與 Intune 整合 (NAC) 網路存取控制
Intune 與網路存取控制整合 (NAC) 合作夥伴,協助組織在裝置嘗試存取內部部署資源時保護公司資料。
注意事項
新的 NAC 服務 (CR 服務) 已于 2021 年 7 月發行,而我們的許多 NAC 合作夥伴正在轉換到此新服務。 雖然我們已將支援舊版 NAC 服務的時程表延長到 2024 年 3 月 31 日,但建議您移轉至新的 CR 服務,以避免服務中斷。目前,下列 NAC 合作夥伴產品支援新的 NAC 服務:
- Cisco ISE 3.1 和更新版本
- Citrix 閘道 13.0-84.11 和更新版本
- Citrix 閘道 13.1-12.50 和更新版本
- F5 BIG-IP 存取原則管理員 14.1.5.2 和更新版本
- F5 BIG-IP 存取原則管理員 15.1.7 和更新版本
- F5 BIG-IP 存取原則管理員 16.1.3.1 和更新版本
- F5 BIG-IP 存取原則管理員 17.0 和更新版本
- Ivanti Connect Secure 9.1R16 和更新版本
- 具有 Microsoft Intune Extension v6 和更新版本的 Aruba ClearPass
- Forescout eyeExtend Microsoft Module v1.0.1 和更新版本
- Portnox Cloud
如果您對此轉換的影響有疑問,請連絡您的 NAC 合作夥伴。 如需詳細資訊,請參閱我們 關於新合規性擷取服務的部落格文章。
Intune 和 NAC 解決方案如何協助保護您的組織資源?
NAC 解決方案會使用 Intune 檢查裝置註冊和合規性狀態,以做出存取控制決策。 如果裝置未註冊,或已註冊且不符合 Intune 裝置合規性政策,則應將裝置重新導向至 Intune 進行註冊,或進行裝置合規性檢查。
範例
如果裝置已註冊且符合 Intune 規範,則 NAC 解決方案應該允許裝置存取公司資源。 例如,嘗試存取公司 Wi-Fi 或 VPN 資源時,可以允許或拒絕使用者存取。
功能行為
主動同步至 Intune 的裝置無法從 / 符合規範的 [不符合規範] 移至 [未同步 (或未知) 。 [ 未知] 狀態會保留給尚未評估合規性的新註冊裝置。
對於遭到封鎖而無法存取資源的裝置,封鎖服務應該將所有使用者重新導向 至管理入口網站 ,以判斷為何會封鎖裝置。 如果使用者造訪此頁面,其裝置會以同步方式重新評估合規性。
NAC 和條件式存取
NAC 可與條件式存取搭配使用,以提供存取控制決策。 如需詳細資訊,請參閱搭配 Intune 使用條件式存取的常見方式。
NAC 整合的運作方式
下列清單概述 NAC 整合與 Intune 整合時的運作方式。 前三個步驟 1-3 說明上執行緒序。 NAC 解決方案與 Intune 整合之後,步驟 4-9 會描述進行中的作業。
- 使用Microsoft Entra識別碼註冊 NAC 合作夥伴解決方案,並將委派的許可權授與 Intune NAC API。
- 使用適當的設定來設定 NAC 合作夥伴解決方案,包括 Intune 探索 URL。
- 設定憑證驗證的 NAC 合作夥伴解決方案。
- 使用者連線到公司 Wi-Fi 存取點,或提出 VPN 連線要求。
- NAC 合作夥伴解決方案會將裝置資訊轉送至 Intune,並詢問 Intune 裝置註冊和合規性狀態。
- 如果裝置不符合規範或未註冊,NAC 合作夥伴解決方案會指示使用者註冊或修正裝置合規性。
- 裝置會嘗試在適用時恢復其合規性和註冊狀態。
- 一旦裝置註冊並符合規範,NAC 合作夥伴解決方案就會從 Intune 取得狀態。
- 已成功建立連線,可讓裝置存取公司資源。
注意事項
NAC 合作夥伴解決方案通常會對 Intune 進行兩種不同類型的查詢,以詢問裝置合規性狀態:
- 根據單一裝置的已知屬性值進行篩選的查詢,例如其 IMEI 或 Wi-Fi MAC 位址
- 所有不符合規範裝置的廣泛、未篩選查詢。
允許 NAC 解決方案視需要進行任意數量的裝置特定查詢。 不過,廣泛未篩選的查詢可能會受到節流。 NAC 解決方案應該設定為只提交 所有不符合規範的裝置 查詢,最多每四小時一次。 更頻繁的查詢會收到來自 Intune 服務的 HTTP 503 錯誤。
啟用 NAC
若要啟用在 2021 年 7 月推出之 NAC 和 合規性擷取服務 的使用,請參考 NAC 產品的最新檔,以啟用 NAC 與 Intune 的整合。 此整合可能需要您在升級至新的 NAC 產品或版本之後進行變更。
合規性擷取服務需要憑證型驗證,並使用 Intune 裝置標識 符作為憑證的主體別名。 針對簡單憑證註冊通訊協定 (SCEP) 和 PKCS) 憑證 (私密金鑰和公開金鑰組,您可以使用 NAC 提供者所定義的值來新增 URI 類型的屬性。 例如,您的 NAC 提供者的指示可能會說要包含 IntuneDeviceId://{{DeviceID}} 為 主體別名。
搭配 iOS VPN 設定檔使用 NAC 時,其他 NAC 產品可能會要求您包含裝置識別碼。
注意事項
我們現在已新增針對無法使用憑證式驗證的客戶,根據 Mac 位址查詢裝置的支援。 不過,我們的建議是盡可能搭配 Intune 裝置識別碼使用憑證式驗證。
若要深入瞭解憑證設定檔,請參閱:搭配使用 SCEP 憑證設定檔與Microsoft Intune和使用 PKCS 憑證設定檔來布建具有 Microsoft Intune
與 NAC 合作夥伴共用的資料
與 NAC 合作夥伴共用的特定裝置屬性取決於 NAC 產品使用的 NAC API 版本。 如需 NAC 產品所使用之 NAC 或合規性擷取 API 版本的詳細資訊,請連絡您的 NAC 合作夥伴。
此外,如果下列狀況,傳回的資料將會受到限制:
- 裝置未在 Intune 中註冊。 在此情況下,除了裝置不受 Intune 管理之外,其他資訊都不會與 NAC 產品共用。
- OS 可防止特定裝置屬性與 Microsoft 共用。 對於 OS 未與 Intune 共用的資料屬性,Intune 會將空白值共用回 NAC 產品。
| Device 屬性 | 在 NAC 1.0 中提供 | 可在 NAC 1.1 中使用 | 可在 NAC 1.3 中使用 | 可在合規性擷取/NAC 2.0 中取得 |
|---|---|---|---|---|
| 合規性狀態 | 是 | 是 | 是 | 是 |
| 由 Intune 管理 | 是 | 是 | 是 | 是 |
| 個人或公司擁有權 | 否 | 是 | 是 | 否 |
| MAC 位址 | 是 | 是 | 是 | 是 |
| 序號 | 是 | 是 | 是 | 否 |
| Imei | 是 | 是 | 是 | 否 |
| UDID | 是 | 是 | 是 | 否 |
| 大臡 | 是 | 是 | 是 | 否 |
| 作業系統版本 | 是 | 是 | 是 | 否 |
| 裝置型號 | 是 | 是 | 是 | 否 |
| 製造商 | 是 | 是 | 是 | 否 |
| Microsoft Entra裝置識別碼 | 是 | 是 | 是 | 否 |
| 上次使用 Intune 的連絡時間 | 是 | 是 | 是 | 否 |
| Intune 裝置識別碼 | 否 | 否 | 否 | 是 |
後續步驟
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應