Включение условного доступа для более эффективной защиты пользователей, устройств и данных

  • Статья

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Условный доступ — это возможность, которая помогает лучше защитить пользователей и корпоративные сведения, обеспечивая доступ к приложениям только на защищенных устройствах.

С помощью условного доступа вы можете управлять доступом к корпоративной информации на основе уровня риска устройства. Это помогает держать доверенных пользователей на доверенных устройствах, использующих доверенные приложения.

Вы можете определить условия безопасности, при которых устройства и приложения могут запускаться и получать доступ к информации из сети, применяя политики для остановки работы приложений до тех пор, пока устройство не вернется в соответствующее состояние.

Реализация условного доступа в Defender для конечной точки основана на политиках соответствия устройств Microsoft Intune (Intune) и политиках условного доступа Microsoft Entra.

Политика соответствия требованиям используется с условным доступом, чтобы разрешить доступ к приложениям только устройствам, которые соответствуют одному или нескольким правилам политики соответствия устройств.

Общие сведения о потоке условного доступа

Условный доступ применяется таким образом, чтобы при появлении угрозы на устройстве доступ к конфиденциальному содержимому блокировался до тех пор, пока угроза не будет устранена.

Поток начинается с устройств с низким, средним или высоким риском. Затем эти определения риска отправляются в Intune.

В зависимости от того, как вы настраиваете политики в Intune, условный доступ можно настроить таким образом, чтобы при выполнении определенных условий применялась политика.

Например, можно настроить Intune для применения условного доступа к устройствам с высоким риском.

В Intune для блокировки доступа к приложениям используется политика соответствия устройств Microsoft Entra условного доступа. Параллельно запускается автоматизированный процесс исследования и исправления.

Пользователь по-прежнему может использовать устройство во время автоматического исследования и исправления, но доступ к корпоративным данным блокируется до полного устранения угрозы.

Чтобы устранить риск, обнаруженный на устройстве, необходимо вернуть устройство в соответствующее состояние. Устройство возвращается в соответствующее состояние, когда на нем не наблюдается риск.

Существует три способа устранения риска:

  1. Используйте ручное или автоматическое исправление.
  2. Разрешение активных оповещений на устройстве. Это устраняет риск с устройства.
  3. Вы можете удалить устройство из активных политик, и, следовательно, условный доступ не будет применен к устройству.

Для исправления вручную требуется, чтобы администратор secops исследовал оповещение и устранял риск, наблюдаемый на устройстве. Автоматическое исправление настраивается с помощью параметров конфигурации, указанных в следующем разделе Настройка условного доступа.

Когда риск устраняется путем ручного или автоматического исправления, устройство возвращается в соответствующее состояние и предоставляется доступ к приложениям.

В следующем примере последовательности событий описывается условный доступ в действии:

  1. Пользователь открывает вредоносный файл, а Defender для конечной точки помечает устройство как высокий риск.
  2. Оценка высокого риска передается Intune. Параллельно инициируется автоматическое исследование для устранения обнаруженной угрозы. Для устранения обнаруженной угрозы можно также выполнить исправление вручную.
  3. На основе политики, созданной в Intune, устройство помечается как несоответствующее. Затем оценка передается Microsoft Entra ID политикой условного доступа Intune. В Microsoft Entra ID для блокировки доступа к приложениям применяется соответствующая политика.
  4. Выполняется ручное или автоматическое исследование и исправление, а угроза удаляется. Defender для конечной точки видит, что на устройстве нет риска, и Intune оценивает, что устройство находится в совместимом состоянии. Microsoft Entra ID применяет политику, которая разрешает доступ к приложениям.
  5. Теперь пользователи могут получать доступ к приложениям.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.