Integratie van netwerktoegangsbeheer (NAC) met Intune
Intune integreert met NAC-partners (Network Access Control) om organisaties te helpen bedrijfsgegevens te beveiligen wanneer apparaten toegang proberen te krijgen tot on-premises resources.
Opmerking
In juli 2021 is een nieuwe NAC-service (CR-service) uitgebracht en veel van onze NAC-partners stappen over op deze nieuwe service. Hoewel we de tijdlijn voor de ondersteuning van de verouderde NAC-service tot en met 31 maart 2024 hebben verlengd, raden we u aan om te migreren naar de nieuwe CR-service om serviceonderbreking te voorkomen. Momenteel ondersteunt het volgende NAC-partnerproduct de nieuwe NAC-service:
- Cisco ISE 3.1 en hoger
- Citrix Gateway 13.0-84.11 en hoger
- Citrix Gateway 13.1-12.50 en hoger
- F5 BIG-IP Access Policy Manager 14.1.5.2 en hoger
- F5 BIG-IP Access Policy Manager 15.1.7 en hoger
- F5 BIG-IP Access Policy Manager 16.1.3.1 en hoger
- F5 BIG-IP Access Policy Manager 17.0 en hoger
- Ivanti Connect Secure 9.1R16 en hoger
- Aruba ClearPass met Microsoft Intune Extension v6 en hoger
- Forescout eyeExtend Microsoft Module v1.0.1 en hoger
- Portnox Cloud
Neem contact op met uw NAC-partner als u vragen hebt over de impact van deze overgang. Zie ons blogbericht over de nieuwe service voor het ophalen van naleving voor meer informatie.
Hoe kunnen Intune- en NAC-oplossingen uw organisatieresources beschermen?
NAC-oplossingen controleren de apparaatinschrijving en nalevingsstatus met Intune om beslissingen over toegangsbeheer te nemen. Als het apparaat niet is ingeschreven of is ingeschreven en niet voldoet aan het Intune-nalevingsbeleid voor apparaten, moet het apparaat worden omgeleid naar Intune voor inschrijving of voor een nalevingscontrole van het apparaat.
Voorbeeld
Als het apparaat is ingeschreven en voldoet aan Intune, moet de NAC-oplossing het apparaat toegang geven tot bedrijfsresources. Gebruikers kunnen bijvoorbeeld de toegang worden toegestaan of geweigerd wanneer ze toegang proberen te krijgen tot zakelijke Wi-Fi- of VPN-resources.
Gedrag van functies
Apparaten die actief worden gesynchroniseerd met Intune, kunnen niet worden verplaatst van Compatibel / niet-compatibel naar Niet gesynchroniseerd (of Onbekend). De status Onbekend is gereserveerd voor nieuw ingeschreven apparaten die nog niet zijn geëvalueerd op naleving.
Voor apparaten die geen toegang hebben tot resources, moet de blokkerende service alle gebruikers omleiden naar de beheerportal om te bepalen waarom het apparaat wordt geblokkeerd. Als de gebruikers deze pagina bezoeken, worden hun apparaten synchroon opnieuw geëvalueerd voor naleving.
NAC en voorwaardelijke toegang
NAC werkt met voorwaardelijke toegang om beslissingen over toegangsbeheer te bieden. Zie Algemene manieren om voorwaardelijke toegang met Intune te gebruiken voor meer informatie.
Hoe de NAC-integratie werkt
De volgende lijst bevat een overzicht van hoe NAC-integratie werkt wanneer deze wordt geïntegreerd met Intune. In de eerste drie stappen, 1-3, wordt het onboardingproces uitgelegd. Zodra de NAC-oplossing is geïntegreerd met Intune, wordt in stap 4-9 de lopende bewerking beschreven.
- Registreer de NAC-partneroplossing met Microsoft Entra-id en verdeel gedelegeerde machtigingen aan de Intune NAC-API.
- Configureer de NAC-partneroplossing met de juiste instellingen, waaronder de Intune-detectie-URL.
- Configureer de NAC-partneroplossing voor certificaatverificatie.
- De gebruiker maakt verbinding met het zakelijke Wi-Fi-toegangspunt of doet een AANVRAAG voor een VPN-verbinding.
- De NAC-partneroplossing stuurt de apparaatgegevens door naar Intune en vraagt Intune naar de apparaatinschrijving en nalevingsstatus.
- Als het apparaat niet compatibel is of niet is ingeschreven, geeft de NAC-partneroplossing de gebruiker de opdracht om de apparaatcompatibiliteit in te schrijven of te herstellen.
- Het apparaat probeert de nalevings- en inschrijvingsstatus opnieuw te controleren, indien van toepassing.
