Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Ochrana tenanta Intune je nezbytná k vynucení nulová důvěra (nulová důvěra (Zero Trust)) principů a udržování zabezpečeného a dobře spravovaného prostředí. Tato doporučení jsou v souladu s iniciativou Microsoftu Secure Future Initiative tím, že omezují poloměr výbuchu a vynucují přístup s nejnižšími oprávněními prostřednictvím segmentované správy, zabezpečeného onboardingu zařízení a ochrany řízené zásadami. Společně pomáhají snižovat rizika, udržovat hygienu tenantů a posílit dodržování předpisů napříč platformami.
nulová důvěra (nulová důvěra (Zero Trust)) doporučení k zabezpečení
Konfigurace značky oboru se vynucuje kvůli podpoře delegované správy a přístupu s nejnižšími oprávněními.
Pokud Intune značky oboru nejsou správně nakonfigurované pro delegovanou správu, útočníci, kteří získají privilegovaný přístup k Intune nebo Microsoft Entra ID, můžou v tenantovi eskalovat oprávnění a přistupovat k citlivým konfiguracím zařízení. Bez podrobných značek rozsahu jsou hranice správy nejasné, což útočníkům umožňuje laterálně se pohybovat, manipulovat se zásadami zařízení, exfiltrovat konfigurační data nebo nasazovat škodlivá nastavení pro všechny uživatele a zařízení. Jeden ohrožený účet správce může mít vliv na celé prostředí. Absence delegované správy také oslabuje přístup s nejnižšími oprávněními, což ztěžuje omezení porušení a vynucování odpovědnosti. Útočníci můžou zneužít role globálního správce nebo chybně nakonfigurovaná přiřazení řízení přístupu na základě role (RBAC) k obejití zásad dodržování předpisů a získání široké kontroly nad správou zařízení.
Vynucování značek oboru segmentuje přístup pro správu a sjednocuje ho s hranicemi organizace. To omezuje poloměr výbuchu ohrožených účtů, podporuje přístup s nejnižšími oprávněními a je v souladu s nulová důvěra (nulová důvěra (Zero Trust)) principy segmentace, řízení na základě role a omezování.
Nápravná akce
Pomocí značek oboru Intune a rolí RBAC můžete omezit přístup správce na základě role, zeměpisné oblasti nebo obchodní jednotky:
- Naučte se vytvářet a nasazovat značky oboru pro distribuované IT.
- Implementace řízení přístupu na základě role pomocí Microsoft Intune
Vynucují se oznámení o registraci zařízení, aby se zajistilo povědomí uživatelů a zabezpečené onboarding.
Bez oznámení o registraci zařízení můžou uživatelé vědět, že jejich zařízení je zaregistrované v Intune– zejména v případě neoprávněné nebo neočekávané registrace. Tento nedostatek viditelnosti může zpozdit hlášení podezřelých aktivit uživatelů a zvýšit riziko, že nespravovaná nebo ohrožená zařízení získají přístup k podnikovým prostředkům. Útočníci, kteří získají přihlašovací údaje uživatele nebo zneužívají toky vlastní registrace, můžou tiše onboardovat zařízení, obejít kontrolu uživatelů a umožnit odhalení dat nebo laterální pohyb.
Oznámení o registraci poskytují uživatelům lepší přehled o aktivitě onboardingu zařízení. Pomáhají detekovat neoprávněnou registraci, posílit postupy zabezpečeného zřizování a podporují nulová důvěra (nulová důvěra (Zero Trust)) principy viditelnosti, ověřování a zapojení uživatelů.
Nápravná akce
Nakonfigurujte Intune oznámení o registraci, abyste uživatele upozorňovali, když je jejich zařízení zaregistrované, a posílila postupy bezpečného zprovoznění:
Automatická registrace zařízení s Windows se vynucuje, aby se eliminovala rizika z nespravovaných koncových bodů.
Pokud automatická registrace windows není povolená, nespravovaná zařízení se můžou stát vstupním bodem pro útočníky. Aktéři hrozeb můžou tato zařízení používat k přístupu k podnikovým datům, obcházet zásady dodržování předpisů a zavádět do prostředí ohrožení zabezpečení. Zařízení připojená k Microsoft Entra bez Intune registrace vytvářejí mezery ve viditelnosti a kontrole. Tyto nespravované koncové body můžou odhalit slabá místa v operačním systému nebo chybně nakonfigurované aplikace, které můžou útočníci zneužít.
