Integrace řízení přístupu k síti (NAC) s Intune
Intune se integruje s partnery pro řízení přístupu k síti (NAC), aby organizacím pomohla zabezpečit podniková data, když se zařízení pokusí získat přístup k místním prostředkům.
Poznámka
Služba načítání dodržování předpisů byla vydána v červenci 2021 a nahradila předchozí službu Intune NAC. Microsoft Intune poskytuje podporu pro starší službu Intune NAC do 31. března 2024. Naši partneři NAC přecházejí na službu načítání dodržování předpisů a zahrnují:
- ExtremeCloud Universal ZTNA
- Extreme Networks ExtremeCloud IQ-Site Engine verze 24.2
- Cisco ISE 3.1 a novější
- Citrix Gateway 13.0-84.11 a novější
- Citrix Gateway 13.1-12.50 a novější
- F5 BIG-IP Access Policy Manager 14.1.5.2 a novější
- F5 BIG-IP Access Policy Manager 15.1.7 a novější
- F5 BIG-IP Access Policy Manager 16.1.3.1 a novější
- F5 BIG-IP Access Policy Manager 17.0 a novější
- Ivanti Connect Secure 9.1R16 a novější
- Aruba ClearPass s rozšířením Microsoft Intune v6 a novějším
- Forescout eyeExtend Microsoft Module verze 1.0.1 a novější
- Portnox Cloud
Službu Intune NAC v budoucnu vyřadíme z provozu, proto doporučujeme migrovat na službu načítání dodržování předpisů, abyste se vyhnuli přerušení služby. Pokud máte dotazy týkající se služby načítání dodržování předpisů nebo dopadu na vašeho tenanta, obraťte se na svého poskytovatele řešení NAC. Další informace a aktualizace týkající se služby načítání dodržování předpisů a partnerů NAC najdete v tématu Technická komunita Microsoftu: Nová služba Microsoft Intune pro řízení přístupu k síti.
Jak řešení Intune a NAC pomáhají chránit prostředky vaší organizace?
Řešení NAC kontrolují registraci zařízení a stav dodržování předpisů v Intune, aby se rozhodovalo o řízení přístupu. Pokud zařízení není zaregistrované nebo je zaregistrované a nevyhovuje zásadám dodržování předpisů zařízením v Intune, mělo by být přesměrováno do Intune kvůli registraci nebo ke kontrole dodržování předpisů zařízením.
Příklad
Pokud je zařízení zaregistrované a kompatibilní s Intune, mělo by řešení NAC umožnit zařízení přístup k podnikovým prostředkům. Uživatelům může být například povolen nebo odepřen přístup při pokusu o přístup k podnikovým Wi-Fi nebo prostředkům VPN.
Chování funkcí
Zařízení, která se aktivně synchronizují s Intune, nemůžou přejít z nevyhovujících / předpisů naNesynchronizovat (nebo Neznámá). Neznámý stav je vyhrazený pro nově zaregistrovaná zařízení, u které ještě nebylo vyhodnoceno dodržování předpisů.
U zařízení, která mají blokovaný přístup k prostředkům, by blokující služba měla přesměrovat všechny uživatele na portál pro správu , aby zjistili, proč je zařízení blokované. Pokud uživatelé navštíví tuto stránku, jejich zařízení se synchronně znovu vyhodnotí kvůli dodržování předpisů.
NAC a podmíněný přístup
NAC spolupracuje s podmíněným přístupem a poskytuje rozhodnutí o řízení přístupu. Další informace najdete v tématu Běžné způsoby použití podmíněného přístupu s Intune.
Jak funguje integrace NAC
Následující seznam obsahuje přehled o tom, jak funguje integrace NAC při integraci s Intune. První tři kroky, 1 až 3, vysvětlují proces onboardingu. Jakmile je řešení NAC integrované s Intune, kroky 4 až 9 popisují probíhající operaci.
- Zaregistrujte partnerské řešení NAC pomocí Microsoft Entra ID a udělte delegovaná oprávnění k rozhraní INTUNE NAC API.
- Nakonfigurujte partnerské řešení NAC pomocí odpovídajících nastavení, včetně adresy URL zjišťování Intune.
- Nakonfigurujte partnerské řešení NAC pro ověřování certifikátů.
- Uživatel se připojí k podnikovému Wi-Fi přístupovému bodu nebo odešle žádost o připojení VPN.
- Partnerské řešení NAC předá informace o zařízení do Intune a zeptá se Intune na registraci zařízení a stav dodržování předpisů.
- Pokud zařízení nedodržuje předpisy nebo není zaregistrované, partnerské řešení NAC dá uživateli pokyn, aby zaregistroval nebo opravil dodržování předpisů zařízením.
- Pokud je to možné, zařízení se pokusí obnovit stav dodržování předpisů a registrace.
- Jakmile je zařízení zaregistrované a vyhovuje předpisům, partnerské řešení NAC získá stav z Intune.
- Připojení bylo úspěšně navázáno, což umožňuje zařízení přístup k podnikovým prostředkům.
Poznámka
Partnerská řešení NAC obvykle do Intune vytvoří dva různé typy dotazů na stav dodržování předpisů zařízením:
- Filtrování dotazů na základě známé hodnoty vlastnosti jednoho zařízení, jako je jeho IMEI nebo adresa MAC Wi-Fi
- Široké, nefiltrované dotazy pro všechna zařízení, která nedodržují předpisy.
Řešení NAC mají povoleno provádět tolik dotazů specifických pro zařízení, kolik je potřeba. Široké nefiltrované dotazy však mohou být omezeny. Řešení NAC by mělo být nakonfigurované tak, aby odesílala všechny dotazy na zařízení, která nedodržují předpisy , maximálně jednou za čtyři hodiny. Dotazy, které se provádějí častěji, obdrží ze služby Intune chybu http 503.
Povolení NAC
Pokud chcete povolit používání NAC a služby načítání dodržování předpisů, projděte si nejnovější dokumentaci produktu NAC pro povolení integrace NAC s Intune. Tato integrace může vyžadovat, abyste po upgradu na nový produkt nebo verzi NAC provedli změny.
Služba načítání dodržování předpisů vyžaduje ověřování na základě certifikátů a použití ID zařízení Intune jako alternativního názvu subjektu certifikátů. U certifikátů SCEP (Simple Certificate Enrollment Protocol) a páru privátních a veřejných klíčů (PKCS) můžete přidat atribut typu identifikátoru URI s hodnotou definovanou vaším poskytovatelem NAC. Například pokyny poskytovatele NAC můžou obsahovat IntuneDeviceId://{{DeviceID}}alternativní název subjektu.
Jiné produkty NAC můžou vyžadovat, abyste při používání NAC s profily VPN pro iOS zahrnuli ID zařízení.
Tip
Všude, kde je to možné, doporučujeme používat ověřování na základě certifikátů s ID zařízení v Intune. Pokud nemůžete použít ověřování založené na certifikátech, Intune podporuje dotazování zařízení na základě adres MAC.
Další informace o profilech certifikátů najdete v tématech Použití profilů certifikátů SCEP v Microsoft Intune a Použití profilu certifikátu PKCS ke zřízení zařízení s certifikáty v Microsoft Intune.
Data sdílená s partnery NAC
Konkrétní vlastnosti zařízení, které se sdílí s partnery NAC, závisí na verzi rozhraní API NAC, které produkt NAC používá. Další informace o tom, jakou verzi rozhraní API PROC nebo rozhraní API pro načítání dodržování předpisů používá váš produkt NAC, požádejte svého partnera NAC.
Vrácené údaje budou také omezené, pokud:
- Zařízení není zaregistrované v Intune. V takovém případě se s produktem NAC nesdílí žádné jiné informace než to, že zařízení není spravované službou Intune.
- Operační systém zabraňuje sdílení konkrétní vlastnosti zařízení s Microsoftem. Intune bude sdílet prázdné hodnoty zpět do produktu NAC pro vlastnosti dat, které operační systém nesdílí s Intune.
| Vlastnost zařízení | K dispozici v NAC 1.0 | K dispozici v NAC 1.1 | K dispozici v NAC 1.3 | K dispozici v části Compliance Retrieval/NAC 2.0 |
|---|---|---|---|---|
| Stav dodržování předpisů | Ano | Ano | Ano | Ano |
| Spravováno službami Intune | Ano | Ano | Ano | Ano |
| Osobní nebo firemní vlastnictví | Ne | Ano | Ano | Ne |
| Adresa MAC | Ano | Ano | Ano | Ano |
| Sériové číslo | Ano | Ano | Ano | Ne |
| IMEI | Ano | Ano | Ano | Ne |
| UDID | Ano | Ano | Ano | Ne |
| MEID | Ano | Ano | Ano | Ne |
| Verze operačního systému | Ano | Ano | Ano | Ne |
| Model zařízení | Ano | Ano | Ano | Ne |
| Výrobce | Ano | Ano | Ano | Ne |
| ID zařízení Microsoft Entra | Ano | Ano | Ano | Ne |
| Čas posledního kontaktu s Intune | Ano | Ano | Ano | Ne |
| ID zařízení Intune | Ne | Ne | Ne | Ano |
Další kroky
- Integrace extrémních sítí ExtremeCloud Universal ZTNA
- Integrace extrémních sítí ExtremeCloud s Intune
- Integrace Cisco ISE s Intune
- Integrace Citrix Gateway s Intune
- Integrace F5 BIG-IP Access Policy Manageru s Intune
- Integrace aplikace Forescout s Intune
- Integrace HPE Aruba ClearPass s Intune
- Integrace Squadra Security Removable Media Manager (secRMM) s Intune