使用共同管理的條件式存取
條件式存取可確保只有受信任的使用者可以使用受信任的應用程式存取受信任裝置上的組織資源。 它是從頭建置在雲端中。 無論您是使用 Intune 來管理裝置,或使用共同管理擴充 Configuration Manager 部署,其運作方式都相同。
在下列影片中,資深計劃經理 Joey Glocke 和產品營銷經理 Locky Ainley 會討論並示範搭配共同管理的條件式存取:
透過共同管理,Intune 可評估您網路中的每個裝置,以判斷其可靠程度。 其會以下列兩種方式進行這項評估:
Intune 確保裝置或應用程式已受管理且安全地設定。 這項檢查取決於您如何設定組織的合規性政策。 例如,請確定所有裝置都已啟用加密,而且不會進行 JB 破解。
此評估是預先安全性缺口和設定型
對於共同管理的裝置,Configuration Manager 也會進行組態型評估。 例如,必要的更新或應用程式合規性。 Intune 結合此評估及其本身的評估。
Intune 偵測裝置上的作用中安全性事件。 它會使用 適用於端點的 Microsoft Defender 和其他行動威脅防禦提供者的智慧型手機安全性。 這些合作夥伴會在裝置上執行持續的行為分析。 此分析會偵測作用中事件,然後將此資訊傳遞給 Intune 以進行即時合規性評估。
- 此評估是安全性缺口后和事件型
Microsoft公司副總裁 Brad Anderson 在 Ignite 2018 演講期間,透過即時示範深入討論條件式存取。
條件式存取也可讓您集中查看所有網路連線裝置的健康情況。 您可以獲得雲端規模的優點,這對測試 Configuration Manager 生產實例特別有價值。
優點
每個IT小組都具備網路安全性。 在存取網路之前,必須確定每個裝置都符合您的安全性和商務需求。 使用條件式存取,您可以判斷下列因素:
- 如果每個裝置都已加密
- 如果已安裝惡意代碼
- 如果已更新其設定
- 如果已進行越獄或 Root 破解
條件式存取結合組織數據的細微控制與用戶體驗,可從任何位置將任何裝置上的背景工作生產力最大化。
下列影片示範 適用於端點的 Microsoft Defender (先前稱為進階威脅防護) 如何整合到您經常遇到的常見案例中:
透過共同管理,Intune 可以納入 Configuration Manager 負責評估必要更新或應用程式的安全性標準合規性。 對於任何想要繼續使用 Configuration Manager 進行複雜應用程式和修補程式管理的IT組織而言,此行為都很重要。
條件式存取也是開發 零信任 網路架構的重要部分。 使用條件式存取時,符合規範的裝置訪問控制會涵蓋 零信任 網路的基礎層。 這項功能是您未來保護組織的主要部分。
如需詳細資訊,請參閱使用來自 適用於端點的 Microsoft Defender 的機器風險數據增強條件式存取的部落格文章。
案例研究
IT 諮詢公司 Wipro 會使用條件式存取來保護和管理所有 91,000 名員工所使用的裝置。 在最近的案例研究中,Wipro 的IT副總裁指出:
達到條件式存取是 Wipro 的一大成功。 現在,我們所有的員工都可透過行動方式存取隨選資訊。 我們提升了安全性狀態和員工生產力。 現在,有 91,000 名員工受益於從任何裝置、任何地方高度安全地存取超過 100 個應用程式。
其他範例包括:
Nestlé,為超過 150,000 名員工使用以應用程式為基礎的條件式存取
自動化軟體公司 Cadence 現在可以確定「只有受管理的裝置可以存取 teams 和公司的內部網路等 Microsoft 365 Apps。」他們也可以為員工提供「更安全地存取其他雲端式應用程式,例如 Workday 和 Salesforce」。
Intune 也與 Cisco ISE、Aruba Clear Pass 和 Citrix NetScaler 等合作夥伴完全整合。 透過這些合作夥伴,您可以根據這些其他平臺的 Intune 註冊和裝置合規性狀態來維護訪問控制。
如需詳細資訊,請參閱下列影片:
價值主張
透過條件式存取和 ATP 整合,您將強化每個 IT 組織的基本元件:安全的雲端存取。
在超過 63% 的數據外洩中,攻擊者會透過弱式、預設或遭竊的用戶認證,取得組織網路的存取權。 因為條件式存取著重於保護使用者身分識別,所以會限制認證竊取。 條件式存取可管理並保護您的身分識別,不論是特殊許可權或非特殊許可權。 沒有更好的方法可以保護裝置及其上的數據。
由於條件式存取是 Enterprise Mobility + Security (EMS) 的核心元件,因此不需要內部部署安裝或架構。 透過 Intune 和 Microsoft Entra ID,您可以在雲端中快速設定條件式存取。 如果您目前正在使用 Configuration Manager,您可以使用共同管理輕鬆地將環境延伸至雲端,並立即開始使用。
如需 ATP 整合的詳細資訊,請參閱此部落格文章 適用於端點的 Microsoft Defender 裝置風險分數會公開新的網路攻擊,並驅動條件式存取來保護網路。 其中詳細說明進階駭客群組如何使用前所未見的工具。 Microsoft雲端偵測到並將其停止,因為目標使用者具有條件式存取。 入侵事件已啟動裝置的風險型條件式存取原則。 雖然攻擊者已在網路中建立據點,但遭入侵的機器會自動限制無法存取組織服務和 Microsoft Entra ID 所管理的數據。
設定
當您 啟用共同管理時,條件式存取很容易使用。 這需要將合規性政策工作負載移至 Intune。 如需詳細資訊,請參閱如何將 Configuration Manager 工作負載切換至 Intune。
如需使用條件式存取的詳細資訊,請參閱下列文章:
注意事項
條件式存取功能立即可供 Microsoft Entra 混合式聯結裝置使用。 這些功能包括多重要素驗證和 Microsoft Entra 混合式聯結訪問控制。 此行為是因為其是以 Microsoft Entra 屬性為基礎。 若要利用來自 Intune 和 Configuration Manager 的組態型評估,請啟用共同管理。 此設定可讓您直接從相容裝置的 Intune 進行訪問控制。 它也提供您 Intune 的合規性原則評估功能。