Úrovně ochrany a konfigurace v Microsoft Intune

  • Článek

Microsoft Intune správcům umožňuje vytvářet zásady, které se použijí pro uživatele, zařízení a aplikace. Tyto zásady můžou být v rozsahu od minimální sady až po bezpečnější nebo řízené zásady. Tyto zásady závisí na potřebách organizace, používaných zařízeních a na tom, co zařízení budou dělat.

Až budete připraveni vytvářet zásady, můžete použít různé úrovně ochrany a konfigurace:

Vaše prostředí a obchodní potřeby můžou mít definované různé úrovně. Tyto úrovně můžete použít jako výchozí bod a pak si je přizpůsobit tak, aby vyhovovaly vašim potřebám. Můžete například použít zásady konfigurace zařízení na úrovni 1 a zásady aplikací na úrovni 3.

Vyberte úrovně, které jsou pro vaši organizaci vhodné. Není žádná špatná volba.

Úroveň 1 – Minimální ochrana a konfigurace

Tato úroveň zahrnuje zásady, které by měla mít minimálně každá organizace. Zásady na této úrovni vytvářejí minimální směrný plán funkcí zabezpečení a poskytují uživatelům přístup k prostředkům, které potřebují k práci.

Aplikace (úroveň 1)

Tato úroveň vynucuje přiměřené množství požadavků na ochranu dat a přístup a současně minimalizuje dopad na uživatele. Tato úroveň zajišťuje, že aplikace jsou chráněné kódem PIN a šifrované, a provádí operace selektivního vymazání. U zařízení s Androidem tato úroveň ověřuje ověření identity zařízení s Androidem. Tato úroveň je konfigurace vstupní úrovně, která poskytuje podobné řízení ochrany dat v zásadách Exchange Online poštovních schránek. Také zavádí it a uživatelskou populaci do zásad ochrany aplikací.

Na této úrovni Microsoft doporučuje nakonfigurovat pro aplikace následující ochranu a přístup:

  • Povolení základních požadavků na ochranu dat:

    • Povolit základní přenos dat aplikace
    • Vynucení základního šifrování aplikací
    • Povolit základní funkce přístupu

  • Povolení základních požadavků na přístup:

    • Vyžadování KÓDU PIN, FACE ID a biometrického přístupu
    • Vynucení podpůrných nastavení základního přístupu

  • Povolení základního podmíněného spuštění aplikace:

    • Konfigurace pokusů o základní přístup k aplikaci
    • Blokování přístupu k aplikacím na základě zařízení s jailbreakem nebo rootem
    • Omezení přístupu k aplikacím na základě základní integrity zařízení

Další informace najdete v tématu Základní ochrana aplikací úrovně 1.

Dodržování předpisů (úroveň 1)

Na této úrovni zahrnuje dodržování předpisů zařízením konfiguraci nastavení pro celého tenanta, která platí pro všechna zařízení, a nasazení minimálních zásad dodržování předpisů na všechna zařízení, aby se vynutil základní sada požadavků na dodržování předpisů. Microsoft doporučuje, aby tyto konfigurace byly zavedeny předtím, než zařízením povolíte přístup k prostředkům vaší organizace. Dodržování předpisů zařízením úrovně 1 zahrnuje:

Nastavení zásad dodržování předpisů je několik nastavení pro celého tenanta, která ovlivňují fungování služby dodržování předpisů Intune s vašimi zařízeními.

Zásady dodržování předpisů specifické pro platformu zahrnují nastavení pro běžné motivy napříč platformami. Skutečný název nastavení a implementace se můžou na různých platformách lišit:

  • Vyžadovat antivirový, antispywarový a antimalwarový software (jenom Windows)
  • Verze operačního systému:
    • Maximální počet operačních systému
    • Minimální operační systém
    • Podverze a hlavní verze sestavení
    • Úrovně oprav operačního systému
  • Konfigurace hesel
    • Vynucení zamykací obrazovky po době nečinnosti, kdy se k odemknutí vyžaduje heslo nebo PIN kód
    • Vyžadovat složitá hesla s kombinacemi písmen, číslic a symbolů
    • Vyžadování hesla nebo PIN kódu k odemknutí zařízení
    • Vyžadovat minimální délku hesla

Akce při nedodržení předpisů se automaticky zahrnují do každé zásady specifické pro platformu. Jedná se o jednu nebo více nakonfigurovaných akcí s časovým pořadím, které se vztahují na zařízení, která nesplňují požadavky zásad dodržování předpisů. Označení zařízení jako nevyhovující je ve výchozím nastavení okamžitá akce, která je součástí každé zásady.

Další informace najdete v tématu Úroveň 1 – Minimální dodržování předpisů zařízením.

