Lär dig mer om användning av villkorsstyrd åtkomst

Slutförd

Genom att använda Intune eller Configuration Manager hjälper du till att säkerställa att din organisation använder rätt autentiseringsuppgifter för åtkomst till och delning av företagets data.

Villkorlig åtkomst med Intune

Intune tillhandahåller följande typer av villkorsstyrd åtkomst:

• Enhetsbaserad villkorlig åtkomst
  • Villkorlig åtkomst för Exchange on-premises
  • Villkorlig åtkomst baserat på nätverksåtkomstkontroll
  • Villkorlig åtkomst baserat på enhetsrisk
  • Villkorlig åtkomst för Windows-datorer
    • Företagsägd
    • ByOD (Bring Your Own Device)
• Appbaserad villkorlig åtkomst

Villkorsstyrd åtkomst med hjälp av samhantering

Med samhantering utvärderar Intune varje enhet i ditt nätverk för att fastställa hur tillförlitlig den är. Den här utvärderingen sker på följande två sätt:

1. Intune kontrollerar att en enhet eller app hanteras och konfigureras på ett säkert sätt. Den här kontrollen beror på hur du anger organisationens efterlevnadsprinciper. Kontrollera till exempel att alla enheter har kryptering aktiverat och inte är jailbrokade.

   • Den här utvärderingen är pre-security breach och konfigurationsbaserad.

   • För samhanterade enheter utför Configuration Manager även konfigurationsbaserad utvärdering för saker som nödvändiga uppdateringar eller appefterlevnad. Intune kombinerar den här utvärderingen med sin egen utvärdering.

2. Intune identifierar aktiva säkerhetsincidenter på en enhet. Den använder intelligent säkerhet för Microsoft Defender för Endpoint (tidigare Microsoft Defender Advanced Threat Protection eller Windows Defender ATP) och andra mobila leverantörer av skydd mot hot. Dessa partner kör pågående beteendeanalyser på enheter. Den här analysen identifierar aktiva incidenter och skickar sedan den här informationen till Intune för utvärdering av efterlevnad i realtid.

   • Den här utvärderingen är efter säkerhetsöverträdelse och incidentbaserad.

Vanliga sätt att använda villkorlig åtkomst

Du behöver konfigurera de relaterade efterlevnadsprinciperna som styr efterlevnad med villkorsstyrd åtkomst i din organisation. Villkorsstyrd åtkomst används ofta för att tillåta eller blockera åtkomst till Exchange, kontrollera åtkomst till nätverket eller integrera med en lösning för skydd mot mobilhot.

Enhetsbaserad villkorlig åtkomst

Intune och Microsoft Entra ID fungerar tillsammans för att se till att endast hanterade och kompatibla enheter kan komma åt e-post, Office 365-tjänster, SaaS-appar (Programvara som en tjänst) och lokala appar. Dessutom kan du ange en princip i Microsoft Entra-ID för att endast aktivera domänanslutna datorer eller mobila enheter som har registrerats i Intune för åtkomst till Office 365-tjänster.

Intune tillhandahåller funktioner för enhetsefterlevnadsprinciper som utvärderar enheternas efterlevnadsstatus. Efterlevnadsstatusen rapporteras till Microsoft Entra-ID som använder det för att framtvinga principen för villkorsstyrd åtkomst som skapats i Microsoft Entra-ID när användaren försöker komma åt företagsresurser.

Villkorlig åtkomst baserat på nätverksåtkomstkontroll

Intune integreras med partner som Cisco ISE, Aruba Clear Pass och Citrix NetScaler för att tillhandahålla åtkomstkontroller baserat på Intune-registreringen och enhetsefterlevnadstillståndet.

Användare kan tillåtas eller nekas åtkomst till företagets Wi-Fi- eller VPN-resurser baserat på om enheten de använder hanteras och är kompatibel med Intune-enhetsefterlevnadsprinciper.

Villkorlig åtkomst baserat på enhetsrisk

Intune samarbetar med Mobile Threat Defense-leverantörer som tillhandahåller en säkerhetslösning för att identifiera skadlig kod, trojaner och andra hot på mobila enheter.

Så här fungerar Intune- och Mobile Threat Defense-integreringen

När mobila enheter har Mobile Threat Defense-agenten installerad skickar agenten meddelanden om efterlevnadstillstånd tillbaka till Intune och rapporterar när ett hot hittas på själva den mobila enheten.

Intune- och Mobile Threat Defense-integreringen spelar en roll i besluten om villkorsstyrd åtkomst baserat på enhetsrisk.

Villkorlig åtkomst för Windows-datorer

Villkorsstyrd åtkomst för PC-datorer ger funktioner som liknar dem som är tillgängliga för mobila enheter. Nu går vi igenom hur du kan använda villkorsstyrd åtkomst när du hanterar datorer med Intune.

Företagsägd

• Microsoft Entra-hybridanslutning: Organisationer som är relativt bekväma med hur de redan hanterar sina datorer via AD-grupprinciper eller Configuration Manager använder ofta det här alternativet.

• Microsoft Entra-domänansluten och Intune-hantering: Det här scenariot är för organisationer som vill vara molnbaserade först (dvs. främst använda molntjänster, med målet att minska användningen av en lokal infrastruktur) eller endast moln (ingen lokal infrastruktur). Microsoft Entra-anslutning fungerar bra i en hybridmiljö, vilket ger åtkomst till både molnbaserade och lokala appar och resurser. Enheten ansluter till Microsoft Entra-ID:t och registreras i Intune, som kan användas som villkor för villkorsstyrd åtkomst vid åtkomst till företagsresurser.

ByOD (Bring Your Own Device)

• Arbetsplatsanslutning och Intune-hantering: Användaren kan ansluta sina personliga enheter för att få åtkomst till företagets resurser och tjänster. Du kan använda arbetsplatsanslutning och registrera enheter till Intune MDM för att få principer på enhetsnivå, vilket är ett annat alternativ för att utvärdera kriterier för villkorsstyrd åtkomst.

Appbaserad villkorlig åtkomst

Intune och Microsoft Entra ID fungerar tillsammans för att se till att endast hanterade appar kan komma åt företagets e-post eller andra Office 365-tjänster.