Microsoft Intune との統合

概要

Microsoft Intune エンドポイント管理では、デバイス コンプライアンス ポリシーを使用して、ウイルス対策ソフトウェアの存在の確認、ファイアウォール規則のアカウント、クライアントの最新のセキュリティ パッチの確認などを行います。™ Juniper Mist Access Assurance では、Intune で管理されているデバイスのコンプライアンス状態を利用して、作成した認証ポリシーに従って追加のポスチャ評価を行うことができます。

Access Assurance を Intune と統合して、Mist ポータルで使用できます。たとえば、この統合を使用して、非準拠のクライアントを隔離VLANに分離し、準拠しているクライアントには企業ネットワークへのアクセスを許可するクライアント承認ポリシーをMistで作成できます。これを行うには、Juniper Mist AP でファームウェア バージョン 0.14 以降を実行し、Microsoft Entra ID の管理者アカウントを持っている必要があります (これは、Intune デバイス データを取得するための読み取り特権をMist Access Assuranceに付与するためです)。

ワイヤレス クライアントがログオンし、Juniper Mist AP で承認されると、クラウドベースの Mist Access Assurance サービスは Intune からクライアントのセキュリティ コンプライアンス状態を学習します。次に、その情報を認証ポリシーで使用し、結果に基づいて選択されたVLANにクライアントを接続します。上の図は [監視] ポータル ページの [分析情報] タブを示しており、Intune はクライアントの 1 つを非準拠として分類しています。

手記：

このドキュメントに含まれるスクリーンショットの一部は、サードパーティのアプリケーションからのものです。これらのスクリーンショットは時間の経過とともに変更される可能性があり、アプリケーションの現在のバージョンと常に一致するとは限らないことに注意してください。

仕組み

Access Assurance API は、認証された Intune マネージド クライアントの一覧について、2 時間ごとに Microsoft Intune をポーリングし、必要な更新を行います。マネージド デバイスに対する Microsoft Intune の既定のポーリング間隔は 8 時間ごとです。Mist Access Assuranceは、取得したコンプライアンス状態データをキャッシュして、取得時間を最適化します。

デバイスがコンプライアンス違反であることが判明した場合、Mist Access Assuranceは認証変更コマンドを発行し、ポリシーを再実行します。その後、ポリシーは必要に応じて必要な是正措置をトリガーし、デバイスをコンプライアンスに戻します。

2 つのサービス間の通信フローを次の図に示します。

Mist Access Assuranceは、クライアント認証時に次の情報を使用して、クライアントをMicrosoft Intuneのデバイスレコードと照合します。

• ランダム化されていない MAC アドレス - [クライアント イベント] にランダム化されていない MAC アドレスを表示する場合は、Intune Wi-Fi 設定で MAC ランダム化を無効にする必要があります。この表示では、EAP-TTLS 認証と EAP-TLS 認証の両方がサポートされており、Intune のクライアント MAC アドレスが使用されます。

  図3:MACアドレスのランダム化を無効にする
• DeviceName または DeviceName.FQDN - [クライアント イベント] で、証明書 CN に表示される名前は、Intune SCEP 証明書構成 ([サブジェクト名の形式] フィールド) から取得されます。証明書 SAN (DNS 名) に表示されるクライアント イベント名は、SAN:DNS 証明書フィールドの Intune デバイス ID のエンコードに使用される Intune SCEP プロファイル変数から取得されます
  図 4:証明書CNの詳細
  .

  Intune SCEP プロファイルで、変数を使用してこの証明書を作成します。

  

• 次の図に示すように、ポータル クライアント イベントの DNS 証明書属性Juniper Mist SAN でエンコードされた Intune デバイス ID。

  

• Intune SCEP プロファイルで、変数を使用して [SAN:DNS 証明書] フィールドで Intune デバイス ID をエンコードします。

  

Intune を Mist ポータルに追加する

Microsoft Intune を Mist Access Assurance ポータルに追加するには、次の手順を実行します。

1. Juniper Mist ポータルの左側のメニューから、 [組織] |アイデンティティプロバイダ>アクセス
2. 「 リンクされたアカウント 」セクションで、「 アカウントをリンク 」をクリックします。
3. [Microsoft Intune] を選択します。
   

4. シングルサインオン(SSO)ログインのためにMicrosoft Entra ID / Intuneにリダイレクトされ、Microsoft Intuneデバイスデータを読み取るためのMist Access Assuranceポータルへのアクセス許可を付与するように求められます。

   図 5: Intune 統合のアクセス許可

   Intune アカウントをリンクすると、接続されている Intune アカウントの状態が [ID プロバイダー] ページに表示されます。

   図 6: リンクされた Intune アカウントの状態
   図 7: リンクされた Intune アカウントの詳細
5. (オプション)Intune アカウントをリンクすると、[ID プロバイダー] ページに Intune アカウントの状態が表示されます。 組織 |ID プロバイダー>にアクセスします。

ポリシー・ルールの作成

Intune アカウントを Mist にリンクすると、Mist認証ポリシーで管理されたデバイスのコンプライアンス状態を活用できます。たとえば、非準拠のクライアントを隔離VLANに配置し、準拠しているデバイスには企業VLANへの接続を許可することができます。これを行うには、準拠と非準拠のラベルのペアを作成し、企業と検疫VLAN用の別のペアを作成します。次に、認証ポリシールールのペアでこれらのラベルを使用して、ネットワークアクセスを自動的に管理します。

コンプライアンスラベルと検疫ラベルを作成します。

1. Juniper Mist ポータルの左側のメニューから、 [Organization > Access > Auth Policies](認証ポリシー) を選択します。
2. [ ラベルの作成 ] ボタンをクリックし、ラベルに「 Intune-Compliant」などの名前を付けます。
3. [ Label Type (ラベルタイプ)] で [ MDM Compliance (MDM コンプライアンス)] を選択します。
4. [ ラベル値] で [ 準拠] を選択します。
   

5. 「 作成 」ボタンをクリックします。

6. 次に示すように、これらの手順を繰り返して残りのラベルを作成します。

   • ラベル名: Intune-Non-Compliant、 ラベルの種類: MDM コンプライアンス、 ラベル値: 非準拠

     
   • ラベル名:quarantine、 ラベルタイプ:AAA、 ラベル値:VLAN、 1

   • ラベル名:Corp VLAN、 ラベルタイプ:AAA、 ラベル値:VLAN、 750

     

認証ポリシールールを作成します。

1. 「 ルールの追加 」ボタンをクリックし、ルールに「 Corp Compliant」などの名前を付けます。
2. 「 一致条件 」列で、「+」アイコンをクリックし、表示されるリストから「 Intune-Compliant 」を選択します。
3. [ ポリシー ] 列で、 [許可] を選択します。
4. [Assigned Policies] 列で [+] アイコンをクリックし、[ Corp VLAN] を選択します。
   図 8: Intune に基づくコンプライアンス ルール

5. これらの手順を繰り返して、検疫ルールを作成します。

6. 完了したら、「 保存」をクリックします。

クライアントイベントの表示

次の図に示すように、[監視] ポータル ページの [分析情報] タブの [クライアント イベント] セクションに表示される値は、Microsoft の構成方法によって異なります。