Vynucování automatické registrace zajišťuje správu zařízení s Windows od začátku, což umožňuje konzistentní vynucování zásad a přehled o dodržování předpisů. To podporuje nulová důvěra (nulová důvěra (Zero Trust)) tím, že zajišťuje, že všechna zařízení jsou ověřená, monitorovaná a řízená bezpečnostními prvky.
Nápravná akce
Povolte automatickou registraci zařízení s Windows pomocí Intune a Microsoft Entra, abyste zajistili správu všech zařízení připojených k doméně nebo zařízení připojených k Entra:
Další informace najdete tady:
Zásady dodržování předpisů chrání zařízení s Windows
Pokud nejsou nakonfigurované a přiřazené zásady dodržování předpisů pro zařízení s Windows, můžou aktéři hrozeb zneužít nespravované nebo nevyhovující koncové body k získání neoprávněného přístupu k podnikovým prostředkům, obejití kontrolních mechanismů zabezpečení a zachování v rámci prostředí. Bez vynucené dodržování předpisů můžou zařízení postrádat důležité konfigurace zabezpečení, jako je šifrování nástrojem BitLocker, požadavky na heslo, nastavení brány firewall a řízení verzí operačního systému. Tyto mezery zvyšují riziko úniku dat, eskalace oprávnění a laterálního pohybu. Nekonzistentní dodržování předpisů zařízením oslabuje stav zabezpečení organizace a znesnadňuje detekci a nápravu hrozeb předtím, než dojde k významným škodám.
Vynucování zásad dodržování předpisů zajišťuje, aby zařízení s Windows splňovala základní požadavky na zabezpečení a podporuje nulová důvěra (nulová důvěra (Zero Trust)) tím, že ověřuje stav zařízení a snižuje riziko chybně nakonfigurovaných koncových bodů.
Nápravná akce
Vytvořte a přiřaďte Intune zásady dodržování předpisů zařízením s Windows, abyste mohli vynutit standardy organizace pro zabezpečený přístup a správu:
- Vytvoření a přiřazení zásad dodržování předpisů Intune
- Projděte si nastavení dodržování předpisů ve Windows, která můžete spravovat pomocí Intune
Zásady dodržování předpisů chrání zařízení s macOS
Pokud nejsou nakonfigurované a přiřazené zásady dodržování předpisů pro zařízení s macOS, můžou aktéři hrozeb zneužít nespravované nebo nedodržující koncové body k získání neoprávněného přístupu k podnikovým prostředkům, obejití kontrolních mechanismů zabezpečení a zachování v rámci prostředí. Bez vynucené dodržování předpisů můžou zařízení s macOS postrádat důležité konfigurace zabezpečení, jako je šifrování úložiště dat, požadavky na hesla a řízení verzí operačního systému. Tyto mezery zvyšují riziko úniku dat, eskalace oprávnění a laterálního pohybu. Nekonzistentní dodržování předpisů zařízením oslabuje stav zabezpečení organizace a znesnadňuje detekci a nápravu hrozeb předtím, než dojde k významným škodám.
Vynucování zásad dodržování předpisů zajišťuje, že zařízení s macOS splňují základní požadavky na zabezpečení a podporuje nulová důvěra (nulová důvěra (Zero Trust)) tím, že ověřuje stav zařízení a snižuje riziko chybně nakonfigurovaných koncových bodů.
