终结点集成

终结点是可访问组织资源和应用程序的设备。 现代工作场所包含各种设备,这些设备可从公司网络内外请求访问权限。

终结点零信任解决方案用于验证访问工作数据的设备(包括设备上运行的应用程序)的安全性。 合作伙伴可以与 Microsoft 的终结点解决方案集成,以验证设备和应用安全性,强制实施最低特权策略,并针对违规提前做好准备。

本指南适用于希望通过与 Microsoft 产品集成来增强其终结点安全解决方案的软件提供商和技术合作伙伴。

终结点零信任集成指南

此集成指南包含与以下产品集成的说明:

用于终结点的 Microsoft Defender

Microsoft Defender for Endpoint 是一个企业终结点安全平台,专门用于帮助企业网络防御、检测、调查和响应高级威胁。 其中结合使用了终结点行为传感器、云安全分析和威胁情报。

Defender for Endpoint 支持第三方应用程序,以帮助增强平台的检测、调查和威胁情报功能。 此外,合作伙伴可以在开放框架和一组丰富且完整的 API 基础上扩展其现有安全产品/服务,以构建与 Defender for Endpoint 的扩展和集成。

Microsoft Defender for Endpoint 合作伙伴机会和场景页描述了受支持的几类集成。 此外,集成场景的其他构想可能包括:

  • 简化威胁修正:Microsoft Defender for Endpoint 可立即或在操作员协助下进行响应,以解决警报问题。 合作伙伴可以利用终结点响应操作(例如计算机隔离、文件隔离)来阻止整个托管终结点的 IoC。
  • 将网络访问控制与设备安全性相结合:风险或暴露分数可用于实现和强制执行网络和应用程序访问的策略。

若要成为 Defender for Endpoint 解决方案的合作伙伴,你需要遵循并完成成为 Microsoft Defender for Endpoint 合作伙伴中提供的步骤。

Microsoft Endpoint Manager

Microsoft Endpoint Manager(包括 Microsoft Intune 和 Microsoft Configuration Manager)为员工使用的设备以及在这些设备上运行的应用程序提供了保护和安全性。 Endpoint Manager 包含设备合规性策略,可确保员工从符合公司安全策略的设备访问应用程序和数据。 另外还包含应用程序保护策略,这些策略为完全托管设备和员工拥有的设备均提供了基于应用程序的安全控制。

若要与 Microsoft Endpoint Manager 集成,ISV 将使用 Microsoft Graph 和 Microsoft Endpoint Manager 应用程序管理 SDK。 Endpoint Manager 与 Graph API 的集成允许使用 Endpoint Manager (Intune) 的管理员控制台提供的任何相同功能。 有关设备符合性状态、合规性策略配置、应用程序保护策略设置等信息,可通过 Graph API 获取。 此外,还可以在 Endpoint Manager 中自动执行任务,进一步巩固客户零信任案例。 Microsoft Graph 文档存储库中提供了在 Microsoft Graph 中使用 Intune 的一般指南。 这里,我们重点介绍与零信任相关的场景。

Microsoft Graph、Microsoft Graph 数据连接和 Microsoft Graph 连接器支持扩展 Microsoft 365 体验和构建智能应用。

验证设备是否遵循安全性和合规性标准

ISV 解决方案可利用 Endpoint Manager 合规性和策略信息来支持显式验证的零信任原则。 借助有关 Endpoint Manager 的用户和设备的合规性数据,ISV 应用程序可确定设备与应用程序的使用相关的风险态势。 通过执行这些验证,ISV 可确保使用该服务的设备符合客户的安全性和合规性标准和策略。

借助 Microsoft Graph API,ISV 可通过一组 RESTful API 与 Endpoint Manager (Intune) 集成。 这些 API 与 Endpoint Manager 控制台用于查看、创建、管理、部署和报告 Intune 中所有操作、数据和活动的 API 相同。 支持零信任计划的 ISV 特别感兴趣的项目是能够查看设备符合性状态并配置合规性规则和策略。 请参阅 Microsoft 关于使用 Microsoft Entra ID 和 Endpoint Manager 实现零信任配置和合规性的零信任建议:使用零信任保护终结点。 Endpoint Manager 的合规性规则是基于设备的条件访问支持(通过 Microsoft Entra ID 提供)的基础。 ISV 还应查看条件访问功能与 API,了解如何完成用户和设备合规性和条件访问的场景。

理想情况下,作为 ISV,应用程序会以云应用程序的形式连接到 Microsoft Graph API,并建立服务到服务连接。 多租户应用程序为 ISV 提供集中式应用程序定义和控制,使客户能够单独同意针对其租户数据运行的 ISV 应用程序。 查看有关 Microsoft Entra ID 中的租户信息,以便注册和创建单租户或多租户 Microsoft Entra 应用程序。 应用程序的身份验证可利用 Microsoft Entra ID 进行单一登录。

创建应用程序后,需要使用 Microsoft Graph API 访问设备和合规性信息。 有关如何使用 Microsoft Graph 的文档,请参阅 Microsoft Graph 开发人员中心。 GRAPH API 是一组 RESTful API,遵循了用于数据访问和查询的 ODATA 标准。

