使用共同管理的条件访问

条件访问可确保只有受信任的用户才能使用受信任的应用访问受信任设备上的组织资源。 它是在云中从头开始构建的。 无论是使用 Intune 管理设备，还是通过共同管理扩展Configuration Manager部署，其工作方式相同。

在以下视频中，高级项目经理 Joey Glocke 和产品营销经理 Locky Ainley 讨论并演示了共同管理的条件访问：

通过协同管理，Intune 评估你的网络中的每台设备，确定它们是否值得信赖。 它通过以下两种方式执行此评估：

1. Intune 确保设备或应用得到管理和安全配置。 此检查取决于如何设置组织的合规性策略。 例如，确保所有设备都已启用加密且未越狱。

   • 此评估是预先安全漏洞和基于配置的

   • 对于共同管理的设备，Configuration Manager还会执行基于配置的评估。 例如，所需的更新或应用符合性。 Intune 将此评估与其自己的评估相结合。

2. Intune 检测设备上的活动安全事件。 它使用Microsoft Defender for Endpoint和其他移动威胁防御提供商的智能安全性。 这些合作伙伴在设备上运行持续的行为分析。 此分析将检测活动事件，然后将此信息传递到 Intune 进行实时合规性评估。

   • 此评估是事后安全漏洞和基于事件的评估

Microsoft 公司副总裁 Brad Anderson 在 Ignite 2018 主题演讲中通过实时演示深入讨论了条件访问。

条件访问还提供一个集中的位置来查看所有网络连接设备的运行状况。 你将获得云规模的优势，这对于测试Configuration Manager生产实例尤其有用。

优点

每个 IT 团队都痴迷于网络安全。 在访问网络之前，必须确保每台设备都满足安全性和业务要求。 使用条件访问，可以确定以下因素：

• 如果每个设备都已加密
• 如果安装了恶意软件
• 如果更新其设置
• 如果它已越狱或 root

条件访问将对组织数据的精细控制与用户体验相结合，可在任何位置的任何设备上最大程度地提高员工的工作效率。

以下视频演示了如何将以前称为高级威胁防护) Microsoft Defender for Endpoint (集成到你经常体验的常见方案中：

通过共同管理，Intune 可以纳入Configuration Manager评估所需更新或应用的安全标准符合性的职责。 对于想要继续使用 Configuration Manager 进行复杂应用和修补程序管理的任何 IT 组织来说，此行为都很重要。

条件访问也是开发零信任网络体系结构的关键部分。 使用条件访问，合规的设备访问控制涵盖零信任网络的基础层。 此功能是你今后如何保护组织的方式的很大一部分。

有关详细信息，请参阅有关使用来自Microsoft Defender for Endpoint的计算机风险数据增强条件访问的博客文章。

案例研究

IT 咨询公司 Wipro 使用条件访问来保护和管理所有 91,000 名员工使用的设备。 在最近的一个案例研究中，Wipro 的 IT 副总裁指出：

实现条件访问是 Wipro 的一大胜利。 现在，我们所有的员工都可以按需移动访问信息。 我们增强了安全态势和员工工作效率。 现在，91,000 名员工受益于从任何设备随时随地对超过 100 个应用的高度安全访问。

其他示例包括：

• 雀巢，为超过 150,000 名员工使用基于应用的条件访问

• 自动化软件公司 Cadence 现在可确保“只有托管设备可以访问 Teams 和公司 Intranet 等Microsoft 365 应用版。他们还可以为员工提供“更安全地访问其他基于云的应用，例如 Workday 和 Salesforce”。

Intune 还与 Cisco ISE、Aruba Clear Pass 和 Citrix NetScaler 等合作伙伴完全集成。 借助这些合作伙伴，可以根据 Intune 注册和这些其他平台上的设备符合性状态来维护访问控制。

有关详细信息，请参阅以下视频：

• Brad Anderson 详细介绍条件访问
• 终结点区域 1805 的更多详细信息

价值主张

借助条件访问和 ATP 集成，可以强化每个 IT 组织的基本组件：安全云访问。

在超过 63% 的数据泄露事件中，攻击者通过弱用户凭据、默认凭据或被盗的用户凭据访问组织网络。 由于条件访问侧重于保护用户标识，因此它可限制凭据盗窃。 条件访问管理和保护你的标识，无论是特权标识还是非特权标识。 没有更好的方法来保护设备和设备上的数据。

由于条件访问是 企业移动性 + 安全性 (EMS) 的核心组件，因此不需要本地设置或体系结构。 使用 Intune 和 Microsoft Entra ID，可以在云中快速配置条件访问。 如果当前使用的是 Configuration Manager，则可以通过共同管理轻松地将环境扩展到云，并立即开始使用它。

有关 ATP 集成的详细信息，请参阅此博客文章Microsoft Defender for Endpoint设备风险评分公开新的网络攻击，驱动条件访问以保护网络。 它详细介绍了高级黑客组织如何使用从未见过的工具。 Microsoft 云检测到并停止了它们，因为目标用户具有条件访问。 入侵激活了设备基于风险的条件访问策略。 尽管攻击者已在网络中建立了立足点，但被攻击的计算机被自动限制访问由Microsoft Entra ID 管理的组织服务和数据。

配置

启用共同管理时，条件访问易于使用。 它需要将 合规性策略 工作负载移动到 Intune。 有关详细信息，请参阅如何将Configuration Manager工作负荷切换到 Intune。

有关使用条件访问的详细信息，请参阅以下文章：

• Microsoft Entra ID 中的条件访问

• 通过符合性策略为使用 Intune 管理的设备设置规则

• 基于应用的 Intune 条件访问

注意

条件访问功能将立即可用于Microsoft Entra混合联接的设备。 这些功能包括多重身份验证和Microsoft Entra混合联接访问控制。 此行为是因为它们基于Microsoft Entra属性。 若要利用 Intune 和 Configuration Manager 基于配置的评估，请启用共同管理。 此配置使你可以直接从 Intune 对合规设备进行访问控制。 它还提供 Intune 的符合性策略评估功能。