Ochrana dat a zařízení pomocí Microsoft Intune

Microsoft Intune vám můžou pomoct udržovat spravovaná zařízení zabezpečená a aktuální a zároveň chránit data vaší organizace před ohroženými zařízeními. Ochrana dat zahrnuje kontrolu nad tím, co uživatelé dělají s daty organizace na spravovaných i nespravovaných zařízeních. Ochrana dat se vztahuje také na blokování přístupu k datům ze zařízení, která by mohla být ohrožena.

Tento článek popisuje řadu předdefinovaných funkcí Intune a partnerských technologií, které můžete integrovat s Intune. Když se o nich dozvíte víc, můžete na své cestě k prostředí s nulovou důvěryhodností spojit několik z nich a získat komplexnější řešení.

V Centru pro správu Microsoft Intune Intune podporuje spravovaná zařízení s Androidem, iOS/iPadem, Linuxem, macOS a Windows.

Pokud ke správě místních zařízení používáte Configuration Manager, můžete na tato zařízení rozšířit zásady Intune konfigurací připojení nebo spolusprávytenanta.

Intune mohou také pracovat s informacemi ze zařízení, která spravujete, s produkty třetích stran, které zajišťují dodržování předpisů zařízením a ochranu před mobilními hrozbami.

Ochrana zařízení prostřednictvím zásad

Nasaďte zásady zabezpečení koncových bodů Intune, konfigurace zařízení a dodržování předpisů pro zařízení a nakonfigurujte zařízení tak, aby splňovala cíle zabezpečení vaší organizace. Zásady podporují jeden nebo více profilů, což jsou samostatné sady pravidel specifických pro platformu, které nasazujete do skupin zaregistrovaných zařízení.

• Pomocí zásad zabezpečení koncových bodů nasaďte zásady zaměřené na zabezpečení, které jsou navržené tak, aby vám pomohly zaměřit se na zabezpečení vašich zařízení a zmírnit rizika. Dostupné úlohy vám můžou pomoct identifikovat riziková zařízení, opravit tato zařízení a obnovit je do vyhovujícího nebo bezpečnějšího stavu.

• Pomocí zásad konfigurace zařízení můžete spravovat profily, které definují nastavení a funkce, které zařízení používají ve vaší organizaci. Nakonfigurujte zařízení pro ochranu koncových bodů, zřiďte certifikáty pro ověřování, nastavte chování aktualizací softwaru a další.

• Pomocí zásad dodržování předpisů pro zařízení vytváříte profily pro různé platformy zařízení, které stanoví požadavky na zařízení. Požadavky můžou zahrnovat verze operačního systému, použití šifrování disků nebo konkrétní úrovně hrozeb definované softwarem pro správu hrozeb.

  Intune může chránit zařízení, která nevyhovují vašim zásadám, a upozornit uživatele zařízení, aby zařízení mohl zajistit dodržování předpisů.

  Když do kombinace přidáte podmíněný přístup , nakonfigurujte zásady, které umožní přístup k síti a prostředkům organizace pouze zařízením vyhovujícím předpisům. Omezení přístupu můžou zahrnovat sdílené složky a firemní e-maily. Zásady podmíněného přístupu fungují také s daty o stavu zařízení hlášenými externími partnery pro dodržování předpisů zařízeními, které integrujete s Intune.

Tady je několik nastavení zabezpečení a úloh, které můžete spravovat prostřednictvím dostupných zásad:

• Metody ověřování – Umožňuje nakonfigurovat způsob ověřování zařízení v prostředcích, e-mailech a aplikacích vaší organizace.

  • Používejte certifikáty pro ověřování aplikací, prostředků vaší organizace a pro podepisování a šifrování e-mailů pomocí S/MIME. Odvozené přihlašovací údaje můžete nastavit také v případech, kdy vaše prostředí vyžaduje použití čipových karet.

