Korzystanie z platformy Cisco ISE razem z usługą IntuneUsing Cisco ISE with Microsoft Intune

Dotyczy: usługa Intune w konsoli klasycznejApplies to: Intune in the classic console
Szukasz dokumentacji dotyczącej usługi Intune na platformie Azure?Looking for documentation about Intune on Azure? Przejdź tutaj.Go here.

Integracja usługi Intune z platformą Cisco ISE (Identity Services Engine) umożliwia tworzenie zasad sieciowych w środowisku platformy ISE przy użyciu rejestracji urządzeń i stanu ich zgodności w usłudze Intune.Intune integration with Cisco Identity Services Engine (ISE) allows you to author network policies in your ISE environment by using the Intune device-enrollment and compliance state. Te zasady mogą służyć do zagwarantowania, że dostęp do sieci firmowej jest ograniczony do urządzeń, które są zarządzane przez usługę Intune i zgodne z zasadami usługi Intune.You can use these policies to ensure that access to your company network is restricted to devices that are managed by Intune and compliant with Intune policies.

Kroki konfiguracjiConfiguration steps

Aby włączyć tę integrację, nie trzeba wykonywać żadnej konfiguracji w dzierżawie usługi Intune.To enable this integration, you don’t need to do any setup in your Intune tenant. Będzie konieczne udostępnienie uprawnień serwerowi platformy Cisco ISE, aby miał dostęp do dzierżawy usługi Intune.You will need to provide permissions to your Cisco ISE server to access your Intune tenant. Gdy zostanie to zrobione, pozostała konfiguracja zostanie wykonana na serwerze Cisco ISE.After that's done, the rest of the setup happens in your Cisco ISE server. Ten artykuł zawiera instrukcje dotyczące zapewniania serwerowi platformy ISE uprawnień dostępu do danej dzierżawy usługi Intune.This article gives you instructions on providing your ISE server with permissions to access your Intune tenant.

Krok 1. Zarządzanie certyfikatamiStep 1: Manage the certificates

Wyeksportuj certyfikat z konsoli usługi Azure Active Directory (Azure AD), a następnie zaimportuj go do magazynu zaufanych certyfikatów konsoli ISE:Export the certificate from the Azure Active Directory (Azure AD) console, then import it into the Trusted Certificates store of the ISE console:

Internet Explorer 11Internet Explorer 11

a.a. Uruchom program Internet Explorer jako administrator i zaloguj się do konsoli usługi Azure AD.Run Internet Explorer as an administrator, and sign in to the Azure AD console.

b.b. Wybierz ikonę blokady na pasku adresu i wybierz polecenie Wyświetl certyfikaty.Choose the lock icon in the address bar and choose View certificates.

c.c. Na karcie Szczegóły właściwości certyfikatu wybierz pozycję Kopiuj do pliku.On the Details tab of the certificate properties, choose Copy to file.

d.d. Na stronie powitalnej Kreatora eksportu certyfikatów wybierz polecenie Dalej.In the Certificate export wizard welcome page, choose Next.

e.e. Na stronie Format pliku eksportu pozostaw domyślną wartość domyślną Certyfikat X.509 szyfrowany binarnie algorytmem DER (.CER), a następnie wybierz polecenie Dalej.On the Export file format page, leave the default, DER encoded binary x.509 (.CER), and choose Next.

f.f. Na stronie Plik do eksportu wybierz pozycję Przeglądaj, wskaż lokalizację, w której ma zostać zapisany plik, a następnie podaj nazwę pliku.On the File to export page, choose Browse to pick a location in which to save the file, and provide a file name. Chociaż wydaje się, że wybierasz plik do wyeksportowania, w rzeczywistości nadajesz nazwę plikowi, w którym zostanie zapisany wyeksportowany certyfikat.Though it seems like you’re picking a file to export, you’re actually naming the file that the exported certificate will be saved to. Wybierz pozycje Dalej > Zakończ.Choose Next > Finish.

g.g. Z poziomu konsoli ISE zaimportuj certyfikat usługi Intune (wyeksportowany plik) do magazynu zaufanych certyfikatów.From within the ISE console, import the Intune certificate (the file you exported) into the Trusted Certificates store.

