Sdílet prostřednictvím


Krok 4 – Konfigurace funkcí a nastavení zařízení pro zabezpečení zařízení a přístup k prostředkům

Zatím jste nastavili předplatné Intune, vytvořili zásady ochrany aplikací a vytvořili zásady dodržování předpisů zařízením.

V tomto kroku jste připraveni nakonfigurovat minimální nebo základní sadu funkcí zabezpečení a zařízení, které musí mít všechna zařízení.

Diagram znázorňující, jak začít používat Microsoft Intune v kroku 4, který představuje konfiguraci funkcí zařízení a nastavení zabezpečení

Tento článek se týká:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

Při vytváření profilů konfigurace zařízení jsou k dispozici různé úrovně a typy zásad. Tyto úrovně představují minimální doporučené zásady Microsoftu. Mějte na jistotu, že vaše prostředí a obchodní potřeby se můžou lišit.

  • Úroveň 1 – minimální konfigurace zařízení: Na této úrovni Microsoft doporučuje vytvořit zásady, které:

    • Zaměřte se na zabezpečení zařízení, včetně instalace antivirového softwaru, vytvoření zásad silného hesla a pravidelné instalace aktualizací softwaru.
    • Udělte uživatelům přístup k e-mailu organizace a řízený zabezpečený přístup k vaší síti, ať jsou kdekoli.
  • Úroveň 2 – vylepšená konfigurace zařízení: Na této úrovni microsoft doporučuje vytvořit zásady, které:

    • Rozbalte zabezpečení zařízení, včetně konfigurace šifrování disku, povolení zabezpečeného spouštění a přidání dalších pravidel hesel.
    • Pomocí předdefinovaných funkcí a šablon můžete nakonfigurovat další nastavení, která jsou pro vaši organizaci důležitá, včetně analýzy místních objektů zásad skupiny (GPO).
  • Úroveň 3 – vysoká konfigurace zařízení: Na této úrovni Microsoft doporučuje vytvořit zásady, které:

    • Přejděte na ověřování bez hesla, včetně použití certifikátů, konfigurace jednotného přihlašování (SSO) k aplikacím, povolení vícefaktorového ověřování (MFA) a konfigurace tunelu Microsoft.
    • Přidejte další vrstvy zabezpečení pomocí režimu společných kritérií Androidu nebo vytváření zásad DFCI pro zařízení s Windows.
    • Pomocí integrovaných funkcí můžete nakonfigurovat zařízení v beznabídkovém režimu, vyhrazená zařízení, sdílená zařízení a další specializovaná zařízení.
    • Nasaďte existující skripty prostředí.

Tento článek obsahuje seznam různých úrovní zásad konfigurace zařízení, které by organizace měly používat. Většina těchto zásad v tomto článku se zaměřuje na přístup k prostředkům organizace a zabezpečení.

Tyto funkce se konfigurují v profilech konfigurace zařízení v Centru pro správu Microsoft Intune. Až budou profily Intune připravené, můžete je přiřadit uživatelům a zařízením.

Úroveň 1 – Vytvoření standardních hodnot zabezpečení

Abyste zajistili zabezpečení dat a zařízení vaší organizace, vytvoříte různé zásady, které se zaměřují na zabezpečení. Měli byste vytvořit seznam funkcí zabezpečení, které musí mít všichni uživatelé nebo všechna zařízení. Tento seznam je vaším standardním plánem zabezpečení.

Ve standardních hodnotách Microsoft doporučuje minimálně následující zásady zabezpečení:

  • Instalace antivirového softwaru a pravidelné vyhledávání malwaru
  • Použití detekce a odezvy
  • Zapnutí brány firewall
  • Pravidelné instalace aktualizací softwaru
  • Vytvoření zásad silného KÓDU PIN nebo hesla

Tato část obsahuje seznam služeb Intune a Microsoftu, které můžete použít k vytvoření těchto zásad zabezpečení.

Podrobnější seznam nastavení Windows a jejich doporučených hodnot najdete v článku Standardní hodnoty zabezpečení Windows.

Antivirová ochrana a kontrola

Instalace antivirového softwaru a pravidelné vyhledávání malwaru

Všechna zařízení by měla mít nainstalovaný antivirový software a měla by být pravidelně kontrolována na přítomnost malwaru. Intune se integruje se službami ochrany před mobilními hrozbami (MTD) třetích stran, které poskytují kontrolu av a hrozeb. V systémech macOS a Windows jsou antivirová ochrana a kontrola integrované do Intune pomocí Microsoft Defenderu for Endpoint.

