Поделиться через

Интеграция управления доступом к сети (NAC) с Intune

  • Статья

Intune интегрируется с партнерами по управлению доступом к сети (NAC), чтобы помочь организациям защитить корпоративные данные, когда устройства пытаются обратиться к локальным ресурсам.

Примечание.

Служба получения соответствия требованиям была выпущена в июле 2021 г. и заменила предыдущую службу Intune NAC. Microsoft Intune предоставляет поддержку устаревшей службы Intune NAC до 31 марта 2024 г. Наши партнеры NAC переходят на службу получения соответствия требованиям и включают в себя:

  • ExtremeCloud Universal ZTNA
  • Extreme Networks ExtremeCloud IQ-Site Engine версии 24.2
  • Cisco ISE 3.1 и более поздней версии
  • Citrix Gateway 13.0-84.11 и более поздней версии
  • Citrix Gateway 13.1-12.50 и более поздней версии
  • F5 BIG-IP Access Policy Manager 14.1.5.2 и более поздних версий
  • F5 BIG-IP Access Policy Manager 15.1.7 и более поздних версий
  • F5 BIG-IP Access Policy Manager 16.1.3.1 и более поздних версий
  • F5 Диспетчер политик доступа BIG-IP 17.0 и более поздних
  • Ivanti Connect Secure 9.1R16 и более поздних версий
  • Aruba ClearPass с расширением Microsoft Intune версии 6 и более поздних версий
  • Forescout eyeExtend Microsoft Module версии 1.0.1 и более поздних версий
  • Portnox Cloud

В будущем мы будем нерекомендуемую службу Intune NAC, поэтому рекомендуется перейти на службу получения соответствия, чтобы избежать прерывания работы службы. Если у вас есть вопросы о службе получения соответствия или влиянии на клиент, обратитесь к поставщику решений NAC. Дополнительные сведения и обновления о службе получения соответствия требованиям и партнерах NAC см. в статье Microsoft Tech Community: New Microsoft Intune service for network access control.

Как решения NAC и Intune помогают защитить ресурсы вашей организации?

Решения NAC проверяют состояние регистрации и соответствия устройств в Intune для принятия решений по управлению доступом. Если устройство не зарегистрировано либо зарегистрировано, но не удовлетворяет политикам соответствия устройств Intune, его требуется перенаправить в Intune для регистрации или проверки соответствия.

Пример

Если устройство зарегистрировано и является соответствующим в рамках Intune, решение NAC должно предоставить ему доступ к корпоративным ресурсам. Например, можно разрешать или запрещать доступ пользователям, пытающимся обратиться к корпоративным ресурсам Wi-Fi или VPN.

Поведение функции

Устройства, которые активно синхронизируются с Intune, нельзя переключить из состояния Соответствующее / Несоответствующее в состояние Несинхронизированное (или Неизвестное). Состояние Неизвестное используется только для новых зарегистрированных устройств, которые еще не были проверены на предмет соответствия.

Если для устройств заблокирован доступ к ресурсам, служба блокировки должна перенаправлять всех пользователей портала управления, чтобы определить причину блокировки устройства. Если пользователи посетят эту страницу, их устройства будут синхронно проверены на предмет соответствия.

NAC и условный доступ

NAC использует условный доступ для принятия решений по управлению доступом. См. дополнительные сведения о стандартных способах использования условного доступа с помощью Intune.

Принцип работы интеграции с NAC

Ниже описаны особенности интеграции NAC с Intune. В шагах 1–3 объясняется процесс подключения. Типичная работа после интеграции решения NAC с Intune описана в шагах 4–9.

Схематическое изображение принципов работы NAC с Intune

  1. Зарегистрируйте партнерское решение NAC с идентификатором Microsoft Entra и предоставьте делегированные разрешения API NAC Intune.
  2. Настройте партнерское решения NAC с помощью соответствующих параметров, включая URL-адрес обнаружения Intune.
  3. Настройте партнерское решение NAC для проверки подлинности сертификата.
  4. Пользователь подключается к корпоративной точке доступа Wi-Fi или выполняет запрос на VPN-подключение.
  5. Партнерское решение NAC перенаправляет сведения об устройстве в Intune и запрашивает там состояние регистрации и соответствия устройства.
  6. Если устройство не соответствует требованиям или не зарегистрировано, партнерское решение NAC просит пользователя зарегистрировать устройство или обеспечить его соответствие.
  7. Устройство пытается повторно проверить свое состояние соответствия и регистрации.
  8. После регистрации и обеспечения соответствия устройства партнерское решение NAC получает это состояние из Intune.
  9. Устанавливается соединение, предоставляющее устройству доступ к корпоративным ресурсам.

