Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Integration in Microsoft Intune

Führen Sie die folgenden Schritte aus, um Intune-Integrationen zu verstehen, Ihr Intune-Konto mit Ihrer Juniper Mist Systems-Organisation zu verknüpfen, Richtlinienregeln zu erstellen und Clientereignisse anzuzeigen.

Überblick

Microsoft Intune Endpoint Management verwendet Gerätekonformitätsrichtlinien, um das Vorhandensein einer Antivirensoftware zu überprüfen, Firewallregeln zu berücksichtigen, Clients auf die neuesten Sicherheitspatches zu überprüfen usw. Juniper Mist Systems™ Access Assurance kann den Konformitätsstatus von Intune-verwalteten Geräten für eine zusätzliche Zustandsbewertung gemäß den von Ihnen erstellten Authentifizierungsrichtlinien nutzen.

Abbildung 1: Microsoft Intune-Integration zum Abrufen des Konformitätsstatus des Geräts Microsoft Intune Integration for Getting Compliance State of the Device

Sie können Access Assurance in Intune integrieren, um es im Mist Systems Portal zu verwenden. Beispielsweise können Sie die Integration nutzen, um eine Client-Autorisierungsrichtlinie in Mist Systems zu erstellen, die nicht-konforme Clients in ein Quarantäne-VLAN segregiert, während konforme Clients auf das Unternehmensnetzwerk zugreifen können. Dazu müssen Sie die Firmwareversion 0.14 oder höher auf den Juniper Mist Systems APs ausführen und über ein Administratorkonto auf der Microsoft Entra ID verfügen (dies dient dazu, Mist Access Assurance Leserechte zum Abrufen der Intune-Gerätedaten zu erteilen).

Wenn sich drahtlose Clients bei einem Juniper Mist Systems AP anmelden und autorisiert werden, erfährt der Cloud-basierte Mist Access Assurance-Service den Sicherheitskonformitätsstatus des Clients von Intune. Diese Informationen werden dann in einer Authentifizierungsrichtlinie verwendet, um den Client basierend auf den Ergebnissen mit einem ausgewählten VLAN zu verbinden. In der obigen Abbildung, die die Registerkarte "Einblicke" auf der Seite "Monitorportal" zeigt, hat Intune einen der Clients als nicht konform eingestuft.

Hinweis:

Einige der Screenshots in diesem Dokument stammen aus Anwendungen von Drittanbietern. Beachten Sie, dass sich diese Screenshots im Laufe der Zeit ändern können und nicht immer mit der aktuellen Version der Anwendungen übereinstimmen.

Wie es funktioniert

Die Access Assurance-API fragt Microsoft Intune alle zwei Stunden nach einer Liste der authentifizierten, von Intune verwalteten Clients ab und führt alle erforderlichen Aktualisierungen durch. Das Standardabrufintervall für Microsoft Intune für seine verwalteten Geräte beträgt alle acht Stunden. Mist Access Assurance speichert die abgerufenen Compliance-Statusdaten zwischen, um die Abrufzeiten zu optimieren.

Wenn ein Gerät nicht konform ist, gibt Mist Access Assurance einen Befehl zur Änderung der Autorisierung aus und führt die Richtlinie erneut aus. Die Richtlinie löst dann bei Bedarf die erforderlichen Korrekturmaßnahmen aus, um das Gerät wieder konform zu machen.

Der Kommunikationsfluss zwischen den beiden Diensten ist in Abbildung 2 dargestellt.

Abbildung 2: Authentifizierung und Autorisierung für Microsoft Intune Authentication and Authorization for Microsoft Intune

Die Reihenfolge des Onboardings für Kunden umfasst:

  1. EAP-TLS-Authentifizierung: Der Client initiiert eine Verbindung (kabelgebunden oder drahtlos) und die Authentifizierung wird an das Mist Systems System gesendet.
  2. Anfängliche NAC-Zugriffsentscheidung: Der Client wird in ein Quarantäne-VLAN/eine Quarantäne-Rolle versetzt. Eingeschränkter Zugriff wird gewährt, bis die Gerätekonformität überprüft wurde.
  3. Extraktion von Geräteidentitäten: Mist Systems verwendet die folgenden Informationen während der Client-Authentifizierung, um einen Client mit einem Geräteeintrag in Microsoft Intune abzugleichen (in der Reihenfolge der Suche):
    • Nicht zufällige MAC-Adresse
    • DeviceName oder DeviceName.FQDN aus dem Feld Common Name (CN) des Zertifikats
    • Geräte-ID aus dem alternativen Antragstellernamen (SAN) des Zertifikats als DNS-Eintrag

    Bei der EAP-TLS-Authentifizierung ist eine Übereinstimmung erfolgreich, wenn einer dieser Bezeichner gefunden wird.

    Für die EAP-TTLS-Authentifizierung verwendet Mist Access Assurance nur die nicht zufällige MAC-Adresse, um sie mit Intune-Geräteeinträgen abzugleichen.

  4. MDM-Suche: Mist Systems fragt Microsoft Intune anhand der extrahierten Identität ab. Rufen Sie den Konformitätsstatus des Geräts ab.
  5. MDM-Antwort: Intune gibt den Gerätestatus zurück.

    • Wenn das Clientgerät für konform befunden wird, wird der Zugriff gewährt.

    • Wenn das Clientgerät nicht konform ist, bleibt es in Quarantäne.

  6. Änderung der Autorisierung (Change of Authorization, CoA): Mist Systems löst CoA über den AP oder Switch aus. Die Client-Sitzung wird mit aktualisierten Zugriffsrechten aktualisiert.
  7. EAP-TLS-Neuauthentifizierung: Der Client authentifiziert sich erneut mit dem aktualisierten VLAN/der aktualisierten Rolle.
  8. Endgültige NAC-Zugriffsentscheidung: Der Client wird in ein uneingeschränktes VLAN/eine uneingeschränkte Rolle versetzt. Vollständiger Netzwerkzugriff wird gewährt.
Hinweis:

Der Prozess der Gerätesuche über Microsoft Intune kann abhängig von der Systemlast und den Antwortintervallen dauern. Um ein nahtloses Onboarding zu gewährleisten, empfehlen wir, eine Authentifizierungsrichtlinie zu konfigurieren, die den anfänglichen Zugriff für das Clientgerät zulässt.

Konfigurieren Sie die Richtlinie in Übereinstimmung mit den Sicherheitsstandards und Zugriffssteuerungsrichtlinien Ihrer Organisation, um während der ersten Verbindung angemessene Sicherheitsvorkehrungen zu treffen.

Sobald die MDM-Suche erfolgreich war und der Gerätedatensatz der Dynamic Device Database (DDB) hinzugefügt wurde, sendet der MDM-Service von Mist Systems automatisch eine CoA-Nachricht (Change of Authorization) an den zugehörigen AP oder Switch. Dadurch wird der Client aufgefordert, die Verbindung wiederherzustellen.

Bei der Wiederherstellung der Verbindung wird der Client anhand der MDM-Authentifizierungsrichtlinie bewertet, die den Zugriff basierend auf dem Konformitätsstatus des Geräts bestimmt – entweder konform oder nicht konform.

In den folgenden Abschnitten finden Sie weitere Details zu den Bezeichnern.

Nicht zufällige MAC-Adresse

Wenn Sie nicht zufällige MAC-Adressen unter Clientereignisse anzeigen möchten, müssen Sie die MAC-Randomisierung in den Intune-WLAN-Einstellungen deaktivieren. Diese Anzeige unterstützt sowohl die EAP-TTLS- als auch die EAP-TLS-Authentifizierung und verwendet die Client-MAC-Adresse von Intune.

Hinweis:

Die Screenshots aus Anwendungen von Drittanbietern sind zum Zeitpunkt der Veröffentlichung korrekt. Wir haben keine Möglichkeit zu wissen, wann oder ob die Screenshots zu einem späteren Zeitpunkt korrekt sein werden. Auf der Website des Drittanbieters finden Sie Informationen zu Änderungen an diesen Bildschirmen oder den beteiligten Workflows.
Abbildung 3: Deaktivieren der MAC-Adressenrandomisierung Disable MAC Address Randomization

Gerätename oder Gerätename.FQDN

Unter Clientereignisse stammt der für Zertifikat-CN angezeigte Name aus der Intune SCEP-Zertifikatkonfiguration (es handelt sich um das Feld Antragstellernamenformat). Der Name der Clientereignisse, der für Zertifikat-SAN (DNS-Name) angezeigt wird, stammt aus der Intune SCEP-Profilvariablen, die zum Codieren der Intune-Geräte-ID im Feld SAN:DNS-Zertifikat verwendet wird.

Abbildung 4: CN-Details Certificate CN Details zum Zertifikat

Verwenden Sie im Intune SCEP-Profil die Variablen, um dieses Zertifikat zu erstellen.

Geräte-ID im SAN:DNS des Zertifikats

Intune-Geräte-ID, die im SAN:DNS-Zertifikatattribut in Clientereignissen des Juniper Mist Systems-Portals codiert ist, wie in der folgenden Abbildung dargestellt.

Verwenden Sie im Intune SCEP-Profil die Variable, um die Intune-Geräte-ID im Feld SAN:DNS-Zertifikat zu codieren.

