分享方式:


使用共同管理的條件式存取

條件式存取可確保只有受信任的使用者可以使用受信任的應用程式存取受信任裝置上的組織資源。 它是從頭建置在雲端中。 無論您是使用 Intune 管理裝置,還是使用共同管理擴充 Configuration Manager 部署,其運作方式都相同。

在下列影片中,資深計劃經理 Joey Glocke 和產品營銷經理 Locky Ainley 會討論並示範搭配共同管理的條件式存取:

透過共同管理,Intune 可評估您網路中的每個裝置,以判斷其可靠程度。 其會以下列兩種方式進行這項評估:

  1. Intune 可確保裝置或應用程式已受管理且安全地設定。 這項檢查取決於您如何設定組織的合規性政策。 例如,請確定所有裝置都已啟用加密,而且不會進行 JB 破解。

    • 此評估是預先安全性缺口和設定型

    • 針對共同管理的裝置,Configuration Manager 也會執行以組態為基礎的評估。 例如,必要的更新或應用程式合規性。 Intune 會結合此評估及其本身的評估。

  2. Intune 會偵測裝置上的作用中安全性事件。 它會使用 適用於端點的 Microsoft Defender 和其他 行動威脅防禦提供者的智慧型手機安全性。 這些合作夥伴會在裝置上執行持續的行為分析。 此分析會偵測作用中事件,然後將此資訊傳遞至 Intune 以進行即時合規性評估。

    • 此評估是安全性缺口后和事件型

Microsoft公司副總裁 Brad Anderson 在 Ignite 2018 演講期間,透過即時示範深入討論條件式存取。

條件式存取也可讓您集中查看所有網路連線裝置的健康情況。 您可以獲得雲端規模的優點,這對測試 Configuration Manager 生產實例特別有價值。

優點

每個IT小組都具備網路安全性。 在存取網路之前,必須確定每個裝置都符合您的安全性和商務需求。 使用條件式存取,您可以判斷下列因素:

  • 如果每個裝置都已加密
  • 如果已安裝惡意代碼
  • 如果已更新其設定
  • 如果已進行越獄或 Root 破解

條件式存取結合組織數據的細微控制與用戶體驗,可從任何位置將任何裝置上的背景工作生產力最大化。

下列影片示範 Microsoft Defender for Endpoint (先前稱為進階威脅防護) 如何整合到您經常遇到的常見案例中:

透過共同管理,Intune 可以納入 Configuration Manager 對於評估必要更新或應用程式的安全性標準合規性的責任。 對於任何想要繼續使用 Configuration Manager 進行複雜應用程式和修補程式管理的 IT 組織而言,此行為都很重要。

條件式存取也是開發 零信任網路架 構的重要部分。 使用條件式存取,符合規範的裝置訪問控制涵蓋零信任網路的基礎層。 這項功能是您未來保護組織的主要部分。

如需詳細資訊,請參閱使用 適用於端點的 Microsoft Defender 的機器風險數據增強條件式存取的部落格文章。

案例研究

IT 諮詢公司 Wipro 會使用條件式存取來保護和管理所有 91,000 名員工所使用的裝置。 在最近的案例研究中,Wipro 的IT副總裁指出:

達到條件式存取是 Wipro 的一大成功。 現在,我們所有的員工都可透過行動方式存取隨選資訊。 我們提升了安全性狀態和員工生產力。 現在,有 91,000 名員工受益於從任何裝置、任何地方高度安全地存取超過 100 個應用程式。

其他範例包括:

  • Nestlé,為超過 150,000 名員工使用以應用程式為基礎的條件式存取

  • 自動化軟體公司 Cadence 現在可以確定「只有受管理的裝置可以存取 Microsoft 365 Apps,例如 Teams 和公司的內部網路」。他們也可以為員工提供「更安全地存取其他雲端式應用程式,例如 Workday 和 Salesforce」。

Intune 也與 Cisco ISE、Aruba Clear Pass 和 Citrix NetScaler 等合作夥伴完全整合。 透過這些合作夥伴,您可以根據 Intune 註冊和這些其他平臺上的裝置合規性狀態來維護訪問控制。

如需詳細資訊,請參閱下列影片:

價值主張

透過條件式存取和 ATP 整合,您將強化每個 IT 組織的基本元件:安全的雲端存取。

在超過 63% 的數據外洩中,攻擊者會透過弱式、預設或遭竊的用戶認證,取得組織網路的存取權。 因為條件式存取著重於保護使用者身分識別,所以會限制認證竊取。 條件式存取可管理並保護您的身分識別,不論是特殊許可權或非特殊許可權。 沒有更好的方法可以保護裝置及其上的數據。

由於條件式存取是 Enterprise Mobility + Security (EMS) 的核心元件,因此不需要內部部署設定或架構。 透過 Intune 和 Microsoft Entra ID,您可以在雲端中快速設定條件式存取。 如果您目前使用 Configuration Manager,您可以使用共同管理輕鬆地將環境延伸至雲端,並立即開始使用。

如需 ATP 整合的詳細資訊,請參閱此部落格文章 Microsoft適用於端點的 Defender 裝置風險分數會公開新的網路攻擊,並驅動條件式存取來保護網路。 其中詳細說明進階駭客群組如何使用前所未見的工具。 Microsoft雲端偵測到並將其停止,因為目標使用者具有條件式存取。 入侵事件已啟動裝置的風險型條件式存取原則。 雖然攻擊者已在網路中建立一個據點,但遭入侵的機器會自動限制無法存取Microsoft Entra ID 所管理的組織服務和數據。

設定

當您 啟用共同管理時,條件式存取很容易使用。 它需要將 合規性政策 工作負載移至 Intune。 如需詳細資訊,請 參閱如何將 Configuration Manager 工作負載切換至 Intune

如需使用條件式存取的詳細資訊,請參閱下列文章:

注意事項

條件式存取功能立即可供Microsoft加入 Entra 的裝置使用。 這些功能包括多重要素驗證和Microsoft混合式聯結訪問控制。 此行為是因為其是以 Microsoft 屬性為基礎。 若要利用 Intune 和 Configuration Manager 的組態型評量,請啟用共同管理。 此設定可讓您直接從 Intune 針對符合規範的裝置進行訪問控制。 它也提供您 Intune 的合規性原則評估功能。