Bedingter Zugriff mit Co-Verwaltung

Der bedingte Zugriff stellt sicher, dass nur vertrauenswürdige Benutzer mithilfe vertrauenswürdiger Apps auf Organisationsressourcen auf vertrauenswürdigen Geräten zugreifen können. Es wird von Grund auf in der Cloud erstellt. Unabhängig davon, ob Sie Geräte mit Intune verwalten oder Ihre Configuration Manager-Bereitstellung mit Co-Verwaltung erweitern, funktioniert dies genauso.

Im folgenden Video diskutieren und demonstrieren Der leitende Programmmanager Joey Glocke und der Produktmarketingmanager Locky Ainley den bedingten Zugriff mit Co-Management:

Mithilfe von Co-Management bewertet Intune die Geräte in Ihrem Netzwerk, um zu ermitteln, wie vertrauenswürdig sie sind. Diese Auswertung erfolgt auf zwei Arten:

  1. Intune stellt sicher, dass ein Gerät oder eine App verwaltet und sicher konfiguriert wird. Diese Überprüfung hängt davon ab, wie Sie die Konformitätsrichtlinien Ihrer Organisation festlegen. Stellen Sie z. B. sicher, dass die Verschlüsselung auf allen Geräten aktiviert ist und kein Jailbreak durchgeführt wird.

    • Diese Bewertung ist vor der Sicherheitsverletzung und konfigurationsbasiert.

    • Für gemeinsam verwaltete Geräte führt Configuration Manager auch konfigurationsbasierte Auswertungen durch. Beispielsweise erforderliche Updates oder Die Kompatibilität von Apps. Intune kombiniert diese Bewertung mit einer eigenen Bewertung.

  2. Intune erkennt aktive Sicherheitsvorfälle auf einem Gerät. Es nutzt die intelligente Sicherheit von Microsoft Defender for Endpoint und anderen Anbietern von mobiler Bedrohungsabwehr. Diese Partner führen fortlaufende Verhaltensanalysen auf Geräten durch. Diese Analyse erkennt aktive Incidents und übergibt diese Informationen dann an Intune, um die Compliance in Echtzeit zu bewerten.

    • Diese Bewertung ist nach sicherheitsrelevanten Sicherheitsverletzungen und incidentbasiert.

Microsoft Corporate Vice President Brad Anderson spricht während der Ignite 2018 Keynote ausführlich über bedingten Zugriff mit Live-Demos.

Der bedingte Zugriff bietet Ihnen auch einen zentralen Ort, an dem Sie die Integrität aller mit dem Netzwerk verbundenen Geräte anzeigen können. Sie profitieren von den Vorteilen der Cloudskalierung, die besonders nützlich ist, um Configuration Manager Produktionsinstanzen zu testen.

Vorteile

Jedes IT-Team ist von Netzwerksicherheit besessen. Es ist obligatorisch, sicherzustellen, dass jedes Gerät Ihre Sicherheits- und Geschäftsanforderungen erfüllt, bevor Sie auf Ihr Netzwerk zugreifen. Mit bedingtem Zugriff können Sie die folgenden Faktoren bestimmen:

  • Wenn jedes Gerät verschlüsselt ist
  • Wenn Schadsoftware installiert ist
  • Wenn die zugehörigen Einstellungen aktualisiert werden
  • Wenn es jailbroken oder root ist

Der bedingte Zugriff kombiniert eine präzise Kontrolle über Organisationsdaten mit einer Benutzererfahrung, die die Produktivität der Mitarbeiter auf jedem Gerät von jedem Standort aus maximiert.

Das folgende Video zeigt, wie Microsoft Defender for Endpoint (früher als Advanced Threat Protection bezeichnet) in gängige Szenarien integriert wird, die Sie regelmäßig erleben:

Mit der Co-Verwaltung können Intune die Zuständigkeiten Configuration Manager für die Bewertung der Einhaltung der Sicherheitsstandards für erforderliche Updates oder Apps übernehmen. Dieses Verhalten ist wichtig für jede IT-Organisation, die weiterhin Configuration Manager für die verwaltung komplexer Apps und Patches verwenden möchte.

Der bedingte Zugriff ist auch ein wichtiger Bestandteil der Entwicklung Ihrer Zero Trust Network-Architektur. Beim bedingten Zugriff decken konforme Gerätezugriffssteuerungen die grundlegenden Ebenen Zero Trust Netzwerks ab. Diese Funktionalität ist ein großer Teil der Zukünftigen Sicherung Ihrer Organisation.

Weitere Informationen finden Sie im Blogbeitrag Zur Verbesserung des bedingten Zugriffs mit Computerrisikodaten aus Microsoft Defender for Endpoint.

