Běžné zásady zabezpečení pro organizace Microsoftu 365
Organizace mají spoustu starostí o nasazení Microsoftu 365 pro svoji organizaci. Zásady podmíněného přístupu, ochrany aplikací a zařízení, na které odkazuje tento článek, vycházejí z doporučení Microsoftu a tří hlavních principů nulová důvěra (Zero Trust):
- Explicitní ověření
- Použití nejnižších oprávnění
- Předpokládat porušení zabezpečení
Organizace můžou tyto zásady používat tak, jak jsou, nebo si je přizpůsobit podle svých potřeb. Pokud je to možné, otestujte zásady v neprodukčním prostředí a teprve potom je zaváděte pro produkční uživatele. Testování je důležité k identifikaci a komunikaci jakýchkoli možných efektů uživatelům.
Tyto zásady seskupíme do tří úrovní ochrany na základě toho, kde jste na cestě k nasazení:
- Výchozí bod – základní ovládací prvky, které zavádějí vícefaktorové ověřování, zabezpečené změny hesel a zásady ochrany aplikací.
- Enterprise – vylepšené ovládací prvky, které zavádějí dodržování předpisů zařízením.
- Specializované zabezpečení – zásady, které vyžadují vícefaktorové ověřování pokaždé pro konkrétní datové sady nebo uživatele.
Následující diagram znázorňuje, na jakou úroveň ochrany se jednotlivé zásady vztahují a jestli se zásady vztahují na počítače nebo telefony a tablety, nebo na obě kategorie zařízení.
Tento diagram si můžete stáhnout jako soubor PDF .
Tip
Před registrací zařízení v Intune se doporučuje vyžadovat použití vícefaktorového ověřování (MFA), aby se zajistilo, že zařízení je ve vlastnictví zamýšleného uživatele. Než budete moct vynutit zásady dodržování předpisů zařízením, musíte registrovat zařízení v Intune.
Požadavky
Oprávnění
- Správci, kteří spravují zásady podmíněného přístupu, se musí k webu Azure Portal přihlásit alespoň jako správce podmíněného přístupu .
- Správci, kteří spravují zásady ochrany aplikací a zásady dodržování předpisů pro zařízení, se musí k Intune přihlásit alespoň jako správce Intune.
- Uživatelům, kteří potřebují jenom zobrazit konfigurace, lze přiřadit roli Čtenář zabezpečení.
Další informace o rolích a oprávněních najdete v článku Předdefinované role Microsoft Entra.
Registrace uživatele
Před vyžadováním použití se ujistěte, že se vaši uživatelé registrují k vícefaktorovým ověřováním. Pokud máte licence, které zahrnují Microsoft Entra ID P2, můžete použít zásady registrace vícefaktorového ověřování v rámci služby Microsoft Entra ID Protection a vyžadovat, aby se uživatelé zaregistrovali. Poskytujeme komunikační šablony, které si můžete stáhnout a přizpůsobit pro propagaci registrace.
Skupiny
Všechny skupiny Microsoft Entra používané jako součást těchto doporučení musí být vytvořeny jako skupina Microsoft 365, nikoli skupina zabezpečení. Tento požadavek je důležitý pro nasazení popisků citlivosti při zabezpečení dokumentů v Microsoft Teams a SharePointu později. Další informace najdete v článku Informace o skupinách a přístupových právech v Microsoft Entra ID
Přiřazování zásad
Zásady podmíněného přístupu je možné přiřadit uživatelům, skupinám a rolím správce. Zásady ochrany aplikací Intune a zásady shody zařízení je možné přiřadit pouze skupinám . Před konfigurací zásad určete, kdo by měl být zahrnut a vyloučen. Zásady na úrovni ochrany výchozích bodů se obvykle vztahují na všechny v organizaci.
Tady je příklad přiřazení skupin a vyloučení pro povinné vícefaktorové ověřování po tom, co vaši uživatelé dokončí registraci uživatele.
| Zásady podmíněného přístupu Microsoft Entra | Zahrnout | Vyloučit | |
|---|---|---|---|
| Výchozí bod | Vyžadovat vícefaktorové ověřování pro střední nebo vysoké riziko přihlašování | Všichni uživatelé |
|
| Enterprise | Vyžadování vícefaktorového ověřování pro nízké, střední nebo vysoké riziko přihlašování | Skupina vedoucích pracovníků |
|
| Specializované zabezpečení | Vyžadovat vícefaktorové ověřování vždy | Skupina Top Secret Project Buckeye |
|
Při použití vyšší úrovně ochrany u skupin a uživatelů buďte opatrní. Cílem zabezpečení není přidat zbytečné tření uživatelského prostředí. Například členové skupiny Top Secret Project Buckeye musí používat vícefaktorové ověřování při každém přihlášení, i když nepracují na specializovaném obsahu zabezpečení pro svůj projekt. Nadměrné bezpečnostní tření může vést k únavě.
