Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

Microsoft Intune との統合

次の手順に従って、Intune 統合を理解し、Intune アカウントを Juniper Mist 組織にリンクし、ポリシー ルールを作成し、クライアント イベントを表示します。

概要

Microsoft Intune エンドポイント管理では、デバイス コンプライアンス ポリシーを使用して、ウイルス対策ソフトウェアの存在の確認、ファイアウォール規則のアカウント、クライアントの最新のセキュリティ パッチの確認などを行います。™ Juniper Mist Access Assurance では、Intune で管理されているデバイスのコンプライアンス状態を利用して、作成した認証ポリシーに従って追加のポスチャ評価を行うことができます。

図 1: デバイスのコンプライアンス状態を取得するための Microsoft Intune 統合 Microsoft Intune Integration for Getting Compliance State of the Device

Access Assurance を Intune と統合して、Mist ポータルで使用できます。たとえば、この統合を使用して、非準拠のクライアントを隔離VLANに分離し、準拠しているクライアントには企業ネットワークへのアクセスを許可するクライアント承認ポリシーをMistで作成できます。これを行うには、Juniper Mist AP でファームウェア バージョン 0.14 以降を実行し、Microsoft Entra ID の管理者アカウントを持っている必要があります (これは、Intune デバイス データを取得するための読み取り特権をMist Access Assuranceに付与するためです)。

ワイヤレス クライアントがログオンし、Juniper Mist AP で承認されると、クラウドベースの Mist Access Assurance サービスは Intune からクライアントのセキュリティ コンプライアンス状態を学習します。次に、その情報を認証ポリシーで使用し、結果に基づいて選択されたVLANにクライアントを接続します。上の図は [監視] ポータル ページの [分析情報] タブを示しており、Intune はクライアントの 1 つを非準拠として分類しています。

手記:

このドキュメントに含まれるスクリーンショットの一部は、サードパーティのアプリケーションからのものです。これらのスクリーンショットは時間の経過とともに変更される可能性があり、アプリケーションの現在のバージョンと常に一致するとは限らないことに注意してください。

仕組み

Access Assurance API は、認証された Intune マネージド クライアントの一覧について、2 時間ごとに Microsoft Intune をポーリングし、必要な更新を行います。マネージド デバイスに対する Microsoft Intune の既定のポーリング間隔は 8 時間ごとです。Mist Access Assuranceは、取得したコンプライアンス状態データをキャッシュして、取得時間を最適化します。

デバイスがコンプライアンス違反であることが判明した場合、Mist Access Assuranceは認証変更コマンドを発行し、ポリシーを再実行します。その後、ポリシーは必要に応じて必要な是正措置をトリガーし、デバイスをコンプライアンスに戻します。

この 2 つのサービス間の通信フローを 図 2 に示します。

図 2: Microsoft Intune Authentication and Authorization for Microsoft Intuneの認証と承認

クライアントのオンボーディングシーケンスには、次のものが含まれます。

  1. EAP-TLS認証—クライアントが接続(有線または無線)を開始し、認証要求がMistシステムに送信されます。
  2. NACアクセスの初期決定:クライアントは隔離VLAN/ロールに配置されます。デバイスのコンプライアンスが確認されるまで、アクセスが制限されます。
  3. デバイス ID 抽出 - Mist は、クライアント認証中に次の情報を使用して、クライアントを Microsoft Intune のデバイス レコードと照合します (検索順)。
    • ランダム化されていないMACアドレス
    • 証明書の [共通名 (CN)] フィールドの DeviceName または DeviceName.FQDN
    • DNS エントリとしての証明書のサブジェクト別名 (SAN) からの DeviceID

    EAP-TLS 認証では、これらの識別子のいずれかが見つかればマッチングが成功します。

    EAP-TTLS 認証の場合、Mist Access Assurance はランダム化されていない MAC アドレスのみを使用して Intune デバイス レコードと照合します。

  4. MDM 参照 - 抽出された ID を使用して Mist Microsoft Intune に対してクエリを実行します。デバイスのコンプライアンス状態を取得します。
  5. MDM 応答 - Intune によってデバイスの状態が返されます。

    • クライアントデバイスが準拠していることが判明した場合、アクセスが提供されます。

    • クライアント デバイスが非準拠の場合、検疫されたままになります。

  6. Change of Authorization(CoA)—Mistは、APまたはスイッチを介してCoAをトリガーします。クライアント セッションは、更新されたアクセス権で更新されます。
  7. [EAP-TLS 再認証(EAP-TLS Re-Authentication)]:クライアントは更新された VLAN/ロールで再認証します。
  8. NACアクセスの最終決定:クライアントは制限されていないVLAN/ロールに配置されます。フルネットワークアクセスが許可されます。
手記:

Microsoft Intuneを介したデバイス検索プロセスは、システムの負荷と応答間隔に応じて時間を設定できます。シームレスなオンボーディングエクスペリエンスを確保するために、クライアントデバイスの初期アクセスを許可する認証ポリシーを構成することをお勧めします。

組織のセキュリティ標準とアクセス制御ポリシーに従ってポリシーを構成し、初期接続時に適切な保護手段を確立します。

MDMルックアップが成功し、デバイスレコードが動的デバイスデータベース(DDB)に追加されると、Mist MDMサービスは、関連するAPまたはスイッチにChange of Authorization(CoA)メッセージを自動的に送信します。これにより、クライアントに再接続を求めるプロンプトが表示されます。

