Megosztás a következőn keresztül:

Hálózati hozzáférés-vezérlés (NAC) integrálása az Intune-nal

  • Cikk

Az Intune a hálózati hozzáférés-vezérlési (NAC) partnerekkel integrálva segít a szervezeteknek a vállalati adatok védelmében, amikor az eszközök megpróbálnak hozzáférni a helyszíni erőforrásokhoz.

Megjegyzés:

2021 júliusában megjelent egy új NAC-szolgáltatás (CR szolgáltatás), és számos NAC-partnerünk erre az új szolgáltatásra vált. Bár 2024. március 31-ig meghosszabbítottuk az örökölt NAC-szolgáltatás támogatásának ütemtervét, javasoljuk, hogy a szolgáltatáskimaradás elkerülése érdekében migráljon az új CR szolgáltatásra. Jelenleg az alábbi NAC-partnertermék támogatja az új NAC-szolgáltatást:

  • Extreme Networks ExtremeCloud Site Engine (XIQ-SE) 24.2-es verzió
  • Cisco ISE 3.1 és újabb verziók
  • Citrix Gateway 13.0-84.11 és újabb verziók
  • Citrix Gateway 13.1-12.50 és újabb verziók
  • F5 BIG-IP hozzáférési házirend-kezelő 14.1.5.2 és újabb verziók
  • F5 BIG-IP hozzáférési házirend-kezelő 15.1.7 és újabb verziók
  • F5 BIG-IP hozzáférési házirendkezelő 16.1.3.1 és újabb verziók
  • F5 BIG-IP hozzáférési házirendkezelő 17.0-s és újabb verziók
  • Ivanti Connect Secure 9.1R16 és újabb verziók
  • Aruba ClearPass a Microsoft Intune 6-os vagy újabb bővítménnyel
  • Forescout eyeExtend Microsoft Module v1.0.1 és újabb
  • Portnox Cloud

Ha kérdése van az áttérés hatásával kapcsolatban, forduljon nac-partneréhez. További információt az új megfelelőségi lekérési szolgáltatásról szóló blogbejegyzésünkben talál.

Hogyan segítenek az Intune- és NAC-megoldások a szervezeti erőforrások védelmében?

A NAC-megoldások ellenőrzik az eszközregisztrációt és a megfelelőségi állapotot az Intune-nal a hozzáférés-vezérléssel kapcsolatos döntések meghozatala érdekében. Ha az eszköz nincs regisztrálva, vagy regisztrálva van, és nem felel meg az Intune eszközmegfelelőségi szabályzatainak, akkor az eszközt át kell irányítani az Intune-ba regisztráció vagy eszközmegfelelőségi ellenőrzés céljából.

Példa

Ha az eszköz regisztrálva van, és megfelel az Intune-nak, a NAC-megoldásnak engedélyeznie kell az eszköz számára a vállalati erőforrásokhoz való hozzáférést. A felhasználók például engedélyezhetik vagy megtagadhatják a hozzáférést, amikor vállalati Wi-Fi vagy VPN-erőforrásokhoz próbálnak hozzáférni.

Funkciók viselkedése

Az Intune-ba aktívan szinkronizált eszközök nem tudnak megfelelőnem megfelelőről / Nem szinkronizált (vagy Ismeretlen) állapotra váltani. Az Ismeretlen állapot olyan újonnan regisztrált eszközök számára van fenntartva, amelyeket még nem értékeltek ki a megfelelőség szempontjából.

Az erőforrásokhoz való hozzáféréstől blokkolt eszközök esetében a blokkoló szolgáltatásnak minden felhasználót át kell irányítania a felügyeleti portálra , hogy megállapítsa, miért van letiltva az eszköz. Ha a felhasználók felkeresik ezt a lapot, az eszközeik szinkron módon újraértékelik a megfelelőséget.

NAC és feltételes hozzáférés

A NAC a feltételes hozzáféréssel együttműködve biztosítja a hozzáférés-vezérléssel kapcsolatos döntéseket. További információ: A feltételes hozzáférés használatának gyakori módjai az Intune-nal.

Az NAC-integráció működése

Az alábbi lista áttekintést nyújt a NAC-integráció működéséről az Intune-nal való integráció során. Az első három lépés, az 1–3. lépés ismerteti az előkészítési folyamatot. Miután a NAC-megoldás integrálva van az Intune-nal, a 4–9. lépés ismerteti a folyamatban lévő műveletet.

Fogalmi kép a NAC és az Intune közötti működésről

  1. Regisztrálja az NAC-partnermegoldást a Microsoft Entra-azonosítóval, és adjon delegált engedélyeket az Intune NAC API-nak.
  2. Konfigurálja a NAC-partnermegoldást a megfelelő beállításokkal, beleértve az Intune felderítési URL-címét is.
  3. Konfigurálja az NAC-partnermegoldást a tanúsítványhitelesítéshez.
  4. A felhasználó vállalati Wi-Fi hozzáférési ponthoz csatlakozik, vagy VPN-kapcsolati kérelmet küld.
  5. A NAC-partnermegoldás továbbítja az eszközadatokat az Intune-nak, és megkérdezi az Intune-t az eszközregisztrációról és a megfelelőségi állapotról.
  6. Ha az eszköz nem megfelelő vagy nincs regisztrálva, az NAC-partnermegoldás arra utasítja a felhasználót, hogy regisztrálja vagy javítsa ki az eszköz megfelelőségét.
  7. Az eszköz megpróbálja érvényesíteni a megfelelőségi és regisztrációs állapotát.
  8. Az eszköz regisztrálása és megfelelősége után a NAC-partnermegoldás lekéri az állapotot az Intune-ból.
  9. A kapcsolat sikeresen létrejött, amely lehetővé teszi az eszköz számára a vállalati erőforrásokhoz való hozzáférést.