  • Nakonfigurujte nastavení, která pomáhají omezit rizika, například:

    • Vyžadovat vícefaktorové ověřování (MFA) pro přidání další vrstvy ověřování pro uživatele.
    • Nastavte požadavky na KÓD PIN a heslo, které musí být splněné před získáním přístupu k prostředkům.
    • Povolte Windows Hello pro firmy pro zařízení s Windows.

• Šifrování zařízení – Správa nástroje BitLocker na zařízeních s Windows a FileVault v systému macOS

• Aktualizace softwaru – Umožňuje spravovat, jak a kdy zařízení získávají aktualizace softwaru. Podporují se následující:

  • Aktualizace firmwaru Androidu :
    • Firmware Over-the-Air (FOTA) – Podporované některými OEMs, můžete pomocí funkce FOTA vzdáleně aktualizovat firmware zařízení.
    • Zebra LifeGuard Over-the-Air (LG OTA) – Správa aktualizací firmwaru pro podporovaná zařízení Zebra prostřednictvím centra pro správu Intune.
  • iOS – Umožňuje spravovat verze operačního systému zařízení a když zařízení vyhledá a nainstalují aktualizace.
  • macOS – Správa aktualizací softwaru pro zařízení s macOS, která se zaregistrovala jako zařízení pod dohledem.
  • Windows – Pokud chcete spravovat služba Windows Update prostředí pro zařízení, můžete nakonfigurovat, kdy zařízení prohledávají nebo instalují aktualizace, uchovávat sadu spravovaných zařízení v konkrétních verzích funkcí atd.

• Standardní hodnoty zabezpečení – Nasaďte standardní hodnoty zabezpečení , abyste na svých zařízeních s Windows vytvořili základní stav zabezpečení. Standardní hodnoty zabezpečení jsou předkonfigurované skupiny nastavení Windows, které doporučují příslušné produktové týmy. Standardní hodnoty můžete použít tak, jak jsou k dispozici, nebo jejich instance upravit, abyste splnili cíle zabezpečení cílových skupin zařízení.

• Virtuální privátní sítě (VPN) – Pomocí profilů VPN přiřaďte zařízením nastavení sítě VPN, aby se mohli snadno připojit k síti vaší organizace. Intune podporuje několik typů připojení VPN a aplikací, které zahrnují integrované funkce pro některé platformy i aplikace VPN od jiných výrobců pro zařízení.

• Windows Local Administrator Password Solution (LAPS) – Pomocí zásad Windows LAPS můžete:

  • Vynucení požadavků na heslo pro účty místních správců
  • Zálohujte účet místního správce ze zařízení do služby Active Directory (AD) nebo Microsoft Entra
  • Naplánujte obměně těchto hesel k účtům, abyste je udrželi v bezpečí.

Ochrana dat prostřednictvím zásad

Intune spravované aplikace a zásady ochrany aplikací Intune vám můžou pomoct zastavit úniky dat a zabezpečit data vaší organizace. Tato ochrana se může vztahovat na zařízení zaregistrovaná pomocí Intune a na zařízení, která nejsou zaregistrovaná.

• Intune spravované aplikace (zkráceně spravované aplikace) jsou aplikace, které integrují sadu Intune App SDK nebo jsou zabalené Intune App Wrapping Tool. Tyto aplikace je možné spravovat pomocí zásad ochrany aplikací Intune. Pokud chcete zobrazit seznam veřejně dostupných spravovaných aplikací, přečtěte si téma Intune chráněných aplikací.

  Uživatelé můžou používat spravované aplikace k práci s daty vaší organizace i s vlastními osobními údaji. Pokud ale zásady ochrany aplikací vyžadují použití spravované aplikace, je spravovaná aplikace jedinou aplikací, která se dá použít pro přístup k datům vaší organizace. Ochrana aplikací pravidla se nevztahují na osobní údaje uživatele.

• Ochrana aplikací zásady jsou pravidla, která zajišťují, že data organizace zůstanou v bezpečí nebo jsou obsažená ve spravované aplikaci. Pravidla identifikují spravovanou aplikaci, kterou je potřeba použít, a definují, co se dá s daty dělat, když se aplikace používá.

