Integration mit Microsoft Intune

Überblick

Microsoft Intune Endpoint Management verwendet Gerätekonformitätsrichtlinien, um das Vorhandensein einer Antivirensoftware zu überprüfen, Firewallregeln zu berücksichtigen, Clients auf die neuesten Sicherheitspatches zu überprüfen usw. ™ Juniper Mist Access Assurance kann den Konformitätsstatus des von Intune verwalteten Geräts für eine zusätzliche Zustandsbewertung gemäß den von Ihnen erstellten Authentifizierungsrichtlinien nutzen.

Sie können Access Assurance in Intune integrieren, um es im Mist-Portal zu verwenden. Beispielsweise können Sie die Integration verwenden, um eine Client-Autorisierungsrichtlinie in Mist zu erstellen, die nicht konforme Clients in ein Quarantäne-VLAN trennt, während konforme Clients auf das Unternehmensnetzwerk zugreifen können. Dazu müssen Sie die Firmwareversion 0.14 oder höher auf den Juniper Mist APs ausführen und über ein Administratorkonto für Microsoft Entra ID verfügen (dies dient dazu, Mist Access Assurance Leserechte zum Abrufen der Intune-Gerätedaten zu erteilen).

Wenn sich drahtlose Clients bei einem Juniper Mist AP anmelden und autorisiert werden, ermittelt der cloudbasierte Mist Access Assurance Dienst den Sicherheitskonformitätsstatus des Clients von Intune. Diese Informationen werden dann in einer Authentifizierungsrichtlinie verwendet, um den Client basierend auf den Ergebnissen mit einem ausgewählten VLAN zu verbinden. In der obigen Abbildung, die die Registerkarte "Einblicke" auf der Seite "Portal überwachen" zeigt, hat Intune einen der Clients als nicht konform klassifiziert.

Anmerkung:

Einige der in diesem Dokument enthaltenen Screenshots stammen aus Anwendungen von Drittanbietern. Beachten Sie, dass sich diese Screenshots im Laufe der Zeit ändern können und möglicherweise nicht immer mit der aktuellen Version der Anwendungen übereinstimmen.

Funktionsweise

Die Access Assurance-API fragt Microsoft Intune alle zwei Stunden nach einer Liste der authentifizierten, von Intune verwalteten Clients ab und führt alle erforderlichen Aktualisierungen durch. Das Standardabrufintervall für Microsoft Intune an die verwalteten Geräte beträgt alle acht Stunden. Mist Access Assurance speichert die abgerufenen Daten zum Konformitätsstatus im Cache, um die Abrufzeiten zu optimieren.

Wenn festgestellt wird, dass ein Gerät nicht konform ist, gibt Mist Access Assurance einen Befehl zur Änderung der Autorisierung aus und führt die Richtlinie erneut aus. Die Richtlinie löst dann bei Bedarf die erforderlichen Korrekturmaßnahmen aus, um das Gerät wieder in den konformen Zustand zu versetzen.

Der Kommunikationsfluss zwischen den beiden Services ist in der folgenden Abbildung dargestellt.

Mist Access Assurance verwendet die folgenden Informationen während der Clientauthentifizierung, um einen Client mit einem Gerätedatensatz in Microsoft Intune abzugleichen:

• Nicht zufällige MAC-Adresse: Wenn Sie nicht zufällige MAC-Adressen unter Clientereignisse anzeigen möchten, müssen Sie die MAC-Randomisierung in den Intune-WLAN-Einstellungen deaktivieren. Diese Anzeige unterstützt sowohl die EAP-TTLS- als auch die EAP-TLS-Authentifizierung und verwendet die Client-MAC-Adresse von Intune.

  Abbildung 3: Deaktivieren der MAC-Adressen-Randomisierung
• DeviceName oder DeviceName.FQDN: Unter Clientereignisse stammt der für Zertifikat-CN angezeigte Name aus der Intune SCEP-Zertifikatkonfiguration (dies ist das Feld Antragstellernameformat). Der für Zertifikat-SAN (DNS-Name) angezeigte Name der Clientereignisse stammt aus der Intune SCEP-Profilvariablen, die zum Codieren der Intune-Geräte-ID im Feld SAN:DNS-Zertifikat verwendet wird
  Abbildung 4: CN-Details des Zertifikats
  .

  Verwenden Sie im Intune SCEP-Profil die Variablen, um dieses Zertifikat zu erstellen.

  

• Intune-Geräte-ID, codiert im SAN:DNS-Zertifikatsattribut in Juniper Mist Portalclientereignissen, wie in der folgenden Abbildung dargestellt.

  

• Verwenden Sie im Intune SCEP-Profil die Variable, um die Intune-Geräte-ID im Feld SAN:DNS-Zertifikat zu codieren.

  

Hinzufügen von Intune zum Mist Portal

So fügen Sie Microsoft Intune zum Mist Access Assurance-Portal hinzu:

1. Wählen Sie im linken Menü des Juniper Mist Portals die Option Organisation | Access > Identity Provider
2. Klicken Sie im Abschnitt "Verknüpfte Konten" auf "Konto verknüpfen " .
3. Wählen Sie Microsoft Intune aus.
   

4. Sie werden für die Anmeldung beim einmaligen Anmelden (Single Sign-On, SSO) zu Microsoft Entra ID/Intune umgeleitet und dann aufgefordert, dem Mist Access Assurance-Portal die Berechtigung zum Lesen von Microsoft Intune-Gerätedaten zu erteilen.

   Abbildung 5: Berechtigungen für die Intune-Integration

   Nach dem Verknüpfen des Intune-Kontos wird der Status des verbundenen Intune-Kontos auf der Seite Identitätsanbieter angezeigt.

   Abbildung 6: Status des verknüpften Intune-Kontos
   Abbildung 7: Verknüpfte Intune-Kontodetails
5. (Optional) Nachdem Sie das Intune-Konto verknüpft haben, können Sie den Status des Intune-Kontos auf der Seite Identitätsanbieter anzeigen: Organisation | Greifen Sie > Identitätsanbieter zu.

Erstellen von Richtlinienregeln

Wenn das Intune-Konto mit Mist verknüpft ist, können Sie den Gerätekonformitätsstatus in Ihren Mist Authentifizierungsrichtlinien verwalten. So können Sie beispielsweise nicht konforme Clients in ein Quarantäne-VLAN verschieben und gleichzeitig kompatiblen Geräten erlauben, sich mit dem Unternehmens-VLAN zu verbinden. Sie tun dies, indem Sie ein Paar von Labels für Konformität und Nichtkonformität und ein weiteres Paar für Corp- und Quarantäne-VLANs erstellen. Anschließend verwenden Sie diese Bezeichnungen in einem Paar von Authentifizierungsrichtlinienregeln, um den Netzwerkzugriff automatisch zu steuern.

Erstellen von Compliance- und Quarantänebezeichnungen:

1. Wählen Sie im linken Menü des Juniper Mist Portals die Option Organization > Access > Auth Policies aus.
2. Klicken Sie auf die Schaltfläche Beschriftung erstellen , und geben Sie der Beschriftung einen Namen, z. B Intune-Compliant. . .
3. Wählen Sie unter Label Type (Bezeichnungstyp) die Option MDM-Compliance aus.
4. Wählen Sie unter Bezeichnungswerte die Option Konform aus.
   

5. Klicken Sie auf die Schaltfläche Erstellen .

6. Wiederholen Sie diese Schritte, um die verbleibenden Beschriftungen zu erstellen, wie hier gezeigt:

   • Bezeichnungsname: Intune-Non-Compliant, Bezeichnungstyp: MDM-Compliance, Bezeichnungswert: Nicht konform

     
   • Labelname: Quarantäne, Labeltyp: AAA, Labelwert: VLAN, 1

   • Labelname: Corp VLAN, Label-Typ: AAA, Label-Wert: VLAN, 750

     

Erstellen von Authentifizierungsrichtlinienregeln:

1. Klicken Sie auf die Schaltfläche Regel hinzufügen , und geben Sie der Regel einen Namen, z. B Corp Compliant. . .
2. Klicken Sie in der Spalte Übereinstimmungskriterien auf das Symbol +, und wählen Sie dann aus der angezeigten Liste aus Intune-Compliant .
3. Wählen Sie in der Spalte Richtlinie die Option Zulassen aus.
4. Klicken Sie in der Spalte "Zugewiesene Richtlinien" auf das Symbol "+" und wählen Sie dann "Corp-VLAN" aus.
   Abbildung 8: Auf Intune basierende Konformitätsregeln

5. Wiederholen Sie diese Schritte, um die Quarantäneregel zu erstellen.

6. Wenn Sie fertig sind, klicken Sie auf Speichern.

Anzeigen von Client-Ereignissen

Wie in der folgenden Abbildung dargestellt, hängen die angezeigten Werte für einige Parameter im Abschnitt Clientereignisse auf der Registerkarte "Einblicke" der Seite "Überwachen" davon ab, wie Sie Microsoft konfiguriert haben.