探索条件访问

已完成

条件访问是企业移动性 + 安全性 (EMS) 的一项功能。 它提供对组织数据的精细访问控制，同时允许用户在任何设备和位置工作。 条件访问有助于保护公司的电子邮件和数据免受设备不合规带来的安全风险。

Intune 和 Microsoft Entra ID 协同工作，为移动设备启用条件访问。 Intune 提供有关设备的 Microsoft Entra ID 合规性的信息。 当 Microsoft Entra ID 收到访问资源的请求时，它会将此信息与条件访问策略进行比较。

• 如果条件访问策略规定不合规的设备不能访问资源，则这些设备的访问请求将被拒绝。
• 如果访问被拒绝，系统会提示用户注册设备并修复合规性问题。

还可以在 Microsoft Entra ID 中设置策略，以便仅允许已加入域或注册到 Intune 的设备访问资源。

条件访问策略是使用“发生这种情况时：然后执行此操作”模式的访问场景进行定义。

• 发生这种情况时。 定义触发条件访问策略的原因。 此原因由已满足的一组条件来表征。 在条件访问中，两个赋值条件有着特殊作用：

  • 用户。 执行访问尝试的用户（人物）。
  • 云应用。 访问尝试的目标（什么）。

这两个条件在条件访问策略中是必需的。 除这两个必需的条件外，还可加入介绍访问尝试执行方式的其他条件。 常见示例是使用公司网络外的移动设备或位置。

• 然后执行此操作。 定义策略的响应。 使用条件访问策略，可以控制授权用户（已被授予云应用访问权限的用户）如何在特定条件下访问云应用。 在响应中，你将强制执行其他要求，例如多重身份验证、托管设备，等等。 在条件访问上下文中，策略强制实施的要求称为访问控制。 在最严格的形式下，您的策略可以阻止访问。

在某些情况下，条件访问尤其有用。

• 支持需要多重身份验证 (MFA) 的应用。 某些应用程序需要比其他应用程序更多的保护。 通过条件访问，可通过在用户访问时要求 MFA 为它们添加保护层。
• 在不受信任的网络中需要多因素认证（MFA）。 在这种情况下，应用程序自身不需要加强安全性。 相反，请求访问的位置是值得关注的问题。 在这种情况下，可以要求用户从不受信任的位置访问数据以提供 MFA。
• 仅允许 Microsoft 365 访问受信任的设备。 你可能决定仅允许从在 Intune 中注册的设备以及从加入本地域的电脑访问 Microsoft 365 服务。 条件访问允许您根据 Microsoft 365 应用限制来自不符合这些要求的设备的访问。