了解如何使用条件访问
通过使用 Intune 或 Configuration Manager,可确保组织使用正确的凭据访问和共享公司数据。
使用 Intune 的条件访问
Intune 提供了以下类型的条件访问:
- 基于设备的条件访问
- 本地 Exchange 的条件访问
- 基于网络访问控制的条件访问
- 基于设备风险的条件访问
- Windows 电脑的条件访问
- 公司拥有的设备
- 自带设备办公 (BYOD)
- 基于应用的条件访问
使用共同管理功能的条件访问
借助共同管理,Intune 可以评估网络中的每台设备,以便确定它的可信度。 它通过以下两种方式进行评估:
Intune 确保设备或应用得到管理并已安全配置。 此项检查取决于用户如何设置组织的符合性策略。 例如,确保所有设备都启用了加密且未越狱。
此评估在出现安全漏洞之前基于配置执行。
对于共同管理的设备,Configuration Manager 还会针对必需的更新或应用合规性等方面执行基于配置的评估。 Intune 将此评估与自身的评估结合起来。
Intune 检测设备上的活动安全事件。 它使用 Microsoft Defender for Endpoint(以前称为 Microsoft Defender 高级威胁防护或 Windows Defender ATP)和其他移动威胁防御提供商的智能安全。 这些合作伙伴对设备进行持续的行为分析。 此分析检测活动事件,然后将此信息传递给 Intune 以进行实时合规性评估。
- 此评估在出现安全漏洞之后基于事件执行。
条件性访问的常见使用方式
你需要配置相关的合规性策略,促使在组织中实现条件访问合规性。 条件访问常用于执行以下操作:允许或阻止对 Exchange 的访问、控制对网络的访问,或者与移动威胁防护解决方案集成等等。
基于设备的条件访问
配合使用 Intune 和 Microsoft Entra ID 可确保只有合规的托管设备才能访问电子邮件、Office 365 服务、软件即服务 (SaaS) 应用和本地应用。 此外,还可以在 Microsoft Entra ID 中设置策略,仅允许 Intune 中注册的已加入域的计算机或移动设备访问 Office 365 服务。
Intune 提供了设备符合性策略功能,可评估设备的符合性状态。 符合性状态将报告给 Microsoft Entra ID,然后 Microsoft Entra ID 用它在用户尝试访问公司资源时强制实施在 Microsoft Entra ID 中创建的条件访问策略。
基于网络访问控制的条件访问
Intune 与 Cisco ISE、Aruba Clear Pass 和 Citrix NetScaler 等合作伙伴集成,以根据 Intune 注册和设备符合性状态提供访问控制。
根据用户使用的设备是否受管理以及是否符合 Intune 设备符合性策略,可以允许或拒绝他们访问企业 Wi-Fi 或 VPN 资源。
基于设备风险的条件访问
Intune 与移动威胁防护供应商合作提供安全性解决方案,以检测恶意软件、木马以及移动设备上的其他威胁。
Intune 和移动威胁防御集成的工作方式
如果移动设备已安装移动威胁防御代理,代理会将符合性状态消息发送回 Intune,以在移动设备自身发现威胁时报告。
在基于设备风险的条件访问决策中,Intune 和移动威胁防御集成发挥着重要的作用。
Windows 电脑的条件访问
电脑的条件访问所提供的功能与移动设备可使用的功能类似。 我们来讨论一下你在通过 Intune 管理电脑时可使用条件访问的方式。
公司拥有的设备
Microsoft Entra 混合联接:此选项通常适用于已经非常习惯通过 AD 组策略或 Configuration Manager 管理电脑的组织。
Microsoft Entra 域联接和 Intune 管理:此方案适用于希望成为云优先(即,主要使用云服务,目标是减少本地基础结构的使用)或仅限云(无本地基础结构)的组织。 Microsoft Entra 联接在混合环境中也可以很好地工作,提供对云和本地应用及资源的访问。 设备加入到 Microsoft Entra ID 中并注册到 Intune 中,这可在访问公司资源时用作条件访问准则。
自带设备办公 (BYOD)
- 工作区加入和 Intune 管理:用户可以加入其个人设备,以访问公司资源和服务。 你可使用“工作区加入”功能,并将设备注册到 Intune MDM 来接收设备级别的策略,这样也可评估条件访问准则。
基于应用的条件性访问
Intune 和 Microsoft Entra ID 协同工作,确保只有托管应用可以访问公司电子邮件或其他 Office 365 服务。