Omówienie zarządzania urządzeniami za pomocą Intune
Podstawowy składnik zabezpieczeń na poziomie przedsiębiorstwa obejmuje zarządzanie urządzeniami i ich ochronę. Niezależnie od tego, czy tworzysz Zero Trust architekturę zabezpieczeń, wzmacniasz ochronę środowiska przed oprogramowaniem wymuszającym okup, czy tworzysz ochronę w celu obsługi pracowników zdalnych, zarządzanie urządzeniami jest częścią strategii. Chociaż platforma Microsoft 365 zawiera kilka narzędzi i metodologii zarządzania urządzeniami i ich ochrony, w tych wskazówkach przedstawiono zalecenia firmy Microsoft dotyczące Microsoft Intune. Są to odpowiednie wskazówki dla Ciebie, jeśli:
- Zaplanuj rejestrowanie urządzeń w Intune za pośrednictwem sprzężenia Microsoft Entra (w tym Microsoft Entra sprzężenia hybrydowego).
- Zaplanuj ręczne rejestrowanie urządzeń w Intune.
- Zezwalaj urządzeniom BYOD z planami na implementowanie ochrony aplikacji i danych i/lub rejestrowanie tych urządzeń w celu Intune.
Z drugiej strony, jeśli środowisko zawiera plany współzarządzania, w tym Microsoft Configuration Manager, zobacz dokumentację współzarządzania, aby opracować najlepszą ścieżkę dla organizacji. Jeśli środowisko zawiera plany Komputer w chmurze Windows 365, zobacz Windows 365 Enterprise dokumentację, aby opracować najlepszą ścieżkę dla organizacji.
Obejrzyj to wideo, aby zapoznać się z omówieniem procesu wdrażania.
Dlaczego warto zarządzać punktami końcowymi?
Nowoczesne przedsiębiorstwo ma niesamowitą różnorodność punktów końcowych uzyskujących dostęp do danych. Ta konfiguracja tworzy ogromną powierzchnię ataku i w rezultacie punkty końcowe mogą łatwo stać się najsłabszym linkiem w strategii zabezpieczeń Zero Trust.
Głównie z powodu konieczności, gdy świat przechodzi do zdalnego lub hybrydowego modelu pracy, użytkownicy pracują z dowolnego miejsca, z dowolnego urządzenia, bardziej niż kiedykolwiek w historii. Atakujący szybko dostosowują taktykę, aby skorzystać z tej zmiany. Wiele organizacji boryka się z ograniczonymi zasobami podczas poruszania się po tych nowych wyzwaniach biznesowych. Praktycznie z dnia na dzień firmy przyspieszyły transformację cyfrową. Mówiąc najprościej, sposób, w jaki ludzie pracują, zmienił się. Nie oczekujemy już dostępu do niezliczonych zasobów firmowych tylko z biura i na urządzeniach należących do firmy.
Uzyskanie wglądu w punkty końcowe uzyskujące dostęp do zasobów firmy jest pierwszym krokiem w strategii Zero Trust urządzenia. Zazwyczaj firmy aktywnie chronią komputery przed lukami w zabezpieczeniach i atakami, podczas gdy urządzenia przenośne często nie sąmonitorowane i bez ochrony. Aby upewnić się, że nie narażasz danych na ryzyko, musimy monitorować każdy punkt końcowy pod kątem zagrożeń i stosować szczegółowe mechanizmy kontroli dostępu, aby zapewnić odpowiedni poziom dostępu na podstawie zasad organizacji. Jeśli na przykład urządzenie osobiste zostało zdjęte, możesz zablokować dostęp, aby upewnić się, że aplikacje dla przedsiębiorstw nie są narażone na znane luki w zabezpieczeniach.
W tej serii artykułów przedstawiono zalecany proces zarządzania urządzeniami uzyskującymi dostęp do zasobów. Jeśli wykonasz zalecane kroki, twoja organizacja osiągnie bardzo zaawansowaną ochronę urządzeń i zasobów, do których uzyskują dostęp.
Implementowanie warstw ochrony na urządzeniach i dla nich
Ochrona danych i aplikacji na urządzeniach i samych urządzeniach jest procesem wielowarstwowym. Istnieją pewne zabezpieczenia, które można uzyskać na urządzeniach niezarządzanych. Po zarejestrowaniu urządzeń w systemie zarządzania można zaimplementować bardziej zaawansowane mechanizmy kontroli. Gdy ochrona przed zagrożeniami jest wdrażana w punktach końcowych, uzyskujesz jeszcze więcej szczegółowych informacji i możliwość automatycznego korygowania niektórych ataków. Na koniec, jeśli organizacja włożyła pracę w identyfikowanie poufnych danych, stosowanie klasyfikacji i etykiet oraz konfigurowanie zasad Ochrona przed utratą danych w Microsoft Purview, możesz uzyskać jeszcze bardziej szczegółową ochronę danych w punktach końcowych.
Na poniższym diagramie przedstawiono bloki konstrukcyjne umożliwiające osiągnięcie Zero Trust stanu zabezpieczeń dla platformy Microsoft 365 i innych aplikacji SaaS wprowadzonych w tym środowisku. Elementy związane z urządzeniami są ponumerowane od 1 do 7. Administratorzy urządzeń będą koordynować działania z innymi administratorami, aby osiągnąć te warstwy ochrony.
Na tej ilustracji:
Krok | Opis | Wymagania dotyczące licencjonowania | |
---|---|---|---|
1 | Konfigurowanie zasad Zero Trust tożsamości i dostępu urządzeń do punktu początkowego | Skontaktuj się z administratorem tożsamości, aby zaimplementować ochronę danych zasad ochrony aplikacji (APP) na poziomie 2. Te zasady nie wymagają zarządzania urządzeniami. Zasady aplikacji można skonfigurować w Intune. Administrator tożsamości konfiguruje zasady dostępu warunkowego, aby wymagać zatwierdzonych aplikacji. | E3, E5, F1, F3, F5 |
2 | Rejestrowanie urządzeń do Intune | To zadanie wymaga więcej czasu i planowania do zaimplementowania. Firma Microsoft zaleca używanie Intune do rejestrowania urządzeń, ponieważ to narzędzie zapewnia optymalną integrację. Istnieje kilka opcji rejestrowania urządzeń, w zależności od platformy. Na przykład urządzenia z systemem Windows można zarejestrować przy użyciu Microsoft Entra join lub przy użyciu rozwiązania Autopilot. Musisz przejrzeć opcje dla każdej platformy i zdecydować, która opcja rejestracji jest najlepsza dla Twojego środowiska. Zobacz Krok 2. Aby uzyskać więcej informacji, zarejestruj urządzenia do Intune. | E3, E5, F1, F3, F5 |
3 | Konfigurowanie zasad zgodności | Chcesz mieć pewność, że urządzenia uzyskujące dostęp do aplikacji i danych spełniają minimalne wymagania, na przykład urządzenia są chronione hasłem lub przypinaniem, a system operacyjny jest aktualny. Zasady zgodności to sposób definiowania wymagań, które muszą spełniać urządzenia. Krok 3. Konfigurowanie zasad zgodności ułatwia skonfigurowanie tych zasad. | E3, E5, F3, F5 |
4 | Konfigurowanie zasad Zero Trust tożsamości i dostępu urządzeń w przedsiębiorstwie (zalecane) | Po zarejestrowaniu urządzeń możesz współpracować z administratorem tożsamości, aby dostosować zasady dostępu warunkowego, aby wymagać urządzeń w dobrej kondycji i zgodnych. | E3, E5, F3, F5 |
5 | Wdrażanie profilów konfiguracji | W przeciwieństwie do zasad zgodności urządzeń, które po prostu oznaczają urządzenie jako zgodne lub nie na podstawie skonfigurowanych kryteriów, profile konfiguracji faktycznie zmieniają konfigurację ustawień na urządzeniu. Zasady konfiguracji umożliwiają zabezpieczenie urządzeń przed zagrożeniami cybernetycznymi. Zobacz Krok 5. Wdrażanie profilów konfiguracji. | E3, E5, F3, F5 |
6 | Monitorowanie ryzyka i zgodności urządzenia za pomocą punktów odniesienia zabezpieczeń | W tym kroku połączysz Intune z Ochrona punktu końcowego w usłudze Microsoft Defender. Dzięki tej integracji można monitorować ryzyko urządzenia jako warunek dostępu. Urządzenia, które są w stanie ryzykownym, są blokowane. Można również monitorować zgodność z punktami odniesienia zabezpieczeń. Zobacz Krok 6. Monitorowanie ryzyka urządzenia i zgodności z punktami odniesienia zabezpieczeń. | E5, F5 |
7 | Wdrażanie funkcji ochrony przed utratą danych (DLP, data loss prevention) za pomocą funkcji ochrony informacji | Jeśli Twoja organizacja włożyła pracę w identyfikowanie poufnych danych i etykietowanie dokumentów, możesz współpracować z administratorem ochrony informacji, aby chronić poufne informacje i dokumenty na urządzeniach. | Dodatek zgodności E5, F5 |
Koordynowanie zarządzania punktami końcowymi za pomocą zasad tożsamości Zero Trust i dostępu do urządzeń
Te wskazówki są ściśle skoordynowane z zalecanymi zasadami Zero Trust tożsamości i dostępu do urządzeń. Będziesz współpracować z zespołem ds. tożsamości w celu przeprowadzenia ochrony skonfigurowanej za pomocą Intune do zasad dostępu warunkowego w Tożsamość Microsoft Entra.
Oto ilustracja zalecanego zestawu zasad z objaśnieniami kroków dotyczącymi pracy wykonywanej w Intune i powiązanych zasad dostępu warunkowego, które ułatwiają koordynowanie Tożsamość Microsoft Entra.
Na tej ilustracji:
- W kroku 1 zaimplementuj zasady ochrony aplikacji (APP) poziomu 2 , aby skonfigurować zalecany poziom ochrony danych za pomocą zasad aplikacji. Następnie współpracujesz z zespołem ds. tożsamości, aby skonfigurować powiązaną regułę dostępu warunkowego w celu wymagania korzystania z tej ochrony.
- W krokach 2, 3 i 4 rejestrujesz urządzenia do zarządzania za pomocą Intune, definiujesz zasady zgodności urządzeń, a następnie koordynujesz z zespołem ds. tożsamości konfigurację powiązanej reguły dostępu warunkowego tak, aby zezwalała tylko na dostęp do zgodnych urządzeń.
Rejestrowanie urządzeń a dołączanie urządzeń
Jeśli zastosujesz się do tych wskazówek, zarejestrujesz urządzenia w zarządzaniu przy użyciu Intune i dołączesz urządzenia do następujących możliwości platformy Microsoft 365:
- Ochrona punktu końcowego w usłudze Microsoft Defender
- Microsoft Purview (w celu zapobiegania utracie danych punktu końcowego (DLP))
Poniższa ilustracja zawiera szczegółowe informacje o tym, jak to działa przy użyciu Intune.
Na ilustracji:
- Rejestrowanie urządzeń do zarządzania przy użyciu Intune.
- Użyj Intune, aby dołączyć urządzenia do usługi Defender for Endpoint.
- Urządzenia dołączone do usługi Defender for Endpoint są również dołączane do funkcji usługi Microsoft Purview, w tym programu Endpoint DLP.
Należy pamiętać, że tylko Intune zarządza urządzeniami. Dołączanie odnosi się do możliwości udostępniania informacji przez urządzenie określonej usłudze. Poniższa tabela zawiera podsumowanie różnic między rejestrowaniem urządzeń do zarządzania i dołączaniem urządzeń do określonej usługi.
Zarejestrować | Onboard | |
---|---|---|
Opis | Rejestracja dotyczy zarządzania urządzeniami. Urządzenia są rejestrowane do zarządzania za pomocą Intune lub Configuration Manager. | Dołączanie konfiguruje urządzenie do pracy z określonym zestawem możliwości na platformie Microsoft 365. Obecnie dołączanie ma zastosowanie do Ochrona punktu końcowego w usłudze Microsoft Defender i możliwości zgodności firmy Microsoft. Na urządzeniach z systemem Windows dołączanie obejmuje przełączanie ustawienia w usłudze Windows Defender, które umożliwia usłudze Defender łączenie się z usługą online i akceptowanie zasad, które mają zastosowanie do urządzenia. |
Zakres | Te narzędzia do zarządzania urządzeniami zarządzają całym urządzeniem, w tym konfigurują urządzenie tak, aby spełniało określone cele, takie jak zabezpieczenia. | Dołączanie ma wpływ tylko na usługi, które mają zastosowanie. |
Zalecana metoda | Microsoft Entra dołączanie automatycznie rejestruje urządzenia w Intune. | Intune jest preferowaną metodą dołączania urządzeń do usługi Windows Defender for Endpoint, a w związku z tym możliwości usługi Microsoft Purview. Należy pamiętać, że urządzenia dołączone do funkcji usługi Microsoft Purview przy użyciu innych metod nie są automatycznie rejestrowane w usłudze Defender for Endpoint. |
Inne metody | Inne metody rejestracji zależą od platformy urządzenia i od tego, czy jest to model BYOD, czy też jest zarządzany przez organizację. | Inne metody dołączania urządzeń obejmują, w zalecanej kolejności: |
Nauka dla administratorów
Poniższe zasoby ułatwiają administratorom poznawanie pojęć dotyczących korzystania z Intune.
Upraszczanie zarządzania urządzeniami za pomocą modułu szkoleniowego Microsoft Intune
Dowiedz się, w jaki sposób rozwiązania do zarządzania działalnością biznesową za pośrednictwem platformy Microsoft 365 zapewniają użytkownikom bezpieczne, spersonalizowane środowisko pulpitu i ułatwiają organizacjom łatwe zarządzanie aktualizacjami dla wszystkich urządzeń przy użyciu uproszczonego środowiska administracyjnego.
-
Microsoft Intune pomaga chronić urządzenia, aplikacje i dane używane przez osoby w organizacji, aby zapewnić produktywność. W tym artykule opisano sposób konfigurowania Microsoft Intune. Konfiguracja obejmuje przeglądanie obsługiwanych konfiguracji, rejestrowanie się w Intune, dodawanie użytkowników i grup, przypisywanie licencji do użytkowników, udzielanie uprawnień administratora i ustawianie urzędu usługi Mobile Zarządzanie urządzeniami (MDM).
Następny krok
Przejdź do kroku 1. Implementowanie zasad ochrony aplikacji.