Integração de NAC (controle de acesso de rede) com o IntuneNetwork access control (NAC) integration with Intune

Esta página é útil?

O Intune se integra com os parceiros de controle de acesso de rede para ajudar as organizações a proteger dados corporativos quando os dispositivos tentam acessar os recursos locais.Intune integrates with network access control partners to help organizations secure corporate data when devices try to access on-premises resources.

Como soluções do Intune e de NAC ajudam a proteger os recursos de sua organização?How do Intune and NAC solutions help protect your organization resources?

Soluções NAC verificam o registro do dispositivo e o estado de conformidade com o Intune para tomar decisões de controle de acesso.NAC solutions check the device enrollment and compliance state with Intune to make access control decisions. Se o dispositivo não estiver registrado ou se estiver registrado e não estiver em conformidade com as políticas de conformidade do dispositivo do Intune, ele deverá ser redirecionado para o Intune para registro ou verificação de conformidade do dispositivo.If the device isn't enrolled, or is enrolled and not compliant with Intune device compliance policies, then the device should be redirected to Intune for enrollment, or for a device compliance check.

ExemploExample

Se o dispositivo for registrado e estiver em conformidade com o Intune, a solução NAC deverá permitir que o dispositivo acesse os recursos corporativos.If the device is enrolled and compliant with Intune, the NAC solution should allow the device access to corporate resources. Por exemplo, o acesso dos usuários pode ser permitido ou negado ao tentar acessar os recursos de VPN ou Wi-Fi corporativo.For example, users can be allowed or denied access when trying to access corporate Wi-Fi or VPN resources.

Comportamentos do recursoFeature behaviors

Dispositivos que estão realizando sincronizações ativamente com o Intune não podem mudar de Em conformidade / Não em conformidade para Não Sincronizado (ou Desconhecido).Devices that are actively syncing to Intune can't move from Compliant / Noncompliant to Not Synched (or Unknown). O estado Desconhecido é reservado para dispositivos recém-registrados que ainda não foram avaliados quanto à conformidade.The Unknown state is reserved for newly enrolled devices that haven't been evaluated for compliance yet.

Para dispositivos com acesso bloqueado aos recursos, o serviço responsável pelo bloqueio deve redirecionar todos os usuários para o portal de gerenciamento a fim de determinar por que o dispositivo está bloqueado.For devices that are blocked from access to resources, the blocking service should redirect all users to the management portal to determine why the device is blocked. Se os usuários visitarem essa página, seus dispositivos serão reavaliados sincronicamente para fins de conformidade.If the users visit this page, their devices are synchronously reevaluated for compliance.

NAC e Acesso CondicionalNAC and Conditional Access

O NAC trabalha junto com o Acesso Condicional para fornecer decisões de controle de acesso.NAC works with Conditional Access to provide access control decisions. Para obter mais detalhes, confira Maneiras comuns de usar o Acesso Condicional com o Intune.For more information, see Common ways to use Conditional Access with Intune.

Como funciona a integração de NACHow the NAC integration works

A lista a seguir é uma visão geral sobre como funciona a integração de NAC quando integrada ao Intune.The following list is an overview on how NAC integration works when integrated with Intune. As três primeiras etapas, 1 a 3, explicam o processo de integração.The first three steps, 1-3, explain the onboarding process. Depois que a solução de NAC estiver integrada ao Intune, as etapas 4 a 9 descrevem a operação em andamento.Once the NAC solution is integrated with Intune, steps 4-9 describe the ongoing operation.

Imagem conceitual de como o NAC funciona com o Intune

  1. Registre a solução de parceiro NAC com o AAD (Azure Active Directory) e conceda permissões delegadas para a API de NAC do Intune.Register the NAC partner solution with Azure Active Directory (AAD), and grant delegated permissions to the Intune NAC API.
  2. Configure a solução de parceiro NAC com as configurações adequadas, incluindo a URL de descoberta do Intune.Configure the NAC partner solution with the appropriate settings including the Intune discovery URL.
  3. Configure a solução de parceiro NAC para autenticação de certificado.Configure the NAC partner solution for certificate authentication.
  4. O usuário se conecta ao ponto de acesso Wi-Fi corporativo ou faz uma solicitação de conexão VPN.User connects to corporate Wi-Fi access point or makes a VPN connection request.
  5. A solução de parceiro NAC encaminha as informações do dispositivo para o Intune e pergunta ao Intune quais são os estados de conformidade e de registro do dispositivo.NAC partner solution forwards the device information to Intune, and asks Intune about the device enrollment and compliance state.
  6. Se o dispositivo não estiver em conformidade ou não estiver registrado, a solução de parceiro NAC instruirá o usuário a registrá-lo ou consertar a conformidade do dispositivo.If the device isn't compliant or isn't enrolled, the NAC partner solution instructs the user to enroll or fix the device compliance.
  7. O dispositivo tenta verificar novamente sua conformidade e o estado de registro, quando aplicável.The device tries to reverify its compliance and enrollment state when applicable.
  8. Quando o dispositivo estiver registrado e em conformidade, a solução de parceiro NAC obtém o estado do Intune.Once the device is enrolled and compliant, NAC partner solution gets the state from Intune.
  9. A conexão é estabelecida com êxito, permitindo que o dispositivo acesse os recursos corporativos.Connection is successfully established which allows the device access to corporate resources.

Usar o NAC para VPN em dispositivos iOSUse NAC for VPN on your iOS devices

  • O NAC está disponível nas VPNs a seguir, sem habilitar o NAC no perfil de VPN:NAC is available on the following VPNs without enabling NAC in the VPN profile:

    • NAC para Cisco Legacy AnyConnectNAC for Cisco Legacy AnyConnect
    • F5 Access herdadoF5 Access Legacy
    • VPN CitrixCitrix VPN
  • O NAC também está disponível para F5 Access e Citrix SSO.NAC is also available for Citrix SSO and F5 Access. Para habilitar o NAC no SSO da Citrix:To enable NAC for Citrix SSO:

    • Use o Citrix Gateway 12.0.59 ou superior.Use Citrix Gateway 12.0.59 or higher.
    • Os usuários devem ter o SSO da Citrix 1.1.6 ou superior instalado.Users must have Citrix SSO 1.1.6 or later installed.
    • Integrar o NetScaler com o Intune para NAC como descrito na documentação de produto da Citrix.Integrate NetScaler with Intune for NAC as described in the Citrix product documentation.
    • No perfil de VPN, selecione Configurações de base > Habilitar NAC (Controle de Acesso de Rede) > selecione Concordo.In the VPN profile, select Base settings > Enable Network Access Control (NAC) > select I agree.

    A conexão VPN é desconectada por motivos de segurança a cada 24 horas.The VPN connection is disconnected every 24 hours for security reasons. A VPN pode ser reconectada imediatamente.The VPN can immediately be reconnected.

  • Para habilitar o NAC para F5 Access:To enable NAC for F5 Access:

    A conexão VPN é desconectada por motivos de segurança a cada 24 horas.The VPN connection is disconnected every 24 hours for security reasons. A VPN pode ser reconectada imediatamente.The VPN can immediately be reconnected.

  • O controle de acesso de rede não é compatível com o seguinte cliente VPN no iOS:Network access control isn't supported for the following VPN client on iOS:

    • Cisco AnyConnectCisco AnyConnect

Estamos trabalhando com nossos parceiros para lançar uma solução NAC para esses clientes mais novos.We're working with our partners to release a NAC solution for these newer clients. Quando soluções estiverem prontas, este artigo será atualizado com informações adicionais.When solutions are ready, this article will be updated with additional information.

Próximas etapasNext steps