Intune 與 NAC) 合作夥伴 (網路存取控制整合,以協助組織在裝置嘗試存取內部部署資源時保護公司資料。
注意事項
合規性擷取服務已於 2021 年 7 月發行,並取代先前的 Intune NAC 服務。 Microsoft Intune 在 2024 年 3 月 31 日之前提供舊版 Intune NAC 服務的支援。 我們的 NAC 合作夥伴正在過渡到合規檢索服務,包括:
- 極限雲通用 ZTNA
- Extreme Networks ExtremeCloud IQ-Site Engine 24.2 版
- 思科ISE 3.1及更高版本
- Citrix Gateway 13.0-84.11 及更新版本
- Citrix Gateway 13.1-12.50 及更新版本
- F5 BIG-IP 存取原則管理員 14.1.5.2 和更新版本
- F5 BIG-IP 存取原則管理員 15.1.7 和更新版本
- F5 BIG-IP 存取原則管理員 16.1.3.1 和更新版本
- F5 BIG-IP 存取原則管理員 17.0 和更新版本
- Ivanti Connect Secure 9.1R16 及更新版本
- Aruba ClearPass 搭配 Microsoft Intune 擴充功能 v6 和更新版本
- Forescout eyeExtend Microsoft Module v1.0.1 及更新版本
- Portnox 雲
- Fortinet FortiNAC 9.4.x
- Fortinet FortiNAC-F 7.x 及更新版本
我們將來取代 Intune NAC 服務,因此建議您移轉至合規性擷取服務,以避免服務中斷。 如果您對合規性檢索服務或對租戶的影響有疑問,請聯絡您的 NAC 解決方案提供者。 如需合規性擷取服務和 NAC 合作夥伴的詳細資訊和更新,請參閱 Microsoft Tech Community:用於網路存取控制的新 Microsoft Intune 服務。
Intune 和 NAC 解決方案如何協助保護您的組織資源?
NAC 解決方案會使用 Intune 檢查裝置註冊和合規性狀態,以做出存取控制決策。 如果裝置未註冊,或已註冊且不符合 Intune 裝置合規性原則,則應該將裝置重新導向至 Intune 進行註冊,或進行裝置合規性檢查。
範例
如果裝置已註冊且符合 Intune,則 NAC 解決方案應該允許裝置存取公司資源。 例如,當嘗試存取公司 Wi-Fi 或 VPN 資源時,可以允許或拒絕使用者存取。
功能行為
主動同步處理至 Intune 的裝置無法從 [符合規範 / 、不符合規範 ] 移至 [ 未同步處理的 (] 或 [未知) ]。 [ 未知 ] 狀態會保留給尚未評估合規性的新註冊裝置。
對於封鎖存取資源的裝置,封鎖服務應該將所有使用者重新導向至 管理入口網站 ,以判斷裝置遭到封鎖的原因。 如果使用者造訪此頁面,則會同步重新評估其裝置的合規性。
NAC 和條件式存取
NAC 會與條件式存取搭配使用,以提供存取控制決策。 如需詳細資訊,請參閱 搭配 Intune 使用條件式存取的常見方式。
NAC 整合的運作方式
下列清單是與 Intune 整合時 NAC 整合運作方式的概觀。 前三個步驟 1-3 說明了入職流程。 一旦 NAC 解決方案與 Intune 整合,步驟 4-9 就會描述進行中的作業。
- 使用 Microsoft Entra ID 註冊 NAC 合作夥伴解決方案,並將委派的許可權授與 Intune NAC API。
- 使用適當的設定來設定 NAC 合作夥伴解決方案,包括 Intune 探索 URL。
- 設定 NAC 合作夥伴解決方案以進行憑證驗證。
- 使用者連線到公司 Wi-Fi 存取點或發出 VPN 連線請求。
- NAC 合作夥伴解決方案會將裝置資訊轉送至 Intune,並詢問 Intune 裝置註冊和合規性狀態。
- 如果裝置不符合規範或未註冊,NAC 合作夥伴解決方案會指示使用者註冊或修正裝置合規性。
- 裝置會嘗試在適用時重新驗證其合規性和註冊狀態。
- 一旦裝置註冊並符合規範,NAC 合作夥伴解決方案就會從 Intune 取得狀態。
- 連線已成功建立,允許裝置存取公司資源。
注意事項
NAC 合作夥伴解決方案通常會對 Intune 進行兩種不同類型的查詢,以詢問裝置合規性狀態:
- 根據單一裝置的已知屬性值(例如其 IMEI 或 Wi-Fi MAC 位址)進行查詢篩選
- 針對所有不合規裝置的廣泛、未經篩選的查詢。
允許 NAC 解決方案根據需要進行任意數量的設備特定查詢。 不過,廣泛的未篩選查詢可能會受到節流。 NAC解決方案應配置為僅提交 所有不合規裝置 查詢,最多每四小時提交一次。 更頻繁的查詢會從 Intune 服務收到 http 503 錯誤。
啟用 NAC
若要啟用 NAC 和合規性擷取服務的使用,請參閱 NAC 產品的最新檔,以啟用 NAC 與 Intune 的整合。 此整合可能需要您在升級至新的 NAC 產品或版本後進行變更。
合規性擷取服務需要憑證型驗證,並使用 Intune 裝置識別碼 作為憑證的主體替代名稱。 對於 SCEP) (Simple Certificate Enrollment Protocol 和 PKCS) 憑證 (私密金鑰和公開金鑰組,您可以新增 URI 類型的屬性,其中包含 NAC 提供者定義的值。 例如,您的 NAC 提供者的指示可能會說要包含 IntuneDeviceId://{{DeviceID}}為 主旨替代名稱。
其他 NAC 產品可能需要您在將 NAC 與 iOS VPN 設定檔搭配使用時包含裝置 ID。
提示
建議您盡可能搭配 Intune 裝置識別碼使用憑證型驗證。 如果您無法使用憑證型驗證,Intune 支援根據 MAC 位址查詢裝置。
如需憑證配置檔的詳細資訊,請參閱搭配 Microsoft Intune 使用 SCEP 憑證配置檔 和 使用 PKCS 憑證配置檔在 Microsoft Intune 中布建具有憑證的裝置。
與 NAC 合作夥伴共享的數據
與NAC合作夥伴共用的特定裝置屬性取決於NAC產品使用的NAC API版本。 請聯絡您的 NAC 合作夥伴,以取得有關您的 NAC 產品使用的 NAC 或合規擷取 API 版本的詳細資訊。
此外,如果出現以下情況,傳回的資料將會受到限制:
- 裝置未在 Intune 中註冊。 在此情況下,除了裝置不受 Intune 管理之外,不會與 NAC 產品共用任何資訊。
- OS 會防止與 Microsoft 共用特定裝置屬性。 Intune 會將空白值共用回 NAC 產品,以取得 OS 未與 Intune 共用的資料屬性。
| 裝置屬性 | 適用於 NAC 1.0 | 在 NAC 1.1 中可用 | 在 NAC 1.3 中可用 | 適用於合規檢索/NAC 2.0 |
|---|---|---|---|---|
| 合規性狀態 | 是 | 是 | 是 | 是 |
| 由 Intune 管理 | 是 | 是 | 是 | 是 |
| 個人或公司所有權 | 否 | 是 | 是 | 否 |
| MAC 位址 | 是 | 是 | 是 | 是 |
| 序號 | 是 | 是 | 是 | 否 |
| IMEI | 是 | 是 | 是 | 否 |
| UDID的 | 是 | 是 | 是 | 否 |
| 梅德 | 是 | 是 | 是 | 否 |
| 作業系統版本 | 是 | 是 | 是 | 否 |
| 裝置型號 | 是 | 是 | 是 | 否 |
| 製造商 | 是 | 是 | 是 | 否 |
| Microsoft Entra 裝置識別碼 | 是 | 是 | 是 | 否 |
| 上次與 Intune 的連絡時間 | 是 | 是 | 是 | 否 |
| Intune 裝置識別碼 | 否 | 否 | 否 | 是 |