Freigeben über


Bedingter Zugriff mit Co-Verwaltung

Der bedingte Zugriff stellt sicher, dass nur vertrauenswürdige Benutzer mithilfe vertrauenswürdiger Apps auf Organisationsressourcen auf vertrauenswürdigen Geräten zugreifen können. Es wird von Grund auf in der Cloud erstellt. Unabhängig davon, ob Sie Geräte mit Intune verwalten oder Ihre Configuration Manager-Bereitstellung mit Co-Verwaltung erweitern, funktioniert dies genauso.

Im folgenden Video diskutieren und demonstrieren Der leitende Programmmanager Joey Glocke und der Produktmarketingmanager Locky Ainley den bedingten Zugriff mit Co-Management:

Mithilfe von Co-Management bewertet Intune die Geräte in Ihrem Netzwerk, um zu ermitteln, wie vertrauenswürdig sie sind. Diese Auswertung erfolgt auf zwei Arten:

  1. Intune stellt sicher, dass ein Gerät oder eine App verwaltet und sicher konfiguriert wird. Diese Überprüfung hängt davon ab, wie Sie die Konformitätsrichtlinien Ihrer Organisation festlegen. Stellen Sie z. B. sicher, dass die Verschlüsselung auf allen Geräten aktiviert ist und kein Jailbreak erfolgt.

    • Diese Bewertung ist vor der Sicherheitsverletzung und konfigurationsbasiert.

    • Für gemeinsam verwaltete Geräte führt Configuration Manager auch konfigurationsbasierte Auswertungen durch. Beispielsweise erforderliche Updates oder Die Kompatibilität von Apps. Intune kombiniert diese Auswertung mit einer eigenen Bewertung.

  2. Intune erkennt aktive Sicherheitsvorfälle auf einem Gerät. Es verwendet die intelligente Sicherheit von Microsoft Defender für Endpunkt und anderen Anbietern von Mobile Threat Defense. Diese Partner führen fortlaufende Verhaltensanalysen auf Geräten durch. Diese Analyse erkennt aktive Incidents und übergibt diese Informationen dann zur Konformitätsbewertung in Echtzeit an Intune.

    • Diese Bewertung ist nach sicherheitsrelevanten Sicherheitsverletzungen und incidentbasiert.

Brad Anderson, Microsoft Corporate Vice President, spricht während der Keynote der Ignite 2018 ausführlich über bedingten Zugriff mit Live-Demos.

Der bedingte Zugriff bietet Ihnen auch einen zentralen Ort, an dem Sie die Integrität aller mit dem Netzwerk verbundenen Geräte anzeigen können. Sie profitieren von den Vorteilen der Cloudskalierung, die besonders für das Testen von Configuration Manager-Produktionsinstanzen nützlich ist.

Vorteile

Jedes IT-Team ist von Netzwerksicherheit besessen. Es ist obligatorisch, sicherzustellen, dass jedes Gerät Ihre Sicherheits- und Geschäftsanforderungen erfüllt, bevor Sie auf Ihr Netzwerk zugreifen. Mit bedingtem Zugriff können Sie die folgenden Faktoren bestimmen:

  • Wenn jedes Gerät verschlüsselt ist
  • Wenn Schadsoftware installiert ist
  • Wenn die zugehörigen Einstellungen aktualisiert werden
  • Wenn es jailbroken oder root ist

Bedingter Zugriff kombiniert eine präzise Kontrolle über Organisationsdaten mit einer Benutzererfahrung, die die Produktivität der Mitarbeiter auf jedem Gerät von jedem Standort aus maximiert.

Das folgende Video zeigt, wie Microsoft Defender für Endpunkt (früher als Advanced Threat Protection bezeichnet) in gängige Szenarien integriert wird, die Sie regelmäßig erleben:

Mit der Co-Verwaltung kann Intune die Zuständigkeiten von Configuration Manager für die Bewertung der Konformität Ihrer Sicherheitsstandards für erforderliche Updates oder Apps übernehmen. Dieses Verhalten ist für jede IT-Organisation wichtig, die Configuration Manager weiterhin für die verwaltung komplexer Apps und Patches verwenden möchte.

Der bedingte Zugriff ist auch ein wichtiger Bestandteil der Entwicklung Ihrer Zero Trust Network-Architektur . Beim bedingten Zugriff decken konforme Gerätezugriffssteuerungen die grundlegenden Ebenen von Zero Trust Network ab. Diese Funktionalität ist ein großer Teil der Zukünftigen Sicherung Ihrer Organisation.

Weitere Informationen finden Sie im Blogbeitrag Zur Verbesserung des bedingten Zugriffs mit Computerrisikodaten von Microsoft Defender für Endpunkt.

