Informacje na temat korzystania z dostępu warunkowego

Ukończone

Używając usługi Intune lub programu Configuration Manager, możesz zapewnić, że organizacja korzysta z odpowiednich poświadczeń w celu uzyskiwania dostępu do danych firmowych i ich udostępniania.

Dostęp warunkowy przy użyciu usługi Intune

Usługa Intune zapewnia następujące typy dostępu warunkowego:

• Dostęp warunkowy oparty na urządzeniach
  • Dostęp warunkowy dla lokalnego programu Exchange
  • Dostęp warunkowy oparty na kontroli dostępu do sieci
  • Dostęp warunkowy oparty na ryzyku urządzenia
  • Dostęp warunkowy dla komputerów z systemem Windows
    • Urządzenia należące do firmy
    • Przynieś własne urządzenie (BYOD)
• Dostęp warunkowy oparty na aplikacji

Dostęp warunkowy przy użyciu współzarządzania

W przypadku współzarządzania usługa Intune ocenia wszystkie urządzenia w sieci pod kątem zaufania. Ta ocena przeprowadzana jest na następujące dwa sposoby:

1. Usługa Intune sprawdza, czy urządzenia lub aplikacje są zarządzane i bezpiecznie skonfigurowane. Ta kontrola zależy od sposobu, w jaki skonfigurowano zasady zgodności w organizacji. Może na przykład obejmować sprawdzenie, czy urządzenia mają włączone szyfrowanie i czy nie zdjęto na nich zabezpieczeń systemu.

   • Ta ocena jest wstępnie naruszona zabezpieczeń i oparta na konfiguracji.

   • W przypadku urządzeń współzarządzanych program Configuration Manager wykonuje również ocenę opartą na konfiguracji, aby uzyskać informacje, takie jak wymagane aktualizacje lub zgodność aplikacji. Usługa Intune łączy tę ocenę z własną oceną.

2. Usługa Intune wykrywa aktywne zdarzenia dotyczące zabezpieczeń na urządzeniu. Korzysta z inteligentnych zabezpieczeń Ochrona punktu końcowego w usłudze Microsoft Defender (dawniej Zaawansowana ochrona przed zagrożeniami w usłudze Microsoft Defender lub Windows Defender ATP) i innych dostawców ochrony przed zagrożeniami mobilnymi. Ci partnerzy prowadzą ciągłą analizę behawioralną na urządzeniach. Ta analiza wykrywa aktywne zdarzenia, a następnie przekazuje te informacje do usługi Intune w celu oceny zgodności w czasie rzeczywistym.

   • Ta ocena jest oparta na zabezpieczeniach po naruszeniu zabezpieczeń i zdarzeniach.

Typowe sposoby korzystania z dostępu warunkowego

W celu zapewnienia zgodności z zasadami dostępu warunkowego w organizacji należy skonfigurować odpowiednie zasady zgodności. Dostęp warunkowy jest często stosowany w celu umożliwiania lub blokowania dostępu do programu Exchange, kontrolowania dostępu do sieci lub wdrażania integracji z rozwiązaniem do ochrony urządzeń mobilnych przed zagrożeniami.

Dostęp warunkowy oparty na urządzeniach

Usługa Intune i microsoft Entra ID współpracują ze sobą, aby upewnić się, że tylko zarządzane i zgodne urządzenia mogą uzyskiwać dostęp do poczty e-mail, usług Office 365, aplikacji oprogramowania jako usługi (SaaS) i aplikacji lokalnych. Ponadto można ustawić zasady w usłudze Microsoft Entra ID, aby włączyć tylko komputery przyłączone do domeny lub urządzenia przenośne zarejestrowane w usłudze Intune w celu uzyskania dostępu do usług Office 365.

Usługa Intune udostępnia możliwości zasad zgodności urządzeń, które oceniają stan zgodności urządzeń. Stan zgodności jest zgłaszany do identyfikatora Entra firmy Microsoft, który używa go do wymuszania zasad dostępu warunkowego utworzonego w identyfikatorze Entra firmy Microsoft, gdy użytkownik próbuje uzyskać dostęp do zasobów firmy.

Dostęp warunkowy oparty na kontroli dostępu do sieci

Usługa Intune integruje się z partnerami, takimi jak Cisco ISE, Citrix Clear Pass i Citrix NetScaler, aby zapewnić kontrolę dostępu na podstawie rejestracji w usłudze Intune i stanu zgodności urządzeń.

Użytkownicy mogą mieć dozwolony lub blokowany dostęp do firmowych zasobów sieci Wi-Fi lub SIECI VPN na podstawie tego, czy używane urządzenie jest zarządzane i zgodne z zasadami zgodności urządzeń usługi Intune.

Dostęp warunkowy oparty na ryzyku urządzenia

Usługa Intune współpracuje z dostawcami usługi Mobile Threat Defense, którzy zapewniają rozwiązanie zabezpieczeń do wykrywania złośliwego oprogramowania, trojanów i innych zagrożeń na urządzeniach przenośnych.

Jak działa integracja usługi Intune i usługi Mobile Threat Defense

Gdy na urządzeniach przenośnych jest zainstalowany agent usługi Mobile Threat Defense, agent wysyła komunikaty o stanie zgodności z powrotem do usługi Intune, zgłaszając, kiedy na urządzeniu przenośnym zostanie znalezione zagrożenie.

Integracja usługi Intune i usługi Mobile Threat Defense odgrywa rolę czynnika w decyzjach dotyczących dostępu warunkowego w oparciu o ryzyko związane z urządzeniem.

Dostęp warunkowy dla komputerów z systemem Windows

Dostęp warunkowy dla komputerów obejmuje funkcje podobne do tych dostępnych dla urządzeń przenośnych. Zapoznaj się ze sposobami korzystania z dostępu warunkowego podczas zarządzania komputerami za pomocą usługi Intune.

Urządzenia należące do firmy

• Dołączone hybrydowe rozwiązanie Microsoft Entra: organizacje, które są dość wygodne w sposobie zarządzania komputerami za pomocą zasad grupy usługi AD lub programu Configuration Manager często używają tej opcji.

• Przyłączone do domeny Firmy Microsoft Entra i zarządzanie usługą Intune: ten scenariusz dotyczy organizacji, które chcą być oparte na chmurze (czyli przede wszystkim korzystać z usług w chmurze, z celem zmniejszenia wykorzystania infrastruktury lokalnej) lub tylko do chmury (bez infrastruktury lokalnej). Dołączanie do firmy Microsoft Entra działa dobrze w środowisku hybrydowym, umożliwiając dostęp do aplikacji i zasobów lokalnych zarówno w chmurze, jak i w środowisku lokalnym. Urządzenie jest przyłączone do identyfikatora Entra firmy Microsoft i jest zarejestrowane w usłudze Intune, które mogą być używane jako kryteria dostępu warunkowego podczas uzyskiwania dostępu do zasobów firmy.

Przynieś własne urządzenie (BYOD)

• Dołączanie w miejscu pracy i zarządzanie usługą Intune: użytkownik może dołączyć swoje urządzenia osobiste w celu uzyskania dostępu do zasobów i usług firmy. Możesz użyć dołączania w miejscu pracy i zarejestrować urządzenia w usłudze Intune MDM w celu otrzymywania zasad na poziomie urządzenia — to kolejna opcja oceny kryteriów dostępu warunkowego.

Dostęp warunkowy oparty na aplikacji

Usługa Intune i identyfikator entra firmy Microsoft współpracują ze sobą, aby upewnić się, że tylko aplikacje zarządzane mogą uzyskiwać dostęp do firmowej poczty e-mail lub innych usług Office 365.