Bedingter Zugriff mit Co-Verwaltung

Der bedingte Zugriff stellt sicher, dass nur vertrauenswürdige Benutzer mithilfe vertrauenswürdiger Apps auf Organisationsressourcen auf vertrauenswürdigen Geräten zugreifen können. Es wird von Grund auf in der Cloud erstellt. Unabhängig davon, ob Sie Geräte mit Intune verwalten oder Ihre Configuration Manager Bereitstellung mit Co-Verwaltung erweitern, funktioniert dies auf die gleiche Weise.

Im folgenden Video diskutieren und demonstrieren Der leitende Programmmanager Joey Glocke und der Produktmarketingmanager Locky Ainley den bedingten Zugriff mit Co-Management:

Mithilfe von Co-Management bewertet Intune die Geräte in Ihrem Netzwerk, um zu ermitteln, wie vertrauenswürdig sie sind. Diese Auswertung erfolgt auf zwei Arten:

1. Intune stellt sicher, dass ein Gerät oder eine App verwaltet und sicher konfiguriert wird. Diese Überprüfung hängt davon ab, wie Sie die Konformitätsrichtlinien Ihrer organization festlegen. Stellen Sie z. B. sicher, dass die Verschlüsselung auf allen Geräten aktiviert ist und kein Jailbreak erfolgt.

   • Diese Bewertung ist vor der Sicherheitsverletzung und konfigurationsbasiert.

   • Für gemeinsam verwaltete Geräte führt Configuration Manager auch konfigurationsbasierte Auswertungen durch. Beispielsweise erforderliche Updates oder Die Kompatibilität von Apps. Intune kombiniert diese Auswertung mit einer eigenen Bewertung.

2. Intune erkennt aktive Sicherheitsvorfälle auf einem Gerät. Es nutzt die intelligente Sicherheit von Microsoft Defender for Endpoint und anderen Anbietern von mobiler Bedrohungsabwehr. Diese Partner führen fortlaufende Verhaltensanalysen auf Geräten durch. Diese Analyse erkennt aktive Incidents und übergibt diese Informationen dann zur Konformitätsbewertung in Echtzeit an Intune.

   • Diese Bewertung ist nach sicherheitsrelevanten Sicherheitsverletzungen und incidentbasiert.

Brad Anderson, Microsoft Corporate Vice President, spricht während der Keynote der Ignite 2018 ausführlich über bedingten Zugriff mit Live-Demos.

Der bedingte Zugriff bietet Ihnen auch einen zentralen Ort, an dem Sie die Integrität aller mit dem Netzwerk verbundenen Geräte anzeigen können. Sie profitieren von den Vorteilen der Cloudskalierung, die besonders nützlich ist, um Configuration Manager Produktionsinstanzen zu testen.

Vorteile

Jedes IT-Team ist von Netzwerksicherheit besessen. Es ist obligatorisch, sicherzustellen, dass jedes Gerät Ihre Sicherheits- und Geschäftsanforderungen erfüllt, bevor Sie auf Ihr Netzwerk zugreifen. Mit bedingtem Zugriff können Sie die folgenden Faktoren bestimmen:

• Wenn jedes Gerät verschlüsselt ist
• Wenn Schadsoftware installiert ist
• Wenn die zugehörigen Einstellungen aktualisiert werden
• Wenn es jailbroken oder root ist

Bedingter Zugriff kombiniert eine präzise Kontrolle über Organisationsdaten mit einer Benutzererfahrung, die die Produktivität der Mitarbeiter auf jedem Gerät von jedem Standort aus maximiert.

Das folgende Video zeigt, wie Microsoft Defender for Endpoint (früher als Advanced Threat Protection bezeichnet) in gängige Szenarien integriert wird, die Sie regelmäßig erleben:

Mit der Co-Verwaltung kann Intune die Verantwortlichkeiten Configuration Manager für die Bewertung der Einhaltung ihrer Sicherheitsstandards für erforderliche Updates oder Apps übernehmen. Dieses Verhalten ist wichtig für alle IT-organization, die weiterhin Configuration Manager für komplexe App- und Patchverwaltung verwenden möchten.

Der bedingte Zugriff ist auch ein wichtiger Bestandteil der Entwicklung Ihrer Zero Trust Network-Architektur. Beim bedingten Zugriff decken konforme Gerätezugriffssteuerungen die grundlegenden Ebenen Zero Trust Netzwerks ab. Diese Funktionalität ist ein großer Teil der Art und Weise, wie Sie Ihre organization in Zukunft sichern.

Weitere Informationen finden Sie im Blogbeitrag Zur Verbesserung des bedingten Zugriffs mit Computerrisikodaten aus Microsoft Defender for Endpoint.

Fallstudien

Das IT-Beratungsunternehmen Wipro nutzt den bedingten Zugriff, um die Geräte zu schützen und zu verwalten, die von allen 91.000 Mitarbeitern verwendet werden. In einer aktuellen Fallstudie stellte der Vice President of IT bei Wipro fest:

Das Erreichen des bedingten Zugriffs ist ein großer Gewinn für Wipro. Jetzt haben alle unsere Mitarbeiter mobilen Zugriff auf Informationen bei Bedarf. Wir haben unseren Sicherheitsstatus und die Produktivität unserer Mitarbeiter verbessert. Jetzt profitieren 91.000 Mitarbeiter von einem hochsicheren Zugriff auf mehr als 100 Apps von jedem Gerät und von überall aus.

Weitere Beispiele:

• Nestlé, das appbasierten bedingten Zugriff für über 150.000 Mitarbeiter nutzt

• Das Automatisierungssoftwareunternehmen Cadence, das jetzt sicherstellen kann, dass "nur verwaltete Geräte Zugriff auf Microsoft 365 Apps wie Teams und das Intranet des Unternehmens haben". Sie können ihren Mitarbeitern auch "sichereren Zugriff auf andere cloudbasierte Apps wie Workday und Salesforce" bieten.

Intune ist auch vollständig in Partner wie Cisco ISE, Aruba Clear Pass und Citrix NetScaler integriert. Mit diesen Partnern können Sie Zugriffssteuerungen basierend auf der Intune-Registrierung und dem Gerätekonformitätsstatus auf diesen anderen Plattformen verwalten.

Weitere Informationen finden Sie in den folgenden Videos:

• Brad Anderson demos "Bedingter Zugriff" im Detail
• Weitere Details aus Endpunktzone 1805

Wertbeitrag

Mit bedingtem Zugriff und ATP-Integration stärken Sie eine grundlegende Komponente jedes IT-organization: sicherer Cloudzugriff.

Bei mehr als 63 % aller Datenschutzverletzungen erhalten die Angreifer zugriff auf das Netzwerk des organization durch schwache, standardmäßige oder gestohlene Benutzeranmeldeinformationen. Da sich der bedingte Zugriff auf die Sicherung der Benutzeridentität konzentriert, wird der Diebstahl von Anmeldeinformationen eingeschränkt. Der bedingte Zugriff verwaltet und schützt Ihre Identitäten, unabhängig davon, ob sie privilegiert oder nicht berechtigt sind. Es gibt keine bessere Möglichkeit, die Geräte und die Daten darauf zu schützen.

Da der bedingte Zugriff eine Kernkomponente von Enterprise Mobility + Security (EMS) ist, ist keine lokale Einrichtung oder Architektur erforderlich. Mit Intune und Microsoft Entra ID können Sie den bedingten Zugriff in der Cloud schnell konfigurieren. Wenn Sie derzeit Configuration Manager verwenden, können Sie Ihre Umgebung ganz einfach mit co-management auf die Cloud erweitern und sofort mit der Verwendung beginnen.

Weitere Informationen zur ATP-Integration finden Sie in diesem Blogbeitrag Microsoft Defender for Endpoint Geräterisikobewertung stellt neue Cyberangriffe offen, treibt bedingten Zugriff zum Schutz von Netzwerken voran. Es beschreibt, wie eine fortgeschrittene Hackergruppe noch nie zuvor gesehene Tools verwendet hat. Die Microsoft-Cloud hat sie erkannt und beendet, da die Zielbenutzer über bedingten Zugriff verfügten. Durch den Eindringversuch wurde die risikobasierte Richtlinie für bedingten Zugriff des Geräts aktiviert. Obwohl der Angreifer bereits einen Fuß im Netzwerk aufgebaut hat, wurden die ausgebeuteten Computer automatisch auf den Zugriff auf Organisationsdienste und Daten beschränkt, die von Microsoft Entra ID verwaltet werden.

Konfigurieren

Der bedingte Zugriff ist einfach zu verwenden, wenn Sie die Co-Verwaltung aktivieren. Dazu muss die Workload "Konformitätsrichtlinien " nach Intune verschoben werden. Weitere Informationen finden Sie unter Wechseln Configuration Manager Workloads zu Intune.

Weitere Informationen zur Verwendung des bedingten Zugriffs finden Sie in den folgenden Artikeln:

• Bedingter Zugriff in Microsoft Entra ID

• Verwenden von Konformitätsrichtlinien zum Festlegen von Regeln für Geräte, die Sie mit Intune verwalten

• App-basierter bedingter Zugriff mit Intune

Hinweis

Features für bedingten Zugriff werden sofort für Microsoft Entra hybrid eingebundenen Geräte verfügbar. Zu diesen Features gehören die mehrstufige Authentifizierung und Microsoft Entra Hybrid Join-Zugriffssteuerung. Dies liegt daran, dass sie auf Microsoft Entra Eigenschaften basieren. Aktivieren Sie die Co-Verwaltung, um die konfigurationsbasierte Bewertung von Intune und Configuration Manager zu nutzen. Diese Konfiguration bietet Ihnen die Zugriffssteuerung direkt aus Intune für kompatible Geräte. Darüber hinaus erhalten Sie damit das Evaluierungsfeature für Konformitätsrichtlinien von Intune.