了解如何使用條件式存取

  • 4 分鐘

使用 Intune 或 Configuration Manager 有助於確保您組織會使用適當的認證來存取及共用公司資料。

利用 Intune 的條件式存取

Intune 提供下列類型的條件式存取:

  • 裝置型條件式存取
    • Exchange 內部部署的條件式存取
    • 根據網路存取控制的條件式存取
    • 根據裝置風險的條件式存取
    • Windows 電腦的條件式存取
      • 屬公司擁有
      • 自備裝置 (BYOD)
  • 應用程式型條件式存取

使用共同管理的條件式存取

透過共同管理,Intune 會評估您網路中的每個裝置,以判斷其可信任程度。 您可以使用下列兩種方法來進行這項評估:

  1. Intune 可確定裝置或應用程式受到管理並已安全地進行設定。 這項檢查取決於您如何設定組織的合規性原則。 例如,請確定所有裝置都已啟用加密,並且未遭破解。

    • 此評估是以預先安全性缺口和設定為基礎。

    • 針對共同管理的裝置,Configuration Manager 也會進行設定型評估;例如,必要更新或應用程式合規性。 Intune 會合併此評估與其專屬的評量。

  2. Intune 會偵測裝置上的使用中安全性事件。 其會使用適用於端點的 Microsoft Defender (先前稱為 Microsoft Defender 進階威脅防護或 Windows Defender ATP) 和其他行動威脅防禦提供者的智慧型安全性。 這些合作夥伴會在裝置上執行進行中的行為分析。 此分析會偵測使用中事件,然後將此資訊傳遞至 Intune 以進行即時合規性評估。

    • 此評估是以後置安全性缺口和事件為基礎。

使用條件式存取的常見方式

您必須設定相關的合規性原則,以在您的組織中驅動條件式存取的合規性。 條件式存取通常會用來執行一些動作,例如允許或封鎖存取 Exchange、控制網路存取,或與 Mobile Threat Defense 解決方案整合。

裝置型條件式存取

Intune 與 Microsoft Entra ID 共同運作,以確定只有受控且符合標準的裝置才能存取電子郵件、Office 365 服務、軟體即服務 (SaaS) 應用程式和內部部署應用程式。 此外,您可以在 Microsoft Entra ID 中設定原則,僅啟用已加入網域的電腦或已在 Intune 中註冊的行動裝置,以存取 Office 365 服務。

Intune 提供可評估裝置合規性狀態的裝置合規性原則功能。 合規性狀態會回報給 Microsoft Entra ID,而使用合規性狀態可在使用者嘗試存取公司資源時,強制執行在 Microsoft Entra ID 中建立的條件式存取原則。

根據網路存取控制的條件式存取

Intune 與 Cisco ISE、Aruba Clear Pass 和 Citrix NetScaler 這類合作夥伴整合,以根據 Intune 註冊和裝置合規性狀態來提供存取控制。

根據使用者所使用的裝置是否受到管理且符合 Intune 裝置合規性原則標準,可以允許或拒絕使用者存取公司 Wi-Fi 或 VPN 資源。

根據裝置風險的條件式存取

Intune 與 Mobile Threat Defense 廠商合作,提供安全性解決方案來偵測行動裝置上的惡意程式碼、特洛伊木馬和其他威脅。

Intune 與 Mobile Threat Defense 整合的運作方式

行動裝置已安裝 Mobile Threat Defense 代理程式時,代理程式會將合規性狀態訊息傳回給 Intune,以在行動裝置本身找到威脅時回報。

在以裝置風險作為基礎的條件式存取決策中,Intune 和 Mobile Threat Defense 的整合扮演了一個要素。

Windows 電腦的條件式存取

電腦的條件式存取功能會與行動裝置所提供的功能類似。 讓我們來談談使用 Intune 管理電腦時,您可以使用條件式存取的方式。

屬公司擁有

  • 已加入混合式 Microsoft Entra:滿意已透過 AD 群組原則或 Configuration Manager 管理電腦的方式的組織通常會使用此選項。

  • 已加入 Microsoft Entra 網域及 Intune 管理:此情節適用於想要採用雲端優先 (亦即,以使用雲端服務為主,目標是減少使用內部部署基礎結構) 或只使用雲端 (沒有內部部署基礎結構) 的組織。 Microsoft Entra 在混合式環境中也可以良好運作,可讓您同時存取雲端和內部部署應用程式與資源。 裝置會加入至 Microsoft Entra ID 並向 Intune 註冊,以在存取公司資源時用來作為條件式存取準則。

自備裝置 (BYOD)

  • 加入工作場所網路和 Intune 管理:在這裡,使用者可以加入其個人裝置來存取公司資源和服務。 您可以使用「加入工作地點」並將裝置註冊到 Intune MDM 以接收裝置層級原則,這是評估條件式存取準則的另一個選項。

應用程式型條件式存取

Intune 與 Microsoft Entra ID 共同運作,以確定只有受控應用程式才能存取公司電子郵件或其他 Office 365 服務。