الخطوة 5. توزيع ملفات تعريف الأجهزة في Microsoft Intune
يتضمن Microsoft Intune الإعدادات والميزات التي يمكنك تمكينها أو تعطيلها على أجهزة مختلفة داخل مؤسستك. تتم إضافة هذه الإعدادات والميزات إلى "ملفات تعريف التكوين". يمكنك إنشاء ملفات تعريف لأجهزة مختلفة ومنصات مختلفة، بما في ذلك iOS/iPadOS ومسؤول جهاز Android وAndroid Enterprise وWindows. ثم استخدم Intune لتطبيق ملف التعريف على الأجهزة أو "تعيينه".
توفر هذه المقالة إرشادات حول بدء استخدام ملفات تعريف التكوين.
تمنحك ملفات تعريف التكوين القدرة على تكوين حماية مهمة وإضفاء التوافق على الأجهزة حتى تتمكن من الوصول إلى مواردك. في السابق، تم تكوين هذه الأنواع من تغييرات التكوين باستخدام إعدادات نهج المجموعة في خدمات مجال Active Directory. تتضمن استراتيجية الأمان الحديثة نقل عناصر التحكم الأمنية إلى السحابة حيث لا يعتمد فرض عناصر التحكم هذه على الموارد المحلية والوصول. Intune ملفات تعريف التكوين هي طريقة لنقل عناصر التحكم في الأمان هذه إلى السحابة.
لمنحك فكرة عن نوع ملفات تعريف التكوين التي يمكنك إنشاؤها، راجع تطبيق الميزات والإعدادات على أجهزتك باستخدام ملفات تعريف الأجهزة في Microsoft Intune.
توزيع خطوط أساس أمان Windows Intune
كنقطة بداية، إذا كنت تريد محاذاة تكوينات جهازك مع أساسات أمان Microsoft، نوصي بخطوط أساس الأمان داخل Microsoft Intune. تتمثل ميزة هذا النهج في أنه يمكنك الاعتماد على Microsoft للحفاظ على تحديث الخطوط الأساسية عند إصدار Windows 10 و11 ميزة.
لتوزيع خطوط أمان Windows الأساسية Intune، متوفرة Windows 10 Windows 11. راجع استخدام خطوط أساس الأمان لتكوين أجهزة Windows في Intune للتعرف على الخطوط الأساسية المتوفرة.
في الوقت الحالي، ما عليك سوى توزيع أساس أمان MDM الأنسب. راجع إدارة ملفات تعريف أساس الأمان في Microsoft Intune لإنشاء ملف التعريف واختيار إصدار الأساس.
لاحقا، عند إعداد Microsoft Defender لنقطة النهاية واتصال Intune، انشر خطوط أساس Defender لنقطة النهاية. يتم تناول هذا الموضوع في المقالة التالية في هذه السلسلة: الخطوة 6. مراقبة مخاطر الجهاز والامتثال لأساسيات الأمان.
من المهم أن نفهم أن خطوط الأمان الأساسية هذه ليست متوافقة مع CIS أو NIST ولكنها تعكس توصياتها بشكل وثيق. لمزيد من المعلومات، راجع هل أساسات الأمان Intune CIS أو NIST متوافقة؟
تخصيص ملفات تعريف التكوين لمؤسستك
بالإضافة إلى نشر الخطوط الأساسية المكونة مسبقا، تقوم العديد من المؤسسات على نطاق المؤسسة بتنفيذ ملفات تعريف التكوين لمزيد من التحكم الدقيق. يساعد هذا التكوين على تقليل التبعية على كائنات نهج المجموعة في بيئة Active Directory محلي ونقل عناصر التحكم في الأمان إلى السحابة.
يمكن تجميع العديد من الإعدادات التي يمكنك تكوينها باستخدام ملفات تعريف التكوين في أربع فئات، كما هو موضح أدناه.
يصف الجدول التالي الرسم التوضيحي.
| الفئة | الوصف | أمثلة |
|---|---|---|
| ميزات الجهاز | يتحكم في الميزات على الجهاز. تنطبق هذه الفئة فقط على أجهزة iOS/iPadOS وmacOS. | Airprint، الإعلامات، رسائل شاشة التأمين |
| قيود الجهاز | التحكم في الأمان والأجهزة ومشاركة البيانات والمزيد من الإعدادات على الأجهزة | طلب رقم التعريف الشخصي (PIN) وتشفير البيانات |
| تكوين الوصول | تكوين جهاز للوصول إلى موارد مؤسستك | ملفات تعريف البريد الإلكتروني وملفات تعريف VPN وإعدادات Wi-Fi والشهادات |
| المخصصه | تعيين التكوين المخصص أو تنفيذ إجراءات التكوين المخصصة | تعيين إعدادات الشركة المصنعة للمعدات الأصلية وتنفيذ البرامج النصية PowerShell |
عند تخصيص ملفات تعريف التكوين لمؤسستك، استخدم الإرشادات التالية:
- قم بتبسيط استراتيجية حوكمة الأمان الخاصة بك من خلال الحفاظ على العدد الإجمالي للنهج صغيرا.
- قم بتجميع الإعدادات في الفئات المذكورة أعلاه، أو الفئات المنطقية لمؤسستك.
- عند نقل عناصر التحكم في الأمان من نهج المجموعة Objects (GPO) إلى ملفات تعريف التكوين Intune، ضع في اعتبارك ما إذا كانت الإعدادات التي تم تكوينها بواسطة كل عنصر نهج مجموعة لا تزال ذات صلة، وتحتاج إلى المساهمة في استراتيجية أمان السحابة الشاملة. يوفر الوصول المشروط والعديد من النهج التي يمكن تكوينها عبر الخدمات السحابية، بما في ذلك Intune، حماية أكثر تعقيدا مما يمكن تكوينه في بيئة محلية حيث تم تصميم عناصر نهج المجموعة المخصصة في الأصل.
- استخدم نهج المجموعة Analytics لمقارنة إعدادات عنصر نهج المجموعة الحالية وتعيينها إلى الإمكانات داخل Microsoft Intune. راجع تحليل عناصر نهج المجموعة المحلية (GPO) باستخدام تحليلات نهج المجموعة في Microsoft Intune.
- عند استخدام ملفات تعريف التكوين المخصصة، تأكد من استخدام الإرشادات هنا: إنشاء ملف تعريف بإعدادات مخصصة في Intune.
موارد إضافية
إذا لم تكن متأكدا من مكان البدء بملفات تعريف الأجهزة، يمكن أن يساعد ما يلي:
إذا كانت بيئتك تتضمن عناصر نهج المجموعة الداخلية، فإن الميزات التالية هي انتقال جيد إلى السحابة:
الخطوة التالية
انتقل إلى الخطوة 6. مراقبة مخاطر الجهاز والامتثال لأساسيات الأمان.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