Udostępnij przez

Włączanie dostępu warunkowego w celu lepszej ochrony użytkowników, urządzeń i danych

  • Dotyczy: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Dostęp warunkowy to funkcja, która pomaga lepiej chronić użytkowników i informacje o przedsiębiorstwie, upewniając się, że tylko bezpieczne urządzenia mają dostęp do aplikacji.

Dostęp warunkowy umożliwia kontrolowanie dostępu do informacji przedsiębiorstwa na podstawie poziomu ryzyka urządzenia. Pomaga to zachować zaufanych użytkowników na zaufanych urządzeniach przy użyciu zaufanych aplikacji.

Można zdefiniować warunki zabezpieczeń, w których urządzenia i aplikacje mogą uruchamiać informacje i uzyskiwać dostęp z sieci, wymuszając zasady uniemożliwiające uruchamianie aplikacji do momentu powrotu urządzenia do stanu zgodnego.

Implementacja dostępu warunkowego w usłudze Defender for Endpoint jest oparta na zasadach zgodności urządzeń usługi Microsoft Intune (Intune) i Microsoft Entra zasad dostępu warunkowego.

Zasady zgodności są używane z dostępem warunkowym, aby umożliwić dostęp do aplikacji tylko urządzeniom, które spełniają co najmniej jedną regułę zasad zgodności urządzeń.

Omówienie przepływu dostępu warunkowego

Dostęp warunkowy jest wprowadzany w taki sposób, że gdy zagrożenie jest widoczne na urządzeniu, dostęp do poufnej zawartości jest blokowany do momentu skorygowania zagrożenia.

Przepływ zaczyna się od tego, że urządzenia mają niskie, średnie lub wysokie ryzyko. Te ustalenia ryzyka są następnie wysyłane do usługi Intune.

W zależności od sposobu konfigurowania zasad w usłudze Intune można skonfigurować dostęp warunkowy tak, aby po spełnieniu określonych warunków zasady były stosowane.

Na przykład można skonfigurować usługę Intune do stosowania dostępu warunkowego na urządzeniach o wysokim ryzyku.

W usłudze Intune zasady zgodności urządzeń są używane z Microsoft Entra dostępu warunkowego w celu blokowania dostępu do aplikacji. Równolegle uruchamiany jest zautomatyzowany proces badania i korygowania.

Użytkownik może nadal korzystać z urządzenia podczas automatycznego badania i korygowania, ale dostęp do danych przedsiębiorstwa jest zablokowany do momentu całkowitego skorygowania zagrożenia.

Aby rozwiązać problem z ryzykiem wykrytym na urządzeniu, należy przywrócić urządzenie do stanu zgodnego. Urządzenie powraca do stanu zgodnego, gdy nie ma na nim żadnego ryzyka.

Istnieją trzy sposoby rozwiązania problemu z ryzykiem:

  1. Użyj ręcznego lub zautomatyzowanego korygowania.
  2. Rozwiązywanie aktywnych alertów na urządzeniu. Spowoduje to usunięcie ryzyka z urządzenia.
  3. Można usunąć urządzenie z aktywnych zasad i w związku z tym dostęp warunkowy nie będzie stosowany na urządzeniu.

Ręczne korygowanie wymaga, aby administrator secops zbadał alert i rozwiązał problem ryzyka widocznego na urządzeniu. Automatyczne korygowanie jest konfigurowane za pomocą ustawień konfiguracji podanych w poniższej sekcji Konfigurowanie dostępu warunkowego.

Gdy ryzyko zostanie usunięte w drodze ręcznego lub zautomatyzowanego korygowania, urządzenie powróci do stanu zgodnego i zostanie udzielony dostęp do aplikacji.

W poniższej przykładowej sekwencji zdarzeń wyjaśniono, jak działa dostęp warunkowy:

  1. Użytkownik otwiera złośliwy plik, a usługa Defender for Endpoint oznacza urządzenie jako urządzenie o wysokim ryzyku.
  2. Ocena wysokiego ryzyka jest przekazywana do usługi Intune. Równolegle jest inicjowane zautomatyzowane badanie w celu skorygowania zidentyfikowanego zagrożenia. Ręczne korygowanie można również przeprowadzić w celu skorygowania zidentyfikowanego zagrożenia.
  3. Na podstawie zasad utworzonych w usłudze Intune urządzenie jest oznaczone jako niezgodne. Ocena jest następnie przekazywana do Microsoft Entra identyfikatora przez zasady dostępu warunkowego usługi Intune. W Microsoft Entra identyfikatorze odpowiednie zasady są stosowane w celu zablokowania dostępu do aplikacji.
  4. Ręczne lub zautomatyzowane badanie i korygowanie są wykonywane i zagrożenie jest usuwane. Usługa Defender for Endpoint widzi, że na urządzeniu nie ma żadnego ryzyka, a usługa Intune ocenia urządzenie jako zgodne. Microsoft Entra identyfikator stosuje zasady, które umożliwiają dostęp do aplikacji.
  5. Użytkownicy mogą teraz uzyskiwać dostęp do aplikacji.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.

  • Last updated on