Měli byste zvážit povolení metod ověřování odolných vůči phishingu, jako jsou Windows Hello pro firmy nebo zabezpečovací klíče FIDO2, aby se zmírnilo určité tření způsobené některými bezpečnostními opatřeními.
Nouzové přístupové účty
Všechny organizace by měly mít alespoň jeden účet pro nouzový přístup, který je monitorovaný pro použití a vyloučený ze zásad. Tyto účty se používají jenom v případě, že všechny ostatní účty správců a metody ověřování jsou uzamčené nebo jinak nedostupné. Další informace najdete v článku Správa účtů pro nouzový přístup v Microsoft Entra ID.
Vyloučení
Doporučeným postupem je vytvoření skupiny Microsoft Entra pro vyloučení podmíněného přístupu. Tato skupina poskytuje způsob, jak poskytnout přístup uživateli při řešení potíží s přístupem.
Upozorňující
Tato skupina se doporučuje používat pouze jako dočasné řešení. Nepřetržitě monitorujte a auditujte tuto skupinu změn a ujistěte se, že se skupina vyloučení používá jenom podle očekávání.
Přidání této skupiny vyloučení do existujících zásad:
- Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
- Přejděte k podmíněnému přístupu k>.
- Vyberte existující zásadu.
- V části Přiřazení vyberte Uživatelé nebo identity úloh.
- V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo účty pro přerušení přístupu a skupinu vyloučení podmíněného přístupu.
Nasazení
Doporučujeme implementovat zásady výchozího bodu v pořadí uvedeném v této tabulce. Zásady vícefaktorového ověřování pro podnikové a specializované úrovně zabezpečení je však možné implementovat kdykoli.
Výchozí bod
| Zásady | Více informací | Licencování |
|---|---|---|
| Vyžadovat vícefaktorové ověřování, pokud je riziko přihlášení střední nebo vysoké | Použití rizikových dat z Microsoft Entra ID Protection k vyžadování vícefaktorového ověřování pouze v případech, kdy se zjistí riziko | Microsoft 365 E5 nebo Microsoft 365 E3 s doplňkem E5 Security |
| Blokování klientů, kteří nepodporují moderní ověřování | Klienti, kteří nepoužívají moderní ověřování, můžou obejít zásady podmíněného přístupu, takže je důležité je zablokovat. | Microsoft 365 E3 nebo E5 |
| Uživatelé s vysokým rizikem musí změnit heslo | Vynutí, aby uživatelé při přihlašování změnili heslo, pokud se zjistí vysoká riziková aktivita pro svůj účet. | Microsoft 365 E5 nebo Microsoft 365 E3 s doplňkem E5 Security |
| Použití zásad ochrany aplikací pro ochranu dat | Jedna zásada ochrany aplikací Intune na platformu (Windows, iOS/iPadOS, Android). | Microsoft 365 E3 nebo E5 |
| Vyžadování schválených aplikací a zásad ochrany aplikací | Vynucuje zásady ochrany mobilních aplikací pro telefony a tablety pomocí iOS, iPadOS nebo Androidu. | Microsoft 365 E3 nebo E5 |
Enterprise
| Zásady | Více informací | Licencování |
|---|---|---|
| Vyžadovat vícefaktorové ověřování, pokud je riziko přihlášení nízké, střední nebo vysoké | Použití rizikových dat z Microsoft Entra ID Protection k vyžadování vícefaktorového ověřování pouze v případech, kdy se zjistí riziko | Microsoft 365 E5 nebo Microsoft 365 E3 s doplňkem E5 Security |
| Definovánízásadch | Nastavte minimální požadavky na konfiguraci. Jedna zásada pro každou platformu. | Microsoft 365 E3 nebo E5 |
| Vyžadování kompatibilních počítačů a mobilních zařízení | Vynucuje požadavky na konfiguraci pro zařízení, která přistupují k vaší organizaci. | Microsoft 365 E3 nebo E5 |
Specializované zabezpečení
| Zásady | Více informací | Licencování |
|---|---|---|
| Vždy vyžadovat vícefaktorové ověřování | Uživatelé musí provádět vícefaktorové ověřování, kdykoli se přihlásí ke službám vaší organizace. | Microsoft 365 E3 nebo E5 |
zásady Ochrana aplikací
Ochrana aplikací zásady definují, které aplikace jsou povolené, a akce, které můžou provádět s daty vaší organizace. K dispozici je mnoho možností a některé můžou být matoucí. Následující směrné plány jsou doporučené konfigurace Microsoftu, které je možné přizpůsobit vašim potřebám. Poskytujeme tři šablony, které je potřeba sledovat, ale většina organizací si zvolí úrovně 2 a 3.
