网络访问控制 (NAC) 与 Intune 集成
Intune 与网络访问控制 (NAC) 合作伙伴集成,帮助组织在设备尝试访问本地资源时保护公司数据。
注意
合规性检索服务于 2021 年 7 月发布,并取代了以前的 Intune NAC 服务。 Microsoft Intune 在 2024 年 3 月 31 日前为旧版 Intune NAC 服务提供支持。 我们的 NAC 合作伙伴正在过渡到合规性检索服务,包括:
- ExtremeCloud Universal ZTNA
- Extreme Networks ExtremeCloud IQ-Site 引擎版本 24.2
- Cisco ISE 3.1 及更高版本
- Citrix 网关 13.0-84.11 及更高版本
- Citrix 网关 13.1-12.50 及更高版本
- F5 BIG-IP 访问策略管理器 14.1.5.2 及更高版本
- F5 BIG-IP 访问策略管理器 15.1.7 及更高版本
- F5 BIG-IP 访问策略管理器 16.1.3.1 及更高版本
- F5 BIG-IP 访问策略管理器 17.0 及更高版本
- Ivanti Connect Secure 9.1R16 及更高版本
- 具有 Microsoft Intune 扩展 v6 及更高版本的 Aruba ClearPass
- Forescout eyeExtend Microsoft Module v1.0.1 及更高版本
- Portnox Cloud
我们将在未来弃用 Intune NAC 服务,因此建议迁移到合规性检索服务,以避免服务中断。 如果对合规性检索服务有任何疑问或对租户的影响,请联系 NAC 解决方案提供商。 有关合规性检索服务和 NAC 合作伙伴的详细信息和更新,请参阅 Microsoft技术社区:用于网络访问控制的新Microsoft Intune 服务。
Intune 和 NAC 解决方案如何帮助保护组织的资源?
NAC 解决方案可通过 Intune 检查设备注册和符合性状态,以便作出访问控制决策。 如果设备未注册,或已注册但不符合 Intune 设备符合性策略,则设备应重定向到 Intune 进行注册或进行设备符合性检查。
示例
如果设备已注册且符合 Intune,则 NAC 解决方案会允许设备访问公司资源。 例如,当用户尝试访问公司 Wi-Fi 或 VPN 资源时,可以允许或拒绝其访问。
功能行为
主动同步到 Intune 的设备无法从“符合” / “不符合”变成“未同步”(或“未知”)。 “未知”状态是预留给尚未进行符合性评估的新注册设备。
对于被阻止而无法访问资源的设备,阻止设备的服务应将所有用户重定向到管理门户,以确定设备被阻止的原因。 如果用户访问此页,他们的设备会同步重新接受符合性评估。
NAC 和条件访问
NAC 支持条件访问,可提供访问控制决策。 如需了解更多详情,请参阅使用 Intune 条件访问的常见方式。
NAC 集成的工作原理
以下列表概述了与 Intune 集成时的 NAC 集成的工作原理。 前三步 (1-3) 介绍了上手流程。 NAC 解决方案与 Intune 集成后,步骤 4-9 描述正在进行的操作。
- 使用 Microsoft Entra ID 注册 NAC 合作伙伴解决方案,并向 Intune NAC API 授予委派权限。
- 通过包括 Intune 发现 URL 在内的适当设置来配置 NAC 伙伴解决方案。
- 配置 NAC 伙伴解决方案以进行证书身份验证。
- 用户连接到公司 Wi-Fi 访问点,或者提出 VPN 连接请求。
- NAC 伙伴解决方案将设备信息转发给 Intune,并询问 Intune 设备注册和符合性状态。
- 如果设备不符合或未注册,NAC 合作伙伴解决方案将指示用户注册或修复设备符合性。
- 设备会在可用时尝试重新验证其符合性和注册状态。
- 设备已注册且符合后,NAC 伙伴解决方案将从 Intune 获取状态。
- 成功建立的连接将允许设备访问公司资源。
注意
NAC 合作伙伴解决方案通常将向 Intune 发出两种不同类型的查询来询问设备的符合性状态:
- 查询基于单个设备(如其 IMEI 或 Wi-Fi MAC 地址)的已知属性值进行筛选
- 适用于所有不符合设备的广泛、未筛选的查询。
允许 NAC 解决方案根据需要创建多个特定于设备的查询。 但可能会限制未筛选的广泛查询。 NAC 解决方案应配置为仅提交“所有不合规设备”查询(最多每四小时一次)。 更频繁地进行查询将从 Intune 服务收到 http 503 错误。
启用 NAC
若要允许使用 NAC 和符合性检索服务,请参阅 NAC 产品的最新文档,了解如何启用 NAC 与 Intune 的集成。 此集成可能需要在升级到新的 NAC 产品或版本后进行更改。
合规性检索服务需要基于证书的身份验证,并使用 Intune 设备 ID 作为证书的使用者可选名称。 对于简单证书注册协议 (SCEP) 以及 PKCS) 证书 (私钥和公钥对,可以使用 NAC 提供程序定义的值添加 URI 类型的属性。 例如,NAC 提供程序的说明可能会说包含 IntuneDeviceId://{{DeviceID}}为 使用者可选名称。
将 NAC 与 iOS VPN 配置文件配合使用时,其他 NAC 产品可能需要包含设备 ID。
提示
建议尽可能对 Intune 设备 ID 使用基于证书的身份验证。 如果无法使用基于证书的身份验证,Intune 支持基于 MAC 地址查询设备。
有关证书配置文件的详细信息,请参阅 将 SCEP 证书配置文件与 Microsoft Intune 配合使用 和使用 PKCS 证书配置文件在 Microsoft Intune 中使用证书预配设备。
与 NAC 合作伙伴共享的数据
与 NAC 合作伙伴共享的特定设备属性取决于 NAC 产品使用的 NAC API 版本。 请联系 NAC 合作伙伴,详细了解 NAC 产品使用的 NAC 或符合性检索 API 版本。
此外,在以下的情况下,返回的数据将受到限制:
- 设备未在 Intune 中注册。 在这种情况下,除了设备不是由 Intune 管理的信息之外,不会与 NAC 产品共享。
- OS 会阻止与Microsoft共享特定设备属性。 对于操作系统未与 Intune 共享的数据属性,Intune 会将空值共享回 NAC 产品。
| 设备属性 | NAC 1.0 中可用 | NAC 1.1 中可用 | 在 NAC 1.3 中可用 | 在合规性检索/NAC 2.0 中可用 |
|---|---|---|---|---|
| 合规性状态 | 是 | 是 | 是 | 是 |
| 由 Intune 托管 | 是 | 是 | 是 | 是 |
| 个人或公司所有权 | 否 | 是 | 是 | 否 |
| MAC 地址 | 是 | 是 | 是 | 是 |
| 序列号 | 是 | 是 | 是 | 否 |
| IMEI | 是 | 是 | 是 | 否 |
| UDID | 是 | 是 | 是 | 否 |
| MEID | 是 | 是 | 是 | 否 |
| OS 版本 | 是 | 是 | 是 | 否 |
| 设备型号 | 是 | 是 | 是 | 否 |
| 制造商 | 是 | 是 | 是 | 否 |
| Microsoft Entra 设备 ID | 是 | 是 | 是 | 否 |
| 上次与 Intune 联系的时间 | 是 | 是 | 是 | 否 |
| Intune 设备 ID | 否 | 否 | 否 | 是 |