Aktivera villkorlig åtkomst för att bättre skydda användare, enheter och data

  • Artikel

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Villkorsstyrd åtkomst är en funktion som hjälper dig att bättre skydda dina användare och företagsinformation genom att se till att endast säkra enheter har åtkomst till program.

Med villkorsstyrd åtkomst kan du styra åtkomsten till företagsinformation baserat på risknivån för en enhet. Detta hjälper till att behålla betrodda användare på betrodda enheter med hjälp av betrodda program.

Du kan definiera säkerhetsvillkor under vilka enheter och program kan köra och komma åt information från nätverket genom att tillämpa principer för att hindra program från att köras tills en enhet återgår till ett kompatibelt tillstånd.

Implementeringen av villkorlig åtkomst i Defender för Endpoint baseras på Microsoft Intune principer för enhetsefterlevnad (Intune) och Microsoft Entra principer för villkorsstyrd åtkomst.

Efterlevnadsprincipen används med villkorsstyrd åtkomst för att endast tillåta att enheter som uppfyller en eller flera policyregler för enhetsefterlevnad får åtkomst till program.

Förstå flödet för villkorsstyrd åtkomst

Villkorlig åtkomst har införts så att åtkomst till känsligt innehåll blockeras tills hotet åtgärdas när ett hot visas på en enhet.

Flödet börjar med att enheter anses ha en låg, medelhög eller hög risk. Dessa riskbestämningar skickas sedan till Intune.

Beroende på hur du konfigurerar principer i Intune kan villkorlig åtkomst konfigureras så att principen tillämpas när vissa villkor uppfylls.

Du kan till exempel konfigurera Intune att tillämpa villkorsstyrd åtkomst på enheter med hög risk.

I Intune används en princip för enhetsefterlevnad med Microsoft Entra villkorlig åtkomst för att blockera åtkomst till program. Parallellt startas en automatiserad undersöknings- och reparationsprocess.

En användare kan fortfarande använda enheten medan den automatiserade undersökningen och reparationen pågår, men åtkomsten till företagsdata blockeras tills hotet är helt åtgärdat.

För att lösa risken på en enhet måste du återställa enheten till ett kompatibelt tillstånd. En enhet återgår till ett kompatibelt tillstånd när det inte finns någon risk på den.

Det finns tre sätt att hantera en risk:

  1. Använd Manuell eller automatiserad reparation.
  2. Lös aktiva aviseringar på enheten. Detta tar bort risken från enheten.
  3. Du kan ta bort enheten från de aktiva principerna och därför tillämpas inte villkorsstyrd åtkomst på enheten.

Manuell reparation kräver att en secops-administratör undersöker en avisering och åtgärdar den risk som visas på enheten. Den automatiserade reparationen konfigureras via konfigurationsinställningarna i följande avsnitt Konfigurera villkorlig åtkomst.

När risken tas bort antingen via manuell eller automatiserad reparation återgår enheten till ett kompatibelt tillstånd och åtkomst till program beviljas.

I följande exempelsekvens av händelser förklaras villkorsstyrd åtkomst i praktiken:

  1. En användare öppnar en skadlig fil och Defender för Endpoint flaggar enheten som hög risk.
  2. Den höga riskbedömningen skickas vidare till Intune. Parallellt initieras en automatiserad undersökning för att åtgärda det identifierade hotet. En manuell reparation kan också utföras för att åtgärda det identifierade hotet.
  3. Baserat på principen som skapades i Intune markeras enheten som inkompatibel. Utvärderingen meddelas sedan till Microsoft Entra ID av Intune-principen för villkorsstyrd åtkomst. I Microsoft Entra ID tillämpas motsvarande princip för att blockera åtkomst till program.
  4. Den manuella eller automatiserade undersökningen och reparationen slutförs och hotet tas bort. Defender för Endpoint ser att det inte finns någon risk på enheten och Intune bedömer att enheten är i ett kompatibelt tillstånd. Microsoft Entra ID tillämpar principen, som ger åtkomst till program.
  5. Användare kan nu komma åt program.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.