Dostęp warunkowy ze współzarządzaniem
Dostęp warunkowy zapewnia, że tylko zaufani użytkownicy mogą uzyskiwać dostęp do zasobów organizacji na zaufanych urządzeniach przy użyciu zaufanych aplikacji. Jest on zbudowany od podstaw w chmurze. Niezależnie od tego, czy zarządzasz urządzeniami za pomocą usługi Intune, czy rozszerzasz wdrożenie programu Configuration Manager za pomocą współzarządzania, działa to w ten sam sposób.
W poniższym filmie starszy menedżer programu Joey Glocke i menedżer marketingu produktu Locky Ainley omawiają i demonstrują dostęp warunkowy ze współzarządzaniem:
Dzięki współzarządzaniu usługa Intune ocenia każde urządzenie w sieci, aby określić, jak wiarygodne jest to urządzenie. Ta ocena jest przeprowadzana na dwa sposoby:
Usługa Intune zapewnia, że urządzenie lub aplikacja są zarządzane i bezpiecznie konfigurowane. Ta kontrola zależy od sposobu ustawiania zasad zgodności organizacji. Na przykład upewnij się, że wszystkie urządzenia mają włączone szyfrowanie i nie są zdjęte z więzienia.
Ta ocena jest naruszeniem zabezpieczeń przed zabezpieczeniami i oparta na konfiguracji
W przypadku urządzeń współzarządzanych program Configuration Manager przeprowadza również ocenę opartą na konfiguracji. Na przykład wymagane aktualizacje lub zgodność aplikacji. Usługa Intune łączy tę ocenę z własną oceną.
Usługa Intune wykrywa aktywne zdarzenia zabezpieczeń na urządzeniu. Korzysta ona z inteligentnych zabezpieczeń usługi Microsoft Defender for Endpoint i innych dostawców ochrony przed zagrożeniami mobilnymi. Ci partnerzy prowadzą ciągłą analizę zachowań na urządzeniach. Ta analiza wykrywa aktywne zdarzenia, a następnie przekazuje te informacje do usługi Intune w celu oceny zgodności w czasie rzeczywistym.
- Ta ocena jest po naruszeniu zabezpieczeń i oparta na zdarzeniach
Wiceprezes firmy Microsoft Brad Anderson szczegółowo omawia dostęp warunkowy z pokazami na żywo podczas konferencji Ignite 2018.
Dostęp warunkowy zapewnia również scentralizowane miejsce do sprawdzenia kondycji wszystkich urządzeń połączonych z siecią. Masz zalety skalowania w chmurze, które są szczególnie przydatne do testowania wystąpień produkcyjnych programu Configuration Manager.
Korzyści
Każdy zespół IT ma obsesję na punkcie zabezpieczeń sieci. Przed uzyskaniem dostępu do sieci należy upewnić się, że każde urządzenie spełnia wymagania dotyczące zabezpieczeń i działalności biznesowej. W przypadku dostępu warunkowego można określić następujące czynniki:
- Jeśli każde urządzenie jest zaszyfrowane
- Jeśli zainstalowano złośliwe oprogramowanie
- Jeśli jego ustawienia zostaną zaktualizowane
- Jeśli jest zdjęty z więzienia lub odblokowany
Dostęp warunkowy łączy szczegółową kontrolę nad danymi organizacyjnymi z środowiskiem użytkownika, które maksymalizuje produktywność procesów roboczych na dowolnym urządzeniu z dowolnej lokalizacji.
W poniższym filmie wideo pokazano, jak usługa Microsoft Defender for Endpoint (wcześniej znana jako Zaawansowana ochrona przed zagrożeniami) jest zintegrowana z typowymi scenariuszami, których regularnie doświadczasz:
Dzięki współzarządzaniu usługa Intune może uwzględniać obowiązki programu Configuration Manager w zakresie oceny zgodności standardów zabezpieczeń z wymaganymi aktualizacjami lub aplikacjami. To zachowanie jest ważne dla każdej organizacji IT, która chce nadal używać programu Configuration Manager do złożonego zarządzania aplikacjami i poprawkami.
Dostęp warunkowy jest również kluczowym elementem tworzenia architektury sieci zero zaufania . W przypadku dostępu warunkowego zgodne mechanizmy kontroli dostępu urządzeń obejmują podstawowe warstwy sieci zerowego zaufania. Ta funkcja stanowi dużą część sposobu zabezpieczania organizacji w przyszłości.
Aby uzyskać więcej informacji, zobacz wpis w blogu dotyczący zwiększania dostępu warunkowego przy użyciu danych o ryzyku maszynowym z usługi Microsoft Defender for Endpoint.
