Krok 5. Nasazení profilů zařízení v Microsoft Intune
Microsoft Intune zahrnuje nastavení a funkce, které můžete povolit nebo zakázat na různých zařízeních v rámci vaší organizace. Tato nastavení a funkce se přidají do "konfiguračních profilů". Profily můžete vytvářet pro různá zařízení a různé platformy, včetně iOS/iPadOS, správce zařízení s Androidem, Android Enterprise a Windows. Pak pomocí Intune použijte nebo "přiřaďte" profil zařízením.
Tento článek obsahuje pokyny, jak začít s konfiguračními profily.
Konfigurační profily umožňují nakonfigurovat důležitou ochranu a umožnit zařízením dodržování předpisů, aby měli přístup k vašim prostředkům. Dříve se tyto druhy změn konfigurace konfigurovaly pomocí nastavení Zásady skupiny v Active Directory Domain Services. Moderní strategie zabezpečení zahrnuje přesun kontrolních mechanismů zabezpečení do cloudu, kde vynucení těchto ovládacích prvků není závislé na místních prostředcích a přístupu. Intune konfigurační profily představují způsob, jak tyto ovládací prvky zabezpečení převést do cloudu.
Pokud chcete získat představu o druhu konfiguračních profilů, které můžete vytvořit, přečtěte si téma Použití funkcí a nastavení na zařízeních pomocí profilů zařízení v Microsoft Intune.
Nasazení standardních hodnot zabezpečení Windows pro Intune
Jako výchozí bod platí, že pokud chcete sladit konfigurace zařízení se standardními hodnotami zabezpečení Microsoftu, doporučujeme standardní hodnoty zabezpečení v rámci Microsoft Intune. Výhodou tohoto přístupu je, že se při vydání Windows 10 a 11 funkcí můžete spolehnout na Microsoft, že bude udržovat směrné plány aktuální.
Pokud chcete nasadit standardní hodnoty zabezpečení Windows pro Intune, jsou k dispozici pro Windows 10 a Windows 11. Informace o dostupných směrných plánech najdete v tématu Použití standardních hodnot zabezpečení ke konfiguraci zařízení s Windows v Intune.
Prozatím stačí nasadit nejvhodnější standardní hodnoty zabezpečení MDM. Pokud chcete profil vytvořit a zvolit základní verzi, přečtěte si téma Správa profilů standardních hodnot zabezpečení v Microsoft Intune.
Až se později nastaví Microsoft Defender for Endpoint a připojíte Intune, nasaďte standardní hodnoty Defenderu for Endpoint. Toto téma je popsáno v dalším článku v této sérii: Krok 6. Monitorujte rizika zařízení a dodržování předpisů podle standardních hodnot zabezpečení.
Je důležité si uvědomit, že tyto standardní hodnoty zabezpečení nejsou kompatibilní s CIS nebo NIST, ale úzce odrážejí jejich doporučení. Další informace najdete v tématu Dodržují standardní hodnoty zabezpečení Intune CIS nebo NIST?
Přizpůsobení konfiguračních profilů pro vaši organizaci
Kromě nasazení předem nakonfigurovaných směrných plánů mnoho organizací na podnikové úrovni implementuje konfigurační profily pro podrobnější kontrolu. Tato konfigurace pomáhá snížit závislost na objektech Zásady skupiny v prostředí místní Active Directory a přesunout ovládací prvky zabezpečení do cloudu.
Mnoho nastavení, která můžete konfigurovat pomocí konfiguračních profilů, je možné seskupit do čtyř kategorií, jak je znázorněno níže.
Obrázek je popsaný v následující tabulce.
Kategorie | Popis | Příklady |
---|---|---|
Funkce zařízení | Řídí funkce na zařízení. Tato kategorie platí jenom pro zařízení s iOS/iPadOS a macOS. | Airprint, oznámení, zprávy na zamykací obrazovce |
Omezení zařízení | Řídí zabezpečení, hardware, sdílení dat a další nastavení na zařízeních. | Vyžadování KÓDU PIN, šifrování dat |
Konfigurace přístupu | Nakonfiguruje zařízení pro přístup k prostředkům vaší organizace. | profily Email, profily VPN, nastavení Wi-Fi, certifikáty |
Vlastní | Nastavení vlastní konfigurace nebo provádění vlastních akcí konfigurace | Nastavení OEM, spouštění skriptů PowerShellu |
Při přizpůsobování konfiguračních profilů pro vaši organizaci použijte následující doprovodné materiály:
- Zjednodušte si strategii zásad správného řízení zabezpečení tím, že celkový počet zásad bude malý.
- Seskupte nastavení do kategorií uvedených výše nebo do kategorií, které mají pro vaši organizaci smysl.
- Při přesouvání ovládacích prvků zabezpečení z Zásady skupiny objektů (GPO) do Intune konfiguračních profilů zvažte, jestli jsou nastavení nakonfigurovaná jednotlivými objekty zásad skupiny stále relevantní a potřebná, aby přispěla k celkové strategii zabezpečení cloudu. Podmíněný přístup a mnoho zásad, které je možné nakonfigurovat napříč cloudovými službami, včetně Intune, poskytují sofistikovanější ochranu, než by bylo možné nakonfigurovat v místním prostředí, kde byly původně navrženy vlastní objekty zásad skupiny.
- Využijte Zásady skupiny Analytics k porovnání a namapování aktuálních nastavení objektů zásad zásad zabezpečení na možnosti v rámci Microsoft Intune. Viz Analýza objektů zásad místní skupiny (GPO) pomocí Zásady skupiny analýz v Microsoft Intune.
- Při používání vlastních konfiguračních profilů nezapomeňte použít následující doprovodné materiály: Vytvoření profilu s vlastním nastavením v Intune.
Další zdroje informací
Pokud si nejste jistí, kde s profily zařízení začít, může vám pomoct následující:
Pokud vaše prostředí zahrnuje místní objekty zásad skupiny, jsou dobrým přechodem do cloudu následující funkce:
Další krok
Přejděte ke kroku 6. Monitorujte rizika zařízení a dodržování předpisů podle standardních hodnot zabezpečení.