获取设备符合性状态

检测设备是否合规的数据流的可视化效果。最终用户设备向移动威胁防御合作伙伴提供威胁信息。设备还向 Intune 和移动设备管理合作伙伴提供合规性策略状态。接下来,移动威胁防御合作伙伴向 Intune 云服务提供风险评估。Intune 和移动设备管理合作伙伴向同一服务提供合规性状态。最后,Intune 云服务向 Microsoft Entra ID 提供计算后的合规性状态,然后通过 Microsoft Graph API 向 ISV 的解决方案提供设备合规性状态。

此图显示了设备合规性信息如何从设备流向 ISV 解决方案。 最终用户设备从 Intune(移动威胁防御 (MTD) 合作伙伴,或称移动设备管理 (MDM) 合规性合作伙伴)接收策略。 从设备收集合规性信息后,Intune 将计算各设备的总体符合性状态,并存储在 Microsoft Entra ID 中。 利用 Microsoft Graph API,解决方案可以读取和响应设备符合性状态,并应用零信任原则。

向 Intune 注册时,Intune 中便会创建设备记录,并包含更多设备详细信息,包括设备符合性状态。 Intune 将设备符合性状态转发到 Microsoft Entra ID,Microsoft Entra ID 还会在其中存储各设备的符合性状态。 通过对 https://graph.microsoft.com/v1.0/deviceManagement/managedDevices 执行 GET,你可以查看租户的所有注册设备及其符合性状态。 或者,你可以查询 https://graph.microsoft.com/v1.0/devices,以获取 Microsoft Entra 已登记和注册设备及其符合性状态的列表。

例如,以下请求:

GET https://graph.microsoft.com/v1.0/users/{usersId}/managedDevices/{managedDeviceId} 

将返回:

HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 5095

{
 "value": {
  "@odata.type": "#microsoft.graph.managedDevice",
  "id": "705c034c-034c-705c-4c03-5c704c035c70",
  "userId": "User Id value",
  "deviceName": "Device Name value",
  "managedDeviceOwnerType": "company",
  "enrolledDateTime": "2016-12-31T23:59:43.797191-08:00",
  "lastSyncDateTime": "2017-01-01T00:02:49.3205976-08:00",
  "complianceState": "compliant",
...
}

还可以检索合规性策略的列表、其部署以及这些合规性策略的用户和设备状态。 有关调用 Graph 获取合规性策略信息方面的信息,请从此处着手:获取 deviceCompliancePolicy - Microsoft Graph v1.0。 有关设备合规性策略及其使用方式的背景情况,此处提供一个较好的背景:Microsoft Intune 中的设备合规性策略 - Azure

确定特定策略后,可以进行查询,获取特定合规性策略设置的设备状态。 例如,假设已部署合规性策略来要求在锁定时输入密码,请查询 Get deviceComplianceSettingState,了解该设置的特定状态。 这指示设备是否符合密码锁定设置。 同样的方法可用于客户已部署的其他设备合规性策略。

合规性信息是 Microsoft Entra ID 条件访问功能的基础。 Intune 根据合规性策略确定设备合规性,将符合性状态写入 Microsoft Entra ID。 然后,客户使用条件访问策略来确定是否针对不合规情况采取任何操作,包括阻止用户从不合规的设备访问公司数据。

请参阅 Microsoft Intune 中的设备合规性策略,了解有关将设备合规性与条件访问集成的详细信息。

遵循最低特权访问原则

与 Endpoint Manager 集成的 ISV 还会希望确保其应用程序支持零信任原则,以便应用最低权限访问。 Endpoint Manager 集成支持两种重要的访问控制方法,即委托的权限或应用程序权限。 ISV 的应用程序必须使用其中一种权限模型。 委托的权限让你可以对应用程序有权访问的 Endpoint Manager 中的特定对象进行精细控制,但需要管理员使用其凭据登录。 相比之下,应用程序权限允许 ISV 的应用访问或控制数据和对象的类(而不是特定的单个对象),但不需要用户登录。

除了将应用程序创建为单租户或多租户(首选)应用程序外,还必须声明应用程序访问 Endpoint Manager 信息以及针对 Endpoint Manager 执行操作所需的委托的权限或应用程序权限。 请在此处查看有关权限入门的信息:快速入门:配置应用以访问 Web API

Microsoft Defender for IoT

操作技术 (OT) 网络体系结构通常不同于传统的 IT 基础结构,使用具有专有协议的独特技术。 OT 设备还可能具有连接性和功率有限的老化平台,或者特定的安全要求和独特的物理攻击风险。

部署 Microsoft Defender for IoT 以将零信任原则应用于 OT 网络,监视流量,以便在流量越过站点和区域时,监视异常或未经授权的行为。 监视特定于 OT 设备的威胁和漏洞,在检测到威胁和漏洞时缓解风险。

通过跨安全运营中心 (SOC) 和组织的其他部分共享 Defender for IoT 数据来加快操作速度。 与 Microsoft 服务(例如 Microsoft SentinelDefender for Endpoint)或其他合作伙伴服务(包括 SIEM 和票证系统)进行集成。 例如:

有关详细信息,请参阅:

后续步骤