Integração de NAC (controle de acesso de rede) com o IntuneNetwork access control (NAC) integration with Intune

O Intune se integra com os parceiros de controle de acesso de rede para ajudar as organizações a proteger dados corporativos quando os dispositivos tentam acessar os recursos locais.Intune integrates with network access control partners to help organizations secure corporate data when devices try to access on-premises resources.

Como soluções do Intune e de NAC ajudam a proteger os recursos de sua organização?How do Intune and NAC solutions help protect your organization resources?

Soluções NAC verificam o registro do dispositivo e o estado de conformidade com o Intune para tomar decisões de controle de acesso.NAC solutions check the device enrollment and compliance state with Intune to make access control decisions. Se o dispositivo não estiver registrado ou se estiver registrado e não estiver em conformidade com as políticas de conformidade do dispositivo do Intune, ele deverá ser redirecionado para o Intune para registro ou verificação de conformidade do dispositivo.If the device isn't enrolled, or is enrolled and not compliant with Intune device compliance policies, then the device should be redirected to Intune for enrollment, or for a device compliance check.

ExemploExample

Se o dispositivo for registrado e estiver em conformidade com o Intune, a solução NAC deverá permitir que o dispositivo acesse os recursos corporativos.If the device is enrolled and compliant with Intune, the NAC solution should allow the device access to corporate resources. Por exemplo, o acesso dos usuários pode ser permitido ou negado ao tentar acessar os recursos de VPN ou Wi-Fi corporativo.For example, users can be allowed or denied access when trying to access corporate Wi-Fi or VPN resources.

Comportamentos do recursoFeature behaviors

Dispositivos que estão realizando sincronizações ativamente com o Intune não podem mudar de Em conformidade / Não em conformidade para Não Sincronizado (ou Desconhecido).Devices that are actively syncing to Intune can't move from Compliant / Noncompliant to Not Synched (or Unknown). O estado Desconhecido é reservado para dispositivos recém-registrados que ainda não foram avaliados quanto à conformidade.The Unknown state is reserved for newly enrolled devices that haven't been evaluated for compliance yet.

Para dispositivos com acesso bloqueado aos recursos, o serviço responsável pelo bloqueio deve redirecionar todos os usuários para o portal de gerenciamento a fim de determinar por que o dispositivo está bloqueado.For devices that are blocked from access to resources, the blocking service should redirect all users to the management portal to determine why the device is blocked.  Se os usuários visitarem essa página, seus dispositivos serão reavaliados sincronicamente para fins de conformidade.  If the users visit this page, their devices are synchronously reevaluated for compliance.

NAC e acesso condicionalNAC and conditional access

O NAC trabalha junto com o acesso condicional para fornecer decisões de controle de acesso.NAC works with conditional access to provide access control decisions. Para obter mais detalhes, consulte Maneiras comuns de usar o acesso condicional com o Intune.For more information, see Common ways to use conditional access with Intune.

Como funciona a integração de NACHow the NAC integration works

A lista a seguir é uma visão geral sobre como funciona a integração de NAC quando integrada ao Intune.The following list is an overview on how NAC integration works when integrated with Intune. As três primeiras etapas, 1 a 3, explicam o processo de integração.The first three steps, 1-3, explain the onboarding process. Depois que a solução de NAC estiver integrada ao Intune, as etapas 4 a 9 descrevem a operação em andamento.Once the NAC solution is integrated with Intune, steps 4-9 describe the ongoing operation.

Como o NAC funciona com o Intune

  1. Registre a solução de parceiro NAC com o AAD (Azure Active Directory) e conceda permissões delegadas para a API de NAC do Intune.Register the NAC partner solution with Azure Active Directory (AAD), and grant delegated permissions to the Intune NAC API.
  2. Configure a solução de parceiro NAC com as configurações adequadas, incluindo a URL de descoberta do Intune.Configure the NAC partner solution with the appropriate settings including the Intune discovery URL.
  3. Configure a solução de parceiro NAC para autenticação de certificado.Configure the NAC partner solution for certificate authentication.
  4. O usuário se conecta ao ponto de acesso Wi-Fi corporativo ou faz uma solicitação de conexão VPN.User connects to corporate Wi-Fi access point or makes a VPN connection request.
  5. A solução de parceiro NAC encaminha as informações do dispositivo para o Intune e pergunta ao Intune quais são os estados de conformidade e de registro do dispositivo.NAC partner solution forwards the device information to Intune, and asks Intune about the device enrollment and compliance state.
  6. Se o dispositivo não estiver em conformidade ou não estiver registrado, a solução de parceiro NAC instruirá o usuário a registrá-lo ou consertar a conformidade do dispositivo.If the device isn't compliant or isn't enrolled, the NAC partner solution instructs the user to enroll or fix the device compliance.
  7. O dispositivo tenta verificar novamente sua conformidade e o estado de registro, quando aplicável.The device tries to reverify its compliance and enrollment state when applicable.
  8. Quando o dispositivo estiver registrado e em conformidade, a solução de parceiro NAC obtém o estado do Intune.Once the device is enrolled and compliant, NAC partner solution gets the state from Intune.
  9. A conexão é estabelecida com êxito, permitindo que o dispositivo acesse os recursos corporativos.Connection is successfully established which allows the device access to corporate resources.

Usar o NAC para VPN em dispositivos iOSUse NAC for VPN on your iOS devices

Há suporte para o NAC para Cisco Legacy AnyConnect, F5 Access Herdado e Citrix VPN sem a necessidade de habilitar o NAC no perfil da VPN.NAC for Cisco Legacy AnyConnect, F5 Access Legacy, and Citrix VPN is supported without needing to enable NAC in the VPN profile.

Também há suporte para o NAC para o SSO da Citrix.NAC for Citrix SSO is also supported. Para habilitar o NAC no SSO da Citrix para iOS:To enable NAC for Citrix SSO for iOS:

  • Use o Citrix Gateway 12.0.59 ou superior.Use Citrix Gateway 12.0.59 or higher.
  • Os usuários devem ter o SSO da Citrix 1.1.6 ou superior instalado.Users must have Citrix SSO 1.1.6 or later installed.
  • Integrar o NetScaler com o Intune para NAC como descrito na documentação de produto da Citrix.Integrate NetScaler with Intune for NAC as described in the Citrix product documentation.
  • Na configuração de definições de VPN de Base, para Habilitar o NAC (controle de acesso à rede), marque a caixa de seleção Eu concordo.On the Base VPN settings configuration, for Enable Network Access Control (NAC), select the check-box for I agree.

Quando você usa o SSO da Citrix para iOS, a conexão VPN é desconectada por motivos de segurança a cada 24 horas.When you use Citrix SSO for iOS, the VPN connection is disconnected every 24 hours for security reasons. A VPN pode ser reconectada imediatamente.The VPN can immediately be reconnected.

No momento, não há suporte para controle de acesso de rede para os seguintes clientes VPN no iOS:Network access control is not currently supported for the following VPN clients on iOS:

  • Cisco AnyConnectCisco AnyConnect
  • Acesso por F5F5 Access

Estamos trabalhando com nossos parceiros para lançar uma solução NAC para esses clientes mais novos.We're working with our partners to release a NAC solution for these newer clients. Quando tivermos soluções prontas, atualizaremos este artigo com detalhes adicionais.When we have solutions ready, we will update this article with additional details.

Próximas etapasNext steps