Включение условного доступа для более эффективной защиты пользователей, устройств и данных

  • Статья

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Условный доступ — это возможность, которая помогает лучше защитить пользователей и корпоративные сведения, обеспечивая доступ к приложениям только на защищенных устройствах.

С помощью условного доступа вы можете управлять доступом к корпоративной информации на основе уровня риска устройства. Это помогает держать доверенных пользователей на доверенных устройствах, использующих доверенные приложения.

Вы можете определить условия безопасности, при которых устройства и приложения могут запускаться и получать доступ к информации из сети, применяя политики для остановки работы приложений до тех пор, пока устройство не вернется в соответствующее состояние.

Реализация условного доступа в Defender для конечной точки основана на политиках соответствия устройств Microsoft Intune (Intune) и политиках условного доступа Microsoft Entra.

Политика соответствия требованиям используется с условным доступом, чтобы разрешить доступ к приложениям только устройствам, которые соответствуют одному или нескольким правилам политики соответствия устройств.

Общие сведения о потоке условного доступа

Условный доступ применяется таким образом, чтобы при появлении угрозы на устройстве доступ к конфиденциальному содержимому блокировался до тех пор, пока угроза не будет устранена.

Поток начинается с устройств с низким, средним или высоким риском. Затем эти определения риска отправляются в Intune.

В зависимости от того, как вы настраиваете политики в Intune, условный доступ можно настроить таким образом, чтобы при выполнении определенных условий применялась политика.

Например, можно настроить Intune для применения условного доступа к устройствам с высоким риском.

В Intune политика соответствия устройств используется с Microsoft Entra условным доступом для блокировки доступа к приложениям. Параллельно запускается автоматизированный процесс исследования и исправления.

Пользователь по-прежнему может использовать устройство во время автоматического исследования и исправления, но доступ к корпоративным данным блокируется до полного устранения угрозы.

Чтобы устранить риск, обнаруженный на устройстве, необходимо вернуть устройство в соответствующее состояние. Устройство возвращается в соответствующее состояние, когда на нем не наблюдается риск.

Существует три способа устранения риска:

  1. Используйте ручное или автоматическое исправление.
  2. Разрешение активных оповещений на устройстве. Это устраняет риск с устройства.
  3. Вы можете удалить устройство из активных политик, и, следовательно, условный доступ не будет применен к устройству.

Для исправления вручную требуется, чтобы администратор secops исследовал оповещение и устранял риск, наблюдаемый на устройстве. Автоматическое исправление настраивается с помощью параметров конфигурации, указанных в следующем разделе Настройка условного доступа.

Когда риск устраняется путем ручного или автоматического исправления, устройство возвращается в соответствующее состояние и предоставляется доступ к приложениям.

В следующем примере последовательности событий описывается условный доступ в действии:

  1. Пользователь открывает вредоносный файл, а Defender для конечной точки помечает устройство как высокий риск.
  2. Оценка высокого риска передается в Intune. Параллельно инициируется автоматическое исследование для устранения обнаруженной угрозы. Для устранения обнаруженной угрозы можно также выполнить исправление вручную.
  3. В соответствии с политикой, созданной в Intune, устройство помечается как не соответствующее. Затем оценка передается Microsoft Entra ID политикой условного доступа Intune. В Microsoft Entra ID для блокировки доступа к приложениям применяется соответствующая политика.
  4. Выполняется ручное или автоматическое исследование и исправление, а угроза удаляется. Defender для конечной точки видит, что на устройстве нет риска, и Intune оценивает устройство в соответствующее состояние. Microsoft Entra ID применяет политику, которая разрешает доступ к приложениям.
  5. Теперь пользователи могут получать доступ к приложениям.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.