Použití podmíněného přístupu

Dokončeno

Pomocí Intune nebo Configuration Manageru můžete zajistit, aby se v organizaci používaly správná pověření pro přístup k firemním datům a jejich sdílení.

Podmíněný přístup s Intune

Intune poskytuje následující typy podmíněného přístupu:

• Podmíněný přístup založený na zařízeních
  • Podmíněný přístup pro místní Exchange
  • Podmíněný přístup založený na řízení přístupu k síti
  • Podmíněný přístup založený na rizicích zařízení
  • Podmíněný přístup pro počítače s Windows
    • Ve vlastnictví firmy
    • Používání vlastního zařízení (BYOD)
• Podmíněný přístup založený na aplikacích

Podmíněný přístup s použitím spolusprávy

Intune prostřednictvím spolusprávy vyhodnocuje každé zařízení ve vaší síti a zjišťuje, jak je důvěryhodné. Toto hodnocení provádí následujícími dvěma způsoby:

1. Intune kontroluje, jestli jsou zařízení nebo aplikace spravované a bezpečně nakonfigurované. Tato kontrola závisí na nastavení zásad dodržování předpisů ve vaší organizaci. Kontroluje se například, jestli všechna zařízení mají povolené šifrování a nemají jailbreak.

   • Toto vyhodnocení je před porušením zabezpečení a na základě konfigurace.

   • Pro zařízení spravovaná spoluspravuje Configuration Manager také vyhodnocení na základě konfigurace pro věci, jako jsou povinné aktualizace nebo dodržování předpisů aplikací. Intune toto hodnocení kombinuje s vlastním posouzením.

2. Intune detekuje na zařízeních aktivní incidenty zabezpečení. Používá inteligentní zabezpečení programu Microsoft Defender for Endpoint (dříve Rozšířená ochrana před internetovými útoky v programu Microsoft Defender nebo Ochrana ATP v programu Windows Defender) a dalších poskytovatelů ochrany před mobilními hrozbami. Tito partneři spouštějí na zařízeních průběžnou analýzu chování. Tato analýza detekuje aktivní incidenty a pak tyto informace předá Intune pro vyhodnocení dodržování předpisů v reálném čase.

   • Toto vyhodnocení je po porušení zabezpečení a na základě incidentů.

Běžné způsoby použití podmíněného přístupu

Abyste mohli řídit dodržování předpisů podmíněného přístupu ve vaší organizaci, musíte nakonfigurovat související zásady dodržování předpisů. Podmíněný přístup se často používá k provádění akcí, jako je povolení nebo blokování přístupu k Exchange, řízení přístupu k síti nebo integrace s řešením ochrany před mobilními hrozbami.

Podmíněný přístup založený na zařízeních

Intune a Microsoft Entra ID spolupracují a zajišťují, aby k e-mailu, službám Office 365, aplikacím SaaS (Software jako služba) a místním aplikacím měli přístup jenom spravovaná a vyhovující zařízení. Kromě toho můžete nastavit zásadu v Microsoft Entra ID tak, aby povolovala přístup ke službám Office 365 jenom počítačům připojeným k doméně nebo mobilním zařízením zaregistrovaným v Intune.

Intune poskytuje možnosti zásad dodržování předpisů zařízením, které vyhodnocují stav dodržování předpisů zařízení. Stav dodržování předpisů se hlásí do ID Microsoft Entra, které ho používá k vynucení zásad podmíněného přístupu vytvořených v Microsoft Entra ID, když se uživatel pokusí získat přístup k prostředkům společnosti.

Podmíněný přístup založený na řízení přístupu k síti

Intune se integruje s partnery, jako jsou Cisco ISE, Aruba Clear Pass a Citrix NetScaler, a poskytuje řízení přístupu na základě registrace Intune a stavu dodržování předpisů zařízením.

Uživatelům může být přístup k podnikovým prostředkům Wi-Fi nebo VPN povolen nebo odepřen na základě toho, jestli zařízení, které používají, je spravované a jestli vyhovuje zásadám dodržování předpisů platným pro zařízení v Intune.

Podmíněný přístup založený na rizicích zařízení

Intune spolupracuje s dodavateli ochrany před mobilními hrozbami, kteří poskytují řešení zabezpečení pro detekci malwaru, trojských koní a dalších hrozeb na mobilních zařízeních.

Jak funguje integrace Intune a ochrany před mobilními hrozbami

Když mají mobilní zařízení nainstalovaného agenta Ochrany před mobilními hrozbami, agent odesílá zprávy o stavu dodržování předpisů zpět do Intune a hlásí, kdy se na mobilním zařízení nachází hrozba.

Integrace Intune a ochrany před mobilními hrozbami hraje v rozhodnutích podmíněného přístupu na základě rizika zařízení faktor.

Podmíněný přístup pro počítače s Windows

Podmíněný přístup pro osobní počítače nabízí podobné funkce jako pro mobilní zařízení. Pojďme se seznámit s možnostmi použití podmíněného přístupu při správě počítačů s Intune.

Ve vlastnictví firmy

• Hybridní připojení Microsoft Entra: Organizace, které jsou přiměřeně pohodlné s tím, jak už spravují své počítače prostřednictvím zásad skupiny AD nebo Configuration Manageru tuto možnost běžně používají.

• Připojení k doméně Microsoft Entra a správa Intune: Tento scénář je určený pro organizace, které chtějí být první v cloudu (to znamená primárně používat cloudové služby, s cílem snížit využití místní infrastruktury) nebo jen pro cloud (bez místní infrastruktury). Připojení Microsoft Entra funguje dobře v hybridním prostředí a umožňuje přístup ke cloudovým i místním aplikacím a prostředkům. Zařízení se připojí k ID Microsoft Entra a zaregistruje se do Intune, které se dá použít jako kritéria podmíněného přístupu při přístupu k podnikovým prostředkům.

Používání vlastního zařízení (BYOD)

• Připojení k pracovišti a správa Intune: Uživatel se může připojit ke svým osobním zařízením pro přístup k podnikovým prostředkům a službám. Můžete použít připojení k pracovišti a registrovat zařízení do Intune MDM, abyste obdrželi zásady na úrovni zařízení, což je další možnost vyhodnocení kritéria podmíněného přístupu.

Podmíněný přístup založený na aplikacích

Intune a Microsoft Entra ID spolupracují a zajišťují, aby k firemním e-mailům nebo jiným službám Office 365 měli přístup jenom spravované aplikace.