Možnosti zásad:

Platforma Typ zásady
Android Enterprise – Partner
ochrany před mobilními hrozbami – Microsoft Defender for Endpoint pro Android může vyhledat malware
iOS/iPadOS Partner ochrany před mobilními hrozbami
macOS Antivirový profil Intune Endpoint Security (Microsoft Defender for Endpoint)
Klient Windows – Standardní hodnoty zabezpečení Intune (doporučeno)
– Antivirový profil Intune Endpoint Security (Microsoft Defender for Endpoint)
– Partner ochrany před mobilními hrozbami

Další informace o těchto funkcích najdete tady:

Detekce a reakce

Detekce útoků a reakce na tyto hrozby

Když rychle detekujete hrozby, můžete minimalizovat dopad hrozby. Když tyto zásady zkombinujete s podmíněným přístupem, můžete uživatelům a zařízením zablokovat přístup k prostředkům organizace, pokud je zjištěna hrozba.

Možnosti zásad:

Platforma Typ zásady
Android Enterprise – Partner
ochrany před mobilními hrozbami – Microsoft Defender for Endpoint na Androidu
iOS/iPadOS – Partner
ochrany před mobilními hrozbami – Microsoft Defender for Endpoint v iOS/iPadOS
macOS Není k dispozici
Klient Windows – Standardní hodnoty zabezpečení Intune (doporučeno)
– Profil detekce a odezvy koncového bodu Intune (Microsoft Defender for Endpoint)
– Partner ochrany před mobilními hrozbami

Další informace o těchto funkcích najdete tady:

Brána firewall

Povolení brány firewall na všech zařízeních

Některé platformy mají integrovanou bránu firewall a na jiných je možné, že budete muset bránu firewall nainstalovat samostatně. Intune se integruje se službami ochrany před mobilními hrozbami (MTD) třetích stran, které můžou spravovat bránu firewall pro zařízení s Androidem a iOS/iPadOS. Pro macOS a Windows je zabezpečení brány firewall integrované v Intune pomocí Microsoft Defenderu for Endpoint.

Možnosti zásad:

Platforma Typ zásady
Android Enterprise Partner ochrany před mobilními hrozbami
iOS/iPadOS Partner ochrany před mobilními hrozbami
macOS Profil brány firewall zabezpečení koncového bodu Intune (Microsoft Defender for Endpoint)
Klient Windows - Standardní hodnoty zabezpečení Intune (doporučeno)
– Profil brány firewall Intune Endpoint Security (Microsoft Defender for Endpoint)
– Partner ochrany před mobilními hrozbami

Další informace o těchto funkcích najdete tady:

Zásady hesel

Vytvoření zásad silného hesla nebo PIN kódu a blokování jednoduchých hesel

Pin kódy odemykají zařízení. Na zařízeních, která přistupují k datům organizace, včetně zařízení v osobním vlastnictví, byste k odemknutí zařízení měli vyžadovat silné PIN kódy a hesla a podporovat biometriku. Použití biometriky je součástí přístupu bez hesla, který se doporučuje.

Intune používá profily omezení zařízení k vytvoření a konfiguraci požadavků na heslo.

Možnosti zásad:

Platforma Typ zásady
Android Enterprise Profil omezení zařízení Intune pro správu:
- Heslo zařízení
- Heslo pracovního profilu
Android Open-Source Project (AOSP) Profil omezení zařízení Intune
iOS/iPadOS Profil omezení zařízení Intune
macOS Profil omezení zařízení Intune
Klient Windows – Standardní hodnoty zabezpečení Intune (doporučeno)
– Profil omezení zařízení Intune

Seznam nastavení, která můžete konfigurovat, najdete tady:

Aktualizace softwaru

Pravidelná instalace aktualizací softwaru

Všechna zařízení by se měla pravidelně aktualizovat a měly by se vytvořit zásady, aby se zajistilo, že se tyto aktualizace úspěšně nainstalují. Pro většinu platforem má Intune nastavení zásad, které se zaměřují na správu a instalaci aktualizací.

Možnosti zásad:

Platforma Typ zásady
Zařízení s AndroidEm Enterprise vlastněná organizací Nastavení aktualizace systému pomocí profilu omezení zařízení Intune
Zařízení s Androidem Enterprise v osobním vlastnictví Není k dispozici

Může použít zásady dodržování předpisů k nastavení minimální úrovně oprav, minimální/maximální verze operačního systému atd.
iOS/iPadOS Zásady aktualizace Intune
macOS Zásady aktualizace Intune
Klient Windows – Zásady
aktualizací funkcí Intune – Zásady urychlených aktualizací v Intune

Další informace o těchto funkcích nebo nastaveních, která můžete konfigurovat, najdete tady:

Úroveň 1 – Přístup k e-mailu organizace, připojení k síti VPN nebo Wi-Fi

Tato část se zaměřuje na přístup k prostředkům ve vaší organizaci. Mezi tyto prostředky patří:

  • E-mail pro pracovní nebo školní účty
  • Připojení VPN pro vzdálené připojení
  • Wi-Fi připojení pro místní připojení

Diagram znázorňující profily e-mailu, sítě VPN a Wi-Fi nasazené z Microsoft Intune do zařízení koncových uživatelů

E-mail

Mnoho organizací nasazuje e-mailové profily s předkonfigurovanými nastaveními do uživatelských zařízení.

Automatické připojení k e-mailovým účtům uživatelů

Profil obsahuje nastavení konfigurace e-mailu, které se připojuje k vašemu e-mailovému serveru.

V závislosti na nastavení, která nakonfigurujete, může e-mailový profil také automaticky připojit uživatele k jejich individuálním nastavením e-mailového účtu.

Použití e-mailových aplikací na podnikové úrovni

E-mailové profily v Intune používají běžné a oblíbené e-mailové aplikace, jako je Outlook. E-mailová aplikace se nasadí do uživatelských zařízení. Po nasazení aplikace nasadíte konfigurační profil e-mailového zařízení s nastavením, která nakonfigurují e-mailovou aplikaci.

Konfigurační profil e-mailového zařízení obsahuje nastavení, která se připojují k vašemu Exchangi.

Přístup k pracovnímu nebo školnímu e-mailu

Vytvoření e-mailového profilu je běžnou minimální základní zásadou pro organizace s uživateli, kteří používají e-mail na svých zařízeních.

Intune má integrované nastavení e-mailu pro klientská zařízení s Androidem, iOS/iPadOS a Windows. Když uživatelé otevřou svou e-mailovou aplikaci, můžou se automaticky připojit, ověřit a synchronizovat e-mailové účty organizace na svých zařízeních.

Nasadit kdykoli

Na nových zařízeních doporučujeme nasadit e-mailovou aplikaci během procesu registrace. Po dokončení registrace nasaďte zásady konfigurace e-mailového zařízení.

Pokud máte existující zařízení, nasaďte e-mailovou aplikaci kdykoli a nasaďte zásady konfigurace e-mailového zařízení.

Začínáme s e-mailovými profily

Jak začít:

  1. Nasaďte e-mailovou aplikaci do svých zařízení. Některé pokyny najdete v článku Přidání nastavení e-mailu do zařízení pomocí Intune.

  2. Vytvořte v Intune konfigurační profil e-mailového zařízení. V závislosti na e-mailové aplikaci, která vaše organizace používá, nemusí být konfigurační profil e-mailového zařízení potřeba.

    Některé pokyny najdete v článku Přidání nastavení e-mailu do zařízení pomocí Intune.

  3. V konfiguračním profilu e-mailového zařízení nakonfigurujte nastavení pro vaši platformu:

  4. Přiřaďte konfigurační profil e-mailového zařízení uživatelům nebo skupinám uživatelů.

Integrace VPN

Řada organizací nasazuje profily SÍTĚ VPN s předkonfigurovanými nastaveními do uživatelských zařízení. Síť VPN připojí vaše zařízení k interní síti organizace.

Pokud vaše organizace používá cloudové služby s moderním ověřováním a zabezpečenými identitami, pravděpodobně profil VPN nepotřebujete. Služby nativní pro cloud nevyžadují připojení VPN.

Pokud vaše aplikace nebo služby nejsou cloudové nebo nativní pro cloud, nasaďte profil SÍTĚ VPN pro připojení k interní síti organizace.

Pracujte odkudkoli

Vytvoření profilu SÍTĚ VPN je běžná minimální základní zásada pro organizace se vzdálenými pracovními procesy a hybridními pracovními procesy.

Protože uživatelé pracují odkudkoli, můžou se pomocí profilu VPN bezpečně připojit k síti vaší organizace a získat přístup k prostředkům.

Intune má integrované nastavení sítě VPN pro klientská zařízení s Androidem, iOS/iPadOS, macOS a Windows. Na uživatelských zařízeních se vaše připojení VPN zobrazuje jako dostupné připojení. Uživatelé ji vyberou. A v závislosti na nastavení ve vašem profilu VPN se uživatelé můžou automaticky ověřovat a připojovat se k síti VPN na svých zařízeních.

Použití aplikací VPN na podnikové úrovni

Profily VPN v Intune používají běžné podnikové aplikace VPN, jako je Check Point, Cisco, Microsoft Tunnel a další. Aplikace VPN se nasadí do uživatelských zařízení. Po nasazení aplikace nasadíte profil připojení VPN s nastavením, které nakonfiguruje aplikaci VPN.

Konfigurační profil zařízení VPN obsahuje nastavení, která se připojují k serveru VPN.

Nasadit kdykoli

Na nových zařízeních doporučujeme nasadit aplikaci VPN během procesu registrace. Po dokončení registrace nasaďte zásady konfigurace zařízení VPN.

Pokud máte existující zařízení, nasaďte aplikaci VPN kdykoli a pak nasaďte zásady konfigurace zařízení VPN.

Začínáme s profily VPN

Jak začít:

  1. Nasaďte do svých zařízení aplikaci VPN.

  2. Vytvořte konfigurační profil SÍTĚ VPN v Intune.

  3. V konfiguračním profilu zařízení VPN nakonfigurujte nastavení pro vaši platformu:

  4. Přiřaďte konfigurační profil zařízení VPN uživatelům nebo skupinám uživatelů.

Wi-Fi

Mnoho organizací nasazuje Wi-Fi profily s předkonfigurovanými nastaveními do uživatelských zařízení. Pokud má vaše organizace jen vzdálené pracovníky, nemusíte nasazovat Wi-Fi profily připojení. Wi-Fi profily jsou volitelné a používají se k místnímu připojení.

Bezdrátové připojení

Když uživatelé pracují z různých mobilních zařízení, můžou pomocí profilu Wi-Fi bezdrátově a bezpečně se připojovat k síti vaší organizace.

Profil obsahuje nastavení konfigurace Wi-Fi, která se automaticky připojují k síti nebo identifikátoru SSID (service set identifier). Uživatelé nemusí ručně konfigurovat nastavení Wi-Fi.

Podpora mobilních zařízení v místním prostředí

Vytvoření profilu Wi-Fi je běžnou minimální základní zásadou pro organizace s mobilními zařízeními, které fungují místně.

Intune má integrované nastavení Wi-Fi pro klientská zařízení s Androidem, iOS/iPadOS, macOS a Windows. Na uživatelských zařízeních se vaše Wi-Fi připojení zobrazuje jako dostupné připojení. Uživatelé ji vyberou. V závislosti na nastavení v profilu Wi-Fi se uživatelé můžou automaticky ověřovat a připojovat se k Wi-Fi na svých zařízeních.

Nasadit kdykoli

Na nových zařízeních doporučujeme nasadit zásady konfigurace Wi-Fi zařízení, když se zařízení zaregistrují do Intune.

Pokud máte existující zařízení, můžete kdykoli nasadit zásady konfigurace Wi-Fi zařízení.

Začínáme s profily Wi-Fi

Jak začít:

  1. Vytvořte Wi-Fi konfigurační profil zařízení v Intune.

  2. Nakonfigurujte nastavení pro vaši platformu:

  3. Přiřaďte konfigurační profil zařízení Wi-Fi uživatelům nebo skupinám uživatelů.

Úroveň 2 – Rozšířená ochrana a konfigurace

Tato úroveň rozšiřuje to, co jste nakonfigurovali na úrovni 1, a zvyšuje zabezpečení vašich zařízení. V této části vytvoříte sadu zásad úrovně 2, která pro vaše zařízení nakonfiguruje další nastavení zabezpečení.

Microsoft doporučuje následující zásady zabezpečení úrovně 2:



  • Intune obsahuje stovky nastavení, která můžou spravovat funkce a nastavení zařízení, jako je zakázání integrované kamery, ovládání oznámení, povolení Bluetooth, blokování her a další.

    K zobrazení a konfiguraci nastavení můžete použít předdefinované šablony nebo katalog nastavení .

    • Šablony omezení zařízení mají mnoho integrovaných nastavení, která můžou řídit různé části zařízení, včetně zabezpečení, hardwaru, sdílení dat a dalších.

      Tyto šablony můžete použít na následujících platformách:

      • Android
      • iOS/iPadOS
      • macOS
      • Windows
    • Pomocí katalogu Nastavení můžete zobrazit a nakonfigurovat všechna dostupná nastavení. Katalog nastavení můžete použít na následujících platformách:

      • iOS/iPadOS
      • macOS
      • Windows
    • Použijte předdefinované šablony pro správu, podobně jako konfigurace šablon ADMX místně. Šablony ADMX můžete použít na následující platformě:

      • Windows
  • Pokud používáte místní objekty zásad skupiny a chcete zjistit, jestli jsou stejná nastavení dostupná i v Intune, použijte analýzu zásad skupiny. Tato funkce analyzuje vaše objekty zásad skupiny a v závislosti na analýze je může importovat do zásad katalogu nastavení Intune.

    Další informace najdete v tématu Analýza místních objektů zásad skupiny a jejich importu v Intune.

Úroveň 3 – Vysoká ochrana a konfigurace

Tato úroveň rozšiřuje to, co jste nakonfigurovali v úrovních 1 a 2. Přidává další funkce zabezpečení používané v organizacích na podnikové úrovni.


  1. Nastavení Microsoft Intune
  2. Přidání, konfigurace a ochrana aplikací
  3. Plánování zásad dodržování předpisů
  4. 🡺 Konfigurace funkcí zařízení (tady jste)
  5. Zápis zařízení