Fallstudien

Das IT-Beratungsunternehmen Wipro nutzt den bedingten Zugriff, um die Geräte zu schützen und zu verwalten, die von allen 91.000 Mitarbeitern verwendet werden. In einer aktuellen Fallstudie stellte der Vice President of IT bei Wipro fest:

Das Erreichen des bedingten Zugriffs ist ein großer Gewinn für Wipro. Jetzt haben alle unsere Mitarbeiter mobilen Zugriff auf Informationen bei Bedarf. Wir haben unseren Sicherheitsstatus und die Produktivität unserer Mitarbeiter verbessert. Jetzt profitieren 91.000 Mitarbeiter von einem hochsicheren Zugriff auf mehr als 100 Apps von jedem Gerät und von überall aus.

Weitere Beispiele:

  • Nestlé, das appbasierten bedingten Zugriff für über 150.000 Mitarbeiter nutzt

  • Das Automatisierungssoftwareunternehmen Cadence, das jetzt sicherstellen kann, dass "nur verwaltete Geräte Zugriff auf Microsoft 365-Apps wie Teams und das Intranet des Unternehmens haben". Sie können ihren Mitarbeitern auch "sichereren Zugriff auf andere cloudbasierte Apps wie Workday und Salesforce" bieten.

Intune ist auch vollständig in Partner wie Cisco ISE, Aruba Clear Pass und Citrix NetScaler integriert. Mit diesen Partnern können Sie Zugriffssteuerungen basierend auf der Intune-Registrierung und dem Gerätekonformitätsstatus auf diesen anderen Plattformen verwalten.

Weitere Informationen finden Sie in den folgenden Videos:

Wertbeitrag

Mit bedingtem Zugriff und ATP-Integration stärken Sie eine grundlegende Komponente jeder IT-Organisation: den sicheren Cloudzugriff.

Bei mehr als 63 % aller Datenschutzverletzungen erhalten die Angreifer zugriff auf das Netzwerk der Organisation, indem sie schwache, standardmäßige oder gestohlene Benutzeranmeldeinformationen verwenden. Da sich der bedingte Zugriff auf die Sicherung der Benutzeridentität konzentriert, wird der Diebstahl von Anmeldeinformationen eingeschränkt. Der bedingte Zugriff verwaltet und schützt Ihre Identitäten, unabhängig davon, ob sie privilegiert oder nicht berechtigt sind. Es gibt keine bessere Möglichkeit, die Geräte und die Daten darauf zu schützen.

Da der bedingte Zugriff eine Kernkomponente von Enterprise Mobility + Security (EMS) ist, ist keine lokale Einrichtung oder Architektur erforderlich. Mit Intune und Microsoft Entra ID können Sie den bedingten Zugriff in der Cloud schnell konfigurieren. Wenn Sie derzeit Configuration Manager verwenden, können Sie Ihre Umgebung ganz einfach mit co-verwaltung auf die Cloud erweitern und sofort mit der Verwendung beginnen.

Weitere Informationen zur ATP-Integration finden Sie in diesem Blogbeitrag Microsoft Defender für Endpunkt-Geräterisikobewertung macht neue Cyberangriffe verfügbar, treibt bedingten Zugriff zum Schutz von Netzwerken auf. Es beschreibt, wie eine fortgeschrittene Hackergruppe noch nie zuvor gesehene Tools verwendet hat. Die Microsoft-Cloud hat sie erkannt und beendet, da die Zielbenutzer über bedingten Zugriff verfügten. Durch den Eindringversuch wurde die risikobasierte Richtlinie für bedingten Zugriff des Geräts aktiviert. Obwohl der Angreifer bereits einen Fuß im Netzwerk aufgebaut hat, wurden die ausgebeuteten Computer automatisch auf den Zugriff auf Organisationsdienste und Daten beschränkt, die von Microsoft Entra ID verwaltet werden.

Konfigurieren

Der bedingte Zugriff ist einfach zu verwenden, wenn Sie die Co-Verwaltung aktivieren. Dazu muss die Workload "Konformitätsrichtlinien " nach Intune verschoben werden. Weitere Informationen finden Sie unter Wechseln von Configuration Manager-Workloads zu Intune.

Weitere Informationen zur Verwendung des bedingten Zugriffs finden Sie in den folgenden Artikeln:

Hinweis

Features für bedingten Zugriff werden sofort für hybrid eingebundene Microsoft Entra-Geräte verfügbar. Zu diesen Features gehören die mehrstufige Authentifizierung und die Zugriffssteuerung für hybride Einbindungen von Microsoft Entra. Dieses Verhalten liegt daran, dass sie auf Microsoft Entra-Eigenschaften basieren. Aktivieren Sie die Co-Verwaltung, um die konfigurationsbasierte Bewertung von Intune und Configuration Manager zu nutzen. Diese Konfiguration bietet Ihnen die Zugriffssteuerung direkt aus Intune für kompatible Geräte. Darüber hinaus erhalten Sie damit das Evaluierungsfeature für Konformitätsrichtlinien von Intune.