SafariSafari

a.a. Zaloguj się do konsoli usługi Azure AD.Sign in to the Azure AD console.

b.b. Wybierz ikonę blokady > Więcej informacji o.Choose the lock icon > More information.

c.c. Wybierz pozycje Wyświetl certyfikat > Szczegóły.Choose View certificate > Details.

d.d. Wybierz certyfikat, a następnie wybierz pozycję Eksportuj.Choose the certificate, and then choose Export.

e.e. Z poziomu konsoli ISE zaimportuj certyfikat usługi Intune (wyeksportowany plik) do magazynu zaufanych certyfikatów.From within the ISE console, import the Intune certificate (the file you exported) into the Trusted Certificates store.

Ważne

Sprawdź datę wygaśnięcia certyfikatu, ponieważ po jej upłynięciu trzeba będzie wyeksportować i zaimportować nowy certyfikat.Check the expiration date of the certificate, as you will have to export and import a new certificate when this one expires.

Uzyskiwanie certyfikatu z podpisem własnym ze środowiska ISEObtain a self-signed cert from ISE

  1. W konsoli ISE przejdź do pozycji Administracja > Certyfikaty > Certyfikaty systemowe > Generuj certyfikat z podpisem własnym.In the ISE console, go to Administration > Certificates > System Certificates > Generate Self Signed Certificate.
  2. Wyeksportuj certyfikat z podpisem własnym.Export the self-signed certificate.
  3. W edytorze tekstu przeprowadź edycję wyeksportowanego certyfikatu:In a text editor, edit the exported certificate:

    • Usuń ciąg -----BEGIN CERTIFICATE-----Delete -----BEGIN CERTIFICATE-----
    • Usuń ciąg -----END CERTIFICATE-----Delete -----END CERTIFICATE-----

Upewnij się, że cały tekst jest jednym wierszuEnsure all of the text is a single line

Krok 2. Tworzenie aplikacji dla środowiska ISE w dzierżawie usługi Azure ADStep 2: Create an app for ISE in your Azure AD tenant

  1. W konsoli usługi Azure AD wybierz pozycję Aplikacje > Dodawanie aplikacji > Dodaj aplikację opracowywaną przez moją organizację.In the Azure AD console, choose Applications > Add an Application > Add an application my organization is developing.
  2. Określ nazwę i adres URL aplikacji.Provide a name and a URL for the app. Może to być adres URL witryny internetowej firmy.The URL could be your company website.
  3. Pobierz manifest aplikacji (plik JSON).Download the app manifest (a JSON file).
  4. Edytuj plik JSON manifestu.Edit the manifest JSON file. W ustawieniu o nazwie keyCredentials podaj edytowany tekst certyfikatu z kroku 1 jako wartość ustawienia.In the setting called keyCredentials, provide the edited certificate text from Step 1 as the setting value.
  5. Zapisz plik bez zmieniania jego nazwy.Save the file without changing its name.
  6. Udostępnij aplikacji uprawnienia do programu Microsoft Graph i interfejsu API usługi Microsoft Intune.Provide your app with permissions to Microsoft Graph and the Microsoft Intune API.

    a.a. W przypadku programu Microsoft Graph wybierz następujące uprawnienia:For Microsoft Graph, choose the following:

    • Uprawnienia aplikacji: Odczytuj dane kataloguApplication permissions: Read directory data
    • Delegowane uprawnienia:Delegated permissions:
      • Uzyskuj dostęp do danych użytkowników w dowolnym czasieAccess user’s data anytime
      • Loguj użytkownikówSign users in

    b.b. W przypadku interfejsu API usługi Microsoft Intune w obszarze Uprawnienia aplikacji wybierz pozycję Pobieraj stan i zgodność urządzenia z usługi Intune.For the Microsoft Intune API, in Application permissions, choose Get device state and compliance from Intune.

  7. Wybierz pozycję Wyświetl punkty końcowe i skopiuj następujące wartości do użycia podczas konfigurowania ustawień platformy ISE:Choose View Endpoints and copy the following values for use in configuring ISE settings:

Wartość w portalu usługi Azure ADValue in Azure AD portal Odpowiednie pole w portalu platformy ISECorresponding field in ISE portal
Punkt końcowy interfejsu API Microsoft Azure AD GraphMicrosoft Azure AD Graph API endpoint Auto Discovery URL (Adres URL autowykrywania)Auto Discovery URL
Punkt końcowy tokenu OAuth 2.0Oauth 2.0 Token endpoint Token Issuing URL (Adres URL wystawiania tokenów)Token Issuing URL
Aktualizowanie kodu przy użyciu identyfikatora klientaUpdate your code with your Client ID Identyfikator klientaClient ID

Krok 4. Przekazywanie certyfikatu z podpisem własnym ze środowiska ISE do aplikacji ISE utworzonej w usłudze Azure ADStep 4: Upload the self-signed certificate from ISE into the ISE app you created in Azure AD

  1. Pobierz wartość certyfikatu i odcisk palca zakodowane w standardzie base64 z pliku cer certyfikatu publicznego X509.Get the base64 encoded cert value and thumbprint from a .cer X509 public cert file. W tym przykładzie zastosowano program PowerShell:This example uses PowerShell:
  <span data-ttu-id="29bff-178">$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2    $cer.Import(“mycer.cer”)    $bin = $cer.GetRawCertData()    $base64Value = [System.Convert]::ToBase64String($bin)    $bin = $cer.GetCertHash()    $base64Thumbprint = [System.Convert]::ToBase64String($bin)    $keyid = [System.Guid]::NewGuid().ToString()</span><span class="sxs-lookup"><span data-stu-id="29bff-178">$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2    $cer.Import(“mycer.cer”)    $bin = $cer.GetRawCertData()    $base64Value = [System.Convert]::ToBase64String($bin)    $bin = $cer.GetCertHash()    $base64Thumbprint = [System.Convert]::ToBase64String($bin)    $keyid = [System.Guid]::NewGuid().ToString()</span></span>

<span data-ttu-id="29bff-179">Zachowaj wartości $base64Thumbprint, $base64Value i $keyid do użycia w następnym kroku.</span><span class="sxs-lookup"><span data-stu-id="29bff-179">Store the values for $base64Thumbprint, $base64Value and $keyid, to be used in the next step.</span></span>
  1. Przekaż certyfikat za pomocą pliku manifestu.Upload the certificate through the manifest file. Zaloguj się do portalu zarządzania platformy AzureLog in to the Azure Management Portal
  2. W przystawce usługi Azure AD znajdź aplikację, którą chcesz skonfigurować przy użyciu certyfikatu X.509.In to the Azure AD snap-in find the application that you want to configure with an X.509 certificate.
  3. Pobierz plik manifestu aplikacji.Download the application manifest file.
  4. Zastąp pustą właściwość "KeyCredentials": [], następującym kodem JSON.Replace the empty “KeyCredentials”: [], property with the following JSON. Typ złożony KeyCredentials opisano w artykule Entity and complex type reference (Dokumentacja jednostek i typów złożonych).The KeyCredentials complex type is documented inEntity and complex type reference.
<span data-ttu-id="29bff-186">“keyCredentials“: [ { “customKeyIdentifier“: “$base64Thumbprint_from_above”, “keyId“: “$keyid_from_above“, “type”: “AsymmetricX509Cert”, “usage”: “Verify”, “value”:  “$base64Value_from_above” }2.</span><span class="sxs-lookup"><span data-stu-id="29bff-186">“keyCredentials“: [ { “customKeyIdentifier“: “$base64Thumbprint_from_above”, “keyId“: “$keyid_from_above“, “type”: “AsymmetricX509Cert”, “usage”: “Verify”, “value”:  “$base64Value_from_above” }2.</span></span> 
 <span data-ttu-id="29bff-187">],</span><span class="sxs-lookup"><span data-stu-id="29bff-187">],</span></span> 

