software

Rahsi™ Signal–Enforcement Boundary (SEB™) | 为什么设备合规是信号,条件访问是门

发布: (2025年12月24日 GMT+8 18:48)
8 分钟阅读
原文: Dev.to

I’m happy to translate the article for you, but I’ll need the full text of the post (the content you’d like translated). Could you please paste the article’s body here? Once I have the text, I’ll provide a Simplified Chinese translation while preserving the source link, formatting, and any code blocks or URLs.

为什么设备合规是信号,条件访问是闸门

大多数租户把 设备合规 当作政策卫生来对待。这是错误的。

在现代以身份为先的安全模型中,设备合规是信号,而 条件访问是闸门。如果不能将这两者干净利落地结合起来,你并不是在“管理终端”——而是让未知的姿态漂移到你的数据平面中。

这就是 Rahsi™ 信号‑执行边界 (SEB™)

Intune 合规 = 信号Microsoft Entra 条件访问 = 执行闸门

当 SEB™ 正确构建时,出现漂移的设备(操作系统过时、已 root/jail‑break、加密关闭、失去联系、威胁等级高)不会“变成一张工单”。它会变为 不合规,闸门会自动关闭。

SEB™ 思维模型(简单、残酷、高效)

  1. 定义信号

    信号是您可以信任的设备事实 因为它们会持续评估

    • 最低操作系统版本
    • 最高操作系统版本
    • 加密状态
    • 越狱/Root 检测
    • PIN/密码 状态
    • 威胁等级(与威胁防御合作伙伴集成时)
    • 自定义合规(当内置设置无法满足您的需求时)

    信号规则: 如果无法持续测量,就无法安全强制执行。

  2. 定义强制措施

    Intune 可以将设备标记为不合规并执行操作。
    真正的门槛是 Entra 条件访问

    • 当访问控制包含 “要求设备标记为合规” 时,不合规设备将被阻止访问公司资源。

    这就是界限。

Intune 合规有两层(且两层都很重要)

Microsoft Intune 合规分为:

  1. 合规策略设置(租户范围)
  2. 设备合规策略(您部署的每个平台规则)

正是这种划分导致许多环境悄然失效。

第 1 层 – 合规策略设置(租户范围的“默认物理”)

路径: Endpoint security → Device compliance → Compliance policy settings

  • 将未分配合规策略的设备标记为 – 决定对收到合规策略的设备的处理方式。

    设置效果
    合规(默认)未分配合规策略的设备被视为合规(安全功能 关闭)。
    不合规未分配合规策略的设备被视为不合规(安全功能 开启)。

    SEB™ 建议: 如果您使用条件访问,请将此设置为 不合规。否则,“未分配策略”会成为意外的绕过通道。

  • 合规状态有效期(天) – 定义设备在成功报告合规状态之前可以多久不报告。

    • 默认:30 天
    • 可配置:1 – 120 天

    如果设备在有效期内未报告,则被视为 不合规

    SEB™ 建议: 将“失去联系”视为安全状态,而不是管理员的不便。如果设备无法报告,就不能信任其姿态。

第 2 层 – 设备合规策略(每个平台的“入场规则”)

这些才是设备必须满足的实际规则。

  • 定义平台特定的要求(操作系统版本、加密、越狱/Root、威胁等级)。
  • 触发 不合规操作
  • 将合规状态传递给条件访问。

重要现实: 合规评估依赖于设备签到和刷新周期。您的强制执行速度取决于设备群的实际情况。

非合规操作(SEB™ 升级梯)

每个合规策略都包括 “标记设备为不合规”。 您可以添加更多操作,通常用作升级梯,例如:

  • 发送电子邮件通知(立即且重复)
  • 在一定时间窗口后远程锁定
  • 在一定时间窗口后退役(管理员随后必须显式退役)

SEB™ 原则: 不要直接跳到销毁。构建一个如下的升级梯:

  1. 快速信号 →
  2. 对用户可见 →
  3. 通过门禁强制执行 →
  4. 若被忽略则清理

条件访问:SEB™ 成为现实的地方

当设备注册到 Intune 时,它会在 Microsoft Entra ID 中注册。Intune 将合规状态报告给 Entra。

在条件访问中,设置访问控制:

  • 要求设备标记为合规

这就是强制执行的关卡。

SEB™ 警告: 如果您保持“将未分配合规策略的设备标记为 = 合规”,可能会意外地允许从未收到合规策略的设备通过此关卡。

“隔离 vs 修复” (操作系统实际强制执行的内容)

  • 已修复 – 操作系统强制用户解决问题(例如,在某些平台上设置 PIN)。
  • 已隔离 – 操作系统不强制;设备保持不合规,条件访问会阻止访问。

SEB™ 要点: 不能假设设备会自行修复。对于已隔离的设置,入口即是控制

像安全仪表盘一样监控合规(因为它本身就是)

Intune 包含一个 Device compliance dashboard 用于监视:

  • 设备合规状态
  • 策略合规性
  • 按策略和设备的细分查看

SEB™ 指标思维方式:

  • 合规率 不是 虚荣指标。
  • 它是您强制执行边界的可衡量健康状况。

SEB™ 实施蓝图(快速启动)

如果您想要最短路径实现租户安全的 SEB™:

  1. 设置 “将未分配合规策略的设备标记为” → 不合规
  2. 合规状态有效期 配置为符合您的风险容忍度
  3. 为每个平台创建 设备合规策略(根据需要包括 Windows、macOS、iOS、Android、Linux)
  4. 添加 不合规操作(通知 → 锁定 → 退役梯子)
  5. 构建 Entra 条件访问策略,要求关键云应用 使用合规设备
  6. 监控合规仪表板,并将漂移视为安全工作,而非帮助台工作

为什么在世界燃烧时 SEB™ 很重要

(待添加内容——在当今威胁环境下强大的信号执行边界的重要性。)

When exploit waves and attack chains move faster than human change control, SEB™ is how you prevent “unknown posture devices” from accessing corporate resources.

*Not by panic.*  
*By architecture.*

Because in a modern tenant:

**Compliance is the signal.**  
**Conditional Access is the gate.**  
**SEB™ is the boundary.**

阅读完整文章

Back to Blog

相关文章

阅读更多 »