Konfigurace zařízení (úroveň 1)

Na této úrovni profily zahrnují nastavení, která se zaměřují na zabezpečení a přístup k prostředkům. Konkrétně na této úrovni microsoft doporučuje nakonfigurovat následující funkce:

  • Povolení základního zabezpečení, včetně:

    • Antivirová ochrana a kontrola
    • Detekce hrozeb a reakce na ně
    • Brány firewall
    • Aktualizace softwaru
    • Zásady silného PIN kódu a hesel

  • Udělte uživatelům přístup k síti:

    • E-mail
    • SÍŤ VPN pro vzdálený přístup
    • Wi-Fi pro místní přístup

Další informace o těchto zásadách na této úrovni najdete v části Krok 4 – Vytvoření konfiguračních profilů zařízení pro zabezpečení zařízení a vytvoření připojení k prostředkům organizace.

Úroveň 2 – Rozšířená ochrana a konfigurace

Tato úroveň rozšiřuje minimální sadu zásad tak, aby zahrnovaly větší zabezpečení a rozšířily správu mobilních zařízení. Zásady na této úrovni zajišťují zabezpečení více funkcí, poskytují ochranu identit a spravují další nastavení zařízení.

Pomocí nastavení na této úrovni můžete přidat, co jste udělali na úrovni 1.

Aplikace (úroveň 2)

Tato úroveň doporučuje standardní úroveň ochrany aplikací pro zařízení, kde uživatelé přistupují k citlivějším informacím. Tato úroveň zavádí mechanismy ochrany dat zásad ochrany aplikací a minimální požadavky na operační systém. Tato úroveň je konfigurace, která se vztahuje na většinu mobilních uživatelů, kteří přistupují k pracovním nebo školním datům.

Kromě nastavení úrovně 1 microsoft doporučuje nakonfigurovat pro aplikace následující ochranu a přístup:

  • Povolení požadavků na rozšířenou ochranu dat:

    • Přenos dat souvisejících s organizací
    • Vyloučení požadavků na přenos dat vybraných aplikací (iOS/iPadOS)
    • Přenos telekomunikačních dat
    • Omezení vyjmutí, kopírování a vkládání mezi aplikacemi
    • Blokovat snímek obrazovky (Android)

  • Povolit rozšířené spouštění podmíněných aplikací:

    • Blokování zakázání účtů aplikací
    • Vynucování minimálních požadavků na operační systém zařízení
    • Vyžadovat minimální verzi opravy (Android)
    • Vyžadovat typ vyhodnocení verdiktu integrity play (Android)
    • Vyžadovat zámek zařízení (Android)
    • Povolit přístup k aplikacím na základě zvýšené integrity zařízení

Další informace najdete v tématu Rozšířená ochrana aplikací úrovně 2.

Dodržování předpisů (úroveň 2)

Na této úrovni Microsoft doporučuje přidat do zásad dodržování předpisů složitější možnosti. Mnoho nastavení na této úrovni má názvy specifické pro platformu, které všechna přinášejí podobné výsledky. Níže jsou uvedené kategorie nebo typy nastavení, které microsoft doporučuje použít, pokud jsou k dispozici:

  • Aplikace:

    • Správa míst, kde zařízení získávají aplikace, jako je Google Play pro Android
    • Povolit aplikacím z konkrétních umístění
    • Blokování aplikací z neznámých zdrojů

  • Nastavení brány firewall

    • Nastavení brány firewall (macOS, Windows)

  • Šifrování:

    • Vyžadovat šifrování úložiště dat
    • BitLocker (Windows)
    • FileVault (macOS)

  • Hesla

    • Vypršení platnosti a opakované použití hesla

  • Ochrana souborů na úrovni systému a spouštění:

    • Blokování ladění USB (Android)
    • Blokování zařízení s rootem nebo jailbreakem (Android, iOS)
    • Vyžadovat ochranu integrity systému (macOS)
    • Vyžadovat integritu kódu (Windows)
    • Vyžadování povolení zabezpečeného spouštění (Windows)
    • Trusted Platform Module (Windows)

Další informace najdete v tématu Úroveň 2 – Vylepšené nastavení dodržování předpisů zařízením.

Konfigurace zařízení (úroveň 2)

Na této úrovni rozšiřujete nastavení a funkce, které jste nakonfigurovali na úrovni 1. Microsoft doporučuje vytvořit zásady, které:

  • Přidejte další vrstvu zabezpečení tím, že na svých zařízeních povolíte šifrování disků, zabezpečené spouštění a ČIP TPM.
  • Nakonfigurujte pin kódy & hesla tak, aby vypršela platnost, a spravujte, jestli a kdy se hesla můžou opakovaně používat.
  • Nakonfigurujte podrobnější funkce, nastavení a chování zařízení.
  • Pokud máte místní objekty zásad skupiny, můžete určit, jestli jsou tyto objekty zásad skupiny dostupné v Intune.

Podrobnější informace o zásadách konfigurace zařízení na této úrovni najdete v tématu Úroveň 2 – Rozšířená ochrana a konfigurace.

Úroveň 3 – Vysoká ochrana a konfigurace

Tato úroveň zahrnuje zásady na podnikové úrovni a může zahrnovat různé správce ve vaší organizaci. Tyto zásady nadále přecházejí na ověřování bez hesla, mají větší zabezpečení a konfigurují specializovaná zařízení.

