Konfigurace Microsoft Intune pro zvýšení zabezpečení (Preview)

Doporučení k zabezpečení v tomto dokumentu jsou navržená tak, aby vám pomohla zlepšit stav zabezpečení vaší organizace pomocí Microsoft Intune. Tato doporučení jsou ovlivněna uznávanými oborovými standardy, jako jsou standardy vyvinuté nist, standardními hodnotami konfigurace, které interně používáme v Microsoftu, a našimi zkušenostmi se zákazníky. Doporučení v tomto článku pro Intune se zaměřují na zařízení, ale řídí se následujícími pilíři iniciativy Microsoft Secure Future Initiative:

• Ochrana identit a tajných kódů
• Ochrana tenantů a izolace produkčních systémů
• Ochrana sítí
• Ochrana technických systémů
• Monitorování a detekce kybernetických hrozb
• Zrychlení reakce a nápravy

Tip

Některé organizace můžou tato doporučení brát přesně tak, jak jsou napsaná, zatímco jiné se můžou rozhodnout provádět změny na základě vlastních obchodních potřeb.

Doporučujeme implementovat všechny následující ovládací prvky tam, kde jsou k dispozici licence. Tyto vzory a postupy pomáhají poskytnout bezpečný základ pro další prostředky založené na tomto řešení. V průběhu času se do tohoto dokumentu přidají další ovládací prvky.

Automatizované hodnocení

Ruční kontrola těchto pokynů v konfiguraci tenanta může být časově náročná a náchylná k chybám. Posouzení nulová důvěra (nulová důvěra (Zero Trust)) transformuje tento proces pomocí automatizace, aby otestoval tyto a další položky konfigurace zabezpečení. Další informace najdete v tématu Co je posouzení nulová důvěra (nulová důvěra (Zero Trust))?

Zabezpečený tenant

Zajistěte konzistenci zásad správného řízení, identity a konfigurace na úrovni tenanta.

Šek	Minimální licenční požadavky
Konfigurace značky oboru se vynucuje kvůli podpoře delegované správy a přístupu s nejnižšími oprávněními.	Microsoft Intune – plán 1
Vynucují se oznámení o registraci zařízení, aby se zajistilo povědomí uživatelů a zabezpečené onboarding.	Microsoft Intune – plán 1
Automatická registrace zařízení s Windows se vynucuje, aby se eliminovala rizika z nespravovaných koncových bodů.	Microsoft Intune – plán 1 Microsoft Entra ID P1 (pro podmíněný přístup)
Zásady dodržování předpisů chrání zařízení s Windows	Microsoft Intune – plán 1
Zásady dodržování předpisů chrání zařízení s macOS	Microsoft Intune – plán 1
Zásady dodržování předpisů chrání plně spravovaná zařízení s Androidem a zařízení s Androidem vlastněná společností	Microsoft Intune – plán 1
Zásady dodržování předpisů chrání zařízení s Androidem v osobním vlastnictví	Microsoft Intune – plán 1
Zásady dodržování předpisů chrání zařízení s iOS/iPadOS	Microsoft Intune – plán 1
Jednotné přihlašování platformy je nakonfigurované tak, aby posílilo ověřování na zařízeních s macOS.	Microsoft Intune – plán 1 Microsoft Entra ID P1 (pro podmíněný přístup)
Automatická registrace v Defenderu for Endpoint se vynucuje, aby se snížilo riziko nespravovaných hrozeb pro Android.	Microsoft Intune – plán 1 Defender for Endpoint – plán 1
Pravidla čištění zařízení udržují hygienu tenanta skrytím neaktivních zařízení	Microsoft Intune – plán 1
Zásady podmínek a ujednání chrání přístup k citlivým datům	Microsoft Intune – plán 1
Portál společnosti nastavení brandingu a podpory vylepšuje uživatelské prostředí a důvěru	Microsoft Intune – plán 1
Je povolená analýza koncových bodů, která pomáhá identifikovat rizika na zařízeních s Windows	Microsoft Intune – plán 1

Podrobnosti o licenci najdete tady:

• Licencování Microsoft Intune
• Microsoft Entra licencování
• Přehled Microsoft Defender for Endpoint Plan 1

Zabezpečená zařízení

Zabezpečení koncových bodů prostřednictvím konfigurace zařízení a zásad zabezpečení

Šek	Minimální licenční požadavky
Přihlašovací údaje místního správce ve Windows jsou chráněné systémem Windows LAPS.	plán Microsoft Intune
Přihlašovací údaje místního správce v systému macOS jsou během registrace chráněny systémem MACOS LAPS	Microsoft Intune – plán 1
Použití místního účtu ve Windows je omezené, aby se omezil neoprávněný přístup.	Microsoft Intune – plán 1
Data ve Windows jsou chráněná šifrováním nástrojem BitLocker	Microsoft Intune – plán 1
Šifrování FileVault chrání data na zařízeních s macOS	Microsoft Intune – plán 1
Ověřování ve Windows používá Windows Hello pro firmy	Microsoft Intune – plán 1
Pravidla omezení potenciální oblasti útoku se používají na zařízení s Windows, aby se zabránilo zneužití ohrožených systémových komponent.	Microsoft Intune – plán 1 Defender for Endpoint – plán 1
zásady Antivirová ochrana v programu Defender chrání zařízení s Windows před malwarem	Microsoft Intune – plán 1 Defender for Endpoint – plán 1
zásady Antivirová ochrana v programu Defender chrání zařízení s macOS před malwarem	Microsoft Intune – plán 1 Defender for Endpoint – plán 1
Zásady brány Windows Firewall chrání před neoprávněným přístupem k síti	Microsoft Intune – plán 1
Zásady brány firewall pro macOS chrání před neoprávněným přístupem k síti	Microsoft Intune – plán 1
služba služba Windows Update zásady se vynucují, aby se snížilo riziko neopravených ohrožení zabezpečení.	Microsoft Intune – plán 1
Standardní hodnoty zabezpečení se použijí na zařízení s Windows, aby se posílil stav zabezpečení.	Microsoft Intune – plán 1
Zásady aktualizací pro macOS se vynucují, aby se snížilo riziko neopravených ohrožení zabezpečení.	Microsoft Intune – plán 1
Zásady aktualizací pro iOS/iPadOS se vynucují, aby se snížilo riziko neopravených ohrožení zabezpečení.	Microsoft Intune – plán 1

Podrobnosti o licenci najdete tady:

• Licencování Microsoft Intune
• Přehled Microsoft Defender for Endpoint Plan 1

Zabezpečení dat

Chraňte data na zařízeních a při přenosu a vynucujte zabezpečený přístup k datům organizace.

Šek	Minimální licenční požadavky
Data v Androidu jsou chráněná zásadami ochrany aplikací.	Microsoft Intune – plán 1
Data v systému iOS/iPadOS jsou chráněná zásadami ochrany aplikací.	Microsoft Intune – plán 1
Zásady podmíněného přístupu blokují přístup z nespravovaných aplikací	Microsoft Intune – plán 1 Microsoft Entra ID P1 (pro podmíněný přístup)
Zásady podmíněného přístupu blokují přístup ze zařízení nedodržující předpisy	Microsoft Intune – plán 1 Microsoft Entra ID P1 (pro podmíněný přístup)
Zabezpečené Wi-Fi profily chrání zařízení s iOSem před neoprávněným přístupem k síti	Microsoft Intune – plán 1
Profily zabezpečení Wi-Fi chrání zařízení s macOS před neoprávněným přístupem k síti	Microsoft Intune – plán 1
Zabezpečené Wi-Fi profily chrání zařízení s Androidem před neoprávněným přístupem k síti	Microsoft Intune – plán 1

Podrobnosti o licenci najdete tady:

• Licencování Microsoft Intune
• Microsoft Entra licencování

Související obsah

• nulová důvěra (nulová důvěra (Zero Trust)) nasazení s využitím Microsoft Intune
• Průvodce nasazením pro Microsoft Intune
• Ochrana dat a zařízení pomocí Microsoft Intune
• Konfigurace Microsoft Entra pro zvýšení zabezpečení (Preview)