Przypadków
Firma konsultingowa IT Wipro używa dostępu warunkowego do ochrony urządzeń używanych przez wszystkich 91 000 pracowników i zarządzania nimi. W niedawnym badaniu przypadku wiceprezes IT w Wipro zauważył:
Uzyskanie dostępu warunkowego to duża wygrana dla programu Wipro. Teraz wszyscy nasi pracownicy mają mobilny dostęp do informacji na żądanie. Zwiększyliśmy naszą postawę bezpieczeństwa i produktywność pracowników. Obecnie 91 000 pracowników korzysta z wysoce bezpiecznego dostępu do ponad 100 aplikacji z dowolnego urządzenia i dowolnego miejsca.
Inne przykłady to:
Nestlé, które korzysta z dostępu warunkowego opartego na aplikacji dla ponad 150 000 pracowników
Firma cadence zajmująca się oprogramowaniem automatyzacji może teraz upewnić się, że "tylko urządzenia zarządzane mają dostęp do aplikacji platformy Microsoft 365, takich jak Teams, i intranetu firmy". Mogą również zaoferować swoim pracownikom "bezpieczniejszy dostęp do innych aplikacji opartych na chmurze, takich jak Workday i Salesforce".
Usługa Intune jest również w pełni zintegrowana z partnerami, takimi jak Cisco ISE, Aruba Clear Pass i Citrix NetScaler. Dzięki tym partnerom możesz zachować kontrolę dostępu na podstawie rejestracji w usłudze Intune i stanu zgodności urządzeń na tych innych platformach.
Aby uzyskać więcej informacji, zobacz następujące filmy wideo:
- Brad Anderson szczegółowo demonstruje dostęp warunkowy
- Więcej szczegółów ze strefy punktu końcowego 1805
Wartości
Dzięki dostępowi warunkowemu i integracji z usługą ATP wzmacniasz podstawowy składnik każdej organizacji IT: bezpieczny dostęp do chmury.
W ponad 63% wszystkich naruszeń danych osoby atakujące uzyskują dostęp do sieci organizacji za pośrednictwem słabych, domyślnych lub skradzionych poświadczeń użytkownika. Ponieważ dostęp warunkowy koncentruje się na zabezpieczeniu tożsamości użytkownika, ogranicza kradzież poświadczeń. Dostęp warunkowy zarządza tożsamościami i chroni je, zarówno uprzywilejowane, jak i nieuprzywilejowe. Nie ma lepszego sposobu ochrony urządzeń i danych na nich.
Ponieważ dostęp warunkowy jest podstawowym składnikiem pakietu Enterprise Mobility + Security (EMS), nie jest wymagana lokalna konfiguracja ani architektura. Dzięki usłudze Intune i usłudze Microsoft Entra ID można szybko skonfigurować dostęp warunkowy w chmurze. Jeśli obecnie używasz programu Configuration Manager, możesz łatwo rozszerzyć środowisko na chmurę za pomocą współzarządzania i zacząć z niego korzystać już teraz.
Aby uzyskać więcej informacji na temat integracji z usługą ATP, zobacz ten wpis w blogu Microsoft Defender for Endpoint device risk score exposes new cyberattack, drives Conditional Access to protect networks (Ocena ryzyka związana z urządzeniem w usłudze Microsoft Defender for Endpoint) uwidacznia nowy atak cybernetyczny i umożliwia dostęp warunkowy w celu ochrony sieci. Szczegółowo opisano, w jaki sposób zaawansowana grupa hakerów używała nigdy wcześniej nie widzianych narzędzi. Chmura firmy Microsoft wykryła i zatrzymała je, ponieważ użytkownicy docelowi mieli dostęp warunkowy. Wtargnięcie aktywowało zasady dostępu warunkowego opartego na ryzyku urządzenia. Mimo że osoba atakująca już ustanowiła przyczółek w sieci, wykorzystane maszyny zostały automatycznie ograniczone do usług organizacyjnych i danych zarządzanych przez identyfikator Entra firmy Microsoft.
Konfiguruj
Dostęp warunkowy jest łatwy w użyciu po włączeniu współzarządzania. Wymaga przeniesienia obciążenia Zasady zgodności do usługi Intune. Aby uzyskać więcej informacji, zobacz Jak przełączyć obciążenia programu Configuration Manager do usługi Intune.
Aby uzyskać więcej informacji na temat korzystania z dostępu warunkowego, zobacz następujące artykuły:
Uwaga
Funkcje dostępu warunkowego stają się natychmiast dostępne dla urządzeń przyłączonych hybrydowo do usługi Microsoft Entra. Te funkcje obejmują uwierzytelnianie wieloskładnikowe i kontrolę dostępu przyłączania hybrydowego firmy Microsoft Entra. To zachowanie jest spowodowane tym, że są one oparte na właściwościach usługi Microsoft Entra. Aby skorzystać z oceny opartej na konfiguracji z usługi Intune i programu Configuration Manager, włącz współzarządzanie. Ta konfiguracja zapewnia kontrolę dostępu bezpośrednio z usługi Intune dla zgodnych urządzeń. Zapewnia również funkcję oceny zasad zgodności usługi Intune.