零信任下的用户访问

用户访问通常是零信任的第一要务，因为它可以迅速带来生产力优势和关键漏洞的安全覆盖

使用户能够在任何地方高效工作并确保安全需要使用高质量信号明确验证用户和设备的风险/可信度。   

用户风险

衡量用户风险需要分析账户本身的风险、当前的访问请求会话，以及他们是否使用了 MFA：

•用户/会话风险- Azure Active Directory (Azure AD) 身份保护分析用户帐户和当前访问请求，为 Azure AD 条件访问提供高/中/低风险等级。 此评级由机器学习计算确定，涉及众多个人风险因素，包括泄露的凭据、非典型旅行、恶意 IP 地址、恶意软件链接的 IP 地址和可疑的收件箱操纵规则

•多因素身份验证 (MFA) - MFA 是合理的安全保证所必需的，因为攻击者可以（很容易）通过被盗或猜测的密码冒充受纯密码身份验证保护的帐户。   

设备风险

设备风险是通过明确验证它是否符合组织的策略来衡量的，其中可以包括验证从已安装的端点检测和响应 (EDR) 功能中未检测到恶意活动。
  
•IsCompliant - Microsoft Endpoint Management Intune 提供对设备安全策略的管理，该策略评估来自 Intune 托管客户端、Microsoft Defender for Endpoint 和合作伙伴 MDM 的信号

•设备属性 - 条件访问可以过滤策略，因此它们需要特定的设备属性（例如，识别高度安全的特权访问工作站或 PAW）。

  

政策评估与MFA

Azure AD 条件访问会根据您配置的策略评估这些信号。 静态策略和动态实时信息（威胁情报、会话上下文等）的这种组合提供了一种自适应方法来管理风险，这种方法既一致又通过不断变化的现实世界条件提供信息。
  
•初始访问+令牌刷新——对于所有使用条件访问的应用程序，策略验证发生在每次访问请求时+刷新令牌以延长到期时间时。

• 安全态势的变化——此外，条件访问支持持续访问评估 (CAE)，以近乎实时地对不断变化的风险条件（例如网络位置更改、用户终止或潜在的凭据盗窃事件）提供更快的响应。   

高风险的补救

  

如果用户/会话风险被评为高（表明凭据可能/已知被泄露），您可以将用户配置为自动重定向到自助服务密码重置 (SSPR) 站点以立即更改其密码。   

首次集成（Microsoft 应用程序和第 3 方 VPN 和网络设备）

在明确验证用户/会话和设备风险足够低后，授予访问资源的访问权限。
  
最初的集成通常是：

•Microsoft 应用程序，因为这些云应用程序本身就支持 Azure AD 和条件访问。

• 第三方 VPN 和远程访问设备 - 快速提高远程访问应用程序和网络的安全性，以实现远程和混合工作场景。 这可以快速添加复杂的用户和设备风险验证身份验证，从而降低常见的密码和设备风险。   

启用您的企业资产

  
接下来，将扩展到跨云、移动和本地应用程序的企业应用程序的全部资产。   

遗留应用程序和会话监控

Azure AD 应用程序代理提供发布传统本地应用程序的能力，以利用这些强大的保证（并简化用户体验），帮助你超越 VPN。
  
Microsoft Defender for Cloud Apps（条件访问应用控制）还启用了会话监控和限制。 可以根据来自条件访问的信号和会话中的其他 MDCA 检测来监控会话并使用会话策略限制功能，包括：

•防止数据泄露
•保护下载
•防止上传未标记的文件
•监控用户会话以确保合规性
•阻止访问
•阻止自定义活动

•较低的访问权限 - 可以使用本机应用程序功能（如下载、打印或同步文件的 SharePoint 网站限制）限制对应用程序或其中数据的访问 。