Integração de Controle de Acesso de Rede (NAC) com o Intune
O Intune se integra a parceiros de controle de acesso à rede (NAC) para ajudar as organizações a protegerem os dados corporativos quando os dispositivos tentam acessar os recursos locais.
Observação
Um novo serviço NAC (serviço de CR) foi lançado em julho de 2021 e muitos de nossos parceiros do NAC estão fazendo a transição para esse novo serviço. Embora tenhamos estendido o linha do tempo para dar suporte ao serviço NAC herdado até 31 de março de 2024, recomendamos que você migre para o novo serviço de CR para evitar interrupções no serviço. Atualmente, o seguinte produto parceiro NAC dá suporte ao novo serviço NAC:
- Cisco ISE 3.1 e posterior
- Citrix Gateway 13.0-84.11 e posterior
- Citrix Gateway 13.1-12.50 e posterior
- F5 BIG-IP Access Policy Manager 14.1.5.2 e posterior
- F5 BIG-IP Access Policy Manager 15.1.7 e posterior
- F5 BIG-IP Access Policy Manager 16.1.3.1 e posterior
- Gerenciador de Política de Acesso de BIG-IP da F5 17.0 e posterior
- Ivanti Connect Secure 9.1R16 e posterior
- Aruba ClearPass com Microsoft Intune Extension v6 e posterior
- Forescout eyeExtend Microsoft Module v1.0.1 e posterior
- Nuvem de Portnox
Entre em contato com seu parceiro NAC se tiver dúvidas sobre o impacto dessa transição. Para obter mais informações, consulte nossa postagem no blog sobre o novo serviço de recuperação de conformidade.
Como soluções do Intune e de NAC ajudam a proteger os recursos da sua organização?
Soluções NAC verificam o registro do dispositivo e o estado de conformidade com o Intune para tomar decisões de controle de acesso. Se o dispositivo não estiver registrado ou se estiver registrado e não estiver em conformidade com as políticas de conformidade do dispositivo do Intune, ele deverá ser redirecionado para o Intune para registro ou verificação de conformidade do dispositivo.
Exemplo
Se o dispositivo for registrado e estiver em conformidade com o Intune, a solução NAC deverá permitir que o dispositivo acesse os recursos corporativos. Por exemplo, os usuários podem ter acesso autorizado ou negado ao tentar acessar recursos corporativos de Wi-Fi ou VPN.
Comportamentos do recurso
Dispositivos que estão realizando sincronizações ativamente com o Intune não podem mudar de Em conformidade / Não em conformidade para Não Sincronizado (ou Desconhecido). O estado Desconhecido é reservado para dispositivos recém-registrados que ainda não foram avaliados quanto à conformidade.
Para dispositivos com acesso bloqueado aos recursos, o serviço de bloqueio deve redirecionar todos os usuários para o portal de gerenciamento para determinar por que o dispositivo está bloqueado. Se os usuários visitarem essa página, seus dispositivos serão reavaliados sincronicamente para fins de conformidade.
NAC e Acesso Condicional
O NAC trabalha junto com o Acesso Condicional para fornecer decisões de controle de acesso. Para obter mais detalhes, confira Maneiras comuns de usar o Acesso Condicional com o Intune.
Como funciona a integração de NAC
A lista a seguir é uma visão geral sobre como funciona a integração de NAC quando integrada ao Intune. As três primeiras etapas, 1 a 3, explicam o processo de integração. Depois que a solução de NAC estiver integrada ao Intune, as etapas 4 a 9 descrevem a operação em andamento.
- Registre a solução de parceiro do NAC com Microsoft Entra ID e conceda permissões delegadas à API do NAC do Intune.
- Configure a solução de parceiro NAC com as configurações adequadas, incluindo a URL de descoberta do Intune.
- Configure a solução de parceiro NAC para autenticação de certificado.
- O usuário se conecta ao ponto de acesso Wi-Fi corporativo ou faz uma solicitação de conexão VPN.
- A solução de parceiro NAC encaminha as informações do dispositivo para o Intune e pergunta ao Intune sobre o registro do dispositivo e o estado de conformidade.
- Se o dispositivo não estiver em conformidade ou não estiver registrado, a solução de parceiro NAC instrui o usuário a registrar ou corrigir a conformidade do dispositivo.
- O dispositivo tenta verificar novamente o estado de conformidade e registro quando aplicável.
