Integrazione del controllo di accesso alla rete (NAC) con IntuneNetwork access control (NAC) integration with Intune

Intune si integra con i partner di controllo di accesso alla rete per consentire alle organizzazioni di proteggere i dati aziendali quando i dispositivi provano ad accedere alle risorse locali.Intune integrates with network access control partners to help organizations secure corporate data when devices try to access on-premises resources.

Protezione delle risorse aziendali con le soluzioni di Intune e NACHow do Intune and NAC solutions help protect your organization resources?

Le soluzioni NAC controllano lo stato di registrazione e conformità del dispositivo con Intune e consentono di prendere decisioni relative al controllo dell'accesso.NAC solutions check the device enrollment and compliance state with Intune to make access control decisions. Se il dispositivo non è registrato oppure è registrato ma non è conforme ai criteri di conformità dei dispositivi Intune, deve essere reindirizzato a Intune per la registrazione e/o per un controllo di conformità.If the device isn't enrolled, or is enrolled and not compliant with Intune device compliance policies, then then device should be redirected to Intune for enrollment and/or for a device compliance check.

EsempioExample

Se il dispositivo è registrato e conforme con Intune, la soluzione NAC dovrebbe consentire al dispositivo di accedere alle risorse aziendali.If the device is enrolled and compliant with Intune, the NAC solution should allow the device access to corporate resources. Ad esempio, agli utenti può essere consentito o negato l'accesso quando provano a usare una connessione WiFi aziendale o risorse VPN.For example, users can be allowed or denied access when trying to access corporate Wi-Fi or VPN resources.

Comportamenti delle funzionalitàFeature behaviors

I dispositivi che stanno eseguendo la sincronizzazione con Intune non possono passare dallo stato Conforme / Non conforme allo stato Not Synched (Non sincronizzato) o Sconosciuto.Devices that are actively syncing to Intune can't move from Compliant / Noncompliant to Not Synched (or Unknown). Lo stato Sconosciuto è riservato ai dispositivi appena registrati dei quali non è ancora stata valutata la conformità.The Unknown state is reserved for newly enrolled devices that haven't been evaluated for compliance yet.

Per i dispositivi a cui viene impedito l'accesso alle risorse, il servizio che blocca l'accesso deve reindirizzare tutti gli utenti al portale di gestione per determinare i motivi per cui il dispositivo è bloccato.For devices that are blocked from access to resources, the blocking service should redirect all users to the management portal to determine why the device is blocked. Se gli utenti visitano questa pagina, viene rivalutata la conformità dei loro dispositivi in modo sincrono.If the users visit this page, their devices are synchronously reevaluated for compliance.

NAC e accesso condizionaleNAC and conditional access

NAC interagisce con l'accesso condizionale per le decisioni relative al controllo di accesso.NAC works with conditional access to provide access control decisions. Per altre informazioni, vedere Modi comuni per usare l'accesso condizionale con Intune.For more information, see Common ways to use conditional access with Intune.

Funzionamento dell'integrazione NACHow the NAC integration works

L'elenco seguente è una panoramica del funzionamento dell'integrazione di NAC con Intune.The following list is an overview on how NAC integration works when integrated with Intune. I primi tre passaggi, da 1 a 3, illustrano il processo di onboarding.The first three steps, 1-3, explain the onboarding process. Dopo aver integrato la soluzione NAC con Intune, seguire i passaggi da 4 a 9 che descrivono l'intera operazione.Once the NAC solution is integrated with Intune, steps 4-9 describe the ongoing operation.

Funzionamento di NAC con Intune

  1. Registrare la soluzione partner NAC con Azure Active Directory (AAD) e concedere le autorizzazioni delegate all'API NAC di Intune.Register the NAC partner solution with Azure Active Directory (AAD), and grant delegated permissions to the Intune NAC API.
  2. Configurare la soluzione partner NAC con le impostazioni appropriate, incluso l'URL di individuazione di Intune.Configure the NAC partner solution with the appropriate settings including the Intune discovery URL.
  3. Configurare la soluzione partner NAC per l'autenticazione del certificato.Configure the NAC partner solution for certificate authentication.
  4. L'utente si connette al punto di accesso WiFi aziendale o esegue una richiesta di connessione VPN.User connects to corporate Wi-Fi access point or makes a VPN connection request.
  5. La soluzione partner NAC inoltra le informazioni sul dispositivo a Intune e chiede a Intune lo stato di conformità e la registrazione del dispositivo.NAC partner solution forwards the device information to Intune, and asks Intune about the device enrollment and compliance state.
  6. Se il dispositivo non è conforme o non è registrato, la soluzione partner NAC indica all'utente di registrare o risolvere la conformità del dispositivo.If the device is not compliant or not enrolled, the NAC partner solution instructs the user to enroll or fix the device compliance.
  7. Il dispositivo prova di nuovo a verificare la conformità e/o lo stato di registrazione.The device attempts to reverify its compliance and/or the enrollment state.
  8. Dopo che il dispositivo è registrato e conforme, la soluzione partner NAC Ottiene lo stato da Intune.Once the device is enrolled and compliant, NAC partner solution gets the state from Intune.
  9. La connessione viene stabilita correttamente e consente al dispositivo di accedere alle risorse aziendali.Connection is successfully established which allows the device access to corporate resources.

Passaggi successiviNext steps