Nápravné akce
Vytvořte a přiřaďte Intune zásady dodržování předpisů zařízením s macOS za účelem vynucování standardů organizace pro zabezpečený přístup a správu:
- Vytvoření a přiřazení zásad dodržování předpisů Intune
- Projděte si nastavení dodržování předpisů pro macOS, která můžete spravovat pomocí Intune
Zásady dodržování předpisů chrání plně spravovaná zařízení s Androidem a zařízení s Androidem vlastněná společností
Pokud nejsou zásady dodržování předpisů přiřazené plně spravovaným zařízením s Androidem Enterprise v Intune, můžou aktéři hrozeb zneužít nedodržující koncové body k získání neoprávněného přístupu k podnikovým prostředkům, obejití kontrolních mechanismů zabezpečení a zachování v prostředí. Bez vynucené dodržování předpisů můžou zařízení postrádat důležité konfigurace zabezpečení, jako jsou požadavky na heslo, šifrování úložiště dat a řízení verzí operačního systému. Tyto mezery zvyšují riziko úniku dat, eskalace oprávnění a laterálního pohybu. Nekonzistentní dodržování předpisů zařízením oslabuje stav zabezpečení organizace a znesnadňuje detekci a nápravu hrozeb předtím, než dojde k významným škodám.
Vynucování zásad dodržování předpisů zajišťuje, aby zařízení s Androidem Enterprise splňovala základní požadavky na zabezpečení a podporuje nulová důvěra (nulová důvěra (Zero Trust)) tím, že ověřuje stav zařízení a snižuje riziko chybně nakonfigurovaných nebo nespravovaných koncových bodů.
Nápravná akce
Vytvořte a přiřaďte zásady dodržování předpisů Intune plně spravovaným zařízením s Androidem Enterprise ve vlastnictví firmy, abyste mohli vynutit standardy organizace pro zabezpečený přístup a správu:
- Vytvoření zásad dodržování předpisů v Microsoft Intune
- Projděte si nastavení dodržování předpisů v Androidu Enterprise, které můžete spravovat pomocí Intune
Zásady dodržování předpisů chrání zařízení s Androidem v osobním vlastnictví
Pokud nejsou zásady dodržování předpisů přiřazené k zařízením s Androidem Enterprise v osobním vlastnictví v Intune, můžou aktéři hrozeb zneužít nedodržující koncové body k získání neoprávněného přístupu k podnikovým prostředkům, obcházet kontrolní mechanismy zabezpečení a zavádět ohrožení zabezpečení. Bez vynucené dodržování předpisů můžou zařízení postrádat důležité konfigurace zabezpečení, jako jsou požadavky na heslo, šifrování úložiště dat a řízení verzí operačního systému. Tyto mezery zvyšují riziko úniku dat a neoprávněného přístupu. Nekonzistentní dodržování předpisů zařízením oslabuje stav zabezpečení organizace a znesnadňuje detekci a nápravu hrozeb předtím, než dojde k významným škodám.
Vynucování zásad dodržování předpisů zajišťuje, že zařízení s Androidem v osobním vlastnictví splňují základní požadavky na zabezpečení, a podporuje nulová důvěra (nulová důvěra (Zero Trust)) tím, že ověřuje stav zařízení a snižuje riziko chybně nakonfigurovaných nebo nespravovaných koncových bodů.
Nápravná akce
Vytvořte a přiřaďte zásady dodržování předpisů Intune zařízením s Androidem Enterprise v osobním vlastnictví za účelem vynucování standardů organizace pro zabezpečený přístup a správu:
- Vytvoření zásad dodržování předpisů v Microsoft Intune
- Projděte si nastavení dodržování předpisů v Androidu Enterprise, které můžete spravovat pomocí Intune
Zásady dodržování předpisů chrání zařízení s iOS/iPadOS
Pokud nejsou zásady dodržování předpisů přiřazené zařízením s iOS/iPadOS v Intune, můžou aktéři hrozeb zneužít nedodržující koncové body k získání neoprávněného přístupu k podnikovým prostředkům, obejití kontrolních mechanismů zabezpečení a zachování v prostředí. Bez vynucené dodržování předpisů můžou zařízení postrádat důležité konfigurace zabezpečení, jako jsou požadavky na heslo a řízení verzí operačního systému. Tyto mezery zvyšují riziko úniku dat, eskalace oprávnění a laterálního pohybu. Nekonzistentní dodržování předpisů zařízením oslabuje stav zabezpečení organizace a znesnadňuje detekci a nápravu hrozeb předtím, než dojde k významným škodám.
Vynucování zásad dodržování předpisů zajišťuje, že zařízení s iOS/iPadOS splňují základní požadavky na zabezpečení a podporují nulová důvěra (nulová důvěra (Zero Trust)) tím, že ověřuje stav zařízení a snižuje riziko chybně nakonfigurovaných nebo nespravovaných koncových bodů.
