity and complex type reference.
<span data-ttu-id="66e32-186">“keyCredentials“: [ { “customKeyIdentifier“: “$base64Thumbprint_from_above”, “keyId“: “$keyid_from_above“, “type”: “AsymmetricX509Cert”, “usage”: “Verify”, “value”:  “$base64Value_from_above” }2.</span><span class="sxs-lookup"><span data-stu-id="66e32-186">“keyCredentials“: [ { “customKeyIdentifier“: “$base64Thumbprint_from_above”, “keyId“: “$keyid_from_above“, “type”: “AsymmetricX509Cert”, “usage”: “Verify”, “value”:  “$base64Value_from_above” }2.</span></span> 
 <span data-ttu-id="66e32-187">],</span><span class="sxs-lookup"><span data-stu-id="66e32-187">],</span></span> 

Példa:For example:

“keyCredentials“: [
{
“customKeyIdentifier“: “ieF43L8nkyw/PEHjWvj+PkWebXk=”,
“keyId“: “2d6d849e-3e9e-46cd-b5ed-0f9e30d078cc”,
“type”: “AsymmetricX509Cert”,
“usage”: “Verify”,
“value”: “MIICWjCCAgSgAwIBA***omitted for brevity***qoD4dmgJqZmXDfFyQ”
}
],
  1. Mentse az alkalmazás jegyzékfájlján végrehajtott módosítást.Save the change to the application manifest file.
  2. Töltse fel a módosított alkalmazásjegyzék-fájlt az Azure felügyeleti központon keresztül.Upload the edited application manifest file through the Azure management mortal.
  3. Nem kötelező: Töltse le újra a jegyzékfájlt, hogy ellenőrizze, hogy a X-509-es tanúsítvány telepítve lett az alkalmazáson.Optional: Download the manifest again, to check that your X.509 cert is present on the application.
Megjegyzés

A KeyCredentials gyűjtemény, így több X.509-es tanúsítványt is feltölthet kulcsváltások esetére vagy biztonsági sérülés esetén törölhet tanúsítványokat.KeyCredentials is a collection, so you can upload multiple X.509 certificates for rollover scenarios, or delete certficates in compromise scenarios.

4. lépés: Az ISE-beállítások konfigurálásaStep 4: Configure ISE Settings

A ISE felügyeleti konzolján adja meg ezeket az értékeket:In the ISE admin console, provide these setting values:

  • Kiszolgáló típusa: Mobile Device ManagerServer Type: Mobile Device Manager
  • Hitelesítés típusa: OAuth – ügyfél hitelesítő adataiAuthentication type: OAuth – Client Credentials
  • Automatikus felderítés: IgenAuto Discovery: Yes
  • URL-cím automatikus felderítése: Adja meg az 1. lépésbeli értéket.Auto Discover URL: Enter the value from Step 1.
  • Ügyfél-azonosító: Adja meg az 1. lépésbeli értéket.Client ID: Enter the value from Step 1.
  • Jogkivonatot kibocsátó URL-cím: Adja meg az 1. lépésbeli értéket.Token issuing URL: Enter the value from Step 1.

Az Intune-bérlő és a Cisco ISE-kiszolgáló által közösen kezelt adatokInformation shared between your Intune tenant and your Cisco ISE server

Ez a táblázat felsorolja az Intune-bérlő és a Cisco ISE-kiszolgáló között megosztott adatokat az Intune által felügyelt eszközök esetében.This table lists the information that is shared between your Intune tenant and your Cisco ISE server for devices that are managed by Intune.

