Условный доступ с совместным управлением

Условный доступ гарантирует, что только доверенные пользователи могут получать доступ к ресурсам организации на доверенных устройствах с помощью доверенных приложений. Он создан с нуля в облаке. Независимо от того, управляете ли вы устройствами с помощью Intune или расширяете развертывание Configuration Manager с помощью совместного управления, он работает так же.

В следующем видео старший руководитель программы Джоуи Глок и менеджер по маркетингу продуктов Локи Эйнли обсуждают и демонстрацию условного доступа с совместным управлением:

При совместном управлении Intune проверяет каждое устройство в вашей сети и определяет, в какой степени ему можно доверять. Эта оценка выполняется двумя способами:

1. Intune обеспечивает безопасное управление устройством или приложением. Это проверка зависит от того, как вы настраиваете политики соответствия требованиям в организации. Например, убедитесь, что на всех устройствах включено шифрование и они не сняты со снятой защитой.

   • Эта оценка выполняется до нарушения безопасности и на основе конфигурации.

   • Для совместно управляемых устройств Configuration Manager также выполняет оценку на основе конфигурации. Например, необходимые обновления или соответствие приложений. Intune объединяет эту оценку вместе с собственной оценкой.

2. Intune обнаруживает активные инциденты безопасности на устройстве. Она использует интеллектуальную безопасность Microsoft Defender для конечной точки и других мобильных поставщиков защиты от угроз. Эти партнеры выполняют текущий анализ поведения на устройствах. Этот анализ обнаруживает активные инциденты, а затем передает эти сведения в Intune для оценки соответствия в режиме реального времени.

   • Эта оценка основана на нарушениях безопасности и инцидентах.

Корпоративный вице-президент Корпорации Майкрософт Брэд Андерсон подробно обсудил условный доступ в прямом эфире во время выступления на Ignite 2018.

Условный доступ также предоставляет централизованное расположение для просмотра работоспособности всех подключенных к сети устройств. Вы получаете преимущества масштабирования облака, что особенно ценно для тестирования Configuration Manager рабочих экземпляров.

Преимущества

Каждая ИТ-команда одержима сетевой безопасностью. Перед доступом к сети необходимо убедиться, что каждое устройство соответствует вашим требованиям безопасности и бизнес-требованиям. С помощью условного доступа можно определить следующие факторы:

• Если каждое устройство зашифровано
• Если установлена вредоносная программа
• Если его параметры обновлены
• Если он снят или укоренен

Условный доступ сочетает в себе детализированный контроль над данными организации и взаимодействие с пользователем, что повышает производительность рабочих на любом устройстве из любого расположения.

В следующем видео показано, как Microsoft Defender для конечной точки (ранее известная как Расширенная защита от угроз) интегрируется в распространенные сценарии, с которыми вы регулярно работаете:

Благодаря совместному управлению Intune может включить Configuration Manager обязанности по оценке соответствия стандартов безопасности требуемым обновлениям или приложениям. Это важно для любой ИТ-организации, которая хочет продолжать использовать Configuration Manager для сложного управления приложениями и исправлениями.

Условный доступ также является важной частью разработки архитектуры сети "Никому не доверяй". Благодаря условному доступу соответствующие элементы управления доступом устройств охватывают базовые уровни сети "Никому не доверяй". Эта функция является важной частью того, как вы будете защищать свою организацию в будущем.

Дополнительные сведения см. в записи блога об улучшении условного доступа с помощью данных о рисках на компьютере из Microsoft Defender для конечной точки.

Примеры использования

Ит-консалтинговая фирма Wipro использует условный доступ для защиты устройств, используемых всеми 91 000 сотрудниками, и управления ими. В недавнем примере вице-президент по ИТ в Wipro отметил:

Достижение условного доступа — это большая победа для Wipro. Теперь все наши сотрудники имеют мобильный доступ к информации по запросу. Мы повысили уровень безопасности и повысили производительность сотрудников. Теперь 91 000 сотрудников получают доступ к более чем 100 приложениям с любого устройства в любом месте.

Другие примеры:

• Nestlé, которая использует условный доступ на основе приложений для более чем 150 000 сотрудников

• Компания по разработке программного обеспечения автоматизации, Cadence, которая теперь может убедиться, что "только управляемые устройства имеют доступ к Приложения Microsoft 365, таким как Teams и интрасети компании". Они также могут предложить своим сотрудникам "безопасный доступ к другим облачным приложениям, таким как Workday и Salesforce".

Intune также полностью интегрирован с такими партнерами, как Cisco ISE, Aruba Clear Pass и Citrix NetScaler. С помощью этих партнеров вы можете поддерживать управление доступом на основе регистрации Intune и состояния соответствия устройств на этих других платформах.

Дополнительные сведения см. в следующих видео:

• Брэд Андерсон подробно демонстрирует условный доступ
• Дополнительные сведения о зоне конечной точки 1805

Предлагаемые преимущества

Благодаря условному доступу и интеграции ATP вы укрепляете фундаментальный компонент каждой ИТ-организации: безопасный облачный доступ.

Более чем в 63% случаев нарушения безопасности данных злоумышленники получают доступ к сети организации с помощью слабых, стандартных или украденных учетных данных пользователя. Так как условный доступ сосредоточен на защите удостоверения пользователя, он ограничивает кражу учетных данных. Условный доступ управляет удостоверениями, как привилегированными, так и не привилегированными, и защищает их. Нет лучшего способа защитить устройства и данные на них.

Так как условный доступ является основным компонентом Enterprise Mobility + Security (EMS), локальная настройка или архитектура не требуются. С помощью Intune и идентификатора Microsoft Entra можно быстро настроить условный доступ в облаке. Если в настоящее время вы используете Configuration Manager, вы можете легко расширить свою среду в облако с помощью совместного управления и начать использовать его прямо сейчас.

Дополнительные сведения об интеграции ATP см. в этой записи блога, Microsoft Defender для конечной точки оценка риска устройства подвергается новым кибератакам, использует условный доступ для защиты сетей. В нем подробно описывается, как расширенная хакерская группа использовала никогда ранее невидимые инструменты. Облако Майкрософт обнаружило и остановило их, так как у целевых пользователей был условный доступ. Вторжение активировало политику условного доступа на основе рисков устройства. Хотя злоумышленник уже закрепился в сети, эксплуатируемым компьютерам автоматически был ограничен доступ к службам организации и данным, управляемым Microsoft Entra идентификатором.

Configure (Настроить)

Условный доступ прост в использовании при включении совместного управления. Для этого требуется переместить рабочую нагрузку Политики соответствия требованиям в Intune. Дополнительные сведения см. в статье Переключение рабочих нагрузок Configuration Manager в Intune.

Дополнительные сведения об использовании условного доступа см. в следующих статьях:

• Условный доступ в идентификаторе Microsoft Entra

• Использование политик соответствия, позволяющих установить правила для устройств, управляемых с помощью Intune

• Условный доступ на основе приложений с помощью Intune

Примечание.

Функции условного доступа сразу же становятся доступными для Microsoft Entra гибридных устройств. Эти функции включают многофакторную проверку подлинности и Microsoft Entra управление доступом к гибридному присоединению. Это связано с тем, что они основаны на Microsoft Entra свойствах. Чтобы использовать оценку на основе конфигурации из Intune и Configuration Manager, включите совместное управление. Эта конфигурация обеспечивает управление доступом непосредственно из Intune для соответствующих устройств. Он также предоставляет функцию оценки политик соответствия требованиям Intune.