Nápravná akce
Vytvořte a přiřaďte Intune zásady dodržování předpisů zařízením s iOS/iPadOS, abyste mohli vynutit standardy organizace pro zabezpečený přístup a správu:
- Vytvoření zásad dodržování předpisů v Microsoft Intune
- Projděte si nastavení dodržování předpisů pro iOS/iPadOS, která můžete spravovat pomocí Intune
Jednotné přihlašování platformy je nakonfigurované tak, aby posílilo ověřování na zařízeních s macOS.
Pokud se zásady jednotného přihlašování platformy na zařízeních s macOS nevynucují, můžou koncové body spoléhat na nezabezpečené nebo nekonzistentní mechanismy ověřování, které útočníkům umožní obejít zásady podmíněného přístupu a dodržování předpisů. To otevírá dveře k laterálnímu pohybu mezi cloudovými službami a místními prostředky, zejména při použití federovaných identit. Aktéři hrozeb můžou dál využívat odcizené tokeny nebo přihlašovací údaje uložené v mezipaměti a exfiltrovat citlivá data prostřednictvím nespravovaných aplikací nebo relací prohlížeče. Absence vynucování jednotného přihlašování také oslabuje zásady ochrany aplikací a posouzení stavu zařízení, což ztěžuje detekci a omezení porušení. V konečném důsledku selhání konfigurace a přiřazení zásad jednotného přihlašování platformy macOS ohrožuje zabezpečení identit a oslabuje stav nulová důvěra (nulová důvěra (Zero Trust)) organizace.
Vynucování zásad jednotného přihlašování platformy na zařízeních s macOS zajišťuje konzistentní a zabezpečené ověřování napříč aplikacemi a službami. To posiluje ochranu identit, podporuje vynucování podmíněného přístupu a v souladu s nulová důvěra (nulová důvěra (Zero Trust)) tím, že snižuje závislost na místních přihlašovacích údajích a zlepšuje posouzení stavu.
Nápravná akce
Pomocí Intune můžete nakonfigurovat a přiřadit zásady jednotného přihlašování platformy pro zařízení s macOS k vynucování zabezpečeného ověřování a posílení ochrany identit, viz:
- Konfigurace jednotného přihlašování platformy pro macOS v Intune – Podrobné pokyny k povolení jednotného přihlašování platformy na zařízeních s macOS
- Přehled jednotného přihlašování (SSO) a možnosti pro zařízení Apple v Microsoft Intune – Přehled možností jednotného přihlašování dostupných pro platformy Apple.
Automatická registrace v Defenderu for Endpoint se vynucuje, aby se snížilo riziko nespravovaných hrozeb pro Android.
Pokud automatická registrace do Microsoft Defender for Endpoint není nakonfigurovaná pro zařízení s Androidem v Intune, spravované koncové body můžou zůstat nechráněné před mobilními hrozbami. Bez onboardingu Defenderu zařízení nemají pokročilé možnosti detekce hrozeb a reakce, což zvyšuje riziko malwaru, útoků phishing a dalších mobilních útoků. Nechráněná zařízení můžou obejít zásady zabezpečení, přistupovat k podnikovým prostředkům a vystavit citlivá data ohrožení zabezpečení. Tato mezera v ochraně před mobilními hrozbami oslabuje stav nulová důvěra (nulová důvěra (Zero Trust)) organizace a snižuje přehled o stavu koncových bodů.
Povolením automatické registrace v programu Defender zajistíte, že zařízení s Androidem budou chráněná pokročilými funkcemi detekce hrozeb a reakce na ně. To podporuje nulová důvěra (nulová důvěra (Zero Trust)) tím, že vynucuje ochranu před mobilními hrozbami, zlepšuje viditelnost a snižuje riziko nespravovaných nebo ohrožených koncových bodů.
Nápravná akce
Pomocí Intune nakonfigurujte automatickou registraci do Microsoft Defender for Endpoint pro zařízení s Androidem a vynucujte ochranu před mobilními hrozbami:
Pravidla čištění zařízení udržují hygienu tenanta skrytím neaktivních zařízení
Pokud v Intune nejsou nakonfigurovaná pravidla čištění zařízení, můžou být v tenantovi po neomezenou dobu viditelná zastaralá nebo neaktivní zařízení. To vede k nepřehledným seznamům zařízení, nepřesným hlášením a sníženému přehledu o aktivním prostředí zařízení. Nepoužívané zařízení si můžou zachovat přístupové přihlašovací údaje nebo tokeny, což zvyšuje riziko neoprávněného přístupu nebo chybně informovaných rozhodnutí o zásadách.
Pravidla čištění zařízení automaticky skrývají neaktivní zařízení v zobrazeních a sestavách správce, což zlepšuje hygienu tenanta a snižuje administrativní zátěž. To podporuje nulová důvěra (nulová důvěra (Zero Trust)) udržováním přesného a důvěryhodného inventáře zařízení při zachování historických dat pro účely auditu nebo šetření.
Nápravná akce
Nakonfigurujte pravidla Intune čištění zařízení tak, aby se neaktivní zařízení automaticky skrývala v tenantovi:
Další informace najdete tady:
- Používání pravidel čištění zařízení Intunena blogu Microsoft Tech Community
Zásady podmínek a ujednání chrání přístup k citlivá data
Pokud nejsou zásady podmínek a ujednání nakonfigurované a přiřazené v Intune, uživatelé můžou přistupovat k podnikovým prostředkům bez souhlasu s požadovanými právními, bezpečnostními nebo uživatelskými podmínkami. Toto vynechání vystavuje organizaci rizikům dodržování předpisů, právním závazkům a potenciálnímu zneužití prostředků.
Vynucování podmínek a ujednání zajišťuje, aby uživatelé potvrdili a přijali zásady společnosti před přístupem k citlivá data nebo systémům, což podporuje dodržování právních předpisů a zodpovědné používání prostředků.
Nápravná akce
Vytvořte a přiřaďte zásady podmínek a ujednání v Intune, které budou před udělením přístupu k podnikovým prostředkům vyžadovat souhlas uživatele:
Portál společnosti nastavení brandingu a podpory vylepšuje uživatelské prostředí a důvěru
Pokud Portál společnosti Intune branding není nakonfigurovaný tak, aby reprezentoval podrobnosti vaší organizace, můžou se uživatelé setkat s obecným rozhraním a chybět jim přímé informace o podpoře. To snižuje důvěru uživatelů, zvyšuje režii podpory a může vést k nejasnostem nebo zpožděním při řešení problémů.
Přizpůsobení Portál společnosti s kontaktními údaji o značce a podpoře vaší organizace zlepšuje důvěru uživatelů, zjednodušuje podporu a posiluje oprávněnost komunikace správy zařízení.
Nápravná akce
Nakonfigurujte Portál společnosti Intune s brandingem vaší organizace a kontaktními informacemi podpory, abyste zlepšili uživatelské prostředí a snížili režijní náklady na podporu:
Je povolená analýza koncových bodů, která pomáhá identifikovat rizika na zařízeních s Windows
Pokud analýza koncových bodů není povolená, můžou aktéři hrozeb zneužít nedostatky ve stavu, výkonu a stavu zabezpečení zařízení. Bez analýzy viditelnosti koncových bodů může být pro organizaci obtížné zjistit indikátory, jako je neobvyklé chování zařízení, zpožděné opravy nebo posun konfigurace. Tyto mezery umožňují útočníkům zajistit trvalost, eskalovat oprávnění a laterálně se pohybovat napříč prostředím. Absence analytických dat může bránit rychlé detekci a reakci, což útočníkům umožní zneužít nemonitorované koncové body pro příkazy a řízení, exfiltraci dat nebo další ohrožení zabezpečení.
Povolení analýzy koncových bodů poskytuje přehled o stavu a chování zařízení, pomáhá organizacím zjišťovat rizika, rychle reagovat na hrozby a udržovat si silné nulová důvěra (nulová důvěra (Zero Trust)) stavu.
Nápravná akce
Registrace zařízení s Windows do analýzy koncových bodů v Intune pro monitorování stavu zařízení a identifikaci rizik:
Další informace najdete tady: