Zero Trust 原則通常會套用於雲端應用程式,並在授予存取權限前先進行身分與裝置合規性檢查。但談到 Wi-Fi 和 VPN 存取時,這些相同的訊號往往不會被納入決策。
這就產生了落差。裝置在 Microsoft Intune 這類 MDM 中,可能會因為作業系統過舊或加密功能已停用而未通過合規性檢查,但仍可透過 RADIUS 成功驗證並連接到網路。
Foxpass 最新的 Cloud RADIUS 增強功能,透過將裝置狀態信號納入網路驗證決策,協助縮小這項落差,讓組織能將零信任原則延伸到 Wi‑Fi 和 VPN 存取。
裝置合規與網路存取之間的落差
許多組織已經使用 Microsoft Intune 相容性原則來評估裝置狀態。這些原則會先驗證作業系統版本、加密狀態及其他安全性要求等項目,確認符合條件後才允許存取企業資源。
然而,這些裝置狀態訊號不一定會直接影響網路存取本身。
同時,Microsoft Entra Conditional Access 是針對雲端驗證流程與權杖簽發所設計。它不屬於 Wi-Fi 或 VPN 等以 RADIUS 為基礎之服務的驗證路徑。
結果往往造成一個常見的脫節:
裝置會由 MDM 評估是否符合規範
使用者透過 RADIUS 驗證登入網路
授予網路存取權限時,通常不會考量裝置狀態
這表示,除非另外實施額外控制措施,否則不符合規範的裝置仍可能連接到企業 Wi-Fi 或 VPN
Foxpass 推出以裝置狀態為基礎的存取控制
Foxpass 現在允許管理員在做出網路存取決策時,將裝置狀態與身分驗證及憑證驗證一併納入考量。
裝置合規性會持續由 Microsoft Intune 評估,並透過 Microsoft Entra ID 顯示。Foxpass 會擷取並快取這些 posture signals,並在 RADIUS 驗證期間使用這些訊號,以判定是否應授予裝置網路存取權限。
根據設定,管理員可以:
僅允許合規裝置存取
拒絕不符合規範的裝置存取
將未受管理或不符合規範的裝置置於隔離網路中
這種做法可讓組織直接在網路層強制執行裝置狀態要求,同時持續使用既有的身分與裝置管理系統。
無需完整網路存取控制(NAC)的複雜性,即可實現具裝置狀態感知的存取
傳統 NAC 解決方案通常仰賴端點代理程式、內嵌式強制執行設備,以及在整個網路中持續進行裝置檢查。雖然這些系統能提供深入的可視性與控制能力,但也可能帶來營運複雜性和基礎架構負擔。
Foxpass 採取較輕量的方法。裝置狀態會持續由組織現有的 MDM 平台進行評估,而 Foxpass 會在驗證過程中套用這些訊號。由於強制執行是在 RADIUS 驗證期間進行,組織無需部署額外的代理程式、內嵌式設備或完整的 NAC 基礎架構,即可根據裝置狀態做出具防護感知的網路存取決策。
對許多團隊而言,尤其是採用雲端優先或分散式環境運作的團隊,這提供了一種在網路邊緣實施裝置合規性的實用途徑。
姿態強制執行的運作方式
Foxpass 中基於裝置狀態的存取控制可進行設定,且預設不啟用。
一旦與 Intune 和 Entra ID 的整合建立完成,即可使用裝置狀態訊號,但管理員可自行選擇如何以及何時強制執行原則。有些組織可能會先開始觀察裝置狀態訊號,再導入強制執行;也有些組織會立即限制未通過合規檢查的裝置存取。
視原則需求而定,管理員可以:
完全拒絕不符合規範的裝置存取
將這些裝置置於隔離網路中,以便進行修復
在啟用強制執行前,持續監控姿態訊號
同樣重要的是,了解這些決策是在驗證流程中的哪個環節做出的。
Microsoft Intune 會評估裝置合規性。Microsoft Entra ID 會顯示裝置狀態資訊。Foxpass 會使用這些訊號,在 RADIUS 驗證期間協助網路做出存取決策。
由於 Wi-Fi 和 VPN 驗證仰賴 RADIUS,這些強制執行決策會發生在用於雲端應用程式的 Microsoft Entra Conditional Access 模型之外。
將零信任帶到網路邊緣
透過將裝置狀態納入網路驗證決策,Foxpass 將 Zero Trust 原則從雲端應用程式延伸至網路本身。每個連接都可在授予網路存取前,根據多種信號進行評估,包括身分、憑證和裝置合規性。
對於已在使用 Microsoft Intune 和 Entra ID 的組織而言,這提供了一種直接明瞭的方式,可讓 Wi-Fi 和 VPN 存取原則與現有的裝置合規要求保持一致。
