интеграция ISE с Azure Intune в качестве MDM
-
Здравствуйте, Я пытаюсь использовать аутентификацию компьютера с Azure AD. Поскольку Azure AD работает только с SAML, а ROPC допускает только EAP-TTLS, т. е. аутентификацию пользователя, я рассматриваю Intune в качестве сервера MDM. Я выполнил все процедуры, описанные здесь: https://www.cisco.com/c/en/us/td/docs/security/ise/UEM-MDM-Server-Integration/b_MDM_UEM_Servers_CiscoISE/chapter.html Сертификаты являются доверенными для обеих сторон, но при тестировании соединения я получаю следующую ошибку: Сбой подключения к серверу: Нераспознанное поле «requestId» (класс com.cisco.cpm.mdm.auto.discovery.MdmAzureDirectoryServiceErrorOdata), не помеченное как игнорируемое в [Источник: java.io.StringReader@20d9ea84; строка: 1, столбец: 152] (через цепочку ссылок: com.cisco.cpm.mdm.auto.discovery.MdmAzureDirectoryServiceErrorResponse["odata.error"]->com.cisco.cpm.mdm.auto.discovery.MdmAzureDirectoryServiceErrorOdata["requestId"]) Попробуйте с другими настройками. Захват пакетов показывает одно соединение с URL-адресом токена, поэтому я предполагаю, что извлечение токена прошло успешно, а затем еще одно соединение с URL-адресом обнаружения
https://graph.windows.net/<Tenant
ID>. Мы используем версию 3.0 Patch 4. Кто-нибудь знает, как решить эту проблему? -
Всем привет! Я сделал это на прошлой неделе с помощью Cisco TAC, поэтому подтверждаю, что теперь я могу подключиться к Intune в качестве внешнего сервера MDM с ISE 3.0. Мы действительно добавили дополнительные разрешения со стороны Intune. Технические специалисты Cisco подтвердили, что эти разрешения должны быть отменены Intune, но у них нет ничего, чем их можно было бы заменить, и отмена в настоящее время не вступила в силу. Поэтому у нас нет другого выбора, кроме как использовать эти отмененные разрешения. => «Azure Active Directory Graph» ==> Делегированные: Каталог — Чтение ВСЕ ==> Делегированные: Пользователь — Чтение ВСЕ ==> Приложение: чтение ВСЕ Мы также убедились, что в доверенном хранилище общедоступных центров сертификации установлен флажок «Доверять службам Cisco». Это касается, например: - Baltimore CA-
DigiCert SHA2 - DigiCert Global Root CA - DigiCert Global Root G2 - Microsoft Azure TLS Issuing CA 01 - Microsoft Azure TLS Issuing CA 02 -... и другие Кроме того, эти изменения в Intune вступили в силу через несколько минут. -
Я тоже сегодня столкнулся с этой проблемой в ISE 3.1 <без патча>. Сообщу, если будет какой-то прогресс... Моя ошибка для справки: Сбой подключения к серверу: Нераспознанное поле «requestId» (класс com.cisco.cpm.mdm.auto.discovery.MdmAzureDirectoryServiceErrorOdata), не помеченное как игнорируемое в [Источник: java.io.StringReader@21e0ae84; строка: 1, столбец: 152] (через цепочку ссылок: com.cisco.cpm.mdm.auto.discovery.MdmAzureDirectoryServiceErrorResponse["odata.error"]-
com.cisco.cpm.mdm.auto.discovery.MdmAzureDirectoryServiceErrorOdata["requestId"]) Попробуйте с другими настройками.
-
В документации Cisco (ссылка из OP) указан URL-адрес автоматического обнаружения, отличный от моего арендатора Azure... Azure: «Azure AD > ISE_Intune > Обзор > Конечные точки» =
https://graph.microsoft.com Из документации Cisco:
«
https://graph
.
windows.net
/
<ID каталога (арендатора)>
» Когда я обновляю до «graph.
microsoft.com
/<tenant_id>», все равно возникает ошибка, но другого типа: Нераспознанное поле «error» (класс com.cisco.cpm.mdm.auto.discovery.MdmAzureDirectoryServiceErrorResponse), не помеченное как игнорируемое в [Источник: java.io.StringReader@820198b; строка: 1, столбец: 11] (через цепочку ссылок: com.cisco.cpm.mdm.auto.discovery.MdmAzureDirectoryServiceErrorResponse["error"]) Я также обнаружил, что не могу добавить разрешения для «Azure Active Directory Graph», так как он устарел. (Мой экземпляр Azure — это совершенно новая лабораторная среда, хотя в документации Cisco по-прежнему указано, что это необходимо...) Удалил приложение Azure и добавил его заново, но безрезультатно... -
Я настроил интеграцию. Мне пришлось использовать URL-адрес автоматического обнаружения из руководства Cisco, а НЕ тот, что указан на странице «Конечные точки
»
портала Azure. Я
использовал:
«
https://graph
.
windows.net
/
<
ID
каталога
(арендатора)
», который совпадает с вашим... Думаю, моя основная проблема заключалась в том, что я не включил ISE ERS; поэтому попробуйте сделать это в «Администрирование > Система > Настройки > Настройки API». Сначала я включил и ERS, и OpenAPI; не уверен, что из них требуется, но думаю, что, вероятно, ERS. Я также нашел способ добавить разрешения для устаревшего API «Azure Active Directory Graph»; для этого мне пришлось вручную обновить манифест — в графическом интерфейсе это больше невозможно сделать. Не уверен, что это действительно необходимо, но если вы хотите/нужно попробовать, добавьте следующее в раздел «requiredResourceAccess» ближе к концу. Надеюсь, это поможет вам решить вашу проблему... Тим { "resourceAppId": "00000002-0000-0000-c000-000000000000", "resourceAccess": [ { "id": "c582532d-9d9e-43bd-a97c-2667a28ce295", "type": "Scope" }, { "id": "5778995a-e1bf-45b8-affa-663a9f3f4d04", "type": "Scope" }, { "id": "5778995a-e1bf-45b8-affa-663a9f3f4d04", "type": "Role" } ] }, -
Здравствуйте
[, @Tim Fairclough] Я проверил, что ESR API включен, и добавил устаревшие привилегии в manifest.xml. Безрезультатно... Я даже попробовал использовать URL-адрес для выдачи токенов v1 вместо v2, но ошибка по-прежнему осталась: «Нераспознанное поле «requestId». Я открою заявку, чтобы запросить помощь по этой функции, и сообщу вам, если мы что-нибудь найдем. -
Удачи с TAC, я уверен, что они помогут вам преодолеть эту преграду. Теперь, когда моя интеграция с Intune работает, я подведу итоги своих наблюдений, так как, как я полагаю, у нас схожие цели/надежды, и это может сэкономить вам время... Я использую Intune для развертывания сертификатов SCEP для пользователей и компьютеров на моем тестовом устройстве, а также профиль EAP-TLS WiFi. Хотя я могу написать политику в ISE для авторизации аутентификации компьютера EAP-TLS, я не нашел способа фактически авторизовать учетную запись компьютера в AAD. У меня работает правило Authz, проверяющее MDM:DeviceRegisterStatus и MDM:DeviceComplianceStatus, но если я отключаю «устройство» в AAD>Devices, оно все равно может подключаться — я ожидал, что это также отключит устройство в Intune, но, похоже, это не так... Кроме того, в Azure также невозможно выполнить аутентификацию пользователя EAP-TLS, поэтому нет возможности проверить, активна ли учетная запись и к каким группам она принадлежит (хотя часть этой информации можно поместить в поле Cert SAN). Я установил Azure AD Directory Services в своей аренде и настроил соединение LDAPS в ISE. Теперь я могу использовать его для авторизации пользователей EAP-TLS, но не вижу никаких групп LDAP, которые содержат мой компьютер, присоединенный к AAD. Я настроил «Тип леса» AADDS как «Пользователь», а не «Ресурс», поэтому, возможно, все было бы по-другому, если бы я выбрал «Ресурсный лес»... Обратите внимание, что я МОГ видеть На данный момент моя политика авторизации «AAD Computer» будет зависеть от устройств, которые действительно удаляются из AAD и Intune, а не просто от отключения «AAD Device», как я пробовал. Используя PDP.Exe, я не могу увидеть свой компьютер, присоединенный к AzureAD...: ![LDAP Container - no computers copy.png] Пожалуйста, напишите, если вам удастся настроить аутентификацию компьютера по AAD / AADDS или каким-либо другим «облачным» способом! Тим Создание экземпляра AADDS: https://docs.microsoft.com/en-us/azure/active-directory-domain-services/tutorial-create-instance Включение LDAPS в AADDS: https://docs.microsoft.com/en-us/azure/active-directory-domain-services/tutorial-configure-ldaps Политика AuthZ: ![Screen Shot 2021-10-12 at 11.25.23 am.png]
-
Привет, Мари, Вероятно, это проблема с разрешениями Azure. Рекомендую ознакомиться с багом Cisco ID
CSCvz85536,
в котором описано, как можно настроить эти разрешения Azure Active Directory Graph, несмотря на то, что по умолчанию они затенены и будут признаны устаревшими в июне 2022 года. Я не знаю о каких-либо инициативах Cisco по надлежащему устранению этой проблемы, вместо того, чтобы продолжать использовать скоро устаревающие/устаревшие разрешения Azure. Не могу найти ничего в документации Cisco или в Интернете. Есть ли у сотрудников Cisco в сообществе какие-либо соображения по поводу этой проблемы или бага ID (
CSCvz85536
)? Спасибо! -
Здравствуйте, есть ли какие-нибудь новые обновления от Cisco? Или нам по-прежнему следует использовать старые разрешения Azure Active Directory Graph? Спасибо.
-
Требования и разрешения, необходимые для интеграции ISE с Intune MDM через Microsoft Graph API, описаны здесь: https://www.cisco.com/c/en/us/td/docs/security/ise/UEM-MDM-Server-Integration/b_MDM_UEM_Servers_CiscoISE/chapter.html Обратите внимание, что для использования MDM APIv3 и поиска по GUID в Intune потребуется ISE версии 3.1+. Также рекомендуется ознакомиться с этим уведомлением, касающимся отказа MS от API, поддерживающего поиск MAC-адресов для обеспечения соответствия MDM. https://www.cisco.com/c/en/us/support/docs/field-notices/724/fn72427.html
-
Спасибо за ответ. Таким образом, мы по-прежнему вынуждены использовать Azure Active Directory Graph, который будет снят с поддержки Microsoft 31 марта 2023 года. Есть ли у Cisco какие-либо планы на то, что делать после того, как Azure Active Directory Graph перестанет быть доступным? https://techcommunity.microsoft.com/t5/microsoft-entra-azure-ad-blog/migrate-your-apps-to-access-the-license-managements-apis-from/ba-p/2464366 «
Обновление от 29.07.2022:
мы обновили дату прекращения поддержки Azure AD Graph, API
назначения лицензий
MSOnline PowerShell и командлетов PowerShell для
существующих арендаторов
до 31 марта 2023 года. API и командлеты не будут работать для
новых арендаторов
, созданных после 1 ноября 2022 г. По мере приближения даты прекращения поддержки клиенты могут заметить снижение производительности, поэтому мы рекомендуем уделить приоритетное внимание миграции на MS Graph, следуя инструкциям ниже и в разделе
«Поиск командлетов Azure AD и MSOnline в Microsoft Graph PowerShell | Microsoft Docs
». -
Я не совсем понимаю ваш комментарий «поэтому мы по-прежнему вынуждены использовать Azure Active Directory Graph». В документе, который я поделился, обсуждаются шаги по переходу с устаревшего Azure AD Graph на более новый Microsoft Graph API. С MS Graph API любой поиск в Intune для MDM Compliance должен использовать GUID. После того как MS прекратит поддержку устаревшего Azure AD Graph API, Cisco ISE не сможет выполнять поиск соответствия MDM в Intune с помощью методов, отличных от GUID (включая MAC-адрес). Это решение MS, на которое Cisco не имеет никакого влияния. Мне не известно о каких-либо планах по обновлению MDM API в старых версиях ISE, поэтому для интеграции Intune с использованием MS Graph API и GUID клиентам потребуется обновить ISE до версии 3.1 или более поздней.
