由于远程用户更容易受到网络攻击，因此需要实施严格的安全措施，例如多因素身份验证 （MFA） 以防止数据泄露。但是，应用严格的组织范围的访问策略（如 MFA）可能会对用户体验产生不利影响。ADSelfService Plus的条件访问功能有助于实现这一目标。这有助于组织：

• 在没有 IT 管理员干预的情况下实施访问控制
• 在不影响用户体验的情况下改善组织的安全状况

什么是条件访问

条件访问实现一组规则，用于分析各种风险因素（如 IP 地址、访问时间、设备和用户的地理位置），以强制实施自动访问控制决策。这些决策是根据用户风险因素实时实施的，以避免在无风险场景中实施不必要的严格安全措施，这可确保在不影响安全性的情况下增强用户体验。

可以使用条件访问应用的一些常见方案和相应的安全措施包括：

• 强制特权用户进行多重验证。
• 强制所有员工对业务关键型应用程序的异地访问 MFA。
• 阻止对高风险操作的访问，例如来自不受信任的 IP 或未知设备的密码重置请求。

条件访问策略的工作原理是什么

在了解条件访问的工作原理之前，让我们看一下构建条件访问规则的基础知识：

1、条件

这包括可能决定或破坏组织安全性的因素列表。ADSelfService Plus使管理员能够根据以下风险因素配置条件：

• IP 地址（受信任和不受信任）
• 设备（设备类型和平台）
• 营业时间（营业时间和非营业时间）
• 地理位置（基于请求来源）

2、标准

配置条件后，可以使用 AND、OR 或 NOT 等运算符设计条件。正是此标准与访问策略相关联。

3、访问策略

该条件与预配置的访问策略相关联，在 ADSelfService Plus 中称为自助服务策略。IT 管理员可以创建自助服务策略，并为属于特定域、组织单位 （OU） 和组的用户启用特定功能。

生成条件访问规则后，将发生以下情况：

1、用户尝试登录到其计算机，或者在登录后尝试访问应用程序或 ADSelfService Plus 中的自助服务功能之一。

2、根据预定义的条件，分析用户 IP 地址、访问时间和地理位置等风险因素。

3、如果数据满足条件，则会将用户分配到启用以下操作之一的自助服务策略：

• 对域帐户和功能的完全访问权限
• 使用 MFA 进行安全访问
• 对某些功能的访问受限
• 对特定功能的访问受限

4、如果用户不满足任何配置的条件访问规则，将根据用户的组或 OU 应用自助服务策略。

说明条件访问策略工作原理的用例

用例 1：需要使用 MFA 保护对组织活动目录 （AD） 域的远程登录

在示例中，假设本地用户占组织劳动力的 50%。另外 20% 是远程用户，其余 30% 是根据需要在远程和本地工作模型之间交替的用户，必须对远程登录的用户强制实施 MFA。利用此方案的条件访问涉及：

1、实施启用终结点 MFA 的自助服务策略。

2、配置两个条件：

• IP 地址：提供受信任 IP 地址的列表。
• 位置：选择组织场所之外的位置。

3、创建以下条件：

• (不受信任的 IP 地址）和选定的位置

4、该条件与自助服务策略相关联。

下面是此条件访问策略的工作方式：

当用户尝试登录到计算机时，将分析用户的 IP 地址和地理位置，如果它不是受信任的 IP 地址和选定的地理位置，则满足条件，并向用户分配强制实施终结点 MFA 的自助服务策略。如果不满足条件，则会分配适用于用户的任何其他自助服务策略。

用例 2：仅允许具有已加入域的计算机的用户使用 SSO 访问企业应用程序

企业应用程序通常用于处理和存储敏感的用户数据，由于这些应用程序中的大多数现在都部署在云中，并且部署在网络的安全边界之外，因此它们是网络攻击者最喜欢的目标。他们使用网络钓鱼和其他攻击技术来访问应用程序并远程泄露数据。

使用条件访问，可以仅允许具有已加入域的计算机的用户访问包含敏感数据的重要应用程序，管理员可以更进一步，仅允许受信任的 IP 地址列表访问关键应用程序，确保攻击者无法访问这些应用程序，即使他们窃取了用户的凭据。下面是为此方案配置条件访问规则的示例：

1、配置为所需应用程序启用 SSO 的自助服务策略。

2、配置两个条件：

• 基于 IP 地址：提供受信任 IP 地址的列表。
• 基于设备：选择所有加入域的计算机对象。

3、创建以下条件：

• 受信任的 IP 地址和选定的计算机对象。

4、将条件与创建的自助服务策略相关联。

下面是此条件访问规则的工作原理：

当用户尝试通过 SSO 登录企业应用程序时，将分析设备 IP 地址和类型，如果它是受信任的 IP 地址，并且计算机对象属于 AD 域，则满足创建的条件。然后，将与条件关联的自助服务策略分配给用户，这使用户能够使用 SSO 访问企业应用程序。

启用条件访问的好处

• 使用 20 多个高级身份验证因素实施 MFA
• 从单个控制台适度访问计算机、VPN、RDP、OWA 和 Exchange 管理中心
• 为组织中的不同部门启用精细的条件访问策略

ADSelfService Plus 是一种身份安全解决方案，可以结束许多网络攻击，节省 IT 成本，可以保护多种 IT 资源，包括身份、计算机和 VPN，减轻 IT 帮助台的负担，为用户提供自助服务功能，并获得对分布在本地、云和混合环境中的身份的 360 度可见性和控制。