零信任策略通常用于云应用程序,并在授予访问权限之前进行身份和设备合规性检查。但说到 Wi-Fi 和 VPN 访问时,这些相同的信号往往并不是决策的一部分。
这就造成了一个缺口。设备可能会因为操作系统过时或加密被禁用等原因,在 Microsoft Intune 等 MDM 中未通过合规性检查,但仍可通过 RADIUS 成功完成网络身份验证。
Foxpass 最新的 Cloud RADIUS 增强功能通过将设备状态信号纳入网络身份验证决策,帮助弥合这一差距,使组织能够将 Zero Trust 原则扩展到 Wi‑Fi 和 VPN 访问。
设备合规性与网络访问之间的鸿沟
许多组织已经在使用 Microsoft Intune 合规性策略评估设备状况。这些策略会在允许访问企业资源之前,验证操作系统版本、加密状态及其他安全要求等项目。
但是,这些态势信号并不总是会直接影响网络访问本身。
同时,Microsoft Entra 条件访问专为云身份验证流程和令牌颁发而设计。它不属于基于 RADIUS 的服务(如 Wi‑Fi 或 VPN)的身份验证路径的一部分。
结果往往是一个常见的脱节:
设备的合规性由 MDM 进行评估
用户通过 RADIUS 对网络进行身份验证
授予网络访问权限时,设备态势往往未被纳入考量
这意味着,除非实施额外的控制措施,否则不合规的设备仍可能连接到企业 Wi-Fi 或 VPN
Foxpass 推出基于设备状态的访问控制
Foxpass 现在允许管理员在做出网络访问决策时,结合设备态势以及身份和证书身份验证。
设备合规性将继续由 Microsoft Intune 进行评估,并通过 Microsoft Entra ID 显示。Foxpass 会检索并缓存这些态势信号��,并在 RADIUS 身份验证期间使用它们来确定设备是否应被授予网络访问权限。
根据配置情况,管理员可以:
仅允许合规设备访问
拒绝不合规设备的访问
将未受管或不合规的设备置于隔离网络中
这种方法使组织能够直接在网络层执行设备状态要求,同时继续使用其现有的身份和设备管理系统。
无需完整网络访问控制(NAC)的复杂性,即可实现姿态感知访问
传统 NAC 解决方案通常依赖端点代理、内联强制执行设备,以及在整个网络中持续进行设备探查。虽然这些系统可以提供深入的可见性和控制能力,但也可能带来运营复杂性和基础设施开销。
Foxpass 采用更轻量化的方法。设备态势将继续由组织现有的 MDM 平台进行评估,Foxpass 会在身份验证过程中应用这些信号。由于策略执行发生在 RADIUS 身份验证期间,组织无需部署额外代理、内联设备或完整的 NAC 基础架构,即可实施具备态势感知能力的网络访问决策。
对于许多团队来说,尤其是那些在云优先或分布式环境中运营的团队,这为在网络边缘落实设备合规性提供了一种切实可行的方式。
姿态强制执行的工作原理
Foxpass 中基于设备状态的访问控制可进行配置,且默认未启用。
与 Intune 和 Entra ID 建立集成后,即可获得设备状态信号,但管理员可以自行选择如何以及何时实施策略。一些组织可能会先开始观察设备状态信号,再引入强制执行;而另一些组织则可能立即限制未通过合规性检查的设备访问。
根据策略要求,管理员可以:
完全禁止不合规设备访问
将这些设备置于隔离网络中进行修复
在启用强制执行之前,继续监��测态势信号
了解这些决策在身份验证流程中的发生位置也同样重要。
Microsoft Intune 会评估设备合规性。Microsoft Entra ID 会显示设备状态信息。Foxpass 使用这些信号在 RADIUS 身份验证期间为网络访问决策提供依据。
由于 Wi-Fi 和 VPN 身份验证依赖于 RADIUS,因此这些强制执行决策发生在用于云应用程序的 Microsoft Entra Conditional Access 模型之外。
将零信任带到网络边缘
通过将设备状态纳入网络身份验证决策,Foxpass 将 Zero Trust 策略从云应用扩展到网络本身。在授予网络访问权限之前,可以基于多种信号对每个连接进行评估,包括身份、证书和设备合规性。
对于已在使用 Microsoft Intune 和 Entra ID 的组织,这提供了一种直接明了的方式,让 Wi-Fi 和 VPN 访问策略与现有设备合规性要求保持一致。