Na przykład:For example:

“keyCredentials“: [
{
“customKeyIdentifier“: “ieF43L8nkyw/PEHjWvj+PkWebXk=”,
“keyId“: “2d6d849e-3e9e-46cd-b5ed-0f9e30d078cc”,
“type”: “AsymmetricX509Cert”,
“usage”: “Verify”,
“value”: “MIICWjCCAgSgAwIBA***omitted for brevity***qoD4dmgJqZmXDfFyQ”
}
],
  1. Zapisz zmianę w pliku manifestu aplikacji.Save the change to the application manifest file.
  2. Przekaż edytowany plik manifestu aplikacji za pomocą portalu zarządzania platformy Azure.Upload the edited application manifest file through the Azure management mortal.
  3. Opcjonalnie: pobierz manifest ponownie, aby sprawdzić, czy certyfikat X.509 jest obecny w aplikacji.Optional: Download the manifest again, to check that your X.509 cert is present on the application.
Uwaga

KeyCredentials to kolekcja, więc można przekazać wiele certyfikatów X.509 w scenariuszach przerzucania lub usunąć certyfikaty w scenariuszach naruszenia zabezpieczeń.KeyCredentials is a collection, so you can upload multiple X.509 certificates for rollover scenarios, or delete certficates in compromise scenarios.

Krok 4. Konfigurowanie ustawień środowiska ISEStep 4: Configure ISE Settings

W konsoli administracyjnej platformy ISE podaj wartości tych ustawień:In the ISE admin console, provide these setting values:

  • Server Type (Typ serwera): Mobile Device ManagerServer Type: Mobile Device Manager
  • Authentication type (Typ uwierzytelniania): OAuth – Client Credentials (OAuth — poświadczenia klienta)Authentication type: OAuth – Client Credentials
  • Auto Discovery (Autowykrywanie): Yes (Tak)Auto Discovery: Yes
  • Auto Discover URL (Adres URL autowykrywania): wprowadź wartość z kroku 1Auto Discover URL: Enter the value from Step 1.
  • Client ID (Identyfikator klienta): wprowadź wartość z kroku 1Client ID: Enter the value from Step 1.
  • Token issuing URL (Adres URL wystawiania tokenów): wprowadź wartość z kroku 1Token issuing URL: Enter the value from Step 1.

Informacje współużytkowane przez dzierżawę usługi Intune i serwer Cisco ISEInformation shared between your Intune tenant and your Cisco ISE server

Ta tabela zawiera informacje współużytkowane przez dzierżawę usługi Intune i serwer Cisco ISE dla urządzeń zarządzanych przez usługę Intune.This table lists the information that is shared between your Intune tenant and your Cisco ISE server for devices that are managed by Intune.

