Дополнительные сведения об использовании условного доступа
С помощью Intune или Configuration Manager вы можете гарантировать использование надлежащих учетных данных для доступа к корпоративным данным и обмена ими.
Условный доступ с помощью Intune
В Intune реализуются следующие типы условного доступа.
- Условный доступ на основе информации об устройстве
- Условный доступ для локальной среды Exchange
- Условный доступ на основе управления доступом к сети
- Условный доступ на основе риска устройства
- Условный доступ для компьютеров с Windows
- Корпоративные устройства
- Перенос собственного устройства (BYOD)
- Условный доступ на основе приложений
Условный доступ с совместным управлением
При совместном управлении Intune оценивает каждое устройство в сети, чтобы определить, насколько надежно это. Эта оценка выполняется двумя способами:
Intune гарантирует, что устройство или приложение управляется и безопасно настроено. Эта проверка зависит от того, как вы устанавливаете политики соответствия вашей организации. Например, убедитесь, что все устройства включены в шифрование и не имеют защиты от тюрьмы.
Эта оценка выполняется на основе конфигурации и упреждающей защиты от нарушений в системе безопасности.
Для совместно управляемых устройств Configuration Manager также выполняет оценку на основе конфигурации для таких элементов, как необходимые обновления или соответствие приложений. Intune объединяет эту оценку вместе с собственной оценкой.
Intune обнаруживает активные инциденты безопасности на устройстве. Он использует интеллектуальную безопасность Microsoft Defender для конечной точки (ранее — Расширенная защита от угроз в Microsoft Defender или ATP в Защитнике Windows) и другие поставщики защиты от угроз для мобильных устройств. Эти партнеры выполняют текущий анализ поведения на устройствах. Этот анализ обнаруживает активные инциденты, а затем передает эти сведения в Intune для оценки соответствия в режиме реального времени.
- Эта оценка основана на инцидентах и фактических нарушениях в системе безопасности.
Распространенные способы использования условного доступа
Вам необходимо настроить связанные политики соответствия требования, чтобы обеспечить соблюдение правил условного доступа в вашей организации. Условный доступ обычно используется для предоставления или блокирования доступа к Exchange, управления доступом к сети или интеграции с решением для защиты от угроз на мобильных устройствах, а также для решения схожих задач.
Условный доступ на основе информации об устройстве
Intune и Идентификатор Microsoft Entra работают вместе, чтобы убедиться, что только управляемые и совместимые устройства могут получать доступ к электронной почте, службам Office 365, приложениям Software as a service (SaaS) и локальным приложениям. Кроме того, можно задать политику в идентификаторе Microsoft Entra, чтобы включить только присоединенные к домену компьютеры или мобильные устройства, зарегистрированные в Intune, для доступа к службам Office 365.
Intune предоставляет возможности политики соответствия устройств, которые оценивают состояние соответствия устройств. Состояние соответствия сообщается идентификатору Microsoft Entra, который использует его для принудительного применения политики условного доступа, созданной в идентификаторе Microsoft Entra, когда пользователь пытается получить доступ к ресурсам организации.
Условный доступ на основе управления доступом к сети
Intune интегрируется с партнерами, такими как Cisco ISE, Aruba Clear Pass и Citrix NetScaler, чтобы обеспечить управление доступом на основе регистрации Intune и состояния соответствия устройств.
Пользователи могут быть разрешены или запрещены доступ к корпоративным ресурсам Wi-Fi или VPN в зависимости от того, управляется ли устройство, которое они используют, и соответствует политикам соответствия устройств Intune.
Условный доступ на основе риска устройства
Партнеры Intune с поставщиками Mobile Threat Defense, которые предоставляют решение для обнаружения вредоносных программ, троянов и других угроз на мобильных устройствах.
Как работает интеграция Intune и Mobile Threat Defense
Когда на мобильных устройствах установлен агент Mobile Threat Defense, агент отправляет сообщения о состоянии соответствия в Intune, сообщая о обнаружении угрозы на самом мобильном устройстве.
Интеграция Intune и Mobile Threat Defense играет фактор в решениях условного доступа на основе риска устройств.
Условный доступ для компьютеров с Windows
Условный доступ для ПК предоставляет возможности, аналогичные доступным для мобильных устройств. Рассмотрим способы использования условного доступа при управлении компьютерами с помощью Intune.
Корпоративные устройства
Гибридное присоединение к Microsoft Entra: организации, которые достаточно удобно управлять компьютерами с помощью групповых политик AD или Configuration Manager обычно используют этот параметр.
Присоединенный к домену Microsoft Entra и управление Intune. Этот сценарий предназначен для организаций, которые хотят быть облачными (т. е. в первую очередь используют облачные службы, с целью сокращения использования локальной инфраструктуры) или только для облака (без локальной инфраструктуры). Присоединение Microsoft Entra хорошо работает в гибридной среде, обеспечивая доступ как к облачным, так и к локальным приложениям и ресурсам. Устройство присоединяется к идентификатору Microsoft Entra и регистрируется в Intune, который можно использовать в качестве критерия условного доступа при доступе к корпоративным ресурсам.
Перенос собственного устройства (BYOD)
- Присоединение к рабочему месту и управление Intune: пользователь может присоединиться к личным устройствам для доступа к корпоративным ресурсам и службам. Вы можете использовать подключение к рабочему месту и зарегистрировать устройства в службе управления мобильными устройствами (MDM) Intune, чтобы использовать политики на уровне устройства, которые являются еще одним вариантом для оценки критериев условного доступа.
Условный доступ на основе приложений
Идентификатор Intune и Microsoft Entra работают вместе, чтобы убедиться, что только управляемые приложения могут получить доступ к корпоративной электронной почте или другим службам Office 365.