- Quando o dispositivo estiver registrado e em conformidade, a solução de parceiro NAC obtém o estado do Intune.
- A conexão foi estabelecida com êxito, permitindo que o dispositivo acesse os recursos corporativos.
Observação
As soluções de parceiro do NAC normalmente criam dois tipos de consulta ao Intune diferentes para perguntar sobre o estado de conformidade do dispositivo:
- Filtragem de consultas com base em um valor de propriedade conhecido em um único dispositivo, como seu IMEI ou o endereço MAC do Wi-Fi
- Consultas sem filtro e amplas para todos os dispositivos sem conformidade.
As soluções NAC podem fazer quantas consultas específicas ao dispositivo quanto forem necessárias. No entanto, as consultas sem filtro e amplas poderão ser restringidas. A solução NAC deve ser configurada para enviar apenas as consultas de todos os dispositivos sem conformidade a cada quatro horas, no máximo. As consultas feitas com frequência maior que essa receberão um erro 503 do serviço do Intune.
Habilitar o NAC
Para habilitar o uso do NAC e do serviço de recuperação de conformidade que ficou disponível em julho de 2021, faça referência à documentação mais recente do produto NAC para habilitar a integração do NAC com o Intune. Essa integração pode exigir que você faça alterações depois de atualizar para o novo produto ou versão do NAC.
O serviço de recuperação de conformidade requer autenticação baseada em certificado e o uso da ID do dispositivo do Intune como o nome alternativo dos certificados. Para certificados SCEP (Protocolo de Registro de Certificado Simples) e certificados PKCS (par de chaves públicas e privada), você pode adicionar um atributo do tipo URI com um valor definido pelo provedor NAC. Por exemplo, as instruções do provedor NAC podem dizer para incluir IntuneDeviceId://{{DeviceID}}como o nome alternativo Assunto.
Outros produtos NAC podem exigir que você inclua uma ID do dispositivo ao usar o NAC com perfis vpn do iOS.
Observação
Agora adicionamos suporte para consultar dispositivos com base em endereços Mac para clientes que não podem usar autenticação baseada em certificado. No entanto, nossa recomendação é usar a autenticação baseada em certificado com a ID do dispositivo do Intune sempre que possível.
Para saber mais sobre perfis de certificado, confira: Usar perfis de certificado SCEP com Microsoft Intune e Usar um perfil de certificado PKCS para provisionar dispositivos com certificados no Microsoft Intune
Dados compartilhados com parceiros do NAC
As propriedades específicas do dispositivo compartilhadas com parceiros do NAC dependem da versão da API NAC que o produto NAC usa. Entre em contato com seu parceiro NAC para obter mais informações sobre qual versão da API de Recuperação de Conformidade ou NAC seu produto NAC usa.
Além disso, os dados retornados serão limitados se:
- O dispositivo não está registrado no Intune. Nesse caso, nenhuma informação além de que o dispositivo não seja gerenciado pelo Intune será compartilhada com o produto NAC.
- O sistema operacional impede que a propriedade específica do dispositivo seja compartilhada com a Microsoft. O Intune compartilhará valores vazios de volta ao produto NAC para propriedades de dados não compartilhadas com o Intune pelo sistema operacional.
| Propriedade device | Disponível no NAC 1.0 | Disponível no NAC 1.1 | Disponível no NAC 1.3 | Disponível na Recuperação de Conformidade/NAC 2.0 |
|---|---|---|---|---|
| Estado de conformidade | Sim | Sim | Sim | Sim |
| Gerenciado pelo Intune | Sim | Sim | Sim | Sim |
| Propriedade pessoal ou corporativa | Não | Sim | Sim | Não |
| Endereço MAC | Sim | Sim | Sim | Sim |
| Número de série | Sim | Sim | Sim | Não |
| IMEI | Sim | Sim | Sim | Não |
| UDID | Sim | Sim | Sim | Não |
| MEID | Sim | Sim | Sim | Não |
| Versão do SO | Sim | Sim | Sim | Não |
| Modelo do dispositivo | Sim | Sim | Sim | Não |
| Fabricante | Sim | Sim | Sim | Não |
| Microsoft Entra ID do dispositivo | Sim | Sim | Sim | Não |
| Última hora de contato com o Intune | Sim | Sim | Sim | Não |
| ID do dispositivo Intune | Não | Não | Não | Sim |
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de