Del via

Administrer enheter med Intune Oversikt

  • Artikkel

En kjernekomponent for sikkerhet på bedriftsnivå omfatter administrasjon og beskyttelse av enheter. Enten du bygger en nulltillit sikkerhetsarkitektur, herder miljøet mot løsepengevirus eller bygger inn beskyttelse for å støtte eksterne arbeidere, er administrasjon av enheter en del av strategien. Selv om Microsoft 365 inneholder flere verktøy og metoder for administrasjon og beskyttelse av enheter, går denne veiledningen gjennom Microsofts anbefalinger ved hjelp av Microsoft Intune. Dette er den riktige veiledningen for deg hvis du:

  • Planlegg å registrere enheter i Intune gjennom Microsoft Entra sammenføyning (inkludert Microsoft Entra hybrid sammenføyning).
  • Planlegg å registrere enheter manuelt i Intune.
  • Tillat BYOD-enheter med planer om å implementere beskyttelse for apper og data og/eller registrer disse enhetene for å Intune.

Hvis miljøet ditt derimot inneholder planer for samtidig administrasjon, inkludert Microsoft Configuration Manager, kan du se dokumentasjonen for samtidig administrasjon for å utvikle den beste veien for organisasjonen. Hvis miljøet inneholder planer for Windows 365 Sky-PC, kan du se Windows 365 Enterprise dokumentasjon for å utvikle den beste banen for organisasjonen.

Se denne videoen for å få en oversikt over distribusjonsprosessen.

Hvorfor administrere endepunkter?

Den moderne virksomheten har et utrolig mangfold av endepunkter som får tilgang til dataene sine. Dette oppsettet skaper en massiv angrepsoverflate, og som et resultat kan endepunkter enkelt bli det svakeste leddet i din nulltillit sikkerhetsstrategi.

For det meste drevet av nødvendighet som verden flyttet til en ekstern eller hybrid arbeidsmodell, brukere arbeider fra hvor som helst, fra hvilken som helst enhet, mer enn når som helst i historien. Angripere justerer raskt taktikken sin for å dra nytte av denne endringen. Mange organisasjoner står overfor begrensede ressurser når de navigerer i disse nye forretningsutfordringene. Nesten over natten har selskaper akselerert digital transformasjon. Enkelt sagt, måten folk jobber har endret seg. Vi forventer ikke lenger å få tilgang til utallige bedriftsressurser bare fra kontoret og på firmaeide enheter.

Det første trinnet i din nulltillit enhetsstrategi er å få innsyn i endepunktene som får tilgang til bedriftens ressurser. Vanligvis er selskaper proaktive i å beskytte PC-er mot sårbarheter og angrep, mens mobile enheter ofte går uovervåket og uten beskyttelse. For å sikre at du ikke utsetter dataene for risiko, må vi overvåke hvert endepunkt for risiko og bruke detaljerte tilgangskontroller for å levere riktig tilgangsnivå basert på organisasjonspolicyer. Hvis for eksempel en personlig enhet er jailbroken, kan du blokkere tilgang for å sikre at bedriftsprogrammer ikke blir utsatt for kjente sårbarheter.

Denne serien med artikler går gjennom en anbefalt prosess for administrasjon av enheter som får tilgang til ressursene dine. Hvis du følger de anbefalte trinnene, vil organisasjonen oppnå svært avansert beskyttelse for enhetene dine og ressursene de får tilgang til.

Implementere beskyttelseslagene på og for enheter

Beskyttelse av data og apper på enheter og selve enhetene er en prosess med flere lag. Det finnes noen beskyttelser du kan få på uadministrerte enheter. Når du har registrert enheter i administrasjon, kan du implementere mer avanserte kontroller. Når trusselbeskyttelse distribueres på tvers av endepunktene, får du enda mer innsikt og muligheten til å automatisk utbedre noen angrep. Til slutt, hvis organisasjonen har lagt arbeidet i å identifisere sensitive data, bruke klassifisering og etiketter og konfigurere Microsoft Purview hindring av datatap policyer, kan du få enda mer detaljert beskyttelse for data på endepunktene.

Diagrammet nedenfor illustrerer byggeblokker for å oppnå en nulltillit sikkerhetsstilling for Microsoft 365 og andre SaaS-apper som du introduserer for dette miljøet. Elementene som er relatert til enheter, er nummerert fra 1 til 7. Enhetsadministratorer koordinerer med andre administratorer for å oppnå disse beskyttelseslagene.

Desc.

I denne illustrasjonen:

  Trinn Beskrivelse Lisensieringskrav
1 Konfigurer startpunkt nulltillit identitets- og enhetstilgangspolicyer Samarbeid med identitetsadministratoren for å implementere databeskyttelse på nivå 2 appbeskyttelse (APP). Disse policyene krever ikke at du administrerer enheter. Du konfigurerer APP-policyene i Intune. Identitetsadministratoren konfigurerer en policy for betinget tilgang til å kreve godkjente apper. E3, E5, F1, F3, F5
2 Registrer enheter for å Intune Denne aktiviteten krever mer planlegging og tid til å implementere. Microsoft anbefaler at du bruker Intune til å registrere enheter fordi dette verktøyet gir optimal integrering. Det finnes flere alternativer for registrering av enheter, avhengig av plattformen. Windows-enheter kan for eksempel registreres ved hjelp av Microsoft Entra sammenføyning eller ved hjelp av Autopilot. Du må se gjennom alternativene for hver plattform og bestemme hvilket registreringsalternativ som passer best for miljøet ditt. Se trinn 2. Registrer enheter for å Intune for mer informasjon. E3, E5, F1, F3, F5
3 Konfigurer samsvarspolicyer Du vil være sikker på at enheter som har tilgang til appene og dataene dine oppfyller minimumskravene, for eksempel at enheter er passord- eller pin-beskyttet, og at operativsystemet er oppdatert. Samsvarspolicyer er måten å definere kravene som enhetene må oppfylle. Trinn 3. Konfigurer samsvarspolicyer hjelper deg med å konfigurere disse policyene. E3, E5, F3, F5
4 Konfigurer Enterprise (anbefales) nulltillit identitets- og enhetstilgangspolicyer Nå som enhetene dine er registrert, kan du samarbeide med identitetsadministratoren for å justere policyer for betinget tilgang for å kreve sunne og kompatible enheter. E3, E5, F3, F5
5 Distribuer konfigurasjonsprofiler I motsetning til policyer for enhetssamsvar som bare markerer en enhet som kompatibel eller ikke basert på kriterier du konfigurerer, endrer konfigurasjonsprofiler faktisk konfigurasjonen av innstillingene på en enhet. Du kan bruke konfigurasjonspolicyer til å herde enheter mot netttrusler. Se trinn 5. Distribuer konfigurasjonsprofiler. E3, E5, F3, F5
6 Overvåk enhetsrisiko og samsvar med sikkerhetsgrunnlinjer I dette trinnet kobler du Intune til Microsoft Defender for endepunkt. Med denne integreringen kan du deretter overvåke enhetsrisiko som en betingelse for tilgang. Enheter som er funnet å være i en risikabel tilstand, blokkeres. Du kan også overvåke samsvar med sikkerhetsgrunnlinjer. Se trinn 6. Overvåk enhetsrisiko og overholdelse av sikkerhetsgrunnlinjer. E5, F5
7 Implementer hindring av datatap (DLP) med informasjonsbeskyttelsesfunksjoner Hvis organisasjonen har lagt arbeidet i å identifisere sensitive data og merke dokumenter, kan du samarbeide med administratoren for informasjonsbeskyttelse for å beskytte sensitiv informasjon og dokumenter på enhetene dine. E5, F5 samsvarstillegg

Koordinere administrasjon av endepunkt med nulltillit identitets- og enhetstilgangspolicyer

Denne veiledningen er tett koordinert med anbefalte nulltillit identitets- og enhetstilgangspolicyer. Du kommer til å samarbeide med identitetsteamet for å gjennomføre beskyttelse som du konfigurerer med Intune i policyer for betinget tilgang i Microsoft Entra ID.

Her er en illustrasjon av det anbefalte policysettet med trinnforklaringer for arbeidet du skal gjøre i Intune, og de relaterte policyene for betinget tilgang som du hjelper til med å koordinere i Microsoft Entra ID.

nulltillit identitets- og enhetstilgangspolicyer.

I denne illustrasjonen:

  • I trinn 1 implementerer du appbeskyttelsespolicyer (APP) på nivå 2 for å konfigurere det anbefalte nivået av databeskyttelse med APP-policyer. Deretter samarbeider du med identitetsteamet for å konfigurere den relaterte regelen for betinget tilgang til å kreve bruk av denne beskyttelsen.
  • I trinn 2, 3 og 4 registrerer du enheter i administrasjon med Intune, definerer policyer for enhetssamsvar og koordinerer deretter med identitetsteamet for å konfigurere den relaterte regelen for betinget tilgang til bare å tillate tilgang til kompatible enheter.

Registrere enheter kontra pålastingsenheter

Hvis du følger denne veiledningen, registrerer du enheter i administrasjon ved hjelp av Intune, og du vil registrere enheter for følgende Microsoft 365-funksjoner:

  • Microsoft Defender for endepunkt
  • Microsoft Purview (for hindring av datatap i endepunkt (DLP))

Illustrasjonen nedenfor beskriver hvordan dette fungerer ved hjelp av Intune.

Prosess for registrering og pålasting av enheter.

I illustrasjonen:

  1. Registrer enheter i administrasjon med Intune.
  2. Bruk Intune på innebygde enheter til Defender for Endpoint.
  3. Enheter som er innebygd i Defender for Endpoint, er også innebygd for Microsoft Purview-funksjoner, inkludert DLP for endepunkt.

Vær oppmerksom på at bare Intune administrerer enheter. Pålasting refererer til muligheten for en enhet til å dele informasjon med en bestemt tjeneste. Tabellen nedenfor oppsummerer forskjellene mellom å registrere enheter i administrasjons- og pålastingsenheter for en bestemt tjeneste.

  Registrere Onboard
Beskrivelse Registrering gjelder for administrasjon av enheter. Enheter er registrert for administrasjon med Intune eller Configuration Manager. Pålasting konfigurerer en enhet til å fungere med et bestemt sett med funksjoner i Microsoft 365. For øyeblikket gjelder pålasting for Microsoft Defender for endepunkt- og Microsoft-samsvarsfunksjoner.

På Windows-enheter innebærer pålasting å veksle en innstilling i Windows Defender som gjør det mulig for Defender å koble til nettjenesten og godta policyer som gjelder for enheten.
Omfang Disse verktøyene for enhetsadministrasjon administrerer hele enheten, inkludert konfigurering av enheten for å oppfylle bestemte mål, for eksempel sikkerhet. Pålasting påvirker bare tjenestene som gjelder.
Anbefalt metode Microsoft Entra sammenføyer automatisk registrerer enheter i Intune. Intune er den foretrukne metoden for pålasting av enheter til Windows Defender for endepunkt, og dermed Microsoft Purview-funksjoner.

Vær oppmerksom på at enheter som er koblet til Microsoft Purview-funksjoner ved hjelp av andre metoder, ikke automatisk registreres for Defender for Endpoint.
Andre metoder Andre registreringsmetoder avhenger av enhetens plattform og om den er BYOD eller administrert av organisasjonen. Andre metoder for pålastingsenheter inkluderer, i anbefalt rekkefølge:
  • Configuration Manager
  • Annet administrasjonsverktøy for mobilenheter (hvis enheten administreres av én)
  • Lokalt skript
  • VDI-konfigurasjonspakke for pålasting av ikke-faste VDI-enheter (virtual desktop infrastructure)
  • Gruppepolicy
    		•

    Læring for administratorer

    Følgende ressurser hjelper administratorer med å lære konsepter om bruk av Intune.

    • Forenkle enhetsbehandling med Microsoft Intune opplæringsmodul

      Finn ut hvordan bedriftsstyringsløsninger gjennom Microsoft 365 gir personer en sikker, tilpasset skrivebordsopplevelse og hjelper organisasjoner med å enkelt administrere oppdateringer for alle enheter med en forenklet administratoropplevelse.

    • Evaluer Microsoft Intune

      Microsoft Intune hjelper deg med å beskytte enhetene, appene og dataene som personene i organisasjonen bruker til å være produktive. Denne artikkelen forteller deg hvordan du konfigurerer Microsoft Intune. Installasjonsprogrammet omfatter gjennomgang av støttede konfigurasjoner, registrering for Intune, legge til brukere og grupper, tilordne lisenser til brukere, gi administratortillatelser og angi mobile Enhetsbehandling (MDM)-myndighet.

    Neste trinn:

    Gå til trinn 1. Implementer appbeskyttelsespolicyer.