Microsoft Intune ile Cisco ISE kullanmaUsing Cisco ISE with Microsoft Intune

Uygulama hedefi: Klasik konsolda IntuneApplies to: Intune in the classic console
Azure'da Intune ile ilgili belge mi arıyorsunuz?Looking for documentation about Intune on Azure? Buraya gidin.Go here.

Intune’un Cisco Identity Services Engine (ISE) ile tümleştirmesi, Intune cihaz kaydı ve uyum durumunu kullanarak ISE ortamınızda ağ ilkeleri yazmanızı sağlar.Intune integration with Cisco Identity Services Engine (ISE) allows you to author network policies in your ISE environment by using the Intune device-enrollment and compliance state. Bu ilkeleri kullanarak, şirket ağınıza erişimin, Intune tarafından yönetilen ve Intune ilkeleriyle uyumlu cihazlarla kısıtlandığından emin olabilirsiniz.You can use these policies to ensure that access to your company network is restricted to devices that are managed by Intune and compliant with Intune policies.

Yapılandırma adımlarıConfiguration steps

Bu tümleştirmeyi etkinleştirmek için, Intune kiracınızda herhangi bir ayar yapmanız gerekmez.To enable this integration, you don’t need to do any setup in your Intune tenant. Intune kiracınıza erişebilmesi için Cisco ISE sunucunuza izinler sağlamanız gerekir.You will need to provide permissions to your Cisco ISE server to access your Intune tenant. Bu yapıldıktan sonra, kurulumun kalan bölümü Cisco ISE sunucunuzda gerçekleştirilir.After that's done, the rest of the setup happens in your Cisco ISE server. Bu makalede, ISE sunucunuza, Intune kiracınıza erişim izinleri sağlamayla ilgili yönergeler sağlanır.This article gives you instructions on providing your ISE server with permissions to access your Intune tenant.

1. Adım: Sertifikaları yönetmeStep 1: Manage the certificates

Azure Active Directory (Azure AD) konsolundan sertifikayı dışarı aktardıktan sonra ISE konsolunun Güvenilen Sertifikalar deposuna aktarın:Export the certificate from the Azure Active Directory (Azure AD) console, then import it into the Trusted Certificates store of the ISE console:

Internet Explorer 11Internet Explorer 11

a.a. Internet Explorer'ı yönetici olarak çalıştırın ve Azure AD konsoluna oturum açın.Run Internet Explorer as an administrator, and sign in to the Azure AD console.

b.b. Adres çubuğunda kilit simgesini seçin ve Sertifikaları görüntüle’yi seçin.Choose the lock icon in the address bar and choose View certificates.

c.c. Sertifika özelliklerinin Ayrıntılar sekmesinde, Dosyaya kopyala’yı seçin.On the Details tab of the certificate properties, choose Copy to file.

d.d. Sertifika dışarı aktarma sihirbazı karşılama sayfasında, İleri’yi seçin.In the Certificate export wizard welcome page, choose Next.

e.e. Dışarı aktarma dosya biçimi sayfasında, varsayılan DER ile kodlanmış ikili x.509 (.CER) ayarını bırakın ve İleri’yi seçin.On the Export file format page, leave the default, DER encoded binary x.509 (.CER), and choose Next.

f.f. Dışarı aktarılacak dosya sayfasında, dosyanın kaydedileceği bir konum seçmek üzere Gözat’ı seçin ve bir dosya adı sağlayın.On the File to export page, choose Browse to pick a location in which to save the file, and provide a file name. Dışarı aktarılacak bir dosya seçiyor gibi gözükseniz de, aslında dışarı aktarılan sertifikanın kaydedileceği dosyayı yeniden adlandırıyorsunuz.Though it seems like you’re picking a file to export, you’re actually naming the file that the exported certificate will be saved to. İleri > Son’u seçin.Choose Next > Finish.

g.g. ISE konsolunda, Intune sertifikasını (dışarı aktardığınız dosya) Güvenilen Sertifikalar deposuna aktarın.From within the ISE console, import the Intune certificate (the file you exported) into the Trusted Certificates store.

SafariSafari

a.a. Azure AD konsolunda oturum açın.Sign in to the Azure AD console.

b.b. Kilit simgesini > Daha fazla bilgi’yi seçin.Choose the lock icon > More information.

c.c. Sertifika görüntüle > Ayrıntılar’ı seçin.Choose View certificate > Details.

d.d. Sertifikayı seçin ve ardından Dışa aktar’ı seçin.Choose the certificate, and then choose Export.

e.e. ISE konsolunda, Intune sertifikasını (dışarı aktardığınız dosya) Güvenilen Sertifikalar deposuna aktarın.From within the ISE console, import the Intune certificate (the file you exported) into the Trusted Certificates store.

