Поделиться через

Управление устройствами с помощью Intune: общие сведения

  • Статья

Основным компонентом обеспечения безопасности на уровне предприятия является управление устройствами и их защита. Независимо от того, создаете ли вы архитектуру безопасности на основе модели "Никому не доверяй", защищаете ли свою среду от программ-шантажистов или создаете систему защиты для поддержки удаленных работников, управление устройствами является частью стратегии. Хотя Microsoft 365 предоставляет организациям несколько инструментов и методов, позволяющих управлять устройствами и обеспечивать их защиту, в этом руководстве основное внимание уделено рекомендациям корпорации Майкрософт по использованию Microsoft Intune. Вам пригодится это руководство, если вы планируете выполнить указанные ниже действия.

  • Запланируйте регистрацию устройств в Intune путем Microsoft Entra присоединения (включая Microsoft Entra гибридное соединение).
  • Вручную зарегистрировать устройства в Intune.
  • Разрешите переносить собственные устройства (BYOD) с планами реализации защиты приложений и данных и (или) зарегистрировать эти устройства в Intune.

С другой стороны, если ваша среда включает планы совместного управления, включая Microsoft Configuration Manager, ознакомьтесь с документацией по совместному управлению, чтобы разработать оптимальный путь для вашей организации. Если в вашей среде есть устройства с планами для Облачного компьютера Windows 365, см. документацию по Windows 365 Корпоративная, чтобы найти оптимальный способ для вашей организации.

Обзор процесса развертывания показан в приведенном ниже видео.

Зачем управлять конечными точками?

Современное предприятие имеет невероятное разнообразие конечных точек, обращаюющихся к данным. Эти настройки создают большое количество направлений атак, в результате чего они могут легко стать уязвимым звеном в стратегии обеспечения безопасности на основе модели "Никому не доверяй".

В основном из-за необходимости, когда мир перешел на удаленную или гибридную рабочую модель, пользователи работают из любого места, с любого устройства, больше, чем когда-либо в истории. Злоумышленники быстро приспосабливают свою тактику к новым изменениям, чтобы воспользоваться возможностями, которые они открывают. При решении новых бизнес-задач многие организации сталкиваются с проблемой нехватки ресурсов. Практически в одночасье организации ускорили переход на цифровые технологии. Проще говоря, то, как люди работают, изменилось. Мы больше не ожидаем получать доступ к бесчисленным корпоративным ресурсам только из офиса и на корпоративных устройствах.

Получение видимости конечных точек, которые обращаются к корпоративным ресурсам, является первым шагом в стратегии устройства "Никому не доверяй". Как правило, компании активно защищают компьютеры от уязвимостей и атак, в то время как мобильные устройства часто не используют защиту. Чтобы убедиться, что данные организации не подвержены риску, необходимо проверять каждую конечную точку на наличие рисков и использовать средства управления многоуровневым доступом, чтобы настроить соответствующий уровень доступа на основе политики организации. Например, если личное устройство взломано, его доступ можно заблокировать, чтобы корпоративные приложения не подвергались воздействию известных уязвимостей.

В этой серии статей описываются рекомендации по управлению устройствами, через которые пользователи получают доступ к ресурсам организации. Если выполнить рекомендуемые действия, ваша организация обеспечит современную защиту своих ресурсов и устройств, через которые пользователи получают доступ.

Реализация нескольких уровней защиты на устройствах и для устройств

Защита данных и приложений на устройствах и самих устройств — это многоуровневый процесс. На неуправляемых устройствах пользователи могут получить несколько средств обеспечения защиты. Чтобы реализовать более сложные средства контроля, необходимо зарегистрировать устройства для управления. Если защита от угроз развернута на конечных точках, организация получит больше аналитических данных и возможность автоматически реагировать на некоторые атаки. Наконец, если ваша организация включила работу по выявлению конфиденциальных данных, применению классификации и меток, а также настройке политик Защита от потери данных Microsoft Purview, вы можете получить еще более детальную защиту данных на конечных точках.

На следующей диаграмме показаны структурные элементы обеспечения безопасности приложений Microsoft 365 и других приложений SaaS на основе модели "Никому не доверяй". Элементы, относящиеся к устройствам, пронумерованы с 1 по 7. Администраторы устройств будут координировать работу с другими администраторами для выполнения этих уровней защиты.

Схема стандартных блоков системы безопасности

На этом рисунке:

  Шаг Описание Требования к лицензированию
1 Настройка политик доступа "Никому не доверяй" для удостоверений и устройств (начальный уровень) Этап 1. Реализуйте политики защиты приложений, чтобы заложить основу для защиты устройств с помощью Intune политик защиты приложений, которые не требуют управления устройствами. Затем сотрудничайте с администратором группы удостоверений, чтобы реализовать политики условного доступа, требующие утвержденных приложений, и установить уровень 2 корпоративной усиленной защиты данных, который является рекомендуемой начальной степенью для устройств, где пользователи получают доступ к конфиденциальной информации. E3, E5, F1, F3 или F5
2 Регистрация устройств в Intune Для планирования и реализации этой задачи требуется больше времени. Корпорация Майкрософт рекомендует использовать Intune для регистрации устройств, потому что это средство обеспечивает оптимальную интеграцию. Есть несколько вариантов регистрации устройств в зависимости от платформы. Например, устройства Windows можно зарегистрировать с помощью Microsoft Entra присоединения или с помощью Autopilot. Просмотрите варианты для каждой платформы и решите, какой вариант регистрации лучше всего подходит для вашей среды. См. шаг 2. Регистрация устройств в Intune для получения дополнительных сведений. E3, E5, F1, F3 или F5
3 Настройка политик соответствия требованиям Вы хотите убедиться, что устройства, обращаюющиеся к вашим приложениям и данным, соответствуют минимальным требованиям. Например, устройства защищены паролем или ПИН-кодом, а операционная система обновлена. Политики соответствия требованиям — это способ определения требований, которым должны соответствовать устройства. Этап 3. Настройка политик соответствия требованиям позволяет настроить эти политики. E3, E5, F3 или F5
4 Настройка политик доступа "Никому не доверяй" для удостоверений и устройств (уровень организации, рекомендуется) Теперь, когда устройства зарегистрированы, попросите администратора удостоверений настроить политики условного доступа так, чтобы требовать исправные и соответствующие требованиям устройства. E3, E5, F3 или F5
5 Развертывание профилей конфигурации В отличие от политик соответствия требованиям, которые просто помечают устройство как соответствующее или не соответствующее требованиям на основе заданных критериев, профили конфигурации изменяют параметры на устройстве. Политики конфигурации можно использовать для защиты устройств от киберугроз. См. Этап 5. Развертывание профилей конфигурации. E3, E5, F3 или F5
6 Проверка устройств на наличие рисков и соответствие базовым показателям безопасности На этом этапе необходимо подключить Intune к Microsoft Defender для конечной точки. Эта интеграция позволяет проверять, подвержены ли устройства риску для предоставления им доступа. Устройства, которые находятся в опасном состоянии, блокируются. Также можно отслеживать соответствие базовым показателям безопасности. См. Этап 6. Проверка устройств на наличие рисков и соответствие базовым показателям безопасности. E5 или F5
7 Реализация защиты от потери данных (DLP) с возможностями защиты информации Если ваша организация провела работу по идентификации конфиденциальных данных и маркировке документов, попросите администратора обеспечить защиту конфиденциальной информации и документов на устройствах. E5 или F5 с надстройкой для соответствия требованиям

Согласование действий по управлению конечными точками с помощью политик доступа "Никому не доверяй" для удостоверений и устройств

Это руководство согласуется с рекомендуемыми политиками доступа "Никому не доверяй" для удостоверений и устройств. Вы будете работать с командой удостоверений, чтобы обеспечить защиту, настроенную с помощью Intune в политиках условного доступа в Microsoft Entra ID.

Ниже приведена иллюстрация рекомендуемого набора политик с выносками шагов для работы, которую вы будете выполнять в Intune, и связанных политик условного доступа, которые вы поможете согласовать в Microsoft Entra ID.

Политики удостоверений и доступа к устройствам без доверия.

На этой иллюстрации:

  • На шаге 1 политики защиты приложений уровня 2 настраиваются в качестве рекомендуемого уровня защиты данных с помощью политик защиты приложений Intune. Затем вы работаете с командой удостоверений, чтобы настроить связанное правило условного доступа, чтобы требовать использования этой защиты.
  • На этапах 2, 3 и 4 необходимо зарегистрировать устройства для управления с помощью Intune, определить политики соответствия требованиям, а затем совместно с командой управления удостоверениями настроить соответствующее правило условного доступа, чтобы разрешать доступ только устройствам, которые соответствуют требованиям.

Регистрация и подключение устройств

Если вы будете следовать этому руководству, вы зарегистрировать устройства для управления с помощью Intune, а затем подключить устройства для следующих возможностей Microsoft 365:

  • Microsoft Defender для конечной точки
  • Microsoft Purview (для защиты от потери данных (DLP) в конечной точке)

Далее описан принцип работы при использовании Intune.

Процесс регистрации и подключения устройств.

На этом рисунке:

  1. Регистрация устройств в системе управления с использованием Intune.
  2. Используйте Intune для подключения устройств к Defender для конечной точки.
  3. Устройства, подключенные к Defender для конечной точки, также подключены к функциям Microsoft Purview, включая защиту от потери данных конечной точки.

Обратите внимание, что управляет устройствами только Intune. Под подключением подразумевается возможность устройства обмениваться информацией с определенной службой. В следующей таблице приведена сводка различий между регистрацией устройств для управления и подключением устройств к определенной службе.

  Регистрация Адаптация
Описание Регистрация относится к управлению устройствами. Устройства регистрируются для управления с помощью Intune или Configuration Manager. При подключении устройство настраивается для работы с определенным набором возможностей в Microsoft 365. В настоящее время подключение применяется к Microsoft Defender для конечной точки и возможностям для обеспечения соответствия требованиям Майкрософт.

На устройствах с Windows подключение включает переключение параметра в Защитнике Windows, который позволяет Defender подключаться к веб-службе и принимать политики, которые применяются к устройству.
Область Эти средства управления устройствами управляют всем устройством, включая настройку устройства для достижения определенных целей, например, по безопасности. Подключение влияет только на применимые службы.
Рекомендуемый способ Microsoft Entra присоединение автоматически регистрирует устройства в Intune. Рекомендуется использовать Intune для подключения устройств к Защитнику Windows для конечной точки, а также, следовательно, и для функций Microsoft Purview.

Устройства, подключенные к возможностям Microsoft Purview с помощью других методов, не регистрируются автоматически для Defender для конечной точки.
Другие методы Другие методы регистрации зависят от платформы устройства и от того, является ли оно BYOD или управляется вашей организацией. Другие методы подключения устройств, включают, в рекомендуемом порядке:
  • Configuration Manager
  • Другое средство управления мобильными устройствами (если устройство управляется таким средством)
  • Локальный сценарий
  • Пакет конфигурации VDI для подключения временных устройств инфраструктуры виртуальных рабочих столов (VDI)
  • Групповая политика
    		•

    Обучающие ресурсы для администраторов

    Следующие ресурсы помогают администраторам ознакомиться с основными понятиями об использовании Intune:

    • Упрощение управления устройствами с помощью модуля обучения Microsoft Intune

      Узнайте, как решения по управлению бизнесом через Microsoft 365 предоставляют пользователям безопасный и персонализированный интерфейс рабочего стола и помогают организациям легко управлять обновлениями для всех устройств с упрощенным интерфейсом администрирования.

    • Оценка Microsoft Intune

      Microsoft Intune помогает защитить устройства, приложения и данные, которые пользователи вашей организации используют для повышения производительности. В этой статье рассказывается, как настроить Microsoft Intune. Программа установки включает проверку поддерживаемых конфигураций, регистрацию Intune, добавление пользователей и групп, назначение лицензий пользователям, предоставление разрешений администратора и настройку центра мобильного Управление устройствами (MDM).

    Следующее действие

    Перейдите к шагу 1. Реализуйте политики защиты приложений.