自疫情以来越来越多的企业员工的工作方式都发生了改版。远程和线上下混合工作形式已经成了新常态，企业员工希望随时随地都能访问其工作资源。而且为了方便办公他们更希望使用多种设备（甚至是个人设备）来访问公司数据。

 运维有小邓

在如此复杂的访问形式，保证在即允许用户访问所需资源前提下又保护企业数据安全绝对是非常大挑战。远程用户容易受到网络攻击，因此需要采取严格的安全措施，例如 MFA。然而，虽然MFA 策略有助于保护远程登录，但它也有可能会给本地用户带来不必要的麻烦。

 MFA

解决此问题的最有效方法是在整个企业的网络环境中应用条件访问规则。

什么是条件访问？

条件访问的规则是基于上下文的网络访问，这些规则会根据传入的连接是否满足某些条件来增加或减少安全验证次数，例如：

• IP 地址：每次未知设备尝试访问各种企业网络资源时，都会对它们执行 MFA 检查，而企业网络上公司已发布的（已知）设备可以配置为仅在设备登录期间进行 MFA 检查。
• 设备：根据客户的设备类型和平台限制对公司资源的访问，确保仅兼容和授权资源的可见性。例如，可以使关键资源只能从某些公司设备访问。
• 开放时间：通过将网络访问限制在用户的工作时间来增强安全性。根据开放时间和非开放时间提供对网络的访问。
• 地理位置：用户的地理位置用于确定他们有权访问的公司资源。

 访问条件

自动条件访问决策减少了在无风险情况下对安全措施的需求，确保增强的用户体验。但是，如果保护资源的安全设置配置不当，可能会出现以下问题：

• 在无风险环境中重复进行 MFA 检查会导致员工体验下降。
• 由于无法访问资源，IT 帮助台会收到大量支持请求。
• 未知设备访问网络时的安全警告会触发大量电子邮件。

配置错误的安全设置使网络容易受到黑客的攻击。事实上，这是全球数据泄露事件频发的主要原因，并且在最近两份OWASP前10名报告中名列前茅。

所以在这里 ManageEngine ADSelfService Plus 等身份安全解决方案就有了用武之地。

ADSelfService Plus通过确保组织资源受到MFA保护来简化IT管理员的繁杂工作任务。基于上下文的规则，ADSelfService Plus可以通过用户友好且直观的界面对员工进行身份验证。

 ADSelfService Plus

使用 ADSelfService Plus 的条件访问功能，管理员可以：

• 无需实时对IT进行干预即可控制对企业资源的访问。
• 在不降低员工体验的情况下提升企业的网络安全态势。
• 对于最终用户，ADSelfService Plus 使他们能够自行重置密码或解锁帐户，而无需 IT 服务台的帮助。

简化您的IT基础架构以保证企业网络安全和流畅的员工体验，并不需要您苦苦寻找。仅需让我们的支持人员为您提供一个产品演示，方便您亲眼看看使用ADSelfService Plus对企业密码进行管理后的员工和更快乐的IT团队生活是什么样子。