Önemli

Sertifikanın son kullanma tarihini denetleyin, bunun süresi dolduğunda yeni bir sertifika dışarı aktarmanız ve içeri aktarmanız gerekecektir.Check the expiration date of the certificate, as you will have to export and import a new certificate when this one expires.

ISE’den otomatik olarak imzalanan sertifika almaObtain a self-signed cert from ISE

  1. ISE konsolunda, Yönetim > Sertifikalar > Sistem Sertifikaları > Otomatik Olarak İmzalanan Sertifika Oluştur’a gidin.In the ISE console, go to Administration > Certificates > System Certificates > Generate Self Signed Certificate.
  2. Otomatik olarak imzalanan sertifikayı dışarı aktarın.Export the self-signed certificate.
  3. Bir metin düzenleyicide, dışa aktarılan sertifikayı düzenleyin:In a text editor, edit the exported certificate:

    • -----SERTİFİKA BAŞLANGICI----- öğesini silinDelete -----BEGIN CERTIFICATE-----
    • -----SERTİFİKA SONU----- öğesini silinDelete -----END CERTIFICATE-----

Tüm metnin tek bir satırda olduğundan emin olunEnsure all of the text is a single line

2. Adım: Azure AD kiracınızda ISE için uygulama oluşturmaStep 2: Create an app for ISE in your Azure AD tenant

  1. Azure AD konsolunda, Uygulamalar > Uygulama Ekleme > Kuruluşumun geliştirmekte olduğu bir uygulama ekle’yi seçin.In the Azure AD console, choose Applications > Add an Application > Add an application my organization is developing.
  2. Uygulama için bir ad ve URL belirtin.Provide a name and a URL for the app. URL, şirketinizin web sitesi olabilir.The URL could be your company website.
  3. Uygulama bildirimini (bir JSON dosyası) indirin.Download the app manifest (a JSON file).
  4. Bildirim JSON dosyasını düzenleyin.Edit the manifest JSON file. keyCredentials adlı ayarda, 1. Adımdan düzenlenen sertifika metnini, ayar değeri olarak sağlayın.In the setting called keyCredentials, provide the edited certificate text from Step 1 as the setting value.
  5. Dosyayı, adını değiştirmeden kaydedin.Save the file without changing its name.
  6. Uygulamanıza, Microsoft Graph ve Microsoft Intune API için izinler sağlayın.Provide your app with permissions to Microsoft Graph and the Microsoft Intune API.

    a.a. Microsoft Graph için, aşağıdakileri seçin:For Microsoft Graph, choose the following:

    • Uygulama izinleri: Dizin verilerini okuApplication permissions: Read directory data
    • Temsilci izinleri:Delegated permissions:
      • Kullanıcının verilerine istendiği zaman erişAccess user’s data anytime
      • Kullanıcıların oturumunu açmaSign users in

    b.b. Microsoft Intune API'si için, Uygulama izinlerinde, Intune'dan cihaz durumunu ve uyumluluğunu al’ı seçin.For the Microsoft Intune API, in Application permissions, choose Get device state and compliance from Intune.

  7. Uç Noktalarını Görüntüle’yi seçin ve ISE ayarlarını yapılandırmada kullanmak için aşağıdaki değerleri kopyalayın:Choose View Endpoints and copy the following values for use in configuring ISE settings:

Azure AD portalındaki değerValue in Azure AD portal ISE portalında karşılık gelen alanCorresponding field in ISE portal
Microsoft Azure AD Graph API uç noktasıMicrosoft Azure AD Graph API endpoint Otomatik Bulma URL’siAuto Discovery URL
Oauth 2.0 Belirteç uç noktasıOauth 2.0 Token endpoint Belirteci Veren URLToken Issuing URL
Kodunuzu, İstemci kimliğinizle güncelleştirmeUpdate your code with your Client ID İstemci KimliğiClient ID

4. Adım: ISE’nin otomatik olarak imzalanan sertifikasını Azure AD'de oluşturduğunuz ISE uygulamasına yükleyinStep 4: Upload the self-signed certificate from ISE into the ISE app you created in Azure AD

  1. Bir .cer X509 ortak sertifika dosyasından base64 olarak kodlanmış sertifika değerini ve parmak izini alın.Get the base64 encoded cert value and thumbprint from a .cer X509 public cert file. Bu örnek PowerShell'i kullanmaktadır:This example uses PowerShell:
  <span data-ttu-id="146d4-178">$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2    $cer.Import(“mycer.cer”)    $bin = $cer.GetRawCertData()    $base64Value = [System.Convert]::ToBase64String($bin)    $bin = $cer.GetCertHash()    $base64Thumbprint = [System.Convert]::ToBase64String($bin)    $keyid = [System.Guid]::NewGuid().ToString()</span><span class="sxs-lookup"><span data-stu-id="146d4-178">$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2    $cer.Import(“mycer.cer”)    $bin = $cer.GetRawCertData()    $base64Value = [System.Convert]::ToBase64String($bin)    $bin = $cer.GetCertHash()    $base64Thumbprint = [System.Convert]::ToBase64String($bin)    $keyid = [System.Guid]::NewGuid().ToString()</span></span>

