啟用條件式存取以更妥善地保護使用者、裝置和數據

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2
• Microsoft Defender XDR

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

條件式存取是一項功能，可確保只有安全的裝置可以存取應用程式，以協助您更妥善地保護使用者和企業資訊。

使用條件式存取，您可以根據裝置的風險層級來控制對企業資訊的存取。 這有助於使用受信任的應用程式，將受信任的使用者保留在受信任的裝置上。

您可以藉由強制執行原則來停止應用程式執行，直到裝置回到符合規範的狀態，來定義裝置和應用程式可以執行及存取您網路資訊的安全性條件。

適用於端點的Defender中的條件式存取實作是以 Microsoft Intune (Intune) 裝置合規性原則和 Microsoft Entra 條件式存取原則為基礎。

合規性政策與條件式存取搭配使用，僅允許符合一或多個裝置合規性原則規則的裝置存取應用程式。

了解條件式存取流程

條件式存取已就緒，因此在裝置上看到威脅時，系統會封鎖對敏感性內容的存取，直到補救威脅為止。

流程會從看到具有低、中或高風險的裝置開始。 這些風險判斷接著會傳送至 Intune。

根據您在 Intune 中設定原則的方式，可以設定條件式存取，以便在符合特定條件時套用原則。

例如，您可以設定 Intune 在具有高風險的裝置上套用條件式存取。

在 Intune 中，裝置合規性政策會與 Microsoft Entra 條件式存取搭配使用，以封鎖對應用程式的存取。 同時啟動自動化調查和補救程式。

在進行自動化調查和補救時，使用者仍然可以使用裝置，但會封鎖對企業數據的存取，直到威脅完全補救為止。

若要解決在裝置上找到的風險，您必須讓裝置回到符合規範的狀態。 裝置在沒有任何風險時，會回到符合規範的狀態。

有三種方式可以解決風險：

1. 使用手動或自動補救。
2. 解決裝置上的作用中警示。 這會從裝置中移除風險。
3. 您可以從使用中的原則中移除裝置，因此不會在裝置上套用條件式存取。

手動補救需要 secops 系統管理員調查警示，並解決在裝置上看到的風險。 自動補救是透過設定 條件式存取下一節中提供的組態設定來設定。

透過手動或自動化補救移除風險時，裝置會回到符合規範的狀態，並授與應用程式的存取權。

下列事件範例序列說明條件式存取的運作方式：

1. 用戶開啟惡意檔案，適用於端點的Defender會將裝置標示為高風險。
2. 高風險評估會傳遞至 Intune。 以平行方式起始自動化調查，以補救已識別的威脅。 您也可以進行手動補救，以補救已識別的威脅。
3. 根據在 Intune 中建立的原則，裝置會標示為不符合規範。 然後，系統會透過 Intune 條件式存取原則，將評定傳達給 Microsoft Entra ID。 在 Microsoft Entra ID 中，會套用對應的原則來封鎖對應用程式的存取。
4. 手動或自動化調查和補救已完成，並移除威脅。 適用於端點的 Defender 發現裝置上沒有任何風險，Intune 評估裝置是否處於相容狀態。 Microsoft Entra ID 會套用原則，以允許存取應用程式。
5. 用戶現在可以存取應用程式。

相關主題

• 在適用於端點的 Microsoft Defender 中設定條件式存取