可根据 Better Mobile 进行的风险评估,使用条件访问控制移动设备对公司资源的访问,Better Mobile 是与 Microsoft Intune 集成的 Mobile Threat Defense (MTD) 解决方案。 基于从运行 Better Mobile 应用的设备收集的遥测评估风险。
可以基于通过已注册设备的 Intune 设备合规性策略启动的 Better Mobile 风险评估配置条件访问策略,从而根据检测到的威胁允许或阻止非合规设备访问公司资源。 对于未注册设备,可使用应用保护策略根据检测到的威胁强制执行阻止或选择性擦除操作。
Intune 和 Better Mobile 如何帮助你保护公司资源?
在移动设备上安装并运行 Better Mobile 应用。 此应用可捕获文件系统、网络堆栈、设备和应用程序遥测(如果有),然后将数据发送到 Better Mobile 云服务,以评估设备的移动威胁风险。
支持已注册设备 - Intune 设备合规性策略包括移动威胁防御 (MTD) 规则,该规则可以使用 Better Mobile 中的风险评估信息。 启用 MTD 规则后,Intune 将评估设备是否符合已启用的策略。 如果发现设备不符合,将阻止用户访问 Exchange Online 和 SharePoint Online 等公司资源。 用户还可通过安装在设备上的 Better Mobile 应用获取指导,以便解决问题并重新访问公司资源。 若要支持将 Better Mobile 与已注册的设备一起使用,请执行以下操作:
支持未注册设备 - 在使用 Intune 应用保护策略时,Intune 可以在未注册的设备上使用 Better Mobile 应用的风险评估数据。 管理员可以使用此组合帮助保护受 Microsoft Intune 保护的应用中的公司数据,管理员还可以对未注册设备上的公司数据发出阻止或选择性擦除。 若要支持将 Better Mobile 与未注册的设备一起使用,请执行以下操作:
支持的平台
- Android 4.2.2 及更高版本
- iOS 8.0 及更高版本
先决条件
Microsoft Entra ID P1
Microsoft Intune 计划 1订阅
Better Mobile Threat Defense 订阅
有关详细信息,请参阅 Better Mobile 网站。
方案示例
以下是一些常见方案。
基于来自恶意应用的威胁来控制访问
在设备上检测到恶意应用(如恶意软件)时,可阻止进行以下操作,直到解决威胁:
连接到公司电子邮件
使用 OneDrive for Work 应用同步企业文件
访问公司应用
检测到恶意应用时对其进行阻止:
修正后授予访问权限:
根据网络威胁控制访问权限
检测“中间人”攻击等网络威胁,并基于设备风险保护对 WiFi 网络的访问。
阻止通过 Wi-Fi 访问网络:
修正后授予访问权限:
根据网络威胁控制对 SharePoint Online 的访问
基于设备风险检测对网络的威胁,如“中间人”攻击和阻止同步企业文件。
检测到网络威胁时阻止 SharePoint Online:
威胁解除后授予访问权限:
基于来自恶意应用的威胁控制对未注册设备的访问
当 BETTER Mobile Threat Defense 解决方案认为设备受到感染时:
修正后授予访问权限:
