Ochrona danych i urządzeń za pomocą usługi Microsoft Intune

Microsoft Intune może pomóc w zapewnieniu bezpieczeństwa i aktualności zarządzanych urządzeń, jednocześnie pomagając chronić dane organizacji przed urządzeniami, na które bezpieczeństwo zostało naruszone. Ochrona danych obejmuje kontrolowanie, co użytkownicy robią z danymi organizacji na urządzeniach zarządzanych i niezarządzanych. Ochrona danych obejmuje również blokowanie dostępu do danych z urządzeń, które mogą zostać naruszone.

W tym artykule przedstawiono wiele wbudowanych funkcji i technologii partnerskich Intune, które można zintegrować z Intune. Gdy dowiesz się więcej o nich, możesz zebrać kilka bardziej kompleksowych rozwiązań w drodze do środowiska zerowego zaufania.

W centrum administracyjnym Microsoft Intune Intune obsługuje zarządzane urządzenia z systemami Android, iOS/iPad, Linux, macOS i Windows.

Jeśli używasz Configuration Manager do zarządzania urządzeniami lokalnymi, możesz rozszerzyć zasady Intune na te urządzenia, konfigurując dołączanie dzierżawy lub współzarządzanie.

Intune mogą również pracować z informacjami z urządzeń zarządzanych przy użyciu produktów innych firm, które zapewniają zgodność urządzeń i ochronę przed zagrożeniami mobilnymi.

Ochrona urządzeń za pomocą zasad

Wdróż zasady zabezpieczeń punktów końcowych, konfiguracji urządzeń i zgodności urządzeń Intune w celu skonfigurowania urządzeń w celu osiągnięcia celów bezpieczeństwa organizacji. Zasady obsługują co najmniej jeden profil, czyli odrębne zestawy reguł specyficznych dla platformy wdrażanych w grupach zarejestrowanych urządzeń.

• Dzięki zasadom zabezpieczeń punktu końcowego wdróż zasady skoncentrowane na zabezpieczeniach, które ułatwiają skoncentrowanie się na zabezpieczeniach urządzeń i ograniczanie ryzyka. Dostępne zadania mogą pomóc w zidentyfikowaniu zagrożonych urządzeń, skorygowaniu tych urządzeń i przywróceniu ich do stanu zgodnego lub bezpieczniejszego.

• Za pomocą zasad konfiguracji urządzeń zarządzaj profilami definiującymi ustawienia i funkcje używane przez urządzenia w organizacji. Konfigurowanie urządzeń pod kątem ochrony punktu końcowego, aprowizowanie certyfikatów na potrzeby uwierzytelniania, ustawianie zachowań aktualizacji oprogramowania i nie tylko.

• Zasady zgodności urządzeń umożliwiają tworzenie profilów dla różnych platform urządzeń, które określają wymagania dotyczące urządzeń. Wymagania mogą obejmować wersje systemu operacyjnego, korzystanie z szyfrowania dysków lub na określonych poziomach zagrożeń zdefiniowanych przez oprogramowanie do zarządzania zagrożeniami.

  Intune mogą chronić urządzenia, które nie są zgodne z zasadami, i powiadamiać użytkownika urządzenia, aby mógł zapewnić zgodność urządzenia.

  Po dodaniu dostępu warunkowego do kombinacji należy skonfigurować zasady, które zezwalają tylko zgodnym urządzeniom na dostęp do sieci i zasobów organizacji. Ograniczenia dostępu mogą obejmować udziały plików i firmowe wiadomości e-mail. Zasady dostępu warunkowego działają również z danymi o stanie urządzenia zgłoszonymi przez partnerów zgodności urządzeń innych firm, z Intune.

Poniżej przedstawiono kilka ustawień zabezpieczeń i zadań, które można zarządzać za pomocą dostępnych zasad:

• Metody uwierzytelniania — skonfiguruj sposób uwierzytelniania urządzeń w zasobach, wiadomościach e-mail i aplikacjach organizacji.

  • Używaj certyfikatów do uwierzytelniania w aplikacjach, zasobach organizacji oraz do podpisywania i szyfrowania poczty e-mail przy użyciu protokołu S/MIME. Można również skonfigurować poświadczenia pochodne , gdy środowisko wymaga użycia kart inteligentnych.

  • Skonfiguruj ustawienia, które pomagają ograniczyć ryzyko, na przykład:

    • Wymagaj uwierzytelniania wieloskładnikowego (MFA), aby dodać dodatkową warstwę uwierzytelniania dla użytkowników.
    • Ustaw wymagania dotyczące numeru PIN i hasła, które muszą zostać spełnione przed uzyskaniem dostępu do zasobów.
    • Włącz Windows Hello dla firm dla urządzeń z systemem Windows.

• Szyfrowanie urządzenia — zarządzanie funkcją BitLocker na urządzeniach z systemem Windows i programem FileVault w systemie macOS.

• Aktualizacje oprogramowania — zarządzanie sposobem i kiedy urządzenia uzyskują aktualizacje oprogramowania. Obsługiwane są następujące elementy:

  • Aktualizacje oprogramowania układowego systemu Android:
    • Oprogramowanie układowe over-the-Air (FOTA) — obsługiwane przez niektóre maszyny OEM, można użyć FOTA do zdalnej aktualizacji oprogramowania układowego urządzeń.
    • Zebra LifeGuard Over-the-Air (LG OTA) — zarządzanie aktualizacjami oprogramowania układowego obsługiwanych urządzeń Zebra za pośrednictwem centrum administracyjnego Intune.
  • iOS — zarządzanie wersjami systemu operacyjnego urządzeń oraz sprawdzanie i instalowanie aktualizacji przez urządzenia.
  • macOS — zarządzanie aktualizacjami oprogramowania dla urządzeń z systemem macOS zarejestrowanych jako urządzenia nadzorowane.
  • Windows — aby zarządzać środowiskiem Windows Update dla urządzeń, można skonfigurować, kiedy urządzenia skanują lub instalują aktualizacje, przechowują zestaw zarządzanych urządzeń w określonych wersjach funkcji i nie tylko.

• Punkty odniesienia zabezpieczeń — wdrażanie punktów odniesienia zabezpieczeń w celu ustanowienia podstawowej kondycji zabezpieczeń na urządzeniach z systemem Windows. Punkty odniesienia zabezpieczeń to wstępnie skonfigurowane grupy ustawień systemu Windows, które są zalecane przez odpowiednie zespoły produktów. W celu osiągnięcia celów bezpieczeństwa dla docelowych grup urządzeń można użyć punktów odniesienia zgodnie z ich danymi lub edytować ich wystąpienia.

• Wirtualne sieci prywatne (VPN) — w przypadku profilów sieci VPN przypisz ustawienia sieci VPN do urządzeń, aby mogły łatwo łączyć się z siecią organizacji. Intune obsługuje kilka typów połączeń sieci VPN i aplikacji, które obejmują zarówno wbudowane funkcje dla niektórych platform, jak i aplikacje sieci VPN pierwszej i innej firmy dla urządzeń.

• Rozwiązanie haseł administratora lokalnego systemu Windows (LAPS) — dzięki zasadom LAPS systemu Windows można:

  • Wymuszanie wymagań dotyczących haseł dla kont administratorów lokalnych
  • Tworzenie kopii zapasowej konta administratora lokalnego z urządzeń w usłudze Active Directory (AD) lub Microsoft Entra
  • Zaplanuj rotację tych haseł kont, aby zapewnić im bezpieczeństwo.

Ochrona danych za pomocą zasad

Intune aplikacje zarządzane i zasady ochrony aplikacji Intune mogą pomóc zatrzymać wycieki danych i zapewnić bezpieczeństwo danych organizacji. Te zabezpieczenia mogą mieć zastosowanie do urządzeń zarejestrowanych w Intune i do urządzeń, które nie są.

• aplikacje zarządzane Intune (lub aplikacje zarządzane w skrócie) to aplikacje, które integrują zestaw Intune App SDK lub są opakowane przez Intune App Wrapping Tool. Tymi aplikacjami można zarządzać przy użyciu Intune zasad ochrony aplikacji. Aby wyświetlić listę publicznie dostępnych aplikacji zarządzanych, zobacz Intune chronione aplikacje.

  Użytkownicy mogą używać aplikacji zarządzanych do pracy zarówno z danymi organizacji, jak i własnymi danymi osobowymi. Jeśli jednak zasady ochrony aplikacji wymagają użycia aplikacji zarządzanej, aplikacja zarządzana jest jedyną aplikacją, która może być używana do uzyskiwania dostępu do danych organizacji. Ochrona aplikacji reguły nie mają zastosowania do danych osobowych użytkownika.

• Ochrona aplikacji zasady to reguły, które zapewniają, że dane organizacji pozostają bezpieczne lub zawarte w zarządzanej aplikacji. Reguły identyfikują zarządzaną aplikację, która musi być używana, i definiują, co można zrobić z danymi, gdy aplikacja jest w użyciu.

Poniżej przedstawiono przykłady zabezpieczeń i ograniczeń, które można ustawić za pomocą zasad ochrony aplikacji i zarządzanych aplikacji:

• Skonfiguruj zabezpieczenia warstwy aplikacji, takie jak wymaganie numeru PIN w celu otwarcia aplikacji w kontekście służbowym.
• Kontrolowanie udostępniania danych organizacji między aplikacjami na urządzeniu, takich jak blokowanie kopiowania i wklejania lub przechwytywanie ekranu.
• Zapobiegaj zapisywaniu danych organizacji w osobistych lokalizacjach magazynu.

Ochrona urządzeń i danych przy użyciu akcji urządzenia

W centrum administracyjnym Microsoft Intune można uruchamiać akcje urządzenia, które ułatwiają ochronę wybranego urządzenia. Możesz uruchomić podzbiór tych akcji jako akcje urządzenia zbiorczego , aby wpłynąć na wiele urządzeń w tym samym czasie. Z urządzeń współzarządzanych można również korzystać z kilku zdalnych akcji Intune.

Akcje urządzenia nie są zasadami i są uruchamiane pojedynczo po wywołaniu. Mają one zastosowanie natychmiast, jeśli urządzenie jest dostępne w sieci lub po następnym uruchomieniu urządzenia lub zaewidencjonuj je za pomocą Intune. Te akcje są traktowane jako uzupełnienie stosowania zasad, które konfigurują i utrzymują konfiguracje zabezpieczeń dla populacji urządzeń.

Poniżej przedstawiono przykłady akcji, które można uruchomić, które ułatwiają zabezpieczanie urządzeń i danych:

Urządzenia zarządzane przez Intune:

• Rotacja kluczy funkcji BitLocker (tylko system Windows)
• Wyłącz blokadę aktywacji (tylko urządzenia firmy Apple, zobacz, jak wyłączyć blokadę aktywacji przy użyciu programu Apple Business Manager)
• Pełne lub szybkie skanowanie (tylko system Windows)
• Zdalne blokowanie
• Wycofywanie (co usuwa dane organizacji z urządzenia, pozostawiając dane osobowe bez zmian)
• Aktualizowanie analizy zabezpieczeń Microsoft Defender
• Czyszczenie (resetowanie urządzenia do ustawień fabrycznych, usuwanie wszystkich danych, aplikacji i ustawień)

Urządzenia zarządzane przez Configuration Manager:

• Wycofaj
• Wyczyść dane
• Synchronizacja (wymuś natychmiastowe zaewidencjonowanie urządzenia za pomocą Intune w celu znalezienia nowych zasad lub oczekujących akcji)

Integracja z innymi produktami i technologiami partnerskimi

Intune obsługuje integrację z aplikacjami partnerskimi zarówno ze źródeł innych firm, jak i innych firm, które rozszerzają jej wbudowane możliwości. Można również zintegrować Intune z kilkoma technologiami firmy Microsoft.

Partnerzy ds. zgodności

Dowiedz się więcej o korzystaniu z partnerów zgodności urządzeń z Intune. Podczas zarządzania urządzeniem za pomocą partnera do zarządzania urządzeniami przenośnymi innym niż Intune można zintegrować te dane zgodności z Tożsamość Microsoft Entra. Po zintegrowaniu zasady dostępu warunkowego mogą używać danych partnera wraz z danymi zgodności z Intune.

Menedżer konfiguracji

Aby chronić urządzenia zarządzane za pomocą Configuration Manager, można użyć wielu zasad Intune i akcji urządzeń. Aby obsługiwać te urządzenia, skonfiguruj współzarządzanie lub dołączanie dzierżawy. Można również używać obu tych elementów razem z Intune.

• Współzarządzanie umożliwia współzarządzanie urządzeniem z systemem Windows przy użyciu Configuration Manager i Intune. Zainstaluj klienta Configuration Manager i zarejestruj urządzenie, aby Intune. Urządzenie komunikuje się z obiema usługami.

• W przypadku dołączania dzierżawy należy skonfigurować synchronizację między witryną Configuration Manager a dzierżawą Intune. Ta synchronizacja zapewnia jeden widok dla wszystkich urządzeń zarządzanych za pomocą Microsoft Intune.

Po nawiązaniu połączenia między Intune a Configuration Manager urządzenia z Configuration Manager są dostępne w centrum administracyjnym Microsoft Intune. Następnie można wdrożyć zasady Intune na tych urządzeniach lub użyć akcji urządzenia w celu ich ochrony.

Niektóre z ochrony, które można zastosować, obejmują:

• Wdrażanie certyfikatów na urządzeniach przy użyciu profilów certyfikatów Intune Simple Certificate Enrollment Protocol (SCEP) lub par kluczy prywatnych i publicznych (PKCS).
• Użyj zasad zgodności.
• Użyj zasad zabezpieczeń punktu końcowego, takich jak oprogramowanie antywirusowe, wykrywanie i reagowanie punktów końcowych oraz reguły zapory .
• Stosowanie punktów odniesienia zabezpieczeń.
• Zarządzanie Aktualizacje systemu Windows.

Aplikacje do ochrony przed zagrożeniami mobilnymi

Aplikacje usługi Mobile Threat Defense (MTD) aktywnie skanują i analizują urządzenia pod kątem zagrożeń. Podczas integrowania aplikacji usługi Mobile Threat Defense z usługą Intune można przeprowadzić ocenę poziomu zagrożenia urządzeń przez aplikacje. Ocena poziomu zagrożenia lub ryzyka urządzenia jest ważnym narzędziem do ochrony zasobów organizacji przed urządzeniami przenośnymi, które zostały naruszone. Następnie możesz użyć tego poziomu zagrożenia w różnych zasadach, takich jak zasady dostępu warunkowego, aby ułatwić dostęp do tych zasobów.

Użyj danych na poziomie zagrożenia z zasadami dotyczącymi zgodności urządzeń, ochrony aplikacji i dostępu warunkowego. Te zasady używają danych, aby uniemożliwić niezgodnym urządzeniom dostęp do zasobów organizacji.

Zintegrowana aplikacja MTD:

• W przypadku zarejestrowanych urządzeń:

  • Użyj Intune, aby wdrożyć aplikację MTD i zarządzać nią na urządzeniach.
  • Wdróż zasady zgodności urządzeń korzystające z poziomu zagrożenia zgłoszonego przez urządzenia w celu oceny zgodności.
  • Zdefiniuj zasady dostępu warunkowego, które uwzględniają poziom zagrożenia urządzeń.
  • Zdefiniuj zasady ochrony aplikacji, aby określić, kiedy zablokować lub zezwolić na dostęp do danych na podstawie poziomu zagrożenia urządzenia.

• W przypadku urządzeń, które nie rejestrują się w Intune ale uruchamiają aplikację MTD, która integruje się z Intune, użyj danych na poziomie zagrożenia z zasadami ochrony aplikacji, aby zablokować dostęp do danych organizacji.

Intune obsługuje integrację z:

• Kilku partnerów MTD innych firm.
• Ochrona punktu końcowego w usłudze Microsoft Defender, która obsługuje dodatkowe możliwości za pomocą Intune.

Ochrona punktu końcowego w usłudze Microsoft Defender

Sama Ochrona punktu końcowego w usłudze Microsoft Defender zapewnia kilka korzyści ukierunkowanych na bezpieczeństwo. Ochrona punktu końcowego w usłudze Microsoft Defender również integruje się z Intune i jest obsługiwana na kilku platformach urządzeń. Dzięki integracji uzyskujesz aplikację mobilną do ochrony przed zagrożeniami i dodajesz możliwości Intune w celu zapewnienia bezpieczeństwa danych i urządzeń. Te możliwości obejmują:

• Obsługa rozwiązania Microsoft Tunnel — na urządzeniach z systemem Android Ochrona punktu końcowego w usłudze Microsoft Defender jest aplikacją kliencką używaną w programie Microsoft Tunnel, czyli rozwiązaniu bramy sieci VPN dla Intune. Jeśli jest używana jako aplikacja kliencka microsoft tunnel, nie potrzebujesz subskrypcji dla Ochrona punktu końcowego w usłudze Microsoft Defender.

• Zadania zabezpieczeń — dzięki zadaniu zabezpieczeń administratorzy Intune mogą korzystać z możliwości Zarządzanie zagrożeniami i lukami Ochrona punktu końcowego w usłudze Microsoft Defender. Jak to działa:

  • Zespół usługi Defender for Endpoint identyfikuje urządzenia zagrożone i tworzy zadania zabezpieczeń dla Intune w centrum zabezpieczeń usługi Defender for Endpoint.
  • Zadania te są wyświetlane w Intune z poradami dotyczącymi ograniczania ryzyka, których administratorzy Intune mogą użyć do ograniczenia ryzyka.
  • Gdy zadanie zostanie rozwiązane w Intune, ten stan będzie przekazywany z powrotem do centrum zabezpieczeń usługi Defender for Endpoint, gdzie można ocenić wyniki ograniczenia ryzyka.

• Zasady zabezpieczeń punktu końcowego — następujące zasady zabezpieczeń punktu końcowego Intune wymagają integracji z Ochrona punktu końcowego w usłudze Microsoft Defender. W przypadku korzystania z dołączania dzierżawy można wdrożyć te zasady na urządzeniach zarządzanych za pomocą Intune lub Configuration Manager.

  • Zasady ochrony antywirusowej — zarządzanie ustawieniami programu antywirusowego Microsoft Defender i środowiskiem Zabezpieczenia Windows na obsługiwanych urządzeniach, takich jak Windows i macOS.

  • Zasady wykrywania i reagowania punktów końcowych — te zasady umożliwiają skonfigurowanie wykrywania i reagowania na punkty końcowe (EDR), co jest funkcją Ochrona punktu końcowego w usłudze Microsoft Defender.

Dostęp warunkowy

Dostęp warunkowy to funkcja Microsoft Entra, która współpracuje z Intune w celu ochrony urządzeń. W przypadku urządzeń, które rejestrują się za pomocą Tożsamość Microsoft Entra, zasady dostępu warunkowego mogą używać szczegółów dotyczących urządzeń i zgodności z Intune w celu wymuszania decyzji dotyczących dostępu dla użytkowników i urządzeń.

Połącz zasady dostępu warunkowego z:

• Zasady zgodności urządzeń mogą wymagać, aby urządzenie było oznaczone jako zgodne, zanim będzie można użyć tego urządzenia do uzyskania dostępu do zasobów organizacji. Zasady dostępu warunkowego określają usługi aplikacji, które chcesz chronić, warunki dostępu do aplikacji lub usług oraz użytkowników, których dotyczą zasady.

• Ochrona aplikacji zasad można dodać warstwę zabezpieczeń, która gwarantuje, że tylko aplikacje klienckie obsługujące zasady ochrony aplikacji Intune mogą uzyskiwać dostęp do zasobów online, takich jak exchange lub inne usługi platformy Microsoft 365.

Dostęp warunkowy współdziała również z następującymi elementami, aby zapewnić bezpieczeństwo urządzeń:

• Ochrona punktu końcowego w usłudze Microsoft Defender i aplikacje MTD innych firm
• Aplikacje partnerów zgodności urządzeń
• Microsoft Tunnel

Dodawanie usługi Endpoint Privilege Management

Usługa Endpoint Privilege Management (EPM) umożliwia uruchamianie użytkowników systemu Windows jako użytkowników standardowych przy jednoczesnym podnoszeniu uprawnień tylko w razie potrzeby zgodnie z wymaganiami reguł i parametrów organizacji ustawionych przez organizację. Ten projekt obsługuje wymuszanie dostępu z najniższymi uprawnieniami— podstawowej dzierżawy architektury zabezpieczeń Zero Trust. Program EPM umożliwia zespołom IT wydajniejsze zarządzanie standardowymi użytkownikami i ograniczanie ich obszaru ataków przez umożliwienie pracownikom uruchamiania jako administratorzy dla określonych, zatwierdzonych aplikacji lub zadań.

Zadania, które często wymagają uprawnień administracyjnych, to instalacje aplikacji (takie jak aplikacje platformy Microsoft 365), aktualizowanie sterowników urządzeń i uruchamianie niektórych diagnostyki systemu Windows.

Wdrażając zdefiniowane reguły podniesienia uprawnień epm, można zezwolić na uruchamianie tylko zaufanych aplikacji w kontekście z podwyższonym poziomem uprawnień. Na przykład reguły mogą wymagać dopasowania skrótu pliku lub obecności certyfikatu w celu zweryfikowania integralności plików przed jego uruchomieniem na urządzeniu.

Porada

Usługa Endpoint Privilege Management jest dostępna jako dodatek Intune, który wymaga dodatkowej licencji do użycia i obsługuje urządzenia Windows 10 i Windows 11.

Aby uzyskać więcej informacji, zobacz Zarządzanie uprawnieniami punktu końcowego.

Następne kroki

Zaplanuj korzystanie z możliwości Intune w celu zapewnienia obsługi podróży do środowiska zerowego zaufania przez ochronę danych i zabezpieczanie urządzeń. Poza poprzednimi linkami w wierszu, aby dowiedzieć się więcej o tych możliwościach, dowiedz się więcej o zabezpieczeniach danych i udostępnianiu ich w Intune.