Hinzufügen von Intune zum Mist Systems Portal

So fügen Sie Microsoft Intune zum Mist Access Assurance-Portal hinzu:

  1. Wählen Sie im linken Menü des Juniper Mist Systems Portals die Option Organisation | Zugriffs - > Identitätsanbieter
  2. Klicken Sie im Abschnitt Verknüpfte Konten auf Konto verknüpfen .
  3. Wählen Sie Microsoft Intune aus.

  4. Sie werden für die Anmeldung bei einmaligem Anmelden (SSO) zu Microsoft Entra ID/Intune umgeleitet und dann aufgefordert, dem Mist Access Assurance-Portal die Berechtigung zum Lesen von Microsoft Intune-Gerätedaten zu erteilen.

    Abbildung 5: Berechtigungen für die Intune-Integration Permissions for Intune Integration

    Nach dem Verknüpfen des Intune-Kontos wird der Status des verbundenen Intune-Kontos auf der Seite Identitätsanbieter angezeigt.

    Abbildung 6: Status Linked Intune Account Status des verknüpften Intune-Kontos
    Abbildung 7: Verknüpfte Intune-Kontodetails Linked Intune Account Details
  5. (Optional) Nach dem Verknüpfen des Intune-Kontos können Sie den Intune-Kontostatus auf der Seite Identitätsanbieter anzeigen: Organisation | Zugriffs- > Identitätsanbieter.

Erstellen von Richtlinienregeln

Wenn das Intune-Konto mit Mist Systems verknüpft ist, können Sie den verwalteten Gerätekonformitätsstatus in Ihren Mist Systems Auth-Richtlinien nutzen. So können Sie beispielsweise nicht konforme Clients in ein Quarantäne-VLAN versetzen, während konforme Geräte eine Verbindung zum Unternehmens-VLAN herstellen können. Erstellen Sie dazu ein Label-Paar für Compliance und Non-Compliance und ein weiteres Paar für Corp- und Quarantäne-VLANs. Anschließend verwenden Sie diese Bezeichnungen in einem Paar von Authentifizierungsrichtlinienregeln, um den Netzwerkzugriff automatisch zu steuern.

Erstellen Sie Konformitäts- und Quarantäne-Labels:

  1. Wählen Sie im linken Menü des Juniper Mist Systems-Portals die Option Organisations- > Zugriffs- > Authentifizierungsrichtlinien aus.
  2. Klicken Sie auf die Schaltfläche Label erstellen , und geben Sie der Bezeichnung einen Namen, z. B Intune-Compliant.
  3. Wählen Sie unter Label-Typ die Option MDM-Konformität aus.
  4. Wählen Sie unter Bezeichnungswerte die Option Konform aus.

  5. Klicken Sie auf die Schaltfläche Erstellen .

  6. Wiederholen Sie diese Schritte, um die verbleibenden Beschriftungen zu erstellen, wie hier gezeigt:

    • Bezeichnungsname: Intune-Non-Compliant, Bezeichnungstyp: MDM-Compliance, Bezeichnungswert: Nicht konform

    • Labelname: Quarantäne, Labeltyp: AAA, Labelwert: VLAN, 1

    • Labelname: Corp VLAN, Labeltyp: AAA, Labelwert: VLAN, 750

Erstellen von Authentifizierungsrichtlinienregeln:

  1. Klicken Sie auf die Schaltfläche Regel hinzufügen , und geben Sie der Regel einen Namen, z. B Corp Compliant.
  2. Klicken Sie in der Spalte Übereinstimmungskriterien auf das Symbol +, und wählen Sie dann aus der angezeigten Liste aus Intune-Compliant .
  3. Wählen Sie in der Spalte Richtlinie die Option Zulassen aus.
  4. Klicken Sie in der Spalte Zugewiesene Richtlinien auf das Symbol + und wählen Sie dann Corp VLAN aus.
    Abbildung 8: Complianceregeln basierend auf Intune Compliance Rules Based on Intune

  5. Wiederholen Sie diese Schritte, um die Quarantäneregel zu erstellen.

  6. Wenn Sie fertig sind, klicken Sie auf Speichern.

Anzeigen von Clientereignissen

Wie in der folgenden Abbildung gezeigt, hängen die Werte, die für einige Parameter angezeigt werden, im Abschnitt Clientereignisse auf der Registerkarte Einblicke der Monitorportalseite davon ab, wie Sie Microsoft konfiguriert haben.

Abbildung 9: Überwachen von Intune-basierten Access Assurance-Richtlinienereignissen im Mist Systems Portal Monitor Intune-based Access Assurance Policy Events in the Mist Portal

Zugehörige Dokumentation