Pomocí nastavení na této úrovni můžete přidat, co jste udělali v úrovních 1 a 2.

Aplikace (úroveň 3)

Tato úroveň doporučuje standardní úroveň ochrany aplikací pro zařízení, kde uživatelé přistupují k citlivějším informacím. Tato úroveň zavádí pokročilé mechanismy ochrany dat, vylepšenou konfiguraci PIN kódu a zásady ochrany aplikací Mobile Threat Defense. Tato konfigurace je žádoucí pro uživatele, kteří přistupují k vysoce rizikovým datům.

Kromě nastavení úrovně 1 a 2 microsoft doporučuje nakonfigurovat pro aplikace následující ochranu a přístup:

  • Povolte vysoké požadavky na ochranu dat:

    • Vysoká ochrana při přenosu telekomunikačních dat
    • Příjem dat pouze z aplikací spravovaných zásadami
    • Blokování otevírání dat v dokumentech organizace
    • Povolit uživatelům otevírat data z vybraných služeb
    • Blokování klávesnic třetích stran
    • Vyžadovat/vybrat schválené klávesnice (Android)
    • Blokování tisku dat organizace

  • Povolte vysoké požadavky na přístup:

    • Blokovat jednoduchý PIN kód a vyžadovat konkrétní minimální délku PIN kódu
    • Vyžadovat resetování PIN kódu po uplynutí počtu dnů
    • Vyžadovat biometriku třídy 3 (Android 9.0+)
    • Vyžadovat přepsání biometriky pin kódem po aktualizaci biometrických údajů (Android)

  • Povolení spouštění vysoce podmíněných aplikací:

    • Vyžadovat zámek zařízení (Android)
    • Vyžadovat maximální povolenou úroveň hrozby
    • Vyžadovat maximální verzi operačního systému

Další informace najdete v tématu Vysoká ochrana aplikací úrovně 3.

Dodržování předpisů (úroveň 3)

Na této úrovni můžete rozšířit integrované funkce intune pro dodržování předpisů prostřednictvím následujících možností:

  • Integrace dat od partnera ochrany před mobilními hrozbami (MTD)

    • U partnera MTD můžou vaše zásady dodržování předpisů vyžadovat, aby zařízení byla na úrovni hrozby zařízení nebo pod tímto skóre rizika, jak určuje daný partner.

  • Použití externího partnera pro dodržování předpisů v Intune

  • Pomocí skriptů můžete do zásad přidat vlastní nastavení dodržování předpisů pro nastavení, která nejsou dostupná v uživatelském rozhraní Intune. (Windows, Linux)

  • Použití dat zásad dodržování předpisů se zásadami podmíněného přístupu k bráně přístupu k prostředkům vaší organizace

Další informace najdete v tématu Úroveň 3 – Pokročilé konfigurace dodržování předpisů zařízením.

Konfigurace zařízení (úroveň 3)

Tato úroveň se zaměřuje na služby a funkce na podnikové úrovni a může vyžadovat investice do infrastruktury. Na této úrovni můžete vytvořit zásady, které:

  • Rozšiřte ověřování bez hesla do dalších služeb ve vaší organizaci, včetně ověřování na základě certifikátů, jednotného přihlašování pro aplikace, vícefaktorového ověřování (MFA) a brány VPN Microsoft Tunnel.

  • Rozbalte Tunel Microsoft Tím, že nasadíte Microsoft Tunnel for Mobile Application Management (Tunel pro MAM), který rozšiřuje podporu tunelu na zařízení s iOSem a Androidem, která nejsou zaregistrovaná v Intune. Tunel pro MAM je k dispozici jako doplněk Intune.

    Další informace najdete v tématu Použití funkcí doplňků sady Intune.

  • Nakonfigurujte funkce zařízení, které platí pro vrstvu firmwaru Windows. Používejte režim běžných kritérií v Androidu.

  • Pomocí zásad Intune pro řešení hesel místního správce Windows (LAPS) můžete zabezpečit integrovaný účet místního správce na spravovaných zařízeních s Windows.

    Další informace najdete v tématu Podpora Intune pro Windows LAPS.

  • Chraňte zařízení s Windows pomocí správy oprávnění koncového bodu (EPM), která pomáhá spouštět uživatele vaší organizace jako standardní uživatele (bez oprávnění správce) a umožňuje stejným uživatelům provádět úlohy, které vyžadují zvýšená oprávnění.

    EPM je k dispozici jako doplněk Intune. Další informace najdete v tématu Použití funkcí doplňků sady Intune.

  • Nakonfigurujte specializovaná zařízení, jako jsou veřejné terminály a sdílená zařízení.

  • V případě potřeby nasaďte skripty.

Konkrétnější informace o zásadách konfigurace zařízení na této úrovni najdete v tématu Úroveň 3 – Vysoká ochrana a konfigurace.

Další kroky

Úplný seznam všech profilů konfigurace zařízení, které můžete vytvořit, najdete v článku Použití funkcí a nastavení na zařízeních pomocí profilů zařízení v Microsoft Intune.