Włączanie dostępu warunkowego w celu lepszej ochrony użytkowników, urządzeń i danych

  • Artykuł

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Dostęp warunkowy to funkcja, która pomaga lepiej chronić użytkowników i informacje o przedsiębiorstwie, upewniając się, że tylko bezpieczne urządzenia mają dostęp do aplikacji.

Dostęp warunkowy umożliwia kontrolowanie dostępu do informacji przedsiębiorstwa na podstawie poziomu ryzyka urządzenia. Pomaga to zachować zaufanych użytkowników na zaufanych urządzeniach przy użyciu zaufanych aplikacji.

Można zdefiniować warunki zabezpieczeń, w których urządzenia i aplikacje mogą uruchamiać informacje i uzyskiwać dostęp z sieci, wymuszając zasady uniemożliwiające uruchamianie aplikacji do momentu powrotu urządzenia do stanu zgodnego.

Implementacja dostępu warunkowego w usłudze Defender for Endpoint jest oparta na zasadach zgodności urządzeń Microsoft Intune (Intune) i zasadach dostępu warunkowego Microsoft Entra.

Zasady zgodności są używane z dostępem warunkowym, aby umożliwić dostęp do aplikacji tylko urządzeniom, które spełniają co najmniej jedną regułę zasad zgodności urządzeń.

Omówienie przepływu dostępu warunkowego

Dostęp warunkowy jest wprowadzany w taki sposób, że gdy zagrożenie jest widoczne na urządzeniu, dostęp do poufnej zawartości jest blokowany do momentu skorygowania zagrożenia.

Przepływ zaczyna się od tego, że urządzenia mają niskie, średnie lub wysokie ryzyko. Te ustalenia ryzyka są następnie wysyłane do Intune.

W zależności od sposobu konfigurowania zasad w Intune można skonfigurować dostęp warunkowy tak, aby po spełnieniu określonych warunków zasady były stosowane.

Można na przykład skonfigurować Intune w celu zastosowania dostępu warunkowego na urządzeniach o wysokim ryzyku.

W Intune zasady zgodności urządzeń są używane z Microsoft Entra dostępem warunkowym w celu blokowania dostępu do aplikacji. Równolegle uruchamiany jest zautomatyzowany proces badania i korygowania.

Użytkownik może nadal korzystać z urządzenia podczas automatycznego badania i korygowania, ale dostęp do danych przedsiębiorstwa jest zablokowany do momentu całkowitego skorygowania zagrożenia.

Aby rozwiązać problem z ryzykiem wykrytym na urządzeniu, należy przywrócić urządzenie do stanu zgodnego. Urządzenie powraca do stanu zgodnego, gdy nie ma na nim żadnego ryzyka.

Istnieją trzy sposoby rozwiązania problemu z ryzykiem:

  1. Użyj ręcznego lub zautomatyzowanego korygowania.
  2. Rozwiązywanie aktywnych alertów na urządzeniu. Spowoduje to usunięcie ryzyka z urządzenia.
  3. Można usunąć urządzenie z aktywnych zasad i w związku z tym dostęp warunkowy nie będzie stosowany na urządzeniu.

Ręczne korygowanie wymaga, aby administrator secops zbadał alert i rozwiązał problem ryzyka widocznego na urządzeniu. Automatyczne korygowanie jest konfigurowane za pomocą ustawień konfiguracji podanych w poniższej sekcji Konfigurowanie dostępu warunkowego.

Gdy ryzyko zostanie usunięte w drodze ręcznego lub zautomatyzowanego korygowania, urządzenie powróci do stanu zgodnego i zostanie udzielony dostęp do aplikacji.

W poniższej przykładowej sekwencji zdarzeń wyjaśniono, jak działa dostęp warunkowy:

  1. Użytkownik otwiera złośliwy plik, a usługa Defender for Endpoint oznacza urządzenie jako urządzenie o wysokim ryzyku.
  2. Ocena wysokiego ryzyka jest przekazywana wraz z Intune. Równolegle jest inicjowane zautomatyzowane badanie w celu skorygowania zidentyfikowanego zagrożenia. Ręczne korygowanie można również przeprowadzić w celu skorygowania zidentyfikowanego zagrożenia.
  3. Na podstawie zasad utworzonych w Intune urządzenie jest oznaczone jako niezgodne. Ocena jest następnie przekazywana Tożsamość Microsoft Entra przez zasady dostępu warunkowego Intune. W Tożsamość Microsoft Entra odpowiednie zasady są stosowane w celu zablokowania dostępu do aplikacji.
  4. Ręczne lub zautomatyzowane badanie i korygowanie są wykonywane i zagrożenie jest usuwane. Usługa Defender for Endpoint widzi, że urządzenie nie ma ryzyka i Intune ocenia urządzenie jako zgodne. Tożsamość Microsoft Entra stosuje zasady, które umożliwiają dostęp do aplikacji.
  5. Użytkownicy mogą teraz uzyskiwać dostęp do aplikacji.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.