Tady jsou příklady ochrany a omezení, které můžete nastavit pomocí zásad ochrany aplikací a spravovaných aplikací:

• Nakonfigurujte ochranu vrstvy aplikací, jako je vyžadování KÓDU PIN k otevření aplikace v pracovním kontextu.
• Můžete řídit sdílení dat organizace mezi aplikacemi na zařízení, jako je blokování kopírování a vkládání nebo zachycení obrazovky.
• Zabraňte ukládání dat vaší organizace do osobních úložišť.

Použití akcí zařízení k ochraně zařízení a dat

V Centru pro správu Microsoft Intune můžete spouštět akce zařízení, které pomáhají udržet vybrané zařízení chráněné. Podmnožinu těchto akcí můžete spustit jako hromadné akce zařízení , které ovlivní více zařízení současně. A několik vzdálených akcí z Intune je také možné použít se spoluspravováním zařízení.

Akce zařízení nejsou zásady a při vyvolání se projeví jednorázově. Použijí se okamžitě, pokud je zařízení přístupné on-line, nebo když se zařízení příště spustí nebo se přihlásí pomocí Intune. Tyto akce se považují za doplněk k použití zásad, které konfigurují a udržují konfigurace zabezpečení pro populaci zařízení.

Tady jsou příklady akcí, které můžete spustit a které pomáhají zabezpečit zařízení a data:

Zařízení spravovaná Intune:

• Obměny klíčů nástroje BitLocker (jenom Windows)
• Zakázat zámek aktivace (jenom zařízení Apple, podívejte se, jak vypnout Zámek aktivace pomocí Apple Business Manageru)
• Úplná nebo rychlá kontrola (jenom Windows)
• Vzdálené uzamčení
• Vyřazení (které odebere data vaší organizace ze zařízení a osobní data ponechá beze změny)
• Aktualizace Microsoft Defender Security Intelligence
• Vymazání (obnovení továrního nastavení zařízení, odebrání všech dat, aplikací a nastavení)

Zařízení spravovaná službou Configuration Manager:

• Vyřazení
• Vymazání
• Synchronizace (vynucení okamžitého přihlášení zařízení se změnami pomocí Intune vyhledání nových zásad nebo čekajících akcí)

Integrace s dalšími produkty a partnerskými technologiemi

Intune podporuje integraci s partnerskými aplikacemi ze zdrojů od první strany i od třetích stran, která rozšiřuje své integrované funkce. Můžete také integrovat Intune s několika technologiemi Microsoftu.

Partneři pro dodržování předpisů

Přečtěte si o používání partnerů pro dodržování předpisů zařízením s Intune. Když spravujete zařízení pomocí jiného partnera pro správu mobilních zařízení než Intune, můžete data o dodržování předpisů integrovat s Microsoft Entra ID. Po integraci můžou zásady podmíněného přístupu používat data partnerů společně s daty dodržování předpisů z Intune.

Správce konfigurace

K ochraně zařízení, která spravujete pomocí Configuration Manager, můžete použít mnoho zásad Intune a akcí zařízení. Pokud chcete tato zařízení podporovat, nakonfigurujte spolusprávu nebo připojení tenanta. Můžete také použít obojí společně s Intune.

• Se spolusprávou můžete současně spravovat zařízení s Windows pomocí Configuration Manager i Intune. Nainstalujete klienta Configuration Manager a zaregistrujete zařízení do Intune. Zařízení komunikuje s oběma službami.

• Pomocí připojení tenanta nastavíte synchronizaci mezi webem Configuration Manager a tenantem Intune. Tato synchronizace poskytuje jedno zobrazení pro všechna zařízení, která spravujete pomocí Microsoft Intune.

Po navázání připojení mezi Intune a Configuration Manager budou zařízení z Configuration Manager dostupná v Centru pro správu Microsoft Intune. Na tato zařízení pak můžete nasadit zásady Intune nebo je chránit pomocí akcí zařízení.

Mezi ochrany, které můžete použít, patří:

• Nasaďte certifikáty do zařízení pomocí profilů certifikátů Intune SCEP (Simple Certificate Enrollment Protocol) nebo páru privátních a veřejných klíčů (PKCS).
• Použijte zásady dodržování předpisů.
• Používejte zásady zabezpečení koncových bodů, jako je antivirová ochrana, detekce a reakce koncových bodů a pravidla brány firewall .
• Použití standardních hodnot zabezpečení
• Správa windows Aktualizace.

Aplikace ochrany před mobilními hrozbami

Aplikace ochrany před mobilními hrozbami (MTD) aktivně kontrolují a analyzují hrozby v zařízeních. Když integrujete (připojíte) aplikace Mobile Threat Defense s Intune, získáte hodnocení aplikací na úrovni ohrožení zařízení. Vyhodnocení úrovně ohrožení nebo rizika zařízení je důležitým nástrojem pro ochranu prostředků vaší organizace před ohroženými mobilními zařízeními. Tuto úroveň hrozby pak můžete použít v různých zásadách, jako jsou zásady podmíněného přístupu, a zajistit tak přístup k těmto prostředkům.

Používejte data na úrovni hrozeb se zásadami dodržování předpisů zařízením, ochrany aplikací a podmíněného přístupu. Tyto zásady používají data k tomu, aby zařízením, která nedodržují předpisy, zabránily přístupu k prostředkům vaší organizace.

S integrovanou aplikací MTD:

• Pro zaregistrovaná zařízení:

  • Pomocí Intune nasaďte a pak spravujte aplikaci MTD na zařízeních.
  • Nasaďte zásady dodržování předpisů pro zařízení, které používají úroveň hrozeb nahlášených zařízeními k vyhodnocení dodržování předpisů.
  • Definujte zásady podmíněného přístupu, které berou v úvahu úroveň ohrožení zařízení.
  • Definujte zásady ochrany aplikací a určete, kdy se má blokovat nebo povolit přístup k datům na základě úrovně hrozby zařízení.

• U zařízení, která se neregistrují pomocí Intune, ale používají aplikaci MTD, která se integruje s Intune, použijte jejich data na úrovni hrozeb se zásadami ochrany aplikací, které vám pomůžou zablokovat přístup k datům vaší organizace.

Intune podporuje integraci s:

• Několik partnerů MTD třetích stran.
• Microsoft Defender for Endpoint, která s Intune podporuje další možnosti.

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint sám o sobě poskytuje několik výhod zaměřených na zabezpečení. Microsoft Defender for Endpoint se také integruje s Intune a podporuje se na několika platformách zařízení. Díky integraci získáte aplikaci pro ochranu před mobilními hrozbami a přidáte možnosti pro Intune pro zabezpečení dat a zařízení. Mezi tyto možnosti patří:

• Podpora tunelu Microsoft – na zařízeních s Androidem Microsoft Defender for Endpoint je klientská aplikace, kterou používáte s tunelem Microsoft, řešením brány VPN pro Intune. Pokud se používá jako klientská aplikace Microsoft Tunnel, nepotřebujete předplatné pro Microsoft Defender for Endpoint.

• Úlohy zabezpečení – díky úlohám zabezpečení můžou správci Intune využívat možnosti Threat and Vulnerability Management Microsoft Defender for Endpoint. Jak to funguje:

  • Váš tým Defenderu for Endpoint identifikuje riziková zařízení a vytvoří úlohy zabezpečení pro Intune v Centru zabezpečení Defenderu for Endpoint.
  • Tyto úlohy se zobrazují v Intune s doporučeními ke zmírnění rizik, které můžou správci Intune použít ke zmírnění rizika.
  • Když se úloha vyřeší v Intune, tento stav se předá zpět do Centra zabezpečení Defenderu for Endpoint, kde je možné vyhodnotit výsledky zmírnění rizik.