-
Вы также можете посмотреть вебинар ISE, который я провел в прошлом месяце по
интеграции ISE с Intune MDM
.
Я обсуждаю некоторые процессы, связанные с проверками соответствия Intune MDM с использованием ISE 3.1, а также усовершенствования функций в ISE 3.2 (недавно выпущенной версии) для аутентификации пользователей EAP-TLS в Azure AD + проверку соответствия Intune MDM с использованием GUID. -
При интеграции Intune с Cisco ISE мы использовали разрешение API из
[)
и URL-адрес автоматического обнаружения:
https://graph.windows.net/
<ID каталога (арендатора)>, а не эти последние настройки. Cisco ISE подключается к Azure, но мы не можем подключить мобильные устройства к WLAN. Поможет ли изменение настроек на
https://www.cisco.com/c/en/us/td/docs/security/ise/UEM-MDM-Server-Integration/b_MDM_UEM_Servers_CiscoISE/chapter.html
? -
Я буду использовать руководство
https://www.cisco.com/c/en/us/td/docs/security/ise/UEM-MDM-Server-Integration/b_MDM_UEM_Servers_CiscoISE/chapter.html
в качестве справочного материала. В руководстве говорится: «
После обновления Cisco ISE до одной из поддерживаемых версий в каждой интеграции сервера Microsoft Intune в Cisco ISE вручную обновите поле
URL автоматического обнаружения
(шаг 32). Замените
https://graph.windows.net
<directory (tenant)="" id="">
на
https://graph.microsoft.com
». Но далее в руководстве говорится, что следует использовать старый коннектор: «В
следующие поля необходимо ввести информацию из приложения Microsoft Intune в Microsoft Azure Active Directory: В поле
URL автоматического обнаружения
введите
https://graph.windows.net/
<directory (tenant)="" id="">
». При использовании URL-адреса автоматического обнаружения со старым соединителем (
https://graph.windows.net/
<directory (tenant)id="">) подключение к серверу MDM работает, но когда я пытаюсь использовать новый соединитель (
https://graph.microsoft.com/
<directory (tenant)id="">), при тестировании подключения появляется следующая ошибка: «Сбой подключения к серверу: Нераспознанное поле «error» (класс com.cisco.cpm.mdm.auto.discovery.MdmAzureDi
rectoryServiceErrorResponse), не помеченное как игнорируемое в [Источник: java.io.StringReader@714fbb3c; строка: 1, столбец: 11] (через цепочку ссылок: com.cisco.cpm.mdm.auto.discovery.MdmAzureDi
rectoryServiceErrorResponse["error"]) Попробуйте с другими настройками
». Разрешения API, которые мы используем, совпадают с разрешениями API, указанными в руководстве, наши разрешения API: ![matg_0-1663057739090.png] Таким образом, мое утверждение о том, что «мы по-прежнему вынуждены использовать Azure Active Directory Graph», в основном отражало тот факт, что подключение к Intune MDM не работает с новым URL-адресом автоматического обнаружения
https://graph.microsoft.com
.</directory></directory></directory></directory>
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти