Správa zabezpečení zařízení pomocí zásad zabezpečení koncových bodů v Microsoft Intune

Pomocí zásad zabezpečení Intune koncových bodů můžete spravovat nastavení zabezpečení na zařízeních. Každá zásada zabezpečení koncového bodu podporuje jeden nebo více profilů. Tyto profily se v zásadě podobají šabloně zásad konfigurace zařízení, logické skupině souvisejících nastavení.

Jako správce zabezpečení, který se zabývá zabezpečením zařízení, můžete použít tyto profily zaměřené na zabezpečení, abyste se vyhnuli režijním nákladům na profily konfigurace zařízení nebo standardní hodnoty zabezpečení. Profily konfigurace zařízení a standardní hodnoty zahrnují rozsáhlý soubor různých nastavení mimo rozsah zabezpečení koncových bodů. Naproti tomu každý profil zabezpečení koncového bodu se zaměřuje na konkrétní podmnožinu nastavení zařízení určených ke konfiguraci jednoho aspektu zabezpečení zařízení.

Pokud používáte zásady zabezpečení koncových bodů společně s jinými typy zásad, jako jsou standardní hodnoty zabezpečení nebo šablony ochrany koncových bodů ze zásad konfigurace zařízení, je důležité vytvořit plán pro používání více typů zásad, aby se minimalizovalo riziko konfliktních nastavení. Standardní hodnoty zabezpečení, zásady konfigurace zařízení a zásady zabezpečení koncových bodů jsou podle Intune považovány za stejné zdroje nastavení konfigurace zařízení. Ke konfliktu nastavení dojde, když zařízení obdrží dvě různé konfigurace pro nastavení z více zdrojů. Několik zdrojů může obsahovat samostatné typy zásad a více instancí stejné zásady.

Když Intune vyhodnocuje zásady pro zařízení a identifikuje konfliktní konfigurace nastavení, může se nastavení, které se týká, označit příznakem chyby nebo konfliktu a nepoužít. Každý typ zásad konfigurace podporuje identifikaci a řešení konfliktů v případě, že k nim dojde:

• Profily konfigurace zařízení
• Profily zabezpečení koncových bodů
• Výchozí hodnoty zabezpečení

Zásady zabezpečení koncových bodů najdete v části Spravovat v uzlu Zabezpečení koncového boduv Centru pro správu Microsoft Intune.

Následuje stručný popis jednotlivých typů zásad zabezpečení koncového bodu. Další informace o nich, včetně dostupných profilů pro každý z nich, najdete v odkazech na obsah vyhrazený pro jednotlivé typy zásad:

• Ochrana účtů – Zásady ochrany účtů pomáhají chránit identitu a účty vašich uživatelů. Zásady ochrany účtů se zaměřují na nastavení pro Windows Hello a Ochranu Credential Guard, která je součástí správy identit a přístupu windows.

• Antivirová ochrana – zásady antivirové ochrany pomáhají správcům zabezpečení soustředit se na správu samostatné skupiny nastavení antivirové ochrany pro spravovaná zařízení.

• Řízení aplikací pro firmy (Preview) – správa schválených aplikací pro zařízení s Windows pomocí zásad Řízení aplikací pro firmy a spravovaných instalačních programů pro Microsoft Intune. zásady Intune Řízení aplikací pro firmy jsou implementací Windows Defender Application Control (WDAC).

• Zmenšení potenciální oblasti útoku – Pokud se na vašich zařízeních Windows 10/11 používá antivirová ochrana Defenderu, použijte zásady zabezpečení Intune koncových bodů pro omezení potenciální oblasti útoku ke správě těchto nastavení pro vaše zařízení.

• Šifrování disků – Zabezpečení koncového bodu Profily šifrování disků se zaměřují jenom na nastavení, která jsou relevantní pro integrovanou metodu šifrování zařízení, jako je FileVault nebo BitLocker. Díky tomuto zaměření můžou správci zabezpečení snadno spravovat nastavení šifrování disků, aniž by museli procházet řadu nesouvisejících nastavení.

• Detekce a reakce koncových bodů – Když integrujete Microsoft Defender for Endpoint s Intune, použijte zásady zabezpečení koncových bodů pro detekci a odezvu koncových bodů (EDR) ke správě nastavení EDR a připojení zařízení k Microsoft Defender for Endpoint.

• Brána firewall – Pomocí zásady brány firewall zabezpečení koncového bodu v Intune nakonfigurujte integrovanou bránu firewall zařízení pro zařízení se systémem macOS a Windows 10/11.

Následující části se týkají všech zásad zabezpečení koncových bodů.

Vytvoření zásady zabezpečení koncového bodu

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. Vyberte Zabezpečení koncového bodu , pak vyberte typ zásady, kterou chcete nakonfigurovat, a pak vyberte Vytvořit zásadu. Vyberte si z následujících typů zásad:

   • Ochrana účtu
   • Antivirus
   • Řízení aplikací (Preview)
   • Omezení prostoru pro útok
   • Šifrování disku
   • Detekce a reakce koncového bodu
   • Brány firewall

3. Zadejte tyto vlastnosti:

   • Platforma: Zvolte platformu, pro kterou vytváříte zásady. Dostupné možnosti závisí na typu zásady, který vyberete.
   • Profil: Vyberte z dostupných profilů pro platformu, kterou jste vybrali. Informace o profilech najdete v části věnované zvolenému typu zásad v tomto článku.

4. Vyberte Vytvořit.

5. Na stránce Základy zadejte název a popis profilu a pak zvolte Další.

6. Na stránce Nastavení konfigurace rozbalte každou skupinu nastavení a nakonfigurujte nastavení, která chcete spravovat pomocí tohoto profilu.

   Po dokončení konfigurace nastavení vyberte Další.

7. Na stránce Značky oboru zvolte Vybrat značky oboru . Otevře se podokno Vybrat značky a přiřaďte značky oboru k profilu.

   Pokračujte výběrem možnosti Další .

8. Na stránce Přiřazení vyberte skupiny, které tento profil obdrží. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

   Vyberte Další.

9. Až budete na stránce Zkontrolovat a vytvořit hotovi, zvolte Vytvořit. Nový profil se zobrazí v seznamu, když vyberete typ zásady pro profil, který jste vytvořili.

Duplikování zásad

Zásady zabezpečení koncových bodů podporují duplikaci při vytváření kopie původní zásady. Scénář, kdy je duplikování zásad užitečné, je situace, kdy potřebujete přiřadit podobné zásady různým skupinám, ale nechcete ručně znovu vytvořit celou zásadu. Místo toho můžete původní zásadu duplikovat a pak zavést jenom změny, které nová zásada vyžaduje. Můžete změnit jenom konkrétní nastavení a skupinu, ke které jsou zásady přiřazené.

Při vytváření duplikátu dáte kopii nový název. Kopie se vytvoří se stejnými konfiguracemi nastavení a značkami oboru jako původní, ale nebude mít žádná přiřazení. Abyste mohli vytvořit přiřazení, budete muset později upravit novou zásadu.

Duplikování podporují následující typy zásad:

• Ochrana účtu
• Řízení aplikací (Preview)
• Antivirus
• Omezení prostoru pro útok
• Šifrování disku
• Detekce a reakce koncového bodu
• Brány firewall

Po vytvoření nové zásady zkontrolujte a upravte zásadu a proveďte změny její konfigurace.

Duplikování zásad

1. Přihlaste se do Centra pro správu Microsoft Intune.
2. Vyberte zásadu, kterou chcete zkopírovat. Pak vyberte Duplikovat nebo vyberte tři tečky (...) napravo od zásady a vyberte Duplikovat.
3. Zadejte Nový název zásady a pak vyberte Uložit.

Úprava zásady

1. Vyberte novou zásadu a pak vyberte Vlastnosti.
2. Výběrem možnosti Nastavení rozbalte seznam nastavení konfigurace v zásadách. V tomto zobrazení nemůžete nastavení změnit, ale můžete zkontrolovat, jak jsou nakonfigurovaná.
3. Pokud chcete zásadu upravit, vyberte Upravit pro každou kategorii, ve které chcete provést změnu:
   • Základy
   • Přiřazení
   • Značky oboru
   • Nastavení konfigurace
4. Po provedení změn vyberte Uložit a uložte úpravy. Úpravy jedné kategorie musí být uloženy před zahájením úprav v dalších kategoriích.

Správa konfliktů

Mnoho nastavení zařízení, která můžete spravovat pomocí zásad zabezpečení koncových bodů (zásady zabezpečení), je také k dispozici prostřednictvím jiných typů zásad v Intune. Mezi tyto další typy zásad patří zásady konfigurace zařízení a standardní hodnoty zabezpečení. Vzhledem k tomu, že nastavení je možné spravovat prostřednictvím několika různých typů zásad nebo více instancí stejného typu zásad, připravte se na identifikaci a řešení konfliktů zásad u zařízení, která nedodržují očekávané konfigurace.

• Standardní hodnoty zabezpečení můžou nastavit pro nastavení, které není výchozí, aby bylo v souladu s doporučenou konfigurací, kterou směrný plán řeší.
• Jiné typy zásad, včetně zásad zabezpečení koncových bodů, nastavují ve výchozím nastavení hodnotu Nenakonfigurováno . Tyto další typy zásad vyžadují, abyste v zásadách explicitně nakonfigurovali nastavení.

Bez ohledu na metodu zásad může správa stejného nastavení na stejném zařízení prostřednictvím více typů zásad nebo více instancí stejného typu zásad vést ke konfliktům, kterým byste se měli vyhnout.

Informace na následujících odkazech vám můžou pomoct identifikovat a vyřešit konflikty:

• Řešení potíží se zásadami a profily v Intune
• Monitorování standardních hodnot zabezpečení

Další kroky

Správa zabezpečení koncových bodů v Intune