• Zásady zabezpečení koncových bodů – následující zásady zabezpečení koncových bodů Intune vyžadují integraci s Microsoft Defender for Endpoint. Když používáte připojení tenanta, můžete tyto zásady nasadit na zařízení, která spravujete pomocí Intune nebo Configuration Manager.

  • Zásady antivirové ochrany – Spravujte nastavení pro Microsoft Defender Antivirus a prostředí Zabezpečení Windows na podporovaných zařízeních, jako jsou Windows a macOS.

  • Zásady detekce koncových bodů a odpovědí – Pomocí této zásady můžete nakonfigurovat detekci a odezvu koncových bodů (EDR), což je funkce Microsoft Defender for Endpoint.

Podmíněný přístup

Podmíněný přístup je funkce Microsoft Entra, která funguje s Intune a pomáhá chránit zařízení. U zařízení, která se registrují pomocí Microsoft Entra ID, můžou zásady podmíněného přístupu používat podrobnosti o zařízení a dodržování předpisů z Intune k vynucení rozhodnutí o přístupu pro uživatele a zařízení.

Kombinovat zásady podmíněného přístupu s:

• Zásady dodržování předpisů zařízením můžou vyžadovat, aby bylo zařízení označené jako vyhovující, než bude možné ho použít pro přístup k prostředkům vaší organizace. Zásady podmíněného přístupu určují služby aplikací, které chcete chránit, podmínky přístupu k aplikacím nebo službám a uživatele, na které se zásady vztahují.

• Ochrana aplikací zásady můžou přidat vrstvu zabezpečení, která zajistí, že k vašim online prostředkům, jako je Exchange nebo jiné služby Microsoftu 365, budou mít přístup jenom klientské aplikace, které podporují zásady ochrany aplikací Intune.

Podmíněný přístup také funguje s následujícími funkcemi, které pomáhají zajistit zabezpečení zařízení:

• Microsoft Defender for Endpoint a aplikace MTD třetích stran
• Partnerské aplikace pro dodržování předpisů pro zařízení
• Microsoft Tunnel

Přidání správy oprávnění koncového bodu

Správa oprávnění koncového bodu (EPM) umožňuje spouštět uživatele Windows jako standardní uživatele a zvýšovat oprávnění jenom v případě potřeby podle organizačních pravidel a parametrů nastavených vaší organizací. Tento návrh podporuje vynucování přístupu s nejnižšími oprávněními, což je základní tenant architektury zabezpečení nulová důvěra (Zero Trust). EPM umožňuje IT týmům efektivněji spravovat standardní uživatele a omezit jejich možnosti útoku tím, že zaměstnancům umožňuje pracovat pouze jako správci pro konkrétní schválené aplikace nebo úkoly.

Úlohy, které obvykle vyžadují oprávnění správce, jsou instalace aplikací (například aplikace Microsoft 365), aktualizace ovladačů zařízení a spouštění určitých diagnostických nástrojů Windows.

Nasazením pravidel zvýšení oprávnění EPM, která definujete, můžete povolit spouštění v kontextu se zvýšenými oprávněními pouze aplikacím, kterým důvěřujete. Vaše pravidla můžou například vyžadovat shodu hodnot hash souboru nebo přítomnost certifikátu k ověření integrity souborů před spuštěním na zařízení.

Tip

Správa oprávnění koncového bodu je k dispozici jako doplněk Intune, který k použití vyžaduje další licenci a podporuje Windows 10 a Windows 11 zařízení.

Další informace najdete v tématu Správa oprávnění koncového bodu.

Další kroky

Naplánujte si použití funkcí Intune k podpoře vaší cesty k prostředí s nulovou důvěryhodností tím, že budete chránit data a zabezpečit zařízení. Další informace o těchto funkcích najdete v tématu o zabezpečení dat a sdílení dat v Intune.