<span data-ttu-id="146d4-179">Bir sonraki adımda kullanmak üzere $base64Thumbprint, $base64Value ve $keyid değerlerini kaydedin.</span><span class="sxs-lookup"><span data-stu-id="146d4-179">Store the values for $base64Thumbprint, $base64Value and $keyid, to be used in the next step.</span></span>
  1. Sertifikayı bildirim dosyası ile karşıya yükleyin.Upload the certificate through the manifest file. Azure Yönetim Portalı'nda oturum açınLog in to the Azure Management Portal
  2. Azure AD ek bileşenine girerek bir X.509 sertifikası ile yapılandırmak istediğiniz uygulamayı bulun.In to the Azure AD snap-in find the application that you want to configure with an X.509 certificate.
  3. Uygulama bildirim dosyasını indirin.Download the application manifest file.
  4. Boş "KeyCredentials": [], özelliğini aşağıdaki JSON ile değiştirin.Replace the empty “KeyCredentials”: [], property with the following JSON. KeyCredentials karmaşık türü Varlık ve karmaşık tür başvurusu’nda belgelenir.The KeyCredentials complex type is documented inEntity and complex type reference.
<span data-ttu-id="146d4-186">“keyCredentials“: [ { “customKeyIdentifier“: “$base64Thumbprint_from_above”, “keyId“: “$keyid_from_above“, “type”: “AsymmetricX509Cert”, “usage”: “Verify”, “value”:  “$base64Value_from_above” }2.</span><span class="sxs-lookup"><span data-stu-id="146d4-186">“keyCredentials“: [ { “customKeyIdentifier“: “$base64Thumbprint_from_above”, “keyId“: “$keyid_from_above“, “type”: “AsymmetricX509Cert”, “usage”: “Verify”, “value”:  “$base64Value_from_above” }2.</span></span> 
 <span data-ttu-id="146d4-187">],</span><span class="sxs-lookup"><span data-stu-id="146d4-187">],</span></span> 

Örneğin:For example:

“keyCredentials“: [
{
“customKeyIdentifier“: “ieF43L8nkyw/PEHjWvj+PkWebXk=”,
“keyId“: “2d6d849e-3e9e-46cd-b5ed-0f9e30d078cc”,
“type”: “AsymmetricX509Cert”,
“usage”: “Verify”,
“value”: “MIICWjCCAgSgAwIBA***omitted for brevity***qoD4dmgJqZmXDfFyQ”
}
],
  1. Değişiklikleri uygulama bildirim dosyasına kaydedin.Save the change to the application manifest file.
  2. Düzenlenen uygulama bildirim dosyasını Azure yönetim portalı aracılığıyla yükleyin.Upload the edited application manifest file through the Azure management mortal.
  3. İsteğe bağlı: X.509 sertifikanızın uygulamada mevcut olduğunu denetlemek için bildirimi yeniden indirin.Optional: Download the manifest again, to check that your X.509 cert is present on the application.
Not

KeyCredentials bir koleksiyon olduğundan geçiş senaryoları için birden fazla X.509 sertifikası yükleyebilir veya güvenliğin aşılması senaryolarında sertifikaları silebilirsiniz.KeyCredentials is a collection, so you can upload multiple X.509 certificates for rollover scenarios, or delete certficates in compromise scenarios.

4. Adım: ISE Ayarlarını YapılandırmaStep 4: Configure ISE Settings

ISE yönetim konsolunda, aşağıdaki ayar değerlerini sağlayın:In the ISE admin console, provide these setting values:

  • Sunucu Türü: Mobil cihaz YöneticisiServer Type: Mobile Device Manager
  • Kimlik doğrulama türü: OAuth – İstemci Kimlik BilgileriAuthentication type: OAuth – Client Credentials
  • Otomatik Bulma: EvetAuto Discovery: Yes
  • Otomatik Bulma URL’si: 1. Adımdaki değeri girin.Auto Discover URL: Enter the value from Step 1.
  • İstemci Kimliği: 1. Adımdaki değeri girin.Client ID: Enter the value from Step 1.
  • Belirteç veren URL: 1. Adımdaki değeri girin.Token issuing URL: Enter the value from Step 1.