Megjegyzés:

A NAC-partnermegoldások általában két különböző típusú lekérdezést tesznek elérhetővé az Intune-nak az eszközmegfelelési állapotra vonatkozó kérdésekhez:

  • Lekérdezések szűrése egyetlen eszköz ismert tulajdonságértéke alapján, például az IMEI- vagy Wi-Fi MAC-címe alapján
  • Széles körű, szűretlen lekérdezések minden nem megfelelő eszközhöz.

A NAC-megoldások tetszőleges számú eszközspecifikus lekérdezést hajthatnak létre. A széles körű szűretlen lekérdezések azonban szabályozhatók. A NAC-megoldást úgy kell konfigurálni, hogy legfeljebb négy óránként küldje el az összes nem megfelelő eszközre vonatkozó lekérdezést. A gyakrabban végrehajtott lekérdezések http 503-at kapnak az Intune szolgáltatástól.

NAC engedélyezése

A NAC és a 2021 júliusában elérhetővé vált megfelelőségi lekérési szolgáltatás használatának engedélyezéséhez tekintse meg a NAC-termék legfrissebb dokumentációját az NAC Intune-nal való integrációjának engedélyezéséhez. Ez az integráció szükségessé teheti, hogy módosításokat hajtson végre az új NAC-termékre vagy -verzióra való frissítés után.

A megfelelőségi lekérési szolgáltatáshoz tanúsítványalapú hitelesítésre és az Intune-eszközazonosító használatára van szükség a tanúsítványok tulajdonos alternatív neveként. Az Egyszerű tanúsítványigénylési protokoll (SCEP) és a privát és nyilvánoskulcs-párok (PKCS) tanúsítványaihoz hozzáadhat egy URI típusú attribútumot az NAC-szolgáltató által meghatározott értékkel. Előfordulhat például, hogy a NAC-szolgáltató utasításai a Tulajdonos alternatív neveként szerepeljenekIntuneDeviceId://{{DeviceID}}.

Más NAC-termékekhez szükség lehet egy eszközazonosítóra, ha iOS VPN-profilokkal használja az NAC-t.

Megjegyzés:

Mostantól támogatjuk a Mac-címeken alapuló eszközök lekérdezését azon ügyfelek számára, akik nem tudják használni a tanúsítványalapú hitelesítést. Javasoljuk azonban, hogy lehetőség szerint használjon tanúsítványalapú hitelesítést az Intune-eszközazonosítóval.

További információ a tanúsítványprofilokról: SCEP-tanúsítványprofilok használata a Microsoft Intune-nal és PKCS-tanúsítványprofil használata eszközök tanúsítványokkal való kiépítéséhez a Microsoft Intune-ban

NAC-partnerekkel megosztott adatok

Az NAC-partnerekkel megosztott eszköztulajdonságok az NAC-termék által használt NAC API verziójától függenek. A NAC-termék által használt NAC-verzióval vagy megfelelőségi lekérési API-val kapcsolatos további információkért forduljon a NAC-partnerhez.

Emellett a visszaadott adatok korlátozottak lesznek, ha:

  • Az eszköz nincs regisztrálva az Intune-ban. Ebben az esetben az eszköz nem az Intune által felügyelt adatai lesznek megosztva az NAC-termékkel.
  • Az operációs rendszer megakadályozza, hogy az adott eszköztulajdonság meg legyen osztva a Microsofttal. Az Intune az operációs rendszer által az Intune-nal nem megosztott adattulajdonságok esetében üres értékeket oszt meg az NAC-termékkel.
Eszköztulajdonság Elérhető az NAC 1.0-ban Elérhető az NAC 1.1-ben Elérhető az NAC 1.3-ban Elérhető a Megfelelőség lekérése/NAC 2.0-ban
Megfelelőségi állapot Igen Igen Igen Igen
Kezeli az Intune Igen Igen Igen Igen
Személyes vagy vállalati tulajdon Nem Igen Igen Nem
MAC-cím Igen Igen Igen Igen
Sorszám Igen Igen Igen Nem
IMEI Igen Igen Igen Nem
UDID Igen Igen Igen Nem
MEID Igen Igen Igen Nem
Operációs rendszer verziója Igen Igen Igen Nem
Eszközmodell Igen Igen Igen Nem
Gyártó Igen Igen Igen Nem
Microsoft Entra eszközazonosító Igen Igen Igen Nem
Utolsó kapcsolatfelvétel időpontja az Intune-nal Igen Igen Igen Nem
Intune-eszközazonosító Nem Nem Nem Igen

Következő lépések