由于疫情的影响，近两年的办公模式以远程为主导，疫情的反复可能推动远程办公模式和远程+线下的混合办公模式继续普及。据统计，2021年初有70%的企业表示疫情结束后也将无限期支持远程办公。

为远程办公和混合办公服务的分布式基础设施如果缺乏良好保护可能会面临极大的安全风险。疫情期间的辞职潮给企业带来了巨大压力，企业必须提供直观无缝和具有竞争力的积极用户体验，这似乎又和网络环境高度安全的需求有所冲突。简单来说，企业需要在不影响用户体验的同时提供安全的网络环境。

而条件访问（CA）就能满足这一需求，既改善了用户体验也提升了安全性，比起传统登录过程更智能。在条件访问中，系统将登录尝试结合上下文判断在准许访问、质疑访问和拒绝访问中哪种决策更合理。这样一来，用户在安全环境中的登录过程会更简单，而在可疑环境中会复杂，有些情况下会彻底拒绝访问。从结果来看，条件访问保证了身份验证和授权的安全性，又不会给用户增加负担。

下面将进一步说明条件访问的运作原理、典型使用案例以及如何帮助企业、管理员和用户更好地工作。

1、条件访问的运作原理

条件访问要求用户满足特定条件后才能访问企业资源，具体来说就是根据 IT 管理员指定的条件评估登录尝试。一般来说登录条件越不安全，验证过程就越严格。这就相当于增加了一层实时防护，自动阻止不符合安全访问预定义条件的用户、设备和网络进行访问。

用户不一定要满足所有指定条件，但至少要满足其中一个。常用的验证条件包括：

• 用户组（是否属于管理员用户组）
• 管理设备（是否为公司管理设备）
• IP 地址（是否使用白名单内的 IP 地址或 VPN）
• 登录尝试的地理位置（是否为受信任的位置或国际登录尝试）

条件访问策略大致都会遵循条件句“if，then”的格式。例如，IT 管理员可以设置以下条件：

• 如用户尝试从合规设备和白名单内的 IP 地址登录，则该用户可跳过多因素身份验证（MFA）。
• 如用户尝试用非管理设备从白名单内的 IP 地址登录，则该用户必须完成 MFA。
• 如用户尝试在没有 VPN 的情况下远程登录，则该用户将被完全拒绝访问。 

2、为什么管理员应重视条件访问？

1）条件访问是零信任安全的基石

条件访问能够安全验证登录尝试，也因此成为零信任安全的重要组成部分。零信任安全模型解决了传统边界安全模型无法充分保护远程和混合远程环境这一问题，该模型假定所有用户、设备和网络在经过安全可靠的验证之前都不可信。尽管复杂的密码和安全的设备等基本安全方案依然是必要条件，但这类方案自现在已无法满足企业的安全需求，只有基于“验证先于信任”这一概念的零信任模型才能提供充分保护。

零信任中的安全验证一般通过贯穿全程的多因素认证（MFA）来实现。条件访问在此基础上更进一步，根据用户、设备和网络周围的上下文信号评估登录环境的安全性，然后利用安全性信息自动创建登录体验，登录过程的安全验证和登录环境的安全级别相匹配。

2）条件访问优化了用户体验

目前，大多数企业都了解 MFA 在登录中的重要性，80%以上的企业或多或少都会应用 MFA。但让用户每次访问都进行 MFA 会很麻烦，甚至会导致用户尝试跳过或关闭 MFA。

有了条件访问，只有在需要时才会应用 MFA，这就简化了用户体验，让员工能更快、更轻松地获取所需资源。如今，用户体验成为企业的关键差异化因素，也是影响员工留存率的重要因素，因此必须尽可能减少用户摩擦。

3）条件访问优化了管理体验

条件访问凭借自动化流程和较高的安全性让管理员不必再担心登录过程防护不充分，也无需进行额外工作。此外，取消全程应用 MFA 还可以降低用户登录出错的频率，也有助于减轻运维负担。

条件访问也能指定访问参数，让管理员实现合规元素的自动化。举例来说，管理员可以设置条件访问策略，确保某些项目只有特定用户组的成员才能访问——比如患者记录只允许医生访问。

3、宁盾的条件访问优势

宁盾的条件访问策略可以通过身份、网络、设备和位置来验证信任，灵活且直观。宁盾根据 IP 白名单验证网络和位置，根据目录服务、组织架构配合不同验证方式如用户名密码、企微/飞书/钉钉扫码认证等方式验证用户身份。

在混合办公和远程接入场景，宁盾还可基于终端合规性作为访问条件之一。比如，以终端是否安装杀毒软件、是否打了补丁、是否加域等作为合规性条件，或根据和专业的终端管理软件如EDR、DLP等进行联动，作为访问控制的判断条件。