使用共同管理的條件式存取

條件式存取可確保只有受信任的使用者可以使用受信任的應用程式存取受信任裝置上的組織資源。 它是從頭建置在雲端中。 無論您是使用 Intune 管理裝置，還是使用共同管理來擴充Configuration Manager部署，其運作方式都相同。

在下列影片中，資深計畫經理 Joey Glocke 和產品行銷經理 Locky Ainley 會討論並示範搭配共同管理的條件式存取：

透過共同管理，Intune 可評估您網路中的每個裝置，以判斷其可靠程度。 其會以下列兩種方式進行這項評估：

1. Intune 可確保裝置或應用程式已受管理且安全地設定。 這項檢查取決於您如何設定組織的合規性政策。 例如，請確定所有裝置都已啟用加密，而且不會進行 JB 破解。

   • 此評估是預先安全性缺口和設定型

   • 對於共同管理的裝置，Configuration Manager也會進行組態型評估。 例如，必要的更新或應用程式合規性。 Intune 會結合此評估及其本身的評估。

2. Intune 會偵測裝置上的作用中安全性事件。 它會使用適用於端點的 Microsoft Defender和其他行動威脅防禦提供者的智慧型安全性。 這些合作夥伴會在裝置上執行持續的行為分析。 此分析會偵測作用中事件，然後將此資訊傳遞至 Intune 以進行即時合規性評估。

   • 此評估是安全性缺口後和事件型

Microsoft 公司副總裁 Brad Anderson 在 Ignite 2018 演講期間，透過即時示範深入討論條件式存取。

條件式存取也可讓您集中查看所有網路連線裝置的健康情況。 您可以獲得雲端規模的優點，這對測試Configuration Manager生產實例特別有價值。

優點

每個 IT 小組都具備網路安全性。 在存取網路之前，必須確定每個裝置都符合您的安全性和商務需求。 使用條件式存取，您可以判斷下列因素：

• 如果每個裝置都已加密
• 如果已安裝惡意程式碼
• 如果已更新其設定
• 如果已進行越獄或 Root 破解

條件式存取結合組織資料的細微控制與使用者體驗，可從任何位置將任何裝置上的背景工作生產力最大化。

下列影片示範適用於端點的 Microsoft Defender (先前稱為進階威脅防護) 如何整合到您經常遇到的常見案例中：

透過共同管理，Intune 可以納入Configuration Manager負責評估必要更新或應用程式的安全性標準合規性。 對於任何想要繼續使用Configuration Manager進行複雜應用程式和修補程式管理的 IT 組織而言，此行為都很重要。

條件式存取也是開發零信任網路架構的重要部分。 使用條件式存取時，符合規範的裝置存取控制會涵蓋零信任網路的基礎層。 這項功能是您未來保護組織的主要部分。

如需詳細資訊，請參閱使用來自 適用於端點的 Microsoft Defender 的機器風險資料增強條件式存取的部落格文章。

案例研究

IT 諮詢公司 Wipro 會使用條件式存取來保護和管理所有 91,000 名員工所使用的裝置。 在最近的案例研究中，Wipro 的 IT 副總裁指出：

達到條件式存取是 Wipro 的一大成功。 現在，我們所有的員工都可透過行動方式存取隨選資訊。 我們提升了安全性狀態和員工生產力。 現在，有 91,000 名員工受益于從任何裝置、任何地方高度安全地存取超過 100 個應用程式。

其他範例包括：

• Nestlé，為超過 150,000 名員工使用以應用程式為基礎的條件式存取

• 自動化軟體公司 Cadence 現在可以確定「只有受管理的裝置可以存取 teams 和公司的內部網路等Microsoft 365 Apps。」他們也可以為員工提供「更安全地存取其他雲端式應用程式，例如 Workday 和 Salesforce」。

Intune 也與 Cisco ISE、Aruba Clear Pass 和 Citrix NetScaler 等合作夥伴完全整合。 透過這些合作夥伴，您可以根據 Intune 註冊和這些其他平臺上的裝置合規性狀態來維護存取控制。

如需詳細資訊，請參閱下列影片：

• Brad Anderson 詳細示範條件式存取
• 端點區域 1805 的詳細資料

價值主張

透過條件式存取和 ATP 整合，您將強化每個 IT 組織的基本元件：安全的雲端存取。

在超過 63% 的資料外泄中，攻擊者會透過弱式、預設或遭竊的使用者認證，取得組織網路的存取權。 因為條件式存取著重于保護使用者身分識別，所以會限制認證竊取。 條件式存取可管理並保護您的身分識別，不論是特殊許可權或非特殊許可權。 沒有更好的方法可以保護裝置及其上的資料。

由於條件式存取是 ENTERPRISE MOBILITY + SECURITY (EMS) 的核心元件，因此不需要內部部署安裝或架構。 使用 Intune 和Microsoft Entra識別碼，您可以在雲端中快速設定條件式存取。 如果您目前使用Configuration Manager，您可以輕鬆地透過共同管理將環境擴充至雲端，並立即開始使用。

如需 ATP 整合的詳細資訊，請參閱此部落格文章適用於端點的 Microsoft Defender裝置風險分數會公開新的網路攻擊，並驅動條件式存取來保護網路。 其中詳細說明進階駭客群組如何使用前所未見的工具。 Microsoft 雲端偵測到並將其停止，因為目標使用者具有條件式存取。 入侵事件已啟動裝置的風險型條件式存取原則。 雖然攻擊者已在網路中建立據點，但遭入侵的機器會自動限制無法存取組織服務和Microsoft Entra識別碼所管理的資料。

設定

當您 啟用共同管理時，條件式存取很容易使用。 它需要將 合規性政策 工作負載移至 Intune。 如需詳細資訊，請參閱如何將Configuration Manager工作負載切換至 Intune。

如需使用條件式存取的詳細資訊，請參閱下列文章：

• Microsoft Entra識別碼中的條件式存取

• 使用合規性原則來設定使用 Intune 管理裝置

• 使用 Intune 的應用程式型條件式存取

注意事項

條件式存取功能立即可供Microsoft Entra混合式聯結裝置使用。 這些功能包括多重要素驗證和Microsoft Entra混合式聯結存取控制。 此行為是因為其是以Microsoft Entra屬性為基礎。 若要利用 Intune 和 Configuration Manager 的組態型評估，請啟用共同管理。 此設定可讓您直接從 Intune 針對符合規範的裝置進行存取控制。 它也提供您 Intune 的合規性原則評估功能。