إدارة الأجهزة باستخدام نظرة عامة على Intune

يتضمن المكون الأساسي للأمان على مستوى المؤسسة إدارة الأجهزة وحمايتها. سواء كنت تقوم ببناء بنية أمان ثقة معدومة، أو تقوية بيئتك ضد برامج الفدية الضارة، أو البناء في حماية لدعم العمال عن بعد، فإن إدارة الأجهزة هي جزء من الاستراتيجية. بينما يتضمن Microsoft 365 العديد من الأدوات والمنهجيات لإدارة الأجهزة وحمايتها، يستعرض هذا التوجيه توصيات Microsoft باستخدام Microsoft Intune. هذا هو التوجيه المناسب لك إذا كنت:

  • خطط لتسجيل الأجهزة في Intune من خلال Microsoft Entra الانضمام (بما في ذلك Microsoft Entra الصلة المختلطة).
  • خطط لتسجيل الأجهزة يدويا في Intune.
  • السماح لأجهزة BYOD مع خطط لتنفيذ الحماية للتطبيقات والبيانات و/أو تسجيل هذه الأجهزة في Intune.

من ناحية أخرى، إذا كانت بيئتك تتضمن خططا للإدارة المشتركة بما في ذلك Microsoft Configuration Manager، فشاهد وثائق الإدارة المشتركة لتطوير أفضل مسار لمؤسستك. إذا كانت بيئتك تتضمن خططا الكمبيوتر السحابي لـ Windows 365، فشاهد وثائق Windows 365 Enterprise لتطوير أفضل مسار لمؤسستك.

شاهد هذا الفيديو للحصول على نظرة عامة على عملية التوزيع.

لماذا تدير نقاط النهاية؟

تمتلك المؤسسة الحديثة تنوعا لا يصدق من نقاط النهاية التي تصل إلى بياناتها. ينشئ هذا الإعداد سطح هجوم ضخم، ونتيجة لذلك، يمكن أن تصبح نقاط النهاية بسهولة الحلقة الأضعف في استراتيجية الأمان ثقة معدومة الخاصة بك.

مدفوعا في الغالب بالضرورة مع تحول العالم إلى نموذج عمل بعيد أو مختلط، يعمل المستخدمون من أي مكان، من أي جهاز، أكثر من أي وقت في التاريخ. يقوم المهاجمون بسرعة بتعديل تكتيكاتهم للاستفادة من هذا التغيير. تواجه العديد من المؤسسات موارد مقيدة أثناء تنقلها في تحديات الأعمال الجديدة هذه. بين عشية وضحاها تقريبا، سارعت الشركات إلى التحول الرقمي. ببساطة، تغيرت طريقة عمل الأشخاص - لم نعد نتوقع الوصول إلى عدد لا يحصى من موارد الشركات فقط من المكتب وعلى الأجهزة المملوكة للشركة.

يعد الحصول على رؤية لنقاط النهاية التي تصل إلى موارد شركتك الخطوة الأولى في استراتيجية جهاز ثقة معدومة. عادة ما تكون الشركات استباقية في حماية أجهزة الكمبيوتر من الثغرات الأمنية والهجمات بينما غالبا ما تمر الأجهزة المحمولة دون مراقبة وبدون حماية. للتأكد من أنك لا تعرض بياناتك للخطر، نحتاج إلى مراقبة كل نقطة نهاية للمخاطر واستخدام عناصر تحكم وصول دقيقة لتقديم المستوى المناسب من الوصول استنادا إلى السياسة التنظيمية. على سبيل المثال، إذا كان الجهاز الشخصي مخترقا، يمكنك حظر الوصول للتأكد من عدم تعرض تطبيقات المؤسسة لثغرات أمنية معروفة.

تتناول هذه السلسلة من المقالات عملية موصى بها لإدارة الأجهزة التي تصل إلى مواردك. إذا اتبعت الخطوات الموصى بها، فستحقق مؤسستك حماية متطورة جدا لأجهزتك والموارد التي تصل إليها.

تنفيذ طبقات الحماية على الأجهزة و ل

تعد حماية البيانات والتطبيقات على الأجهزة والأجهزة نفسها عملية متعددة الطبقات. هناك بعض الحماية التي يمكنك الحصول عليها على الأجهزة غير المدارة. بعد تسجيل الأجهزة في الإدارة، يمكنك تنفيذ عناصر تحكم أكثر تعقيدا. عند نشر الحماية من التهديدات عبر نقاط النهاية الخاصة بك، يمكنك الحصول على مزيد من الرؤى والقدرة على معالجة بعض الهجمات تلقائيا. وأخيرا، إذا وضعت مؤسستك العمل في تحديد البيانات الحساسة، وتطبيق التصنيف والتسميات، وتكوين نهج منع فقدان بيانات Microsoft Purview، يمكنك الحصول على حماية أكثر دقة للبيانات على نقاط النهاية الخاصة بك.

يوضح الرسم التخطيطي التالي كتل الإنشاء لتحقيق وضع أمان ثقة معدومة ل Microsoft 365 وتطبيقات SaaS الأخرى التي تقدمها لهذه البيئة. يتم ترقيم العناصر المتعلقة بالأجهزة من 1 إلى 7. هذه هي طبقات مسؤولي جهاز الحماية التي سينسقونها مع المسؤولين الآخرين لإنجازها.

مكدس توزيع ثقة معدومة Microsoft 365

في هذا الرسم التوضيحي:

  خطوه الوصف متطلبات الترخيص
1 تكوين نقطة البداية ثقة معدومة الهوية ونهج الوصول إلى الجهاز اعمل مع مسؤول الهوية لتنفيذ حماية بيانات نهج حماية التطبيقات (APP) من المستوى 2. لا تتطلب هذه النهج إدارة الأجهزة. يمكنك تكوين نهج التطبيق في Intune. يقوم مسؤول الهوية بتكوين نهج الوصول المشروط لطلب التطبيقات المعتمدة. E3 وE5 وF1 وF3 وF5
2 تسجيل الأجهزة في Intune تتطلب هذه المهمة المزيد من التخطيط والوقت لتنفيذها. توصي Microsoft باستخدام Intune لتسجيل الأجهزة لأن هذه الأداة توفر التكامل الأمثل. هناك العديد من الخيارات لتسجيل الأجهزة، اعتمادا على النظام الأساسي. على سبيل المثال، يمكن تسجيل أجهزة Windows باستخدام Microsoft Entra الانضمام أو باستخدام Autopilot. تحتاج إلى مراجعة الخيارات لكل نظام أساسي وتحديد خيار التسجيل الأفضل لبيئتك. راجع الخطوة 2. تسجيل الأجهزة في Intune لمزيد من المعلومات. E3 وE5 وF1 وF3 وF5
3 تكوين نهج التوافق تريد التأكد من أن الأجهزة التي تصل إلى تطبيقاتك وبياناتك تفي بالحد الأدنى من المتطلبات، على سبيل المثال، الأجهزة محمية بكلمة مرور أو تثبيت محمية ونظام التشغيل محدث. نهج التوافق هي طريقة لتحديد المتطلبات التي يجب أن تفي بها الأجهزة. الخطوة 3. يساعدك إعداد نهج التوافق على تكوين هذه النهج. E3، E5، F3، F5
4 تكوين نهج الوصول إلى الهوية والوصول إلى الجهاز للمؤسسة (مستحسن) ثقة معدومة الآن بعد أن تم تسجيل أجهزتك، يمكنك العمل مع مسؤول الهوية لضبط نهج الوصول المشروط لطلب أجهزة صحية ومتوافقة. E3، E5، F3، F5
5 توزيع ملفات تعريف التكوين بدلا من نهج توافق الجهاز التي تقوم ببساطة بوضع علامة على الجهاز على أنه متوافق أو لا تستند إلى المعايير التي تقوم بتكوينها، فإن ملفات تعريف التكوين تغير بالفعل تكوين الإعدادات على الجهاز. يمكنك استخدام نهج التكوين لتقوية الأجهزة ضد التهديدات الإلكترونية. راجع الخطوة 5. نشر ملفات تعريف التكوين. E3، E5، F3، F5
6 مراقبة مخاطر الجهاز وتوافقه مع خطوط الأمان الأساسية في هذه الخطوة، يمكنك توصيل Intune Microsoft Defender لنقطة النهاية. باستخدام هذا التكامل، يمكنك بعد ذلك مراقبة مخاطر الجهاز كشرط للوصول. سيتم حظر الأجهزة التي تم العثور عليها في حالة خطرة. يمكنك أيضا مراقبة التوافق مع خطوط الأمان الأساسية. راجع الخطوة 6. مراقبة مخاطر الجهاز والامتثال لأساسيات الأمان. E5، F5
7 تنفيذ تفادي فقدان البيانات (DLP) مع قدرات حماية المعلومات إذا وضعت مؤسستك العمل في تحديد البيانات الحساسة ومستندات التسمية، فيمكنك العمل مع مسؤول حماية المعلومات لحماية المعلومات والمستندات الحساسة على أجهزتك. الوظيفة الإضافية لتوافق E5 وF5

تنسيق إدارة نقطة النهاية مع نهج الوصول إلى الهوية والأجهزة ثقة معدومة

يتم تنسيق هذه الإرشادات بإحكام مع نهج الهوية ثقة معدومة والوصول إلى الجهاز الموصى بها. ستعمل مع فريق الهوية الخاص بك لتنفيذ الحماية التي تقوم بتكوينها باستخدام Intune في نهج الوصول المشروط في معرف Microsoft Entra.

فيما يلي رسم توضيحي لمجموعة النهج الموصى بها مع وسائل شرح الخطوة للعمل الذي ستقوم به في Intune ونهج الوصول المشروط ذات الصلة التي ستساعد في التنسيق في معرف Microsoft Entra.

نهج الوصول إلى الهوية والأجهزة ثقة معدومة

في هذا الرسم التوضيحي:

  • في الخطوة 1، قم بتنفيذ نهج حماية التطبيقات من المستوى 2 (APP) التي تقوم بتكوين المستوى الموصى به لحماية البيانات باستخدام نهج التطبيق. ثم تعمل مع فريق الهوية الخاص بك لتكوين قاعدة الوصول المشروط ذات الصلة لطلب استخدام هذه الحماية.
  • في الخطوات 2 و3 و4، يمكنك تسجيل الأجهزة في الإدارة باستخدام Intune، وتحديد نهج توافق الجهاز، ثم التنسيق مع فريق الهوية الخاص بك لتكوين قاعدة الوصول المشروط ذات الصلة للسماح فقط بالوصول إلى الأجهزة المتوافقة.

تسجيل الأجهزة مقابل أجهزة الإلحاق

إذا اتبعت هذه الإرشادات، فستسجل الأجهزة في الإدارة باستخدام Intune وستلحق الأجهزة بقدرات Microsoft 365 التالية:

  • Microsoft Defender for Endpoint
  • Microsoft Purview (لمنع فقدان بيانات نقطة النهاية (DLP))

يوضح الرسم التوضيحي التالي تفاصيل كيفية عمل هذا باستخدام Intune.

عملية تسجيل الأجهزة وإلحاقها

في الرسم التوضيحي:

  1. تسجيل الأجهزة في الإدارة باستخدام Intune.
  2. استخدم Intune لإلحاق الأجهزة ب Defender لنقطة النهاية.
  3. يتم أيضا إلحاق الأجهزة التي تم إلحاقها ب Defender لنقطة النهاية لميزات Microsoft Purview، بما في ذلك Endpoint DLP.

لاحظ أن Intune فقط هو الذي يدير الأجهزة. يشير الإعداد إلى قدرة الجهاز على مشاركة المعلومات مع خدمة معينة. يلخص الجدول التالي الاختلافات بين تسجيل الأجهزة في أجهزة الإدارة وإلحاقها لخدمة معينة.

  تسجيل Onboard
الوصف ينطبق التسجيل على إدارة الأجهزة. يتم تسجيل الأجهزة للإدارة باستخدام Intune أو Configuration Manager. يقوم الإعداد بتكوين جهاز للعمل مع مجموعة معينة من الإمكانات في Microsoft 365. حاليا، ينطبق الإعداد على قدرات التوافق Microsoft Defender لنقطة النهاية وMicrosoft.

على أجهزة Windows، يتضمن الإعداد تبديل إعداد في Windows Defender يسمح ل Defender بالاتصال بالخدمة عبر الإنترنت وقبول النهج التي تنطبق على الجهاز.
نطاق تدير أدوات إدارة الأجهزة هذه الجهاز بأكمله، بما في ذلك تكوين الجهاز لتحقيق أهداف محددة، مثل الأمان. يؤثر الإعداد فقط على الخدمات التي تنطبق.
الأسلوب الموصى به يقوم Microsoft Entra الانضمام تلقائيا بتسجيل الأجهزة في Intune. Intune هو الأسلوب المفضل لإلحاق الأجهزة ب Windows Defender لنقطة النهاية، وبالتالي إمكانات Microsoft Purview.

لاحظ أن الأجهزة التي تم إلحاقها بإمكانيات Microsoft Purview باستخدام أساليب أخرى لا يتم تسجيلها تلقائيا ل Defender لنقطة النهاية.
طرق أخرى تعتمد طرق التسجيل الأخرى على النظام الأساسي للجهاز وما إذا كان BYOD أو تديره مؤسستك. تتضمن الطرق الأخرى لإلحاق الأجهزة بالترتيب الموصى به:
  • إدارة التكوين
  • أداة أخرى لإدارة الأجهزة المحمولة (إذا كان الجهاز مدارا بواسطة واحدة)
  • البرنامج النصي المحلي
  • حزمة تكوين VDI لإلحاق أجهزة البنية الأساسية لسطح المكتب الظاهري (VDI) غير المستمرة
  • نهج المجموعة
  • تعلم المسؤولين

    تساعد الموارد التالية المسؤولين على تعلم مفاهيم حول استخدام Intune.

    تبسيط إدارة الأجهزة باستخدام Microsoft Intune الوصف: تعرف على الإدارة الحديثة ومجموعة Microsoft Intune من المنتجات، وكيف يمكن أن تبسط أدوات إدارة الأعمال في Microsoft 365 إدارة جميع أجهزتك.

    إعداد وصف Microsoft Intune: يساعدك Microsoft Intune على حماية الأجهزة والتطبيقات والبيانات التي يستخدمها الأشخاص في مؤسستك لكي يكونوا منتجين. بعد الانتهاء من هذه الوحدة النمطية، ستكون قد قمت بإعداد Microsoft Intune. يتضمن الإعداد مراجعة التكوينات المدعومة، والاعداد ل Intune، وإضافة المستخدمين والمجموعات، وتعيين التراخيص للمستخدمين، ومنح أذونات المسؤول، وإعداد سلطة MDM.