Fallstudien

Das IT-Beratungsunternehmen Wipro nutzt den bedingten Zugriff, um die Geräte zu schützen und zu verwalten, die von allen 91.000 Mitarbeitern verwendet werden. In einer aktuellen Fallstudie stellte der Vice President of IT bei Wipro fest:

Das Erreichen des bedingten Zugriffs ist ein großer Gewinn für Wipro. Jetzt haben alle unsere Mitarbeiter mobilen Zugriff auf Informationen bei Bedarf. Wir haben unseren Sicherheitsstatus und die Produktivität unserer Mitarbeiter verbessert. Jetzt profitieren 91.000 Mitarbeiter von einem hochsicheren Zugriff auf mehr als 100 Apps von jedem Gerät und von überall aus.

Weitere Beispiele:

  • Nestlé, das appbasierten bedingten Zugriff für über 150.000 Mitarbeiter nutzt

  • Das Automatisierungssoftwareunternehmen Cadence, das jetzt sicherstellen kann, dass "nur verwaltete Geräte Zugriff auf Microsoft 365 Apps wie Teams und das Intranet des Unternehmens haben". Sie können ihren Mitarbeitern auch "sichereren Zugriff auf andere cloudbasierte Apps wie Workday und Salesforce" bieten.

Intune ist auch vollständig in Partner wie Cisco ISE, Aruba Clear Pass und Citrix NetScaler integriert. Mit diesen Partnern können Sie Zugriffssteuerungen basierend auf der Intune Registrierung und dem Gerätekonformitätsstatus auf diesen anderen Plattformen verwalten.

Weitere Informationen finden Sie in den folgenden Videos:

Wertbeitrag

Mit bedingtem Zugriff und ATP-Integration stärken Sie eine grundlegende Komponente jeder IT-Organisation: den sicheren Cloudzugriff.

Bei mehr als 63 % aller Datenschutzverletzungen erhalten die Angreifer zugriff auf das Netzwerk der Organisation, indem sie schwache, standardmäßige oder gestohlene Benutzeranmeldeinformationen verwenden. Da sich der bedingte Zugriff auf die Sicherung der Benutzeridentität konzentriert, wird der Diebstahl von Anmeldeinformationen eingeschränkt. Der bedingte Zugriff verwaltet und schützt Ihre Identitäten, unabhängig davon, ob sie privilegiert oder nicht berechtigt sind. Es gibt keine bessere Möglichkeit, die Geräte und die Daten darauf zu schützen.

Da der bedingte Zugriff eine Kernkomponente von Enterprise Mobility + Security (EMS) ist, ist keine lokale Einrichtung oder Architektur erforderlich. Mit Intune und Azure Active Directory (Azure AD) können Sie den bedingten Zugriff in der Cloud schnell konfigurieren. Wenn Sie derzeit Configuration Manager verwenden, können Sie Ihre Umgebung ganz einfach mit co-management auf die Cloud erweitern und sofort mit der Verwendung beginnen.

Weitere Informationen zur ATP-Integration finden Sie in diesem Blogbeitrag Microsoft Defender for Endpoint Geräterisikobewertung stellt neue Cyberangriffe offen, treibt bedingten Zugriff zum Schutz von Netzwerken voran. Es beschreibt, wie eine fortgeschrittene Hackergruppe noch nie zuvor gesehene Tools verwendet hat. Die Microsoft Cloud hat sie erkannt und beendet, da die Zielbenutzer über bedingten Zugriff verfügten. Durch den Eindringversuch wurde die risikobasierte Richtlinie für bedingten Zugriff des Geräts aktiviert. Obwohl der Angreifer bereits einen Fuß im Netzwerk aufgebaut hat, wurde der Zugriff auf die von Azure AD verwalteten Organisationsdienste und -daten für die ausnutzenden Computer automatisch eingeschränkt.

Konfigurieren

Der bedingte Zugriff ist einfach zu verwenden, wenn Sie die Co-Verwaltung aktivieren. Dazu muss die Workload "Konformitätsrichtlinien" in Intune verschoben werden. Weitere Informationen finden Sie unter Wechseln von Configuration Manager Workloads zu Intune.

Weitere Informationen zur Verwendung des bedingten Zugriffs finden Sie in den folgenden Artikeln:

Hinweis

Features für bedingten Zugriff werden sofort für in Azure AD hybrid eingebundene Geräte verfügbar. Zu diesen Features gehören die mehrstufige Authentifizierung und die Zugriffssteuerung für Azure AD-Hybrideinbindung. Dieses Verhalten liegt daran, dass sie auf Azure AD-Eigenschaften basieren. Aktivieren Sie die Co-Verwaltung, um die konfigurationsbasierte Bewertung von Intune und Configuration Manager zu nutzen. Diese Konfiguration ermöglicht Ihnen die Zugriffssteuerung direkt von Intune für kompatible Geräte. Außerdem erhalten Sie Intune Das Feature zur Auswertung von Konformitätsrichtlinien.