再接続時に、クライアントは MDM 認証ポリシーに対して評価され、デバイスのコンプライアンス状態 (準拠または非準拠) に基づいてアクセスが決定されます。

次のセクションでは、識別子について詳しく説明します。

ランダム化されていないMACアドレス

[クライアント イベント] にランダム化されていない MAC アドレスを表示する場合は、Intune Wi-Fi 設定で MAC のランダム化を無効にする必要があります。この表示では、EAP-TTLS 認証と EAP-TLS 認証の両方がサポートされており、Intune のクライアント MAC アドレスが使用されます。

図3:MACアドレスのランダム化Disable MAC Address Randomizationを無効にする

DeviceName または DeviceName.FQDN

[クライアント イベント] で、証明書 CN に表示される名前は、Intune SCEP 証明書構成 ([サブジェクト名の形式] フィールド) に由来します。証明書 SAN (DNS 名) に表示されるクライアント イベント名は、SAN:DNS 証明書フィールドの Intune デバイス ID のエンコードに使用される Intune SCEP プロファイル変数から取得されます

図4:証明書CNの詳細 Certificate CN Details

Intune SCEP プロファイルで、変数を使用してこの証明書を作成します。

証明書のSANのDeviceID:DNS

次の図に示すように、ポータル クライアント イベントの DNS 証明書属性Juniper Mist SAN でエンコードされた Intune デバイス ID。

Intune SCEP プロファイルで、変数を使用して [SAN:DNS 証明書] フィールドで Intune デバイス ID をエンコードします。

Intune を Mist ポータルに追加する

Microsoft Intune を Mist Access Assurance ポータルに追加するには、次の手順を実行します。

  1. Juniper Mist ポータルの左側のメニューから、 [組織] |アイデンティティプロバイダ>アクセス
  2. 「 リンクされたアカウント 」セクションで、「 アカウントをリンク 」をクリックします。
  3. [Microsoft Intune] を選択します。

  4. シングルサインオン(SSO)ログインのためにMicrosoft Entra ID / Intuneにリダイレクトされ、Microsoft Intuneデバイスデータを読み取るためのMist Access Assuranceポータルへのアクセス許可を付与するように求められます。

    図 5: Intune 統合Permissions for Intune Integrationのアクセス許可

    Intune アカウントをリンクすると、接続されている Intune アカウントの状態が [ID プロバイダー] ページに表示されます。

    図 6: リンクされた Intune アカウントの状態 Linked Intune Account Status
    図 7: リンクされた Intune アカウントの詳細 Linked Intune Account Details
  5. (オプション)Intune アカウントをリンクすると、[ID プロバイダー] ページに Intune アカウントの状態が表示されます。 組織 |ID プロバイダー>にアクセスします。

ポリシー・ルールの作成

Intune アカウントを Mist にリンクすると、Mist認証ポリシーで管理されたデバイスのコンプライアンス状態を活用できます。たとえば、非準拠のクライアントを隔離VLANに配置し、準拠しているデバイスには企業VLANへの接続を許可することができます。これを行うには、準拠と非準拠のラベルのペアを作成し、企業と検疫VLAN用の別のペアを作成します。次に、認証ポリシールールのペアでこれらのラベルを使用して、ネットワークアクセスを自動的に管理します。

コンプライアンスラベルと検疫ラベルを作成します。

  1. Juniper Mist ポータルの左側のメニューから、 [Organization > Access > Auth Policies](認証ポリシー) を選択します。
  2. [ ラベルの作成 ] ボタンをクリックし、ラベルに「 Intune-Compliant」などの名前を付けます。
  3. [ Label Type (ラベルタイプ)] で [ MDM Compliance (MDM コンプライアンス)] を選択します。
  4. [ ラベル値] で [ 準拠] を選択します。

  5. 作成 」ボタンをクリックします。

  6. 次に示すように、これらの手順を繰り返して残りのラベルを作成します。

    • ラベル名: Intune-Non-Compliant、 ラベルの種類: MDM コンプライアンス、 ラベル値: 非準拠

    • ラベル名:quarantine、 ラベルタイプ:AAA、 ラベル値:VLAN、 1

    • ラベル名:Corp VLAN、 ラベルタイプ:AAA、 ラベル値:VLAN、 750

認証ポリシールールを作成します。

  1. ルールの追加 」ボタンをクリックし、ルールに「 Corp Compliant」などの名前を付けます。
  2. 一致条件 」列で、「+」アイコンをクリックし、表示されるリストから「 Intune-Compliant 」を選択します。
  3. [ ポリシー ] 列で、 [許可] を選択します。
  4. [Assigned Policies] 列で [+] アイコンをクリックし、[ Corp VLAN] を選択します。
    図 8: Intune Compliance Rules Based on Intuneに基づくコンプライアンス ルール

  5. これらの手順を繰り返して、検疫ルールを作成します。

  6. 完了したら、「 保存」をクリックします。

クライアントイベントの表示

次の図に示すように、[監視] ポータル ページの [分析情報] タブの [クライアント イベント] セクションに表示される値は、Microsoft の構成方法によって異なります。

図 9: Mist ポータル Monitor Intune-based Access Assurance Policy Events in the Mist Portalで Intune ベースの Access Assurance ポリシー イベントを監視する

関連資料