启用条件访问以更好地保护用户、设备和数据

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

条件访问是一项功能,可确保只有安全设备才能访问应用程序,从而帮助你更好地保护用户和企业信息。

使用条件访问,可以根据设备的风险级别控制对企业信息的访问。 这有助于使用受信任的应用程序在受信任的设备上保留受信任的用户。

可以通过强制实施策略来定义安全条件,使设备和应用程序能够运行并从网络访问信息,以在设备恢复合规状态之前停止应用程序运行。

Defender for Endpoint 中的条件访问实现基于Microsoft Intune (Intune) 设备符合性策略和Microsoft Entra条件访问策略。

合规性策略与条件访问一起使用,仅允许满足一个或多个设备符合性策略规则的设备访问应用程序。

了解条件访问流

实施条件访问,以便在设备上看到威胁时,将阻止对敏感内容的访问,直到威胁得到修正。

流从设备被认为具有低风险、中等风险或高风险开始。 然后,这些风险决定将发送到Intune。

根据在 Intune 中配置策略的方式,可以设置条件访问,以便在满足特定条件时应用策略。

例如,可以将Intune配置为在高风险设备上应用条件访问。

在 Intune 中,设备符合性策略与Microsoft Entra条件访问一起使用,以阻止对应用程序的访问。 同时启动自动调查和修正过程。

在进行自动调查和修正时,用户仍然可以使用设备,但在完全修正威胁之前,对企业数据的访问会被阻止。

若要解决在设备上发现的风险,需要将设备返回到合规状态。 当设备上没有看到风险时,设备将返回到合规状态。

有三种方法可以解决风险:

  1. 使用手动或自动修正。
  2. 解决设备上的活动警报。 这消除了设备的风险。
  3. 可以从活动策略中删除设备,因此,不会在设备上应用条件访问。

手动修正需要 secops 管理员调查警报并解决设备上出现的风险。 通过以下配置 条件访问部分中提供的配置设置来配置自动修正。

通过手动或自动修正消除风险时,设备将恢复为合规状态,并授予对应用程序的访问权限。

以下示例事件序列说明了操作中的条件访问:

  1. 用户打开恶意文件,Defender for Endpoint 将设备标记为高风险。
  2. 高风险评估将传递给Intune。 同时,将启动自动调查以修正已识别的威胁。 还可以执行手动修正来修正已识别的威胁。
  3. 根据在 Intune 中创建的策略,设备被标记为不合规。 然后,评估由Intune条件访问策略传达给Microsoft Entra ID。 在Microsoft Entra ID中,应用相应的策略来阻止对应用程序的访问。
  4. 完成手动或自动调查和修正,并删除威胁。 Defender for Endpoint 发现设备上没有风险,Intune评估设备是否处于合规状态。 Microsoft Entra ID应用策略,该策略允许访问应用程序。
  5. 用户现在可以访问应用程序。

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区