Примечание.

Как правило, партнерские решения NAC выполняют два разных типа запросов в Intune, чтобы запросить состояние соответствия устройства.

  • Фильтрация запросов на основе известного значения свойства одного устройства, например номера IMEI или MAC-адреса для Wi-Fi.
  • Общие неотфильтрованные запросы для всех несоответствующих устройств.

Решения NAC могут выполнять любое требуемое количество запросов для конкретных устройств. Однако общие неотфильтрованные запросы могут регулироваться. В решении NAC должна быть настроена отправка только тех запросов, которые касаются всех несоответствующих устройств, не чаще каждых четырех часов. Более частые запросы вернут ошибку HTTP 503 от службы Intune.

Включение NAC

Чтобы включить использование NAC и службы получения соответствия требованиям, обратитесь к последней документации продукта NAC по включению интеграции NAC с Intune. Для этой интеграции может потребоваться внести изменения после обновления до нового продукта или версии NAC.

Для службы получения соответствия требуется проверка подлинности на основе сертификата и использование идентификатора устройства Intune в качестве альтернативного имени субъекта сертификатов. Для сертификатов с использованием протокола регистрации простых сертификатов (SCEP) и частного и открытого ключей (PKCS) можно добавить атрибут типа URI со значением, определенным поставщиком NAC. Например, в инструкциях поставщика NAC может быть указано включить IntuneDeviceId://{{DeviceID}}в качестве альтернативного имени субъекта.

Для других продуктов NAC может потребоваться включить идентификатор устройства при использовании NAC с профилями VPN iOS.

Совет

По возможности рекомендуется использовать проверку подлинности на основе сертификатов с идентификатором устройства Intune. Если вам не удается использовать проверку подлинности на основе сертификатов, Intune поддерживает запросы устройств на основе MAC-адресов.

Дополнительные сведения о профилях сертификатов см. в разделах Использование профилей сертификатов SCEP с Microsoft Intune и Использование профиля сертификата PKCS для подготовки устройств с сертификатами в Microsoft Intune.

Обмен данными с партнерами NAC

Конкретные свойства устройства, которые предоставляются партнерам NAC, зависят от версии API NAC, используемой продуктом NAC. Обратитесь к партнеру NAC для получения дополнительных сведений о том, какую версию NAC или API получения соответствия использует ваш продукт NAC.

Кроме того, возвращаемые данные будут ограничены, если:

  • Устройство не зарегистрировано в Intune. В этом случае никакие сведения, кроме того, что устройство не управляется Intune, не будут предоставляться продукту NAC.
  • ОС предотвращает совместное использование определенного свойства устройства с корпорацией Майкрософт. Intune будет совместно использовать пустые значения обратно в продукт NAC для свойств данных, не общих с Intune ос.
Свойство устройства Доступно в NAC 1.0 Доступно в NAC 1.1 Доступно в NAC 1.3 Доступно в разделе Получение соответствия требованиям/NAC 2.0
Состояние соответствия требованиям Да Да Да Да
Под управлением Intune Да Да Да Да
Личная или корпоративная собственность Нет Да Да Нет
MAC-адрес Да Да Да Да
Серийный номер Да Да Да Нет
IMEI Да Да Да Нет
UDID Да Да Да Нет
MEID Да Да Да Нет
Версия ОС Да Да Да Нет
Модель устройства Да Да Да Нет
Производитель Да Да Да Нет
Идентификатор устройства Microsoft Entra Да Да Да Нет
Время последнего контакта с Intune Да Да Да Нет
Удостоверение устройства Intune Нет Нет Нет Да

Дальнейшие действия