Úroveň 2 mapuje to, co považujeme za výchozí bod nebo zabezpečení na podnikové úrovni, úroveň 3 mapuje na specializované zabezpečení.
Základní ochrana podnikových dat úrovně 1 – Microsoft doporučuje tuto konfiguraci jako minimální konfiguraci ochrany dat pro podnikové zařízení.
Rozšířená ochrana dat úrovně 2 – Microsoft doporučuje tuto konfiguraci pro zařízení, kde uživatelé přistupují k citlivým nebo důvěrným informacím. Tato konfigurace se vztahuje na většinu mobilních uživatelů, kteří přistupují k pracovním nebo školním datům. Některé ovládací prvky můžou mít vliv na uživatelské prostředí.
Vysoká ochrana podnikových dat úrovně 3 – Microsoft doporučuje tuto konfiguraci pro zařízení spuštěná organizací s větším nebo sofistikovanějším týmem zabezpečení nebo pro konkrétní uživatele nebo skupiny, kteří mají jedinečně vysoké riziko (uživatelé, kteří zpracovávají vysoce citlivá data, pokud neoprávněné zveřejnění způsobuje značné materiálové ztráty pro organizaci). Organizace, které jsou pravděpodobně cílem dobře financovaných a sofistikovaných nežádoucích organizací, by se měly snažit o tuto konfiguraci.
Vytvoření zásad ochrany aplikací
Vytvořte nové zásady ochrany aplikací pro každou platformu (iOS a Android) v Microsoft Intune pomocí nastavení architektury ochrany dat:
- Zásady vytvoříte ručně podle kroků v tématu Vytvoření a nasazení zásad ochrany aplikací v Microsoft Intune.
- Importujte ukázkové šablony JSON architektury Intune App Protection Policy Configuration Framework pomocí powershellových skriptů Intune.
Zásady dodržování předpisů zařízením
Zásady dodržování předpisů zařízením Intune definují požadavky, které musí zařízení splňovat, aby byla určena jako vyhovující.
Musíte vytvořit zásadu pro každou platformu počítače, telefonu nebo tabletu. Tento článek popisuje doporučení pro následující platformy:
Vytvoření zásad dodržování předpisů pro zařízení
Pokud chcete vytvořit zásady dodržování předpisů zařízením, přihlaste se do Centra pro správu Microsoft Intune a přejděte na Zásady> dodržování předpisů zařízením>. Vyberte Vytvořit zásadu.
Podrobné pokyny k vytváření zásad dodržování předpisů v Intune najdete v tématu Vytvoření zásad dodržování předpisů v Microsoft Intune.
Nastavení registrace a dodržování předpisů pro iOS/iPadOS
iOS/iPadOS podporuje několik scénářů registrace, z nichž dvě jsou součástí této architektury:
- Registrace zařízení pro zařízení v osobním vlastnictví – tato zařízení jsou v osobním vlastnictví a používají se pro pracovní i osobní použití.
- Automatizovaná registrace zařízení pro zařízení vlastněná společností – tato zařízení jsou vlastněná společností, přidružená k jednomu uživateli a používají se výhradně pro práci a ne pro osobní použití.
Použití principů popsaných v konfiguracích identit nulová důvěra (Zero Trust) a přístupu k zařízením:
- Výchozí bod a úrovně podnikové ochrany se úzce mapuje s nastavením rozšířeného zabezpečení úrovně 2.
- Specializovaná úroveň ochrany zabezpečení se úzce mapuje na nastavení vysoké úrovně zabezpečení úrovně 3.
Nastavení dodržování předpisů pro osobně zaregistrovaná zařízení
- Osobní základní zabezpečení (úroveň 1) – Microsoft doporučuje tuto konfiguraci jako minimální konfiguraci zabezpečení pro osobní zařízení, kde uživatelé přistupují k pracovním nebo školním datům. Tato konfigurace se provádí vynucením zásad hesel, charakteristik zámku zařízení a zakázáním určitých funkcí zařízení, jako jsou nedůvěryhodné certifikáty.
- Osobní rozšířené zabezpečení (úroveň 2) – Microsoft doporučuje tuto konfiguraci pro zařízení, kde uživatelé přistupují k citlivým nebo důvěrným informacím. Tato konfigurace zavedla ovládací prvky sdílení dat. Tato konfigurace se vztahuje na většinu mobilních uživatelů, kteří na zařízení přistupují k pracovním nebo školním datům.
- Osobní vysoké zabezpečení (úroveň 3) – Microsoft doporučuje tuto konfiguraci pro zařízení používaná konkrétními uživateli nebo skupinami, kteří jsou jedinečně vysoce ohroženi (uživatelé, kteří zpracovávají vysoce citlivá data, pokud neoprávněné zpřístupnění způsobí značné ztráty materiálu pro organizaci). Tato konfigurace přijme silnější zásady hesel, zakáže určité funkce zařízení a vynucuje další omezení přenosu dat.
Nastavení dodržování předpisů pro automatickou registraci zařízení
- Základní zabezpečení pod dohledem (úroveň 1) – Microsoft doporučuje tuto konfiguraci jako minimální konfiguraci zabezpečení pro zařízení pod dohledem, kde uživatelé přistupují k pracovním nebo školním datům. Tato konfigurace se provádí vynucením zásad hesel, charakteristik zámku zařízení a zakázáním určitých funkcí zařízení, jako jsou nedůvěryhodné certifikáty.
- Rozšířené zabezpečení pod dohledem (úroveň 2) – Microsoft doporučuje tuto konfiguraci pro zařízení, kde uživatelé přistupují k citlivým nebo důvěrným informacím. Tato konfigurace řídí sdílení dat a blokuje přístup k zařízením USB. Tato konfigurace se vztahuje na většinu mobilních uživatelů, kteří na zařízení přistupují k pracovním nebo školním datům.
- Vysoké zabezpečení pod dohledem (úroveň 3) – Microsoft doporučuje tuto konfiguraci pro zařízení používaná konkrétními uživateli nebo skupinami, kteří jsou jedinečně vysoce ohroženi (uživatelé, kteří zpracovávají vysoce citlivá data, pokud neoprávněné zpřístupnění způsobí značné ztráty materiálu pro organizaci). Tato konfigurace zavedla silnější zásady hesel, zakazuje určité funkce zařízení, vynucuje další omezení přenosu dat a vyžaduje instalaci aplikací prostřednictvím programu apple pro multilicenční program.
Nastavení registrace a dodržování předpisů pro Android
Android Enterprise podporuje několik scénářů registrace, z nichž dvě jsou součástí této architektury:
- Pracovní profil Androidu Enterprise – tento model registrace se obvykle používá pro zařízení v osobním vlastnictví, kde IT chce poskytnout jasnou hranici oddělení mezi pracovními a osobními údaji. Zásady řízené IT zajišťují, že pracovní data nelze přenést do osobního profilu.
- Plně spravovaná zařízení s Androidem Enterprise – tato zařízení jsou vlastněná společností, přidružená k jednomu uživateli a používají se výhradně pro práci a ne pro osobní použití.
Architektura konfigurace zabezpečení Pro Android Enterprise je uspořádaná do několika různých scénářů konfigurace, které poskytují pokyny pro pracovní profil a plně spravované scénáře.
Použití principů popsaných v konfiguracích identit nulová důvěra (Zero Trust) a přístupu k zařízením:
- Výchozí bod a úrovně podnikové ochrany se úzce mapuje s nastavením rozšířeného zabezpečení úrovně 2.
- Specializovaná úroveň ochrany zabezpečení se úzce mapuje na nastavení vysoké úrovně zabezpečení úrovně 3.
Nastavení dodržování předpisů pro zařízení s pracovním profilem Androidu Enterprise
- Z důvodu nastavení dostupných pro zařízení s pracovním profilem v osobním vlastnictví neexistuje žádná nabídka základního zabezpečení (úroveň 1). Dostupná nastavení neodůvodňují rozdíl mezi úrovní 1 a úrovní 2.
- Rozšířené zabezpečení pracovního profilu (úroveň 2)– Microsoft doporučuje tuto konfiguraci jako minimální konfiguraci zabezpečení pro osobní zařízení, kde uživatelé přistupují k pracovním nebo školním datům. Tato konfigurace zavádí požadavky na heslo, odděluje pracovní a osobní údaje a ověřuje ověření identity zařízení s Androidem.
- Vysoký zabezpečení pracovního profilu (úroveň 3) – Microsoft doporučuje tuto konfiguraci pro zařízení používaná konkrétními uživateli nebo skupinami, kteří jsou jedinečně ohroženi (uživatelé, kteří zpracovávají vysoce citlivá data, pokud neoprávněné zpřístupnění způsobí značné ztráty materiálu pro organizaci). Tato konfigurace představuje ochranu před mobilními hrozbami nebo Microsoft Defender for Endpoint, nastaví minimální verzi Androidu, zavádí silnější zásady hesel a dále omezuje pracovní a osobní oddělení.
Nastavení dodržování předpisů pro plně spravovaná zařízení s Androidem Enterprise
- Plně spravované základní zabezpečení (úroveň 1) – Microsoft doporučuje tuto konfiguraci jako minimální konfiguraci zabezpečení pro podnikové zařízení. Tato konfigurace se vztahuje na většinu mobilních uživatelů, kteří přistupují k pracovním nebo školním datům. Tato konfigurace zavádí požadavky na heslo, nastavuje minimální verzi Androidu a zavádí určitá omezení zařízení.
- Plně spravované rozšířené zabezpečení (úroveň 2) – Microsoft doporučuje tuto konfiguraci pro zařízení, kde uživatelé přistupují k citlivým nebo důvěrným informacím. Tato konfigurace zavedla silnější zásady hesel a zakazuje možnosti uživatelů a účtů.
- Plně spravovaná vysoká úroveň zabezpečení (úroveň 3) – Microsoft doporučuje tuto konfiguraci pro zařízení používaná konkrétními uživateli nebo skupinami, které jsou jedinečně vysoce rizikové. Tito uživatelé můžou zpracovávat vysoce citlivá data, pokud by neoprávněné zpřístupnění mohlo způsobit značnou ztrátu materiálu pro organizaci. Tato konfigurace zvyšuje minimální verzi Androidu, zavádí ochranu před mobilními hrozbami nebo Microsoft Defender for Endpoint a vynucuje další omezení zařízení.
Doporučené nastavení dodržování předpisů pro Windows 10 a novější
V kroku 2 jsou nakonfigurována následující nastavení: Nastavení dodržování předpisů, procesu vytváření zásad dodržování předpisů pro zařízení s Windows 10 a novějšími zařízeními. Tato nastavení odpovídají principům popsaným v konfiguraci identit nulová důvěra (Zero Trust) a přístupu k zařízením.
Informace o > vyhodnocení služby Ověření stavu zařízení ve Windows health najdete v této tabulce.
| Vlastnost | Hodnota |
|---|---|
| Vyžadování nástroje BitLocker | Požadovat |
| Vyžadování povolení zabezpečeného spouštění na zařízení | Požadovat |
| Vyžadovat integritu kódu | Požadovat |
U vlastností zařízení zadejte odpovídající hodnoty pro verze operačního systému na základě vašich zásad IT a zabezpečení.
Pokud se nacházíte ve spoluspravovaném prostředí s nástrojem Configuration Manager, vyberte Vyžadovat jinak vyberte Nekonfigurováno.
Informace o zabezpečení systému najdete v této tabulce.
| Vlastnost | Hodnota |
|---|---|
| Vyžadovat heslo k odemknutí mobilních zařízení | Požadovat |
| Jednoduchá hesla | Blok |
| Typ hesla | Výchozí nastavení zařízení |
| Minimální délka hesla | 6 |
| Maximální počet minut nečinnosti před vyžadování hesla | 15 minut |
| Omezená platnost hesla (ve dnech) | 41 |
| Počet předchozích hesel, aby se zabránilo opakovanému použití | 5 |
| Vyžadovat heslo, když se zařízení vrátí ze stavu nečinnosti (Mobilní a Holographic) | Požadovat |
| Vyžadování šifrování úložiště dat na zařízení | Požadovat |
| Brána firewall | Požadovat |
| Antivirus | Požadovat |
| Antispyware | Požadovat |
| Microsoft Defender Antimalware | Požadovat |
| Minimální verze Antimalwaru v programu Microsoft Defender | Společnost Microsoft doporučuje, aby verze z nejnovější verze nebyly delší než pět za sebou. |
| Aktuální antimalwarový podpis v programu Microsoft Defender | Požadovat |
| Ochrana v reálném čase | Požadovat |
Pro Microsoft Defender for Endpoint
| Vlastnost | Hodnota |
|---|---|
| Vyžadovat, aby zařízení bylo v rizikovém skóre počítače nebo pod jeho skóre | Střední |
Zásady podmíněného přístupu
Po vytvoření ochrany aplikací a zásad dodržování předpisů zařízením v Intune můžete povolit vynucení pomocí zásad podmíněného přístupu.
Vyžadování vícefaktorového ověřování na základě rizika přihlašování
Postupujte podle pokynů v článku Vyžadovat vícefaktorové ověřování na základě rizika přihlašování, abyste vytvořili zásadu, která bude vyžadovat vícefaktorové ověřování na základě rizika přihlašování.
Při konfiguraci zásad použijte následující úrovně rizik.
| Úroveň ochrany | Potřebné hodnoty na úrovni rizika | Akce |
|---|---|---|
| Výchozí bod | Vysoká, střední | Zkontrolujte obojí. |
| Enterprise | Vysoká, střední, nízká | Zkontrolujte všechny tři. |
Blokování klientů, kteří nepodporují vícefaktorové ověřování
Pokud chcete blokovat starší ověřování, postupujte podle pokynů v článku Blokovat starší ověřování pomocí podmíněného přístupu.
Uživatelé s vysokým rizikem musí změnit heslo
Postupujte podle pokynů v článku Vyžadovat zabezpečenou změnu hesla pro zvýšení rizika uživatelů, vyžadovat, aby uživatelé s ohroženými přihlašovacími údaji změnili heslo.
Tuto zásadu použijte společně s ochranou hesel Microsoft Entra, která kromě termínů specifických pro vaši organizaci detekuje a blokuje známá slabá hesla a jejich varianty. Použití ochrany heslem Microsoft Entra zajišťuje, že změněná hesla jsou silnější.
Vyžadování schválených aplikací nebo zásad ochrany aplikací
Pokud chcete vynutit zásady ochrany aplikací vytvořené v Intune, musíte vytvořit zásady podmíněného přístupu. Vynucení zásad ochrany aplikací vyžaduje zásady podmíněného přístupu a odpovídající zásady ochrany aplikací.
Pokud chcete vytvořit zásady podmíněného přístupu, které vyžadují schválené aplikace nebo ochranu aplikací, postupujte podle pokynů v tématu Vyžadování schválených klientských aplikací nebo zásad ochrany aplikací. Tato zásada povoluje přístup ke koncovým bodům Microsoftu 365 jenom v rámci mobilních aplikací chráněných zásadami ochrany aplikací.
Blokování starší verze ověřování pro jiné klientské aplikace na zařízeních s iOSem a Androidem zajišťuje, že tito klienti nemůžou obejít zásady podmíněného přístupu. Pokud sledujete pokyny v tomto článku, už jste nakonfigurovali blokované klienty, kteří nepodporují moderní ověřování.
Vyžadování kompatibilních počítačů a mobilních zařízení
Postupujte podle pokynů v článku Požadovat shodu zařízení s podmíněným přístupem, aby zařízení přistupující k prostředkům byla označena jako shodná se zásadami shody Intune vaší organizace.
Upozornění
Před povolením této zásady se ujistěte, že vaše zařízení dodržuje předpisy. Jinak by vás mohli zablokovat a vy byste potřebovali držitele účtu pro nouzový přístup, abyste získali přístup zpět.
Poznámka:
Nová zařízení můžete zaregistrovat do Intune, i když v zásadách vyberete Možnost Vyžadovat, aby zařízení bylo označené jako vyhovující všem uživatelům a všem cloudovým aplikacím . Vyžadovat, aby zařízení bylo označené jako vyhovující řízení, neblokuje registraci Intune a přístup k aplikaci Microsoft Intune Web Portál společnosti.
Aktivace předplatného
Organizace používající funkci aktivace předplatného , která uživatelům umožní přejít z jedné verze Windows na jinou, by měly ze zásad dodržování předpisů pro zařízení vyloučit rozhraní API služby Universal Store a webovou aplikaci AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.
Vždy vyžadovat vícefaktorové ověřování
Postupujte podle pokynů v článku Vyžadovat vícefaktorové ověřování pro všechny uživatele, vyžadovat, aby vaši uživatelé provedli vícefaktorové ověřování.
Další kroky
Informace o doporučeních zásad pro hosta a externí uživatele