WłaściwośćProperty OpisDescription
complianceStatecomplianceState Wartość true lub false (ciąg) wskazująca, czy urządzenie jest zgodne, czy niezgodne.The true or false string that indicates whether the device is compliant or noncompliant.
isManagedisManaged Wartość true lub false wskazująca, czy klient jest zarządzany przez usługę Intune, czy nie.The true or false string that indicates whether the client is managed by Intune or not.
macAddressmacAddress Adres MAC urządzenia.The MAC address of the device.
serialNumberserialNumber Numer seryjny urządzenia.The serial number of the device. Dotyczy tylko urządzeń z systemem iOS.It applies only to iOS devices.
imeiimei Numer IMEI (15 cyfr dziesiętnych: 14 cyfr i cyfra kontrolna) lub numer IMEISV (16 cyfr) zawiera informacje o pochodzeniu, modelu i numerze seryjnym urządzenia.The IMEI (15 decimal digits: 14 digits plus a check digit) or IMEISV (16 digits) number includes information on the origin, model, and serial number of the device. Struktura tych numerów jest określona w specyfikacji 3GPP TS 23.003.The structure of this number is specified in 3GPP TS 23.003. Dotyczy to tylko urządzeń z kartami SIM.It applies only to devices with SIM cards.
udidudid Unikatowy identyfikator urządzenia będący sekwencją 40 liter i cyfr.The Unique Device Identifier, which is a sequence of 40 letters and numbers. Jest on specyficzny dla urządzeń z systemem iOS.It is specific to iOS devices.
meidmeid Identyfikator sprzętu przenośnego będący globalnie unikatowym numerem identyfikującym fizyczny element sprzętu przenośnego stacji sieci CDMA.The mobile equipment identifier, which is a globally unique number that identifies a physical piece of CDMA mobile station equipment. Format liczbowy jest zdefiniowany w raporcie 3GPP2 S. R0048.The number format is defined by the 3GPP2 report S. R0048. W praktyce może być uznawany za numer IMEI, ale z cyframi szesnastkowymi.However, in practical terms, it can be seen as an IMEI, but with hexadecimal digits. Numer MEID ma długość 56 bitów (14 cyfr szesnastkowych).An MEID is 56 bits long (14 hex digits). Składa się z trzech pól, w tym 8-bitowego kodu regionu (RR), 24-bitowego kodu producenta i 24-bitowego numeru seryjnego przypisanego przez producenta.It consists of three fields, including an 8-bit regional code (RR), a 24-bit manufacturer code, and a 24-bit manufacturer-assigned serial number.
osVersionosVersion Wersja systemu operacyjnego urządzenia.The operating system version for the device.
modelmodel Model urządzenia.The device model.
manufacturermanufacturer Producent urządzenia.The device manufacturer.
azureDeviceIdazureDeviceId Identyfikator urządzenia po dołączeniu go w miejscu pracy za pomocą usługi Azure AD.The device ID after it has workplace joined with Azure AD. Pusty identyfikator GUID dla urządzeń, które nie są dołączone.It is an empty GUID for devices that are not joined.
lastContactTimeUtclastContactTimeUtc Data i godzina ostatniego zaewidencjonowania urządzenia w usłudze zarządzania usługi Intune.The date and time when the device last checked in with the Intune management service.

Środowisko użytkownikaUser experience

Gdy użytkownik próbuje uzyskać dostęp do zasobów przy użyciu niezarejestrowanego urządzenia, otrzymuje monit o rejestrację podobny do pokazanego poniżej:When a user attempts to access resources by using an unenrolled device, they receive a prompt to enroll, such as the one shown here:

Przykład monitu o rejestrację

Jeśli użytkownik zdecyduje się na rejestrację, zostanie przekierowany do procesu rejestracji w usłudze Intune.When a user chooses to enroll, they are redirected to the Intune enrollment process. Obsługa rejestracji użytkownika w usłudze Intune zostało opisane w tych tematach:The user enrollment experience for Intune is described in these topics:

Istnieje również dostępny do pobrania zestaw instrukcji dotyczących rejestracji, za pomocą którego można utworzyć dostosowane wskazówki na potrzeby środowiska użytkowników.There is also a downloadable set of enrollment instructions that you can use to create customized guidance for your user experience.

Zobacz takżeSee also

Cisco Identity Services Engine Administrator Guide, wersja 2.1Cisco Identity Services Engine Administrator Guide, Release 2.1

Aby przesłać opinię na temat produktu, przejdź na stronę Intune Feedback