Intune kiracınız ve Cisco ISE sunucunuz arasında paylaşılan bilgilerInformation shared between your Intune tenant and your Cisco ISE server

Bu tabloda, Intune tarafından yönetilen cihazlar için, Intune kiracınız ve Cisco ISE sunucunuz arasında paylaşılan bilgiler listelenir.This table lists the information that is shared between your Intune tenant and your Cisco ISE server for devices that are managed by Intune.

ÖzellikProperty AçıklamaDescription
complianceStatecomplianceState Cihazın uyumlu veya uyumsuz olduğunu belirten true veya false dizesi.The true or false string that indicates whether the device is compliant or noncompliant.
isManagedisManaged İstemcinin Intune tarafından yönetildiğini veya yönetilmediğini belirten true veya false dizesi.The true or false string that indicates whether the client is managed by Intune or not.
macAddressmacAddress Cihazın MAC adresi.The MAC address of the device.
serialNumberserialNumber Cihazın seri numarası.The serial number of the device. Yalnızca iOS cihazları için geçerlidir.It applies only to iOS devices.
imeiimei IMEI (15 ondalık basamak: 14 basamak, artı bir denetleme basamağı) veya IMEISV (16 basamak) numarası cihaz kökeni, modeli ve seri numarasını hakkında bilgi içerir.The IMEI (15 decimal digits: 14 digits plus a check digit) or IMEISV (16 digits) number includes information on the origin, model, and serial number of the device. Bu numaranın yapısı 3GPP TS 23.003 içinde belirtilir.The structure of this number is specified in 3GPP TS 23.003. Yalnızca SIM kartlı cihazlar için geçerlidir.It applies only to devices with SIM cards.
udidudid 40 harf ve rakamlık bir dizi olan Benzersiz Cihaz Tanımlayıcısı.The Unique Device Identifier, which is a sequence of 40 letters and numbers. iOS cihazlarına özgüdür.It is specific to iOS devices.
meidmeid CDMA mobil istasyonu ekipmanının fiziksel bir parçasını tanımlayan ve genel olarak benzersiz bir numara olan mobil donanım kimliği.The mobile equipment identifier, which is a globally unique number that identifies a physical piece of CDMA mobile station equipment. Numaranın biçimi 3GPP2 rapor S. R0048 tarafından tanımlanır.The number format is defined by the 3GPP2 report S. R0048. Bununla birlikte, pratikte bunun onaltılı basamaklar içeren bir IMEI olduğu düşünülebilir.However, in practical terms, it can be seen as an IMEI, but with hexadecimal digits. Bir MEID 56 bit uzunluktadır (14 onaltılık basamak).An MEID is 56 bits long (14 hex digits). Üç alandan oluşur, 8 bitlik bölgesel kod (RR), 24 bit üretici kodu ve 24 bit üreticisi tarafından atanmış seri numarası.It consists of three fields, including an 8-bit regional code (RR), a 24-bit manufacturer code, and a 24-bit manufacturer-assigned serial number.
osVersionosVersion Cihazın işletim sistemi sürümü.The operating system version for the device.
modelmodel Cihaz modeli.The device model.
üreticimanufacturer Cihaz üreticisi.The device manufacturer.
azureDeviceIdazureDeviceId Azure AD ile iş yerine katıldıktan sonraki cihaz kimliği.The device ID after it has workplace joined with Azure AD. Katılmamış cihazlar için bu boş bir GUID olacaktır.It is an empty GUID for devices that are not joined.
lastContactTimeUtclastContactTimeUtc Cihazın, Intune yönetim hizmetiyle son denetlendiği tarih ve saat.The date and time when the device last checked in with the Intune management service.

Kullanıcı deneyimleriUser experience

Kullanıcı kayıtsız cihaz kullanarak kaynaklara erişmeye çalıştığında, aşağıda gösterildiği gibi bir kaydetme istemi alır:When a user attempts to access resources by using an unenrolled device, they receive a prompt to enroll, such as the one shown here:

Kayıt istemi örneği

Kullanıcı kaydolmayı seçtiğinde, Intune kayıt işlemine yönlendirilir.When a user chooses to enroll, they are redirected to the Intune enrollment process. Intune için kullanıcı kayıt deneyimi aşağıdaki konularda açıklanmıştır:The user enrollment experience for Intune is described in these topics:

Kullanıcı deneyiminiz için, özelleştirilmiş rehberlik oluşturmak üzere kullanabileceğiniz, indirilebilir kayıt yönergeleri grubu da vardır.There is also a downloadable set of enrollment instructions that you can use to create customized guidance for your user experience.

Ayrıca bkz.See also

Cisco Kimlik Hizmetleri Altyapısı Yönetici Kılavuzu, Sürüm 2.1Cisco Identity Services Engine Administrator Guide, Release 2.1

Ürün geri bildiriminde bulunmak için lütfen şu sayfayı ziyaret edin Intune Feedback