TulajdonságProperty LeírásDescription
complianceStatecomplianceState Az „igaz” vagy a „hamis” karakterlánc, amely azt jelzi, hogy az eszköz megfelelő vagy nem megfelelő.The true or false string that indicates whether the device is compliant or noncompliant.
isManagedisManaged Az „igaz” vagy a „hamis” karakterlánc, amely azt jelzi, hogy az ügyfelet az Intune kezeli-e.The true or false string that indicates whether the client is managed by Intune or not.
macAddressmacAddress Az eszköz MAC-címe.The MAC address of the device.
serialNumberserialNumber Az eszköz sorozatszáma.The serial number of the device. Csak iOS-eszközökre vonatkozik.It applies only to iOS devices.
IMEIimei Az IMEI (15 decimális számjegy: 14 számjegy és egy ellenőrző számjegy) vagy IMEISV (16 számjegy) az eszköz származási helyéről, fajtájáról és sorozatszámáról tartalmaz adatokat.The IMEI (15 decimal digits: 14 digits plus a check digit) or IMEISV (16 digits) number includes information on the origin, model, and serial number of the device. A szám szerkezetének meghatározását a 3GPP TS 23.003 tartalmazza.The structure of this number is specified in 3GPP TS 23.003. Csak SIM-kártyával rendelkező eszközökre érvényes.It applies only to devices with SIM cards.
udidudid A egyedi eszközazonosító egy 40 karakterből (betűkből és számokból) álló sorozat.The Unique Device Identifier, which is a sequence of 40 letters and numbers. Csak az iOS-rendszerű eszközök rendelkeznek ilyennel.It is specific to iOS devices.
MEIDmeid A mobilkészülék-azonosító egy olyan globálisan egyedi szám, amely egy CDMA-mobilállomás fizikai készülékét azonosítja.The mobile equipment identifier, which is a globally unique number that identifies a physical piece of CDMA mobile station equipment. A szám formátumát a 3GPP2 S. R0048 azonosítójú jelentése határozza meg.The number format is defined by the 3GPP2 report S. R0048. Gyakorlatilag úgy tekinthető, mint egy IMEI, amelynek számjegyei hexadecimálisak.However, in practical terms, it can be seen as an IMEI, but with hexadecimal digits. A MEID 56 bit hosszúságú (14 hexadecimális számjegy).An MEID is 56 bits long (14 hex digits). Három mezőből áll: egy 8 bites területi kódból (RR), egy 24 bites gyártói kódból és egy 24 bites gyártói sorozatszámból.It consists of three fields, including an 8-bit regional code (RR), a 24-bit manufacturer code, and a 24-bit manufacturer-assigned serial number.
osVersionosVersion Az eszközön futó operációs rendszer verziószáma.The operating system version for the device.
modellmodel Az eszköz modellje.The device model.
gyártómanufacturer Az eszköz gyártója.The device manufacturer.
azureDeviceIdazureDeviceId Az eszköz azonosítója, amelyet azt követően kap, hogy csatlakozott a munkahelyi Azure AD-hoz.The device ID after it has workplace joined with Azure AD. A nem csatlakoztatott eszközök esetében ez egy üres GUID azonosító.It is an empty GUID for devices that are not joined.
lastContactTimeUtclastContactTimeUtc Az eszköz utolsó, az Intune felügyeleti szolgáltatásba való bejelentkezésének dátuma és időpontja.The date and time when the device last checked in with the Intune management service.

A felhasználói felületetUser experience

Amikor egy felhasználó egy nem regisztrált eszközről próbál meg hozzáférni az erőforrásokhoz, a rendszer egy ehhez hasonló regisztrálási felszólítást jelenít meg:When a user attempts to access resources by using an unenrolled device, they receive a prompt to enroll, such as the one shown here:

Regisztrációs kérés – példa

Ha a felhasználó úgy dönt, hogy regisztrálja az eszközt, a rendszer átirányítja az Intune regisztrációs folyamatához.When a user chooses to enroll, they are redirected to the Intune enrollment process. Az Intune felhasználói regisztrációját az alábbi témakörök ismertetik:The user enrollment experience for Intune is described in these topics:

Emellett a letölthető regisztrációs útmutatóval egyéni útmutatást kaphat a felhasználói élményéhez.There is also a downloadable set of enrollment instructions that you can use to create customized guidance for your user experience.

További információSee also

Cisco Identity Services Engine Felügyeleti útmutató, 2.1-es kiadásCisco Identity Services Engine Administrator Guide, Release 2.1

A termékről a következő oldalon küldhet visszajelzést Intune Feedback