- Zodra het apparaat is ingeschreven en compatibel is, haalt de NAC-partneroplossing de status op van Intune.
- De verbinding is tot stand gebracht, waardoor het apparaat toegang heeft tot bedrijfsresources.
Opmerking
NAC-partneroplossingen maken doorgaans twee verschillende typen query's naar Intune om te vragen over de nalevingsstatus van het apparaat:
- Query's filteren op basis van een bekende eigenschapswaarde van één apparaat, zoals het IMEI- of Wi-Fi MAC-adres
- Brede, niet-gefilterde query's voor alle niet-compatibele apparaten.
NAC Solutions mag zoveel van de apparaatspecifieke query's maken als nodig is. De brede niet-gefilterde query's kunnen echter worden beperkt. De NAC-oplossing moet worden geconfigureerd om alleen de query's van alle niet-compatibele apparaten te verzenden, maximaal één keer per vier uur. Query's die vaker worden uitgevoerd, ontvangen een http 503-fout van de Intune-service.
NAC inschakelen
Als u het gebruik van NAC en de service voor het ophalen van naleving wilt inschakelen die in juli 2021 beschikbaar is geworden, raadpleegt u de meest recente documentatie van uw NAC-product voor het inschakelen van NAC-integratie met Intune. Voor deze integratie moet u mogelijk wijzigingen aanbrengen nadat u een upgrade naar hun nieuwe NAC-product of -versie hebt uitgevoerd.
De service voor het ophalen van naleving vereist verificatie op basis van certificaten en het gebruik van de Intune-apparaat-id als de alternatieve onderwerpnaam van de certificaten. Voor SCEP-certificaten (Simple Certificate Enrollment Protocol) en PKCS-certificaten (Private and Public Key Pair) kunt u een kenmerk van het URI-type toevoegen met een waarde die is gedefinieerd door uw NAC-provider. De instructies van uw NAC-provider kunnen bijvoorbeeld aangeven dat u als alternatieve onderwerpnaam moet opnemenIntuneDeviceId://{{DeviceID}}
.
Voor andere NAC-producten moet u mogelijk een apparaat-id opnemen wanneer u NAC gebruikt met iOS VPN-profielen.
Opmerking
We hebben nu ondersteuning toegevoegd voor het opvragen van apparaten op basis van Mac-adressen voor klanten die geen verificatie op basis van certificaten kunnen gebruiken. We raden u echter aan om waar mogelijk verificatie op basis van certificaten te gebruiken met de Intune-apparaat-id.
Zie SCEP-certificaatprofielen gebruiken met Microsoft Intune en Een PKCS-certificaatprofiel gebruiken om apparaten in te richten met certificaten in Microsoft Intune
Gegevens die worden gedeeld met NAC-partners
De specifieke apparaateigenschappen die worden gedeeld met NAC-partners, zijn afhankelijk van de versie van de NAC-API die het NAC-product gebruikt. Neem contact op met uw NAC-partner voor meer informatie over welke versie van de NAC- of Compliance Retrieval-API uw NAC-product gebruikt.
De geretourneerde gegevens worden ook beperkt als:
- Het apparaat is niet ingeschreven bij Intune. In dit geval wordt geen andere informatie gedeeld dan dat het apparaat niet wordt beheerd door Intune met het NAC-product.
- Het besturingssysteem voorkomt dat de specifieke apparaateigenschap wordt gedeeld met Microsoft. Intune deelt lege waarden terug naar het NAC-product voor gegevenseigenschappen die niet door het besturingssysteem met Intune worden gedeeld.
Apparaateigenschap | Beschikbaar in NAC 1.0 | Beschikbaar in NAC 1.1 | Beschikbaar in NAC 1.3 | Beschikbaar in Naleving ophalen/NAC 2.0 |
---|---|---|---|---|
Nalevingsstatus | Ja | Ja | Ja | Ja |
Beheerd door Intune | Ja | Ja | Ja | Ja |
Persoonlijk of zakelijk eigendom | Nee | Ja | Ja | Nee |
MAC-adres | Ja | Ja | Ja | Ja |
Serienummer | Ja | Ja | Ja | Nee |
IMEI | Ja | Ja | Ja | Nee |
UDID | Ja | Ja | Ja | Nee |
MEID | Ja | Ja | Ja | Nee |
Versie van besturingssysteem | Ja | Ja | Ja | Nee |
Apparaatmodel | Ja | Ja | Ja | Nee |
Fabrikant | Ja | Ja | Ja | Nee |
Microsoft Entra apparaat-id | Ja | Ja | Ja | Nee |
Tijdstip van laatste contact met Intune | Ja | Ja | Ja | Nee |
Intune-apparaat-id | Nee | Nee | Nee | Ja |
Volgende stappen
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor