Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Microsoft Intune pomáhá udržovat spravovaná zařízení zabezpečená a aktuální a zároveň chránit data vaší organizace před ohroženými zařízeními. Můžete řídit, co uživatelé dělají s daty organizace na spravovaných i nespravovaných zařízeních, a blokovat přístup k datům z potenciálně ohrožených zařízení.
Tento článek představuje integrované funkce zabezpečení Intune a partnerské technologie, které společně podporují nulová důvěra (nulová důvěra (Zero Trust)) řešení pro vaši organizaci. Jako přehled popisuje klíčové možnosti ochrany a odkazy na podrobnou dokumentaci ke konfiguraci a nasazení.
Intune se také dají integrovat s produkty třetích stran, které poskytují signály ochrany zařízení a ochrany před mobilními hrozbami (MTD).
Podpora platformy
V Centru pro správu Microsoft Intune Intune podporuje spravovaná zařízení se systémem:
- Android
- iOS/iPadOS
- Linux
- macOS
- Windows
Pokud navíc používáte Správce konfigurace ke správě místních zařízení, můžete na tato zařízení rozšířit zásady Intune prostřednictvím připojení nebo spolusprávy tenanta.
Nasazení zásad zabezpečení pro ochranu zařízení
Nasaďte zásady pro konfiguraci a vynucování zabezpečení na zaregistrovaných zařízeních. Následující typy zásad spolupracují na ochraně zařízení:
Zásady zabezpečení koncových bodů – Zaměřené zásady zabezpečení pro konkrétní oblasti ochrany:
- Ochrana účtu – Windows Hello pro firmy, Credential Guard a Windows LAPS
- Antivirová ochrana – konfigurace a vyloučení antivirové ochrany Microsoft Defender
- Řízení aplikací pro firmy – seznam povolených aplikací pomocí Řízení aplikací v programu Windows Defender
- Omezení potenciální oblasti útoku – Omezení ohrožení zabezpečení zneužití a vektorů útoku
- Šifrování disků – BitLocker, PDE (Personal Data Encryption) a FileVault
- Detekce koncových bodů a reakce na ně – onboarding Microsoft Defender for Endpoint
- Brána firewall – Ochrana sítě a pravidla brány firewall
Zásady konfigurace zařízení – širší nastavení zařízení, včetně ochrany koncových bodů, certifikátů, aktualizací softwaru a sítě VPN. Použijte, když potřebujete zkombinovat nastavení zabezpečení s konfigurací funkcí zařízení.
Zásady dodržování předpisů zařízením – Definujte požadavky na zařízení, jako jsou verze operačního systému, stav šifrování a úrovně hrozeb. Zařízení nedodržující předpisy aktivují upozornění a v kombinaci s podmíněným přístupem se můžou zablokovat z prostředků organizace.
Klíčové možnosti zabezpečení
Pomocí těchto zásad je možné spravovat následující oblasti zabezpečení:
Ověřování a identita
- Certifikáty – Nasaďte certifikáty pomocí profilů SCEP a PKCS nebo použijte cloudovou infrastrukturu veřejných klíčů Microsoftu pro zjednodušenou cloudovou správu certifikátů bez místní infrastruktury. Nakonfigurujte odvozené přihlašovací údaje pro scénáře čipových karet.
- Moderní ověřování – Povolte Windows Hello pro firmy pro přihlašování bez hesla. Nakonfigurujte jednotné přihlašování platformy pro macOS za účelem posílení ověřování napříč aplikacemi a službami.
- Vícefaktorové ověřování – Pomocí Microsoft Entra podmíněného přístupu můžete vyžadovat vícefaktorové ověřování a pomocí Intune podle potřeby nakonfigurovat PIN a heslo zařízení a další nastavení související s přihlášením.
Šifrování dat
- Windows – Nasaďte nástroj BitLocker pro šifrování celého disku a šifrování osobních dat (PDE) pro šifrování na úrovni souborů na Windows 11.
- macOS – Správa funkce FileVault pro úplné šifrování disku
Aktualizace softwaru – řídí, kdy a jak zařízení přijímají aktualizace:
- Android - Aktualizace FOTA pro firmware OEM, Zebra LifeGuard OTA pro zařízení Zebra.
- iOS/iPadOS a macOS - Nakonfigurujte zásady aktualizací pro správu verzí operačního systému a plánů aktualizací.
- Windows – Nakonfigurujte chování služba služba Windows Update, naplánujte aktualizace a udržujte dodržování předpisů aktualizací funkcí.
Řízení aplikací – Pomocí zásad Řízení aplikací pro firmy můžete definovat, které aplikace se můžou spouštět na zařízeních s Windows.
Omezení potenciální oblasti útoku – Nasaďte zásady ASR , abyste snížili ohrožení zabezpečení prostřednictvím ochrany před zneužitím, řízení zařízení, izolace aplikací a pravidel ASR.
Standardní hodnoty zabezpečení – Nasaďte předkonfigurované standardní hodnoty zabezpečení pro zařízení s Windows, Microsoft Edge a Microsoft Defender for Endpoint, které odpovídají doporučením bezpečnostního týmu Microsoftu.
Zabezpečení sítě
- Profily VPN – Nakonfigurujte připojení VPN pro zabezpečený vzdálený přístup k prostředkům organizace.
- Zásady brány firewall – Umožňuje spravovat integrovanou ochranu bránou firewall na zařízeních s Windows a macOS.
Správa privilegovaného přístupu
- Windows LAPS – správa hesel místních správců pomocí automatické obměny a zabezpečeného zálohování do služby služba Active Directory nebo Microsoft Entra.
- Správa oprávnění Endpoint – spouštět uživatele jako standardní účty a zároveň povolovat zvýšení oprávnění pro schválené aplikace.
Ochrana dat pomocí zásad ochrany aplikací
Chraňte data organizace na aplikační vrstvě pomocí zásad ochrany aplikací s Intune spravovanými aplikacemi. Tato ochrana funguje na zaregistrovaných i nezaregistrovaných zařízeních a podporuje scénáře přineste si vlastní zařízení (BYOD).
Intune spravované aplikace integrují sadu Intune App SDK nebo používají Intune App Wrapping Tool. Seznam podporovaných aplikací najdete v tématu Intune chráněných aplikací.
Pokud vyžadujete spravované aplikace (například pomocí zásad podmíněného přístupu založených na aplikacích), můžou uživatelé přistupovat k datům organizace jenom prostřednictvím těchto spravovaných aplikací, zatímco osobní data zůstanou nedotčena.
Klíčové možnosti zásad ochrany aplikací:
- Vyžadovat pin nebo biometrické ověřování pro přístup k datům organizace.
- Blokovat kopírování/vkládání, snímky obrazovky a přenos dat do nespravovaných aplikací
- Zabraňte ukládání dat organizace do osobního úložiště.
- Vynucujte šifrování neaktivních uložených dat organizace.
- Data organizace můžete vzdáleně vymazat, když dojde ke ztrátě zařízení nebo když uživatelé odejdou.
Použití akcí zařízení k ochraně zařízení a dat
Spusťte okamžité akce zařízení , které reagují na incidenty zabezpečení nebo udržují zabezpečení zařízení. Na rozdíl od zásad, které udržují průběžné konfigurace, se akce zařízení při vyvolání spouštějí jednou. Akce se projeví okamžitě u online zařízení nebo při příštím ohlášení přítomnosti u offline zařízení. Hromadné akce zařízení můžou cílit na více zařízení současně.
Běžné akce zabezpečení:
- Vzdálené uzamčení – vzdálené uzamčení zařízení, aby se zabránilo neoprávněnému přístupu.
- Vymazání – obnovení továrního nastavení zařízení, odebrání všech dat a nastavení
- Vyřazení – Odebere data organizace při zachování osobních dat.
- Obměna klíčů nástroje BitLocker (Windows) – Obměna šifrovacích klíčů pro lepší zabezpečení.
- Antivirová kontrola (Windows) – spustí úplné nebo rychlé kontroly malwaru.
- Aktualizace inteligentních funkcí Defenderu – Aktualizujte definice hrozeb.
- Zakázat zámek aktivace (iOS/iPadOS) – Odeberte zámek aktivace pro opakované použití zařízení.
Tyto akce jsou k dispozici také pro zařízení spravovaná prostřednictvím Správce konfigurace při použití spolusprávy nebo připojení tenanta.
Integrace s partnerskými technologiemi
Rozšiřte možnosti ochrany Intune prostřednictvím integrace s technologiemi Microsoftu a partnery třetích stran.
Partneři pro dodržování předpisů
Integrujte data o dodržování předpisů zařízením z řešení MDM třetích stran s Microsoft Entra ID. To umožňuje organizacím se smíšeným prostředím pro správu vynucovat jednotné zásady podmíněného přístupu na všech zařízeních bez ohledu na to, které řešení MDM je spravuje.
Správce konfigurace
Rozšiřte cloudové zásady zabezpečení Intune na místní a hybridní spravovaná zařízení prostřednictvím spolusprávy nebo připojení tenanta. Tato integrace poskytuje jednotné prostředí pro správu pro organizace, které přecházejí na správu cloudu nebo udržují hybridní infrastrukturu:
- Spoluspráva – umožňuje souběžnou správu zařízení s Windows pomocí Správce konfigurace i Intune pomocí posuvníků úloh, které určují, která služba spravuje konkrétní možnosti.
- Připojení tenanta – Umožňuje synchronizovat Správce konfigurace zařízení s Centrem pro správu Microsoft Intune pro centralizovanou viditelnost a správu.
Oba přístupy umožňují Intune zásady zabezpečení na Správce konfigurace zařízeních, včetně zásad zabezpečení koncových bodů, zásad dodržování předpisů, nasazení certifikátů (SCEP/PKCS) a standardních hodnot zabezpečení. Tím se vytvoří konzistentní stav zabezpečení napříč cloudovými a místními spravovanými zařízeními.
Ochrana před mobilními hrozbami
Partneři pro ochranu před mobilními hrozbami (MTD) rozšiřují detekci hrozeb nad rámec integrovaných možností Microsoftu tím, že hledají hrozby na úrovni zařízení, síťové hrozby, hrozby založené na aplikacích a pokusy o phishing. Aplikace MTD průběžně vyhodnocují rizika zařízení a hlásí úrovně hrozeb Intune, což umožňuje rozhodování o přístupu na základě rizik prostřednictvím zásad dodržování předpisů, zásad ochrany aplikací a podmíněného přístupu.
U zaregistrovaných zařízení Intune nasazuje a spravuje aplikace MTD při používání jejich posouzení úrovně hrozeb při vyhodnocování dodržování předpisů zařízením. Zařízením překračujícím prahové hodnoty přijatelného rizika je možné zablokovat přístup k prostředkům organizace, dokud se hrozby nenapraví.
U nezaregistrovaných zařízení ve scénářích BYOD úrovně hrozeb MTD informují rozhodnutí o zásadách ochrany aplikací a blokují přístup k datům organizace ve spravovaných aplikacích, když je riziko zařízení příliš vysoké.
Intune podporuje Microsoft Defender for Endpoint s rozšířenými možnostmi integrace a několik partnerů MTD třetích stran, aby vyhovovaly různým požadavkům na zabezpečení.
Microsoft Defender for Endpoint
Microsoft Defender for Endpoint se hluboce integruje s Intune v systémech Windows, macOS, Linux, Android a iOS/iPadOS a vytváří jednotnou platformu zabezpečení, která kombinuje správu zařízení s pokročilou ochranou před hrozbami. Tato integrace umožňuje:
- Analýza hrozeb a posouzení rizik – průběžná detekce hrozeb a skóre rizik zařízení v Defenderu se teče přímo do zásad dodržování předpisů a rozhodnutí o podmíněném přístupu Intune, což umožňuje dynamické řízení přístupu na základě rizik.
- Vylepšená správa zabezpečení koncových bodů – Konfigurace a nasazení funkcí Defenderu prostřednictvím zásad Intune, včetně nastavení antivirové ochrany, onboardingu EDR, pravidel omezení potenciální oblasti útoku, ochrany před neoprávněnou manipulací, webové ochrany a řízení zařízení
- Správa - ohrožení zabezpečeníÚlohy zabezpečení vytvoří pracovní postup pro spolupráci, kde Threat and Vulnerability Management Defenderu identifikuje riziková zařízení a poskytuje pokyny k nápravě, se kterými můžou správci Intune pracovat přímo.
- Microsoft Tunnel – Defender for Endpoint slouží jako klient VPN pro Tunel Microsoft na zařízeních s Androidem a poskytuje zabezpečený vzdálený přístup bez nutnosti samostatného licencování Defenderu.
Podmíněný přístup
Podmíněný přístup je funkce Microsoft Entra, která slouží jako modul vynucení zásad nulová důvěra (nulová důvěra (Zero Trust)) přístupu. Vyhodnocuje signály z Intune a dalších zdrojů a rozhoduje o přístupu v reálném čase a pomáhá zajistit, aby k prostředkům organizace měli přístup jenom důvěryhodní uživatelé na vyhovujících zařízeních.
Podmíněný přístup vyhodnocuje více signálů:
- Stav dodržování předpisů zařízením ze zásad Intune
- Úrovně rizik zařízení od partnerů Microsoft Defender for Endpoint a MTD
- Riziko uživatelů a riziko přihlášení z Microsoft Entra ID Protection
- Poloha, platforma zařízení a aplikace, ke které se přistupuje
Podmíněný přístup s Intune umožňuje:
- Zásady založené na zařízení – Před přístupem k prostředkům organizace vyžadovat, aby zařízení splňovala požadavky na dodržování předpisů.
- Zásady založené na aplikacích – Zajistěte, aby k Microsoftu 365 a dalším službám mohly přistupovat jenom aplikace chráněné Intune zásadami ochrany aplikací.
- Přístup na základě rizik – Dynamicky upravujte požadavky na přístup na základě analýzy hrozeb v reálném čase od partnerů Defenderu a MTD.
Podmíněný přístup funguje na spravovaných i nespravovaných zařízeních a pomáhá vytvořit vrstvu řízení přístupu, která se přizpůsobí měnícím se podmínkám hrozeb.
Přidat Správa oprávnění Endpoint
Správa oprávnění Endpoint (EPM) vynucuje přístup s nejnižšími oprávněními pro uživatele Windows tím, že je spouští jako standardní uživatelé a zároveň umožňuje dočasné zvýšení oprávnění pro schválené aplikace. Tento přístup snižuje prostor pro útoky tím, že zabraňuje paušálnímu přístupu pro správu.
Jak EPM funguje:
- Uživatelé se ve výchozím nastavení spouštějí jako standardní účty.
- Pravidla zvýšení oprávnění definují, které aplikace můžou běžet se zvýšenými oprávněními.
- Aplikace se ověřují pomocí hodnot hash souborů, certifikátů nebo jiných kritérií.
- Běžné scénáře se zvýšenými oprávněními: instalace aplikací, aktualizace ovladačů, diagnostika Windows.
Poznámka
EPM je Microsoft Intune pokročilá funkce pro zařízení s Windows a vyžaduje další licencování nad rámec Microsoft Intune.
Další kroky
Vytvořte stav zabezpečení pomocí Intune:
- Plánování přístupu – projděte si nulová důvěra (nulová důvěra (Zero Trust)) pokyny k zabezpečení Intune.
- Konfigurace zabezpečení koncových bodů – Začněte se zásadami zabezpečení koncových bodů pro konfigurace zabezpečení zaměřené na zabezpečení.
- Implementace dodržování předpisů – Nasaďte zásady dodržování předpisů zařízením a podmíněný přístup.
- Ochrana dat – Nakonfigurujte zásady ochrany aplikací pro data organizace.
- Monitorování a údržba – Přečtěte si o zabezpečení a sdílení dat v Intune.